小区网络规划与设计方案-毕业论文

长 春 大 学毕业设计（论文）纸 共31页第1页 装 订 线 1 1 引引 言言 近年来，许多房地产开发商在住宅小区开发时规模大小不等，近几年随着房地产 和网络信息技术的快速发展，社区建设逐渐成为开发商的主要工作。因为互联网的信 息和服务内容的不断扩展，允许用户对网络的需求急剧增加。同时，网络小区还将对 开发商和具有商业价值的社区带来新的市场机会。随着计算机技术，通信技术，控制 技术和多媒体技术的发展，小区的网络系统建设也在不断发展。 国信美邑小区用地面积 19.35 万平方米，按 1000 户规模设计，小区网及信息化 基础设施建设要充分体现 21 世纪高等小区建设水平，包括小区物业办公室，综合服 务中心，居民楼等建筑，建筑面积超过 20.47 万平方米，是一座舒适、现代化小区。 随着网络覆盖面积的增加、用户数量的扩大，以及用户对信息传输速度要求的不 断提高，网络的技术服务和用户服务的工作量和难度亦不断提高，将小区网络变得更 方便，更安全是每个开发商共同努力追求的目标。因此，在网络中添加相应的设备， 重新规划小区的 IP 地址，选取新的网络技术，使网络更安全，方便完善正是这次设 计所要解决的问题。 为此，我们根据社区的用户需求，对国信美邑小区网络系统的建设提出我们的一 些想法和设计。 长 春 大 学毕业设计（论文）纸 共31页第2页 装 订 线 2 2 网络建设的目标网络建设的目标 随着生活节奏的加速，生活质量的提高，人们需要更快的信息传输平台，所以一 个高效、安全的网络是人们生活中不可或缺的。信息技术的应用与普及，将改变传统 的住宿模式并大幅度提高信息流动速率，数字化小区、网上小区已被人们熟悉，住宅 小区正在走向全面的信息化。 在国信美邑小区建设中应推动小区信息化基础设施建设， 其最终建设目标是将国 信美邑小区建设成为一个信息化时代下的高水平的智能化、数字化小区，更好的对小 区网络进行管理。 国信美邑小区网络系统在总体上需满足以下几个原则： （1）结构化 小区内部局域网建设，除住宅楼的接入信息点外，还存在资源共享区域等等，其 功能的不同决定了不同的信息点对网络的要求和网络设计中考虑的因素不同。 当某部 分功能要求有所变化时，也只需要针对相应的功能结构进行重新设计和改造升级，对 网络的其它组成结构和网络的主干没有任何影响。基于这些优势，小区内部局域网采 用结构化的设计模式。 （2）安全性 为了保证小区内的业主使用安全，避免互相干扰，网络系统应支持多 VLAN 的划 分，并能在 VLAN 之间进行第三层交换时进行有效的安全控制，核心层部署硬件防火 墙，保护整个小区的网络安全，分布层部署软件防火墙，保护各个服务器上的数据安 全。此外，在接入小区内部网络的用户通过身份认证系统，防止用户账号、IP 地址、 MAC 地址的盗用，保证用户身份的合法性。 （3）高可管理性 为方便设计的施工以及验收，乃至以后的易维护，网络系统应注意保证整个系统 的可管理性，统一管理。 （4）高性能 在小区内部局域网中，不仅要求网络主干是高带宽的，作为一个网络的基础，接 入层设备也应该达到高速（1Gbps） 。也就是说，交换机的接入速率应该达到千兆才能 满足未来的发展趋势。 （5）可扩展性和可升级性 系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数 据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升 级。 （6）标准协议支持 长 春 大 学毕业设计（论文）纸 共31页第3页 装 订 线 网络系统应支持标准协议 IP，是一个开放型的网络，支持各种协议的互联。 （7）符合国际标准 选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能力， 满足将来系统升级的要求。 长 春 大 学毕业设计（论文）纸 共31页第4页 装 订 线 3 3 网络的设计规划网络的设计规划 3.13.1 网络建设设计原则网络建设设计原则 国信美邑小区网络系统具有覆盖面积大，计算机节点分散，数据交换频繁和实时 性要求高等特点，所以对于计算机系统的处理能力、网络远程通讯能力及系统可靠性 要求很高。