学校网络设计方案

XX学院校园网络设计方案XXX年XX月

目录TOC\o"1-4"\h\z\u第1章 概述 3第2章 系统建设需求 3第3章 网络平台建设方案 43.1 网络设计原则 43.2 网络层次化设计 53.3 校园网络总体构造 63.3.1 关键层设计 73.3.2 数据中心设计 113.3.3 汇聚层设计 113.3.4 网络出口设计 143.3.5 接入层设计 173.3.6 无线网络设计 213.4 网络安全性设计 253.4.1 重要安全区域隔离 253.4.2 出口带宽监管 263.4.3 网络安全保护 273.5 网络可靠性设计 293.5.1 物理设备和链路稳定性 29 网络构造的可靠性 29 设备级冗余性设计 29 链路冗余配置 313.5.2 数据链路层稳定性设计 31 网络布署MSTP 31 生成树边缘端口 31 DLDP技术运用 323.5.3 网络层稳定性设计 323.6 网络管理设计 333.6.1 资源管理 333.6.2 拓扑管理 343.6.3 故障（告警/事件）管理 353.6.4 性能管理 383.6.5 图形化设备管理 383.6.6 集中配置管理 393.7 顾客管理系统 403.8 方案总结及优势阐明 44

概述广州XX职业技术学院（如下简称为XX学院）1999年3月经教育部同意成立，是中国XX总局唯一一所独立设置实行高等职业教育的全日制一般高等院校，是“国家示范性高等职业院校建设计划”立项建设院校之一。根据国家示范性高等职业院校建设项目的规定，XX学院拟完善数字化校园网络平台，为数字化教学平台提供一种良好的支撑平台。方案参照了学院《数字化校园网络平台项目（第一期）建设实行方案》内容。在方案中，我们将根据校园网络平台建设规定，提出一种校园网络平台的建设目的和框架，并针对各个部分建设进行阐明。系统建设需求校园网络平台是校园数字化系统的运行基础，学院原有的网络平台无论是在网络的稳定性、业务适应用性、性能、安全以及可扩展性等方面已无法支撑学院系统的需求，更是无法到达国家示范性高等职院建设的规定，因此，学院的校园网络平台需要进行全面的升级，建设任务重要包括如下五大方面：建设一种高可用的骨干网，这是网络平台建设最为重要及紧急任务之一，骨干网的稳定性、性能和安全性将直接影响到校园网络的运行；建设一种数据中心网络平台，为数字化业务系统提供一种高可用的接入平台；建设一种安全可控的网络出口，增强网络外界的安全防护以及校园网顾客的行为监管能力，提高出口带宽的使用效率；完善校园网顾客的接入和控制，通过布署顾客认证、计费等措施对全面提高对接入顾客的控制，使顾客接入规范化。建设校园无线网络平台，提高网络接入的覆盖能力，校园顾客更易于使用学院资源。网络平台建设方案网络设计原则广州XX职业技术学院校园网建设要实现内部全方位的数据共享，应用三层互换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学自动化，必须具有高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。学院网络建设遵照如下基本原则：高带宽学院网络是一种庞大并且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，规定方案设计的阶段就要充足考虑到，同步规定关键互换机具有高性能、高带宽的特，整网的关键互换规定可以提供无瓶颈的数据互换。可增值性学院网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。因此在建设时要充足考虑业务的扩展能力，能针对不一样的顾客需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到学院顾客数量和业务种类发展的不确定性，规定对于关键互换机与汇聚互换机具有强大的扩展功能，学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，可以伴随需求变化，充足留有扩充余地。开放性技术选择必须符合有关国际原则及国内原则，防止个别厂家的私有原则或内部协议，保证网络的开放性和互连互通，满足信息精确、安全、可靠、优良互换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。安全可靠性设计应充足考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防备措施。网络层次化设计在校园园区网络整体设计中，采用层次化、模块化的网络设计构造，并严格定义各层功能模型，不一样层次关注不一样的特性配置。根据广州XX职业技术学院的网络分布状况，校园网共提成关键层、汇聚层和接入层三层。1)关键层关键层是整个网络的骨干，必须可以提供高速数据互换和路由迅速收敛，规定具有较高的可靠性、稳定性和易扩展性等。XX学院主校区设置整个校园网的关键层，同步，在新机场实训基地设置分关键。对于XX学院主校园的关键层，必须提供高性能、高可靠的网络构造，推荐采用高可靠的多设备冗余的星型构造。对于校园网关键层设备，应当在提供大容量、高性能L2/L3互换服务基础上，可以深入融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为校园园区构建融合业务的基础网络平台，进而协助顾客实现IT资源整合的需求。2)汇聚层汇聚来自配线间的流量和执行方略，当路由协议应用于这一层时，具有负载均衡、迅速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。目前，XX学院在主校区共有15幢建筑物，新机场实训基地共有6幢建筑物。XX学院汇聚层设置将根据既有的信息点分布，结合综合布线系统等多原因，一般而言，以建筑物/功能区为单位设置汇聚层，即每个单体建筑/功能区设置一种网络汇聚层，如数据中心和网络出口分别设于汇聚层，同步对于学生宿舍区，可以采用多幢学生宿舍共用1个网络汇聚层的方式。对于校园园区网的汇聚层设备，应当可以承载校园园区的多种融合业务，可以融合IPv6、网络安全、流量分析等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，可以承载校园园区融合业务的需求。3)接入层提供网络的第一级接入功能，完毕二层接入，并实现对终端接入的安全控制，包括ARP防御、IP/MAC/端口绑定以及POE等高级功能。在XX校园网中，接入层采用千兆及百兆到桌面的接入模式，对于数据传播量较大或重要区域采用千兆到桌面的方案，如综合办公、图书馆等，其他的为百兆接入，同步，无线AP接入采用POE方式进行设备的供电。接入层设备以选择二层互换机为主，设备应具有灵活的扩展能力，支持堆叠，具有强安全性，可以实现IP、MAC、端口的绑定，支持802.1x认证，支持DHCPSnooping，防止非法DHCP接入和ARP袭击。校园网络总体构造校园网络平台将采用层次化通用构造设计，采用关键层、汇聚层和接入层三层架构，包括网络骨干、数据中心、网络出口、网络接入、无线网络等五大部分。网络骨干由关键层和汇聚层组网，骨干网采用高可靠性组网，关键层配置两台高端关键互换机，汇聚层设备通过双千兆链路实现与关键层设备的互联，网络骨干全面支持IPv6，并提供万兆扩展能力。校园网设置数据中心，实现各业务系统服务器的集中布署，数据中心网络平台独立建设，配置2台模块化互换机设备，为服务器提供高性能、高可靠、可扩展性的接入平台，同步，通过关键互换机内置高性能的防火墙模块提供安全保护。网络出口实现校园网络与外部网络的互联，包括与教育科、互联网的互联，网络出口需实现校园网与外部网络的隔离，网络出口配置1台路由器设备实现与外部网络互联，同步提供地址转换等服务，配置应用控制网关，实现出口带宽的管理，并对校园网顾客实现行为审计等功能。网络接入层提供校园网顾客的接入，并实现网络接入的安全防御，如ARP袭击防护，同步，结合顾客管理系统实现对接入顾客认证、计费等管理。为实现校园网络接入的灵活性，提高网络的覆盖，校园网将实现办公楼、图书馆、试验室、运动场馆等公共区域的无线网络覆盖，无线网采用智能的FitAP组网。