学院网络改造项目实施方案

学院网络改造实施方案

WORD版本下载可编辑

一、概述

1、工程概况

某某学院本次网络改造主要是对学生宿舍网和学校出口网络进行改造。原有的学生宿舍网没有自己单独的核心设备，并且所有的桌面接入交换机均为不可网管设备，无论是从网络稳定性、安全性、可管理性和可控性上都无法得到保证，而出口位置以前没有专门的安全设备，整个校园网的安全也有缺陷。针对这些问题，本次改造增加了一台H3C的高端路由交换机9505作为学生宿舍网的核心，将楼宇接入设备和桌面接入设备更换成了H3C的可网管交换机，并且增加了基于802.1X技术的cams用户管理系统，对学生上网进行认证和计费。在出口位置，增加了一台高端的防火墙设备，作为校园网访问公网的边界设备。

2、实施原则

网络改造的实施遵循下面三个原则：

以用户需求为指导的原则

由于本次网络改造是对原有网络的升级和扩容，因此，网络的改造首先要深刻理解用户的需求。通过了解目前网络的现状，分析其所存在的缺点，结合用户提出的要求，制定最佳的实施方案，充分发挥出新设备的性能。

先进性的原则

目前，某某学院网络在网络性能、可靠性、安全性和可管理性等方面存在一定的缺点，因此网络改造一定要遵循先进性的原则，弥补现有网络的缺陷，并且能够满足未来3至5年网络应用发展的需求。

合理规划、认真实施的原则

在规划过程中，要充分考虑设备、vlan、地址使用的合理性及扩展性。做到既不浪费、有又良好的可扩展性。同时要做到便于管理。实施过程中要注意各种细节问题，多余用户进行沟通，真正做到一丝不苟、认真负责。

二、网络改造实施方案

1、新建网络拓扑情况

新建网络将学生宿舍网与办公网在结构上做了分离，学生宿舍网成为一个单独的网络。整个学生宿舍网呈星形结构，分为核心、汇聚和接入三层。在逻辑结构上设计为一个大的交换网络，核心层是一台H3C 的9505路由交换机，既汇聚各楼的交换机，又与校园网出口防火墙通过千兆互联。各学生宿舍楼使用一台E328作为楼宇汇聚设备，通过千兆光纤链路与核心设备互联，接入层的桌面接入设备为H3C 的E126交换机，通过百兆链路与楼宇汇聚设备互联。学生宿舍网的网关均设置在9605上，Cams 用户管理服务器直接连接到核心9505上。

新建网络的出口位置增加了一台千兆防火墙，连接网通提供的Internet 链路和教育网某某地区的核心设备Ne40，同时通过千兆连接校园网的9505和6509，此防火墙的主要任务是做校园网访问外网的地址转换，并且抵御外部病毒和攻击。

新建网络拓扑如下图所示：

学生宿舍3#CERNET 2

学生核心9505

Ne40

学生宿舍1#学生宿舍2#学生宿舍4#学生宿舍7#

学生宿舍5#学生宿舍6#

学生宿舍8#

教工宿舍网

潍坊地区各高校网络

一条链路双栈互联

1000M 155M 100M

教学1#教学3#教学2#

教学4#教学5#教学6#教学7#

Catalyst2950H3C 2133SecGate 3600-G10

Cams 认证服务器

具体的设备分配见表《设备分配与管理地址表》

2、网络设备管理方案

新建网络使用的均为可网管设备，为了便于管理，需要对网络设备规定统一的命名规则、端口描述规则、端口分配规则以及管理地址分配规则。

(1) 设备命名

为了使设备易于管理与维护，对设备进行合理命名是必要的。按以下规则命名：

核心设备命名：9505的设备名命名为S9505-WFU

汇聚与接入设备命名：

设备名：ABCD_E_F

ABCD：设备类型，如接入交换机就命名为E126

E：楼宇号；

F：交换机序号

例如：1号楼的第一台桌面接入交换机E126就命名为E126_1_1#

(2) 端口描述

为了使用户对网络连接情况更加清晰，对设备接口进行合理描述是必要的。

核心设备端口描述：to_A A为楼宇号或设备号如连接一号楼的端口描述为to_1# 汇聚设备端口描述：

汇聚设备的上联端口统一描述为to_9505

汇聚设备的下联端口描述：to_E126_B B为该楼E126序号

接入设备端口描述：上联端口描述为to_E328_C C为汇聚设备E328的端口号

(3) 核心设备端口分配

核心设备9505的端口众多，建立一个详细的设备端口分配表，再结合端口描述，可以使用户非常方便的进行端口管理。详细的核心设备端口分配见附件《核心设备端口分配表》

3、VLAN和IP地址规划方案

本次网络改造的vlan划分原则是对vlan进行细分。这样设计的原因是：

1）ARP病毒或其它网内病毒呈愈演愈烈之势。一旦一个vlan内部出现了ARP病毒，那么vlan内所有机器都会受到影响，甚至会影响到交换机的性能。而vlan细分可以把影响面缩小，便于排查中毒机器，同时也控制了病毒的传播。

2）随着多媒体的发展，组播流量将占据越来越大的比重。按照组播原理，组播流量到了二

层vlan内部，会向网段内部的所有端口发送，一旦流量过大，会影响vlan内部所有机器的正常网络使用，同样也会影响接入交换机的性能。显而易见，把vlan细分，减少一个vlan内的机器数量，就可以有效地控制vlan内部的组播流量。

3）把vlan细分，便于进行访问控制和服务质量保证。

具体的分配原则是：

1、2号楼各划分9个vlan

3号楼划分21个vlan

4号楼划分20个vlan

5号楼分为两部分接入到核心设备，一部分划分18个vlan，另一部分划分10个vlan

6号楼也分为两部分接入到核心设备，每一部分各划分12个vlan

7号楼划分12个vlan

8号楼划分17个vlan

对于服务器，单独设置一个服务器vlan。

为实现网络可管理的要求，在每一栋学生宿舍楼上增加了一个网络管理VLAN（5、6号楼每部分增加一个管理vlan），它不需要分配端口，只作为网络管理用，可以通过telnet 或网管软件等方式远程管理和监控交换机，达到可控制、可管理的目的。

为实现9505交换机与防火墙的互通，需要在9505上设置一个互联VLAN

具体的vlan划分见附录《vlan与IP地址划分表》

由于学生宿舍网使用的都是私网IP，通过地址转换访问教育网和公网，所以有充足的IP地址可供分配。为了避免IP地址盗用现象，为每一个vlan分配一个C类的地址；为服务器网段分配一个C的地址；为每一个管理vlan分配64个地址；另外，与防火墙互联的vlan 分配一个公网地址。

IP地址的分配目前采用DHCP动态分配的方式。由于学生宿舍网使用的都是私网IP，并且每个VLAN的IP地址很多，因此使用静态分配地址并且在交换机上进行绑定的方式实施起来很困难，也会对交换机的性能造成影响。使用动态DHCP分配地址的优点是配置简单，缺点是不利于进行用户定位和事件追踪，但使用cams系统可以查找到用户名与IP地址的对应关系，并可以查看用户上网日志，从而很容易的进行用户定位，所以建议使用DHCP 动态分配地址。由于cams还具备用户名与IP地址绑定的功能，因此今后也可以更改地址分配方式。

具体的IP地址分配见附录《vlan与IP地址划分表》