XX校園網(wǎng)設(shè)計(jì)方案.doc

懷化學(xué)院校園網(wǎng)整體設(shè)計(jì)方案XX學(xué)院校園網(wǎng)整體設(shè)計(jì)方案20067XX院院辦網(wǎng)絡(luò)中心序因?yàn)楦咝Ｐ袠I(yè)的特殊性，導(dǎo)致建設(shè)校園網(wǎng)不能走社會(huì)上個(gè)人和團(tuán)體入網(wǎng)的網(wǎng)絡(luò)建設(shè)方案和運(yùn)營(yíng)模式的老路，我公司在做懷化學(xué)院校園網(wǎng)設(shè)計(jì)方案時(shí)，在省內(nèi)高校進(jìn)行了一些調(diào)查，因高校對(duì)網(wǎng)絡(luò)應(yīng)用和管理的特殊性，導(dǎo)致網(wǎng)絡(luò)建設(shè)的需求不同于電信運(yùn)營(yíng)商建設(shè)社會(huì)性網(wǎng)絡(luò)。所以我公司在做懷化學(xué)院校園網(wǎng)設(shè)計(jì)方案時(shí)，在省內(nèi)一些高校進(jìn)行了調(diào)查，調(diào)查中發(fā)現(xiàn)80%的學(xué)校在使用星網(wǎng)銳捷的網(wǎng)絡(luò)解決方案，我們?cè)诤腿A為的設(shè)備對(duì)比，銳捷的網(wǎng)絡(luò)產(chǎn)品在注重網(wǎng)絡(luò)鏈路層和網(wǎng)絡(luò)應(yīng)用的同時(shí)，更注重的是接入層的管理和整體的安全系統(tǒng)。在便于網(wǎng)絡(luò)管理、提高工作效率，有效控制攻擊和病毒對(duì)網(wǎng)絡(luò)的影響，降低維護(hù)成本，發(fā)揮管理員的主觀能動(dòng)性、控制用戶使用網(wǎng)絡(luò)記費(fèi)等方面做的很有特色，更能適應(yīng)學(xué)校網(wǎng)絡(luò)建設(shè)的需要。所以我公司根據(jù)學(xué)校實(shí)際情況，擬采用銳捷公司的網(wǎng)絡(luò)產(chǎn)品進(jìn)行懷化學(xué)院校園網(wǎng)建設(shè)。網(wǎng)絡(luò)建設(shè)原則與目標(biāo)11網(wǎng)絡(luò)建設(shè)原則1.1.1 安全性網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護(hù)技術(shù)，靈活方便的權(quán)限設(shè)定和控制機(jī)制，使系統(tǒng)具有多種有效手段，防范各種形式對(duì)網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，以保證網(wǎng)絡(luò)的實(shí)體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務(wù)活動(dòng)和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等，銳捷網(wǎng)絡(luò)充分考慮安全性，針對(duì)教育行業(yè)網(wǎng)絡(luò)的各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分VLAN、IP/MAC地址綁定、802.1x用戶訪問控制、802.1d、802.1w、802.1s冗余鏈路保護(hù)等，另外還具有良好的防病毒能力，提高整個(gè)網(wǎng)絡(luò)的安全性，保證內(nèi)外網(wǎng)安全。1.1.2 先進(jìn)性系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)先進(jìn)成熟，整個(gè)系統(tǒng)的生命周期應(yīng)有比較長(zhǎng)的時(shí)間，可以在信息技術(shù)不斷發(fā)展的今天，在系統(tǒng)建成以后比較長(zhǎng)的一段時(shí)間內(nèi)能滿足用戶需求增長(zhǎng)的需要；不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導(dǎo)地位，保證網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用千兆以太網(wǎng)技術(shù)構(gòu)建網(wǎng)絡(luò)主干、支干線路。 1.1.3擴(kuò)展性系統(tǒng)必須具有良好的可擴(kuò)充性，在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與技術(shù)方案等方面必須具有升級(jí)換代的可能，核心設(shè)備必須采用模塊化的結(jié)構(gòu)，跟蹤網(wǎng)絡(luò)發(fā)展的前沿方向，符合網(wǎng)絡(luò)的發(fā)展趨勢(shì)并具有充分的擴(kuò)展性。系統(tǒng)建設(shè)必須盡量保護(hù)現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計(jì)算機(jī)系統(tǒng)的使用，逐步過渡，有效保護(hù)用戶投資，最終形成一個(gè)統(tǒng)一的、一體化的綜合網(wǎng)絡(luò)系統(tǒng)。1.1.4 高性能網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。1.1.5可運(yùn)營(yíng)為了讓校園網(wǎng)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展，并收回網(wǎng)絡(luò)建設(shè)成本，學(xué)?；蜻\(yùn)營(yíng)商需要對(duì)校園網(wǎng)進(jìn)行運(yùn)營(yíng)，通過對(duì)上網(wǎng)的學(xué)生用戶收取一定的費(fèi)用來達(dá)到“以網(wǎng)養(yǎng)網(wǎng)”的目的，并要求運(yùn)營(yíng)系統(tǒng)能夠貼近校園用戶的應(yīng)用模式，方便維護(hù)和管理。1.1.6 規(guī)范化和標(biāo)準(zhǔn)化網(wǎng)絡(luò)體系結(jié)構(gòu)、通信協(xié)議及軟件的設(shè)計(jì)和開發(fā)必須按照國(guó)家或行業(yè)標(biāo)準(zhǔn)進(jìn)行，要模塊化、結(jié)構(gòu)化、數(shù)據(jù)要代碼化，以便于信息共享和交流及將來的維護(hù)。在系統(tǒng)設(shè)計(jì)和軟件開發(fā)時(shí)，應(yīng)用程序必須規(guī)范化、模塊化和可復(fù)用。2.2 網(wǎng)絡(luò)建設(shè)目標(biāo)通過以上的網(wǎng)絡(luò)建設(shè)原則，本次校園網(wǎng)建設(shè)要實(shí)現(xiàn)以下目標(biāo)：1) 東西校區(qū)各設(shè)一個(gè)千兆互聯(lián)網(wǎng)出口，解決出口瓶頸問題；2) 雙出口,雙核心,雙鏈路實(shí)現(xiàn)東西校區(qū)的穩(wěn)固互聯(lián)，確保鏈路的帶寬及穩(wěn)定性；3) 東西校區(qū)可以根據(jù)需求達(dá)到不同區(qū)域使用不同的出口訪問互聯(lián)網(wǎng)；4) 科學(xué)規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)，合理配備核心層和匯聚層網(wǎng)絡(luò)設(shè)備與端口，保證核心網(wǎng)絡(luò)設(shè)備和線路適當(dāng)冗余，優(yōu)化接入層網(wǎng)絡(luò)設(shè)備，建設(shè)千兆主干、百兆到桌面的高效校園網(wǎng)絡(luò)；5) 合理部署網(wǎng)絡(luò)安全措施，建立有效的網(wǎng)絡(luò)安全防范和響應(yīng)機(jī)制，為網(wǎng)絡(luò)安全管理提供在線監(jiān)控、事后可查的技術(shù)手段，防止私設(shè)代理和盜用IP地址現(xiàn)象，提高網(wǎng)絡(luò)安全性；6) 建立全網(wǎng)統(tǒng)一管理系統(tǒng)，包含對(duì)網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全的統(tǒng)一管理和配置；建立高效的網(wǎng)絡(luò)性能監(jiān)視與預(yù)警機(jī)制；同時(shí)建立配套的軟硬件平臺(tái)。