《校园网VPN规划与实现.docx》由会员分享,可在线阅读,更多相关《校园网VPN规划与实现.docx(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、校园网VPN规划与实现校内网 VPN 规划与实现 中学校内网规划方案一 设计目标1.协作当前的教学发展状况,完成学校内部 Intrannet 的配套基础建设,将全校的信息资源利用计算机网络连接起来,形成一个流畅、合理、牢靠、平安的校内网。还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。通过各校校内网络的连接,可以更便利地相互交换信息,促进各个学校间的学术沟通。2.通过校内网络使老师和科研人员能刚好了解国内外科技发展动态,加强对外技术合作,促进教学和科研水平的提高。建立新的通讯方式和环境,提高工作效率。二 设计原则1学校需求为前提原则:坚持以学校详细需求为校内网信息系统
2、方案设计的根本和前提,同时,也要注意源于需求又高于需求的原则,留意用专业化的技术思想来进行校内网的规划与设计,确保校内网的好用性、先进性和便于扩展性。2.设备选型兼顾原则:满意学校对现代化教学手段的要求;满意校内网建设及互联网的要求;所选设备在国际上保持技术先进性;供应商有良好的商业信誉和优质的售后服务。3.坚持标准原则:一切校内网设计和施工,均要严格遵循国际和国家标准。统一规划,分步实施。校内网的实现要求通讯协议、网络平台等应具有世界性的开放性和标准化的特点,并且应采纳统一的网络体系结构。4. 坚持先进的成熟的技术原则:采纳通用的、成熟的技术方案可以降低建设成本、减小设计、施工和运用难度、缩
3、短建设周期。有利于爱护投资,并且有利于校内网的维护和升级。选择品质最好的设备不肯定是最佳选择,成本因素也是一个不容忽视的问题,将品质与成本实现最佳匹配。5. 坚持规范布线,考虑长远发展原则:布线系统使网络的重要基础,布线系统的好坏是衡量一个网络好坏的特别重要的标记。布线系统不合理将降低网络的牢靠性,使网络难以管理和维护,所以必需采纳标准的综合布线系统。6. 坚持易于运用和管理原则:校内网的各种软件应用项目必需易于运用,对最终用户的起点要求不能太高,一般以娴熟运用操作系统、办公软件系统、阅读器和电子邮件系统为宜;系统的日常管理和维护工作要便利、简易。网络拓扑结构一经配置确定,不应轻易更改。7.坚
4、持可扩展性原则:考虑现有网络的平滑过度,使学校现有陈旧设备尽量保持较好的利用价值;选用产品应具有最佳性价比,又要应充分考虑将来可能的应用,具有高扩展性。三. 用户需求分析学校要求如下:1. 建立办公自动化系统办公楼共有 40 个信息点。要求通过校内网连至 INTERNET,达到 100 M 到桌面,并对财务科,人事科等科室进行单独子网管理。2. 建立考试监控系统共有教学楼 3 座,120 个信息点。(1)综合教学楼一个,60 个信息点。其中有 10 个试验室,每个试验室配置 1 台 PC 和 1 个投影仪(此处无须上网);20 个教室,其中一个教室 2个摄像机。(2)一般教学楼 1:40 个信
5、息点,共 20 个教室,其中一个教室 2 个摄像机。(3)一般教学楼 2:20 个信息点,共 10 个教室,其中一个教室 2 个摄像机。3. 建立综合多媒体教室信教中心:共 120 个信息点。有两个多媒体教室,每个教室 60 台 PC。要求可网管,通过校内网上连至 INTERNET,达到 100M 到桌面。4. 为了满意教职工的须要,提高教职工教学条件和水平,大力发展网上教学,优秀科目科件制作等。将教职工宿舍区的 PC 通过校内网上连至INTERNET,达到 10M 到桌面,以后可扩展到 100M 。5. 学校校内网建设所需 PC 和投影仪有校方自行选择和安装。学生宿舍由于中学阶段学习生活的特
