ABC校园网络建设方案
ABC campus network construction scheme
二O一0年一月
摘 要
随着计算机网络通信技术和Interne的飞速发展,基于因特网的计算机网上远程教学已经开始成为一种全新的教学手段,并且越来越受到人们的关注。由于网上教学具有时效性、共享性、交互性和个别化等诸多特点,因此它有着传统教学模式无法比拟的优点,它创造了一种全新的教学模式,打破了传统教学模式在时间、空间上的限制,采用了先进的教学手段和教学方法,可以大大提高教学效率和教学效果,使教学活动上了一个新台阶。蓬勃兴起的网上教育以其全新的高科技教学手段为解决我国当前资源严重短缺而教育需求日益扩大的矛盾提供了一种投资少、见效快、优质高效的解决方案,它必将成为我国未来教育发展的重要方向。
本文依据设计出来的计算机网络组成原理教学网站,做了全面系统的介绍。全文共六章,按照前期的开发顺序,从系统分析与研究开始,逐一对开发过程做了全面的介绍。在详细设计这一章中的系统实现部分省去了烦琐的程序代码,用比较直观易读的流程图来表示,增强了文章的可读性。
关键字:网络拓扑图,系统硬件,计算机网络组成原理
ABC university campus network construction
Abstract
With the computer network communication technology and the rapid development of Internet and Internet-based computer online distance learning has started to become a new teaching methods, and more and more people's attention. As online teaching is time-sensitive, sharing, interactive and individual, and many other features, it has a traditional teaching mode incomparable advantages, it has created a new teaching model, breaking the traditional teaching model in terms of time, Space constraints on the use of advanced teaching methods and teaching methods, can greatly improve teaching efficiency and effectiveness of teaching, so that teaching and learning activities on a new level. The rise of online education flourishing in its new high-tech teaching methods to solve the current serious shortage of resources and educational needs of the growing contradictions provides a small investment, quick, quality and efficient solutions, it will become China's future education The important direction of development.
This paper designed based on the principle of teaching computer site, and done a comprehensive and systematic introduction. The full text of a total of six chapters, in accordance with the development of pre-order, starting from system analysis and research, one by one of the development process to do a comprehensive introduction. In this chapter, the detailed design of the system to achieve some of eliminating the cumbersome procedure code, a more intuitive accessibility to the flow chart that enhance the readability of the article.
Keyword:Network topology, The system's hardware, The computer network composition principle
目录
摘 要............................................................ I Abstract.......................................................... III 引言................................................................ 1 1.
校园需求分析................................................. 2 1.1 背景介绍 .................................................... 2 1.2 校园网的建设目标. ........................................... 2 1.3 校园网需求分析 .............................................. 2
1.3.1 业务需求分析........................................... 2 1.3.2 管理需求分析........................................... 3 1.3.3 安全性需求分析......................................... 4 1.4 校园网基本功能. ............................................. 5 2.
校园网设计原则............................................... 6 2.1 网络设计基本原则 ............................................ 6
2.1 模块化、层次化的设计原则................................. 7 2.1.1 模块化设计............................................. 7 2.1.2 层次化的设计........................................... 8 2.2标准化、规范化原则.......................................... 10
2.2.1标准化原则 ............................................ 10 2.2.2规范化原则 ............................................ 10 2.3校园网的设计原则............................................ 10 3.
校园网设计与实现............................................ 12 3.1 校园平面图 ................................................. 12 3.2 网络拓扑图 ................................................. 12 3.3 方案说明 ................................................... 13 4.
校园网系统配置.............................................. 16 4.1 系统硬件配置 ............................................... 16
4.1.1 主机系统(服务器)设计................................ 16 4.1.2 网络设备分析.......................................... 16 4.2 软件配置 ................................................... 29
4.2.1 服务质量(QoS)与锐捷68系列交换机.................... 29 4.2.2 锐捷STAR-VIEW网络管理软件............................ 30 4.3 系统软件成本分析 ........................................... 30 5.
网络备选方案及评价.......................................... 32 5.1 解决方案 ................................................... 32
5.1.1 校园网出口解决方案.................................... 32 5.1.2 万兆核心环网解决方案.................................. 32 5.1.3 宿舍网解决方案........................................ 33 5.1.4 办公网解决方案........................................ 33 5.2 用户上网方案 ............................................... 34
5.2.1 访问校园网............................................ 34 5.2.2 CERNet................................................ 34 5.2.3 INTERNET.............................................. 34 5.3 地址规划和路由设计 ......................................... 34
5.3.1 地址规划.............................................. 34 5.3.2 路由设计.............................................. 35 5.4 安全与流量控制 ............................................. 36
5.4.1 网络安全控制.......................................... 36 5.4.2 VLAN需求 ............................................. 36 5.4.3 VLAN划分设计 ......................................... 37 5.4.4 网络异常流量监测技术.................................. 38 5.5 无线网络 ................................................... 40 5.6 IPTV ....................................................... 40
5.6.1 IPTV需求 ............................................. 40 5.6.2 Mbit/s带宽。 ......................................... 41 5.6.3 IPTV设计 ............................................. 43
6.
校园网络建设评价............................................ 45 6.1 方案特点与可行性分析 ....................................... 45
6.1.1 高带宽、高性能........................................ 45 6.1.2 网络管理.............................................. 45 6.1.3 完善的安全机制........................................ 48 6.1.4 易维护................................................ 50 6.1.5 高可靠性.............................................. 50 6.1.6 低成本、可扩展性强.................................... 50 6.1.7 严格的QoS保证........................................ 50
总结与致谢......................................................... 52 参考文献........................................................... 53
引言
在当今信息产业蓬勃发展的今天,信息已经成为一种关键性的战略资源,计算机技术在人们的生活中已经起到了越来越重要的作用。校园作为知识基地和人才基地,它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上、教育上要力争上游,更应在管理上上一个台阶。利用各种成熟的技术带动学校各单位、各部门的电脑化管理,通过校园信息网,将各处的电脑联成一个数据网,实现各类数据的统一性和规范性;教职员工和学生可共享各种信息,极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等,从而有效地提高学校的现代化管理水平和教学质量,增强学生学习的积极性、主动性,为信息时代培育出高素质的人才。在学校中建立计算机网络已经是十分迫切的需要:
计算机和网络已经成为各行各业在工作中的工具,是否掌握计算机的技术和应用,已经成为衡量一个从业者是否合格的重要标识。作为培养人才的基地,在校园中就让学生接触计算机、计算机网络,对于培养合格的人才无疑是十分重要的;
在现在这个知识爆炸的社会中,对于合格人才的要求越来越多,需要他们掌握大量的各类知识,在教育中需要提高教学效率。现在出现了许多新的教学方法,以各种方式提高学生对知识的掌握速度,在与前人同样的时间内,掌握比前人更多的知识,而这些教学方法,需要利用计算机网络才能实现;
高等院校除了作为人才培养基地外,也是重要的科研基地,每年有大量的课题在高校中进行,研究人员需要收集资料、与同行交流研究心得等,促使研究的进展,作为全球最大的信息源和交流方式,计算机网络正是最合适的选择;
学校、尤其是高等学校,作为一个实体都有比较大的规模,人员繁多,各类事务也非常多,但经费一般比较紧张,比其他行业更需要提高管理效率,在日常管理中节约经费。在校园内组建计算机网络,在服务教学、科研的同时,也可以大大提高管理水平和效率。虽然在组建时需要花费一些费用,但与节省的费用相比,依然可以接受。
随着计算机技术、网络技术的发展,网络设备的价格不断下降;同时国家各级政府对于教育的投入不断增加,大量计算机进入了校园,组建校园网已是十分迫切及可行性非常高的工作。
1. 校园需求分析
1.1 背景介绍
校园面积为20平方公里,共有10个系部,15幢大楼。学校15栋建筑要纳入局域网,其中原有计算机教室将并入整个校园网络。根据校方要求,总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到行政楼、图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在图书馆的一层,图书馆、实验楼和教学楼为信息点密集区。投入为500万,不包括计算机设备,要求网络建设完成后,能满足校园信息化需要。
1.2 校园网的建设目标.
校园网网络建设应体现出网络的优越性能,还需体现在应用的实用性、网络的安全性、易于管理性和未来的可扩展性。要适应未来网络的扩展和拓扑结构的变化。能为特定的师生用户或用户组提供访问路径。保证网络能不间断地运行。当网络扩大和应用增加时,变化的网络结构要能应付相应的带宽要求。使用频率较高的应用能够支持网上大多数的师生用户。能合理地分配用户对网内、网外的信息流量。支持较多的网络协议,扩大网络的应用范围。支持IP的单点传送和多点广播数据流。所以分层的设计功能及星型、树型和交叉型的拓扑结构应给予足够的重视。
我们要建成一个具有高可靠性和开放性的校园网络,它应支持流行的SNMP等网络管理协议;采用Internet上的标准协议--TCP/IP协议,提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务,实现与国际互联网的完全接轨;同时它还应具有支持通用大型数据库的功能,支持多种协议,具有良好的软件支持;采用模块化结构设计,容易升级;还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。
并依据本校建网资金的安排,在听取校内外专家意见的基础上,结合本校教学科研的内容及其发展的需要,制定一个在未来十年中的近期、中期及长期的建设规划,以保持网络建设的延续性,并保护先前的投资(含各种硬件、软件及信息资源),能融入不断涌现的新技术和新应用。
1.3 校园网需求分析
1.3.1 业务需求分析.
校园网所服务的对象有以下几类:行政办公、图书管理、教师以及学生。他们各自对于校园网都有不同的需求。
行政办公人员需要实现办公自动化,实现信息的即时交互与文件资料的归档整理,提高工作效率。
图书管理人员有大量的图书信息以及其借阅情况需要登记、整理、归档。同时学校也要建成电子图书馆,以方便师生查阅资料,续借或查询图书。实现纸介资料和电子资料的同步应用。
教师主要要求的是资源共享和科研交流。所以我们要保证教室和实验室接入网络实现教学要求。
校园网覆盖了宿舍区,不论是学习还是生活学生都离不开网络。并且上网时间都较为集中。所以建成的网络要保证1000人能够同时浏览网页,保证网络稳定,下载迅速。 1.3.2 管理需求分析.
校园网是园区局域网,其网络的管理需求可以分成两个部分来看,一、网络管理应具备的特点二、网络管理的要求。这样可以更清晰地分析校园网络的管理和教育信息化的一些需求。
1. 网络管理的特点应该具有以下的特点:
(1) 安全性及可靠性
安全可靠毋庸置疑是指防止数据在内部和外部的攻击,这就要求要有安全、稳定的网络系统,这样才可以在校园内部达到数据通信的连贯及高速运作,而且这不仅仅是校园网络的特点,也是所有网络管理的特点。
(2) 可管理性及先进性
因为数据库数据的增加就必须要求网络系统具有可扩展性,而且当网络系统出现故障时,也可方便优化系统,使系统操作简易,这也是所说的先进性,能容易得扩展,维护及保持设计配置的灵活性。
(3) 信息结构的多样性及智能化
多样性即是指可提供WWW服务、电子邮件服务 、FTP服务等信息结构的种类繁多,而且现今的各大厂商努力的方向就是网络管理的智能化和自动化,并且还开发很多网络管理的软件来方便更好的管理数据库及网络通信。
(4) 经济实用性
介于学校对网络建设的投资有限,因此必须保持性价比的高度,节省资源的使用也不只是在网络建设使用方面了,校园网尽量做到可用资源最大化也是为广大教师学生谋福利。
2. 网络管理的要求:
校园网络建设的管理既然有那么多的特点,就会有相应的要求,而其要求就是所说的要面对的一些问题,所以需要去解决,以下是网络管理要求解决的问题:
(1) 安全管理:对所有网络设备端口的监视和管理
(2) 配置管理:对所有网络设备的远地配置和控制 (3) 故障管理:整个网络的故障检测,故障自动报警功能 (4) 性能管理:整个网络性能的统计和分析报告
其实,还可以通过internet进行计费设置等等没有罗列出来,但却网络管理中要注意并使用的一些功能。 1.3.3 安全性需求分析.
