北京林業(yè)管理干部學院校園網(wǎng)學生宿舍樓上網(wǎng)工程方案建議書.doc
《北京林業(yè)管理干部學院校園網(wǎng)學生宿舍樓上網(wǎng)工程方案建議書.doc》由會員分享,可在線閱讀,更多相關《北京林業(yè)管理干部學院校園網(wǎng)學生宿舍樓上網(wǎng)工程方案建議書.doc(95頁珍藏版)》請在裝配圖網(wǎng)上搜索。
北京林業(yè)管理干部學院 校園網(wǎng)學生宿舍樓上網(wǎng)工程方案建議書 北京金商祺系統(tǒng)集成有限責任公司 2006 年 7 月 目 錄 第一章 概述與需求分析 5 1 校園網(wǎng)建設背景 5 1 1 基本需求 5 1 2 組網(wǎng)要求 5 2 整體建網(wǎng)原則 5 第二章 學生宿舍網(wǎng)整體設計綜述 8 1 核心層 IP 骨干網(wǎng) 8 2 匯聚層網(wǎng)絡設計 9 2 1 匯聚網(wǎng)絡架構的選擇 9 2 2 學生宿舍網(wǎng)匯聚層網(wǎng)絡設計 10 2 2 1 匯聚層 S5600 系列以太網(wǎng)交換機概述 10 2 2 2 匯聚層 S5600 系列以太網(wǎng)交換機產品特點 11 2 2 3 匯聚層 S5600 系列以太網(wǎng)交換機規(guī)格特性 13 2 2 4 匯聚層 S5600 系列以太網(wǎng)交換機業(yè)務特性 15 3 智能彈性接入層網(wǎng)絡設計 20 3 1 學生宿舍網(wǎng)接入層網(wǎng)絡設計 20 3 1 1 接入層 E328 E352 以太網(wǎng)交換機概述 20 3 1 2 接入層 E328 E352 以太網(wǎng)交換機產品特點 21 3 1 3 接入層 E328 E352 以太網(wǎng)交換機規(guī)格特性 22 3 1 4 接入層 E328 E352 以太網(wǎng)交換機業(yè)務特性 23 4 交換機配置 27 5 IP 地址與路由策略 28 6 VLAN 劃分 30 第三章 安全滲透網(wǎng)絡設計 32 1 骨干層安全防護 33 2 基層網(wǎng)絡安全 34 3 網(wǎng)絡安全措施 35 3 1 用戶嚴格隔離 35 3 2 有效防范 MAC 掃描和 ARP 攻擊 35 3 3 DHCP 攻擊 VLAN Hopping 攻擊的防范 35 3 4 采用 SNMP v3 杜絕網(wǎng)管攻擊 36 3 5 有效抑制廣播風暴 36 3 6 惡意用戶追查 36 3 7 防治蠕蟲病毒 36 第四章 北京林業(yè)管理干部學院學生宿舍網(wǎng)運營綜合管理 39 1 校園網(wǎng)用戶認證管理需求分析 39 2 安騰校園認證計費解決方案的設計原則 39 3 校園網(wǎng)用戶管理認證方案概述 41 3 1 校園網(wǎng)特點和面臨的問題 41 3 2 CBMS 系統(tǒng)產品介紹 42 3 2 1Amtium eFlow BAS 認證計費管理網(wǎng)關介紹 43 3 2 2 Amtium eFlow BillingWare 認證計費管理發(fā)布監(jiān)控系統(tǒng)介紹 45 3 2 3 Amtium eFlow BillingWare 的 Radius Server 46 3 2 4 Amtium eFlow BillingWare 計費管理發(fā)布監(jiān)控系統(tǒng) 47 3 2 5 用戶自服務系統(tǒng) 用戶自注冊系統(tǒng) 49 3 2 6 校園一卡通接口 IDS 系統(tǒng)接口 50 3 2 7 Amtium eFlow Client 客戶端軟件 50 3 2 8 Amtium eFlow LRMS 日志記錄管理系統(tǒng) 51 4 安騰教育網(wǎng)應用方案 51 4 1 方案一 采用 CBMS 系統(tǒng)的典型應用 上海外國語大學 51 4 1 1 方案的典型拓撲及說明 51 4 1 2 特別推薦案例 上海外國語大學 52 4 2 方案二 802 1x 交換機和 BAS 混合認證或單獨采用 802 1X 交換機認證 廣西職業(yè)技術學 院 55 4 2 1 方案的典型拓撲及說明 55 4 2 2 特別推薦案例 廣西職業(yè)技術學院 56 4 3 方案三 采用 802 1x 交換機和 BAS 進行二次認證 廣東工業(yè)大學華立學院 58 4 3 1 方案的典型拓撲及說明 58 4 3 2 特別推薦案例 廣東工業(yè)大學華立學院 59 5 安騰服務體系 63 第五章 網(wǎng)絡綜合布線系統(tǒng) 64 1 工程概述 64 2 德國羅森伯格公司簡介 64 3 產品和技術特點簡介 65 3 1 Rosenberger PreCONNECT HDCS 高密度布線方案 65 3 2 HDCS 系統(tǒng)總結 65 4 設計依據(jù) 66 5 系統(tǒng)設計 68 5 1 設計說明 68 5 1 1 一號學生宿舍樓 68 5 1 2 二號學生宿舍樓 68 5 1 3 三號學生宿舍樓 68 5 1 4 臨時圖書館 68 5 1 5 系統(tǒng)選擇 68 6 設計特點 69 7 詳細設計 69 7 1 工作區(qū)子系統(tǒng) 69 7 2 水平子系統(tǒng) 71 7 3 垂直子系統(tǒng) 72 7 4 配線管理子系統(tǒng) 72 8 測試及驗收 76 8 1 綜合布線系統(tǒng)測試說明 76 8 2 一般測試原則 77 8 3 衰減測試合格值 78 8 4 測試及驗收要求 82 第六章 項目管理和工程實施 83 1 項目組織結構圖 83 2 項目組成員構成及職責 83 3 項目實施步驟 86 4 項目實施進度表 87 第七章 針對此項目提供 金色陽光 特色服務 88 一 北京金商祺系統(tǒng)集成有限責任公司介紹 88 1 公司介紹 88 2 公司政府采購中標情況 89 3 部分成功案例 90 二 完善的服務體系 91 三 服務措施 93 1 產品備件庫支持體系 93 2 設備故障無偏離 93 四 服務保障 94 五 服務承諾 94 六 培訓服務 94 第一章 概述與需求分析 1 校園網(wǎng)建設背景 1 1 基本需求 1 本方案作為校園網(wǎng)未來規(guī)劃整體框架的一個組成部分 2 對于校園網(wǎng)已有建設投資具有保護性 具有較強的擴展性 考慮未來整個學生宿舍區(qū)的校 園網(wǎng)接入和管理問題 3 能夠使學生相對簡便地通過身份驗證登錄到互聯(lián)網(wǎng)上學習和工作 4 網(wǎng)絡計費系統(tǒng)為基于賬號機制的網(wǎng)關式計費系統(tǒng) 支持充值卡續(xù)費功能 5 具有靈活的用戶管理方式 包括用戶開戶 用戶資料管理 用戶向量參數(shù)的綁定 包括用 戶帳號 IP 地址 MAC 地址 交換機地址 交換機端口等等 6 在網(wǎng)絡計費模式上 采用靈活的計費策略 包月方式 包月限時長方式 