懷化學院校園網整體設計方案XX學院校園網整體設計方案20067XX院院辦網絡中心序因為高校行業的特殊性，導致建設校園網不能走社會上個人和團體入網的網絡建設方案和運營模式的老路，我公司在做懷化學院校園網設計方案時，在省內高校進行了一些調查，因高校對網絡應用和管理的特殊性，導致網絡建設的需求不同于電信運營商建設社會性網絡。所以我公司在做懷化學院校園網設計方案時，在省內一些高校進行了調查，調查中發現80%的學校在使用星網銳捷的網絡解決方案，我們在和華為的設備對比，銳捷的網絡產品在注重網絡鏈路層和網絡應用的同時，更注重的是接入層的管理和整體的安全系統。在便于網絡管理、提高工作效率，有效控制攻擊和病毒對網絡的影響，降低維護成本，發揮管理員的主觀能動性、控制用戶使用網絡記費等方面做的很有特色，更能適應學校網絡建設的需要。所以我公司根據學校實際情況，擬采用銳捷公司的網絡產品進行懷化學院校園網建設。網絡建設原則與目標11網絡建設原則1.1.1 安全性網絡必須具有良好的安全防范措施和密碼保護技術，靈活方便的權限設定和控制機制，使系統具有多種有效手段，防范各種形式對網絡的非法入侵和內部攻擊，以保證網絡的實體安全、網絡安全、系統安全和信息安全，有效地保障正常的業務活動和防止內部信息數據不被非法竊取、篡改或泄漏。因此系統應分別針對不同的應用和不同的網絡通信環境，采取不同的措施，包括系統安全機制、數據存取的權限控制等，銳捷網絡充分考慮安全性，針對教育行業網絡的各種應用，有多種的保護機制，如劃分VLAN、IP/MAC地址綁定、802.1x用戶訪問控制、802.1d、802.1w、802.1s冗余鏈路保護等，另外還具有良好的防病毒能力，提高整個網絡的安全性，保證內外網安全。1.1.2 先進性系統設計既要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對先進成熟，整個系統的生命周期應有比較長的時間，可以在信息技術不斷發展的今天，在系統建成以后比較長的一段時間內能滿足用戶需求增長的需要；不但能反映當今的先進水平，而且具有發展潛力，能保證在未來若干年內占主導地位，保證網絡建設的領先地位，采用千兆以太網技術構建網絡主干、支干線路。 1.1.3擴展性系統必須具有良好的可擴充性，在系統結構、系統容量與技術方案等方面必須具有升級換代的可能，核心設備必須采用模塊化的結構，跟蹤網絡發展的前沿方向，符合網絡的發展趨勢并具有充分的擴展性。系統建設必須盡量保護現有的軟、硬件資源，保證各部門現有的計算機系統的使用，逐步過渡，有效保護用戶投資，最終形成一個統一的、一體化的綜合網絡系統。1.1.4 高性能網絡鏈路和設備具備足夠高的數據轉發能力，保證各種信息的高質量無阻塞傳輸；交換系統具有很高的交換容量與多服務支持的能力，保證網絡服務的質量。1.1.5可運營為了讓校園網能夠良性、穩定、持續、健康的發展，并收回網絡建設成本，學校或運營商需要對校園網進行運營，通過對上網的學生用戶收取一定的費用來達到“以網養網”的目的，并要求運營系統能夠貼近校園用戶的應用模式，方便維護和管理。1.1.6 規范化和標準化網絡體系結構、通信協議及軟件的設計和開發必須按照國家或行業標準進行，要模塊化、結構化、數據要代碼化，以便于信息共享和交流及將來的維護。在系統設計和軟件開發時，應用程序必須規范化、模塊化和可復用。2.2 網絡建設目標通過以上的網絡建設原則，本次校園網建設要實現以下目標：1) 東西校區各設一個千兆互聯網出口，解決出口瓶頸問題；2) 雙出口,雙核心,雙鏈路實現東西校區的穩固互聯，確保鏈路的帶寬及穩定性；3) 東西校區可以根據需求達到不同區域使用不同的出口訪問互聯網；4) 科學規劃網絡結構，合理配備核心層和匯聚層網絡設備與端口，保證核心網絡設備和線路適當冗余，優化接入層網絡設備，建設千兆主干、百兆到桌面的高效校園網絡；5) 合理部署網絡安全措施，建立有效的網絡安全防范和響應機制，為網絡安全管理提供在線監控、事后可查的技術手段，防止私設代理和盜用IP地址現象，提高網絡安全性；6) 建立全網統一管理系統，包含對網絡用戶、網絡設備、網絡安全的統一管理和配置；建立高效的網絡性能監視與預警機制；同時建立配套的軟硬件平臺。7) 全面支持IPV6,可平滑過度到IPV6,保證設備的投資；8) 建立全局化、智能化的安全體系，從接入層的基于端口的安全策略，到匯聚再到核心，病毒及非法網絡行為進行監控和預制策略，預警功能。9) 將學院的教工宿舍“金海花園”納入校園網內，可以訪問圖書館資源和中國期刊網等眾多校內學術資源。10) 學生宿舍聯網并接入校園網內。s5750-24sfp/gk網絡設計3.1 東西校區互聯網出口設計 本次設計，東西校區各設一個1000M互聯網出口，我們電信網絡，在懷化市內有自己的城域環網，保證這兩個1000M互聯網出口不是出自同一個模塊局，確保出口線路冗余。3.2東西校區互聯的設計由于目前學校東校區的網絡中心還未建成，暫時將東西兩個校園的核心設備放在西區的網絡中心，東區的匯聚設備都通過兩對光纖形成的雙鏈路與兩個核心互連。東區網絡中心造成后東區設備轉放東區網絡中心機房。