网络系统集成项目规划设计建议书

1、网络系统集成 校园网项目规划设计建议书第一项目组2013年 7月 1日目 录第一章 网络总体设计 . 1 1.1我院校园网络建设的基础 . 1 1.2 项目建设目标与内容 . 1 1.2.1项目建设目标 . 1 1.2.2 项目建设内容 . 2第二章 路由设计 . 4 2.1 路由协议选择 . 4 2.2 路由规划拓扑图 . 4 2.3 IP 地址规划 . . 4第三章 网络安全解决方案 . 7 3.1 网络边界安全威胁分析 . 7 3.2 网络内部安全威胁分析 . 7 3.3 安全产品选型原则 . 8 3.4 网络常用技术介绍 . 8第四章 设备选型及产品简介 . 10 4.1 网络设备概况

2、 . 10 4.2 设备选用 . 10 4.3产品选型介绍 . 12第一章 网络总体设计1.1我院校园网络建设的基础福建工程学院软件学院创办于 2004年,是经福建省教育厅批准、是福建工程学院 的二级学院。 软件学院办学地点在福建工程学院铜盘校区, 该校区位于风景秀丽、 空气 清新的国家级软件开发基地福州软件园内, ,距福建工程学院本部车程约 8公里左 右。学院占地面积 4.3355万平方米,校舍总面积 6.433万平方米,仪器设备总值 2000万元。校区建有教学楼、行政办公楼、图书馆、学生活动中心、学生公寓、学生食堂、 体育场。 拥有先进的多功能教室, 完备的多媒体语音及网络实验室等。 学院

3、馆藏图书 42.5万册(含电子图书 25万册 。学生公寓均安装有空调并配备了独立卫生间、洗漱间、阳 台、电话、无线和有线网络,生活设施配套齐全。园内有专门公交线路,交通非常便利。 现有全日制在校生 3820人,其中本科生 732人。出于教学、 科研、 信息共享和办公的需要, 学院于 2004年就已经建设校园内部局域 网系统。随着用户不断的增加和网络需求的提升,原有的校园网无论是规模、性能或功 能都已经无法满足当今现代化教学和办公的需要了。因此必须重新设计一个新的校园网 络系统。新的校园网建设不仅要考虑技术的成熟度,更须考虑网络的业务承载能力和扩 展性,从而满足日益增加的网络需求。1.2 项目建

4、设目标与内容1.2.1项目建设目标该项目建设实施后,完成教学大楼的网络信息点建设、楼内光纤工程、办公自动化 系统及其配套工程、 楼内有线电视系统、 智能查询系统和监控系统等。 以促进学院教学、 科研、办公、管理的网络应用,提高工作效率和办学能力与办学水平。1.2.2 项目建设内容1.2.2.1 网络总体拓扑 无线路由器图 1.11.2.2.2 网络层次化设计对网络进行层次化设计,既保证了网络的安全,方便人们更好的地去管理网络,也 使得对网络故障查找和排除的工作变得非常简单。多层设计是模块化的,网络容量可随着日后网络节点的增加而不断增大。多层网络有很大的确定性,多层网络系统设计最有效利用多种第三

5、层业务,包括分 段,负载分担和故障恢复等。在分层网络中运用智能第三层业务可以大大减少因配置不当或故障设备引起的一般 问题。针对实际情况我们可以采用三层结构模型。三层结构模型划分为三个层次,即核心 层,分布层,接入层。每个层次完成不同的功能。如下图 1.2。核心层:核心层作为整个网络的系统的核心,其主要功能是高速,可靠的进行数据 交换。分布层:分布层主要进行接入层的数据流量汇聚,并对数据流量进行访问控制。包 括访问控制列表, vlan 路由等等。接入层:接入层主要提供最终用户接入网络的途径。主要是进行 vlan 的划分与分布 层的连接等等。 图 1.2第二章 路由设计2.1 路由协议选择内部使用

