校园网方案DEMO

第 1 页第一章 网络系统体系升级改造方案一、 需求分析1. 太京中学现有校园网络系统状况： 原有网络环境已不能满足当前学校各项业务的需求。 部分网络硬件设备与现在相比较略显落后。2. 新的需求： 提升网络运行速度 更换部分网络设备 新增部分网络点位的布线工程。3. 实现需求涉及的产品： 网络中心路由设备 网络中心核心交换设备 汇聚层交换设备 网络安全产品-网络杀毒软件。二、 方案设计依据和原则1. 设计原则太京中学校园网是校园投资的一项重要的网络系统工程，其设计是否合理，对XX 中学信息网络未来的发展和产生的效益起着重要的作用。太京中学校园网改造的确定，不仅要考虑到近期目标，还要为系统的进一步发展和扩充留有余地。设计中需要考虑各阶段的情况，适应长远发展，进行统一规划和设计。太京中学校园网改造的总体设计原则如下：1）开放原则 采用开放标准； 采用开放技术； 采用开放结构； 采用开放系统组件； 采用开放用户接口。第 2 页2）实用原则 实用有效是最主要的设计目标，设计结果能满足需求并且行之有效。3）可靠原则 设计结果稳定可靠，具有高 MTBF（平均无故障时间）和低 MTBR（平均无故障率），提供容错设计，支持故障检测和恢复，可管理性强。4）安全原则 安全措施有效可信，能够在多个层次上实现安全控制。5） 经济性 性能指标高，软硬件性能充分发挥。6）灵活原则 系统配置灵活，备用和可选方案多，能够适应应用和技术发展需要。7）可扩展性 能够在规模和性能两个方向上进行扩展，扩展后的性能有大幅度提高。2. 网络设备平台结构信息网网络在结构上分为三层，即：核心层、汇聚层、接入层。在实施过程中，通常应将把核心层放在网络中心，在大型信息网中，核心层应该由两台三层交换机构成核心冗余结构，同时大量的网管工作也是在这里完成；为了保证网络具有高效的系统服务，服务器群（Server Farm）经常被直接联到中心交换机上；另外，VLAN 的数据交换也在此层进行。汇聚层的物理位置常常位于配线间，他们起着上传下达的任务，一般是由高密度口可网管交换机构成。接入层，顾名思义它们直接与终端设备相连，上行连接汇聚层，在全交换网中，这部分网络设备也采用交换机。当然，在实际实施中，会有一定的灵活性。3. 网络系统体系结构网络系统的体系结构包括功能的分层及各层功能通信所遵守的协议。网络系统的体系结构也称为“层次与协议的集合”。网络系统设计的第一步就是选择网络体系结构，核心内容是决策应当采用的协议集合。第 3 页选择目前应用范围最为广泛，并且是事实上的 Internet/Intranet 标准的通信协议族 TCP/IP，作为架构整个网络体系结构的核心协议。同时，为了保护用户现有的软件投资，使新的网络系统兼容原有的系统，也可使用 IPX/SPX 等协议。为了支持远程访问功能，还使用了异步通信协议 PPP。下图为拟选用的整个网络体系结构： IntranetTCP/I 4. 系统逻辑设计根据需求分析，我们总结太京中学校园网具有以下特点：1）网络系统分布在太京中学校园及所辖范围内，系统规模中等；2）采用原布线系统作为网络的线路基础；3）信息流动以内部为主，对网络吞吐能力要求较高；4）应用系统采用集中配置、集中管理的模式；5）流量具有中心汇集的特点；6）有对外互连的要求，将与 cernet 和 Internet 网互连；7）提供安全控制措施。综上所述，我们定义太京中学校园网为园区级网络，拓扑结构为星型拓扑网络。针对这种结构，做出如下设计：1）主干网汇接基层网段；2）主干网不直接接入用户网络；3）在网络中心进行集中控制和管理；4）桌面机连接到基层网段上，服务器、工作站连接到高层网络；5）部署网络杀毒软件，防止来自内部或外部的恶意攻击；6）在完善的网络基础之上，提供基本的 Internet 服务。第 4 页5. 系统物理设计太京中学校园网网络系统的软硬件平台是整个系统的物理基础，因而是物理设计的主要内容。设备选型是物理设计中的关键问题。在太京中学校园网项目中根据以下标准选择厂商：1）设备性能价格比设备的性能价格比是选型决策的重要考虑因素。2）售后服务售后服务包括如下内容： 设备的保修期； 是否在中国有备件库，这样一旦发生硬件故障时可以及时得到更换； 是否提供ONLINE服务，以便与原制造厂商及时取得联系，获得技术咨询和支持； 故障报告的响应时间。