安全生产_某大学校园网络设计方案

某大学某大学校园网络校园网络设计方案设计方案 20102010 年年 1212 月月 0101 日日 目目 录录 前前 言言3 第第 1 章章 项目概况项目概况4 1.1 项目概况4 1.2 用户需求5 1.3 设计思路5 第第 2 章章 需求分析需求分析6 2.1 总体需求6 2.2 网络应用需求7 2.3 网络性能需求8 2.4 网络系统需求9 2.4.1 网络层次分析.9 2.4.2.IP 及路由需求分析10 2.4.3.网络安全分析.10 2.4.4.网管需求分析.10 2.4.5 对主机系统的要求.11 第第 3 章章 建设目标及原则建设目标及原则11 3.1 建设目标11 3.2 建设原则12 第第 4 章章 网络方案设计网络方案设计13 4.1 网络拓扑设计13 4.4 VLAN 划分.14 4.5 IP地址划分15 第第 5 章章 中心机房设计中心机房设计16 5.1 服务器设备选型16 5.2 软件系统设选择 18 5.2.1 系统软件.18 5.2.2 服务器软件.19 5.2.3 应用软件.20 5.2.4 工具软件.20 第第 6 章章 综合设计综合设计21 6.1 多媒体教室21 6.1.1 多媒体教室基本组成.21 6.1.2 多媒体教室的教学功能.21 6.1.3 多媒体教室的教学功能.22 6.2 电子阅览室23 6.3 多功能厅23 6.3.1 系统概述.23 6.3.2 用户需求.23 6.4 多媒体应用的支持24 第第 7 章章 网络管理设计网络管理设计25 7.1 宿舍网管理设计25 7.2 办公网管理设计25 7.3 全 IP 数字监控网络设计26 7.4 网络 QOS 设计.27 第第 8 章章 网络安全与管理网络安全与管理28 8.1 网络安全.28 8.1.1 威胁网络安全因素分析.28 8.1.2 网络安全防范措施.29 8.2 网络管理30 8.2.1 网络管理的内容.30 8.2.2 网络管理的手段.30 8.3 网络安全策略配置32 8.3.1 安全接入和配置32 8.3.2 拒绝服务的防止.33 8.3.3 访问控制.33 8.4 电源系统 33 第第 9 章章 综合布线设计综合布线设计33 9.1 综合布线的设计原则.33 9.2 各系统及网络设计 .36 9.2.1 工作区子系统（Work Area）及其网络设计36 9.2.2 配线子系统（Horizontal）及其网络设计.37 9.2.3 干线子系统及其网络设计37 9.2.4 设备间子系统（及其网络设计）.37 9.2.5 管理子系统及其网络设计.38 9.2.6 建筑群子系统及其网络设计.38 9.3 防雷接地39 9.3.1 设计原则.39 9.3.2 防雷防浪涌及接地系统.39 9.3.3 电源系统防雷.40 9.3.4 通讯线路雷电防护.40 9.3.5 机房内部防雷辅助措施.41 9.4 接地系统41 9.4.1 机房接地系统41 第第 10 章章 远程访问远程访问42 第第 11 章章 系统测试系统测试42 第第 12 章章 技术支持及售后服务技术支持及售后服务42 12.1 服务内容42 12.2 设计服务43 12.3 场地检查43 12.4 系统安装调试43 12.5 测试和验收44 12.6 系统后期维护和支持44 12.7 客户技术培训45 12.8 设备保修与软件升级45 前前 言言 当今的世界正从工业化社会向信息化社会转变。一方面，社会经济已由基 于资源的经济逐渐转向基于知识的经济，人们对信息的需求越来越迫切，信息 在经济的发展中起着越来越重要的作用，信息的交流成为发展经济最重要的因 素。另一方面，随着计算机、网络和多媒体等信息技术的飞速发展，信息的传 递越来越快捷，信息的处理能力越来越强，信息的表现形式也越来越丰富，对 社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话 网络向高速多媒体信息网发展。 快速、高效的传播和利用信息资源是 21 世纪的基本特征。掌握丰富的计算 机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工 作手段的要求。因此，学校校园网的有无及水平的高低，也将成为评价学校及 学生选择学校的新的标准之一。而且在网络上提供有价值、有吸引力的信息， 对一个单位或学校树立自己的形象，提高自己的知名度，以及开拓和国际上其 他学校、组织的联系和往来能够起到很显著的作用，也为学校的腾飞与发展创 造了新的契机。 第第 1 1 章章 项目概况项目概况 1.11.1 项目概况项目概况 XX 大学隶属国家教委，创办于 20 世纪中期，建校六十多年来，为国家培 养了大批有用人才，随着扩招人数的增加，旧校区越来越不能满足学校的教学 要求，因此，学校立项建设新校区。新校区占地面积约 1050 亩，建筑总面积约 38 万平方米，分教学区、学生宿舍区和运动区。教学区包括图书馆、综合教学 楼、院系实验楼、行政办公楼、外事活动中心、科技中心等。学生宿舍区包括 五栋高层学生公寓、教师公寓及二十几栋栋多层学生宿舍，运动区包括体育馆、 运动场、看台等。新校区建成后将具有一流的校舍建筑和优美的学习环境，同 时还具有国内最先进的智能化教学设施，以满足发展的可持续的信息化时代和 教学改革的要求，适应 21 世纪国家级大学的现代化教学要求。 为了进一步推动学校信息化的建设，扩大校园网的覆盖面，改善学生学习 条件，为学生创造一个更为便利的学习环境。经过我公司对 XX 大学新址建筑的 了解及勘查，对旧校址网络现状的考查及新建网络需求的分析，我公司对此 XX 大学网络建设做了如下的方案计划。 