学校校园网络升级改造设计方案

资源描述

学校校园网络升级改造设计方案 2011 年 12 月 1 目录一、项目建设背景 .2 二、校园网建设背景 .9 2.1 遵循开放、标准、可持续扩展原则 .9 2.2 技术和产品使用的先进性和实用性 .9 2.3 网络架构平台建设标准 .9 第三章校园网建设的需求 .12 3.1 高性能高可靠网络基础架构需求 .13 3.2 校园网络的安全需求 .13 3.3 校内统一身份认证管理需求 .15 3.4IPV6 应用和部署需求 .16 3.5 校园宿舍网络建设需求 .18 3.6 校园网综合管理管理需求 .19 第四章天水农业学校网络解决方案 .21 4.1 全网拓扑设计及描述 .21 4.2 解决方案详细阐述 .24 4.2.1 网络架构设计 .24 4.2.2 网络核心设计 .26 4.2.3 网络出口设计 .31 4.2.4 网络安全管理设计 .34 4.2.5 网络系统管理设计 .43 4.2.6 全网 IPv6 部署的实现 .44 4.2.7 网络流量分析及安全日志管理设计 .45 4.3 设备选型 .46 4.3.1 汇聚交换机选型说明 .47 4.3.2 接入交换机选型说明 .51 4.3.3 出口及安全设备选型说明 .55 4.3.4 网络安全及系统管理软件 .68 第五章天水农业学校整体方案 .85 第六章售后服务 .86 2 一、项目建设背景天水农业学校目前位于清水县城东关，是 1969 年由兰州下迁成立的，2000 年被甘肃省政府确认为省部级重点普通中专学校。校园占地面积 10.8 万 m2，建筑面积 5.24 万 m2，有教学实习场所 3 处，占地 1468 亩。建有现代化多功能厅、多媒体语音室、电子阅览室、闭路电视教学系统，拥有微机 480 余台，建立了校园网，采用 FTTX-LNA 宽带接入 Internet，设有 20 个专业实验室，实验、实习设备齐全。图书馆藏书 17.6 万册，有专职教师 103 人，其中高级职称 29 人，中级职称 46 人，博士 1 人，硕士 5 人，现开设 14 个专业，在校学生人数 3363 人。学校以市场需求为导向，确立了 “以学生为主体、以教师为指导、以能力为本位”的教学指导思想，坚持“实用、适用、够用、先进”的原则，改革教学内容，以实训教学为重点，改革教学方法。不断优化专业结构，拓展专业面向，已由最初的农学、园艺两个专业扩大到现在的计算机应用、电子技术应用、农学、园艺、现代园林、多媒体与网络技术、药用动植物生产、草业工程、农产品加工与市场营销、土地规划与管理、环境与生态、汽车拖拉机应用与维修等 14 专业。建立校外实习基地 30 多处，组建学生科研兴趣小组 20 多个，组织学生积极参与青少年生物多样性探索活动，先后有 5 项获省级奖励，1 项获全国青少年“英特尔英才奖” ，2001 年被国家教育部等四部委评为第六届全国生物和环境实践活动优秀项目一等奖。同年参加甘肃省首届中等 3 职业学校英语竞赛获集体三等奖，2002 年参加天水市中等职业学校技能竞赛获英语“团体一等奖”计算机“团体二等奖” 。国内校园网经历的三个阶段数字校园是以校园网为基础，利用先进的信息化手段和工具，实现从环境（包括实验室、教室、设备等）、资源（如公文、图书、讲义、课件等）、到活动（包括教学、科研、管理、服务、办公等）的全部数字化。在传统校园的基础上构建一个数字空间，以拓展现实校园的时间和空间维度，从而提升传统校园的效率，扩展传统校园的功能，最终实现教育过程的全面信息化，达到提高教育质量和效率的目的。高校校园网从 1994 年的启动建立到现在的 15 年间，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。第一阶段是基础设施建设时期，时间大约从 1994 年到 2000 年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM 4 网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。第二阶段是应用平台建设时期，时间大约是从 2000 年到 2005 年。这期间随着网络技术的发展，各种应用也开始出现并发展迅速，包括 BBS、WWW、FTP、E-mail，以及近两年流行的 BT 下载、视音频业务等等，这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是 IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术-特别是以太网技术迅猛发展，1000M 以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。第三阶段是信息资源建设时期。时间从 2006 年至今，乃至今后几年时间内。近几年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为 10 万兆标准。同时，随着 Cernet2 的启动，IPV6 技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，网络的稳定、可靠、高效、安全与可信成为头等重要的问题。国内校园网信息化建设现状目前国内校园信息化建设不断开展中，但其建设过程中还遇到了不少问题，其中诸多典型的问题如： 5 1) 数据孤岛：数据分散管理，不准确、不规范、不一致，难以共享； 2) 应用孤岛：各部门独立建设，技术不统一、用户不统一，应用间难以相互衔接；造成这些现象的原因是： 1) 技术方面缺乏顶层设计、缺乏技术规范与信息标准； 2) 管理方面各自为政、缺乏组织与协调。 