校園網(wǎng)技術(shù)方案書.doc

目目 錄錄 1概述概述 1 1 1校園網(wǎng)建設(shè)背景 1 1 2旅游職業(yè)學院校園網(wǎng)建網(wǎng)需求分析 2 1 2 1一般建網(wǎng)需求 2 1 2 2旅游職業(yè)學院建網(wǎng)需求 3 1 3整體建網(wǎng)原則 3 2總體網(wǎng)絡設(shè)計總體網(wǎng)絡設(shè)計 4 2 1網(wǎng)絡拓撲設(shè)計 4 2 2核心層設(shè)計 5 2 3匯聚層設(shè)計 6 2 4接入層設(shè)計 7 3 3網(wǎng)絡業(yè)務設(shè)計網(wǎng)絡業(yè)務設(shè)計 10 3 1IP 地址規(guī)劃 10 3 1 1IP 地址分配原則 10 3 1 2IP 地址規(guī)劃方案 11 3 2VLAN 的劃分 11 3 2 1劃分 VLAN 的必要性 11 3 2 2劃分 VLAN 的方法 13 3 2 3VLAN 規(guī)劃 14 4網(wǎng)絡管理方案網(wǎng)絡管理方案 16 4 1網(wǎng)管系統(tǒng)需求 16 4 2統(tǒng)一網(wǎng)管設(shè)計 16 4 3IMC 智能網(wǎng)管平臺 20 1 1 1 11 1 1概述概述 1 1 1 1校園網(wǎng)建設(shè)背景校園網(wǎng)建設(shè)背景 我國 互聯(lián)網(wǎng)事業(yè)正在持續(xù)快速的發(fā)展 并在普及應用上進入嶄新的多元 化應用階段 互聯(lián)網(wǎng)的影響正逐步滲透到人們生產(chǎn) 生活 工作 學習的各個角落 同時 隨著國家信息化工作的深入開展 提高教育系統(tǒng)信息化水平成為當前工作的 重點 而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵 尤其是校園網(wǎng)建設(shè) 在信息 化的建設(shè)過程中 它的作用體現(xiàn)在如下幾個方面 1 校園網(wǎng)能促進教師和學生盡快提高應用信息技術(shù)的水平 信息技術(shù)學科的內(nèi) 容是發(fā)展的 它是一門應用型學科 因此 為了讓學生學到實用的知識 必 須給他們提供一個實踐的環(huán)境 這個環(huán)境離不開校園網(wǎng) 2 校園網(wǎng)為教師提供了一種先進的輔助教學工具 提供了豐富的資源庫 所以 校園網(wǎng)是學校進行教學改革 推行素質(zhì)教育的一種必不可少的工具 3 校園網(wǎng)是學?，F(xiàn)代化管理的基礎(chǔ) 深入 全面的學校信息管理系統(tǒng)必須建立 在校園網(wǎng)上 4 校園網(wǎng)提供了學校與外界交流的窗口 學校應將校園網(wǎng)與互聯(lián)網(wǎng)聯(lián)接 這也 是學校信息化的要求 做到了這一步 通過校園網(wǎng)去了解世界 在互聯(lián)網(wǎng)上 樹立學校的形象都是很容易的 教育即未來 作為國家最重要的戰(zhàn)略工程 如何應用信息技術(shù)改造我們傳統(tǒng)的教 學和管理手段 如何加深學生對于信息化和信息技術(shù)的理解與了解 如何造就同時 具備傳統(tǒng)和信息雙重文化的一代新人 已成為教育界當前最為緊迫的任務之一 信 息技術(shù)的應用 勢必極大地推進教育手段和教育內(nèi)容的革命性變革 我們對此深信 不疑 并將全身心地為之努力 2 1 1 1 2旅游職業(yè)學院校園網(wǎng)建網(wǎng)需求旅游職業(yè)學院校園網(wǎng)建網(wǎng)需求分析分析 1 1 1 2 11 1 1 2 1一般建網(wǎng)需求一般建網(wǎng)需求 旅游職業(yè)學院的網(wǎng)絡建設(shè)本次主要是校區(qū)網(wǎng)絡新建 在實際的建設(shè)過程當中 應當充分考慮到學校內(nèi)部的校園網(wǎng)多業(yè)務以及特色業(yè)務等擴展性 如 校園網(wǎng)內(nèi)部 的服務器的訪問 由于學生的訪問的內(nèi)容多樣化決定 涉及到基礎(chǔ)網(wǎng)絡設(shè)施的建設(shè) 和業(yè)務應用平臺建設(shè)兩個不同的層面 此處主要分析旅游職業(yè)學院網(wǎng)絡基礎(chǔ)設(shè)施建 設(shè)和網(wǎng)絡運營方面相關(guān)的內(nèi)容 旅游職業(yè)學院校園網(wǎng)絡建設(shè)從網(wǎng)絡流量模型上看和 企業(yè)網(wǎng)的流量模型相似 用戶集中而網(wǎng)絡流量大 但實際應用上還存在許多和企業(yè) 網(wǎng)不同的地方 主要特點如下 1 用戶管理的需求 1 使用方便 存在 WEB 認證需求 要求能做到基于 WEB 的身份認證 多 ISP 選擇 用戶費率查詢 帶寬動態(tài)調(diào)整 隱性需求 多 WEB 界面 隱性需 求 等 2 需要解決賬號和端口綁定問題 通過此種方式限制賬號的使用區(qū)域 3 對用戶帶寬進行控制的需求 要求設(shè)備能對用戶的帶寬進行控制 譬如限 制為 64K 256K 512K 1M 2M 5M 10M 等等級 2 多種教學方式并行的需求 隨著校園網(wǎng)的信息化的發(fā)展 越來越的多教學方式依托于網(wǎng)絡給學生提供多 種的特色教學模式 1 多媒體教學 