h3c职业技术学院网络设计方案

校园网络设计方案 第页 , 共 44 页 1 业技术学院网络设计方案 第 1章 系统建设需求 校园网络平台是校园数字化系统的运行基础，学院原有的网络平台无论是在网络的稳定性、业务适应用性、性能、安全以及可扩展性等方面已无法支撑学院系统的需求，更是无法达到国家示范性高等职院建设的要求，因此，学院的校园网络平台需要进行全面的升级，建设任务主要包括以下五大方面： 一、 建设一个高可用的骨干网，这是网络平台建设最为重要及紧急任务之一，骨干网的稳定性、性能和安全性将直接影响到校园网络的运行； 二、 建设一个数据中心网络平台，为数字化业务系统提供一个高可用的接入平台； 三、 建设一 个安全可控的网络出口，增强网络外界的安全防护以及校园网用户的行为监管能力，提高出口带宽的使用效率； 四、 完善校园网用户的接入和控制，通过部署用户认证、计费等措施对全面提升对接入用户的控制，使用户接入规范化。 五、 建设校园无线网络平台，提高网络接入的覆盖能力，校园用户更易于使用学院资源。 第 2章 网络平台建设方案 络设计原则 学院 网络建设遵循以下基本原则： 高带宽 校园网络设计方案 第页 , 共 44 页 2 学院网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能 、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。 可增值性 学院网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。 可扩充性 考虑到学院用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。 开放性 技术选择必须符合相关国际 标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。 络层次化设计 在校园园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。根据广州 业技术学院的网络分布情况， 校园网共分成核心层、汇聚层和接入层三层。 1) 核心层 核心层是整个网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。 院主校区设立整个校园网的核心层，同时，在新机场实训基地设立分核 校园网络设计方案 第页 , 共 44 页 3 心。对于 院主校园的核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构。 对于校园网核心层设备，应该在提供大容量、高性能 3 交换服务基础上，能够进一步融合了硬件 络安全、网络业务分析等智能特性，可为校园园区构建融合业务的基础网络平台 ，进而帮助用户实现 源整合的需求。 2) 汇聚层 汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。 目前， 院在主校区共有 15 幢建筑物，新机场实训基地共有 6 幢建筑物。院汇聚层设立将根据现有的信息点分布，结合综合布线系统等多因素，一般而言，以建筑物 /功能区为单位设立汇聚层，即每个单体建筑 /功能区设立一个网络汇聚层，如数据中心和网络出口分别设于汇聚层，同时对于学生宿舍区，可以采用多幢学生宿舍共用 1 个网络汇聚层的方 式。 对于校园园区网的汇聚层设备，应该能够承载校园园区的多种融合业务，能够融合 络安全、流量分析等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载校园园区融合业务的需求。 3) 接入层 提供网络的第一级接入功能，完成二层接入，并实现对终端接入的安全控制，包括 御、 口绑定以及 高级功能。 在 园网中，接入层采用千兆及百兆到桌面的接入模式，对于数据传输量较大或重要区域采用千兆到桌面的方案，如综合办公、图书馆等，其它的为百兆接入，同时，无线 入采 用 式进行设备的供电。 接入层设备以选择二层交换机为主，设备应具有灵活的扩展能力，支持堆叠，具有强安全性，可以实现 口的绑定，支持 证，支持 防止非法 入和 击。 园网络总体结构 校园网络平台将采用层次化通用结构设计，采用核心层、汇聚层和接入层三层架构，包括网络骨干、数据中心、网络出口、网络接入、无线网络等五大部分。 