XX校园网设计方案.doc

怀化学院校园网整体设计方案XX学院校园网整体设计方案20067XX院院办网络中心序因为高校行业的特殊性，导致建设校园网不能走社会上个人和团体入网的网络建设方案和运营模式的老路，我公司在做怀化学院校园网设计方案时，在省内高校进行了一些调查，因高校对网络应用和管理的特殊性，导致网络建设的需求不同于电信运营商建设社会性网络。所以我公司在做怀化学院校园网设计方案时，在省内一些高校进行了调查，调查中发现80%的学校在使用星网锐捷的网络解决方案，我们在和华为的设备对比，锐捷的网络产品在注重网络链路层和网络应用的同时，更注重的是接入层的管理和整体的安全系统。在便于网络管理、提高工作效率，有效控制攻击和病毒对网络的影响，降低维护成本，发挥管理员的主观能动性、控制用户使用网络记费等方面做的很有特色，更能适应学校网络建设的需要。所以我公司根据学校实际情况，拟采用锐捷公司的网络产品进行怀化学院校园网建设。网络建设原则与目标11网络建设原则1.1.1 安全性网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，锐捷网络充分考虑安全性，针对教育行业网络的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定、802.1x用户访问控制、802.1d、802.1w、802.1s冗余链路保护等，另外还具有良好的防病毒能力，提高整个网络的安全性，保证内外网安全。1.1.2 先进性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位，采用千兆以太网技术构建网络主干、支干线路。 1.1.3扩展性系统必须具有良好的可扩充性，在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，跟踪网络发展的前沿方向，符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统。1.1.4 高性能网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。1.1.5可运营为了让校园网能够良性、稳定、持续、健康的发展，并收回网络建设成本，学校或运营商需要对校园网进行运营，通过对上网的学生用户收取一定的费用来达到“以网养网”的目的，并要求运营系统能够贴近校园用户的应用模式，方便维护和管理。1.1.6 规范化和标准化网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。2.2 网络建设目标通过以上的网络建设原则，本次校园网建设要实现以下目标：1) 东西校区各设一个千兆互联网出口，解决出口瓶颈问题；2) 双出口,双核心,双链路实现东西校区的稳固互联，确保链路的带宽及稳定性；3) 东西校区可以根据需求达到不同区域使用不同的出口访问互联网；4) 科学规划网络结构，合理配备核心层和汇聚层网络设备与端口，保证核心网络设备和线路适当冗余，优化接入层网络设备，建设千兆主干、百兆到桌面的高效校园网络；5) 合理部署网络安全措施，建立有效的网络安全防范和响应机制，为网络安全管理提供在线监控、事后可查的技术手段，防止私设代理和盗用IP地址现象，提高网络安全性；6) 建立全网统一管理系统，包含对网络用户、网络设备、网络安全的统一管理和配置；建立高效的网络性能监视与预警机制；同时建立配套的软硬件平台。7) 全面支持IPV6,可平滑过度到IPV6,保证设备的投资；8) 建立全局化、智能化的安全体系，从接入层的基于端口的安全策略，到汇聚再到核心，病毒及非法网络行为进行监控和预制策略，预警功能。9) 将学院的教工宿舍“金海花园”纳入校园网内，可以访问图书馆资源和中国期刊网等众多校内学术资源。10) 学生宿舍联网并接入校园网内。s5750-24sfp/gk网络设计3.1 东西校区互联网出口设计 本次设计，东西校区各设一个1000M互联网出口，我们电信网络，在怀化市内有自己的城域环网，保证这两个1000M互联网出口不是出自同一个模块局，确保出口线路冗余。3.2东西校区互联的设计由于目前学校东校区的网络中心还未建成，暂时将东西两个校园的核心设备放在西区的网络中心，东区的汇聚设备都通过两对光纤形成的双链路与两个核心互连。东区网络中心造成后东区设备转放东区网络中心机房。3.3网络架构的设计目前网络架构有单核心单链路、双核心双链路、二层架构、三层架构、四层架构等多种网络架构，结合学院的实际情况以及网络技术的发展，我们选择双核心双链路的架构，这样不仅在链路上确保网络稳定高效、在设备上也可实现稳定与高效；同时选择三层架构：（1） 分流核心数据处理能力、降低核心路由交换压力；（2） 更好抑制广播风暴、提升网络性能；（3） 终结各VLAN信息、增强核心路由管理能力；（4） 网络层次结构更加完善、可汇总路由，降低核心路由表项；（5） 安全性更高，更强的预防和控制，对网络攻击、病毒和破坏尽量控制在边缘完成；（6） 扩展性更强、快速定位故障点、更易于管理；（7） 各接入层内部通讯量大，无需通过核心处理时（内部网络游戏等），采用三层结构更加合理；（8） 可靠性更强，可以通过汇聚层双链路上联双核心构成环状结构，全网架构更加健壮，提升网络高可用性。