為了更好的為學生提供全方面的教學資料 越來越的多學校 在自己的內(nèi)部局域網(wǎng)上面為學生提供多種教學資料 如 多媒體教學課件 典型的考試資料等等提供給學生上網(wǎng)下載使用 2 VOD 點播業(yè)務實現(xiàn) 通過建立 VOD 視頻服務器平臺 利用交換機提供的組 播功能 為旅游職業(yè)學院的用戶提供優(yōu)質(zhì)的視頻效果 同時節(jié)省用戶帶寬 3 安全管理的需求 1 校園用戶接受新鮮事務的能力非常強 因此校園也成為黑客最多的場所之 3 一 如何保障校園網(wǎng)絡的安全成為建網(wǎng)時不得不考慮的問題 目前主要攻 擊手段有 DoS DDoS 等 2 上網(wǎng)日志的需求 主要是配合公安機關(guān)保證社會的穩(wěn)定和校園的安全 4 組播業(yè)務的需求 特別是可控組播的需求將隨著校園信息化的深入而體現(xiàn)出 來 對于后期建設(shè)的校園監(jiān)控和電子監(jiān)考工程也需要網(wǎng)絡對組播特性有良好 的支持 5 多出口需求 典型的組網(wǎng)有中國教育和科研網(wǎng) CerNet 出口和公網(wǎng)出口 多出口帶來了以下 兩個需求 1 多權(quán)限 ISP 需求 用戶可通過不同的賬號名或采用相同的賬號 不同的域名 認證 獲得不同的上網(wǎng)權(quán)限 2 多 ISP 分別計費的需求 對應不同的 ISP 計費策略不一致 6 WLAN 的需求 隨著 WLAN 技術(shù)的成熟 在校園網(wǎng)內(nèi) 如會議廳 圖書館等 部署 WLAN 也日益 成為熱點 因此在規(guī)劃中需要考慮 WLAN 的規(guī)劃 1 1 1 2 21 1 1 2 2旅游職業(yè)學院建網(wǎng)需求旅游職業(yè)學院建網(wǎng)需求 旅游職業(yè)學院系統(tǒng)分為三級 核心層 匯聚層 接入層 1 1 1 3整體建網(wǎng)原則整體建網(wǎng)原則 早期的校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機資源 共享簡單數(shù)據(jù)庫 多以二層 交換為主 很少有三層應用 存在 安全 可管理性較差 無業(yè)務增值能力安全 可管理性較差 無業(yè)務增值能力 等方 面的問題 現(xiàn)在旅游職業(yè)學院校園網(wǎng)建設(shè)要實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享 應用三層交換 提供全面的 QoS 保障服務 使網(wǎng)絡安全可靠 從而實現(xiàn)教育管理 多媒體教學 圖 書館管理自動化 而且還要通過 Internet 實現(xiàn)遠程教學 提供可增值可管理的業(yè)務 必須具備高性能 高安全性 高可靠性 可管理 可增值特性以及開放性 兼容性 4 可擴展性 基于對旅游職業(yè)學院校園網(wǎng)業(yè)務需求的深入理解 結(jié)合自身產(chǎn)品和技術(shù)特點 H3C 公司推出了了完善的旅游職業(yè)學院校園網(wǎng)解決方案 為旅游職業(yè)學院提供 可管可管 理 可增值 可持續(xù)發(fā)展理 可增值 可持續(xù)發(fā)展 的精品網(wǎng)絡 旅游職業(yè)學院網(wǎng)絡建設(shè)遵循以下基本原則 高帶寬高帶寬 為了保障全網(wǎng)的高速轉(zhuǎn)發(fā) 校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計的無瓶頸性 要求方案設(shè)計 的階段就要充分考慮到 同時要求核心交換機具有高性能 高帶寬的特性 整網(wǎng)的 核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換 可擴充性可擴充性 考慮到旅游職業(yè)學院用戶數(shù)量和業(yè)務種類的發(fā)展 要求對于核心交換機與匯聚 交換機具有強大的擴展功能 旅游職業(yè)學院校園網(wǎng)絡要建設(shè)成完整統(tǒng)一 組網(wǎng)靈活 易擴充的彈性網(wǎng)絡平臺 能夠隨著需求變化 充分留有擴充余地 開放性開放性 技術(shù)選擇必須符合相關(guān)國際標準及國內(nèi)標準 避免個別廠家的私有標準或內(nèi)部 協(xié)議 確保網(wǎng)絡的開放性和互連互通 滿足信息準確 安全 可靠 優(yōu)良交換傳送 的需要 開放的接口 支持良好的維護 測量和管理手段 提供網(wǎng)絡統(tǒng)一實時監(jiān)控 的遙測 遙控的信息處理功能 實現(xiàn)網(wǎng)絡設(shè)備的統(tǒng)一管理 安全可靠性安全可靠性 設(shè)計應充分考慮整個網(wǎng)絡的穩(wěn)定性 支持網(wǎng)絡節(jié)點的備份和線路保護 提供網(wǎng) 絡安全防范措施 1 1 21 1 2總體網(wǎng)絡設(shè)計總體網(wǎng)絡設(shè)計 1 1 2 1網(wǎng)絡拓撲設(shè)計網(wǎng)絡拓撲設(shè)計 網(wǎng)絡采用星型結(jié)構(gòu)組網(wǎng) 充分考慮到了網(wǎng)絡骨干的高帶寬 高可靠性 整網(wǎng)采用 5 高可靠性設(shè)備作為核心交換機 設(shè)計使用雙引擎 雙電源保障核心自身的可靠性 