南方翻译学院校园网改造工程改造方案.docVIP

南方翻译学院校园网改造工程 方案设计 设计编号： 建设单位：中国电信股份有限公司渝北分公司 设计单位：重庆市电信规划设计院有限公司 重庆市电信规划设计院有限公司 南方翻译学院校园网改造工程 方案设计 院 主 管： 所 主 管： 项目负责人： 设 计 人： 审 核 人： 重庆市电信规划设计院有限公司 1.设计说明 1.1概述 本文件为南方翻译学院校园网改造工程的方案设计。 1.1.1设计依据 （1）中国电信股份有限公司渝北分公司下达的设计委托。 （2）中华人民共和国信息产业部：《公用计算机互联网工程设计规范》（YD/T5037-2005）。 （3）南方翻译学院提供的相关资料。 （4）建设单位提供的相关资料。 （5）有关设备厂家提供的设备资料。 （6）重庆市电信规划设计院相关设计人员的现场查勘。 1.1.2工程背景 随着20世纪90年代美国所提出的信息高速公路的兴建，西方国家提出了ITE（IT in Education）的概念，ITE主要指信息技术在交友机构中的应用。90年代以来，在我国“教育信息化”的提法也随即出现。2001年7月，教育部在《全国教育事业第十个五年计划》中把教育信息化正式写入文件，教育信息化从此在我国教育机构获得了高度重视和飞速发展。2004年2月10日，教育部在《2003-2007年教育振兴行动计划》中又明确提出实施“教育信息化建设工程”。 高校校园网是高校信息化建设的基础，只有在一个安全可靠、性能良好和管理完善的校园网络上，才能使高校的信息化建设顺利进行。 本文件是为南方翻译学院校园网改造工程的方案性文件。 1.1.3建设范围 本次校园网络改造的建设范围包括：南方翻译学院校区。 1.1.4建设目标 对南方翻译学院校园网进行改造，满足学校用户日益增长的宽带需求。 1.2南翻校园网现状调研 1.2.1南翻校园网现状 南方翻译学院校园网逻辑上采用三级网络结构：核心交换层、业务汇聚层、用户接入层。 南方翻译学院校园电教楼五楼中心机房作为全网的核心节点，在该节点配置1台Quidway S8505以太网交换机作为校园网的核心设备；配置1台阿姆瑞特F1800，作为校园网的出口防火墙；配置1台Quidway ED200，同时配置一台服务器群交换机Quidway S5624设备接入以满足该校园网的资源子网的业务及安全需求；配置一台网管服务器对所有网络设备进行管理和网络监控；在每栋楼的配置相应的汇聚以太网交换机，汇聚用户流量。 南方翻译学院校园网配置的Quidway S8505千兆核心交换机将通过F1800防火墙与重庆电信163本地网渝北节点相应的以太网交换机互联，经重庆电信163网接入Internet。 南方翻译学院校园网各楼层汇聚交换机通过1×GE链路上联至核心交换机。 现在南翻校园网接入认证采用瀚洋认证计费系统，认证方式采用DHCP+WEB portal方式。 1.2.2网络运行状态 目前S8505通过2*GE以端口聚合的方式依次连接到瀚洋计费网关、阿姆瑞特AQ2000流控设备、阿姆瑞特F1800防火墙。 在未加入流控设备之前，出口流量峰值为1.8G，但此时防火墙CPU占用率高达95%，加入流控设备后，出口流量峰值为1.3G，此时流控设备已基本达到性能极限。高峰时段学校同时在线用户为3900-4000用户。 南方翻译学院采用的防火墙为2G吞吐量，150万并发连接数；流控设备为2G吞吐量，100万并发连接数，1.5G管理带宽。 1.2.3南翻校园网存在的问题 DHCP Server为S8505，存在一定的性能瓶颈，且无法控制自设的固定IP和自设的DHCP Server； S8505的ARP表项地址只有4K，分配给业务通道只有3K，而学校高峰时段同时在线用户数为4000，导致部分用户无法连接，目前采用将8-1和8-2的汇聚交换机暂时替换为S3528的方式解决ARP表项地址不足的问题； 根据校园网运行状态，可知目前的流控设备和防火墙设备已到性能的极限，为整个网络的瓶颈； 汇聚层交换机功能较弱，无法进行有效的安全控制； 部分接入交换机型号较老，无法进行VLAN划分。 由于ARP病毒通过发送大量的ARP欺骗报文，造成校园网用户经常性的断线或者无法上网等情况，同时，ARP病毒在网络中的传播速度非常快。 1.3南翻校园网改造方案 1.3.1网络改造方案 由于目前S8505交换机性能有缺陷，汇聚层交换机无法对DHCP和VLAN进行有效管理，建议对南方翻译学院校园拓扑结构及IP地址、VLAN规划不变，更换核心交换机和汇聚交换机。 将核心交换机S8505更换为S9306，将19台3026C更换为S3328TP-EI。S3328交换机可通过建立和维护DHCP Snooping绑定表，侦听接入用户的