校园网VPN规划与实现.docx
- 文档编号:6773688
- 上传时间:2023-01-10
- 格式:DOCX
- 页数:23
- 大小:27.16KB
校园网VPN规划与实现.docx
《校园网VPN规划与实现.docx》由会员分享,可在线阅读,更多相关《校园网VPN规划与实现.docx(23页珍藏版)》请在冰豆网上搜索。
校园网VPN规划与实现
校园网 VPN 规划与实现
中学校园网规划方案
一. 设计目标
1.配合当前的教学发展情况,完成学校内部Intrannet 的配套基础建设,
将全校的信息资源利用计算机网络连接起来,形成一个流畅、合理、可
靠、安全的校园网。
还应针对学校的教学特点,具有一些基本的教学功
能,以完成学校的基本教学任务。
通过各校校园网络的连接,可以更便
利地互相交换信息,促进各个学校间的学术交流。
2.通过校园网络使教师和科研人员能及时了解国内外科技发展动态,加强
对外技术合作,促进教学和科研水平的提高。
建立新的通讯方式和环境,
提高工作效率。
二. 设计原则
1.学校需求为前提原则:
坚持以学校具体需求为校园网信息系统方案设
计的根本和前提,同时,也要注重源于需求又高于需求的原则,注意用
专业化的技术思想来进行校园网的规划与设计,确保校园网的实用性、
先进性和便于扩展性。
2.设备选型兼顾原则:
满足学校对现代化教学手段的要求;满足校园网建
设及互联网的要求;所选设备在国际上保持技术先进性;供应商有良好
的商业信誉和优质的售后服务。
3.坚持标准原则:
一切校园网设计和施工,均要严格遵循国际和国家标准。
统一规划,分步实施。
校园网的实现要求通讯协议、网络平台等应具有
世界性的开放性和标准化的特点,并且应采用统一的网络体系结构。
4.坚持先进的成熟的技术原则:
采用通用的、成熟的技术方案可以降低
建设成本、减小设计、施工和使用难度、缩短建设周期。
有利于保护投
资,并且有利于校园网的维护和升级。
选择品质最好的设备不一定是最
佳选择,成本因素也是一个不容忽视的问题,将品质与成本实现最佳匹
配。
5. 坚持规范布线,考虑长远发展原则:
布线系统使网络的重要基础,布线系统的好坏是衡量一个网络好坏的非
常重要的标志。
布线系统不合理将降低网络的可靠性,使网络难以管理
和维护,所以必须采用标准的综合布线系统。
6. 坚持易于使用和管理原则:
校园网的各种软件应用项目必须易于使用,对最终用户的起点要求不能
太高,一般以熟练使用操作系统、办公软件系统、浏览器和电子邮件系
统为宜;系统的日常管理和维护工作要方便、简易。
网络拓扑结构一经
配置确定,不应轻易更改。
7.坚持可扩展性原则:
考虑现有网络的平滑过度,使学校现有陈旧设备尽
量保持较好的利用价值;选用产品应具有最佳性价比,又要应充分考虑
未来可能的应用,具有高扩展性。
三. 用户需求分析
学校要求如下:
1. 建立办公自动化系统
办公楼共有 40 个信息点。
要求通过校园网连至 INTERNET,达到 100
M 到桌面,并对财务科,人事科等科室进行单独
子网管理。
2. 建立考试监控系统
共有教学楼 3 座,120 个信息点。
(1) 综合教学楼一个,60 个信息点。
其中有 10 个实验室,每个实验室
配置 1 台 PC 和 1 个投影仪(此处无须上网);20 个教室,其中一个教室
2 个摄像机。
(2) 普通教学楼 1:
40 个信息点,共 20 个教室,其中一个教室 2 个摄
像机。
(3) 普通教学楼 2:
20 个信息点,共 10 个教室,其中一个教室 2 个摄
像机。
3. 建立综合多媒体教室
信教中心:
共 120 个信息点。
有两个多媒体教室,每个教室 60 台 PC。
要
