广东国防科技高级技工学校校园网网络改造方案

1、广东省国防科技高级技工学校广东省国防科技高级技工学校万兆安全校园网解决方案万兆安全校园网解决方案神州数码网络有限公司神州数码网络有限公司20092009 年年 5 5 月月本次网络建设的实现的主要功能指标本次网络建设的实现的主要功能指标本设计方案为了建设一流的数字化网络环境，数字化的教育与学习环境，数字本设计方案为了建设一流的数字化网络环境，数字化的教育与学习环境，数字化的管理手段和工作环境，实现数字化的学习、数字化教学、数字化科研和数字化化的管理手段和工作环境，实现数字化的学习、数字化教学、数字化科研和数字化管理，创造数字化的的生活空间，实现教育的信息化和现代化，广东省国防科技高管理，创造数

2、字化的的生活空间，实现教育的信息化和现代化，广东省国防科技高级技工学校的网络信息系统可以实现的主要功能指标包括：级技工学校的网络信息系统可以实现的主要功能指标包括：一、一、方案的成熟稳定性方案的成熟稳定性本次网络方案充分参考了广州大学城华南理工大学、广州大学、广州中医药大学本次网络方案充分参考了广州大学城华南理工大学、广州大学、广州中医药大学等高校网络建设的经验，不论在网络架构的设计、网络设备的选型，还是应用系统等高校网络建设的经验，不论在网络架构的设计、网络设备的选型，还是应用系统的设计上，都取他人成功之处，确保网络方案的成熟稳定。的设计上，都取他人成功之处，确保网络方案的成熟稳定。二、二、

3、技术方案的先进性技术方案的先进性本方案中选用的都是目前业界集成了最先进技术的网络设备，比如本方案中选用的都是目前业界集成了最先进技术的网络设备，比如 IPv6IPv6 高性能高性能万兆路由交换机、多核的高性能防火墙等，打造了先进的万兆路由交换机、多核的高性能防火墙等，打造了先进的 IPv6/IPv6/ IPv4IPv4 双栈、万兆校双栈、万兆校园网络，同时通过最新一代的多核产品进行网络出口流量监控管理，等等，都让我园网络，同时通过最新一代的多核产品进行网络出口流量监控管理，等等，都让我校的校园网络高性能、可管理等得到体现，在技术保持领先。校的校园网络高性能、可管理等得到体现，在技术保持领先。三

4、、三、网络的安全可靠性网络的安全可靠性网络的安全可靠性不仅从网络设备、物理链路等方案体现，比如核心设备的多方网络的安全可靠性不仅从网络设备、物理链路等方案体现，比如核心设备的多方面的冗余设计、备份设计，同时从网络的用户网络行为、网络流量安全监管等方面面的冗余设计、备份设计，同时从网络的用户网络行为、网络流量安全监管等方面得到保障。得到保障。网络用户的接入认证、远程用户的网络用户的接入认证、远程用户的 VPNVPN 安全接入（数字证书的认证）安全接入（数字证书的认证） 、网络防病、网络防病毒等全面的安全设计，都是一个信息安全平台的强有力的保障。毒等全面的安全设计，都是一个信息安全平台的强有力的保

5、障。四、四、对学校应用系统的强有力的支撑对学校应用系统的强有力的支撑网络服务应用，对学校应用系统提供信息安全平台，为实现数字化校园奠定基网络服务应用，对学校应用系统提供信息安全平台，为实现数字化校园奠定基础，保证学校的各种业务，如科研业务、教学业务、管理业务、各种服务保障业务、础，保证学校的各种业务，如科研业务、教学业务、管理业务、各种服务保障业务、政工业务等，都可以稳定、有序的开展，使学校的各项管理工作再上一个台阶。政工业务等，都可以稳定、有序的开展，使学校的各项管理工作再上一个台阶。目目 录录第一章 广东省国防科技高级技工学校校园网络升级目标 .2第二章 广东省国防科技高级技工学校新校区校

6、园网方案设计说明 .3一、校园网设计思想实现说明.3二、网络主干技术选择.4三、主要网络设备选型分析.4网络中心交换机技术参数要求 .4网络汇聚交换机技术参数要求 .5网络接入交换机技术参数要求 .5网管软件技术参数要求 .6防火墙技术参数要求 .7第三章 校园网络的详细设计 .8一、总体网络拓扑及说明.8网络核心层建议方案 .9网络汇聚层建议方案 .10网络接入层建议方案 .11二、校园网边界防御的设计.12三、校园网络网络管理的设计.13系统特点 .14主要功能 .15四、网络安全、无线系统的设计.19网络安全的设计 .19无线网络的设计 .22第四章 万兆双栈安全校园网的特点 .28一、

7、“三高”网络.28二、分布式双栈园区网.28三、节约型网络.28四、安全可信网络.29五、流量可控网络.30六、有线无线一体化网络.32第五章 校园网络升级设备建议清单 .33第六章 方案涉及产品介绍彩页 .35第一章第一章第一章第一章 广东省国防科技高级技工学校校园网络广东省国防科技高级技工学校校园网络广东省国防科技高级技工学校校园网络广东省国防科技高级技工学校校园网络升级目标升级目标升级目标升级目标国防技工学校随着近几年的快速发展、与外界交流的增加，以及网络应用的多样化，使现有校园网环境无法满足急剧增长的用户需求。因此，本次建设从基础设施升级扩容、信息资源建设、网络应用等三个方面对校园网进

