毕业论文-唐山师范学院校园网络解决方案.doc

唐山师范学院专科毕业论文题 目 唐山师范学院校园网络解决方案学 生 指导教师 年 级 2009级专 业 计算机应用技术(信息安全)系 别 计算机科学系唐山师范学院 计算机科学系 2012年6月郑重声明本人的毕业论文（设计）是在指导教师 张学红 的指导下独立撰写完成的。如有剽窃、抄袭、造假等违反学术道德、学术规范和侵权的行为，本人愿意承担由此产生的各种后果，直至法律责任，并愿意通过网络接受公众的监督。特此郑重声明。毕业论文（设计）作者（签名）：郑鹏飞 2012 年 6 月 9 日目 录致谢4摘要5引言5绪论61、校园网网网络建设需求分析.61.1校园网网络建设的目标和原则.61.2校园网建设需求分析61.2.1 环境需求.6 1.2.2 功能需求.7 1.2.3 网络规模需求.71.2.4 网络拓扑结构需求.71.2.5 网络管理需求71.2.6 网络安全需求.71.2.7 校园网系统集成预算72、唐山师范学院校园网方案设计.82.1 校园网规划82.2 校园网设计82.3网络详细部署方案92.4. 物理设计.113、网络设备配置策略21.3.1网络设备连接213.2模拟器模拟各设备配置.214、结论.455、参考文献.4唐山师范学院校园网网络解决方案 郑鹏飞 陈兰 罗兰 刘春燕 摘 要 随着网络的发展,网络管理越来越重要。各大院校的校园网都已经初具规模,良好的网络管理成为校园网能否正常、有效运行的关键。该文基于铜陵学院校园网络管理系统的设计探讨，详细讨论了校园网建设目标、设计原则以及网络拓扑结构、主干网构建，既有理论研究意义,也具有实践参考价值。关键词 校园网络 校园拓扑结构 网络管理 网络维护 唐山师范学院现有师生一万余人，主校区共有两个南北校区，还有一个学院路分校区，为方便师生接入INTERNET特此设计了唐山师范学院校园网网络解决方案。本方案主要采用思科系列网络产品，分为核心层、汇聚层、接入层，在接入层还加入了无线接入点，使整个校园覆盖wifi热点方便师生们使用、每个宿舍楼为每个学生准备了有线接入，每层楼准备了无线接入，汇聚层到核心采用万兆光纤，接入到核心采用千兆光纤，为整个校园接入互联网提供了高效、快速的连接。另外在出口加了思科的万兆高性能防火墙，保护了整个网络的安全，最外面采用F5设备确保网络高效、均衡负载接入网络，内网采用认证计费授权管理城市热点系统防止学生恶意攻击内网。学院路分校区采用IPSEC VPN和学校总部互连，节省了成本，方便了连接。整个学校无线采用5508控制器控制整个校园的无线，并与认证审计计费系统结合，如果学校有域可以用域数据库。1、 校园网网络建设需求分析1.1 校园网网络建设的目标和原则 （1）设计要求我们的设计方案遵循以下设计要求： 网络建设的技术起点要高要求一定要利用目前成熟的技术和产品，在此基础上考虑尽可能先进，保证在五至十年内所建成的网络能满足进一步的需求并且不会落后于时代。 要有良好的可扩充性和易维护性在建网时要考虑能进行灵活配置，要考虑尽可能的降低以后的维护工作量和维护费用，尽量统一配置设备的规格和型号。 网络要有好的开放性是指能支持多种通讯协议、多种传输介质和多种主机连接，能支持多种数据格式的传输。 网络设备配置要合理网络设备应综合考虑，避免出现瓶颈。 系统采用Intranet设计技术要求提高易用性并可更加方便的与Internet连接。（2）设计原则为了将唐山师范学院校园网建设成达到国内一流水平，运用现代科技手段，充分体现现代办学思想的网络系统，在校园网工程建设中，遵循下列原则： 开放性原则随着开放互连标准的制定，只有开放的，符合国际标准的网络系统才能够实现多厂家产品的互连。目前已成熟的国际标准包括：以太网、快速以太网、FDDI网、令牌环网。已制订或即将制订国际标准还包括 千兆以太网、ATM（异步传输模式）等，并且这些网络系统不仅在世界范围内，即使在国内也被广泛地采用。 可扩充性原则网络系统要能够灵活地扩充，比如：能够通过扩充支持千兆网、ATM 网络。具有良好扩充性的网络系统能够让用户以较小的代价，通过产品升级，采用新的技术来扩充现有网络设备的功能，这样，就有效地保护了用户的投资。 可靠性原则用户的网络系统必须具有一定的容错能力，保障在意外情况下不中断用的正常工作，这要求网络设备能够支持诸如:MulitiLink Trunking、Spanning Tree等冗余连接协议。