网络工程doc.docx
- 文档编号:29188516
- 上传时间:2023-07-21
- 格式:DOCX
- 页数:47
- 大小:468.63KB
网络工程doc.docx
《网络工程doc.docx》由会员分享,可在线阅读,更多相关《网络工程doc.docx(47页珍藏版)》请在冰豆网上搜索。
网络工程doc
1.概述
1.1前言
在国际上,拥有无线校园网,已经成为数字化校园的一个标志。
随着无线局域网技术的不断成熟和普及,无线局域网作为有线网络的补充和延伸,对推动高校信息化资源建设的发展起到了重要作用,同时对教师、学生的学习、生活方式产生了积极的影响。
目前各种移动终端在校园的普及,和教学科研的需要,无线网络建设已经成为趋势。
华三的WIFI解决方案不仅着眼于解决无线覆盖这个基本前提,还依托多年来为全国近千所高校提供认证,计费方案所积累的市场了解,提供了基于校园现有有线网的,易于管理,维护的校园无线网络解决方案。
无线局域网正以它的高速传输和很好的灵活性、扩容性在高校的教学、管理等各项应用中发挥着日益重要的作用。
2.项目背景
随着无线网络的普及,无线终端(ipad,iphone)等的快速井喷式的增长,原有的有线网络已经无法满足现在校园上网的需求,举例来说,大多数学生及教工人员都拥有不止一台智能终端,比如iphone,ipad,笔记本电脑等,像这些智能终端往往没有有线以太网接口,这就要求校园必须有完善的无线覆盖,来满足校园内部无线上网的需求。
无线局域网(以下简称WLAN)作为一种能够在一定区域范围内支持移动特性的无线宽带接入手段,为校园开展移动数据业务提供了一种重要手段。
WLAN业务的开展要求无线设备应该支持以下原则:
●在校园WLAN网络建设中,遵循国家环保局和无委电磁辐射的要求。
●WLAN接入点的部署以热点地区、办公及住宿区为主,如宿舍,教学楼群,办公中心,以及图书馆等人群聚集的公共场所。
●用户认证采用多种接入方式为主,同时支持用户名/密码认证方式。
●支持基于时长和流量的多种计费形式,并为现有移动用户提供统一帐单。
●为用户提供安全的WLAN接入方式,保护合法用户的认证和数据信息,防止非法用户的入侵。
●WLAN系统业务类型
通过WLAN接入方式,无线网络设备能够支持为WLAN用户提供丰富的数据业务类型,主要包括:
(1)支持互联网无线宽带接入
WLAN为用户访问Internet提供了一种宽带接入方式。
通过WLAN接入设备,用户能够高速使用WWW,FTP,E-mail等各种Internet业务。
(2)支持虚拟专用网业务(VPN)
移动办公者可以通过WLAN接入方式,高速访问企业内部网络资源,如企业内部网页,内部邮件系统,内部文件系统等。
(3)支持多媒体数据业务
WLAN接入方式为用户使用多媒体应用(如视频点播、数字视频广播、视频会议、远程医疗、远程购物、远程监控、远程教学等)提供了可能。
(4)支持基于WLAN的增值业务
基于WLAN接入方式的的数据业务可以和现有的数据业务结合,如VOIP语音应用,短消息服务,移动电子邮件,移动个人理财,娱乐天地,位置服务,游戏等。
校园可以利用业务控制手段如门户网站来引导用户对增值业务的使用。
2.1无线局域网设计原则和技术需求
当前系统建设目标是建立一个统一的综合性平台,通过统一的无线网络接入,实现功能丰富、自动路由、全透明传输、全面无线校园业务等一体化的处理与管理。
同时,系统需要最佳的性能/价格比。
主要的一些系统设计原则如下所列:
系统的先进性-采用国际最新的无线网络科技,使其在无线领域具有较高的水平。
结合酒店的业务实际,建立高可用性的无线系统。
功能的丰富性–系统应该具有丰富的校园及无线应用功能,满足校园及办公人员个性化的应用要求。
系统的可扩展性-扩充方便,设置修改灵活,操作维护简单,系统构筑时间短,能够适应办公的快速变化。
实用性-系统将充分考虑实用性,以用户的实际需求为出发点,充分满足(用户)使用方便、系统管理方便的原则。
系统的可靠性-可靠性、稳定性是本系统一个重要的设计原则,必须采取有效的手段,保证整个系统的可靠稳定运行。
系统的共享性–充分利用现有各种系统的资源,充分利用有线传输以及数据IP网络,考虑节省长期运行成本。
规范性与开放性-能够与TCP/IP、Internet系统、业务系统等直接或间接互联并集成合作。
系统的可维护性–在日常运行过程中,系统需提供对运行情况的监测和控制功能,从而保证系统的正常运行,强大的功能、友好的界面对系统进行维护是今后系统充分发挥效力的关键。
维护系统是为了让系统更好的发挥功效。
系统的可管理性-提供统一的图形化管理工具,方便进行全面的管理。
2.2遵循标准
无线局域网采用的技术支持应为国际标准或业界标准,不使用某个厂商的专用技术和协议,以保证网络设备的互通性,有利于网络的投资保护。