下行使用光纖連接到各樓宇匯聚 提供高速率的上行帶寬 保障多種教學業(yè)務 特 別是多媒體 語音等教學課件的高速傳輸 核心交換機采用多級交換架構(gòu) 交換網(wǎng)板和引擎分離設(shè)計 這樣實現(xiàn)控制和轉(zhuǎn)發(fā) 的進一步分離 提高設(shè)備穩(wěn)定性和性能 CLOS 多級交換架構(gòu)代表未來的交換技術(shù) 最先進的技術(shù) 各個匯聚層的交換機則通過單模千兆光纖連接到接入層的交換機 接入層交換機 為千兆到桌面 拓撲圖如下 1 1 2 2核心層設(shè)計核心層設(shè)計 核心層負責整個網(wǎng)絡的數(shù)據(jù)交換 同時也是整網(wǎng) LAN 的路由中心 全網(wǎng)第 三層 第四層操作都通過核心節(jié)點集中進行 核心交換機提供局域網(wǎng)內(nèi)用戶對服務 6 器群的高速訪問 為了充分保障核心交換平臺的高可靠特性 我們提供的核心交換設(shè)備采用分布 式結(jié)構(gòu) 并且為多級交換架構(gòu) 配置雙主控交換板 無源背板設(shè)計 所有單板支持 熱插拔 電源系統(tǒng)采用 1 1 冗余熱備份 并支持多路電源輸入 支持 STP RSTP MSTP 協(xié)議和 VRRP 協(xié)議 能夠滿足苛刻的電信級網(wǎng)絡可靠性要求 系統(tǒng) 可靠性達到 99 999 本次網(wǎng)絡建設(shè)推薦的核心交換機是 H3C 公司面向以業(yè)務為核心的企業(yè)網(wǎng)絡架構(gòu) 而推出的新一代高端多業(yè)務路由交換機 該產(chǎn)品基于 H3C 公司自適應安全網(wǎng)絡的技 術(shù)理念 在提供穩(wěn)定 可靠 安全的高性能 L2 L3 層交換服務基礎(chǔ)上 進一步提供 了業(yè)務流分析 基于策略的 QOS 可控組播等智能的業(yè)務優(yōu)化手段 從而為企業(yè) IT 系統(tǒng)構(gòu)建面向業(yè)務的基礎(chǔ)網(wǎng)絡平臺 實現(xiàn)通信整合 數(shù)據(jù)整合奠定了基礎(chǔ) 網(wǎng)絡核心的服務器區(qū)域 包括網(wǎng)絡管理服務器 數(shù)據(jù)庫服務器 認證計費服務 器 一卡通服務器 流媒體服務器等等 該區(qū)域在網(wǎng)絡建成后主要提供內(nèi)網(wǎng)服務 遠程教學 視頻點播等業(yè)務都由該區(qū)域設(shè)備提供 方案通過數(shù)據(jù)中心接入交換機匯 聚后 接入到園區(qū)網(wǎng)核心 1 1 2 3匯聚層設(shè)計匯聚層設(shè)計 匯聚層使用根據(jù)不同樓群的接入點密度 可以選用華三公司全千兆智能三層交 換機 上行連接核心交換機上 同時全千兆下行連接接入層交換機 主要負責旅游 職業(yè)學院各大樓的數(shù)據(jù)匯聚 匯聚交換機具備強大的 IRF 堆疊能力 基于最長匹配的路由策略 系統(tǒng)采用逐 包轉(zhuǎn)發(fā)方式 保證了所有報文均獲得相同的轉(zhuǎn)發(fā)性能 對 紅碼病毒 和 沖擊波 病毒 的攻擊具有天生的防御能力 有效保證了設(shè)備安全 支持集中式 MAC 地址 認證和 802 1x 認證 在用戶接入網(wǎng)絡時完成必要的身份認證 還可以通過靈活的 MAC IP VLAN PORT 任意組合綁定 有效的防止非法用戶訪問網(wǎng)絡 支持 DUD Disconnect Unauthorised Device 認證 通過 MAC 地址學習數(shù)目限制和 MAC 7 地址與端口綁定實現(xiàn) 支持用戶分級管理和口令保護 支持 MAC 地址學習數(shù)目限 制 MAC 地址與端口綁定 端口隔離 MAC 地址黑洞 支持防止 DoS 攻擊功能 具有豐富的 QoS 特性 支持基于源 MAC 地址 目的 MAC 地址 源 IP 地址 目的 IP 地址 端口 協(xié)議的 L2 L7 復雜流分類 充分保障了復雜網(wǎng)絡對于 QoS 規(guī)則的要 求 在本次組網(wǎng)中非常適合從事匯聚層面的工作 1 1 2 4接入層設(shè)計接入層設(shè)計 接入層是直接與用戶相連的設(shè)備 使用數(shù)量較多 分布較廣 所以接入層交換 機應該具備較高的性價比 并可支持遠程供電和遠程管理 H3C 的接入交換機支持強大的二層功能和 ACL 功能 可有有效保障局域網(wǎng)的安全 局域網(wǎng)上的一臺主機 如果接收到一個 ARP 報文 即使該報文不是該主機所發(fā)送的 ARP 請求的應答報文 該主機也會將 ARP 報文中的發(fā)送者的 MAC 地址和 IP 地址更新 或加入到 ARP 表中 圖 1 1 以太網(wǎng) ARP 協(xié)議報文結(jié)構(gòu) ARP 欺騙攻擊就利用了這點 攻擊者主動發(fā)送 ARP 報文 發(fā)送者的 MAC 地址為攻 擊者主機的 MAC 地址 發(fā)送者的 IP 地址為被攻擊主機的 IP 地址 通過不斷發(fā)送這 些偽造的 ARP 報文 讓局域網(wǎng)上所有的主機和網(wǎng)關(guān) ARP 表 其對應的 MAC 地址均為 8 攻擊者的 MAC 地址 這樣所有的網(wǎng)絡流量都會發(fā)送給攻擊者主機 由于 ARP 欺騙攻 擊導致了主機和網(wǎng)關(guān)的 ARP 表的不正確 