sise校園網

1、網絡介紹,計算機網絡課程設計輔導,華軟軟件學院,主要內容,一、學院網絡概況二、流量控制策略三、安全機制,一、學院網絡概況,1、網絡結構采用層次化的網絡設計主干設備以光纖互聯(lián)核心層與匯聚層采用三層交換機(部分匯聚層交換機為二層交換機),提供高速交換及路由功能;接入層采用二層交換機提供高密度接入,一、學院網絡概況,2、網絡拓撲圖,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,圖例：,,,,,,千兆多模,千兆單模

2、,千兆銅纜,百兆多模,百兆5e線,,百兆單模,,,,,,,,,,,,,,,,核心層交換機,匯聚層交換機,接入層交換機,防火墻,,,,服務器,,,,,Mail,Web,DNS,DHCP,課件FTP,軟件FTP,娛樂FTP,Radius,CISCO 2950,ES4000,網絡中心DCRS 7504,行政樓DCRS 7504,實驗室S2126,教學樓3926S,教學樓3550,紫薇J2 S4909,綜合樓3550,安氏100,2000E,

3、,,數據庫,應用服務器,黃槐Y1 3926S,黃槐Y2 3926S,黃槐Y3 3926S,青楓M1 S2126,青楓M2 S2126,青楓M3 3926S,綠楊南 5512,綠楊北 5512,綠楊G2 5512,2026B30臺,2026B30臺,2026B30臺,S192630臺,S192630臺,S192630臺,39503臺,39503臺,392611臺,S215020臺,S215024臺,2026B12臺

4、,學院信息管理系統(tǒng)服務器群（共5臺）,廣州大學華軟軟件學院網絡拓撲圖,VOD,測試服務器,寬帶接入服務器,寬帶接入服務器,網絡中心S2126,金桂園5512,禮堂圖書館團委學生處電子實驗室動漫工作室,因特網,S215014臺,2026B10臺,S192620臺,2026B11臺,交換機12臺,行政樓,軟件研究所,S215020臺,,Internet,,實驗樓5512S,,3950S5臺,,一、學院網絡概況,3、外

5、網帶寬兩條100M電信光纖接入防火墻。一條10M教育網光纖單獨接入。,,,Internet,ES4000,CERNET,CISCO2610,,,,,一、學院網絡概況,,4、內網帶寬(一)防火墻與寬帶服務器、核心交換機之間通過1000M光纖互聯(lián)。核心、匯聚層交換機為1000M光纖互聯(lián)。,,,,,,ES4000,網絡中心DCRS 7504,行政樓DCRS 7504,寬帶接入服務器,…,…,,一、學院網絡概況,5、內網帶寬(二),接

6、入層交換機,PC,,,,,,網絡中心DCRS 7504,接入層(樓層)交換機與各終端PC之間的線路帶寬為100M。,校園服務器通過1000M銅纜直接連接核心層交換機。,DHCP,課件FTP,軟件FTP,娛樂FTP,Radius,一、學院網絡概況,6、核心交換機介紹目前學院網絡的核心交換機共有兩臺(網絡中心及行政樓各一臺),通過1000M多模光纖互聯(lián),采用的是神州數碼DCRS-7504交換機(見右圖),背板帶寬128Gbps,擁有4個模

7、塊化插槽及2個電源模塊,包轉發(fā)能力96Mpps.由于學院網絡主要為星形拓撲結構,大部分線路 均無冗余,因此沒有使用如RIP,OSPF等動態(tài)IP路由協(xié)議,而采用IP靜態(tài)路由來聯(lián)通各個網段.同時通過應用access list來阻斷一些不安全的流量,降低網絡風險.,一、學院網絡概況,6、核心交換機負載網絡中心7504交換機負責教學區(qū),校園服務器及少數宿舍區(qū)的網絡接入,接入點較少,IP負載較低.行政樓7504交換機負責電視轉播服務器

8、及大多數宿舍區(qū)的網絡接入,由于接入點較多,而且需要執(zhí)行匯聚層功能,IP負載相對較高.,一、學院網絡概況,7 、交換機配置情況每臺接入層(樓層)交換機根據需求不同,劃分為一個或多個VLAN,指定默認網關,并通過trunk接入匯聚層的三層交換機;少數交換機以級聯(lián)的方式接入其它交換機,再通過其它交換機接入匯聚層.在具有三層功能的匯聚層交換機中配置網關,DHCP服務器,并設置默認路由用以與核心層交換機通訊,部分access list也這層

9、交換機中配置.,一、學院網絡概況,核心交換機中除了配置靜態(tài)路由連接全網之外,還為部分二層匯聚交換機提供網關,DHCP中轉功能,同時也配置有access list與訪問策略.所有交換機均進行了multicast相關配置以優(yōu)化內網的電視直播服務.,二、流量控制策略,1、核心目標--有效使用網絡資源。通過客戶端、寬帶服務器及認證服務器的結合,在用戶需要使用Ineternet資源時,實現對用戶的認證、計費和管理功能,有效地控制校園網與In

10、ternet之間的流量。,網絡中心使用圖形化流量監(jiān)控程序對各主要出口進行監(jiān)控,在出現異常情況時能及時進行處理.,二、流量控制策略,2、實現方法:BRAS+RADIUS。BRAS:Broadband Remote Access Server (寬帶接入服務器 )是面向寬帶網絡應用的新型接入網關，它位于骨干網的邊緣層，可以完成用戶帶寬的IP/ATM網的數據接入,與認證計費系統(tǒng)、客戶管理系統(tǒng)及服務策略控制系統(tǒng)相配合實現用戶接入的認證、計費和

11、管理功能 .RADIUS:Remote Authentication Dial In User Service(遠程撥號用戶認證服務)檢驗用戶名和密碼的合法性,檢驗通過則根據相關策略允許用戶訪問相應資源并進行計費.,二、流量控制策略,圖例:,PC,RADIUS,BRAS,,,,,,Internet,請求訪問Internet,用戶驗證/計費,用戶登錄,準許訪問,三、安全機制,1 、重要服務器的保護--專門的防火墻在Internet

12、接入點采用ES4000電信級防火墻,支持百萬并發(fā)連接,網絡吞吐量為4Gbps,提供應用級安全,同時也給內網做NAT,根據內網源地址的不同,使用不同的出口.對特殊內網服務器還提供小型防火墻接入.,三、安全機制,2 、網段劃分核心層交換機與匯聚層交換機之間使用C類網段進行互聯(lián).由于部分宿舍的匯聚層實際為二層交換機,因此使用VLAN trunk與核心層連接,使用B類172.16.x.0/24網段,其匯聚層的功能也由核心層交換機來實現.

13、在接入層中, 宿舍樓的每層均劃分為一個或多個獨立的子網,使用172.16.x.0/24網段;教學區(qū)建筑的子網劃分方式一般與宿舍區(qū)相同,而實驗大樓則根據需求以教室為單位劃分子網.,三、安全機制,每臺交換機均配有IP地址；實驗大樓樓層交換機使用單獨網段做為網管地址,方便遠程訪問及管理.校園服務器根據功能的不同,劃分為單獨的網段。,三、安全機制,3 、詳盡的日志記錄對于每個賬號訪問Internet時段, IP與MAC地址、流量、總費用、