【《教育集团网络方案设计》18000字（论文）】

第页教育集团网络方案设计目录TOC\o"1-3"\h\u99151引言 331481.1背景和意义 393401.2存在问题分析 4317971.3主要完成的工作 5254372教育集团网络方案 6136612.1方案目标 6290872.2业务需求 830802.3业务流需求 9239232.4功能需求 1073432.5安全需求分析 10174612.6可行性分析 11242902.6.1方案的可行性 11226082.6.2技术可行性 11225452.6.3经济可行性 13315852.7网络急需解决的问题 13137382.7.1网络环境的优化 13139082.7.2数据备份和安全 1344082.7.3网络性能和效率发挥不足 13265142.7.4网络安全性分析 14303092.7.5连通多元化问题 14326332.8网络安全关键技术 15169022.8.1包过滤技术 1596512.8.2虚拟专用网VPN技术 15272973.CII教育集团综合布线 15138653.1工作区子系统 1615483.2水平子系统 16150103.3管理间子系统 17156353.4垂直干线子系统 17282433.5设备间子系统 1895493.6建筑群子系统 187404关键技术原理 19313594.1VLAN划分技术 19232294.2STP技术 19154284.3DHCP技术 19190954.4VTP 1966164.5NAT技术 20175644.6VPN 2095134.7链路聚合技术 2086155整体设计方案 21203935.1设计原则 2185465.2接入层设计 2116495.3汇聚层设计 22164535.4核心层设计 22124675.5服务器设计 23150635.6网络边界设计 23109005.7无线网络设计 2439896.仿真和测试 24265836.1仿真环境 2575316.2网络拓扑结构 2612986.3VLAN划分和IP地址规划 26109196.4关键设备配置 298236.4.1核心三层交换HSRP配置 30165866.4.3边界路由器R1NAT配置 3222326.4.4IPsecVPN远程访问配置 33275617.网络割接和应急预案 4173217.1网络性能测试 4178588.网络安全现状和分析 42130879.总结 43摘要我国信息化建设力度和水平逐年上升并趋于快速发展阶段。教育信息化是立国之本、是强国之本。作为培养新时代技能和素质人才的教育机构和集团组织利用好各类信息技术开展技能配置、人才培养、人才素质提升已经成为当前教育的迫切需要。CII教育集团公司网络是展开日常工作、人才培养、科学研究的重要资源。如何充分应用和发挥好CII教育集团公司网络的作用，有利整合CII教育集团公司网络资源、提高CII教育集团公司网络利用效率和功能是校园网建设和发展的必然要求。本次基于思科技术的CII教育集团是在新时期和新形势下，为了加快信息化技术对人才培养的广泛支撑力度，本着科学严谨、技术改造和网络演进等目标任务，通过对当前网络系统分析和调研、存在的问题分析和总结、网络需求充分整理情况下，结合目前公司现有网络实际设备和部署结构，开展网络规划和建设工作。关键词：校园网；HSRP；路由协议；网络仿真1引言1.1背景和意义随着信息化和数字化技术的不断推进，信息技术推动行业和领域发生了纵深变革。伴随我国十三五、十四五计划的不断实施。我国信息化建设力度和水平逐年上升并趋于快速发展阶段。教育信息化是立国之本、是强国之本。作为培养新时代技能和素质人才的教育机构和集团组织利用好各类信息技术开展技能配置、人才培养、人才素质提升已经成为当前教育的迫切需要。CII教育集团公司网络是展开日常工作、人才培养、科学研究的重要资源。如何充分应用和发挥好CII教育集团公司网络的作用，有利整合CII教育集团公司网络资源、提高CII教育集团公司网络利用效率和功能是校园网建设和发展的必然要求。尤其是在企事业单位和学校需要利用最先进的网络技术和信息技术来有效的为日常的教育教学工作有力支撑。学校信息化发展是国家战略也是人才培养的必要依赖和依托。学校在完成各类信息化网络建设，各类智慧校园系统和应用平台基础上，以加快人才培养为己任，利用丰富的互联网和教育网资源开展形式多样的教学工作已经成为时代需要。同时，学校校园网也是开展日常办公、信息发布、制度建设、人事管理、成绩查询等事务的重要平台。因此，建设和发展校园网，充分发挥网络功能和效率，提高和整合信息化教学资源和平台是学校CII教育集团公司网络发展的重要任务和使命。教育信息化是一个大的主题和方面，是从全方位定位信息化对教育的积极促进作用，也同时体现了当前环境下，教育教学对信息化的重要依托和依赖，例如数字校园、智慧校园、智慧城市、平安校园等概念的提出就是对教育信息化发展的重要体现，教育信息化是对教育教学每个环节的信息化渗透和资源调配工作，可以涉及到学生入校信息的查询编制、学生日常的管理和定位、学生成绩和课业情况记录和分析、学校信息的共享和发布、学校日常各类管理工作。因此教育信息化是一个复杂的庞大的工程内容。近年来，互联网技术从纵向接入到横向纵深式变化和发展，尤其是私有云计算网络、公有云的使用和接入，网络的移动性要求、网络的安全性要求、网络的异构性问题突出。