校園網(wǎng)絡(luò)的規(guī)劃與設(shè)計范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)校園網(wǎng)絡(luò)的規(guī)劃與設(shè)計文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
關(guān)鍵詞:校園網(wǎng);規(guī)劃;設(shè)計
中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2012)06-1277-03
Planning and Design of the Campus Network
LI Xiao-qiang
(Guangzhou Institute of Physical Education Modern Education Technology Center, Guangzhou 510050, China)
Abstract: With the coming of an information society, network is changing the way of peoples,working, living and studying. Campus net? work for teachers and students to provide an advanced, open, practical computer network environment. In this paper, the school campus network construction, the focus from the campus network needs analysis, system design principles and goals, four aspects of the sys? tem-building programs, and network configuration has conducted a preliminary study.
Key words: campus network; planning; design
計算機網(wǎng)絡(luò)系統(tǒng)是數(shù)字化校園建設(shè)的核心基礎(chǔ)設(shè)施,目標(biāo)是建設(shè)一個集數(shù)據(jù)、語音、視頻服務(wù)于一體的高帶寬、多功能、多服務(wù)、開放的、多業(yè)務(wù)接入的IP多媒體交換園區(qū)網(wǎng)。為了解決廣州體育學(xué)院上網(wǎng)速度慢、網(wǎng)絡(luò)難以管理、網(wǎng)絡(luò)應(yīng)用不豐富等的問題,滿足學(xué)院飛速發(fā)展的需要,學(xué)院決定對網(wǎng)絡(luò)進行改造,建設(shè)一個統(tǒng)一規(guī)劃的、先進的、完善的、覆蓋整個廣州體育學(xué)院校區(qū)的計算機網(wǎng)絡(luò)。在該網(wǎng)絡(luò)中,校區(qū)內(nèi)部每棟主要樓宇間(重要場所)是以萬兆為主干、千兆到二級樓宇網(wǎng)、百兆到桌面的全交換的智能網(wǎng)絡(luò),同時還可以提供無線接入的手段;主要樓宇之間實現(xiàn)高速互聯(lián);擁有獨立的高速國際出口;并且整個網(wǎng)絡(luò)中QoS可以得到充分保證。
1網(wǎng)絡(luò)設(shè)計的原則和目標(biāo)
計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計必須適應(yīng)當(dāng)前學(xué)校各項應(yīng)用,又可面向未來信息化發(fā)展的需要,因此必須是高質(zhì)量的。在設(shè)計網(wǎng)絡(luò)時,需要遵循以下原則和目標(biāo):1.1實用性和先進性
采用先進成熟的技術(shù)滿足廣州體育學(xué)院的業(yè)務(wù)需求,兼顧其他相關(guān)的管理需求,盡可能采用先進的網(wǎng)絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)、語音、視頻(多媒體)的傳輸需要,使整個系統(tǒng)在相當(dāng)一段時期內(nèi)保持技術(shù)的先進性,以適應(yīng)未來信息化的發(fā)展的需要。1.2安全可靠性
為保證各項業(yè)務(wù)應(yīng)用,網(wǎng)絡(luò)必須具有高可靠性,盡量避免系統(tǒng)的單點故障。要對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備等各個方面進行高可靠性的設(shè)計和建設(shè)。在采用硬件備份、冗余等可靠性技術(shù)的基礎(chǔ)上,采用相關(guān)的軟件技術(shù)提供較強的管理機制、控制手段和事故監(jiān)控與網(wǎng)絡(luò)安全保密等技術(shù)措施提高整個網(wǎng)絡(luò)系統(tǒng)的安全可靠性。
