網絡設計方案

校園網絡設計方案設計者：王帆2017年11月目錄123....................................................................................................................................114.......................................................................................................................................11.......................................................................................................11...............................................................................111現(xiàn)場施工現(xiàn)場測試521校園網需求分析1.1網絡基本情況某大學具有6個二級學院，分別位于同一個城市的4個園區(qū)中，其中大學與兩個二級學院在一個園區(qū)（園區(qū)1），另外兩個二級學院位于一個園區(qū)（園區(qū)2），而其他兩個學院分別位于園區(qū)3和園區(qū)4。大學已從中國教育科研網（CERNET）有關機構申請了IPV4地址塊58.193.152.0/21。因特網具有統(tǒng)一接口，即通過百兆以太網接入中國教育科研網（CERNET）。大學向因特網發(fā)布信息并為全校提供有關的信息服務，每個二級學院都包含網管中心、院辦公樓、教學樓、實驗樓、干部培訓樓、學生公寓樓等。每個學院也自行向因特網發(fā)布學院信息并負責學院自己的信息服務，每個學院都擁有約1500臺PC。1.2網絡需求分析為提高網絡可靠性及安全性，需要在主干網采用光纖布線。校園網應實現(xiàn)虛擬局域網（VLAN）的功能，以保證全網的良好性能及網絡安全性。主干網交換機應具有很高的包交換速度，整個網絡應具有高速的三層交換功能。主干網絡應該采用成熟的、件，建立完善的網絡管理體系。在設備方面，應選擇有校園網成功案例的網絡廠商的整個業(yè)務網必須具備良好的可管理性,網管系統(tǒng)應具有監(jiān)測、故障診斷、故障隔離、過濾設置等功能,以便于系統(tǒng)的管理和維護。同時應盡可能選取集成度高、模塊2網絡總體設計2.1網絡架構分析現(xiàn)代網絡結構化布線工程中多采用星型結構，主要用于同一樓層，由各個房間的計算機間用集線器或者交換機連接產生的，它具有施工簡單，擴展性高，成本低和可管理性好等優(yōu)點；而校園網在分層布線主要采用樹型結構；每層的集線器或交換機在連接到本樓出口的交換機，各個樓的交換機再連接到園區(qū)通信網中。為了增加網絡的可靠性，四個園區(qū)通信網連成一個環(huán)構成校園網的核心區(qū)域，從而構成了大學校園網的拓補結構。4個校區(qū)的高3選用百兆以太LAN慮整體網絡的高性能和高可靠性。2.2設計思路進行校園網總體設計，首先要進行對象研究和需求調查，明確學校的性質、任務和改革發(fā)展的特點及系統(tǒng)建設的需求和條件，對學校的信息化環(huán)境進行準確的描述；在應用需求分析的基礎上，確定學校Intranet服務類型，進而確定系統(tǒng)建設的具體目標，根據應用需求建設目標和學校主要建筑分布特點，進行系統(tǒng)分析和設計。1、萬兆交換機互聯(lián)各個園區(qū)網選用萬兆交換機互聯(lián)各個園區(qū)網，而不選用高速路由器是因為：①各園區(qū)網均采用的以太網技術體系，兼容性好。②大學將在校園網上開展教學視頻觀摩、遠程聽課等多媒體應用，提供高速率信息通道是必要的。萬兆交換機為三層交換機，是具有選路功能的交換機，在校園網環(huán)境下能夠具有更好的性能。③價格因素。若在覆蓋幾十千米范圍采用高速路由器的話，底層通常要采用SDH技術，這使有關設備的價格要增加2～3倍。盡管高速路由器帶來的對各個園區(qū)有更好的隔離性，在該校園網中用處不大。