根据国信美邑小区网络系统的具体特点并结合工作的具体需求，系统的建 设遵循以下原则： （1）先进性 计算机网络技术发展很快，不断有新技术、新产品涌现，我们要采用先进的、成 熟的计算机技术和网络通讯技术来满足业务的需求，保障系统有较长的生命周期，但 同时要坚持采用标准化产品。 （2）可靠性 系统能长时间稳定可靠地运行，并保证系统安全，防止非法用户的非法访问。系 统不能出现故障， 或者说即使有设备出现故障， 对网络和网上的数据不构成大的威胁， 要有设备对数据作备份。 （3）灵活性 需求会变化，计算机网络技术也在进步，需求和解决方案之间是一个动态的匹配 过程，因此，一方面要构筑一个稳固（Strong）的技术平台，另一方面也要有在这平 台上作调整、升级和扩充的灵活性。系统应具有良好的可扩展性，易于升级，支持新 业务发展需求，使原有投资得到保护，因此在目前选择方案和产品时要留出余地，选 用的产品要有好的升级扩充能力。 （4）网络开放性 网络开放性的好坏，实际是指构造网络所选用的网络硬件、软件产品的开放性如 何，网络产品是否可与其他厂商产品联网。包括是否具有支持多种网络协议的能力， 是否支持通用的国际标准，或普遍使用的工业标准等。开放性好的网络不但可以在一 个网络系统上使用其他厂家的网络产品而实现“无缝联接” ，而且为进一步的网络应 用环境的集成、为实现网络的可互操作性提供了技术基础条件。网络的开放性好，也 为网络的扩充、发展以及新的应用领域开阔了天地。否则，不仅网络的应用和发展受 到限制，而且会导致投资浪费。 （5）网络可互操作性 网络系统的可互操作性是指在一个网络上的不同厂商的系统之间是否可以透明 的以统一界面相互访问对方的系统、 文件数据以及应用系统， 以达到共享资源的目的。 另一方面，可互操作性还体现在对网络管理的可互操作性上。包括网络运行监测、网 络应用管理、网络设备管理、网络安全管理以及网络维护管理等，这些管理不仅在本 长 春 大 学毕业设计（论文）纸 共31页第5页 装 订 线 地网络上可以操作，而且能够在远程网络间进行互操作。 （6）网络的兼容性 当一个已有的网络在采用新技术或新的网络设备进行改进、扩充和升级时，这些 新的网络设施(软、硬件)是否能与原有的或其他的网络设施兼容是非常重要的。好的 兼容性可以保护原有的设备，可使新投资与原有的设备同时发挥效益。 （7）网络的可用性 建成后网络的可用性高低是网络用户最为关心的， 它也是对网络质量和网络性能 的综合衡量。可用性是网络本身很多物理特性的总体体现，如网络的带宽、网络带宽 效率、网络时延、网络负载、网络故障频率等状况。同时也是网络系统环境、网络应 用环境和网络应用的支持能力、水平和质量的总体反映。 如果一个网络能支持传统的文件与数据的传输、访问和共享，同时也能支持新型 文件如多媒体的传输、 访问和共享服务， 并且使用户的应用需求能够得到充分的满足， 那么这个网络肯定是高质量、高性能的。 （8）网络的可伸缩性 网络的可伸缩性不只是一种网络设施在构造网络时， 在规模上可依据需要扩大或 减小，而且还应体现在网络的模块化和结构化方面。网络体系结构的模块化、结构化 是现代化网络技术产品的标志和趋势。 网络管理的任意性和网络配置的简便性等是网络可伸缩性的另一重要方面。 （9）网络的经济性 一个好的网络并不是高价网络设备的简单堆积，并不是网络设备越好，网络就越 好。衡量一个网络的好坏和它的经济性，不能单看所用的投资的多少，而应以网络所 具有的功能和网络可承担的负荷，如网上的用户数、数据流量等参数去综合衡量。以 “少花钱，多办事”的原则，获得更大的经济效益和社会效益。 根据国信美邑小区局域网网络应用的特点， 主干网的选择对于网络建设的成功与 否起着决定性的作用。选择先进的主流网络技术，不但能保证整个网络的正常运行， 还能提供良好的可靠性，可用性，扩展性，不仅有力地保证了国信美邑小区各项活动 的正常进行，而且保护小区网络的各种设备运行与使用 1。 3.23.2 网络的结构化设计网络的结构化设计 层次在网络设计中的作用类似于生活中的层次。采用正确的层次，就能使网络有 可预测性，具有帮助定义区域的功能。锐捷的层次模型可以帮助设计，实现和维护可 扩展的、可靠的和性能价格比高的层次化的互联网络。