校园网技术方案书.doc

目目 录录 1概述概述 1 1 1校园网建设背景 1 1 2旅游职业学院校园网建网需求分析 2 1 2 1一般建网需求 2 1 2 2旅游职业学院建网需求 3 1 3整体建网原则 3 2总体网络设计总体网络设计 4 2 1网络拓扑设计 4 2 2核心层设计 5 2 3汇聚层设计 6 2 4接入层设计 7 3 3网络业务设计网络业务设计 10 3 1IP 地址规划 10 3 1 1IP 地址分配原则 10 3 1 2IP 地址规划方案 11 3 2VLAN 的划分 11 3 2 1划分 VLAN 的必要性 11 3 2 2划分 VLAN 的方法 13 3 2 3VLAN 规划 14 4网络管理方案网络管理方案 16 4 1网管系统需求 16 4 2统一网管设计 16 4 3IMC 智能网管平台 20 1 1 1 11 1 1概述概述 1 1 1 1校园网建设背景校园网建设背景 我国 互联网事业正在持续快速的发展 并在普及应用上进入崭新的多元 化应用阶段 互联网的影响正逐步渗透到人们生产 生活 工作 学习的各个角落 同时 随着国家信息化工作的深入开展 提高教育系统信息化水平成为当前工作的 重点 而校园网建设则是教育系统信息化建设的关键 尤其是校园网建设 在信息 化的建设过程中 它的作用体现在如下几个方面 1 校园网能促进教师和学生尽快提高应用信息技术的水平 信息技术学科的内 容是发展的 它是一门应用型学科 因此 为了让学生学到实用的知识 必 须给他们提供一个实践的环境 这个环境离不开校园网 2 校园网为教师提供了一种先进的辅助教学工具 提供了丰富的资源库 所以 校园网是学校进行教学改革 推行素质教育的一种必不可少的工具 3 校园网是学校现代化管理的基础 深入 全面的学校信息管理系统必须建立 在校园网上 4 校园网提供了学校与外界交流的窗口 学校应将校园网与互联网联接 这也 是学校信息化的要求 做到了这一步 通过校园网去了解世界 在互联网上 树立学校的形象都是很容易的 教育即未来 作为国家最重要的战略工程 如何应用信息技术改造我们传统的教 学和管理手段 如何加深学生对于信息化和信息技术的理解与了解 如何造就同时 具备传统和信息双重文化的一代新人 已成为教育界当前最为紧迫的任务之一 信 息技术的应用 势必极大地推进教育手段和教育内容的革命性变革 我们对此深信 不疑 并将全身心地为之努力 2 1 1 1 2旅游职业学院校园网建网需求旅游职业学院校园网建网需求分析分析 1 1 1 2 11 1 1 2 1一般建网需求一般建网需求 旅游职业学院的网络建设本次主要是校区网络新建 在实际的建设过程当中 应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性 如 校园网内部 的服务器的访问 由于学生的访问的内容多样化决定 涉及到基础网络设施的建设 和业务应用平台建设两个不同的层面 此处主要分析旅游职业学院网络基础设施建 设和网络运营方面相关的内容 旅游职业学院校园网络建设从网络流量模型上看和 企业网的流量模型相似 用户集中而网络流量大 但实际应用上还存在许多和企业 网不同的地方 主要特点如下 1 用户管理的需求 1 使用方便 存在 WEB 认证需求 要求能做到基于 WEB 的身份认证 多 ISP 选择 用户费率查询 带宽动态调整 隐性需求 多 WEB 界面 隐性需 求 等 2 需要解决账号和端口绑定问题 通过此种方式限制账号的使用区域 3 对用户带宽进行控制的需求 要求设备能对用户的带宽进行控制 譬如限 制为 64K 256K 512K 1M 2M 5M 10M 等等级 2 多种教学方式并行的需求 随着校园网的信息化的发展 越来越的多教学方式依托于网络给学生提供多 种的特色教学模式 1 多媒体教学 为了更好的为学生提供全方面的教学资料 越来越的多学校 在自己的内部局域网上面为学生提供多种教学资料 如 多媒体教学课件 典型的考试资料等等提供给学生上网下载使用 2 VOD 