14武六

1、北京聯(lián)合大學網絡實施方案,,組網范圍,有線實驗樓辦公樓 教學樓,無線宿舍樓（北A）,一、需求分析（應用背景分析) 校園網的現(xiàn)狀 為了適應高校校園網應用系統(tǒng)和信息資源建設的需要，高校校園網絡需要建設成為一個寬帶的多媒體網絡。 網絡設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和可運營性為主要關注焦點。目前高校校園網的建設中面臨的問題主要有以下幾個方面：,,性能需求,高

2、校校園網中網絡應用人數很多，并且隨著網絡應用技術的不斷豐富，高校校園網應用也愈發(fā)復雜，例如FTP文件傳輸等大數據量的訪問，產生了巨大的網絡流量。如何高速進行網絡傳輸，對網絡設備提出了很高的要求。網上視頻點播、廣播、大量的多媒體通訊，需要QoS支持。如何有效合理對教育網絡帶寬的調度和分配滿足如：教育網絡多媒體教學和遠程教學； 圖書館訪問系統(tǒng)，大型分布式數據庫系統(tǒng)、超性能計算資源共享管理系統(tǒng)、視頻會議、ePhone等等應用，都是網路設計所需

3、要考慮的重要因素。,安全需求,學生接受新鮮事務的能力非常強，因此校園也成為黑客最多的場所之一， 如何保障校園網絡的安全成為建網時不得不考慮的問題，目前主要攻擊手段有DOS，DDOS等。同時具有上網日志的需求，主要是配合公安機關保證社會的穩(wěn)定和校園的安全。據有關數字顯示，目前校園網遭受的惡意攻擊，90%來自高校網絡內部，如何保障校園網絡的安全成為高校校園網絡建設時不得不考慮的問題。,運營需求,高校校園網在為學校教學、科研提供網絡平臺的同時

4、，也為校內教職工及學生提供網絡接入服務，這就提出了運營的需求。 而學校收費和學生繳費是一對天然的矛盾，當前不少學校采用的運營模式與學校實際的情況差距太大， 無法有效杜絕學生逃避收費等問題一直困擾著學校的網管人員。,我們學校的信息化服務的目的,(1) 在校園內部實現(xiàn)資源高度共享，為教學、科研、管理提供服務，為計劃、組織、管理與決策提供基礎信息和科學手段；(2) 支持教育教學改革，提高教育技術的現(xiàn)代水平和教育信息化程度、為學校教師的備課、

5、課件制作、教學演示提供網絡環(huán)境；(3) 通過互聯(lián)網、錄像機、掃描儀、數碼相機等各種渠道獲得多媒體資料，實現(xiàn)素材收集、電子備課功能。 (4) 實現(xiàn)辦公自動化，提供與上級教育部門、社會、家庭之間通訊的出入口，提供電子函件、公告牌和教育教學信息查詢等服務，提高工作效率和管理水平；,我們學校的信息化服務的目的,(5) 及時、準備、可靠地收集、處理、存儲、傳輸學校的教育教學信息完成與因特網的通訊和資源共享，實現(xiàn)社會教育、學校教育、家庭教育的有

6、機整合。(6) 實現(xiàn)課堂多媒體電化教學，具備適用于雙向課堂語音教學及語音室功能學習。 校園網的建設能促進教師和學生盡快提高應用信息技術的水平，為學生提供了一個實踐的環(huán)境，為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫。,業(yè)務需求分析,一、校園網是為教師的教學、科研活動和培訓服務的：如提供教學資源、輔助教師備課，參與課堂教學活動和支持教師再學習活動等。二、校園網是為學校教育教學管理服務的：如輔助學校的教學教務管理、學

7、生學籍管理、人事檔案管理、財產管理等。三、校園網是溝通學校與外界的窗口，利用校園網既可以從校外獲取各種教育信息，也可以向外發(fā)布各種教育信息。,一、需求分析(業(yè)務需求),在校園網中發(fā)生的信息流主要包括三個部分：教學過程信息流和管理過程信息流和Internet信息流。1、教學過程數據流大多為多媒體數據，包括高質量的圖像、圖形、數據、實時話音和視頻流傳輸等,業(yè)務需求分析,2、管理過程信息流包括：教學教務管理信息 流和行政辦公信息流。3

