《2022年hc职业技术学院网络设计方案 .pdf》由会员分享,可在线阅读,更多相关《2022年hc职业技术学院网络设计方案 .pdf(47页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、广州 XX 职业技术学院校园网络设计方案华三通信技术有限公司名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 47 页 - - - - - - - - - 校园网络设计方案第 2 页, 共 63 页2008 年 12 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 47 页 - - - - - - - - - 校园网络设计方案第 3 页, 共 63
2、页目录第 1 章 概述 . 5第 2 章 系统建设需求 . 5第 3 章 网络平台建设方案 . 63.1 网络设计原则 . 6 3.2 网络层次化设计 . 7 3.3 校园网络总体结构 . 9 3.3.1 核心层设计 . 10 3.3.2 数据中心设计 . 15 3.3.3 汇聚层设计 . 16 3.3.4 网络出口设计 . 20 3.3.5 接入层设计 . 23 3.3.6 无线网络设计 . 29 3.4 网络安全性设计 . 34 3.4.1 重要安全区域隔离 . 34 3.4.2 出口带宽监管 . 35 3.4.3 网络安全保护 . 36 3.5 网络可靠性设计 . 39 3.5.1 物理
3、设备和链路稳定性 . 39 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 47 页 - - - - - - - - - 校园网络设计方案第 4 页, 共 63 页3.5.1.1 网络结构的可靠性 . 39 3.5.1.2 设备级冗余性设计 . 39 3.5.1.3 链路冗余配置 . 41 3.5.2 数据链路层稳定性设计 . 41 3.5.2.1 网络部署 MSTP . 41 3.5.2.2 生成树边缘端口 . 42 3.5.2.3 DLDP 技术运用 . 42 3.5
4、.3 网络层稳定性设计 . 43 3.6 网络管理设计 . 44 3.6.1 资源管理 . 45 3.6.2 拓扑管理 . 46 3.6.3 故障(告警 /事件)管理 . 48 3.6.4 性能管理 . 51 3.6.5 图形化设备管理 . 51 3.6.6 集中配置管理 . 52 3.7 用户管理系统 . 54 3.8 方案总结及优势说明. 59 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 47 页 - - - - - - - - - 校园网络设计方案第 5 页,
5、共 63 页第1章 概述广州 XX 职业技术学院(以下简称为XX 学院) 1999 年 3 月经教育部批准成立,是中国 XX 总局唯一一所独立设置实施高等职业教育的全日制普通高等院校,是“国家示范性高等职业院校建设计划”2007 年度立项建设院校之一。根据国家示范性高等职业院校建设项目的要求,XX 学院拟完善数字化校园网络平台,为数字化教学平台提供一个良好的支撑平台。方案参考了学院 数字化校园网络平台项目 (第一期) 建设实施方案 内容。在方案中,我们将根据校园网络平台建设要求,提出一个校园网络平台的建设目标和框架,并针对各个部分建设进行说明。第2章 系统建设需求校园网络平台是校园数字化系统的
6、运行基础,学院原有的网络平台无论是在网络的稳定性、业务适应用性、 性能、安全以及可扩展性等方面已无法支撑学院系统的需求,更是无法达到国家示范性高等职院建设的要求,因此,学院的校园网络平台需要进行全面的升级,建设任务主要包括以下五大方面:一、 建设一个高可用的骨干网,这是网络平台建设最为重要及紧急任务之一,骨干网的稳定性、性能和安全性将直接影响到校园网络的运行;二、 建设一个数据中心网络平台,为数字化业务系统提供一个高可用的接入平台;三、 建设一个安全可控的网络出口,增强网络外界的安全防护以及校园网名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -
7、- - - - 名师精心整理 - - - - - - - 第 5 页,共 47 页 - - - - - - - - - 校园网络设计方案第 6 页, 共 63 页用户的行为监管能力,提高出口带宽的使用效率;四、 完善校园网用户的接入和控制,通过部署用户认证、计费等措施对全面提升对接入用户的控制,使用户接入规范化。五、 建设校园无线网络平台,提高网络接入的覆盖能力,校园用户更易于使用学院资源。第3章 网络平台建设方案3.1 网络设计原则广州 XX 职业技术学院校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS 保障服务,使网络安全可靠,从而实现教育管理、多媒体教学自动化,必须具
