大學(xué)校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃方案[共34頁]

1、制作人：5組 1 前言前言 隨著網(wǎng)絡(luò)技術(shù)、INTERNET的發(fā)展和CERNET（中國教育科研 網(wǎng)）的迅速壯大，很多學(xué)校建成校園網(wǎng)并接入到CERNET。校園網(wǎng) 的建設(shè)已成為學(xué)校實(shí)力與發(fā)展水平的標(biāo)志。學(xué)校辦學(xué)的規(guī)模、層 次正在迅速地?cái)U(kuò)大和提高，建設(shè)一個(gè)先進(jìn)、實(shí)用的校園網(wǎng)，實(shí)現(xiàn) 校內(nèi)外信息的快速傳遞，使教學(xué)、科研、管理步入信息化、網(wǎng)絡(luò) 化，從而提高辦學(xué)水平和辦學(xué)效益已成為必然之選。 大學(xué)校園網(wǎng)的建成和使用，對于提高教學(xué)和科研的質(zhì)量、改 善教學(xué)和科研條件、加快學(xué)校的信息化進(jìn)程，開展多媒體教學(xué)與 研究以及使教學(xué)多出人才、科研多出成果有著十分重要而深遠(yuǎn)的 意義。 2 網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)網(wǎng)絡(luò)設(shè)計(jì)目標(biāo) 校園網(wǎng)實(shí)現(xiàn)高

2、速的Internet和CERNET接入出口； 校園網(wǎng)提供DNS、WWW、FTP、E-mail等多項(xiàng)Internet服務(wù)； 校園網(wǎng)內(nèi)部能夠?qū)崿F(xiàn)高速的視頻會議、VOD點(diǎn)播、多媒體教學(xué)等 服務(wù)； 校園網(wǎng)在管理上擁有靈活的、安全的管理模式，做到分級別、分 權(quán)限、分地點(diǎn)的管理； 校園網(wǎng)擁有透明的出口措施，能夠詳細(xì)地記錄上網(wǎng)訪問日志； 實(shí)現(xiàn)網(wǎng)絡(luò)的計(jì)費(fèi)管理和帳號管理； 在校園網(wǎng)上能實(shí)現(xiàn)遠(yuǎn)程教學(xué)管理、教務(wù)管理、科研管理、設(shè)備管 理、圖書管理； 應(yīng)對校園網(wǎng)進(jìn)行全面的系統(tǒng)安全設(shè)計(jì)，包括防火墻、網(wǎng)絡(luò)防病毒、 入侵檢測、漏洞掃描、數(shù)據(jù)的災(zāi)難恢復(fù)等； 整個(gè)校園網(wǎng)主干實(shí)現(xiàn)千兆傳輸。 3 網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D 4 用戶總體

3、需求用戶總體需求 用戶對于網(wǎng)絡(luò)的應(yīng)用主要有以下需求： 上網(wǎng)娛樂上網(wǎng)娛樂 辦公、行政辦公、行政 教學(xué)教學(xué) 管理員進(jìn)行管理管理員進(jìn)行管理 完成作業(yè)、完成作業(yè)、 上交作業(yè)上交作業(yè) 查閱、或查閱、或 下載資料下載資料 5 需求分析需求分析 校園網(wǎng)絡(luò)需求主要為 ： 教學(xué)樓、辦公行政樓、宿舍區(qū)、中心機(jī)、圖書館、食堂、體 育館、醫(yī)務(wù)室 6 1 1、教學(xué)樓、教學(xué)樓 主要為電腦機(jī)房、 多媒體教室， 支持多媒體信息交換 遠(yuǎn)程教學(xué) 視屏教學(xué) 無線網(wǎng)絡(luò) isdn等 7 2 2、宿舍、宿舍 （1 1）端口隔離：每一個(gè)信息點(diǎn)獨(dú)自使用一個(gè)交換機(jī)端口并通過 VLAN方式相互隔離 目的：杜絕由于各類病毒（如ARP欺騙）和私設(shè)D

