版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、北京联合大学网络实施方案组网范围有线实验楼办公楼 教学楼 无线宿舍楼(北A) 一、需求分析(应用背景分析) 校园网的现状 为了适应高校校园网应用系统和信息资源建设的需要,高校校园网络需要建设成为一个宽带的多媒体网络。 网络设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和可运营性为主要关注焦点。目前高校校园网的建设中面临的问题主要有以下几个方面: 性能需求高校校园网中网络应用人数很多,并且随着网络应用技术的不断丰富,高校校园网应用也愈发复杂,例如FTP文件传输等大数据量的访问,产生了巨大的网络流量。如何高速进行网络传输,对网络设备提出了很高的要求。网上视频点播、广播、大量的多媒体通讯
2、,需要QoS支持。如何有效合理对教育网络带宽的调度和分配满足如:教育网络多媒体教学和远程教学; 图书馆访问系统,大型分布式数据库系统、超性能计算资源共享管理系统、视频会议、ePhone等等应用,都是网路设计所需要考虑的重要因素。 安全需求学生接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一, 如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等。同时具有上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全。据有关数字显示,目前校园网遭受的恶意攻击,90%来自高校网络内部,如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。 运营需求
3、高校校园网在为学校教学、科研提供网络平台的同时,也为校内教职工及学生提供网络接入服务,这就提出了运营的需求。 而学校收费和学生缴费是一对天然的矛盾,当前不少学校采用的运营模式与学校实际的情况差距太大, 无法有效杜绝学生逃避收费等问题一直困扰着学校的网管人员。 我们学校的信息化服务的目的(1) 在校园内部实现资源高度共享,为教学、科研、管理提供服务,为计划、组织、管理与决策提供基础信息和科学手段;(2) 支持教育教学改革,提高教育技术的现代水平和教育信息化程度、为学校教师的备课、课件制作、教学演示提供网络环境;(3) 通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料,实现素材收集、电
4、子备课功能。 (4) 实现办公自动化,提供与上级教育部门、社会、家庭之间通讯的出入口,提供电子函件、公告牌和教育教学信息查询等服务,提高工作效率和管理水平;我们学校的信息化服务的目的(5) 及时、准备、可靠地收集、处理、存储、传输学校的教育教学信息完成与因特网的通讯和资源共享,实现社会教育、学校教育、家庭教育的有机整合。(6) 实现课堂多媒体电化教学,具备适用于双向课堂语音教学及语音室功能学习。 校园网的建设能促进教师和学生尽快提高应用信息技术的水平,为学生提供了一个实践的环境,为教师提供了一种先进的辅助教学工具、提供了丰富的资源库。业务需求分析 一、校园网是为教师的教学、科研活动和培训服务的
5、:如提供教学资源、辅助教师备课,参与课堂教学活动和支持教师再学习活动等。二、校园网是为学校教育教学管理服务的:如辅助学校的教学教务管理、学生学籍管理、人事档案管理、财产管理等。三、校园网是沟通学校与外界的窗口,利用校园网既可以从校外获取各种教育信息,也可以向外发布各种教育信息。一、需求分析(业务需求) 在校园网中发生的信息流主要包括三个部分:教学过程信息流和管理过程信息流和Internet信息流。1、教学过程数据流大多为多媒体数据,包括高质量的图像、图形、数据、实时话音和视频流传输等业务需求分析2、管理过程信息流包括:教学教务管理信息 流和行政办公信息流。3、Internet信息流主要建立在宽
6、带、结构简化、综合业务应用齐全的IP基础网上或区域教育城域网上,提供教育城域网或广域网资源信息的传递和共享。此类数据流为载有语音、数据和视频信息的IP流。一、需求分析(管理需求)校园网有网络管理中心负责管理。采用易于管理的布线和设备方式配置管理:网络节点、端口和冗余结构的配置,网络节点访问口令设置和更改性能管理:可以收集网络运行的相关数据,视重要程度并记录保存。需要时进行网络监控。形成报告向上一级中心报告和提示系统管理员,使用这些信息为网络提供规划设计依据管理需求. 故障管理:通过实时监控系统,将网络故障信息报告传送给高层管理中心。网络管理员可以根据收到的的信息报告,对网络进行优化和排除. 安
