《校园网网络方案设计说明书(共19页).doc》由会员分享,可在线阅读,更多相关《校园网网络方案设计说明书(共19页).doc(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上校园网方案设计说明书四川师范大学计算机科学学院:刘莎 张芡 张睿2011年12月9日目录第一部分 前言当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。信息技术作为新技术革命的核心,不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向社会的各个角落渗透。信息化的教学环境是高校为国家
2、建设培养优质人才的重要基础设施。信息化已成为当代人才培养、经济发展与社会进步的巨大推动力,尤其是关乎国家教育命脉的高校信息化建设工作,当前显得尤为重要。信息化建设已成为当今高校建设过程中必不可少的重要步骤。随着高等学校信息化建设的深入,高校的运作越来越融入计算机网络,高校的信息沟通、办公应用、财务管理、视频会议等等数据流都在校园网络上传输。因此,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型校园网络,已经成为高校信息化建设成功的关键基石。第二部分 方案设计需求分析2.1用户背景信息机构:XX国家重点大学院校,校园占地面积:146.57万平方米,校舍建筑面积: .64平方米,教职工人数
3、:2000,学生总数:1.7万余人。校园网络面临的挑战:建立一个可扩展的、高速的、充分冗余的、基于标准的网络,该网络能够支持融合了话音、视频、图像和数据的应用程序。关键网络系统:锐捷RG-S8610三层交换机、锐捷RG-S5750交换机、锐捷RG-S2126交换机、锐捷RG-WG54P无线局域网接入器、锐捷防火墙RG-Wall 1000、锐捷RSR-08E路由器。校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园区内部的Intranet系统,对外通过路由设备接入广域网。具体而言这样的设计目标应该是:建设一个以办公自动化、计算机辅助教学、现代计算机校园文
4、化为核心,以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络,将学校的各种PC机工作站、终端设备和局域网连接起来,并与有关广域网相连;在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。 2.2方案设计要求及条件一、连通性和可靠性1. 为了提高数据的传输效率,在整个校园网内控制广播域的范围;2. 在整个校园网实现资源共享,并保证骨干网络的高可靠性;3.
5、 校园网内部网络中实现高效的路由选择;4. 在网络出口对数据流量进行一定的控制;5. 能够使用较少的公网IP接入Internet;6. 建立学校的服务器,实现信息发布、FTP文件上传下载、域名解析、动态地址分配等。二、安全性1. 要求网络设备集成的安全性(本方案设计中可以涉及专门的防火墙、VPN或IDS产品,但在实验配置时安全是指交换机、路由器等网络基础设施产品中的集成安全,不涉及其它产品),网络平台需要提供对常见“网络攻击的解决方法” 进行考查;2. 对接入层的安全控制,如防止非法的ARP攻击、DOS攻击、端口连接数限制等;3. 病毒攻击防护、对“采用ACL对病毒” 进行考查;4. 按需求实
6、现一定的访问控制。 综上所述,建成后的网络系统应是支持办公自动化、计算机辅助教学、现代计算机校园文化以及个人应用系统运行的基础设施。其应具有了如下的特征:1、采用先进的网络通信技术完成校园网的建设,实现教学楼、行政楼、学生公寓、教职工住宿区、商业区等所有校内公共基础设施的信息化建设;2、在整个校园网内实现所有教育、教学及行政部门的办公自动化,提高工作效率和管理服务水平;3、在整个校园网内实现资源共享、教育教学信息共享以及实时新闻发布等;4、在整个校园网内部实现财务电算化;5、在整个校园网内实现集中式的网络管理系统和对外服务管理系统。第三部分 网络设计方案 3.1校园网设计原则为了实现网络设备的
