麻烦大家帮我看看我的校园网设计方案设计的有没有什么漏洞^

转载 2011年08月23日 13:29:53
 

麻烦大家帮我看看我的校园网设计方案设计的有没有什么漏洞^

麻烦大家帮我看看我的校园网设计方案设计的有没有什么漏洞,或是好的改进,大家一起交流~
学校有2个公网C类地址,一共600左右主机。考虑到以后扩展,8个vlan这样设计:办公室200节点、教室150节点、电子阅览室100节点、专业部50节点、机房1,机房2,机房3,机房4,各80个节点。
以下是我设计的两个方案,核心交换机用什么向大家请教
设备描述:学校准备买20个3560交换机做接入,一个核心层交换机,一个路由器,一个硬件防火墙。不过我觉得这样太浪费钱,好刀应该用在刀刃上,于是有了方案2.核心交换机类型,上外网使用nat还是代理服务器还都在讨论中,希望大家给点意见。感激不尽!!




方案二中2个核心交换机,8个3560交换机,其它交换机均为分线用傻瓜交换机,在这里用cisco2层交换机图标代替了


可以实现的功能都是一下几个:
1.快速交换,基于CEF的硬件交换
2.划分vlan vlan间使用三层交换通信。
3.ip源防护,snooping,防止每个三层接口的欺骗攻击,ip地址非授权更改,ARP病毒,泛洪攻击。(设备CPU消耗高)
4.QOS服务质量,定制优先级队列,定制http流量最优,ftp流量最差。
5.交换机间连接使用channel捆绑增加交换带宽。
6.vlan间路由启用EIGRP路由协议
7.由互联网控制网关提供严格的上网行为控制
8.核心交换机上启用DHCP功能自动分配IP
9.AAA授权,审计,认证
10.HSRP热冗余备份
11.PVSTvlan间负载均衡
方案二比方案一节省12个3560接入层交换机。




解答方案:



拓扑结构没有问题,我没仔细看你那段对话,假使你是1000个客户端的话,核心不能用3560,要是选思科的话建议用4500系列。接入层交换机如果ACL以及其他业务跑的不多的话,没有必要把需求建在接入层上,管理麻烦,思路也不清晰。上几个二层交换机足够了,比如2960。当然你学校要是就这么多设备话,拓扑结构没有问题。但还是建议把需求坐在核心上,你要是上45的话,1000个点性能绰绰有余。

线路备份问题,教育网速度太慢,如果对网络稳定有需求的话,建议拉一条电信或者联通的光纤。通过策略路由控制流量方向。

另外建议核心需要两个设备,随便跑ospf还是静态还是HSRP都无所谓,起到备份作用就行,实在不行拿个35做冷备,临时顶一下。设备出故障的可能性不大。

我的建议就是核心下直接连2960之类,完全能满足你的需求。你的那些需求可以直接做在核心上,不需要在接入层做。核心用45性能足够。

外网连ASA吧,PIX毕竟是老产品,下面随便连个3XXX的路由都没问题。

你的问题:

1.快速交换,基于CEF的硬件交换
(这个主要看设备是否支持,3560支持,但是用在你这个核心上怕1000个点以后也不好扩展,性能限制)
2.划分vlan ,vlan间使用三层交换通信。
(为了管理方便的话,trunk足矣,当然路由也可以就是你管理起来麻烦些)
3.ip源防护,snooping,防止每个三层接口的欺骗攻击,ip地址非授权更改,ARP病毒,泛洪攻击。(设备CPU消耗高)(这个东西很多事做在计算机系统本身,网络设备只能起到一部分作用)
4.QOS服务质量,定制优先级队列,定制http流量最优,ftp流量最差。
(也可以不做,毕竟QOS对性能要求不低,建议只需要用ACL把不必要的IP和端口封掉,就可以解决BT,在线视频等耗费网络流量的问题)
5.交换机间连接使用channel捆绑增加交换带宽。
(现在网络一般都是星形结构,不存在这个问题,一个接入上面都有几个千兆的上连口足够用)
6.vlan间路由启用EIGRP路由协议
(你的网络不大,最好不用这个协议还是思科独有的,用trunk,在核心启用静态路由连外网最方便。用的话也是单区域OSPF,以后你网络扩展也方便,复杂的协议不都是适用于所有网络,排错起来你会很痛苦)
7.由互联网控制网关提供严格的上网行为控制
(ACL可以实现,这个需要做在核心而不是路由或者防火墙,后两者起到的作用是倾向于外部接入而不是内部)
8.核心交换机上启用DHCP功能自动分配IP
(可以实现,不过说实话静态IP的故障率更低一些)
9.AAA授权,审计,认证
(可以,但是实际来说说实话要是网管不多,或者离职率不高的话这个东西用途不是很大)
10.HSRP热冗余备份
核心有两台以上的话可以做)
11.PVST,vlan间负载均衡
(生成树之类的默认就有)

