《h3c职业技术学院网络设计方案2063.pdf》由会员分享,可在线阅读,更多相关《h3c职业技术学院网络设计方案2063.pdf(64页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 广州 XX 职业技术学院 校园网络设计方案 华三通信技术有限公司.word 格式.专业资料.学习参考 .2008 年 12 月 .word 格式.专业资料.学习参考 .目录 第 1 章 概述.5 第 2 章 系统建设需求.5 第 3 章 网络平台建设方案.6 3.1 网络设计原则.6 3.2 网络层次化设计.7 3.3 校园网络总体结构.9 3.3.1 核心层设计.11 3.3.2 数据中心设计.16 3.3.3 汇聚层设计.17 3.3.4 网络出口设计.21 3.3.5 接入层设计.24 3.3.6 无线网络设计.30 3.4 网络安全性设计.35 3.4.1 重要安全区域隔离.35 3
2、.4.2 出口带宽监管.36 3.4.3 网络安全保护.37 3.5 网络可靠性设计.40 3.5.1 物理设备和链路稳定性.40.word 格式.专业资料.学习参考 .3.5.1.1 网络结构的可靠性.40 3.5.1.2 设备级冗余性设计.40 3.5.1.3 链路冗余配置.42 3.5.2 数据链路层稳定性设计.42 3.5.2.1 网络部署 MSTP.42 3.5.2.2 生成树边缘端口.43 3.5.2.3 DLDP 技术运用.43 3.5.3 网络层稳定性设计.44 3.6 网络管理设计.45 3.6.1 资源管理.46 3.6.2 拓扑管理.47 3.6.3 故障(告警/事件)管
3、理.49 3.6.4 性能管理.52 3.6.5 图形化设备管理.53 3.6.6 集中配置管理.53 3.7 用户管理系统.55 3.8 方案总结及优势说明.60.word 格式.专业资料.学习参考 .第1章 概述 广州 XX 职业技术学院(以下简称为 XX 学院)1999 年 3 月经教育部批准成立,是中国 XX 总局唯一一所独立设置实施高等职业教育的全日制普通高等院校,是“国家示范性高等职业院校建设计划”2007 年度立项建设院校之一。根据国家示范性高等职业院校建设项目的要求,XX 学院拟完善数字化校园网络平台,为数字化教学平台提供一个良好的支撑平台。方案参考了学院数字化校园网络平台项目
4、(第一期)建设实施方案内容。在方案中,我们将根据校园网络平台建设要求,提出一个校园网络平台的建设目标和框架,并针对各个部分建设进行说明。第2章 系统建设需求 校园网络平台是校园数字化系统的运行基础,学院原有的网络平台无论是在网络的稳定性、业务适应用性、性能、安全以及可扩展性等方面已无法支撑学院系统的需求,更是无法达到国家示范性高等职院建设的要求,因此,学院的校园网络平台需要进行全面的升级,建设任务主要包括以下五大方面:一、建设一个高可用的骨干网,这是网络平台建设最为重要及紧急任务之一,骨干网的稳定性、性能和安全性将直接影响到校园网络的运行;二、建设一个数据中心网络平台,为数字化业务系统提供一个
5、高可用的接入平台;.word 格式.专业资料.学习参考 .三、建设一个安全可控的网络出口,增强网络外界的安全防护以及校园网用户的行为监管能力,提高出口带宽的使用效率;四、完善校园网用户的接入和控制,通过部署用户认证、计费等措施对全面提升对接入用户的控制,使用户接入规范化。五、建设校园无线网络平台,提高网络接入的覆盖能力,校园用户更易于使用学院资源。第3章 网络平台建设方案 3.1 网络设计原则 广州 XX 职业技术学院校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的 QoS 保障服务,使网络安全可靠,从而实现教育管理、多媒体教学自动化,必须具备高性能、高安全性、高可靠性,可管理、
6、可增值特性以及开放性、兼容性、可扩展性。学院网络建设遵循以下基本原则:高带宽 学院网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的.word 格式.专业资料.学习参考 .数据交换。可增值性 学院网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。可扩充性 考虑到学院用户数量和业务种类发展的不确定性,
7、要求对于核心交换机与汇聚交换机具有强大的扩展功能,学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。开放性 技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。安全可靠性 设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。3.2 网络层次化设计 在校园园区网络整体设计中,采用层次化、模块化的网络设计结构,并严
