怀化学院校园网案例分析.ppt

前言： 校园网是为学校师生提供教学、科研和综合信息服务的宽 带多媒体网络。它是在学校范围内，在一定的教育思想和理 论指导下，为学校教学、科研和管理等教育提供资源共享、 信息交流和协同工作的计算机网络，它不仅提供了全校师生 访问Internet的功能，还是一个具有交互功能和专业性很强的 局域网络。学校门户网站、网络教学平台、信息资源、网上 图书馆等数字校园平台，都可以通过网络运行工作，校园网 应为学校教学、科研提供先进的信息化环境。本章以高校校 园网设计、管理与维护中的一些技术、应用系统作为案例进 行介绍和分析，以帮助读者更好地掌握一个大规模复杂网络 管理与维护的经验、技术。 学院平面图 1 校园网建设的需求分析 1.1用户需求分析 1.2网络需求分析 1.3管理需求分析 1.4安全需求分析 2校园网建设的技术选型 2.1校园网络中心 2.2教学子网 2.3 办公子网 2.4宿舍子网及后勤子网 3 校园网建设的设备选型 3.1交换机的选择 3.2路由器的选择 3.3服务器的选择 3.4防火墙 4 校园网建设的拓扑结构 1.1用户需求分析： 随着校园网用户数目与新的应用需求不断增加，特别是网上多 媒体及远程教育应用的展开，对校园网主干带宽提出了新的更 高的要求。因此根据怀化学院用户要求应满足以下要求： 新的校园主干采用具有第三层交换功能的千兆位以太网，以满足 广大用户的各种要求。 新的主干建设应能保护校园网的已有投资，要求与原有ATM 校园 网实施最佳连接，并提供新校园网的管理方案与管理策略。 支持IP 多目广播（Multicast）与服务质量或服务类型，满 足远 程教育的需要 支持虚拟网络（VLAN）。 网管软件应具备对接入层交换设备进行远程可操作的能力 1 校园网建设的需求分析 1.2网络需求分析： 根据怀化学院教学和活动较为分散的实际环境，校园网的网络部分的设计 应满足以下要求： （1）独立的网络环境要求 由于各部门的相对独立以及各自的安全要求， 需要提供相对独立的网络环境。专业子网建设、VLAN划分为此提供了 技术保证。 （2）网络要有足够的扩展能力，当网络扩大时，网络性能不会大幅度下 降。 （3）高度的网络环境要求 不少部门的设计对项目的网络环境提出了特殊 的要求，涉及到大容量数据的传输，要求有独立的高速局域网。校园 网的网络平台设计为此提供了保证。 （4）网络应有一定的安全机制，防止滥用。 校园的大多数项目都要有特 殊的保密要求，如文档、图纸的个人保密、小组保密等，系统将依靠 整个安全体系作保障，尤其是同意资源管理与访问控制将严格实现到 桌面的安全要求。 （5）根据应用的频繁程度，选择联入校园网的模式 有些部门虽然有联入 校园网的需求，但是信息量不打，因此可以考虑采用一些低成本的方 式，如拨号上网等。 1.3管理需求分析： 根据校园网络设计，怀化学院的宿舍楼，教学楼，实验楼，办公楼 ，需纳入 校园网络中。要单设一间网络管理中心来管理。对网络应 当能够方便地进行统一管理和控制。 1.4安全需求分析： 学院的网络安全是一个很重要的问题，学院网络中包含了学生的身 份证等重要的个人信息，所以学校网络中网络的安全在乎关键。安 全是一个多方位问题，主要包括信息安全（安全保存、安全传输） 、安全管理（系统管理与权限管理分权管理）和网络系统安全（网 络安全、主机安全等）。根据需要结合网络、应用、资源管理等统 一考虑，综合利用防火墙等措施。 2.1校园网络中心： 网络中心设计主要包括主干网络的设计、校园网与Internet的互连、远程访 问服务等。 (a)主干网络的设计 对于校园网中路由规划，骨干网络一般采用OSPF路由协议，OSPF协议在 整个骨干网中不会引起路由回环，利于校园网骨干网络的健壮性。主干网络 采用联想新推出的LS5608G智能型8口机箱式千兆以太网交换机作为校园 网的中心交换机，适用于大型主干网络和高速率、高端口密度、多端口类型 的复杂网络。同时可以选择MS51031口千兆位以太网模块 (SX/MM/850nm,0350m)或MS51041口千兆以太网模块 (LX/SM/1310nm,06km)与下面的各个子网通过千兆位的链路相连。 2 校园网建设的技术选型 (b)校园网与Internet的互连： 推荐采用局域网专线接入方式，此方式需要配备路由器等设备，租用专线 DDN或帧中继（FrameRelay），也可申请ISDN专线并向CERNET管理部门 申请IP地址及注册域名，以专线方式连入Internet，并提供防火墙、计费管理 等功能。 (c)远程访问服务 采用联想LA220和LA240访问服务器，安装在本地局域网中，通过1至4 个调制解调器(或ISDTA)和1至4根电话线，即可为远程访问人员提供拨号上 网服务，远程用户只需拥有1个调制解调器和1根电话线，通过拨接LA220 或LA240上所连接的电话号码，就可以登录访问。 2.2教学子网： 在网络基础平台的基础上，建设支撑校园网数据传输的计算机网络，这是本 次本学院校园网建设的核心。网络平台应当提供便于扩展、易于管理、可靠 性高、性能好，性价比高网络系统。 2.3办公子网： TCP/IP已经成为未来数据通信的基础技术，而基于TCP/IP的Intranet/Internet 技术成为校园网应用的标准模式，采用这种模式可以为未来应用的扩展性和 可移植性奠定基础。Intranet/Internet基础环境提供基于TCP/IP的整个数据交 换的逻辑支撑，它的好坏直接影响到管理、使用的方便，扩展的可行性。 2.4宿舍子网及后勤子网： 为了解决学生宿舍、教工宿舍以及一些分布比较分散的客户端上网问题， 以及ARP攻击及欺骗等方面的问题，在校园网络中使用 PPPoE 的认证方式 主要因为PPPoE 不使用ARP，也就不存在ARP 攻击。