小区网络的主要层次包括：接 入层（交换） 、汇聚层（路由） 、核心层（骨干） 2。 核心层是 1 台锐捷网络 RG-S-8600，虽然小区人口多，但网络带宽要求并不高， 所以用 1 台交换机做核心。 长 春 大 学毕业设计（论文）纸 共31页第6页 装 订 线 汇聚层主要是由若干个中端锐捷设备组成， 汇聚层就是小区内部每栋楼之间接入 核心的一个过渡的层次。它主要负责提供负载均衡、快速收敛和可扩展性等作用。 接入层就是用户可见的部分，主要实现用户层次的网络的接入，一般选用的都是 比较简单低端的设备。 长 春 大 学毕业设计（论文）纸 共31页第7页 装 订 线 4 4 国信美邑网络设计方案国信美邑网络设计方案 4.14.1 网络技术及接入方式的选择网络技术及接入方式的选择 4.1.14.1.1 网络技术的选择网络技术的选择 当前的网络技术主要有千兆以太交换网、FDDI、ATM 等可供选择。千兆以太网是 快速以太网的延续，是性价比很高的一种主干网技术，千兆以太网自身提供了完整的 迁移途径， 通过它可以充分保护我们对现有网络设备的投资。 前卫以太网保留了 IEEE 802.3 和以太网帧格式和管理对象规格。这一性能可以使小区网络在进行自身升级的 同时，不影响现有线缆的使用、操作系统、协议、桌面应用程序和网络管理战略与工 具。与原有的快速以太网、FDDI、ATM 等主干网解决方案相比，千兆位以太网提供了 一条最佳的路径。至少在目前看来，是改善交换机与服务器之间和交换机与交换机之 间骨干连接的可靠、经济的途径。 结合国信美邑小区网络的需求分析及其未来网络的发展潜力选择千兆以太网技 术作为组网技术，完全可以满足国信美邑小区的组网需求，也符合当前网络技术发展 的趋势。 要保证网络的传输速率，必须有一定的带宽。千兆交换式以太网可以为每个端口 提供 1G 的带宽，完全可以满足主干网的需要；未来网络的发展是不可预知的，必须 做好充分的向万兆以太网过度的准备， 千兆以太网在向万兆以太网过渡时会免去很多 麻烦事情；在网络技术的操作性以及兼容性，最主要是技术的成熟和管理等方面综合 考虑，选取千兆以太网是最佳选择。 4.1.34.1.3 采用三层交换模式采用三层交换模式 三层交换技术是二层交换技术+三层转发技术。在传统的交换技术中是第二层在 OSI 网络模型-数据链路层进行操作，而三层交换技术是在第三层中的网络模型中实 现分组快速转发。网络路由的功能可以通过应用第三层交换技术来实现，该网络性能 可以根据不同的网络条件进行优化。 使用三层交换机的好处： 除了高性能外，与二层交换机相比，三层交换机还具有一些独有的特性，这些特 性使三层交换机更有优势： (1)高可扩展性 与传统外部路由器不同，在连接多个子网时，三层交换机的子网中仅第三层交换 模块建立逻辑连接，需要增加端口，满足本地区 35 年的互联网应用。 (2)性价比高 三层交换机在功能上比传统的二层交换机更加强大，但价格上却接近二层交换 长 春 大 学毕业设计（论文）纸 共31页第8页 装 订 线 机，百兆的三层交换机几万元左右，几乎与高端的二层交换机持平。 (3)内置安全机制 三层交换机可自身具有访问列表的功能，并可以实现不同 VLAN 之间的单向或双 向通信。如果设置了访问列表，你可以限制访问特定的 IP 地址。 访问列表不仅可以为内部用户禁止访问某些站点， 也可以用于防止非法用户访问 社区内部网络，降低网络遭受攻击的几率，从而提高了网络的安全性 4。 4.1.24.1.2 网络的介入选择网络的介入选择 以太网技术成熟、成本低、结构简单、稳定性、可扩充性好; 便于网络升级，同 时可实现智能化物业管理、实时监控、家庭自动化小区/大楼/家庭保安（如远程遥控 家电、可视门铃等） 、远程抄表等，可提供智能化、信息化的办公与家居环境，以此 保证不同层次用户的需求 3。 4.1.44.1.4 采用采用 VPNVPN 方式接入方式接入 VPN 可以通过特殊的加密的通讯协议在连接在 Internet 上的位于不同地方的不 同数量居民楼内部网之间建立一条专有的通讯线路，就如同是构建了一条专线一样， 但是它其实并不需要真正的去铺设光缆之类的物理线路。 一句话，VPN 的核心就是在利用公共网络建立虚拟私有网。 