基础教育和高等教育信息化发展战略的颁布和实施，校园网已经初具规模和成效，为日常教学办公发挥了积极作用。但是校园网建设和发展是个动态和不断演进的过程，整个应用的改造升级，整个网络大环境的不断变化发展，势必要驱动单个CII教育集团公司网络、园区网络的快速改进和升级。因此，在面对新时期重要发展机遇和任务面前，必须尝试利用网络新技术和新方法加快网络的升级改造和扩建工作。通过多年的发展，我国基础教育信息化工作取得了一定的成绩，但是存在的问题和面临的困难还是比较突出，例如，基础教育信息化资金投入不足，信息化利用程度不高，信息化发展方向不明确，信息化手段掌握不扎实等。同时在网络建设中存在以下突出问题网络的运维管理困难、网络的优化和改造难、数据存储安全性、网络性能和效率亟待完善、校园网安全性加固落后等。目前，国外一些教育集团在提高网络利用效率和功能的同时，将新技术和多媒体一体化教学技术方法融入到教育教学的多个环节中去，例如通过一体化多媒体云教室、综合仿真实验室、VR实训室等增强了学习的直观感受和教育的丰富程度。国家在教育信息化建设中提出了明确的目标和建设重点任务，因此，需要重新审视信息资源的整合和利用，重新调整信息化网络功能和结构，更加有利于教育教学改革，当前是教育信息化大发展和大改革的有力时机，是充满了挑战和机遇的时代，加快信息化就是加快人才培养和与国际社会接轨。因此，需要从顶层设计和实际出发不断深化教育改革和人才培养模式改革，大力开展数字校园、智慧校园建设。1.2存在问题分析经过多年的发展和技术改造，CII教育集团信息化网络初见成效运行良好，基本满足日常信息交流、数据共享、业务系统访问等。但是由于原有网络系统结构单点故障部位较多、网络链路瓶颈问题、数据存储异质和分散，网络可靠性和安全性无法综合评估等问题。这些突出问题直接导致了新业务部署和开展难度较大，很难整体整合和数据统一，具体细化如下：1.网络机构可靠性问题。目前该教育集团公司核心层架设华三75系列交换机作为核心控制和转发设备，该设备上线运行10年之久，设备风扇模块异常告警多次，接口板自动掉线多次，同时核心交换机服务器接口板采用点口，这些明显与网络发展不相适应。2.该教育机构接入层部署层级没有明确限制要求，从汇聚层下挂交换机数量不等，层级不确定，尤其是端交换机中串接、挂接各类傻瓜设备较多，这对于核心层进行业务部署和应用层业务转发产生干扰和难度。在一些楼宇汇聚层交换机上行接口带宽占用较高，扩容难度较大，不利于新业务开展，不利于高实时性要求业务开展；3.网络存储和业务系统部署分散，集中统一和调度难度高，尤其是进行系统资源整合和集成难度非常之大，仅数据迁移实现较为复杂、存储服务器、接入服务器耦合性无法统一调度、部分服务器与数据进行松散耦合、部分服务器与数据及中间系统紧密耦合，因此需要重新划分系统服务，重新进行迁移和虚拟化部署。4.CII教育集团公司网络缺乏有效的统一规划和长期演进规划。在网络管理和运维方面考虑和部署欠缺。这些问题直接导致了网络发生故障的失控和网络资源的盲区较多，部分设备老旧，采集数据出现时滞严重，无法及时准确的将告警和故障信息通报给网管系统提示运维人员。5.网络安全缺乏统一有效和集中加固防御。信息安全是近些年来重点提及和防御部分。随着我国技术经济逐步的发展和变化，非法入侵、黑客等不法分子，利用各种攻击技术和手段针对性开展数据劫持、数据监听、数据篡改、非法接入、权限提升、病毒和木马植入、恶意攻击和恶意脚本上传等，严重影响重要数据安全和网络系统安全。CII教育集团是我市较为著名的企业，旗下各类教育培训机构、各类公办、私立学校众多、其中有企业和工厂几家，涉及到的网络安全问题较多。例如针对网站的攻击、针对数据库的攻击、针对核心商业机密攻击、系统漏洞扫描采集、认证和授权、网络流量分析和过滤等。1.3主要完成的工作本次基于思科技术的CII教育集团是在新时期和新形势下，为了加快信息化技术对人才培养的广泛支撑力度，本着科学严谨、技术改造和网络演进等目标任务，通过对当前网络系统分析和调研、存在的问题分析和总结、网络需求充分整理情况下，结合目前公司现有网络实际设备和部署结构，开展网络规划和建设工作。具体为：1.资料的整理和文献的查阅。虽然目前网络系统搭建已经非常成熟被业界广泛的利用各类网络模型部署和实践，但是由于网络系统和行业背景、需求和问题存在重要的正向关联，因此网络形态存在不同的差异性；2.网络整体规划和部署方法和案例分析。一个切实可行和好的网络系统，必须借鉴很多较好的网络案例作为蓝本开展实际的施工和建设。教育集团在发展的这些年，新建业务系统10套、新增接入交换机、汇聚交换机多套、但是由于型号和厂家不同，在进行网络延伸、集成存在问题；3.网络系统规划设计。规划和设计主要分为。系统整体规划、网络功能规划、网络设备规划、网络数据规划、网络仿真和测试、数据有效性验证是评估测试。本次主要完成了系统架构、关键技术举例分析、先进技术和原理应用、网络安全等；4.接入层才用vlan技术实现广播隔离和业务区分，汇聚层采用生成树协议完成业务分流，核心层采用HSRP协议和MSTP协议实现冗余备份和负载分担，部分网络节点进行链路聚合和业务双归，部署和仿真VPN业务，装和调试了当前主要的网络仿真软件，对思科pt工具、华为ENSP等开展学习和建模；5.