河南安阳师范学院数字化校园信息化建设方案.doc

安阳师范学院数字化校园信息化建设方案安阳师范学院数字化校园信息化建设方案 中国联合网络通信有限公司安阳市分公司 二一二年五月 第 1 页 共 73 页 目录目录 第第 1 1 章、章、 网络设计原则网络设计原则.4 1.1、 IPV6 技术、WLAN 新技术的广泛应用 .4 1.2、 高带宽.4 1.3、 可增值性.4 1.4、 可扩充性.4 1.5、 开放性.5 1.6、 安全可靠性.5 1.7、 设计依据及引用标准.5 第第 2 2 章、章、 网络设计网络设计.6 2.1.拓扑结构图6 2.2.业务数据流向7 2.3.骨干网链路设计8 2.4.核心交换区设计9 2.5.楼层汇聚区设计9 2.6.楼层接入区设计9 第第 3 3 章、章、 校园网高可用设计校园网高可用设计.11 3.1.1、 操作系统模块化11 3.1.2、 引擎切换无中断11 3.1.3、 三平面分离保护14 3.1.4、 硬件 CPU 保护14 3.2、 二层高可用性设计.15 3.2.1、 生成树设计15 3.2.2、 RLDP 设计.16 3.3、 三层高可用性设计.17 3.3.1、 VSU 技术.17 3.3.2、 路由冗余设计18 3.4、 网络服务质量保证.19 第第 4 4 章、章、 校园网高安全设计校园网高安全设计.21 4.1、 核心交换机内置强大的安全特性.21 4.1.1、 关键部件的安全稳定21 4.1.2、 病毒和攻击防护21 4.1.3、 设备管理安全22 4.1.4、 接入安全22 4.2、 汇聚层网络安全规划.22 4.3、 接入层网络安全规划.22 4.3.1、 接入层实现对用户身份的准确验证23 4.3.2、 接入层实现对网络病毒和攻击的有效控制23 4.4、 网络设备自身安全加固.27 4.4.1、 路由认证和保护27 第 2 页 共 73 页 4.4.2、 关闭 IP 功能服务27 4.4.3、 设备安全防护28 4.4.4、 关闭设备服务32 4.4.5、 其它安全措施33 4.5、 统一身份认证、安全运营管理平台设计.34 4.5.1、 方案组件34 4.5.2、 高融合34 4.5.3、 高安全35 4.5.4、 高可用37 4.5.5、 可运营38 4.5.6、 易管理42 第第 5 5 章、章、 IPV6 校园网规划设计校园网规划设计.51 5.1、 IPV6 背景介绍 51 5.2、 IPV4 的局限性 51 5.3、 IPV6 新特性 52 5.4、 CNGI 的发展55 5.5、 IPV6 试验网规划设计 55 5.5.1、 过渡阶段55 5.5.2、 过渡策略56 5.6、 IPV6 详细设计 56 5.6.1、 核心网 IPv6 设计56 5.6.2、 汇聚网 IPv6 设计56 5.6.3、 接入网 IPv6 设计56 5.6.4、 网络出口区 IPv6 设计57 第第 6 6 章、章、 校园网出口规划设计校园网出口规划设计.58 6.1、 边界连接设计.59 6.2、 流量控制设计.60 6.3、 日志审计设计.61 6.4、 热点内容加速缓存.61 6.5、 安全防护设计.62 6.5.1、 报文过滤62 6.5.2、 状态检测62 6.5.3、 攻击防御62 6.5.4、 内容过滤62 6.6、 远程接入设计.62 6.6.1、 VPN 接入技术选择.63 6.6.2、 VPN 系统性能及管理性要求.63 第第 7 7 章、章、 建设面向服务的建设面向服务的“五位一体五位一体”数字化校园网络数字化校园网络.63 7.1、 校园网安全运营管理的挑战.63 7.2、 “五位一体”的数字化校园网络.64 7.2.1、 “准入和准出一体化”设计64 7.2.2、 “802.1x认证和Web认证一体化”设计.65 第 3 页 共 73 页 7.2.3、 “有线和无线一体化”设计67 7.2.4、 “校内和校外一体化”设计67 7.2.5、 “IPv4和IPv6一体化”设计68 7.3、 “五位一体”建设效果.69 7.4、 热点区域无线覆盖、占领信息化制高点.69 7.5、 全网部署 IPV6、紧扣前沿技术脉搏 69 7.6、 高性能、高安全、带宽透明管理的边界网.70 7.7、 信息点数量统计.70 第 4 页 共 73 页 第第 1 1 章、章、网络设计原则网络设计原则 1.11.1、IPv6IPv6 技术、技术、WLANWLAN 新技术的新技术的广泛应用广泛应用 根据新一代互联网技术的要求，接入、汇聚、核心网络设备、必须支持 IPv6，并且可随时完成 向 IPv6 网络平滑迁移。 随着信息技术的飞速发展，教师和学生对校园网的依赖性相当之高， “随时随地获取信息”已 成为广大师生们的新需求。因此我院迫切需要为广大教师、学生、行政管理人员、后勤人员打造一 个具有打造一个具有技术前瞻性的无线校园网，与目前的有线网络进行无缝融合，提供优良的无线 体验。 1.21.2、高带宽高带宽 校园网是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶 颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特性，整 网的核心交换要求能够提供无瓶颈的数据交换。 