大学校园网设计实例

第7章大学校园网设计实例大学校园网设计实例•总体规划•详细设计•某大学有两个校区–本部——外语学院、信息工程学院–东校区——经济管理学院1.网络拓扑结构•网络拓扑结构是决定网络性能的主要技术之一，同时在很大程度是也决定了网络系统的可靠性、传输速度和通信效率。网络拓扑结构与网络布线系统也有着密切的关系，将对整个网络系统的工程投资产生重要的影响。•校园网一般由汇聚主干层和用户接入层两部分组成。目前，网络主干主要采用星型拓扑结构。123456789101112AB12x6x8x2x9x3x10x4x11x5x7x1xEthernetA12x6x8x2x9x3x10x4x11x5x7x1xC123456789101112AB12x6x8x2x9x3x10x4x11x5x7x1xEthernetA12x6x8x2x9x3x10x4x11x5x7x1xC办公楼教学楼核心交换机123456789101112AB12x6x8x2x9x3x10x4x11x5x7x1xEthernetA12x6x8x2x9x3x10x4x11x5x7x1xC123456789101112AB12x6x8x2x9x3x10x4x11x5x7x1xEthernetA12x6x8x2x9x3x10x4x11x5x7x1xC123456789101112AB12x6x8x2x9x3x10x4x11x5x7x1xEthernetA12x6x8x2x9x3x10x4x11x5x7x1xC123456789101112AB12x6x8x2x9x3x10x4x11x5x7x1xEthernetA12x6x8x2x9x3x10x4x11x5x7x1xC防火墙连接CERNET地区节点123456789101112AB12x6x8x2x9x3x10x4x11x5x7x1xEthernetA12x6x8x2x9x3x10x4x11x5x7x1xCMAILDNS实验楼科研楼图书馆家属楼、宿舍楼DMZ•在设计上，每个二级节点至少有两条链路与中心节点相连，当一条链路发生故障时，网络信息可自动路由到另一条冗余链路上传输，提高网络可靠性。•接入层一般采用星型拓扑结构，因为星型拓扑结易于管理维护和扩展，可实现带电接入与拆除，并且对整个网络运行无任何影响。•因此，整个校园网是由多个星型组成的树状拓扑，桌面计算机是叶子节点。•目前在企业或校园这样的园区网中，普遍采用无可争议的千兆以太网作为主干网技术。•楼内局域网采用快速以太网（10/100Mbps自适应）。•为了对操作平台和应用软件有大量的支持，以及和Internet实现连接，应选择TCP/IP协议作为整个网络的通信协议。2.综合布线•信息点分布到两个校区所有办公楼、实验楼、图书馆以及多媒体教室等，本部学生楼和教师生活区楼要连入校园网。•综合布线系统为计算机联网和话音通信提供必要的规范化的物质基础。•布线系统设计应按照“总体规划、分布实施，水平布线尽量一步到位”的原则进行。•园区大楼之间的光纤尽可能一次性铺设，避免沟道的重新挖填，光纤在长度和芯数上都应留有一定的余量和备份，以防大楼拆迁、线路故障和带宽扩容。•同时，布线系统必须满足灵活应用和模块化的要求，即任一信息点能够连接不同类型的设备，如计算机、打印机、终端或电话、传真机。•对于会议室、报告厅以及布线不太方便只是临时需要信息点的地方可以搭建无线局域网。•对于教学楼、家属楼等信息点非常少的地方，配线间的选择非常重要。3.Internet连接•所有校区都要能够访问Internet，并且保证本部Internet出口的鲁棒性，保证24小时不间断运行。•校本部给出两路：Chinanet和Cernet–到Chinanet的出口通过路由器采用ADSL专线实现与Internet连接，出口速率可达1Mbit/s，–到Cernet的出口通过路由器的1000M以太网口采用光纤与Cernet地区级节点连接。•分校通过当地电信部门通过10M的光纤专线连入Internet。