1. 校园网需求分析 .................................................................................................................. 2
1.1 背景介绍 ...................................................................................................................... 2 1.2 校园网需求分析 ........................................................................................................ 3
1.2.1 业务需求分析. ............................................................................................... 3 1.2.2 管理需求分析. ............................................................................................... 3 1.2.3 安全性需求分析. ........................................................................................... 5 1.3 校园网基本功能. ....................................................................................................... 6 2. 校园网总体设计 .................................................................................................................. 8
2.1 网络设计基本原则 .................................................................................................... 8 2.1 模块化、层次化的设计原则................................................................................ 10
2.1.1 模块化设计 ................................................................................................... 10 2.1.2 层次化的设计 .............................................................................................. 11
3. 校园网设计与实现 ........................................................................................................... 13
3.1 校园平面图 ............................................................................................................... 13 3.2 网络拓扑图 ............................................................................................................... 14 3.3 方案说明 .................................................................................................................... 14 4. 校园网系统配置 ................................................................................................................ 18
4.1 系统硬件配置 ........................................................................................................... 18
4.1.1 主机系统设计 .............................................................................................. 18 4.1.2 网络设备分析 .............................................................................................. 19 4.2 软件配置 .................................................................................................................... 26
4.2.1 Cisco Catalyst 3560系列 ........................................................................ 26
. 专业.专注 .
. . .. . .
网络智能性............................................................................................................... 26 增强安全性............................................................................................................... 27 可用性和可扩展性 ................................................................................................. 28 4.3 系统软件成本分析 .................................................................................................. 30 5.网络应用规划及安全管理 .................................................................................................. 32
5.1 解决方案 .................................................................................................................... 32
5.1.1 校园网出口解决方案 ................................................................................. 32 5.1.2 宿舍网解决方案 .......................................................................................... 32 5.1.4 办公网解决方案 .......................................................................................... 33 5.2 用户上网方案 ........................................................................................................... 34
5.2.1 访问校园网 ................................................................................................... 34 5.2.2 CERNet ........................................................................................................... 34 5.2.3 INTERNET ...................................................................................................... 34 5.3 地址规划和路由设计 ............................................................................................. 34
5.3.1 地址规划 ....................................................................................................... 34 5.3.2 路由设计 ....................................................................................................... 36 5.4 安全与流量控制 ...................................................................................................... 37
5.4.1 网络安全控制 .............................................................................................. 37 5.4.2 VLAN需求 .................................................................................................... 38 5.4.3 VLAN划分设计 ........................................................................................... 40 5.4.4 网络异常流量监测技术 ............................................................................ 41 5.5 无线网络 .................................................................................................................... 44
. 专业.专注 .
. . .. . .
1. 校园网需求分析
1.1 背景介绍
某学校占地500亩,有教学楼4栋,实验楼1栋,办公楼2栋,宿舍楼4栋,图书馆1座。在校生8000人,教职工1500人。曾在2004年建设过一期校园网工程,由于原来一期网络仅覆盖了两栋办公楼,网络应用也仅仅建设了网站。现在要扩建升级原有网络,计划覆盖全部的教学楼和宿舍楼,对原部分
. 专业.专注 .
. . .. . .
设备进行升级,同时要建设一套较为完备的网络应用,包括内部邮件系统、网络办公系统、教务管理系统,同时具备一定的先进性、安全性和可靠性。要求网络建设完成后,能满足校园信息化需要。
1.2 校园网需求分析
1.2.1 业务需求分析.
校园网所服务的对象有以下几类:行政办公、图书管理、教师以及学生。他们各自对于校园网都有不同的需求。
行政办公人员需要实现办公自动化,实现信息的即时交互与文件资料的归档整理,提高工作效率。
图书管理人员有大量的图书信息以及其借阅情况需要登记、整理、归档。同时学校也要建成电子图书馆,以方便师生查阅资料,续借或查询图书。实现纸介资料和电子资料的同步应用。
教师主要要求的是资源共享和科研交流。所以我们要保证教室和实验室接入网络实现教学要求。
校园网覆盖了宿舍区,不论是学习还是生活学生都离不开网络。并且上网时间都较为集中。所以建成的网络要保证10000人左右能够同时浏览网页,保证网络稳定,下载迅速。 1.2.2 管理需求分析.
校园网是园区局域网,其网络的管理需求可以分成两个部分来看。一、网络管理应具备的特点;二、网络管理的要求。这样可以更清晰地分析校园网络
. 专业.专注 .
. . .. . .
的管理和教育信息化的一些需求。
1. 网络管理的特点应该具有以下的特点:
(1) 安全性及可靠性
安全可靠毋庸置疑是指防止数据在内部和外部的攻击,这就要求要有安全、稳定的网络系统,这样才可以在校园内部达到数据通信的连贯及高速运作,而且这不仅仅是校园网络的特点,也是所有网络管理的特点。
(2) 可管理性及先进性
因为数据库数据的增加就必须要求网络系统具有可扩展性,而且当网络系统出现故障时,也可方便优化系统,使系统操作简易,这也是所说的先进性,能容易得扩展,维护及保持设计配置的灵活性。
(3) 信息结构的多样性及智能化
多样性即是指可提供WWW服务、电子邮件服务 、FTP服务等信息结构的种类繁多,而且现今的各大厂商努力的方向就是网络管理的智能化和自动化,并且还开发很多网络管理的软件来方便更好的管理数据库及网络通信。
(4) 经济实用性
介于学校对网络建设的投资有限,因此必须保持性价比的高度,节省资源的使用也不只是在网络建设使用方面了,校园网尽量做到可用资源最大化也是为广大教师学生谋福利。
2. 网络管理的要求:
校园网络建设的管理既然有那么多的特点,就会有相应的要求,而其要求就是所说的要面对的一些问题,所以需要去解决,以下是网络管理要求解决的问题:
. 专业.专注 .
. . .. . .
(1) 安全管理:对所有网络设备端口的监视和管理 (2) 配置管理:对所有网络设备的远地配置和控制 (3) 故障管理:整个网络的故障检测,故障自动报警功能 (4) 性能管理:整个网络性能的统计和分析报告
1.2.3 安全性需求分析.
