计算机网络技术专业论

计算机网络技术专业论毕业设计论文题目:四川国际标榜职业学院校园网改造设计与实施计算机网络技术专业论全文共65页，当前为第1页。计算机网络技术专业论全文共65页，当前为第1页。摘要随着，计算机技术、通讯技术、网络技术正在以前所未有的速度发展。这些高速发展的新技术带动人类步入了计算机技术发展的新时代网络时代，校园网络如何能满足未来网络的需要，更好的为师生提供良好的网络环境这个课题是我们值得研究的，在原有网络的环境中建设一个具有前沿性、先进性、结构化、系统化的网络实在必行。同所有网络建设一样,当建设一个满足特定业务需求的网络时,必须采取“结构化、系统化”思想做指导。一个良好的、规范的网络开发过程不仅不会成为干扰实际健忘工作的负担，相反会使设计的工作更清晰、更加高效和更令人满意，同时也可以大大减少网络开发成本和提高网络工程质量。本毕业设计作品定位于实际的工程应用，因此配置了比较完备的硬件资源。在内容选择上，一方面以对校园网的网络拓扑和所需设备进行了设计；另一方面用很直观的网络拓扑图概述了本次毕业设计相关的网络安全、网络所需设备以及所实现的网络功能和应用等。毕业设计论文包括课题概况：标榜职业学院是一所高职性综合性院校对网络性能要求严格。统需求分析：本课题对结合校园网络特点进行了详细的需求描述和详细的分析。系统设计：系统设计包括光纤线路走向、网络拓扑结构选择、网络设备选型、VLAN和子网的划分，详细描述了网络组成结构。校园网网络安全：从网络流量控制、网络认证、网络设备安全、无线网络安全详细描述了安全实施。并参与了网络的具体实施，加深了对计算机网络技术的理解，实际动手能力大大提高，学习到了许多书本上学不到的知识。[关键词]：校园网网络拓扑VLAN网络安全系统实施计算机网络技术专业论全文共65页，当前为第2页。计算机网络技术专业论全文共65页，当前为第2页。 目录 TOC\o\h\z\u第一章概述 11.1课题背景 11.2课题概况 21.3课题目的 3第二章需求分析和设计原则 42.1需求与分析 42.1.1具体需求 52.1.2需求分析 52.2设计目标 52.3设计原则 6第三章系统设计方案 73.1网络拓扑设计 73.1.1原拓扑结构 73.1.2拓扑选择 73.1.3拓扑结构图 83.1.4拓扑结构说明 93.2详细设计及设备选型 93.2.1光纤链路设计 93.2.2核心层设计 103.2.3汇聚层设计 153.2.4接入层设计 183.3VLAN与IP子网设计 263.3.1VLAN规划 263.3.2IP子网设计 263.3.3技术前沿IPV6网络设计 27第四章网络安全管理 314.1认证方式 314.1.1主流的接入认证技术 314.1.2认证方式选择 324.1.3认证流程图 324.2流量控制 334.3设备安全 364.4无线网络安全 364.4.1无线局域的安全威胁 364.4.2无线局域网安全技术 374.4.3无线局域安全策略 404.5网络结构安全 404.6网络应用安全 414.6.1网络嗅探 414.6.2ARP欺骗 424.6.3IP地址欺骗 42计算机网络技术专业论全文共65页，当前为第3页。4.6.4DOS攻击 42计算机网络技术专业论全文共65页，当前为第3页。4.7安全控制 444.7.1访问控制列表（ACL） 444.7.2源地址确认 44第五章系统实施 465.1系统实施原则 465.2系统实施步骤 46总结 48参考文献 49致谢 50计算机网络技术专业论全文共65页，当前为第4页。计算机网络技术专业论全文共65页，当前为第4页。第一章概述1.1课题背景随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。校园网是教育信息化的平台，对于推进教学和和科研至关重要，一个先进的校园网能够极大的促进高等院校教学和科研水平的提高。在高校信息化的建设过程中，它的作用体现在如下几个方面：1.校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。2.校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3.校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。4.校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。计算机网络技术专业论全文共65页，当前为第5页。四川国际标榜职业学院是国家具有独立颁发学历文凭资格的普通高等学校。举办纳入国家招生计划的高等职业教育和面向全国的短期职业培训。学院自1993年开设“四川创美学院”，开始美容美发短期培训。1999年更名为“四川国际标榜发型美容专修学院”，并招收两年制大专学历文凭学生。2002年经四川省人民政府批准，更名为“四川国际标榜职业学院”，开设了人物形象设计、发型设计、现代美容、中国传统养生美容、运动保健、服装设计、时装设计及产品开发、平面设计、游戏软件、商贸英语、景观设计、室内设计、家具设计与制造、古旧家具修复与保护、陶艺设计、市场营销与策划、广告与传媒、工商企业管理等十九个专业或专业方向。纳入国家统一招生计划，招收三年制、五年制高职学生。同时设立继续教育学院，招生成人教育和中职学生，进行职业技能培训，计算机网络技术专业论全文共65页，当前为第6页。保留了短期职业培训机构。计算机网络技术专业论全文共65页，当前为第5页。计算机网络技术专业论全文共65页，当前为第6页。学院是美国国际标榜在中国设立的唯一排它性学历教育机构，授权使用“国际标榜”注册商标，在教育教学质量体系建设、课程中国本土化合作、教学研究、师资队伍建设、信息资源共享、技术与产品创新等六个方面进行了长期的、全方位的合作。美国国际标榜是世界上最权威的形象设计教育产业机构，1962年成立于美国芝加哥，2000多所会员学校分布在全球70多个国家和地区。2007年10月，四川国际标榜职业学院顺利通过教育部高职高专人才培养水平评估并获得优秀。2008年8月，四川国际标榜职业学院教学实践基地——女红坊为北京奥运会设计制作了3680套15000多件头饰品；学院300余名师生出色地完成了2008北京奥运会开幕式10000余名演员的化妆造型任务。北京奥组委对四川国际标榜职业学院参与奥运工作的表现，对标榜师生展示出来的道德情操、职业素养和专业技能给与了高度赞扬。