众所周知,许多校园网是从局域网发展来的,由于意识与资金方面的原因,它们在安全方面往往没有太多的设置,包括一些高校在内,常常只是在内部网与互联网之间放一个防火墙就了事了,甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。因此,校园网的网络安全需求是全方位的。 其体现在:
1. 网络病毒的防范。
在网络中,病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染。所以,防止计算机病毒是计算机网络安全工作的重要环节。对于以前的单机版的杀毒软件已经不能解决网络中大肆蔓延的病毒,这样就存在着交叉感染的问题。病毒的表现形式不单单是破坏了本机的数据文件,而且有的病毒使得机器向网络上发大量的数据包,堵塞网络带宽,不仅仅耽误了自己的工作,还影响到周围的人,甚至造成校园网交换机的死机、网络的瘫痪。
2. 网络安全隔离。
网络和网络之间互联,同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以,网络之间进行有效的安全隔离是必须的。除了防止外来黑客攻击之外,校园网内部的访问控制也是极重要的一个方面。大量研究表明,网络安全问题只有30%来自外部攻击,而70%的问题来自内部。划分vlan和ip子网,在ip子网间设置访问控制表是解决内部安全问题的一个重要方法。
3. 网络保护和监控措施。
在不影响网络正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。
4. 有害信息过滤。
网络信息部的邮件服务器和BBS服务器基本上都实现了不良有害违法信息的过滤功能,使得校园对外的媒介正常。
5. 数据备份和恢复。
设备可以替换,数据一旦被破坏或丢失,其损失几乎可以用灾难来衡量。所以,做一套完整的数据备份和恢复措施是校园网迫切需要的。
6. 用户自我保护。
入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
1.4 校园网基本功能.
连接校内所有教学楼、实验室、办公楼中的PC机,使其形成联网。 同时支持约1000用户浏览Internet。
提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:
实现学生档案、教师人事、财务等管理手段的现代化。包括学生的学籍管理、自然情况、学生的成绩评定,及在相应群体中的位次确定;教师的人事档案、业务考核、工作、继续教育等等
提供校内各个管理机构的办公自动化。
提供图书,文献查询与检索服务,增强校图书馆信息自动化能力。 通过教师电子备课系统、计算机辅助教学系统、视频点播系统进行高质量、高效率的教学工作。
提供CAI教学和科研的便利条件。
可在网上查询资料,进行最广泛的经验交流,随时了解全国教科研的最新动态。
网上可进行科学探索,利用网上资源开展丰富多彩的课外活动,进行行科学实践、撰写科学论文,培养的学生的创新意识,为培养学生的个性特长提供了广阔的空间。
2. 校园网设计原则
2.1 网络设计基本原则
校园网建设是一项大型网络工程,各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统,为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园,网络设计一般应遵循下列5个基本原则:
1. 可靠性和高性能
网络必须是可靠的,包括网元级的可靠性,如引擎、风扇、单板、总计等;以及网络级的可靠性,如路由、交换的汇聚,链路冗余,负载均衡等。网络必须具有足够高的性能,满足业务的需要。
2. 实用性和经济性
由于学校资金并不是很充足,不可能一步到位。另一方面,学校的应用水平较参差不齐,某些系统即使安装了也利用不起来,因此,在校园网的建设过程中,系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。
3. 可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
4. 易管理、易维护
由于校园骨干网络系统规模庞大,应用丰富而复杂,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。
5. 先进性、成熟性
当前计算机网络技术发展很快,设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备,才能确保校园网络能够适应将来网络技术发展的需要,保证在未来若干年内占主导地位。
6. 安全性、保密性
网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务,要求能进行灵活有效的安全控制,同时还应支持虚拟专网,以提供多层次的安全选择。 在系统设计中,既考虑信息资源的充分共享,更要
注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
7. 灵活性、综合性
通过采用结构化、模块化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。以满足系统目标与功能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二次开发与移植。
2.1 模块化、层次化的设计原则
网络的设计都是基于一个模块化,层次化的设计思想。这也是对大型网络进行高效管理的首选方法。 2.1.1 模块化设计
所谓模块化就是将把整个网络按功能和安全需求分为若干个组件,这些组件之间有一定的安全边界,组件内部有完整的网络设计。模块化设计的好处在于:
1. 解决各网络之间的冲突问题; 2. 简化安装和后台设备管理; 3. 易于故障检测和分离问题;
4. 易于执行不同类型的服务和安全方针; 5. 易于扩展和/或代替原来的技术。 一个完整的模块化设计如图2.1所示:
汇聚层网络管理核心交换层安全管理出口接入层出口出口核心业务层服务器集群计费管理作者By:Erin 图2.1模块化网络设计图示 Fig 2.1 modular design of the network
2.1.2 层次化的设计
1. 层次化网络设计模型
对于大型网络,可以采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。如图2.2所示:
接入层汇聚层核心层作者By:Erin
图2.2层次化网络设计图 Fig 2.2 hierarchical network design
核心层
核心层的主要提供不同网络模块之间优化传输服务,将分组尽可能快地从一个网络传到另一个网络,通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路,任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢,核心层除了要求高性能交换设备和高带宽传输链路外,还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外,为了避免网元故障对网络造成冲击,需要网络采用支持快速聚合的特性,一旦主用通路断开,可以很快的切换到备用通路。 如图2.2.1所示:
核心层网络模块到外部系统业务管理模块到各个业务模块到核心服务器模块作者到外部连接模块By:Erin
图2.2.1核心层网络模块图
Fig 2.2.1 The core module chart ammeters diagram
汇聚层
汇聚层顾名思义就是作为访问层到骨干层的汇聚,通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成,提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量(path metric)和路由协议网络通告控制。 如图2.2.2所示:
汇聚层网络模块到接入层交换子模块到核心层交换子模块作者By:Erin 图2.2.2汇聚层网络模块图
Fig 2.2.2 convergence layer network module chart
接入层
接入层作为各模块到交换骨干的连接,根据不同模块进行逻辑子网划分,并通过VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量,避免不同模块之间相互影响。访问层主要通过二层交换机组成。
2. 层次化网络设计模型的优点
“核心层-汇聚层-访问层”层次化网络设计模型有如下优点:
高可扩展性 - 遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性,因为各功能网络通过模块化实现,潜在问题更易于识别。
易于实施 - 每一层的功能性清晰划分,简化每一层的实现。
易于故障排除 - 每一层的功能经过良好定义,网络更为简单,有助于故障的隔离。模块化设计也有效限制故障影响范围。
易于规划和管理 - 层次化的功能划分,整个网络规划和管理更为简单。
2.2标准化、规范化原则
2.2.1标准化原则
锐捷网络作为国内率先通过ISO9002/9001-2000版国际认证的IT厂商,始终将“品质第一、永续经营”作为贯彻整个生产经营过程的品质政策。 2.2.2规范化原则
按照安全模型的指导,从健康检查阶段、评估分析阶段、规划设计阶段、安全实施、运维管理、安全培训整个安全周期角度进行安全方案的设计和实施。
2.3校园网的设计原则
校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络;是学校信息化教学环境的基础设施和实现各项管理的物质基础;是建立远程教育体系的基本保证;是提高全民素质的重要手段。采用成熟、先进的技术和设计思想,运用现有的系统集成的技术路线,强调系统先进、实用、开放、安全、使用方便和易于扩充等特点,突出系统功能的完善,实现办公现代化、信息资源化、传输网络化和决策科学化。其设计方案应注意以下原则:
实用性:校园网设计应能满足学校目前对网络应用的要求,充分实现学校内部管理、教学和科研的网络化、信息化的要求,使网络的整体性能尽快得到充分的发挥,并且便于掌握。满足管理职能的需求,为提高管理决策的及时性和准确性提供高质量的信息服务,增强对运行的协调和监控能力。
先进性:在系统的开发过程中,既能满足当前院校对网络的应用需求,又可以在将来需要扩展的时候,能方便地扩展,保护目前的所有投资;设计的配置可
以灵活变通,以便适应客户的其他要求。符合计算机技术发展趋势,采用先进成熟的技术,坚持技术的开放性,易于技术更新。
可扩充性:方便系统和支撑平台的升级,满足用户对信息需求不断变化的需要,以及系统投资建设的长期性效益。
灵活性:通过采用结构化、模块化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。
安全性:应能在可靠性的前提下,抵挡来自内部和外部的攻击;采用的安全措施有效、可信,能够在多层次上、以多种方式实现安全的控制。
可靠性:校园网的系统及网络结构较为复杂,同时在部分子系统中存在较高的技术性,因此必须保证系统的稳定、可靠和安全运行,具有很高的MTBF(平均无故障工作时间)和极低的MTTR(平均无故障率),提高容错设计,支持故障检测和恢复,可管理性强。
统一性:在系统的设计过程中,坚持“三统一”,即统一规划、统一标准、统一出口。
经济性:在充分满足以上要求的前提下,应充分考虑到学校的经济承受能力,尽可能地节约投资,花好每一分钱。
规范性:采用的技术标准要遵循国际标准和国家标准与规范,保证系统发展的延续和可靠性。
系统性:项目的开发必须按系统工程的管理方法,分阶段、有计划的统一组织实施。
综合性:以满足系统目标与功能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二次开发与移植。
3. 校园网设计与实现
3.1 校园平面图
ABC大学校园面积为20平方公里,共有10个系部,15幢大楼,主要分为食堂、宿舍、教学楼、行政楼、图书馆等,总投入为500万。 ABC大学校园平面图如图3.1所示:
1号楼2号楼3号楼4号楼游泳池5号楼食堂6号楼7号楼 图书馆 教学楼1 教学楼2 教学楼4 教学楼3实验楼行政楼喷水池
图3.1 ABC大学校园平面图 Figure 3.1 ABC university campus plan
3.2 网络拓扑图
如图3.2所示:
U N I V E R S I T YStarView网络管理系统/RG-SAM安全计费管理平台应用服务器集群(WEB/MAIL/FTP/DNS/OA数据库)STAR-S2150GABC大学RG-S6806E行正楼RG-WALL 1000CernetRG-R3662RG-S6806E摄像机RG-S6810ESTAR-S2150G图书馆一楼网管平台图书馆RG-S6806ESTAR-S2150G食堂IPTV服务投影仪屏幕远程教学演播室图例1000 BASE-SX1000 BASE-LX100 BASE-TXSTAR-S2150G实验楼By:ErinSTAR-S2150G教学区宿舍区
图3.2网络拓扑图 Fig 3.2 network topology
3.3 方案说明
