在核心层,我们配置两台高性能的交换机作为整图书馆网络的核心交换平台,并且这两台交换机采用VRRP(热备份路由协议)互为冗余备份,保证核心交换平台的稳定性和可靠性。并且为该交换机上配置冗余的交换引擎和冗余电源,保证了图书馆网络内最快的包转发速率和高可用性。2台核心层交换机通过千兆光纤分别与汇聚层交换机联接,并且在核心层交换机上通过GBIC端口和千兆以太网端口接入绝大部份的服务器,为了确保网络结构层次的清晰化,我们建议在核心层交换机不直接接入各楼层的信息点。
为了安全及有效管理,建议把公共、阅读区的信息点与办公区的信息点分别接到不同的接入层交换机和汇聚层交换机上。共配置3台汇聚层交换机,分别为地层、首层读者区信息点提供汇聚,以及为二层办公区信息点提供汇聚功能。每台汇聚层通过2条千兆光纤链路分别与两台核心交换机连接,同时读者区2台汇聚层交换机分别以两条光纤线路与两台千兆防火墙连接,在信息点比较多的楼层,我们设计采用交换机堆叠技术实现用户的接入,并且堆叠的交换机组采用2条光纤线路以Trunk方式接入到汇聚层交换机,以保证接入层交换机的上行带宽以及稳定性和可靠性。
在接入层,我们建议采用同一品牌的22台接入交换机完成各楼层读者区信息点和公区信息点的接入,各楼层信息点通过百兆铜缆连接到本楼层的接入交换机上,接入交换机再通过千兆光纤线路上联到不同的汇聚层交换机。
图书馆需要在开放式环境中提供多用户的无线接入,为此我们设计采用无线网络技术搭建无线局域网平台。该平台可以根据需要,采用不同的工作模式,通过多个接入点分别与有线网络联接,形成以有线网络为主干的多接入点的无线网络,所有的无线终端都可以通过就近的无线接入点接入网络并访问网络资源。根据项目的具体要求,可以采用多AP的方式满足42个无线用户的接入数量要求,并且AP上可以设置为传输模式。
为了保证图书馆网络的安全性,不可能让所有的用户都可以不受限制的进行无线接入,为此我们还需要对有无线接入需求的用户进行身份认证,只有通过了认证的用户才可以通过无线网络接入到图书馆网络。在认证方式上我们采用802.1x协议,并配备一台Radius认证服务器,所有的用户在接入无线网络时都需要经过认证才能访问网络资源。
馆内工作人员及读者需要能够访问Internet上的资源,同时需要对外提供相应的服务,包括邮件、门户网站等,这就需要在图书馆提供足够的出口带宽,并且要求接入Internet的设备具有快速的包转发功能。 在接入方式上,我们建议初期采用城域网以太网接入方式,并且初期的应用规模不会很大,接入带宽可以考虑先用100M,今后随着应用的大规模发展,接入带宽可以随时由用户根据实际需要进行调整。 在接入设备上,我们设计选择高性能的路由器,配置以太网模块实现与城域网的联接,并且通过该路由器提供的2个千兆端口下联两台千兆防火墙。路由器通过2条光纤与防火墙联接,而2台防火墙通过心跳模块实现双机热备,2台防火墙各以2条1000光纤与核心交换机交叉联接,保证图书馆对于Internet访问以及外部用户通过internet访问馆内资源的高可靠性。同时,在路由器的设备选型上,我们建议采用扩展性高的设备,包括光纤端口和以太网端口以及模块化插槽,以便于今后与其他ISP的网络(如中国网通、中国联通、中国教育城域网等)进行联接。
图书馆,有很多需要对外提供公共服务的服务器,如门户服务器、DNS服务器、邮件服务器等,如果将这些服务器直接放置在Internet上,则很容易受到攻击。为此我们将这些提供公共服务的服务器全部放置在防火墙的DMZ区域。在防火墙上设置一个DMZ端口,在DMZ区域放置一台交换机,该交换机通过2条千兆光纤与2台防火墙的DMZ端口联接,而所有的公共服务器则全部接入到该交换机上。
