智慧校园无线网络平台方案建议书

1、 智慧校园无线网络平台方案建议书目 录 TOC o 1-3 h z u HYPERLINK l _Toc3323183 1.网络设计描述 PAGEREF _Toc3323183 h 3 HYPERLINK l _Toc3323184 2.总体方案设计描述 PAGEREF _Toc3323184 h 4 HYPERLINK l _Toc3323185 2.1网络安全 PAGEREF _Toc3323185 h 4 HYPERLINK l _Toc3323186 2.1.1 核心层网络安全 PAGEREF _Toc3323186 h 4 HYPERLINK l _Toc3323187 2.1.2

2、接入层网络安全 PAGEREF _Toc3323187 h 5 HYPERLINK l _Toc3323188 2.2核心层设计 PAGEREF _Toc3323188 h 6 HYPERLINK l _Toc3323189 2.3汇聚层设计 PAGEREF _Toc3323189 h 6 HYPERLINK l _Toc3323190 2.4接入层设计 PAGEREF _Toc3323190 h 6 HYPERLINK l _Toc3323191 2.5 无线认证设计 PAGEREF _Toc3323191 h 7 HYPERLINK l _Toc3323192 2.5 统一管理设计 PAG

3、EREF _Toc3323192 h 8 HYPERLINK l _Toc3323193 3.无线网络设计 PAGEREF _Toc3323193 h 8 HYPERLINK l _Toc3323194 3.1无线网络覆盖设计 PAGEREF _Toc3323194 h 8 HYPERLINK l _Toc3323195 4.4.2漫游切换支持方案 PAGEREF _Toc3323195 h 9 HYPERLINK l _Toc3323196 4.4.3业务QOS支持方案 PAGEREF _Toc3323196 h 9 HYPERLINK l _Toc3323197 4.4.4智能射频管理方案

4、 PAGEREF _Toc3323197 h 10 HYPERLINK l _Toc3323198 4.4.5智能负载均衡方案 PAGEREF _Toc3323198 h 10 HYPERLINK l _Toc3323199 4.4.6IPV6支持方案 PAGEREF _Toc3323199 h 11 HYPERLINK l _Toc3323200 4. 网络部署设计 PAGEREF _Toc3323200 h 12 HYPERLINK l _Toc3323201 1.1 IP地址规划 PAGEREF _Toc3323201 h 12 HYPERLINK l _Toc3323202 1.2 V

5、LAN设计 PAGEREF _Toc3323202 h 13 HYPERLINK l _Toc3323203 1.3 QoS部署 PAGEREF _Toc3323203 h 14 HYPERLINK l _Toc3323204 5.本次设计所用部分产品介绍 PAGEREF _Toc3323204 h 17 HYPERLINK l _Toc3323205 5.5.1防火墙插卡介绍 PAGEREF _Toc3323205 h 17 HYPERLINK l _Toc3323206 5.5.2核心交换机介绍 PAGEREF _Toc3323206 h 19 HYPERLINK l _Toc332320

6、7 5.5.3汇聚交换机介绍 PAGEREF _Toc3323207 h 22 HYPERLINK l _Toc3323208 5.5.4无线控制器介绍 PAGEREF _Toc3323208 h 25 HYPERLINK l _Toc3323209 5.5.5室内AP介绍 PAGEREF _Toc3323209 h 31 HYPERLINK l _Toc3323210 5.5.6一体化管理平台介绍 PAGEREF _Toc3323210 h 341.网络设计描述本次中学无线校园网整体方案拓扑如下：根据目前第三中学的网络状况，对原有网络改造升级，增加无线校园网，有线网络采用接入、核心两层组网结

7、构，两层扁平化体系结构是相对业务标准的三层网络体系结构而言，去掉中间的汇聚层只保留核心层与接入层两个层次来进行网络体系构建。扁平化体系结构具有多、快、好、省的优点，“多”是指可以接入较多用户、提供多种业务的特点，“快”是指由于去掉了汇聚层从而网络建设与业务部署更快速，“好”是指网络层次简单明了，便于管理和维护，今后在网络规模扩大时直接把现有的核心层下移或者在两层体系中间插入汇聚层就可以实现网络的平滑扩容，同时由于网络层次的简单，网络稳定性增强，单点故障减少，能够提供一个稳定高效的局域网络，“省”是指去掉汇聚层之后网络投资得到明显减少，既能够满足用户业务需求，又减少了用户的投资。第三中学核无线校

