h3c職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)設(shè)計(jì)方案和對(duì)策

1、完美 WORD 格式廣州 XX 職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)設(shè)計(jì)方案華三通信技術(shù)有限公司2008 年 12 月專業(yè)整理知識(shí)分享校園網(wǎng)絡(luò)設(shè)計(jì)方案目錄第 1 章 概述 .4第 2 章 系統(tǒng)建設(shè)需求 .4第 3 章 網(wǎng)絡(luò)平臺(tái)建設(shè)方案 .53.1網(wǎng)絡(luò)設(shè)計(jì)原則 .53.2網(wǎng)絡(luò)層次化設(shè)計(jì) .63.3校園網(wǎng)絡(luò)總體結(jié)構(gòu) .83.3.1核心層設(shè)計(jì) .93.3.2數(shù)據(jù)中心設(shè)計(jì) .143.3.3匯聚層設(shè)計(jì) .153.3.4網(wǎng)絡(luò)出口設(shè)計(jì) .183.3.5接入層設(shè)計(jì) .213.3.6無(wú)線網(wǎng)絡(luò)設(shè)計(jì) .263.4網(wǎng)絡(luò)安全性設(shè)計(jì) .313.4.1重要安全區(qū)域隔離 .313.4.2出口帶寬監(jiān)管 .323.4.3網(wǎng)絡(luò)安全保護(hù) .333.

2、5網(wǎng)絡(luò)可靠性設(shè)計(jì) .363.5.1物理設(shè)備和鏈路穩(wěn)定性. 36 網(wǎng)絡(luò)結(jié)構(gòu)的可靠性 .36第 2頁(yè),共 60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案設(shè)備級(jí)冗余性設(shè)計(jì) .36鏈路冗余配置 .383.5.2數(shù)據(jù)鏈路層穩(wěn)定性設(shè)計(jì) .38網(wǎng)絡(luò)部署 MSTP.38生成樹(shù)邊緣端口 .39DLDP 技術(shù)運(yùn)用 .393.5.3網(wǎng)絡(luò)層穩(wěn)定性設(shè)計(jì) .403.6網(wǎng)絡(luò)管理設(shè)計(jì) .413.6.1資源管理 .423.6.2拓?fù)涔芾?.433.6.3故障（告警 / 事件）管理 .453.6.4性能管理 .483.6.5圖形化設(shè)備管理 .483.6.6集中配置管理 .493.7用戶管理系統(tǒng) .513.8方案總結(jié)及優(yōu)勢(shì)說(shuō)明 .56第 3頁(yè),共 60頁(yè)

3、校園網(wǎng)絡(luò)設(shè)計(jì)方案第1章 概述廣州 XX 職業(yè)技術(shù)學(xué)院（以下簡(jiǎn)稱為XX 學(xué)院）1999 年 3 月經(jīng)教育部批準(zhǔn)成立，是中國(guó) XX 總局唯一一所獨(dú)立設(shè)置實(shí)施高等職業(yè)教育的全日制普通高等院校，是“國(guó)家示范性高等職業(yè)院校建設(shè)計(jì)劃”2007 年度立項(xiàng)建設(shè)院校之一。根據(jù)國(guó)家示范性高等職業(yè)院校建設(shè)項(xiàng)目的要求，XX 學(xué)院擬完善數(shù)字化校園網(wǎng)絡(luò)平臺(tái)，為數(shù)字化教學(xué)平臺(tái)提供一個(gè)良好的支撐平臺(tái)。方案參考了學(xué)院 數(shù)字化校園網(wǎng)絡(luò)平臺(tái)項(xiàng)目 （第一期）建設(shè)實(shí)施方案內(nèi)容。在方案中，我們將根據(jù)校園網(wǎng)絡(luò)平臺(tái)建設(shè)要求，提出一個(gè)校園網(wǎng)絡(luò)平臺(tái)的建設(shè)目標(biāo)和框架，并針對(duì)各個(gè)部分建設(shè)進(jìn)行說(shuō)明。第 2章 系統(tǒng)建設(shè)需求校園網(wǎng)絡(luò)平臺(tái)是校園數(shù)字化系統(tǒng)的

4、運(yùn)行基礎(chǔ)，學(xué)院原有的網(wǎng)絡(luò)平臺(tái)無(wú)論是在網(wǎng)絡(luò)的穩(wěn)定性、業(yè)務(wù)適應(yīng)用性、性能、安全以及可擴(kuò)展性等方面已無(wú)法支撐學(xué)院系統(tǒng)的需求，更是無(wú)法達(dá)到國(guó)家示范性高等職院建設(shè)的要求，因此，學(xué)院的校園網(wǎng)絡(luò)平臺(tái)需要進(jìn)行全面的升級(jí)，建設(shè)任務(wù)主要包括以下五大方面：一、 建設(shè)一個(gè)高可用的骨干網(wǎng)，這是網(wǎng)絡(luò)平臺(tái)建設(shè)最為重要及緊急任務(wù)之一，骨干網(wǎng)的穩(wěn)定性、性能和安全性將直接影響到校園網(wǎng)絡(luò)的運(yùn)行；二、 建設(shè)一個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)，為數(shù)字化業(yè)務(wù)系統(tǒng)提供一個(gè)高可用的接入平臺(tái)；三、 建設(shè)一個(gè)安全可控的網(wǎng)絡(luò)出口，增強(qiáng)網(wǎng)絡(luò)外界的安全防護(hù)以及校園網(wǎng)用戶的行為監(jiān)管能力，提高出口帶寬的使用效率；四、 完善校園網(wǎng)用戶的接入和控制，通過(guò)部署用戶認(rèn)證、計(jì)費(fèi)

5、等措施對(duì)全第 4頁(yè),共 60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案面提升對(duì)接入用戶的控制，使用戶接入規(guī)范化。五、 建設(shè)校園無(wú)線網(wǎng)絡(luò)平臺(tái)，提高網(wǎng)絡(luò)接入的覆蓋能力，校園用戶更易于使用學(xué)院資源。第 3章 網(wǎng)絡(luò)平臺(tái)建設(shè)方案3.1 網(wǎng)絡(luò)設(shè)計(jì)原則廣州 XX 職業(yè)技術(shù)學(xué)院校園網(wǎng)建設(shè)要實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的QoS 保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)教育管理、多媒體教學(xué)自動(dòng)化，必須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開(kāi)放性、兼容性、可擴(kuò)展性。學(xué)院網(wǎng)絡(luò)建設(shè)遵循以下基本原則：高帶寬學(xué)院網(wǎng)絡(luò)是一個(gè)龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計(jì)的無(wú)瓶頸性， 要求方案設(shè)計(jì)的階段

6、就要充分考慮到，同時(shí)要求核心交換機(jī)具有高性能、 高帶寬的特，整網(wǎng)的核心交換要求能夠提供無(wú)瓶頸的數(shù)據(jù)交換?？稍鲋敌詫W(xué)院網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。 所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不同第 5頁(yè),共 60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制， 實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U(kuò)充性考慮到學(xué)院用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對(duì)于核心交換機(jī)與匯聚交換機(jī)具有強(qiáng)大的擴(kuò)展功能，學(xué)院網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。開(kāi)放性技術(shù)選擇必須符合相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn)

7、，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開(kāi)放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開(kāi)放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。3.2 網(wǎng)絡(luò)層次化設(shè)計(jì)在校園園區(qū)網(wǎng)絡(luò)整體設(shè)計(jì)中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置。根據(jù)廣州XX 職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)分布情況，校園網(wǎng)共分成核心層、匯聚層和接入層三層。核心層核心層是整個(gè)網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速

