校园网络规划与设计
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
保校园网与外界网络的信息交换安全可控,既要能够保证 正常的校园网和互联网的信息交换,同时也能阻挡恶意网 络访问,例如端口扫描、非授权访问行为、病毒、不良网 站等。 2、校园网漏洞及补丁管理安全需求 校园网是一个由多协议、多系统、多应用、多用户组成的复杂 性网络环境,校园网中的网络设备、操作系统、数据库、 应用软件都存在难以避免的安全漏洞。为了要保障校园网 安全,必须做好校园网漏洞管理。
二、网络方案设计
安全性需求
5、校园网病毒安全管理需求 病毒是校园网安全隐患之一,必须做到有效控制。 其主要需求包括: 杀毒软件不仅要能保护文件服务, 同时也要对邮件服务器、网站服务器、学生和教职 员工用的PC、网关等所有计算机设备进行保护; 杀 毒软件能从邮件、FTP文件、网页、软盘、光盘等 所有可能带来病毒的信息源进行监控和病毒拦截; 杀毒软件查杀能力能够覆盖最新病毒,查杀病毒是 多多益善,重点是目前的流行病毒。
一、需求分析(管理需求)
• 校园网有网络管理中心负责管理。采用易于 管理的布线和设备方式
• 配置管理:网络节点、端口和冗余结构的配 置,网络节点访问口令设置和更改
• 性能管理:可以收集网络运行的相关数据, 视重要程度并记录保存。需要时进行网络监 控。形成报告向上一级中心报告和提示系统 管理员,使用这些信息为网络提供规划设计 依据
(6) 实现课堂多媒体电化教学,具备适用于双向课堂 语音教学及语音室功能学习。 校园网的建设能促进教师和学生尽快提高应用信息 技术的水平,为学生提供了一个实践的环境,为教 师提供了一种先进的辅助教学工具、提供了丰富的 资源库。
业务需求分析
一、校园网是为教师的教学、科研活动和培训服务 的:如提供教学资源、辅助教师备课,参与课堂教 学活动和支持教师再学习活动等。 二、校园网是为学校教育教学管理服务的:如辅助 学校的教学教务管理、学生学籍管理、人事档案管 理、财产管理等。 三、校园网是沟通学校与外界的窗口,利用校园网 既可以从校外获取各种教育信息,也可以向外发布 各种教育信息。
(4) 实现办公自动化,提供与上级教育部门、社会、家庭之间 通讯的出入口,提供电子函件、公告牌和教育教学信息查询 等服务,提高工作效率和管理水平;
我们学校的信息化服务的目的
(5) 及时、准备、可靠地收集、处理、存储、传输学 校的教育教学信息完成与因特网的通讯和资源共享, 实现社会教育、学校教育、家庭教育的有机整合。
接入层交换机连接终端用户,并把不同部门人员规划到不同的VLAN 中;
学校内部都使用私网地址,访问外网时,采用NAT,实现用户可以访 问外网;
根据服务器功能需求和信息安全要求进行服务器系统区域划分,完成 服务器接入交换机的安装和调试;
建立办公网络系统,完成各配线间接入交换机的安装和调试,实现终 端用户1000M自适应桌面接入,万兆主干上联;
安全性需求
4、校园网安全监控管理安全需求 对校园网络进行安全监控,就如同在教学大楼内安 装的闭路电视监控系统。其主要需求有: 对校园网 关键区域的信息流动进行动态监测,能够把网络上 流过的所有数据包,通过实时检测和分析,及时发 现非法或异常行为; 对校园网紧急事件(网页篡改、 试题盗窃)以最快的速度阻止; 能够按要求存储校园 网访问日志记录,提供进行关键词查找和离线分析 功能; 对校园网特殊安全事件进行回放。
运营需求
高校校园网在为学校教学、科研提供网 络平台的同时,也为校内教职工及学生 提供网络接入服务,这就提出了运营的 需求。 而学校收费和学生缴费是一对天 然的矛盾,当前不少学校采用的运营模 式与学校实际的情况差距太大, 无法有 效杜绝学生逃避收费等问题一直困扰着 学校的网管人员。
我们学校的信息化服务的目的
安全性需求
