汾湖实验小学网络规划方案

汾湖实验小学

网络规划方案

目录

第1章前言...............................................................-3-

第2章网络现状描述......................................................-4-

第3章用户需求分析......................................................-4-

3.1骨干网络高性能、高稳定性需求.....................................-5-

3.2网络安全性需求....................................................-5-

3.3智能无线部署需求..................................................-5-

3.4高效网络管理需求..................................................-6-

第4章用户网络建设要求..................................................-7-

4.1建设目标..........................................................-7-

4.2建设内容..........................................................-7-

4.3网络系统设计原则..................................................-7-

第5章网络系统解决方案................................................-10-

第6章解决方案特色....................................................-12-

6.1骨干网络高性能、高稳定性.......................................-12-

6.1.1骨干设备选择.................................................-12-

6.1.2先进技术带来的高性能........................................-12-

6.2网络安全性保证..................................................-18-

6.2.1出口设备安全策略.............................................-18-

6.2.2核心、接入交换机安全策略....................................-18-

6.2.3病毒、攻击防护方式..........................................-19-

6.3网络后期扩展性好...............................................-20-

第7章主要设备选型说明................................................-21-

7.1核心交换机产品..................................................-21-

7.1.1产品概述.....................................................-21-

7.1.2产品特性.....................................................-22-

7.1.3产品技术参数.................................................-24-

7.2汇聚交换机产品...................................................-25-

7.2.1产品概述.....................................................-25-

7.2.2产品特性.....................................................-26-

7.2.3产品技术参数.................................................-28-

7.3接入交换机产品...................................................-32-

7.3.1产品概述.....................................................-32-

7.3.2产品特性.....................................................-32-

7.3.3技术参数.....................................................-34-

7.4无线产品.........................................................-35-

7.4.1产品概述.....................................................-35-

7.4.2产品特性.....................................................-36-

7.4.3技术参数.....................................................-36-

7.5网管产品.........................................................-38-

7.5.1产品概述.....................................................-38-

7.5.2产品特性.....................................................-38-

第8章部分教育用户荣誉名单.............................................-39-

第1章前言

汾湖实验小学目前正加紧新校区的工程建设。在整个校园弱电智能化建设

中，校园网络系统占有较为的重要的地位，是校园的重要基础设施。建成后的计

算机网络系统应成为一套现代化的计算机网络系统，使用户享有其应有的信息资

源（包括数据、语音、视频等）；实现内部办化自动化、多媒体教学、公共设备

管理、音视频数据的传输、软件硬件资源共享、有关弱电系统的运行等功能。无

线网络覆盖整个校园。

随着当代信息技术的扩展，随着多媒体计算机在教育教学过程中的应用越

来越普遍，校园网络的建设提到了重要的议事日程。从当今世界发达国家教育信

息化发展的经验来看，从单机发展到网络，是中教育信息化发展的必然趋势。因

此，在当前我国发达地区的基础教育信息化发展过程中，以校园网络的建设为核

心与基础，加快教育现代化的进程，实现我国基础教育改革发展中的跳跃式发展,

这是全面贯彻素质教育的关键性步骤。

当前的校园网正发生着巨大的变化，校园网正从传统的、简单的以数据共享、

网页浏览、电子邮件服务等数据处理为中心的数据承载网过渡到以多媒体流（多

媒体教学、远程教学、实况网上视频转播、VOD点播、视频会议等）处理为中心

的多业务应用网络。随着校园网的信息化的发展，越来越的多教学方式依托于网

络给用户提供多种的特色教学模式多媒体教学；通过建立VOD视频服务器平台，

为用户提供优质的视频内容服务；通过召开视频会议，从时间、空间上改变传统

的会议方式，方便了与会者，提高了效率并节省了会议费用。

应用趋势决定了校园网络要能支持丰富的应用，如电子校务、资源共享、网

络远程教学、网络课件、校园网络监控、一卡通系统等等。丰富的应用要求校园

网络具备高性能、高安全性、高可靠性。为了保护投资，要充分的考虑到未来的

扩展要求。

第2章网络现状描述

汾湖实验小学于09年已经采购过一批网络设备，目前这批网络设备已经投

入使用。由于新校园目前尚未投入使用，这些设备目前仅部署在教学楼办公区内,

为内网办公的老师提供简单的上网接入服务。以下为这些设备的使用情况：

产

产品名描述数量说明

品

锐捷防火墙安全网关，固化4个GE口+1个FE

防

□;提供1个模块化插槽，支持现用于教学楼办公区

火RG-WALL160M1

4GE/4SFP/2GE/2SFP扩展，可扩展至8个千兆口；出口安全防护

墙

支持Bypass功能，标准1U设备

出

锐捷电信级全千兆宽带路由器,2个千兆WAN口

口

（其中1个光电复用口），4个千兆LAN口（其现用于教学楼办公区

路NBR1200G1

中3个LAN口可弹性配置为WAN口），1个控制出口路由转发

由

台口，中文WEB配置，防网络病毒抗攻击。

器

层24端口10/100M自适应端口，4个SFP接口

现用于教学楼办公区

交RG-S3760-24和4个复用的10/100/1000M自适应电口，双1

核心

换协议栈IPv4/IPv6多层交换机

机

24口10/100M交换机，2个10/100/1000M

RG-S2328G端口和2个千兆SFP光口复用，1个扩展槽，1现用于教学楼1F

层可上千兆模块和堆叠模块

交两台用于两个学生机

48口10/100M交换机,2个10/100/1000M

换房接入，另三台用于

RG-S2352G端口和2个千兆SFP光口复用，1个扩展槽，5

机教学楼2F-4F楼层接

可上千兆模块和堆叠模块

入

这些设备目前集中于教学楼二楼教室办公室内，待到校园网施工建设完成,

这些设备需统一转移到综合楼4楼校园网中心机房。

第3章用户需求分析

学校校园网是为学校教学、科研和管理提供服务的重要基础设施，本着“以

需求为导向，以应用促发展，以构建数字校园为目标”和“总体规划，分步实施”