1.31.3、可增值性可增值性 校园网的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基 础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰 富的宽带增值业务， 使网络具有自我造血机制，实现以网养网。 1.41.4、可扩充性可扩充性 考虑到用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩 展功能，要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩 充余地。 第 5 页 共 73 页 1.51.5、开放性开放性 技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络 的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好 的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的 统一管理。 1.61.6、安全可靠性安全可靠性 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。 1.71.7、设计依据及引用标准设计依据及引用标准 GB/T 50311-2007建筑与建筑群结构化综合布线系统工程设计规范 GB/T50314-2006智能建筑设计标准 GB/T 50312-2007建筑与建筑群结构化综合布线系统工程验收规范 GB50303-2004 建筑物电子信息系统防雷规范 GBJ/T16-92民用建筑电气设计规范 ISO/IEC 11801信息技术-布线标准 EIA 568A/TIA 568B商业建筑运营商布线标准 EIA/TIA586民用建筑线缆标准 EIA/TIA TSB67非屏蔽双绞线布线测试标准 YD/T 926-1997大楼通信结构化综合布线系统 工业企业通讯设计规范 EMC 欧洲电磁兼容性标准 ITU-T 国际运营商联盟标准 ANSI FDDI 美国国家标准：分布式光纤数据接口 IEEE 802.3ae 国际电子电气工程师协会 IEEE 802.5 国际电子电气工程师协会 第 6 页 共 73 页 第第 2 2 章、章、网络网络设计设计 随着计算机、通信、多媒体技术高速融合发展和数字校园资源的深度整合，越来越多的应用将 逐步迁移到校园网的计算机网络平台上来。同时在多媒体教育和管理等方面的需求，对校园网络也 提出了更高的的要求。因此安阳师范学院校园网需要建设一个高速的、先进的、高可靠、高安全、 可扩展的校园网络以适应当前网络技术的发展，并满足学校安阳师范学院在网络通信领域方面的科 研和教学的需求。 2.1.校园网数据流量分析校园网数据流量分析 一、校内访问校外的数据流量主要有两类： 1）办公区访问互联网(internet 和 cernet) BT、视频网站访问流量大； 安全认证要求不高； 安全管理要求维护方便；校内访客需要区分访问权限，只能访问 internet; 对关键用户要重点保证带宽； 需要日志记录，出现安全事件定位到人。 2）学生宿舍，家属区访问互联网(internet 和 cernet) BT、视频网站访问流量大； 安全认证要求高； 安全管理要求严格，客户端需要防代理、防破解； 若需要差异化运营，需要提供个性化服务； 需要日志记录，出现安全事件定位到人。 二、校外访问校内的数据流量主要有三类： 1）校外用户访问学校网站 流量不大但多样，需要路由器具备智能 DNS 技术； 第 7 页 共 73 页 2）校外用户访问 VPN，进行 FTP 下载 流量不大但突发； 需要统一认证。 3）校外学生访问校内课件资源 流量逐步增大，但对数据流质量要求高。 三、校内互访的数据流量主要有三类： 1）办公区用户访问学校数据中心 流量不大，但稳定性要求高，但瞬时流量要求高（邮件的大附件等） 。 2）学生宿舍用户访问学校数据中心 多媒体访问流量大，需要对关键业务服务器的健康度和繁忙度进行监控管理 其他访问安全防护要求高，需要日志记录，出现安全事件定位到人。 3）办公区和学生宿舍区互访流量少。 第 8 页 共 73 页 2.2.拓扑结构图拓扑结构图 以万兆以太网技术为基础，十万兆以太网为目标，采用“主支干万兆，千兆到宿舍”的设计思 路，分为核心层、区域分核心，楼宇汇聚层、接入层。核心层设置在逸夫楼 7 层，部署 2 台高性能 十万兆核心路由交换机，区域汇聚层分为老校区、教学办公区、家属区、宿舍区 4 个区域， 每个区域汇聚由两台区域汇聚交换机与核心交换机之间通过四条万兆链路互联，采用动态协议 实现负载均衡的同时完成链路的备份 宿舍楼部署楼宇汇聚交换机并通过 3 层千兆光纤链路上联区域汇聚交换机，家属区通过接入交 换机通过千兆光纤链路直接上行至区域汇聚交换机；接入层交换机下行端口以千兆比特位每秒与终 端相连,接入 Internet 速率由终端用户申请的账户带宽决定。所有主干和接入设备均可网管，要求支 持全线速转发。 2.3.骨干网链路设计骨干网链路设计 有线网络的设计和建设需要考虑未来 510 年的先进性，因此骨干网需要建成一个高性能、高 第 9 页 共 73 页 可用、高稳定的校园骨干网络平台。