7 支持 Linux 操作系統(tǒng)下安裝部署 8 能夠通過日志管理 及時查找用戶的上網(wǎng)紀錄 1 2 組網(wǎng)要求 1 本次設備招標的樓宇 1 2 3 車庫 臨時圖書館 及車隊 食堂 怡林賓館 各樓 宇信息點數(shù)及線纜條件見綜合布線系統(tǒng)部分 2 本次招標采購的設備 匯聚層設備 接入層設備和計費系統(tǒng) 3 網(wǎng)絡終端用戶 100M Full Duplex 接入 4 接入交換機通過 6 類線纜 1000M Full Duplex 接入樓宇匯集交換機 5 樓宇匯聚交換機通過 1 條 1000M Full Duplex 鏈路 單模光纖 接入核心交換機 6 南北區(qū)核心交換機通過 2 條 1000M Full Duplex 鏈路 單模光纖 互聯(lián) 2 整體建網(wǎng)原則 早期的高校校園網(wǎng)主要是共用內部教育系統(tǒng)主機資源 共享簡單數(shù)據(jù)庫 多以二層交換為主 很少有三層應用 存在 安全 可管理性較差 無業(yè)務增值能力 等方面的問題 現(xiàn)在北京林業(yè)管理干部學院學生宿舍網(wǎng)建設要實現(xiàn)內部全方位的數(shù)據(jù)共享 應用三層交換 提供全面的 QoS 保障服務 使網(wǎng)絡安全可靠 從而實現(xiàn)教育管理 多媒體教學 圖書館管理自動化 提供可增值可管理的業(yè)務 必須具備高性能 高安全性 高可靠性 可管理 可增值特性以及開放 性 兼容性 可擴展性 基于對北京林業(yè)管理干部學院學生宿舍網(wǎng)業(yè)務需求的深入理解 結合自身產品和技術特點 我 公司推出了了完善的北京林業(yè)管理干部學院學生宿舍網(wǎng)解決方案 為北京林業(yè)管理干部學院學生宿 舍網(wǎng)提供 高擴展 多業(yè)務 高安全 的精品網(wǎng)絡 北京林業(yè)管理干部學院學生宿舍網(wǎng)建設遵循以下基本原則 高帶寬 北京林業(yè)管理干部學院學生宿舍網(wǎng)是一個龐大的網(wǎng)絡 為了保障全網(wǎng)的高速轉發(fā) 校園網(wǎng)全 網(wǎng)的組網(wǎng)設計的無瓶頸性 要求方案設計的階段就要充分考慮到 同時要求匯聚交換機具有高性能 高帶寬的特 整網(wǎng)的匯聚交換要求能夠提供無瓶頸的數(shù)據(jù)交換 可增值性 北京林業(yè)管理干部學院學生宿舍網(wǎng)的建設 使用和維護需要投入大量的人力 物力 因此網(wǎng) 絡的增值性是網(wǎng)絡持續(xù)發(fā)展基礎 所以在建設時要充分考慮業(yè)務的擴展能力 能針對不同的用戶需 求提供豐富的寬帶增值業(yè)務 使網(wǎng)絡具有自我造血機制 實現(xiàn)以網(wǎng)養(yǎng)網(wǎng) 可擴充性 考慮到北京林業(yè)管理干部學院學生宿舍網(wǎng)用戶數(shù)量和業(yè)務種類發(fā)展的不確定性 要求對于匯 聚與接入交換機具有強大的擴展功能 北京林業(yè)管理干部學院學生宿舍網(wǎng)要建設成完整統(tǒng)一 組網(wǎng) 靈活 易擴充的彈性網(wǎng)絡平臺 能夠隨著需求變化 充分留有擴充余地 開放性 技術選擇必須符合相關國際標準及國內標準 避免個別廠家的私有標準或內部協(xié)議 確保網(wǎng) 絡的開放性和互連互通 滿足信息準確 安全 可靠 優(yōu)良交換傳送的需要 開放的接口 支持良 好的維護 測量和管理手段 提供網(wǎng)絡統(tǒng)一實時監(jiān)控的遙測 遙控的信息處理功能 實現(xiàn)網(wǎng)絡設備 的統(tǒng)一管理 安全可靠性 設計應充分考慮整個網(wǎng)絡的穩(wěn)定性 支持網(wǎng)絡節(jié)點的備份和線路保護 提供網(wǎng)絡安全防范措施 標準化 在網(wǎng)絡系統(tǒng)中選用的通信協(xié)議 網(wǎng)絡協(xié)議和產品要符合國際標準或工業(yè)標準 以實現(xiàn)異構網(wǎng)絡 之間互連的相互兼容性 可延展性 考慮到北京林業(yè)管理干部學院學生宿舍網(wǎng)必須有升級能力 要預計到將來一段時間的需求的增 長 使網(wǎng)絡能夠適應未來發(fā)展的要求 從而為將來網(wǎng)絡升級作好準備 第二章 學生宿舍網(wǎng)整體設計綜述 北京林業(yè)管理干部學院學生宿舍網(wǎng)解決方案總體設計以高性能 高可靠性 高安全性 良好的 可擴展性 可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則 以及考慮到技術的先進性 成熟性 并 采用模塊化的設計方法 組網(wǎng)圖如下所示 北京林業(yè)管理干部學院學生宿舍網(wǎng)主要目的是將學生宿舍區(qū)網(wǎng)絡的性能 帶寬 主要網(wǎng)絡業(yè)務 進行全網(wǎng)的建設 網(wǎng)絡設計主要包含高品質 IP 核心網(wǎng)模塊 智能彈性接入網(wǎng)模塊 安全滲透網(wǎng)絡 模塊 網(wǎng)絡系統(tǒng)綜合管理 組播與 QoS 優(yōu)化模塊等共五個主要部分 本章節(jié)主要對主體網(wǎng)絡拓撲結構進行簡述 關于詳細功能和業(yè)務特性的實現(xiàn)請參看后續(xù)章節(jié)的 具體內容 北京林業(yè)管理干部學院學生宿舍網(wǎng)分成三個層次 即核心 匯聚 接入的模式 核心網(wǎng)由 1 臺 原有的 Cisco WS C4506 組成 依靠路由協(xié)議實現(xiàn)數(shù)據(jù)流的均衡和備份 匯聚層主要由新增華為 3Com 的 LS S5624P 作為每個樓宇的匯聚交換機 通過 GE 分別上聯(lián)到核心交換機 在充分提升性 能的基礎上 增加網(wǎng)絡的可靠性 可用性 接入層通過部署華為的新款設備 LS E328 和 E352 實現(xiàn) GE 上行 FE 三層功能到桌面的解決方案 一則可實現(xiàn)完全彈性 平滑的基礎網(wǎng)絡擴容 二則通過 三層功能的下移 釋放 降低核心層 匯聚層設備的性能壓力和組網(wǎng)成本 最終通過管理服務中心 的管理組件安騰計費網(wǎng)絡系統(tǒng)實現(xiàn)對整個北京林業(yè)管理干部學院學生宿舍網(wǎng)用戶行為與計費業(yè)務進 行綜合有效的管理 對于原有宿舍樓已經(jīng)部署的網(wǎng)絡設備 本項目對其進行優(yōu)化 調整 也要完成其網(wǎng)絡有效利用 連接的工作 物理鏈路主要以單條 GE 單模為主 1 核心層 IP 骨干網(wǎng) 北京林業(yè)管理干部學院學生宿舍網(wǎng)核心層 IP 骨干網(wǎng)交換機采用原有 Cisco WS C4506 為實 現(xiàn)宿舍網(wǎng)各種業(yè)務流的高品質傳送 高品質業(yè)務保證 業(yè)務高安全 業(yè)務高可靠 