校园网络设计方案 第页 , 共 44 页 4 中 心 交 换 机H 3 C S 7 5 0 2 器 系 统用 户 管 理 系 统H 3 C C A M 交 换 机H 3 C S 5 5 0 0 - E 交 换 机H 3 C S 5 1 0 0办 公 楼千 兆 到 桌 面数 据 中 心汇 聚 交 换 机H 3 C S 5 5 0 0 - E 交 换 机H 3 C S 7 5 1 0 中 心 机 房图 书 馆 、 实 验 楼 等百 兆 到 桌 面接 入 交 换 机H 3 C E 1 5 2 / 1 2 6 区百 兆 到 桌 面网 络 出 口教 育 科 研 网电 信 / 网 通出 口 路 由 器H 3 C S R 6 6 0 4应 用 流 量 控 制H 3 C A C G 2 0 0 0 区百 兆 到 桌 面汇 聚 交 换 机H 3 C S 5 5 0 0 - E 交 换 机H 3 C S 5 5 0 0 - E 防 火 墙接 入 交 换 机H 3 C E 1 5 2 / 1 2 6 网 骨 干无 线 网 控 制 器A C 模 块无 线 A P 无 线 A 交 换 机H 3 C E 1 5 2 / 1 2 6 干网采用高可靠性组网， 核心层配置两台高端核心交换机，汇聚层设备通过双千兆链路实现与核心层设备的互联，网络骨干全面支持 提供万兆扩展能力。 校园网设立数据中心，实现各业务系统服务器的集中部署，数据中心网络平台独立建设，配置 2 台模块化交换机设备，为服务器提供高性能、高可靠、可扩展性的接入平台，同时，通过核心交换机内置高性能的防火墙模块提供安全保护。 网络出口实现校园网络与外部网络的互联，包括与教育科、互联网的互联，网络出口需实现校园网与外部网络的隔离，网络出口配置 1 台路由器设备实现与外部网络互联，同时提供地址转换等服务，配 置应用控制网关，实现出口带宽的管理，并对校园网用户实现行为审计等功能。 网络接入层提供校园网用户的接入，并实现网络接入的安全防御，如 时，结合用户管理系统实现对接入用户认证、计费等管理。 为实现校园网络接入的灵活性，提高网络的覆盖，校园网将实现办公楼、图书馆、实验室、运动场馆等公共区域的无线网络覆盖，无线网采用智能的 校园网络设计方案 第页 , 共 44 页 5 网。 为便于网络的管理和维护，校园网还将建设 1 套网络管理系统，实现对校园网络平台设备的统一管理，网络管理应具有拓扑、故障、性能、配置和图形化设备管理等功能，为了实现 更为方便的通过远程方式对网络的状态进行监控和维护，网络系统采用 B/S 架构。 同时，为加强对接入用户的控制和管理，系统还部署用户认证、计费管理系统。 心层设计 院主校区设立整个校园网的核心层，同时，在新机场实训基地设立分核心。对于 院主校园的核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构。 核心层配置 2 台高端交换机作为核心交换机，两台交换机之间通过万兆链路进行互联，形成双机复用，在两台中心交换机之间启用 议，这样在其中一台出现故障的时候，业务可以自动切换到另 外一台。 选用的核心交换机是从可靠性、性能、业务特性、安全特性以及可扩展性等多个方面进行综合考虑。 在可靠性方面，核心交换机应达到 高可靠性，采用全模块化设计，电源、风扇、引擎、业务模块等均可实现热插拔，支持电源、引擎等关键部件的1+1 冗余热备份，支持 由优雅（ 高可靠性协议，实现核心层的业务不间断转发。 在性能方面，核心交换机应采用 换矩阵，采用全分布式转发，支持万兆、千兆等高速以太网接口，所有接口实现线速转发 ,保障校园网多种业务进行并发交换。 在业务特性方面， 核心交换机支持丰富的 性，可保障重要业务得到优先转发；支持 平稳过渡到下一代网络；并且支持内置防火墙、内置无线控制器等多种业务功能插卡，可以进行灵活的部署，实现业务的扩展和融合。 在安全性方面，核心交换机应既能保障自身的运行安全，也能通过一些安全机制保障所承载业务的安全。 基于上述因素，我们建议核心交换机采用 7510E 高端交换机。 校园网络设计方案 第页 , 共 44 页 6 7500E 系列产品是杭州华三通信技术有限公司（以下简称 司）面向融合业务网络推出的新一代高端多业务路由交换机，该产品基于 主知识产 权的 5 操作系统，融合了 络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术。 有 10 个槽位，其中 8 个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实现在线扩展。 有高转发性能，整机具有 1152换容量、 773发性能，同时， 用全分布式转发，并采用最长匹配、逐包转发的处理机制，保证业务的高速率转发。 配置的所有接口均可实现线速转发。 选用的 7500E 交换机具有以下特点： 、 丰富的业务，适应融合业务网络发展趋势 全面的 务能力 7500E 所有产品均支持 性，可以做为 备使用；支持三层的 二层的 可扩展支持 持 性，方便用户的管理和维护；与 现图形化的 署与维护。 