2009年1月6日，中央电视台5频道《奥运档案》节目专门播出了《标榜化妆造型团队》的事迹。四川国际标榜职业学院从短期职教走到今天的高职高专教育，经历了十几年的实践。在未来的征程中，将继续沿着“以市场为导向、以质量求生存、以特色求发展”的办学方针，创立独具特色的职业教育理念及办学方法。1.2课题概况四川国际标榜职业学院需要进行校园园区网改造建设，改变原来网络网速缓慢，线路走向混乱。新校园网园区以单模光缆连接了各栋楼宇，覆盖全部教学办公区域和教学区域，实现校园内全部无线覆盖。校园网计划分布有3000多个网络端口，目前需要在原来网络的基础上升级改造，全部重新铺设光纤线路。需接入校园网的计算机约2000多台，并计划校园网能提供Ipv4并保留升级ipv4与Ipv6的双栈服务。新校园网将根据当前与今后一段时间的发展需求，规划一个全新的校园网系统，该校园网系统必须具备高校教育行业应用特点，满足教学、办公、学生教师上网的信息化需求，同时新的校园网系统必须满足将来扩展的需要进行整体计划，在满足当前需要的同时，还必须具备一定的前瞻性。计算机网络技术专业论全文共65页，当前为第7页。在实际的建设过程当中，应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性，如：校园网内部的服务器的访问，由于学生的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。计算机网络技术专业论全文共65页，当前为第7页。在本课题中本人主要参与了，光纤线路的铺设和熔接，VLAN与子网的划分，交接机的配置调试及上架，无线AP的安装。1.3课题目的本课题的来源是四川国际标榜职业学院校园网网络升级改造建设的过程和需要，改变原有校园网的安全性差、带宽较小、性能较低等状况。校园网的整体结构是一个通过光纤连接的三层园区网络并连接到互联网和教育网，在网络每一级的主干节点上具有一个局域网。校园网需要对学校内几千个端点进行管理，这其中存在的监控、管理、认证等各种问题十分复杂，学院的建网目标是连接学院内的所有应用节点并实现与互联网和CERNET网的安全互联，建立信息资源服务体系，在满足学院系统内信息化需求的同时，向内部师生员工和社会提供信息资源服务。基于这种情况，考虑到四川国际标榜职业学院联网计算机较多，具有较多的网络设施和应用系统，为保障校园网的运行安全和应对各种网络风险，有必要统一规划，设计一个符合四川国际标榜职业学院校园网实际的校园网系统，有计划地分步骤实施。计算机网络技术专业论计算机网络技术专业论全文共65页，当前为第8页。第二章需求分析和设计原则2.1需求与分析校园网作为一种独特的模式，既具有一般企业网的特质，又有其特殊的地方。相同之处在于：作为集团用户，接入网络都需要具有一定的独立性和相当的可统计、可管理性的特性；较之一般的企业网，校园网又会面临更复杂的用户类型和业务需求，它不是单纯的办公网络，是一个承载教学、办公自动化、图书馆等多种业务和应用的平台，建设一个性能强大的校园网络是必不可少。当前校园网的主要特点：网络吞吐能力高、速度快、系统规模大（多校区）；用户群庞大、多层次（教师、学生等）、接入方式多样（PPPoE、DHCP＋Web、802.1x、专线接入、WLAN等）；网络环境复杂、多网共存（教学网、科研网、办公网、无线网、学生宿舍网、教工家属网等）；数据业务复杂（网上点播、电子教室、财务、政务等）、类型多样（数据、语音、视频等）；用网时间集中、同时在线人数众多、流量巨大且分布时段不均；学生活跃、好奇、敢于尝试、攻击性强；计算机蠕虫、病毒泛滥、盗版资源泛滥、网络行为突发性高；教育网作为我国开展下一代网络研究的试验基地，其采用了先进性的技术，Cernet2试验网的开通，是我国第一个IPV6主干网，也是世界上规模最大的纯IPV6网，标志着中国下一代互联网建设拉开了序幕。一般高校校园网的主要需求有：1、多出口需求：典型的组网有中国教育和科研网（CERNET）出口和运营商网络出口。2、管理的需求：包括对用户和设备的管理，可操作、易管理、具备灵活的计费策略、扩展能力强。3、区分内、外网需求：限制资源的访问，对内、网采用不同计费策略。4、安全需求：非法的DHCPServer、病毒、攻击、上网日志等。5、NAT需求：公网地址不够，在运营商或教育网其中一个出口做NAT。6、多业务需求：强大的组播支持能力、多业务融合（语言、数据、饰品）能力。7、可靠性需求：设备具备高性能、高可靠性、高稳定性、高安全性。8、投资需求：高性价比、平滑升级、投资保护。计算机网络技术专业论全文共65页，当前为第9页。9、Qos需求：具备完善的QOS能力。计算机网络技术专业论全文共65页，当前为第9页。2.1.1具体需求1、升级后对用户和设备的管理，可操作、易管理、具备灵活的计费策略、扩展能力强。2、升级后能更有效的防止非法的DHCPServer、病毒、攻击。3、升级后网络具备高性能、高可靠性、高稳定性、高安全性。4、升级后无线使用认证接入方式，并实现相应区域漫游。5、升级后能更好的控制网络流量在上班时间阻止不必要流量，合理利用现有带宽。2.1.2需求分析1、升级后全部采用可管理的网络设备，到达远程对设备的管理和操作。2、网络全部采用认证接入方式，防止不明计算机接入，保证接入的安全性。3、核心到汇集全部采用单模光纤并做相应的备份，提供高速可靠的传输。4、加装流量监控设备，智能应用管理合理利用流量，防止不必要流量产生。5、无线认证接入，提供漫游。2.2设计目标针对本次学院网络升级改造建设课题，按照以下目标来实施网络建设：1、以校区新网络建设为契机，将学院网络建设成为信息一体化、管理集中化、业务多样化的优秀校园网络；2、新网络结构清晰，网络层次合理数据网络需要采用分布式布线，各个配线节点通过单模光纤与中心交换机相连，形成万兆骨干、千兆骨干、桌面百兆接入、无线全院覆盖的宽带网络，网络建成后，应该实现各信息点的高速上网、能为多媒体教学科研提供一个高速承载平台，支持MPLS、IPV6等特性，方便的网络管理、安全的认证；3、运营商级的网络系统安全性、运营安全性；4、网络带宽大幅提升：核心层与汇聚层之间全部采用万兆并预留千兆升级接口连接，汇聚层之间采用千兆连接，消除带宽瓶颈；计算机网络技术专业论全文共65页，当前为第10页。5、多样性访问权限控制与管理；针对不同类别用户采取不同认证、计费策略。计算机网络技术专业论全文共65页，当前为第10页。2.3设计原则现在高校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。