某圖書(shū)館及園區(qū)管理中心網(wǎng)絡(luò)項(xiàng)目解決方案建議書(shū)

X341.4.接入交換機(jī)采用堆疊的優(yōu)勢(shì)52.1.5.采用WX5004無(wú)線控制器的優(yōu)勢(shì)52.1.6.防火墻+UTM+IPS特征庫(kù)的優(yōu)勢(shì)6析1.1.建設(shè)背景“XX”位于天津市中心城區(qū)和濱海新區(qū)之間，是未來(lái)天津國(guó)際化和區(qū)域化職能擴(kuò)展的重要地區(qū)。規(guī)劃和建設(shè)好“XX”是實(shí)現(xiàn)“雙城、雙港”，形成海河經(jīng)濟(jì)帶、文化帶、景觀帶的重要一步。XX項(xiàng)目規(guī)劃選址位于海河中游南岸地區(qū)，周邊緊鄰津南新城、八里臺(tái)鎮(zhèn)、天嘉湖、雙港鎮(zhèn)、大寺鎮(zhèn)、軍糧城鎮(zhèn)。規(guī)劃總占地37平方公里，規(guī)劃辦學(xué)規(guī)模20萬(wàn)人，居住人口10萬(wàn)人。一期規(guī)劃/XX園區(qū)管理中心及圖書(shū)館網(wǎng)絡(luò)項(xiàng)目解決方案建議書(shū)*本工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)包括園區(qū)管理中心、公共圖書(shū)館、核心骨干環(huán)及外網(wǎng)接入。整體網(wǎng)絡(luò)規(guī)劃分為有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、網(wǎng)絡(luò)管理系統(tǒng)、網(wǎng)絡(luò)安全控制系統(tǒng)4個(gè)部分。1.2.建設(shè)需求需要建設(shè)獨(dú)立的園區(qū)核心環(huán)網(wǎng)，用于接入園區(qū)管理中心數(shù)據(jù)網(wǎng)、公共圖書(shū)館數(shù)據(jù)網(wǎng)和一期入駐的7個(gè)高校園區(qū)網(wǎng)。并且采用國(guó)際標(biāo)準(zhǔn)化組織通用協(xié)議，保持良好的擴(kuò)展性。要求環(huán)網(wǎng)設(shè)備可以對(duì)各個(gè)接入單位提供速率控制。建設(shè)兩個(gè)獨(dú)立的局域網(wǎng)，一個(gè)為園區(qū)管理中心數(shù)據(jù)網(wǎng)，一個(gè)公共圖書(shū)館數(shù)據(jù)網(wǎng)，兩個(gè)網(wǎng)絡(luò)各自成網(wǎng)，分別接入園區(qū)核心環(huán)網(wǎng)。另外本次項(xiàng)目需要部署瘦AP模式的無(wú)線接入，同時(shí)整網(wǎng)還需要考慮高度的校園網(wǎng)安全性。1.3.建設(shè)原則高可靠性――網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯(cuò)能力；合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備在出現(xiàn)故障時(shí)應(yīng)便于診斷和排除，充分體現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的高可靠性。技術(shù)先進(jìn)性和實(shí)用性――在保證滿足校園業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。高性能――骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息(數(shù)據(jù)、圖象)的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開(kāi)展的瓶頸。靈活性及可擴(kuò)展性――根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整?？晒芾硇渊D―對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平安全性――制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。