的建设思路，校园网建设将是一个长久的、持续的工作。随着校园网建设的不断

发展，和新应用系统的使用，学校校园网将会在教学、科研和管理等方面发挥更

大的作用。

我们结合汾湖实验小学的实际建设情况，对用户今后的用网需求做如下分

析：

3.1骨干网络高性能、高稳定性需求

网络骨干包括网络的核心层、汇聚层，是整个网络流量的承受者和汇聚者，

因此对骨干网络高性能、高稳定性提出了高的要求。

在网络的核心层面，应尽量通过核心设备的冗余，实现设备的热备和自动切

换，以保障网络骨干高稳定，高可用。

3.2网络安全性需求

网络安全包括网络级、系统级、用户级、应用级的安全，在网络级，需要利

用出口设备的NAT（网络地址转换）功能，对外屏蔽校园内网的网络拓扑信息，从

而避免校园网受到外来攻击。在网络内部，根据用户的网络使用需求，将用户和

网络资源划分为不同的VLAN,在VLAN间根据需求启用相应的ACL（访问控制

列表），从而保证用户的物理隔离和资源访问的安全。

3.3智能无线部署需求

网络能在有线无法延伸到的地方，做无线的网络信号覆盖，使得楼层内，甚

至整个校园内，处处能上网。依托新建成的无线网络，校内师生可以方便地在图

书馆、报告厅利用手提电脑、PDA、手机等通讯工具连接到内网中来，校领导可

以在会议室无需网线即可上网，进行系统的访问和数据的共享；外来访客也可以

用终端设备安全地接入网络，通过校园网来进行Internet访问，方便高效。大

范围的无线部署，必将能够提升整网用户访问网络的效率，提升整个校园的信息

化水平。经过与用户沟通，汾湖实验小学需要在综合楼报告厅、行政办公区、学

生阅览室、教室阅览室等区域部署无线，实现这些区域的无线上网。

3.4高效网络管理需求

随着网络规模的不断扩大，网络的管理越来越重要，管理的事务也越来越复

杂。学校网络系统将会分布在学校各个楼宇、楼宇内楼层的各个角落，日常的网

络维护和操作的工作量大大增加，网络系统需要一个可靠，便捷、功能强大的网

络管理系统来充分有效的管理和利用网络资源。

第4章用户网络建设要求

4.1建设目标

学校此次进行的校园网建设，目的是将学校校园网建设成为一个借助信息化

教育和管理手段的高水平的智能化、数字化的教育园区网络，完成学校网络和统

一软件资源平台的构建，实现网络远程教学、在线考试、教育资源共享等各种应

用利用现代信息技术从事管理、教学和科学研究等工作。

4.2建设内容

汾湖实验小学此次进行的校园网建设，本着是“总体规划，分步实施”的建

设思路，搭建一个安全可靠，稳定成熟的网络基础平台，为教学信息化、办公信

息化提供服务。本次建设考虑以下几点：万兆网络核心、千兆网络骨干、信息点

百兆接入、热点区域的无线覆盖、高效的网络管理。

4.3网络系统设计原则

安全性

网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和

控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻

击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常

的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针

对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数

据存取的权限控制等。

先进性

系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的

相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发

展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不

但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地

位，保证网络建设的领先地位。本方案的设计宗旨是“立足今日，着眼未来”,

在保证技术成熟的前提下，充分先进技术，满足现有需求，充分考虑潜在扩充。

从而最大限度保护用户投资。

开放性

采用开放的软硬件平台和数据库管理系统，遵循国际标准化组织提出的开放

系统互联的标准，应用软件必须独立于软硬件平台，能集成任何第三方的应用，

具有良好的可扩展性、可移植性和互操作性。