8、格定义各层功能模型,不同层次关注不同的特性配置。根据广州XX 职业技术学.word 格式.专业资料.学习参考 .院的网络分布情况,校园网共分成核心层、汇聚层和接入层三层。1)核心层 核心层是整个网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。XX 学院主校区设立整个校园网的核心层,同时,在新机场实训基地设立分核心。对于 XX 学院主校园的核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的多设备冗余的星型结构。对于校园网核心层设备,应该在提供大容量、高性能 L2/L3 交换服务基础上,能够进一步融合了硬件 IPv6、网络安全、网络业务分析等智
9、能特性,可为校园园区构建融合业务的基础网络平台,进而帮助用户实现 IT 资源整合的需求。2)汇聚层 汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关。目前,XX 学院在主校区共有 15 幢建筑物,新机场实训基地共有 6 幢建筑物。XX 学院汇聚层设立将根据现有的信息点分布,结合综合布线系统等多因素,一般而言,以建筑物/功能区为单位设立汇聚层,即每个单体建筑/功能区设立一个网络汇聚层,如数据中心和网络出口分别设于汇聚层,同时对于学生宿舍区,可以采用多幢学生宿舍共用1 个网络汇聚层的方式。对于校园园区网的汇聚层设备
10、,应该能够承载校园园区的多种融合业务,能够融合 IPv6、网络安全、流量分析等多种业务,提供不间断转发、优雅重.word 格式.专业资料.学习参考 .启、环网保护等多种高可靠技术,能够承载校园园区融合业务的需求。3)接入层 提供网络的第一级接入功能,完成二层接入,并实现对终端接入的安全控制,包括 ARP防御、IP/MAC/端口绑定以及 POE 等高级功能。在 XX 校园网中,接入层采用千兆及百兆到桌面的接入模式,对于数据传输量较大或重要区域采用千兆到桌面的方案,如综合办公、图书馆等,其它的为百兆接入,同时,无线 AP 接入采用 POE 方式进行设备的供电。接入层设备以选择二层交换机为主,设备应
11、具有灵活的扩展能力,支持堆叠,具有强安全性,可以实现 IP、MAC、端口的绑定,支持 802.1x 认证,支持 DHCP Snooping,防止非法 DHCP 接入和 ARP 攻击。3.3 校园网络总体结构 校园网络平台将采用层次化通用结构设计,采用核心层、汇聚层和接入层三层架构,包括网络骨干、数据中心、网络出口、网络接入、无线网络等五大部分。.word 格式.专业资料.学习参考 .中心交换机H3C S7502E服务器系统用户管理系统H3C CAMS汇聚交换机H3C S5500-EI接入交换机H3C S5100办公楼千兆到桌面数据中心汇聚交换机H3C S5500-EI核心交换机H3C S751
12、0E网络中心机房图书馆、实验楼等百兆到桌面接入交换机H3C E152/126A宿舍区百兆到桌面网络出口教育科研网电信/网通出口路由器H3C SR6604应用流量控制H3C ACG2000M宿舍区百兆到桌面汇聚交换机H3C S5500-EI汇聚交换机H3C S5500-EI内置防火墙接入交换机H3C E152/126A校园网骨干无线网控制器AC模块无线AP无线AP接入交换机H3C E152/126A 网络骨干由核心层和汇聚层组网,骨干网采用高可靠性组网,核心层配置两台高端核心交换机,汇聚层设备通过双千兆链路实现与核心层设备的互联,网络骨干全面支持IPv6,并提供万兆扩展能力。校园网设立数据中心,
13、实现各业务系统服务器的集中部署,数据中心网络平台独立建设,配置 2 台模块化交换机设备,为服务器提供高性能、高可靠、可扩展性的接入平台,同时,通过核心交换机内置高性能的防火墙模块提供安全保护。网络出口实现校园网络与外部网络的互联,包括与教育科、互联网的互联,网络出口需实现校园网与外部网络的隔离,网络出口配置 1 台路由器设备实现与外部网络互联,同时提供地址转换等服务,配置应用控制网关,实现出口带宽的管理,并对校园网用户实现行为审计等功能。.word 格式.专业资料.学习参考 .网络接入层提供校园网用户的接入,并实现网络接入的安全防御,如 ARP攻击防护,同时,结合用户管理系统实现对接入用户认证
14、、计费等管理。为实现校园网络接入的灵活性,提高网络的覆盖,校园网将实现办公楼、图书馆、实验室、运动场馆等公共区域的无线网络覆盖,无线网采用智能的 Fit AP 组网。为便于网络的管理和维护,校园网还将建设1套网络管理系统,实现对校园网络平台设备的统一管理,网络管理应具有拓扑、故障、性能、配置和图形化设备管理等功能,为了实现更为方便的通过远程方式对网络的状态进行监控和维护,网络系统采用B/S 架构。同时,为加强对接入用户的控制和管理,系统还部署用户认证、计费管理系统。3.3.1 核心层设计 XX 学院主校区设立整个校园网的核心层,同时,在新机场实训基地设立分核心。对于 XX 学院主校园的核心层,