2.3技术成熟
第一代无线局域网主要是采用FatAP,每一台AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈,在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。
第三代无线局域网采用无线交换机和ThinAP的架构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。
2.4安全可靠
在网络安全性方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,无线网的安全性主要从以下几个方面考虑:
(1)接入认证:
具有支持多种用户认证方式;
(2)采用具有用户状态访问控制的防火墙技术;
(3)具有数据在无线信道上传输的VPN机制;
(4)具有无线网的防病毒机制
(5)具有无线电波监控能力,能提供无线入侵侦测和无线终端位置的追踪功能。
2.5可扩展可升级
通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理,AP既可以提供无线接入,也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。
同时整个系统可以根据用户的需要进行规模上的扩展,扩展后所有功能和管理的模式保持不便。
2.6易管理易维护
在网络管理方面,必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能,使所建的无线网络可以适应多种环境的变化,可动态地保证良好的应用效果。
同时,还应具有远端AP数据进行采集、远程监控、终端定位等功能,支持多SSID,可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。
2.7技术需求
根据校园无线局域网系统建设要求,无线局域网系统建设原则如下:
1、采用WLAN交换技术及WLAN交换体系结构。
2、充分利用现有网络结构与资源,不单独组网,AP就近接入有线网络(最近的交换机),并且不改变原有网络结构以及交换机配置。
3、采用集中控管的组网方式,集中控制管理所有的AP。
4、采用先进的WLAN网管系统管理校园局域网。
5、充分考虑WLAN的安全性,采用先进的WLAN安全技术保障。
6、无线局域网系统要能方便和灵活地调整与扩充。
3.
无线局域网方案建议
无线网络覆盖如下区域:
整个校园的无线网络分为三大部分,分为公共区域,办公区和住宿区;为了保证无线局域网系统的可用性和连续性,分布在不同地点的AP必须在同一逻辑网络中,并且需要进行集中式的管理和配置。
结合处理中心网络和应用需求以及华三解决方案的特点,无线网络子系统中的设计原则可以分为以下几大点:
采用无线交换架构组建无线网络子系统;
利用现有的有线网络资源,架设“层叠”网络,保持已有的有线网络配置和设置不更改;
用户子网和设备子网隔离,无线用户无法访问设备子网;
AP的IP网络设置从DHCP获取或者进行安装前静态配置,AP的无线网络设置由交换机集中推送;
无线网与内网及内外网之间的通信均设有不同级别的安全防护措施,保证网络系统不受干扰,正常运行。
根据校园的无线网络需求和无线网络设计原则,结合华三无线系统技术及产品的特点,方案的设计分为:
无线组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、兼容性和计费设计七个部分。
3.1无线组网方式设计
华三无线系统的组网方式有两种,集中式组网和分布式组网。
可以根据不同的网络规模和管理方式,考虑选用集中式的组网方式进行组网。
3.2多业务区分设计
从用户分类与分布情况分析,用户主要分成以下几类:
(1)办公用户;
(2)教工用户;
(3)学生;
使用无线网络可以分为不同的无线接入业务类型。
因此,在设计上采用无线局域网多SSID技术,设置多业务区分方式。
在一个无线局域网内可以设置多个SSID,例如一个SSID可给内部员工所用,而另一个可给外来的客户专用。
由于用户一般把SSID看成VLAN,所以它们都会惯性地以VLAN概念来划分SSID。
其实在一个AP范围内,不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内,因为无线电波的传输是共享。
一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。
SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。
为什么要把不同的安全加密协议设置在不同的SSID呢?
