校园网组网方案课件.pptx

《校园网组网方案课件.pptx》由会员分享，可在线阅读，更多相关《校园网组网方案课件.pptx（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材1编著：斯桃枝等编著：斯桃枝等第第7章校园网章校园网组网方案网方案人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材2编著：斯桃枝等编著：斯桃枝等本章主要内容本章主要内容：某大学校园网某大学校园网简介介网网络结构分析构分析 网网络安全安全设计 网网络系系统综合管理合管理 人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材3编著：斯桃枝等编著：斯桃枝等7.1 某大学校园网某大学校园网简介介7.1.1 原校园网原校园网结构构A大学的一期网大学的一期网络从建成到从建成到现在已在已经将近四年了（如将近四年了（如

2、图7-1所示），所示），核心交核心交换机机为两台两台Extreme 6808交交换机，机，汇聚聚层和接入和接入层交交换机机是是Extreme和和锐捷等多个品牌的捷等多个品牌的产品。品。设备已已经到了更到了更换期；另一方面，要期；另一方面，要对校园网校园网进行行扩建，建，现有核有核心网心网络设备难以承受以承受这么大的么大的压力；随着网力；随着网络技技术的的发展，展，产生生了很多新的了很多新的应用，提出了新的需求，老的用，提出了新的需求，老的设备已已经渐渐不能不能满足足新的新的应用需要，比如用需要，比如组播播应用、硬件用、硬件IPv6的支持等。的支持等。人民邮电出版社人民邮电出版社全国十一五规划教

3、材全国十一五规划教材4编著：斯桃枝等编著：斯桃枝等图7-1 A大学一期网络拓扑结构人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材5编著：斯桃枝等编著：斯桃枝等7.1.2 现状和改造目状和改造目标 在骨干网中，在骨干网中，视频、音、音频、数据流混、数据流混杂在一起在一起进行行传输，如果保，如果保证不了高不了高带宽，将造成网，将造成网络延延迟，因此，因此，对现有的骨干网有的骨干网络进行行升升级，采用新的万兆做骨干，万兆到，采用新的万兆做骨干，万兆到汇聚，千兆到接入，百兆到聚，千兆到接入，百兆到桌面，以保桌面，以保证教育教学的需要。教育教学的需要。以前以前A大学的核心交大学的核心交

4、换机是机是Extreme 6808，运行年限，运行年限较久，久，处理理能力有限，当网能力有限，当网络上出上出现突突发性大流量数据性大流量数据传输时，出，出现假死机假死机或响或响应速度降低的速度降低的现象，因此急需新部署新一代核心交象，因此急需新部署新一代核心交换机。机。原有网原有网络设备在可管理性支持方面不能在可管理性支持方面不能满足足现在网在网络管理的需要。管理的需要。由于校园面由于校园面积较大，信息点分布大，信息点分布较广，与一般企广，与一般企业网相比，校园网相比，校园网用网用户的流的流动性大，信息点存在随意接入使用的性大，信息点存在随意接入使用的问题。现在病毒、非法侵入肆虐，必在病毒、非

5、法侵入肆虐，必须采用新技采用新技术从内部和外部同从内部和外部同时控控制用制用户对网网络资源的源的访问。如身份。如身份认验证、VLAN划分、防病毒、划分、防病毒、入侵入侵检测等。等。随着校园网用随着校园网用户大量大量访问INTERNET，通，通过100M带宽的教科网的教科网访问INTERNET，产生瓶生瓶颈，而，而2M的的备份份链路只能路只能应急使用。急使用。因此必因此必须增加增加备份份链路的路的带宽，改，改变接入接入INTERNET的途径。的途径。人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材6编著：斯桃枝等编著：斯桃枝等7.1.3.改造后的网改造后的网络结构构 A大学骨干网