6、校园网安全运维管理需求 校园网的硬件环境建设完毕后,一项重要的工作就 是做好校园网的维护工作,保证校园网的稳定、安 全运行,能够满足学校教学活动的要求。校园网的 安全运维需要有一个校园网安全运营中心(School Security Operations Center,简称SSOC),通过 SSOC强化安全管理工作,对校园网不同教学场所 设备、不同计算机系统中的安全事件进行监控、汇 总和关联分析,提供可视化校园网安全状况展示。 针对不同类型安全事件提供紧急应对措施。实现校 园网络集中安全管控,保护校园网络数字资产安全。
方面:
性能需求
高校校园网中网络应用人数很多,并且随着网络应 用技术的不断丰富,高校校园网应用也愈发复杂, 例如FTP文件传输等大数据量的访问,产生了巨大 的网络流量。如何高速进行网络传输,对网络设备 提出了很高的要求。网上视频点播、广播、大量的 多媒体通讯,需要QoS支持。如何有效合理对教育 网络带宽的调度和分配满足如:教育网络多媒体教 学和远程教学; 图书馆访问系统,大型分布式数据 库系统、超性能计算资源共享管理系统、视频会议、 ePhone等等应用,都是网路设计所需要考虑的重要 因素。
所有用户都使用DHCP获得IP地址; 建立公共区域的无线网络,实现用户安全认证; 增加安全设备实现校园网络的安全性,且能监控来自内外部的上网行
为,设置TELNET,且只有管理员能TELNET到各设备。
二、网络方案设计
我们将整个网络划分为三层:核心层;汇聚 层;接入层。
考虑到核心层网络的可靠性和高性能,本项 目采用双机热备(负载均匀)方式设计核心 层交换机,核心交换机选用两台思科6509 (三层交换机),两台6509之间通过hsrp协 议实现双机互联和冗余备份,并通过两对光 纤做port channel连接,实现核心设备连接链 路的负载均衡。
通信量需求是从网络应用出发,对当前技术条件下可以提 供的网络带宽做出评估。
应用类型 PC连接 文件服务
压缩视频 非压缩视频
基本带宽需求
14.4kb/s~56kb/s
100kb/s以上
256kb/s以上 2Mb/s以上
备注
远程连接,FTP、HTTP、E-mail
局域网内文件共享,C/S应用, B/S应用,在线游戏等绝大部分纯文本应用
Mp3、rm等流媒体传输
Vod视频点播、视频会议等
楼名 办公楼
用户需求分析
楼层 1~6
每层房间数 10
每个房间信息 点数
4
总信息点数 240
实验楼
1~11
10
35
3850
图书馆
1
1
2~4
2
12
12
6
24
5
1
30
30
宿舍楼(北A) 1~3
6
2
36
4~6
30
采用无线
2
二、网络方案设计
学校使用两台汇聚交换机(做冗余备份相连),连接接入交换机,并 把所有接入交换机连接到核心路由器上;
二、网络方案设计
整个项目将使用到的技术有:Vlan划分; HSRP设计;以太通道设计;路由协议选择; SVI设计;DHCP设计;DNS设计;NAT设计; 防火墙设计;VPN设计;802.1X设计和 TELNET设计等。
二、网络方案设计
2.1、网络逻辑拓扑设计
二、网络方案设计
2.2、VLAN规划与IP地址规划
二、网络方案设计
由于合法IP地址的短缺,在联大的网络建设 中选 用了B类的保留地址,分配联大网络的地址范围为 172.16.0.0, 前二位(172.16)作为公共网络地址, 第三位作为各VLAN的地址,并第四位的(254)作 为各VLAN的网关。 联大根据业务功能的不同,可 以分为22个VLAN,22个VLAN各自独立,分别属于 不同的广播域,默认情况下不同VLAN间可互相访 问。由于对于整个网络配置VLAN工作量较大,所 以使用VTP协议,把核心交换机配制成VTP Server, 其余交换机配制成VTP Client。并且为核心交换机 配置SVI,使得不同间VLAN可以通信。
北京联合大学网络实施方案
组网范围
有线
实验楼 办公楼 教学楼
无线 宿舍楼(北A)
