方案建议书1.doc

精选范本 供参考 XXXXXX 高中校园网解决方案高中校园网解决方案 建议书建议书 20112011 年年 3 3 月月 2323 日日 精选范本 供参考 目录目录 1 1XXXXXX 校园网建设概述校园网建设概述 5 1 11 1校园网建设的意义校园网建设的意义 5 1 21 2校园网建设带来四个改变校园网建设带来四个改变 5 1 31 3网络建设设计原则网络建设设计原则 6 2 2需求分析需求分析 6 3 3技术选型技术选型 7 4 4技术方案设计技术方案设计 9 4 14 1拓扑结构设计拓扑结构设计 9 4 24 2方案描述方案描述 10 4 2 14 2 1核心层设计核心层设计 10 4 2 24 2 2汇聚层设计汇聚层设计 10 4 2 34 2 3整楼栋接入设计整楼栋接入设计 10 4 34 3网络规划网络规划 11 4 3 14 3 1IPIP 地址规划地址规划 11 4 3 24 3 2VLANVLAN 设计设计 13 4 3 34 3 3路由协议规划路由协议规划 15 4 44 4关键技术实现方案关键技术实现方案 17 4 4 14 4 1QOSQOS 技术设计技术设计 17 4 54 5网络安全平台网络安全平台 21 4 5 14 5 1网络互联互通分析及安全控制网络互联互通分析及安全控制 21 4 5 24 5 2设备自身的安全防护技术设备自身的安全防护技术 22 4 5 34 5 3ACLACL 访问控制列表访问控制列表 24 4 5 44 5 4用户的安全接入用户的安全接入 24 4 5 54 5 5网络病毒与攻击的过滤网络病毒与攻击的过滤 25 4 64 6网络管理平台网络管理平台 27 4 6 14 6 1网络管理概述网络管理概述 27 4 6 24 6 2有效的管理网络系统有效的管理网络系统 28 5 5方案特色方案特色 29 5 15 1先进硬件体系架构设计 提供强大的处理能力先进硬件体系架构设计 提供强大的处理能力 29 5 25 2关键部件冗余 有效保证网络电信级可靠性关键部件冗余 有效保证网络电信级可靠性 29 5 35 3设备能完整的攻击和病毒防范能力 确保网络安全设备能完整的攻击和病毒防范能力 确保网络安全 29 5 45 4专用硬件多业务的加速 提升网络性能专用硬件多业务的加速 提升网络性能 29 5 55 5采用超低功耗设计 延长核心交换平台的寿命采用超低功耗设计 延长核心交换平台的寿命 30 6 6产品选型产品选型 30 精选范本 供参考 前言前言 随着当代信息技术向中小学教育的扩展 随着多媒体计算机在教育教学过程中的 应用越来越普遍 校园网络的建设提到了重要的议事日程 从当今世界发达国家教育 信息化发展的经验来看 从单机发展到网络 是中小学教育信息化发展的必然趋势 因此 在当前我国基础教育信息化发展过程中 以校园网络的建设为核心与基础 加 快教育现代化的进程 实现我国基础教育改革发展中的跳跃式发展 这是全面贯彻素 质教育的关键性步骤 精选范本 供参考 1 1xxxxxx 校园网建设概述校园网建设概述 1 11 1 XXXX 高中校园网建设的意义高中校园网建设的意义 信息化为学校教学管理服务 借助学校教育教学网站 可以扩大学校的宣传 提 升学校知名度和影响力 信息化为学生学习服务 学生可以以全新的学习模式和学习手段来学习 或进行 基于网络的自主式 协作式 研究探索式的学习 从而全面提高其自身素质与能力 提升学习效率 信息化为家庭教育和学校教育结合服务 借助网络 家长可以更方便的了解学生 在校学习生活的情况 老师与家长之间的交流也更加方便 通过网络可以促进学校教 育与家庭教育的结合 1 21 2 XXXX 高中校园网建设带来四个改变高中校园网建设带来四个改变 第一个变化 多媒体的校园 从教学应用的角度而言 通过实施校园网整体方案 原来的教师 学生和网络三者之间的关系会发生变化 传统的 填鸭式 教育将通过 多媒体的教育手段得到有效改善 这主要体现在以下三个层面 1 教师的工作职能有 所转变 他们将成为帮助学生掌握学习方法和信息技术的领路人 而不再仅仅是把知 识传授给学生 2 学生成为学习的主体 主动提高自己的学习能力并发挥个人的创新 意识 3 校园网为教师和学生 教与学 环节搭建出多媒体的交互平台 作为学生学 习的指导者 教师将在教学过程中采用网络 多媒体技术 利用网络上丰富的教学资 源 激发学生的学习兴趣 提高教学质量 多媒体技术则将文本 声音 图像 动画 和视频技术融为一体 使教学活动变得生动且形式多变 从而提高学生学习的积极性 效率和效果 第二个变化 网络化的校园 从教学管理的角度而言 实施校园网整体方案 学 校能有效地利用计算机网络 采用先进的管理软件 规范学校的管理行为 提高管理 水平和效率 首先 利用计算机存储量大 处理快速的特点 在减轻学校管理者工作 量的同时 为学校的决策提供更加准确 丰富的信息 其次 因为学校办公 信息交 流和通讯方面有了合适的管理平台 从而使学校逐步跨入电子化 无纸化办公阶段 第三个变化 智能的校园 植根于应用方案的基础信息平台之上 校园一卡通 得到了大规模的应用 它采用先进的信息集成技术 能同时嵌入学校正在使用的各种 管理信息系统 使得分散的各个管理信息系统成为一个有机的整体 从而充分利用了 各个管理信息系统的有效资源 真正实现了校园管理智能化 这意味着 无论学生的 就餐 教师的考勤 图书馆的管理 还是学生注册 个人基本资料的存储 只要一张 小小的卡片就可完成 精选范本 供参考 第四个变化 开放的校园 网络化的校园不仅仅指校园内部的管理效率大为提高 它还包括学校的开放程度的提高 通过在服务器上开发的校园网站 学校可以面向学 生家庭开放 面向社会开放 促进社会与学校的交流和沟通 从宣传效果而言 通过 交互网页的新媒介手段 学校也进一步提高了自身的知名度 1 31 3 XXXX 高中网络建设设计原则高中网络建设设计原则 XX 高中建设校园网的时候还应该坚持下面一些原则 高速校园网高速校园网 校园网络是所有应用的基础平台 为了支持数据 话音 视像多媒体的传输能力 要求全网无带宽瓶颈 保证各种应用软件的带宽需求 高稳定高稳定可靠性 校园网是各种应用的统一通信平台 平均无故障时间以及故障恢复时间 要保持 在一个可容忍的许可范围之内 不但要考虑设备本身的冗余 容错能力 还要从网络 架构的合理设计上 保障网络的稳定可靠运行 高安全高安全 制定统一的安全策略 整体考虑网络平台的安全性 构建全局安全网络 保证关 键数据不被非法窃取 篡改或泄漏 使数据具有极高的可信性 良好可扩展性扩展性 高性价比 满足目前需要 通过灵活性和模块化的方式平滑升级网络功能和扩展 网络规模 满足不断增长的教学和管理的网络需求 2 2需求分析需求分析 XX 高中网络设施建设目标是 建设一个适应现代远程教育应用需要 集 Internet 服务 数据 语音 视频服务于一体的高带宽 多功能 多服务 开放的 多业务接 入的网络 校园网采用核心 汇聚 接入的三层结构 在核心层核心层 此次网络的建设主要是为了实现骨干网带宽的提升 骨干网带宽提升 至千兆支持万兆 XX 高中是新建校区 有艺术楼 图书馆 教学楼 3 栋 实验楼 3 栋 学生宿舍楼 4 栋 教师宿舍楼和食堂等共 14 栋建筑 XX 高中校园要完成 14 栋楼的信息化建设 实现校园信息共享和数字化教学 各大楼综合布线采用六类线布线 大楼到中心机房 精选范本 供参考 部署单模光纤 为此 建议 xxx 信息化项目采用全千兆以太网技术架构实施 建成后力争该网络在未 来五年内具有先进性 精选范本 供参考 3 3技术方案设计技术方案设计 3 13 1 拓扑结构设计拓扑结构设计 XX 高中整个网络信息化系统划分为六个部分 服务器区域 出口区域 核心层 汇聚 层 接入层 整网采用星形架构部署 中心机房部署在图书馆 接入层负责用户端的 PC 终端接入 汇聚层负责对于接入本信息化网络系统的各种 数据流进行合理的转发 路由聚合等工作 以降低核心层的数据处理压力 核心层负责整个网络内部和外部的数据高速转发 是一个高速的数据转发处理平 台 服务器区为整个信息化平台提供了丰富的内部信息资源 如学校内部的数字图书 馆等资源 服务器区还将部署一台专用服务器 并安装网管软件 负责这个网络内的 路由 交换等网络设备 并对于网络不断优化 学校通过出口区域访问外部丰富的 Internet 资源的 五个部分各司其职 组成个 完整的网络体系 为学校师生 管理人员 提供丰富的内外部资源 建设一个适应现 代远程教育应用需要 为用户提供 Internet 服务 数据 语音 视频服务于一体的高 精选范本 供参考 带宽 多功能 多服务 开放的 多业务接入的网络 精选范本 供参考 3 23 2 方案描述方案描述 3 2 13 2 1核心层设计核心层设计 核心层选用迈普 MyPower S6800 4A AC 万兆核心路由交换机 作为网络核心交换设备 完成对校园网内部各大楼数据的汇聚和数据交换 各大楼部署千兆汇聚交换机 4128F AC 通 过单模光纤上联到核心交换机 迈普 MyPower S6800 4A AC 万兆核心路由交换机整机总插槽 8 个 配置冗余引擎后 业务接口的插槽 4 个 交换容量 1600Gbps 包转发率 958Mpps 可以提供超大容量 L2 L3 层数据交换服务 采用 ATCA 理念 先进的电信级 99 999 设备稳定性设计 所有部件全冗 余 主控卡和交换矩阵硬件分离 支持 MPLS 和 IPv6 数据的全分布式硬件线速处理 满足 核心层设备高密度 高吞吐量的 MPLS 和 IPv6 数据转发要求 提供电信网络的管理特性 通过 OAM 协议可以对网络链路 业务 用户端进行全面的管理 XX 高中互联网出口部署 MP3840 路由器 实现对校园网进出数据的路由转发 为保障 网路数据安全 在出口部署 MSG4000 安全网关 对城域网数据进行安全控制 迈普 MSG4000 语音网关具有防火墙 IPS 防病毒 流量控制 贷款管理 行为审计和日志管 理管理 同时为了将数据中心接入校园网 在 XX 高中数据中心部署一台 S4128F AC 数据中心交 换机直接接入到核心交换机 S6800 04A AC 实现校园网内部对数据中心无阻塞的数据访问 3 2 23 2 2汇聚层设计汇聚层设计 各大楼一层弱电间部署全千兆三层交换机 MyPower SM4128F AC 作为大楼数据的汇聚 设备 MyPower SM4128F AC 通过单模光纤上联到 XX 高中校园网核心设备 S6800 04A AC 下行通过六类线对接入交换机进行汇聚 MyPower S4100F 交换机进行二层 三层数据转发时 可以实现所有千兆端口和万兆 端口的全线速三层转发 交换容量 304G 352G 转发率 155M 191Mpps 可以满足网络 汇聚的需求 MyPower S4100F 交换机具有完善的安全控制 QoS 组播能力等功能 能 根据用户定义对数据包进行四至七层的 ACL 过滤 结合 802 1x 认证协议 可以向用户 提供各种安全应用 3 2 33 2 3整楼栋接入设计整楼栋接入设计 精选范本 供参考 根据艺术楼 图书馆 教学楼 3 栋 实验楼 3 栋 学生宿舍楼 4 栋 教师宿舍楼和食 堂 图书馆等大楼信息点和数据分布情况 采用 MyPower S3100 接入交换机完成对楼层信 息点的汇聚 并通过电口上联到本大楼的汇聚交换机 楼层接入交换机部署在楼层弱电间 MyPower S3100 系列交换机能在二层上实现所有的端口 IP 数据包的全线速转发 并具 有完善的安全管理 QoS 组播能力等功能 MyPower S3100 系列交换机能根据用户定义 对数据包进行二至七层过滤 结合 802 1x 认证协议 以及迈普特有的相关安全功能 满足 用户安全性要求 针对图书馆和艺术楼 办公 的实际应用需求 在图书馆和艺术楼的部署无线 在楼层部署 WA2000 211 高性能无线 AP 满足移动办公用户对无线网络的需求 迈普 WA2000 211 AC 无线 AP 可以实现对半径 15 米得覆盖 同时配合迈普 WA6000 200 AC 无线控制器部署 FIT AP 解决方案 实现无线三层漫游 负载均衡和功率动态调整等功能 3 33 3 XXXX 高中网络规划高中网络规划 3 3 13 3 1IPIP 地址规划地址规划 3 3 1 13 3 1 1 规划原则规划原则 IP 地址的合理规划是网络设计中的重要一环 大型计算机网络必须对 IP 地址进行统 一规划并得到实施 IP 地址规划的好坏 影响到网络路由协议算法的效率 影响到网络的 性能 影响到网络的扩展 影响到网络的管理 也必将直接影响到网络应用的进一步发展 IP 地址空间分配 要与网络拓扑层次结构相适应 既要有效地利用地址空间 又要体 现出网络的可扩展性和灵活性 同时能满足路由协议的要求 以便于网络中的路由聚类 减少路由器中路由表的长度 减少对路由器 CPU 内存的消耗 提高路由算法的效率 加 快路由变化的收敛速度 同时还要考虑到网络地址的可管理性 具体分配时要遵循以下原 则 唯一性 一个 IP 网络中不能有两个主机采用相同的 IP 地址 简单性 地址分配应易于管理 降低网络扩展的复杂性 简化路由表项 灵活性 地址分配应满足多种路由策略的优化 充分利用地址空间 在公有地址有保证的前提下 尽量使用公有地址 主要是设备 loopback 地址 设备间 互连地址 拨号地址池 精选范本 供参考 IP 地址分配既要考虑到扩充 又要能做到连续 尽量分配连续的 IP 地址空间 并为 将来的网络扩展预留一定的地址空间 在每个网络中 相同的业务和功能尽量分配连续的 IP 地址空间 有利于路由聚合以及安全控制 IP 地址的分配必须采用 VLSM 技术 保证 IP 地址的利用率 采用 CIDR 技术 可减小 路由器路由表的大小 加快路由收敛速度 也可以减小网络中广播路由信息的大小 不同 地址段 可根据业务类型 设置相应权限 访问相应资源 3 3 1 23 3 1 2 IPv6IPv6 网络扩展网络扩展设计设计 计算机技术和通信技术的发展和融合使 Internet 的应用和规模飞速发展 IPv4 技术以 其简洁有效而取得了巨大成功 但 IPv4 的最大问题在于 IP 地址资源紧缺 随着移动和宽 带技术的发展 IP 地址的需求还将更大 例如 大量终端的 IP 接入需要更多的 IP 地址 面对下一代网络对 IP 地址的庞大需求 IPv4 显然无法满足 除了 IP 地址问题 IPv4 还存 在路由表庞大 QoS 和移动等一系列问题 据预测 到 2005 年中国的互联网用户将达到 2 亿人 在数量上将达到世界第一位 但 IPv4 地址空间有限 就算全部互联网用户不都是永远在线 IP 地址也将在 3 4 年后也将 被耗尽 未雨绸缪 为解决地址空间问题 以及其它一些 IPv4 中的疑难问题 发展了 IPv6 协议 必须在 IPv4 地址枯竭前逐步引进 IPv6 经过 IPv6 与 IPv4 的共存时代 最终全面过 渡到 IPv6 IPv6 的技术优势是明显的 但是 IPv6 应用所面临的一个重要问题就是如何部署 IPv6 网络 目前的 Internet 网络以 IPv4 为主导 不可能一次性地将网络的所有设备升级为 IPv6 为此 IPv6 必须提供多种过渡技术来解决部署问题 3 3 1 33 3 1 3 过渡阶段过渡阶段 IPv4到IPv6的过渡是从网络边缘向核心演进 IPv4和IPv6会在较长时间内共存 起始起始 所有网络基于IPv4 Internet上都是纯IPv4设备 使用NAT缓解IPv4地址资 源紧张 初级阶段初级阶段 引入IPv6 Intranet 提供IPv6接入等服务 IPv4网络中出现若干IPv6孤岛 不同的IPv6孤岛使用自动或人工配置的隧道通过IPv4网络连接起来 IPv6 in IPv4 共存阶段共存阶段 IPv6得到较大规模的应用 出现了骨干的IPv6 Internet网络 在IPv6平台 上引入了大量的业务 IPv6业务可以通过IPv6 Internet网络与IPv6 Intranet网络 从而可以 充分利用IPv6的诸多优势 如Qos保证 但由于IPv6网络之间有可能不是相互连通的 因 精选范本 供参考 此还会使用隧道 在IPv6平台上实现丰富的业务加快了IPv6的实施 但仍将有大量的传 统IPv4业务存在 许多节点也仍然是双栈节点 主导阶段主导阶段 IPv6占据主导地位 具备全球范围内的连通性 所有的业务都运行在 IPv6平台上 网络结构得以简化 维护也更加容易 在从 IPv4 升级到 IP6 的过程中 一定要注意从 IPv4 过渡到 IPv6 的过渡策略 考虑产 品和方案平滑升级到 IPv6 的能力 保护投资 3 3 1 43 3 1 4 过渡策略过渡策略 IPv6 技术现在正处于完善的阶段 因此 在建设 IPv6 网络初期 应当选择具有升级能 力的网络设备 比如以 NP 或 ASIC 为处理器实现的 IPv6 技术等 应当考虑与现有 IPv4 网络的互通性 由于 IPv4 网络资源丰富 上面有很多业务 因 此要考虑怎样在 IPv6 网络上访问 IPv4 网络的资源 应当选择响应速度快 服务好的厂商 由于 IPv6 还处于发展期 会出现很多新功能 新技术 因此设备的版本升级必然比较频繁 同时用户可能根据自己的实际情况 对设备 厂家提出一些特色需求 为此应当选择响应速度 服务好的厂商 应当不要选用有私有协议 专利技术的厂家设备 这些厂家的设备不能很好的和其他 厂家的设备互通 为以后升级 扩容造成很大麻烦 3 3 1 53 3 1 5 IPv4 IPv6IPv4 IPv6 过渡策略过渡策略 方案同时支持 IPv6 IPv4 两种业务流 不影响目前主要的 IPv4 业务 满足 IPv6 应用 时的过渡网络环境 IPv4 IPv6 共存开通建议 内部V6 V6 V4 V4业务 通过双栈设备实现业务的互连 不涉及IPv6协议与IPv4 协议的转换 与普通单网络业务转发模型类似 内部V6 V4业务互通 利用核心路由交换机作为协议转换设备 运行NAT PT协议 进行转换 V6业务 外部V4业务互通 利用核心路由交换机作为协议转换设备 进行IPv6业 务与外部IPv4业务的互通 V6业务与外部IPv6孤岛业务互连 建议在设备实现手工隧道或6TO4隧道 穿越 IPv4网络 精选范本 供参考 方案中选用的迈普交换机 均支持丰富的方案中选用的迈普交换机 均支持丰富的 IPv6 路由协议和丰富的路由协议和丰富的 IPv6 隧道 双栈实隧道 双栈实 现方式 可为未来升级至现方式 可为未来升级至 IPv6 网络提供高性能的处理平台 网络提供高性能的处理平台 3 3 23 3 2VLANVLAN 设计设计 为提升网络性能 增强网络的安全性 对 XX 高中校园网系统做必要的 VLAN 设计 虚拟网技术把传统的广播域按需要分割成各个独立的子广播域 将广播限制在虚拟工 作组中 由于广播域的缩小 网络中广播包消耗带宽所占的比例大大降低 网络的性能得 到显著的提高 同时 VLAN 部署也可以增强网络的安全性 交换式以太网中 利用 VLAN 技术 可以将由交换机连接成的物理网络划分成多个逻辑 子网 一个 VLAN 中的站点所发送的广播数据包将仅转发至属于同一 VLAN 的站点 而不是 网络中的所有站点 在交换式以太网中 各站点可以分别属于不同的 VLAN 构成 VLAN 的 站点不论其所处的物理位置 既可以挂接在同一个交换机中 也可以挂接在不同的交换机 中 实现 VLAN 主要有以下几种途径 1 基于端口的 VLAN 就是将交换机中的若干个端口定义为一个 VLAN 同一个 VLAN 中的站点具有相同的网 络地址 不同的 VLAN 之间进行通信需要通过路由器 采用这种方式的 VLAN 其不足之处是 灵活性不好 2 基于 MAC 地址的 VLAN 交换机对站点的 MAC 地址和交换机端口进行跟踪 在新站点入网时根据需要将其划归 至某一个 VLAN 而无论该站点在网络中怎样移动 由于其 MAC 地址保持不变 故用户不需 进行网络地址的重新配置 这种技术的不足之处在于站点入网时 需要对交换机进行较复 杂的手工配置 以确定该站点属于哪一个 VLAN 3 基于网络地址的 VLAN 在此 VLAN 中 新站点入网时无需进行太多配置 交换机根据各站点网络地址自动将其 划分成不同的 VLAN 在三种 VLAN 的实现技术中 基于网络地址的 VLAN 智能化程度最高 实现起来也最复杂 4 根据 IP 组播划分 VLAN IP 组播实际上也是一种 VLAN 的定义 即认为一个 IP 组播组就是一个 VLAN 这种划分 的方法将 VLAN 扩大到了广域网 因此这种方法具有更大的灵活性 而且也很容易通过路由 器进行扩展 主要适合于不在同一地理范围的局域网用户组成一个 VLAN 不适合局域网 精选范本 供参考 主要是效率不高 5 按策略划分 VLAN 基于策略组成的 VLAN 能实现多种分配方法 包括 VLAN 交换机端口 MAC 地址 IP 地 址 网络层协议等 网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种 类型的 VLAN 6 按用户定义 非用户授权划分 VLAN 基于用户定义 非用户授权来划分 VLAN 是指为了适应特别的 VLAN 网络 根据具体 的网络用户的特别要求来定义和设计 VLAN 而且可以让非 VLAN 群体用户访问 VLAN 但是 需要提供用户密码 在得到 VLAN 管理的认证后才可以加入一个 VLAN 我们建议本项目以基于端口形式划分 VLAN 并按各职能部门的不同创建相应的 VLAN 3 3 33 3 3路由协议规划路由协议规划 在不同的 VLAN 间要实现互通必须提供路由 路由的产生可以由管理员指定 或者由 路由器运行动态路由协议而产生 由管理员指定的路由称为静态路由 它是由管理员手工设置每一个路由器 它的优点 是不占用网络的资源 没有路由更新信息所占用的网络开销 缺点是网络中的管理员要对 每一条路由都非常清晰地了解 当一个网络变得规模很大时 系统设置很困难 由路由器动态产生的路由叫动态路由 它是由路由器动行一定的动态路由协议 彼此 通告路由信息 然后在此信息的基础上产生各个路由器的路由表 常见的动态路由协议有 RIP v1 v2 IGRP EIGRP OSPF IS IS BGP4 等协议 RIPRIP 协议协议 RIP 使用广播用户数据报协议 UDP 数据报文的方式把路由表项发送到相邻路由器 因为 RIP 使用 UDP 作为其发送机制 所以发送到相邻路由器的路由表更新不能得到保证 路由器间 RIP 表项的发送缺省是在路由器初始启动后 30s 当一个路由器在到另一个已经 活动的路由器的连接上变成活动时 这种路由器的 公布 也会出现在路由器之间 使用 RIP 的路由器期待在 180s 之内从邻接路由器获得更新 如果在这段时间内没有 收到邻接路由器的路由表更新 则去往未更新路由器的网络路由被标识为不可用 强制把 ICMP 网络不可到达消息返回给通过未更新路由器而连接的资源请求者 一旦接收更新计时 器到达 240 s 未更新路由器的路由表项将被从路由表中移去 路由器现在接收到的要到 达通过未更新路由器连接的报文 现在可以被重定向到此路由器的缺省网络路径上 RIP 协议的优点 简单 应用广泛 几乎所有的厂商在其网络产品中都提供对它的支 精选范本 供参考 持 它的缺点 整个网络不能超过 15 跳 采用全网广播来发送路由更新信息在广域网内 占用带宽 路由更新不带子网信息 要求连续的子网 IGRPIGRP 协议协议 内部网关路由选择协议 IGRP 是 Cisco 专有的距离向量路由选择协议 目的在于 解决 RIP 协议的限制 虽然 RIP 在小型同构网络上工作得相当好 但它的跳数小 16 的 特点严重限制了网络的大小下 并且单一的度量 跳数 不能给复杂网络提供有弹性的路 由选择 IGRP 通过使网络跳数增加到 255 跳和为满足当今复杂网络路由选择弹性提供而提 供的多种度量 链路可靠性 带宽 网络间延迟和负载 解决了 RIP 的不足 EIGRPEIGRP 协议协议 EIGRP 是 Cisco 公司拥有的路由协议 EIGRP 综合了距离向量协议与链路状态协议的 优点 此外 EIGRP 利用散播更新算法 Diffusing Update Algorithm DUAL 从而加快 了收敛 并且减少了网络中产生路由环的可能 EIGRP 比其他路由协议更有优势的一点是 它不仅支持 IP 并且支持 Novell NetWare IPX 和 AppleTalk 因此 减化了网络设计和故 障处理 OSPFOSPF 协议协议 OSPF 用链路状态算法来计算在每个区域中到所有目的的最短路径 当一个路由器首先 开始工作 或者任一个路由变化发生 这个配备给 OSPF 的路由器将 LSA 扩散到同一级区域 内所有路由器 这些 LSA 包含这个路由器的链接状态和它与邻居路由器联系的信息 从这 些 LSA 的收集中形成了链路状态数据库 在这个区域中的所有路由器都有一个特定的数据 库来描述这个区域的拓扑结构 这个路由器于是就运行 Diskjtra 算法 这个算法利用链路 状态数据库在该区域中形成到所有目的的最短路径树 从这个最短路径树中形成了 IP 路由 表 在网络中发生的任何改变将会被链路状态包扩散出去 同时使路由器利用这些新信息 重新计算最短路径树 IS ISIS IS 协议协议 IS IS Intermediate System to Intermediate System 中间系统到中间系统 是一个分级的链接状态路由协议 IS IS 可以在不同的子网上操作 包括广播型的 LAN WA N 和点到点链路 IS IS 是一个链接状态协议 实际上与 O S P F 非常相似 它 也使用 H ello 协议寻找毗邻节点 使用一个传播协议发送链接信息 但是 至少存在两个技术问题 精选范本 供参考 IS IS 使用一个小的度量值 6 比特 严重限制了能与它进行转换的信息 而且链接状态也只有 8 比特长 路由器能通告的记录只有 2 5 6 个 BGP4BGP4 协议协议 B G P 是自治系统间的路由协议 它的主要功能是和其他 B G P 会话者之间交换网络 可达性信息 一个 B G P 说话者是任何为 B G P 配置的设备 B G P 使用 T C P 作为它的 传输协议 端口 1 7 9 这提供了可靠的数据传输 两个 B G P 路由器形成了一个传输协议连接 这两个路由器被称为邻居或者对等体 一旦传输连接形成 两对等路由器交换报文以开放并确认连接参数 在这一步 路由器交 换 B G P 版本号 A S 号 持续时间 BGP 标识和其他可选参数等信息 如果对等体间有任 何一个参数不一致 就会有差错通知发送 这个对等体连接就不会建立 如果对等路由器都同意这些参数 则整个 BGP 路由表通过 Update 报文进行交换 Update 报文包含了经过每个系统的可达目的地的列表 即网络层可达性信息 以及每 个路由的路径属性 路径属性包含了诸如路由源 ORIGIN 之类的信息和优先权的高低 路径属性将会在本章后面详细讨论 BGP 表在 BGP 连接的过程中对每个对等体都是有效的 如果有路由报文发生了变化 邻居路由器使用增量的更新 报文 来传递这个信息 BGP 并不要求刷新路由信息 如果 没有路由变化产生 BGP 对等体仅交换保留 keepalive 报文 保留报文被周期性地发送 以确保连接是保持有效的 方案中建议配置的迈普核心路由交换机能够支持上述所有的路由协议 从上面介绍的路由协议来看 我们建议xxx 综合楼楼信息化项目网络路由的设置可 以根据网络规模的发展采用分步实施的方式 第一步采用静态路由 因为此时xxx 综合楼信息化项目网络的三层数据交换均在核 心交换机完成 第二步当xxx 综合楼信息化项目网络的网络规模扩大以后再采用 OSPF 动态路由协 议 这个协议的的优点是路由的开销小 收敛速度快 协议是开放的标准 能保证以 后升级的兼容性 方案中选择的路由交换机均支持以上两种路由协议 可满足目前及未来需求 3 43 4 关键技术实现方案关键技术实现方案 精选范本 供参考 3 4 13 4 1QOSQOS 技术设计技术设计 3 4 1 13 4 1 1 主要的主要的 QOSQOS 服务模型服务模型 InterServ 方式 Integrated service 是一个综合服务模型 它可以满足多种 QoS 需求 这种服务模型 在发送报文前 需要向网络申请特定的服务 这个请求是通过信令 signal 来完成的 应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求 包括带宽 时延等 应用程序一般在收到网络的确认信息 即网络已经为这个应用程序的报文预留了资源后 发送报文 而应用程序发出的报文应该控制在流量参数描述的范围内 网络在收到应用程序的资源请求后 执行资源分配检查 Admission control 即基 于应用程序的资源申请和网络现有的资源情况 判断是否为应用程序分配资源 一旦网络 确认为应用程序的报文分配了资源 则只要应用程序的报文控制在流量参数描述的范围内 网络将承诺满足应用程序的 QoS 需求 而网络将为每个流 flow 由两端的 IP 地址 端口 号 协议号确定 维护一个状态 并基于这个状态执行报文的分类 流量监管 policing 排队及其调度 来满足对应用程序的承诺 传送 QoS 请求的信令是 RSVP 资源预留协议 它通知路由器交换机应用程序的 QoS 需求 RSVP 使网络用户能根据自己对带宽 时延的要求 动态地申请预留网络资源 满足 它们对资源的需求 RSVP 提供了端到端的 精细的资源控制机制 是实现端到端 QOS 的解 决方案之一 Integrated 服务可以提供以下两种服务 保证服务 Guaranteed service 它提供保证的带宽和时延限制来满足应用程序的 要求 如 VoIP 应用可以预留 10M 带宽和要求不超过 1 秒的时延 负载控制服务 Controlled Load service 它保证即使在网络过载 overload 的 情况下 能对报文提供近似于网络未过载类似的服务 即在网络拥塞的情况下 保证某些 应用程序的报文低时延和高通过 Differserv 方式 Differentiated service 是一个多服务模型 它可以满足不同的 QoS 需求 与 Integrated service 不同 它不需要信令 即应用程序在发出报文前 不需要通知路由器 对 Differentiated service 网络不需要为每个流维护状态 它根据每个报文指定的 QoS 来提供特定的服务 可以用不同的方法来指定报文的 QoS 如 IP 包的优先级位 IP Precedence 报文的源地址和目的地址等 网络通过这些信息来进行报文的分类 流量整 精选范本 供参考 形 流量监管和排队 其模型如下图 区分服务 QOS 模型 3 4 1 23 4 1 2 QOSQOS 策略策略 本期项目是一个集成了数据 视频 语音等多业务的跨部门的综合网络 不同的业务 系统对网络服务的要求不同 在这个统一的网络平台上 应该保证对于不同的应用数据根 据其具体要求提供相应的网络服务 并能在因故障导致网络资源稀缺时优先保证关键性业 务数据的传输 根据应用系统对网络需求分析 业务可分为以下几类 管理信息类 包括各类 OA 及管理类业务 数据流量大 突发性强 对实时性要求较 低 但要求能够可靠传输 综合类 视频等多媒体业务是面向非连接的 对时延非常敏感 流量大 随机性强 对时延敏感的业务 在网络传输中应赋予较高的优先权 使其能得到优先传输 降低 延迟 但同时还应保证关键业务得到优先处理 根据网络的特点 我们建议网络 QoS 采用成熟的差别服务模型方式进行构建 要区分 不同的服务并提供质量保障 1 首先需要区分不同服务的数据 即利用 ACL CAR VLAN ID IP 地址 TCP 端口 UDP 端口 TOS 字段等对数据流进行分类识别 2 在线路上采用带宽分配 优先级控制 队列调度等 QOS 控制技术保证各类应用数 据的有效传输 在本次项目的网络中将开展语音 视频会议等高 QOS 的业务 因此建议全网采用统一 的 VLAN ID 规划语音 视频 精选范本 供参考 在接入层的终端通过二层交换机的端口分配相应的 VLAN 后接入汇聚层交换机 S5516 由 S5516 实现对语音 视频终端等业务的带宽控制 同时实现语音 视频所对应的 VLAN 与 三层 TOS DSCP 的映射 将语音 视频等业务根据需要映射为相应的 QOS 种类 从而实现三 层的 QOS 核心和汇聚交换机只需根据 TOS DSCP 域内容进行不同优先级数据的快速转发 当然为实现三层的 QOS 不仅需要在三层的 TOS DSCP 的映射 还需要在三层网络通过 TOS DSCP 的所映射的优先级实现数据流分类 队列调度和拥塞控制三个方面 才能够完全 保证三层的 QOS 其具体技术如下 1 数据流分类技术实现业务区分 数据流分类是将数据报文分为多个优先级或多个服务类 如使用 IP 报文头的 TOS 字 段 Type of service 三个 bit 可以将报文最多分成六类 另外两个值保留为其他用 途 在报文分类后 就可以将其它的 QoS 特性应用到不同的分类 如拥塞管理 带宽分配 等 分类是 QoS 的基础 可以有多种依据用于对数据流进行分类 A 根据网络设备物理端口或逻辑端口对数据流进行分类 B 根据通讯协议对数据流进行分类 例如 NETBIOS IPX IP 等 C 根据数据的 VLAN ID IP 网段 源 目的 地址 TCP 端口号 UDP 端口号对数据 流进行分类 对报文进行分类时 可同时设置报文的 IP 头的 TOS 字段或 Differsrv 作为报文的 IP 优先级 这样 在网络的内部就可以简单的使用 IP 优先级作为分类的标准 而队列技术如 WFQ 就也可以使用这个优先级来对报文进行不同的处理 2 QoS 控制技术实现优先级机制 控制策略增加过多会导致路由器负载过重 为避免这种情况 我们建议在进行策略路 由配置的同时 结合选择以下几种 QOS 控制技术 可简单有效地实现各类应用的 QOS 保障 A 接入速率承诺 CAR 在数据流的进口处配置 使用令牌桶技术 根据路由器的出口带宽对进入的数据流量 加以限制 超过承诺速率的数据将被丢弃或标以最低的优先级 避免数据在路由器内拥塞 B IP 优先级控制 路由器根据预先设定好的策略 识别不同业务的数据流 可在数据包上标明 IP 的优 先级别 这些表明优先级的数据包在传输过程中会依据高低级别享受不同的服务质量 例 精选范本 供参考 如当数据流量突发 拥塞发生时 可以丢弃那些优先级别低的数据 保证关键业务的正常 运行 C 队列机制 WeightedFairQueuing 利用队列机制可以对路由器的输出端口进行拥塞管理 可以利用 PQ CQ WFQ CBWFQ 等队列技术对不同等级的业务进行不同的处理 包括时延 丢包率 缓冲区大小等 D 先期拥塞控制 WRED 当网络出现真正的拥塞时 瞬间大量的丢包会引起大量 TCP 数据同时重发 加剧网络 拥塞的程度并引起网络的不稳定 网络设备在网路出现拥塞前就自动采取适当的措施 进 行先期拥塞控制 避免瞬间大量的丢包现象 在多种业务并存并且存在资源瓶颈的地方 都应该考虑相应的 QOS 保证机制 确保时 间敏感的 关键的业务报文能够被及时 正确 有效的转发 在我们建议的设备解决方案 中 所有设备都可以支持相应的 QOS COS 策略 核心路由交换机 S8508 提供完善的 Diffserv QoS 支持 提供多种规则组合条件下的流映射和分类 流量监管 CAR 拥塞控 制方法 RED WRED SA RED 队列调度和输出流整形等功能 做到业务区分并保证带宽 时延 抖动在限定的范围内 使网管中心可以为工作组用户提供具有不同服务质量等级的服 务保证 使骨干网真正成为同时承载数据 语音和视频业务的综合网络 我们建议在网络中上实施面向服务端口的 QOS 保证机制 同时 在核心交换机的路由 端口设置中 开启 WFQ 功能 通过 WFQ 保证实时 小包即使在最拥挤时仍然能够得到快速 的转发 同时 系统通过 WRED SA RED 队列调度和输出流整形等功能 真正做到业务区分并 保证带宽 时延 抖动在限定的范围内 确保网络不出现拥塞 始终保持其高吞吐率和区别 服务特性 3 53 5 网络安全网络安全平台平台 网络平台的安全需要从多方面保证 包括设备管理安全 访问安全 路由安全 设备 安全等 针对 xxx 综合楼信息化项目网络系统 我们建议从以下几个方面实施及考虑安全 策略 3 5 13 5 1网络互联互通分析及安全控制网络互联互通分析及安全控制 3 5 1 13 5 1 1 二层互通分析及控制二层互通分析及控制 精选范本 供参考 在 XX 校园网网络中 如果两个内部客户机之间二层能够互通 处于同一网段 那么 两者之间的三层互通是直接的 不需要经过核心路由交换机的三层交换功能 因此 核心 路由交换机的三层访问控制策略不能生效 在没有任何安全措施的情况下 各种攻击方法 都可以使用 因此 从保护内部各客户机的角度出发 建议对不同部门和类型的客户机在二层完全 