广州市花都区成人教育培训中心网络升级解决方案
客户: 花都区成人教育培训中心
行业: 教育行业
产品/解决方案:网络升级解决方案
关键词: 交换机更换、网络稳定、安全防护全面、提高工作效率
项目背景:
“十三五”以来,教育信息化发展取得了较大的进展。花都成人教育中心目前基于自身网路状况:交换机设备使用多年存在设备老化、性能不足等问题,因此需要进行整体网络的升级及整改建设。信息化的战略部署初步形成,基础设施建设进一步加强,管理规范和技术标准不断健全,数字教育资源开发和应用持续深入,教育资源和教育管理平台建设扎实推进,教师信息化意识与能力显著增强。进一步推进花都成人教育中心信息化发展,是适应当今教育改革和信息技术创新应用趋势,如期实现花都成人教育中心现代化。
同时随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变:
a.网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务;
b.移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统,员工更喜欢通过WLAN、移动终端类开展工作;
c.沟通桥梁:内部员工也更加依赖互联网进行沟通和交流,提升工作效率,获取资讯和知识,维系人脉关系;
项目需求分析:
根据原有10年前核心交换机一台,接入交换机7台,网络链路带宽3条合计300M,PC用户数750台左右;新增3台24口POE供电交换机的需求前提下设计。
网络建设目标:
通过本次项目,建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台,以高效率,高速度,低成本的方式提高工作效率与执行效率。本项目中终端接入方式存在有线和无线;同时为了简化出口的部署,将安全审计、运维管理提供融合的基础设施满足需求。所以信息化建设中校园网络的核心建设目标主要有以下几个方面:
· 网络高速稳定
· 有线无线融合
· 安全防护全面
网络总体设计:
1.1总体建设原则
校园网是企业、政府、学校、医疗等机构各业常见的内部网络,组网上需要和广域网、数据中心网络相连接,核心是用户、访客、合作伙伴等网络接入、数据交换和安全隔离等需求的实现。一般对于校园网而言,注重的是网络的简单可靠、易部署、易维护。因此在校园网中,拓扑结构通常以星型结构为主,主要的建设原则有:
实用性原则:实用性原则主要体现在以下方面:以现行需求为基础,适当考虑发展的需要为依据来确定系统规模。选择成熟、先进、维护量小、使用方便的技术设备和措施。创造一个开放的网络平台。
安全性原则:网络系统提供多种有效的安全控制机制,以防止机密泄露和影响正常工作。有线无线网络系统应提供一套完整的安全防范措施,能够有效地防止系统外部人员的非法侵入。
可靠性原则:系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
成熟和先进性原则:根据网络应用及重要性,设计时将必需使用成熟商用和领先的先进技术,保证网络与业务的可靠性。
规范性原则:系统设计所采用的技术和设备应符合国际通用标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
可扩充和扩展化原则:所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
1.2校园网建设逻辑结构
校园网是业务承载网,满足用户、终端与业务系统之间的互联,根据模块化设计的校园,校园网分为校园内部网络和校园外部网络,外部网络主要提供广域网互联、Internet互联、合作伙伴、移动办公、分支互联以及访客的接入。校园内部网络根据逻辑功能主要分为五个模块和两个区域。
· 校园出口层:
校园出口是校园网络到外部公网的边界,校园网的内部用户通过校园出口设备接入到互联网、分支机构以及企业外部用户(包括客户、合作伙伴、远程用户、VPN用户等)也通过校园出口设备接入到内部网络。
· 核心层:
核心层负责整个校园网络的高速互联。核心层设计一般要兼顾网络利用率和网络可靠性;需要对网络故障具备快速收敛的能力。
· 汇聚层:
汇聚层将众多的接入设备和大量用户经过汇聚后再接入到核心层。汇聚层目的是扩展核心层接入用户的数量。汇聚层通常还作为用户三层网关,承担L2/L3边缘设备的角色,提供用户管理、安全管理等各项跟用户和业务相关的处理。在网络规模较小的情况下,接入和汇聚可以合并,提供两层架构。
· 接入层:
负责将各种终端接入到校园网络,通常由以太网交换机组成。当前随着移动终端的普及,无线接入的需求逐渐旺盛。所以校园接入层目前需要考虑有线无线的融合,需要无线AP、AC甚至物联网模块。
· 终端层:
包含校园内的各种终端设备,例如PC、笔记本电脑、打印机、传真、POTS话机、手机、摄像头等等。
校园网还有两个重要的管理区域,一个是运维管理区,另一个是DMZ区。
运维管理区:提供对网络、服务器、应用系统进行管理的区域。一般满足FCAPS模型的网络管理,主要包括故障管理、配置管理、性能管理、安全管理等。
DMZ区:通常公用服务器部署于该区域,为外部访客(非企业员工)或者远程办公用户提供相应的访问业务(比如Email、Ftp服务器、DNS等),其安全性受到严格控制。
除了以上模块外,校园网络还承担和数据中心互联的功能,满足终端到应用之间的访问权限控制和业务的隔离。
校园网建设物理拓扑
根据上述校园网络设计的逻辑结构,一般校园网络设计的物理拓扑如下图2-2所示。
该物理拓扑的主要特点有:
· 核心层采用双机部署,具备高可靠性,满足校园业务的高速稳定互联。
· 网络采用分层设计,包括核心层、汇聚层、接入层。
· 有线无线一体化设计,实现一体化管理、一体化供电。
· 采用网络管理软件管理全网所有网络设备。
校园有线网络设计
2.1总体设计原则
校园网络的核心层交换机承载着整网的内部数据交换,主要任务是把大量来自接入层的数据进行汇聚和集中,承担路由聚合和访问控制的任务。作为整个校园的核心,除了需要考虑性能外,也需要考虑稳定性及可靠性。总体来讲,核心区域设计需要满足以下几个原则:
· 层次化原则:核心层、汇聚层、接入层,每层功能清晰,架构稳定,易于扩展和维护。
· 模块化原则:每一个部门一个模块,部门内部调整涉及范围小,定位问题也容易。
· 可靠性原则:双节点冗余性设计,适当的冗余性提高可靠性。
核心层需要采用全连接结构,保持核心层设备的配置尽量简单,并且和业务部门无关。核心层设备需要具有高带宽、高转发性能。核心设备双机互联,核心汇聚之间建议采用万兆光纤连接。在两台核心设备之间我们采用H3C特有的IRF2(多虚一)弹性智能堆叠技术,使2台设备从逻辑上虚拟成一套设备。通过堆叠后不仅提高了设备的整体性能,也提高了链路的高可靠性、增加链路带宽、保证设备了数据的可靠性传输。
层次化设计
整个网络为了便于运维,将网络按照经典的三层结构(接入层、汇聚层、核心层)进行部署。通过分层部署可以使网络具有很好的扩展性(无需干扰其它区域就能根据需要增加容量),可以提升网络的可用性(隔离故障域降低故障对网络的影响),可以简化网络的管理(拓扑结构结构更清晰)。
1)接入层:提供Layer2的网络接入,通过VLAN划分实现接入的隔离,接入层完成以下的功能:
· 实现PC、打印机等有线终端的高性能接入,本次网络采用千兆带宽接入;
· 各功能分区的接入层相对独立,连接到对应功能区的汇聚层;
· 接入层下不能再挂接任何网络设备,包括HUB、SOHO路由器等。
2)汇聚层:作为接入层和核心层的分界层,完成各功能分区IP地址或路由区域的汇聚,汇聚层完成以下的功能:
· 不同业务功能的汇聚;
· 本功能区VLAN 间的路由;
· 广播域或组播域的边界;
· 在汇聚层实施功能区内、功能区之间的安全访问策略。
3)核心层:提供各区域间的高速三层交换,核心层完成以下的功能:
· 采用万兆光纤与各区域汇聚设备形成互联,形成万兆骨干网络;
· 核心层不进行终端、服务器系统的连接;
· 核心层不实施影响高速交换性能的ACL等功能。
安全性设计
校园网络设计采用基于业务和部门进行模块化设计,不同的部门是一个独立的网络模块。模块化设计时,尽量做到各模块之间松耦合,这样可以很好的保证统一平台的业务扩展性,扩展新的业务系统或模块时不需要对核心或其它模块进行改动。同时模块化设计也可以很好的分散风险,在某一模块(除核心区外)出现故障时不会影响到其它模块,将统一平台的故障影响降到最小。
同时校园网络安全设计需要考虑网络内部的业务隔离、访问控制以及校园出口的安全策略。本小节主要关注校园网络内部之间的网络访问安全控制。不同部门通过VLAN进行隔离,在汇聚上通过ACL进行访问权限的初步控制。出口安全设计参见校园出口设计章节。
设备介绍
深信服上网行为管理
该产品深信服全网行为管理设备,全网行为管理AC一直坚持上网的可视与可控,可以实现“用户”的可视可控、“行为”的可视可控以及“流量”的可视与可控。深信服AC通过深入识别技术,全面识别网络中的用户、行为和流量,并通过分析和可视化的展现,帮助管理者看清网络状况;并且,可以对“用户”、“行为”、“流量”进行精准灵活的管控,让用户上网高效,管理更省心。
1.2交换机
核心交换机