3) 不重视信息化：认为信息化是锦上添花的事，没认识到信息化是现代化学校的必然选择； 4) 重硬轻软忽视服务：如在企业 ERP 实施中，硬:软:服务经费比通常为 2:3:5；而在学校信息化建设中，硬:软:服务经费比常约为 6:3:1。 5) 重建设轻应用：忽视推广应用，信息化建设成效差。不同的阶段对可持续发展的关注点不同；当前阶段影响可持续发展的关键问题业务上“入主流”：直接支持教学与科研，提高学校核心竞争力；核心是信息化要促进学校核心竞争力的提高，并成为学校核心竞争力的重要组成部分；管理上“完善体制”：科学的建设模式、合理的运行机制、有力的管理体制；关键是权威的管理机构、强有力技术支撑和队伍建设；技术上“走标准开放之路”：开放的系统框架与技术体系，规范的信息标准；重点是解决“信息孤岛” 、 “应用孤岛”问题。国内校园网信息化可持续发展的有利形势 6 2007 年 1 月，教育部、财政部联合启动“高等学校本科教学质量与教学改革工程” ； 1) 六大举措：一是专业结构调整与专业认证；二是课程、教材建设与资源共享；三是实践教学与人才培养模式改革创新；四是教学团队和高水平教师队伍建设；五是教学评估与教学状态基本数据公布；六是对口支援西部地区高等学校。 2) 七大系统：专业设置预测系统；教学基本状态数据库系统；大学英语与网络教育网上考试系统；网络教育资源管理和质量监管系统；精品课程共享系统；立体化教材数字资源系统，终身学习服务系统。 3) 九大目标：信息化手段与技术在人才培养中广泛应用，改变现有人才培养 7 模式，实现课程、图书、实验设备等优质资源的全国共享；初步实现专业设置和社会需求的互动，建立专业设置预测系统；通过开展自主学习、研究性学习和对实践教学改革，提高学生的学习和研究兴趣，培养学生动手能力和创新精神；用信息技术实施英语教学，4 年后使 60以上的大学本科毕业生解决英语听说问题；推进各种科技和有益健康的体育协会、俱乐部活动，建设和谐校园，培养学生的社会主义人文精神和创新精神；建设一批教学团队，完善教授上讲台的政策机制；初步建立用于网络教育的公共服务体系，打通普通本科教育和网络教育的课程体系；不断完善高校教学质量定期评估制度，改进评估手段和方法； 2007 年 2 月，教育部关于进一步深化本科教学改革全面提高教学质量的若干意见明确指出把信息技术作为提高教学质量的重要手段。信息技术正在改变高等教育的人才培养模式。高等学校要在教学活动中广泛采用信息技术，不断推进教学资源的共建共享，逐步实现教学及管理的网络化和数字化。要进一步培养和提高教师制作和使用多媒体课件、运用信息技术开展教学活动的能力，培养和提高本科生通过计算机和多媒体课件学习的能力，以及利用网络资源进行学习的能力。 8 4) 指导思想以科学发展观为指导，以构建学习型社会、促进和谐社会建设、实现全面小康的巨大需求为动力，以开拓创新的精神推进教育信息化，以务求实效的实践建设教育信息化。坚持“体制创新、统筹规划、重点突破、分步推进、资源共享、深化应用”的原则。以网络建设为基础，标准建设为保障，资源共享与应用为核心，信息技术研究开发为支撑，管理体制、运行机制、技术水平和应用能力的不断创新为增长点。积极推进信息技术在教育中的普及应用，切实提高教育信息化支持教育现代化发展的能力。 9 二、校园网建设背景 2.1 遵循开放、标准、可持续扩展原则网络技术能够得以高速发展主要得益于网络技术规范的标准和开放性，任何系统只有具备足够的开放性才能支持业务的持续发展，在天水农业学校大规模的网络互联环境中，在网络架构的技术选择和业务的部署上也应当遵循这一原则。 2.2 技术和产品使用的先进性和实用性信息系统和网络建设必须具有一定的先进性，选用较新的技术路线，将使系统具有较长的生命周期。同时系统建设还必须兼顾实用性，选用具有实用价值的技术和产品。 2.3 网络架构平台建设标准根据锐捷网络 10 年的各大高校校园网建设经验，新一代校园网建设的方向的已经明朗，就是建设基于 IPv4/IPv6 双协议栈的城域网。运营级的校园网应该具备如下特征：网络骨干区域万兆技术的支持在万兆技术成熟的今天，万兆核心已经成为部署便捷、高速率、高性价比的下一代校园网的基础；基于万兆技术的核心路由交换平台成为现阶段校园网核心应用的典型特征。核心和汇聚交换机都需支 10 持万兆接口，以保证整个网络的高带宽、高性能，满足校园网大流量、多业务的实际需求。网络具有冗余和负载均衡设计设备级：骨干设备需支持冗余管理引擎、冗余电源，同时所配置板卡支持带电热插拔，以保证网络运行过程中，任何一个管理引擎，任何一块电源出现故障，整个设备通讯不会中断，业务通讯不会受到任何影响。链路级：核心层到汇聚层采用多条（两条以上）链路连接，通过 OSPF 和 ECMP/WCMP 等的合理路由设计，提高了链路带宽也实现链路冗余，且在网任何一条链路出现故障，校园网络不会出现中断而受到影响。网络的高可靠性设备应具有良好的安全性考虑，通过各种网络安全措施，确保对网络资源的访问实现有效的安全策略，由于网络系统需要为广大用户提供互联并将支持多种业务,网络系统应支持多种安全控制，如核心设备要能具备缺省的安全性、路由验证、线速的访问控制列表以及对拒绝访问攻击（DoS）的防护等。当恶意用户对网络发起攻击时，设备能自动进行防御,从而保证系统的安全性。基础网络对 IPv6 的硬件支持 11 现阶段 IPv6 技术的核心标准已经完善，作为高校，对于 IPv6 技术的研究和使用要走在前头，所以对于校园网的骨干设备必须支持 IPv6 技术。同时，为了保证骨干网络对 IPv6 数据和应用的有效承载，也要求设备必须 ASIC 硬件支持 IPv6 技术，并且设备采用分布式线卡 ASIC 实现，这样才能保证 IPV4 和 IPV6 转发和应用都能实现高可用性。第三章校园网建设的需求天水农业学校由两个校区合并而成，主校区为陇西师范，其他两个相距 1KM 以上，各分校区与主校区之间需要进行网络对接。