众所周知,许多校园网是从局域网发展来的,由于意识与资金方面的原因,它们在安全方面往往没有太多的设置,包括一些高校在内,常常只是在内部网与互联网之间放一个防火墙就了事了,甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。因此,校园网的网络安全需求是全方位的。 其体现在:
1. 网络病毒的防范。
在网络中,病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染。所以,防止计算机病毒是计算机网络安全工作的重要环节。对于以前的单机版的杀毒软件已经不能解决网络中大肆蔓延的病毒,这样就存在着交叉感染的问题。病毒的表现形式不单单是破坏了本机的数据文件,而且有的病毒使得机器向网络上发大量的数据包,堵塞网络带宽,不仅仅耽误了自己的工作,还影响到周围的人,甚至造成校园网交换机的死机、网络的瘫痪。
2. 网络安全隔离。
网络和网络之间互联,同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以,网络之间进行有效的安全隔离是必须的。除了防止外来黑客攻
. 专业.专注 .
. . .. . .
击之外,校园网内部的访问控制也是极重要的一个方面。大量研究表明,网络安全问题只有30%来自外部攻击,而70%的问题来自内部。划分vlan和ip子网,在ip子网间设置访问控制表是解决内部安全问题的一个重要方法。
3. 网络保护和监控措施。
在不影响网络正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。
4. 有害信息过滤。
网络信息部的邮件服务器和BBS服务器基本上都实现了不良有害违法信息的过滤功能,使得校园对外的媒介正常。
5. 数据备份和恢复。
设备可以替换,数据一旦被破坏或丢失,其损失几乎可以用灾难来衡量。所以,做一套完整的数据备份和恢复措施是校园网迫切需要的。
6. 用户自我保护。
入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
1.3 校园网基本功能.
连接校内所有教学楼、实验室、办公楼中的PC机,使其形成联网。 同时支持约10000用户浏览Internet。
提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:
. 专业.专注 .
. . .. . .
实现学生档案、教师人事、财务等管理手段的现代化。包括学生的学籍管理、自然情况、学生的成绩评定,及在相应群体中的位次确定;教师的人事档案、业务考核、工作、继续教育等等
提供校内各个管理机构的办公自动化。
提供图书,文献查询与检索服务,增强校图书馆信息自动化能力。 通过教师电子备课系统、计算机辅助教学系统、视频点播系统进行高质量、高效率的教学工作。
提供CAI教学和科研的便利条件。
可在网上查询资料,进行最广泛的经验交流,随时了解全国教科研的最新动态。
网上可进行科学探索,利用网上资源开展丰富多彩的课外活动,进行行科学实践、撰写科学论文,培养的学生的创新意识,为培养学生的个性特长提供了广阔的空间。
. 专业.专注 .
. . .. . .
2. 校园网总体设计
2.1 网络设计基本原则
校园网建设是一项大型网络工程,各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统,为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先台。校园网覆盖整个学校校园,网络设计一般应遵循下列5个基本原则:
1. 可靠性和高性能
网络必须是可靠的,包括网元级的可靠性,如引擎、风扇、单板、总计等;以及网络级的可靠性,如路由、交换的汇聚,链路冗余,负载均衡等。网络必须具有足够高的性能,满足业务的需要。
2. 实用性和经济性
由于学校资金并不是很充足,不可能一步到位。另一方面,学校的应用水平较参差不齐,某些系统即使安装了也利用不起来,因此,在校园网的建设过程中,系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。
3. 可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品,以保证系统具有较
. 专业.专注 .
. . .. . .
长的生命力和扩展能力,满足将来系统升级的要求。
4. 易管理、易维护
由于校园骨干网络系统规模庞大,应用丰富而复杂,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。
5. 先进性、成熟性
当前计算机网络技术发展很快,设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备,才能确保校园网络能够适应将来网络技术发展的需要,保证在未来若干年内占主导地位。
6. 安全性、保密性
网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务,要求能进行灵活有效的安全控制,同时还应支持虚拟专网,以提供多层次的安全选择。 在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
7. 灵活性、综合性
通过采用结构化、模块化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。以满足系统目标与功能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二
. 专业.专注 .
. . .. . .
次开发与移植。
2.1 模块化、层次化的设计原则
网络的设计都是基于一个模块化,层次化的设计思想。这也是对大型网络进行高效管理的首选方法。 2.1.1 模块化设计
所谓模块化就是将把整个网络按功能和安全需求分为若干个组件,这些组件之间有一定的安全边界,组件内部有完整的网络设计。模块化设计的好处在于:
1. 解决各网络之间的冲突问题; 2. 简化安装和后台设备管理; 3. 易于故障检测和分离问题;
4. 易于执行不同类型的服务和安全方针; 5. 易于扩展和/或代替原来的技术。 一个完整的模块化设计如图2.1所示:
汇聚层网络管理核心交换层安全管理出口接入层CERNET出口INTERNET出口核心业务层服务器集群计费管理作者By:Erin. 专业.专注 .
. . .. . .
图2.1模块化网络设计图示
2.1.2 层次化的设计
1. 层次化网络设计模型
对于大型网络,可以采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。
核心层
核心层的主要提供不同网络模块之间优化传输服务,将分组尽可能快地从一个网络传到另一个网络,通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路,任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢,核心层除了要求高性能交换设备和高带宽传输链路外,还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外,为了避免网元故障对网络造成冲击,需要网络采用支持快速聚合的特性,一旦主用通路断开,可以很快的切换到备用通路。
汇聚层
汇聚层顾名思义就是作为访问层到骨干层的汇聚,通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成,提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量(path metric)和路由协议网络通告控制。
接入层
接入层作为各模块到交换骨干的连接,根据不同模块进行逻辑子网划分,并通过VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广
. 专业.专注 .
. . .. . .
播流量,避免不同模块之间相互影响。访问层主要通过二层交换机组成。
2. 层次化网络设计模型的优点
“ 核心层-汇聚层-访问层”层次化网络设计模型有如下优点:
高可扩展性 - 遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性,因为各功能网络通过模块化实现,潜在问题更易于识别。
易于实施 - 每一层的功能性清晰划分,简化每一层的实现。
易于故障排除 - 每一层的功能经过良好定义,网络更为简单,有助于故障的隔离。模块化设计也有效故障影响范围。
易于规划和管理 - 层次化的功能划分,整个网络规划和管理更为简单。
. 专业.专注 .
. . .. . .
