校园网组网方案.ppt

《校园网组网方案.ppt》由会员分享，可在线阅读，更多相关《校园网组网方案.ppt（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、局域网技术与局域网组建,第7章校园网组网方案,本章主要内容： 某大学校园网简介 网络结构分析 网络安全设计 网络系统综合管理,7.1 某大学校园网简介7.1.1 原校园网结构,A大学的一期网络从建成到现在已经将近四年了（如图7-1所示），核心交换机为两台Extreme 6808交换机，汇聚层和接入层交换机是Extreme和锐捷等多个品牌的产品。 设备已经到了更换期；另一方面，要对校园网进行扩建，现有核心网络设备难以承受这么大的压力；随着网络技术的发展，产生了很多新的应用，提出了新的需求，老的设备已经渐渐不能满足新的应用需要，比如组播应用、硬件IPv6的支持等。,图7-1 A大学一期网络拓扑结构

2、,7.1.2 现状和改造目标,在骨干网中，视频、音频、数据流混杂在一起进行传输，如果保证不了高带宽，将造成网络延迟，因此，对现有的骨干网络进行升级，采用新的万兆做骨干，万兆到汇聚，千兆到接入，百兆到桌面，以保证教育教学的需要。 以前A大学的核心交换机是Extreme 6808，运行年限较久，处理能力有限，当网络上出现突发性大流量数据传输时，出现假死机或响应速度降低的现象，因此急需新部署新一代核心交换机。 原有网络设备在可管理性支持方面不能满足现在网络管理的需要。 由于校园面积较大，信息点分布较广，与一般企业网相比，校园网用户的流动性大，信息点存在随意接入使用的问题。 现在病毒、非法侵入肆虐，必

3、须采用新技术从内部和外部同时控制用户对网络资源的访问。如身份认验证、VLAN划分、防病毒、入侵检测等。 随着校园网用户大量访问INTERNET，通过100M带宽的教科网访问INTERNET，产生瓶颈，而2M的备份链路只能应急使用。因此必须增加备份链路的带宽，改变接入INTERNET的途径。,7.1.3. 改造后的网络结构,A大学骨干网络改造后拟采用环状网络结构，该校园网核心交换机三台构成环状结构，下属汇聚节点分别以万兆速率接入到核心设备，各接入设备也通过千兆光纤接入到汇聚层设备，实现万兆做骨干，万兆到汇聚，千兆到接入，百兆到桌面的拓扑结构，如图7-2所示。,图7-2 A大学改造后的网络拓扑,7

4、.2 网络结构分析7.2.1 核心层,核心层的功能主要是实现骨干网络之间的优化传输，核心层设计的重点是冗余能力、可靠性和高速的传输。 在核心层设计时需要遵循以下原则： 可达性 具有足够的路由信息来交换发往网络中任意端设备的数据包； 核心层的路由器不应该使用默认的路径到达内部的目的地； 聚合路径能够用来减少核心层路由表大小； 默认路径用来到达外部的目的地，如互联网上的主机。 冗余性,设备冗余； 模块冗余； 链路冗余。 不执行网络策略 任何形式的策略必须在核心层外执行，如数据包的过滤和复杂QoS处理； 禁止采用任何降低核心层设备处理能力、或增加数据包交换延迟时间的方法； 避免增加核心层路由器配置的

5、复杂程度； 可以将网络策略执行放在访问层边界设备上。 核心节点的交换机有两个基本要求： 高密度端口情况下，还能保持各端口的线速转发； 关键模块必须冗余，如管理引擎、电源、风扇。 在本方案中，核心层由三台BigIron RX-8核心交换机构成环状结构。通过光纤分别连接到各汇聚层交换机和Packeteer PS10000G流量管理系统。,7.2.2 汇聚层,汇聚层连接着接入层和核心层。汇聚层的主要任务是提供与流量控制、安全及路由相关的策略：包括： 定义广播和组播域； 执行安全和网络策略，包括地址翻译和防火墙策略； VLAN之间的路由选择； 部门或者工作组级的访问； 布线间连接的汇聚和需要进行的各种

6、介质转换。,7.2.3 接入层,通常将网络中直接面向用户连接或访问公共网络的部分称为接入层。接入层直接面对各个信息节点的接入，它控制着用户和工作组对园区网络资源的访问。它包括下列功能。 到汇聚层的工作组连接。 建立单独的冲突域（分段）。 共享式带宽或交换式带宽。 提供灵活的用户接入及扩展。 在本方案中使用STAR-S2100系列交换机做为接入层设备，通过千兆上行光口与汇聚交换机进行连接。,7.2.4 外连设计,当今时代，任何一个网络都要考虑与Internet的联接问题。 设计目标与基本原则 速率 成本 可靠性 服务提供商的选择 传统电信运营商 专业网络 联接方式的选择 以太网接入 DDN接入

7、基于光技术的接入,外连设计中的安全考虑 本方案中外接INTERNET部分 已经开通两条WAN线路，一条100M接入教科网，另一条30M接入科技网。 通过Cisco3660路由器接入科技网。 通过NE05路由器接入教科网。 在对外主线上部署了一台天融信GFW4000-UF/ TG-5307防火墙系统。 在GFW4000-UF防火墙系统和核心交换机之间的链路上部署一台网络流量优化设备Packeteer PS10000G（通过光口连接），有二个 10/100/1000M Base-T接口；二个 1000M光纤SFP-SX（275m）或LX（5km或20km）接口。有两个插槽可以扩展端口，增配一个LE