我们采用了接入堆叠小区域汇聚核心这种双核心双链路的三层结构架构：采用千兆可堆叠高性能网管交换机。交换机通过内部堆叠后上联片区汇聚节点。1、 节省投资成本2、 扩展灵活，通过增加堆叠组内交换机或增加堆叠组来扩展接入信息点。3、 支持多种访问控制功能和802.1x功能，可灵活方便的控制楼栋内部之间的访问限制。4、 减少网络层次架构，加速数据传输，提高网络数据转发性能。5、 充分利用片区汇聚节点的高性能数据转发，高稳定可靠基础，对每个楼栋之间的控制，可以在片区汇聚节点连接各楼栋的千兆接口上实现，如访问控制，防DDoS攻击，防恶意IP扫描等等，不影响数据转发性能。6、 楼栋内部各楼层之间的数据通过堆叠方式（千兆以上带宽）相互访问，加速内部访问和数据传输速度。7、 环型冗余方式堆叠，没有单点故障和性能瓶颈。8、 堆叠后多台设备会虚拟成一台设备进行管理，大大提高管理效率。9、 千兆堆叠可网管交换机是目前高校网络建设主流使用的接入设备，因此在未来发展中设备延续使用性强。架构缺点：堆叠台数一般不超过6台，需要超过6台的地区增加新的堆叠组进行信息点扩展。双核心双链路的三层结构，具体如下图所示：3.3 网络安全设计今天的网络安全正遭受严峻挑战。病毒、外部入侵（黑客）、拒绝服务攻击、内部的误用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安全。但与此同时，大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的攻击时，由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出，还会处处被动挨打。可以断言：面对复杂的安全隐患，这种“各自为战”的安全系统已彻底失去效力。今天，网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转“各自为战”的被动局面，唯有用全局化、智能化的安全体系代替陈旧的安防措施。我公司采用了2004年底，业界领先的网络设备及解决方案供应商锐捷网络率先发布了集自动防御（自御）、自动修复（自愈）与自动学习（自育）等三大自“YU”功能于一体的GSN全局安全网络解决方案。GSN强调“多兵种协同作战”，将安全结构覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（用户PC、服务器等），成为一个全局化的网络安全综合体系。在此基础上，GSN不仅能够满足现阶段网络安全环境的需求，同时也为今后可能发生的安全威胁做出了准备。总体而言，GSN由锐捷安全交换机、安全客户端、安全管理平台、用户认证系统、安全修复系统、VPN客户端、RG-IPS入侵检测系统等多重网络元素组成，实现同一网络环境下的全局联动，使网络中的每个设备都在发挥着安全防护的作用，构成“多兵种协同作战”的全新安全体系。GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中，达到对网络安全威胁的自动防御，网络受损系统的自动修复，同时可针对网络环境的变化和新的网络行为自动学习，从而达到对未知网络安全事件的防范。其基本原理和结构图如下：（图1 GSN基本原理）l 网络自动防御（自御）面对复杂的网络安全行为，最有效的防御策略即是将网络安全防御技术应用于在整个网络中，而不是在单点进行网络安全的防护部署。因为攻击源可能来自网络的任何一处，并能迅速的扩散到整个网络当中。GSN提高了现有网络基础设施的安全防护能力，增强了终端用户的安全防护能力。当接入网络的用户终端发生安全攻击事件时，安全管理平台（RG-SMP）将针对这一安全事件进行判断，以确认选择调用何种安全策略来处理。安全管理平台（RG-SMP）将自动把安全策略下发到安全事件发生的网络区域，安全策略的执行者可以是锐捷网络联动设备，根据安全事件的等级由安全管理平台（RG-SMP）判断是否需要将安全策略同步到网络的区域中，以实现全网安全。同时，安全管理平台会把针对这次安全事件的处理情况通知给用户终端，使用户能够及时了解到网络安全环境的变化。通过这个流程，网络可以对已发生的安全行为进行完全自动化的防御措施，从而保证用户网络在受到威胁时可以迅速做出连动反应。（图2 GSN自动防御）l 网络自动修复（自愈）随着网络连接点的不断增加，网络遭遇攻击的风险也随之增加。一旦网络遭受攻击，所产生的严重后果不仅在于破坏本身，灾难之后的系统恢复和调试同样消耗了大量宝贵的时间和人力、财力。GSN提供的自动修复（自愈）功能，即能够通过自动使受损系统得以恢复的方式为用户节约大量的IT技术人力资源，并保证即使在系统不断遭受攻击时，网络的大部分资源仍时刻处在正常使用状态下。