3. 校园网设计与实现
3.1 校园平面图
某学校占地500亩,有教学楼4栋,实验楼1栋,办公楼2栋,宿舍楼4栋,图书馆1座。在校生8000人,教职工1500人,总投入计划为500万。
大学校园平面图如图3.1所示:
图3.1大学校园平面图
. 专业.专注 .
. . .. . .
3.2 网络拓扑图
如图3.2所示:
图3.2网络拓扑图
3.3 方案说明
校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因学校存在大量的语音和视频传输。据此,考虑汇聚层对QoS有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。根据学校建设要求与
. 专业.专注 .
. . .. . .
总体目标,骨干网采用三层结构,由核心层,汇聚层和接入层构成。在接入层面,通过定义相应的访问策略,实现访问控制,内外隔离和抭IP地址。
在网络结构上,采用成熟的千兆以太网技术(第三层交换)作为核心层,呈网状拓扑结构。以TCP/IP协议为主,并辅以IP/SPX. NETTEUI等其他流行通信协议坚持开放性和标准化,采用标准的通讯规程,以有利于不同厂家之间的互连,使不同系统间易于集成,兼顾其他标准的网络体系结构,网络能实现协议之间无缝连接。而公用服务器与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠的设备,此产品是具有运营商级容错能力的高性能大型网络核心交换机,可实现冗余备份,从而提高核心层的可靠性。
整个网络通过汇聚层交换机RG-S6806E和核心交换机RG-S6810E之间的链路冗余备份和负载均衡提供安全可靠的网络构架(使用OSPF、ECMP、WCMP等技术),其安全保障技术提供一个全网概念的整体网络安全,而通过简单地增加万兆模块可以平滑升级到万兆骨干的校园网。
如拓扑图所示,作为学生宿舍网的核心,要求设备能够大容量、稳定可靠的高速路由转发,能够接入大量的汇聚节点并满足今后扩充的需要。同时,应完备的QOS保证机制,完备的业务控制、用户管理机制。同时,还应该考虑到与一期工程的网络设备之间的良好的兼容性、互通性。因此,在本方案的在核心层,部署了锐捷网络的RG-S6810E模块化骨干路由交换机两台,该交换机具有高达1.6T(可扩展3.2T)的背板,L2/L3层具有572Mpps的转发率,同时还可以配置冗余电源和管理引擎模块,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。其硬件策略路由功能为学校的出口规则提供了灵活的设置,此外核心交换机硬件的IPv6功能
. 专业.专注 .
. . .. . .
为学校接入CERNET2提供了无缝连接。
为了提高网络上连带宽,业界提出了端口聚合(802.1ad)的概念,此概念也广泛应用于校园网的建设中。 锐捷网络交换机可将多个端口聚合,每条干路支持全双工模式。端口聚合可以在单台交换机中进行配置,支持聚合通道内部的负载均衡。从核心层到汇聚层使用多条多模光纤连接到汇聚层交换机,并实现端口聚合。
汇聚层起着承上启下的作用,负责对各种接入的汇聚,并可在该层实现对于用户的访问控制,以及对用户的网络管理。因此,汇聚层应考虑三层智能交换机。在本方案中,共部署三台锐捷网络自主研发的RG-S6806E模块化骨干路由交换机。在汇聚层使用三层交换机的目的是为了减轻核心层的负担。
接入层应该能够实现对用户的访问控制,并具有较强的安全和QOS控制功能,支持802.1x的认证计费,支持千兆上联,支持SMNP的网管。同时,为满足学生宿舍网的高端口密度接入的需求,接入层应考虑二层智能型可堆叠交换机。因此,在接入层部署了锐捷网络的STAR-S2150G智能型可堆叠交换机。
同时为了保证宿舍网内部网的安全,在内网和之间增加硬件防火墙,接在INTERNET/CERNET出口的位置,根据安全需求可将校园网分为内部网、外部网与DMZ区等,以保护校园网的安全,防止恶意用户的攻击。为了统一网络管理和监控,在网络中心配置StarView管理平台可以对设备进行集中的管理,包括网络拓扑发现、配置管理、性能管理、事件管理,实现全网设备的管理。
在网络中心一台核心交换机各通过两条千兆链路连接校园图书馆子网,当核心交换机间业务量增大时,也可考虑通过上行双链路Trunk来连接。其中宿舍楼干网以千兆链路下联至宿舍楼宇交换机STAR-S2150G;同时网络中心通过
. 专业.专注 .
. . .. . .
千兆连接专项课题研究楼子网;在网络中心核心交换机通过千兆链路连接行政子网交换机,以千兆链路下联至楼宇交换机STAR-S2150G;计算中心子网及应用服务器群另在网络中心通过千兆链路下行连接。实现百兆交换到桌面。
. 专业.专注 .
. . .. . .
4. 校园网系统配置
4.1 系统硬件配置
4.1.1 主机系统设计
主机系统说的是各种用途的服务器和主机,要衡量的是不同服务器的选择。服务器设备包括: WEB服务器、FTP服务器、EMAIL服务器、DNS服务器、VOD服务器、用户信息管理服务器、综合应用服务器等。
DNS服务器(Domain Name System)域名管理系统,每个域名服务器至少管理一个域。将域名翻译为对应的IP地址的过程就是域名解析。为了可以方便的找到我们需要的IP地址,这就产生了容易被识别的域名管理系统DNS,可以把输入的域名转换为要访问的服务器的IP地址。
DNS服务器是要求最简单的服务器,价格不要太高,内存512足够,两块硬盘,做raid1,双网卡作channel,inter pro系列就可以,双电源,1万元。
WEB服务器也就是 WWW(WORLD WIDE WEB)服务器,以超文本技术为基础,以面向文件的浏览方式提供具有一定格式的文本、图形、声音等,通过超链接将各种信息联系起来。Web服务器用于管理Web页面,并使这些页面通过本地网络或Internet供客户浏览器使用。
设备名称:WEB服务器;配置型号:8658 41Y NF5100 PIII866MHz, 128MB, 36GB/10000转SCSI ,CD-ROM, 网卡, 15”黑;数量:1;单位:台。
FTP为文件传输协议的英文缩写,FTP服务器为提供文件传输(TCP/IP)服务的电脑,要有固定的地址,可管理FTP登录用户名、登录密码及其对FTP服
. 专业.专注 .
. . .. . .
务器上的硬盘空间的访问权限等。 用户可通过FTP客户端软件输入这个固定的地址(有时还需要FTP用户名和密码)登录FTP服务器,与服务器建立连接,登录成功后即可使用文件上传下载服务!