校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因学校存在大量的语音和视频传输。据此,考虑汇聚层对QoS有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。根据学校建设要求与总体目标,骨干网采用三层结构,由核心层,汇聚层和接入层构成。在接入层面,通过定义相应的访问策略,实现访问控制,内外隔离和抭IP地址。
在网络结构上,采用成熟的千兆以太网技术(第三层交换)作为核心层,呈网状拓扑结构。以TCP/IP协议为主,并辅以IP/SPX. NETTEUI等其他流行通信协议坚持开放性和标准化,采用标准的通讯规程,以有利于不同厂家之间的互连,使不同系统间易于集成,兼顾其他标准的网络体系结构,网络能实现协议之间无缝连接。而公用服务器与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠的设备,此产品是具有运营商级容错能力的高性能大型网络核心交换机,可实现冗余备份,从而提高核心层的可靠性。
整个网络通过汇聚层交换机RG-S6806E和核心交换机RG-S6810E之间的链路冗余备份和负载均衡提供安全可靠的网络构架(使用OSPF、ECMP、WCMP等技术),其安全保障技术提供一个全网概念的整体网络安全,而通过简单地增加万兆模块可以平滑升级到万兆骨干的校园网。
如拓扑图所示,作为学生宿舍网的核心,要求设备能够大容量、稳定可靠的高速路由转发,能够接入大量的汇聚节点并满足今后扩充的需要。同时,应完备的QOS保证机制,完备的业务控制、用户管理机制。同时,还应该考虑到与一期工程的网络设备之间的良好的兼容性、互通性。因此,在本方案的在核心层,部署了锐捷网络的RG-S6810E模块化骨干路由交换机两台,该交换机具有高达1.6T(可扩展3.2T)的背板,L2/L3层具有572Mpps的转发率,同时还可以配置冗余电源和管理引擎模块,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。其硬件策略路由功能为学校的出口规则提供了灵活的设置,此外核心交换机硬件的IPv6功能为学校接入CERNET2提供了无缝连接。
为了提高网络上连带宽,业界提出了端口聚合(802.1ad)的概念,此概念也广泛应用于校园网的建设中。 锐捷网络交换机可将多个端口聚合,每条干路支持全双工模式。端口聚合可以在单台交换机中进行配置,支持聚合通道内部的负载均衡。从核心层到汇聚层使用多条多模光纤连接到汇聚层交换机,并实现端口聚合。
汇聚层起着承上启下的作用,负责对各种接入的汇聚,并可在该层实现对于用户的访问控制,以及对用户的网络管理。因此,汇聚层应考虑三层智能交换机。在本方案中,共部署三台锐捷网络自主研发的RG-S6806E模块化骨干路由交换机。在汇聚层使用三层交换机的目的是为了减轻核心层的负担。
接入层应该能够实现对用户的访问控制,并具有较强的安全和QOS控制功能,支持802.1x的认证计费,支持千兆上联,支持SMNP的网管。同时,为满足学生宿舍网的高端口密度接入的需求,接入层应考虑二层智能型可堆叠交换机。因此,在接入层部署了锐捷网络的STAR-S2150G智能型可堆叠交换机。
同时为了保证宿舍网内部网的安全,在内网和外网之间增加硬件防火墙,接在INTERNET/CERNET出口的位置,根据安全需求可将校园网分为内部网、外部网与DMZ区等,以保护校园网的安全,防止恶意用户的攻击。为了统一网络管理和监控,在网络中心配置StarView管理平台可以对设备进行集中的管理,包括网络拓扑发现、配置管理、性能管理、事件管理,实现全网设备的管理。
在网络中心一台核心交换机各通过两条千兆链路连接校园图书馆子网,当核心交换机间业务量增大时,也可考虑通过上行双链路Trunk来连接。其中宿舍楼干网以千兆链路下联至宿舍楼宇交换机STAR-S2150G;同时网络中心通过千兆
连接专项课题研究楼子网;在网络中心核心交换机通过千兆链路连接行政子网交换机,以千兆链路下联至楼宇交换机STAR-S2150G;计算中心子网及应用服务器群另在网络中心通过千兆链路下行连接。实现百兆交换到桌面。
4. 校园网系统配置
4.1 系统硬件配置
4.1.1 主机系统(服务器)设计
主机系统说的是各种用途的服务器和主机,要衡量的是不同服务器的选择。服务器设备包括: WEB服务器、FTP服务器、EMAIL服务器、DNS服务器、VOD服务器、用户信息管理服务器、综合应用服务器等。
DNS服务器(Domain Name System)域名管理系统,每个域名服务器至少管理一个域。将域名翻译为对应的IP地址的过程就是域名解析。为了可以方便的找到我们需要的IP地址,这就产生了容易被识别的域名管理系统DNS,可以把输入的域名转换为要访问的服务器的IP地址。
DNS服务器是要求最简单的服务器,价格不要太高,内存512足够,两块硬盘,做raid1,双网卡作channel,inter pro系列就可以,双电源,1万元。
WEB服务器也就是 WWW(WORLD WIDE WEB)服务器,以超文本技术为基础,以面向文件的浏览方式提供具有一定格式的文本、图形、声音等,通过超链接将各种信息联系起来。Web服务器用于管理Web页面,并使这些页面通过本地网络或Internet供客户浏览器使用。
设备名称:WEB服务器;配置型号:8658 41Y NF5100 PIII866MHz, 128MB, 36GB/10000转SCSI ,CD-ROM, 网卡, 15”黑;数量:1;单位:台。
FTP为文件传输协议的英文缩写,FTP服务器为提供文件传输(TCP/IP)服务的电脑,要有固定的地址,可管理FTP登录用户名、登录密码及其对FTP服务器上的硬盘空间的访问权限等。 用户可通过FTP客户端软件输入这个固定的地址(有时还需要FTP用户名和密码)登录FTP服务器,与服务器建立连接,登录成功后即可使用文件上传下载服务!
电子邮件服务,就是通常说的Email服务器,这是需要搭建服务器首先要有硬件上的支持,然后就可以用邮件服务器的软件来完成,至少有一个电子邮件地址,目前多采Microsoft推出的Exchange Server构架电子邮件系统,它提供对Internet邮件系统的完全支持,并提供与WindowsNT域用户安全性的集成,还可以采用IBM公司的Lotus Domino/Notes,它可以提供综合应用的“群件”系统,可以提供完备的办公自动化集成环境。若使用Linux操作系统,可以使用Sendmail构架邮件系统。当然,也可以购买第三方的专门邮件系统,这类产品往往具有更高的安全性和可管理性。 4.1.2 网络设备分析
RG-WALL 1000千兆防火墙/VPN网关 1. 产品描述:
RG-WALL系列采用锐捷网络独创的分类算法(Classification Algorithm)设计的新一代安全产品——第三类防火墙,支持扩展的状态检测(Stateful Inspection)技术,具备高性能的网络传输功能;同时在启用动态端口应用程序(如VoIP, H323等)时,可提供强有力的安全信道。
采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
RG-WALL的主要功能包括:扩展的状态检测功能、防范入侵及其它(如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等)附加功能。
2. 产品特性:
锐捷网络私有的分类算法,性能不受规则数及会话数的影响 在内核层处理流量,极大降低应用层的负荷 多线程代理方式 支持IPv6
内置入侵检测功能,确保防火墙的安全运行 实时的状态监控功能,动态过滤技术
无需L4交换机,无需增加模块就可实现Active-Active的高可用性解决方案
支持网桥模式和路由模式以及NAT模式 支持多个接口及VLAN,适合多种网络结构
实现DNS分离功能,保护了内部DNS结构的安全性,也可为小型企业免除DNS的投资
基于网络IP和MAC地址绑定的包过滤
透明代理(Transparent Proxy),URL级的信息过滤 流量控制管理,保证关键用户,关键流量对网络的使用 工作模式的多样性,可以不影响现有网络,迅速投入使用 可选加载VPN功能
安全的网络结构和安全的体系结构
提供操作简单的图形化用户界面对防火墙进行配置
3. 技术参数如表1.2.1所示:
表1.2.1防火墙技术参数 Tab 1.2.1 firewall technology parameters RG-WALL 1000千兆防火墙/VPN网关 端 口 最大并发连接数 吞吐量 (最大)策略数 VPN并发通道数 VPN吞吐量 (SHA-1, 3-DES) 尺 寸 电气性能 工作环境 技术性能 标配2个10/100BaseT+2个1000BaseT接口,另4个扩展槽可选配千兆电口/千兆SX光口模块 2,000,000sessions 1.8Gbps 65,535 10,000tunnels 400Mbps 标准19英寸宽度,2U高度 电源类型:AC 100-240V/50-60Hz 电源功率:200W 操作环境:温度0℃~40℃,湿度0%~80% 存储环境:温度-40℃~80℃,湿度0%~ 95% MTBF(平均故障间隔时间):≥50,000小时
RG-R3600系列模块化多业务中心路由器 1. 产品概述:
RG-R3600系列模块化中心路由器是锐捷网络公司开发的面向企业级的网络产品,采用模块化设计,提供了多个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。64位的微处理器技术,使用RGNOS(锐捷网络操作系统平台),提供了极其丰富的软件特性,支持哑终端接入服务,支持IPv4/IPv6,VoIP特性等,提供丰富的备份方案及QoS特性;硬件采用模块化结构,具有更高的处理能力和更大的接入密度,既可以在中小型企业网中担当核心路由器,也可以在大型网络中担当汇聚层路由器。适合大中型企业、金融体系、各大公司的办事处和中型 Internet 服务供应商的模块化多服务访问平台,可以实现大规模、高密度的专线、拨号、宽带和IP语音接入。
RG-R3600系列包含二款路由器:RG-R3642和RG-R3662。 2. 产品特性:
(1) 先进高效的硬件体系结构
采用高速3口PCI桥,前端总线带宽达到2G; 每个模块上可以支持4个以上的PCI设备;
高效的硬件体系架构,配合400M的MPC RISC CPU,软件执行效率比PC100内存速度快1.33倍的PC133M服务器专用内存,运行在稳定、高效、安全RGNOS软件平台上,RG-R3662/R3642包转发率
可以达到150KPPS,远远高于业界同等档次的产品。RG-R36系列路由器的高性能是业务的高性能,在处理各种业务时转发性能基本不会下降; l 考虑到未来的发展,通过对主板的升级,RG-R36系列路由器可提供350Kpps以上的业务性能,系统总线带宽可提升到4Gbps,全面提升企业中心及大型行业应用环境的业务性能。
主机固化2个10/100M快速以太网
主机固化两个10/100M快速以太网口,在不购买任何模块的情况下,便可以实现宽带互联。 模块化结构设计
RG-R3662具有6个网络/语音模块插槽,RG-R3642具有4个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。
强大的数据处理能力
采用先进的Motorola MPC 8245 CPU,主频达到400MHz,2G带宽的PCI总线技术,包转发延迟小,高效的数据处理能力支持高密度端口,保证在高速环境下的网络应用;
包转发率达到150Kpps。 良好的语音支持功能
支持G.711、G.723、G.729等多种语音编码格式,支持H.323协议栈,可以和多家VOIP厂商的设备互通; 支持实时传真功能; 支持语音网守功能。 高效安全的终端服务
提供64位密钥的RC4加密,可以实现路由器到UNIX服务器之间的数据安全加密;
提供固定终端服务登陆的功能,确保路由器上每台终端登陆时,每次得到的终端号都是固定的,有利于管理。
(2) 良好的VPN功能
支持IPSec的VPN功能; 支持GRE的VPN功能; 支持L2TP/PPTP的VPDN应用;
在NAT应用下,支持L2TP/PPTP的穿透功能。 支持PQ、CQ、FIFO、WFQ、CBWFQ等排队策略;
支持设置语音数据包优先级,可以为中小型企业提供满足要求的、
(3) 完善的QoS策略
高性价比的多功能服务平台。
(4) 高可靠性
支持链路备份、路由备份等多种方式的备份技术,提高整个网络的可靠性;
支持VRRP热备份协议,实现线路和设备的冗余备份; RPS冗余电源支持。
完善的防火墙技术,支持基于源目的IP、协议、端口以及时间段的访问列表控制策略;
支持IP与MAC地址的绑定,有效防止IP地址的欺骗; 支持认证、授权、记录用户信息的AAA认证技术,支持Radius认证协议;
支持动态路由协议中的路由信息认证技术,保证动态路由网络中路由信息的安全和可靠;
支持PPP协议中的PAP、CHAP认证及回拨技术。 采用标准CLI界面,操作更简单;
支持SNMP协议,配置文件的TFTP上传下载,方便网络管理; 支持Telnet/Console,方便的实现远程管理和控制; 多样的在线升级,为将来的功能扩展预留空间。
表1.2.2路由器技术参数 Tab 1.2.2 router technical parameters
