网络规划设计方案

网络规划设计方案指导教师：工程概况12栋建筑,包括教学楼、试验楼、现教楼、图书馆、宿舍楼等。上网的人员主要是学生、教师和科研人员。项课题争论、网络化教学，学校要求网络具有高性能、高可用性和高安全性。做出响应。同时要求基于每用户的速率限制。设计目标当前万兆以太网将成为园区骨干网的主流技术。但依据学院目前的实际状况，可先承受千兆位以太网作为园区骨干，以后再依据需要升级；另外交换机及路由器本身的性能对整个网络的性能也有影响，诸如线速转发、QoS、STP、可支持的路由协议的收敛特性等等都将影响网络的性能。高可用性：网络的高可用性必需依靠冗余来实现，网络级冗余性可以利用双宿主设计自动绕过故障链路或设备，能够使用智能协议保持网络牢靠性。设备级冗余〔线路级冗余可通过敷设物理走向不同的线缆的方式来实现线路的畅通。对于学院来说，以上所说在不同的场合中都有可能用到；另外，降低网络的简洁性、供给备用互联网出口、强大的网络监控功能及良好的用户培训也可增加园区网的可用性。与此同时网络运营商的接入费用不降反升；治理人员对校园网的运行状况缺乏根本的分析和治理工具；网络安全大事时有发生，重要效劳器和核心网络设备被攻击；网络病毒泛滥，得不到把握；有线用户和无线用户的接入把握、定位缺乏手段等；针对以上问题，将安全连接、威逼防范、信用和身份治理系统集成到单个解决方案中，并供给病毒感染限制、染毒设备隔离功能可有效的解决校园网建设中的安全问题。便于扩展的优势以外，还可节约本钱和加强故障隔离力气；移动性：可通过实施WirelessLAN实现无线上网。设计原则承受先进成熟的技术和设计思想，运用先进的集成技术路线，以先进、有用、发挥较好的效能。计算机技术的进展格外快速，更换代周期越来越短。所以，选购设备要充分高的性价比。系统的设计既要在相当长的时间内保证其先进性，还应本着有用的原则，在实用的根底上追求先进性，使系统便于联网，实现信息资源共享。易于维护治理，具图形处理功能。连接。因此，系统方案设计需考虑系统的牢靠性、信息安全性和保密性的要求。程的变化，以及灵敏地进展软件版本的更和升级，保护用户的投资。目前，网络向多平台、多协议、异种机、异构型网络共存方向进展，其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所承受构造化、模块化的设计形式，满足系统及用户各种不同的应用要求，适应业务调整变化。性。满足系统目标与功能目标，总体方案设计合理，满足用户的应用要求，便于系统维护，以及系统二次开发与移植。需求分析学校规模在不断扩大中，用户数在持续增加，要求网络具有很好的扩展性，能够依据需要逐步平滑升级到千兆的骨干连接。甚至包括操场。要求网络具有移动和无线集成。IP地址以及用户所连接的端口和登录的用户名。物理设计综合布线标准所谓综合布线系统，是指按标准的、统一的和简洁的构造化方式规划和布置各种建筑物〔或建筑群〕内各种系统的通信线咱，包括网络系统、系统、监控系标准化组织:北美的标准EIA/TIA568A国际ISO标准，即ISO/IEC11801IEEE802.3100/1000Base-T、100Base-FIEEE802.5TokenRing中国建筑电信设计标准工业企业通信设计标准设计范围及要求设计目标确实定我们为该企业网络设计的综合布线系统将基于以下目标：符合当前和长远的信息传输要求。布线系统设计遵从国际〔ISO/CEI11801〕标准。布线系统承受国际标准建议的星形拓扑构造。考虑网络连接到桌面的速度100Mbps，网络主干信息传输向1000兆进展的需要。布线系统的信息出口承受国际标准的RJ45插座。布线系统符合综合业务数据网的要求。布线系统要立足开放原则。布线的实施全部双绞线都拉到机房中。双绞线直接端接在机柜内的模块化配线架上。材料选型,考虑到主干网络承受千兆以太网的要求,所以,方案中网络选用超5类双绞线。布线要求,布线标准选用超5类线产品，每个工作位是一个双孔插座：一个电脑插座，一个插座(个别工作站设双语音插口)。机柜端承受朗讯48口模块式配线架。与电脑可任意互换。布线系统管槽设计管线铺设建议：由于安装的是非屏蔽双绞线，对接地要求不高，建议在与机柜相连的主线槽处接地。40%的充裕量以备扩大,超5类双绞线的横截面积为0.3平方厘米。线槽安装时,应留意与强电线槽的隔离。布线系统应避开与强电线路在无屏20cm状况下平行走3措施。到家具隔断下。管槽过渡、接口不应当有毛刺，线槽过渡要平滑。线管超过两个弯头必需留分线盒。墙装底盒安装应当距地面30厘米以上，并与其他底盒保持等高、平行。线管承受镀锌薄壁钢管或PVC管。