校园网络建设方案2

学校校园网络升级改造设计方案2011年12月目录一、工程建设背景2二、校园网建设背景9遵循开放、标准、可持续扩展原那么9技术和产品使用的先进性和实用性9网络架构平台建设标准9第三章校园网建设的需求12高性能高可靠网络根底架构需求13校园网络的平安需求13校内统一身份认证管理需求15应用和部署需求16校园宿舍网络建设需求18校园网综合管理管理需求19第四章天水农业学校网络解决方案21全网拓扑设计及描述21解决方案详细阐述24网络架构设计24网络核心设计26网络出口设计31网络平安管理设计34网络系统管理设计43全网IPv6部署的实现44网络流量分析及平安日志管理设计45设备选型46会聚交换机选型说明47接入交换机选型说明51出口及平安设备选型说明55网络平安及系统管理软件68第五章天水农业学校整体方案85第六章售后效劳86工程建设背景天水农业学校目前位于清水县城东关，是1969年由兰州下迁成立的，2000年被甘肃省政府确认为"省部级重点普通中专学校"。校园占地面积10.8万m2，建筑面积5.24万m2，有教学实习场所3处，占地1468亩。建有现代化多功能厅、多媒体语音室、电子阅览室、闭路电视教学系统，拥有微机480余台，建立了校园网，采用FTTX-LNA宽带接入Internet，设有20个专业实验室，实验、实习设备齐全。图书馆藏书17.6万册，有专职教师103人，其中高级职称29人，中级职称46人，博士1人，硕士5人，现开设14个专业，在校学生人数3363人。学校以市场需求为导向，确立了“以学生为主体、以教师为指导、以能力为本位”的教学指导思想，坚持“实用、适用、够用、先进”的原那么，改革教学内容，以实训教学为重点，改革教学方法。不断优化专业结构，拓展专业面向，已由最初的农学、园艺两个专业扩大到现在的计算机应用、电子技术应用、农学、园艺、现代园林、多媒体与网络技术、药用动植物生产、草业工程、农产品加工与市场营销、土地规划与管理、环境与生态、汽车拖拉机应用与维修等14专业。建立校外实习基地30多处，组建学生科研兴趣小组20多个，组织学生积极参与青少年生物多样性探索活动，先后有5项获省级奖励，1项获全国青少年“英特尔英才奖”，2001年被国家教育部等四部委评为第六届全国生物和环境实践活动优秀工程一等奖。同年参加甘肃省首届中等职业学校英语竞赛获"集体三等奖"，2002年参加天水市中等职业学校技能竞赛获英语“团体一等奖”计算机“团体二等奖”。国内校园网经历的三个阶段数字校园是以校园网为根底，利用先进的信息化手段和工具，实现从环境〔包括实验室、教室、设备等〕、资源〔如公文、图书、讲义、课件等〕、到活动〔包括教学、科研、管理、效劳、办公等〕的全部数字化。在传统校园的根底上构建一个数字空间，以拓展现实校园的时间和空间维度，从而提升传统校园的效率，扩展传统校园的功能，最终实现教育过程的全面信息化，到达提高教育质量和效率的目的。高校校园网从1994年的启动建立到现在的15年间，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。第一阶段是根底设施建设时期，时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。第二阶段是应用平台建设时期，时间大约是从2000年到2005年。这期间随着网络技术的开展，各种应用也开始出现并开展迅速，包括BBS、WWW、FTP、E-mail，以及近两年流行的BT下载、视音频业务等等，这些应用都对带宽提出了挑战。另一个在此阶段开展迅速的校园网应用就是IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术--特别是以太网技术迅猛开展，1000M以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。第三阶段是信息资源建设时期。时间从2006年至今，乃至今后几年时间内。近几年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为10万兆标准。同时，随着Cernet2的启动，IPV6技术也已经在校园网中实验并逐步应用。当根底设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，网络的稳定、可靠、高效、平安与可信成为头等重要的问题。国内校园网信息化建设现状目前国内校园信息化建设不断开展中，但其建设过程中还遇到了不少问题，其中诸多典型的问题如：数据孤岛：数据分散管理，不准确、不标准、不一致，难以共享；应用孤岛：各部门独立建设，技术不统一、用户不统一，应用间难以相互衔接；造成这些现象的原因是：技术方面——缺乏顶层设计、缺乏技术标准与信息标准；管理方面——各自为政、缺乏组织与协调。不重视信息化：认为信息化是锦上添花的事，没认识到信息化是现代化学校的必然选择；重硬轻软无视效劳：如在企业ERP实施中，硬:软:效劳经费比通常为2:3:5；而在学校信息化建设中，硬:软:效劳经费比常约为6:3:1。重建设轻应用：无视推广应用，信息化建设成效差。不同的阶段对可持续开展的关注点不同；当前阶段影响可持续开展的关键问题——业务上“入主流”：直接支持教学与科研，提高学校核心竞争力；核心是信息化要促进学校核心竞争力的提高，并成为学校核心竞争力的重要组成局部；管理上“完善体制”：科学的建设模式、合理的运行机制、有力的管理体制；关键是权威的管理机构、强有力技术支撑和队伍建设；技术上“走标准开放之路”：开放的系统框架与技术体系，标准的信息标准；重点是解决“信息孤岛”、“应用孤岛”问题。国内校园网信息化可持续开展的有利形势2007年1月，教育部、财政部联合启动“高等学校本科教学质量与教学改革工程”；六大举措：一是专业结构调整与专业认证；二是课程、教材建设与资源共享；三是实践教学与人才培养模式改革创新；四是教学团队和高水平教师队伍建设；五是教学评估与教学状态根本数据公布；六是对口支援西部地区高等学校。七大系统：专业设置预测系统；教学根本状态数据库系统；大学英语与网络教育网上考试系统；网络教育资源管理和质量监管系统；精品课程共享系统；立体化教材数字资源系统，终身学习效劳系统。九大目标：信息化手段与技术在人才培养中广泛应用，改变现有人才培养模式，实现课程、图书、实验设备等优质资源的全国共享；初步实现专业设置和社会需求的互动，建立专业设置预测系统；通过开展自主学习、研究性学习和对实践教学改革，提高学生的学习和研究兴趣，培养学生动手能力和创新精神；用信息技术实施英语教学，4年后使60％以上的大学本科毕业生解决英语听说问题；推进各种科技和有益健康的体育协会、俱乐部活动，建设和谐校园，培养学生的社会主义人文精神和创新精神；建设一批教学团队，完善教授上讲台的政策机制；初步建立用于网络教育的公共效劳体系，打通普通本科教育和网络教育的课程体系；不断完善高校教学质量定期评估制度，改良评估手段和方法；2007年2月，教育部《关于进一步深化本科教学改革全面提高教学质量的假设干意见》明确指出——把信息技术作为提高教学质量的重要手段。信息技术正在改变高等教育的人才培养模式。高等学校要在教学活动中广泛采用信息技术，不断推进教学资源的共建共享，逐步实现教学及管理的网络化和数字化。要进一步培养和提高教师制作和使用多媒体课件、运用信息技术开展教学活动的能力，培养和提高本科生通过计算机和多媒体课件学习的能力，以及利用网络资源进行学习的能力。指导思想以科学开展观为指导，以构建学习型社会、促进和谐社会建设、实现全面小康的巨大需求为动力，以开拓创新的精神推进教育信息化，以务求实效的实践建设教育信息化。坚持“体制创新、统筹规划、重点突破、分步推进、资源共享、深化应用”的原那么。以网络建设为根底，标准建设为保障，资源共享与应用为核心，信息技术研究开发为支撑，管理体制、运行机制、技术水平和应用能力的不断创新为增长点。