安阳师范学院可通过支持 10 万兆平台的高性能核心交换机构 建全冗余支持 100G 骨干网络架构。各汇聚设备采用多条万兆链路聚合连接到骨干网络设备上，增 大校区骨干网络之间的链接带宽和转发性能。实现校内多万兆骨干网络的新一代校园网络架构。 2.4.核心交换区设计核心交换区设计 核心交换区负责汇聚各个功能区高性能数据转发，同时也负责与服务器区、校园网出口区之间 的流量转发。核心交换区是一个高速的 Layer3 交换骨干，不建议进行终端系统的连接，也不建议 实施影响高速交换性能的安全访问控制（ACL）等功能。设计时还需要通过设备冗余、路由冗余、 链路冗余等技术，充分保障网络系统稳定性。 核心交换区建议部署 2 台核心交换机， 2 台核心交换机通过 10G 链路互联实现 VSU 虚拟化， 并通过链路聚合技术采用 4*40GE 链路与数据中心的服务区汇聚交换机互联；宿舍区组团，家属区 组团，教学办公区组团，老校区组团区域汇聚交换机均通过 4*10GE 万兆光纤链路与核心交换机互 联；出口万兆流控通过 4*10GE 万兆链路与核心交换机互联 在核心交换机上不建议配置复杂的协议，只需要启动三层路由协议和 CPU 保护即可。 2.5.园区汇聚区：园区汇聚区： 主要包含老校区、教学办公区、家属区、宿舍区在内四个校园网区域，每区域分别采用两台高 密度插槽数的万兆三层交换机通过虚拟化技术采用 2*1GE 双聚合链路与宿舍区楼宇汇聚交换机。通 过高密度接入端口数量，大容量的三层表项以及完备的 IPv4/IPv6 双栈支持满足安阳师范校园网的 应用和发展。 主要实现以下的功能： 部署本区域的 VLAN 信息（如老校区家属区，宿舍区，新校区家属区） ，实现 VLAN 终结。 汇聚本区域的 IP 地址或路由。 实现到核心交换区的路由策略。 实施安全访问控制（ACL） ，保证网络安全。 第 10 页 共 73 页 2.6.数据中心交换机数据中心交换机 采用两台支持 VEPA 的数据中心级高密度万兆以太网交换机和各类虚拟服务器构建安阳师范学 院校园网数据中心区，通过 VEPA（Virtual Ethernet Port Aggregator）技术将虚拟机产生的网 络流量上传至与服务器相连的物理交换机进行处理，不仅实现了虚拟机间的流量转发，同时还解决 了虚拟机流量监管、访问控制策略部署等问题；另外安阳师范学院校园网数据中心的二层网络架构 也为数据中心虚拟机的迁移提供了良好的网络架构；以及两台服务器汇聚交换机实现 VSU 虚拟化， 具有即插即用，简化管理的优点，同时大大降低了系统扩展的成本。 主要实现如下功能： 服务器群的汇聚 承载学校部署的各业务系统 部署服务器区的 VLAN 信息，实现 VLAN 终结在服务器区。 实现服务器区之间以及到核心交换平台的访问策略； 实施安全访问控制（ACL） ，保证网络安全。 2.7.楼宇楼宇汇聚区设计汇聚区设计 宿舍楼楼栋汇聚区主要负责楼栋内信息点的汇聚，是路由域与交换域的分界层。以各个建筑物 为单位分别部署汇聚节点，每个楼栋汇聚节点部署楼栋汇聚交换机，楼栋汇聚交换机通过 layer3 层千兆光纤链路上联核心交换机，通过 layer2 层千兆光纤链路与楼层接入区接入交换机互联。 主要实现以下的功能： 汇聚本楼层的 IP 地址或路由。 部署本楼层的 VLAN 信息，实现 VLAN 终结与本楼栋内。 实现本楼层到核心交换区的路由策略。 实施安全访问控制（ACL） ，保证网络安全。 2.8.楼层接入区设计楼层接入区设计 楼栋接入区主要是负责本楼层内的信息点互联起来，为各个信息点提供 layer2 层接入功能。主 要完成以下功能： 第 11 页 共 73 页 部署 802.1.X 协议，实现“入网身份认证、主机健康检查、网络安全事件监控与主动防御” 。 实现 802.1X 协议、web 认证在同一个端口上部署，实现方便快捷上网。 通过 VLAN 定义实现业务划分。 实现 QoS，对数据包进行分类和标记。 接入网设备全部采用千兆链路上连汇聚设备，以保证接入网连接汇聚网的带宽及可靠性要 求。 接入网作为用户终端接入校园网的唯一接口，在为用户终端提供高速、方便的网络接入服 务的同时，需要对用户终端进行入网认证、访问行为规范控制，从而拒绝非法用户使用网 络，保证合法用户合理使用网络资源，并有效防止和控制病毒传播和网络攻击。 第 12 页 共 73 页 第第 3 3 章、章、校园网高可用设计校园网高可用设计 .1、操作系统模块化操作系统模块化 网络的通用操作系统，已成为网络全线交换路由产品统一的系统平台。 RGOSRGOS 模块化操作系统设计原理图模块化操作系统设计原理图 这是一种模块化软件平台（对软件系统进行划分之后，将不同的系统任务分割成一些很 少交互的可管理子集） 系统内核通过 POSIX 连接各功能模块。各功能模块独立，故障隔离，提升新功能开发测 试效率和系统稳定性。 RGOS 系统内核通过 POSIX 接口连接硬件抽象层，扩展支持多种网络产品，如交换机、路 由器、出口设备等。通过 RGOS 的开放性设计，可以整合多种产品资源，加速产品与技术 发展。利用多种网络产品组网形成基于 RGOS 的智能、融合的 IP 网络。 .2、引擎切换引擎切换无中断无中断 随着网络规模及应用领域的急速扩张，网络日益成为社会生活中不可或缺的部分，企业与个 人的通信与交流都离不开网络的使用。