1.3靈活性和可擴展性
計算機網(wǎng)絡(luò)系統(tǒng)是一個不斷發(fā)展的系統(tǒng),所以它必須具有良好的靈活性和可擴展性,能夠根據(jù)業(yè)務(wù)的不斷深入發(fā)展的需要,方便的擴展網(wǎng)絡(luò)覆蓋范圍、擴大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點的功能。具備支持多種通信媒體、多種物理接口的能力,提供技術(shù)升級、設(shè)備更新的靈活性。
1.4開放性和互連性
具備與多種協(xié)議計算機通信網(wǎng)絡(luò)互連互通的特性,確保本計算機網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮。在結(jié)構(gòu)上真正實現(xiàn)開放,基于開放式標(biāo)準(zhǔn),包括各種局域網(wǎng)、廣域網(wǎng)、計算機等,堅持統(tǒng)一規(guī)范的原則,從而為未來的發(fā)展奠定基礎(chǔ)。1.5經(jīng)濟性和投資保護
應(yīng)以較高的性能價格比構(gòu)建本計算機網(wǎng)絡(luò)系統(tǒng),使資金的產(chǎn)出投入比達到最大值。能以較低的成本、較少的人員投入來維持系統(tǒng)運轉(zhuǎn),提供高效能與高效益。盡可能保留延長已有系統(tǒng)的投資,充分利用以往在資金與技術(shù)方面的投入。1.6可管理性
由于系統(tǒng)本身具有一定復(fù)雜性,隨著業(yè)務(wù)的不斷發(fā)展,網(wǎng)絡(luò)管理的任務(wù)必定會日益繁重。所以在網(wǎng)絡(luò)設(shè)計中,必須建立一套全面的網(wǎng)絡(luò)管理解決方案。網(wǎng)絡(luò)設(shè)備必須采用智能化,可管理的設(shè)備,同時采用先進的網(wǎng)絡(luò)管理軟件,實現(xiàn)先進的分布式管理。最終能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡(luò)的運行情況,合理分配網(wǎng)絡(luò)資源、動態(tài)配置網(wǎng)絡(luò)負載、可以迅速確定網(wǎng)絡(luò)故障等。通過先進的管理策略、管理工具提高網(wǎng)絡(luò)的運行性能、可靠性,簡化網(wǎng)絡(luò)的維護工作,從而為辦公、管理提供最有力的保障。
2網(wǎng)絡(luò)整體結(jié)構(gòu)設(shè)計
2.1總體結(jié)構(gòu)
系統(tǒng)使用基于TCP/IP協(xié)議的以太網(wǎng)技術(shù)構(gòu)建,采用核心層、匯聚層和接入層的三層結(jié)構(gòu),網(wǎng)絡(luò)系統(tǒng)需整體全面同時支持IPv4和IPv6,在日后IPv6布署時直接支持而無需新增任何設(shè)備與費用。本網(wǎng)絡(luò)系統(tǒng)主要采用全新構(gòu)建,并整合校園原有網(wǎng)絡(luò)資源,充分保障用戶的投資。網(wǎng)絡(luò)的核心層采用萬兆核心路由交換機,匯聚層采用萬兆或千兆的路由交換機,接入層采用千兆安全智能交換機,并可管理到每一個端口。
計算機網(wǎng)絡(luò)系統(tǒng)的核心設(shè)在新建的網(wǎng)絡(luò)中心機房,然后在圖書館、科研樓、教學(xué)樓、科學(xué)館,舊網(wǎng)絡(luò)中心、西區(qū)教工宿舍、東區(qū)教工宿舍、學(xué)生宿舍、研究生公寓和體育綜合館等地設(shè)置萬兆匯聚點,其它原有建筑物如體操館、學(xué)生服務(wù)中心等通過千兆連接到萬兆匯聚點作為二級匯聚點。每棟建筑物的每一至三個樓層設(shè)置一個樓層配線間,作為接入層設(shè)備放置點。對于學(xué)院現(xiàn)有的室內(nèi)外體育場館、圖書館、教學(xué)樓等地方,將采用無線網(wǎng)技術(shù)進行全面覆蓋。計算機網(wǎng)絡(luò)的結(jié)構(gòu)示意圖如圖1所示:
圖1計算機網(wǎng)絡(luò)結(jié)構(gòu)示意圖
計算機網(wǎng)絡(luò)系統(tǒng)達到以下功能及特點:
a)采用萬兆以太網(wǎng)作為核心,體現(xiàn)系統(tǒng)高性能,雙核心、雙路由器(本次暫不采購)等冗余結(jié)構(gòu)提供網(wǎng)絡(luò)高可靠性;b)安全策略分發(fā),可以自動統(tǒng)一下發(fā)安全策略,達到設(shè)備群的安全策略適時更新,有效及時地保證網(wǎng)絡(luò)安全;c)合理規(guī)劃VLAN以對廣播風(fēng)暴實現(xiàn)隔離;d) VLAN跳轉(zhuǎn)功能實現(xiàn)IP地址高效管理;