8、行改造，以推进学院的数字化信息化建设，使校园网充分发挥效益。此次校园网升级主要目标如下：1. 骨干提速，建立全万兆骨干；2. 高安全、高性能和高扩展性；3. 精确的网络流量控制；4. 高速的校园网出口；5. 智能的网络管理；6. 增设无线上网，为师生提供便利；7. 先进技术充分应用，如 IPV6 的支持等等；按照在本次网络的建设目标， 神州数码参照了数字化校园的建设模型，本着“应用源于需求，一切为用户着想”的网络设计原则，和对学校信息化的精辟理解，提出了万兆双栈的数字化网络解决方案。本次网络工程采用成熟的万兆以太网技术作为网络主干，部署 IPv6、IPv4 双栈，构建新的校园网。第二章第二章第

9、二章第二章 广东省国防科技高级技工学校新校区校园网广东省国防科技高级技工学校新校区校园网广东省国防科技高级技工学校新校区校园网广东省国防科技高级技工学校新校区校园网方案方案方案方案设计说明设计说明设计说明设计说明一、一、 校园网设计思想实现说明校园网设计思想实现说明整个校园网的布线系统原则是： 以开放式结构化综合布线系统为基础，依据国家标准CECS 72:97（建筑与建筑群综合布线系统项目设计规范）及国际EIA/TIA 586标准作设计。在设计时，充分考虑到未来的高速网络技术的可能性，保证系统在相当一段时间内能满足用户的需要。 楼栋与楼栋之间全部采用单膜光纤 楼内的水平布线采用超5类的双绞线校

10、园网络的设计思想是： 校园网络采用成熟、稳定的三层体系结构：核心层、汇聚层、接入层，简单的实现扩展。 分布方式为：网络中心放置核心交换机，学校的每个楼栋（超过100个信息点）都放置一台汇聚交换机，楼层为接入交换机。 整个校园网络采用两台高性能万兆路由交换机做双核心，核心交换机要支持交换引擎、电源等多方面冗余和负载均衡的能力。 在汇聚层采用支持万兆上联的路由交换机，采用单模光纤与核心的两台交换机连接。 接入层全部采用端口的安全、智能接入交换机，每台都通过千兆铜缆连接到各楼栋的汇聚交换机，在实现高性能的同时，实现接入的安全和身份认证功能。 在整个网络的出口采用了千兆高性能防火墙，支持双出口的流量管

11、理。 网络的管理包括：网络管理系统和用户认证管理系统两部分。 整个网络的骨干部分应该设计成冗余模式，提高网络的可靠性。 无线网络作为有线网络的补充 要为将来的网络扩展预留二、二、 网络主干技术选择网络主干技术选择结合国内高校校园网建设情况和广东省国防科技高级技工学校实际建设需求，在本规划建议书中采用以太网的方式进行校园网搭建。网络主干选择万兆以太网，千兆接入网络主干选择万兆以太网，千兆接入（部分仍采用百兆） 。选择合适的光纤接口模块，还可以将个别远距离的接入点联入骨干网。 核心交换机与接入层交换机之间的连接核心交换机与接入层交换机之间的连接核心交换机与分布在各个楼的汇聚层交换机通过万兆以太网连

12、接，条件许可的时候也可以采用主干聚集技术连接或者生成树协议（Spanning Tree）的冗余链路连接，保证网络的通畅。 核心交换机与服务器之间的连接核心交换机与服务器之间的连接核心交换机与关键任务服务器之间以前通常采用千兆以太网技术进行连接，在全双工条件下提供2000M的带宽。 部门交换机与桌面用户部门交换机与桌面用户部门交换机与桌面用户之间通常采用10/100/1000Mbps以太网连接,考虑到方案的整体成本，部分地方用户仍采用10/100M接入。三、三、 主要网络设备选型分析主要网络设备选型分析网络中心交换机技术参数要求网络中心交换机技术参数要求在园区网络系统的建设过程中，需要选择高性能

13、的企业核心交换机。该核心交换机为企业网络提供一个高性能、多层交换解决方案。其设计宗旨是满足集中式主干/分布式主干和服务器群应用及对万兆、千兆位密度、数据和语音集成、可缩放性、高可用性和多层交换不断增加的需求。如果与相应的网间操作系统相结合，该核心交换机可以提供支持高容量千兆位交换和多层智能所需的基础结构，进而有效地管理网络流量，并可支持万兆和IPV6应用，有良好的扩展性。我们要求的核心交换设备的主要性能和参数：交换机背板带宽大于等于 TB；全三层包转发速率大于等于 900Mpps；支持大于等于 8 个 I/O 扩展插槽，支持千兆端口数目大于等于 200 个；支持高密度的万兆端口板卡，单块板卡最

14、少能提供 4 个万兆也太网端口；支持 802.3ad 端口聚合，支持服务器负载均衡（SLB）；支持 RIP1/2、OSPF、OSPF-ECMP、BGP4、VRRP 等网络协议；支持 IP 组播功能，支持 PIM-SM/DM、IGMP、DVMRP 等协议；支持万兆和 Ipv6 等新技术升级；万兆、千兆端口均能实现硬件 IPv4 和 IPv6 线速转发支持；网络汇聚交换机技术参数要求网络汇聚交换机技术参数要求根据需求规划，各个汇聚网络中心系统是网络高速网络骨干交换子平台的中间汇聚连接单元，他提供网络系统的中间汇聚连接，其建设的好坏将直接关系到整个骨干交换子平台的整体性能，所以汇聚网络系统设计的过程

15、中必须严格按照以上设计的原则和主要建设思路进行设计规划。我们要求的汇聚交换设备的主要性能和参数：交换机背板带宽大于等于 200Gbps；全三层包转发速率大于等于 150Mpps；支持千兆端口光纤数目大于等于 20 个，支持万兆的扩展；支持 802.3ad 端口聚合，支持服务器负载均衡（SLB）；支持 RIP1/2、OSPF、OSPF-ECMP、BGP4、VRRP 等网络协议；支持 IP 组播功能，支持 PIM-SM/DM、IGMP、DVMRP 等协议；支持 Ipv6 等新技术升级；万兆、千兆端口均能实现硬件 IPv4 和 IPv6 线速转发；支持等；网络接入交换机技术参数要求网络接入交换机技术