3.3網絡架構的設計目前網絡架構有單核心單鏈路、雙核心雙鏈路、二層架構、三層架構、四層架構等多種網絡架構，結合學院的實際情況以及網絡技術的發展，我們選擇雙核心雙鏈路的架構，這樣不僅在鏈路上確保網絡穩定高效、在設備上也可實現穩定與高效；同時選擇三層架構：（1） 分流核心數據處理能力、降低核心路由交換壓力；（2） 更好抑制廣播風暴、提升網絡性能；（3） 終結各VLAN信息、增強核心路由管理能力；（4） 網絡層次結構更加完善、可匯總路由，降低核心路由表項；（5） 安全性更高，更強的預防和控制，對網絡攻擊、病毒和破壞盡量控制在邊緣完成；（6） 擴展性更強、快速定位故障點、更易于管理；（7） 各接入層內部通訊量大，無需通過核心處理時（內部網絡游戲等），采用三層結構更加合理；（8） 可靠性更強，可以通過匯聚層雙鏈路上聯雙核心構成環狀結構，全網架構更加健壯，提升網絡高可用性。我們采用了接入堆疊小區域匯聚核心這種雙核心雙鏈路的三層結構架構：采用千兆可堆疊高性能網管交換機。交換機通過內部堆疊后上聯片區匯聚節點。1、 節省投資成本2、 擴展靈活，通過增加堆疊組內交換機或增加堆疊組來擴展接入信息點。3、 支持多種訪問控制功能和802.1x功能，可靈活方便的控制樓棟內部之間的訪問限制。4、 減少網絡層次架構，加速數據傳輸，提高網絡數據轉發性能。5、 充分利用片區匯聚節點的高性能數據轉發，高穩定可靠基礎，對每個樓棟之間的控制，可以在片區匯聚節點連接各樓棟的千兆接口上實現，如訪問控制，防DDoS攻擊，防惡意IP掃描等等，不影響數據轉發性能。6、 樓棟內部各樓層之間的數據通過堆疊方式（千兆以上帶寬）相互訪問，加速內部訪問和數據傳輸速度。7、 環型冗余方式堆疊，沒有單點故障和性能瓶頸。8、 堆疊后多臺設備會虛擬成一臺設備進行管理，大大提高管理效率。9、 千兆堆疊可網管交換機是目前高校網絡建設主流使用的接入設備，因此在未來發展中設備延續使用性強。架構缺點：堆疊臺數一般不超過6臺，需要超過6臺的地區增加新的堆疊組進行信息點擴展。雙核心雙鏈路的三層結構，具體如下圖所示：3.3 網絡安全設計今天的網絡安全正遭受嚴峻挑戰。病毒、外部入侵（黑客）、拒絕服務攻擊、內部的誤用和濫用，以及各種災難事故的發生，時刻威脅著網絡的業務運轉和信息安全。但與此同時，大多數正在使用的網絡安全系統都缺乏真正的全局防護能力。當網絡受到來自各方面的攻擊時，由防毒軟件和防火墻等獨立安全產品堆砌起來的措施不僅漏洞百出，還會處處被動挨打。可以斷言：面對復雜的安全隱患，這種“各自為戰”的安全系統已徹底失去效力。今天，網絡安全技術與各種安全隱患之間進行的是一場深入、多層次的戰爭。為了徹底扭轉“各自為戰”的被動局面，唯有用全局化、智能化的安全體系代替陳舊的安防措施。我公司采用了2004年底，業界領先的網絡設備及解決方案供應商銳捷網絡率先發布了集自動防御（自御）、自動修復（自愈）與自動學習（自育）等三大自“YU”功能于一體的GSN全局安全網絡解決方案。GSN強調“多兵種協同作戰”，將安全結構覆蓋網絡傳輸設備（網絡交換機、路由器等）和網絡終端設備（用戶PC、服務器等），成為一個全局化的網絡安全綜合體系。在此基礎上，GSN不僅能夠滿足現階段網絡安全環境的需求，同時也為今后可能發生的安全威脅做出了準備。總體而言，GSN由銳捷安全交換機、安全客戶端、安全管理平臺、用戶認證系統、安全修復系統、VPN客戶端、RG-IPS入侵檢測系統等多重網絡元素組成，實現同一網絡環境下的全局聯動，使網絡中的每個設備都在發揮著安全防護的作用，構成“多兵種協同作戰”的全新安全體系。GSN通過將用戶入網強制安全、統一安全策略管理、動態網絡帶寬分配、嵌入式安全機制集成到一個網絡安全解決方案中，達到對網絡安全威脅的自動防御，網絡受損系統的自動修復，同時可針對網絡環境的變化和新的網絡行為自動學習，從而達到對未知網絡安全事件的防范。其基本原理和結構圖如下：（圖1 GSN基本原理）l 網絡自動防御（自御）面對復雜的網絡安全行為，最有效的防御策略即是將網絡安全防御技術應用于在整個網絡中，而不是在單點進行網絡安全的防護部署。因為攻擊源可能來自網絡的任何一處，并能迅速的擴散到整個網絡當中。GSN提高了現有網絡基礎設施的安全防護能力，增強了終端用戶的安全防護能力。當接入網絡的用戶終端發生安全攻擊事件時，安全管理平臺（RG-SMP）將針對這一安全事件進行判斷，以確認選擇調用何種安全策略來處理。安全管理平臺（RG-SMP）將自動把安全策略下發到安全事件發生的網絡區域，安全策略的執行者可以是銳捷網絡聯動設備，根據安全事件的等級由安全管理平臺（RG-SMP）判斷是否需要將安全策略同步到網絡的區域中，以實現全網安全。同時，安全管理平臺會把針對這次安全事件的處理情況通知給用戶終端，使用戶能夠及時了解到網絡安全環境的變化。通過這個流程，網絡可以對已發生的安全行為進行完全自動化的防御措施，從而保證用戶網絡在受到威脅時可以迅速做出連動反應。（圖2 GSN自動防御）l 網絡自動修復（自愈）隨著網絡連接點的不斷增加，網絡遭遇攻擊的風險也隨之增加。