保證關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)提供互聯(lián)和升級(jí)的手段(如現(xiàn)有的雙向教學(xué)系統(tǒng))，保證各種在用計(jì)算機(jī)系統(tǒng)(包括工作站、服務(wù)器和微機(jī)等設(shè)備)的互連入網(wǎng)，充分利用現(xiàn)有網(wǎng)絡(luò)資源，發(fā)揮主干網(wǎng)的計(jì)劃、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有設(shè)備或做必要的升級(jí)。第2頁(yè),共7頁(yè)/XX園區(qū)管理中心及圖書(shū)館網(wǎng)絡(luò)項(xiàng)目解決方案建議書(shū)*2.整體設(shè)計(jì)2.1.總體設(shè)計(jì)概述XX核心環(huán)網(wǎng)，園區(qū)管理中心辦公網(wǎng)，圖書(shū)館網(wǎng)絡(luò)總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性和可管理為原則。本次網(wǎng)絡(luò)建設(shè)方案設(shè)計(jì)兼顧了技術(shù)的成熟性、先進(jìn)性。組網(wǎng)圖如下2.1.1.核心環(huán)網(wǎng)網(wǎng)絡(luò)概述H3C設(shè)計(jì)全新的基于純IP技術(shù)的網(wǎng)絡(luò)平臺(tái)來(lái)滿足高校校園網(wǎng)的需求變化。面向網(wǎng)絡(luò)資源的有效、高效利用，從網(wǎng)絡(luò)架構(gòu)方面提供優(yōu)化方案，使得校園核心網(wǎng)、接入網(wǎng)具有更高的可靠性和可控性，同時(shí)使得網(wǎng)絡(luò)結(jié)構(gòu)與布局在結(jié)合實(shí)際業(yè)務(wù)分布的前提下更加合理。本項(xiàng)目設(shè)計(jì)使用三臺(tái)S5500三層交換機(jī)各部署一塊萬(wàn)兆接口板，提供兩個(gè)萬(wàn)兆接口。使用萬(wàn)兆實(shí)現(xiàn)雙環(huán)路核心。園區(qū)管理網(wǎng)、圖書(shū)館網(wǎng)絡(luò)、校園網(wǎng)和出口都使用雙鏈路連接到核心環(huán)網(wǎng)上的兩個(gè)不同節(jié)點(diǎn)，核心環(huán)網(wǎng)能夠防止數(shù)據(jù)環(huán)路引起的廣播風(fēng)暴，而當(dāng)以太網(wǎng)環(huán)上一條鏈路斷開(kāi)時(shí)能迅速啟用備份鏈路以恢復(fù)環(huán)網(wǎng)上各個(gè)節(jié)點(diǎn)之間的通信通路。保證當(dāng)園區(qū)管理網(wǎng)、圖書(shū)館網(wǎng)絡(luò)、校園網(wǎng)和出口有單點(diǎn)故障時(shí)網(wǎng)絡(luò)不會(huì)中斷。FSCERNET管理中心網(wǎng)絡(luò)示意圖(相當(dāng)于總圖的左半部分)園區(qū)管理網(wǎng)上端部署一臺(tái)F1000-S，使用千兆鏈路連接到中央核心環(huán)網(wǎng)兩個(gè)節(jié)點(diǎn)上。負(fù)責(zé)整個(gè)園區(qū)管理網(wǎng)出口安全，防止由外部過(guò)來(lái)的攻擊同時(shí)做內(nèi)部地址轉(zhuǎn)換。下端使用千兆電接口連接一臺(tái)進(jìn)行整體防御。管理中心辦公網(wǎng)核心介紹IPV便于以后學(xué)校中的IP網(wǎng)絡(luò)融合。在兩臺(tái)核心交換機(jī)上分別部署1塊48電兩臺(tái)交換機(jī)之間進(jìn)行雙機(jī)熱備，任意一臺(tái)核心交換機(jī)出現(xiàn)故障，另外一臺(tái)核心交換機(jī)將負(fù)責(zé)所有的用戶接入。設(shè)備單點(diǎn)故障不會(huì)影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行。網(wǎng)接入層介紹接入交換機(jī)使用E552三層千兆交換機(jī)。使用兩條千兆鏈路分別連接到兩臺(tái)核心交換機(jī)。用戶網(wǎng)關(guān)設(shè)置于核心交換機(jī)上。