h3c职业技术学院网络设计方案.doc

资源描述

1、广州 XX 职业技术学院校园网络设计方案华三通信技术有限公司2008 年 12 月校园网络设计方案第 2 页, 共 59 页目录第 1 章概述 .3第 2 章系统建设需求 .3第 3 章网络平台建设方案 .43.1 网络设计原则 .43.2 网络层次化设计 .53.3 校园网络总体结构 .63.3.1 核心层设计 .73.3.2 数据中心设计 .113.3.3 汇聚层设计 .113.3.4 网络出口设计 .143.3.5 接入层设计 .173.3.6 无线网络设计 .213.4 网络安全性设计 .253.4.1 重要安全区域隔离 .253.4.2 出口带宽监管 .263.4.3 网络安

2、全保护 .273.5 网络可靠性设计 .293.5.1 物理设备和链路稳定性 .293.5.1.1 网络结构的可靠性 .293.5.1.2 设备级冗余性设计 .29校园网络设计方案第 3 页, 共 59 页3.5.1.3 链路冗余配置 .313.5.2 数据链路层稳定性设计 .313.5.2.1 网络部署 MSTP .313.5.2.2 生成树边缘端口 .313.5.2.3 DLDP 技术运用 .323.5.3 网络层稳定性设计 .323.6 网络管理设计 .333.6.1 资源管理 .333.6.2 拓扑管理 .343.6.3 故障（告警/事件）管理 .353.6.4 性能管理 .383.

3、6.5 图形化设备管理 .383.6.6 集中配置管理 .393.7 用户管理系统 .403.8 方案总结及优势说明 .44校园网络设计方案第 4 页, 共 59 页、 1 、概述广州 XX 职业技术学院（以下简称为 XX 学院）1999 年 3 月经教育部批准成立，是中国 XX 总局唯一一所独立设置实施高等职业教育的全日制普通高等院校，是“国家示范性高等职业院校建设计划”2007 年度立项建设院校之一。根据国家示范性高等职业院校建设项目的要求，XX 学院拟完善数字化校园网络平台，为数字化教学平台提供一个良好的支撑平台。方案参考了学院数字化校园网络平台项目（第一期）建设实施方案内容

4、。在方案中，我们将根据校园网络平台建设要求，提出一个校园网络平台的建设目标和框架，并针对各个部分建设进行说明。、 2 、系统建设需求校园网络平台是校园数字化系统的运行基础，学院原有的网络平台无论是在网络的稳定性、业务适应用性、性能、安全以及可扩展性等方面已无法支撑学院系统的需求，更是无法达到国家示范性高等职院建设的要求，因此，学院的校园网络平台需要进行全面的升级，建设任务主要包括以下五大方面：、建设一个高可用的骨干网，这是网络平台建设最为重要及紧急任务之一，骨干网的稳定性、性能和安全性将直接影响到校园网络的运行；、建设一个数据中心网络平台，为数字化业务系统提供一个高可用的接入平台；、

5、建设一个安全可控的网络出口，增强网络外界的安全防护以及校园网用户的行为监管能力，提高出口带宽的使用效率；、完善校园网用户的接入和控制，通过部署用户认证、计费等措施对全校园网络设计方案第 5 页, 共 59 页面提升对接入用户的控制，使用户接入规范化。、建设校园无线网络平台，提高网络接入的覆盖能力，校园用户更易于使用学院资源。、 3 、网络平台建设方案3.1 网络设计原则广州 XX 职业技术学院校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的 QoS 保障服务，使网络安全可靠，从而实现教育管理、多媒体教学自动化，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及

6、开放性、兼容性、可扩展性。学院网络建设遵循以下基本原则：高带宽学院网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性学院网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。校园网络设计方案第 6 页, 共 59 页可扩充性考虑到学院用户数量和业务种类发展的不确定性，要求对于核

7、心交换机与汇聚交换机具有强大的扩展功能，学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。3.2 网络层次化设计在校园园区网络整体设计中，采用层次化、模块化的网络设计结构，并严

8、格定义各层功能模型，不同层次关注不同的特性配置。根据广州 XX 职业技术学院的网络分布情况，校园网共分成核心层、汇聚层和接入层三层。1) 核心层核心层是整个网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。XX 学院主校区设立整个校园网的核心层，同时，在新机场实训基地设立分核心。对于 XX 学院主校园的核心层，必须提供高性能、高可靠的网络结构，推荐校园网络设计方案第 7 页, 共 59 页采用高可靠的多设备冗余的星型结构。对于校园网核心层设备，应该在提供大容量、高性能 L2/L3 交换服务基础上，能够进一步融合了硬件 IPv6、网络安全

9、、网络业务分析等智能特性，可为校园园区构建融合业务的基础网络平台，进而帮助用户实现 IT 资源整合的需求。2) 汇聚层汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。目前，XX 学院在主校区共有 15 幢建筑物，新机场实训基地共有 6 幢建筑物。XX 学院汇聚层设立将根据现有的信息点分布，结合综合布线系统等多因素，一般而言，以建筑物/功能区为单位设立汇聚层，即每个单体建筑/ 功能区设立一个网络汇聚层，如数据中心和网络出口分别设于汇聚层，同时对于学生宿舍区，可以采用多幢学生宿舍共用 1 个网络汇聚层的