产品型号 固定端口 RG-R3642 1个Console端口 1个AUX端口 2个10/100M快速以太网口 RG-R3662 1个Console端口 1个AUX端口 2个10/100M快速以太网口 模块插槽 存储模块 4个网络/语音模块插槽 6个网络/语音模块插槽 EPROM:512K Flash:缺省32M,可以扩展到96M SDRAM:缺省128M,最大512M 主频400MHz Motorola MPC 8245 CPU 150Kpps NM-2FE-TX :2端口10Base-T/100Base-TX快速以太网接口模块 (5) 高安全性
(6) 方便易用易管理
3. 技术参数如表1.2.2所示。
CPU 报文转发能力 可用模块 NM-2HAS:2端口高速同异步串口模块 NM-4HAS:4端口高速同异步串口模块 NM-8A:8端口异步串口模块 NM-16A:16端口异步串口模块 NM-2cE1:2端口可拆分通道化cE1模块 NM-4cE1:4端口可拆分通道化cE1模块 NM-1B-U:1端口ISDN模块(U接口) NM-4B-U:4端口ISDN模块(U接口) NM- 4FXS:4端口语音模块(FXS接口) NM- 8FXS:8端口语音模块(FXS接口) NM- 4FXO:4端口语音模块(FXO接口) NM-1E1V1:E1语音模块 AIM-IPSEC:硬件加密模块 尺寸(宽 x高x深) 电源 整机功率 温度 湿度 445mm x110mm x 420mm,可以上19”标准机柜 85VAC~265VAC,47Hz~63Hz 小于90W 工作温度: 0℃ 到 40℃ 存储温度:-40ºC 到 55ºC 工作湿度: 10% 到 90% RH 存储湿度: 5% 到 90% RH
RG-S6800E新一代多业务万兆核心路由交换机系列 1. 产品概述:
RG-S6800E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机,RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力,并且拥有业务按需叠加扩展能力,达到业务和性能并重的设计需求。目前提供10竖插槽设计和6横插槽设计两种主机:RG-S6810E和RG-S6806E。
RG-S6800E系列多业务万兆核心路由交换机提供1.6T/0.8T背板带宽,并支持将来扩展到3.2T/1.6T的能力,高达572Mpps/286Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干和大流量节点交换机的理想选择。
RG-S6800E交换机通过扩展高性能的多业务卡支持策略路由、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等业务功能,满足客户环境灵活而复杂的不同应用需求。
2. 产品特性:
(1) 强大数据处理设计(SPOH设计)
RG-S6800E的交换、路由、ACL、QOS等复杂功能通过硬件实现,避免了软件实现同样功能对数据高速处理的影响。
管理模块执行路由管理、网络管理、网络服务等任务,用户接口模块可以独立实现硬件路由、交换和组播功能;用户交换端口则独立实现硬件ACL和QOS功能,同步式处理设计(SPOH设计)极大地提高整机处理能力。
(2) 强大的扩展能力
RG-S6800E系列多业务万兆核心路由交换机目前提供1.6T/0.8T背板带宽,在不更换机箱的情况下,未来仅通过更换管理模块可以支持背板带宽扩展到3.2T/1.6T。
RG-S6800E系列多业务万兆核心路由交换机通过扩展高性能的多业务卡,可以支持策略路由、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等功能。
(3) 高安全保障措施
物理安全
RG-S6800E提供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保障措施。
病毒和攻击防护
面对现在网络环境越来越多的网络病毒和攻击威胁,RG-S6800E提供强大的网络病毒和攻击防护能力;提供基于SPOH技术的ACL功能;支持防源IP地址欺骗、防DOS/DDOS攻击,防IP扫描等功能;提供多端口同步监控技术,支持灵活的网络监控,提升网络监控能力。
设备管理安全
提供SSH的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁;Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理;SNMPV3提供加密和鉴别功能:确保数据从合法的数据源发出(引擎ID);确保数据在传输过程中不被篡改(采用MD5和SHA认证协议);加密报文,确保数据的机密性(采用DES56加密协议)。
接入安全
硬件支持IP、MAC、端口绑定,提高用户接入控制能力;支持802.1X技术,满足6元素绑定接入限制;支持IGMP源端口检查,可有效控制非法组播源,提高网络安全;IGMP V3支持通告主机希望接收的多播源的地址,避免非法的组播数据流占用网络带宽;通过PVLAN(保护端口)隔离用户之间信息互通,不必占用VLAN资源;端口MAC地址锁和端口MAC地址接入数量功能可以屏蔽非法主机的接入。
(4) 丰富的应用支持技术(QOS、组播)
RG-S6800E提供多种流分类技术和多种QOS技术,包括SP、WRR、WFQ、WRED、CAR、HOL等:
为各种应用的带宽保障提供需要的支持技术。
流分类:
可以依据数据流的源/目的MAC地址、源/目的三层IP地址、三层协议(IP/IPX)、四层协议(UDP/TCP)、源/目的四层协议端口号、COS、TOS对数据流进行区分,实现2/3/4层的流分类功能。
数据标记:
802.1p是二层协议,可以为数据提供8个级别的优先级标记;DSCP在三层的IP协议报文里进行优先级标记,可以提供64个级别的优先标记。
队列调度:
严格优先级队列SP保证高优先级业务总是在低优先级业务之前处理;WRR是一种加权循环队列调度机制,首先处理高优先级,但在处理高优先级业务时,较低优先级的业务并没有被完全阻塞,而是按一定的比例同时进行。WFQ是加权公平队列,对所有的数据流进行排队,监控吞吐率,并根据发送的信息量分配权值。WFQ试图公平地为每个对话分配带宽,保证低带宽应用可以获得对接口的访问权,而不会被高带宽应用全部占用。
拥塞控制:
WRED加权随机早期检测协议,可以设置各个数据流在拥塞发生之前自动丢失数据的阀值,避免较高优先级应用的拥塞丢失。HOL通过消除HOL阻塞确保最高可能的吞吐量;最大限度地减少包丢失,减少多路传输和广播流量拥塞。
承诺信息速率:
CAR可以为重要的数据流设定固定的带宽,如果设定的带宽合理,满足该数据流的需求,就可以保证重要数据流的正常转发。
提供多种组播支持技术,包括IGMP snooping、IGMP、PIM(SSM、SM、DM),DVMRP:
保证了网络中提供组播服务时的带宽合理占用。
(5) 支持领先的万兆以太网技术(IEEE802.3AE、IEEE802.3AK) 万兆以太网采用了IEEE802.3以太网媒体访问控制(MAC)协议、IEEE802.3以太网帧格式,以及IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步,采用全双工技术,不需要应用低速的、半双工的CSMA/CD协议。在其他方面,万兆以太网保留了初期以太网模型的精髓,因而可以和现有以太网环境无缝融合,支持客户已有应用。
RG-S6800E提供目前主流的四种万兆局域网传输标准:10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4,四种传输标准在数据链路层以
上都相同,差别在于物理层。10GBASE-R和10GBASE-CX4用于传统的以太网环境,10GBASE-R采用光纤作为传输介质,10GBASE-CX4采用同轴铜缆作为传输介质,而10GBASE-W可与OC-192电路、SONET/SDH设备一起运行,保护传统基础投资,使运营商能够在不同地区通过城域网提供端到端以太网。10GBSE-LX4则使用WDM波分复用技术进行数据传输。
(6) 支持L2 VPN(QINQ)
RG-S6800E支持Service Provider vlan(Double Tagging、VLAN tunnel),允许对交换数据进行二次VLAN标识,外层标识用于创建VPN,提供链路选择,内层标识用于标识业务VLAN信息,实现在以太网环境中的L2 VPN,解决了传统以太网环境无法提供数据传输安全控制的问题。
(7) 扩展的路由技术
基于每个SVI接口的default route配置
基于SVI接口的缺省路由优先级比基于整机的缺省路由优先级高,所以,当需要为缺省路由设置备份线路的时候可以使用该功能很好地实现。
ECMP/WCMP(Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing)
在拥有多条不同链路到达同一目的地址的网络环境中,如果使用传统的路由技术,发往该目地址的数据包只能利用其中的一条链路,其它链路处于备份状态或无效状态,并且在动态路由环境下相互的切换需要一定时间,而等值多路径路由协议(ECMP)和权重多路径路由协议(WCMP)可以在该网络环境下同时使用多条链路,不仅增加了传输带宽,并且可以无时延无丢包地备份失效链路的数据传输。
基于目的IP地址的策略路由
在拥有多条不同链路到达同一目的地址的网络环境中,使用基于目的IP地址的策略路由可以在多条链路间实现等值负载均衡和相互备份。
策略路由
在拥有多条不同链路到达同一目的地址的网络环境中,策略路由功能可基于数据包的源IP地址、目的IP地址、协议字段、TCP/UDP源端口号、TCP/UDP目的端口号等特征进行多条出口链路间的灵活选择和相互备份。
(8) 最长匹配(LPM)三层交换技术
在传统的硬件三层交换机中采用“一次路由、多次交换”的路由技术,使用精确流匹配方式进行硬件三层转发,大量耗费CPU资源,并且占用大量的硬件存储资源。
最长匹配(LPM)三层交换技术可以解决传统方式“多次交换”中采用精确流匹配而带来存储空间压力过大的问题。最长匹配(LPM)技术支持直连路由、
静态路由、动态学习到的路由都直接以网段形式存储于硬件转发表,一个目的网段使用一个转发表项,而不明目的网段IP地址的数据包直接通过硬件缺省路由转发。
因此,LPM技术的优点是极大地节约硬件存储空间,拥有硬件缺省路由,所以,病毒和攻击数据包可以通过硬件网段路由或缺省路由进行转发,不增加额外的硬件表项,避免了存储溢出导致CPU利用率过高问题,保障设备的正常运行。
3. 技术参数如表1.2.3所示。
表1.2.3核心路由交换机技术参数
Tab 1.2.3 core routing switches technical parameters 技术参数 模块插槽 背板 交换容量 包转发速率 MAC地址 路由表项 802.1q VLAN L2协议 RG-S6810E 10个(2个用于管理引擎模块) 1.6T(可扩展3.2T) 800G L2:572Mpps L3:572Mpps 64K 256K 4K IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S 、Port Mirror、Igmp Snooping 、Jumbo Frame(9Kbytes)、QinQ、GVRP L3协议 BGP4、IS-IS、OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、 DVMRP、PIM-SSM/SM/DM、LPM Routing、Policy-based Routing、ECMP、WCMP、VRRP IPV6协议 ICMPV6、OSPFV3(for IPV6)、RIPng、MLDV1/V2、ISATAP、6 TO 4 Tunnels、configured Tunnels、NAT-PT 全面的ACL(基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等)、防源IP地址欺骗、防DOS/DDOS攻击,防IP扫描 管理方式 SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSH 其它协议 SNTP、DHCP Client、DHCP Relay、DNS Client、ARP Proxy、Radius、IPV6、MPLS、Load Balancing、RG-S6806E 6个(2个用于管理引擎模块) 0.8T(可扩展1.6T) 400G L2:286Mpps L3:286Mpps 病毒攻击防护 NAT、VPN、Firewall、Web Cache Redirect、Syslog、TACACS+ 尺寸(长x宽x高) 电源 MTBF 温度 湿度 445 mm x 445mm x 980mm > 200,000 hours 440 mm x 540 mm x 559mm 100VAC~240VAC,50Hz~60Hz,功率:1200W 工作温度: 0℃ 到 40℃ 存储温度:-40℃ 到 70℃ 工作湿度: 10% 到 90% RH 存储湿度: 5% 到 95% RH STAR-S2100系列安全智能交换机 1. 产品概述:
STAR-S2126G/S2150G是两款全线速可堆叠的安全智能交换机,在提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性同时,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。
STAR-S2126G/S2150G可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。
S2126G/S2150G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管,最大化满足高速、安全、智能的企业网新需求。
2. 产品特性:
高性能
灵活完备的安全控制策略
12.8G/18.5G背板带宽为所有的端口提供非阻塞性能;
通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定等等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求;
硬件实现端口与MAC地址和用户IP地址的绑定,严格限定端口上用户接入; 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN资源;
通过Private VLAN可以在交换机的同一VLAN中提供端口之间的通讯或安
全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因传统802.1QVLAN造成全网VID资源不够的问题,同时又无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私;
通过锐捷SAM平台,可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;
支持业界特有的IGMP源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性;
提供极为有效的Port Blocking功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户PC更高效安全地运行;
基于源IP地址控制的Telnet和Web设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;
提供加密传输的Secure Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;
可灵活控制二-七层数据报文,使得任何一个用户PC上的任何一种应用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。
完善的QoS策略
支持802.1P、端口优先级、IP TOS、二到七层流过滤等QoS策略,具备MAC流、IP流、应用流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务;
极灵活的带宽控制能力,可以基于交换机端口、MAC地址、IP地址、VLAN ID、协议、应用组合进行带宽限速,支持输入速率限制和输出速率限制,限速粒度精细:1Mbps(128KB)粒度/百兆端口、8Mbps(1024KB)粒度/千兆端口,可根据网络安全需求,设定不同业务应用的带宽流量,满足按需所用。
高可靠性
支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;
方便易用易管理
强大的菊花链式堆叠,支持S2126G/S2150G的混合堆叠,保证网络的高度灵活和可扩展,网络管理更加简单;
独特的集群管理,通过一台命令交换机可管理多达20台的S3550系列和S21系列交换机,无论交换机是否在同一配线间和布线室;
强大的集群管理方式使得网络的维护工作变得非常方便和简单,只需配置1
个IP地址,即可管理多台设备,不仅成倍节省了IP地址空间,而且维护和管理量也得到极大降低;
提供图形化的安全策略管理配置平台,支持安全策略自动同步下发、升级和维护功能,安全策略智能化,可大幅度提高交换机管理和配置效率,提高网络安全;
端口的VLAN自动跳转功能,无需网管员手工干预,即可将端口跳转到用户所在VLAN,实现用户全网漫游上网,减轻设备配置和维护量;
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;
CLI界面,方便高级用户配置和使用;
Java-based Web管理方式,实现对交换机的可视化图形管理,快速和高效地配置设备。
3. 技术参数如表1.2.4所示。
表1.2.4智能交换机技术参数
Tab 1.2.4 intelligent switch technology parameters
产品型号 固定端口 模块插槽 可用模块 STAR-S2126G 24端口10/100自适应 2个扩展插槽 STAR-M2121S:单口1000BASE-SX模块 STAR-M2121L:单口1000BASE-LX模块 STAR-M2121T:单口1000BASE-TX模块(支持10/100/1000M自适应) STAR-M2101F:单口100BASE-FX模块 STAR-M2101F-S:单口100BASE-FX单模模块 STAR-M2101T:单口100BASE-TX模块 STAR-M2131:堆叠模块 背板 包转发速率 MAC地址 802.1q VLAN ACL 12.8Gbps 线速(6.6 Mpps) 8K 4K IP标准ACL(基于IP地址的硬件ACL)、IP扩展ACL(基于IP地址、传输层 端口号的硬件ACL)、MAC扩展ACL(基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL)、基于时间ACL、专家级ACL (可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL) 18.5Gbps 线速(10.1 Mpps) STAR-S2150G 48端口10/100自适应 L2协议 IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping、LLDP 管理协议 其它协议 尺寸(长*宽* 高) SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、基于HTTPS的Web管理、Syslog BOOTP/DHCP Relay、RADIUS 440mm * 240mm * 44mm 440mm *300 mm * 44mm 电源 温度 湿度 160VAC~240VAC,48Hz~60Hz 工作温度: 0℃ 到 40℃ 存储温度:-40ºC 到 70ºC 工作湿度: 10% 到 90% RH 存储湿度: 5% 到 90% RH
4.2 软件配置
4.2.1 服务质量(QoS)与锐捷68系列交换机
---- 利用内置于锐捷68系列交换机中的服务质量特性,用户能够对通过网络进行传输的应用流量优先级进行控制,消除网络中的瓶颈现象。锐捷公司的锐捷 锐捷68系列交换机能够根据加载于其上的流量优先级别辨识出不同类型的应用流量,进而实现对关键性数据的更快转发。 ---- 为了进一步提高数据包的传递效率,锐捷基于已有交换机的第二、第三和第四层技术,赋予了产品辨识、标记数据并为不同的数据流量赋予不同的优先级别的能力。在锐捷 锐捷68系列交换机上得到进一步改进的应用分类功能包括:
在第二层技术方面,加入了对IEEE 802.1p标准的支持,从而在交换机上实现了简单的流量优先级划分。
在第三层技术方面,加入了对差别化业务编码点(Differential Services Code Point,DSCP)技术的支持。该技术可以支持对业务级别高达64种的划分。
在第四层技术方面,交换机可以对数据流量的目的IP地址与TCP/IP端口号的组合进行分析,并利用这一分析结果将HTTP流量与FTP流量或POP3邮件流量区分开,或者为了实现更高的Internet访问速度将用户的Web流量重新引导至一台Web缓存服务器上。
从接入层交换机到核心设备,全面覆盖端口速率限制,应用流分类识别,关键服务流量带宽保证等多层交换质量保证。 基于交换机时间、物理端口、MAC
地址、IP地址、TCP/UDP端口号的应用流分类识别和带宽限速机制,完成了高校全网端到端的QOS保证。 4.2.2 锐捷STAR-VIEW网络管理软件
STAR-VIEW软件为网络管理员实现了一套简单易用的用户界面,用来对流经网络的关键性数据流量进行辨别、优先级分配以及最大化。如同锐捷公司所有其他产品一样,STAR-VIEW是一套易于配置的软件,并可以为用户实现当今高品质网络环境所需的丰富功能。
一旦STAR-VIEW工具为所要传输的数据包划分了流量优先级别,这些数据流量就会被通过网络传输出去,并且在它们流经锐捷 锐捷68系列交换机的各端口时仍然保持其应用分类。利用这一特性,网络网络管理员得以能够为不同的应用流量分配优先级别,从而确保具备了最高的传送优先级别的应用能够以最低延迟地穿越网络进行传输。
4.3 系统软件成本分析
如表4.3.1到4.3.2所示。
表4.3.1交换机汇总 Tab 4.3.1. Switches
建筑物 宿舍楼1 宿舍楼2 „„ 宿舍楼6 食堂 教学楼1,2 教学楼3,4 实验楼 行政楼 图书馆 楼层 6 6 6 6 2 5 5 6 4 4 节点数 6×20=120 6×20=120 6×20=120 6×20=120 2×10=20 5×20×2=200 5×20×2=200 6×100=600 4×25=100 4×100=400 接入交换机数目 1台 1台 1台 1台 1台 2台 2台 6台 1台 4台 1台 1台 汇聚层交换机数目 1台 信息节点个数为学校实际所要布线施工的信息点数。 由次表可得出此次校园网的预算如表4.3.2所示。
表4.3.2费用清单 Tab 4.3.1. List of expenses
IT产品 服务器 交换机 IBM System x3650 M2(7947I35) 锐捷网络 RG-S6810E 锐捷网络 RG-S6806E 锐捷网络 STAR-S2150G 数目 6台 1台 3台 22台 费用 ¥:6*28000=168000元 ¥:1*70000=412000元 ¥:3*56000=1232000元 ¥:22*27000=594000元 路由器 防火墙 光纤、双交线、水晶头 笔记本、台式机(学校已有) 锐捷网络 RG-R3662 锐捷网络 RG-WALL 1000 1台 1台 若干 ¥:1*33000=33000元 ¥:1*380000=380000元 ¥:55000元左右 由以上可得出,校园网网络设备所须的费用大概为 287.4万人民币左右。
5. 网络备选方案及评价
5.1 解决方案
5.1.1 校园网出口解决方案
校园网出口,作为唯一连接外界网络的平台,是校园网与外界沟通交流的窗口,承载了各类与教学、科研、办公、生活息息相关的应用;出口平台对各应用的承载能力,将对高校的教学、科研、办公、生活产生直接和间接的影响。
锐捷网络高校校园网出口解决方案,充分考虑网络出口承载的多种业务系统对网络的要求,形成了包含外网连接层、安全防护层、应用控制层、VPN接入层、日志管理层在内的针对性出口网络解决方案。
ABC大学应用锐捷网络高校校园网出口解决方案,在安全防护层部署1台RG-WALL 1800、应用控制层部署1台RG-ACE 3000完成出口网络的阶段性改造(原有的LinkProof承担多出口负载均衡)。
改造后的东北财经大学出口网络,实现了多出口的合理使用,有效抵御DDoS攻击,实现病毒、木马以及异常流量的阻断;RG-ACE 3000可有效识别包括Web迅雷在的多种应用层协议,可实现基于用户的应用带宽限制及数据统计,使得各种关键应用的带宽得到充分的保障。如图5.1.1所示。
图5.1.1有限的出口宽带 Fig 5.1.1 limited exports broadband
5.1.2 万兆核心环网解决方案
早在2006年7月,东北财经大学即启动并完成了校园网核心骨干网络的改造;锐捷网络采用3台万兆核心交换机RG-S6810E组成万兆核心环网解决方案,
东北财经大学亦因此成为国内最早的万兆核心环网实践者。
在核心骨干网改造中,为了解决原有校园网网络结构逻辑层次简单、设备硬件配置低、功能不全、网络结构没有冗余备份线路、管理层次单一、不满足快速增长的带宽需求等问题,锐捷网络对原有网络核心层进行了重新设计,将网络主干全部升级至万兆,末端用户楼栋全部采用千兆接入万兆校园网,采用3台万兆核心交换机RG-S6810E组成万兆核心环网,通过6条万兆链路连接至学生宿舍区、办公区、图书馆的6台汇聚交换机RG-S6806E上、使用2条千兆链路连接到高职汇聚交换机RG-S6806上。
改造后的东北财经大学万兆核心骨干网,实现网络7X24小时的不间断运行;核心骨干网形成的万兆核心环网,使得整个核心层网络即使在任意一台核心交换机故障、或任意一条链路断掉的情况下依然可以保障网络的正常运行。 5.1.3 宿舍网解决方案
伴随校园网建设进程的深入,ABC大学认为,宿舍网的建设和管理水平直接影响着广大学生的学习和生活,是促进数字化校园发展的重要内容,是高校综合竞争能力的重要体现,ABC大学宿舍网的建设逐渐成为ABC大学校园网建设的重点。
