上海外国语大学校园网一期改造方案.doc

《上海外国语大学校园网一期改造方案.doc》由会员分享，可在线阅读，更多相关《上海外国语大学校园网一期改造方案.doc（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目录1. 网络设计背景1.1. 背景1.2. 现有网络概况1.3. 改造需求2. 网络设计2.1. 总体设计2.2. 主干网络设计2.3. 低端网络设计2.4. 应用系统3. 管理3.1. 安全机制3.2. 流量监控4. 报价1. 网络设计背景1.1. 背景上海外国语大学的现有校园网已初具规模，由于中心位置搬迁，用户数目扩展和加强管理等多方面的需求，在原有的网络基础上进行改造，进一步完善，加强安全管理，用户通信监控，提供更多的应用服务。1.2. 现有网络概况现有的网络拓扑结构如图所示。其主要交换设备均采用CISCO公司的产品，网络拓扑比较简单，应用服务相对集中。l 中央交换设备为Catalys

2、t 5000配置情况？l 边缘交换机为两台Catalyst3000.配置情况？l 路由器和通信服务器是CISCO 2511，8块modem，剩余一个同步口，一个异步口，还可扩展8路电话线路和一路外连专线l 主服务器为SUN 4，设备陈旧，性能较低。l 无虚网划分，无网管，l 拨号用户有简单的通讯量统计功能，校内专线用户无统计功能l 服务主要为Email和WWW，提供与Internet接入。1.3. 改造需求l 服务多样性：增加服务除现有服务外，可增加计费系统，图书检索，多媒体系统，BBS和FTP，Proxy服务等功能。l 可管理性：包括对拨号用户和校内专线用户的信息量的统计，对师生访问权限的控

3、制机制和对国外出口的管理。l 安全性：加强对系统的管理，主机系统应有较强的抗攻击能力，在条件允许的情况下要有虚网划分机制，对网间的信息交换要有安全策略。l 可扩充性：现有的网络应具有很强的扩展能力，可以满足近期内可预见的用户接入需求，同时具有面向新技术的平滑升级能力。2. 网络设计2.1. 总体设计1. 主干设备：根据目前现有结构和主要设备，在新的网络构架中可以有两种方案可供选择，l 仍采用以CISCO产品为主，在低端桌面型设备可选用其他厂家的产品，因为在目前情况下，多数非同厂家产品还不可能做到无缝连接，在高端即主干网上采用异构互连的方式可能会带来两个问题u 互连性问题，虽然连通是可实现的，但

4、由于协议标准的实现方法不同，可能会损失一部分带宽，实际使用的带宽速率要低于声明带宽速率。u 虚网划分：目前各厂家实现虚网协议方法大多不同，所以在做虚网划分时会带来很多困难，甚至在某些情况下是不可实现的。l 采用其他厂商的低端产品（如3COM，Intel等），好处是价格便宜，且在目前低通讯量和负载情况下可以满足需要，在以后的网络升级过程中，可以替换向更低端的用户推2. 路由交换与外部互连：l 外部网络目前仍采用DDN连接方式通过交大与教育网实现连接，暂时还无提高出口带宽的要求，目前所用路由器，有5kpps的包交换能力和一空闲同步口，可以满足近期的扩展要求。l 如采用虚网技术就需要一个内部虚网间的

5、信息交换的路由器，至少支持4个虚网即4个以太端口3. 主机系统可根据应用系统选择SUN+Solaris，PC+NT和PC+Linux的结构，l SUN+Solaris是一种比较安全和稳健的网络服务器结构，而且由于管理员对SUN系统较为熟悉，在管理上有经验，所以在UNIX主机系统中仍采用这种结构。但由于价格较为昂贵，在目前情况下不宜大范围采用。l PC+NT：管理简单方便，价格适中，但安全性较差，同时还有缺陷，同一网段数目过多的情况下可能会出现广播风暴。l PC+Linux：价格最为便宜，安全性上没有很大的把握，另外无生产厂家提供可靠的技术支持，在出现问题时是没有保障的。4. 远程访问远程拨号网

6、络的扩展较为简单，目前现有的通信服务器还可支持8路线路的扩展，只要购置相应的modem和申请电话线路即可。2.2. 主干网络设计l Catalyst 5000：中央交换设备采用原有的Catalyst 5000，利用其100M Base-T端口加转换器连接外部新增设备。l Catalyst 3000WS-C3016B配置情况：（原行政楼）1. 10BaseT RJ-452. AUI3. 2扩展槽（WS-X3001上行100BSAE-TX）4. EIA/TIA 232 console5. AUI DB15 SwitchProbe路由交换设备（optional）四10M BaseT端口路由，转发能力

7、在50kpps以上，稳定性好，可靠性高，有一定的filter功能。l 可采用专用路由器，可选品牌设备：CISCO，Bay，Intell 或用PC路由，在低负荷情况下是可行的，但有技术难点，需要测试其转发能力和可靠性。2.3. 低端网络设计参见布线方案2.4. 应用系统现有服务器为1台SUN 4性能较低，所有应用集中在此机上，一是负载过重，另外给系统安全运行带来了很多不利因素。所以对改造后的网络应用系统提出了如下构想：l DNS+Proxy+WWW：PC Sever +NT +IIS,根据目前校内用户数目和上网信息资源量，PC+NT是一种比较经济，有效的结构。而且微软的NT系统将所有上面提到了应