10、方式。对于校园园区网的汇聚层设备，应该能够承载校园园区的多种融合业务，能够融合 IPv6、网络安全、流量分析等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载校园园区融合业务的需求。3) 接入层提供网络的第一级接入功能，完成二层接入，并实现对终端接入的安全控制，包括 ARP 防御、IP/MAC/ 端口绑定以及 POE 等高级功能。在 XX 校园网中，接入层采用千兆及百兆到桌面的接入模式，对于数据传输量较大或重要区域采用千兆到桌面的方案，如综合办公、图书馆等，其它的为百兆接入，同时，无线 AP 接入采用 POE 方式进行设备的供电。接入层设备以选择二层交换机为主

11、，设备应具有灵活的扩展能力，支持堆叠，校园网络设计方案第 8 页, 共 59 页具有强安全性，可以实现 IP、MAC、端口的绑定，支持 802.1x 认证，支持 DHCP Snooping ，防止非法 DHCP 接入和 ARP 攻击。3.3 校园网络总体结构校园网络平台将采用层次化通用结构设计，采用核心层、汇聚层和接入层三层架构，包括网络骨干、数据中心、网络出口、网络接入、无线网络等五大部分。中心交换机H 3 C S 7 5 0 2 E服务器系统用户管理系统H 3 C C A M S汇聚交换机H 3 C S 5 5 0 0 - E I接入交换机H 3 C S 5 1 0 0办公楼千兆到桌面

12、数据中心汇聚交换机H 3 C S 5 5 0 0 - E I核心交换机H 3 C S 7 5 1 0 E网络中心机房图书馆、实验楼等百兆到桌面接入交换机H 3 C E 1 5 2 / 1 2 6 A宿舍区百兆到桌面网络出口教育科研网电信 / 网通出口路由器H 3 C S R 6 6 0 4应用流量控制H 3 C A C G 2 0 0 0 M宿舍区百兆到桌面汇聚交换机H 3 C S 5 5 0 0 - E I汇聚交换机H 3 C S 5 5 0 0 - E I内置防火墙接入交换机H 3 C E 1 5 2 / 1 2 6 A校园网骨干无线网控制器A C 模块无线 A P 无线

13、A P接入交换机H 3 C E 1 5 2 / 1 2 6 A网络骨干由核心层和汇聚层组网，骨干网采用高可靠性组网，核心层配置两台高端核心交换机，汇聚层设备通过双千兆链路实现与核心层设备的互联，网络骨干全面支持 IPv6，并提供万兆扩展能力。校园网设立数据中心，实现各业务系统服务器的集中部署，数据中心网络平台独立建设，配置 2 台模块化交换机设备，为服务器提供高性能、高可靠、可扩展性的接入平台，同时，通过核心交换机内置高性能的防火墙模块提供安全保护。校园网络设计方案第 9 页, 共 59 页网络出口实现校园网络与外部网络的互联，包括与教育科、互联网的互联，网络出口需实现校园网与外部网络的

14、隔离，网络出口配置 1 台路由器设备实现与外部网络互联，同时提供地址转换等服务，配置应用控制网关，实现出口带宽的管理，并对校园网用户实现行为审计等功能。网络接入层提供校园网用户的接入，并实现网络接入的安全防御，如 ARP攻击防护，同时，结合用户管理系统实现对接入用户认证、计费等管理。为实现校园网络接入的灵活性，提高网络的覆盖，校园网将实现办公楼、图书馆、实验室、运动场馆等公共区域的无线网络覆盖，无线网采用智能的 Fit AP组网。为便于网络的管理和维护，校园网还将建设 1 套网络管理系统，实现对校园网络平台设备的统一管理，网络管理应具有拓扑、故障、性能、配置和图形化设备管理等功能

15、，为了实现更为方便的通过远程方式对网络的状态进行监控和维护，网络系统采用 B/S 架构。同时，为加强对接入用户的控制和管理，系统还部署用户认证、计费管理系统。3.3.1 核心层设计XX 学院主校区设立整个校园网的核心层，同时，在新机场实训基地设立分核心。对于 XX 学院主校园的核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构。核心层配置 2 台高端交换机作为核心交换机，两台交换机之间通过万兆链路进行互联，形成双机复用，在两台中心交换机之间启用 VRRP 协议，这样在其校园网络设计方案第 10 页, 共 59 页中一台出现故障的时候，业务可以自动切换到

16、另外一台。选用的核心交换机是从可靠性、性能、业务特性、安全特性以及可扩展性等多个方面进行综合考虑。在可靠性方面，核心交换机应达到 99.99%的高可靠性，采用全模块化设计，电源、风扇、引擎、业务模块等均可实现热插拔，支持电源、引擎等关键部件的1+1 冗余热备份，支持 VRRP、路由优雅（GR）等高可靠性协议，实现核心层的业务不间断转发。在性能方面，核心交换机应采用 Crossbar 交换矩阵，采用全分布式转发，支持万兆、千兆等高速以太网接口，所有接口实现线速转发,保障校园网多种业务进行并发交换。在业务特性方面，核心交换机支持丰富的 QoS 特性，可保障重要业务得到优先转发；支持 IP

17、v6，可平稳过渡到下一代网络；并且支持内置防火墙、内置无线控制器等多种业务功能插卡，可以进行灵活的部署，实现业务的扩展和融合。在安全性方面，核心交换机应既能保障自身的运行安全，也能通过一些安全机制保障所承载业务的安全。基于上述因素，我们建议核心交换机采用 H3C S7510E 高端交换机。H3C S7500E 系列产品是杭州华三通信技术有限公司（以下简称 H3C 公司）面向融合业务网络推出的新一代高端多业务路由交换机，该产品基于 H3C 自主知识产权的 Comware V5 操作系统，融合了 MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术。S7510E 具有 10 个槽位，其中 8 个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实现在线扩展。

展开阅读全文