8、、Internet信息流主要建立在寬帶、結構簡化、綜合業(yè)務應用齊全的IP基礎網上或區(qū)域教育城域網上，提供教育城域網或廣域網資源信息的傳遞和共享。此類數據流為載有語音、數據和視頻信息的IP流。,一、需求分析(管理需求),校園網有網絡管理中心負責管理。采用易于管理的布線和設備方式配置管理：網絡節(jié)點、端口和冗余結構的配置，網絡節(jié)點訪問口令設置和更改性能管理：可以收集網絡運行的相關數據，視重要程度并記錄保存。需要時進行網絡監(jiān)控。形成報告向上

9、一級中心報告和提示系統(tǒng)管理員，使用這些信息為網絡提供規(guī)劃設計依據,管理需求,. 故障管理：通過實時監(jiān)控系統(tǒng)，將網絡故障信息報告?zhèn)魉徒o高層管理中心。網絡管理員可以根據收到的的信息報告，對網絡進行優(yōu)化和排除. 安全管理：所用設計需避免非法進入網絡要求：具有用戶認證、高級訪問權限、具有網絡數據信息的保護和備份,一、需求分析(安全性需求),1、校園網邊界安全管理需求為了保護校園網的安全，校園網邊界安全管理總體目標就是確保校園網與外界網絡的信

10、息交換安全可控，既要能夠保證正常的校園網和互聯(lián)網的信息交換，同時也能阻擋惡意網絡訪問，例如端口掃描、非授權訪問行為、病毒、不良網站等。2、校園網漏洞及補丁管理安全需求校園網是一個由多協(xié)議、多系統(tǒng)、多應用、多用戶組成的復雜性網絡環(huán)境，校園網中的網絡設備、操作系統(tǒng)、數據庫、應用軟件都存在難以避免的安全漏洞。為了要保障校園網安全,必須做好校園網漏洞管理。,安全性需求,3、校園網服務器安全需求 校園網服務器存儲大量信息，例如學生檔案

11、、學生作業(yè)、考試數據、網頁文件等。其安全需求有: 對服務器訪問要進行安全身份認證，非認證用戶無法進行訪問; 服務器提供的資源受控制，防止非授權人員拷貝、修改、發(fā)送; 支持遠程安全管理，校園網管理員能夠從遠程進行安全登錄，為其傳輸的信息加密; 服務器的操作行為有嚴格審計，能夠防止黑客有意刪除; 服務的安全狀態(tài)能夠實時顯示，各種安全組件的工作狀態(tài)能夠被監(jiān)測到; 服務器在受到損害時，至少能做到數據恢復可用。,安全性需求,4、校園網安全監(jiān)控管理

12、安全需求 對校園網絡進行安全監(jiān)控，就如同在教學大樓內安裝的閉路電視監(jiān)控系統(tǒng)。其主要需求有: 對校園網關鍵區(qū)域的信息流動進行動態(tài)監(jiān)測，能夠把網絡上流過的所有數據包，通過實時檢測和分析，及時發(fā)現(xiàn)非法或異常行為; 對校園網緊急事件(網頁篡改、試題盜竊)以最快的速度阻止; 能夠按要求存儲校園網訪問日志記錄，提供進行關鍵詞查找和離線分析功能; 對校園網特殊安全事件進行回放。,安全性需求,5、校園網病毒安全管理需求 病毒是校園網安全

13、隱患之一，必須做到有效控制。其主要需求包括: 殺毒軟件不僅要能保護文件服務，同時也要對郵件服務器、網站服務器、學生和教職員工用的PC、網關等所有計算機設備進行保護; 殺毒軟件能從郵件、FTP文件、網頁、軟盤、光盤等所有可能帶來病毒的信息源進行監(jiān)控和病毒攔截; 殺毒軟件查殺能力能夠覆蓋最新病毒，查殺病毒是多多益善，重點是目前的流行病毒。,安全性需求,6、校園網安全運維管理需求 校園網的硬件環(huán)境建設完畢后，一項重要的工作就是做好校園