线速的 务能力 7500E 支持 协议栈 ,支持多种 6道技术，支持组播技术，为用户提供完善的 决方案； 7500E 采用分布式体系架构，实现 务的线速无阻塞转发； 7500E 已经通过了信息产业部的 网认证和 二阶段金色认证，是成熟商用的 品。 有线无线一体化，有源无源一体化 7500E 集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的 理及安全机制、快速漫游、超强的 对 支持等；无线 控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。 7500E 是业界最高密度的以太网无源光网络（ 备，单台最大可接入 10240 个 户； 7500E 是高可靠的 统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电， 校园网络设计方案 第页 , 共 44 页 7 具有电信级可靠性。 支持 证 7500E 支持大容量的 证功能，可以在数千用户的局域网中作为 关设备，为全网用户提供 全认证功能；可以在大中 型的校园网中担任汇聚 /核心设备的同时，为学生宿舍区的认证计费提供 证功能。 、 灵活的配置，适应各种应用场景 配线间融合业务网络的最佳选择 7500E 针对配线间的需求定制开发了 卡，单台设备可以提供 480个千兆线速接口和 4 个万兆线速接口。 7500E 支持端点准入防御解决方案，解决终端安全问题；内置 2800W 电源直接提供 能，对 音和无线接入提供良好的支持。 政府电力城域网边缘和汇聚的最佳选择 7500E 支持 性，为用户提供高可靠高性能的 备；通过配置 擎，可以提供集中式 务功能，适合在城域网边缘作为高性价 备使用；通过配置 板卡，可以提供分布式线速的务功能，适合在城域网汇聚层作为高性能的 用。 络的最佳选择 7500E 所有 I 引擎都可以提供集中式 能， 7500性能的要求还开发了分布式 发的 卡，在整机满配置状态下实现线速无收敛，为高校用户提供了高性能低成本的双栈汇聚核心设备 ，同时也满足其他行业用户 需求。 、 全方位的安全保障，抵御多种网络安全威胁 三平面安全保障机制 7500E 提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止 协议报文攻击， 由协议采用 证，防止非法路由更新报文导致的网络瘫痪；在管理平面， 管协议， 2，基于 转发平面，支持 端口等多种组合精细绑定；支持 播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御 校园网络设计方案 第页 , 共 44 页 8 病毒的攻击。 有线无线全面支持 3C 点准入防御解决方案的重要组成部分， 以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。 7500E 既支持有线终端用户的 支持无线终端用户的 够做到终端安全防范无漏洞。 增强的 性 7500E 系列产品支持强大的 力：支持标准和扩展 持基于 便用户配置，节省 源；支持出方向和入方向的 板最大可支持 9K 条 足金融等行业访问权限严格控制的需求。 、 电信级的高可靠性，保障用户业务长期稳定运行 电信级高可靠性设计 7500E 采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能； 7500E 系列可以在恶劣的环境下长时间稳定运行，达到 电信级可靠性。 多业 务高可靠性运行 7500E 支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持速环网保护协议，提供小于 200环网故障保护；支持 议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术， 7500现业务的永续。 支持热补丁技术 7500E 能够在不重启设备的前提下，通过热补丁技术，在线修改软件加新的业务特性。 7500E 提供控制补丁单元状态切换的用户命令，使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。 据中心设计 为实现对校园网服务器统一管理和控制，同时考虑到扩展性，服务器的接入 校园网络设计方案 第页 , 共 44 页 9 独立配置交换机实现，为保证服务器接入的高可用性，配置 2 台全千兆三层路由交换机，数据中心交换机通过 议实现互为热备和负载分担。 在选用的数据中心交换机时，我们充分考虑到应具备以下功能和特性： 在可靠性方面，数据中心交换机支持 备份协议，为服务器提 供可靠的接入。 