1、XX园区管理中心及图书馆网络项目解决方案建议书杭州XX通信技术有限公司2010年09月24日目录1.需求分析31.1.建设背景31.2.建设需求31.3.建设原则32.整体设计42.1.总体设计概述42.1.1.核心环网网络概述52.1.2.园区管理中心办公网52.1.3.图书馆网络建设72.1.4接入层72.1.5核心层82.1.4.接入交换机采用堆叠的优势82.1.5.采用WX5004无线控制器的优势92.1.6.防火墙+UTM+IPS特征库的优势92.1.7.采用2612-AGN无线11n无线接入的优势10需求分析1.1. 建设背景“XX”位于天津市中心城区和滨海新区之间，是未来天津国际2、化和区域化职能扩展的重要地区。规划和建设好“XX”是实现“双城、双港”，形成海河经济带、文化带、景观带的重要一步。XX项目规划选址位于海河中游南岸地区，周边紧邻津南新城、八里台镇、天嘉湖、双港镇、大寺镇、军粮城镇。规划总占地37平方公里，规划办学规模20万人，居住人口10万人。一期规划占地9.8平方公里，规划办学规模5.8万人，居住人口4万人左右。本工程计算机网络系统包括园区管理中心、公共图书馆、核心骨干环及外网接入。整体网络规划分为有线网络、无线网络、网络管理系统、网络安全控制系统4 个部分。1.2. 建设需求需要建设独立的园区核心环网，用于接入园区管理中心数据网、公共图书馆数据网和一期入驻3、的7个高校园区网。并且采用国际标准化组织通用协议，保持良好的扩展性。要求环网设备可以对各个接入单位提供速率控制。建设两个独立的局域网，一个为园区管理中心数据网，一个公共图书馆数据网，两个网络各自成网，分别接入园区核心环网。另外本次项目需要部署瘦AP模式的无线接入，同时整网还需要考虑高度的校园网安全性。1.3. 建设原则为实现XX网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地4、支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。技术先进性和实用性在保证满足校园业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。高性能骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络)之间的平滑连接互通，以及将来网络的扩展。灵活性及5、可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。安全性制订统一的网络安全策略，整体考虑网络平台的安全性。保证关键数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。兼容性和经济性兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段（如现有的双向教学系统），保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资6、源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。2. 整体设计2.1. 总体设计概述XX核心环网，园区管理中心办公网，图书馆网络总体设计以高性能、高可靠性、高安全性、良好的可扩展性和可管理为原则。本次网络建设方案设计兼顾了技术的成熟性、先进性。组网图如下所示：XX核心环网，园区管理中心办公网，图书馆网络综合示意图2.1.1. 核心环网网络概述H3C设计全新的基于纯IP技术的网络平台来满足高校校园网的需求变化。面向网络资源的有效、高效利用，从网络架构方面提供优化方案，7、使得校园核心网、接入网具有更高的可靠性和可控性，同时使得网络结构与布局在结合实际业务分布的前提下更加合理。本项目设计使用三台S5500三层交换机各部署一块万兆接口板，提供两个万兆接口。使用万兆实现双环路核心。园区管理网、图书馆网络、校园网和出口都使用双链路连接到核心环网上的两个不同节点，核心环网能够防止数据环路引起的广播风暴，而当以太网环上一条链路断开时能迅速启用备份链路以恢复环网上各个节点之间的通信通路。保证当园区管理网、图书馆网络、校园网和出口有单点故障时网络不会中断。在核心网络的出口处部署F1000-S防火墙设备，防止CERNET网络对园区网的攻击保护内部安全，同时F1000-S具备强大8、的地址转换功能，满足园区用户访问CERNET的需求。2.1.2. 园区管理中心办公网管理中心网络示意图（相当于总图的左半部分）园区管理网上端部署一台F1000-S，使用千兆链路连接到中央核心环网两个节点上。负责整个园区管理网出口安全，防止由外部过来的攻击同时做内部地址转换。下端使用千兆电接口连接一台U200-A统一威胁管理主机。扩展使用U200-A的IPS功能，对网络中的2-7层的攻击和木马病毒等进行整体防御。管理中心办公网核心介绍园区管理网的核心交换机使用两台H3C的S7510E交换机，分别配置单引擎双电源。交换机使用的支持IPV6的引擎，便于以后学校中的IP网络融合。在两台核心交换机上分别9、部署1块48电口接口插卡和1块24口光接口插卡。