6、别性,不进行任何布置。四 网络规划设计总体方案(一)校内网络拓扑图 (二)设计方案1. 网络层次结构(1)核心设备设备名称:DCS-3926S 可堆叠智能平安接入交换机基本介绍:3926S 具有 24 个 10/100Mbps 自适应 RJ-45 端口和 2 个模块扩展插槽(可选插百兆模块和千兆模块)可千兆或百兆聚合上联至汇聚层交换机或者核心层交换机。主要特征:高密度和敏捷的堆叠DCS-3900S 系列的堆叠带宽可支持 2G 到 4G,并且支持简洁堆叠、标准堆叠、超级堆叠和混合堆叠。简洁堆叠成本最低。堆叠带宽 2G;标准堆叠运用堆叠模块,其带宽扩充至 4G;还可以用千兆电口或千兆光口做超级堆叠
7、,可避开堆叠线缆的限制,堆叠带宽也是 4G;同时 DCS-3900S 系列可以和DCRS-5600S 系列、DCRS-5526S 交换机做混合堆叠。强大的 ACL 功能作为新款的L2/4交换机,DCS-3926,S系列交换机供应了完整的ACL策略,可依据源/目的 IP 地址、源/目的 MAC 地址 IP 协议类型、TCP/UDP 端口号、IP Precendence、时间范围、ToS 对数据进行分类,并进行不同的转发策略。通过 ACL 策略的实施,用户可以在接入层交换机过滤掉冲击波、震荡波、红色代码等病毒包,防止扩散和冲击核心设备卓越的平安特性全面的受控组播方案 DMCP,可以对源和目的进行平
8、安限制,完整实现了在接入层网络中基于 IGMP 源端口和目的端口的检查技术,可完全限制合法组播在 网络中的稳定传输,有效限制组播建立的整个过程,保障了正常合法的组播应用的稳定运行;领先支持对特征困难(64 字节)的应用流量的访问限制,让用户可以在各种网络的环境中应对出现困难状况;监控 pingSweep 等攻击行为,平安防扫描,并实行防攻击措施,全面爱护交换机和服务器等网络设施的平安。更完备的性价比(DCS-3926S-G)大多数接入交换机通过 1 个千兆光模块上联,为了提高产品的性价比,DCS-3926S-G 固化了一个千兆光模块,可以为用户节约开支。丰富的 QoS 策略DCS-3900S
9、系列交换机为每个端口供应了 4 个优先级队列,可依据端口、802.1p、ToS、DSCP、TCP/UDP 端口进行流量分类,并安排不同的服务级别,支持 WRR/SP 等调度方式,为语音/数据/视频在同一网络中传输供应所要求的不同服务质量。技术参数接口形式:24 个 10/100M 端口+ 1 个 SFP 千兆光口/堆叠口可选扩展模块:百兆电/光口模块;千兆电/光口模块;堆叠模块堆叠:支持标准堆叠,超级堆叠,混合堆叠。堆叠环境下,支持跨交换机的端口聚合、端口镜像、QoS、ACL生成树:802.1D(STP)、802.1w(RSTP)、802.1s(MSTP)组播协议:IGMP Snoopinga
10、mp;QueryQoS:每端口 4 个队列,支持 802.1p,ToS,应用端口号,DifferServ,支持 WRR/SP 等调度方式ACL:支持标准 ACL 和扩展 ACL,支持 IP ACL、MAC ACL、IP-MAC ACL,支持基于源/目的 IP 地址、源/目的 MAC 地址、IP 协议类型、TCP/UDP 端口号、IP Precendence、时间范围、ToS 对数据进行过滤。端口聚合:支持 802.3ad,最大可支持 6 组 trunk,每 trunk 可到 8 个端口,支持基于目的 MAC 的负载均衡。IEEE802.1x:支持基于端口和 MAC 地址,支持神州数码 802.
