大型園區(qū)網(wǎng)絡(luò)設(shè)計方案

西南交通大學(xué)組網(wǎng)設(shè)計方案大型園區(qū)網(wǎng)絡(luò)西南交大一隊第一章概述1.1前言在二十一世紀教育改革中，世界各國都在加快教育現(xiàn)代化的步伐，其信息化程度的上下已成為當(dāng)今世界衡量一個國家綜合國力的重要標志。中國教育信息化在經(jīng)過過去幾年的建設(shè)后，國家教育科研網(wǎng)〔CERNET〕骨干已根本建成。大局部高校也已建設(shè)了自己的校園網(wǎng)絡(luò)，對校內(nèi)提供ISP效勞。國家要求在今后5年內(nèi)完成教育上網(wǎng)，即所有高校、職業(yè)學(xué)校、中學(xué)和小學(xué)擁有自己的校園網(wǎng)，并建設(shè)校園網(wǎng)將各個校區(qū)互聯(lián)并提供與國家教育科研網(wǎng)和各運營商互聯(lián)的接口。1.2總體設(shè)計原那么1.先進性原那么：計算機網(wǎng)絡(luò)的先進性將通過網(wǎng)絡(luò)構(gòu)架的先進性、硬件設(shè)備的先進性、傳輸速率和協(xié)議選擇、信息系統(tǒng)的先進性來表達。2.實用性原那么：采用的技術(shù)路線、產(chǎn)品應(yīng)經(jīng)過實踐檢驗，被證明是成熟可靠的，設(shè)計結(jié)果能滿足客戶的需求并且行之有效。3.可靠性原那么：校園計算機網(wǎng)絡(luò)的可靠性將通過選擇能可靠運行的網(wǎng)絡(luò)結(jié)構(gòu)、選擇可靠的網(wǎng)絡(luò)和計算機硬件設(shè)備，以及選擇可靠的網(wǎng)絡(luò)操作系統(tǒng)和信息應(yīng)用系統(tǒng)來表達。4.平安性原那么：通過加強內(nèi)部訪問控制和外部訪問控制兩方面來保證網(wǎng)絡(luò)和信息平安。5．開放性原那么：采用標準通用的網(wǎng)絡(luò)協(xié)議和信息傳遞方式，保證系統(tǒng)的開放性。6.易管理性原那么：從網(wǎng)絡(luò)的結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的易管理性來表達。網(wǎng)管員可以在網(wǎng)絡(luò)的任意端口通過Web對設(shè)備進行管控，設(shè)備的所有端口的狀態(tài)都會實時地顯示出來?？刂普麄€網(wǎng)絡(luò)平安高效地運行。7.經(jīng)濟性原那么：相對國防、金融等機構(gòu)，學(xué)校對網(wǎng)絡(luò)建設(shè)的投入顯然較低，這就要求建成的網(wǎng)絡(luò)經(jīng)濟實用，具備很高的性能價格比;在技術(shù)性能和價格的平衡中，技術(shù)性能優(yōu)先，兼顧價格1.3校園網(wǎng)網(wǎng)絡(luò)設(shè)計需求1網(wǎng)絡(luò)的應(yīng)用大容量的教學(xué)資源庫、課件資源庫。Web、E-MAIL、FTP、BBS視頻效勞器、數(shù)據(jù)庫效勞器的應(yīng)用。辦公自動化及辦公收發(fā)文系統(tǒng)。遠程教育效勞。各種流媒體和各種應(yīng)用平臺效勞Intranet以及Internet技術(shù)應(yīng)用。2校園網(wǎng)絡(luò)主干校園網(wǎng)絡(luò)主要涉及40棟大樓：網(wǎng)絡(luò)中心設(shè)在大樓1。集團共20個部門，分別在A、B、C、D樓各5各，每個部門用戶數(shù)在100個左右。1．主干采用千兆以太網(wǎng)，到桌面10/100兆自適應(yīng)連接；2．接入交換機至大樓交換機之間采用1000M互連；3．大樓交換機至核心交換機之間采用1000M互聯(lián)；4．分別通過兩個路由器連接到教育科研網(wǎng)CERNET和chinanet，實現(xiàn)與INTERNET的互聯(lián)。5．內(nèi)部網(wǎng)絡(luò)采用Intranet應(yīng)用模式架構(gòu)整個應(yīng)用信息系統(tǒng)6．骨干網(wǎng)技術(shù)要求1)滿足對多媒體數(shù)據(jù)的要求，防止主干網(wǎng)絡(luò)瓶頸的出現(xiàn)；2)提供子網(wǎng)劃分、虛擬網(wǎng)技術(shù)和能力，解決內(nèi)部網(wǎng)絡(luò)的路由，實現(xiàn)較高的內(nèi)部路由性能；3)具有高可靠性；4)保證傳輸?shù)男谫|(zhì)量，提供必要的效勞質(zhì)量(QOS)、效勞級別(COS)和效勞類型(TOS)等；5)主干交換機的背叛交換容量不小于50G;6)高性能價格比。7．布線系統(tǒng)技術(shù)要求1)布線系統(tǒng)全部采用符合國家標準或國際標準的產(chǎn)品進行完全的結(jié)構(gòu)化布線；2)在較好性能價格比的情況下，布線的標準適當(dāng)超前，整個系統(tǒng)應(yīng)提供15年以上的質(zhì)量保證；3)樓宇之間根據(jù)距離遠近采用多?！睲MF〕或單模〔SMF〕光纖，大樓內(nèi)部采用5類雙絞線4〕集團內(nèi)部各個建筑物都有1對8芯的單模光纖連接到主建筑物〔即網(wǎng)絡(luò)中心所在地〕，8．網(wǎng)絡(luò)管理技術(shù)要求1)基于開放的校園網(wǎng)系統(tǒng)，應(yīng)當(dāng)支持集成化的SNMP及CMIP應(yīng)用，能夠全面管理TCP/IP網(wǎng)絡(luò)設(shè)備，并且提供面向目標的圖形管理接口和API編程接口；2)網(wǎng)絡(luò)管理員可以通過網(wǎng)絡(luò)管理工作站，借助圖形化的界面，可以對網(wǎng)絡(luò)上的設(shè)備進行監(jiān)控和集中式管理，只要對網(wǎng)絡(luò)軟件進行配置，不必到現(xiàn)場進行實際操作，就能重新構(gòu)造網(wǎng)絡(luò)；3)提供方便、平安、可靠的故障和維護管理、平安管理、性能管理、統(tǒng)計管理、計費管理等根本管理功能。9．系統(tǒng)平安控制技術(shù)要求1)Internet的平安控制應(yīng)提供地址轉(zhuǎn)換、被動監(jiān)廳、端口掃描和否認效勞等機制、，同時劃分不同級別的平安區(qū)域；2)遠程訪問的平安控制應(yīng)提供訪問效勞器的用戶身份認證、用戶授權(quán)及用戶記賬/審計等功能；3)應(yīng)提供對整個網(wǎng)絡(luò)和工作站進行偵獨、解毒和清毒等工作，防范計算機病毒。3網(wǎng)絡(luò)流量學(xué)?，F(xiàn)有師生15000人，以后用戶還會增多，并有多個計算機局域網(wǎng)，初步估計上網(wǎng)頂峰時約有20000臺計算機需同時使用集團網(wǎng)絡(luò)。另外還考慮到視頻會議以及文件效勞得需求所以設(shè)計計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)充分考慮每個用戶的帶寬和系統(tǒng)的響應(yīng)時間。其計算機網(wǎng)絡(luò)的建設(shè)應(yīng)到達：網(wǎng)絡(luò)傳輸速度高，不能有信息傳輸瓶頸，信息處理效率高，系統(tǒng)響應(yīng)時間短，每個用戶都有較高的帶寬。1.4技術(shù)方案綜述通過對集團網(wǎng)絡(luò)建設(shè)工程系統(tǒng)現(xiàn)狀和對整個網(wǎng)絡(luò)系統(tǒng)建設(shè)需求的了解，以萬兆主干網(wǎng)絡(luò)為根底平臺，以集團網(wǎng)應(yīng)用為主線,以實現(xiàn)辦公自動化、資源共享、實時新聞發(fā)布、財務(wù)電算化和集中式的供給鏈管理系統(tǒng)和客戶效勞關(guān)系管理系統(tǒng)為目的，我公司推薦如下主要技術(shù)方案：采用銳捷網(wǎng)絡(luò)公司的交換機產(chǎn)品來構(gòu)造集團內(nèi)部網(wǎng)絡(luò)：網(wǎng)絡(luò)核心交換機采用RG-S8600系列高密度多業(yè)務(wù)IPV6核心路由交換機；大樓會聚交換機采用RG-S5750系列平安智能萬兆多層交換機；接入交換機采用RG-S2126S千兆增強網(wǎng)管交換機。第二章網(wǎng)絡(luò)系統(tǒng)設(shè)計2.1方案描述桌面接入交換機采用RG-S2126S并通過五類雙絞線連接，會聚層交換機采用RG-S5750并通過千兆光纖連接，核心交換機采用兩個RG-S8600并通過千兆光纖連接，在核心交換機之間采用10G光纖構(gòu)成冗余線路。通過一臺核心交換機和兩臺路由器RSR-08相連采用10G光纖，之間由RG-WALL1600防火墻進行平安保障。其中一臺路由接入cernet一臺路由接入chinanet。2.2設(shè)備選型接入層交換機產(chǎn)品概述RG-S2126S是一款全線速可堆疊千兆智能交換機，提供智能的流分類和完善的效勞質(zhì)量〔QoS〕以及組播管理特性，并可以實施靈活多樣的ACL訪問控制?？赏ㄟ^SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。S2126S以極高的性價比為各類型網(wǎng)絡(luò)提供完善的端到端的效勞質(zhì)量、靈活豐富的平安設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、平安、智能的企業(yè)網(wǎng)新需求。產(chǎn)品特性高性能

