解决方案
news
.
.
.
.
.
校园IP园区网建设方案
来源: | 作者:yjh0832 | 发布时间: 2016-04-06 | 2399 次浏览 | 分享到:

方案设计原则

校园网网络系统的建设在先进、稳定、安全、的前提下,应当在投资保护及长远性方面做适当考虑。在技术上、系统能力上要保持五年左右的先进性,十年左右的可用性。

根据校园网的总体需求,结合对应用系统的考虑,我们提出网络系统的设计目标是:高性能、高可靠性、高稳定性、高安全性、可运营、可管理的智能网络。

1.1              技术原则

Ø  可用性

网络系统要为各类信息系统提供高效的网络传输服务,满足各类数据传输的需求,达到所需的网络传输质量。同时,其采用的技术应当是确保网络的正常运行。在方案中要把先进技术与现有成熟技术结合起来,充分考虑到校园网应用的现状和未来发展趋势。

Ø  可靠性

稳定可靠是业务系统正常工作的保证,应采用高可靠性的网络产品和完备的网络备份策略,充分考虑在网络系统出现异常时的应变能力和容错能力,使网络具有故障自愈的能力,确保整个系统的安全与可靠。

Ø  安全性

校园网的信息点分布很广,与一般企业网比较,校园网用户的流动性大,信息点存在随意接入使用的问题。为了能够在发生安全事件后有效、快捷地处理事故,采用安全接入认证手段是十分有必要的,由于同时当前类似“冲击波病毒”、“ARP攻击”等病毒肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞。

Ø  高性能

网络的性能直接影响到整个应用系统业务的效率和质量。网络的性能若不足就会成为业务系统的瓶颈,因此,网络的设计和设备应提供较高的性能。

Ø  可扩展性

网络的设计应支持业务的扩展,适应未来业务的发展和变化,适应网络结构的变化,具有灵活的伸缩能力,支持多种协议及接口标准,可适合于多种媒体技术和多种高层协议的系统。

Ø  可管理性

网络系统应当具有可管理性,支持SNMP等网管协议,并开放MIB信息库,能够被纳入到全公司统一的网络管理平台。

Ø  遵循的标准和规范

国家公安部发布:

《信息安全等级保护管理办法》(公通字[2007]43号)

国家标准:

GB17958《计算机信息系统安全保护等级划分准则》

GBT 20270-2006 《信息安全技术 网络基础安全技术要求》

GBT 20271-2006 《信息安全技术 信息系统通用安全技术要求》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

1.2              方案总体架构

校园网络建设方案主要目的是将网络的性能、带宽、主要网络业务进行统一考虑,形成校园网建设指导标准。结合当前校园网的特点及发展趋势要求网络核心除了强大性能外,还必须能够支持复杂业务和业务的可持续升级能力(如IPv6)。

区域之间根据功能的不同来划分区域,网络功能区域的划分为:办公区、教学区、宿舍区、服务器区和公共服务器区。通过设置访问策略配置不同的访问权限保证区域安全。

解决方案拓扑图

网络架构设计分成三个层次,即核心-汇聚-接入的模式。每台PC或数字终端都通过二层接入交换机接入网络,三层转发由汇聚交换机来完成。数台二层接入交换机最终连接到大楼汇聚交换机上,通过汇聚交换机上行的高速光纤接口和核心交换机互连。汇聚交换机是具有路由功能的交换机,分担了核心交换机的转发流量,因此既有交换机的功能也有路由器的功能,可以很好的布署访问策略,对数据可以进行精细控制。骨干采用双核心结构组网 , 2台交换机之间互为备份,可以采用VRRPVSTVirtual Switching Technologies虚拟交换技术)技术实现设备的冗余。在每个楼层的汇聚层布置2台高密度的三层交换机采用VRRP的技术实现设备的冗余。

 

1.3              组网与部署建议

1.3.1    VLAN部署建议

虚拟局域网(VLAN——Virtual Local Area Network)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。

VLAN比传统LAN的优点:

Ø  限制广播包,提高带宽的利用率。有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域,同一个VLAN成员都在由所属VLAN确定的广播域内,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机的端口,这样,就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽;

Ø  减少移动和改变的代价。即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置时,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络;

Ø  增强通讯的安全性。一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN用户的网络上是收不到任何该VLAN的数据包,确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密;

Ø  增强网络的健壮性。当网络规模增大时,部分网络出现问题往往会影响整个网络,引入VLAN之后,可以将一些网络故障限制在一个VLAN之内。由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本;

本方案以各个不同的楼层之间或者各个不同的部门之间划分不同的VLAN

1.3.2    VST虚拟交换技术

随着网络稳定性和设备可靠性要求的不断提高,迈普针对高端交换机提出了一种将两台或多台物理交换机组合成一台虚拟交换机的技术,即虚拟交换技术(Virtual Switching Technology,简称为VST)。


应用虚拟交换技术(VST)的网络结构

核心层的两台交换机之间通过VSL链路连接,并通过虚拟化技术形成一个虚拟交换,汇聚层交换机通过上联链路分别连接到核心层的物理交换机上,并分别在汇聚交换机和核心交换机上实现链路聚合,最终把左侧的网络结构简化为右侧的网络结构。

VST技术通过跨设备和跨板卡的聚合链路既可以提供冗余链路,又可以实现动态负载均衡,充分利用所有带宽。简化网络拓扑,简化管理,并且使故障恢复时间缩短到毫秒级。大大提高了整网的可靠性。

