大学校园网设计实例
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7. 网络安全与管理
• 保证校园网内部系统的足够安全,以及 校区间信息传输的安全,保证主要服务 器的系统安全,建立全校防病毒系统。 • 提供完整和方便的网络管理功能,主要 包括网络设备的安全管理以及计费管理。
7. 网络安全与管理
• 网络安全是一个体系结构,涉及整个办公环境的 各个方面,包括人员和设备,包括信息的驻留点 以及沿途经过的各个中间环节,从物理层到应用 层都要小心对待。 • 不仅要防止来自校园网外部的黑客入侵,还要防 止来自校园网内部的恶意破坏。 • 既要保证信息的开放性,又要保证教务财务等信 息的完整性。 • 不仅要保证数据的存储安全可靠。还要保证数据 在传输过程中的安全保密。
6. 对外发布站点
• DMZ区通常放置的服务器有邮件服务器、WWW 服务器以及解析本校域名的两个DNS服务器等, 当然也可以放置一些其他有特殊用途、需要外网 访问的服务器。 • 对于某些信息化程度比较高的二级部门,如信息 工程学院,为了教学和科研的需要,需要给全院 教师一个独立的域名,该域名可用于HTTP和 FTP。为了管理方便,该学院网管员向学校网络 中心申请了独立域名,即IE.xxu.edu.cn。
• 园区大楼之间的光纤尽可能一次性铺设,避免 沟道的重新挖填,光纤在长度和芯数上都应留 有一定的余量和备份,以防大楼拆迁、线路故 障和带宽扩容。 • 同时,布线系统必须满足灵活应用和模块化的 要求,即任一信息点能够连接不同类型的设备, 如计算机、打印机、终端或电话、传真机。 • 对于会议室、报告厅以及布线不太方便只是临 时需要信息点的地方可以搭建无线局域网。 • 对于教学楼、家属楼等信息点非常少的地方, 配线间的选择非常重要。
5. Internet服务
• 申请域名以及合法IP地址块,架设信息 发布、邮件系统等常用服务器。 • 申请到合法域名****.edu.cn及合法IP地址 块206.0.68.0/22,拟购买服务器架设 WWW、DNS、Mail等服务器。
6. 应用系统
• 能够在网络上运行各种应用系统:
– – – – – 财务系统 教务系统 办公系统 网上视频会议 视频点播
• 另一方面,通过这样一个DMZ区域,更加有效地保护了 内部网络。
6. 对外发布站点
• DMZ区的安全等级高于外网低于内网,防火墙 的默认规则是允许安全等级高的访问安全等级低 的,禁止安全等级低的访问安全等级高的。 • 因此,防火墙不需要设置规则就可以实现内网访 问到DMZ区,但外网访问到DMZ区。 • 对于学校来讲,WWW站点的主要目的就是对外 发布信息,必须让外网能够访问到,为了到达这 个目的,可以在防火墙上添加一些规则,开放 DMZ区所在服务器的IP以及相应的端口。
• 目前在企业或校园这样的园区网中,普遍采 用无可争议的千兆以太网作为主干网技术。 • 楼内局域网采用快速以太网(10/100Mbps自 适应)。 • 为了对操作平台和应用软件有大量的支持, 以及和Internet实现连接,应选择TCP/IP协议 作为整个网络的通信协议。
2. 综合布线
• 信息点分布到两个校区所有办公楼、实 验楼、图书馆以及多媒体教室等,本部 学生楼和教师生活区楼要连入校园网。 • 综合布线系统为计算机联网和话音通信 提供必要的规范化的物质基础。 • 布线系统设计应按照“总体规划、分布 实施,水平布线尽量一步到位”的原则 进行。
9x
10x
11x 12x
7x
8x
9x
10x
11x 12x
C
7x
Ethernet
7 8 91011 12
8x
9x
10x
11x 12x
7x
8x
பைடு நூலகம்9x
10x
11x 12x
C 7 8 91011 12 A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A
12 34 56
DMZ 防火墙 VLAN service VLAN manage
核心交换机 VLAN foreign 本部 VLAN infomation
5. 路由规划
