《毕业设计(论文)湖南民政职院校园网改造方案的设计与实现.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)湖南民政职院校园网改造方案的设计与实现.doc(65页珍藏版)》请在三一办公上搜索。
1、第一章 绪论 湖南民政职业学院其前身是创建于1959年的“湖南第一民政学校”。1981年12月,学校升格为三年制高等专科学校,更名为“湖南民政专科学校”,受湖南市高教局领导。2001年4月经湖南市政府批准、国家教育部备案,成为全日制的高等职业学校,定名为湖南民政职业学院。2003年,学院被市教委列为“湖南市示范性高等职业技术学院建设单位”之一,获2004-2005年度和2006-2007年度连续两届“长沙市文明单位”称号。 在2000年6月筹建之初,学院已将校园的信息化建设列入重点,投资三百多万元人民币进行校园网建设,实现了用餐、阅览、上机一卡通。为了进一步完善信息管理,还先后开发和引进了通用
2、性更好的管理系统:图书管理系统、教务管理系统、公共信息查询系统、电子公文流转系统等,基本实现了校园一卡通的功能。2005年结合新的教学楼、实验楼建设,又出资进行了新楼网络建设和旧网改造工程。至今,光纤到楼学院建有1个网络中心,通过中心交换机和路由器,向外呈辐射状,用千兆光纤连接院内各建筑,实现了点到点的通信。学院网络采用星型结构,行政、办公和教学区使用8M带宽ATM专线上网,远程教育使用10M光纤接入教科网,计算机机房和电子阅览室使用2M宽带上网,还设有远程职业培训、白玉兰妇女培训、农村专技人员培训等的远程卫星网。校园网网络终端遍布行政、教学、实验、图书馆和生活区(包括教师公寓、学生公寓、浴室
3、和食堂等)。每个计算机机房、专业实验室、电子阅览室和近5O个多媒体教室,都能轻松上网,有效地实现了校内外的资源共享和信息交流。 但经过近几年的网络建设和运行,目前发现存在一些问题: 1.网络可靠性差 由于网络结构中没有设备、电源、线路等的冗余和负载均衡,中心核心设备或分中心设备故障等问题出现直接导致了大面积的网络中断,影响网络的正常运行,且每次出现问题后网管人员需要作出相应响应,网络不具有自动愈合功能。2.网络安全性差 由于教学、办公、公共机房等的计算机管理责任不明确,以及管理不善,经常造成IP地址冲突、计算机感染病毒造成网络拥塞、国际流量异常以及资料泄密等安全事故,这些事件的发生严重影响了学
4、院网络运行的安全性和可靠性。3.用户管理、认证效果差 上网没有计费认证系统,P2P等软件占用大量带宽,网络经常拥堵。4.网络应用平台繁多和孤立 在校园网上运行有校园卡系统一套,OA一套,教务管理系统一套,网络教学平台两套,图书馆管理系统平台一套等一系列平台,但这些平台都彼此孤立和不能互相兼容,致使用户登陆每一个平台都需要输入不同的帐户和密码,特别是网络教学平台利用率极低,使投资浪费。 所以,针对以上情况,学院信息化领导小组专门立项,要尽量避免上述问题的产生,要进行统一的规划设计,改善网络的安全性和稳定性,这就是本课题的由来。结合实际建网情况和前期网络建设,在充分研究了目前国内外网络界对校园网设
5、计所采用的各种网络主干技术,并充分考虑到技术发展的主流和趋势后,选择万兆以太网为目标构建湖南民政学院的校园网,设计“核心层之间万兆链路,核心层到汇聚层千兆主干、百兆交换桌面”的网络拓扑结构。考虑到校园网管理的智能化和校园网发展的良性循环,要求能够通过统一的用户管理平台实现基于802.1X协议的全分布式校园安全认证计费目标。整个网络能够实现:高性能、高可靠性、高稳定性、高安全性、可运营、可管理、可增值的智能安全网络。 经过未来几年的努力,校园网作为整个信息化建设的重要基础设施,将建成一个高速、开放、先进、智能的计算机信息网络平台。在将来,湖南民政职业学院的校园将是一个网络化、数字化、智能化有机结
6、合的新型校园。一 湖南民政职业学院校园建筑布局图1-1: 二 校园网所需信息点的分布图1-2:名称语音数据实训楼30382教学楼A4668行政楼48100图书馆28188学生公寓78186教工楼78192教学楼B8862信息中心1586合计4111264 第二章 网络现状及需求分析一 网络现状现学院网络为二层扁平结构(未启用三层交换),学生和教师网段分开,相互之间不能访问。学生采用2M FTTB+LAN接入互联网,教师采用8M电信光纤接入互联网。局域网核心采用一台锐捷56506交换机,汇聚和接入层分别是使用Cisco、锐捷等各种型号的交换机。整个校园网拓扑如下图2.1:湖南民政职业学院校园网拓
