《校园网组网方案.ppt》由会员分享,可在线阅读,更多相关《校园网组网方案.ppt(25页珍藏版)》请在三一办公上搜索。
1、局域网技术与局域网组建,第7章校园网组网方案,本章主要内容:某大学校园网简介网络结构分析 网络安全设计 网络系统综合管理,7.1 某大学校园网简介7.1.1 原校园网结构,A大学的一期网络从建成到现在已经将近四年了(如图7-1所示),核心交换机为两台Extreme 6808交换机,汇聚层和接入层交换机是Extreme和锐捷等多个品牌的产品。设备已经到了更换期;另一方面,要对校园网进行扩建,现有核心网络设备难以承受这么大的压力;随着网络技术的发展,产生了很多新的应用,提出了新的需求,老的设备已经渐渐不能满足新的应用需要,比如组播应用、硬件IPv6的支持等。,图7-1 A大学一期网络拓扑结构,7.
2、1.2 现状和改造目标,在骨干网中,视频、音频、数据流混杂在一起进行传输,如果保证不了高带宽,将造成网络延迟,因此,对现有的骨干网络进行升级,采用新的万兆做骨干,万兆到汇聚,千兆到接入,百兆到桌面,以保证教育教学的需要。以前A大学的核心交换机是Extreme 6808,运行年限较久,处理能力有限,当网络上出现突发性大流量数据传输时,出现假死机或响应速度降低的现象,因此急需新部署新一代核心交换机。原有网络设备在可管理性支持方面不能满足现在网络管理的需要。由于校园面积较大,信息点分布较广,与一般企业网相比,校园网用户的流动性大,信息点存在随意接入使用的问题。现在病毒、非法侵入肆虐,必须采用新技术从
3、内部和外部同时控制用户对网络资源的访问。如身份认验证、VLAN划分、防病毒、入侵检测等。随着校园网用户大量访问INTERNET,通过100M带宽的教科网访问INTERNET,产生瓶颈,而2M的备份链路只能应急使用。因此必须增加备份链路的带宽,改变接入INTERNET的途径。,7.1.3.改造后的网络结构,A大学骨干网络改造后拟采用环状网络结构,该校园网核心交换机三台构成环状结构,下属汇聚节点分别以万兆速率接入到核心设备,各接入设备也通过千兆光纤接入到汇聚层设备,实现万兆做骨干,万兆到汇聚,千兆到接入,百兆到桌面的拓扑结构,如图7-2所示。,图7-2 A大学改造后的网络拓扑,7.2 网络结构分析
4、7.2.1 核心层,核心层的功能主要是实现骨干网络之间的优化传输,核心层设计的重点是冗余能力、可靠性和高速的传输。在核心层设计时需要遵循以下原则:可达性 具有足够的路由信息来交换发往网络中任意端设备的数据包;核心层的路由器不应该使用默认的路径到达内部的目的地;聚合路径能够用来减少核心层路由表大小;默认路径用来到达外部的目的地,如互联网上的主机。冗余性,设备冗余;模块冗余;链路冗余。不执行网络策略 任何形式的策略必须在核心层外执行,如数据包的过滤和复杂QoS处理;禁止采用任何降低核心层设备处理能力、或增加数据包交换延迟时间的方法;避免增加核心层路由器配置的复杂程度;可以将网络策略执行放在访问层边
5、界设备上。核心节点的交换机有两个基本要求:高密度端口情况下,还能保持各端口的线速转发;关键模块必须冗余,如管理引擎、电源、风扇。在本方案中,核心层由三台BigIron RX-8核心交换机构成环状结构。通过光纤分别连接到各汇聚层交换机和Packeteer PS10000G流量管理系统。,7.2.2 汇聚层,汇聚层连接着接入层和核心层。汇聚层的主要任务是提供与流量控制、安全及路由相关的策略:包括:定义广播和组播域;执行安全和网络策略,包括地址翻译和防火墙策略;VLAN之间的路由选择;部门或者工作组级的访问;布线间连接的汇聚和需要进行的各种介质转换。,7.2.3 接入层,通常将网络中直接面向用户连接
6、或访问公共网络的部分称为接入层。接入层直接面对各个信息节点的接入,它控制着用户和工作组对园区网络资源的访问。它包括下列功能。到汇聚层的工作组连接。建立单独的冲突域(分段)。共享式带宽或交换式带宽。提供灵活的用户接入及扩展。在本方案中使用STAR-S2100系列交换机做为接入层设备,通过千兆上行光口与汇聚交换机进行连接。,7.2.4 外连设计,当今时代,任何一个网络都要考虑与Internet的联接问题。设计目标与基本原则 速率 成本 可靠性 服务提供商的选择 传统电信运营商 专业网络 联接方式的选择 以太网接入 DDN接入 基于光技术的接入,外连设计中的安全考虑 本方案中外接INTERNET部分
7、 已经开通两条WAN线路,一条100M接入教科网,另一条30M接入科技网。通过Cisco3660路由器接入科技网。通过NE05路由器接入教科网。在对外主线上部署了一台天融信GFW4000-UF/TG-5307防火墙系统。在GFW4000-UF防火墙系统和核心交换机之间的链路上部署一台网络流量优化设备Packeteer PS10000G(通过光口连接),有二个 10/100/1000M Base-T接口;二个 1000M光纤SFP-SX(275m)或LX(5km或20km)接口。有两个插槽可以扩展端口,增配一个LEM2G-1000M-T以太网扩展模块。,7.2.5 无线网络覆盖,图7-3为A校无