4.校区互连•为便于管理，实行集中式管理，在本部建立网络中心，所有服务器放置本部。为了实现网上办公和相关的信息处理和查询，东区要能够安全访问到本部的教务、办公等所有必要信息。•校区之间的互连方式很多，如DDN、ISDN、FR等，但这些方式运行费用昂贵，考虑到两个分校区与本部之间的流量不是很大，主要是一些办公信息和教务信息等，目前采用VPN不失为一种安全可靠、价格低廉的互连方式。5.Internet服务•申请域名以及合法IP地址块，架设信息发布、邮件系统等常用服务器。•申请到合法域名****.edu.cn及合法IP地址块206.0.68.0/22，拟购买服务器架设、DNS、Mail等服务器。6.应用系统•能够在网络上运行各种应用系统：–财务系统–教务系统–办公系统–网上视频会议–视频点播7.网络安全与管理•保证校园网内部系统的足够安全，以及校区间信息传输的安全，保证主要服务器的系统安全，建立全校防病毒系统。•提供完整和方便的网络管理功能，主要包括网络设备的安全管理以及计费管理。7.网络安全与管理•网络安全是一个体系结构，涉及整个办公环境的各个方面，包括人员和设备，包括信息的驻留点以及沿途经过的各个中间环节，从物理层到应用层都要小心对待。•不仅要防止来自校园网外部的黑客入侵，还要防止来自校园网内部的恶意破坏。•既要保证信息的开放性，又要保证教务财务等信息的完整性。•不仅要保证数据的存储安全可靠。还要保证数据在传输过程中的安全保密。7.网络安全与管理•校园网是一个庞大的系统，信息点、网络设备分布在校区的各个角落，校园网用户也分很多种，有教师、学生、行政人员、普通职工，有办公楼、教学楼、宿舍楼、家属楼等，因此如何有效的管理也是园区网管理认真思考的问题。详细设计•1.设备选型•2.Internet接入•3.VLAN规划•4.IP地址规划•5.路由规划•6.对外发布站点•7.开放机房•8.无线接入•9.安全及管理1.设备选型•一是满足需求–满足需求不是指简单地满足用户现有的需求，而应该综合考虑用户在将来的一段比较长的时间内的扩展性。当然，设备的选型也不能超前太多，一定要经济实用。比如Cisco2600系列路由器就能够满足用户现在以及将来的需求，如果上一个3600系列，尽管也满足了要求，但毕竟存在太大的资源浪费。•二是经济实用。–对于模块化的网络设备，要注意模块的有效利用，同时建议模块到要用的时候再购买，因为设备的价格一般是越来越便宜，同时也防止厂家推出价位相同但功能更强的换代产品。1.设备选型•用户希望购买新的网络设备能够使已有的网络设备得到最大程度的利用，注意：–一是注意设备之间的连接模块，连接方式是否经济有效；–二是在技术上，要考虑不同厂家产品的兼容性问题1.设备选型•对于园区网来讲，核心交换机必须具有3层交换功能，背板带宽和包转发速率是要考虑的两个性能特征。•接入层交换机没有特殊要求，目前首选2950系列交换机或3550系列交换机。2.Internet接入•较大的高校校园网一般采取专线接入的方式，目前常用的是光纤以太网接入。•为防止单条链路出现故障，还往往申请一条ADSL线路通过Chinanet连入Internet。3.VLAN规划•一个规模较大的园区网，下属很多二级单位，一般采用VLAN技术，按照二级部门划分成多个相对独立的虚拟局域网。•尽管VLAN允许处于不同地理位置的网络用户加入到一个逻辑子网中，共享一个广播域，但绝大多数二级单位的用户处在同一个地理位置（如一栋大楼等），因此VLAN中与地理位置无关的逻辑概念体现得不是太明显。•尽管这样，为了安全起见，仍然划分VLAN，这样可以保证网段之间在数据链路层开始真正地相对独立。3.VLAN规划VLAN标识VLAN名称所属单位1manage网络管理2foreign外国语学院3Economic经济管理学院4Information信息工程学院5Service其他处级单位4.IP地址规划•当申请的合法IP数量较多时，首先主要以合法IP进行地址规划，不够时再考虑保留IP•当申请的合法IP数量很少时，用保留地址进行规划，少量的合法IP用于Internet服务器。