学院网络改造实施方案WORD版本下载可编辑一、概述1、工程概况某某学院本次网络改造主要是对学生宿舍网和学校出口网络进行改造。
原有的学生宿舍网没有自己单独的核心设备,并且所有的桌面接入交换机均为不可网管设备,无论是从网络稳定性、安全性、可管理性和可控性上都无法得到保证,而出口位置以前没有专门的安全设备,整个校园网的安全也有缺陷。
针对这些问题,本次改造增加了一台H3C的高端路由交换机9505作为学生宿舍网的核心,将楼宇接入设备和桌面接入设备更换成了H3C的可网管交换机,并且增加了基于802.1X技术的cams用户管理系统,对学生上网进行认证和计费。
在出口位置,增加了一台高端的防火墙设备,作为校园网访问公网的边界设备。
2、实施原则网络改造的实施遵循下面三个原则:以用户需求为指导的原则由于本次网络改造是对原有网络的升级和扩容,因此,网络的改造首先要深刻理解用户的需求。
通过了解目前网络的现状,分析其所存在的缺点,结合用户提出的要求,制定最佳的实施方案,充分发挥出新设备的性能。
先进性的原则目前,某某学院网络在网络性能、可靠性、安全性和可管理性等方面存在一定的缺点,因此网络改造一定要遵循先进性的原则,弥补现有网络的缺陷,并且能够满足未来3至5年网络应用发展的需求。
合理规划、认真实施的原则在规划过程中,要充分考虑设备、vlan、地址使用的合理性及扩展性。
做到既不浪费、有又良好的可扩展性。
同时要做到便于管理。
实施过程中要注意各种细节问题,多余用户进行沟通,真正做到一丝不苟、认真负责。
二、网络改造实施方案1、新建网络拓扑情况新建网络将学生宿舍网与办公网在结构上做了分离,学生宿舍网成为一个单独的网络。
整个学生宿舍网呈星形结构,分为核心、汇聚和接入三层。
在逻辑结构上设计为一个大的交换网络,核心层是一台H3C 的9505路由交换机,既汇聚各楼的交换机,又与校园网出口防火墙通过千兆互联。
各学生宿舍楼使用一台E328作为楼宇汇聚设备,通过千兆光纤链路与核心设备互联,接入层的桌面接入设备为H3C 的E126交换机,通过百兆链路与楼宇汇聚设备互联。
学生宿舍网的网关均设置在9605上,Cams 用户管理服务器直接连接到核心9505上。
新建网络的出口位置增加了一台千兆防火墙,连接网通提供的Internet 链路和教育网某某地区的核心设备Ne40,同时通过千兆连接校园网的9505和6509,此防火墙的主要任务是做校园网访问外网的地址转换,并且抵御外部病毒和攻击。
新建网络拓扑如下图所示:学生宿舍3#CERNET 2学生核心9505Ne40学生宿舍1#学生宿舍2#学生宿舍4#学生宿舍7#学生宿舍5#学生宿舍6#学生宿舍8#教工宿舍网潍坊地区各高校网络一条链路双栈互联1000M 155M 100M教学1#教学3#教学2#教学4#教学5#教学6#教学7#Catalyst2950H3C 2133SecGate 3600-G10Cams 认证服务器具体的设备分配见表《设备分配与管理地址表》2、网络设备管理方案新建网络使用的均为可网管设备,为了便于管理,需要对网络设备规定统一的命名规则、端口描述规则、端口分配规则以及管理地址分配规则。
(1) 设备命名为了使设备易于管理与维护,对设备进行合理命名是必要的。
按以下规则命名:核心设备命名:9505的设备名命名为S9505-WFU汇聚与接入设备命名:设备名:ABCD_E_FABCD:设备类型,如接入交换机就命名为E126E:楼宇号;F:交换机序号例如:1号楼的第一台桌面接入交换机E126就命名为E126_1_1#(2) 端口描述为了使用户对网络连接情况更加清晰,对设备接口进行合理描述是必要的。
核心设备端口描述:to_A A为楼宇号或设备号如连接一号楼的端口描述为to_1# 汇聚设备端口描述:汇聚设备的上联端口统一描述为to_9505汇聚设备的下联端口描述:to_E126_B B为该楼E126序号接入设备端口描述:上联端口描述为to_E328_C C为汇聚设备E328的端口号(3) 核心设备端口分配核心设备9505的端口众多,建立一个详细的设备端口分配表,再结合端口描述,可以使用户非常方便的进行端口管理。
详细的核心设备端口分配见附件《核心设备端口分配表》3、VLAN和IP地址规划方案本次网络改造的vlan划分原则是对vlan进行细分。
这样设计的原因是:1)ARP病毒或其它网内病毒呈愈演愈烈之势。
一旦一个vlan内部出现了ARP病毒,那么vlan内所有机器都会受到影响,甚至会影响到交换机的性能。
而vlan细分可以把影响面缩小,便于排查中毒机器,同时也控制了病毒的传播。
2)随着多媒体的发展,组播流量将占据越来越大的比重。
按照组播原理,组播流量到了二层vlan内部,会向网段内部的所有端口发送,一旦流量过大,会影响vlan内部所有机器的正常网络使用,同样也会影响接入交换机的性能。
显而易见,把vlan细分,减少一个vlan内的机器数量,就可以有效地控制vlan内部的组播流量。