8、园网的部署，使原有的核心设备不再适合现有网络的吞吐量，出现交换和吞吐的瓶颈，核心层设备是第三中学网络的核心枢纽，应该选择高性能、高可靠、高扩展性的核心路由以太网交换机，本次方案推荐核心采用1台S7503E-S万兆以太网交换机。S7503E-S 交换容量18Tbps，包转发率4000Mpps，高性能的保障了局域网内的高速数据交换。为了提高可靠性，核心交换机配置双电源。核心交换机通过千兆光口捆绑连接各楼栋接入交换机；核心交换机与网管服务器接入交换机采用千兆光口捆绑互连，提高服务器的数据处理能力。S7503E-S共3个槽位，3个业务槽位，背板交换容量达到18Tbps；同时在S7503E-S系列交换机

9、支持各种业务的扩展，可以支持防火墙插卡、应用控制插卡、无线控制器板卡、IPS（入侵检测防御系统）插卡、负载均衡插卡等，对于未来种业务的扩展都非常方便。楼层部署全千兆接入交换机，在思源楼替换原有3台百兆设备，为了节省光纤电缆，3台E528做堆叠，即节省了光纤，又增加了设备的冗余性。隽雅楼原网的汇聚和接入交换机，都是使用光电转换器连接，使整个传输速度在百兆以下，降低隽雅楼的宽带，此次改造使用1台5500-28F 24口的光口交换机和E552 48电口的交换机，使用全千兆口连接核心交换机，整个隽雅楼全千兆的网络带宽，整个网络速度更大的提升。通过部署室内壁挂式无线AP WA4320和4330实现用户无

10、线上网需求。以及部署和S5110-28P-PWR POE交换机对AP进行POE供电。在网络管理方面，部署一套IMC 智能网管中心，实现对有线网络、无线网络的设备、业务、用户一体化的网管。在安全方面，采用防火墙板卡一体化解决方案，负责对网络协议的2-4层进行控制。防火墙由于其软硬件针对工作在L2-L4时的情况考虑，不具有对用户上网行为数据流进行综合、深度监测的能力，自然就无法有效识别用户上网行为的动作、访问非法网站、发表非法言论、使用P2P软件暂用大量流量等。因此需要专门针对网络4-7层进行分析并实时监控上网行为系统，填补防火墙安全层次的不足，此次部署ACG对网络用户的上网行为的审计。2.总体方

11、案设计描述2.1网络安全网络安全分为核心层网络安全、接入层网络安全两部分。2.1.1 核心层网络安全核心层网络安全建议采用网络安全一体化解决方案，即在核心交换机上部署防火墙插卡来实现核心层网络的L2-L7立体安全防护，网络出口部署上网行为审计控制上网用户行为，填补防火墙插卡安全层次的不足。防火墙采用H3C S7500E 防火墙 Lite业务板模块，H3C SecBlade FW是业内第一款万兆高性能防火墙模块，可应用于H3C S5800/S7500E /S9500E/S10500/S12500交换机以及SR6600/SR8800/CR16000路由器。SecBlade FW集成防火墙、VPN、

12、内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技术，实时检测应用层连接状态，实现2-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。SecBlade FW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。上网行为审计使用H3C SecPath ACG1

13、000，此设备支持状态机检测、流量交互检测技术，能精确检测115网盘、电信通、盛大网盘、百度网盘、360云盘、Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、新浪UC、阿里旺旺、新浪微博、腾讯微博、天涯论坛、猫扑论坛、微信等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等多种主流网络应用，为应用控制及审计提供有力支撑。采用了DPI/DFI融合识别技术，相对于传统的流控产品，控制力度更精细，控制层面不再局限在主程序，更能深入识别应用程序的子功能。例如对新浪微博的控制力度不仅仅是登录动作，更是深入识别到