業(yè)務高性能可擴 展 業(yè)務可管理提供了可靠的保證 本次工程對于核心層硬件設備不增加 只做優(yōu)化 調整 以便更好的為整個校園網(wǎng)提供安全 穩(wěn)定 有效的運行管理 2 匯聚層網(wǎng)絡設計 2 1 匯聚網(wǎng)絡架構的選擇 校園網(wǎng)的建設中 網(wǎng)絡架構的選擇具有舉足輕重的作用 組網(wǎng)架構決定整個校園網(wǎng)絡的性能 可擴展性 可管理性 線纜布放 區(qū)域劃分等諸多關鍵因素 從目前的主流的組網(wǎng)架構上看 每種 組網(wǎng)架構都具有優(yōu)點與缺點 關鍵是要選擇適合于學校自身特點的架構 合理的組網(wǎng)架構是一個優(yōu) 秀校園網(wǎng)絡的基礎 選擇合理的組網(wǎng)架構考慮因素眾多 并且一旦實施了某種類型的組網(wǎng)架構 就意味著將長期影 響校園網(wǎng)的建設 因此組網(wǎng)架構的選擇成為困擾校園網(wǎng)建設者們的一個難題 本文從技術角度出發(fā) 探討了校園網(wǎng)中常見的幾種組網(wǎng)架構的優(yōu)缺點 為校園網(wǎng)的建設者選擇合理架構提供參考 選擇方法 關鍵因素排序法 在選擇組網(wǎng)架構時 通常要考慮的因素有流量分布 路由規(guī)劃 線纜走向 功能區(qū)域劃分 設 備管理 網(wǎng)絡應用等等 甚至還要考慮網(wǎng)絡協(xié)議支持 如 IPv6 部署區(qū)域 IPv4 IPv6 共存區(qū)域等 在這些因素中 根據(jù)學校的實際情況選取一些關鍵性因素 如已經(jīng)進行了光纖布放的學校 線纜走 向可能會成為選擇校園網(wǎng)整體架構的關鍵因素 通常情況下 網(wǎng)絡架構的選擇應該優(yōu)先滿足關鍵性 因素 其他因素作為參考指標 對比法 在幾種主流架構中 通過對學校自身特點的歸納總結 對比每種架構對于學校特點與需求的滿 足度 從中選擇最合適的組網(wǎng)架構 逐步建設法 校園網(wǎng)的建設是個逐步的 長期的過程 在初期建設中 有可能校園網(wǎng)只是覆蓋了有限區(qū)域 此時可以選擇一些相當簡單的架構 在后期建設中 可以根據(jù)實際情況調整為最合理結構 采用這 種方式應注意校園網(wǎng)建設的長期規(guī)劃 同時也要選擇長期的合作伙伴和國際標準技術組網(wǎng) 初期建 設不應對后期發(fā)展有所局限 經(jīng)驗借鑒法 雖然沒有方案可以適合所有學校的校園網(wǎng)建設 他山之石可以攻玉 其他學校的經(jīng)驗教訓對 于本校的校園網(wǎng)建設有較多借鑒作用 同時應注重選擇經(jīng)驗豐富的合作伙伴 2 2 學生宿舍網(wǎng)匯聚層網(wǎng)絡設計 北京林業(yè)管理干部學院學生宿舍網(wǎng)核心層解決方案總體設計以高性能 高可靠性 高安全性 良好的可擴展性 可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則 以及考慮到技術的先進性 成熟 性 并采用模塊化的設計方法 同時兼顧學校在樓宇分布 光纜布設條件 組網(wǎng)綜合成本等客觀因 素 建議骨干網(wǎng)結構采用 1 個單星形結構融合的結構 本次北京林業(yè)管理干部學院學生宿舍網(wǎng)校區(qū)網(wǎng)設計中 我們非常關注方案的可靠性 因為在學 校網(wǎng)絡中宿舍的業(yè)務也是關鍵的業(yè)務 而本項目就是教學樓的網(wǎng)絡 所以可靠性的設計非常關鍵 在匯聚層 由于樓宇內網(wǎng)絡 尤其是宿舍區(qū)存在密集度高的大量用戶 為了保證數(shù)據(jù)傳輸和交 換的效率 現(xiàn)在各個樓內設置三層樓內匯聚層 樓內匯聚層設備不但分擔了核心設備的部分壓力 同時提高了網(wǎng)絡的安全性 我們建議樓內匯聚采用 Quidway S5600 萬兆核心交換機 Quidway S5600 系列全千兆智能彈性交換機支持華為 3COM 創(chuàng)新的 IRF Intelligent Resilient Framework 技術 能夠實現(xiàn)用戶網(wǎng)絡的高度彈性智能擴展 利用 IRF 技術 用戶可以將多臺設備 通過堆疊接口連接起來組成一個聯(lián)合設備 Fabric 并將這些設備看作單一設備進行管理和使用 降低了管理成本 同時實現(xiàn)按需購買 平滑擴容 在網(wǎng)絡升級時最大限度地保護已有投資 同時 S5600 支持萬兆上聯(lián)最大程度的提高了匯聚層與核心交換機之間的帶寬擴展需求 2 2 1 匯聚層 S5600 系列以太網(wǎng)交換機概述 Quidway S5600 系列全千兆智能彈性交換機是華為 3COM 公司為設計和構建高彈性和高智能網(wǎng) 絡需求而推出的新一代以太網(wǎng)交換機產品 系統(tǒng)采用華為 3COM 公司創(chuàng)新的 IRF Intelligent Resilient Framework 智能彈性架構 技術 支持高達 96G 的堆疊帶寬和高密度千兆端口 支持萬 兆上行 特別適合作為需要高帶寬 高性能和高擴展性的中小企業(yè)網(wǎng)核心 大型企業(yè)網(wǎng)絡和園區(qū)網(wǎng) 的匯聚層以及數(shù)據(jù)中心的服務器接入設備 Quidway S5624P 5648P 采用交 直流雙輸入電源模塊供電 并可通過更換電源模塊提供千兆 PoE 功能 后面板提供兩個固定的堆疊接口和一個擴展模塊插槽 擴展模塊可選配 8 端口千兆 SFP 模塊 1 端口萬兆模塊或 2 端口萬兆模塊 前面板提供 24 48 個 10 100 1000Base T 自協(xié)商以太網(wǎng) 端口 RJ 45 連接器 及 4 個 SFP Combo 接口 Quidway S5624F 采用交 直流雙輸入電源模塊供電 后面板提供兩個固定的堆疊接口和一個 擴展模塊插槽 擴展模塊可選配 8 端口千兆 SFP 模塊 1 端口萬兆模塊或 2 端口萬兆模塊 前面板 提供 24 個千兆 SFP 接口和 4 個 como 的 10 100 1000Base T 自協(xié)商以太網(wǎng)端口 RJ 45 連接器 2 2 2 匯聚層 S5600 系列以太網(wǎng)交換機產品特點 IRF 智能彈性架構技術 可管理性 IRF 技術真正的即插即用支持 單一 IP 地址管理 單步驟軟件升級以及通過 SNMP Web 界面和 CLI 進行的架構范圍配置 所有這些功能都簡化分布式架構中的設備管理 高性能第三層交換 IRF 分布式架構能夠利用所有交換機的第三層交換功能提供更高的性能和 可擴展性 而避免管理多臺獨立三層設備的復雜性 分布式鏈路聚合 可跨分布式架構中多臺交換機的端口配置一個聚合鏈路 能對布線間進行雙 重雙核心上連 從而提高整個網(wǎng)絡骨干的可用性和性能 POE Power over ethernet 遠程供電特性 Quidway S5600 系列交換機可以通過更換 