xxxxxxxxxxxx校园网改造方案
型的网络管理功能,包括性能管理、故障管理、配置管理、安全管理、记帐管理等。我公司方案中交换机选用华为3com的产品,华为3com的网络管理解决方案除了能够提供全部五大类型的基本管理功能外,还实现了其独有的一些特性。 3.6.2、网络管理结构
网络管理结构由按照一定拓扑结构排列并适合于互连网络拓扑结构的管理设备、代理和NMS组成。设计网络管理结构的任务与设计互连网络的任务是并行的。应考虑NMS和管理设备之间的通信流量和通信负载。确定管理通信流量是在带内(与其它网络通信一起)还是带外(正常通信流之外)。还应考虑冗余拓扑结构,最终决定采用集中管理结构还是分
布管理结构。
鉴于本网络规模较大、覆盖的范围较广、资源多,使用设备复杂多样,用户数目较多,我们建议最好采用分布式与集中式网络管理结构相结合的方法;另外,为了保护和减少用户投资建议最好采用带内管理的方式。
Xxx网络有限公司 第 16 页 共 66 页
xxxxxxxxxxxx校园网改造方案
3.6.3、主动网络管理
主动管理是指为了发现潜在的问题,优化性能、规划网络的升级,在网络正常运行时就检查网络工作是否正常。主动网络管理定期收集统计数据并进行测试,例如相应时间测量。统计和测试结果可以用来向管理者和用户传达网络趋势和网络状态。网络管理者可以通过月报表或季度报表定量记录上一时期已经传输的网络服务,并与服务策略或目标进行比较(服务策略或目标是由网络设计决定的:可用性、响应时间、吞吐量、易用性等等)。华为3COM公司提供的Quidview & Rules管理工具是当今实现主动管理最好的工具之一。 3.6.4、网络管理协议及工具
我们推荐网络的管理系统,采用SNMP、RMON以及华为3COM科技所倡导的SMON技术标准。SMON技术特别加强了交换网络的监控能力,而华为3COM科技以硬件方式实现的SMON,使对交换网络的监控更加高效。华为3COM公司的Quidview管理工具提供了对以上技术的全面支持。 3.7、内外部网络互访的考虑 3.7.1 核心层
核心层是所有数据流经的网络层次,为整个xxxxxxxxxxxxxx学校络平台提供网络汇聚层接入和数据交换。核心层的设计应当体现高速、高可用性、高扩充性等特点。
核心交换机是整个xxxxxxx学校校园网的中心,核心交换机需配置具备第三层路由交换能力的千兆以太网交换机,支持RIP、OSPF等路由协议,在主干网络中,网络的路由主要由核心交换机完成。核心交换机需要冗余设计,包括设备冗余、协议冗余,以保证整个网络系统做到无单点故障。
设备冗余指网络设备上的模块冗余,如核心交换机上的电源、超级引擎等采用双配置;协议冗余指利用网络协议实现备份,如使用每个VLAN独立的生成树算法,实现第二层链路的快速切换等等。
核心交换机上配置1000Base-SX或LX千兆口的以太网模块,通过光纤主干连接各汇聚交换机,构成主干网络的千兆链路。最好配置千兆口以太网模块的冗余,以备在一块模块出现故障时,可以使用另一块千兆口模块以保障网络的正常工作。核心交换机上还要配置100M或1000M电口以太网模块,用于连接各网络服务器。
核心交换机还需要提供足够的插槽,以保证网络设备的可扩展性及可延续性。 考虑到xxxxxxx学校校园网的规模,建议采用华为公司的S7502(二期配置)/S3628TP-SI(一期配置)交换机作为核心交换机。
华为S7502交换机具有640Gbps的背板带宽,可提供高达224Gbps。S7502配备二个业
Xxx网络有限公司 第 17 页 共 66 页
xxxxxxxxxxxx校园网改造方案
务插槽,一个主机引擎插槽。以全线速处理二层、三层、MPLS VPN、组播等各种业务流量,并能够提供强大的QoS保障,支持丰富的ACL、策略路由,以及STP/RSTP/MSTP协议和VRRP、协议。S7502带宽控制粒度可达64Kbps,具备强大的用户管理、认证计费功能,并内置IEEE 802.1x认证服务器功能。 3.7.2分布层
分布(汇聚)层设置在每个网络区域内的配线间内。在分布层负责所在区域内各接入层交换机或VLAN间的第2层和第3层的数据交换,并负责把本区域内各信息点与其他区域的通信进行汇接。所以分布层设备的主要任务是在第2和第3层交换数据,为网络区域内的各用户提供路由,并进行区域内用户的访问控制等。
在xxxxxxxxxxxxxx学校中,在图书馆综合楼、教学楼、教工宿舍、现代化教学楼分别配备1台分布交换机,为各自区域的接入交换设备提供数据汇聚,并通过千兆光纤链路连接校园网核心交换机。
xxxxxxxxxxxxxx学校的校园网络连接示意图如下所示:
由于xxxxxxxxxxxxxx学校原核心层到汇聚层都有两对光纤,可在汇聚层与核心层之间采用链路聚合(IEEE 802.1ad)技术,这样可提高校园主干网络的可靠性和吞吐量,但需综合考虑核心交换机千兆光纤端口以及汇聚交换机千兆光纤上联端口在数量上的增加。
本方案中建议采用华为公司的S3628P-SI换机,其支持二/三层线速交换,采用IRF(智能弹性架构)技术,支持分布式链路聚合,系统交换容量为19.2G,包转发能力为9.6Mpps。S3628F-EI具有24个百兆电口,2个千兆SFP口,2个千兆电口并支持OSPF、RIP等路由协议,提供VRRP、QOS策略、多播、端口汇聚、802.1x认证等功能。 3.7.3接入层
在xxxxxxxxxxxxxx学校中,在各教学、办公、实验、教工宿舍、学生宿舍等大楼
