網(wǎng)絡管理課程設計-安徽工程大學大學學生宿舍網(wǎng)優(yōu)化方案設計

1、安徽工程大學學生宿舍網(wǎng)優(yōu)化方案設計一、需求分析高等學校和網(wǎng)絡的關(guān)系十分密切，網(wǎng)絡最初是在校園里進行實驗并獲得成功的，許多網(wǎng)絡新技術(shù)也是首先在校園網(wǎng)中獲得成功，進而才推向社會的。 另一方面，作為“高新技術(shù)孵化器”的高校，是知識、人才的高地，資源十分豐富，比其他行業(yè)更渴求網(wǎng)絡新技術(shù)、網(wǎng)絡新應用，希望能有一個高性能、穩(wěn)定、可靠的校園網(wǎng)來促進自身在研究、學術(shù)上的進步。 1當前校園網(wǎng)存在的問題 校園網(wǎng)建設已經(jīng)有十多年歷史了，很多學校的校園網(wǎng)，都存在設備老化、品牌混雜、私拉亂接等現(xiàn)象。加上前幾年院校合并，幾張校園網(wǎng)拼成一張校園網(wǎng)，導致很多院校的校園網(wǎng)運行十分不穩(wěn)定，問題多多，網(wǎng)管中心忙于應付網(wǎng)絡突發(fā)故障，

2、苦不堪言。 2網(wǎng)絡優(yōu)化的目標 1) 從互連型網(wǎng)絡向可管理網(wǎng)絡過渡 2) 從可管理網(wǎng)絡向可信任網(wǎng)絡過渡 3) 從匿名制網(wǎng)絡向?qū)嵜凭W(wǎng)絡過渡二、拓撲示意圖1. 簡化拓撲示意圖（局域網(wǎng)） 2. 局域網(wǎng)模型3. 安徽工程大學校園網(wǎng)拓撲全圖三、設計方案1.網(wǎng)絡優(yōu)化的三段論 網(wǎng)絡優(yōu)化包括“平臺優(yōu)化、管理控制、資源整合”的三個不同的內(nèi)容與階段，具體說明如下： 平臺優(yōu)化。首先是對網(wǎng)絡承載平臺進行硬件設施的優(yōu)化，從設備選型、重整架構(gòu)著手，建造一個高性能、高帶寬、穩(wěn)定可靠的校園網(wǎng)承載平臺。 管理控制。其次通過強化網(wǎng)絡管理與接入認證，達到凈化網(wǎng)絡應用環(huán)境，優(yōu)化網(wǎng)絡空間的目的，讓垃圾信息沒有用武之地。讓真正的應用大行

3、其道。 資源整合。整合目前零星的網(wǎng)絡應用，在網(wǎng)絡平臺的基礎上，實現(xiàn)“三網(wǎng)合一”、“遠程教育”、“網(wǎng)絡課堂”等典型應用，讓網(wǎng)絡為知識插上騰飛的翅膀。 2平臺優(yōu)化核心層優(yōu)化設計 建議在每個校區(qū)設置一臺核心交換機。原來的核心設備，由于處理能力逐漸不能滿足核心設備的需求，因此，建議下移到匯聚層，做匯聚設備。 每個校區(qū)的核心交換機，通過校區(qū)間的單模光纖組成ZESR以太環(huán)網(wǎng)或全互連網(wǎng)狀連接，選擇一個校區(qū)的核心交換機作為主核心交換機，和出口路由器連接。 對于大型校園網(wǎng)來說，核心層逐步采用路由型骨干網(wǎng)的模式來建設核心層。 匯聚層優(yōu)化 現(xiàn)有校園網(wǎng)絡主要依靠堆疊的方式來進行匯聚。在信息點的數(shù)量較少的情況下，采用堆