点播业务实现 通过建立 VOD 视频服务器平台 利用交换机提供的组 播功能 为旅游职业学院的用户提供优质的视频效果 同时节省用户带宽 3 安全管理的需求 1 校园用户接受新鲜事务的能力非常强 因此校园也成为黑客最多的场所之 3 一 如何保障校园网络的安全成为建网时不得不考虑的问题 目前主要攻 击手段有 DoS DDoS 等 2 上网日志的需求 主要是配合公安机关保证社会的稳定和校园的安全 4 组播业务的需求 特别是可控组播的需求将随着校园信息化的深入而体现出 来 对于后期建设的校园监控和电子监考工程也需要网络对组播特性有良好 的支持 5 多出口需求 典型的组网有中国教育和科研网 CerNet 出口和公网出口 多出口带来了以下 两个需求 1 多权限 ISP 需求 用户可通过不同的账号名或采用相同的账号 不同的域名 认证 获得不同的上网权限 2 多 ISP 分别计费的需求 对应不同的 ISP 计费策略不一致 6 WLAN 的需求 随着 WLAN 技术的成熟 在校园网内 如会议厅 图书馆等 部署 WLAN 也日益 成为热点 因此在规划中需要考虑 WLAN 的规划 1 1 1 2 21 1 1 2 2旅游职业学院建网需求旅游职业学院建网需求 旅游职业学院系统分为三级 核心层 汇聚层 接入层 1 1 1 3整体建网原则整体建网原则 早期的校园网主要是共用内部教育系统主机资源 共享简单数据库 多以二层 交换为主 很少有三层应用 存在 安全 可管理性较差 无业务增值能力安全 可管理性较差 无业务增值能力 等方 面的问题 现在旅游职业学院校园网建设要实现内部全方位的数据共享 应用三层交换 提供全面的 QoS 保障服务 使网络安全可靠 从而实现教育管理 多媒体教学 图 书馆管理自动化 而且还要通过 Internet 实现远程教学 提供可增值可管理的业务 必须具备高性能 高安全性 高可靠性 可管理 可增值特性以及开放性 兼容性 4 可扩展性 基于对旅游职业学院校园网业务需求的深入理解 结合自身产品和技术特点 H3C 公司推出了了完善的旅游职业学院校园网解决方案 为旅游职业学院提供 可管可管 理 可增值 可持续发展理 可增值 可持续发展 的精品网络 旅游职业学院网络建设遵循以下基本原则 高带宽高带宽 为了保障全网的高速转发 校园网全网的组网设计的无瓶颈性 要求方案设计 的阶段就要充分考虑到 同时要求核心交换机具有高性能 高带宽的特性 整网的 核心交换要求能够提供无瓶颈的数据交换 可扩充性可扩充性 考虑到旅游职业学院用户数量和业务种类的发展 要求对于核心交换机与汇聚 交换机具有强大的扩展功能 旅游职业学院校园网络要建设成完整统一 组网灵活 易扩充的弹性网络平台 能够随着需求变化 充分留有扩充余地 开放性开放性 技术选择必须符合相关国际标准及国内标准 避免个别厂家的私有标准或内部 协议 确保网络的开放性和互连互通 满足信息准确 安全 可靠 优良交换传送 的需要 开放的接口 支持良好的维护 测量和管理手段 提供网络统一实时监控 的遥测 遥控的信息处理功能 实现网络设备的统一管理 安全可靠性安全可靠性 设计应充分考虑整个网络的稳定性 支持网络节点的备份和线路保护 提供网 络安全防范措施 1 1 21 1 2总体网络设计总体网络设计 1 1 2 1网络拓扑设计网络拓扑设计 网络采用星型结构组网 充分考虑到了网络骨干的高带宽 高可靠性 整网采用 5 高可靠性设备作为核心交换机 设计使用双引擎 双电源保障核心自身的可靠性 下行使用光纤连接到各楼宇汇聚 提供高速率的上行带宽 保障多种教学业务 特 别是多媒体 语音等教学课件的高速传输 核心交换机采用多级交换架构 交换网板和引擎分离设计 这样实现控制和转发 的进一步分离 提高设备稳定性和性能 CLOS 多级交换架构代表未来的交换技术 最先进的技术 各个汇聚层的交换机则通过单模千兆光纤连接到接入层的交换机 接入层交换机 为千兆到桌面 拓扑图如下 1 1 2 2核心层设计核心层设计 核心层负责整个网络的数据交换 同时也是整网 