14、網的維護工作，保證校園網的穩(wěn)定、安全運行，能夠滿足學校教學活動的要求。校園網的安全運維需要有一個校園網安全運營中心（School Security Operations Center，簡稱SSOC），通過SSOC強化安全管理工作，對校園網不同教學場所設備、不同計算機系統(tǒng)中的安全事件進行監(jiān)控、匯總和關聯(lián)分析，提供可視化校園網安全狀況展示。針對不同類型安全事件提供緊急應對措施。實現(xiàn)校園網絡集中安全管控，保護校園網絡數字資產安全。,安全性需求

15、,7、物理環(huán)境安全 物理環(huán)境安全也稱實體安全，是指包括環(huán)境、設備和記錄介質在內的所有支持信息系統(tǒng)運行的硬件的總體安全，是網絡系統(tǒng)安全、可靠、不間斷運行的基本保證。在校園網絡環(huán)境中，要盡量防止意外事件或人為破壞具體的物理設備，如服務器、交換機、路由器、機柜、線路等,一、需求分析(通信量需求),通信量需求是從網絡應用出發(fā)，對當前技術條件下可以提供的網絡帶寬做出評估。,用戶需求分析,,二、網絡方案設計,學校使用兩臺匯聚交換機（做冗余備

16、份相連），連接接入交換機，并把所有接入交換機連接到核心路由器上；接入層交換機連接終端用戶，并把不同部門人員規(guī)劃到不同的VLAN中；學校內部都使用私網地址，訪問外網時，采用NAT，實現(xiàn)用戶可以訪問外網；根據服務器功能需求和信息安全要求進行服務器系統(tǒng)區(qū)域劃分，完成服務器接入交換機的安裝和調試；建立辦公網絡系統(tǒng)，完成各配線間接入交換機的安裝和調試，實現(xiàn)終端用戶1000M自適應桌面接入，萬兆主干上聯(lián)；所有用戶都使用DHCP獲得IP地址

17、；建立公共區(qū)域的無線網絡，實現(xiàn)用戶安全認證；增加安全設備實現(xiàn)校園網絡的安全性，且能監(jiān)控來自內外部的上網行為，設置TELNET，且只有管理員能TELNET到各設備。,二、網絡方案設計,我們將整個網絡劃分為三層：核心層；匯聚層；接入層。考慮到核心層網絡的可靠性和高性能，本項目采用雙機熱備（負載均勻）方式設計核心層交換機，核心交換機選用兩臺思科6509（三層交換機），兩臺6509之間通過hsrp協(xié)議實現(xiàn)雙機互聯(lián)和冗余備份，并通過兩對光纖

18、做port channel連接，實現(xiàn)核心設備連接鏈路的負載均衡。,二、網絡方案設計,整個項目將使用到的技術有：Vlan劃分；HSRP設計；以太通道設計；路由協(xié)議選擇；SVI設計；DHCP設計；DNS設計；NAT設計；防火墻設計；VPN設計；802.1X設計和TELNET設計等。,二、網絡方案設計,2.1、網絡邏輯拓撲設計,二、網絡方案設計,2.2、VLAN規(guī)劃與IP地址規(guī)劃 因校園網絡主干連接的節(jié)點多，因此，要保證網絡的有效性和

19、可管理性，網絡地址的規(guī)劃與分配是十分重要的問題。網絡地址是一種資源，必須經過優(yōu)化的規(guī)劃和設計，因為很難預測網絡將來的規(guī)模和應用情況的發(fā)展，如果規(guī)劃不當，將導致地址資源不夠用，網絡的擴展將受到極大的限制；如果規(guī)劃過于龐大，則在現(xiàn)行運行過程中，網絡的路由將會復雜，影響網絡的效率。,二、網絡方案設計,由于合法IP地址的短缺，在聯(lián)大的網絡建設 中選用了B類的保留地址，分配聯(lián)大網絡的地址范圍為172.16.0.0， 前二位（172.16）作為公