扩展性

系统必须具有良好的可扩充性，在系统结构、系统容量与技术方案等方面必

须具有升级换代的可能，核心设备必须采用模块化的结构，符合网络的发展趋势

并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门

现有的计算机系统的使用，逐步过渡，有效保护用户投资。

高性能

网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞

传输;交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。

标准化

建立一个可靠、高效、灵活的计算机网络系统平台，不仅着重考虑数据信息

能够讯速、准确、安全、可靠地交换，还要考虑同层次网络互连，远程分部的互

联，以及与相关信息系统网际互联，以充分共享资源。这些需求体现在设计时，

要求提供开放性好、标准化程度高的技术方案，设备的各种接口满足标准化原则。

可管理

随着网络规模的不断扩大，网络的管理越来越重要，管理的事务也越来越复

杂。整个网络系统的设备应易于管理，易于维护，操作简单，易学，易用，便于

进行网络配置，网络在设备、安全性、数据流量、性能等方面得到很好的监视和

控制，并可以进行远程管理和故障诊断。如：可以通过友好的图形化界面，对网

络进行网络划分，设置各子网的访问权限，实施网络的动态监测、配置，数据流

量的分析等，简化网络的管理。

第5章网络系统解决方案

通过对汾湖实验小学新建网络的实际需求和建设目标，我们提出“高效、稳

定、易管理”的网络规划建议方案，以下是汾湖实验小学规划的初步拓扑图：

铳捷河绛

RG-WALL160M防火墙

NBR1200G路由器

RG-S7604

综合楼南楼汇聚

S2300系列

，综合楼北楼汇聚RG-S7604

应用服务器群

S2300系列

MP-71无线接入点

教学楼汇聚

S2300系列

食堂接入

S2300系列

体育帽接入

S2300系列千兆主干光纤

千兆备份光纤

千兆主干双绞线

MP-71无线接入点

百兆双绞线

本方案是以局域网以太网技术为基础，建设智能化的校园网络。整个校园网

络采用千兆主干（可平滑升级到万兆），百兆交换到桌面，核心设备采用两台锐

捷万兆交换机RG-S7604,通过VRRP协议可以实现双机冗余和热备切换，具备很

强的稳定性和可靠性，充分保证整个网络的稳定性；在综合楼南楼、综合楼北楼

以及教学楼各部署一台汇聚交换机，每台汇聚交换机双光纤线路上联到核心。接

入设备采用锐捷安全网管接入交换机RG-S23系列，为行政办公区、食堂、体育

馆提供高性能高安全的接入。（由于教学楼接入交换机已经部署完毕，故本方案

中不涉及添加教学楼接入交换机）

整个校园网设计采用三层结构：核心层、汇聚层和接入层，核心交换机放置

于校园中心机房，汇聚交换机做整个楼宇的信息点汇聚，放置于楼层或楼宇分机

房，接入设备则根据信息点部署情况放置于弱电间或分机房。

接入层交换机使用锐捷高性能的智能百兆交换机S23系列，通过双绞线上联

至楼栋的汇聚交换机，每台楼栋汇聚交换机双线上联至中心机房核心设备。中心

交换机采用锐捷万兆核心路由交换机RG-S7604,该款交换机作为学校的核心交

换机，具有极高的数据包转发能力和很好的扩展性。

核心层的功能主要是实现骨干网络之间的优化传输，核心层设计任务的重点

通常是冗余能力、可靠性和高速的传输。网络的控制功能、网络的各种应用应尽

量少在核心层上实施。核心层一直被认为是流量的最终承受者和汇聚者，因此对

核心层的设计以及网络设备的要求十分严格。

方案中核心层采用2台RG-S7604多业务万兆核心路由交换机作为整个网络

的路由交换平台，双机热备，保障核心的稳定运行。

汇聚层采用S57系列全千兆三层智能网管型交换机，其提供24个

10/100/1000M电口以及12个复用的SFP光口，并且能够支持双万兆上联，灵活

的端口形态不仅满足现阶段的汇聚需求，而且也为今后骨干线路升级预留了空

间，做好了准备。

接入层采用S23系列智能型交换机，线速转发性能、高安全特性、易网管配

置、主流操作界面和丰富QOS特性及恶劣环境适应性完全满足校园网接入需要。

骨干网络通过光纤布线，采用千兆以太网技术实现互联；接入网上联采用千

兆以太网技术，桌面接入采用10/100M以太网技术。

出口采用一台高性能的RG-WALL160M防火墙和一台锐捷宽带路由器NBR

