網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)方案-

1、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)方案班級:姓名:學(xué)號:指導(dǎo)教師:1. 工程概況設(shè)學(xué)校共有員工和學(xué)生9000 人,院區(qū)內(nèi)共有12 棟建筑,包括教學(xué)樓、實(shí)驗(yàn)樓、現(xiàn)教樓、圖書館、宿舍樓等。上網(wǎng)的人員主要是學(xué)生、教師和科研人員。學(xué)校的網(wǎng)絡(luò)同時(shí)承載著多樣的網(wǎng)絡(luò)應(yīng)用:網(wǎng)絡(luò)下載、視頻點(diǎn)播、網(wǎng)絡(luò)聊天、專項(xiàng)課題研究、網(wǎng)絡(luò)化教學(xué),學(xué)校要求網(wǎng)絡(luò)具有高性能、高可用性和高安全性。由于校園網(wǎng)絡(luò)的開放性和流量的多樣性,學(xué)校要求能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常流量并做出響應(yīng)。同時(shí)要求基于每用戶的速率限制。2. 設(shè)計(jì)目標(biāo)當(dāng)前萬兆以太網(wǎng)將成為園區(qū)骨干網(wǎng)的主流技術(shù)。但根據(jù)學(xué)院目前的實(shí)際情況,可先采用千兆位以太網(wǎng)作為園區(qū)骨干,以后再根據(jù)需要升級;另外交換機(jī)及路由器本

2、身的性能對整個(gè)網(wǎng)絡(luò)的性能也有影響,諸如線速轉(zhuǎn)發(fā)、QoS、STP、可支持的路由協(xié)議的收斂特性等等都將影響網(wǎng)絡(luò)的性能。高可用性:網(wǎng)絡(luò)的高可用性必須依靠冗余來實(shí)現(xiàn),網(wǎng)絡(luò)級冗余性可以利用雙宿主設(shè)計(jì)自動繞過故障鏈路或設(shè)備,能夠使用智能協(xié)議保持網(wǎng)絡(luò)可靠性。設(shè)備級冗余性可以利用設(shè)備內(nèi)部部件(如管理引擎、電源、風(fēng)扇等的冗余來提供不間斷服務(wù)。線路級冗余可通過敷設(shè)物理走向不同的線纜的方式來實(shí)現(xiàn)線路的暢通。對于學(xué)院來說,以上所說在不同的場合中都有可能用到;另外,降低網(wǎng)絡(luò)的復(fù)雜性、提供備用互聯(lián)網(wǎng)出口、強(qiáng)大的網(wǎng)絡(luò)監(jiān)控功能及良好的用戶培訓(xùn)也可增加園區(qū)網(wǎng)的可用性。高安全性:現(xiàn)階段網(wǎng)絡(luò)建設(shè)主要面臨以下幾方面的問題:網(wǎng)絡(luò)流量增

3、長得很快,與此同時(shí)網(wǎng)絡(luò)運(yùn)營商的接入費(fèi)用不降反升;管理人員對校園網(wǎng)的運(yùn)行情況缺乏基本的分析和管理工具;網(wǎng)絡(luò)安全事件時(shí)有發(fā)生,重要服務(wù)器和核心網(wǎng)絡(luò)設(shè)備被攻擊;網(wǎng)絡(luò)病毒泛濫,得不到控制;有線用戶和無線用戶的接入控制、定位缺乏手段等;針對以上問題,將安全連接、威脅防御、信用和身份管理系統(tǒng)集成到單個(gè)解決方案中,并提供病毒感染限制、染毒設(shè)備隔離功能可有效的解決校園網(wǎng)建設(shè)中的安全問題。高可擴(kuò)展性:在設(shè)計(jì)園區(qū)網(wǎng)時(shí),通過層次化的設(shè)計(jì)可保證網(wǎng)絡(luò)的擴(kuò)展性。層次化結(jié)構(gòu)包括三個(gè)功能部分:即接入層、分布層和核心層,層次化的設(shè)計(jì)除了能帶來便于擴(kuò)展的優(yōu)勢以外,還可節(jié)約成本和加強(qiáng)故障隔離能力;移動性:可通過實(shí)施Wireless

4、 LAN 實(shí)現(xiàn)無線上網(wǎng)。3. 設(shè)計(jì)原則采用先進(jìn)成熟的技術(shù)和設(shè)計(jì)思想,運(yùn)用先進(jìn)的集成技術(shù)路線,以先進(jìn)、實(shí)用、開放、安全、使用方便和易于操作為原則,突出系統(tǒng)功能的實(shí)用性,盡快投入使用,發(fā)揮較好的效能。計(jì)算機(jī)技術(shù)的發(fā)展十分迅速,更新?lián)Q代周期越來越短。所以,選購設(shè)備要充分注意先進(jìn)性,選擇硬件要預(yù)測到未來發(fā)展方向,選擇軟件要考慮開放性,工具性和軟件集成優(yōu)勢。網(wǎng)絡(luò)設(shè)計(jì)要考慮通信發(fā)展要求,因此,主要、關(guān)鍵設(shè)備需要具有很高的性價(jià)比。系統(tǒng)的設(shè)計(jì)既要在相當(dāng)長的時(shí)間內(nèi)保證其先進(jìn)性,還應(yīng)本著實(shí)用的原則,在實(shí)用的基礎(chǔ)上追求先進(jìn)性,使系統(tǒng)便于聯(lián)網(wǎng),實(shí)現(xiàn)信息資源共享。易于維護(hù)管理,具有廣泛兼容性,同時(shí)為適應(yīng)我國實(shí)際情況,設(shè)

