项目一_任务3-2_深圳信息职业技术学院新校区校园网设计方案

项目一_任务3-2_深圳信息职业技术学院新校区校园网设计方案内容摘要：

ps 由于办公区域和学生宿舍区同时进行交互的数据并不多 ，办公区域核心交换机采用 2 条万兆链路 （ VSU 含 2 台核心交换机共计 40G 带宽） 分别上联学校数据中心和学生宿舍区， 2条万兆链路上联出口区。 宿舍接入网设计 相比办公网突出的带宽需求，宿舍网更加注重安全管理的需求。 宿舍网接入交换机需要控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络， 需要接入交换机支持 如端口静态和动态的安全绑定、端口隔离、多种类型的硬件 ACL 控制、基于数据流的带宽限速、用户接入控制的多元素绑定等，满足校园网加强对访问者进行控制、限制非授权用户通信的需求； 接入层交换机需要有效遏制网络中日益泛滥的 ARP 网关欺骗和 ARP 主机欺骗的现象，保障了用户的正常上网。 无论在动态分配 IP 环境下，还是静态分配 IP 环境下，均可实现自动绑定工作，大大的节省了人力成本，降低了管理开销。 综合考虑 宿舍网在安全、带宽和 投资成本方面的需求 ，推荐 宿舍 接入网采用 千兆 到桌面，每 3 台 RGS2900 交换机组成一个堆叠组，通过 2 条万 兆单模光纤链路上行至楼栋中心交换机； 1）交换机堆叠组上联带宽计算 宿舍网接入层交换机 千兆 到桌面，每 3 台交换机组成一个堆叠组，堆叠带宽可达 20G,，通过两条条单模光纤链路捆绑上行至楼栋中心交换机 . 每个堆叠组内 3 台接入层交换机，交换机之间采用菊花链链接，每个交换机和另一个交换机之间交换带宽高达 20G,堆叠组内端口交换带宽： 20200Mbps/48＝ 416Mbps 每台 PC 按 100Mbps 的流量计算，每个堆叠组带宽为： 100Mbps*144＝ 14400Mbps 湖南工业职业技术学院 网络技术专业教学资源库 14 2 条万兆链路带宽为 20200Mbps, 144 个端口最高可实现 138M 的上联带宽，完全可满足 堆叠组的以 100M/端口的速度无阻塞转发。 2）楼栋中心交换机上联带宽计算 其中 C 栋学生宿舍共有 118 台交换机， 40 个堆叠组 ， 为办公区最多的楼栋 20M/人 *48*118＝ 113280Mbps C 栋学生宿舍中心交换机分别采用 12 条万兆链路捆绑上联东区核心交换机，共计120200Mbps 的带宽，因此可认为 C 栋学生宿舍中心交换机的上 联带宽基本满足楼内学生同时以 25Mbps 双向带宽访问网络资源。 其他宿舍楼上联带宽计算如下： 楼栋 信息点数 上联带宽计算 上联万兆链路 A 楼 49 台接入交换机/17 个堆叠组 47040Mbps 中心交换机 8 条 万兆链路上联 B 楼 74 台接入交换机/27 个堆叠组 71040Mbps 中心交换机 8 条 万兆链路上联 C 楼 118 台接入交换机/40 个堆叠组 113280Mbps 中心交换机 12 条万兆链路上联 D 楼 113 台接入交换机/40 个堆叠组 108480Mbps 中心交换机 12 条万兆链路上联 E 楼 86 台接入交换机/31 个堆叠组 82560 Mbps 中心交换机 12 条万兆链路上联 综合服务楼 1362 个信息点 /33台接入 交换机 /13个堆叠组 31680Mbps 中心交换机 4 条万兆链路上联 学生宿舍区域带宽计算 47040Mbps +71040Mbps +113280Mbps +108480Mbps +82560 Mbps +31680Mbps =454080 Mbps 由于办公区域和学生宿舍区同时进行交互的数据并不多 ，学生 宿舍 区域核心交换机采用湖南工业职业技术学院 网络技术专业教学资源库 15 2 条万兆链路（ VSU 含 2 台核心交换机共计 40G 带宽）分别 上联学校数据中心和办公区， 2条万兆链路上联出口区，可满足 21000 个学生访问网络资源。 身份 准入认证设计 从保障校园网安全和管理的角度，校园网准入身份认证是非常必要的，可以说校园网身份准入认证是保障内网安全的需要、是有效运营管理的需要、也是提高服务水平的需要；从另外一个角度来说身份认证是网络准入的基础、网络准入是真实地址的基础、真实地址是安全可信的基础。 