发布时间 : 星期二 文章智慧校园网络建设方案更新完毕开始阅读6470a29a58fafab068dc0267
3.1.2. 接入层无线设备设计
根据云书包系统需求,在电教室内部署无线网络,以便云书包终端可以自由接入网络。普通的AP接入终端数量不可以超高10个,特别是高带宽的接入设备更不能超过这个数量。但是也不能在一个小空间内部署多个AP来弥补接入数量不足问题。因为AP之间也会出现频道干扰。则这些电教室内要部署大容量接入的工业AP。根据云书包的特点。本方案选择华为大容量接入设备AP3010DN-AGN作为电教室无线AP。其能够实现接入终端的相互隔离,保证每个接入设备达到至少54M的上联带宽。
AP3010DN-AGN支持整机最大用户数达到64个,16个SSID。一体化MIMO内置天线,实现全向无盲点覆盖。每射频速率高达300Mbps。高等级的网络安全性,支持多种认证和加密方式,以及非法AP检测,支持QOS。灵活的组网和环境适应能力,满足接入、桥接(WDS)等多种组网应用场景。简单的设备管理和维护,业务零配置,即插即用,自动上线,美观化设计,支持FIT-AP。
每个电教室部署1台高容量AP就可以满足云书包终端的接入。上联接入一台千兆电口的交换机即可满足高带宽的需要。
3.2. 核心层设计
3.2.1. 核心层网络设计
数据中心核心交换机需要资源池内部高速交换以及骨干互联工作,建议采用华为数据中心级核心交换机S7700,主要基于如下考虑:
? 高性能:核心汇聚层需要与其它外部网络互联,外连接口众多,并且这些外部网络所提供
的接入带宽和接入设备都是业界高端设备,所以为了使网络在核心交换区不存在性能瓶颈,采用具备高密万兆的核心交换设备.
? 整网可靠性:因为校园网数据中心网络业务系统具有高可靠性设计,业务层面最大限度的
13
天津移动
保障业务转发不中断、不丢包。因此建议在核心交换部分采用主控和交换网板分离的核心交换机,提高网络可靠性,使整网可靠性方面不存在短板。
? 绿色环保:为了降低机房空调能耗,要求核心交换机采用竖插槽,前下部进风、上后部抽
风、强迫风散热形式。要求通过RoHS、CE等国际环保认证。
在总校与分校之间部署100M MSTP链路,为分校区提供高速互联通道,当分校区电教室开通云书包系统时,可以通过这条100M链路登陆至总校的教育资源平台上,实现多个无线终端开展视频教学活动。
3.2.2. 核心层安全设计
为了应对云计算环境下的流量模型变化,安全防护体系的部署需要朝着高性能的方向调整。在本次项目的建设过程中,多条高速链路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要具备对高密度的GE甚至10G接口的处理能力;无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;同时,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性,真正实现大流量汇聚情况下的基础安全防护。
在核心交换机与出口之间部署防火墙,在核心交换机与教育资源平台之间部署防火墙。以保证内部局域网安全及教育资源的数据安全。
14
天津移动
如上图FW三层部署所示,防火墙可以与宿主交换机直接建立三层连接,也可以与上游或下游设备建立三层连接,不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通,也可以通过OSPF这样的路由协议提供动态的路由机制。如果防火墙部署在服务器区域,可以将防火墙设计为服务器网关设备,这样所有访问服务器的三层流量都将经过防火墙设备,这种部署方式可以提供区域内部服务器之间访问的安全性。
防火墙是网络系统的核心基础防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
安全控制策略:
防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;
建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP地址或者用户能够访问数据业务网中的指定的资源,严格限制网络用户对数据业务网服务器的资源,以避免网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播,保护数据业务网的核心数据信息资产;
15
天津移动
配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;
配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;
根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制,实现只有IP/MAC匹配的用户才能访问数据业务网中的服务器;
其他可选策略:
可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证,实现对用户身份认证后进行资源访问的授权,进行更细粒度的用户识别和控制;
根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效的避免网络带宽的浪费和滥用,保护关键服务器的网络带宽;
根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;
在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;
启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;
16
天津移动