汾湖實(shí)驗(yàn)小學(xué)網(wǎng)絡(luò)規(guī)劃方案

汾湖實(shí)驗(yàn)小學(xué)

網(wǎng)絡(luò)規(guī)劃方案

目錄

第1章前言...............................................................-3-

第2章網(wǎng)絡(luò)現(xiàn)狀描述......................................................-4-

第3章用戶需求分析......................................................-4-

3.1骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性需求.....................................-5-

3.2網(wǎng)絡(luò)安全性需求....................................................-5-

3.3智能無(wú)線部署需求..................................................-5-

3.4高效網(wǎng)絡(luò)管理需求..................................................-6-

第4章用戶網(wǎng)絡(luò)建設(shè)要求..................................................-7-

4.1建設(shè)目標(biāo)..........................................................-7-

4.2建設(shè)內(nèi)容..........................................................-7-

4.3網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)原則..................................................-7-

第5章網(wǎng)絡(luò)系統(tǒng)解決方案................................................-10-

第6章解決方案特色....................................................-12-

6.1骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性.......................................-12-

6.1.1骨干設(shè)備選擇.................................................-12-

6.1.2先進(jìn)技術(shù)帶來(lái)的高性能........................................-12-

6.2網(wǎng)絡(luò)安全性保證..................................................-18-

6.2.1出口設(shè)備安全策略.............................................-18-

6.2.2核心、接入交換機(jī)安全策略....................................-18-

6.2.3病毒、攻擊防護(hù)方式..........................................-19-

6.3網(wǎng)絡(luò)后期擴(kuò)展性好...............................................-20-

第7章主要設(shè)備選型說(shuō)明................................................-21-

7.1核心交換機(jī)產(chǎn)品..................................................-21-

7.1.1產(chǎn)品概述.....................................................-21-

7.1.2產(chǎn)品特性.....................................................-22-

7.1.3產(chǎn)品技術(shù)參數(shù).................................................-24-

7.2匯聚交換機(jī)產(chǎn)品...................................................-25-

7.2.1產(chǎn)品概述.....................................................-25-

7.2.2產(chǎn)品特性.....................................................-26-

7.2.3產(chǎn)品技術(shù)參數(shù).................................................-28-

7.3接入交換機(jī)產(chǎn)品...................................................-32-

7.3.1產(chǎn)品概述.....................................................-32-

7.3.2產(chǎn)品特性.....................................................-32-

7.3.3技術(shù)參數(shù).....................................................-34-

7.4無(wú)線產(chǎn)品.........................................................-35-

7.4.1產(chǎn)品概述.....................................................-35-

7.4.2產(chǎn)品特性.....................................................-36-

7.4.3技術(shù)參數(shù).....................................................-36-

7.5網(wǎng)管產(chǎn)品.........................................................-38-

7.5.1產(chǎn)品概述.....................................................-38-

7.5.2產(chǎn)品特性.....................................................-38-

第8章部分教育用戶榮譽(yù)名單.............................................-39-

第1章前言

汾湖實(shí)驗(yàn)小學(xué)目前正加緊新校區(qū)的工程建設(shè)。在整個(gè)校園弱電智能化建設(shè)

中，校園網(wǎng)絡(luò)系統(tǒng)占有較為的重要的地位，是校園的重要基礎(chǔ)設(shè)施。建成后的計(jì)

算機(jī)網(wǎng)絡(luò)系統(tǒng)應(yīng)成為一套現(xiàn)代化的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，使用戶享有其應(yīng)有的信息資

源（包括數(shù)據(jù)、語(yǔ)音、視頻等）；實(shí)現(xiàn)內(nèi)部辦化自動(dòng)化、多媒體教學(xué)、公共設(shè)備

管理、音視頻數(shù)據(jù)的傳輸、軟件硬件資源共享、有關(guān)弱電系統(tǒng)的運(yùn)行等功能。無(wú)

線網(wǎng)絡(luò)覆蓋整個(gè)校園。

隨著當(dāng)代信息技術(shù)的擴(kuò)展，隨著多媒體計(jì)算機(jī)在教育教學(xué)過(guò)程中的應(yīng)用越

來(lái)越普遍，校園網(wǎng)絡(luò)的建設(shè)提到了重要的議事日程。從當(dāng)今世界發(fā)達(dá)國(guó)家教育信

息化發(fā)展的經(jīng)驗(yàn)來(lái)看，從單機(jī)發(fā)展到網(wǎng)絡(luò)，是中教育信息化發(fā)展的必然趨勢(shì)。因

此，在當(dāng)前我國(guó)發(fā)達(dá)地區(qū)的基礎(chǔ)教育信息化發(fā)展過(guò)程中，以校園網(wǎng)絡(luò)的建設(shè)為核

心與基礎(chǔ)，加快教育現(xiàn)代化的進(jìn)程，實(shí)現(xiàn)我國(guó)基礎(chǔ)教育改革發(fā)展中的跳躍式發(fā)展,

這是全面貫徹素質(zhì)教育的關(guān)鍵性步驟。

當(dāng)前的校園網(wǎng)正發(fā)生著巨大的變化，校園網(wǎng)正從傳統(tǒng)的、簡(jiǎn)單的以數(shù)據(jù)共享、

網(wǎng)頁(yè)瀏覽、電子郵件服務(wù)等數(shù)據(jù)處理為中心的數(shù)據(jù)承載網(wǎng)過(guò)渡到以多媒體流（多

媒體教學(xué)、遠(yuǎn)程教學(xué)、實(shí)況網(wǎng)上視頻轉(zhuǎn)播、VOD點(diǎn)播、視頻會(huì)議等）處理為中心

的多業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)。隨著校園網(wǎng)的信息化的發(fā)展，越來(lái)越的多教學(xué)方式依托于網(wǎng)

絡(luò)給用戶提供多種的特色教學(xué)模式多媒體教學(xué)；通過(guò)建立VOD視頻服務(wù)器平臺(tái)，

為用戶提供優(yōu)質(zhì)的視頻內(nèi)容服務(wù)；通過(guò)召開(kāi)視頻會(huì)議，從時(shí)間、空間上改變傳統(tǒng)

的會(huì)議方式，方便了與會(huì)者，提高了效率并節(jié)省了會(huì)議費(fèi)用。

應(yīng)用趨勢(shì)決定了校園網(wǎng)絡(luò)要能支持豐富的應(yīng)用，如電子校務(wù)、資源共享、網(wǎng)

絡(luò)遠(yuǎn)程教學(xué)、網(wǎng)絡(luò)課件、校園網(wǎng)絡(luò)監(jiān)控、一卡通系統(tǒng)等等。豐富的應(yīng)用要求校園

網(wǎng)絡(luò)具備高性能、高安全性、高可靠性。為了保護(hù)投資，要充分的考慮到未來(lái)的

擴(kuò)展要求。

第2章網(wǎng)絡(luò)現(xiàn)狀描述

汾湖實(shí)驗(yàn)小學(xué)于09年已經(jīng)采購(gòu)過(guò)一批網(wǎng)絡(luò)設(shè)備，目前這批網(wǎng)絡(luò)設(shè)備已經(jīng)投

入使用。由于新校園目前尚未投入使用，這些設(shè)備目前僅部署在教學(xué)樓辦公區(qū)內(nèi),

為內(nèi)網(wǎng)辦公的老師提供簡(jiǎn)單的上網(wǎng)接入服務(wù)。以下為這些設(shè)備的使用情況：

產(chǎn)

產(chǎn)品名描述數(shù)量說(shuō)明

品

銳捷防火墻安全網(wǎng)關(guān)，固化4個(gè)GE口+1個(gè)FE

防

□;提供1個(gè)模塊化插槽，支持現(xiàn)用于教學(xué)樓辦公區(qū)

火RG-WALL160M1

4GE/4SFP/2GE/2SFP擴(kuò)展，可擴(kuò)展至8個(gè)千兆口；出口安全防護(hù)

墻

支持Bypass功能，標(biāo)準(zhǔn)1U設(shè)備

出

銳捷電信級(jí)全千兆寬帶路由器,2個(gè)千兆WAN口

口

（其中1個(gè)光電復(fù)用口），4個(gè)千兆LAN口（其現(xiàn)用于教學(xué)樓辦公區(qū)

