1、上海外国语大学校园网一期改造方案 1目录1. 网络设计背景 .21.1. 背景 21.2. 现有网络概况 21.3. 改造需求 32. 网络设计 .32.1. 总体设计 32.2. 主干网络设计 42.3. 低端网络设计 52.4. 应用系统 53. 管理 .63.1. 安全机制 63.2. 流量监控 74. 报价 .错误! 未定义书签。上海外国语大学校园网一期改造方案 21. 网络设计背景1.1.背景上海外国语大学的现有校园网已初具规模,由于中心位置搬迁,用户数目扩展和加强管理等多方面的需求,在原有的网络基础上进行改造,进一步完善,加强安全管理,11 用户通信监控,提供更多的应用服务。1.2
2、.现有网络概况现有的网络拓扑结构如图所示。其主要交换设备均采用 CISCO 公司的产品,网络拓扑比较简单,应用服务相对集中。行 政 楼 新 楼音 像图 书 馆Catlyst50Catlyst30Catlyst30SUNR上 海 外 国 语 大 学 校 园 网 络 拓 扑 结 构 中央交换设备为 Catalyst 5000 配置情况? 边缘交换机为两台 Catalyst3000.配置情况? 路由器和通信服务器是 CISCO 2511,8 块 modem,剩余一个同步口,一个异步口,还可扩展 8 路电话线路和一路外连专线 主服务器为 SUN 4,设备陈旧,性能较低。 无虚网划分,无网管, 拨号用户
3、有简单的通讯量统计功能,校内专线用户无统计功能 服务主要为 Email 和 WWW,提供与 Internet 接入。上海外国语大学校园网一期改造方案 31.3.改造需求 服务多样性:增加服务除现有服务外,可增加计费系统,图书检索,多媒体系统,BBS 和 FTP,Proxy 服务等功能。 可管理性:包括对拨号用户和校内专线用户的信息量的统计,对师生访问权限的控制机制和对国外出口的管理。 安全性:加强对系统的管理,主机系统应有较强的抗攻击能力,在条件允许的情况下要有虚网划分机制,对网间的信息交换要有安全策略。 可扩充性:现有的网络应具有很强的扩展能力,可以满足近期内可预见的用户接入需求,同时具有面
4、向新技术的平滑升级能力。2. 网络设计2.1.总体设计1. 主干设备:根据目前现有结构和主要设备,在新的网络构架中可以有两种方案可供选择, 仍采用以 CISCO 产品为主,在低端桌面型设备可选用其他厂家的产品,因为在目前情况下,多数非同厂家产品还不可能做到无缝连接,在高端即主干网上采用异构互连的方式可能会带来两个问题 互连性问题,虽然连通是可实现的,但由于协议标准的实现方法不同,可能会损失一部分带宽,实际使用的带宽速率要低于声明带宽速率。 虚网划分:目前各厂家实现虚网协议方法大多不同,所以在做虚网划分时会带来很多困难,甚至在某些情况下是不可实现的。 采用其他厂商的低端产品(如 3COM,Int
5、el 等),好处是价格便宜,且在目前低通讯量和负载情况下可以满足需要,在以后的网络升级过程中,可以替换向更低端的用户推2. 路由交换与外部互连: 外部网络目前仍采用 DDN 连接方式通过交大与教育网实现连接,暂时还无提高出口带宽的要求,目前所用路由器,有 5kpps 的包交换能力和一空闲同步口,可以满足近期的扩展要求。 如采用虚网技术就需要一个内部虚网间的信息交换的路由器,至少支持4 个虚网即 4 个以太端口上海外国语大学校园网一期改造方案 43. 主机系统可根据应用系统选择 SUN+Solaris,PC+NT 和 PC+Linux 的结构, SUN+Solaris 是一种比较安全和稳健的网络
