某圖書館及園區(qū)管理中心網(wǎng)絡項目解決方案建議書

X341.4.接入交換機采用堆疊的優(yōu)勢52.1.5.采用WX5004無線控制器的優(yōu)勢52.1.6.防火墻+UTM+IPS特征庫的優(yōu)勢6析1.1.建設背景“XX”位于天津市中心城區(qū)和濱海新區(qū)之間，是未來天津國際化和區(qū)域化職能擴展的重要地區(qū)。規(guī)劃和建設好“XX”是實現(xiàn)“雙城、雙港”，形成海河經(jīng)濟帶、文化帶、景觀帶的重要一步。XX項目規(guī)劃選址位于海河中游南岸地區(qū)，周邊緊鄰津南新城、八里臺鎮(zhèn)、天嘉湖、雙港鎮(zhèn)、大寺鎮(zhèn)、軍糧城鎮(zhèn)。規(guī)劃總占地37平方公里，規(guī)劃辦學規(guī)模20萬人，居住人口10萬人。一期規(guī)劃/XX園區(qū)管理中心及圖書館網(wǎng)絡項目解決方案建議書*本工程計算機網(wǎng)絡系統(tǒng)包括園區(qū)管理中心、公共圖書館、核心骨干環(huán)及外網(wǎng)接入。整體網(wǎng)絡規(guī)劃分為有線網(wǎng)絡、無線網(wǎng)絡、網(wǎng)絡管理系統(tǒng)、網(wǎng)絡安全控制系統(tǒng)4個部分。1.2.建設需求需要建設獨立的園區(qū)核心環(huán)網(wǎng)，用于接入園區(qū)管理中心數(shù)據(jù)網(wǎng)、公共圖書館數(shù)據(jù)網(wǎng)和一期入駐的7個高校園區(qū)網(wǎng)。并且采用國際標準化組織通用協(xié)議，保持良好的擴展性。要求環(huán)網(wǎng)設備可以對各個接入單位提供速率控制。建設兩個獨立的局域網(wǎng)，一個為園區(qū)管理中心數(shù)據(jù)網(wǎng)，一個公共圖書館數(shù)據(jù)網(wǎng)，兩個網(wǎng)絡各自成網(wǎng)，分別接入園區(qū)核心環(huán)網(wǎng)。另外本次項目需要部署瘦AP模式的無線接入，同時整網(wǎng)還需要考慮高度的校園網(wǎng)安全性。1.3.建設原則高可靠性――網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證，在網(wǎng)絡設計中選用高可靠性網(wǎng)絡產(chǎn)品，設備充分考慮冗余、容錯能力；合理設計網(wǎng)絡架構，制訂可靠的網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運行。網(wǎng)絡設備在出現(xiàn)故障時應便于診斷和排除，充分體現(xiàn)計算機網(wǎng)絡的高可靠性。技術先進性和實用性――在保證滿足校園業(yè)務、應用系統(tǒng)業(yè)務的同時，要體現(xiàn)出網(wǎng)絡系統(tǒng)的先進性。在網(wǎng)絡設計中要把先進的技術與現(xiàn)有的成熟技術和標準結合起來，充分考慮網(wǎng)絡應用的現(xiàn)狀和未來發(fā)展趨勢。高性能――骨干網(wǎng)絡性能是整個網(wǎng)絡良好運行的基礎，設計中必須保障網(wǎng)絡及設備的高吞吐能力，保證各種信息(數(shù)據(jù)、圖象)的高質(zhì)量傳輸，才能使網(wǎng)絡不成為業(yè)務開展的瓶頸。靈活性及可擴展性――根據(jù)未來業(yè)務的增長和變化，網(wǎng)絡可以平滑地擴充和升級，最大程度的減少對網(wǎng)絡架構和現(xiàn)有設備的調(diào)整。可管理性――對網(wǎng)絡實行集中監(jiān)測、分權管理，并統(tǒng)一分配帶寬資源。選用先進的網(wǎng)絡管理平安全性――制訂統(tǒng)一的網(wǎng)絡安全策略，整體考慮網(wǎng)絡平臺的安全性。保證關鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡提供互聯(lián)和升級的手段(如現(xiàn)有的雙向教學系統(tǒng))，保證各種在用計算機系統(tǒng)(包括工作站、服務器和微機等設備)的互連入網(wǎng)，充分利用現(xiàn)有網(wǎng)絡資源，發(fā)揮主干網(wǎng)的計劃、有步驟地實施，在保證網(wǎng)絡整體性能的前提下，充分利用現(xiàn)有設備或做必要的升級。