e)可和DHCP服務(wù)器配合實現(xiàn)用戶權(quán)限設(shè)定;f)整網(wǎng)方案實現(xiàn)對病毒傳播進行有效控制;
g)確保校內(nèi)組播實現(xiàn),同時也要杜絕非法組播;
h)合理的IP地址分配策略和防IP盜用的技術(shù)方法;
i)可網(wǎng)管可維護的設(shè)備,方便維護幫故障定位;
j)采用IEEE802.1x+Radius認證計費方式,實現(xiàn)免客戶端安裝和在線升級,認證計費及時段管理等。
2.2核心層
本網(wǎng)絡(luò)的核心設(shè)置在網(wǎng)絡(luò)中心機房,核心設(shè)備使用兩臺萬兆路由交換機,通過萬兆鏈路互連后,形成雙核心冗余結(jié)構(gòu)。因為需 要提供萬兆和千兆鏈路也匯聚層連接,對核心交換機背板架構(gòu)、背板帶寬、控制引擎性能和線卡處理能力都有極高的性能要求。同時設(shè)備需要提供多種冗余手段以保證設(shè)備的穩(wěn)定性和可靠性。
2.3匯聚層
匯聚層主要是完成網(wǎng)絡(luò)的安全控制機制,使骨干網(wǎng)與訪問網(wǎng)相分離,為區(qū)域內(nèi)流量提供三層交換,為三層路由提供匯聚。匯聚層交換機主要匯聚各接入設(shè)備,同時針對相應(yīng)的安全機制(ACL、端口認證等)對訪問層的數(shù)據(jù)進行訪問控制。核心層和匯聚層之間采用萬兆或千兆光纖組成多個環(huán)狀拓撲,匯聚層與訪問層之間采用千兆光纖組成多個環(huán)狀拓撲,以提供層間的冗余和負載均衡。
2.4接入層
接入交換機的設(shè)置在樓層弱電間內(nèi),根據(jù)綜合布線系統(tǒng)的結(jié)構(gòu)管理水平信息點。結(jié)合不同的環(huán)境,主要采用四種類型的接入型交換機:24口百兆交換機、48口百兆交換機、24口帶網(wǎng)口供電的百兆交換機。所在接入交換機均支持通過千兆光纖鏈路上聯(lián)到匯聚層交換機。2.5無線接入
無線接入主要為各種室內(nèi)外的場館、教學(xué)樓、科研樓及圖書館的開闊閱覽室等開放式環(huán)境提供數(shù)據(jù)接入。由于廣州體育學(xué)院整個校園比較大,需要布置無線的地方比較多,為了方便統(tǒng)一管理和規(guī)劃,本系統(tǒng)將采用瘦無線的方式設(shè)置,即通過設(shè)置以連接在網(wǎng)絡(luò)中的無線控制器對全網(wǎng)的無線接入點進行統(tǒng)一的管理與配置,使用戶可以在整個無線網(wǎng)絡(luò)覆蓋的區(qū)域內(nèi)自由穿梭并具有良好的數(shù)據(jù)傳輸質(zhì)量。
2.6網(wǎng)絡(luò)出口與網(wǎng)絡(luò)安全
網(wǎng)絡(luò)出口要連接中國教育網(wǎng)和互聯(lián)網(wǎng),為保證校園網(wǎng)內(nèi)部的信息安全,網(wǎng)絡(luò)出口處采用路由器加雙防火墻結(jié)構(gòu)。兩臺高性能千兆防火墻主要為網(wǎng)絡(luò)出口在執(zhí)行多種安全策略的同時仍然保證高速的帶寬。路由器采用自身冗余結(jié)構(gòu)保證網(wǎng)絡(luò)出口的穩(wěn)定性,并為數(shù)據(jù)傳輸提供教育網(wǎng)和互聯(lián)網(wǎng)的路由選擇。如果出口線路能提供備份的情況下,出口路由器也可使用雙機冗余結(jié)構(gòu)。
3系統(tǒng)的軟件結(jié)構(gòu)設(shè)計
3.1用戶管理系統(tǒng)
在用戶管理方面,需要實現(xiàn)校園網(wǎng)絡(luò)的可運營、可維護,我們采用了H3C CAMS作為用戶管理中心。CAMS(Comprehensive Ac? cess Management Server)綜合訪問管理服務(wù)器是H3C公司推出的集事前認證、事中監(jiān)控、事后審計和業(yè)務(wù)管理為一體的多業(yè)務(wù)安全接入管理平臺,可以與H3C交換機、路由器、VPN網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備共同組網(wǎng),實現(xiàn)對用戶寬帶接入、VPN接入、無線接入以及IP電話接入的管理、認證、授權(quán)和計費。CAMS作為校園網(wǎng)網(wǎng)的用戶管理中心,在基本的AAA(Authorization、Authentication and Accounting)功能之上,提供了多業(yè)務(wù)融合的管理、維護和安全控制平臺,可與企業(yè)現(xiàn)有系統(tǒng)平滑對接,構(gòu)建可管理、可運營、高安全的企業(yè)網(wǎng)絡(luò)。
