最新湖南民政职院校园网改造方案的设计与实现doc.docx
- 文档编号:26609604
- 上传时间:2023-06-20
- 格式:DOCX
- 页数:24
- 大小:35.81KB
最新湖南民政职院校园网改造方案的设计与实现doc.docx
《最新湖南民政职院校园网改造方案的设计与实现doc.docx》由会员分享,可在线阅读,更多相关《最新湖南民政职院校园网改造方案的设计与实现doc.docx(24页珍藏版)》请在冰豆网上搜索。
最新湖南民政职院校园网改造方案的设计与实现doc
最新湖南民政职院校园网改造方案的设计与实现
第一章绪论湖南民政职业学院其前身是创建于1959年的“湖南第一民政学校”。
1981年12月,学校升格为三年制高等专科学校,更名为“湖南民政专科学校”,受湖南市高教局领导。
2001年4月经湖南市政府批准、国家教育部备案,成为全日制的高等职业学校,定名为湖南民政职业学院。
2003年,学院被市教委列为“湖南市示范性高等职业技术学院建设单位”之一,获2004-2005年度和2006-2007年度连续两届“长沙市文明单位”称号。
在2000年6月筹建之初,学院已将校园的信息化建设列入重点,投资三百多万元人民币进行校园网建设,实现了用餐、阅览、上机一卡通。
为了进一步完善信息管理,还先后开发和引进了通用性更好的管理系统图书管理系统、教务管理系统、公共信息查询系统、电子公文流转系统等,基本实现了校园一卡通的功能。
2005年结合新的教学楼、实验楼建设,又出资进行了新楼网络建设和旧网改造工程。
至今,光纤到楼学院建有1个网络中心,通过中心交换机和路由器,向外呈辐射状,用千兆光纤连接院内各建筑,实现了点到点的通信。
学院网络采用星型结构,行政、办公和教学区使用8M带宽ATM专线上网,远程教育使用10M光纤接入教科网,计算机机房和电子阅览室使用2M宽带上网,还设有远程职业培训、白玉兰妇女培训、农村专技人员培训等的远程卫星网。
校园网网络终端遍布行政、教学、实验、图书馆和生活区包括教师公寓、学生公寓、浴室和食堂等。
每个计算机机房、专业实验室、电子阅览室和近5O个多媒体教室,都能轻松上网,有效地实现了校内外的资源共享和信息交流。
但经过近几年的网络建设和运行,目前发现存在一些问题1.网络可靠性差由于网络结构中没有设备、电源、线路等的冗余和负载均衡,中心核心设备或分中心设备故障等问题出现直接导致了大面积的网络中断,影响网络的正常运行,且每次出现问题后网管人员需要作出相应响应,网络不具有自动愈合功能。
2.网络安全性差由于教学、办公、公共机房等的计算机管理责任不明确,以及管理不善,经常造成IP地址冲突、计算机感染病毒造成网络拥塞、国际流量异常以及资料泄密等安全事故,这些事件的发生严重影响了学院网络运行的安全性和可靠性。
3.用户管理、认证效果差上网没有计费认证系统,P2P等软件占用大量带宽,网络经常拥堵。
4.网络应用平台繁多和孤立在校园网上运行有校园卡系统一套,OA一套,教务管理系统一套,网络教学平台两套,图书馆管理系统平台一套等一系列平台,但这些平台都彼此孤立和不能互相兼容,致使用户登陆每一个平台都需要输入不同的帐户和密码,特别是网络教学平台利用率极低,使投资浪费。
所以,针对以上情况,学院信息化领导小组专门立项,要尽量避免上述问题的产生,要进行统一的规划设计,改善网络的安全性和稳定性,这就是本课题的由来。
结合实际建网情况和前期网络建设,在充分研究了目前国内外网络界对校园网设计所采用的各种网络主干技术,并充分考虑到技术发展的主流和趋势后,选择万兆以太网为目标构建湖南民政学院的校园网,设计“核心层之间万兆链路,核心层到汇聚层千兆主干、百兆交换桌面”的网络拓扑结构。
考虑到校园网管理的智能化和校园网发展的良性循环,要求能够通过统一的用户管理平台实现基于802.1X协议的全分布式校园安全认证计费目标。
整个网络能够实现高性能、高可靠性、高稳定性、高安全性、可运营、可管理、可增值的智能安全网络。
经过未来几年的努力,校园网作为整个信息化建设的重要基础设施,将建成一个高速、开放、先进、智能的计算机信息网络平台。
在将来,湖南民政职业学院的校园将是一个网络化、数字化、智能化有机结合的新型校园。
一湖南民政职业学院校园建筑布局图1-1二校园网所需信息点的分布图1-2名称语音数据实训楼30382教学楼A4668行政楼48100图书馆28188学生公寓78186教工楼78192教学楼B8862信息中心1586合计4111264第二章网络现状及需求分析一网络现状现学院网络为二层扁平结构未启用三层交换,学生和教师网段分开,相互之间不能访问。
学生采用2MFTTBLAN接入互联网,教师采用8M电信光纤接入互联网。
局域网核心采用一台锐捷56506交换机,汇聚和接入层分别是使用Cisco、锐捷等各种型号的交换机。