POE 電源支持 PoE Power Over Ethernet 功能 即 可通過雙絞線向遠端下掛 PD 設備 如 IP Phone WLAN AP Security Bluetooth AP 等 提供 48V 直流電源 實現(xiàn)對下掛 PD 設備遠端供電 作為供電方 PSE Power Sourcing Equipment 設備 支持 IEEE802 3af 線路供電標準 同時也可以兼容不符合 802 3af 標準的 PD Powered Device 設備 交換機遠端供電時每個以太網(wǎng)口向下掛設備提供的最大功率為 15 4W S5600 提供千兆電口 上的 PoE 特性 能夠充分滿足未來技術發(fā)展的需求 為千兆無線技術 語音技術的發(fā)展提供了支持 通過支持 POE 和 Voice VLAN 技術 S5600 系列交換機能夠提供完美的數(shù)據(jù)和語音融合解決方 案 大容量全線速的多層交換 Quidway S5600 系列交換機具有 192G 240G 的交換容量和 66M 102Mpps 的二 三層包轉發(fā)能力 支持所有端口線速轉發(fā) 設備最大提供 24 48 端口 10 100 1000M 電接口 32 個 SFP 千兆光接口或 2 個 10G 接口 充分滿足客戶對高密度 GE 和萬兆上行設備的需求 設備具備強大的 IRF 堆疊擴展 能力 極大的節(jié)省了用戶對設備的投資 硬件支持二 三層線速交換 能夠識別 處理四到七層的 應用業(yè)務流 所有端口都具有單獨的數(shù)據(jù)包過濾 區(qū)分不同應用流 并根據(jù)不同的流進行不同的管 理和控制 完備的安全控制策略 Quidway S5600 系列交換機基于最長匹配的路由策略 系統(tǒng)采用逐包轉發(fā)方式 保證了所有報 文均獲得相同的轉發(fā)性能 對 紅碼病毒 和 沖擊波病毒 的攻擊具有天生的防御能力 有效保 證了設備安全 支持集中式 MAC 地址認證和 802 1x 認證 在用戶接入網(wǎng)絡時完成必要的身份認證 還可以通 過靈活的 MAC IP VLAN PORT 任意組合綁定 有效的防止非法用戶訪問網(wǎng)絡 支持 DUD Disconnect Unauthorised Device 認證 通過 MAC 地址學習數(shù)目限制和 MAC 地址 與端口綁定實現(xiàn) 支持用戶分級管理和口令保護 支持 MAC 地址學習數(shù)目限制 MAC 地址與端口綁 定 端口隔離 MAC 地址黑洞 支持防止 DoS 攻擊功能 支持 QoS Profile 功能 和 802 1x 認證功能相結合 可以動態(tài)的為通過認證的用戶提供預先 配置的一套 QoS 功能 用戶在經(jīng)過 802 1x 認證后 交換機根據(jù) AAA 服務器上配置的用戶名和 Profile 的對應關系 將相應的 Profile 動態(tài)下發(fā)到用戶登錄的端口上 為該用戶提供量身定做的 服務質量保證 支持 SSH 特性 用戶通過一個不能保證安全的網(wǎng)絡環(huán)境遠程登錄到以太網(wǎng)交換機時 可以提供 安全的信息保障和強大的認證功能 以保護以太網(wǎng)交換機不受諸如 IP 地址欺詐 明文密碼截取等 等攻擊 高可靠性 Quidway S5600 系列交換機采用 IRF 技術組網(wǎng)后 能夠在整個堆疊組內實現(xiàn)控制平面和數(shù)據(jù)平 面所有信息的冗余備份 極大地增強了設備和網(wǎng)絡的可靠性 消除了單點故障 避免了業(yè)務中斷 同時 Quidway S5600 系列交換機不僅支持 STP RSTP 生成樹協(xié)議 還提供了基于多 VLAN 的生成 樹 MSTP 極大提高了鏈路的冗余備份 提高容錯能力 保證網(wǎng)絡的穩(wěn)定運行 支持 VRRP 虛擬路由冗余協(xié)議 與其他三層交換機構建 VRRP 備份組 構建故障時的冗余路由拓 樸結構 保持通訊的連續(xù)性和可靠性 有效保障網(wǎng)絡穩(wěn)定 支持在設備上配置多條等價路由的方式實現(xiàn)上行路由的冗余備份 當主上行路由發(fā)生故障時自 動切換到下一條備份路由 實現(xiàn)上行路由的多級備份 采用交 直流雙輸入電源模塊供電 也可以通過更換電源模塊來支持 PoE 功能 提供所有固定 端口的 PoE 滿負載 豐富的 QOS 策略 Quidway S5600 系列交換機支持基于源 MAC 地址 目的 MAC 地址 源 IP 地址 目的 IP 地址 端口 協(xié)議的 L2 L7 復雜流分類 每端口支持 100 個流規(guī)則 整機支持 3200 5600 個流規(guī)則 充分 保障了復雜網(wǎng)絡對于 QoS 規(guī)則的要求 提供靈活的隊列調度算法 可以同時基于端口和隊列進行設置 支持 SP Strict Priority WRR Weighted Round Robin SP WRR 三種模式 支持 8 個優(yōu)先級隊列 支持 CAR Committed Access Rate 功能 可以實現(xiàn)基于端口和基于流的速率限制 限制的 粒度可以精確至 64Kbps 為網(wǎng)絡帶寬的精細化管理提供了手段 多樣的管理方式 Quidway S5600 系列交換機支持 CLI 命令行 Telnet Console 口配置 支持華為 3COM 的 Quidview iManager 網(wǎng)管系統(tǒng) 支持 WEB 網(wǎng)管 使設備管理更加方便 通過各種開放的標準 MIB 和擴展 MIB 的支持可以提供完善的基于 SNMP 的第三方管理能力 2 2 3 匯聚層 S5600 系列以太網(wǎng)交換機規(guī)格特性 項目 S5624P S5624P PWR S5624F S5648P S5648P PWR 管理端口 1 個 Console 口 固定端口 24 個 10 100 1000M 電口 4 個 SFP Combo 千兆口 24 個千兆 SFP 接口 4 個 10 100 1000Mcomo 電 口 48 個 10 100 1000M 電口 4 個 SFP Combo 千兆口 業(yè)務端 口描述 可選模塊 8 端口 SFP 模塊 1 端口 10GE 模塊 2 端口 10GE 模塊 端口類型 10 100 1000BASE T 1000Base SX SFP 1000Base LX SFP 1000Base LH SFP 1000Base T SFP 10GBase LR XENPAK 10GBase LR XFP 10GBase ER XFP 可選電 源 電源模塊 PSL130 AD 130W 系統(tǒng)輸出 電源模塊 交流輸入或者直 流輸入 PSL480 AD24P 180W 系統(tǒng) 300W POE 輸出電源模塊 交流輸入或直流輸入 PSL130 AD 130W 系統(tǒng)輸出電源模 塊 交流輸入或 