LAN 的路由中心 全网第 三层 第四层操作都通过核心节点集中进行 核心交换机提供局域网内用户对服务 6 器群的高速访问 为了充分保障核心交换平台的高可靠特性 我们提供的核心交换设备采用分布 式结构 并且为多级交换架构 配置双主控交换板 无源背板设计 所有单板支持 热插拔 电源系统采用 1 1 冗余热备份 并支持多路电源输入 支持 STP RSTP MSTP 协议和 VRRP 协议 能够满足苛刻的电信级网络可靠性要求 系统 可靠性达到 99 999 本次网络建设推荐的核心交换机是 H3C 公司面向以业务为核心的企业网络架构 而推出的新一代高端多业务路由交换机 该产品基于 H3C 公司自适应安全网络的技 术理念 在提供稳定 可靠 安全的高性能 L2 L3 层交换服务基础上 进一步提供 了业务流分析 基于策略的 QOS 可控组播等智能的业务优化手段 从而为企业 IT 系统构建面向业务的基础网络平台 实现通信整合 数据整合奠定了基础 网络核心的服务器区域 包括网络管理服务器 数据库服务器 认证计费服务 器 一卡通服务器 流媒体服务器等等 该区域在网络建成后主要提供内网服务 远程教学 视频点播等业务都由该区域设备提供 方案通过数据中心接入交换机汇 聚后 接入到园区网核心 1 1 2 3汇聚层设计汇聚层设计 汇聚层使用根据不同楼群的接入点密度 可以选用华三公司全千兆智能三层交 换机 上行连接核心交换机上 同时全千兆下行连接接入层交换机 主要负责旅游 职业学院各大楼的数据汇聚 汇聚交换机具备强大的 IRF 堆叠能力 基于最长匹配的路由策略 系统采用逐 包转发方式 保证了所有报文均获得相同的转发性能 对 红码病毒 和 冲击波 病毒 的攻击具有天生的防御能力 有效保证了设备安全 支持集中式 MAC 地址 认证和 802 1x 认证 在用户接入网络时完成必要的身份认证 还可以通过灵活的 MAC IP VLAN PORT 任意组合绑定 有效的防止非法用户访问网络 支持 DUD Disconnect Unauthorised Device 认证 通过 MAC 地址学习数目限制和 MAC 7 地址与端口绑定实现 支持用户分级管理和口令保护 支持 MAC 地址学习数目限 制 MAC 地址与端口绑定 端口隔离 MAC 地址黑洞 支持防止 DoS 攻击功能 具有丰富的 QoS 特性 支持基于源 MAC 地址 目的 MAC 地址 源 IP 地址 目的 IP 地址 端口 协议的 L2 L7 复杂流分类 充分保障了复杂网络对于 QoS 规则的要 求 在本次组网中非常适合从事汇聚层面的工作 1 1 2 4接入层设计接入层设计 接入层是直接与用户相连的设备 使用数量较多 分布较广 所以接入层交换 机应该具备较高的性价比 并可支持远程供电和远程管理 H3C 的接入交换机支持强大的二层功能和 ACL 功能 可有有效保障局域网的安全 局域网上的一台主机 如果接收到一个 ARP 报文 即使该报文不是该主机所发送的 ARP 请求的应答报文 该主机也会将 ARP 报文中的发送者的 MAC 地址和 IP 地址更新 或加入到 ARP 表中 图 1 1 以太网 ARP 协议报文结构 ARP 欺骗攻击就利用了这点 攻击者主动发送 ARP 报文 发送者的 MAC 地址为攻 击者主机的 MAC 地址 发送者的 IP 地址为被攻击主机的 IP 地址 通过不断发送这 些伪造的 ARP 报文 让局域网上所有的主机和网关 ARP 表 其对应的 MAC 地址均为 8 攻击者的 MAC 地址 这样所有的网络流量都会发送给攻击者主机 由于 ARP 欺骗攻 击导致了主机和网关的 ARP 表的不正确 这种情况我们也称为 ARP 中毒 图 1 2 ARP 欺骗攻击是如此简单 由于 ARP 中毒后 所有的流量都需要经过攻击者进行转发 如果攻击者具有转发 能力 在攻击开始和攻击结束是都会引发一次网络中断 攻击过程中网络速度变慢 网速变慢原因跟发送大量的 ARP 流量消耗了带宽以及其本身处理能力有限有很大关 系 