随着企业对网络依赖性的增加，网络必须安全可靠，一旦网 络服务不可用，可能严重影响企业的生产力及赢利。 第 13 页 共 73 页 交换机支持 UISS（UnInterrupted SupervisorEngine Switchover） ，即无中断引擎切换技术， 保证主从管理板的切换在 1 秒间实现，同时在切换过程中，各主机线卡可以继续转发原有的数据流， 不影响网络业务的正常透明运行，实现管理板的平滑切换，极大地保证了核心的可靠性和网络可用 性。 系统停机可划分两类： 未经计划的停机（故障） 它们是不可控的、随机的，通常与软硬组件缺陷相关。 有计划的停机（维护） 如系统的修理、升级等，由于它们在一定范围内是可调度的，因此对可用性的冲击可以降低 到最低限度。 由于网络应用需要穿越多个网络段，要保证网络的可用性，所有的网络段都必须具有故障中 恢复的能力，恢复要快至对于用户和网络应用都是透明的、不可觉察的。 UISS 热备份功能的构成 UISS 热备份功能支持由热备份框架与备份集合构成。热备份框架系统由 CheckpointCheckpoint FacilityFacility、RedundancyRedundancy FacilityFacility 和 RedundancyRedundancy ProtocolProtocol 三个主要组件构成。热备份框架为整个 系统热备份提供基础平台，需要热备份的模块通过这个基础平台提供的通信、管理等功能完成热备 份所需的同步信息传输。 依据对高可用性的支持程度，设备的功能可划分为以下几类： HighHigh AvailabilityAvailability SupportedSupported FeatureFeature完全支持高可用性，在 Active Supervisor engine 与 Stand Supervisor engineer 之间进行了数据同步； HighHigh AvailabilityAvailability CompatibleCompatible FeatureFeature 这些特性不支持高可用性，它们的状态数据没 有进行同步，但是在高可用性启用时，这些功能仍然可以使用，在切换后，这些功能从初始 化状态开始运行； HighHigh AvailabilityAvailability IncompatibleIncompatible FeatureFeature这些特性不支持高可用，它们的状态数据没 有进行同步，在高可用性启用时，这些特性不能使用，否则可能导致系统行为的不正常。 在系统中，需要使用热备份子系统进行信息同步的实体（也就是 High Availability Supported Feature）所构成的集合称为“备份集合” 。备份集合中的实体一般是系统运行过程动态 创建的，是 Master 作为对外事件的响应而产生的状态变化。由于状态变化是作为对外部事件的响 应而产生的，如用户配置、协议数据接收等，而 Slave 接收不到这些事件，它将 Master 同步信息 第 14 页 共 73 页 当作外部事件来处理。 热备份框架与备份集合的关系是平台与使用者之间的关系。从平台角度来看，它不关心使用 者是谁，而使用者之间并不因为同时使用某个平台功能而改变了它们之间的关系。因此，在使用热 备份框架提供的功能后，备份集合内的实体静态关系并未发生变化。 具体切换过程及实现具体切换过程及实现 1 1、切换前状态信息同步、切换前状态信息同步 2 2、主引擎出现故障时，数据不间断转发、主引擎出现故障时，数据不间断转发 3 3、备份引擎启动，故障引擎重启动，备份引擎下发、备份引擎启动，故障引擎重启动，备份引擎下发 FIBFIB 表更新，待故障引擎重启完毕后，新的主表更新，待故障引擎重启完毕后，新的主 引擎将状态信息同步到重启后的引擎，此时完成切换。引擎将状态信息同步到重启后的引擎，此时完成切换。 第 15 页 共 73 页 UISS 热备份设计可以保证交换机主从管理板的切换在 1 秒间实现，同时在切换过程中，各主 机线卡可以继续转发原有的数据流，不影响网络业务的正常透明运行，实现管理板的平滑切换，极 大地保证了网络设备的可靠性和网络可用性。 .3、三平面分离保护三平面分离保护 传统交换机系统分为数据平面和控制平面两部分。控制平面负责各种协议的运行和控制，提 供 TELNET、WEB、SSH、SNMP 等管理接口，执行管理员对于网络设备各种网络功能的设置命令，交 换机是否稳定的直接根源。数据平面数据的各种处理转发过程，包括 L2/L3/ACL/QOS/组播等各种 功能。数据平面是交换机最耗费资源的平面。 高端的交换机将控制平面再分离，分为控制平面和管理平面，由管理平面负责提供 TELNET、WEB、SSH、SNMP 等管理接口，保证在路由震荡、网络复杂、病毒攻击条件下，控制平面 的协议运行占用大量设备资源，管理平面独立于控制平面，可以轻松通过管理平面在线定位和规避 网络设备的非正常运行，高度保证了系统稳定性。 交换机在“三平面分离”的基础上加强了各平面内部的保护。 “平面保护”通过分别对“控制平面、管理平面、数据平面”三个平面提供大量的保护技术， 极大地保证了各个平面的内部稳定性。 .4、硬件硬件 CPUCPU 保护保护 目前众多的网络病毒都是通过对网络设备的 CPU 上进行特定协议的攻击。