者直流輸入 PSL180 AD 180W 系統(tǒng) 輸出電源模塊 交流輸 入或者直流輸入 PSL480 AD48P 180W 系 統(tǒng) 300W POE 輸出電源 模塊 交流輸入或直流 輸入 交 直流雙輸入電源模塊輸入電壓 AC 額定電壓范圍 100 240V 50 60Hz 最大電壓范圍 90 264V 50 60Hz DC 額定電壓范圍 48 60V 最大電壓范圍 36 72V 輸入電壓 PoE 電源模塊直流輸入 額定電壓 53 5V 最大電壓 52V 55V 外形尺寸 mm 寬 深 高 440 420 43 6 重量 7 5KG 8KG 功耗 滿負荷時 S5624P 170W S5648P 230W S5624F 170W S5624P PWR 540W S5648P PWR 600W 在進行 PoE 供電時 S5624P PWR 采用直流供電時最大功率為 540W 采用交流供電時為 540W S5648P PWR 采用直流供電時最大功率為 970W 采用交流供電時為 600W 工作環(huán)境溫度 0 45 工作環(huán)境相對濕度 非凝露 10 95 2 2 4 匯聚層 S5600 系列以太網(wǎng)交換機業(yè)務特性 特性 S5624P S5624F S5624P PWR S5648P S5648P PWR 線速二 三層交換 所有端口支持線速轉發(fā) 交換容量為 192Gbit s 包轉發(fā)率 66Mpps 所有端口支持線速轉發(fā) 交換容量為 240Gbit s 包轉發(fā)率 102Mpps 交換模式 存儲轉發(fā)模式 Store and Forward VLAN 支持 4K 個符合 IEEE 802 1Q 標準的 VLAN 支持基于端口的 VLAN Voice VLAN 支持識別進入端口的流的 MAC 地址 如果是 IP 電話流 就會將該端口加入相應 的 Voice VLAN 廣播風暴抑制 支持基于端口速率百分比的廣播風暴抑制 同時支持基于 pps 的廣播風暴抑制 端口環(huán)回檢測 支持端口收 發(fā)數(shù)據(jù)線被短路的檢測與告警 IP 路由 靜態(tài)路由 RIPv1 2 OSPF ECMP BGP VRRP 支持 組播 IGMP Snooping IGMP V1 V2 PIM SM PIM DM 特性 S5624P S5624F S5624P PWR S5648P S5648P PWR 生成樹協(xié)議 支持 STP RSTP MSTP 協(xié)議 符合 IEEE 802 1D IEEE 802 1w IEEE 802 1s 標 準 端口匯聚 支持通過 LACP 進行動態(tài)端口匯聚 支持進行通過命令行手動進行端口匯聚 支持堆疊范圍內的跨設備鏈路匯聚 支持 GE Gigabit Ethernet 端口匯聚 支持 10G Gigabit Ethernet 端口匯聚 最多 32 組端口匯聚組 GE 匯聚組最多支持 8 個端口 10GE 匯聚組最多 4 個端 口 匯聚的端口必須具有相同的端口類型 鏡像 支持多對一的端口鏡像 即多個源端口 一個鏡像端口 支持流鏡像 支持在堆疊范圍內跨設備的鏡像功能 支持 RSPAN 遠程端口鏡像 MAC 地址表 地址自學習 IEEE 802 1D 標準 最多支持 16K 個 MAC 地址 支持 1K 個靜態(tài) MAC 地址 流控 支持 IEEE 802 3x 流控 全雙工 支持 Back pressure based flow control 背壓式流控 半雙工 IRF 支持 IRF 最多 8 臺 2 個高速堆疊端口 每端口 48G 堆疊帶寬 環(huán)形堆疊時可 以提供高達 96G 堆疊帶寬 特性 S5624P S5624F S5624P PWR S5648P S5648P PWR 加載與升級 支持 XModem 協(xié)議實現(xiàn)加載升級 支持 FTP File Transfer Protocol TFTP Trivial File Transfer Protocol 加載升級 管理 支持命令行接口 CLI 配置 支持 Telnet 遠程配置 支持通過 Console 口配置 支持 SNMP Simple Network Management Protocol 支持 RMON Remote Monitoring 1 2 3 9 組 MIB 支持 QuidView 網(wǎng)管系統(tǒng) 支持 WEB 網(wǎng)管 支持系統(tǒng)日志 支持分級告警 維護 支持調試信息輸出 支持 PING Traceroute Multicast Traceroute 支持 Telnet 遠程維護 特性 S5624P S5624F S5624P PWR S5648P S5648P PWR QoS ACL 支持對端口接收報文的速率和發(fā)送報文的速率進行限制 支持報文重定向 支持 CAR Committed Access Rate 功能 GE 端口流量限速的粒度為 64Kbit s 10G 端口流量限速的粒度為 1Mbit s 支持 8 個端口輸出隊列 支持靈活的隊列調度算法 可以同時基于端口和隊列進行設置 支持 SP Strict Priority WRR Weighted Round Robin SP WRR 三種模式 支持報文的 802 1p 和 DSCP 優(yōu)先級重新標記 支持 L2 Layer 2 L4 Layer 4 包過濾功能 提供基于源 MAC 地址 目的 MAC Medium Access Control 地址 源 IP 地址 目的 IP 地址 端口 協(xié)議 VLAN Virtual Local Area Network VLAN 范圍 MAC 地址范圍和非法幀過 濾 支持基于時間段 Time Range 的 ACL 和 QoS 控制 支持 Qos Profile 管理方式 允許用戶定制 Qos 服務方案 安全特性 用戶分級管理和口令保護 支持 IEEE 802 1X 認證 支持基于 MAC 地址的認證 支持 DUD Disconnect Unauthorized Device 特性 支持 SSH 包過濾 支持端口隔離 DHCP 支持 DHCP CLIENT DHCP RELAY DHCP SNOOPING DHCP SERVER NTP 支持 3 智能彈性接入層網(wǎng)絡設計 彈性智能接入網(wǎng)主要實現(xiàn)業(yè)務的導入 業(yè)務感知 驅動網(wǎng)絡資源分配和策略部署 首先 業(yè)務 進入網(wǎng)絡之后需要進行身份認證及終端安全狀態(tài)檢查 合法而安全的用戶及終端可以允許訪問網(wǎng)絡 資源 這個過程稱為 EAD 端點準入防御 隨后 網(wǎng)絡會根據(jù)用戶的權限為用戶分配網(wǎng)絡資源 包 括 IP 地址 VLAN 以及安全及 QOS 策略 這些策略都是動態(tài)生成的 對于安全性要求比較高的網(wǎng) 絡 可以采用 PSPT 