第7章校园网组网方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

人民邮电出版社全国十一五规划教材1编著:斯桃枝等局域网技术与局域网组建人民邮电出版社全国十一五规划教材2编著:斯桃枝等第7章校园网组网方案人民邮电出版社全国十一五规划教材3编著:斯桃枝等本章主要内容:某大学校园网简介网络结构分析网络安全设计网络系统综合管理人民邮电出版社全国十一五规划教材4编著:斯桃枝等7.1某大学校园网简介7.1.1原校园网结构A大学的一期网络从建成到现在已经将近四年了(如图7-1所示),核心交换机为两台Extreme6808交换机,汇聚层和接入层交换机是Extreme和锐捷等多个品牌的产品。设备已经到了更换期;另一方面,要对校园网进行扩建,现有核心网络设备难以承受这么大的压力;随着网络技术的发展,产生了很多新的应用,提出了新的需求,老的设备已经渐渐不能满足新的应用需要,比如组播应用、硬件IPv6的支持等。人民邮电出版社全国十一五规划教材5编著:斯桃枝等图7-1A大学一期网络拓扑结构人民邮电出版社全国十一五规划教材6编著:斯桃枝等7.1.2现状和改造目标在骨干网中,视频、音频、数据流混杂在一起进行传输,如果保证不了高带宽,将造成网络延迟,因此,对现有的骨干网络进行升级,采用新的万兆做骨干,万兆到汇聚,千兆到接入,百兆到桌面,以保证教育教学的需要。以前A大学的核心交换机是Extreme6808,运行年限较久,处理能力有限,当网络上出现突发性大流量数据传输时,出现假死机或响应速度降低的现象,因此急需新部署新一代核心交换机。原有网络设备在可管理性支持方面不能满足现在网络管理的需要。由于校园面积较大,信息点分布较广,与一般企业网相比,校园网用户的流动性大,信息点存在随意接入使用的问题。现在病毒、非法侵入肆虐,必须采用新技术从内部和外部同时控制用户对网络资源的访问。如身份认验证、VLAN划分、防病毒、入侵检测等。随着校园网用户大量访问INTERNET,通过100M带宽的教科网访问INTERNET,产生瓶颈,而2M的备份链路只能应急使用。因此必须增加备份链路的带宽,改变接入INTERNET的途径。人民邮电出版社全国十一五规划教材7编著:斯桃枝等7.1.3.改造后的网络结构A大学骨干网络改造后拟采用环状网络结构,该校园网核心交换机三台构成环状结构,下属汇聚节点分别以万兆速率接入到核心设备,各接入设备也通过千兆光纤接入到汇聚层设备,实现万兆做骨干,万兆到汇聚,千兆到接入,百兆到桌面的拓扑结构,如图7-2所示。图7-2A大学改造后的网络拓扑人民邮电出版社全国十一五规划教材8编著:斯桃枝等7.2网络结构分析7.2.1核心层核心层的功能主要是实现骨干网络之间的优化传输,核心层设计的重点是冗余能力、可靠性和高速的传输。在核心层设计时需要遵循以下原则:可达性具有足够的路由信息来交换发往网络中任意端设备的数据包;核心层的路由器不应该使用默认的路径到达内部的目的地;聚合路径能够用来减少核心层路由表大小;默认路径用来到达外部的目的地,如互联网上的主机。冗余性人民邮电出版社全国十一五规划教材9编著:斯桃枝等设备冗余;模块冗余;链路冗余。不执行网络策略任何形式的策略必须在核心层外执行,如数据包的过滤和复杂QoS处理;禁止采用任何降低核心层设备处理能力、或增加数据包交换延迟时间的方法;避免增加核心层路由器配置的复杂程度;可以将网络策略执行放在访问层边界设备上。核心节点的交换机有两个基本要求:高密度端口情况下,还能保持各端口的线速转发;关键模块必须冗余,如管理引擎、电源、风扇。在本方案中,核心层由三台BigIronRX-8核心交换机构成环状结构。通过光纤分别连接到各汇聚层交换机和PacketeerPS10000G流量管理系统。人民邮电出版社全国十一五规划教材10编著:斯桃枝等7.2.2汇聚层汇聚层连接着接入层和核心层。