在性能方面，数据中心交换机所有端口线速转发，保障图书馆多种业务进行并发交换。 在业务特性方面，数据中心交换机支持丰富的 性，可保障重要业务得到优先转发；支持 平稳过渡到下一代网络。 在安全性方面，数据中心交换机具有安全机制保障所承载业务的安全。 在可扩展性方面，数据中心交换机应采用模块化设备，支持高密度、高带宽接口，在业务系统不断增长时，可通过增加业务模块来满足服务器接入需求。 基于上述因素，我们建议数据中心交换机采用 7502E 高端交换机。 有 4 个槽位 ，其中 2 个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实现在线扩展。 有高转发性能，整机具有 192换容量、 143发性能，同时， 用全分布式转发，并采用最长匹配、逐包转发的处理机制，保证业务的高速率转发。 配置的所有接口均可实现线速转发。 聚层设计 汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。选用的汇聚交换机应具备以下功能和 特性： 在可靠性方面，汇聚交换机支持路由协议平滑重启，支持 成树协议，支持 2 层的快速切换，确保与核心交换机组网的可靠性， 在性能方面，汇聚交换机所有端口线速转发，包括万兆接口，保障多种业务进行并发交换。 在业务特性方面，汇聚交换机支持丰富的 性，可保障重要业务得到优先转发；支持 平稳过渡到下一代网络。 在安全性方面，汇聚交换机具有安全机制保障所承载业务的安全。 校园网络设计方案 第页 , 共 44 页 10 基于以上要求，我们建议汇聚交换机选用 列交换机具有以下特点： 1、高扩 展性保护投资 随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群 10路将是我们的未来发展方向。 5500列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的 10展模块，在实现千兆汇聚或接入时保留进一步支持 10扩展能力，尽力保护用户投资。 演变是以太网发展的大势所趋，网络设备对于 支持不仅是简单的可用就行，而是需要达到商用的标准， 经通过了国际最权威的 二阶段认证，而且通过了信息产业部 严格的 网测试。这个系列产品是基于硬件的 栈平台，支持丰富的 播协议和策略路由机制，实现 平滑升级。 2、完备的安全控制策略 5500列交换机支持 点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略 管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 5500换机支持集中式 址认证、 证、 证，支持用户帐号、 口等用户标识元素的动态或静态绑定，同时实现用户策略（ 动态下发；支持配合 司的 统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。 5500列交换机提供增强的 制逻辑，支持超大容量的入端口和出端口 且支持基于 发，在简化用户 配置过程的同时，避免了 源的浪费。另外， 列还将支持单播反向路径查找技术（ 原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址 校园网络设计方案 第页 , 共 44 页 11 欺骗。 7岸线网络安全资讯站 3、多重可靠性保护 列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持内置的双冗余电源，其中 持可插拔的冗余电源模块， 也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。 除了设备级可靠性以外，还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术，比如华三通信独创的 速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。 4、多业务支持能力 支持 术，通过以太网对所连接的设备（如P 等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。支持 术，交换机通过识别端口的语音流，将对应的接入端口加入 用语音 ，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置 全特性，只允许语音流量通过，可以有效防止突发数据流量对 的语音流量的冲击。 