8、收斂，要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。學(xué)院主校區(qū)設(shè)立整個(gè)校園網(wǎng)的核心層，同時(shí)，在新機(jī)場(chǎng)實(shí)訓(xùn)基地設(shè)立分第 6頁(yè),共 60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案核心。對(duì)于 XX 學(xué)院主校園的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的多設(shè)備冗余的星型結(jié)構(gòu)。對(duì)于校園網(wǎng)核心層設(shè)備， 應(yīng)該在提供大容量、 高性能 L2/L3 交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了硬件IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為校園園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助用戶實(shí)現(xiàn)IT資源整合的需求。匯聚層匯聚來(lái)自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)

9、備的第一跳網(wǎng)關(guān)。目前，XX 學(xué)院在主校區(qū)共有15 幢建筑物，新機(jī)場(chǎng)實(shí)訓(xùn)基地共有6 幢建筑物。學(xué)院匯聚層設(shè)立將根據(jù)現(xiàn)有的信息點(diǎn)分布，結(jié)合綜合布線系統(tǒng)等多因素，一般而言，以建筑物 / 功能區(qū)為單位設(shè)立匯聚層，即每個(gè)單體建筑 / 功能區(qū)設(shè)立一個(gè)網(wǎng)絡(luò)匯聚層， 如數(shù)據(jù)中心和網(wǎng)絡(luò)出口分別設(shè)于匯聚層，同時(shí)對(duì)于學(xué)生宿舍區(qū)，可以采用多幢學(xué)生宿舍共用1 個(gè)網(wǎng)絡(luò)匯聚層的方式。對(duì)于校園園區(qū)網(wǎng)的匯聚層設(shè)備，應(yīng)該能夠承載校園園區(qū)的多種融合業(yè)務(wù)，能夠融合IPv6、網(wǎng)絡(luò)安全、流量分析等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，能夠承載校園園區(qū)融合業(yè)務(wù)的需求。3) 接入層提供網(wǎng)絡(luò)的第一級(jí)接入功能， 完成二層

10、接入，并實(shí)現(xiàn)對(duì)終端接入的安全控制，包括 ARP 防御、 IP/MAC/ 端口綁定以及POE 等高級(jí)功能。在 XX 校園網(wǎng)中，接入層采用千兆及百兆到桌面的接入模式，對(duì)于數(shù)據(jù)傳輸量較大或重要區(qū)域采用千兆到桌面的方案，如綜合辦公、圖書(shū)館等， 其它的為百兆接入，同時(shí)，無(wú)線 AP 接入采用 POE 方式進(jìn)行設(shè)備的供電。第 7頁(yè),共 60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案接入層設(shè)備以選擇二層交換機(jī)為主，設(shè)備應(yīng)具有靈活的擴(kuò)展能力， 支持堆疊，具有強(qiáng)安全性，可以實(shí)現(xiàn) IP、MAC 、端口的綁定，支持 802.1x 認(rèn)證，支持 DHCPSnooping，防止非法 DHCP 接入和 ARP 攻擊。3.3 校園網(wǎng)絡(luò)總體結(jié)構(gòu)校園網(wǎng)絡(luò)

11、平臺(tái)將采用層次化通用結(jié)構(gòu)設(shè)計(jì)，采用核心層、 匯聚層和接入層三層架構(gòu)，包括網(wǎng)絡(luò)骨干、 數(shù)據(jù)中心、網(wǎng)絡(luò)出口、網(wǎng)絡(luò)接入、無(wú)線網(wǎng)絡(luò)等五大部分。服務(wù)器系統(tǒng)用戶管理系統(tǒng)教育科研網(wǎng)數(shù)據(jù)中心H3C CAMS網(wǎng)絡(luò)出口應(yīng)用流量控制出口路由器H3C ACG 2000MH3C SR6604電信/ 網(wǎng)通中心交換機(jī)H3C S7502E內(nèi)置防火墻無(wú)線網(wǎng)控制器AC 模塊網(wǎng)絡(luò)中心機(jī)房校園網(wǎng)骨干核心交換機(jī)H3C S7510E匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)H3C S5500-EIH3C S5500-EIH3C S5500-EIH3C S5500-EI接入交換機(jī)接入交換機(jī)接入交換機(jī)接入交換機(jī)H3C S5100H3C E15

12、2/126AH3C E152/126AH3C E152/126A無(wú)線 AP無(wú)線 AP辦公樓圖書(shū)館、實(shí)驗(yàn)樓等宿舍區(qū)宿舍區(qū)千兆到桌面百兆到桌面百兆到桌面百兆到桌面網(wǎng)絡(luò)骨干由核心層和匯聚層組網(wǎng)，骨干網(wǎng)采用高可靠性組網(wǎng)，核心層配置兩臺(tái)高端核心交換機(jī)， 匯聚層設(shè)備通過(guò)雙千兆鏈路實(shí)現(xiàn)與核心層設(shè)備的互聯(lián)，網(wǎng)絡(luò)骨干全面支持IPv6，并提供萬(wàn)兆擴(kuò)展能力。校園網(wǎng)設(shè)立數(shù)據(jù)中心，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)服務(wù)器的集中部署，數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)獨(dú)立建設(shè)，配置2 臺(tái)模塊化交換機(jī)設(shè)備，為服務(wù)器提供高性能、高可靠、可第 8頁(yè),共 60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案擴(kuò)展性的接入平臺(tái)， 同時(shí)，通過(guò)核心交換機(jī)內(nèi)置高性能的防火墻模塊提供安全保護(hù)。網(wǎng)絡(luò)出口實(shí)現(xiàn)校

13、園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)，包括與教育科、互聯(lián)網(wǎng)的互聯(lián)，網(wǎng)絡(luò)出口需實(shí)現(xiàn)校園網(wǎng)與外部網(wǎng)絡(luò)的隔離，網(wǎng)絡(luò)出口配置 1 臺(tái)路由器設(shè)備實(shí)現(xiàn)與外部網(wǎng)絡(luò)互聯(lián)，同時(shí)提供地址轉(zhuǎn)換等服務(wù)，配置應(yīng)用控制網(wǎng)關(guān)， 實(shí)現(xiàn)出口帶寬的管理，并對(duì)校園網(wǎng)用戶實(shí)現(xiàn)行為審計(jì)等功能。網(wǎng)絡(luò)接入層提供校園網(wǎng)用戶的接入，并實(shí)現(xiàn)網(wǎng)絡(luò)接入的安全防御，如ARP攻擊防護(hù)，同時(shí)，結(jié)合用戶管理系統(tǒng)實(shí)現(xiàn)對(duì)接入用戶認(rèn)證、計(jì)費(fèi)等管理。為實(shí)現(xiàn)校園網(wǎng)絡(luò)接入的靈活性，提高網(wǎng)絡(luò)的覆蓋，校園網(wǎng)將實(shí)現(xiàn)辦公樓、圖書(shū)館、實(shí)驗(yàn)室、運(yùn)動(dòng)場(chǎng)館等公共區(qū)域的無(wú)線網(wǎng)絡(luò)覆蓋， 無(wú)線網(wǎng)采用智能的Fit AP組網(wǎng)。為便于網(wǎng)絡(luò)的管理和維護(hù)，校園網(wǎng)還將建設(shè)1 套網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)平臺(tái)設(shè)備的