7、统一性,本设计方案中完全采用同一厂家的网络产品,即锐捷公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。此次校园网设计应遵循如下原则:1先进性世界上计算机技术的发展十分迅速,更新换代周期越来越短。所以,选购设备要充分注意先进性,选择硬件要预测到未来发展方向,选择软件要考虑开放性,工具性和软件集成优势。网络设计要考虑通信发展要求。2实用性系统的设计既要在相当长的时间内保证其先进性,还应本着实用的原则,在实用的基础上追求先进性,使系统便于联网,实现信息资源共享。易于维护管理,具有广泛兼容性,同时为适应校园的内部需求,教职工的工作特性、学生的学习特性等。
8、3安全性校园网内计算机网络与外部网络的互连互通日益增加,它们都直接或间接与国际互连网相连接。校园内许多机密信息,如教职工资料、学生资料、教职工工资信息等等都关系到一所大学的稳定与发展。因此,在系统方案设计需考虑到系统的可靠性、信息的安全性和保密性等诸多要求。4可扩充性系统规模及档次要易于扩展,可以方便地进行设备扩充和适应工程的变化,以及灵活进行软件版本的更新和升级,保护用户的投资。为将来系统的升级、扩展打下良好的基础。5 灵活性采用结构化、模块化的设计形式,满足系统及用户各种不同的应用要求,适应业务调整。3.2网络拓扑结构介绍 在此次校园网的设计中,我们采用层次化模型来设计网络拓扑结构。所谓“
9、层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。层次化模型的好处:1、节省成本在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。2、易于理解层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。3、易于扩展 在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和
10、网状设计,任何一个节点的变动都将对整个网络产生很大影响。4、易于排错层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。3.3网络拓扑结构说明在网络结构设计上,采用主流的万兆骨干传输的以太网交换技术(第三层交换)作为核心层,呈Hub-Spoken的双核心冗余拓扑结构。以TCP/IP协议为主,采用标准的通讯规程,以有利于不同高校之间的互连,使不同系统间易于集成,兼顾其他标准的网络体系结构,网络能实现协议之间无缝连接。而服务器集群与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠,高性价比的设备,这些设备是在传输网中广泛使用
11、并在实践中部署的,容错能力的高性能和具有强大扩展性能的大型网络核心交换机,可实现冗余备份,从而提高全网的可靠性。3.3.1核心层网络设计此校园网络的核心网主要完成整个大学校园内部不同地域教学单位、行政部门之间的高速数据路由转发,以及维护全网路由的计算。鉴于大型校园内部用户数量众多,业务复杂,QoS要求较高的特点,在本方案中采用锐捷网络的RG-S8610高密度多业务IPv6核心路由交换机(三层交换机)组建高性能的核心网络平台。在具体设计中,我们采用两台锐捷RG-S8610核心路由交换机组成双机热备份的核心交换机系统。为提高核心网络的健壮性,实现链路的安全保障,本方案核心层网络中采用VRRP(虚拟
12、路由器冗余协议,三层交换机配置SVI接口)。对于各个业务VLAN设定这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,一主两备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。 RG-S8610是高性能、大容量的级核心路由交换机,其采用世界最先进的硬件技术,使其能够提供10G平台高速包处理技术来增强海量业务处理能力,从业务驱动的角度实现IP核心网络质的飞跃。 同时强大的安全稳定保障:关键部件的安全稳定;采用硬件
13、方式提供多种病毒和攻击防护。设备管理安全提供SSHv1/v2的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁;优秀的接入安全功能,使得RG-S8610核心路由交换机成为了核心层网络的不二选择。 3.3.2汇聚层网络设计汇聚层网络主要完成校园内各楼宇及相关教育教学单位的内网接入、交换机的汇聚及数据交换和VLAN中继,在本方案中采用锐捷网络的RG-S5750多层交换机作为汇聚层交换机。RG-S5750交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业