例如，利用伪造的 第 16 页 共 73 页 数据包瞄准具体协议，向网络设备发动攻击。攻击会大量消耗 CPU 上的资源(CPU 循环和通信队列)， 从而达到攻击目的。 网络交换机通过硬件的方式对发往控制平面的数据进行分类，把不同的协议数据归类到不同 的队列然后对不同的队列进行限速，专门对路由引擎进行保护，阻挡外界的 DOS 攻击。而且并不 影响转发速度，所以 CPP 能够在不影响性能的前提下，灵活且有力的防止攻击，而且保证了即使有 大规模攻击数据发往 CPU 的时候依然可以在交换机内部对数据进行区分对外。 CPP 提供三种保护方法，来保护 CPU 的利用率。 第一，可以配置 CPU 接受数据流的总带宽，从全局上保护 CPU。 第二，可以设备 QOS 队列，为每种队列设置带宽。 第三，为每种类型的报文设置最大速率。 经过信息产业部权威测试中心测试，得出结论：经过信息产业部权威测试中心测试，得出结论：“网络的网络的 CPPCPP 功能可进一步提高交换机抗攻功能可进一步提高交换机抗攻 击的能力和保持网络拓扑与击的能力和保持网络拓扑与 CPUCPU 的稳定性的稳定性” 3.23.2、二层高可用性设计二层高可用性设计 .1、生成树设计生成树设计 STP（Spanning Tree Protocol 生成树协议）是在 IEEE 802.1D 中定义的二层网络管理协议，通 过生成树算法消除网络环路，同时提供链路冗余备份功能。RSTP（Rapid Spanning Tree Protocol 快 速生成树协议）是在 IEEE 802.1W 中定义的，在 STP 的基础上实现了快速握手协商的机制，从而 使收敛时间大幅提高。MSTP（Multiple Spanning Tree Protocol 多生成树协议）是在 IEEE802.1S 中 定义的，它弥补了 STP 和 RSTP 的缺陷，既可以实现快速收敛，又能保证不同 VLAN 的流量沿着 第 17 页 共 73 页 各自的路径转发，从而为冗余链路提供负载均衡。 本网络设计中，涉及生成树的模块有 1 个，分别是楼栋汇聚交换机楼层接入交换机 生成树协议统一使用 MSTP。 对于接 PC 或者服务器的交换机设备端口，配置 portfast、bpduguard。 .2、RLDPRLDP 设计设计 RLDP 全称是Rapid Link Detection Protocol，用于快速检测以太网链路故障的链路协议。 一般的以太网链路检测机制都只是利用物理连接的状态，通过物理层的自动协商来检测链路的 连通性。但是这种检测机制存在一定的局限性，在一些情况下无法为用户提供可靠的链路检测信息， 比如在光纤口上光纤接收线对接错，由于光纤转换器的存在，造成设备对应端口物理上是linkup 的， 但实际对应的二层链路却是无法通讯的。再比如两台以太网设备之间架设着一个中间网络，由于网 络传输中继设备的存在，如果这些中继设备出现故障，将造成同样的问题。 利用RLDP 协议用户将可以方便快速地检测出以太网设备的链路故障，包括单向链路故障、双 向链路故障、环路链路故障。 在二层网络中生成树的部署可以避免大多数的网络环路风险，但是面对单端口下存在的环路， 就无能力为力，因此需要在所有的接入层交换机上部署RLDP，实现端口环路检测功能，避免环路 给网络带来的灾难。 第 18 页 共 73 页 3.33.3、三层高可用性设计三层高可用性设计 .1、VSUVSU 技术技术 为了保证网络的可靠性、故障自愈性，在方案设计中均需要考虑各种冗余设计，如网络冗余节 点、冗余链路等。冗余的设计使网络结构中出现了环路以及环路有可能引起的广播风暴等风险，生 成树技术（STP）应运而生。它虽然消除了环路，但却带来了链路性能利用不足的新的问题。随之 MSTP技术利用通过多实例的划分来实现不同链路流量的负载分担，提高了链路可用性能，但与此 同时却将网络的结构，管理维护工作量翻了几番。而管理维护量大会导致一旦配置出错会又回到起 初环路产生所带来的广播风暴的问题。 从根本上讲，网络结构、业务、管理维护的复杂度，：一方面是由于网络设备数量众多直接带 来的；另一方面是由于网络设备数量众多衍生出的类似STP、VRRP这些特性间接带来的。但无论 是直接还是间接引起，本质上都是网络设备数量的问题。所以，最根本的方法，就是要减少逻辑设 备的数量。换句话讲，就是将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运 行，从而达到减小网络规模的目的。 为了解决传统网络的这些问题，网络提出一种把两台物理交换机组合成一台虚拟交换机的新技 术，称为VSU，全称是Virtual Switch Unit，即虚拟交换单元。把传统网络中两台核心层交换机用 VSU替换，VSU和汇聚层交换机通过聚合链路连接。在外围设备看来，VSU相当于一台交换机。 VSU技术有如下特点： 、速度更快速度更快 高端交换机性能和端口密度的提升会受到其硬件的限制，而VSU系统的性能和端口密度是VSU 内部所有设备性能和端口数量的总和。因此，VSU技术能够轻易的将设备的核心交换能力、用户端 口的密度扩大数倍，从而大幅度提高单台设备的性能。 