校园网络规划设计
2016-08-10邱雄龙广东省电子信息技工学校
邱雄龙 / 广东省电子信息技工学校
校园网络规划设计
邱雄龙 / 广东省电子信息技工学校
【摘 要】本论文主要介绍校园网设计的目标及设计原则,提出校园网络的结构及解决方案。校园网采用三层网络结构:接入层、汇聚层、核心层,分为南、北两个校区,并各设立中心机房一个,中心机房之间由光纤连接,互联网接入点位于南区中心机房。校园网主要采用锐捷网络设备,以满足学校对网络的稳定性、安全性、可持续性、高性能和安全出口的总体需求。
【关键词】网络;交换机;拓扑图
前言
在网络信息高速发展的今天,人们对信息的需求越来越迫切,同时网络信息传递的快捷、稳定、安全对学校的发展起着越来越重要的作用,为了提高学校的科研、教学、管理等各方面的技术水平,为研究开发和培养高层次人才建立现代化平台,建立Intranet技术的高速多媒体校园网是非常必要的。
1.校园网建设目标
我校是一所以电子专业为主的学校,分为南北两个校区,校园网规划设计的目标是建设一个高性能,高可靠性,高安全性,灵活性强,扩展性好的技术领先高效的网络平台,要保持在今后3-5年内满足学校教学工作的要求和学校管理需求,同时也要使学校南北两个校区无缝结合,为全校师生员工提供一个功能完善的教学、科研、管理的数字化工作环境,为学校提高教学、科研和管理水平奠定坚实的基础。
2.校园网规划设计的基本原则
2.1高稳定性
校园网是各种应用的统一通信平台,平均无故障时间以及故障恢复时间要保持在足够容忍的许可范围之内,保障网络的稳定可靠运行。
2.2高安全性
学校网络用户容易产生不规范行为,同时病毒、各类攻击软件均可能造成攻击数据流,影响网络的正常使用。因此,校园网络建设必须要保证网络在遭受攻击和欺骗情况下,网络设备依然能正常稳定的工作,不影响上网用户的网络体验。
2.3可持续性
学校现正处在高速发展期,随着招生人生增加和网络覆盖面积的铺开,信息点会日益增多,设计要求可通过灵活的和模块化的方式平滑升级网络功能和扩展网络规模,并要保证性能和功能上在今后几年内依然处于较高水平。
2.4高性能
保证网络数据传输的速度,使大量网络业务能顺畅运行。
2.5安全出口
出口设备要具有出色的防攻击能力,同时能布署安全策略对出口数据进行安全过滤和检查,保证出口的稳定运行。对于常见病毒,蠕虫,非法连接等攻击行为要阻隔在学校外。
3.校园网络拓扑图设计及简介
3.1校园网络拓扑图设计
3.2网络拓扑图简介
根据校园的实际情况,网络分为南北两个校区,每个校区各自部署一台核心交换机,用于数据转发,同时北校区的核心与南校区的核心通过我纤专线互通,统一采用南校区的网络出口。整个校园网采用稳定成熟的三层结构设计,分为接入层、汇聚层、核心层三个层次。本校园网的建设可为学校的信息化建设提供一个优秀的网络基础平台,以满足后期数字化校园的发展。
4.网络系统设计
4.1方案设计思路
整个方案设计思路基于职教系统数字化校园的业务构架,整体设计背景如下:
4.2结构设计思路
4.2.1三层结构设计
(1)核心交换层
为高速的三层交换骨干,主要任务为高速数据交换,无需开启影响高速交换性能的安全访问控制(ACL)等功能。设备选用锐捷RG-S8610万兆交换机。
(2)汇聚层
主要完成以下的功能:汇聚各功能区IP地址或路由;实现各功能区内VLAN间的路由;实现各功能区到核心层的路由策略。设备选用锐捷RG-S5750-24SFP/8GT-E
(3)接入层
主要完成以下功能:存储转发式,进行数据高效的转发;通过VLAN定义实现业务划分,隔离广播域,减小广播风暴实现QoS,对数据包进行分类和标记(保障数字广播、IP电话、视频会议等业务流畅运行);二层组播功能,实现对组播业务(直播、VOD点播等业务)的全面支持。设备选用锐捷RG-S2928G-E、锐捷RG-S2952G-E
4.2.2功能模块化区域设计
(1)出口区设计