1.21.2 用户需求用户需求 XX 大学随着学校教学和学生网上应用的增长，新校区校园网必须以光纤连 接全校近 70 栋楼宇，必须覆盖了 99%的教学办公场所和 99%的学生宿舍。共布 有 2 万多个网络端口，其中约 1.5 万多个布线端口将来要连通网络设备，共接 入计算机 1 万多台，有固定注册用户 8000 人。XX 大学同时提出了“XX 大学万 兆校园网的建设思路”，明确要求新校区的网络总体要做到以下七点： 1）要适应高校的网络特点要求：用户数量庞大，网络应用复杂，不能在终 端上限制网络用户行为，只能在网络设备上解决网络问题； 2）要能够达到轻载要求：低负载，高带宽，最简单，最有效； 3）要具有先进的技术性：支持线速转发，具备高密度的万兆端口，核心设 备支持 T 级以上的背板设计，硬件实现 ACL、QoS、组播等功能； 4）要稳定、可靠：确保物理层、链路层、网络层、病毒环境下的稳定、可 靠； 5）要有健壮的安全：不以牺牲网络性能为代价，实现病毒和攻击的防护、 用户接入控制、路由协议安全； 6）要易于管理：具备网络拓朴发现、网络设备集中统一管理、性能监视和 预警、分类查看管理事件的能力； 7）要能实现弹性扩展：包括背板带宽、交换容量、转发能力、端口密度、 业务能力的可扩展。 1.31.3 设计思路设计思路 进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、 任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准 确的描述；其次，在应用需求分析的基础上，确定学校 Intranet 服务类型，进而 确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面 的目标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和学校主要 建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在 技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划 校园网建设的实施步骤。 校园网总体设计方案的科学性，应该体现在能否满足以下基本要求方面： 1）整体规划安排； 2）先进性、开放性和标准化相结合； 3）结构合理，便于维护； 4）高效实用； 5）支持宽带多媒体业务； 6）能够实现快速信息交流、协同工作和形象展示。 第第 2 2 章章 需求分析需求分析 2.12.1 总体需求总体需求 在校园网络中，视频、音频、数据集于一身，如果保证不了高带宽、又多 种视频、音频、数据流混杂在一起进行传输，就没法对流做出最高优先级和次 高优先级及底优先级的分类，这样就不能保证重要业务的畅通，造成网络延迟、 服务不可用。所以要想真正改变网络的效率，更有效的保证应用服务的运营， 需要通过端到端的 QOS，智能到边缘的方式来保证。通过智能到边缘，端到端 的应用方式，可以减少对网络核心设备的消耗，这样保证了网络的有效畅通。 可以对园区网应用中的，多媒体视频点播服务、数据备份服务、文献传递服务、 E-mail 服务、数据库服务器等服务。对不同服务流进行详细的分类，划分优先 级，以及尽可能地避免发生拥塞。同时保证网络的高效运行，充分利用现有的 带宽。 在园区网络中，存在多样的网络设备及系统应用环境，并且要考虑在用户 迅速增长的今天，考虑到网络设备的可扩展性。保证在多样网络设备，用户不 断增加的环境中，仍能保证网络畅通。所以万兆骨干网络平台就应具有良好的 兼容性和可扩展性，能与当前校园网络无缝衔接，同时预留空间符合当前和以 后的信息建设需要和足够的升级空间。 在校园网络建设中存在多用户,多服务的现状。带来了对网络系统要求具有 高效率等，以保证大数据量访问下有效的处理能力。针对需求设备要能对数据 做到分布式处理，这样的分布式处理可以节省主交换引擎的消耗。使数据在独 立的板卡上就能做出对数据的识别，这样比在中央处理器识别要快的多。并在 大量的数据应用，数据传输的过程中，要保证所有硬件设备都可以进行快速的 转发，要具备高背板带宽（交换容量），所有端口都能保证线速转发。这种分 布式处理可以极大地提高整体处理能力，保证了网络畅通。 现在的网络环境中稳定可靠是争相谈论的话题，因现在在网络中运行了众 多重要应用及服务，是要保证 7*24 小时不间断的服务。就要完全能保证网络设 备全天后的可用性。即使在设备出现问题时切换到备用设备的过程中，也要保 证较小的延迟，以满足网络应用中的有效畅通的需要。在这样的需求中利用， 冗余的管理交换引擎、冗余的电源等关键部件的冗余，支持 （802.1D、802.1W）802.1S 多 Vlan 生成树协议保证链路级的冗余和负载均衡， 支持 VRRP、OSPF 等三层路由协议保证路由级的冗余，支持 load balancing 技 术实现了应用级的冗余备份和负载均衡。全方位的完全保证了设备、网络、应 用系统的可靠性。 在校园网络中，对于校园网的安全保障十分重要：校园网的信息点分布很 广，与一般企业网比较，校园网用户的流动性大，信息点存在随意接入使用的 问题。学生及外来不明身份的用户，在校园网中找到任何一个信息点，就可以 进入到校园网，可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。 另外校园网的网络安全，还需要考虑与外网及内网不同应用系统之间的安全访 问控制。为了发生安全事件后，能够有效、快捷地处理事故，采用上网审计手 段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐，一个健壮 的网络应该提供必要的手段，禁止特定病毒的传播以及由于病毒造成的流量拥 塞。 