為每個業(yè)務分配不同的隧道 技術 與核心網(wǎng)的 VPN 技術相配合 實現(xiàn)端到端 的業(yè)務隔離 隨著關鍵應用的增多 接入網(wǎng)的可靠性顯得越來越重要 除了堆疊 STP 收斂 端口 匯聚 快速路由收斂等方法之外 華為 3Com 公司還開發(fā)了基于全分布式轉發(fā)的 IRF 智能彈性架 構 技術 支撐更加強大的可靠性和擴展性 3 1 學生宿舍網(wǎng)接入層網(wǎng)絡設計 針對北京林業(yè)管理干部學院學生宿舍網(wǎng)的接入網(wǎng)絡提供解決方案 其中重點在于有線網(wǎng)絡的彈 性擴展能力 3 層網(wǎng)絡接入桌面和接入交換機針對教育行業(yè)的典型特性進行設計 接入層建議采用 Quidway E328 E352 教育網(wǎng)以太網(wǎng)交換機 該交換機是華為 3COM 公司為教 育行業(yè)構建高彈性 高智能網(wǎng)絡需求而專門設計的新一代以太網(wǎng)交換機產品 具有高擴展性 高可 靠性 高安全性和易管理性 適合作為教育城域網(wǎng)和校園網(wǎng)的匯聚和接入層交換機 3 1 1 接入層 E328 E352 以太網(wǎng)交換機概述 Quidway E328 E352 教育網(wǎng)以太網(wǎng)交換機是華為 3COM 公司為教育行業(yè)構建高彈性 高智能網(wǎng) 絡需求而專門設計的新一代以太網(wǎng)交換機產品 具有高擴展性 高可靠性 高安全性和易管理性 適合作為教育城域網(wǎng)和校園網(wǎng)的匯聚和接入層交換機 Quidway E328 Quidway E352 3 1 2 接入層 E328 E352 以太網(wǎng)交換機產品特點 大容量全線速的多層交換 Quidway E328 E352 教育網(wǎng)交換機具有 32G 的背板帶寬 系統(tǒng)能夠提供 4 個 GE 有效解決了在 單臺設備上多條千兆鏈路上行 同時接入千兆服務器的需求 極大的節(jié)省了用戶對設備的投資 完備的安全控制策略 Quidway E328 E352 教育網(wǎng)交換機支持集中式 MAC 地址認證和 802 1x 認證 在用戶接入網(wǎng)絡時 完成必要的身份認證 還可以通過靈活的 MAC IP VLAN PORT 任意組合綁定 有效的防止非法用 戶訪問網(wǎng)絡 支持動態(tài)策略功能 和 802 1x 認證功能相結合 可以將策略 VLAN QOS ACL 動態(tài)下發(fā)到 用戶登錄的端口上 為該用戶提供量身定做的一系列服務質量保證 支持 DHCP Snooping 功能 通過建立和維護 DHCP Snooping 綁定表實現(xiàn)偵聽接入用戶的 MAC 地 址 IP 地址 租用期 VLAN ID 接口等信息 解決了 DHCP 用戶的 IP 和端口跟蹤定位問題 同時 利用 DHCP Snooping 的信任端口特性可以保證 DHCP Server 的合法性 支持 EAD 端點準入防御 功能 將終端防病毒 補丁修復等終端安全措施與網(wǎng)絡接入控制 訪問權限控制等網(wǎng)絡安全措施整合為一個聯(lián)動的安全體系 通過對網(wǎng)絡接入終端的檢查 隔離 修 復 管理和監(jiān)控 使整個網(wǎng)絡變被動防御為主動防御 變單點防御為全面防御 變分散管理為集中 策略管理 提升了網(wǎng)絡對病毒 蠕蟲等新興安全威脅的整體防御能力 豐富的 QOS 策略 Quidway E328 E352 教育網(wǎng)交換機支持基于源 MAC 地址 目的 MAC 地址 源 IP 地址 目的 IP 地址 端口 協(xié)議的 L2 L7 復雜流分類 支持 1K 個流規(guī)則 提供靈活的隊列調度算法 可以同時基于端口和隊列進行設置 支持 SP Strict Priority WRR Weighted Round Robin WFQ Weighted Fair Queue SP WRR SP WFQ 五種模式 支持 8 個優(yōu)先級隊列 2 個丟棄優(yōu)先級 支持 WRED 擁塞避免算法 支持 CAR Committed Access Rate 功能 可以實現(xiàn)基于端口和基于流的速率限制 限制的 粒度可以精確至 64Kbps 為網(wǎng)絡帶寬的精細化管理提供了手段 多樣的管理方式 Quidway E328 E352 教育網(wǎng)交換機通過專利技術實現(xiàn)真正的即插即用 單一 IP 地址管理 單 步驟軟件升級以及通過 SNMP Web 界面和 CLI 進行的架構范圍配置 支持專用堆疊電纜和最大 8 臺設備的堆疊 支持 VCT Virtual Cable Test 電纜檢測功能 便于快速定位網(wǎng)絡故障點 支持 SNMP V1 V2 V3 可支持 Open View 等通用網(wǎng)管平臺 以及 Quidview 網(wǎng)管系統(tǒng) 支持 CLI 命令行 Web 網(wǎng)管 TELNET HGMP 集群管理 使設備管理更方便 通過各種開放的標準 MIB 和 擴展 MIB 的支持可以提供完善的基于 SNMP 的第三方管理能力 3 1 3 接入層 E328 E352 以太網(wǎng)交換機規(guī)格特性 項目 E328 E352 管理端口 1 個 Console 口 固定端口 24 個 10 100Base T 以太網(wǎng)端口 2 個 1000Base X SFP 千兆以太網(wǎng) 端口 2 個 10 100 1000Base T 以 太網(wǎng)端口 48 個 10 100Base T 以太網(wǎng)端 口 4 個 1000Base X SFP 千 兆以太網(wǎng)端口 業(yè)務 端口 描述 可選模塊 1000BASE SX SFP 1000BASE LX SFP 1000BASE LH SFP 1000BASE ZX LR SFP 1000BASE ZX VR SFP 1000BASE T AN SFP 端口類型 10 100BASE T 1000BASE SFP 外形尺寸 mm 寬 深 高 440 260 43 6 重量 E328 3 5kg E352 4kg 輸入電壓 額定電壓范圍 100 240V a c 50 60Hz 最大電壓范圍 90 264V a c 50 60Hz 功耗 滿負荷時 E328 40W E352 50W 工作環(huán)境溫度 0 45 工作環(huán)境相對濕度 非凝露 10 90 3 1 4 接入層 E328 E352 以太網(wǎng)交換機業(yè)務特性 特性 Quidway E328 E352 線速二 三層交 換 背板帶寬為 32Gbit s 包轉發(fā)率 9 6Mpps E328 13 2Mpps E352 交換模式 存儲轉發(fā)模式 Store and Forward VLAN 支持 4K 個符合 IEEE 802 1Q 標準的 VLAN 支持基于端口的 