這種情況我們也稱為 ARP 中毒 圖 1 2 ARP 欺騙攻擊是如此簡單 由于 ARP 中毒后 所有的流量都需要經(jīng)過攻擊者進行轉(zhuǎn)發(fā) 如果攻擊者具有轉(zhuǎn)發(fā) 能力 在攻擊開始和攻擊結(jié)束是都會引發(fā)一次網(wǎng)絡中斷 攻擊過程中網(wǎng)絡速度變慢 網(wǎng)速變慢原因跟發(fā)送大量的 ARP 流量消耗了帶寬以及其本身處理能力有限有很大關(guān) 系 如果攻擊者不具有轉(zhuǎn)發(fā)能力 網(wǎng)絡出現(xiàn)傳輸中斷 直到攻擊停止及 ARP 表恢復 正常 接入交換機防御 ARP 攻擊 識別并讀取 ARP 報文內(nèi)容 然后根據(jù)報文內(nèi)容判斷是 否存在欺騙攻擊行為 對于 ARP 欺騙報文進行丟棄處理 9 圖 1 3 接入交換機部署 ARP 入侵檢測 ARP 入侵檢測在接入交換機進行部署 接入交換機同時啟用 DHCP Snooping 對 DHCP 報文進行監(jiān)測 DHCP Snooping 通過監(jiān)測 DHCP 報文記錄了用戶的 IP MAC VLAN PORT 等信息 并形成一個 DHCP Snooping 綁定表 交換機端口接收到 的 ARP 報文后 通過查找 DHCP Snooping 建立的綁定關(guān)系表 來判斷 ARP 應答報文 的發(fā)送者源 IP 源 MAC 是否合法 若 ARP 報文中的發(fā)送者源 MAC IP 匹配綁定表中 的內(nèi)容 則認為是合法的報文 允許通過 否則認為是欺騙攻擊報文 就進行丟棄 ARP 入侵檢測能夠防止接入終端發(fā)起任何 ARP 欺騙攻擊 如果全網(wǎng)部署 AII 功能 可有效解決 ARP 欺騙攻擊問題 另外由于 ARP 欺騙攻擊 經(jīng)常伴隨者發(fā)送大量的 ARP 報文 消耗網(wǎng)絡帶寬資源和 交換機 CPU 資源 造成網(wǎng)絡速度的速度降低 因此接入交換機還需要部署 ARP 報文 限速 對每個端口單位時間內(nèi)接收到的 ARP 報文進行限制 很好地保障了網(wǎng)絡帶寬 資源和交換機 CPU 資源 1 1 31 1 3網(wǎng)絡業(yè)務設(shè)計網(wǎng)絡業(yè)務設(shè)計 10 1 1 3 1IP 地址地址規(guī)劃規(guī)劃 IP 地址的合理規(guī)劃是校園網(wǎng)網(wǎng)絡設(shè)計中的重要一環(huán) 大型計算機網(wǎng)絡必須對 地址進行統(tǒng)一規(guī)劃并得到實施 IP 地址規(guī)劃的好壞 影響到網(wǎng)絡路由協(xié)議算法 的效率 影響到網(wǎng)絡的性能 影響到網(wǎng)絡的擴展 影響到網(wǎng)絡的管理 也必將直接 影響到網(wǎng)絡應用的進一步發(fā)展 1 1 3 1 11 1 3 1 1 IPIP 地址分配原則地址分配原則 為保證對于上網(wǎng)學生的可查詢性 且考慮到 10 xxx xxx xxx 私網(wǎng)地址不存在短 缺等因素 建議旅游職業(yè)學院的 IP 地址采用 10 xxx xxx xxx 私網(wǎng) IP 地址接入的方 式進行建設(shè) 要與網(wǎng)絡拓撲層次結(jié)構(gòu)相適應 既要有效地利用地址空間 又要體現(xiàn) 出網(wǎng)絡的可擴展性和靈活性 同時能滿足路由協(xié)議的要求 以便于網(wǎng)絡中的路由聚 類 減少路由器中路由表的長度 減少對路由器 CPU 內(nèi)存的消耗 提高路由算法的 效率 加快路由變化的收斂速度 同時還要考慮到網(wǎng)絡地址的可管理性 具體分配 時要遵循以下原則 唯一性 一個 IP 網(wǎng)絡中不能有兩個主機采用相同的 IP 地址 簡單性 地址分配應簡單易于管理 降低網(wǎng)絡擴展的復雜性 簡化路由表項 連續(xù)性 連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡中易于進行路徑疊合 大大縮減路由表 提高 路由算法的效率 可擴展性 地址分配在每一層次上都要留有余量 在網(wǎng)絡規(guī)模擴展時能保證地址 疊合所需的連續(xù)性 靈活性 地址分配應具有靈活性 以滿足多種路由策略的優(yōu)化 充分利用地址空 間 主流的 IP 地址規(guī)劃方案分為純公網(wǎng)地址 純私網(wǎng)地址和混合網(wǎng)絡地址三種 當校園網(wǎng)以私網(wǎng)地址分配或采用混合網(wǎng)絡地址接入時 要求校園網(wǎng)提供地址變換 功能 過濾掉私網(wǎng)地址 1 1 3 1 21 1 3 1 2 IPIP 地址規(guī)劃方案地址規(guī)劃方案 11 內(nèi)部地址的分配原則是按建筑物進行的 視用戶的數(shù)量 1 4 1 2 整個私網(wǎng)的 劃分 對于相對固定不變的教學區(qū)采用靜態(tài)分配 IP 地址 為防止地址盜用 采用 IP 地 址與端口 地址綁定 對于流動性大 用戶人數(shù)多 用戶增長快的學生區(qū)采用動態(tài) 分配 IP 地址 采用 By Port 的 Vlan 小范圍地限制地址盜用問題 靜態(tài) IP 地址對 于用戶來說可以實現(xiàn)對應物理位置的查詢 對全網(wǎng)的 IP 地址與物理位置的對應有全 面 可靠的管理 