15、必须提供高性能、高可靠的网络结构,推荐采用高可靠的多设备冗余的星型结构。核心层配置 2 台高端交换机作为核心交换机,两台交换机之间通过万兆链路进行互联,形成双机复用,在两台中心交换机之间启用 VRRP 协议,这样在其中一台出现故障的时候,业务可以自动切换到另外一台。选用的核心交换机是从可靠性、性能、业务特性、安全特性以及可扩展性等多个方面进行综合考虑。在可靠性方面,核心交换机应达到 99.99%的高可靠性,采用全模块化设计,电源、风扇、引擎、业务模块等均可实现热插拔,支持电源、引擎等关键.word 格式.专业资料.学习参考 .部件的 1+1 冗余热备份,支持 VRRP、路由优雅(GR)等高可靠
16、性协议,实现核心层的业务不间断转发。在性能方面,核心交换机应采用 Crossbar 交换矩阵,采用全分布式转发,支持万兆、千兆等高速以太网接口,所有接口实现线速转发,保障校园网多种业务进行并发交换。在业务特性方面,核心交换机支持丰富的 QoS 特性,可保障重要业务得到优先转发;支持 IPv6,可平稳过渡到下一代网络;并且支持内置防火墙、内置无线控制器等多种业务功能插卡,可以进行灵活的部署,实现业务的扩展和融合。在安全性方面,核心交换机应既能保障自身的运行安全,也能通过一些安全机制保障所承载业务的安全。基于上述因素,我们建议核心交换机采用H3C S7510E 高端交换机。H3C S7500E 系
17、列产品是杭州华三通信技术有限公司(以下简称 H3C 公司)面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于 H3C自主知识产权的 Comware V5 操作系统,融合了 MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术。S7510E 具有 10 个槽位,其中 8 个为业务模块插槽,并支持丰富的接口模块,如万兆、千兆、百兆等类型接口,可根据网络规模实现在线扩展。S7510E具有高转发性能,整机具有1152Gbps交换容量、773Mpps转发性能,同时,S7510E 采用全分布式转发,并采用最长匹配、逐包转发的处理机制,保证业
18、务的高速率转发。S7510E 中配置的所有接口均可实现线速转发。.word 格式.专业资料.学习参考 .选用的 H3C S7500E 交换机具有以下特点:、丰富的业务,适应融合业务网络发展趋势 全面的 MPLS 业务能力 H3C S7500E 所有产品均支持 VRF-Lite 特性,可以做为 MCE 设备使用;支持三层的 MPLS VPN 和二层的 MPLS VPN(Martini、Kompella),可扩展支持VPLS 技术;支持 MPLS OAM 特性,方便用户的管理和维护;与 H3C MPLS VPN Manager 配合,实现图形化的 MPLS 部署与维护。线速的 IPv4/IPv6
19、业务能力 H3C S7500E 支持 IPv4/IPv6双协议栈,支持多种 6to4 隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7500E 采用分布式体系架构,实现 IPv4/IPv6 业务的线速无阻塞转发;H3C S7500E 已经通过了信息产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段金色认证,是成熟商用的 IPv6 产品。有线无线一体化,有源无源一体化 H3C S7500E 集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的 RF 管理及安全机制、快速漫游、超强的 QOS 和对 IPV6 的支持等;
20、无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。H3C S7500E 是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入 10240 个 FTTH 用户;H3C S7500E 是高可靠的 EPON 系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。.word 格式.专业资料.学习参考 .支持 Portal 认证 H3C S7500E支持大容量的Portal认证功能,可以在数千用户的局域网中作为 EAD 网关设备,为全网用户提供 EAD 安全认证功能;可以在大中型的校园网中担任汇聚
21、/核心设备的同时,为学生宿舍区的认证计费提供 Portal 认证功能。、灵活的配置,适应各种应用场景 配线间融合业务网络的最佳选择 H3C S7500E 针对配线间的需求定制开发了 SA 板卡,单台设备可以提供480 个千兆线速接口和 4 个万兆线速接口。H3C S7500E 支持端点准入防御解决方案,解决终端安全问题;内置 2800W 电源直接提供 PoE 功能,对 IP 语音和无线接入提供良好的支持。政府电力城域网边缘和汇聚的最佳选择 H3C S7500E 支持 VRF-Lite 特性,为用户提供高可靠高性能的 MCE 设备;通过配置 Salience VI-Turbo 引擎,可以提供集中
