大丰三中数字校园网建议方案.doc

多维绿网多维绿网 数字校园数字校园 大丰市第三中学数字化校园网 设设 计计 方方 案案 2010 年 11 月 28 日 大丰市第三中学校园网络优化方案 目 录 盐城市北方电子科技有限公司简介 1 第一章 数字化校园概述 1 一 数字化校园的基本概念 2 二 新一代数字化校园网的特点 3 第二章 大丰三中校园网建设需求分析 4 一 项目概况 4 二 建设目标 4 三 建设原则 4 第三章 网络平台设计方案 5 一 整体网络规划 5 1 网络拓扑 6 2 路由规划 7 3 IP地址规划 7 4 VLAN划分 7 5 组播设计 9 6 服务质量QOS设计 12 7 网络安全性和可靠性设计 13 二 方案特点分析 14 1 三高 网络 14 2 节约型网络 14 3 安全可信网络 15 4 流量可控网络 15 第四章 防 ARP 解决方案 15 一 接入交换机篇 16 1 AM功能 17 2 ARP Guard功能 17 3 DHCP Snooping功能 18 4 端口ARP限速功能 19 二 核心交换机篇 20 1 端口隔离功能介绍 21 2 Local ARP Proxy功能介绍 21 3 防御ARP攻击原理 21 4 方案说明 23 三 防火墙篇 23 第二部分监控方案设计说明第二部分监控方案设计说明 24 32 第五章 售后服务与技术支持 33 一 产品保修服务 33 大丰市第三中学校园网络优化方案 二 售后服务体系 34 三 质保期服务 36 四 质保期后的服务 36 大丰三中校园网络优化方案 第 1 页 共 42 页 公 司 简 介 盐城市北方电子科技有限公司成立于 2006 年 9 月 座落于江苏省大丰市金丰南路 101 号门面 大坂城 23 栋楼 107 号 通过全体员工的努力现拥有自己的 350 多平米的办公楼 195 平方的本市唯一规范联想商用旗舰店 北方公司现发展为集系统集成 软件开发 贸 易 营销与维修的高新技术企业 注册资本 208 万 苏北地区实力雄厚的科技公司之一 公司下设网络工程部 软件开发 IT 产品联想商用旗舰店 企划部 拥有一批年轻高素质 的专业技术员工 公司前身为大丰市精维电脑有限公司成立于 1997 年 近十多年来公司致力于政府 学 校 企业的信息化建设 为客户提供当今最先进的业务管理平台和全面的信息化解决方案 凭着优质的服务 受到了广大客户的一致好评 树立了良好的企业形象 为北方公司的发 展方向奠定了良好的基础 08 年初 公司在盐城新注册了鼎源净水设备有限公司 把公司 的发展方向从科技关注到人们的健康上 2009 年 公司和中国电信合作成立中国电信金丰 南路营业厅 北方公司一直以服务社会回报社会的理念把公司做大 做强 做远 近 2 年部分业绩 1 大丰市第四中学语音教室建设合同价约 万 蓝鸽 联想 浪潮等品牌 2009 7 建设 9 月验收合格 2010 年多媒体 存储 网络 服务器等校园网络建设 合同 约 21 3 万 9 月份验收合格正常使用 2 江苏丰东热处理弱电工程 99 7 万 ibm 三星 联想 爱索 日立等 2008 建设 2009 4 验收合格 3 职教中心弱电项目建设 语音教室 电子阅览室 核心交换机房 监控 综合布线 等项目合同价约 840 万 经审计验收通过 08 年 10 月交付使用 2010 网络实验室 考试机 房 专一 ERP 软件安装培训项目合同约 95 万 8 月验收交付使用 职教中心笔记本采购 项目 thinkpad 63 5 万 2009 10 2009 11 验收交货合格 中国银行盐城分行显示系统建设 爱索 37 8 万 2008 3 2008 9 验收合格 净 化水系统 10 4 万 2008 5 6 月验收合格 人防工程 ups 项目建设 6959 6 元 APC 品牌 2008 10 2008 12 验收合格 小海中学电脑机房建设 浪潮品牌 11 57 万元 2007 5 2007 8 验收合格 药监局闭路系统 5 4 万元 海康 东舜等品牌 2007 1 2007 5 验收合格 2010 年 8 月 计生委计生系统项目采购合同价格约 72 万 10 月交付到个乡镇培训 结束 大丰市第三中学校园网络优化方案 第 2 页 共 3 6 页 第一章 数字化校园概述 一 数字化校园的基本概念 数字校园是以网络为基础 利用先进的信息化手段和工具 实现从环境 包括设备 教室等 资源 如图书 讲义 课件等 到活动 包括教 学 管理 服务 办公等 的全部数字化 在传统校园的基础上构建一个数字空间以拓展现实校园的时间和空间维度 从而提升了传统校园的效率 扩展了传统校园的功能 最终实现教育过程的全面信息化 引自 清华大学计算机与信息管理沈培华主任 实施数字化校园工程的核心目标是充分利用信息技术 建立多层次 创新型 开放式 的高等学校 提高办学的质量和效益 要以新的人才观 教学观和管理理论为指导 超越 传统的高等教育模式 培养适应信息社会要求的创新型人才 具体来说 在教学方面在教学方面 要利用多媒体 网络技术实现高质量教学资源 信息资源和智力资 源的共享与传播 并同时促进高水平的师生互动 促进主动式 协作式 研究型 的学习 从而形成开放 高效的教学模式 更好地培养学生的信息素养以及问题 解决能力和创新能力 在科研方面在科研方面 