2. 连续性:为同一个网络区域分配连续的网络地址,便于采用路由收敛(Summarization)及 CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项,提高路由器的处理效率;
3. 安全性:网络内应按工作内容划分成不同网段即子网以便进行管理。
4. 灵活性:地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;
5. 可扩充性:为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性;
6. 可管理性:地址的分配应该有层次,某个局部的变动不要影响上层、全局。 校园网地址规划方案
校园网IP地址分配总则 校园网IP地址分为三大块:
校园网内部的私有IP地址,采用RFC中规定的地址段,不能访问Internet和Cernet;Cernet分配的多个C类公网IP地址,作为和国际互联网互连的地址,域名xxx.edu.cn就解析在这片地址上,主要供网络中心和图书馆、部分实验室专用;
运营商分配的公网IP地址,用于访问Internet。
关键服务器拥有两个公网IP,分别跨接在Cernet和Internet上。 1. 校园网内部私网IP地址的分配
内部地址的分配原则是按建筑物进行的,视用户的数量,1/4、1/2、整个C的划分。为了安全考虑对所有的都采用静态分配IP地址,为防止地址盗用,采用IP地址、MAC地址与端口绑定。
2. IP地址的分配
用户的计算机在连接到校园网上时,首先获得一个校园网内部的IP地址,此时该计算机只能访问校园网内部。
用户需要访问Cernet和Internet,要使用帐号登陆,认证通过后才能访问。 3.3.2 路由设计 校园网路由设计
不使用默认路由,使用策略路由,防止从 Internet 访问校园网。 Internet路由设计
采用静态默认路由协议访问 Internet
为了实现路由的备份,配置到 Internet 的两条默认路由,两条路由的优先级可以相同,可以不同。
7
如果相同,则两条线路采取负载分担方式。
如果不同,则是主备方式,其中优先级高的称为主路由,优先级低的为备份路由。 采用源地址路由,让 Internet 地址访问 Internet; 采用 ACL,防止访问 Cernet 的流量通过 Internet; 采用 ACL,防止来自校园网的 Internet 地址。 3.3.3 安全与流量控制
3.3.3.1 网络安全控制
对端口 ARP检查防止 ARP攻击;
对端口安全:MAC 动态地址锁,MAC 地址静态绑定;
交换设备 BPDU Guard 功能,过滤非法 BPDU 报文,防止STP攻击交换机; 端口安全:端口静态绑定,自动绑定 IP和 MAC 地址防止DOS 攻击; 智能安全到边缘:多种 ACL,满足不同网络应用,过滤病毒 SSH密文传输,限制管理 IP等措施保证设备管理可靠;
对网络病毒的防范:采用设置 ACL,对病毒进行过滤;我们使用的汇聚、核心交换机都支持 SPOH,通过端口独立的 FFP进行 ACL 处理,网络设备性 能不受设置ACL数目影响;
3.3.3.2 VLAN需求
默认时,交换机分隔冲突域;路由器分隔广播域。第 2 层交换式网络的最大好处是,它为插入到交换机每个端口的每台设备创建了各自的冲突域。但每一个新的改进通常都会引起新的问题——用户和设备的数量越大,每台交换机必须处理的广播和数据包就越多。
安全性也是一个问题,因为在典型的第 2 层交换式互联网络的内部,默认时所有用户都可以看见所有的设备。你不能让设备停止广播,也不能让用户不响应广播。连接到物理网络的任何人都可以访问位于物理 LAN上的网络资源,用户只需将其工作站插入到现有的集线器中,就可以加入某个工作组。安全性选项只能限于在服务器和其他设备上设置口令。
通过创建虚拟局域网(VLAN) ,就可以在一个纯交换式的互联网络中,分隔广播域。VLAN是两个部分的逻辑组合:一是网络用户;二是在管理上连接到交换机所定义端口的资源。 如果创建了VLAN,情况就可以大大改善。在虚拟创建局域网时,可以将交换机上的不同端口分派到不同的子网中,这样就可以在第二层交换式互联网络中创建一些小的广播域。可以象对待单独的子网和广播域一样来对待 VLAN,这意味着网络上的广播域只在同一个VLAN 内部的逻辑组的端口之间进行转发。 3.3.3.3 VLAN划分设计
1. 基于端口的 VLAN 划分
8
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2. 基于MAC地址的 VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC 地址由12 位16 进制数表示,前 8 位为厂商标识,后 4 位为网卡标识。网络管理员可按MAC 地址把一些站点划分为一个逻辑子网。