千兆级出口引擎进行出口数据的高速转发,实现学校校园网和外网互联互通,以满足学校内网用户与对外网的访问与高速的数据交换。内置防火墙上进行各类深度检测、防DDOS攻击等,有效过滤到外网的各类攻击,病毒、蠕虫、扫描、非法连接等非法行为,以保证内网的安全。出口区设备选用深信服NGAF-1520-M(防火墙)、锐捷EG2000UE(出口网关)、深信服AC-1800-E(网络行为及流量审计)
(2)服务器区设计
服务器区为各类服务器汇集,如FTP、WEB、OA、VOD等服务器群,服务器群可直接连接在核心交换机上,实现千兆的数据交换。服务器群放置在中心机房,以便于统一维护和管理。服务器选用HP DL388p G8
4.2.3安全稳定性设计
考虑到网络平台对于本校数字化校园发展道理的重要性以及学校自身对网络平台安全稳定性的重视,本方案将在网络安全稳定性上有充分的考虑和设计。各层次的安全稳定性规划如下:
(1)接入层:锐捷RG-S2952G-E接入交换机开启各类安全策略,如:端口安全、防DDOS攻击、防IP扫描、arp-check等。后期扩展可部署802.1X协议,实现“入网身份认证、主机健康检查、网络安全事件监控与主动防御”等。
(2)汇聚层:锐捷RG-S5750-24SFP/8GT-E汇聚层交换机实施安全访问控制(ACL),以实现各类权限控制与分离。汇聚层交换机开启安全策略,也可对向核心交换机的非法连接、垃圾数据、攻击报文等进行过滤,以保护核心设备的安全性。
(3)核心层:锐捷RG-S8610核心交换机整机的稳定成熟度很高,加上汇聚层、接入层设备开启安全过滤功能,使得方案核心层稳定性很高。同时核心交换机开启其它防扫描、防攻击的策略,结合CPP技术,可确保自身的稳定性。
5.校园网方案特点总述
5.1安全可靠
校园网对安全的要求比较高,交换机利用基于协议、IP、MAC、端口及用户策略的二到四层以及时间范围的ACL(接入访问控制列表)来完成用户的三层受控互访,通过对用户在单位时间内的连接数量的限制,可以提供四层的用户安全。另外通过在交换机上实现用户IP地址与MAC地址绑定技术防止MAC地址、IP地址的盗用。锐捷系列交换机可以监视各个端口上发送和接收广播包的情况,实现端口保护,而通过划分VLAN的方式,实现二层端口的隔离,再通过MAC地址过滤可有效防止地址仿冒。在学校出口放置一台防火墙,能很好的保证内网的安全性。
5.2网络稳定可靠
本设计从设备类型、网络结构设计和安全防护三个方面确保了网络的高度稳定可靠运行。核心设备本身提供了关键部件如引擎冗余、电源冗余,以及LPM+HDR等技术,保障了设备的正常运行。在网络架构上也进行了全面的冗余设计,确保单点故障不影响网络的正常运转;全局安全网络设计,保证网络不受病毒和网络攻击影响,进一步提升了网络的稳定可靠性。
5.3高性能数据转发
高性能的接入、汇聚、核心及出口设备,保证了全网线速转发。锐捷RG-S8610万兆骨干路由交换机提供1.6T背板带宽,并支持更高带宽的扩展能力,高达400Mpps的二/三层包转发速率可为用户提供高密度的高速无阻塞数据交换。千兆接入也提供给了客户高速连接网络的服务。
5.4全面冗余设计,良好可扩展性
核心交换机拥有6-10个扩展插槽,提供管理模块冗余、电源冗余,通过灵活性和模块化的方式平滑升级网络功能和扩展网络规模,能满足不断增长的教学和管理方面的网络需求。
6.结束语
本设计方案很好的满足了学校教学和管理的需要,将为广大师生提供一个高速稳定的网络平台和全新的网络环境。在此基础上还可以实现整个校园的信息化,促进资源共享和科研合作,这将极大地提升学校的办学水平,促进学校与社会各界的信息交流分享!
参考文献:
[1]雷震甲,网络工程师教程,清华大学出版社,2014.7.
[2]王勇,刘晓辉 网络系统集成与工程设计,科学出版社,2011.11.
[3]易建勋,计算机网络设计,人民邮电出版社,2011.5.