14、統(tǒng)一管理，網(wǎng)絡(luò)管理應(yīng)具有拓?fù)?、故障、性能、配置和圖形化設(shè)備管理等功能，為了實(shí)現(xiàn)更為方便的通過(guò)遠(yuǎn)程方式對(duì)網(wǎng)絡(luò)的狀態(tài)進(jìn)行監(jiān)控和維護(hù)，網(wǎng)絡(luò)系統(tǒng)采用B/S 架構(gòu)。同時(shí)，為加強(qiáng)對(duì)接入用戶的控制和管理，系統(tǒng)還部署用戶認(rèn)證、計(jì)費(fèi)管理系統(tǒng)。3.3.1 核心層設(shè)計(jì)學(xué)院主校區(qū)設(shè)立整個(gè)校園網(wǎng)的核心層，同時(shí)，在新機(jī)場(chǎng)實(shí)訓(xùn)基地設(shè)立分核心。對(duì)于 XX 學(xué)院主校園的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的多設(shè)備冗余的星型結(jié)構(gòu)。核心層配置 2 臺(tái)高端交換機(jī)作為核心交換機(jī)， 兩臺(tái)交換機(jī)之間通過(guò)萬(wàn)兆鏈路第 9頁(yè),共 60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案進(jìn)行互聯(lián)，形成雙機(jī)復(fù)用， 在兩臺(tái)中心交換機(jī)之間啟用VRRP 協(xié)議，這樣在其

15、中一臺(tái)出現(xiàn)故障的時(shí)候，業(yè)務(wù)可以自動(dòng)切換到另外一臺(tái)。選用的核心交換機(jī)是從可靠性、性能、業(yè)務(wù)特性、安全特性以及可擴(kuò)展性等多個(gè)方面進(jìn)行綜合考慮。在可靠性方面， 核心交換機(jī)應(yīng)達(dá)到99.99% 的高可靠性， 采用全模塊化設(shè)計(jì)，電源、風(fēng)扇、引擎、業(yè)務(wù)模塊等均可實(shí)現(xiàn)熱插拔，支持電源、引擎等關(guān)鍵部件的1+1 冗余熱備份，支持VRRP、路由優(yōu)雅（ GR ）等高可靠性協(xié)議，實(shí)現(xiàn)核心層的業(yè)務(wù)不間斷轉(zhuǎn)發(fā)。在性能方面，核心交換機(jī)應(yīng)采用Crossbar 交換矩陣，采用全分布式轉(zhuǎn)發(fā)，支持萬(wàn)兆、千兆等高速以太網(wǎng)接口，所有接口實(shí)現(xiàn)線速轉(zhuǎn)發(fā),保障校園網(wǎng)多種業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，核心交換機(jī)支持豐富的QoS 特性，可保障

16、重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6 ，可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò)；并且支持內(nèi)置防火墻、內(nèi)置無(wú)線控制器等多種業(yè)務(wù)功能插卡， 可以進(jìn)行靈活的部署， 實(shí)現(xiàn)業(yè)務(wù)的擴(kuò)展和融合。在安全性方面， 核心交換機(jī)應(yīng)既能保障自身的運(yùn)行安全，也能通過(guò)一些安全機(jī)制保障所承載業(yè)務(wù)的安全?；谏鲜鲆蛩?，我們建議核心交換機(jī)采用H3C S7510E 高端交換機(jī)。H3C S7500E 系列產(chǎn)品是杭州華三通信技術(shù)有限公司（以下簡(jiǎn)稱 H3C 公司）面向融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于H3C 自主知識(shí)產(chǎn)權(quán)的 Comware V5操作系統(tǒng)，融合了MPLS、IPv6 、網(wǎng)絡(luò)安全、無(wú)線、無(wú)源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)

17、發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)。第10頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案S7510E 具有 10 個(gè)槽位，其中8 個(gè)為業(yè)務(wù)模塊插槽，并支持豐富的接口模塊，如萬(wàn)兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡(luò)規(guī)模實(shí)現(xiàn)在線擴(kuò)展。S7510E 具有高轉(zhuǎn)發(fā)性能，整機(jī)具有1152Gbps交換容量、 773Mpps轉(zhuǎn)發(fā)性能，同時(shí)， S7510E 采用全分布式轉(zhuǎn)發(fā)，并采用最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的處理機(jī)制，保證業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7510E 中配置的所有接口均可實(shí)現(xiàn)線速轉(zhuǎn)發(fā)。選用的 H3C S7500E 交換機(jī)具有以下特點(diǎn)：、豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢(shì)全面的 MPLS 業(yè)務(wù)能力H3C S7500E 所有產(chǎn)品均支

18、持 VRF-Lite 特性，可以做為 MCE 設(shè)備使用；支持三層的 MPLS VPN 和二層的 MPLS VPN（ Martini 、Kompella ），可擴(kuò)展支持 VPLS 技術(shù)；支持 MPLS OAM 特性，方便用戶的管理和維護(hù)； 與 H3C MPLS VPN Manager 配合，實(shí)現(xiàn)圖形化的 MPLS 部署與維護(hù)。線速的 IPv4/IPv6 業(yè)務(wù)能力H3CS7500E 支持IPv4/IPv6雙協(xié)議棧 , 支持多種6to4隧道技術(shù)，支持IPv4/IPv6的組播技術(shù)，為用戶提供完善的IPv4/IPv6 解決方案； H3C S7500E采用分布式體系架構(gòu)，實(shí)現(xiàn) IPv4/IPv6 業(yè)務(wù)的線

19、速無(wú)阻塞轉(zhuǎn)發(fā)； H3C S7500E 已經(jīng)通過(guò)了信息產(chǎn)業(yè)部的 IPv6 入網(wǎng)認(rèn)證和 IPv6 Ready 第二階段金色認(rèn)證，是成熟商用的 IPv6 產(chǎn)品。有線無(wú)線一體化，有源無(wú)源一體化H3C S7500E 集成的無(wú)線控制模塊提供豐富的業(yè)務(wù)能力， 包括精細(xì)的用戶控制管理、完善的 RF 管理及安全機(jī)制、快速漫游、超強(qiáng)的 QOS 和對(duì) IPV6 的支持等；無(wú)線控制模塊通過(guò)與安全策略服務(wù)器的聯(lián)動(dòng)， 實(shí)現(xiàn)對(duì)無(wú)線接入用戶的端點(diǎn)準(zhǔn)入防御，提高了整網(wǎng)的安全性。H3C S7500E 是業(yè)界最高密度的以太網(wǎng)無(wú)源光網(wǎng)絡(luò)（ EPON ）設(shè)備，單臺(tái)最大可接入 10240 個(gè) FTTH用戶； H3C S7500E 是高可

20、靠的 EPON 系統(tǒng)，采用分布式體系結(jié)構(gòu)、模塊化設(shè)計(jì)，主控板冗余熱備份、無(wú)源背板、冗余電源支持雙路供第11頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案電，具有電信級(jí)可靠性。支持 Portal 認(rèn)證H3C S7500E 支持大容量的 Portal 認(rèn)證功能，可以在數(shù)千用戶的局域網(wǎng)中作為 EAD 網(wǎng)關(guān)設(shè)備，為全網(wǎng)用戶提供EAD 安全認(rèn)證功能； 可以在大中型的校園網(wǎng)中擔(dān)任匯聚 / 核心設(shè)備的同時(shí)，為學(xué)生宿舍區(qū)的認(rèn)證計(jì)費(fèi)提供Portal 認(rèn)證功能。、靈活的配置，適應(yīng)各種應(yīng)用場(chǎng)景配線間融合業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇H3C S7500E 針對(duì)配線間的需求定制開(kāi)發(fā)了SA 板卡，單臺(tái)設(shè)備可以提供 480個(gè)千兆線速接口和4 個(gè)萬(wàn)兆線

21、速接口。H3C S7500E 支持端點(diǎn)準(zhǔn)入防御解決方案，解決終端安全問(wèn)題；內(nèi)置2800W 電源直接提供 PoE 功能，對(duì) IP 語(yǔ)音和無(wú)線接入提供良好的支持。政府電力城域網(wǎng)邊緣和匯聚的最佳選擇H3C S7500E 支持 VRF-Lite 特性，為用戶提供高可靠高性能的 MCE 設(shè)備；通過(guò)配置 Salience VI-Turbo 引擎，可以提供集中式 MPLS 業(yè)務(wù)功能，適合在城域網(wǎng)邊緣作為高性價(jià) PE 設(shè)備使用；通過(guò)配置 EA 類板卡，可以提供分布式線速的 MPLS 業(yè)務(wù)功能，適合在城域網(wǎng)匯聚層作為高性能的PE 使用。IPv6 網(wǎng)絡(luò)的最佳選擇H3C S7500E 所有 SalienceVI 引