2.22.2 网络应用需求网络应用需求 这方面的需求不同学校有着明显不同，大体都可以分为，教学、科研、办 公、服务这四方面应用。教师可以方便地浏览和查询网上资源，进行教学和科 研工作；学生可以方便地浏览和查询网上资源实现远程学习；通过网上学习学 会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财 务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实 现网上信息采集和处理的自动化，实现信息和设备资源的共享，所以对教学、 科研方面的网络设计应考虑稳定、扩展、安全等问题；办公、服务等带宽是要 着重考虑的方面，所以学校应该根据自己的实际情况来考虑网络的结构，及安 全问题。 校园网在信息服务与应用方面应满足以下几个方面的需求： 1）学校主页。学校应建立独立的 WWW 服务器，在网上提高学校主页等服务， 包括校情简介、学校新闻、校报（电子报）、招生信息以及校内电话号码和电 子邮件地址查询等。 2）文件传输服务。考虑到师生之间共享软件，校园网应提供文件传输服务 （ftp）。文件传输服务器上存放各种各样自由软件和驱动程序，师生可以根据 自己需要随时下载并把它们安装在本机上。 3）校园网站建设（WWW、FTP、E-mail、DNS、PROXY 代理、拨入访问、流 量计费等）； 4）多媒体辅助点播教学兼远程教学：校园网要求具有数据、图像、语音等 多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满 足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最 大可能地降低网络传输的延迟。 5）校园办公管理； 6）学校教务管理； 7）校园通卡应用； 8）网络安全 FIREWALL； 9）图书管理、电子阅览室； 10）系统应提供基本的 Web 开发和信息制作的平台。 2.32.3 网络性能需求网络性能需求 性能需求：有服务效率、服务质量、网络吞吐率、网络响应时间、数据传 输速度、资源利用率、可靠性、性能/价格比等； 根据本工程的特殊性，语音点和数据点使用相同的传输介质，即统一使用 超 5 类 4 对双绞电缆，以实现语音、数据相互备份的需要； 对于网络主干，数据通信介质全部使用光纤，语音通信主干使用大对数电 缆；光缆和大对数电缆均留有余量；对于其他系统数据传输，可采用超 5 类双 绞线或专用线缆。 学校网内部的接入用户是在校学生和教工，上网的时间相对比较集中（主 要集中在晚间和节假日），所以在此时段网络访问流量会较大，在一些特殊时 候可能会出现大量的网络突发流量。 2.42.4 网络系统需求网络系统需求 科学规划网络系统结构，合理配备核心层、汇聚层以及接入层网络设备与 端口，保证核心网络设备的性能和扩展性，优化接入层网络设备，建设万兆核 心网、千兆骨干网、百兆到桌面的高效网络。将内外网区域划分开，确内网区 域资源安全，本次主要建设内网区域。合理部署网络安全措施，在接入层即可 防止一些网络攻击，提高网络接入的安全性。 建立全网统一管理系统，包含对 网络设备的统一管理和配置；建立高效的网络性能监视与预警机制。 .1 网络层次分析网络层次分析 根据本校网络的实际情况，网络应包括核心、汇聚和接入三个层次，其中 核心层由大容量高性能以太网交换机组成，汇聚层由高性能宽带接入交换机组 成，接入层由快速智能网管型交换设备组成。 1)核心层需求分析 核心设备担负着连接汇聚设备和部分接入的工作，是整个网络的核心，同 时通过核心设备与教育网、Internet 进行互联。由于核心层设备担负着整个网 络的流量，核心设备和链路的稳定性将直接影响整个网络的可靠运行。 2)汇聚层需求分析 汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层 设备的所有通信量，并提供到核心层的上行链路。而汇聚层也是整个校园网的 边缘，都可以进行堆叠、以扩展，还承担了网关和三层路由转发功能的重担。 作为网络的骨干交换机，并具有快速数据交换能力和全双工能力，可提供容错 等智能特性，还支持扩充选项及第三层交换中的虚拟局域网(VLAN)等多种功能。 3)接入层需求分析 接入层在整个学校校园网络的边缘，广大师生通过接入设备接入校园网络。 根据目前的业务需求，安全和高效是必需的要求，需要交换机支持访问控制、 传输质量控制、数据过滤、网络病毒防护等功能，即作为接入网络的入口设备， 智能识别是一项十分重要的功能。 2.4.2.IP2.4.2.IP 及路由需求分析及路由需求分析 在网络规划中，IP 地址方案的设计至关重要，好的 IP 地址方案不仅可以 减少网络负荷，还可以为以后的网络扩展打下良好的基础。在本校园网络的 IP 地址分配上要体现可扩展性、连续性、可管理性、简化路由。 根据网络结构，设计比较适合的路由协议。能够实现优化的网络路径选择， 在网络结构发生变化时路由能够快速收敛，保证网络的畅通。 在 IP 地址的规划时要考虑到路由汇聚，以便可以汇聚成较少条数的路由信 息向其他区域传送。 .4.3.网络安全分析网络安全分析 学校校园络作为信息化建设的基础平台，为学校提高自身的核心竞争力提 供了新的突破口。与此同时，网络社会与生俱来的不安全因素，如病毒、黑客、 非法入侵，不健康信息等，也无时无刻不在威胁着网络的健康发展，而成为校 园网建设中不容忽视的问题。一方面，网络用户成分越来越多样化，出于各种 目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到校 园教学领域。 因此，校园网络项目中需要具有先进性、标准性、有特色的，并且考虑今 后扩展性的的整体安全解决方案。 .4.4.网管需求分析网管需求分析 网络管理中心是整个网络的核心，一个完善的网络管理系统是网络能够稳 定可靠运行的保证。 好的网络管理平台能够确保教学管理业务不致中断，这对于网络系统是至 关重要的；高性能的网络有助于提高工作效率和学校的竞争力，网络管理员必 须确保这些网络应用能顺利运行，另外可以降低网络维护的成本。 由于高校宿舍网节点众多，因此无法一体化管理众多的设备和用户、出现 网络故障无法快速定位、IP 地址盗用、IP 地址冲突等问题日益严重，如何利用 有限的人力物力对网络进行高效管理也成为高校宿舍网建设考虑的着重点。 .5 对主机系统的要求对主机系统的要求 1、主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力； 2、主机系统应具有高的可靠性，能长时间连续工作，并有容错措施； 3、支持通用大型数据库，如 SQL、Oracle 等； 4、具有广泛的软件支持，软件兼容性好，并支持多种传输协议； 5、能与 Internet 互联，可提供互联网的应用，如 WWW 浏览服务、FTP 文 件传输服务、E-mail 电子邮件服务、NEWS 新闻组讨论等服务； 6、支持 SNMP 网络管理协议，具有良好的可管理性和可维护性； 第第 3 3 章章 建设目标及原则建设目标及原则 3.13.1 建设目标建设目标 1、满足计算机教学科研、行政办公需要，提供各种教学、办公工具和支撑 平台，并提供丰富的计算机软硬件系统资源。 2、具有完善的办公事务处理能力，包括电子公文传递、电子公文管理、电 子邮件、邮件收发等无纸办公自动化功能。 3、满足信息情报交流的需要，方便学校各级领导和教学科研人员对各种信 息资料、科技情报的检索和查阅。包括 Web 查询、电子公告、电子新闻等。 4、具有远程通信能力，借助电话网等通信手段，以最低的通信成本，方便 地实现远程互联，跨越地域限制，满足学校要求，加强各单位之间的业务联系 和信息资源共享。 5、具有收集、处理、查询、统计各类信息资源的能力，充分利用原有数据 资源，为学校领导提供准确、快捷的数字信息，实现数据化管理和智能化决策。 6、学校网络系统要确保整个计算机网络系统的可靠性、安全性，具有一定 的冗余。容错能力强，确保信息处理安全保密。 7、学校信息网络系统要保证实用和技术先进，便于非计算机专业人员使用， 并能不断满足学校未来业务发展的需要，具有很强的扩展能力。 3.23.2 建设原则建设原则 校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适 当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益 出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使 用的设计。 根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目 标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。 我们遵循以下的原则进行网络设计： 1.实用性和经济性 网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则， 建设的万兆骨干网络平台，保护用户的投资。 2.先进性和成熟性 网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、 工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在 未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技 术来构建网络主干线路。 3.可靠性和稳定性 在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性 能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性 和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领 导厂商，其产品的可靠性和稳定性是一流的。 为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启 用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障 后骨干网络平台的可用性。 4.安全性和保密性 在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离， 因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包 括端口隔离、路由过滤、防 DDoS 拒绝服务攻击、防 IP 扫描、系统安全机制、 多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多 种的保护机制，如划分 VLAN、IP/MAC 地址绑定（过滤） 、ACL、路由过滤、防 DDoS 拒绝服务攻击、防 IP 扫描、802.1x 认证机制、SSH 加密连接等具体技术 提升整个网络的安全性。 5.可扩展性和可管理性 由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要 的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐 渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最 好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要 更换相应模块，而不需要更换整个设备。 