要利用互联网促进科研资源和设备的共享 加快科研信息传播 促 进国际性学术交流 开展网上合作研究 并且利用网络促进最新科研成果向教学 领域的转化 以及科研成果的产业化和市场化 从而大大提高科研的创新水平和 辐射力 在管理方面在管理方面 要利用信息技术实现职能信息管理的自动化 实现上下级部门之间 更迅速便捷的沟通 实现不同职能部门之间的数据共享与协调 提高决策的科学 性和民主性 减员增效 形成充满活力的新型管理机制 在公共服务体系方面在公共服务体系方面 要建立覆盖学校教学 管理 生活等各个区域的宽带高速 网络环境 提供面向全体师生的基本网络服务和正版软件服务 要建设高质量的 数字化的图书馆 教学楼 艺术馆等 要在校园内建立电子身份及其认证系统 从而为学校高水平的教学 科研和管理等提供强有力的支撑 在学校社区服务方面在学校社区服务方面 要适应后勤社会化改革的需要开展各种网络化服务项目 包括电子商务 电子医疗等 为师生员工提供便捷 高效 集成 健康的生活和 休闲娱乐服务 形成智能型的社区服务体系 二 新一代数字化校园网的特点 伴随着万兆网络的大面积应用 同时以 IPv6 技术为核心的 CERNET2 也在全国如火 如荼的建设中 及 40G 100G 标准的初露端倪 校园网可用网络带宽已经得到了极大改 大丰市第三中学校园网络优化方案 第 3 页 共 3 6 页 善 但是新一代数字化校园网不仅仅是带宽的大幅提升 新的应用随之层出不穷 新的问 题也不断涌现 1 用户数量巨大 用户数量巨大 由于校区合并 扩大教育规模等因素 而网络已经深入到所有人 的生活 网络终端 计算机的价格持续下降 相当一部分学生都拥有计算机 甚至拥有笔 记本电脑 再加上各种教学科研用的网络终端 高校校园网的网络用户数量也因此都在数 千以上 2 用户类型复杂 用户类型复杂 企业或事业单位的网络用户都为办公用户 运营商面向住宅的接 入网中的用户都为家庭用户 面向办公大楼的接入网用户都为企业用户 这些网络的用户 环境都比较单一 但是校园网的用户类型却非常复杂 包括了 全日制学生用户 在职学 生用户 教职工家庭用户 教职工办公用户 领导办公用户 教育环境用户 如多媒体教 室 学习环境用户 如用于学习的计算机实验室 网络实验室中 等等 3 管理策略复杂 管理策略复杂 包括用户管理策略和路由管理策略都很复杂 由于用户类型非常 多 对每一类用户的安全权限不一样 网络服务质量不一样 计费策略不一样 如果计费 运营 导致用户的管理策略非常复杂 另外 由于校园网普遍存在多个网络出口 不同 的网络出口拥有不同的带宽 到不同的目的地址时的费用和响应速度也不一样 CERNET 还有特别的免费目的地址 因此 在网络出口处的路由管理策略也比一般情况要复杂 4 网内 网外的流量非常大 网内 网外的流量非常大 在企业或事业单位很少见到 1G 出口带宽 100M 出口 带宽已经比较富余 但是在学校 1G 带宽已经比较常见 往往还会有拥塞的现象 造成 巨大流量的原因主要有 在线用户数量大 学习和娱乐的多媒体资料在网络上交流频繁 包括网内和网外 大量采用 P2P 形式 网格计算等科研需要 5 网络安全威胁性大 网络安全威胁性大 校园网的网络资源丰富 大量用户随时在线 互相之间访问 频繁 网络管理者对用户终端管理权限小 这都给网络安全造成了巨大的威胁 据称 90 的垃圾邮件都来自校园网 由此可见校园网安全问题的难度 伴随着 2006 年 ARP 欺骗病 毒的大规模爆发 校园网络管理者遭遇了前所未有的挑战 另外 学生的网络知识丰富 另外 学生的网络知识丰富 求知欲望很强 很难避免学生把校园网作为学习网络知识和安全知识的试验床 由此引发求知欲望很强 很难避免学生把校园网作为学习网络知识和安全知识的试验床 由此引发 的安全问题更加难以防范 的安全问题更加难以防范 6 网络覆盖的地域范围宽广 网络覆盖的地域范围宽广 学生数量的扩大和各校区的合并 使得校园网的地理 覆盖范围往往超过击百亩 楼宇数量多大几十栋 不仅仅是校区大 由于随时随地上网的 需要 校园内每一个角落都将被无线网络覆盖 初期只覆盖会议中心等关键地区的无线网 络将向更宽广的范围延伸 7 IPv6 应用从小范围的实验网向大范围的全网支持应用从小范围的实验网向大范围的全网支持 IPv6 应用过渡 应用过渡 原有的以 ISATAP 隧道 配置隧道为主的低速过渡模式已经不能满足约来越多的 IPv6 访问需求 建 设高速双栈校园网已经成为不可逆转的趋势 8 新一代数字校园必然是节约型数字校园 新一代数字校园必然是节约型数字校园 中央指出 要加快建设资源节约型 环 境友好型社会 大力发展循环经济 在全社会形成资源节约的增长方式和健康文明的消费 模式 这是我们党执政理念的重要升华和重大的理论创新 是推进高校管理实践创新 树 大丰市第三中学校园网络优化方案 第 4 页 共 3 6 页 立科学发展观 建设节约型校园的指南 教育资源是社会资源的重要组成部分 节约型社 会呼唤节约型校园 建设节约型校园 不仅是学校自身发展的需要 更是高校应有的社会 责任 第二章 大丰市第三中校园网建设需求分析 一 项目概况 大丰三中学校通过电信 10M 光纤接入 Internet 带机量由原来的几十台到今天的几百 台左右 进一步促进了我校教育现代化与信息化的进程 最近学校根据教育现代化学校的 要求 