汇聚层的主要任务是提供与流量控制、安全及路由相关的策略:包括:定义广播和组播域;执行安全和网络策略,包括地址翻译和防火墙策略;VLAN之间的路由选择;部门或者工作组级的访问;布线间连接的汇聚和需要进行的各种介质转换。人民邮电出版社全国十一五规划教材11编著:斯桃枝等7.2.3接入层通常将网络中直接面向用户连接或访问公共网络的部分称为接入层。接入层直接面对各个信息节点的接入,它控制着用户和工作组对园区网络资源的访问。它包括下列功能。到汇聚层的工作组连接。建立单独的冲突域(分段)。共享式带宽或交换式带宽。提供灵活的用户接入及扩展。在本方案中使用STAR-S2100系列交换机做为接入层设备,通过千兆上行光口与汇聚交换机进行连接。人民邮电出版社全国十一五规划教材12编著:斯桃枝等7.2.4外连设计当今时代,任何一个网络都要考虑与Internet的联接问题。设计目标与基本原则速率成本可靠性服务提供商的选择传统电信运营商专业网络联接方式的选择以太网接入DDN接入基于光技术的接入人民邮电出版社全国十一五规划教材13编著:斯桃枝等外连设计中的安全考虑本方案中外接INTERNET部分已经开通两条WAN线路,一条100M接入教科网,另一条30M接入科技网。通过Cisco3660路由器接入科技网。通过NE05路由器接入教科网。在对外主线上部署了一台天融信GFW4000-UF/TG-5307防火墙系统。在GFW4000-UF防火墙系统和核心交换机之间的链路上部署一台网络流量优化设备PacketeerPS10000G(通过光口连接),有二个10/100/1000MBase-T接口;二个1000M光纤SFP-SX(275m)或LX(5km或20km)接口。有两个插槽可以扩展端口,增配一个LEM2G-1000M-T以太网扩展模块。人民邮电出版社全国十一五规划教材14编著:斯桃枝等7.2.5无线网络覆盖图7-3为A校无线网络与校园网有线网络主干连接的示意图。图7-3无线网络与校园网有线网络主干连接图人民邮电出版社全国十一五规划教材15编著:斯桃枝等整个校园网结构分为三层结构(即核心层、汇聚层和接入层)。所有的无线接入点AP均通过以太网线连接到各自所属的接入层工作组交换机的10/100M端口上,再通过有线千兆以太网的方式连接,接入各大楼的汇聚层交换机组上,最后接入校园核心交换机。无线接入点AP选用NETGEAR公司的WG102AP,通过免费软件升级支持AutoCell技术。人民邮电出版社全国十一五规划教材16编著:斯桃枝等7.3网络安全设计7.3.1接入安全和访问安全接入安全锐捷S2100系列接入交换机均支持802.1X用户入网认证,通过锐捷RG-SAM安全认证计费管理系统可满足用户名、IP、MAC、VLANID、交换机IP、交换机端口的6元素绑定技术,有效的防止用户擅自修改IP地址和MAC地址。并且可以实现非法站点访问过滤,非法言论的准确追踪,恶意攻击的实时处理,为记录访问日志提供完整审计等安全功能。访问安全FOUNDRYBigIronRX-8万兆核心路由交换机支持802.1QVLAN,可使用VLAN划分隔离用户访问。同时还支持VLAN隧道技术,可实现跨校区的VLAN功能。对于不同访问权限的区域采用ACL访问控制来对不同访问资源进行权限控制。人民邮电出版社全国十一五规划教材17编著:斯桃枝等7.3.2病毒攻击防御防ARP攻击特性在锐捷设备上可以通过以下方式来预防此病毒:BigIronRX-8支持动态ARP检测(DAI)特性,可以针对用户arp中毒、攻击加以防范。在锐捷S2100接入设备上支持硬件防ARP网关欺骗功能,可屏蔽ARP网关欺骗,有效规避ARP网关欺骗攻击造成的大面积网络瘫痪。3)在S2100上启用保护端口的隔离功能,可隔离ARP广播报文。不管动态分配IP地址环境,还是静态分配IP地址环境,都可限制ARP欺骗报文的扩散。4)在S2100上打开ARPCheck功能,结合端口安全绑定功能,可以严格防范和杜绝ARP主机欺骗现象。