4、疊的方式有簡便易行的優(yōu)點。但是當信息點數(shù)量增加的時候，多達7、8臺48口設備進行堆疊，將導致出口交換機的處理能力大大超過負荷。從而嚴重影響網(wǎng)絡性能。 因此，建議在信息點較少的樓宇，采用堆疊方式組網(wǎng)，結(jié)構(gòu)簡單清晰。在信息點數(shù)量較大的學生宿舍，建議采用樓宇匯聚的方式。在每棟樓宇各有一個匯聚節(jié)點，匯聚節(jié)點上連核心交換機，各接入交換機通過ZESR以太環(huán)連接到匯聚交換機，同時通過百兆連接各信息點。 采用匯聚交換機的優(yōu)點：當網(wǎng)絡流量繼續(xù)增大的時候，一旦萬兆接口價格下降到適當水平的時候，可以把匯聚-核心之間的鏈路升級到萬兆，從而大大增加網(wǎng)絡的擴容能力。 合理劃分功能子網(wǎng) 校園網(wǎng)應用極為豐富，相對來說，大致分

5、為學生宿舍、辦公行政、教學科研、數(shù)字圖書館、一卡通、教工宿舍等不同類型的網(wǎng)絡，為了保證正常教學科研辦公的正常進行，有必要對學校網(wǎng)絡進行適當?shù)墓δ軇澐?，分成不同的功能子網(wǎng)，在子網(wǎng)間訪問設置相應的控制策略，從而保證各個功能子網(wǎng)的正常運行。 根據(jù)校園網(wǎng)規(guī)模的不同，可以采用不同的技術(shù)來劃分功能子網(wǎng)。小型校園網(wǎng)拓撲簡潔，可以采用VLAN的方式來劃分;中型校園網(wǎng)存在數(shù)量不等的分校區(qū)，形成了一定規(guī)模的校園網(wǎng)骨干層，可以通過MPLSVPN技術(shù)來劃分不同的子網(wǎng);大型校園網(wǎng)網(wǎng)絡規(guī)模龐大，分校區(qū)眾多，可以通過劃分物理子網(wǎng)和MPLSVPN相結(jié)合的方式來合理劃分功能子網(wǎng)。 接入層優(yōu)化 接入層設備，應考慮如下幾個方面：

6、802.1x認證支持能力。由于校園網(wǎng)采用802.1x認證計費方式，因此，接入層設備對802.1x的支持能力就顯得尤為重要。 VCT線路測試。由于接入鏈路十分分散，是維護工作量最大的部分，采用VCT線纜測試功能，可以有效減少網(wǎng)絡維護的工作量，是重要的考慮因素。 端口隔離。每個用戶只能縱向傳遞信息，而不能橫向訪問。這是網(wǎng)絡安全的保證。 設備噪音。由于接入層設備數(shù)量巨大，因此如果設備噪音很大，會影響網(wǎng)絡管理人員的身心健康，采用靜音設備，是一個很好的選項。 防雷性能。盡管校園網(wǎng)大部分布線都是在室內(nèi)布置，但是，在雷電多發(fā)季節(jié)，雷電對接入層設備的危害，仍然是維護工作的重中之重。防雷性能，是衡量接入層設備的

7、重要指標。 網(wǎng)絡出口優(yōu)化 大學校園網(wǎng)有Cernet和運營商出口，未來可能還有IPv6出口或者其他一個或多個ISP接入，為了分擔流量和提高訪問的響應速度，可對校園網(wǎng)內(nèi)部訪問外部資源的流量進行負載分流和相互備份，策略路由和負載均衡的工作，建議由專用出口路由設備擔任。 安全部分采用防火墻+IPS的策略，將防火墻設置成透明模式來對出口進行防火墻功能，同時啟用IPS偵測網(wǎng)絡非法操作。 可在防火墻或路由器上啟用NAT以實現(xiàn)教育網(wǎng)IP地址訪問公眾網(wǎng)資源時的地址轉(zhuǎn)換。 考慮到有校外訪問校內(nèi)服務器的需求，因此，可以在出口部分，設置獨立的DMZ區(qū)域。DMZ區(qū)域的出口和入口，均通過防火墻進行隔離，從而有效阻止了校外