快下班了先写这些吧,有什么问题再讨论
可能有些东西把你的东西变简单了,但这是我站在企业应用的角度考虑的,不求技术用的最多,但求最实用





解决方案二


一高中用3560做接入还真是有钱哦。估计是被代理商忽悠了吧 虽然来晚了当我也给点意见吧:
1、从网络的安全、可靠、可管理、可扩展性来讲方案二优于方案一
2、设备选型方面的话,3560已经买了也不好怎么说。但是核心是肯定不能用3560的,强烈建议用思科45系列的做核心,然后核心直接连接3560做接入。至于外网接入的话如果那个路由器还没买的话建议将买路由器的钱花在买个上网行为管理设备(如深信服的ac5400或是飞鱼星的设备等)。直接用防火墙做外网接入已经足够了。使用了上网行为管理设备你完全可以将QOS的策略做在上网行为管理设备上面而且延迟小管理方面。
3、如果要做dhcp、aaa认证的话最好用一台专门的pc做服务器。核心45只是用了快速转发数据尽量不要在上面配置任何策略。
4、路由协议的话就你现在了网络规模来看最好是用静态,因为你现在网络规模不算太大手动写的路由条目也不会太多,而且静态不管怎么说还是比动态要稳定不容易出错。如果你硬要使用动态路由的话我建议你用ospf,因为eigrp是思科私有协议如果学校以后在网络扩展的时候使用非思科的设备的话会很麻烦的。
5、从安全、转发性能上说外网方式使用NAT要优与使用代理服务器,而且使用代理服务器话万一服务器pc中病毒就麻烦了。
楼主问题修改补充:
经过汇总大家的意见我如果把拓扑设计成这个样子大家看可以么?其它需求不变,依然是8个汇聚交换机,每个汇聚交换机为一个vlan。现在这样无论哪一个单点故障都不会使网络中断。不过我总是拿捏不好汇聚层交换机要几个比较合适,我本来想让8个vlan一人一个汇聚层交换机,可是这样是不是太浪费了,请高手指教。且在细节配置上面希望大家能够指点应该做什么配置可以忽略掉什么配置,不用写出具体命令。比如是否有必要做QOS,ip源防护,汇聚层做哪些策略等等。。







高校校园网建设方案

xxx大学xxx校区网络整体规划设计方案   完成日期:  2017年  1  月  4  日 目 录 一、项目综述... 1 1.1学校概况... 1 1.1.1. 1 1....
  • mico_cmm
  • mico_cmm
  • 2017年01月07日 17:19
  • 5228

架构和设计有什么区别?

架构是事物结构的一个规划。设计是事物创建的一个规划。弄明白架构和设计之间有什么区别的一个简单办法是去将一个办公大楼的架构与其内部设计进行对比。架构提供的是一系列的结构,比如房间、楼梯的样例,诸如水、暖...
  • defonds
  • defonds
  • 2017年06月30日 09:59
  • 6093

[2016.9.27]neu校园网漏洞

第一次使用java进行网络编程,之前已经发现neu的校园网只要输入账号就可以随意断开网络. neu的校园网账号是形式比较规整,按照学号排列的,只要输入学号,之后密码随便填写,按照network中po...
  • u014451076
  • u014451076
  • 2016年09月27日 17:26
  • 8030

改来改去头都大了,麻烦帮我看看

////////////////////////////////////////////// ////////////////////////////////////////////// ////...
  • lingtuobei2049
  • lingtuobei2049
  • 2017年01月03日 01:54
  • 89

Python搜索引擎实现原理和方法

这篇文章主要介绍了Python搜索引擎实现原理和方法,并对大数据分析做了详细解释,喜欢的朋友参考一下。 如何在庞大的数据中高效的检索自己需要的东西...
  • Yr990412
  • Yr990412
  • 2017年11月28日 09:43
  • 136

【技术分享】自动绑定漏洞和Spring MVC

作者:testvul_001 预估稿费:200RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 前言 今天介绍一个不是很出名的漏洞—自动...
  • qq_27446553
  • qq_27446553
  • 2017年06月20日 10:11
  • 1059

非官方浙江大学校园网认证客户端开发笔记(一)

为什么会有这个项目在浙大是通过VPN认证上网的,在windows下官方的校园网客户端表现非常好,可以自动解决部分问题,而且不需要什么配置,输入 用户名和密码即可实现一键上网。但是很多同学使用Linu...
  • InsZVA
  • InsZVA
  • 2016年12月14日 16:26
  • 2040

校园网可以登录部分google网站(更新)

说一下 林兄 百度到的原因:google使用的ipv6,而校园网支持ipv6,国家没有对ipv6进行干扰。 google搜索跟gmail是稳定的,play还可以。有时甚至登上了adroid sou...
  • scylhy
  • scylhy
  • 2015年11月18日 13:50
  • 2653

如何打破校园网垄断现象?

在中国的绝大多数公共场所,不要说免费WiFi,有线宽带的速率也离“宽带”甚远。   对此,多位业内人士在接受记者采访时表示,在尚未形成可持续商业模式的前提下,仅靠运营商出钱出力来构建良性的W...
  • u014495801
  • u014495801
  • 2014年06月12日 15:26
  • 1853

机器视觉系统设计

从功能上来看,典型的机器视觉系统可以分为:图像采集部分、图像处理部分和运动控制部分。    一个完整的机器视觉系统的主要工作过程如下:    1、工件定位检测器探测到物体已经运动至接近摄像...
  • felix86
  • felix86
  • 2014年10月14日 15:37
  • 1170
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:麻烦大家帮我看看我的校园网设计方案设计的有没有什么漏洞^
举报原因:
原因补充:

(最多只允许输入30个字)