锐捷网络SAM运营管理解决方案很好的解决了宿舍网建设和管理过程中普遍存在的问题,如IP地址管理(自动分配),IP地址盗用,自动绑定IP、MAC等多种元素,同时,SAM具有灵活的计费策略、强大的控制策略(防代理)、完整的日志系统,实现了学校“以网养网”的网络建设目标。
要想管理好万兆校园网、宿舍网,就必须采用涵盖先进技术的产品和完善的自动化管理;随着SAM应用的深入,要想充分发挥SAM的能量,必须对组织、制度、流程上加以改进,使运营管理水平更上一层楼,因此制定了20多个具体的制度来规范网络运营,达到了很好的效果。
锐捷网络GSN全局安全解决方案提供的ARP三重立体防御功能彻底改善了网络中ARP攻击频发的局面,最大程度减轻了网络的工作强度与管理压力,使网络用户真正置身于一个安全、可信的网络环境中。 5.1.4 办公网解决方案
高校办公网做为高校校园整体网络的一部分,在高校教育中所承担的作用愈来愈明显,它已成为高校教学、科研、办公及管理不可缺少的支撑环境。随着ABC大学校园信息化的不断推进,教学管理、科研管理、教学资源管理、后勤与服务管理等各种管理系统均需以校园办公网为载体,用以提高东北财经大学整体管理效率、促进教学、科研、服务和管理水平。
锐捷网络高校办公网解决方案的成功实施,很好的解决了东北财经大学办公
网网络环境复杂、用户水平参差不齐、服务质量要求高、安全事件层出不穷,无法进行有效管理等诸多问题。
5.2 用户上网方案
5.2.1 访问校园网
用户在连接到网络中时,首先获得是校园网的IP地址,此时用户只能访问校园网内部的资源,并且对用户不计费。
在该方案中,S6810E和S6806E起到三层交换机的功能,校园网用户之间的互访都必须通过S6810E和S6806E进行。 5.2.2 CERNet
用户需要访问CERNet时,使用CERNet的域名,获得CERNet的地址后,就可以访问 5.2.3 INTERNET
用户需要访问INTERNET时,使用INTERNET的域名,获得INTERNET的地址后就可以访问。
5.3 地址规划和路由设计
5.3.1 地址规划
IP地址规划是整个网络设计中的重要组成部分,地址规划的科学性和合理性将直接反应网络拓扑的设计思想,对网络的稳定起到至关重要的影响。好的地址规划同科学的分层网络拓扑设计相辅相承,共同形成整体的网络设计解决方案。
合理的网段划分结合灵活的VLAN规划,可以有效地降低网络风暴的产生,保证整个网络的稳定,同时也起到一定的网络安全功能。
IP地址规划目标 建立高效的网络路由; 有效利用有限的IP地址资源; 支持网络的扩展;
支持网络技术的演变和发展。 IP地址规划原则
简单性:地址的分配应该简单,避免在主干上采用复杂的掩码方式; 连续性:为同一个网络区域分配连续的网络地址,便于采用路由收敛
(Summarization)及CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项,提高路由器的处理效率;
可扩充性:为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性;
灵活性:地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;
可管理性:地址的分配应该有层次,某个局部的变动不要影响上层、全局。 安全性:网络内应按工作内容划分成不同网段即子网以便进行管理。 校园网地址规划方案 校园网IP地址分配总则 校园网IP地址分为三大块:
校园网内部的私有IP地址,采用RFC中规定的地址段,不能访问Internet和Cernet;
Cernet分配的多个C类公网IP地址,作为和国际互联网互连的地址,域名xxx.edu.cn就解析在这片地址上,主要供网络中心和图书馆、部分实验室专用;
运营商分配的公网IP地址,用于访问Internet。
关键服务器拥有两个公网IP,分别跨接在Cernet和Internet上。 校园网内部私网IP地址的分配
内部地址的分配原则是按建筑物进行的,视用户的数量,1/4、1/2、整个C的划分。为了安全考虑对所有的都采用静态分配IP地址,为防止地址盗用,采用IP地址、MAC地址与端口绑定。
IP地址的分配
用户的计算机在连接到校园网上时,首先获得一个校园网内部的IP地址,此时该计算机只能访问校园网内部。
用户需要访问Cernet和Internet,要使用帐号登陆,认证通过后才能访问。 5.3.2 路由设计
校园网路由设计
不使用默认路由,使用策略路由,防止从Internet访问校园网。 Internet路由设计
采用静态默认路由协议访问Internet
为了实现路由的备份,配置到Internet的两条默认路由,两条路由的优先级可以相同,可以不同。
如果相同,则两条线路采取负载分担方式。
如果不同,则是主备方式,其中优先级高的称为主路由,优先级低的为备份路由。这样,正常情况下,路由器采用主路由发送数据。当线路发生故障时,该
路由自动隐藏,路由器会选择余下的优先级最高的备份路由作为数据发送的途径。这样,也就实现了主路由到备份路由的切换。当主路由恢复正常时,路由器恢复相应的路由,并重新选择路由。由于该路由的优先级最高,路由器选择主路由来发送数据。
采用源地址路由,让Internet地址访问Internet; 采用ACL,防止访问Cernet的流量通过Internet; 采用ACL,防止来自校园网的Internet地址。
5.4 安全与流量控制
5.4.1 网络安全控制
对端口ARP检查防止ARP攻击;
对端口安全:MAC动态地址锁,MAC地址静态绑定;
交换设备 BPDU Guard功能,过滤非法BPDU报文,防止STP攻击交换机;
端口安全:端口静态绑定,自动绑定 IP和MAC 地址防止DOS攻击; 智能安全到边缘:多种ACL,满足不同网络应用,过滤病毒; SSH密文传输,限制管理IP等措施保证设备管理可靠;
对网络病毒的防范:采用设置ACL,对病毒进行过滤; 我们使用的汇聚、核心交换机都支持SPOH,通过端口独立的FFP进行ACL处理,网络设备性能不受设置 ACL 数目影响;
5.4.2 VLAN需求
默认时,交换机分隔冲突域;路由器分隔广播域。第2层交换式网络的最大好处是,它为插入到交换机每个端口的每台设备创建了各自的冲突域。但每一个新的改进通常都会引起新的问题——用户和设备的数量越大,每台交换机必须处理的广播和数据包就越多。
安全性也是一个问题,因为在典型的第2层交换式互联网络的内部,默认时所有用户都可以看见所有的设备。你不能让设备停止广播,也不能让用户不响应广播。连接到物理网络的任何人都可以访问位于物理LAN上的网络资源,用户只需将其工作站插入到现有的集线器中,就可以加入某个工作组。安全性选项只能限于在服务器和其他设备上设置口令。
通过创建虚拟局域网(VLAN),就可以在一个纯交换式的互联网络中,分隔广播域。VLAN是两个部分的逻辑组合:一是网络用户;二是在管理上连接到交换机所定义端口的资源。
如果创建了VLAN,情况就可以大大改善。在虚拟创建局域网时,可以将交
换机上的不同端口分派到不同的子网中,这样就可以在第二层交换式互联网络中创建一些小的广播域。可以象对待单独的子网和广播域一样来对待VLAN,这意味着网络上的广播域只在同一个VLAN内部的逻辑组的端口之间进行转发。
用VLAN来简化网络管理的方式有多种:
通过将某个端口配置到合适的VLAN中,就可以实现网络的添加、移动和改变。
将对安全性要求高的一组用户放入VLAN中,这样,VALN外部的用户就无法与他们通信。
作为功能上的逻辑用户组,可以认为VLAN独立于它们的物理位置或地理位置。
VLAN可以增强网络安全性。
VLAN增加了广播域的数量,同时减少了广播域的范围。
使用VLAN具有以下优点: a.控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
b.提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
c.网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。 5.4.3 VLAN划分设计
VLAN概述:
VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
组建VLAN的条件 VLAN是建立在物理网络基础上的一种逻辑子网,因此
建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
划分VLAN的基本策略 从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
a.基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
b.基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
c.基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
5.4.4 网络异常流量监测技术
异常流量监测系统的智能化主要体现在以下三个方面。
1.流量自学习能力。通过对网络流量的监测掌握网络正常流量模型。通过监测一段时间的网络流量,建立起一个基于时间的正常流量模型。该模型会在系统内数据库中,对监测网络的各个时间段内的各种协议流量建立一个动态流量基线。当某个时段,某个协议流量与当前基线不符时,会给出一个异常告警,并随着时间积累,会将告警逐步升级。因此,这种智能化的流量学习能力可以更加精确地掌握网络中实际的正常流量的情况,为判断异常流量提供有力的依据。
2.蠕虫攻击特征检测。网络蠕虫攻击一般在流量、协议、攻击端口以及攻击行为方面会具有一定的特征。因此,在对这类网络蠕虫攻击进行监测时可以根据其特征进行判断。一方面可以根据流量自学习功能掌握正常流量的基础,分析判断出一些异常流量,并提取这些流量特征,还为今后的分析判断提供参考和借鉴;另一方面,建立一套蠕虫攻击特征的分发和收集系统,不断从其他监测点收集新的异常特征,又不断将这些特征分发到域内的监测系统中。因此,这种智能化的蠕虫攻击特征检测可以提高已知蠕虫特征的攻击监测准确性,也可以提高监测未知蠕虫攻击的能力。
3.攻击源的自动追溯。攻击源的自动追溯在发现攻击时,对攻击流量的源
头进行反向信息跟踪,并将相关的流量信息进行关联分析,以判断攻击源的位置。在发现攻击时,根据接口信息、AS、BGP路由等信息,最终将定位出最靠近攻击源的接口信息。因此,这种智能化的攻击源的自动追溯能力可以提高攻击源的定位效率,从而大大提高应急响应的速度。
异常流量监测系统与异常流量过滤系统进行联动,也可以通过宣告黑洞路由、提供ACL过滤策略等方式与路由设备进行交互来有效的处理异常流量。而网络应急响应体系的重要环节之一就是监测,尤其是对网络异常流量的监测工作。没有及时的发现安全问题,就谈不上高效的做出应急响应。因此,异常流量监测技术在整个网络安全应急响应体系中占有十分重要的地位。
(1) 骨干网监测
考虑到骨干网流量大、范围广,因此骨干网监测主要采用分布式监测方式。监测的主要目的是通过异常流量监测系统和产品的流量自学习功能掌握正常流量模型,在此基础上,能够对分析和判断带宽型“垃圾”流量攻击,例如SQLSlammer蠕虫攻击等垃圾流量在大量占用骨干链路资源的情况。
(1) 对核心层汇聚层监测
监测的主要目的是及时发现和定位来自网内部的蠕虫攻击、DDOS攻击、网络滥用行为(如网络扫描)、垃圾邮件等安全问题。在部署异常流量监测系统的基础上,为了提高应急响应的效率和自动化程度,还部属流量过滤系统,与异常流量监测系统进行联动。一旦发现有异常流量,立即将异常流量引入流量过滤系统进行“清洗”,以保护重要系统或重要客户网络资源,降低异常流量对这些系统的冲击。
实施方法: 1. 核心层,汇聚层
管理员pc接入锐捷68系列交换机控制端口,进行参数配置,对骨干网络的网络状况进行监测,并对流量进行监控(分端口流量控制,对学生宿舍,教师宿舍,行政楼,教学楼,专项课题研究楼的流量按需求进行监测和控制设置)。设置防火墙ACL策略,对管道进行流量控制。
2. 接入层
管理员pc接入锐捷STAR-S2126G和STAR-S2150G交换机控制端口,进行参数配置,对区域网络的网络状况进行监测,并对流量进行监控,对突发流量进行及时响应。由于这一层是到终端PC,对学生用户,教师用户,课堂用户,行政用户,研究用户的端口流量进行细致的监测和控制。
a.对学生用户的流量分时段,分端口进行控制,在行科和办公时段,把学生用户的流量控制在最低限度,在其余时段恢复正常的流量带宽。对部分占用较大带宽的应用(如:p2p的bt,在线电影等),要进行端口的流量的限制。
b.对教师用户的流量,分端口进行控制,对部分占用较大带宽的应用(如:p2p的bt,在线电影等),要进行端口的流量的限制。
c.其他类型的用户根据应用需求,对流量分优先级进行控制。
5.5 无线网络
校园有线以太网络技术已经从百兆、千兆向万兆迈进,对于处于接入层的设备而言,百兆以太网已经成为目前可以接受的速率标准。对于同样处于接入层的无线设备而言,传统的802.11b/g所提供的11M/54Mbps的速率已经无法与有线网络相比,因此在传输较大容量报文数据的时候,常常显得力不从心。