路NBR1200G1

中3個(gè)LAN口可彈性配置為WAN口），1個(gè)控制出口路由轉(zhuǎn)發(fā)

由

臺(tái)口，中文WEB配置，防網(wǎng)絡(luò)病毒抗攻擊。

器

層24端口10/100M自適應(yīng)端口，4個(gè)SFP接口

現(xiàn)用于教學(xué)樓辦公區(qū)

交RG-S3760-24和4個(gè)復(fù)用的10/100/1000M自適應(yīng)電口，雙1

核心

換協(xié)議棧IPv4/IPv6多層交換機(jī)

機(jī)

24口10/100M交換機(jī)，2個(gè)10/100/1000M

RG-S2328G端口和2個(gè)千兆SFP光口復(fù)用，1個(gè)擴(kuò)展槽，1現(xiàn)用于教學(xué)樓1F

層可上千兆模塊和堆疊模塊

交兩臺(tái)用于兩個(gè)學(xué)生機(jī)

48口10/100M交換機(jī),2個(gè)10/100/1000M

換房接入，另三臺(tái)用于

RG-S2352G端口和2個(gè)千兆SFP光口復(fù)用，1個(gè)擴(kuò)展槽，5

機(jī)教學(xué)樓2F-4F樓層接

可上千兆模塊和堆疊模塊

入

這些設(shè)備目前集中于教學(xué)樓二樓教室辦公室內(nèi)，待到校園網(wǎng)施工建設(shè)完成,

這些設(shè)備需統(tǒng)一轉(zhuǎn)移到綜合樓4樓校園網(wǎng)中心機(jī)房。

第3章用戶需求分析

學(xué)校校園網(wǎng)是為學(xué)校教學(xué)、科研和管理提供服務(wù)的重要基礎(chǔ)設(shè)施，本著“以

需求為導(dǎo)向，以應(yīng)用促發(fā)展，以構(gòu)建數(shù)字校園為目標(biāo)”和“總體規(guī)劃，分步實(shí)施”

的建設(shè)思路，校園網(wǎng)建設(shè)將是一個(gè)長(zhǎng)久的、持續(xù)的工作。隨著校園網(wǎng)建設(shè)的不斷

發(fā)展，和新應(yīng)用系統(tǒng)的使用，學(xué)校校園網(wǎng)將會(huì)在教學(xué)、科研和管理等方面發(fā)揮更

大的作用。

我們結(jié)合汾湖實(shí)驗(yàn)小學(xué)的實(shí)際建設(shè)情況，對(duì)用戶今后的用網(wǎng)需求做如下分

析：

3.1骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性需求

網(wǎng)絡(luò)骨干包括網(wǎng)絡(luò)的核心層、匯聚層，是整個(gè)網(wǎng)絡(luò)流量的承受者和匯聚者，

因此對(duì)骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性提出了高的要求。

在網(wǎng)絡(luò)的核心層面，應(yīng)盡量通過(guò)核心設(shè)備的冗余，實(shí)現(xiàn)設(shè)備的熱備和自動(dòng)切

換，以保障網(wǎng)絡(luò)骨干高穩(wěn)定，高可用。

3.2網(wǎng)絡(luò)安全性需求

網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)、用戶級(jí)、應(yīng)用級(jí)的安全，在網(wǎng)絡(luò)級(jí)，需要利

用出口設(shè)備的NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）功能，對(duì)外屏蔽校園內(nèi)網(wǎng)的網(wǎng)絡(luò)拓?fù)湫畔?，?/p>

而避免校園網(wǎng)受到外來(lái)攻擊。在網(wǎng)絡(luò)內(nèi)部，根據(jù)用戶的網(wǎng)絡(luò)使用需求，將用戶和

網(wǎng)絡(luò)資源劃分為不同的VLAN,在VLAN間根據(jù)需求啟用相應(yīng)的ACL（訪問(wèn)控制

列表），從而保證用戶的物理隔離和資源訪問(wèn)的安全。

3.3智能無(wú)線部署需求

網(wǎng)絡(luò)能在有線無(wú)法延伸到的地方，做無(wú)線的網(wǎng)絡(luò)信號(hào)覆蓋，使得樓層內(nèi)，甚

至整個(gè)校園內(nèi)，處處能上網(wǎng)。依托新建成的無(wú)線網(wǎng)絡(luò)，校內(nèi)師生可以方便地在圖

書(shū)館、報(bào)告廳利用手提電腦、PDA、手機(jī)等通訊工具連接到內(nèi)網(wǎng)中來(lái)，校領(lǐng)導(dǎo)可

以在會(huì)議室無(wú)需網(wǎng)線即可上網(wǎng)，進(jìn)行系統(tǒng)的訪問(wèn)和數(shù)據(jù)的共享；外來(lái)訪客也可以

用終端設(shè)備安全地接入網(wǎng)絡(luò)，通過(guò)校園網(wǎng)來(lái)進(jìn)行Internet訪問(wèn)，方便高效。大

范圍的無(wú)線部署，必將能夠提升整網(wǎng)用戶訪問(wèn)網(wǎng)絡(luò)的效率，提升整個(gè)校園的信息

化水平。經(jīng)過(guò)與用戶溝通，汾湖實(shí)驗(yàn)小學(xué)需要在綜合樓報(bào)告廳、行政辦公區(qū)、學(xué)

生閱覽室、教室閱覽室等區(qū)域部署無(wú)線，實(shí)現(xiàn)這些區(qū)域的無(wú)線上網(wǎng)。

3.4高效網(wǎng)絡(luò)管理需求

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)的管理越來(lái)越重要，管理的事務(wù)也越來(lái)越復(fù)

雜。學(xué)校網(wǎng)絡(luò)系統(tǒng)將會(huì)分布在學(xué)校各個(gè)樓宇、樓宇內(nèi)樓層的各個(gè)角落，日常的網(wǎng)

絡(luò)維護(hù)和操作的工作量大大增加，網(wǎng)絡(luò)系統(tǒng)需要一個(gè)可靠，便捷、功能強(qiáng)大的網(wǎng)

絡(luò)管理系統(tǒng)來(lái)充分有效的管理和利用網(wǎng)絡(luò)資源。

第4章用戶網(wǎng)絡(luò)建設(shè)要求

4.1建設(shè)目標(biāo)

學(xué)校此次進(jìn)行的校園網(wǎng)建設(shè)，目的是將學(xué)校校園網(wǎng)建設(shè)成為一個(gè)借助信息化

教育和管理手段的高水平的智能化、數(shù)字化的教育園區(qū)網(wǎng)絡(luò)，完成學(xué)校網(wǎng)絡(luò)和統(tǒng)

一軟件資源平臺(tái)的構(gòu)建，實(shí)現(xiàn)網(wǎng)絡(luò)遠(yuǎn)程教學(xué)、在線考試、教育資源共享等各種應(yīng)

用利用現(xiàn)代信息技術(shù)從事管理、教學(xué)和科學(xué)研究等工作。

4.2建設(shè)內(nèi)容

汾湖實(shí)驗(yàn)小學(xué)此次進(jìn)行的校園網(wǎng)建設(shè)，本著是“總體規(guī)劃，分步實(shí)施”的建

設(shè)思路，搭建一個(gè)安全可靠，穩(wěn)定成熟的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)，為教學(xué)信息化、辦公信

息化提供服務(wù)。本次建設(shè)考慮以下幾點(diǎn)：萬(wàn)兆網(wǎng)絡(luò)核心、千兆網(wǎng)絡(luò)骨干、信息點(diǎn)

百兆接入、熱點(diǎn)區(qū)域的無(wú)線覆蓋、高效的網(wǎng)絡(luò)管理。

4.3網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)原則

安全性

網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護(hù)技術(shù)，靈活方便的權(quán)限設(shè)定和

控制機(jī)制，使系統(tǒng)具有多種有效手段，防范各種形式對(duì)網(wǎng)絡(luò)的非法入侵和內(nèi)部攻

擊，以保證網(wǎng)絡(luò)的實(shí)體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常

的業(yè)務(wù)活動(dòng)和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應(yīng)分別針