电子邮件服务,就是通常说的Email服务器,这是需要搭建服务器首先要有硬件上的支持,然后就可以用邮件服务器的软件来完成,至少有一个电子邮件地址,目前多采Microsoft推出的Exchange Server构架电子邮件系统,它提供对Internet邮件系统的完全支持,并提供与WindowsNT域用户安全性的集成,还可以采用IBM公司的Lotus Domino/Notes,它可以提供综合应用的“群件”系统,可以提供完备的办公自动化集成环境。若使用Linux操作系统,可以使用Sendmail构架邮件系统。当然,也可以购买第三方的专门邮件系统,这类产品往往具有更高的安全性和可管理性。 4.1.2 网络设备分析
思科 ASA5520-K8防火墙/VPN网关 1. 技术参数如表1.2.1所示:
表1.2.1防火墙技术参数
思科 ASA5520-K8 详细参数 基本参数 产品型号 产品类型 最大吞吐量 安全过滤带宽 ASA5520-K8 企业级,VPN防火墙 450Mbps 225Mbps . 专业.专注 .
. . .. . .
思科 ASA5520-K8 详细参数 外形尺寸 重量 174.5×200.4×44.5mm 1.8Kg 硬件参数 固定接口 扩展插槽 4个千兆以太网接口+1个快速以太网接口 1个SSC扩展插槽 网络与软件 用户数 并发连接数 VPN 认证标准 功能特点 无用户数 280000并发连接数 支持VPN功能 DES许可证 控制端口:console 其它参数 电源电压 其它 100-240VAC,50/60Hz 主用/主用和主用/备用高可用性 数据来源:太平洋电脑网 产品报价 (product.pconline.com.cn) CISCO1841-HSEC/K9中心路由器
1. 技术参数如表1.2.2所示。
表1.2.2路由器技术参数
详细介绍 Cisco 1800 系列 目标应用 机箱 机型 机箱 墙壁安装 台式,1机架单元 (1RU) 高 (4.75 cm高,带橡皮垫脚) 金属 有 CISCO1841-HSEC/K9 安全数据 . 专业.专注 .
. . .. . .
机架安装 尺寸 (WxD) 无 13.5 x 10.8 in. (34.3 x 27.4 cm) 不带橡皮垫脚的高度: 1.73 in. (4.39 cm) 带橡皮垫脚的高度: 1.87 in. (4.75 cm) 重量 最大: 6.2 lb (2.8 kg); 带接口卡和模块 最小: 6.0 lb (2.7 kg) (不带接口卡和模块) 架构 DRAM DRAM容量 同步双馈线内存模块 (DIMM) DRAM 缺省: 128 MB 最大: 384 MB 闪存 闪存容量 外部小型闪存 缺省: 32 MB 最大: 128 MB 模块化插槽-总数 用于WAN接入的模块化插槽 用于HWIC的模块化插槽 用于话音支持的模块化插槽 模拟和数字话音支持 VoIP 支持 板载以太网端口 板载USB端口 控制台端口 辅助端口 板载AIM插槽 主板上的分组话音DSP模块(PVDM)插槽 主板上基于硬件的集成加密 缺省时软件和硬件的加密支持 电源规格 内部电源 冗余电源 直流电源支持 交流输入电压 频率 交流输入电流 有 无 无 100-240 VAC 50-60 Hz 最大1.5A 有 DES, 3DES, AES 128, AES 192, AES 256 两个 两个 两个 无— Cisco 1841不支持话音 无 仅限IP话音 (VoIP) 直通 2个10/100 1个 (1.1) 1个-高达115.2 kbps 1个-高达115.2 kbps 1个(内部) 无-Cisco 1841不支持话音 . 专业.专注 .
. . .. . .
输出功率 系统功耗 软件支持 初始 Cisco IOS软件版本 Cisco IOS软件缺省镜像 环境 工作温度 工作湿度 非工作温度 工作高度 50W (最大) 153 BTU/hr 12.3(8)T IP BASE 32-104°F (0-o 40°C) 工作:10-85%,非冷凝; 非工作:5-95%,非冷凝 -4 -149°F (-25- 65°C) 10,000英尺 (3000米) @ 77°F (25°C) SRW2024-CN交换机
1. 技术参数如表1.2.3所示。
表1.2.3二层交换机表
交换机类型 传输速率 应用层级 交换方式
基本规格
千兆光纤扩展交换机
10/100/1000Mbps
二层
存储-转发
背板带宽 包转发率
48Gbps
10M: 14880 packets/sec; 100M: 148800 packets/sec; 1000M: 1488000 packets/sec 固定端口
端口结构 MAC地址表 VLAN功能
网络
8K
同时支持多达个基于端口和802.1q协议的VLAN
网络标准
IEEE802.3、IEEE802.3u、IEEE802.3ab、
. 专业.专注 .
. . .. . .
IEEE802.1q、IEEE802.1p、IEEE802.1x
传输模式
全双工
Web页面管理方式允许网络管理员使用他们熟知的Web浏览器监控和配置
网管功能
交换机
堆叠功能 接口数量
端口
不可堆叠
24个
接口类型 模块化插槽数
网络介质 认证
24个10/100/1000M 端口、2个MiniGBIC 扩展槽,1个Console接口
2个 5类线或更高 FCC、CE
工作温度 0℃?50℃(32°F?122°F) 存储温度 -40℃?70℃(-40°F?158°F)
环境
工作湿度 20%?95%相对湿度,非冷凝
其它
存储湿度 5%?90%, 非冷凝
是否支持全双
全、半双工
工 网管支持
电气规电源电压 格
额定功率 LED指示灯 重量
外观参
长度 数
宽度 高度
430mm 44.45mm 350mm 可网管型
100-240V, 50-60Hz 100W
System、Link/Act、Gigabit、Gigabit1、Gigabit2/MiniGBIC 3.33kg
. 专业.专注 .
. . .. . .
工作温度 工作湿度
环境参工作高度 数
存储温度 存储湿度 存储高度
0 - 50℃
20 ~ 95% 无凝结 3000m -40~70℃ 5% - 90% 不凝结 6000m
SRW248G4-CN交换机
1. 技术参数如表1.2.4所示。
表1.2.4二层交换机表
交换机类型 传输速率 应用层级 交换方式 背板带宽
基本规格
千兆以太网交换机
10/100/1000Mbps
二层
存储-转发
17.6Gbps
10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100
包转发率 端口结构 内存
MAC地址表 VLAN功能 网络标准
pps 固定端口
MB
8K
支持
IEEE 802.3、IEEE802.3u、IEEE802.3ab、IEEE802.1q、IEEE802.1p 全双工
网络
传输模式
. 专业.专注 .