11、1x 整体解决方案,可以实现按时长/流量计费,可以实现用户帐号、密码、IP、MAC、VLAN、端口、交换机的严格绑定,可以防止代理软件,防止 PC 克隆,对客户发送通知/广告,上网时段限制,基于用户动态实现 VLAN 授权和带宽授权,可基于组策略实现动态 IP 地址安排而不必运用 DHCP 服务器等。认证:支持 RADIUS端口镜象:支持。支持的网络标准:IEEE802.1D IEEE 802.3 IEEE 802.3u IEEE802.3ad IEEE 802.3x IEEE 802.3z IEEE802.1Q IEEE 802.1p IEEE 802.1x IEEE802.1w IEEE
12、802.1s 等堆叠。(2)工作组设备设备名称:DCS-3726S 24 口2 槽可堆叠网管 10/100/1000M 以太网交换机基本介绍:DCS-3726S 是神州数码网络专为校内网互连设计的一款可网管交换机,可堆叠运用供应很高的端口密度,适用于企业大中型网络组网。它具有 24 个 10/100Mbps 自适应 RJ-45 端口和 2 个模块扩展插槽(可选插百兆光纤模块或千兆模块),可千兆或百兆上联至骨干网。DCS-3726S 供应有端口 限速功能,运用敏捷便利。该交换机还可以下接最多 24 台其他交换机实现级联以扩展端口数目。它还支持 VLAN、组播、优先级、端口聚合和端口镜像等好用网络
13、功能,而且还供应了 18Gbps 的背板带宽,实现了数据的全线速转发,消退了网络瓶颈,为多用户接入供应了高性能的网络解决方案。主要特征:24 个 10/100Base-TX 端口DCS-3726S 具有 24 个固定的 10/100Base-TX 端口。这些端口均支持 Nway标准,可支持 10/100Base-TX 自适应及全双工/半双工。2 个千兆端口DCS-3726S交换机前面板具有2个插槽,可选插1口百兆模块或千兆模块,千兆模块可支持 1000Base-SX、1000Base-LX 和 1000Base-T 标准。全部模块支持流量限制和全双工,可处理大量数据。千兆端口可将部门网络与千兆
14、主干网络连接起来,也可以连接高性能服务器,使得更多用户可以同时访问。100Base-FX 模块DCS-3726S 插槽可以选插 1 口 100Base-FX(SC)短波或长波模块,运行于全双工模式下,可以应用于高电磁干扰或通信保密性要求高的场合,通常应用于远距离传输。大型堆叠,多达 192 个 10/100Base-TX 端口DCS-3726S 交换机最多可以堆叠 8 台设备,堆叠组最多可达 192 个10/100Base-TX 端口,使得网络可以敏捷扩展,并能够有效削减网络层次,便于大型社区内大量用户的互联接入。 技术参数端口聚合( Port Trunking)DCS-3726S 支持端口聚
15、合功能,同时支持 802.3ad 的标准。可将 2/3/4 个10/100Base-TX 端口聚合成一条干路,每条干路支持全双工模式,交换机最多支持 6 组端口聚合。生成树( Spanning Tree)DCS-3726S 支持多种生成树功能,如:802.1D、802.1w、802.1s。Spanning Tree 协议可使 LAN 自动检测并解决环路问题,可供应链路的备份。802.1D为基本的 Spanning Tree 协议,缺省操作模式是开启状态。DCS-3726S 同时支持 802.1w 快速生成树模式,可使收敛时间缩短至几秒内。IEEE 802.1s可使 IEEE Std 802.1
16、Q 的 VLAN 加入到多个生成树中,即供应 spanning tree per VLAN 的功能。虚拟网络( VLAN)支持虚拟网络( VLAN)标准来限制广播域和网段流量,可以提高网络性能、平安性和可管理性。DCS-3726S 支持 IEEE 802.1q VLAN 标记,可基于端口地址来划分 VLAN,最多 256 个 VLAN。通过限制口或网管工作站可以轻松完成结构和设备的添加、移动和更换。可依据最大网络流量和网络平安性来划分虚拟网络。DCS-3726S 同时支持 GVRP 协议,可实现 VLAN 组成员动态注册,支持基于端口的 VLAN 划分管理方式,支持动态 VLAN。生成树:80