對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)

據(jù)存取的權(quán)限控制等。

先進(jìn)性

系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的

相對(duì)先進(jìn)成熟，整個(gè)系統(tǒng)的生命周期應(yīng)有比較長(zhǎng)的時(shí)間，可以在信息技術(shù)不斷發(fā)

展的今天，在系統(tǒng)建成以后比較長(zhǎng)的一段時(shí)間內(nèi)能滿足用戶需求增長(zhǎng)的需要；不

但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿Γ鼙ＷC在未來(lái)若干年內(nèi)占主導(dǎo)地

位，保證網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位。本方案的設(shè)計(jì)宗旨是“立足今日，著眼未來(lái)”,

在保證技術(shù)成熟的前提下，充分先進(jìn)技術(shù)，滿足現(xiàn)有需求，充分考慮潛在擴(kuò)充。

從而最大限度保護(hù)用戶投資。

開(kāi)放性

采用開(kāi)放的軟硬件平臺(tái)和數(shù)據(jù)庫(kù)管理系統(tǒng)，遵循國(guó)際標(biāo)準(zhǔn)化組織提出的開(kāi)放

系統(tǒng)互聯(lián)的標(biāo)準(zhǔn)，應(yīng)用軟件必須獨(dú)立于軟硬件平臺(tái)，能集成任何第三方的應(yīng)用，

具有良好的可擴(kuò)展性、可移植性和互操作性。

擴(kuò)展性

系統(tǒng)必須具有良好的可擴(kuò)充性，在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與技術(shù)方案等方面必

須具有升級(jí)換代的可能，核心設(shè)備必須采用模塊化的結(jié)構(gòu)，符合網(wǎng)絡(luò)的發(fā)展趨勢(shì)

并具有充分的擴(kuò)展性。系統(tǒng)建設(shè)必須盡量保護(hù)現(xiàn)有的軟、硬件資源，保證各部門(mén)

現(xiàn)有的計(jì)算機(jī)系統(tǒng)的使用，逐步過(guò)渡，有效保護(hù)用戶投資。

高性能

網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無(wú)阻塞

傳輸;交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。

標(biāo)準(zhǔn)化

建立一個(gè)可靠、高效、靈活的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)平臺(tái)，不僅著重考慮數(shù)據(jù)信息

能夠訊速、準(zhǔn)確、安全、可靠地交換，還要考慮同層次網(wǎng)絡(luò)互連，遠(yuǎn)程分部的互

聯(lián)，以及與相關(guān)信息系統(tǒng)網(wǎng)際互聯(lián)，以充分共享資源。這些需求體現(xiàn)在設(shè)計(jì)時(shí)，

要求提供開(kāi)放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案，設(shè)備的各種接口滿足標(biāo)準(zhǔn)化原則。

可管理

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)的管理越來(lái)越重要，管理的事務(wù)也越來(lái)越復(fù)

雜。整個(gè)網(wǎng)絡(luò)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于

進(jìn)行網(wǎng)絡(luò)配置，網(wǎng)絡(luò)在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和

控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。如：可以通過(guò)友好的圖形化界面，對(duì)網(wǎng)

絡(luò)進(jìn)行網(wǎng)絡(luò)劃分，設(shè)置各子網(wǎng)的訪問(wèn)權(quán)限，實(shí)施網(wǎng)絡(luò)的動(dòng)態(tài)監(jiān)測(cè)、配置，數(shù)據(jù)流

量的分析等，簡(jiǎn)化網(wǎng)絡(luò)的管理。

第5章網(wǎng)絡(luò)系統(tǒng)解決方案

通過(guò)對(duì)汾湖實(shí)驗(yàn)小學(xué)新建網(wǎng)絡(luò)的實(shí)際需求和建設(shè)目標(biāo)，我們提出“高效、穩(wěn)

定、易管理”的網(wǎng)絡(luò)規(guī)劃建議方案，以下是汾湖實(shí)驗(yàn)小學(xué)規(guī)劃的初步拓?fù)鋱D：

銃捷河絳

RG-WALL160M防火墻

NBR1200G路由器

RG-S7604

綜合樓南樓匯聚

S2300系列

，綜合樓北樓匯聚RG-S7604

應(yīng)用服務(wù)器群

S2300系列

MP-71無(wú)線接入點(diǎn)

教學(xué)樓匯聚

S2300系列

食堂接入

S2300系列

體育帽接入

S2300系列千兆主干光纖

千兆備份光纖

千兆主干雙絞線

MP-71無(wú)線接入點(diǎn)

百兆雙絞線

本方案是以局域網(wǎng)以太網(wǎng)技術(shù)為基礎(chǔ)，建設(shè)智能化的校園網(wǎng)絡(luò)。整個(gè)校園網(wǎng)

絡(luò)采用千兆主干（可平滑升級(jí)到萬(wàn)兆），百兆交換到桌面，核心設(shè)備采用兩臺(tái)銳

捷萬(wàn)兆交換機(jī)RG-S7604,通過(guò)VRRP協(xié)議可以實(shí)現(xiàn)雙機(jī)冗余和熱備切換，具備很

強(qiáng)的穩(wěn)定性和可靠性，充分保證整個(gè)網(wǎng)絡(luò)的穩(wěn)定性；在綜合樓南樓、綜合樓北樓

以及教學(xué)樓各部署一臺(tái)匯聚交換機(jī)，每臺(tái)匯聚交換機(jī)雙光纖線路上聯(lián)到核心。接

入設(shè)備采用銳捷安全網(wǎng)管接入交換機(jī)RG-S23系列，為行政辦公區(qū)、食堂、體育

館提供高性能高安全的接入。（由于教學(xué)樓接入交換機(jī)已經(jīng)部署完畢，故本方案

中不涉及添加教學(xué)樓接入交換機(jī)）

整個(gè)校園網(wǎng)設(shè)計(jì)采用三層結(jié)構(gòu)：核心層、匯聚層和接入層，核心交換機(jī)放置

于校園中心機(jī)房，匯聚交換機(jī)做整個(gè)樓宇的信息點(diǎn)匯聚，放置于樓層或樓宇分機(jī)

房，接入設(shè)備則根據(jù)信息點(diǎn)部署情況放置于弱電間或分機(jī)房。

接入層交換機(jī)使用銳捷高性能的智能百兆交換機(jī)S23系列，通過(guò)雙絞線上聯(lián)

至樓棟的匯聚交換機(jī)，每臺(tái)樓棟匯聚交換機(jī)雙線上聯(lián)至中心機(jī)房核心設(shè)備。中心

交換機(jī)采用銳捷萬(wàn)兆核心路由交換機(jī)RG-S7604,該款交換機(jī)作為學(xué)校的核心交

換機(jī)，具有極高的數(shù)據(jù)包轉(zhuǎn)發(fā)能力和很好的擴(kuò)展性。

核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，核心層設(shè)計(jì)任務(wù)的重點(diǎn)

通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能、網(wǎng)絡(luò)的各種應(yīng)用應(yīng)盡

量少在核心層上實(shí)施。核心層一直被認(rèn)為是流量的最終承受者和匯聚者，因此對(duì)

核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。

方案中核心層采用2臺(tái)RG-S7604多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)作為整個(gè)網(wǎng)絡(luò)

的路由交換平臺(tái)，雙機(jī)熱備，保障核心的穩(wěn)定運(yùn)行。

匯聚層采用S57系列全千兆三層智能網(wǎng)管型交換機(jī)，其提供24個(gè)

10/100/1000M電口以及12個(gè)復(fù)用的SFP光口，并且能夠支持雙萬(wàn)兆上聯(lián)，靈活

的端口形態(tài)不僅滿足現(xiàn)階段的匯聚需求，而且也為今后骨干線路升級(jí)預(yù)留了空

間，做好了準(zhǔn)備。

接入層采用S23系列智能型交換機(jī)，線速轉(zhuǎn)發(fā)性能、高安全特性、易網(wǎng)管配

置、主流操作界面和豐富QOS特性及惡劣環(huán)境適應(yīng)性完全滿足校園網(wǎng)接入需要。

骨干網(wǎng)絡(luò)通過(guò)光纖布線，采用千兆以太網(wǎng)技術(shù)實(shí)現(xiàn)互聯(lián)；接入網(wǎng)上聯(lián)采用千