6、服务器结构,而且由于管理员对 SUN 系统较为熟悉,在管理上有经验,所以在 UNIX 主机系统中仍采用这种结构。但由于价格较为昂贵,在目前情况下不宜大范围采用。 PC+NT:管理简单方便,价格适中,但安全性较差,同时还有缺陷,同一网段数目过多的情况下可能会出现广播风暴。 PC+Linux:价格最为便宜,安全性上没有很大的把握,另外无生产厂家提供可靠的技术支持,在出现问题时是没有保障的。4. 远程访问远程拨号网络的扩展较为简单,目前现有的通信服务器还可支持 8 路线路的扩展,只要购置相应的 modem 和申请电话线路即可。2.2.主干网络设计上 海 外 国 语 大 学 校 园 网 络 拓 扑 结
7、 构 (改 造 )行 政 楼 新 楼音 像图 书 馆Catlyst30Catlyst30Catlyst30Catlyst50SUNR PCS Catalyst 5000:中央交换设备采用原有的 Catalyst 5000,利用其 100M Base-T 端口加转换器连接外部新增设备。 Catalyst 3000 WS-C3016B 配置情况:(原行政楼)上海外国语大学校园网一期改造方案 51. 10BaseT RJ-452. AUI3. 2 扩展槽(WS-X3001 上行 100BSAE-TX)4. EIA/TIA 232 console5. AUI DB15 SwitchProbe路由交换设
8、备(optional)四 10M BaseT 端口路由,转发能力在 50kpps 以上,稳定性好,可靠性高,有一定的 filter 功能。 可采用专用路由器,可选品牌设备:CISCO,Bay ,Intel 或用 PC 路由,在低负荷情况下是可行的,但有技术难点,需要测试其转发能力和可靠性。VLAN1VLAN2 VLAN3RSERVER VLANR上 海 外 国 语 大 学 校 园 网 络 逻 辑 拓 扑 结 构WFTPEMAIL.2.3.低端网络设计参见布线方案2.4.应用系统现有服务器为 1 台 SUN 4 性能较低,所有应用集中在此机上,一是负载过重,另外给系统安全运行带来了很多不利因素。
9、所以对改造后的网络应用系统提出了如下构想: DNS+Proxy+WWW:PC Sever +NT +IIS,根据目前校内用户数目和上网信息资源量,PC+NT 是一种比较经济,有效的结构。而且微软的 NT 系统将所有上面提到了应用集成在 NT 系统里给管理带来了很大方便。但另一方面需上海外国语大学校园网一期改造方案 6要指出的是 NT 在安全性和管理角方面有很大不足,需要管理员有较为丰富的经验和完善的监控手段和防范机制,可以在突发事件产生时能够迅速恢复和防止再一次入侵 FTP+ Email+拨号认证:SUN+Solaris|+Tacacsd,这一组服务主要是对内服务,拨号认证服务需要运行在 Un
10、ix 系统上,所以建议采用如上的结构,根据目前用户情况,FTP 服务可综合在一起,如今后负载过重时再分离。 网管(o): NT+网管软件,此项为可选,因为以太网的网管虽然不是必须的,但他可以监视网络设备的异常,负载情况和流量。 BBS(o): SUN4,原有的服务器过于老旧,如有需求可做为 BBS 电子公告牌 图书检索(o):可建立一个富士通系统的前端机,提供友好的 WEB 用户界面可以随时检索馆藏书籍的出借和库存情况,目前采用 PC+Linux 的方式比较好(注:o 表示 optional,是可选的如此次改造不能实现,可在今后的升级中加以实现。)3. 管理管理模式上要加强安全方面考虑,和信息
11、流量的控制,3.1.安全机制1 加强主机系统的抗入侵能力,尤其对 NT 类型的服务器系统。2 应用系统尽可能分布在不同的主机上,关闭不必要的端口,减少入侵途径,在当前情况下,应本着对内对外的服务应分开,关键和非关键的应用分开的原则,将应用系统合理的配置在主机系统上。3 加强对外部用户的访问控制,主要依靠防火墙机制,现在采用的手段是在路由器上设置访问表,和应用静态路由。4 按应用需求应划分虚网,控制校内用户,各部门之间的访问权限。5 加强监督机制,重视线上用户行为的监视和对系统日志的分析,能够及时发现入侵行为,和找到遭入侵后的解决办法。6 恢复备份是系统遭受破坏一种有效的简洁的处理手段,所以对备
