某校园网网络系统集成设计文档格式.docx
- 文档编号:6824066
- 上传时间:2023-05-07
- 格式:DOCX
- 页数:36
- 大小:182.56KB
某校园网网络系统集成设计文档格式.docx
《某校园网网络系统集成设计文档格式.docx》由会员分享,可在线阅读,更多相关《某校园网网络系统集成设计文档格式.docx(36页珍藏版)》请在冰点文库上搜索。
对所有网络设备端口的监视和管理
(2)配置管理:
对所有网络设备的远地配置和控制
(3)故障管理:
整个网络的故障检测,故障自动报警功能
(4)性能管理:
整个网络性能的统计和分析报告
1.2.3安全性需求分析.
众所周知,许多校园网是从局域网发展来的,由于意识与资金方面的原因,它们在安全方面往往没有太多的设置,包括一些高校在内,常常只是在内部网与互联网之间放一个防火墙就了事了,甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。
而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。
因此,校园网的网络安全需求是全方位的。
其体现在:
1.网络病毒的防范。
在网络中,病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染。
所以,防止计算机病毒是计算机网络安全工作的重要环节。
对于以前的单机版的杀毒软件已经不能解决网络中大肆蔓延的病毒,这样就存在着交叉感染的问题。
病毒的表现形式不单单是破坏了本机的数据文件,而且有的病毒使得机器向网络上发大量的数据包,堵塞网络带宽,不仅仅耽误了自己的工作,还影响到周围的人,甚至造成校园网交换机的死机、网络的瘫痪。
2.网络安全隔离。
网络和网络之间互联,同时给有意、无意的黑客或破坏者带来了充分的施展空间。
所以,网络之间进行有效的安全隔离是必须的。
除了防止外来黑客攻击之外,校园网内部的访问控制也是极重要的一个方面。
大量研究表明,网络安全问题只有30%来自外部攻击,而70%的问题来自内部。
划分vlan和ip子网,在ip子网间设置访问控制表是解决内部安全问题的一个重要方法。
3.网络保护和监控措施。
在不影响网络正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护。
入侵检测能力是衡量一个防御体系是否完整有效的重要因素。
强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。
4.有害信息过滤。
网络信息部的邮件服务器和BBS服务器基本上都实现了不良有害违法信息的过滤功能,使得校园对外的媒介正常。
5.数据备份和恢复。
设备可以替换,数据一旦被破坏或丢失,其损失几乎可以用灾难来衡量。
所以,做一套完整的数据备份和恢复措施是校园网迫切需要的。
6.用户自我保护。
入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
1.3校园网基本功能.
连接校内所有教学楼、实验室、办公楼中的PC机,使其形成联网。
同时支持约10000用户浏览Internet。
提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:
实现学生档案、教师人事、财务等管理手段的现代化。
包括学生的学籍管理、自然情况、学生的成绩评定,及在相应群体中的位次确定;
教师的人事档案、业务考核、工作、继续教育等等
提供校内各个管理机构的办公自动化。
提供图书,文献查询与检索服务,增强校图书馆信息自动化能力。
通过教师电子备课系统、计算机辅助教学系统、视频点播系统进行高质量、高效率的教学工作。
提供CAI教学和科研的便利条件。
可在网上查询资料,进行最广泛的经验交流,随时了解全国教科研的最新动态。
网上可进行科学探索,利用网上资源开展丰富多彩的课外活动,进行行科学实践、撰写科学论文,培养的学生的创新意识,为培养学生的个性特长提供了广阔的空间。
2.校园网总体设计
2.1网络设计基本原则
校园网建设是一项大型网络工程,各个学校需要根据自身的实际情况来制定网络设计原则。
该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统,为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。
校园网覆盖整个学校校园,网络设计一般应遵循下列5个基本原则:
1.可靠性和高性能
网络必须是可靠的,包括网元级的可靠性,如引擎、风扇、单板、总计等;
以及网络级的可靠性,如路由、交换的汇聚,链路冗余,负载均衡等。
网络必须具有足够高的性能,满足业务的需要。
2.实用性和经济性
由于学校资金并不是很充足,不可能一步到位。
另一方面,学校的应用水平较参差不齐,某些系统即使安装了也利用不起来,因此,在校园网的建设过程中,系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。
3.可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