14、注销、发表、评论、转发、关注、搜索等子功能，支持单应用高达12种行为动作控制、超过八百种主流应用类别识别、近60种分类URL审计过滤、桌面及移动终端均可审计控制，提供最精细的控制功能。对应用协议特征库及时更新；支持对协议特征库的在线自动/手动升级、本地升级，且升级过程无需重启系统，不影响系统业务运行。2.1.2 接入层网络安全计算机网络的接入层是整个园区网络的下联边界，有线网直接和PC、打印机等终端相连。该区域常见的安全问题包括ARP攻击、IP/MAC地址篡改、DHCP服务器仿冒攻击等，一般统称为接入层安全问题。有些接入层安全问题的解决方式较为简单，虽然针对每一种安全问题都有底层的技术解决方案

15、，但是对应到物理设备层面都是通过智能安全型接入交换机进行统一解决。本方案在选择接入层交换机时，都会采用千兆智能安全型接入设备。对于无线网络安全来说有一下2点：一、内部网络终端缺乏网络用户识别、准入机制师生、外来人员只要将个人PC、PAD、手机等无线终端连接无线网络，就可以上网；其中没有任何身份的认证和安全措施。学生随时可以上网，耽误学业，外来人员也可以随时攻击网络。二、终端用户无权限控制如果某些用户获得了相关服务器的IP地址、应用系统的账号密码即可登录到服务器上，势必会造成重大网络安全隐患，此时网络系统应提供权限策略控制功能，解决非法用户的接入问题。因此建议部署一套终端准入控制系统来解决此类问

16、题，终端准入控制系统是集事前认证、事中监控、事后审计和业务管理为一体的多业务安全接入管理平台。能够满足不同应用场景的身份识别、权限控制、安全准入和桌面管理的需求。2.2核心层设计核心层的功能主要是实现骨干网络之间的优化传输，核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能、网络的各种应用应尽量少在核心层上实施。核心层一直被认为是真个网络的核心，因此对核心层的设计以及网络设备的要求十分严格。H3C S7503E-S产品是杭州华三通信技术有限公司面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，以IRF2（Intelligen

17、t Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。2.3汇聚层设计 此次汇聚层主要针对隽雅楼，隽雅楼原有的汇聚交换机处理整个楼宇接入层交换机转发来的数据，性能的不足导致整个楼宇的网络出现了一个带宽瓶颈。本次汇聚层交换机设计为H3C S5500-28F。H3C S55系列交换机是H3C公司自主开发的下一代数据中心级

18、万兆以太网交换产品。为数据中心提供丰富的服务器接入方案。也可以用于园区网的汇聚层或接入层以及中小企业核心。 S5500系列交换机支持H3C创新的IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术，用户可以将多台S5500交换机连接，形成一个逻辑上的独立实体，从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。2.4接入层设计接入层采用H3C E528/E552系列教育网交换机是杭州华三通信技术有限公司长期跟踪教育行业用户需求定制开发的全千兆的以太网交换机，不仅可以满足校园网常见的安全，接入密度的需求，并且针对于IPv6技术发展的趋势以及校

19、园网IPv6部署的落地，提供完善的解决方案，同时支持创新的IRF2（Intelligent Resilient Framework，智能弹性架构）技术，用户可以将多台E528/E552交换机连接，形成一个逻辑上的独立实体，从而为教育行业构建具备高可靠性、易扩展性和易管理性的千兆到桌面的新型智能网络。采用部署S5110-28P-PWR POE交换机对大量AP终端的一个接入。H3C S5110系列以太网交换机是H3C公司自主开发的绿色节能全千兆以太网交换机产品，具备丰富的业务特性，广泛应用于企业网和园区网的接入。在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性是千兆接入

20、的理想选择。H3C S5110系列交换机支持增强的以太网供电功能（PoE+），PoE供电款型可以提供每端口最大30W的输出功率，可以为802.11n的无线接入点，可视IP电话，大功率的监控摄像头以及更多的终端设备提供以太网供电能力。2.5 无线认证设计由于WLAN网络与有线网络不同，用户可以随时随地的接入网络，故不能像有线网络那样通过网口限制用户的身份，必须使用一定的认证手段。H3C WX3024E支持多种认证方式，如MAC地址认证、802.1x认证和Portal认证等。本项目推荐使用Portal认证方式。使用Portal方式的优点是无需客户端，用户做好WLAN连接后，只需打开Web页面就能够