要将现有的计算机点分配至每个办公室和教室 每个教室要安装监控摄像机 增加 了接入 Internet 的计算机数量 计算机的分布也较以前更分散 因为本校的计算机网络在 建设与使用目前还存在一些问题 所以如果还像以前那样 将这些计算机简单接入 Interner 会给我校校园网将来带来极大的安全隐患 试做简单分析 1 整个校园的网络没有划分子网和虚网 2 从经济的角度检验不要精细化的管理 3 监控做到点全面 教室没有死角接人原有的设备 二 建设目标 大丰三中校园网建设工程的目标是要建设一个完整统一 技术先进 高效稳定 安全 可靠 易于管理的基于 Internet cernet 的信息化校园系统 监控做到点全面 教室没有 死角接人原有的设备 统一接入一个控制中心 三 建设原则三 建设原则 大丰三中校园网络建设按照统一规划 统一标准 统一指导的要求进行建设 校园网 建设在实用的前提下 应当从投资保护和长远性方面考虑 在技术上 系统能力上要保持 一定的先进性 且在技术上应该采用标准的 开放的 可扩充的 能与各厂商产品配套使 用的设计 校园网络建设应遵循以下原则 1 实用性和经济性 实用性和经济性 系统建设应始终贯彻面向应用 注重实效的方针 从学院实际出发 坚持实用 经济 的原则建设学院的校园计算机网络和监控系统 保护学校的投资 2 先进性和成熟性 先进性和成熟性 大丰市第三中学校园网络优化方案 第 5 页 共 3 6 页 系统设计既要采用先进的概念 技术和方法 又要注意结构 设备 工具的相对成熟 不但能反映当今的先进水平 而且具有发展潜力 能保证在未来若干年内占主导地位 保 证我院校园网建设的领先地位 采用万兆以太网技术来构建网络主干 千兆支干线路 3 可靠性和稳定性 可靠性和稳定性 从系统结构 技术措施 设备性能 系统管理 厂商技术支持及维修能力等方面着手 在系统设计上应考虑关键部件采用冗余设计和容错技术 通讯子网间应留有备用信道 确 保系统运行的可靠性和稳定性 达到最大的平均无故障时间 4 安全性和保密性 安全性和保密性 在系统设计中 既考虑信息资源的充分共享 更要注意信息的保护和隔离 因此系统 应分别针对不同的应用和不同的网络通信环境 采取不同的措施 包括防火墙隔离 全网 接入认证 流量整形 上网审计 系统安全机制 数据存取的权限控制等 对于我院的各 种网络应用 应有多种的保护机制 如划分 VLAN MAC 地址绑定 ACL NAT 802 1x 认证机制 上网日志记录等具体技术提升整个网络的安全性 5 可扩展性和可管理性 可扩展性和可管理性 要充分考虑到今后网络的发展 在网络 服务器以及软件系统的设计上保证系统性能 能够平滑升级 保护现有投资 即应满足广域网连接端口与局域网连接端口的可扩展性 软件系统功能模块的可扩充性 6 易管理性 易管理性 网络必须易于管理 易于操作使用和开发 网管软件应支持网络的拓扑视图 网段与 端口监控 网络流量及错误统计 并具记费管理功能 网络故障的定位 诊断 修复和自 动隔离 7 结构化设计 结构化设计 结构化的设计思想是将整个网络划分成不同的层次 各个层次各司其职 对于校园网 来说 网络由三个层次组成 接入层 汇聚层 核心层 1 接入层的功能 连接桌面 PC 做为网络接入安全控制和 QOS 策略实现的边缘点 2 汇聚层的功能 承上启下 汇聚下挂设备的数据流 高速无阻塞地转发给核心层 设备 提供负载平衡 快速收敛和扩展性 完成路由选择 提供冗余 QOS 实施 3 核心层的功能 连接各汇聚设备 提供负载平衡 快速收敛和扩展性 完成高速转 发 大丰市第三中学校园网络优化方案 第 6 页 共 3 6 页 第三章 网络平台设计方案 一 整体网络规划一 整体网络规划 根据对数字化校园的理解 并考虑将来我市教育城域网的建设规划 展望远景 一切 从实际出发 紧扣 设计原则 及 网络需求 推出了 多维绿网 数字校园 整网解决 方案 解决方案以下一代网络技术 IPv6 为依托 创建一个技术先进 扩展性强 管理简单 无盲点覆盖的健壮绿色网络 设计方案如下 1 网络拓扑 1 方案采用典型的星型分层模块化设计 整个网络分二层 核心层 接入层 DCRS 5650 做为整个校园网的核心交换设备 带宽和处理能力强大 为应用提供了针对性 的解决措施 简化网络结构 降低网络维护成本 接入层选用 DCS 3950 26C 智能接入交换 机 千兆上联到核心 该交换机支持 IEEE802 1x 基于端口的认证 为网络提供端口级的安 全保证 可有效防止非法用户侵入网络 可有效防范 ARP 欺骗 它通过防 ARP 扫描技术 ARP Guard 技术等 杜绝攻击源通过 ARP 漏洞对网络进行攻击 可最大限度的减少网络使 大丰市第三中学校园网络优化方案 第 7 页 共 3 6 页 用过程中的时断时续 掉线频繁 增加网络的安全可用 整个网络做到核心千兆汇聚 100 兆到桌面的要求 部署在网络中心的服务器群组 通过千兆链路接入核心交换机 实现高 可靠性和稳定性的应用 2 在出口方面 既考虑访问互联网 同时也要兼顾出口的安全性及对流量的控制 及 IP 地址 NAT 转换问题 部属 1 台基于多核多线程的千兆防火墙 DCFW 1800S H V2 实现内外网的逻辑隔离及访问控制 支持多接口链路负载均衡 支持端口备份 提供链路 优先选择 支持 P2P BT