柳州市公园路小学东校园网设计方案
现无阻塞的千兆骨干。日后信息点添加的情况下,还可以通过交换机之间的堆叠功能,实现网络规划的轻松扩展。
2.3.3 边缘层网络出口
柳州市公园路小学校园网承载重要的应用系统、电子课件等重要的业务系统,但同时也面临着来自Internet和内部的各种网络威胁和风险,而有数据表明70%的网络入侵事件是来自内部而非外部,所以内部的各种隐患也同样不容忽视,综上考虑,必须在网络边界采用防火墙进行逻辑隔离。
网络出口设置1台百兆防火墙,对内连接校园网内网,对外和Internet保持连接。
通过防火墙实现内、外网的访问控制来提高网络的安全性。防火墙DMZ区放置需要对外提供访问服务的WEB、信息发布等服务器,也就是说对外提供业务的机器必须搁置DMZ中,外部网络只能访问DMZ中的主机,而不能访问内部网络。严格控制DMZ中的主机访问内部网络的权限,只允许所开放的业务的数据进入内部网络,其他的一概禁止。这样,即使DMZ中的主机被攻击,也不会影响到内部网络的安全。
网络出口防火墙担负着柳州市公园路小学校园网与外界网络连通的重任,必须具备较高的可靠性,稳定性和安全性。建议采用神州数码统一威胁管理系统DCFW-1800E-UTM。
2.3.4 网络管理
为了提高管理效率,我们建议采用专用网络管理系统进行整个网络的管理。 推荐使用神州数码公司的LinkManager网络管理软件。
管理软件是一种全功能网络管理工具,简化了基于IP的网络的配置、检修和状态监测。它提供了一套完善的网络管理应用,包括能够配置、监测、检修和管理网络及网元。它可管理任何基于SNMP的网络设备,并显示设备的详细信息。基于地域和环境的网络设计和管理方式,可以使多个网络设计人员同时设计网络,互不干扰。满足了网络管理的基本要求,同时增加了重要直观的特性,通过简化常见任务,节约了用户的时间。通过对网络的全面监控,网络管理员可以重构网络结构,使网络达到最佳效果。
它具备的主要特性是:
(1)中文的操作界面,简单、易懂;
10
柳州市公园路小学东校园网设计方案
(2)软件安装简单,不需要过高的设备要求; (3)可管理、监视服务器和工作站;
(4)只要接入网络就可以管理、监控网络,实现移动管理; (5)适合用于各类大中小型局域网等; (6)支持多厂商网络设备 (7)支持网络拓扑的分层显示 (8)支持网络拓扑的布局
2.4 系统特点
2.4.1整个网络的技术体系
柳州市公园路小学校园网的安全性至关重要。采用以下几个方面来保证网络的安全。
(1)VLAN
在大型局域网络组建中,VLAN技术是不可缺少的关键技术,科学的VLAN设计可以为局域网络带来一系列的优点:
? 在同一个物理网络实现第二层工作组划分,实现不同工作组之间第二层的完全隔离,同时,
组员可以处在物理网络中的任何位置,不受同一台设备限制;
? 隔离广播,提高效率,避免不相关的广播帧在全网扩散,浪费有效带宽资源;
本次柳州市公园路小学校园网的建设,我们基于IEEE 802.1Q标准实现VLAN,使用VLAN技术达到两个目的:第一,不同用户或各业务部门之间的隔离和通信控制;第二,广播范围的抑制。
VLAN的划分可以依据不同的用户或业务部门进行也可以依据用户所处网络的物理结构进行,后者主要是从网络性能角度出发,而前者还同时兼顾了网络安全性可控性的需要。从广播控制角度出发,为了保障网络的高可用和高性能,按照惯例原则,我们在进行具体VLAN规划时,同一个广播域内(一个VLAN)的通信主机一般不超过50台,对于主机数量超过50的业务部门,我们通过二层隔离,三层交换的方式来解决。
作为特殊VLAN 的典型,保留VLAN1作为管理VLAN,管理VLAN覆盖到全网的每一台交换机,但在第三层接口上,需要通过控制列表与其他业务VLAN进行有效的隔离。网管工作站设置在管理VLAN。
11
柳州市公园路小学东校园网设计方案
另外,由于柳州市公园路小学新校区校园网中前期所布署的业务服务器尚比较少,因此服务器也设置在管理VLAN。
对于对外的WWW等服务,再单独设置VLAN,结合防火墙设备,通过设置DMZ(停火区)的方式实现与外界的安全互联。
(2) 防火墙访问列表的安全防范。 包过滤技术
IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由路由器进行处理的信息。包过滤通常用到IP报文的以下属性:
IP的源、目的地址及协议域; TCP或UDP的源、目的端口; ICMP码、ICMP的类型域; TCP的标志域
表示请求连接的单独的SYN 表示连接确认的SYN/ACK 表示正在使用的一个会话连接 表示连接终断的FIN
(3) IPv6设备支持
系统采用高性能的核心路由交换机-------DCRS-6804L提供整个管理信息网络系统的中心交换,本次方案中,在DCRS-6804L机箱上配置两块MRS-6804L-M4GX24TX主控管理模块,在实现管理模块冗余的时间,提供了48个10/1000M自适应铜缆接口,8个千兆光/电复用接口,同时交换机还具有万兆以太网的支持能力,一个满配置的DCRS-6804L核心交换机可以提供高达480 Gbps的总交换能力.