完成仿真和测试后，对全网业务连通性进行测试，由于仿真环境本身的限制，无法准确得出实际网络评估参数和性能，下一步将从数据采集和评估、网络时延、抖动等方面进行实际测量分析、并考虑到网络部署QoS对业务影响。2教育集团网络方案2.1方案目标CII教育集团网络工程有限公司是一家专注于计算机网络系统集成和弱电工程服务公司，公司主要服务于校园、大、中、小型企业等提供信息系统集成、弱电工程、安防监控系统、无线覆盖工程、门禁考勤、音视频系统、会议系统等。目前为止已经为各中小学、企业组织、政府机构建设和完成不同领域建设方案和各类弱点系统工程材料供给和施工建设工作。该公司经济实力雄厚，工程建设质量过硬，施工方案先进和完善，施工质量诚信消费者信得过单位、重合同守信用企业等荣誉称号。CII教育集团业务规模和员工数量不断发展和增加，网络需求和网络接入数量明显增加。为了有效保障网络接入和服务能力与实际要求相匹配，满足公司业务发展需要，集团公司需要改建内部企业培训机构和分支培训教育集团，为了保障集团总部和分支机构的互联互通和信息共享交流，需要对新建企业培训机构进行全面信息化建设和部署。为了有效解决服务器资源分析和调配困难问题，需要全面部署网络虚拟化、存储虚拟化和数据处理加工的虚拟化，集团公司决定建立企业大学云计算数据中心，从而实现高速、可靠的传输数据和存储数据。考虑企业大学移动办公的需求，本部及分校将提供有线和无线网络服务，并在网络出口部署出口网关设备对访问互联网数据进行身份认证与信息审计，实现安全可靠的网络互联。信息发布和数据共享是CII教育集团网络基础需求之一，由于该公司每日发送大量的招投标公告，发送各类企业内部新闻和党务实物公开，通过不断的信息交流和发布不仅可以对企业进行正面大力宣传，同时也可以获取各类商业信息和工程建设机遇。同时，随着几个培训机构的大力建设，需要通过网络进行大力宣传和信息发布，该网站系统为综合式企业门户类网站需要进行办公OA、电子邮件、内部贴吧和网站信息，同时需要嵌入各类业务应用系统内部登录连接和地址等。利用校园网建成各种校园信息发布交流平台例如校园贴吧、校园论坛等满足学生的信息需求；对开展日常的教学服务和教务管理工作尤其重要。通过在校园内部架设信息发布平台和教务管理系统，不仅可以让老师方便进行学生教学管理、成绩录入、课表查询、学生详细信息查询等，而且让学生也可以实时查看通知公告、校园新闻、选课调课、成绩查询等。通过构建文件共享服务可以方便实现各类文件资源的共享和访问服务；使用规模群最大的就是在校学生。学生不仅要通过CII教育集团公司网络系统完成老师布置的作业，而且要通过网络系统实时与老师沟通解惑答疑，同时，学生要利用CII教育集团公司网络通过电子阅览室和图书馆查阅文献资料开展自主性学习和远程学习等。随着各类电大成人类远程教育的规模增加，校外在职教育也需要利用好CII教育集团公司网络平台开展日常的学习和教学开展工作；搭建的CII教育集团公司网络还有一个重要的职能就是有效开展教育集团各类教育教学的管理工作。教师考勤系统、教师管理系统、科研申报系统、教务管理系统、精品课资源管理系统、进修和再教育系统、校园监控系统等多种业务应用在CII教育集团公司网络中承载。因此建设好一个优质高效的网络环境对提升教学服务能力、推进教育教学工作非常重要。2.2业务需求随着公司业务能力的提高和产品种类的扩展，利用在线平台进行电子商务交易已成为产品销售的主要渠道。互联网整体流形态和分布发生了变化，例如P2P流量的与日俱增和传统流量的日益减少，P2P流量超越了传统的服务器客户机架构模式下的流量请求响应模式，他更多的是模糊了主机的角色和身份，在网络通信过程中，即可以为做服务器也可以作为客户机，同时，互联网流量整体呈现随机性和突发性，例如常见的voip服务，多媒体流服务等。但是，这些类型的服务通常不仅需要网络设备的支持，而且在顶层设计和网络体系结构方面也需要适当的布局。CII教育集团公司网络系统是计算机网络在校园领域的统称，主要是利用先进的计算机网络技术、通信技术和数据共享技术，实现各类数据的实时性传输、各类业务应用的开展等。校园网需求由来就非常旺盛。主要是，学校内部办公和信息发布、各类教务科研系统、各类选课调课查课系统等多种信息化支撑平台，同时对互联网的大量访问和依赖。由于互联网发展至今，业务类型和各类新协议、新应用的不断推陈出新，原有的网络已经无法满足性能指标。因此需要利用有线、无线、微波、蓝牙等多种方式综合考虑网络接入和信息共享。校园信息化网络主要担负起日常网站信息发布、数据资源共享、各类应用系统的数据更新和访问、和外界的互联互通等。同时要考虑到各类业务应用系统对应到流量的分类和分析，例如传统应用基本是web应用、ftp访问、邮件服务等，随着互联网大力发展，P2P应用、媒体流业务、实时性业务等大量汇聚在互联网中，此类业务的特点是实现了扁平化、跨平台、协议的模糊化和分散化，在网络中传递不容易被识别和发现，同时，开展VOIP，校园媒体点播等，对延迟网络时间敏感性提出更高的要求。网站信息发布校园信息化建设的重要标志是是否具备一个功能完备、技术先进的网站系统。网站系统不仅需要实施的公布学校各类新闻和消息，同时也是各类业务应用系统的入口和门户，是访问最为频繁、业务接入最为复杂多样的平台。因此需要充分的考虑到网站类型、网站平台的操作系统选择、网站开发的安全性和部署问题。网站系统中各个功能集中体现了学校的教育教学特色特点。因此需要综合考虑到各类应用系统是否部署合理、是否安全、采用论坛、贴吧、校园博客等是否安全等问题。