高背板帶寬為所有的端口提供非阻塞性能；靈活多樣的平安控制

通過內(nèi)在的多種平安機制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化地使用網(wǎng)絡(luò)，如端口平安、端口隔離、硬件ACL控制、端口ARP報文的合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求；

硬件實現(xiàn)端口與MAC地址和用戶IP地址的靈活綁定，嚴格限定端口上用戶接入；

通過將端口設(shè)為保護端口，即可簡單方便地隔離用戶之間信息互通，不必占用VLAN資源，同時又無需利用平安規(guī)那么資源即能到達隔離不同用戶以及不同組用戶之間通訊的功能，充分保護用戶隱私；

實現(xiàn)用戶賬號、MAC地址、IP地址、交換機IP、交換機端口等多元素之間的靈活任意綁定，有效確認用戶合法性和唯一性；

通過銳捷平安計費管理平臺SAM，不僅可實現(xiàn)用戶賬號、MAC地址、IP地址、交換機IP、交換機端口等六大元素之間的靈活任意綁定，有效確認用戶身份的合法性和唯一性，更能通過交換機特色硬件動態(tài)綁定，保障用戶身份始終一致性，防止了用戶惡意篡改身份信息進行非法攻擊等行為；

專用的硬件防范ARP網(wǎng)關(guān)和ARP主機欺騙功能，有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)；

支持DHCPRelay，更可支持DHCPOption82，可方便實現(xiàn)對IP地址的精確分配和控制，并可通過交換機硬件ARP檢查，可有效防范動態(tài)分配IP地址環(huán)境下的ARP欺騙問題；

提供極為有效的PortBlocking功能，防止和阻止端口受到其它端口發(fā)送的播送包、多播包等報文的干擾，有效減輕端口的負載負擔(dān)，提高端口帶寬，保護用戶PC更高效平安地運行；

基于源IP地址控制的Telnet和Web設(shè)備訪問控制，防止非法人員和黑客惡意攻擊和控制設(shè)備，增強了設(shè)備網(wǎng)管的平安性；

SSH〔SecureShell〕和SNMPv3技術(shù)可以通過在Telnet和SNMP進程中加密管理信息，保證管理設(shè)備信息的平安性，防止黑客攻擊和控制設(shè)備；完善的QoS策略

支持802.1P、DSCP、端口優(yōu)先級、IPTOS、二到七層流過濾等QoS策略，具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的效勞質(zhì)量特性，提供效勞；

極靈活的帶寬控制能力，可以基于交換機端口、MAC地址、IP地址、協(xié)議、應(yīng)用組合進行帶寬限速，限速粒度精細：1Mbps〔128KB〕粒度/百兆端口、8Mbps〔1024KB〕粒度/千兆端口，可根據(jù)網(wǎng)絡(luò)平安需求，設(shè)定不同業(yè)務(wù)應(yīng)用的帶寬流量，滿足按需所用。豐富的組播特性

支持業(yè)界特有的IGMP源端口檢查，有效杜絕非法組播源播放和大量占用大量網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)平安性；

支持和識別IGMPv1/v2和IGMPv3全部版本的組播報文，適應(yīng)不同組播環(huán)境，防止非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬，滿足組播平安應(yīng)用的需要。高可靠性

支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負載均衡，合理使用網(wǎng)絡(luò)通道。方便易用易管理

強大的菊花鏈式堆疊，保證網(wǎng)絡(luò)的高度靈活和可擴展，網(wǎng)絡(luò)管理更加簡單；

獨特的集群管理，通過一臺命令交換機可管理多達20臺的S21系列交換機，無論交換機是否在同一配線間和布線室；

強大的集群管理方式使得網(wǎng)絡(luò)的維護工作變得非常方便和簡單，只需配置1個IP地址，即可管理多臺設(shè)備，不僅成倍節(jié)省了IP地址空間，而且維護和管理量也得到極大降低；

多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護效率；

支持端口環(huán)路檢測，可快速檢測端口下聯(lián)出現(xiàn)環(huán)路的情況，并能自動將有環(huán)路端口關(guān)閉和定時啟動，保障了網(wǎng)絡(luò)的可靠；

Syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員進行網(wǎng)絡(luò)維護和管理；

CLI界面，方便高級用戶配置和使用；Java-basedWeb管理方式，實現(xiàn)對交換機的可視化圖形界面管理，快速和高效地配置設(shè)備。產(chǎn)品參數(shù)產(chǎn)品型號RG-S2126S固定端口24端口10/100自適應(yīng)模塊插槽2個擴展插槽可用模塊單口1000BASE-SX模塊單口1000BASE-LX模塊單口1000BASE-TX模塊〔支持10/100/1000M自適應(yīng)〕單口100BASE-FX模塊單口100BASE-FX單模模塊單口100BASE-TX模塊堆疊模塊包轉(zhuǎn)發(fā)速率線速802.1qVLAN4KACL標準IPACL〔基于IP地址的硬件ACL〕、擴展IPACL〔基于IP地址、傳輸層端口號的硬件ACL〕、MAC擴展ACL〔基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL〕、L2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3管理協(xié)議SNMPv1/v2C/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog其它協(xié)議BOOTP/DHCPRelay、DNSClient尺寸〔長×寬×高〕440×240×44mm電源160VAC~240VAC，48Hz~60Hz溫度工作溫度：0℃到45℃存儲溫度：-40oC到70oC濕度工作濕度：10%到90%RH存儲濕度：5%到90%RH●

適用場合

可滿足多種應(yīng)用需求：

高性價比的千兆上鏈解決方案

高密度端口需求，實現(xiàn)網(wǎng)絡(luò)彈性擴展

高平安接入控制

靈活的用戶帶寬分配

靈活的用戶計費

保證語音、組播音視頻效勞及視頻點播等關(guān)鍵任務(wù)的應(yīng)用

豐富的管理策略應(yīng)用，有效控制網(wǎng)絡(luò)訪問和端到端的QoS策略

●

典型應(yīng)用

RG-S2126S的組網(wǎng)形式非常靈活，適用各種類型網(wǎng)絡(luò)的接入層，如教育、金融、大中小企業(yè)、政法等。

·

大中型網(wǎng)絡(luò)接入層

·

小型網(wǎng)絡(luò)接入層會聚層交換機產(chǎn)品概述RG-S5750系列是銳捷網(wǎng)絡(luò)推出的融合了高性能、高平安、多智能、易用性的新一代萬兆機架式多層交換機。

該系列交換機提供的接口形式和組合非常靈活，即可以提供24個或48個10/100/1000M自適應(yīng)的千兆電口，又可以提供有24個SFP千兆光口，又能提供PoE遠程供電的接口。

每種產(chǎn)品型號都配合提供了靈活的復(fù)用千兆口，滿足網(wǎng)絡(luò)建設(shè)中不同傳輸介質(zhì)的連接需要。同時為滿足網(wǎng)絡(luò)的彈性擴展，和高帶寬傳輸需要，可靈活彈性擴展多種類型的萬兆模塊和萬兆堆疊模塊。

特別適合高帶寬、高性能和靈活擴展的大型網(wǎng)絡(luò)會聚層，中型網(wǎng)絡(luò)核心，以及數(shù)據(jù)中心效勞器群的接入使用。

該系列交換機硬件支持多層線速交換，并提供了豐富而完善的路由協(xié)議，以適合大型網(wǎng)絡(luò)多種路由和高性能的需要。

RG-S5750系列交換機提供二到七層的智能的業(yè)務(wù)流分類、完善的效勞質(zhì)量〔QoS〕保證和組播應(yīng)用管理特性。在提供高性能、多智能的同時，其內(nèi)在的平安防御機制和用戶接入管理能力，更可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入網(wǎng)絡(luò)，保證合法用戶合理地使用網(wǎng)絡(luò)資源，并可以根據(jù)網(wǎng)絡(luò)實際使用環(huán)境，實施靈活多樣的平安控制策略，充分保障了網(wǎng)絡(luò)平安、網(wǎng)絡(luò)合理化使用和運營。

RG-S5750系列交換機以極高的性價比為大型網(wǎng)絡(luò)會聚、中型網(wǎng)絡(luò)核心、數(shù)據(jù)中心效勞器接入提供了高性能、完善的端到端的效勞質(zhì)量、靈活豐富的平安設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、平安、智能的企業(yè)網(wǎng)需求。產(chǎn)品特性高性能IPv4/IPv6雙協(xié)議棧多層交換

高背板帶寬為所有的端口提供非阻塞性能；

豐富完善的路由性能和超大容量路由表資源可滿足大型網(wǎng)絡(luò)動態(tài)路由的需要，特別是支持ECMP/WCMP〔Equal-CostMultipathRouting/Weight-CostMultipathRouting〕，確保了各骨干網(wǎng)絡(luò)鏈路的充分使用，大大增加了網(wǎng)絡(luò)傳輸帶寬，而且可以無時延無丟包地備份失效鏈路的數(shù)據(jù)傳輸；

硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換，硬件區(qū)分和處理IPv4、IPv6協(xié)議報文，支持多種Tunnel隧道技術(shù)〔如手工配置隧道、6to4隧道和ISATAP隧道等，可根據(jù)IPv6網(wǎng)絡(luò)的需求規(guī)劃和網(wǎng)絡(luò)現(xiàn)狀，提供靈活的IPv6網(wǎng)絡(luò)間通信方案；

雙協(xié)議棧的支持和處理，使得無需改變網(wǎng)絡(luò)架構(gòu)，即可將現(xiàn)有網(wǎng)絡(luò)無縫地升級為下一代IPv6方案；

基于LPM硬件路由轉(zhuǎn)發(fā)方式使得RG-S5750系列不僅適用于大型網(wǎng)絡(luò)環(huán)境，而且可防御各種網(wǎng)絡(luò)病毒的侵襲，保障所有報文的線速轉(zhuǎn)發(fā)，有效保證了設(shè)備的平安性；

硬件支持多層線速交換，能夠識別二到七層的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流，并根據(jù)不同的應(yīng)用流進行不同的策略管理和控制。靈活完備的平安控制

具有的多種內(nèi)在機制可以有效防范和控制病毒傳播和黑客攻擊，如預(yù)防Dos攻擊、防黑客IP掃描等，還網(wǎng)絡(luò)一片綠色；

業(yè)界領(lǐng)先的硬件CPU保護機制：特有的CPU保護策略〔CPP技術(shù)〕，對發(fā)往CPU的數(shù)據(jù)流，進行流區(qū)分和優(yōu)先級隊列分級處理，并根據(jù)需要實施帶寬限速，充分保護CPU不被非法流量占用、惡意攻擊和資源消耗，保障了CPU平安，充分保護了交換機的平安；

硬件實現(xiàn)端口或交換機整機與用戶IP地址和MAC地址的靈活綁定，嚴格限定端口上的用戶接入或交換機整機上的用戶接入問題；

保護端口不必占用VLAN資源，即可非常方便地隔離用戶之間信息互通，充分保護用戶信息的平安；

支持DHCPsnooping，可只允許信任端口的DHCP響應(yīng)，防止私設(shè)DHCPServer的欺騙；并在DHCP監(jiān)聽的根底上，通過動態(tài)監(jiān)測ARP和檢查用戶的IP，直接丟棄不符合綁定表項的非法報文，有效防范ARP欺騙和用戶源IP地址的欺騙問題；

基于源IP地址控制的Telnet和Web設(shè)備訪問控制，防止非法人員和黑客惡意攻擊和控制設(shè)備，增強了設(shè)備網(wǎng)管的平安性；

SSH〔SecureShell〕和SNMPv3確保在Telnet和SNMP進程中加密管理信息，保證交換機管理信息的平安性，防止黑客攻擊和控制設(shè)備；

控制非法用戶接入網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口平安、端口隔離、專家級ACL、時間ACL、基于應(yīng)用數(shù)據(jù)流的帶寬限速、多元素綁定等等，滿足企業(yè)和校園網(wǎng)加強對訪問者進行控制、阻止非授權(quán)用戶通信的需求。豐富的組播特性

支持各種單播和組播動態(tài)路由協(xié)議，可適應(yīng)不同的網(wǎng)絡(luò)規(guī)模和需要進行大量組播效勞的環(huán)境，實現(xiàn)網(wǎng)絡(luò)的可擴展和多業(yè)務(wù)應(yīng)用；

支持IGMP源端口和源IP檢查功能，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的平安性；

支持IGMPv1/v2和IGMPv3全部版本，適應(yīng)不同組播環(huán)境，防止非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬，滿足組播平安應(yīng)用的需要。完善的QoS策略

以DiffServ標準為核心的QoS保障系統(tǒng)，支持802.1P、IPTOS、二到七層流過濾、SP、WRR等完整的QoS策略，實現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；

具備MAC流、IP流、應(yīng)用流等多層的流分類和流控制能力，實現(xiàn)按照業(yè)務(wù)流進行帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略，限速粒度精細，千兆端口粒度達64Kbps，萬兆端口粒度達1Mbps，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的效勞質(zhì)量特性，提供效勞。高可靠性

支持生成樹協(xié)議802.1D、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；

支持VRRP虛擬路由器冗余協(xié)議，有效保障網(wǎng)絡(luò)穩(wěn)定；

支持RLDP，可快速檢測鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測功能，防止端口下因私接Hub等設(shè)備形成的環(huán)路而導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象。方便易用易管理

靈活復(fù)用的多種千兆接口形式，可靈活滿足需要多個千兆銅纜和多個千兆光纖鏈路的連接，方便用戶靈活選擇線纜；

為滿足網(wǎng)絡(luò)彈性擴展和高帶寬傳輸需要，簡單項選擇配多種類型的萬兆模塊，網(wǎng)絡(luò)即可平滑升級到萬兆上鏈骨干；

為方便安裝地點或建筑物不適宜部署外部電源的環(huán)境，RG-S5750系列交換機特別提供支持PoE功能的產(chǎn)品型號，即通過雙絞線就可以向遠端下掛的PD設(shè)備供電，如無線AP、IPPhone、視頻監(jiān)控等設(shè)備，方便了任何符合IEEE802.3af標準的終端設(shè)備的接入，實現(xiàn)以太網(wǎng)集中供電，以滿足金融、企業(yè)、學(xué)校、醫(yī)院、工廠等用戶實現(xiàn)VoIP、遠程監(jiān)控、無線AP等網(wǎng)絡(luò)應(yīng)用的需要；

SNTP〔簡單網(wǎng)絡(luò)時間協(xié)議〕保證交換機時間的準確性，并與網(wǎng)絡(luò)中時間效勞器的時間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理；

Syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護和管理；

多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護效率；

CLI界面，方便高級用戶配置和使用；

Java-basedWeb管理方式，實現(xiàn)對交換機的可視化圖形界面管理，快速和高效地配置設(shè)備。技術(shù)參數(shù)技術(shù)參數(shù)產(chǎn)品型號RG-S5750-24GT/12SFPRG-S5750S-24GT/12SFPRG-S5750P-24GT/12SFPRG-S5750-24SFP/12GTRG-S5750-48GT/4SFPRG-S5750S-48GT/4SFP固定端口24端口10/100/1000M自適應(yīng)端口，12個復(fù)用的SFP接口，2個擴展槽24端口10/100/1000M自適應(yīng)端口，12個復(fù)用的SFP接口，2個擴展槽24端口10/100/1000M自適應(yīng)端口〔支持PoE遠程供電〕，12個復(fù)用的SFP接口，2個擴展槽24個SFP接口，12個復(fù)用的10/100/1000M自適應(yīng)端口，2個擴展槽48端口10/100/1000M自適應(yīng)端口，4個復(fù)用的SFP接口，2個擴展槽48端口10/100/1000M自適應(yīng)端口，4個復(fù)用的SFP接口，2個擴展槽可用模塊萬兆擴展模塊，萬兆堆疊模塊，萬兆光纖模塊，SFP光纖模塊包轉(zhuǎn)發(fā)速率L2：線速L3：線速L2：線速L3：線速VLAN支持4K個802.1QVLANACL標準IPACL〔基于IP地址的硬件ACL〕、擴展IPACL〔基于IP地址、TCP/UDP端口號的硬件ACL〕、MAC擴展ACL〔基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL〕、基于時間ACL、專家級ACL〔可同時基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、協(xié)議類型、時間等靈活組合的硬件ACL〕L2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.3af、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3、RLDP、IEEE802.3af〔S5750P產(chǎn)品型號〕L3協(xié)議IPv6、OSPFv1/v2、OSPFv3、ECMP/WCMP、RIPv1/v2、PIM〔DM/SM/SSM〕、DVMRP、VRRP、IGMPv1/v2/v3IPv6協(xié)議支持ICMPv6、IPv6動態(tài)路由協(xié)議OSPFv3、支持多種Tunnel隧道技術(shù)〔如手工配置隧道、6to4隧道和ISATAP隧道等〕DefeatDoSAttack支持DefeatIPScan支持管理協(xié)議SNMPv1/v2c/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、SNTP、NTP、SyslogJumboFrame支持其它協(xié)議SuperVLAN、PrivateVLAN、ProtocolVLAN、QinQ、DHCPServer、DHCPRelay、DHCPClient、DHCPSnooping、免費ARP、DNSClient尺寸〔長×寬×高〕440×435×44mm440×420×44mm電源176VAC~264VAC48Hz~60Hz功耗〔滿負荷〕70WS5750P在所有端口外接PD情況下<460W120W溫度工作溫度:0oC到45oC存儲溫度:-40oC到70oC濕度工作濕度:10%到90%RH存儲濕度:5%到90%RH典型應(yīng)用適用場合