7、扑该网络存在以下缺陷:1)局域网单核心架构。所有数据均通过核心交换,一旦核心出现故障,即造成网络全面瘫痪。2)内部网交换机品种繁多,新旧混杂,旧款交换机超龄使用,部分业务模块已失效。3) 学生网出口使用SOHO型路由器,负载低,抗击能力及安全防范性差。4) 缺少网络管理监控系统软件,导致网络管理不便,维护困难。5) 接入层交换机为非网管交换机,无法管理,易受攻击造成网络局部瘫痪。6) 无接入控制措施,网络安全性差,连接数与流量无法控制,容易给网络主干造成冲击。7)网络未启用三层交换,无法实现VLAN间互访与VLAN间访问控制,设备功能使用率低下。8)汇聚层使用接入层设备,数据交换能力弱,易造成
8、拥塞甚至瘫痪。二 需求分析 为建设先进、实用、可靠、安全和可扩展的校园网络,经研究,提出以下建设需求。 1)网络升级为双核心架构。 2)替换老旧交换机。 3)替换接入层非网管交换机。 4)增加高性能路由器。 5)使用堆叠技术扩展接入层容量、并提供高可管理性和减少网络直径。 6)使用认证计费软件提供安全接入。 7)替换高性能汇聚交换机,提高区域交换容量。 8)统一规划校园网地址。 9)新增连入教科网的光缆。第三章 网络改造方案的设计一 网络设计原则 计算机网络系统设计必须要求按照统一规划、统一标准的原则,总体设计,提供一个技术先进、结构合理、安全可靠的综合网络平台,为网络信息的快速传递和各类应用
9、系统建设提供有力保障。在设计网络时,需要遵循以下原则: 1)实用性和先进性 采用先进成熟的技术满足各类业务需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。 2)安全可靠性 为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。 3)灵活
10、性和可扩展性 计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据学院不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。 4)开放性和互连性 具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。 5)经济性和投资保护 应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。能以较低
11、的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留延长己有系统的投资,充分利用以往在资金与技术方面的投入。 6)可管理性 由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。二 网络改造方案概述 经过合
12、理规划,针对学院网络系统的具体需求,在总体网络设计时采用层次化和模块化设计。从网络的逻辑结构来看,结合本校网络改造的特点,将继续采用三层结构构建核心层、汇聚层及接入层。并通过选用可扩展至万兆的核心设备,为校园网未来的升级改造预留空间。本次改造还将通过建设网管平台,接入认证,接入层可网管,替换老旧设备等工作来构建新的网络系统,使得整个网络系统具有先进性、稳定性、安全性等众多特点,完全可以满足现在及未来数年内的发展需要。 改建后的网络系统拓扑图如下图3.1:图3.1新的校园网拓扑图三 组网方案(一)核心层 整个核心层的功能主要是连接各个汇聚点和边缘路由器,实现这些区域和设备的线速流量转发。采用V
13、RRP技术,通过双核心的架构使得整个核心层既做到负载均衡又实现了冗余性。本次校园网改造采用2台锐捷S7606交换机作为网络核心首选,并提供Cisco 6509E交换机可选。核心设备采用千兆光纤连接各汇聚点,并有扩展至万兆的能力。锐捷57606系列交换机具有以下特性: RG-S7600系列交换机是锐捷网络推出的以业务为核心、面向下一代网络的万兆骨干路由交换机,提供大容量、高密度、模块化体系架构,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计,满足现代网络的多种业务承载融合和业务灵活分类、分流的组网需求。可以根据
14、用户的需求灵活配置,构建弹性可扩展的现代IP网络。 RG-S7600系列交换机为锐捷网络的高端产品之一,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是小型网络核心和大型网络骨干交换机的理想选择。 全兼容、模块化系列产品 RG-S7600系列交换机目前提供57604(4槽)、S7606(6槽)、S7610(10槽)3款模块化产品,可以满足不同规模企业不同网络层次的应用需求,同时这些模块化机架式交换机采用统一的硬件和软件平台,完全兼容的线卡,以及与锐捷面向十万兆平台的高端产品RG-S8600/S9600相同的软件版本,可以适应不断发展的企业网络,充分保