. . .. . .
SNMP和RMON管理增强你的网络管理性
网管功能
通过Telnet 和HTTP 进行安全的管理
堆叠功能 接口数量 接口类型
不可堆叠
48个
48个10/100M 端口, 4个10/100/1000M 端口、2个SFP 扩展槽, 1个
端口
Console 接口
模块化插槽数 2个
其它 网络介质
安全性 认证
5e类或更高
802.1x - RADIUS 认证和MD5加密; 基于MAC 地址的过滤 FCC Part15 Class A、CE Class A、UL、cUL、CE mark、CB 工作温度 0℃?40℃ (32°F ?104°F) 存储温度 -20℃?70℃ (-4°F ?158°F)
环境
工作湿度 10%?90%相对湿度, 非冷凝
存储湿度 10%?95%, 非冷凝
是否支持全双
全、半双工
工 网管支持
电气规电源电压 格
额定功率 LED指示灯 重量
外观参
长度 数
宽度 高度
环境参工作温度
350mm 44.5mm 0 - 40℃ 430mm 可网管型
100-240VAC, 50-60Hz 50W
Power、Link/Act、Speed 3.9kg
. 专业.专注 .
. . .. . .
数 工作湿度 工作高度 存储温度 存储湿度 存储高度
20% - 95% 3000m -20~70℃ 5% - 90% 6000m
4.2 软件配置
4.2.1 Cisco Catalyst 3560系列
网络智能性
当今的网络正在不断发展,在网络边缘出现了四种新趋势:
桌面计算能力提高 带宽密集型应用出现 高敏感数据在网络中扩展
出现了多种设备类型,如IP电话、无线LAN接入点和IP视频照相机
这些新需求正与许多已有关键任务应用争夺资源。因此,IT专业人员必须将网络边缘看作有效管理信息和应用的提供的关键。
随着公司日益依赖网络,将其作为战略性业务基础设施,确保网络的高可用性、安全性、可扩展性和对它的全面控制就比以前更为重要。通过向布线室添加思科智能功能,客户现可部署遍布整个网络的智能服务,从而一致地满足从桌面到核心再到WAN的要求。
. 专业.专注 .
. . .. . .
通过Cisco Catalyst智能以太网交换机,思科可帮助公司获得向其网络添加智能服务的全面优势。为进一步优化网络运行,部署具备以下特性的功能是十分关键的:能使网络基础设施高可用性以达到关键时间要求、可扩展以便于公司发展、高安全性以保护保密信息,且能区分和控制流量。
增强安全性
凭借Cisco Catalyst 3560系列提供的广泛安全特性,企业可保护重要信息,防止未授权人员接入网络,确保私密性及维持不间断运行。
思科基于身份的网络服务(IBNS)提供了身份验证、访问控制和安全策略管理特性,来保护网络连接和资源。Cisco Catalyst 3560系列中的思科IBNS可防止未授权接入,并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用802.1x标准和思科访问控制服务器(ACS),无论用户在何处连接到网络中,都可在验证基础上分配到一个VLAN或ACL。此设置使IT部门能在不影响用户移动性的情况下,以最低管理开销实施强大的安全策略。
为防止拒绝服务攻击和其他攻击,可用ACL根据源和目的地MAC地址、IP地址或TCP/UDP端口来拒绝数据包,从而对网络敏感部分的访问。ACL查询在硬件中完成,故此在实施基于ACL的安全性时不会影响转发性能。 端口安全性可根据与以太网端口相连设备的MAC地址,来此端口上的访问。它也可用于插入一个交换机端口的总设备数目,因此使交换机不会受到MAC泛洪攻击,并降低了恶意无线接入点或集中器接入的风险。
通过动态主机配置协议(DHCP)监听,可只允许不信任用户端口的DHCP请求(但不允许响应)进行传输,从而阻止了DHCP电子欺骗。此外,DHCP
. 专业.专注 .
. . .. . .
接口(选项82)添加了一个带交换机端口ID的主机IP地址请求,从而可实现对于IP地址的精确控制。在DHCP监听功能的基础上,可通过动态ARP检测和IP源防护阻止IP地址欺骗。
MAC地址通知特性可向管理站发送报警,从而监控网络和跟踪用户,以使网络管理员知道用户何时、从何处进入网络。专用VLAN特性可隔离交换机上的端口,有助于确保流量直接从进入点通过虚拟路径传输至汇聚设备,而不会发送到另一端口。
Secure Shell(SSH)协议版本2、Kerberos和简单网络管理协议版本3(SNMPv3)对管理和网络管理信息加密,保护网络免遭干扰或窃听。TACACS+或RADIUS验证实现了交换机的集中访问控制,并未授权用户改变配置。此外,可在交换机上配置本地用户名和密码数据库。交换机控制台上的15个授权级别和Web管理界面上的2个级别提供了向不同管理员分配不同配置功能级别的能力。
可用性和可扩展性
Cisco Catalyst 3560系列配备了强大的特性集,通过IP路由和旨在第二层网络中提供最高可用性的全套生成树协议改进,实现了网络可扩展性及更高可用性。
Cisco Catalyst 3560系列提供了基于硬件的高性能IP路由。这一基于思科快速转发的路由架构可提高可扩展性和性能。此架构能在确保稳定性和可扩展性足以达到未来要求的同时进行极高速度的查寻。除支持动态IP单播路由外,Catalyst 3560系列还进行了完美配置,适用于需组播支持的网络。硬件中的协
. 专业.专注 .
. . .. . .