8、备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。学院网络建设遵循以下基本原则:高带宽学院网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性, 要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、 高带宽的特, 整网的核心交换要求能够提供无瓶颈的数据交换。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 47 页 - - - - - - - - - 校园网络设计方案第 7 页, 共 63 页可增值性学
9、院网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。 所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制, 实现以网养网。可扩充性考虑到学院用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手
10、段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。3.2 网络层次化设计在校园园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。根据广州XX 职业技术学院的网络分布情况,校园网共分成核心层、汇聚层和接入层三层。1) 核心层名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 47 页 - - - - -
11、- - - - 校园网络设计方案第 8 页, 共 63 页核心层是整个网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。XX 学院主校区设立整个校园网的核心层,同时,在新机场实训基地设立分核心。对于 XX 学院主校园的核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的多设备冗余的星型结构。对于校园网核心层设备, 应该在提供大容量、 高性能 L2/L3 交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为校园园区构建融合业务的基础网络平台,进而帮助用户实现IT 资源整合的需求。2) 汇聚层汇聚来自配线间的流量和执
12、行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关。目前, XX 学院在主校区共有15 幢建筑物,新机场实训基地共有6 幢建筑物。XX 学院汇聚层设立将根据现有的信息点分布,结合综合布线系统等多因素,一般而言,以建筑物 /功能区为单位设立汇聚层,即每个单体建筑/ 功能区设立一个网络汇聚层, 如数据中心和网络出口分别设于汇聚层,同时对于学生宿舍区,可以采用多幢学生宿舍共用1 个网络汇聚层的方式。对于校园园区网的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合IPv6、网络安全、流量分析等多种业务,提供不间断转发、优雅重启、环网保护
13、等多种高可靠技术,能够承载校园园区融合业务的需求。3) 接入层提供网络的第一级接入功能, 完成二层接入, 并实现对终端接入的安全控制,包括 ARP 防御、 IP/MAC/ 端口绑定以及 POE 等高级功能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 47 页 - - - - - - - - - 校园网络设计方案第 9 页, 共 63 页在 XX 校园网中,接入层采用千兆及百兆到桌面的接入模式,对于数据传输量较大或重要区域采用千兆到桌面的方案,如综合办公、图书馆等,其它
14、的为百兆接入,同时,无线AP 接入采用 POE 方式进行设备的供电。接入层设备以选择二层交换机为主, 设备应具有灵活的扩展能力, 支持堆叠,具有强安全性,可以实现 IP、 MAC 、 端口的绑定,支持 802.1x 认证,支持 DHCP Snooping ,防止非法 DHCP 接入和 ARP 攻击。3.3 校园网络总体结构校园网络平台将采用层次化通用结构设计,采用核心层、 汇聚层和接入层三层架构,包括网络骨干、 数据中心、 网络出口、网络接入、无线网络等五大部分。中心交换机H3C S7502E服务器系统用户管理系统H3C CAMS汇聚交换机H3C S5500-EI接入交换机H3C S5100办