比如，在网络系统的关键部位（如主服务器）提供2条以上线路连接，多条链路可同时使用，当其中一条线路意外断开的，另一条线路仍能够自动正常工作，保障系统不中断。 可管理性原则网络系统应该能够支持 SNMP（简单网管协议），这样便于计算机管理人员通过网管软件随时监视网络的运行状况，一旦出现故障，可以自动报告出错位置和出错原因，管理人员可以迅速发现故障并即时维护，同时 SNMP V2版本的协议还支持很多更高级的网络安全管理功能。比如：用户的财务系统要求有一定的保密性，通过 SNMP 的协议管理，可以防止网络上的普通用户访问财务系统。但允许某些特权用户（比如：校长）可以直接访问校园网和军网有关资源，获得有用的统计报表等信息。（3）实施原则校园网的建设要适应学校的长远发展规划，可依据具体情况采取“统一规划，分阶段实施，逐步到位”的建网原则。具体地讲，主干网的建设应该尽可能全面的一步到位，而终端设备可以分批采购。因为主干网决定了系统的基本结构，不能轻易改变；而终端设备随时在升级换代，可根据当时的需要不断配置完善。（4）应用原则应坚持“培训在先、使用在后”的原则。要实现学校教师、技术与管理人员的全员培训，形成一支能使校园网正常持续运行的软、硬件管理建设的骨干队伍。（5）维护原则网络的建成仅仅是万里长征的第一步，校园网真正投入使用并发挥效益，还需要完善的管理和细致的维护。学校应把专业维护和日常维护区别开来，应与专业网络公司建立长期的合作关系，并订立长期维护协议，把定期的专业维护交给专业人员去做；同时，普通日常维护依靠自身完成。这样，学校才能把主要精力投入到教学应用方面上。1.2 校园网建设需求分析 1.2.1 环境需求表1-1 部门名称 节点数目 建筑物层数与校园网信息中心 的距离(米) 主楼1000110-100 图书馆5001300教学楼3503400 学生宿舍楼172011500 学生宿舍楼272011500 学生宿舍楼372011500 学生宿舍楼472011500 学生宿舍楼572011500 学生宿舍楼672011500 学生宿舍楼772011500 学生宿舍楼872011500 北校东机房360011200 东边新楼50011200 新教学楼50011400 新宿舍楼1100011500 新宿舍楼2100011500 服务器机房501100 学院路校区5001500001.2.2 功能需求对于多媒体形式的数据如语音、图象、动画演示、视频点播等，网络应该及时、高效地完成数据传输，确保电子教学的正常运做。满足学生上机要求.1.2.3 网络规模需求网络应该支持大规模的数据库应用。随着我国基础教育水平的提高，通过网络运行基于服务器/客户机的数据库查询检索是日常教学中教师和学生经常要进行的活动。如何确保数据库查询迅速及时地得到反馈是网络应该注意的问题。1.2.4 网络拓扑结构需求随着校园网对因特网接入需求的增加，应该考虑校园网能够顺利实现与外部网络和Internet的连接。 校园网应该具备使用灵活，管理简单的特性。由于校园网不可能投入太多的专业人员从事系统维护，因此在设计时就应该考虑网络使用和维护应该尽量简单。考虑到未来校园的扩建，教学发展的需要，校园网应该具备很好的扩展能力，能够保证在需要时校园网能够实现向未来网络的平滑升级。另外校园网应该能够保证新的应用形顺利开发实现。1.2.5 网络管理需求网络系统应该能够支持 SNMP（简单网管协议），这样便于计算机管理人员通过网管软件随时监视网络的运行状况，一旦出现故障，可以自动报告出错位置和出错原因，管理人员可以迅速发现故障并即时维护，同时 SNMP V2版本的协议还支持很多更高级的网络安全管理功能。1.2.6 网络安全需求配备的防火墙。防火墙的配备，极大的提高了我校校园网与外网之间的安全性，从根本上消除了多年以来存在的网络安全隐患。1.2.7 校园网系统集成预算表1-2器材型号数量价格(美金)核心防火墙ASA5580-20-4GE-K91核心交换机（机箱）WS-C6509-E核心交换机（引擎）VS-S2T-10G-XL核心交换机（板卡）WS-X6816-10T-2T8378000核心交换机（板卡）WS-X6848-SFP-2T核心交换机（电源）WS-CAC-3000W核心交换机（风扇）WS-C6509-E-FAN数据中心交换机WS-C4948-10GE-S出口路由器448000无线控制器AIR-CT5508-500-K91220490无线APAIR-LAP1142N-C-K9500746500天线（2.4G）AIR-ANT2422DB-R120036000天线（2.5G）AIR-ANT5135DG-R1200483000汇聚层交换机WS-C3750X-24S-S601800000汇聚交换机万兆模块C3KX-NM-10G60225000接入交换机WS-C2960S-48LPS-L7207014960万兆光模块（单模）SFP-10G-LR2402013600千兆光模块（多模）GLC-SX-MM720540000学院路校区CISCO3945/K9119500总价97373602唐山师范学院校园网方案设计2.1 