邱雄龍 / 廣東省電子信息技工學(xué)校

?

校園網(wǎng)絡(luò)規(guī)劃設(shè)計

邱雄龍 / 廣東省電子信息技工學(xué)校

【摘 要】本論文主要介紹校園網(wǎng)設(shè)計的目標(biāo)及設(shè)計原則，提出校園網(wǎng)絡(luò)的結(jié)構(gòu)及解決方案。校園網(wǎng)采用三層網(wǎng)絡(luò)結(jié)構(gòu)：接入層、匯聚層、核心層，分為南、北兩個校區(qū)，并各設(shè)立中心機房一個，中心機房之間由光纖連接，互聯(lián)網(wǎng)接入點位于南區(qū)中心機房。校園網(wǎng)主要采用銳捷網(wǎng)絡(luò)設(shè)備，以滿足學(xué)校對網(wǎng)絡(luò)的穩(wěn)定性、安全性、可持續(xù)性、高性能和安全出口的總體需求。

【關(guān)鍵詞】網(wǎng)絡(luò)；交換機；拓?fù)鋱D

前言

在網(wǎng)絡(luò)信息高速發(fā)展的今天，人們對信息的需求越來越迫切，同時網(wǎng)絡(luò)信息傳遞的快捷、穩(wěn)定、安全對學(xué)校的發(fā)展起著越來越重要的作用，為了提高學(xué)校的科研、教學(xué)、管理等各方面的技術(shù)水平，為研究開發(fā)和培養(yǎng)高層次人才建立現(xiàn)代化平臺，建立Intranet技術(shù)的高速多媒體校園網(wǎng)是非常必要的。

1．校園網(wǎng)建設(shè)目標(biāo)

我校是一所以電子專業(yè)為主的學(xué)校，分為南北兩個校區(qū)，校園網(wǎng)規(guī)劃設(shè)計的目標(biāo)是建設(shè)一個高性能，高可靠性，高安全性，靈活性強，擴(kuò)展性好的技術(shù)領(lǐng)先高效的網(wǎng)絡(luò)平臺，要保持在今后3-5年內(nèi)滿足學(xué)校教學(xué)工作的要求和學(xué)校管理需求，同時也要使學(xué)校南北兩個校區(qū)無縫結(jié)合，為全校師生員工提供一個功能完善的教學(xué)、科研、管理的數(shù)字化工作環(huán)境，為學(xué)校提高教學(xué)、科研和管理水平奠定堅實的基礎(chǔ)。

2．校園網(wǎng)規(guī)劃設(shè)計的基本原則

2.1高穩(wěn)定性

校園網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺，平均無故障時間以及故障恢復(fù)時間要保持在足夠容忍的許可范圍之內(nèi)，保障網(wǎng)絡(luò)的穩(wěn)定可靠運行。

2.2高安全性

學(xué)校網(wǎng)絡(luò)用戶容易產(chǎn)生不規(guī)范行為，同時病毒、各類攻擊軟件均可能造成攻擊數(shù)據(jù)流，影響網(wǎng)絡(luò)的正常使用。因此，校園網(wǎng)絡(luò)建設(shè)必須要保證網(wǎng)絡(luò)在遭受攻擊和欺騙情況下，網(wǎng)絡(luò)設(shè)備依然能正常穩(wěn)定的工作，不影響上網(wǎng)用戶的網(wǎng)絡(luò)體驗。

2.3可持續(xù)性

學(xué)?，F(xiàn)正處在高速發(fā)展期，隨著招生人生增加和網(wǎng)絡(luò)覆蓋面積的鋪開，信息點會日益增多，設(shè)計要求可通過靈活的和模塊化的方式平滑升級網(wǎng)絡(luò)功能和擴(kuò)展網(wǎng)絡(luò)規(guī)模，并要保證性能和功能上在今后幾年內(nèi)依然處于較高水平。

2.4高性能

保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)乃俣龋勾罅烤W(wǎng)絡(luò)業(yè)務(wù)能順暢運行。

2.5安全出口

出口設(shè)備要具有出色的防攻擊能力，同時能布署安全策略對出口數(shù)據(jù)進(jìn)行安全過濾和檢查，保證出口的穩(wěn)定運行。對于常見病毒，蠕蟲，非法連接等攻擊行為要阻隔在學(xué)校外。

