计算机网络工程将构建安全、万兆骨干、千兆到桌面的核心高性能有线网络系统,包括核心机房内采用具备万兆接入能力的核心交换机,教学楼、教师公寓内各楼层的弱电机柜、各楼层内接入交换机,通过光纤实现网络互联互通
1.1.1 系统概述
计算机网络工程将构建安全、万兆骨干、千兆到桌面的核心高性能有线网络系统,包括核心机房内采用具备万兆接入能力的核心交换机,教学楼、教师公寓内各楼层的弱电机柜、各楼层内接入交换机,通过光纤实现网络互联互通。
用户网络基础设施水平的建设,应做到技术先进、应用广泛、性能稳定,形成一个包括认证、监测、追踪、加密、记录、管理、流量管控均衡、防火墙在内的安全管理系统。教室、图书馆、以及体育馆、操场等公共场所采用有线网和无线网相结合,覆盖用户的每个角落。
图6-5 广域网系统拓扑图
本项目采用高性能、高可靠性的网络产品,通过运营商网络连接到Internet骨干,实现与Internet的高速接入,可提供较大带宽、吞吐量和高可靠性,为龙樾中学的关键网络功能需求提供实时服务,如无线上网、视频教学和语音接入等。
1.1.3 负载均衡设计
在整体设计中有三条广域网接入,为了避免上网流量大而造成网络拥塞,需要考虑增加网络链路负载设备,由此来实现对广域网络流量的内外双向负载。提供最大化的多链路可用性、面向学校网络的链路性能优化以及安全策略执行。能够轻松横跨VPN添加、管理和负载均衡多个ISP连接,以满足个人和公用备份互联网络连接线路,以及满足不断增长的网络需求。
为了充分考虑了后续数据中心扩展性,需通过实现链路负载均衡、全局负载均衡和服务器负载均衡三大功能对后续网络和应用系统的扩建、稳定性保障以及优化建设提供良好的扩展性。
1、本方案采用两台全冗余网络连接方式设计,来保证系统的高可用性和高可靠性。
2、内网用户访问互联网访问资源时,负载均衡接收到访问流量后,通过预先设定链路负载策略将用户访问流量分配到不同的互联网链路之上,实现出站流量负载均衡,提升互联网链路带宽利用率。
3、当外部用户访问内部资源时,通过智能DNS技术将一个域名绑定多个运营商的公网地址,负责解析来自不同运营商用户的域名解析请求;根据不同负载均衡策略为不同运营商的用户返回最佳的访问地址,实现用户入站流量的负载均衡。
1.1.4 局域网设计
核心交换层是学校平台的局域网交换主干,建设初期,学校网络有数据中心、一卡通系统、安防系统等多个应用系统上线,更有1500人左右的学生和教职员工的日常教学办公需要使用网络,所以,核心设备必须有很大的吞吐能力,必须具有很好的层次并具有很强的扩展能力,这就要求在设计上,各层次的功能简单化,以保证处理的高效和结构的简单;需要有核心层、将汇聚层和接入层的设备的数据进行汇集后连接至Internet接入层路由器;网络扩展易于实现并且不能对现有业务产生影响。
为了网络能够有更好的扩展性,需在各教学楼和宿舍楼都增加汇聚层交换机。这样能够保证各楼层的带宽也可以保证后期的扩容。在设备选择上,需要配备同一厂家的网络设备,使汇聚层和接入层交换机能够有更高的速度并节省带宽浪费。
无线网络布置以有线和无线混合的模式,各个AP直接接入有线网络。充分利用有线网络的高带宽,提高网络的健壮性。各个AP通过双绞线与楼层POE交换机相连,再通过千兆上联线路与网络中心的核心交换机连接。从而达到访问以太网的目的。
以下是针对有线终端接入和无线设备接入方面相关技术要求:
1) 无线尽量使用同频架构来部署AP,确保RF干扰降到最小,和无缝漫游,最小化RF信道规划的工作;
2) 全网支持802.11a/b/g/n,在某些特殊区域,如图书馆,多媒体教室,学术报告厅等热点区域支持高密度覆盖,确保用户数据,语音,视频的融合应用;
3) 对数据,语音和视频启用不同的QoS策略,在WiFi语音使用频繁区域做语音呼叫控制和信道之间的负载均衡;
4) 在全网内同时支持MAC,802.1x和Portal认证方式,客户端无论通过哪一种认证都可以接入网络,为不同的WiFi终端提供更加方便灵活的认证方式;
5) 认证采用WEP加密,802.1x下采用TKIP或AES加密;
6) 启用防ARP攻击,DHCP伪装,源地址假冒,非法AP和客户端侦测等安全功能,防止来自WiFi的攻击;MAC地址和AP绑定,避免用户使用相同MAC地址在其他区域(AP下)获得无线接入;
7) 无线网络独立组网,通过汇接交换机接入到骨干网络,与有线网络统一做认证接入;
8) 建议以楼为单位来划分VLAN和分配IP地址,每个VLAN地址池≤一个C类地址,以控制广播和病毒传播,同时提供User ID-VLAN-AP的3元或多元映射表,方便管理员在大规模管理网络时更加方便;
9) AP尽量采用隧道方式工作,跨VLAN或远程区域的AP采用桥接模式,本地转发流量;
10) 认证方面,无线控制器提供标准的radius认证和计费接口,集成到有线网络的认证系统中;
11) 提供MAC地址批量导入功能和MAC地址与VLAN映射功能,方便管理员大规模添加MAC地址;
12) 全网内定时或实时运行故障检测或频谱分析程序,及时发现RF干扰,无线网络或终端出现的问题;
通过标准的SNMP对设备进行配置和监控,通过SNMP trap和网页警告,邮件通知等方式通知管理员。在网管或独立的syslog上记录发生问题的网络环境上下文,必要时可进行现场重现和日后的审计。