15、护用户的投资。高安全保障措施1)物理安全: RG-S7606/57610提供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保障措施。 主机实时检测CPU的使用状态,并提供业界领先的硬件CPU保护技术(CPP,CPU Protect Policy),CPP技术对发往CPU的数据进行流区分和流限速,避免非法攻击包对CPU的攻击和资源消耗。 2)病毒和攻击防护: 面对现在网络环境越来越多的网络病毒和攻击威胁,RG-S7600系列交换机提供强大的网络病毒和攻击防护能力: 提供业界最为强大的ACL特性,基于SPOH技术提供IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术,支持IPV4
16、/IPV6双栈下的输入输出ACL 。支持硬件防源IP地址欺骗、防DOS/DDOS攻击,防IP扫描等功能提供多端口同步监控技术,支持灵活的网络监控,提升网络监控能力 3)设备管理安全: 提供SSH的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理 SNMPV3提供加密和鉴别功能:确保数据从合法的数据源发出(引擎ID );确保数据在传输过程中不被篡改(采用MDS和SHA认证协议);加密报文,确保数据的机密性(采用DES56加密协议) 4)接入安全: 硬件支持IP, MAC、端口绑定,提高用户接入控制能力。 支持802.1X
17、技术,满足6元素绑定接入限制 支持IGMP源端口检查,可有效控制非法组播源,提高网络安全。 IGMPV3支持宣告主机希望接收的多播源的地址,避免非法的组播数据流占用网络带宽 通过PVLAN隔离用户之间信息互通,不必占用VLAN资源。 端口MAC地址锁和端口MAC地址接入数量功能可以屏蔽非法主机的接入 动态ARP检测(DAI):结合DHCP snooping数据库中,可对转发的ARP报文进行安全检测,丢弃不合法的ARP报文,预防中间人攻击 丰富的应用支持技术 1)提供完善的各种QOS技术 灵活的流分类:除了根据IP Precedence, 802.1P, DSCP进行流分类,还可以根据专家级AC
18、L, IP扩展ACL, IP标准ACL, MAC扩展ACL等进行流分类。 多种队列技术:Urgent Queue, Protocol Queue、硬件队列、FIFO, PQ, CQ 拥塞管理和控制技术:SP, RR, WRR, DRR, SP+WRR, SP+DRR, CBQ, WFQ,CBWFQ, LLQ, WRED, CAR, LR (InOut)、Traffic Shaping(GTS)、HOL, RSVP等 2)提供多种组播支持技术,包括IGMP snooping, IGMP, PIM (SSM, SM, DM),DVMRP,保证了网络中提供组播服务时的带宽合理占用,同时提供支持IGM
19、P源端口检查、源IP检查、IGMP过滤功能等屏蔽非法组播源。 IPv6的全面支持 支持多种IPv6的过渡技术,如双栈、NAT-PT、手工隧道、GRE隧道、ISATAP,6to4隧道等,利用这些过渡技术,可有效的满足IPv4网络到IPv6网络的过渡支持多种IPv6的路由技术,如静态路由、等价路由、策略路由、OSPFV3, RIPng,BGP4+、IS-ISv6等路由技术,满足未来大规模IPv6网络的部署 此外,还支持地址自动配置、ICMPv6, ICMPv6重定向、DHCPv6, ACL for IPV6,TCP/UDP for ipv6等大量IPv6的相关技术。 通过对IPv6全面的支持,在最
20、大的限度上保护了用户己有的投资,使得目前的IPv4网络也能够平滑迁移到IPv6。同时,基于AISC的硬件IPv6转发方式,能够满足未来网络大规模的IPv6应用。 扩展的路由技术 1)基于每个SVI接口的default route配置 基于SVI接口的缺省路由优先级比基于整机的缺省路由优先级高,所以,当需要为缺省路由设置备份线路的时候可以使用该功能很好地实现。 2) ECMP/WCMP(Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing ) 在拥有多条不同链路到达同一目的地址的网络环境中,如果使用传统的路由技术,发往该目地址的数
21、据包只能利用其中的一条链路,其它链路处于备份状态或无效状态,并且在动态路由环境下相互的切换需要一定时间,而等值多路径路由协议(ECMP )和权重多路径路由协议(WCMP)可以在该网络环境下同时使用多条链路,不仅增加了传输带宽,并且可以无时延无丢包地备份失效链路的数据传输。 3)基于目的IP地址的策略路由 在拥有多条不同链路到达同一目的地址的网络环境中,使用基于目的IP地址的策略路由可以在多条链路间实现等值负载均衡和相互备份。 4)策略路由 在拥有多条不同链路到达同一目的地址的网络环境中,策略路由功能可基于数据包的源IP地址、目的IP地址、协议字段、TCP/UDP源端口号、TCP/UDP目的端口
