某图书馆及园区管理中心网络项目解决方案建议书

X341.4.接入交换机采用堆叠的优势52.1.5.采用WX5004无线控制器的优势52.1.6.防火墙+UTM+IPS特征库的优势6析1.1.建设背景“XX”位于天津市中心城区和滨海新区之间，是未来天津国际化和区域化职能扩展的重要地区。规划和建设好“XX”是实现“双城、双港”，形成海河经济带、文化带、景观带的重要一步。XX项目规划选址位于海河中游南岸地区，周边紧邻津南新城、八里台镇、天嘉湖、双港镇、大寺镇、军粮城镇。规划总占地37平方公里，规划办学规模20万人，居住人口10万人。一期规划/XX园区管理中心及图书馆网络项目解决方案建议书*本工程计算机网络系统包括园区管理中心、公共图书馆、核心骨干环及外网接入。整体网络规划分为有线网络、无线网络、网络管理系统、网络安全控制系统4个部分。1.2.建设需求需要建设独立的园区核心环网，用于接入园区管理中心数据网、公共图书馆数据网和一期入驻的7个高校园区网。并且采用国际标准化组织通用协议，保持良好的扩展性。要求环网设备可以对各个接入单位提供速率控制。建设两个独立的局域网，一个为园区管理中心数据网，一个公共图书馆数据网，两个网络各自成网，分别接入园区核心环网。另外本次项目需要部署瘦AP模式的无线接入，同时整网还需要考虑高度的校园网安全性。1.3.建设原则高可靠性――网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。技术先进性和实用性――在保证满足校园业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。高性能――骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息(数据、图象)的高质量传输，才能使网络不成为业务开展的瓶颈。灵活性及可扩展性――根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性――对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平安全性――制订统一的网络安全策略，整体考虑网络平台的安全性。保证关键数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。和连续性，为不同的现存网络提供互联和升级的手段(如现有的双向教学系统)，保证各种在用计算机系统(包括工作站、服务器和微机等设备)的互连入网，充分利用现有网络资源，发挥主干网的计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。第2页,共7页/XX园区管理中心及图书馆网络项目解决方案建议书*2.整体设计2.1.总体设计概述XX核心环网，园区管理中心办公网，图书馆网络总体设计以高性能、高可靠性、高安全性、良好的可扩展性和可管理为原则。本次网络建设方案设计兼顾了技术的成熟性、先进性。组网图如下2.1.1.核心环网网络概述H3C设计全新的基于纯IP技术的网络平台来满足高校校园网的需求变化。面向网络资源的有效、高效利用，从网络架构方面提供优化方案，使得校园核心网、接入网具有更高的可靠性和可控性，同时使得网络结构与布局在结合实际业务分布的前提下更加合理。本项目设计使用三台S5500三层交换机各部署一块万兆接口板，提供两个万兆接口。使用万兆实现双环路核心。园区管理网、图书馆网络、校园网和出口都使用双链路连接到核心环网上的两个不同节点，核心环网能够防止数据环路引起的广播风暴，而当以太网环上一条链路断开时能迅速启用备份链路以恢复环网上各个节点之间的通信通路。保证当园区管理网、图书馆网络、校园网和出口有单点故障时网络不会中断。FSCERNET管理中心网络示意图(相当于总图的左半部分)园区管理网上端部署一台F1000-S，使用千兆链路连接到中央核心环网两个节点上。负责整个园区管理网出口安全，防止由外部过来的攻击同时做内部地址转换。下端使用千兆电接口连接一台进行整体防御。管理中心办公网核心介绍IPV便于以后学校中的IP网络融合。在两台核心交换机上分别部署1块48电两台交换机之间进行双机热备，任意一台核心交换机出现故障，另外一台核心交换机将负责所有的用户接入。设备单点故障不会影响到整个网络的运行。网接入层介绍接入交换机使用E552三层千兆交换机。使用两条千兆链路分别连接到两台核心交换机。用户网关设置于核心交换机上。交换机采用堆叠方式组网，多台设备虚拟成一台简化网络管理，高可靠第3页,共7页/XX园区管理中心及图书馆网络项目解决方案建议书*性满足设备1：N的冗余备份。千兆到桌面的设计可以满足学生们的视频点播、带大附件的电子邮机支持IPv6的路由功能，从而实现IPv6报文的三层线速转发功能，E552三层交换设备可以防止部署一台无线控制器WX5004，配置双电源，提高了无线控制器本身的稳定性。无线控制器使用两条千兆链路连接到两台核心交换机上。通过无线控制器对网络中的无线AP进行控制和数据转图书馆网络示意图(相当于总图的右半部分)图书馆的网络设计与管理中心办公网类似，网络出口部署防火墙和UTM+IPS特征库，实现对群，并对服务器攻击者来说又增添了一道关卡。2.1.4接入层EARP效防止黑客或攻击者通过ARP报文实施校园网常见的“中间人”攻击。支持端口安全特性族，可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习，可以保证只有真正的业务主机才能够接入网络，而其他新接入主机即使连接到交换机上也无法获取地址并毒在VLAN内的扩散从而影响所有端口。通过H3C特有的IRF2(智能弹性架构)功分交换机的支持802.11n的无线AP提供足够大的接入带宽，避免瓶颈。千兆到桌面的设计可以满足学生们的视频点播、带大附件的电子邮件、文件传输器以及WEBgIPv第4页,共7页/XX园区管理中心及图书馆网络项目解决方案建议书*约了网络带宽，增强了IPv6组播信息的安全性，同时也为每台主机的单独计费带来了方便2.1.5核心层核心层两台S7510E设置VRRP，终端用户的网关设置在两台核心交换机上，接入设备双链路上联，实现链路以及设备级冗余备份，避免单点故障，保证业务的连续性可靠性。能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。核心交换机上提供充足的容量、2.1.4.接入交换机采用堆叠的优势H3CE552教育网交换机支持IRF2(第二代智能弹性架构)技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将多台设备看成一台单一设备进行管理和使➢简化管理IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的而不用物理连接到每台成员设备上分别对它们进行配置和管理。➢简化业务IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，并随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。➢弹性扩展可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开➢高可靠IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N➢高性能对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制，而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易地将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。2.1.5.采用WX5004无线控制器的优势第5页,共7页/XX园区管理中心及图书馆网络项目解决方案建议书*覆盖更大的范围，使无线多媒体应用成为现实。二、提供灵活的数据转发方式无线业务流都要到AC进行统一处理，使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由三、提供基于位置的用户接入控制出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。支持基于AP的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP在同一个网段，也可以不在同一个网段，它们之间通过CAPWAP协议自动建立隧道(该隧道基于2.1.6.防火墙+UTM+IPS特征库的优势，口灵活智能的NAT转换，支持支持多种常用转换，支持多种ALG，指定转换后地址，静态网段地址转换，双向地址转换，支持DNS映射。强大的地址转换功能有效的解决公网地址匮乏的现状。二、通过在边界部署防火墙，主要目的是实现以下三大功能：Internet攻击的防范：随着网络技术不断的发展，Internet上的现成的攻击工具越来越多，而且可以通过Internet广泛传播，由此导致Internet上的攻击行为也越来越多，而且越来越复杂，防火墙必须可以有效的阻挡来自Internet的各种攻击行为；Internet服务器安全防护：接入Internet后，大都会利用Internet这个大网络平台进行信息发第6页,共7页/XX园区管理中心及图书馆网络项目解决方案建议书*布和企业宣传，需要在Internet边界部署服务器，因此，必须在能够提供Internet上的公众访问这些服务器的