2、主干網采用公用IP地址相連該校園網從CERNET獲得了IP布信息和聯(lián)系或進行網絡科學研究之用，因此構成校園網IP地址的主體是經過NAT轉換的專用網地址。使用專用網地址不利于與其他大學的學術交流，但也是不得已而為之的方法；另一方面，可能使得校園網受到網絡黑客侵擾會少些。2.3校園網的設計原則（1）先進性原則以先進、成熟的網絡通信技術進行組網，支持數據、語音和視頻圖像等多媒體應用，采用基于交換的技術代替?zhèn)鹘y(tǒng)的基于路由的技術，并且能確保網絡技術和網絡產品在幾年內基本滿足需求。（2）開放性原則校園網的建設應遵循國際標準，采用大多數廠家支持的標準協(xié)議及標準接口，從而為異種機、異種操作系統(tǒng)的互連提供便利和可能。（3）可管理性原則網絡建設的一項重要內容是網絡管理，網絡的建設必須保證網絡運行的可管理性。在優(yōu)秀的網絡管理之下，將大大提高網絡的運行速率，并可迅速簡便地進行網絡故障的診斷。（4）安全性原則4因此所選取的網絡拓撲結構應該能夠容易的進行配置以滿足新的需要。（6）穩(wěn)定性和可靠性2.4.1主干網核心層設計2.4.2園區(qū)內匯聚層設計52.5.1IP地址的分配原則6一步可持續(xù)性發(fā)展。該大學有六個二級學院,每個學院大約1500臺PC,而申請到的IP地址為8*256-2個=2022個,遠小于6*1500臺，所以必須用到NAT技術。學校對外各種INTERNET服務，核心層設備都使用公網IP,普通終端PC使用私網IP，經NAT技術上網。這樣既滿足普通用戶上網需求又可以使服務器正常作用于互聯(lián)網。3.5.2公網地址分配對IP地址塊58.193.152.0/218個二級學院各分配254個IP地址，余下的254個IP地址用于大學校園網主干和科研。大學和同在一園區(qū)的一個二級學院的IP地址分配時應連續(xù)。表IP段2.5.3專用網的IP地址規(guī)劃由于分配給該大學校園網的IPIP地址主要用就需要我們采用NAT技術。每個學院都有1500臺計算機，這里從專用的IP地址段中取出一個B類地址進行規(guī)劃即可。本例我們可以取172.16.0.0/21，將其分配給大學和6個二級學院。每個單位都能夠分配一塊IP地址，其中具有30個子網，每個子網容納的主機數量達8*256-2=2046臺，選用7個子網，分別給大學和二級學院各一個子網。事實上，由于各學院使用的專用IP地址互不相關，可以由各個學院獨立進行規(guī)劃也可。表IP段7圖圖圖8換機我們選擇可網管的交換機。2.7物理/鏈路層配置原則物理/鏈路層配置遵循下面的原則：1.網絡設備互連的物理端口都應該綁定端口的速率和全雙工模式；2.建議所有的VlanVlan都將在匯聚層交換機上終結；3.本實施方案建議不要啟用STP生成樹協(xié)議，由于所有的Vlan都已在匯聚層交換機終結，在二層上并沒有環(huán)路存在，故無必要啟用；如果開啟基于每個Vlan的生成樹協(xié)議，廣播報文將會很多，影響核心交換機性能和網絡收斂時間；4.所有核心層和匯聚層交換機之間的互連端口均設置為Trunk許互連Vlan通過，以應付將來有Vlan穿越核心層這種情況；5.匯聚層交換機和接入交換機之間的互連端口設置為Trunk模式。3網絡安全與管理3.1網絡安全校園網的安全威脅主要來源于兩大塊，一塊是來自于網內，一塊來自于網外。來源于網內的威脅主要是病毒攻擊和黑客行為攻擊。根據統(tǒng)計，威脅校園網安全的攻擊行為大概有全防護體系需要重點關注的地方。3.1.1威脅網絡安全因素分析計算機網絡安全受到的威脅包括：1.“黑客”的攻擊；2.計算機病毒；3.拒絕服務攻擊（DenialofServiceAttack）。3.1.2網絡安全防范措施在不改變原有網絡結構的基礎上實現(xiàn)多種信息安全，保障校園內部網絡安全，我們選購了一套網絡安全防范設備。1瑞星殺毒軟件網絡版1.超強病毒查殺2.智能主動防御3.增強型全網漏洞管理4.強大的網絡管理能力是網絡安全的基礎部署、控制、執(zhí)行、升級、報告和日志、二次開發(fā)。5.兼容多種平臺6.一體化智能服務體系3.2網絡管理9在校園網絡管理方面，為了便于校園網絡管理人員的管理及維護，我們選購Quidview網絡管理軟件。Quidview網絡管理軟件基于靈活的組件化結構，用戶可以根據自己的管理需要和網絡情況靈活選擇自己需要的組件，真正實現(xiàn)“按需建構。