如果攻击者不具有转发能力 网络出现传输中断 直到攻击停止及 ARP 表恢复 正常 接入交换机防御 ARP 攻击 识别并读取 ARP 报文内容 然后根据报文内容判断是 否存在欺骗攻击行为 对于 ARP 欺骗报文进行丢弃处理 9 图 1 3 接入交换机部署 ARP 入侵检测 ARP 入侵检测在接入交换机进行部署 接入交换机同时启用 DHCP Snooping 对 DHCP 报文进行监测 DHCP Snooping 通过监测 DHCP 报文记录了用户的 IP MAC VLAN PORT 等信息 并形成一个 DHCP Snooping 绑定表 交换机端口接收到 的 ARP 报文后 通过查找 DHCP Snooping 建立的绑定关系表 来判断 ARP 应答报文 的发送者源 IP 源 MAC 是否合法 若 ARP 报文中的发送者源 MAC IP 匹配绑定表中 的内容 则认为是合法的报文 允许通过 否则认为是欺骗攻击报文 就进行丢弃 ARP 入侵检测能够防止接入终端发起任何 ARP 欺骗攻击 如果全网部署 AII 功能 可有效解决 ARP 欺骗攻击问题 另外由于 ARP 欺骗攻击 经常伴随者发送大量的 ARP 报文 消耗网络带宽资源和 交换机 CPU 资源 造成网络速度的速度降低 因此接入交换机还需要部署 ARP 报文 限速 对每个端口单位时间内接收到的 ARP 报文进行限制 很好地保障了网络带宽 资源和交换机 CPU 资源 1 1 31 1 3网络业务设计网络业务设计 10 1 1 3 1IP 地址地址规划规划 IP 地址的合理规划是校园网网络设计中的重要一环 大型计算机网络必须对 地址进行统一规划并得到实施 IP 地址规划的好坏 影响到网络路由协议算法 的效率 影响到网络的性能 影响到网络的扩展 影响到网络的管理 也必将直接 影响到网络应用的进一步发展 1 1 3 1 11 1 3 1 1 IPIP 地址分配原则地址分配原则 为保证对于上网学生的可查询性 且考虑到 10 xxx xxx xxx 私网地址不存在短 缺等因素 建议旅游职业学院的 IP 地址采用 10 xxx xxx xxx 私网 IP 地址接入的方 式进行建设 要与网络拓扑层次结构相适应 既要有效地利用地址空间 又要体现 出网络的可扩展性和灵活性 同时能满足路由协议的要求 以便于网络中的路由聚 类 减少路由器中路由表的长度 减少对路由器 CPU 内存的消耗 提高路由算法的 效率 加快路由变化的收敛速度 同时还要考虑到网络地址的可管理性 具体分配 时要遵循以下原则 唯一性 一个 IP 网络中不能有两个主机采用相同的 IP 地址 简单性 地址分配应简单易于管理 降低网络扩展的复杂性 简化路由表项 连续性 连续地址在层次结构网络中易于进行路径叠合 大大缩减路由表 提高 路由算法的效率 可扩展性 地址分配在每一层次上都要留有余量 在网络规模扩展时能保证地址 叠合所需的连续性 灵活性 地址分配应具有灵活性 以满足多种路由策略的优化 充分利用地址空 间 主流的 IP 地址规划方案分为纯公网地址 纯私网地址和混合网络地址三种 当校园网以私网地址分配或采用混合网络地址接入时 要求校园网提供地址变换 功能 过滤掉私网地址 1 1 3 1 21 1 3 1 2 IPIP 地址规划方案地址规划方案 11 内部地址的分配原则是按建筑物进行的 视用户的数量 1 4 1 2 整个私网的 划分 对于相对固定不变的教学区采用静态分配 IP 地址 为防止地址盗用 采用 IP 地 址与端口 地址绑定 对于流动性大 用户人数多 用户增长快的学生区采用动态 分配 IP 地址 采用 By Port 的 Vlan 小范围地限制地址盗用问题 静态 IP 地址对 于用户来说可以实现对应物理位置的查询 对全网的 IP 地址与物理位置的对应有全 面 可靠的管理 对于服务器 网络设备互连端口地址 设备 Loopback 地址建议使用静态 IP 地址 而且各属自不同的 IP 地址段 有利于骨干路由表的简化与路由的快速处理 1 1 3 2 