收藏
下载资源 加入VIP免费专享

学院网络改造项目实施方案.docx

上传人:scccc 文档编号:13568452 上传时间:2022-01-16 格式:DOCX 页数:10 大小:98.80KB
返回 下载 相关 举报
学院网络改造项目实施方案.docx_第1页
第1页 / 共10页
学院网络改造项目实施方案.docx_第2页
第2页 / 共10页
学院网络改造项目实施方案.docx_第3页
第3页 / 共10页
学院网络改造项目实施方案.docx_第4页
第4页 / 共10页
学院网络改造项目实施方案.docx_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《学院网络改造项目实施方案.docx》由会员分享,可在线阅读,更多相关《学院网络改造项目实施方案.docx(10页珍藏版)》请在三一文库上搜索。

1、学院网络改造实施方案、概述1、工程概况某某学院本次网络改造主要是对学生宿舍网和学校出口网络进行改造.原有的学生宿舍网没有自己单独的核心设备,并且所有的桌面接入交换机均为不可网管设备,无论是从网络稳定性、平安性、可治理性和可控性上都无法得到保证,而出口位置以前没有专门的平安设备,整个校园网的平安也有缺陷.针对这些问题,本次改造增加了一台H3C的高端路由交换机9505作为学生宿舍网的核心,将楼宇接入设备和桌面接入设备更换成了H3C的可网管交换机,并且增加了基于 802.1X技术的cams用户治理系统,对学生上网进行认证和计费. 在出口位置,增加了一台高端的防火墙设备,作为校园网访问公网的边界设备.

2、2、实施原那么网络改造的实施遵循下面三个原那么:以用户需求为指导的原那么由于本次网络改造是对原有网络的升级和扩容,因此,网络的改造首先要深刻理解用户的需求.通过了解目前网络的现状,分析其所存在的缺点,结合用户提出的要求,制定最正确的实施方案,充分发挥出新设备的性能.先进性的原那么目前,某某学院网络在网络性能、可靠性、平安性和可治理性等方面存在一定的缺点,因此网络改造一定要遵循先进性的原那么,弥补现有网络的缺陷,并且能够满足未来3至5年网络应用开展的需求.合理规划、认真实施的原那么在规划过程中,要充分考虑设备、vlan、地址使用的合理性及扩展性.做到既不浪费、有又良好的可扩展性.同时要做到便于治

3、理.实施过程中要注意各种细节问题,多余用户进行沟通,真正做到一丝不苟、认真负责.第10页、网络改造实施方案1、新建网络拓扑情况新建网络将学生宿舍网与办公网在结构上做了别离,学生宿舍网成为一个单独的网络.整个学生宿舍网呈星形结构,分为核心、会聚和接入三层.在逻辑结构上设计为一个大的交 换网络,核心层是一台 H3C的9505路由交换机,既会聚各楼的交换机,又与校园网出口防火墙通过千兆互联.各学生宿舍楼使用一台E328作为楼宇会聚设备,通过千兆光纤链路与核心设备互联,接入层的桌面接入设备为H3C的E126交换机,通过百兆链路与楼宇会聚设备互联.学生宿舍网的网关均设置在9605上,Cams用户治理效劳

4、器直接连接到核心9505上.新建网络的出口位置增加了一台千兆防火墙,连接网通提供的In ternet链路和教育网某某地区的核心设备 Ne40,同时通过千兆连接校园网的 9505和6509,此防火墙的主要任务 是做校园网访问外网的地址转换,并且抵御外部病毒和攻击.新建网络拓扑如下列图所示:CERNET连接到网通InternetCernet 和 Cernet2 均连接到山东大学,通过一条链路双栈互联CERNET2南校区教工宿舍网.教工宿舍会聚设备效劳器区办公核心6509学生核心9505Ne40潍坊地区各高校网络Cams认证效劳器艺体楼餐厅 洗浴中办公楼 图书馆教学8#心豳豳歯歯靄歯麗 教学1#教学