15、公楼千兆到桌面数据中心汇聚交换机H3C S5500-EI核心交换机H3C S7510E网络中心机房图书馆、实验楼等百兆到桌面接入交换机H3C E152/126A宿舍区百兆到桌面网络出口教育科研网电信/ 网通出口路由器H3C SR6604应用流量控制H3C ACG 2000M宿舍区百兆到桌面汇聚交换机H3C S5500-EI汇聚交换机H3C S5500-EI内置防火墙接入交换机H3C E152/126A校园网骨干无线网控制器AC 模块无线 AP无线 AP接入交换机H3C E152/126A网络骨干由核心层和汇聚层组网,骨干网采用高可靠性组网,核心层配置两台高端核心交换机, 汇聚层设备通过双千兆链
16、路实现与核心层设备的互联,网名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 47 页 - - - - - - - - - 校园网络设计方案第 10 页, 共 63 页络骨干全面支持IPv6,并提供万兆扩展能力。校园网设立数据中心,实现各业务系统服务器的集中部署,数据中心网络平台独立建设,配置2 台模块化交换机设备,为服务器提供高性能、高可靠、可扩展性的接入平台, 同时,通过核心交换机内置高性能的防火墙模块提供安全保护。网络出口实现校园网络与外部网络的互联,包括与教育科、互
17、联网的互联,网络出口需实现校园网与外部网络的隔离,网络出口配置 1 台路由器设备实现与外部网络互联,同时提供地址转换等服务,配置应用控制网关, 实现出口带宽的管理,并对校园网用户实现行为审计等功能。网络接入层提供校园网用户的接入,并实现网络接入的安全防御,如ARP攻击防护,同时,结合用户管理系统实现对接入用户认证、计费等管理。为实现校园网络接入的灵活性,提高网络的覆盖,校园网将实现办公楼、图书馆、实验室、运动场馆等公共区域的无线网络覆盖, 无线网采用智能的Fit AP组网。为便于网络的管理和维护,校园网还将建设1 套网络管理系统,实现对校园网络平台设备的统一管理,网络管理应具有拓扑、故障、性能
18、、配置和图形化设备管理等功能,为了实现更为方便的通过远程方式对网络的状态进行监控和维护,网络系统采用B/S 架构。同时,为加强对接入用户的控制和管理,系统还部署用户认证、计费管理系统。3.3.1 核心层设计XX 学院主校区设立整个校园网的核心层,同时,在新机场实训基地设立分名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 47 页 - - - - - - - - - 校园网络设计方案第 11 页, 共 63 页核心。对于 XX 学院主校园的核心层,必须提供高性能、高可靠的
19、网络结构,推荐采用高可靠的多设备冗余的星型结构。核心层配置 2 台高端交换机作为核心交换机, 两台交换机之间通过万兆链路进行互联, 形成双机复用, 在两台中心交换机之间启用VRRP 协议,这样在其中一台出现故障的时候,业务可以自动切换到另外一台。选用的核心交换机是从可靠性、性能、业务特性、安全特性以及可扩展性等多个方面进行综合考虑。在可靠性方面, 核心交换机应达到 99.99% 的高可靠性,采用全模块化设计,电源、风扇、引擎、业务模块等均可实现热插拔,支持电源、引擎等关键部件的1+1 冗余热备份,支持VRRP、路由优雅( GR)等高可靠性协议,实现核心层的业务不间断转发。在性能方面,核心交换机
20、应采用Crossbar 交换矩阵,采用全分布式转发,支持万兆、千兆等高速以太网接口,所有接口实现线速转发,保障校园网多种业务进行并发交换。在业务特性方面,核心交换机支持丰富的QoS 特性,可保障重要业务得到优先转发;支持IPv6,可平稳过渡到下一代网络;并且支持内置防火墙、内置无线控制器等多种业务功能插卡, 可以进行灵活的部署, 实现业务的扩展和融合。在安全性方面, 核心交换机应既能保障自身的运行安全,也能通过一些安全机制保障所承载业务的安全。基于上述因素,我们建议核心交换机采用H3C S7510E 高端交换机。H3C S7500E 系列产品是杭州华三通信技术有限公司 (以下简称 H3C 公司
21、)面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3C 自主名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 47 页 - - - - - - - - - 校园网络设计方案第 12 页, 共 63 页知识产权的 Comware V5操作系统,融合了 MPLS 、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、 环网保护等多种高可靠技术。S7510E 具有 10 个槽位,其中 8 个为业务模块插槽,并支持丰富的接口模块,如万兆、千兆、
22、百兆等类型接口,可根据网络规模实现在线扩展。S7510E 具有高转发性能,整机具有1152Gbps 交换容量、 773Mpps转发性能,同时, S7510E 采用全分布式转发,并采用最长匹配、逐包转发的处理机制,保证业务的高速率转发。S7510E 中配置的所有接口均可实现线速转发。选用的 H3C S7500E 交换机具有以下特点:、丰富的业务,适应融合业务网络发展趋势全面的 MPLS 业务能力H3C S7500E 所有产品均支持VRF-Lite 特性,可以做为MCE 设备使用;支持三层的 MPLS VPN 和二层的 MPLS VPN (Martini 、Kompella ) ,可扩展支持 VP