16、参数要求接入交换机是整个网络系使用量最大的低层交换设备，其安全性、稳定性、可靠性，直接决定网络的整体性能。接入交换机参数要求如下： 提供 24 口 10/100/1000Base-TX 或 10/100Base-TX 端口，支持多条千兆光纤捆绑上联；交换机背板带宽大于等于 52Gbps，包处理能力大于等于 36Mpps 支持线速；支持堆叠；支持强大的 ACL、防攻击能力可有效抵抗病毒和 DOS、DDOS 攻击；支持标准的 IEEE802.1X，端口安全控制，支持帐号、密码、MAC、IP、端口、VLAN 等多元素灵活绑定；支持 QOS 和组播，已保证全网的高性能；网管软件技术参数要求网管软件技术

17、参数要求作为整体网络管理，网管软件的好坏，可决定整个网络性能，可节省大量的网络维护成本，节省网管人员的精力。网管软件技术参数要求如下：智能化(Intelligence)：自动发现网络及其承载的服务，自动配置监控对象及性能阀值，自动分析故障并发出告警。多维度(Multi-Dimension)：从路由、设备、终端、流量、故障等方面多角度、细颗粒度地监控、管理网络。全局观(Overview)：以 Portal 的方式展现，帮助网络管理人员一目了然地掌控网络的运行全局。网络拓扑结构支持自动发现、手工添加；支持从业务角度对网络重要链路进行监测和分析，对链路的通断、负荷、健康度进行评估；支持为用户提供了性

18、能、告警、状态、资源等统计和分析报表，帮助用户轻松地、多角度地掌控 IT 资源的运行全局；支持能在不额外消耗网络带宽的情况下，自动监测网内终端设备的基本属性（IP 地址、MAC 地址、主机名、连接的交换机端口等），提供面向终端的安全性、活跃度、流量管理，并且可通过多种安全策略，阻断非法终端接入；可提供告警处理记录功能，通过记录用户对各种告警的处理方式，当用户再次遇到相同或相似的故障告警时，做到有籍可查；防火墙技术参数要求防火墙技术参数要求防火墙作为网络的出口，要求实现网络的安全过滤，及屏蔽网络的攻击。主要技术参数要求如下： 支持并发连接数2,000,000以上；每秒新建连接数 35000，最大

19、安全策略数 10000 条；支持多接口链路负载均衡，支持端口备份，提供链路优先选择；具有 8 个 1000Base-T 千兆以太网端口，2 个千兆 SFP 插槽，网络吞吐量2Gbps；支持 IPSEC VPN、SSL VPN，支持身份认证，便于远程管理和维护网络；支持 P2P（BT、eMule,迅雷等）应用控制，提供高速硬件对关键应用的 QOS 支持，支持网游优化；支持应用层安全防护，支持 JavaApplet，Active-X、URL 过滤等功能；动态和静态 NAT，支持基于源地址和目的地址的策略路由；上网行为日志的生成第三章第三章第三章第三章 校园网络的详细设计校园网络的详细设计校园网络的

20、详细设计校园网络的详细设计一、一、 总体网络拓扑总体网络拓扑及说明及说明根据广东省国防科技高级技工学校网络建设规划的需求，我们建议按照如下的网络拓扑进行设计：网络方案拓扑的说明网络方案拓扑的说明： 方案内涉及设备有核心交换机、汇聚交换机、接入交换机、千兆安全系统、网络管理系统等； 该方案中建议增加一台新的万兆核心骨干路由交换机 DCRS-6808 和 4 台万兆汇聚路由交换机 DCRS-5950-26，组成万兆万兆核心骨干； 核心与汇聚设备之间通过万兆光纤连接，每个配线间内的接入交换机组成一个堆叠组，采用千兆光纤上联汇聚交换机，根据具体情况可采用多条千兆链路捆绑上联，增加上联带宽，教学楼、教师

21、宿舍地方部署全千兆接入交换机 DCS-4500-26T，实现千兆到桌面千兆到桌面，其他地方的接入采用 DCS-3926S， ； 网络中心同时增加的设备包括一台高性能千兆防火墙、无线局域网系统和一套多功能网络管理系统； 高性能千兆防火墙：采用 64 位多核网络处理器芯片和高速交换总线技术，实现了芯片级的 VPN、QoS 流量管理等功能的硬件加速性能，避免了传统 ASIC和 NP 安全系统新建连接能力和流量控制能力弱的弊病 。内置 8 个10/100/1000M 自适应以太网电口，和 2 个 SFP 光口（COMBO） ，接口模块类型支持单模、多模光纤，充分满足您的定制需求； 多功能网络管理系统：

22、对网络和业务应用实施深入而全面的监控，把网络拓扑发现、资源管理、设备管理、终端管理、性能管理、故障分析、异常流量监测、服务器管理、数据库管理、WEB 监控等融为一体； 接入层设备使用支持访问控制、防 ARP 攻击等功能的安全、智能二层交换机，可以有效地将保证网络的安全性、可管理性； 整个网络可以轻松部署 IPv4/IPv6 双栈双栈，无需升级即可使用 IPv6 网络； 强大网络管理系统，实施监控整个网络的设备、链路、流量的运行状态，以便采取不同的策略应对； 无线网络采用了集中管理的控制器来统一管理整个网络中的无线 AP，同时实现室内、室外的无线覆盖。网络核心层建议方案网络核心层建议方案核心层是