积极推进信息技术在教育中的普及应用，切实提高教育信息化支持教育现代化开展的能力。校园网建设背景2.1遵循开放、标准、可持续扩展原那么网络技术能够得以高速开展主要得益于网络技术标准的标准和开放性，任何系统只有具备足够的开放性才能支持业务的持续开展，在天水农业学校大规模的网络互联环境中，在网络架构的技术选择和业务的部署上也应当遵循这一原那么。信息系统和网络建设必须具有一定的先进性，选用较新的技术路线，将使系统具有较长的生命周期。同时系统建设还必须兼顾实用性，选用具有实用价值的技术和产品。根据锐捷网络10年的各大高校校园网建设经验，新一代校园网建设的方向的已经明朗，就是建设基于IPv4/IPv6双协议栈的城域网。运营级的校园网应该具备如下特征：网络骨干区域万兆技术的支持在万兆技术成熟的今天，万兆核心已经成为部署便捷、高速率、高性价比的下一代校园网的根底；基于万兆技术的核心路由交换平台成为现阶段校园网核心应用的典型特征。核心和会聚交换机都需支持万兆接口，以保证整个网络的高带宽、高性能，满足校园网大流量、多业务的实际需求。网络具有冗余和负载均衡设计设备级：骨干设备需支持冗余管理引擎、冗余电源，同时所配置板卡支持带电热插拔，以保证网络运行过程中，任何一个管理引擎，任何一块电源出现故障，整个设备通讯不会中断，业务通讯不会受到任何影响。链路级：核心层到会聚层采用多条〔两条以上〕链路连接，通过OSPF和ECMP/WCMP等的合理路由设计，提高了链路带宽也实现链路冗余，且在网任何一条链路出现故障，校园网络不会出现中断而受到影响。网络的高可靠性设备应具有良好的平安性考虑，通过各种网络平安措施，确保对网络资源的访问实现有效的平安策略，由于网络系统需要为广阔用户提供互联并将支持多种业务,网络系统应支持多种平安控制，如核心设备要能具备缺省的平安性、路由验证、线速的访问控制列表以及对拒绝访问攻击〔DoS〕的防护等。当恶意用户对网络发起攻击时，设备能自动进行防御,从而保证系统的平安性。根底网络对IPv6的硬件支持现阶段IPv6技术的核心标准已经完善，作为高校，对于IPv6技术的研究和使用要走在前头，所以对于校园网的骨干设备必须支持IPv6技术。同时，为了保证骨干网络对IPv6数据和应用的有效承载，也要求设备必须ASIC硬件支持IPv6技术，并且设备采用分布式线卡ASIC实现，这样才能保证IPV4和IPV6转发和应用都能实现高可用性。第三章校园网建设的需求天水农业学校由两个校区合并而成，主校区为陇西师范，其他两个相距1KM以上，各分校区与主校区之间需要进行网络对接。两个个校区总共在校人数2000余人，主要接入区域为办公区、教师、6个计算机机房，主校区包含3栋宿舍楼及4栋教学办公楼。主校区原有网络简单老旧，建设于2002年，包含一台核心交换机、假设干百兆交换机〔分布于艺术楼、综合楼、实训楼〕、一台出口路由器及一台行为审计设备，DNS、Ftp、mail效劳器直连核心交换机。两个分校区目前网络建设情况不明，几乎没有什么网络设备。随着国家教育信息化建设的不断开展，天水农业学校也从办学及自身信息化建设需要出发，不断对校园信息化网络进行建设。同时，天水农业学校作为第一批国家级中职示范校，需要对现有信息化系统进行建设，其中包含教学系统、一卡通、数字图书馆等内容的建设。其中骨干网建设主要包含：对两个分校区的核心会聚设备通过运营商专线上联到核心；未来出口带宽至少不会低于100M，因此互联网出口建设需要考虑网络平安网关设备、并实现对出口进行流控、实名日志记录、平安防护等功能；数据网管中心建设，部署一台会聚交换机用来会聚效劳器，并考虑部署实名认证及上网审计系统、以及上网计费等，同时需要建设校园网应用系统统一登录、网络管理系统；同时要考虑校园内局部教研室及特殊区域的无线接入需求。学校信息化建设是一项庞大的系统工程。从宏观角度看，涉及学校的教学、科研、管理和社会效劳等诸领域；从微观来说，那么包括信息根底设施建设、信息资源建设、技术队伍建设、应用系统建设和教师技能培训等。这些方面相互影响、相互联系，共同构成了一个多维度和多层面的学校信息化蓝图。从技术层面讲，学校信息化建设是以校园网为根底、由一系列硬件设备和数据库、软件系统所组成的一个大型系统。校园网作为校园信息化建设的根底平台，从功能、性能、可靠性及平安性等，以具体的应用和环境应当满足以下的需求：如今校园网内业务数据逐步从文字类信息转变教学视频、多业务应用、高效数据中心等数据应用，同时在Web2.0网络时代，从传统应用的网页访问，收发邮件等，到现在的网络中越来越多的多媒体应用，主要包括VoIP、IPTV、视频会议和视频点播。这些应用的最大特征就是对于带宽要求高并且对时延非常敏感，这些需求，对于现有的千兆核心网络已经完全不能很好响应和满足。因此建立高可靠高性能的双万兆核心尤其对于信息点较多的天水农业学校校园网使用效率来说，尤为迫切。信息化建设的不断推进，使得校园网络建设日趋完善；学校的教学、办公、科研已越来越依赖于网络平台。随着网络技术的不断开展，各种平安事件层出不穷，消除网络平安问题已成为我们信息化部门考虑的焦点。设备自身的平安需要稳定和保障目前在内网平安事件中，出现从攻击主机、效劳器转为攻击网络设备的趋势，网络设备特别是网络核心设备遭受攻击将导致设备死机、重启、CPU利用率100%等严重问题，从而导致整个网络通信中断，造成灾难性后果，因此如何保障网络设备自身的平安性、稳定性成为学校在建设网络、选择网络设备时需首要考虑的问题。网络攻击的防护网络中各种攻击病毒泛滥，常见的如ARP攻击、DDOS攻击、IP地址盗用、DHCP效劳器私设对日常网络访问造成严重影响，因此在网络建设时需要网络设备自身具备各种抵御攻击的平安防护能力，对常见攻击行为进行有效的防护。从而保障整个网络的稳定可靠运行。应用的平安访问随着网络应用的不断增加，对应用的访问控制需求也日益严格，如财务系统的数据属于学校的、机密数据，需要对校园网用户进行平安访问控制，确保只有授权用户可以访问，而其他用户应拒绝其访问，类似的应用平安访问需求很多，如何对网络访问行为进行有效的控制，确保数据的平安，也是需要有效解决的平安问题。设备的平安管理随着网络规模的不断增大，对网络设备的集中管理、远程管理已成为网络管理的常用方式。但传统管理技术中管理信息如用户名、密码等关键字段在网络上都是以明文进行传输，很容易被窃取，从而使黑客轻易的获得设备的控制权，更改设备配置，导致网络应用中断。因此网络设备管理的平安也是另一个需要重点考虑的问题。终端的主机平安要求70％以上威胁网络平安的攻击行为都是来自校园网内用户；内网防御能力弱，病毒、木马泛滥；“合法用户”的“非法行为”危害巨大；常规手段难以及时发现并阻断攻击行为；发生的平安事件不能审计到人，无法进行有效处理。同时、网络中大局部被攻击事件是由于Windows系统补丁未更新，系统存在致命漏洞；没有按规定安装杀毒软件及防火墙，成为病毒和木马的温床；用户随意安装违禁软件，不标准使用网络；上述问题造成了病毒和攻击在校园网内的泛滥，影响校内办公教学等正常应用的开展。因此做好网络防护，标准用户使用网络的行为，保证网络设备平安、应用平安、业务系统和数据的平安是本次网络建设非常重要的局部。前几年是我国高校信息化开展的黄金时期，数字校园建设各方面都得到了长足的开展。但在高校信息化过程中，信息系统建设以局部建设为主，各高校的信息系统建设模式根本上都是一个部门一个系统，然后通过后台的数据库手段进行数据交换与共享，而很少从整个学校的高度根据业务逻辑设计跨部门的系统，忽略了解决数字空间内部关联问题以及与现实校园的衔接问题。在高校信息化建设中，过于重视信息系统及其根底设施，而对活动的主体——用户重视不够，考虑系统的运行效率多于用户的使用效率。此问题导致的后果是建设的信息系统越多，用户使用越麻烦，甚至让用户在数字校园中也开始由于面对纷繁复杂的信息资源与效劳而不知所措，出现信息化时代新的低效率问题。