校園網(wǎng)技術(shù)方案

技術(shù)學(xué)院校園網(wǎng)設(shè)計方案

目錄前言 1第一章網(wǎng)絡(luò)建立方案 2一、網(wǎng)絡(luò)建立目標(biāo)及需求分析 2、網(wǎng)絡(luò)建立的目標(biāo) 2二、技術(shù)方案總體設(shè)計 3需求分析 3方案設(shè)計原則 4方案設(shè)計 4網(wǎng)絡(luò)設(shè)計說明 5效勞器局部設(shè)計 5三、技術(shù)方案詳細設(shè)計 7校園網(wǎng)VLAN設(shè)計 73.2IP地址規(guī)劃設(shè)計 8、校園網(wǎng)平安規(guī)劃設(shè)計 9第二章綜合布線方案 14一、工程概述 14二、系統(tǒng)功能設(shè)計 14需求分析 14詳細信息點分布情況見下表： 16第三章產(chǎn)品技術(shù)參數(shù) 17一、系列 17二、DCS-3600系列二層接入交換機 23三、多核平安網(wǎng)關(guān) 26第四章貨物分項報價表 30前言首先，我公司對于電力職業(yè)技術(shù)學(xué)院給予我們時機參加貴校數(shù)字化校園網(wǎng)絡(luò)建立工程的設(shè)計表示衷心與誠摯的謝意。我公司希望憑借豐富的行業(yè)知識，專業(yè)咨詢效勞和設(shè)計實施經(jīng)歷，及與多個類似工程成功的合作關(guān)系，能在此工程中為貴校提供專業(yè)的寬帶數(shù)據(jù)骨干網(wǎng)絡(luò)建立工程實施效勞，及完善的工程管理，以順利、平穩(wěn)、按期成功地完本錢工程，做出奉獻。校園網(wǎng)絡(luò)平臺作為學(xué)校的重要根底設(shè)施之一，作為學(xué)校信息化建立的支撐平臺，對學(xué)校的教學(xué)、科研和管理等方面將起著重要的作用。電力職業(yè)技術(shù)學(xué)院校園數(shù)據(jù)骨干網(wǎng)絡(luò)建立工程實施工程是一項復(fù)雜的工程，需要結(jié)合學(xué)校的現(xiàn)狀和未來開展的需要，學(xué)校內(nèi)部IT效勞對網(wǎng)絡(luò)的要求，以及網(wǎng)絡(luò)技術(shù)本身的開展趨勢等諸多方面的因素來共同考慮，并結(jié)合完善周密的工程企劃和實施，由電力職業(yè)技術(shù)學(xué)院各部門人員、我公司專業(yè)的網(wǎng)絡(luò)設(shè)計人員和學(xué)校工程組通力合作才可能成功地順利完本錢工程。其詳細的技術(shù)設(shè)計和實施方案須從對電力職業(yè)技術(shù)學(xué)院業(yè)務(wù)的實際情況和未來長期開展的需求進展詳細分析入手，包括對電力職業(yè)技術(shù)學(xué)院現(xiàn)有IT總體規(guī)劃，關(guān)鍵業(yè)務(wù)應(yīng)用的評估、分析及與業(yè)務(wù)運作相關(guān)需求的分析，因此其絕對不是一些空洞文件的堆積，而是一個融入我們雙方心血的復(fù)雜的工程。我公司將本著與電力職業(yè)技術(shù)學(xué)院友好合作關(guān)系的原則，在此參與本工程方案設(shè)計，其目的在于利用我公司豐富的網(wǎng)絡(luò)建立、規(guī)劃經(jīng)歷和先進的網(wǎng)絡(luò)設(shè)備，為電力職業(yè)技術(shù)學(xué)院提供一個整體解決方案，以通過我公司有力的專業(yè)效勞支持，協(xié)助電力職業(yè)技術(shù)學(xué)院實現(xiàn)寬帶數(shù)據(jù)網(wǎng)絡(luò)的建立。我們希望在本工程及今后的具體物理構(gòu)造設(shè)計與工程管理中，能夠與貴校展開更加密切的誠摯合作。第一章網(wǎng)絡(luò)建立方案一、網(wǎng)絡(luò)建立目標(biāo)及需求分析1.1、網(wǎng)絡(luò)建立的目標(biāo)以教育信息化促進教育現(xiàn)代化，用信息技術(shù)來改變傳統(tǒng)教育模式，這是教育開展的必然趨勢。近年來，我國的教育信息化開展十分迅速，中國教育科研網(wǎng)建立、現(xiàn)代遠程教育工程、中小學(xué)信息技術(shù)教育和“校校通〞工程、教育政務(wù)信息化工程先后啟動，校園網(wǎng)、教育城域網(wǎng)、省域網(wǎng)的建立進一步促進了我國教育信息化的建立進程。建立“數(shù)字化校園〞是當(dāng)前電力職業(yè)技術(shù)學(xué)院進展學(xué)校信息系統(tǒng)建立的最終目標(biāo)?！皵?shù)字化校園〞是以網(wǎng)絡(luò)為根底，利用信息化手段和工具，實現(xiàn)從環(huán)境〔包括設(shè)備、教室等〕、資源〔如圖書、講義、課件等〕，到活動〔包括教、學(xué)、管理、效勞、辦公等〕的全部數(shù)字化，在傳統(tǒng)校園的根底上，構(gòu)筑一個數(shù)字空間以拓展現(xiàn)實校園的時間和空間維度，從而提升傳統(tǒng)校園的效率，擴展傳統(tǒng)校園的功能。電力職業(yè)技術(shù)學(xué)院校園網(wǎng)是“數(shù)字化校園〞的傳輸平臺，一個可靠穩(wěn)定、高效平安的網(wǎng)絡(luò)是建立“數(shù)字化校園〞的堅實根底。隨著學(xué)校信息化的深度開展，學(xué)校的教學(xué)辦公和管理等活動將越來越依賴校園網(wǎng)。因此構(gòu)建一個高效、實用、穩(wěn)定可靠、平安的網(wǎng)絡(luò)平臺，是學(xué)校網(wǎng)絡(luò)建立考慮的重點。電力職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)建立近期目標(biāo)是利用各種先進成熟的網(wǎng)絡(luò)技術(shù)和通信技術(shù)，采用統(tǒng)一的網(wǎng)絡(luò)協(xié)議〔TCP/IP〕，建成一個具備實用性、可靠性、平安性、易管理、開放性、兼容性、可擴張、可增值性的校園網(wǎng)，實現(xiàn)學(xué)院所有教學(xué)、辦公、實習(xí)實訓(xùn)微機室、電子閱覽室等場所的微機直接接入校園網(wǎng)，保證網(wǎng)絡(luò)穩(wěn)定、暢通，為考試、教學(xué)、辦公及科研提供良好的網(wǎng)絡(luò)環(huán)境。