求可网管,通过校园网上连至 INTERNET,达到 100M 到桌面。
4.为了满足教职工的需要,提高教职工教学条件和水平,大力发展网上
教学,优秀科目科件制作等。
将教职工宿舍区的 PC 通过校园网上连至
INTERNET,达到 10M 到桌面,以后可扩展到 100M 。
5. 学校校园网建设所需 PC 和投影仪有校方自行选择和安装。
学生宿舍由
于高中阶段学习生活的特殊性,不进行任何布置。
四. 网络规划设计总体方案
(一)校园网络拓扑图
(二) 设计方案
1. 网络层次结构
网络结构采用分层式设计,共分三层:
核心层,ぷ髯椴悖烂娼尤氩恪
7植闵杓瓶梢允拐鐾缱陨隙戮哂泻艽蟮牡裕阌诓呗缘奈ず
褪凳
(1)核心设备
①设备名称:
DCS-3926S 可堆叠智能安全接入交换机
②基本介绍:
3926S 具有 24 个 10/100Mbps 自适应 RJ-45 端口和 2 个模
块扩展插槽(可选插百兆模块和千兆模块)可千兆或百兆聚合上联至汇
聚层交换机或者核心层交换机。
③主要特征:
★高密度和灵活的堆叠
DCS-3900S 系列的堆叠带宽可支持 2G 到 4G,并且支持简单堆叠、标准堆叠、
超级堆叠和混合堆叠。
简单堆叠成本最低。
堆叠带宽 2G;标准堆叠使用
堆叠模块,其带宽扩充至 4G;还可以用千兆电口或千兆光口做超级堆叠,
可避开堆叠线缆的限制,堆叠带宽也是 4G;同时 DCS-3900S 系列可以和
DCRS-5600S 系列、DCRS-5526S 交换机做混合堆叠。
★强大的 ACL 功能
作为新款的 L2/4 交换机,DCS-3926,S 系列交换机提供了完整的 ACL 策
略,可根据源/目的 IP 地址、源/目的 MAC 地址 IP 协议类型、TCP/UDP 端
口号、IPPrecendence、时间范围、ToS 对数据进行分类,并进行不同的
转发策略。
通过 ACL 策略的实施,用户可以在接入层交换机过滤掉“冲
击波”、“震荡波”、“红色代码”等病毒包,防止扩散和冲击核心设备
★卓越的安全特性
全面的受控组播方案 DMCP,可以对源和目的进行安全控制,完整实现了
在接入层网络中基于 IGMP 源端口和目的端口的检查技术,可完全限制合
法组播在
网络中的稳定传输,有效控制组播建立的整个过
程,保障了正常合法的组播应用的稳定运行;率先支持对特征复杂(64 字
节)的应用流量的访问控制,让用户可以在各种网络的环境中应对出现复
杂情况;监控 pingSweep 等攻击行为,安全防扫描,并采取防攻击措施,
全面保护交换机和服务器等网络设施的安全。
★更完美的性价比(DCS-3926S-G)
大多数接入交换机通过 1 个千兆光模块上联,为了提高产品的性价比,
DCS-3926S-G 固化了一个千兆光模块,可以为用户节约开支。
★丰富的 QoS 策略
DCS-3900S 系列交换机为每个端口提供了 4 个优先级队列,可根据端口、
802.1p、ToS、DSCP、TCP/UDP 端口进行流量分类,并分配不同的服务级
别,支持 WRR/SP 等调度方式,为语音/数据/视频在同一网络中传输提供
所要求的不同服务质量。
④技术参数
★接口形式:
24 个 10/100M 端口+ 1 个 SFP 千兆光口/堆叠口
★可选扩展模块:
百兆电/光口模块;千兆电/光口模块;堆叠模块
★堆叠:
支持标准堆叠,超级堆叠,混合堆叠。
堆叠环境下,支持跨交
换机的端口聚合、端口镜像、QoS、ACL
★生成树:
802.1D(STP)、802.1w(RSTP)、802.1s(MSTP)
★组播协议:
IGMP Snooping&Query
★QoS:
每端口 4 个队列,支持 802.1p,ToS,应用端口号,DifferServ,
支持 WRR/SP 等调度方式