7) 全面支持IPV6,可平滑過度到IPV6,保證設(shè)備的投資；8) 建立全局化、智能化的安全體系，從接入層的基于端口的安全策略，到匯聚再到核心，病毒及非法網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和預(yù)制策略，預(yù)警功能。9) 將學(xué)院的教工宿舍“金?；▓@”納入校園網(wǎng)內(nèi)，可以訪問圖書館資源和中國(guó)期刊網(wǎng)等眾多校內(nèi)學(xué)術(shù)資源。10) 學(xué)生宿舍聯(lián)網(wǎng)并接入校園網(wǎng)內(nèi)。s5750-24sfp/gk網(wǎng)絡(luò)設(shè)計(jì)3.1 東西校區(qū)互聯(lián)網(wǎng)出口設(shè)計(jì) 本次設(shè)計(jì)，東西校區(qū)各設(shè)一個(gè)1000M互聯(lián)網(wǎng)出口，我們電信網(wǎng)絡(luò)，在懷化市內(nèi)有自己的城域環(huán)網(wǎng)，保證這兩個(gè)1000M互聯(lián)網(wǎng)出口不是出自同一個(gè)模塊局，確保出口線路冗余。3.2東西校區(qū)互聯(lián)的設(shè)計(jì)由于目前學(xué)校東校區(qū)的網(wǎng)絡(luò)中心還未建成，暫時(shí)將東西兩個(gè)校園的核心設(shè)備放在西區(qū)的網(wǎng)絡(luò)中心，東區(qū)的匯聚設(shè)備都通過兩對(duì)光纖形成的雙鏈路與兩個(gè)核心互連。東區(qū)網(wǎng)絡(luò)中心造成后東區(qū)設(shè)備轉(zhuǎn)放東區(qū)網(wǎng)絡(luò)中心機(jī)房。3.3網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)目前網(wǎng)絡(luò)架構(gòu)有單核心單鏈路、雙核心雙鏈路、二層架構(gòu)、三層架構(gòu)、四層架構(gòu)等多種網(wǎng)絡(luò)架構(gòu)，結(jié)合學(xué)院的實(shí)際情況以及網(wǎng)絡(luò)技術(shù)的發(fā)展，我們選擇雙核心雙鏈路的架構(gòu)，這樣不僅在鏈路上確保網(wǎng)絡(luò)穩(wěn)定高效、在設(shè)備上也可實(shí)現(xiàn)穩(wěn)定與高效；同時(shí)選擇三層架構(gòu)：（1） 分流核心數(shù)據(jù)處理能力、降低核心路由交換壓力；（2） 更好抑制廣播風(fēng)暴、提升網(wǎng)絡(luò)性能；（3） 終結(jié)各VLAN信息、增強(qiáng)核心路由管理能力；（4） 網(wǎng)絡(luò)層次結(jié)構(gòu)更加完善、可匯總路由，降低核心路由表項(xiàng)；（5） 安全性更高，更強(qiáng)的預(yù)防和控制，對(duì)網(wǎng)絡(luò)攻擊、病毒和破壞盡量控制在邊緣完成；（6） 擴(kuò)展性更強(qiáng)、快速定位故障點(diǎn)、更易于管理；（7） 各接入層內(nèi)部通訊量大，無需通過核心處理時(shí)（內(nèi)部網(wǎng)絡(luò)游戲等），采用三層結(jié)構(gòu)更加合理；（8） 可靠性更強(qiáng)，可以通過匯聚層雙鏈路上聯(lián)雙核心構(gòu)成環(huán)狀結(jié)構(gòu)，全網(wǎng)架構(gòu)更加健壯，提升網(wǎng)絡(luò)高可用性。我們采用了接入堆疊小區(qū)域匯聚核心這種雙核心雙鏈路的三層結(jié)構(gòu)架構(gòu)：采用千兆可堆疊高性能網(wǎng)管交換機(jī)。交換機(jī)通過內(nèi)部堆疊后上聯(lián)片區(qū)匯聚節(jié)點(diǎn)。1、 節(jié)省投資成本2、 擴(kuò)展靈活，通過增加堆疊組內(nèi)交換機(jī)或增加堆疊組來擴(kuò)展接入信息點(diǎn)。3、 支持多種訪問控制功能和802.1x功能，可靈活方便的控制樓棟內(nèi)部之間的訪問限制。4、 減少網(wǎng)絡(luò)層次架構(gòu)，加速數(shù)據(jù)傳輸，提高網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)性能。5、 充分利用片區(qū)匯聚節(jié)點(diǎn)的高性能數(shù)據(jù)轉(zhuǎn)發(fā)，高穩(wěn)定可靠基礎(chǔ)，對(duì)每個(gè)樓棟之間的控制，可以在片區(qū)匯聚節(jié)點(diǎn)連接各樓棟的千兆接口上實(shí)現(xiàn)，如訪問控制，防DDoS攻擊，防惡意IP掃描等等，不影響數(shù)據(jù)轉(zhuǎn)發(fā)性能。6、 樓棟內(nèi)部各樓層之間的數(shù)據(jù)通過堆疊方式（千兆以上帶寬）相互訪問，加速內(nèi)部訪問和數(shù)據(jù)傳輸速度。7、 環(huán)型冗余方式堆疊，沒有單點(diǎn)故障和性能瓶頸。8、 堆疊后多臺(tái)設(shè)備會(huì)虛擬成一臺(tái)設(shè)備進(jìn)行管理，大大提高管理效率。9、 千兆堆疊可網(wǎng)管交換機(jī)是目前高校網(wǎng)絡(luò)建設(shè)主流使用的接入設(shè)備，因此在未來發(fā)展中設(shè)備延續(xù)使用性強(qiáng)。架構(gòu)缺點(diǎn)：堆疊臺(tái)數(shù)一般不超過6臺(tái)，需要超過6臺(tái)的地區(qū)增加新的堆疊組進(jìn)行信息點(diǎn)擴(kuò)展。雙核心雙鏈路的三層結(jié)構(gòu)，具體如下圖所示：3.3 網(wǎng)絡(luò)安全設(shè)計(jì)今天的網(wǎng)絡(luò)安全正遭受嚴(yán)峻挑戰(zhàn)。病毒、外部入侵（黑客）、拒絕服務(wù)攻擊、內(nèi)部的誤用和濫用，以及各種災(zāi)難事故的發(fā)生，時(shí)刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)轉(zhuǎn)和信息安全。但與此同時(shí)，大多數(shù)正在使用的網(wǎng)絡(luò)安全系統(tǒng)都缺乏真正的全局防護(hù)能力。當(dāng)網(wǎng)絡(luò)受到來自各方面的攻擊時(shí)，由防毒軟件和防火墻等獨(dú)立安全產(chǎn)品堆砌起來的措施不僅漏洞百出，還會(huì)處處被動(dòng)挨打。可以斷言：面對(duì)復(fù)雜的安全隱患，這種“各自為戰(zhàn)”的安全系統(tǒng)已徹底失去效力。今天，網(wǎng)絡(luò)安全技術(shù)與各種安全隱患之間進(jìn)行的是一場(chǎng)深入、多層次的戰(zhàn)爭(zhēng)。為了徹底扭轉(zhuǎn)“各自為戰(zhàn)”的被動(dòng)局面，唯有用全局化、智能化的安全體系代替陳舊的安防措施。我公司采用了2004年底，業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備及解決方案供應(yīng)商銳捷網(wǎng)絡(luò)率先發(fā)布了集自動(dòng)防御（自御）、自動(dòng)修復(fù)（自愈）與自動(dòng)學(xué)習(xí)（自育）等三大自“YU”功能于一體的GSN全局安全網(wǎng)絡(luò)解決方案。GSN強(qiáng)調(diào)“多兵種協(xié)同作戰(zhàn)”，將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務(wù)器等），成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。在此基礎(chǔ)上，GSN不僅能夠滿足現(xiàn)階段網(wǎng)絡(luò)安全環(huán)境的需求，同時(shí)也為今后可能發(fā)生的安全威脅做出了準(zhǔn)備?？傮w而言，GSN由銳捷安全交換機(jī)、安全客戶端、安全管理平臺(tái)、用戶認(rèn)證系統(tǒng)、安全修復(fù)系統(tǒng)、VPN客戶端、RG-IPS入侵檢測(cè)系統(tǒng)等多重網(wǎng)絡(luò)元素組成，實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng)，使網(wǎng)絡(luò)中的每個(gè)設(shè)備都在發(fā)揮著安全防護(hù)的作用，構(gòu)成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。