CAMS采用分布式、模塊化、跨平臺的開放體系結(jié)構(gòu)和基于TCP/IP的通信機制,可以平滑擴容、靈活擴展、按需定制。CAMS采用Windows操作系統(tǒng)平臺和SQL Server數(shù)據(jù)庫管理系統(tǒng),并支持集群服務(wù)器、磁盤陣列、數(shù)據(jù)庫備份等特性,為用戶提供了一種低價格、高可靠、高性能的網(wǎng)絡(luò)安全和用戶管理解決方案,能夠滿足各種規(guī)模網(wǎng)絡(luò)的用戶管理、身份認證、權(quán)限控制和實時計費的要求。3.2綜合IT資源監(jiān)控管理系統(tǒng)
IT系統(tǒng)綜合管理平臺的設(shè)計及建設(shè)是結(jié)合計算機網(wǎng)絡(luò)、教育系統(tǒng)、機房監(jiān)控、IT系統(tǒng)維護管理流程、設(shè)備信息、報警管理、操作對象和管理要求等綜合因素進行考慮的,并做出合理的、適應(yīng)特定使用和管理需要的設(shè)計。以下根據(jù)要求,系統(tǒng)方案將按各個子系統(tǒng)闡述,并結(jié)合其監(jiān)控管理范圍和職能劃分為網(wǎng)絡(luò)監(jiān)控、服務(wù)器和操作系統(tǒng)監(jiān)控、數(shù)據(jù)庫及應(yīng)用系統(tǒng)監(jiān)控、告警管理、報表管理等功能模組。
3.3 IPS入侵抵御系統(tǒng)
H3C IPS 1200是專門針對今天大中型企業(yè)的千兆環(huán)境安全需求而開發(fā)的。越來越多的企業(yè)面臨著保護內(nèi)網(wǎng)和數(shù)據(jù)中心安全的挑戰(zhàn),但是又沒有足夠多的現(xiàn)場工程師,而且在保護企業(yè)業(yè)務(wù)安全的同時,還必須保證足夠高的網(wǎng)絡(luò)速度來保持較高的企業(yè)生產(chǎn)力水平。通過在線部署H3C IPS IPS產(chǎn)品,可以有效的阻止各種惡意流量和無關(guān)流量,而正常流量可以絲毫不受影響。事實上,通過清掃“網(wǎng)絡(luò)垃圾流量”和提高關(guān)鍵應(yīng)用流量的優(yōu)先級,H3C IPS可以極大的優(yōu)化正常流量的性能。H3C IPS優(yōu)越的性能和無與倫比的入侵抵御精度將給網(wǎng)絡(luò)安全以新的定義,勢必將從根本上改變?nèi)藗儽Wo網(wǎng)絡(luò)的方式。
4總結(jié)
校園網(wǎng)絡(luò)的規(guī)劃設(shè)計是一項系統(tǒng)工程,不同的規(guī)劃設(shè)計方案,可使網(wǎng)絡(luò)存在較大的性能差異,它不僅體現(xiàn)在網(wǎng)絡(luò)本身具備的技術(shù)特性和應(yīng)用特點上,也體現(xiàn)了不同用戶的各種需求。在前面的分析中,對一些常見問題也進行了分析,但是由于校園網(wǎng)絡(luò)獨有的特點和較高的要求,還有一些問題需要以后做進一步的研究。
參考文獻:
[1]滑瑞朋.淺談校園網(wǎng)的建設(shè)[J].山西科技,2007(3).
[2]楊愛紅,李素娟.淺談小型校園網(wǎng)的規(guī)劃與設(shè)計[J]電腦知識與技術(shù),2011(7).
第2篇
關(guān)鍵詞:網(wǎng)絡(luò)結(jié)構(gòu);主干網(wǎng);核心層;匯聚層;接入層
中圖分類號:TP393 文獻標(biāo)識碼:A文章編號:1007-9599 (2011) 01-0000-01
The Planning and Design of Campus Network Structure
Luo Yong,Deng Jiarong
(Wenshan Institute,Wenshan663000,China)
Abstract:With the advent of information age,campus network Structure catch more and more college attention.This departure from the campus network design principles,focusing on the campus network architecture and describe the hierarchy of the network options and recommendations.
Keywords:Network structure;Backbone network;Core layer;Convergence layer;Access layer
一、校園網(wǎng)絡(luò)設(shè)計原則
(一)整體規(guī)劃、分步實施原則。充分考慮整體需求,既要考慮到目前的應(yīng)用需求,還應(yīng)考慮校園網(wǎng)建設(shè)過程中的資金投入不可能一步到位、以及今后出現(xiàn)新技術(shù)和新需求的實際情況,做到升級維護簡單易行,后期建設(shè)不浪費原有投資。