14、务提供能力,可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。3.3.3接入层网络设计以往传统网络接入层的建设中并不关注于安全控制和QoS提供能力,而将网络的安全防御措施和QoS保障依赖于网络的汇聚层或核心层设备,这给汇聚层和核心层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致核心层设备宕机,使网络没有QoS服务质量保障。此外,接入层应该能够实现对用户的访问控制,并具有较强的安全和QoS控制功能,部分设备要求支持802.1x的认证计费,支持千兆光纤上网,并在教学楼使用EC(以太网快速信道)连接到汇聚设备,支持SMNP的网管。同时,为满足学生宿舍网的高端
15、口密度接入的需求,接入层应考虑二层智能型可堆叠并支持802.1x协议的交换机。因此,在接入层部署了锐捷网络的STAR-S2126G、RG-WG54P等具备智能/非智能,高密度,可堆叠等产品多样性,满足不同需求的接入设备。3.3.4广域网互联设计针对于大型企业需要良好的出口网关设备,我们建议用户选用锐捷RSR-08E高性能全模块化多业务路由器,对于需要高安全性、可靠、高速的 IP/MPLS 来支持 WAN 连接、互联网接入以及 IP 业务的公司总部、园区边缘以及企业骨干来说, 锐捷RSR-08E平台都是理想的企业路由解决方案。可以作为高性能VPN 网关、高性能NAT网关、MPLS VPN网络中的
16、PE、IP语音GK,可以充分满足大型企业园区对网络出口的路由器具备较高的转发能力和很强的多业务支持能力的需求。3.4冗余/负载均衡设计 冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分校园网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3 ad)实现端口级冗余,以克服某个端口或线路引起的故障。也
17、可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双核心保护。3.4.1线路冗余 在校园网核心层,由于采用了双机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用10GE(万兆以太网)线路对两台干核心层设备RG- S8610进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。GEC路具有链路聚合和冗余
18、保证两大特性,下面我们将对它们依次进行介绍链路聚合:DEC链路聚合IEEE802.3ad示意如图: 图解:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高冗余保证: 链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及
19、备份选择。在校园网汇聚层及接入层出于成本及性价比的考虑,我们决定采用万兆核心,千兆汇聚,万兆拓展;百兆到桌面的链路选择。3.4.2网络设备冗余/负载均衡设计 在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的核心层上。我们采用了两台锐捷网络的RG-S8610高密度多业务IPv6核心路由交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的区块,两台锐捷网络的核心多业务IPv6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块,我采用了两台锐捷网络的RG-S5750多层
20、交换机做到冗余与负载均衡。在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时候,我们采用了双核心配置。如下图,我们给出了从接入层到汇聚层再到核心层的双核心配置。双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。如果一条核心设备发生故障,还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第三层路由选择协议在核心中起链路选择的作用,VRRP提供快速错误恢复。核心层不需要STP,因为在核心交换机间没有冗余的第2层连接。3.4.3服务器冗