隔离 一般隔离采用的方法是 VLAN 虚拟局域网络 3 5 1 23 5 1 2 三层互通分析及控制三层互通分析及控制 采用 VLAN 在二层隔离了两个内部客户 他们只在三层互通 这时核心路由交换机的 三层访问控制策略就可以生效了 因此 目前有两个安全措施 VLAN 三层访问控制策略 它们配合可实现 内部服务器隔离 例如 三层访问控制策略 设备安全技术 例如 验证 授权 和防火墙技术 二层完全隔离 例如 VLAN 二层完全隔离 例如 VLAN 三层隔离 例如 三层防火墙 设备安全技术 带宽管理 3 5 23 5 2设备自身的安全防护技术设备自身的安全防护技术 3 5 2 13 5 2 1 口令管理口令管理 为防止对系统中网络设备未经授权的访问 系统必须具有完善的密码管理功能 虽然 几乎所有数据通信设备都具有 RADIUS 或 TACACS 认证服务器进行口令管理的能力 但在设 备本地进行密码分配和管理仍是设备本身应具有的安全特性 这里只描述本地密码管理 主要是口令的密文显示 在本地存储访问权限验证信息的情况下 若系统的配置文件以文本方式进行保存 则 在配置文件中 所有的口令都必须以密文方式显示和保存 3 5 2 23 5 2 2 控制对设备的访问控制对设备的访问 控制台访问 控制台是设备提供的最基本的配置方式 控制台拥有对设备最高配置权限 对控制台 访问方式的权限管理应拥有最严格的方式 1 用户登录验证 对从设备 CONSOLE 口进行访问配置的用户必需具有身份认证的能力 可以通过本地用 精选范本 供参考 户验证或 RADIUS 验证实现 2 控制台超时注销 控制台访问用户超过一段时间对设备没有交互操作 设备将自动注销本次控制台配置 任务 超时时间必须可配置 缺省为 10 分钟 3 使能 禁止用户通过控制台对设备进行访问 通过禁止控制台数据收发 禁止用户直接通过异步线路进行配置 这样 即使非法用 户占领了控制台 通过重启设备清除了控制台访问口令 也无法通过控制台对设备进行非 法配置 4 控制台终端锁定 配置用户离开配置现场 设备应提供暂时锁定终端的能力 并设置解锁口令 TELNET 访问 1 缺省要求身份验证 对于非控制台的其它一切配置手段 必须要求设备配置身份验证 如果设备未配 将 拒绝登录 2 用户登录验证 3 终端超时退出 当 telnet 连接未交互超过一定时间时 将断开本次 telnet 连接 超时时间必须可 配置 缺省为 10 分钟 5 使能 禁止用户通过 telnet 方式对设备进行访问 6 telnet 访问的限入限出 限制哪些用户可以通过 telnet 客户端对设备进行访问 限制设备通过 telnet 客户端程序对那些目标主机进行访问 7 telnet 终端锁定 SNMP 访问 SNMP 是一种使用非常广泛的协议 主要用于设备的监控和配置的更改 SNMP 协议自 身有安全性保障 同时 SNMP Agent 还应该具备对网管站的访问进行限制的能力 需特别指出 SNMP 的网管站通常有大量的关于验证信息的数据库 例如团体名 这些 信息可以提供访问许多路由器或者其他网络设备的途径 这使得网管站成为许多攻击的目 标 因此 必须要保证网管站的安全 1 SNMPv1 的安全性 精选范本 供参考 SNMPV1 使用的验证方式是基于团体名字符串的验证机制 SNMPv1 的验证非常弱 1 它使用明文作为验证字 2 大部分的 SNMP 操作重复使用该字符串作为周期性轮流检测的一部分 如果必须使用 SNMPV1 应当注意如下事项 以避免安全隐患 1 最好不要使用常用的 public 和 private 作为团体名 2 对每个设备使用不同的团体名 或者至少是对网络上的每个区域使用不同的团体名 3 不要使只读的团体名和读写的团体名一致 如果可能 应该实现使用只读的团体名 进行周期性的轮流检测 读写的团体名应该仅仅用于当前的写操作 2 SNMPv2 的安全性 SNMP 的后序版本 SNMPv2 进行了改进 它支持基于 MD5 的验证方案 并且允许对访问 的管理数据进行存取上的限制 SNMPv2 基本上是一个过渡版本 有多个版本 尽管也考虑 了协议自身的安全性 但是技术上并不成熟 安全性仍比较弱 尤其要注意的是 目前常 用的 SNMPv2c 没有增加安全特性 其安全能力与 SNMPv1 相同 3 SNMPv3 的安全性 SNMPv3 对协议的安全性给出了全面的解决方案 SNMPv3 继承了 SNMPv2u 的很多优点 并且从系统的角度进行了优化 它提供了一个 SNMP NMS 和 AGENT 的完整的系统框架 从安全角度来讲 SNMPv3 使用了基于用户的安全模 式 USM 和基于视图的访问控制模式 VACM USM 使用 MD5 或者 SHA 对报文进行验证 使用 DES 对报文进行加密 这样保证了数据的完整性和正确性 VACM 则对当前用户的访问 权限进行检查 看当前用户是否可以对管理数据进行操作 关于 USM 和 VACM 的详细介绍可 以参见 RFC2574 和 RFC2575 迈普公司的设备均支持 SNMPv1 v2 v3 3 5 33 5 3ACLACL 访问控制列表访问控制列表 访问控制列表是网络设备数据流量主要过滤的手段 ACL 可以根据数据流的 MAC 地址 IP 地址 端口号 ICMP 信息 TCP UDP 端口号进行