802.11的标准内定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密程式,例如:
WEP,TKIP(WPA),802.11i(WPA2)等等,不同加密方式不能在同一个SSID内同时存在的。
用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。
最常见的做法是使用多个SSID,例如:
一个定义为OPEN/StaticWEP供客户用,另一个SSID则为TKIP(WPA)专为内部员工使用。
未来的发展趋势是新增设一个802.11iSSID让用户以过度的方式逐渐从转移到这个SSID上。
不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i,而是不可能把所有的终端一次更换成最新的软件程序。
所以针对无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。
办公及教工用户可以采用专门的SSID,可以采用级别较高的认证和加密手段,对于移动用户和临时用户可以使用另一个SSID,采用级别相对较低的认证和加密手段,这样就实现了区分的服务。
3.3无线安全性设计
在华三无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
(1)多SSID:
可以根据需要,如用户的种类、应用的种类,在华三无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。
另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。
SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。
(2)加密:
华三无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11ii等多种加密方式,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。
(3)用户认证提供二种方式:
①WPA-PSK+captiveportal+VPN。
加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。
采用captiveportal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。
认证服务器的选择比较灵活,可以使用RADIUS,LDAP,WindowsNT,ActiveDirectory,TACACS,甚至是华三交换机内置的帐户数据库。
②WPA+802.11x加密方式尽量采用WPA,如果客户端不支持也可采用动态WEP,认证方式采用802.11x,认证服务器选择RADIUS。
(4)用户的Role(角色):
每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。
(5)用户状态防火墙:
用户通过认证以后,会有一个基于这个用户的状态防火墙,可以根据每个用户设置他的访问控制策略,比如可以访问Internet,不能访问图书馆的服务器,只能访问WEB网页和收发邮件,不能运行P2P的软件等。
(6)带宽控制:
可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。
(7)认证系统支持:
华三无线系统支持多种认证系统,诸如Radius、LDAP、微软的AD(活动目录)和在华三无线交换机内部的InternalDB等等。
(8)网络病毒的防护:
无线终端病毒防护的可以从无线终端的准入检查以及对无线终端发出数据进行有效的检测两个层面来进行的。
准入检查可以检查终端操作系统的安全状态,诸如系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,并设置安全策略是否准予进入网络。
在数据的检测上,Aruba无线交换机上可以设定策略,对于某些无线用户沾染病毒的终端,Aruba无线系统将其导向到第三方防病毒系统进行防病毒的检查,检查完成后,才允许接入。
4.
WLAN建设方案
4.1无线网络拓扑图
4.2点位覆盖图
以下是部分建筑点位图:
综合楼点位图
18号教学楼点位图
10号宿舍楼点位图
5.