大型網(wǎng)絡(luò)的會聚層、中小型網(wǎng)絡(luò)的核心、效勞器群的接入、大型企業(yè)或園區(qū)辦公樓棟的全千兆接入

通過簡單地增加萬兆模塊即可以平滑地升級為萬兆上鏈骨干網(wǎng)，保護用戶投資

需要能靈活多樣的千兆端口形式和千兆端口數(shù)的場合，提供高性能數(shù)據(jù)處理

需要高性能的多層交換解決方案

豐富的平安管理機制，提供網(wǎng)絡(luò)平安防御、高平安接入控制和有效網(wǎng)絡(luò)訪問控制

完善的管理策略應(yīng)用，幫助管理帶寬、保證語音、組播音視頻效勞及視頻點播等關(guān)鍵任務(wù)的應(yīng)用典型應(yīng)用

●

大型網(wǎng)絡(luò)會聚

·

萬兆骨干校園網(wǎng)

RG-S5750系列交換機用于學(xué)校各教學(xué)科研、圖書館、學(xué)生宿舍各樓棟，千兆下連樓層接入交換機，萬兆上鏈各區(qū)域的區(qū)核心交換機，為接入用戶提供高性能的萬兆骨干鏈路，滿足接入信息點不斷擴充和信息量日益增加的需要。

·

平安金融局域網(wǎng)

采用功能模塊區(qū)的層次劃分，通過銳捷RG-S8600，RG?S6800E，RG-S5750提供的業(yè)界最強大平安防護功能，可以為金融一級分行提供滿足新形勢下的一級分行信息系統(tǒng)對網(wǎng)絡(luò)平安的要求，并配合數(shù)據(jù)中心建立全行一體化的網(wǎng)絡(luò)平安體系，實施完善的一級分行轄內(nèi)網(wǎng)絡(luò)平安工程。

在平安防護的根底上，RG-S5750的高性能、高可靠性和靈活的QoS策略更可為金融局域網(wǎng)提供穩(wěn)定智能的網(wǎng)絡(luò)環(huán)境。

1、

利用VRRP、802.1S等技術(shù)提供接入交換機和核心交換機之間的負載均衡和冗余備分，滿足金融機構(gòu)極高的網(wǎng)絡(luò)穩(wěn)定需求。

2、

提供靈活的流分類和QOS技術(shù)，滿足金融網(wǎng)絡(luò)重要業(yè)務(wù)的帶寬保證和性能要求。

3、

RG-S5750強大的路由處理性能，滿足金融網(wǎng)絡(luò)環(huán)境路由設(shè)計復(fù)雜條件下的高性能需求。

●

中小型網(wǎng)絡(luò)核心

核心交換機使用銳捷網(wǎng)絡(luò)平安智能萬兆多層交換機RG-S5750S-24GT/12SFP，高背板帶寬和線速的包轉(zhuǎn)發(fā)速率，可以滿足中小學(xué)校和中小企業(yè)的各種應(yīng)用需求，靈活多樣的千兆接口〔24個千兆電口和靈活復(fù)用的12個SFP光纖接口〕，用于連接各分點接入交換機和效勞器的接入需要。

●

大型企業(yè)或園區(qū)網(wǎng)的接入

S5750系列交換機上行通過萬兆或千兆連接銳捷的多業(yè)務(wù)IPv6核心路由交換機S8600系列，核心設(shè)備通過萬兆或多千兆鏈路聚合相連；S5750系列向下通過千兆連接桌面工作組，實現(xiàn)全千兆三層到桌面，并且可以通過萬兆彈性堆疊提供端口的無縫擴容，滿足網(wǎng)絡(luò)的靈活擴展。核心交換機產(chǎn)品概述RG-S8600是銳捷網(wǎng)絡(luò)推出的面向十萬兆平臺設(shè)計的下一代高密度多業(yè)務(wù)IPV6核心路由交換機，滿足未來以太網(wǎng)絡(luò)的應(yīng)用需求，支持下一代的以太網(wǎng)100G速率接口，提供10豎插槽設(shè)計和6橫插槽設(shè)計兩種主機：RG-S8606和RG-S8610。

RG-S8600系列高密度多業(yè)務(wù)IPV6核心路由交換機提供3.2T/1.6T背板帶寬，并支持將來更高帶寬的擴展能力，高達1190Mpps/595Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高密度端口的高速無阻塞數(shù)據(jù)交換。

RG-S8600系列高密度多業(yè)務(wù)IPV6核心路由交換機提供全面的平安防護體系，提供分布式的業(yè)務(wù)融合平臺，滿足未來網(wǎng)絡(luò)對平安和業(yè)務(wù)的更高需求。產(chǎn)品特性●

強大的處理能力

RG-S8600系列萬兆核心路由交換機提供3.2T/1.6T背板帶寬，并支持將來更高帶寬的擴展能力，提供1190Mpps/595Mpps的數(shù)據(jù)轉(zhuǎn)發(fā)能力，每線卡提供高達200G的交換能力，滿足高密度的千兆/萬兆端口線速轉(zhuǎn)發(fā)，并且支持未來100G接口的擴展。

●

強大的平安穩(wěn)定保障

1、關(guān)鍵部件的平安穩(wěn)定：

主機支持冗余的管理模塊、冗余的電源模塊、各種模塊熱拔插等平安穩(wěn)定保障技術(shù)。

兩個管理模塊之間支持負載均衡工作模式，可支持主備和并發(fā)兩種工作模式，提供更為強大的冗余能力和處理性能。

主機監(jiān)控顯示屏可直接顯示交換機名、CPU利用率、內(nèi)存利用率、管理模塊與線卡溫度、風(fēng)扇和電源工作狀態(tài)、持續(xù)工作時間等，提供及時的設(shè)備關(guān)鍵狀態(tài)查看，提升系統(tǒng)平安穩(wěn)定的維護能力。

主機實時檢測CPU的使用狀態(tài)，并提供業(yè)界領(lǐng)先的硬件CPU保護技術(shù)〔CPP，Control

PlanePolicy〕，CPP技術(shù)對發(fā)往CPU的數(shù)據(jù)進行流區(qū)分和流限速，防止非法攻擊包對CPU的攻擊和資源消耗。

2、病毒和攻擊防護：

采用硬件方式提供多種平安防護能力，例如防DDOS攻擊、非法數(shù)據(jù)包檢測、數(shù)據(jù)加密、防源IP地址欺騙等等，防止了傳統(tǒng)軟件實現(xiàn)方式對整機性能的影響。

提供業(yè)界最為強大的ACL特性，基于SPOH技術(shù)提供IP標準、IP擴展、MAC擴展、時間、專家級等豐富的ACL技術(shù)，支持IPV4/IPV6雙棧下的輸入輸出ACL。

提供線卡分布式的IPFIX監(jiān)控技術(shù)，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，有助于提早發(fā)現(xiàn)網(wǎng)絡(luò)中病毒和攻擊等不平安行為，并通過流量監(jiān)控技術(shù)提供的詳細異常流量數(shù)據(jù)信息，識別攻擊源或攻擊手段。

支持同時啟用多組的多端口同步監(jiān)控技術(shù)，并且支持靈活的輸入、輸出、雙向數(shù)據(jù)鏡像，滿足靈活的網(wǎng)絡(luò)監(jiān)控需求，提升網(wǎng)絡(luò)監(jiān)控能力。

3、設(shè)備管理平安：

提供SSHv1/v2的加密登陸和管理功能，防止管理信息明文傳輸引發(fā)的潛在威脅；

Telnet/Web登錄的源IP限制功能，防止非法人員對網(wǎng)絡(luò)設(shè)備的管理；

SNMPV3提供加密和鑒別功能，可以確保數(shù)據(jù)從合法的數(shù)據(jù)源發(fā)出，確保數(shù)據(jù)在傳輸過程中不被篡改，并且加密報文，確保數(shù)據(jù)的機密性。

4、接入平安：

硬件支持IP、MAC、端口綁定，提高用戶接入控制能力；

支持802.1X技術(shù)，滿足6元素綁定接入限制；

支持IGMP源端口檢查、源IP檢查、IGMP過濾等功能，可有效控制非法組播源，提高網(wǎng)絡(luò)平安；

IGMPV3支持通告客戶端主機希望接收的多播源效勞器的地址，防止非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬；

通過PVLAN〔端口保護〕隔離用戶之間信息互通，不必占用VLAN資源；

支持根據(jù)帶寬速率或帶寬百分比進行未知名報文、多播包、播送包進行控制；

端口MAC地址鎖、MAC地址過濾、端口MAC地址接入數(shù)量限制功能可以屏蔽非法主機的接入和非法數(shù)據(jù)包進入網(wǎng)絡(luò)。

●

豐富的應(yīng)用支持技術(shù)1、提供完善的各種QOS技術(shù)

靈活的流分類：除了根據(jù)IPPrecedence、802.1P、DSCP進行流分類，還可以根據(jù)專家級ACL、IP擴展ACL、IP標準ACL、MAC擴展ACL等進行流分類；

多種隊列技術(shù)：UrgentQueue、ProtocolQueue、硬件隊列、FIFO、PQ、CQ；

擁塞管理和控制技術(shù)：SP、RR、WRR、DRR、SP+WRR、SP+DRR、CBQ、WFQ、CBWFQ、LLQ、WRED、CAR、LR〔In\Out〕、TrafficShaping〔GTS〕、HOL、RSVP等。

2、提供多種組播支持技術(shù)，包括IGMPsnooping、IGMP、PIM〔SSM、SM、DM〕，DVMRP，保證了網(wǎng)絡(luò)中提供組播效勞時的帶寬合理占用，同時提供支持IGMP源端口檢查、源IP檢查、IGMP過濾功能等屏蔽非法組播源。