的配线间内按照需要接入的信息点的数量,配置一台或多台二层交换机作为接入交换机,
Xxx网络有限公司 第 18 页 共 66 页
xxxxxxxxxxxx校园网改造方案
负责为各楼内的网络用户接入提供100M全交换网络接入。接入层交换机在进行级联后通过千兆端口上联到所在网络区域的汇聚层交换机。
接入层是网络的最边缘部分,直接连接网络用户终端。在本方案中,接入层交换机
分布在每座建筑物的各个配线间,负责本建筑内或本楼层内的信息点接入。接入层交换机由于数量很大,所以在选择时要考虑要有较高性价比。同时接入层交换机还应该有较为完善的功能,如较强的QoS能力,一定的安全控制能力,支持VLAN技术等。
由于xxxxxxxxxxxxxx学校原有的接入交换机都是不可网管的非智能交换设备,且
其中有不少接入交换机存在故障,因此需要更换接入设备。
建议采用华为公司的S2126-EI交换机作为校园网接入交换机。S2126-EI交换机具
有9.6Gbps的总线带宽,支持802.1x认证,同时可动态的配置VLAN,有效的控制用户访问网络资源;具备端口限速功能,可以64Kbps的精细粒度进行端口带宽分配,控制用户的接入速率,防止恶意侵占网络带宽;可提供512个802.1Q VLAN,支持MAC地址和端口绑定功能,还可以对属于同一个802.1Q VLAN的端口之间设置隔离或互通。 3.8 网络安全
3.8.1 网络安全设计目标
网络安全的核心是信息数据的安全。为防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏,必须建立网络信息系统的安全服务体系。计算机安全包括物理安全和逻辑安全,其中物理安全指系统设备及相关设施的物理保护以免于被破坏和丢失,逻辑安全是指信息的可用性、完整性和保密性三要素。
网络安全总体安全需求是建立在,对网络安全层次分析基础上确定的。依据网络安全分层理论,根据ISO七层网络协议,在不同层次上,相应的安全需求和安全目标的实现手段各不相同,主要是针对在不同层次上安全技术实现而定。
对于xxxxxxxxxxxxxx学校来说,安全层次是与TCP/IP网络层次相对应的,针对实际情况,对于xxxxxxxxxxxxxx学校的安全需求层次我们将重点考虑网络层和应用层安全两个技术层次。
因此,xxxxxxxxxxxxxx学校网络安全的主要建设目标是: ? ? ? ? ? ?
保证校园网与Internet安全互联,能够实现网络的安全隔离; 保证校园网不能够被Internet随意未经授权访问; 保证校园网公共资源能够对开放用户提供安全访问能力; 校园网与Internet必要信息交互的可信任性; 校园网与外界网络之间建立连接控制手段;
防范来自Internet的网络入侵和攻击行为的发生,并能够及时发现、告警并作日
Xxx网络有限公司 第 19 页 共 66 页
xxxxxxxxxxxx校园网改造方案
志记录; ? ?
为核心层数据提供高于网络边界更高的安全保护; 校园网用户需要进行身份认证。
3.8.2网络安全部署
信息安全的隐患存在于信息的共享和传递过程中。目前,浏览器/服务器技术已广泛应用于网络信息系统中,而其基础协议就存在着不少的安全漏洞。随着信息化技术的发展,网络安全技术及设备也快速发展。主要的技术设备包括:防火墙、入侵检测、防病毒系统等。
根据xxxxxxxxxxxxxx学校络安全系统的设计目标,本方案将所需的安全功能主要分解为以下几个方面进行实现:防火墙系统、入侵检测系统系统、防病毒系统、网络认证系统等。这几种网络安全技术,都有着各自的优点,也有各自的片面性,因此必须几种技术手段综合考虑、相互配合。 3.8.2.1防火墙系统
通过对网络安全风险分析,采取必要的手段解决网络安全问题势在必行。防火墙放置在路由器和中心交换机之间。而所有内网用户对互联网的访问都经过防火墙的检查、过滤,使得所有的访问都是安全管理员所制定的、认可的行为。防范不安全的非法访问以及恶意攻击。在实际的应用过程中,根据实际应用以及安全需求,配置防火墙,防火墙将依据这些安全策略严格把守进出网络的通道,真正做到保护网络安全的作用。
xxxxxxxxxxxxxx学校对防火墙系统建设的要求主要是:
1、支持地址转换功能,支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换;
2、抗攻击性要求,包括对防火墙本身和受保护网段的攻击抵抗,能有效的防止拒绝服务攻击,保证校园网络系统的可用性、可靠性;能够识别一些常用的攻击手段如端口扫描等,要求能够屏蔽被保护网络。具有很高的自身安全性,不应成为黑客攻击的支点;
3、防火墙应该包含认证机制,或者能够挂接其他厂商的认证措施;
4、防火墙应该含有包过滤的功能,过滤的种类应该尽可能的多,不仅可以针对源或目标IP地址和协议端口,还可以针对具体的协议进行过滤;
5、防火墙应该提供代理服务,例如针对FTP、TELNET、 HTTP协议。防火墙要适合xxxxxxxxxxxxxx学校网络系统的带宽要求,不能成为网络瓶颈,或明显影响网络工作效率;
6、针对邮件协议SMTP,应该在防火墙上进行集中的处理,防范由于端到端的直接连接所引起的安全问题;
7、对于安全性的考虑,防火墙必须记录事件的审计信息,要求提供的审计信息容易为管理人员所理解,并能及时报告存在的问题;
Xxx网络有限公司 第 20 页 共 66 页