22、号等特征进行多条出口链路间的灵活选择和相互备份。(二)汇聚层 汇聚层主要承担接入设备的流量汇聚功能,主要实施流量的策略转发和服务策略的实施。校园网的部分路由策略在汇聚层上即可实现,大大减轻了核心层路由交换机的压力,提高了网络的整体性能。在汇聚层上可以实施各种不同的QoS(服务质量),以确保不同的应用在网络中获得不同的服务等级。 本校汇聚层目前使用Cisco系列交换机,设备已使用7年之久,已无法满足日益增长的网络流量需求。本次改造采用锐捷S3760交换机作汇聚,千兆上联至网络核心,下联锐捷S21系列交换机堆叠组和原有的Cisco系列交换机。锐捷S3760系列交换机具有以下特性: RG-S3760
23、系列是锐捷网络最新推出的业界第一款硬件全面支持IPv6的机架式多层交换机系列产品。该系列产品为IPv4向IPv6网络过渡、现有的IPv4网络间通信、以及IPv6网络间的通信提供了最直接和最方便灵活的技术实现和方案保障。 RG-S3760系列交换机硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性,为IPv6网络之间的通信提供了丰富的Tunnel技术,并提供了丰富而完善的路由协议,以适合大型网络多种路由和多业务的需要。 RG-S3760系列交换机在提供高性能、多业务的同时,其内在的安全防御机制和用户管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理
24、化使用网络资源,充分保障网络安全、网络合理化使用和运营。 RG-S3760系列为方便大型网络使用和不同管理员的管理习惯,提供了多种形式的管理工具如SNMP, Telnet, Web和Console口等。 RG-S3760系列以高性能、高安全、多业务、易用性特性为大型网络汇聚和中型网络核心提供了IPv4/IPv6的多层交换、端到端的服务质量、灵活丰富的安全措施和基于策略的网管,最大化满足高速、安全、多业务的下一代企业网需求。高性能IPv4/IPv6双栈协议多层交换1)高背板带宽为所有的端口提供非阻塞性能;2)硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4, IPv6协议报
25、文,支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和ISATAP隧道等等,可根据IPv6网络的需求规划和网络现状,提供灵活的IPv6网络间通信方案;3)双协议栈的支持和处理,使得无需改变网络架构,即可将现有网络无缝升级为下一代IPv6方案;4)丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由需要;5)基于LPM硬件路由转发方式使得RG-S3760系列不仅适用于大型网络环境,而且可防御各种网络病毒的侵袭,保障所有报文线速转发,有效保证了设备的安全性。灵活完备的安全控制1)具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防Dos攻击、防黑客IP扫描机制等,还网络
26、一片绿色;2)特有的CPU保护控制,对发送到CPU的数据进行带宽控制,以避免对CPU的恶意攻击;3) SSH (Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备;4)控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。5)强大的多应用支持能力6)支持各种单播和组播动态路由协议,可适应不同的网络规模和需要进行大量多播服务的环境,实现网络的可扩展和多业务应用;7)支持IGMPv1 /v
27、2/v3全部版本,适应不同组播环境,满足组播安全应用的需要;8)支持丰富的路由协议如策略路由、等价路由、权重路由等丰富的三层特性和业务特性,满足不同网络链路规划下的通信需要。9)完善的QoS策略10)以DiffServ标准为核心的QoS保障系统,支持802.1P, IP TOS、二到七层流过滤、SP, WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;11)具备MAC流、IP流、应用流等多层流分类和流控制能力,实现精细的流带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。高可靠性1)支持生成树协议802.1d, 802.1w, 8
28、02.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;2)支持VRRP虚拟路由器冗余协议,有效保障网络稳定。3)方便易用易管理4)RG-S3760-24/48多个千兆接口形式,可灵活满足需要多个千兆链路上链或多个千兆服务器的连接,方便用户灵活选择和网络扩展;5)RG-S3760-12SFP/GT的SFP和电口任意选用的架构设计,可选配多种规格千兆接口模块,支持千兆铜缆、单/多模光纤接口模块的混合配置,支持模块热插拔,极大方便用户灵活配置和扩展网络;6)简单网络时间协议(SNTP)保证交换机时间的准确性,并与网络中时间服务器时间统一
