2015/12/29 16:02:01 数字化校园网络平台升级改造方案

本节主要是郑州职业技术学院数字化校园网络平台升级改造方案为主具体介绍该校数字化校园网络升级改造方案的设计内容与实现方案。

外网/内网改造

综合考虑学校要求,通过配置 1 台万兆交换机 H3C S7510E(1152G 交换容量,773Mpps 包转发率,配置冗余电源)作为整个网络的主核心。核心交换机内置防火墙模块提供高达 6.5G 的吞吐量,内置入侵防御系统模块单板达到 1.2G 的处理能力,内置流量管理和行为审计模块吞吐量高达 2G。

服务器中心交换机 S5100EI 通过 2 条千兆链路捆绑连接到校园网核心交换机;新大楼汇聚交换机 S7503E-S 通过 2 条千兆链路捆绑连接到校园网核心交换机;其他楼宇汇聚交换机分别通过 1 条千兆链路连接到校园网核心交换机;无线控制器WX5002 通过 1 条千兆链路连接到校园网核心交换机;Portal 网关 IAG2000 通过两条千兆链路连接到校园网核心交换机;SSL VPN 网关 F100E(配置 SSL 模块)通过1 条千兆链路连接到校园网核心交换机;安全管理中心 Sec Center 通过 1 条千兆链路连接到校园网核心交换机。

新大楼单独配置一台 S7503E-S(288G 交换容量,178Mpps 包转发率,配置冗余电源)作为汇聚设备,配置 2 块单模模块通过千兆链路捆绑上联到校园网核心交换机。配置 6 块多模模块通过千兆下联到 6 个弱电井。新大楼接入交换机选择S5100-24P-EI(24 个 10/100/1000 电口,4 个千兆 SFP)和 S5100-48P-EI (48 个10/100/1000 电口,4 个千兆 SFP),实现千兆到桌面。

数字化校园网络拓扑图

为了有效屏蔽外部黑客/病毒,针对学校内部服务器/用户的破坏,在核心交换机上专门部署硬件的防火墙插卡和 IPS 插卡。防火墙插卡提供高达 6.5G 的吞吐量,免费支持 256 个虚拟防火墙,针对教学区、内部服务器区、宿舍区、DMZ 区(提供外部访问的服务器)、外部出口 5 个安全区域配置 5 个虚拟防火墙,做到网络层攻击和安全威胁的隔离;IPS 插卡集成了漏洞库、协议库、病毒库,集成专业防毒技术(卡巴斯基),先进的 8 核处理器,确保对 4~7 层的数据流进行深度防御,单板达到 1.2G 的处理能力.

通过部署安全管理中心 Sec Center,提供对全网海量的安全事件(来自 IPS、防火墙等)和日志(交换机、路由器、VPN 等)的集中收集与统一分析,对收集数据高度聚合存储及归一化处理,实时监控全网安全状况,同时能够根据不同用户需求提供丰富的自动报告,提供具有说服力的网络安全状况与政策符合性审计报告,系统自动执行以上收集、监控、告警、报告、归档等所有任务,使 IT 及安全管理员脱离繁琐的手工管理工作,极大提高效率,能够集中精力用于更有价值的活动,保障网络安全。

接入层的网络设计

网络产品均部署在综合楼内,从用户角度出发,综合考虑网络的部署、应用、维护三个层面,H3C 推出了有线无线网络一体化得解决方案。该方案在硬件、安全、管理方面的先进理念,使得整网具备更高的系统容量、性能及可靠性。该方案兼顾用户网络投资和有线网络网络融合应用,解决了现阶段许多用户希望在现有网络系统上搭建网络网络的需求。其特色在于基于交换机的网络控制器插卡,只要在交换机框中插入网络控制器插卡,便能实现从有线网络到网络网络的平滑升级,避免了重新购置独立的网络控制器,有效降低硬件成本的投入。

在大楼总部可以部署一台部署 H3C WX5002 的核心交换机,上联到汇聚交换机,把各楼层带有 POE 功能的 LS-3100-8TP-PWR-EI-H3 交换机与汇聚交换机互联。利用 LS-3100-8TP-PWR-EI-H3 交换机把各楼层的 AP 互联。有线网络网络的互通性,在保障用户原有投资的前提下,使网络网络与原有的有线网络更有效地进行整合,利用已有的有线设备来拓展网络业务,实现网络接入的增值。而其交换机背板提供的稳定可靠的高带宽链路,进一步提升了网络性能,实现了更为顺畅的有线网络一体化应用,支撑企业业务的稳定运行.