设备应选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
4.易管理、易维护
由于校园骨干网络系统规模庞大,应用丰富而复杂,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。
同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。
5.先进性、成熟性
当前计算机网络技术发展很快,设备更新淘汰也很快。
这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。
只有采用当前符合国际标准的成熟先进的技术和设备,才能确保校园网络能够适应将来网络技术发展的需要,保证在未来若干年内占主导地位。
6.安全性、保密性
网络系统应具有良好的安全性。
由于校园骨干网络为多个用户内部网提供互联并支持多种业务,要求能进行灵活有效的安全控制,同时还应支持虚拟专网,以提供多层次的安全选择。
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
7.灵活性、综合性
通过采用结构化、模块化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。
以满足系统目标与功能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二次开发与移植。
2.1模块化、层次化的设计原则
网络的设计都是基于一个模块化,层次化的设计思想。
这也是对大型网络进行高效管理的首选方法。
2.1.1模块化设计
所谓模块化就是将把整个网络按功能和安全需求分为若干个组件,这些组件之间有一定的安全边界,组件内部有完整的网络设计。
模块化设计的好处在于:
1.解决各网络之间的冲突问题;
2.简化安装和后台设备管理;
3.易于故障检测和分离问题;
4.易于执行不同类型的服务和安全方针;
5.易于扩展和/或代替原来的技术。
一个完整的模块化设计如图2.1所示:
图2.1模块化网络设计图示
2.1.2层次化的设计
1.层次化网络设计模型
对于大型网络,可以采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。
核心层
核心层的主要提供不同网络模块之间优化传输服务,将分组尽可能快地从一个网络传到另一个网络,通常要保证核心层具有很高的可靠性、最佳的网络性能。
汇聚层到核心层要具备冗余传输链路,任何单条链路断连不影响网络的可用性。
作为所有网络流量的传输中枢,核心层除了要求高性能交换设备和高带宽传输链路外,还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。
此外,为了避免网元故障对网络造成冲击,需要网络采用支持快速聚合的特性,一旦主用通路断开,可以很快的切换到备用通路。
汇聚层
汇聚层顾名思义就是作为访问层到骨干层的汇聚,通常为访问层与骨干层实现基于策略的网络间连接。
汇聚层主要由三层交换机组成,提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量(pathmetric)和路由协议网络通告控制。
接入层
接入层作为各模块到交换骨干的连接,根据不同模块进行逻辑子网划分,并通过VLAN技术实现子网之间的隔离。
访问层主要功能在于隔离模块间的广播流量,避免不同模块之间相互影响。
访问层主要通过二层交换机组成。
2.层次化网络设计模型的优点
“核心层-汇聚层-访问层”层次化网络设计模型有如下优点:
高可扩展性-遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性,因为各功能网络通过模块化实现,潜在问题更易于识别。
易于实施-每一层的功能性清晰划分,简化每一层的实现。
易于故障排除-每一层的功能经过良好定义,网络更为简单,有助于故障的隔离。
模块化设计也有效限制故障影响范围。
易于规划和管理-层次化的功能划分,整个网络规划和管理更为简单。
3.校园网设计与实现
3.1校园平面图
在校生8000人,教职工1500人,总投入计划为500万。
大学校园平面图如图3.1所示:
图3.1大学校园平面图
3.2网络拓扑图
如图3.2所示:
图3.2网络拓扑图
3.3方案说明
校园网网络系统从结构上分为核心层、汇聚层和接入层。
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。
因学校存在大量的语音和视频传输。
据此,考虑汇聚层对QoS有良好的支持并且能提供大的带宽。
接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。
根据学校建设要求与总体目标,骨干网采用三层结构,由核心层,汇聚层和接入层构成。
在接入层面,通过定义相应的访问策略,实现访问控制,内外隔离和抭IP地址。
在网络结构上,采用成熟的千兆以太网技术(第三层交换)作为核心层,呈网状拓扑结构。