3、線卡分布式提供硬件的IPV6、MPLS/VPLS、策略路由、IPFIX等業(yè)務(wù)處理能力，提供支持POE功能的多種線卡。

●

支持領(lǐng)先的萬兆以太網(wǎng)技術(shù)〔IEEE802.3ae、IEEE802.3ak、IEEE802.3an〕

萬兆以太網(wǎng)采用了IEEE802.3以太網(wǎng)媒體訪問控制〔MAC〕協(xié)議、IEEE802.3以太網(wǎng)幀格式，以及IEEE802.3幀的最大和最小尺寸。萬兆以太網(wǎng)是以太網(wǎng)在速度和距離方面的進步，采用全雙工技術(shù)，不需要應(yīng)用低速的、半雙工的CSMA/CD協(xié)議。在其他方面，萬兆以太網(wǎng)保存了初期以太網(wǎng)模型的精髓，因而可以和現(xiàn)有以太網(wǎng)環(huán)境無縫融合，支持客戶已有應(yīng)用。

RG-S8600全面支持萬兆局域網(wǎng)傳輸標準：10GBASE-R〔IEEE802.3ae〕、10GBASE-W〔IEEE802.3ae〕、10GBASE-LX4〔IEEE802.3ae〕、10GBASE-CX4〔IEEE802.3ak〕、10BGASE-T〔IEEE802.3an〕，五種傳輸標準在數(shù)據(jù)鏈路層以上都相同，差異在于物理層。

10GBASE-R、10GBASE-CX4、10GBASE-T用于傳統(tǒng)的以太網(wǎng)環(huán)境，10GBASE-R采用光纖作為傳輸介質(zhì)，10GBASE-CX4采用同軸銅纜作為傳輸介質(zhì)，10GBASE-T采用雙絞線銅纜作為傳輸介質(zhì)，而10GBASE-W可與OC-192電路、SONET/SDH設(shè)備一起運行，保護傳統(tǒng)根底投資，使運營商能夠在不同地區(qū)通過城域網(wǎng)提供端到端以太網(wǎng)。10GBSE-LX4那么使用WDM波分復(fù)用技術(shù)進行數(shù)據(jù)傳輸。

●

擴展的路由技術(shù)

1、

基于每個SVI接口的defaultroute配置

基于SVI接口的缺省路由優(yōu)先級比基于整機的缺省路由優(yōu)先級高，所以，當(dāng)需要為缺省路由設(shè)置備份線路的時候可以使用該功能很好地實現(xiàn)。

2、ECMP/WCMP〔Equal-CostMultipathRouting/Weight-CostMultipathRouting〕

在擁有多條不同鏈路到達同一目的地址的網(wǎng)絡(luò)環(huán)境中，如果使用傳統(tǒng)的路由技術(shù)，發(fā)往該目地址的數(shù)據(jù)包只能利用其中的一條鏈路，其它鏈路處于備份狀態(tài)或無效狀態(tài)，并且在動態(tài)路由環(huán)境下相互的切換需要一定時間，而等值多路徑路由協(xié)議〔ECMP〕和權(quán)重多路徑路由協(xié)議〔WCMP〕可以在該網(wǎng)絡(luò)環(huán)境下同時使用多條鏈路，不僅增加了傳輸帶寬，并且可以無時延無丟包地備份失效鏈路的數(shù)據(jù)傳輸。

3、基于目的IP地址的策略路由

在擁有多條不同鏈路到達同一目的地址的網(wǎng)絡(luò)環(huán)境中，使用基于目的IP地址的策略路由可以在多條鏈路間實現(xiàn)等值負載均衡和相互備份。

4、策略路由

在擁有多條不同鏈路到達同一目的地址的網(wǎng)絡(luò)環(huán)境中，策略路由功能可基于數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議字段、TCP/UDP源端口號、TCP/UDP目的端口號等特征進行多條出口鏈路間的靈活選擇和相互備份。

●

最長匹配〔LPM〕三層交換技術(shù)

在傳統(tǒng)的硬件三層交換機中采用“一次路由、屢次交換〞的路由技術(shù)，使用精確流匹配方式進行硬件三層轉(zhuǎn)發(fā)，大量消耗CPU資源，并且占用大量的硬件存儲資源。

最長匹配〔LPM〕三層交換技術(shù)可以解決傳統(tǒng)方式“屢次交換〞中采用精確流匹配而帶來硬件存儲空間壓力過大的問題。最長匹配〔LPM〕技術(shù)支持靜態(tài)路由、動態(tài)學(xué)習(xí)到的路由都直接以網(wǎng)段形式存儲于硬件轉(zhuǎn)發(fā)表，一個目的網(wǎng)段使用一個轉(zhuǎn)發(fā)表項，而不明目的網(wǎng)段IP地址的數(shù)據(jù)包直接通過硬件缺省路由轉(zhuǎn)發(fā)。

因此，LPM技術(shù)的優(yōu)點是極大地節(jié)約硬件存儲空間，擁有硬件缺省路由，所以，病毒和攻擊數(shù)據(jù)包可以通過硬件網(wǎng)段路由或缺省路由進行轉(zhuǎn)發(fā)，不增加額外的硬件表項，防止了存儲溢出導(dǎo)致CPU利用率過高問題，保障設(shè)備的正常運行?！?/p>

領(lǐng)先的多業(yè)務(wù)擴展能力

RG-S8600提供業(yè)界領(lǐng)先的集成萬兆防火墻模塊M8600-FW，可以為用戶提供無以倫比的平安性、可靠性和性能。

RG-S8600提供業(yè)界領(lǐng)先的集成負載均衡模塊M8600-LB，具有7層應(yīng)用交換功能，提供效勞器、防火墻、入侵檢測等設(shè)備的負載均衡功能。產(chǎn)品參數(shù)技術(shù)參數(shù)RG-S8610RG-S8606模塊插槽10個〔2個用于管理引擎模塊〕6個〔2個用于管理引擎模塊〕背板3.2T〔支持更高帶寬的未來擴展〕1.6T〔支持更高帶寬的未來擴展〕交換容量1.6T〔支持更高帶寬的未來擴展〕0.8T〔支持更高帶寬的未來擴展〕包轉(zhuǎn)發(fā)速率L2：1190MppsL3：1190MppsL2：595MppsL3：595MppsMAC地址512K路由表項100萬802.1qVLAN4KL2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3an、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEEE802.1D、IEEEE802.1w、IEEEE802.1s、RERP、SPAN、IGMPSnoopingv1/v2/v3、JumboFrame(9Kbytes)、QinQ、GVRP、RLDPL3協(xié)議(IPV4)BGP4、IS-IS、OSPFv2、RIPV1、RIPV2、IGMPv1/v2/v3、DVMRP、PIM-SSM/SM/DM、MBGP、LPMRouting、Policy-basedRouting、Route-policy、ECMP、WCMP、VRRPIpv6協(xié)議靜態(tài)路由、等價路由、策略路由、ICMPv6、ICMPv6重定向、DHCPv6、ACLv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、OSPFV3、RIPng、BGP4+、IS-ISv6、NAT-PT、TCP/UDPforipv6、SOCKETforipv6、手工隧道、ISATAP、6to4隧道QOSIPPrecedence、802.1P、DSCP、ACL流分類、UrgentQueue、、ProtocolQueue、硬件隊列、FIFO、PQ、CQ、SP、RR、WRR、DRR、SP+WRR、SP+DRR、CBQ、WFQ、CBWFQ、LLQ、WRED、CAR、LR〔In\Out〕TrafficShaping〔GTS〕、HOL、RSVP專業(yè)平安技術(shù)防DDOS攻擊、非法數(shù)據(jù)包檢測、數(shù)據(jù)加密、防源IP欺騙、防IP掃描管理方式SNMPv1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2、FTP/TFTP、USB、監(jiān)控顯示屏其它協(xié)議CPP、SNTP、NTP、DHCPClient、DHCPRelay、DHCPServer、DNSClient、UDPrelay、ARPProxy、Radius、Tacacs、Domain、MPLS、VPLS、VPN、Syslog、IPFIX、NAT尺寸〔長x寬x高〕448mmx437mmx956mm508mmx437mmx647mm電源100VAC~240VAC，50Hz~60Hz，功率:1200W；2000WMTBF>200,000hours溫度工作溫度：0℃到存儲溫度：-40℃到濕度工作濕度:10%到90%RH存儲濕度:5%到95%RH●

萬兆核心IPV6校園網(wǎng)

1、

校園網(wǎng)全網(wǎng)采用支持IPV6的網(wǎng)絡(luò)設(shè)備，S86、S57都提供硬件ASIC的IPV6，S68支持NP擴展IPV6，滿足高校網(wǎng)絡(luò)現(xiàn)在和未來的下一代網(wǎng)絡(luò)建設(shè)需求。

2、

RG-S8600提供業(yè)界最為強大的平安防護功能，硬件方式提供防DDOS攻擊、非法數(shù)據(jù)包檢測、防源IP地址欺騙等多種專業(yè)平安防護能力，硬件方式提供IPFIX流量監(jiān)控能力和CPP技術(shù)，滿足平安可信校園新網(wǎng)絡(luò)的建設(shè)需求。

