xxxxxxxxxxxx校园网改造方案
第三章 系统总体设计
3.1、校园网特点
? ? ? ? ? ? ? ? ? ?
网络系统分布在整个校园内,系统规模较大;
采用综合布线系统作为网络的线路基础;
应用以客户/服务器和浏览器/Web服务器为主要模式; 信息流动以内部为主,对网络吞吐能力要求较高; 应用系统采用集中配置、集中管理的模式; 流量具有中心汇集的特点;
适应校校通的需求,未来将与其它网络互连; 支持分校区的远程VPN访问; 可管理性要求较高; 提供安全控制措施。
3.2、系统设计分析
?
校园网已超出了传统局域网能覆盖的范围,涉及到局域网互连技术,网络层次较
多。
? ?
职能不同的部门分布在不同的地理位置上,需要进行子网划分,以便于管理。 校园网采用星型拓扑结构。核心是主干网,周围是各个子网,子网向下连接工作组网,工作组网向下再连接基层网段。
? ? ? ?
计算机根据功能和配置的情况,可以连接到不同的网络层次。 主干网必需有大的带宽和很强的中心交换处理能力。 子网相对独立,在主干汇接处形成子网边界。 支持分校区的远程VPN访问。
3.3、系统设计
从上面看出,校园网事实上为园区级网络,拓扑结构为分层的集中式结构或称星型分级拓扑。 针对这种结构,做出如下设计:
? ? ?
主干网汇接各子网,形成中心交换; 子网通过路由器连接到主干网; 主干网上不直接接入用户网络;
Xxx网络有限公司 第 11 页 共 66 页
xxxxxxxxxxxx校园网改造方案
? ? ? ? ? ?
网络中心的网络构成一个单独的子网,汇接到主干网; 在网络中心进行集中控制和管理; 每个子网按部门划分成多个工作组网; 每个工作组网划分成多个基层网段;
桌面机连接到基层网段上,服务器、工作站连接到高层网络;
流量划分层次,跨越基层网段的流量汇接到工作组网,跨越工作组网的流量汇接到子网,跨越子网的流量汇接到主干;
? ? ? ? ?
水平结构对称,子网、工作组网、基层网段具有一致的流量水准; 拨号访问形成独立子网,通过路由器接入主干;
采用双网隔离方式,隔离内外部网络,实现INTERNET互联; 在关键子网设立防火墙,防止来自内部或外部的恶意攻击; 在完善的网络基础之上,提供基本的INTERNET服务。
3.4、网络技术设计
3.4.1 网络总体结构
从上图可以看出,校园网网络系统的总体结构包括如下的部分:
3.4.2 主干网
校园网主干网是数据信息流动的动脉,同时担负着信息流动的总调度任务。主干网从功能上来看包括几个方面:
? ?
为子网间互联提供高速路由,实现核心高速交换; 连接校园网共享的高性能服务器;
Xxx网络有限公司 第 12 页 共 66 页
xxxxxxxxxxxx校园网改造方案
? ? ?
实现全网的系统管理和安全管理; 实现国际互联网络的连接 实现VPN拨号接入。
主干网采用核心交换、划分虚网的设计方案。交换核心使用一台高性能、高可靠性的交换机,实现冗余备份和负载平衡。这种方案最大的特点是可管理性好、可维护性好。
这种方案通常在广域网中采用。由于路由器的包转发速率已达到线速,并且价格大幅度下降,因而在保证性能的前提下,使用路由器作为局域网的互联方案是合理和可行的。采用路由器组网使网络的可管理性、可维护性大幅度提高。路由器互联的网络系统,有三个网络层次,因而非常便于管理,这对于大型网络,特别是需要进行集中控制和维护的网络来说,尤其重要。
VLAN作为局域网的解决方案,如在桌面的移动管理方面具有一定优势,但作为大型网络的整体解决方案,还需要与路由技术配合,所以需要支持虚拟网路由的产品,即具有第三层交换于一体的高性能交换机。
3.4.3 VPN远程访问
远程访问提供VPN虚拟拨号访问功能,使用户在家中、在外地都可以访问校园网。远程工作站通过虚拟拨号接入校园网,采用点对点的协议为PPP。远程访问服务器VPN服务器实现远程访问功能。在访问服务器的远程访问端口提供访问控制(Access List)。通过与拨号安全服务器配合,还能实现进一步的用户认证和授权控制。远程访问解决了远程工作站通过拨号线路对网络资源的访问。由于拨号网络是攻击网络的可能的主要入口,因而必须在技术和管理两个方面加强管理。远程访问服务应提供以下功能:
? ? ? ? ? ? ? ?