为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投 资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高 密度端口的设备，便于将来升级和扩展。 先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全 线采用基于 SNMP 标准的可网管产品，达到全程网管，降低了人力资源的费用， 提高网络的易用性、可管理性，同时又具有很好的可扩充性。 第第 4 4 章章 网络方案设计网络方案设计 4.14.1 网络拓扑设计网络拓扑设计 局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络 结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器 仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法 为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输 都必须经过中央节点来处理，因此，对中央节点的要求比较高。 优点是网络结构简单，易于维护，便于管理（集中式） ；每台入网机均需 物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务） ， 因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不 影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。 局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办 公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速 度较快，较适于开发使用。 根据我们的设计，XX 大学网络拓扑结构图如图 1 所示。 图 1 XX 大学网络拓扑结构图 4.2 网络设备选型：网络设备选型： 4.2.1 核心：核心：S10500 1.先进的 CLOS 多级多平面交换架构 采用先进的 CLOS 多级多平面交换架构，提供持续的带宽升级能力。 支持 40GE 和 100GE 以太网标准，充分满足无阻塞园区网的应用及未来发展需求。 独立的交换网板卡，控制引擎和交换网板硬件相互独立，最大程度的提高设备可靠性，同 时为后续产品带宽的持续升级提供保证。 2.创新的分布式多引擎设计 采用了创新的硬件设计，通过全分布式的独立控制引擎、检测引擎、维护引擎为系 统提供强大的控制能力和 50ms 的高可靠保障； 分布式的控制引擎，所有业务板均提供强大的控制处理 系统，轻松处理各种协议报文及控 制报文，并支持协议报文精细控制，为系统提供完善的抗协议报文攻击的能力； 分布式的检测引擎，所有业务板都可以分布式的 BFD、OAM 等快速故障检测，并与控制平面 的协议实行联动，支持快速保护切换和快速收敛，可以实现 50ms 的故障检测，保障业务 不中断； 分布式的维护引擎，智能化 CPU 系统支持电源智能管理，可以支持单板顺序上下电（降低 单板同时上电带来的电源冲击，提高设备寿命，降低电磁辐射，降低系统功耗），设备在 线状态检查。 3.IRF2（第二代智能弹性架构） 面向园区网横向业务整合的需求，S10500 支持 IRF2（第二代智能弹性架构）技术，将 多台高端设备虚拟化为一台逻辑设备，在可靠性、分布性和易管理性方面具有强大的优势， 主要体现在三个方面： 1.可靠性：通过专利的路由热备份技术，在整个虚拟架构内实现控制平面和数据平面所有 信息的冗余备份和无间断的三层转发，极大的增强了虚拟架构的可靠性和高性能，同时消 除了单点故障，避免了业务中断； 2.分布性：通过分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份， 从而提高整个网络架构的冗余性和链路资源的利用率； 3.易管理性：整个弹性架构共用一个 IP 管理，简化网络设备管理，简化网络拓扑管理，提 高运营效率，降低维护成本。 4.完善的安全机制 S10500 系列秉承 H3C 公司的开放架构设计理念开放应用架构（OAA）支持防火墙 模块、IPS 模块、负载均衡等安全控制模块，可以将安全保护功能扩展到交换机的每个端 口；支持虚拟防火墙功能，可以为 VPN 用户提供网络防火墙的租用服务。实现了网络业务 和安全业务的无缝融合。 支持用户分级管理和口令保护，对登录用户进行认证，并且不同级别的用户有不同的 配置权限，用户认证方式包括：AAA 认证、RADIUS 认证等认证方式等；支持 SSHv2.0，为 用户登录提供安全加密通道；支持标准和扩展 ACL，可以对报文进行过滤，防止网络攻击； 支持控制平面的多级保护机制，防止 DoS / DDoS 攻击；支持 uRPF 技术，防止基于源地址 欺骗的网络攻击行为。 5.无线一体化解决方案 S10500 系列集成无线控制模块，实现有线无线一体化解决方案。无线控制模块提供丰 富的业务能力，包括精细的用户控制管理、完善的 RF 管理及安全机制、快速漫游、超强的 QoS 和对 IPv6 的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用 户的端点准入防御，提高了整网的安全性。 