GSN通過將用戶入網(wǎng)強(qiáng)制安全、統(tǒng)一安全策略管理、動(dòng)態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機(jī)制集成到一個(gè)網(wǎng)絡(luò)安全解決方案中，達(dá)到對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御，網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)，同時(shí)可針對(duì)網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動(dòng)學(xué)習(xí)，從而達(dá)到對(duì)未知網(wǎng)絡(luò)安全事件的防范。其基本原理和結(jié)構(gòu)圖如下：（圖1 GSN基本原理）l 網(wǎng)絡(luò)自動(dòng)防御（自御）面對(duì)復(fù)雜的網(wǎng)絡(luò)安全行為，最有效的防御策略即是將網(wǎng)絡(luò)安全防御技術(shù)應(yīng)用于在整個(gè)網(wǎng)絡(luò)中，而不是在單點(diǎn)進(jìn)行網(wǎng)絡(luò)安全的防護(hù)部署。因?yàn)楣粼纯赡軄碜跃W(wǎng)絡(luò)的任何一處，并能迅速的擴(kuò)散到整個(gè)網(wǎng)絡(luò)當(dāng)中。GSN提高了現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護(hù)能力，增強(qiáng)了終端用戶的安全防護(hù)能力。當(dāng)接入網(wǎng)絡(luò)的用戶終端發(fā)生安全攻擊事件時(shí)，安全管理平臺(tái)（RG-SMP）將針對(duì)這一安全事件進(jìn)行判斷，以確認(rèn)選擇調(diào)用何種安全策略來處理。安全管理平臺(tái)（RG-SMP）將自動(dòng)把安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡(luò)區(qū)域，安全策略的執(zhí)行者可以是銳捷網(wǎng)絡(luò)聯(lián)動(dòng)設(shè)備，根據(jù)安全事件的等級(jí)由安全管理平臺(tái)（RG-SMP）判斷是否需要將安全策略同步到網(wǎng)絡(luò)的區(qū)域中，以實(shí)現(xiàn)全網(wǎng)安全。同時(shí)，安全管理平臺(tái)會(huì)把針對(duì)這次安全事件的處理情況通知給用戶終端，使用戶能夠及時(shí)了解到網(wǎng)絡(luò)安全環(huán)境的變化。通過這個(gè)流程，網(wǎng)絡(luò)可以對(duì)已發(fā)生的安全行為進(jìn)行完全自動(dòng)化的防御措施，從而保證用戶網(wǎng)絡(luò)在受到威脅時(shí)可以迅速做出連動(dòng)反應(yīng)。（圖2 GSN自動(dòng)防御）l 網(wǎng)絡(luò)自動(dòng)修復(fù)（自愈）隨著網(wǎng)絡(luò)連接點(diǎn)的不斷增加，網(wǎng)絡(luò)遭遇攻擊的風(fēng)險(xiǎn)也隨之增加。一旦網(wǎng)絡(luò)遭受攻擊，所產(chǎn)生的嚴(yán)重后果不僅在于破壞本身，災(zāi)難之后的系統(tǒng)恢復(fù)和調(diào)試同樣消耗了大量寶貴的時(shí)間和人力、財(cái)力。GSN提供的自動(dòng)修復(fù)（自愈）功能，即能夠通過自動(dòng)使受損系統(tǒng)得以恢復(fù)的方式為用戶節(jié)約大量的IT技術(shù)人力資源，并保證即使在系統(tǒng)不斷遭受攻擊時(shí)，網(wǎng)絡(luò)的大部分資源仍時(shí)刻處在正常使用狀態(tài)下。當(dāng)用戶終端接入網(wǎng)絡(luò)時(shí)，系統(tǒng)會(huì)自動(dòng)檢測(cè)終端用戶的安全狀態(tài)，一旦檢測(cè)到用戶系統(tǒng)存在安全漏洞，安全管理平臺(tái)（RG-SMP）會(huì)通過網(wǎng)絡(luò)自動(dòng)將受損用戶從網(wǎng)絡(luò)正常區(qū)域中隔離開來，被隔離的用戶將被自動(dòng)置于系統(tǒng)修復(fù)區(qū)域。此時(shí)用戶終會(huì)根據(jù)安全管理平臺(tái)提供的信息自動(dòng)連接到RG-RES安全修復(fù)系統(tǒng)上進(jìn)行系統(tǒng)修復(fù)，修復(fù)期間系統(tǒng)會(huì)把受到訪問控制的情況通知用戶。自動(dòng)修復(fù)完成，系統(tǒng)會(huì)重新對(duì)用戶系統(tǒng)進(jìn)行評(píng)估，當(dāng)用戶系統(tǒng)安全評(píng)估完成以后，安全管理平臺(tái)（RG-SMP）將通過允許用戶進(jìn)入網(wǎng)絡(luò)繼續(xù)工作。（圖3 GSN自動(dòng)修復(fù)）l 網(wǎng)絡(luò)自動(dòng)學(xué)習(xí)（自育）在常規(guī)的網(wǎng)絡(luò)安全防護(hù)方案中，判斷一個(gè)網(wǎng)絡(luò)是否產(chǎn)生安全事件的標(biāo)準(zhǔn)經(jīng)常是某個(gè)網(wǎng)絡(luò)行為符合了安全隱患的特征，從而將針對(duì)這個(gè)行為發(fā)生一連串的動(dòng)作。但目前往往對(duì)網(wǎng)絡(luò)產(chǎn)生最大威脅的是未知的網(wǎng)絡(luò)行為對(duì)網(wǎng)絡(luò)產(chǎn)生的危害，當(dāng)遇到此類的攻擊以后，一般的網(wǎng)絡(luò)安全方案將無能為力。而在配備GSN全局安全措施的網(wǎng)絡(luò)環(huán)境中，GSN可以針對(duì)網(wǎng)絡(luò)安全環(huán)境的變化不斷調(diào)整和強(qiáng)化，有效協(xié)助網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)安全隱患的判斷。當(dāng)網(wǎng)絡(luò)中有新的網(wǎng)絡(luò)訪問行為時(shí)，該行為的相關(guān)信息會(huì)被網(wǎng)絡(luò)聯(lián)動(dòng)設(shè)備有效捕獲，并通過E-MAIL、管理日志等方式通知管理員。同時(shí)GSN能及時(shí)的捕獲到網(wǎng)絡(luò)的環(huán)境變化，一旦檢測(cè)到網(wǎng)絡(luò)流量異常，聯(lián)動(dòng)設(shè)備會(huì)自動(dòng)截取網(wǎng)絡(luò)流量報(bào)文進(jìn)行分析，從而有效的阻斷DDos或未知的網(wǎng)絡(luò)安全事件。由這個(gè)網(wǎng)絡(luò)訪問行為產(chǎn)生的對(duì)應(yīng)安全策略會(huì)自動(dòng)匹配到系統(tǒng)當(dāng)中。在今后發(fā)生同樣的網(wǎng)絡(luò)訪問行為時(shí)，系統(tǒng)就能自動(dòng)調(diào)用相應(yīng)的安全策略來處理，從而達(dá)到不斷根據(jù)網(wǎng)絡(luò)安全形勢(shì)強(qiáng)化系統(tǒng)安全性的安全策略自動(dòng)學(xué)習(xí)功能。（圖3 GSN自動(dòng)學(xué)習(xí)）所以為了確保校區(qū)網(wǎng)絡(luò)的安全，我們校區(qū)網(wǎng)絡(luò)建設(shè)時(shí)采用GSN方案來確保校區(qū)的網(wǎng)絡(luò)安全。3.4 網(wǎng)絡(luò)出口流量控制設(shè)計(jì)目前越來越多的下載軟件導(dǎo)致網(wǎng)絡(luò)出口帶寬嚴(yán)重不足，如現(xiàn)在的P2P軟件的使用造成了很多高校網(wǎng)絡(luò)出口帶寬的嚴(yán)重不足。出現(xiàn)這樣問題的原因是目前對(duì)P2P軟件沒有一個(gè)很好的控制手段，如P2P軟件是大家比較認(rèn)可的一個(gè)下載軟件，但是過多的使用會(huì)造成出口瓶頸，而且P2P軟件現(xiàn)在使用的端口號(hào)不固定且沒有特征碼，所以想要對(duì)其限制也是一個(gè)比較頭痛的問題。