兆以太網(wǎng)技術(shù)，桌面接入采用10/100M以太網(wǎng)技術(shù)。

出口采用一臺(tái)高性能的RG-WALL160M防火墻和一臺(tái)銳捷寬帶路由器NBR

1200G,在提供私網(wǎng)到公網(wǎng)地址轉(zhuǎn)換的同時(shí)，為整個(gè)校園網(wǎng)提供安全防護(hù)。

我們?cè)诰C合樓報(bào)告廳、行政辦公區(qū)、學(xué)生閱覽室、教室閱覽室等熱點(diǎn)區(qū)域部

署了一套智能無(wú)線設(shè)備，這套設(shè)備由兩部分組成：無(wú)線交換機(jī)、智能無(wú)線AP。

MX-8通過(guò)雙百兆聚合鏈路連接到核心交換機(jī)設(shè)備上，其主要負(fù)責(zé)全網(wǎng)AP流量的

高速轉(zhuǎn)發(fā)和AP的統(tǒng)一管理。我們選用了MP-71智能型無(wú)線AP,該型號(hào)AP支持

802.Ub/g,單路單頻設(shè)計(jì)，覆蓋范圍大。

在網(wǎng)絡(luò)的管理上，學(xué)?？梢愿鶕?jù)需求，選擇我司的網(wǎng)管產(chǎn)品RG-SNC來(lái)進(jìn)行

全網(wǎng)設(shè)備的統(tǒng)一管理，該網(wǎng)管軟件不但具有一般網(wǎng)管軟件的設(shè)備發(fā)現(xiàn)、拓?fù)涔芾怼?/p>

報(bào)表輸出功能，而且可以支持全網(wǎng)設(shè)備的VLAN統(tǒng)一下發(fā)，配置文件的統(tǒng)一更改,

這對(duì)網(wǎng)絡(luò)建成后的網(wǎng)絡(luò)管理員需要變更網(wǎng)絡(luò)部署來(lái)說(shuō)，相當(dāng)方便。

第6章解決方案特色

6.1骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性

6.1.1骨干設(shè)備選擇

核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，核心層任務(wù)的重點(diǎn)通常

是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能、網(wǎng)絡(luò)的各種應(yīng)用應(yīng)盡量少

在核心層上實(shí)施。核心層一直被認(rèn)為是流量的最終承受者和匯聚者，因此對(duì)核心

層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。

方案中在核心層采用銳捷網(wǎng)絡(luò)RG-S7600系列多業(yè)務(wù)IPv6核心路由交換機(jī)作

為整個(gè)校園網(wǎng)的路由交換平臺(tái)，該核心路由交換機(jī)硬件實(shí)現(xiàn)路由交換和線速萬(wàn)兆

轉(zhuǎn)發(fā)功能滿足整個(gè)校園網(wǎng)核心的路由交換。RG-S7600系列多業(yè)務(wù)IPv6核心路由

交換機(jī)和匯聚層設(shè)備通過(guò)啟用OSPF路由協(xié)議和RSTP、MSTP生成樹(shù)協(xié)議，保證線

路的負(fù)載均衡和冗余備份。整個(gè)核心部分具有強(qiáng)大的未來(lái)擴(kuò)展能力。RG-S7600

系列多業(yè)務(wù)IPv6核心路由交換機(jī)的APS技術(shù)能保證主控冗余和自動(dòng)失效切換，

滿足99.999%的電信級(jí)應(yīng)用需求。同時(shí)RG-S7600系列多業(yè)務(wù)IPv6核心路由交換

機(jī)完全兼容主流網(wǎng)絡(luò)設(shè)備的CLI界面，配置方便，支持完善的流分類(lèi)策略和豐富

的QOS特性，是校園網(wǎng)建設(shè)核心層網(wǎng)絡(luò)設(shè)備的理想選擇。核心層設(shè)備RG-S7600

系列多業(yè)務(wù)IPv6核心路由交換機(jī)采用千兆光纖與匯聚層設(shè)備相連，充分保證網(wǎng)

絡(luò)骨干線路的帶寬需求，真正達(dá)到校園網(wǎng)內(nèi)部的高速數(shù)據(jù)交換。

6.1.2先進(jìn)技術(shù)帶來(lái)的高性能

雙機(jī)冗余熱備提升核心穩(wěn)定性

網(wǎng)絡(luò)中心作為全網(wǎng)的心臟，擔(dān)任著整網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)重任，因此，作為整個(gè)網(wǎng)

絡(luò)平臺(tái)的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行模粌H要保證7*24小時(shí)

的穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸?shù)浇K端系統(tǒng)，同時(shí)，

還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問(wèn)策略，在提供信息服務(wù)的同時(shí)，保證網(wǎng)絡(luò)中心自

身的安全。

穩(wěn)定可靠的架構(gòu)設(shè)計(jì)

?雙核心

?匯聚到核心采用雙鏈路

?服務(wù)器區(qū)采用雙機(jī)熱備

?匯聚設(shè)備采用雙機(jī)熱備

網(wǎng)絡(luò)中心設(shè)計(jì)采用2臺(tái)核心交換機(jī)互為容錯(cuò)備份，核心、匯聚層都采用雙鏈

路連接，構(gòu)成一個(gè)環(huán)路架構(gòu)，核心啟用VRRP技術(shù)；VRRP協(xié)議通過(guò)在兩臺(tái)互備份

的交換機(jī)上對(duì)每個(gè)VLAN用戶提供一個(gè)統(tǒng)一的虛擬網(wǎng)關(guān)IP地址，相應(yīng)VLAN用戶

設(shè)置PC網(wǎng)關(guān)地址時(shí)就設(shè)置成為該虛擬網(wǎng)關(guān)IP,用戶工作時(shí)并不用關(guān)心真正負(fù)責(zé)

數(shù)據(jù)傳輸?shù)慕粨Q機(jī)，在真正負(fù)責(zé)用戶數(shù)據(jù)傳輸?shù)慕粨Q機(jī)出現(xiàn)故障時(shí)VRRP協(xié)議可

以自動(dòng)地把用戶數(shù)據(jù)的轉(zhuǎn)發(fā)工作轉(zhuǎn)移到另一臺(tái)交換機(jī)，不僅實(shí)現(xiàn)了主機(jī)間的備份

功能，而且不必更改用戶的網(wǎng)絡(luò)設(shè)置。RSTP、MSTP等技術(shù)在二層上造成網(wǎng)絡(luò)環(huán)

路的鏈路將邏輯失效，網(wǎng)絡(luò)環(huán)路被消除；而在負(fù)責(zé)數(shù)據(jù)傳輸?shù)幕顒?dòng)鏈路失效以后

又可以激活先前邏輯失效的鏈路，保障數(shù)據(jù)的正常傳輸，提供冗余備份功能；全

網(wǎng)架構(gòu)，核心層雙鏈路交換系統(tǒng)不存在單點(diǎn)故障，是一種高級(jí)別交換完全冗余的

容錯(cuò)方案，這樣即使其中一條鏈路斷線或一個(gè)主干交換機(jī)發(fā)生故障，都能在用戶

覺(jué)察不到的極短的時(shí)間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高可靠

性、穩(wěn)定性的運(yùn)行。

雙核心網(wǎng)絡(luò)設(shè)計(jì)架構(gòu)，為我校網(wǎng)絡(luò)提供了高穩(wěn)定性和可靠性的數(shù)據(jù)傳輸平

臺(tái)，同時(shí)，提供了一種能夠“自愈”網(wǎng)絡(luò)鏈路或設(shè)備的單點(diǎn)故障的網(wǎng)絡(luò)架構(gòu)，保

證了汾湖實(shí)驗(yàn)小學(xué)網(wǎng)絡(luò)能夠提供7*24小時(shí)高速穩(wěn)定的數(shù)據(jù)傳輸。

SPOH技術(shù)提供更強(qiáng)的數(shù)據(jù)處理能力

SPOH：SynchronizationProcessOverHardware,是''基于硬件的同步式

處理技術(shù)”縮寫(xiě)。

銳捷核心設(shè)備支持SPOH技術(shù)一一專(zhuān)注于安全防護(hù)和智能保障的交換技術(shù)!