1200G,在提供私网到公网地址转换的同时，为整个校园网提供安全防护。

我们在综合楼报告厅、行政办公区、学生阅览室、教室阅览室等热点区域部

署了一套智能无线设备，这套设备由两部分组成：无线交换机、智能无线AP。

MX-8通过双百兆聚合链路连接到核心交换机设备上，其主要负责全网AP流量的

高速转发和AP的统一管理。我们选用了MP-71智能型无线AP,该型号AP支持

802.Ub/g,单路单频设计，覆盖范围大。

在网络的管理上，学校可以根据需求，选择我司的网管产品RG-SNC来进行

全网设备的统一管理，该网管软件不但具有一般网管软件的设备发现、拓扑管理、

报表输出功能，而且可以支持全网设备的VLAN统一下发，配置文件的统一更改,

这对网络建成后的网络管理员需要变更网络部署来说，相当方便。

第6章解决方案特色

6.1骨干网络高性能、高稳定性

6.1.1骨干设备选择

核心层的功能主要是实现骨干网络之间的优化传输，核心层任务的重点通常

是冗余能力、可靠性和高速的传输。网络的控制功能、网络的各种应用应尽量少

在核心层上实施。核心层一直被认为是流量的最终承受者和汇聚者，因此对核心

层的设计以及网络设备的要求十分严格。

方案中在核心层采用锐捷网络RG-S7600系列多业务IPv6核心路由交换机作

为整个校园网的路由交换平台，该核心路由交换机硬件实现路由交换和线速万兆

转发功能满足整个校园网核心的路由交换。RG-S7600系列多业务IPv6核心路由

交换机和汇聚层设备通过启用OSPF路由协议和RSTP、MSTP生成树协议，保证线

路的负载均衡和冗余备份。整个核心部分具有强大的未来扩展能力。RG-S7600

系列多业务IPv6核心路由交换机的APS技术能保证主控冗余和自动失效切换，

满足99.999%的电信级应用需求。同时RG-S7600系列多业务IPv6核心路由交换

机完全兼容主流网络设备的CLI界面，配置方便，支持完善的流分类策略和丰富

的QOS特性，是校园网建设核心层网络设备的理想选择。核心层设备RG-S7600

系列多业务IPv6核心路由交换机采用千兆光纤与汇聚层设备相连，充分保证网

络骨干线路的带宽需求，真正达到校园网内部的高速数据交换。

6.1.2先进技术带来的高性能

双机冗余热备提升核心稳定性

网络中心作为全网的心脏，担任着整网的数据转发重任，因此，作为整个网

络平台的神经中枢，网络核心层是全网数据传输的中心，不仅要保证7*24小时

的稳定运行，各种应用服务器的数据能够被稳定可靠的传输到终端系统，同时，

还要协调全网的数据流量和访问策略，在提供信息服务的同时，保证网络中心自

身的安全。

稳定可靠的架构设计

•双核心

♦汇聚到核心采用双链路

•服务器区采用双机热备

・汇聚设备采用双机热备

网络中心设计采用2台核心交换机互为容错备份，核心、汇聚层都采用双链

路连接，构成一个环路架构，核心启用VRRP技术；VRRP协议通过在两台互备份

的交换机上对每个VLAN用户提供一个统一的虚拟网关IP地址，相应VLAN用户

设置PC网关地址时就设置成为该虚拟网关IP,用户工作时并不用关心真正负责

数据传输的交换机，在真正负责用户数据传输的交换机出现故障时VRRP协议可

以自动地把用户数据的转发工作转移到另一台交换机，不仅实现了主机间的备份

功能，而且不必更改用户的网络设置。RSTP、MSTP等技术在二层上造成网络环

路的链路将逻辑失效，网络环路被消除；而在负责数据传输的活动链路失效以后

又可以激活先前逻辑失效的链路，保障数据的正常传输，提供冗余备份功能；全

网架构，核心层双链路交换系统不存在单点故障，是一种高级别交换完全冗余的

容错方案，这样即使其中一条链路断线或一个主干交换机发生故障，都能在用户

觉察不到的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠

性、稳定性的运行。

双核心网络设计架构，为我校网络提供了高稳定性和可靠性的数据传输平

台，同时，提供了一种能够“自愈”网络链路或设备的单点故障的网络架构，保

证了汾湖实验小学网络能够提供7*24小时高速稳定的数据传输。

SPOH技术提供更强的数据处理能力

SPOH：SynchronizationProcessOverHardware,是''基于硬件的同步式

处理技术”缩写。

锐捷核心设备支持SPOH技术一一专注于安全防护和智能保障的交换技术!