教学教学支撑校园网中承载着重要的日常办公、教务教学信息的转发和处理。校园网需要及时的流转各类公文系统、可以有效的做到及时发送、及时回复、人性化提醒等。需要网络可靠支撑。同时教务管理系统需要大量的数据访问和信息交流，也需要专门的网络环境保证可靠性和可用性。尤其要保证学生对信息的查询。教师对信息的查询、成绩录入导出、利用校园公告栏实时查询和发布消息，利用选课系统及时发布课程消息和上课信息，利用文件和资源共享系统可以公开有效的课程资源，方便学生学习和使用。学生信息需求校园网内部学生需要利用各种网络接入手段访问应用服务系统。学生不仅要能及时接入到作业发布系统及时查看和下载作业，同时需要利用校园网及时和老师进行沟通交流，对疑难进行有效的答疑解惑。校园网电子图书馆和阅览室也是学生经常登录和访问的地方，通过电子图书馆下载、浏览和阅读大量的资料和学习参考。同时，各类远程视频接入学习、云教学、云教室的不断发展和普及，利用云教室可以和教学优质资源老师进行互动和授课、可以和优质学校学生进行互动和心得共享等。同时，可以利用各类vpn技术实现优质教学资源的接入和访问。系统管理和运维当前校园网内容丰富多样、涵盖了各种业务应用系统，例如教师打卡系统、门禁系统、教师考勤系统、科研管理系统、工资管理和人事系统、教学资源系统、精品课程网站系统、教师进修管理系统、CII教育集团公司网络监控管理系统、学校一卡通和智慧校园平台等。各类系统的有机统一协议工作离不开一个高性能安全的校园网的支撑，各类上级数据必须依赖网络拓扑结构的合理、网络设备的科学、网络协议的精准匹配、网络资源和合理有效。因此建设好一个优质高效的校园网对提升教学服务能力、推进教育教学工作非常重要。2.3业务流需求随着网络业务流量的增加，网络峰值带宽在关键区域产生网络瓶颈，例如在核心交换机下行链路，由于只有100M接入，根据实际测试在高峰时间，链路利用率超过80%，网络严重阻塞，例如数据中心区域网络横向流量增加，需要通过增加冗余链路实施扩容。在本次设计中网络通信量需要进行测算。目前，CII教育集团内安装综合网管系统，通过对数据流采集分析，其中绝大多数的楼宇到控制中心核心交换机链路高峰出现拥塞，特别是几个机房，在学生使用期间带宽明显不足。根据业务类型进行通信量预测，也可以根据用户数进行通信量预测，预测方法，首先预测用户发展数目，通常用回归分析法，然后按照经验公式：最大用户数*30%*峰值带宽*同时在线用户数=中继带宽，也可以利用运营商网络常用的重力法、流量矩阵法。2.4功能需求功能需求主要体现在应对新业务和流量变化形态下的网络功能提升或是改造过程。主要表现在，网络功能的统一化和扁平化处理，将传统结构意义上的接入、汇聚可以考虑架设为一层，而核心层和汇聚层考虑直接部署为网关接入层，这样建设不仅可以有效的缩短数据转发和处理的层级，同时可以更加方便的进行业务部署和灵活进行流量调整。2.5安全需求分析网络建设的基本要求就是安全性和可靠性，对于安全性的定义包含了丰富的内容。例如网络建设中的5大系统的安全，包含了信息安全的所有环节和过程。可靠性的定义也很丰富和内涵深刻。所谓的可靠性就是从架构和整体业务流向和部署的容灾性、负载荣誉和冗余备份等特点。在网络保证时延、抖动和吞吐量基础上，一旦网络节点、网络链路、网络结构发生故障后，设备不仅能自动检测和上报信息，同时通过高效的协议部署可以实现业务切换和自动重发等能力。在早些年由于信息化建设中对网络安全的忽视和重视程度不够，往往校园网在对异常流量入侵和黑客攻击入侵束手无策。因此，校园网信息安全是一个建设重点和难点。校园网安全主要考虑到系统架构的安全、网络拓扑的安全、数据流量的安全、访问控制的安全、接入和转发的安全、边界区域安全、重点系统的保障性安全等。例如：网络拓扑安全不仅要考虑数据配置协议的安全，同时要考虑物理连接安全性，系统架构的安全主要考虑服务器存储是否能1+N多点储存和备份，是否支持跨域备份，是否支持容错备份等；边界区域是安全隐患最为严重的区域，用户流量的进出访问和异常流量入侵都会基于这个边界和关卡设备。如果对进入网络中流量不能有效的监控和管理，黑客攻击、非法入侵、各类检测和扫描都会发生，甚至用死亡之ping、各类泛洪攻击，IP地址伪装就可以成功的导致网络瘫痪和数据中断。传统的网络安全只采取被动没有主动防御策略、传统的网络连接单一而没有冗余和保护。因此，我们需要全盘考虑网络部署和安全架设，针对专门的安全问题采用针对性措施和办法。本次由于仿真平台和论文核心及论文层次的限制，我们只进行一些简单的访问控制和流隔离进行设计，并不专门实现安全性架构和设计。2.6可行性分析CII教育集团网络建设总体目标和任务确定后需要从方案可行性、技术可行性、经济可行性三个方面开展论证和说明。2.6.1方案的可行性方案可行性是施工建设单位根据网络实际需求和建设任务目标的前提下，结合网络实际运行和解决突出问题建成网络建设方案，首先要进行施工单位资质审查和核对，其次是对网络具体方案的论证和辩论阶段，网络具体方案当中对关键节点、关键数据配置和部署、涉及到工作量和施工任务难度都有切实科学的评估和说明，最后对网络预计效能和产出进行评估和建议。从本次给定的设计施工方案来看，均能符合CII教育集团公司任务和目标。具有技术合理性和操作性。2.6.2技术可行性本次网络设计方案中采用的关键技术主要涉及到vlan技术、HSRP技术、MSTP技术、ospf路由协议、ACL技术、IPSECVPN技术等基础网络协议。