结合国信美邑小区网络系统覆盖面积大，计算机节点分散，数据交换频繁和实时 性要求高等特点，在小区网络设计中选择千兆以太网技术，考虑到三层交换技术的各 种优势，我们在网络设计中将选用三层交换技术，采用 VPN 的接入方式支持小区内部 网络通信。 4.24.2 路由协议的选取路由协议的选取 因为考虑到小区网络结构较复杂， 并且在网络协议的选择方面要考虑到稳定和简 便。所以本次设计选取 RIP-2 作为路由协议。 RIP-2 是一种无类别协议（路由） ，与 RIP-1 相比，它具有以下优点： （1）支持路由标记，并可以灵活地路由标记路由策略控制。 （2）该数据包携带掩码的信息，它支持路由聚合和 CIDR（无类别的域间路由） 。 （3）支持下一跳的指定，并且可以被选择在广播网络的最佳下一跳地址。 （4）支持组播路由发送更新报文，减少资源消耗。 （5）支持协议消息的验证，并提供明确的认证和验证 MD5 加密两种方式，增强 安全性 5。 综上特点，由于 RIP 适合大小适中且简单的局域网，而且需要 VLSM 和 VLAN 的划 分，所以国信美邑小区内网选择 RIP-2 更加合适。 长 春 大 学毕业设计（论文）纸 共31页第9页 装 订 线 4.34.3 网络的拓扑结构网络的拓扑结构 计算机网络的拓扑结构是指网络设备的物理连接关系。 网络的拓扑结构主要有总 线网、环型网和星型网混合拓扑结构等。 借鉴现代网络建设的基本原则及比较了上述各种网络拓扑的优缺点后， 本次针对 小区的网络设计选择混合拓扑结构最为合理。 混合拓扑结构是由星型结构或环型结构和总线型结构结合在一起的网络结构， 这 样的拓扑结构更能满足较大网络的拓展，解决星型网络在传输距离上的局限，而同时 又解决了总线型网络在连接用户数量上的限制。 首先由于小区分为别墅区与普通住宅， 采用单一的拓扑结构根本不能满足用户的 需求，所以采用混合拓扑结构，可以弥补其他拓扑的不足之处。 其次，国信美邑小区网络内物理设施的建设不是十分规律，这也就导致内部节点 以及网络布线等不是十分规律，采用的信息传播方式也有很多不同。再者由于小区的 可扩展能力十分强，内部节点数量的增加和总线长度的扩展十分可能。因此必须采用 一种扩展能力相当强的网络拓扑来满足用户和未来的发展， 混合拓扑结构正适合当前 国信美邑小区网络的需求。 再次，网络工程师们在设计网络时不可能保证网络永远不出现故障，故障可能是 线路问题也可能是设备问题。 采用混合拓扑结构可以保证一个优点， 那就是容易维护。 无论哪里出现错误，在维护的过程中都是相当复杂的。采用混合拓扑结构可以保证一 个前提：无论哪个分支网络出现故障都不会影响到整个网络的运行。 最后，现在用户对网络速度的要求越来越苛刻，如果做的不好，很可能受责骂。 采用混合拓扑结构可以保证数据传输速度， 无论使用哪种线路进行网络传输都不会对 整个网络的速度上进行太多的限制。 由上述可见。这种拓扑结构主要有以下几个方面的特点： （1）应用相当广泛。 （2）扩展相当灵活。 （3）较易维护。 （4）速度较快。 4.44.4 网络设备的选择网络设备的选择 设备的选择要尽量考虑到国信美邑小区网络规划的目的及未来的可扩展能力， 从 安全性、可靠性等多方面来考虑。成熟实用的产品以及开放先进的技术是我们选择网 络设备首先也是必须考虑的问题。 4.4.14.4.1 核心设备的选择核心设备的选择 在设备选型和结构设计中网络中心必须考虑整体网络的高性能和高可靠性。 特别 长 春 大 学毕业设计（论文）纸 共31页第10页 装 订 线 是核心节点交换机，有两个基本要求： （1）高密度的端口，也能保持端口线速转发; （2）关键模块必须是冗余的，如引擎管理，电源，风扇管理。在此设计中，选 择锐捷 2 RG-S8610 基于十万兆网络平台的 RG-S8610 网络核心路由交换机。 锐捷 RG-S8600 系列交换机是锐捷网络推出面向下一代融合网络的高密度多业务 IPv6 核心路由交换机，满足未来小区以太网的应用需求。RG-S8600 系列交换机融合 了 VSU(Virtual Switching Unit)、MPLS/VPLS、网络安全、无线网络、IPv6、流量 分析等多业务特性。