在線卡分布式設(shè)計(jì)的基礎(chǔ)上，為各個(gè)物理端口配備專(zhuān)用的FFP(FFP:fastfilter

processor)處理模塊，F(xiàn)FP模塊可以實(shí)現(xiàn)硬件處理QoS與ACL功能，實(shí)現(xiàn)整機(jī)

數(shù)據(jù)端口級(jí)同步處理ACL/QOS；同時(shí)，通過(guò)線卡芯片線速轉(zhuǎn)發(fā)L2/L3/組播數(shù)據(jù)，

實(shí)現(xiàn)了從線卡到端口的全面分布式硬件設(shè)計(jì)，有效分流、緩解線卡ASIC芯片的

負(fù)載壓力，極大地提升交換機(jī)的整體數(shù)據(jù)處理能力。既滿足業(yè)務(wù)急劇增長(zhǎng)，保持

網(wǎng)絡(luò)的高性能無(wú)阻塞交換和網(wǎng)絡(luò)安全的防護(hù)，實(shí)現(xiàn)大數(shù)據(jù)多業(yè)務(wù)全線速處理。

SPOH技術(shù)保障了核心設(shè)備的高性能無(wú)阻塞數(shù)據(jù)交換和網(wǎng)絡(luò)安全的高級(jí)防

護(hù)，實(shí)現(xiàn)大數(shù)據(jù)多業(yè)務(wù)全線速處理，從而達(dá)到了電信級(jí)的可靠性保障。

LPM+HDR技術(shù)提供更高的路由處理效率

最長(zhǎng)匹配(LPM)三層交換技術(shù)可以解決傳統(tǒng)方式“多次交換”中采用“流

精確匹配”而帶來(lái)存儲(chǔ)空間壓力過(guò)大的問(wèn)題。最長(zhǎng)匹配(LPM)技術(shù)支持靜態(tài)路

由、動(dòng)態(tài)學(xué)習(xí)到的路由都直接以網(wǎng)段形式存儲(chǔ)于硬件轉(zhuǎn)發(fā)表，一個(gè)目的網(wǎng)段使用

一個(gè)轉(zhuǎn)發(fā)表項(xiàng)，而直連網(wǎng)段僅生成表項(xiàng)內(nèi)容為“目的IP地址”的主機(jī)轉(zhuǎn)發(fā)表，

對(duì)于其它不明目的網(wǎng)段IP地址的數(shù)據(jù)包直接通過(guò)硬件缺省路由轉(zhuǎn)發(fā)。因此,LPM

技術(shù)的優(yōu)點(diǎn)是極大地節(jié)約存儲(chǔ)空間，病毒和攻擊數(shù)據(jù)可以通過(guò)硬件網(wǎng)段路由或缺

省路由進(jìn)行轉(zhuǎn)發(fā)，不增加額外的硬件表項(xiàng)，避免了存儲(chǔ)溢出問(wèn)題，保障設(shè)備的正

常運(yùn)行。

在LPM技術(shù)中依然保留了CPU參與一次路由的需要，雖然每個(gè)網(wǎng)段只有一

次CPU參與的需要，但是在三層設(shè)備擁有直連網(wǎng)段，主機(jī)轉(zhuǎn)發(fā)表數(shù)量比較多的

情況下，CPU的第一次參與依然會(huì)對(duì)三層轉(zhuǎn)發(fā)的處理效率產(chǎn)生一些影響，HDR

技術(shù)可以進(jìn)一步優(yōu)化LPM技術(shù)的處理效率，主機(jī)直接路由（HDR：Hostdirect

Route）用于解決CPU參與“一次路由”的不足。主機(jī)直接路由（HDR）支持三

層設(shè)備在最長(zhǎng)匹配硬件轉(zhuǎn)發(fā)中的下一跳節(jié)點(diǎn)和數(shù)據(jù)轉(zhuǎn)發(fā)出口運(yùn)行ARP協(xié)議時(shí)把

對(duì)應(yīng)的MAC地址直接下載到硬件轉(zhuǎn)發(fā)表。因此，沒(méi)有了第一次CPU參與路由

的效率影響，網(wǎng)絡(luò)中的所有主機(jī)（Host）都可以通過(guò)最長(zhǎng)匹配硬件轉(zhuǎn)發(fā)表進(jìn)行直

接的三層轉(zhuǎn)發(fā)。

LPM+HDR三層交換技術(shù)不需要CPU參與、節(jié)約了緩存空間，不僅極大地

提高了路由效率，而且避免了病毒和攻擊對(duì)網(wǎng)絡(luò)設(shè)備本身的影響，提高設(shè)備的穩(wěn)

定性。

第二代Crossbar硬件體系提供更強(qiáng)的數(shù)據(jù)轉(zhuǎn)發(fā)效率

銳捷多業(yè)務(wù)核心路由交換機(jī)采用最先進(jìn)的第二代Crossbar硬件體系架構(gòu):

第二代BufferedCrossbar技術(shù)具有如下特性:

調(diào)度任務(wù)非常簡(jiǎn)單，通過(guò)背壓流控，每個(gè)交叉點(diǎn)自動(dòng)獨(dú)立地進(jìn)行調(diào)度，

不需要配置整個(gè)系統(tǒng)的所有“輸出輸入線卡對(duì)"，不帶來(lái)Crossbar的調(diào)度

損耗。

調(diào)度相互獨(dú)立，不存在所有“輸出輸入線卡對(duì)”同步地從一個(gè)狀態(tài)變化

到另一個(gè)狀態(tài)，因此，就不需同步每個(gè)數(shù)據(jù)包發(fā)送的結(jié)束時(shí)間，允許直

接對(duì)非定長(zhǎng)數(shù)據(jù)包進(jìn)行操作，沒(méi)有包分割和重組。

?因?yàn)闆](méi)有包分割和調(diào)度效率的影響，內(nèi)部超速并不需要。BufferedCrossbar

可以處理相同速率的外部線卡

BufferedCrossbar技術(shù)克服第一代Crossbar架構(gòu)技術(shù)的局限性，Buffered

Crossbar架構(gòu)內(nèi)置了眾多緩存，采用分布式調(diào)度，無(wú)需內(nèi)部加速，可直接處理非

定長(zhǎng)包，充分發(fā)揮Crossbar芯片的交換效率和處理性能，從而使整個(gè)設(shè)備系統(tǒng)達(dá)

到了電信級(jí)的高性能和高可靠性。

三平面分離保護(hù)技術(shù)提供更高的穩(wěn)定可靠性

銳捷網(wǎng)絡(luò)核心路由交換機(jī)通過(guò)采用數(shù)據(jù)平面、控制平面、管理平面相互分離

的設(shè)計(jì)方式，保證了最耗費(fèi)主機(jī)資源的數(shù)據(jù)處理轉(zhuǎn)發(fā)任務(wù)不影響交換機(jī)的管理和

協(xié)議運(yùn)行，而在路由和環(huán)境復(fù)雜多變條件下，控制平面的任務(wù)不影響交換機(jī)的管

理，高度保證了交換機(jī)系統(tǒng)的穩(wěn)定性。保證了即便出現(xiàn)設(shè)備由于數(shù)據(jù)交換異常癱

瘓狀態(tài)情況，依然可以通過(guò)Telnet、Console等管理界面正常登陸管理該設(shè)備。

從根本上高度保證了系統(tǒng)的穩(wěn)定可靠性。

管理平面

如平面-

控制平面

業(yè)界設(shè)備的傳統(tǒng)方式銳捷核心設(shè)備的方式

通過(guò)采用數(shù)據(jù)平面、■控制平面、管理平面相互

分離的結(jié)構(gòu)模型高度保證了系統(tǒng)穩(wěn)定性！

CPP（CPUProtectPolicy）機(jī)制提供更強(qiáng)的安全性

盡管通過(guò)加密認(rèn)證可以保護(hù)網(wǎng)絡(luò)中的通信協(xié)議，但是它并不能完全的防止非

法惡意用戶對(duì)路由引擎（CPU）上特定協(xié)議的攻擊。例如，攻擊者仍可以利用偽

造的數(shù)據(jù)包瞄準(zhǔn)具體協(xié)議，向路由交換機(jī)發(fā)動(dòng)攻擊。盡管這些數(shù)據(jù)包無(wú)法通過(guò)鑒