5、2#教学3#教学4#教学5#教学6#教学7#学生宿 1000M155M100MCatalyst2950H3C E328Dr 2133学生宿舍1#舍2#SecGate 3600-G10学生宿舍3#学生宿学生宿舍5#舍7#学生宿学生宿舍4#舍6#学生宿舍8#具体的设备分配见表?设备分配与治理地址表?2、网络设备治理方案新建网络使用的均为可网管设备,为了便于治理,需要对网络设备规定统一的命名规那么、端口描述规那么、端口分配规那么以及治理地址分配规那么.(1) 设备命名为了使设备易于治理与维护,对设备进行合理命名是必要的.按以下规那么命名:核心设备命名:9505的设备名命名为 S9505-WFU会聚与

6、接入设备命名:设备名:ABCD_E_FABCD :设备类型,如接入交换机就命名为E126E:楼宇号;F:交换机序号例如:1号楼的第一台桌面接入交换机E126就命名为E126_1_1#(2) 端口描述为了使用户对网络连接情况更加清楚,对设备接口进行合理描述是必要的.核心设备端口描述:to_A A为楼宇号或设备号 如连接一号楼的端口描述为to_1#会聚设备端口描述:会聚设备的上联端口统一描述为to_9505会聚设备的下联端口描述:to_E126_B B为该楼E126序号接入设备端口描述:上联端口描述为to_E328_C C为会聚设备E328的端口号(3) 核心设备端口分配核心设备9505的端口众多

7、,建立一个详细的设备端口分配表,再结合端口描述,可以使用户非常方便的进行端口治理.详细的核心设备端口分配见附件?核心设备端口分配表?3、VLAN和IP地址规划方案本次网络改造的vlan划分原那么是对vlan进行细分.这样设计的原因是:1) ARP病毒或其它网内病毒呈愈演愈烈之势.一旦一个vlan内部出现了 ARP病毒,那么vlan内所有机器都会受到影响,甚至会影响到交换机的性能.而vlan细分可以把影响面缩小,便于排查中毒机器,同时也限制了病毒的传播.2) 随着多媒体的开展,组播流量将占据越来越大的比重.根据组播原理,组播流量到了二层vlan内部,会向网段内部的所有端口发送,一旦流量过大,会影

8、响vlan内部所有机器的正常网络使用,同样也会影响接入交换机的性能.显而易见,把vlan细分,减少一个vlan内的机器数量,就可以有效地限制 vlan内部的组播流量.3把vlan细分,便于进行访问限制和效劳质量保证.具体的分配原那么是:1、2号楼各划分9个vlan3号楼划分21个vlan4号楼划分20个vlan5号楼分为两局部接入到核心设备,一局部划分18个vlan,另一局部划分10个vlan6号楼也分为两局部接入到核心设备,每一局部各划分12个vlan7号楼划分12个vlan8号楼划分17个vlan对于效劳器,单独设置一个效劳器vlan.为实现网络可治理的要求,在每一栋学生宿舍楼上增加了一个

9、网络治理VLAN 5、6号楼每局部增加一个治理 vlan,它不需要分配端口,只作为网络治理用,可以通过telnet或网管软件等方式远程治理和监控交换机,到达可限制、可治理的目的.为实现9505交换机与防火墙的互通,需要在 9505上设置一个互联 VLAN具体的vlan划分见附录?vlan与IP地址划分表?由于学生宿舍网使用的都是私网IP,通过地址转换访问教育网和公网,所以有充足的IP地址可供分配.为了防止IP地址盗用现象,为每一个vlan分配一个C类的地址;为效劳 器网段分配一个 C的地址;为每一个治理 vlan分配64个地址;另外,与防火墙互联的 vlan 分配一个公网地址.IP地址的分配目

10、前采用DHCP动态分配的方式.由于学生宿舍网使用的都是私网IP,并且每个VLAN的IP地址很多,因此使用静态分配地址并且在交换机上进行绑定的方式实 施起来很困难,也会对交换机的性能造成影响.使用动态DHCP分配地址的优点是配置简单,缺点是不利于进行用户定位和事件追踪,但使用cams系统可以查找到用户名与IP地址的对应关系,并可以查看用户上网日志,从而很容易的进行用户定位,所以建议使用 DHCP动态分配地址.由于cams还具备用户名与IP地址绑定的功能,因此今后也可以更改地址分 配方式.具体的IP地址分配见附录?vlan与IP地址划分表?4、平安性实施方案校园网现在对平安性的要求越来越高.校园网