• 核心3层交换机实现VLAN之间的相互访问。 • 由于所有用户还需要访问Internet,因此,在3层交换机、 防火墙以及出口路由器上还要设置一条指向Internet的默 认路由。 • 对于出口路由器来讲,所有内部网段,包括DMZ区都是 非直连的,因此,需要设置静态路由条目使它们指向这 些网段。 • 在设置防火墙的路由条目时,可以当作路由器按照前面 所讲的非直连设置静态路由的方法逐一设置。 • 需要注意的是,东区和本部通过Internet实现VPN互连, 为节省费用,不使用专用VPN硬设备,而使用位于DMZ 区的一台性能较好的RRAS作为VPN接入服务器,因此, 丝毫不影响其他设备的路由配置。
• 对于机房、家属楼、宿舍楼等主要以访问其 他资源为主的主机来讲,建议采用保留IP地 址,在边缘处启用NAT转换以节省合法IP的 使用。
• 另外,对于用户比较集中,位置相对固定的 信息点,如办公室等,建议分配静态IP,这 对于故障管理很重要。
5. 路由规划
Internet VLAN economic 东区
第7章
大学校园网设计实例
大学校园网设计 实例
• 总体规划 • 详细设计
• 某大学有两个校区
– 本部——外语学院、信息工程学院
– 东校区——经济管理学院
1. 网络拓扑结构
• 网络拓扑结构是决定网络性能的主要技术之一, 同时在很大程度是也决定了网络系统的可靠性、 传输速度和通信效率。网络拓扑结构与网络布线 系统也有着密切的关系,将对整个网络系统的工 程投资产生重要的影响。 • 校园网一般由汇聚主干层和用户接入层两部分组 成。目前,网络主干主要采用星型拓扑结构。
DMZ
7x
Ethernet
连接CERNET地区节点
11x 12x 5x 6x
8x
9x
10x
11x 12x
7x
8x
9x
10x
C 7 8 91011 12 A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x
A
B
WWW
DNS
防火墙 办公楼
教学楼
7x
Ethernet
8x
1. 设备选型
• 对于园区网来讲,核心交换机必须具有3 层交换功能,背板带宽和包转发速率是 要考虑的两个性能特征。 • 接入层交换机没有特殊要求,目前首选 2950系列交换机或3550系列交换机。
2. Internet接入
• 较大的高校校园网一般采取专线接入的 方式,目前常用的是光纤以太网接入。 • 为防止单条链路出现故障,还往往申请 一条ADSL线路通过Chinanet连入Internet。
1x
2x
3x
A
4x
5x
6x
1x
2x
3x
B
4x
5x
6x
A
B
实验楼
7x
Ethernet
核心交换机
8x 9x 10x 11x 12x
图书馆
7x
Ethernet
8x
9x
10x
11x 12x
7x
8x
9x
10x
11x 12x
7x
8x
9x
10x
11x 12x
C 7 8 91011 12 A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
1. 设备选型
• 一是满足需求
– 满足需求不是指简单地满足用户现有的需求,而应该 综合考虑用户在将来的一段比较长的时间内的扩展性。 当然,设备的选型也不能超前太多,一定要经济实用。 比如Cisco 2600系列路由器就能够满足用户现在以及将 来的需求,如果上一个3600系列,尽管也满足了要求, 但毕竟存在太大的资源浪费。
7. 网络安全与管理
• 校园网是一个庞大的系统,信息点、网 络设备分布在校区的各个角落,校园网 用户也分很多种,有教师、学生、行政 人员、普通职工,有办公楼、教学楼、 宿舍楼、家属楼等,因此如何有效的管 理也是园区网管理认真思考的问题。
详细设计
• • • • • • • • • 1. 设备选型 2. Internet接入 3. VLAN规划 4. IP地址规划 5. 路由规划 6.对外发布站点 7. 开放机房 8. 无线接入 9. 安全及管理
6. 对外发布站点
•
DMZ是英文“demilitarized zone”的缩写,中文名称为 “隔离区”,也称“非军事化区”。
• 它是为了解决安装防火墙后外部网络不能访问内部网络 服务器的问题,而设立的一个非安全系统与安全系统之 间的缓冲区,这个缓冲区位于内部网络和外部网络之间 的小网络区域内。