两个个校区总共在校人数 2000 余人，主要接入区域为办公区、教师、6 个计算机机房，主校区包含 3 栋宿舍楼及 4 栋教学办公楼。主校区原有网络简单老旧，建设于 2002 年，包含一台核心交换机、若干百兆交换机（分布于艺术楼、综合楼、实训楼）、一台出口路由器及一台行为审计设备，DNS、Ftp、mail 服务器直连核心交换机。两个分校区目前网络建设情况不明，几乎没有什么网络设备。随着国家教育信息化建设的不断开展，天水农业学校也从办学及自身信息化建设需要出发，不断对校园信息化网络进行建设。同时，天水农业学校作为第一批国家级中职示范校，需要对现有信息化系统进行建设，其中包含教学系统、一卡通、数字图书馆等内容的建设。其中骨干网建设主要包含：对两个分校区的核心汇聚设备通过运营商专线上联到核心；未来出口带宽至少不会低于 100M，因此互联网出口建设需要考虑网络安全网关设备、并实现对出口进行流控、实名日志记录、安全防护等功能；数据网管中心建设，部署一台汇聚交换机用来汇聚服务器，并考虑部署实名认证及上网审计系统、以及上网计费等，同时需要建设校园网应用系统统一登录、网络管理系统；同时要考虑校园内部分教研室及特殊区域的无线接入需求。 13 学校信息化建设是一项庞大的系统工程。从宏观角度看，涉及学校的教学、科研、管理和社会服务等诸领域；从微观来说，则包括信息基础设施建设、信息资源建设、技术队伍建设、应用系统建设和教师技能培训等。这些方面相互影响、相互联系，共同构成了一个多维度和多层面的学校信息化蓝图。从技术层面讲，学校信息化建设是以校园网为基础、由一系列硬件设备和数据库、软件系统所组成的一个大型系统。校园网作为校园信息化建设的基础平台，从功能、性能、可靠性及安全性等，以具体的应用和环境应当满足以下的需求： 3.1 高性能高可靠网络基础架构需求如今校园网内业务数据逐步从文字类信息转变教学视频、多业务应用、高效数据中心等数据应用，同时在 Web2.0 网络时代，从传统应用的网页访问，收发邮件等，到现在的网络中越来越多的多媒体应用，主要包括 VoIP、IPTV、视频会议和视频点播。这些应用的最大特征就是对于带宽要求高并且对时延非常敏感，这些需求，对于现有的千兆核心网络已经完全不能很好响应和满足。因此建立高可靠高性能的双万兆核心尤其对于信息点较多的天水农业学校校园网使用效率来说，尤为迫切。 3.2 校园网络的安全需求信息化建设的不断推进，使得校园网络建设日趋完善；学校的教学、办公、科研已越来越依赖于网络平台。随着网络技术的不断发展，各种安全事件 14 层出不穷，消除网络安全问题已成为我们信息化部门考虑的焦点。 1) 设备自身的安全需要稳定和保障目前在内网安全事件中，出现从攻击主机、服务器转为攻击网络设备的趋势，网络设备特别是网络核心设备遭受攻击将导致设备死机、重启、CPU 利用率 100%等严重问题，从而导致整个网络通信中断，造成灾难性后果，因此如何保障网络设备自身的安全性、稳定性成为学校在建设网络、选择网络设备时需首要考虑的问题。 2) 网络攻击的防护网络中各种攻击病毒泛滥，常见的如 ARP 攻击、DDOS 攻击、IP 地址盗用、 DHCP 服务器私设对日常网络访问造成严重影响，因此在网络建设时需要网络设备自身具备各种抵御攻击的安全防护能力，对常见攻击行为进行有效的防护。从而保障整个网络的稳定可靠运行。 3) 应用的安全访问随着网络应用的不断增加，对应用的访问控制需求也日益严格，如财务系统的数据属于学校的、机密数据，需要对校园网用户进行安全访问控制，确保只有授权用户可以访问，而其他用户应拒绝其访问，类似的应用安全访问需求很多，如何对网络访问行为进行有效的控制，确保数据的安全，也是需要有效解决的安全问题。 4) 设备的安全管理随着网络规模的不断增大，对网络设备的集中管理、远程管理已成为网络管理的常用方式。但传统管理技术中管理信息如用户名、密码等关键字段在网络上都是以明文进行传输，很容易被窃取，从而使黑客轻易的获得设 15 备的控制权，更改设备配置，导致网络应用中断。因此网络设备管理的安全也是另一个需要重点考虑的问题。 5) 终端的主机安全要求 70以上威胁网络安全的攻击行为都是来自校园网内用户；内网防御能力弱，病毒、木马泛滥；“合法用户”的“非法行为”危害巨大；常规手段难以及时发现并阻断攻击行为；发生的安全事件不能审计到人，无法进行有效处理。同时、网络中大部分被攻击事件是由于 Windows 系统补丁未更新，系统存在致命漏洞；没有按规定安装杀毒软件及防火墙，成为病毒和木马的温床；用户随意安装违禁软件，不规范使用网络；上述问题造成了病毒和攻击在校园网内的泛滥，影响校内办公教学等正常应用的开展。因此做好网络防护，规范用户使用网络的行为，保证网络设备安全、应用安全、业务系统和数据的安全是本次网络建设非常重要的部分。 3.3 校内统一身份认证管理需求前几年是我国高校信息化发展的黄金时期，数字校园建设各方面都得到了长足的发展。但在高校信息化过程中，信息系统建设以局部建设为主，各高校的信息系统建设模式基本上都是一个部门一个系统，然后通过后台的数据库手段进行数据交换与共享，而很少从整个学校的高度根据业务逻辑设计跨部门的系统，忽略了解决数字空间内部关联问题以及与现实校园的衔接问题。在高校信息化建设中，过于重视信息系统及其基础设施，而对活动的主体 16 用户重视不够，考虑系统的运行效率多于用户的使用效率。此问题导致的后果是建设的信息系统越多，用户使用越麻烦，甚至让用户在数字校园中也开始由于面对纷繁复杂的信息资源与服务而不知所措，出现信息化时代新的低效率问题。在校内存在大量的应用系统，每一套系统都独立维护了用户的一套数据库，而当学生和教师入校时，系统管理员需要在每个有权限的系统中为其分配账号，系统管理员要在每一个系统中添加用户账号信息，这无疑增加了管理员的管理工作，而且由于管理员经常无暇顾及，常常会延误新员工的工作分配，大大影响了工作效率。