23、网络的关键所在，网络的稳定、可靠运行很大程度上依赖于核心层设备。核心层作为数据转发中心，处于网络核心地位，在核心层设计时充分考虑了核心设备的冗余性，以确保核心层的高可靠性。本次项目建议采用一台神州数码万兆 IPv6 交换机 DCRS-6808 替代学校原有核心交换机。DCRS-6808 可提供 4 4 个万兆插槽个万兆插槽的板卡，该卡完全实现基于硬件 ASIC 芯片线速转发。整机 8 个业务插槽最多可扩展到 32 个万兆端口 核心交换机特点如下：1)神州数码 DCRS-6808 采用全分布式体系结构，采用功能强大的 ASIC 芯片进行高速路由查找，采用最长匹配、逐包转发的方式进行数据转发，从而

24、大大提升了路由交换机的转发性能和扩充能力。2)核心设备通过其自身性能减小核心交换机故障。 （配备超级引擎背板交换高达、风扇、冗余电源） ，所有关键器件，如主控板、交换网、电源等都采用冗余设计，业务模块支持热插拔。3)提供 8 个插槽，支持千兆下联，万兆上联，端口组合非常灵活；4)具有良好的多业务支持性，能够很好的支持数据、语音、视频三网核心，具有良好的 QoS 特性；支持丰富的单播、组播高级路由协议，如OSPF、RIP、BGP、PIM DM/SM/SSM 等。经过严格测试和长期考验，神州数码组播技术已经完全胜任大型园区网的应用，利用成熟的安全组播技术包括受控组播(源受控、目的受控)和策略组播，

25、相信可以为民政学校提供完美的 VOD 视频点播的服务。5)服务器、流量整形网关、网管系统、IDS 和上网行为日志系统通过千兆铜缆连接到核心交换机上，确保数据包高速转发；6)具有良好的扩展性，可以支持万兆、IPV6。特别是对 IPV6 的支持，神州数码是目前国内唯一一家全线产品通过 IPv6 Ready Phase2 Enhance 认证的设备提供商，并且拥有大量的成功商用案例。本次项目中核心交换机标配 IPV4/IPV6 双栈，无须升级即可过渡到 IPV6 网络。网络汇聚层建议方案网络汇聚层建议方案根据需求规划，广东省国防科技高级技工学校高速网络骨干交换子平台建设，实现全校各级单位、各部门之间

26、信息的快速、安全传递和资源共享，并逐步实现视频、语音、数据“三网合一” ，根据骨干网络交换子平台建设规划的整体思路，各个汇聚网络中心系统是网络高速网络骨干交换子平台的中间汇聚连接单元，他提供网络系统的中间汇聚连接，其建设的好坏将直接关系到整个骨干交换子平台的整体性能，所以汇聚网络系统设计的过程中必须严格按照以上设计的原则和主要建设思路进行设计规划。本期建设中，我们建议使用神州数码DCRS-5950系列路由交换机。DCRS-5950系列交换机是神州数码网络推出的盒式高性能硬件IPv6万兆路由交换机，该系列交换机采用硬件ASIC芯片实现IPv4与IPv6双协议栈，可全线速转发IPv4/IPv6的2

27、/3层数据包，在IPv6方面处于业界领先的地位。该款产品支持丰富的IPv6隧道协议，可灵活实现IPv4网络与IPv6网络的互连互通，且支持IPv6版本的RIPng，OSPFv3等动态路由协议，可用于部署大型IPv6网络。不仅如此，DCRS-5950系列借助芯片级的转发能力和多样化的业务支持，以及较高的性价比，成为大型企业级网络汇聚和中型网络万兆核心层部署IPv6的最佳解决方案的一部分。该系列交换机支持千兆下联，万兆上联，端口组合非常灵活，万兆核心交换机的技术应用在固定式交换机上，而高度只有1U，充分体现了汇聚产品高性能、小型化、灵活的趋势。在性能和功能方面DCRS-5950系列能够满足大型网络

28、的组网需求，并具备丰富的智能和安全特性，特别适合于作为大型校园网、企业网、IPv4/IPv6城域网的汇聚设备，以及中小型网络的核心设备。在本方案中，宿舍区由于网络用户多，上网流量大，所以汇聚交换机采用万兆光纤连接到网络核心，千兆铜缆连接接入层的网络交换机，从而保证整个网络的高性能。网络接入层建议方案网络接入层建议方案在接入区各个接入区采用神州数码高性能的接入层、可堆叠26口全千兆接入交换机DCS-4500-26T和百兆接入交换机DCS-3926S，通过千兆光纤连到各个汇聚交换机DCRS-5950-26，再连接到核心DCRS-6808上面。DCS-4500-26T固化了2626个个10/100/

29、1000 Base-T以太网接口及4个固化1000Base-T SFP以太网接口（combo） ，实现千兆到桌面。DCS-4500-26T具备Auto VLAN及Guest VLAN功能，可以根据用户权限进行VLAN设置。比如企业用户，来访者接入网络后系统把其自动加入相应的VLAN，使来访者可以访问内网中指定VLAN的一些开放资源。对于高校用户，新生第一次入学只能具备有限访问权限，同时可开放资源给不符合安全管理策略的终端，实现其自动修复。DCS-4500-26T/50T/26T-PoE的Vlan VPN（QinQ）技术为企业用户和运营商提供了低成本、简便易行、易于管理的二层VPN功能。在实际应

30、用环境中，QinQ技术实现了VLAN数量的扩展，增加了VLAN资源。同时本交换机还具备Voice VLAN特性，系统通过识别设备类型，将IP电话等终端加入专用语音vlan（voice vlan） ，为语音业务提供良好的QoS保证。DCS-3926S系列智能安全接入交换机属于百兆接入、千兆上联的二层以太网交换设备,其在安全、运营等方面极具特色，适用于教育、政府、大中型企业的网络接入。两款接入交换机均支持支持堆叠功能，并采取扩展光纤模块上联端口的形式，端口类型组合丰富，为用户组网提供了很大的扩展性和便利性。作为新一代的网络产品，神州数码接入交换机具有强大的安全特性，如强大的ACL、防攻击能力可有效