22、式 MPLS 业务功能,适合在城域网边缘作为高性价 PE 设备使用;通过配置 EA 类板卡,可以提供分布式线速的 MPLS 业务功能,适合在城域网汇聚层作为高性能的 PE 使用。IPv6 网络的最佳选择 H3C S7500E 所有 Salience VI 引擎都可以提供集中式 IPv6 功能,H3C S7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡,在整机满配置状态下实现线速无收敛,为高校用户提供了高性能低成本的双栈汇聚核心设备,同时也满足其他行业用户IPv6 Ready 的需求。、全方位的安全保障,抵御多种网络安全威胁 三平面安全保障机制.word
23、 格式.专业资料.学习参考 .H3C S7500E 提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止 TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS 路由协议采用 MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3 网管协议,SSH V2,基于802.1x、AAA/Radius 的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持 IP、VLAN、MAC 和端口等多种组合精细绑定;支持uRPF 单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的
24、攻击。有线无线全面支持 EAD H3C S7500E 是 EAD 端点准入防御解决方案的重要组成部分,S7500E 可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的 EAD,也支持无线终端用户的 EAD,能够做到终端安全防范无漏洞。增强的 ACL 特性 H3C S7500E系列产品支持强大的ACL能力:支持标准和扩展 ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,每板最大可支持 9K 条 ACL,满足金融等行业访问权限严格控制的需求。、电信级的高可靠性,保障用户业务长期稳
25、定运行 电信级高可靠性设计 H3C S7500E 采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E 系列可以在恶劣的环境下长时间稳定运.word 格式.专业资料.学习参考 .行,达到 99.999的电信级可靠性。多业务高可靠性运行 H3C S7500E 支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持 RRPP 快速环网保护协议,提供小于 200ms 的环网故障保护;支持Smart-Link 协议,保证双
26、上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E 可以在承载多业务的情况下不间断运行,实现业务的永续。支持热补丁技术 H3C S7500E 能够在不重启设备的前提下,通过热补丁技术,在线修改软件BUG,增加新的业务特性。H3C S7500E 提供控制补丁单元状态切换的用户命令,使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术,降低了设备需要重启的次数,为客户提供更长的网络正常工作时间。3.3.2 数据中心设计 为实现对校园网服务器统一管理和控制,同时考虑到扩展性,服务器的接入独立配置交换机实现,为保证服务器接入的高可用性,配置 2 台全千兆三层路由交换
27、机,数据中心交换机通过 VRRP 协议实现互为热备和负载分担。在选用的数据中心交换机时,我们充分考虑到应具备以下功能和特性:在可靠性方面,数据中心交换机支持 VRRP 热备份协议,为服务器提供可靠的接入。在性能方面,数据中心交换机所有端口线速转发,保障图书馆多种业务进行并发交换。在业务特性方面,数据中心交换机支持丰富的QoS 特性,可保障重要业务.word 格式.专业资料.学习参考 .得到优先转发;支持 IPv6,可平稳过渡到下一代网络。在安全性方面,数据中心交换机具有安全机制保障所承载业务的安全。在可扩展性方面,数据中心交换机应采用模块化设备,支持高密度、高带宽接口,在业务系统不断增长时,可
28、通过增加业务模块来满足服务器接入需求。基于上述因素,我们建议数据中心交换机采用 H3C S7502E 高端交换机。S7510E 具有 4 个槽位,其中 2 个为业务模块插槽,并支持丰富的接口模块,如万兆、千兆、百兆等类型接口,可根据网络规模实现在线扩展。S7502E 具有高转发性能,整机具有 192Gbps 交换容量、143Mpps 转发性能,同时,S7502E 采用全分布式转发,并采用最长匹配、逐包转发的处理机制,保证业务的高速率转发。S7502E 中配置的所有接口均可实现线速转发。3.3.3 汇聚层设计 汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于