3）公司的经济、技术实力和市场占有率，这在一定程度反映其产品的信誉度。4）设备的技术先进性，这是选型的首要考虑因素。5）设备对未来新技术的适应能力，反映设备的可扩展性，这是保护用户投资的一种策略。6）设备的技术性能指标。7）设备使用的方便程度，这体现设备的可维护性。8）设备在大型网络中的应用情况，它反映设备的适应性和可靠性。9）网络管理系统的集成性、开放性和功能，它反映网络管理系统是否能对网络作全面深入的管理，以及它对异构网络的适应能力。10） 设备的标准化程度和可扩充性，反映对网络规模扩展的适应能力。11） 是否对教育系统有长期稳定的优惠政策。12） 差错的检测与隔离能力，这是网络可靠性的重要保证。13） 手册与培训，反映用户能否较快地掌握设备的使用。第 5 页第二章 网络平台设计一、 网络设备选型本方案根据太京中学的基本情况，网络设备设计以 H3C S5100-EI 系列以太网交换机为核心。1. H3C S5024E 系列以太网交换机主要特点H3C S5024E 以太网交换机是 H3C 公司自主开发的支持 Web 管理的二层线速以太网交换产品，是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S5024P 提供 24 个千兆以太网端口、4 个千兆 SFP 端口（与后 4 个千兆以太网端口复用）以及一个 Console 端口。该交换机可以通过 console 口、telnet 以及 web 方式登录进行配置，支持 VLAN 划分、端口双向镜像、端口+MAC 地址绑定和端口聚合等功能。图 1 H3C S5024P 产品外观示意图 符合 IEEE802.3、IEEE802.3u、IEEE802.3ab/z 和 IEEE802.3x 标准 支持端口流量控制，符合 IEEE 802.3x 提供 24 个 10/100/1000M 自适应以太网端口，支持端口自动翻转（Auto MDI/MDIX）、4 个 1000M SFP 端口（与最后 4 个 1000M 电口复用）及 1 个Console 口 最多支持 255 个符合 IEEE 802.1q 标准的 VLAN，VLAN ID 14094 可配；最多支持 24 个基于端口的 VLAN 端口汇聚：支持整机最多 4 组，每组最多 24 个端口 支持基于端口的带宽控制，最小粒度为 25Mbps 支持 IEEE 802.1p 优先级、IP 优先级和 DSCP 优先级，支持 SP 队列调度，支持每端口 2 个优先级队列； 支持广播风暴抑制 支持端口镜像功能 支持端口绑定第 6 页 支持端口收发报文统计 支持 MAC 地址老化时间设置 提供命令行接口管理和 Web 管理 支持交换机系统软件的升级 内置通用电源，1U 钢壳，19 英寸标准机架结构，可上机架。产品规格项目 描述概述外形尺寸（长宽高） 440mm260mm44mm带挂耳，可机架安装标准IIEEE 802.3 10BASE-T 以太网IEEE 802.3u 100BASE-TX 快速以太网IEEE 802.3ab 1000BASE-T 千兆以太网IEEE 802.3z 千兆以太网（光纤）ANSI/IEEE 802.3 NWay 自动协商IEEE 802.3x 流量控制固定端口 24 个 10/100/1000BASE-T 自协商的以太网端口1 个 Console 端口可选端口 4 个 1000Base-SX/LX SFP 光口固定端口属性连接器类型：RJ-45支持 10/100/1000Mbit/s 传输速率支持半双工、全双工、自协商工作模式支持 MDI/MDI-X 自适应可选端口属性 连接器类型：LC支持 1000Mbit/s 传输速率 全双工网线类型l 双绞线：采用 5 类双绞线，传输距离 100m l 光纤多模：50/125m 多模光纤，配有 LC 插头，传输距离 550m单模短距：9/125m 单模光纤，配有 LC 插头，传输距离 10km单模中距：9/125m 单模光纤，配有 LC 插头，传输距离 40km单模长距：9/125m 单模光纤，配有 LC 插头，传输距离 70km指示灯 