网络规划师论文模板.docx
- 文档编号:7109192
- 上传时间:2023-01-18
- 格式:DOCX
- 页数:7
- 大小:25.81KB
网络规划师论文模板.docx
《网络规划师论文模板.docx》由会员分享,可在线阅读,更多相关《网络规划师论文模板.docx(7页珍藏版)》请在冰豆网上搜索。
网络规划师论文模板网络规划师论文模板摘要本文讨论了地性大学XX学院二期网络工程项目案的规划和设计。
该工程项目投入经费150万元,建设期为6个月。
在项目的建设过程中,本人有幸参与了整个建设案的规划、设计,并组织参与了整个项目的招标、投标工程建设等工作。
该工程是在原部局域网的基础上升级改建的,新增了220个信息点作为数字化校园专用信息点,采用双核心冗余的三层星型拓扑结构,并优化网络信息服务,建立了外网能直接安全地访问校网的数字化校园应用系统的vpn互连,充分实现了信息的共享。
整个项目包含项目性能和安全等规划、网络设备、网络布线、服务器、操作系统和ORACLE数据软件、施工、后期维护和验收。
本工程项目基本完工后就投入运行,顺利通过相关测试,并验收结项,得到了学校领导和教职工的一致好评。
最后针对本项目的一些规划设计工作中提出了今后需要进一步改进意见。
正文2010年10月,作为地性大学XX学院信息网络中心的一名技术骨干,我有幸参与了本单位数字化校园网络工程案的规划,设计,并组织参与了整个项目了招标、投标,工程建设,且承担了该网络的运维工作。
该网络工程建设的投资经费为150万元。
本单位目前已建成校园网是主干千兆链路,百兆到桌面。
校园网电信出口总带宽为2034Mb,电信的带宽的利用率在80%左右,流控设备acenet3000(30万)上限制学生的带宽限在1Mb、老师2Mb。
教科网出口总带宽是10Mb。
网通的带宽200Mb。
校园网现有千兆核心以太网交换机2台,千兆核心路由器2台,百兆路由器2台,千兆防火墙juniperSRX3400(66万一台)2台,一台防火墙负责外网ACL和NAT,一台防火墙负责网ACL,服务器部署在DMZ区,各种交换机120多台,流控设备acenet3000一台。
juniperSA4500(6万)的sslvpn设备一台,有2000用户并发量。
在学校图书馆大楼建成无线网络。
全校网络信息点8000个左右,用户数1万个左右,网络中心现有各种小型机和服务器30余台。
运行多种操作系统,承载了包括DNS、Web、Mail、Ftp、杀毒、计费、日志等基础服务和教务管理、网络教学平台、精品课程、外语在线教学等一大批服务教学和管理的应用系统。
目前已有的校园网拓扑结构如下:
PC接到接入交换机,接入交换机接到汇聚交换机,汇聚交换机接到核心交换机,核心交换机分别接到网、外网防火墙,外网防火墙接到路由器,路由器接到internet,其中防火墙上做NAT,路由通过光纤接口接到教科网、电信、网通,路由器采用策略路由把目的地址把ip包转发到相应的教科网、电信、网通;2个防火墙,一个是做网过滤,一个是做外网过滤,无线控制器旁路接在校园网核心交换机上。
这次的网络建设主要为数字化校园的统一身份认证、信息门户、公共数据三大平台和OA、一卡通系统的将来上线能为学校的教学、科研、管理等提供了畅通的网络性能和安全性、可靠性保障需求进行的。
数字化校园的各个应用系统分为、外网访问。
其建设的目标是在原部局域网的基础上升级改建,新增了220个信息点(信息点在学校新竣工的综合服务大楼,这些信息点都是数据化校园应用系统的主要访问信息点),能最大限度的保障网络系统的不间断运行,并优化网络信息服务,为学校各下属单位和校外重要教师实现vpn网络互连,实现相互间信息共享。
我在投入资金限制的前提下,在学校可以容忍的网络系统、风险和可以接受的成本之间作为取舍,充分利用现有的条件及成熟的技术,保护已有的网络投资,对学校网络进行了全面细致的规划,并且最大限度地发挥管理功效,尽可能全位地提高学校网络性能和安全水平。