23、LS 技术; 支持 MPLS OAM 特性, 方便用户的管理和维护; 与 H3C MPLS VPN Manager配合,实现图形化的MPLS 部署与维护。线速的 IPv4/IPv6业务能力H3C S7500E 支持 IPv4/IPv6双协议栈 ,支持多种6to4隧道技术,支持IPv4/IPv6 的组播技术,为用户提供完善的IPv4/IPv6 解决方案; H3C S7500E采用分布式体系架构, 实现 IPv4/IPv6 业务的线速无阻塞转发; H3C S7500E 已经通过了信息产业部的IPv6 入网认证和 IPv6 Ready 第二阶段金色认证,是成熟商用的 IPv6 产品。有线无线一体化,
24、有源无源一体化名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 47 页 - - - - - - - - - 校园网络设计方案第 13 页, 共 63 页H3C S7500E 集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的 RF管理及安全机制、 快速漫游、超强的 QOS 和对 IPV6 的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。H3C S7500E 是业界最高密度的以太网无源光网络(EPO
25、N)设备,单台最大可接入 10240 个 FTTH 用户;H3C S7500E 是高可靠的 EPON 系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。支持 Portal 认证H3C S7500E 支持大容量的 Portal 认证功能,可以在数千用户的局域网中作为 EAD 网关设备,为全网用户提供EAD 安全认证功能; 可以在大中型的校园网中担任汇聚 / 核心设备的同时,为学生宿舍区的认证计费提供Portal 认证功能。、灵活的配置,适应各种应用场景配线间融合业务网络的最佳选择H3C S7500E 针对配线间的需求定制开发了SA 板卡,单
26、台设备可以提供480 个千兆线速接口和4 个万兆线速接口。 H3C S7500E 支持端点准入防御解决方案,解决终端安全问题;内置2800W 电源直接提供 PoE 功能,对 IP 语音和无线接入提供良好的支持。政府电力城域网边缘和汇聚的最佳选择H3C S7500E 支持 VRF-Lite 特性,为用户提供高可靠高性能的MCE 设备;通过配置 Salience VI-Turbo引擎,可以提供集中式 MPLS 业务功能,适合在城域网边缘作为高性价PE 设备使用;通过配置EA 类板卡,可以提供分布式线速名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -
27、- - - - 名师精心整理 - - - - - - - 第 13 页,共 47 页 - - - - - - - - - 校园网络设计方案第 14 页, 共 63 页的 MPLS 业务功能,适合在城域网汇聚层作为高性能的PE 使用。IPv6 网络的最佳选择H3C S7500E 所有 Salience VI 引擎都可以提供集中式IPv6 功能, H3C S7500E 针对 IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6 转发的 SC 板卡,在整机满配置状态下实现线速无收敛,为高校用户提供了高性能低成本的双栈汇聚核心设备,同时也满足其他行业用户IPv6 Ready 的需求。、全方位
28、的安全保障,抵御多种网络安全威胁三平面安全保障机制H3C S7500E 提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击, OSPF/BGP/IS-IS 路由协议采用 MD5 验证,防止非法路由更新报文导致的网络瘫痪; 在管理平面,SNMPv3 网管协议,SSH V2, 基于 802.1x 、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF 单播反向路径转发, 防止非法流量访问网络, 采用最长匹
29、配逐包转发机制,有效抵御病毒的攻击。有线无线全面支持EAD H3C S7500E 是 EAD 端点准入防御解决方案的重要组成部分,S7500E 可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。 H3C S7500E 既支持有线终端用户的EAD,也支持无线终端用户的 EAD,能够做到终端安全防范无漏洞。增强的 ACL 特性名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 47 页 - - - - - - - - - 校园网络设计方案第