另外，由于不能及时修改或删除离校和学生在每一系统中的账号信息，也存在很大的安全风险。因此校内统一账号实现集中式管理成为亟待解决的迫切需求。 3.4IPV6 应用和部署需求目前各高校的校园网主要以 IPv4 网络为主，但目前在校园网中 IPv4 网络存在如下问题： IP 地址资源短缺中国 IP 地址严重不足是众所周知的问题。在高校同样也存在严重的 IP 地址不足的问题，地址不足使得校园网内用户访问 Internet 只能通过 NAT 地址转换，使得高校师生难以直接和国外同行简立起直接的端到端的连接，为高校师生的学术研究和交流带来极大的不便。 NAT 导致的严重问题确实，NAT 技术很好地解决了现阶段地址资源不足的问题，但这样的解决 17 方案也是有代价的。首先，NAT 破坏了全球惟一地址的模型与地址的稳定性。其次，NAT 破坏了对等网络的模型，直接导致了很多点对点的业务无法开展。第三，NAT 的存在直接导致了许多网络安全协议无法执行，QoS 更加无法保障；更重要的是，NAT 的使用导致出口性能严重下降，使得出口成为瓶颈。 QoS 的问题如何在 IPv4 的“尽力而为”的基础上实现可靠安全的传输一直是困扰互联网发展的一大难题。目前互联网所提供的服务是“尽力而为”的，得不到质量保证，这显然是不能令人满意的，尤其是对那些实时性要求较严的服务。这同样限制了国内外高校之间学术活动的开展和交流，对高校师生在 Internet 上的学术研究也有很大的窒碍。上述问题靠 IPv4 本身是难以解决的，要解决这些问题只有利用一种新的协议来替代 IPv4，那就是 IPv6。所以建立起 IPv6 校园网并逐渐取代 IPv4 已经是很实际的需求。同时，高校作为学术研究的基地，抢占 IPv6 技术制高点也同样是迫切的事情，建立起 IPv6 校园网以推动高校师生对 IPv6 技术的研究和实践，也是迫切需要的。 IPV6 应用需求 IPv6 协议具有很多优点，学术研究基地的高校也正致力于将 IPv6 协议的诸多优势转换到高校的网络应用中去。依据下一代因特网特性以及未来高校可能的网络应用需求，可将 IPv6 在高校的应用开展分基础应用服务升级与高级应用服务开展两部分。基础网络服务旨在将现在已有的服务系统 18 如何实现双栈并存和无缝转换以保障业务的连续性，涉及 DNS、DHCPv6、WEB 和 FTP 等服务。高级应用服务针对未来网络性能与需求解决如何在过渡期以及纯 IPv6 协议里得到更好地扩展，主要包含校园网门户系统、视频直播应用、高清视频会议应用、IPv6 网格技术等应用服务。 3.5 校园宿舍网络建设需求目前学校的宿舍网络由电信运营商进行经营管理，学校自建宿舍网络的诸多需求和问题还待解决。 1) 宿舍网建设有助于学生的成长截至 2008 年 12 月 31 日，中国网民规模达到 2.98 亿人，普及率达到 22.6%，超过全球平均水平；在中国网民的结构中，学生占比 33.2%，越来越多的学生通过网络来进行学习、生活、娱乐，网络提高了学生学习的效 19 率，丰富了学生的课外生活，为学生提供了更多的娱乐方式。宿舍网无疑为学生提供了一个很好的上网平台，一个很好的学习、生活、娱乐的平台，当然，如何管理好学生上网也是非常重要的。 2) 宿舍网建设有助于数字化校园的发展学生宿舍网建设后，学生能够非常快速、方便的访问教学支撑平台、电子校务平台、数字图书馆等，促进了数字化校园的发展。 3) 宿舍网建设实现学校社会满意度的提升机房上网：公共机房的上网管理问题和效率问题，导致学生和老师都不满意宿舍通过电信或者其他运营商上网：访问校内教学资源困难，尤其校内对学生宿舍上网监控和管理困难。使得校园网价值无法充分体现。 4) 宿舍网建设将用于校园网的以网养网为了实现统一的整体数字校园网，宿舍网络建设需求亟待解决。 3.6 校园网综合管理管理需求随着数字化校园网络建设的推进，为了让凝聚了巨大人力物力投入的信息 20 基础设施发挥出其效益，保障整个信息系统的平稳可靠运行，需要有一个可从整体上对包括 IP 网络，存储，安全等组件在内的 IT 基础设施环境进行综合管理的平台，并能够提供业务系统运行异常的实时告警和进行图形化问题定位，性能趋势分析和预警，能够基于关键业务系统的角度，以业务重要性为导向进行事件处理和通知。由于信息系统是一个包括了众多软件，硬件技术，设计多厂家产品，从网络，安全，存储，计算到中间件和应用的复杂异构环境，而且随着数字校园信息建设的深入和持续优化和发展，这个复杂庞大的基础设施，还会随之不断进行演进，在产品，技术和网络结构，业务关系上不断发生变化，因此，要求针对该环境进行管理的系统具有良好的可扩展性，能够将下层网络和的复杂度有效的通过抽象屏蔽起来，并向上层应用和运维流程开放稳定的接口。因此，新一代大型的数字校园网需要通过面向关键业务的基础设施管理，让 IT 投入的效益的到最大化的体现，并能够在网络和信息团队运维资源有限的条件下，让校园的服务品质和管理水平得以提升。第四章天水农业学校网络解决方案 4.1 全网拓扑设计及描述 Ineterne t RG-WALL1600-EI Comst计费网关 RG-EG1000M 服务器区域网络中心办公楼金工中心餐厅膳食科培训中心教师宿舍家属楼1 家属楼2 北校区教研组六楼媒体教室五楼实训机房三楼实训机房二楼实训机房一楼网络实训室 HW-S9306 千兆光纤千兆双绞线天水农校网络拓扑图四楼实训机房农机实验室 H3C 5500 北校区 web、文件服务器网络存储设备核心部分：本方案中在新校区的中心机房部署核心交换机，设备采用1台华为万兆核心交换机（已有），这款产品革命性的支持10万兆速率扩展，产品性能和扩展能力达到了业界的顶尖水平，正是凭借这样出色的设计，该产品荣膺 “2006年十大创新产品”称号。