每端口：Link/Act，Speed每设备：Power性能背板带宽 48G 转发能力 35.71Mpps交换模式 存储转发模式第 7 页项目 描述MAC 地址表支持地址自动学习、自动老化（老化时间为 5 分钟）最多支持 MAC（Media Access Control）地址：8K支持手工配置静态 MAC：64 项输入电压 100V240V AC，50/60Hz功耗 45W工作温度 040存储温度 -1070工作湿度 20%85%，非凝露存储湿度 10%90%，非凝露散热方式 内置风扇散热软件VLAN最多支持 255 个符合 IEEE 802.1q 标准的 VLAN，VLAN ID 在1-4094 范围内可配最多支持 24 个基于端口的 VLAN优先级队列（QoS） 支持 802.1p 优先级、IP 优先级和 DSCP 优先级队列数：每端口 2 个端口汇聚 支持整机最多 4 个汇聚组，每组最多 24 个端口端口镜像 支持基于端口的双向镜像端口带宽控制 最小粒度为 25Mbps广播风暴抑制 所有端口上支持基于带宽百分比的广播风暴抑制配置和管理基于 Web 的管理支持命令行配置支持通过 Telnet 登录进行配置维护支持调试信息的输出、统计支持 Ping 维护诊断工具支持通过 Telnet 进行远程维护2. H3C S3100 千兆以太网交换机的特点H3C S3100 系列千兆以太网交换机是 H3C 公司秉承 IToIP 理念设计的二层线速智能型可网管以太网交换机产品，具有千兆上行、可堆叠、无风扇静音设计、完备的安全和 QoS 控制策略等特点，满足企业用户多业务融合、高安全、可扩展、易管理的建网需求，适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。1）千兆上行、线速交换H3C S3100 系列千兆交换机具有 19.2Gbps 的总线带宽，为所有端口提供二层线速交换能力，同时支持千兆上行，满足当前多业务融合对高带宽的需求。2）完备的安全控制策略第 8 页H3C S3100 系列千兆交换机支持 802.1x 认证，在用户接入网络时完成必要的身份认证，支持 MAC 地址和端口等多元组绑定、广播风暴抑制和端口锁定功能，保证接入用户的合法性。 支持跨交换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到核心交换机（例如 S9500/7500）上，在核心上启动网流分析（Netstream）功能，对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。3）QoS 能力H3C S3100 系列千兆交换机支持每个端口 4 个输出队列，支持 2 种队列调度算法：WRR 调度算法和 HQ+WRR 调度算法，可以以不同的优先级将报文放入端口的输出队列。支持端口双向限速，限速的控制粒度最小可达 64 Kbps。满足用户多业务识别、分类、资源调度的需要。4）简单易用的管理和维护H3C S3100 系列千兆交换机采用无风扇静音设计，特别适合在楼道和办公室使用。支持 VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点。支持堆叠功能，通过增加设备来扩展端口数量和交换能力，多台设备之间的互相备份增强了设备的可靠性，从而保证了网络的平滑升级并能降低扩建成本；同时对多台设备统一管理，降低了管理成本。通过 FTP、TFTP 实现设备的远程升级，支持 HGMP 集群管理系统和故障诊断，实现了设备的集中管理和维护 。支持 SNMP，可支持 HP OpenView 等通用网管平台，以及 H3C iMC 网管系统。支持 CLI 命令行，Web 网管，TELNET，HGMP 集群管理，使设备管理更方便。