西安培华学院本科毕业论文(设计) 大学校园网网络组建及Internet接入方案
相对于防火墙,代理服务器则更注重对整个系统的管理功能,而不仅仅是发挥“看门”的功能。代理服务器需要配置高性能的服务器。 5.3.2 设置防火墙
防火墙是在开放与封闭的界面上构造一个保护层,以防止不可预料的、潜在的破坏侵入网络,通常起着一个“看门”人的作用。
应注意的是,防火墙不是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个有机的组成部分。所有可能受到网络攻击的地方都必须以同样完全级别加以保护。只设立防火墙系统,而没有全面的安全策略,那么防火墙也形同虚设。
防火墙的作用是以额外的软硬件设备和系统性能的下降为代价的,因此防火墙的设置取决于对网络的安全防卫要求和所能承受的经济能力,以及系统被攻破之后可能产生后果的严重性。
防火墙的防卫重点是网络传输,因此它不能保证高层协议及传输内容的安全,另外,它也不能防止来自内部破坏者带来的威胁。
从上述内容来看,整个校园网的安全结构不应是仅仅添置某一安全设备,而需要建立在整个网络系统的平台上,服务器、交换机、路由器到拨号服务器及相关的软硬件都应该被视为网络安全的一部分。由于校园网是一个相对比较开放的系统,它和企业网有一定的区别,因此建议采用以下的安全结构体系[18]。
整个安全结构由主机系统认证、虚拟网VLAN的设置、代理服务器的设置、路由系统的过滤功能拨号认证系统等几大部分组成,如表5.2所示。
表5.2 安全结构体系的组成
安全体系结构主机系统认证 VLAN设置 代理服务器设置 路由安全 防火墙系统 5.4 安全性机制
整个校园网的安全结构不应是仅仅添置某一安全设备,而需要建立在整个网络系统的平台上,服务器、交换机、路由器到拨号服务器及相关的软硬件都应该被视为网络安全的一部分。
23
西安培华学院本科毕业论文(设计) 大学校园网网络组建及Internet接入方案
整个安全结构由主机系统认证、VLAN的设置、代理服务器的设置、路由系统的过滤功能、拨号认证系统等几大部分组成。在高校校园网络的设计方案中,提供了多种安全性机制供用户选择组合,如认证、授权、记账(审计)、数据加密、物理安全性等[19]。
24
西安培华学院本科毕业论文(设计) 大学校园网网络组建及Internet接入方案
第6章 设备选型
设备选型本着先进性、可靠性、实用性、安全性、可扩充性及符合国际标准等原则。 在主楼中心机房放置一台CajunP580千兆路由交换机作为高校校园网络的核心交换机;在两个远程区域分别根据其信息点的分布,分别采用AVAYA P131G2和AVAYAP134G2可堆叠式交换机;利用AVAYA的CajunView网管软件实现对整个网络的管理。
6.1 核心主交换机
CajunP580通过全分布式的Crossbar交叉矩阵设计体系结构实现骨干网络的线速交换功能。在这种结构中,每个模块/端口均配有自己的交换阵列和多层处理芯片。每个模块/端口在操作时都完全独立于其它模块,而无需中央的Supervisor Engineer引擎模块。这种均衡结构能够确保随着模块/端口的增加,其交换或路由能力仍可满足带宽要求,从而保证了网络的完整性和吞吐量,而没有例可单一故障点。P580的Crossbar交换结构扩展性极强,远远超过了市场上其他低带宽交换机的ShareBus(总线共享)和ShareMemory(存储器共享)的设计结构。
核心主交换机技术指标如下:
1、机箱:七个槽口,6个用户模块槽口(在全冗余配置下,只占用2个插口); 2、背板带宽:55+Gbps (具有更高的扩展能力); 3、10G万兆以太网就绪; 4、第二层交换可高达40Mpps; 5、第三层路由可高达40Mpps;
6、第二层及多层(第二层/第三层)模块(软件密钥升级);
7、支持48个千兆位以太网络端口,288个10/100以太网端口或44个光纤快速以太网端口,具有OC-3/STM-1和OC-12/STM-4 ATM模块;
8、容错式风扇、电源、管理模块、交换引擎背板; 9、独特的Open Trunk虚拟网协同工作能力; 10、支持服务等级/服务质量/RSVP;
11、队列管理:8个硬件优先级队列和优化多点广播的队列管理引擎。