6.全面的 IPv6 解决方案 IPv6 作为下一代网络的基础协议以其特有的技术优势得到广泛的认可，S10500 系列 全面支持 IPv6 协议族，支持 IPv6 静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等 IPV6 路 由协议，支持丰富的 IPv4 向 IPv6 过渡技术，包括：IPv6 手工隧道、6to4 隧道、ISATAP 隧道、GRE 隧道、IPv4 兼容自动配置隧道等隧道技术，保证 IPv4 向 IPv6 的平滑过渡。 4.2.2 汇聚：汇聚：S5800V2 高密万兆接入高密万兆接入 随着用户端带宽不断提高，交换机需要提供更高的转发性能和万兆端口扩展能力。 S5820V2-52Q 支持 48 个 10G Base-T 端口及 4 个 40G QSFP 端口； S5820V2-52QF 和 S5820V2-52QF-U 支持 48 个 SFP+光口及 4 个 QSFP 端口；S5820V2-54QS-GE 支持 4 个 SFP+光 口及 2 个 QSFP 端口，每个 QSFP 端口均可通过转接线缆转换为 4 个线速转发的 SFP+万兆光 口。因此，S5820V2-52Q/52QF/52QF-U 交换机最大可支持 64 个万兆端口，S5820V2-54QS- GE 最大也可以支持 12 个万兆端口，满足了数据中心对高密万兆接入的需求。 IRF2IRF2（第二代智能弹性架构）（第二代智能弹性架构） 面对数据中心统一交换架构的应用需求，S5820V2 支持 IRF2（第二代智能弹性架构）技 术，将多台设备虚拟化为一台逻辑设备，在扩展性、可靠性、整体架构和可用性方面具有 强大的优势，主要体现在四个方面： 扩展性：IRF2 技术允许交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一 IP 管理，同步升级的优点，同时大大降低系统扩展的成本。 可靠性：通过专利的路由热备份技术，在整个 IRF2 组内实现控制平面和数据平面所有 信息的冗余备份和无间断的三层转发，极大的增强了 IRF2 组的可靠性和高性能，同时消除 了单点故障，避免了业务中断。 分布性：通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提 高整个网络架构的冗余性和链路资源的利用率。 可用性：通过标准的万兆以太网接口实现智能弹性架构，可以根据需求分配业务带宽和 系统连接带宽，合理分配本地流量与上行流量；不仅可以实现机架内、跨机架，甚至跨区 域的远距离智能弹性架构。 VCFVCF（纵向融合架构）（纵向融合架构） S5820V2 支持 VCF(纵向融合架构）技术。VCF 支持将盒式设备作为远程接口板加入主设 备系统，在纵向维度实现对系统的异构扩展，用户可以将整个系统看成单一的逻辑设备进 行统一管理和使用。VCF 可以为用户带来以下好处： 统一管理：VCF 架构形成之后，连接到主设备就可以集中配置和管理架构内的所有成员， 而不用物理连接到每台成员设备上单独配置。 统一安全策略：整网的安全策略只需在主设备上进行配置，避免了对全网设备逐一配置 所带来的潜在策略冲突，并大幅降低了安全部署工作量。 简化网络层级：支持大规模的远程接口板扩展能力，传统需要三层网络架构才能实现的 组网结构通过 VCF 可以简化为二层组网，网络的物理和逻辑层次更加简单。 简化业务：VCF 架构中的各种业务配置基于单一逻辑设备进行配置，这样可以大幅简化 整网的 VLAN、IP、路由、MPLS VPN 等规划注意事项。 方便维护：所有接入设备的配置和软件版本均由主设备自动分配，新增设备的加入或离 开时可以实现“热插拔”和零配置，不影响其他设备的正常运行，整网的故障排除也是单 点的。 丰富的数据中心特性丰富的数据中心特性 S5820V2 系列交换机支持边缘虚拟桥 EVB (Edge Virtual Bridging)，通过 VEPA (Virtual Ethernet Port Aggregator)模式实现将虚拟机 VM(Virtual Machine)产生的数 据流量上传至与服务器相连的物理交换机进行处理。不仅实现了虚拟机之间的流量转发， 同时还解决了虚拟机与网络之间的连接与管理边界问题。 FCoE 技术实现了在以太网中对 FC 报文的承载，使得 FC SAN 网络和以太网 LAN 网络可共 享同一网络基础设施，很好的解决了不同类型网络共存所带来的问题。S5820V2 系列交换 机支持完整的 FCoE 及 FC 协议栈，所有的下行 SFP+端口均可以切换为 FCoE 端口，与支持 FCoE 接口的存储设施直接互通。部分款型的下行 SFP+端口还可以切换为 FC 端口与 FC SAN 互通，实现 FC SAN 网络与以太网络的完全融合，大大简化了整网基础设施。 TRILL（Transparent Interconnection of Lots of Links，多链路透明互联）技术是 一种改变传统数据中心网络构建方式的创新技术，它将三层路由的稳定可扩展高性能等优 点引入到适应性强、但性能和组网范围受限的二层交换网络之中， 建立了一个灵活、易扩 展的高性能二层网络架构。采用支持 TRILL 技术的 S5820V2 系列交换机是构建大型的、高 性能易扩展、并支持服务器虚拟机动态迁移的云数据中心网络的理想选择。 软件定义网络（Software Defined Network，SDN）是一种创新的网络架构体系。其核 心技术 Openflow 通过将网络的控制层和数据转发层进行分离，大幅简化了网络的管理及维 护难度，更为重要的是实现了网络流量的灵活控制，为核心网络及应用的创新提供了良好 的网络平台。 