VLAN 的划分的划分 1 1 3 2 11 1 3 2 1 划分划分 VLANVLAN 的必要性的必要性 VLAN 是建立在各种交换技术基础之上的 所谓交换实质上只是物理网络上的一 个控制点 它由软件进行管理 所以允许用户利用软件功能灵活地配置资源 管理 网络 利用交换设备中的虚网功能 不必改变网络的物理基础 即可重新配置网络 采用虚网功能 网络性能可以获得较大的改善 1 虚网技术能对工作组业务进行过滤 有效地分割通信量 因而能更好地利 用带宽 提高网络总的吞吐量 2 采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改 布线 因为虚网技术是从逻辑角度而非物理角度来划分子网的 所以采用虚网技术 能减轻系统的扩容压力 将迁移费用降至最小 3 采用虚网技术能有效隔离网络设备 增加网络的安全性和保密性 虚拟网 络的安全策略采用的主要协议为 IEEE802 1Q 此协议结合有鉴别和加密技术以确保 整个网络内部数据的保密性和完整性 4 虚网技术能对属于同一工作组的用户提供广播服务 但与传统的局域网协 议所不同的是 虚拟局域网能限制广播的区域 从而节省网络带宽 12 5 虚拟局域网可以建立在不同的物理网络上 用封装的办法支法支持不同的网 络协议络协议 如 SNMP NMP IPX TCP IP IEEE802 33 等 兼容性非常好性非 常好 6 虚拟网络中的主要应用技术为 虚网中继 VLAN Trunking 特有技术的采用 也成成为了必然 必然 简而言之 VLAN Trunking 主要是通过一条高速全双工通道 来实现将将一个 LAN Switch 端口所划分的不同 VLAN 与其它 LAN Switch 中各自相应 的 VLAN 成员进行线路复用连接的技术 VLAN Trunking 技术的采用 既节省了信道 数据量 又提高了可靠性 并便于管理及方便连接 提高了整个网络吞吐量和性能 指标 其原理如下图所示 V1V2V3V4V1V2V4V1V1V2V3 200Mbps Bandwidth 200Mbps Bandwidth VLAN 1 to VLAN 4 VLAN 2 to VLAN 2 V VL LA AN N T Tr ru un nk ki in ng g 技 技 技 技 如果采用 VLAN trunking 的技术 则 V1 V2 V3 均可通过一条全双工的 100Mbps 即 200Mbps 的速率与上级 LAN Switch 进行互通并经过位于树根部的路由 器进行路由与其它的 VLAN 进行通讯 VLAN trunking 技术的优点在于采用一条高速 通道连接 提高了通道的使用效率 如在 如在 V2 V3 无数据量的情况下 V1 可以 独占此 100M 带宽 并且可以使得线路的连接变得简单 从而大大提高可靠性与易维 护性 13 1 1 3 2 21 1 3 2 2 划分划分 VLANVLAN 的方法的方法 H3C 公司的 E 系列接入交换机不仅能够支持标准的 802 1Q VLAN 还能实现端口 之间的隔离 我们可以使用 E 系列支持的 P VLAN primary vlan 这个特性 一方面实现用 户之间的隔离 另一方面可以为三层交换机节省 VLAN 资源 E 系列可以屏蔽下面的 VLAN 划分 仅向三层交换机提供一个 VLAN 信息 在边缘交换机实现了端口可以同时 属于多个 Vlan 如图所示 其中端口 1 为 uplink 端口 端口 2 3 4 为接入端口 Vlan 1 包含端口 1 2 3 4 5 Vlan 2 包含端口 1 2 Vlan 3 包含端口 1 3 4 Vlan 4 包含端口 1 5 245 1 v vl la an n 1 1v vl la an n 3 3 v vl la an n 2 2 v vl la an n 4 4 3 设计中采用了几个 secondary vlan 包含在一个 primary VLAN 中的方式 给用 户提供了灵活的配置方式 