XX学校网络建设设计方案
河北软件职业技术学院
吴梅梅
2010.4.11
目录
一、项目背景 (3)
二、网络拓扑图 (3)
三、设备选型 (4)
1.网络设备 (4)
2.服务器 (4)
3.网管系统 (4)
4.存储设备 (4)
5.安全产品 (5)
6.设备清单 (5)
四、系统实施规划和设计 (5)
1.设备命名规则 (5)
2.VLAN划分原则与规划 (5)
3.IP地址规划 (6)
4.路由协议规划 (9)
5.网络安全规划 (9)
6.VRRP与MSTP (10)
五、施工进度安排 (10)
一、项目背景
某大学有四座普通教学楼、一座多媒体教学楼、一座图书馆、三个学生宿舍,一座办公楼,一座实训楼。为响应信息化建设要求,搞好信息化基础设施建设,现在全校范围内进行网络规划实施。除普通教学楼外,其它地方都需要有网络覆盖。
二、网络拓扑图
三、设备选型
1.网络设备
由于该学校有1558个信息点,核心路由的负担较大,所以我们选择SR6602两台冗余配分,流量负载分担,每台SR6602分别连接一ISP运营商。
核心交换机采用S7502E两台冗余备份,该设备自身具有良好的可靠性设计,支持万兆模块,再加上两台冗余使网络可以达到电信级可靠性,保证业务不间断,同时具有良好的可扩展性。
汇聚层交换机采用S3100系列,能够很好的控制网络拓扑结构的变化,控制路由表的大小,环节核心层的压力,对于流量进行很好的控制,同时实现端口的收敛,实现丰富的业务特性。
接入交换机采用S1656系列,可提供千兆上行接口,提高内网用户,访问内网服务器的速度。
2.服务器
Web服务器、DNS服务器、DHCP服务器和ftp服务器。
3.网管系统
采用H3C iMC在传统的网络管理系统的基础上,实现对IP用户、IP资源和IP业务的统一管理,为客户最终提供一系列面向安全控制、面向性能优化和面向运营管理的整体解决方案。
4.存储设备
H3C EX800:适用于web、数据库存储和多媒体编辑制作等应用系统,可提供中小型系统数据集中、Windows系统保护等。
5.安全产品
H3C SecPath T1000-S入侵防御系统,该设备能精确实时地识别、阻断或限制黑客、蠕虫、病毒、木马DOS/DDOS、扫描、网络钓鱼、网游等网络攻击,还具有实用的带宽管理和url过滤功能,可以为用户网络提供最全面的深度防御。
6.设备清单
四、系统实施规划和设计
1.设备命名规则
为了保证以后管理的方便,采用如下的设备命名方法:AA-BB-CC-DD,其中AA为设备所在网络中的位置,BB为设备的生产商,CC为设备型号,DD为设备的编号。
2.VLAN划分原则与规划
3.IP地址规划
1.设备管理地址
路由器采用LOOPBACK接口地址作为管理地址,交换机采用VLAN 1的地址作为管理地址。
3.业务网段规划
4.路由协议规划
路由协议采用OSPF动态路由协议,路由收敛速度快,不存在路由环路,可以动态感知网络拓扑结构的变化,保证网络业务不间断。
5.网络安全规划
1.NAT规划
NAT技术可以隐藏内部网路,提高内网的安全性,同时NAT可以让内网用户使用一个或几个公网地址就可以接入Internet,节省IP地址的同时也节省了用户投资。
NAT SERVER可以把内网服务器映射到外网,使外网用户通过公网地址就可以访问内网的服务器,提高了内网服务器的安全性。
以上提到的两种NAT技术都在核心路由器上实现。
2.防内网ARP攻击
S3100-EI系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人”攻击。
3.防私设DHCP服务器
S3100-EI系列交换机可以利用DHCP snooping的信任端口特性有效杜绝私
设DHCP服务器,保证DHCP服务器环境的真实性和一致性。
4.访问控制
使用acl访问控制列表实现多媒体教学楼、图书馆实现全天可以访问公网,办公楼上班时间(8:00-12:00,14:00-18:00)不能访问外网的www服务。宿舍楼上休息时间(0:00-6:00)不允许访问任何外网。
6.VRRP与MSTP
VRRP(虚拟路由冗余协议)可以起到设备备份的作用,当一台核心设备坏掉后,另一台设备可以不间断的提供服务,保证业务的不间断性。
MSTP通过采用冗余链路保障网络可靠性,同时还可以根据不同的VLAN制定不同的生成树实例,不同实例间单独计算生成树,保证不同实例有不同的根桥,从而实现在保障链路冗余的同时还可以起到流量负载分担的作用。
五、施工进度安排