VLAN 和基于協(xié)議的 VLAN 支持 GuestVlan 支持 GVRP 協(xié)議 Voice VLAN 支持識別進入端口的流的 MAC 地址 如果是 IP 電話流 就會將該端口 加入相應的 Voice VLAN 特性 Quidway E328 E352 廣播風暴抑制 支持基于端口速率百分比的廣播風暴抑制 同時支持基于 pps 的廣播風 暴抑制 端口環(huán)回檢測 支持端口收 發(fā)數(shù)據(jù)線被短路的檢測與告警 IP 路由 靜態(tài)路由 RIPv1 2 組播 IGMP Snooping 生成樹協(xié)議 支持 STP RSTP MSTP 協(xié)議 符合 IEEE 802 1D IEEE 802 1w IEEE 802 1s 標準 端口匯聚 支持通過 LACP 進行動態(tài)端口匯聚 支持進行通過命令行手動進行端口匯聚 支持 FE GE 端口匯聚 支持每個匯聚組最大端口數(shù) 8FE 或者 4GE 最多支持 8 組端口匯聚 Jumbo frame 支持 鏡像 支持多對一的端口鏡像 即多個源端口 一個鏡像端口 支持流鏡像 地址自學習 IEEE 802 1D 標準 最多支持 16K 個 MAC 地址MAC 地址表 支持靜態(tài) MAC 地址 1K 特性 Quidway E328 E352 流控 支持 IEEE 802 3x 流控 全雙工 支持背壓式流控 半雙工 加載與升級 支持 XModem 協(xié)議實現(xiàn)加載升級 支持 FTP TFTP 加載升級 管理 支持命令行接口 CLI 配置 支持 Telnet 遠程配置 支持 VCT 虛擬電纜檢測 快速定位電纜故障點 支持通過 Console 口配置 支持 SNMPV1 1V2 V3 支持 RMON 1 2 3 9 組 MIB 支持 QuidView 網(wǎng)管系統(tǒng) 支持 WEB 網(wǎng)管 支持 HGMPv2 集群管理 支持系統(tǒng)日志 支持分級告警 維護 支持調試信息輸出 支持 PING Tracert 特性 Quidway E328 E352 QoS ACL 支持對端口接收報文的速率和發(fā)送報文的速率進行限制 支持報文重定向 支持 CAR 功能 流量限速的粒度最小可達 64Kbit s 支持 8 個端口輸出隊列 支持靈活的隊列調度算法 可以同時基于端口和隊列進行設置 支持 SP Strict Priority WRR Weighted Round Robin WFQ SP WFQ SP WRR 五種模式 支持報文的 802 1p 和 DSCP 優(yōu)先級重新標記 支持 L2 L4 包過濾功能 提供基于源 MAC 地址 目的 MAC 址 源 IP 地 址 目的 IP 地址 端口 協(xié)議 VLAN VLAN 范圍 MAC 地址范圍和非 法幀過濾 支持基于時間段的 ACL 和 QoS 控制 支持 Qos Profile 管理方式 允許用戶定制 Qos 服務方案 特性 Quidway E328 E352 安全特性 用戶分級管理和口令保護 支持 IEEE 802 1X 認證 支持 AAA Radius 認證 支持 MAC 地址學習數(shù)目限制 支持 MAC 地址與端口 IP 的綁定 支持 SSH2 0 支持防止 DoS 攻擊功能 支持端口隔離 支持 MAC 地址黑洞 支持集中式 mac 地址認證 WRED 支持 DHCP CLIENT 支持 DHCP Snooping 支持 NTP 支持 4 交換機配置 一號學生宿舍樓 匯聚層采用 Quidway S5624P 交換機一臺 提供 24 個千兆 SFP 接口和 4 個 como 的 10 100 1000Base T 自協(xié)商以太網(wǎng)端口 RJ 45 連接器 并配 1 個 SFP 單模模塊 接入層采用 Quidway E328 交換機 臺 提供 24 個 10 100Base T 以太網(wǎng)端口 2 個 1000Base X SFP 千兆以太網(wǎng)端口 2 個 10 100 1000Base T 以太網(wǎng)端口 上聯(lián) 通過六類千兆電纜實現(xiàn) 二號學生宿舍樓 匯聚層采用 Quidway S5624P 交換機一臺 提供 24 個千兆 SFP 接口和 4 個 como 的 10 100 1000Base T 自協(xié)商以太網(wǎng)端口 RJ 45 連接器 并配 1 個 SFP 單模模塊 接入層采用 Quidway E328 交換機 臺 提供 24 個 10 100Base T 以太網(wǎng)端口 2 個 1000Base X SFP 千兆以太網(wǎng)端口 2 個 10 100 1000Base T 以太網(wǎng)端口 上聯(lián) 通過六類千兆電纜實現(xiàn) 三號學生宿舍樓 匯聚層采用 Quidway S5624P 交換機一臺 提供 24 個千兆 SFP 接口和 4 個 como 的 10 100 1000Base T 自協(xié)商以太網(wǎng)端口 RJ 45 連接器 并配 1 個 SFP 單模模塊 接入層采用 Quidway E328 交換機 臺 提供 24 個 10 100Base T 以太網(wǎng)端口 2 個 1000Base X SFP 千兆以太網(wǎng)端口 2 個 10 100 1000Base T 以太網(wǎng)端口 上聯(lián) 通過六類千兆電纜實現(xiàn) 怡林賓館 匯聚層采用 Quidway S5624P 交換機一臺 提供 24 個千兆 SFP 接口和 4 個 como 的 10 100 1000Base T 自協(xié)商以太網(wǎng)端口 RJ 45 連接器 并配 1 個 SFP 單模模塊 接入層采用 Quidway E328 交換機 臺 提供 24 個 10 100Base T 以太網(wǎng)端口 2 個 1000Base X SFP 千兆以太網(wǎng)端口 2 個 10 100 1000Base T 以太網(wǎng)端口 上聯(lián) 通過六類千兆電纜實現(xiàn) 車庫 臨時圖書館 及車隊 食堂 采用原有設備 做優(yōu)化 調整 實現(xiàn)網(wǎng)絡連接 5 IP 地址與路由策略 IP 地址的合理規(guī)劃是網(wǎng)絡設計中的重要一環(huán) 大型計算機網(wǎng)絡必須對 地址進行統(tǒng)一規(guī)劃并 得到實施 IP 地址規(guī)劃的好壞 影響到網(wǎng)絡路由協(xié)議算法的效率 影響到網(wǎng)絡的性能 影響到網(wǎng) 絡的擴展 影響到網(wǎng)絡的管理 也必將直接影響到網(wǎng)絡應用的進一步發(fā)展 IP 地址分配原則 考慮到林業(yè)干部管理學院的學生宿舍使用環(huán)境 為保證對于上網(wǎng)用戶的可查詢性 且考慮到 10 xxx xxx xxx 私網(wǎng)地址不存在短缺等因素 建議林業(yè)干部管理學院學生宿舍樓的 