潍坊学院网络改造实施方案讲解.doc

潍坊学院网络改造实施方案  PAGE 1 潍坊学院网络改造实施方案 2007年1月 潍坊学院网络改造实施方案 一、概述 1、工程概况 潍坊学院本次网络改造主要是对学生宿舍网和学校出口网络进行改造。原有的学生宿舍网没有自己单独的核心设备，并且所有的桌面接入交换机均为不可网管设备，无论是从网络稳定性、安全性、可管理性和可控性上都无法得到保证，而出口位置以前没有专门的安全设备，整个校园网的安全也有缺陷。针对这些问题，本次改造增加了一台H3C的高端路由交换机9505作为学生宿舍网的核心，将楼宇接入设备和桌面接入设备更换成了H3C的可网管交换机，并且增加了基于802.1X技术的cams用户管理系统，对学生上网进行认证和计费。 在出口位置，增加了一台高端的防火墙设备，作为校园网访问公网的边界设备。 2、实施原则 网络改造的实施遵循下面三个原则： 以用户需求为指导的原则 由于本次网络改造是对原有网络的升级和扩容，因此，网络的改造首先要深刻理解用户的需求。通过了解目前网络的现状，分析其所存在的缺点，结合用户提出的要求，制定最佳的实施方案，充分发挥出新设备的性能。 先进性的原则 目前，潍坊学院网络在网络性能、可靠性、安全性和可管理性等方面存在一定的缺点，因此网络改造一定要遵循先进性的原则，弥补现有网络的缺陷，并且能够满足未来3至5年网络应用发展的需求。 合理规划、认真实施的原则 在规划过程中，要充分考虑设备、vlan、地址使用的合理性及扩展性。做到既不浪费、有又良好的可扩展性。同时要做到便于管理。实施过程中要注意各种细节问题，多余用户进行沟通，真正做到一丝不苟、认真负责。 二、网络改造实施方案 1、新建网络拓扑情况 新建网络将学生宿舍网与办公网在结构上做了分离，学生宿舍网成为一个单独的网络。整个学生宿舍网呈星形结构，分为核心、汇聚和接入三层。在逻辑结构上设计为一个大的交换网络，核心层是一台H3C的9505路由交换机，既汇聚各楼的交换机，又与校园网出口防火墙通过千兆互联。各学生宿舍楼使用一台E328作为楼宇汇聚设备，通过千兆光纤链路与核心设备互联，接入层的桌面接入设备为H3C的E126交换机，通过百兆链路与楼宇汇聚设备互联。学生宿舍网的网关均设置在9605上，Cams用户管理服务器直接连接到核心9505上。 新建网络的出口位置增加了一台千兆防火墙，连接网通提供的Internet链路和教育网潍坊地区的核心设备Ne40，同时通过千兆连接校园网的9505和6509，此防火墙的主要任务是做校园网访问外网的地址转换，并且抵御外部病毒和攻击。 新建网络拓扑如下图所示： 具体的设备分配见表《设备分配与管理地址表》 2、网络设备管理方案 新建网络使用的均为可网管设备，为了便于管理，需要对网络设备规定统一的命名规则、端口描述规则、端口分配规则以及管理地址分配规则。 (1) 设备命名 为了使设备易于管理与维护，对设备进行合理命名是必要的。按以下规则命名： 核心设备命名：9505的设备名命名为S9505-WFU 汇聚与接入设备命名： 设备名：ABCD_E_F ABCD：设备类型，如接入交换机就命名为E126 E：楼宇号； F：交换机序号 例如：1号楼的第一台桌面接入交换机E126就命名为E126_1_1# (2) 端口描述 为了使用户对网络连接情况更加清晰，对设备接口进行合理描述是必要的。 核心设备端口描述：to_A A为楼宇号或设备号 如连接一号楼的端口描述为to_1# 汇聚设备端口描述： 汇聚设备的上联端口统一描述为to_9505 汇聚设备的下联端口描述：to_E126_B B为该楼E126序号 接入设备端口描述：上联端口描述为to_E328_C C为汇聚设备E328的端口号 (3) 核心设备端口分配 核心设备9505的端口众多，建立一个详细的设备端口分配表，再结合端口描述，可以使用户非常方便的进行端口管理。详细的核心设备端口分配见附件《核心设备端口分配表》 3、VLAN和IP地址规划方案 本次网络改造的vlan划分原则是对vlan进行细分。这样设计的原因是： ARP病毒或其它网内病毒呈愈演愈烈之势。一旦一个vlan内部出现了ARP病毒，那么vlan内所有机器都会受到影响，甚至会影响到交换机的性能。而vlan细分可以把影响面缩小，便于排查中毒机器，同时也控制了病毒的传播。 随着多媒体的发展，组播流量将占据越来越大的比重。按照组播原理，组播流量到了二层vlan内部，会向网段内部的所有端口发送，