如果用户希望实现二层报文的隔离 可以采用了为每个 用户分配一个 secondary vlan 的方式 每个 vlan 中只包含用户连接的 port 和 uplink port 如果希望实现用户之间二层报文的互通 可以将用户连接的端口划入 同一个 VLAN 中 同时创建 primary vlan 该 vlan 包含所有 secondary vlan 中包含 的端口和 uplink 端口 这样对上层交换机来说 可以认为下层交换机中只有一个 14 primary vlan 用来标识设备 而不必关心 primary VLAN 中的端口实际所属的 VLAN 简化了配置 节省了 VLAN 资源 primary vlan 中的所有端口都不是 802 1Q 的 trunk 端口 包括与其它交换机相 连的 uplink 口 每个 port 的 PVID 就是它所属 secondary vlan 的 ID uplink 端口 的 PVID 是 primary vlan 的 ID 我们建议在接入交换机上根据各个部门之间的逻辑关系进行灵活的 VLAN 划分 可以让一个楼层对应于一个 PVLAN 楼层内的不同部门分属不同的 Sencondary VLAN 这种划分方式中 可以对用户能实现动态的 VLAN MAC IP 绑定 可对用户发 动的伪造攻击报文进行合法性检查和过滤 具有一定的网络安全性保障 不同 VLAN 间的互访 必须经过三层交换机进行转发 1 1 3 2 31 1 3 2 3 VLANVLAN 规划规划 我们建议按不同的业务使用主体来规划整个旅游职业学院的 VLAN 资源 如 学 生宿舍 1 学生宿舍 2 教师 校管理人员等 为了减小广播域 建议 VLAN 终结在汇聚层的三层交换机上 每个 VLAN 内的主 机数量原则上不要超过 250 台 建议每个 VLAN 内的 PC 机数量控制在 50 台以内 VLAN 的划分可以依据不同的业务部门进行也可以依据用户所处网络的物理结构 进行 后者主要是从网络性能角度出发 而前者还兼顾了网络安全性可控性的需要 根据实际业务部门办公环境的分布情况来看 在大部分情况下 两者实现了重合 而对于少数由于办公地点不同 隔离在不同汇集点的相同业务部门 我们则推荐第 一种方式 将端口分配给 VLAN 的方式有两种 分别是静态的和动态的 静态静态 VLANVLAN 形成静态 VLAN 过程是将端口强制性地分配给 VLAN 的过程 确定哪些端口属于 哪些特定的 VLAN 然后将 VLAN 静态映射到端口 这是将端口映射到 VLAN 的一种最 通用的方法 对于学生宿舍 教师办公等用户相对集中的区域 建议采用这种部署 15 方式 将 VLAN 部署在用户对应的汇聚交换机端口上 动态动态 VLANVLAN 我们知道 VLAN 常常被规划用于对 资源访问权限 的分组 不同的 VLAN 具有 不同的访问权限 每个 VLAN 内有一个 IP 地址网段 不同的 VLAN IP 地址段的用户 具有不同的访问资源的权限 用户权限数据一般存储在 CAMS 或接入认证系统 UAM 后台综合访问管理服务器 中 CAMS 根据用户端的权限归类 在认证通过之后 向二层交换机作动态的 VLAN ID 下发配置 此时 二层交换机要支持 VLAN 的动态配 置功能 H3C 全系列交换机支持 从广播控制角度出发 为了保障网络的高可用和高性能 我们建议在进行具体 VLAN 规划时 同一个广播域内 一个 VLAN 的通信主机不要超过 250 台 最好控制 在 50 台以内 对于主机数量超过 50 的业务部门 我们通过二层隔离 三层交换的 方式来解决 管理管理 VLANVLAN 作为特殊 VLAN 的典型 建议保留 VLAN1 作为管理 VLAN 管理 VLAN 覆盖到全网 的每一台交换机 但在第三层接口上 需要与其他业务 VLAN 进行有效的隔离 网管 工作站建议另外设置一个 VLAN 例如 VLAN ID 4000 VLAN4000 与 VLAN1 