5、備應(yīng)具有使用靈活、操作方便的漢字、圖形處理功能。目前,計(jì)算機(jī)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互連互通日益增加,都直接或間接與國際互連網(wǎng)連接。因此,系統(tǒng)方案設(shè)計(jì)需考慮系統(tǒng)的可靠性、信息安全性和保密性的要求。學(xué)院校園網(wǎng)設(shè)計(jì)方案設(shè)計(jì)原則和需求分析,可以方便地進(jìn)行設(shè)備擴(kuò)充和適應(yīng)工程的變化,以及靈活地進(jìn)行軟件版本的更新和升級,保護(hù)用戶的投資。目前,網(wǎng)絡(luò)向多平臺、多協(xié)議、異種機(jī)、異構(gòu)型網(wǎng)絡(luò)共存方向發(fā)展,其目標(biāo)是將不同機(jī)器、不同操作系統(tǒng)、不同的網(wǎng)絡(luò)類型連成一個(gè)可協(xié)同工作的一個(gè)整體。所以所選網(wǎng)絡(luò)的通迅協(xié)議要符合國際標(biāo)準(zhǔn),為將來系統(tǒng)的升級、擴(kuò)展打下良好的基礎(chǔ)。采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式,滿足系統(tǒng)及用戶各種不同的應(yīng)用要求,適應(yīng)業(yè)

6、務(wù)調(diào)整變化。采用的技術(shù)標(biāo)準(zhǔn)必須按照國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)與規(guī)范,保證系統(tǒng)的延續(xù)性和可靠性。滿足系統(tǒng)目標(biāo)與功能目標(biāo),總體方案設(shè)計(jì)合理,滿足用戶的應(yīng)用要求,便于系統(tǒng)維護(hù),以及系統(tǒng)二次開發(fā)與移植。4. 需求分析學(xué)校規(guī)模在不斷擴(kuò)大中,用戶數(shù)在持續(xù)增加,要求網(wǎng)絡(luò)具有很好的擴(kuò)展性,能夠根據(jù)需要逐步平滑升級到千兆的骨干連接。學(xué)生擁有筆記本電腦的人數(shù)越來越多,他們想在校園的各個(gè)地方都可以上網(wǎng),甚至包括操場。要求網(wǎng)絡(luò)具有移動和無線集成。學(xué)校要求能對每個(gè)用戶的使用情況能進(jìn)行事后審計(jì),能夠定位到IP 地址以及用戶所連接的端口和登錄的用戶名。5.物理設(shè)計(jì)5.1 綜合布線標(biāo)準(zhǔn)所謂綜合布線系統(tǒng),是指按標(biāo)準(zhǔn)的、統(tǒng)一的和簡單的結(jié)

7、構(gòu)化方式規(guī)劃和布置各種建筑物(或建筑群內(nèi)各種系統(tǒng)的通信線咱,包括網(wǎng)絡(luò)系統(tǒng)、電話系統(tǒng)、監(jiān)控系統(tǒng)、電源系統(tǒng)和照明系統(tǒng)等。因此,綜合布線系統(tǒng)是一種標(biāo)準(zhǔn)通用的信息傳輸系統(tǒng)。標(biāo)準(zhǔn)化組織:北美的標(biāo)準(zhǔn)EIA/TIA568A國際ISO標(biāo)準(zhǔn),即ISO/IEC11801IEEE802.3 100/1000Base-T、100Base-FIEEE802.5 TokenRing中國建筑電信設(shè)計(jì)規(guī)范工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范5.2設(shè)計(jì)范圍及要求設(shè)計(jì)目標(biāo)的確定我們?yōu)樵撈髽I(yè)網(wǎng)絡(luò)設(shè)計(jì)的綜合布線系統(tǒng)將基于以下目標(biāo):1.符合當(dāng)前和長遠(yuǎn)的信息傳輸要求。2.布線系統(tǒng)設(shè)計(jì)遵從國際(ISO/CEI11801標(biāo)準(zhǔn)。3.布線系統(tǒng)采用國際標(biāo)準(zhǔn)建議的

8、星形拓?fù)浣Y(jié)構(gòu)。4.考慮網(wǎng)絡(luò)連接到桌面的速度100Mbps,網(wǎng)絡(luò)主干信息傳輸向1000兆發(fā)展的需要。5.布線系統(tǒng)的信息出口采用國際標(biāo)準(zhǔn)的RJ45插座。6.布線系統(tǒng)符合綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)的要求。7.布線系統(tǒng)要立足開放原則。5.3布線的實(shí)施系統(tǒng)結(jié)構(gòu),根據(jù)企業(yè)的具體情況,采用以下方案:采用集中結(jié)構(gòu),整個(gè)辦公區(qū)的所有雙絞線都拉到機(jī)房中。雙絞線直接端接在機(jī)柜內(nèi)的模塊化配線架上。材料選型,考慮到主干網(wǎng)絡(luò)采用千兆以太網(wǎng)的要求,所以,方案中網(wǎng)絡(luò)選用超5類雙絞線。布線要求,布線標(biāo)準(zhǔn)選用超5類線產(chǎn)品,每個(gè)工作位是一個(gè)雙孔插座:一個(gè)電腦插座,一個(gè)電話插座(個(gè)別工作站設(shè)雙語音插口。機(jī)柜端采用朗訊48口模塊式配線架。電話與電