校园网规划（1）网络规模与结构分析：万兆双干线、双冗余、千兆交换到桌面，802.11n无线网络接入校园各个位置轻松实现高速网上冲浪。主干采用三层架构，充分利用三层交换的高性能管理，满足大容量、高速率的数据传输。基于三层的管理，对网络各种信息数据的处理游刃有余。分布式的三层提供强大的系统张力，避免了牵一发而动全身。处于三层的交换技术，实现网络路由管理。不但有效控制网络风暴，又能实现跨VLAN的网络连结，为网络的安全提供了强有力的保障。万兆双干线充分保障了主干的带宽，提供了主干网络的可靠性为各子网提供优良的“服务”，千兆到桌面有效地保障的数据、语音以及视频的有无阻塞传输，802.11n无线接入校园网络，方便师生随时随地畅享网络。出口采用F5负载均衡设备和思科高性能防火墙既保障了上网接入的速度又保障了内网的安全。（2）网络工程方案分析：网络设备选型、软件平台配置、综合布线系统与网络工程施工、网络工程经费预算、网络系统的测试与验收、网络应用和技术培训。2.2 校园网设计1. 网络的逻辑设计（1）网络拓扑结构的分层设计校园网分为3层结构，即核心层、汇聚层和接入层。主干网一般采用星型拓扑结构，主流技术是万兆以太网，为了克服单点故障，校园网核心层一般采用双核心路由交换机，核心层到汇聚层具有冗余链路，以提高网络可靠性。为了便于校园网的管理，一般按部门划分子网和VLAN。当学校在不同地方有校区时，可采用VPN技术。（2）网络拓扑结构各层设计网络核心层设计网络汇聚层设计网络接入层设计（含802.11x无线接入方案和无线接入方案）网络拓扑各层的设计目标和策略（3）网络地址的分配和命名表2-1区域Ip网关各个交换机vlan /22-54/254/22主楼/24-54/24每个网段最后一个ip地址图书馆/24-54/24每个网段最后一个ip地址晶博/24-54/24每个网段最后一个ip地址教学楼/24-54/2454/24食堂/24-54/2454/24学生宿舍/24-54/24每个网段最后一个ip地址北校西机房/24-54/24每个网段最后一个ip地址北校东侧新楼/24-54/24每个网段最后一个ip地址新教学楼/24-54/24每个网段最后一个ip地址新宿舍楼/24-54/24每个网段最后一个ip地址无线AP/24-54/24每个网段最后一个ip地址2.3网络详细部署方案： 出口路由器选择出口没有选择思科的路由器，而是F5的负载均衡，考虑到双线接入学校，这样在接入互联网不仅提供冗余而且访问的速度也会加快，如果部署传统的路由器负载均衡不易实现，很难做到电信走电信联通走联通，所以选择了F5负载均衡设备放在出口。此款设备吞吐量达2Gpbs，完全满足需求出口防火墙 为了保护整个内网和服务器的安全，出口选择思科asa5580-20系列防火墙，划分内部和DMZ区域，此款防火墙的吞吐量达1Gbs，完全满足需求，保障内网安全，防止非法用户攻击。双核心交换机 考虑到内网用户比较多，流量比较大，所以核心设计为双核心交换机，采用最新的2T引擎，提供了2T的交换矩阵，双引擎增大了交换容量，并搭载万兆板卡，实现汇聚到核心双万兆双链路接入，不但增加了速率而且可靠性大大提高，传统的部署方式由于生成树的原因有一个双万兆是被阻断的，思科最新的引擎支持虚拟化，可以把两台核心交换机虚拟为一台交换机，这样四条万兆线路同时都在工作，增大了一倍带宽，一倍可靠性。核心交换机采用双引擎双电源确保核心交换机持续的工作。如何不采用虚拟化那就采用双核心冗余备份模式hsrp，每个vlan分为主备状态，根据用户数一半主在A上一般主在B上，实现良好的负载均衡。如果生成树太多可以运行mst，把vlan化为实例减少核心交换机cpu和内存消耗。汇聚层和接入层均采用骨干加速和上行加速，加快收敛时间。接入交换机采用bpdu guard来保护生成树安全。