4、HCP服務(wù)器等 對學(xué)生寢室網(wǎng)帶來的影響，提高網(wǎng)絡(luò)安全性。 （2 2）用戶限速：每位用戶的上下行速度分別限制為下行速度 為最高2Mb，上行速度最高為512kb，同時(shí)每個(gè)用戶的TCP最大連 接數(shù)限制為200個(gè)，QOS。 （3 3）網(wǎng)卡綁定：每位用戶的認(rèn)證服務(wù)帳號與用戶所用計(jì)算機(jī) 的網(wǎng)卡定 目的：提高認(rèn)證服務(wù)的安全性。 （4 4）IP盜用的技術(shù)：采用靜態(tài)的ARP命令捆綁IP地址和MAC 地址，從而阻止非法用戶在不修改MAC地址的情況下冒用IP地址 進(jìn)行的訪問，同時(shí)借助交換機(jī)的端口安全即MAC地址綁定功能可 以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問題。 8 3 3、辦公行政樓、辦公行政樓 1

5、、使領(lǐng)導(dǎo)能及時(shí)、全面、準(zhǔn)確地掌握全校的教學(xué)、科 研、學(xué)籍考績、一般管理、財(cái)務(wù)、人事等方面的情況。 2、需要?jiǎng)澐謧€(gè)vlan。實(shí)現(xiàn)備份， 3、需要遠(yuǎn)程訪問。telnet 4、視頻會議，監(jiān)控頭 5、OA系統(tǒng)各分區(qū)校園用戶使用VPN方式訪問主教學(xué)總部網(wǎng)絡(luò)， 并限制同時(shí)的訪問量。 6、課件討論，BBS 9 4 4、中心機(jī)房、中心機(jī)房 1、因?yàn)榇司W(wǎng)絡(luò)設(shè)計(jì)時(shí)要求采用先進(jìn)、可靠、成熟，所以要需要雙核， 要進(jìn)行數(shù)據(jù)備份。采用鏈路聚合 2、要求安全的網(wǎng)絡(luò)，避免廣播風(fēng)暴。需要采用 3、由于校園里面容易出現(xiàn)私接HUB或者非網(wǎng)管交換機(jī)，要采用RSTP 4、因?yàn)樾@里面不可能每個(gè)人都能申請到IP地址，所以需要NAT 5、

6、需要?jiǎng)討B(tài)地址分配。Dhcp 10 5 5、圖書館、圖書館 用于計(jì)算機(jī)查詢、檢索、閱讀等其他應(yīng)用，如大型分布式數(shù) 據(jù)庫系統(tǒng)、超性能計(jì)算資源共享/管理系統(tǒng)、視頻會議等對數(shù)據(jù)備 份。 11 7、食堂 1、IC卡（或CPU卡）讀卡器 2、消費(fèi)營業(yè)機(jī)出納機(jī) 3、自助查詢終端 4、實(shí)現(xiàn)數(shù)據(jù)備份 12 8 8、體育館、體育館 1、IC卡（或CPU卡）讀卡器 2、實(shí)現(xiàn)帶寬限制 QOS 3、實(shí)現(xiàn)數(shù)據(jù)備份 13 9 9、醫(yī)務(wù)室、醫(yī)務(wù)室 1、IC卡（或CPU卡）讀卡器 2、實(shí)現(xiàn)數(shù)據(jù)備份，學(xué)生信息查詢檢索 14 15 核心層主干網(wǎng)絡(luò)規(guī)劃核心層主干網(wǎng)絡(luò)規(guī)劃 核心層層是局域網(wǎng)的主干，其主要目的是盡可能快地交換數(shù)據(jù)。 網(wǎng)絡(luò)