21、余设计 校园网中服的务器、大型机,如网络存储服务器,数据库服务器,其存储的数据对于学校来说致关重要,一些核心数据控制着学校的发展和命脉。一方面它对学校的重要性毋庸质疑,另一方面,由于这些数据的性质决定了其较大的被访问量,因此,对服务器提出了稳定和快速的要求。如果宕机,一旦重要数据丢失,将带来严重的后果。安全、可靠的网络是保障计算机系统可靠性的关键。为此,我们采用的是双机热备技术,此技术能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术来说,这是性价比较高的技术。 服务器双机热备技术具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),在此基础上,以上图为例
22、,DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器区的网络实现互连,以达到双机热备的目的。因此增加服务器的稳定性与高效性。本网络中应具有多台服务器设备,包括DB Server、WWW Server、E-Mail Server、DHCP Server、FTP Server、DNS Server等等。在企业网络边界的拓扑结构设计上,我们以客户的可用性、性能和可购买性为设计目标,把此方案中校园网的边界网络设计在内网设置冗余的广域网段,并在连接Cernet和Internet的链路上实施多重路径。3.4.4冗余广域网网段因为广域网链路是
23、任何互联网络中非常关键的一部分,因此在校园网边界网络拓扑结构中包括了冗余(备份)广域网链路。我们为校园网选择采用业界流行的Frame Relay技术的电信服务商线路连入Internet公共网络。另外一条边缘线路就是连接大学所在区域的Cernet中心。随着高校的发展,其分校区越来越多,为便于统一管理,本方案建议采用锐捷网络公司 RSR-08E路由器,利用目前运营商提供的ADSL、DDN、以太网宽带接入等多种方式组建一个DVPN(动态虚拟专用网络)网络,实现高校总校区与分校区远程通讯的安全,同时也便于高校部署办公自动化及相应的业务应用软件系统。从高校边界模块看,接入路由器后设置防火墙。采用合理的安
24、全策略实现,外部网络对内网访问以DMZ(Demilitarized Zone)的控制形式进行,实现校园内部网络与Internet公共外网之间的隔离,防止来自外部网络的非法访问。3.5设计编址和命名模型 IP地址规划遵循的原则 IP地址规划IP划分原理IP编制的原理IP 编址是整个网络设计中的重要组成部分,地址规划的科学性和合理性将直接反应网络拓扑的设计思想,对网络的稳定起到至关重要的影响。好的地址规划同科学的分层网络拓扑设计相辅相承,共同形成整体的网络设计解决方案。简单性:地址的分配应该简单,避免在主干上采用复杂的掩码方式; 连续性:为同一个网络区域分配连续的网络地址,便于采用路由收敛(Sum
25、marization)及 CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项,提高路由器的处理效率; 可扩展性:为一个区域分配的地址应有一定的容量,便于主机数量增加时仍然能够保持地址的够用; 灵活性:地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化; 可管理性:地址的分配应该有层次,某个局部的变动不能影响全局。 安全性:网络内应按工作内容划分成不同网段即子网以便进行管理。在本方案中我们采用OSPF作为主干路由协议,该协议支持VLSM(可变长子网掩码),允许用户在粒度上分配所需要的IP数。并使用路由手动汇聚特性
26、,向主类网络号宣告更简洁的网络号,优化路由表条目,提高寻址效率。(路由汇聚:路由汇聚实现当我们采用了一种体系化编址规划后的一种用一个IP地址代表一组IP地址的集合的方法。实现了把一组路由汇聚为一个单个的路由广播。路由汇聚的最终结果和最明显的好处是缩小网络上的路由表的尺寸,这样将减少与每一个路由跳有关的延迟。)IP编制的优点a. 有效的利用可用寻址空间;b. 加强好分层设计,允许汇聚和文档管理。汇聚的优点1. 最小化路由表条目缩小了路由表条目,使的更新更小,占用更小带宽。那么查询速度更快,更高效,对路由器内存需求更小,CPU的占用时间更短。2. 简单化只维护小型路由表, 简化了网络寻址计算。IP
27、地址需求分析 此校园具有上万人的学生规模,所以在园区网内的信息点数量庞大,应接近于学生人数,即接近万个接入信息点。其中各个模块、各个层次对于IP地址的需求量多种多样,具体分布如下表所示:网段描述所需的IP地址数校园网楼宇建筑分布行政办公楼1500实验楼2000教学楼1000学生公寓15000教职工住宿区2200学生活动中心500图书馆1500后勤部(一卡通中心)100商业区商铺200合 计24000内部IP地址分配原则是按照校园中建筑功能区域划分的,视用户数量,考虑路由汇总对地址块172.16.0.0/18进行划分。由调查分析得知,校园中主要楼宇分为:行政办公楼、教学楼、学生公寓、教职工住宿区