3、

RG-S8600提供強大性能的全分布式硬件策略路由功能，滿足高校多出口之間負載均衡和冗余備份的功能。

4、

通過萬兆骨干網(wǎng)提供各區(qū)域之間的高速連接，保證各業(yè)務(wù)高效運行，并提供骨干區(qū)域之間的鏈路冗余備份提升網(wǎng)絡(luò)平安。

●

平安金融局域網(wǎng)

1、

利用VRRP、802.1S等技術(shù)提供接入交換機和核心交換機之間的負載均衡和冗余備分，滿足金融機構(gòu)極高的網(wǎng)絡(luò)穩(wěn)定需求。

2、

RG-S8600提供業(yè)界最為強大的平安防護功能，硬件方式提供防DDOS攻擊、非法數(shù)據(jù)包檢測、防源IP地址欺騙等多種專業(yè)平安防護能力，硬件方式提供SFLOW流量監(jiān)控能力和CPP技術(shù)，滿足平安可信金融新網(wǎng)絡(luò)的建設(shè)需求。

3、

提供靈活的流分類和各種擁塞控制QOS技術(shù)，滿足金融網(wǎng)絡(luò)重要業(yè)務(wù)的帶寬保證和性能要求。4、

強大的路由處理能力，滿足金融網(wǎng)絡(luò)環(huán)境路由設(shè)計復(fù)雜條件下的高性能需求。出口路由產(chǎn)品概述銳捷RSR-08路由器是高性能、通用的骨干會聚路由器，具有高背板帶寬、高包轉(zhuǎn)發(fā)率、結(jié)構(gòu)緊湊、端口密度高等特點，并能提供全范圍的光纖和銅纜接口。RSR-08路由器具有強大的業(yè)務(wù)能力，可以滿足目前所有的城域會聚和接入需求，提供多協(xié)議標準交換(MPLS)第2或3層隧道技術(shù)、動態(tài)帶寬控制和面向連接的數(shù)據(jù)收集體系。作為多協(xié)議標記〔MPLS〕PE路由器，他們使提供商的基于MPLS的業(yè)務(wù)具有高度的可擴展性和可靠性。通過使用VPLS，可以利用原有網(wǎng)絡(luò)和以太網(wǎng)根底設(shè)施提供VOIP、互聯(lián)網(wǎng)接入、視頻以及多點虛擬專用網(wǎng)〔VPN〕等融合業(yè)務(wù)。

銳捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太網(wǎng)，速率高達OC-48。部署在各種應(yīng)用中，RSR-08路由器可用于搭建骨干會聚路由器和核心層網(wǎng)絡(luò)，為用戶提供綜合的、高性能、功能強大的效勞,并提供高可用性網(wǎng)絡(luò)所需的冗余支持。

銳捷RSR-08路由器主要應(yīng)用在電信運營商以及政府、金融、教育、電力、企業(yè)用戶市場的網(wǎng)絡(luò)建設(shè)。產(chǎn)品特性一、功能豐富的線速效勞

IP路由、單播(unicast)和組播(multicast)

每個線路卡上硬件的路由

MPLSLSR和LER支持

RSVP-TE流量工程支持

平安〔ACL，L2過濾器〕

基于硬件的速率限制、速率整形

第四層應(yīng)用流交換和效勞質(zhì)量政策解決方案〔簡稱QoS〕

基于端口或協(xié)議的虛擬局域網(wǎng)〔簡稱VLAN〕

網(wǎng)絡(luò)地址翻譯〔NAT〕

巨型楨〔JumboFrame〕支持

效勞器負載均衡〔LSNAT〕

2547-bisMPLSL3VPN

MartiniMPLSL2VLL

MPLS透明局域網(wǎng)業(yè)務(wù)TLS

MPLS快速重路由二、高度的容錯設(shè)計

冗余CPU、電源

熱拔插介質(zhì)模塊

基于標準的虛擬路由器冗余協(xié)議〔VRRP〕

第二層和第三層冗余協(xié)議支持

冗余交換矩陣

無縫保護系統(tǒng)〔HPS〕三、廣泛的管理方式

線速全組RMON/RMON2

簡單網(wǎng)絡(luò)管理協(xié)議〔SNMP〕管理

SSH

RADIUS

TACACS＋

RS-232〔頻帶外管理〕

命令行接口〔CLI〕四、豐富的接口類型

10/100Base-TX

100Base-FX

1000Base-LH

1000Base-SX

1000Base-LX

1000Base-T

SerialT1/E1

HSSIT3/E3

多級速度WAN模塊

信道化DS-3

POSOC-3c,OC-12c

ATMDS-3,E-3,OC-3c,OC-12c

OC-48彈性分組環(huán)技術(shù)參數(shù)設(shè)備性能交換容量32G包處理能力16.7MPPSACL2萬條路由表25萬條流表最多可達2,000,000個第4層應(yīng)用數(shù)據(jù)流最多可達3,500,000個第2層MAC地址MTBF>200,000小時〔預(yù)測〕協(xié)議支持路由協(xié)議OSPF、IS-IS、BGP、RIPv2、靜態(tài)路由組播協(xié)議IGMP、PIM-DM/SM、DVMRP、RP地址管理靜態(tài)、DHCP中繼MPLSMPLSLSR和LER支持、2547-bisMPLSL3VPN、MartiniMPLSL2VLL、MPLS透明局域網(wǎng)業(yè)務(wù)TLS、MPLS快速重路由特色支持NAT、Loadbalancing、VSRP、Webcacheredirection、策略路由、HPS管理方式線速全組RMON/RMON2、簡單網(wǎng)絡(luò)管理協(xié)議〔SNMP〕管理、SSH、RADIUS、TACACS＋、RS-232、命令行接口〔CLI〕物理指標尺寸高8.75英寸×寬17.25英寸×深12.25英寸〔22.23厘米×43.82厘米×31.12厘米〕重量44.5磅〔20.2公斤〕環(huán)境規(guī)格操作溫度+0°C到+40°〔32o到104oF〕存儲溫度-40°C到+70°C(-40o到158oF)相對操作濕度10%到90%〔非冷凝〕相對存儲濕度5%到95%〔非冷凝〕電源規(guī)格交流電源輸入電壓：100到240VAC輸入電流：12～6A頻率：50到60Hz直流電源輸入電壓：-48到-60VDC輸入電流：27A標準和標準平安性UL60950、CAN/CSA-C22.2No.60950、EN60950、IEC950、72/73/EEC電磁兼容性FCCPart15、CSAC108.8、EN55022、VCCI、EN55024、89/336/EECETSIETSIEN300-386、EN300-109、ETS300-753NEBSNEBSLevel3、GR-1089、GR-63防火墻產(chǎn)品概述RG-WALL系列采用銳捷網(wǎng)絡(luò)獨創(chuàng)的分類算法〔ClassificationAlgorithm〕設(shè)計的新一代平安產(chǎn)品——第三類防火墻，支持擴展的狀態(tài)檢測〔StatefulInspection〕技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時在啟用動態(tài)端口應(yīng)用程序(如VoIP,H323等)時，可提供強有力的平安信道。

采用銳捷獨創(chuàng)的分類算法使得RG-WALL產(chǎn)品的高速性能不受策略數(shù)和會話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會影響網(wǎng)絡(luò)速度；同時，RG-WALL在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作，因此不會成為網(wǎng)絡(luò)流量的瓶頸。另外，RG-WALL具有入侵監(jiān)測功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測功能不會影響防火墻的性能。

RG-WALL的主要功能包括：擴展的狀態(tài)檢測功能、防范入侵及其它〔如URL過濾、HTTP透明代理、SMTP代理、別離DNS、NAT功能和審計/報告等〕附加功能。產(chǎn)品特性●

銳捷網(wǎng)絡(luò)私有的分類算法，性能不受規(guī)那么數(shù)及會話數(shù)的影響

●

在內(nèi)核層處理流量，極大降低應(yīng)用層的負荷

●

多線程代理方式

●

內(nèi)置入侵檢測功能，確保防火墻的平安運行

●

實時的狀態(tài)監(jiān)控功能，動態(tài)過濾技術(shù)

●

無需L4交換機，無需增加模塊就可實現(xiàn)Active-Active的高可用性解決方案

●

支持網(wǎng)橋模式和路由模式以及NAT模式

●

支持多個接口及VLAN，適合多種網(wǎng)絡(luò)結(jié)構(gòu)

●

內(nèi)置入侵檢測模塊

●

支持應(yīng)用代理、內(nèi)容平安防護、帶寬管理、DHCP效勞器、OPSEC國際平安聯(lián)動協(xié)議等功能及協(xié)議；

●

支持L2TPVPN、GREVPN、IPSecVPN等多種VPN功能；

●

支持NAT，支持多種NATALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP

●

實現(xiàn)DNS別離功能，保護了內(nèi)部DNS結(jié)構(gòu)的平安性，也可為小型企業(yè)免除DNS的投資

●

基于網(wǎng)絡(luò)IP和MAC地址綁定的包過濾

●

透明代理〔TransparentProxy〕，URL級的信息過濾

●

流量控制管理，保證關(guān)鍵用戶，關(guān)鍵流量對網(wǎng)絡(luò)的使用

●

工作模式的多樣性，可以不影響現(xiàn)有網(wǎng)絡(luò)，迅速投入使用

●

平安的網(wǎng)絡(luò)結(jié)構(gòu)和平安的體系結(jié)構(gòu)