21、进入Portal认证页面。此时除了能够方便的认证外，还可以推送Web页面，发布最新的校园活动信息，并可以向师生推送相应的校规和考试细则，给学校带来便捷的管理。推荐使用H3C IMC的EIA组件，支持多种接入及认证方式，适合多种接入组网场景及应用场景（1）支持802.1x、VPN接入等多种认证接入方式。（2）支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式，适应不同安全要求的应用场景。（3）支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止帐号盗用和非法接入。（4）支持与Windows域管理器、第三

22、方邮件系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码。（5）支持终端准入控制（EAD）解决方案，确保所有接入网络的用户终端符合企业的安全策略（6）支持Portal认证方式，Portal 客户端与服务器之间的通信承载于UDP报文中的私有协议。用户无需下载客户端软件，也不需要记忆PORTAL服务器的IP地址，不管输入什么网址，都会先强制定向到PORTAL服务器进行认证。（7）基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。（8）可以控制用户的上网带宽（QoS；802.1x认证支持）、限制用户同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度

23、占用。（9）支持最大闲置时长限制。（10）可以限制用户IP地址分配策略，防止IP地址盗用和冲突。（11）可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。（12）可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。（13）可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。（14）管理员可以实时监控在线用户，强制非法用户下线。（15）支持消息下发，管理员可以向上网用户发布通知消息，如系统升级，网络将在10分中后切断、您的密码遭恶意试探，请注意保护密码安全等。2.5 统一管理设计随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高

24、效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心，一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。基于多年的积累和对用户网络的深入理解，H3C智能管理中心平台（以下简称iMC平台）为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。本次配置的IMC智能管理平台、终端智能接入组件（EIA）和无线管理组件（WSM）实现对网络中的AC、FAT AP、AC、FIT AP、移动终端等无线设备与有

25、线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多种视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于用户维护。对于设备数量较多、分布地域较广并且又相对较为集中的网络，iMC平台提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。iMC平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。3.无线网络设计3.1无线网络覆盖设计无线网络部署方案中，无线AP的部署可以归纳为两大类：AP室内和室内高密度AP。本次项目的AP覆盖范围主要为室内覆盖，室内时主要信号进行此空间内覆盖，需要考虑到穿越墙壁、地板等障碍物对隔壁空

26、间的覆盖。根据项目情况，我们在室内推荐采用H3C WA4320无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于2-Streams 11ac MIMO技术的千兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11n网络3倍以上的无线接入速率，能够覆盖更大的范围，可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。对于像大型会议室和阶梯教室这样高密度人员的区域，推荐采用H3C WA4330，4330无线产品采用三频设计，在保留原有双射频的同时，增加了一个灵活可变的第三个射频。当实际接入的终端类型支持5GHz的数量较多时，可将该射频配置成5

27、GHz频段，从而提高5GHz的接入用户数量和带宽能力，反之，2.4GHz终端较多时则可以配置成2.4GHz，组网形式非常灵活。因此，WA4330-ACN的接入速率最高可达2Gbps，在业界第一次提供可商用的有线无线双千兆接入AP产品，非常适合在电子书包场景，高密度接入场景使用。4.4.2漫游切换支持方案无线终端在无线网络中移动时，必然要进行不同AP之间、所属不同有线交换机之间的漫游切换。首先无线终端会通过无线局域网服务器进行第一次的安全接入认证，无线交换机会介入该认证过程，并获得PMK（Pairwise Master Key）。无线终端根据PMK生成多个通讯用密钥，开始进行加密会话。当无线终端

28、发现需要进行切换时，会进行如下操作：与无线交换机进行连接的预建立；无线交换机与需要建立连接的AP交换通讯用PMK密钥，并将PMK密钥传给无线终端；无线终端发布更新消息，更新无线交换机转发表；原有的数据流转换到新的AP上来；切断原有的数据连接。整个L2、L3漫游过程在50ms内全部完成，并兼容IEEE 802.11i、IEEE802.11f和IEEE802.11e标准，可良好支持语音、视频等多媒体业务的需求。考虑到具有语音与视频的潜在需求，可以通过设置专门的SSID作为语音/视频业务使用，通过划分VLAN方式实现语音终端仅仅与语音网关进行通信，保证语音业务与数据业务隔离开来。4.4.3业务QOS