7、全管理:所用设计需避免非法进入网络要求:具有用户认证、高级访问权限、具有网络数据信息的保护和备份一、需求分析(安全性需求)1、校园网边界安全管理需求为了保护校园网的安全,校园网边界安全管理总体目标就是确保校园网与外界网络的信息交换安全可控,既要能够保证正常的校园网和互联网的信息交换,同时也能阻挡恶意网络访问,例如端口扫描、非授权访问行为、病毒、不良网站等。2、校园网漏洞及补丁管理安全需求校园网是一个由多协议、多系统、多应用、多用户组成的复杂性网络环境,校园网中的网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞。为了要保障校园网安全,必须做好校园网漏洞管理。安全性需求3、校园网服务器
8、安全需求 校园网服务器存储大量信息,例如学生档案、学生作业、考试数据、网页文件等。其安全需求有: 对服务器访问要进行安全身份认证,非认证用户无法进行访问; 服务器提供的资源受控制,防止非授权人员拷贝、修改、发送; 支持远程安全管理,校园网管理员能够从远程进行安全登录,为其传输的信息加密; 服务器的操作行为有严格审计,能够防止黑客有意删除; 服务的安全状态能够实时显示,各种安全组件的工作状态能够被监测到; 服务器在受到损害时,至少能做到数据恢复可用。安全性需求4、校园网安全监控管理安全需求 对校园网络进行安全监控,就如同在教学大楼内安装的闭路电视监控系统。其主要需求有: 对校园网关键区域的信息流
9、动进行动态监测,能够把网络上流过的所有数据包,通过实时检测和分析,及时发现非法或异常行为; 对校园网紧急事件(网页篡改、试题盗窃)以最快的速度阻止; 能够按要求存储校园网访问日志记录,提供进行关键词查找和离线分析功能; 对校园网特殊安全事件进行回放。安全性需求5、校园网病毒安全管理需求 病毒是校园网安全隐患之一,必须做到有效控制。其主要需求包括: 杀毒软件不仅要能保护文件服务,同时也要对邮件服务器、网站服务器、学生和教职员工用的PC、网关等所有计算机设备进行保护; 杀毒软件能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截; 杀毒软件查杀能力能够覆盖最新病毒,查
10、杀病毒是多多益善,重点是目前的流行病毒。安全性需求6、校园网安全运维管理需求 校园网的硬件环境建设完毕后,一项重要的工作就是做好校园网的维护工作,保证校园网的稳定、安全运行,能够满足学校教学活动的要求。校园网的安全运维需要有一个校园网安全运营中心(School Security Operations Center,简称SSOC),通过SSOC强化安全管理工作,对校园网不同教学场所设备、不同计算机系统中的安全事件进行监控、汇总和关联分析,提供可视化校园网安全状况展示。针对不同类型安全事件提供紧急应对措施。实现校园网络集中安全管控,保护校园网络数字资产安全。安全性需求7、物理环境安全 物理环境安全
11、也称实体安全,是指包括环境、设备和记录介质在内的所有支持信息系统运行的硬件的总体安全,是网络系统安全、可靠、不间断运行的基本保证。在校园网络环境中,要尽量防止意外事件或人为破坏具体的物理设备,如服务器、交换机、路由器、机柜、线路等 一、需求分析(通信量需求) 通信量需求是从网络应用出发,对当前技术条件下可以提供的网络带宽做出评估。应用类型基本带宽需求备注PC连接144kb/s56kb/s远程连接,FTP、HTTP、E-mail文件服务100kb/s以上局域网内文件共享,C/S应用,B/S应用,在线游戏等绝大部分纯文本应用压缩视频256kb/s以上Mp3、rm等流媒体传输非压缩视频2Mb/s以上
12、Vod视频点播、视频会议等用户需求分析楼名楼层每层房间数每个房间信息点数总信息点数办公楼16104240实验楼11110353850图书馆111212242624513030宿舍楼(北A)1362364630采用无线2二、网络方案设计学校使用两台汇聚交换机(做冗余备份相连),连接接入交换机,并把所有接入交换机连接到核心路由器上;接入层交换机连接终端用户,并把不同部门人员规划到不同的VLAN中;学校内部都使用私网地址,访问外网时,采用NAT,实现用户可以访问外网;根据服务器功能需求和信息安全要求进行服务器系统区域划分,完成服务器接入交换机的安装和调试;建立办公网络系统,完成各配线间接入交换机的安