• 在这个小网络区域内可以放置一些必须公开的服务器设 施,如企业Web服务器、FTP服务器和论坛等。
3. VLAN规划
VLAN标识 1 2 3 4 5
VLAN名称 manage foreign Economic Information Service
所属单位 网络管理 外国语学院 经济管理学院 信息工程学院 其他处级单位
4. IP地址规划
• 当申请的合法IP数量较多时,首先主要以合法 IP进行地址规划,不够时再考虑保留IP • 当申请的合法IP数量很少时,用保留地址进行 规划,少量的合法IP用于Internet服务器。
C 7 8 91011 12 A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A
B
A
B
科研楼
7x
Ethernet
家属楼、宿舍楼
7x 8x 9x 10x 11x 12x
8x
9x
10x
11x 12x
7x
Ethernet
8x
9x
10x
11x 12x
7x
8x
9x
10x
• 二是经济实用。
– 对于模块化的网络设备,要注意模块的有效利用,同 时建议模块到要用的时候再购买,因为设备的价格一 般是越来越便宜,同时也防止厂家推出价位相同但功 能更强的换代产品。
1. 设备选型
• 用户希望购买新的网络设备能够使已有的 网络设备得到最大程度的利用,注意:
– 一是注意设备之间的连接模块,连接方式是否 经济有效; – 二是在技术上,要考虑不同厂家产品的兼容性 问题
3. VLAN规划
• 一个规模较大的园区网,下属很多二级单位, 一般采用VLAN技术,按照二级部门划分成多 个相对独立的虚拟局域网。 • 尽管VLAN允许处于不同地理位置的网络用户 加入到一个逻辑子网中,共享一个广播域,但 绝大多数二级单位的用户处在同一个地理位置 (如一栋大楼等),因此VLAN中与地理位置 无关的逻辑概念体现得不是太明显。 • 尽管这样,为了安全起见,仍然划分VLAN, 这样可以保证网段之间在数据链路层开始真正 地相对独立。
3. Internet连接
• 所有校区都要能够访问Internet,并且保证本部 Internet出口的鲁棒性,保证24小时不间断运行。 • 校本部给出两路:Chinanet和Cernet
– 到Chinanet的出口通过路由器采用ADSL专线实现与 Internet连接,出口速率可达1Mbit/s, – 到Cernet的出口通过路由器的1000M以太网口采用光 纤与Cernet地区级节点连接。
• 分校通过当地电信部门通过10M的光纤专线连入 Internet。
4. 校区互连
• 为便于管理,实行集中式管理,在本部建立网 络中心,所有服务器放置本部。为了实现网上 办公和相关的信息处理和查询,东区要能够安 全访问到本部的教务、办公等所有必要信息。 • 校区之间的互连方式很多,如DDN、ISDN、 FR等,但这些方式运行费用昂贵,考虑到两个 分校区与本部之间的流量不是很大,主要是一 些办公信息和教务信息等,目前采用VPN不失 为一种安全可靠、价格低廉的互连方式。
11x 12x
C 7 8 91011 12 A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
C 7 8 91011 12 A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A
B
A
B
• 在设计上,每个二级节点至少有两条链路与中心节 点相连,当一条链路发生故障时,网络信息可自动 路由到另一条冗余链路上传输,提高网络可靠性。 • 接入层一般采用星型拓扑结构,因为星型拓扑结易 于管理维护和扩展,可实现带电接入与拆除,并且 对整个网络运行无任何影响。 • 因此,整个校园网是由多个星型组成的树状拓扑, 桌面计算机是叶子节点。
4. IP地址规划
• 该校申请到了206.0.68.0/22地址块,也就是4个C 类地址,根据每个单位信息点的数量情况,IP大 致分配如表所示。
单位 信息工程学院 经济管理学院 外国语学院 机关部处 信息点数量 约240 约200 约120 约110
DMZ
网络设备 预留未使用
约20
约40
4. IP地址规划