28、、学生活动中心、图书馆、学生食堂、商业区商铺等,9大区域。对各个区域所需IP地址进行统计并划分如下图:3.6无线WLAN设计方案在本方案的设计中,出于对校园网中移动用户的应用需求,我们在校园区域内组建了无线网络。无线网络组网实现 无线网卡通过无线桥接同时无线接入技术,使其与当地的接入层交换机互连,达到无线网络与汇聚网络的连通。采用设备RG-WG54P是锐捷网络推出的高增益、高性能无线局域网接入器产品,基于标准802.11b/g协议设计,其内建的高速加密引擎支持所有TKIP及AES协议且不会出现性能衰减。RG-WG54P在提供高速无线通信的同时,还支持基于802.3af的以太网远程供电技术,可方
29、便移动用户在无线网覆盖区域,快速构建无线接入网络;先进的802.1Q VLAN划分技术,可快速实现用户分组,完成无线与有线的管理融合;同时,还具备快速实现漫游切换、广播风暴抑制、实时带宽管理等多项精细化功能,是组建高速无线局域网络的最佳选择。第四部分 核心技术4.1VRRP简介 随着Internet的迅猛发展,基于网络的应用逐渐增多。这就对网络的可靠性提出了越来越高的要求。采用廉价冗余的思路,在可靠性和经济性方面就能够找到平衡点。 虚拟路由冗余协议就是一种很好的解决方案。在该协议中,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其
30、中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。 4.2 ACLs简介ACLs的全称为接入控制列表(Access Control Lists),按照其使用的范围,可以分为安全ACLs和QoS ACLs。 对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。安全ACLs在数据流通过交换机时对其进行分类过滤,并对从指定接口输入的数据流进行检查,根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。 在安全ACLs允许数据流通过之后,您还可以通过QoS 策略对符合QoS ACLs匹配条件的数据流进
31、行优先级策略处理。总的来说,安全ACLs用于控制哪些数据流允许从交换机通过,QoS策略在这些允许通过的数据流中再根据QoS ACLs进行优先级分类和处理。 锐捷网络支持ACL的交换机有:S2126S/2126G/2150GS3550-24/48/12G/24GS4909S5610S6800系列等。4.3 OSPF概述和数据包格式随着Internet技术在全球范围的飞速发展,OSPF已成为目前Internet和Intranet采用最多、应用最广泛的路由协议之一。 OSPF(Open Shortest Path First)路由协议是由IETF(Internet Engineering Task
32、Force)IGP工作小组提出的,是一种基于SPF算法的路由协议,目前使用的OSPF协议是其第二版,定义于RFC1247和RFC1583。 OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。作为一种链路状态的路由协议,OSPF将链路状
33、态广播数据包LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。4.4 GVRP通用VLAN注册协议(GVRP)是通用属性注册协议(GARP)中的一个应用,在802.1Q Trunk口上实现提供802.1Q兼容的VLAN修剪与动态VLAN创建。.使用GVRP,交换机可以和其它使用GVRP的交换机交换VLAN配置信息,在802.1Q Trunk链路上修剪不需要的广播和未知的单僠流量,动态创建和管理VLAN。GVRP硬件与软件需求,需要以下硬件与软件版本:
34、(1)交换机v2.4及以上软件版本(2)802.1Q兼容的交换机模块 4.5 DHCP-RelayDHCP 协议被广泛的应用在局域网环境里来动态分配IP地址。 按照通常的 DHCP 应用模式(ClientServer 模式),由于 DHCP 请求报文的目的 IP 地址为 255.255.255.255,因此每个子网都要有一个DHCP Server来管理这个子网内的IP动态分配情况。这样会在无形中增加了网络的开销,降低网络性能。面对这样的问题,我们小组在此采用DHCP Relay来解决如上的问题。DHCP Relay Agent相当于一个转发站,负责沟通不同广播域间的DHCP Client和DH