8、非法訪問對校園內(nèi)服務器的破壞的危險。 網(wǎng)絡優(yōu)化時推薦采用支持IPv4/IPv6雙棧路由協(xié)議的路由器做為出口路由器，該路由器可以實現(xiàn)策略路由、負載均衡、NAT、IPv6骨干網(wǎng)接入等功能。 綜上所述，就是采用電信級設備、電信級設計、電信級技術(shù)來建設一個電信級的校園網(wǎng)絡平臺。 3.管理控制 有了一個高性能的網(wǎng)絡平臺，還要有強有力的網(wǎng)絡管理與控制系統(tǒng)，來控制網(wǎng)絡中非法操作與垃圾信息泛濫的情況。 實名認證策略 ZTE實名認證策略是以ZXISAM用戶認證管理系統(tǒng)為基礎，配合承載網(wǎng)中的網(wǎng)絡認證設備實現(xiàn)的，包括用戶接入認證、用戶定位、用戶信息復合綁定、防代理私接、DHCP策略服務、用戶終端管理等功能模塊組成。

9、 其中用戶接入認證、用戶定位、用戶信息復合綁定、防代理私接、DHCP策略服務這些功能模塊都是為了保證合法用戶的安全接入，防止非法用戶進入網(wǎng)絡。 用戶終端管理功能則包括了用戶終端軟硬件資產(chǎn)管理、終端系統(tǒng)補丁管理、終端用戶行為控制以及文件策略管理。通過用戶終端管理功能，可以有效保證資產(chǎn)清晰、補丁完整、行為可控、文件安全。 靈活計費策略 支持包月、時長或有限時長包月、流量或有限流量包月、預付時長、預付流量、實時扣費、卡業(yè)務、封頂、增值服務等計費方式，網(wǎng)絡管理員同時可以自定義計費策略，如設置優(yōu)惠時段、對不同的用戶、不同的增值服務類型可采用不同的計費策略和資費標準等。 支持包月、包日方式時，對于當月、當

10、日沒有認證使用情況不計費，依次順延 支持包月情況下，根據(jù)不同開戶日期，采用不同的當月資費標準。 支持Keepalive報文，支持中間記帳報文、開機記帳報文等，避免用戶呆死、交換機死機情況的計費信息丟失。 支持網(wǎng)管、計費平臺的二次開發(fā)功能 網(wǎng)絡管理策略 網(wǎng)絡管理系統(tǒng)是校園網(wǎng)絡中非常重要的一部分，通過一套功能完善的網(wǎng)管系統(tǒng)，可以有效地對整個網(wǎng)絡進行配置、監(jiān)控、定位故障、部署安全策略等，達到使整個網(wǎng)絡成為一個可管理、高性能、高可用性的系統(tǒng)。 實現(xiàn)統(tǒng)一的網(wǎng)絡管理，數(shù)據(jù)網(wǎng)管平臺功能包括拓撲與視圖管理、故障管理、性能管理、配置管理、安全管理、策略管理、資源管理、日志管理、系統(tǒng)管理等?？蓪W(wǎng)絡實行集中監(jiān)測、

11、分權(quán)管理，并統(tǒng)一進行資源分配，并提供流量統(tǒng)計分析和故障自動報警，為網(wǎng)管決策提供依據(jù)。 網(wǎng)絡安全策略 支持PORT+VLA+IP+MAC的綁定，保證用戶的安全。 支持基于端口、VLA的用戶地址數(shù)目限制 完善的ACL，提供基于VLA、以太網(wǎng)類型、用戶MAC、IP地址、應用以及端口的安全控制功能，支持基于時間的ACL功能 支持VLA隔離功能，控制對用戶資源的訪問 支持PVLA、UpLinkPort的端口隔離方式，隔離用戶的之間的直接訪問 支持DHCPSnooping/Relay、DynamicARPInspectio功能，防止用戶私接DHCPServer，防止IP地址沖突、IP地址盜用 支持DHCP