8、M2G-1000M-T以太网扩展模块。,7.2.5 无线网络覆盖,图7-3为A校无线网络与校园网有线网络主干连接的示意图。,图7-3 无线网络与校园网有线网络主干连接图,整个校园网结构分为三层结构（即核心层、汇聚层和接入层）。 所有的无线接入点AP均通过以太网线连接到各自所属的接入层工作组交换机的10/100M端口上，再通过有线千兆以太网的方式连接，接入各大楼的汇聚层交换机组上，最后接入校园核心交换机。 无线接入点AP选用NETGEAR公司的WG102 AP，通过免费软件升级支持AutoCell技术。,7.3 网络安全设计7.3.1 接入安全和访问安全,接入安全 锐捷S2100系列接入交换机均

9、支持802.1X用户入网认证，通过锐捷RG-SAM安全认证计费管理系统可满足用户名、IP、MAC、VLAN ID、交换机IP、交换机端口的6元素绑定技术，有效的防止用户擅自修改IP地址和MAC地址。并且可以实现非法站点访问过滤，非法言论的准确追踪，恶意攻击的实时处理，为记录访问日志提供完整审计等安全功能。 访问安全 FOUNDRY BigIron RX8万兆核心路由交换机支持802.1Q VLAN，可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术，可实现跨校区的VLAN功能。 对于不同访问权限的区域采用ACL访问控制来对不同访问资源进行权限控制。,7.3.2病毒攻击防御,防ARP攻

10、击特性 在锐捷设备上可以通过以下方式来预防此病毒： BigIron RX8支持动态 ARP 检测（DAI）特性，可以针对用户arp中毒、攻击加以防范。 在锐捷S2100接入设备上支持硬件防ARP网关欺骗功能，可屏蔽ARP网关欺骗，有效规避ARP网关欺骗攻击造成的大面积网络瘫痪 。 3) 在S2100上启用保护端口的隔离功能，可隔离ARP广播报文。不管动态分配IP地址环境，还是静态分配IP地址环境，都可限制ARP欺骗报文的扩散。 4) 在S2100上打开ARP Check功能，结合端口安全绑定功能，可以严格防范和杜绝ARP主机欺骗现象。,抗DoS攻击特性 近年来，各种DoS攻击（Denial o

11、f Service，拒绝服务）报文在互联网上传播，给互联网用户带来很大烦恼。 DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。 攻击报文主要采用伪装源IP以防暴露其踪迹。 针对这种情况，RFC2827提出在网络接入处设置入口过滤（Ingress Filting），来限制伪装源IP的报文进入网络。,7.4 网络系统综合管理7.4.1网络管理软件Quidview,拓扑管理,图7-4 Quidview拓扑管理图,故障管理 网络故障的处理一般按照以下的流程，首先网管系统应该及时发现网络中存在的故障，然后及时通知管理员进行处理，管

12、理员进行故障定位，发现问题并解决问题，然后通过各种方式将故障处理的经验记录下来，以便以后工作使用。Quidview网络管理软件实现了对故障处理进行全流程的支持。 性能管理 Quidview网络管理软件提供丰富的性能管理功能，协助管理员分析网络资源使用情况，并能够主动上报潜在的性能问题，减少网络拥塞。 为了方便用户定制性能采集任务，Quidview提供丢包率、错误包数、带宽利用率等常用指标的缺省采集模板，并支持对采集模板设定缺省阈值，使性能任务的配置更加简单。同时提供折线图、直方图、饼图等多种显示方式，用户可以清晰地了解到流量趋势等变化的时间规律。,配置管理 Quidview产品支持网络配置基线

13、化能力，当设备配置基本稳定后，用户可以将这些配置备份到服务器，同时指定备份版本作为基线版本。 当网络配置出现问题时，可以及时用基线版本进行配置恢复，保证网络从故障中尽快恢复。 配置管理功能还能够定期主动检查网络配置的变化，并将变化及时通知给管理员，这样管理员可以及时发现网络配置变化，特别是尽早发现恶意或错误的配置，从而保证网络的稳定性。 资源拓扑管理 Quidview网管平台可以在拓扑图中发现所有可网管设备，以相应的图标表示在拓扑图中，如图7-5所示。,图7-5 Quidview资源拓扑管理界面图,告警管理 对于第三方厂商设备的告警，Quidview可以全部接收并对其中的标准告警进行解析，Qu

14、idview告警管理界面图如图7-6所示。,图7-6 Quidview告警管理界面图,性能管理 Quidview系统可以对第三方设备进行通用性能监视，包括接口的流量监视，利用率监视，设备IP包转发，设备响应时间的监视等。同时如果需要针对特殊设备性能的检视，可通过增加自定义性能模板脚本来达到要求, Quidview性能管理界面图如图7-7所示。,图7-7 Quidview性能管理界面图,7.4.2 NTA网络流量监控软件,利用NTA网流分析系统对从学校内数据进行统计分析，就能从中提取出网络流量特征，从而为网络管理员提供一张丰富而详尽的网络利用视图。 优化网络和异常流量分析 通过NetStream流量分析，可以统计网络流量总数，分析流量的分布，便于网络管理员掌握网络利用状况，尽早发现网络结构的不合理，及各种由于病毒爆发而导致的异常流量，优化网络结构，制定网络扩容规划，以有力的数据实现以最小网络管理成本达到最佳的网络性能和服务。 业务应用/服务质量监控 Xlog流量报表 用户可根据统计分析的需求，自定义报表生成规则，由报表引擎生成报表，并将统计分析的结果以柱状图、饼图、曲线图、统计信息表格等直观的形态展示出来。,