校園網(wǎng)必須滿足以下幾個方面的應(yīng)用：上網(wǎng)信息瀏覽、文件傳輸、資源共享；辦公自動化系統(tǒng)、資產(chǎn)管理系統(tǒng)、現(xiàn)代教務(wù)管理、收費系統(tǒng)、考勤系統(tǒng)、校園一卡通等的應(yīng)用；電子圖書館、網(wǎng)上期刊閱讀等；校園播送和大屏幕顯示、查詢系統(tǒng)的應(yīng)用；多媒體教學(xué)及音視頻點播應(yīng)用；監(jiān)控、視頻會議及網(wǎng)上直播等應(yīng)用；二、技術(shù)方案總體設(shè)計電力職業(yè)技術(shù)學(xué)院校園網(wǎng)目前用戶總規(guī)模約為300用戶左右，用戶并發(fā)上網(wǎng)的數(shù)量預(yù)計為600～800規(guī)模，未來2～3年內(nèi)用戶總體規(guī)模將增加到2000用戶，在線用戶預(yù)計為1000～1500；根據(jù)對用戶現(xiàn)狀和將來學(xué)校的開展壯大預(yù)期，按學(xué)校要求所設(shè)計的網(wǎng)絡(luò)產(chǎn)品至少要滿足將來2－3年內(nèi)的升級空間；網(wǎng)絡(luò)方案在保證網(wǎng)絡(luò)骨干具有充分的可靠性及冗余性設(shè)計的根底上，進展網(wǎng)絡(luò)流量和負(fù)載的分擔(dān)，保證校園網(wǎng)的目前和將來的各種網(wǎng)絡(luò)應(yīng)用運行在可靠、高速、穩(wěn)定、平安的網(wǎng)絡(luò)根底平臺之上，充分發(fā)揮網(wǎng)絡(luò)根底平臺的高速公路職能,保證整個校園網(wǎng)系統(tǒng)正常運行。所采用的設(shè)備和技術(shù)應(yīng)屬世界、國內(nèi)主流產(chǎn)品，在相關(guān)計算機及網(wǎng)絡(luò)技術(shù)領(lǐng)域處于領(lǐng)先或領(lǐng)導(dǎo)地位，網(wǎng)絡(luò)系統(tǒng)應(yīng)具備開放性、先進性、多協(xié)議間的互聯(lián)性，兼顧現(xiàn)有系統(tǒng)資源的利用。設(shè)備及設(shè)計均進入成熟期，具有很大的通用性，應(yīng)有廣泛的實際應(yīng)用。設(shè)備技術(shù)應(yīng)具有良好的兼容性，以保證國內(nèi)外網(wǎng)絡(luò)設(shè)備和技術(shù)的兼容性和擴展性；采用TCP/IP網(wǎng)絡(luò)協(xié)議，UNIX或WindowsNT操作系統(tǒng)和Client/Server、Intranet體系構(gòu)造。計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)具有一定的容錯能力，保障在意外情況下不中斷用戶的正常工作。可靠性也是通過設(shè)備可靠性和技術(shù)措施兩個層次來解決。計算機網(wǎng)絡(luò)的可靠性將通過選擇能可靠運行的網(wǎng)絡(luò)構(gòu)造、選擇可靠的網(wǎng)絡(luò)和計算機硬件設(shè)備，以及選擇可靠的網(wǎng)絡(luò)操作系統(tǒng)和信息應(yīng)用系統(tǒng)來表達。通過一定的技術(shù)措施來保證網(wǎng)絡(luò)的可靠性。網(wǎng)絡(luò)系統(tǒng)要能夠靈活地擴大，一是能夠適應(yīng)網(wǎng)絡(luò)規(guī)模的擴大，再者是能夠適應(yīng)網(wǎng)絡(luò)應(yīng)用及其他應(yīng)用的提升對網(wǎng)絡(luò)系統(tǒng)性能的更高要求。具有良好擴大性的網(wǎng)絡(luò)系統(tǒng)能夠使用戶以較小的代價，擴大現(xiàn)有網(wǎng)絡(luò)設(shè)備的功能，為以后的開展提供系統(tǒng)的可擴展能力，防止用戶的投資浪費。本方案核心和接入交換機設(shè)計采用品牌的多層路由交換機。網(wǎng)絡(luò)拓?fù)鋱D：核心接入設(shè)計本方案中核心交換機采用萬兆核心路由交換機，放置在辦公樓一層。主要參數(shù)：4插槽核心路由交換機機箱，電源1＋1冗余，標(biāo)配1個MRS-PWR-A1-AC-B交流電源，1個熱插拔風(fēng)扇盤，配置增強系列管理模塊，含1口萬兆〔XFP〕＋24口千兆SFP接口＋12口10/100/1000Base-T(Combo)接口，基于ASIC的硬件線速IPv6。2〕接入網(wǎng)絡(luò)設(shè)計在本方案中接入交換機使用系列，實現(xiàn)用戶計算機的接入，通過千兆多模光口模塊與會聚相連，該系列交換機集成堆疊模塊，可方便擴展，滿足未來網(wǎng)絡(luò)需要。接入層交換機通過ACL、DHCPSnooping功能，保證在入網(wǎng)出即可防范蠕蟲病毒、ARP主機欺騙、網(wǎng)關(guān)欺騙、DHCPServer攻擊等病毒的發(fā)生。局部設(shè)計效勞器選型標(biāo)準(zhǔn)主機設(shè)備屬于世界主流產(chǎn)品，在計算機技術(shù)方面處于國際領(lǐng)導(dǎo)地位具有良好的開放性，可支持符合國際標(biāo)準(zhǔn)和工業(yè)事實標(biāo)準(zhǔn)的系統(tǒng)軟件具有較強的聯(lián)網(wǎng)能力，支持TCP/IP網(wǎng)絡(luò)協(xié)議具有較好的擴大能力，能以較低的擴大本錢根據(jù)需要進展處理能力和存儲容量的擴大可運行國際主流的數(shù)據(jù)庫管理系統(tǒng)支持UNIX或Windows操作系統(tǒng)效勞器選型系統(tǒng)的性能中心效勞器是大型計算機應(yīng)用系統(tǒng)的關(guān)鍵設(shè)備之一，根據(jù)業(yè)界公認(rèn)的標(biāo)準(zhǔn)，在以事務(wù)處理為主的計算機應(yīng)用系統(tǒng)中，選擇主機應(yīng)考慮CPU、內(nèi)存、緩存、系統(tǒng)總線、擴展槽、內(nèi)存帶寬、I/O子系統(tǒng)、操作系統(tǒng)、可靠性、單機系統(tǒng)監(jiān)控檢測、高可用性、群集和應(yīng)用。系統(tǒng)建立本錢系統(tǒng)建立本錢包括：系統(tǒng)設(shè)計本錢；系統(tǒng)軟、硬件設(shè)備本錢；系統(tǒng)安裝、調(diào)試、測試本錢；系統(tǒng)管理維護本錢、系統(tǒng)擴大升級本錢和技術(shù)培訓(xùn)費等。通常，用戶都較注重前三項本錢。而較無視系統(tǒng)的管理維護才、系統(tǒng)擴大升級本錢和技術(shù)培訓(xùn)本錢。因此，在選擇供給商時，可能會無視產(chǎn)品質(zhì)量、供給商的技術(shù)水平、效勞能力和效勞質(zhì)量等等。