30、15 页, 共 63 页H3C S7500E 系列产品支持强大的ACL 能力:支持标准和扩展ACL;支持基于 VLAN的 ACL,方便用户配置,节省ACL 资源;支持出方向和入方向的ACL,每板最大可支持9K 条 ACL,满足金融等行业访问权限严格控制的需求。、电信级的高可靠性,保障用户业务长期稳定运行电信级高可靠性设计H3C S7500E 采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计; 无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能; H3C S7500E 系列可以在恶劣的环境下长时间稳定运行,达到 99.999 的电信级可靠性。多业务高可靠
31、性运行H3C S7500E 支持不间断转发和优雅重启, 提供毫秒级的切换时间; 支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP 快速环网保护协议,提供小于200ms 的环网故障保护;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E可以在承载多业务的情况下不间断运行,实现业务的永续。支持热补丁技术H3C S7500E 能够在不重启设备的前提下, 通过热补丁技术, 在线修改软件BUG,增加新的业务特性。 H3C S7500E 提供控制补丁单元状态切换的用户命令,使用户能够方便的加载、激活、去激活、运行或删
32、除补丁单元。通过热补丁技术,降低了设备需要重启的次数,为客户提供更长的网络正常工作时间。3.3.2 数据中心设计为实现对校园网服务器统一管理和控制,同时考虑到扩展性, 服务器的接入名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 47 页 - - - - - - - - - 校园网络设计方案第 16 页, 共 63 页独立配置交换机实现, 为保证服务器接入的高可用性, 配置 2 台全千兆三层路由交换机,数据中心交换机通过VRRP 协议实现互为热备和负载分担。在选用的数据中
33、心交换机时,我们充分考虑到应具备以下功能和特性:在可靠性方面, 数据中心交换机支持VRRP 热备份协议,为服务器提供可靠的接入。在性能方面, 数据中心交换机所有端口线速转发,保障图书馆多种业务进行并发交换。在业务特性方面,数据中心交换机支持丰富的QoS 特性,可保障重要业务得到优先转发;支持IPv6,可平稳过渡到下一代网络。在安全性方面,数据中心交换机具有安全机制保障所承载业务的安全。在可扩展性方面, 数据中心交换机应采用模块化设备,支持高密度、高带宽接口,在业务系统不断增长时,可通过增加业务模块来满足服务器接入需求。基于上述因素,我们建议数据中心交换机采用H3C S7502E 高端交换机。S
34、7510E 具有 4 个槽位,其中 2 个为业务模块插槽, 并支持丰富的接口模块,如万兆、千兆、百兆等类型接口,可根据网络规模实现在线扩展。S7502E 具有高转发性能,整机具有192Gbps交换容量、 143Mpps转发性能,同时, S7502E 采用全分布式转发,并采用最长匹配、逐包转发的处理机制,保证业务的高速率转发。S7502E 中配置的所有接口均可实现线速转发。3.3.3 汇聚层设计汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关。选用的汇聚交换机应具备以下功能和特性:名师资料总结 - - -精品资料
35、欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 47 页 - - - - - - - - - 校园网络设计方案第 17 页, 共 63 页在可靠性方面,汇聚交换机支持路由协议平滑重启,支持RSTP、MSTP 生成树协议,支持2 层的快速切换,确保与核心交换机组网的可靠性,在性能方面, 汇聚交换机所有端口线速转发,包括万兆接口,保障多种业务进行并发交换。在业务特性方面,汇聚交换机支持丰富的QoS 特性,可保障重要业务得到优先转发;支持IPv6,可平稳过渡到下一代网络。在安全性方面,汇聚交换机具有安全机制
36、保障所承载业务的安全。基于以上要求,我们建议汇聚交换机选用H3C 的 S5500 EI,S5500 EI系列交换机具有以下特点:1、高扩展性保护投资随着用户端速度不断提高, 用户最终会使集群千兆链路达到饱和,而能够拥有多条集群 10GE 链路将是我们的未来发展方向。H3C S5500-EI 系列交换机支持两个扩展槽位, 每个槽位支持单端口或双端口的10GE 扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE 的扩展能力,尽力保护用户投资。IPv4 到 IPv6 的演变是以太网发展的大势所趋,网络设备对于IPv6 的支持不仅是简单的可用就行,而是需要达到商用的标准,S5500-EI已经通过了
