北纬机电校园网网络体系结构解决方案

2004-10-26　发布方：北纬通信　网友评论 0 条　点击进入论坛

     网络系统的体系结构包括功能的分层及各层功能通信所遵守的协议。网络系统的体系结构也称为"层次与协议的集合"。网络系统设计的第一步就是选择网络体系结构，核心内容是决策应当采用的协议集合。

     选择目前应用范围最为广泛，并且是事实上的Internet/Intranet标准的通信协议族TCP/IP，作为架构整个网络体系结构的核心协议。为了支持远程访问功能，还使用了异步通信协议PPP。

     下图说明了我们所选定的整个网络体系结构：

校园网的网络总体结构如图所示：

     二、系统设计

     2．1 校园网特点
     网络系统分布在整个校园内，系统规模较大；
     采用综合布线系统作为网络的线路基础；
     应用以客户/服务器和浏览器/Web服务器为主要模式；
     信息流动以内部为主，对网络吞吐能力要求较高；
     应用系统采用集中配置、集中管理的模式；
     流量具有中心汇集的特点；
     适应校校通的需求，未来将与其它网络互连；
     支持远程访问；
     可管理性要求较高；
     提供安全控制措施。

     2．2 系统设计分析
     校园网已超出了传统局域网能覆盖的范围，涉及到局域网互连技术，网络层次较多。
     职能不同的部门分布在不同的地理位置上，需要进行子网划分，以便于管理。
     校园网采用星型拓扑结构。核心是主干网，周围是各个子网，子网向下连接工作组网，工作组网向下再连接基层网段。
     计算机根据功能和配置的情况，可以连接到不同的网络层次。
     主干网必需有大的带宽和很强的中心交换处理能力。
     子网相对独立，在主干汇接处形成子网边界。
     支持远程访问。

    2．3 系统设计

    从上面看出，校园网事实上为园区级网络，拓扑结构为分层的集中式结构或称星型分级拓扑。
    针对这种结构，做出如下设计：
    主干网汇接各子网，形成中心交换；
    子网通过路由器连接到主干网；
    主干网上不直接接入用户网络；
    网络中心的网络构成一个单独的子网，汇接到主干网；
    在网络中心进行集中控制和管理；
    每个子网按部门划分成多个工作组网；
    每个工作组网划分成多个基层网段；
    桌面机连接到基层网段上，服务器、工作站连接到高层网络；
    流量划分层次，跨越基层网段的流量汇接到工作组网，跨越工作组网的流量汇接到子网，跨越子网的流量汇接到主干；
    水平结构对称，子网、工作组网、基层网段具有一致的流量水准；
    拨号访问形成独立子网，通过路由器接入主干；
    设立非军事区，隔离内外部网络，实现INTERNET互联；
    在关键子网设立防火墙，防止来自内部或外部的恶意攻击；
    在完善的网络基础之上，提供基本的INTERNET服务。

    2．4网络技术设计

    2.4.1 网络总体结构
    从上图可以看出，校园网网络系统的总体结构包括如下的部分：

    2.4.2 主干网

    校园网主干网是数据信息流动的动脉，同时担负着信息流动的总调度任务。主干网从功能上来看包括几个方面：
    为子网间互联提供高速路由，实现核心高速交换；
    连接校园网共享的高性能服务器；
    实现全网的系统管理和安全管理；
    实现国际互联网络的连接
    实现拨号接入。
    主干网采用核心交换、划分虚网的设计方案。交换核心使用一台高性能、高可靠性的交换机，实现冗余备份和负载平衡。这种方案最大的特点是可管理性好、可维护性好。

    这种方案通常在广域网中采用。由于路由器的包转发速率已达到线速，并且价格大幅度下降，因而在保证性能的前提下，使用路由器作为局域网的互联方案是合理和可行的。采用路由器组网使网络的可管理性、可维护性大幅度提高。路由器互联的网络系统，有三个网络层次，因而非常便于管理，这对于大型网络，特别是需要进行集中控制和维护的网络来说，尤其重要。

    VLAN作为局域网的解决方案，如在桌面的移动管理方面具有一定优势，但作为大型网络的整体解决方案，还需要与路由技术配合，所以需要支持虚拟网路由的产品，即具有第三层交换于一体的高性能交换机。

    2.4.3 远程访问

    远程访问提供电话拨号访问功能，使用户在家中、在外地都可以访问校园网。远程工作站通过拨号接入校园网，采用点对点的协议为PPP。远程访问服务器RAS与调制解调器Modem组合实现远程访问功能。在访问服务器的远程访问端口提供访问控制(Access List)。通过与拨号安全服务器配合，还能实现进一步的用户认证和授权控制。远程访问解决了远程工作站通过拨号线路对网络资源的访问。由于拨号网络是攻击网络的可能的主要入口，因而必须在技术和管理两个方面加强管理。远程访问服务应提供以下功能：
    拨号访问（Telnet/Rlogin/PPP）支持；
    静态/动态地址分配；
    多协议（IP和IPX）透明访问支持；
    用户访问和安全控制；

    拨出（Dial-on-Demand, Dial-Out）功能；
    自动协议检测和转换；
    远程控制和维护；
    网管支持。
    拨号网络是可能的主要攻击入口，并且采用动态IP分配策略，所以必须与其它网段隔离，直接连到网络中心路由器上，占用一个独立的网段，这样也有利于计费管理。访问服务器通过路由器与MODEM池接入拨号线。访问服务器与拨号安全服务器配合，根据身份认证协议（TACACS/RADIUS/KEBEROS）实现拨号用户的认证和授权。

    2.4.4 网间互联

    根据校校通的精神，校园网需要与其它网络互联，使信息交换的范围扩展到整个INTERNET上。目前Internet/Intranet事实上的网间互联标准是TCP/IP协议。校园网既可以通过边界路由器和DDN线路，连接到Internet,也可以通过城域网联到Internet。

    如果学校要对外发布信息，应增加对外的信息服务器。对外的Internet服务器由于完成多种服务，所以不但速度要快，I/O能力也必须很强，选择1台或多台高性能服务器作为外部Internet服务器。

    外部网段服务器中的配置信息和数据在内部网段做备份，万一这些服务器受到攻击或故障，系统和数据能够快速恢复，不影响对外宣传。

    2.4.5 子网

    子网按照学校的地理分布和应用的数据流量进行划分。每个子网覆盖一幢楼或楼的某些层。子网通过楼间的户外光缆与网络中心相连。子网是一个相对独立的局域网，内部采用交换技术作为主要连接手段，通过VLAN形成边界，并与主干网汇接。具体技术方案要点如下：
    各子网通过接入交换机接入主干网；
    各子网采用与主干网一致的通信协议；
    各子网通过网络中心实行统一集中的管理；
    子网内的各工作组网的交换机接入子网交换机；
    子网内部采用交换技术组网。

    2.4.6 工作组网

    工作组网可以是一个教学组，也可以是一间办公室，还可以是其它划分。工作组网的连接设备是低端交换机，各桌面计算机连接到工作组网的交换机上,工作组网实现100M到桌面。具体的技术方案要点如下：
    各工作组网接入子网交换机。
    各工作组网采用与主干网一致的通信协议。
    各工作组网通过网络中心实行统一集中的管理。
    工作组网上可设置工作组内共享的服务器。
    工作组网内部采用共享或独占10M端口的方式组网。
三、校园网网络拓扑

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表