在线卡分布式设计的基础上，为各个物理端口配备专用的FFP(FFP:fastfilter

processor)处理模块，FFP模块可以实现硬件处理QoS与ACL功能，实现整机

数据端口级同步处理ACL/QOS；同时，通过线卡芯片线速转发L2/L3/组播数据，

实现了从线卡到端口的全面分布式硬件设计，有效分流、缓解线卡ASIC芯片的

负载压力，极大地提升交换机的整体数据处理能力。既满足业务急剧增长，保持

网络的高性能无阻塞交换和网络安全的防护，实现大数据多业务全线速处理。

SPOH技术保障了核心设备的高性能无阻塞数据交换和网络安全的高级防

护，实现大数据多业务全线速处理，从而达到了电信级的可靠性保障。

LPM+HDR技术提供更高的路由处理效率

最长匹配(LPM)三层交换技术可以解决传统方式“多次交换”中采用“流

精确匹配”而带来存储空间压力过大的问题。最长匹配(LPM)技术支持静态路

由、动态学习到的路由都直接以网段形式存储于硬件转发表，一个目的网段使用

一个转发表项，而直连网段仅生成表项内容为“目的IP地址”的主机转发表，

对于其它不明目的网段IP地址的数据包直接通过硬件缺省路由转发。因此,LPM

技术的优点是极大地节约存储空间，病毒和攻击数据可以通过硬件网段路由或缺

省路由进行转发，不增加额外的硬件表项，避免了存储溢出问题，保障设备的正

常运行。

在LPM技术中依然保留了CPU参与一次路由的需要，虽然每个网段只有一

次CPU参与的需要，但是在三层设备拥有直连网段，主机转发表数量比较多的

情况下，CPU的第一次参与依然会对三层转发的处理效率产生一些影响，HDR

技术可以进一步优化LPM技术的处理效率，主机直接路由（HDR：Hostdirect

Route）用于解决CPU参与“一次路由”的不足。主机直接路由（HDR）支持三

层设备在最长匹配硬件转发中的下一跳节点和数据转发出口运行ARP协议时把

对应的MAC地址直接下载到硬件转发表。因此，没有了第一次CPU参与路由

的效率影响，网络中的所有主机（Host）都可以通过最长匹配硬件转发表进行直

接的三层转发。

LPM+HDR三层交换技术不需要CPU参与、节约了缓存空间，不仅极大地

提高了路由效率，而且避免了病毒和攻击对网络设备本身的影响，提高设备的稳

定性。

第二代Crossbar硬件体系提供更强的数据转发效率

锐捷多业务核心路由交换机采用最先进的第二代Crossbar硬件体系架构:

第二代BufferedCrossbar技术具有如下特性:

调度任务非常简单，通过背压流控，每个交叉点自动独立地进行调度，

不需要配置整个系统的所有“输出输入线卡对"，不带来Crossbar的调度

损耗。

调度相互独立，不存在所有“输出输入线卡对”同步地从一个状态变化

到另一个状态，因此，就不需同步每个数据包发送的结束时间，允许直

接对非定长数据包进行操作，没有包分割和重组。

♦因为没有包分割和调度效率的影响，内部超速并不需要。BufferedCrossbar

可以处理相同速率的外部线卡

BufferedCrossbar技术克服第一代Crossbar架构技术的局限性，Buffered

Crossbar架构内置了众多缓存，采用分布式调度，无需内部加速，可直接处理非

定长包，充分发挥Crossbar芯片的交换效率和处理性能，从而使整个设备系统达

到了电信级的高性能和高可靠性。

三平面分离保护技术提供更高的稳定可靠性

锐捷网络核心路由交换机通过采用数据平面、控制平面、管理平面相互分离

的设计方式，保证了最耗费主机资源的数据处理转发任务不影响交换机的管理和

协议运行，而在路由和环境复杂多变条件下，控制平面的任务不影响交换机的管

理，高度保证了交换机系统的稳定性。保证了即便出现设备由于数据交换异常瘫

痪状态情况，依然可以通过Telnet、Console等管理界面正常登陆管理该设备。

从根本上高度保证了系统的稳定可靠性。

管理平面

如平面­

控制平面

业界设备的传统方式锐捷核心设备的方式

通过采用数据平面、■控制平面、管理平面相互

分离的结构模型高度保证了系统稳定性！

CPP（CPUProtectPolicy）机制提供更强的安全性

尽管通过加密认证可以保护网络中的通信协议，但是它并不能完全的防止非

法恶意用户对路由引擎（CPU）上特定协议的攻击。例如，攻击者仍可以利用伪

造的数据包瞄准具体协议，向路由交换机发动攻击。尽管这些数据包无法通过鉴

权检查，但是攻击仍可以消耗CPU上的资源（CPU循环和通信队列），因此在某

种程度上达到攻击的目的。

锐捷网络核心路由交换产品通过硬件的方式对发往控制平面的数据进行分

类，把不同的协议数据归类到不同的队列然后对不同的队列进行限速，专门对路

由引擎进行保护，阻挡外界的DOS攻击。而且并不影响转发速度，所以CPP

能够在不限制性能的前提下，灵活且有力的防止攻击，而且保证了即使有大规模

攻击数据发往CPU的时候依然可以在交换机内部对数据进行区分对外。

CPP提供三种保护方法，来保护CPU的利用率。

第一，可以配置CPU接受数据流的总带宽，从全局上保护CPU。

第二，可以设备QOS队列，为每种队列设置带宽。

第三，为每种类型的报文设置最大速率。

具体实现方式如下：

♦针对不同的系统报文进行分类。CPP可针对arp、bpdu、dhcp、igmp、rip、

ospf、pim、gvrp、vvrp的报文进行分类，并分别设置不同的带宽。

♦CPU端口共有8个优先级队列（queue）,可以配置每种类型的报文对应的

队列，硬件根据配置自动地将这种类型的报文的送到指定队列，并可分

别设置队列的最大速率。

可以配置CPU端口的总的带宽，从全局上保护CPU。

6.2网络安全性保证

6.2.1出口设备安全策略

在出口设备RG-WALL160M上启用多种防攻击策略；为服务器做相应的地

址映射；启用NAT特性；可以针对端口进行带宽线速，也可以基于策略做到每

用户带宽限制。

6.2.2核心、接入交换机安全策略

完善的用户IP/MAC地址绑定

方案中提供的包括核心、接入交换机均支持基于整机级和端口级两种IP、

MAC地址绑定功能，并采用硬件芯片直接实现。在提高安全性的同时不影响交

换机数据交换性能。

分布式网络病毒（攻击）防御

基于校园网的特点，它是一个开放的应用环境，在这种环境下尤其容易感染

网络病毒和发生网络攻击，这会给网络主干带来严重冲击，甚至可能造成整网瘫

痪。因此，为了保证整个网络的带宽可用性。防止网络病毒传播扩散，防止网络

攻击的发生，在该方案中，采用分布式网络病毒（攻击）防御体系设计思想。核

心、接入层网络设备均支持嵌入式防DDoS攻击、防病毒扩散等，可直接屏蔽网

络特征病毒传播扩散，防止网络攻击。同时接入层设备S2300G硬件智能识别2-4

层数据流、可实现非常丰富的ACL访问控制功能，最大程度的实现分布式的网

络安全控制防护。

防ARP欺骗攻击

目前网络中较多的出现了ARP欺骗攻击，可造成整个网段瘫痪或者信息泄

密的严重后果。S2300G支持防ARP欺骗功能，有效地杜绝ARP网关欺骗行为

的发生，更好地提高了网络的安全性。

6.2.3病毒、攻击防护方式

IP扫描攻击及防范

众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始

的，大量的扫描报文也急剧占用网络带宽，导致正常的网络通讯无法进行。

为此，锐捷RG-S76交换机提供了防扫描的功能，用以防止黑客扫描和类似

“冲击波病毒”的攻击，并能减少三层交换机的CPU负担。目前发现的扫描攻击

有两种：

目的IP地址变化的扫描，我们称为“scandestipattack”。这种扫描是最危害

网络的，不但消耗网络带宽，增加交换机的负担，更是大部分黑客攻击手段的起

手。

目的IP地址不存在，却不断的发送大量报文，我们称为“samedestipattack”。

这种攻击主要是针对减少交换机CPU的负担来设计。对三层交换机来说，如果

目的IP地址存在,则报文的转发会通过交换芯片直接转发,不会占用交换机CPU

的资源，而如果目的IP不存在，交换机CPU会定时的尝试连接，而如果大量的

这种攻击存在，也会消耗着CPU资源。当然，这种攻击的危害比第一种小得多

To

以上这两种攻击，我们交换机都可以在每个接口上调整相应的攻击阀值、攻