29、支持方案H3C无线产品支持多种服务质量Qos，支持802.11e中的EDCF优先级，支持以太网口支持802.1p识别和标记。支持优先级队列及映射、流量限制、流分类。并且能够对QOS策略映射不同SSID/VLAN。图 STYLEREF 1 s 3SEQ 图 * ARABIC s 113多媒体业务QOS示意4.4.4智能射频管理方案每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小。当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号。当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控

30、制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。4.4.5智能负载均衡方案无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。图 STYLER

31、EF 1 s 3SEQ 图 * ARABIC s 114智能负载示意图4.4.6IPV6支持方案为了适应下一代IP网络的部署要求，H3C公司的FIT AP能够同时满足IPv4和IPv6两种不同网络的组网要求（图示），为了简化用户配置这种适应能力不需要用户配置干预而是自适应调整。图 STYLEREF 1 s 3SEQ 图 * ARABIC s 115IPV6支持示意图作为FIT AP的缺省发现方式FIT AP会首先作为IPv4节点发起无线控制器发现过程，当发现过程失败以后，FIT AP会切换到IPv6节点方式继续无线控制器发现过程。 FIT AP会在以下两种情况下切换到IPv6模式：FIT AP

32、无法从DHCP server获取到IPv4网络地址FIT AP在IPv4网络没有无线控制器响应FIT AP的发现请求FIT AP在IPv4网络中和所有的无线控制器建立连接失败4. 网络部署设计IP地址规划IP地址的合理规划是网络设计中的重要一环，网络系统为了实现对网络的统一的规划和管理，对IP地址进行统一规划。IP地址规划影响到网络路由协议算法的效率、影响到网络的性能、扩展和网络的管理，也影响到网络应用的进一步发展。IP地址主要分为如下几类：IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，

33、减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项；连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率；建议根据部门和权限划分，为不同的业务分配一段连续的IP地址，便于业务的区分。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址的连续性；灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间

34、。设备Loopback地址的分配：各种三层设备的Loopback地址的使用，在不同的方面都需要它的参与，对于内部路由协议的正常运行，整个网络的正常运行，有着至关重要的作用。因而对于各个路由器设备的Loopback的分配和管理，应当采取统一的专有地址空间。通过为所有的设备分配一个专有的地址空间，能够更为有效地进行路由器设备的路由配置和管理，以及方便今后的故障的诊断和排除。Loopback地址分配采用32位掩码的原则。设备间互连地址的分配：设备间互连的IP地址，从业务的相关性上，他们一般不具有全局的功能，而只是提供完成两个设备之间的连接。因而从这个角度上讲，这部分的地址空间的分配应当考虑以下的方面

35、：（1）尽可能以分层次的方式分配地址。由于链路地址空间不具有全局性，因而并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而使得这些地址在各路由器的路由表中占有较少的空间。以降低对路由器的要求，并保证路由器的处理效率。（2）提供足够的预留空间，以满足今后新增链路的需要。同一区域内的设备IP地址连续分配，每个互联段分配1个24位掩码的最小地址段。VLAN设计VLAN可以实现将连接在同一个物理网络上面的主机分组，使它们看起来就像连接在不同的网络上一样。可以通过VLAN为网络分段，各个网段可以共用同一套网络设备，节约了网络硬件的开销，同时在迁移中所需的

36、工作量也大幅度降低了，从而降低了连网成本。在大型局域网络组建中，VLAN技术是不可缺少的关键技术，科学的VLAN设计可以为局域网络带来一系列的优点：在同一个物理网络实现第二层工作组划分，实现不同工作组之间第二层的完全隔离，同时，组员可以处在物理网络中的任何位置，不受同一台设备限制；隔离广播，提高效率，避免不相关的广播帧在全网扩散，浪费有效带宽资源；在局域网系统中，建议基于IEEE 802.1Q标准实现VLAN。从广播控制角度出发，为了保障网络的高可用和高性能，按照惯例原则，我们在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机一般不超过50台，最好控制在30台以内，对于主机数量