29、扩展等特点,这一层还可作为接入设备的第一跳网关。选用的汇聚交换机应具备以下功能和特性:在可靠性方面,汇聚交换机支持路由协议平滑重启,支持 RSTP、MSTP 生成树协议,支持 2 层的快速切换,确保与核心交换机组网的可靠性,在性能方面,汇聚交换机所有端口线速转发,包括万兆接口,保障多种业务进行并发交换。在业务特性方面,汇聚交换机支持丰富的QoS 特性,可保障重要业务得到优先转发;支持 IPv6,可平稳过渡到下一代网络。在安全性方面,汇聚交换机具有安全机制保障所承载业务的安全。.word 格式.专业资料.学习参考 .基于以上要求,我们建议汇聚交换机选用 H3C 的 S5500EI,S5500EI
30、系列交换机具有以下特点:1、高扩展性保护投资 随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群 10GE 链路将是我们的未来发展方向。H3C S5500-EI 系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持 10GE 的扩展能力,尽力保护用户投资。IPv4 到 IPv6 的演变是以太网发展的大势所趋,网络设备对于 IPv6 的支持不仅是简单的可用就行,而是需要达到商用的标准,S5500-EI 已经通过了国际最权威的 IPv6 Ready 第二阶段认证,而且通过了信息产业部严格的 IPv6 入网测试。这个
31、系列产品是基于硬件的 IPv4/IPv6 双栈平台,支持丰富的 IPv4 和 IPv6三层路由协议、组播协议和策略路由机制,实现 IPv4 到 IPv6 的平滑升级。2、完备的安全控制策略 H3C S5500-EI 系列交换机支持 EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5500-EI 交换机支持集
32、中式 MAC 地址认证、802.1x 认证、PORTAL认证,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发;支持配合 H3C 公司.word 格式.专业资料.学习参考 .的 CAMS 系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。H3C S5500-EI 系列交换机提供增强的 ACL 控制逻辑,支持超大容量的入端口和出端口 ACL,并且支持基于 VLAN 的 ACL 下发,在简化用户配置过程的同时,避免了 ACL 资源的浪费。另外,S5500-EI 系列还将支持单播反向路径查找技术(uRPF),原
33、理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。7VM 海岸线网络安全资讯站 3、多重可靠性保护 S5500-EI 系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持内置的双冗余电源,其中 S5500-28F-EI 支持可插拔的冗余电源模块,也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块,此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计使我们这款盒式交换机具备了机柜式交换机的
34、高可靠性。除了设备级可靠性以外,还支持丰富的链路可靠性以外,还支持丰富的链路可靠性技术,比如华三通信独创的RRPP快速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。4、多业务支持能力 支持 PoE(Power over Ethernet)技术,通过以太网对所连接的设备(如IP Phone,Wireless AP 等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN 技术,交换机通过识别端口的语音流,将对应的接入端口加入.word 格式.专业资料.学习参考 .Voice
35、VLAN(专用语音 VLAN)中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN 安全特性,只允许语音流量通过,可以有效防止突发数据流量对 Voice VLAN 内的语音流量的冲击。H3C S5500-EI 系列交换机支持 MCE 功能,可以有效解决多 VPN 网络带来的用户数据安全与网络成本之间的矛盾,它使用 CE 设备本身的 VLAN 接口编号与网络内的 VPN 进行绑定,并为每个 VPN 创建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同 VPN 的报文转发路径,而且通过与 PE 间的配合,也能够
36、将每个 VPN 的路由正确发布至对端 PE,保证 VPN 报文在公网内的传输。5、丰富的 QoS 策略 H3C S5500-EI 系列交换机支持支持 L2(Layer 2)L4(Layer 4)包过滤功能,提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、TCP/UDP 端口号、协议类型、VLAN 的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持 SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR三种模式。支持 CAR(Committed Access Rate)功能,粒度最小达 64Kb