作为校园无线网络的主流协议的802.11g和802.11a技术,经过近年来的不断发展,分别衍生出了Super G和Turbo A增压技术技术,能够通过信道捆绑和包压缩等技术,将信道理论带宽加速到108Mbps,使得校园无线信道带宽被拓宽到一个百兆互联的水平,彻底颠覆了无线无法与有线媲美的概念。这对于部署校园无线网络是转折性的改变,对于校园无线网络的规划者,可以在前期选择支持加速技术的无线产品,部署在对连接速度要求较高的区域,以满足高速无线互联的要求,并可以完全带来不亚于百兆有线以太网的数据传输能力,避免局部数据传输瓶颈的产生。
在本方案中主要存在二种典型的环境结构。局部开放的室内大环境,如典型公共教室、图书阅览室、食堂、会议室等。
RG-WSG108系列产品以802.11g技术为基础,通过信道带宽加速技术,成功将信道带宽提高到108Mbps,为整个环境提供了高速无线接入的手段。同时,为了便于安全管理,该系列产品除了支持传统的WEP加密技术之外,还提供了SSID广播禁止功能和基于802.1X认证的WPA技术,配合锐捷网络成熟的安全认证解决方案,为整个无线区提供了安全、高效、大面积覆盖的高速无线园区网。
用户管理及网管功能 运用了锐捷StarView网络管理系统所提供的用户管理功能。 无线校园网一般由许多AP构成,它们的物理安装位置都比较分散。如何准确地监控每AP的运行状态是保证无线网络稳定运行的关键。锐捷StarView网络管理系统是整体WLAN解决方案的重要组成部分。
5.6 IPTV
5.6.1 IPTV需求
该校园网内的IPTV的设计主要是应该校园内的视频点播和网络化教学这两个需求而进行的。
视频点播(VOD) 功能允许用户根据自己的安排而不是预先确定的时间欣赏视频。 VOD 类似于 PVR,只不过节目内容存储在有线电视提供商的服务器上,
而不是在客户端或者说用户设备中。VOD只是IPTV中的一项功能。
网络化教学,这里所指的主要是网络化视频教学。即老师可以通过视频会议或者是事先将讲课内容录制好,通过网络播放的方式来进行教学。
IPTV能够很好的做到这两点需求。
利用IPTV可以直接通过计算机上网看电视节目,现在基本上都是基于软件模式的应用,如PPLIVE等。
IPTV的特点在于,凡是有电视机的家庭,添加一个机顶盒,即使不懂有关电脑与网络的知识,只运用电视遥控器,就可享受IPTV带来的家庭娱乐新境界。不仅仅是电视,通过IPTV还可以进行视频通信。
IP 机顶盒是一种专用计算设备,它可以充当电视机和宽带网络之间的接口。 除了对电视信号进行解码并呈现其内容外,IP 机顶盒还可以提供包括视频点播 (VOD)、电子节目指南 (EPG)、数字权限管理 (DRM) 以及各种交互式服务和多媒体服务在内的功能。 IP 机顶盒可以支持用户占主动的功能,比如 Web 浏览、电子邮件及其附件浏览、高级的多媒体编
码解码器、家庭网络、个人计算机连接、网关功能、即时信息 (IM) 和实时的 voice over IP (VoIP) 通讯。 这些类型的高级功能将应最终用户的要求而提供,它们扩展了网络运营商的服务空间。
IPTV业务带宽需求
IPTV业务包括直播电视(live TV)、视频点播(VOD)、时移电视(time-shifted TV)等多种业务。对于直播电视和时移电视业务,目前主要采用MPEG-4视频码流提供服务;对于视频点播业务,目前能够采用MPEG-4和微软的WMV9两种视频码流提供服务。
考虑到IP网络的开销和统计复用特性引起的流量波动等因素,为了保证IPTV的播放质量,建议为每一个IPTV用户规划3 Mbit/s以上的带宽(采用MPEG-4编码时)。如果同时考虑PC上网流量,建议为每个宽带用户规划4 Mbit/s以上的带宽。如果采用WMV9编码格式的片源,则一般需要为每一宽带用户规划1.5 5.6.2 Mbit/s带宽。
针对目前网络状况,我们对汇聚带宽问题提出以下发展建议:
·对汇聚层设备进行上下行带宽扩容和升级,下行带宽根据接入层设备升级情况进行相应升级,上行带宽设计到N×GE。
·对通过ATM核心网络直连到BRAS上的ATM DSLAM,可以考虑增加路由器来终结ATM信元并旁路IPTV业务的VC连接,从而绕过BRAS瓶颈。
·根据业务开展进度,逐步将ATM DSLAM 替换为内置BRAS功能的IP DSLAM。 ·汇聚层交换机/路由器应支持二层组播协议IGMP V2 和三层组播协议PIM-SM。
·将IPTV系统的边缘节点部署到汇聚层BRAS以下,从而使单播的视频流量无需通过BRAS。
如果采用分布式部署,则只有各个业务节点之间的CDN(内容分发网络)的流量经过核心网,因此IPTV系统对核心网带宽需求不高;采用集中式部署时,点播业务占用的带宽较大。
·基于此,对核心带宽问题考虑如下发展建议:
·业务初期考虑到业务规模不大采用集中式部署,业务大规模推广时,采用分布式部署。
·核心层设备支持域内组播协议PIM-SM和域间组播协议MBGP/MSDP。 IPTV业务QoS需求
由于IPTV业务中视频码流的实时性、连续性,希望承载网络提供QoS保证,而且业务对承载网的延时、丢包和抖动比较敏感。其中直播类视频业务如直播电视对QoS的要求高于点播类视频服务如VOD。游戏类业务是一种双向交互式的数据业务,其业务特性如操作命令的灵敏性决定了对数据包的传输时延要求特别高。
针对目前网络状况,我们对QoS问题提出以下发展建议:
·从逻辑上区分IPTV业务流和传统数据业务流,减少传统数据业务流对IPTV业务流的影响。
·利用分布式IPTV部署来缩短视频流在网上的传送距离,缓解QoS问题。将IPTV服务节点下放到接近STB的位置简化QoS的保证。
·在网络汇聚层和核心层启用业务服务分类机制,统一规划和定义QoS服务等级,边缘进行流的分类和标记。
在接入层CPE和ATM DSLAM之间建立多个PVC来区分不同的业务从而形成不同的逻辑网络。
启用L3 QoS 与L2 QoS之间的映射和PVC与DSCP/802.1P 之间的映射。 IPTV业务组播支持需求
IPTV业务要求网络提供端到端组播支持,以降低视频业务对核心网络、汇聚网络的带宽需求,针对目前网络组播支持状况,可以考虑如下发展建议:
·对在网的核心层/汇聚层设备启动三层域内PIM-SM/ DM和域间MBGP/MSDP组播路由协议和二层IGMP组播协议,进行组播互通测试,对无法实现组播和组播互通的设备进行替换。
·对在网的接入路由器启动三层域内PIM-SM组播协议和二层IGMP组播协议,进行组播互通测试,对无法实现组播和组播互通的设备进行替换。
·对在网的ATM DSLAM进行二层IGMP组播测试,对无法实现组播的设备视业务开展情况逐步替换为IP DSLAM。
·如果视频流需经过BRAS,则需要BRAS支持PIM-SM/ DM和IGMP代理协议。 5.6.3 IPTV设计
设备选择: 三方面的考虑:
(1)带宽:采用MPEG-2编码方式,需要大约4Mbit/s的带宽可以使画面达到DVD质量;而采用压缩率更高的MPEG-4编码方式,达到同等质量也需要大约1.5Mbit/s的带宽。H.264在略低于1Mbit/s的传输速度下播放质量能达到DVD水平。
(2)QOS:由于IPTV业务中视频码流的实时性、连续性,希望承载网络提供QoS保证,而且业务对承载网的延时、丢包和抖动比较敏感。其中直播类视频业务如直播电视对QoS的要求高于点播类视频服务如VOD。游戏类业务是一种双向交互式的数据业务,其业务特性如操作命令的灵敏性决定了对数据包的传输时延要求特别高。
(3)交换机支持组播功能:这样可节省带宽,“一发多收”式节目发送。使用这种方式,网络为每个节目只发送一个实时数据流而与收看节目的人数无关。这样您可以将节目发送给几个甚至几千个用户而不需加重带宽的负载。
一、汇聚层交换机的选择: RG-S6806E
要求汇聚层交换机支持广播、组播功能。信号从核心交换机出来,在汇聚层就进行组播,可以减轻网络的负担。
二、接入交换机的选择: STAR-S2126G/STAR-S2150G交换机 为什么需用以上的设备:
1、RG-S6800E系列多业务万兆核心路由交换机提供1.6T/0.8T背板带宽,并支持将来扩展到3.2T/1.6T的能力,高达572Mpps/286Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干和大流量节点交换机的理想选择。
RG-S6800E交换机通过扩展高性能的多业务卡支持策略路由、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等业务功能,满足客户环境灵活而复杂的不同应用需求。
丰富的应用支持技术(QOS、组播)
RG-S6800E提供多种流分类技术和多种QOS技术,包括SP、WRR、WFQ、WRED、CAR、HOL等,为各种应用的带宽保障提供需要的支持技术。
流分类:可以依据数据流的源/目的MAC地址、源/目的三层IP地址、三层
协议(IP/IPX)、四层协议(UDP/TCP)、源/目的四层协议端口号、COS、TOS对数据流进行区分,实现2/3/4层的流分类功能。
数据标记:802.1p是二层协议,可以为数据提供8个级别的优先级标记;DSCP在三层的IP协议报文里进行优先级标记,可以提供64个级别的优先标记。
队列调度:严格优先级队列SP保证高优先级业务总是在低优先级业务之前处理;WRR是一种加权循环队列调度机制,首先处理高优先级,但在处理高优先级业务时,较低优先级的业务并没有被完全阻塞,而是按一定的比例同时进行。WFQ是加权公平队列,对所有的数据流进行排队,监控吞吐率,并根据发送的信息量分配权值。WFQ试图公平地为每个对话分配带宽,保证低带宽应用可以获得对接口的访问权,而不会被高带宽应用全部占用。
拥塞控制:WRED加权随机早期检测协议,可以设置各个数据流在拥塞发生之前自动丢失数据的阀值,避免较高优先级应用的拥塞丢失。HOL通过消除HOL阻塞确保最高可能的吞吐量;最大限度地减少包丢失,减少多路传输和广播流量拥塞。
承诺信息速率:CAR可以为重要的数据流设定固定的带宽,如果设定的带宽合理,满足该数据流的需求,就可以保证重要数据流的正常转发。
提供多种组播支持技术,包括IGMP snooping、IGMP、PIM(SSM、SM、DM),DVMRP,保证了网络中提供组播服务时的带宽合理占用。
2、STAR-S2126G/STAR-S2150G是一款全线速可堆叠千兆智能交换机,提供智能的流分类和完善的服务质量(QoS)以及组播管理特性,并可以实施灵活多样的ACL访问控制。
可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。 具体方案:
1、在每幢宿舍和教学楼配置安装机顶盒,通过电视实现在线观看电视,视频点播和视频教学。
2、,学生在宿舍也可直接利用IPTV通过计算机上网看电视节目,这种方式的实现现在基本上都是基于软件模式的应用,如现在流行的PPLIVE软件等。
理由:
1、宿舍是同学们课后娱乐的主要场所,要满足同学们的要求,宿舍必须要实现IPTV的功能。实现的具体方式可以是通过计算机上网直接看电视节目(通过软件实现),也可以是通过电视机+机顶盒的方式实现。
2、教学楼实现视频点播功能主要是满足老师讲课时要求的视频教学功能。实现的具体方式可以是通过计算机上网直接看电子视频教案(通过软件实现),也可以是通过电视机+机顶盒的方式实现。
6. 校园网络建设评价
6.1 方案特点与可行性分析
6.1.1 高带宽、高性能
该解决方案是基于标准的二、三层以太网交换技术,技术成熟度非常高。学校网络中心放置路由交换机上行通过GE接至教育网,GE可以是单模或者多模,由校园网的具体情况而定。GE作为整个学校出口带宽可充分满足用户对带宽的要求,使学校出口不再成为整个校园网用户上网的瓶颈。在学院网络中心通过下行使千兆链路连接汇聚层交换机。汇聚层交换机下行1000M光纤口连接接入楼宇交换机,百兆交换到桌面,100M的带宽可充分满足用户高速上网,视频点播等多种宽带业务。核心交换机拥有1000M出口联接校园网,各层设备全部支持线速交换,给用户提供了真正的高带宽网络,对未来高带宽的宽带业务提供了强大的支撑能力,校园宽带网的发展潜力巨大。 6.1.2 网络管理
校园网在为广大师生提供便捷、高效的学习、工作环境的同时,也在宽带管理、计费等方面存在许多问题:
网络计费管理功能的单一
随着校园网规模的不断扩大和用户群体的日益增多,原有的单一计费管理功能已不能满足要求。
对带宽资源的大量占用导致重要应用无法进行
对于每个学校来说,它的带宽资源都是有限的。而上网人数的急增和各种各样在线游戏的流行使有限的带宽资源不堪重负,由于没有带宽限制和优先级设置,一些重要用户和重要应用得不到必要的带宽保证而影响了正常的教学和科研工作。
访问权限难以控制
互联网上充斥了许多色情、暴力、反动信息 ,如何让学校、家长放心,使孩子尽量远离这些不良信息也是必须解决的一个问题。
异常网络事件的审计和追查
当异常网络事件发生后,如何尽快的追根溯源,找出幕后“黑手”,防止事件的再次发生,成了网络维护人员不得不面对的棘手问题。
多个校区的管理和维护
由于现在校园网的规模越来越大,呈现出多校园、跨地区的特点,这就要求网络管理员能对分布在各个校区的管理、计费设备进行管理和维护,管理员的工
作量相当大。
为了帮助网管人员轻松实现对众多网络设备的管理、及时排查网络故障和提高用户管理的效率,SAMⅡ还提供了全网拓扑发现功能、AGTS用户管理模式、接入时段管理以及免安装客户端自动升级等功能,帮助高校用户轻松管理整个校园网络。