20、共網絡地址，第三位作為各VLAN的地址，并第四位的（254）作為各VLAN的網關。 聯(lián)大根據業(yè)務功能的不同，可以分為22個VLAN，22個VLAN各自獨立，分別屬于不同的廣播域，默認情況下不同VLAN間可互相訪問。由于對于整個網絡配置VLAN工作量較大，所以使用VTP協(xié)議，把核心交換機配制成VTP Server,其余交換機配制成VTP Client。并且為核心交換機配置SVI，使得不同間VLAN可以通信。,二、網絡方案設計,配置舉例：

21、接入層交換機配置：Switch(config)#vtp mode client核心交換機配置：Switch(config)#vtp domain zdySwitch(config)#vtp mode serverSwitch(config)#vlan 100Switch(config-vlan)#name Dangzheng Switch(config)#int vlan 100Switch(config-if

22、)#ip address 172.16.0.254 255.255.255.0,,,二、網絡方案設計,2.3 交換和路由協(xié)議選擇采用EIGRP動態(tài)路由協(xié)議進行網絡配置，原因主要是EIGRP是Cisco公司的專有網絡協(xié)議，它綜合了距離矢量和鏈路狀態(tài)2者的優(yōu)點，其特點有：A、快速收斂；B、減小帶寬占用；C、支持多種網絡層協(xié)議；D、無縫連接數據鏈路層協(xié)議和拓撲結構,配置舉例：核心ARouter(config)#router e

23、igrp 100Router(config-router)#network 172.16.0.0 0.0.0.255Router(config-router)#network 172.16.1.0 0.0.0.255Router(config-router)#network 172.16.2.0 0.0.0.255Router(config-router)#network 172.16.3.0 0.0.0.255Router(

24、config-router)#network 172.16.4.0 0.0.0.255Router(config-router)#network 172.16.5.0 0.0.0.255Router(config-router)#network 172.16.6.0 0.0.0.255Router(config-router)#network 172.16.7.0 0.0.0.255Router(config-router)#n

25、etwork 172.16.8.0 0.0.0.255Router(config-router)#network 172.16.9.0 0.0.0.255Router(config-router)#network 172.16.10.0 0.0.0.255Router(config-router)#network 172.16.11.0 0.0.0.255Router(config-router)#network 172.16.

26、20.0 0.0.0.255Router(config-router)#network 172.16.21.0 0.0.0.255Router(config-router)#network 172.16.22.0 0.0.0.255Router(config-router)#network 172.16.23.0 0.0.0.255Router(config-router)#network 172.16.24.0 0.0.0.2

27、55Router(config-router)#no auto-summary,二、網絡方案設計,2.4 Internet 接入設計 聯(lián)大上網是通過雙運營商上網，一個聯(lián)通，一個教育網，聯(lián)通鏈路為主要Internet鏈路。為了保證辦公人員快速的訪問聯(lián)通或教育網的網絡，在Internet出口路由器上面做策略路由。訪問聯(lián)通的網絡從聯(lián)通出口的防火墻出去，在防火墻上把內網的地址轉換成聯(lián)通網絡的地址。訪問電信或者其他網絡從電信出口的防

28、火墻出去，在防火墻上把內網的地址轉換成電信網絡的地址。,二、網絡方案設計,兩臺Internet區(qū)域的路由器對內網配置為HSRP，使路由器A成為主路由器，內網上網的流量通過路由器A來進行轉發(fā)。路由器A的HSRP優(yōu)先級配置為110，路由器B的HSRP優(yōu)先級配置為100。路由器A監(jiān)控鏈接內網和外網的兩個接口，當某一條鏈路故障的時候，路由器A的HSRP優(yōu)先級降低20，使路由器B成為活動路由器，內網上網的流量通過路由器B來轉發(fā)。路由器A配置HSR