對于服務器 網(wǎng)絡設(shè)備互連端口地址 設(shè)備 Loopback 地址建議使用靜態(tài) IP 地址 而且各屬自不同的 IP 地址段 有利于骨干路由表的簡化與路由的快速處理 1 1 3 2 VLAN 的劃分的劃分 1 1 3 2 11 1 3 2 1 劃分劃分 VLANVLAN 的必要性的必要性 VLAN 是建立在各種交換技術(shù)基礎(chǔ)之上的 所謂交換實質(zhì)上只是物理網(wǎng)絡上的一 個控制點 它由軟件進行管理 所以允許用戶利用軟件功能靈活地配置資源 管理 網(wǎng)絡 利用交換設(shè)備中的虛網(wǎng)功能 不必改變網(wǎng)絡的物理基礎(chǔ) 即可重新配置網(wǎng)絡 采用虛網(wǎng)功能 網(wǎng)絡性能可以獲得較大的改善 1 虛網(wǎng)技術(shù)能對工作組業(yè)務進行過濾 有效地分割通信量 因而能更好地利 用帶寬 提高網(wǎng)絡總的吞吐量 2 采用虛網(wǎng)技術(shù)可以將不同樓層或不同房間的設(shè)備組成一個網(wǎng)段而不用更改 布線 因為虛網(wǎng)技術(shù)是從邏輯角度而非物理角度來劃分子網(wǎng)的 所以采用虛網(wǎng)技術(shù) 能減輕系統(tǒng)的擴容壓力 將遷移費用降至最小 3 采用虛網(wǎng)技術(shù)能有效隔離網(wǎng)絡設(shè)備 增加網(wǎng)絡的安全性和保密性 虛擬網(wǎng) 絡的安全策略采用的主要協(xié)議為 IEEE802 1Q 此協(xié)議結(jié)合有鑒別和加密技術(shù)以確保 整個網(wǎng)絡內(nèi)部數(shù)據(jù)的保密性和完整性 4 虛網(wǎng)技術(shù)能對屬于同一工作組的用戶提供廣播服務 但與傳統(tǒng)的局域網(wǎng)協(xié) 議所不同的是 虛擬局域網(wǎng)能限制廣播的區(qū)域 從而節(jié)省網(wǎng)絡帶寬 12 5 虛擬局域網(wǎng)可以建立在不同的物理網(wǎng)絡上 用封裝的辦法支法支持不同的網(wǎng) 絡協(xié)議絡協(xié)議 如 SNMP NMP IPX TCP IP IEEE802 33 等 兼容性非常好性非 常好 6 虛擬網(wǎng)絡中的主要應用技術(shù)為 虛網(wǎng)中繼 VLAN Trunking 特有技術(shù)的采用 也成成為了必然 必然 簡而言之 VLAN Trunking 主要是通過一條高速全雙工通道 來實現(xiàn)將將一個 LAN Switch 端口所劃分的不同 VLAN 與其它 LAN Switch 中各自相應 的 VLAN 成員進行線路復用連接的技術(shù) VLAN Trunking 技術(shù)的采用 既節(jié)省了信道 數(shù)據(jù)量 又提高了可靠性 并便于管理及方便連接 提高了整個網(wǎng)絡吞吐量和性能 指標 其原理如下圖所示 V1V2V3V4V1V2V4V1V1V2V3 200Mbps Bandwidth 200Mbps Bandwidth VLAN 1 to VLAN 4 VLAN 2 to VLAN 2 V VL LA AN N T Tr ru un nk ki in ng g 技 技 技 技 如果采用 VLAN trunking 的技術(shù) 則 V1 V2 V3 均可通過一條全雙工的 100Mbps 即 200Mbps 的速率與上級 LAN Switch 進行互通并經(jīng)過位于樹根部的路由 器進行路由與其它的 VLAN 進行通訊 VLAN trunking 技術(shù)的優(yōu)點在于采用一條高速 通道連接 提高了通道的使用效率 如在 如在 V2 V3 無數(shù)據(jù)量的情況下 V1 可以 獨占此 100M 帶寬 并且可以使得線路的連接變得簡單 從而大大提高可靠性與易維 護性 13 1 1 3 2 21 1 3 2 2 劃分劃分 VLANVLAN 的方法的方法 H3C 公司的 E 系列接入交換機不僅能夠支持標準的 802 1Q VLAN 還能實現(xiàn)端口 之間的隔離 我們可以使用 E 系列支持的 P VLAN primary vlan 這個特性 一方面實現(xiàn)用 戶之間的隔離 另一方面可以為三層交換機節(jié)省 VLAN 資源 E 系列可以屏蔽下面的 VLAN 劃分 僅向三層交換機提供一個 VLAN 信息 在邊緣交換機實現(xiàn)了端口可以同時 屬于多個 Vlan 如圖所示 其中端口 1 為 uplink 端口 端口 2 3 4 為接入端口 Vlan 1 包含端口 1 2 3 4 5 Vlan 2 包含端口 1 2 Vlan 3 包含端口 1 3 4 Vlan 4 包含端口 1 5 245 1 v vl la an n 1 1v vl la an n 3 3 v vl la an n 2 2 v vl la an n 4 4 3 設(shè)計中采用了幾個 secondary vlan 包含在一個 primary VLAN 中的方式 給用 戶提供了靈活的配置方式 如果用戶希望實現(xiàn)二層報文的隔離 可以采用了為每個 用戶分配一個 secondary vlan 的方式 每個 vlan 中只包含用戶連接的 port 和 uplink port 如果希望實現(xiàn)用戶之間二層報文的互通 可以將用戶連接的端口劃入 同一個 VLAN 中 同時創(chuàng)建 