37、超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。作为特殊 VLAN 的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，需要通过控制列表与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID=4000，VLAN4000与VLAN1在第三层上相通，同时，保证只有部分业务VLAN可以访问VLAN4000，从而实现网管的分布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。网络的VLAN规划，在明确其网络资

38、源访问权限分配的具体要求后，我们可对内部网络具体划分不同的权限、VLAN等其它的安全策略QoS部署QoS方案的设计实施，首先需要考虑选择合适的技术框架，也即服务模型。服务模型指的是一组端到端的QoS功能，目前有以下三种QoS服务模型：Best-Effort service尽力服务Integrated service（Intserv）综合服务Differentiated service（Diffserv）区分服务Best-Effort service：尽力服务是最简单的服务模型。应用程序可以在任何时候，发出任意数量的报文，而且不需要事先获得批准，也不需要通知网络。网络则尽最大的可能性来发送报文，

39、但对时延、可靠性等不提供任何保证。尽力服务是互联网的缺省传输模式，由于它不区分具体的业务类型，采用先入先出的策略（FIFO）处理，对所有报文都无区别的等同对待，实现起来比较简单，但由于无法为高优先级的实时业务和关键业务提供额外保障，尽力服务模型并不适合用于本次网络的建网需求。Integrated service：Intserv是一个综合服务模型，它可以满足多种QoS需求。这种服务模型在发送报文前，需要向网络申请特定的服务。这个请求是通过信令（signal）来完成的，应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求，包括带宽、时延等，应用程序一般在收到网络的确认信息，即网络已经为这个

40、应用程序的报文预留了资源后，发送报文。而应用程序发出的报文应该控制在流量参数描述的范围内。网络在收到应用程序的资源请求后，执行资源分配检查（Admission control），即基于应用程序的资源申请和网络现有的资源情况，判断是否为应用程序分配资源。一旦网络确认为应用程序的报文分配了资源，则只要应用程序的报文控制在流量参数描述的范围内，网络将承诺满足应用程序的QoS需求。而网络将为每个流（flow，由两端的IP地址、端口号、协议号确定）维护一个状态，并基于这个状态执行报文的分类、流量监管（policing）、排队及其调度，来满足对应用程序的承诺，具有面向连接的特性。因此对网络设备的处理能力有

41、较高要求。传送QoS请求的信令是RSVP（资源预留协议），它通知路由器应用程序的QoS需求。Differentiated service：Diffserv即区别服务模型，它可以满足不同的QoS需求。与Integrated service不同，它不需要信令，即应用程序在发出报文前，不需要通知路由器。网络不需要为每个流维护状态，它根据每个报文指定的QoS，来提供特定的服务。可以用不同的方法来指定报文的QoS，如IP包的优先级位（IP Precedence)、报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。通常在配置Differentiated service时

42、，在网络边界的路由器通过报文的源地址和目的地址等对报文进行分类，对不同的报文设置不同的IP优先级，而其它路由器只需要用IP优先级来进行报文的分类。这三种服务模型中，只有Intserv与Diffserv这两种能提供多服务的QoS保障。从技术上看，Intserv需要网络对每个流均维持一个软状态，因此会导致设备性能的下降，或实现相同的功能需要更高性能的设备，另外，还需要全网设备都能提供一致的技术才能实现QoS。而Diffserv则没有这方面的缺陷，且处理效率高，部署及实施可以分布进行，它只是在构建网络时，需要对网络中的设备设置相应的规则，会使配置管理比较复杂。考虑到Diffserv模式具有处理效率高

43、，部署和实时方便的特点，我们建议在本项目中，选用Diffserv模式。QoS技术：不论是Diffserv，还是Intserv，在最终对服务进行保障时，都是通过以下一些成熟技术来实现的，H3C公司的数通设备都采用平台软件COMWARE，支持一系列QoS技术，主要可以分为以下3类：1）流量调节器流量调节器是网络边界所需的各种QoS功能，用于对用户的流量进行分类，并控制接入网络的用户流量与协定相符，同时设置DSCP。流量调节器的功能包括分类、测量、标记、丢弃和整形等，如以下技术：CAR（承诺的接入速率），对用户流量进行监管；GTS（通用流量整形），对用户流量进行整形；ISPKeeper，智能流量控制