第2頁,共7頁/XX園區(qū)管理中心及圖書館網(wǎng)絡項目解決方案建議書*2.整體設計2.1.總體設計概述XX核心環(huán)網(wǎng)，園區(qū)管理中心辦公網(wǎng)，圖書館網(wǎng)絡總體設計以高性能、高可靠性、高安全性、良好的可擴展性和可管理為原則。本次網(wǎng)絡建設方案設計兼顧了技術的成熟性、先進性。組網(wǎng)圖如下2.1.1.核心環(huán)網(wǎng)網(wǎng)絡概述H3C設計全新的基于純IP技術的網(wǎng)絡平臺來滿足高校校園網(wǎng)的需求變化。面向網(wǎng)絡資源的有效、高效利用，從網(wǎng)絡架構方面提供優(yōu)化方案，使得校園核心網(wǎng)、接入網(wǎng)具有更高的可靠性和可控性，同時使得網(wǎng)絡結構與布局在結合實際業(yè)務分布的前提下更加合理。本項目設計使用三臺S5500三層交換機各部署一塊萬兆接口板，提供兩個萬兆接口。使用萬兆實現(xiàn)雙環(huán)路核心。園區(qū)管理網(wǎng)、圖書館網(wǎng)絡、校園網(wǎng)和出口都使用雙鏈路連接到核心環(huán)網(wǎng)上的兩個不同節(jié)點，核心環(huán)網(wǎng)能夠防止數(shù)據(jù)環(huán)路引起的廣播風暴，而當以太網(wǎng)環(huán)上一條鏈路斷開時能迅速啟用備份鏈路以恢復環(huán)網(wǎng)上各個節(jié)點之間的通信通路。保證當園區(qū)管理網(wǎng)、圖書館網(wǎng)絡、校園網(wǎng)和出口有單點故障時網(wǎng)絡不會中斷。FSCERNET管理中心網(wǎng)絡示意圖(相當于總圖的左半部分)園區(qū)管理網(wǎng)上端部署一臺F1000-S，使用千兆鏈路連接到中央核心環(huán)網(wǎng)兩個節(jié)點上。負責整個園區(qū)管理網(wǎng)出口安全，防止由外部過來的攻擊同時做內(nèi)部地址轉換。下端使用千兆電接口連接一臺進行整體防御。管理中心辦公網(wǎng)核心介紹IPV便于以后學校中的IP網(wǎng)絡融合。在兩臺核心交換機上分別部署1塊48電兩臺交換機之間進行雙機熱備，任意一臺核心交換機出現(xiàn)故障，另外一臺核心交換機將負責所有的用戶接入。設備單點故障不會影響到整個網(wǎng)絡的運行。網(wǎng)接入層介紹接入交換機使用E552三層千兆交換機。使用兩條千兆鏈路分別連接到兩臺核心交換機。用戶網(wǎng)關設置于核心交換機上。交換機采用堆疊方式組網(wǎng)，多臺設備虛擬成一臺簡化網(wǎng)絡管理，高可靠第3頁,共7頁/XX園區(qū)管理中心及圖書館網(wǎng)絡項目解決方案建議書*性滿足設備1：N的冗余備份。千兆到桌面的設計可以滿足學生們的視頻點播、帶大附件的電子郵機支持IPv6的路由功能，從而實現(xiàn)IPv6報文的三層線速轉發(fā)功能，E552三層交換設備可以防止部署一臺無線控制器WX5004，配置雙電源，提高了無線控制器本身的穩(wěn)定性。無線控制器使用兩條千兆鏈路連接到兩臺核心交換機上。通過無線控制器對網(wǎng)絡中的無線AP進行控制和數(shù)據(jù)轉圖書館網(wǎng)絡示意圖(相當于總圖的右半部分)圖書館的網(wǎng)絡設計與管理中心辦公網(wǎng)類似，網(wǎng)絡出口部署防火墻和UTM+IPS特征庫，實現(xiàn)對群，并對服務器攻擊者來說又增添了一道關卡。2.1.4接入層EARP效防止黑客或攻擊者通過ARP報文實施校園網(wǎng)常見的“中間人”攻擊。支持端口安全特性族，可以有效防范基于MAC地址的攻擊?？梢詫崿F(xiàn)基于MAC地址允許/限制流量，或者設定每個端口允許的MAC地址的最大數(shù)量，使得某個特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由交換機動態(tài)學習，可以保證只有真正的業(yè)務主機才能夠接入網(wǎng)絡，而其他新接入主機即使連接到交換機上也無法獲取地址并毒在VLAN內(nèi)的擴散從而影響所有端口。通過H3C特有的IRF2(智能彈性架構)功分交換機的支持802.11n的無線AP提供足夠大的接入帶寬，避免瓶頸。