江宁中专基础设施建设方案V1.0

南京江宁中等专业学校数字化校园

基础设施建设方案

南京慧立信息系统有限公司

2014年1月16日

1.方案概述

本次江宁职教中心数据网改造整体方案拓扑如下：

因整体网络信息点较多、多个楼栋，整体网络采用了核心-汇聚-接入层次化架构方式组网。

核心交换机采用2台S10508V万兆核心交换机，2台S10508V交换机通过IRF2虚拟化技术使2台设备虚拟化为1台逻辑设备，使得核心设备性能翻翻，同时提供网络可靠性、安全性；核心交换机通过千兆光口捆绑连接各楼栋汇聚交换机；核心交换机与服务器接入交换机采用千兆光口捆绑互连，提高服务器的数据处理能力。

核心部署上网行为管理插卡实现网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽。

汇聚交换机采用S5800-32F万兆交换机。S5800-32F通过自带的千兆接口捆绑上联核心交换机S10508V，通过千兆光纤下联连接各楼层原有接入交换机。

在网络管理方面，部署一套IMC 智能网管中心，实现对有线网络、无线网络的设备、业务、用户一体化的网管。在数据中心部署一套UIS（统一基础架构系统），该系统中集成了计算节点、网络节点、存储节点以及服务器虚拟化系统，可以为数字化校园的业务系统和管理系统提供良好的支撑。

2.网络方案详细设计 2.1出口防火墙设计

出口防火墙采用H3C SecPath F1000-S-AI实现高性能NAT转换功能，同时支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全。SecPath F1000-S-AI在实现高性能NAT的同时，可以通过标准的SYSLOG格式将NAT日志输出给日志服务器，供管理员审计使用。

H3C SecPath F1000-S-AI防火墙可以提供丰富的接口，设备固化12个千兆光电复用接口，可以实现多个安全域灵活链接部署的需求。

2.2上网行为管理设计

上网行为管理采用H3C SecPath ACG是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，进而帮助用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

2.3核心层设计

核心层的功能主要是实现骨干网络之间的优化传输，核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能、网络的各种应用应尽量少在核心层上实施。核心层一直被认为是真个网络的核心，因此对核心层的设计以及网络设备的要求十分严格。

为保证网络的高可靠性、高性能、高安全，配臵2台核心交换机H3C S10508V并实现双机虚拟化部署。H3C公司的S10508V交换机为采用交换网板与路由交换引擎相分离的设计架构（CLOS多级交换架构，可以提供持续的带宽升级能力），本次满配臵交换网板，配臵增强型路由交换引擎，整机提供17.92Tbps交换容量及5760Mpps包转发能力。整机采用竖插槽架构，提高散热性能保障数据可靠传输，总插槽数14个，其中后背板4个用于插交换网板，前面2个槽位用于插主控引擎，其余8个竖槽位可以用于插业务板卡,本次配臵相应万兆接口板连接汇聚交换机、服务器接入交换机，并部署一块无线控制器插卡。剩余业务板插槽可满足后续网络升级需要。为了保障设备的高可靠性，每台核心设备配臵双冗余电源。

S10508V系列交换机采用先进的CLOS全分布式体系结构设计，通过交换网版和分布式高速业务接口板上内臵的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内臵的高性能CPU与位于主控引擎上的CPU协同工作，实现ACL、流分类、QOS、组播等业务的全分布式处理。

本次配臵的核心交换机S10508-V具备丰富的业务扩展能力，除了作为有线和无线数据的核心转发平台外，本方案中在核心交换机上部署了防火墙插卡、应用控制插卡和服务器负载均衡插卡，以实现对数字化校园基础网络的安全防护和应用系统的使用优化。

2.4汇聚层和接入层设计

本次网络建设涵盖8栋楼宇，考虑到各楼宇网络的综合布线及流量管理问题，建议在每栋楼宇各部署一台汇聚层交换机，用来汇聚单个大楼的网络流量。

汇聚层设备选用H3C公司的S5800-32F汇聚交换机，S5800-32F整机提供24个千兆光端口以及4个千兆/万兆自适应端口。本次方案中S5800-32F汇聚交换机通过千兆端口上联核心交换机S10508V，通过千兆光端口下联接入交换机。

使用江宁职教中心原有的交换机，建议接入交换机上行光模块采用H3C原厂模块与汇聚交换机对接。如果光模块与其它厂家混合使用可能会出现接入交换机上行端口不稳定情况。

2.5网络安全设计

任何一个园区网的安全威胁都可以划分为两个方面，一方面来自于Internet网络，一方面来自于园区网内网。本方案针对两类安全威胁部署了不同的防范措施。

对于来自于Internet的网络威胁最常用的安全措施是在园区网出口部署NAT设备，通过内网地址转换的方式使公网用户无法向内网主动发起访问，从而保证内网用户和设备的安全。另一方面，在出口部署防火墙设备，通过2-7层的安全策略来防止外网用户对网络出口进行拒绝服务类攻击，以及对DMZ区的服务器进行攻击。本方案在出口部署了H3C SecPath F1000-S-AI防火墙，支持高性能NAT和2-4层的网络安全防护，可以在园区网出口处有效保障内网安全。

对于来自于内网的网络威胁，一般可以分为对内网用户的攻击和对内网服务器的攻击。对内网用户的攻击的常见手段包括ARP攻击、仿冒DHCP服务器攻击等。由于此类攻击一般泛滥于网络的接入层，攻击者和被攻击者多是在一个二层网络内、甚至是直连在同一台接入层交换机下，因此针对此类攻击的有效防御手段是在接入交换机上部署安全措施来保障接入层安全。由于本次改造不涉及接入层交换机，建议在现有的接入交换机上开启防ARP攻击和DHCP SNOOPING等安全功能，如当前设备不支持，建议在后期改造中对设备进行更换。另一类攻击是内网用户对内网服务器发起的攻击，此类攻击数据流全部需要经过核心交换机，因此通过在核心交换机上部署安全设备插卡可以对此类攻击进行有效防护。本方案中在核心交换机上部署了防火墙插卡和IPS插卡，部署后可以使交换机上

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库江宁中专基础设施建设方案V1.0在线全文阅读。