丰富的槽位选择给客户预留了丰富的扩展余地，VSU 虚拟化特性 简化客户的网络结构，MPLS/VPLS 虚拟专网技术打破客户物理专网隔阂，形成融合统 一网络，完善的 IPv6 特性满足未来的升级改造。RG-S8600 系列交换机可广泛应用于 城域网、园区网和数据中心。 RG-S8600 系列包括三款型号：RG-S8614、RG-S8610 和 RG-S8606-BSERISE 6。 SPOH 基于标准的技术，扩大，MAC，效率，ACl80，基于一系列的 ACL 技术支持 IPv4/IPv6 堆叠 VLAN ACL 功能。在 ACL 的配置也达到上千兆线速数据传输。 最长匹配（LPM）三层交换技术的 IPv4/IPv6 路由直接向网络的静态和动态的方 式存储，目的网段使用转发条目，和未知的目的地 IP 地址网段的数据包直接通过硬 件的默认路由转发，大大节省了硬件存储空间，避免内存溢出导致高 CPU 利用率的问 题，以确保设备的正常运行。 RG-S8600 提供各种硬件的安全功能， 如防 DDOS 攻击， 非法数据包检测， 防扫描， 防源 IP 地址欺骗等，避免了传统软件对整体性能的影响。支持广播包抑制，有效控 制流动的非法广播设备的影响。支持 IPv4、IPv6，结合多种组合，VLAN，MAC 和端口， 提高用户的访问控制。 RG-S8600支持 IPv6协议族和地址结构， 支持 ND， 路径 MTU发现DNSv6后， DHCPv6， ICMPv6 回等 IPv6 特性。 RG-S8600 的 IPv6 静态路由，RIPNG 的从 OSPFv3，IS-ISv6 的 BGP4 +等 IPv6 单 播路由协议的全面支持，支持 MLD V1 / V2，MLD 侦听和 PIM-SM / DMv6，PIM-SSMv6 等 IPv6 组播特性，为用户提供完美的 IPv4 / IPv6 解决方案。 RG-S8600 支持丰富的 IPv4 向 IPv6 过渡技术， 包括： IPv6 手动隧道， 6to4 隧道， ISATAP 隧道，IPv4 over IPv6 隧道技术，保证 IPv4 网络向 IPv6 网络的平滑过渡。 随着 IPv6 在中国的发展不断深化， 在小区网络升级的未来选择转移到 IPv6 网络 设备，为国信美邑小区以后的网络升级打下了良好的基础。 结合锐捷网络流量分析系统，IPFIX 技术可以对网络进行异常检测和统计分析， 输出各种丰富的网络流量分析报告，其中包括对所有流量：流量使用情况，历史和接 口报表，可解析主机地址，流量分析，可变显示的信息，这可以帮助管理员对网络异 常进行分析，很快修复网络，为客户提供客观，准确的决策依据对网络容量规划，网 长 春 大 学毕业设计（论文）纸 共31页第11页 装 订 线 络应用监测和故障诊断的问题，可以实现的真实网络流量的可视化。 IPFIX 多业务模块作为一个独立的业务灵活扩展到锐捷交换机中，使用独立的硬 件平台，保证多业务模块上的故障或维修，数据业务的核心设备的正常转发，保证核 心设备的高可靠性 7。 4.4.24.4.2 汇聚层设备的选择汇聚层设备的选择 汇聚层节点必须提供全线速交换数据，确保顺利接入节点和核心节点的数据交 换，同时，当网络流量大时，保证关键业务的服务质量。 本次国信美邑小区网络汇聚层选用的 RG-S5750-E 系列交换机是锐捷网络推出的 融合了高性能、多业务、高安全的新一代三层交换机。可扩展的高密度万兆端口，加 上全千兆的端口形态，提供 1：1 全线速多层交换，该交换机适合高性能、高带宽和 灵活扩展的大型网络汇聚层，数据中心服务器群，以及中型网络核心的接入使用。业 界领先的虚拟交换单元技术（Virtual Switch Unit） ，可以简化用户对网络的管理， 提升用户网络架构的稳定性。不仅如此，RG-S5750-E 系列出众的安全性能和丰富的 防攻击功能，全方位的保障用户的网络安全，为用户带来非凡的极速网络体验。锐捷 S7500E(X)系列包括 S7510E（ 12 槽） 、S7508E-X（14 槽） 、S7506E（8 槽） 、S7506E-V （垂直 8 槽） 、 锐捷 S7506E-S（8 槽） 、S7503E（5 槽） 、7503E-S （3 槽）和 S7502E(4 槽)8 款产品，除了 7503E-S 所有产品均支持冗余主控。