6、 OSPF 协议, 用静态默认路由发布给边界路由器通过 NAT 转换与外网进行 通信。2.2 路由规划拓扑图 边界路由器图 2.12.3 IP 地址规划IP 地址的规划在网络设计中的作用举足轻重, 直接影响整个网络运行的效果, IP 地 址的设计的总原则是简单,易管理,易扩展。IP 地址是 TCP/IP协议族中的网络层逻辑地址,它被用来唯一地标识网络中的一个 节点, IP 地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要 体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,提高路由算法的效率, 加快路由变化的收敛速度。如下表 2.1,我们根据以下几个原则来分配 IP 地

7、址:唯一性:一个 IP 网络中不能有两个主机采用相同的 IP 地址简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项 连续性:连续地址在层次结构中易于进行路由总结,大大缩减路由表,提高路由算 法的效率。可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总 结所需的连续性。灵活性:地址分配应具有灵活性,可借助可变长子网掩码技术,以满足多种路由策 略的优化,充分利用地址空间。 表 2.1第三章 网络安全解决方案3.1 网络边界安全威胁分析网络的边界隔离者不同功能或地域的多个网络区域,由于职责和功能不同,相连网 络的密级也不同。 这样的网络直接相连, 必然存在

8、着安全风险, 我们对 ambow 总部网络 边界问题做脆弱性和风险的分析。Ambow 总部网络主要 =存在的边界安全风险包括:Ambow 总部网络与各级单位的连接, 可能遭到来自各地的越权访问, 恶意攻击和计 算机病毒的入侵:例如一个不满的内部用户,利用盗版软件或从 Internet 下载的黑客程 序恶意攻击内部站点,致使网络局部或整体瘫痪。内部的各个功能网络通过骨干交换相互连接,这样的话,重要的部门或者专网遭到 来自其他部门的越权访问。这些越权访问可能包括恶意的攻击,误操作等等,但是它们 的后果都将导致重要信息的泄露或者是网络的瘫痪。3.2 网络内部安全威胁分析Ambow 总部网络的风险分析

9、主要针对 ambow 的整个内网的安全风险,主要表现为 以下几个方面:内部用户的非授权访问:ambow 内部的资源也不是对任何的员工都开放的,也需要 有相应的访问权限。内部用户的非授权的访问,更容易造成资源和重要信息的泄露。 内部用户的误操作 :由于内部用户的计算机造成的水平参差不齐, 对于应用软件的理 解也各不相同,如果一部分软件没有相应的对误操作的防范措施,极容易给服务系统和 其他主机造成危害。内部用户的恶意攻击:就网络安全来说, 据统计约有 70%左右的攻击来自内部用户, 相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对内部用户攻击的防范也 很重要。设备的自身安全性也会直接关系到

10、 ambow 网络系统和各种网络应用的正常运行。 例 如:路由设备存在路由信息泄露,交换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞,如果管理员没有及时发现并且进行修复,将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的丢失, 都将会造成 ambow 公司内部的业务无法正 常运行。安全管理的困难,对于众多的网络设备和网络安全设备,安全策略的配置和安全事 件管理的难度很大。3.3 安全产品选型原则Ambow 网络属于一个行业的专用网络, 因此在安全产品的选型上, 必须慎重, 选型 的原则包括:安全保密产品的接入应不明显影响系统运行效率,并且满足工作要求,不影

11、响正常 的业务。安全保密产品必须满足上面提出的安全需求,保证整个 ambow 网络的安全性。 安全保密产品必须通过国家主管部门指定的测评机构的检测。安全保密产品必须具备自我保护能力。安全保密产品必须符合国家和国际上的相关标准。安全产品必须操作简单易用,便于简单部署和集中管理。3.4 网络常用技术介绍Vlan 技术(Virtual local Area Network即虚拟局域网,是一种通过将局域网内的设备逻辑地 而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 IEEE 于 1999年颁布 了用标准化 Vlan 实现方案的 802.1Q 协议标准草案。VLAN 技术允许网络管理者将一