17、2.1D(STP)、802.1w(RSTP)、802.1s(MSTP)MAC 地址过滤:自动学习 ; 动态和静态地址过滤管理功能 :端口平安 ; Bootp、DHCP 客户 ; 配置文件上载 /下载 ; TFTP 固件 升级(3)桌面接入层设备设备名称:神州数码 DCS-1024 一般交换机技术参数交换机类型:一般交换机传输速率(Mbps):10Mbps/100Mbps网络标准:IEEE802.3 10BASE-T 以太网;IEEE802.3u 100BASE-TX 快速以太网;IEEE802.3x 流量限制网络协议:CSMA/CD 接口介质:10BASE-T:2 对 3,4 或 5 类非屏蔽
18、双绞线(UTP)(≤100m); EIA/TIA-568 100 欧屏蔽双绞线(STP)(≤100m)。100BASE-TX:2 对或 4对 5 类非屏蔽双绞线(UTP)(≤100m); EIA/TIA-568 100 欧屏蔽双绞线(STP)(≤100m)传输模式:全双工/半双工自适应其他技术参数:数据传输速率:以太网:10Mbps(半双工);20Mbps(全双工)快速以太网:100Mbps(半双工);200Mbps(全双工)拓扑结构:星型MAC 地址表:8K最 大 包 过 滤 / 转 发 率 :每 端 口 14,880pps(10Mbps) ; 每 端 口148,80
19、0pps(100Mbps)RAM 缓冲:2.5M2. 链路设计(包括综合布线具体说明)(1)办公楼:核心交换机 DCS-3926S 通过一个千兆口有 1000BASE-T4 对超五类 STP 下连服务器,通过一个千兆口由 1000BASE-SX 多模光纤下连办公楼各科室,老师办公室的工作组交换机,通过一个千兆口由 1000BASE-LX多模光纤下连信教中心的工作组交换机,通过一个百兆端口由 100BASE-FX多模光纤下连教学楼工作组交换机,通过一个百兆端口由 100BASE-FX 多模光纤下连教工宿舍区工作组交换机。(2)信教中心:工作组交换机 DCS-3726S 通过超五类 STP 下连桌
20、面接入交换机 DCRS-1024。DCRS-1024 通过超五类 UTP 接入 PC。(3)教学楼:工作组交换机 DCS-3726S 通过 100BASE-FX 下连桌面接入交换机 DCRS-1024。DCRS-1024 通过超五类 UTP 接入摄象机和投影仪。(4)教工宿舍区:工作组交换机 DCS-3726S 通过 100BASE-FX 下连桌面接入交换机 DCRS-1024。DCRS-1024 通过超五类 UTP 接入 PC。3 路由设计采纳神州数码 DCR-2501V 多协议模块化路由器,确保网络的平安性和牢靠性。设备名称:DCR-2501V 多协议模块化路由器基本介绍:神州数码 DCR
21、-2501V 路由器是神州数码网络推出的固定配置语音路由器,性能稳定牢靠。DCR-2501V 供应了 1 个 console 端口,1 个10Base-T 以太网口,1 个协助(AUX)端口,2 个高速广域网串口,2 路 FXS语音端口;DCR-2501V 路由器支持常用的广域网协议和路由协议,支持 VoIP协议,支持内置强大的防火墙和 NAT 功能,为用户供应了更加高速、平安、稳定牢靠、便利的网际互连设备,特别适用于中小企业、政府等远程分支机构语音和数据互联或 Internet 接入等。主要特征:(DDR)功能;支持 IP Unnumbered,从属 IP 和 ARP 代理功能;支持多种队列
22、算法以保证服务质量(QoS)的供应;支持 Novell IPX 路由协议;支持路由再安排功能;高稳定性;供应背对背( Back-to-Back)连接方案,可用于检测路由器的功能技术参数标准配置 1 个 10 Base-T 以太网口2 个高速串口,支持 RS232、V.24、V.35、X.21、EIA530A 等电气标准 2 路 FXS 语音端口1 个 Console 端口1 个协助(AUX)端口,可进行远程配置和拨号备份内存:DRAM 16 M,可扩充至 32M;Flash Memory 2 M,可扩充至 4MCPU:32 位 RISC 处理器(MPC860 50MHz)协议和标准以太网接口标