议型组播(PIM)和互联网小组管理协议(IGMP)使Catalyst 3560系列交换机成为了密集组播环境的理想选择。
向核心提供路由上行链路可实现速度更快的故障转换保护,并通过在汇聚交换机端接所有生成树实例来简化生成树协议算法,从而提高网络可用性。如果一个上行链路发生故障,通过最短路径优先(OSPF)或增强内部网关路由协议(EIGRP)等可扩展路由协议,可快速故障转换至冗余上行链路,而无须依靠标准生成树协议融合。链路发生故障后使用路由协议对分组重导向,与使用第二层生成树增强特性的解决方案相比,故障转换速度更快。此外,路由上行链路实行了等成本路由(ECR)来执行负载均衡,可更好利用带宽。路由上行链路可防止不必要的广播数据流入网络骨干,优化了布线室输出上行链路的利用率。
Catalyst 3560作为组播环境中的布线室交换机,还节约了大量带宽。使用路由上行链路连接到网络核心,就无需将同一组播的多个流从上游内容服务器传输到LAN接入交换机。例如,三个用户被分配到三个VLAN,他们都想浏览组播ABC,假设布线室交换机没有路由上行链路,就必须从上游路由器向布线室交换机传输三个组播ABC流。通过Catalyst 3560交换机向核心部署IP路由将使用户能创建一个可扩展、组播性能出色的网络。思科高级IP服务许可提供IPv6路由和IPv6 ACL支持,包括对双IP堆叠(同步IPv4和IPv6)转发的支持。IPv6协议支持包括RIP下一代(RIPng)、OSPFv3和静态路由。
对标准生成树协议的改进,如每VLAN生成树增强(PVST+)、Uplink Fast和PortFast,可实现最长网络正常运行时间。PVST+可在冗余链路上进行第二层负载共享,以有效使用冗余设计中的额外容量。Uplink Fast、PortFast
. 专业.专注 .
. . .. . .
和BackboneFast都大大缩减了标准的30到60秒生成树协议融合时间。环路保护和网桥协议数据单元(BPDU)保护避免了生成树协议环路的出现。
4.3 系统软件成本分析
如表4.3.1到4.3.2所示。
表4.3.1交换机汇
建筑物 宿舍楼1 宿舍楼2 宿舍楼3 宿舍楼4 实验楼 教1楼 教2楼 教3楼 教4楼 图书馆 办1楼 楼层 6 6 6 6 6 6 6 6 6 5 3 节点数 6×40=240 6×40=240 6×40=240 6×40=240 380 65 77 60 70 140 110 接入交换机数目 6台 6台 汇聚层交换机数目 1台 6台 6台 12台 2台 2台 1台 2台 2台 5台 1台 在原有的基础上新增3 台 1台 办2楼 3 50 在原有的基础上新增1台 信息节点个数为学校实际所要布线施工的信息点数。
. 专业.专注 .
. . .. . .
由次表可得出此次校园网的预算如表4.3.2所示。
表4.3.2费用清单
IT产品 交换机 SRW2024-CN 数目 15台 38台 4台 1台 1台 若干 费用 ¥:15*3400=51000元 ¥:38*3500=133000元 ¥:4*11600=400元 ¥:1*9500=9500元 ¥:1*31800=31800元 ¥:55000元左右 SRW248G4-CN CISCO WS-C3560-24TS-E 路由器 防火墙 CISCO1841-HSEC/K9 思科ASA5520-K8 光纤、双 交线、水晶头 笔记本、 台式机(学校已有) 由以上可得出,校园网网络设备所须的费用大概为 32.67万人民币左右。
. 专业.专注 .
. . .. . .
5.网络应用规划及安全管理
5.1 解决方案
5.1.1 校园网出口解决方案
校园网出口,作为唯一连接外界网络的平台,是校园网与外界沟通交流的窗口,承载了各类与教学、科研、办公、生活息息相关的应用;出口平台对各应用的承载能力,将对高校的教学、科研、办公、生活产生直接和间接的影响。
锐捷网络高校校园网出口解决方案,充分考虑网络出口承载的多种业务系统对网络的要求,形成了包含连接层、安全防护层、应用控制层、VPN接入层、日志管理层在内的针对性出口网络解决方案。
ABC大学应用锐捷网络高校校园网出口解决方案,在安全防护层部署1台RG-WALL 1800、应用控制层部署1台RG-ACE 3000完成出口网络的阶段性改造(原有的LinkProof承担多出口负载均衡)。
改造后的东北财经大学出口网络,实现了多出口的合理使用,有效抵御DDoS攻击,实现病毒、木马以及异常流量的阻断;RG-ACE 3000可有效识别包括Web迅雷在的多种应用层协议,可实现基于用户的应用带宽及数据统计,使得各种关键应用的带宽得到充分的保障。 5.1.2 宿舍网解决方案
伴随校园网建设进程的深入,ABC大学认为,宿舍网的建设和管理水平直
. 专业.专注 .
. . .. . .
接影响着广大学生的学习和生活,是促进数字化校园发展的重要内容,是高校综合竞争能力的重要体现,ABC大学宿舍网的建设逐渐成为ABC大学校园网建设的重点。
锐捷网络SAM运营管理解决方案很好的解决了宿舍网建设和管理过程中普遍存在的问题,如IP地址管理(自动分配),IP地址盗用,自动绑定IP、MAC等多种元素,同时,SAM具有灵活的计费策略、强大的控制策略(防代理)、完整的日志系统,实现了学校“以网养网”的网络建设目标。
要想管理好万兆校园网、宿舍网,就必须采用涵盖先进技术的产品和完善的自动化管理;随着SAM应用的深入,要想充分发挥SAM的能量,必须对组织、制度、流程上加以改进,使运营管理水平更上一层楼,因此制定了20多个具体的制度来规范网络运营,达到了很好的效果。
锐捷网络GSN全局安全解决方案提供的ARP三重立体防御功能彻底改善了网络中ARP攻击频发的局面,最大程度减轻了网络的工作强度与管理压力,使网络用户真正置身于一个安全、可信的网络环境中。 5.1.4 办公网解决方案
高校办公网做为高校校园整体网络的一部分,在高校教育中所承担的作用愈来愈明显,它已成为高校教学、科研、办公及管理不可缺少的支撑环境。随着ABC大学校园信息化的不断推进,教学管理、科研管理、教学资源管理、后勤与服务管理等各种管理系统均需以校园办公网为载体,用以提高东北财经大学整体管理效率、促进教学、科研、服务和管理水平。
锐捷网络高校办公网解决方案的成功实施,很好的解决了东北财经大学办
. 专业.专注 .
. . .. . .