eMule 迅雷等 应用控制及应用层安全防护 支持 JavaApplet Active X URL 过滤等功能 同时该防火墙具备较强的 VPN 功能 支持 IPSEC SSL 等多种 vpn 可以满足外出移动用户对校园网的访问 2 路由规划 现代园区网络建设普遍采用动态协议或静态路由协议 相比之下动态协议在大型复杂 网络中因为优越的运算算法所以有着较好的选路能力 但是由此带来了计算复杂 路由矢 量较高 优先级不如静态路由 配置管理困难等一些问题 静态路由协议只是简单的路由 指向 配置管理简单 转发速度高 对设备要求不高 但是在大型网络的选路计算方面不 如动态的动态路由协议 所以在此我们建议通过体系化路由的规划 通过对IP地址的汇聚 设计 简化网络模型 这样就可以通过简单的静态路由设定实现网内的按需互联 3 IP 地址规划 IP地址的合理规划是局域网网络设计中的重要一环 大型计算机网络必须对 地址 进行统一规划并得到实施 IP地址规划的好坏 影响到网络路由协议算法的效率 影响到 网络的性能 影响到网络的扩展 影响到网络的管理 也必将直接影响到网络应用的进一 步发展 IPIP 地址分配原则地址分配原则 IP地址空间分配 要与网络拓扑层次结构相适应 既要有效地利用地址空间 又要体 现出网络的可扩展性和灵活性 同时能满足路由协议的要求 以便于网络中的路由聚类 减少路由器中路由表的长度 减少对路由器CPU 内存的消耗 提高路由算法的效率 加快 路由变化的收敛速度 同时还要考虑到网络地址的可管理性 具体分配时要遵循以下原则 唯一性唯一性 一个IP网络中不能有两个主机采用相同的IP地址 简单性简单性 地址分配应简单易于管理 降低网络扩展的复杂性 简化路由表项 连续性 连续性 连续地址在层次结构网络中易于进行路径叠合 大大缩减路由表 提高路由 大丰市第三中学校园网络优化方案 第 8 页 共 3 6 页 算法的效率 可扩展性可扩展性 地址分配在每一层次上都要留有余量 在网络规模扩展时能保证地址叠合 所需的连续性 灵活性灵活性 地址分配应具有灵活性 以满足多种路由策略的优化 充分利用地址空间 主流的 IP 地址规划方案分为纯公网地址 纯私网地址和混合网络地址三种 在实际规 划中应考虑设备管理 服务器 领导 财务 员工及厂间互连等 统一规划并预留 4 VLAN 划分 VLANVLAN VirtualVirtual LocalLocal AreaArea NetworkNetwork 又称虚拟局域网 是指在交换局域网的基础上 采用网络管理软件构建的可跨越不同网段 不同网络的端到端的逻辑网络 一个VLAN组成 一个逻辑子网 即一个逻辑广播域 它可以覆盖多个网络设备 允许处于不同地理位置的 网络用户加入到一个逻辑子网中 VLAN是建立在物理网络基础上的一种逻辑子网 因此建立VLAN需要相应的支持VLAN技 术的网络设备 当网络中的不同VLAN间进行相互通信时 需要路由的支持 这时就需要增 加路由设备 要实现路由功能 既可采用路由器 也可采用三层交换机来完成 从技术角度讲 VLAN的划分可依据不同原则 一般有以下三种划分方法 1 1 基于端口的 基于端口的 VLANVLAN 划分划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组 这是最简单 最有效 的划分方法 该方法只需网络管理员对网络设备的交换端口进行重新分配即可 不用考虑 该端口所连接的设备 2 2 基于 基于 MACMAC 地址地址的的 VLANVLAN 划分划分 MAC 地址其实就是指网卡的标识符 每一块网卡的 MAC 地址都是惟一且固化在网卡上 的 MAC 地址由 12 位 16 进制数表示 前 8 位为厂商标识 后 4 位为网卡标识 网络管理 员可按 MAC 地址把一些站点划分为一个逻辑子网 3 3 基于路由的 基于路由的 VLANVLAN 划分划分 路由协议工作在网络层 相应的工作设备有路由器和路由交换机 即三层交换机 该 方式允许一个VLAN跨越多个交换机 或一个端口位于多个VLAN中 基于策略的 基于策略的VLANVLAN 基于策略的VLAN的划分是一种比较有效而直接的方式 这主要取决于在VLAN的划分中 所采用的策略 就目前来说 对于VLAN的划分主要采取上述第1 3种方式 第2种方式为辅助性的方案 使用使用 VLANVLAN 优点优点 1 控制广播风暴 大丰市第三中学校园网络优化方案 第 9 页 共 3 6 页 一个 VLAN 就是一个逻辑广播域 通过对 VLAN 的创建 隔离了广播 缩小了广播范围 可以控制广播风暴的产生 2 提高网络整体安全性 通过路由访问列表和 MAC 地址分配等 VLAN 划分原则 可以控制用户访问权限和逻辑网 段大小 将不同用户群划分在不同 VLAN 从而提高交换式网络的整体性能和安全性 3 增加了网络连接的灵活性 对于交换式以太网 如果对某些用户重新进行网段分配 需要网络管理员对网络系统 的物理结构重新进行调整 甚至需要追加网络设备 增大网络管理的工作量 而对于采用 VLAN 技术的网络来说 一个 VLAN 可以根据部门职能 对象组或者应用将不同地理位置的 网络用户划分为一个逻辑网段 在不改动网络物理连接的情况下可以任意地将工作站在工 作组或子网之间移动 利用虚拟网络技术 大大减轻了网络管理和维护工作的负担 