千兆到桌面的設計可以滿足學生們的視頻點播、帶大附件的電子郵件、文件傳輸器以及WEBgIPv第4頁,共7頁/XX園區(qū)管理中心及圖書館網(wǎng)絡項目解決方案建議書*約了網(wǎng)絡帶寬，增強了IPv6組播信息的安全性，同時也為每臺主機的單獨計費帶來了方便2.1.5核心層核心層兩臺S7510E設置VRRP，終端用戶的網(wǎng)關設置在兩臺核心交換機上，接入設備雙鏈路上聯(lián)，實現(xiàn)鏈路以及設備級冗余備份，避免單點故障，保證業(yè)務的連續(xù)性可靠性。能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴展性等。核心交換機上提供充足的容量、2.1.4.接入交換機采用堆疊的優(yōu)勢H3CE552教育網(wǎng)交換機支持IRF2(第二代智能彈性架構)技術，就是把多臺物理設備互相連接起來，使其虛擬為一臺邏輯設備，也就是說，用戶可以將多臺設備看成一臺單一設備進行管理和使?簡化管理IRF架構形成之后，可以連接到任何一臺設備的任何一個端口就以登錄統(tǒng)一的而不用物理連接到每臺成員設備上分別對它們進行配置和管理。?簡化業(yè)務IRF形成的邏輯設備中運行的各種控制協(xié)議也是作為單一設備統(tǒng)一運行的，并隨著跨設備鏈路聚合技術的應用，可以替代原有的生成樹協(xié)議，這樣就可以省去了設備間大量協(xié)議報文的交互，簡化了網(wǎng)絡運行，縮短了網(wǎng)絡動蕩時的收斂時間。?彈性擴展可以按照用戶需求實現(xiàn)彈性擴展，保證用戶投資。并且新增的設備加入或離開?高可靠IRF的高可靠性體現(xiàn)在鏈路，設備和協(xié)議三個方面。成員設備之間物理端口支選舉新的Master，以保證通過系統(tǒng)的業(yè)務不中斷，從而實現(xiàn)了設備級的1：N備份；IRF系統(tǒng)會有實時的協(xié)議熱備份功能負責將協(xié)議的配置信息備份到其他所有成員設備，從而實現(xiàn)1：N?高性能對于高端交換機來說，性能和端口密度的提升會受到硬件結構的限制，而IRF系統(tǒng)的性能和端口密度是IRF內(nèi)部所有設備性能和端口數(shù)量的總和。因此，IRF技術能夠輕易地將設備的交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高了設備的性能。2.1.5.采用WX5004無線控制器的優(yōu)勢第5頁,共7頁/XX園區(qū)管理中心及圖書館網(wǎng)絡項目解決方案建議書*覆蓋更大的范圍，使無線多媒體應用成為現(xiàn)實。二、提供靈活的數(shù)據(jù)轉發(fā)方式無線業(yè)務流都要到AC進行統(tǒng)一處理，使得AC的轉發(fā)能力很容易成為瓶頸。特別是當通過廣域網(wǎng)方式轉發(fā)時，AP作為數(shù)據(jù)接入設備部署在分支機構，而無線控制器部署在總部，所有用戶數(shù)據(jù)由三、提供基于位置的用戶接入控制出于安全性或計費等的考慮，系統(tǒng)管理員可能希望控制無線用戶接入到網(wǎng)絡中的位置。支持基于AP的用戶接入控制。當無線用戶接入網(wǎng)絡時，可以通過認證服務器向AC下發(fā)允許用戶接入的AP在同一個網(wǎng)段，也可以不在同一個網(wǎng)段，它們之間通過CAPWAP協(xié)議自動建立隧道(該隧道基于2.1.6.防火墻+UTM+IPS特征庫的優(yōu)勢，口靈活智能的NAT轉換，支持支持多種常用轉換，支持多種ALG，指定轉換后地址，靜態(tài)網(wǎng)段地址轉換，雙向地址轉換，支持DNS映射。強大的地址轉換功能有效的解決公網(wǎng)地址匱乏的現(xiàn)狀。二、通過在邊界部署防火墻，主要目的是實現(xiàn)以下三大功能：Internet攻擊的防范：隨著網(wǎng)絡技術不斷的發(fā)展，Internet上的現(xiàn)成的攻擊工具越來越多，而且可以通過Internet廣泛傳播，由此導致Internet上的攻擊行為也越來越多，而且越來越復雜，防火墻必須可以有效的阻擋來自Internet的各種攻擊行為；Internet服務器安全防護：接入Internet后，大都會利用Internet這個大網(wǎng)絡平臺進行信息發(fā)第6頁,共7頁/XX園區(qū)管理中心及圖書館網(wǎng)絡項目解決方案建議書*布和企業(yè)宣傳，需要在Internet邊界部署服務器，因此，必須在能夠提供Internet上的公眾訪問這些服務器的