锐捷 S7500E(X)可广泛应用 于数据中心、城域网、小区网核心和汇聚等多种网络环境，为用户提供了有源无源一 体化、有线无线一体化的行业解决方案。 （1）高性能 万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络 带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网络，也方便 用户后续升级网络到万兆。 （2）IPv4/IPv6 双协议栈多层交换 硬件支持 IPv4/IPv6 双协议栈多层线速交换，硬件区分和处理 IPv4、IPv6 协议 报文，可根据 IPv6 网络的需求规划网络或者维持网络现状，提供灵活的 IPv6 网络通 信方案。 支持丰富的 IPv4 路由协议，包括静态路由、RIP、OSPF、BGP4 等，满足不同网 络环境中用户选择合适的路由协议灵活组建网络。 支持丰富的 IPv6 路由协议，包括静态路由、RIPNG、OSPFv3、BGP4+等，不论是 在升级现有网络至 IPv6 网络，还是新建 IPv6 网络，都可灵活选择合适的路由协议组 建网络。 （3）虚拟化技术 支持 VSU（Virtual Switch Unit）即虚拟交换单元技术。通过聚合链路连接， 长 春 大 学毕业设计（论文）纸 共31页第12页 装 订 线 将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，利用单一 IP 地址、单一 Telnet 进程、单一命令行接口(CLI)、自动版本检查、自动配置等特 性简化了管理。 聚合链路可以是千兆接口，也可以是万兆接口，最大限度保护用户的投资。 （4）灵活完备的安全策略 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防 DOS 攻 击、防黑客 IP 扫描机制、端口 ARP 报文的合法性检查、多种硬件 ACL 策略等，还网 络一片绿色。 支持基于硬件的 IPv6 ACL，即使在 IPv4 网络内有 IPv6 用户，也可轻松在网络 边缘实现对 IPv6 用户的访问控制，既可允许网络内 IPv4/IPv6 用户并存，也可以对 IPv6 用户的访问权限进行控制，比如限制对网络敏感资源的访问等。 业界领先的硬件 CPU 保护机制：特有的 CPU 保护策略（CPP）技术，流向 CPU 的 数据，采用流动分离和优先级队列分级，并根据需要实施带宽限制，充分保护 CPU 是不被占用，恶意攻击和资源消耗，以确保 CPU 的安全，充分保护交换机安全。 硬件实现的端口或交换机与用户的 IP 地址和 MAC 地址柔性结合，端口上严格限 制用户访问或交换机上的用户访问的问题。 支持 DHCP snooping，可只允许信任端口的 DHCP 响应，防止私设 DHCP Server 的欺骗；并在 DHCP 监听的基础上，通过动态监测 ARP 和检查用户的 IP，直接丢弃不 符合绑定表项的非法报文，有效防范 ARP 欺骗和用户源 IP 地址的欺骗问题。 基于源 IP 地址控制的 Telnet 设备访问控制， 防止非法人员和黑客恶意攻击和控 制设备，提高网络管理的安全性。 SSH （Secure Shell） 和 SNMPv3 可以通过在 Telnet 和 SNMP 进程中加密管理信息， 保证管理设备信息的安全性，防止黑客攻击和控制设备。 控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安 全、时间 ACL、基于数据流的带宽限速等，满足小区网加强对访问者进行控制、限制 非授权用户通信的需求。 支持 NFPP 技术。NFPP (Network Foundation Protection Policy 基础网络保护 策略)是用来增强交换机安全的一种保护体系，通过对攻击源头采取隔离措施，可以 使交换机的处理器和信道带宽资源得到保护， 从而保证报文的正常转发以及协议状态 的正常。 （5）强大的多业务支撑能力 支持 IPv4、IPv6 组播功能，包含丰富的组播协议。比如 IGMP Snooping、IGMP、 MLD、PIM、PIM for IPv6、MSDP 等协议族，为 IPv4 网络、IPv6 网络、IPv4 和 IPv6 共存的网络提供了组播服务支持。 