《智慧校园信息网络设计方案(网络架构设计).docx》由会员分享,可在线阅读,更多相关《智慧校园信息网络设计方案(网络架构设计).docx(12页珍藏版)》请在第一文库网上搜索。
1、智慧校园信息网络设计方案(网络架构设计)1总体网络架构设计1*Mn1iSMP.MUEAOGUmV.B*HftHt,*tWVA依托弹性架构,从有线基础网络、无线网络、安全区域到数据中心,从不同层面对资源做到池化,保障硬件架构的先进性和冗余性。2 .有线网设计网络设计,采用了扁平化组网方案。接入层设备推荐采用千兆接入交换机,汇聚层设备推荐选用汇聚交换机,核心层采用双引擎设计,推荐采用1台核心交换机,并开启虚拟化技术,保证核心网络的稳定性。关键技术和核心价值网关上收核心层,扩容更方便。采用高性能核心设备,后期扩容只需增加核心设备,放入虚拟化组。核心设备虚拟化,架构稳定。逻辑上只需要管理一台核心交换机
2、,且核心设备间高可靠高冗余,实现毫秒级切换。且增加更多核心设备,如数据中心核心交换,也可以平滑冗余虚拟化组,实现平滑扩容。简化网络结构,简单网络管理。由于网关上收至核心层,减少了网络中的三层设备数量(即网络中最庞大的汇聚、接入设备),无需设计复杂的路由等协议。且网络故障排查中只需要在核心层排查三层协议,汇聚、接入层只需排查V1AN配置,极大降低管理难度。设备利旧,节省用户投资。由于汇聚和接入设备只需要支持标准的V1AN协议即可,无复杂功能要求,现有校园网汇聚、接入即可满足需求,平滑升级到高规格校园网络。且在未来的校园网升级或设备更换时,无品牌、功能绑定和限制,校方更具有议价权,可选择高性价比产
3、品,节省学校投资3 .无线网络设计1、场景化无线部署,通过场景化的部署方案,确保学校处处无线体检最佳;2、轻松运维管理,魔镜+魔盒管好设备、看清体验、玩转业务、做好服务;3、采用瘦AP架构组网,AC旁挂核心,采用本地转发的方式,完成数据交换,减轻AC的管理压力,方便后期对AP的数量进行扩容。场景化的无线覆盖场景:电子书包教室、翻转课堂、创新实验室等场景分析教室中每个学生都有一台电子书包终端,上课时所有终端会同时进行数据传输,播放课件、点播视频等;无线网络承担教学关键业务,这就要求网络具有极高的稳定性和可靠性;无线网络不能允许其他终端随意接入,但同时要考虑电子书包终端能够轻松、便利的使用。解决方
4、案针对统一类型平板移动终端:在一间教室里部署一台高密度多模AP即可满足老师和60个学生的统一终端网络接入和移动等需求。电子书包专用AP针对学生BYOD平板移动终端:在一间教室里部署一套AP卫星组合,采用射频分离的技术,提供的4张“零”干扰的射频卡,满足100个老师和学生BYOD各类型终端网络接入和移动等需求。3.1大型会议室、图书馆等大开间、高密集用户场景的无线覆盖场景分析场景特点:1、环境开阔,面积较大;2、无线用户数极为密集,总数较大;3、用户终端类型复杂,对AP的兼容性要求较高。普通AP部署存在的问题:因用户数较多,普通AP的接入用户数在30人左右,部署所需的普通AP数量也会较多,但普通
5、AP基本上均为全向天线型产品,超过3个AP密集覆盖时就会产生严重的同频干扰(2.4GHz频段下互不干扰的信道仅3个),W1AN的性能会大幅下降,无线用户体验得不到保证。解决方案网络建议在这类环境下使用性能更优异的AP产品进行覆盖,单AP的接入用户数大大提升,单AP可接入200用户,所需的AP总数减少,AP间干扰得到降低;智能天线型AP会根据终端的位置发射定向信号,不仅终端的信号质量有保证,而且多AP密集部署的干扰也会有效下降30%以上。3. 2.教师办公室等高密度房间场景的无线覆盖场景分析教室办公室,场景特点:1、房间密集,房间数多;2、单个房间23个用户;3、环境美观度要求高,W1AN建设不