44、技术。报文分类是QoS的基础，只有区分了不同的报文业务，才能进行分别处理及保障相应业务的服务质量。一般在网络边界，利用ACL等技术，根据物理接口、源地址、目的地址、MAC地址、IP协议或应用程序的端口号等依据对报文进行分类，并同时设置报文IP头的TOS字段作为报文的IP优先级；在网络的内部则可使用边缘设置好的IP优先级作为分类的标准，以提高网络的处理效率。约定访问速率（CAR）是一种带宽管理机制，利用令牌桶技术来实现带宽的分配和测量。网络管理员可以为不同的业务分配不同的带宽，定义业务占用的带宽超过分配额度时的处理策略，通过限制通过路由器某一端口的流量，很好地保证整个网络的QoS。CAR既可用于

45、网络的入口也可用于网络的出口，可以报文分类完成的结果区分不同的业务流。另外，它还可以对报文的IP优先级根据需要加以重新标记。2）拥塞避免和管理当报文到达网络设备接口的速度大于接口的发送能力时，即将产生拥塞；拥塞发生时，一般采用队列调度的技术来解决，每一种队列调度技术都用来解决特定的问题，都会对网络性能产生特定的影响；目前H3C的路由交换机可以提供各种队列调度技术包括FIFO、PQ、CQ、WFQ、RTP实时队列、CBWFQ/LLQ。拥塞避免用来监控网络负载，预见并避免拥塞的发生，拥塞避免一般通过丢包技术来实现；H3C的路由交换机提供了多种拥塞避免机制来满足不同的应用，包括尾丢弃、RED、WRED

46、。以最简单的PQ(优先队列)为例,PQ对报文进行分类，将所有报文分成最多至8类，分别属于PQ的8个队列中的一个，然后，按报文的类别将报文送入相应的队列。PQ的8个队列分别为高优先队列、中优先队列、正常优先队列和低优先队列，它们的优先级依次降低。在报文出队的时候，PQ首先让高优先队列中的报文出队并发送，直到高优先队列中的报文发送完，然后发送中优先队列中的报文，同样，直到发送完，然后是正常优先队列和低优先队列。这样，分类时属于较高优先级队列的报文将会得到优先发送，而较低优先级的报文将会在发生拥塞时被较高优先级的报文抢先，使得关键业务（如ERP）的报文能够得到优先处理，非关键业务（如E-Mail）的

47、报文在网络处理完关键业务后的空闲中得到处理，既保证了关键业务的优先，又充分利用了网络资源。COMWARE的拥塞避免和拥塞管理机制是紧密联系在一起的，对于每一种队列调度技术，都可以采用相应的丢包机制与之配合；拥塞管理和避免是所有路由器及路由交换机必须提供的功能，以保证关键业务的转发。IP QoS与链路层QoS技术的融合Internet是利用IP技术在网络层将各种二层网络连接起来，典型的二层网络包括FR、ATM、Ethernet等，因此端到端的IP QoS依赖于每一种二层网络的QoS实现以及其与IP QoS的融合。举例说明，Ethernet与IP QoS的融合： Ethernet/VLAN网络通过

48、802.1Q中的VLAN ID和3个802.1p位，采用802.1p作为QoS信令，利用基本的IP QoS技术（如流分类/监管/整形、拥塞管理与避免），提供一定的QoS能力。COMWARE提供的IP-Ethernet方向的QoS融合包括：提供将分组的IP Pre或EXP映射到Ethernet帧802.1p位的能力，提供根据IP Pre或EXP将报文映射到特定VLAN的能力，各类队列机制增加基于VLAN的流分类等。COMWARE提供的Ethernet- IP方向的QoS融合包括： 对CAR做了扩展，增加了基于VLAN ID和802.1p的流分类等。在本次网络系统中业务众多，为了保证关键业务的高优

49、先级运行，采用QoS技术必不可少。QoS旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。DiffServ是目前IP网络采用的主流QOS模型，一般用来为一些重要的应用提供端到端的QoS。它通过下列技术来实现：流量监管、流量整形、报文标记、队列技术、拥塞避免技术等。在网络中，在网络接入层，按照特定的策略，对报文进行流量监管，防止接入用户过度使用网络，同时对报文进行分类，并根据分类结果在报文中打上优先级标记；在网络的骨干层，根据报文携带的优先级标记及QoS策略对报文进行队列调度，同时也可以采取一定的拥塞避免措施来减少网络拥塞。在某