此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而VSU可以通过 跨设备链路聚合等特性，让原本“Active-standby”的工作模式，转变成为负载分担的模式，从而提 高整网的运行效率。 第 19 页 共 73 页 、网络更加可靠网络更加可靠 链路级：VSU设备之间的物理端口支持链路聚合，VSU系统和上、下层设备之间的物理连接也 支持聚合功能，这样，通过多链路备份提高了链路的可靠性。 协议级：VSu提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备， 从而实现协议可靠。 设备级：VSU系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备 在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保 证通过系统的业务不中断，从而实现了设备级的备份。相比传统的二层生成树技术和三层的VRRP 技术，其收敛时间从N秒级缩短到毫秒级。 、无任何业务限制无任何业务限制 帮助用户在实现基本功二层、三层能的同时，提供包括防火墙模块、流量分析模块等更广的业 务应用。此外还支持IPv6、组播、MPLS等多种业务。 VSU不仅可以提供机架内的高性价比连接方案，还可以通过标准光纤实现长达70km的跨区域 远距系统连接方案，提高了智能弹性系统的可用性。 、高性能硬件模块高性能硬件模块 采用高性能硬件模块实现，进行设备机箱见得快速检测和设备间数据高度转发。适用于大规模 的网络，无软件升级方式带来的弊端。 .2、路由冗余设计路由冗余设计 选择何种路由协议，对于最大程度的发挥网络的效能具有重要意义，因此本次网络建设的路由 协议的选择也就十分重要。 、路由协议选择原则路由协议选择原则 在大型网络中，选择适当的路由协议是非常重要的。目前常用的路由协议有多种，如 RIP、OSPF、IS-IS、BGP、DVMRP、PIM 等等。不同的路由协议有各自的特点，分别适用于不同 的条件之下。 第 20 页 共 73 页 选择适当的路由协议需要考虑以下因素： 路由协议的开放性：开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不 仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和选择空间。 网络的拓扑结构 ：网络拓扑结构直接影响协议的选择。例如 RIP 这样比较简单的路由协 议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。路由协议还必须支持网络 拓扑的变化，在拓扑发生变化时，无论是对网络中的路由本身，还是网络设备的管理都要 使影响最小。 网络节点数量：不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有 时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。 对于本网络，在选择路由协议时不能只看眼前，还要充分考虑今后的扩展性 与其他网络的互连要求：通过划分成相对独立管理的网络区域，可以减少网络间的相关性， 有利于网络的扩展，路由协议要能支持减少网络间的相关性，是通常划分为一个自治系统 （AS） ，在 AS 之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素 和对路由交换的限制管理。 管理和安全上的要求：通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为 了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人 为的要求，就需要路由协议对策略的支持。 、路由协议选择路由协议选择 考虑到协议的通用性、标准性以信息网的网络规模，建议在本次网络建设中选择 OSPF 作为未 来网络动态路由协议，选择 OSPF 主要有以下几个原因： 标准开放性及成熟性 OSPF 是开放的标准协议，受到广大厂家设备及组织的支持，也是目前网络构建中用得最 多的协议，也是在企业网中应用最广泛的 IGP 协议；因此其性能是经受过考验及验证的。 扩展能力分域功能非常适合网络扩展 OSPF 提供分域功能一方面保证路由转发效率，另一方面要提供很好的网络扩展能力。 3.43.4、网络服务质量保证网络服务质量保证 建议方案，以学校实际规划为主。 第 21 页 共 73 页 在传统的 IP 网络中，所有的报文都被无区别的等同对待，每个网络设备对所有的报文均采用 先入先出（FIFO）的策略进行处理，它尽最大的努力（best-effort）将报文送到目的地，但对报 文传送的可靠性、传送延迟等性能不提供任何保证。 随着 IP 技术的日趋成熟，IP 网络运营商化已经成为大势所趋，于是形成了语音、视频、数据 等多种业务 IP 统一承载，由于语音、视频等实时业务自身的特点对承载平台提出了严格的服务质 量要求，因此就必须在网络中部署相应的 QoS 技术，使得网络管理者能够有效地控制网络资源的使 用，能够在有限资源的 IP 平台上综合语音、视频及数据等多种业务，能够区分业务、针对不同的 业务提供特色的差分服务。 