37、ps。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。6、出色的管理性 H3C S5500-EI 系 列 交 换 机 支 持 SNMPv1/v2/v3(Simple Network Management Protocol),可支持 Open View 等通用网管平台以及 iMC 智能管.word 格式.专业资料.学习参考 .理中心。支持 CLI 命令行,Web 网管,TELNET,HGMP 集群管理,使设备管理更方便,并且支持 SSH2.0 等加密方式,使得管理更加安全。H3C S5500-EI系列交换机支持基于MAC地址
38、划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和 VLAN 下发 ACL 策略,在简化用户配置的同时,也大幅节约了硬件资源。该系列交换机还支持 sFlow 功能,可以对出入方向的报文按比例随机抽样,灵活实现报文采集。3.3.4 网络出口设计 网络出口实现校园网络与外界网络互联,出口网络应具有一定的可靠性,提供网络安全防护能力,并对出口带宽进行有效的分配和控制,同时加强对用户行为进行监管。网络出口配置 1 台高端路由器,路由器实现外部网络互联,并提供 NAT 功能,配置 1 台应用控制网关,实现对出口带宽的灵活调配,并实现对用户行为进行审计和监管。并通过核心交换机的防火墙模
39、块实现对网络区域的隔离和访问控制。网络出口路由器应具备以下功能和特性:在可靠性方面,路由器应支持电源、处理系统的冗余备份。在性能方面,路由器应提供高性能转发,并具有优越的NAT 处理能力。在业务特性方面,路由器支持丰富的 QoS 特性,可保障重要业务得到优先转发;支持 IPv6,可平稳过渡到下一代网络。在安全性方面,路由器有安全机制保障所承载业务的安全。基于上述因素,我们建议出口路由器采用 H3C SR6604 高端路由器。.word 格式.专业资料.学习参考 .应用控制网关选用 H3C SecPath ACG(Application Control Gateway),H3C ACG 是业界识
40、别最全面、控制手段最丰富的高性能应用控制网关,能对网络中的 P2P/IM 带宽滥用、“地下”VoIP、“一拖 N”、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,可对网络流量、用户上网行为进行深入分析与全面的事后审计,并具有强大的 URL 过滤功能,进而帮助用户优化其网络资源,全面了解网络应用模型和流量趋势,开展各项业务提供有力的支撑。H3C ACG 具有以下优点:强大的 P2P/IM 业务监控 通过 H3C 长期积累的状态机检测技术,能精确检测 Thunder(迅雷)、BitTorrent、eMule(电骡)、eDonkey(电驴)、QQ、MSN、PPLive 等
41、近百种 P2P/IM应用。同时,可基于时间、用户、区域、应用协议等,对 P2P/IM应用进行告警、限流、干扰或阻断。完善的安全审计系统 可对各种 P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势,事后对历史数据进行分析,为用户提供细粒度的网络行为审计管理系统。强大的过滤功能 通过自定义IP 地址、主机名、正则表达式等方式设置URL 特征库,支持根据不同的 URL 策略设置不同的响应方式,支持根据时间表对不同的 URL 策略设置不同的响应动作,避免保密信息的外泄,免受非法信息的干扰,确保网络的
42、健康使用。.word 格式.专业资料.学习参考 .丰富的报表 提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表,并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表,使用户能全面掌握网络中的流量、应用和业务分布,为合理规划网络、制定流量控制策略提供依据。全面地识别“地下”VoIP 支持对 Skype、H.323、SIP、中桥、UUCall 等近百种协议或网关的呼叫识别、阻断或干扰。目前,H3C 是唯一能实现对 Skype 在 PC-PC、PC-Phone 两种通信模式进行实时有效控制的厂商。领先的“一拖 N”清理技术
43、 采用业界流行的 ID 轨迹检测技术、时钟偏移检测技术,结合多种应用层特征检测技术如应用特征检测、流量/连接数统计、TTL 检测、MAC 地址检测等,能实时准确的识别出以 NAT、Proxy 方式进行共享接入的用户以及准确的 PC 数量,并实施告警、阻断等控制措施。用户行为分析 采用先进的技术分析手段,全面分析网络应用的流量类型和流量流向趋势,统计网络热点,发掘业务增长点;分析用户行为,统计用户兴趣,为个性化运营提供依据,并通过开放的平台接口,与第三方业务平台对接,提供高附加值业务,如在用户行为兴趣分析的基础上提供定向WEB 广告服务。高性能、高可靠性 基于新一代多核 CPU 多核架构及分布式