9、腦可任意互換。布線系統(tǒng)管槽設(shè)計(jì)管線鋪設(shè)建議:1.由于安裝的是非屏蔽雙絞線,對接地要求不高,建議在與機(jī)柜相連的主線槽處接地。2.本區(qū)域需要線槽的規(guī)格是這樣來確定的:線槽的橫截面積留40%的富余量以備擴(kuò)充, 超5類雙絞線的橫截面積為0.3平方厘米。3.線槽安裝時(shí),應(yīng)注意與強(qiáng)電線槽的隔離。布線系統(tǒng)應(yīng)避免與強(qiáng)電線路在無屏蔽、距離小于20cm情況下平行走3米以上。如果無法避免,該段線槽需采取屏蔽隔離措施。4.進(jìn)入家具的電纜管線由最近的吊頂線槽沿隔墻下到地面,并從地面鏜槽埋管到家具隔斷下。5.管槽過渡、接口不應(yīng)該有毛刺,線槽過渡要平滑。6.線管超過兩個(gè)彎頭必須留分線盒。7.墻裝底盒安裝應(yīng)該距地面30厘米以

10、上,并與其他底盒保持等高、平行。8.線管采用鍍鋅薄壁鋼管或PVC管。工作區(qū)子系統(tǒng)由終端設(shè)備連接到信息插座的連線,以及信息插座所組成。信息點(diǎn)由標(biāo)準(zhǔn)RJ45插座構(gòu)成。信息點(diǎn)數(shù)量應(yīng)根據(jù)工作區(qū)的實(shí)際功能及需求確定,并預(yù)留適當(dāng)數(shù)量的冗余。例:對于一個(gè)辦公區(qū)內(nèi)的每個(gè)辦公點(diǎn)可配置23個(gè)信息點(diǎn),此外應(yīng)為此辦公區(qū)配置35個(gè)專用信息點(diǎn)用于工作組服務(wù)器、網(wǎng)絡(luò)打印機(jī)、傳真機(jī)、視頻會議等等。若此辦公區(qū)為商務(wù)應(yīng)用則信息點(diǎn)的帶寬為100M可滿足要求;若此辦公區(qū)為技術(shù)開發(fā)應(yīng)用則每個(gè)信息點(diǎn)應(yīng)為交換式100M甚至是光纖信息點(diǎn)。工作區(qū)的終端設(shè)備(如:電話機(jī)、傳真機(jī)可用康寧公司FutureCom超五類或六類雙絞線直接與工作區(qū)內(nèi)的每一

11、個(gè)信息插座相連接,或用適配器(如ISDN終端設(shè)備、平衡/非平衡轉(zhuǎn)換器進(jìn)行轉(zhuǎn)換連接到信息插座上。水平子系統(tǒng)主要是實(shí)現(xiàn)信息插座和管理子系統(tǒng),即中間配線架(IDF間的連接。水平子系統(tǒng)指定的拓?fù)浣Y(jié)構(gòu)為星形拓?fù)洹Ｋ礁删€的設(shè)計(jì)包括水平子系統(tǒng)的傳輸介質(zhì)與部件集成。選擇水平子系統(tǒng)的線纜,要根據(jù)建筑物內(nèi)具體信息點(diǎn)的類型、容量、帶寬和傳輸速率來確定。在水平子系統(tǒng)中推薦采用的雙絞電纜及光纖型號為: 康寧公司FutureCom超五類或六類非屏蔽雙絞線, FutureLink室內(nèi)單?；蚨嗄９饫w。雙絞線水平布線鏈路中,水平電纜的最大長度為90m。若使用100UTP雙絞線作為水平子系統(tǒng)的線纜,可根據(jù)信息點(diǎn)類型的不同采用不

12、同類型的電纜,例如對于語音信息點(diǎn)和數(shù)據(jù)信息點(diǎn)可采用FutureCom超五類或六類雙絞線,甚至使用FutureLink 光纜;對于電磁干擾嚴(yán)重的場合應(yīng)盡量采用康寧公司FutureCom六類屏蔽雙絞線。但是從系統(tǒng)的兼容性和信息點(diǎn)的靈活互換性角度出發(fā),建議水平子系統(tǒng)采用同一種布線材料。管理子系統(tǒng)由互連和輸入/輸出組成,實(shí)現(xiàn)配線管理,為連接其它子系統(tǒng)提供手段。包括配線架、跳線設(shè)備及光配線架等組成設(shè)備。設(shè)計(jì)管理子系統(tǒng)時(shí),必需了解線路的基本設(shè)計(jì)原理,合理配置各子系統(tǒng)的部件。康寧公司的LANscape綜合布線解決方案擁有搭配科學(xué)、管理簡便的成套產(chǎn)品用于管理子系統(tǒng)。干線子系統(tǒng)指提供建筑物的主干電纜的路由,是實(shí)

13、現(xiàn)主配線架與中間配線架,計(jì)算機(jī)、PBX、控制中心與各管理子系統(tǒng)間的連接。干線傳輸電纜的設(shè)計(jì)必須既滿足當(dāng)前的需要,又適應(yīng)今后的發(fā)展。干線子系統(tǒng)布線走向應(yīng)選擇干線線纜最短、最安全和最經(jīng)濟(jì)的路由。干線子系統(tǒng)在系統(tǒng)設(shè)計(jì)施工時(shí),應(yīng)預(yù)留一定的線纜做冗余信道,這點(diǎn)對于綜合布線系統(tǒng)的可擴(kuò)展性和可靠性來說是十分重要的。干線子系統(tǒng)可以使用的線纜主要有:HAY三類大對數(shù)電纜;FutureCom超五類或六類雙絞線;FutureLink室內(nèi)單?；蚨嗄９饫w。超五類雙絞線可以支持1000BASE-T,但如要求支持1000BASE-TX則必須使用六類雙絞線。如果已安裝的電纜僅滿足5類線標(biāo)準(zhǔn)(1995,那么在連接1000BAS