1.3.3    无线校园网

充分考虑校园无线网络解决方案的特点,迈普通信无线方案理解为是有线网络的外延,整个方案要重点考虑包括安全认证点的选择、网络安全设计、无线网部署和覆盖、网络管理几个方面。我们将在后续的方案中详细描述

 

1.3.4    VRRP部署建议

随着企业对网络可靠性的要求越来越高。特别是对于终端用户来说,能够实时与网络其他部分保持联系是非常重要的。一般来说,主机通过设置默认网关来与外部网络联系。为了更好地解决网络中断的问题,网络开发者提出了VRRP,它既不需要改变组网情况,也不需要在主机上做任何配置,只需要在相关设备上配置极少的几条命令,就能实现下一跳网关的备份,并且不会给主机带来任何负担。

本方案在楼层的2台汇聚交换机上布置VRRP提供给下联设备冗余性。

VRRP置如图所示:

1.3.5    Ethernetchannel部署建议

Ethernetchannel也称为链路聚合、端口捆绑、端口聚集或链路聚集,是将多个端口聚合在一起形成1个汇聚组,以实现出/入负荷在各成员端口中的分担。从外面看起来,1个汇聚组好像就是1个逻辑端口。使用链路汇聚服务的上层实体把同一聚合组内多条物理链路视为一条逻辑链路。

链路聚合的优点:

Ø 提高链路带宽。

Ø 流量负荷分担。

Ø 提高可靠性:同组成员彼此动态备份。

本方案在核心交换机之间和楼层有2台的汇聚交换机设备之间上布置Etherchannel以提供冗余性和高带宽的目的。

Etherchannel图示

1.4              局域网安全设计

局域网的网络安全和可靠性是首要考虑的关键问题,本方案设计将对网络安全分析并进行安全层面的系统设计,详细情况如下:

首先考虑整个网络的安全一定是全方位的安全。对包括网络出口、信息点接入等重点区域要做到安全过滤;其次,不管接入设备,还是骨干设备,设备本身需要具备强大的安全防护能力,并且安全策略部署不能影响到网络的性能;最后,要充分考虑全局统一的安全部署,需要能够从准入控制,到对网络安全事件进行深度探测,到现有安全设备有机的联动,到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施,从而能对网络形成一个由内至外的整体安全构架。

1.4.1    安全防御与告警

可采用ACLPacket-filter、端口监控、网络路由防止扫描。迈普交换机支持全面的安全防范机制,可以通过MyPower S系列交换机上进行安全策略的部署,设置ACL访问列表、网络路由来区分用户接入,便于安全域的划分,通过限制合法用户的接入,防止端口扫描。通过设备交换机定时检测端口,可以监控不正常的端口,便于提高网络的防范保护能力。

发现网络异常能自动报警或自动处理能力:

对于网络中出现的异常情况,迈普的系列交换机可以通过日志进行记录,并且与中心的网络管理软件配合,在告警信息中进行显示,并且可以针对重大的网络故障实现自动重新启动。

1.5              防火墙作为广域网出口的优势

防火墙作为广域网出口网关功能的基础功能之上,增加了内外网隔离、上网行为控制、上网内容过滤、黑客入侵检测、防病毒等功能。在投资成本、设备性能以及安全性方面较采用路由器组网方案高。迈普公司的多应用安全防火墙设备在性能方面最高支持到10G≥的整机吞吐量、4GbpsIPSEC VPN吞吐量,是一款模块化、并行多核+高速交换总线的全方位的多应用安全网关产品。

1.6              整体方案价值

整体网络从网络冗余到安全防范、从资产的先期投入到后期资产保护等等都进行了全面考虑,目的是交付给用户一个完善、易用的网络,不仅在网络建设的早期易用,而且在未来几年也能满足客户的业务发展。其中主要优势体现在:

1.        关键设备冗余: 

在核心层和汇聚层的设备提供设备级的冗余结构,交换机之间互为备份,其中任意一台设备的离线,另一台设备马上会接替起数据传输的任务,保证了整网的数据的可持续传输;

2.        安全性高:

从业务角度,建议整网分区域管理,设置不用的安全访问策略,关键区域设置接入认证机制(如 802.1X认证),减少不安全用户和设备的接入。所有通过广域网的数据能够通过MSG4000防火墙对内网和外网进行安全隔离、用户上网行为管理、病毒扫描。

3.     扩展性强:

充分考虑无线WIFI网络覆盖预留的网络端口,设计考虑到未来5年以上的扩容需要,所用的网络协议、IP地址规划以及接口模块等都符合扩容的标准,即使未来添加/修改网络的设备都不会对网络整体结构有大范围变动;

4.     保护用户投资:

用户在扩建网络的时候,无需再购买整机,所涉及的设备只需要购买相应数量的模块即可完成网络扩建,最大限度保护了用户的投资;

5.        高性能:

网络设备提供较高的性能,局域网核心设备提供大容量的数据转发能力。在局域网核心设备和汇聚设备之间达到万兆高速传输的速率,接入层提供1000M/100M自适应的快速接入。

1.7              硬件配置建议

序号

设备型号

描述

数量

1

MP3840

互联网出口网关

1

MSG4000-G1

互联网出口网关

2

MyPower  S6800-04A

核心路由交换机

2

3

MyPower4128F

万兆汇聚交换机

6

4

SM3100-52TC-AC

千兆接入二层交换机

20

5

Maipu Masterplan

迈普网管平台软件

1