同时,基于开放架构的一体化移动网解决方案,实现了安全策略的统一集中部署,减少了维护和管理的工作量。在一体化硬件的基础上,更能够充分发挥网络控制器处理性能高、能力强的优势,能够部署一些复杂的安全策略。  

楼宇汇聚层连接设计

汇聚层设备使用 H3C 三层智能交换机 S7503E 和四 S5500 交换机;每个汇聚层设备均使用 1 条或多条千兆单模光纤端口采用星型组网接入核心层。

楼宇汇聚层业务支持能力设

例如可以提供真正的端到端的组播服务;支持 IP;RIPV1/V2;OSPF,BGP4; IGMP;PIM-DM;PIM-SM;等协议,可以提供良好的端到端的组播特性的支持能力,方便后续开展诸如视频点播等服务能力;通过全网通力配合,可具备如下组播特性:

楼宇汇聚层可靠性设计

H3C S5500 和 S7500 系列可以提高可堆叠交换机的可用性。每个交换机可以充当主控制器和转发处理器。堆叠中的每台交换机都可以充当一个主交换机,从而为网络控制创建了一种 1:N 的可用性机制。在某个单元发生故障时(尽管发生这种情况的可能性很小),所有其他单元都可以继续转发流量和保持正常运行。

楼宇汇聚层兼容性设计

汇聚设备全部支持国际标准,可与业界其他设备无缝集成和对接,例如满足三层交换机的互连互通。3C S5500 和 S7500 可以通过基于硬件的 IPv6 路由,获得最大限度的性能。随着网络设备的增长和对于更大的地址空间和更高的安全性的

需求变得日益迫切,H3C S5500 和 S7500 将可以满足人们的需求,同时支持 IPv6,为将来做好准备。

网络核心层设计

网络核心层采用 H3C S7510E 三层路由交换机。

核心层性能设计

H3C S7510E 骨干智能路由交换机支持 10G 以太网和 10G 广域网接口,720G 大容量交换背板,并且背板采用无源背板技术,加上 H3C 特有的交换网架构,实现了核心设备的无阻塞交换特性,完全分布式交换处理能力有效降低核心设备的转发引擎处理压力,支持大于 400Mpps 高速包转发,充分满足核心业务应用对高端骨干交换机性能的要求。

分布式 L2/3/4 层接口板处理应用流(视频、话音、数据)、重要用户的优先级,支持 NAT、MPLS、VPN、策略路由等应用;支持基于端口、MAC、vlan、IP、应用类型等多种 QOS;支持 8 个优先级队列和 WRED、WRR、PQ、WFQ、FIFO 等流分类、排队、调度和整形机制。赋予交换机高度的智能性,高效支持各种应用业务;75系列设备具有非常强大的 ACL 功能。

核心设备架构设计  

核心交换机背板技术决定了核心产品性能,当其用于网络核心时候甚至直接决定了全网的性能。

核心层可靠性设计

主控引擎、交换引擎、电源、风扇、关键部件的支持冗余备份,尤其在支持核心设备的双机热备份 VRRP 协议时候表现优异,业界同类设备中测试切换不丢包,不会造成业务中断;

全方位的对内容、设备、用户的安全保障,完善的 ACL 访问控制策略的定制,防止非法内容的访问;广播包抑制及广播源定位功能,保障网络设备安全;IP+MAC+端口绑定,支持端口反查技术,迅速定位非法用户,保证网络用户安全。

主机安全解决方案

防止利用共享介质进行网络窃听

在接入网中,用户之间的互访流量比较少,大部分的通信流量都发生在用户和网络中心之间,如:用户和视频点播服务器之间的通信流量,用户通过中心交换机访问 Internet 的通信流量等,大部分的通信流量都涉及用户的私人信息。

防止 DHCP 攻击

对于 DHCP 攻击的防犯,802.1x 认证可以起到很好的防范作用。因为 802.1x认证机制是先通过认证,后给用户分配 IP 地址。当合法用户通过认证后,才有 DHCP的请求过程,并且用户的 MAC 地址、IP 地址等信息会记录在后台信息库上因为其个人信息会记录在案,如果发生攻击可以很好的追查到用户。

防止地址盗用

对于地址的盗用可以采用绑定技术来解决。

要防止 IP 地址的盗用,可以在交换机中将 IP 地址和 MAC 地址绑定在一起,以此来限制用户在登录网络时,只有 IP 和 MAC 地址同时满足预定义的参数时才可以访问网络。

交换机防 DOS 攻击

利用三层交换建立全面的网络安全体系,其基础必须是以三层交换和路由为核心的智能型网络,有完善的三层以上的安全策略管理工具。同时,在网络的设计阶段,就应该进行合理布置。  

用户唯一标识

一般的边缘路由器对于用户上行报文,只根据目的 IP 地址进行转发,不做源地址检查,这是出现网络和用户安全性问题的根本原因所在。对于静态 IP 地址分配方案,接入层交换机可在操作界面中实现用户的 VLAN ID+IP+MAC 绑定关系的指定;对于动态 IP 地址分配方案,在 IP 地址动态分配后,接入层交换机可实现用户的 VLAN ID+IP+MAC 的绑定。VLAN 信息由设备构造,不可仿冒,可作为用户上网的唯一标识。

网络管理安全设计  

H3C 网络管理软件使用灵活的组件技术,支持多种操作平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。

网络集中监视

i MC 网络管理软件提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。


 
QQ在线咨询
销售热线
0371-53302651