如假設(shè)選擇不當(dāng)，系統(tǒng)運行后出現(xiàn)這樣那樣的問題，不但會加大系統(tǒng)維護人員的負(fù)擔(dān)，更重要的是，系統(tǒng)問題將導(dǎo)致更大的經(jīng)濟損失。所以也應(yīng)強調(diào)系統(tǒng)的維護本錢。廠商的技術(shù)支持和效勞質(zhì)量產(chǎn)品質(zhì)量方面包括:可靠性、兼容性、部件的質(zhì)量、設(shè)計、效勞能力以及技術(shù)創(chuàng)新。產(chǎn)品功能方面包括:處理器性能、I/O性能、擴大性、擴展性、簡便易用性、產(chǎn)品的特點與選件、操作與應(yīng)用軟件的種類、系統(tǒng)管理軟件的功能、安裝的簡便性。產(chǎn)品可用性方面包括:已宣布產(chǎn)品的交付能力、公平的銷售渠道分配政策、足以滿足客戶需求的產(chǎn)品供給以及豐富的系列產(chǎn)品。OA效勞器Web和DNS效勞器需要處理大量的并發(fā)用戶連接，但是對于運算性能要求不高，考慮到大量的用戶訪問，推薦采用較大的內(nèi)存，采用RAID來保證操作系統(tǒng)和應(yīng)用數(shù)據(jù)的平安。采用曙光天闊I450-G系列效勞器：2顆INTEL5506四核主頻2.13HZ，4GBDDR31066/1333MHzRDIMM/UDIMM內(nèi)存；500G‘硬盤；RAID5技術(shù)；集成Intel雙千兆高性能網(wǎng)卡，支持網(wǎng)絡(luò)喚醒，網(wǎng)絡(luò)冗余，負(fù)載均衡等網(wǎng)絡(luò)特性；效勞器專用單電源，支持冗余電源；超薄DVD-RW光驅(qū)；贈送SuseEnterpriseServer10〔含正版授權(quán)〕三、技術(shù)方案詳細設(shè)計3.1校園網(wǎng)VLAN設(shè)計VLAN在邏輯上等價于播送域。更具體的說，我們可以將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理LAN上，但他們之間可以象在同一個LAN上那樣自由通信而不受物理位置的限制。在這里，網(wǎng)絡(luò)的定義和劃分與物理位置和物理連接是沒有任何必然聯(lián)系的。網(wǎng)絡(luò)管理員可以根據(jù)不同的需要，通過相應(yīng)的網(wǎng)絡(luò)軟件靈活的建立和配置虛擬網(wǎng)，并為每個虛擬網(wǎng)分配它所需要的帶寬。在電力職業(yè)技術(shù)學(xué)院校園網(wǎng)設(shè)計中，作為教學(xué)和辦公的核心網(wǎng)絡(luò)設(shè)備，根據(jù)具體需要劃分多個VLAN,其中ADMIN作為設(shè)備管理用VLAN.這樣可以對這些不同VLAN之間的通訊進展控制，這樣既可以節(jié)約本錢，又可以保障重要網(wǎng)段的平安，同時減少播送和沖突，提高系統(tǒng)的可用性。在接入層交換機與分布層交換機之間采用802.1Q作為VLAN的傳輸協(xié)議。根據(jù)許電力職業(yè)技術(shù)學(xué)院目前的應(yīng)用需求，在網(wǎng)絡(luò)實施前期按照需求，配置網(wǎng)絡(luò)的VLAN。將網(wǎng)絡(luò)劃分成辦公、多媒體教室、效勞區(qū)、網(wǎng)管區(qū)、教學(xué)區(qū)等幾個相對獨立的邏輯區(qū)域以方便用戶對各個區(qū)域?qū)嵤┎煌脑L問策略。。3.2IP地址規(guī)劃設(shè)計3.2.1IP地址規(guī)劃的原則IP地址規(guī)劃應(yīng)依據(jù)科學(xué)性、系統(tǒng)性、完整性及可擴展性原則，采用先進的網(wǎng)絡(luò)編碼技術(shù)，保證信息交換的效率和質(zhì)量，既要在相當(dāng)時期內(nèi)保持技術(shù)的先進性，同時也充分考慮現(xiàn)期工程的可實施性，為了更加便于記憶和管理，在電力職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)建立中，網(wǎng)絡(luò)IP地址規(guī)劃采用統(tǒng)一的IP地址分配方式，保證IP地址的唯一性。具體來說，IP地址規(guī)劃應(yīng)該遵循以下原則：可擴展性：IP地址的規(guī)劃與劃分應(yīng)該考慮到城域網(wǎng)的業(yè)務(wù)飛速開展，能夠滿足未來開展的需要；即要滿足本期工程對IP地址的需求，同時要充分考慮未來業(yè)務(wù)開展，預(yù)留相應(yīng)的地址段；唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機采用一樣的IP地址；簡單性：地址分配應(yīng)簡單、易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表的款項；靈活性：IP地址的分配需要有足夠的靈活性，能夠滿足用戶不同的聯(lián)網(wǎng)需要；連續(xù)性：連續(xù)地址在層次構(gòu)造網(wǎng)絡(luò)中易于進展路徑疊合，大大縮減路由表，提高路由算法的效率。高效性：IP地址的分配必須采用VLSM技術(shù)，充分合理利用已申請的地址空間，保證IP地址的利用效率，采用CIDR技術(shù)，減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中播送的路由信息的大小；3.2.2校園網(wǎng)內(nèi)部IP地址具體規(guī)劃對于校園網(wǎng)來說需要全局IP地址的情況有以下：1〕對互聯(lián)網(wǎng)提供信息效勞的效勞器，這些效勞器一般放置在防火墻的DMZ區(qū)；2〕內(nèi)局部配私有IP地址的網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)時，需要全局IP地址做NAT；3〕內(nèi)部網(wǎng)絡(luò)中對全局IP地址有特定需求的網(wǎng)段，比方學(xué)生經(jīng)常會玩一些網(wǎng)絡(luò)游戲，一些特定的網(wǎng)絡(luò)游戲一定要求全局的IP地址，NAT能夠兼容常見的應(yīng)用，但對許多特殊的應(yīng)用是不兼容。跟CERNET和ChinaNet的互聯(lián)地址有ISP另外分配。3.2.3NAT的全局地址在互聯(lián)網(wǎng)出口，都需要分配NAT的全局IP地址。從ISP分配的全局IP地址中分配一段全局IP地址，作為校園網(wǎng)內(nèi)部訪問互聯(lián)網(wǎng)的轉(zhuǎn)換地址?；诙丝诘腘AT轉(zhuǎn)換，一個IP地址可以提供6萬余個