备受瞩目的CERNET2也已步入试运行阶段。与此同时,为数众多的IPv6试验网已经在广大高校当中落地生根,并呈现快速蔓延之势,IPv4迁移至IPv6已是指日可待。由于基于IPv6的下一代网络应用是从互联网开始的,因此作为核心层的主力设备,万兆路由交换机首当其冲,其对于IPv6的支持能力至关重要。
DCRS-6804L核心万兆路由交换机在国内主流网络厂商中率先通过了IPv6领域最高等级的资质
12
柳州市公园路小学东校园网设计方案
认证—— “IPv6 Ready Phase-2”,在即将到来的IPv6浪潮中走到了最前列。
2.4.2提供统一的网管功能
通过LinkManager网络管理软件管理柳州市公园路小学校园网的所有神州数码路由器及交换机。神州数码路由器支持SNMP(V1、V2、V3)、RMON网络管理协议,可通过各种通用网管软件(如HP OpenView、CiscoView、CiscoWorks 2000)对路由器进行监控和管理,模块化路由器支持CDP协议,在OpenView中,DCR-标配系列路由器、模块化路由器支持网络拓扑结构的图的自动生成,并能够通过集成的RouterView显示DCR-系列路由器的背板图,监视和控制各个端口的状态和统计信息。
神州数码路由器的网络管理和其它绝大多数网络设备一样,都是基于SNMP(简单网络管理协议)开发的。SNMP是另一种可以访问路由器的方法。通过SNMP,可以收集路由器的统计信息获得路由器的配置信息。使用get-request 和 get-next-request命令获得统计信息,使用set-request可以配置路由器。神州数码路由器可以与其它品牌的路由器实现很好的兼容,支持CISCO的EIGRP等专用协议,并可通过常用网管软件进行多厂家路由器的集中管理。
神州数码自主研发的LinkMangaer软件能极大方便整个网络的管理和维护。
13
柳州市公园路小学东校园网设计方案
2.5网络设备清单
序号 型 号 描 述 核心交换机 4插槽核心路由交换机机箱(电源1+1冗余,标配11 DCRS-6804L 个MRS-PWR-A2-AC交流电源,1个热插拔风扇盘,不含管理模块。) 2 3 MRS-6804L-M4GX24TX SFP-SX-L DCRS-6804L管理模块(含24口10/100BaseTX百兆接口和4口千兆Combo(SFP/GT)接口 1000Base-SX SFP接口卡模块,LC接口 块 块 2 3 台 1 单位 数量 一号楼(76个点) 4 DCS-3950-26C 可堆叠智能安全交换机(24口10/100Base-TX,固化2个千兆Combo(SFP/GT)接口) 台 3 二号楼24个点) 5 6 DCS-3950-26C SFP-SX-L 可堆叠智能安全交换机(24口10/100Base-TX,固化2个千兆Combo(SFP/GT)接口) 1000Base-SX SFP接口卡模块,LC接口 台 块 1 1 三号楼(12个点) 7 8 DCS-3950-26C SFP-SX-L 可堆叠智能安全交换机(24口10/100Base-TX,固化2个千兆Combo(SFP/GT)接口) 1000Base-SX SFP接口卡模块,LC接口 台 块 1 1 四号楼(32个点) 9 10 DCS-3950-26C SFP-SX-L 可堆叠智能安全交换机(24口10/100Base-TX,固化2个千兆Combo(SFP/GT)接口) 1000Base-SX SFP接口卡模块,LC接口 台 块 2 1 防火墙 神州数码统一威胁管理系统(百兆) 11 DCFW-1800E-UTM 性能参数:吞吐量400M、并发连接数800,000、每秒新建连接数 19,000 物理参数:1U标准机箱、4个百兆电口。 台 2 网管软件 12 LinkManager-40-B-25N 基础版插件式网络管理系统软件,4.X版本,25节点,Windows XP/2000平台 台 1
14