★ACL:
支持标准 ACL 和扩展 ACL,支持 IP ACL、MAC ACL、IP-MAC ACL,
支持基于源/目的 IP 地址、源/目的 MAC 地址、IP 协议类型、TCP/UDP 端
口号、IP Precendence、时间范围、ToS 对数据进行过滤。
★端口聚合:
支持 802.3ad,最大可支持 6 组 trunk,每 trunk 可到 8 个端口,
支持基于目的 MAC 的负载均衡。
★IEEE802.1x:
支持基于端口和 MAC 地址,支持神州数码 802.1x 整体解
决方案,可以实现按时长/流量计费,可以实现用户帐号、密码、
IP、MAC、VLAN、端口、交换机的严格绑定,可以防止代理软件,防止
PC 克隆,对客户发送通知/广告,上网时段控制,基于用户动态实现
VLAN 授权和带宽授权,可基于组策略实现动态 IP 地址分配而不必使用
DHCP 服务器等。
★认证:
支持 RADIUS
★端口镜象:
支持。
★支持的网络标准:
IEEE802.1D IEEE 802.3 IEEE 802.3u IEEE802.3ad IEEE
802.3x IEEE 802.3z IEEE802.1Q IEEE 802.1p IEEE 802.1x IEEE802.1w IEEE
802.1s 等堆叠。
(2)工作组设备
①设备名称:
DCS-3726S 24 口+2 槽可堆叠网管 10/100/1000M 以太网交
换机
②基本介绍:
DCS-3726S 是神州数码网络专为校园网互连设计的一款可网
管交换机,可堆叠使用提供很高的端口密度,适用于企业大中型网络组
网。
它具有 24 个 10/100Mbps 自适应 RJ-45 端口和 2 个模块扩展插槽(可
选插百兆光纤模块或千兆模块),可千兆或百兆上联至骨干网。
DCS-3726S
提供有端口
限速功能,使用灵活方便。
该交换机还可以下接
最多 24 台其他交换机实现级联以扩展端口数目。
它还支持 VLAN、组播、
优先级、端口聚合和端口镜像等实用网络功能,而且还提供了 18Gbps 的
背板带宽,实现了数据的全线速转发,消除了网络瓶颈,为多用户接入
提供了高性能的网络解决方案。
③主要特征:
★24 个 10/100Base-TX 端口
DCS-3726S 具有 24 个固定的 10/100Base-TX 端口。
这些端口均支持 Nway
标准,可支持 10/100Base-TX 自适应及全双工/半双工。
★2 个千兆端口
DCS-3726S 交换机前面板具有 2 个插槽,可选插 1 口百兆模块或千兆模块,
千兆模块可支持 1000Base-SX、1000Base-LX 和 1000Base-T 标准。
所有模
块支持流量控制和全双工,可处理大量数据。
千兆端口可将部门网络与
千兆主干网络连接起来,也可以连接高性能服务器,使得更多用户可以
同时访问。
★100Base-FX 模块
DCS-3726S 插槽可以选插 1 口 100Base-FX(SC)短波或长波模块,运行于
全双工模式下,可以应用于高电磁干扰或通信保密性要求高的场合,通
常应用于远距离传输。
★大型堆叠,多达 192 个 10/100Base-TX 端口
DCS-3726S 交换机最多可以堆叠 8 台设备,堆叠组最多可达 192 个
10/100Base-TX 端口,使得网络可以灵活扩展,并能够有效减少网络层次,
便于大型社区内大量用户的互联接入。
④技术参数
★端口聚合( Port Trunking)
DCS-3726S 支持端口聚合功能,同时支持 802.3ad 的标准。
可将 2/3/4 个
10/100Base-TX 端口聚合成一条干路,每条干路支持全双工模式,交换机