primary vlan 該 vlan 包含所有 secondary vlan 中包含 的端口和 uplink 端口 這樣對上層交換機來說 可以認為下層交換機中只有一個 14 primary vlan 用來標識設(shè)備 而不必關(guān)心 primary VLAN 中的端口實際所屬的 VLAN 簡化了配置 節(jié)省了 VLAN 資源 primary vlan 中的所有端口都不是 802 1Q 的 trunk 端口 包括與其它交換機相 連的 uplink 口 每個 port 的 PVID 就是它所屬 secondary vlan 的 ID uplink 端口 的 PVID 是 primary vlan 的 ID 我們建議在接入交換機上根據(jù)各個部門之間的邏輯關(guān)系進行靈活的 VLAN 劃分 可以讓一個樓層對應于一個 PVLAN 樓層內(nèi)的不同部門分屬不同的 Sencondary VLAN 這種劃分方式中 可以對用戶能實現(xiàn)動態(tài)的 VLAN MAC IP 綁定 可對用戶發(fā) 動的偽造攻擊報文進行合法性檢查和過濾 具有一定的網(wǎng)絡安全性保障 不同 VLAN 間的互訪 必須經(jīng)過三層交換機進行轉(zhuǎn)發(fā) 1 1 3 2 31 1 3 2 3 VLANVLAN 規(guī)劃規(guī)劃 我們建議按不同的業(yè)務使用主體來規(guī)劃整個旅游職業(yè)學院的 VLAN 資源 如 學 生宿舍 1 學生宿舍 2 教師 校管理人員等 為了減小廣播域 建議 VLAN 終結(jié)在匯聚層的三層交換機上 每個 VLAN 內(nèi)的主 機數(shù)量原則上不要超過 250 臺 建議每個 VLAN 內(nèi)的 PC 機數(shù)量控制在 50 臺以內(nèi) VLAN 的劃分可以依據(jù)不同的業(yè)務部門進行也可以依據(jù)用戶所處網(wǎng)絡的物理結(jié)構(gòu) 進行 后者主要是從網(wǎng)絡性能角度出發(fā) 而前者還兼顧了網(wǎng)絡安全性可控性的需要 根據(jù)實際業(yè)務部門辦公環(huán)境的分布情況來看 在大部分情況下 兩者實現(xiàn)了重合 而對于少數(shù)由于辦公地點不同 隔離在不同匯集點的相同業(yè)務部門 我們則推薦第 一種方式 將端口分配給 VLAN 的方式有兩種 分別是靜態(tài)的和動態(tài)的 靜態(tài)靜態(tài) VLANVLAN 形成靜態(tài) VLAN 過程是將端口強制性地分配給 VLAN 的過程 確定哪些端口屬于 哪些特定的 VLAN 然后將 VLAN 靜態(tài)映射到端口 這是將端口映射到 VLAN 的一種最 通用的方法 對于學生宿舍 教師辦公等用戶相對集中的區(qū)域 建議采用這種部署 15 方式 將 VLAN 部署在用戶對應的匯聚交換機端口上 動態(tài)動態(tài) VLANVLAN 我們知道 VLAN 常常被規(guī)劃用于對 資源訪問權(quán)限 的分組 不同的 VLAN 具有 不同的訪問權(quán)限 每個 VLAN 內(nèi)有一個 IP 地址網(wǎng)段 不同的 VLAN IP 地址段的用戶 具有不同的訪問資源的權(quán)限 用戶權(quán)限數(shù)據(jù)一般存儲在 CAMS 或接入認證系統(tǒng) UAM 后臺綜合訪問管理服務器 中 CAMS 根據(jù)用戶端的權(quán)限歸類 在認證通過之后 向二層交換機作動態(tài)的 VLAN ID 下發(fā)配置 此時 二層交換機要支持 VLAN 的動態(tài)配 置功能 H3C 全系列交換機支持 從廣播控制角度出發(fā) 為了保障網(wǎng)絡的高可用和高性能 我們建議在進行具體 VLAN 規(guī)劃時 同一個廣播域內(nèi) 一個 VLAN 的通信主機不要超過 250 臺 最好控制 在 50 臺以內(nèi) 對于主機數(shù)量超過 50 的業(yè)務部門 我們通過二層隔離 三層交換的 方式來解決 管理管理 VLANVLAN 作為特殊 VLAN 的典型 建議保留 VLAN1 作為管理 VLAN 管理 VLAN 覆蓋到全網(wǎng) 的每一臺交換機 但在第三層接口上 需要與其他業(yè)務 VLAN 進行有效的隔離 網(wǎng)管 工作站建議另外設(shè)置一個 VLAN 例如 VLAN ID 4000 VLAN4000 與 VLAN1 在第三層上 相通 同時 部分業(yè)務 VLAN 可以訪問 VLAN4000 從而實現(xiàn)網(wǎng)管的分布式監(jiān)控布局 VLAN1 和 VLAN4000 的第三層路由接口處設(shè)置訪問控制列表 只有特定的主機或者只 有網(wǎng)管 VLAN 可以直接訪問每一臺設(shè)備 其他均在過濾之列 對于服務器建議單獨設(shè)置在一個 VLAN 中 業(yè)務 VLAN 可以按照部門的類別進行劃分 每個部門劃分一個 VLAN 部門人數(shù)超 過 50 名的應該劃分為兩個 VLAN 以保證交換的性能 業(yè)務 VLAN 的命名建議采用 VLAN100 作為第一個業(yè)務 VLAN 然后按照數(shù)字序列進行劃分 一直到 VLAN123 本次建議在旅游職業(yè)學院網(wǎng)絡中采用靜態(tài)本次建議在旅游職業(yè)學院網(wǎng)絡中采用靜態(tài) VLANVLAN 劃分方案來部署 