一旦網絡遭受攻擊，所產生的嚴重后果不僅在于破壞本身，災難之后的系統恢復和調試同樣消耗了大量寶貴的時間和人力、財力。GSN提供的自動修復（自愈）功能，即能夠通過自動使受損系統得以恢復的方式為用戶節約大量的IT技術人力資源，并保證即使在系統不斷遭受攻擊時，網絡的大部分資源仍時刻處在正常使用狀態下。當用戶終端接入網絡時，系統會自動檢測終端用戶的安全狀態，一旦檢測到用戶系統存在安全漏洞，安全管理平臺（RG-SMP）會通過網絡自動將受損用戶從網絡正常區域中隔離開來，被隔離的用戶將被自動置于系統修復區域。此時用戶終會根據安全管理平臺提供的信息自動連接到RG-RES安全修復系統上進行系統修復，修復期間系統會把受到訪問控制的情況通知用戶。自動修復完成，系統會重新對用戶系統進行評估，當用戶系統安全評估完成以后，安全管理平臺（RG-SMP）將通過允許用戶進入網絡繼續工作。（圖3 GSN自動修復）l 網絡自動學習（自育）在常規的網絡安全防護方案中，判斷一個網絡是否產生安全事件的標準經常是某個網絡行為符合了安全隱患的特征，從而將針對這個行為發生一連串的動作。但目前往往對網絡產生最大威脅的是未知的網絡行為對網絡產生的危害，當遇到此類的攻擊以后，一般的網絡安全方案將無能為力。而在配備GSN全局安全措施的網絡環境中，GSN可以針對網絡安全環境的變化不斷調整和強化，有效協助網絡管理員進行網絡安全隱患的判斷。當網絡中有新的網絡訪問行為時，該行為的相關信息會被網絡聯動設備有效捕獲，并通過E-MAIL、管理日志等方式通知管理員。同時GSN能及時的捕獲到網絡的環境變化，一旦檢測到網絡流量異常，聯動設備會自動截取網絡流量報文進行分析，從而有效的阻斷DDos或未知的網絡安全事件。由這個網絡訪問行為產生的對應安全策略會自動匹配到系統當中。在今后發生同樣的網絡訪問行為時，系統就能自動調用相應的安全策略來處理，從而達到不斷根據網絡安全形勢強化系統安全性的安全策略自動學習功能。（圖3 GSN自動學習）所以為了確保校區網絡的安全，我們校區網絡建設時采用GSN方案來確保校區的網絡安全。3.4 網絡出口流量控制設計目前越來越多的下載軟件導致網絡出口帶寬嚴重不足，如現在的P2P軟件的使用造成了很多高校網絡出口帶寬的嚴重不足。出現這樣問題的原因是目前對P2P軟件沒有一個很好的控制手段，如P2P軟件是大家比較認可的一個下載軟件，但是過多的使用會造成出口瓶頸，而且P2P軟件現在使用的端口號不固定且沒有特征碼，所以想要對其限制也是一個比較頭痛的問題。針對這樣的問題，我們認為對P2P軟件的使用最好的方式不是針對流量進行計費，而是一種針對P2P應用的管理與控制手段我公司結合目前我院的認證計費系統，對用戶進行流量的控制，以控制由于用戶過多使用P2P軟件下載造成出口帶寬的不足的現象，具體如下：3.5 網絡管理設計隨著學校網絡規模的不斷擴大，現在不僅需要對網絡設備進行集中統一的管理，同時還需要對用戶進行集中統一的管理。4.1 網絡拓撲圖4.2 網絡設計說明根據學院的實際情況，并考慮到未來的發展趨勢，需要建立一個統一的信息傳輸網絡，滿足數據、語音、視頻、圖像、多媒體等相關教育信息的傳輸，可以實現計算機管理系統、辦公自動化系統、多媒體教學系統、數字圖書館和上網訪問（Internet）等應用。為了保護投資，原有校園網部分我們依然采用原有設備和結構。東西校區的互連根據前文所述，東西校區的互連我們采用雙鏈路光纖冗余互連，分別將東西校區的核心交換機進行互連，同時全校啟用動態路由OSPF的方式，確保新老校區穩定可靠。網絡出口網絡出口采用1000M雙出口，由于學校飛速發展，地域不斷擴大，現在已經有兩個校區，為了使整個網絡便于管理，合理規劃出口，東校區用戶上網的時候信息是由東校區的出口出去，西校區用戶上是通過西校區出口出去，如果任何一個出口出現問題，則用戶將由另一個出口出去，確保出口的穩定和安全。同時考慮到現有出口帶寬基本都已被占滿，主要是因為用戶大量使用P2P軟件的原因，為了解決這個問題我們采用對用戶進行流量控制，以防止用戶大量使用P2P軟件造成網絡出口帶寬不足。網絡架構為了能夠實現骨干網絡的穩定可靠，本次東西校區的網絡建設我們選擇雙核心雙鏈路的方式，即整個校園網采用雙核心的方式，兩臺核心之間通過千兆單模光纖相連，同時每個區域的區域匯聚交換機通過雙千兆單模光纖上聯到兩臺核心，而每個區域內的交換機通過千兆多模鏈路連接各個區域的區域匯聚交換機，為了便于布線，在每棟樓的接入層上，各個不同的樓層采用不同的堆疊組進行堆疊然后上聯到區域的匯聚交換機。而對于服務器群組來說，為了讓用戶提高訪問效率的體驗，我們單獨采用一臺服務器群組交換機，該交換機具有很強的擴展能力，并通過雙千兆多模光纖與東西校區的兩臺核心交換機進行互聯，并通過服務器群組交換機的WCMP/ECMP的功能，可以使兩條鏈路同時按照帶寬的比例都傳輸數據，確保用戶訪問服務器時的高效。網絡安全為了能夠更好地實現網絡安全方面的控制，確保校園網內的教學、科研數據和學生管理信息不被竊取和丟失，所有連接進網絡的用戶必須通過了身份的檢查后才能訪問網絡內的數據，而且各個系統運作時需要通過VLAN劃分和物理路由相互隔離，和Internet連接的出口也需要部署防火墻系統來實現安全保護，以保證網絡內所有數據和信息的安全。