高校网络建设遵循以下基本原则：1、可管理性高校网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于高校网络的使用者数量巨大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保用户和学校的利益不受损失。2、可增值性校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。3、可扩充性考虑到用户数量和业务种类发展的不确定性，校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。4、开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。5、安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。计算机网络技术专业论全文共65页，当前为第11页。计算机网络技术专业论全文共65页，当前为第11页。第三章系统设计方案根据校园网升级建设的需求和设计原则，并结合学院校园网的当前状况和未来发展趋势，本论文为学院校园网网络建设量身定制了一套合体合用的校园网升级建设方案。整个网络方案设计突出层次化、可管理、易维护、高可靠性的原则，确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。3.1网络拓扑设计3.1.1原拓扑结构四川国际标榜学院原网络结构采用了三台软路由来连接不同的ISP，采用单核心交换，接入层连接复杂。如图3-1所示。图3-1标榜学院原拓扑结构图在此网络中三层网络结构不明显，线路连接混乱，没有明显的层次结构。用户长期反映，网络缓慢，掉包严重。无法提供稳定的网络环境。3.1.2拓扑选择计算机网络技术专业论全文共65页，当前为第12页。网络拓扑结构，特别是网络主干拓扑结构的设计直接关系到网络性能的好计算机网络技术专业论全文共65页，当前为第13页。坏。计算机网络技术专业论全文共65页，当前为第12页。计算机网络技术专业论全文共65页，当前为第13页。一般来说局域网总体结构分为三层网络结构和两层网络结构。三层网络结构包括核心层、汇聚层和接入层；两层网络结构分为核心层和接入层。三层结构中的汇聚层一般起到分担核心层负担的作用，通常在广域网或者用户数量很大的情况下采用。两层结构相对于三层结构投资少，网络结构简单、维护方便、网络故障环节少，但是仅仅适合相对用户数量较少的情况；另外，二层结构对于有技术功底的学生来说，让核心设备直接暴露在学生的PC下面，造成不安全因素；同时，大量的服务器以及应用平台直接下带核心设备，也极大的占用了核心设备的高速转发性能，体现不出核心交换机的功能。因此，校园网一般采用三层结构，包括核心层、汇聚层和接入层。三层结构出了方便用户管理和设备管理之外，也提供了良好的网络安全性和扩展性。核心层主要作用是提供高速传输和路由最优化通信，为下层提供优化的数据运输功能，它是一个高速可靠的主干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL，过滤等)，否则会降低数据包的交换速度。汇聚层的作用是汇聚接入层的流量，连接核心层，为接入层和核心层提供通道。接入层主要完成用户的接入控制，还应能对由用户接入层所区分开的不同优先级的应用加以区别对待，从而支持端到端的服务质量以及提供VLAN的功能。根据这种层次化网络设计思想的原则，我们可以把校园网的整个网络体系结构分为以下三个层次：由位于中心机房的核心交换机组成的核心层；由位于楼宇机房的汇聚层交换机组成汇聚层；由位于各楼层的信息点和接入组成接入层；3.1.3拓扑结构图计算机网络技术专业论全文共65页，当前为第14页。总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。新网络拓扑图如图3-2所示。计算机网络技术专业论全文共65页，当前为第14页。图3-2新网络拓扑3.1.4拓扑结构说明1、新的校园网络从核心层到汇集层全部使用单模光纤。2、采用5条万兆链路连接重点区域。3、除5条万兆链路外，其余全部使用千兆光纤连接。4、用户接入采用无线与有线结合，接入交换机全网管。5、采用层次结构使网络易于管理。6、采用高性能的单核心交换。3.2详细设计及设备选型3.2.1光纤链路设计计算机网络技术专业论全文共65页，当前为第15页。本次网络升级不仅仅是设备的升级也是线路的升级，把过去多模光纤网络，全部更换为传输更可靠传输距离更远的单模光纤网络。为了使网络有一定量的冗余，更好的管理光纤线路，光纤链路使用交接箱连接方式。从中心交接箱到中心机房采用72芯，从中心交接箱到飞燕楼交接箱采用32芯，从中心交接箱到CB楼交接箱采用32芯，从中心交接箱到龙子楼交接箱采用32芯，其余链路为8芯和4芯。光纤链路图如图3-3所示计算机网络技术专业论全文共65页，当前为第15页。图3-3光纤链路图3.2.2核心层设计核心交换机是整个网络的计算和内部数据交换处理中心，在整个局域网内是最为关键和重要的设备。核心交换机推荐采用H3C9512交换机一台。如图3-4所示图3-4H3C9512交换机特点：计算机网络技术专业论全文共65页，当前为第16页。基于ASIC的高性能业务计算机网络技术专业论全文共65页，当前为第16页。线速的MPLS业务处理H3CS9500系列支持分布式的MPLS业务，分布在接口板上的ASIC芯片直接完成MPLS标签的线速处理，不存在集中式处理的瓶颈，MPLS性能业界最高。与其他集中式的MPLS设备相比，S9500保障了大业务量时MPLS的高可用性，持续保护用户投资。线速的IPv6业务处理H3CS9500系列支持分布式的IPv6业务，分布在接口板上的ASIC芯片支持对IPv6报文的线速处理，用户通过升级操作系统可实现基于ASIC的全线速IPv6转发，极大保护用户投资，适应网络业务不断发展的需求。大容量高性能路由交换H3CS9500系列提供业界领先的交换能力，其最高的1.44T路由交换引擎可以实现576个千兆或48个万兆端口的线速转发，三层包转发能力高达857Mpps。融合的网络安全特性集成的安全特性H3CS9500系列产品基于开放的OAA架构，可以集成防火墙模块、IPS模块、ACG应用控制网关模块、AFC异常流量清洗模块、LB负载均衡模块、SSLVPN模块，通过产品的融合实现网络安全一体化的解决方案。