两台核心交换机之间使用千兆电接口进行心跳线连接，作为下端接入交换机的网关，进行VRRP设置达到冗余备份的作用，充分保证业务的连续性和可靠性。使两台交换机之间进行双机热备，任意一台核心交换机出现故障，另外一台核心交换机将负责所有的用户接入。设备单点故障不会影响到整个网络的运行。管理中心办公网接入层介绍接入交换机使用E552三层千兆交换机。使用两条千兆链路分别连接到两台核心交换机。用户网关设置于核心交换机上。交换机采用堆叠方式组网，多台设备虚拟成一台简化网络管理，高可靠性满足设备1：N的冗余备份。千兆到桌面的设计可以满足学生们的视频点播、带大附件的电10、子邮件、文件传输器以及WEB和JAVA工具等多种应用，也大大提升了网络的价值。E552教育网交换机支持IPv6的路由功能，从而实现IPv6报文的三层线速转发功能，E552三层交换设备可以防止ARP攻击以及DHCP广播包泛红。无线控制器+FIT AP无线组网部署一台无线控制器WX5004，配置双电源，提高了无线控制器本身的稳定性。无线控制器使用两条千兆链路连接到两台核心交换机上。通过无线控制器对网络中的无线AP进行控制和数据转发，实现AP的零配置。AP使用WA2612-AGN设备，支持802.11n。在网络中使用S5120-28C-PWR-EI接入交换机负责对网络的无线接入AP提供POE的供电。11、AP将不再使用单独的电源线，直接使用千兆双绞线进行数据传输和供电，满足300M大功率AP需求。AP选用支持802.11n的瘦AP，对无线接入用户提供最大300M的无线接入，并且支持网络终端准入控制，便于未来关于安全性的扩展和控制。2.1.3. 图书馆网络建设图书馆网络示意图（相当于总图的右半部分）图书馆的网络设计与管理中心办公网类似，网络出口部署防火墙和UTM+IPS特征库，实现对网络2-7层纵深一体的防护体系，在防火墙上划分DMZ区用来部署服务器集群更加有效地保护了集群，并对服务器攻击者来说又增添了一道关卡。2.1.4 接入层提供网络的第一级接入功能，E552支持特有的ARP入侵检测功能，可12、有效防止黑客或攻击者通过ARP报文实施校园网常见的“中间人”攻击。支持端口安全特性族，可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习，可以保证只有真正的业务主机才能够接入网络，而其他新接入主机即使连接到交换机上也无法获取地址并连通网络。并支持端口隔离功能，即便是在同一VLAN内，也可以实现端口之间的隔离，从而避免广播风暴和病毒在VLAN内的扩散从而影响所有端口。通过H3C特有的IRF2（智能弹性架构）功能，对交换机进行堆叠，使其虚拟为一台逻辑设备，用户能13、够简化对网络的管理。同时部分交换机为支持POE的型号，通过网线对AP进行远程供电，极大地简化了AP的部署难度。另外，选用全千兆交换机，可以为部署的支持802.11n的无线AP提供足够大的接入带宽，避免瓶颈。千兆到桌面的设计可以满足学生们的视频点播、带大附件的电子邮件、文件传输器以及WEB和JAVA工具等多种应用，同时也大大提高了学生的预览效率，提升了网络的价值。E552教育网交换机支持IPv6的路由功能，从而实现IPv6报文的三层线速转发功能，还支持丰富的IPv6业务特性，包括IPv6 ACL，QoS，组播等，通过运行MLD snooping（Multicast Listener Discov14、ery Snooping）可以有效避免IPv6组播报文在二层的广播，将信息转发给需要的接受者，节约了网络带宽，增强了IPv6组播信息的安全性，同时也为每台主机的单独计费带来了方便2.1.5 核心层核心层两台S7510E设置VRRP，终端用户的网关设置在两台核心交换机上，接入设备双链路上联，实现链路以及设备级冗余备份，避免单点故障，保证业务的连续性可靠性。能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。核心交换机上提供充足的千兆接口，以连接接入交换机。对于本次网络核心层，选择采用高可靠的双电源结构，提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IP15、v6、网络安全、网络业务分析等智能特性，以保证在未来的使用过程中，业务拓展而需要的升级可以平滑的实现，而不需更换设备。2.1.4. 接入交换机采用堆叠的优势H3C E552教育网交换机支持IRF2（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处： 简化管理 IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化业16、务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，并随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。 高可靠 IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会17、迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。 