大学校园网结构化布线方案样本.doc

目录 1. 网络设计背景 1.1. 背景 1.2. 现有网络概况 1.3. 改造需求 2. 网络设计 2.1. 总体设计 2.2. 主干网络设计 2.3. 低端网络设计 2.4. 应用系统 3. 管理 3.1. 安全机制 3.2. 流量监控 4. 报价 1. 网络设计背景 1.1. 背景 上海外国语大学现有校园网已初具规模，因为中心位置搬迁，用户数目扩展和加强管理等多方面需求，在原有网络基础上进行改造，深入完善，加强安全管理，用户通信监控，提供更多应用服务。 1.2. 现有网络概况 现有网络拓扑结构图所表示。其关键交换设备均采取CISCO企业产品，网络拓扑比较简单，应用服务相对集中。 l 中央交换设备为Catalyst 5000配置情况 ？ l 边缘交换机为两台Catalyst3000.配置情况 ？ l 路由器和通信服务器是CISCO 2511，8块modem，剩下一个同时口，一个异步口，还可扩展8路电话线路和一路外连专线 l 主服务器为SUN 4，设备陈旧，性能较低。 l 无虚网划分，无网管， l 拨号用户有简单通讯量统计功效，校内专线用户无统计功效 l 服务关键为Email和WWW，提供和Internet接入。 1.3. 改造需求 l 服务多样性：增加服务除现有服务外，可增加计费系统，图书检索，多媒体系统，BBS和FTP，Proxy服务等功效。 l 可管理性：包含对拨号用户和校内专线用户信息量统计，对师生访问权限控制机制和对国外出口管理。 l 安全性：加强对系统管理，主机系统应有较强抗攻击能力，在条件许可情况下要有虚网划分机制，对网间信息交换要有安全策略。 l 可扩充性：现有网络应含有很强扩展能力，能够满足近期内可预见用户接入需求，同时含有面向新技术平滑升级能力。 2. 网络设计 2.1. 总体设计 1. 主干设备：依据现在现有结构和关键设备，在新网络构架中能够有两种方案可供选择， l 仍采取以CISCO产品为主，在低端桌面型设备可选择其它厂家产品，因为在现在情况下，多数非同厂家产品还不可能做到无缝连接，在高端即主干网上采取异构互连方法可能会带来两个问题 u 互连性问题，即使连通是可实现，但因为协议标准实现方法不一样，可能会损失一部分带宽，实际使用带宽速率要低于申明带宽速率。 u 虚网划分：现在各厂家实现虚网协议方法大多不一样，所以在做虚网划分时会带来很多困难，甚至在一些情况下是不可实现。］ l 采取其它厂商低端产品（如3COM，Intel等），好处是价格廉价，且在现在低通讯量和负载情况下能够满足需要，在以后网络升级过程中，能够替换向更低端用户推 2. 路由交换和外部互连： l 外部网络现在仍采取DDN连接方法经过交大和教育网实现连接，临时还无提升出口带宽要求，现在所用路由器，有5kpps包交换能力和一空闲同时口，能够满足近期扩展要求。 l 如采取虚网技术就需要一个内部虚网间信息交换路由器，最少支持4个虚网即4个以太端口 3. 主机系统 可依据应用系统选择SUN+Solaris，PC+NT和PC+Linux结构， l SUN+Solaris是一个比较安全和稳健网络服务器结构，而且因为管理员对SUN系统较为熟悉，在管理上有经验，所以在UNIX主机系统中仍采取这种结构。但因为价格较为昂贵，在现在情况下不宜大范围采取。 l PC+NT：管理简单方便，价格适中，但安全性较差，同时还有缺点，同一网段数目过多情况下可能会出现广播风暴。 l PC+Linux：价格最为廉价，安全性上没有很大把握，另外无生产厂家提供可靠技术支持，在出现问题时是没有保障。 4. 远程访问 远程拨号网络扩展较为简单，现在现有通信服务器还可支持8路线路扩展，只要购置对应modem和申请电话线路即可。 2.2. 主干网络设计 l Catalyst 5000： 中央交换设备采取原有Catalyst 5000，利用其100M Base-T端口加转换器连接外部新增设备。 l Catalyst 3000 WS-C3016B配置情况：（原行政楼） 1. 10BaseT RJ-45 2. AUI 3. 2扩展槽（WS-X3001上行100BSAE-TX） 4. EIA/TIA 232 console 5. AUI DB15 SwitchProbe 路由交换设备（optional） 四10M BaseT端口路由，转发能力在50kpps以上，稳定性好，可靠性高，有一定filter功效。 l 可采取专用路由器，可选品牌设备：CISCO，Bay，Intel… l 或用PC路由，在低负荷情况下是可行，但有技术难点，需要测试其转发能力和可靠性。 2.3. 低端网络设计 参见布线方案 2.4. 应用系统 现有服务器为1台SUN 4性能较低，全部应用集中在此机上，一是负载过重，另外给系统安全运行带来了很多不利原因。所以对改造后网络应用系统提出了以下构想： l DNS+Proxy+WWW：PC Sever +NT +IIS,依据现在校内用户数目和上网信息资源量，PC+NT是一个比较经济，有效结构。而且微软NT系统将全部上面提到了应用集成在NT系统里给管理带来了很大方便。