37、国际最权威的 IPv6 Ready 第二阶段认证,而且通过了信息产业部严格的IPv6 入网测试。 这个系列产品是基于硬件的IPv4/IPv6 双栈平台,支持丰富的 IPv4 和 IPv6三层路由协议、组播协议和策略路由机制,实现IPv4 到 IPv6 的平滑升级。2、完备的安全控制策略H3C S5500-EI系列交换机支持 EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、 补丁修复等终端安全措施与网络接入控制、访问权限控制等名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1
38、7 页,共 47 页 - - - - - - - - - 校园网络设计方案第 18 页, 共 63 页网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理, 提升了网络对病毒、 蠕虫等新兴安全威胁的整体防御能力。H3C S5500-EI交换机支持集中式MAC 地址认证、 802.1x 认证、PORTAL认证,支持用户帐号、 IP、MAC 、VLAN 、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN 、QoS、ACL)的动态下发;支持配合H3C 公司的 CAMS 系统
39、对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。H3C S5500-EI 系列交换机提供增强的ACL 控制逻辑,支持超大容量的入端口和出端口 ACL,并且支持基于 VLAN 的 ACL 下发,在简化用户配置过程的同时,避免了 ACL 资源的浪费。另外, S5500-EI 系列还将支持单播反向路径查找技术( uRPF) ,原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除, 这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。 7VM 海岸线网络安全资讯站3、多重可靠性保护S5500-E
40、I系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持内置的双冗余电源,其中S5500-28F-EI支持可插拔的冗余电源模块,也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块,此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。除了设备级可靠性以外, 还支持丰富的链路可靠性以外,还支持丰富的链路名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 47 页 - - -
41、- - - - - - 校园网络设计方案第 19 页, 共 63 页可靠性技术, 比如华三通信独创的RRPP 快速环网保护机制。 当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。4、多业务支持能力支持 PoE(Power over Ethernet)技术,通过以太网对所连接的设备(如IP Phone, Wireless AP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN技术, 交换机通过识别端口的语音流, 将对应的接入端口加入Voice VLAN (专用语音 VLAN )中,为语
42、音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN 安全特性,只允许语音流量通过, 可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。H3C S5500-EI系列交换机支持 MCE 功能,可以有效解决多 VPN 网络带来的用户数据安全与网络成本之间的矛盾,它使用 CE 设备本身的 VLAN 接口编号与网络内的VPN 进行绑定,并为每个VPN创建和维护独立的路由转发表(Multi-VRF ) 。这样不但能够隔离私网内不同VPN 的报文转发路径, 而且通过与 PE 间的配合,也能够将每个VPN 的路由正确发布至对端PE,保证
43、 VPN 报文在公网内的传输。5、丰富的 QoS 策略H3C S5500-EI系列交换机支持支持L2(Layer 2 )L4 (Layer 4 )包过滤功能, 提供基于源 MAC 地址、 目的 MAC 地址、 源 IP地址、 目的 IP 地址、 TCP/UDP端口号、协议类型、 VLAN 的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority ) 、WRR(Weighted Round 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第