网络核心多业务IPv6核心路由交换机虚拟为一台逻辑核心交换设备，作为天水农业学校整网的冗余数据交换和处理 Comment LU1: 修改为一台 EG1000M 1 平台，核心设备支持双管理引擎和冗余电源，热拔插模块化设计，充分保障网络设备的稳定性。冗余备份的网络架构设计，全面提升网络系统的整体稳定性。区域汇聚部分：本方案中在各个大区域汇聚层都采用1台锐捷网络RG-S5750-E安全多业务高性能万兆交换机，分别部署于主教学楼、行政办公楼、图书馆、实训楼、实验楼、实训车间楼；每台设备通过双千兆单模光纤链路上联到核心交换机，这种双归属链路的设计，充分保障了网络不会因为链路或设备的故障而中断，并且增强了网络带宽，实现了流量的负载均衡。同时这款产品的产品性能、安全功能和扩展能力都达到了业界的领先水平，正是凭借这样出色的设计，该产品通过信产部的全面安全功能测试。RG-S5750-E安全多业务高性能万兆交换机作为天水农业学校各个区域数据交换和处理平台，设备支持多种软硬件高可靠性设计，充分保障区域网络的稳定性。接入部分：本方案中，根据楼宇网络需求的不同性质，网络接入层采用锐捷网络RG- S2900-E系列安全智能千兆交换机，通过RG-S5750-E和 RG-S2900-E系列交换机更可完美配合RG-SAM的网络安全认证计费系统，提供网络的身份认证、准入控制和安全认证管理，有效提升天水农业学校网络的安全级别。出口部分：在出口部署一台多核NP的高性能出口引擎NPE50E，该设备是防火墙和路由器的结合体，既可以提供高端路由器具有的高性能NAT、策略路由、Qos以及丰富的路由协议功能，还能提供防火墙具有的包过滤、状态检测、URL Comment LU2: ESS，只做认证不做计费 2 过滤、带宽管理等防火墙的功能。另一方面，还在网络出口部署一台RG-EG 1000的流量控制及分析系统，用于实时检测网络中的流量并对于各种协议流量进行分析及限制，控制 P2P，控制应用。该设备通过双桥（桥和桥之间不互访）连接双核心（每个桥都有BYPASS功能），因此等同于两台流控设备。特别是当任一或二根线路出现故障时，流量会直接通过BYPASS出去。不影响网络正常应用。同时，为了确保出口安全在出口部署一台高性能防火墙RG-WALL1600，该设备是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。 RG-WALL1600E采用了最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持数十个GE接口，同时支持万兆扩展，方便用户的接入使用。网络安全认证计费管理部分：方案中从网络安全角度出发，部署安全认证管理系统，通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中，达到对用户身份的统一认证识别，网络受损系统的自动修复，同时可针对网络环境的变化和新的网络行为自动学习，从而达到对未知网络安全事件的防范。该方案未来更可部署RG-IDS入侵检测设备，扩展安全系统，实现对网络安全威胁的自动检测和自动防御。另外，针对上网计费的需要部署安全认证计费系统，实现对上网用户身份的统一认证识别和计费。网络管理部分：方案中部署的网络管理系统，也可直接部署RILL-BMC，可以提高有线网络 Comment LU3: 删除 E-LOG 3 的可用性，减小网络故障对于天水农业学校正常工作的影响，同时能够利用网管工具最大限度地节省管理员的工作量，避免出现到处救火、疲于奔波的情况。网络行为审计及流量分析部分：方案中考虑到公安部于2006年逐步开始实行了网络计算机安全保护措施规定。整个体系中，要求在接入单位的出口对数据流的基本属性进行记录。因此方案中特别部署有一套锐捷网络RG-ELOG安全日志管理系统，用于集中的分析和呈现NPE、RG-WALL、ACE的各种日志，帮助管理员建立一套可信赖的武威凉州区职业中等专业学校网络出口安全审计系统。这样就可以保证对网络用户的行为的事前定位、事中可查、事后可追踪。 4.2解决方案详细阐述 4.2.1网络架构设计整体的稳定可靠，首先要从大的网络架构上进行考虑。只有在整体架构稳定的情况下，单点的设备稳定才更有意义。一个合理稳定的整体架构，将会最小化每个单点设备的负载和风险，大大提升网络的整体性能。整个核心网络设计的基调采用双千兆、双核心，双电源，从大的架构上大大的提升了网络的整体性能和稳定性。从纵向角度可将网络分为核心、汇聚、接入三个层次结构。三层结构有如下好处：（1）分流核心数据处理能力、降低核心路由交换压力； 4 （2）更好抑制广播风暴、提升网络性能；（3）终结各 VLAN 信息、增强核心路由管理能力；（4）网络层次结构更加完善、可汇总路由，降低核心路由表项；（5）安全性更高，更强的预防和控制，对网络攻击、病毒和破坏尽量控制在边缘完成；（6）扩展性更强、快速定位故障点、更易于管理；（7）各接入层内部通讯量大，无需通过核心处理时（内部网络游戏等），采用三层结构更加合理；从横向角度可将网络分为核心区块、汇聚区块这两个部分。 1) 核心区块类似上文所述核心层的概念。核心区块唯一的目的就是高性能，高稳定。这里主要的设计思路是，需要核心和汇聚、接入、服务器彻底分离。保证任何业务（任何 PC 机、服务器）都不直接连接在核心区块上，这样将大大保证核心网络的安全性。从另外一个角度看，其它任何区块发生问题，都将限制在该区块内，而不会波及核心。并且由于无业务设备直接连接在核心区块上，所以核心区块几乎可以不布置任何策略，唯一的工作就是快速交换、路由。 2) 汇聚区块主要包含了 6 个区块。汇聚各楼栋汇聚交换机，主要关注路由和其它相关策略部署。 5 4.2.2 网络核心设计 4.2.2.1 高性能的核心设计（暂有以下设备）选用的核心华为 9306 是华为网络推出的面向十万兆平台设计的下一代高密度多业务 IPV6 核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网 100G 速率接口，提供 6 插槽设计主机：HUAWEI 9306。 