NAT會話。3.2.4IP地址的分配管理校園網(wǎng)的信息點多，如何對IP地址的分配進展有效的管理，是十分重要的。針對不同的情況，可以對IP地址進展靜態(tài)或動態(tài)的分配方式。靜態(tài)分配的情況：對外提供信息效勞的效勞器；校園網(wǎng)內(nèi)提供信息及管理效勞的效勞器；對于一些教師或?qū)W生用戶，需要對校園網(wǎng)內(nèi)部或外部提供信息效勞的信息點。路由器、交換機等網(wǎng)絡(luò)設(shè)備的IP地址分配。動態(tài)分配的情況：不提供信息效勞的計算機，只訪問校園網(wǎng)內(nèi)部或互聯(lián)網(wǎng)的資源。本方案的接入交換機可以做到以下地址管理：對于靜態(tài)分配地址的用戶，只有用預(yù)先分配的IP地址才可以上網(wǎng)；對于動態(tài)分配地址的用戶，只有通過DHCP方式獲得IP地址才可以上網(wǎng)；獲得有效IP地址上網(wǎng)后，試圖修改IP地址，均會自動與網(wǎng)絡(luò)斷線；以上手段，保證了IP地址不會沖突，因而可以對IP地址資源的使用進展有效的管理和控制。合理的劃分IP地址、盡量使用總結(jié)路由、可以有效地減少核心設(shè)備的負(fù)擔(dān)，提高核心交換機的效率，減少網(wǎng)絡(luò)上的路由震蕩，同時與交換機專家級ACL功能相結(jié)合可以對關(guān)鍵的、敏感的區(qū)域?qū)崿F(xiàn)多重的防護。3.3、校園網(wǎng)平安規(guī)劃設(shè)計網(wǎng)絡(luò)高速暢通也給黑客們帶來更多的便利，端口掃描、非法入侵、拒絕效勞、網(wǎng)絡(luò)嗅探等攻擊在高速的網(wǎng)絡(luò)上如魚得水。如何有效地阻止網(wǎng)絡(luò)的攻擊行為，保證網(wǎng)絡(luò)的高平安？3.3.1設(shè)備訪問控制平安本方案中的所有交換機支持ACL訪問控制，可以限制哪些源地址可以訪問該設(shè)備。交換機支持的ACLs類型：IPACLs：用于過濾IP報文，包括TCP和UDP。1.StandardIPaccesslists(標(biāo)準(zhǔn)IP接入控制列表)使用源IP地址作為匹配的條件2.擴展IP接入控制列表使用源IP地址、目的IP地址及可選的協(xié)議類型信息作為匹配的條件EthernetACLs用于過濾二層數(shù)據(jù)流：MAC擴展控制列表使用源MAC地址、目的MAC地址及可選的以太網(wǎng)類型作為匹配的條件ExpertACLS用于過濾二層和三層、二層和四層、二層和三層、四層數(shù)據(jù)流：專家擴展控制列表使用源MAC地址、目的MAC地址、以太網(wǎng)類型、源IP、目的IP、及可選的協(xié)議類型信息作為匹配的條件。通過設(shè)置ACL允許指定網(wǎng)段IP地址訪問網(wǎng)絡(luò)設(shè)備，拒絕其它網(wǎng)段IP地址對網(wǎng)絡(luò)設(shè)備的訪問，這樣即使出現(xiàn)了網(wǎng)絡(luò)設(shè)備登錄密碼泄露，非管理人員也無法登陸網(wǎng)絡(luò)設(shè)備進展管理。在登錄網(wǎng)絡(luò)設(shè)備過程中，使用平安外殼SSH，密碼在傳輸過程中不會被竊聽到。3.3.2病毒防御投標(biāo)網(wǎng)絡(luò)設(shè)備，能夠提供病毒防御功能，使得某些特定病毒不能任意傳播。主要提供以下幾個功能：1〕預(yù)防PC感染類似“沖擊波〞的病毒；2〕如果某臺機器感染病毒，能夠?qū)崿F(xiàn)中毒機器隔離，限制同一網(wǎng)段中病毒的傳播。實例：比方通過設(shè)置ACL防范Blaster〔沖擊波〕病毒的傳播和危害access-list