50、些设备的输出接口，可能还要进行流量整形，以减少网络报文的丢失。网络中QoS的处理流程主要包括：1、在接入层识别业务并标记DSCP。在LAN接入端，能够正确识别关键业务。针对不同的设备、不同的应用程序需要不同的识别方式。简单说就是接入层的识别模式。2、在接入层上行口利用PQ保证关键业务的优先发送，同时保证合理的带宽分配。3、核心层在信任DSCP标记的基础上，并利用PQ保证语音、视频业务的优先发送，同时保证合理的带宽分配。5.本次设计所用部分产品介绍5.5.1防火墙插卡介绍H3C SecBlade FW防火墙模块产品概述H3C SecBlade FW是业内第一款万兆高性能防火墙模块，可应用于H3C

51、 S5800/S7500E /S9500E/S10500/S12500交换机以及SR6600/SR8800路由器。SecBlade FW集成防火墙、VPN、内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技术，实时检测应用层连接状态，实现2-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。Se

52、cBlade FW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。产品特点业内性能最高采用先进的多核硬件结构，提供无以伦比的万兆线速安全防护，是业内处理性能最高的防火墙模块，将网络安全防护提升到万兆安全新阶段。全面的安全防护支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ActiveX Blocking和SQL注入攻击等威胁的防范；可以有效的识别和控制网络中的各种P2P应用；支持静态和动态黑名单、MAC绑定、安

53、全区域控制、系统统计等安全功能。丰富的VPN特性集成IPSec、L2TP、GRE等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的远程接入。全面NAT应用支持提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等多种NAT应用方式。提供DNS、FTP、H.323、NBT等NAT ALG功能，支持多种应用协议正确穿越NAT。先进的虚拟防火墙支持先进的虚拟防火墙技术，通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展

54、问题，简化了网络管理的复杂度。降低运营成本直接在H3C交换机、路由器中增加SecBlade FW模块，即可扩展交换机、路由器的防火墙功能。通过与交换机或路由器共用管理平台，降低了管理难度。并且交换机的任何端口都可以作为SecBlade FW模块的端口使用，从而降低用户成本。高可靠性SecBlade FW业务模块作为业务插卡嵌入H3C交换机或路由器中，降低了单点故障，保证了网络的高可靠性。产品规格5.5.2核心交换机介绍H3C S7500E系列高端多业务路由交换机 产品概述 H3C S7500E(X)系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，

55、该产品基于H3C自主知识产权的Comware V5操作系统，以IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C S7500E(X)符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。 H3C S7500E(X)系列包括S7510E（12槽）、S7508E-X

56、（14槽）、S7506E（8槽）、S7506E-V（垂直8槽）、H3C S7506E-S（8槽）、S7503E（5槽）、7503E-S（3槽）和S7502E(4槽)8款产品，除了7503E-S所有产品均支持冗余主控。H3C S7500E(X)可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。产品特点 丰富的业务，适应融合业务网络发展趋势 基于IRF2（第二代智能弹性架构）技术的虚拟化架构 H3C S7500E(X)面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供2-4台主机的协同工作、统一管理和不间断维护功

57、能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分；另外H3C 的IRF2虚拟化技术还可根据组网的要求支持长距离（80KM）的普通以太网万兆光纤堆叠。 全面的MPLS、VPLS业务能力 H3C S7500E(X)所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部

58、署与维护。 全面支持VPLS，VLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。 高性能IPv4/IPv6业务能力 H3C S7500E(X)支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E(X)采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E(X)已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证，是成熟商用的IPv6产品。 有线无线一体化

59、，有源无源一体化 H3C S7500E(X)集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。 H3C S7500E(X)是业界最高密度的以太网无源光网络（EPON）设备， 其提供高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。 EAD端点准入防护技术 H3C S7500E(X)支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网

60、关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。 全方位的安全保障，抵御多种网络安全威胁 三平面安全保障机制 H3C S7500E(X)提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性