一、需求分析(应用背景分析) 校园网的现状
为了适应高校校园网应用系统和信息资源建设的 需要,高校校园网络需要建设成为一个宽带的多媒体 网络。 网络设计以高性能、高可靠性、高安全性、良 好的可扩展性、可管理性和可运营性为主要关注焦点。 目前高校校园网的建设中面临的问题主要有以下几个
二、网络方案设计
配置举例: 接入层交换机配置: Switch(config)#vtp mode client 核心交换机配置: Switch(config)#vtp domain zdy Switch(config)#vtp mode server Switch(config)#vlan 100 Switch(config-vlan)#name Dangzheng Switch(config)#int vlan 100 Switch(config-if)#ip address 172.16.0.254 255.255.255.0
(1) 在校园内部实现资源高度共享,为教学、科研、管理提供 服务,为计划、组织、管理与决策提供基础信息和科学手段;
(2) 支持教育教学改革,提高教育技术的现代水平和教育信息 化程度、为学校教师的备课、课件制作、教学演示提供网络 环境;
(3) 通过互联网、录像机、扫描仪、数码相机等各种渠道获得 多媒体资料,实现素材收集、电子备课功能。
安全性需求
7、物理环境安全 物理环境安全也称实体安全,是指包括环境、设备 和记录介质在内的所有支持信息系统运行的硬件的 总体安全,是网络系统安全、可靠、不间断运行的 基本保证。在校园网络环境中,要尽量防止意外事 件或人为破坏具体的物理设备,如服务器、交换机、 路由器、机柜、线路等
一、需求分析(通信量需求)
管理需求
. 故障管理:通过实时监控系统,将网络故障信 息报告传送给高层管理中心。网络管理员可 以根据收到的的信息报告,对网络进行优化 和排除
. 安全管理:所用设计需避免非法进入网络要求: 具有用户认证、高级访问权限、具有网络数 据信息的保护和备份
一、需求分析(安全性需求)
1、校园网边界安全管理需求 为了保护校园网的安全,校园网边界安全管理总体目标就是确
一、需求分析(业务需求)
在校园网中发生的信息流主要包括三个部分: 教学过程信息流和管理过程信息流和Internet 信息流。 1、教学过程数据流大多为多媒体数据,包括高 质量的图像、图形、数据、实时话音和视频 流传输等
业务Βιβλιοθήκη Baidu求分析
2、管理过程信息流包括:教学教务管理信息 流和行政办公信息流。
3、Internet信息流主要建立在宽带、结构简化、 综合业务应用齐全的IP基础网上或区域教育 城域网上,提供教育城域网或广域网资源信 息的传递和共享。此类数据流为载有语音、 数据和视频信息的IP流。
安全需求
学生接受新鲜事务的能力非常强,因此校园 也成为黑客最多的场所之一, 如何保障校园 网络的安全成为建网时不得不考虑的问题, 目前主要攻击手段有DOS,DDOS等。同时 具有上网日志的需求,主要是配合公安机关 保证社会的稳定和校园的安全。据有关数字 显示,目前校园网遭受的恶意攻击,90%来 自高校网络内部,如何保障校园网络的安全 成为高校校园网络建设时不得不考虑的问题。
安全性需求
3、校园网服务器安全需求 校园网服务器存储大量信息,例如学生档案、学生作业、考 试数据、网页文件等。其安全需求有: 对服务器访问要进行 安全身份认证,非认证用户无法进行访问; 服务器提供的资 源受控制,防止非授权人员拷贝、修改、发送; 支持远程安 全管理,校园网管理员能够从远程进行安全登录,为其传输 的信息加密; 服务器的操作行为有严格审计,能够防止黑客 有意删除; 服务的安全状态能够实时显示,各种安全组件的 工作状态能够被监测到; 服务器在受到损害时,至少能做到 数据恢复可用。
因校园网络主干连接的节点多,因此,要保证网络 的有效性和可管理性,网络地址的规划与分配是十 分重要的问题。网络地址是一种资源,必须经过优 化的规划和设计,因为很难预测网络将来的规模和 应用情况的发展,如果规划不当,将导致地址资源 不够用,网络的扩展将受到极大的限制;如果规划 过于庞大,则在现行运行过程中,网络的路由将会 复杂,影响网络的效率。
二、网络方案设计
安全性需求
5、校园网病毒安全管理需求 病毒是校园网安全隐患之一,必须做到有效控制。 其主要需求包括: 杀毒软件不仅要能保护文件服务, 同时也要对邮件服务器、网站服务器、学生和教职 员工用的PC、网关等所有计算机设备进行保护; 杀 毒软件能从邮件、FTP文件、网页、软盘、光盘等 所有可能带来病毒的信息源进行监控和病毒拦截; 杀毒软件查杀能力能够覆盖最新病毒,查杀病毒是 多多益善,重点是目前的流行病毒。
一、需求分析(管理需求)
• 校园网有网络管理中心负责管理。采用易于 管理的布线和设备方式
• 配置管理:网络节点、端口和冗余结构的配 置,网络节点访问口令设置和更改
• 性能管理:可以收集网络运行的相关数据, 视重要程度并记录保存。需要时进行网络监 控。形成报告向上一级中心报告和提示系统 管理员,使用这些信息为网络提供规划设计 依据
(6) 实现课堂多媒体电化教学,具备适用于双向课堂 语音教学及语音室功能学习。 校园网的建设能促进教师和学生尽快提高应用信息 技术的水平,为学生提供了一个实践的环境,为教 师提供了一种先进的辅助教学工具、提供了丰富的 资源库。
业务需求分析
一、校园网是为教师的教学、科研活动和培训服务 的:如提供教学资源、辅助教师备课,参与课堂教 学活动和支持教师再学习活动等。 二、校园网是为学校教育教学管理服务的:如辅助 学校的教学教务管理、学生学籍管理、人事档案管 理、财产管理等。 三、校园网是沟通学校与外界的窗口,利用校园网 既可以从校外获取各种教育信息,也可以向外发布 各种教育信息。
(4) 实现办公自动化,提供与上级教育部门、社会、家庭之间 通讯的出入口,提供电子函件、公告牌和教育教学信息查询 等服务,提高工作效率和管理水平;
我们学校的信息化服务的目的
(5) 及时、准备、可靠地收集、处理、存储、传输学 校的教育教学信息完成与因特网的通讯和资源共享, 实现社会教育、学校教育、家庭教育的有机整合。
接入层交换机连接终端用户,并把不同部门人员规划到不同的VLAN 中;
学校内部都使用私网地址,访问外网时,采用NAT,实现用户可以访 问外网;
根据服务器功能需求和信息安全要求进行服务器系统区域划分,完成 服务器接入交换机的安装和调试;
建立办公网络系统,完成各配线间接入交换机的安装和调试,实现终 端用户1000M自适应桌面接入,万兆主干上联;
安全性需求
4、校园网安全监控管理安全需求 对校园网络进行安全监控,就如同在教学大楼内安 装的闭路电视监控系统。其主要需求有: 对校园网 关键区域的信息流动进行动态监测,能够把网络上 流过的所有数据包,通过实时检测和分析,及时发 现非法或异常行为; 对校园网紧急事件(网页篡改、 试题盗窃)以最快的速度阻止; 能够按要求存储校园 网访问日志记录,提供进行关键词查找和离线分析 功能; 对校园网特殊安全事件进行回放。
运营需求
高校校园网在为学校教学、科研提供网 络平台的同时,也为校内教职工及学生 提供网络接入服务,这就提出了运营的 需求。 而学校收费和学生缴费是一对天 然的矛盾,当前不少学校采用的运营模 式与学校实际的情况差距太大, 无法有 效杜绝学生逃避收费等问题一直困扰着 学校的网管人员。
我们学校的信息化服务的目的
安全性需求
6、校园网安全运维管理需求 校园网的硬件环境建设完毕后,一项重要的工作就 是做好校园网的维护工作,保证校园网的稳定、安 全运行,能够满足学校教学活动的要求。校园网的 安全运维需要有一个校园网安全运营中心(School Security Operations Center,简称SSOC),通过 SSOC强化安全管理工作,对校园网不同教学场所 设备、不同计算机系统中的安全事件进行监控、汇 总和关联分析,提供可视化校园网安全状况展示。 针对不同类型安全事件提供紧急应对措施。实现校 园网络集中安全管控,保护校园网络数字资产安全。
方面:
性能需求
高校校园网中网络应用人数很多,并且随着网络应 用技术的不断丰富,高校校园网应用也愈发复杂, 例如FTP文件传输等大数据量的访问,产生了巨大 的网络流量。如何高速进行网络传输,对网络设备 提出了很高的要求。网上视频点播、广播、大量的 多媒体通讯,需要QoS支持。如何有效合理对教育 网络带宽的调度和分配满足如:教育网络多媒体教 学和远程教学; 图书馆访问系统,大型分布式数据 库系统、超性能计算资源共享管理系统、视频会议、 ePhone等等应用,都是网路设计所需要考虑的重要 因素。
所有用户都使用DHCP获得IP地址; 建立公共区域的无线网络,实现用户安全认证; 增加安全设备实现校园网络的安全性,且能监控来自内外部的上网行
为,设置TELNET,且只有管理员能TELNET到各设备。
二、网络方案设计
我们将整个网络划分为三层:核心层;汇聚 层;接入层。
考虑到核心层网络的可靠性和高性能,本项 目采用双机热备(负载均匀)方式设计核心 层交换机,核心交换机选用两台思科6509 (三层交换机),两台6509之间通过hsrp协 议实现双机互联和冗余备份,并通过两对光 纤做port channel连接,实现核心设备连接链 路的负载均衡。
通信量需求是从网络应用出发,对当前技术条件下可以提 供的网络带宽做出评估。
应用类型 PC连接 文件服务
压缩视频 非压缩视频
基本带宽需求
14.4kb/s~56kb/s
100kb/s以上
256kb/s以上 2Mb/s以上
备注
远程连接,FTP、HTTP、E-mail
局域网内文件共享,C/S应用, B/S应用,在线游戏等绝大部分纯文本应用
Mp3、rm等流媒体传输
Vod视频点播、视频会议等
楼名 办公楼
用户需求分析
楼层 1~6
每层房间数 10
每个房间信息 点数
4
总信息点数 240
实验楼
1~11
10
35
3850
图书馆
1
1
2~4
2
12
12
6
24
5
1
30
30
宿舍楼(北A) 1~3
6
2
36
4~6
30
采用无线
2
二、网络方案设计
学校使用两台汇聚交换机(做冗余备份相连),连接接入交换机,并 把所有接入交换机连接到核心路由器上;
二、网络方案设计
整个项目将使用到的技术有:Vlan划分; HSRP设计;以太通道设计;路由协议选择; SVI设计;DHCP设计;DNS设计;NAT设计; 防火墙设计;VPN设计;802.1X设计和 TELNET设计等。
二、网络方案设计
2.1、网络逻辑拓扑设计
二、网络方案设计
2.2、VLAN规划与IP地址规划
二、网络方案设计
由于合法IP地址的短缺,在联大的网络建设 中选 用了B类的保留地址,分配联大网络的地址范围为 172.16.0.0, 前二位(172.16)作为公共网络地址, 第三位作为各VLAN的地址,并第四位的(254)作 为各VLAN的网关。 联大根据业务功能的不同,可 以分为22个VLAN,22个VLAN各自独立,分别属于 不同的广播域,默认情况下不同VLAN间可互相访 问。由于对于整个网络配置VLAN工作量较大,所 以使用VTP协议,把核心交换机配制成VTP Server, 其余交换机配制成VTP Client。并且为核心交换机 配置SVI,使得不同间VLAN可以通信。
北京联合大学网络实施方案
组网范围
有线
实验楼 办公楼 教学楼
无线 宿舍楼(北A)
一、需求分析(应用背景分析) 校园网的现状
为了适应高校校园网应用系统和信息资源建设的 需要,高校校园网络需要建设成为一个宽带的多媒体 网络。 网络设计以高性能、高可靠性、高安全性、良 好的可扩展性、可管理性和可运营性为主要关注焦点。 目前高校校园网的建设中面临的问题主要有以下几个
二、网络方案设计
配置举例: 接入层交换机配置: Switch(config)#vtp mode client 核心交换机配置: Switch(config)#vtp domain zdy Switch(config)#vtp mode server Switch(config)#vlan 100 Switch(config-vlan)#name Dangzheng Switch(config)#int vlan 100 Switch(config-if)#ip address 172.16.0.254 255.255.255.0
(1) 在校园内部实现资源高度共享,为教学、科研、管理提供 服务,为计划、组织、管理与决策提供基础信息和科学手段;
(2) 支持教育教学改革,提高教育技术的现代水平和教育信息 化程度、为学校教师的备课、课件制作、教学演示提供网络 环境;
(3) 通过互联网、录像机、扫描仪、数码相机等各种渠道获得 多媒体资料,实现素材收集、电子备课功能。
安全性需求
7、物理环境安全 物理环境安全也称实体安全,是指包括环境、设备 和记录介质在内的所有支持信息系统运行的硬件的 总体安全,是网络系统安全、可靠、不间断运行的 基本保证。在校园网络环境中,要尽量防止意外事 件或人为破坏具体的物理设备,如服务器、交换机、 路由器、机柜、线路等
一、需求分析(通信量需求)
管理需求
. 故障管理:通过实时监控系统,将网络故障信 息报告传送给高层管理中心。网络管理员可 以根据收到的的信息报告,对网络进行优化 和排除
. 安全管理:所用设计需避免非法进入网络要求: 具有用户认证、高级访问权限、具有网络数 据信息的保护和备份
一、需求分析(安全性需求)
1、校园网边界安全管理需求 为了保护校园网的安全,校园网边界安全管理总体目标就是确
一、需求分析(业务需求)
在校园网中发生的信息流主要包括三个部分: 教学过程信息流和管理过程信息流和Internet 信息流。 1、教学过程数据流大多为多媒体数据,包括高 质量的图像、图形、数据、实时话音和视频 流传输等
业务Βιβλιοθήκη Baidu求分析
2、管理过程信息流包括:教学教务管理信息 流和行政办公信息流。
3、Internet信息流主要建立在宽带、结构简化、 综合业务应用齐全的IP基础网上或区域教育 城域网上,提供教育城域网或广域网资源信 息的传递和共享。此类数据流为载有语音、 数据和视频信息的IP流。
安全需求
学生接受新鲜事务的能力非常强,因此校园 也成为黑客最多的场所之一, 如何保障校园 网络的安全成为建网时不得不考虑的问题, 目前主要攻击手段有DOS,DDOS等。同时 具有上网日志的需求,主要是配合公安机关 保证社会的稳定和校园的安全。据有关数字 显示,目前校园网遭受的恶意攻击,90%来 自高校网络内部,如何保障校园网络的安全 成为高校校园网络建设时不得不考虑的问题。
安全性需求
3、校园网服务器安全需求 校园网服务器存储大量信息,例如学生档案、学生作业、考 试数据、网页文件等。其安全需求有: 对服务器访问要进行 安全身份认证,非认证用户无法进行访问; 服务器提供的资 源受控制,防止非授权人员拷贝、修改、发送; 支持远程安 全管理,校园网管理员能够从远程进行安全登录,为其传输 的信息加密; 服务器的操作行为有严格审计,能够防止黑客 有意删除; 服务的安全状态能够实时显示,各种安全组件的 工作状态能够被监测到; 服务器在受到损害时,至少能做到 数据恢复可用。
因校园网络主干连接的节点多,因此,要保证网络 的有效性和可管理性,网络地址的规划与分配是十 分重要的问题。网络地址是一种资源,必须经过优 化的规划和设计,因为很难预测网络将来的规模和 应用情况的发展,如果规划不当,将导致地址资源 不够用,网络的扩展将受到极大的限制;如果规划 过于庞大,则在现行运行过程中,网络的路由将会 复杂,影响网络的效率。