35、CP Server的通讯。 这样我们就实现了局域网内只要安装一个 DHCP Server 就可对所有网段的动态 IP 管理,即 ClientRelay AgentServer 模式的 DHCP 动态 IP 管理。此外,我们的DHCP Relay Agent还可以和802.1x认证完美的结合起来,实现管理员对IP地址的可控性。规定802.1x认证用户可以分配哪一类的IP地址,从而能更精确的进行IP地址管理。4.6 RSTP IEEE 802.1w协议能够提供交换机(网桥)故障、交换机端口(网桥端口)或整个LAN快速恢复的特性,这是因为它依赖于一种有效的桥桥握手机制,而不是802.1d中根桥所指定
36、的计时器。RSTP改变了802.1d的这种方式,其拓扑结构利用生成树“呼唤”作为保持本地连接的方式,这就使802.1d的Forward_Delay和Max_Age定时器变得多余,因而现在它主要用于协议标准操作的备份。RSTP由于引进了新的BPDU处理以及一种新的拓扑结构改变机制。即使没有从根桥处接收到任何信号,每个网桥在每次“呼唤时间”中都生成BPDU。BPDU扮演了在网桥间进行消息通知的角色。如果一个网桥不能从临近网桥处收到BPDU,它就会认为与这个网桥失去了连接,因而会考虑进行快速故障检测和自恢复。在RSTP中,仅当非边缘端口转为转发状态时,拓扑结构才会发生改变,而802.1d中的连接丢失
37、(例如端口阻塞)则不会引起拓扑结构的变化。802.1w中的拓扑结构变化通知(Topology Change Notification,TCN)与802.1d中的不同,它可以大大减少数据崩溃。在802.1d中,TCN先单独传送给根桥,然后再多点传送到其它网桥。接收802.1d TCN将使网桥快速老化转发表格中的所有条目,而不考虑网桥转发拓扑结构是否受到了影响。RSTP则恰恰相反,它明确通知网桥保留通过接收TCN端口所学习的条目,因而使这项操作得到了最优化。TCN特性的这种改变,大大减少了在拓扑结构变化中丢失的MAC地址。如前所述,RSTP的目标是尽可能地将根端口和指定端口转变为转发状态,而阻塞替
38、代端口和备份端口。为了阻止转发环路,RSTP利用网桥之间的握手来确保通过网络分配的端口任务能够保持一致。由于这种握手不依赖于定时器,因此可以迅速地传送到网络边缘,并且随着拓扑结构的改变而迅速恢复连接。综上所述,我们选择快速生成树协议(RSTP)IEEE 802.1w作为交换机设备生成树协议。第五部分 网络安全设计5.1网络安全防范体系层次 作为全方位的、整体的网络安全防范体系也是分层次的,不同层次反映了不同的安全问题,根据网络的应用现状情况和网络的结构,我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。 1.物理环境的安全性(物理层安全) 该层次的安全包括
39、通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。 2.操作系统的安全性(系统层安全) 该层次的安全问题来自网络内使用的操作系统的安全,如Windows Server、Linux Server等。主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。 3.网络的安全性(网络层安全) 该层
40、次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。 4.应用的安全性(应用层安全) 该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。此外,还包括病毒对系统的威胁。 5.管理的安全性(管理层安全) 安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的
41、安全漏洞。5.2锐捷安全解决方案针对这些问题,锐捷提供了一套完整的企业网宽带管理、计费方案锐捷网络 SAM。该方案全面采用IEEE 802.1X 认证功能,提供了一个融合防火墙、接入服务器、访问控制、认证、计费功能的强大系统,对企业存在的每个问题都能提供完全的应对策略。 1.控制网络病毒 接入层交换机做动态下发安全策略,轻松有效的控制网络病毒,使网络保持畅通。在汇聚、核心交换设备设置由硬件实现ACL,对病毒进行过滤,我们选用的汇聚、核心交换设备都支持SPOH,所以在使用ACL 时将不会影响整个交换机的性能。 SPOH(Synchronization Process over Hardware)