權(quán)檢查，但是攻擊仍可以消耗CPU上的資源（CPU循環(huán)和通信隊(duì)列），因此在某

種程度上達(dá)到攻擊的目的。

銳捷網(wǎng)絡(luò)核心路由交換產(chǎn)品通過(guò)硬件的方式對(duì)發(fā)往控制平面的數(shù)據(jù)進(jìn)行分

類(lèi)，把不同的協(xié)議數(shù)據(jù)歸類(lèi)到不同的隊(duì)列然后對(duì)不同的隊(duì)列進(jìn)行限速，專(zhuān)門(mén)對(duì)路

由引擎進(jìn)行保護(hù)，阻擋外界的DOS攻擊。而且并不影響轉(zhuǎn)發(fā)速度，所以CPP

能夠在不限制性能的前提下，靈活且有力的防止攻擊，而且保證了即使有大規(guī)模

攻擊數(shù)據(jù)發(fā)往CPU的時(shí)候依然可以在交換機(jī)內(nèi)部對(duì)數(shù)據(jù)進(jìn)行區(qū)分對(duì)外。

CPP提供三種保護(hù)方法，來(lái)保護(hù)CPU的利用率。

第一，可以配置CPU接受數(shù)據(jù)流的總帶寬，從全局上保護(hù)CPU。

第二，可以設(shè)備QOS隊(duì)列，為每種隊(duì)列設(shè)置帶寬。

第三，為每種類(lèi)型的報(bào)文設(shè)置最大速率。

具體實(shí)現(xiàn)方式如下：

?針對(duì)不同的系統(tǒng)報(bào)文進(jìn)行分類(lèi)。CPP可針對(duì)arp、bpdu、dhcp、igmp、rip、

ospf、pim、gvrp、vvrp的報(bào)文進(jìn)行分類(lèi)，并分別設(shè)置不同的帶寬。

?CPU端口共有8個(gè)優(yōu)先級(jí)隊(duì)列（queue）,可以配置每種類(lèi)型的報(bào)文對(duì)應(yīng)的

隊(duì)列，硬件根據(jù)配置自動(dòng)地將這種類(lèi)型的報(bào)文的送到指定隊(duì)列，并可分

別設(shè)置隊(duì)列的最大速率。

可以配置CPU端口的總的帶寬，從全局上保護(hù)CPU。

6.2網(wǎng)絡(luò)安全性保證

6.2.1出口設(shè)備安全策略

在出口設(shè)備RG-WALL160M上啟用多種防攻擊策略；為服務(wù)器做相應(yīng)的地

址映射；啟用NAT特性；可以針對(duì)端口進(jìn)行帶寬線速，也可以基于策略做到每

用戶帶寬限制。

6.2.2核心、接入交換機(jī)安全策略

完善的用戶IP/MAC地址綁定

方案中提供的包括核心、接入交換機(jī)均支持基于整機(jī)級(jí)和端口級(jí)兩種IP、

MAC地址綁定功能，并采用硬件芯片直接實(shí)現(xiàn)。在提高安全性的同時(shí)不影響交

換機(jī)數(shù)據(jù)交換性能。

分布式網(wǎng)絡(luò)病毒（攻擊）防御

基于校園網(wǎng)的特點(diǎn)，它是一個(gè)開(kāi)放的應(yīng)用環(huán)境，在這種環(huán)境下尤其容易感染

網(wǎng)絡(luò)病毒和發(fā)生網(wǎng)絡(luò)攻擊，這會(huì)給網(wǎng)絡(luò)主干帶來(lái)嚴(yán)重沖擊，甚至可能造成整網(wǎng)癱

瘓。因此，為了保證整個(gè)網(wǎng)絡(luò)的帶寬可用性。防止網(wǎng)絡(luò)病毒傳播擴(kuò)散，防止網(wǎng)絡(luò)

攻擊的發(fā)生，在該方案中，采用分布式網(wǎng)絡(luò)病毒（攻擊）防御體系設(shè)計(jì)思想。核

心、接入層網(wǎng)絡(luò)設(shè)備均支持嵌入式防DDoS攻擊、防病毒擴(kuò)散等，可直接屏蔽網(wǎng)

絡(luò)特征病毒傳播擴(kuò)散，防止網(wǎng)絡(luò)攻擊。同時(shí)接入層設(shè)備S2300G硬件智能識(shí)別2-4

層數(shù)據(jù)流、可實(shí)現(xiàn)非常豐富的ACL訪問(wèn)控制功能，最大程度的實(shí)現(xiàn)分布式的網(wǎng)

絡(luò)安全控制防護(hù)。

防ARP欺騙攻擊

目前網(wǎng)絡(luò)中較多的出現(xiàn)了ARP欺騙攻擊，可造成整個(gè)網(wǎng)段癱瘓或者信息泄

密的嚴(yán)重后果。S2300G支持防ARP欺騙功能，有效地杜絕ARP網(wǎng)關(guān)欺騙行為

的發(fā)生，更好地提高了網(wǎng)絡(luò)的安全性。

6.2.3病毒、攻擊防護(hù)方式

IP掃描攻擊及防范

眾所周知，許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動(dòng)的主機(jī)開(kāi)始

的，大量的掃描報(bào)文也急劇占用網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無(wú)法進(jìn)行。

為此，銳捷RG-S76交換機(jī)提供了防掃描的功能，用以防止黑客掃描和類(lèi)似

“沖擊波病毒”的攻擊，并能減少三層交換機(jī)的CPU負(fù)擔(dān)。目前發(fā)現(xiàn)的掃描攻擊

有兩種：

目的IP地址變化的掃描，我們稱(chēng)為“scandestipattack”。這種掃描是最危害

網(wǎng)絡(luò)的，不但消耗網(wǎng)絡(luò)帶寬，增加交換機(jī)的負(fù)擔(dān)，更是大部分黑客攻擊手段的起

手。

目的IP地址不存在，卻不斷的發(fā)送大量報(bào)文，我們稱(chēng)為“samedestipattack”。

這種攻擊主要是針對(duì)減少交換機(jī)CPU的負(fù)擔(dān)來(lái)設(shè)計(jì)。對(duì)三層交換機(jī)來(lái)說(shuō)，如果

目的IP地址存在,則報(bào)文的轉(zhuǎn)發(fā)會(huì)通過(guò)交換芯片直接轉(zhuǎn)發(fā),不會(huì)占用交換機(jī)CPU

的資源，而如果目的IP不存在，交換機(jī)CPU會(huì)定時(shí)的嘗試連接，而如果大量的

這種攻擊存在，也會(huì)消耗著CPU資源。當(dāng)然，這種攻擊的危害比第一種小得多

To

以上這兩種攻擊，我們交換機(jī)都可以在每個(gè)接口上調(diào)整相應(yīng)的攻擊閥值、攻

擊主機(jī)隔離的時(shí)間等參數(shù)，以便管理員最細(xì)化的管理配置。

DDoS攻擊及防范

近年來(lái)，各種DoS攻擊（DenialofService,拒絕服務(wù)）報(bào)文在互聯(lián)網(wǎng)上傳

播，給互聯(lián)網(wǎng)用戶帶來(lái)很大煩惱。DoS的攻擊方式有很多種，最基本的DoS攻

擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服

務(wù)的響應(yīng)。攻擊報(bào)文主要采用偽裝源IP以防暴露其蹤跡。

針對(duì)這種情況，RFC2827提出在網(wǎng)絡(luò)接入處設(shè)置入口過(guò)濾(IngressFilting),

來(lái)限制偽裝源IP的報(bào)文進(jìn)入網(wǎng)絡(luò)。這種方法更注重在攻擊的早期和從整體上防

止DoS的發(fā)生，因而具有較好效果。使用這種過(guò)濾也能夠幫助ISP和網(wǎng)管來(lái)準(zhǔn)