在校内存在大量的应用系统，每一套系统都独立维护了用户的一套数据库，而当学生和教师入校时，系统管理员需要在每个有权限的系统中为其分配账号，系统管理员要在每一个系统中添加用户账号信息，这无疑增加了管理员的管理工作，而且由于管理员经常无暇顾及，常常会延误新员工的工作分配，大大影响了工作效率。另外，由于不能及时修改或删除离校和学生在每一系统中的账号信息，也存在很大的平安风险。因此校内统一账号实现集中式管理成为亟待解决的迫切需求。目前各高校的校园网主要以IPv4网络为主，但目前在校园网中IPv4网络存在如下问题： IP地址资源短缺中国IP地址严重缺乏是众所周知的问题。在高校同样也存在严重的IP地址缺乏的问题，地址缺乏使得校园网内用户访问Internet只能通过NAT地址转换，使得高校师生难以直接和国外同行简立起直接的端到端的连接，为高校师生的学术研究和交流带来极大的不便。 NAT导致的严重问题确实，NAT技术很好地解决了现阶段地址资源缺乏的问题，但这样的解决方案也是有代价的。首先，NAT破坏了全球惟一地址的模型与地址的稳定性。其次，NAT破坏了对等网络的模型，直接导致了很多点对点的业务无法开展。第三，NAT的存在直接导致了许多网络平安协议无法执行，QoS更加无法保障；更重要的是，NAT的使用导致出口性能严重下降，使得出口成为瓶颈。 QoS的问题如何在IPv4的“尽力而为”的根底上实现可靠平安的传输一直是困扰互联网开展的一大难题。目前互联网所提供的效劳是“尽力而为”的，得不到质量保证，这显然是不能令人满意的，尤其是对那些实时性要求较严的效劳。这同样限制了国内外高校之间学术活动的开展和交流，对高校师生在Internet上的学术研究也有很大的窒碍。上述问题靠IPv4本身是难以解决的，要解决这些问题只有利用一种新的协议来替代IPv4，那就是IPv6。所以建立起IPv6校园网并逐渐取代IPv4已经是很实际的需求。同时，高校作为学术研究的基地，抢占IPv6技术制高点也同样是迫切的事情，建立起IPv6校园网以推动高校师生对IPv6技术的研究和实践，也是迫切需要的。IPV6应用需求IPv6协议具有很多优点，学术研究基地的高校也正致力于将IPv6协议的诸多优势转换到高校的网络应用中去。依据下一代因特网特性以及未来高校可能的网络应用需求，可将IPv6在高校的应用开展分根底应用效劳升级与高级应用效劳开展两局部。根底网络效劳旨在将现在已有的效劳系统如何实现双栈并存和无缝转换以保障业务的连续性，涉及DNS、DHCPv6、WEB和FTP等效劳。高级应用效劳针对未来网络性能与需求解决如何在过渡期以及纯IPv6协议里得到更好地扩展，主要包含校园网门户系统、视频直播应用、高清视频会议应用、IPv6网格技术等应用效劳。目前学校的宿舍网络由电信运营商进行经营管理，学校自建宿舍网络的诸多需求和问题还待解决。宿舍网建设有助于学生的成长截至2008年12月31日，中国网民规模到达2.98亿人，普及率到达22.6%，超过全球平均水平；在中国网民的结构中，学生占比33.2%，越来越多的学生通过网络来进行学习、生活、娱乐，网络提高了学生学习的效率，丰富了学生的课外生活，为学生提供了更多的娱乐方式。宿舍网无疑为学生提供了一个很好的上网平台，一个很好的学习、生活、娱乐的平台，当然，如何管理好学生上网也是非常重要的。宿舍网建设有助于数字化校园的开展学生宿舍网建设后，学生能够非常快速、方便的访问教学支撑平台、电子校务平台、数字图书馆等，促进了数字化校园的开展。宿舍网建设实现学校社会满意度的提升机房上网：公共机房的上网管理问题和效率问题，导致学生和老师都不满意宿舍通过电信或者其他运营商上网：访问校内教学资源困难，尤其校内对学生宿舍上网监控和管理困难。使得校园网价值无法充分表达。宿舍网建设将用于校园网的以网养网为了实现统一的整体数字校园网，宿舍网络建设需求亟待解决。需求随着数字化校园网络建设的推进，为了让凝聚了巨大人力物力投入的信息根底设施发挥出其效益，保障整个信息系统的平稳可靠运行，需要有一个可从整体上对包括IP网络，存储，平安等组件在内的IT根底设施环境进行综合管理的平台，并能够提供业务系统运行异常的实时告警和进行图形化问题定位，性能趋势分析和预警，能够基于关键业务系统的角度，以业务重要性为导向进行事件处理和通知。由于信息系统是一个包括了众多软件，硬件技术，设计多厂家产品，从网络，平安，存储，计算到中间件和应用的复杂异构环境，而且随着数字校园信息建设的深入和持续优化和开展，这个复杂庞大的根底设施，还会随之不断进行演进，在产品，技术和网络结构，业务关系上不断发生变化，因此，要求针对该环境进行管理的系统具有良好的可扩展性，能够将下层网络和的复杂度有效的通过抽象屏蔽起来，并向上层应用和运维流程开放稳定的接口。因此，新一代大型的数字校园网需要通过面向关键业务的根底设施管理，让IT投入的效益的到最大化的表达，并能够在网络和信息团队运维资源有限的条件下，让校园的效劳品质和管理水平得以提升。第四章天水农业学校网络解决方案IneternetIneternetRG-WALL1600-EIComst计费网关RG-EG1000M效劳器区域网络中心办公楼金工中心餐厅膳食科培训中心教师宿舍家属楼1家属楼2北校区教研组六楼媒体教室五楼实训机房三楼实训机房二楼实训机房一楼网络实训室HW-S9306千兆光纤千兆双绞线天水农校网络拓扑图四楼实训机房农机实验室H3C5500北校区web、文件效劳器网络存储设备核心局部：本方案中在新校区的中心机房部署核心交换机，设备采用1台华为万兆核心交换机〔已有〕，这款产品革命性的支持10万兆速率扩展，产品性能和扩展能力到达了业界的顶尖水平，正是凭借这样出色的设计，该产品荣膺“2006年十大创新产品”称号。网络核心多业务IPv6核心路由交换机虚拟为一台逻辑核心交换设备，作为天水农业学校整网的冗余数据交换和处理平台，核心设备支持双管理引擎和冗余电源，热拔插模块化设计，充分保障网络设备的稳定性。冗余备份的网络架构设计，全面提升网络系统的整体稳定性。区域会聚局部：本方案中在各个大区域会聚层都采用1台锐捷网络RG-S5750-E平安多业务高性能万兆交换机，分别部署于主教学楼、行政办公楼、图书馆、实训楼、实验楼、实训车间楼；每台设备通过双千兆单模光纤链路上联到核心交换机，这种双归属链路的设计，充分保障了网络不会因为链路或设备的故障而中断，并且增强了网络带宽，实现了流量的负载均衡。同时这款产品的产品性能、平安功能和扩展能力都到达了业界的领先水平，正是凭借这样出色的设计，该产品通过信产部的全面平安功能测试。RG-S5750-E平安多业务高性能万兆交换机作为天水农业学校各个区域数据交换和处理平台，设备支持多种软硬件高可靠性设计，充分保障区域网络的稳定性。接入局部：本方案中，根据楼宇网络需求的不同性质，网络接入层采用锐捷网络RG-S2900-E系列平安智能千兆交换机，通过RG-S5750-E和RG-S2900-E系列交换机更可完美配合RG-SAM的网络平安认证计费系统，提供网络的身份认证、准入控制和平安认证管理，有效提升天水农业学校网络的平安级别。出口局部：修改为一台EG1000M修改为一台EG1000M在出口部署一台多核NP的高性能出口引擎NPE50E，该设备是防火墙和路由器的结合体，既可以提供高端路由器具有的高性能NAT、策略路由、Qos以及丰富的路由协议功能，还能提供防火墙具有的包过滤、状态检测、URL过滤、带宽管理等防火墙的功能。另一方面，还在网络出口部署一台RG-EG1000的流量控制及分析系统，用于实时检测网络中的流量并对于各种协议流量进行分析及限制，控制P2P，控制应用。该设备通过双桥〔桥和桥之间不互访〕连接双核心〔每个桥都有BYPASS功能〕，因此等同于两台流控设备。特别是当任一或二根线路出现故障时，流量会直接通过BYPASS出去。不影响网络正常应用。同时，为了确保出口平安在出口部署一台高性能防火墙RG-WALL1600，该设备是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL1600E采用了最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持数十个GE接口，同时支持万兆扩展，方便用户的接入使用。