5500列交换 机支持 能，可以有效解决多 络带来的用户数据安全与网络成本之间的矛盾，它使用 备本身的 口编号与网络内的 行绑定，并为每个 建和维护独立的路由转发表（ 这样不但能够隔离私网内不同 报文转发路径，而且通过与 的配合，也能够将每个 路由正确发布至对端 证 文在公网内的传输。 5、丰富的 略 5500列交换机支持支持 ） ）包过滤功能，提供基于源 址、目的 址、源 址、目的 址、 议类型、 流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持 校园网络设计方案 第页 , 共 44 页 12 种模式。支持 能，粒度最小达 64持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。 6、出色的管理性 5500列交换 机支持 v2/可支持 通用网管平台以及 能管理中心。支持 管， 群管理，使设备管理更方便，并且支持 得管理更加安全。 5500列交换机支持基于 址划分 好的解决了移动办公的智能灵活管理；结合特有的基于全局和 发 略，在简化用户配置的同时，也大幅节约了硬件资源。该系列交换机还支持 能，可以对出入方向的报文按比例随机抽样，灵活实现报文采集。 络出口设计 网络出口实现校园网络与外界网络互联，出口网络应具有一定的可靠性，提供网络安全防护能力，并对出口带宽进行有效的分配和控制，同时加强对用户行为进行监管。 网络出口配置 1 台高端路由器，路由器实现外部网络互联，并提供 能，配置 1 台应用控制网关，实现对出口带宽的灵活调配，并实现对用户行为进行审计和监管。并通过核心交换机的防火墙模块实现对网络区域的隔离和访问控制。 网络出口路由器应具备以下功能和特性： 在可靠性方面，路由器应支持电源 、处理系统的冗余备份。 在性能方面，路由器应提供高性能转发，并具有优越的 理能力。 在业务特性方面，路由器支持丰富的 性，可保障重要业务得到优先转发；支持 平稳过渡到下一代网络。 在安全性方面，路由器有安全机制保障所承载业务的安全。 基于上述因素，我们建议出口路由器采用 端路由器。 应用控制网关选用 业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的 校园网络设计方案 第页 , 共 44 页 13 M 带宽滥用、“地下” 一拖 N”、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，可对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的 滤功能，进而帮助用户优化其网络资源，全面了解网络应用模型和流量趋势，开展各项业务提供有力的支撑。 有以下优点： 强大的 M 业务监控 通过 期积累的状态机检测技术，能精确检测 雷）、骡）、 驴）、 近百种 时，可基于时间、用户、区域、应用协议等，对 M 应用进行告警、限流、干扰或阻断。 完善的安全审计系统 可对各种 M、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，事后对历史数据进行分析，为用户提供细粒度的网络行为审计管理系统。 强大的过滤功能 通过自定义 址、主机名、正则表达式等方式设置 征库，支持根据不同的 略设置不同的响应方式，支持根据时间表对不同 的 略设置不同的响应动作，避免保密信息的外泄，免受非法信息的干扰，确保网络的健康使用。 丰富的报表 提供业务流量趋势图、流量分布图、 用户列表、 应用协议列表等报表，并支持按照用户名 /用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，使用户能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提供依据。 全面地识别“地下” 持对 桥、 近百种协议或网关的呼叫识别、阻断或干扰。目前， 唯一能实现对 种通信模式进行实时有效控制的厂商。 校园网络设计方案 第页 , 共 44 页 14 领先的“一拖 N”清理技术 采用业界流行的 迹检测技术、时钟偏移检测技术，结合多种应用层特征检测技术如应用特征检测、流量 /连接数统计、 测、 址检测等，能实时准确的识别出以 式进行共享接入的用户以及准确的 量，并实施告警、阻断等控制措施。 用户行为分析 采用先进的技术分析手段，全面分析网络应用的流量类型和流量流向趋势，统计网络热点，发掘业务增长点；分析用户行为，统计用户兴趣，为 个性化运营提供依据，并通过开放的平台接口，与第三方业务平台对接，提供高附加值业务，如在用户行为兴趣分析的基础上提供定向 告服务。 