29、化,方便日志信息和流量信息的分析、故障诊断等管理;7)Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;8)CLI界面,方便高级用户配置和使用;9)Java-based Web管理方式,实现对交换机的可视化图形界面管理,快速和高效地配置设备。(三)接入层 本校接入层设备大多为老旧的无网管交换机,需要改造为可以网管,可实施802.1 x接入认证的设备。接入层千兆上联至汇聚,并采用堆叠技术满足高接入量。本次改造采用锐捷S21系列交换机,并提供S2026G交换机可选。锐捷S21系列交换机具有以下特性: STAR-521266 /S21506是两款全线速可堆
30、叠的安全智能交换机,在提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性同时,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。 STAR-521266/521506可通过SNMP, Telnet, Web和Console口等多种配置方式提供丰富的管理。521266/S21 SOG以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管,最大化满足高速、安全、智能的企业网新需求。 高性能 高背板带宽为所有的端口
31、提供线速的交换能力。 灵活完备的安全控制策略 1)通过与锐捷网络全局安全解决方案GSN的结合,可在安全策略方面为用户提供全新的立体三维的技术特性和解决方案,完全解除安全威胁、攻击欺骗、病毒侵害等危害: 2)通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化地使用网络,如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文的合法性检查、基于数据流的带宽限速、六元素绑定等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求; 3)硬件实现端口与MAC地址和用户IP地址的灵活绑定,严格限定端口上用户接入; 4)保护端口不必占用
32、VLAN资源,即可非常方便地隔离用户之间信息互通,充分保护用户隐私; 5)通过锐捷安全计费管理平台SAM,不仅可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户身份的合法性和唯一性,更能通过交换机特色硬件动态绑定,保障用户身份始终一致性,避免了用户恶意篡改身份信息进行非法攻击等行为;6)专用的硬件防范ARP网关和ARP主机欺骗功能,有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了用户的正常上网;7)支持DHCP Relay,更可支持DHCP Option 82,可方便实现对IP地址的精确分配和控制,并可通过交换机硬件AR
33、P检查,可有效防范动态分配IP地址环境下的ARP欺骗问题;8)提供极为有效的Port Blocking功能,避免和阻止端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口的负载负担,提高端口带宽,保护用户PC更高效安全地运行:9)基于源IP地址控制的Telnet和Web设备访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性;10) SSH ( Secure Shell)和SNMPv3技术可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备;11)各种类型的硬件ACL控制,可灵活控制二一七层数据报文,使得任何一个用户P
34、C上的应用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。完善的QoS策略1)支持802.1P, DSCP、端口优先级、IP TOS、二到七层流过滤等QoS策略,具备MAC流、IP流、应用流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量,提供服务;2)极灵活的带宽控制能力,可以基于交换机端口、MAC地址、IP地址、VLAN ID,协议、应用组合进行灵活的带宽限速,限速粒度精细:1 Mbps (128KB)粒度/百兆端口、8Mbps (1024KB)粒度/千兆端口,可根据网络安全需求,设定不同业务应用的带宽流量