为便于网络的管理和维护，校园网还将建设1套网络管理系统，实现对校园网络平台设备的统一管理，网络管理应具有拓扑、故障、性能、配置和图形化设备管理等功能，为了实现更为以便的通过远程方式对网络的状态进行监控和维护，网络系统采用B/S架构。同步，为加强对接入顾客的控制和管理，系统还布署顾客认证、计费管理系统。关键层设计XX学院主校区设置整个校园网的关键层，同步，在新机场实训基地设置分关键。对于XX学院主校园的关键层，必须提供高性能、高可靠的网络构造，推荐采用高可靠的多设备冗余的星型构造。关键层配置2台高端互换机作为关键互换机，两台互换机之间通过万兆链路进行互联，形成双机复用，在两台中心互换机之间启用VRRP协议，这样在其中一台出现故障的时候，业务可以自动切换到此外一台。选用的关键互换机是从可靠性、性能、业务特性、安全特性以及可扩展性等多种方面进行综合考虑。在可靠性方面，关键互换机应到达99.99%的高可靠性，采用全模块化设计，电源、风扇、引擎、业务模块等均可实现热插拔，支持电源、引擎等关键部件的1+1冗余热备份，支持VRRP、路由优雅（GR）等高可靠性协议，实现关键层的业务不间断转发。在性能方面，关键互换机应采用Crossbar互换矩阵，采用全分布式转发，支持万兆、千兆等高速以太网接口，所有接口实现线速转发,保障校园网多种业务进行并发互换。在业务特性方面，关键互换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络；并且支持内置防火墙、内置无线控制器等多种业务功能插卡，可以进行灵活的布署，实现业务的扩展和融合。在安全性方面，关键互换机应既能保障自身的运行安全，也能通过某些安全机制保障所承载业务的安全。基于上述原因，我们提议关键互换机采用H3CS7510E高端互换机。H3CS7500E系列产品是杭州华三通信技术有限企业（如下简称H3C企业）面向融合业务网络推出的新一代高端多业务路由互换机，该产品基于H3C自主知识产权的ComwareV5操作系统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术。S7510E具有10个槽位，其中8个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实目前线扩展。S7510E具有高转发性能，整机具有1152Gbps互换容量、773Mpps转发性能，同步，S7510E采用全分布式转发，并采用最长匹配、逐包转发的处理机制，保证业务的高速率转发。S7510E中配置的所有接口均可实现线速转发。选用的H3CS7500E互换机具有如下特点：丰富的业务，适应融合业务网络发展趋势全面的MPLS业务能力H3CS7500E所有产品均支持VRF-Lite特性，可以做为MCE设备使用；支持三层的MPLSVPN和二层的MPLSVPN（Martini、Kompella），可扩展支持VPLS技术；支持MPLSOAM特性，以便顾客的管理和维护；与H3CMPLSVPNManager配合，实现图形化的MPLS布署与维护。线速的IPv4/IPv6业务能力H3CS7500E支持IPv4/IPv6双协议栈,支持多种6to4隧道技术，支持IPv4/IPv6的组播技术，为顾客提供完善的IPv4/IPv6处理方案；H3CS7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3CS7500E集成的无线控制模块提供丰富的业务能力，包括精细的顾客控制管理、完善的RF管理及安全机制、迅速漫游、超强的QOS和对IPV6的支持等；无线控制模块通过与安全方略服务器的联动，实现对无线接入顾客的端点准入防御，提高了整网的安全性。H3CS7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH顾客；H3CS7500E是高可靠的EPON系统，采用分布式体系构造、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。支持Portal认证H3CS7500E支持大容量的Portal认证功能，可以在数千顾客的局域网中作为EAD网关设备，为全网顾客提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/关键设备的同步，为学生宿舍区的认证计费提供Portal认证功能。灵活的配置，适应多种应用场景配线间融合业务网络的最佳选择H3CS7500E针对配线间的需求定制开发了SA板卡，单台设备可以提供480个千兆线速接口和4个万兆线速接口。H3CS7500E支持端点准入防御处理方案，处理终端安全问题；内置2800W电源直接提供PoE功能，对IP语音和无线接入提供良好的支持。政府电力城域网边缘和汇聚的最佳选择H3CS7500E支持VRF-Lite特性，为顾客提供高可靠高性能的MCE设备；通过配置SalienceVI-Turbo引擎，可以提供集中式MPLS业务功能，适合在城域网边缘作为高性价PE设备使用；通过配置EA类板卡，可以提供分布式线速的MPLS业务功能，适合在城域网汇聚层作为高性能的PE使用。IPv6网络的最佳选择H3CS7500E所有SalienceVI引擎都可以提供集中式IPv6功能，H3CS7500E针对IPv4/IPv6高性能的规定还开发了分布式IPv4/IPv6转发的SC板卡，在整机满配置状态下实现线速无收敛，为高校顾客提供了高性能低成本的双栈汇聚关键设备，同步也满足其他行业顾客IPv6Ready的需求。全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3CS7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文袭击识别模块，防止TCN、ARP等协议报文袭击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSHV2，基于802.1x、AAA/Radius的顾客身份认证以及分级的顾客权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN、MAC和端口等多种组合精细绑定；支持uRPF单播反向途径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的袭击。有线无线全面支持EADH3CS7500E是EAD端点准入防御处理方案的重要构成部分，S7500E可以动态的接受来自安全方略服务器的控制方略，根据终端的安全状态予以下发对应的访问权限。H3CS7500E既支持有线终端顾客的EAD，也支持无线终端顾客的EAD，可以做到终端安全防备无漏洞。增强的ACL特性H3CS7500E系列产品支持强大的ACL能力：支持原则和扩展ACL；支持基于VLAN的ACL，以便顾客配置，节省ACL资源；支持出方向和入方向的ACL，每板最大可支持9K条ACL，满足金融等行业访问权限严格控制的需求。电信级的高可靠性，保障顾客业务长期稳定运行电信级高可靠性设计H3CS7500E采用无单点故障设计，所有关键部件，如主控板、互换网、电源和风扇等采用冗余设计；无源背板防止了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3CS7500E系列可以在恶劣的环境下长时间稳定运行，到达99.999％的电信级可靠性。多业务高可靠性运行H3CS7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可协助顾客建立多条等值途径，实现流量的负载均衡及冗余备份；支持RRPP迅速环网保护协议，提供不不小于200ms的环网故障保护；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级迅速切换。通过上述技术，H3CS7500E可以在承载多业务的状况下不间断运行，实现业务的永续。支持热补丁技术H3CS7500E可以在不重启设备的前提下，通过热补丁技术，在线修改软件BUG，增长新的业务特性。