GSN全局安全网络解决方案技术交流

©2007RuiJieNetworks,Ltd.Allrightsreserved.RuiJieConfidentialPresentation_ID1《网络综合实课程》中级张国清辽宁省交通高等专科学校信息工程系2内容提要本书是示范校建设三年综合实训项目第二册《网络综合实训》课程。全书通过辽宁城市职业学院校园网建设项目设计、规划和实施过程，按照企业的项目实施的工作流程开展课程实施过程。通过课程中安排辽宁城市职业学院校园网建设项目的实施，一方面学习了解的企业工作流程，另一方面学习了解相应的工程技术。本课程涉及内容有：校园网络规划、网络拓扑规划、校园网设备的选型，交换机设备的配置、路由器设备配置、网络安全设备配置等技术学习内容。3课程思想本课程为工程实训课程，以学生在实训环境中解决项目为主，辅以必要理论。课程通过改编来自企业项目案例，把企业项目引入课堂中，让学生在学校熟悉企业项目实施过程，缩短学生未来在企业工作中适应时间。课程在组织实施过程中，按项目、分小组、以团队组织实施。倡导团队间交流和沟通，共同完成工程方案，查询技术资料、撰写项目方案，共同完成方案测试、报告、总结工作。教师负责项目技术咨询和指导工作，控制课程组织和开展，以及项目总体发展方向把握。4第一章系统设计概述51.1前言随着国家对教育不断投入，校园数字化建设成为现今每个学校校园网建设重点，而数字化就意味着自动化、高效、快速、便捷、理性，这是学校工使管理进入一个新的层次，提高教育质量目标。校园数字化将使学校的管理进入全新阶段，能提高校长、教务人员、教师与学生工作、学习与交流，改善各层面信息传递，使校园与社会、校园与家庭更紧密地联结成一个综合的教育环境，更好地提高综合教育质量。提供学校与家长更直接沟通，对学生的教育真正做到校园、家庭与社会全方位的最佳配合。61.2数字化校园网的建设需求高性能需求关键业务服务质量保证需求网络安全需求先进性需求可靠稳定性需求开放性的需求网络系统的扩展性需求71.3数字化校园网建设原则1.3.1实用性和经济性1.3.2先进性和成熟性1.3.3可靠性和稳定性1.3.4安全性和保密性1.3.5可扩展性和可管理性8第二章校园网目前现状92.1方案背景辽宁城市职业学院目前机构有办公室，教务处，学生处，人事处，财务处，招生就业办，国际交流处，继续教育处，图书馆，教育信息化部，传媒中心，大学生创业园，还设有经济技术系、人文科学系、外语系、机电工程系、城市美化系五个系，22个专业，涉及经济、文学、理学、管理四大学科。为加强信息化建设，学院申请专项建设资金，建设学院各部门互相连通校园网。学院网络在本次建设中，采用两层网络结构，即核心设备三层核心路由交换机，接入层采用二层汇聚交换机，目前学院出口通过华为AR-28-31路由器接入internet。102.2现有网络结构如图所示拓扑是辽宁城市职业学院，前期已建设完成校园网拓扑，校园网建设中出口设备使用华为AR-28-31路由器WAN口接入电讯网，连入internet网络。AR-28-31路由器内部LAN口和学院网络中心三层交换机相连，核心设备采购华为S3928F-EI核心路由交换机。学院各部门计算机，通过二层交换机接入，接入设备使用华为S2126交换机，构建一个资源共享校园网环境。112.2现有网络结构122.3现有网络改造要求2.3.1对高速安全校园网基础平台需求2.3.2对校园网络统一应用系统的需求2.3.3对校园网络安全管理系统的需求2.3.4与客户沟通后实施要求及达到目标13第三章校园网网络规划方案14校园网规划辽宁城市职业学院校园网改造，总体以高性能、高可靠性、高安全性、扩展性、可管理性和统一网管及可运营为原则，考虑技术先进性、成熟性，并采用模块化设计方法。对校园网络性能、带宽、主要业务进行全面改造和建设。新规划校园网改造项目，通过全网三个层次接入、汇聚、核心模式改造，清晰结构，简化校园网信息化使用便利性。