交換機(jī)采用堆疊方式組網(wǎng)，多臺(tái)設(shè)備虛擬成一臺(tái)簡(jiǎn)化網(wǎng)絡(luò)管理，高可靠第3頁(yè),共7頁(yè)/XX園區(qū)管理中心及圖書(shū)館網(wǎng)絡(luò)項(xiàng)目解決方案建議書(shū)*性滿足設(shè)備1：N的冗余備份。千兆到桌面的設(shè)計(jì)可以滿足學(xué)生們的視頻點(diǎn)播、帶大附件的電子郵機(jī)支持IPv6的路由功能，從而實(shí)現(xiàn)IPv6報(bào)文的三層線速轉(zhuǎn)發(fā)功能，E552三層交換設(shè)備可以防止部署一臺(tái)無(wú)線控制器WX5004，配置雙電源，提高了無(wú)線控制器本身的穩(wěn)定性。無(wú)線控制器使用兩條千兆鏈路連接到兩臺(tái)核心交換機(jī)上。通過(guò)無(wú)線控制器對(duì)網(wǎng)絡(luò)中的無(wú)線AP進(jìn)行控制和數(shù)據(jù)轉(zhuǎn)圖書(shū)館網(wǎng)絡(luò)示意圖(相當(dāng)于總圖的右半部分)圖書(shū)館的網(wǎng)絡(luò)設(shè)計(jì)與管理中心辦公網(wǎng)類似，網(wǎng)絡(luò)出口部署防火墻和UTM+IPS特征庫(kù)，實(shí)現(xiàn)對(duì)群，并對(duì)服務(wù)器攻擊者來(lái)說(shuō)又增添了一道關(guān)卡。2.1.4接入層EARP效防止黑客或攻擊者通過(guò)ARP報(bào)文實(shí)施校園網(wǎng)常見(jiàn)的“中間人”攻擊。支持端口安全特性族，可以有效防范基于MAC地址的攻擊?？梢詫?shí)現(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個(gè)端口允許的MAC地址的最大數(shù)量，使得某個(gè)特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)，可以保證只有真正的業(yè)務(wù)主機(jī)才能夠接入網(wǎng)絡(luò)，而其他新接入主機(jī)即使連接到交換機(jī)上也無(wú)法獲取地址并毒在VLAN內(nèi)的擴(kuò)散從而影響所有端口。通過(guò)H3C特有的IRF2(智能彈性架構(gòu))功分交換機(jī)的支持802.11n的無(wú)線AP提供足夠大的接入帶寬，避免瓶頸。千兆到桌面的設(shè)計(jì)可以滿足學(xué)生們的視頻點(diǎn)播、帶大附件的電子郵件、文件傳輸器以及WEBgIPv第4頁(yè),共7頁(yè)/XX園區(qū)管理中心及圖書(shū)館網(wǎng)絡(luò)項(xiàng)目解決方案建議書(shū)*約了網(wǎng)絡(luò)帶寬，增強(qiáng)了IPv6組播信息的安全性，同時(shí)也為每臺(tái)主機(jī)的單獨(dú)計(jì)費(fèi)帶來(lái)了方便2.1.5核心層核心層兩臺(tái)S7510E設(shè)置VRRP，終端用戶的網(wǎng)關(guān)設(shè)置在兩臺(tái)核心交換機(jī)上，接入設(shè)備雙鏈路上聯(lián)，實(shí)現(xiàn)鏈路以及設(shè)備級(jí)冗余備份，避免單點(diǎn)故障，保證業(yè)務(wù)的連續(xù)性可靠性。能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。核心交換機(jī)上提供充足的容量、2.1.4.接入交換機(jī)采用堆疊的優(yōu)勢(shì)H3CE552教育網(wǎng)交換機(jī)支持IRF2(第二代智能彈性架構(gòu))技術(shù)，就是把多臺(tái)物理設(shè)備互相連接起來(lái)，使其虛擬為一臺(tái)邏輯設(shè)備，也就是說(shuō)，用戶可以將多臺(tái)設(shè)備看成一臺(tái)單一設(shè)備進(jìn)行管理和使?簡(jiǎn)化管理IRF架構(gòu)形成之后，可以連接到任何一臺(tái)設(shè)備的任何一個(gè)端口就以登錄統(tǒng)一的而不用物理連接到每臺(tái)成員設(shè)備上分別對(duì)它們進(jìn)行配置和管理。?簡(jiǎn)化業(yè)務(wù)IRF形成的邏輯設(shè)備中運(yùn)行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運(yùn)行的，并隨著跨設(shè)備鏈路聚合技術(shù)的應(yīng)用，可以替代原有的生成樹(shù)協(xié)議，這樣就可以省去了設(shè)備間大量協(xié)議報(bào)文的交互，簡(jiǎn)化了網(wǎng)絡(luò)運(yùn)行，縮短了網(wǎng)絡(luò)動(dòng)蕩時(shí)的收斂時(shí)間。?