101

deny

tcp

any

any

eq

135阻止感染病毒的PC向其它正常PC的135端口發(fā)布攻擊代碼access-list

101

deny

udp

any

any

eq

tftp限制目標(biāo)主機通過tftp下載病毒。access-list

101

deny

icmpanyany阻斷感染病毒的PC向外發(fā)送大量的ICMP報文，防止其堵塞網(wǎng)絡(luò)。然后將其應(yīng)用在相應(yīng)網(wǎng)口，例如fa0/1intfa0/1ipaccess-group101in這樣即可阻斷Blaster蠕蟲病毒的傳播。3.3.3地址轉(zhuǎn)換〔NAT〕在互聯(lián)網(wǎng)出實現(xiàn)NAT，NAT除了可以解決全局IP地址缺乏之外，還對網(wǎng)絡(luò)的平安起一定的作用，NAT的平安性主要表達在以下兩點：1〕以統(tǒng)一的IP地址訪問互聯(lián)網(wǎng)，屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)錁?gòu)造；2〕外部網(wǎng)絡(luò)不可以訪問內(nèi)部網(wǎng)絡(luò)的資源，除非有策略允許。3.3.4ARP病毒攻擊防范ARP欺騙首先是通過偽造合法IP進入正常的網(wǎng)絡(luò)環(huán)境，向交換機發(fā)送大量的偽造的ARP申請報文，交換機在學(xué)習(xí)到這些報文后，可能會覆蓋原來學(xué)習(xí)到的正確的IP、MAC地址的映射關(guān)系，將一些正確的IP、MAC地址映射關(guān)系修改成攻擊報文設(shè)置的對應(yīng)關(guān)系，導(dǎo)致交換機在轉(zhuǎn)發(fā)報文時出錯，從而影響整個網(wǎng)絡(luò)的運行?；蛘呓粨Q機被惡意攻擊者利用，利用錯誤的ARP表，截獲交換機轉(zhuǎn)發(fā)的報文或者對其它效勞器、主機或者網(wǎng)絡(luò)設(shè)備進展攻擊。1、接入交換機ACL防止ARP仿冒網(wǎng)關(guān)假定DCN交換機0/1/1口用于上聯(lián)，0/0/1-24直接連接計算機終端，網(wǎng)關(guān)地址為，我們需要在下行口上增加ACL阻止所有仿冒的ARP通告。配置命令：STEP1:編寫ACL(Config)#access-list1101denyananuntagged-eth212208062020002284C0A該ACL說明如下：STEP2:應(yīng)用ACL(Config)#Firewallenable(Config)#inte0/0/1-24(int)#macaccess-group1101intraffic-statistic網(wǎng)關(guān)不同則相應(yīng)得16進制數(shù)不同，配置的時候需要計算轉(zhuǎn)換。該配置完成后，終端發(fā)出的仿冒網(wǎng)關(guān)的ARP通告將被deny。2ARPGuard防止ARP仿冒網(wǎng)關(guān)我們利用交換機的過濾表項保護重要網(wǎng)絡(luò)設(shè)備的ARP表項不能被其它設(shè)備假冒。根本原理就是利用交換機的過濾表項，檢測從端口輸入的所有ARP報文，如果ARP報文的源IP地址是受到保護的IP地址，就直接丟棄報文，不再轉(zhuǎn)發(fā)。ARPGUARD功能常用于保護網(wǎng)關(guān)不被攻擊，如果要保護網(wǎng)絡(luò)內(nèi)的所有接入PC不受ARP欺騙攻擊，需要在端口配置大量受保護的ARPGUARD地址，這將占用大量芯片F(xiàn)FP表項資源，可能會因此影響到其它應(yīng)用功能，并不適合。此時推薦采用FREERESOURCE相關(guān)接入方案，詳細請參考相關(guān)文檔。舉例：在端口Ethernet0/0/1啟動配置ARPGUARD地址Switch(Config)#interfaceEthernet0/0/13DCBI認(rèn)證效勞器＋DCN接入交換機終端獲取IP地址的方式有兩種：一是通過DHCPServer等方式動態(tài)獲取IP地址；另外一種是在終端靜態(tài)配置IP地址。不管哪一種情況，通過DCBI認(rèn)證效勞器和DCN接入交換機，我們都可以完美解決ARP威脅。在這兩種情況下，交換機的配置一樣，區(qū)別在于DCBI獲取IP和MAC綁定信息的方式。4DCN接入交換機啟用DHCPSnooping功能我們對終端獲取IP地址兩種不同的方式：動態(tài)獲取IP地址和靜態(tài)配置IP地址，分別進展描述：一、終端動態(tài)獲取地址在全局模式下，啟動DHCPSnooping：Switch(Config)#ipdhcpsnoopingenable全局使能DHCPSNOOPING綁定功能，在此根底上配置DHCPSNOOPING其它綁定功能參數(shù)：Switch(Config)#ipdhcpsnoopingbindingenable在端口上啟動DHCPSNOOPING綁定USER功能〔這樣在這個端口接入的用戶獲取動態(tài)IP地址之后無需認(rèn)證就可以訪問所有資源〕：switch(Config)#interfaceethernet1/1switch(Config-Ethernet1/1)#ipdhcpsnoopingbindinguser-control在獲取合法動態(tài)IP地址之前，用戶不能訪問任何資源，用戶采用私自配置的IP地址發(fā)送的ARP報文和IP報文均被接入交換機丟棄；PC啟動DHCP功能，可以從DHCPSERVER獲取合法IP地址，這時用戶可以所有資源；這種解決方案支持防ARP欺騙，可以防止接入主機假冒網(wǎng)關(guān)，可以防止接入主機假冒其它用戶；管理復(fù)雜度低，交換機配置簡單并且根本不需要變更；支持用戶移動接入，交換機可以自動檢測到用戶接入位置并正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)。二、終端靜態(tài)配置IP地址在全局模式下，啟動DHCPSnooping：Switch(Config)#ipdhcpsnoopingenable全局使能DHCPSNOOPING綁定功能，在此根底上配置DHCPSNOOPING其它綁定功能參數(shù)：Switch(Config)#ipdhcpsnoopingbindingenable然后我們需要手動在每個端口添加DHCPSnooping靜態(tài)綁定信息，舉例如下：在交換機端口Ethernet0/0/16配置靜態(tài)綁定用戶Switch(Config)#ipdhcpsnoopingbindinguser00-03-0fvlan1interfaceEthernet0/0/16這種解決方案支持防ARP欺騙，可以防止接入主機假冒網(wǎng)關(guān)，可以防止接入主機假冒其它用戶；但是管理復(fù)雜度高，不支持用戶移動接入，當(dāng)配置靜態(tài)IP地址的主機移動，需要在新的端口下重新配置DHCPSnooping綁定信息，所以只適合靜態(tài)IP地址使用不多的場合，如果較多，建議采用認(rèn)證效勞器DCBI＋DCN接入交換機的解決方案。第二章綜合布線方案一、工程概述本次工程是負(fù)責(zé)電力職業(yè)技術(shù)學(xué)院樓內(nèi)及設(shè)備間及信息點聚集處的施工，保證每個信息點暢通。其中，信息點160個。1、設(shè)計目標(biāo)本公司抱著誠摯、科學(xué)的態(tài)度，充分考慮校園網(wǎng)的功能要求，利用國際上成熟的技術(shù)和本公司多年來豐富的設(shè)計和施工經(jīng)歷，為電力職業(yè)技術(shù)學(xué)院設(shè)計一套完善可靠、能最正確支持語音、數(shù)據(jù)、圖像等信號傳輸?shù)臉?gòu)造化神經(jīng)網(wǎng)絡(luò)設(shè)計施工方案和提供最優(yōu)質(zhì)的效勞，實現(xiàn)區(qū)管中心的通信自動化、辦公自動化、計算機信息管理網(wǎng)絡(luò)化等諸多功能的布線系統(tǒng)。2、設(shè)計原則本系統(tǒng)根據(jù)布線市場行業(yè)標(biāo)準(zhǔn)，遵循產(chǎn)品成熟、性能品牌好、管理方便和可維護性，滿足以下設(shè)計原則：實用性：滿足當(dāng)前的各種通訊要求和未來的應(yīng)用。先進性：采用成熟、先進的技術(shù)和設(shè)備。平安性：利于防火、防水、防雷擊、防靜電、防破壞和抗干擾等。維護性：便于維護和管理，有利于故障檢查和排除。兼容性：利于硬、軟件的兼容，系統(tǒng)的升級和擴大?？煽啃裕翰捎萌蒎e技術(shù)，保證系統(tǒng)在多重故障下仍能正常運行。經(jīng)濟性：在滿足現(xiàn)有需求和未來應(yīng)用的根底上，要有好的性能價格比和保護原有的投資。二、系統(tǒng)功能設(shè)計2.1需求分析我們理解電力職業(yè)技術(shù)學(xué)院綜合布線工程應(yīng)當(dāng)保證為校園計算機網(wǎng)絡(luò)系統(tǒng)建立高速信息傳輸鏈路：能夠為用戶提供統(tǒng)一、靈活的信息接入端口；能夠按用戶不同需求和變化，迅速、靈活、方便地構(gòu)建或重組各類不同應(yīng)用類型的局域網(wǎng)；為連接廣域網(wǎng)的信息高速公路提供出入接口；能夠適應(yīng)、滿足今后諸如多媒體教學(xué)、遠程電視/會議舉辦、公共信息發(fā)布與查詢等的應(yīng)用；2.2詳細信息點分布情況見下表：序號位置信息點模塊配線架機柜備注1實驗樓10102信息系10103機電系10104經(jīng)管系30307根底系10108電力系30309旭升樓303010西院辦公樓303011辦公樓機柜2米12合計160160