15网络拓扑图16拓扑说明网络结构采用三层结构，增加一条校园网出口，保证出口稳定。其中一个出口使用华为AR-28-31接教育网出口，新增锐捷RSR-04E接电信网出口，校园网核心新增2台RG-S6506，原有核心放置到汇聚层。汇聚层，接入层分别增加4台RG-S3760交换机和30台S1926G+交换机。网络出口将教育网和公网分口，AR-28-31负责教育网访问，RSR-04E负责公网访问，在2台RG-S6506上根据IP地址做策略路由，实现访问教育网资源的通过AR-28-31访问，访问公网资源的通过RSR-04E访问。在RG-IPS100上做安全策略，封掉一些蠕虫病毒常用端口，保证内部网络的安全。学校的WEB服务器从原来的S3928交换机上移到新核心交换机RG-S6506上。新建设网络采用双核心三层结构，以保证核心设备冗余、链路冗余备份实现，实现校园网络稳定性。173.2方案介绍1、核心层网络设计根据辽宁城市职业学院信息点的分布及数量情况，考虑到核心交换机需要为内网的各项信息化应用提供一个高速、优质的数据通信和图像传输平台，满足数据和视频传输需要。考虑到将来网络扩展需要，辽宁城市职业学院校园网在规划设计过程中，特别选用2台技术先进、高性能、锐捷网络万兆RG-S6506核心路由交换机，构造校园内部网络的中心节点，实现校园网络的链路冗余备份，保证校园网络稳定性。183.2方案介绍2、汇聚层网络设计汇聚层主要用于汇聚接入层的网络流量，并提供各种服务和控制功能。汇聚层设备均位于各个汇聚区域的核心，在辽宁城市职业学院校园网络项目改造建设中，校园网规划中共设立了6个网络汇聚区域。根据汇聚区域的信息点数量，最终选用了4台锐捷RG-S3760三层以太网交换机，锐捷RG-S3760共配置4块多模光纤模块，通过多模光纤连接核心路由交换机锐捷RG-S6506上。193.2方案介绍3、接入层网络设计接入层交换机主要用于校园网内所有的信息点与用户终端的接入。根据辽宁城市职业学院接入层网络的实际应用与业务需求，从保护校方投资的角度考虑，在接入层我们提倡使用安全和智能化的2层线速交换机RG-S2126进行网络的接入，选择RG-S2126交换机的主要原因是，RG-S2126接入交换机具有支持网管性能，可以满足对整个网络统一管理的需求。校园网中新增加的RG-S2126模块化智能交换机，和校园网络中原有的交换机一起，承担宁城市职业学院全部网络设备的网络管理功能。203.3新增设备清单新规划的辽宁城市职业学院校园网，为满足更多区域网络的接入，在原有网络设备的基础上，校园网出口、核心层、汇聚层和接入层以及安全和无线接入，都增补了更多的网络设备，新增补的设备如表所示。213.4网络信息规划新规划的辽宁城市职业学院校园网，为满足更多区域网络的接入，在原有网络设备的基础上，校园网出口、核心层、汇聚层和接入层以及安全和无线接入，都增补了更多的网络设备。为有效管理这些接入的设备，方便施工和后期的校园网络维护需要，增加施工和维护的标准化，前期，在进行辽宁城市职业学院校园网规划设计时，针对校园网络中的新增补设备，重新进行了编号，以方便标示和使用。223.5校园网骨干设备解决方案关键部件的冗余设计高性能:SPOH设计技术可扩展性:交换机模块化的设计可扩展性:真正的十万兆以太网的架构可扩展性:NP+ASIC设计体系233.6网络安全解决方案3.6.1校园网安全面临形势CMIS、一卡通、网上巡考、网报志愿、安全监控等关键应用中断影响巨大CMIS、一卡通、网报志愿、公文流转等系统中关键信息泄露带来后果国家重大活动敏感时期网络非法言论造成负面影响在出现紧急事件时的应急响应难以得到网络保证恶意网络攻击难以及时定位解决243.6网络安全解决方案3.6.2全局安全网络解决方案1、安装网络防火墙，抵挡来自外网的攻击253.6网络安全解决方案3.6.2全局安全网络解决方案2、布置入侵检测系统，保