当用户终端接入网络时，系统会自动检测终端用户的安全状态，一旦检测到用户系统存在安全漏洞，安全管理平台（RG-SMP）会通过网络自动将受损用户从网络正常区域中隔离开来，被隔离的用户将被自动置于系统修复区域。此时用户终会根据安全管理平台提供的信息自动连接到RG-RES安全修复系统上进行系统修复，修复期间系统会把受到访问控制的情况通知用户。自动修复完成，系统会重新对用户系统进行评估，当用户系统安全评估完成以后，安全管理平台（RG-SMP）将通过允许用户进入网络继续工作。（图3 GSN自动修复）l 网络自动学习（自育）在常规的网络安全防护方案中，判断一个网络是否产生安全事件的标准经常是某个网络行为符合了安全隐患的特征，从而将针对这个行为发生一连串的动作。但目前往往对网络产生最大威胁的是未知的网络行为对网络产生的危害，当遇到此类的攻击以后，一般的网络安全方案将无能为力。而在配备GSN全局安全措施的网络环境中，GSN可以针对网络安全环境的变化不断调整和强化，有效协助网络管理员进行网络安全隐患的判断。当网络中有新的网络访问行为时，该行为的相关信息会被网络联动设备有效捕获，并通过E-MAIL、管理日志等方式通知管理员。同时GSN能及时的捕获到网络的环境变化，一旦检测到网络流量异常，联动设备会自动截取网络流量报文进行分析，从而有效的阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全策略会自动匹配到系统当中。在今后发生同样的网络访问行为时，系统就能自动调用相应的安全策略来处理，从而达到不断根据网络安全形势强化系统安全性的安全策略自动学习功能。（图3 GSN自动学习）所以为了确保校区网络的安全，我们校区网络建设时采用GSN方案来确保校区的网络安全。3.4 网络出口流量控制设计目前越来越多的下载软件导致网络出口带宽严重不足，如现在的P2P软件的使用造成了很多高校网络出口带宽的严重不足。出现这样问题的原因是目前对P2P软件没有一个很好的控制手段，如P2P软件是大家比较认可的一个下载软件，但是过多的使用会造成出口瓶颈，而且P2P软件现在使用的端口号不固定且没有特征码，所以想要对其限制也是一个比较头痛的问题。针对这样的问题，我们认为对P2P软件的使用最好的方式不是针对流量进行计费，而是一种针对P2P应用的管理与控制手段我公司结合目前我院的认证计费系统，对用户进行流量的控制，以控制由于用户过多使用P2P软件下载造成出口带宽的不足的现象，具体如下：3.5 网络管理设计随着学校网络规模的不断扩大，现在不仅需要对网络设备进行集中统一的管理，同时还需要对用户进行集中统一的管理。4.1 网络拓扑图4.2 网络设计说明根据学院的实际情况，并考虑到未来的发展趋势，需要建立一个统一的信息传输网络，满足数据、语音、视频、图像、多媒体等相关教育信息的传输，可以实现计算机管理系统、办公自动化系统、多媒体教学系统、数字图书馆和上网访问（Internet）等应用。为了保护投资，原有校园网部分我们依然采用原有设备和结构。东西校区的互连根据前文所述，东西校区的互连我们采用双链路光纤冗余互连，分别将东西校区的核心交换机进行互连，同时全校启用动态路由OSPF的方式，确保新老校区稳定可靠。网络出口网络出口采用1000M双出口，由于学校飞速发展，地域不断扩大，现在已经有两个校区，为了使整个网络便于管理，合理规划出口，东校区用户上网的时候信息是由东校区的出口出去，西校区用户上是通过西校区出口出去，如果任何一个出口出现问题，则用户将由另一个出口出去，确保出口的稳定和安全。同时考虑到现有出口带宽基本都已被占满，主要是因为用户大量使用P2P软件的原因，为了解决这个问题我们采用对用户进行流量控制，以防止用户大量使用P2P软件造成网络出口带宽不足。网络架构为了能够实现骨干网络的稳定可靠，本次东西校区的网络建设我们选择双核心双链路的方式，即整个校园网采用双核心的方式，两台核心之间通过千兆单模光纤相连，同时每个区域的区域汇聚交换机通过双千兆单模光纤上联到两台核心，而每个区域内的交换机通过千兆多模链路连接各个区域的区域汇聚交换机，为了便于布线，在每栋楼的接入层上，各个不同的楼层采用不同的堆叠组进行堆叠然后上联到区域的汇聚交换机。而对于服务器群组来说，为了让用户提高访问效率的体验，我们单独采用一台服务器群组交换机，该交换机具有很强的扩展能力，并通过双千兆多模光纤与东西校区的两台核心交换机进行互联，并通过服务器群组交换机的WCMP/ECMP的功能，可以使两条链路同时按照带宽的比例都传输数据，确保用户访问服务器时的高效。网络安全为了能够更好地实现网络安全方面的控制，确保校园网内的教学、科研数据和学生管理信息不被窃取和丢失，所有连接进网络的用户必须通过了身份的检查后才能访问网络内的数据，而且各个系统运作时需要通过VLAN划分和物理路由相互隔离，和Internet连接的出口也需要部署防火墙系统来实现安全保护，以保证网络内所有数据和信息的安全。因为现有的网络安全事件已不是某一个产品或软件就能够解决的，而是需要所有网络设备进行有效的联动，一起抵御网络攻击和病毒对网络造成的影响。