网络平安认证计费管理局部ESS，只做认证不做计费：ESS，只做认证不做计费方案中从网络平安角度出发，部署平安认证管理系统，通过将用户入网强制平安、统一平安策略管理、动态网络带宽分配、嵌入式平安机制集成到一个网络平安解决方案中，到达对用户身份的统一认证识别，网络受损系统的自动修复，同时可针对网络环境的变化和新的网络行为自动学习，从而到达对未知网络平安事件的防范。该方案未来更可部署RG-IDS入侵检测设备，扩展平安系统，实现对网络平安威胁的自动检测和自动防御。另外，针对上网计费的需要部署平安认证计费系统，实现对上网用户身份的统一认证识别和计费。网络管理局部：方案中部署的网络管理系统，也可直接部署RILL-BMC，可以提高有线网络的可用性，减小网络故障对于天水农业学校正常工作的影响，同时能够利用网管工具最大限度地节省管理员的工作量，防止出现到处救火、疲于奔波的情况。网络行为审计及流量分析局部删除E-LOG：删除E-LOG方案中考虑到公安部于2006年逐步开始实行了《网络计算机平安保护措施规定》。整个体系中，要求在接入单位的出口对数据流的根本属性进行记录。因此方案中特别部署有一套锐捷网络RG-ELOG平安日志管理系统，用于集中的分析和呈现NPE、RG-WALL、ACE的各种日志，帮助管理员建立一套可信赖的武威凉州区职业中等专业学校网络出口平安审计系统。这样就可以保证对网络用户的行为的事前定位、事中可查、事后可追踪。整体的稳定可靠，首先要从大的网络架构上进行考虑。只有在整体架构稳定的情况下，单点的设备稳定才更有意义。一个合理稳定的整体架构，将会最小化每个单点设备的负载和风险，大大提升网络的整体性能。整个核心网络设计的基调采用双千兆、双核心，双电源，从大的架构上大大的提升了网络的整体性能和稳定性。从纵向角度可将网络分为核心、会聚、接入三个层次结构。三层结构有如下好处：分流核心数据处理能力、降低核心路由交换压力；更好抑制播送风暴、提升网络性能；终结各VLAN信息、增强核心路由管理能力；网络层次结构更加完善、可汇总路由，降低核心路由表项；平安性更高，更强的预防和控制，对网络攻击、病毒和破坏尽量控制在边缘完成；扩展性更强、快速定位故障点、更易于管理；各接入层内部通讯量大，无需通过核心处理时〔内部网络游戏等〕，采用三层结构更加合理；从横向角度可将网络分为核心区块、会聚区块这两个局部。核心区块类似上文所述核心层的概念。核心区块唯一的目的就是高性能，高稳定。这里主要的设计思路是，需要核心和会聚、接入、效劳器彻底别离。保证任何业务〔任何PC机、效劳器〕都不直接连接在核心区块上，这样将大大保证核心网络的平安性。从另外一个角度看，其它任何区块发生问题，都将限制在该区块内，而不会涉及核心。并且由于无业务设备直接连接在核心区块上，所以核心区块几乎可以不布置任何策略，唯一的工作就是快速交换、路由。会聚区块主要包含了6个区块。会聚各楼栋会聚交换机，主要关注路由和其它相关策略部署。〔暂有以下设备〕选用的核心华为9306是华为网络推出的面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供6插槽设计主机：HUAWEI9306。HUAWEI9306高密度多业务IPV6核心路由交换机提供6T背板带宽，并支持将来更高带宽的扩展能力，高达1152Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。核心交换设备的稳定可靠需要以下四个方面共同保障：全分布式转发——华为9306多业务面向十万兆平台的核心交换机，均提供基于全分布式业务转发。每个业务板卡可基于硬件的独立处理数据流查询与转发。可较好的抵御网络扫描类的攻击。全分布式策略处理——由于华为9306交换机设计时将ACL处理引擎分布在了各个接口业务模块上，故部署ACL时完全不会影响CPU的性能。通过大量的实际案例可知，在大流量网络中，大量部署ACL，华为9306交换机的CPU利用率不会超过10％。保证大量策略部署后，网络设备仍然稳定可靠。技术特点：技术的具体实现机制是，在线卡分布式设计的根底上，为各个物理端口配备专用的FFP〔FFP:fastfilterprocessor〕处理模块，FFP模块可以实现硬件处理Qos与ACL功能，实现整机数据端口级同步处理ACL/QOS；同时，通过线卡芯片线速转发L2/L3/组播数据，实现了从线卡到端口的全面分布式硬件设计，有效分流、缓解线卡ASIC芯片的负载压力，极大地提升交换机的整体数据处理能力。如下列图：华为9306面向万兆的多业务以太网交换机为例，交换机主管理模块执行路由管理、网络管理、网络效劳等任务；采用Crossbar交换结构背板；用户接口模块那么可以独立实现硬件路由、交换和组播功能；用户交换端口可以独立硬件实现ACL和QOS功能，不仅能在保证网络平安的同时，又可极大提高核心交换机的处理能力，保证应用的顺利进行。平面保护技术——华为9306交换机采用了平面保护技术，在网络设备的数据平面、控制平面之间配置有独立的硬件平安芯片，该芯片可以有效的控制从数据平面〔ASIC芯片〕发往控制平面〔CPU〕各种报文，进行识别、限速、阻断等。这样就保证了在异常攻击流量的情况下，交换机CPU的永不过载，控制平面的任务可以很好的执行，这样就高度保证了交换机系统的稳定性。平面保护技术特点：当然平面别离大大加强了设备的稳定性。但同时它的平安变得更加重要。因此我们推出了平面保护技术。路由协议认证、独立物理通道保证控制平面的平安；通过CPP保护、AAA、SSH、SNMPv3、独立物理通道保证管理平面平安；通过硬件防DOS与扫描、硬件防IP地址欺骗、传统平安技术防范、硬件支持的IPFIX册地保证数据平面平安。通过上述三个方面的共同保障，华为9306交换机无论处于何种情况的网络中，均可保证自身系统的高度稳定性。此次选用的核心华为9306是锐捷网络推出的面向万兆平台设计的下一代高密度多业务IPV6核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供6插槽设计主机：华为9306。高密度线速万兆及十万兆的扩展支持华为9306是华为网络推出的面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机，具有很高的扩展能力。它支持下一代的以太网100G速率接口，同时也由于每线卡能提供200G的线卡带宽保证了未来扩展高密度万兆口的需求。再次万兆也获得了信息产业部的线速测试报告，既保证了端口密度又保证了性能。IPv6的全面支持核心华为是线卡ASIC硬件支持全面的IPv6功能，包括IPv6的各种动、静态路由；各种隧道技术等。保证了学校未来对于Cernet2的直接对接。同时华为9306系列的IPv6功能也获得了国际权威的IPv6Ready第二代认证。虚拟化交换单元技术支持为了保证网络的可靠性、故障自愈性，在方案设计中均需要考虑各种冗余设计，如网络冗余节点、冗余链路等。冗余的设计使网络结构中出现了环路以及环路有可能引起的播送风暴等风险，生成树技术〔STP〕应运而生。它虽然消除了环路，但却带来了链路性能利用缺乏的新的问题。随之MSTP技术利用通过多实例的划分来实现不同链路流量的负载分担，提高了链路可用性能，但与此同时却将网络的结构，管理维护工作量翻了几番。而管理维护量大会导致一旦配置出错会又回到起初环路产生所带来的播送风暴的问题。从根本上讲，网络结构、业务、管理维护的复杂度，：一方面是由于网络设备数量众多直接带来的；另一方面是由于网络设备数量众多衍生出的类似STP、VRRP这些特性间接带来的。但无论是直接还是间接引起，本质上都是网络设备数量的问题。所以，最根本的方法，就是要减少逻辑设备的数量。换句话讲，就是将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而到达减小网络规模的目的。