H3CS7500E提供控制补丁单元状态切换的顾客命令，使顾客可以以便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，减少了设备需要重启的次数，为客户提供更长的网络正常工作时间。数据中心设计为实现对校园网服务器统一管理和控制，同步考虑到扩展性，服务器的接入独立配置互换机实现，为保证服务器接入的高可用性，配置2台全千兆三层路由互换机，数据中心互换机通过VRRP协议实现互为热备和负载分担。在选用的数据中心互换机时，我们充足考虑到应具有如下功能和特性：在可靠性方面，数据中心互换机支持VRRP热备份协议，为服务器提供可靠的接入。在性能方面，数据中心互换机所有端口线速转发，保障图书馆多种业务进行并发互换。在业务特性方面，数据中心互换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络。在安全性方面，数据中心互换机具有安全机制保障所承载业务的安全。在可扩展性方面，数据中心互换机应采用模块化设备，支持高密度、高带宽接口，在业务系统不停增长时，可通过增长业务模块来满足服务器接入需求。基于上述原因，我们提议数据中心互换机采用H3CS7502E高端互换机。S7510E具有4个槽位，其中2个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实目前线扩展。S7502E具有高转发性能，整机具有192Gbps互换容量、143Mpps转发性能，同步，S7502E采用全分布式转发，并采用最长匹配、逐包转发的处理机制，保证业务的高速率转发。S7502E中配置的所有接口均可实现线速转发。汇聚层设计汇聚来自配线间的流量和执行方略，当路由协议应用于这一层时，具有负载均衡、迅速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。选用的汇聚互换机应具有如下功能和特性：在可靠性方面，汇聚互换机支持路由协议平滑重启，支持RSTP、MSTP生成树协议，支持2层的迅速切换，保证与关键互换机组网的可靠性，在性能方面，汇聚互换机所有端口线速转发，包括万兆接口，保障多种业务进行并发互换。在业务特性方面，汇聚互换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络。在安全性方面，汇聚互换机具有安全机制保障所承载业务的安全。基于以上规定，我们提议汇聚互换机选用H3C的S5500－EI，S5500－EI系列互换机具有如下特点：1、高扩展性保护投资伴随顾客端速度不停提高，顾客最终会使集群千兆链路到达饱和，而可以拥有多条集群10GE链路将是我们的未来发展方向。H3CS5500-EI系列互换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留深入支持10GE的扩展能力，竭力保护顾客投资。IPv4到IPv6的演变是以太网发展的大势所趋，网络设备对于IPv6的支持不仅是简朴的可用就行，而是需要到达商用的原则，S5500-EI已经通过了国际最权威的IPv6Ready第二阶段认证，并且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6三层路由协议、组播协议和方略路由机制，实现IPv4到IPv6的平滑升级。2、完备的安全控制方略H3CS5500-EI系列互换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一种联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为积极防御、变单点防御为全面防御、变分散管理为集中方略管理，提高了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3CS5500-EI互换机支持集中式MAC地址认证、802.1x认证、PORTAL认证，支持顾客帐号、IP、MAC、VLAN、端口等顾客标识元素的动态或静态绑定，同步实现顾客方略（VLAN、QoS、ACL）的动态下发；支持配合H3C企业的CAMS系统对在线顾客进行实时的管理，及时的诊断和瓦解网络非法行为。H3CS5500-EI系列互换机提供增强的ACL控制逻辑，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下发，在简化顾客配置过程的同步，防止了ACL资源的挥霍。此外，S5500-EI系列还将支持单播反向途径查找技术（uRPF），原理是当设备的一种接口上收到一种数据包时，会反向查找途径来验证与否存在从该接受接口到包中制定的源地址之间的路由，即验证了其真实性，假如不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。7VM海岸线网络安全资讯站3、多重可靠性保护S5500-EI系列互换机还具有设备级和链路级的多重可靠性保护。所有机型都支持内置的双冗余电源，其中S5500-28F-EI支持可插拔的冗余电源模块，也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调整风扇的转速，这些设计使我们这款盒式互换机具有了机柜式互换机的高可靠性。除了设备级可靠性以外，还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术，例如华三通信独创的RRPP迅速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。4、多业务支持能力支持PoE（PoweroverEthernet）技术，通过以太网对所连接的设备（如IPPhone,WirelessAP等）进行远程供电，从而使得不必在使用现场为设备布署单独的电源系统，可以极大地减少布署终端设备的布线和管理成本。支持VoiceVLAN技术，互换机通过识别端口的语音流，将对应的接入端口加入VoiceVLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传播来保证通话质量。同步通过设置VoiceVLAN安全特性，只容许语音流量通过，可以有效防止突发数据流量对VoiceVLAN内的语音流量的冲击。H3CS5500-EI系列互换机支持MCE功能，可以有效处理多VPN网络带来的顾客数据安全与网络成本之间的矛盾，它使用CE设备自身的VLAN接口编号与网络内的VPN进行绑定，并为每个VPN创立和维护独立的路由转刊登（Multi-VRF）。这样不仅可以隔离私网内不一样VPN的报文转发途径，并且通过与PE间的配合，也可以将每个VPN的路由对的公布至对端PE，保证VPN报文在公网内的传播。5、丰富的QoS方略H3CS5500-EI系列互换机支持支持L2（Layer2）~L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同步基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种模式。支持CAR（CommittedAccessRate）功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。6、杰出的管理性H3CS5500-EI系列互换机支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更以便，并且支持SSH2.0等加密方式，使得管理愈加安全。H3CS5500-EI系列互换机支持基于MAC地址划分VLAN，很好的处理了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL方略，在简化顾客配置的同步，也大幅节省了硬件资源。该系列互换机还支持sFlow功能，可以对出入方向的报文按比例随机抽样，灵活实现报文采集。网络出口设计网络出口实现校园网络与外界网络互联，出口网络应具有一定的可靠性，提供网络安全防护能力，并对出口带宽进行有效的分派和控制，同步加强对顾客行为进行监管。