本单位网络工程在建设案规划过程中我们主要紧系了如下几个面的策略选择。
综合布线案。
综合服务大楼是一幢6层的建筑物,每2个楼层一个设备间,每个设备间到管理的2层楼房的信息点距离均在90米以。
每位办公人员均有一台计算机。
二期网络工程要求每台计算机均能访问internet,同时要求与校已有的网络互通。
领导层,中层干部等群体将来也会在这里大楼中使用数字化校园系统中的数据查询功能,并且一卡通的卡务中心也设置在此大楼的一楼。
基于本单位的现状,首先在办公室楼进行结构化综合布线工程,以利于今后信息点的扩展。
采用集中走线的案,使用超5类非屏蔽双绞线,100Mbps带宽。
按照GB50311-2007综合布线工程设计规。
对重要的信息点到接入层交换机,采用2条超5类非屏蔽双绞线连接到接入交换机,一条用来正常工作,另一条作为冷备份。
接入交换机到汇聚交换机采用多条链路捆绑技术,从而达到带宽倍增,均衡网络流量、增加链路可靠性等目的。
接入交换机到核心交换机分别在两幢大楼中,且它们的距离超过550米,采用12芯的长飞单模光纤连接(10元/米)(综合比较了长飞、富通和光意等厂家的性价比),它比双绞线具有抗电磁干扰和雷击等作用,比较可靠安全,性能也好,其中每2芯分别先连接到2个互备的数字化校园核心交换机,其他的8芯作为冷备,极大的增加了汇聚到核心交换机的链路可靠性。
平时用光维光功率计和fluke分别检测、维护光纤和双绞线的故障。
我们的图书馆有5层,每层60*20平米左右,一层部署3个AP,因为AP实际信号围比理论要小很多,依据实际测量一个AP的实际围在20米左右,会议室和阅览器单独部署AP,共部署18台AP。
瘦AP通过接入交换机的POE供电,瘦AP通过双绞线连接到接入层交换机。
网络拓扑结构逻辑结构设计案。
数字化校园的网络上运行着学校的所有公文数据和财务数据和学生老师教学科研数据,它的可靠运行关系到学校的正常运转。
满足受整体经费限制和将来网络扩展、网络信息安全、可靠传输要求高的目前需要,为了使已有的网络和正在建设的数字化校园的网络最大限度的不相互干扰。
在物理层上,数字化校园的核心网络不重用已有的核心交换机。
在本单位此次的网络工程逻辑结构设计时,采用双核心冗余的三层星型拓扑结构,双核心交换机之间采用MSTP协议进行双链路连接,配置VRRP协议设置虚拟网关,在数据链路层和网络层增加了网络的可靠性,以及在数据链路层的VLAN上实现了不同VLAN的数据包流量的负载均衡,不重用已有的核心交换机,在硬件上使数字化校园的网络和原有的校园网络在核心层上的分离,充分保障了数字化校园应用系统的网络和整个校园网络的可靠性。
所有数字化校园系统的服务器通过部防火墙都接在这两台核心交换机上。
已有的网络架构中为减少网络中各部分的相关性,便于以后网络的扩展包括这次的数字换校园专用网络的实施及管理,在网络的构建中,从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次,以有的网络架构的扩展性很强,这次的数字化校园网络工程项目充分建立在以有网络的扩展性上。
核心层负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发,核心层是计算机网络的主干部分,计算机网络的这个分层结构中不应该被牵扯到费力的数据包操作或者任减慢数据交换的处理。
在划分计算机网络逻辑功能时,应该避免在核心层中使用像访问控制列表和数据包过滤这类的功能。
核心层主要负责以下的工作:
提供交换区块之间的连接;提供到其他区块(如服务器区块)的访问;尽可能快地交换数据帧或者数据包。
汇聚层负责将各种接入业务集中起来,除了进行局部数据的交换、转发以外,通过高速接口将数据输送到核心层去,在更大的围进行数据的路由以及处理和ACL规则过滤,汇聚层是计算机网络接入层和核心层之间的分界点,帮助定义和区分计算机网络的核心层。