針對(duì)這樣的問題，我們認(rèn)為對(duì)P2P軟件的使用最好的方式不是針對(duì)流量進(jìn)行計(jì)費(fèi)，而是一種針對(duì)P2P應(yīng)用的管理與控制手段我公司結(jié)合目前我院的認(rèn)證計(jì)費(fèi)系統(tǒng)，對(duì)用戶進(jìn)行流量的控制，以控制由于用戶過多使用P2P軟件下載造成出口帶寬的不足的現(xiàn)象，具體如下：3.5 網(wǎng)絡(luò)管理設(shè)計(jì)隨著學(xué)校網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，現(xiàn)在不僅需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行集中統(tǒng)一的管理，同時(shí)還需要對(duì)用戶進(jìn)行集中統(tǒng)一的管理。4.1 網(wǎng)絡(luò)拓?fù)鋱D4.2 網(wǎng)絡(luò)設(shè)計(jì)說明根據(jù)學(xué)院的實(shí)際情況，并考慮到未來的發(fā)展趨勢(shì)，需要建立一個(gè)統(tǒng)一的信息傳輸網(wǎng)絡(luò)，滿足數(shù)據(jù)、語音、視頻、圖像、多媒體等相關(guān)教育信息的傳輸，可以實(shí)現(xiàn)計(jì)算機(jī)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、多媒體教學(xué)系統(tǒng)、數(shù)字圖書館和上網(wǎng)訪問（Internet）等應(yīng)用。為了保護(hù)投資，原有校園網(wǎng)部分我們依然采用原有設(shè)備和結(jié)構(gòu)。東西校區(qū)的互連根據(jù)前文所述，東西校區(qū)的互連我們采用雙鏈路光纖冗余互連，分別將東西校區(qū)的核心交換機(jī)進(jìn)行互連，同時(shí)全校啟用動(dòng)態(tài)路由OSPF的方式，確保新老校區(qū)穩(wěn)定可靠。網(wǎng)絡(luò)出口網(wǎng)絡(luò)出口采用1000M雙出口，由于學(xué)校飛速發(fā)展，地域不斷擴(kuò)大，現(xiàn)在已經(jīng)有兩個(gè)校區(qū)，為了使整個(gè)網(wǎng)絡(luò)便于管理，合理規(guī)劃出口，東校區(qū)用戶上網(wǎng)的時(shí)候信息是由東校區(qū)的出口出去，西校區(qū)用戶上是通過西校區(qū)出口出去，如果任何一個(gè)出口出現(xiàn)問題，則用戶將由另一個(gè)出口出去，確保出口的穩(wěn)定和安全。同時(shí)考慮到現(xiàn)有出口帶寬基本都已被占滿，主要是因?yàn)橛脩舸罅渴褂肞2P軟件的原因，為了解決這個(gè)問題我們采用對(duì)用戶進(jìn)行流量控制，以防止用戶大量使用P2P軟件造成網(wǎng)絡(luò)出口帶寬不足。網(wǎng)絡(luò)架構(gòu)為了能夠?qū)崿F(xiàn)骨干網(wǎng)絡(luò)的穩(wěn)定可靠，本次東西校區(qū)的網(wǎng)絡(luò)建設(shè)我們選擇雙核心雙鏈路的方式，即整個(gè)校園網(wǎng)采用雙核心的方式，兩臺(tái)核心之間通過千兆單模光纖相連，同時(shí)每個(gè)區(qū)域的區(qū)域匯聚交換機(jī)通過雙千兆單模光纖上聯(lián)到兩臺(tái)核心，而每個(gè)區(qū)域內(nèi)的交換機(jī)通過千兆多模鏈路連接各個(gè)區(qū)域的區(qū)域匯聚交換機(jī)，為了便于布線，在每棟樓的接入層上，各個(gè)不同的樓層采用不同的堆疊組進(jìn)行堆疊然后上聯(lián)到區(qū)域的匯聚交換機(jī)。而對(duì)于服務(wù)器群組來說，為了讓用戶提高訪問效率的體驗(yàn)，我們單獨(dú)采用一臺(tái)服務(wù)器群組交換機(jī)，該交換機(jī)具有很強(qiáng)的擴(kuò)展能力，并通過雙千兆多模光纖與東西校區(qū)的兩臺(tái)核心交換機(jī)進(jìn)行互聯(lián)，并通過服務(wù)器群組交換機(jī)的WCMP/ECMP的功能，可以使兩條鏈路同時(shí)按照帶寬的比例都傳輸數(shù)據(jù)，確保用戶訪問服務(wù)器時(shí)的高效。網(wǎng)絡(luò)安全為了能夠更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全方面的控制，確保校園網(wǎng)內(nèi)的教學(xué)、科研數(shù)據(jù)和學(xué)生管理信息不被竊取和丟失，所有連接進(jìn)網(wǎng)絡(luò)的用戶必須通過了身份的檢查后才能訪問網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)，而且各個(gè)系統(tǒng)運(yùn)作時(shí)需要通過VLAN劃分和物理路由相互隔離，和Internet連接的出口也需要部署防火墻系統(tǒng)來實(shí)現(xiàn)安全保護(hù)，以保證網(wǎng)絡(luò)內(nèi)所有數(shù)據(jù)和信息的安全。因?yàn)楝F(xiàn)有的網(wǎng)絡(luò)安全事件已不是某一個(gè)產(chǎn)品或軟件就能夠解決的，而是需要所有網(wǎng)絡(luò)設(shè)備進(jìn)行有效的聯(lián)動(dòng)，一起抵御網(wǎng)絡(luò)攻擊和病毒對(duì)網(wǎng)絡(luò)造成的影響。所以除了上述的安全保護(hù)外，同時(shí)為了進(jìn)一步做到能夠主動(dòng)的對(duì)網(wǎng)絡(luò)攻擊、病毒的防范，以及對(duì)未知網(wǎng)絡(luò)病毒的學(xué)習(xí)和控制，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備及軟件的有效聯(lián)動(dòng)，我們要在東西校區(qū)部署一整套安全體系，為學(xué)院網(wǎng)絡(luò)提供更好的安全屏障。網(wǎng)絡(luò)高效、穩(wěn)定性由于網(wǎng)絡(luò)中心核心設(shè)備的穩(wěn)定和安全性能是整個(gè)網(wǎng)絡(luò)最重要的保障，因此必須要求核心交換機(jī)具有優(yōu)良的性能和高可靠性，必須采用超大交換容量的交換背板，以保證任何情況下網(wǎng)絡(luò)的每個(gè)端口均可具備全線速多層交換能力，能夠保證傳輸帶寬和數(shù)據(jù)傳輸優(yōu)化等關(guān)鍵應(yīng)用，從而為整個(gè)網(wǎng)絡(luò)提供了穩(wěn)定和快速的基礎(chǔ)。網(wǎng)絡(luò)運(yùn)營(yíng)為了能夠更好的運(yùn)營(yíng)網(wǎng)絡(luò)，使網(wǎng)絡(luò)健康良性的發(fā)展，東西校區(qū)網(wǎng)絡(luò)建設(shè)繼續(xù)采用學(xué)校原有的認(rèn)證方式，這樣同一套系統(tǒng)，不僅方便運(yùn)營(yíng)維護(hù)及提高工作效率，同時(shí)也可使我們無需花費(fèi)更多的時(shí)間來熟悉和掌握新的系統(tǒng)。網(wǎng)絡(luò)管理隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，應(yīng)用越來越多，管理已不在是以前的那種單存對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理的年代，現(xiàn)在不僅要能夠?qū)υO(shè)備進(jìn)行集中統(tǒng)一的管理，同時(shí)還要能夠?qū)尤胗脩暨M(jìn)行集中統(tǒng)一的管理，而且隨著網(wǎng)絡(luò)安全事件的不斷增多，還需要一套能夠?qū)W(wǎng)絡(luò)安全事件進(jìn)行集中統(tǒng)一管理的軟件，這樣才能夠確保網(wǎng)絡(luò)管理的高效。5.1 核心交換機(jī)選型說明根據(jù)學(xué)院校園網(wǎng)建設(shè)的實(shí)際情況，需要在東西校區(qū)網(wǎng)絡(luò)中心各部署一臺(tái)核心交換機(jī)，為了滿足實(shí)際網(wǎng)絡(luò)的需要和未來的升級(jí)擴(kuò)展，該核心交換機(jī)要求：支持各種模塊熱插拔、支持多種千兆端口、支持鏈路聚合IEEE 802.3ad、支持三層協(xié)議、較高的背板帶寬和包轉(zhuǎn)發(fā)率、硬件或NP多業(yè)務(wù)卡方式支持IPV6（保證網(wǎng)絡(luò)系統(tǒng)以后平滑升級(jí)）、支持三種生成樹、支持802.1x、各種QOS和組播協(xié)議的支持等。