其中设计到的网络设备主要涵盖二层交换设备、三层交换设备、网关路由设备、防火墙设备、入侵防御和检测设备等。上述技术都是较为成熟和高利用的网络技术，其功能和可用性已经被充分的证明和实践验证，其次采用了先进的网络技术和厂家技术实力的雄厚支持。其技术完全达标网络功能和应用，技术具备先进性和成熟性要求，技术原理具有更新和迭代能力。技术可行性达标。具体表现在以下几个方面：1网络拓扑结构本次搭建网络拓扑按照标准的接入、汇聚和核心层实现，其连接方式和部署结构如下图所示，对关键部位进行安全加固和可靠性部署。2.汇聚层实现负载分担和冗余备份协议技术可行性分析。当前主流的网络核心层和汇聚层普遍采用HSRP协议和MSTP协议配合使用，MSTP负责对二层链路去环，HSRP协议对上行数据流进行虚拟网关配置和部署，从原理和协议完善程度都符合技术要求。同时考虑到二层网络当中数据流的横向传统和访问，在部署HSRP协议的核心交换机之间部署多条链路捆绑，实现内部网络数据流的横向穿通。3.路由协议和路由策略部署技术可行性分析当前网络中主流IGP协议有OSPF、ISIS等，其中EIGRP技术主要大量部署在思科网络设备中，而OSPF和ISIS协议可以实现跨设备部署和互连，通过修改厂商默认开销参数可以进行很好的配置和部署。路由策略规则和流程具有统一性和参考性，OSPF路由协议被广泛的部署在大型路由型网络中，其主要特点是路由的快速收敛和防环机制，OSPF路由协议优势较为明显，规模化部署和应用、区域划分和连接的多样性、设备接口部署的多样性和路由条目的灵活发布，例如聚合发布和发布明细路由等。2.6.3经济可行性CII教育集团按照信息化网络投资成本支出在合理的资本运营范围之内，包含各类网络投资和后期维护成本都计入年度预算，按照预定方案，新建成网络其有效利用率和投入产出比符合技术经济行指标要求。按照年度投资和利润回馈，都完全符合财务预定要求。设计施工是复杂的系统工程，需要从设备投资建设，系统投资建设，系统集成和资源整合，系统运维和后期维护人工支出，其他类支出等方面进行预算。2.7网络急需解决的问题CII教育集团通过几年的阶段性发展和不断技术更新已经初具一定规模，而且能有效保障基础教育教学信息的发布、共享和完成各类信息化教学工作，但是目前需要解决的突出问题可以总结如下：2.7.1网络环境的优化网络环境是一个动态变化复杂过程，要利用专门的网管系统实施进行网络监测和分析，找到网络存在的突出问题和发展困境，出具有力措施和办法予以解决。例如网管系统落后不能有效监控和监管网络、网络结构设计不合理、网络流量的多样性导致故障频发、网络边界区域安全性不能保障、网络的统一认证和身份识别缺乏。2.7.2数据备份和安全CII教育集团各类应用系统数据库是存储学校各类资源的重要保障，由于前期设计和发展过程中，资源没有统一设计和布局，服务器型号、中间件、操作系统、数据库系统、服务架构等设计存在多样性，因此如何有效的统一和集中数据资源也是当前的主要矛盾和问题。同时，由于存储服务的单一，数据内容的指数级增加，导致部分数据无法进行实时性备份和冗余保障。部分学校数据分布分散，集中统一管理困难，统一调度和管理无法实现。2.7.3网络性能和效率发挥不足CII教育集团在长期演进和运行过程中，处于不断发展和变化中，如果没有稳定的运维和管理保障，发展到一定阶段就会出现设备老旧、流量异常、告警日志频发、网络安全突出等问题。因此网络建成后的不断优化和性能分析就是很多学校的短板和不足。随着网络的不断运行，部分网络设备和节点会占用资源过高、设备延迟大、带宽分配不均、吞吐量抖动严重、网络不可控因素较多，因此，需要通过各种技术手段来提升网络性能指标尤为迫切。2.7.4网络安全性分析CII教育集团在建设之初没有充分的考虑到网络安全已经成为网络发展和关注的重点和难点问题。而从目前的信息安全领域和网络安全领域来看，各类网络攻击和病毒木马的侵害日益严重。网络安全事件频发，利用网络传播蠕虫和木马病毒，进行网络数据的勒索和系统的非法入侵尤为突出。从攻击范围和形式多样性来看，安全突发问题除了局域网内部攻击和系统入侵外，公网用户对各类重要数据的盗取、敏感数据的泄露、网络劫持和监听、网络篡改和重放等问题飞铲突出。当前一段时期应该从数据保护和网络架构设计和专业系统防护等方面进行全方位考虑，也可以考虑将重要数据转移到云服务和云计算环境下。2.7.5连通多元化问题CII教育集团通过纵横交错的网络链接可以分别链接到互联网、教育网、分支机构、合作单位等不同的区域。但是由于互联互通需要在边界区域进行设备的重新部署，同时需要在内网当中重新分配和部署业务，因此对网络的可用性、可靠性等提出更高的要求。同时，随着十三五教育信息化指导意见的颁布，信息化需求的日新月异、信息化背景的日益成熟和加剧等多因素的促使下，需要重整体和宏观上整体把我和部署网络安全平台和设备，例如常见的防火墙系统、入侵检测系统、入侵防御系统、WAF系统、统一接入认证平台和系统等。形式多样、内容涵盖丰富，因此需要专门的内容扩充和研究。本次主要考虑到了和分支机构的远程互连问题、多元连接问题、IPsec数据加密问题、边界区域的可靠性和安全性问题。因此需要从网络拓扑、数据配置、冗余备份等多个方面综合考虑和实施。