该产品是面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5/V7操作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能弹性架构)、IRF3(Intelligent Resilient Framework3,第三代智能弹性架构)技术为系统基石的虚拟化软件系统,支持云数据中心化所需的TRILL、EVB、FCoE和MDC(一虚多)技术,完全兼容40GE和100GE以太网标准,进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。基于40G,100G平台设计,符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
支持冗余主控,可广泛应用于城域网、数据中心、校园网核心和汇聚等多种网络环境,为用户提供了安全交换一体化、有线无线一体化、有源无源一体化的行业解决方案。
【产品特点】
·完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击
·支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案
·采用专业的内置防雷技术,支持业界领先的8KV业务端口防雷能力,使其在比较恶劣的工作环境中也能极大的降低雷击对设备的损失率
·支持硬件级加密技术Macsec技术(802.1ae),通过鉴别数据源的密码技术保护管理桥接网络和其他数据的控制协议,保护信息完整并提供再保护和保密服务
汇聚交换机
该产品是H3C自主开发的三层千兆以太网交换机产品,是为要求具备高性能、高端口密度且易于安装的网络环境而设计的智能型可网管交换机。基于业界领先的高性能硬件架构和H3C先进的Commware V7软件平台开发,同时基于强大的统一交换平台,实现有线无线的无缝融合。可集成无线控制功能,实现接入层无线/有线本地转发,消除无线控制带宽瓶颈,扩大无线部署规模,节省用户投资成本。
提供10/100/1000Base-T自适应以太网端口或10GE SFP+光口,并通过子卡可支持10GE电口、40GE QSFP+光口。在企业网中,可以作为接入设备提供千兆到桌面应用,或作为中小企业的核心;在城域网或者行业用户中,向下可以提供千兆接入最终用户或汇接低端交换机,向上可以通过万兆或40GE光纤或者链路聚合汇聚到核心交换机。支持创新的VxLAN技术,可以同时支持VxLAN二三层网关。
【产品特点】
· 主机均固化4个万兆光端口,提供最高性价比端口组合,满足用户1:1无收敛网络部署需求
· 支持丰富、灵活的端口扩展板卡,实现高密、高性能端口扩展能力,满足大型网络汇聚或中小网络核心部署需求,以及对于光电混合组网的配置需求
· 支持VXLAN (Virtual Extensible LAN,虚拟扩展局域网),丰富的SDN和网络虚拟化特性
· 实现基于硬件的IPv4/IPv6双栈平台,支持多种隧道技术,丰富的IPv4和IPv6三层路由协议、组播技术以及策略路由机制,为用户提供完善的IPv4/IPv6解决方案
· 具备设备级和链路级的多重可靠性保护
POE接入交换机
该产品是H3C自主开发的二层千兆以太网交换机产品,是为要求具备高性能、高端口密度且易于安装的网络环境而设计的智能型可网管交换机。提供10/100/1000Base-T自适应以太网端口或SFP光口。在组网中,可以作为接入设备提供千兆到桌面应用;在城域网或者行业用户中,向下可以提供千兆接入最终用户或汇接低端交换机,向上可以通过千兆万兆光纤或者链路聚合汇聚到大容量的L2交换机。支持创新的IRF(Intelligent ReEIlient Framework,智能弹性架构)技术,用户可以将最多9台交换机连接,形成一个逻辑上的独立实体,从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。
采用多项原创设计,实现大功率POE供电并无噪音的效果。在楼宇、酒店、视频会议、智慧教室等静音要求极高的场景下,为PD终端(AP、摄像头、VDI,IOT等)提供单端口最高可达99W的PoE++供电,从而简化布线工作,减少用户在布线方面的人力成本。同时因其自身独有的静音设计,给用户提供了一个无比安逸的网络环境。
【产品特点】
·支持Internet宽带接入,主要支持中小企业网用户的千兆接入,支持VOD等多媒体服务,支持VoIP等时延敏感的语音业务。提供支持组播的音频和视频的服务功能
·支持基于端口的二三层优先级自动映射,支持基于端口的镜像,支持重定向,支持端口隔离,支持访问控制列表,支持端口限速,支持IPv6
·具备设备级和链路级的多重可靠性保护。硬件支持过流保护、过压保护和过热保护技术;支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速
·采用最新节能芯片以及创新的架构设计方案,实现千兆交换机的最低功耗,给用户带来绿色、环保、节能的全新网络接入产品,降低用户维护成本。
·实现大功率POE供电并无噪音的效果。
