上海外国语大学校园网一期改造方案

上海外国语大学校园网一期改造方案1目录1.网络设计背景.....................................................................................................................................21.1.背景..............................................................................................................................................21.2.现有网络概况..............................................................................................................................21.3.改造需求......................................................................................................................................32.网络设计.............................................................................................................................................32.1.总体设计......................................................................................................................................32.2.主干网络设计..............................................................................................................................42.3.低端网络设计..............................................................................................................................52.4.应用系统......................................................................................................................................53.管理.....................................................................................................................................................63.1.安全机制......................................................................................................................................63.2.流量监控......................................................................................................................................74.报价......................................................................................................................错误!未定义书签。上海外国语大学校园网一期改造方案21.网络设计背景1.1.背景上海外国语大学的现有校园网已初具规模，由于中心位置搬迁，用户数目扩展和加强管理等多方面的需求，在原有的网络基础上进行改造，进一步完善，加强安全管理，11用户通信监控，提供更多的应用服务。1.2.现有网络概况现有的网络拓扑结构如图所示。其主要交换设备均采用CISCO公司的产品，网络拓扑比较简单，应用服务相对集中。行政楼新楼音像图书馆Catalyst5000Catalyst3000Catalyst3000SUNR上海外国语大学校园网络拓扑结构中央交换设备为Catalyst5000配置情况？边缘交换机为两台Catalyst3000.配置情况？路由器和通信服务器是CISCO2511，8块modem，剩余一个同步口，一个异步口，还可扩展8路电话线路和一路外连专线主服务器为SUN4，设备陈旧，性能较低。无虚网划分，无网管，拨号用户有简单的通讯量统计功能，校内专线用户无统计功能服务主要为Email和，提供与Internet接入。上海外国语大学校园网一期改造方案31.3.改造需求服务多样性：增加服务除现有服务外，可增加计费系统，图书检索，多媒体系统，BBS和FTP，Proxy服务等功能。可管理性：包括对拨号用户和校内专线用户的信息量的统计，对师生访问权限的控制机制和对国外出口的管理。