14、E-T設(shè)備之前,應(yīng)對布線系統(tǒng)按照新增加的布線參數(shù)(如:回波損耗,等級遠(yuǎn)端串?dāng)_(ELFEXT,傳播延遲和延時(shí)畸變等進(jìn)行測量和認(rèn)證。設(shè)備間子系統(tǒng)由設(shè)備室的電纜、連接器和相關(guān)支持硬件組成,把各種公用系統(tǒng)設(shè)備互連起來。設(shè)備間的主要設(shè)備有數(shù)字程控交換機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、服務(wù)器、樓宇自控設(shè)備主機(jī)等等。它們可以放在一起,也可分別設(shè)置。在較大型的綜合布線中,可以將計(jì)算機(jī)設(shè)備、數(shù)字程控交換機(jī)、樓宇自控設(shè)備主機(jī)分別設(shè)置機(jī)房,把與綜合布線密切相關(guān)的硬件設(shè)備放置在設(shè)備間,計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的機(jī)房放在離設(shè)備間不遠(yuǎn)的位置。建筑群子系統(tǒng)是實(shí)現(xiàn)建筑之間的相互連接,提供樓群之間通信設(shè)施所需的硬件。建筑群之間可以采用有線通信的手段,

15、也可采用微波通信、無線通信的手段。在康寧公司的LANscape綜合布線解決方案中,康寧FutureLink光纖不但支持FDDI主干、1000Base-FX主干、100Base-FX到桌面、ATM主干和ATM到桌面,還可以支持CATV/CCTV及光纖到桌面(FTTD,是建筑群子系統(tǒng)和主干線子系統(tǒng)布線中有線通信線纜中的明星。光纖有單模光纖和多模光纖兩種:單模光纖只傳輸主模態(tài),可完全避免模態(tài)色散,傳輸頻帶很寬,傳輸容量很大,適用于大容量、長距離的光纖通信。它是未來光纖通信與光波技術(shù)發(fā)展的必然趨勢(如:1000BASE-LX基于1300nm 的單模光纜,使用8B/10B編碼解碼方式,最大傳輸距離為30

16、00m,康寧公司出品的特制光纖傳輸距離為標(biāo)準(zhǔn)距離的5-10倍;多模光纖傳輸模態(tài)較多,存在一定量的模態(tài)色散,頻帶較寬,傳輸容量較大(目前采用的62.5/125m多模光纖,數(shù)據(jù)傳輸速率為100Mbps時(shí),最大距離可以到2km,但傳輸千兆位數(shù)據(jù)量時(shí)距離支持十分有限。5.4 設(shè)備選型本方案中校園網(wǎng)絡(luò)核心層設(shè)備采用CISCO Catalyst 6509(Supervisor Engine 720*2/電源*2/FWSM*1/IPSec VPN 模塊*1/IDSM*1/NAM*1/16 口千兆以太網(wǎng)光口板*1/若干5486/48 口千兆電口*1,符合IEEE802.3af&PoE數(shù)量:2 臺。Cisco

17、Catalyst 6509 的優(yōu)點(diǎn):最長的網(wǎng)絡(luò)正常運(yùn)行時(shí)間-利用平臺、電源、控制引擎、交換矩陣和集成網(wǎng)絡(luò)服務(wù)冗余性提供13 秒的狀態(tài)故障切換,提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡(luò)環(huán)境,減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷。全面的網(wǎng)絡(luò)安全性-將切實(shí)可行的數(shù)千兆位級思科安全解決方案集成到現(xiàn)有網(wǎng)絡(luò)中,包括入侵檢測、防火墻、VPN 和SSL?？蓴U(kuò)展性能-利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達(dá)400Mpps 的轉(zhuǎn)發(fā)性能。能夠適應(yīng)未來發(fā)展并保護(hù)投資的體系結(jié)構(gòu)-在同一種機(jī)箱中支持三代可互換、可熱插拔的模塊,以提高IT 基礎(chǔ)設(shè)施利用率,增大投資回報(bào),并降低總體擁有成本。卓越的服務(wù)集成和靈活性-將安全和內(nèi)容等高級服務(wù)與融合

18、網(wǎng)絡(luò)集成在一起,提供從10/100 和10/100/1000 以太網(wǎng)到萬兆以太網(wǎng),從DS0 到OC-48 的各種接口和密度,并能夠在任何部署項(xiàng)目中端到端執(zhí)行。校園網(wǎng)絡(luò)分布層設(shè)備采用CISCO Catalyst 4507R(Supervisor Engine V-10GE*2/電源*2/若干千兆以太網(wǎng)光口板及GBIC/48 口千兆電口板*1,符合IEEE802.3af&PoE數(shù)量:7 臺。Cisco Catalyst 4506(With Supervisor V-10GE的優(yōu)點(diǎn)是:136Gbps 交換矩陣;102mpps 第二層到第四層吞吐率;雙線速萬兆以太網(wǎng)上行鏈路;利用千兆以太網(wǎng)SFP 上行

19、鏈路順利移植到萬兆以太網(wǎng);在交換管理引擎上提供集成式NetFlow,通過基于用戶的速率限制實(shí)施精確流量控制;超快速800MHz CPU 可實(shí)現(xiàn)更快的控制平面;最多能夠在Catalyst 4510R 交換機(jī)中支持384 個(gè)10/100/1000 端口;提供所有Cisco Catalyst 集成式安全特性;為提供更加靈活的策略,能夠?yàn)槊總€(gè)端口和VLAN 實(shí)施不同的QoS;思科快速轉(zhuǎn)發(fā)能夠防止可變IP 信息攻擊。端口安全、DHCP 偵聽、ARP 檢測和IP 源防護(hù)能夠防止黑客從第二層及以上發(fā)動拒絕服務(wù)(DoS攻擊或破壞網(wǎng)絡(luò)。速率限制以出口和入口限速器的方式出現(xiàn),可以控制每個(gè)VLAN 的流量,防止Do