支持 IGMP 源端口和源 IP 检查功能，有效地杜绝非法的组播源，提高网络的安全 长 春 大 学毕业设计（论文）纸 共31页第13页 装 订 线 性。 支持等价路由（ECMP）等丰富的三层特性和业务特性，满足不同网络链路规划下 的通信需要。 支持丰富的 MPLS VPN 功能， 智能侦测 MPLS 断网， 智能选择冗余线路保持 MPLS VPN 的连通性。支持在三层 MPLS VPN 中作为 PE，MVRF 使用。 支持国际流量监测标准 IPFIX （IP 流信息导出） ， 锐捷流量分析系统的结合， IPFIX 技术可以对网络进行统计分析和异常检测， 输出各种丰富的网络流量分析报告， 包括： 流量报告，历史报告，报表界面，解析的主机地址，流量分析，可变显示的信息，这 可以帮助管理员在网络中的异常行为分析，很快存在的网络，为客户提供客观，准确 的决策依据对网络容量规划问题，网络应用监测和故障诊断。 （6）完善的 QOS 策略 与 MAC 流、IP 流相比应用流的具有多层流分类和流控制能力，实现精细化流量 带宽控制， 转发优先级策略， 根据不同的应用和不同的应用支持网络需要的业务特点， 保证提供服务的质量。 QOS 的保障体系，这需要将 DIFFSERVER 标准为核心，支持 802.1P，IP TOS，二 至七层过滤层，SP，WRR 等完整的 QOS 策略，实现基于全网系统的 QOS 逻辑。 （7）高可靠性 支持生成确保链路的负载均衡和网络的稳定运行，合理使用网络通道，反馈冗余 链路利用率。 支持 VRRP 虚拟路由器冗余协议，全面保障网络稳定。 支持 RLDP，快速检测链路的通断和光纤链路可以支持端口环路检测功能，防止 将端口用于私有访问集线器等设备，导致网络故障的现象。 支持 ERPS （G.8032） ，国际标准为核心以太网设计的二层链路冗余备份协议， 其环路阻断以及链路恢复都集中在主控设备上进行， 非主控设备直接向主控设备汇报 自己的链路情况，无需经过其他非主控设备的处理，因此环路中断以及恢复时间比 STP 快。基于以上区别， ERPS 在理想环境下的链路恢复能力能够达到毫秒级。 在不启用 STP 的情况下，可以通过 REUP(Rapid Ethernet Uplink Protection Protocol)提供一个快速上链保护功能，REUP 使得用户在关闭 STP 的情况下，仍提供 基本的链路冗余，同时提供比 STP 更快的毫秒级故障恢复。 支持 BFD，为各上层协议如路由协议，MPLS 等提供一种快速检测两台路由设备之 间转发路径连通状态的方法，大大减少了上层协议在链路状态变化时的收敛时间。 （8）方便易用易管理 灵活复用的多种千兆接口形式， 可灵活满足需要多个千兆铜缆和多个千兆光纤链 路的连接，方便用户灵活选择线缆。 网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方 长 春 大 学毕业设计（论文）纸 共31页第14页 装 订 线 便日志信息和流量信息的分析、故障诊断等管理。 为方便安装地点或建筑物不适宜部署外部电源的环境，RG-S5750-E 系列交换机 特别提供支持POE+功能的产品型号， 即通过双绞线就可以向远端下挂的 PD设备供电， 如无线 AP、 IP Phone、 视频监控等设备， 方便了任何符合 IEEE 802.3af 和 IEEE 802.3at 标准的终端设备的接入，实现以太网集中供电，以满足金融、小区、学校、医院、工 厂等用户实现 VOIP、远程监控、无线 AP 等网络应用的需要。 SYSLOG 方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管 理员网络维护和管理。 多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输 入帧或只监控输出帧或双向帧，大大提高维护效率。 4.4.34.4.3 接入层设备的选择接入层设备的选择 对于国信美邑小区网络接入节点的交换机，必须考虑到安全接入控制、QOS 服务 质量保证、组播支持等技术。 