因為現有的網絡安全事件已不是某一個產品或軟件就能夠解決的，而是需要所有網絡設備進行有效的聯動，一起抵御網絡攻擊和病毒對網絡造成的影響。所以除了上述的安全保護外，同時為了進一步做到能夠主動的對網絡攻擊、病毒的防范，以及對未知網絡病毒的學習和控制，實現網絡設備及軟件的有效聯動，我們要在東西校區部署一整套安全體系，為學院網絡提供更好的安全屏障。網絡高效、穩定性由于網絡中心核心設備的穩定和安全性能是整個網絡最重要的保障，因此必須要求核心交換機具有優良的性能和高可靠性，必須采用超大交換容量的交換背板，以保證任何情況下網絡的每個端口均可具備全線速多層交換能力，能夠保證傳輸帶寬和數據傳輸優化等關鍵應用，從而為整個網絡提供了穩定和快速的基礎。網絡運營為了能夠更好的運營網絡，使網絡健康良性的發展，東西校區網絡建設繼續采用學校原有的認證方式，這樣同一套系統，不僅方便運營維護及提高工作效率，同時也可使我們無需花費更多的時間來熟悉和掌握新的系統。網絡管理隨著網絡規模的不斷擴大，應用越來越多，管理已不在是以前的那種單存對網絡設備進行管理的年代，現在不僅要能夠對設備進行集中統一的管理，同時還要能夠對接入用戶進行集中統一的管理，而且隨著網絡安全事件的不斷增多，還需要一套能夠對網絡安全事件進行集中統一管理的軟件，這樣才能夠確保網絡管理的高效。5.1 核心交換機選型說明根據學院校園網建設的實際情況，需要在東西校區網絡中心各部署一臺核心交換機，為了滿足實際網絡的需要和未來的升級擴展，該核心交換機要求：支持各種模塊熱插拔、支持多種千兆端口、支持鏈路聚合IEEE 802.3ad、支持三層協議、較高的背板帶寬和包轉發率、硬件或NP多業務卡方式支持IPV6（保證網絡系統以后平滑升級）、支持三種生成樹、支持802.1x、各種QOS和組播協議的支持等。根據具體情況，我們準備采用銳捷新一代多業務萬兆核心路由交換機RG-S6806E，該設備具體特點如下：RG-S6806E是銳捷網絡推出的基于NP+ASIC構架的新一代多業務萬兆核心路由交換機，擁有6個擴展插槽，RG-S6806E在保障高性能大容量的基礎上提供強大的安全防護能力，并且擁有業務按需疊加擴展能力，達到業務和性能并重的設計需求。RG-S6806E多業務萬兆核心路由交換機V3.X提供1.2T背板帶寬，并支持將來擴展到2.4T的能力，高達428Mpps的二/三層包轉發速率可為用戶提供高速無阻塞的數據交換，強大的交換路由功能、安全智能技術可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是大型網絡核心骨干和大流量節點交換機的理想選擇。RG-S6806E交換機通過擴展高性能的多業務卡支持策略路由、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等業務功能，滿足客戶環境靈活而復雜的不同應用需求。產品特性 強大數據處理設計（SPOH設計）RG-S6806E的交換、路由、ACL、QoS等復雜功能通過硬件實現，避免了軟件實現同樣功能對數據高速處理的影響。管理模塊執行路由管理、網絡管理、網絡服務等任務，用戶接口模塊可以獨立實現硬件路由、交換和組播功能；用戶交換端口則獨立實現硬件ACL和QoS功能，同步式處理設計(SPOH設計)極大地提高整機處理能力。 強大的擴展能力RG-S6806E多業務萬兆核心路由交換機V3.X目前提供1.2T背板帶寬，在不更換機箱的情況下，未來僅通過更換管理模塊可以支持背板帶寬擴展到2.4T。RG-S6806E多業務萬兆核心路由交換機通過擴展高性能的多業務卡，可以支持策略路由、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect等功能。 高安全保障措施物理安全：RG-S6806E提供冗余管理模塊、冗余電源模塊、各種模塊熱拔插等物理安全保障措施。病毒和攻擊防護：面對現在網絡環境越來越多的網絡病毒和攻擊威脅，RG-S6806E提供強大的網絡病毒和攻擊防護能力，不僅提供了基于SPOH技術的ACL功能，而且還支持防源IP地址欺騙（Souce IP Spoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）等能力。提供多端口同步監控技術，支持靈活的網絡監控，提升網絡監控能力設備管理安全：為了避免非管理人員登陸并操縱網絡設備，造成網絡傳輸和安全的影響，RG-S6806E提供了SSH加密登陸功能，以及telnet/web登錄的源IP限制功能。接入安全：硬件支持IP、MAC、端口綁定，提高用戶接入控制能力。支持802.1X技術，滿足6元素綁定接入限制支持IGMP源端口檢查，可有效控制非法組播源，提高網絡安全。通過PVLAN（保護端口）隔離用戶之間信息互通，不必占用VLAN資源。端口MAC地址鎖和端口MAC地址接入數量功能可以屏蔽非法主機的接入 豐富的應用支持技術（QOS、組播）RG-S6806E提供多種流分類技術和多種QOS技術，包括SP、WRR、WFQ、WRED、CAR、HOL等，為各種應用的帶寬保障提供需要的支持技術。