3．校園網(wǎng)絡(luò)拓?fù)鋱D設(shè)計及簡介

3.1校園網(wǎng)絡(luò)拓?fù)鋱D設(shè)計

3.2網(wǎng)絡(luò)拓?fù)鋱D簡介

根據(jù)校園的實際情況，網(wǎng)絡(luò)分為南北兩個校區(qū)，每個校區(qū)各自部署一臺核心交換機，用于數(shù)據(jù)轉(zhuǎn)發(fā)，同時北校區(qū)的核心與南校區(qū)的核心通過我纖專線互通，統(tǒng)一采用南校區(qū)的網(wǎng)絡(luò)出口。整個校園網(wǎng)采用穩(wěn)定成熟的三層結(jié)構(gòu)設(shè)計，分為接入層、匯聚層、核心層三個層次。本校園網(wǎng)的建設(shè)可為學(xué)校的信息化建設(shè)提供一個優(yōu)秀的網(wǎng)絡(luò)基礎(chǔ)平臺，以滿足后期數(shù)字化校園的發(fā)展。

4．網(wǎng)絡(luò)系統(tǒng)設(shè)計

4．1方案設(shè)計思路

整個方案設(shè)計思路基于職教系統(tǒng)數(shù)字化校園的業(yè)務(wù)構(gòu)架，整體設(shè)計背景如下：

4.2結(jié)構(gòu)設(shè)計思路

4.2.1三層結(jié)構(gòu)設(shè)計

（1）核心交換層

為高速的三層交換骨干，主要任務(wù)為高速數(shù)據(jù)交換，無需開啟影響高速交換性能的安全訪問控制（ACL）等功能。設(shè)備選用銳捷RG-S8610萬兆交換機。

（2）匯聚層

主要完成以下的功能：匯聚各功能區(qū)IP地址或路由；實現(xiàn)各功能區(qū)內(nèi)VLAN間的路由；實現(xiàn)各功能區(qū)到核心層的路由策略。設(shè)備選用銳捷RG-S5750-24SFP/8GT-E

（3）接入層

主要完成以下功能：存儲轉(zhuǎn)發(fā)式，進(jìn)行數(shù)據(jù)高效的轉(zhuǎn)發(fā)；通過VLAN定義實現(xiàn)業(yè)務(wù)劃分，隔離廣播域，減小廣播風(fēng)暴實現(xiàn)QoS，對數(shù)據(jù)包進(jìn)行分類和標(biāo)記（保障數(shù)字廣播、IP電話、視頻會議等業(yè)務(wù)流暢運行）；二層組播功能，實現(xiàn)對組播業(yè)務(wù)（直播、VOD點播等業(yè)務(wù)）的全面支持。設(shè)備選用銳捷RG-S2928G-E、銳捷RG-S2952G-E

4.2.2功能模塊化區(qū)域設(shè)計

（1）出口區(qū)設(shè)計

千兆級出口引擎進(jìn)行出口數(shù)據(jù)的高速轉(zhuǎn)發(fā)，實現(xiàn)學(xué)校校園網(wǎng)和外網(wǎng)互聯(lián)互通，以滿足學(xué)校內(nèi)網(wǎng)用戶與對外網(wǎng)的訪問與高速的數(shù)據(jù)交換。內(nèi)置防火墻上進(jìn)行各類深度檢測、防DDOS攻擊等，有效過濾到外網(wǎng)的各類攻擊，病毒、蠕蟲、掃描、非法連接等非法行為，以保證內(nèi)網(wǎng)的安全。出口區(qū)設(shè)備選用深信服NGAF-1520-M（防火墻）、銳捷EG2000UE（出口網(wǎng)關(guān)）、深信服AC-1800-E（網(wǎng)絡(luò)行為及流量審計）

（2）服務(wù)器區(qū)設(shè)計

服務(wù)器區(qū)為各類服務(wù)器匯集，如FTP、WEB、OA、VOD等服務(wù)器群，服務(wù)器群可直接連接在核心交換機上，實現(xiàn)千兆的數(shù)據(jù)交換。服務(wù)器群放置在中心機房，以便于統(tǒng)一維護(hù)和管理。服務(wù)器選用HP DL388p G8

4.2.3安全穩(wěn)定性設(shè)計

考慮到網(wǎng)絡(luò)平臺對于本校數(shù)字化校園發(fā)展道理的重要性以及學(xué)校自身對網(wǎng)絡(luò)平臺安全穩(wěn)定性的重視，本方案將在網(wǎng)絡(luò)安全穩(wěn)定性上有充分的考慮和設(shè)計。各層次的安全穩(wěn)定性規(guī)劃如下：

（1）接入層：銳捷RG-S2952G-E接入交換機開啟各類安全策略，如：端口安全、防DDOS攻擊、防IP掃描、arp-check等。后期擴(kuò)展可部署802.1X協(xié)議，實現(xiàn)“入網(wǎng)身份認(rèn)證、主機健康檢查、網(wǎng)絡(luò)安全事件監(jiān)控與主動防御”等。