所以除了上述的安全保护外，同时为了进一步做到能够主动的对网络攻击、病毒的防范，以及对未知网络病毒的学习和控制，实现网络设备及软件的有效联动，我们要在东西校区部署一整套安全体系，为学院网络提供更好的安全屏障。网络高效、稳定性由于网络中心核心设备的稳定和安全性能是整个网络最重要的保障，因此必须要求核心交换机具有优良的性能和高可靠性，必须采用超大交换容量的交换背板，以保证任何情况下网络的每个端口均可具备全线速多层交换能力，能够保证传输带宽和数据传输优化等关键应用，从而为整个网络提供了稳定和快速的基础。网络运营为了能够更好的运营网络，使网络健康良性的发展，东西校区网络建设继续采用学校原有的认证方式，这样同一套系统，不仅方便运营维护及提高工作效率，同时也可使我们无需花费更多的时间来熟悉和掌握新的系统。网络管理随着网络规模的不断扩大，应用越来越多，管理已不在是以前的那种单存对网络设备进行管理的年代，现在不仅要能够对设备进行集中统一的管理，同时还要能够对接入用户进行集中统一的管理，而且随着网络安全事件的不断增多，还需要一套能够对网络安全事件进行集中统一管理的软件，这样才能够确保网络管理的高效。5.1 核心交换机选型说明根据学院校园网建设的实际情况，需要在东西校区网络中心各部署一台核心交换机，为了满足实际网络的需要和未来的升级扩展，该核心交换机要求：支持各种模块热插拔、支持多种千兆端口、支持链路聚合IEEE 802.3ad、支持三层协议、较高的背板带宽和包转发率、硬件或NP多业务卡方式支持IPV6（保证网络系统以后平滑升级）、支持三种生成树、支持802.1x、各种QOS和组播协议的支持等。根据具体情况，我们准备采用锐捷新一代多业务万兆核心路由交换机RG-S6806E，该设备具体特点如下：RG-S6806E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，拥有6个扩展插槽，RG-S6806E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。RG-S6806E多业务万兆核心路由交换机V3.X提供1.2T背板带宽，并支持将来扩展到2.4T的能力，高达428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。RG-S6806E交换机通过扩展高性能的多业务卡支持策略路由、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等业务功能，满足客户环境灵活而复杂的不同应用需求。产品特性 强大数据处理设计（SPOH设计）RG-S6806E的交换、路由、ACL、QoS等复杂功能通过硬件实现，避免了软件实现同样功能对数据高速处理的影响。管理模块执行路由管理、网络管理、网络服务等任务，用户接口模块可以独立实现硬件路由、交换和组播功能；用户交换端口则独立实现硬件ACL和QoS功能，同步式处理设计(SPOH设计)极大地提高整机处理能力。 强大的扩展能力RG-S6806E多业务万兆核心路由交换机V3.X目前提供1.2T背板带宽，在不更换机箱的情况下，未来仅通过更换管理模块可以支持背板带宽扩展到2.4T。RG-S6806E多业务万兆核心路由交换机通过扩展高性能的多业务卡，可以支持策略路由、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等功能。 高安全保障措施物理安全：RG-S6806E提供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保障措施。病毒和攻击防护：面对现在网络环境越来越多的网络病毒和攻击威胁，RG-S6806E提供强大的网络病毒和攻击防护能力，不仅提供了基于SPOH技术的ACL功能，而且还支持防源IP地址欺骗（Souce IP Spoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力。提供多端口同步监控技术，支持灵活的网络监控，提升网络监控能力设备管理安全：为了避免非管理人员登陆并操纵网络设备，造成网络传输和安全的影响，RG-S6806E提供了SSH加密登陆功能，以及telnet/web登录的源IP限制功能。接入安全：硬件支持IP、MAC、端口绑定，提高用户接入控制能力。支持802.1X技术，满足6元素绑定接入限制支持IGMP源端口检查，可有效控制非法组播源，提高网络安全。通过PVLAN（保护端口）隔离用户之间信息互通，不必占用VLAN资源。端口MAC地址锁和端口MAC地址接入数量功能可以屏蔽非法主机的接入 丰富的应用支持技术（QOS、组播）RG-S6806E提供多种流分类技术和多种QOS技术，包括SP、WRR、WFQ、WRED、CAR、HOL等，为各种应用的带宽保障提供需要的支持技术。流分类：可以依据数据流的源/目的MAC地址、源/目的三层IP地址、三层协议（IP/IPX）、四层协议（UDP/TCP）、源/目的四层协议端口号、COS、TOS对数据流进行区分，实现2/3/4层的流分类功能。