(二)先進性和成熟性原則。要有先進的設(shè)計思想和超前意識,設(shè)計要充分應(yīng)用已經(jīng)成熟的先進技術(shù),采用市場覆蓋率高、標(biāo)準(zhǔn)化和技術(shù)成熟的軟硬件產(chǎn)品,能根據(jù)技術(shù)的發(fā)展平穩(wěn)的向新技術(shù)過渡,保證網(wǎng)絡(luò)通訊介質(zhì)、網(wǎng)絡(luò)設(shè)計核心的向后兼容性。
(三)可擴充性原則。要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡(luò)平臺,采用層次性的系統(tǒng)設(shè)計原則,使網(wǎng)絡(luò)具有良好的可擴充性,在將來網(wǎng)絡(luò)升級或再投資的情況下,能隨時通過增加網(wǎng)絡(luò)設(shè)備或模塊來對現(xiàn)有設(shè)備進行升級和擴充,并能把替換下來的設(shè)備應(yīng)用到分支或邊緣網(wǎng)絡(luò)上。
(四)開放性和標(biāo)準(zhǔn)化原則。網(wǎng)絡(luò)設(shè)計采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放用戶接口,能兼容不同的拓撲結(jié)構(gòu),支持良好的維護、測量和管理手段,提供網(wǎng)絡(luò)統(tǒng)一實時監(jiān)控,實現(xiàn)設(shè)備的統(tǒng)一管理;整個網(wǎng)絡(luò)系統(tǒng)全部采用或符合國際標(biāo)準(zhǔn),以便和不同廠家的產(chǎn)品互操作和互聯(lián),自由地選擇不同廠家的計算機、網(wǎng)絡(luò)設(shè)備及操作系統(tǒng)。
(五)安全可靠性原則。充分考慮整個網(wǎng)絡(luò)的穩(wěn)定性,要充分考慮關(guān)鍵鏈路、設(shè)備、系統(tǒng)的冗余設(shè)計,支持網(wǎng)絡(luò)節(jié)點的備份和線路保護,通過使用網(wǎng)絡(luò)用戶身份識別、VLAN、包過濾、入侵檢測及防火墻等技術(shù)建立全方位、立體化的網(wǎng)絡(luò)安全體系,保證網(wǎng)絡(luò)系統(tǒng)的安全性。
(六)經(jīng)濟實用性原則。網(wǎng)絡(luò)規(guī)劃設(shè)計應(yīng)具有良好的性價比,要考慮到網(wǎng)絡(luò)技術(shù)的日新月異,選擇網(wǎng)絡(luò)設(shè)備時要有前瞻性,要能夠兼容未來的標(biāo)準(zhǔn)技術(shù)及應(yīng)用,避免現(xiàn)在選擇的技術(shù)或設(shè)備在一段時間后就會過時甚至被淘汰,造成新一輪的大規(guī)模投資,盡量減少二次投資。
二、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案
(一)網(wǎng)絡(luò)架構(gòu)選擇。在校園網(wǎng)的建設(shè)過程中,主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對網(wǎng)絡(luò)建設(shè)的成功與否起著決定性作用。選擇適合自身校園網(wǎng)絡(luò)需求特點的主流網(wǎng)絡(luò)技術(shù),不但能保證網(wǎng)絡(luò)的高性能,還能保證網(wǎng)絡(luò)的先進性和擴展性,將來能向新技術(shù)、新設(shè)備平穩(wěn)過渡,從而保護原有投資。校園網(wǎng)屬于局域網(wǎng)范疇,通過網(wǎng)絡(luò)主干將各樓宇內(nèi)的局域子網(wǎng)互聯(lián)起來,并通過出口系統(tǒng),實現(xiàn)與外部教育網(wǎng)、公網(wǎng)互聯(lián)。網(wǎng)絡(luò)主干、各樓宇的子網(wǎng)、網(wǎng)絡(luò)出口、各種網(wǎng)絡(luò)安全系統(tǒng)以及網(wǎng)絡(luò)管理系統(tǒng)構(gòu)成完整的校園網(wǎng)絡(luò)系統(tǒng)。
目前,校園主干網(wǎng)建設(shè)中采用的網(wǎng)絡(luò)技術(shù)主要有千兆以太網(wǎng)技術(shù)、萬兆以太網(wǎng)技術(shù)、FDDI技術(shù)以及ATM技術(shù),這些技術(shù)各有優(yōu)缺,選擇時需要綜合考慮實際建設(shè)的具體需求,選擇適合于學(xué)校自身實際情況的網(wǎng)絡(luò)。通過以上幾種技術(shù)對比,千兆以太網(wǎng)和萬兆以太網(wǎng)技術(shù)具有傳輸速率高、技術(shù)成熟、性價比優(yōu)異等特點,是當(dāng)今校園網(wǎng)建設(shè)的主流技術(shù),同時也是對原有網(wǎng)絡(luò)升級的明智選擇。因此,如果是中等規(guī)模的院校,其校園網(wǎng)絡(luò)規(guī)劃可選取以千兆以太網(wǎng)組建網(wǎng)絡(luò)核心,以百兆以太網(wǎng)作為分支局域網(wǎng)的組網(wǎng)方式。