为了解决传统网络的这些问题，锐捷网络提出一种把两台物理交换机组合成一台虚拟交换机的新技术，称为VSU，全称是VirtualSwitchUnit，即虚拟交换单元。把传统网络中两台核心层交换机用VSU替换，VSU和会聚层交换机通过聚合链路连接。在外围设备看来，VSU相当于一台交换机。速度更快高端交换机性能和端口密度的提升会受到其硬件的限制，而VSU系统的性能和端口密度是VSU内部所有设备性能和端口数量的总和。因此，VSU技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。此外传统的生成树等技术为了防止环路的发生，会采用阻断一条链路的方式，而VSU可以通过跨设备链路聚合等特性，让原本“Active-standby”的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。网络更加可靠链路级：设备之间的物理端口支持链路聚合，系统和上、下层设备之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性。协议级：提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现协议可靠。设备级：系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的备份。相比传统的二层生成树技术和三层的VRRP技术，其收敛时间从N秒级缩短到毫秒级。无任何业务限制帮助用户在实现根本功二层、三层能的同时，提供包括防火墙模块、流量分析模块等更广的业务应用。此外还支持IPv6、组播、MPLS等多种业务。不仅可以提供机架内的高性价比连接方案，还可以通过标准光纤实现长达70km的跨区域远距系统连接方案，提高了智能弹性系统的可用性。高性能硬件模块采用高性能硬件模块实现，进行设备机箱见得快速检测和设备间数据高度转发。适用于大规模的网络，无软件升级方式带来的弊端。采用一台平安出口引擎台高性能防火墙RG-WALL1600M+一台应用层流量控制网关RG-EG1000组合，连接用于电信和教育网的Internet线路，实现高性能的NAT和策略路由功能。1．NPE在启用NAT、ACL、PBR〔策略路由〕的情况下，在通常情况报文流情况下〔平均报文长度为500byte左右的混合报文〕，双向可以到达8Gbps的线速转发。相当于可以在4条千兆出口上双向线速转发。上网从此不慢！2．NPE每秒高达30万条的NAT新建连接会话。在出口中平均长度512Byte报文1Gbps的NAT线速转发下，每秒到达新建7万条NAT会话。可以同时1100个用户美妙新建100个链接网页翻开从此不断！3．NPE并发到达200万条的NAT会话数。如果按照每个网络节点250条NAT会话，那么可以支持将近8000台的网络节点同时在线。由于目前P2P应用已经开展飞速，给人们带来便捷的同时严重消耗了有限的网络带宽，降低上网质量。特别是在学校，随着学生用户的增加，此现象会日益严重，而学校又属于需要大力开放的地方，因此对于网络管理者来说必须在不影响开放原那么的情况下大大减少P2P对出口带宽的影响：此次我们在武威凉州区职业中等专业学校的方案中完美的解决了P2P问题，首先采用ACE对整网的P2P协议进行控制，ACE可以有600多种特征库，可以非常快的识别流量。P2P应用：Bittorrent、eMule、KAZAA、KURO、NAPSTER、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO等30多种P2P软件。及时通信：MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等10多种主流的IM软件。流媒体：新浪直播、搜狐直播、RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPLAYER、MMS、QQlive等。网络游戏：COUNTERSTRIKE、QUAKE1、DOOM3、QQGAME、CGA、SUBSPACE、XBOXLIVE、QUAKE-HALFLIFE、BATTLEFIELD1942、WOW、联众等网络游戏。炒股软件：大智慧证劵信息平台、天一证劵网上交易系统、华泰网上交易分析系统、证券之星等炒股软件。企业应用：HTTP、SMTP、POP3、IMAP、文件共享、FTP、SQLServer、Oracle、DB2、WebSphereMQ等企业的关键应用此次我们在武威凉州区职业中等专业学校的方案中还可以通过ACE为不同级别用户设定不同带宽，确保关键用户带宽得到保障。流控设备的冗余性设计：冗余电源系统、冗余风扇系统ACE采用Tyco的外置光旁路单元和内置电口旁模块采用硬件Watchdog监测HW/SW问题ACE正常时流量将经过外部光旁路模块进入ACE当GR-EG失效或掉电时,外部光旁路模块进入旁路工作模式近年来，网络病毒泛滥、平安事件频频发生可以说是一个总趋势。拿2005年上半年为例，据CNCERT/CC统计，从2005年1月1日到2005年6月30日，全球共新增蠕虫、木马、病毒等恶意代码11851种，是前一年同期增长数量的1.2倍。自2005年起，平安将会越来越成为我们网络稳定可靠运营的一个保障。根据美国FBI的调查，美国每年因为网络平安造成的经济损失超过170亿美元。从IDC网络平安调查数据来看，网络的平安威胁主要来自三个方面：第一、网络的恶意破坏者，也就是我们所说的黑客，造成的正常网络效劳的不可用、系统/数据的破坏；第二、无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播；第三、就是别有用心的间谍人员，通过窃取他人身份进行越权数据访问，以及偷取机密的或者他人的私密信息。其中，由于内部人员而造成的网络平安问题占到了70%。纵观校园网平安现状，我们会发现同样符合上面的规律，即平安主要来自这三方面。而其中，来自校园网内部的平安事件占到了绝大多数。这与校园网的用户是息息相关的。一方面，高校学生——这群精力充分的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。同时网络也使得黑客工具等的获取更加的轻松。另一方面，校园网内却又存在着很多这样的用户，他们使用网络来获取资料，在网络上办公、娱乐，但是平安意识却明显薄弱，他们不愿意或者疏于安装防火墙、杀毒软件。此外，我们的网络管理者会发现，还面临这其他一些挑战，比方：用户可以在随意接入网络，出现平安问题后无法追查到用户身份；网络病毒泛滥，网络攻击成上升趋势。平安事件从发现到控制，根本采取手工方式，难以及时控制与防范；对于未知的平安事件和网络病毒，无法控制；用户普遍平安意识缺乏，校方单方面的平安控制管理，难度大；现有平安设备工作分散，无法协同管理、协同工作，只能形成单点防御。各种平安设备管理复杂，对于网络的整体平安性提升有限。某些平安设备采取网络内串行部署的方式，容易造成性能瓶颈和单点故障；无法对用户的网络行为进行记录，事后审计困难；当前网络平安形势严峻已是不争的事实，所以在网络平安上，各位校园网的运营官们都是费力了心思。看见哪里有漏洞就想方设法去堵上。具体来说：针对来自外网的攻击，在出口进行防火墙的部署；针对效劳器区域的平安，在效劳器群的出口添加防火墙；针对病毒肆虐，提供正版杀毒软件下载，并在及时网站发布通知，要求更新和杀毒：发文请求用户安装个人防火墙软件，拦截一些常见的破坏行为；安装网络版杀毒软件，及时防范病毒入侵；强烈要求用户勤打操作系统和应用程序补丁，不给破坏者提供时机。但是，以上传统的网络平安措施实现的都只是单点或者局部的平安。防火墙，虽然能够有效保护出口平安或者受保护的效劳器区域，阻止某些攻击行为，但无法分析深层的数据，尤其无法处理内部攻击行为；杀毒软件，一方面，用户是否安装以及安装后是否及时更新，管理员无从得知；另一方面，病毒种类多、变种快，杀毒软件往往“后发制人”，也就是说，只有在用户中毒以后，才会发现并查杀病毒，以及发出警告。