高性能、高可靠性 基于新一代多核 核架构及分布式搜索引擎，同时配合高容量的交换背板，确保 各种大流量、复杂应用的环境下，仍能具备千兆级线速业务处理能力，仅有微秒级时延。 通过掉电保护（ 二层回退等高可靠性设计，确保 断电、软硬件故障或链路故障的情况下，网络链路仍然畅通，保证用户业务的不间断正常运行。 及时的特征库更新 业安全团队密切跟踪应用变化，并对应用协议特征库及时更新；支持在线自动 /手动升级方式，升级过程无需重启系统，不影响系统业务运行。 入层设计 接入层实现各终端电脑的高速接入，根据各业务系统的分布，可采用千兆到桌面以及百兆到桌面两种方案。 对于办公大楼、图书馆、实验室等对网络带宽要求较高的 ,建议采用千兆到桌面的解决方案。 对于教学楼、宿舍区的接入可采用 10/100M 到终端的解决方案。 接入层交换机应具有丰富的安全特性，配合用户认证系统实现对接入用户的 校园网络设计方案 第页 , 共 44 页 15 认证计费，同时，交换机还应具有防伪 接入，对终端 种形式攻击的防护。 接入层交换机，我们建议千兆交换机选用 5100 系列交换机，百兆到桌面选用 教育行业用户专门研发的 E 系列交换机。 选用的 列交换机具有以下特点： 1、灵活的千兆接入和集群管理 51006/24/48个 10/100/1000且支持复用的 槽，充分考虑用户的带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用户投资。其中 型支持最多 2 个可扩展的万兆接口，并且支持 40G 带宽的堆叠。该系列硬件支持最大 136换容量，保证所有端口线速交换。 5100列交换机采用专利技术允许交换机利用专用互联电缆实现多达 16 台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一 时大大降低系统扩展的成本，保护了用户投资。 2、全面的接入安全策略 5100列交换机支持 点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合 为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 5100列交换机支持特有的 侵检测功能，可有效防止黑客或攻击者通过 文实施网络中逐渐盛行的“中间人”攻击，对不符合 态绑定表或手工配置的静态绑定表的非法 骗报文直接丢弃。同时支持 性，防止包括 骗、 骗、 P 欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的 击。另外，利用 信任端口特性还可以有效杜绝私设 务器，保证 境的真实性和一致性。 5100列交换机支持端口安全特性族可以有效防范基于 址的攻击。可以实现基于 址允许 /限制流量，或者设定每个端口允许的 校园网络设计方案 第页 , 共 44 页 16 地址的最大数量，使得某个特定端口上的 址可以由管理员静态配置，或者由交换机动态学习。 5100深度识别报文，支持 4包过滤功能，提供基于源 址、目的 址、目的 址、 议类型、物理端口、 定义 便交换机进行后续的处理。并且支持基于全局、 口（组）的 发，有效简化配置过程并节约硬件资源。 5100列交换机提供 集中 证方式对接入的用户进行认证，允许合法用户通过，对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、 功能，和 务器配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用 可以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。 2、完善的 障 5100列以太网交换机提供基于 性，可以对报文的 优先级进行修改等操作，并映射到每端口提供的8 个 列，队列调度提供了三种各具特色的队列调度算法，严格优先级（ 整形加权轮循（ 度算法以及 合调度算法。 5100列以太网交换机支持流量监管和带宽粒度控制，流量限速的最小粒度为 1s，确保为进入交换机的特定业务提供带宽保证，即使在网络拥塞时，也能满足一定的丢包、时延及时延抖动等 求。支持流量整形保证以太网交换机可以对输出报文速率进行控制。支持基于流的报文重定向。 3、增强的网络管理和维护的易用性 5100列交换机支持通过 现设备的远程升级，支持v1/v2/支持 通用网管平台，以及 能管理中心。支持 令行， 管， 群管理，使设备管理更方便。并且支持 加密方式，使得管理更加安全。 传统交换机对端口的镜像功能都是基于本地实现，镜像数据流无法穿越网络在核心实现统一采集、监控和分析； 5100持跨交换机的远程端口镜像功能（ 可以将接入端口的流量镜像到核心交换机上，在核心上启动网流分析（ 能，对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。 