安全性：加强对系统的管理，主机系统应有较强的抗攻击能力，在条件允许的情况下要有虚网划分机制，对网间的信息交换要有安全策略。可扩充性：现有的网络应具有很强的扩展能力，可以满足近期内可预见的用户接入需求，同时具有面向新技术的平滑升级能力。2.网络设计2.1.总体设计1.主干设备：根据目前现有结构和主要设备，在新的网络构架中可以有两种方案可供选择，仍采用以CISCO产品为主，在低端桌面型设备可选用其他厂家的产品，因为在目前情况下，多数非同厂家产品还不可能做到无缝连接，在高端即主干网上采用异构互连的方式可能会带来两个问题互连性问题，虽然连通是可实现的，但由于协议标准的实现方法不同，可能会损失一部分带宽，实际使用的带宽速率要低于声明带宽速率。虚网划分：目前各厂家实现虚网协议方法大多不同，所以在做虚网划分时会带来很多困难，甚至在某些情况下是不可实现的。］采用其他厂商的低端产品（如3COM，Intel等），好处是价格便宜，且在目前低通讯量和负载情况下可以满足需要，在以后的网络升级过程中，可以替换向更低端的用户推2.路由交换与外部互连：外部网络目前仍采用DDN连接方式通过交大与教育网实现连接，暂时还无提高出口带宽的要求，目前所用路由器，有5kpps的包交换能力和一空闲同步口，可以满足近期的扩展要求。如采用虚网技术就需要一个内部虚网间的信息交换的路由器，至少支持4个虚网即4个以太端口上海外国语大学校园网一期改造方案43.主机系统可根据应用系统选择SUN+Solaris，PC+NT和PC+Linux的结构，SUN+Solaris是一种比较安全和稳健的网络服务器结构，而且由于管理员对SUN系统较为熟悉，在管理上有经验，所以在UNIX主机系统中仍采用这种结构。但由于价格较为昂贵，在目前情况下不宜大范围采用。PC+NT：管理简单方便，价格适中，但安全性较差，同时还有缺陷，同一网段数目过多的情况下可能会出现广播风暴。PC+Linux：价格最为便宜，安全性上没有很大的把握，另外无生产厂家提供可靠的技术支持，在出现问题时是没有保障的。4.远程访问远程拨号网络的扩展较为简单，目前现有的通信服务器还可支持8路线路的扩展，只要购置相应的modem和申请电话线路即可。2.2.主干网络设计上海外国语大学校园网络拓扑结构(改造）行政楼新楼音像图书馆Catalyst3000Catalyst3000Catalyst3000Catalyst5000SUNRPCSPCSPCSCatalyst5000：中央交换设备采用原有的Catalyst5000，利用其100MBase-T端口加转换器连接外部新增设备。Catalyst3000WS-C3016B配置情况：（原行政楼）上海外国语大学校园网一期改造方案51.10BaseTRJ-452.AUI3.2扩展槽（WS-X3001上行100BSAE-TX）4.EIA/TIA232console5.AUIDB15SwitchProbe路由交换设备（optional）四10MBaseT端口路由，转发能力在50kpps以上，稳定性好，可靠性高，有一定的filter功能。可采用专用路由器，可选品牌设备：CISCO，Bay，Intel…或用PC路由，在低负荷情况下是可行的，但有技术难点，需要测试其转发能力和可靠性。VLAN1VLAN2VLAN3RSERVERVLANR上海外国语大学校园网络逻辑拓扑结构性能较低，所有应用集中在此机上，一是负载过重，另外给系统安全运行带来了很多不利因素。所以对改造后的网络应用系统提出了如下构想：DNS+Proxy+：PCSever+NT+IIS,根据目前校内用户数目和上网信息资源量，PC+NT是一种比较经济，有效的结构。而且微软的NT系统将所有上面提到了应用集成在NT系统里给管理带来了很大方便。但另一方面需要指出的是NT在安全性和管理角方面有很大不足,需要管理员有较为丰富的经上海外国语大学校园网一期改造方案6验和完善的监控手段和防范机制，可以在突发事件产生时能够迅速恢复和防止再一次入侵FTP+Email+拨号认证：SUN+Solaris|+Tacacsd，这一组服务主要是对内服务，拨号认证服务需要运行在Unix系统上，所以建议采用如上的结构，根据目前用户情况，FTP服务可综合在一起，如今后负载过重时再分离。网管(o)：NT+网管软件，此项为可选，因为以太网的网管虽然不是必须的，但他可以监视网络设备的异常，负载情况和流量。BBS(o)：SUN4，原有的服务器过于老旧，如有需求可做为BBS电子公告牌图书检索(o)：可建立一个富士通系统的前端机，提供友好的WEB用户界面可以随时检索馆藏书籍的出借和库存情况，目前采用PC+Linux的方式比较好（注：o表示optional,是可选的如此次改造不能实现，可在今后的升级中加以实现。）3.管理管理模式上要加强安全方面考虑，和信息流量的控制，3.1.安全机制1·加强主机系统的抗入侵能力，尤其对NT类型的服务器系统。2·应用系统尽可能分布在不同的主机上，关闭不必要的端口，减少入侵途径，在当前情况下，应本着对内对外的服务应分开，关键和非关键的应用分开的原则，将应用系统合理的配置在主机系统上。3·加强对外部用户的访问控制，主要依靠防火墙机制，现在采用的手段是在路由器上设置访问表，和应用静态路由。4·按应用需求应划分虚网，控制校内用户，各部门之间的访问权限。5·加强监督机制，重视线上用户行为的监视和对系统日志的分析，能够及时发现入侵行为，和找到遭入侵后的解决办法。6·恢复备份是系统遭受破坏一种有效的简洁的处理手段，所以对备份工作要重视起来，要做到关键数据一天一次，非变动信息有永久备份，其他信息视情况而定。备份介质可采用硬盘和磁带。备份方式可以是更新备份，增量备份和永久性备份。上海外国语大学校园网一期改造方案73.2.流量监控对主干网络和个分支用户网络实施监控，可以发现网络瓶颈，得到用户访问个信息点的量化数据，掌握用户的不安全