流分類：可以依據數據流的源/目的MAC地址、源/目的三層IP地址、三層協議（IP/IPX）、四層協議（UDP/TCP）、源/目的四層協議端口號、COS、TOS對數據流進行區分，實現2/3/4層的流分類功能。數據標記：802.1p是二層協議，可以為數據提供8個級別的優先級標記；DSCP在三層的IP協議報文里進行優先級標記，可以提供64個級別的優先標記。隊列調度：嚴格優先級隊列SP保證高優先級業務總是在低優先級業務之前處理；WRR是一種加權循環隊列調度機制，首先處理高優先級，但在處理高優先級業務時，較低優先級的業務并沒有被完全阻塞，而是按一定的比例同時進行。WFQ是加權公平隊列，對所有的數據流進行排隊，監控吞吐率，并根據發送的信息量分配權值。WFQ試圖公平地為每個對話分配帶寬，保證低帶寬應用可以獲得對接口的訪問權，而不會被高帶寬應用全部占用。擁塞控制：WRED加權隨機早期檢測協議，可以設置各個數據流在擁塞發生之前自動丟失數據的閥值，避免較高優先級應用的擁塞丟失。HOL通過消除HOL阻塞確保最高可能的吞吐量；最大限度地減少包丟失，減少多路傳輸和廣播流量擁塞承諾信息速率：CAR可以為重要的數據流設定固定的帶寬，如果設定的帶寬合理，滿足該數據流的需求，就可以保證重要數據流的正常轉發。提供多種組播支持技術，包括IGMP snooping、IGMP、PIM（SM、DM），DVMRP，保證了網絡中提供組播服務時的帶寬合理占用。 支持領先的萬兆以太網技術（IEEE802.3AE、IEEE802.3AK）萬兆以太網采用了IEEE802.3以太網媒體訪問控制（MAC）協議、IEEE802.3以太網幀格式，以及IEEE802.3幀的最大和最小尺寸。萬兆以太網是以太網在速度和距離方面的進步，采用全雙工技術，不需要應用低速的、半雙工的CSMA/CD協議。在其他方面，萬兆以太網保留了初期以太網模型的精髓，因而可以和現有以太網環境無縫融合，支持客戶已有應用。RG-S6806E提供目前主流的四種萬兆局域網傳輸標準：10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4，四種傳輸標準在數據鏈路層以上都相同，差別在于物理層。10GBASE-R和10GBASE-CX4用于傳統的以太網環境，10GBASE-R采用光纖作為傳輸介質，10GBASE-CX4采用同軸銅纜作為傳輸介質，而10GBASE-W可與OC-192電路、SONET/SDH設備一起運行，保護傳統基礎投資，使運營商能夠在不同地區通過城域網提供端到端以太網。10GBSE-LX4則使用WDM波分復用技術進行數據傳輸。 支持L2 VPN（QINQ）RG-S6806E支持Service Provider vlan(Double Tagging、VLAN tunnel)，允許對交換數據進行二次VLAN標識，外層標識用于創建VPN，提供鏈路選擇，內層標識用于標識業務VLAN信息，實現在以太網環境中的L2 VPN，解決了傳統以太網環境無法提供數據傳輸安全控制的問題。 ECMP/WCMP（Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing）存在多條不同鏈路到達同一目的地址的網絡環境中，如果使用傳統的路由技術，發往該目地址的數據包只能利用其中的一條鏈路，其它鏈路處于備份狀態或無效狀態，并且在動態路由環境下相互的切換需要一定時間，而等值多路徑路由協議和權重多路徑路由協議可以在該網絡環境下同時使用多條鏈路，不僅增加了傳輸帶寬，并且可以無時延無丟包地備份失效鏈路的數據傳輸。 最長匹配（LPM）三層交換技術在傳統的硬件三層交換機中采用“一次路由、多次交換”的路由技術，并且使用精確流匹配方式進行硬件三層轉發，大量耗費CPU資源，并且占用大量的硬件存儲資源。最長匹配（LPM）三層交換技術可以解決傳統方式“多次交換”中采用精確流匹配”而帶來存儲空間壓力過大的問題。最長匹配（LPM）技術支持直連路由、靜態路由、動態學習到的路由都直接以網段形式存儲于硬件轉發表，一個目的網段使用一個轉發表項，而不明目的網段IP地址的數據包直接通過硬件缺省路由轉發。因此，LPM技術的優點是極大地節約存儲空間，擁有硬件缺省路由，所以，病毒和攻擊數據包可以通過硬件網段路由或缺省路由進行轉發，不增加額外的硬件表項，避免了存儲溢出問題，保障設備的正常運行。 支持完善的雙核心技術RG-S6806E支持包括802.1D、802.1W、802.1S在內的多種生成樹協議以及虛擬路由協議VRRP，提供完善的雙核心保障技術。