22、擎都可以提供集中式IPv6 功能， H3CS7500E 針對(duì) IPv4/IPv6 高性能的要求還開(kāi)發(fā)了分布式IPv4/IPv6 轉(zhuǎn)發(fā)的 SC 板卡，在整機(jī)滿配置狀態(tài)下實(shí)現(xiàn)線速無(wú)收斂，為高校用戶提供了高性能低成本的雙棧匯聚核心設(shè)備，同時(shí)也滿足其他行業(yè)用戶IPv6 Ready的需求。、全方位的安全保障，抵御多種網(wǎng)絡(luò)安全威脅三平面安全保障機(jī)制H3C S7500E 提供完善的安全防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置協(xié)議報(bào)文攻擊識(shí)別模塊，防止 TCN 、ARP等協(xié)議報(bào)文攻擊， OSPF/BGP/IS-IS 路由協(xié)議采用 MD5 驗(yàn)證，防止非法路由更新報(bào)文導(dǎo)致的網(wǎng)絡(luò)癱瘓

23、；在管理平面， SNMPv3 網(wǎng)管協(xié)議， SSH V2，基于 802.1x 、第12頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案AAA/Radius 的用戶身份認(rèn)證以及分級(jí)的用戶權(quán)限管理保證了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持 IP、 VLAN 、 MAC 和端口等多種組合精細(xì)綁定；支持 uRPF 單播反向路徑轉(zhuǎn)發(fā)， 防止非法流量訪問(wèn)網(wǎng)絡(luò)， 采用最長(zhǎng)匹配逐包轉(zhuǎn)發(fā)機(jī)制，有效抵御病毒的攻擊。有線無(wú)線全面支持EADH3C S7500E 是 EAD 端點(diǎn)準(zhǔn)入防御解決方案的重要組成部分，S7500E 可以動(dòng)態(tài)的接收來(lái)自安全策略服務(wù)器的控制策略，根據(jù)終端的安全狀態(tài)給予下發(fā)相應(yīng)的訪問(wèn)權(quán)限。 H3C S7500E 既支持有

24、線終端用戶的EAD ，也支持無(wú)線終端用戶的EAD ，能夠做到終端安全防范無(wú)漏洞。增強(qiáng)的 ACL 特性H3C S7500E 系列產(chǎn)品支持強(qiáng)大的 ACL 能力：支持標(biāo)準(zhǔn)和擴(kuò)展 ACL ；支持基于 VLAN 的 ACL ，方便用戶配置，節(jié)省 ACL 資源；支持出方向和入方向的ACL ，每板最大可支持9K 條 ACL ，滿足金融等行業(yè)訪問(wèn)權(quán)限嚴(yán)格控制的需求。、電信級(jí)的高可靠性，保障用戶業(yè)務(wù)長(zhǎng)期穩(wěn)定運(yùn)行電信級(jí)高可靠性設(shè)計(jì)H3C S7500E 采用無(wú)單點(diǎn)故障設(shè)計(jì)，所有關(guān)鍵部件，如主控板、交換網(wǎng)、電源和風(fēng)扇等采用冗余設(shè)計(jì)； 無(wú)源背板避免了機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板和電源模塊支持熱插拔功能； H3C S750

25、0E 系列可以在惡劣的環(huán)境下長(zhǎng)時(shí)間穩(wěn)定運(yùn)行，達(dá)到 99.999 的電信級(jí)可靠性。多業(yè)務(wù)高可靠性運(yùn)行H3C S7500E 支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級(jí)的切換時(shí)間；支持等價(jià)路由，可幫助用戶建立多條等值路徑，實(shí)現(xiàn)流量的負(fù)載均衡及冗余備份；支持RRPP 快速環(huán)網(wǎng)保護(hù)協(xié)議，提供小于 200ms 的環(huán)網(wǎng)故障保護(hù)；支持 Smart-Link 協(xié)議，保證雙上行網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)毫秒級(jí)快速切換。 通過(guò)上述技術(shù)， H3C S7500E 可以在承載多業(yè)務(wù)的情況下不間斷運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)的永續(xù)。支持熱補(bǔ)丁技術(shù)H3C S7500E 能夠在不重啟設(shè)備的前提下，通過(guò)熱補(bǔ)丁技術(shù)，在線修改軟件第13頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方

26、案BUG ，增加新的業(yè)務(wù)特性。 H3C S7500E 提供控制補(bǔ)丁單元狀態(tài)切換的用戶命令，使用戶能夠方便的加載、 激活、去激活、運(yùn)行或刪除補(bǔ)丁單元。 通過(guò)熱補(bǔ)丁技術(shù)，降低了設(shè)備需要重啟的次數(shù)，為客戶提供更長(zhǎng)的網(wǎng)絡(luò)正常工作時(shí)間。3.3.2 數(shù)據(jù)中心設(shè)計(jì)為實(shí)現(xiàn)對(duì)校園網(wǎng)服務(wù)器統(tǒng)一管理和控制，同時(shí)考慮到擴(kuò)展性， 服務(wù)器的接入獨(dú)立配置交換機(jī)實(shí)現(xiàn)， 為保證服務(wù)器接入的高可用性，配置 2 臺(tái)全千兆三層路由交換機(jī)，數(shù)據(jù)中心交換機(jī)通過(guò)VRRP 協(xié)議實(shí)現(xiàn)互為熱備和負(fù)載分擔(dān)。在選用的數(shù)據(jù)中心交換機(jī)時(shí)，我們充分考慮到應(yīng)具備以下功能和特性：在可靠性方面， 數(shù)據(jù)中心交換機(jī)支持VRRP 熱備份協(xié)議，為服務(wù)器提供可靠的接入。

27、在性能方面， 數(shù)據(jù)中心交換機(jī)所有端口線速轉(zhuǎn)發(fā)，保障圖書(shū)館多種業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，數(shù)據(jù)中心交換機(jī)支持豐富的QoS 特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6，可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò)。在安全性方面，數(shù)據(jù)中心交換機(jī)具有安全機(jī)制保障所承載業(yè)務(wù)的安全。在可擴(kuò)展性方面， 數(shù)據(jù)中心交換機(jī)應(yīng)采用模塊化設(shè)備，支持高密度、高帶寬接口，在業(yè)務(wù)系統(tǒng)不斷增長(zhǎng)時(shí)，可通過(guò)增加業(yè)務(wù)模塊來(lái)滿足服務(wù)器接入需求。基于上述因素，我們建議數(shù)據(jù)中心交換機(jī)采用H3C S7502E 高端交換機(jī)。S7510E 具有 4 個(gè)槽位，其中 2 個(gè)為業(yè)務(wù)模塊插槽， 并支持豐富的接口模塊，如萬(wàn)兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡(luò)規(guī)模實(shí)

28、現(xiàn)在線擴(kuò)展。S7502E 具有高轉(zhuǎn)發(fā)性能，整機(jī)具有192Gbps交換容量、 143Mpps轉(zhuǎn)發(fā)性能，同時(shí)， S7502E 采用全分布式轉(zhuǎn)發(fā)，并采用最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的處理機(jī)制，保證業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7502E 中配置的所有接口均可實(shí)現(xiàn)線速轉(zhuǎn)發(fā)。第14頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案3.3.3 匯聚層設(shè)計(jì)匯聚來(lái)自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。選用的匯聚交換機(jī)應(yīng)具備以下功能和特性：在可靠性方面， 匯聚交換機(jī)支持路由協(xié)議平滑重啟，支持 RSTP、MSTP生成樹(shù)協(xié)議，支持 2 層的快速切換，確保與核心交換機(jī)