31、抵抗病毒和DOS攻击，保护自身和汇聚、核心设备的安全稳定运行。完全的硬件转发、以及基于ASIC的ACL机制可以在病毒泛滥时使正常数据不受任何影响。接入交换机还支持完整的神州数码网络802.1x认证计费解决方案，可给用户提供良好的网络运营方案，实现“以网养网”的目的，并且可以对用户帐号、密码、IP、MAC、VLAN、端口、交换机等多种信息实现灵活的绑定，使网络更加易于管理。二、二、 校园网边界防御的设计校园网边界防御的设计推荐在广东省国防科技高级技工学校出口部署DCFW-1800E-2G兆运营商级防火墙，保护单位的Internet出口，建立非军事区放置WEB服务器资源。远程办公用户通过防火墙建立

32、SSL VPN，安全接入内网。安全访问控制和隔离是最常用的网络安全保护办法，此类成熟的安全产品就是熟知的“防火墙” 。在本方案中防火墙主要对面向公众的Internet出口进行保护。这里需要使用在防火墙技术中经常使用到的 “非军事区”概念。所谓 “非军事区”是指在内网和外网之间的中间地带，它的安全等级介于内网之间，但仍需要在防火墙的控制范围之内，因而非军事区是放置WEB Server、对外的Mail Server、DNS Server的最佳位置。非军事区在组网中常由两个防火墙的夹缝位置或一个防火墙的第三块网卡形成。InternetSecure非非军军事事区区非非军军事事区区InternetSec

33、ure图：两种非军事区的组网方式前者成本低、易实现，而后者可利用两套防火墙的特性互补而增大其防护能力。我们根据以往的企业网设计经验，推荐对于与INTERNET连接的出口采用单防火墙进行防护，利用防火墙的第三网卡形成非军事区。神州数码终结者系列防火墙，采取先进的硬件架构设计，保证了在局域网网出口高吞吐量，多业务流量的条件下，也能轻松应对。除了执行传统防火墙的安全隔离、防御功能以外，还能实现防Dos/DDos攻击，SSL/IPsec VPN等多种功能。三、三、 校园网络网络管理的设计校园网络网络管理的设计网络是信息化的基础；保证网络持续、稳定、安全地运行是企业生产和日常办公赖以运作的基础。网络系统

34、的维护管理至关重要。网络管理好坏，会影响到网络的整体性能。所以在设计网络的同时，充分考虑到网络管理的重要性。为了更好地，更加直观地管理网络设备和网络。所以我们应该选择从接入到核心都是统一品牌的交换机产品，具有一个统一的管理平台，并且在上面可以进行交换机的所有设置，毕竟图形化的界面比枯燥的命令行界面更加能够上手跟实施设置。这样无论在管理和兼容性方面都是大有益处的。除了网络设备的管理之外，还需要实时监控网络的流量，根据流量的变化适时调整网络的应用策略，等等。“三分建设、七分管理” ，对网络的管理水平将接影响到它的运行质量。秉承神州数码网络在网络应用与管理方面的深入理解，根据网络行业不断发展的现状与

35、用户实现需求，提出了“统一接入、统一管理、统一运维”的网络安全与管理理念，并推出了更加专业的 LinkManager 专业版 5.X 统一管理与统一运维平台。LinkManager NM 是神州数码基于多年开发与服务经验，推出的一款新一代综合性网络管理软件。LinkManager NM 以易用、实用、够用为开发原则，定位于对网络和业务应用实施深入而全面的监控，把网络拓扑发现、资源管理、设备管理、终端管理、性能管理、故障分析、异常流量监测、服务器管理、数据库管理、WEB 监控等融为一体。LinkManager NM 通过可视化、仪表化、智能化的网络导航管理模式，将复杂的网络管理工作简单化、人性化

36、，让网管软件带动用户来熟悉与掌控自己的网络，大大降低了用户技术入门的门槛，助广大网管人员轻松驾驭网络。系统特点系统特点即开即用(Out Of The Box)：NM 可即开即用，安装简便，无需用户再额外查阅手册。一站式导航(One-Stop Navigation)：NM 的导航系统可以引导用户一步到位地建立起网络管理的全局体系。智能化(Intelligence)：自动发现网络及其承载的服务，自动配置监控对象及性能阀值，自动分析故障并发出告警。多维度(Multi-Dimension)：从路由、设备、终端、流量、故障等方面多角度、细颗粒度地监控、管理网络。全局观(Overview)：以 Porta

37、l 的方式展现，帮助网络管理人员一目了然地掌控网络的运行全局。宽屏化 (Widescreen)：国内首款宽屏设计，便于更多信息的集中显示。个性化 (Personality)：用户可根据需要建立起自己的特色网络管理中心，并配制个性化的监控界面。主要功能主要功能网络拓扑发现自动、准确、及时地发现各类大型网络的拓扑结构。拓扑发现准备是 LinkManager NM 相对于其他产品的优点。并且可根据管理员设置自动完成更新。拓扑呈现直观,展现界面可自定义。网络运行状况监测持续监视、报告网络的运行情况，发现异常及时告警。设备故障与链路阻断告警设备与链路性能告警异常流量告警，如 ARP 病毒爆发、BT 下载

38、等 终端合法性监控NM 内置有合法性监测引擎设备，能在不额外消耗网络带宽的情况下，自动监测网内终端设备的基本属性（IP 地址、MAC 地址、主机名、连接的交换机端口等） ，提供面向终端的安全性、活跃度、流量管理，并且可通过多种安全策略，阻断非法终端接入。 服务器管理监测方式多样，如 SSH（远程登录） 、Agent、SNMP 等；监测的服务器包括Windows、Linux、HP-UX、AIX、Solaris 等分类呈现监控结果，重点突出。业务应用管理深入监测 Oracle 数据库、WEB 服务、Email 服务等业务应用，展现其运行健康度。 网络链路管理从业务角度对网络重要链路进行监测和分析，