击主机隔离的时间等参数，以便管理员最细化的管理配置。

DDoS攻击及防范

近年来，各种DoS攻击（DenialofService,拒绝服务）报文在互联网上传

播，给互联网用户带来很大烦恼。DoS的攻击方式有很多种，最基本的DoS攻

击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服

务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。

针对这种情况，RFC2827提出在网络接入处设置入口过滤(IngressFilting),

来限制伪装源IP的报文进入网络。这种方法更注重在攻击的早期和从整体上防

止DoS的发生，因而具有较好效果。使用这种过滤也能够帮助ISP和网管来准

确定位使用真实有效的源IP的攻击者。ISP应该也必须采用此功能防止报文攻击

进入Internet；网络管理员应该执行过滤来确保校园网不会成为此类攻击的发源

地。

锐捷S76、S23交换机采用基于RFC2827的入口过滤规则来防止DoS攻击,

该过滤采用硬件实现而不会给网络转发增加负担。

ARP欺骗攻击及防范

ARP欺骗攻击近年来呈愈演愈烈之势，每个网络管理员基本上都会碰到。

该欺骗攻击会导致经常出现断网、设备cpu利用率居高不下、信息泄密等多种恶

果。

ARP欺骗主要存在以下5种方式：冒充网关欺骗主机、冒充主机欺骗网关、

冒充主机欺骗主机、黑洞攻击、泛洪攻击。这些攻击的防御可以在接入层交换机

上做，无论用户的IP地址是动态的还是静态的，均可以有效的进行防御。

防御基本原理是采用IP+MAC+端口三元素绑定，启用ARPcheck功能。若

用户的IP地址是静态的，可以采用手工绑定或通过802.IX认证中的IP授权模

式自动绑定；若用户的IP地址是静态的，可以采用DHCPSnooping的方式，用

户获取地址的同时在交换机端口做绑定。

6.3网络后期扩展性好

方案中核心设备采用万兆路由交换机，楼宇汇聚全部采用支持万兆的汇聚交

换机，满足未来骨干网络万兆扩展；网络接入设备支持GSN全局安全网络，为未

来进一步的提高网络安全性和整体联大性提供了广阔的平台。

6.4智能的无线办公网络

本次在综合楼总共部署12个无线AP,覆盖报告厅、会议室、行政办公室、

阅览室等区域。锐捷网络针对学校无线应用的特点，推出的有针对性的无线网络

解决方案具有以下价值：

6.4.1高可用

•智能无线网络解决方案采用面向下一代网络的智能转发型组网架构，合

理的解决了在802.1In的大流量冲击下，无线交换机的流量瓶颈问题。

•智能无线网络解决方案采用设备级的冗余设计。无线交换机支持N:1的

冗余技术；无线接入点采用双以太口上联设计；AAA认证服务器支持

认证服务器冗余。

•智能无线网络解决方案采用虚拟控制器集群技术，能够提供基于用户、

频段、流量的负载均衡。

6.4.2高安全

提供一体化安全解决方案：用户准入的安全；用户身份的安全；数据传输的

安全；无线射频的安全

第7章主要设备选型说明

7.1核心交换机产品

7.1.1产品概述

RG-S7600系列交换机是锐捷网络推出的以业务为核心、面向下一代网络的万兆骨干路

由交换机，提供大容量、高密度、模块化体系架构，在提供稳定、可靠、安全的高性能L2/L3

层交换服务基础上，具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级

的高可靠设计，满足现代网络的多种业务承载融合和业务灵活分类、分流的组网需求。可以

根据用户的需求灵活配置，构建弹性可扩展的现代IP网络。

RG-S7600系列交换机为锐捷网络的高端产品之一，强大的交换路由功能、安全智能技

术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是小型网络核心和大型

网络骨干交换机的理想选择。

RG-S7600系列交换机目前提供S7604（4槽）、S7606（6槽）、S761O0O槽）3款模

块化产品，可以满足不同规模企业不同网络层次的应用需求，同时这些模块化机架式交换机

采用统一的硬件和软件平台，完全兼容的线卡，以及与锐捷面向十万兆平台的高端产品

RG-S8600/S9600相同的软件版本，可以适应不断发展的企业网络，充分保护用户的投资。

7.1.2产品特性

1高安全保障措施

L1物理安全：

S7606提供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保障措施。

主机实时检测CPU的使用状态，并提供业界领先的硬件CPU保护技术（CPP,

CPUProtectPolicy）,CPP技术对发往CPU的数据进行流区分和流限速，避免非法攻击包

对CPU的攻击和资源消耗。

L2病毒和攻击防护：

面对现在网络环境越来越多的网络病毒和攻击威胁，RG-S7600系列交换机提供强大的

网络病毒和攻击防护能力。

提供业界最为强大的ACL特性，基于SPOH技术提供IP标准、IP扩展、MAC扩展、

时间、专家级等丰富的ACL技术，支持IPV4/IPV6双栈下的输入输出ACLo

支持硬件防源IP地址欺骗、防DOS/DDOS攻击，防IP扫描等功能，提供多端口同步

监控技术，支持灵活的网络监控，提升网络监控能力。

1.3设备管理安全：

提供SSH的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁

TelneVWeb登录的源IP限制功能，避免非法人员对网络设备的管理

SNMPV3提供加密和鉴别功能：确保数据从合法的数据源发出（引擎ID）；确保数据

在传输过程中不被篡改（采用MD5和SHA认证协议）；加密报文，确保数据的机密性（采

用DES56加密协议)

1.4接入安全:

硬件支持IP、MAC、端口绑定，提高用户接入控制能力。

支持802.1X技术，满足6元素绑定接入限制

支持IGMP源端口检查，可有效控制非法组播源，提高网络安全。

IGMPV3支持宣告主机希望接收的多播源的地址，避免非法的组播数据流占用网络带宽

通过PVLAN隔离用户之间信息互通，不必占用VLAN资源。

端口MAC地址锁和端口MAC地址接入数量功能可以屏蔽非法主机的接入

动态ARP检测(DAI):结合DHCPsnooping数据库中，可对转发的ARP报文进行安全

检测,丢弃不合法的ARP报文，预防中间人攻击

1.5丰富的应用支持技术

提供完善的各种QOS技术

灵活的流分类：除了根据IPPrecedence、802.1P、DSCP进行流分类，还可以根据专

家级ACL、IP扩展ACL、IP标准ACL、MAC扩展ACL等进行流分类。

多种队列技术：UrgentQueue>ProtocolQueue>硬件队列、FIFO、PQ、CQ

拥塞管理和控制技术：SP、RR、WRR、DRR、SP+WRR、SP+DRR、CBQ、WFQ、

CBWFQ,LLQ、WRED、CAR、LR(ln\Out)>TrafficShaping(GTS)、HOL、RSVP等

提供多种组播支持技术，包括IGMPsnoopingJGMP,PIMCSSM,SM.DM),DVMRP,

保证了网络中提供组播服务时的带宽合理占用，同时提供支持IGMP源端口检查、源IP检

查、IGMP过滤功能等屏蔽非法组播源。

1.6IPv6的全面支持

支持多种IPv6的过渡技术，如双栈、NAT-PT、手工隧道、GRE隧道、ISATAP、6to4

隧道等，利用这些过渡技术，可有效的满足IPv4网络到IPv6网络的过渡

支持多种IPv6的路由技术，如静态路由、等价路由、策略路由、OSPFV3、RIPng、

BGP4+、IS-ISV6等路由技术，满足未来大规模IPv6网络的部署

此外,还支持地址自动配置、ICMPv6、ICMPv6重定向、DHCPv6、ACLforIPV6.

TCP/UDPforipv6等大量IPv6的相关技术。

通过对IPv6全面的支持，在最大的限度上保护了用户已有的投资，使得目前的IPv4

网络也能够平滑迁移到IPv6。同时，基于AISC的硬件IPv6转发方式，能够满足未来网络

大规模的IPv6应用。

1.7ECMP/WCMP（Equal-CostMultipathRouting/Weight-Cost

MultipathRouting）

在拥有多条不同链路到达同一目的地址的网络环境中，如果使用传统的路由技术，发往

该目地址的数据包只能利用其中的一条链路，其它链路处于备份状态或无效状态，并且在动

态路由环境下相互的切换需要一定时间，而等值多路径路由协议（ECMP）和权重多路径路

由协议（WCMP）可以在该网络环境下同时使用多条链路，不仅增加了传输带宽，并且可

以无时延无丢包地备份失效链路的数据传输。

7.1.3产品技术参数

技术参数参数描述

产品型号RG-S7604

模块插槽4个（1个用于管理引擎）

背板1T

交换容量432G

包转发速率276Mpps

MAC地址64K

路由表项64K

802.lq4K

VLAN

L2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、EEE802.3ae>

IEEE802.3ak>IEEE802.3an、IEEE802.3x、IEEE802.3ad、IEEE802.1p>

IEEE802.1X、IEEE802.1Q、IEEEE802.1D、IEEEE802.1w、

IEEEE802.1S、RERP、SPAN>IGMPSnoopingvl/v2/v3、Jumbo

Frame(9Kbytes)>QinQ、GVRP、RLDP

L3协议BGP4、IS-IS、OSPFv2>RIPVKRIPV2、IGMPvl/v2/v3>DVMRP、

(IPV4)PIM-SSM/SM/DM、MBGP>LPMRouting、Policy-basedRouting、

Route-policy、ECMP、WCMP、VRRP

Ipv6协议静态路由、等价路由、策略路由、ICMPv6、ICMPv6重定向、DHCPv6、

ACLv6、MLDvl/v2>PIM-SMv6>PIM-DMv6>PIM-SSMv6>OSPFV3、

RIPng、BGP4+、IS-ISv6、NAT-PT、TCP/UDPforipv6>SOCKETforipv6、

技术参数参数描述

产品型号RG-S7604

手工隧道、ISATAP、6to4隧道

QOSIPPrecedence>802.IP、DSCP>ACL流分类、UrgentQueue>>Protocol

Queue>硬件队列、FIFO、PQ、CQ、SP、RR、WRR、DRR、SP+WRR、

SP+DRR、CBQ、WFQ、CBWFQ、LLQ、WRED、CAR、LR(In\Out)

TrafficShaping(GTS)、HOL、RSVP

专业安全技防DDOS攻击、非法数据包检测、数据加密、防源IP欺骗、防IP

术扫描

管理方式SNMPvl/v2/v3>Telnet>Console>WEB、RMON、SSHvl/v2>

FTP/TFTP、

其它协议CPP、SNTP、NTP、DHCPClient、DHCPRelay>DHCPServer、DNS

Client、UDPrelay>ARPProxy>Radius>Tacacs>Domain>VPN>Syslog

电源100VAC-240VAC,50Hz~60Hz,功率:480W

MTBF>200,000hours

温度工作温度：0℃到40℃

存储温度：-40℃到70℃

湿度工作湿度：10%到90%RH

存储湿度：5%到95%RH

7.2汇聚交换机产品

7.2.1产品概述

RG-S5750系列是锐捷网络推出的硬件支持IPv6的万兆多层交换机。该系列产品为

IPv4网络的建设、IPv4向IPv6网络过渡、以及