8、用集成在NT系统里给管理带来了很大方便。但另一方面需要指出的是NT在安全性和管理角方面有很大不足,需要管理员有较为丰富的经验和完善的监控手段和防范机制，可以在突发事件产生时能够迅速恢复和防止再一次入侵l FTP+ Email+拨号认证：SUN+Solaris|+Tacacsd，这一组服务主要是对内服务，拨号认证服务需要运行在Unix系统上，所以建议采用如上的结构，根据目前用户情况，FTP服务可综合在一起，如今后负载过重时再分离。l 网管(o)：NT+网管软件，此项为可选，因为以太网的网管虽然不是必须的，但他可以监视网络设备的异常，负载情况和流量。l BBS(o)：SUN4，原有的服务器过于老旧

9、，如有需求可做为BBS电子公告牌l 图书检索(o)：可建立一个富士通系统的前端机，提供友好的WEB用户界面可以随时检索馆藏书籍的出借和库存情况，目前采用PC+Linux的方式比较好（注：o表示optional,是可选的如此次改造不能实现，可在今后的升级中加以实现。）3. 管理管理模式上要加强安全方面考虑，和信息流量的控制，3.1. 安全机制1 加强主机系统的抗入侵能力，尤其对NT类型的服务器系统。2 应用系统尽可能分布在不同的主机上，关闭不必要的端口，减少入侵途径，在当前情况下，应本着对内对外的服务应分开，关键和非关键的应用分开的原则，将应用系统合理的配置在主机系统上。3 加强对外部用户的访问

10、控制，主要依靠防火墙机制，现在采用的手段是在路由器上设置访问表，和应用静态路由。4 按应用需求应划分虚网，控制校内用户，各部门之间的访问权限。5 加强监督机制，重视线上用户行为的监视和对系统日志的分析，能够及时发现入侵行为，和找到遭入侵后的解决办法。6 恢复备份是系统遭受破坏一种有效的简洁的处理手段，所以对备份工作要重视起来，要做到关键数据一天一次，非变动信息有永久备份，其他信息视情况而定。备份介质可采用硬盘和磁带。备份方式可以是更新备份，增量备份和永久性备份。3.2. 流量监控对主干网络和个分支用户网络实施监控，可以发现网络瓶颈，得到用户访问个信息点的量化数据，掌握用户的不安全行为，可以为网

11、络性能分析和故障诊断提供丰富的事实依据，给网络的综合管理带来极大的好处。1. 网管系统：可以在各主要网络交换设备上采集到当前设备的工作状态，掌握各虚网之间的数据流量，和交换设备的各端口的负载情况。2. 网络分析设备：可以在主干网上监视各网段上的包情况，其中包括：l 通讯包总量，丢包率l 包成分，及其所占比重，如IP,IPX.l 各应用包的分配情况：如Ip包中tcp和udp包的百分比，tcp包中telnet，ftp，http等包的比重。l 各IP发包的情况，可以判断网络负载和故障诊断。3. 路由器上的流量控制，限制某些网段或者IP地址的访问权限，与PROXY结合统计用户的出口信息流量。4. Pr

12、oxy服务，由于路由器的限制，可采用Proxy的办法满足用户对校园网外甚至是国外的访问需求，而且这种访问是受控的，可以根据用户的帐号，清楚的了解用户对外访问的信息量5. 拨号用户可根据用户认证机制，掌握用户登录时间，从而估算大概信息及资源的耗费情况。4. 预算项目名称单价数量价格(人民币)说明l Cisco Catalyst3000C3106B$7178WS-X3001$1943or Intel 100M Switch150,00020,000接行政楼交换设备接入可选l SUN Ultra 10A22A22-UEA1Y9J-128cGX7103ASOLD-2.5.1NOV97-47X6540A

13、X6262A10,000.001100,000Email，拨号认证，计费l Cisco Works WindowsCWPC-3.1-SNM PC on NT$3743SNM ON NTCWPC-3.1-OVW$2993HP - openview On NT.450,000CISCO网管l 大楼局域网布线配线架：50.00模块面板：100.00AT&T线：150.00人工费：130.00其他材料：50.00500.0018090,000新楼内布线180信息点含HUBHayes Modem820,000远程拨号网络扩展l 光缆铺设12芯2,700/km4芯1,2000/km人工+材料12,000/

14、km光端头：200/个跳线：300/根30,000园区网连接NT4.0中文版 220.000l 计费软件on Tacacsd10,000110,000l 100M transceiver Bay Networks Model 514 100 MBPX Fiber Optic Transceiver7,500430,000用于100M接入l PC SERVERCompaq/Ps200 PII/233 32M 4,3G SCSI 20,000.0020,000360,000网管平台DNS+WWWProxyl PC WorkstationCompaq DP2000200MMX/32M/2.1G V40彩显12,000560,000开发 l PCWorkstation200MMX/32SDRAM/3.2G 14”彩显7,0007,00020140.000机房l Proxy Server10,000系统集成40,000不可预见费用20,000总计690,000以CISCO价格计算