一、整体网络设计拓扑图
二、方案描述
结合高校网络的特点,为了便于管理和维护,校园网按照功能划分为6个功能区,分别是:数据中心服务器区(部署在核心机房)、办公区(含1座办公楼、4座教学楼、2座实验楼和1个实训中心)、图书馆区(1座楼)、学生公寓区(8座公寓楼、1座综合服务中心楼)、餐厅单身教师宿舍区(1座餐厅楼、2座单身宿舍楼、1座文印中心楼)、教师家属区(8座楼)。
网络采用分层的网络架构组网,分为核心-汇聚-接入三个层次的组网模式,实现千兆骨干。核心网由2台H3C公司的S7506E高端多业务路由交换机组成。配置24个千兆SFP端口、其中8个Combo接口,用于满足服务器区、办公区、图书馆、学生公寓、餐厅单身宿舍和教师家属区六大功能区汇聚交换机的接入;H3C S7506E通过运营商专线(现有带宽30M)和老校区校园网互联。
S7506E可以提供8个插槽,其中2个插槽用于配置路由处理引擎,剩余6个插槽用于业务板块,S7506E采用全分布式转发方式,可以提供768Gbps的交换容量,包转发性能为492Mpps。该交换机最大支持576个千兆端口、分布式硬件支持IPv6和IPv4,可以完全满足学校平滑的升级到下一代校园网的需求。
为了满足各功能区千兆主干、百兆到桌面的设计要求,汇聚交换机建议采用H3C S5500-28F路由交换机,该交换机提供24个千兆SFP光接口,8个光电复用接口,2个扩展插槽,可扩展万兆模块,将来可平滑升级至万兆网络,使用该交换自带的24个千兆光接口,通过配置光纤模块可上联到核心交换机,下联接入层E系列交换机。H3C S5500-28F具有192Gbps的交换能力、96Mpps包专访率,可完全满足6大功能区高带宽数据交换要求,并且支持IPv6/IPv4双协议栈,可以平滑的升级到下下一代网络Cernet2,从而保护现有投资。
在网络接入层,为满足千兆上联,百兆接入的设计要求,我们建议部署H3C针对教育行业开发的E系列接入交换机,E系列接入交换机是H3C公司为满足教育行业构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品,在满足校园网高性能、高密度的接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性,是理想的校园网接入层交换机。我们建议采用两款型号E126A和E152,分别可24端口和48端口接入,可根据本校的实际规划信息数,灵活配置。在接入层部署该设备可有效杜绝学生私设DHCP服务器,防范基于MAC地址的攻击;设备支持集中式MAC地址认证和802.1x认证,支持用户账号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,结合网管认证计费软件可对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为,支持对Proxy(网络代理)进行有效的管理。
针对数据中心服务器区接入层部署S5120-48P-EI系列交换机,实现GE光纤上行、GE到桌面的解决方案,满足在校师生访问校内服务器共享资源时对数据交换高带宽的业务需求。该交换机具有192G的交换机能力、72Mpps转发能力,支持安全认证协议802.1X、动态ARP检测、组播IGMP Sooping、ACL访问控制列表等丰富的业务特性,可安全、高效的满足数据中心服务器群接入网络的需要。
为了保证高校网络校园网的出口安全,特在外网的出口处部署H3C F1000E千兆防火墙系统,该设备支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;有效保障内网安全。并利用其强大的NAT地址转换功能为内网用户提供高效的互联网接入服务。
现在的网络安全威胁事件绝大多数来源于网络内部,为了保证高校网络校园服务器区及各功能业务区的3-4层网络安全,避免校园网内的用户对服务器区的各种3-4层攻击和威胁,特在核心交换机上部署防火墙板卡,通过在防火墙板卡上划分不同安全区域,将各个功能区根据安全级别进行划分,并设置相应的安全策略,以保证各功能区及关键业务点的安全性。
为实现对校园出口流量带宽的合理分配,对在校学生及教职工的上网行为进行有效管控,在网络出口部署ACG2000应用控制网关。H3C SecPath ACG(Application Control Gateway)是业界识别最全面、控制手段最丰富的高性能应用控制网关,能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制,保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,进而帮助用户全面了解网络应用模型和流量趋势,优化其带宽资源,开展各项业务提供有力的支撑。
为了满足校内师生对无线上网的需求,可采用H3C一体化无线校园解决方案,采用无线控制器+瘦AP的架构组建无线网络,在核心层部署WX5004无线控制器,无线控制器实现无线AP的管理和控制,在室内楼道部署无线AP,实现无线信号的覆盖,无线AP零配置,部署简单;这种组网方式具有组网灵活,业务开展能力强等特点,作为有线网络的有效补充,使校内师生可以更加灵活便捷的使用网络。
H3C一体化无线校园解决方案有效实现了有线和无线网络的融合,通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全,为校园用户提供安全的无线接入。一体化技术的价值还包含组网成本的降低,扩容成本的降低,运营成本的降低,以及业务开展的便利等多个方面。H3C高端无线控制器WX5004最大可接入256个FIT AP,支持5000个无线客户端设备。此外,H3C通过iMC智能网络管理平台为网络管理员提供了图形化、一体化管理能力,可以高效地管理有线/无线网络。
三、网络设计方案特点
根据高校网络具体情况,结合我们对高校校园网应用的理解和建设校园网的经验,设计了高校网络网络建设方案。该方案具有以下特点:
架构——采用大型网络的设计架构,核心-汇聚-接入;
性能——采用较高性能的核心交换机S7506E(交换容量:768G、包转发率:492Mpps)完全满足高校网络校园网快速数据交换和转发;
安全性——选用的所有网络设备都集成基础的安全特性,核心层交换机配置防火墙插卡,可有效防范内网攻击,接入层交换机上支持防ARP欺骗、DHCP服务器欺骗等安全特性,从而保证了高校网络网络的安全性;
扩展性——采用灵活的网络设计架构,模块化的核心设备(S7506E、S5500-28F-EI),支持万兆以太网端口等特性,从而保证了高校网络未来3-5年之内可以平滑的升级到下一代网络;
IPv6——选用的所有网络设备都支持IPv6(S7506E、S5500-28F-EI)及IPv4到IPv6的过渡技术,从而保证了高校网络网络从IPv4到IPv6平滑的过渡;
网络业务分析——所选用的交换机产品都支持远程端口镜像RSPAN,可以将接入端口的流量镜像到核心交换机上,配合流量分析系统,可以对全网业务和流量进行监控、优化部署和恶意攻击监控,满足校园网精细化管理的需要。