设备选型
5.1选型概述
采用了创新的交叉间隔矩阵架构,减少了数据信号在高速传输通道中的串扰和衰减,实现了接口板、交换网板和背板的无阻塞数据转发机制。
利用路由交换物理分离的设计架构,通过独立的交换网板能够大幅提升设备的路由转发性能,同时后续可以通过升级交换网板实现性能的持续提升。
交换网板通过高速传输通道和各接口板相连,在数据的跨板转发过程中,利用自研芯片中的核心算法,实现智能调度模式和路径负载分担,完成了交换系统严格意义上的无阻塞,保证了高密万兆板卡的线速转发。
运行了H3C新一代模块化网络操作系统,支持模块级重启、倒换,以及以模块为单位进行软件升级的能力。
通过内置的监控器能够全面监视各软件模块的运行状态,一旦发现某一软件模块故障,系统会根据预先设置的策略自动重启或中止故障模块,同时还支持软件模块可以运行于主用主控板和备用主控板上,当主用主控板上的软件模块出现故障时,可以选择备用主控板上的软件模块来接管服务,进一步提高了系统可用性。
5.2产品规格
项目
CR16004
结构
一体化机箱,可安装于19英寸机架内
主控板槽位数
2
项目
CR16004
交换网板槽位数
4
业务板槽位数
4
交换容量
18.61Tbps
整机包转发率
1440Mpps
外形尺寸(W×D×H)
442mm×708mm×442mm(10U)
重量(满配置)
100kg
IPv4
支持静态路由、RIPV1/V2、OSPF、IS-IS、BGP-4等
支持等价路由ECMP、非等价路由UCMP
支持策略路由
支持路由策略
支持GRE隧道功能
支持256K/Slot
IPv6
支持IPv4和IPv6双协议栈
支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+
支持VRRPv3
支持NeighborDiscoveryProtocol、PathMTUDiscovery
支持Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6
支持IPv4向IPv6的过渡技术
支持等价路由ECMP、非等价路由UCMP
支持策略路由
组播
支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP等路由协议
支持IGMPV1/V2/V3、IGMPSnoopingv1/2/3
支持PIM6-DM、PIM6-SM、PIM6-SSM
支持MLD(MulticastListenerDiscovery)、MLDSnooping
支持组播策略和组播QoS
支持交换网和业务板两级组播复制功能,达到最优的组播性能
MPLSVPN
支持P/PE功能,符合RFC4364/RFC2547bis协议
支持三种跨域MPLSVPN方式(Option1/Option2/Option3)
支持分层PE(HoPE)
项目
CR16004
MPLSVPN
支持多角色主机
支持分布式martini/kompella方式VLL,实现点到点的二层MPLSVPN功能
支持分布式martini/kompella方式VPLS/H-VPLS,实现点到多点的二层MPLSVPN功能
支持MPLSTE/FRR,FRR切换时间小于50ms
支持分布式组播VPN
支持ACL识别流量功能,将流量导入到不同的VPN
支持MPLSVPN网络故障定位功能,支持MPLSPING/TRACEROUTE
AAA
支持标准RADIUS/TACACS+协议配合完成远程用户认证、授权、计费等管理功能
支持不认证、本地认证以及远端认证三种认证方式以及这三种方式的组合
支持在用户上线过程中对用户进行授权,也支持用户在线情况下对用户进行动态授权。
支持不计费、远端计费、本地计费保护、实时计费、计费抄送等功能,支持计费失败策略配置
支持主备服务器,当主serverdown时切换到备server进行认证或计费
L2TP
支持NAS-Intiated
支持Client-Initiated
支持LAC-Auto-Initiated
IPoE
支持IPoE接入
支持IPoEoVLAN接入
支持IPoEoQ接入
支持IPoEoA接入
PPPoE
支持PPPoE
支持PPPoEoVLAN
支持PPPoEoQ
支持PPPoEoA
PPP
支持LCP/PAP/CHAP等协商功能
支持MP
ACL
支持标准和扩展ACL
支持Ingress/EgressACL
支持基于第二层、第三层和第四层的ACL
支持VLANVACL
项目
CR16004
QoS
支持Diff-ServQoS和Inte-ServQoS
支持层次化QoS(H-QoS),支持FIFO/PQ/CQ/WFQ/CBWFQ等队列调度机制
支持精细化的流量监管
支持流量整形Shapping
支持WRED拥塞避免
支持优先级标记Mark/Remark
支持802.1p、TOS、DSCP、EXP优先级映射
支持VOQ
支持组播的QoS功能
支持200ms硬件缓存
以太网功能
支持802.1Q
支持802.1QVLANTrunk功能