QoS 旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提供专用带宽、减少报 文丢失率、降低报文传送时延及时延抖动等。为实现上述目的，QoS 提供了下述功能： 1、报文分类和着色 2、避免和管理网络拥塞 3、流量监管和流量整形 4、QoS 信令协议 在网络设计中，设计合理的 QOS 保障方案，利用有限的资源，以获得更好的网络使用效益，是 非常必要的。良好的 QOS 保障方案可以确保一般情况下网络具有最好的使用效率、实时业务具有较 小延时，恶劣情况下保证关键业务得到应有的网络服务。 衡量 QoS 的指标包括： 1、带宽/吞吐量 - 指网络的两个节点之间特定应用业务流的平均速率； 2、时延 - 指数据包在网络的两个节点之间传送的平均往返时间； 3、抖动 - 指时延的变化； 4、丢包率 - 指在网络传输过程中丢失报文的百分比，用来衡量网络正确转发用户数据的能力； 5、可用性 - 指网络可以为用户提供服务的时间的百分比。 在本期网络中 QOS 方案部署如下： 在接入层交换机接入端口根据不同业务进行 VLAN 标记,并可以对报文进行 802.1P 优先级标记， 以便后续的核心交换根据相应优先级标记（802.1P、DSCP）进行调度，当然还可以根据策略的需要 部署 CAR 流量监管策略，对用户的接入速率进行控制，保证网络各项应用系统处于健康（轻载）的 运行状态。 第 22 页 共 73 页 第第 4 4 章、章、校园网高安全设计校园网高安全设计 4.14.1、核心交换机内置强大的安全特性核心交换机内置强大的安全特性 .1、关键部件的安全稳定关键部件的安全稳定 主机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。 主机监控显示屏可直接显示交换机名、CPU 利用率、内存利用率、管理模块与线卡温度、风 扇和电源工作状态、持续工作时间等，提供及时的设备关键状态查看，提升系统安全稳定的维护能 力。 主机实时检测 CPU 的使用状态，并提供业界领先的硬件 CPU 保护技术（CPP，CPU Protect Policy） ，CPP 技术对发往 CPU 的数据进行流区分和流限速，避免非法攻击包对 CPU 的攻击和资源 消耗。 .2、病毒和攻击防护病毒和攻击防护 采用硬件方式提供多种安全防护能力，例如 NFPP、CPP、防 DDOS 攻击、非法数据包检测、 数据加密、防源 IP 地址欺骗等等，避免了传统软件实现方式对整机性能的影响。 NFPP 是英文 Network Foundation Protection Policy 的缩写，中文意思是“基础网络保护策略” ； NFPP 技术可以联动网络设备自身的安全检测和安全防护技术，实现网络设备的自动智能安全体系。 随着交换机应用的逐渐普及，以及网络攻击的不断增多，越来越需要为数据交换机提供一种保 护机制，对发往交换机 CPU 的数据流，进行流分类和优先级分级处理，以及 CPU 的带宽限速，以 确保在任何情况下 CPU 都不会出现负载过高的状况，从而能为用户提供一个稳定的网络环境，这 种保护机制就是 CPU Protect Policy，简称 CPP。 提供业界最为强大的 ACL 特性，基于 SPOH 技术提供 IP 标准、IP 扩展、MAC 扩展、时间、 专家级等丰富的 ACL 技术，支持 IPv4/IPv6 双栈下的输入输出 ACL。 提供线卡分布式的 IPFIX 监控技术，及时发现网络中的异常流量，有助于提早发现网络中病毒 第 23 页 共 73 页 和攻击等不安全行为，并通过流量监控技术提供的详细异常流量数据信息，识别攻击源或攻击手段。 支持同时启用多组的多端口同步监控技术，并且支持灵活的输入、输出、双向数据镜像，满足 灵活的网络监控需求，提升网络监控能力。 .3、设备管理安全设备管理安全 提供 SSHv1/v2 的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁。 Telnet/Web 登录的源 IP 限制功能，避免非法人员对网络设备的管理。 SNMPv3 提供加密和鉴别功能，可以确保数据从合法的数据源发出，确保数据在传输过程中不 被篡改，并且加密报文，确保数据的机密性。 .4、接入安全接入安全 硬件支持 IP、MAC、端口绑定，提高用户接入控制能力。 支持 802.1X 技术，满足 6 元素绑定接入限制。 支持 IGMP 源端口检查、源 IP 检查、IGMP 过滤等功能，可有效控制非法组播源，提高网络安 全。 IGMP v3 支持通告客户端主机希望接收的多播源服务器的地址，避免非法的组播数据流占用网 络带宽。 通过 PVLAN（端口保护）隔离用户之间信息互通，不必占用 VLAN 资源。 支持根据带宽速率或带宽百分比进行未知名报文、多播包、广播包进行控制。 端口 MAC 地址锁、MAC 地址过滤、端口 MAC 地址接入数量限制功能可以屏蔽非法主机的接 入和非法数据包进入网络。 4.24.2、汇聚层网络安全规划汇聚层网络安全规划 楼栋汇聚区、服务器区是路由域与交换域的分界层，用户的 VLAN 信息终结在汇聚交换机上。 