第三章產(chǎn)品技術(shù)參數(shù)一、系列多業(yè)務(wù)萬兆路由交換機產(chǎn)品概述系列是DCN公司以業(yè)務(wù)智能化為核心理念的多業(yè)務(wù)萬兆路由交換產(chǎn)品。該產(chǎn)品具備成熟的IPv6特性、線速MPLSL2/L3VPN功能、多平面別離的高可靠性設(shè)計、高性能的L2/L3交換、豐富精細的QoS策略、強大的融合業(yè)務(wù)支持、整合平安特性，因此，它能幫助用戶切實提升商務(wù)效率和業(yè)務(wù)競爭力。系列可作為園區(qū)網(wǎng)、城域網(wǎng)的關(guān)鍵設(shè)備之一，它不僅能夠降低用戶構(gòu)建下一代網(wǎng)絡(luò)的復(fù)雜性，而且提供了很好的投資保護。系列路由交換機提供4槽到10槽的多種產(chǎn)品，提供多業(yè)務(wù)增強處理模塊系列所有產(chǎn)品的業(yè)務(wù)模塊均可以通用，有效保護了您的投資。所有模塊均采用同樣版本的系統(tǒng)軟件，平臺統(tǒng)一，升級方便，大大降低您的總體本錢。系列交換機的管理模塊、電源模塊支持冗余備份和負(fù)載均衡，板卡、電源、風(fēng)扇均支持熱插拔，為系列提供了電信運營商級的可靠性。主要特征豐富的業(yè)務(wù)支持運營商級以太網(wǎng)Ready系列在運營商級以太網(wǎng)方面具備出色的性能，MRPP實現(xiàn)了環(huán)網(wǎng)條件下的毫秒級鏈路故障恢復(fù)、EMVTE提供了非環(huán)網(wǎng)條件下的毫秒級鏈路故障恢復(fù)能力，實現(xiàn)運營商級可靠性。MPLSReady在城域網(wǎng)、廣域網(wǎng)廣泛應(yīng)用的MPLSL3VPN和MPLSL2(VPLS)VPN，在上得到全面支持，DCN在業(yè)界推出第一款I(lǐng)Pv6和MPLS同時實現(xiàn)萬兆高性能線速轉(zhuǎn)發(fā)的KYLIX模塊，為組建超大規(guī)模IP網(wǎng)絡(luò)提供了強有力的支持。系列支持全面的LDP功能和MPLSL2/L3VPN功能的同時，還支持MPLSVPN訪問公網(wǎng)功能，實現(xiàn)專網(wǎng)通信的同時，可以無阻隔地訪問公網(wǎng)，保障了業(yè)務(wù)的多樣性，可同時作為PE和P部署。支持領(lǐng)先的IPv6業(yè)務(wù)系列路由交換機系列完全基于ASIC的分布式全線速硬件方式進展IPv6轉(zhuǎn)發(fā)，能夠滿足高性能的IPv6應(yīng)用。分布式硬件IPv6轉(zhuǎn)發(fā)方式，可以在本地實現(xiàn)IPv6報文的處理，并可在接口模塊內(nèi)部及模塊與背板間實現(xiàn)IPv6報文的線速轉(zhuǎn)發(fā)，防止了集中式轉(zhuǎn)發(fā)、NP轉(zhuǎn)發(fā)等模式存在的瓶頸和時延問題；同時新增加了更平安的鄰居發(fā)現(xiàn)〔ND〕信息、認(rèn)證封裝平安負(fù)載、防止了受到路由頭RH0攻擊的影響、防止了使用IPv6任播地址的限制、完善了無狀態(tài)地址分配的協(xié)議交互過程，為IPv6能真正在大規(guī)模商用環(huán)境中應(yīng)用提供了平安方面的保障。支持強大復(fù)雜的組播業(yè)務(wù)系列支持強大的組播實現(xiàn)技術(shù)，不僅支持IPv4組播，還支持領(lǐng)先的IPv6組播，完全基于ASIC的分布式全線速硬件方式進展IPv4/IPv6組播轉(zhuǎn)發(fā)，能夠滿足高性能的多媒體應(yīng)用。在IPv4方面，提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等為主，配以MSDP、anycast-RP、靜態(tài)組播路由、邊界組播、MultcastVlan、IGMPProxy、IGMPSnooping等為輔的多套IPv4組播解決方案；在DCN〔網(wǎng)絡(luò)〕的傳統(tǒng)強項IPv6方面，提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2為主，配以IPv6anycast(泛播)-RP、IPv6靜態(tài)組播路由、IPv6邊界組播、IPv6MultcastVlan、IPv6組播隧道等為輔的多套IPv6組播解決方案，滿足了業(yè)務(wù)復(fù)雜的電信級IPv4/IPv6組播業(yè)務(wù)需求。運營商級的可靠性系列路由交換機對所有關(guān)鍵部件都采用了冗余備份的設(shè)計方案：電源冗余、管理模塊冗余、鏈路冗余等，并且系列路由交換機的交流電源采取多路(1-3路)電網(wǎng)供電＋電源工作時負(fù)載均衡，大大提高了電源的穩(wěn)定和可靠。雙引擎HA技術(shù)，保證在主引擎出現(xiàn)故障時，備份引擎自動接收交換機設(shè)備變成主引擎，從而保證交換機的穩(wěn)定可靠運行。同時所有單板、電源模塊、風(fēng)扇盤等都支持熱插拔，提高了網(wǎng)絡(luò)運行的連續(xù)性。強大的ACL功能支持IPv4/IPv6可擴展平安性ACL?？苫跁r間段、端口、VLAN接口、協(xié)議、IP、MAC、IP+MAC等設(shè)置IPv4/IPv6平安策略，在不同的時間段自動切換為不同的策略。平安配置隨時、隨需而動；智能化流量控制，可靈活根據(jù)用戶需要進展基于ACL的流量分類、流量統(tǒng)計、流量重定向等。增強的平安特色全面的IPv4/IPv6平安組播方案DCSCMv4/v6，可以對源和目的進展平安控制，完整實現(xiàn)了在接入層網(wǎng)絡(luò)中應(yīng)用了基于組播源和組播目的檢查技術(shù)，可完全限制合法組播在網(wǎng)絡(luò)中的穩(wěn)定傳輸，有效控制組播建立的整個過程，保障了正常合法的組播應(yīng)用的穩(wěn)定運行。支持ACL-X可基于時間段設(shè)置平安策略，平安設(shè)置隨時間而動，在不同的時間段自動切換為不同的策略；智能化流量控制，可基于ACL進展流量分類，更加精細和貼近業(yè)務(wù)分類。“交換引擎CPU核心保護〞：可有效防止各類非法協(xié)議攻擊導(dǎo)致核心設(shè)備交換引擎癱瘓；“關(guān)鍵協(xié)議綠色通道〞功能：可保障正常、合法、速度合理的關(guān)鍵控制報文〔STP、MSTP、RIP、OSFP、BGP、組播協(xié)議、雙引擎板間心跳等〕在大流量業(yè)務(wù)下不被淹沒，快速處理不中斷；先進的LPM技術(shù)：可抵抗“沖擊波〞病毒、“zeroday〞病毒、“SQLslammerwarm〞病毒等；端口信任模式：則可檢測非法DHCPServer等，只在信任端口才能接入這些設(shè)備，從而保障網(wǎng)絡(luò)的平安。智能靈活的性能資源調(diào)度機制FlexResource影響交換機性能的因素有很多：CPU、內(nèi)存、MAC表、IP地址表、路由表、ACL表等等。這些資源都是有代價的，它們是交換機本錢的重要組成局部。所以說，能不能在有限的本錢范圍內(nèi)，最大限度地提高交換機資源的利用率，就成為提升性能的有效之道！針對這個用戶需求，DCN〔網(wǎng)絡(luò)〕的FlexResource〔柔性資源調(diào)度〕可利用多項技術(shù)，動態(tài)調(diào)整、回收和再分配交換機資源,從而成倍地提高了核心交換機資源的利用率，支撐起更大規(guī)模的網(wǎng)絡(luò)。 