《校园网建设方案》PPT课件.ppt

基于以太网技术的校园网建设 1 2 3 4 5 6 目录 建网背景 网络方案设计 网络设备选型 网络安全与管理 VLAN划分与IP规划 改进和扩展 1 建网背景 高中校园网 1 建网背景 2 建网背景 厦大学生公寓教学楼为原型 1 3 4 5每层11个房间 共44个端口 2层图书馆 5个信息点 内设无线网络 海韵实验楼为原型 共五层 155台主机 1 2层为化学生物实验室 每层10间 每间一个接入点 共20个信息点 3 4层为物理实验室 光学实验室5间 每间1个接入点 电学实验室3间 每间10个接入点 共35个信息点 5层为计算机房 4个教室 共100台主机 海韵教学楼为原型 共5层 每层8个教室 每个教室要求一个接入口 共40个接口 共两层 1层为游泳馆 5台主机 2层为健身房 乒乓球室等 2台主机 共7个信息点 内设无线网络 学生公寓6 7号楼为原型 共2栋楼 每栋6层 每层40个宿舍 每个宿舍1个接入点 240个信息点 栋 网络建设要求 3 建网背景 学校采用1000M做骨干 10M到桌面 校园网内具有WWW服务器 FTP服务器 DNS服务器网络管理等 学校采用基于SQLserver2000数据库做开发平台 VLAN划分 各组办公室 财务部 教务处 学生处各为一个VLAN 所有教室 图书馆各为一个VLAN 同类实验室 计算机房各自划分VLAN 体育馆为一个VLAN 服务器组为一个VLAN 各VLAN之间不能互访 只能上网 教务处可以访问教室的VLAN 考虑冗余设计 扩展需求和网络升级 1 2 建网背景 网络方案设计 1 设计原则 实用性经济性 先进性成熟性 可靠性稳定性 安全性保密性 4 网络方案设计 扩展性可管理性 持续非故障时间千兆备份线路物理链路冗余备份可热插拔的模块快速的恢复机制冗余及负载均衡的电源系统 端口隔离 路由过滤防DDoS拒绝服务攻击防IP扫描 系统安全机制多种数据访问权限控制等划分VLANIP MAC地址绑定 为网络扩展留有足够的空间 对整个网络提供实时端口级的管理 拓扑管理 LAN的配置和管理 并提供各种管理策略 有效地对整个网络进行管理 控制和维护 2 网络拓扑 5 网络方案设计 核心层分布层接入层防火墙提供强有力的服务器 内网安全保护 提供IDS等安全特性 路由器提供出口路由功能 数据处理能力强 具有强大的NAT功能 1 2 3 建网背景 网络方案设计 网络设备选型 a 防火墙 b 路由器 c 核心交换机 d 分布层交换机 e 访问层交换机 7 网络设备选型 a 防火墙 8 网络设备选型 RG WALL1600 RG WALL1600是面向大中型园区网出口用户开发的新一代电信级高性能防火墙设备 采用了最新的硬件平台和体系架构 可支持数十个GE接口采用锐捷网络自主开发的RG SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响在内核层处理所有数据包的接收 分类 转发工作 因此不会成为网络流量的瓶颈 RG WALL具有入侵监测功能 可判断攻击并且提供解决措施 且入侵监测功能不会影响防火墙的性能 b 路由器 9 网络设备选型 b 路由器 9 网络设备选型 高性能 通用的骨干汇聚路由器 高背板带宽 高包转发率 结构紧凑 端口密度高等 有强大的业务能力 可以满足目前所有的城域汇聚和接入需求 提供多协议标准交换 MPLS 第2或3层隧道技术 动态带宽控制和面向连接的数据收集体系 具有高度的可扩展性和可靠性 c 核心交换机 10 网络设备选型 根据要求的校内总点位数为310个10 100M点 考虑一种极端 系统要求的背板宽度310 100Mbps 2 62Gbps 系统的吞吐量0 1488Mpps 310 46 128Mpps 实际的介入网络是分接入 汇聚层 当前射界的弱点间由1条千兆链路上联 总5根 服务器3根 要求背板带宽为8 1Gps 2 16Gbps系统吞吐率为1 488Mpss 8 12Mpps 因此 核心设备有超过16Gbps背板 12Mpps转发率即可 但考虑到以后扩展 需适当提高 c 核心交换机 10 网络设备选型 RG S8600系列交换机是锐捷网络推出面向下一代融合网络的高密度多业务IPv6核心路由交换机 满足未来以太网络的应用需求 RG S8600系列交换机融合了VSU VirtualSwitchingUnit MPLS VPLS 网络安全 无线网络 IPv6 流量分析等多业务特性 丰富的槽位选择给客户预留了丰富的扩展余地VSU虚拟化特性简化客户的网络结构MPLS VPLS虚拟专网技术打破客户物理专网隔阂 形成融合统一网络完善的IPv6特性满足未来的升级改造RG S8600系列交换机可广泛应用于城域网 园区网和数据中心 