(二)網(wǎng)絡(luò)層次結(jié)構(gòu)選擇。對于中等規(guī)模高校而言,根據(jù)校園規(guī)劃、校園內(nèi)數(shù)據(jù)訪問流量特點,網(wǎng)絡(luò)可采用模塊化、層次化的設(shè)計方法,使用核心層、匯聚層、接入層三層構(gòu)架方式。通過千兆光纖交換構(gòu)建網(wǎng)絡(luò)核心層,構(gòu)成網(wǎng)絡(luò)主干;通過千兆雙絞線交換構(gòu)建匯聚層,構(gòu)成樓宇子網(wǎng)交換;通過百兆交換構(gòu)成接入層,實現(xiàn)樓宇中各樓層房間的網(wǎng)絡(luò)接入。核心層通過1GE技術(shù)構(gòu)成互聯(lián),主要完成數(shù)據(jù)的高速轉(zhuǎn)發(fā);匯聚層在主干光纖線路上選擇幾個節(jié)點作為匯聚節(jié)點,匯聚節(jié)點與核心節(jié)點之間通過1GE技術(shù)連接,匯聚節(jié)點通過1GE與接入層節(jié)點連接;接入層完成用戶的接入控制、速率限制和網(wǎng)絡(luò)準(zhǔn)入檢測,以及通過802.3af技術(shù)提供對無線AP、IP視頻監(jiān)控頭等的以太網(wǎng)供電。
1.核心層。考慮學(xué)校網(wǎng)絡(luò)建設(shè)有一個逐漸擴大規(guī)模的過程,設(shè)計時充分考慮了網(wǎng)絡(luò)結(jié)構(gòu)靈活性,先在校園網(wǎng)絡(luò)部署2核心節(jié)點,雙冗余模式。兩個核心節(jié)點采用2臺高性能千兆路由交換機作為主干中心交換機,將兩核心節(jié)點以千兆雙回路互聯(lián)提供無阻塞傳輸骨干網(wǎng),并實現(xiàn)負載分擔(dān)和互為備份,提高核心層的可靠性和穩(wěn)定性。
2.匯聚層。在校內(nèi)的學(xué)生宿舍、圖書館、行政樓、實驗樓、和多媒體教室部署匯聚交換機,采用千兆交換機作為匯聚交換機,匯聚交換機和核心交換機之間采用雙鏈路捆綁連接,實現(xiàn)負載均衡的同時完成鏈路備份。考慮到學(xué)校內(nèi)今后可能存在大量高帶寬要求的內(nèi)網(wǎng)訪問需求,對于匯聚交換機的MAC地址大容量能力及MAC地址的學(xué)習(xí)更新速度等重要指標(biāo)提出了嚴(yán)格要求,需要在設(shè)備選擇時著重考慮。
3.接入層。考慮到網(wǎng)絡(luò)對帶寬需求的持續(xù)增長,接入層節(jié)點考慮1000M上聯(lián),100M到桌面的接入方式。交換機采用支持千兆上聯(lián)和快速以太網(wǎng)連接的高性能三層交換機,根據(jù)樓宇接入信息點數(shù)量、數(shù)據(jù)流量的不同,選擇不同的交換機。對于信息點少、數(shù)據(jù)流量小的樓宇,可考慮直接連接到就近的匯聚交換機;信息點密集的樓宇可以采用多臺交換機堆疊后通過千兆鏈路上聯(lián)至匯聚交換機。在校園內(nèi)一些特殊區(qū)域如會議室等區(qū)域,采用WLAN接入,實現(xiàn)網(wǎng)絡(luò)全方位覆蓋。
參考文獻:
[1]熊桂喜,王小虎譯.計算機網(wǎng)絡(luò)(第三版)[J].清華大學(xué)出版社
第3篇
關(guān)鍵詞: 校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計網(wǎng)絡(luò)安全管理需求設(shè)計特點
一、 校園地理環(huán)境
我校分為南北兩個校區(qū),南區(qū)為教學(xué)區(qū),包括:三棟教學(xué)樓、一棟圖書館、一棟教師辦公樓、一棟教工宿舍、兩棟學(xué)生宿舍;北區(qū)為實訓(xùn)中心,與南區(qū)相隔一條街道,包括:南北兩棟實訓(xùn)樓。
二、校園網(wǎng)功能需求
學(xué)校是以現(xiàn)代化手段培養(yǎng)人才的地方。為了更好地使計算機及其網(wǎng)絡(luò)在輔助教學(xué)、教學(xué)管理等方面發(fā)揮作用,我校計劃在校內(nèi)建立校園網(wǎng),并與國際互聯(lián)網(wǎng)相連。
校園網(wǎng)的信息點應(yīng)該普及兩個校園區(qū)所有教學(xué)樓的教室,實訓(xùn)中心的電腦室、實訓(xùn)室,教師辦公樓,圖書館,宿舍樓等,同時教室辦公樓應(yīng)該提供無線網(wǎng)絡(luò)接入。校園內(nèi)每個信息點的電腦都可以相互訪問,實現(xiàn)廣泛的軟件、硬件資源共享;同時每個信息點的電腦都能接入互聯(lián)網(wǎng),提供基本的Internet網(wǎng)絡(luò)服務(wù)功能,如電子郵件、對外個人主頁服務(wù)、ftp服務(wù)、域名服務(wù)等。
三、校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計
1.綜合布線結(jié)構(gòu)