根據(jù)具體情況，我們準(zhǔn)備采用銳捷新一代多業(yè)務(wù)萬兆核心路由交換機(jī)RG-S6806E，該設(shè)備具體特點(diǎn)如下：RG-S6806E是銳捷網(wǎng)絡(luò)推出的基于NP+ASIC構(gòu)架的新一代多業(yè)務(wù)萬兆核心路由交換機(jī)，擁有6個(gè)擴(kuò)展插槽，RG-S6806E在保障高性能大容量的基礎(chǔ)上提供強(qiáng)大的安全防護(hù)能力，并且擁有業(yè)務(wù)按需疊加擴(kuò)展能力，達(dá)到業(yè)務(wù)和性能并重的設(shè)計(jì)需求。RG-S6806E多業(yè)務(wù)萬兆核心路由交換機(jī)V3.X提供1.2T背板帶寬，并支持將來擴(kuò)展到2.4T的能力，高達(dá)428Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的數(shù)據(jù)交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機(jī)配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的理想選擇。RG-S6806E交換機(jī)通過擴(kuò)展高性能的多業(yè)務(wù)卡支持策略路由、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等業(yè)務(wù)功能，滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。產(chǎn)品特性 強(qiáng)大數(shù)據(jù)處理設(shè)計(jì)（SPOH設(shè)計(jì)）RG-S6806E的交換、路由、ACL、QoS等復(fù)雜功能通過硬件實(shí)現(xiàn)，避免了軟件實(shí)現(xiàn)同樣功能對(duì)數(shù)據(jù)高速處理的影響。管理模塊執(zhí)行路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)等任務(wù)，用戶接口模塊可以獨(dú)立實(shí)現(xiàn)硬件路由、交換和組播功能；用戶交換端口則獨(dú)立實(shí)現(xiàn)硬件ACL和QoS功能，同步式處理設(shè)計(jì)(SPOH設(shè)計(jì))極大地提高整機(jī)處理能力。 強(qiáng)大的擴(kuò)展能力RG-S6806E多業(yè)務(wù)萬兆核心路由交換機(jī)V3.X目前提供1.2T背板帶寬，在不更換機(jī)箱的情況下，未來僅通過更換管理模塊可以支持背板帶寬擴(kuò)展到2.4T。RG-S6806E多業(yè)務(wù)萬兆核心路由交換機(jī)通過擴(kuò)展高性能的多業(yè)務(wù)卡，可以支持策略路由、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等功能。 高安全保障措施物理安全：RG-S6806E提供冗余管理模塊、冗余電源模塊、各種模塊熱拔插等物理安全保障措施。病毒和攻擊防護(hù)：面對(duì)現(xiàn)在網(wǎng)絡(luò)環(huán)境越來越多的網(wǎng)絡(luò)病毒和攻擊威脅，RG-S6806E提供強(qiáng)大的網(wǎng)絡(luò)病毒和攻擊防護(hù)能力，不僅提供了基于SPOH技術(shù)的ACL功能，而且還支持防源IP地址欺騙（Souce IP Spoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）等能力。提供多端口同步監(jiān)控技術(shù)，支持靈活的網(wǎng)絡(luò)監(jiān)控，提升網(wǎng)絡(luò)監(jiān)控能力設(shè)備管理安全：為了避免非管理人員登陸并操縱網(wǎng)絡(luò)設(shè)備，造成網(wǎng)絡(luò)傳輸和安全的影響，RG-S6806E提供了SSH加密登陸功能，以及telnet/web登錄的源IP限制功能。接入安全：硬件支持IP、MAC、端口綁定，提高用戶接入控制能力。支持802.1X技術(shù)，滿足6元素綁定接入限制支持IGMP源端口檢查，可有效控制非法組播源，提高網(wǎng)絡(luò)安全。通過PVLAN（保護(hù)端口）隔離用戶之間信息互通，不必占用VLAN資源。端口MAC地址鎖和端口MAC地址接入數(shù)量功能可以屏蔽非法主機(jī)的接入 豐富的應(yīng)用支持技術(shù)（QOS、組播）RG-S6806E提供多種流分類技術(shù)和多種QOS技術(shù)，包括SP、WRR、WFQ、WRED、CAR、HOL等，為各種應(yīng)用的帶寬保障提供需要的支持技術(shù)。流分類：可以依據(jù)數(shù)據(jù)流的源/目的MAC地址、源/目的三層IP地址、三層協(xié)議（IP/IPX）、四層協(xié)議（UDP/TCP）、源/目的四層協(xié)議端口號(hào)、COS、TOS對(duì)數(shù)據(jù)流進(jìn)行區(qū)分，實(shí)現(xiàn)2/3/4層的流分類功能。數(shù)據(jù)標(biāo)記：802.1p是二層協(xié)議，可以為數(shù)據(jù)提供8個(gè)級(jí)別的優(yōu)先級(jí)標(biāo)記；DSCP在三層的IP協(xié)議報(bào)文里進(jìn)行優(yōu)先級(jí)標(biāo)記，可以提供64個(gè)級(jí)別的優(yōu)先標(biāo)記。隊(duì)列調(diào)度：嚴(yán)格優(yōu)先級(jí)隊(duì)列SP保證高優(yōu)先級(jí)業(yè)務(wù)總是在低優(yōu)先級(jí)業(yè)務(wù)之前處理；WRR是一種加權(quán)循環(huán)隊(duì)列調(diào)度機(jī)制，首先處理高優(yōu)先級(jí)，但在處理高優(yōu)先級(jí)業(yè)務(wù)時(shí)，較低優(yōu)先級(jí)的業(yè)務(wù)并沒有被完全阻塞，而是按一定的比例同時(shí)進(jìn)行。WFQ是加權(quán)公平隊(duì)列，對(duì)所有的數(shù)據(jù)流進(jìn)行排隊(duì)，監(jiān)控吞吐率，并根據(jù)發(fā)送的信息量分配權(quán)值。WFQ試圖公平地為每個(gè)對(duì)話分配帶寬，保證低帶寬應(yīng)用可以獲得對(duì)接口的訪問權(quán)，而不會(huì)被高帶寬應(yīng)用全部占用。擁塞控制：WRED加權(quán)隨機(jī)早期檢測(cè)協(xié)議，可以設(shè)置各個(gè)數(shù)據(jù)流在擁塞發(fā)生之前自動(dòng)丟失數(shù)據(jù)的閥值，避免較高優(yōu)先級(jí)應(yīng)用的擁塞丟失。HOL通過消除HOL阻塞確保最高可能的吞吐量；最大限度地減少包丟失，減少多路傳輸和廣播流量擁塞承諾信息速率：CAR可以為重要的數(shù)據(jù)流設(shè)定固定的帶寬，如果設(shè)定的帶寬合理，滿足該數(shù)據(jù)流的需求，就可以保證重要數(shù)據(jù)流的正常轉(zhuǎn)發(fā)。提供多種組播支持技術(shù)，包括IGMP snooping、IGMP、PIM（SM、DM），DVMRP，保證了網(wǎng)絡(luò)中提供組播服務(wù)時(shí)的帶寬合理占用。 支持領(lǐng)先的萬兆以太網(wǎng)技術(shù)（IEEE802.3AE、IEEE802.3AK）萬兆以太網(wǎng)采用了IEEE802.3以太網(wǎng)媒體訪問控制（MAC）協(xié)議、IEEE802.3以太網(wǎng)幀格式，以及IEEE802.3幀的最大和最小尺寸。萬兆以太網(wǎng)是以太網(wǎng)在速度和距離方面的進(jìn)步，采用全雙工技術(shù)，不需要應(yīng)用低速的、半雙工的CSMA/CD協(xié)議。在其他方面，萬兆以太網(wǎng)保留了初期以太網(wǎng)模型的精髓，因而可以和現(xiàn)有以太網(wǎng)環(huán)境無縫融合，支持客戶已有應(yīng)用。RG-S6806E提供目前主流的四種萬兆局域網(wǎng)傳輸標(biāo)準(zhǔn)：10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4，四種傳輸標(biāo)準(zhǔn)在數(shù)據(jù)鏈路層以上都相同，差別在于物理層。