彈性擴(kuò)展可以按照用戶需求實(shí)現(xiàn)彈性擴(kuò)展，保證用戶投資。并且新增的設(shè)備加入或離開(kāi)?高可靠IRF的高可靠性體現(xiàn)在鏈路，設(shè)備和協(xié)議三個(gè)方面。成員設(shè)備之間物理端口支選舉新的Master，以保證通過(guò)系統(tǒng)的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備級(jí)的1：N備份；IRF系統(tǒng)會(huì)有實(shí)時(shí)的協(xié)議熱備份功能負(fù)責(zé)將協(xié)議的配置信息備份到其他所有成員設(shè)備，從而實(shí)現(xiàn)1：N?高性能對(duì)于高端交換機(jī)來(lái)說(shuō)，性能和端口密度的提升會(huì)受到硬件結(jié)構(gòu)的限制，而IRF系統(tǒng)的性能和端口密度是IRF內(nèi)部所有設(shè)備性能和端口數(shù)量的總和。因此，IRF技術(shù)能夠輕易地將設(shè)備的交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高了設(shè)備的性能。2.1.5.采用WX5004無(wú)線控制器的優(yōu)勢(shì)第5頁(yè),共7頁(yè)/XX園區(qū)管理中心及圖書(shū)館網(wǎng)絡(luò)項(xiàng)目解決方案建議書(shū)*覆蓋更大的范圍，使無(wú)線多媒體應(yīng)用成為現(xiàn)實(shí)。二、提供靈活的數(shù)據(jù)轉(zhuǎn)發(fā)方式無(wú)線業(yè)務(wù)流都要到AC進(jìn)行統(tǒng)一處理，使得AC的轉(zhuǎn)發(fā)能力很容易成為瓶頸。特別是當(dāng)通過(guò)廣域網(wǎng)方式轉(zhuǎn)發(fā)時(shí)，AP作為數(shù)據(jù)接入設(shè)備部署在分支機(jī)構(gòu)，而無(wú)線控制器部署在總部，所有用戶數(shù)據(jù)由三、提供基于位置的用戶接入控制出于安全性或計(jì)費(fèi)等的考慮，系統(tǒng)管理員可能希望控制無(wú)線用戶接入到網(wǎng)絡(luò)中的位置。支持基于AP的用戶接入控制。當(dāng)無(wú)線用戶接入網(wǎng)絡(luò)時(shí)，可以通過(guò)認(rèn)證服務(wù)器向AC下發(fā)允許用戶接入的AP在同一個(gè)網(wǎng)段，也可以不在同一個(gè)網(wǎng)段，它們之間通過(guò)CAPWAP協(xié)議自動(dòng)建立隧道(該隧道基于2.1.6.防火墻+UTM+IPS特征庫(kù)的優(yōu)勢(shì)，口靈活智能的NAT轉(zhuǎn)換，支持支持多種常用轉(zhuǎn)換，支持多種ALG，指定轉(zhuǎn)換后地址，靜態(tài)網(wǎng)段地址轉(zhuǎn)換，雙向地址轉(zhuǎn)換，支持DNS映射。強(qiáng)大的地址轉(zhuǎn)換功能有效的解決公網(wǎng)地址匱乏的現(xiàn)狀。二、通過(guò)在邊界部署防火墻，主要目的是實(shí)現(xiàn)以下三大功能：Internet攻擊的防范：隨著網(wǎng)絡(luò)技術(shù)不斷的發(fā)展，Internet上的現(xiàn)成的攻擊工具越來(lái)越多，而且可以通過(guò)Internet廣泛傳播，由此導(dǎo)致Internet上的攻擊行為也越來(lái)越多，而且越來(lái)越復(fù)雜，防火墻必須可以有效的阻擋來(lái)自Internet的各種攻擊行為；Internet服務(wù)器安全防護(hù)：接入Internet后，大都會(huì)利用Internet這個(gè)大網(wǎng)絡(luò)平臺(tái)進(jìn)行信息發(fā)第6頁(yè),共7頁(yè)/XX園區(qū)管理中心及圖書(shū)館網(wǎng)絡(luò)項(xiàng)目解決方案建議書(shū)*布和企業(yè)宣傳，需要在Internet邊界部署服務(wù)器，因此，必須在能夠提供Internet上的公眾訪問(wèn)這些服務(wù)器的