13、装和调试,实现终端用户1000M自适应桌面接入,万兆主干上联;所有用户都使用DHCP获得IP地址;建立公共区域的无线网络,实现用户安全认证;增加安全设备实现校园网络的安全性,且能监控来自内外部的上网行为,设置TELNET,且只有管理员能TELNET到各设备。二、网络方案设计我们将整个网络划分为三层:核心层;汇聚层;接入层。考虑到核心层网络的可靠性和高性能,本项目采用双机热备(负载均匀)方式设计核心层交换机,核心交换机选用两台思科6509(三层交换机),两台6509之间通过hsrp协议实现双机互联和冗余备份,并通过两对光纤做port channel连接,实现核心设备连接链路的负载均衡。二、网络方
14、案设计 整个项目将使用到的技术有:Vlan划分;HSRP设计;以太通道设计;路由协议选择;SVI设计;DHCP设计;DNS设计;NAT设计;防火墙设计;VPN设计;802.1X设计和TELNET设计等。二、网络方案设计2.1、网络逻辑拓扑设计二、网络方案设计2.2、VLAN规划与IP地址规划 因校园网络主干连接的节点多,因此,要保证网络的有效性和可管理性,网络地址的规划与分配是十分重要的问题。网络地址是一种资源,必须经过优化的规划和设计,因为很难预测网络将来的规模和应用情况的发展,如果规划不当,将导致地址资源不够用,网络的扩展将受到极大的限制;如果规划过于庞大,则在现行运行过程中,网络的路由将
15、会复杂,影响网络的效率。二、网络方案设计 由于合法IP地址的短缺,在联大的网络建设 中选用了B类的保留地址,分配联大网络的地址范围为, 前二位(172.16)作为公共网络地址,第三位作为各VLAN的地址,并第四位的(254)作为各VLAN的网关。 联大根据业务功能的不同,可以分为22个VLAN,22个VLAN各自独立,分别属于不同的广播域,默认情况下不同VLAN间可互相访问。由于对于整个网络配置VLAN工作量较大,所以使用VTP协议,把核心交换机配制成VTP Server,其余交换机配制成VTP Client。并且为核心交换机配置SVI,使得不同间VLAN可以通信。二、网络方案设计配置举例:接
16、入层交换机配置:Switch(config)#vtp mode client核心交换机配置:Switch(config)#vtp domain zdySwitch(config)#vtp mode serverSwitch(config)#vlan 100Switch(config-vlan)#name Dangzheng Switch(config)#int vlan 100Switch(config-if)#ip address 54 二、网络方案设计2.3 交换和路由协议选择采用EIGRP动态路由协议进行网络配置,原因主要是EIGRP是Cisco公司的专有网络协议,它综合了距离矢量和链路
17、状态2者的优点,其特点有:A、快速收敛;B、减小带宽占用;C、支持多种网络层协议;D、无缝连接数据链路层协议和拓扑结构配置举例:核心ARouter(config)#router eigrp 100Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(con
18、fig-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#network 55Router(config-router)#
19、network 55Router(config-router)#network 55Router(config-router)#no auto-summary二、网络方案设计2.4 Internet 接入设计 联大上网是通过双运营商上网,一个联通,一个教育网,联通链路为主要Internet链路。为了保证办公人员快速的访问联通或教育网的网络,在Internet出口路由器上面做策略路由。访问联通的网络从联通出口的防火墙出去,在防火墙上把内网的地址转换成联通网络的地址。访问电信或者其他网络从电信出口的防火墙出去,在防火墙上把内网的地址转换成电信网络的地址。二、网络方案设计两台Internet区域的路