29、組網(wǎng)的可靠性，在性能方面， 匯聚交換機(jī)所有端口線速轉(zhuǎn)發(fā)，包括萬(wàn)兆接口，保障多種業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，匯聚交換機(jī)支持豐富的QoS 特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6，可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò)。在安全性方面，匯聚交換機(jī)具有安全機(jī)制保障所承載業(yè)務(wù)的安全?；谝陨弦螅覀兘ㄗh匯聚交換機(jī)選用H3C的 S5500EI， S5500 EI系列交換機(jī)具有以下特點(diǎn)：1、高擴(kuò)展性保護(hù)投資隨著用戶端速度不斷提高， 用戶最終會(huì)使集群千兆鏈路達(dá)到飽和，而能夠擁有多條集群 10GE 鏈路將是我們的未來(lái)發(fā)展方向。H3C S5500-EI 系列交換機(jī)支持兩個(gè)擴(kuò)展槽位， 每個(gè)槽位支持單端口或雙端口的10

30、GE 擴(kuò)展模塊，在實(shí)現(xiàn)千兆匯聚或接入時(shí)保留進(jìn)一步支持10GE 的擴(kuò)展能力，盡力保護(hù)用戶投資。IPv4 到 IPv6 的演變是以太網(wǎng)發(fā)展的大勢(shì)所趨， 網(wǎng)絡(luò)設(shè)備對(duì)于IPv6 的支持不僅是簡(jiǎn)單的可用就行， 而是需要達(dá)到商用的標(biāo)準(zhǔn)， S5500-EI 已經(jīng)通過(guò)了國(guó)際最權(quán)威的 IPv6 Ready第二階段認(rèn)證， 而且通過(guò)了信息產(chǎn)業(yè)部嚴(yán)格的IPv6 入網(wǎng)測(cè)試。這個(gè)系列產(chǎn)品是基于硬件的IPv4/IPv6 雙棧平臺(tái)，支持豐富的IPv4 和 IPv6 三層第15頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案路由協(xié)議、組播協(xié)議和策略路由機(jī)制，實(shí)現(xiàn)IPv4 到 IPv6 的平滑升級(jí)。2、完備的安全控制策略H3C S5500-EI

31、系列交換機(jī)支持EAD （端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、 補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、 蠕蟲(chóng)等新興安全威脅的整體防御能力。H3C S5500-EI 交換機(jī)支持集中式MAC 地址認(rèn)證、 802.1x 認(rèn)證、 PORTAL認(rèn)證，支持用戶帳號(hào)、 IP、MAC 、VLAN 、端口等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略（VLAN 、QoS 、ACL ）的動(dòng)態(tài)下發(fā)；支持配

32、合H3C 公司的 CAMS 系統(tǒng)對(duì)在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。H3C S5500-EI 系列交換機(jī)提供增強(qiáng)的ACL 控制邏輯，支持超大容量的入端口和出端口 ACL ，并且支持基于 VLAN 的 ACL 下發(fā)，在簡(jiǎn)化用戶配置過(guò)程的同時(shí)，避免了 ACL 資源的浪費(fèi)。另外， S5500-EI 系列還將支持單播反向路徑查找技術(shù)（ uRPF），原理是當(dāng)設(shè)備的一個(gè)接口上收到一個(gè)數(shù)據(jù)包時(shí)，會(huì)反向查找路徑來(lái)驗(yàn)證是否存在從該接收接口到包中制定的源地址之間的路由，即驗(yàn)證了其真實(shí)性，如果不存在就將數(shù)據(jù)包刪除， 這樣我們就可以有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺騙。 7VM 海岸線網(wǎng)絡(luò)安全資訊站

33、3、多重可靠性保護(hù)S5500-EI 系列交換機(jī)還具備設(shè)備級(jí)和鏈路級(jí)的多重可靠性保護(hù)。所有機(jī)型都支持內(nèi)置的雙冗余電源，其中S5500-28F-EI 支持可插拔的冗余電源模塊，也就第16頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案是說(shuō)我們可以根據(jù)實(shí)際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機(jī)還支持電源和風(fēng)扇的故障檢測(cè)及告警，可以根據(jù)溫度的變化自動(dòng)調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速，這些設(shè)計(jì)使我們這款盒式交換機(jī)具備了機(jī)柜式交換機(jī)的高可靠性。除了設(shè)備級(jí)可靠性以外， 還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術(shù)， 比如華三通信獨(dú)創(chuàng)的RRPP快速環(huán)網(wǎng)保護(hù)機(jī)制。 當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時(shí)候也不影響網(wǎng)絡(luò)的收斂時(shí)間，保證業(yè)務(wù)

34、的正常開(kāi)展。4、多業(yè)務(wù)支持能力支持 PoE（ Power over Ethernet）技術(shù)，通過(guò)以太網(wǎng)對(duì)所連接的設(shè)備（如IP Phone, WirelessAP 等）進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場(chǎng)為設(shè)備部署單獨(dú)的電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和管理成本。支持VoiceVLAN技術(shù)，交換機(jī)通過(guò)識(shí)別端口的語(yǔ)音流，將對(duì)應(yīng)的接入端口加入Voice VLAN（專用語(yǔ)音 VLAN ）中，為語(yǔ)音流量提供專門通道，并自動(dòng)下發(fā)優(yōu)先級(jí)規(guī)則保證語(yǔ)音流的優(yōu)先傳輸來(lái)保證通話質(zhì)量。同時(shí)通過(guò)設(shè)置VoiceVLAN安全特性，只允許語(yǔ)音流量通過(guò)，可以有效防止突發(fā)數(shù)據(jù)流量對(duì)VoiceVLAN內(nèi)的語(yǔ)音流量的沖擊。

35、H3C S5500-EI 系列交換機(jī)支持MCE 功能，可以有效解決多VPN 網(wǎng)絡(luò)帶來(lái)的用戶數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用 CE 設(shè)備本身的 VLAN 接口編號(hào)與網(wǎng)絡(luò)內(nèi)的VPN 進(jìn)行綁定，并為每個(gè)VPN創(chuàng)建和維護(hù)獨(dú)立的路由轉(zhuǎn)發(fā)表（ Multi-VRF ）。這樣不但能夠隔離私網(wǎng)內(nèi)不同VPN 的報(bào)文轉(zhuǎn)發(fā)路徑，而且通過(guò)與 PE 間的配合，也能夠?qū)⒚總€(gè) VPN 的路由正確發(fā)布至對(duì)端 PE，保證 VPN 報(bào)文在公網(wǎng)內(nèi)的傳輸。5、豐富的 QoS 策略第17頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案H3C S5500-EI 系列交換機(jī)支持支持L2（ Layer 2 ）L4（ Layer 4 ）包過(guò)濾功能，提供基于源

36、 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、TCP/UDP端口號(hào)、協(xié)議類型、 VLAN 的流分類。提供靈活的對(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP（ StrictPriority ）、WRR（ WeightedRoundRobin ）、SP+WRR三種模式。支持CAR （Committed Access Rate）功能，粒度最小達(dá) 64Kbps 。支持出、入兩個(gè)方向的端口鏡像，用于對(duì)指定端口上的報(bào)文進(jìn)行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進(jìn)行網(wǎng)絡(luò)檢測(cè)和故障排除。6、出色的管理性H3CS5500-EI 系 列 交 換 機(jī) 支 持SNMPv1/v2/v