工作区子系统由终端设备连接到信息插座的连线，以及信息插座所组成。信息点由标准RJ45插座构成。信息点数量应依据工作区的实际功能及需求确定，并预留适当数量的冗余。例：对于一个办公区内的每个办公点可配置2～3个信息点，此外应为此办公区配置3～5个专用信息点用于工作组效劳器、网络打印机、机、视频会议等等。假设此办公区为商务应用则信息点的带宽为100M可满足要求；假设此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。〔如ISDN终端设备、平衡/非平衡转换器进展转换连接到信息插座上。水平子系统指定的拓扑构造为星形拓扑。水平干线的设计包括水平子系统的传输介带宽和传输速率来确定。在水平子系统中推举承受的双绞电缆及光纤型号为:康宁公司FutureCom超五类或六类非屏蔽双绞线,FutureLink室内单模或多模光纤。90m100ΩUTP双绞线作为水平子系统的线缆，可依据信息点类型的不同承受不同类型的电缆，例如对于语音信息点和数据信息点可承受FutureComFutureLinkFutureCom是从系统的兼容性和信息点的灵敏互换性角度动身，建议水平子系统承受同一种布线材料。治理子系统由互连和输入/LANscape综合布线解决方案拥有搭配科学、治理简便的成套产品用于治理子系统。干线子系统指供给建筑物的主干电缆的路由，是实现主配线架与中间配线架，PBX和最经济的路由。干线子系统在系统设计施工时，应预留确定的线缆做冗余信道，这点对于综合布线系统的可扩展性和牢靠性来说是格外重要的。干线子系统可以使用的线缆主要有：HAY三类大对数电缆；FutureCom超五类或六类双绞线；FutureLink室内单模或多模光纤。超五类双绞线可以支持1000BASE－T1000BASE－TX类双绞线。假设已安装的电缆仅满足5类线标准(1995)，那么在连接1000BASE－T设备之前，应对布线系统依据增加的布线参数〔如：回波损耗，等级远端串扰〔ELFEXT，传播延迟和延时畸变等〕进展测量和认证。不远的位置。建筑群之间可以承受有线通信的手段，也可承受微波通信、无线通信的手段。在康宁公司的LANscape综合布线解决方案中，康宁FutureLink光纤不但支持支持CATV/CCTV及光纤到桌面〔FTTD，是建筑群子系统和主干线子系统布线中有线通信线缆中的明星。光纤有单模光纤和多模光纤两种：单模光纤只传输主模态，可完全避开模态色散，传输频带很宽，传输容量很大，适用于大容量、长距离的光纤制光纤传输距离为标准距离的5-10倍〔目前承受的62.5/125μm为100Mbps时，最大距离可以到2km，但传输千兆位数据量时距离支持格外有限。设备选型本方案中校园网络核心层设备承受CISCOCatalyst6509〔SupervisorEngine720*2/电源*2/FWSM*1/IPSecVPN模块*1/IDSM*1/NAM*1/16口千兆以太网光口板*1/假设干5486/48*1IEEE802.3af&PoE〕2Cisco6509的优点：最长的网络正常运行时间--利用平台、电源、把握引擎、交换矩阵和集成网合网络环境，削减关键业务数据和效劳的中断。网络中，包括入侵检测、防火墙、VPN和SSL。可扩展性能--利用分布式转发体系构造供给高达400Mpps的转发性能。能够适应将来进展并保护投资的体系构造--在同一种机箱中支持三代可互本钱。卓越的效劳集成和灵敏性--将安全和内容等高级效劳与融合网络集成在一起，供给从10/100和10/100/1000以太网到万兆以太网，从DS0到OC-48的各种接口和密度，并能够在任何部署工程中端到端执行。校园网络分布层设备承受CISCOCatalyst4507〔SupervisorEngineV-10GE*2/数量：7台。CiscoCatalyst4506〔WithSupervisorV-10GE〕的优点是：136Gbps交换矩阵；102mpps其次层到第四层吞吐率；双线速万兆以太网上行链路；利用千兆以太网SFP上行链路顺当移植到万兆以太网；在交换治理引擎上供给集成式NetFlow量把握；超快速800MHzCPU可实现更快的把握平面；最多能够在Catalyst4510R交换机中支持384个10/100/1000端口；供给全部CiscoCatalyst集成式安全特性；为供给更加灵敏的策略，能够为每个端口和VLAN实施不同的QoS；思科快速转发能够防止可变IP信息攻击。端口安全、DHCPARPIP发动拒绝效劳〔DoS〕攻击或破坏网络。速率限制以出口和入口限速器的方式消灭，可以把握每个VLAN的流量，防止DoS攻击。