降低 了网络维护费用 在一个交换网络中 VLAN 提供了网段和机构的弹性组合机制 三层交换技术三层交换技术 传统的路由器在网络中有路由转发 防火墙 隔离广播等作用 而在一个划分了VLAN 以后的网络中 逻辑上划分的不同网段之间通信仍然要通过路由器转发 由于在局域网上 不同VLAN之间的通信数据量是很大的 这样 如果路由器要对每一个数据包都路由一次 随着网络上数据量的不断增大 路由器将不堪重负 路由器将成为整个网络运行的瓶颈 在这种情况下 出现了第三层交换技术 它是将路由技术与交换技术合二为一的技术 三层交换机在对第一个数据流进行路由后 会产生一个MAC地址与IP地址的映射表 当同样 的数据流再次通过时 将根据此表直接从二层通过而不是再次路由 从而消除了路由器进 行路由选择而造成网络的延迟 提高了数据包转发的效率 消除了路由器可能产生的网络 瓶颈问题 可见 三层交换机集路由与交换于一身 在交换机内部实现了路由 提高了网 络的整体性能 在以三层交换机为核心的千兆网络中 为保证不同职能部门管理的方便性和安全性以 及整个网络运行的稳定性 可采用VLAN技术进行虚拟网络划分 VLAN子网隔离了广播风暴 对一些重要部门实施了安全保护 且当某一部门物理位置发生变化时 只需对交换机进行 设置 就可以实现网络的重组 非常方便 快捷 同时节约了成本 一般情况下 我们对设备中原有的VLAN 1 保持不变 作为设备的管理VLAN 对于虚网 段VLAN 根据实际需要从VLAN 10开始进行划分 5 组播设计 针对现在网络中视频 多媒体应用带宽需求的急剧增加 我们设计的网络方案整网全 部采用支持标准组播协议的交换机 实现全网的组播应用 大丰市第三中学校园网络优化方案 第 10 页 共 3 6 页 随着对视频 多媒体应用带宽需求的急剧增加 以及各种新兴应用的不断开展 传统 的数据传送方式已经不能适应应用发展的需要 例如在一个网络上有 200 个用户需要接收 相同的信息时 传统的解决方案要么把这一信息分别发送 200 次 以便确保需要数据的用 户能够得到所需的数据 要么采用广播的方式 在整个网络范围内传送数据 需要这些数 据的用户可直接在网络上获取 这些方式都浪费了大量宝贵的带宽资源 特别是网络上只 有少数用户需要数据时 这种浪费更加明显 IP 组播就是为了解决这个棘手问题而开发出 来的 IP 组播采用了组地址的概念 把需要数据的用户编入用户组 并利用一些高级的网 络协议来确保最经济地利用带宽 把数据通过用户组传递给真正需要的用户 IP 组播还能 减轻服务器的负担 提高办公和教学的效率 从而革命性地改变网络的性能 节省大量的 经费 并能带来更多新的服务 在本方案中 要求所有交换设备都必须对多种组播协议进 行支持 IP 组播技术已经出现了很久 但这仅仅是 IP 组播时代的开始 并且可以肯定 IP 组播 是从 WWW 技术推广后出现的最激动人心的网络技术之一 随着骨干网带宽的增加使因特网视 音频成为可能 随着小区网络中视 音频应用的不 断丰富 以及种种依赖于组播技术才能实现的应用出现 对组播技术的支持成为网络建设 的一个重要内容 作为一个学校的新建网络 在应用中也要充分考虑到新技术的应用及应用的发展 先 需要考虑的是整个组播方案的伸缩性问题 IP 组播路由与 IP 单播路由有一个本质的区别 就是 IP 单播路由是根据网络的拓扑结构而不是实际的会话来建立路径 而 IP 组播路由 则是根据网络的会话来动态地建立投递路径 因此 IP 组播路由比 IP 单播路由更具有动 态性 目前可用的组播路由模型有两种 稠密分布模型和稀疏分布模型 稠密分布模型假 定组播成员在网络中稠密分布 并且它们之间的网络带宽资源往往随时可用 而稀疏分布 模型假定组播成员在网络中稀疏分布 而且它们之间带宽资源往往比较紧张 很显然 对 于企业内部网络来说 应该采用稠密分布模型 目前经常被采用的稠密分布模型的域内组 播路由协议是 PIM 因此 我方建议采用 PIM 作为域内组播路由协议 PIM 协议的全称是 协议无关组播路由协议 它主要应用于路由器中 在高端的多层 交换机中也有广泛应用 它不受网络规模限制 应用非常灵活 IP 组播技术的提出是基于对业务通信结构进行优化的思想 在某些业务中 常常有一 定数量的用户在接收一些完全相同数据流 如果采用 IP 单播技术来为这些用户服务 需要 发送者为每个用户单独建立一个数据流 这些数据流重复地发送完全相同的数据 这样 采用 IP 单播技术将大大加重发送主机和通信网络的负载 同时也比较难以保证对不同接收 者的服务的公平性 可能由于发送主机或通信网络的负载过重 而有些接收者被拒绝服务 或者 由于发送主机对多个接收者的服务中 各个服务需要竞争不同的资源 造成一定的 串行化效果 从而 不同的接收者接受到服务的时间不同 而组播技术只要求发送者为同 一数据发送一个数据流 通过网络来选择合适的通信设备 为不同的用户复制同一数据流 来实现降低主机服务负载 网络通信负载和服务的公平性 如下图所示 大丰市第三中学校园网络优化方案 第 11 页 共 3 6 页 在上图中 同样一个数据流从一个发送者同时送到多个接收者 采用单播通信技术需 要发送者为每个单播接收者分别建立不同的数据流 路由器也必须为同一信息内容在同一 链路上重复传送多个流 同时 距发送者相同距离采用相同链路的每个接收者 