20、S攻擊。Supervisor Engine V-10GE 支持基于用戶的速率限制。802.1X 及其擴(kuò)展性能防止非法用戶和設(shè)備接入網(wǎng)絡(luò),例如惡意接入點(diǎn)。硬件Netflow 可用于主動發(fā)現(xiàn)網(wǎng)絡(luò)流量異常,并采取相應(yīng)措施。它使用的訪問控制列表可在交換端口和路由端口上提供,以便進(jìn)行二到七層流量控制。校園網(wǎng)絡(luò)接入層設(shè)備采用CISCO Catalyst 3560(EMI交換機(jī),該系列交換機(jī)是一個(gè)固定配置、企業(yè)級、IEEE 802.3af 和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)供電(PoE 交換機(jī)系列,工作在快速以太網(wǎng)和千兆位以太網(wǎng)配置下。CISCO Catalyst 3560 是一款理想的接入層交換機(jī),適用于小型企業(yè)布線室或

21、分支機(jī)構(gòu)環(huán)境,結(jié)合了10/100/1000 和PoE 配置,實(shí)現(xiàn)最高生產(chǎn)率和投資保護(hù),并可部署新應(yīng)用,如IP 電話、無線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠(yuǎn)程視頻訪問等?？蛻艨稍谡麄€(gè)網(wǎng)絡(luò)范圍中部署智能服務(wù),如高級QoS 、速率限制、訪問控制列表、組播管理和高性能IP 路由等,且同時(shí)保持傳統(tǒng)LAN 交換的簡潔性。思科網(wǎng)絡(luò)助理(network assistant在Catalyst 3560 系列中免費(fèi)提供,是一個(gè)集中管理應(yīng)用,可簡化思科交換機(jī)、路由器和無線接入點(diǎn)的管理任務(wù)。思科網(wǎng)絡(luò)助理提供了配置向?qū)?大大簡化了融合網(wǎng)絡(luò)和智能網(wǎng)絡(luò)服務(wù)的實(shí)施;支持增強(qiáng)的802.1x(IBNS。5.5 網(wǎng)絡(luò)安全設(shè)計(jì)學(xué)院網(wǎng)

22、絡(luò)安全性方案設(shè)計(jì)原則是:整個(gè)學(xué)院網(wǎng)絡(luò)必須是一個(gè)嚴(yán)密的安全保密體系。采取的安全措施不能影響整個(gè)網(wǎng)絡(luò)運(yùn)行效率。保密設(shè)備要做到管理方便,完善可靠。加密系統(tǒng)具有良好的網(wǎng)絡(luò)兼容性和可擴(kuò)展性,實(shí)現(xiàn)防竊取、防篡改、防破壞三大功能。按照國家主管部門對政府辦公網(wǎng)絡(luò)安全保密性的相應(yīng)法規(guī)和規(guī)定,要保障系統(tǒng)內(nèi)部信息的安全,我們主要應(yīng)該做到處理秘密級、機(jī)密級信息的系統(tǒng)與不涉及保密信息的系統(tǒng)實(shí)行物理隔離,秘密級、機(jī)密級信息在網(wǎng)絡(luò)上采取加密傳輸。防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與Internet 之間的一個(gè)或一組系統(tǒng),用以實(shí)施兩個(gè)網(wǎng)絡(luò)間的訪問控制和安全策略。狹義上防火墻指安裝了防火墻軟件的主機(jī)或和路由系統(tǒng);廣義上還包括整個(gè)網(wǎng)絡(luò)的安全

23、策略和安全行為。防火墻技術(shù)屬于被動防衛(wèi)型,它通過在網(wǎng)絡(luò)邊界上建立一個(gè)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的,其功能是按照設(shè)定的條件對通過的信息進(jìn)行檢查和過濾。防火墻是實(shí)施組織的網(wǎng)絡(luò)安全策略、保護(hù)內(nèi)部信息的第一道屏障,其作用主要有:保護(hù)功能拒絕非授權(quán)訪問、保護(hù)網(wǎng)絡(luò)系統(tǒng)和私人及敏感信息不受侵害。連接功能作為內(nèi)部網(wǎng)絡(luò)與Internet 之間的單一連接點(diǎn)。管理功能實(shí)施統(tǒng)一的安全策略,檢查網(wǎng)絡(luò)使用情況,進(jìn)行流量控制等。防火墻有三個(gè)屬性:所有進(jìn)出內(nèi)部網(wǎng)的數(shù)據(jù)包必須經(jīng)過它;僅被本地安全策略所授權(quán)的數(shù)據(jù)包才能通過它;防火墻本身對攻擊必須具有免疫能力。在學(xué)院和外網(wǎng)的連接中,我們推薦使用硬件防火墻。比如CISC

24、O ASA5510-BUN-K9系列:并發(fā)連接數(shù) 130000網(wǎng)絡(luò)吞吐量(Mbps 300安全過濾帶寬 170Mbps網(wǎng)絡(luò)端口 3+1個(gè)管理快速以太網(wǎng)端口、可升級到5個(gè)快速以太網(wǎng)端口、1個(gè)SSM 擴(kuò)展插槽用戶數(shù)限制無用戶數(shù)限制入侵檢測 DoS安全標(biāo)準(zhǔn)UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001控制端口console管理思科安全管理器 (CS-Manager VPN支持選擇該型號是因?yàn)閮r(jià)格適中,且功能齊全,較適合本校園網(wǎng)建設(shè)。在內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間之間通過防火墻,建立起一個(gè)DMZ 區(qū)。與外網(wǎng)關(guān)聯(lián)業(yè)務(wù)的服務(wù)器都可以