设备自身的安全特性H3CS9500系列采用“最长匹配、逐包转发”模式，能够抵御网络病毒的攻击；支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证；支持IP、VLAN、MAC和端口等多种组合绑定方式，防范地址盗用；支持广播报文抑制，有效控制ARP等非法广播流量对设备造成冲击；支持URPF，防止IP地址欺骗；支持报文安全过滤，防止非法侵入和恶意报文攻击等。管理的安全性H3CS9500系列支持IEEE802.1x、AAA/Radius、HWTACACS，对用户身份进行合法性认证；支持用户分级管理，不同级别的用户拥有不同的配置权限；支持安全的SNMPv3网管协议；支持安全的远程登录SSHV2；支持受限IP地址方式的Telnet登录。最长的网络正常运行时间产品的无单点故障设计计算机网络技术专业论全文共65页，当前为第17页。H3CS9500系列采用分布式体系结构，所有关键部件采用冗余设计，包括主控板、交换网、电源和风扇等；采用无源背板设计，避免机箱出现单点故障；所有单板支持热插拔功能，并且对其它单板上运行的业务无影响。计算机网络技术专业论全文共65页，当前为第17页。路由协议的高可靠保障H3CS9500系列支持OSPF/IS-IS/BGP的优雅重启技术（GracefulRestart），可以实现用户业务的不间断转发；支持动态路由协议、跨板端口聚合、虚拟路由冗余协议（VRRP）等保护机制，有效保证全网高速可靠运行。快速自愈的环网保护技术H3CS9500支持RPR（弹性分组环），RPR技术融合了SDH故障自愈的高可靠性与以太网的经济性、高带宽、灵活性、可扩展能力等优势，可以保障小于50ms的故障切换时间，音频、视频等实时业务不受故障影响。RPR技术为用户提供了高可靠的多业务传输解决方案。融合的多业务特性网络业务分析H3CS9500系列通过高性能的网络处理器实现对网络业务的分析。支持V5、V8和V9多种日志格式，与XLOG日志审计系统配合，为用户提供完整的网络流量分析解决方案；支持向主、备服务器同时发送日志，防止统计信息丢失。网络业务分析使原本不可见的网络业务应用流量变得一目了然，进而可以帮助用户及时优化网络结构，调整资源部署。高品质QoS特性H3CS9500系列支持完善的QoS功能，支持流量监管，粒度可精细化到8Kbps；支持流量整形，可基于端口或队列灵活设置；支持报文DSCP优先级、IP优先级、TOS优先级、COS优先级以及Exp优先级的重置功能；支持报文重定向功能，可根据网络流量状况灵活配置报文的转发路径；支持多种模式的队列调度机制；支持多种拥塞避免机制。定制的行业解决方案H3CS9500系列根据行业用户的个性化需求，推出了多种新业务特性：支持Portal认证，使最终用户无须安装客户端即可完成认证；支持对BT流量控制，防止P2P业务对出口带宽资源的滥用；在校园网中对不同网段的流量区分计费，满足教育用户的需求；支持可编程的开放接口，可针对各行业客户需求实现个性化的业务定制。产品规格及参数：（见表3-1所示）计算机网络技术专业论全文共65页，当前为第18页。表3-1H3C9512产品规格及参数:计算机网络技术专业论全文共65页，当前为第18页。背板容量(bps)槽位数量业务槽位数量MAC地址表1.8T1412168k/System交换容量(bps)XRCoreEngine™I720GXRCoreEngine™II1.44TIPv4包转发率(pps)XRCoreEngine™I428MXRCoreEngine™II857MIPv6包转发率(pps)XRCoreEngine™I374MXRCoreEngine™II749M二层特性支持IEEE802.1Q（VLAN）支持IEEE802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE802.1ad（QinQ）和灵活QinQ支持IEEE802.3x（全双工流控）和背压式流控（半双工）支持IEEE802.3ad（链路聚合）和跨板链路聚合支持IEEE802.3（10Base-T）/802.3u（100Base-T）支持IEEE802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE802.3ae（10Gbase）支持IEEE802.3af（POE）支持IEEE802.17（RPR）支持RRPP（快速环网保护协议）支持端口镜像和跨板的端口镜像支持端口广播风暴抑制支持多播流量限制支持Jumboframe支持基于端口、协议、IP子网的VLAN划分支持基于用户名、MAC地址的VLAN动态分配支持SuperVLAN、支持IsolateVLAN（PVLAN）支持GVRP、ARPProxy计算机网络技术专业论全文共65页，当前为第19页。路由特性计算机网络技术专业论全文共65页，当前为第19页。支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart优雅重启)计算机网络技术专业论全文共65页，当前为第20页。支持等价路由计算机网络技术专业论全文共65页，当前为第20页。支持策略路由支持路由策略支持DHCPRelay支持DHCPServer组播支持IGMPv1/2/3支持IGMPSnoopingv1/2/3支持IGMPFilter、支持IGMPFastleave支持IGMPProxy支持PIM-SM支持PIM-DM支持MSDP支持MBGP支持Any-RP多业务特性支持MPLS支持MPLSL3VPN、VLLL2VPN支持VPLSVPN、L2TP/GRE/IPSecVPN支持防火墙功能、NAT功能、网络流量分析IPv6特性支持RIPng、OSPFv3、IS-ISv6、BGP4+支持IPv6PolicyRouting、VRRPv3支持NeighborDiscoveryProtocol、PathMTUDiscovery支持DHCPv6、Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6支持MLD(MulticastListenerDiscovery)v1、MLDSnoopingv1、PIMv6支持IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道计算机网络技术专业论全文共65页，当前为第21页。QoS计算机网络技术专业论全文共65页，当前为第21页。