人民邮电出版社全国十一五规划教材18编著:斯桃枝等抗DoS攻击特性近年来,各种DoS攻击(DenialofService,拒绝服务)报文在互联网上传播,给互联网用户带来很大烦恼。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。针对这种情况,RFC2827提出在网络接入处设置入口过滤(IngressFilting),来限制伪装源IP的报文进入网络。人民邮电出版社全国十一五规划教材19编著:斯桃枝等7.4网络系统综合管理7.4.1网络管理软件Quidview拓扑管理图7-4Quidview拓扑管理图人民邮电出版社全国十一五规划教材20编著:斯桃枝等故障管理网络故障的处理一般按照以下的流程,首先网管系统应该及时发现网络中存在的故障,然后及时通知管理员进行处理,管理员进行故障定位,发现问题并解决问题,然后通过各种方式将故障处理的经验记录下来,以便以后工作使用。Quidview网络管理软件实现了对故障处理进行全流程的支持。性能管理Quidview网络管理软件提供丰富的性能管理功能,协助管理员分析网络资源使用情况,并能够主动上报潜在的性能问题,减少网络拥塞。为了方便用户定制性能采集任务,Quidview提供丢包率、错误包数、带宽利用率等常用指标的缺省采集模板,并支持对采集模板设定缺省阈值,使性能任务的配置更加简单。同时提供折线图、直方图、饼图等多种显示方式,用户可以清晰地了解到流量趋势等变化的时间规律。人民邮电出版社全国十一五规划教材21编著:斯桃枝等配置管理Quidview产品支持网络配置基线化能力,当设备配置基本稳定后,用户可以将这些配置备份到服务器,同时指定备份版本作为基线版本。当网络配置出现问题时,可以及时用基线版本进行配置恢复,保证网络从故障中尽快恢复。配置管理功能还能够定期主动检查网络配置的变化,并将变化及时通知给管理员,这样管理员可以及时发现网络配置变化,特别是尽早发现恶意或错误的配置,从而保证网络的稳定性。资源拓扑管理Quidview网管平台可以在拓扑图中发现所有可网管设备,以相应的图标表示在拓扑图中,如图7-5所示。人民邮电出版社全国十一五规划教材22编著:斯桃枝等图7-5Quidview资源拓扑管理界面图人民邮电出版社全国十一五规划教材23编著:斯桃枝等告警管理对于第三方厂商设备的告警,Quidview可以全部接收并对其中的标准告警进行解析,Quidview告警管理界面图如图7-6所示。图7-6Quidview告警管理界面图人民邮电出版社全国十一五规划教材24编著:斯桃枝等性能管理Quidview系统可以对第三方设备进行通用性能监视,包括接口的流量监视,利用率监视,设备IP包转发,设备响应时间的监视等。同时如果需要针对特殊设备性能的检视,可通过增加自定义性能模板脚本来达到要求,Quidview性能管理界面图如图7-7所示。图7-7Quidview性能管理界面图人民邮电出版社全国十一五规划教材25编著:斯桃枝等7.4.2NTA网络流量监控软件利用NTA网流分析系统对从学校内数据进行统计分析,就能从中提取出网络流量特征,从而为网络管理员提供一张丰富而详尽的网络利用视图。优化网络和异常流量分析通过NetStream流量分析,可以统计网络流量总数,分析流量的分布,便于网络管理员掌握网络利用状况,尽早发现网络结构的不合理,及各种由于病毒爆发而导致的异常流量,优化网络结构,制定网络扩容规划,以有力的数据实现以最小网络管理成本达到最佳的网络性能和服务。业务应用/服务质量监控Xlog流量报表用户可根据统计分析的需求,自定义报表生成规则,由报表引擎生成报表,并将统计分析的结果以柱状图、饼图、曲线图、统计信息表格等直观的形态展示出来。

1 / 25
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功