確定位使用真實(shí)有效的源IP的攻擊者。ISP應(yīng)該也必須采用此功能防止報(bào)文攻擊

進(jìn)入Internet；網(wǎng)絡(luò)管理員應(yīng)該執(zhí)行過(guò)濾來(lái)確保校園網(wǎng)不會(huì)成為此類(lèi)攻擊的發(fā)源

地。

銳捷S76、S23交換機(jī)采用基于RFC2827的入口過(guò)濾規(guī)則來(lái)防止DoS攻擊,

該過(guò)濾采用硬件實(shí)現(xiàn)而不會(huì)給網(wǎng)絡(luò)轉(zhuǎn)發(fā)增加負(fù)擔(dān)。

ARP欺騙攻擊及防范

ARP欺騙攻擊近年來(lái)呈愈演愈烈之勢(shì)，每個(gè)網(wǎng)絡(luò)管理員基本上都會(huì)碰到。

該欺騙攻擊會(huì)導(dǎo)致經(jīng)常出現(xiàn)斷網(wǎng)、設(shè)備cpu利用率居高不下、信息泄密等多種惡

果。

ARP欺騙主要存在以下5種方式：冒充網(wǎng)關(guān)欺騙主機(jī)、冒充主機(jī)欺騙網(wǎng)關(guān)、

冒充主機(jī)欺騙主機(jī)、黑洞攻擊、泛洪攻擊。這些攻擊的防御可以在接入層交換機(jī)

上做，無(wú)論用戶的IP地址是動(dòng)態(tài)的還是靜態(tài)的，均可以有效的進(jìn)行防御。

防御基本原理是采用IP+MAC+端口三元素綁定，啟用ARPcheck功能。若

用戶的IP地址是靜態(tài)的，可以采用手工綁定或通過(guò)802.IX認(rèn)證中的IP授權(quán)模

式自動(dòng)綁定；若用戶的IP地址是靜態(tài)的，可以采用DHCPSnooping的方式，用

戶獲取地址的同時(shí)在交換機(jī)端口做綁定。

6.3網(wǎng)絡(luò)后期擴(kuò)展性好

方案中核心設(shè)備采用萬(wàn)兆路由交換機(jī)，樓宇匯聚全部采用支持萬(wàn)兆的匯聚交

換機(jī)，滿足未來(lái)骨干網(wǎng)絡(luò)萬(wàn)兆擴(kuò)展；網(wǎng)絡(luò)接入設(shè)備支持GSN全局安全網(wǎng)絡(luò)，為未

來(lái)進(jìn)一步的提高網(wǎng)絡(luò)安全性和整體聯(lián)大性提供了廣闊的平臺(tái)。

6.4智能的無(wú)線辦公網(wǎng)絡(luò)

本次在綜合樓總共部署12個(gè)無(wú)線AP,覆蓋報(bào)告廳、會(huì)議室、行政辦公室、

閱覽室等區(qū)域。銳捷網(wǎng)絡(luò)針對(duì)學(xué)校無(wú)線應(yīng)用的特點(diǎn)，推出的有針對(duì)性的無(wú)線網(wǎng)絡(luò)

解決方案具有以下價(jià)值：

6.4.1高可用

?智能無(wú)線網(wǎng)絡(luò)解決方案采用面向下一代網(wǎng)絡(luò)的智能轉(zhuǎn)發(fā)型組網(wǎng)架構(gòu)，合

理的解決了在802.1In的大流量沖擊下，無(wú)線交換機(jī)的流量瓶頸問(wèn)題。

?智能無(wú)線網(wǎng)絡(luò)解決方案采用設(shè)備級(jí)的冗余設(shè)計(jì)。無(wú)線交換機(jī)支持N:1的

冗余技術(shù)；無(wú)線接入點(diǎn)采用雙以太口上聯(lián)設(shè)計(jì)；AAA認(rèn)證服務(wù)器支持

認(rèn)證服務(wù)器冗余。

?智能無(wú)線網(wǎng)絡(luò)解決方案采用虛擬控制器集群技術(shù)，能夠提供基于用戶、

頻段、流量的負(fù)載均衡。

6.4.2高安全

提供一體化安全解決方案：用戶準(zhǔn)入的安全；用戶身份的安全；數(shù)據(jù)傳輸?shù)?/p>

安全；無(wú)線射頻的安全

第7章主要設(shè)備選型說(shuō)明

7.1核心交換機(jī)產(chǎn)品

7.1.1產(chǎn)品概述

RG-S7600系列交換機(jī)是銳捷網(wǎng)絡(luò)推出的以業(yè)務(wù)為核心、面向下一代網(wǎng)絡(luò)的萬(wàn)兆骨干路

由交換機(jī)，提供大容量、高密度、模塊化體系架構(gòu)，在提供穩(wěn)定、可靠、安全的高性能L2/L3

層交換服務(wù)基礎(chǔ)上，具有強(qiáng)大組播功能、基于策略的QOS、有效的安全管理機(jī)制和電信級(jí)

的高可靠設(shè)計(jì)，滿足現(xiàn)代網(wǎng)絡(luò)的多種業(yè)務(wù)承載融合和業(yè)務(wù)靈活分類(lèi)、分流的組網(wǎng)需求?？梢?/p>

根據(jù)用戶的需求靈活配置，構(gòu)建彈性可擴(kuò)展的現(xiàn)代IP網(wǎng)絡(luò)。

RG-S7600系列交換機(jī)為銳捷網(wǎng)絡(luò)的高端產(chǎn)品之一，強(qiáng)大的交換路由功能、安全智能技

術(shù)可同銳捷各系列交換機(jī)配合，為用戶提供完整的端到端解決方案，是小型網(wǎng)絡(luò)核心和大型

網(wǎng)絡(luò)骨干交換機(jī)的理想選擇。

RG-S7600系列交換機(jī)目前提供S7604（4槽）、S7606（6槽）、S761O0O槽）3款模

塊化產(chǎn)品，可以滿足不同規(guī)模企業(yè)不同網(wǎng)絡(luò)層次的應(yīng)用需求，同時(shí)這些模塊化機(jī)架式交換機(jī)

采用統(tǒng)一的硬件和軟件平臺(tái)，完全兼容的線卡，以及與銳捷面向十萬(wàn)兆平臺(tái)的高端產(chǎn)品

RG-S8600/S9600相同的軟件版本，可以適應(yīng)不斷發(fā)展的企業(yè)網(wǎng)絡(luò)，充分保護(hù)用戶的投資。

7.1.2產(chǎn)品特性

1高安全保障措施

L1物理安全：

S7606提供冗余管理模塊、冗余電源模塊、各種模塊熱拔插等物理安全保障措施。

主機(jī)實(shí)時(shí)檢測(cè)CPU的使用狀態(tài)，并提供業(yè)界領(lǐng)先的硬件CPU保護(hù)技術(shù)（CPP,

CPUProtectPolicy）,CPP技術(shù)對(duì)發(fā)往CPU的數(shù)據(jù)進(jìn)行流區(qū)分和流限速，避免非法攻擊包

對(duì)CPU的攻擊和資源消耗。

L2病毒和攻擊防護(hù)：

面對(duì)現(xiàn)在網(wǎng)絡(luò)環(huán)境越來(lái)越多的網(wǎng)絡(luò)病毒和攻擊威脅，RG-S7600系列交換機(jī)提供強(qiáng)大的

網(wǎng)絡(luò)病毒和攻擊防護(hù)能力。

提供業(yè)界最為強(qiáng)大的ACL特性，基于SPOH技術(shù)提供IP標(biāo)準(zhǔn)、IP擴(kuò)展、MAC擴(kuò)展、

時(shí)間、專(zhuān)家級(jí)等豐富的ACL技術(shù)，支持IPV4/IPV6雙棧下的輸入輸出ACLo

支持硬件防源IP地址欺騙、防DOS/DDOS攻擊，防IP掃描等功能，提供多端口同步

監(jiān)控技術(shù)，支持靈活的網(wǎng)絡(luò)監(jiān)控，提升網(wǎng)絡(luò)監(jiān)控能力。

1.3設(shè)備管理安全：

提供SSH的加密登陸和管理功能，避免管理信息明文傳輸引發(fā)的潛在威脅

TelneVWeb登錄的源IP限制功能，避免非法人員對(duì)網(wǎng)絡(luò)設(shè)備的管理

SNMPV3提供加密和鑒別功能：確保數(shù)據(jù)從合法的數(shù)據(jù)源發(fā)出（引擎ID）；確保數(shù)據(jù)