Quidview備管理、VPN監(jiān)視與部署、軟件升級管理、配置文件管理、告警和性能管理等功能。支持多種操作系統(tǒng)平臺，并能夠與多種通用網管平臺集成，實現(xiàn)從設備級到網絡級全方位的網絡管理。3.3網絡安全策略配置3.3.1安全接入和配置安全接入和配置是指在物理(控制臺)或邏輯(telnet)端口接入網絡基礎設施設備前必須通過認證和授權限制，從而為網絡基礎設施提供安全性。限制遠程訪問的安全設置方法如下表19保證網絡設備安全的方法建議超時限制設成5分鐘配置Radius來記錄logon/logout地賬戶作應急之用采用ACLIP地址來進行telnetRadius安全紀錄方案；設置超時限制為增加安全,建常規(guī)的SNMP訪問是用ACL限制從特定IP地址來進行SNMP訪問；記議更改缺省的錄非授權的SNMP訪問并禁止非授權的SNMP企圖和攻擊SNMPCommutiy子串設置不同賬號通過設置不同的賬號的訪問權限，提高安全性3.3.2拒絕服務的防止網絡設備拒絕服務攻擊的防止主要是防止出現(xiàn)TCPSYN攻擊等；網絡設備的防TCPSYN的方法主要是配置網絡設備TCPSYN臨界值，若多于這個臨界TCPSYNSmurf攻擊主要是配置網絡設備不轉發(fā)ICMPecho請求(directedbroadcast)和設置ICMP包臨界值，避免成為一個Smurf攻擊的轉發(fā)者、受害者。3.3.3訪問控制1允許從內網訪問internet，端口全開放。2允許從公網到服務器只開放80服務器只開放25和110端口。禁止從公網到內部區(qū)的訪問請求，端口全關閉。104允許從內網訪問DMZ（非軍事）區(qū)，端口全開放5允許從DMZ（非軍事）區(qū)訪問internet，端口全開放6禁止從DMZ（非軍事）區(qū)訪問內網，端口全關閉。3.4電源系統(tǒng)為保證網絡系統(tǒng)的安全運轉及電源發(fā)生故障時重要數據的儲存,須配置具有高可靠性的UPS電源。為此,在網絡中心配置了一套山特C3KVA/2100W的UPS電源。4綜合布線設計4.1綜合布線的設計原則綜合布線同傳統(tǒng)的布線相比較，有著許多優(yōu)越性，是傳統(tǒng)布線所無法比及的。其特點主要表現(xiàn)為它的實用性、功能性、先進性、靈活性、方便性、可靠性、擴展性、開放性、標準化、經濟性和生命周期。而且在設計、施工和維護方面也給人們帶來了許多方便。4.2結構化綜合布線系統(tǒng)的組成及設計綜合布線系統(tǒng)（PDS，PremisesDistributionSystem）是一套開放式的布線系統(tǒng)，可以支持幾乎所有的數據、語音設備及各種通信協(xié)議，同時，由于PDS充分考慮了通信技術的發(fā)展，設計時有足夠的技術儲備，能充分滿足用戶長期的需求，應用范圍十分廣泛。而且結構化綜合布線系統(tǒng)具有高度的靈活性，各種設備位置的改變，局域網的變化，不需重新布線，只要在配線間作適當布線調整即可滿足需求。結構化綜合布線一般劃分為六個子系統(tǒng)。4.2.1工作區(qū)子系統(tǒng)（WorkArea）及其網絡設計工作區(qū)子系統(tǒng)，是由RJ-45跳線與信息插座所連接的設備組成。信息點由標準RJ45冗余。工作區(qū)的終端設備（如：電話機、傳真機）選用安普公司的超五類雙絞線直接與工作區(qū)內的每一個信息插座相連接，或用適配器（如ISDN衡轉換器進行轉換連接到信息插座上。4.2.2配線子系統(tǒng)（Horizontal）及其網絡設計配線子系統(tǒng)，是從工作區(qū)的信息插座開始到管理間子系統(tǒng)的配線架。選擇配線子系統(tǒng)的線纜，要根據建筑物內具體信息點的類型、容量、帶寬和傳輸速率來確定。在配線子系統(tǒng)中推薦采用的雙絞電纜及光纖型號為:安普公司的超五類或六類非屏蔽雙絞線,TCL室內單?；蚨嗄９饫w。雙絞線水平布線鏈路中，水平電纜的長度為90m。若使用100UTP雙絞線作為配線子系統(tǒng)的線纜，可根據信息點類型的不同采用不同類型的電纜。該方案選擇安普公司的超五類非屏蔽雙絞線纜。114.2.3干線子系統(tǒng)（Backbone）及其網絡設計干線子系統(tǒng)，負責連接管理子系統(tǒng)到設備間子系統(tǒng)的子系統(tǒng)。