11、的平安性主要分为内网平安和外网平安两局部.一方面,由于网内用户数量众多,用户水平参差不齐,因此校园网内很容易出现病 毒泛滥的情况,个别用户也会出现不良网络行为;另一方面,由于校园网直接与公网相连, 也容易遭受外部病毒侵入或来自外部的攻击.要保证校园网的平安,对这两方面都要有相应的对策.平安性的实施主要包括以下方面:(1) 抵御外网病毒和攻击在校园网出口位置放置防火墙的目的就是要抵御外网病毒和攻击.需要在防火墙上做相应的防病毒限制策略和防攻击策略.(2) 防内网病毒和攻击目前,网络病毒和网络攻击是网络运行面临的重要平安问题,对于某些著名的恶性病毒,如ARP病毒、震荡波、冲击波等,其传播端口是固定

12、的,因此,我们可以设置ACL列表,封掉其传播的端口,这样可以阻止恶性病毒的传播范围,保证网络的平安运行.华为设备有一套通用的防病毒ACL,并可根据用户的要求添加条目.通用ACL为:acl number 3010rule 0 deny udp dest in ati on-port eq 445rule 1 deny udp destination-port eq netbios-nsrule 2 deny udp dest in ati on-port eq n etbios-dgmrule 3 deny udp dest in ati on-port eq n etbios-ss nrule

13、 4 deny udp destination-port eq 1434rule 5 deny tcp dest in ati on-port eq 135rule 6 deny tcp dest in ati on-port eq 139rule 7 deny tcp dest in ati on-port eq 389rule 8 deny tcp dest in ati on-port eq 445rule 9 deny tcp dest in ati on-port eq 636rule 10 deny tcp dest in ati on-port eq 1025rule 11 de

14、ny tcp dest in ati on-port eq 1503rule 12 deny tcp dest in ati on-port eq 3268rule 13 de ny tcp desti natio n-port eq 3269rule 14 deny tcp dest in ati on-port eq 4444rule 15 deny tcp dest in ati on-port eq 5554rule 16 deny tcp dest in ati on-port eq 5800rule 17 deny tcp dest in ati on-port eq 5900ru

15、le 18 deny tcp dest in ati on-port eq 9996rule 19 deny tcp dest in ati on-port eq 6667(3) 口令的平安性口令是保证网络设备的平安的重要保证.设置复杂的口令,可以增加恶意入侵的难度,保证网络设备的平安.建议采用用户名+密码的访问限制策略,增加密码的平安性.为保证口令的平安,建议每隔一段周期,更换设备的密码.(4) TELNET权限的设置通过访问限制列表(ACL),对网络设备的访问权限作出限制, 只允许特定的IP地址Telnet 该设备上.这样能够阻止外网用户访问该网络设备,更能保证网络设备的平安性, 杜绝网络

16、设备的恶意入侵发生.(5) 用户定位和地址追踪如果校园网出现病毒或网络平安事件,往往需要进行病毒源的定位和平安事件责任人的追踪.本次某某学院网络改造充分考虑到了这一点.由于学校用户都是通过地址转换访问公网,因此首先需要开启防火墙的NAT转换日志功能,以便于确定出问题的外网IP与内网IP的对应关系.另外可以利用cams的功能,要求用户在开户时登记详细的信息,包括姓名、学号、单位、宿舍位置 等,同时强制cams的客户端上传IP地址,这样就可以通过上网日志查找到IP地址与用户的对应关系,从而很快确实定用户及其接入位置.(6) NAT转换原那么由于学生宿舍网使用的都是私网IP,因此要访问外网时需要在防

17、火墙上进行NAT转换,同时,由于某某学院既要接教育网,又要接运营商网络,为双出口,所以办公网访问公网时也要经过NAT.并且,在防火墙进行 NAT转换时,需要使用策略路由进行限制.可以通过 访问限制列表来区分访问的是教育网地址还是公网地址,然后通过策略路由选择不同的出 口,分别进行地址转换.5、路由协议实施方案某某学院学生宿舍网络是一个大的交换网络,所有的网关都在核心9505上,因此均属于直联路由.由于 9505只与防火墙连接.因此,无论是访问学校办公网还是访问In ternet,都需要经过防火墙.因此,可以在9505上设置一条默认路由,指向防火墙,相应的,防火墙上设置相应的回程路由.8 QoS