25、放在DMZ 區(qū),Internet 上的用戶只能到達(dá)DMZ區(qū)相應(yīng)的服務(wù)器。并且內(nèi)部網(wǎng)絡(luò)到Internet 的連接,是通過NAT 地址翻譯的方式進(jìn)行,可以充分隱藏和保護(hù)內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)設(shè)備。防火墻在內(nèi)外網(wǎng)絡(luò)連接中起兩個(gè)作用:利用訪問控制列表(Access Control List ,ACL實(shí)安全防護(hù)防火墻操作系統(tǒng)IOS 通過訪問控制列表(ACL技術(shù)支持包過濾防火墻技術(shù),根據(jù)事先確定的安全策略建立相應(yīng)的訪問列表,可以對數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制,可以根據(jù)源/目的地址、協(xié)議類型、TCP 端口號進(jìn)行控制。這樣,我們就可以在Extranet 上建立第一道安全防護(hù)墻,屏蔽對內(nèi)部網(wǎng)Intranet 的

26、非法訪問。例如,我們可以通過ACL 限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺或幾臺主機(jī);限制可以被訪問的內(nèi)部主機(jī)的地址;為保證主機(jī)的安全,可以限制外部用戶對主機(jī)的一些危險(xiǎn)應(yīng)用如TELNET 等。利用地址轉(zhuǎn)換(Network Address Translation,NAT實(shí)現(xiàn)安全保護(hù)防火墻另外一個(gè)強(qiáng)大功能就是內(nèi)外地址轉(zhuǎn)換。進(jìn)行IP 地址轉(zhuǎn)換由兩個(gè)好處:其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP 地址,這可以使黑客(hacker無法直接攻擊內(nèi)部網(wǎng)絡(luò),因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的IP 地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);另一個(gè)好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案,而不必考慮與外界地址沖突的情況。地址轉(zhuǎn)換(NAT技術(shù)運(yùn)用在內(nèi)

27、部主機(jī)與外部主機(jī)之間的互相訪問的時(shí)候,當(dāng)內(nèi)部訪問者想通過路由器外出時(shí),路由器首先對其進(jìn)行身份認(rèn)證-通過訪問列表(ACL核對其權(quán)限,如果通過,則對其進(jìn)行地址轉(zhuǎn)換,使其以一個(gè)對外公開的地址訪問外部網(wǎng)絡(luò);當(dāng)外部訪問者想進(jìn)入內(nèi)部網(wǎng)時(shí),路由器同樣首先核對其訪問權(quán)限,然后根據(jù)其目的地址(外部公開的地址,將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換的相應(yīng)的內(nèi)部主機(jī)。在XX學(xué)院網(wǎng)絡(luò)工程和今后各種應(yīng)用系統(tǒng)的建設(shè)過程中,在局域網(wǎng)上我們可以根據(jù)不同部門、不同業(yè)務(wù)類別劃分VLAN(虛網(wǎng),通過把不同系統(tǒng)劃分在不同VLAN 的方式,將各系統(tǒng)完全隔離,實(shí)現(xiàn)對跨系統(tǒng)訪問的控制,既保證了安全性,也提高了可管理性。VLAN(虛網(wǎng)技術(shù)和VLAN 路

28、由技術(shù)VLAN 技術(shù)用以實(shí)現(xiàn)對整個(gè)局域網(wǎng)的集中管理和安全控制。CISCO 局域網(wǎng)交換機(jī)的一大優(yōu)勢是具備跨交換機(jī)的VLAN(虛網(wǎng)劃分和VLAN 路由功能。虛網(wǎng)是將一個(gè)物理上連接的網(wǎng)絡(luò)在邏輯上完全分開,這種隔離不僅是數(shù)據(jù)訪問的隔離,也是廣播域的隔離,就如同是物理上完全分離的網(wǎng)絡(luò)一樣,是一種安全的防護(hù)。通過VLAN 路由實(shí)現(xiàn)對跨部門訪問的控制,既保證了安全性,也提高了可管理性。Inter-VLAN Routing 原理每一個(gè)VLAN 都具有一個(gè)標(biāo)識,不同的VLAN 標(biāo)識亦不相同,交換機(jī)在數(shù)據(jù)鏈路層上可以識別不同的VLAN 標(biāo)識,但不能修改該VLAN 標(biāo)識,只有VLAN標(biāo)識相同的端口才能形成橋接,數(shù)據(jù)

29、鏈路層的連接才能建立,因而不同VLAN的設(shè)備在數(shù)據(jù)鏈路層上是無法連通的。Inter-VLAN Routing 技術(shù)是在網(wǎng)絡(luò)層將VLAN標(biāo)識進(jìn)行轉(zhuǎn)換,使得不同的VLAN 間可以溝通,而此時(shí)基于網(wǎng)絡(luò)層、傳輸層甚至應(yīng)用層的安全控制手段都可運(yùn)用,諸如Access-list (訪問列表限制、FireWall(防火墻、TACACS+等, Inter-VLAN Routing 技術(shù)使我們獲得了對不同VLAN 間數(shù)據(jù)流動的強(qiáng)有力控制。MAC 地址過濾策略在內(nèi)部網(wǎng)中還可以利用Cisco 交換機(jī)的MAC 地址過濾功能對局域網(wǎng)的訪問提供鏈路層的安全控制。MAC 地址過濾能進(jìn)一步實(shí)現(xiàn)對局域網(wǎng)的安全控制。CISCO局域