网络出口配置1台高端路由器，路由器实现外部网络互联，并提供NAT功能，配置1台应用控制网关，实现对出口带宽的灵活调配，并实现对顾客行为进行审计和监管。并通过关键互换机的防火墙模块实现对网络区域的隔离和访问控制。网络出口路由器应具有如下功能和特性：在可靠性方面，路由器应支持电源、处理系统的冗余备份。在性能方面，路由器应提供高性能转发，并具有优越的NAT处理能力。在业务特性方面，路由器支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络。在安全性方面，路由器有安全机制保障所承载业务的安全。基于上述原因，我们提议出口路由器采用H3CSR6604高端路由器。应用控制网关选用H3CSecPathACG（ApplicationControlGateway），H3CACG是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、“地下”VoIP、“一拖N”、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同步，可对网络流量、顾客上网行为进行深入分析与全面的事后审计，并具有强大的URL过滤功能，进而协助顾客优化其网络资源，全面理解网络应用模型和流量趋势，开展各项业务提供有力的支撑。H3CACG具有如下长处：强大的P2P/IM业务监控通过H3C长期积累的状态机检测技术，能精确检测Thunder（迅雷）、BitTorrent、eMule（电骡）、eDonkey（电驴）、QQ、MSN、PPLive等近百种P2P/IM应用。同步，可基于时间、顾客、区域、应用协议等，对P2P/IM应用进行告警、限流、干扰或阻断。完善的安全审计系统可对多种P2P/IM、网络游戏、网络多媒体、文献共享、邮件收发、数据传播等多种上网行为提供全面的行为监控和记录；同步，通过综合分析、检测顾客网络流量与流向趋势，事后对历史数据进行分析，为顾客提供细粒度的网络行为审计管理系统。强大的过滤功能通过自定义IP地址、主机名、正则体现式等方式设置URL特性库，支持根据不一样的URL方略设置不一样的响应方式，支持根据时间表对不一样的URL方略设置不一样的响应动作，防止保密信息的外泄，免受非法信息的干扰，保证网络的健康使用。丰富的报表提供业务流量趋势图、流量分布图、TopN顾客列表、TopN应用协议列表等报表，并支持按照顾客名/顾客组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，使顾客能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制方略提供根据。全面地识别“地下”VoIP支持对Skype、H.323、SIP、中桥、UUCall等近百种协议或网关的呼喊识别、阻断或干扰。目前，H3C是唯一能实现对Skype在PC-PC、PC-Phone两种通信模式进行实时有效控制的厂商。领先的“一拖N”清理技术采用业界流行的ID轨迹检测技术、时钟偏移检测技术，结合多种应用层特性检测技术如应用特性检测、流量/连接数记录、TTL检测、MAC地址检测等，能实时精确的识别出以NAT、Proxy方式进行共享接入的顾客以及精确的PC数量，并实行告警、阻断等控制措施。顾客行为分析采用先进的技术分析手段，全面分析网络应用的流量类型和流量流向趋势，记录网络热点，发掘业务增长点；分析顾客行为，记录顾客爱好，为个性化运行提供根据，并通过开放的平台接口，与第三方业务平台对接，提供高附加值业务，如在顾客行为爱好分析的基础上提供定向WEB广告服务。高性能、高可靠性基于新一代多核CPU多核架构及分布式搜索引擎，同步配合高容量的互换背板，保证SecPathACG在多种大流量、复杂应用的环境下，仍能具有千兆级线速业务处理能力，仅有微秒级时延。通过掉电保护（PFC）、二层回退等高可靠性设计，保证SecPathACG在断电、软硬件故障或链路故障的状况下，网络链路仍然畅通，保证顾客业务的不间断正常运行。及时的特性库更新H3C专业安全团体亲密跟踪应用变化，并对应用协议特性库及时更新；支持在线自动/手动升级方式，升级过程无需重启系统，不影响系统业务运行。接入层设计接入层实现各终端电脑的高速接入，根据各业务系统的分布，可采用千兆到桌面以及百兆到桌面两种方案。对于办公大楼、图书馆、试验室等对网络带宽规定较高的,提议采用千兆到桌面的处理方案。对于教学楼、宿舍区的接入可采用10/100M到终端的处理方案。接入层互换机应具有丰富的安全特性，配合顾客认证系统实现对接入顾客的认证计费，同步，互换机还应具有防伪DHCPServer的接入，对终端ARP多种形式袭击的防护。接入层互换机，我们提议千兆互换机选用H3CS5100系列互换机，百兆到桌面选用H3C为教育行业顾客专门研发的E系列互换机。选用的S5100－EI系列互换机具有如下特点：1、灵活的千兆接入和集群管理H3CS5100-EI系列千兆以太网互换机提供灵活的16/24/48个10/100/1000M自适应电口接入密度；并且支持复用的SFP插槽，充足考虑顾客的带宽升级的实际状况，既可以支持千兆光模块，也可以支持百兆光模块，保护顾客投资。其中S5100C-EI机型支持最多2个可扩展的万兆接口，并且支持40G带宽的堆叠。该系列硬件支持最大136Gbps互换容量，保证所有端口线速互换。H3CS5100-EI系列互换机采用专利技术容许互换机运用专用互联电缆实现多达16台设备的堆叠，支持不一样端口设备的混合堆叠。具有即插即用、单一IP管理。同步大大减少系统扩展的成本，保护了顾客投资。2、全面的接入安全方略H3CS5100-EI系列互换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一种联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为积极防御、变单点防御为全面防御、变分散管理为集中方略管理，提高了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3CS5100-EI系列互换机支持特有的ARP入侵检测功能，可有效防止黑客或袭击者通过ARP报文实行网络中逐渐盛行的“中间人”袭击，对不符合DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同步支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS袭击。此外，运用DHCPSnooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。H3CS5100-EI系列互换机支持端口安全特性族可以有效防备基于MAC地址的袭击。可以实现基于MAC地址容许/限制流量，或者设定每个端口容许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由互换机动态学习。H3CS5100-EI系列互换机有强大硬件ACL能力，能深度识别报文，支持L2~L4包过滤功能，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP协议类型、物理端口、VLAN、等定义ACL，以便互换机进行后续的处理。并且支持基于全局、VLAN、端口（组）的ACL下发，有效简化配置过程并节省硬件资源。H3CS5100-EI系列互换机提供802.1X和集中MAC认证方式对接入的顾客进行认证，容许合法顾客通过，对于非法顾客则拒绝其上网。同步还支持客户端软件版本检测、GuestVLAN等功能，和CAMS服务器配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对顾客的合法性进行充足的检查和控制，最大程度的减少非法顾客对网络安全的危害。