在第三层上 相通 同时 部分业务 VLAN 可以访问 VLAN4000 从而实现网管的分布式监控布局 VLAN1 和 VLAN4000 的第三层路由接口处设置访问控制列表 只有特定的主机或者只 有网管 VLAN 可以直接访问每一台设备 其他均在过滤之列 对于服务器建议单独设置在一个 VLAN 中 业务 VLAN 可以按照部门的类别进行划分 每个部门划分一个 VLAN 部门人数超 过 50 名的应该划分为两个 VLAN 以保证交换的性能 业务 VLAN 的命名建议采用 VLAN100 作为第一个业务 VLAN 然后按照数字序列进行划分 一直到 VLAN123 本次建议在旅游职业学院网络中采用静态本次建议在旅游职业学院网络中采用静态 VLANVLAN 划分方案来部署 划分方案来部署 1 1 41 1 4网络管理方案网络管理方案 16 1 1 4 1网管系统需求网管系统需求 网络管理包括有三个部分 网管平台 设备管理系统 业务网管 网管平台则需要对全网进行管理 要有拓扑发现功能等 它力求全面地覆盖企业 IT业务的各个方面 网元管理系统一般均由设备原厂商提供 实现对网络设备的故障管理 配置管理 和性能管理 故障管理等 另外 对于复杂业务 如 MPLS VPN 和 QOS 管理等业务 一些领先厂商提供了专 业的业务网管系统 如 VPN Manager 和 QoS Manager 1 1 4 2统一网管设计统一网管设计 通过在网络中心安装集中网管系统 通过带内的方式实现对整网设备的统一管 理 提供集中 统一 分级 分权的网元管理 网络管理功能 并实现部分业务供 给功能 网管系统采用先进的组件化结构 可以对全网设备集中管理 在新老校园 网中提供分级的网管中心 提供不同的管理权限 每个校园网的网管仅能管理本园 区的网络设备 对于全网设备可以设置一个中心一级的网管中心 对所有网络设备 进行管理 网管系统对所有设备的管理采用带内方式 通过 SNMP 协议由网管中心服 务器发出管理信息报文 各宽带网络设备上的网管代理进行本设备运行状态 数据 信息的收集 然后通过 SNMP 协议将本网络设备的网管信息上报给网管中心服务器 由网管中心服务器统一对上报的网管信息进行处理和分析 然后通过 SNMP 协议下发 控制命令 由各设备网管代理接收控制命令后 完成对本设备的管理和控制 分级 网管的设置可根据要求灵活设置 可将分级网管服务器放置于各园区一个局域网内 最好各园区选择一个网络管理中心同时作为本园区网络的信息资源共享中心 也 可采用 UNIX 远程客户端的方式将网管终端放置在远程 此时网管终端与网管服务器 之间的信息交流也是通过带内通道完成的 综合网管系统应该能提供如下管理能力 拓扑管理拓扑管理 17 拓扑管理用于构造并管理整个通信网络的网络拓扑结构 通过自动上载网络设 备的拓扑数据形成与实际网络拓扑结构相同的网络拓扑视图 运行中通过对网络设 备进行定时 根据用户设定的每一设备的状态与配置轮询间隔时间 的轮循监视与 设备上报 TRAP 或告警处理 保证显示网络视图与实际网络拓扑一致 用户可通过浏 览网络视图来实时了解整个网络的运行情况 网管系统的拓扑视图是采用分层结构的 其中拓扑顶层显示的子图称为视图 根据被管对象的种类和实际需求抽象出了几种视图显示在拓扑的顶层 目前包含了 三个逻辑视图 IP 设备视图 交换设备视图和接入设备视图 和一个物理视图 在 这些视图下是子网 它是具有相同属性的设备的集合 在子网下就是具体的网络设 备 子网也可以再包含子网 其中逻辑视图中只包含了各自类型的网络设备 它反 映了网络设备之间的逻辑关系 而物理视图中的子图和设备是用户自己设定的 用 户可以根据地理位置去创建物理子图并定义它们之间的连接关系 IP 视图用于 IP 层网络拓扑的管理 描述整个基于 IP 路由器的 IP 网络的网络层 拓扑结构 主要包括路由器 LAN Switch 接入服务器和计算机等 IP 设备 基于 IP 路由器的网络拓扑结构分成两层 上层由路由器和 IP 子网组成 