6、大学骨干网络改造后改造后拟采用采用环状网状网络结构，构，该校园网核心交校园网核心交换机三台构成机三台构成环状状结构，下属构，下属汇聚聚节点分点分别以万兆速率接入到核心以万兆速率接入到核心设备，各接入，各接入设备也通也通过千兆光千兆光纤接入到接入到汇聚聚层设备，实现万兆万兆做骨干，万兆到做骨干，万兆到汇聚，千兆到接入，百兆到桌面的拓扑聚，千兆到接入，百兆到桌面的拓扑结构，如构，如图7-2所示。所示。图7-2 A大学改造后的网络拓扑人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材7编著：斯桃枝等编著：斯桃枝等7.2 网网络结构分析构分析7.2.1 核心核心层核心核心层的功能主要是的

7、功能主要是实现骨干网骨干网络之之间的的优化化传输，核心，核心层设计的重点是冗余能力、可靠性和高速的的重点是冗余能力、可靠性和高速的传输。在核心在核心层设计时需要遵循以下原需要遵循以下原则：可达性 具有足够的路由信息来交换发往网络中任意端设备的数据包；核心层的路由器不应该使用默认的路径到达内部的目的地；聚合路径能够用来减少核心层路由表大小；默认路径用来到达外部的目的地，如互联网上的主机。冗余性 人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材8编著：斯桃枝等编著：斯桃枝等设备冗余；模块冗余；链路冗余。不执行网络策略 任何形式的策略必须在核心层外执行，如数据包的过滤和复杂QoS处理

8、；禁止采用任何降低核心层设备处理能力、或增加数据包交换延迟时间的方法；避免增加核心层路由器配置的复杂程度；可以将网络策略执行放在访问层边界设备上。核心核心节点的交点的交换机有两个基本要求：机有两个基本要求：高密度端口情况下，还能保持各端口的线速转发；关键模块必须冗余，如管理引擎、电源、风扇。在本方案中，核心在本方案中，核心层由三台由三台BigIron RX-8核心交核心交换机构成机构成环状状结构。通构。通过光光纤分分别连接到各接到各汇聚聚层交交换机和机和Packeteer PS10000G流量管理系流量管理系统。人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材9编著：斯桃枝等编

9、著：斯桃枝等7.2.2 汇聚层汇聚聚层连接着接入接着接入层和核心和核心层。汇聚聚层的主要任的主要任务是提供与流量是提供与流量控制、安全及路由相关的策略：包括：控制、安全及路由相关的策略：包括：定义广播和组播域；执行安全和网络策略，包括地址翻译和防火墙策略；VLAN之间的路由选择；部门或者工作组级的访问；布线间连接的汇聚和需要进行的各种介质转换。人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材10编著：斯桃枝等编著：斯桃枝等7.2.3 接入接入层通常将网通常将网络中直接面向用中直接面向用户连接或接或访问公共网公共网络的部分称的部分称为接入接入层。接入。接入层直接面直接面对各个信息

10、各个信息节点的接入，它控制着用点的接入，它控制着用户和工作和工作组对园区网园区网络资源的源的访问。它包括下列功能。它包括下列功能。到汇聚层的工作组连接。建立单独的冲突域（分段）。共享式带宽或交换式带宽。提供灵活的用户接入及扩展。在本方案中使用在本方案中使用STAR-S2100系列交系列交换机做机做为接入接入层设备，通，通过千千兆上行光口与兆上行光口与汇聚交聚交换机机进行行连接。接。人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材11编著：斯桃枝等编著：斯桃枝等7.2.4 外外连设计当今当今时代，任何一个网代，任何一个网络都要考都要考虑与与Internet的的联接接问题。设计目目

11、标与基本原与基本原则 速率 成本 可靠性 服服务提供商的提供商的选择 传统电信运营商 专业网络 联接方式的接方式的选择 以太网接入 DDN接入 基于光技术的接入 人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材12编著：斯桃枝等编著：斯桃枝等外外连设计中的安全考中的安全考虑 本方案中外接本方案中外接INTERNET部分部分 已经开通两条WAN线路，一条100M接入教科网，另一条30M接入科技网。通过Cisco3660路由器接入科技网。通过NE05路由器接入教科网。在对外主线上部署了一台天融信GFW4000-UF/TG-5307防火墙系统。在GFW4000-UF防火墙系统和核心交