8、线网络与校园网有线网络主干连接的示意图。,图7-3 无线网络与校园网有线网络主干连接图,整个校园网结构分为三层结构(即核心层、汇聚层和接入层)。所有的无线接入点AP均通过以太网线连接到各自所属的接入层工作组交换机的10/100M端口上,再通过有线千兆以太网的方式连接,接入各大楼的汇聚层交换机组上,最后接入校园核心交换机。无线接入点AP选用NETGEAR公司的WG102 AP,通过免费软件升级支持AutoCell技术。,7.3 网络安全设计7.3.1 接入安全和访问安全,接入安全锐捷S2100系列接入交换机均支持802.1X用户入网认证,通过锐捷RG-SAM安全认证计费管理系统可满足用户名、IP
9、、MAC、VLAN ID、交换机IP、交换机端口的6元素绑定技术,有效的防止用户擅自修改IP地址和MAC地址。并且可以实现非法站点访问过滤,非法言论的准确追踪,恶意攻击的实时处理,为记录访问日志提供完整审计等安全功能。访问安全 FOUNDRY BigIron RX8万兆核心路由交换机支持802.1Q VLAN,可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术,可实现跨校区的VLAN功能。对于不同访问权限的区域采用ACL访问控制来对不同访问资源进行权限控制。,7.3.2病毒攻击防御,防ARP攻击特性 在锐捷设备上可以通过以下方式来预防此病毒:BigIron RX8支持动态 ARP 检
10、测(DAI)特性,可以针对用户arp中毒、攻击加以防范。在锐捷S2100接入设备上支持硬件防ARP网关欺骗功能,可屏蔽ARP网关欺骗,有效规避ARP网关欺骗攻击造成的大面积网络瘫痪。3)在S2100上启用保护端口的隔离功能,可隔离ARP广播报文。不管动态分配IP地址环境,还是静态分配IP地址环境,都可限制ARP欺骗报文的扩散。4)在S2100上打开ARP Check功能,结合端口安全绑定功能,可以严格防范和杜绝ARP主机欺骗现象。,抗DoS攻击特性 近年来,各种DoS攻击(Denial of Service,拒绝服务)报文在互联网上传播,给互联网用户带来很大烦恼。DoS的攻击方式有很多种,最基
11、本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。针对这种情况,RFC2827提出在网络接入处设置入口过滤(Ingress Filting),来限制伪装源IP的报文进入网络。,7.4 网络系统综合管理7.4.1网络管理软件Quidview,拓扑管理,图7-4 Quidview拓扑管理图,故障管理 网络故障的处理一般按照以下的流程,首先网管系统应该及时发现网络中存在的故障,然后及时通知管理员进行处理,管理员进行故障定位,发现问题并解决问题,然后通过各种方式将故障处理的经验记录下来,以便以后工作使用。Quidvie
12、w网络管理软件实现了对故障处理进行全流程的支持。性能管理 Quidview网络管理软件提供丰富的性能管理功能,协助管理员分析网络资源使用情况,并能够主动上报潜在的性能问题,减少网络拥塞。为了方便用户定制性能采集任务,Quidview提供丢包率、错误包数、带宽利用率等常用指标的缺省采集模板,并支持对采集模板设定缺省阈值,使性能任务的配置更加简单。同时提供折线图、直方图、饼图等多种显示方式,用户可以清晰地了解到流量趋势等变化的时间规律。,配置管理 Quidview产品支持网络配置基线化能力,当设备配置基本稳定后,用户可以将这些配置备份到服务器,同时指定备份版本作为基线版本。当网络配置出现问题时,可
13、以及时用基线版本进行配置恢复,保证网络从故障中尽快恢复。配置管理功能还能够定期主动检查网络配置的变化,并将变化及时通知给管理员,这样管理员可以及时发现网络配置变化,特别是尽早发现恶意或错误的配置,从而保证网络的稳定性。资源拓扑管理 Quidview网管平台可以在拓扑图中发现所有可网管设备,以相应的图标表示在拓扑图中,如图7-5所示。,图7-5 Quidview资源拓扑管理界面图,告警管理 对于第三方厂商设备的告警,Quidview可以全部接收并对其中的标准告警进行解析,Quidview告警管理界面图如图7-6所示。,图7-6 Quidview告警管理界面图,性能管理 Quidview系统可以对
14、第三方设备进行通用性能监视,包括接口的流量监视,利用率监视,设备IP包转发,设备响应时间的监视等。同时如果需要针对特殊设备性能的检视,可通过增加自定义性能模板脚本来达到要求,Quidview性能管理界面图如图7-7所示。,图7-7 Quidview性能管理界面图,7.4.2 NTA网络流量监控软件,利用NTA网流分析系统对从学校内数据进行统计分析,就能从中提取出网络流量特征,从而为网络管理员提供一张丰富而详尽的网络利用视图。优化网络和异常流量分析 通过NetStream流量分析,可以统计网络流量总数,分析流量的分布,便于网络管理员掌握网络利用状况,尽早发现网络结构的不合理,及各种由于病毒爆发而导致的异常流量,优化网络结构,制定网络扩容规划,以有力的数据实现以最小网络管理成本达到最佳的网络性能和服务。业务应用/服务质量监控 Xlog流量报表 用户可根据统计分析的需求,自定义报表生成规则,由报表引擎生成报表,并将统计分析的结果以柱状图、饼图、曲线图、统计信息表格等直观的形态展示出来。,