HUAWEI 9306 高密度多业务 IPV6 核心路由交换机提供 6T 背板带宽，并支持将来更高带宽的扩展能力，高达 1152Mpps 的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。 4.2.2.2 高稳定的核心设计核心交换设备的稳定可靠需要以下四个方面共同保障： 1) 全分布式转发华为 9306 多业务面向十万兆平台的核心交换机，均提供基于全分布式业务转发。每个业务板卡可基于硬件的独立处理数据流查询与转发。可较好的抵御网络扫描类的攻击。 2) 全分布式策略处理由于华为 9306 交换机设计时将 ACL 处理引擎分布在了各个接口业务模块上，故部署 ACL 时完全不会影响 CPU 的性能。通过大量的实际案例可知，在大流量网络中，大量部署 ACL，华为 9306 交换机的 CPU 利用率不会超过 10。保证大量策略部署后，网络设备仍然稳定可靠。技术特点：技术的具体实现机制是，在线卡分布式设计的基础上，为各个物理端口配 6 备专用的 FFP（FFP: fast filter processor）处理模块，FFP 模块可以实现硬件处理 Qos 与 ACL 功能，实现整机数据端口级同步处理 ACL/QOS；同时，通过线卡芯片线速转发 L2/L3/组播数据，实现了从线卡到端口的全面分布式硬件设计，有效分流、缓解线卡 ASIC 芯片的负载压力，极大地提升交换机的整体数据处理能力。如下图：华为 9306 面向万兆的多业务以太网交换机为例，交换机主管理模块执行路由管理、网络管理、网络服务等任务；采用 Crossbar 交换结构背板；用户接口模块则可以独立实现硬件路由、交换和组播功能；用户交换端口可以独立硬件实现 ACL 和 QOS 功能，不仅能在保证网络安全的同时，又可极大提高核心交换机的处理能力，保证应用的顺利进行。 3) 平面保护技术华为 9306 交换机采用了平面保护技术，在网络设备的数据平面、控制平面之间配置有独立的硬件安全芯片，该芯片可以有效的控制从数据平面（ASIC 芯片）发往控制平面（CPU）各种报文，进行识别、限速、阻断等。这样就保证了在异常攻击流量的情况下，交换机 CPU 的永不过载，控制平面的任务可以很好的执行，这样就高度保证了交换机 7 系统的稳定性。平面保护技术特点：当然平面分离大大加强了设备的稳定性。但同时它的安全变得更加重要。因此我们推出了平面保护技术。路由协议认证、独立物理通道保证控制平面的安全；通过 CPP 保护、AAA、SSH、SNMPv3、独立物理通道保证管理平面安全；通过硬件防 DOS 与扫描、硬件防 IP 地址欺骗、传统安全技术防范、硬件支持的 IPFIX 册地保证数据平面安全。通过上述三个方面的共同保障，华为 9306 交换机无论处于何种情况的网络中，均可保证自身系统的高度稳定性。 4.2.2.3 易扩展的核心设计此次选用的核心华为 9306 是锐捷网络推出的面向万兆平台设计的下一代高密度多业务 IPV6 核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网 100G 速率接口，提供 6 插槽设计主机：华为 9306。高密度线速万兆及十万兆的扩展支持华为 9306 是华为网络推出的面向十万兆平台设计的下一代高密度多业务 IPV6 核心路由交换机，具有很高的扩展能力。它支持下一代的以太网 100G 速率接口，同时也由于每线卡能提供 200G 的线卡带宽保证了未来扩展高密度万兆口的需求。再次万兆也获得了信息产业部的线速测试报告，既保证了端口密度又保证了性能。 8 IPv6 的全面支持核心华为是线卡 ASIC 硬件支持全面的 IPv6 功能，包括 IPv6 的各种动、静态路由；各种隧道技术等。保证了学校未来对于 Cernet2 的直接对接。同时华为 9306 系列的 IPv6 功能也获得了国际权威的 IPv6 Ready 第二代认证。虚拟化交换单元技术支持为了保证网络的可靠性、故障自愈性，在方案设计中均需要考虑各种冗余设计，如网络冗余节点、冗余链路等。冗余的设计使网络结构中出现了环路以及环路有可能引起的广播风暴等风险，生成树技术（STP）应运而生。它虽然消除了环路，但却带来了链路性能利用不足的新的问题。随之 MSTP 技术利用通过多实例的划分来实现不同链路流量的负载分担，提高了链路可用性能，但与此同时却将网络的结构，管理维护工作量翻了几番。而管理维护量大会导致一旦配置出错会又回到起初环路产生所带来的广播风暴的问题。 9 从根本上讲，网络结构、业务、管理维护的复杂度，：一方面是由于网络设备数量众多直接带来的；另一方面是由于网络设备数量众多衍生出的类似 STP、VRRP 这些特性间接带来的。但无论是直接还是间接引起，本质上都是网络设备数量的问题。所以，最根本的方法，就是要减少逻辑设备的数量。换句话讲，就是将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而达到减小网络规模的目的。为了解决传统网络的这些问题，锐捷网络提出一种把两台物理交换机组合成一台虚拟交换机的新技术，称为 VSU，全称是 Virtual Switch Unit，即虚拟交换单元。把传统网络中两台核心层交换机用 VSU 替换，VSU 和汇聚层交换机通过聚合链路连接。在外围设备看来，VSU 相当于一台交换机。速度更快高端交换机性能和端口密度的提升会受到其硬件的限制，而 VSU 系统的性能和端口密度是 VSU 内部所有设备性能和端口数量的总和。