拨号访问(Telnet/Rlogin/PPP)支持; 静态/动态地址分配;
多协议(IP和IPX)透明访问支持; 用户访问和安全控制;
拨出(Dial-on-Demand, Dial-Out)功能; 自动协议检测和转换; 远程控制和维护; 网管支持。
拨号网络是可能的主要攻击入口,并且采用动态IP分配策略,所以必须与其它网段隔
Xxx网络有限公司 第 13 页 共 66 页
xxxxxxxxxxxx校园网改造方案
离,直接连到网络中心路由器上,占用一个独立的网段,这样也有利于管理。访问服务器通过防火墙在连接到内网。访问服务器与拨号安全服务器配合,根据身份认证协议(TACACS/RADIUS/KEBEROS)实现拨号用户的认证和授权。
3.4.4 网间互联
根据校校通的精神,校园网需要与其它网络互联,使信息交换的范围扩展到整个INTERNET上。目前Internet/Intranet事实上的网间互联标准是TCP/IP协议。校园网既可以通过边界路由器和DDN线路,连接到Internet,也可以通过城域网联到Internet。
如果学校要对外发布信息,应增加对外的信息服务器。对外的Internet服务器由于完成多种服务,所以不但速度要快,I/O能力也必须很强,选择1台或多台高性能服务器作为外部Internet服务器 。
外部网段服务器中的配置信息和数据在内部网段做备份,万一这些服务器受到攻击或故障,系统和数据能够快速恢复,不影响对外宣传。
3.4.5 子网
子网按照学校的地理分布和应用的数据流量进行划分。每个子网覆盖一幢楼或楼的某些层。子网通过楼间的户外光缆与网络中心相连。子网是一个相对独立的局域网,内部采用交换技术作为主要连接手段,通过VLAN形成边界,并与主干网汇接。具体技术方案要点如下:
? ? ? ? ?
各子网通过接入交换机接入主干网; 各子网采用与主干网一致的通信协议; 各子网通过网络中心实行统一集中的管理; 子网内的各工作组网的交换机接入子网交换机; 子网内部采用交换技术组网。
3.4.6 工作组网
工作组网可以是一个教学组,也可以是一间办公室,还可以是其它划分。工作组网的连接设备是低端交换机,各桌面计算机连接到工作组网的交换机上,工作组网实现100M到桌面。具体的技术方案要点如下:
Xxx网络有限公司 第 14 页 共 66 页
xxxxxxxxxxxx校园网改造方案
? ? ? ?
各工作组网接入子网交换机。
各工作组网采用与主干网一致的通信协议。 各工作组网通过网络中心实行统一集中的管理。 工作组网上可设置工作组内共享的服务器。
工作组网内部采用共享或独占10M端口的方式组网。
3.5、网络安全设计 3.5.1、安全风险分析
由于网络用户众多,支撑着相当多的重要应用,因此网络的安全显得特别重要。安全的威胁不仅来自外部网络,内部安全防范也显得十分重要。对于网络资产包括网络主机(主机的操作系统、应用程序和数据)、网络互连设备(如交换机和路由器)以及整个网络上的数据都应该采取有效的措施进行保护。 3.5.2、安全性机制
在网络安全的设计中,我们可提供多种安全性机制供用户选择组合,如认证、授权、记帐(审计)、数据加密、分组过滤、防火墙、物理安全性等。 3.5.3、安全性解决方案
根据网络不同方面的安全性问题,我们可提供针对性的安全解决方案,如:Internet连接安全性解决方案、拨号访问安全性解决方案、网络服务安全性解决方案、用户服务安全性解决方案等。 3.6、网络管理设计
随着信息技术迅速发展更新,计算机网络的结构已经由原来的单一的、以主机为中心的集中式,发展成为以网络计算为中心的、分布式的多级结构。网络上存在有多个厂家的产品,多种操作系统,多种硬件平台,多种协议,以及用户开发的多种应用。如何管理这些复杂的环境往往成为一个棘手的问题。 3.6.1、网络管理功能
国际标准化组织(International Organization for Standardization-ISO)定义了五大类
Xxx网络有限公司 第 15 页 共 66 页