尤其，病毒软件对攻击不能独立有效地确认发生源，并有效地阻断；由此可见，当网络受到来自各方面的攻击时，由防毒软件和防火墙等独立平安产品堆砌起来的措施不仅漏洞百出，还会处处被动挨打。也正是在这种情况下，新的网络平安思路，注重从“局部战争”到“纵深防御”的转变，将平安融合到网络根底架构中，同时期望多种平安组件能够联动实现多兵种协同作战。这也就是业界最领先、最成熟的全局平安解决方案的理念。2004年，锐捷网络准确把握了网络平安的开展趋势，自主研发了GSN全局平安解决方案。GSN，即GlobalSecurityNetwork，中文名称“全局平安网络”。GSN通过将用户入网强制平安、主机信息收集和健康性检查、平安事件下的网络设备联动处理集成到一个网络平安解决方案中，到达对网络平安威胁的自动防御，网络受损系统的自动修复，同时针对网络环境的变化和新的网络行为进行学习，到达对未知平安事件的防范。本次方案采用的RG-ESS易平安系统是锐捷网络GSN全局平安网络解决方案的核心组成局部，GSN全局平安网络解决方案定位于网络访问控制NAC领域，从网络接入者的身份、接入主机的健康性以及网络通信的平安性等多方面为用户构建一个全局的平安网络。RG-ESS易平安系统软件作为GSN解决方案的核心，承载着以上三个方面的重要功能。实现用户身份管理GSN帮助天水农业学校建立成熟可靠的网络身份管理体系，确保入网用户身份的合法有效，将非法用户隔离在内网大门之外。该阶段主要涉及的产品为RG-ESS1000、RG-SA及RG-23/29/57系列平安接入/会聚交换机。入网用户身份验证GSN建立起一套统一的身份管理模式，对每一个试图对接入内网的用户，都要经过GSN系统的身份合法性验证，包括用户的账号、密码、IP等关键信息。只有当用户提供了合法有效的身份信息之后，才能允许正常接入并使用网络。用户身份唯一性保障GSN通过对用户身份信息的六大元素：用户名、密码、用户IP、用户MAC、交换机IP、交换机端口进行灵活的绑定，实现用户身份←→用户PC←→物理位置的紧密关联，保障入网用户身份合法可靠。Windows域身份管理系统兼容GSN支持LDAP协议，可以与Windows域管理系统、OpenLDAP或其它支持LDAP的身份认证系统实现无缝结合，对用户的身份信息进行统一管理。实现两套系统共用一套用户身份信息的效果，有效利用现有成熟的身份管理体系，大大减少系统整体管理与部署的本钱。一卡通系统的平滑对接未来高校开展的趋势就是一卡通系统在学校的全面部署，而当网络的用户身份认证系统不能与一卡通兼容时将给用户带来很多的不便，让一卡通也失去了它真正的意义。而锐捷此次为天水农业学校设计的GSN系统可以提供灵活的第三方接口与一卡通系统进行平滑对接，保证一卡通系统与网络系统完美融合。终端平安防护在确保入网用户身份的合法可靠之后，GSN通过建立用户终端平安防护体系，同时结合杀毒软件、微软WSUS自动更新效劳等各种第三方平安系统，确保入网用户主机终端的平安。第三方杀毒软件联动经常出现这种问题：虽然网络管理部门已经作出了入网用户必须安装杀毒软件的规定，但缺乏强制手段保障规那么的有效实施，用户往往视而不见。网络管理员需要消耗大量精力来处理各种因为病毒等事件造成的网络问题。GSN能够通过和第三方杀毒软件的联动，强制入网用户必须正常安装、运行指定的杀毒软件。对于常见的杀毒软件〔瑞星、诺顿、卡巴斯基、McAfee、NOD32等十余种〕，还能够检测其病毒库是否已经更新到指定版本。对于杀毒软件检测未通过的用户，将被GSN视情况进行警告、隔离处理。利用自动修复的功能，还能对用户进行杀毒软件和补丁包的自动下发，帮助用户安装并更新杀毒软件。与微软WSUS联动进行Windows补丁更新WSUS是微软提供的免费Windows补丁自动更新系统，GSN能够与内网的WSUS效劳器进行联动，引导用户使用WSUS的效劳进行Windows补丁自动更新，帮助内网的用户主机及时更新操作系统补丁，防止因为操作系统漏洞带来的平安隐患威胁。主机平安性规那么验证GSN提供了丰富的主机平安性规那么，可以对用户进行灵活的主机管理：强制安装/禁止安装指定的应用程序；强制运行/禁止运行指定的进程；强制开启/禁止开启指定Windows系统效劳；用户系统注册表管理。基于用户身份的访问权限控制GSN能够根据用户的身份为用户下发指定的访问权限。例如，一般职员禁止访问存放重要资料的数据效劳器；财务人员能够访问财务管理系统，但访问外网受限，等等。能够充分而灵活的满足用户对访问权限管理的需求。用户主机信息学习GSN部署范围内的用户主机信息，能够自动的通过RG-SA客户端学习上来，包括用户的操作系统信息、硬件环境信息、以及主机上安装的应用软件信息。并能根据主机信息生成详细的图形报表，以直观的方式为管理员进行呈现。外联接口控制财务等机构往往有严格的信息保密需求，需要能够对计算机的外联接口进行严格控制，限制信息泄密的可能渠道。GSN能够对U盘、光驱、软驱、打印机等常见的接口进行统一设置，限制外联接口的滥用，保护校园内部机密信息的平安。锐捷网络根据多年的网络设计、实施和维护经验，设计了一套业界领先的RG-SNC管理系统，下面简单介绍下锐捷网络综合网络管理解决方案。RG-SNC智能网络指挥官是锐捷网络为精确进行网络管理而设计的网络管理系统。RG-SNC专注于网络变更与配置管理，采用友好的全中文Web浏览器界面，可以远程协同维护和管理，采用非代理模式，防止了传统的“Agent”模式的繁琐和重复性劳动，而且便于实施和后期维护，极大地节省了工作时间和工作繁杂度；主动式的网管，可定义管理任务，主动收集网络状况并及时备份，做到状态变更的及时响应，出现故障可及时恢复；提供美观的网络拓扑图，俯瞰整个网络现状，出现异常时，在拓扑图上及时呈现。产品主要配合锐捷设备使用，提供图形化的配置界面，实现对设备配置修改,从而大大降低管理员的维护强度和难度。SNC具有如下特点：1、减少手动错误SNC基于界面的向导式的配置方式帮助减少配置更改正程中的手动错误。2、提高效率SNC提供批量的任务式的管理方式，自动完成大多数配置任务。使管理员从多数重复性、非生产性工作中解放出来，提高工作的效率。3、快速灾难恢复配置块照定期收集配置信息，如果发生网络中断，那么管理员可以方便地回滚到以前的好配置。这样可以大大减少网络停止时间。4、有效的报告SNC可定期/即时提供的连通性测试报告，使用户随时了解网络状况。高校向来是国家前沿技术的阵地，在下一代互联网的重大历史机遇面前，承当起IPv6的研究工作责无旁贷。而CERNET2也将成为真正意义上的“中国教育与科研计算机网”〔目前的CERNET网实际上已经成为运营网〕，作为下一代网络的研究示范平台，供各高校接入，以便有效开展IPv6的技术与应用的研究之用。目前很多高校已经或开始建设校园内的IPv6网络〔局部〕或IPv6的城域网〔覆盖城域范围内的假设干高校〕，这些IPv6网络都将接入CERNET2。211高校和985高校园已经全面接入了CERNET2，使用着里面丰富的教学资源。而其它的本科高校最终都要接入CERNET2，因此我们此次为天水农业学校校园网的规划中也特别关注了这一点。当Cernet2需要接入时，我们的校园网可以平滑的接入IPv6。部署过程如下：首先把IPv6的CERNET2专线接到一台核心的RG-S8614上，在核心上开启Ipv6双栈及静态路由，保证与CERNET2的互通。IPV6双栈技术：设备升级到IPv6的同时保存IPv4支持;应用程序可以选择使用IPv6或IPv4;协议允许应用逐渐从IPv4过渡到IPv6。其次，把核心、区域会聚的IPv6三层交换机〔RG-S8614、RG-S8606、RG-S5750〕开启双栈及IPv6的静态路由或OSPFv3。保证内部Ipv6的互通。