3. 基于路由的 VLAN 划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个 VLAN 跨越多个交换机,或一个端口位于多个 VLAN 中。
3.3.4 流量监控与控制:
校园网作为学校师生及管理人员所依托的重要资源,也是学校办学的一种重要基础设施,为学校师生及科研人员提供网络下载、视频点播、网络聊天、专项课题研究、网络化教学、办公自动化、计算机管理、资源共享及信息交流等全方位的服务。,学校要求网络具有高性能、高可用性和高安全性。学校规模在不断扩大中,用户数在持续增加,要求网络具有很好的扩展性。 解决方案:
通过为校园用户构建起一个具备服务质量(QoS,Quality of Services)特性的网络,网络管理员将有能力使其网络变得更加智能。通过对应用流量进行分类、标记以及为其分配不同的流量优先级别,一个具备 QoS属性的网络系统将会给网络管理员带来控制其数据流量的能力。 3.4 方案特点
3.4.1 高带宽、高性能
该解决方案是基于标准的二、三层以太网交换技术,技术成熟度非常高。学校网络中心放置路由交换机上行通过GE接至教育网,GE可以是单模或者多模,由校园网的具体情况而定。GE作为整个学校出口带宽可充分满足用户对带宽的要求,使学校出口不再成为整个校园网用户上网的瓶颈。在学院网络中心通过下行使千兆链路连接汇聚层交换机。汇聚层交换机下行1000M光纤口连接接入楼宇交换机,百兆交换到桌面,100M的带宽可充分满足用户高速上网,视频点播等多种宽带业务。核心交换机拥有1000M出口联接校园网,各层设备全部支持线速交换,给用户提供了真正的高带宽网络,对未来高带宽的宽带业务提供了强大的支撑能力,校园宽带网的发展潜力巨大。
3.4.2 完善的安全机制
校园楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、专家级ACL、时间 ACL、端口 ARP报文合法性检查、基于数据流的带宽限速、六元素绑定等等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交换设备设置由硬件实现 ACL,对病毒进行过滤,我们选用的汇聚、核心交换设备都支持SPOH,所以在使用 ACL时将不会影响整个交换机的性能。
9
第4章 综合布线
4.1 概述
随着知识经济的到来和信息技术的不断发展,办公自动化是大势所趋。 4.2 布线系统概述 4.2.1布线系统结构组成
图4-1 布线子系统图示
楼层配线间(FD)
水平工作区设备
总设备间
图4-2 设备间分布图
一般而言,布线系统由如下六个部分组成: 1.工作区子系统(WORK AREA SUBSYSTEM) 2.水平布线子系统(HORIZONTAL SUBSYSTEM) 3.管理子系统(ADMINISTRATION SUBSYSTEM)
10
4.垂直干线子系统(RISER BACKBONE SUBSYSTEM) 5.设备区子系统(EQUIPMENT SUBSYSTEM) 6.建筑群子系统(CAMPUS SUBSYSTEM) 4.3办公场地布线系统设计 1.干线子系统
Thomas&Betts 5类4对UTP
009-5-24U-4P
2. 设备间子系统 3. 管理区子系统
本方案选择下列产品应用于中山中专办公场地的管理子系统。 产 品 名 称 Thomas&Betts 48口布线板 Thomas&Betts跳线架 19”标准机柜 型 号 023-8501-48-8 表4-1 4. 水平干线子系统
水平子系统是由传输介质构成的,传输介质的选择是布线系统工程的关键因素之一。设计、施工、技术和工艺等都与选择的传输介质有关。 5. 工作区子系统
工作区子系统由安装在各房间内的信息墙座和连接墙座与终端设备的跳线组成,在规划工作区子系统时,我们要考虑:
(1)所选定的布线系统的类型特点; (2)将来使用的终端设备的类型和特点;
(3)终端设备安装的位置及从信息墙座跳接到设备时是否方便安全;
(4) 采用的信息墙座的类型是否适合特定房间环境的装修以及是否便于维护和扩展。 本大楼的信息点分布在各房间,我们建议采用Thomas&Betts 110系列墙式RJ45插座。 Thomas&Betts 英式面板(双口)
009-86FP-2W
应 用 说 明 计算机网络系统端口的水平线与干线转接 管理跳线 安装布线板、交换机等 Thomas&Betts 英式面板(单口) 009-86FP-1W Thomas&Betts O.M.N.I. 5类信息模块
009-5-848B-C5BK
11