12、Optio82，VBAS功能，支持用戶和端口、接入交換機等元素綁定功能，提供對用戶的端口反查、對上網(wǎng)信息的反溯和追查功能 設備具備抗病毒、防攻擊能力(DOS/DDOS攻擊、端口掃描、源路由攻擊、IP碎片攻擊、DNS/ICMP/RIP/SY攻擊等) 支持安全聯(lián)動功能，支持動態(tài)策略下發(fā)、支持IDS聯(lián)動功能、支持IDS日志，保護全網(wǎng)的安全 配置硬件防火墻與IDS，保障內(nèi)網(wǎng)的安全 具備完善的日志功能，支持向日志服務器導出，具備日志冗余功能 利用數(shù)據(jù)容災技術(shù)，保護關(guān)鍵數(shù)據(jù) 支持容錯技術(shù)，如雙機備份、故障恢復、雙電源備份等 部署QoS的策略 校園網(wǎng)解決方案應具備具備完善的Qos保證能力，網(wǎng)絡設備應選擇具備

13、強大業(yè)務感知能力，支持L2L7的復雜流分類，支持基于端口、VLA、802.1P、DSCP、MPLSEXP優(yōu)先級，支持CAR功能，支持三色帶寬保證，支持流量監(jiān)管、流量整形，支持PQ、CQ、WFQ、WRED等多種擁塞管理和擁塞避免算法，支持流鏡像、流量統(tǒng)計、SFLOW，從而能夠保障教學和管理正常穩(wěn)定運行。 對于網(wǎng)絡教學等多媒體業(yè)務，可以采用組播的方式進行傳送，節(jié)省網(wǎng)絡帶寬，該校園網(wǎng)解決方案支持全網(wǎng)組播的開展，支持IGMP、DVMRP、PIM-SM/DM等多種組播協(xié)議，支持IPTV可控組播管理方案，保障教育視頻、音頻等組播內(nèi)容的高質(zhì)量傳輸。 IPv6過渡策略 現(xiàn)有的IPv4網(wǎng)絡是一個巨大的網(wǎng)絡，只有

14、是保護已有投資基礎上的IPv6部署才是一個好的部署方案。網(wǎng)絡中的不同路由器分別在不同的層次上。在部署IPv6時，要避免對已有的設備浪費，避免影響已有的用戶和網(wǎng)絡，保護用戶的投資。 IPv6的業(yè)務是影響IPv6應用的一個重要因素。在部署IPv6設備時，要保證已有的IP業(yè)務，使得其平滑的過渡到IPv6的網(wǎng)絡中。另外，在開發(fā)IPv6的設備的同時，應該開展IPv6業(yè)務的研究。 IPv6和IPv4間良好的過渡機制也會方便IPv6的部署。在開發(fā)和研究IPv6的設備時，應該提供完善的過渡機制，盡可能的方便IPv4和IPv6之間的訪問。 根據(jù)上述因素，對IPv6的部署應該從邊緣開始逐步過渡到核心，要提供平滑的

15、網(wǎng)絡過渡策略，保護用戶的投資。 4.資源整合 整合零散信息系統(tǒng) 信息應用系統(tǒng)是指利用網(wǎng)絡體系控制信息的有序流動，實現(xiàn)信息資源的共享，更有效地形成、整理、使用各類信息，分成內(nèi)部信息建設、外部信息建設。內(nèi)部信息是指封閉在校園內(nèi)部的各類信息資源，對內(nèi)部信息的建設包括校園辦公系統(tǒng)、校園內(nèi)部主頁、內(nèi)部電子郵件、多媒體教室、電子圖書館系統(tǒng)、校園管理系統(tǒng)、內(nèi)部信息服務系統(tǒng)等;外部信息是指與校園外部相互交流的信息，對于外部信息的建設包括外部主頁、電子郵件、遠程教學等學等。 網(wǎng)絡教學IPTV 對于網(wǎng)絡教學等多媒體業(yè)務，可以采用組播的方式進行傳送，節(jié)省網(wǎng)絡帶寬，該校園網(wǎng)解決方案支持全網(wǎng)組播的開展，支持IGMP、DVMRP、PIM-SM/DM等多種組播協(xié)議，支持IPTV可控組播管理方案，支持視頻點播，保障教育視頻、音頻等組播內(nèi)容的高質(zhì)量傳輸。 遠程教育 有了高性能的網(wǎng)絡平臺，加上強有力的QoS做保證，開展遠程教育就有了良好的基礎。 數(shù)字圖書館 數(shù)字化圖書