支持802.1P(COS优先级)支持DSCP支持Diff-serv/QoS支持基于标准、扩展、VLANACL进行流量分类支持流量监管（CAR），粒度为8Kbps支持流量整形（TrafficShapping）支持队列调度机制，包括SP、WRR、SP+WRR支持拥塞避免机制，包括Tail-Drop、WRED安全机制支持IEEE802.1x和IEEE802.1xSERVER支持Portal认证、支持Radius/HWTACACS支持基于标准、扩展、VLAN的ACL报文过滤支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证支持安全网管SNMPv3、SSHv2支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限支持受限的IP地址的Telnet的登录和口令机制支持IP地址、VLANID、MAC地址和端口等多种组合绑定支持广播报文抑制支持主备数据备份机制机柜/机箱配置：（见表3-2所示）表3-2H3C9512机柜/机箱配置:描述数量范围备注H3CS9512路由交换机主机148端口10/100/1000M电接口业务板224端口千兆以太网光接口业务板14端口万兆以太网光接口业务板2无线控制器业务板2直流电源模块-2000W23.2.3汇聚层设计计算机网络技术专业论全文共65页，当前为第22页。由于校园网的各区域存在密集度高的大量用户，为了保证数据传输和交换的效率，在各个楼内设置三层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的计算机网络技术专业论全文共65页，当前为第23页。部分压力，同时提高了网络的安全性。我们建议楼内汇聚采计算机网络技术专业论全文共65页，当前为第22页。计算机网络技术专业论全文共65页，当前为第23页。用LS-5500-28C-SI汇聚交换机5台提供万兆链路主要负责用户密集区域。如图3-5所示图3-5LS-5500-28C-SI交换机特点：高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE链路将是我们的未来发展方向。S5500-SI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。此外，每槽位还可以支持双端口SFP扩展模块，整机可用千兆端口数可以达到28或者52。S5500-SI系列硬件支持IPv4/IPv6双栈，其中IPv4支持静态路由和RIP协议，IPv6支持静态路由和RIPng协议。同时支持IPv6的ACL和网管，实现IPv4到IPv6的平滑升级。H3CS5510-SI交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理的优点。同时大大降低系统扩展的成本，保护了用户投资。多业务支持能力支持PoE（PoweroverEthernet）技术，通过以太网对所连接的设备（如IPPhone,WirelessAP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。支持VoiceVLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入VoiceVLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置VoiceVLAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对VoiceVLAN内的语音流量的冲击。S5500-SI系列交换机通过支持POE和VoiceVlan技术结合可以提供完整的语音设备管理方案，很好地解决了大量的IPPHONE的智能检测、供电和优先级的调整问题。完备的安全控制策略计算机网络技术专业论全文共65页，当前为第24页。H3CS5500-SI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防计算机网络技术专业论全文共65页，当前为第25页。御能力。H计算机网络技术专业论全文共65页，当前为第24页。计算机网络技术专业论全文共65页，当前为第25页。3CS5500-SI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.1x认证和基于MAC地址认证。提供GuestVlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持SecureShellV2（SSHV2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富的QoS策略H3CS5500-SI系列交换机支持支持L2（Layer2）~L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种模式。支持CAR（CommittedAccessRate）功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。出色的管理性H3CS5500-SI系列交换机支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMPv2集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5500-SI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。产品规格及参数：（见表3-3所示）计算机网络技术专业论全文共65页，当前为第26页。表3-3H3CS5500-SI产品规格及参数:计算机网络技术专业论全文共65页，当前为第26页。产品类型千兆交换机传输方式存储转发方式背板带宽128Gbps包转发率95.2Mpps接口类型10/100/1000M电口，100/1000M电口,千兆SFPCombo口，24口传输速率10M/100M/1000Mbps模块化插槽数4个支持网络标准IEEE802.3x,802.1X网管功能支持网管功能,支持命令行接口(CLI)配置,支持Telnet远程配置,支持通过Console口配置,支持SNMP,支持RMON,支持Quidview网管系统,支持WEB网管,支持系统日志,支持分级告警,支持HGMP,支持NTP,支持电源的告警功能,支持风扇,温度告警MAC地址表16K3.2.4接入层设计接入层是直接与校园网众多计算机相连的设备，校园网的接入层建设中，实训机房网络接入最为典型，在整个校园网的接入网建设中占有很大的比重，其主要特点是上网时间集中，突发流量大、安全控制要求高。