数据标记：802.1p是二层协议，可以为数据提供8个级别的优先级标记；DSCP在三层的IP协议报文里进行优先级标记，可以提供64个级别的优先标记。队列调度：严格优先级队列SP保证高优先级业务总是在低优先级业务之前处理；WRR是一种加权循环队列调度机制，首先处理高优先级，但在处理高优先级业务时，较低优先级的业务并没有被完全阻塞，而是按一定的比例同时进行。WFQ是加权公平队列，对所有的数据流进行排队，监控吞吐率，并根据发送的信息量分配权值。WFQ试图公平地为每个对话分配带宽，保证低带宽应用可以获得对接口的访问权，而不会被高带宽应用全部占用。拥塞控制：WRED加权随机早期检测协议，可以设置各个数据流在拥塞发生之前自动丢失数据的阀值，避免较高优先级应用的拥塞丢失。HOL通过消除HOL阻塞确保最高可能的吞吐量；最大限度地减少包丢失，减少多路传输和广播流量拥塞承诺信息速率：CAR可以为重要的数据流设定固定的带宽，如果设定的带宽合理，满足该数据流的需求，就可以保证重要数据流的正常转发。提供多种组播支持技术，包括IGMP snooping、IGMP、PIM（SM、DM），DVMRP，保证了网络中提供组播服务时的带宽合理占用。 支持领先的万兆以太网技术（IEEE802.3AE、IEEE802.3AK）万兆以太网采用了IEEE802.3以太网媒体访问控制（MAC）协议、IEEE802.3以太网帧格式，以及IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步，采用全双工技术，不需要应用低速的、半双工的CSMA/CD协议。在其他方面，万兆以太网保留了初期以太网模型的精髓，因而可以和现有以太网环境无缝融合，支持客户已有应用。RG-S6806E提供目前主流的四种万兆局域网传输标准：10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4，四种传输标准在数据链路层以上都相同，差别在于物理层。10GBASE-R和10GBASE-CX4用于传统的以太网环境，10GBASE-R采用光纤作为传输介质，10GBASE-CX4采用同轴铜缆作为传输介质，而10GBASE-W可与OC-192电路、SONET/SDH设备一起运行，保护传统基础投资，使运营商能够在不同地区通过城域网提供端到端以太网。10GBSE-LX4则使用WDM波分复用技术进行数据传输。 支持L2 VPN（QINQ）RG-S6806E支持Service Provider vlan(Double Tagging、VLAN tunnel)，允许对交换数据进行二次VLAN标识，外层标识用于创建VPN，提供链路选择，内层标识用于标识业务VLAN信息，实现在以太网环境中的L2 VPN，解决了传统以太网环境无法提供数据传输安全控制的问题。 ECMP/WCMP（Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing）存在多条不同链路到达同一目的地址的网络环境中，如果使用传统的路由技术，发往该目地址的数据包只能利用其中的一条链路，其它链路处于备份状态或无效状态，并且在动态路由环境下相互的切换需要一定时间，而等值多路径路由协议和权重多路径路由协议可以在该网络环境下同时使用多条链路，不仅增加了传输带宽，并且可以无时延无丢包地备份失效链路的数据传输。 最长匹配（LPM）三层交换技术在传统的硬件三层交换机中采用“一次路由、多次交换”的路由技术，并且使用精确流匹配方式进行硬件三层转发，大量耗费CPU资源，并且占用大量的硬件存储资源。最长匹配（LPM）三层交换技术可以解决传统方式“多次交换”中采用精确流匹配”而带来存储空间压力过大的问题。最长匹配（LPM）技术支持直连路由、静态路由、动态学习到的路由都直接以网段形式存储于硬件转发表，一个目的网段使用一个转发表项，而不明目的网段IP地址的数据包直接通过硬件缺省路由转发。因此，LPM技术的优点是极大地节约存储空间，拥有硬件缺省路由，所以，病毒和攻击数据包可以通过硬件网段路由或缺省路由进行转发，不增加额外的硬件表项，避免了存储溢出问题，保障设备的正常运行。 支持完善的双核心技术RG-S6806E支持包括802.1D、802.1W、802.1S在内的多种生成树协议以及虚拟路由协议VRRP，提供完善的双核心保障技术。