整个校园网拓扑如下图2.1湖南民政职业学院校园网拓扑该网络存在以下缺陷1局域网单核心架构。
所有数据均通过核心交换,一旦核心出现故障,即造成网络全面瘫痪。
2内部网交换机品种繁多,新旧混杂,旧款交换机超龄使用,部分业务模块已失效。
3学生网出口使用SOHO型路由器,负载低,抗击能力及安全防范性差。
4缺少网络管理监控系统软件,导致网络管理不便,维护困难。
5接入层交换机为非网管交换机,无法管理,易受攻击造成网络局部瘫痪。
6无接入控制措施,网络安全性差,连接数与流量无法控制,容易给网络主干造成冲击。
7)网络未启用三层交换,无法实现VLAN间互访与VLAN间访问控制,设备功能使用率低下。
8)汇聚层使用接入层设备,数据交换能力弱,易造成拥塞甚至瘫痪。
二需求分析为建设先进、实用、可靠、安全和可扩展的校园网络,经研究,提出以下建设需求。
1网络升级为双核心架构。
2替换老旧交换机。
3替换接入层非网管交换机。
4增加高性能路由器。
5使用堆叠技术扩展接入层容量、并提供高可管理性和减少网络直径。
6使用认证计费软件提供安全接入。
7替换高性能汇聚交换机,提高区域交换容量。
8统一规划校园网地址。
9新增连入教科网的光缆。
第三章网络改造方案的设计一网络设计原则计算机网络系统设计必须要求按照统一规划、统一标准的原则,总体设计,提供一个技术先进、结构合理、安全可靠的综合网络平台,为网络信息的快速传递和各类应用系统建设提供有力保障。
在设计网络时,需要遵循以下原则1实用性和先进性采用先进成熟的技术满足各类业务需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频多媒体的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。
2安全可靠性为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。
要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。
在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。
3灵活性和可扩展性计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据学院不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。
具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
4开放性和互连性具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。
在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。
5经济性和投资保护应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。
能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。
尽可能保留延长己有系统的投资,充分利用以往在资金与技术方面的投入。
6可管理性由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。
所以在网络设计中,必须建立一套全面的网络管理解决方案。
网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的分布式管理。
最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。
通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。
二网络改造方案概述经过合理规划,针对学院网络系统的具体需求,在总体网络设计时采用层次化和模块化设计。
从网络的逻辑结构来看,结合本校网络改造的特点,将继续采用三层结构构建核心层、汇聚层及接入层。
并通过选用可扩展至万兆的核心设备,为校园网未来的升级改造预留空间。
本次改造还将通过建设网管平台,接入认证,接入层可网管,替换老旧设备等工作来构建新的网络系统,使得整个网络系统具有先进性、稳定性、安全性等众多特点,完全可以满足现在及未来数年内的发展需要。
改建后的网络系统拓扑图如下图3.1图3.1新的校园网拓扑图三组网方案
(一)核心层整个核心层的功能主要是连接各个汇聚点和边缘路由器,实现这些区域和设备的线速流量转发。
采用VRRP技术,通过双核心的架构使得整个核心层既做到负载均衡又实现了冗余性。
本次校园网改造采用2台锐捷S7606交换机作为网络核心首选,并提供Cisco6509E交换机可选。