最多支持 6 组端口聚合。
★生成树( Spanning Tree)
DCS-3726S 支持多种生成树功能,如:
802.1D、802.1w、802.1s。
Spanning Tree 协议可使 LAN 自动检测并解决环
路问题,可提供链路的备份。
802.1D 为基本的 Spanning Tree 协议,缺省
操作模式是开启状态。
DCS-3726S 同时支持 802.1w 快速生成树模式,可
使收敛时间缩短至几秒内。
IEEE 802.1s 可使 IEEE Std 802.1Q 的 VLAN 加入
到多个生成树中,即提供 spanning tree per VLAN 的功能。
★虚拟网络( VLAN)
支持虚拟网络( VLAN)标准来控制广播域和网段流量,可以提高网络性
能、安全性和可管理性。
DCS-3726S 支持 IEEE 802.1q VLAN 标记,可基于
端口地址来划分 VLAN,最多 256 个 VLAN。
通过控制口或网管工作站可以
轻松完成结构和设备的添加、移动和更换。
可根据最大网络流量和网络
安全性来划分虚拟网络。
DCS-3726S 同时支持 GVRP 协议,可实现 VLAN
组成员动态注册,支持基于端口的 VLAN 划分管理方式,支持动态
VLAN。
生成树:
802.1D(STP)、802.1w(RSTP)、802.1s(MSTP)
★MAC 地址过滤:
自动学习 ; 动态和静态地址过滤
★管理功能 :
端口安全 ; Bootp、DHCP 客户 ; 配置文件上载 /下载
; TFTP 固件
升级
(3)桌面接入层设备
①设备名称:
神州数码 DCS-1024 普通交换机
②技术参数
★交换机类型:
普通交换机
★传输速率(Mbps):
10Mbps/100Mbps
★网络标准:
IEEE802.3 10BASE-T 以太网;IEEE802.3u 100BASE-TX 快速以
太网;IEEE802.3x 流量控制
★网络协议:
CSMA/CD
★接口介质:
10BASE-T:
2 对 3,4 或 5 类非屏蔽双绞线(UTP)
(≤100m); EIA/TIA-568 100 欧屏蔽双绞线(STP)(≤100m)。
100BASE-
TX:
2 对或 4 对 5 类非屏蔽双绞线(UTP)(≤100m); EIA/TIA-568 100
欧屏蔽双绞线(STP)(≤100m)
★传输模式:
全双工/半双工自适应
★其他技术参数:
数据传输速率:
以太网:
10Mbps(半双工);20Mbps(全
双工)
快速以太网:
100Mbps(半双工);200Mbps(全双工)
拓扑结构:
星型
MAC 地址表:
8K
最大包过滤/转发率:
每端口 14,880pps(10Mbps);每端口
148,800pps(100Mbps)
RAM 缓冲:
2.5M
2. 链路设计(包括综合布线详细说明)
(1)办公楼:
核心交换机 DCS-3926S 通过一个千兆口有 1000BASE-T4 对
超五类 STP 下连服务器,通过一个千兆口由 1000BASE-SX 多模光纤下连办
公楼各科室,教师办公室的工作组交换机,通过一个千兆口由 1000BASE-
LX 多模光纤下连信教中心的工作组交换机,通过一个百兆端口由
100BASE-FX 多模光纤下连教学楼工作组交换机,通过一个百兆端口由
100BASE-FX 多模光纤下连教工宿舍区工作组交换机。
(2)信教中心:
工作组交换机 DCS-3726S 通过超五类 STP 下连桌面接入
交换机 DCRS-1024。
DCRS-1024 通过超五类 UTP 接入 PC。
(3)教学楼:
工作组交换机 DCS-3726S通过 100BASE-FX 下连桌面接入