20、由器对内网配置为HSRP,使路由器A成为主路由器,内网上网的流量通过路由器A来进行转发。路由器A的HSRP优先级配置为110,路由器B的HSRP优先级配置为100。路由器A监控链接内网和外网的两个接口,当某一条链路故障的时候,路由器A的HSRP优先级降低20,使路由器B成为活动路由器,内网上网的流量通过路由器B来转发。路由器A配置HSRP的抢占功能,当出现问题恢复的时候,使路由器A成为主路由器。二、网络方案设计在将整个系统迁移到运营商专线的同时,我们将防火墙放在系统与外部连接处,以提供网络的安全保障。对处INTERNET服务的WEB、DNS、FTP服务器接入到防火墙的DMZ段,用于保护应有服务
21、器的安全和对内外提供服务。 1、防火墙上做了地址转换,将内部的私有地址转换成公有地址访问INTERNET。2、防火墙上开放了用于INTERNET信息发布所需要的几个端口,包括TCP的53,23,25,80和UDP的53端口,分别用于DNS,SMTP,和WEB等服务。3、在防火墙上做了多个静态的地址映射将内部地址映射为外部地址。在防火墙outside端口设置NAT设置静态的地址转换,将真实地址与提供服务的私有地址绑定static (dmz,outside) netmask 55 0 0static (dmz,outside) 1 1 netmask 55 0static (dmz,outside
22、) 8 8 netmask 55 0static (dmz,outside) 0 0 netmask 55 0static (dmz,outside) 2 2 netmask 55 0static (dmz,outside) 3 3 netmask 55 0static(dmz,outside)50 50netmask 55 0 static (dmz,outside) 0 0 netmask 55 0static(dmz,outside)2929 netmask 55 0 0static (dmz,outside) 0 0 netmask 55 0 0指定要进行静态转换的IP地址能够通过的协
23、议conduit permit icmp any any 允许所有ICMP通信conduit permit tcp host 1 range ftp www anyconduit permit tcp host 0 range ftp www anyconduit permit udp host eq domain anyconduit permit tcp host 50 eq www anyconduit permit tcp host 8 range smtp pop3 anyconduit permit tcp host 0 eq www anyconduit permit tcp h
24、ost 29 anyconduit permit tcp host 0 eq telnet anyconduit permit tcp host 3 eq www any二、网络方案设计2.5 WLAN的设计 联大的北A宿舍楼4、5、6层设计为WLAN接入,共使用5个无线AP。发展的最大用户数为600个用户。AP覆盖范围AP命名信道选择四层西侧AP_16四层东侧AP_211五层西侧AP_31五层东侧AP_46六层AP_511二、网络方案设计二、网络方案设计2.8 网络管理设计当交换机需要被网管时,必须配置交换机的CDP和SNMP参数,其中CDP协议是CISCO公司特有的一种协议,而SNMP是标准的简单网络管理协议。其中SNMP协议需要有一个COMMUNITY NAME控制对交换机的读写。在本次工程中,我们定义了以下的COMMUNITY NAME:READWRITE:PRIVATEREADONLY:PUBLIC二、网络方案设计以下是具体配置命令:cisco6506enablecisco6506(enable)set cdp enable说明:启用6506交换机的CDP协议。Cisco6506(enable)set snmp enable all说明:启用6506交换机的SNMP
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论