RG S8600系列 d 分布层交换机 11 网络设备选型 RG S3250E系列 丰富的安全机制 提供网络安全防御 高安全接入控制和有效网络访问控制 需要能灵活提供端口密度 实现网络弹性扩展 灵活的用户带宽分配 完善的管理策略应用 帮助管理业务带宽 和保证语音 组播音视频服务及视频点播等关键业务的应用 e 访问层交换机 12 网络设备选型 考虑因素 桌面型的不带扩展槽固定配置式交换机 MAC地址表大小支持的协议和标准以太网端口数 RG S2628G IRG S2652G I 14 网络设备选型 1 2 3 4 建网背景 网络方案设计 网络设备选型 VLAN划分与IP规划 VLAN的优势 15 VLAN划分与IP规划 可以便面广播风暴 划分VLAN后 广播只在子网中进行增加网络的安全性 不同的VLAN不能随意通讯提高管理效率 实现虚拟的工作组 减少物理开支VLAN的子网访问 可以在三层交换机上实现 分流核心交换机的三层交换 优化组网 网络VLAN的设计 15 VLAN划分与IP规划 VLAN划分原则 灵活划分 方便管理 本校园网设计中 以不同楼栋或部门来划分VLAN物理上VLAN基于端口或IP来进行划分 1 网络IP地址数量规划 15 VLAN划分与IP规划 根据网络规模 选取常用的C类私有IP来规划TCP IP设计 2 规划网络子网 VLAN 15 VLAN划分与IP规划 核心层VLAN如图 中心路由交换机有5个分支网络 分别是行政楼 教学楼 实验楼 体育馆 宿舍 需要定义5个IP子网和VLANIP地址 2 规划网络子网 15 VLAN划分与IP规划 根据个楼栋实际情况 进行如下VLAN划分 15 VLAN划分与IP规划 行政楼教务处 学生处 财务处要划分独立的VLAN 行政楼IP规划 15 VLAN划分与IP规划 实验楼生化实验室 物理实验室 计算机机房要各自划分VLAN 各需要端口数为20 35 100 实验楼IP规划 3 IP规划的特点 15 VLAN划分与IP规划 VLAN可以通过端口划分 也可以通过IP划分 通过IP地址可以迅速的知道所属楼栋具有充分的灵活性和扩展性 4 VLAN配置 15 VLAN划分与IP规划 示例 思科VLAN的配置命令 5 校园网无线覆盖 15 VLAN划分与IP规划 覆盖范围 1 有限网络无法接入的室外场所2 有线网络使用不便的室内空间3 重点是图书馆 体育馆 具体实施目标 解决信息点流动的问题解决难以布线的问题有效降低网络建设成本 无线网覆盖方式 大型建筑无线网络 图书馆 体育馆 15 VLAN划分与IP规划 AP通过普通的超五类双绞线与交换机相连 再将交换机的另一端与已经布好的网络接口相连与校园网连通 每个AP可以有一个固定的IP地址做网管应用 与用户的IP地址无关 该方案针对难以进行全面布线的礼堂 图书馆等 用户可以利用已经存在的有线网络接口 轻松解决无线局域网的安装布设 无线网覆盖方式 普通建筑无线网络的解决方案 教学楼 行政楼 15 VLAN划分与IP规划 校园中大多数场合如普通教室 宿舍 办公室 实验室等 可以直接将普通型AP接入校园网的以太网端口 无线网覆盖方式 普通建筑无线网络的解决方案 教学楼 行政楼 15 VLAN划分与IP规划 注意 AP的放置与无线客户端尽可能视线以内为原则 可以放在天花板 墙壁等地方 这样可以尽可能地覆盖其中所有无线用户区域 宿舍和教室不同楼层的布线 1 2 3 4 5 建网背景 网络方案设计 网络设备选型 网络管理与安全 VLAN划分与IP规划 设计要求 15 网络管理系统设计 建立网关中心 统一网络中的交换设备的管理配置 虚网设计和配置网管工作站对全网所有交换设备和路由设备进行统一管理 配置和维护 进行故障隔离和分析 统计 报警和设置 网管软件采用图形化用户界面 支持广泛的网管平台 15 网络管理系统设计 锐捷StarView网络管理系统StarView管理系统能提供整个网络的拓扑结构 能对以太网络中的任何通用IP设备 SNMP管理型设备进行管理 结合管理设备所支持的SNMP管理 Telnet管理 Web管理 RMON管理等构成一个功能齐全的网络管理解决方案 实现从网络级到设备级的全方位的网络管理 锐捷StarView网络管理系统操作界面 15 网络管理系统设计 15 网络安全方案设计 1 对内安全 利用VLAN的安全特性 服务器访问控制 2 对外安全 采用专用防火墙 提供企业网与Internet之间的高安全隔离保护 通过网管实时记录网络的运行状态 1 接入安全 15 网络安全方案设计 RG S2924G千兆智能接入交换机防止和控制病毒传播 组织网络攻击控制非法用户接入 2 访问安全 15 网络安全方案设计 RG S6800E万兆核心路由交换机 支持VLAN划分隔离用户访问支