6、得破坏装修;4、部署要快速,不能影响正常运营办公。解决方案推荐使用性能更优异AP进行部署,满足:全网采用通用无线控制器进行统一管理AP灵活部署,支持面板安装和吊顶安装,无论是利旧、新布还是美观要求都能满足,精简管理,减轻管理工作量。AP可随意更换替换无需配置,轻松维护3.3. 学校校园、操场等室外场景的无线覆盖场景分析场景特点:1、室外环境恶劣,需面临严寒、酷热、雷雨、风沙等;2、覆盖面积要求较高;3、并发用户不多,但对性能有一定要求,如室外特殊应用,无线安防监控等。4、室外区域分布有较高、密集的建筑群和植物群,这对于信号的阻挡将是较大的隙碍。解决方案建议选用专用的室外大功率无线AP产品,配置
7、使用定向天线,可以保证无障碍下的300米半径覆盖以及近距离的多重障碍物的穿透能力,完全保证了室外区域的信号覆盖品质,同时设备本身具备抗雷击、防雨、防潮、抗高低温、阻燃等多项指标,无线室外覆盖,建议部署在校内的制高点,同时采用全向或定向天线向进行无线覆盖。4 .设备网设计设备网络设计通常要遵循层次化模块化的设计理念,同样做扁平化设计,接入直接到核心,汇聚层设备透明部署。在汇聚和接入层做智能化网、无线网和有线网的物理分离,在核心层做统一融合设计或者物理隔离设计,根据网络规模。设备网中的终端设备,一般采用POEPOE+网线供电技术,满足30W以内终端设备的供电需求。超大功率(大于30W)的终端设备,
8、采用HPOE的供电技术,满足设备网设备供电需求。对于不直接支持802.3bt协议,且功率在30W-60W之间的设备,提供供电转换终端,支持非802.3bt终端的网线供电。由工程常用的超五类网络线,按照标准EIA/TIA-568标准打线,将融合的网络与电源可靠的送往末端IP设备。末端适配器把网络信号与电源分离出来,IP端口直连设备,60W(更高功率)电源提供12V直流,24V直流(交流)、220V交流等不同电压与接口形式,提供给末端设备。5 .出口设计普教中小学校园网规模相对较小,为了减轻后续维护工作量,出口的设计要秉持简单的原则。因此适合采用A11inONE类型设备,EG是多业务一体化网关,集
9、成了多链路负载均衡、ISP选路、流控、上网行为管理、审计、VPN等功能,替代传统的串糖葫芦式出口,简化出口部署。配合EG简易的WEB管理界面,减轻了学校网络中心老师的维护工作量。6 .网络安全解决方案网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。在层次上涉及到网络层的安全、传输层的安全、应用层的安全等;在结构上,不同节点考虑的安全是不同的;在目标上,有些系统专注于防范破坏性的攻击,有些系统是用来检查系统的安全漏洞,有些系统用来增强基本的安全环节(如审计),有些系统解决信息的加密、认证问题,有些系统
10、考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题,这与系统的复杂程度、运行的位置和层次都有很大关系,因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。基于我们对于以上对安全知识和安全模型的理解和分析,对于学校来说,建立一个完整的校园网络安全体系,需要使用安全厂商提供的成熟的安全产品和技术。因此,我们从以下几个方面制定了一个一揽子的校园网络安全解决方案。1、安全性考虑要素根据智慧化校园网的实际应用场景不同,可以从以下几个层面进行安全考虑:1)物理层安全主要包括三个方面:环境安全、设备安全、线路安全。为了将不同密级的网络隔离开