SupervisorEngineV-10GE支持基于用户的速率限制。802.1X及其扩展性能防止非法用户和设备接入网络，例如恶意接入点。硬件Netflow问把握列表可在交换端口和路由端口上供给，以便进展二到七层流量把握。校园网络接入层设备承受CISCOCatalyst3560(EMI)交换机，该系列交换机是工作在快速以太网和千兆位以太网配置下。CISCOCatalyst3560是一款抱负的接入层交换机，适用于小型企业布线室或分支机构环境，结合了10/100/1000和PoE配置，实现最高生产率和投资保护，并等。客户可在整个网络范围中部署智能效劳，如高级QoS、速率限制、访问把握列表、组播治理和高性能IP路由等，且同时保持传统LAN交换的简洁性。思科网络助理(networkassistant)在Catalyst3560理供给了配置向导，大大简化了融合网络和智能网络效劳的实施；支持增加的802.1x(IBNS)。网络安全设计及保密信息的系统实行物理隔离，隐秘级、机密级信息在网络上实行加密传输。Internet络间的访问把握和安全策略。狭义上防火墙指安装了防火墙软件的主机或和路由系统；广义上还包括整个网络的安全策略和安全行为。防火墙技术属于被动防卫型，它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的目的，其功能是依据设定的条件对通过的信息进展检查和过滤。防火墙是实施组织的网络安全策略、保护内部信息的第一道屏障，其作用主要有：保护功能拒绝非授权访问、保护Internet的连接中，我们推举使用硬件防火墙。比方CISCOASA5510-BUN-K9系列：并发连接数130000网络吞吐量(Mbps)300安全过滤带宽170Mbps网络端口3+151个SSM扩展插槽用户数限制无用户数限制入侵检测DoS安全标准UL1950,CSAC22.2No.950,EN60950IEC60950,AS/NZS3260,TS001把握端口console治理思科安全治理器(CS-Manager)VPN支持选择该型号是由于价格适中,且功能齐全,较适合本校园网建设。在内部网络和外网之间之间通过防火墙，建立起一个DMZ的效劳器都可以放在DMZInternetDMZ区相应的效劳器。并NAT保护内部网络和DMZ区设备。防火墙在内外网络连接中起两个作用：利用访问把握列表〔AccessControlList，ACL〕实安全防护防火墙操作系策略建立相应的访问列表，可以对数据包、路由信息包进展拦截与把握，可以依据源/目的地址、协议类型、TCP端口号进展把握。这样，我们就可以在Extranet上建立第一道安全防护墙，屏蔽对内部网Intranet的非法访问。例如，我们可以通过ACL台主机；限制可以被访问的内部主机的地址；为保证主机的安全，可以限制外部用户对主机的一些危急应用如TELNET等。利用地址转换〔NetworkAddressTranslation，NAT〕实现安全保护防火墙不知道内部网络的IP地址及网络拓扑构造另一个好处是可以让内部网络使用自己定外部主机之间的相互访问的时候当内部访问者想通过路由器外出时，路由器首先对其进展身份认证 对其进展地址转换，使其以一个对外公开的地址访问外部网络；当外部访问者想进〔外部公开的地址，将其数据包送到经过地址转换的相应的内部主机。在XX学院网络工程和今后各种应用系统的建设过程中，在局域网上我们可以依据不同部门、不同业务类别划分VLAN〔虚网，通过把不同系统划分在不同VLAN方式，将各系统完全隔离，实现对跨系统访问的把握，既保证了安全性，也提高了可治理性。VLAN〔虚网〕技术和VLAN路由技术VLANCISCO理上连接的网络在规律上完全分开，这种隔离不仅是数据访问的隔离，也是播送域VLAN实现对跨部门访问的把握，既保证了安全性，也提高了可治理性。Inter-VLANRouting原理每一个VLANVLAN层上可以识别不同的VLANVLANVLAN标识一样的端口才能形成桥接，数据链路层的连接才能建立，因而不同VLAN的设备在数据链路层Inter-VLANRoutingVLAN标识进展转换，使得不同的VLAN间可以沟通，而此时基于网络层、传输层甚至应用层的安全把握手段都可运用，诸如Access-list〔访问列表限制、FireWall(防火墙)、TACACS+等，Inter-VLANRouting技术使我们获得了对不同VLAN间数据流淌的强有力把握。MAC地址过滤策略在内部网中还可以利用CiscoMAC交换机具有MAC地址过滤功能，通过在交换机上对每个端口进展配置，可以制止或允许特定MAC地址的源站点或目的站点，从而实现各站点之间的访问把握。