因此，VSU 技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而 VSU 可以通过跨设备链路聚合等特性，让原本“Active-standby” 的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。网络更加可靠链路级：设备之间的物理端口支持链路聚合，系统和上、下层设备之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性。 10 协议级：提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现协议可靠。设备级：系统由多台成员设备组成，Master 设备负责系统的运行、管理和维护，Slave 设备在作为备份的同时也可以处理业务。一旦 Master 设备故障，系统会迅速自动选举新的 Master，以保证通过系统的业务不中断，从而实现了设备级的备份。相比传统的二层生成树技术和三层的 VRRP 技术，其收敛时间从 N 秒级缩短到毫秒级。无任何业务限制帮助用户在实现基本功二层、三层能的同时，提供包括防火墙模块、流量分析模块等更广的业务应用。此外还支持 IPv6、组播、MPLS 等多种业务。不仅可以提供机架内的高性价比连接方案，还可以通过标准光纤实现长达 70km 的跨区域远距系统连接方案，提高了智能弹性系统的可用性。高性能硬件模块采用高性能硬件模块实现，进行设备机箱见得快速检测和设备间数据高度转发。适用于大规模的网络，无软件升级方式带来的弊端。 4.2.3 网络出口设计 4.2.3.1 高性能的出口设计采用一台安全出口引擎台高性能防火墙 RG-WALL1600M+一台应用层流量控制网关 RG-EG 1000 组合，连接用于电信和教育网的 Internet 线路，实现 11 高性能的 NAT 和策略路由功能。 1NPE 在启用 NAT、ACL、PBR（策略路由）的情况下，在通常情况报文流情况下（平均报文长度为 500byte 左右的混合报文），双向可以达到 8Gbps 的线速转发。相当于可以在 4 条千兆出口上双向线速转发。上网从此不慢！ 2NPE 每秒高达 30 万条的 NAT 新建连接会话。在出口中平均长度 512Byte 报文 1Gbps 的 NAT 线速转发下，每秒达到新建 7 万条 NAT 会话。可以同时 1100 个用户美妙新建 100 个链接网页打开从此不断！ 3NPE 并发达到 200 万条的 NAT 会话数。如果按照每个网络节点 250 条 NAT 会话，则可以支持将近 8000 台的网络节点同时在线。 4.2.3.2 可控的出口设计由于目前 P2P 应用已经发展飞速，给人们带来便捷的同时严重消耗了有限的网络带宽，降低上网质量。特别是在学校，随着学生用户的增加，此现象会日益严重，而学校又属于需要大力开放的地方，因此对于网络管理者来说必须在不影响开放原则的情况下大大减少 P2P 对出口带宽的影响：此次我们在武威凉州区职业中等专业学校的方案中完美的解决了 P2P 问题，首先采用 ACE 对整网的 P2P 协议进行控制，ACE 可以有 600 多种特征库，可以非常快的识别流量。 P2P 应用：Bittorrent、eMule、KAZAA、KURO、NAPSTER 12 、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK 、POCO、PIGO 等 30 多种 P2P 软件。及时通信：MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP 等 10 多种主流的 IM 软件。流媒体：新浪直播、搜狐直播、 RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPL AYER、MMS、QQlive 等。网络游戏：COUNTERSTRIKE 、QUAKE1 、DOOM3、QQGAME、CGA、SUBSPACE 、XBOXLIVE 、QUAKE-HALFLIFE 、BATTLEFIELD1942、WOW、联众等网络游戏。炒股软件：大智慧证劵信息平台、天一证劵网上交易系统、华泰网上交易分析系统、证券之星等炒股软件。企业应用：HTTP、SMTP、POP3、IMAP、文件共享、FTP、SQL Server、Oracle、DB2、WebSphere MQ 等企业的关键应用此次我们在武威凉州区职业中等专业学校的方案中还可以通过 ACE 为不同级别用户设定不同带宽，确保关键用户带宽得到保障。 13 4.2.3.3 冗余的出口设计流控设备的冗余性设计：冗余电源系统、冗余风扇系统 ACE 采用 Tyco 的外置光旁路单元和内置电口旁模块采用硬件 Watchdog 监测 HW/SW 问题 ACE 正常时流量将经过外部光旁路模块进入 ACE 内网外网 INT0 EXT0 当 GR-EG 失效或掉电时,外部光旁路模块进入旁路工作模式 14 4.2.4 网络安全管理设计 4.2.4.1 校园网安全现状分析近年来，网络病毒泛滥、安全事件频频发生可以说是一个总趋势。拿 2005 年上半年为例，据 CNCERT/CC 统计，从 2005 年 1 月 1 日到 2005 年 6 月 30 日，全球共新增蠕虫、木马、病毒等恶意代码 11851 种，是前一年同期增长数量的 1.2 倍。自 2005 年起，安全将会越来越成为我们网络稳定可靠运营的一个保障。根据美国 FBI 的调查，美国每年因为网络安全造成的经济损失超过 170 亿美元。从 IDC 网络安全调查数据来看，网络的安全威胁主要来自三个方面：第一、网络的恶意破坏者，也就是我们所说的黑客，造成的正常网络服务的不可用、系统/数据的破坏；第二、无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播；第三、就是别有用心的间谍人员，通过窃取他人身份进行越权数据访问，以及偷取机密的或者他人的私密信息。其中，由于内部人员而造成的网络安全问题占到了 70%。纵观校园网安全现状，我们会发现同样符合上面的规律，即安全主要来自这三方面。而其中，来自校园网内部的安全事件占到了绝大多数。这与校园网的用户是息息相关的。一方面，高校学生这群精力充沛的年轻一 15 族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。同时网络也使得黑客工具等的获取更加的轻松。另一方面，校园网内却又存在着很多这样的用户，他们使用网络来获取资料，在网络上办公、娱乐，但是安全意识却明显薄弱，他们不愿意或者疏于安装防火墙、杀毒软件。此外，我们的网络管理者会发现，还面临这其他一些挑战，比如： 1. 用户可以在随意接入网络，出现安全问题后无法追查到用户身份； 2. 网络病毒泛滥，网络攻击成上升趋势。安全事件从发现到控制，基本采取手工方式，难以及时控制与防范； 3. 对于未知的安全事件和网络病毒，无法控制； 4. 用户普遍安全意识不足，校方单方面的安全控制管理，难度大； 5. 现有安全设备工作分散，无法协同管理、协同工作，只能形成单点防御。各种安全设备管理复杂，对于网络的整体安全性提升有限。 6. 某些安全设备采取网络内串行部署的方式，容易造成性能瓶颈和单点故障； 7. 无法对用户的网络行为进行记录，事后审计困难； 4.2.4.2 校园网安全设计的思考当前网络安全形势严峻已是不争的事实，所以在网络安全上，各位校园网的运营官们都是费劲了心思。看见哪里有漏洞就想方设法去堵上。具体来说：针对来自外网的攻击，在出口进行防火墙的部署； 16 针对服务器区域的安全，在服务器群的出口添加防火墙；针对病毒肆虐，提供正版杀毒软件下载，并在及时网站发布通知，要求更新和杀毒：发文请求用户安装个人防火墙软件，拦截一些常见的破坏行为；安装网络版杀毒软件，及时防范病毒入侵；强烈要求用户勤打操作系统和应用程序补丁，不给破坏者提供机会。但是，以上传统的网络安全措施实现的都只是单点或者局部的安全。防火墙，虽然能够有效保护出口安全或者受保护的服务器区域，阻止某些攻击行为，但无法分析深层的数据，尤其无法处理内部攻击行为；杀毒软件，一方面，用户是否安装以及安装后是否及时更新，管理员无从得知；另一方面，病毒种类多、变种快，杀毒软件往往“后发制人” ，也就是说，只有在用户中毒以后，才会发现并查杀病毒，以及发出警告。尤其，病毒软件对攻击不能独立有效地确认发生源，并有效地阻断；由此可见，当网络受到来自各方面的攻击时，由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出，还会处处被动挨打。也正是在这种情况下，新的网络安全思路，注重从“局部战争”到“纵深防御”的转变，将安全融合到网络基础架构中，同时期望多种安全组件能够联动实现多兵种协同作战。这也就是业界最领先、最成熟的全局安全解决方案的理念。 17 4.2.4.3 全局安全设计 2004 年，锐捷网络准确把握了网络安全的发展趋势，自主研发了 GSN 全局安全解决方案。GSN，即 Global Security Network，中文名称“全局安全网络” 。GSN 通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的网络设备联动处理集成到一个网络安全解决方案中，达到对网络安全威胁的自动防御，网络受损系统的自动修复，同时针对网络环境的变化和新的网络行为进行学习，达到对未知安全事件的防范。本次方案采用的 RG-ESS 易安全系统是锐捷网络 GSN 全局安全网络解决方案的核心组成部分，GSN 全局安全网络解决方案定位于网络访问控制 NAC 领域，从网络接入者的身份、接入主机的健康性以及网络通信的安全性等多方面为用户构建一个全局的安全网络。RG-ESS 易安全系统软件作为 GSN 解决方案的核心，承载着以上三个方面的重要功能。实现用户身份管理 GSN 帮助天水农业学校建立成熟可靠的网络身份管理体系，确保入网用户身份的合法有效，将非法用户隔离在内网大门之外。该阶段主要涉及的产品为 RG-ESS 1000、RG-SA 及 RG-23/29/57 系列安全接入/汇聚交换机。入网用户身份验证 GSN 建立起一套统一的身份管理模式，对每一个试图对接入内网的用户，都要经过 GSN 系统的身份合法性验证，包括用户的账号、密码、IP 等关键 18 信息。只有当用户提供了合法有效的身份信息之后，才能允许正常接入并使用网络。用户身份唯一性保障 GSN 通过对用户身份信息的六大元素：用户名、密码、用户 IP、用户 MAC、交换机 IP、交换机端口进行灵活的绑定，实现用户身份用户 PC物理位置的紧密关联，保障入网用户身份合法可靠。 Windows 域身份管理系统兼容 GSN 支持 LDAP 协议，可以与 Windows 域管理系统、OpenLDAP 或其它支持 LDAP 的身份认证系统实现无缝结合，对用户的身份信息进行统一管理。实现两套系统共用一套用户身份信息的效果，有效利用现有成熟的身份管理体系，大大减少系统整体管理与部署的成本。一卡通系统的平滑对接未来高校发展的趋势就是一卡通系统在学校的全面部署，而当网络的用户身份认证系统不能与一卡通兼容时将给用户带来很多的不便，让一卡通也失去了它真正的意义。而锐捷此次为天水农业学校设计的 GSN 系统可以提供灵活的第三方接口与一卡通系统进行平滑对接，保证一卡通系统与网络系统完美融合。终端安全防护在确保入网用户身份的合法可靠之后，GSN 通过建立用户终端安全防护体系，同时结合杀毒软件、微软 WSUS 自动更新服务等各种第三方安全系统，确保入网用户主机终端的安全。 1

展开阅读全文

学校校园网络 升级改造设计方案

最新文档

学校校园网络升级改造设计方案