7、的這個(gè)分層不應(yīng)該被牽扯到費(fèi)力的數(shù)據(jù)包操作或者任何減慢 數(shù)據(jù)交換的處理。應(yīng)該避免在核心層使用如訪問控制列表和數(shù)據(jù) 包過濾這類的功能。 核心層主要負(fù)責(zé)以下的工作： （1）提供交換區(qū)塊間的連接； （2）提供到其他區(qū)塊(如服務(wù)器區(qū)塊)的訪問； （3）盡可能快地交換數(shù)據(jù)幀或數(shù)據(jù)包。 16 匯聚層網(wǎng)絡(luò)規(guī)劃匯聚層網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)設(shè)計(jì) 網(wǎng)絡(luò)的匯聚層是網(wǎng)絡(luò)接入層和核心層之間的分界點(diǎn)。匯聚層也幫 助定義和區(qū)分網(wǎng)絡(luò)核心層。該分層提供了邊界定義，并在該處對 潛在費(fèi)力的數(shù)據(jù)包操作進(jìn)行處理。 在局域網(wǎng)環(huán)境中，匯聚層執(zhí)行最多的功能有： (1)VLAN的聚合； (2)部門級或工作組接入； (3)廣播域咸多點(diǎn)廣播域定義； (4)V

8、LAN間路由； (5)介質(zhì)轉(zhuǎn)換及安全等。 17 接入層網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)接入層網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) 網(wǎng)絡(luò)的接入層是最終用戶被許可接入網(wǎng)絡(luò)的點(diǎn)。該層能通過濾或 訪問控制列表提供對用戶流量的進(jìn)一步控制；不過，該分層的主 要功能是為最終用戶提供網(wǎng)絡(luò)接入。 在局域網(wǎng)環(huán)境中，接入層主要功能如下： 到匯聚層的工作組連接 建立單獨(dú)的沖突域(分段) 共享式帶寬或交換式帶寬 提供靈活的用戶接入及擴(kuò)展 18 信息點(diǎn)樓層分配信息點(diǎn)樓層分配 樓層分布： 教學(xué)樓教學(xué)樓11 行政辦公樓行政辦公樓2 宿舍樓宿舍樓12 中心機(jī)房中心機(jī)房1 圖書館圖書館1 食堂食堂1 體育館體育館1 醫(yī)務(wù)室醫(yī)務(wù)室1 19 信息點(diǎn)樓層分配信息點(diǎn)樓層分配 信息

9、分布： 教學(xué)樓教學(xué)樓1500個(gè) 行政辦公樓行政辦公樓810個(gè) 宿舍樓宿舍樓6700個(gè) 中心機(jī)房中心機(jī)房300個(gè) 圖書館圖書館250個(gè) 食堂食堂50個(gè) 體育館體育館70個(gè) 醫(yī)務(wù)室醫(yī)務(wù)室50個(gè) 20 IPIP分配分配 一共分為五個(gè)網(wǎng)段。其中第一網(wǎng)段一共分為五個(gè)網(wǎng)段。其中第一網(wǎng)段 為網(wǎng)絡(luò)管理中心、共為網(wǎng)絡(luò)管理中心、共300300 個(gè)信息點(diǎn)，第二網(wǎng)段為教學(xué)區(qū)、共個(gè)信息點(diǎn)，第二網(wǎng)段為教學(xué)區(qū)、共15001500個(gè)信息節(jié)點(diǎn)，第三網(wǎng)段為個(gè)信息節(jié)點(diǎn)，第三網(wǎng)段為 學(xué)生生活區(qū)、共學(xué)生生活區(qū)、共420420個(gè)信息節(jié)點(diǎn)，第四網(wǎng)段為綜合辦公區(qū)、共個(gè)信息節(jié)點(diǎn)，第四網(wǎng)段為綜合辦公區(qū)、共810810 個(gè)信息節(jié)點(diǎn)，第五網(wǎng)段為宿舍

10、區(qū)、共個(gè)信息節(jié)點(diǎn)，第五網(wǎng)段為宿舍區(qū)、共67006700個(gè)信息點(diǎn)個(gè)信息點(diǎn) 21 IP地址地址網(wǎng)絡(luò)號：網(wǎng)絡(luò)號：子網(wǎng)淹碼子網(wǎng)淹碼 網(wǎng)絡(luò)中心：網(wǎng)絡(luò)中心：54/24 教學(xué)區(qū)：教學(xué)區(qū)：54 /24 /24 生活區(qū)：生活區(qū)：54 /24 /24 綜合辦公區(qū)：綜合辦公區(qū)： 172.16.10.