校园网络设计方案 第页 , 共 44 页 17 5100列交换机支持 缆检测功能，便于快速定位网络故障点；并支持 向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。 系列交换机具有以下特点： 全面的接入安全策略 126A/育网交换机支持特有的 侵检测功能，可有效防止黑客或攻击者通过 文实施校园网常见的“中间人”攻击，对不符合 态绑定表或手工配置的静态绑定表的非法 骗报文直接丢弃。同时支持 性，防止包括 骗、 骗、 P 欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的 击。另外，利用 信任端口特性还可以有效杜绝学生私设 务器，保证 境的真实性和一致性。 152 教育网交换机支持端口安全特性族，可以有效防范基于 址的攻击。可以实现基于 址允许 /限制流量，或者设定每个端口允许的 得某个特定端口上的 址可以由管理员静态配置，或者由交换机动态学习。 152教育网交换机有强大硬件 深度识别报文，支持 4 包过滤功能，提供基于源 址、目的 址、源 址、目的 址、 议类型、 口、 口范围、 围等定义便交换机进行后续的处理。 152 教育网交换机支持集中式 址认证和 证，支持用户帐号、 口等用户标识元素的动态或静态绑定，同时实现用户策略（ 动态下发；支持配合 司的 统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。支持对 行有效的管理。 增强的网络管理和维护的易用性 126A/育网交换机支持通过 现设备的远程升级，支持 v1/v2/支持 通用网管平台，以及 能管理中心。支持 令行， 管， 群管理，使设备管理更方便。 校园网络设计方案 第页 , 共 44 页 18 152 教育网交换机支持跨交换机的远程端口镜像 以将接入端口的流量镜像到核心交换机上，可以对全网业务和流量进行监控、优化部署和恶意攻击监控，满足校园网精细化管理的需要。 152 教育网交换机支持 缆检测功能，便于快速定位网络故障点；并支持 向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。 高性能与灵活扩展能力 126A/育网交换机具有 背板交换容量，支持所有端口线速转发，满足了教育用户对高带宽的需求。设备支持 2/4 个 行，采用固定电口和通用 灵活千兆连接方式，在降 低用户成本的同时，更好的考虑了用户后续升级的实际需求。 152 教育网交换机采用专利技术允许交换机利用专用互联电缆实现多达 16 台设备的堆叠，最大扩展至 768 个 10/100M 端口，支持 合堆叠。具有即插即用、单一 理。同时大大降低系统扩展的成本，保护了用户投资。 丰富的业务支持能力 126A/育网交换机支持 种队列调度算法，支持每个端口 4/8 个输出队列 ，可以以不同的优先级将报文放入端口的输出队列。 152 教育网交换机支持端口限速功能，限速粒度可达 64止恶意侵占网络带宽，也为网络带宽的精细化管理提供了手段。 152教育网交换机支持 括 居发现协议（ 理特性。 线网络设计 无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。 第一代无线局域网主要是采用 P（即“胖” 每一台 要单独进行配置，费时、费力、费成本； 校园网络设计方案 第页 , 共 44 页 19 第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和 安全 性以及对有线 网络 的依赖成为了第一代和第二代 品发展的瓶颈，由于这一代技术的 存了大量的网络和安全的配置，包括加密的钥匙，安全密码 (等，而 是分散在建筑物中的各个位置，一旦 配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于 以当用户接入数量 (IP 多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代 品应运而生。 第三代无线局域网采用无线交换机和 P（即“瘦” 架构，对传统 备的功能做了重新划分，将密集型的无线网络和安全处 理功能转移到集中的 换机中实现，同时加入了许多重要新功能，诸如无线网管、 线安管、 测、无缝漫游以及 使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。 室内无线覆盖将使用大量无线接入点（ 供无线网络接入服