S5820V2 系列交换机支持 DCB （Data Center Bridging），并支持 ISSU（不中断业务升 级）、OAM（操作、管理和维护）及能效以太网（EEE），充分满足了数据中心对设备高性 能、易管理及绿色节能的需要。 灵活的风道方向选择灵活的风道方向选择 为了更好的配合数据中心的风道设计，H3C S5820V2 系列交换机为用户提供了更灵活的 风道方案，在实现前后风道的同时，用户还可以通过选择不同的风扇框来实现不同的风向 （从前往后或者从后往前）。 完善的安全控制策略完善的安全控制策略 H3C S5820V2 系列交换机支持 AAA，RADIUS 认证，支持用户帐号、IP、MAC、VLAN、端口 等用户标识元素的动态或静态绑定；支持配合 H3C 公司的 iMC 平台对在线用户进行实时的 管理，及时的诊断和瓦解网络非法行为。 H3C S5820V2 系列交换机提供增强的 ACL 控制逻辑，支持大容量的入端口和出端口 ACL，并且支持基于 VLAN 的 ACL 下发，在简化用户配置过程的同时，避免了 ACL 资源的浪 费。另外，S5820V2 系列交换机还将支持单播反向路径查找技术（uRPF），原理是当设备 的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制 定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可 以有效杜绝网络中日益泛滥的源地址欺骗。 多重可靠性保护多重可靠性保护 H3C S5820V2 系列交换机具备设备级和链路级的多重可靠性保护。采用过流保护、过压 保护和过热保护技术，所有机型都支持可插拔的冗余电源模块，也就是说可以根据实际环 境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警， 可以根据温度的变化自动调节风扇的转速，这些设计使设备具备了很高的可靠性。 除了设备级可靠性以外，S5820V2 还支持丰富的链路级可靠性技术，比如 H3C 独创的 RRPP 快速环网保护机制，VRRPE 和 Smart link。当网络上承载多业务、大流量的时候也不 影响网络的收敛时间，保证业务的正常开展。 出色的管理性出色的管理性 H3C S5820V2 系列交换机支持丰富的管理接口，例如 Console、带外网口、USB 口，支持 SNMPv1/V2/v3，支持 iMC 智能管理中心。支持 CLI 命令行，Web 网管，TELNET 及 FTP 配置， 使设备管理更方便，并且支持 SSH2.0、SSL 等加密方式，使得管理更加安全。 4.2.3 接入：接入：S3100EI 全面的接入安全策略全面的接入安全策略 H3C S3100-EI 系列交换机支持 EAD（端点准入防御）功能，配合后台系统可以 将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安 全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管 理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管 理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 H3C S3100-EI 系列交换机支持特有的 ARP 入侵检测功能，可有效防止黑客或攻 击者通过 ARP 报文实施日趋盛行的“ARP 欺骗攻击”，对不符合 DHCP Snooping 动态绑定表或手工配置的静态绑定表的非法 ARP 欺骗报文直接丢弃。同时支持 IP Source Check 特性，防止包括 MAC 欺骗、IP 欺骗、MAC/IP 欺骗在内的非法地 址仿冒，以及大流量地址仿冒带来的 DoS 攻击。另外，利用 DHCP Snooping 的 信任端口特性还可以有效杜绝私设 DHCP 服务器，保证 DHCP 环境的真实性和一 致性。 H3C S3100-EI 系列交换机支持端口安全特性族，可以有效防范基于 MAC 地址 的攻击。可以实现基于 MAC 地址允许/限制流量，或者设定每个端口允许的 MAC 地址的最大数量，使得某个特定端口上的 MAC 地址可以由管理员静态配置，或者 由交换机动态学习。 H3C S3100-EI 系列交换机有强大硬件 ACL 能力，能深度识别报文，支持 L2L4 包过滤功能，提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、IP 协议类型、TCP/UDP 端口、TCP/UDP 端口范围、VLAN、VLAN 范 围等定义 ACL，以便交换机进行后续的处理。并且支持基于端口、VLAN、全局定 义和下发 ACL 策略 H3C S3100-EI 系列交换机支持集中式 MAC 地址认证和 802.1x 认证，支持用 户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用 户策略（VLAN、QoS、ACL）的动态下发；支持配合 H3C 公司的 CAMS 系统对 在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。支持对 Proxy 进行 有效的管理。 增强的网络管理和维护的易用性增强的网络管理和维护的易用性 H3C S3100-EI 系列交换机支持通过 FTP、TFTP 实现设备的远程升级，支持 SNMP v1/v2/v3，可支持 Open View 等通用网管平台，以及 iMC 智能管理中心。 支持 CLI 命令行，Web 网管，Telnet，HGMP 集群管理，使设备管理更方便。 