10GBASE-R和10GBASE-CX4用于傳統(tǒng)的以太網(wǎng)環(huán)境，10GBASE-R采用光纖作為傳輸介質(zhì)，10GBASE-CX4采用同軸銅纜作為傳輸介質(zhì)，而10GBASE-W可與OC-192電路、SONET/SDH設(shè)備一起運(yùn)行，保護(hù)傳統(tǒng)基礎(chǔ)投資，使運(yùn)營(yíng)商能夠在不同地區(qū)通過城域網(wǎng)提供端到端以太網(wǎng)。10GBSE-LX4則使用WDM波分復(fù)用技術(shù)進(jìn)行數(shù)據(jù)傳輸。 支持L2 VPN（QINQ）RG-S6806E支持Service Provider vlan(Double Tagging、VLAN tunnel)，允許對(duì)交換數(shù)據(jù)進(jìn)行二次VLAN標(biāo)識(shí)，外層標(biāo)識(shí)用于創(chuàng)建VPN，提供鏈路選擇，內(nèi)層標(biāo)識(shí)用于標(biāo)識(shí)業(yè)務(wù)VLAN信息，實(shí)現(xiàn)在以太網(wǎng)環(huán)境中的L2 VPN，解決了傳統(tǒng)以太網(wǎng)環(huán)境無法提供數(shù)據(jù)傳輸安全控制的問題。 ECMP/WCMP（Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing）存在多條不同鏈路到達(dá)同一目的地址的網(wǎng)絡(luò)環(huán)境中，如果使用傳統(tǒng)的路由技術(shù)，發(fā)往該目地址的數(shù)據(jù)包只能利用其中的一條鏈路，其它鏈路處于備份狀態(tài)或無效狀態(tài)，并且在動(dòng)態(tài)路由環(huán)境下相互的切換需要一定時(shí)間，而等值多路徑路由協(xié)議和權(quán)重多路徑路由協(xié)議可以在該網(wǎng)絡(luò)環(huán)境下同時(shí)使用多條鏈路，不僅增加了傳輸帶寬，并且可以無時(shí)延無丟包地備份失效鏈路的數(shù)據(jù)傳輸。 最長(zhǎng)匹配（LPM）三層交換技術(shù)在傳統(tǒng)的硬件三層交換機(jī)中采用“一次路由、多次交換”的路由技術(shù)，并且使用精確流匹配方式進(jìn)行硬件三層轉(zhuǎn)發(fā)，大量耗費(fèi)CPU資源，并且占用大量的硬件存儲(chǔ)資源。最長(zhǎng)匹配（LPM）三層交換技術(shù)可以解決傳統(tǒng)方式“多次交換”中采用精確流匹配”而帶來存儲(chǔ)空間壓力過大的問題。最長(zhǎng)匹配（LPM）技術(shù)支持直連路由、靜態(tài)路由、動(dòng)態(tài)學(xué)習(xí)到的路由都直接以網(wǎng)段形式存儲(chǔ)于硬件轉(zhuǎn)發(fā)表，一個(gè)目的網(wǎng)段使用一個(gè)轉(zhuǎn)發(fā)表項(xiàng)，而不明目的網(wǎng)段IP地址的數(shù)據(jù)包直接通過硬件缺省路由轉(zhuǎn)發(fā)。因此，LPM技術(shù)的優(yōu)點(diǎn)是極大地節(jié)約存儲(chǔ)空間，擁有硬件缺省路由，所以，病毒和攻擊數(shù)據(jù)包可以通過硬件網(wǎng)段路由或缺省路由進(jìn)行轉(zhuǎn)發(fā)，不增加額外的硬件表項(xiàng)，避免了存儲(chǔ)溢出問題，保障設(shè)備的正常運(yùn)行。 支持完善的雙核心技術(shù)RG-S6806E支持包括802.1D、802.1W、802.1S在內(nèi)的多種生成樹協(xié)議以及虛擬路由協(xié)議VRRP，提供完善的雙核心保障技術(shù)。技術(shù)參數(shù)技術(shù)參數(shù)RG-S6806E模塊插槽6個(gè)（2個(gè)用于管理引擎模塊）背板1.2T（可擴(kuò)展2.4T）（V3.x）交換容量（V3.x引擎）包轉(zhuǎn)發(fā)速率L2/L3：（V3.x引擎）路由表項(xiàng)256K802.1q VLAN4KL2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ae、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.3ab、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S 、port mirror、IGMP SNOOPING 、Aggregate port、GVRP、jumbo frame(9Kbytes)、QINQL3協(xié)議BGP4、OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、 DVMRP、 PIM-SM/DM、PIM-SSM、LPM Routing、Policy-based Routing、ECMP、WCMP病毒攻擊防護(hù)全面的ACL、防源IP地址欺騙（Souce IP Spoofing）、防DOS攻擊（Synflood，Smurf），防掃描（PingSweep）管理方式SNMP v1/v2/v3、Telnet、Console、CLI、RMON、SSH其它協(xié)議SNTP、VRRP、BootP/DHCP client、ARP PROXY、DHCP relay、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect、Syslog尺寸（長(zhǎng)x寬x高）445 mm x 445mm x 980mm電源100VAC240VAC，50Hz60Hz，功率:1200WMTBF 200,000 hours溫度工作溫度：0 到 40存儲(chǔ)溫度：-40 到 70濕度工作濕度: 10% 到 90% RH存儲(chǔ)濕度: 5% 到 95% RH典型應(yīng)用 可擴(kuò)萬兆的千兆IP核心網(wǎng)l 利用RG-S6806E強(qiáng)大的數(shù)據(jù)處理能力提供各分支機(jī)構(gòu)的高速互連l 利用多條光纖鏈路連接成網(wǎng)狀，提供高度安全的網(wǎng)絡(luò)連接l 使用OSPF路由協(xié)議，配合ECMP/WCMP路由協(xié)議，可以充分利用各鏈路并且提供實(shí)時(shí)的鏈路備份需求l 通過簡(jiǎn)單地增加萬兆模塊可以平滑地升級(jí)到萬兆IP核心網(wǎng)，保護(hù)用戶投資 可擴(kuò)萬兆的千兆雙核心網(wǎng)l 通過兩臺(tái)RG-S6806E之間的鏈路冗余備份和負(fù)載均衡（802.1SVRRP）提供安全可靠的網(wǎng)絡(luò)構(gòu)架l 通過RG-S6806E豐富的安全保障技術(shù)提供一個(gè)全網(wǎng)概念的整體網(wǎng)絡(luò)安全l 通過策略路由功能支持多ISP出口的負(fù)載均衡和冗余備份l 通過簡(jiǎn)單地增加萬兆模塊可以平滑升級(jí)到萬兆骨干網(wǎng)，保護(hù)用戶投資5.2 服務(wù)器群組交換機(jī)選型說明學(xué)院現(xiàn)在的服務(wù)器群組都是在連接在一臺(tái)100M傻瓜式二層交換機(jī)上的。已不能適用新的網(wǎng)絡(luò)應(yīng)用需求，需要在網(wǎng)絡(luò)中心部署一臺(tái)服務(wù)器群組交換機(jī)，為了滿足實(shí)際網(wǎng)絡(luò)的需要和未來的升級(jí)擴(kuò)展，該核心交換機(jī)要求：支持萬兆擴(kuò)展端口、千兆端口、支持鏈路聚合IEEE 802.3ad、支持三層協(xié)議、較高的背板帶寬和包轉(zhuǎn)發(fā)率、支持三種生成樹、支持802.1x、各種QOS和組播協(xié)議的支持等。根據(jù)具體情況，我們采用銳捷安全智能萬兆多層交換機(jī)RG-S5750-24GT/12SFP，該設(shè)備具體特點(diǎn)如下：RG-S5750系列是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機(jī)架式多層交換機(jī)。 該系列交換機(jī)接口形式和組合非常靈活，可提供24個(gè)10/100/1000M自適應(yīng)的千兆電口，和靈活復(fù)用的高密度千兆SFP光纖連接，滿足網(wǎng)絡(luò)建設(shè)中不同介質(zhì)的連接需要，同時(shí)為滿足網(wǎng)絡(luò)的彈性擴(kuò)展，和高帶寬傳輸需要，可靈活彈性擴(kuò)展多種類型的萬兆模塊。