当前，我国信息化发展迅速，尤其是教育行业发展非常快捷和迅猛，一些设备生产制造商和互联网运营部门都积极的进行行业信息化方案的制定，专门产品的定制和运维服务，例如一些著名厂商CISCO、JUNIPER、华为、中兴、华三、TP-link等厂家对教育信息化中投入了大量的资金设备进行建设和发展，已经有非常成熟的案例供参考和网络架构部署。本次是基于华为产品进行后期的仿真和设计的。2.8网络安全关键技术2.8.1包过滤技术包过滤技术是最早的完成网络安全技术之一。由于数据包在三层主要表现为路由协议和数据报文的寻址、存储转发。网络管理和流量控制需要通过准确获取流数据后，按照预定规则进行配置和策略部署。报文可以被分割和处理在封装进行路由转发，此时可以完成包过滤。包过滤技术主要实现在防火墙系统中。通过在公网和私网交接区域，配置包过滤实现精准报文识别和匹配，并按照配置的路由过滤规则进行分流和数据转发。包一般含有如下几个元素：源地址、目的地址、所有的TCP端口号和TCP链路状态，ACL是常见的报文匹配技术之一。2.8.2虚拟专用网VPN技术VPN技术是一种重要的技术原理和手段，从本质上来分可以分为隧道技术和加密技术，隧道技术原理是在公网中打通一个虚拟的直连通道可以实现远端数据连接和访问，加密技术是对数据包在不同层级进行公钥加密传输，由于加密报文无法被正确的识别和破解，因此加密报文在公网传送相对比较安全。常见的在企业网、园区网中使用的vpn技术有L2TP、ipsecvpn、SSL技术等。本次由于考虑到网络的扩展性和延续性，采用IPsecvpn技术部署和实现。3.CII教育集团综合布线CII教育集团综合布线系统是网络规划设计方案当中的子系统工程项目之一。综合布线系统需要严格按照国家相关规范和部署要求设计和施工，主要完成了6个大的分类子系统的设计和施工建设。主要完成线路的选型部署、接入点的选择和连接、纵向和横向的链接、各功能模块的连通和测试等。下面主要从这几个方面开展设计和部署。3.1工作区子系统工作区子系统代表CII教育集团中每个办公室最小单位的设计和施工，其中主要包含了信息点的选取位置、线缆的选取、信息插座的布放。由于教育机构办公室数量众多，按照楼层进行详细设计，除非特别要求的每个办公室预留4个RJ-45插孔和2个RJ-11插孔，电缆类型为超五类。3.2水平子系统CII教育集团水平子系统主要完成每层楼宇的布线和连通性。本次设计选用新建桥架完成个工作区内部电缆的布放和线缆走向，每个楼层弱电井统一选择便于垂直系统距离最短要求。每层单独部署管理间和工作间，配备跳线架和线缆分配箱、接入交换机、光纤转换设备。重点要考虑水平最远距离，因为快速以太网基于5类双绞线有效传输距离不能超过100米。3.3管理间子系统CII教育机构管理子系统由各类配线架、光纤分配箱、跳线架以及管理间的设备等。管理间子系统主要实现了对每层的设备管理和信息点的汇聚，以及到中心控制机房的走线等。如上图所示为一个管理间子系统的关键组件和布放方式。3.4垂直干线子系统CII垂直干线子系统完成楼层之间电缆布放和设备互联，本次由于CII主题办公楼高5层，我们按照每两层进行一次汇聚实现，其中1-2层汇聚位置1层，3-4层汇聚位置3层，单数层楼弱电井负责两层数据业务汇聚，这样可以有效的节省汇聚交换机数量，汇聚交换机中继端口选择光纤直连，光纤选择20-30米远距离光纤。部署专用语音交换机一台复杂后期语音交换系统和软件换的部署。3.5设备间子系统设备间是CII教育集团重点投资建设，按照标准化机房建设要求进行投建。设备间架设单独2.4米机柜1台，部署楼间汇聚交换机一台，部署光纤分配箱一个、ODF架一个，各类综合电缆配线架一个，部署电源柜一个。如上图所示为一个标准的设备间子系统结构图。3.6建筑群子系统CII教育集团本次对1栋综合楼和2个平面建筑进行网络部署施工，其中大楼按照上述要求开展部署，1楼设计为综合工作间负责整栋楼的数据接入和转发，2个平面建筑主要是人员看守和视频监控，按照部署要去，每个接入点按照7个信息点进行部署，其中4个实现视频监控预留，负责4个方向的视频监控接入，其他两个负责网络系统接入，可以方便访问内部网络。传输介质选择单模光纤部署，光纤芯数为6芯。如下图所示为一个标准的建筑群子系统结构图。4关键技术原理4.1VLAN划分技术基于VLAN隔离技术的访问控制方法在一些中小型企业和CII教育集团中得到广泛的应用。VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。Vlan技术主要用在接入层和汇聚层。通过vlan划分实现了业务网段的区分和隔离。4.2STP技术 STP（SpanningTreeProtocol）是生成树协议的英文缩写。该协议可应用于在网络中建立树形拓扑，消除网络中的环路，并且可以通过一定的方法实现路径冗余，生成树协议最主要的应用是为了避免局域网中的单点故障、网络回环，解决成环以太网网络的“广播风暴”问题。4.3DHCP技术DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。在此项目中，根据项目需求，我们在三层交换机SW1-1、SW1-2核心交换机侧按照vlan划分DHCP地址池，并启动和配置了DHCP协议。4.4VTPVLAN中继协议，VTP，VLANTRUNKINGPROTOCOL，是CISCO专用协议，大多数交换机都支持该协议。VTP负责在VTP域内同步VLAN信息，这样就不必在每个交换上配置相同的VLAN信息。