接入层设备提供各种标准接口将数据接入到网络中,完成基本的业务系统之间的隔离和安全性控制、认证管理等功能,接入层能够通过过滤或访问控制列表提供对用户流量的进一步控制。
在局域网络环境中,接入层主要侧重于通过低成本,高端口密度的设备提供服务功能,接入层的主要功能如下:
为最终网络用户提供计算机网络的接入端口;为计算机网络提供交换的带宽;提供计算机网络的第二层服务,如基于接口或Mac地址的Vlan成员资格和数据流过滤。
这次的数字化校园网络工程的整体网络拓扑结构如下:
新大楼的信息点接到接入交换机,接入交换机接到汇聚交换机,汇聚交换机直接接到数字化校园的核心交换机,数字化校园的核心交换机连接到校园网的核心交换机,数字化校园的网服务器通过数字化校园的核心交换机连接到网防火墙,网防火墙再连接到数字换校园的核心交换机;数字化校园的对外网提供服务的服务器通过数字化校园的核心交换机连接到校网的核心交换机。
其中当新大楼的信息点访问数字化校园的网应用系统时,数据包从新大楼接入交换机到新大楼汇聚交换机,再直接到数字化校园的核心交换机,再到防火墙,再到数字化校园应用系统;而已有的学校其他信息点访问数字化校园应用系统时,数据包从已有的接入交换机,到已有的汇聚交换机,再到校核心交换机,再到数字化校园核心交换机,再到防火墙,再到数字化校园应用系统。
这样充分的利用了已有的校网结构,又增强了数字化校园在物理层上的可靠性。
网络规划设计中碰到的问题及解决:
由于受资金的限制,在规划案中的链路和应用负载均衡器是个权衡的重点,一台这么的设备需要几十万,有了这么一台的商业设备,出口的链路和应用系统的性能和可靠性会大幅度的提高,可是以目前的130万元的资金投入只能满足基本的网络设备、网络信息点的布线,服务器和软件的采购、施工。
考虑到目前学校的数字化校园的应用系统也是逐步上线,上线后也是先向教师开放,再向学生开放的步伐,考虑在出口线路的单点故障上采用策略陆由和冷备链路的式,在服务器应用系统的单点故障上采用开源软件实现应用的负载均衡目的。
等学校的数字化校园应用系统的应用到了一定的规模,以及再有资金投入的情况下,再购买像深信服这样的负载均衡器。
确定了分二步走的目标。
网络设备选择:
在同类产品中综合比较了h3c,cisco,juniper这3个市场上的主流厂家的交换机,考虑性价比以及将来网络的扩展和与现有网络的充分兼容(现有网络的设备主要以H3C为主)、目前的需求和以后技术支持,选择了目前H3C的主流产品,主流产品不容易被淘汰。
核心交换机采用H3C的核心设备7510E(5万),支持ipv4/ipv6,支持双电源冗余和双主控交换板,支持24口千兆光口板,以便于今后网络扩建时更多的数字化校园专用的汇聚层交换机的接入,并且有10个业务槽位数量。
具有良好的可扩展性和可靠性。
该核心交换机放置在网络中心机房,选购核心交换机2台。
汇聚层设备采用H3C的S5500-28F-EI(2.2万),支持ipv4/ipv6,支持双电源,支持24个千兆光口,还可以插万兆扩展板,具有良好的可扩展性和可靠性。
选购汇聚交换机1台。
接入层交换机采用H3C的S3100V2(2000元),每台有24个以太网口,支持ipv4/ipv6,支持POE供电,共部署10台。
供以后此大楼部署无线AP的需要。
由于办公室仅有6层,汇聚交换机到最远点接入层交换机的距离不超过90m,在每台S3100V2交换机的2个上行的千兆口上使用超5类utp两链路捆绑上连至S5500-28F-EI交换机。
对于图书馆的无线用户的接入,采用radius和ldap结合的用户名、密码认证式,设备选用采用了锐捷的TrpezeMP-372瘦AP和TrpezeMX-200无线控制器。
AP采用双POE以太网口供电,在物理层的部署上:
PC机无线网卡接到瘦AP,瘦AP再接到该楼层的接入交换机,接入交换机连接到该楼层汇聚交换机,汇聚交换机连接到学校的核心交换机,而无线控制器也是接到核心交换机,无线控制器通过瘦AP的管理IP地址管理瘦AP,在无线控制器上设置相应的SSID等参数。