高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制，而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易地将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。2.1.5. 采用WX5004无线控制器的优势一、提供对802.11n AP的管理WX5004无线控制器在支持对传统802.11a/b/g AP管理的同时，还可以与H318、C基于802.11n协议的 WA2612AP配合组网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。二、提供灵活的数据转发方式支持集中式转发和分布式转发。单一的集中式转发，AC虽然能对报文进行全面控制，但所有的无线业务流都要到AC进行统一处理，使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。甚至当802.11n出现时，一个AP的业务报文流量高达300M之多，AC的处理性能19、更加成为无线系统的瓶颈。当采用分布式转发时，报文在AP上直接转化为有线格式的报文，并不经过AC，能够实现无线报文的宽带接入。WX5004无线控制器，支持两种转发方式，用户可以根据需要，给SSID设置转发的类型。三、提供基于位置的用户接入控制出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。支持基于AP的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。四、提供POE远程供电支持PoE+供电（每端口最大提供25W的功率），因此无论是802.11a/b/g系列的20、传统AP，还是802.11n系列的AP，大多数情况下都能与这些Fit AP直接相连。Fit AP和一体化交换机之间既可以在同一个网段，也可以不在同一个网段，它们之间通过CAPWAP协议自动建立隧道（该隧道基于UDP，可以穿越三层网络，但不可穿越NAT网络）。2.1.6. 防火墙+UTM+IPS特征库的优势面临端口扫描，操作系统类型探测，缓冲区溢出攻击，木马程序，用户账号扫描，口令猜测，拒绝服务攻击与分布式拒绝服务攻击，通过消耗网络带宽、耗尽硬盘空间，病毒，新型蠕虫病毒会通过网络大量的传播，诸如此类的攻击防不胜防，一旦突破防火墙的拦截，如果没有更深层的防护措施，所有的资源会完全暴露在攻击者面前。21、而多种解决方案便可以分散这种风险。我们推荐防火墙+UTM+IPS特征库作为整体安全防护体系的重要组成部分，实现2-7层的一体防护，在检测入侵和误用方面具越来越成熟，已经成为必备的防护手段。灵活智能的NAT转换，支持支持多种常用转换，支持多种ALG，指定转换后地址，静态网段地址转换，双向地址转换，支持DNS映射。强大的地址转换功能有效的解决公网地址匮乏的现状。二、通过在边界部署防火墙，主要目的是实现以下三大功能：来自Internet攻击的防范：随着网络技术不断的发展，Internet上的现成的攻击工具越来越多，而且可以通过Internet广泛传播，由此导致Internet上的攻击行为也越来越多，22、而且越来越复杂，防火墙必须可以有效的阻挡来自Internet的各种攻击行为；Internet服务器安全防护：接入Internet后，大都会利用Internet这个大网络平台进行信息发布和企业宣传，需要在Internet边界部署服务器，因此，必须在能够提供Internet上的公众访问这些服务器的同时，保证这些服务器的安全；内部用户访问Internet管理：必须对内部用户访问Internet行为进行细致的管理，比如能够支持WEB、邮件、以及BT等应用模式的内容过滤，避免网络资源的滥用，也避免通过Internet引入各种安全风险；任何数据流都必须经过IPS并被检测以立即发现攻击、屏蔽蠕虫、病毒和间谍23、软件、DOS及DDOS攻击、应用误用和滥用行为，而一旦发现，IPS应立即阻断攻击，屏蔽蠕虫、病毒和间谍软件，以及阻断和限制P2P等应用误用和滥用行为2.1.7. 采用2612-AGN无线11n无线接入的优势一、提供宽带无线接入WA2600系列无线AP兼容802.11n Draft2.0草案，采用模块化设计，保证未来802.11n标准正式批准后能及时升级以满足标准，保护客户投资。本系列无线接入点产品单射频能提供高达300Mbps的无线接入速度，是传统802.11a/b/g产品的六倍，覆盖距离更大，能提供更多用户、更大范围、更大流量的无线接入服务。二、提供千兆以太网接口有线连接上行接口采用千兆以太网接口接入，突破了传统百兆以太网接口的限制，使有线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。三、提供本地转发功能当WA2600（FAT AP模式）系列无线AP通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。WA2600系列无线AP可将数据报文在AP上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在AP本地进行转发，大大提高了转发效率。