客户账号与IP地址、MAC地址、NAS设备地址和NAS 端口绑定 SAMⅡ通过六元素自动绑定、静态绑定和动态绑定相结合,实现安全认证到桌面,不但可以确保用户入网时身份唯一,而且有效避免了IP冲突,同时,为网络安全上了双重保险。例如,SAMⅡ安全认证能够实现动态绑定,SAMⅡ动态绑定是指在用户登陆网络时,用户的相关信息将自动与服务器和接入层交换机同时绑定。届时如果用户登录网络后一旦更改自己的相关信息(如IP地址、MAC的只等),则无法通过交换机认证,通过动态绑定确保了用户的身份唯一,在最大程度上消除了内部安全隐患,极大的提高了客户行为的唯一性,有效的防止了IP地址和客户账号盗用现象的发生。
对账号登录次数的限定
系统对同一账号同时登录次数作出明确的限定,避免了多人次使用同一账号上网的现象。
完善的计费管理功能
针对高校校园网络灵活运营的需求,锐捷网络SAMⅡ校园网解决方案开发出贴近校园用户需求的计费模式,不仅有计时长、包月等传统计费方式,还增加了计天计费方式,并以之为基础,设计了一次交费,分段开通的计费模式。例如,一个学生需要在6月1日的时候开通,但是他6月10日的时候需要出去实习2周,这时,用户完全可以在6月1日的时候选择开通10天,系统就只在这10天内扣除相应费用,到10日的时候系统会自动停用该帐号,直到用户再次选择开通。
其次,SAMⅡ提供了完善的自助服务系统,简单明了的中文界面为用户提供了包括快捷注册,个人信息、密码进行修改,上网明细、交费记录及余额自助查询,在线充值、注销用户等功能服务。不但方便了终端用户缴费,同时也极大地减轻了管理者的管理和收费工作负担,有效缓解了学生缴费和学校收费的矛盾。
另外,为了给高校用户带来最优的应用体验,SAMⅡ“想用户之所想”,为学校提供了完善的流程化服务。SAMⅡ解决方案预置了包括收费通知、管理员招聘启示等在内的多种应用问题模版。这些看似简单的模版,是锐捷网络服务数百所高校用户的经验积累,锐捷网络通过将用户的需求以及用户反馈的先进经验进行积累,逐渐形成的一套立体化服务体系。需要注意的是,网络建成后,该服务体系还将对用户进行实时跟踪,及时了解用户需求并为用户提供网络系统定期排查
服务,保障用户的网络轻松运行和持续运营。
带宽的限定和业务优先级的设定
系统能对每个客户上下行的带宽上限加以限定,防止个别客户占用过多网络资源。还能对不同的用户数据设定业务优先级(例如实验室、教师机房与学生宿舍、普通机房相区别),以保证重要数据能得到更好的服务
访问时间的有效控制
为了帮助学校实现灵活的上网接入时段管理,SAMⅡ提供了用户接入时段管理。通过对日常、周末以及节日的一次性设置,可以轻松灵活的管理用户能够使用网络的时段,帮助学校实现灵活的上网接入时段管理。例如,学校可以根据自己的实际情况,在平时设定允许上网的时段(如6点-7点、17点-23点等);不允许上网的时段(如0点-5点、8点-16点等);或是在周末设置较长的允许接入网络的时间等。同时,SAMⅡ解决方案还针对此提供了优先级划分功能,如节日的时段管理优先级最高,周末次之、日常最低。一年只需对日常、周末以及节日的时段管理设置一次,其间如果遇到特殊情况,可根据实际需要,随时修改。。
快捷实现全网管理
全网拓扑发现功能可以对全网设备、网络节点以及事件、性能、日志进行实时监控,统一管理。特别值得一提的是,SAMⅡ提供的全网拓扑发现功能,能够发现非网管设备(网线、集线器HUB等),让非网管设备也难逃“法眼”。一旦学生私建局域网,网管老师可以迅速发现,并采取相应措施,保证网络正常运行。
除了全网拓扑发现之外,SAMⅡ解决方案创新推出了AGTS的用户管理模式,来对用户数量庞大、类型繁多的校园网进行有效管理。以前,每个用户在注册帐户的时候,网管老师不仅要输入该用户的姓名、年级、班级等个人信息,还要输入该用户的IP地址、MAC地址等元素。统计表明,一个用户注册登记时,录入相关的用户信息大概需要3分钟,若录入3万个用户的相关信息至少需要两个月。而SAMⅡ的AGTS用户管理模式,则可以根据学校的具体情况首先针对不同学院进行分组,如信息工程管理学院、商学院等;接着再对这些学院的学生进行细分,如本科生1号宿舍楼用户、研究生宿舍用户、专科生宿舍用户等等。不仅如此,AGTS用户管理模式还针对用户的相关信息设置了对应的模板,全面简化了操作流程;现在,用户采用AGTS用户模版进行注册最多只需30秒既能完成,大大提高网管老师的工作效率。
强大的事件追查功能
系统中丰富的日志信息和便捷的追查工具能使网络管理员在面对异常事件时,能及时作出反应,迅速找出幕后“黑手”。
多校区远程管理功能
系统能同时对位于不同校区的NAS设备提供远程管理功能,在实现统一多个校区资费策略的同时还大大减少了网络管理员的工作量 6.1.3 完善的安全机制
校园楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定等等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交换设备设置由硬件实现ACL,对病毒进行过滤,我们选用的汇聚、核心交换设备都支持SPOH,所以在使用ACL时将不会影响整个交换机的性能。
硬件实现端口与MAC地址和用户IP地址的绑定,严格限定端口上用户接入;
通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN资源;
通过Private VLAN可以在交换机的同一VLAN中提供端口之间的通讯或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因传统802.1QVLAN造成全网VID资源不够的问题,同时又无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私;
通过锐捷SAM平台,可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;
支持业界特有的IGMP源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性;
提供极为有效的Port Blocking功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户PC更高效安全地运行;
基于源IP地址控制的Telnet和Web设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;
提供加密传输的Secure Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;
可灵活控制二-七层数据报文,使得任何一个用户PC上的任何一种应用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。
作为教育网节点。该校师生人数众多,拥有上万台主机,上网用户也在1.5
万人左右,而且用户数量一直成上升趋势。校园网在为广大师生提供便捷、高效的学习、工作环境的同时,也在安全方面存在许多问题
病毒、蠕虫等多元化发展
随着病毒、蠕虫等“恐怖分子”的攻击手段呈多元化发展,单一的防护措施已经无能为力保卫校园网络安全。当IDS侦测到某终端用户感染病毒后,只能将相关信息形成报告通知网管人员,等待处理。然而,此时受感染的用户可能已经通过网络散播到了校园网络的各个角落。
来自网络内部的恶意攻击
据相关数字显示,目前,校园网遭受的恶意攻击90%以上是来自于内部,诸如窃取他人密码等重要信息、盗打IP电话、校园一卡通金额被盗等事件时有发生。对此,如果仅仅倚靠被动的监测方式,就给事后追查“嫌疑人”的网管人员制造了难以逾越的瓶颈。
IP 地址及用户账号的盗用
由于校园网中用户数量众多,难免出现盗用他人IP地址和用户账号的行为,这就大大增加了学校网络管理的难度,IP地址冲突不断、用户无法正常上网,也给学校计费、缴费工作带来麻烦。
多人使用同一账号
由于某些计费软件功能相对简单,没有对同一账号同时登录次数进行限制,使得多个用户可以使用一个账号上网,造成了学校资费流失。
针对这些问题,锐捷提供了一套完整的校园网宽带管理、计费方案――锐捷网络SAMⅡ。该方案全面采用IEEE 802.1X认证功能,提供了一个融合防火墙、接入服务器、访问控制、认证、计费功能的强大系统,对学校存在的每个问题都能提供完全的应对策略。
控制网络病毒。
统一对接入层交换机做动态下发安全策略,轻松有效的控制网络病毒,使网络保持畅通。在汇聚、核心交换设备设置由硬件实现ACL,对病毒进行过滤,我们选用的汇聚、核心交换设备都支持SPOH,所以在使用ACL时将不会影响整个交换机的性能。
抵御网络攻击。
结合网络攻击的检测系统,能够抵御日益增多的内部网络攻击,并且自动对用户做出相应的控制动作,保证网络安全。
安全认证到桌面。
采用六元素的自动绑定、静态绑定、动态绑定相结合,可以确保用户入网时身份唯一,并且避免了IP冲突。
管理分级授权。
不同职能的管理者使用同一套系统时可以得到不同的操作界面以及使用权限,避免了管理的安全隐患。 6.1.4 易维护
锐捷网络交换机都经过独特设计具备防尘、防潮、防静电等多种适于在楼道安装和使用的特点。 而且具有强大的运行维护能力,能有效降低运营商的运维成本。支持RS-232本地管理口及Telnet、WEB、SNMP 代理,远程监控(RMON 1~3,9组)可根据运营商的不同要求,使用不同的管理方案,支持SNMP协议的全网集中网管。交换机能够提供全中文菜单或图形配置方式,为交换机的管理和配置提供了极大的便利。提供了故障告警和日志功能,可通过机箱面板上指示灯直观地了解设备的运行状态。 6.1.5 高可靠性
锐捷网络产品均使用国际上主流的先进ASIC芯片进行设计,并率先采用ISO9002生产标准进行生产,确保了设备的稳定性。通过全国180余所大学的实际应用证明实达网络产品完全可胜任苛刻的宿舍网应用场合。
独有EAPS,保证软件永续运行:
冗余引擎、电源、风扇 30-70摄氏度稳定工作 140-260伏电压稳定工作
6.1.6 低成本、可扩展性强
以太网交换技术历经长期发展,得到众多厂商的支持,以技术实现简单而获得极大的性能价格比。锐捷网络公司的以太网交换机全部基于标准的以太网交换技术,使用专用芯片技术,具有极高的性价比,保证了整个网络核心部分的稳定、可靠和高性能。
锐捷中心交换机采用模块式设计,用户只需简单地添加端口模块即可实现网络的扩容,完整保护用户投资。
锐捷STAR-S2100系列交换机支持弹性堆叠功能,可根据需要扩展堆叠从机;这样,当网络需扩容时,只需简单添加堆叠从机,不必再添加设备管理IP;同时,网络速度不会受到影响。 6.1.7 严格的QoS保证
校园网络中心路由交换机RG-S6810E 根据一套广泛的管理原则而制定的业务路由功能实现基于应用的过滤和转发功能。RG-S6810E和S2126G、S2150G交换机都支持丰富的优先级调度,有利于在网上开展基于IP的视频、话音业务。配合网络的高转发性能,对不同类型的业务和不同类型的用户进行分类支持,为
话音、视频等实时业务提供质量保证。对关键业务和非关键业务进行区分处理,保证关键业务畅通运行。
总结与致谢
选择这个课题的时候,心里着实忐忑,以内对路由器交换这方面的知识不是得心应手,不过在经过几周的计算机网络基础知识后,终于熟悉了锐捷路由交换、网络拓扑图的构建等知识,才能完成本次设计。
同时,由于第一部分的内容是集体做的,让我深刻感受到了团队的合作,因为一个人所学的知识不可能面面俱到的,只有通过合作,发挥自己的优点,体现团队精神,才能使工作做得更为出色。在之后的个人设计中,也遇到过不少的问题,但在朋友的帮助下难关一一被攻克。这次设计让我学习的知识有了一个融会贯通,受益匪浅。方案不是很完美,因为我的侧重点只是设备的配置,对于设备的选取、资金、综合布线等等问题没有深入讨论,恳请老师多多指教!不过对于该方案的可行性分析以及配置的优点我有进行过深入地分析与选择,不过一个完美的校园网设计还应全方位的考虑,所以我会加倍努力,严格要求自己,让自己的只是变得更加丰富。
当今的社会是竞争的社会,而人才的竞争则是竞争的焦点,毕业设计对于我们即将离校的同学来说,是离校前很好的一次锻炼,使我们各方面的能力都有了很大的提高,为我们踏出校门,走上社会增强了能力与自信!
本次设计大概持续了一个多月的时间,现在终于到结尾了。经过这次设计,我们的能力有了很大的提高,比如操作能力、分析问题的能力等方方面面都进步了。
这期间凝结了很多人的心血,在此我们要向沈群力老师和蔡京玫老师表示由衷的感谢!你们教导是我的大学生涯中最灿烂的篇章!
参考文献
[1] 王春海 张翠轩著,网络工程案例,北京:人民邮电出版社,2007.9 [2] 王群著,网络安全,北京:人民邮电出版社.2007.4 [3] 《网管员必读—网络组建》 王达 编著 电子工业出版社
[4] 吴功宜著,计算机网络(第2版),北京:清华大学出版社,2007.3 [5] 百度网:www.baidu.com
[6] 《计算机网络(中级),(高级)》胡道元 清华大学出版社 [7] 新浪科技网: http://tech.sina.com.cn
[8] 《局域网设计与应用》 北京洪恩计算机教研中心 组编 [9] 薛华成.管理信息系统.北京:清华大学出版社,1993.
因篇幅问题不能全部显示,请点此查看更多更全内容