核心设备采用千兆光纤连接各汇聚点,并有扩展至万兆的能力。
锐捷57606系列交换机具有以下特性RG-S7600系列交换机是锐捷网络推出的以业务为核心、面向下一代网络的万兆骨干路由交换机,提供大容量、高密度、模块化体系架构,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计,满足现代网络的多种业务承载融合和业务灵活分类、分流的组网需求。
可以根据用户的需求灵活配置,构建弹性可扩展的现代IP网络。
RG-S7600系列交换机为锐捷网络的高端产品之一,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是小型网络核心和大型网络骨干交换机的理想选择。
全兼容、模块化系列产品RG-S7600系列交换机目前提供57604(4槽、S7606(6槽、S761010槽3款模块化产品,可以满足不同规模企业不同网络层次的应用需求,同时这些模块化机架式交换机采用统一的硬件和软件平台,完全兼容的线卡,以及与锐捷面向十万兆平台的高端产品RG-S8600/S9600相同的软件版本,可以适应不断发展的企业网络,充分保护用户的投资。
高安全保障措施1)物理安全RG-S7606/57610提供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保障措施。
主机实时检测CPU的使用状态,并提供业界领先的硬件CPU保护技术CPP,CPUProtectPolicy,CPP技术对发往CPU的数据进行流区分和流限速,避免非法攻击包对CPU的攻击和资源消耗。
2病毒和攻击防护面对现在网络环境越来越多的网络病毒和攻击威胁,RG-S7600系列交换机提供强大的网络病毒和攻击防护能力提供业界最为强大的ACL特性,基于SPOH技术提供IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术,支持IPV4/IPV6双栈下的输入输出ACL。
支持硬件防源IP地址欺骗、防DOS/DDOS攻击,防IP扫描等功能提供多端口同步监控技术,支持灵活的网络监控,提升网络监控能力3设备管理安全提供SSH的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理SNMPV3提供加密和鉴别功能确保数据从合法的数据源发出引擎ID;确保数据在传输过程中不被篡改采用MDS和SHA认证协议;加密报文,确保数据的机密性采用DES56加密协议4接入安全硬件支持IP,MAC、端口绑定,提高用户接入控制能力。
支持802.1X技术,满足6元素绑定接入限制支持IGMP源端口检查,可有效控制非法组播源,提高网络安全。
IGMPV3支持宣告主机希望接收的多播源的地址,避免非法的组播数据流占用网络带宽通过PVLAN隔离用户之间信息互通,不必占用VLAN资源。
端口MAC地址锁和端口MAC地址接入数量功能可以屏蔽非法主机的接入动态ARP检测DAI结合DHCPsnooping数据库中,可对转发的ARP报文进行安全检测,丢弃不合法的ARP报文,预防中间人攻击丰富的应用支持技术1提供完善的各种QOS技术灵活的流分类除了根据IPPrecedence,802.1P,DSCP进行流分类,还可以根据专家级ACL,IP扩展ACL,IP标准ACL,MAC扩展ACL等进行流分类。
多种队列技术UrgentQueue,ProtocolQueue、硬件队列、FIFO,PQ,CQ拥塞管理和控制技术SP,RR,WRR,DRR,SPWRR,SPDRR,CBQ,WFQ,CBWFQ,LLQ,WRED,CAR,LR(In\Out、TrafficShapingGTS、HOL,RSVP等2提供多种组播支持技术,包括IGMPsnooping,IGMP,PIMSSM,SM,DM,DVMRP,保证了网络中提供组播服务时的带宽合理占用,同时提供支持IGMP源端口检查、源IP检查、IGMP过滤功能等屏蔽非法组播源。
IPv6的全面支持支持多种IPv6的过渡技术,如双栈、NAT-PT、手工隧道、GRE隧道、ISATAP,6to4隧道等,利用这些过渡技术,可有效的满足IPv4网络到IPv6网络的过渡支持多种IPv6的路由技术,如静态路由、等价路由、策略路由、OSPFV3,RIPng,BGP4、IS-ISv6等路由技术,满足未来大规模IPv6网络的部署此外,还支持地址自动配置、ICMPv6,ICMPv6重定向、DHCPv6,ACLforIPV6,TCP/UDPforipv6等大量IPv6的相关技术。
通过对IPv6全面的支持,在最大的限度上保护了用户己有的投资,使得目前的IPv4网络也能够平滑迁移到IPv6。
同时,基于AISC的硬件IPv6转发方式,能够满足未来网络大规模的IPv6应用。