用户的IP数据包先到AP,再到接入交换机,再到汇聚交换机,再到核心交换机转发到相应的目的网络。
(2008年5月建成无线网络)。
vlan和ip地址规划。
本单位二期网络工程采用基于交换机端口的式按部门划分vlan,并为服务器,网络管理等应用划分了专门的vlan。
尽可能将IP子网划分到同一栋建筑部,避免同一个IP子网跨越多个建筑。
既避免将VLAN跨越多个汇聚区。
在同一幢建筑部再根据功能划分子网,比如划分为设备管理子网、普通用户接入子网、应用系统子网。
比如,10.18.0.0/24为服务器和虚拟机的管理地址分别划分单独的vlan,便虚拟机的漂移和vlan的集中管理,教学区为10.17.0.0/16.学生公寓为10.19.0.0/16。
一卡通系统为10.3.0.0/16。
同时预留地址段,整体上必须保留一定量的预留,在每段上也应有一定量的预留,以每幢、每层或每楼道为单位的VLAN,给每个VLAN留足IP,特别是办公楼,考虑机器增长的情况。
由于整个学校的网络工程拓扑结构复杂程度不高,因此部网络没有使用rip或ospf等动态路由协议,只是把每个信息点配置成静态ip,记录每个信息点的静态ip地址以及相应的接入交换机的位置和端口,便于及时排除网络故障,便维护。
通过s8512-B交换机实现不同vlan间的数据通信。
对于无线用户采用10.25.0.0/24,采用DHCP式动态地给用户分配ip地址,因用户都是随机接入AP进入校园网或访问外网。
Internet接入式:
对于校的信息点,目前学校的所有公网地址包括从教科网和从中国电信申请到的IP地址,从教科网申请到24个C类地址。
从中国电信和网通申请到32个IP,除去子网号、广播地址及电信端网关地址可用IP数为29个。
这么公网地址用于电信、教科网和网通接入的地址,NAT的公网地址池在防火墙juniperSRX3400上配置,不作为校园网部主机地址分配,比如图书馆机房。
私网地址段即RFC1918中定义的用于企业部使用的IP地址。
通过使用私有IP地址段解决申请到的IP地址不足的问题,在Internet接入设备上进行NAT以实现校私有地址段访问外部网络的目的。
对于需要访问外网的信息点,重用已有的H3C的SR66系列路由器,该款设备支持Ipv6路由,双电源和双路由引擎,三层路由板,按流路由功能,采用光纤专线式接入教科网、电信网和网通,并且在路由器上配置策略路由把相应的数据包路由到相应的运营商网络上,并且分别提供一条链路备份,增加外网访问的可靠性。
校的私网地址通过NAT地址池转换访问外网。
网络安全。
考虑网络系统运维支持等因素重用已有的网络环境,在客户机和服务器上分别安装相应版本防病毒软件,及时更新病毒库和杀毒引擎,在服务器上编写网络登陆脚本,实现客户端病毒库和杀毒软件引擎的自动派送安装。
在网的防火墙上:
a)只允有权限的网用户访问系统相应端口。
B)只允信息技术中心的维护地址PING、TELNET服务器。
C)其它服务及端口全部禁止。
D)只允网网络通过。
在外网防火墙上:
只允外部网络客户访问DMZ区域的服务等对外开放的服务,其他都禁止。
其中网防火墙主要保护网的服务器,因为安全主要是来自网。
外放防火墙主要是设置DMZ,控制外网用户访问对外网开放的服务。
数字化校园的对外网提供服务的系统通过数字化校园的核心交换机连接在外网防火墙的DMZ区,只能网访问的服务器通过数字化校园的核心交换机连接在网防火墙。
对于学校的每个部门的信息员,登记每个信息人员办公的信息点的ip,需要访问的服务器的web服务网址和端口号,在网的防火墙上的规则中只允规定的信息点访问规定的服务器和端口号,其他禁止。
在接入交换机上的端口上实现只允这个端口下联的计算机的mac地址通过,实现把ip地址和mac绑定,交换机其他上未使用的端口都shutdown。
在服务器的操作系统层设置tcp连接的时间,tcp窗口大小,icmp包速率,并只开启有用的端口。