H3C S3100-EI 系列交换机支持跨交换机的远程端口镜像 RSPAN，可以将接入端 口的流量镜像到核心交换机上，可以对全网业务和流量进行监控、优化部署和恶意 攻击监控，满足园区网精细化管理的需要。 H3C S3100-EI 系列交换机支持 VCT（Virtual Cable Test）电缆检测功能，便 于快速定位网络故障点；并支持 DLDP（Device Link Detection Protocol）单 向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率， 切实将设备的易用性带给用户。 高性能与灵活扩展能力高性能与灵活扩展能力 H3C S3100-EI 系列交换机具有 19.2G 的背板交换容量，支持所有端口线速转发， 满足了用户对高带宽的需求。设备支持 2 个 GE 上行，采用 2 个固定 10/100/1000 兆自适应电口和 2 个复用的通用 SFP 端口，并且 SFP 端口既可以 支持百兆光模块，也可以支持千兆光模块，在降低用户成本的同时，更好的考虑了 用户后续升级的实际需求。 H3C S3100-EI 系列交换机采用专利技术，允许交换机利用专用互联电缆实现多 达 16 台设备的堆叠，最大扩展至 384 个 10/100M 端口，支持不同端口设备的 混合堆叠。具有即插即用、单一 IP 管理。同时大大降低系统扩展的成本，保护了 用户投资。 丰富的业务支持能力丰富的业务支持能力 H3C S3100-EI 系列交换机支持 PoE（Power over Ethernet）技术，通过以太 网对所连接的设备（如 IP Phone, Wireless AP 等）进行远程供电，从而使得不 必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和 管理成本。 H3C S3100-EI 系列交换机支持 SP（Strict Priority） 、WRR（Weighted Round Robin） 、SP+WRR 三种队列调度算法，支持每个端口 4 个输出队列，可 以以不同的优先级将报文放入端口的输出队列。 4.3 网络安全网络安全 4.3.1 防火墙：防火墙：F1000-EI 扩展性最强扩展性最强 基于 H3C 先进的 OAA 开放应用架构，SecPath 防火墙能灵活扩展病毒防范、网 络流量监控和 SSL VPN 等硬件业务模块，实现 2-7 层的全面安全。 强大的攻击防范能力强大的攻击防范能力 能防御 DoS/DDoS 攻击（如 CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood 等） 、ARP 欺骗攻击、TCP 报文标志位不合法攻击、Large ICMP 报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、 MAC 绑定、内容过滤等先进功能。 增强型状态安全过滤增强型状态安全过滤 支持基础、扩展和基于接口的状态检测包过滤技术；支持 H3C 特有 ASPF 应用层 报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持 对应用层协议的状态监控。 丰富的丰富的 VPN 特性特性 集成 IPSec、L2TP、GRE 和 SSL 等多种成熟 VPN 接入技术，保证移动用户、合 作伙伴和分支机构安全、便捷的接入。 应用层内容过滤应用层内容过滤 可以有效的识别网络中各种 P2P 模式的应用，并且对这些应用采取限流的控制措 施，有效保护网络带宽；支持邮件过滤，提供 SMTP 邮件地址、标题、附件和内 容过滤；支持网页过滤，提供 HTTP URL 和内容过滤。 全面全面 NAT 应用支持应用支持 提供多对一、多对多、静态网段、双向转换 、Easy IP 和 DNS 映射等 NAT 应用 方式；支持多种应用协议正确穿越 NAT，提供 DNS、FTP、H.323、NBT 等 NAT ALG 功能。 全面的认证服务全面的认证服务 支持本地用户、RADIUS、TACACS 等认证方式，支持基于 PKI/CA 体系的数字 证书（X.509 格式）认证功能。支持基于用户身份的管理，实现不同身份的用户 拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同 的管理配置权限。 集中管理与审计集中管理与审计 提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功 能。 4.3.2IPS：T1000A 强大的入侵抵御能力强大的入侵抵御能力 SecPath IPS 是业界唯一集成漏洞库、专业病毒库、应用协议库的 IPS 产品，特 征库数量已达 10000+。配合 H3C FIRST（Full Inspection with Rigorous State Test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。 SecPath IPS 通过了国际权威组织 CVE(Common Vulnerabilities 具备 MAC 流、IP 流、应用流、时间流等多层流分类和流控制能力， 实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不 同应用所需要的服务质量特性，提供服务。 通过从核心到接入设备全程对 QoS 的良好支持，全部硬件提供二到四层数 据流交换，实现应用感知的功能，给予多媒体办公应用提供透明的 QoS 保障， 确保真正的端到端的 QoS 的实现。 第第 8 8 章章 网络安全与管理网络安全与管理 8.18.1