37、3（ SimpleNetworkManagement Protocol），可支持 Open View等通用網(wǎng)管平臺(tái)以及iMC 智能管理中心。支持CLI 命令行， Web 網(wǎng)管， TELNET，HGMP 集群管理，使設(shè)備管理更方便，并且支持SSH2.0 等加密方式，使得管理更加安全。H3C S5500-EI 系列交換機(jī)支持基于MAC 地址劃分 VLAN ，很好的解決了移動(dòng)辦公的智能靈活管理；結(jié)合特有的基于全局和VLAN 下發(fā) ACL 策略，在簡(jiǎn)化用戶配置的同時(shí)，也大幅節(jié)約了硬件資源。該系列交換機(jī)還支持sFlow 功能，可以對(duì)出入方向的報(bào)文按比例隨機(jī)抽樣，靈活實(shí)現(xiàn)報(bào)文采集。3.3.4 網(wǎng)絡(luò)出口設(shè)計(jì)

38、網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外界網(wǎng)絡(luò)互聯(lián)，出口網(wǎng)絡(luò)應(yīng)具有一定的可靠性，提供網(wǎng)絡(luò)安全防護(hù)能力， 并對(duì)出口帶寬進(jìn)行有效的分配和控制，同時(shí)加強(qiáng)對(duì)用戶行為進(jìn)行監(jiān)管。網(wǎng)絡(luò)出口配置1 臺(tái)高端路由器，路由器實(shí)現(xiàn)外部網(wǎng)絡(luò)互聯(lián)，并提供NAT 功第18頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案能，配置 1 臺(tái)應(yīng)用控制網(wǎng)關(guān)， 實(shí)現(xiàn)對(duì)出口帶寬的靈活調(diào)配，并實(shí)現(xiàn)對(duì)用戶行為進(jìn)行審計(jì)和監(jiān)管。并通過(guò)核心交換機(jī)的防火墻模塊實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)區(qū)域的隔離和訪問(wèn)控制。網(wǎng)絡(luò)出口路由器應(yīng)具備以下功能和特性：在可靠性方面，路由器應(yīng)支持電源、處理系統(tǒng)的冗余備份。在性能方面，路由器應(yīng)提供高性能轉(zhuǎn)發(fā)，并具有優(yōu)越的NAT 處理能力。在業(yè)務(wù)特性方面，路由器支持豐富的QoS

39、特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò)。在安全性方面，路由器有安全機(jī)制保障所承載業(yè)務(wù)的安全。基于上述因素，我們建議出口路由器采用H3C SR6604 高端路由器。應(yīng) 用 控 制 網(wǎng) 關(guān) 選 用H3CSecPathACG（ ApplicationControlGateway），H3C ACG是業(yè)界識(shí)別最全面、 控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對(duì)網(wǎng)絡(luò)中的P2P/IM 帶寬濫用、“地下” VoIP 、“一拖 N”、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問(wèn)等行為進(jìn)行精細(xì)化識(shí)別和控制；同時(shí)，可對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的事后審計(jì)，并具有強(qiáng)大的URL

40、 過(guò)濾功能，進(jìn)而幫助用戶優(yōu)化其網(wǎng)絡(luò)資源，全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢(shì)，開(kāi)展各項(xiàng)業(yè)務(wù)提供有力的支撐。H3C ACG具有以下優(yōu)點(diǎn)：強(qiáng)大的 P2P/IM 業(yè)務(wù)監(jiān)控通過(guò) H3C長(zhǎng)期積累的狀態(tài)機(jī)檢測(cè)技術(shù)，能精確檢測(cè)Thunder （迅雷）、BitTorrent 、eMule （電騾）、eDonkey （電驢）、QQ 、MSN 、PPLive 等近百種P2P/IM 應(yīng)用。同時(shí)，可基于時(shí)間、用戶、區(qū)域、應(yīng)用協(xié)議等，對(duì)P2P/IM 應(yīng)用進(jìn)行告警、限流、干擾或阻斷。第19頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案完善的安全審計(jì)系統(tǒng)可對(duì)各種 P2P/IM 、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀鞣N上網(wǎng)行為提

41、供全方面的行為監(jiān)控和記錄；同時(shí)，通過(guò)綜合分析、檢測(cè)用戶網(wǎng)絡(luò)流量與流向趨勢(shì)， 事后對(duì)歷史數(shù)據(jù)進(jìn)行分析， 為用戶提供細(xì)粒度的網(wǎng)絡(luò)行為審計(jì)管理系統(tǒng)。強(qiáng)大的過(guò)濾功能通過(guò)自定義 IP 地址、主機(jī)名、正則表達(dá)式等方式設(shè)置URL 特征庫(kù)，支持根據(jù)不同的 URL 策略設(shè)置不同的響應(yīng)方式，支持根據(jù)時(shí)間表對(duì)不同的URL 策略設(shè)置不同的響應(yīng)動(dòng)作，避免保密信息的外泄，免受非法信息的干擾， 確保網(wǎng)絡(luò)的健康使用。豐富的報(bào)表提供業(yè)務(wù)流量趨勢(shì)圖、 流量分布圖、 Top N 用戶列表、 Top N 應(yīng)用協(xié)議列表等報(bào)表，并支持按照用戶名/ 用戶組、使用頻度、使用時(shí)段、應(yīng)用分類、應(yīng)用協(xié)議、流量大小等進(jìn)行多維度組合定制報(bào)表，使用戶能

42、全面掌握網(wǎng)絡(luò)中的流量、應(yīng)用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制定流量控制策略提供依據(jù)。全面地識(shí)別“地下” VoIP支持對(duì) Skype 、H.323 、SIP、中橋、 UUCall 等近百種協(xié)議或網(wǎng)關(guān)的呼叫識(shí)別、阻斷或干擾。目前，H3C 是唯一能實(shí)現(xiàn)對(duì)Skype 在 PC-PC 、 PC-Phone兩種通信模式進(jìn)行實(shí)時(shí)有效控制的廠商。領(lǐng)先的“一拖 N”清理技術(shù)采用業(yè)界流行的ID 軌跡檢測(cè)技術(shù)、時(shí)鐘偏移檢測(cè)技術(shù)，結(jié)合多種應(yīng)用層特征檢測(cè)技術(shù)如應(yīng)用特征檢測(cè)、流量/ 連接數(shù)統(tǒng)計(jì)、 TTL檢測(cè)、 MAC 地址檢測(cè)等，第20頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案能實(shí)時(shí)準(zhǔn)確的識(shí)別出以NAT、Proxy 方式進(jìn)行共享接入的用

43、戶以及準(zhǔn)確的PC 數(shù)量，并實(shí)施告警、阻斷等控制措施。用戶行為分析采用先進(jìn)的技術(shù)分析手段，全面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢(shì)，統(tǒng)計(jì)網(wǎng)絡(luò)熱點(diǎn)，發(fā)掘業(yè)務(wù)增長(zhǎng)點(diǎn)；分析用戶行為，統(tǒng)計(jì)用戶興趣，為個(gè)性化運(yùn)營(yíng)提供依據(jù)，并通過(guò)開(kāi)放的平臺(tái)接口， 與第三方業(yè)務(wù)平臺(tái)對(duì)接， 提供高附加值業(yè)務(wù)，如在用戶行為興趣分析的基礎(chǔ)上提供定向WEB 廣告服務(wù)。高性能、高可靠性基于新一代多核CPU 多核架構(gòu)及分布式搜索引擎，同時(shí)配合高容量的交換背板，確保 SecPathACG在各種大流量、復(fù)雜應(yīng)用的環(huán)境下，仍能具備千兆級(jí)線速業(yè)務(wù)處理能力，僅有微秒級(jí)時(shí)延。通過(guò)掉電保護(hù)（ PFC）、二層回退等高可靠性設(shè)計(jì)，確保SecPath AC