IP 子网表示某一传 输类型的物理网络 如以太网 Frame Relay 网等 在同一 IP 子网下的所有设备具 有同样的 IP 子网地址设置 路由器和 IP 子网之间通过路由器端口连接 如以太网 口 Frame Relay 广域网口等 路由器和路由器之间的连接有两种 一是通过 IP 子 网连接 如两路由器通过以太网或 Frame Relay 网互连 二是直接的点到点连接 如 PPP 连接等 物理视图用于反映网络设备之间的物理关系和连接 用户可以自由创建物理子 网 在物理子网中加入逻辑子网中已经存在的设备 建立它们之间的连接关系 拓扑管理主要操作有增删设备或子网 查看节点 链路或子网的状态 通过定 时轮询或手动启动对任一设备的状态或配置数据轮询 实时刷新拓扑显示数据 拓扑管理还具有改变背景图象 设置网络对象属性 保存拓扑视图修改 查找 网络对象 显示网络对象信息 拓扑视图显示效果设置等功能 用户可对每个子网 18 设置背景图象 gif 格式 背景图象的大小根据窗口大小自动调整 配置管理配置管理 网管系统提供全网浏览树和设备面板图对配置进行维护 全网浏览树把网络中的所有设备按不同的分组方式组织在一个树形结构中 操 作者可灵活切换要进行配置操作的设备 对所有设备和设备组件的操作都通过右键 菜单来完成 用户右键点中待管理的对象 系统将自动弹出该设备或设备组件所对 应的管理菜单 所有设备和设备组件 如端口等 的配置 实时性能管理功能都可 通过该右键菜单完成 本浏览树可装载并显示所有路由器 以及其它支持 SNMP 协议的设备端口数据 在浏览树中的端口显示数据包括 端口状态 端口索引 端口类型 IP 地址 掩码 设置 如设置有 用户右键点中该端口即可弹出该端口所对应的配置菜单 通过在拓扑图上双击拓扑设备节点启动设备面板图 在面板视图上对设备进行 配置 设备面板图和全网浏览树所提供的配置功能是完全一样的 在面板上进行配 置显得更直观 提供设备的机架视图 实时显示各单板的状态和告警信息 对于面 板中的每个单板节点 提供右键弹出菜单 该菜单是针对该单板的一系列的应用 包括配置 性能 维护管理等 而全网浏览树则是提供了一种对全网设备进行管理 的手段 在配置较多的设备时比较方便 故障管理故障管理 故障管理主要包括对全网设备的告警信息和运行信息进行实时监控 查询设备 的历史告警信息和运行信息 定义发送过来的 SNMP Trap 查询和配置设备的告警表 故障管理系统收集和处理设备告警 设备告警包括 Snmp Trap 和 MML 格式的告 警 前者告警来源为 SNMP 设备 大部分数据通信设备支持 SNMP Trap 和 Alarm 可 以同屏显示也可以分屏显示 以下叙述中 告警 如无特殊说明包括 Snmp Trap 和 MML Alarm 19 故障管理系统包括故障管理后台 实时告警显示 历史告警显示 Trap 规则定 义工具 故障监视面板和当前故障窗口 故障管理后台接收设备告警 写数据库 发送给实时告警前台显示 如果有其他应用关心某些类型的告警 还要上报给该应 用 实时告警显示从故障后台实时接收设备告警并显示 历史告警显示从数据库检 索告警并显示 实时告警显示和历史告警显示都支持过滤条件 可以检索指定设备 一个或多个 的告警 也可以按类别检索指定类型的告警 Trap 规则定义工具主 要是定义 Snmp Trap 的描述信息 因为 Snmp Trap 是二进制编码 Trap 规则定义了 该二进制流中各字段的描述信息 故障管理后台接收设备发送的 Trap 后根据当前的 Trap 规则定义对 Trap 进行解释 将解释后得到的告警数据写入历史告警库 并发 送给前台程序 MML Alarm 本身是 ASCII 字符流 故障后台经过适当的字段定位后 直接入库和发送给前台进程 故障监视面板为您提供了一个直观的了解设备故障情 况的工具 它可以提供单个设备或所有设备的告警状态数据 实时刷新状态数据 并可以通过激活当前告警窗口为您提供告警的详细数据 它由六个代表不同级