技術參數技術參數RG-S6806E模塊插槽6個（2個用于管理引擎模塊）背板1.2T（可擴展2.4T）（V3.x）交換容量（V3.x引擎）包轉發速率L2/L3：（V3.x引擎）路由表項256K802.1q VLAN4KL2協議IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ae、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.3ab、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S 、port mirror、IGMP SNOOPING 、Aggregate port、GVRP、jumbo frame(9Kbytes)、QINQL3協議BGP4、OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、 DVMRP、 PIM-SM/DM、PIM-SSM、LPM Routing、Policy-based Routing、ECMP、WCMP病毒攻擊防護全面的ACL、防源IP地址欺騙（Souce IP Spoofing）、防DOS攻擊（Synflood，Smurf），防掃描（PingSweep）管理方式SNMP v1/v2/v3、Telnet、Console、CLI、RMON、SSH其它協議SNTP、VRRP、BootP/DHCP client、ARP PROXY、DHCP relay、IPV6、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect、Syslog尺寸（長x寬x高）445 mm x 445mm x 980mm電源100VAC240VAC，50Hz60Hz，功率:1200WMTBF 200,000 hours溫度工作溫度：0 到 40存儲溫度：-40 到 70濕度工作濕度: 10% 到 90% RH存儲濕度: 5% 到 95% RH典型應用 可擴萬兆的千兆IP核心網l 利用RG-S6806E強大的數據處理能力提供各分支機構的高速互連l 利用多條光纖鏈路連接成網狀，提供高度安全的網絡連接l 使用OSPF路由協議，配合ECMP/WCMP路由協議，可以充分利用各鏈路并且提供實時的鏈路備份需求l 通過簡單地增加萬兆模塊可以平滑地升級到萬兆IP核心網，保護用戶投資 可擴萬兆的千兆雙核心網l 通過兩臺RG-S6806E之間的鏈路冗余備份和負載均衡（802.1SVRRP）提供安全可靠的網絡構架l 通過RG-S6806E豐富的安全保障技術提供一個全網概念的整體網絡安全l 通過策略路由功能支持多ISP出口的負載均衡和冗余備份l 通過簡單地增加萬兆模塊可以平滑升級到萬兆骨干網，保護用戶投資5.2 服務器群組交換機選型說明學院現在的服務器群組都是在連接在一臺100M傻瓜式二層交換機上的。已不能適用新的網絡應用需求，需要在網絡中心部署一臺服務器群組交換機，為了滿足實際網絡的需要和未來的升級擴展，該核心交換機要求：支持萬兆擴展端口、千兆端口、支持鏈路聚合IEEE 802.3ad、支持三層協議、較高的背板帶寬和包轉發率、支持三種生成樹、支持802.1x、各種QOS和組播協議的支持等。根據具體情況，我們采用銳捷安全智能萬兆多層交換機RG-S5750-24GT/12SFP，該設備具體特點如下：RG-S5750系列是銳捷網絡推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機架式多層交換機。 該系列交換機接口形式和組合非常靈活，可提供24個10/100/1000M自適應的千兆電口，和靈活復用的高密度千兆SFP光纖連接，滿足網絡建設中不同介質的連接需要，同時為滿足網絡的彈性擴展，和高帶寬傳輸需要，可靈活彈性擴展多種類型的萬兆模塊。特別適合高帶寬、高性能和靈活擴展的大型網絡匯聚層，中型網絡核心，以及數據中心服務器接入的使用。該系列交換機硬件支持多層線速交換，并提供了豐富而完善的路由協議，以適合大型網絡多種路由和高性能的需要。RG-S5750系列交換機提供二到七層的智能的業務流分類、完善的服務質量（QoS）保證和組播應用管理特性。在提供高性能、多智能的同時，其內在的安全防御機制和用戶管理能力，更可有效防止和控制病毒傳播和網絡攻擊，控制非法用戶接入和使用網絡，保證合法用戶合理使用網絡資源，充分保障網絡安全、網絡合理化使用和運營，并可以根據網絡實際使用環境，實施靈活多樣的安全控制策略。RG-S5750系列交換機以極高的性價比為大型網絡匯聚和中型網絡核心提供了多層交換、完善的端到端的服務質量、靈活豐富的安全設置和基于策略的網管，最大化滿足高速、安全、智能的企業網需求。產品特性： 高性能多層交換l 高背板帶寬為所有的端口提供非阻塞性能；l 豐富完善的路由性能和超大容量路由表資源可滿足大型網絡動態路由的需要；l 基于LPM硬件路由轉發方式使得RG-S5750系列不僅適用于大型網絡環境，而且可防御各種網絡病毒的侵襲，保障所有報文的線速轉發，有效保證了設備的安全性；l 硬件支持多層線速交換，能夠識別二到七層的應用業務流，所有端口都具有單獨的數據包過濾、區分不同應用流，并根據不同的流進行不同的管理和控制。 