39、对链路的通断、负荷、健康度进行评估；自动跟踪链路的通断，并对链路的 SLA 进行管理。统计报表NM 为用户提供了性能、告警、状态、资源等统计和分析报表，帮助用户轻松地、多角度地掌控 IT 资源的运行全局。四、四、 网络安全、无线系统的设计网络安全、无线系统的设计网络安全的设计网络安全的设计随着网络应用系统的增加，病毒与黑客攻击日益增多，攻击手段也千变万化，网络系统内部发起的攻击及病毒传播是影响整体校园网不稳定主要因素之一，来自系统应用层的潜在危险也加重了网络系统的隐患。在本方案中，网络安全主要从下面网络设备的防护、网络接入安全控制和网的安网络设备的防护、网络接入安全控制和网的安全接入全接入等方

40、面来保证：网络设备的安全防护网络设备的安全防护核心层 DCRS-6800 具有非常出色的安全性功能设计，可有效地防止攻击和病毒，更适合大规模、多业务、复杂流量访问的网络。S-ARP（安全 ARP）功能可有效防止 ARP-DOS 攻击；Anti-Sweep（防扫描）功能可自动监测各种恶意扫描行为，发现该行为后实施报警或者采取其他安全措施，如禁止网络访问等，此特性可将很多未知的新型病毒扼制在大规模爆发之前；S-ICMP（安全 ICMP）功能可有效防止 PING-DOS 攻击，灵活防止黑客利用ICMP Unreachable 攻击第三方的行为；安全智能的 S-Buffer 功能和软件 IP 流量抗冲

41、击功能可防止分布式 DOS 攻击（DDOS 攻击） ，通过智能监控和调整 Packet Buffer，使得核心交换机在 DDOS 攻击下，安然无恙。接入层 DCS-3926S 系列具有强大的安全特性。强大的 ACL、防攻击能力可有效抵抗病毒和 DOS、DDOS 攻击，保护自身和汇聚、核心设备。完全的硬件转发、以及基于ASIC 的 ACL 机制可以在病毒泛滥时使正常数据不受任何影响。网络用户的接入安全控制网络用户的接入安全控制非法设备接入监控LinkManager NM 基于独特的二层拓扑发现技术，通过 IP-MAC 地址绑定、IP-交换机端口绑定、IP-主机名绑定等策略，控制用户非法接入网络和

42、任意修改网络配置。一旦发现非法设备接入，则主动发送告警，并对非法设备进行拦截，使其上不了网。非法外联监控通过多种检测手段，实时监测内网节点通过电话拨号等方式非法接入外网事件，并在第一时间做出处理。拦截与放行设备可以通过 SNMP 或 Telnet 协议对非法设备自动或人工拦截，当确认节点合法后，可以对已被拦截的设备重新开通网络连接。MAC 绑定与取消 MAC 绑定可以通过 SNMP 或者 Telnet 协议将主机的 MAC 地址绑定到某交换机端口上，以保证只有被绑定的主机能够通过该端口接入网络，也可以通过同样的方法取消某交换机端口上的所有被绑定的 MAC 地址。历史信息审计可以方便的查询各网络

43、节点的历史活动情况，并用于统计和审计。外网用户的外网用户的 VPNVPN 安全接入安全接入神州数码网络的 VPN 解决方案可以支持 IPSec 和 SSL 两种方式。神州数码网络的VPN 技术结合了两者的优点，在通过 IP 层面的连接充分保障应用兼容的同时，也提供了细粒度的访问控制。神州数码网络的 SSL VPN 无需预先安装和配置客户端，所有的安装和升级都可以在远程接入时自动完成，把 IT 部门的负担减少到最低，同时集成了基于 SSL 的用户认证机制。神州数码网络的 SSL VPN 和 IPSec VPN 都可以是基于路由的，这样可以保证用户的全网访问；同时，通过配置神州数码网络的 VPN

44、接入网关，可以对用户接入和内网访问实现细粒度的访问控制，保障某些特定的网络资源只能被授权的用户访问。神州数码网络 SSL VPN 支持：基于 IP 层面的接入，兼容所有基于 IP 的应用私有 IP 地址分配内网的 DNS 和 WINS 服务器，提供内部域名解析多种加密算法自动配置路由多个用户域，每个域可以使用自己的认证服务器通过本地用户数据库、微软的 Active Directory、LDAP、RADIUS，或通过USB 证书，或两者的组合实现身份认证基于用户身份的访问控制可以提供细粒度的访问控制。这种用户身份可 以是用户名、部门的组合多 SSL VPN 接入通道提供更高的安全性在客户端和接入

45、网关处的多重访问记录用户管理神州数码网络率先引入基于身份的访问控制，可以为用户提供细粒度的访问控制。用户登录后，用户的身份由用户名或其所属的用户组决定。一个用户在不同的情形下可以有不同的用户身份。根据用户身份，管理员可以通过配置访问策略的方式实现用户对资源的访问控制。访问策略可以是基于用户或用户组的，甚至是基于用户在特定情况下的特定身份，例如同一用户从公网登录访问时的访问权限会比从内部登录时的权限有较大的限制。神州数码网络的 VPN 网关结合最新的多核处理器技术，VPN 硬件加速，高性能的交换芯片，可以为客户提供高性能，并极具可扩展性的 SSL VPN 解决方案。无线网络的设计无线网络的设计本