以TCP/IP协议为主,并辅以IP/SPX.NETTEUI等其他流行通信协议坚持开放性和标准化,采用标准的通讯规程,以有利于不同厂家之间的互连,使不同系统间易于集成,兼顾其他标准的网络体系结构,网络能实现协议之间无缝连接。
而公用服务器与每一台核心层交换机都应该具备连接。
在网络硬件上采用高性能、高可靠的设备,此产品是具有运营商级容错能力的高性能大型网络核心交换机,可实现冗余备份,从而提高核心层的可靠性。
整个网络通过汇聚层交换机RG-S6806E和核心交换机RG-S6810E之间的链路冗余备份和负载均衡提供安全可靠的网络构架(使用OSPF、ECMP、WCMP等技术),其安全保障技术提供一个全网概念的整体网络安全,而通过简单地增加万兆模块可以平滑升级到万兆骨干的校园网。
如拓扑图所示,作为学生宿舍网的核心,要求设备能够大容量、稳定可靠的高速路由转发,能够接入大量的汇聚节点并满足今后扩充的需要。
同时,应完备的QOS保证机制,完备的业务控制、用户管理机制。
同时,还应该考虑到与一期工程的网络设备之间的良好的兼容性、互通性。
因此,在本方案的在核心层,部署了锐捷网络的RG-S6810E模块化骨干路由交换机两台,该交换机具有高达1.6T(可扩展3.2T)的背板,L2/L3层具有572Mpps的转发率,同时还可以配置冗余电源和管理引擎模块,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。
其硬件策略路由功能为学校的出口规则提供了灵活的设置,此外核心交换机硬件的IPv6功能为学校接入CERNET2提供了无缝连接。
为了提高网络上连带宽,业界提出了端口聚合(802.1ad)的概念,此概念也广泛应用于校园网的建设中。
锐捷网络交换机可将多个端口聚合,每条干路支持全双工模式。
端口聚合可以在单台交换机中进行配置,支持聚合通道内部的负载均衡。
从核心层到汇聚层使用多条多模光纤连接到汇聚层交换机,并实现端口聚合。
汇聚层起着承上启下的作用,负责对各种接入的汇聚,并可在该层实现对于用户的访问控制,以及对用户的网络管理。
因此,汇聚层应考虑三层智能交换机。
在本方案中,共部署三台锐捷网络自主研发的RG-S6806E模块化骨干路由交换机。
在汇聚层使用三层交换机的目的是为了减轻核心层的负担。
接入层应该能够实现对用户的访问控制,并具有较强的安全和QOS控制功能,支持802.1x的认证计费,支持千兆上联,支持SMNP的网管。
同时,为满足学生宿舍网的高端口密度接入的需求,接入层应考虑二层智能型可堆叠交换机。
因此,在接入层部署了锐捷网络的STAR-S2150G智能型可堆叠交换机。
同时为了保证宿舍网内部网的安全,在内网和外网之间增加硬件防火墙,接在INTERNET/CERNET出口的位置,根据安全需求可将校园网分为内部网、外部网与DMZ区等,以保护校园网的安全,防止恶意用户的攻击。
为了统一网络管理和监控,在网络中心配置StarView管理平台可以对设备进行集中的管理,包括网络拓扑发现、配置管理、性能管理、事件管理,实现全网设备的管理。
在网络中心一台核心交换机各通过两条千兆链路连接校园图书馆子网,当核心交换机间业务量增大时,也可考虑通过上行双链路Trunk来连接。
其中宿舍楼干网以千兆链路下联至宿舍楼宇交换机STAR-S2150G;
同时网络中心通过千兆连接专项课题研究楼子网;
在网络中心核心交换机通过千兆链路连接行政子网交换机,以千兆链路下联至楼宇交换机STAR-S2150G;
计算中心子网及应用服务器群另在网络中心通过千兆链路下行连接。
实现百兆交换到桌面。
4.校园网系统配置
4.1系统硬件配置
4.1.1主机系统设计
主机系统说的是各种用途的服务器和主机,要衡量的是不同服务器的选择。
服务器设备包括:
WEB服务器、FTP服务器、EMAIL服务器、DNS服务器、VOD服务器、用户信息管理服务器、综合应用服务器等。
DNS服务器(DomainNameSystem)域名管理系统,每个域名服务器至少管理一个域。
将域名翻译为对应的IP地址的过程就是域名解析。
为了可以方便的找到我们需要的IP地址,这就产生了容易被识别的域名管理系统DNS,可以把输入的域名转换为要访问的服务器的IP地址。
DNS服务器是要求最简单的服务器,价格不要太高,内存512足够,两块硬盘,做raid1,双网卡作channel,interpro系列就可以,双电源,1万元。
WEB服务器也就是WWW(WORLDWIDEWEB)服务器,以超文本技术为基础,以面向文件的浏览方式提供具有一定格式的文本、图形、声音等,通过超链接将各种信息联系起来。
Web服务器用于管理Web页面,并使这些页面通过本地网络或Internet供客户浏览器使用。
设备名称:
WEB服务器;
配置型号:
865841YNF5100PIII866MHz,128MB,36GB/10000转SCSI,CD-ROM,网卡,15”黑;
数量:
1;
单位:
台。
FTP为文件传输协议的英文缩写,FTP服务器为提供文件传输(TCP/IP)服务的电脑,要有固定的地址,可管理FTP登录用户名、登录密码及其对FTP服务器上的硬盘空间的访问权限等。
用户可通过FTP客户端软件输入这个固定的地址(有时还需要FTP用户名和密码)登录FTP服务器,与服务器建立连接,登录成功后即可使用文件上传下载服务!