特別適合高帶寬、高性能和靈活擴(kuò)展的大型網(wǎng)絡(luò)匯聚層，中型網(wǎng)絡(luò)核心，以及數(shù)據(jù)中心服務(wù)器接入的使用。該系列交換機(jī)硬件支持多層線速交換，并提供了豐富而完善的路由協(xié)議，以適合大型網(wǎng)絡(luò)多種路由和高性能的需要。RG-S5750系列交換機(jī)提供二到七層的智能的業(yè)務(wù)流分類、完善的服務(wù)質(zhì)量（QoS）保證和組播應(yīng)用管理特性。在提供高性能、多智能的同時(shí)，其內(nèi)在的安全防御機(jī)制和用戶管理能力，更可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入和使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全、網(wǎng)絡(luò)合理化使用和運(yùn)營(yíng)，并可以根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制策略。RG-S5750系列交換機(jī)以極高的性價(jià)比為大型網(wǎng)絡(luò)匯聚和中型網(wǎng)絡(luò)核心提供了多層交換、完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、安全、智能的企業(yè)網(wǎng)需求。產(chǎn)品特性： 高性能多層交換l 高背板帶寬為所有的端口提供非阻塞性能；l 豐富完善的路由性能和超大容量路由表資源可滿足大型網(wǎng)絡(luò)動(dòng)態(tài)路由的需要；l 基于LPM硬件路由轉(zhuǎn)發(fā)方式使得RG-S5750系列不僅適用于大型網(wǎng)絡(luò)環(huán)境，而且可防御各種網(wǎng)絡(luò)病毒的侵襲，保障所有報(bào)文的線速轉(zhuǎn)發(fā)，有效保證了設(shè)備的安全性；l 硬件支持多層線速交換，能夠識(shí)別二到七層的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨(dú)的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流，并根據(jù)不同的流進(jìn)行不同的管理和控制。 靈活完備的安全控制l 具有的多種內(nèi)在機(jī)制可以有效防范和控制病毒傳播和黑客攻擊，如預(yù)防Dos攻擊、防黑客IP掃描機(jī)制等，還網(wǎng)絡(luò)一片綠色；l 硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的靈活綁定，嚴(yán)格限定端口上的用戶接入;l 通過將端口設(shè)為保護(hù)端口即可簡(jiǎn)單方便地隔離用戶之間信息互通，不必占用VLAN資源；l 基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；l 基于端口速率百分比和基于速率pps的廣播風(fēng)暴抑制功能，確保網(wǎng)絡(luò)穩(wěn)定安全；l SSH（Secure Shell）和SNMPv3可以通過在Telnet和SNMP進(jìn)程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；l 控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級(jí)ACL、時(shí)間ACL、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求。 豐富的組播特性l 支持各種單播和組播動(dòng)態(tài)路由協(xié)議，可適應(yīng)不同的網(wǎng)絡(luò)規(guī)模和需要進(jìn)行大量多播服務(wù)的環(huán)境，實(shí)現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展和多業(yè)務(wù)應(yīng)用；l 支持IGMP源端口和源IP檢查功能，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的安全性；l 支持IGMPv1/v2/v3全部版本，適應(yīng)不同組播環(huán)境，滿足組播安全應(yīng)用的需要。 完善的QoS策略l 以DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng)，支持802.1P、IP TOS、二到七層流過濾、SP、WRR等完整的QoS策略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；l 具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)、流量管理，流量整形等多種流策略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供流量限速千兆端口粒度達(dá)64Kbps，萬兆端口粒度達(dá)1Mbps。 高可靠性l 支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；l 支持VRRP虛擬路由器冗余協(xié)議，有效保障網(wǎng)絡(luò)穩(wěn)定；l 支持銳捷網(wǎng)絡(luò)的可選冗余電源系統(tǒng)STAR-RPS，可為S5750系列設(shè)備提供卓越的電源冗余，提高容錯(cuò)能力和網(wǎng)絡(luò)正常運(yùn)行時(shí)間。 方便易用易管理l 靈活復(fù)用的多種千兆形式，可靈活滿足需要多個(gè)千兆銅纜和多個(gè)千兆光纖鏈路的連接，方便用戶靈活選擇；l 為滿足網(wǎng)絡(luò)靈活彈性擴(kuò)展和高帶寬傳輸需要，簡(jiǎn)單選配多種類型的萬兆模塊，網(wǎng)絡(luò)即可平滑升級(jí)到萬兆上鏈骨干；l 簡(jiǎn)單網(wǎng)絡(luò)時(shí)間協(xié)議（SNTP）保證交換機(jī)時(shí)間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時(shí)間服務(wù)器時(shí)間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理；l Syslog方便各種日志信息的統(tǒng)一收集、維護(hù)、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護(hù)和管理；l 多端口同步監(jiān)控，通過一個(gè)端口即可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護(hù)效率；l CLI界面，方便高級(jí)用戶配置和使用；可提供Xmodem、FTP、TFTP等多種加載升級(jí)方式，方便用戶使用；l Java-based Web管理方式，實(shí)現(xiàn)對(duì)交換機(jī)的可視化圖形界面管理，快速和高效地配置設(shè)備。技術(shù)參數(shù)：產(chǎn)品型號(hào)RG-S5750-24GT/12SFP固定端口24端口10/100/1000M自適應(yīng)端口，12個(gè)復(fù)用的SFP接口，2個(gè)擴(kuò)展槽可用模塊Mini-GBIC-SX：?jiǎn)慰?000BASE-SXmini GBIC轉(zhuǎn)換模塊（LC接口）；Mini-GBIC-LX：?jiǎn)慰?000BASE-LXmini GBIC轉(zhuǎn)換模塊（LC接口）；Mini-GBIC-ZX50：?jiǎn)慰?000BASE-ZX mini GBIC轉(zhuǎn)換模塊（LC接口），50km；Mini-GBIC-ZX80：?jiǎn)慰?000BASE-ZX mini GBIC轉(zhuǎn)換模塊（LC接口），80km1端口XENPAK接口萬兆轉(zhuǎn)接板1端口XFP接口萬兆轉(zhuǎn)接板萬兆光纖接口模塊（300米），配合M5700-01XENPAK轉(zhuǎn)接板使用萬兆光纖LR接口模塊（10公里），配合M5700-01XENPAK轉(zhuǎn)接板使用萬兆光纖ER接口模塊（40公里），配合M5700-01XENPAK轉(zhuǎn)接板使用萬兆光纖SR接口模塊（300米），配合M5700-01XFP轉(zhuǎn)接板使用萬兆光纖LR接口模塊（10公里），配合M5700-01XFP轉(zhuǎn)接板使用萬兆光纖ER接口模塊（40公里），配合M5700-01XFP轉(zhuǎn)接板使用背板240Gbps包轉(zhuǎn)發(fā)速率L2：線速（66Mpps）L3：線速（66Mpps）MAC16K802.1q