IP 地址采用靜 態(tài) IP 地址接入的方式進行建設 要與網(wǎng)絡拓撲層次結構相適應 既要有效地利用地址空間 又要 體現(xiàn)出網(wǎng)絡的可擴展性和靈活性 同時能滿足路由協(xié)議的要求 以便于網(wǎng)絡中的路由聚類 減少路 由器中路由表的長度 減少對路由器 CPU 內存的消耗 提高路由算法的效率 加快路由變化的收 斂速度 同時還要考慮到網(wǎng)絡地址的可管理性 具體分配時要遵循以下原則 唯一性 一個 IP 網(wǎng)絡中不能有兩個主機采用相同的 IP 地址 簡單性 地址分配應簡單易于管理 降低網(wǎng)絡擴展的復雜性 簡化路由表項 連續(xù)性 連續(xù)地址在層次結構網(wǎng)絡中易于進行路徑疊合 大大縮減路由表 提高路由算法的效率 可擴展性 地址分配在每一層次上都要留有余量 在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù) 性 靈活性 地址分配應具有靈活性 以滿足多種路由策略的優(yōu)化 充分利用地址空間 主流的 IP 地址規(guī)劃方案分為純公網(wǎng)地址 純私網(wǎng)地址和混合網(wǎng)絡地址三種 當校園網(wǎng)以私網(wǎng)地址分配或采用混合網(wǎng)絡地址接入時 要求校園網(wǎng)提供地址變換功能 過濾掉私 網(wǎng)地址 IP 地址規(guī)劃方案 1 IP 地址的設計 內部地址的分配原則是按建筑物進行的 視用戶的數(shù)量 1 4 1 2 整個私網(wǎng)的劃分 對于相 對固定不變的教學區(qū)采用靜態(tài)分配 IP 地址 為防止地址盜用 采用 IP 地址與端口 地址綁定 對 于流動性大 用戶人數(shù)多 用戶增長快的區(qū)域采用動態(tài)分配 IP 地址 采用 By Port 的 Vlan 小范 圍地限制地址盜用問題 靜態(tài) IP 地址對于用戶來說可以實現(xiàn)對應物理位置的查詢 對全網(wǎng)的 IP 地 址與物理位置的對應有全面 可靠的管理 2 中心交換機支持靜態(tài)或動態(tài)的 IP 地址分配 并支持動態(tài) IP 地址分配方式下 DHCP Relay 功能 DHCP SERVER 可安放在區(qū)域內部 3 對于固定 IP 地址用戶 需要針對標識符 MAC 地址 設定保留 IP 地址 在路由策略方面 我們建議將核心交換機加到現(xiàn)在的 OSPF 域中 通過動態(tài)路由協(xié)議確保整個 網(wǎng)絡的可靠性 同時實現(xiàn)冗余鏈路之間的負載分擔 6 VLAN 劃分 根據(jù)林業(yè)干部管理學院的學生宿舍使用環(huán)境和計費管理的要求 建議每個接入層交換機劃分為 一個 VLAN 接入交換機僅向三層交換機提供一個 VLAN 信息 一方面實現(xiàn)用戶之間的隔離 另一 方面可以為三層交換機節(jié)省 VLAN 資源 同時在邊緣交換機還可以實現(xiàn)了端口可以同時屬于多個 Vlan 如圖所示 其中端口1為uplink端口 端口2 3 4 為接入端口 Vlan 1 包含端口 1 2 3 4 5 Vlan 2 包含端口 1 2 Vlan 3 包含端口 1 3 4 Vlan 4 包含端口 1 5 2451vlan 1vlan 3vlan 2 43 設計中采用了幾個 secondary VLAN 包含在一個 primary VLAN 中的方式 給用戶提供了靈活 的配置方式 如果用戶希望實現(xiàn)二層報文的隔離 可以采用了為每個用戶分配一個 secondary vlan 的方式 每個 VLAN 中只包含用戶連接的 port 和 uplink port 如果希望實現(xiàn)用戶之間二層報文的互 通 可以將用戶連接的端口劃入同一個 VLAN 中 同時創(chuàng)建 primary VLAN 該 vlan 包含所有 secondary VLAN 中包含的端口和 uplink 端口 這樣對上層交換機來說 可以認為下層交換機中只 有一個 primary VLAN 用來標識設備 而不必關心 primary VLAN 中的端口實際所屬的 VLAN 簡 化了配置 節(jié)省了 VLAN 資源 primary VLAN 中的所有端口都是不是 802 1Q 的 trunk 端口 包括與其它交換機相連的 uplink 口 每個 port 的 PVID 就是它所屬 secondary vlan 的 ID uplink 端口的 PVID 是 primary VLAN 的 ID 如下圖所示 這樣 VLAN 10 和 VLAN 20 內的用戶屬于一個網(wǎng)段 分屬不同的 VLAN 在 6509 僅僅需要創(chuàng) 建 VLAN 30 它認為二層交換機上面僅僅只有一個 VLAN 30 在二層交換機上配置 VLAN 30 為 P VLAN 包含從 VLAN 10 和 VLAN 20 它們對三層交換機來說是不可見的 我們建議在接入交換機上根據(jù)樓層內部的各個樓層之間的邏輯關系進行靈活的 VLAN 劃分 可 以讓一個樓層對應于一個 PVLAN 樓層內的不同部門分屬不同的 Sencondary VLAN 這種劃分方式 中 因為對用戶能實現(xiàn)動態(tài)的 VLAN MAC IP 綁定 可對用戶發(fā)動的偽造攻擊報文進行合法性檢查和 過濾 具有一定的網(wǎng)絡安全性保障 不同 VLAN 間的互訪 必須經(jīng)過三層交換機進行轉發(fā) 第三章 安全滲透網(wǎng)絡設計 最近幾年 網(wǎng)絡安全成為大家關注的重點 就高校校園網(wǎng)來講 現(xiàn)在隨著網(wǎng)絡技術和應用的普 及 越來越多的同學通過校園網(wǎng)絡來進行學習 研究和娛樂 隨之也產生了很嚴重的安全問題 一 方面終端計算機的面臨越來越嚴重的安全威脅 像木馬 蠕蟲 病毒 以及 SpyWare 等各種惡意代 碼的泛濫 使得終端計算機成了威脅的目標 甚至成為威脅的載體 從而造成威脅的泛濫 另一方 面 隨著攻擊工具的普及和門檻降低 可以比較容易的對網(wǎng)絡上的服務器和應用發(fā)起攻擊 從而使 這些核心服務面臨了巨大的風險 因此我們認為高校校園網(wǎng)面臨著比其他行業(yè)更加嚴峻的安全形式 這是因為高校校園網(wǎng)絡和應用有下面的一系列特點 服務器和應用的分散 高校里不同的院 系 研究團隊都有自己的服務器和軟件應用 因為軟 件應用的- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 北京 林業(yè) 管理 干部學院 校園網(wǎng) 學生 宿舍樓 上網(wǎng) 工程 方案 建議書
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經(jīng)上傳用戶書面授權,請勿作他用。
鏈接地址:http://m.jqnhouse.com/p-9332458.html