数据中心交换机 考虑到数据中心接入的服务器比较多，所以数据中心采用了思科专门为数据中心研发的高性能高带宽低延迟大buffer交换机ws-c4948-10GE，确保服务器对外告诉访问。汇聚层交换机 考虑到汇聚层交换机流量比较大，而且接入用户比较多，所以汇聚层交换机采用思科WS-C3750X-24S-S，并且在需要的地方进行堆叠，不但增加了端口而且增加了交换容量，每台交换机都可以接一个扩展万兆模块，这样每台交换机就可以有两个万兆模块接入交换机，两台交换机堆叠后正好有四个万兆上行到核心，每秒钟40G的数据到核心，确保汇聚到核心没有瓶颈，为了消除距离的限制，汇聚层到核心层同意采用思科万兆单模模块，部署在整个校园游刃有余，每台交换机拥有160G的背板带宽，确保每个端口线速转发。汇聚层设备数量部署方案：主楼一共十七层，每层双线接入两台接入层交换机，一共需要四个接口，一台交换机一共24个口，为保证主楼工作人员的网速考虑主楼用三台24口交换机堆叠，ws-c3750x-24ts-s共有24个千兆光口，另有两个万兆光口，用来与核心双线接入。图书馆一共五层，共有机房2个，每个机房按一百台机器算，其他各楼层共一百台，所以公用汇聚层交换机两台，全部双线冗余接入接入层交换机，然后上线万兆到核心。晶博一共六层，不太清楚里面的结构，所以放两台汇聚层交换机堆叠提供有线和无线接入。食堂一共两层，所以放一台汇聚层交换机，提供有线无线接入，单向万兆链路到核心。学生宿舍一共八栋，一层按15宿舍算，一共六层，每个宿舍八个人，所以每栋楼按750个（包含无线接入）接入点算，所以每栋楼两台汇聚层交换机堆叠，双向双链路万兆到核心。北校西机房，一共六层，每层按六个机房，一个机房100台机器算，总共3600个接入点，所以机房考虑用七台汇聚层交换机堆叠，双行双万兆链路上行到核心。东边新楼共六层，每层50个接入点，总共300个接入点，所以放置一台汇聚层交换机即可。新教学楼一共12层，每层提供50个接入点，所以用两台汇聚层交换机堆叠。新宿舍楼一共两栋，每层按15个宿舍算，一个宿舍八个人，一共六层，所以一栋宿舍楼放两台汇聚层交换机堆叠，双行双链路万兆上行到核心。以上所有汇聚到核心均采用万兆单模模块，考虑到多模模块距离比较近（就几百米），所以采用单模，为了避免单点故障，所以采用以太网捆绑和虚拟化或者生成树提高可用性。人数比较多的地方为了降低成本没用采用4500系列交换机而是采用3750交换机堆叠，这样不但增加了端口而且增大了交换容量。无线控制器无线控制器采用思科5508系列，最多可以控制500个无线瘦ap，在同一个空间里无线控制器可以方便的管理所有ap的ssid，认证方式，功率和覆盖范围的大小，并且支持cleanair，在无线信道被污染的今天，思5508无线控制器能给自己的ap采用更清晰的信道传输数据保障了数据传输的高效和可靠性。接入交换机接入交换机采用思科2960s系列，提供了两个千兆光上行链路，在这里采用以太网捆绑技术增加冗余和带宽，并且支持poe供电特性，每48端口中有24端口课提供15.4w的电力，保障了校园无线ap接入的方便性，不用另外给ap提供电力，如果以后无线的用户量增多，每台接入交换机可以接入一半无线ap，为未来网络的发展留作空间。接入到核心考虑到距离没有多远均采用千兆多模模块，保障传输速率和可靠性。无线接入点采用思科1142n系列，此款ap支持2.4G和5G双频，最高速率可达300mbps，为了提高ap的利用率，每层楼或者每个空间放置三个或四个，因为考虑到有重叠信道的存在所以放多了只会增加成本不会带来效率，为了发挥每个ap的最大效率每个ap都配备了三根2.4G和三根5G的天线用增加信号和速率。无线ap数量部署情况主楼每层放置三个，一共十七层，共51个图书馆每层放置4个，一共五层，共20个2、3、4号教学楼每层放置四个，共六层，共72个晶博每层放置3个，共六层，共18个食堂每层放置4个，共八个宿舍楼每栋放置4个，共六层，共八栋192个北校机房每层放置3个，共六层，共十八个东新楼每层放置3个，共六层，共十八个新教学楼每层放置4个，共12层，共四十八个新宿舍楼每层放置四个，共六层两栋，共四十八个Ap总共约500个校园网认证计费方式 有线无线采用统一认证，考虑到学生接入需要收费，所以采用城市热点认证计费系统，学校办公人员采用802.1x认证授权审计系统，保证每个用户接入的安全和放置不法学生攻击校园网 2.4. 