接收到的 数据流的时间也有先有后 采用组播技术后 发送者只需发送一个数据流 路由器也只在 必要的时候在不同的端口复制不同的流 同时 距发送者相同距离采用相同链路的每个接 收者 有希望在同时接收到的相同的数据流 因此 大大减轻了发送者和骨干通信的开销 同时 可以为不同的接收者提供公平性 组播应用大致可以分为三类 1 点对多点应用 2 多点对点应用和 3 多点对 多点应用 详细介绍见各方案例 三类应用如下图所示 目前组播网络技术的推广的困难在于组播应用难以提供有效的用户认证和计费手段 缺乏成熟的商业化基础 同时 还缺乏有效的手段保证服务质量 包括延时 丢失率和对 异质链路的支持等 目前解决这些问题主要依靠应用本身来解决 三种方式的连接及访问在上面已经有较详细的描述 我们将在以下的设备与特点的结 合中进行详细论述 点对多点的应用点对多点的应用 点对多点应用 点对多点应用是指一个发送者 多个接收者的应用形式 这是最常见 的组播应用形式 典型的应用包括 媒体广播 如演讲 演示 会议等按日程进行的事件 其传统媒体分发手段通常采用 电视和广播 这一类应用通常需要一个或多个恒定速率的数据流 当采用多个数据流 如 语音和视频 时 往往它们之间需要同步 并且相互之间有不同的优先级 它们往往要求 较高的带宽 较小的延时抖动 但是 对绝对延时的要求不是很高 大丰市第三中学校园网络优化方案 第 12 页 共 3 6 页 媒体推送 如新闻标题 天气变化 运动比分等一些非商业关键的动态变化的信息 它们要求的带宽较低 对延时也没有什么要求 信息缓存 如网站信息 执行代码和其它基于文件的分布式复制或缓存更新 它们的 带宽要求一般 延时要求也一般 事件通知 如网络时间 组播会话日程 随机数字 密钥 配置更新 有效范围的网 络警报或其它有用信息 它们的带宽需求有所不同 但是一般都比较低 延时要求一般 状态监视 如股票价格 传感设备 安全系统 生产信息或其它实时信息 带宽要求 根据采样周期和精度有所不同 可能会有恒定速率带宽或突发带宽要求 通常带宽和延时 要求一般 多点对多点的应用多点对多点的应用 多点对点应用是指多个发送者和多个接收者的应用形式 通常是每个接收者可以接收 多个发送者发送的数据 同时 每个发送者可以把数据发送个多个接收者 具体应用包括 多点会议 通常音视频和白板应用构成多点会议应用 在多点会议中 不同的数据流 拥有不同的优先级 传统的多点会议采用专门的多点控制单元来协调和分配它们 采用组 播可以直接由任何一个发送者向所有接收者发送 多点控制单元用来控制当前发言权 它 的带宽和延时要求都比较高 资源同步 日程 目录 信息等分布数据库的同步 它们的带宽和延时要求一般 并行处理 分布式并行处理 它的带宽和延时要求都比较高 协同处理 共享文档的编辑 它的带宽和延时要求一般 远程学习 这实际上是媒体广播应用加上对上行数据流 允许学生向老师提问 的支 持 它的带宽和延时要求一般 讨论组 类似于基于文本的多点会议 还可以提供一些模拟的表达 分布式交互模拟 DIS 它的带宽和时延要求较高 Jam Session 它是一种音频编码共享应用 带宽要求和时延要求都比较高 多点对点的应用 多点对点应用 多点对点应用是指多个发送者 一个接收者的应用形式 通常是双向 请求 响应应用 任何一端 多点或点 都有可能发起请求 典型应用包括 资源查找 如服务定位 它们要求的带宽较低 时延要求一般 数据收集 它是点对多点应用中状态监视应用的反向过程 它可能由多个传感设备把 数据发回给一个数据收集主机 带宽要求根据采样周期和精度有所不同 可能会有恒定速 率带宽或突发带宽要求 通常带宽和延时要求一般 信息询问 询问者发送一个询问 所有被询问者返回应答 通常带宽要求较低 对延 时不太敏感 Juke Box 支持准点播 Near On Demand 的音视频倒放 通常接收者采用 带外的 协议机制 如 HTTP RTSP SMTP 可以采用组播方式 发送倒放请求给一个调度队列 它 大丰市第三中学校园网络优化方案 第 13 页 共 3 6 页 的带宽要求较高 延时要求一般 6 服务质量 QOS 设计 实施目的 优先传输关键数据实施目的 优先传输关键数据 实现技术 实现技术 QoS 实施对象 核心层实施对象 核心层 接入层交换机接入层交换机 根据外网平台数据类型及特点 建立统一的 QoS 策略 IP Precedence 的设置 通过 Policy Based Routing 实现 拥塞避免机制 采用 WRED Weighted Random Early Detection 实现 队列输出管理机制 采用 CBWFQ Class Based Weighted Fair Queuing 带宽控制机制 采用 CAR Committed Access Rate 实现 IP 包的优先级排序 从上往下优先级降低 1 实施传输数据 视频 语音 2 普通数据 文件传输 EMAIL 互联网访问 7 网络安全性和可靠性设计 网络安全包括业务安全 设备安全和数据安全等几个方面 业务安全指用户业务流不被非法截获 破坏 假冒等 如财务等重要信息被非法获取 私自篡改 那么无疑将产生严重的影响 设备安全指网络设备包括网管系统应当防止网络管理员之外的任何人或组织对网络设 备和网管系统配置 资源 诊断系统的有意或无意的访问 