再次，在RG-S8614、RG-S8606、RG-S5750上设置双栈、IPv6静态路由和ISATAP隧道，保证会聚设备不支持IPv6的区域，可以实现跨三层支持IPv6功能，这样就保证了全网IPv6的实现。为了方便有效的对网络系统进行全面的管理和分析，方案中配置了相应的平安日志管理和流量分析系统，其中，RG-eLog锐捷日志系统〔以下简称RG-eLog〕是锐捷网络公司开发的网络日志系统。产品用于局域网出口日志NAT日志和URL访问日志采集，配合锐捷认证系统的日志信息进行分析，以提供网络用户行为的日志审计和出口流量的统计分析，提供上网日志信息统计和违规信息统计功能以及出口流量分析功能。RG-eLog部署和操作都很简捷，产品的设计理念就在于“易”——易部署、易操作。快速简单的部署方式，人性化的操作逻辑，致力于将用户的部署本钱和操作本钱降到最低。RG-eLog与设备类型和认证系统的配合采用松耦合方式，设备可以是RG-WALL、NPE、ACE任意的一种，当然客户在出口也可以随意组合这些产品。如果让RG-eLog和锐捷用户认证系统〔SAM或SMP〕对接，可以提供详细的用户信息，如用户账号、用户名、地址、等。组合的组件越多，RG-eLog提供的统计和分析的功能就越强。RG-eLog可以结合锐捷出口引擎〔RG-NPE〕、应用控制引擎(RG-ACE)全系列产品、锐捷认证系统〔SAM或SMP〕，实现对出口引擎提供的NAT五元组、ACE提供的URL访问日志的分析。能够提供网络内各用户的访问流量、连接数等信息的分析，同时提供对用户通过NAT访问内容日志存储和查询，以及其URL内容的查询。RG-eLog也可以与锐捷全系列防火墙和锐捷认证系统〔SAM或SMP〕配合，实现对防火墙提供的NAT五元组、URL访问日志的分析。能够提供网络内各用户的访问流量、连接数等信息的分析，同时提供对用户NAT访问内容、URL访问内容日志进行存储和的查询。该产品可以用于高校校园网、企业办公外网、政府机构办公网、医疗外网、普教城域网、普教校园网、金融外联网等网络出口设备的NAT日志和URL日志收集，作为用户行为审计的依据。由于无线局域网接入点设备，需要上联到有线网络的交换机上，以实现无线网络用户融入有线网络的目的。另一方面，针对网络的有效提高网络带宽利用效，需要对数据流量进行全面监控和分析，为此，特别配置了一套锐捷流量分析系统，它是专门用来监视网络活动，帮助用户了解流量构成、协议分布和用户活动的软件，广泛适用于各种行业网络的流量统计，它利用Flow技术来收集网络中有关流量的重要信息，并对收集的数据进行深入分析，为管理人员提供丰富有用的报表，以些用于监控网络系统内的带宽效用情况、进行流量与协议分析。RG-S5750-E系列交换机是锐捷网络推出的融合了高性能、高平安、多业务的新一代三层交换机。RG-S5750-E系列交换机能够提供灵活的介质接口，满足网络建设中不同介质的连接需要。全千兆的端口形态，加上可扩展的高密度万兆端口，提供1:1全线速多层交换，特别适合高带宽、高性能和灵活扩展的大型网络会聚层，中型网络核心，以及数据中心效劳器群的接入使用，良好地支持各种效劳器操作系统和厂商的效劳器，以及NLB等效劳器集群技术。硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，可灵活应用于纯IPv4网络、纯IPv6网络、IPv4到IPv6共存的网络，能充分满足当前园区网从IPv4向IPv6过渡的需要。提供二到七层的智能的业务流分类、完善的效劳质量〔QoS〕策略。根据不同应用对不同业务流分级处理，保证重要数据传输无延时。该系列交换机提供的接口形式和组合非常灵活，即可以提供24个或48个10/100/1000M自适应的千兆电口，又可以提供8个或者4个SFP百兆/千兆光口，满足网络建设中不同传输介质的连接需要。RG-S5750-E系列交换机以极高的性价比为大型网络会聚、中型网络核心、数据中心效劳器接入提供了高性能、完善的端到端的效劳质量、灵活丰富的平安设置和基于策略的网管，最大化满足高速、平安、智能的企业网需求。高性能万兆端口为“千兆会聚，万兆核心”提供可能，适应了网络应用高速开展，网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网络，也方便用户后续升级网络到万兆。IPv4/IPv6双协议栈多层交换硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，可根据IPv6网络的需求规划网络或者维持网络现状，提供灵活的IPv6网络通信方案；支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF、BGP4等，满足不同网络环境中用户选择适宜的路由协议灵活组建网络；支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、BGP4+等，不管是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择适宜的路由协议组建网络。虚拟化技术 支持VSU〔VirtualSwitchUnit〕即虚拟交换单元技术。通过聚合链路连接，将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而到达减小网络规模、提升网络高可靠性的目的。灵活完备的平安策略具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色；支持基于硬件的IPv6ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比方限制对网络敏感资源的访问等；业界领先的硬件CPU保护机制：特有的CPU保护策略〔CPP技术〕，对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU平安，充分保护了交换机的平安；硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；支持DHCPsnooping，可只允许信任端口的DHCP响应，防止私设DHCPServer的欺骗；并在DHCP监听的根底上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题；基于源IP地址控制的Telnet设备访问控制，防止非法人员和黑客恶意攻击和控制设备，增强了设备网管的平安性；SSH〔SecureShell〕和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的平安性，防止黑客攻击和控制设备；控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口平安、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。支持NFPP技术。NFPP(NetworkFoundationProtectionPolicy根底网络保护策略)是用来增强交换机平安的一种保护体系，通过对攻击源头采取隔离措施，可以使交换机的处理器和信道带宽资源得到保护，从而保证报文的正常转发以及协议状态的正常。强大的多业务支撑能力支持IPv4、IPv6组播功能，包含丰富的组播协议。比方IGMPSnooping、IGMP、MLD、PIM、PIMforIPv6、MSDP等协议族，为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播效劳支持；支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的平安性；支持等价路由〔ECMP〕、权重路由〔WCMP〕等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。RG-S5750-E支持丰富的MPLSVPN功能。