Flex-Resource目前支持Flex-LPM,Flex-L3,Flex-ARP等細分技術(shù)。豐富靈活的QoS系列交換機為每個端口提供了8個優(yōu)先級隊列，完全硬件實現(xiàn)，不影響性能。每端口8個隊列，支持基于802.1p、ToS、端口、DiffServ進展流量分類還可以根據(jù)ACL-X的80個字節(jié)高層內(nèi)容進展流量分類，同時支持WRR、SP、SWRR等隊列算法，還支持入口流量整形。為語音/數(shù)據(jù)/視頻在同一網(wǎng)絡(luò)中傳輸提供所要求的不同效勞質(zhì)量。技術(shù)指標(biāo)工程插槽410端口10/100/1000BASE-T最多192個1000Base-SX最多192個1000Base-LX最多192個10/100BASE-T最多192個萬兆最多64個10/100/1000BASE-T最多384個1000Base-SX最多384個1000Base-LX最多384個10/100BASE-T最多384個萬兆最多128個背板帶寬2.4TbpsTbps交換容量bps1.28Tbps(一代引擎)/Tbps(二代引擎)包轉(zhuǎn)發(fā)速率953Mpps，L2/L3全線速953Mpps(一代引擎)/1905Mpps(二代引擎)MAC表項64K128KVLAN表項4K(有效VLAN數(shù):4K)4K(有效VLAN數(shù):4K)二層協(xié)議標(biāo)準(zhǔn)(10Base-T)、IEEE802.3u(100Base-TX)、〔1000BASE-X〕、〔1000Base-T〕、〔10GBase〕、IEEE802.1Q(VLAN)、IEEE802.3ak(10GBASE-CX4)、IEEEE802.1d(STP)、IEEEE802.1W(RSTP)、IEEEE802.1S(MSTP)、IEEE802.1p(COS)、IEEE802.1x(PortControl)、〔流控〕、IEEE802.3ad(LACP)、PortMirror、RSPAN、ULDP、LLDP、IGMPSnooping、QinQ、靈活QinQ、GVRP,VLAN,PVLAN,、VOICEVLAN、ProtocolVlan、MulticastVLAN、MacVlan、播送風(fēng)暴控制三層協(xié)議標(biāo)準(zhǔn)(IPv4)支持ARP、ARPProxy、arp限速、arp重認(rèn)證、免費ARP支持DNSclient支持StaticRouting、RIPv1/V2、OSPFv2、BGP4等多種單播路由協(xié)議支持OSPF不同進程之間的路由相互引入支持LPMRouting、支持Policy-basedRouting(PBR)支持VRRP、URPF、黑洞路由支持IGMPv1/2/3、DVMRP、PIM-DM、PIM-SM、PIM-SSM、IGMPProxy、anycast(泛播)RP、MSDP、靜態(tài)組播路由、邊界組播路由等。增強擴展支持內(nèi)嵌式防火墻、IDS、IPSceVPN、內(nèi)容交換效勞、網(wǎng)絡(luò)分析等硬件模塊Free-Resourse支持IPv6支持ICMPv6、ND、DNSv6支持IPv6LPMRouting、支持IPv6Policy-basedRouting(PBR)支持IPv6VRRPv3、IPv6URPF、IPv6黑洞路由支持RIPng、OSPFv3、BGP4+等單播路由協(xié)議支持6to4Tunnel、configuredTunnel、ISATAPTunnel、GRETunnel等支持MLDSnooping、IPv6MuticastVLAN支持MLDv1/v2,、PIM-SM/DMforIPv6、IPv6anycast(泛播)RP、IPv6靜態(tài)組播路由、IPv6邊界組播、IPv6組播隧道等支持IPv6ACL、IPv6QOS增強ARP/NDP平安功能支持防ARP/NDP欺騙、防ARP/NDP掃描MPLSMPLS、LDP、MPLSL2/L3VPN、VPLSVPN、MPLSTE、訪問公網(wǎng)技術(shù)QoS完全硬件實現(xiàn)，不影響性能。每端口8個隊列。支持SP、WRR、SWRR等隊列調(diào)度算法。支持基于、ToS、端口、DiffServ進展流量分類，支持采用ACL進展流量分類，根據(jù)分類結(jié)果設(shè)置COS,TOS,DSCP，根據(jù)ACL-X的80個字節(jié)高層內(nèi)容進展流量分類，支持SP、WRR、SWRR等，為語音/數(shù)據(jù)/視頻在同一網(wǎng)絡(luò)中傳輸提供所要求的不同效勞質(zhì)量支持TrafficShapping〔流量整形〕、支持優(yōu)先級Mark/RemarkACL完全硬件線速實現(xiàn)，不影響轉(zhuǎn)發(fā)性能。支持標(biāo)準(zhǔn)和擴展ACL，支持IPACL、基于IP子網(wǎng)的ACL、MACACL、IP-MACACL、VLANACL，支持基于源/目的IP或MAC、三層IP協(xié)議類型、TCP/UDP四層端口號、IP優(yōu)先級(DSCP、ToS、Precedence)、基于VLAN、Tag/Untag、CoS等支持基于ACL的REDIRECT，基于ACL的流統(tǒng)計ACL-X支持基于時間自動改變平安策略。ACL的深度內(nèi)容可被用于QoS分類的標(biāo)準(zhǔn)，深度可達80字節(jié)。DCSCMv4/v6支持IPv4/IPv6組播信源控制，防止非法組播源，支持IPv4/IPv6組播用戶可控，支持IPv4/IPv6策略組播。端口功能支持MAC+端口捆綁、IP+MAC＋端口綁定、IP+端口綁定，支持MAC過濾，支持端口限速〔帶寬管理〕，支持端口環(huán)路檢測支持端口鏡像〔CPU端口鏡像、進或者出單向/雙向，一對一，多對一，跨板，遠程鏡像等〕，支持流控：HOL防頭包阻塞，半雙工背壓，全雙工，支持端口聚合〔LACP〕，支持端到端GEC/FEC，支持負(fù)載均衡。DHCPv4/v6支持IPv4/IPv6DHCPClient、IPv4/IPv6DHCPRelay、IPv4/IPv6DHCPSnooping內(nèi)置IPv4/IPv6DHCPServer、DHCPOption82平安接入支持、支持DCSMAAA認(rèn)證支持IPv4/IPv6RADIUS平安的配置管理支持IPv4/IPv6的syslog支持IPv4/IPv6的HTTP和SSL的結(jié)合支持IPv4/IPv6的SNMP的用戶IP平安檢查支持MIB和TRAP支持IPv4/IPv6支持IPv4/IPv6NTP支持RMOM1，2，3，9四組支持IPv4/IPv6的telnet用戶名和密碼的radius認(rèn)證支持IPv4/IPv6的SSH支持用戶權(quán)限設(shè)置可以采用radius效勞器的shell管理支持可根據(jù)需要定時重啟功能。