扩展的路由技术1基于每个SVI接口的defaultroute配置基于SVI接口的缺省路由优先级比基于整机的缺省路由优先级高,所以,当需要为缺省路由设置备份线路的时候可以使用该功能很好地实现。
2ECMP/WCMPEqual-CostMultipathRouting/Weight-CostMultipathRouting在拥有多条不同链路到达同一目的地址的网络环境中,如果使用传统的路由技术,发往该目地址的数据包只能利用其中的一条链路,其它链路处于备份状态或无效状态,并且在动态路由环境下相互的切换需要一定时间,而等值多路径路由协议ECMP和权重多路径路由协议WCMP可以在该网络环境下同时使用多条链路,不仅增加了传输带宽,并且可以无时延无丢包地备份失效链路的数据传输。
3基于目的IP地址的策略路由在拥有多条不同链路到达同一目的地址的网络环境中,使用基于目的IP地址的策略路由可以在多条链路间实现等值负载均衡和相互备份。
4策略路由在拥有多条不同链路到达同一目的地址的网络环境中,策略路由功能可基于数据包的源IP地址、目的IP地址、协议字段、TCP/UDP源端口号、TCP/UDP目的端口号等特征进行多条出口链路间的灵活选择和相互备份。
(二)汇聚层汇聚层主要承担接入设备的流量汇聚功能,主要实施流量的策略转发和服务策略的实施。
校园网的部分路由策略在汇聚层上即可实现,大大减轻了核心层路由交换机的压力,提高了网络的整体性能。
在汇聚层上可以实施各种不同的QoS服务质量,以确保不同的应用在网络中获得不同的服务等级。
本校汇聚层目前使用Cisco系列交换机,设备已使用7年之久,已无法满足日益增长的网络流量需求。
本次改造采用锐捷S3760交换机作汇聚,千兆上联至网络核心,下联锐捷S21系列交换机堆叠组和原有的Cisco系列交换机。
锐捷S3760系列交换机具有以下特性RG-S3760系列是锐捷网络最新推出的业界第一款硬件全面支持IPv6的机架式多层交换机系列产品。
该系列产品为IPv4向IPv6网络过渡、现有的IPv4网络间通信、以及IPv6网络间的通信提供了最直接和最方便灵活的技术实现和方案保障。
RG-S3760系列交换机硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性,为IPv6网络之间的通信提供了丰富的Tunnel技术,并提供了丰富而完善的路由协议,以适合大型网络多种路由和多业务的需要。
RG-S3760系列交换机在提供高性能、多业务的同时,其内在的安全防御机制和用户管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理化使用网络资源,充分保障网络安全、网络合理化使用和运营。
RG-S3760系列为方便大型网络使用和不同管理员的管理习惯,提供了多种形式的管理工具如SNMP,Telnet,Web和Console口等。
RG-S3760系列以高性能、高安全、多业务、易用性特性为大型网络汇聚和中型网络核心提供了IPv4/IPv6的多层交换、端到端的服务质量、灵活丰富的安全措施和基于策略的网管,最大化满足高速、安全、多业务的下一代企业网需求。
高性能IPv4/IPv6双栈协议多层交换1高背板带宽为所有的端口提供非阻塞性能;2硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4,IPv6协议报文,支持多种Tunnel隧道技术如手工配置隧道、6to4隧道和ISATAP隧道等等,可根据IPv6网络的需求规划和网络现状,提供灵活的IPv6网络间通信方案;3)双协议栈的支持和处理,使得无需改变网络架构,即可将现有网络无缝升级为下一代IPv6方案;4)丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由需要;5基于LPM硬件路由转发方式使得RG-S3760系列不仅适用于大型网络环境,而且可防御各种网络病毒的侵袭,保障所有报文线速转发,有效保证了设备的安全性。
灵活完备的安全控制1具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防Dos攻击、防黑客IP扫描机制等,还网络一片绿色;2特有的CPU保护控制,对发送到CPU的数据进行带宽控制,以避免对CPU的恶意攻击;3SSH(SecureShell和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备;4控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
5强大的多应用支持能力6支持各种单播和组播动态路由协议,可适应不同的网络规模和需要进行大量多播服务的环境,实现网络的可扩展和多业务应用;7支持IGMPv1/v2/v3全部版本,适应不同组播环境,满足组播安全应用的需要;8支持丰富的路由协议如策略路由、等价路由、权重路由等丰富的三层特性和业务特性,满足不同网络链路规划下的通信需要。