电子邮件服务,就是通常说的Email服务器,这是需要搭建服务器首先要有硬件上的支持,然后就可以用邮件服务器的软件来完成,至少有一个电子邮件地址,目前多采Microsoft推出的ExchangeServer构架电子邮件系统,它提供对Internet邮件系统的完全支持,并提供与WindowsNT域用户安全性的集成,还可以采用IBM公司的LotusDomino/Notes,它可以提供综合应用的“群件”系统,可以提供完备的办公自动化集成环境。
若使用Linux操作系统,可以使用Sendmail构架邮件系统。
当然,也可以购买第三方的专门邮件系统,这类产品往往具有更高的安全性和可管理性。
4.1.2网络设备分析
思科ASA5520-K8防火墙/VPN网关
1.技术参数如表1.2.1所示:
表1.2.1防火墙技术参数
思科ASA5520-K8详细参数
基本参数
产品型号
ASA5520-K8
产品类型
企业级,VPN防火墙
最大吞吐量
450Mbps
安全过滤带宽
225Mbps
外形尺寸
174.5×
200.4×
44.5mm
重量
1.8Kg
硬件参数
固定接口
4个千兆以太网接口+1个快速以太网接口
扩展插槽
1个SSC扩展插槽
网络与软件
用户数限制
无用户数限制
并发连接数
280000并发连接数
VPN
支持VPN功能
认证标准
DES许可证
功能特点
控制端口:
console
其它参数
电源电压
100-240VAC,50/60Hz
其它
主用/主用和主用/备用高可用性
数据来源:
太平洋电脑网
产品报价()
CISCO1841-HSEC/K9中心路由器
1.技术参数如表1.2.2所示。
表1.2.2路由器技术参数
详细介绍
Cisco1800系列
CISCO1841-HSEC/K9
目标应用
安全数据
机箱
机型
台式,1机架单元(1RU)高(4.75cm高,带橡皮垫脚)
机箱
金属
墙壁安装
有
机架安装
无
尺寸(WxD)
13.5x10.8in.(34.3x27.4cm)
不带橡皮垫脚的高度:
1.73in.(4.39cm)
带橡皮垫脚的高度:
1.87in.(4.75cm)
重量
最大:
6.2lb(2.8kg);
带接口卡和模块
最小:
6.0lb(2.7kg)(不带接口卡和模块)
架构
DRAM
同步双馈线内存模块(DIMM)DRAM
DRAM容量
缺省:
128MB
384MB
闪存
外部小型闪存
闪存容量
32MB
128MB
模块化插槽-总数
两个
用于WAN接入的模块化插槽
用于HWIC的模块化插槽
用于话音支持的模块化插槽
无—Cisco1841不支持话音
模拟和数字话音支持
VoIP支持
仅限IP话音(VoIP)直通
板载以太网端口
2个10/100
板载USB端口
1个(1.1)
控制台端口
1个-高达115.2kbps
辅助端口
板载AIM插槽
1个(内部)
主板上的分组话音DSP模块(PVDM)插槽
无-Cisco1841不支持话音
主板上基于硬件的集成加密
缺省时软件和硬件的加密支持
DES,3DES,AES128,AES192,AES256
电源规格
内部电源
冗余电源
直流电源支持
交流输入电压
100-240VAC
频率
50-60Hz
交流输入电流
最大1.5A
输出功率
50W(最大)
系统功耗
153BTU/hr
软件支持
初始CiscoIOS软件版本
12.3(8)T
CiscoIOS软件缺省镜像
IPBASE
环境
工作温度
32-104°
F(0-o40°
C)
工作湿度
工作:
10-85%,非冷凝;
非工作:
5-95%,非冷凝
非工作温度
-4-149°
F(-25-65°
工作高度
10,000英尺(3000米)@77°
F(25°
SRW2024-CN交换机
1.技术参数如表1.2.3所示。
表1.2.3二层交换机表
基本规格
交换机类型
千兆光纤扩展交换机
传输速率
10/100/1000Mbps
应用层级
二层
交换方式
存储-转发
背板带宽
48Gbps
包转发率
10M:
14880packets/sec;
100M:
148800packets/sec;
1000M:
1488000packets/sec
端口结构
固定端口
MAC地址表
8K
VLAN功能
同时支持多达64个基于端口和802.1q协议的VLAN
网络
网络标准
IEEE802.3、IEEE802.3u、IEEE802.3ab、
IEEE802.1q、IEEE802.1p、IEEE802.1x
传输模式
全双工
网管功能
Web页面管理方式允许网络管理员使用他们熟知的Web浏览器监控和配
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园网 网络 系统集成 设计