校园网 Web 准入 准出身份认证具有易用性和兼容性的优点，缺点是可控性和安全性；校园网 准入身份认证具有可控性和安全性的优点，缺点是易用性和兼容性。 基于接入交换机的 Web 准入和 准入身份认证解决方案，该解决方案具有可控性和安全性同时又保留易用性和兼容性。 根据信息学院校园网学生用户和老师用户的不同特点以及运营管理的不同要求，锐捷网络推荐在宿舍网采用 身份准入认证，推荐在办公网采用 Web 身份准入认证；在不同区域的同一用户使用不同的准入认证方式，使用同一套身份认证计费管理系统进行全网的统一管理。 4. 出口网络 设计 近几年来，随着数字化校园建设的迅猛发展，国内高校骨干网纷纷升级为万兆网络，全面进入了万兆时代。 万兆校园网有效地解决了校园网内 部带宽不足的问题，满足了数万校园用户的内部访问需求，但校园网的出口区域仍然面临多方 面挑战，校园网内外带宽的不平衡性导致高校校园网出口建设相对滞后。 校园网出口的一些现象： 来自外部网络的 DoS 攻击、病毒、恶意扫描防不胜防。 P2P 应用大行其道，蚕食出口带宽，上网速度不堪忍受，师生怨声载道。 出口链路众多，多链路负载均衡和策略路由充满挑战。 带宽扩容，原有的路由器、防火墙超负荷运行。 并发连接回话激增， NAT 网关频繁死机。 出口日志记录不详，检索复杂，面对公安机关的反查要求力不从心。 IPv6 网络出口缺乏安全防护手段，跨栈攻击一触即发。 我司结合校园 网出口的典型应用，梳理了相关应用模型，对应用模型的每个方面进行深入 分析 ： 湖南工业职业技术学院 网络技术专业教学资源库 16 边界连接设计 边界连接层处于出口网络的最外端，是出口网络中的数据交换基础平台，此平台主要由出口网络中的路由器来组成，边界连接层需要考虑以下三个方面 （一） 路由转发性能 包括网络地址转换（ NAT）、基于策略的路由选路（ PBR） NAT 性能考核指标主要为 NAT 并发连接数及 NAT 每秒新建连接数。 NAT并发连接数指标要求 =用户总数 x用户并发在线率 x每用户会话数 =30000x100=300万 NAT 每秒新建连接数指标要求 =用户总数 x 用户并发在线率 x 每用户每秒新建连接数=30000x10=30 万 （注：根据深圳信息学院未来校园网用户数量，本次项目中并发在线用户以 3 万计算） （二） 智能路由选路 校园网用户在访问属于不同 ISP 提供的信息资源时，边界连接层需要智能的根据用户访问的信息资源，选择不同的 ISP（不同的广域网链路）来进行访问。 从而避免访问路径跨越了不同 ISP 网络，确保资源访问效率最大化。 充分利用目电信、 CERNET、 CERNET2 深圳电信 IPv6 城域网四 条链路，单个 ISP 或单条链路的失效后能够自动切换到备用链路，并不影响用户正常的网络访问活动；均衡多条链路之间的流量分布，不能造成某条链路负载很重，其他链路却一身轻松的尴尬局面；打通不同 ISP 资源互访之间的局限，按照用户访问目的的不同灵活分配不同的出口链路；单个对外提供服务的 ISP 的 IP 失效时，自动切换到其它 ISP的 IP；方便灵活的再次扩展多条链路，而不会影响网络结构；对于多条链路进行统一管理，统一日志记录与分析。 （三） 多链路 备份功能 信息学院新校区将通过 ISP 线路、教育网线路分别连接至 INTERNET、 CERNET、CERNET2 和 CNGI 城域网。 为了提高出口带宽的整体利用率，同时提供链路冗余备份，边界连接层必须提供多链路负载均衡与备份功能。 在任意一条广域网链路发生故障时，能够自湖南工业职业技术学院 网络技术专业教学资源库 17 动将流量自动切换到其他广域网链路。 （四） 智能 DNS 解析 为了让校园网对外开放的资源能够更快捷的让外部网络用户所访问，则需要合理引导外部网络用户所访问的路径。 例如，通过智能 DNS 解析功能，在电信网用户访问校园门户网站域名时，自动解析成电信网 IP，从而引导电信网络用户从我校的电信网链路访问我校校园门户服务，当教育网用户访问时，则解析成教育网 IP，引导 教育网用户从 信息学院的教育网链路进行访问。 由此为外部网络用户提供一个动态最优的访问路径。 