●

提供操作簡單的圖形化用戶界面對防火墻進行配置

●

支持BT/eDonkey/Kazaa等P2P軟件的禁止和帶寬限制

●

支持入侵檢測和防護〔IPS〕

●

支持多種IDS產(chǎn)品聯(lián)動和自動響應(yīng)阻斷方式

●

支持冗余電源，提供更高設(shè)備可靠性

●

支持集群功能，最多支持4臺防火墻之間的Active/Standby,Active/Active模式產(chǎn)品參數(shù)RG-WALL1600千兆防火墻/VPN網(wǎng)關(guān)端口固化4個10/100/1000BaseT端口+4個SFP端口尺寸標準19英寸寬度，2U高度電氣性能電源類型：AC100-240V/50-60Hz電源功率：400W，冗余電源工作環(huán)境操作環(huán)境：溫度0℃~40℃，濕度0%~80%存儲環(huán)境：溫度-40℃~80℃，濕度0%~95%技術(shù)性能MTBF〔平均故障間隔時間〕：≥100,000小時2.3設(shè)備清單及預(yù)算RG-S2126S40*6*20000=4800000元RG-S57501*40*99000=360000元RG-S86002*239800=479600元RG-WALL16002*350000=700000元線纜費用10萬總計10096400*0.4+100000=4,048,560元第三章網(wǎng)絡(luò)拓撲和IP規(guī)劃3.1網(wǎng)絡(luò)拓撲圖100M100M光纖雙絞線…1000M光纖10G光纖ChinaNetCennNet教學(xué)科研樓圖書館樓行政辦公樓綜合管理平臺學(xué)生住宅樓核心交換機RG-S8606RG-S8606RG-S2126SRGS2126SRG-S2126SRG-S2126SRG-S5750RG-S5750RG-S5750RG-S5750RG-WALL1600RG-IDS入侵檢測系統(tǒng)接入控制：帳號+IP＋MAC＋端口多元素綁定接入時段控制代理效勞器控制用戶權(quán)限控制RG-S5750效勞器群Web/視頻…DHCP效勞器RS-08……其他學(xué)生住宅樓…..其他校區(qū)3.2IP地址規(guī)劃=1\*GB2⑴網(wǎng)絡(luò)中心：核心交換機接口IP地址子網(wǎng)掩碼4/1(大樓A).14/2(大樓B).54/3(大樓C).94/4(大樓D).123/0(出口路由).15Vlan88路由器接口/公網(wǎng)IP配置情況IP地址子網(wǎng)掩碼0/0〔內(nèi)網(wǎng)〕.16S1/1(chinanet)670/1〔Cernet〕所得公網(wǎng)IP段DNS效勞器=2\*GB2⑵大樓1：Vlan號/端口網(wǎng)絡(luò)號/IP地址子網(wǎng)掩碼網(wǎng)關(guān)1/1(上行).2Vlan11.128.129Vlan12.0.1Vlan13.128.129Vlan14.0.1Vlan15.128.129=3\*GB2⑶大樓2：Vlan號/端口網(wǎng)絡(luò)號/IP地址子網(wǎng)掩碼網(wǎng)關(guān)1/1(上行).6Vlan21.0.1Vlan22.128.129Vlan23.0.1Vlan24.128.129Vlan25.0.1=4\*GB2⑷大樓3：Vlan號/端口網(wǎng)絡(luò)號/IP地址子網(wǎng)掩碼網(wǎng)關(guān)1/1(上行).10Vlan31.128.129Vlan32.0.1Vlan33.128.129Vlan34.0.1Vlan35.128.129第四章技術(shù)選型三層交換技術(shù)的應(yīng)用及選擇第三層交換機，實際上就好象是將傳統(tǒng)交換器與傳統(tǒng)路由器結(jié)合起來的網(wǎng)絡(luò)設(shè)備，它既可以完成傳統(tǒng)交換機的端口交換功能，又可完成局部路由器的路由功能。當(dāng)然，這種二層設(shè)備與三層設(shè)備的結(jié)合，并不是簡單的物理結(jié)合，而是各取所長的邏輯結(jié)合，其中最重要的表現(xiàn)是，當(dāng)某一信息源的第一個數(shù)據(jù)流進入第三層交換機后，其中的路由系統(tǒng)將會產(chǎn)生一個MAC地址與IP地址映射表，并將該表存儲起來，當(dāng)同一信息源的后續(xù)數(shù)據(jù)流再次進入第三層交換時，交換機將根據(jù)第一次產(chǎn)生并保存的地址映射表，直接從二層由源地址傳輸?shù)侥康牡刂罚辉傩杞?jīng)過第三路由系統(tǒng)處理，從而消除了路由選擇時造成的網(wǎng)絡(luò)延遲，提高了數(shù)據(jù)包的轉(zhuǎn)發(fā)效率，解決了網(wǎng)間傳輸信息時路由產(chǎn)生的速率瓶頸。

第三層交換機的出現(xiàn)，實際上已經(jīng)歷了三代。第一代產(chǎn)品是一種由分立電子元件和原語式軟件相結(jié)合的簡單混合體，設(shè)備體積大、重量重、功耗高，所需散熱風(fēng)扇功率高、體積大，而性能較差。運行在一個固定內(nèi)存處理機上的軟件系統(tǒng)，雖然在管理和協(xié)議功能方面有許多改善，但當(dāng)用戶的日常業(yè)務(wù)更加依賴于網(wǎng)絡(luò)，使得網(wǎng)絡(luò)流量不斷增加時，網(wǎng)絡(luò)設(shè)備便成了傳輸瓶頸；第二代交換機的硬件引進了專門用于優(yōu)化第二層處理的專用集成電路ASIC〔ApplicationSpecificIntegratedCircuit〕芯片，體積、功耗、性能得到了極大改善與提高，并降低了系統(tǒng)的整體本錢，這就是我們傳統(tǒng)的第二層交換機；第三代交換機并不是簡單地建立在第二代交換設(shè)備上，而是在第三層路由、組播及用戶可選策略等方面提供了線速性能，在硬件方面也采用了性能與功能更先進的ASIC芯片。三層路由技術(shù)RIP路由協(xié)議RIP是路由信息協(xié)議〔RoutingInformationProtocol〕的縮寫，是一種在網(wǎng)關(guān)與主機之間交換路由選擇信息的標準，采用距離向量算法，是當(dāng)今應(yīng)用最為廣泛的內(nèi)部網(wǎng)關(guān)協(xié)議。在默認情況下，RIP使用一種非常簡單的度量制度：距離就是通往目的站點所需經(jīng)過的鏈路數(shù)，取值為1~15，數(shù)值16表示無窮大。RIP進程使用UDP的520端口來發(fā)送和接收RIP分組。RIP分組每隔30s以播送的形式發(fā)送一次，為了防止出現(xiàn)“播送風(fēng)暴〞，其后續(xù)的的分組將做隨機延時后發(fā)送。在RIP中，如果一個路由在180s內(nèi)未被刷，那么相應(yīng)的距離就被設(shè)定成無窮大，并從路由表中刪除該表項。RIP分組分為兩種：請求分組和相應(yīng)分組。RIP-1被提出較早，其中有許多缺陷。為了改善RIP-1的缺乏，在RFC1388中提出了改良的RIP-2，并在RFC1723和RFC2453中進行了修訂。RIP-2定義了一套有效的改良方案，新的RIP-2支持子網(wǎng)路由選擇，支持CIDR，支持組播，并提供了驗證機制。隨著OSPF和IS-IS的出現(xiàn)，許多人認為RIP已經(jīng)過時了。但事實上RIP也有它自己的優(yōu)點。對于小型網(wǎng)絡(luò)，RIP就所占帶寬而言開銷小，易于配置、管理和實現(xiàn)，并且RIP還在大量使用中。但RIP也有明顯的缺乏，即當(dāng)有多個網(wǎng)絡(luò)時會出現(xiàn)環(huán)路問題。為了解決環(huán)路問題，IETF提出了分割范圍方法，即路由器不可以通過它得知路由的接口去宣告路由。分割范圍解決了兩個路由器之間的路由環(huán)路問題，但不能防止3個或多個路由器形成路由環(huán)路。觸發(fā)更新是解決環(huán)路問題的另一方法，它要求路由器在鏈路發(fā)生變化時立即傳輸它的路由表。這加速了網(wǎng)絡(luò)的聚合，但容易產(chǎn)生播送泛濫?？傊?，環(huán)路問題的解決需要消耗一定的時間和帶寬。假設(shè)采用RIP協(xié)議，其網(wǎng)絡(luò)內(nèi)部所經(jīng)過的鏈路數(shù)不能超過15，這使得RIP協(xié)議不適于大型網(wǎng)絡(luò)。OSPF路由協(xié)議OSPF(OpenShortestPathFirst開放式最短路徑優(yōu)先)是一個內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,簡稱IGP)，用于在單一自治系統(tǒng)(autonomoussystem,AS)內(nèi)決策路由。與RIP相對，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。鏈路是路由器接口的另一種說法，因此OSPF也稱為接口狀態(tài)路由協(xié)議。OSPF通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個OSPF路由器使用這些最短路徑構(gòu)造路由表。OSPF路由協(xié)議是一種典型的鏈路狀態(tài)〔Link-state〕的路由協(xié)議，一般用于同一個路由域內(nèi)。在這里，路由域是指一個自治系統(tǒng)〔AutonomousSystem〕，即AS，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的。作為一種鏈路狀態(tài)的路由協(xié)議，OSPF將鏈路狀態(tài)播送數(shù)據(jù)包LSA〔LinkStateAdvertisement〕傳送給在某一區(qū)域內(nèi)的所有路由器，這一點與距離矢量路由協(xié)議不同。運行距離矢量路由協(xié)議的路由器是將局部或全部的路由表傳遞給與其相鄰的路由器。策略路由協(xié)議策略路由是一種比基于目標網(wǎng)絡(luò)進行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。應(yīng)用了策略路由，路由器將通過路由圖決定如何對需要路由的數(shù)據(jù)包進行處理，路由圖決定了一個數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。