在汇聚交换机上做ACL路由策略,过滤了不必要的ip数据包。
平时在核心交换机上做端口映射,把通过核心交换机的所有流量映射到相应的服务器,并在服务器上用wireshark对所有的数据包进行分析,保证校园网络ip数据包的干净,特别能发现局域网中的ARP广播病毒。
并保存近3年的网络日志和应用系统的服务日志。
对于B/S系统的关键业务数据采用HTTPS协议传输。
校公用计算机上限制共享目录及读写权限的使用;限制网上软件的下载和禁用盗版软件;先查毒后使用等等。
所有的应用系统需要身份认证后才能登陆系统在给予它赋予相应的访问权限。
服务器上设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制,非法访问者登陆服务器的错误登陆次数限制。
定期扫描服务器的漏洞。
远程访问的接入。
数字化校园的一些应用系统只允网用户访问,可是本校会有好多师生会在校外访问网系统的需求,为了解决此问题,采用已有的juniperSA4500sslvpn设备,sslvpn不需要安装客户端就是通过web浏览器的合法用户名和密码登陆到网,操作相对简单便。
通过它实现了校外用户访问网的一条安全的数据通道,使外网用户访问数字化校园应用系统,以实现充分的信息共享。
网络管理面:
为了便网络设备的管理对网络设备进行统一的命名,路由器命名:
Rxxxxxx.ip.tzc.edu.,其中xxxxxx为数字,取设备管理地址ip的后2段,不足3位,在前面补0,如10.10.10.5:
R010005.tzc.edu.。
交换机命名:
Sxxxxxx.tzc.edu.。
数据存储设备(交换机和存储)命名:
Dxxxxxx.ip.tzc.edu.。
其他设备命名:
Oxxxxxx.ip.tzc.edu.,如UPS管理地址。
设备管理地址:
设为Loopback地址。
VLAN地址:
管理VLAN用,网关。
接口地址:
链路点对点地址,互连用。
各个网络设备和服务器采用SNMP协议管理,提高计算机网络的可管理性。
应用服务器部署:
采用5台DELLR900(9万一台)服务器,一台作为ORACLE服务器,其他4台分为2组,每组2台服务器,其中每组2台服务器做HA,2组服务器做负载均衡,在服务器上部署虚拟机,提高了WEB服务器的可靠性和性能。
由于目前还没有存储,所有的服务器的硬盘RAID卡用4块硬盘做RAID5,1块作为热备。
数据库文件每天要增量备份,一做全备。
充分提高了系统的可靠性和容灾性。
所有的服务器采用UPS供电,其中UPS连接2路市电,这2路的主备市电采用斯耐德ATS自动电源转换系统。
极大的保障了服务器的可靠运行。
数字化校园应用系统的特点是网用户访问网ip相比教科网用户和电信和网通用户多,依据20/80原理,一个web服务分为2台网ip虚拟机、1台教科网ip虚拟机、1台电信ip虚拟机、1台网通ip虚拟机。
采用DNS多view、网络带宽的三角传输机制和虚拟机技术结合。
此web服务器共需要5台虚拟机和5个ip地址。
DNS采用多view机制,即要是客户端是校用户,则DNS返回给客户端校网ip地址;要是客户端是教科网地址,返回给客户端教科网ip地址;要是客户端是电信地址,返回给客户端电信地址;要是客户端是网通地址,返回给客户端网通地址;这样很好的解决了电信网、教科网和网通之间的互联互通问题。
也解决了一个公网地址的访问拥塞问题。
同时采用DNS轮询机制,配置了2个校vip地址。
比如当校客户端请求此WEB系统时,则DNS轮询的把这校的vip地址分配给客户端,这样极大的提高服务器部署的性能扩展。
同时在网络数据包的请求和相应上采用三角传输机制,基于负载均衡器(本项目采用开源的负载均衡软件像haproxy搭建的服务器)的三角传输,由于B/S的请求和应答流量很不平衡,应答的流量要远大于B/S请求。
三角传输,在每个web服务器的实际ip中配置loopback地址,并禁止loopback的ARP回应,并把loopback的ip地址设置为负载均衡器的vip地址。