技术参数技术参数RG-S6806E模块插槽6个（2个用于管理引擎模块）背板1.2T（可扩展2.4T）（V3.x）交换容量（V3.x引擎）包转发速率L2/L3：（V3.x引擎）路由表项256K802.1q VLAN4KL2协议IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ae、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.3ab、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S 、port mirror、IGMP SNOOPING 、Aggregate port、GVRP、jumbo frame(9Kbytes)、QINQL3协议BGP4、OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、 DVMRP、 PIM-SM/DM、PIM-SSM、LPM Routing、Policy-based Routing、ECMP、WCMP病毒攻击防护全面的ACL、防源IP地址欺骗（Souce IP Spoofing）、防DOS攻击（Synflood，Smurf），防扫描（PingSweep）管理方式SNMP v1/v2/v3、Telnet、Console、CLI、RMON、SSH其它协议SNTP、VRRP、BootP/DHCP client、ARP PROXY、DHCP relay、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect、Syslog尺寸（长x宽x高）445 mm x 445mm x 980mm电源100VAC240VAC，50Hz60Hz，功率:1200WMTBF 200,000 hours温度工作温度：0 到 40存储温度：-40 到 70湿度工作湿度: 10% 到 90% RH存储湿度: 5% 到 95% RH典型应用 可扩万兆的千兆IP核心网l 利用RG-S6806E强大的数据处理能力提供各分支机构的高速互连l 利用多条光纤链路连接成网状，提供高度安全的网络连接l 使用OSPF路由协议，配合ECMP/WCMP路由协议，可以充分利用各链路并且提供实时的链路备份需求l 通过简单地增加万兆模块可以平滑地升级到万兆IP核心网，保护用户投资 可扩万兆的千兆双核心网l 通过两台RG-S6806E之间的链路冗余备份和负载均衡（802.1SVRRP）提供安全可靠的网络构架l 通过RG-S6806E丰富的安全保障技术提供一个全网概念的整体网络安全l 通过策略路由功能支持多ISP出口的负载均衡和冗余备份l 通过简单地增加万兆模块可以平滑升级到万兆骨干网，保护用户投资5.2 服务器群组交换机选型说明学院现在的服务器群组都是在连接在一台100M傻瓜式二层交换机上的。已不能适用新的网络应用需求，需要在网络中心部署一台服务器群组交换机，为了满足实际网络的需要和未来的升级扩展，该核心交换机要求：支持万兆扩展端口、千兆端口、支持链路聚合IEEE 802.3ad、支持三层协议、较高的背板带宽和包转发率、支持三种生成树、支持802.1x、各种QOS和组播协议的支持等。根据具体情况，我们采用锐捷安全智能万兆多层交换机RG-S5750-24GT/12SFP，该设备具体特点如下：RG-S5750系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。 该系列交换机接口形式和组合非常灵活，可提供24个10/100/1000M自适应的千兆电口，和灵活复用的高密度千兆SFP光纤连接，满足网络建设中不同介质的连接需要，同时为满足网络的弹性扩展，和高带宽传输需要，可灵活弹性扩展多种类型的万兆模块。特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器接入的使用。该系列交换机硬件支持多层线速交换，并提供了丰富而完善的路由协议，以适合大型网络多种路由和高性能的需要。RG-S5750系列交换机提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理使用网络资源，充分保障网络安全、网络合理化使用和运营，并可以根据网络实际使用环境，实施灵活多样的安全控制策略。RG-S5750系列交换机以极高的性价比为大型网络汇聚和中型网络核心提供了多层交换、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网需求。产品特性： 高性能多层交换l 高背板带宽为所有的端口提供非阻塞性能；l 丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要；l 基于LPM硬件路由转发方式使得RG-S5750系列不仅适用于大型网络环境，而且可防御各种网络病毒的侵袭，保障所有报文的线速转发，有效保证了设备的安全性；l 硬件支持多层线速交换，能够识别二到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。 