靈活完備的安全控制l 具有的多種內在機制可以有效防范和控制病毒傳播和黑客攻擊，如預防Dos攻擊、防黑客IP掃描機制等，還網絡一片綠色；l 硬件實現端口與MAC地址和用戶IP地址的靈活綁定，嚴格限定端口上的用戶接入;l 通過將端口設為保護端口即可簡單方便地隔離用戶之間信息互通，不必占用VLAN資源；l 基于源IP地址控制的Telnet和Web設備訪問控制，增強了設備網管的安全性，避免黑客惡意攻擊和控制設備；l 基于端口速率百分比和基于速率pps的廣播風暴抑制功能，確保網絡穩定安全；l SSH（Secure Shell）和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息，保證管理設備信息的安全性，防止黑客攻擊和控制設備；l 控制非法用戶使用網絡，保證合法用戶合理化使用網絡，如端口安全、端口隔離、專家級ACL、時間ACL、基于數據流的帶寬限速、六元素綁定等等，滿足企業網、校園網加強對訪問者進行控制、限制非授權用戶通信的需求。 豐富的組播特性l 支持各種單播和組播動態路由協議，可適應不同的網絡規模和需要進行大量多播服務的環境，實現網絡的可擴展和多業務應用；l 支持IGMP源端口和源IP檢查功能，有效地杜絕非法的組播源，提高網絡的安全性；l 支持IGMPv1/v2/v3全部版本，適應不同組播環境，滿足組播安全應用的需要。 完善的QoS策略l 以DiffServ標準為核心的QoS保障系統，支持802.1P、IP TOS、二到七層流過濾、SP、WRR等完整的QoS策略，實現基于全網系統多業務的QoS邏輯；l 具備MAC流、IP流、應用流等多層流分類和流控制能力，實現帶寬控制、轉發優先級、流量管理，流量整形等多種流策略，支持網絡根據不同的應用、以及不同應用所需要的服務質量特性，提供流量限速千兆端口粒度達64Kbps，萬兆端口粒度達1Mbps。 高可靠性l 支持生成樹協議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網絡的穩定運行和鏈路的負載均衡，合理使用網絡通道，提供冗余鏈路利用率；l 支持VRRP虛擬路由器冗余協議，有效保障網絡穩定；l 支持銳捷網絡的可選冗余電源系統STAR-RPS，可為S5750系列設備提供卓越的電源冗余，提高容錯能力和網絡正常運行時間。 方便易用易管理l 靈活復用的多種千兆形式，可靈活滿足需要多個千兆銅纜和多個千兆光纖鏈路的連接，方便用戶靈活選擇；l 為滿足網絡靈活彈性擴展和高帶寬傳輸需要，簡單選配多種類型的萬兆模塊，網絡即可平滑升級到萬兆上鏈骨干；l 簡單網絡時間協議（SNTP）保證交換機時間的準確性，并與網絡中時間服務器時間統一化，方便日志信息和流量信息的分析、故障診斷等管理；l Syslog方便各種日志信息的統一收集、維護、分析、故障定位、備份，便于管理員網絡維護和管理；l 多端口同步監控，通過一個端口即可同時監控多個端口的數據流，可以只監控輸入幀或只監控輸出幀或雙向幀，大大提高維護效率；l CLI界面，方便高級用戶配置和使用；可提供Xmodem、FTP、TFTP等多種加載升級方式，方便用戶使用；l Java-based Web管理方式，實現對交換機的可視化圖形界面管理，快速和高效地配置設備。技術參數：產品型號RG-S5750-24GT/12SFP固定端口24端口10/100/1000M自適應端口，12個復用的SFP接口，2個擴展槽可用模塊Mini-GBIC-SX：單口1000BASE-SXmini GBIC轉換模塊（LC接口）；Mini-GBIC-LX：單口1000BASE-LXmini GBIC轉換模塊（LC接口）；Mini-GBIC-ZX50：單口1000BASE-ZX mini GBIC轉換模塊（LC接口），50km；Mini-GBIC-ZX80：單口1000BASE-ZX mini GBIC轉換模塊（LC接口），80km1端口XENPAK接口萬兆轉接板1端口XFP接口萬兆轉接板萬兆光纖接口模塊（300米），配合M5700-01XENPAK轉接板使用萬兆光纖LR接口模塊（10公里），配合M5700-01XENPAK轉接板使用萬兆光纖ER接口模塊（40公里），配合M5700-01XENPAK轉接板使用萬兆光纖SR接口模塊（300米），配合M5700-01XFP轉接板使用萬兆光纖LR接口模塊（10公里），配合M5700-01XFP轉接板使用萬兆光纖ER接口模塊（40公里），配合M5700-01XFP轉接板使用背板240Gbps包轉發速率L2：線速（66Mpps）L3：線速（66Mpps）MAC16K802.1q VLAN4KACL標準IP ACL（基于IP地址的硬件ACL）、擴展IP ACL（基于IP地址、TCP/UDP端口號的硬件ACL）、MAC擴展ACL（基于源MAC地址、目的MAC地址和可選的以太網類型的硬件ACL）、基于時間ACL、專家級ACL （可同時基于VLAN號、以太網類型、MAC地址、IP地址、TCP/UDP端口號、協議類型、時間等靈活組合的硬件ACL）L2協議IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q (GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3、LLDPDefeat