2、完善的QoS保障H3CS5100-EI系列以太网互换机提供基于Diffserv和802.1P的QoS特性，可以对报文的802.1P和DSCP域优先级进行修改等操作，并映射到每端口提供的8个COS队列，队列调度提供了三种各具特色的队列调度算法，严格优先级（SP）和整形加权轮循（SDWRR）调度算法以及SP+SDWRR组合调度算法。H3CS5100-EI系列以太网互换机支持流量监管和带宽粒度控制，流量限速的最小粒度为1Kbit/s，保证为进入互换机的特定业务提供带宽保证，虽然在网络拥塞时，也能满足一定的丢包、时延及时延抖动等QoS需求。支持流量整形保证以太网互换机可以对输出报文速率进行控制。支持基于流的报文重定向。3、增强的网络管理和维护的易用性H3CS5100-EI系列互换机支持通过FTP、TFTP实现设备的远程升级，支持SNMPv1/v2/v3，可支持OpenView等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更以便。并且支持SSH2.0等加密方式，使得管理愈加安全。老式互换机对端口的镜像功能都是基于当地实现，镜像数据流无法穿越网络在关键实现统一采集、监控和分析；H3CS5100-EI支持跨互换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到关键互换机上，在关键上启动网流分析（Netstream）功能，对监控端口的业务和流量进行监控、优化布署和恶意袭击监控。H3CS5100-EI系列互换机支持VCT（VirtualCableTest）电缆检测功能，便于迅速定位网络故障点；并支持DLDP（DeviceLinkDetectionProtocol）单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给顾客。H3CE系列互换机具有如下特点：全面的接入安全方略H3CE126A/E152教育网互换机支持特有的ARP入侵检测功能，可有效防止黑客或袭击者通过ARP报文实行校园网常见的“中间人”袭击，对不符合DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同步支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS袭击。此外，运用DHCPSnooping的信任端口特性还可以有效杜绝学生私设DHCP服务器，保证DHCP环境的真实性和一致性。E126A/E152教育网互换机支持端口安全特性族，可以有效防备基于MAC地址的袭击。可以实现基于MAC地址容许/限制流量，或者设定每个端口容许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由互换机动态学习。E126A/E152教育网互换机有强大硬件ACL能力，能深度识别报文，支持L2～L4包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN、VLAN范围等定义ACL，以便互换机进行后续的处理。E126A/E152教育网互换机支持集中式MAC地址认证和802.1x认证，支持顾客帐号、IP、MAC、VLAN、端口等顾客标识元素的动态或静态绑定，同步实现顾客方略（VLAN、QoS、ACL）的动态下发；支持配合H3C企业的CAMS系统对在线顾客进行实时的管理，及时的诊断和瓦解网络非法行为。支持对Proxy进行有效的管理。增强的网络管理和维护的易用性H3CE126A/E152教育网互换机支持通过FTP、TFTP实现设备的远程升级，支持SNMPv1/v2/v3，可支持OpenView等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管，Telnet，HGMP集群管理，使设备管理更以便。E126A/E152教育网互换机支持跨互换机的远程端口镜像RSPAN，可以将接入端口的流量镜像到关键互换机上，可以对全网业务和流量进行监控、优化布署和恶意袭击监控，满足校园网精细化管理的需要。E126A/E152教育网互换机支持VCT（VirtualCableTest）电缆检测功能，便于迅速定位网络故障点；并支持DLDP（DeviceLinkDetectionProtocol）单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给顾客。高性能与灵活扩展能力H3CE126A/E152教育网互换机具有19.2G的背板互换容量，支持所有端口线速转发，满足了教育顾客对高带宽的需求。设备支持2/4个GE上行，采用固定电口和通用SFP的灵活千兆连接方式，在减少顾客成本的同步，更好的考虑了顾客后续升级的实际需求。E126A/E152教育网互换机采用专利技术容许互换机运用专用互联电缆实现多达16台设备的堆叠，最大扩展至768个10/100M端口，支持E126A和E152混合堆叠。具有即插即用、单一IP管理。同步大大减少系统扩展的成本，保护了顾客投资。丰富的业务支持能力H3CE126A/E152教育网互换机支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种队列调度算法，支持每个端口4/8个输出队列，可以以不一样的优先级将报文放入端口的输出队列。E126A/E152教育网互换机支持端口限速功能，限速粒度可达64Kbps，防止恶意侵占网络带宽，也为网络带宽的精细化管理提供了手段。E126A/E152教育网互换机支持IPv6host，包括IPv6单播地址配置，ICMPv6，IPv6邻居发现协议（ND），IPv6-TCP，IPv6-TFTP，IPv6-TRACERT管理特性。无线网络设计无线局域网技术通过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网重要是采用FatAP（即“胖”AP），每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radiusclient的安全密码(secret)等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。此外由于AC或无线网关的硬件多数是基于Pentium架构的，因此当顾客接入数量(IPsessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机状况。在这样的环境下，基于无线互换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线互换机和FITAP（即“瘦”AP）的架构，对老式WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的WLAN互换机中实现，同步加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。室内无线覆盖将使用大量无线接入点（AP）提供无线网络接入服务，必须有效实现多种AP的统一方略布署和可靠的安全认证机制，因此，采用FITAP的处理方案，即采用无线控制器结合瘦AP与无线网络管理系统的架构。综合上述分析，对于大规模布署的校园网无线局域网，我们提议采用FITAP的方案。无线网络构造参见下图：无线网络构成包括如下部分：无线控制系统，设备提议布署在网络中心，为保证整个无线网络的高可性，提议采用在关键互换机配置无线控制模块，通过互换机的高性能来实现路由和转发，并配置无线控制器模块实现无线的管理。无线控制器模块最大可管理640个AP，通过在S7510E中集成无线控制器模块，将充足运用关键互换机的高可靠性和高处理性能，同步，与有线网络的融合度更高。无线AP，根据实际需求，室内区域，包括办公室、图书馆等，AP采用FitAP，选用WA2110－AG，AP与无线控制器构成无线网，室内AP连接到近来的访问层互换机。在室外区域，直接采用室外型APWA2200X系列AP，H3C室外型AP通过IP66等级保护，可防水防尘，直接安装在外。提议配套H3CWSM无线业务管理系统，实现对无线网络的管理，通过WSM无线业务管理器，顾客可以获得全面的无线业务管理能力。