灵活完备的安全控制l 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描机制等，还网络一片绿色；l 硬件实现端口与MAC地址和用户IP地址的灵活绑定，严格限定端口上的用户接入;l 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN资源；l 基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；l 基于端口速率百分比和基于速率pps的广播风暴抑制功能，确保网络稳定安全；l SSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；l 控制非法用户使用网络，保证合法用户合理化使用网络，如端口安全、端口隔离、专家级ACL、时间ACL、基于数据流的带宽限速、六元素绑定等等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。 丰富的组播特性l 支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进行大量多播服务的环境，实现网络的可扩展和多业务应用；l 支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的安全性；l 支持IGMPv1/v2/v3全部版本，适应不同组播环境，满足组播安全应用的需要。 完善的QoS策略l 以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；l 具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级、流量管理，流量整形等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供流量限速千兆端口粒度达64Kbps，万兆端口粒度达1Mbps。 高可靠性l 支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；l 支持VRRP虚拟路由器冗余协议，有效保障网络稳定；l 支持锐捷网络的可选冗余电源系统STAR-RPS，可为S5750系列设备提供卓越的电源冗余，提高容错能力和网络正常运行时间。 方便易用易管理l 灵活复用的多种千兆形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择；l 为满足网络灵活弹性扩展和高带宽传输需要，简单选配多种类型的万兆模块，网络即可平滑升级到万兆上链骨干；l 简单网络时间协议（SNTP）保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；l Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；l 多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；l CLI界面，方便高级用户配置和使用；可提供Xmodem、FTP、TFTP等多种加载升级方式，方便用户使用；l Java-based Web管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。技术参数：产品型号RG-S5750-24GT/12SFP固定端口24端口10/100/1000M自适应端口，12个复用的SFP接口，2个扩展槽可用模块Mini-GBIC-SX：单口1000BASE-SXmini GBIC转换模块（LC接口）；Mini-GBIC-LX：单口1000BASE-LXmini GBIC转换模块（LC接口）；Mini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50km；Mini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80km1端口XENPAK接口万兆转接板1端口XFP接口万兆转接板万兆光纤接口模块（300米），配合M5700-01XENPAK转接板使用万兆光纤LR接口模块（10公里），配合M5700-01XENPAK转接板使用万兆光纤ER接口模块（40公里），配合M5700-01XENPAK转接板使用万兆光纤SR接口模块（300米），配合M5700-01XFP转接板使用万兆光纤LR接口模块（10公里），配合M5700-01XFP转接板使用万兆光纤ER接口模块（40公里），配合M5700-01XFP转接板使用背板240Gbps包转发速率L2：线速（66Mpps）L3：线速（66Mpps）MAC16K802.1q VLAN4KACL标准IP ACL（基于IP地址的硬件ACL）、扩展IP ACL（基于IP地址、TCP/UDP端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL （可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL）L2协议IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q (GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3、LLDPDefeat DoS Attack支持Defeat IP Scan支持L3协议OSPF、ECMP/WCMP、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3管理协议SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet /Console)、RMON(1,2,3,9)、集群、SSH、SNTP、Syslog其它协议DHCP Relay、DNS ClientJumbo Frame支持尺寸（长 宽高）440 43544mm电源176VAC264VAC48Hz60Hz温度工作温度: 0C 到 40C存储温度: -40C 到 70C湿度工作湿度: 10% 到 90% RH存储湿度: 5% 到 90% RH5.3区域汇聚交换机选型说明根据学院实际情况，为了满足实际网络环境的需要，区域汇聚交换机都要求：支持千兆端口、支持链路聚合IEEE 802.3ad、支持三层协议、较高的背板带宽和包转发率、支持三种生成树、支持802.1x、各种QOS和组播协议的支持等。我们采用锐捷全千兆智能多层交换机STAR-RG-S5750-24GT/12SFP做区域汇聚，该设备具体特点如下：STAR-S3550-24G是一款线速全千兆智能多层交换机，能提供多GBIC插槽，最多可提供24个GBIC插槽，GBIC插槽支持千兆铜缆、光纤扩展模块，支持模块热插拔，极大方便用户灵活配置网络。该系列交换机硬件支持2至4层的多层线速交换，提供二到七层的智能的流分类和和完善的服务质量（QoS）以及组播管理特性，支持完善的高性能路由协议，并可以实施灵活多样的ACL访问控制策略。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。S3550-24G以极高的性价比为各类型网络提供线速多层交换、完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。产品特性： 高性能多层交换l 72G背板带宽为所有的端口提供非阻塞性能；l 硬件支持多层线速交换，能够识别、处理四层以上的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。 完备的安全控制l 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客和病毒IP扫描机制等，还网络一片绿色；l 硬件实现端口与MAC地址和用户IP地址的绑定；l 通过保护端口即可方便简单地隔离用户之间信息互通，不必占用VLAN资源；l 基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；l 提供加密传输的Secure Shell（SSH），保证管理设备信息的安全性，防止黑客攻击和控制设备；l 高安全性，具有端口安全、动态地址锁、端口隔离、用户接入认证（802.1x）、专家级ACL控制、基于数据流的带宽限速等多种安全措施，满足企业网加强对访问者进行控制、限制非授权用户通信的需求。 丰富的组播特性l 支持各种单播和组播动态路由协议，可适应不同的网络规模，和需要进行大量多播服务的环境，实现网络的可扩展；l 支持IGMP源端口检查功能，有效地杜绝非法的组播源，提高网络的安全性。 完善的QoS策略l 以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；l 具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务； 高可靠性l 支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道；l 支持VRRP虚拟路由器冗余协议，构建故障时的冗余路由拓扑结构，保持通讯的连续性和可靠性，有效保障网络稳定；l 支持锐捷网络的可选冗余电源系统STAR-RPS，可为6台S3550-12G/S3550-24G以S3550-12SFP/GT系列网络设备提供卓越的电源冗余，提高容错能力和网络正常运行时间。 方便易用易管理l 全GBIC架构，可选配多种规格千兆接口模块，支持千兆铜缆、单/多模光纤接口模块的混合配置，支持模块热插拔，极大方便用户灵活配置和扩展网络；l 独特的集群管理，通过一台命令交换机即可管理多达20台的汇聚层和接入层设备S3550系列和S21系列交换机，无论交换机是否在同一配线间和布线室，都能得到统一管理；l 强大的集群管理方式使得网络的维护工作变得非常方便和简单，只需配置1个IP地址，即可统一管理多台设备，不仅成倍节省了IP地址空间，而且维护和管理量也得到极大降低；l 多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；l 支持业界领先的EAPS功能，实现网络的高可用性；l CLI界面，方便