DoS Attack支持Defeat IP Scan支持L3協議OSPF、ECMP/WCMP、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3管理協議SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet /Console)、RMON(1,2,3,9)、集群、SSH、SNTP、Syslog其它協議DHCP Relay、DNS ClientJumbo Frame支持尺寸（長 寬高）440 43544mm電源176VAC264VAC48Hz60Hz溫度工作溫度: 0C 到 40C存儲溫度: -40C 到 70C濕度工作濕度: 10% 到 90% RH存儲濕度: 5% 到 90% RH5.3區域匯聚交換機選型說明根據學院實際情況，為了滿足實際網絡環境的需要，區域匯聚交換機都要求：支持千兆端口、支持鏈路聚合IEEE 802.3ad、支持三層協議、較高的背板帶寬和包轉發率、支持三種生成樹、支持802.1x、各種QOS和組播協議的支持等。我們采用銳捷全千兆智能多層交換機STAR-RG-S5750-24GT/12SFP做區域匯聚，該設備具體特點如下：STAR-S3550-24G是一款線速全千兆智能多層交換機，能提供多GBIC插槽，最多可提供24個GBIC插槽，GBIC插槽支持千兆銅纜、光纖擴展模塊，支持模塊熱插拔，極大方便用戶靈活配置網絡。該系列交換機硬件支持2至4層的多層線速交換，提供二到七層的智能的流分類和和完善的服務質量（QoS）以及組播管理特性，支持完善的高性能路由協議，并可以實施靈活多樣的ACL訪問控制策略。可通過SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。S3550-24G以極高的性價比為各類型網絡提供線速多層交換、完善的端到端的服務質量、豐富的安全設置和基于策略的網管，最大化滿足高速、安全、智能的企業網新需求。產品特性： 高性能多層交換l 72G背板帶寬為所有的端口提供非阻塞性能；l 硬件支持多層線速交換，能夠識別、處理四層以上的應用業務流，所有端口都具有單獨的數據包過濾、區分不同應用流，并根據不同的流進行不同的管理和控制。 完備的安全控制l 具有的多種內在機制可以有效防范和控制病毒傳播和黑客攻擊，如預防Dos攻擊、防黑客和病毒IP掃描機制等，還網絡一片綠色；l 硬件實現端口與MAC地址和用戶IP地址的綁定；l 通過保護端口即可方便簡單地隔離用戶之間信息互通，不必占用VLAN資源；l 基于源IP地址控制的Telnet和Web設備訪問控制，增強了設備網管的安全性，避免黑客惡意攻擊和控制設備；l 提供加密傳輸的Secure Shell（SSH），保證管理設備信息的安全性，防止黑客攻擊和控制設備；l 高安全性，具有端口安全、動態地址鎖、端口隔離、用戶接入認證（802.1x）、專家級ACL控制、基于數據流的帶寬限速等多種安全措施，滿足企業網加強對訪問者進行控制、限制非授權用戶通信的需求。 豐富的組播特性l 支持各種單播和組播動態路由協議，可適應不同的網絡規模，和需要進行大量多播服務的環境，實現網絡的可擴展；l 支持IGMP源端口檢查功能，有效地杜絕非法的組播源，提高網絡的安全性。 完善的QoS策略l 以DiffServ標準為核心的QoS保障系統，支持802.1P、IP TOS、二到七層流過濾、SP、WRR等完整的QoS策略，實現基于全網系統多業務的QoS邏輯；l 具備MAC流、IP流、應用流等多層流分類和流控制能力，實現帶寬控制、轉發優先級等多種流策略，支持網絡根據不同的應用、以及不同應用所需要的服務質量特性，提供服務； 高可靠性l 支持生成樹協議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網絡的穩定運行和鏈路的負載均衡，合理使用網絡通道；l 支持VRRP虛擬路由器冗余協議，構建故障時的冗余路由拓撲結構，保持通訊的連續性和可靠性，有效保障網絡穩定；l 支持銳捷網絡的可選冗余電源系統STAR-RPS，可為6臺S3550-12G/S3550-24G以S3550-12SFP/GT系列網絡設備提供卓越的電源冗余，提高容錯能力和網絡正常運行時間。 方便易用易管理l 全GBIC架構，可選配多種規格千兆接口模塊，支持千兆銅纜、單/多模光纖接口模塊的混合配置，支持模塊熱插拔，極大方便用戶靈活配置和擴展網絡；l 獨特的集群管理，通過一臺命令交換機即可管理多達20臺的匯聚層和接入層設備S3550系列和S21系列交換機，無論交換機是否在同一配線間和布線室，都能得到統一管理；l 強大的集群管理方式使得網絡的維護工作變得非常方便和簡單，只需配置1個IP地址，即可統一管理多臺設備，不僅成倍節省了IP地址空間，而且維護和管理量也得到極大降低；l 多端口同步監控，通過一個端口即可同時監控多個端口的數據流，可以只監控輸入幀或只監控輸出幀或雙向幀，大大提高維護效率；l 支持業界領先的EAPS功能，實現網絡的高可用性；l CLI界面，方便