9完善的QoS策略10以DiffServ标准为核心的QoS保障系统,支持802.1P,IPTOS、二到七层流过滤、SP,WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;11具备MAC流、IP流、应用流等多层流分类和流控制能力,实现精细的流带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。
高可靠性1支持生成树协议802.1d,802.1w,802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;2支持VRRP虚拟路由器冗余协议,有效保障网络稳定。
3方便易用易管理4RG-S3760-24/48多个千兆接口形式,可灵活满足需要多个千兆链路上链或多个千兆服务器的连接,方便用户灵活选择和网络扩展;5RG-S3760-12SFP/GT的SFP和电口任意选用的架构设计,可选配多种规格千兆接口模块,支持千兆铜缆、单/多模光纤接口模块的混合配置,支持模块热插拔,极大方便用户灵活配置和扩展网络;6简单网络时间协议SNTP保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理;7Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;8CLI界面,方便高级用户配置和使用;9Java-basedWeb管理方式,实现对交换机的可视化图形界面管理,快速和高效地配置设备。
三接入层本校接入层设备大多为老旧的无网管交换机,需要改造为可以网管,可实施802.1x接入认证的设备。
接入层千兆上联至汇聚,并采用堆叠技术满足高接入量。
本次改造采用锐捷S21系列交换机,并提供S2026G交换机可选。
锐捷S21系列交换机具有以下特性STAR-521266/S21506是两款全线速可堆叠的安全智能交换机,在提供智能的流分类、完善的服务质量QoS和组播应用管理特性同时,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。
STAR-521266/521506可通过SNMP,Telnet,Web和Console口等多种配置方式提供丰富的管理。
521266/S21SOG以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管,最大化满足高速、安全、智能的企业网新需求。
高性能高背板带宽为所有的端口提供线速的交换能力。
灵活完备的安全控制策略1通过与锐捷网络全局安全解决方案GSN的结合,可在安全策略方面为用户提供全新的立体三维的技术特性和解决方案,完全解除安全威胁、攻击欺骗、病毒侵害等危害2通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化地使用网络,如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文的合法性检查、基于数据流的带宽限速、六元素绑定等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求;3硬件实现端口与MAC地址和用户IP地址的灵活绑定,严格限定端口上用户接入;4保护端口不必占用VLAN资源,即可非常方便地隔离用户之间信息互通,充分保护用户隐私;5通过锐捷安全计费管理平台SAM,不仅可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户身份的合法性和唯一性,更能通过交换机特色硬件动态绑定,保障用户身份始终一致性,避免了用户恶意篡改身份信息进行非法攻击等行为;6专用的硬件防范ARP网关和ARP主机欺骗功能,有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了用户的正常上网;7支持DHCPRelay,更可支持DHCPOption82,可方便实现对IP地址的精确分配和控制,并可通过交换机硬件ARP检查,可有效防范动态分配IP地址环境下的ARP欺骗问题;8提供极为有效的PortBlocking功能,避免和阻止端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口的负载负担,提高端口带宽,保护用户PC更高效安全地运行9基
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 最新 湖南 民政 院校 改造 方案 设计 实现 doc