（2）匯聚層：銳捷RG-S5750-24SFP/8GT-E匯聚層交換機實施安全訪問控制（ACL），以實現(xiàn)各類權(quán)限控制與分離。匯聚層交換機開啟安全策略，也可對向核心交換機的非法連接、垃圾數(shù)據(jù)、攻擊報文等進(jìn)行過濾，以保護(hù)核心設(shè)備的安全性。

（3）核心層：銳捷RG-S8610核心交換機整機的穩(wěn)定成熟度很高，加上匯聚層、接入層設(shè)備開啟安全過濾功能，使得方案核心層穩(wěn)定性很高。同時核心交換機開啟其它防掃描、防攻擊的策略，結(jié)合CPP技術(shù)，可確保自身的穩(wěn)定性。

5．校園網(wǎng)方案特點總述

5.1安全可靠

校園網(wǎng)對安全的要求比較高，交換機利用基于協(xié)議、IP、MAC、端口及用戶策略的二到四層以及時間范圍的ACL（接入訪問控制列表）來完成用戶的三層受控互訪，通過對用戶在單位時間內(nèi)的連接數(shù)量的限制，可以提供四層的用戶安全。另外通過在交換機上實現(xiàn)用戶IP地址與MAC地址綁定技術(shù)防止MAC地址、IP地址的盜用。銳捷系列交換機可以監(jiān)視各個端口上發(fā)送和接收廣播包的情況，實現(xiàn)端口保護(hù)，而通過劃分VLAN的方式，實現(xiàn)二層端口的隔離，再通過MAC地址過濾可有效防止地址仿冒。在學(xué)校出口放置一臺防火墻，能很好的保證內(nèi)網(wǎng)的安全性。

5.2網(wǎng)絡(luò)穩(wěn)定可靠

本設(shè)計從設(shè)備類型、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和安全防護(hù)三個方面確保了網(wǎng)絡(luò)的高度穩(wěn)定可靠運行。核心設(shè)備本身提供了關(guān)鍵部件如引擎冗余、電源冗余，以及LPM+HDR等技術(shù)，保障了設(shè)備的正常運行。在網(wǎng)絡(luò)架構(gòu)上也進(jìn)行了全面的冗余設(shè)計，確保單點故障不影響網(wǎng)絡(luò)的正常運轉(zhuǎn)；全局安全網(wǎng)絡(luò)設(shè)計，保證網(wǎng)絡(luò)不受病毒和網(wǎng)絡(luò)攻擊影響，進(jìn)一步提升了網(wǎng)絡(luò)的穩(wěn)定可靠性。

5.3高性能數(shù)據(jù)轉(zhuǎn)發(fā)

高性能的接入、匯聚、核心及出口設(shè)備，保證了全網(wǎng)線速轉(zhuǎn)發(fā)。銳捷RG-S8610萬兆骨干路由交換機提供1.6T背板帶寬，并支持更高帶寬的擴(kuò)展能力，高達(dá)400Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高密度的高速無阻塞數(shù)據(jù)交換。千兆接入也提供給了客戶高速連接網(wǎng)絡(luò)的服務(wù)。

5.4全面冗余設(shè)計，良好可擴(kuò)展性

核心交換機擁有6-10個擴(kuò)展插槽，提供管理模塊冗余、電源冗余，通過靈活性和模塊化的方式平滑升級網(wǎng)絡(luò)功能和擴(kuò)展網(wǎng)絡(luò)規(guī)模，能滿足不斷增長的教學(xué)和管理方面的網(wǎng)絡(luò)需求。

6．結(jié)束語

本設(shè)計方案很好的滿足了學(xué)校教學(xué)和管理的需要，將為廣大師生提供一個高速穩(wěn)定的網(wǎng)絡(luò)平臺和全新的網(wǎng)絡(luò)環(huán)境。在此基礎(chǔ)上還可以實現(xiàn)整個校園的信息化，促進(jìn)資源共享和科研合作，這將極大地提升學(xué)校的辦學(xué)水平，促進(jìn)學(xué)校與社會各界的信息交流分享！

參考文獻(xiàn)：

[1]雷震甲,網(wǎng)絡(luò)工程師教程,清華大學(xué)出版社,2014.7.

[2]王勇,劉曉輝 網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計,科學(xué)出版社,2011.11.

[3]易建勛,計算機網(wǎng)絡(luò)設(shè)計,人民郵電出版社,2011.5.