校园网体系网络设计解决方案.docxVIP

校园网整体网络设计解决方案　一、整体网络设计拓扑图 　二、方案描述 　结合高校网络的特点，为了便于管理和维护，校园网按照功能划分为6个功能区，分别是：数据中心服务器区（部署在核心机房）、办公区（含1座办公楼、4座教学楼、2座实验楼和1个实训中心）、图书馆区（1座楼）、学生公寓区（8座公寓楼、1座综合服务中心楼）、餐厅单身教师宿舍区（1座餐厅楼、2座单身宿舍楼、1座文印中心楼）、教师家属区（8座楼）。 　网络采用分层的网络架构组网，分为核心－汇聚－接入三个层次的组网模式，实现千兆骨干。核心网由2台H3C公司的S7506E高端多业务路由交换机组成。配置24个千兆SFP端口、其中8个Combo接口，用于满足服务器区、办公区、图书馆、学生公寓、餐厅单身宿舍和教师家属区六大功能区汇聚交换机的接入；H3C?S7506E通过运营商专线（现有带宽30M）和老校区校园网互联。 　S7506E可以提供8个插槽，其中2个插槽用于配置路由处理引擎，剩余6个插槽用于业务板块，S7506E采用全分布式转发方式，可以提供768Gbps的交换容量，包转发性能为492Mpps。该交换机最大支持576个千兆端口、分布式硬件支持IPv6和IPv4，可以完全满足学校平滑的升级到下一代校园网的需求。? 　为了满足各功能区千兆主干、百兆到桌面的设计要求，汇聚交换机建议采用H3C?S5500-28F路由交换机，该交换机提供24个千兆SFP光接口，8个光电复用接口，2个扩展插槽，可扩展万兆模块，将来可平滑升级至万兆网络，使用该交换自带的24个千兆光接口，通过配置光纤模块可上联到核心交换机，下联接入层E系列交换机。H3C?S5500-28F具有192Gbps的交换能力、96Mpps包专访率，可完全满足6大功能区高带宽数据交换要求，并且支持IPv6/IPv4双协议栈，可以平滑的升级到下下一代网络Cernet2，从而保护现有投资。 　在网络接入层，为满足千兆上联，百兆接入的设计要求，我们建议部署H3C针对教育行业开发的E系列接入交换机，E系列接入交换机是H3C公司为满足教育行业构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，在满足校园网高性能、高密度的接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的校园网接入层交换机。我们建议采用两款型号E126A和E152，分别可24端口和48端口接入，可根据本校的实际规划信息数，灵活配置。在接入层部署该设备可有效杜绝学生私设DHCP服务器，防范基于MAC地址的攻击；设备支持集中式MAC地址认证和802.1x认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，结合网管认证计费软件可对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为，支持对Proxy（网络代理）进行有效的管理。 　针对数据中心服务器区接入层部署S5120-48P-EI系列交换机，实现GE光纤上行、GE到桌面的解决方案，满足在校师生访问校内服务器共享资源时对数据交换高带宽的业务需求。该交换机具有192G的交换机能力、72Mpps转发能力，支持安全认证协议802.1X、动态ARP检测、组播IGMP?Sooping、ACL访问控制列表等丰富的业务特性，可安全、高效的满足数据中心服务器群接入网络的需要。 　为了保证高校网络校园网的出口安全，特在外网的出口处部署H3C?F1000E千兆防火墙系统，该设备支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application?Specific?Packet?Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；有效保障内网安全。并利用其强大的NAT地址转换功能为内网用户提供高效的互联网接入服务。 　现在的网络安全威胁事件绝大多数来源于网络内部，为了保证高校网络校园服务器区及各功能业务区的3-4层网络安全，避免校园网内的用户对服务器区的各种3-4层攻击和威胁，特在核心交换机上部署防火墙板卡，通过在防火墙板卡上划分不同安全区域，将各个功能区根据安全级别进行划分，并设置相应的安全策略，以保证各功能区及关键业务点的安全性。 　为实现对校园出口流量带宽的合理分配，对在校学生及教职工的上网行为进行有效管控，在网络出口部署ACG2000应用控制网关。H3C?SecPath?ACG（Application?Control?Gateway）是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，进而帮助用户全面了解网络应用