18、实施方案在当前的校园网内,仅仅追求高带宽是远远不够的,由于带宽永远跟不上网络应用的开展.因此,充分合理的利用带宽,保证关键用户和关键应用的效劳质量就显得尤为重要.校园网对QoS主要有以下几点需求:对于流量,尤其是传统的网络应用,如 、E-mail应用等,保证其正常出口带宽对于未知流量,特别是BT流量,限制其带宽对于新兴网络效劳,如视频多媒体效劳,包括网络电视、视频点播等,在不影响传统应用的情况下,提供足够的带宽对于需要与外界尤其是国外学校频繁联系的单位,在出口位置给其预留一定的带宽基于这些需求,在校园网上部署QoS.首先在网络设备上进行流分类即通过ACL对用户和效劳进行细致分类.分类的依据是源

19、IP、目的IP、源端口号、目的端口号、协议号以及某些协议的特征值等,根据分类实施不同的策略.一般的流量TCP端口均在1024以下,另有个别效劳的端口号如SQL Server等在1024之上,但也是固定的,而未知流量主要在1024之上.在交换机上通过ACL进行分类的配置实例:acl n ame qos adva needrule 0 permit tcp destination-port It 1024rule 0 permit tcp desti nati on-port gt 1024进行分类之后,就要在网络的不同层次上实施不同的QoS策略.对于需要保证的业务如流量、实时业务等,在各接入交换

20、机和核心交换机上使用队列机制保证优先转发;对于未知流量,在接入交换机和核心交换机端口上使用CAR技术进行速率限制.保证优先转发的配置实例:in terface GigabitEthernet1/2/2traffic-priority inbound ip-group qos rule 0 system-i ndex 287 remark-policed-service dscp 54traffic-priority inbound ip-group qos rule 1 system-i ndex 288 remark-policed-service dscp 0这个配置是将流量的优先级设高,

21、将未知流量的优先级设低对未知流量进行速率限制的配置实例:in terface GigabitEthernet1/2/2traffic-limit in bou nd ip-group qos rule 1 system-i ndex 289 1000 100000 1000000这个配置是将未知流量的入端口速率限制在1M9、网络治理实施方案本次改造安装的网络治理软件是地纬网络监控系统.该系统基于通用的SNMP协议,支持的功能有:1 网络集中监视能够由用户定制整个校园网的拓扑图以及分层次的校园网内各指定网络局部的详细拓扑图,对网络设备进行定时轮询间隔时间可配置的轮循监视和状态 刷新并表现在网络视

22、图上.2设备状态监控能够通过面板的方式显示设备端口个数、端口种类、各端口的运行状态,能够显示各种设备信息,包括CPU利用率、运行温度,系统信息系统描述、系统标识、端口描述、重启时间、所在地、设备名、联络方式、接口表、IP表、IP路由表等.能够在面板上及时显示设备端口的状态变化.3链路状态监控能够实时的显示链路状态和实时流量.如果链路状态发生变化,嫩够及时的在拓扑图上表达出来.能够对链路流量进行以天、星期、月、年等为单位的统计,以便于网络治理员能够对网络的长期使用状况进行分析.4故障治理如果设备或链路出现故障,能够及时的通过短信等方式提醒网络治理员.并能够告知简要的故障描述.除了安装网管软件外,还要对各交换机进行snmp参数的配置,协助用户熟悉网管软件并画出拓扑图.10、用户治理实施方案本次改造后,学生宿舍网将使用华为-3com的cams用户治理系统来对学生上网进行计费和认证.此系统基于 802.1X技术,可以实现的功能有:1对接入用户进行认证和计费启用cams后,用户只有先通过认证才能访问校园网.计费策略有多种,一般使用包月方式进行计费.Cams会根据用户缴费的时间自动进行计

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 社会民生


经营许可证编号:宁ICP备18001539号-1