公网网络环境复杂、用户水平参差不齐、服务质量要求高、安全事件层出不穷,无法进行有效管理等诸多问题。
5.2 用户上网方案
5.2.1 访问校园网
用户在连接到网络中时,首先获得是校园网的IP地址,此时用户只能访问校园网内部的资源,并且对用户不计费。
在该方案中,S6810E和S6806E起到三层交换机的功能,校园网用户之间的互访都必须通过S6810E和S6806E进行。 5.2.2 CERNet
用户需要访问CERNet时,使用CERNet的域名,获得CERNet的地址后,就可以访问 5.2.3 INTERNET
用户需要访问INTERNET时,使用INTERNET的域名,获得INTERNET的地址后就可以访问。
5.3 地址规划和路由设计
5.3.1 地址规划
IP地址规划是整个网络设计中的重要组成部分,地址规划的科学性和合理
. 专业.专注 .
. . .. . .
性将直接反应网络拓扑的设计思想,对网络的稳定起到至关重要的影响。好的地址规划同科学的分层网络拓扑设计相辅相承,共同形成整体的网络设计解决方案。
合理的网段划分结合灵活的VLAN规划,可以有效地降低网络风暴的产生,保证整个网络的稳定,同时也起到一定的网络安全功能。
IP地址规划目标 建立高效的网络路由; 有效利用有限的IP地址资源; 支持网络的扩展;
支持网络技术的演变和发展。 IP地址规划原则
简单性:地址的分配应该简单,避免在主干上采用复杂的掩码方式; 连续性:为同一个网络区域分配连续的网络地址,便于采用路由收敛(Summarization)及CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项,提高路由器的处理效率;
可扩充性:为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性;
灵活性:地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;
可管理性:地址的分配应该有层次,某个局部的变动不要影响上层、全局。
安全性:网络内应按工作内容划分成不同网段即子网以便进行管理。
. 专业.专注 .
. . .. . .
校园网地址规划方案 校园网IP地址分配总则 校园网IP地址分为三大块:
校园网内部的私有IP地址,采用RFC中规定的地址段,不能访问Internet和Cernet;
Cernet分配的多个C类公网IP地址,作为和国际互联网互连的地址,域名xxx.edu.cn就解析在这片地址上,主要供网络中心和图书馆、部分实验室专用;
运营商分配的公网IP地址,用于访问Internet。
关键服务器拥有两个公网IP,分别跨接在Cernet和Internet上。 校园网内部私网IP地址的分配
内部地址的分配原则是按建筑物进行的,视用户的数量,1/4、1/2、整个C的划分。为了安全考虑对所有的都采用静态分配IP地址,为防止地址盗用,采用IP地址、MAC地址与端口绑定。
IP地址的分配
用户的计算机在连接到校园网上时,首先获得一个校园网内部的IP地址,此时该计算机只能访问校园网内部。
用户需要访问Cernet和Internet,要使用帐号登陆,认证通过后才能访问。
5.3.2 路由设计
校园网路由设计
. 专业.专注 .
. . .. . .
不使用默认路由,使用策略路由,防止从Internet访问校园网。 Internet路由设计
采用静态默认路由协议访问Internet
为了实现路由的备份,配置到Internet的两条默认路由,两条路由的优先级可以相同,可以不同。
如果相同,则两条线路采取负载分担方式。
如果不同,则是主备方式,其中优先级高的称为主路由,优先级低的为备份路由。这样,正常情况下,路由器采用主路由发送数据。当线路发生故障时,该路由自动隐藏,路由器会选择余下的优先级最高的备份路由作为数据发送的途径。这样,也就实现了主路由到备份路由的切换。当主路由恢复正常时,路由器恢复相应的路由,并重新选择路由。由于该路由的优先级最高,路由器选择主路由来发送数据。
采用源地址路由,让Internet地址访问Internet; 采用ACL,防止访问Cernet的流量通过Internet; 采用ACL,防止来自校园网的Internet地址。
5.4 安全与流量控制
5.4.1 网络安全控制
对端口ARP检查防止ARP攻击;
对端口安全:MAC动态地址锁,MAC地址静态绑定;
交换设备 BPDU Guard功能,过滤非法BPDU报文,防止STP攻击交换机;
. 专业.专注 .
. . .. . .
端口安全:端口静态绑定,自动绑定 IP和MAC 地址防止DOS攻击; 智能安全到边缘:多种ACL,满足不同网络应用,过滤病毒; SSH密文传输,管理IP等措施保证设备管理可靠;
对网络病毒的防范:采用设置ACL,对病毒进行过滤; 我们使用的汇聚、核心交换机都支持SPOH,通过端口的FFP进行ACL处理,网络设备性能不受设置 ACL 数目影响;
5.4.2 VLAN需求
默认时,交换机分隔冲突域;路由器分隔广播域。第2层交换式网络的最大好处是,它为插入到交换机每个端口的每台设备创建了各自的冲突域。但每一个新的改进通常都会引起新的问题——用户和设备的数量越大,每台交换机必须处理的广播和数据包就越多。
安全性也是一个问题,因为在典型的第2层交换式互联网络的内部,默认时所有用户都可以看见所有的设备。你不能让设备停止广播,也不能让用户不响应广播。连接到物理网络的任何人都可以访问位于物理LAN上的网络资源,用户只需将其工作站插入到现有的集线器中,就可以加入某个工作组。安全性选项只能限于在服务器和其他设备上设置口令。
通过创建虚拟局域网(VLAN),就可以在一个纯交换式的互联网络中,分隔广播域。VLAN是两个部分的逻辑组合:一是网络用户;二是在管理上连接到交换机所定义端口的资源。
如果创建了VLAN,情况就可以大大改善。在虚拟创建局域网时,可以将交换机上的不同端口分派到不同的子网中,这样就可以在第二层交换式互联网
. 专业.专注 .
. . .. . .
络中创建一些小的广播域。可以象对待单独的子网和广播域一样来对待VLAN,这意味着网络上的广播域只在同一个VLAN内部的逻辑组的端口之间进行转发。
用VLAN来简化网络管理的方式有多种:
通过将某个端口配置到合适的VLAN中,就可以实现网络的添加、移动和改变。
将对安全性要求高的一组用户放入VLAN中,这样,VALN外部的用户就无法与他们通信。
作为功能上的逻辑用户组,可以认为VLAN于它们的物理位置或地理位置。
VLAN可以增强网络安全性。
VLAN增加了广播域的数量,同时减少了广播域的范围。
使用VLAN具有以下优点: a.控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
b.提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
c.网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员
. 专业.专注 .