交换机 DCRS-1024。
DCRS-1024 通过超五类 UTP 接入摄象机和投影仪。
(4)教工宿舍区:
工作组交换机 DCS-3726S通过 100BASE-FX 下连桌面
接入交换机 DCRS-1024。
DCRS-1024 通过超五类 UTP 接入 PC。
3 路由设计
采用神州数码 DCR-2501V多协议模块化路由器,确保网络的安全性和可
靠性。
①设备名称:
DCR-2501V 多协议模块化路由器
②基本介绍:
神州数码 DCR-2501V 路由器是神州数码网络推出的固定配
置语音路由器,性能稳定可靠。
DCR-2501V 提供了 1 个 console 端口,1
个 10Base-T 以太网口,1 个辅助(AUX)端口,2 个高速广域网串口,2
路 FXS 语音端口;DCR-2501V 路由器支持常用的广域网协议和路由协议,
支持 VoIP 协议,支持内置强大的防火墙和 NAT 功能,为用户提供了更加
高速、安全、稳定可靠、方便的网际互连设备,非常适用于中小企业、
政府等远程分支机构语音和数据互联或 Internet 接入等。
③主要特征:
(DDR)功能;支持 IP Unnumbered,从属 IP 和 ARP 代理功能;支持多种
队列算法以保证服务质量(QoS)的提供;支持 Novell IPX 路由协议;支
持路由再分配功能;高稳定性;提供背对背(
Back-to-Back)连接方案,可用于检测路由器的功
能
④技术参数
★标准配置
▼ 1 个 10 Base-T 以太网口
▼2 个高速串口,支持 RS232、V.24、V.35、X.21、EIA530A 等电气标准
▼ 2 路 FXS 语音端口
▼1 个 Console 端口
▼1 个辅助(AUX)端口,可进行远程配置和拨号备份
▼内存:
DRAM 16 M,可扩充至 32M;Flash Memory 2 M,可扩充至 4M
▼CPU:
32 位 RISC 处理器(MPC860 50MHz)
★协议和标准
▼以太网接口标准:
IEEE802.3 10Base-T 标准
▼广域网接口标准:
RS232、V.24、V.35、X.21、EIA530A 等电气标准
▼支持 VoIP 标准:
支持 H.323 协议栈,支持G.729、G.723.1、G.711 等
多种语音编码压缩标准,支持 T.38 传真协议和 Bypass 方式的传真应用。
▼帧中继标准:
ITU-T Q933Annex A、ANSI T1.617Annex D、兼容 CISCO 标
准
▼广域网协议:
HDLC、PPP、MP、Frame-Relay(DTE/DCE)、X.25(DTE/DCE)
▼路由协议:
静态路由、RIP(包括 RIP v1、RIP v2)、OSPF、Novell IPX 路
由协议
▼用户安全认证协议:
PAP、CHAP、MS-CHAP、RADIUS、TACACS+
★管理维护
提供 Show、Ping、TraceRoute、Debug 等命令,用于察看、测试网络的可
达性,诊断网络故障;支持 Telnet 远程配置与管理;支持 SNMP、RMON
等网络管理协议;支持 HTTP 协议,用户可以通过 Web 界面对路由器进
行配置、维护
4. 安全设计
可启用标准或扩展访问控制列表进行数据报或数据段控制,在内外网口
设置一台 DCFW-1800S-L 小型企业级百兆防火墙保证整个网络抵御来自内,
外网的攻击。
①设备名称:
DCFW-1800S-L 小型企业级百兆防火墙
②基本介绍:
神州数码 DCFW-1800S-L 防火墙专为中小企业分支机构、
SOHO 办公、中小学校的网络而设计,以功能实用、接入灵活、配置方便