学院网络升级后大部分教师采用无线上网方式，安全认证就是最总要的问题。鉴于上述特点，对于学院校园网网络接入层采用802.1x认证方式，配合PVLAN、单端口环回检测、端口速率限制、集群管理等手段，达到对学生可控、可管理的目的。因此接入层设备采用H3CE126A和H3CE152和H3CWA2210-AGAP配合使用。如图3-6、图3-7、图3-8所示计算机网络技术专业论全文共65页，当前为第27页。图3-6H3CE126A计算机网络技术专业论全文共65页，当前为第27页。图3-7H3CE152图3-8H3CWA2210-AG交换机特点：全面的接入安全策略H3CE126A/E152教育网交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施校园网常见的“中间人”攻击，对不符合DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝学生私设DHCP服务器，保证DHCP环境的真实性和一致性。E126A/E152教育网交换机支持端口安全特性族，可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。E126A/E152教育网交换机有强大硬件ACL能力，能深度识别报文，支持L2～L4包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN、VLAN范围等定义ACL，以便交换机进行后续的处理。E126A/E152教育网交换机支持集中式MAC地址认证和802.1x认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。支持对Proxy进行有效的管理。计算机网络技术专业论全文共65页，当前为第28页。增强的网络管理和维护的易用性计算机网络技术专业论全文共65页，当前为第28页。H3CE126A/E152教育网交换机支持通过FTP、TFTP实现设备的远程升级，支持SNMPv1/v2/v3，可支持OpenView等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管，Telnet，HGMP集群管理，使设备管理更方便。E126A/E152教育网交换机支持跨交换机的远程端口镜像RSPAN，可以将接入端口的流量镜像到核心交换机上，可以对全网业务和流量进行监控、优化部署和恶意攻击监控，满足校园网精细化管理的需要。E126A/E152教育网交换机支持VCT（VirtualCableTest）电缆检测功能，便于快速定位网络故障点；并支持DLDP（DeviceLinkDetectionProtocol）单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。高性能与灵活扩展能力H3CE126A/E152教育网交换机具有19.2G的背板交换容量，支持所有端口线速转发，满足了教育用户对高带宽的需求。设备支持2/4个GE上行，采用固定电口和通用SFP的灵活千兆连接方式，在降低用户成本的同时，更好的考虑了用户后续升级的实际需求。E126A/E152教育网交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，最大扩展至768个10/100M端口，支持E126A和E152混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了用户投资。丰富的业务支持能力H3CE126A/E152教育网交换机支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种队列调度算法，支持每个端口4/8个输出队列，可以以不同的优先级将报文放入端口的输出队列。E126A/E152教育网交换机支持端口限速功能，限速粒度可达64Kbps，防止恶意侵占网络带宽，也为网络带宽的精细化管理提供了手段。E126A/E152教育网交换机支持IPv6host，包括IPv6单播地址配置，ICMPv6，IPv6邻居发现协议（ND），IPv6-TCP，IPv6-TFTP，IPv6-TRACERT管理特性。产品规格及参数：（见表3-4所示）计算机网络技术专业论全文共65页，当前为第29页。表3-4H3CE126H3CE152产品规格及参数：计算机网络技术专业论全文共65页，当前为第29页。项目H3CE126AH3CE152固定端口24个10/100Base-TX以太网端口，2个10/100/1000Base-T以太网端口和2个复用的1000Base-XSFP48个10/100Base-TX以太网端口，4个1000Base-XSFP千兆以太网端口千兆以太网端口可用模块SFP-FE-SX-MM1310-ASFP-FE-LX-SM1310-ASFP-GE-SX-MM850-ASFP-GE-LX-SM1310-ASFP-STACK-KitSFP-FE-LX-SM1310-BIDISFP-FE-LX-SM1550-BIDISFP-GE-LX-SM1310-BIDISFP-GE-LX-SM1490-BIDISFP-GE-SX-MM850-ASFP-GE-LX-SM1310-ASFP-GE-LH40-SM1310SFP-GE-LH40-SM1550SFP-GE-LH70-SM1550SFP-GE-TSFP-GE-LX-SM1310-BIDISFP-GE-LX-SM1490-BIDI交换容量所有端口支持线速转发19.2Gbps所有端口支持线速转发19.2Gbps包转发率6.55Mpps13.2Mpps交换模式存储转发模式（StoreandForward）存储转发模式（StoreandForward）支持QoS每个端口支持4个输出队列每个端口支持4个输出队列MAC地址支持8KMAC地址支持黑洞MAC支持设置端口最大MAC地址学习VLAN支持基于端口的VLAN(4K个)支持VLANVPN（QinQ）支持GVRPDHCP支持DHCPclient支持DHCPSnooping支持DHCPSnoopingtrust支持DHCPSnoopingoption8支持ACL支持L2（Layer2）～L4（Layer4）包过滤功能，可以匹配报文前80个字节，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN等定义ACL支持基于时间段（TimeRange）的ACL支持基于端口组、全局、VLAN批量下发ACL安全特性用户分级管理和口令保护支持GuestVLAN支持IEEE802.1X认证支持集中MAC地址认证用户分级管理和口令保护支持AAA&RADIUS&HWTACAC支持MAC地址学习数目限制支持SecurityMAC计算机网络技术专业论全文共65页，当前为第30页。