破坏和假冒和攻击 要求网络 设备和网管系统应提供有效的认证措施 拒绝并记录非法的入侵 采取有效的手段防止其 他攻击 设备安全还包括在常见的自然现象对设备的破坏 设备应当满足国家标准规定的防雷 击 防静电 并能够在正常的机房温度 湿度等条件下长期稳定的运行 数据安全指设备和网管系统的配置数据 统计信息 诊断信息 历史记录 文档以及 软件版本 补丁等不会丢失 错漏 数据安全一般主要管理手段来实现 比如 对数据的 定期备份等 防火墙就是运行于软件和硬件上的 安装在特定网络边界的 实施网间访问控制的一 组组件的集合 它在内部网络与外部网络之间形成一道安全保护屏障 防止非法用户访问 内部网络上的资源和非法向外传递内部信息 同时也防止这类非法和恶意的网络行为破坏 内部网络 防火墙是实现网络边界隔离的首选设备 它可以让用户在一个安全屏障后接入 互联网 还可以把单位的公共网络服务器和企业内部网络隔开 同时也可以通过防火墙将 网络中的服务器与网络逻辑分离 进行重点防护 部署防火墙的目的就是保护一个网络不 大丰市第三中学校园网络优化方案 第 14 页 共 3 6 页 受来自另外网络的攻击 选择防火墙的要点 基于高性能多核多线程处理器的硬件芯片级解决方案 网络地址转换能力 支持多接口链路负载均衡 支持端口备份 提供链路优先选择 具有自主知识产权的64位高安全操作系统 芯片级硬件加速深度包检测 IPSEC VPN SSL VPN等功能模块 支持USB KEY双因素身份认证登陆SSL VPN 每秒能够处理超过15000 TCP新建连接能力 超强的抗拒绝服务能力 支持P2P BT eMule 迅雷等 应用控制 提供高速硬件对关键应用的颗粒度为1kbps 的QOS支持 支持网游优化 支持应用层安全防护 支持JavaApplet Active X URL过滤等功能 支持ARP防护客户端 全面防御基于ARP的病毒及攻击 支持SNMPV1 V2 支持OSPF协议封装 极低的设备功耗 45W 节约用户能源成本 部署灵活 维护方便 易于管理 二 方案特点分析 1 三高 网络 高可靠 高可靠 1 设备自身可靠性 设备自身可靠性 接入交换机 接入交换机 随着网络的发展 网络安全问题特别是内网网络安全问题越来越严重 如 ARP 欺骗 ARP 攻击 MAC 地址盗用 IP 扫描 IP 冲突 ICMP 扫描攻击等问题越 来越严重 因此接入交换机的安全特性越来越重要 能否有效的解决内网特别是接入层安 全问题 已经是衡量网络的重要的因素 神州数码接入交换机具有极其强大的安全特性以 及接入层安全解决方案 可有效的防止内网安全威胁 如 ARP 欺骗以及扫描攻击 ClonePC 盗用 MAC 地址攻击 DHCP 攻击等等 从接入层开始 打造高效 安全 稳 定的网络 有效的保证了校园网的运营效果 核心交换机核心交换机 提供了完整的ACL策略 并使用不同的策略进行转发 通过ACL策略的 实施 用户可以过滤掉 冲击波 震荡波 红色代码 等病毒包 防止扩散和冲击核心设备 支持IEEE802 1x基于端口的认证 为网络提供端口级的安全保证 配合RADIUS等认证机 制 可有效防止非法用户侵入网络 2 链路可靠性 链路可靠性 核心和接入之间采用千兆光纤链路接入 4 芯光缆到位 芯接入 2 芯备用 但单一链路发生故障 可以很快倒换到备用链路 在短时间内恢复业务 从而 大丰市第三中学校园网络优化方案 第 15 页 共 3 6 页 保证整个网络系统的高可靠性 高性能 高性能 高端 IPV6 万兆交换机 超大的背板带宽和交换容量 保证园区网的各种应 用对数据转发的需求 出口防火墙采用了多核多线程的网络处理器架构 具备线速千兆小包吞吐能力 传统 的 X86 架构和 NP 架构防火墙无法相比 完全可以满足大量用户上网需求 尤其是现在主 流的 P2P 流量对小包吞吐量的要求 高扩展性 高扩展性 采用模块化 分层设计 主要设备均具备很强的扩展能力 核心交换机模 块化设计 能够提供多个扩展槽和万兆接口 具有极高的万兆线速转发性能 以及更高的万 兆端口密度来支撑大量汇聚设备的万兆链路上联 保证了网络扩容能力 2 节约型网络 节能 节能 数字校园信息系统的电力消耗有30 来自IT 设备 而基础网络设施又在其中占 据重要比例 在创建节约型社会的大背景下 网络设备需要将 节能减排 作为一项参考指 标 神州数码网络全线产品都注重节能设计 采用绿色节能网络产品将为网络使用者每年 节省数以万计的电费 环保 环保 随着人们环保意识的增强 电子产品中有害物质的含量也越来越受到重视 我 国已经从2008 年3 月开始实施信息产品的环保认证 所有网络产品将会根据铅 镉 汞 等有害物质的含量加贴绿色或橙色标识 选用设备均采用无铅工艺设计 安全环保 最大 限度保护网络管理员的权益 3 安全可信网络 安全可信接入 安全可信接入 基于病毒的 arp 攻击愈演愈烈 几乎所有的校园网都有遭遇过 地址转换协议 ARP Address Resolution Protocol 是个链路层协议 它工作在 OSI 参考模型的第二层 即数据链路层 与下层物理层之间通过硬件接口进行联系 同时为上层网络层提供服务 ARP 攻击原理虽然简单 易于分析 但是网络攻击往往是越简单越易于散布 造成的危害 越大 对于网络协议 可以说只要没有验证机制 那么就可以存在欺骗攻击 