在设备选型中，我们提议无线局域网与互换机采用相似的品牌，以保证系统的兼容性，并实现统一化管理。采用FITAP处理方案构建的无线局域网具有如下功能和特点：以便布署FITAP处理方案采用集中式架构，在不变化其网络的原有规划和布署的状况下，甚至不需要中断原有网络就可以轻松叠加一种无线网络，该无线网络和原有的有线网络可以形成有线无线一体化的接入方案，可以大大减少网络升级和布署的成本。易于管理、AP“零配置”采用无线控制器和FITAP配合组网时，只需要在无线控制器上对一类相似属性的AP建立配置模板，AP在启动时可以自动从无线控制器上下载最新的配置文献，真正做到了零配置，免维护，即插即用，极大地减轻了网络管理员在布署网络阶段的维护工作量。以便升级FITAP还支持软件自动更新功能，在其每次重新启动时会自动比较目前运行的版本和无线控制器上保留的版本，假如无线控制器上保留的版本更新，AP会自动更新当地的软件映像，软件升级不再需要网管人员的干预。三层漫游无线控制器支持三层漫游，并支持迅速漫游，漫游切换时间不不小于50ms，满足对切换时间规定最苛刻的语音业务。支持虚拟APFITAP支持多SSID实现虚拟AP特性，每个SSID可对应不一样的VLAN、从而对于每一种SSID可以实现不一样的网络服务及认证方式。该特性使管理员可以以便的为不一样顾客群、不一样的业务制定辨别的服务方略。丰富的RF管理和安全RF管理功能，可以使得无线网络的布网灵活性大大增强，网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络布署和调试时不可缺乏的重要手段，信道和功率还需要按照国家代码自动设置，无线控制器的RF管理功能使得网络布署非常简朴。RSSI/SNR的不停更新，更是让系统可以适时理解每一种无线顾客所处电磁环境的好坏、离AP的距离，从而可以采用对应的方略来提高网络可用性。支持智能的负载均衡支持智能负载均衡技术，保证只对处在AP覆盖重叠区的无线顾客才启动AP负载均衡功能，有效的防止误均衡的出现，从而最大程度的提高了无线网络容量。IPv6无线控制器实现了IPv4/IPv6双协议栈。AP和无线控制器之间可以穿过IPv6网络互联，从而使组网方式愈加灵活，可以满足此后网络发展的需要，保护顾客投资。完善的QoS无线控制器支持Diff-Serv原则包括流分类、流量监管（Policing）、队列管理、队列调度（Scheduling）等，完整实现了原则中定义的EF、AF1～AF4、BE等六组PHB及业务，可为顾客提供具有不一样服务质量等级的服务保证，真正成为同步承载数据、语音和视频业务的综合网络。有线无线一体化的网管系统采用同一品牌的互换机和无线局域网产品，通过配置1套网络管理系统，即可实既有线无线一体化的管理。网络安全性设计校园网络承载多种业务系统，并实现与外界网络的互联互通，为保证业务系统的安全性，需根据不一样的业务类型，采用对应的安全措施。在校园网络建设中，网络安全建设重要包括如下几大部分：对重点区域的安全隔离和访问控制，通过增长防火墙，实现对业务系统资源和外部网络安全隔离和访问权限的控制。网络出口布署应用控制网关，实现对校园网顾客的行为审计和监管。通过配置互换机所具有的安全功能，加强的网络的安全控制。重要安全区域隔离为使网络可以制止、检测由面向学生开放的业务资源、校外其他顾客发起的异常流量和袭击，对数据中心和网络出口等重要区域进行保护，网络设计时使用防火墙实现各区域的安全隔离,参见下图：通过在关键互换机增长防火墙模块，同步为数据中心和网络出口提供安全区域隔离和安全保护.防火墙模块具有虚拟防火墙、虚拟接口等特点，提供高达6Gbps处理性能，并充足运用关键互换机的高可靠性，为保证系统的可靠性，并分别在两台中心互换机上配置防火墙模块，实现防火墙的负载分担和冗余备份。出口带宽监管校园网络应用层出不穷，在大大提高了顾客的工作效率的同步也带来许多负面影响，针对顾客行为控制的处理方案，需要可以处理如下问题：顾客通过P2P下载电影导致网络速度变慢，怎么处理顾客在BBS上公布违法帖子，违反信息安全规定顾客工作时间炒股、打游戏、聊天导致工作效率的下降，怎么处理顾客访问非法网站易感染病毒，怎样控制校园网络出口通过间布署一台SecPathACG网关，通过在ACG应用控制网关，可精确识别BT、电驴、迅雷、MSN、QQ、YahooMessenger、PPLive等近百种P2P/IM应用，可基于时间、顾客、区域、应用协议，通过告警、限速、阻断等手段进行灵活控制，保证网速的正常和业务不被影响。ACG采用先进的分析技术，能对网络多媒体、网络游戏、炒股等应用进行识别与控制，通过URL过滤、关键字过滤、内容过滤等多种访问控制方略，控制非法应用，过滤非法网站，规范顾客上网行为，提高员工工作效率。同步，ACG可以如下审计功能:WEB应用审计——URL；源、目的IP；访问时间等应用审计——登录名；上传或下载文献名；源、目的IP；访问时间等Email应用审计——POP3和SMTP收发邮件的邮件名、发件人、收件人等；不支持WEBMail的审计NAT日志审计——NAT前后的IP、端口号；时间等；需要与U200或F1000E等支持FLOW3.0日志的设备配合网络安全保护对于校园网大型应用以太网互换机的系统，网络的安全特性非常重要，因以太网工作原理的限制，互换式网络轻易导致MAC、IP等安全的袭击。对此，需通过互换机的安全特性加以防护。本次选用的关键互换机、汇聚互换机和接入互换机具有丰富的安全特性，可以处理网络中存在的安全问题，详细参见下表：袭击类型袭击行为互换机安全防备特性关键互换机汇聚

互换机接入互换机资源耗尽型袭击MAC表袭击端口MAC数限制具有具有具有严禁某个VLAN的MAC地址学习＋静态MAC表具有具有具有端口安全具有具有具有MAC+IP+端口绑定,

端口安全中的1个特性具有具有具有DHCPDOS袭击DHCPRelayOption82具有具有具有DHCPSnoopingOption82具有具有具有DHCP报文限速具有具有具有CPU恶意冲击ARP限速具有具有具有防备袭击的其他特性广播风暴克制具有具有具有环路检测具有具有具有安全准入特性具有具有具有802.1x具有具有具有端口安全特性具有具有具有假冒伪装型袭击ARP欺骗袭击ARP入侵检测具有具有具有端口隔离具有具有具有Isolate-User-VLAN具有具有具有MAC/IP欺骗袭击DHCPrelaySecurity具有具有具有IP源地址保护具有具有具有DHCP服务器欺骗袭击DHCPSnoopingTrust具有具有具有根桥伪装袭击STP根保护具有具有具有BPDU保护具有具有具有TCN袭击TC-BPDU报文非立即处理机制具有具有具有路由源伪装袭击OSPF/RIP路由MD5验证具有具有二层，不具有设备控制权袭击顾客信息嗅探SSH2.0具有具有具有SNMPv3具有具有具有SFTP具有具有具有管理人员泄密远程管理终端限制(TelnetVTY配置ACL)具有具有具有顾客分级具有具有具有暴力尝试袭击远程管理终端限制(TelnetVTY配置ACL)具有具有具有在顾客接入安全控制，设计时采用如下针对性的措施处理如下MAC、IP地址的安全问题。1、通过接入层互换机进行IP、MAC、端口的绑定或认证系统的实行，处理IP地址冲突和IP地址欺骗。2、接入层互换机启用ARP检测特性，处理ARP袭击和欺骗的问题。3、接入层互换机启用DHCP安全特性，处理顾客私自架设非法DHCP服务器的问题。4、在防火墙或路由互换机通过IPSourceGuard以及URPF特性上处理伪造IP源地址袭击。5、互换机启用ARP报文限制，处理导致互换机或客户端ARP表溢出或DHCP服务器地址耗尽的问题。6、通过网络管理系统，实目前网络维护和故障处理时，可迅速查找、定位和隔离发生故障的互换机所有的端口。网络可靠性设计各业务系统的安全运行，对网络系统的可靠性提出了很高的规定。因此在网络的设计实行中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性包括设备和链路冗余、数据链路层稳定性以及网络层稳定性三大方面。