35、,满足网络带宽按需所用。丰富的组播特性1)支持业界特有的IGMP源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性;2)支持和识别IGMPvl/v2和IGMPv3全部版本的组播报文,适应不同组播环境,避免非法的组播数据流占用网络带宽,满足组播安全应用的需要。高可靠性1)支持生成树协议802.1D, 802.1w, 802.1s,完全保证链路快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,网络通道得到合理化使用,提供冗余链路利用率;2)支持端口环路检测,可快速检测端口下联出现环路的情况,并能自动将有环路端口关闭和定时启动,保障了网络的可靠。方便易用易管理1)强大
36、的菊花链式堆叠,支持52126G/52150G的混合堆叠,保证网络的高度灵活和可扩展,网络管理更加简单;2)提供图形化的安全策略管理平台,支持安全策略自动同步下发、升级和维护功能,安全策略智能化,可大幅度提高交换机管理和配置效率,提高网络安全;3)在实施了各种安全措施基础上,S21还能根据网络管理灵活性和特殊性的需要,能为网络内的一些特殊用户,以及设备的方便管理,开启安全通道,实现安全和灵活兼并的网络管理理念;4)端口的VLAN自动跳转功能,无需网管员手工干预,即可将端口跳转到用户所在VLAN,实现用户全网漫游上网,减轻设备配置和维护量;5)多端口同步监控,通过一个端口即可同时监控多个端口的数
37、据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;6)简单网络时间协议(SNTP保证交换机时间的准确性,并与网络中时间服务器的时间统一化,方便日志信息和流量信息的分析、故障诊断;7) Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员进行网络维护和管理;8)独特的集群管理,通过一台命令交换机可管理多达20台的S21系列交换机,无论交换机是否在同一配线间和布线室;9)强大的集群管理方式使得网络的维护工作变得非常方便和简单,只需配置1个IP地址,即可管理多台设备,不仅成倍节省了IP地址空间,而且维护和管理量也得到极大降低。CLI界面,方便高级用户配置和使用
38、;Java-based Web管理方式,实现对交换机的可视化图形管理,快速和高效地配置设备。(四)广域网出口 本校广域网出口采用Fttb+Lan和电信光纤两种方式接入Internet。拟改造为连接教科网和保留电信光纤线路。该出口原有SOHO路由器一台和iBlock多功能网络设备一台,分别连接Fttb+Lan和电信光纤,需增加两台路由器分别连接教科网和互联网,并把iBlock多功能网络设备移至路由器后改为旁路模式(bypass mode),以充分发挥其性能。 改造后的校园网,边缘出口分别由两台Cisco 2811路由器承担,可有效保障互连网访问的不间断性。iBlock多功能网络设备的旁路模式,可
39、在设备宕机(多功能网络设备失效)后继续保证线路畅通,不影响互联网正常访问。Cisco 2811路由器性能如下: Cisco 2800系列由四个新平台组成:Cisco 2801, Cisco 2811, Cisco 2821和Cisco2851。与相似价位的前几代思科路由器相比,Cisco 2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项,且大大提高了插槽性能和密度,同时保持了对目前Cisco 1700系列和Cisco 2600系列中现有90多种模块中大多数模块的支持,从而提供了极大的性能优势。 Cisco 2800系列能以线速为多条T1/E1/xDSL连接提供多种
40、高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器(DSP)插槽;入侵保护和防火墙功能;集成化呼叫处理和语音留言;用于多种连接需求的高密度接口;以及充足的性能和插槽密度,以用于未来网络扩展和高级应用。第四章 湖南民政职院校园网网络改造的实现 根据本校网络的实际状况,本方案拟采用分批次,按步骤进行网络改造,并采用模块化设计和实施方案,最大限度保障学院的投资与开销。一 第一步:网络核心的改造根据组网方案,本校可新购两台锐捷57606交换机(或Cisco 6509E交换机)作为网络核心。所有汇聚层设备采用双线路上联至核心交换机并启用VRRP 。二 第二步:汇聚层的改造 本校汇聚层C
41、isco 4000和3512均为7年前的产品,需全部替换。据统计供需6台汇聚层设备分别用于信息中心、实训楼、行政楼、图书馆、教学楼A区、教学楼B区、6号宿舍(含教工楼),其中实训楼由于交换容量需求大(共计八百个信息点),可把原网络核心交换机S6506移至该楼作为网络汇聚层设备,其他各汇聚点采用6台锐捷53760-24三层交换机。汇聚与核心之间采用双线路连接实现冗余。三 第三步:教师区接入认证的改造 本校教师区共有约300多个信息点,接入设备为非网管交换机。网络管理难度大,易被病毒侵扰,黑客袭击等。拟全部换用可网管可堆叠二层交换机,并架设Radius服务器实现安全接入。本改造共需锐捷SAM(II