5）H3C S3100 系列交换机业务特性项目 S3100-SIVLAN 最多支持 4K 个符合 IEEE 802.1Q 标准的 VLAN广播风暴抑制 支持基于端口带宽百分比的广播风暴抑制组播 IGMPv1/v2/v3 Snooping生成树协议 支持 STP/RSTP/MSTP 端口汇聚 支持多个端口汇聚组；FE 汇聚组最多支持 8 个端口，GE 汇聚组最多支持 2个端口第 9 页端口镜像 支持多对一的端口镜像 支持 RSPAN（远程交换端口分析）端口隔离 支持端口环回检测 支持MAC 地址表 最多支持 8K 个 MAC 地址流控 支持 IEEE 802.3x 流控（全双工）堆叠 除 S3100-8C-SI, S3100-8TP-SI 均支持堆叠加载与升级 支持 XModem 协议实现加载升级 支持 FTP、TFTP 加载升级管理支持命令行接口（CLI） ，Telnet，Console 口配置 支持 SNMP支持 iMC 网管系统支持 WEB 网管支持系统日志维护支持 PING、Traceroute， Multicast Traceroute 支持 Telnet 远程维护支持 VCT（Virtual Cable Test）电缆检测功能QoS每个端口支持 4 个输出队列 支持 802.1p 优先级、DSCP 优先级、ip-precedence 优先级支持 WRR、HQ+WRR 队列调度算法支持端口发送和接收方向的双向端口限速安全特性用户分级管理和口令保护 支持端口安全，支持端口MAC 绑定支持 Guest VLAN支持 IEEE 802.1X 认证支持集中 MAC 地址认证支持 SSH2.0DHCP 支持 DHCP Client，DHCP SnoopingNTP 支持集群管理 支持 NDP（邻居发现协议） 支持 NTDP（网络拓扑发现协议）3. ER5200 路由器的特点ER5200 是 H3C 公司为中小企业、网吧、学校等机构量身定制的一款高性能千兆路由器，它采用专业的 64 位双核网络处理器，主频高达 500MHz，同时提供丰富的软件特性，如 IPMAC 地址绑定，ARP 防攻击，流量限速，链接数限制，弹性带宽第 10 页等功能。它是 H3C 公司宽带路由器中的中高端产品，是企业和网吧用户的理想选择。1）产品特点性能卓越：业内领先的双核 500MHz CPU；533M 主频的 DDR II 内存千兆接口：1 WAN+3 个 LAN(千兆)，端口镜像安全无忧：防 ARP 病毒，防 DoS 攻击防 P2P 软件：流量查看、控制与 NAT 连接控制典型带机量：250-350 台2）高配置：最为豪华的配置，带来最佳的上网体验高速 CPU：采用 64 位双核网络处理器，主频高达 500MHz，处理能力相当于1GHz 的专业网络处理器，典型的带机量为 250-350 台。强大内存：选用 64M 的 DDR II 高速 RAM 进行高速转发，主频更是达到533M，能保证网吧中游戏数据的快速处理。千兆接口：具有 3 个千兆 LAN 接口，可以与核心交换机进行千兆互联，消除宽带瓶颈，大幅提高网速。3）高安全：抵挡网络病毒、攻击，打造安全网吧防 ARP 病毒：内置“ARP 攻击主动防御”功能，一方面通过 IPMAC 地址绑定功能，固定了网关的 ARP 列表，同时定时发送免费 ARP 的机制，可以有效地避免局域网 PC 中毒后引发的 ARP 攻击。防内外网攻击：针对目前网吧常见的 DoS 攻击，开发了相应的防攻击功能，包括短包、碎片包、TearDrop、Ping of Death、Land 攻击、TCP 空连接攻击、Syn Flood 攻击、TCP/UDP/端口过滤等等，保证网吧不受竞争对手和黑客的攻击。防网络病毒：内置高级防火墙功能，可以对数据包进行双向过滤，同时支持状态防火墙，可以有效防止 Nimda、冲击波、木马等病毒的发作。4）高可用：全中文 WEB 配置，操作随心所欲更新换代无烦恼：支持 WAN、LAN 口的 MAC 地址修改，当换下老设备的时候，不需要更改以前网络的设置；支持最新软件的 WEB 升级和升级失败之后的恢复，让升级成为一件很轻松，没有任何风险的工作。第 11 页P2P 尽在掌握之中：BT，迅雷等 P2P 软件对网络带宽的过度占用会影响到网内其他用户的正常业务，ER5100 通过基于 IP 或基于 NAT 表项的网络流量限速机制可以有效地控制 P2P 软件对网络带宽的过度占用，弹性带宽保证了闲时对带宽的充分利用。轻松搭建服务器：支持 DDNS，能够与 （希网）、花生壳等第三方域名服务商联动，能协助中小企业在无固定 IP 地址(ADSL 拨号)时也能架自己的 WEB 或者其他服务器。