在傳輸過(guò)程中不被篡改（采用MD5和SHA認(rèn)證協(xié)議）；加密報(bào)文，確保數(shù)據(jù)的機(jī)密性（采

用DES56加密協(xié)議)

1.4接入安全:

硬件支持IP、MAC、端口綁定，提高用戶接入控制能力。

支持802.1X技術(shù)，滿足6元素綁定接入限制

支持IGMP源端口檢查，可有效控制非法組播源，提高網(wǎng)絡(luò)安全。

IGMPV3支持宣告主機(jī)希望接收的多播源的地址，避免非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬

通過(guò)PVLAN隔離用戶之間信息互通，不必占用VLAN資源。

端口MAC地址鎖和端口MAC地址接入數(shù)量功能可以屏蔽非法主機(jī)的接入

動(dòng)態(tài)ARP檢測(cè)(DAI):結(jié)合DHCPsnooping數(shù)據(jù)庫(kù)中，可對(duì)轉(zhuǎn)發(fā)的ARP報(bào)文進(jìn)行安全

檢測(cè),丟棄不合法的ARP報(bào)文，預(yù)防中間人攻擊

1.5豐富的應(yīng)用支持技術(shù)

提供完善的各種QOS技術(shù)

靈活的流分類(lèi)：除了根據(jù)IPPrecedence、802.1P、DSCP進(jìn)行流分類(lèi)，還可以根據(jù)專(zhuān)

家級(jí)ACL、IP擴(kuò)展ACL、IP標(biāo)準(zhǔn)ACL、MAC擴(kuò)展ACL等進(jìn)行流分類(lèi)。

多種隊(duì)列技術(shù)：UrgentQueue>ProtocolQueue>硬件隊(duì)列、FIFO、PQ、CQ

擁塞管理和控制技術(shù)：SP、RR、WRR、DRR、SP+WRR、SP+DRR、CBQ、WFQ、

CBWFQ,LLQ、WRED、CAR、LR(ln\Out)>TrafficShaping(GTS)、HOL、RSVP等

提供多種組播支持技術(shù)，包括IGMPsnoopingJGMP,PIMCSSM,SM.DM),DVMRP,

保證了網(wǎng)絡(luò)中提供組播服務(wù)時(shí)的帶寬合理占用，同時(shí)提供支持IGMP源端口檢查、源IP檢

查、IGMP過(guò)濾功能等屏蔽非法組播源。

1.6IPv6的全面支持

支持多種IPv6的過(guò)渡技術(shù)，如雙棧、NAT-PT、手工隧道、GRE隧道、ISATAP、6to4

隧道等，利用這些過(guò)渡技術(shù)，可有效的滿足IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)的過(guò)渡

支持多種IPv6的路由技術(shù)，如靜態(tài)路由、等價(jià)路由、策略路由、OSPFV3、RIPng、

BGP4+、IS-ISV6等路由技術(shù)，滿足未來(lái)大規(guī)模IPv6網(wǎng)絡(luò)的部署

此外,還支持地址自動(dòng)配置、ICMPv6、ICMPv6重定向、DHCPv6、ACLforIPV6.

TCP/UDPforipv6等大量IPv6的相關(guān)技術(shù)。

通過(guò)對(duì)IPv6全面的支持，在最大的限度上保護(hù)了用戶已有的投資，使得目前的IPv4

網(wǎng)絡(luò)也能夠平滑遷移到IPv6。同時(shí)，基于AISC的硬件IPv6轉(zhuǎn)發(fā)方式，能夠滿足未來(lái)網(wǎng)絡(luò)

大規(guī)模的IPv6應(yīng)用。

1.7ECMP/WCMP（Equal-CostMultipathRouting/Weight-Cost

MultipathRouting）

在擁有多條不同鏈路到達(dá)同一目的地址的網(wǎng)絡(luò)環(huán)境中，如果使用傳統(tǒng)的路由技術(shù)，發(fā)往

該目地址的數(shù)據(jù)包只能利用其中的一條鏈路，其它鏈路處于備份狀態(tài)或無(wú)效狀態(tài)，并且在動(dòng)

態(tài)路由環(huán)境下相互的切換需要一定時(shí)間，而等值多路徑路由協(xié)議（ECMP）和權(quán)重多路徑路

由協(xié)議（WCMP）可以在該網(wǎng)絡(luò)環(huán)境下同時(shí)使用多條鏈路，不僅增加了傳輸帶寬，并且可

以無(wú)時(shí)延無(wú)丟包地備份失效鏈路的數(shù)據(jù)傳輸。

7.1.3產(chǎn)品技術(shù)參數(shù)

技術(shù)參數(shù)參數(shù)描述

產(chǎn)品型號(hào)RG-S7604

模塊插槽4個(gè)（1個(gè)用于管理引擎）

背板1T

交換容量432G

包轉(zhuǎn)發(fā)速率276Mpps

MAC地址64K

路由表項(xiàng)64K

802.lq4K

VLAN

L2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、EEE802.3ae>

IEEE802.3ak>IEEE802.3an、IEEE802.3x、IEEE802.3ad、IEEE802.1p>

IEEE802.1X、IEEE802.1Q、IEEEE802.1D、IEEEE802.1w、

IEEEE802.1S、RERP、SPAN>IGMPSnoopingvl/v2/v3、Jumbo

Frame(9Kbytes)>QinQ、GVRP、RLDP

L3協(xié)議BGP4、IS-IS、OSPFv2>RIPVKRIPV2、IGMPvl/v2/v3>DVMRP、

(IPV4)PIM-SSM/SM/DM、MBGP>LPMRouting、Policy-basedRouting、

Route-policy、ECMP、WCMP、VRRP

Ipv6協(xié)議靜態(tài)路由、等價(jià)路由、策略路由、ICMPv6、ICMPv6重定向、DHCPv6、

ACLv6、MLDvl/v2>PIM-SMv6>PIM-DMv6>PIM-SSMv6>OSPFV3、

RIPng、BGP4+、IS-ISv6、NAT-PT、TCP/UDPforipv6>SOCKETforipv6、

技術(shù)參數(shù)參數(shù)描述

產(chǎn)品型號(hào)RG-S7604

手工隧道、ISATAP、6to4隧道

QOSIPPrecedence>802.IP、DSCP>ACL流分類(lèi)、UrgentQueue>>Protocol

Queue>硬件隊(duì)列、FIFO、PQ、CQ、SP、RR、WRR、DRR、SP+WRR、

SP+DRR、CBQ、WFQ、CBWFQ、LLQ、WRED、CAR、LR(In\Out)

TrafficShaping(GTS)、HOL、RSVP

專(zhuān)業(yè)安全技防DDOS攻擊、非法數(shù)據(jù)包檢測(cè)、數(shù)據(jù)加密、防源IP欺騙、防IP

術(shù)掃描

管理方式SNMPvl/v2/v3>Telnet>Console>WEB、RMON、SSHvl/v2>

FTP/TFTP、

其它協(xié)議CPP、SNTP、NTP、DHCPClient、DHCPRelay>DHCPServer、DNS

Client、UDPrelay>ARPProxy>Radius>Tacacs>Domain>VPN>Syslog

電源100VAC-240VAC,50Hz~60Hz,功率:480W

MTBF>200,000hours

溫度工作溫度：0℃到40℃

存儲(chǔ)溫度：-40℃到70℃

濕度工作濕度：10%到90%RH

存儲(chǔ)濕度：5%到95%RH

7.2匯聚交換機(jī)產(chǎn)品

7.2.1產(chǎn)品概述

RG-S5750系列是銳捷網(wǎng)絡(luò)推出的硬件支持IPv6的萬(wàn)兆多層交換機(jī)。該系列產(chǎn)品為

IPv4網(wǎng)絡(luò)的建設(shè)、IPv4向IPv6網(wǎng)絡(luò)過(guò)渡、以及