物理设计（1）网络设备选型 网络设备选型原则 网络各层次选型接入F5负载均衡设备：表2-2功能及技术指标项参数要求(所有的性能参数都要求有国内第三方鉴定机构的鉴定报告的)*千兆端口10千兆端口，其中千兆光口不少于2个(如果电口与光口复用，只能算一个)*吞吐量2Gbps* 处理器CPU双核CPU，主频1.8GHz、支持CMP(Clustering Multi Processor)技术*内存内存4GB 存储介质Disk160GB，CF卡8G服务器负载均衡完善的第四/七层交换功能，支持可定制的基于应用层的健康检查方式，支持基于HTTP Cookie Insert模式的会话保持方式。最大并发连接数8000000四层处理能力=100,000connection/second七层处理能力=135,000request/second交换背板24Gbps*独立管理子系统支持独立于四七层交换系统以外的Always online Manager硬件管理子系统,有独立的CPU,内存和存储介质，有独立的管理网口，实现无人值守远程维护*链路均衡扩展可扩充支持多链路均衡和多数据中心负载均衡*SSL卸载和加速内置SSL加速芯片，缺省支持500TPS SSL处理能力；最大支持10000TPS。*智能压缩使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量。缺省提供50Mbps处理能力，最大支持1Gbps。*内存Cache利用内存来缓存用户频繁访问的web静态内容，从而减小应用服务器的压力，提升用户响应速度。*四/七层带宽管理和流量整形（Qos）通过优先级，队列，以及设定基于应用的带宽限制和带宽容许，确保关键应用能够按时交付。*协议安全功能可扩展支持HTTP, FTP, STMP等常见协议的安全检查，防止不附合协议规访的访问请求。*WEB应用防火墙主动式及被动式应用安全防护，能防御所有已知和未知的Web蠕虫和漏洞攻击。支持防护SQL注入，跨站脚本攻击，命令注入攻击，缓冲区溢出攻击，参数/表格纂改攻击，Http/Https拒绝服务攻击，SSL Flooding攻击，应用平台漏洞攻击等针对HTTP（1.0/1.1），HTTPS应用的攻击行为，支持ICAP协议，配合防病毒设备可以对WEB病毒进行过滤。*WEB应用加速可扩展专门针对WEB应用的加速模块，可以通过修改浏览器行为，智能的浏览器缓存技术来对动态及静态对象进行加速，提高WEB应用的访问速度3-5倍。*SSL VPN 功能实现SSL VPN 远程接入功能，标配10个用户的LICENSE，并可以根据用户数进行扩展。*设备之间的广域网加速通道在两台设备之间可以保护并且加速广域网上传送的数据。通过对称式部署，创建一个站点到站点的安全隧道，以提高传输速率，减少带宽使用量，并且卸载应用的负载，从而实现更高效的广域网通信，保证最高的应用性能。*可编程管理流量管理界面提供基于某种编程语言（如TCL语言）自定义的流量控制方法，可通过自编程方式实现灵活的流量处理手段。支持负载均衡、NAT、路由转发、会话保持等功能的可编程控制。如支持，请详细描述提供的可编程语言、操作界面及在中国相同行业已使用的案例详细说明。*IPv6支持标配IPV6功能，在IPv4和IPv6网络之间提供完整的IP转换和负载均衡能力可以支持用户迁移以及建立IPv4和IPv6混合主机资源。*用户地域信息在设备上可以根据访问业务的客户的源IP来提供客户的具体地域信息*应用配置模板功能支持application template，内置了对主流应用如Weblogic, IIS,SAP、Oracle Application Server、Sharepoint的配置策略建议*多重引导功能支持四个以上的多重引导，便于软件版本升级*在线升级功能要求支持在线升级功能，并支持基于Web的升级方式*RMA返修服务硬件三年维保，并要求第二个工作日NBD，备机到达用户指定地点。*产品检测认证需要通过公安部信息安全产品检测出口防火墙：Cisco ASA 5580 系列按照以下两个性能水平提供：具有 5 Gbps 基于真实环境的防火墙性能的 Cisco ASA 5580-20，以及具有 10 Gbps 基于真实环境的防火墙性能的高端 Cisco ASA 5580-40。其多核、多处理器体系结构为要求最苛刻的网络安全和VPN 集中应用提供强大的可扩展性。凭借超低延迟、高会话并发和连接启动率，可以透明、安全地实现实时应用。企业可以扩展其 SSL 和 IPsec VPN 功能，以便为大量的移动员工、远程站点和业务合作伙伴提供支持。