构建安全的园区网络

China☆狼群 提交于 2020-04-29 11:57:54

前段时间模拟设想了一下学校的网络需求,现在大概写一下具体方案.虽然学校已经铺设完毕,但如果是我设计会是什么样呢?具体实施方案:
1 主干网要采用千兆核心设备接入,百兆到桌面。虽然ATM在技术和功能上与千兆主干网差不多,但ATM的结构复杂,而且技术不是很成熟,有许多标准还要再完善,不够成熟,所以推荐使用千兆以太网;
2汇聚层采用聚合 可堆叠的 具有千兆接口的设备。因为汇聚层上端直接与核心层连接,所以要有千兆接口,而且不同教学楼的需求不同,所以有的为了保证传输质量就要采用聚合 叠堆技术。
3为了增加扩展性,尽量选用模块化设备,可以随意增减;
4为了保证质量,尽量采用Cisco的产品,在终端采用华为的设备
方案一:
主干核心设备选用Cisco Catalyst 4948交换机,它具有具有48个线速10/100/1000BASE-T端口,并另有4个线速端口,可容纳可选1000BASE-X小型可插拔(SFP)光接,为数据密集性 应用提供了线速吞吐率和低延迟,电源冗余实现不间断工作,可以方便制定ACL列表对网络加以控制,支持SSH远程登陆管理,二层到四层的所有协议几乎都支持。
在汇聚层设备选用Cisco3750交换机,它允许来自几个千兆以太网的接口,具有低时延特点,具有48 端口千兆位平台提供了4 条小型可插拔(SFP)上行链路,将双冗余上行链路作为更高可用性优势,具有多堆栈聚合功能,可以实现限速功能,可以方便管理。
终端方面选用Cisco3512产品,Catalyst 3512 XL拥有12个10/100交换机端口以及两个基于千兆比特接口转换器的千兆比特以太端口,可以灵活堆叠.
全校主要有两个中心。一是图书馆,由于图书馆是新建成,而且是学校标志性建筑,所以把中心放在这,它负责整个学校的网络,外网通过光纤直接连接到图书馆的主管理室,里面放着防火墙三层主核心交换机。所有网络通过路由器NAT翻译出去,当然需要做一些ACL列表限制,有些是不允许连接外网和外网访问的。与通信楼,经管楼,机械楼,行政楼,计算机中心等都是通过MMF多模光纤接入,通信楼里机器很多,但都是实验室,不需要上网,所有的楼中基本上都是满足教工上网查阅资料等需求,所以流量应该不是很大,计算机中心是学生用来查阅里面多媒体资料,上网,等使用的,里面的多媒体服务器放置一些视频资料。与三层核心交换机直连的小机房里面放置的是学校整个资料,服务器中有所有图书的资料,需要做备份的必要措施。拒绝一切访问,只有特殊用户可以。
另一个中心是学生宿舍部分。一共是六个寝室楼,每个楼有六层,每层的机器数量大概在100台左右,所以3521系列便可以,可以在每层再分别放置一个小交换机,扩展接口。最后六个楼汇聚到A座,汇聚后与核心层直连。因为学生上网的流量最大,所以采用千兆聚合,并且做级联。









网络管理方面,由核心机房统一管理,管理系统全部采用Linux系统,服务器端做好冗余备份,VLAN是一组可以互换单一播送数据包的交换机上的端口。当一个数据包从一个属于某VLAN的端口进行广播时,交换机收到数据包,然后将它拷贝到这一VLAN所包括的所有端口上。利用网络交换机的VLAN功能,可以在全校园网内划分成多个逻辑子网,如办公子网和宿舍子网,一个逻辑子网可以是一个真实的物理LAN,也可以是由交换机设置的VLAN。同一个VLAN中的端口可以接受VLAN中的广播包。但别的VLAN中的端口却接收不到。不同的VLAN之间在数据链路层是互不连通的,当它们需要互相访问时,必须通过路由器或者具有路由功能的交换机(即三层交换机或多层交换机),使它们在网络层连接起来。为了实现VLAN之间的数据交换,可以使用三层交换来替代传统的路由器,以达到更高速的数据包交换。申请一个B类IP地址,往下依次划分子网,并做DHCP,使ip动态获取。
最后在保证方便的同时保证安全,通过防火墙抵制外网***,配置ACL列表,对部分区域做限制和保护,划分VLAN防止病毒互相感染等。
标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!