44、 19 页,共 47 页 - - - - - - - - - 校园网络设计方案第 20 页, 共 63 页Robin ) 、SP+WRR 三种模式。支持 CAR(Committed Access Rate)功能,粒度最小达 64Kbps 。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。6、出色的管理性H3C S5500-EI系 列 交 换 机支 持 SNMPv1/v2/v3( Simple Network Management Protocol ) ,可支持 Open View 等通用网管平台以及iMC 智能管理中心。支
45、持CLI 命令行, Web 网管, TELNET,HGMP 集群管理,使设备管理更方便,并且支持SSH2.0 等加密方式,使得管理更加安全。H3C S5500-EI系列交换机支持基于MAC 地址划分 VLAN ,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN 下发 ACL 策略,在简化用户配置的同时,也大幅节约了硬件资源。该系列交换机还支持sFlow 功能,可以对出入方向的报文按比例随机抽样,灵活实现报文采集。3.3.4 网络出口设计网络出口实现校园网络与外界网络互联,出口网络应具有一定的可靠性,提供网络安全防护能力, 并对出口带宽进行有效的分配和控制,同时加强对用户行为进行
46、监管。网络出口配置 1 台高端路由器,路由器实现外部网络互联,并提供NAT 功能,配置 1 台应用控制网关, 实现对出口带宽的灵活调配, 并实现对用户行为进行审计和监管。并通过核心交换机的防火墙模块实现对网络区域的隔离和访问控制。网络出口路由器应具备以下功能和特性:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 47 页 - - - - - - - - - 校园网络设计方案第 21 页, 共 63 页在可靠性方面,路由器应支持电源、处理系统的冗余备份。在性能方面,路由器
47、应提供高性能转发,并具有优越的NAT 处理能力。在业务特性方面,路由器支持丰富的QoS 特性,可保障重要业务得到优先转发;支持 IPv6,可平稳过渡到下一代网络。在安全性方面,路由器有安全机制保障所承载业务的安全。基于上述因素,我们建议出口路由器采用H3C SR6604 高端路由器。应用控制网关选用H3C SecPath ACG (Application Control Gateway) ,H3C ACG 是业界识别最全面、控制手段最丰富的高性能应用控制网关,能对网络中的 P2P/IM 带宽滥用、 “地下” VoIP、 “一拖 N” 、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识
48、别和控制;同时,可对网络流量、用户上网行为进行深入分析与全面的事后审计,并具有强大的URL 过滤功能,进而帮助用户优化其网络资源, 全面了解网络应用模型和流量趋势,开展各项业务提供有力的支撑。 H3C ACG 具有以下优点:强大的 P2P/IM 业务监控通过 H3C 长期积累的状态机检测技术,能精确检测Thunder (迅雷)、BitTorrent 、eMule (电骡) 、eDonkey (电驴)、QQ 、MSN 、PPLive 等近百种 P2P/IM 应用。同时,可基于时间、用户、区域、应用协议等,对P2P/IM 应用进行告警、限流、干扰或阻断。完善的安全审计系统可对各种 P2P/IM 、
49、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势, 事后对历史数据进行分析, 为用户提供细粒度的网络行名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 47 页 - - - - - - - - - 校园网络设计方案第 22 页, 共 63 页为审计管理系统。强大的过滤功能通过自定义 IP 地址、主机名、正则表达式等方式设置URL 特征库,支持根据不同的 URL 策略设置不同的响应方式
50、, 支持根据时间表对不同的URL 策略设置不同的响应动作,避免保密信息的外泄,免受非法信息的干扰, 确保网络的健康使用。丰富的报表提供业务流量趋势图、流量分布图、Top N 用户列表、 Top N 应用协议列表等报表,并支持按照用户名/ 用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表,使用户能全面掌握网络中的流量、应用和业务分布,为合理规划网络、制定流量控制策略提供依据。全面地识别“地下” VoIP 支持对 Skype 、H.323 、SIP、中桥、UUCall 等近百种协议或网关的呼叫识别、阻断或干扰。目前, H3C 是唯一能实现对Skype 在 PC-PC