快捷、性能稳定为设计原则,使复杂的网络安全实施得以简化。
它充分
考虑中小型用户特点,支持 VLAN 环境、支持 PPPOE 与 DHCP,集成防火
墙、VPN,内容过滤,为中小企业的网络安全实现提供了经济的解决方案。
③主要特征:
★让中小型用户、分支机构享受无以伦比的性价比
★轻松部署,支持 PPPoE 协议,提供 ADSL/ISDN 接入方式
★设置简洁,通过浏览器可以轻松完成功能配置
★支持 DHCP 服务器功能,节省用户网络管理投资,支持无地址接入
★集成 VPN,可以进行隧道认证及数据加密,保护了企业机密同时降低
了沟通成本
★集成内容过滤、邮件过滤,防止非法信息、恶意脚本及垃圾邮件;集
成防拒绝服务网关,提供攻击检测及攻击抵御
★支持用户认证;支持应用层日志及加密日志存储,有效审计进出网络
的敏感信息
④技术参数
★工作模式:
路由、透明、NAT
★内容过滤:
URL、邮件、指令、ActiveX/Java, 诡异木马探测
★支持:
网络安全域结
构体系;PPPoE 协议;DHCPRelay,DHCP
Server;防拒绝服务网关;VPN 功能
★最大并发连接数:
300,000
★网络吞吐量:
150M
★VPN 隧道数:
10
★VPN 拨号用户:
10
★策略数:
300
5. 管理设计(包括详细管理软件说明)
①设备名称:
神州数码 LinkManager
②基本介绍:
LinkManager 网管系统是一套基于 Windows NT 平台的高度
集成、功能较完善、实用性强、方便易用的全中文用户界面网络管理系
统。
它是神州数码网络有限公司根据中国用户的实际需求,遵循 ISO 网络
管理模型的五大功能域(性能管理、配置管理、故障管理、计费管理及
安全管理)的架构,自行组织研发出来的一套具有自有知识产权的网管
系统。
LinkManager 具有既面向指定设备,又支持通用网络设备的"
垂直+水平"的管理特性。
也就是说,它能够对神州数码网络有限公
司推出的具有 SNMP 功能的网络设备提供齐全的设备管理和功能管理,
同时也能够良好地支持其他任何具有通用 SNMP 功能的网络设备,提供
整个网络的拓扑结构和常用网络管理信息。
③主要特征:
★提供两套视图-物理视图及逻辑视图,可满足操作员的不同需求:
▼对于希望了解当前网络拓扑逻辑结构的操作员,系统采用傻瓜方式,
以默认形式为用户自动绘制出整个网络的逻辑视图,不需用户干预。
▼对于只想掌控自己关心的网络设备的操作员,系统采用 DIY方式,支
持操作员按物理连接或自己随意的自组物理视图;
▼自动绘制出的网络拓扑图还可以通过另存为的方式供操作员修改;
★提供两种设备添加方式,增强操作员在自组物理视图时的 DIY 手段:
▼强大的自动发现功能,具有对第二层、第三层及应用层设备的自动识
别能力,能准确定位神州数码品牌的网络设备;
▼按操作员兴趣手动添加连入网络的设备,支持操作员选择不同的设备
类型;
★提供两种视图的层次结构组织,纹理清晰:
▼在自动方式中,逻辑视图的层次结构由各层子网、网络设备及其设备
特性构成;
▼ 在 DIY 方式中,物理视图的层次结构由子图、网络设备及其设备特性
构成;
★提供网络设备的图形标记,用作设备的属性、特征、状态标识:
▼各被管设备类型在视图中都拥有自己的属性标志图符;
▼ 各被管设备在视图中都拥有自己的三色状态标识;
▼各神州数码品牌的网络设备都拥有逼真的面板图,真实反映接口状况
及实际连接;
▼ 在两个视图中,各设备的图形标识具有一致性;
★友好的用户界面
▼周到的拓扑图发现方式适合操作员的不同需
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园网 VPN 规划 实现