但其次需要指出是NT在安全性和管理角方面有很大不足,需要管理员有较为丰富经验和完善监控手段和防范机制，能够在突发事件产生时能够快速恢复和预防再一次入侵 l FTP+ Email+拨号认证：SUN+Solaris|+Tacacsd，这一组服务关键是对内服务，拨号认证服务需要运行在Unix系统上，所以提议采取如上结构，依据现在用户情况，FTP服务可综合在一起，如以后负载过重时再分离。 l 网管(o)：NT+网管软件，此项为可选，因为以太网网管即使不是必需，但她能够监视网络设备异常，负载情况和流量。 l BBS(o)：SUN4，原有服务器过于破旧，如有需求可做为BBS电子公告牌 l 图书检索(o)：可建立一个富士通系统前端机，提供友好WEB用户界面能够随时检索馆藏书籍出借和库存情况，现在采取PC+Linux方法比很好 （注：o表示optional,是可选如此次改造不能实现，可在以后升级中加以实现。） 3. 管理 管理模式上要加强安全方面考虑，和信息流量控制， 3.1. 安全机制 1· 加强主机系统抗入侵能力，尤其对NT类型服务器系统。 2· 应用系统尽可能分布在不一样主机上，关闭无须要端口，降低入侵路径，在目前情况下，应本着对内对外服务应分开，关键和非关键应用分开标准，将应用系统合理配置在主机系统上。 3· 加强对外部用户访问控制，关键依靠防火墙机制，现在采取手段是在路由器上设置访问表，和应用静态路由。 4· 按应用需求应划分虚网，控制校内用户，各部门之间访问权限。 5· 加强监督机制，重视线上用户行为监视和对系统日志分析，能够立即发觉入侵行为，和找到遭入侵后处理措施。 6· 恢复备份是系统遭受破坏一个有效简练处理手段，所以对备份工作要重视起来，要做到关键数据一天一次，非变动信息有永久备份，其它信息视情况而定。备份介质可采取硬盘和磁带。备份方法能够是更新备份，增量备份和永久性备份。 3.2. 流量监控 对主干网络和个分支用户网络实施监控，能够发觉网络瓶颈，得到用户访问个信息点量化数据，掌握用户不安全行为，能够为网络性能分析和故障诊疗提供丰富事实依据，给网络综合管理带来极大好处。 1. 网管系统：能够在各关键网络交换设备上采集到目前设备工作状态，掌握各虚网之间数据流量，和交换设备各端口负载情况。 2. 网络分析设备：能够在主干网上监视各网段上包情况，其中包含： l 通讯包总量，丢包率 l 包成份，及其所占比重，如IP,IPX. l 各应用包分配情况：如Ip包中tcp和udp包百分比，tcp包中telnet，ftp，http等包比重。 l 各IP发包情况，能够判定网络负载和故障诊疗。 3. 路由器上流量控制，限制一些网段或IP地址访问权限，和PROXY 结合统计用户出口信息流量。 4. Proxy服务，因为路由器限制，可采取Proxy措施满足用户对校园网外甚至是国外访问需求，而且这种访问是受控，能够依据用户帐号，清楚了解用户对外访问信息量 5. 拨号用户可依据用户认证机制，掌握用户登录时间，从而估算大约信息及资源花费情况。 4. 预算 项目名称 单价 数量 价格(人民币) 说明 l Cisco Catalyst3000 C3106B $7178 WS-X3001 $1943 or Intel 100M Switch 1 50,000 20,000 接行政楼交换设备接入 可选 l SUN Ultra 10 A22 A22-UEA1Y9J-128cG X7103A SOLD-2.5.1NOV97-47 X6540A X6262A 10,000.00 1 100,000 Email，拨号认证，计费 l Cisco Works Windows CWPC-3.1-SNM PC on NT $3743 SNM ON NT CWPC-3.1-OVW $2993 HP - openview On NT. 4 50,000 CISCO网管 l 大楼局域网布线 配线架：50.00 模块面板：100.00 AT&T线：150.00 人工费：130.00 其它材料：50.00 500.00 180 90,000 新楼内布线 180信息点 含HUB Hayes Modem 8 20,000 远程拨号网络扩展 l 光缆铺设 12芯2,700/km 4芯1,/km 人工+材料12,000/km 光端头：200/个 跳线：300/根 30,000 园区网连接 NT4.0汉字版 2 20.000 l 计费软件on Tacacsd 10,000 1 10,000 l 100M transceiver Bay Networks Model 514 100 MBPX Fiber Optic Transceiver 7,500 4 30,000 用于100M接入 l PC SERVER Compaq/Ps200 PII/233 32M 4,3G SCSI 20,000.00 20,000 3 60,000 网管平台 DNS+WWW Proxy l PC Workstation Compaq DP 200MMX/32M/2.1G V40彩显 12,000 5 60,000 开发 l PC Workstation 200MMX/32SDRAM/3.2G 14”彩显7,000 7,000 20 140.000 机房 l Proxy Server 10,000 系统集成 40,000 不可预见费用 20,000 总计 690,000 以CISCO价格计算