44、G在斷電、軟硬件故障或鏈路故障的情況下，網(wǎng)絡(luò)鏈路仍然暢通， 保證用戶業(yè)務(wù)的不間斷正常運(yùn)行。及時(shí)的特征庫(kù)更新H3C 專業(yè)安全團(tuán)隊(duì)密切跟蹤應(yīng)用變化，并對(duì)應(yīng)用協(xié)議特征庫(kù)及時(shí)更新；支持在線自動(dòng) / 手動(dòng)升級(jí)方式，升級(jí)過(guò)程無(wú)需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運(yùn)行。3.3.5 接入層設(shè)計(jì)接入層實(shí)現(xiàn)各終端電腦的高速接入，根據(jù)各業(yè)務(wù)系統(tǒng)的分布，可采用千兆到桌面以及百兆到桌面兩種方案。對(duì)于辦公大樓、圖書(shū)館、實(shí)驗(yàn)室等對(duì)網(wǎng)絡(luò)帶寬要求較高的,建議采用千兆到桌第21頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案面的解決方案。對(duì)于教學(xué)樓、宿舍區(qū)的接入可采用10/100M到終端的解決方案。接入層交換機(jī)應(yīng)具有豐富的安全特性，配合用戶認(rèn)證系統(tǒng)實(shí)現(xiàn)對(duì)接

45、入用戶的認(rèn)證計(jì)費(fèi)，同時(shí)，交換機(jī)還應(yīng)具有防偽DHCP Server 的接入，對(duì)終端 ARP 各種形式攻擊的防護(hù)。接入層交換機(jī)，我們建議千兆交換機(jī)選用H3C S5100 系列交換機(jī)，百兆到桌面選用 H3C 為教育行業(yè)用戶專門研發(fā)的E 系列交換機(jī)。選用的 S5100EI 系列交換機(jī)具有以下特點(diǎn)：1、靈活的千兆接入和集群管理H3C S5100-EI 系列千兆以太網(wǎng)交換機(jī)提供靈活的 16/24/48 個(gè) 10/100/1000M 自適應(yīng)電口接入密度； 并且支持復(fù)用的 SFP插槽，充分考慮用戶的帶寬升級(jí)的實(shí)際情況，既可以支持千兆光模塊，也可以支持百兆光模塊，保護(hù)用戶投資。其中 S5100C-EI 機(jī)型支持

46、最多 2 個(gè)可擴(kuò)展的萬(wàn)兆接口， 并且支持 40G帶寬的堆疊。該系列硬件支持最大136Gbps交換容量，保證所有端口線速交換。H3C S5100-EI 系列交換機(jī)采用專利技術(shù)允許交換機(jī)利用專用互聯(lián)電纜實(shí)現(xiàn)多達(dá) 16 臺(tái)設(shè)備的堆疊，支持不同端口設(shè)備的混合堆疊。具有即插即用、單一 IP 管理。同時(shí)大大降低系統(tǒng)擴(kuò)展的成本，保護(hù)了用戶投資。2、全面的接入安全策略H3C S5100-EI 系列交換機(jī)支持 EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、 補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、 訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使

47、整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、 變單點(diǎn)防御為全面防御、變分散管理為集中策略管理， 提升了網(wǎng)絡(luò)對(duì)病毒、 蠕蟲(chóng)等新興安全威脅的整體防御能力。H3C S5100-EI 系列交換機(jī)支持特有的 ARP 入侵檢測(cè)功能，可有效防止黑客或攻擊者通過(guò) ARP 報(bào)文實(shí)施網(wǎng)絡(luò)中逐漸盛行的 “中間人”攻擊，對(duì)不符合 DHCP第22頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案Snooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP 欺騙報(bào)文直接丟棄。同時(shí)支持 IP Source Check特性，防止包括 MAC 欺騙、 IP 欺騙、 MAC/IP欺騙在內(nèi)的非法地址仿冒， 以及大流量地址仿冒帶來(lái)的DoS 攻擊。另外，利用 DHCP

48、Snooping的信任端口特性還可以有效杜絕私設(shè)DHCP 服務(wù)器，保證 DHCP 環(huán)境的真實(shí)性和一致性。H3C S5100-EI 系列交換機(jī)支持端口安全特性族可以有效防范基于MAC 地址的攻擊?？梢詫?shí)現(xiàn)基于MAC 地址允許 / 限制流量，或者設(shè)定每個(gè)端口允許的MAC 地址的最大數(shù)量，使得某個(gè)特定端口上的MAC 地址可以由管理員靜態(tài)配置，或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)。H3C S5100-EI 系列交換機(jī)有強(qiáng)大硬件 ACL 能力，能深度識(shí)別報(bào)文，支持 L2L4 包過(guò)濾功能，提供基于源 MAC 地址、目的 MAC 、源 IP 地址、目的 IP地址、 IP 協(xié)議類型、物理端口、 VLAN 、等定義 ACL ，

49、以便交換機(jī)進(jìn)行后續(xù)的處理。并且支持基于全局、 VLAN 、端口（組）的 ACL 下發(fā)，有效簡(jiǎn)化配置過(guò)程并節(jié)約硬件資源。H3C S5100-EI 系列交換機(jī)提供 802.1X 和集中 MAC 認(rèn)證方式對(duì)接入的用戶進(jìn)行認(rèn)證，允許合法用戶通過(guò)， 對(duì)于非法用戶則拒絕其上網(wǎng)。 同時(shí)還支持客戶端軟件版本檢測(cè)、 Guest VLAN 等功能，和 CAMS 服務(wù)器配合還可以實(shí)現(xiàn)代理檢測(cè)、雙網(wǎng)卡檢測(cè)等功能。 通過(guò)這些功能的應(yīng)用可以對(duì)用戶的合法性進(jìn)行充分的檢查和控制，最大程度的減少非法用戶對(duì)網(wǎng)絡(luò)安全的危害。2、完善的 QoS 保障H3C S5100-EI 系列以太網(wǎng)交換機(jī)提供基于Diffserv 和 802.1P

50、 的 QoS 特性，可以對(duì)報(bào)文的 802.1P 和 DSCP 域優(yōu)先級(jí)進(jìn)行修改等操作，并映射到每端口提供的 8 個(gè) COS 隊(duì)列，隊(duì)列調(diào)度提供了三種各具特色的隊(duì)列調(diào)度算法，嚴(yán)格優(yōu)先級(jí)（ SP）和整形加權(quán)輪循（ SDWRR）調(diào)度算法以及 SP+SDWRR組合調(diào)度算法。H3C S5100-EI 系列以太網(wǎng)交換機(jī)支持流量監(jiān)管和帶寬粒度控制，流量限速的最小粒度為 1Kbit/s ，確保為進(jìn)入交換機(jī)的特定業(yè)務(wù)提供帶寬保證，即使在網(wǎng)第23頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案絡(luò)擁塞時(shí)，也能滿足一定的丟包、時(shí)延及時(shí)延抖動(dòng)等 QoS 需求。支持流量整形保證以太網(wǎng)交換機(jī)可以對(duì)輸出報(bào)文速率進(jìn)行控制。支持基于流的報(bào)文重定向

51、。3、增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3C S5100-EI 系列交換機(jī)支持通過(guò)FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持SNMP v1/v2/v3，可支持 Open View等通用網(wǎng)管平臺(tái)，以及iMC 智能管理中心。支持 CLI 命令行， Web 網(wǎng)管，TELNET，HGMP 集群管理，使設(shè)備管理更方便。并且支持 SSH2.0 等加密方式，使得管理更加安全。傳統(tǒng)交換機(jī)對(duì)端口的鏡像功能都是基于本地實(shí)現(xiàn)，鏡像數(shù)據(jù)流無(wú)法穿越網(wǎng)絡(luò)在核心實(shí)現(xiàn)統(tǒng)一采集、監(jiān)控和分析；H3C S5100-EI 支持跨交換機(jī)的遠(yuǎn)程端口鏡像功能（ RSPAN），可以將接入端口的流量鏡像到核心交換機(jī)上，在核心上啟動(dòng)網(wǎng)流分析（ Net