支持QinQ终结
支持灵活QinQ功能
支持802.3d(STP)/802.3w(RSTP)/802.3s(MSTP)
支持IEEE802.3ad(端口聚合)、静态端口聚合和跨板端口聚合
支持端口镜像和流镜像功能
支持静态VLAN
支持动态划分VLAN功能支持1588v2和同步以太网
RPR
支持跨板RPR
支持2.5G/10GRPR,符合IEEE802.17
支持Wrapping和Steering两种保护方式,硬件自愈时间小于50ms
支持动态选环机制和静态选环机制,提高带宽利用率
支持节点拓扑自动发现机制
支持加权公平算法,智能分配带宽
支持A0/A1/B0/B1/C五类业务等级,A0类业务可以全环预留带宽,实现精细化的QoS
接口类型
支持10/100/1000BASE-TX、100BASE-X、1000BASE-X、10GBASE-R/W、100G、OC-48cRPR、OC-192cRPR、OC-3cPOS/CPOS、OC-12cPOS/CPOS、OC-48cPOS/CPOS、OC-192cPOS、OC-3cATM、OC-12cATM、E1/T1、CE1/CT1、E3/CT3等接口类型
项目
CR16004
网络流量分析
支持V5/V8/V9输出格式
支持采样功能和流统计功能
支持多日志主机功能
支持硬件的网络流量xFlow应用分析技术
支持IPv4/IPv6/MPLS的流量采集分析
防火墙
支持防DOS/DDOS攻击
支持防SYNFlood、UDPFlood、ICMPFlood、HTTPGetFlood、Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、TCP标志位异常、地址扫描、端口扫描、Java/ActiveXBlocking和SQL注入等攻击
支持ASPF、支持NAT
支持ALG、支持虚拟防火墙
支持安全区域、支持黑名单
支持L2TP、支持IPSec
可靠性
关键部件主控板、交换网板、电源、风扇均支持1+1冗余备份
背板采用无源设计,避免单点故障
各组件均支持热插拔功能
支持各种配置数据在主备主控板上实时热备份
支持ISSU
支持IRF2
支持NSR/GR
支持MP、ETH端口聚合,支持链路跨板聚合
支持跨板的RPR硬件环网保护机制,业务自愈时间小于50ms
支持BFDfor静态路由/BGP/IS-IS/OSPF/RSVP/VPLSPW/VRRP/LDP/PIM等,实现各协议的快速故障检测机制,故障检测时间小于30ms
支持IPFRR、TEFRR,业务切换时间小于50ms
网络可用度为99.999%
安全性
支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文攻击、Java/ActiveXBlocking和SQL注入攻击等威胁的防范
支持静态和动态黑名单、MAC绑定、安全区域控制、系统统计等安全功
项目
CR16004
安全性
支持用户分级管理和口令保护
支持SSHv2,为用户登录提供安全加密通道
支持标准和扩展ACL,可以对报文进行过滤,防止网络攻击
支持防止ARP、802.1x、未知组播报文、广播报文、未知单播报文、本机网段路由扫描报文、TTL=1报文、协议报文等攻击功能
支持MAC地址限制、IP+MAC绑定功能
支持URPF技术,防止基于源地址欺骗的网络攻击行为
支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证
支持安全网管SNMPv3、SSHv2
支持广播报文抑制
支持主备数据备份机制
系统管理
支持Console/AUXModem/Telnet/SSH2.0命令行配置
支持FTP、TFTP、Xmodem、SFTP文件上下载管理
支持SNMPv1/V2/V3
支持RMONv1,支持1、2、3、9组
支持NTP时钟
支持NQA(NetworkQualityAnalyzer)
支持故障后报警和自恢复
支持数据日志
支持ICMP
支持Syslog
支持Traceroute
支持多线程TELNET访问设备
项目
S10508
主控板槽位数
2
业务板槽位数
8
交换网板槽位数
4
冗余设计
主控、交换网板、电源、风扇
包转发率
6720Mpps/19200Mpps
项目
S10508
交换容量
27.65Tbps/64Tbps
以太网特性
支持802.1Q
支持DLDP
支持LLDP
静态MAC配置
支持MAC地址学习数目限制
支持端口镜像和流镜像功能
支持端口聚合、端口隔离、端口镜像
支持802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)
支持IEEE802.3ad(动态链路聚合)、静态端口聚合和跨板链路聚合
路由特性
支持静态路由、RIP、OSPF、IS-IS、BGP4等
支持等价路由
支持策略路由
支持路由策略
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络工程 doc