智能侦测MPLS断网，智能选择冗余线路保持MPLSVPN的连通性。完善的QoS策略具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的效劳质量特性，提供效劳；以DiffServ标准为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑。高可靠性支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；支持VRRP虚拟路由器冗余协议，有效保障网络稳定；支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象；支持RERP，专门为核心以太网设计的二层链路冗余备份协议，其环路阻断以及链路恢复都集中在主控设备上进行,非主控设备直接向主控设备汇报自己的链路情况,无需经过其他非主控设备的处理,因此环路中断以及恢复时间比STP快。基于以上区别,RERP在理想环境下的链路恢复能力能够到达百毫秒级；在不启用STP的情况下，可以通过REUP(RapidEthernetUplinkProtectionProtocol)提供一个快速上链保护功能，REUP使得用户在关闭STP的情况下，仍提供根本的链路冗余，同时提供比STP更快的毫秒级故障恢复。支持BFD，为各上层协议如路由协议，MPLS等提供一种快速检测两台路由设备之间转发路径连通状态的方法，大大减少了上层协议在链路状态变化时的收敛时间。方便易用易管理灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择线缆；网络时间协议保证交换机时间的准确性，并与网络中时间效劳器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；CLI界面，方便高级用户配置和使用。RG-S2900-E系列交换机包括RG-S2928G-E、RG-S2952G-E二款产品，是锐捷网络基于网络平安和易用好管理的理念推出的新一代平安智能交换机，充分融合了网络开展需要的高性能、高平安、多业务、易用性特点，为用户提供全新的技术特性和解决方案。RG-S2900-E交换机在提供智能的流分类、完善的效劳质量〔QoS〕和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的平安控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络平安和网络合理化使用和运营。RG-S2900-E系列交换机提供了SNMP、Telnet、Web和Console口等多种配置方式方便网络管理和维护，并提供最为灵活和完善的端口组合形式，非常利于用户根据网络布线需要，选择所需的上行链路的接口形式。RG-S2900-E系列交换机可为各种类型网络接入提完善的端到端的QoS效劳质量、灵活丰富的平安策略和基于策略的网络管理，是校园网、企业网、政务网、业务网、宽带小区、商务楼宇等应用的理想接入设备，为用户提供高速、高效、平安、智能的全新接入方案。全面的平安控制策略通过与锐捷网络全局平安解决方案GSN的结合，可在平安策略方面为用户提供全面的立体三维的技术特性和解决方案，完全解除平安威胁、攻击、病毒、ARP欺骗等侵害，还网络一片绿色，让用户更安心、省心上网；硬件实现端口与MAC地址和用户IP地址的灵活绑定，严格限定端口上的用户接入；通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，保障了信息平安，同时不必占用VLAN资源；专用的硬件防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网；支持DHCPsnooping，可只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCPServer，扰乱IP地址的分配和管理，影响用户的正常上网；并在DHCP监听的根底上，通过动态监测ARP和检查源IP，可有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗；基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的平安性，防止黑客恶意攻击和控制设备；SSH〔SecureShell〕和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的平安性，防止黑客攻击和控制设备，保护网络免遭干扰和窃听；通过内在的多种平安机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的平安绑定、端口隔离、多种类型的硬件ACL控制〔如专家级ACL、时间ACL、用户自定义ACL〕、基于数据流的带宽限速、用户平安接入控制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。丰富的组播特性支持IGMP源端口检查功能，有效地杜绝非法的组播源，提高网络的平安性；支持和识别IGMPv1/v2和IGMPv3全部版本的组播报文，适应不同组播环境，防止非法的组播数据流占用网络带宽，满足组播平安应用的需要。完善的QoS策略以DiffServ标准为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；具备MAC流、IP流、应用流等多层流分类和流控制能力，实现灵活精细的带宽控制、转发优先级等多种流策略，带宽限制粒度达64Kbps，支持网络根据不同的业务、以及不同业务所需要的效劳质量特性，提供差异化效劳。高可靠性支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。方便易用易管理采用灵活复用的千兆电接口和千兆SFP口组合的形式，可最灵活满足是否需要多个千兆链路上链或多个千兆效劳器的连接，方便用户根据网络架构灵活选择连接形式；支持设备间的混合堆叠，通过堆叠不仅可以统一管理和使用设备，降低管理本钱，同时可以灵活地组合和扩展端口，平滑扩容，保障了网络的高度灵活和可扩展，网络管理更加简单；提供图形化的平安策略管理平台，支持平安策略自动同步下发、升级和维护功能，平安策略智能化，可大幅度提高交换机管理和配置效率，提高网络平安；网络时间协议〔NTP〕保证交换机时间的准确性，并与网络中时间效劳器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；CLI界面，方便高级用户配置和使用；Java-basedWeb管理方式，实现对交换机的可视化图形界面配置和管理，智能人性化的配置界面，实现快速和高效地配置设备。绿色节能设计S2928G-E交换机采用无风扇静音设计，功耗降低了40%以上，消除噪声；S2952G-E采用涡轮变速风扇设计，在低温情况下，风扇自动降低转速，降低功耗和噪声。路由器RG-NPE〔NetworkoutPutEngine，网络出口引擎〕系列产品，是锐捷网络公司针对国内网络出口状况研发的专用设备。NPE基于多核处理器技术进行架构，具备转发高性能，内嵌状态防火墙、符合公安部82号令的日志记录等功能。此外，NPE针对国内普遍存在的NAT进行优化，并发会话和新建会话能力在业内首屈一指。NPE产品全新融入了智能DNS和多链路负载均衡技术，使得用户对内对外访问都能智能选择最优最快速路径；集成了DPI引擎，让网络管理者轻松应对P2P等应用的流量控制；重构了Web界面，让NPE网络出口引擎的专业在设备管理维护层面变得简化。先进的体系架构NPE系列网络出口引擎采用多核处理器体系架构，单个处理器内部基于锐捷自主知识产权的虚拟多处理器〔vCPU〕技术，从而在x-flow框架下构建起一个高性能、高稳定的转发平台全新的多核架构在满足高