46、次校园的无线覆盖，采用全新的无线解决方案：整个无线网络通过一个统一认证管理网关，实现整个网络的无线自动配置、有效管理，同时实现整个学校的统一认证管理。神州数码 DCWL-ZD 系列是业界第一个专为大、中院校和热点运营商多媒体无线局域网（WLAN）解决方案而设计的集中管理系统。结合神州数码智能多媒体无线 AP，使DCWL-ZD 在较低的整体拥有成本基础上提供了完整、安全可靠和易于扩展的无线局域网 (WLAN）解决方案。以简约和方便使用为设计思路的神州数码 DCWL-ZD 可以在没有无线专业人员的情况下简单快速地部署和维护。任何只有有限 IT 资源和预算的企业都可以在几分钟内建立一个企业级、安全的

47、无线局域网（WLAN）解决方案。神州数码 DCWL-ZD 是专为填补单个功能缺乏的家用级 AP 和昂贵、复杂的高端企业系统之间的空白，为大、中院校应用环境而设计的。对需要一个安全可靠、容易部署、集中管理和自适应无线局域网（WLAN）的中小企业是理想的解决方案。DCWL-ZD 对想为酒店、机场、学校和公共建筑等地点提供商用级热点业务如 VoWLAN、IP 视频、企业安全接入延伸和不同等级服务的热点运营商也是完美的解决方案。DCWL-ZD 可非常容易通过 WEB 向导简单点击配置完成与现有网络、安全和认证系统集成，神州数码智能多媒体无线 AP 会自动发现网络中的智能无线控制器 DCWL-ZD 并由

48、其进行配置。广东省国防科技高级技工学校会议室在布线时只提供一个或两个网络端口，与会者信息互通便无法实现，WLAN 技术为快速简便实现互联互通提供条件。参会者一般会使用笔记本电脑，无线网卡之间互联共享信息、通过 AP 接入局域网查询资源、现场搭建服务器、视频终端、IP 电话等都可以通过 WLAN 技术来实现。图书馆阅览室和大厅的信息点部署有线成本较高，而且座位不可能固定，一部分拥有笔记本的人员可以利用无线技术灵活认证接入校园网络。图书馆是最多部署无线的场合，大厅查询、无线导览、接入上网，都是无线应用的方式。所以建议在广东省国防科技高级技工学校的会议室和图书馆内部署无线神州数码 DCWL-ZF-2

49、942AP。无线网络示意图：无线方案的主要特点有：便于使用和管理便于使用和管理集中管理，快速设置，即时配置和自动、实时地对整个无线局域网（WLAN）优化。无需专业人员支持，无需专业人员支持，5 5分钟内完成部署分钟内完成部署基于 WEB 的配置向导能使任何计算机用户在几分钟内配置整个无线局域网（WLAN） 。神州数码智能多媒体无线 AP 会自动发现网络中的智能无线控制器 DCWL-ZD 并由其进行配置。 灵活部署灵活部署DCWL-ZD 可与现有网络和安全系统交互，并为所有 AP 提供动态无线信道管理，没有 AP 放置问题。监视和故障诊断简单易行监视和故障诊断简单易行可定制的监控界面提供简捷的网

50、络状态视图，并用于诊断任何无线故障。自动用户安全自动用户安全无需对每个用户和 PC 进行 SSID 和密钥的配置。集成多种功能集成多种功能集成网络管理、动态无线信道管理、位置管理和 AP 控制多种功能于一体。先进的先进的WLANWLAN特性和功能特性和功能基于角色的用户策略，本地认证数据库，AP 欺骗检测和每个 AP 的用户门限检测。部署简单部署简单神州数码 DCWL-ZD 可与现有交换机、防火墙、认证服务器和其他网络设施无缝集成。神州数码智能多媒体无线 AP 会自动发现 DCWL-ZD，进行自我配置以支持后期日常管理。在允许接入前，DCWL-ZD 将对所有想接入 WLAN 的用户进行认证和授

51、权。集成了完善无线信道管理的智能多媒体无线 AP 将根据应用环境负责选择无线信道发送无线信号到用户，同时减少干扰，从而最大限度提高性能和覆盖范围以减少需要的 AP 数量。管理简单管理简单在基本配置完成，DCWL-ZD 开始运行后，将自动管理智能多媒体无线 AP 无线局域网（WLAN）自动调整发射功率和无线信道选择管理以防止相邻 AP 之间的干扰和在 AP失效时的 AP 覆盖备份。配置的更改可以非常容易地同时下发到多个 AP 或整个网络系统。可定制的监控界面可实时显示用户接入信息、网络信息和事件，实时地图将显示无线 AP 位置和无线信号的覆盖范围。一分钟配置一分钟配置 无比的简捷无比的简捷基于

52、WEB 的配置向导使任何计算机用户能在几分钟内通过简单点击配置所有的无线 AP、用户和安全参数。神州数码 DCWL-ZD 自动认证和配置连接的神州数码智能多媒体无线 AP，并且可以远程升级所有的 AP。采用 DCWL-ZD 无需进行复杂的耗时耗力的现场勘察和拓扑规划，就可以管理多达 250 个神州数码智能多媒体无线 AP 组成的无线局域网（WLAN） 。而且可以简单地同时对多个 AP 或整个 WLAN 系统进行软件更新或配置更改。冗余和安全冗余和安全神州数码 DCWL-ZD 可在一个容易使用和负担得起的无线局域网（WLAN）系统中提供遍及整个 WLAN 范围的网络、安全、无线信道和位置管理。无

53、线安全实现简单可靠无线安全实现简单可靠与以往其他产品不一样，神州数码 DCWL-ZD 将实现可靠的无线安全机制自动化。神州数码 DCWL-ZD 和智能多媒体无线 AP 内置特有的动态 PSK 技术将无线安全实现过程自动化以确保用户认证的完整性。第一次用户只需将其设备接入到 LAN，通过俘获门户（Captive Portal）将用户定向到一个 URL 进行一次性认证。基于该认证，DCWL-ZD 自动为用户配置指定的 SSID 和一个唯一的、动态产生的密钥。该密钥过期后可自动地被删除，或在用户不再被信任时人工删除。神州数码 DCWL-ZD 可使用本地认证数据库或外置的认证系统如 RADIUS 或