SFlow功能支持網(wǎng)絡(luò)流量分析，支持RFC3176，可以實現(xiàn)基于協(xié)議或地址的流量監(jiān)控和統(tǒng)計IPFIX功能支持智能流量監(jiān)控功能IPFIX異常監(jiān)測和故障檢查功能任務(wù)異常、內(nèi)存異常、CPU利用率、堆棧異常、交換芯片異常、板卡溫度異常等監(jiān)測，并告警集中網(wǎng)管軟件采取DCN〔網(wǎng)絡(luò)〕LinkManager軟件統(tǒng)一管理物理尺寸(寬深高)440mm×421mm×266mm436mm×478mm×797mm相對濕度10%～90%無凝結(jié)運行溫度0°C～40°C電源交流：輸入110~240V，50~60Hz；直流：輸入-36V~-72V；輸出12V/25A，5V/10A(此輸出參數(shù)為每一模塊的額定值)；交流：輸入110~240V，50~60Hz；直流：輸入-36V~-72V；輸出12V/25A，5V/10A(此輸出參數(shù)為每一模塊的額定值)；功耗DCRS-6804E功耗≤400W；DCRS-6804EL功耗≤200W≤1200W二、系列二層接入交換機產(chǎn)品概述系列交換機是一個定位于百兆接入、千兆上聯(lián)的二層以太網(wǎng)交換設(shè)備,它具備32Gbps的背板帶寬，在提供千兆上聯(lián)的同時，能為所有百兆端口提供二層線速的轉(zhuǎn)發(fā)能力，滿足網(wǎng)絡(luò)高速開展和融合對帶寬的需求。系列交換機具備完備的平安控制策略，在平安、運營等方面很有特色，是教育、政府、大中型企業(yè)的網(wǎng)絡(luò)接入建網(wǎng)的最正確選擇。系列采取無風(fēng)扇靜音設(shè)計，特別適合在樓道和辦公區(qū)使用，并采取固化上聯(lián)端口的形式，上聯(lián)端口可光可電，為用戶提供多樣化的端口組合方式，并為組網(wǎng)提供了很大的擴展性和便利性。系列交換機作為一款二層接入設(shè)備，支持基于MAC和基于端口的802.1x認(rèn)證，為終端用戶的平安接入提供了良好的保障。主要特性靈活的接口形式提供了24個10/100Mbps端口和2個固化的千兆光電Combo端口。提供了48個10/100Mbps端口和4個固化的千兆光電Combo端口。每個端口均提供了MDI/X網(wǎng)線自動識別功能，使用方便。千兆上聯(lián)電口為10/100/1000BASE-T的自適應(yīng)端口，可支持百兆電或者千兆電上聯(lián)；千兆上聯(lián)光口既能使用千兆光SFP接口卡模塊，又能使用百兆SFP接口卡模塊，從而為用戶提供上聯(lián)速率、鏈路類型方面的靈活選擇。平安接入和控制功能系列支持增強型認(rèn)證計費解決方案，可按交換機端口和MAC實施認(rèn)證，在用戶接入網(wǎng)絡(luò)時即可完成必要的身份驗證，為用戶提供了更好的接入平安控制機制。豐富的網(wǎng)絡(luò)協(xié)議支持DCS-3600系列交換機支持生成樹協(xié)議，支持802.1Q、802.1p、802.3ad、802.3x、GVRP、DHCP等標(biāo)準(zhǔn)。端口聚合功能強大，最多支持8組聚合，可提供更高的上聯(lián)帶寬效勞。豐富的QoS實現(xiàn)策略支持極細的端口限速粒度，最低到達10kbps，可運營性能良好。支持每個端口4個輸出隊列，支持SP〔StrictPriority〕、WRR〔WeightedRoundRobin〕等、SP＋WRR等三種隊列調(diào)度算法。高帶寬及快速轉(zhuǎn)發(fā)性能系列內(nèi)部提供了高速的背板帶寬，可輕松實現(xiàn)百兆、千兆的全線速轉(zhuǎn)發(fā)。支持16KMAC地址，可配置4K個VLAN，并且可同時在線激活4k個VLAN，為硬件轉(zhuǎn)發(fā)提供了有力保證。平安便捷的管理界面系列接入交換機支持簡單網(wǎng)絡(luò)管理協(xié)議SNMP，支持帶內(nèi)和帶外管理，具備CLI、WEB、Telnet等多種管理界面，支持SecurityIP功能，可以防止非法用戶登陸和修改交換機的配置。支持通過實現(xiàn)設(shè)備的遠程升級及實現(xiàn)了設(shè)備的集中管理和維護，支持SSH協(xié)議，可以最大限度地保證交換機的配置管理的平安性。支持集中網(wǎng)管系統(tǒng)LinkManager的統(tǒng)一管理，使設(shè)備管理更加方便簡捷！系列交換機支持VCT〔VirtualCableTest〕電纜檢測功能，能夠快速定位網(wǎng)絡(luò)故障點，更有利于維護管理。完備的VLAN配置系列支持IEEE802.1QVLAN、端口VLAN、PVLAN和GVRP動態(tài)注冊VLAN?？蓜澐?K個IEEE802.1QVLAN，可以實現(xiàn)跨交換機的VLAN劃分，同時到達控制播送流量、保證平安性和網(wǎng)絡(luò)性能的目的。DCS-3600系列還支持QinQ技術(shù)，該技術(shù)將客戶VLANID〔內(nèi)層Tag〕封裝在公網(wǎng)VLANID〔外層Tag〕中，報文帶著兩層VLAN標(biāo)簽穿越效勞商的骨干網(wǎng)絡(luò)，從而為用戶提供一種較為簡單的二層隧道，又叫VLANVPN技術(shù)。技術(shù)指標(biāo)工程屬性接口形式固定端口24個10/100M端口+2個千兆/百兆Combo(SFP/GT)接口。可靈活用作千兆上聯(lián)、級聯(lián)48個10/100M端口+4個千兆/百兆Combo(SFP/GT)接口。可靈活用作千兆上聯(lián)、級聯(lián)性能指標(biāo)交換容量32Gbps32Gbps包轉(zhuǎn)發(fā)速率Mpps，全線速Mpps，全線速最大千兆端口數(shù)量24MAC表項16K16KVLAN表項4K4K物理規(guī)格物理尺寸440mm**43440mm**43相對濕度5%~95%無凝結(jié)運行溫度0℃~電源交流：100~240VAC，50/60Hz(內(nèi)置通用電源)功耗最大18WMTBF>80,000小時工程屬性主要功能特征生成樹支持組播協(xié)議IGMPSnooping&Query增強平安特性防DOS攻擊QoS每端口4個隊列，支持802.1p，ToS，DSCP，端口優(yōu)先級，支持WRR/SP等調(diào)度方式Free-Resource支持帶寬管理帶寬最小為62Kbps，最大為1000Mbps，粒度〔步長〕最小可達10KbpsMAC操作支持端口/MAC自動捆綁，支持MAC過濾VLAN類型基于端口/8Q協(xié)議，支持GVRP，支持PVLAN流控支持HOL防頭包阻塞，半雙工背壓，全雙工DHCP支持Client/Server端口聚合支持，最大可支持8組trunk,每trunk可到8個端口，支持基于MAC和IP的負(fù)載均衡支持基于端口和MAC地址認(rèn)證。認(rèn)證支持RADIUS端口鏡象支持播送風(fēng)暴控制支持，可設(shè)定允許播送通過速率網(wǎng)絡(luò)管理管理界面CLI、WEB、TelnetSNMPv1、v2、v3系統(tǒng)日志支持配置管理分級支持SSH支持RMON1，2，3，9四組MIB接口提供集中網(wǎng)管軟件LinkManager網(wǎng)管軟件SecurityIP平安網(wǎng)管功能支持其他SNTP支持BOOTP支持支持三、多核平安網(wǎng)關(guān)網(wǎng)絡(luò)公司推出的的新一代多功能平安網(wǎng)關(guān)產(chǎn)品，它主要是面中小企業(yè)、中等教育機構(gòu)、政府機關(guān)等網(wǎng)絡(luò)