劃分方案來部署 1 1 41 1 4網(wǎng)絡管理方案網(wǎng)絡管理方案 16 1 1 4 1網(wǎng)管系統(tǒng)需求網(wǎng)管系統(tǒng)需求 網(wǎng)絡管理包括有三個部分 網(wǎng)管平臺 設(shè)備管理系統(tǒng) 業(yè)務網(wǎng)管 網(wǎng)管平臺則需要對全網(wǎng)進行管理 要有拓撲發(fā)現(xiàn)功能等 它力求全面地覆蓋企業(yè) IT業(yè)務的各個方面 網(wǎng)元管理系統(tǒng)一般均由設(shè)備原廠商提供 實現(xiàn)對網(wǎng)絡設(shè)備的故障管理 配置管理 和性能管理 故障管理等 另外 對于復雜業(yè)務 如 MPLS VPN 和 QOS 管理等業(yè)務 一些領(lǐng)先廠商提供了專 業(yè)的業(yè)務網(wǎng)管系統(tǒng) 如 VPN Manager 和 QoS Manager 1 1 4 2統(tǒng)一網(wǎng)管設(shè)計統(tǒng)一網(wǎng)管設(shè)計 通過在網(wǎng)絡中心安裝集中網(wǎng)管系統(tǒng) 通過帶內(nèi)的方式實現(xiàn)對整網(wǎng)設(shè)備的統(tǒng)一管 理 提供集中 統(tǒng)一 分級 分權(quán)的網(wǎng)元管理 網(wǎng)絡管理功能 并實現(xiàn)部分業(yè)務供 給功能 網(wǎng)管系統(tǒng)采用先進的組件化結(jié)構(gòu) 可以對全網(wǎng)設(shè)備集中管理 在新老校園 網(wǎng)中提供分級的網(wǎng)管中心 提供不同的管理權(quán)限 每個校園網(wǎng)的網(wǎng)管僅能管理本園 區(qū)的網(wǎng)絡設(shè)備 對于全網(wǎng)設(shè)備可以設(shè)置一個中心一級的網(wǎng)管中心 對所有網(wǎng)絡設(shè)備 進行管理 網(wǎng)管系統(tǒng)對所有設(shè)備的管理采用帶內(nèi)方式 通過 SNMP 協(xié)議由網(wǎng)管中心服 務器發(fā)出管理信息報文 各寬帶網(wǎng)絡設(shè)備上的網(wǎng)管代理進行本設(shè)備運行狀態(tài) 數(shù)據(jù) 信息的收集 然后通過 SNMP 協(xié)議將本網(wǎng)絡設(shè)備的網(wǎng)管信息上報給網(wǎng)管中心服務器 由網(wǎng)管中心服務器統(tǒng)一對上報的網(wǎng)管信息進行處理和分析 然后通過 SNMP 協(xié)議下發(fā) 控制命令 由各設(shè)備網(wǎng)管代理接收控制命令后 完成對本設(shè)備的管理和控制 分級 網(wǎng)管的設(shè)置可根據(jù)要求靈活設(shè)置 可將分級網(wǎng)管服務器放置于各園區(qū)一個局域網(wǎng)內(nèi) 最好各園區(qū)選擇一個網(wǎng)絡管理中心同時作為本園區(qū)網(wǎng)絡的信息資源共享中心 也 可采用 UNIX 遠程客戶端的方式將網(wǎng)管終端放置在遠程 此時網(wǎng)管終端與網(wǎng)管服務器 之間的信息交流也是通過帶內(nèi)通道完成的 綜合網(wǎng)管系統(tǒng)應該能提供如下管理能力 拓撲管理拓撲管理 17 拓撲管理用于構(gòu)造并管理整個通信網(wǎng)絡的網(wǎng)絡拓撲結(jié)構(gòu) 通過自動上載網(wǎng)絡設(shè) 備的拓撲數(shù)據(jù)形成與實際網(wǎng)絡拓撲結(jié)構(gòu)相同的網(wǎng)絡拓撲視圖 運行中通過對網(wǎng)絡設(shè) 備進行定時 根據(jù)用戶設(shè)定的每一設(shè)備的狀態(tài)與配置輪詢間隔時間 的輪循監(jiān)視與 設(shè)備上報 TRAP 或告警處理 保證顯示網(wǎng)絡視圖與實際網(wǎng)絡拓撲一致 用戶可通過瀏 覽網(wǎng)絡視圖來實時了解整個網(wǎng)絡的運行情況 網(wǎng)管系統(tǒng)的拓撲視圖是采用分層結(jié)構(gòu)的 其中拓撲頂層顯示的子圖稱為視圖 根據(jù)被管對象的種類和實際需求抽象出了幾種視圖顯示在拓撲的頂層 目前包含了 三個邏輯視圖 IP 設(shè)備視圖 交換設(shè)備視圖和接入設(shè)備視圖 和一個物理視圖 在 這些視圖下是子網(wǎng) 它是具有相同屬性的設(shè)備的集合 在子網(wǎng)下就是具體的網(wǎng)絡設(shè) 備 子網(wǎng)也可以再包含子網(wǎng) 其中邏輯視圖中只包含了各自類型的網(wǎng)絡設(shè)備 它反 映了網(wǎng)絡設(shè)備之間的邏輯關(guān)系 而物理視圖中的子圖和設(shè)備是用戶自己設(shè)定的 用 戶可以根據(jù)地理位置去創(chuàng)建物理子圖并定義它們之間的連接關(guān)系 IP 視圖用于 IP 層網(wǎng)絡拓撲的管理 描述整個基于 IP 路由器的 IP 網(wǎng)絡的網(wǎng)絡層 拓撲結(jié)構(gòu) 主要包括路由器 LAN Switch 接入服務器和計算機等 IP 設(shè)備 基于 IP 路由器的網(wǎng)絡拓撲結(jié)構(gòu)分成兩層 上層由路由器和 IP 子網(wǎng)組成 IP 子網(wǎng)表示某一傳 輸類型的物理網(wǎng)絡 