30、網(wǎng)交換機(jī)具有MAC 地址過濾功能,通過在交換機(jī)上對每個(gè)端口進(jìn)行配置,可以禁止或允許特定MAC 地址的源站點(diǎn)或目的站點(diǎn),從而實(shí)現(xiàn)各站點(diǎn)之間的訪問控制。由于每塊網(wǎng)卡有唯一的MAC 地址,是固定不變的,只允許特定MAC 地址的工作站通過特定的端口進(jìn)行訪問,所以對MAC 地址的訪問控制實(shí)際上就是對指定工作站這一物理設(shè)備的訪問控制,由于MAC 地址的不可改變,與對IP 地址的過濾相比,具有更高的安全性。訪問安全控制從確保網(wǎng)絡(luò)訪問的安全出發(fā),路由器對所有遠(yuǎn)程撥號訪問連接都由Radius設(shè)置AAA(Authentication Authorization Account,即認(rèn)證、授權(quán)、記帳級安全控制,防止非

31、法用戶的訪問。同時(shí),在計(jì)費(fèi)服務(wù)器上,也提供Radius 認(rèn)證方式,兩者可以配合使用。(也可以只采用計(jì)費(fèi)服務(wù)器上的Radius認(rèn)證。具體的實(shí)現(xiàn)細(xì)節(jié)如下:在網(wǎng)絡(luò)中配置一臺安裝Cisco Secure 軟件的服務(wù)器,Cisco Secure 軟件使用Radius(Remote Authentication Dial-in User Service協(xié)議提供對網(wǎng)絡(luò)的安全控制,并對成功連接到網(wǎng)絡(luò)的用戶的操作進(jìn)行記錄。對于遠(yuǎn)程撥號訪問,配置PPP 協(xié)議提供的CHAP(Challenge Handshake Authorization Protocol認(rèn)證協(xié)議,該協(xié)議是一個(gè)基于標(biāo)準(zhǔn)的認(rèn)證服務(wù),而且在傳輸過程中

32、使用加密保護(hù),與在傳輸用戶ID 和口令時(shí)不使用加密的PAP 協(xié)議相比,具有更大的安全性,可提供用戶ID 和口令在傳輸線上的安全保護(hù)。RADIUS 提供的AAA 級安全控制首先根據(jù)用戶名和口令識別在本網(wǎng)絡(luò)中是否允許該用戶訪問,從而決定是否建立連接;其次對經(jīng)過認(rèn)證連接到網(wǎng)絡(luò)的用戶授予相應(yīng)的網(wǎng)絡(luò)服務(wù)級別,提供訪問的限制;最后保留用戶在本網(wǎng)絡(luò)中的所有操作記錄(日志,這些記錄的內(nèi)容包括用戶網(wǎng)絡(luò)地址、用戶名、所使用的服務(wù)、日期和時(shí)間以及用于計(jì)帳的連接時(shí)間、連接位置、數(shù)據(jù)傳輸量、開始時(shí)間和停止時(shí)間等。AAA 在Client/Server 體系中允許在一個(gè)中心數(shù)據(jù)庫中存儲所有的安全息,在一臺裝有Cisco S

33、ecure 軟件的安全服務(wù)器上通過對數(shù)據(jù)庫的修改和維護(hù)就可方便地對整個(gè)系統(tǒng)進(jìn)行很好的安全控制。Cisco Secure 軟件由一個(gè)Daemon 和一個(gè)GUI 兩部分組成。Daemon 的操作依賴于兩個(gè)文件,一個(gè)用于定義所有的系統(tǒng)參數(shù)的控制文件和一個(gè)包含了網(wǎng)絡(luò)用戶所有認(rèn)證和授權(quán)信息的數(shù)據(jù)庫文件。GUI 提供給系統(tǒng)管理員用于維護(hù)認(rèn)證和授權(quán)信息等,網(wǎng)絡(luò)用戶可被分配到具有一系列相同參數(shù)的組,GUI 使系統(tǒng)管理員能夠修改網(wǎng)絡(luò)中任一組和任一用戶的認(rèn)證和授權(quán)參數(shù)。6. IP規(guī)劃與網(wǎng)絡(luò)管理方案6.1 IP設(shè)計(jì)規(guī)劃本方案采用的地址分配方法利用VLSM技術(shù),不僅有大量預(yù)留空間,而且本校園網(wǎng)使用OSPF路由協(xié)議,有

34、層次的IP地址,易于管理,在邊界路由器上可做匯聚(匯聚成10.1.0.0/17網(wǎng)段,減少路由更新大小,提高網(wǎng)絡(luò)性能。如表所示: 網(wǎng)絡(luò)管理性能是衡量一個(gè)網(wǎng)絡(luò)系統(tǒng)性能高低的重要因素之一。網(wǎng)絡(luò)管理系統(tǒng)完成設(shè)置網(wǎng)絡(luò)設(shè)備、監(jiān)控網(wǎng)絡(luò)運(yùn)行、保障網(wǎng)絡(luò)安全,查找并隔離網(wǎng)絡(luò)故障,記錄網(wǎng)絡(luò)中的各種事件以及劃分虛擬網(wǎng)絡(luò)等功能。總之,對所有網(wǎng)絡(luò)上的信息進(jìn)行統(tǒng)一管理。網(wǎng)管通常結(jié)合硬件和軟件的手段來實(shí)施,對不同的拓?fù)浣Y(jié)構(gòu)及不同的物理和邏輯部分進(jìn)行監(jiān)控和分析。OSI 定義網(wǎng)管系統(tǒng)支持傳統(tǒng)五大網(wǎng)管功能:故障管理、配置管理、計(jì)費(fèi)管理、安全管理以及性能管理。這些管理功能由網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)設(shè)備共同完成。結(jié)合校園網(wǎng)的實(shí)際情況,我們認(rèn)為,