VTP还提供一种映射方案，以便通信流能跨越混合介质的骨干。VTP最重要的作用是，将进行变动时可能会出现的配置不一致性降至最低。不过，VTP也有一些缺点，这些缺点通常都与生成树协议有关。由于考虑到网络接入和汇聚时vlan数据过多和配置的复杂性和错误原因，在汇聚交换机中启动vtpserver服务，在接入层交换机配置vtpclient实现vlan的同步。4.5NAT技术网络地址转换协议，可以实现内部私有地址的主机访问到外网。NAT技术是一种重要的局域网地址翻译技术，由于公网地址的有限和价格昂贵，在面临大量的业务公网访问时需要将源地址进行公网地址切换和转发。通常的NAT可以分为基于端口、基于静态方式、基于动态方式等。本次一般性业务按照动态方式部署，配置地址池，内部服务器以静态地址部署，其他需要转发的地址配置ip-nat-easy。4.6VPNVPN是一种常用于连接中、大型企业或团体与团体间的私人网络的通信方式。它利用隧道协议（TunnelingProtocol）来达到保密、发送端认证、消息准确性等私人消息安全效果，这种技术可以用不安全的网络（例如：互联网）来发送可靠、安全的消息。需要注意的是，加密消息与否是可以控制的，如果是没有加密的虚拟专用网消息依然有被窃取的危险。VPN技术是常见的广域网业务私密传播的技术，可以按照层级划分为链路层数据加密vpn、网络层数据加密vpn、应用层数据加密vpn，有ipsecvpn、L2TPvpn、SSL、GRE通道等。4.7链路聚合技术链路聚合（LinkAggregation），是指将多个物理端口捆绑在一起，成为一个逻辑端口，以实现出/入流量在各成员端口中的负荷分担，交换机根据用户配置的端口负荷分担策略决定报文从哪一个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送报文，并根据负荷分担策略在剩下链路中重新计算报文发送的端口，故障端口恢复后再次重新计算报文发送端口。链路聚合在增加链路带宽、实现链路传输弹性和冗余等方面是一项很重要的技术。使用链路聚合，提高网络的安全性。5整体设计方案5.1设计原则CII教育集团公司网络设计从整体架构来讲要科学合理、安全稳定高效，但是在具体实施的每一个环节都要紧紧围绕这个思路去开展，例如按照网络设计分层结构考虑，在接入层不仅要方便实施用户的接入，同时要考虑接入层在灵活部署和经济高效；在汇聚成不仅要考虑大数量数据流的汇聚和转发，同时要考虑汇聚层本身的节点设置、板卡选择、启动的协议和支持的功能等；例如在核心层，不仅要考虑到整个网络的数据汇聚和中转，同时要考虑核心节点之间的拓扑结构、核心节点启动的路由协议和策略、核心设备的安全性和连接情况等；对网络的科学性设计和技术先进性改良之后，不仅要在理论层面实现了高可靠，同时在实际的应用当中能切实体会到质量的提升和性能的改善，例如，利用网孔型架构设计核心网拓扑是科学的，利用网孔型结构在路由收敛时间和数据的负载分担方面起到了关键作用，此时，让局域网内用户感觉到网络使用更加流畅、应用更快捷。科学处理网络设备的重新购置和利旧这对矛盾。因为往往网络的改造时因为设备不具备某个功能和不支持某个协议，不能通过软件升级和更换单板增加功能，因此需要重新购置，在购置时要充分考虑到设备的型号、硬件配置、软件功能、后期的扩容和升级改造、特别是造价和售后服务也要充分考虑，把技术经济性和技术先进性统一考虑。网络设计工作的主要环节除了实现不同区域PC的通信，更重要的要实现非授权用户的拒绝访问，因此网络安全的设计工作，不仅要考虑到网络边界区域的安全还要考虑到局域网内部安全、机制体制安全、安全体系完整、框架模型的先进等。而且更重要的是这种体系模型确实很部署在网络当中，起到了很好的作用和效果，具有平滑迁移能力和良好的普适性。5.2接入层设计接入层主要考虑丰富的接口和设备的高性能转发。一般都采用高质量的企业级终端交换机即可。接入层设备首先要保证vlan的划分，能支持丰富的SNMP协议，能支持流量分类和标记功能，能支持业务的qinq等。接入层设计步骤如下：1.接入层数据业务规划和vlan划分；2.接入层设备选型和部署，重点规划端口数量、中继链路类型、交换容量、MAC地址表容量、其他协议支持能力；3.按照综合布线楼宇规划进行节点的布放和上电运行测试，测试每段业务流量丢包、时延、抖动；4.完成测试后形成文档报告进行验收和存档。5.3汇聚层设计汇聚层设备需要丰富接口的同时还需要大容量和交叉式背板，由于汇聚层的主要任务的高速的数据转发和交换，需要在接口板考虑较大的缓存和队列处理能力，汇聚层支持丰富的协议类型和业务分发和识别、流量的负载均衡和负载荣誉，流量的标记和过滤，尤其是对IPv6协议、SNMP协议的支持能力等。1.汇聚层设备集采和功能分析，汇聚层利用企业核心交换机或是大容量接口三层交换机实现，例如华为7650系列、思科69系列、华三87系列等；2.与接入层交换机端口连接采用光口传输，需要进行链路捆绑的需要配置port-channel，开启ARP静态绑定防止MAC地址飘逸；3.导入配置脚本，进行业务测试；查看路由表信息，查看告警消息，查看日志记录，在接入层按照vlan和不同业务开展在线测试。4.配置上行业务接口，配置路由协议和路由策略，配置SNMP协议，配置其他例如telnet、安全性参数等。5.4核心层设计核心层网络一般有核心路由器、防火墙、冗余负载设备、入侵检测等多种功能性设备。