物理设备和链路稳定性网络构造的可靠性校园网络设计首先从网络构造上保证了高可靠性和高冗余性：1)网络关键层和数据中心采用双机冗余架构设计，通过路由协议、不间断路由等技术配合实现可靠性；2)网络关键层和数据中心设备间互联所有采用双或多链路互联，配合路由协议、VRRP、MSTP等技术实现局域网络的可靠性。设备级冗余性设计网络关键节点设备的可靠是保证整个网络的有效运转的关键所在。要保证网络平台的可靠性，必须要选用品有电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、减少人工维护工作，到达电信级的可靠运行。网络关键设备必须具有电信级可靠性网络中的关键设备，如关键路由器等，应当具有电信级可靠性：可靠性指标必须到达99.999%。网络关键设备采用全分布式体系构造，路由与转发分离。所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。网络关键设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。网络关键设备支持软件在线升级，升级过程中业务不中断。网络关键设备支持软件热补丁，打补丁过程中主控板和接口板都不需要重启动，业务不中断。校园网络中所采用的关键互换机和数据中心互换机S7500E等设备具有强大的设备级可靠性保证：1、采用分布式体系构造：S7500E采用分布式体系构造，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分派在不一样的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。2、关键部件冗余：S7500E采用分布式体系下，对设备的关键部件，如主控管理单元、互换转发单元等，进行冗余构造配置，保证系统在工作中不会所有失效。3、实时热备份机制：在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，并且主备之间的切换要可以实时热倒换，即运行中虽然发生设备故障切换也不会对网络业务导致影响。4、热插拔特性：S7500E任意单板均支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的7×24小时不间断运行。5、冗余电源支持：S7500E能提供冗余电源负载分担及备份供电，保障系统具有可靠的能量源。6、散热系统：S7500E的散热系统使设备可以长时间稳定运行而不至由于系统升温过高出现故障，冗余风扇等散热装置可以增长设备的运行时间及减少故障发生。链路冗余配置校园网络关键与汇聚、关键与数据中心之间采用多条链路互联，通过路由协议的ECMP多链路分担和切换等特点，实现多链路之间的互为冗余备份。数据链路层稳定性设计接入互换机与汇聚互换机之间为二层链路互联，为防止二层环路的发生，需运行生成树协议，在详细的布署过程中，为实现链路的迅速切换以及保障网络的稳定性，可综合实行MSTP生成树、生成树边缘端口、链路单向检测等技术。网络布署MSTP通过运行MSTP生成树协议，可以处理因拓扑变化STP重新计算引起的局部网络中断问题以及因某个VLAN拓扑变化引起整个STP重新计算的问题。MSTP（MultipleSpanningTreeProtocol，多生成树协议）可以弥补STP和RSTP的缺陷，它既可以迅速收敛，也能使不一样VLAN的流量沿各自的途径转发，从而为冗余链路提供了更好的负载分担机制。MSTP的特点如下：MSTP设置VLAN映射表（即VLAN和生成树的对应关系表），把VLAN和生成树联络起来。通过增长“实例”（将多种VLAN整合到一种集合中）这个概念，将多种VLAN捆绑到一种实例中，以节省通信开销和资源占用率。MSTP把一种互换网络划提成多种域，每个域内形成多棵生成树，生成树之间彼此独立。MSTP将环路网络修剪成为一种无环的树型网络，防止报文在环路网络中的增生和无限循环，同步还提供了数据转发的多种冗余途径，在数据转发过程中实现VLAN数据的负载分担。MSTP兼容STP和RSTP。生成树边缘端口接入互换机的端口设为生成树的边缘端口,通过此种措施，可以防止终端设备接入时，发生由于STP状态变化引起的延时连通现象。在运行生成树的网络中，当网络拓扑变化时，边缘端口不会产生临时环路。因此，顾客假如将某个端口指定为边缘端口，那么当该端口由堵塞状态向转发状态迁移时，这个端口可以实现迅速迁移，而无需等待延迟时间。DLDP技术运用校园网络中提议选用的互换机均具有DLDP（DeviceLinkDetectionProtocol，设备连接检测协议），实现光纤单向失效检测（即收发两方向上的一对光纤中有一根失效），处理因光纤单向链路失效引起反复的STP和OSPF计算带来的性能和连通性问题。DLDP协议有如下特点：DLDP是链路层协议，它与物理层协议协同工作来监控设备的链路状态。物理层的自动协商机制进行物理信号和故障的检测；DLDP进行对端设备的识别、单向链路的识别和关闭不可达端口等工作。当使能自动协商机制和DLDP后，两者协同工作，可以检测和关闭物理和逻辑的单向连接，并制止其他协议（如：STP协议）的失效。假如两端链路在物理层都能独立正常工作，DLDP会在链路层检测这些链路与否对的连接、两端与否可以对的的交互报文。这种检测不能通过自动协商机制实现。网络层稳定性设计在校园网的数据中心，两台互换机之间采用VRRP为业务服务器、提供高可靠的接入服务。在校园网的数据中心，业务服务器IP网关设在数据中心互换机，在组网中，两台S7502E之间运行VRRP协议。虚拟路由冗余协议VirtualRouterRedundancyProtocol(VRRP)在国际原则RFC3768定义，被众多网络设备厂商所支持。虚拟路由冗余协议对共享多存取访问介质（如以太网）上终端IP设备的默认网关(Default

Gateway)进行冗余备份，从而在其中一台路由设备宕机时，备份路由设备及时接管转发工作，向顾客提供透明的切换，提高了网络服务质量。

网络管理设计校园信息化系统是一种波及多种厂家、多种类型设备的复杂系统，作为整个系统的承载层，网络平台必须具有良好的可维护性。在管理方面，我们采用基于H3C智能管理中心的管理系统，实现对校园网络的统一管理，可以以便的对系统进行维护，实现迅速的故障定位。H3CIMC智能管理中心基于SOA架构，采用B/S平台以及分布式、组件化、跨平台的开放体系构造，根据据根不一样的业务需求选择安装不一样的业务组件，可以实现设备管理、拓扑管理、告警管理、性能管理、软件升级管理、配置文献管理等多种管理功能。H3CiMC采用B/S架构，更为以便的通过远程方式对网络的状态进行监控和维护，运维人员可以采用IE浏览器，通过顾客名/密码远程登录系统进行维护，同步，H3CiMC还可以实现顾客分权限、设备分组的管理，不一样的级别管理人员可对设备进行多种类型的操作，并且还可以限制可以管理的设备。H3CiMC不仅可以独立提供完整的网络管理平台，还可以与OpenView、SNMPc多种主流通用网管平台灵活集成；不仅可以管理H3C企业的全线数据通信设备，还可以通过原则MIB管理CISCO、3COM等各主流厂商的数据通讯设备。通过布署H3CiMC网管系统，可以实现如下运行维护管理功能。资源管理iMC资源管理与拓扑管理作为整体共同为顾客提供网络资源的管理。网络自动发现可以通过设置种子的简易方式、路由方式、ARP方式、IPSecVPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑，自动识别包括：路由器、互换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内的多种类型网络设备；网络手工管理可以手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置Telnet、SNMP参数，以及批量校验Telnet参数等辅助功能；网络视图管理支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图，顾客可以从不一样角度实现整个网络的管理；网络设备的管理从任何一种网络视图入口，都可以实现对网络设备的管理，包括：支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等，顾客可以以便的实现所有设备的管理；设备及业务管理系统的集成管理支持对H3C、CISCO、3COM等重要厂家设备的管理，支持手工添加设备厂商、设备系列及设备型号；支持设备面板管理的动态注册机制，实现与各厂家设备管理系统的有效集成；支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成，实现设备资源的统一管理；设备分组权限管理支持设备分组功能，通过对设备资源进行分组管理，系统管理员以便的分派其他管理员的管理权限，便于职责分离；拓扑管理iMC拓扑管理从网络拓扑的处理直观的提供应顾客对整个网络及网络设备资源的管理。