29、P的搶占功能，當出現(xiàn)問題恢復的時候，使路由器A成為主路由器。,二、網絡方案設計,在將整個系統(tǒng)遷移到運營商專線的同時，我們將防火墻放在系統(tǒng)與外部連接處，以提供網絡的安全保障。對處INTERNET服務的WEB、DNS、FTP服務器接入到防火墻的DMZ段，用于保護應有服務器的安全和對內外提供服務。 1、防火墻上做了地址轉換，將內部的私有地址轉換成公有地址訪問INTERNET。2、防火墻上開放了用于INTERNET信息發(fā)布所需要的幾個端口，

30、包括TCP的53，23，25，80和UDP的53端口，分別用于DNS，SMTP，和WEB等服務。3、在防火墻上做了多個靜態(tài)的地址映射將內部地址172.16.0.0映射為外部地址。,在防火墻outside端口設置NAT設置靜態(tài)的地址轉換，將真實地址與提供服務的私有地址綁定static (dmz,outside) 210.32.32.1 210.32.32.1 netmask 255.255.255.255 0 0static (d

31、mz,outside) 210.32.32.21 210.32.32.21 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.18 210.32.32.18 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.10 210.32.32.10 netmask 255.255.255.255 0static (dm

32、z,outside) 210.32.32.32 210.32.32.32 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.23 210.32.32.23 netmask 255.255.255.255 0static(dmz,outside)210.32.32.150 210.32.32.150netmask 255.255.255.255 0 static (dmz

33、,outside) 210.32.32.20 210.32.32.20 netmask 255.255.255.255 0static(dmz,outside)210.32.32.229210.32.32.229 netmask 255.255.255.255 0 0static (dmz,outside) 210.32.32.50 210.32.32.50 netmask 255.255.255.255 0 0指定要進行靜態(tài)轉換

34、的IP地址能夠通過的協(xié)議conduit permit icmp any any 允許所有ICMP通信conduit permit tcp host 210.32.32.21 range ftp www anyconduit permit tcp host 210.32.32.10 range ftp www anyconduit permit udp host 210.32.32.1 eq domain anyconduit

35、permit tcp host 210.32.32.150 eq www anyconduit permit tcp host 210.32.32.18 range smtp pop3 anyconduit permit tcp host 210.32.32.20 eq www anyconduit permit tcp host 210.32.32.229 anyconduit permit tcp host 210.32.3

36、2.50 eq telnet anyconduit permit tcp host 210.32.32.23 eq www any,二、網絡方案設計,2.5 WLAN的設計 聯(lián)大的北A宿舍樓4、5、6層設計為WLAN接入，共使用5個無線AP。發(fā)展的最大用戶數為600個用戶。,二、網絡方案設計,,二、網絡方案設計,2.8 網絡管理設計當交換機需要被網管時，必須配置交換機的CDP和SNMP參數，其中CDP協(xié)議是CISCO公

37、司特有的一種協(xié)議，而SNMP是標準的簡單網絡管理協(xié)議。其中SNMP協(xié)議需要有一個COMMUNITY NAME控制對交換機的讀寫。在本次工程中，我們定義了以下的COMMUNITY NAME：READWRITE：PRIVATEREADONLY：PUBLIC,二、網絡方案設計,以下是具體配置命令：cisco6506>enablecisco6506>(enable)set cdp enable說明：啟用6506交換機的CD

38、P協(xié)議。Cisco6506>(enable)set snmp enable all說明：啟用6506交換機的SNMP功能，并啟用默認的關鍵字PUBLIC為只讀，PRIVATE為讀寫。,三、綜合布線設計,下圖為實驗樓一實驗室綜合布線圖（30個信息點）,下圖為機房機架圖,設備選型與成本核算,日本SANWA SUPPLY LKB6-CB300BL 300米高速優(yōu)質6類網線 1461元水晶頭 3元西蒙信息插座 50元圖騰K

39、3鼎極網絡服務器機柜 5940元網件（Netgear）WN 604 150Mbps 無線接入點（無線AP） 369元Ups電源 伊頓9395 600 291萬元機房空調 儒雅風冷機組/DME12 15.2萬Linux （正版）2900元,成本核算,300m網線*10 1461*10=14610光纖 30000無線AP 1000*5=5000水晶