障内网安全3、实施GSN全局安全解决档案，维护整网安全保障263.7校园网资源中心解决方案资源中心概述资源中心现状资源中心解决方案273.8校园网出口选择3.8.1网络出口概述283.8校园网出口选择3.8.2高效的NAT转发3.8.3有效的网络应用管理3.8.4完美日志功能293.9校园网无线解决方案3.9.1校园网无线方案解决的问题3.9.2如何规划校园网无线方案3.9.3校园网无线方案设计原则3.9.4校园网无线规划拓扑3.9.5智能无线交换网络解决方案3.9.6无线网络灵活组网方式3.9.7无线网络全网高可靠性3.9.8无线网络优秀的扩展性3.9.9无线网络入侵检测30313.10网络综合布线解决方案3.10.1校园网综合布线策略3.10.2校园网综合布线方案选择3.10.3校园网综合布线设计内容3.10.4校园网综合布线标准与规范选择3.10.5校园网综合布线产品选型3.10.6校园网综合布线安装工艺要求323.11校园网存储设计方案3.11.1如何规划校园网存储系统3.11.2校园网存储系统设计原则3.11.3校园网存储系统方案设计3.11.4基于SAN的网络集中存储特色33343.12网络管理解决方案基础组件组件层组件层平台层平台层设备展示设备展示面板管理面板管理软件管理软件管理配置管理配置管理数据库数据库35便捷方便的图形化操作界面拓扑发现能力强大的配置管理功能智能化设备文件管理自动任务机制轻量简单的监视管理36第四章方案整体特点37方案整体特点在结构设计上，辽宁城市职业学院网络系统采用三层结构进行网络设计，把网络分成核心层、汇聚层和接入层。网络核心使用双核心，汇聚设备使用高速设备，提高了网络中数据的高速转发，实现了网络冗余管理功能。以校园网络的建设为核心与基础，加快教育现代化的进程，实现学院发展中的跳跃式发展关键性步骤。3839第五章设备选型说明405.1核心交换机选型产品概述产品特性产品技术参数415.2汇聚交换机选型辽宁城市职业学院校园网校园网汇聚层交换机产品，选择RG-S3760系列。RG-S3760系列是锐捷网络推出的业界第一款硬件全面支持IPv6的机架式多层交换机系列产品。该系列产品为IPv4网络的建设、IPv4向IPv6网络过渡、、以及IPv6网络的建设和通信提供了最直接和最方便灵活的技术实现和方案保障。425.3接入交换机选型RG-S2126S是一款全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，并可以实施灵活多样的ACL访问控制。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。S2126S以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。435.4出口路由器选型RSR-04E提供丰富的IP/MPLS特性及卓越的性能，是在中型POP点提供安全可靠的网络业务的理想产品，能够用作公司总部、企业骨干、高性能园区边界路由器。RSR-04E路由器拥有三个独特的硬件模块,专门用于控制层面、转发层面和业务层面。转发及服务层面包括可编程的ASIC，控制层面包括一个专用处理器,该处理器运行着模块化、安全、高可用的RGNOS系统。445.5防火墙设备选型RG-WALL160防火墙采用锐捷网络独创的分类算法（ClassificationAlgorithm）设计的新一代安全产品——第三类防火墙，支持扩展的状态检测（StatefulInspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP、H.323等)时，可提供强有力的安全信道。455.6智能无线局域网交换机选型MX（MobilityExchange™）系列无线局域网交换机产品是锐捷网络推出的智能无线交换网络解决方案家族的重要组成部分。该产品系列采用