44、搜索引擎,同时配合高容量的交换背板,确保 SecPath ACG 在各种大流量、复杂应用的环境下,仍能具备千兆级.word 格式.专业资料.学习参考 .线速业务处理能力,仅有微秒级时延。通过掉电保护(PFC)、二层回退等高可靠性设计,确保 SecPath ACG 在断电、软硬件故障或链路故障的情况下,网络链路仍然畅通,保证用户业务的不间断正常运行。及时的特征库更新 H3C 专业安全团队密切跟踪应用变化,并对应用协议特征库及时更新;支持在线自动/手动升级方式,升级过程无需重启系统,不影响系统业务运行。3.3.5 接入层设计 接入层实现各终端电脑的高速接入,根据各业务系统的分布,可采用千兆到桌面以
45、及百兆到桌面两种方案。对于办公大楼、图书馆、实验室等对网络带宽要求较高的,建议采用千兆到桌面的解决方案。对于教学楼、宿舍区的接入可采用10/100M到终端的解决方案。接入层交换机应具有丰富的安全特性,配合用户认证系统实现对接入用户的认证计费,同时,交换机还应具有防伪DHCP Server 的接入,对终端 ARP 各种形式攻击的防护。接入层交换机,我们建议千兆交换机选用 H3C S5100 系列交换机,百兆到桌面选用 H3C 为教育行业用户专门研发的 E 系列交换机。选用的 S5100EI 系列交换机具有以下特点:1、灵活的千兆接入和集群管理.word 格式.专业资料.学习参考 .H3C S51
46、00-EI 系列千兆以太网交换机提供灵活的 16/24/48 个10/100/1000M 自适应电口接入密度;并且支持复用的 SFP 插槽,充分考虑用户的带宽升级的实际情况,既可以支持千兆光模块,也可以支持百兆光模块,保护用户投资。其中S5100C-EI机型支持最多2个可扩展的万兆接口,并且支持40G 带宽的堆叠。该系列硬件支持最大 136Gbps 交换容量,保证所有端口线速交换。H3C S5100-EI 系列交换机采用专利技术允许交换机利用专用互联电缆实现多达 16 台设备的堆叠,支持不同端口设备的混合堆叠。具有即插即用、单一 IP管理。同时大大降低系统扩展的成本,保护了用户投资。2、全面的
47、接入安全策略 H3C S5100-EI 系列交换机支持 EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5100-EI系列交换机支持特有的 ARP入侵检测功能,可有效防止黑客或攻击者通过 ARP 报文实施网络中逐渐盛行的“中间人”攻击,对不符合 DHCP Snooping动态绑定表或手工配置的静态绑定表的非
48、法ARP欺骗报文直接丢弃。同时支持 IP Source Check 特性,防止包括 MAC 欺骗、IP 欺骗、MAC/IP 欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的 DoS 攻击。另外,利用.word 格式.专业资料.学习参考 .DHCP Snooping 的信任端口特性还可以有效杜绝私设 DHCP 服务器,保证DHCP 环境的真实性和一致性。H3C S5100-EI 系列交换机支持端口安全特性族可以有效防范基于 MAC 地址的攻击。可以实现基于 MAC 地址允许/限制流量,或者设定每个端口允许的MAC 地址的最大数量,使得某个特定端口上的 MAC 地址可以由管理员静态配置,或者由交换
49、机动态学习。H3C S5100-EI 系列交换机有强大硬件 ACL 能力,能深度识别报文,支持L2L4 包过滤功能,提供基于源 MAC 地址、目的 MAC、源 IP 地址、目的 IP 地址、IP 协议类型、物理端口、VLAN、等定义 ACL,以便交换机进行后续的处理。并且支持基于全局、VLAN、端口(组)的ACL下发,有效简化配置过程并节约硬件资源。H3C S5100-EI 系列交换机提供 802.1X 和集中 MAC 认证方式对接入的用户进行认证,允许合法用户通过,对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、Guest VLAN等功能,和CAMS 服务器配合还可以实现代理检测、双
50、网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制,最大程度的减少非法用户对网络安全的危害。2、完善的 QoS 保障 H3C S5100-EI系列以太网交换机提供基于 Diffserv 和802.1P的QoS特性,可以对报文的 802.1P 和 DSCP 域优先级进行修改等操作,并映射到每端口提供的 8 个 COS 队列,队列调度提供了三种各具特色的队列调度算法,严格优先级(SP)和整形加权轮循(SDWRR)调度算法以及 SP+SDWRR 组合调度算法。.word 格式.专业资料.学习参考 .H3C S5100-EI 系列以太网交换机支持流量监管和带宽粒度控制,流量限速的