23、准:IEEE802.3 10Base-T 标准广域网接口标准:RS232、V.24、V.35、X.21、EIA530A 等电气标准支持 VoIP 标准:支持 H.323 协议栈,支持 G.729、G.723.1、G.711 等多种语音编码压缩标准,支持 T.38 传真协议和 Bypass 方式的传真应用。帧中继标准:ITU-T Q933Annex A、ANSI T1.617Annex D、兼容 CISCO标准广域网协议:HDLC、PPP、MP、Frame-Relay(DTE/DCE)、X.25(DTE/DCE)路由协议:静态路由、RIP(包括 RIP v1、RIP v2)、OSPF、Novel
24、l IPX路由协议用户平安认证协议:PAP、CHAP、MS-CHAP、RADIUS、TACACS+ 管理维护供应 Show、Ping、TraceRoute、Debug 等吩咐,用于察看、测试网络的可达性,诊断网络故障;支持 Telnet 远程配置与管理;支持 SNMP、RMON 等网络管理协议;支持 HTTP 协议,用户可以通过 Web 界面对路由器进行配置、维护4. 平安设计可启用标准或扩展访问限制列表进行数据报或数据段限制,在内外网口设置一台 DCFW-1800S-L 小型企业级百兆防火墙保证整个网络抵挡来自内,外网的攻击。设备名称:DCFW-1800S-L 小型企业级百兆防火墙基本介绍:
25、神州数码 DCFW-1800S-L 防火墙专为中小企业分支机构、SOHO办公、中小学校的网络而设计,以功能好用、接入敏捷、配置便利快捷、性能稳定为设计原则,使困难的网络平安实施得以简化。它充分考虑中小型用户特点,支持 VLAN 环境、支持 PPPOE 与 DHCP,集成防火墙、VPN,内容过滤,为中小企业的网络平安实现供应了经济的解决方案。主要特征:让中小型用户、分支机构享受无以伦比的性价比轻松部署,支持 PPPoE 协议,供应 ADSL/ISDN 接入方式设置简洁,通过阅读器可以轻松完胜利能配置支持 DHCP 服务器功能,节约用户网络管理投资,支持无地址接入集成 VPN,可以进行隧道认证及数
26、据加密,爱护了企业机密同时降低了沟通成本集成内容过滤、邮件过滤,防止非法信息、恶意脚本及垃圾邮件;集成防拒绝服务网关,供应攻击检测及攻击抵挡支持用户认证;支持应用层日志及加密日志存储,有效审计进出网络的敏感信息技术参数工作模式:路由、透亮、NAT内容过滤:URL、邮件、指令、ActiveX/Java, 诡异木马探测支持:网络平安域结 构体系;PPPoE 协议;DHCP Relay,DHCP Server;防拒绝服务网关;VPN 功能最大并发连接数:300,000网络吞吐量:150MVPN 隧道数:10VPN 拨号用户:10策略数:3005. 管理设计(包括具体管理软件说明)设备名称:神州数码
27、LinkManager基本介绍:LinkManager 网管系统是一套基于 Windows NT 平台的高度集成、功能较完善、好用性强、便利易用的全中文用户界面网络管理系统。它是神州数码网络有限公司依据中国用户的实际需求,遵循 ISO 网络管理模型的五大功能域(性能管理、配置管理、故障管理、计费管理及平安管理)的架构,自行组织研发出来的一套具有自有学问产权的网管系统。LinkManager 具有既面对指定设备,又支持通用网络设备的垂直水平的管理特性。也就是说,它能够对神州数码网络有限公司推出的具有 SNMP 功能的网络设备供应齐全的设备管理和功能管理,同时也能够良好地支持其他任何具有通用 SN
28、MP 功能的网络设备,供应整个网络的拓扑结构和常用网络管理信息。主要特征:供应两套视图物理视图及逻辑视图,可满意操作员的不同需求:对于希望了解当前网络拓扑逻辑结构的操作员,系统采纳傻瓜方式,以默认形式为用户自动绘制出整个网络的逻辑视图,不需用户干预。对于只想掌控自己关切的网络设备的操作员,系统采纳 DIY 方式,支持操作员按物理连接或自己随意的自组物理视图;自动绘制出的网络拓扑图还可以通过另存为的方式供操作员修改;供应两种设备添加方式,增加操作员在自组物理视图时的 DIY 手段:强大的自动发觉功能,具有对其次层、第三层及应用层设备的自动识别实力,能精确定位神州数码品牌的网络设备;按操作员爱好手