12、换机之间的链路上部署一台网络流量优化设备Packeteer PS10000G（通过光口连接），有二个 10/100/1000M Base-T接口；二个 1000M光纤SFP-SX（275m）或LX（5km或20km）接口。有两个插槽可以扩展端口，增配一个LEM2G-1000M-T以太网扩展模块。人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材13编著：斯桃枝等编著：斯桃枝等7.2.5 无无线网网络覆盖覆盖图7-3为A校无校无线网网络与校园网有与校园网有线网网络主干主干连接的示意接的示意图。图7-3 无线网络与校园网有线网络主干连接图人民邮电出版社人民邮电出版社全国十一五规划教材

13、全国十一五规划教材14编著：斯桃枝等编著：斯桃枝等整个校园网整个校园网结构分构分为三三层结构（即核心构（即核心层、汇聚聚层和接入和接入层）。）。所有的无所有的无线接入点接入点AP均通均通过以太网以太网线连接到各自所属的接入接到各自所属的接入层工工作作组交交换机的机的10/100M端口上，再通端口上，再通过有有线千兆以太网的方式千兆以太网的方式连接，接入各大楼的接，接入各大楼的汇聚聚层交交换机机组上，最后接入校园核心交上，最后接入校园核心交换机。机。无无线接入点接入点AP选用用NETGEAR公司的公司的WG102 AP，通，通过免免费软件件升升级支持支持AutoCell技技术。人民邮电出版社人民

14、邮电出版社全国十一五规划教材全国十一五规划教材15编著：斯桃枝等编著：斯桃枝等7.3 网网络安全安全设计7.3.1 接入安全和接入安全和访问安全安全接入安全接入安全锐捷S2100系列接入交换机均支持802.1X用户入网认证，通过锐捷RG-SAM安全认证计费管理系统可满足用户名、IP、MAC、VLAN ID、交换机IP、交换机端口的6元素绑定技术，有效的防止用户擅自修改IP地址和MAC地址。并且可以实现非法站点访问过滤，非法言论的准确追踪，恶意攻击的实时处理，为记录访问日志提供完整审计等安全功能。访问安全安全 FOUNDRY BigIron RX8万兆核心路由交换机支持802.1Q VLAN，可

15、使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术，可实现跨校区的VLAN功能。对于不同访问权限的区域采用ACL访问控制来对不同访问资源进行权限控制。人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材16编著：斯桃枝等编著：斯桃枝等7.3.2病毒攻病毒攻击防御防御防防ARP攻攻击特性特性 在锐捷设备上可以通过以下方式来预防此病毒：BigIron RX8支持动态 ARP 检测（DAI）特性，可以针对用户arp中毒、攻击加以防范。在锐捷S2100接入设备上支持硬件防ARP网关欺骗功能，可屏蔽ARP网关欺骗，有效规避ARP网关欺骗攻击造成的大面积网络瘫痪。3)在S2100上启用

16、保护端口的隔离功能，可隔离ARP广播报文。不管动态分配IP地址环境，还是静态分配IP地址环境，都可限制ARP欺骗报文的扩散。4)在S2100上打开ARP Check功能，结合端口安全绑定功能，可以严格防范和杜绝ARP主机欺骗现象。人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材17编著：斯桃枝等编著：斯桃枝等抗抗DoS攻攻击特性特性 近年来，各种DoS攻击（Denial of Service，拒绝服务）报文在互联网上传播，给互联网用户带来很大烦恼。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。攻击报文主