3)把vlan细分,便于进行访问控制和服务质量保证。
具体的分配原则是:1、2号楼各划分9个vlan3号楼划分21个vlan4号楼划分20个vlan5号楼分为两部分接入到核心设备,一部分划分18个vlan,另一部分划分10个vlan6号楼也分为两部分接入到核心设备,每一部分各划分12个vlan7号楼划分12个vlan8号楼划分17个vlan对于服务器,单独设置一个服务器vlan。
为实现网络可管理的要求,在每一栋学生宿舍楼上增加了一个网络管理VLAN(5、6号楼每部分增加一个管理vlan),它不需要分配端口,只作为网络管理用,可以通过telnet 或网管软件等方式远程管理和监控交换机,达到可控制、可管理的目的。
为实现9505交换机与防火墙的互通,需要在9505上设置一个互联VLAN具体的vlan划分见附录《vlan与IP地址划分表》由于学生宿舍网使用的都是私网IP,通过地址转换访问教育网和公网,所以有充足的IP地址可供分配。
为了避免IP地址盗用现象,为每一个vlan分配一个C类的地址;为服务器网段分配一个C的地址;为每一个管理vlan分配64个地址;另外,与防火墙互联的vlan 分配一个公网地址。
IP地址的分配目前采用DHCP动态分配的方式。
由于学生宿舍网使用的都是私网IP,并且每个VLAN的IP地址很多,因此使用静态分配地址并且在交换机上进行绑定的方式实施起来很困难,也会对交换机的性能造成影响。
使用动态DHCP分配地址的优点是配置简单,缺点是不利于进行用户定位和事件追踪,但使用cams系统可以查找到用户名与IP地址的对应关系,并可以查看用户上网日志,从而很容易的进行用户定位,所以建议使用DHCP 动态分配地址。
由于cams还具备用户名与IP地址绑定的功能,因此今后也可以更改地址分配方式。
具体的IP地址分配见附录《vlan与IP地址划分表》4、安全性实施方案校园网现在对安全性的要求越来越高。
校园网的安全性主要分为内网安全和外网安全两部分。
一方面,由于网内用户数量众多,用户水平参差不齐,因此校园网内很容易出现病毒泛滥的情况,个别用户也会出现不良网络行为;另一方面,由于校园网直接与公网相连,也容易遭受外部病毒侵入或来自外部的攻击。
要保证校园网的安全,对这两方面都要有相应的对策。
安全性的实施主要包括以下方面:(1) 抵御外网病毒和攻击在校园网出口位置放置防火墙的目的就是要抵御外网病毒和攻击。
需要在防火墙上做相应的防病毒控制策略和防攻击策略。
(2) 防内网病毒和攻击目前,网络病毒和网络攻击是网络运行面临的重要安全问题,对于某些著名的恶性病毒,如ARP病毒、震荡波、冲击波等,其传播端口是固定的,因此,我们可以设置ACL列表,封掉其传播的端口,这样可以阻止恶性病毒的传播范围,保障网络的安全运行。
华为设备有一套通用的防病毒ACL,并可根据用户的要求添加条目。
通用ACL为:acl number 3010rule 0 deny udp destination-port eq 445rule 1 deny udp destination-port eq netbios-nsrule 2 deny udp destination-port eq netbios-dgmrule 3 deny udp destination-port eq netbios-ssnrule 4 deny udp destination-port eq 1434rule 5 deny tcp destination-port eq 135rule 6 deny tcp destination-port eq 139rule 7 deny tcp destination-port eq 389rule 8 deny tcp destination-port eq 445rule 9 deny tcp destination-port eq 636rule 10 deny tcp destination-port eq 1025rule 11 deny tcp destination-port eq 1503rule 12 deny tcp destination-port eq 3268rule 13 deny tcp destination-port eq 3269rule 14 deny tcp destination-port eq 4444rule 15 deny tcp destination-port eq 5554rule 16 deny tcp destination-port eq 5800rule 17 deny tcp destination-port eq 5900rule 18 deny tcp destination-port eq 9996rule 19 deny tcp destination-port eq 6667。