可以被非法 利用 接入交换机是最接近用户侧的网络设备 也最适于通过它进行相关网络攻击防护 选 用的接入交换机支持防 ARP 欺骗功能 通过对接入交换机的设置 我们可以将很多网络威 胁隔离在交换机的每端口内 而不至于对整网产生危害 边界防御 边界防御 在校园网出口的防火墙设计 采取先进的硬件架构设计 保证了在校园网出口高吞吐 量 多业务流量的条件下 也能轻松应对 除了执行传统防火墙的安全隔离 防御功能以 大丰市第三中学校园网络优化方案 第 16 页 共 3 6 页 外 还能实现防 Dos DDos 攻击 SSL IPsec VPN 等多种功能 4 流量可控网络 接入交换机限速接入交换机限速 接入交换机可以提供业内最细粒度的流量控制 端口限速的入方向 粒度最小可以达到 10Kbps 可根据端口 802 1p ToS DSCP 等进行流量分类 并分 配不同的服务级别 支持 WRR SP 等调度方式 为语音 数据 视频在同一网络中传输提供 所要求的不同服务质量 第四章 防 ARP 解决方案 自 2006 年以来 基于病毒的 arp 攻击愈演愈烈 几乎所有的校园网都有遭遇过 地 址转换协议 ARP Address Resolution Protocol 是个链路层协议 它工作在 OSI 参考模 型的第二层即数据链路层 与下层物理层之间通过硬件接口进行联系 同时为上层网络层 提供服务 ARP 攻击原理虽然简单 易于分析 但是网络攻击往往是越简单越易于散布 造成的危害越大 对于网络协议 可以说只要没有验证机制 那么就可以存在欺骗攻击 可以被非法利用 下面我们介绍几种常见 ARP 攻击典型的症状 上网的时候经常会弹出一些广告 有弹出窗口形式的 也有嵌入网页形式的 下 载的软件不是原本要下载的 而是其它非法程序 网关设备 ARP 表项存在大量虚假信息 上网时断时续 网页打开速度让使用者 无法接受 终端不断弹出 本机的 XXX 段硬件地址与网络中的 XXX 段地址冲突 的对话框 对于 ARP 攻击 可以简单分为两类 一 ARP 欺骗攻击 又分为 ARP 仿冒网关攻击和 ARP 仿冒主机攻击 二 ARP 泛洪 Flood 攻击 也可以称为 ARP 扫描攻击 对于这两类攻击 攻击程序都是通过构造非法的 ARP 报文 修改报文中的源 IP 地址 与 或 源 MAC 地址 不同之处在于前者用自己的 MAC 地址进行欺骗 后者则大量发送 虚假的 ARP 报文 拥塞网络 大丰市第三中学校园网络优化方案 第 17 页 共 3 6 页 网关网关E 192 168 1 1 主机主机D 192 168 1 5 主机主机C 192 168 1 4 主机主机B 192 168 1 3 主机主机A 192 168 1 2 网段内其它主机修改自己的缓存 表 并认为主机A就是网关 MAC B192 168 1 3 MAC A192 168 1 2 MAC A192 168 1 1 图一图一 ARP 仿冒网关攻击示例仿冒网关攻击示例 神州数码网络秉承 IT 服务 随需而动 的理念 对于困扰各位老师已久的 ARP 攻 击问题 结合各个学校网络现状 推出业内最全 适用面最广 最彻底的 ARP 整体解决 方案 神州数码网络公司从客户端程序 接入交换机 汇聚交换机 最后到网关设备 都研 发了 ARP 攻击防护功能 老师可以通过根据自己学校的网络特点 选取相关的网络设备 和方案进行实施 一 接入交换机篇一 接入交换机篇 接入交换机是最接近用户侧的网络设备 也最适于通过它进行相关网络攻击防护 通 过对接入交换机的适当设置 我们可以将很多网络威胁隔离在交换机的每端口内 而不至 于对整网产生危害 1 1 AMAM 功能功能 AM access management 又名访问管理 它利用收到数据报文的信息 源IP 地址 或者源IP 源MAC 与配置硬件地址池 AM pool 相比较 如果找到则转发 否则丢弃 AM pool 是一个地址列表 每一个地址表项对应于一个用户 每一个地址表项包括了 地址信息及其对应的端口 地址信息可以有两种 IP 地址 ip pool 指定该端口上用户的源IP 地址信息 MAC IP 地址 mac ip pool 指定该端口上用户的源MAC 地址和源IP 地址信息 当AM使能的时候 AM模块会拒绝所有的IP报文通过 只允许IP地址池内的成员源地 址通过 大丰市第三中学校园网络优化方案 第 18 页 共 3 6 页 我们可以在交换机端口创建一个MAC IP 地址绑定 放到地址池中 当端口下联主机 发送的IP报文 包含ARP报文 中 所含的源IP 源MAC不符合地址池中的绑定关系 此 报文就将被丢弃 配置命令示例如下 举例 使能AM 并允许交接口4 上源IP为192 1 1 2 源MAC是00 01 10 22 33 10 的 用户通过 Switch Config am enable Switch Config interface Ethernet 0 0 4 Switch Config Ethernet0 0 4 am port Switch Config Ethernet0 0 4 am mac ip pool 00 01 10 22 33 10 192 1 1 2 1 1 功能优点 功能优点 配置简单 除了可以防御ARP攻击 还可以防御IP扫描等攻击 适用于信息点不多