这样当负载均衡器把请求包转发给实际的web服务器时,web服务器直接把响应数据包返回给客户端,而不需要经过负载均衡器。
这样子避免了传统的负载均衡器的流量均等情况,即当客户端向负载均衡器的vip发送web请求,vip把数据包转发给web服务器,web服务器回答请求,回答数据包经过vip向客户端响应请求。
这样子部署web服务器充分利用了网络带宽和服务器的性能。
虚拟机技术的运用充分降低了这种架构的成本。
在校网出口流控设备acenet3000配置需要外网访问的数字化校园web服务带宽,能充分保障外网访问此系统的带宽要求。
软件平台的选择。
考虑到学校的规模,以及系统安全性、系统的并发性、稳定性、易维护性,因此选择redhat企业版(1.5万)作为服务器的网络操作系统,操作系统的核中优化了tcp连接数和超时机制,并且通过iptable在服务器上只开启有用端口,其他禁止。
oracle9i(3.5万)作为数据库平台。
并使用weblogic作为web服务器平台,客户机大多数采用windows系统,IE系列作为客户浏览平台。
网络测试。
本单位的数字化校园网络工程项目于2011年5月基本完工并投入试运行,与2011年6月15日验收通过,期间聘请了第三测试机构对结构化布线工程的光线及双绞线性能参数,网络流量等进行了相关测试。
本工程项目加快了学校部信息和校公文等的流转速度,通过外网能办公加快了信息的时效性,得到了学校领导及职工的好评。
但是,由于单位的性质,规模等多局限性(如入经费的投入,本身的技术水平,网络规划能力等),使本项目的一些规划设计工作施行了简单使用,低廉的策略。
而网络工程建设是一项系统工程,不仅需要结合近期目标考虑其实用性,安全性,易用性,也要为系统的进一步发展和扩展留有余地,还应具有良好的开放性,较高的可靠性,先进性。
网络安全制度:
要使全校师生充分认识加强校园网络管理的重要性和紧迫性,健全完善校园网络管理的体制和机制,切实加强对校园网络管理工作的领导,明确相关职能部门职责,强化责任意识,建立校园网建设工作会议机制和应用系统评比机制,加强校园网络管理研究工作,建立网络信息库,完善网络信息报送与发布制度,实行网络信息审批备案制度,加强网络信息管理的技术防控,健全和完善网络舆情预警和干预制度,强化网络安全责任制度,加强对校园及边网络环境的综合治理。
制定网络安全管理办法,进行网络安全集中管理。
信息技术网管人员的责任制:
1)多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核。
2)任期有限原则,技术人员不定期地轮岗。
3)职责分离原则,非本岗人员不得掌握用户、密码等关键信息。
4)学校进行网络改造案必须经过中心网络安全小组审批后可实施。
5)增加互访机器时须经过中心批准并进行存取控制设置后可运行。
6)及时升级系统软件补丁,关闭不用的服务和端口等等。
网络日常维护管理:
平时维护的时候做好维护记录,这个记录里详细记录了故障以及故障的解决办法,为以后的维护提供更好的便。
在部门中建立起网络设备日常运维手册和制度,以及网络设备故障巡检记录。
这样当故障第2此出现的时候,能够快速的恢复、排除系统故障,。
比如一次由于核心交换机的模块松动,导致整个校园网上数据包丢失很重,并且用wireshark捕获ip数据包发现ARP广播包很多,一直以为是有病毒在作怪,可是一直找不到病毒源,最后只能在半夜里学校几乎没有人上网的时候,把核心交换机上端口一个个手工拔除了,可是拔除了后,整个校园网的ARP包还是很多并且ping包的时候丢包率也很高。
在病毒找不到的情况下,我们反思了好久,最后把整个核心交换机的物理部件也仔细检查了下,发现是电口板卡有松动,最后插紧了
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 规划 论文 模板