學(xué)院網(wǎng)絡(luò)改造實(shí)施方案學(xué)院網(wǎng)絡(luò)改造實(shí)施方案第第1頁WORD版本下載可編輯學(xué)院網(wǎng)絡(luò)改造實(shí)施方案學(xué)院網(wǎng)絡(luò)改造實(shí)施方案第第#頁一、概述1、工程概況某某學(xué)院本次網(wǎng)絡(luò)改造主要是對學(xué)生宿舍網(wǎng)和學(xué)校出口網(wǎng)絡(luò)進(jìn)行改造。原有的學(xué)生宿舍網(wǎng)沒有自己單獨(dú)的核心設(shè)備，并且所有的桌面接入交換機(jī)均為不可網(wǎng)管設(shè)備，無論是從網(wǎng)絡(luò)穩(wěn)定性、安全性、可管理性和可控性上都無法得到保證，而出口位置以前沒有專門的安全設(shè)備，整個(gè)校園網(wǎng)的安全也有缺陷。針對這些問題，本次改造增加了一臺(tái)H3c的高端路由交換機(jī)9505作為學(xué)生宿舍網(wǎng)的核心，將樓宇接入設(shè)備和桌面接入設(shè)備更換成了H3C的可網(wǎng)管交換機(jī)，并且增加了基于802.1X技術(shù)的cams用戶管理系統(tǒng)，對學(xué)生上網(wǎng)進(jìn)行認(rèn)證和計(jì)費(fèi)。在出口位置，增加了一臺(tái)高端的防火墻設(shè)備，作為校園網(wǎng)訪問公網(wǎng)的邊界設(shè)備。2、實(shí)施原則網(wǎng)絡(luò)改造的實(shí)施遵循下面三個(gè)原則：以用戶需求為指導(dǎo)的原則由于本次網(wǎng)絡(luò)改造是對原有網(wǎng)絡(luò)的升級(jí)和擴(kuò)容，因此，網(wǎng)絡(luò)的改造首先要深刻理解用戶的需求。通過了解目前網(wǎng)絡(luò)的現(xiàn)狀，分析其所存在的缺點(diǎn)，結(jié)合用戶提出的要求，制定最佳的實(shí)施方案，充分發(fā)揮出新設(shè)備的性能。先進(jìn)性的原則目前，某某學(xué)院網(wǎng)絡(luò)在網(wǎng)絡(luò)性能、可靠性、安全性和可管理性等方面存在一定的缺點(diǎn)，因此網(wǎng)絡(luò)改造一定要遵循先進(jìn)性的原則，彌補(bǔ)現(xiàn)有網(wǎng)絡(luò)的缺陷，并且能夠滿足未來3至5年網(wǎng)絡(luò)應(yīng)用發(fā)展的需求。合理規(guī)劃、認(rèn)真實(shí)施的原則在規(guī)劃過程中，要充分考慮設(shè)備、vlan、地址使用的合理性及擴(kuò)展性。做到既不浪費(fèi)、有又良好的可擴(kuò)展性。同時(shí)要做到便于管理。實(shí)施過程中要注意各種細(xì)節(jié)問題，多余用戶進(jìn)行溝通，真正做到一絲不茍、認(rèn)真負(fù)責(zé)。

二、網(wǎng)絡(luò)改造實(shí)施方案1、新建網(wǎng)絡(luò)拓?fù)淝闆r新建網(wǎng)絡(luò)將學(xué)生宿舍網(wǎng)與辦公網(wǎng)在結(jié)構(gòu)上做了分離，學(xué)生宿舍網(wǎng)成為一個(gè)單獨(dú)的網(wǎng)絡(luò)。整個(gè)學(xué)生宿舍網(wǎng)呈星形結(jié)構(gòu)，分為核心、匯聚和接入三層。在邏輯結(jié)構(gòu)上設(shè)計(jì)為一個(gè)大的交換網(wǎng)絡(luò)，核心層是一臺(tái)H3c的9505路由交換機(jī)，既匯聚各樓的交換機(jī)，又與校園網(wǎng)出口防火墻通過千兆互聯(lián)。各學(xué)生宿舍樓使用一臺(tái)E328作為樓宇匯聚設(shè)備，通過千兆光纖鏈路與核心設(shè)備互聯(lián)，接入層的桌面接入設(shè)備為H3C的E126交換機(jī)，通過百兆鏈路與樓宇匯聚設(shè)備互聯(lián)。學(xué)生宿舍網(wǎng)的網(wǎng)關(guān)均設(shè)置在9605上，Cams用戶管理服務(wù)器直接連接到核心9505上。新建網(wǎng)絡(luò)的出口位置增加了一臺(tái)千兆防火墻，連接網(wǎng)通提供的Internet鏈路和教育網(wǎng)某某地區(qū)的核心設(shè)備Ne40，同時(shí)通過千兆連接校園網(wǎng)的9505和6509,此防火墻的主要任務(wù)是做校園網(wǎng)訪問外網(wǎng)的地址轉(zhuǎn)換，并且抵御外部病毒和攻擊。新建網(wǎng)絡(luò)拓?fù)淙缦聢D所示：學(xué)生核心辦公核心學(xué)生宿舍2#學(xué)生宿舍4#學(xué)生宿舍6#學(xué)生宿舍8#教學(xué)1# 教學(xué)2# 教學(xué)3# 教學(xué)4#教學(xué)5# 教學(xué)6# 教學(xué)7#學(xué)生核心辦公核心學(xué)生宿舍2#學(xué)生宿舍4#學(xué)生宿舍6#學(xué)生宿舍8#教學(xué)1# 教學(xué)2# 教學(xué)3# 教學(xué)4#教學(xué)5# 教學(xué)6# 教學(xué)7#1000M155M100MCatalyst2950H3CE328D2133SecGate3600-G10學(xué)生宿舍1#學(xué)生宿舍3#學(xué)生宿舍5#學(xué)生宿舍7#Cernet和Cernet2均連接到山東大學(xué)，通過一條鏈路雙?；ヂ?lián)宿舍匯聚設(shè)備具體的設(shè)備分配見表《設(shè)備分配與管理地址表》2、網(wǎng)絡(luò)設(shè)備管理方案新建網(wǎng)絡(luò)使用的均為可網(wǎng)管設(shè)備，為了便于管理，需要對網(wǎng)絡(luò)設(shè)備規(guī)定統(tǒng)一的命名規(guī)則、端口描述規(guī)則、端口分配規(guī)則以及管理地址分配規(guī)則。設(shè)備命名為了使設(shè)備易于管理與維護(hù)，對設(shè)備進(jìn)行合理命名是必要的。按以下規(guī)則命名：核心設(shè)備命名：9505的設(shè)備名命名為S9505-WFU匯聚與接入設(shè)備命名：設(shè)備名：ABCD_E_FABCD：設(shè)備類型，如接入交換機(jī)就命名為E126E：樓宇號(hào)；F：交換機(jī)序號(hào)例如：1號(hào)樓的第一臺(tái)桌面接入交換機(jī)E126就命名為E126_1_1#端口描述為了使用戶對網(wǎng)絡(luò)連接情況更加清晰，對設(shè)備接口進(jìn)行合理描述是必要的。核心設(shè)備端口描述：to_AA為樓宇號(hào)或設(shè)備號(hào)如連接一號(hào)樓的端口描述為to_1#匯聚設(shè)備端口描述：匯聚設(shè)備的上聯(lián)端口統(tǒng)一描述為to_9505匯聚設(shè)備的下聯(lián)端口描述：to_E126_BB為該樓E126序號(hào)接入設(shè)備端口描述：上聯(lián)端口描述為to_E328_CC為匯聚設(shè)備E328的端口號(hào)核心設(shè)備端口分配核心設(shè)備9505的端口眾多，建立一個(gè)詳細(xì)的設(shè)備端口分配表，再結(jié)合端口描述，可以使用戶非常方便的進(jìn)行端口管理。詳細(xì)的核心設(shè)備端口分配見附件《核心設(shè)備端口分配表》3、VLAN和IP地址規(guī)劃方案本次網(wǎng)絡(luò)改造的vlan劃分原則是對vlan進(jìn)行細(xì)分。這樣設(shè)計(jì)的原因是：1)ARP病毒或其它網(wǎng)內(nèi)病毒呈愈演愈烈之勢。一旦一個(gè)vlan內(nèi)部出現(xiàn)了ARP病毒，那么vlan內(nèi)所有機(jī)器都會(huì)受到影響，甚至?xí)绊懙浇粨Q機(jī)的性能。而vlan細(xì)分可以把影響面縮小，便于排查中毒機(jī)器，同時(shí)也控制了病毒的傳播。2)隨著多媒體的發(fā)展，組播流量將占據(jù)越來越大的比重。按照組播原理，組播流量到了二層vlan內(nèi)部，會(huì)向網(wǎng)段內(nèi)部的所有端口發(fā)送，一旦流量過大，會(huì)影響vlan內(nèi)部所有機(jī)器的正常網(wǎng)絡(luò)使用，同樣也會(huì)影響接入交換機(jī)的性能。顯而易見，把vlan細(xì)分，減少一個(gè)vlan內(nèi)的機(jī)器數(shù)量，就可以有效地控制vlan內(nèi)部的組播流量。3）把vlan細(xì)分，便于進(jìn)行訪問控制和服務(wù)質(zhì)量保證。具體的分配原則是：1、2號(hào)樓各劃分9個(gè)vlan3號(hào)樓劃分21個(gè)vlan4號(hào)樓劃分20個(gè)vlan5號(hào)樓分為兩部分接入到核心設(shè)備，一部分劃分18個(gè)vlan，另一部分劃分10個(gè)vlan6號(hào)樓也分為兩部分接入到核心設(shè)備，每一部分各劃分12個(gè)vlan7號(hào)樓劃分12個(gè)vlan8號(hào)樓劃分17個(gè)vlan對于服務(wù)器，單獨(dú)設(shè)置一個(gè)服務(wù)器vlan。為實(shí)現(xiàn)網(wǎng)絡(luò)可管理的要求，在每一棟學(xué)生宿舍樓上增加了一個(gè)網(wǎng)絡(luò)管理VLAN（5、6號(hào)樓每部分增加一個(gè)管理vlan），它不需要分配端口，只作為網(wǎng)絡(luò)管理用，可以通過telnet或網(wǎng)管軟件等方式遠(yuǎn)程管理和監(jiān)控交換機(jī)，達(dá)到可控制、可管理的目的。為實(shí)現(xiàn)9505交換機(jī)與防火墻的互通，需要在9505上設(shè)置一個(gè)互聯(lián)VLAN具體的vlan劃分見附錄《vlan與IP地址劃分表》由于學(xué)生宿舍網(wǎng)使用的都是私網(wǎng)IP，通過地址轉(zhuǎn)換訪問教育網(wǎng)和公網(wǎng)，所以有充足的IP地址可供分配。為了避免IP地址盜用現(xiàn)象，為每一個(gè)vlan分配一個(gè)C類的地址；為服務(wù)器網(wǎng)段分配一個(gè)C的地址；為每一個(gè)管理vlan分配64個(gè)地址；另外，與防火墻互聯(lián)的vlan分配一個(gè)公網(wǎng)地址。IP地址的分配目前采用DHCP動(dòng)態(tài)分配的方式。由于學(xué)生宿舍網(wǎng)使用的都是私網(wǎng)IP，并且每個(gè)VLAN的IP地址很多，因此使用靜態(tài)分配地址并且在交換機(jī)上進(jìn)行綁定的方式實(shí)施起來很困難，也會(huì)對交換機(jī)的性能造成影響。使用動(dòng)態(tài)DHCP分配地址的優(yōu)點(diǎn)是配置簡單，缺點(diǎn)是不利于進(jìn)行用戶定位和事件追蹤，但使用cams系統(tǒng)可以查找到用戶名與IP地址的對應(yīng)關(guān)系，并可以查看用戶上網(wǎng)日志，從而很容易的進(jìn)行用戶定位，所以建議使用DHCP動(dòng)態(tài)分配地址。由于cams還具備用戶名與IP地址綁定的功能，因此今后也可以更改地址分配方式。具體的IP地址分配見附錄《vlan與IP地址劃分表》4、安全性實(shí)施方案校園網(wǎng)現(xiàn)在對安全性的要求越來越高。校園網(wǎng)的安全性主要分為內(nèi)網(wǎng)安全和外網(wǎng)安全兩部分。一方面，由于網(wǎng)內(nèi)用戶數(shù)量眾多，用戶水平參差不齊，因此校園網(wǎng)內(nèi)很容易出現(xiàn)病毒泛濫的情況，個(gè)別用戶也會(huì)出現(xiàn)不良網(wǎng)絡(luò)行為；另一方面，由于校園網(wǎng)直接與公網(wǎng)相連，也容易遭受外部病毒侵入或來自外部的攻擊。要保證校園網(wǎng)的安全，對這兩方面都要有相應(yīng)的對策。安全性的實(shí)施主要包括以下方面：抵御外網(wǎng)病毒和攻擊在校園網(wǎng)出口位置放置防火墻的目的就是要抵御外網(wǎng)病毒和攻擊。需要在防火墻上做相應(yīng)的防病毒控制策略和防攻擊策略。防內(nèi)網(wǎng)病毒和攻擊目前，網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊是網(wǎng)絡(luò)運(yùn)行面臨的重要安全問題，對于某些著名的惡性病毒，如ARP病毒、震蕩波、沖擊波等，其傳播端口是固定的，因此，我們可以設(shè)置ACL列表，封掉其傳播的端口，這樣可以阻止惡性病毒的傳播范圍，保障網(wǎng)絡(luò)的安全運(yùn)行。華為設(shè)備有一套通用的防病毒ACL，并可根據(jù)用戶的要求添加條目。通用ACL為：aclnumber3010rule0denyudpdestination-porteq445rule1denyudpdestination-porteqnetbios-nsrule2denyudpdestination-porteqnetbios-dgmrule3denyudpdestination-porteqnetbios-ssnrule4denyudpdestination-porteq1434rule5denytcpdestination-porteq135rule6denytcpdestination-porteq139rule7denytcpdestination-porteq389rule8denytcpdestination-porteq445rule9denytcpdestination-porteq636rule10denytcpdestination-porteq1025rule11denytcpdestination-porteq1503rule12denytcpdestination-porteq3268rule13denytcpdestination-porteq3269rule14denytcpdestination-port