根據(jù)學(xué)校的地理位置,各棟建筑物到網(wǎng)絡(luò)中心的距離,以及數(shù)據(jù)的流量,采取光纖+超五類綜合布線系統(tǒng)。
(1)主干網(wǎng)。網(wǎng)絡(luò)中心在圖書館四樓,對于南區(qū)教學(xué)區(qū),因為每棟樓到網(wǎng)絡(luò)中心都在400米左右,所以每棟樓的交換機都用12芯的室外多模光纜與網(wǎng)絡(luò)中心的核心交換機連接;而北區(qū)實訓(xùn)中心因為離網(wǎng)絡(luò)中心太遠,南北樓的交換機用12芯的室外單模光纜與網(wǎng)絡(luò)中心的核心交換機連接。主干網(wǎng)是由光纖構(gòu)成的1000M網(wǎng)。
(2)樓內(nèi)網(wǎng)。每棟樓的交換機都放在四樓中間的一間房間里,各個信息點到交換機的距離都在100米內(nèi),樓內(nèi)的布線用超五類線,為每間教室、實訓(xùn)室、辦公室等提供兩個信息點。樓里面則構(gòu)成10―100M的網(wǎng)絡(luò)。
2.設(shè)備選型
網(wǎng)絡(luò)設(shè)備必須在技術(shù)上具有先進性、通用性,必須便于管理、維護。網(wǎng)絡(luò)設(shè)備應(yīng)該滿足學(xué)校現(xiàn)有計算機設(shè)備的高速接入,應(yīng)該具備未來良好的可擴展性、可升級性,保護學(xué)校的投資。網(wǎng)絡(luò)設(shè)備必須在滿足功能與性能的基礎(chǔ)上價格最優(yōu)。網(wǎng)絡(luò)設(shè)備應(yīng)該選擇擁有足夠?qū)嵙褪袌龇蓊~的廠商的主流產(chǎn)品,同時設(shè)備廠商必須有良好的市場形象與售后技術(shù)支持。
根據(jù)多方面的考慮,我們確定選用華為三康的設(shè)備,路由器用MSR30-40,防火墻用F-1000A,核心交換機用S-7506,各棟樓的接入交換機用E-126A。這些設(shè)備完全滿足校園各種功能需要,同時也滿足未來擴展的需要。
3.Internet接入
根據(jù)對全校總出口流量的估算,為確保內(nèi)部網(wǎng)站和外部網(wǎng)站的連接暢通,我們用電信20M帶寬的光纖專線接入,有一個Internet固定的IP地址,所有計算機都通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)進入Internet。
4.VLAN規(guī)劃
VLAN為虛擬局域網(wǎng),它有如下優(yōu)勢:抑制網(wǎng)絡(luò)上的廣播風(fēng)暴;增加網(wǎng)絡(luò)的安全性;集中化的管理控制。基于這些優(yōu)點,我們按照各棟樓的不同情況對交換機進行VLAN劃分,具體是:VLAN1―設(shè)備管理、VLAN10―圖書館、VLAN11―教師辦公樓、VLAN12―實訓(xùn)中心南、VLAN13―實訓(xùn)中心北、VLAN14―4號教學(xué)樓、VLAN15―5號教學(xué)樓、VLAN16―1號教學(xué)樓、VLAN17―教工宿舍。
5.路由規(guī)劃
核心三層交換機S-7506實現(xiàn)VLAN之間的相互訪問。對于三層交換機來講,所有VLAN(網(wǎng)段)都是直連的,因此只需要啟動路由,而不需要設(shè)置額外的靜態(tài)或動態(tài)路由條目。我們在S-7506中創(chuàng)建VLAN 10至VLAN 17,并把與接入層交換機光纖連接的光纖端口添加到對應(yīng)的VLAN中,同時給VLAN端口添加對應(yīng)的網(wǎng)關(guān)IP作為虛擬端口的IP地址,實現(xiàn)整個校園網(wǎng)不同網(wǎng)段之間的相互訪問。
6.無線接入
充分利用計算機輔助教學(xué)及利用網(wǎng)絡(luò)軟硬件的資源共享,是校園網(wǎng)為教學(xué)服務(wù)的一大特點,我校教師每人配備了一臺手提電腦,手提電腦接入校園網(wǎng),采取無線接入的方式。
構(gòu)建“無線漫游”接入?yún)^(qū),在辦公樓放置三個TP-LINK841無線路由器,SSID都是BanGong,頻道則分別為1、6、11三個互不干預(yù)的頻道,不加密碼是開放式,開啟DHCP,地址池IP為192.168.1.50/24―192.168.1.200/24,這樣教師可以很方便地接入到校園網(wǎng)。
7.開放計算機機房
學(xué)校內(nèi)有大量的各種各樣的開放式機房,是學(xué)生學(xué)習(xí)計算機的場所,通常這些計算機連成一個局域網(wǎng),除具備一般的互訪外,通常還要求這些計算機能夠訪問到Internet。為滿足教學(xué)要求,我們作了如下規(guī)劃:(1)IP地址用私有C類192.168.0.0/24。(2)實現(xiàn)Internet訪問,實際上是一個局域網(wǎng)PC如何共享上網(wǎng)的問題。在每一個機房部署一個信息點,相當(dāng)于Internet出口,用服務(wù)器的方式通過信息點接入校園網(wǎng),從而實現(xiàn)訪問Internet。