17、要采用伪装源IP以防暴露其踪迹。针对这种情况，RFC2827提出在网络接入处设置入口过滤（Ingress Filting），来限制伪装源IP的报文进入网络。人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材18编著：斯桃枝等编著：斯桃枝等7.4 网网络系系统综合管理合管理7.4.1网网络管理管理软件件Quidview拓扑管理拓扑管理 图7-4 Quidview拓扑管理图人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材19编著：斯桃枝等编著：斯桃枝等故障管理故障管理 网络故障的处理一般按照以下的流程，首先网管系统应该及时发现网络中存在的故障，然后及时通知管理员进行处

18、理，管理员进行故障定位，发现问题并解决问题，然后通过各种方式将故障处理的经验记录下来，以便以后工作使用。Quidview网络管理软件实现了对故障处理进行全流程的支持。性能管理性能管理 Quidview网络管理软件提供丰富的性能管理功能，协助管理员分析网络资源使用情况，并能够主动上报潜在的性能问题，减少网络拥塞。为了方便用户定制性能采集任务，Quidview提供丢包率、错误包数、带宽利用率等常用指标的缺省采集模板，并支持对采集模板设定缺省阈值，使性能任务的配置更加简单。同时提供折线图、直方图、饼图等多种显示方式，用户可以清晰地了解到流量趋势等变化的时间规律。人民邮电出版社人民邮电出版社全国十一五

19、规划教材全国十一五规划教材20编著：斯桃枝等编著：斯桃枝等配置管理配置管理 Quidview产品支持网络配置基线化能力，当设备配置基本稳定后，用户可以将这些配置备份到服务器，同时指定备份版本作为基线版本。当网络配置出现问题时，可以及时用基线版本进行配置恢复，保证网络从故障中尽快恢复。配置管理功能还能够定期主动检查网络配置的变化，并将变化及时通知给管理员，这样管理员可以及时发现网络配置变化，特别是尽早发现恶意或错误的配置，从而保证网络的稳定性。资源拓扑管理源拓扑管理 Quidview网管平台可以在拓扑图中发现所有可网管设备，以相应的图标表示在拓扑图中，如图7-5所示。人民邮电出版社人民邮电出版社

20、全国十一五规划教材全国十一五规划教材21编著：斯桃枝等编著：斯桃枝等图7-5 Quidview资源拓扑管理界面图人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材22编著：斯桃枝等编著：斯桃枝等告警管理告警管理 对于第三方厂商设备的告警，Quidview可以全部接收并对其中的标准告警进行解析，Quidview告警管理界面图如图7-6所示。图7-6 Quidview告警管理界面图 人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材23编著：斯桃枝等编著：斯桃枝等性能管理性能管理 Quidview系统可以对第三方设备进行通用性能监视，包括接口的流量监视，利用率监视，设备

21、IP包转发，设备响应时间的监视等。同时如果需要针对特殊设备性能的检视，可通过增加自定义性能模板脚本来达到要求,Quidview性能管理界面图如图7-7所示。图7-7 Quidview性能管理界面图人民邮电出版社人民邮电出版社全国十一五规划教材全国十一五规划教材24编著：斯桃枝等编著：斯桃枝等7.4.2 NTA网网络流量流量监控控软件件 利用利用NTA网流分析系网流分析系统对从学校内数据从学校内数据进行行统计分析，就能从中分析，就能从中提取出网提取出网络流量特征，从而流量特征，从而为网网络管理管理员提供一提供一张丰富而丰富而详尽的尽的网网络利用利用视图。优化网化网络和异常流量分析和异常流量分析 通过NetStream流量分析，可以统计网络流量总数，分析流量的分布，便于网络管理员掌握网络利用状况，尽早发现网络结构的不合理，及各种由于病毒爆发而导致的异常流量，优化网络结构，制定网络扩容规划，以有力的数据实现以最小网络管理成本达到最佳的网络性能和服务。业务应用用/服服务质量量监控控 Xlog流量流量报表表 用户可根据统计分析的需求，自定义报表生成规则，由报表引擎生成报表，并将统计分析的结果以柱状图、饼图、曲线图、统计信息表格等直观的形态展示出来。