12、份工作要重视起来,要做到关键数据一天一次,非变动信息有永久备份,其他上海外国语大学校园网一期改造方案 7信息视情况而定。备份介质可采用硬盘和磁带。备份方式可以是更新备份,增量备份和永久性备份。3.2.流量监控对主干网络和个分支用户网络实施监控,可以发现网络瓶颈,得到用户访问个信息点的量化数据,掌握用户的不安全行为,可以为网络性能分析和故障诊断提供丰富的事实依据,给网络的综合管理带来极大的好处。1. 网管系统:可以在各主要网络交换设备上采集到当前设备的工作状态,掌握各虚网之间的数据流量,和交换设备的各端口的负载情况。2. 网络分析设备:可以在主干网上监视各网段上的包情况,其中包括: 通讯包总量,
13、丢包率 包成分,及其所占比重,如 IP,IPX. 各应用包的分配情况:如 Ip 包中 tcp 和 udp 包的百分比,tcp 包中telnet,ftp,http 等包的比重。 各 IP 发包的情况,可以判断网络负载和故障诊断。3. 路由器上的流量控制,限制某些网段或者 IP 地址的访问权限,与 PROXY结合统计用户的出口信息流量。4. Proxy 服务,由于路由器的限制,可采用 Proxy 的办法满足用户对校园网外甚至是国外的访问需求,而且这种访问是受控的,可以根据用户的帐号,清楚的了解用户对外访问的信息量5. 拨号用户可根据用户认证机制,掌握用户登录时间,从而估算大概信息及资源的耗费情况。
14、上海外国语大学校园网一期改造方案 84. 预算项目名称 单价 数量 价格(人民币)说明 Cisco Catalyst3000C3106B $7178WS-X3001 $1943or Intel 100M Switch1 50,00020,000接行政楼交换设备接入可选 SUN Ultra 10 A22A22-UEA1Y9J-128cGX7103ASOLD-2.5.1NOV97-47X6540AX6262A10,000.00 1 100,000 Email,拨号认证,计费 Cisco Works WindowsCWPC-3.1-SNM PC on NT$3743SNM ON NTCWPC-3.1
15、-OVW $2993HP - openview On NT.4 50,000 CISCO 网管 大楼局域网布线配线架:50.00模块面板:100.00AT&T 线:150.00人工费:130.00其他材料:50.00500.00 180 90,000 新楼内布线180 信息点含 HUBHayes Modem 8 20,000 远程拨号网络扩展 光缆铺设12 芯 2,700/km4 芯 1,2000/km人工+材料 12,000/km光端头:200/个跳线:300/根30,000 园区网连接NT4.0 中文版 2 20.000上海外国语大学校园网一期改造方案 9 计费软件 on Tacacsd
16、10,000 1 10,000 100M transceiver Bay NetworksModel 514 100 MBPXFiber Optic Transceiver7,500 4 30,000 用于 100M 接入 PC SERVERCompaq/Ps200 PII/233 32M 4,3G SCSI 20,000.0020,000 3 60,000 网管平台DNS+WWWProxy PC WorkstationCompaq DP2000200MMX/32M/2.1G V40 彩显12,000 5 60,000 开发 PC Workstation200MMX/32SDRAM/3.2G 14”彩显 7,0007,000 20 140.000 机房 Proxy Server 10,000系统集成 40,000不可预见费用 20,000总计 690,000 以 CISCO 价格计算