5）产品规格项目 S5100-24P-EI外形尺寸（长宽高）（单位：mm）44026043.6管理端口 1 个 Console 口业务端口描述 24 个 10/100/1000 Base-T 以太网端口，4 个复用的 1000Base-X SFP 千兆以太网端口交换容量（全双工） 48Gbps包转发率（整机） 35.7Mpps端口聚合支持 LACP 支持手工聚合支持最大聚合组：端口数/2，每个聚合组支持最大8GE/4*10GE端口流控 支持端口流控VLAN支持基于端口的 VLAN（4K 个）支持 VLAN VPN（QinQ）支持协议 VLAN支持 Voice VLAN支持 GVRPDHCP支持 DHCP Client支持 DHCP Snooping支持 DHCP Snooping Option82三层路由 支持三层静态路由组播支持 IGMP Snoopingv1/v2/v3支持组播 VLAN支持未知组播丢弃广播风暴抑制 支持基于端口的广播风暴控制第 12 页项目 S5100-24P-EI二层环网协议 支持 STP/RSTP/MSTP 协议支持 Smart Link堆叠 支持 16 台设备堆叠支持ACL支持基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP地址、TCP/UDP 端口号、协议类型、VLAN 等 ACL支持基于时间段的 ACL支持基于全局、VLAN、端口（组）下发 ACLQoS/ACL支持QoS支持 IEEE 802.1p/DSCP 优先级支持优先级映射支持优先级标记支持流量统计支持端口信任模式每端口支持 8 个队列支持方式为 SP/SDWRR/SP+SDWRR 的队列调度支持端口和队列的流量整形支持基于流的重定向镜像支持流镜像支持基于 VLAN 的镜像支持基于 MAC 地址的镜像支持 N:1 端口镜像支持远程端口镜像安全特性支持用户分级管理和口令保护支持 RADIUS 认证支持 SSH 2.0支持端口隔离支持端口安全支持 802.1X，集中式 MAC 地址认证支持 Guest VLAN支持 MAC 地址学习数目限制支持 IP 源地址保护支持 ARP 入侵检测功能支持 IP+MAC+端口的绑定支持 EAD第 13 页项目 S5100-24P-EI管理与维护支持 XModem/FTP/TFTP 加载升级支持命令行接口（CLI） ，Telnet，Console 口进行配置支持 SNMPv1/v2/v3，WEB 网管支持 RMON 告警、事件、历史记录支持 iMC 智能管理中心支持系统日志，分级告警，调试信息输出支持 HGMPv2支持 Modem 远端拨号支持 NTP支持电源的状态检测，告警功能，风扇报警支持 Ping、Tracert支持 Telnet 远程维护支持 VCT（Virtual Cable Test）电缆检测功能支持 DLDP（Device Link Detection Protocol）单向链路检测协议支持 Loopback-detection 端口环回检测支持 IPv6 host 功能族，实现 IPv6 管理输入电压S5100-EI 系列以太网交换机支持交流电源输入和直流电源输入（S5100-16P-EI 除外）：AC：额定电压范围：100V240V ；50/60Hz最大电压范围：90V264V ；47/63HzDC：额定电压范围：-48V-60V最大电压范围：-36V-72V功耗（满负荷时） 46W工作环境温度 045工作环境相对湿度（非凝露） 10%90%二、 网络实现设计1. 网络拓扑实现根据综合布线系统链路设计，我们采用如下网络实现：第 14 页2. 网络实现 以光纤链路为主，形成太京中学校园骨干网。 网络服务器群直接连接骨干交换机，通过独享带宽实现高速的网络服务 全网新增交换机均支持 VLAN 技术，可以灵活的采用端口、 MAC 地址、IP地址进行 VLAN 划分 网络内部 IP 地址可采用静态和动态相结合的方法进行管理，内部地址建议采用互联网预留地址 信息网内部对外部网络的访问通过代理服务器，便于根据用户登录信息开发灵活有效的记费管理系统 采用神州数码局域网管理系列产品，可以对整个网络实时动态管理。3. 网络中心根据 XX