拓扑自动发现H3CiMC可以自动发现网络拓扑构造，支持全网设备的统一拓扑视图，通过视图导航树提供视图间的迅速导航。通过自动发现可以发现网络中的所有设备及网络构造（详细参见资源管理），并且可以将非SNMP设备发现出来，只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围（只要设备IP可达）。同步支持自动的拓扑图展现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来，同步可以保留为自定义拓扑图并可根据详细状况进行修改以便于网管员对整个网络设备的监控。支持对全网设备和连接定期轮询和状态刷新，实时理解整个网络的运行状况，并且刷新周期是可定制（刷新周期：60～7200秒），同步也支持对多种设备的刷新周期进行批量配置的功能。支持自定义拓扑老式的网络管理软件大多支持自动发现网络拓扑的功能，不过自动发现后的网络拓扑往往是诸多设备图标的简朴排放，不能突出重点设备和网络层次，使网络管理人员感觉无从下手。针对这种状况，H3CiMC的拓扑功能支持灵活的自定义功能，管理人员可以根据网络的实际组网状况和设备重要性的不一样灵活定制网络拓扑，可对拓扑图进行增、删、改等编辑操作，使网络拓扑可以清晰地展现整个企业的网络构造以及IT资源分布。H3CiMC支持灵活定制拓扑图，使网络拓扑更有重点和层次感。管理员可以按照关注设备不一样，管理角度不一样定义多种拓扑，并可以针对拓扑不一样选择不一样的背景图；管理员可以根据网络设备的重要性不一样，链路速率不一样采用合适的图标显示。自动识别多种网络设备和主机的类型H3CiMC可以自动识别H3C、华为、Cisco、3com等厂商的设备、Windows、Solaris的PC和工作站、其他SNMP设备和ping设备，并且以树形方式组织，以不一样的图标显示辨别。在拓扑图上更可深入对设备的类型进行辨别，如辨别路由器、互换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC等等。设备状态、连接状态、告警状态等信息在拓扑图上的直观显示H3CiMC的拓扑功能与故障管理和性能管理紧密融合，使拓扑图可以清晰地看到企业IT资源的状态，包括运行与否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色辨别不一样级别故障，根据节点图标颜色反应设备状态。拓扑能提供设备管理便捷入口H3CiMC拓扑可以提供对设备管理的便捷入口，管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。故障（告警/事件）管理故障管理，即告警/事件管理，是H3CiMC的关键模块，是iMC智能管理平台及其他业务组件统一的告警中心。如下图所示，以故障管理流程为引导，简介H3CiMC强大的故障管理能力：告警发现和上报iMC告警中心可以按收多种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等；同步通过支持对设备定期轮询，实现通断告警、响应时间告警等，以告警事件的方式上报给H3CiMC告警中心；设备告警包括电源电压、设备温度、风扇等告警事件，设备冷启动、热启动、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）变化，热备份路由（HSRP）状态变化等告警事件，支持对H3C、CISCO、华为、3COM等多厂商设备告警的识别和解析；网管站告警指包括本级iMC系统集群服务器的异常告警，包括CPU运用率、内存使用率、iMC服务程序运行状态等以及下级iMC系统上报的告警事件；网络性能监视包括CPU运用率，内存使用率，以及RMON告警的故障管理。网络配置监视告警包括设备软件版本、配置信息变更等告警事件，并通过iMC智能配置中心组件（iMCiCC）实现配置文献定期检查，实现配置变更告警事件。网络流量异常监视告警通过iMC网络流量分析组件（iMCNTA）实现网络中异常流量告警，包括对设备及接口异常流量、主机IP地址异常流量和应用异常流量的告警，支持二级阈值告警定义；终端安全异常告警通过iMC端点准入防御组件（iMCEAD）实现对终端顾客安全异常的告警，包括ARP袭击告警、终端异常流量告警及其他终端不安全告警；iMC定期轮询告警指通过iMC的资源管理模块对设备接口信息定期进行轮循，并及时上报通断告警、响应时间告警等告警事件。告警深度关联分析与记录iMC告警中心根据告警脚本中的告警事件定义，接受并解析上报的告警事件；H3CiMC对接受到的告警事件进行深度关联分析，系统缺省支持反复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警，并能在故障恢复时自动确认有关告警；同步顾客可以根据自己的需要确定事件的告警规则，以适应网络管理需要。反复事件阈值告警：屏蔽反复接受到的相似事件，并可在到达阈值条件时产生新告警告知顾客。闪断事件阈值告警：分析接受到的闪断事件，并可在到达阈值条件时产生新告警告知顾客。未知事件阈值告警：屏蔽接受到的未知事件，并可在到达阈值条件时产生新告警告知顾客。未管理设备告警阈值告警：屏蔽接受到的未管理设备事件，并可在到达阈值条件时产生新告警告知顾客。自定义事件过滤规则：顾客自定义的事件过滤规则，顾客可指定在什么时间范围内、对什么样的告警进行过滤。iMC系统预定义缺省支持各类深度分析后告警事件关联升级为告警的生成规则，同步，管理员可以自定义由告警事件升级为告警的规则，可从事件、事件关键字、事件源、时间范围四个方面进行规则定义，一旦定义事件升级为告警规则后，iMC告警中心会根据定义的规则关联分析后生成不一样级别的告警（告警共提成紧急、重要、次要、警告、事件5个级别；在浏览数据窗口，分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示），将管理员从繁多的告警事件中解脱出来，防止产生告警风暴，让管理员能专心关注告警的本源。实时告警H3CiMC提供多种方式将告警告知给管理员，包括：实时远程告警：通过手机短信或Email邮件的方式，将告警及时告知管理员，实现远程网络的监控和管理；分类、声光告警板，按故障类别及等级实时告警，让管理员通过告警板不仅及时懂得告警产生，同步可以理解产生的告警的类别和等级：实时告警浏览和确认，通过告警首页对目前故障未排除的告警实时刷新并提供故障排除确认的入口：故障处理H3CiMC对多种故障警均提供“修复提议”，管理员可以参照修复提议对故障进行处理。在故障得到处理后，通过对告警确实认完毕故障的恢复确认。固化经验H3CiMC提供告警知识库。告警知识是顾客在维护过程中的经验总结，将这些经验输入系统，下次再出现同样的故障时，可以作为参照。顾客选中一条告警记录，系统根据顾客选中的告警记录，从告警知识库中查询出该条告警记录的维护经验，供顾客进行告警处理进行参照。顾客将自己的平常处理经验以及业务信息及时写入数据库、更新告警知识库对后来的故障诊断与排除非常有益。性能管理H3CiMC网管系统提供丰富的性能管理功能，同步以直观的方式显示给顾客。例如：可以提供折线图、方图、饼图等多种显示方式并能生成对应的报表。通过性能任务的配置，可自动获得网络的多种目前性能