42、)系统一套(不含服务器),SQL 2000数据库一套,服务器2台,并采用16台锐捷S2126G交换机(4组堆叠),或可选16台锐捷S2026G交换机(4组堆叠)。建成后,教师区即可实现安全接入。四 第四步:边缘出口的改造 本校拟增设连接教科网的光纤线路,并增强网络出口的安全与冗余。本案可选用2台Cisco 2811路由器作为Internet和Cernet(教科网)出口,替换原有的SOHO路由器与iBlock多功能网络设备。原多功能网络设备移至路由器后开启旁路模式做病毒防护、入侵检测、防垃圾邮件、限流量等工作。五 第五步:实训楼的改造 在校园网采用双核心架构后,原S6506可移至实训中心做汇聚用
43、,以满足实训大楼高达800信息点的容量。原实训大楼汇聚设备S2126G移至实训楼接入层。原实训楼接入层设备全部上联至S6506, S6506需增加24口千兆电口线卡两块。六 第六步:信息中心的改造在完成上述所有步骤或部分步骤后,信息中心需采用网络管理软件整合与管理整网设备。该改造需采用网络管理软件若干,网管服务器若干。第五章 校园网网络核心技术的研究一 冗余/负载均衡设计 冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分校园网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结
44、构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外,本方案在设计中提供不同物理方向的双归属、双核心保护。(一)线路冗余 在校园网核心层,校园网边界拓扑结构由于采用了双机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,可对校园网骨干核心层设备进行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗
45、余线路的协议保障。以GEC(Gigabit Ethereharmel)作为N*10OOM主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/1OOM自适应端口连接桌面系统,多千兆链路连接到汇聚层。GEC具有链路聚合和冗余保证两大特性,下面将对它们依次进行介绍:链路聚合:链路聚合IEEE802.3ad示意如图5.1: 图5.1图解:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高。冗余保证(见图5.2): 链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与
46、生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。 交换机上具体配置: 从性能与成本及拓展性等方面的综合考虑出发,决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。 在校园网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆核心,千兆汇聚,万兆拓展;百兆到桌面的链路选择。(二)网络设备冗余/负载均衡设计1 HSRP (Hot Standby Router Protocol)热备份路由选择协议 (1)冗余性网络中的路由问题 1)缺省网关:当设置默认的网关失效后,数据就不能到别的网段;即使存在作
47、为网关使用的冗余路由器,也不能动态的将这些设备切换到新的网关地址。 2)代理ARP:如果要获得切换路由器的MAC地址,源工作站必须要么发起另一个ARP请求,要么重新启动,那么就可能在一段时间通信无法实现。导致PC机的ARP缓存可能有几个小时不能刷新ARP缓存。注:在win95, 98环境下使用代理ARP,缺省网关必须设置为该主机设备自己IP地址 3)路由选择协议:采用RIP协议,如果源工作站被配置为使用RIP,那么在RIP可以选用另一路由器之前,就会浪费很长的时间去更新。 4)IRDP(ICMP Router Discovery Protocol) 用icmp,每一个路由每7分钟发router advertisment, host就可以自动获得gateway 有支持IRDP的PC,开机发出请求(2)HSRP协议概述 实现HSRP的条件是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器