通过安装一个基本或高级 AnyConnect VPN 许可，每个 Cisco ASA 5580 设备上最多可以支持 10,000 个 AnyConnect 和/或非客户端 VPN 对等体；基础平台上可支持 10,000 个IPsec VPN 对等体。Cisco ASA 5580 自适应安全设备还可以集成，以改进可靠性和可扩展性，当在一个集群内部署 10 台设备时，可最多支持 100,000 个 AnyConnect 和/或无客户端或 IPsec 远程访问客户端。对于业务持续性和活动规划，Cisco ASA 5580 还可通过 Cisco VPN FLEX 许可，允许管理员在最长 2 个月内，对并发高级 VPN 远程访问用户的短期出现做出反应或进行规划。图2-1核心交换机引擎： 平台可扩展性：在 E 系列机箱上提供每个插槽多达 80 Gbps 的交换容量；可将使用单个 6513-E 机箱的 2T比特带宽容量扩展到使用 VSS 的 4 T比特容量。支持利用 VSS 部署的多达 1056 个 1Gbps 端口和 352 个 10Gbps 端口的系统。提供 1Gbps/10Gbps 和 40Gbps 的接口支持，以满足未来的客户带宽增长需求。 安全性：支持 Cisco TrustSec 和 CTS，从而提供 MacSec 加密和基于角色的 ACL。提供控制平面流量限速，以防止拒绝服务攻击。 虚拟化：原生支持 VPLS，以及可感知 VPN 的 NAT、VPN 统计和 VPN Netflow等部署网络虚拟化所需的重要功能的强化 Netflow 应用监控：管理引擎 2T 支持增强型应用监控，例如灵活采样 Netflow 可用于实现智能且可扩展的应用监控。名称VS-S2T-10GVS-S2T-10G-XLIPv4 路由硬件中多达 720 Mpps*硬件中多达 720 Mpps*IPv6 路由硬件中多达 390 Mpps*硬件中多达 390 Mpps*L2 桥接硬件中多达 720 Mpps*硬件中多达 720 Mpps*MPLS硬件中的 MPLS，支持使用 3 层 VPN 和 EoMPLS 隧道。多达 8192 个 VRF，每个系统的转发条目总数多达 256K*。硬件中的 MPLS，支持使用 3 层 VPN 和 EoMPLS 隧道。多达 8192 个 VRF，每个系统的转发条目总数多达 1024K。VLAN4K4K桥接域16k16kVPLS硬件中（多达 390 Mpps*）硬件中（多达 390 Mpps*）GRE硬件中（多达 390 Mpps*）硬件中（多达 390 Mpps*）NAT硬件协助硬件协助MAC 条目128k128k路由256K (IPv4)128K (IPv6)1024K (IPv4)512K (IPv6)NetFlow 条目512K1024K组播路由128K (IPv4)128K (IPv6)128K (IPv4)128K (IPv6)表 2. QoS 功能和可扩展性功能VS-S2T-10GVS-S2T-10G-XL3 层分类和标记访问控制条目 (ACE)QOS/安全共享 64KQOS/安全共享 256K聚合流量速率限制策略器1634816348基于流量的速率限制方法；速率值每个源地址、目标地址或全流量；速率为 64每个源地址、目标地址或全流量；速率为 642 层速率限制器20 个入口/6 个出口20 个入口/6 个出口MAC ACL 的主要特征是每端口/每 VLAN 精度是是分布式策略器是是共享的 uFlow 策略器是是出口 uFlow 策略器是是数据包或字节策略器是是每端口每 VLAN是是表 3. 安全功能和可扩展性功能VS-S2T-10GVS-S2T-10G-XL端口安全是是IEEE 802.1x 和 802.1x 扩展是是VLAN 以及路由器 ACL 和端口 ACL是是掩码值与 ACE 值的比为 1:1是是安全 ACL 条目QOS/安全共享 64KQOS/安全共享 256KCPU 速率限制器（DoS 保护）5757uRPF 检查 (IPv4/IPv6)多达 16多达 16具有唯一 ACL 的接口数16k16kRPF 接口1616专用 VLAN是是基于 IP 的 MAC ACL是是逻辑接口128k128kEtherChannel 散列8位8位Cisco TrustSec 支持（包括 L2 加密）是是CPU HW 速率限制器（单位为 PPS 或 BPS）是是针对组播的 CoPPL2 和 L3 支持L2 和 L3 支持针对异常（MTU、TTL）的 