35、安全管理與計(jì)費(fèi)管理可以由網(wǎng)絡(luò)管理模塊配合專用的軟(硬件管理產(chǎn)品來共同實(shí)現(xiàn),網(wǎng)絡(luò)管理的主要任務(wù)應(yīng)落實(shí)在故障管理、配置管理和性能管理這三個(gè)方面。1、配置管理網(wǎng)絡(luò)節(jié)點(diǎn)插板、端口和冗余結(jié)構(gòu)的配置和管理;網(wǎng)絡(luò)節(jié)點(diǎn)訪問口令的設(shè)置和更改。2、性能管理可以實(shí)時(shí)連續(xù)地收集網(wǎng)絡(luò)運(yùn)行的相關(guān)數(shù)據(jù),可用數(shù)字和圖形的方式顯示網(wǎng)絡(luò)運(yùn)行的各種情況以及重要程度,需要時(shí)可發(fā)布指令到各節(jié)點(diǎn),進(jìn)行網(wǎng)絡(luò)控制;可從相關(guān)節(jié)點(diǎn)收集業(yè)務(wù)量數(shù)據(jù),進(jìn)行統(tǒng)計(jì)、分類、記錄歸擋。使用這些信息為網(wǎng)絡(luò)建設(shè)提供規(guī)劃設(shè)計(jì)依據(jù)。3、故障管理能實(shí)時(shí)監(jiān)視故障信息,并對其統(tǒng)計(jì)分析;可形成節(jié)點(diǎn)、中繼線及用戶端口的告警產(chǎn)生、告警內(nèi)容和告警清除的統(tǒng)計(jì)報(bào)告。可實(shí)時(shí)修改狀態(tài)圖以

36、反映此故障。校園網(wǎng)網(wǎng)絡(luò)設(shè)備較多但網(wǎng)絡(luò)結(jié)構(gòu)簡單,管理人員不多,比較適合采用集中的管理模式,即由一臺網(wǎng)管主機(jī)(或者備份主機(jī)對整個(gè)網(wǎng)絡(luò)環(huán)境進(jìn)行綜合管理,不需要添加二級管理設(shè)備,管理結(jié)構(gòu)簡單,已于維護(hù)管理。通過仔細(xì)分析校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu),在主要管理產(chǎn)品選型上我們建議采用Cisco 公司基于WINDOWS 2000 的CiscoWorks2000網(wǎng)管軟件實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)設(shè)備的管理。網(wǎng)絡(luò)管理是對網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進(jìn)行有效的監(jiān)視、控制、診斷和測試所采用的技術(shù)和方法。網(wǎng)絡(luò)管理系統(tǒng)的概念模型主要由管理者、管理代理和被管對象等實(shí)體及其相互作用組成。基于SNMP(Simple Network Manageme

37、nt Protocol的網(wǎng)絡(luò)管理系統(tǒng)SNMP 由IETF 提出,主要是為基于TCP/IP 的互連網(wǎng)設(shè)計(jì)的,現(xiàn)在已經(jīng)被其它協(xié)議實(shí)現(xiàn),如IPX/SPX,DECNET 以及APPLETALK 等,它的主要標(biāo)準(zhǔn)由一系列RFC 組成,并得到了網(wǎng)絡(luò)廠商的廣泛支持,成為網(wǎng)絡(luò)管理方面事實(shí)上的標(biāo)準(zhǔn)。目前基于SNMP 的網(wǎng)絡(luò)管理系統(tǒng)已廣泛應(yīng)用于Internet。這里建議采用Cisco Works軟件,因?yàn)樵撥浖赪EB頁面管理,操作簡便,功能齊全,而且是基于標(biāo)準(zhǔn)的多廠商管理軟件。在實(shí)際環(huán)境中,管理者的功能由安裝在網(wǎng)絡(luò)管理中心的網(wǎng)管工作站上的一系列網(wǎng)管軟件完成,它負(fù)責(zé)管理主機(jī)、局域網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)與應(yīng)用和與之相

38、聯(lián)的下級單位的廣域網(wǎng)、局域網(wǎng)等設(shè)備，被管對象指網(wǎng)絡(luò)設(shè)備等網(wǎng)絡(luò)資源。管理者負(fù)責(zé)接 收來自上述各級節(jié)點(diǎn)發(fā)送的網(wǎng)絡(luò)管理信息，并對相關(guān)事件進(jìn)行處理。 應(yīng)用服務(wù)的管理可以采用專用的服務(wù)管理軟件，針對不同的應(yīng)用服務(wù)，進(jìn)行專 業(yè)的監(jiān)控管理。目前，業(yè)界對各種應(yīng)用服務(wù)的管理基本上都有成熟的解決方案。應(yīng) 用服務(wù)的狀態(tài)監(jiān)控主要體現(xiàn)在三個(gè)方面： l 服務(wù)器狀態(tài)的監(jiān)控：主要包括服務(wù)器的各個(gè)性能參數(shù)?？梢圆捎脤Ｓ玫南到y(tǒng) 管理模塊對各個(gè)性能參數(shù)分別監(jiān)控、統(tǒng)一管理。 l 應(yīng)用程序狀態(tài)的監(jiān)控：包括各個(gè)關(guān)鍵服務(wù)的關(guān)鍵應(yīng)用進(jìn)程的健康情況。視需 監(jiān)控的程度和經(jīng)費(fèi)狀況，可以選用專用的監(jiān)控模塊或統(tǒng)一的進(jìn)程監(jiān)控模塊。 l 網(wǎng)絡(luò)狀態(tài)的監(jiān)控：通過上面的網(wǎng)絡(luò)管理