采用 PPPoE 接入方式 ，不需要设置固定 IP 地址、默认网关和域名服务器。即使在用户乱设造 成 IP 地址冲突的情况下，依然可以正常上网。它对通过成对修改 IP-MAC 地址来盗用 IP地址有很好的防范效果。 宿舍区子网即在学生宿舍内部连网，用以直接浏览学校发布的信息及查阅 一些电子文档资料；后勤子网覆盖范围较大，主要用途有食堂IC卡计费系 统等。由于宿舍区子网及后勤子网对带宽的要求并不高，因此我们选用联 想LH201616口10/100M自适应集线器，提供16个双速集线器端口，能够自 动适应所接设备的速度(10/100Mbps)，每台LH2016背面都有2 个堆叠口、利用这两个堆叠口最多可堆叠6台集线器，最大可用端口数为96 个。 3.1交换机的选择 根据学院校园网建设的实际情况，需要在东西校区网络中心各部署一台 核心交换机。该核心交换机要求：支持各种模块热插拔、支持多种千兆 端口、支持链路聚合IEEE 802.3ad、支持三层协议、较高的背板带宽和 包转发率、硬件或NP多业务卡方式支持IPV6（保证网络系统以后平滑升 级）、支持三种生成树、支持802.1x、各种QOS和组播协议的支持等。据 具体情况为了满足学院要求采用锐捷新一代多业务万兆核心路由交换机 RG-S6806E。 区域汇聚交换机都要求：支持千兆端口、支持链路聚合IEEE 802.3ad、 支持三层协议、较高的背板带宽和包转发率、支持三种生成树、支持 802.1x、各种QOS和组播协议的支持等。我们采用锐捷全千兆智能多层交 换机STAR-RG-S5750-24GT/12SFP做区域汇聚。 3 校园网建设的设备选型 校园网设备选型要充分考虑满足校园网的主要性能指标，采用国内外技 术领先、成熟的网络产品，实现高可靠性、稳定性。 3.2路由器的选择 根据我院校园网建设的实际情况，需要在东西校区网络出口各部署一台高性 能路由器，为了满足实际网络的需要和未来的升级扩展，该路由器要求：高 性能、提供强大的路由功能、 提供硬件的NAT功能等。我们采用锐捷高端多业务路由器RSR-08E。它具有以 下可靠性： 用于 RE 切换的无中断切换, 具有无中断转发特性；联机软件升级可实现无中 断的较小升级； MPLS FRR 确保流量能够迅速地绕过故障； MPLS TE 路 径控制用于路径优化, 结合了可预测的性能, 可用于话音和视频等延迟敏感型 业务； LSP ping 等高级 OA&M 特性可用来排除 MPLS 的故障； IETF 平稳 协议重启机制可用来无中断重启 IS-IS、 BGP、OSPF、OSPFv3、LDP、 RSVP、第 2 层 VPN 和第 3 层 VPN；模块化 RGNOS 软件可确保某一个模块 发生故障时不会对整个操作系统产生影响；用户友好的命令可对正在运行的 网络安全地实施新配置, 也可以回退到以前的工作配置。 3.3服务器的选择 对于怀化学院的网络系统来说，主服务器应该满足以下要求： 高可靠性，并能 提供高可用性解决方案 ；系统级高度安全性；良好的可扩展性和投资保护手段 ；技术的先进性；经济性；易于管理和维护；开放性，能方便与其它系统相连 接。 因此，根据学院要求应选用曙光天阔系列作为网络服务器，曙光天阔I650(r)型 服务器是曙光精心打造的一款性能卓越,稳定可靠,配置灵活的新一代双路Xeon 服务器。主频可达3.6GHz以上，系统前端总线频率为800MHz，具有处理速度 快、可用性强、易管理、可伸缩等特点，处理性能大幅度提高。能运行 Windows 2000 Server，Windows 2003 Server，Redhat8.0、Redhat9.0和 SCO Unixware7.1.1等各种主流操作系统，是能适应多种重要任务环境的新一 代IA架构服务器。 3.4防火墙 学院的网络安全是一个很重要的问题，学院网络中包含了学生的身份证等重 要的个人信息，所以学校网络中网络的安全在乎关键。所以为了保障学院的 网络安全应采用了RG-WALL1000。 RG-WALL1000采用锐捷网络独创的分类算法（Classification Algorithm） 设计的新一代安全产品第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用 程序(如VoIP, H323等)时，可提供强有力的安全信道。 采用锐捷独创的分 类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品 安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包 的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL 具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影 响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能、防范入 侵及其它附加功能 4 校园网建设的拓扑结构 本次设计，东西校区各设一个1000M互联网出口，我们电信网络，在怀化 市内有自己的城域环网，保证这两个1000M互联网出口不是出自同一个模块 局，确保出口线路冗余。由于目前学校东校区的网络中心还未建成，暂时将 东西两个校园的核心设备放在西区的网络中心，东区的汇聚设备都通过两对 光纤形成的双链路与两个核心互连。东区网络中心造成后东区设备转放东区 网络中心机房。 为了能够实现骨干网络的稳定可靠，本次东西校区的网络建设我们选择双核 心双链路的方式，即整个校园网采用双核心的方式，两台核心之间通过千兆 单模光纤相连，同时每个区域的区域汇聚交换机通过双千兆单模光纤上联