通过部署如下安全特性实现网络安全： 部署 VLAN 规划，实现业务的隔离； 部署 ACL 策略，实现业务的访问控制； 第 24 页 共 73 页 4.34.3、接入层网络安全规划接入层网络安全规划 用户在访问网络的过程中，首先要经过的就是接入交换机，在用户试图进入网络的时候，也就 是在接入层交换机上部署网络安全无疑是达到更好的效果。 .1、接入层实现对用户身份的准确验证接入层实现对用户身份的准确验证 对于每一个需要访问网络的用户，利用 802.1X 技术对其身份进行验证，身份验证信息包括用 户的用户名/密码、用户 PC 的 IP 地址、用户 PC 的 MAC 地址、用户 PC 所在交换机的 IP 地址、用户 PC 所在交换机的端口号、用户被系统定义的允许访问网络的时间，通过以上信息的联合验证，达 到如下的效果： 每一个用户的身份在整个网络中是唯一并且合法的 当安全事故发生的时候，只要能够发现肇事者的一项信息（如 IP 地址） ，就可以准确定位 到该用户，便于事件的追踪。 .2、接入层实现对网络病毒和攻击的有效控制接入层实现对网络病毒和攻击的有效控制 接入层交换机内置了丰富的安全防护功能，如下图： （1）防 IP 地址盗用和 ARP 攻击 接入层交换机通过对每一个 ARP 报文进行深度的检测，即检测 ARP 报文中的源 IP 和源 MAC 是 否和端口安全规则一致，如果不一致，视为更改了 IP 地址，所有的数据包都不能进入网络，这样 可有效防止安全端口上的 ARP 欺骗，防止非法信息点冒充网络关键设备的 IP（如服务器） ，造成网 第 25 页 共 73 页 络通讯混乱。 （2）防 MAC FloodSYN Flood 攻击 通过部署 IP、MAC、端口绑定和 IP+MAC 绑定（只需简单的一个命令就可以实现） 。并实现端口 反查功能，追查源 IP、MAC 访问，追查恶意用户。有效的防止通过假冒源 IP/MAC 地址进行网络的 攻击，进一步增强网络的安全性。 并且此功能可直接在接入层交换机上实现，真正做到了安全控制到边缘！ （3）非法组播源的屏蔽 接入层交换机均支持 IMGP 源端口检查，实现全网杜绝非法组播源，指严格限定 IGMP 组播流 的进入端口。当 IGMP 源端口检查关闭时，从任何端口进入的视频流均是合法的，交换机会把它们 转发到已注册的端口。当 IGMP 源端口检查打开时，只有从路由连接口进入的视频流才是合法的， 交换机把它们转发向已注册的端口；而从非路由连接口进入的视频流被视为是非法的，将被丢弃。 产品支持 IGMP 源端口检查，有效控制非法组播，实现全网杜绝非法组播源，更好地提高了网络的 安全性和全网的性能，同时可以有效杜绝以组播方式的传播病毒.而且也是网络带宽合理的分配所 必须的。同时 IGMP 源端口检查，具有效率更高、配置更简单、更加实用的特点，更加适用于大规 模网络应用环境。 以上可直接在接入交换机上部署，保证了组播应用的安全性，同时也提高了网络性能！ （4）对 DHCP 攻击的控制 方式一、非法 DHCP Server，为合法用户的 IP 请求分配不正确的 IP 地址、网关、DNS 等错误 信息，不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法 DHCP Server，严重影响 合法用户的信息安全。 方式二、恶意用户通过更换 MAC 地址的方式向 DHCP Server 发送大量的 DHCP 请求，以消耗 DHCP Server 可分配的 IP 地址为目的，使得合法用户的 IP 请求无法实现。 接入层交换机均可对以上两种方式进行有效控制： 可检查和控制 DHCP 响应报文合法性 可遏制恶意用户不断更换 MAC 地址的 DHCP 请求 （5）对 DOS 攻击，扫描攻击的屏蔽 第 26 页 共 73 页 通过接入层设备部署防止 DOS 攻击，扫描攻击，能够有效的避免这二种攻击行为，节省了网 络带宽，避免了网络设备、服务器遭受到此类攻击时导致的网络中断。 （6）对网络病毒的控制 对于常见的比如冲击波、振荡波、ARP 病毒等对网络危害特别严重的网络病毒，本次投标的所 有接入层交换机内置了丰富的 AC 功能，能够对这些病毒进行防范，一旦某个用户不小心感染上了 这种类型的病毒，不会影响到网络中的其他用户，保证了带宽的有效利用。 最有效的防病毒配置文件如下： ip access-list extended lan deny udp any any eq 136 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss deny udp any any eq 445 deny udp any any eq 593 deny udp any any eq 1434 deny tcp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 4444 deny tcp any any eq 5800 deny tcp any any eq 5900 deny tcp any any eq 6667 deny tcp any any eq 5554 deny tcp any any eq 9996 permit ip any any 第 27 页 共 73 页 端口端口 135135 服务服务 Location Service 说明说明 Microsoft 在这个端口运行 DCE RPC end-point ma