CoPP是是CoPP 异常 Netflow 支持是是ACL 标签16k16k端口 ACL8k8kACL 空运行是是无中断 ACL 更改是是汇聚层交换机（用户较多的地方采用堆叠）：表2-3功能设置模型共有10/100/1000以太网端口默认AC电源供应器可用PoE电源StackPower局域网基地WS - C3750X - 24T - L24350W-可升级到IP基础WS - C3750X - 48T - L48WS - C3750X - 24P - L24个PoE +715W435WWS - C3750X - 48P - L48个PoE +WS - C3750X - 48PF - L48个PoE +1100W800WIP基础WS - C3750X - 24T - S24350W-是WS - C3750X - 48T - S48WS - C3750X - 24P - S24个PoE +715W435WWS - C3750X - 48P - S48个PoE +WS - C3750X - 48PF - S48个PoE +1100W800WWS - C3750X - 12S - S12个千兆SFP350W +-WS - C3750X - 24S - S24个千兆SFP350W-IP服务WS - C3750X - 12S - E12个千兆SFP350W-WS - C3750X - 24S - E24个千兆SFP350W-接入交换机（每48端口有24端口支持15.4w POE供电）：图2-2服务器交换机：技术规格性能和交换规格96Gbps无阻塞交换矩阵72Mpps第二层转发（硬件）72Mpps第三层和第四层转发IP路由，基于思科快速转发（硬件）基于硬件的第二到四层交换引擎（基于专用应用集成电路ASIC）单播和组播路由条目：32,000每交换机支持2048个有效VLAN和4096个VLAN ID第二层组播地址：16,384MAC地址：32,768监督器：512个入口和512个出口ACL或服务质量(QoS)条目：32,000上行链路：4个线速SFP端口，带（千兆位EtherChannel）支持延迟：64字节分组的延迟为6ms交换虚拟接口(SVI): 2048STP实例: 1500互联网群组管理协议(IGMP)监听条目: 8000第二层特性72 Mpps第二层硬件转发第二层交换端口和VLAN端口汇聚IEEE 802.1Q VLAN封装交换机间链路(ISL) VLAN封装动态端口汇聚协议(DTP)VLAN端口汇聚协议(VTP)和VTP域每VLAN生成树协议(PVST+)和每VLAN迅速生成树协议(PVRST)生成树PortFast和PortFast防护生成树UplinkFast和BackboneFast802.1s802.1w生成树根防护思科发现协议IGMP监听v1, v2和v3802.3ad思科EtherChannel技术，思科快速EtherChannel技术和思科千兆位EtherChannel技术支持端口汇聚协议(PAgP)SFP端口上的单向链路检测协议(UDLD)和主动UDLD硬件中的Q-in-Q第二层协议隧道化所有端口上的巨型帧(高达9216字节)大型帧(高达1600字节)基于硬件的风暴控制(正式名称为广播和组播抑制)群组专用VLAN (PVLAN)强制10/100自动协商第三层特性72 Mpps基于硬件的IP思科快速转发路由静态IP路由IP路由协议: EIGRP, OSPF, RIP, RIP2BGPv4和组播边界网关协议(MBGP)热待机路由器协议(HSRP)IPX和AppleTalk软件路由IS-IS路由协议IGMPv1, v2和v3接入和中继端口上的IGMP过滤IP组播路由协议(协议无关型组播PIM、特定源组播SSM、距离向量组播路由协议DVMRP)实际通用组播(PGM)思科群组管理协议(GMP)服务器全面互联网控制信息协议(ICMP)支持ICMP路由器发现协议基于策略的路由(PBR)虚拟路由转发-lite (VRF-lite)IPv6软件交换支持学院路校区路由器：表2-4优势说明服务集成 Cisco 3900 系列路由器提高了与语音、视频、安全、移动性和数据服务的服务集成级别。 Cisco 3900 系列是 Cisco ISR G2 产品组合中具有最高性能和插槽密度的路由器，使您可以最大化服务集成，减少整体投资和运营成本。按需服务 每个 ISR G2 上安装一个 Cisco IOS（思科网际操作系统）软件通用映像。