. . .. . .
对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。 5.4.3 VLAN划分设计
VLAN概述:
VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
组建VLAN的条件 VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
划分VLAN的基本策略 从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
a.基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重
. 专业.专注 .
. . .. . .
新分配即可,不用考虑该端口所连接的设备。
b.基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
c.基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
5.4.4 网络异常流量监测技术
异常流量监测系统的智能化主要体现在以下三个方面。
1.流量自学习能力。通过对网络流量的监测掌握网络正常流量模型。通过监测一段时间的网络流量,建立起一个基于时间的正常流量模型。该模型会在系统内数据库中,对监测网络的各个时间段内的各种协议流量建立一个动态流量基线。当某个时段,某个协议流量与当前基线不符时,会给出一个异常告警,并随着时间积累,会将告警逐步升级。因此,这种智能化的流量学习能力可以更加精确地掌握网络中实际的正常流量的情况,为判断异常流量提供有力的依据。
2.蠕虫攻击特征检测。网络蠕虫攻击一般在流量、协议、攻击端口以及攻
. 专业.专注 .
. . .. . .
击行为方面会具有一定的特征。因此,在对这类网络蠕虫攻击进行监测时可以根据其特征进行判断。一方面可以根据流量自学习功能掌握正常流量的基础,分析判断出一些异常流量,并提取这些流量特征,还为今后的分析判断提供参考和借鉴;另一方面,建立一套蠕虫攻击特征的分发和收集系统,不断从其他监测点收集新的异常特征,又不断将这些特征分发到域内的监测系统中。因此,这种智能化的蠕虫攻击特征检测可以提高已知蠕虫特征的攻击监测准确性,也可以提高监测未知蠕虫攻击的能力。
3.攻击源的自动追溯。攻击源的自动追溯在发现攻击时,对攻击流量的源头进行反向信息跟踪,并将相关的流量信息进行关联分析,以判断攻击源的位置。在发现攻击时,根据接口信息、AS、BGP路由等信息,最终将定位出最靠近攻击源的接口信息。因此,这种智能化的攻击源的自动追溯能力可以提高攻击源的定位效率,从而大大提高应急响应的速度。
异常流量监测系统与异常流量过滤系统进行联动,也可以通过宣告黑洞路由、提供ACL过滤策略等方式与路由设备进行交互来有效的处理异常流量。而网络应急响应体系的重要环节之一就是监测,尤其是对网络异常流量的监测工作。没有及时的发现安全问题,就谈不上高效的做出应急响应。因此,异常流量监测技术在整个网络安全应急响应体系中占有十分重要的地位。
(1) 骨干网监测
考虑到骨干网流量大、范围广,因此骨干网监测主要采用分布式监测方式。监测的主要目的是通过异常流量监测系统和产品的流量自学习功能掌握正常流量模型,在此基础上,能够对分析和判断带宽型“垃圾”流量攻击,例如SQLSlammer蠕虫攻击等垃圾流量在大量占用骨干链路资源的情况。
. 专业.专注 .
. . .. . .
(1) 对核心层汇聚层监测
监测的主要目的是及时发现和定位来自网内部的蠕虫攻击、DDOS攻击、网络滥用行为(如网络扫描)、垃圾邮件等安全问题。在部署异常流量监测系统的基础上,为了提高应急响应的效率和自动化程度,还部属流量过滤系统,与异常流量监测系统进行联动。一旦发现有异常流量,立即将异常流量引入流量过滤系统进行“清洗”,以保护重要系统或重要客户网络资源,降低异常流量对这些系统的冲击。
实施方法: 1. 核心层,汇聚层
管理员pc接入锐捷68系列交换机控制端口,进行参数配置,对骨干网络的网络状况进行监测,并对流量进行监控(分端口流量控制,对学生宿舍,教师宿舍,行政楼,教学楼,专项课题研究楼的流量按需求进行监测和控制设置)。设置防火墙ACL策略,对管道进行流量控制。
2. 接入层
管理员pc接入锐捷STAR-S2126G和STAR-S2150G交换机控制端口,进行参数配置,对区域网络的网络状况进行监测,并对流量进行监控,对突发流量进行及时响应。由于这一层是到终端PC,对学生用户,教师用户,课堂用户,行政用户,研究用户的端口流量进行细致的监测和控制。
a.对学生用户的流量分时段,分端口进行控制,在行科和办公时段,把学生用户的流量控制在最低限度,在其余时段恢复正常的流量带宽。对部分占用较大带宽的应用(如:p2p的bt,在线电影等),要进行端口的流量的。
b.对教师用户的流量,分端口进行控制,对部分占用较大带宽的应用
. 专业.专注 .
. . .. . .
(如:p2p的bt,在线电影等),要进行端口的流量的。
c.其他类型的用户根据应用需求,对流量分优先级进行控制。
5.5 无线网络
校园有线以太网络技术已经从百兆、千兆向万兆迈进,对于处于接入层的设备而言,百兆以太网已经成为目前可以接受的速率标准。对于同样处于接入层的无线设备而言,传统的802.11b/g所提供的11M/54Mbps的速率已经无法与有线网络相比,因此在传输较大容量报文数据的时候,常常显得力不从心。
作为校园无线网络的主流协议的802.11g和802.11a技术,经过近年来的不断发展,分别衍生出了Super G和Turbo A增压技术技术,能够通过信道捆绑和包压缩等技术,将信道理论带宽加速到108Mbps,使得校园无线信道带宽被拓宽到一个百兆互联的水平,彻底了无线无法与有线媲美的概念。这对于部署校园无线网络是转折性的改变,对于校园无线网络的规划者,可以在前期选择支持加速技术的无线产品,部署在对连接速度要求较高的区域,以满足高速无线互联的要求,并可以完全带来不亚于百兆有线以太网的数据传输能力,避免局部数据传输瓶颈的产生。
在本方案中主要存在二种典型的环境结构。局部开放的室内大环境,如典型公共教室、图书阅览室、食堂、会议室等。
用户管理及网管功能 运用了网络管理系统所提供的用户管理功能。 无线校园网一般由许多AP构成,它们的物理安装位置都比较分散。如何准确地监控每AP的运行状态是保证无线网络稳定运行的关键。网络管理系统是整体WLAN解决方案的重要组成部分。
. 专业.专注 .
因篇幅问题不能全部显示,请点此查看更多更全内容