VLAN4KACL標(biāo)準(zhǔn)IP ACL（基于IP地址的硬件ACL）、擴(kuò)展IP ACL（基于IP地址、TCP/UDP端口號(hào)的硬件ACL）、MAC擴(kuò)展ACL（基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL）、基于時(shí)間ACL、專家級(jí)ACL （可同時(shí)基于VLAN號(hào)、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號(hào)、協(xié)議類型、時(shí)間等靈活組合的硬件ACL）L2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q (GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3、LLDPDefeat DoS Attack支持Defeat IP Scan支持L3協(xié)議OSPF、ECMP/WCMP、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3管理協(xié)議SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet /Console)、RMON(1,2,3,9)、集群、SSH、SNTP、Syslog其它協(xié)議DHCP Relay、DNS ClientJumbo Frame支持尺寸（長(zhǎng) 寬高）440 43544mm電源176VAC264VAC48Hz60Hz溫度工作溫度: 0C 到 40C存儲(chǔ)溫度: -40C 到 70C濕度工作濕度: 10% 到 90% RH存儲(chǔ)濕度: 5% 到 90% RH5.3區(qū)域匯聚交換機(jī)選型說明根據(jù)學(xué)院實(shí)際情況，為了滿足實(shí)際網(wǎng)絡(luò)環(huán)境的需要，區(qū)域匯聚交換機(jī)都要求：支持千兆端口、支持鏈路聚合IEEE 802.3ad、支持三層協(xié)議、較高的背板帶寬和包轉(zhuǎn)發(fā)率、支持三種生成樹、支持802.1x、各種QOS和組播協(xié)議的支持等。我們采用銳捷全千兆智能多層交換機(jī)STAR-RG-S5750-24GT/12SFP做區(qū)域匯聚，該設(shè)備具體特點(diǎn)如下：STAR-S3550-24G是一款線速全千兆智能多層交換機(jī)，能提供多GBIC插槽，最多可提供24個(gè)GBIC插槽，GBIC插槽支持千兆銅纜、光纖擴(kuò)展模塊，支持模塊熱插拔，極大方便用戶靈活配置網(wǎng)絡(luò)。該系列交換機(jī)硬件支持2至4層的多層線速交換，提供二到七層的智能的流分類和和完善的服務(wù)質(zhì)量（QoS）以及組播管理特性，支持完善的高性能路由協(xié)議，并可以實(shí)施靈活多樣的ACL訪問控制策略?？赏ㄟ^SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。S3550-24G以極高的性價(jià)比為各類型網(wǎng)絡(luò)提供線速多層交換、完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、安全、智能的企業(yè)網(wǎng)新需求。產(chǎn)品特性： 高性能多層交換l 72G背板帶寬為所有的端口提供非阻塞性能；l 硬件支持多層線速交換，能夠識(shí)別、處理四層以上的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨(dú)的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流，并根據(jù)不同的流進(jìn)行不同的管理和控制。 完備的安全控制l 具有的多種內(nèi)在機(jī)制可以有效防范和控制病毒傳播和黑客攻擊，如預(yù)防Dos攻擊、防黑客和病毒IP掃描機(jī)制等，還網(wǎng)絡(luò)一片綠色；l 硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定；l 通過保護(hù)端口即可方便簡(jiǎn)單地隔離用戶之間信息互通，不必占用VLAN資源；l 基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；l 提供加密傳輸?shù)腟ecure Shell（SSH），保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；l 高安全性，具有端口安全、動(dòng)態(tài)地址鎖、端口隔離、用戶接入認(rèn)證（802.1x）、專家級(jí)ACL控制、基于數(shù)據(jù)流的帶寬限速等多種安全措施，滿足企業(yè)網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求。 豐富的組播特性l 支持各種單播和組播動(dòng)態(tài)路由協(xié)議，可適應(yīng)不同的網(wǎng)絡(luò)規(guī)模，和需要進(jìn)行大量多播服務(wù)的環(huán)境，實(shí)現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展；l 支持IGMP源端口檢查功能，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的安全性。 完善的QoS策略l 以DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng)，支持802.1P、IP TOS、二到七層流過濾、SP、WRR等完整的QoS策略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；l 具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多種流策略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供服務(wù)； 高可靠性l 支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道；l 支持VRRP虛擬路由器冗余協(xié)議，構(gòu)建故障時(shí)的冗余路由拓?fù)浣Y(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定；l 支持銳捷網(wǎng)絡(luò)的可選冗余電源系統(tǒng)STAR-RPS，可為6臺(tái)S3550-12G/S3550-24G以S3550-12SFP/GT系列網(wǎng)絡(luò)設(shè)備提供卓越的電源冗余，提高容錯(cuò)能力和網(wǎng)絡(luò)正常運(yùn)行時(shí)間。 方便易用易管理l 全GBIC架構(gòu)，可選配多種規(guī)格千兆接口模塊，支持千兆銅纜、單/多模光纖接口模塊的混合配置，支持模塊熱插拔，極大方便用戶靈活配置和擴(kuò)展網(wǎng)絡(luò)；l 獨(dú)特的集群管理，通過一臺(tái)命令交換機(jī)即可管理多達(dá)20臺(tái)的匯聚層和接入層設(shè)備S3550系列和S21系列交換機(jī)，無論交換機(jī)是否在同一配線間和布線室，都能得到統(tǒng)一管理；l 強(qiáng)大的集群管理方式使得網(wǎng)絡(luò)的維護(hù)工作變得非常方便和簡(jiǎn)單，只需配置1個(gè)IP地址，即可統(tǒng)一管理多臺(tái)設(shè)備，不僅成倍節(jié)省了IP地址空間，而且維護(hù)和管理量也得到極大降低；l 多端口同步監(jiān)控，通過一個(gè)端口即可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護(hù)效率；l 支持業(yè)界領(lǐng)先的EAPS功能，實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性；l CLI界面，方便