11、254 /24 /24 宿舍區(qū)宿舍區(qū)54 /24 /24 22 VLANVLAN設(shè)計(jì)設(shè)計(jì) 教學(xué)區(qū)教學(xué)區(qū)Vlan2vlan12 行政辦公樓行政辦公樓Vlan13vlan14 宿舍樓宿舍樓Vlan15vlan27 中心機(jī)房中心機(jī)房Vlan28 圖書館圖書館Vlan29 食堂食堂Vlan30 體育館體育館Vlan31 醫(yī)務(wù)室醫(yī)務(wù)室Vlan32 23 結(jié)構(gòu)化綜合布線系統(tǒng)設(shè)計(jì)方案結(jié)構(gòu)化綜合布線系統(tǒng)設(shè)計(jì)方案 1、垂直布線子

12、系統(tǒng) 2、設(shè)備間子系統(tǒng) 3、管理區(qū)子系統(tǒng) 4、工作區(qū)子系統(tǒng) 24 設(shè)備選型設(shè)備選型 中心路由器中心路由器 華為Quidway S8500 Quidway S8505系列采用分布式處理、業(yè)務(wù)模塊化以及Crossbar 交換網(wǎng)等設(shè)計(jì)理念，具備業(yè)界領(lǐng)先的交換容量，并且交換容量可 持續(xù)平滑升級。Quidway S8505系列支持新一代高性能萬兆接 口，能夠?yàn)槌怯蚓W(wǎng)、行業(yè)網(wǎng)提供超高速鏈路，可打造低成本、高 性能、具有豐富業(yè)務(wù)支 持能力的以太網(wǎng)絡(luò)。 網(wǎng)絡(luò)特性，網(wǎng)絡(luò)特性網(wǎng)絡(luò)特性支持支持ARP Proxy 支持支持DHCP Relay 支持支持DHCP Server 支持支持VRRP 支持支持URPF （單播

13、反向路（單播反向路 徑檢查）徑檢查） 路由特路由特 性性 支持靜態(tài)路由支持靜態(tài)路由 支持支持RIPv1/v2 支持支持OSPFv2 支持支持IS-IS 支持支持BGPv4 支持等價(jià)路由支持等價(jià)路由 25 接入層路由器接入層路由器 華為Quidway NetEngine 20-4 高品質(zhì)QOS能力，高可靠性、強(qiáng)大的MPLS處理能力 業(yè)務(wù)能力、路由處理能力：支持RIP、OSPF、BGP、IS-IS等單播路 由協(xié)議和IGMP、PIM、MBGP、MSDP等多播路由協(xié)議，支持路由策 略以及策略路由。 26 華為Quidway S5624P/S5624P-PWR 端口類型端口類型 10/100/1000B

14、A SE-T 1000Base-SX- SFP 1000Base-LX- SFP 1000Base-LH- SFP 1000Base-T-SFP 10GBase-LR-XENPAK 10GBase-LR-XFP 10GBase-ER-XFP 外形尺寸外形尺寸 (mm) 44042043.6(寬寬深高深高) 線 速 二線 速 二 / 三三 層交換層交換 所有端口支持線速轉(zhuǎn)發(fā)所有端口支持線速轉(zhuǎn)發(fā),交換容量為交換容量為192Gbit/s,包轉(zhuǎn)發(fā)率包轉(zhuǎn)發(fā)率 66Mpps VLAN4K交換模式 存儲轉(zhuǎn)發(fā)模式存儲轉(zhuǎn)發(fā)模式 IP路由路由靜態(tài)路由、 RIPv1/2 OSPF ECMP 生成樹協(xié)議生成樹協(xié)議支持