54、ActiveDirectory 集中管理网络中所有智能多媒体无线 AP 用户的认证和授权，也可与神州数码认证计费系统 DCBI 无缝结合，实现有线无线的统一认证、统一计费。提供网络系统级的安全访问控制。避免相互干扰，提供最佳性能，扩展覆盖范围避免相互干扰，提供最佳性能，扩展覆盖范围BeamFlex，神州数码特有的无线电波控制技术自动为多媒体应用提供可保证可预设的传输性能，自动扩展覆盖范围消除盲点。采用 DCWL-ZD 后，BeamFlex的作用将从单个 AP 扩展到整个无线局域网系统。采用 Network BeamFlex, DCWL-ZD 和智能多媒体无线 AP 一起自动管理无线信道的分配，

55、发射功率和无线信号路径的旋转。由此无线局域网系统可随时为每个数据包选择最佳传输路径，自动避免干扰以保证最佳的业务QoS。第四章第四章第四章第四章 万兆双栈安全校园网的特点万兆双栈安全校园网的特点万兆双栈安全校园网的特点万兆双栈安全校园网的特点一、一、 “三高三高”网络网络高可靠：高可靠：为了满足苛刻的运营商级网络对设备可靠性的要求，DCRS-6808 交换机对所有关键部件都采用了冗余备份的设计方案，并且可随时监控各个部件的工作温度并在出现温度异常时自动报警。高性能：高性能：采用神州数码 DCRS-6808 高端 IPV6 万兆交换机，超大的背板带宽和交换容量，保证园区网的各种应用对数据转发的需

56、求。在核心和主要汇聚之间采用万兆链路主干，千兆链路备份，可以满足大流量应用对带宽的需求。另外网络流量还可以实现负载均衡，以减轻设备和链路的负载压力。高扩展性：高扩展性：采用模块化、分层设计，主要设备均具备很强的扩展能力。其中神州数码核心交换机 DCRS-6808 采用分布式硬件 ASIC+CrossBar 交换平台，能够提供8 个扩展槽和 32 个万兆接口，具有极高的万兆线速转发性能，以及更高的万兆端口密度来支撑大量汇聚设备的万兆链路上联，保证了网络扩容能力。二、二、 分布式双栈园区网分布式双栈园区网 方案中采用的路由交换机都支持基于 ASIC 的 IPv6 分布转发，完全达到线速，可以实现真

57、正的 IPv6 商用部署（注：IPv6 的实现方式有软件转发、硬件集中式转发、硬件分布式转发三种，最后一种效率最高） 。神州数码网络全线路由交换产品均通过了业内最为苛刻的 IPv6 Ready 金牌增强增强认证测试，拥有最多 IPv6 商用案例，为下一代校园网 Cernet2 各大区的驻地网核心节点提供了高性能的 IPv6 交换机，可以提供业内最为完整的 IPv6 解决方案。采用神州数码网络设备组网，可以一步到位建成IPv6/IPv4 分布式双栈园区网。三、三、 节约型网络节约型网络节能：节能：数字校园信息系统的电力消耗有30%来自IT 设备，而基础网络设施又在其中占据重要比例。在创建节约型社

58、会的大背景下，网络设备需要将“节能减排”作为一项参考指标。神州数码网络全线产品都注重节能设计，采用绿色节能网络产品将为网络使用者每年节省数以万计的电费。环保：环保：随着人们环保意识的增强，电子产品中有害物质的含量也越来越受到重视，我国已经从2008 年3 月开始实施信息产品的环保认证，所有网络产品将会根据铅、镉、汞等有害物质的含量加贴绿色或橙色标识。神州数码网络全线产品均采用无铅工艺设计，安全环保，最大限度保护网络管理员的权益。四、四、 安全可信网络安全可信网络此次神州数码所推荐的核心和汇聚交换机自身均具备高安全性，能为国防技工学校全面安全网络体系打下坚实的基础。接入交换机：接入交换机：随着网

59、络的发展，网络安全问题特别是内网网络安全问题越来越严重，如：ARP 欺骗、ARP 攻击、MAC 地址盗用、IP 扫描、IP 冲突、ICMP 扫描攻击等问题越来越严重。因此接入交换机的安全特性越来越重要，能否有效的解决内网特别是接入层安全问题，已经是衡量网络的重要的因素。神州数码接入交换机具有极其强大的安全特性以及接入层安全解决方案，可有效的防止内网安全威胁，如：ARP 欺骗以及扫描攻击、ClonePC 盗用、MAC 地址攻击、DHCP 攻击等等。从接入层开始，打造高效、安全、稳定的网络，有效的保证了校园网的运营效果。汇聚交换机汇聚交换机：提供了完整的ACL策略，并使用不同的策略进行转发。通过A

60、CL策略的实施，用户可以过滤掉“冲击波”、 “震荡波”、 “红色代码”等病毒包，防止扩散和冲击核心设备。支持基于端口的认证，为网络提供端口级的安全保证。配合RADIUS等认证机制，可有效防止非法用户侵入网络。核心交换机：核心交换机：“交换引擎 CPU 核心保护”：可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪；“关键协议绿色通道” 功能：可保障正常、合法、速度合理的关键控制报文（VRRP、STP、MSTP、RIP、OSPF、BGP、组播协议、双引擎板间心跳等）在大流量业务下不被淹没，快速处理不中断；先进的 LPM 技术：可抵抗“冲击波”病毒、 “zero day”病毒、 “SQL slam