52、stream）功能，對(duì)監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。H3C S5100-EI 系列交換機(jī)支持VCT （Virtual Cable Test）電纜檢測(cè)功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持DLDP（ Device Link Detection Protocol）單向鏈路檢測(cè)協(xié)議， 可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給用戶。H3C E 系列交換機(jī)具有以下特點(diǎn)：全面的接入安全策略H3C E126A/E152教育網(wǎng)交換機(jī)支持特有的ARP 入侵檢測(cè)功能， 可有效防止黑客或攻擊者通過(guò)ARP 報(bào)文實(shí)施校園網(wǎng)常見(jiàn)的“中間人”攻擊，對(duì)不符合DHC

53、P Snooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP 欺騙報(bào)文直接丟棄。同時(shí)支持 IP Source Check特性，防止包括 MAC 欺騙、IP 欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來(lái)的DoS 攻擊。另外，利用DHCP Snooping的信任端口特性還可以有效杜絕學(xué)生私設(shè)DHCP 服務(wù)器，保證 DHCP 環(huán)境的真實(shí)性和一致性。E126A/E152 教育網(wǎng)交換機(jī)支持端口安全特性族， 可以有效防范基于 MAC 地址的攻擊。可以實(shí)現(xiàn)基于 MAC 地址允許 / 限制流量，或者設(shè)定每個(gè)端口允許第24頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案的 MAC 地址的最大數(shù)量， 使得某

54、個(gè)特定端口上的 MAC 地址可以由管理員靜態(tài)配置，或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)。E126A/E152 教育網(wǎng)交換機(jī)有強(qiáng)大硬件 ACL 能力，能深度識(shí)別報(bào)文，支持L2L4 包過(guò)濾功能，提供基于源MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、 IP 協(xié)議類型、 TCP/UDP 端口、 TCP/UDP 端口范圍、 VLAN 、VLAN范圍等定義 ACL ，以便交換機(jī)進(jìn)行后續(xù)的處理。E126A/E152 教育網(wǎng)交換機(jī)支持集中式 MAC 地址認(rèn)證和 802.1x 認(rèn)證，支持用戶帳號(hào)、 IP、MAC 、VLAN 、端口等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略 （VLAN 、QoS 、

55、ACL ）的動(dòng)態(tài)下發(fā)； 支持配合 H3C 公司的 CAMS 系統(tǒng)對(duì)在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。支持對(duì)Proxy 進(jìn)行有效的管理。增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3C E126A/E152 教育網(wǎng)交換機(jī)支持通過(guò) FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持 SNMP v1/v2/v3 ，可支持 Open View 等通用網(wǎng)管平臺(tái)，以及 iMC 智能管理中心。支持 CLI 命令行， Web 網(wǎng)管， Telnet ，HGMP 集群管理，使設(shè)備管理更方便。E126A/E152 教育網(wǎng)交換機(jī)支持跨交換機(jī)的遠(yuǎn)程端口鏡像 RSPAN，可以將接入端口的流量鏡像到核心交換機(jī)上， 可以對(duì)全網(wǎng)業(yè)

56、務(wù)和流量進(jìn)行監(jiān)控、 優(yōu)化部署和惡意攻擊監(jiān)控，滿足校園網(wǎng)精細(xì)化管理的需要。E126A/E152 教育網(wǎng)交換機(jī)支持VCT（Virtual Cable Test）電纜檢測(cè)功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持DLDP（ Device Link Detection Protocol）單向鏈路檢測(cè)協(xié)議， 可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給用戶。高性能與靈活擴(kuò)展能力H3C E126A/E152教育網(wǎng)交換機(jī)具有19.2G 的背板交換容量，支持所有端口線速轉(zhuǎn)發(fā)，滿足了教育用戶對(duì)高帶寬的需求。設(shè)備支持2/4 個(gè) GE 上行，采用第25頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案固定

57、電口和通用 SFP的靈活千兆連接方式， 在降低用戶成本的同時(shí)， 更好的考慮了用戶后續(xù)升級(jí)的實(shí)際需求。E126A/E152 教育網(wǎng)交換機(jī)采用專利技術(shù)允許交換機(jī)利用專用互聯(lián)電纜實(shí)現(xiàn)多達(dá) 16 臺(tái)設(shè)備的堆疊，最大擴(kuò)展至 768 個(gè) 10/100M 端口，支持 E126A 和 E152 混合堆疊。具有即插即用、單一 IP 管理。同時(shí)大大降低系統(tǒng)擴(kuò)展的成本，保護(hù)了用戶投資。豐富的業(yè)務(wù)支持能力H3C E126A/E152教育網(wǎng)交換機(jī)支持SP（Strict Priority ）、WRR（WeightedRound Robin）、SP+WRR三種隊(duì)列調(diào)度算法，支持每個(gè)端口4/8 個(gè)輸出隊(duì)列，可以以不同的優(yōu)先級(jí)

58、將報(bào)文放入端口的輸出隊(duì)列。E126A/E152 教育網(wǎng)交換機(jī)支持端口限速功能，限速粒度可達(dá)64Kbps ，防止惡意侵占網(wǎng)絡(luò)帶寬，也為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。E126A/E152 教育網(wǎng)交換機(jī)支持 IPv6 host ，包括 IPv6 單播地址配置， ICMPv6 ，IPv6 鄰居發(fā)現(xiàn)協(xié)議（ ND ）， IPv6-TCP， IPv6-TFTP，IPv6-TRACERT管理特性。3.3.6 無(wú)線網(wǎng)絡(luò)設(shè)計(jì)無(wú)線局域網(wǎng)技術(shù)經(jīng)過(guò)十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無(wú)線局域網(wǎng)主要是采用Fat AP （即“胖” AP），每一臺(tái) AP 都要單獨(dú)進(jìn)行配置，費(fèi)時(shí)、費(fèi)力、費(fèi)成本；第二代無(wú)線局域網(wǎng)

59、融入了無(wú)線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置，其管理性和安全性以及對(duì)有線網(wǎng)絡(luò)的依賴成為了第一代和第二代WLAN 產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù)的AP 儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙， Radiusclient的安全密碼(secret)等，而 AP 又是分散在建筑物中的各個(gè)位置，一旦 AP 的配置被盜取讀出并修改，其無(wú)線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。第26頁(yè), 共60頁(yè)校園網(wǎng)絡(luò)設(shè)計(jì)方案另外由于 AC 或無(wú)線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量 (IP sessions) 增多時(shí)，無(wú)線網(wǎng)的性能會(huì)急劇下降， 時(shí)常會(huì)發(fā)生掉線或死機(jī)情況。在這樣的環(huán)境下，基于無(wú)線交換機(jī)技

60、術(shù)的第三代 WLAN 產(chǎn)品應(yīng)運(yùn)而生。第三代無(wú)線局域網(wǎng)采用無(wú)線交換機(jī)和 FIT AP （即“瘦” AP ）的架構(gòu)，對(duì)傳統(tǒng) WLAN 設(shè)備的功能做了重新劃分，將密集型的無(wú)線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機(jī)中實(shí)現(xiàn)，同時(shí)加入了許多重要新功能，諸如無(wú)線網(wǎng)管、AP 間自適應(yīng)、無(wú)線安管、 RF 監(jiān)測(cè)、無(wú)縫漫游以及Qos 。，使得無(wú)線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。室內(nèi)無(wú)線覆蓋將使用大量無(wú)線接入點(diǎn)（AP ）提供無(wú)線網(wǎng)絡(luò)接入服務(wù)，必須有效實(shí)現(xiàn)多個(gè) AP 的統(tǒng)一策略部署和可靠的安全認(rèn)證機(jī)制，因此，采用 FIT AP 的解決方案，即采用無(wú)線控制器結(jié)合瘦AP 與無(wú)線網(wǎng)絡(luò)管理系統(tǒng)的