题 目: XX高校信息化网络系统集成实施方案
专业方向: 计 算 机 网 络 技 术
指导教师: 邱涛 王亮
成员姓名: 欧杰
指导单位: 四川托普信息技术职业学院
2012年 10 月 日
摘 要
随着微电子技术、计算机技术和通信技术的迅速发展和相互渗透,计算机网络已成为当今最热门的学科之一,在过去的几十年里取得了长足的发展,尤其是在近十几年来得到了高速发展。在21世纪,计算机网络尤其是Internet技术必将改变人们的生活、学习、工作乃至思维方式,并对科学、技术、政治、经济乃至整个社会产生巨大的影响,每个国家的经济建设、社会发展、国家安全乃至政府的高效运转都将越来越依赖于计算机网络。
同所有软件开发一样,当开发一个满足特定业务需求的网络时,必须采取“工程化”思想做指导。一个良好的、规范的网络开发过程不仅不会成为干扰实际健忘工作的负担,相反会使设计的工作更清晰、更加高效和更令人满意,同时也可以大大减少网络开发成本和提高网络工程质量。
本设计定位于实际的工程应用,因此配置了比较完备的硬件资源。在内容选择上,一方面以对校园网的网络拓扑和所需设备进行了设计;另一方面用很直观的网络拓扑图概述了本次毕业设计相关的网络安全、网络所需设备以及所实现的网络功能和应用等。
设计包括工程概况、系统需求分析、系统设计、校园网网络安全。整个工作是由一个“设计小组”完成,本人参与其中网络部分的设计。通过实践,加深了对计算机网络的理解,实际动手能力大大提高,学习到了许多书本上学不到的知识。
[关键词]:校园网 网络拓扑 VLAN技术 网络安全 数据中心
目 录
一.概述 ............................................................................................................................................. 1
1.1 工程背景 ........................................................................................................................... 1 1.2 工程概况 ........................................................................................................................... 2 1.3 工程目的 ........................................................................................................................... 2 二.需求分析和设计原则 ................................................................................................................. 3
2.1需求与分析 ........................................................................................................................ 3
2.1.1具体需求 ................................................................................................................ 4 2.1.2需求分析 ................................................................................................................ 4 2.2 设计目标 ........................................................................................................................... 4 2.3 设计原则 ........................................................................................................................... 5 三.方案设施及详细设计 ................................................................................................................. 6
3.1网络拓扑设计 .................................................................................................................... 7
3.1.1拓扑选择 ................................................................................................................ 7 3.1.2拓扑结构图 ............................................................................................................ 8 3.1.3拓扑结构说明 ........................................................................................................ 8 3.2 网络设计及设备选型 ....................................................................................................... 9
3.2.1 核心层设计 ........................................................................................................... 9 3.2.2 汇聚层设计 ......................................................................................................... 11 3.2.3 接入层设计 ......................................................................................................... 14 3.2.4 数据中心设计 ..................................................................................................... 15 3.3 VLAN与IP子网设计 .................................................................................................... 21
3.3.1 VLAN规划 .......................................................................................................... 21 3.3.2 IP子网设计 ...................................................................................................... 22 3.4网络相关设备配置命令 .................................................................................................. 23
3.4.1 出口设备 ............................................................................................................. 23 3.4.2核心层设备 .......................................................................................................... 25 3.4.3 汇聚层设备 ......................................................................................................... 28 3.4.4 接入层设备 ......................................................................................................... 33
四.ManageEngine-Opmanager综合网络管理系统 .................................................................... 37
4.1 ManageEngine OpManager的简介 ................................................................................ 37 4.2 OpManager的工作机制 .................................................................................................. 37
4.2.1 网络组件 ............................................................................................................. 37 4.2.2 服务器与工作站 ................................................................................................. 37 4.2.3 应用与服务 ......................................................................................................... 37 4.2.4 故障管理 ............................................................................................................. 38 4.2.5 性能管理 ............................................................................................................. 38
4.2.6 资源清单管理 ..................................................................................................... 38 4.2.7 增强的Web接口和远程客户端 ......................................................................... 38 4.3 利用OpManager对网络进行管理 ................................................................................. 38
4.3.1 使用OpManager软件进行网络管理步骤如下: .............................................. 38 4.3.2新建模版 ................................................................................................................ 42 4.3.3添加设备 ................................................................................................................ 44 4.3.4端口预警 ................................................................................................................ 47 4.3.5流量监控 ................................................................................................................ 49 4.3.6 软件总结 ............................................................................................................... 51
五.校园网网络安全 ..................................................................................................................... 51
5.1设备安全 .......................................................................................................................... 51 5.2网络结构安全 .................................................................................................................. 52
5.3.1 网络嗅探 ............................................................................................................. 53 5.3.2 ARP欺骗 .............................................................................................................. 53 5.3.3 IP地址欺骗 ........................................................................................................ 54 5.3.4 DOS攻击 .............................................................................................................. 54 5.4 安全控制 ......................................................................................................................... 55
5.4.1访问控制列表(ACL) ............................................................................................ 55 5.4.2源地址确认 .......................................................................................................... 56
六.设备清单与主要指标 ............................................................................................................. 57
6.1 设备清单 ......................................................................................................................... 57 6.2 设备主要技术参数指标 ................................................................................................. 57 七.系统实施 ....................................................................................................错误!未定义书签。
7.1 系统实施原则 ................................................................................................................... 6
7.2项目知识点 .........................................................................................错误!未定义书签。
➢ DNS 服务器 ......................................................................错误!未定义书签。 3.WEB服务器 ...........................................................................错误!未定义书签。 4.FTP服务器 .............................................................................错误!未定义书签。 5.VRRP路由协议 .............................................................................错误!未定义书签。
总 结............................................................................................................................................. 58
一.概述
1.1 工程背景
随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。校园网是教育信息化的平台,对于推进教学和和科研至关重要,一个先进的校园网能够极大的促进高等院校教学和科研水平的提高。在高校信息化的建设过程中,它的作用体现在如下几个方面:
1.校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。
2.校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。
3.校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。
4.校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。
教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑,并将全身心地为之努力。
**高校是一所高等职业技术学院,学院设有5个系20多个专业,学院坐落在成都市高新西区,校园环境优美,拥有现代化设施的综合教学楼和实验实训楼,是集生态、人文、艺术和高科技于一体的数字化管理校园。经过6年的快速发展,学院现有各类建筑物近19万平方米,各类教学仪器设备价值2400余万,图书馆藏书40余万册,在校生人数9000余人,是四川省民办高校中规模最大,在校生人数最多的一所高等职业技术学院,为社会提供高素质技能型人才。
第 1 / 26 页
1.2 工程概况
**学院需要进行校园园区网建设,校园网园区以光缆连接了各栋楼宇,覆盖全部教学办公区域和宿舍区域,校园网计划分布有1万多个网络端口,目前已完成综合布线系统建设。需接入校园网的计算机约6000多台,并计划校园网能同时提供Ipv4和Ipv6的双栈服务并与教育IPV6网连通。校园网将根据当前与今后一段时间的发展需求,规划一个全新的校园网系统,该校园网系统必须具备高校教育行业应用特点,满足教学、办公、学生教师上网的信息化需求,同时该校园网系统必须按照满足将来扩展的需要进行整体计划,在满足当前需要的同时,还必须具备一定的前瞻性。
在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性,如:校园网内部的服务器的访问,由于学生的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。
1.3 工程目的
本课题的来源是**学院校园网网络建设的过程和需要,改变原有校园网的安全性差、带宽较小、性能较低等状况。校园网的整体结构是一个通过光纤连接的三层园区网络并连接到互联网和教育网,在网络每一级的主干节点上具有一个局域网。校园网需要对学校内几千个端点进行管理,这其中存在的监控、管理、认证等各种问题十分复杂,学院的建网目标是连接学院内的所有应用节点并实现与互联网和CERNET网的安全互联,建立信息资源服务体系,在满足学院系统内信息化需求的同时,向内部师生员工和社会提供信息资源服务。基于这种情况,考虑到**学院联网计算机较多,具有较多的网络设施和应用系统,为保障校园网的运行安全和应对各种网络风险,有必要统一规划,设计一个符合四川托普学院校园网实际的校园网系统,有计划地分步骤实施。
第 2 / 26 页
二.需求分析和设计原则
2.1需求与分析
校园网作为一种独特的模式,既具有一般企业网的特质,又有其特殊的地方。相同之处在于:作为集团用户,接入网络都需要具有一定的独立性和相当的可统计、可管理性的特性;较之一般的企业网,校园网又会面临更复杂的用户类型和业务需求,它不是单纯的办公网络,是一个承载教学、办公自动化、图书馆等多种业务和应用的平台,并且有部分网络资源用来经营,因此对投资回报有更高的要求。
当前校园网的主要特点:网络吞吐能力高、速度快、系统规模大(多校区);用户群庞大、多层次(教师、学生等)、接入方式多样(PPPoE、DHCP+Web、802.1x、专线接入、WLAN等);网络环境复杂、多网共存(教学网、科研网、办公网、无线网、学生宿舍网、教工家属网等);数据业务复杂(网上点播、电子教室、财务、政务等)、类型多样(数据、语音、视频等);用网时间集中、同时在线人数众多、流量巨大且分布时段不均;学生活跃、好奇、敢于尝试、攻击性强;计算机蠕虫、病毒泛滥、盗版资源泛滥、网络行为突发性高;教育网作为我国开展下一代网络研究的试验基地,其采用了先进性的技术,Cernet2试验网的开通,是我国第一个IPV6主干网,也是世界上规模最大的纯IPV6网,标志着中国下一代互联网建设拉开了序幕。一般高校校园网的主要需求有:
1.多出口需求:典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口。 2.管理的需求:包括对用户和设备的管理,可操作、易管理、具备灵活的计费策略、扩展能力强。
3.区分内、外网需求:限制资源的访问,对内、网采用不同计费策略; 4.安全需求:非法的DHCP Server、病毒、攻击、上网日志等; 5.NAT需求:公网地址不够,在运营商或教育网其中一个出口做NAT;
6.多业务需求:强大的组播支持能力、多业务融合(语言、数据、饰品)能力; 7.可靠性需求:设备具备高性能、高可靠性、高稳定性、高安全性; 8.投资需求:高性价比、平滑升级、投资保护。
第 3 / 26 页
2.1.1具体需求
需求一、每个部门属于一个VLAN每个VLAN属于一个广播域。不同VLAN能相互通信。
需求二、内部局域网使用OSPF动态路由和出口使用默认路由。 需求三、出口设备使用路由器并使用NAT 网络地址转换与外网连接。 需求四、核心层使用双核心做VRRP冗余。 需求五、构建数据中心DNS、IIS、DHCP 服务器。 需求六、构建无线网络达到无线覆盖功能
需求七、使用网络管理软件管理和监控网络状况和接口流量、设备运行状态和故障。
2.1.2需求分析
分析1:采用典型局域网的三层拓扑结构来部署该网络。采用先进的无线网络通
信技术和合理的无线网络结构完成无线网的建设,实现在指定区域便捷 联接无线网。
分析2:接入设备根据业学校各区域的要求进行vlan划分。防止病毒和广播的
影响,实现相对隔离。
分析3:在网络核心层,根据对网络可靠性的要求选择核心网常见组网结构中的
恰当类型,如最常见的双机主备互联。关键部件具备冗余备份功能设备转发性能具备可扩展性。服务器区域(数据中心)提供DHCP网参数自动分配服务,确保各区域用户能分配到ip网络参数访问校园网联网。
分析4:服务器群(数据中心)构建WWW,FTP,DNS服务。外网通过域名访问能
登陆学校WWW校园网,FTP仅提供内部访问。
2.2 设计目标
针对本次学院网络建设,按照以下目标来实施网络建设:
1.以校区网络建设为契机,将学院网络建设成为信息一体化、管理集中化、业务多样化的优秀校园网络;
第 4 / 26 页
2.网络结构清晰,网络层次合理数据网络需要采用分布式布线,各个配线节点通过多模光纤与中心交换机相连,形成千兆骨干、桌面百兆接入的宽带网络,网络建成后,应该实现各信息点的高速上网、能为多媒体教学科研提供一个高速承载平台,支持MPLS、IPV6等特性,方便的网络管理、安全的认证;
3.运营商级的网络系统安全性、运营安全性;
4.网络带宽大幅提升:核心层与汇聚层之间全部采用千兆并预留万兆升级接口连接,汇聚层之间采用千兆连接,当前采用1个千兆,并预留3个千兆接口以便于将来扩容,消除带宽瓶颈;
5.多样性访问权限控制与管理;针对不同类别用户采取不同认证、计费策略。
2.3 设计原则
现在高校校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。高校网络建设遵循以下基本原则:
1.可管理性
高校网络是一个庞大而且复杂的网络,为了保障网络的正常使用以及设备的良好维护需要一个功能强大,具有分级、分权管理能力的网管系统,实现统一的网络业务调度和管理,降低网络运营成本。同时由于高校网络的使用者数量巨大,网上开展的业务众多,因此需要能够提供用户的高效管理,以确保用户和学校的利益不受损失。
2.可增值性
校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
3.可扩充性
考虑到用户数量和业务种类发展的不确定性,校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
第 5 / 26 页
4.开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
5.安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
三.方案设施及详细设计
3.1系统实施原则
在确定了校园网的规划和方案后,必须通过规范的管理来组织实施网络建设工作,将校园网建设目标、校园网管理、安全策略和安全技术有机地结合起来,才能有效地实现校园网建设和管理工作的目标。
校园网系统的实施应注意以下原则:
(1)整体考虑,统一规划。校园网涉及面广,在实施的时候需要考虑所有局部,从大处着手,各部分相互协调。从整个校园网体系来构建网络架构,整体考虑,全面防护,具有前瞻性。
(2)以防为主,防治结合。校园网的构建需要预防可能出现的安全问题而采取的措施,安全策略需要根据不断出现的新威胁和新问题进行不断的更新完善,对于已出现的问题需及时快速地进行针对性解决。
(3)集中管理,重点防护。更加系统安全规划建立规范、有序的网络安全管理体系和流程,将各系统的安全问题进行集中管理,安排专人负责和跟踪安全问题,特别注意对于涉及整体安全和主要业务的系统进行重点防护。
(4)三分技术,七分管理。网络管理是网络安全的核心,技术是安全管理的保证。单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的,提高整个校园特别是广大师生的网络安全意识,加大整体防范网络入侵和攻击的能力,建立规范的网
第 6 / 26 页
络安全管理流程和制度,并在此基础上形成一支高素质的网络安全管理专业队伍,才能及时准确地应对各式各样的网络安全事件。
根据校园网建设的需求和设计原则,并结合学院校园网的当前状况和未来发展趋势,本论文为学院校园网网络建设量身定制了一套合体合用的校园网建设方案。整个网络方案设计突出层次化、可管理、易维护、高可靠性的原则,确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。
3.2网络拓扑设计
3.2.1拓扑选择
网络拓结构,特别是网络主干拓扑结构的设计直接关系到网络性能的好坏。一般来说局域网总体结构分为三层网络结构和两层网络结构。三层网络结构包括核心层、汇聚层和接入层;两层网络结构分为核心层和接入层。
三层结构中的汇聚层一般起到分担核心层负担的作用,通常在广域网或者用户数量很大的情况下采用。两层结构相对于三层结构投资少,网络结构简单、维护方便、网络故障环节少,但是仅仅适合相对用户数量较少的情况;另外,二层结构对于有技术功底的学生来说,让核心设备直接暴露在学生的PC下面,造成不安全因素;同时,大量的服务器以及应用平台直接下带核心设备,也极大的占用了核心设备的高速转发性能,体现不出核心交换机的功能。因此,校园网一般采用三层结构,包括核心层、汇聚层和接入层。三层结构出了方便用户管理和设备管理之外,也提供了良好的网络安全性和扩展性。
核心层主要作用是提供高速传输和路由最优化通信,为下层提供优化的数据运输功能,它是一个高速可靠的主干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL,过滤等),否则会降低数据包的交换速度。
汇聚层的作用是汇聚接入层的流量,连接核心层,为接入层和核心层提供通道。 接入层主要完成用户的接入控制,还应能对由用户接入层所区分开的不同优先级的应用加以区别对待,从而支持端到端的服务质量以及提供VLAN的功能。
根据这种层次化网络设计思想的原则,我们可以把校园网的整个网络体系结构分为以下三个层次:
第 7 / 26 页
由位于中心机房的核心交换机组成的核心层; 由位于楼宇机房的汇聚层交换机组成汇聚层; 由位于各楼层的信息点和接入组成接入层;
3.2.2拓扑结构图
总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:
E 0/0Se 1/0Se 1/0R2E0/0E0/1internetPPPNAT+NATseverR1Gloal-address:10.10.47.20 192.168.60.27S8IIS服务器、DSN服务器、DHCP服务器S10S1E 1/0/1E 1/0/24E 1/0/2E 1/0/24S2E 1/0/3S9VRRP+STPVirtual ip:192.168.60.254Vlan60管理机192.168.60.25E 1/0/1E 1/0/2E 1/0/23E 1/0/24E1/0/1E1/0/24E 1/0/23E 1/0/24E1/0/1E1/0/24E1/0/1-E1/0/6192.168.70.0-192.168.70.255/25OSPF Area0OpManagerACE1/0/6-E1/0/14E1/0/1-E1/0/6E1/0/6-E1/0/14E1/0/1、E1/0/2Vlan10Vlan20Vlan30Vlan40Vlan50192.168.10.0-192.168.10.255/24192.168.20.0-192.168.20.255/24192.168.168.30.0-192.168.30.255/24192.168.40.0-192.168.40.255/24192.168.50.0-192.168.50.255/25图3-2
3.2.3拓扑结构说明
网络采用星型拓扑结构是用一个节点作为中心节点,其他节点直接与中心节点相连构成的网络。中心节点可以是文件服务器,也可以是连接设备。常见的中心节点为集线器。 星型拓扑结构的网络属于集中控制型网络,整个网络由中心节点执行集中式通行第 8 / 26 页
控制管理,各节点间的通信都要通过中心节点。每一个要发送数据的节点都将要发送的数据发送中心节点,再由中心节点负责将数据送到目地节点。因此,中心节点相当复杂,而各个节点的通信处理负担都很小,只需要满足链路的简单通信要求。 星型结构优点:
(1)控制简单。任何一站点只和中央节点相连接,因而介质访问控制方法简单,致使访问协议也十分简单。易于网络监控和管理。
(2)故障诊断和隔离容易。中央节点对连接线路可以逐一隔离进行故障检测和定位,单个连接点的故障只影响一个设备,不会影响全网。
(3)方便服务。中央节点可以方便地对各个站点提供服务和网络重新配置。
3.3 网络设计及设备选型
3.3.1 核心层设计
核心交换机是整个网络的计算和内部数据交换处理中心,在整个局域网内是最为关键和重要的设备。核心交换机推荐采用的H3C S10500换机两台(采用H3C S3610模拟):
核心层设备使用H3C S3610模拟核心交换机,采用双核心下行互联做VRRP虚拟网关,对骨干网络提供冗余提高网络的可靠性和稳定性并提高网络带宽优化网络使关键部件具备冗余备份功能设备转发性能具备可扩展性。
产品特点
丰富的IPv4和IPv6三层功能
H3C S3610系列交换机硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道(包括手工Tunnel,6to4 Tunnel,ISATAP Tunnel,auto-Tunnel),三层线速转发。既可以用于纯IPv4或IPv6网络,也可以用于IPv4到IPv6共存的网络,组网方式灵活,充分满足当前园区网从IPv4向IPv6过渡的需求。
支持丰富的IPv6路由协议,包括RIPng、OSPFv3、ISISv6、BGP4+ for IPv6。支持IPv6的邻居发现协议(Neighbor Discovery Protocol,NDP),管理邻居节点的交互。支持PMTU发现(Path MTU Discovery)机制,可以找到从源端到目的端的路径上一个合适的MTU值,以便有效地利用网络资源并得到最佳的吞吐量。 完备的安全控制策略
H3C S3610系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕
第 9 / 26 页
虫等新兴安全威胁的整体防御能力。
H3C S3610系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS攻击。 H3C S3610系列交换机支持802.1x及MAC认证,在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、PORT的绑定,支持动态VLAN下发和Guest VLAN,有效的防止非法用户访问网络。支持端口和VLAN下发ACL,以及支持用户自定义流模板配合实现自定义ACL功能,更加灵活方便,保证网络的受控访问。 丰富的QoS策略
H3C S3610系列交换机支持基于源MAC地址、目的MAC地址、源IPv4/IPv6地址、目的IPv4/IPv6地址、四层端口、协议类型、VLAN等信息的流分类,充分保障了复杂网络对于QoS规则的要求。支持基于流的流量限速,优先级标记或映射,基于流的修改VLAN以及重定向到端口或下一跳,基于端口的流量整形。提供灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR等模式。支持CAR功能,粒度最小达4Kbps,支持对多个端口的业务流使用同一个CAR进行流量监管。用户还可以选择直接在端口下发CAR,或通过QoS策略下发CAR。 高可靠性及灵活的扩展能力
H3C S3610系列交换机支持交、直流同时输入。
H3C S3610系列交换机不仅支持STP/RSTP生成树协议,还提供了基于多VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。支持VRRP虚拟路由冗余协议,构建故障时的冗余路由拓扑结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持ECMP(等价路由),通过配置多条等值路径实现上行路由的冗余备份和负载分担。
H3C S3610系列交换机支持RRPP(快速环网保护协议), 可以在以太网环完整时能够防止数据环路引起的广播风暴,而当以太网环上一条链路断开时能迅速恢复环网上各个节点之间的通信通路。
H3C S3610交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠,支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本,保护了用户投资。
第 10 / 26 页
强大的多业务能力
H3C S3610系列交换机支持QinQ即VLAN VPN特性,可以将用户私网VLAN标签封装在公网VLAN标签中,使报文带着两层VLAN Tag穿越运营商的骨干网络。S3610系列交换机支持灵活QinQ,可以实现针对不同的业务报文打不同的外层VLAN标签或者不打VLAN标签,便于业务分离。S3610系列交换机还支持VLAN translation,可以根据不同用户或业务重新设置VLAN标签。同时支持IPv4和IPv6组播功能,支持丰富的组播协议,包括:IGMP Snooping、MLD Snooping、IGMP v1/v2/v3、PIM-DM、PIM-SM/SSM、MSDP,支持组播静态路由、组播组静态加入,而且组播VLAN可以跨VLAN复制,支持IGSP v1/v2/v3,支持大容量组播路由,强组播复制能力。
H3C S3610系列交换机支持MCE功能,可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾,它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定,并为每个VPN创建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同VPN的报文转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保证VPN报文在公网内的传输。 出色的管理性
H3C 3610交换机支持基于出/入端口镜像、基于流的镜像以及支持远程端口镜像功能,可以实现统一监控检测,使网络管理更方便。支持SNMP,可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便,并且支持SSH等加密方式,使得管理更加安全。
3.3.2 汇聚层设计
由于校园网的各区域存在密集度高的大量用户,为了保证数据传输和交换的效率,在各个楼内设置三层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性。我们建议楼内汇聚采用H3C S3610汇聚交换机2台。
H3C S3610系列多协议交换机是H3C公司基于全新软硬件平台开发的支持IPv4/IPv6双栈的盒式路由交换机系列。系统支持IPv4/IPv6双栈及硬件转发、丰富的IPv4/IPv6路由协议和隧道技术,是理想的大型园区网、网络实验室的汇聚、接入交换机以及中小企业、分支机构的核心交换机。汇聚层采用两台S3610三层交换机做汇聚成设备上线连接核心层设备运行OSPF动态路由协议。
产品特点:
丰富的IPv4和IPv6三层功能
第 11 / 26 页
H3C S3610系列交换机硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道(包括手工Tunnel,6to4 Tunnel,ISATAP Tunnel,auto-Tunnel),三层线速转发。既可以用于纯IPv4或IPv6网络,也可以用于IPv4到IPv6共存的网络,组网方式灵活,充分满足当前园区网从IPv4向IPv6过渡的需求。
支持丰富的IPv6路由协议,包括RIPng、OSPFv3、ISISv6、BGP4+ for IPv6。支持IPv6的邻居发现协议(Neighbor Discovery Protocol,NDP),管理邻居节点的交互。支持PMTU发现(Path MTU Discovery)机制,可以找到从源端到目的端的路径上一个合适的MTU值,以便有效地利用网络资源并得到最佳的吞吐量。 完备的安全控制策略
H3C S3610系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3C S3610系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS攻击。 H3C S3610系列交换机支持802.1x及MAC认证,在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、PORT的绑定,支持动态VLAN下发和Guest VLAN,有效的防止非法用户访问网络。支持端口和VLAN下发ACL,以及支持用户自定义流模板配合实现自定义ACL功能,更加灵活方便,保证网络的受控访问。 丰富的QoS策略
H3C S3610系列交换机支持基于源MAC地址、目的MAC地址、源IPv4/IPv6地址、目的IPv4/IPv6地址、四层端口、协议类型、VLAN等信息的流分类,充分保障了复杂网络对于QoS规则的要求。支持基于流的流量限速,优先级标记或映射,基于流的修改VLAN以及重定向到端口或下一跳,基于端口的流量整形。提供灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR等模式。支持CAR功能,粒度最小达4Kbps,支持对多个端口的业务流使用同一个CAR进行流量监管。用户还可以选择直接在端口下发CAR,或通过QoS策略下发CAR。 高可靠性及灵活的扩展能力
第 12 / 26 页
H3C S3610系列交换机支持交、直流同时输入。
H3C S3610系列交换机不仅支持STP/RSTP生成树协议,还提供了基于多VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。支持VRRP虚拟路由冗余协议,构建故障时的冗余路由拓扑结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持ECMP(等价路由),通过配置多条等值路径实现上行路由的冗余备份和负载分担。
H3C S3610系列交换机支持RRPP(快速环网保护协议), 可以在以太网环完整时能够防止数据环路引起的广播风暴,而当以太网环上一条链路断开时能迅速恢复环网上各个节点之间的通信通路。
H3C S3610交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠,支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本,保护了用户投资。 强大的多业务能力
H3C S3610系列交换机支持QinQ即VLAN VPN特性,可以将用户私网VLAN标签封装在公网VLAN标签中,使报文带着两层VLAN Tag穿越运营商的骨干网络。S3610系列交换机支持灵活QinQ,可以实现针对不同的业务报文打不同的外层VLAN标签或者不打VLAN标签,便于业务分离。S3610系列交换机还支持VLAN translation,可以根据不同用户或业务重新设置VLAN标签。同时支持IPv4和IPv6组播功能,支持丰富的组播协议,包括:IGMP Snooping、MLD Snooping、IGMP v1/v2/v3、PIM-DM、PIM-SM/SSM、MSDP,支持组播静态路由、组播组静态加入,而且组播VLAN可以跨VLAN复制,支持IGSP v1/v2/v3,支持大容量组播路由,强组播复制能力。
H3C S3610系列交换机支持MCE功能,可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾,它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定,并为每个VPN创建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同VPN的报文转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保证VPN报文在公网内的传输。 出色的管理性
H3C S610交换机支持基于出/入端口镜像、基于流的镜像以及支持远程端口镜像功能,可以实现统一监控检测,使网络管理更方便。支持SNMP,可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便,并且支持SSH等加密方式,使得管理更加安全。
第 13 / 26 页
3.3.3 接入层设计
接入层是直接与校园网众多计算机相连的设备,校园网的接入层建设中,学生宿舍区网络接入最为典型,在整个校园网的接入网建设中占有很大的比重,其主要特点是上网时间集中,突发流量大、安全控制要求高、网络布设分散,不易统一管理。
鉴于上述特点,对于学院校园网网络接入层采用802.1x认证方式,配合PVLAN、单端口环回检测、端口速率限制、集群管理等手段,达到对学生可控、可管理的目的,接入层设备设备采用H3C E126A24TP设备提供冗余和高可扩展性。
设备特点:
全面的接入安全策略
H3C E126A教育网交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施校园网常见的“中间人”攻击,对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝学生私设DHCP服务器,保证DHCP环境的真实性和一致性。
E126A教育网交换机支持端口安全特性族,可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量,或者设定每个端口允许的MAC地址的最大数量,使得某个特定端口上的MAC地址可以由管理员静态配置,或者由交换机动态学习。
E126A教育网交换机有强大硬件ACL能力,能深度识别报文,支持L2~L4包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN、VLAN范围等定义ACL,以便交换机进行后续的处理。 E126A教育网交换机支持集中式MAC地址认证和802.1x认证,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发;支持配合H3C公司的CAMS系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。支持对Proxy进行有效的管理。 增强的网络管理和维护的易用性
H3C E126A教育网交换机支持通过FTP、TFTP实现设备的远程升级,支持SNMP v1/v2/v3,可支持Open View等通用网管平台,以及iMC智能管理中心。支持CLI命令行,Web网管,
第 14 / 26 页
Telnet,HGMP集群管理,使设备管理更方便。
E126A教育网交换机支持跨交换机的远程端口镜像RSPAN,可以将接入端口的流量镜像到核心交换机上,可以对全网业务和流量进行监控、优化部署和恶意攻击监控,满足校园网精细化管理的需要。
E126A教育网交换机支持VCT(Virtual Cable Test)电缆检测功能,便于快速定位网络故障点;并支持DLDP(Device Link Detection Protocol)单向链路检测协议,可以有效的防止网络中单通故障的发生,大幅提高网络维护效率,切实将设备的易用性带给用户。 高性能与灵活扩展能力
H3C E126A教育网交换机具有19.2G的背板交换容量,支持所有端口线速转发,满足了教育用户对高带宽的需求。设备支持2/4个GE上行,采用固定电口和通用SFP的灵活千兆连接方式,在降低用户成本的同时,更好的考虑了用户后续升级的实际需求。
E126A教育网交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠,最大扩展至768个10/100M端口,支持E126A和E152混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本,保护了用户投资。 丰富的业务支持能力
H3C E126A教育网交换机支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR三种队列调度算法,支持每个端口4/8个输出队列,可以以不同的优先级将报文放入端口的输出队列。
E126A教育网交换机支持端口限速功能,限速粒度可达64Kbps,防止恶意侵占网络带宽,也为网络带宽的精细化管理提供了手段。
E126A教育网交换机支持IPv6 host,包括IPv6单播地址配置,ICMPv6,IPv6邻居发现协议(ND),IPv6-TCP,IPv6-TFTP,IPv6-TRACERT管理特性。
3.3.4 数据中心设计
为进一部推进**高校信息化建设,以信息化推动学院业务工作的改革和发展,为学院建立绿色高效能数据中心网络。主要为学院建立主DNS、DHCP、WEB、和FTP服务,服务器系统使用windows 2008 server建设服务。 DNS服务器建立
建立DHCP服务,通过**学院网络拓扑图上看到**学院主要划分了6个VLAN,要求为VLAN10、VLAN20、VLAN30、VLAN40,包括无线的VLAN50建立DHCP服务,在服务器上分别为
第 15 / 26 页
这5个vlan建立作用域,如图3-3所示,让这些区域内的计算机能自动获取IP地址,如图3-4所示
图3-3
图3-4
第 16 / 26 页
WEB、FTP站点建立
为学院建立WEB、FTP服务,安装好IIS服务后,然后在磁盘上创建一个index.html文件,文件内容自定,启动服务器管理器,在internet信息服务(IIS)管理器中建立学院的WEB站点,如图3-5所示,FTP站点和WEB站点类似,在internet信息服务(IIS)管理器中单击打开FTP站点管理器,建立好FTP站点后,启动FTP站点,如图3-6所示
图3-5
第 17 / 26 页
图3-6
建好WEB、FTP后,用计算机测试一下能否成功访问两个服务器及站点,成功访问结果如图3-7,3-8所示
第 18 / 26 页
图3-7
图3-8
主DNS建立
在另一台服务器上建立主DNS,是计算机能域名解析WEB、FTP站点,并建立正向查找和反向查找,WEB站点域名为www.jingsai.scetop.com.FTP站点域名为ftp.jingsai.scetop.com. 如图 3-9所示,现在使用计算机通过域名来访问WEB站点和FTP站点,DNS能成功解析域名,并访问WEB和FTP站点,结果如图3-10,3-11所示
第 19 / 26 页
图3-9
图3-10
第 20 / 26 页
图3-11
3.4 VLAN与IP子网设计
3.4.1 VLAN规划
采用虚拟局域网VLAN主要出于三个目的:用户隔离、提高网络效率;提供灵活的管理;提高系统安全性。因此,规划VLAN时也应该综合考虑这三方面的因素。
接入层设备为二层交换机,用于最终用户的接入。H3C E126A以太网交换机均支持VLAN功能,为了进行不同用户间的有效隔离和互联,需要利用交换机对用户进行相应的VLAN划分。具体做法可以是将交换机的每一端口划分一个VLAN以实现所有用户间的二层隔离,此时如果需要互联,可通过上连设备的ACL功能来控制;也可以根据需要将多个交换机的不同端口划为同一个VLAN,直接实现有限制的用户互联。
网络vlan结构规划表如下所示: 设备名称 S5 S6 Vlan编号 Vlan10 Vlan20 Vlan30 Vlan40 第 21 / 26 页
Vlan接口 E1/0/1-E1/0/6 E1/0/7-E1/0/14 E1/0/1-E1/0/6 E1/0/7-E1/0/14
S4 S5 S3 S4
Vlan70 Vlan70 Vlan70 Vlan70 E1/0/23-E1/0/24 E1/0/23-E1/0/24 E1/0/1-E1/0/2 E1/0/1-E1/0/2 3.4.2 IP子网设计
由于IP地址及域名尚未确定,本次方案中只简要提出IP分配及VLAN规划的原则。域名规划要注意层次性和一致性。内部域名、外部域名要分别设置,能体现组织结构并易于管理。
IP地址分配要遵循以下原则:
1.简单性:地址的分配应该简单,避免在主干上采用复杂的掩码方式。
2.连续性:为同一个网络区域分配连续的网络地址,便于采用SUMMARIZATION及CIDR(CLASSLESS INTER-DOMA IN ROUTING)技术缩减路由表的表项,提高路由器的处理效率。
3.可扩充性:为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性。
4.灵活性:地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化。
5.可管理性:地址的分配应该有层次,某个局部的变动不要影响上层、全局。 6.安全性:网络内应按工作内容划分成不同网段即子网以便进行管理。
根据以上设计和校园网的需求,学院校园网网络的VLAN和IP子网建议划分如下: 方案设计地址规划如下图所示:
接口 PC1 PC2 PC3 PC4 PC5 PC6 PC7管理机
IP地址 自动获取 自动获取 自动获取 自动获取 Web 192.168.70.26/24 Ftp 192.168.50.26/24 DNS:192.168.70.25 192.168.70.27/24 Vlan1 192.168.100.1/24 Vlan20 192.168.10.254/24 第 22 / 26 页
网关 192.168.10.254/24 192.168.20.254/24 192.168.30.254/24 192.168.40.254/24 192.168.70.254/24 192.168.70.254/24 192.168.70.254/24
S3 Vlan70( E1/0/23-E1/0/24) S4 Vlan70( E1/0/23-E1/0/24) Vlan10 192.168.20.254/24 Vlan70 192.168.70.3/24 Vlan1 192.168.100.2/24 Vlan30 192.168.30.254 Vlan40 192.168.40.254 Vlan70 192.168.70.4/24 10.10.47.20/25 192.168.0.1/30 192.168.0.2/30 192.168.1.1/30 192.168.2.1/30 192.168.1.2/30 192.168.2.2/30 R1E0/0 R1S0/0 R2S0/0 R2 E0/0 E1/0 S1 S2
3.5网络相关设备配置命令
3.5.1 出口设备
R1设备配置: 初始化配置 [R1-Serial1/0]quit 出口NAT配置 [R1]nat address-group 1 10.10.47.20 10.10.47.20 [R1]acl number 2000 [R1-acl-basic-2000]rule 0 permit source any [R1-acl-basic-2000]quit [R1]interface e0/0 [R1-Ethernet0/0] nat outbound 2000 address-group 1 IP路由配置 [R1]ip route-static 0.0.0.0 0.0.0.0 10.10.47.126 [R1]ip route-static 192.168.0.0 255.255.0.0 192.168.0.2 Snmp配置 [R1] snmp-agent [R1] snmp-agent local-engineid 800063A2033822D6992664 [R1] snmp-agent community write public [R1] snmp-agent sys-info version all R2设备配置 初始化配置 [R2]interface Ethernet 0/1 [R2-Ethernet0/1]ip address 192.168.1.1 255.255.255.252 [R2-Ethernet0/1]quit IP路由配置 [R2]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 [R2]ospf 100 [R2-ospf-100]area 0 [R2-ospf-100-area-0.0.0.0]network 192.168.2.1 0.0.0.3 [R2-ospf-100-area-0.0.0.0]network 192.168.1.1 0.0.0.3 [R2-ospf-100-area-0.0.0.0]quit [R2-ospf-100]quit Snmp配置 [R2]snmp-agent [R2]snmp-agent local-engineid 800063A2033822D6992004 [R2]snmp-agent community write admin [R2]snmp-agent community write public [R2]snmp-agent sys-info version all ftp和telnet配置 [R2]ftp server enable [R2]telnet server enable [R2]local-user admin [R2-luser-admin] password simple admin [R2-luser-admin] authorization-attribute level 3 [R2-luser-admin] service-type telnet [R2-luser-admin] service-type ftp [R2-luser-admin]quit [R2] 3.4.2核心层设备 S1设备配置: 初始化配置: [h3c]sysname S1 IP地址参数配置: [S1]interface Ethernet 1/0/24 [S1-Ethernet1/0/24]port link-mode route [S1-Ethernet1/0/24]ip address 192.168.2.2 255.255.255.252 [S1]interface LoopBack0 [S1-LoopBack0]ip address 1.1.1.1 255.255.255.255 [S1]Vlan-interface 70 //创建VLAN 70 [S1]interface Vlan-interface 70 [S1-Vlan-interface70] ip address 192.168.70.1 255.255.255.0 //设置lan70 ip地址 [S1-Vlan-interface70]port Ethernet 1/0/1 to Ethernet 1/0/6 //添加端口 OSPF配置: [S1]ospf 100 [S1-ospf-100]area 0 [S1-ospf-100-area-0.0.0.0]network 192.168.0.0 0.0.255.255 stp配置: [S1]stp enable [S1]stp mode mstp 静态路由配置: [S1]ip route-static 0.0.0.0 0.0.0.0 192.168.2.1 telnet配置: [S1]telnet server enable [S1]user-interface vty 0 4 [S1-ui-vty0-4]authentication-mode scheme [S1-ui-vty0-4]quit [S1]local-user admin New local user added. [S1-luser-admin]password simple admin [S1-luser-admin]service-type telnet [S1-luser-admin]authorization-attribute level 3 snmp配置: [S1]snmp-agent 第 26 / 26 页 [S1]snmp-agent community write public [S1]snmp-agent community write public [S1]snmp-agent sys-info version all S2设备配置: 初始化配置: [S2-ui-vty0-4]authentication-mode scheme [S2-ui-vty0-4]quit [S2]local-user admin New local user added. [S2-luser-admin]password simple admin [S2-luser-admin]service-type telnet [S2-luser-admin]authorization-attribute level 3 snmp配置: [S2]snmp-agent [S2]snmp-agent community write public [S2]snmp-agent community write public [S2]snmp-agent sys-info version all 3.4.3 汇聚层设备 S3设备配置: 初始化配置 [SW3]interface Ethernet 1/0/1 [SW3-Ethernet1/0/1]port link-type trunk [SW3-Ethernet1/0/1]port trunk permit vlan all [SW3-Ethernet1/0/1]quit DHCP中继代理配置 [SW3]dhcp enable [SW3]dhcp relay server-group 1 ip 192.168.70.26 [SW3] [SW3]interface Vlan-interface10 [SW3-Vlan-interface10]dhcp select relay [SW3-Vlan-interface10]dhcp relay server-select 1 [SW3-Vlan-interface10]quit [SW3] [SW3] [SW3]interface Vlan-interface 20 [SW3-Vlan-interface20]dhcp select relay [SW3-Vlan-interface20]dhcp relay server-select 1 [SW3-Vlan-interface20]quit 启用生成树协议 [SW3]stp enable 配置OSPF动态路由 [SW3]ospf 100 [SW3-ospf-100]area 0 [SW3-ospf-100-area-0.0.0.0]network 192.168.0.0 0.0.255.255 [SW3-ospf-100-area-0.0.0.0]network 5.5.5.1 0.0.0.0 [SW3-ospf-100-area-0.0.0.0]quit [SW3-ospf-100]quit Snmp配置 [SW3]snmp-agent [SW3]snmp-agent community read admin [SW3]snmp-agent community write public [SW3]snmp-agent sys-info version all 第 29 / 26 页 S4设备配置 [SW4]ospf 100 [SW4-ospf-100]area 0 [SW4-ospf-100-area-0.0.0.0]network 192.168.0.0 0.0.255.255 [SW4-ospf-100-area-0.0.0.0]network 5.5.5.1 0.0.0.0 [SW4-ospf-100-area-0.0.0.0]quit [SW4-ospf-100]quit [SW4]snmp-agent [SW4]snmp-agent community read admin [SW4]snmp-agent community write public [SW4]snmp-agent sys-info version all [SW4] SW7设备配置: 初始化配置 [SW7-ospf-100]area 0 [SW7-ospf-100-area-0.0.0.0]network 192.168.70.0 0.0.255.255 [SW7-ospf-100-area-0.0.0.0]network 192.168.100.3 [SW7-ospf-100-area-0.0.0.0]quit [SW7-ospf-100]quit vrrp配置: [SW7]interface Vlan-interface 60 [SW7-Vlan-interface60]vrrp vrid 2 virtual-ip 192.168.60.254 //添加VRRP虚拟ip地址 [SW7-Vlan-interface70]vrrp vrid 2 priority 120 //设置优先级为120 Snmp配置 [SW7]snmp-agent [SW7]snmp-agent community read admin [SW7]snmp-agent community write public [SW7]snmp-agent sys-info version all S8设备配置 SW8设备配置: 初始化配置 启用生成树协议 [SW8]stp enable 配置OSPF动态路由 [SW8]ospf 100 [SW8-ospf-100]area 0 [SW8-ospf-100-area-0.0.0.0]network 192.168.70.0 0.0.255.255 [SW8-ospf-100-area-0.0.0.0]network 192.168.100.4 [SW8-ospf-100-area-0.0.0.0]quit [SW8-ospf-100]quit vrrp配置: [SW8]interface Vlan-interface 60 [SW8-Vlan-interface60]vrrp vrid 2 virtual-ip 192.168.60.254 //添加VRRP虚拟ip地址 Snmp配置 [SW8]snmp-agent [SW8]snmp-agent community read admin [SW8]snmp-agent community write public [SW8]snmp-agent sys-info version al 3.4.4 接入层设备 SW5设备配置 [SW5-Ethernet1/0/24]quit SW6设备配置 [AC-wlan-st-2]bind wlan-ess 2 [AC-wlan-st-2]client forwarding-mode local [AC-wlan-st-2]authentication-method open-system [AC-wlan-st-2]service-template enable [AC]wlan ap ap110 mode WA2612-AGN [AC]wlan auto-ap enable [AC]wlan ap ap110 [AC-wlan-ap-ap110]serial-id auto [AC-wlan-ap-ap110]radio 1 type dot11gn [AC-wlan-ap-ap110-radio-1]service-template 2 vlan-id 1 [AC-wlan-ap-ap110-radio-1]radio enable [AC]int vlan 70 [AC-Vlan-interface70]ip address 192.168.70.5/24 3.5 网络连通性测试 1、内部网络连通性测试 vlan 10 ping vlan 70 2、外部网络连通性测试 第 35 / 26 页 内部主机ping 百度网 3、NAT service 测试 第 36 / 26 页 外网访问内部WEB 四.ManageEngine-Opmanager综合网络管理系统 4.1 ManageEngine OpManager的简介 ManageEngine OpManager软件可对网络,系统以及应用进行全面的监视.它提供完整的故障管理和性能管理功能,通过综合控制台操作者可 实现对路由器,交换机,服务器以及打印机等性能的监视. 它包含了许多图,报表,可为操作者提供大量的,有关网络,服务器和应用的状态的有用信息. 4.2 OpManager的工作机制 OpManager 采用可扩展的3层架构,并绑定了MySQL 数据库.OpManager服务器自 动发现网络,主动监视网络,系统和服务器,并将关键 参数保存在数据库中.OpManager客户端作为单一的综合控制台,不仅提供了网络设备的多种视图,而且将收集的信息以丰富得图,报表形式呈现给操作者. 4.2.1 网络组件 OpManager能为网络中的路由器,交换机以及其它组件提供实时的状态显示,它不断地监视网络设备的状态和可用性,包括交换机的端口,路由器的接口等,定期的收集性能数据,生成有关这些重要设备的使用状况的报表。 4.2.2 服务器与工作站 OpManager 把设备分为服务器和桌面机,这样有利于将重要的服务器与普通的终端用户工作站区分开,从而提供更有效的管理。 4.2.3 应用与服务 OpManager可发现运行在网络上的服务和应用,并对它们进行主动的监视,OpManager即买即用的支持 Web, HTTPS, FTP, IMAP, LDAP, Telnet, MySQL, MS- Exchange, SMTP, POP3, WebLogic, Finger, Echo, DNS, 以及NTTP。 第 37 / 26 页 4.2.4 故障管理 OpManager通过周期地状态轮询来侦测网络故障,并将故障生成为颜色化的警告.同时也可以配置通知动作,以便在侦测到故障时及时通知管理员。 4.2.5 性能管理 OpManager通过定期地收集数据来测量网络硬件和软件的性能,如:带宽,CPU,内存以及磁盘的使用率,服务的响应时间等, 它还把这些数据以图形,报表的形式提供给管理者.你还可以设定阈值来对设备上的关键参数进行主动的监视。 4.2.6 资源清单管理 OpManager 将网络资源的准确清单保存在资源清单数据库中,它们包括: IP地址,OS版本,内存,硬盘以及连接到每个设备的其它外设等.用户可用它生成清单报表以便跟踪所有的网络资产。 4.2.7 增强的Web接口和远程客户端 OpManager提供全功能的Web客户端,操作者无论何时何地,只要使用标准的Web浏览器就可以连接访问OpManager服务器,为操作者提供了极大的方便。另外,使用远程客户端,OpManager能够支持多个并发用户。 4.3 利用OpManager对网络进行管理 4.3.1 使用OpManager软件进行网络管理步骤如下: 在管理机上安装好OpManager后,启动OpManager,打开浏览器,在浏览器输入192.168.70.29:8060 (管理机本地IP为192.168.70.29),回车进入它的登录界面,如图4-1所示 第 38 / 26 页 图4-1 OpManager这个软件它默认有个账户admin 密码admin,输入账户密码后登录。进去后我们首先要创建一个自己的账户,点击管理选项卡,进入管理界面,选择用户管理器如图4-2所示 图4-2 进入用户配置界面,选择添加用户,如图4-3所示,进入添加用户界面后设置用户账户和密码,设置用户名:top 密码:123,点击添加用户如图4-4所示 第 39 / 26 页 图4-3 图4-4 建立好自己的用户后,我们需要先退出OpManager的admin账户,回到登录界面,输入我们刚才创建的帐号登录,用户名top,密码123,然后点击Login既登录如图4-5所示 第 40 / 26 页 图4-5 再次进入OpManager的管理界面,OpManager本身提供了许多设备类型,用户可以创建自己的设备类型,并把它们指派给已经发现的设备,现在我们需要自己添加一个设备模板,首先进入设备模板,如图4-6所示,进入设备模版界面后, 选择新建模板,进入新建设备模板界面,如图4-7所示 第 41 / 26 页 4.3.2新建模版 图4-6 图4-7 第 42 / 26 页 设置设备名称、厂商、设备图像和系统OID,我们不知道OID,所以需要先查询设备,在查询设备对话框中输入要获得OID的设备名称 或 IP地址,在设备名处输入192.168.100.1( .网络中一台三层交换机的管理IP),接着指定进行SNMP查询的端口的版本和团体号,我们在三层交换机配置SNMP时的时候团体号设置的是public,所以没有添加凭证设置,团体字串设定为public后,单击查询,这样就获得了该设备的OID ,如图4-8 图4-8 注意不能给新设备分配一个已经被其他设备占用的OID.用户可以查看OpManager中其他设备的OID,从OpManager设备类型列表框中,选择要查看的设备类型,然后单击查看即可。 查询到设备后会在系统OID下面显示OID值,点击创建,如图4-9所示 第 43 / 26 页 图4-9 4.3.3添加设备 创建好设备模板后,我们现在开始添加设备,添加设备有两种方法,一种是通过查找IP段来发现设备,另一种是直接输入设备IP或者设备名称来添加设备,我们通过第二种方法来添加设备,这样可以快速的找到设备,如图4-9 图4-9 选择添加设备,进入添加设备界面,我们要把6台设备添加到OpManager,只需要输入事先设置好的管理IP或设备的接口IP来进行添加,成功查找到设备后,OpManager就会提示设备成功发现,否则会提示没有查找到设备,如图4-10所示 第 44 / 26 页 图4-10 我们把6台设备添加到OpManager后,地图选项来查看我们成功添加好的设备,添加模板的时候我们把模板的类别为Route(路由器),所以现在选择Route去查看我们刚才添加的设备如图4-11所示,进入Route界面后,这时我们可以看到添加的几台设备的名称和接口情况,绿色的表示接口正在使用如图4-12所示,点击地图,选择网络图,每台设备的接口的连线和接口的IP都通过这个网络图显示出来,如图4-13所示 图4-11 第 45 / 26 页 图4-12 图4-13 我们现在在管理机上Ping网关,对网关不停的发ping包,然后在OpManager上点击一台核心层的交换机(SW1或者SW2)等带一段时间后刷新一下我们可以看到OpManager已经收到核心交换机返回的数据,如图4-14,4-15所示 第 46 / 26 页 图4-14 图4-15 4.3.4端口预警 现在我们断开一台设备的接口,然后等待几十秒后刷新一下OpManager,进入警报选项卡,可以看到是从R2上发来的警报信息,状态为Troubie,提示该接口发生故障,如图4-16 第 47 / 26 页 图4-16 现在我们接上这个接口后,在等待一会刷新一下OpManager之后可以看到警报信息已经没有了,如图4-17所示,接好接口后,故障解除,在右上角的活动警报,下拉菜单选择所有警报,依然可以看到刚才的故障信息,不过这时接口的状态是clear,表示无故障,如图4-18所示 图4-17 第 48 / 26 页 图4-18 4.3.5流量监控 点击进入R2的Serial1/0接口 ,查看OpManager监控到接口的流量及包的数量等详细信息,通过图表显示出来,如图4-19,4-20所示 第 49 / 26 页 图4-19 图4-20 第 50 / 26 页 4.3.6 软件总结 通过以上图示,我们可以发现OpManager以一种简单而又有效的方式来管理网络设备.系统发现设备时,自动对其进行分类,并把不同种类的设备显示在不同的图中,同时OpManager开始对所有已发现的设备进行监视,如果你觉得某个已发现的设备不是很重要,还可以取消对该设备的管理. 五.校园网网络安全 从计算机安全学的观点分层进行分析,计算机网络的安全包括以下几个方面:首先是物理网络的安全,含网络设备物理层的安全和网络结构的安全;第二层是操作系统级的安全;第三为应用系统的安全;最高层是信息内容,或称为数据安全。 在以上四层的安全性问题中,网络物理层的安全主要由硬件设备及机房设计来保证,网络结构的安全主要由网络拓扑及协议的设计来保证;操作系统级的安全主要由防火墙系统的设计、操作系统安全和数据库系统安全来保证;应用系统的安全主要由应用系统本身的设计保证;数据安全主要由加密和签名等技术保证。本城域网方案的目标是提供一个安全可靠的网络业务承载平台,所以此处着重探讨网络设备物理层安全、网络结构安全和应用安全等方面的内容。 从系统角度来看,网络安全不是一个简单的产品问题,网络安全首先是个系统问题。从技术角度而言,校园网的网络安全和控制主要应考虑以下几个方面: 1、 设备安全 2、 数据安全 3、 结构安全 5.1设备安全 网络设备安全是保证网络设备在物理上的可靠和安全,主要依靠网络设备本身的安全设计、双机冗余系统、冗余存储等技术、以及安全管理的意识保证。 网络的设备安全问题主要存在于以下几个方面: 网络硬件设备本身的不可靠性造成的故障; 第 51 / 26 页 因机房环境、意外事故(例如:火灾等)导致的设备和网路故障问题; 因机房结构设计不合理或机房管理不当所导致的主机设备物理入侵问题。 针对以上安全隐患,为提高网络的物理安全性,主要对策有:选用高可靠性硬件设备;提高物理设备单机的可靠性。 5.2网络结构安全 网络结构安全是指网络在结构设计上保证不会出现单点失效,主要由网络拓扑结构的设计、网络协议的选用等等来保证。 校园网络结构是校园网运行和服务的基础,无单点故障的、高可用性网络的建设至关重要,合理设计校园网的网络结构以保证网络的高可靠性,做到主干线路上任何交换机或单个链路的故障都不会影响主干网络的连通性,更不会导致整个网络的瘫痪,从基础上解决校园网面临的风险。 为了保证校园网的高可用性,达到7 *24 小时不间断服务的目标,一个全冗余、无单点故障的网络就成了校园网中心的基础。为实现路由冗余,可以采用虚拟路由器冗余VRRP 协议;为实现交换机的冗余,可以采用生成树STP 协议;为实现链路冗余,可采用链路聚合(link-aggregation) 技术;为实现服务器的冗余,可采用网卡容错AFT (Adapter Fault Tolerance) 技术等。 1.核心层链路 根据四川**职业学院校园网的网络结构,核心层设计采用了两台3层路由交换机作为整个校园网的中心交换机,各汇聚层交换机通过双链路接到两台核心交换机,在两台中心路由交换机上运行VRRP(虚拟冗余路由协议) 协议来为服务器以及来自汇聚层的各子网各自提供1 个唯一的默认网关。当任何1 台中心路由交换机发生故障时,通过VRRP 协议,另1 台中心路由交换机立即接管所有的工作,同时更新路由表,并通过动态路由协议通知校园网内的路由器(交换机)更新相应的路由表。 2.汇聚层链路 汇聚层交换机应有双链路连接到核心交换机,为保证链路的冗余和负载分配,需要在整个网络中使用生成树STP协议,该协议可应用于环路网络,通过一定的算法阻断某些冗余路径,将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环,同时STP协议结合VLAN的结构可将不同VLAN分配到不同链路传输,达到线路负载均衡的功能,在校园网主干区域构成稳定可靠的结构。 3.接入层链路 为了消除由接入交换机引起的单点故障,必须设置冗余的交换机。可以将两个交换机级联(或堆叠) 在一起,从逻辑上组成1 个交换机。为提高级联的可靠性,可采用端口聚合的方式进行双链路级联。 第 52 / 26 页 4.服务器链路 链路故障或网卡故障都将导致服务器不能连到相应的接入交换机。服务器可采用双网卡接到不同的接入交换机。在服务器上安装2 块网卡,分别连接到2 台不同的接入交换机,利用AFT (Adapter Fault Tolerance) 技术实现网卡间的容错,当主网卡或该网卡到所连的交换机链路发生故障时,服务器会立刻将该网卡上的流量转移到备份网卡上,这个过程不超过2 秒。 5.3网络应用安全 谈到网络应用安全,人们首先想到的是网络黑客。确实,网络黑客几乎与网络同时诞生,黑客与反黑的斗争从来就没有停止过。要有效防止黑客,就必须首先了解黑客所使用的手段。一般说来黑客所使用的手段主要有下面几类。 5.3.1 网络嗅探 一般说来,有网络路由器的地方都有探测程序(sniffer program)。探测程序是一种分析网络流量的网络应用程序。IP的最基本的缺点是缺乏一种机制来确定数据包的真正来源。所有的包都含有源地址和目的地址,但是在IP包中没有任何东西可以确认IP包的源和目的地址是否变动过。显然,安全性不好的系统将是黑客进驻和安装探测软件的地方。一旦探测软件安装完毕,黑客就可以通过分析经过的所有数据流量,从而得到所需要的地址、帐号和密码等数据。其中典型的包探测程序也就是利用IP的弱点,因为它可以用来探测有效的Internet连接。一旦这种连接被检测到,包探测程序就可以利用IP的其它弱点窃取其它连接信息。 5.3.2 ARP欺骗 2006年4月以来在很多校园网内出现了较大范围的ARP欺骗病毒和木马程序的传播,感染了ARP 欺骗病毒的计算机会向同网段内所有计算机发ARP欺骗包,导致网络内其它计算机因网关物理地址被更改而无法上网,被欺骗计算机的典型症状是刚开机能上网,几分钟之后断网,如此不断重复,造成了该子网段范围内的不稳定,影响其它机器的正常使用。更为严重的是ARP欺骗病毒及其变形“恶意窃听”等病毒的中毒主机会截取局域网范围内所有的通讯数据。 第 53 / 26 页 5.3.3 IP地址欺骗 当一个黑客开始使用一种用以散布网络路由信息的应用程序RIP时,一种路由方式的地址欺骗就开始了。一般说来,当一个网络收到RIP信息时,这种信息是没有得到验证的。这种缺陷的结果是使得黑客可以发送虚假的路由信息到他想进行欺骗的一台主机,如主机A。这种假冒的信息页将发送到主机A的路径上的所有网关。主机A和这些网关收到的虚假路由信息是来自网络上的一台不工作或没有使用的主机,如主机B。这样,任何要发送到主机B的信息都会转送到黑客的计算机上,而主机A和网关还认为信息是流向了主机B——网络上一个可信任的节点。一旦黑客成功地将他的计算机取代了网络上的一台实际主机,就实现了主机欺骗。 5.3.4 DOS攻击 DOS攻击也称强攻击,其最基本的方法就是通过发起大量的服务请求,消耗服务器或网络的系统资源,使之最终无法响应其它请求,导致系统瘫痪。具体实现方法有下面几种: 1.PING/ICMP Echo Flood攻击 这种攻击模式一般是发起大量的ICMP Echo请求给一个指定的目标,以达到使服务瘫痪的目的。但是需要发起这么大量的ICMP 请求是不可能从一台具有正确IP地址的主机上做到的,因为这样也会对自身产生很大的影响,发起者不得不接受同样多的回应。所以HACKER需要利用虚假的地址再发起攻击。 我们可以利用ZXR10-UAS 的源地址验证功能实现防止PING攻击。 2.SMURF攻击 SMURF攻击类似与PING攻击,是一种带宽消耗的攻击模式。它需要大量虚假ICMP请求导向到IP广播地址上。当一个包是从设备的本地网络外发送到本地网络的广播地址的时候,它被转发到这个本地网络的所有设备上。于是我们可以看到在SMURF攻击中有3大部分:发起攻击者,中间系统,和受害者。当然中间系统也可能同样是受害者。中间系统接从广播地址那里收到ICMP应答请求,当这些设备同时回答请求的时候,就会导致严重网络阻塞。 防止SMURF攻击的重要措施是在路由器上配置不准广播进入的条目。我们也可以利用ZXR10-UAS的安全ARP功能去阻挡流量到广播地址。 3.SYN攻击 第 54 / 26 页 TCP SYN攻击是一种以大量虚假IP地址发起SYN握手信号消耗掉被攻击设备的资源的攻击模式。设备要做出大量的SYN回应,而三次握手却是无法正常完成,必须等待Time out之后(通常是1分钟左右)。在短时间内大量发起SYN攻击,会很快消耗完设备的资源,让被攻击者无法完成正常的TCP服务,如E-MAIL,WWW等。 4.LAND攻击 LAND攻击是SYN攻击一种演变,它似的好象主机是在自己给自己发送包,从而让系统变得不断的尝试应答自己。 5.分布式DOS攻击(DDOS) DDOS攻击是一种更严重的攻击手段,它通过某些主机操作系统/软件的缺陷,从而操纵大量的第三方设备向目标发起攻击,扩大了DOS攻击的强度。一般来说,HACKER主要利用EMAIL或者JAVE Script等去控制其他主机,而且通常都以UNIX主机/服务器为主,因为它们是24*7工作模式,方便被HACKER在方便的时候操纵和发起攻击。通常我们需要在路由器上打开外出包过滤去防止欺骗包离开网络,同时也可以采用工具去搜索本网络中DDOS的引擎并且删除它。 黑客攻击是网络应用安全的重点,但并不是全部。网络应用安全还应该包括对网络内部不同用户权限的外部访问控制(例如没有授权用户不准上Internet或不准访问与公司业务无关的娱乐性网站等)。 5.4 安全控制 从不同的角度分别探讨以H3C S3610为核心的校园网为实现整个网络的安全性而采取的多种安全控制机制。 5.4.1访问控制列表(ACL) H3C S3610支持许多种不同类型的安全能力,提供了过滤和防火墙技术。对于H3C S3610,支持DES对称性加密算法,提供了加密口令、认证、改变配置请求许可以及提供统计信息等功能。同时采用控制访问列表(ACL)技术提供网络的安全性,支持VPN技术,如L2TP、IPSec、MPLS VPN等,同时ZXR10也支持NAT等功能。完全满足不同用户的安全需求。 在公共或不可信的IP网络上,安全性、私密性及机密性对于虚拟专用网VPN来说是极为重要的。ZXR10软件通过提供路由器认证和网络层的加密服务而减少信息的暴露。 第 55 / 26 页 访问控制列表(ACL)是控制包过滤(转发、阻塞、重定向)的列表。系统根据接口或电路的ACL来控制包的转发、阻塞、重定向。 下列特性适用于H3C S3610的ACL: 列表包含多个课题,ACL中的每个课题按照先后顺序进行处理。 每个列表有一个隐含的“deny all else”语句位于列表最后,即:如果包不匹配列表中的任何过滤语句,就被丢弃。 所有因ACL被丢弃的包同样被计数。 过滤类型包括IP(UASic and extended), ICMP, TCP, UDP, and bridging。 支持输入/输出过滤。 所有ACL在context内定义。 访问组可以通过用户配置文件直接作用于接口或间接作用于电路。如果ACL同时作用于电路和接口,通过的包将按顺序通过两个过滤器。输入先通过电路,再通过接口,输出先通过接口,再通过电路。 除了permit 和 deny, 过滤功能还支持redirect关键字。不管转发表信息如何,匹配的包总是被发送到特定的接口(和可以支持ARP的介质的下一条地址)。 5.4.2源地址确认 源地址确认拒绝所有来自其他地址的IP包。其主要特征如下: 确认地址是否对于源地址的电路有效。 拒绝任何不正确的源地址。 有效地防止HACKER地址欺骗和发起DOS攻击,如ICMP Echo/PING和SYN Flood。 第 56 / 26 页 六.设备清单与主要指标 6.1 设备清单 网络设备的详细清单: 设备名称 交换机 交换机 路由器 交换机 PC AC AP 设备型号 H3C S3610 H3C S3610 H3C MSR3010 H3C E126A 清华同方 数量 2 2 2 2 7 1 1 备注 核心交换机 汇聚交换机 出口路由器 接入交换机 2台集成服务器1台管理机4台验证机 接入层设备 6.2 设备主要技术参数指标 第 57 / 26 页 总 结 第 58 / 26 页 因篇幅问题不能全部显示,请点此查看更多更全内容