11、,采用隔离技术将外网和内部保护网两个网络在物理上隔离同时保证在逻辑上两个网络能够连通。将可信网和不可信网要物理隔断,可信网络上的计算机不能访问不可信网络。两个网络能够有选择的交换数据,好像它们直接相连一样。2)网络层安全解决网络层安全的总体思路是业务隔离、分层实施、重点保护核心设备。通过定制设备安全策略、部署防火墙和IDS系统、部署网管系统和日志系统、日常维护流程保证等措施来保障网络层的安全。(1)在多个网络层面(外网、停火区和内部保护网)之间均设置防火墙,需要实施相应的安全策略控制,并采用安全检测手段防范非法用户的主动入侵。同时,网络系统的重要主机或服务器的地址使用Internet保留地址,
12、并有统一的地址和域名分配办法,这样一方面解决合法IP不足的问题,另一方面,利用Inte1net无法对保留地址进行路由的特点,杜绝与Internet直接互连。一采用的防火墙产品具有以下功能:一基于状态检测的分组过滤一多级的立体访问控制机制一面向对象的管理机制持多种连接方式,透明、路由一支持OSPF、IPX、NETBEUISNMP等协议一具有双向的地址转换能力一透明应用代理功能一一次性口令认证机制一带宽管理能力一内置了一定的入侵检测功能或能够与入侵检测设备联动一远程管理能力灵活的审计、日志功能(2)部署基于网络、实时的入侵检测系统实时监控网络关键路径的信息,全面侦听网上信息流、动态监视网络上流过的
13、所有数据包,通过检测和实时分析,及时甚至提前发现非法或异常行为,并进行响应。通过采取告警、阻断(如发送TCPReset报文等)、与其他网络设备联动等事件响应方式,以最快的速度阻止入侵事件的发生。(3)系统网络结构采用双网双平面,避免单点故障,每台服务器都有同时连接到两台主干网络交换机上,实现网络路由的备份,这样,在一条网路出现故障的情况下,整个网络系统仍然可以正常运行,有力地保证了系统的安全性和可靠性。2)系统层安全从物理安全、登录安全、用户安全、文件系统、数据安全、各应用系统安全等方面制定强化安全的措施。UniX(或UniX1ike)平台具有良好的稳定性和病毒免疫力,系统关键节点如校园各应用
14、系统服务器、数据中心、财务系统等等采用Unix(或UniX1ike)操作系统,其他采用Windows环境的服务器安装防病毒软件,预防病毒和恶意攻击。3)应用层安全主要通过分权分域管理、加强操作系统自身安全、双机集群、用户数据加密存储、接口数据加密传输等方式。(1)分权分域:对中心和虚拟中心操作员分权分域管理,涉及操作员的角色(权限)设置、地区设置和可管理数据类别设置。(2)操作系统自身安全:加强操作系统用户管理、关闭不常用的端口和服务、及时安装操作系统补丁。(3)双机集群:系统中的核心服务器等采用双机群集技术,可以保证当任何一台主机出现故障的时候,另一台主机可以接替援用,将原来运行在该主机上的
15、应用软件包接管过来,从而确保对用户的不间断服务。同时中心服务器上的硬盘都应支持热插拔,当出现故障时,可以在不断电、不停机的情况下替换这些部件。从而保证局部的故障不会影响整个系统的运行,同时也方便系统的维护。(4)用户数据加密存储:任何系统维护人员都不能直接看到用户数据。而只能的得到系统的统计结果。同时对用户关键数据,如密码等采用不可逆的加密算法如MD5进行加密存储。(5)接口数据加密传输:在和其他外部系统接口交换数据过程中,接口数据采加密算法进行加密传输。经过上述几个方面的防范,对于病毒、恶意程序、Hacker入侵完全可以避免,能够保证系统的安全。当然完善的维护制度是保证上述策略能够很好贯彻的保证,因此需要制定完善的机房维护制度,每天检查防火墙、防病毒软件、操作系统、数据库的日志,及时发现问题,从而针对问题及时解决。新增的安全组件主要包含二大部分:(1)应用于被监控局域网络包括基于网络的入侵检测系统、安全扫描系统。(2)应用于被监控局域网络与广域网络之间主要是指防火墙,还可以有针对于防火墙的入侵检测系统。2、主要安全手段1)双层防火墙为了更好的保护学校智慧化校园中需要访问外网的服务器以及内部网络的安全,系统建议采用双层防火墙机制,如下图所示:双层防火墙组网方窠在外部防火墙和内部防火墙之间称为停火区,提供外部网络访问的服