25
西安培华学院本科毕业论文(设计) 大学校园网网络组建及Internet接入方案
6.2 接入层主交换机
根据客户相关技术指标要求,选择AVAYA Cajun P133G2堆叠交换机作为楼层交换机。 Cajun130系列是AVAYA公司推出的高性能可堆叠交换机系列产品,该产品是10/100M自适应工作组交换机,该交换机的背板带宽为4.4/6.8Gbps,提供每秒6.6/10.2M个包的吞吐量。Cajun130为系列交换机可最多同时堆叠4台,能达到192个10/100M自适应快速以太网端口,特别适合于较高密度的配线间。Cajun P133G2具有24个10/100M固定端口和2个GBIC千兆端口。
6.3 路由器
1、它主要完成以下功能:
(1)、局域网到局域网路由,包括带宽管理; (2)、远程访问服务器(模拟拨号服务); (3)、服务语音/传真/数据/集成;
(4)、带有可选防火墙安全的VPN/外部网(Extranet)访问; (5)、广域网访问,包括ATM服务。 2、产品特性
Cisco2621路由器具有如下一些产品特性: (1)、1个网络模块插槽,2个WIC广域接口卡插槽;
(2)、支持的局域网接口类型包括以太网、快速以太网、令牌环;
(3)、支持的广域网接口类型包括同步串口、异步串口、同/异步自适应串口、ISDN、ERI、ISDN PRI、ATM、Channelized E1等;
(4)、可支持多种网络协议,包括IP、Novell IPX、Appletalk和DECnet等等; (5)、可支持多达60路Voice over IP,实现数据网络与语音网络的融合; (6)、通用性/投资保护-可以现场更新模块化接口,能够启动数以千计的定制化解决方案,并能够轻松地适应未来网络发展的要求过渡;
(7)、集成/可管理性-降低拥有成本,简化远程管理,提供结合CSU/NSU、复用器、调制解调器、语音/数据网关/ISDN NTI、防火墙、VPN、加密和压缩设备的集成化网络;
(8)、多业务语音/数据网络-降低网络管理费用、话费;
(9)、通过利用Cisco IOS服务(QoS)特性(例如RSVP、WFQ、承诺接入速率[CAR]和随机早期检测[RED],语音流量可以实现数字化并封装在IP数据包中,而且能够与数据流量
26
西安培华学院本科毕业论文(设计) 大学校园网网络组建及Internet接入方案
相结合。
6.4 Inter架构服务器
IBM x226-8648 I02服务器主要配置如下: 1、采用2路英特尔?至强? 处理器,Intel EM64T; 2、512K全速二级缓存;
3、512MB标配/16GB 最大PC2-3200 400MHz ECC DDR2内存; 4、73.4GB高速SCSI Ultra 160 1万转硬盘; 5、DVD光驱 1.44M软驱;
6、6组SCSI热插拔硬盘槽位560W电源; 7、集成的千兆以太网卡;
8、Intel? Active Monitor监测软件; 9、键盘/鼠标; 10、4U结构。
6.5 楼层交换机技术特点
1、高性能
CajunP130系列交换机具有极高的性能,背板总线为4/6.6Gbps,采用ASIC芯片的分布式并行处理技术,使得CajunP130交换机具有高达每秒6.6/10.2个包的极大吞吐量,完全保证每个交换端口真正达到线速。
2、高可靠性
CajunP130系列交换机具有同朗讯骨干交换机相同的多级容错能力,包括多个专用交换芯片,分布式处理设计,端口容错,备份电源容错等等。
3、强大的虚拟网功能
CajunP130系列交换机能支持3000个VLAN,并且具有AVAYA公司独有的Global功能,即公共端口功能,该功能可使分布在不同虚拟网内的用户访问公共的服务器、打印机或其它公共资源,而不用购买昂贵的多口路由器来实现不同虚拟网之间访问公共服务器的应用。CajunP130系列交换机同时支持跨交换机的虚拟网管理功能,因而CajunP130系列交换机可和AVAYA主干交换机组成统一的虚拟网管理,使用户真正实现端到端的解决方案。
4、业界领先的网络管理功能
AVAYA公司是世界上第一个实现对交换机进行SMON管理的公司,今天,朗讯公司在工
27