12、个物理地 LAN 逻辑地划分成不同的广播域(或称 虚拟 LAN ,即 VLAN ,每一个 VLAN 都包括一组有着相同需求的计算机工作站,与物 理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一 个物理 LAN 网段。一个 VLAN 内部的广播域个单播流量都不会转发到其他 VLAN 中, 从而有助于控制流量,减少设备投资,简化网络管理,提高网络的安全性。Trunk 技术一般的交换机端口只能属于一个 VLAN , 对于对个 VLAN 需要跨过多台交换机, 就需要用到 Trunk 技术。

13、 Trunk 是指交换机之间或交换机与路由器之间 VLAN 之间的连接, VLAN 信息通过 Trunk 在交换机之间或路由器之间传递, 从而可以将 VLAN 跨越整个网 络,而不仅仅是局限在一台交换机上。Cisco 支持 802.1Q , ISL 技术得到了 Inrel 等厂商的大力支持, Tag Switching被 3Com 及 Lucent Ca jun支持。对于 CISCO 交换机的 Trunk 端口,既可以指定它的封装协议为 802.1Q 或 TSL ,也 可以通过 DTP 协议自动协商。 DTP 协议主要用于处理 Trunk 端口的 802.1Q 和 ISL 封装 协议的自动协商

14、,对于不同厂家的交换机互连时很有帮助。对 Trunk 的定义只能在快速以太网端口和千兆以太端口上进行,它既可以是单个的 快速以太端口或千兆以太网端口,也可以是快速以太网通道(FEC 或千兆以太网通道 (GEC 。虽然我们采用的是思科交换机,但是最为一个标准,开放。先进的网络系统,我们 推荐的是用 IEEE802.1Q 标准协议。Spanning-Tree 协议在局域网中是不允许出现环路的,而为了实现冗余和负载的均衡,通常会有多条链 路的链接,这样就会引入环路。为了解决这个矛盾,推出了 STP 协议。 STP 算发会将网 络网络中的连接生成一个树,通过特定的算法自动将优先权高的链路激活,将优先权

15、低 的链路阻塞, 保证在网络中任何时候都不会出现环路。 如果网络的连接状况发生了变化, STP 算法会造成网络的暂时的不稳定状态,该转换时间在 30秒之内,亦即在 30秒之内 会重新恢复到稳定状态。 STP 对于终端是透明的,终端感觉不到 STP 的操作过程。在交 换机上可以通过修改端口的优先级来改变连接的优先权, 使得 STP 算法将高优先权的连 接作为活动的连接。Cisco 交换机的一个非常有用的特征就是可以对每个 VLAN 设置 Spanning-tree ,而 不是对整个网络只能属于一个 Spanning-tree 。这个特征是很多厂商的设备所不具有的。 在交换机上对端口的优先权的设置

16、可以基于 VLAN 进行,每个端口对于不同的 VLAN 设置不同的优先权。 对于指定的 VLAN , 具有该 VLAN 最高优先权的端口转发该 VLAN 的信息,其它 VLAN 的信息阻塞。通过这种方法,在具有冗余连接的交换机端口上分别 针对不同的 VLAN 设置不同的优先权, 既可以实现链路的冗余, 又可以实现负载的均衡。 Cisco 交换机端口支持每 VLAN 的生成树协议, 每个端口都可设置基于 VLAN 的 cost 或 priority 参数,从而实现在多条路径上的负载均衡能力。目前多数厂商都支持 STP 协 议,但是不允许多个 STP 域。采用多个 STP 域显然可以获得比单个域高的网络可靠性。第四章 设备选型及产品简介4.1 网络设备概况网络共有四大部分,分别是财务部和图书馆,教学楼,公寓楼、信息管理中心。分 为三层架构:核心层、汇聚层、接入层。根据网络分步的重要作用配置设备如下表 4.1: 表 4.1路由模块:模式分类和作用: