怀化学院校园网案例分析.ppt

怀化学院校园网案例分析,前言：校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。它是在学校范围内，在一定的教育思想和理论指导下，为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络，它不仅提供了全校师生访问Internet的功能，还是一个具有交互功能和专业性很强的局域网络。学校门户网站、网络教学平台、信息资源、网上图书馆等数字校园平台，都可以通过网络运行工作，校园网应为学校教学、科研提供先进的信息化环境。本章以高校校园网设计、管理与维护中的一些技术、应用系统作为案例进行介绍和分析，以帮助读者更好地掌握一个大规模复杂网络管理与维护的经验、技术。,学院平面图,1校园网建设的需求分析1.1用户需求分析1.2网络需求分析1.3管理需求分析1.4安全需求分析2校园网建设的技术选型2.1校园网络中心2.2教学子网2.3办公子网2.4宿舍子网及后勤子网3校园网建设的设备选型3.1交换机的选择3.2路由器的选择3.3服务器的选择3.4防火墙4校园网建设的拓扑结构,1.1用户需求分析：随着校园网用户数目与新的应用需求不断增加，特别是网上多媒体及远程教育应用的展开，对校园网主干带宽提出了新的更高的要求。因此根据怀化学院用户要求应满足以下要求：新的校园主干采用具有第三层交换功能的千兆位以太网，以满足广大用户的各种要求。新的主干建设应能保护校园网的已有投资，要求与原有ATM校园网实施最佳连接，并提供新校园网的管理方案与管理策略。支持IP多目广播（Multicast）与服务质量或服务类型，满足远程教育的需要支持虚拟网络（VLAN）。网管软件应具备对接入层交换设备进行远程可操作的能力,1校园网建设的需求分析,1.2网络需求分析：根据怀化学院教学和活动较为分散的实际环境，校园网的网络部分的设计应满足以下要求：（1）独立的网络环境要求由于各部门的相对独立以及各自的安全要求，需要提供相对独立的网络环境。专业子网建设、VLAN划分为此提供了技术保证。（2）网络要有足够的扩展能力，当网络扩大时，网络性能不会大幅度下降。（3）高度的网络环境要求不少部门的设计对项目的网络环境提出了特殊的要求，涉及到大容量数据的传输，要求有独立的高速局域网。校园网的网络平台设计为此提供了保证。（4）网络应有一定的安全机制，防止滥用。校园的大多数项目都要有特殊的保密要求，如文档、图纸的个人保密、小组保密等，系统将依靠整个安全体系作保障，尤其是同意资源管理与访问控制将严格实现到桌面的安全要求。（5）根据应用的频繁程度，选择联入校园网的模式有些部门虽然有联入校园网的需求，但是信息量不打，因此可以考虑采用一些低成本的方式，如拨号上网等。,1.3管理需求分析：根据校园网络设计，怀化学院的宿舍楼，教学楼，实验楼，办公楼，需纳入校园网络中。要单设一间网络管理中心来管理。对网络应当能够方便地进行统一管理和控制。1.4安全需求分析：学院的网络安全是一个很重要的问题，学院网络中包含了学生的身份证等重要的个人信息，所以学校网络中网络的安全在乎关键。安全是一个多方位问题，主要包括信息安全（安全保存、安全传输）、安全管理（系统管理与权限管理分权管理）和网络系统安全（网络安全、主机安全等）。根据需要结合网络、应用、资源管理等统一考虑，综合利用防火墙等措施。,2.1校园网络中心：网络中心设计主要包括主干网络的设计、校园网与Internet的互连、远程访问服务等。(a)主干网络的设计对于校园网中路由规划，骨干网络一般采用OSPF路由协议，OSPF协议在整个骨干网中不会引起路由回环，利于校园网骨干网络的健壮性。主干网络采用联想新推出的LS5608G智能型8口机箱式千兆以太网交换机作为校园网的中心交换机，适用于大型主干网络和高速率、高端口密度、多端口类型的复杂网络。同时可以选择MS51031口千兆位以太网模块(SX/MM/850nm,0350m)或MS51041口千兆以太网模块(LX/SM/1310nm,06km)与下面的各个子网通过千兆位的链路相连。,2校园网建设的技术选型,(b)校园网与Internet的互连：推荐采用局域网专线接入方式，此方式需要配备路由器等设备，租用专线DDN或帧中继（FrameRelay），也可申请ISDN专线并向CERNET管理部门申请IP地址及注册域名，以专线方式连入Internet，并提供防火墙、计费管理等功能。(c)远程访问服务采用联想LA220和LA240访问服务器，安装在本地局域网中，通过1至4个调制解调器(或ISDTA)和1至4根电话线，即可为远程访问人员提供拨号上网服务，远程用户只需拥有1个调制解调器和1根电话线，通过拨接LA220或LA240上所连接的电话号码，就可以登录访问。2.2教学子网：在网络基础平台的基础上，建设支撑校园网数据传输的计算机网络，这是本次本学院校园网建设的核心。网络平台应当提供便于扩展、易于管理、可靠性高、性能好，性价比高网络系统。2.3办公子网：TCP/IP已经成为未来数据通信的基础技术，而基于TCP/IP的Intranet/Internet技术成为校园网应用的标准模式，采用这种模式可以为未来应用的扩展性和可移植性奠定基础。Intranet/Internet基础环境提供基于TCP/IP的整个数据交换的逻辑支撑，它的好坏直接影响到管理、使用的方便，扩展的可行性。,2.4宿舍子网及后勤子网：为了解决学生宿舍、教工宿舍以及一些分布比较分散的客户端上网问题，以及ARP攻击及欺骗等方面的问题，在校园网络中使用PPPoE的认证方式主要因为PPPoE不使用ARP，也就不存在ARP攻击。采用PPPoE接入方式，不需要设置固定IP地址、默认网关和域名服务器。即使在用户乱设造成IP地址冲突的情况下，依然可以正常上网。它对通过成对修改IP-MAC地址来盗用IP地址有很好的防范效果。宿舍区子网即在学生宿舍内部连网，用以直接浏览学校发布的信息及查阅一些电子文档资料；后勤子网覆盖范围较大，主要用途有食堂IC卡计费系统等。由于宿舍区子网及后勤子网对带宽的要求并不高，因此我们选用联想LH201616口10/100M自适应集线器，提供16个双速集线器端口，能够自动适应所接设备的速度(10/100Mbps)，每台LH2016背面都有2个堆叠口、利用这两个堆叠口最多可堆叠6台集线器，最大可用端口数为96个。,3.1交换机的选择根据学院校园网建设的实际情况，需要在东西校区网络中心各部署一台核心交换机。该核心交换机要求：支持各种模块热插拔、支持多种千兆端口、支持链路聚合IEEE802.3ad、支持三层协议、较高的背板带宽和包转发率、硬件或NP多业务卡方式支持IPV6（保证网络系统以后平滑升级）、支持三种生成树、支持802.1x、各种QOS和组播协议的支持等。据具体情况为了满足学院要求采用锐捷新一代多业务万兆核心路由交换机RG-S6806E。区域汇聚交换机都要求：支持千兆端口、支持链路聚合IEEE802.3ad、支持三层协议、较高的背板带宽和包转发率、支持三种生成树、支持802.1x、各种QOS和组播协议的支持等。我们采用锐捷全千兆智能多层交换机STAR-RG-S5750-24GT/12SFP做区域汇聚。,3校园网建设的设备选型校园网设备选型要充分考虑满足校园网的主要性能指标，采用国内外技术领先、成熟的网络产品，实现高可靠性、稳定性。,3.2路由器的选择,根据我院校园网建设的实际情况，需要在东西校区网络出口各部署一台高性能路由器，为了满足实际网络的需要和未来的升级扩展，该路由器要求：高性能、提供强大的路由功能、提供硬件的NAT功能等。我们采用锐捷高端多业务路由器RSR-08E。它具有以下可靠性：用于RE切换的无中断切换,具有无中断转发特性；联机软件升级可实现无中断的较小升级；MPLSFRR确保流量能够迅速地绕过故障；MPLSTE路径控制用于路径优化,结合了可预测的性能,可用于话音和视频等延迟敏感型业务；LSPping等高级OA&M特性可用来排除MPLS的故障；IETF平稳协议重启机制可用来无中断重启IS-IS、BGP、OSPF、OSPFv3、LDP、RSVP、第2层VPN和第3层VPN；模块化RGNOS软件可确保某一个模块发生故障时不会对整个操作系统产生影响；用户友好的命令可对正在运行的网络安全地实施新配置,也可以回退到以前的工作配置。,3.3服务器的选择,对于怀化学院的网络系统来说，主服务器应该满足以下要求：高可靠性，并能提供高可用性解决方案；系统级高度安全性；良好的可扩展性和投资保护手段；技术的先进性；经济性；易于管理和维护；开放性，能方便与其它系统相连接。因此，根据学院要求应选用曙光天阔系列作为网络服务器，曙光天阔I650(r)型服务器是曙光精心打造的一款性能卓越,稳定可靠,配置灵活的新一代双路Xeon服务器。主频可达3.6GHz以上，系统前端总线频率为800MHz，具有处理速度快、可用性强、易管理、可伸缩等特点，处理性能大幅度提高。能运行Windows2000Server，Windows2003Server，Redhat8.0、Redhat9.0和SCOUnixware7.1.1等各种主流操作系统，是能适应多种重要任务环境的新一代IA架构服务器。,3.4防火墙,学院的网络安全是一个很重要的问题，学院网络中包含了学生的身份证等重要的个人信息，所以学校网络中网络的安全在乎关键。所以为了保障学院的网络安全应采用了RG-WALL1000。RG-WALL1000采用锐捷网络独创的分类算法（ClassificationAlgorithm）设计的新一代安全产品第三类防火墙，支持扩展的状态检测（StatefulInspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP,H323等)时，可提供强有力的安全信道。采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能、防范入侵及其它附加功能,4校园网建设的拓扑结构,本次设计，东西校区各设一个1000M互联网出口，我们电信网络，在怀化市内有自己的城域环网，保证这两个1000M互联网出口不是出自同一个模块局，确保出口线路冗余。由于目前学校东校区的网络中心还未建成，暂时将东西两个校园的核心设备放在西区的网络中心，东区的汇聚设备都通过两对光纤形成的双链路与两个核心互连。东区网络中心造成后东区设备转放东区网络中心机房。为了能够实现骨干网络的稳定可靠，本次东西校区的网络建设我们选择双核心双链路的方式，即整个校园网采用双核心的方式，两台核心之间通过千兆单模光纤相连，同时每个区域的区域汇聚交换机通过双千兆单模光纤上联到两台核心，而每个区域内的交换机通过千兆多模链路连接各个区域的区域汇聚交换机，为了便于布线，在每栋楼的接入层上，各个不同的楼层采用不同的堆叠组进行堆叠然后上联到区域的汇聚交换机。而对于服务器群组来说，为了让用户提高访问效率的体验，我们单独采用一台服务器群组交换机，该交换机具有很强的扩展能力，并通过双千兆多模光纤与东西校区的两台核心交换机进行互联，并通过服务器群组交换机的WCMP/ECMP的功能，可以使两条链路同时按照带宽的比例都传输数据，确保用户访问服务器时的高效。,学院网络拓扑图,谢谢观看！,