應(yīng)用策略路由，必須要指定策略路由使用的路由圖，并且要創(chuàng)立路由圖。一個路由圖由很多條策略組成，每個策略都定義了1個或多個的匹配規(guī)那么和對應(yīng)操作。一個接口應(yīng)用策略路由后，將對該接口接收到的所有包進行檢查，不符合路由圖任何策略的數(shù)據(jù)包將按照通常的路由轉(zhuǎn)發(fā)進行處理，符合路由圖中某個策略的數(shù)據(jù)包

就按照該策略中定義的操作進行處理。

策略路由可以使數(shù)據(jù)包按照用戶指定的策略進行轉(zhuǎn)發(fā)。對于某些管理目的，如QoS需求或VPN拓撲結(jié)構(gòu)，要求某些路由必須經(jīng)過特定的路徑，就可以使用策略路由。例如，一個策略可以指定從某個網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包只能轉(zhuǎn)發(fā)到某個特定的接口。局域網(wǎng)接入控制技術(shù)地址綁定基于端口的MAC地址綁定設(shè)置交換機上某個端口綁定一個具體的MAC地址，這樣只有這個主機可以使用網(wǎng)絡(luò)，如果對該主機的網(wǎng)卡進行了更換或者其他PC機想通過這個端口使用網(wǎng)絡(luò)都不可用，除非刪除或修改該端口上綁定的MAC地址，才能正常使用?；贛AC地址的擴展訪問列表它與基于端口的MAC地址綁定大體相同，但它是基于端口做的MAC地址訪問控制列表限制，可以限定特定源MAC地址與目的地址范圍。IP地址的MAC地址綁定 IP地址靜態(tài)綁定時，接入網(wǎng)絡(luò)時檢查用戶的IP地址是否合法。IP地址動態(tài)綁定時，用戶上網(wǎng)過程中，如更改了自己的IP地址，接入設(shè)備能夠獲取到，并禁止用戶繼續(xù)上網(wǎng)?；?02.1X的端口平安與認證802.1X協(xié)議是由(美)電氣與電子工程師協(xié)會提出，剛剛完成標準化的一個符合IEEE802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議。它能夠在利用IEEE802局域網(wǎng)優(yōu)勢的根底上提供一種對連接到局域網(wǎng)的用戶進行認證和授權(quán)的手段，到達了接受合法用戶接入，保護網(wǎng)絡(luò)平安的目的。802.1x認證，又稱EAPOE認證，主要用于寬帶IP城域網(wǎng)。802.1x協(xié)議的主要目的是為了解決無線局域網(wǎng)用戶的接入認證問題。802.1x協(xié)議僅僅關(guān)注端口的翻開與關(guān)閉，對于合法用戶〔根據(jù)帳號和密碼〕接入時，該端口翻開，而對于非法用戶接入或沒有用戶接入時，那么該端口處于關(guān)閉狀態(tài)。認證的結(jié)果在于端口狀態(tài)的改變，而不涉及通常認證技術(shù)必須考慮的IP地址協(xié)商和分配問題，是各種認證技術(shù)中最簡化的實現(xiàn)方案。802.1x認證技術(shù)的操作粒度為端口，合法用戶接入端口之后，端口處于翻開狀態(tài)，因此其它用戶〔合法或非法〕通過該端口時，不需認證即可接入網(wǎng)絡(luò)。對于無線局域網(wǎng)接入而言，認證之后建立起來的信道〔端口〕被獨占，不存在其它用戶再次使用的問題，但是，如果802.1x認證技術(shù)用于寬帶IP城域網(wǎng)的認證，就存在端口翻開之后，其它用戶〔合法或非法〕可自由接入和無法控制的問題。接入認證通過之后，IP數(shù)據(jù)包在二層普通MAC幀上傳送，認證后的數(shù)據(jù)流和沒有認證的數(shù)據(jù)流完全一樣，這是由于認證行為僅在用戶接入的時刻進行，認證通過后不再進行合法性檢查。STP生成樹協(xié)議STP〔生成樹協(xié)議〕是一個二層管理協(xié)議。在一個擴展的局域網(wǎng)中參與STP的所有交換機之間通過交換橋協(xié)議數(shù)據(jù)單元BPDU〔BridgeProtocolDataUnit〕來實現(xiàn)；為穩(wěn)定的生成樹拓撲結(jié)構(gòu)選擇一個根橋；為每個交換網(wǎng)段選擇一臺指定交換機；將冗余路徑上的交換機置為Blocking，來消除網(wǎng)絡(luò)中的環(huán)路。IEEE802.1d是最早關(guān)于STP的標準，它提供了網(wǎng)絡(luò)的動態(tài)冗余切換機制。STP使您能在網(wǎng)絡(luò)設(shè)計中部署備份線路，并且保證：在主線路正常工作時，備份線路是關(guān)閉的。當(dāng)主線路出現(xiàn)故障時自動使能備份線路，切換數(shù)據(jù)流。RSTP〔RapidSpanningTreeProtocol〕是STP的擴展，其主要特點是增加了端口狀態(tài)快速切換的機制，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)拓撲的快速轉(zhuǎn)換。NAT的實現(xiàn)NAT英文全稱是“NetworkAddressTranslation〞，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換〞，它是一個IETF(InternetEngineeringTaskForce,Internet工程任務(wù)組)標準，允許一個整體機構(gòu)以一個公用IP〔InternetProtocol〕地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址〔IP地址〕翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點要與外部網(wǎng)絡(luò)進行通訊時，就在網(wǎng)關(guān)〔可以理解為出口，打個比方就像院子的門一樣〕處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)〔internet〕上正常使用，NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個合法IP地址，就把整個局域網(wǎng)中的計算機接入Internet中。這時，NAT屏蔽了內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)計算機對于公共網(wǎng)絡(luò)來說是不可見的，而內(nèi)部網(wǎng)計算機用戶通常不會意識到NAT的存在。如圖2所示。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點的私有IP地址，這個地址只能在內(nèi)部網(wǎng)絡(luò)中使用，不能被路由〔一種網(wǎng)絡(luò)技術(shù)，可以實現(xiàn)不同路徑轉(zhuǎn)發(fā)〕。NAT有三種類型：靜態(tài)NAT(StaticNAT)、動態(tài)地址NAT(PooledNAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT〔Port－LevelNAT〕。其中靜態(tài)NAT設(shè)置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。而動態(tài)地址NAT那么是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT那么是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。動態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址，主要應(yīng)用于撥號，對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。當(dāng)遠程用戶聯(lián)接上之后，動態(tài)地址NAT就會分配給他一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT〔NetworkAddressPortTranslation〕是人們比擬熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。ACL訪問控制列表訪問列表為我們提供了一種對網(wǎng)絡(luò)訪問進行有效管理的方法，通過訪問列表，我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器，或者允許或者拒絕具體的某些端口進行訪問和使用，如果滿足條件那么執(zhí)行相應(yīng)的操作，放行這個包或者放棄這個包。我們通過這些設(shè)置來滿足實際網(wǎng)絡(luò)的靈活需求，從而到達設(shè)置網(wǎng)絡(luò)平安策略，防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問的情況。訪問控制列表分為兩種類型,他們分別是標準訪問列表(Standardaccesslists)和擴展訪問列表〔Extendsaccesslists〕前者在過濾網(wǎng)絡(luò)的時候只使用IP數(shù)據(jù)報的源地址，那么在使用這種訪問列表的情況下它做出允許或者拒絕這個決定完全是依賴于源IP地址，它無法區(qū)分具體的流量類型。而擴展訪問列表那么可以提供更細的決定，它可以具體到端口，從而精確到某一個效勞，比方對WEB,FTP的訪問等，給我們網(wǎng)絡(luò)的策略提供了更細的控制手段。我們利用這種訪問列表進行協(xié)議級的控制以到達對網(wǎng)絡(luò)一個有效的管理。標準訪問控制列表一般放在靠近目標的路由器上,而擴展訪問控制列表一般放于近源端的路由器上。根本訪問控制列表不需要身份認證，始終使用同一規(guī)那么對經(jīng)過路由器接口上的數(shù)據(jù)進行控制，而動態(tài)訪問控制列表默認情況是禁止數(shù)據(jù)流通過的，用戶需要Telnet到路由器上進行身份認證，如果用戶通過身份認證，便可暫時通過路由器訪問目標主機，經(jīng)過指定的空閑時間，恢復(fù)到默認的情況，用戶再次訪問目標主機需要再次身份認證。VLAN虛擬局域網(wǎng)VLAN〔VirtualLocalAreaNetwork〕即虛擬局域網(wǎng)，是一種通過