8.對外站點
對于一些外部站點的問題,通常放置在DMZ區(qū)內(nèi),DMZ區(qū)的安全等級高于外網(wǎng),低于內(nèi)網(wǎng),防火墻的默認規(guī)則是允許安全等級高的訪問安全等級低的,禁止安全等級低的訪問安全等級高的。因此,防火墻不需要設(shè)置規(guī)則就可以實現(xiàn)內(nèi)網(wǎng)訪問到DMZ區(qū),但外網(wǎng)不能訪問到DMZ區(qū)。對于學(xué)校來講,WWW站點的主要目的就是對外信息,必須讓外網(wǎng)能夠訪問到,為了到達這個目的,可以在防火墻上添加一些規(guī)則,開放DMZ區(qū)所在服務(wù)器的IP,以及相應(yīng)的端口。在DMZ區(qū)放置學(xué)校的服務(wù)器:郵件服務(wù)器、WWW服務(wù)器、數(shù)據(jù)服務(wù)器、文件服務(wù)器。
四、網(wǎng)絡(luò)安全及管理需求
校園網(wǎng)是巨大的資源中心,存放著各方面的信息資源,涉及學(xué)校的方方面面,同時,校園網(wǎng)又是一個開放的系統(tǒng),有不同的人員在校內(nèi)或校外訪問它,因此,校園網(wǎng)的建立不僅是網(wǎng)絡(luò)硬件和應(yīng)用的建立,還應(yīng)該特別重視校園網(wǎng)的安全問題。網(wǎng)絡(luò)安全是一個體系結(jié)構(gòu),涉及整個辦公環(huán)境的各個方面,包括人員和設(shè)備,信息的駐留點,以及沿途經(jīng)過的各個中間環(huán)節(jié),從物理層到應(yīng)用層都要小心對待。
1.設(shè)備級安全
包括網(wǎng)絡(luò)中所有可管理的網(wǎng)絡(luò)設(shè)備、服務(wù)器和網(wǎng)管工作站的安全。設(shè)備級安全是網(wǎng)絡(luò)的第一道屏障,嚴(yán)格限制能夠遠程管理(包括Telnet方式和Web方式)網(wǎng)絡(luò)設(shè)備的IP地址列表,必要時關(guān)閉部分或全部遠程管理功能;對于核心網(wǎng)絡(luò)設(shè)備,如骨干交換機和路由器,建議不設(shè)遠程管理IP地址。
2.傳輸級安全
指敏感數(shù)據(jù)在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質(zhì),室內(nèi)明線使用屏蔽雙絞線,中心機房加裝屏蔽網(wǎng),對遠程傳輸?shù)男畔⑦M行加密等。
3.網(wǎng)絡(luò)層安全
是網(wǎng)絡(luò)安全設(shè)計中的重要一環(huán)。網(wǎng)絡(luò)層攻擊是黑客最常用的攻擊方式,如外部入侵。對付這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進行內(nèi)外隔離,同時內(nèi)網(wǎng)采用保留IP地址,訪問外網(wǎng)時進行NAT轉(zhuǎn)換(網(wǎng)絡(luò)地址轉(zhuǎn)換)。除了防止外部入侵外,也要注意防止內(nèi)部的越權(quán)訪問和故意破壞,一般在VLAN之間進行訪問控制。
4.應(yīng)用級安全
包括防病毒和認證體系。近年來病毒多如牛毛,如:熊貓燒香、ARP地址欺騙等。對于病毒問題,有效的解決方法是安裝網(wǎng)絡(luò)防病毒軟件,修補系統(tǒng)漏洞。同時也要防范因內(nèi)部人員不經(jīng)意或故意“環(huán)路”,形成的“網(wǎng)絡(luò)震蕩”,解決辦法是設(shè)置交換機STP協(xié)議(生成樹協(xié)議)。
校園網(wǎng)是一個比較大型的網(wǎng)絡(luò),為了保證校園網(wǎng)更加有效、可靠地運行,我們配置了一臺網(wǎng)絡(luò)管理工作站,以便更有效地對校園網(wǎng)進行管理。根據(jù)網(wǎng)絡(luò)設(shè)備選型,我們選擇華為三康管理軟件,同時用第三方管理軟件一起管理網(wǎng)絡(luò),主要是solarwinds-toolset工具箱V9.2、超級PING、Sniffer Portable 4.8這三個軟件。
五、方案規(guī)劃設(shè)計特點
該校園網(wǎng)方案采用成熟的先進的技術(shù),采用國際統(tǒng)一標(biāo)準(zhǔn)有廣泛的支持廠商;所有設(shè)備都用華為三康一線產(chǎn)品。Internet帶寬合理,確保網(wǎng)絡(luò)不出現(xiàn)“塞車”現(xiàn)象;設(shè)置三層核心交換機,將整個網(wǎng)絡(luò)劃分為多個VLAN,從而使網(wǎng)絡(luò)更加安全;同時本方案充分考慮了網(wǎng)絡(luò)未來的升級與發(fā)展,把網(wǎng)絡(luò)主干網(wǎng)構(gòu)成了信息高速網(wǎng),對未來的發(fā)展非常有利。