42、即“同步式硬件处理”,通过最新的硬件芯片技术,让交换机每个端口都具备独立的数据处理能力,实现了端口级的数据同步交换,达到在高效应用QoS和ACL功能同时,交换机仍然保持海量数据的全线速转发,有效解决了网络的拥堵和安全问题。 2.抵御网络攻击结合网络攻击的检测系统,能够抵御日益增多的内部网络攻击,并且自动对用户做出相应的控制动作,保证网络安全。3.安全认证到桌面通过锐捷网络 SAM中六元素间自动绑定、静态绑定、动态绑定三种方式相结合,确保用户入网时身份唯一, 并且避免了IP 冲突。4.管理分级授权不同职能的管理者使用同一套系统时可以得到不同的操作界面以及使用权限,使得不同的管理员各司其职,避免了
43、管理的安全隐患。5.完善的网络管理机制为了帮助网管人员轻松实现对众多网络设备的管理、及时排查网络故障和提高用户管理 的效率,SAM 还提供了全网拓扑发现功能、AGTS 用户管理模式、接入时段管理以及免安装客户端自动升级等功能,帮助用户轻松管理整个企业网络。 (1).客户账号与IP 地址、MAC 地址、NAS 设备地址和NAS端口绑定SAM 通过六元素自动绑定、静态绑定和动态绑定相结合,实现安全认证到桌面,不但可以确保用户入网时身份唯一,而且有效避免了 IP 冲突。同时,为网络安全上了双重保险。例如,SAM 安全认证能够实现动态绑定,SAM 动态绑定是指在用户登陆网络时,用户的相关信息将自动与服
44、务器和接入层交换机同时绑定。届时如果用户登录网络后一旦更改自己的相关信息(如 IP地址、MAC地址等),则无法通过交换机认证,通过动态绑定确保了用户的身份唯一,在最大程度上消除了内部安全隐患,极大的提高了用户行为的唯一性,有效的防止了IP 地址和用户账号盗用现象的发生。 (2).对账号登录次数的限定系统对同一账号同时登录次数有明确的限定,避免多人次使用同一账号上网的现象。(3).带宽的限定和业务优先级的设定系统能对每个客户上下行的带宽上限加以限定,防止个别客户占用过多网络资源。还能 对不同的用户数据设定业务优先级(例如实验室、教师机房与学生宿舍、普通机房相区别), 以保证相对重要的请求能得到更
45、好的服务。(4).快捷实现全网管理全网拓扑发现功能可以对全网设备、网络节点以及事件、性能、日志进行实时监控,统一管理。特别值得一提的是,SAM 提供的全网拓扑发现功能,能够发现非网管设备(网 线、集线器HUB等),让非网管设备也难逃“法眼”。一旦员工私建局域网,网管人员可以迅速发现,并采取相应措施,保证网络正常运行。 (5).强大的事件追查功能 系统中丰富的日志信息和便捷的追查工具能使网络管理员在面对异常事件时,作出反应,迅速发现攻击源头。(6).多校区远程管理系统能同时对位于不同校区的NAS设备提供远程管理功能,在实现统一多个校园资费策略的同时还大大减少了网络管理人员的工作量5.3 应用VL
46、AN (应用虚拟局域网)虚拟局域网的原理VLAN(Virtual Local Area Network)虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个逻辑层次的划分。从技术上说VLAN可以分为静态VLAN和动态VLAN,那么静态的VLAN是基于交换机端口进行划分,根据网络设备连接不同的交换机端口,则进入相应的VLAN。动态VLAN则更灵活,它可以根据接入计算机的IP地址,MAC地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的VLAN中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。在我们的校园网方案设计中,我们希望通过使用VLAN技术进行划分达到以下目的:1. 隔离,划分广播域,减小不必要的广播流量,从而提高整个网络的利用效率。2. 提升网络安全性,划分VLAN可以有效的防止基于局域网传播的病毒进行复制感染,避免因病毒影响整个校园网络的正常运行,同时也可以防止网络中由于广播的而产生的一些不必要的嗅探攻击风险。3. 方便后期管理,我们可以把一个组织或者一个部门的所有计算机划分在同一个VLAN中,即便这些计算机物理上并不是在一起。这样给我们带来的好处是逻辑上有比较清楚的