29、动添加连入网络的设备,支持操作员选择不同的设备类型;供应两种视图的层次结构组织,纹理清楚: 在自动方式中,逻辑视图的层次结构由各层子网、网络设备及其设备特性构成; 在 DIY 方式中,物理视图的层次结构由子图、网络设备及其设备特性构成;供应网络设备的图形标记,用作设备的属性、特征、状态标识:各被管设备类型在视图中都拥有自己的属性标记图符; 各被管设备在视图中都拥有自己的三色状态标识; 各神州数码品牌的网络设备都拥有逼真的面板图,真实反映接口状况及实际连接; 在两个视图中,各设备的图形标识具有一样性;友好的用户界面周到的拓扑图发觉方式适合操作员的不同需求;采纳操作员熟识的 Windows 界面风
30、格及操作方式;根据中国用户的思维习惯组织 的管理内容;适当的产品定位,高度的集成化,将功能统一在同一界面内,可使操作员免于因功能模块散乱而引起的无所适从。技术参数硬件平台 Intel Pentium 或以上的处理器;64M 或以上的内存;带有 SVGA 图形卡的 800*600 显示器,现仅支持小字体; 剩余磁盘空间:50MB 以上;网络适配卡; 光驱。网络平台安装并配置了 TCP/IP 协议; 以神州数码网络有限公司的网络设备为主,同时兼容其它厂家 SNMP 设备。 能够为下述神州数码网络有限公司的网络设备供应齐全的设备管理和功能管理:以太网交换机包括 DCRS-7515、DCRS-7508
31、、DCRS-7504、DCRS-6512、DCS-3652、DCS-3628S、DCS-3426、LRS-6706G/LRS-6626、DES-6000、DES-3326、DES-3624i、DES-3225G、DHS-3226;路由器包括 DCR-3660、DCR-2650、DCR-2630、DCR-1750、DCR-1720、DCR-2511、DCR-2509、DCR-2501。操作系统平台可选以下操作系统平台: Microsoft Windows NT 4.0(Workstation 或 Server,Service Pack 6); Microsoft Windows 2000(Pro
32、fessional 或 Server)。其它支持软件Microsoft Internet Explorer 4.0 版本或以上版本,必需预先安装;Acrobat Reader 4.0 版本或以上版本,必需预先安装。6. 考试监控系统设计建立经济可用的考试监控系统,采纳 tovi 图威 MP-5020 硬盘录象机,韩国威视特光电科技彩色转黑白半球型摄像机 VT-BW308。.设备名称:tovi 图威 MP-5020 硬盘录象机基本介绍:20 路音/视频同步实时压缩基本功能:录像压缩比大,数据量在 50M/h 至 190M/h 之间;多工操作,支持监视、压缩、录像、回放等同步工作;系统自动运行,录
33、像和自检跳过损坏硬盘,支持无人职守;掉电爱护录像资料,防止录像丢失;支持操作系统屏蔽、多用户权限管理和日志记录,提高系统平安性;支持限制多种解码器及矩阵;随意画面满屏显示和切换显示功能;实时显示系统工作的各类状态信息,显示画面叠加日期时间和字符;视频丢失、事务录像、硬盘状态和报警等信息提示;供应现场监听和监视抓拍功能;可调整监视图象画质;供应报警、移动、定时和手动等事务录像类型,支持预录像;录像辨别率可选 352x288(CIF)和 176x144(QCIF);可调整录像质量、画质、数据量和录像帧率;录像画面叠加日期时间和字符,支持画面局部遮挡;支持多硬盘自动盘满循环录像;设置录像文件打包的时
34、间间隔;技术参数操作系统:Windows2000压缩格式:H.264视频输入:20 路视频音频输入:20 路音频录像速度:500 帧/秒系统分辩率:7 04*576 /384*288画面分割:1、4、8、12、16、20硬盘标配:200G录像模式:手动、自动循环、报警驱动、移动侦测. 设备名称:韩国威视特光电科技彩色转黑白半球型摄像机 VT-BW308。技术参数Specification:VT-BW307摄像器件:1/3#39;Sony CCD水平辨别率:彩色 480 Line 黑白 6000line视频输出:1Vp-p75Ω Negative自动白平衡:自动白平衡背光补偿:自动背光补偿最低照度:彩色:0.01LUX;黑白 0.01lux电子快门:PAL:1/50-1/100000sec