核心层路由器主要实现了内部网络的路由表创建和高速寻址转发，防火墙实现了内部网络流量分发时的过滤和控制，对进入内部流量的判定和策略分布等。入侵检测系统是高安全性的配置和部署，其他相关日志系统、流行为分析系统等都是对高级业务部署和应用。1.核心层设备选型要求，核心层设备以防火墙、核心路由器、入侵防御、流量分析、鉴权认证设备等构成。其中采用口字型方式构建核心网、其他监控或是监视类设备旁挂核心层。2.配置设备上线启动，配置基础信息，接口信息，配置路由信息，配置NAT、配置ACL、配置各类管理数据、配置SNMP协议。3.查看路由表，查看配置正确性，开启debug数据开关，查看其他告警日志和消息。4.完成配置进行数据备份和业务跟踪测试。5.5服务器设计服务器区域设计采用全光纤交换网络部署，服务器配置双网卡进行备份和互连，服务器全光纤交换机部署2台或是4台，端口数量48口/每台，光纤端口带宽1GE以上，每个服务器双网卡接入不同光纤交换机，2台光纤交换机配置VRRP协议实现冗余和虚拟网关。服务器集中架设在CII核心控制机房内。5.6网络边界设计CII教育集团边界网关区域架设下一代防火墙1台，选择华为USG6000系列，架设防火墙和核心路由器以口字型连接保证其可靠性和安全性，防火墙划分区域是trust区域，负责连接CII教育集团内部网络，划分DMZ区域配置2个接口分别是全光纤交换机系统，防火墙侧启动VRRP协议，划分ISP1区域1，配置优先级20,划分ISP2区域2配置优先级30,划分教育集团区域3，优先级40,其中区域2和区域3预留后期的出口带宽冗余和中国教育网的接入，ISP1选定中国网通接入，带宽为1GE。边界区域出口策略严格过滤，按照IP源地址进行配置和部署，防火墙系统开放内部WEB服务器映射公网地址和端口，开放80、445、3306端口，其他端口一律关闭，公网连接端口启动各类攻击和防御配置，例如常见的ICMP攻击、TCP攻击、DOS攻击等。配置带宽策略，按照不同源IP地址进行划分，配置NAT策略，对内网所有用户实现动态灵活NAT技术。5.7无线网络设计目前，无线网络在校园网内进行大范围覆盖已经变得迫切而重要，由于终端设备的移动性，需要随时随地的进行网络连接，因此通过架设大功率AP实现无线网络的全覆盖是校园网建设的一个重要目标。无线网络建设的核心是AP点的选取、关键是如何做好无线网络的规划工作、重点是如何实现网络的无缝隙覆盖工作。6.仿真和测试设备清单和连接关系设备接口数量IP地址接入层交换机电口或光口32台网关地址汇聚交换机电口或光口2台管理地址：核心交换机Vlanif接口终结管理地址：Vlanif地址结合vlan查看R1（AR-3650）核心路由器1G1/01/24G1//24G1/2/30Loopback0/32R2（AR-3650）核心路由器2G1/01/24G1//24G1/2/30G1//30边界防火墙G1/0/30/30G1/0/30G1/0/30分支机构路由器1G0/1ISP模拟路由器1G1/0Loopback0/326.1仿真环境仿真技术是研究计算机网络技术和针对具体网络设计模型搭建和预判的重要手段和方法，较好的仿真可以有效的实现真实网络仿真和搭建，将可能发生的错误方案进行排除。当前主流的计算机网络仿真采用设备仿真和理论仿真，设备仿真主要有华为ensp、思科pt、华三HCL等，本次选用思科PT实现。6.2网络拓扑结构6.3VLAN划分和IP地址规划Vlan划分和选取业务系统描述Vlan规划部署业务VLANCII教育集团部署业务部分vlan，集中规划和部署，vlan编号从10-100递进财务10人事20教育30办公室40后勤50总经理办公室60Voip-VLAN后期软交换部署和预留为1000CII教育集团语音系统无线部署VLAN内网了用户直接实现简单认证鉴权认证，后期采用RADIUS服务器集中有线无线统一认证，无线vlan1001为网关，1002开始到1200位业务和不同信息点进行布放采用区域划分的方式进行业务vlan划分从100-140进行部署组播VLANMulticastVLAN用来承载组播业务流。本次不进行配置。vlan从200-220进行划分。Vlan详细规划表部门Vlan号主机数网络地址广播地址可用范围/子网掩码可用主机数行政部1025400055-53/24250人事部2025455-53/24250营销部3025455-53/24250无线网4025455-53/24250网管16231-0/2650服务器10025455-53/24250用户IP地址规划表6.4关键设备配置6.4.1核心三层交换HSRP配置

6.4.2核心三层交换HSRP协议配置

6.4.3边界路由器R1NAT配置6.4.4IPsecVPN远程访问配置6.5测试与验证R2ACL图ping内网服务器ping外网服务器ping相同vlanR1acl

R1路由查看表R2aclR2nat

R2路由查看表R4nat表sw1-1HSRP

sw1-1VTP查看sw1-1VTP查看sw1-1链路聚合

sw1-1路由查看sw1-1生成树1sw1-2DHCP1

sw1-2HSRPsw1-2VTP查看sw1-2链路聚合

sw1-2路由查看7.网络割接和应急预案本次网络为新建网络，按照网络施工和设备数据配置调测原则，先配置核心层数据，在配置汇聚层和接入层数