DMZ 安全设计 安全防护，是边界网络设计中必不可少的内容。 采用万兆高性能防火墙进行安全防护 ： 主要有以下四个方面： （一）报文过滤 通过访问控制列表（ ACL）实现了灵活的各种粒度的报文过滤 ,包括：标准 ACL 、扩展ACL。 （二）状态检测 基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。 并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤，包括：报头检查 、 IP 分片支持、特殊应 用协议支持等。 （三）攻击防御 基于状态检测可以防御的各种网络攻击包括： IP 畸形包攻击、 IP 假冒、 TCP 劫持入侵、SYN flood、 Smurf、 Ping of Death、 Teardrop、 Land、 ping flood、 UDP Flood 等等。 （四） WEB 网站防护 湖南工业职业技术学院 网络技术专业教学资源库 18 RGWG 采用事前防御和事后恢复的双层策略。 既能在事前防御防范与未然，又能在事后进行页面恢复。 基于 DDSE（深度解码扫描引擎）解析 Web 交互信息，在进行解码的基础上， RGWG对 攻击的形式逻辑进行判断过滤，实现 HTTP 深度识别。 站点隐身使攻击者无法获取服务器信息，避免攻击前的渗透扫描，避免 Web 服务器出错信息暴露出系统架构，从而无法执行下一步攻击。 虚拟补丁技术保护操作系统、数据库、 Apache、 IIS 等 Web 应用服务平台，避免 Web 应用服务平台被攻击导致系统隐患。 危险文件下载检测，阻断下载数据库等危险文件，避免攻击者下载用户密码等敏感内部信息。 RGWG检测过滤 ActiveX、 JAVA Applet、 iFrame 等嵌入式程序，卡住攻击源头，对未挂马网站进行预防。 网站挂马检测引擎， 对网站页面进行监控诊断，及时发现解决 WebGuard部署前已被挂马的网站。 流量控制设计 传统的流控设备只能根据终端的 IP 段或 IP 地址来识别用户的身份，所以在限制用户网络应用和带宽的时候判断的依据也是 IP 地址，即使是学生身份在办公区也享受教师的带宽控制策略，而教师身份在学生宿舍区也只能受到学生带宽控制策略。 为了解决这个问题，我们需要在流控设备上引入智能的概念。 将流控设备与认证系统打湖南工业职业技术学院 网络技术专业教学资源库 19 通，这样流控识别用户的依据不再是 IP 地址，而是认证的身份，基于身份 的带宽控制策略便能够更为人性化的处理在出口区域的网络应用与带宽管理。 比如：教师身份拥有最高使用 50兆出口带宽、 20 兆 P2P 应用带宽的权限，而学生拥有最高使用 20 兆出口带宽、 5 兆 P2P应用带宽的权限。 这样无论用户在何处登陆、使用何种终端都拥有与之身份相符的权利和限制。 远程接入设计 为满足在校外居住或出差的校领导、专家、学者能够既方便又安全的通过 INTERNET连接到校园网内部进行远程会议、科研及办公，因此需要在出口网络中提供 VPN 接入服务。 （一） VPN 接入技术选择 针对目前 VPN 的接入方式，主要有 IPSEC VPN、 L2TP/PPTP VPN 以及 SSL VPN。 三种 VPN 技术均有各自的。 通过比较分析，对于校园网远程用户接入可根据用户需求选择 SSL VPN 及 IPSEC VPN技术。 （二） VPN 系统性能及管理性要求 VPN 并发在线用户要求 =校园网用户总数 x10%=3000。 VPN 用户认证管理要求：与接入网采用相同的接入认证系统，实现统一认证管理。 日志审计设计 根据公安部的 82 号令要求，需要对校园网用户访问 INTERNET 进行记录。 记录内容包括访问时的校内 IP、 NAT 后的 IP、访问目的 IP、访问目的 URL、访问时间、对应校内的用户等。 因此，日志审计层需要从边界连接、安全防护、流量控制这个三个部分进行日志收集，并通过 日志系统和认证计费系统的 联动处理，实现基于用户实名制的 INTERNET 访问日志记录。 同时，提供基于 WEB GUI的查询检索界面，方便日志审计翻查。 出口 设备选择 出口路由器 RGNPE60 除了需要具备以上功能外， 在实际使用。