如以太網(wǎng) Frame Relay 網(wǎng)等 在同一 IP 子網(wǎng)下的所有設(shè)備具 有同樣的 IP 子網(wǎng)地址設(shè)置 路由器和 IP 子網(wǎng)之間通過路由器端口連接 如以太網(wǎng) 口 Frame Relay 廣域網(wǎng)口等 路由器和路由器之間的連接有兩種 一是通過 IP 子 網(wǎng)連接 如兩路由器通過以太網(wǎng)或 Frame Relay 網(wǎng)互連 二是直接的點到點連接 如 PPP 連接等 物理視圖用于反映網(wǎng)絡設(shè)備之間的物理關(guān)系和連接 用戶可以自由創(chuàng)建物理子 網(wǎng) 在物理子網(wǎng)中加入邏輯子網(wǎng)中已經(jīng)存在的設(shè)備 建立它們之間的連接關(guān)系 拓撲管理主要操作有增刪設(shè)備或子網(wǎng) 查看節(jié)點 鏈路或子網(wǎng)的狀態(tài) 通過定 時輪詢或手動啟動對任一設(shè)備的狀態(tài)或配置數(shù)據(jù)輪詢 實時刷新拓撲顯示數(shù)據(jù) 拓撲管理還具有改變背景圖象 設(shè)置網(wǎng)絡對象屬性 保存拓撲視圖修改 查找 網(wǎng)絡對象 顯示網(wǎng)絡對象信息 拓撲視圖顯示效果設(shè)置等功能 用戶可對每個子網(wǎng) 18 設(shè)置背景圖象 gif 格式 背景圖象的大小根據(jù)窗口大小自動調(diào)整 配置管理配置管理 網(wǎng)管系統(tǒng)提供全網(wǎng)瀏覽樹和設(shè)備面板圖對配置進行維護 全網(wǎng)瀏覽樹把網(wǎng)絡中的所有設(shè)備按不同的分組方式組織在一個樹形結(jié)構(gòu)中 操 作者可靈活切換要進行配置操作的設(shè)備 對所有設(shè)備和設(shè)備組件的操作都通過右鍵 菜單來完成 用戶右鍵點中待管理的對象 系統(tǒng)將自動彈出該設(shè)備或設(shè)備組件所對 應的管理菜單 所有設(shè)備和設(shè)備組件 如端口等 的配置 實時性能管理功能都可 通過該右鍵菜單完成 本瀏覽樹可裝載并顯示所有路由器 以及其它支持 SNMP 協(xié)議的設(shè)備端口數(shù)據(jù) 在瀏覽樹中的端口顯示數(shù)據(jù)包括 端口狀態(tài) 端口索引 端口類型 IP 地址 掩碼 設(shè)置 如設(shè)置有 用戶右鍵點中該端口即可彈出該端口所對應的配置菜單 通過在拓撲圖上雙擊拓撲設(shè)備節(jié)點啟動設(shè)備面板圖 在面板視圖上對設(shè)備進行 配置 設(shè)備面板圖和全網(wǎng)瀏覽樹所提供的配置功能是完全一樣的 在面板上進行配 置顯得更直觀 提供設(shè)備的機架視圖 實時顯示各單板的狀態(tài)和告警信息 對于面 板中的每個單板節(jié)點 提供右鍵彈出菜單 該菜單是針對該單板的一系列的應用 包括配置 性能 維護管理等 而全網(wǎng)瀏覽樹則是提供了一種對全網(wǎng)設(shè)備進行管理 的手段 在配置較多的設(shè)備時比較方便 故障管理故障管理 故障管理主要包括對全網(wǎng)設(shè)備的告警信息和運行信息進行實時監(jiān)控 查詢設(shè)備 的歷史告警信息和運行信息 定義發(fā)送過來的 SNMP Trap 查詢和配置設(shè)備的告警表 故障管理系統(tǒng)收集和處理設(shè)備告警 設(shè)備告警包括 Snmp Trap 和 MML 格式的告 警 前者告警來源為 SNMP 設(shè)備 大部分數(shù)據(jù)通信設(shè)備支持 SNMP Trap 和 Alarm 可 以同屏顯示也可以分屏顯示 以下敘述中 告警 如無特殊說明包括 Snmp Trap 和 MML Alarm 19 故障管理系統(tǒng)包括故障管理后臺 實時告警顯示 歷史告警顯示 Trap 規(guī)則定 義工具 故障監(jiān)視面板和當前故障窗口 故障管理后臺接收設(shè)備告警 寫數(shù)據(jù)庫 發(fā)送給實時告警前臺顯示 如果有其他應用關(guān)心某些類型的告警 還要上報給該應 用 實時告警顯示從故障后臺實時接收設(shè)備告警并顯示 歷史告警顯示從數(shù)據(jù)庫檢 索告警并顯示 實時告警顯示和歷史告警顯示都支持過濾條件 可以檢索指定設(shè)備 一個或多個 的告警 也可以按類別檢索指定類型的告警 Trap 規(guī)則定義工具主 要是定義 Snmp Trap 的描述信息 因為 Snmp Trap 是二進制編碼 Trap 規(guī)則定義了 該二進制流中各字段的描述信息 故障管理后臺接收設(shè)備發(fā)送的 Trap 后根據(jù)當前的 Trap 規(guī)則定義對 Trap 進行解釋 將解釋后得到的告警數(shù)據(jù)寫入歷史告警庫 并發(fā) 送給前臺程序 MML Alarm 本身是 ASCII 字符流 故障后臺經(jīng)過適當?shù)淖侄味ㄎ缓?直接入庫和發(fā)送給前臺進程 故障監(jiān)視面板為您提供了一個直觀的了解設(shè)備故障情 況的工具 它可以提供單個設(shè)備或所有設(shè)備的告警狀態(tài)數(shù)據(jù) 實時刷新狀態(tài)數(shù)據(jù) 并可以通過激活當前告警窗口為您提供告警的詳細數(shù)據(jù) 它由六個代表不同級