支持StickyMAC支持MAC地址黑洞计算机网络技术专业论全文共65页，当前为第30页。支持SSH2.0支持IP源地址保护支持ARP入侵检测功能支持ARP报文限速功能支持端口隔离支持IP＋端口的绑定支持IP+MAC的绑定支持端口＋MAC的绑定支持IP+MAC+端口的绑定管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持SNMPv1/v2/v3，WEB网管支持RMON（RemoteMonitoring）1，2，3，9组MIB支持H3CiMC智能管理中心支持系统日志，分级告警，调试信息输出支持IPv6host，包括IPv6单播地址配置，ICMPv6，IPv6邻居发现协议（ND），IPv6静态路由，IPv6-PING，IPv6-TCP，IPv6-TFTP，IPv6-TELNET，IPv6-TRACERT支持Ping、Traceroute，MulticastTraceroute支持Telnet远程维护支持上电POST支持VCT（VirtualCableTest）电缆检测功能支持DLDP（DeviceLinkDetectionProtocol）单向链路检测协议支持Loopback-detection端口环回检测无线AP特点：支持集中管理WA2200系列作为FitAP和无线控制器或有线无线一体化交换机配合组网，大部分管理报文和数据报文都需要经过无线控制器的统一处理。在无线控制器端，通过CAPWAP协议控制网络中所有的FitAP，所有设备的状态都一目了然。较之传统的FatAP，无线控制器加FitAP的应用模式极大地方便了系统管理员管理整个网络。支持版本自动升级WA2200系列可以和网络内的无线控制器自动取得关联，并下载最新的软件版本到AP设备。所有的这些操作都是自动完成的，不需要人工干预，减少了网络维护的工作量。这个特性对于大型网络尤其重要。计算机网络技术专业论全文共65页，当前为第31页。支持中国标准WAPI（无线局域网鉴别和保密基础结构）计算机网络技术专业论全文共65页，当前为第31页。WA2200系列产品，除了支持802.11i和WPA等国际标准外，配合无线控制器还支持中国无线局域网国家标准GB15629.11-2003中提出的、安全等级更高的WAPI。支持IPv6特性WA2200系列产品实现了IPv4/IPv6双协议栈，与无线控制器之间可以穿过IPv6网络互联，使得组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。WA2110-AG也支持无线用户采用IPv6接入网络。支持EAD无线接入端点准入防御（EAD，EndpointAdmissionDefense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。WA2200系列产品支持无线用户的EAD接入，通过与安全策略务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高无线网络的整体安全性。支持智能的负载均衡WA2200系列无线接入点支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如果无线用户不在AP的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。支持用户隔离策略WA2200系列无线接入点支持无线用户之间的隔离。当启用了此功能后，两个无线客户端之间无法直接通讯，无线客户端只能访问上游的有线网络。应用此特性，运营商可强制无线用户到指定的网关或服务器上进行计费或更安全的认证，实现所谓的热点应用。提供灵活的数据转发方式计算机网络技术专业论全文共65页，当前为第32页。支持集中式转发和分布式转发。单一的集中式转发，AC虽然能对报文进行全面控制，但所有的无线业务流都要到AC进行统一处理，使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。当采用分布式转发时，报文在AP上直接转化为有线格式的报文，并不经过AC，能够实现无线报文的宽带计算机网络技术专业论全文共65页，当前为第33页。接入。WA2200系列无线接入点，可与H计算机网络技术专业论全文共65页，当前为第32页。计算机网络技术专业论全文共65页，当前为第33页。3C无线控制器配合，支持两种转发方式，用户可以根据需要，给SSID设置转发的类型。支持TR-069特性(CWMP)WA2200系列工作于FATAP模式时，支持TR-069特性。TR-069是由DSL论坛（所开发的系列技术规范之一，其全称为“CPE广域网管理协议”。此特性方便网管人员从网络侧对位置分散的WA2200系列设备进行远程集中管理。支持桥接应用WA2200系列可以配置射频单元作为桥接使用，为连接两个或多个物理上隔离的局域网接入点。WA2200系列同时支持点到点或点到多点桥接应用，最大支持桥接链路数为8条/射频单元。使用双频无线接入点时，可以将一个射频单元作接入，另一个作桥接使用，使得在对WLAN网络进行桥接时，可以不需单独部署AP。同时支持本地供电和PoE供电WA2210X-GE和WA2220X-AGE不仅支持PoE供电，还支持本地供电。对于采用光纤直连室外远距离组网的情况，可以直接采用220V电压进行本地供电。支持为无线客户端动态分配IPWA2200系列工作于FatAP模式时，可以配置工作为DHCPserver，为接入的无线客户端动态分配IP地址，此功能使网络管理者省却了规划静态地址的烦恼。支持PPPoE客户端WA2200系列工作于FatAP模式时，可以配置工作为PPPoEClient，能主动与远端的PPPoEserve建立PPPoE连接。