由于每块网卡有唯一的MACMAC的端口进展访问，所以对MAC地址的访问把握实际上就是对指定工作站这一物理设MACIP全性。访问安全把握从确保网络访问的安全动身，路由器对全部远程拨号访问连接都由Radius设置AAA(AuthenticationAuthorizationAccount，即认证、授权、记帐)级安全把握，Radius〔也可以只承受计费效劳器上的Radius认证。具体的实现细节如下：在网络中配置一台安装CiscoSecure软件的效劳器，CiscoSecure软件使用Radius〔RemoteAuthenticationDial-inUserService〕协议供给对网络的安全PPP议供给的CHAP〔ChallengeHandshakeAuthorizationProtocol〕认证协议，该协议是一个基于标准的认证效劳，而且在传输过程中使用加密保护，与在传输用户IDPAPID传输线上的安全保护。RADIUSAAA该用户访问，从而打算是否建立连接；其次对经过认证连接到网络的用户授予相应的网络效劳级别，供给访问的限制；最终保存用户在本网络中的全部操作记录〔日志用于计帐的连接时间、连接位置、数据传输量、开头时间和停赶忙间等。AAAClient/Server对整个系统进展很好的安全把握。CiscoSecureDaemonGUIDaemon于两个文件，一个用于定义全部的系统参数的把握文件和一个包含了网络用户全部网络用户可被安排到具有一系列一样参数的组，GUI使系统治理员能够修改网络中任一组和任一用户的认证和授权参数。IPIP本方案承受的地址安排方法利用VLSM技术,不仅有大量预留空间,而且本校园网使用OSPF路由协议,有层次的IP地址,易于治理,在边界路由器上可做会聚(会聚成/17网段),削减路由更大小,提高网络性能。如表所示:IP建筑物设备IP子网掩码VPN边界路由器现教楼中心机房2WEB/FTP认证效劳器DNS/DHCP用户分布层交换机教学楼接入层交换机AP用户分布层交换机试验楼接入层交换机AP0用户分布层交换机1图书馆接入层交换机AP3用户分布层交换机4行政楼接入层交换机AP56用户分布层交换机7宿舍楼接入层交换机AP89用户6.2网络治理性能是衡量一个网络系统性能凹凸的重要因素之一。网络治理系统完成设置网络设备、监控网络运行、保障网络安全，查找并隔离网络故障，记录网络局部进展监控和分析。OSI置治理、计费治理、安全治理以及性能治理。这些治理功能由网管系统和网络设备共同完成。结合校园网的实际状况，我们认为，安全治理与计费治理可以由网络治理模块协作专用的软〔硬〕件治理产品来共同实现，网络治理的主要任务应落实在故障治理、配置治理和性能治理这三个方面。1、配置治理网络节点插板、端口和冗余构造的配置和治理；网络节点访问口令的设置和更改。2、性能治理运行的各种状况以及重要程度，需要时可公布指令到各节点，进展网络把握；可从相关节点收集业务量数据，进展统计、分类、记录归挡。使用这些信息为网络建设供给规划设计依据。3、故障治理能实时监视故障信息，并对其统计分析；告。可实时修改状态图以反映此故障。校园网网络设备较多但网络构造简洁，治理人员不多，比较适合承受集中的管〔或者备份主机〕对整个网络环境进展综合治理，不需统构造，在主要治理产品选型上我们建议承受Cisco公司基于WINDOWS2023的CiscoWorks2023网管软件实现对整个网络设备的治理。网络治理是对网络上的通信设备及传输系统进展有效的监视、把握、诊断和测试所承受的技术和方法。网络治理系统的概念模型主要由治理者、治理代理和被管对象等实体及其相互作用组成。基于SNMP〔SimpleNetworkManagementProtocol〕的网络治理系统SNMP由IETF提出，主要是为基于TCP/IP的互连网设计的，现在已经被其它协议实现，如IPX/SPX，DECNET以及APPLETALK等，它的主要标准由一系列RFC组成，并得到了网络厂商的广泛支持，成为网络治理方面事实上的标准。目前基于SNMP的网络治理系统已广泛应用于Internet。这里建议承受CiscoWorks软件,由于该软件基于WEB页面治理，操作简便，功能齐全，而且是基于标准的多厂商治理软件。在实际环境中，治理者的功能由安装在网络治理中心的网管工作站上的一系列网管软件完成，它负责治理主机、局域网的计算机网络系统与应用和与之相联的下收来自上述各级节点发送的网络治理信息，并对相关大事进展处理。用效劳的状态监控主要表达在三个方面：效劳器状态的监控：主要包