通用映像包含可通过软件许可证激活的所有思科网际操作系统技术集。这样，您的企业可以快速部署高级功能，而无需下载新的网际操作系统映像。此外，还包括较大的默认内存以支持新功能。 思科服务就绪引擎 (SRE) 支持新的运营模型，通过此模型可减少投资成本 (CapEx) 并根据需要在单个集成计算服务模块上部署各种应用服务。高性能的集成服务 Cisco 3900 系列可在高速广域网环境中部署，并启用并发服务（Cisco 3945 为 150 Mbps，Cisco 3925 为 100 Mbps）。 多千兆光纤 (MGF) 可实现高带宽模块到模块通信，不会影响路由器性能。网络灵活性 Cisco 3900 系列设计为满足客户业务需求，其模块化架构可随网络需求增长提高容量和性能。 业务性能引擎 (SPE) 模块化主板允许升级到未来的处理能力。 双集成电源提供电源冗余或者可配置为向端点提供额外的增强型以太网供电 (ePOE) 电源。 模块化接口可提供更大的带宽、各种连接选项以及网络弹性。无线控制器：表2-5FeatureBenefitsScalability Supports 12, 25, 50,100, 250, or 500 access points for business-critical wireless services at locations of all sizesHigh Performance Wired speed, nonblocking performance for 802.11n networksRF Management Provides both real-time and historical information about RF interference impacting network performance across controllers, via systemwide Cisco CleanAir technology integrationOfficeExtend Supports corporate wireless service for mobile and remote workers with secure wired tunnels to the Cisco Aironet 1130 or 1140 Series Access Points Extends the corporate network to remote locations with minimal setup and maintenance requirements (zero-touch deployment) Improves productivity and collaboration at remote site locations Separate SSID tunnels allow both corporate and personal Internet access Reduced CO2 emissions from decrease in commuting Higher employee job satisfaction from ability to work at home Improves business resiliency by providing continuous, secure connectivity in the event of disasters, pandemics, or inclement weatherComprehensive End-to-End Security Offers Control and Provisioning of Wireless Access Points (CAPWAP) compliant DTLS encryption to ensure full-line-rate encryption between access points and controllers across remote WAN/LAN linksEnterprise Wireless Mesh Allows access points to dynamically establish wireless connections without the need for a physical connection t