干線子系統(tǒng)可以使用的線纜主要有：HAY三類大對數電纜；安普公司的超五類或六類雙絞線；TCL室內單?；蚨嗄９饫w。該方案選擇安普公司的超六類雙絞線纜。把各分層配線架與主配線架相連。用主干電纜提供樓層之間通信的通道，使整個布線系統(tǒng)組成一個有機的整體。垂直干線子系統(tǒng)Topology結構采用分層星型拓撲結構，每個樓層配線間均需采用垂直主干線纜連接到大樓主設備間。垂直主干采用25對大對數線纜時，每條25對大對數線纜對于某個樓層而言是不可再分的單位。垂直主干線纜和水平系統(tǒng)線纜之間的連接需要通過樓層管理間的跳線來實現(xiàn)。4.2.4設備間子系統(tǒng)（EquipmentRoom）及其網絡設計設備間子系統(tǒng)，由電纜、連接器和相關支撐硬件組成。采用BIX跳接式配線架，連接交換機；采用光纖終結架連接主機及網絡設備。設備間的主要設備有數字程控交換機、計算機網絡設備、服務器、樓宇自控設備主機等等。它們可以放在一起，也可分別設置。在較大型的綜合布線中，可以將計算機設備、數字程控交換機、樓宇自控設備主機分別設置機房，把與綜合布線密切相關的硬件設備放置在設備間，計算機網絡設備的機房放在距離設備間不遠的位置。建筑自動化和保安系統(tǒng)，及通過垂直干線子系統(tǒng)連接至管理子系統(tǒng)。4.2.5管理子系統(tǒng)（Administration）及其網絡設計管理子系統(tǒng)，由交連、互連和I/O組成。管理是針對設備間、電信間和工作區(qū)的配線設備、纜線等設施，按-定的模式進行標識和記錄的規(guī)定。跳線采用超5類非屏段，它是連接垂直干線子系統(tǒng)和水平干線子系統(tǒng)的設備。管理子系統(tǒng)由交連、互連和輸入/輸出組成，實現(xiàn)配線管理，為連接其它子系統(tǒng)提供手段。包括配線架、跳線設置各子系統(tǒng)的部件。安普公司的綜合布線解決方案擁有搭配科學、管理簡便的成套產品用于管理子系統(tǒng)。4.2.6建筑群子系統(tǒng)（CampusSubsystem）及其網絡設計建筑群子系統(tǒng)是實現(xiàn)建筑之間的相互連接，提供樓群之間通信設施所需的硬件。建筑群之間可以采用有線通信的手段，也可采用微波通信、無線電通信的手段。傳輸介質采用室外六芯多模光纖。建筑群子系統(tǒng)介質選擇原則：樓和樓之間在二公里以內、傳輸介質為室外光纖、可采用埋入地下或架空(4M系統(tǒng)施工要點：包括路由起點、終點；線纜長度、入口位置、媒介類型、所需勞動費用以及材料成本計算。建筑群子系統(tǒng)所在的空間還有對門窗、天花板、電源、照明、接地的要求。建筑群子系統(tǒng)的設計：3號樓、5號樓與辦公樓之間由于距離較遠，采用單模光12纖連接；3號樓使用多模光纖連至1號樓、2號樓、公共衛(wèi)生學院、電鏡樓和由5號樓使用多模光纖連至6號樓、7號樓和研究生樓；圖書館與辦公樓距離較近，采用千兆以太網連接。考慮近期學校使用、設備投資、距離超長等各種因素，采用多模光纖和單模光纖混合的方式連接，并在每個建筑物內預留了多模光纖，以備將來整個網絡系統(tǒng)的發(fā)展。4.2.7進線間子系統(tǒng)及其網絡設計進線間一個建筑物宜設置1個，一般位于地下層，外線宜從兩個不同的路由引入進線間，有利于與外部管道溝通。進線間與建筑物紅外線范圍內的人孔或手孔采用管道或通道的方式互連。進線間因涉及因素較多，難以統(tǒng)-提出具體所需面積，可根據建筑物實際情況，并參照通信行業(yè)和國家的現(xiàn)行標準要求進行設計，本規(guī)范只提出原則要求。4.3防雷系統(tǒng)由于機房雷電防護系統(tǒng)對所保護系統(tǒng)的業(yè)務正常運行具有非常重要的作用,因此雷電防護系統(tǒng)應具備先進性、可靠性、易維護、易升級等方面的突出特性。主要保護對象為信息中心機房具體措施:對于采用光纖通信的線路可以不另外加裝防雷器,只需在光纖入戶端DDN等,因加裝RJ45-ISDN/4-F通訊專線防雷器一套。4.4在施工中注意事項4.4.1工程施工前準備材質、規(guī)格、型號及孔徑壁厚應符合設計文件的規(guī)定和質量標準。編制施工方案、工程預算及材料