4.IP地址规划•该校申请到了206.0.68.0/22地址块，也就是4个C类地址，根据每个单位信息点的数量情况，IP大致分配如表所示。单位信息点数量信息工程学院约240经济管理学院约200外国语学院约120机关部处约110DMZ约20网络设备约40预留未使用4.IP地址规划•对于机房、家属楼、宿舍楼等主要以访问其他资源为主的主机来讲，建议采用保留IP地址，在边缘处启用NAT转换以节省合法IP的使用。•另外，对于用户比较集中，位置相对固定的信息点，如办公室等，建议分配静态IP，这对于故障管理很重要。5.路由规划Internet核心交换机防火墙DMZVLANserviceVLANforeignVLANinfomationVLANmanageVLANeconomic本部东区5.路由规划•核心3层交换机实现VLAN之间的相互访问。•由于所有用户还需要访问Internet，因此，在3层交换机、防火墙以及出口路由器上还要设置一条指向Internet的默认路由。•对于出口路由器来讲，所有内部网段，包括DMZ区都是非直连的，因此，需要设置静态路由条目使它们指向这些网段。•在设置防火墙的路由条目时，可以当作路由器按照前面所讲的非直连设置静态路由的方法逐一设置。•需要注意的是，东区和本部通过Internet实现VPN互连，为节省费用，不使用专用VPN硬设备，而使用位于DMZ区的一台性能较好的RRAS作为VPN接入服务器，因此，丝毫不影响其他设备的路由配置。6.对外发布站点•DMZ是英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。•它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于内部网络和外部网络之间的小网络区域内。•在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。•另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。6.对外发布站点•DMZ区的安全等级高于外网低于内网，防火墙的默认规则是允许安全等级高的访问安全等级低的，禁止安全等级低的访问安全等级高的。•因此，防火墙不需要设置规则就可以实现内网访问到DMZ区，但外网访问到DMZ区。•对于学校来讲，站点的主要目的就是对外发布信息，必须让外网能够访问到，为了到达这个目的，可以在防火墙上添加一些规则，开放DMZ区所在服务器的IP以及相应的端口。6.对外发布站点•DMZ区通常放置的服务器有邮件服务器、服务器等，当然也可以放置一些其他有特殊用途、需要外网访问的服务器。•对于某些信息化程度比较高的二级部门，如信息工程学院，为了教学和科研的需要，需要给全院教师一个独立的域名，该域名可用于HTTP和FTP。为了管理方便，该学院网管员向学校网络中心申请了独立域名，即IE.xxu.edu.cn。7.开放机房•在大学校园里，存在大量的各种各样的开放式机房，通常这些计算机连成一个局域网，除具备一般的互访外，通常还要求这些计算机能够访问到Internet。•最简单的方法是给这些计算机分配合法IP地址，通过交换机连入到校园网内就可以了。但由于合法IP地址数量有限，根本无法满足几个甚至几十个开放机房以及全校日益增多的计算机的需要，这种情况下，通常尽可能使用保留IP地址。8.无线接入•对于会议室或临时需要搭建网络的地方，无线局域网不失为最经济最快捷的解决方案。•常用的无线设备有两种：•无线访问点AP•无线路由器台式机装有USB或PCI无线网卡笔记本装有PCMCIA无线网卡123456789101112AB12x6x8x2x9x3x10x4x11x5x7x1xEthernetA12x6x8x2x9x3x10x4x11x5x7