支持大功率WA2220X-AGP大功率型AP，11g模块输出功率最大可达500mW、且发射功率多级可调，同时具有较高的接收灵敏度。支持光口上行计算机网络技术专业论全文共65页，当前为第34页。WA2210X-G、WA2210X-GE、WA2220X-AG、WA2220X-AGP和WA2220X-AGE五款室外型AP都支持SFP上行FE光口，用户在室外部署时不用在配置额外的光电转换器，减少了网络故障点。此外，上行ETH口与上行光口可进行冗余备份，提供更高的可靠性。计算机网络技术专业论全文共65页，当前为第34页。支持更高的工作温度要求室内型工作温度范围为0至45摄氏度，室外型和增强型工作温度范围为-30至55摄氏度，宽温度范围保证了WA2200系列可以在任何季节工作在全球绝大多数地点。支持链路快速切换轨旁AP和车载APWA2220E-AG-T在设备启动后将自动发现AC并建立和AC的CAPWAP协议控制隧道，通过该隧道设备可以更新设备软件版本和获得网络配置。随着车辆的移动，车载AP将快速扫描信道以发现车辆移动方向上可用的轨旁AP，并与之快速建立无线链路，这个链路将车载网络和轨旁的有线网络进行了联通，从而提供了通讯通道。H3CWA2200系列AP配合H3C无线控制器实现的链路质量预测的切换技术（简称，WHFT），可保证车辆在运行过程中，车载AP与轨旁AP的链路零切换时间。WHFT总是设法让车载AP维持和多个轨旁AP的无线链路，系统会选择当前一个较优的无线链路进行数据转发。通过部署时证相邻轨旁AP彼此重叠足够的区域，所有与切换有关的处理，在列车运行在相邻AP重叠区域内完成，从而实现车载AP在与旧的轨旁AP（如APn）脱离前与新轨旁AP（如APn+1）建立连接，即在中断前连接（connection-before-break）。AP规格及参数：（见表3-5所示）计算机网络技术专业论全文共65页，当前为第35页。表3-5AP规格及参数:计算机网络技术专业论全文共65页，当前为第35页。3.3VLAN与IP子网设计3.3.1VLAN规划采用虚拟局域网VLAN主要出于三个目的：用户隔离、提高网络效率；提供灵活的管理；提高系统安全性。因此，规划VLAN时也应该综合考虑这三方面的因素。接入层设备为二层交换机和无线AP，为用于最终用户的接入。H3CE126A和H3CE152以太网交换机均支持VLAN功能，为了进行不同用户间的有效隔离和互联，需要利用交换机对用户进行相应的VLAN划分。具体做法可以是将交换机的每一端口划分一个VLAN以实现所有用户间的二层隔离，此时如果需要互联，可通过上连设备的ACL功能来控制；也可以根据需要将多个交换机的不同端口划为同一个VLAN，直接实现有限制的用户互联。3.3.2IP子网设计IP地址分配要遵循以下原则：1、简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式。计算机网络技术专业论全文共65页，当前为第36页。2、连续性：为同一个网络区域分配连续的网络地址，便于采用SUMMARIZATION及CIDR(CLASSLESSINTER-DOMAINROUTING)技术缩减路由表的表项，提高路由器的处理效率。计算机网络技术专业论全文共65页，当前为第36页。3、可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性。4、灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化。5、可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。6、安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。根据以上设计和校园网的需求，学院校园网网络的VLAN和IP子网划分见表3-6所示：计算机网络技术专业论全文共65页，当前为第37页。表3-6VLAN和IP子网划分：计算机网络技术专业论全文共65页，当前为第37页。VLAN号IP网段VLAN描述vlan2352To5500-1vlan3752To5500-2vlan4152To5500-3vlan5552To5500-4vlan6952To5500-5vlan7352To5500-6vlan8752To5500-7vlan9152To5500-8vlan20For-IDC-servervlan2140For-IDC-DNSservervlan22ForWangLuoBuvlan201ManagementVlanvlan202ForAPvlan205vlan21092TO_WLANvlan211592vlan2122992For-IRlouvlan2139292For-ZhuanJiaLou_WireLessvlan21492CBlou_WireLessvlan215492DaFuDi_WireLessvlan30028ToYiKaTongZhongXinvlan30124To-FeiYanLouvlan302324To-Cblouvlan303524To-XiaoFuDivlan304724To-HouqinZhongXinvlan3052924To-LongZilouvlan3066124To-MingChuanLouvlan3079324To-TuanWeivlan3082524To-GongChangvlan30924ForYB3Louvlan310324ForCeDuivlan311ForZhuanJiaLouvlan312For-IR201vlan313To-IR202vlan314For-IR203vlan315For-IR204vlan316For-IR205vlan31724DangAnGuanvlan318For-IR206vlan319For-IR207vlan3203748For-YiKaTong_Cheduivlan321For-FuZhuangShiXunShi计算机网络技术专业论全文共65页，当前为第38页。vlan322计算机网络技术专业论全文共65页，当前为第38页。vlan323424For-BanHuaOFFICE3.3.3技术前沿IPV6网络设计1、IPv6的优势IPv6的发展是从1992年开始的，经过了12年的发展时间，IPv6的标准体系已经基本完善，在这个过程中，IPv6逐步优化了协议体系结构，为业务发展创造机会，归纳起来IPv6的优势包括如下几个特点：地址充足：IPv6产