15、支持STP/RSTP，支持，支持VLAN的的STP-ignore屬性屬性 端口匯聚端口匯聚支持通過支持通過LACP進(jìn)行動態(tài)端口匯聚進(jìn)行動態(tài)端口匯聚 支持進(jìn)行通過命令行手動進(jìn)行端口匯聚支持進(jìn)行通過命令行手動進(jìn)行端口匯聚 支持堆疊范圍內(nèi)的跨設(shè)備鏈路匯聚支持堆疊范圍內(nèi)的跨設(shè)備鏈路匯聚 支持支持GE（Gigabit Ethernet）端口匯聚）端口匯聚 支持支持10G（Gigabit Ethernet）端口匯聚）端口匯聚 最多最多32組端口匯聚組，組端口匯聚組，GE匯聚組最多支持匯聚組最多支持8個(gè)端口，個(gè)端口， 10GE匯聚組最多匯聚組最多4個(gè)端口，匯聚的端口必須具有相同的個(gè)端口，匯聚的端口必須具有相

16、同的 端口類型端口類型27 二層交換機(jī) 華為華為Quidway S3050C/S3026T 接入層作為直接與終端連接的端口也不能馬虎，在這里我們使用了 Quidway S 3050C和S3026T系列智能二層交換機(jī)。Quidway S3050C/S3026T以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)采用1U高的盒式設(shè)備，支持19英寸 機(jī)架安裝，可不依賴于其他設(shè)備獨(dú)立運(yùn)行；提供固定的48/24個(gè) 10Base-T/100Base-TX的自適應(yīng)端口、1個(gè)Console口及2個(gè)后擴(kuò)展 槽。 28 防火墻 中心防火墻 華為Quidway SecPath 500F 防火墻 包過濾 基礎(chǔ)和擴(kuò)展的訪問控制列表 基于接口的訪問

17、控制列表 基于時(shí)間段的訪問控制列表 動態(tài)包過濾 ASPF應(yīng)用層報(bào)文過濾 應(yīng)用層協(xié)議：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP） 傳輸層協(xié)議：TCP、UDP 防攻擊特性 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、 SYN Flood、ICMP Flood、UDP Flood、ARP欺騙攻擊防范 ARP主動反向查詢 TCP報(bào)文標(biāo)志位不合法攻擊防范 超大ICMP報(bào)文攻擊防范 地址/端口掃描的防范 DoS/DDoS攻擊防范 ICMP重定向或不可達(dá)報(bào)文控制功能 Trac

18、ert報(bào)文控制功能 帶路由記錄選項(xiàng)IP報(bào)文控制功能 靜態(tài)和動態(tài)黑名單功能 MAC和IP綁定功能 透明防火墻 基于MAC的訪問控制列表 29 服務(wù)器 中心服務(wù)器 產(chǎn)品型號產(chǎn)品型號PowerEdge 2850(Xeon 2.8G) 產(chǎn)品類型產(chǎn)品類型2U雙路機(jī)架式雙路機(jī)架式 采用處理器采用處理器Intel Xeon 2.8G 標(biāo)配標(biāo)配CPU數(shù)目數(shù)目標(biāo)配標(biāo)配1個(gè)最大個(gè)最大2個(gè)個(gè) 處理器主頻處理器主頻(MHz)2800MHz 處理器二級緩存處理器二級緩存(KB)1024KB 前端總線前端總線(MHz)800MHz FSB 標(biāo)配內(nèi)存標(biāo)配內(nèi)存ECC DDR2512M/最大最大8G 網(wǎng)卡網(wǎng)卡1000M1000M以太網(wǎng)卡以太網(wǎng)卡 機(jī)箱尺寸機(jī)箱尺寸2U2U單電源單電源 其它性能其它性能ATI RadeonATI Radeon顯卡顯卡,16MB SDRAM,16MB S