锐捷网络睿翼 RG-S2928G-S-P 系列交换机是锐捷网络推出的全千兆安全智能 POE 供电的二层交换机，适用于园区网络的接入层，提供千兆到桌面的解决方案。凭 借高性能、高安全、多业务、易用性的特点，融入 IPv6 的特性，使得锐捷网络睿翼 RG-S2928G-S-P 交换机可广泛应用于各行业的千兆网络。 通过支持万兆扩展和万兆冗余堆叠， 满足了网络流量成倍提高和多媒体业务的迅 速增长的需要，特别适合需要高带宽的网络环境中使用。 在提供高性能、高带宽的同时，锐捷网络睿翼 RG-S2928G-S-P 交换机提供智能流 分类，提高服务质量（QOS）和多播应用，管理特性的质量，并可以根据实际使用环 境，灵活的控制策略的执行的网络，有效地预防和控制病毒的传播和网络攻击，非法 用户接入控制和网络，保证合法用户合理使用网络资源，充分保障网络安全，更合理 的使用和操作网络。 （1）高性能 高背板带宽为所有端口提供线速的交换能力，并提供万兆扩展和万兆堆叠，满足 数据流量和多媒体业务日益增长的需要。 （2）灵活完备的安全控制策略 通过各种内部安全机制，可以有效地防止和控制病毒和网络攻击流量的扩散，控 制非法用户使用网络，保证合法用户合理使用网络，如端口静态和动态安全绑定，端 口隔离，各种硬件 ACL 控制，基于数据流的带宽限速，多元素绑定的用户访问控制， 满足小区网络的需求，以加强控制和限制参观者的非授权用户的通信需求; 锐捷网络安全计费管理平台， 不仅可以实现用户帐号， 密码， MAC 地址， IP 地址， IP 交换机，交换机灵活的绑定任何端口之间的六要素，确认用户身份的唯一性和合 长 春 大 学毕业设计（论文）纸 共31页第15页 装 订 线 法性，可以通过切换动态绑定的硬件特性和保护用户的身份始终保持一致，避免用户 恶意篡改身份信息的非法攻击行为; ARP 检测功能有效遏制在网络中日益增长的 ARP 网关欺骗和 ARP 主机欺骗的现 象，并保护用户的正常上网。自动装订可以实现 IP 的静态分配与动态分配， ，这大大 节省了劳动力成本，并通过 ARP 速率减少管理 ARP 分组的速率，从而防止对 ARP 恶意 使用扫描工具监视的开销，导致网络拥塞的攻击； 支持 DHCP Snooping 功能，只允许信任端口的 DHCP 响应，并没有阻止管理员权 限设置 DHCP 服务器， 扰乱 IP 地址的分配和管理， 影响用户的正常上网的行为;和 DHCP Snooping 功能，监控动态 ARP 和检查源 IP 的基础上，有效地防止 IP ARP 欺骗和源 IP 地址欺骗的 DHCP 动态分配； 基于源 IP 地址控制的 Telnet 和 Web 访问控制， 防止非法人员和黑客对设备的控 制和恶意攻击，提高网络管理的安全性； 在日益激烈的 IPv6 应用面前，交换机支持基于 IPv6 的 ACL 的硬件，即使是在 IPv4 网络与 IPv6 用户，也可以很方便地在网络上实现 IPv6 的用户访问控制的边缘， 可以让网络的 IPv4 / IPv6 共存的用户，IPv6 的用户访问控制，如接入网络中的敏 感资源的限制； SSH（安全壳）和 SNMPv3 技术通过在 Telnet 和 SNMP 的过程中加密管理信息，防 止黑客攻击和控制设备，保证管理信息的安全性。基于访问控制的 Telnet 源 IP 地址 控制，保证只有管理员配置的 IP 地址登陆切换，更精确的提供设备管理控制，提高 了网络管理设备的安全性。 （3）高可靠性 CPU 安全屏障保护：特有的 CPU 保护策略（CPP） ，对发往 CPU 的数据流，进行流 区分和优先级队列分级处理，并实施带宽限速，充分保护 CPU 不被非法流量占用、恶 意者攻击和资源消耗，保障了 CPU 安全，充分保护了交换机的安全； 生成树协议 802.1D，802.1w，802.1s 的支持，充分保证了快速收敛，提高系统 容错能力，保证网络和链路负载均衡的稳定运行，合理利用渠道网络，提供冗余链路 利用;的 PORTFAST 大大降低了 30-50 秒生成树协议收敛时间的标准，和 BPDU 保护功 能，以避免生成树协议环路； 支持 RLDP 可以是单向链路快速检测的通断和光纤链路和支持端口环路检测功 能， 防止端口， 用于私有访问集线器等设备， 在循环的形式， 并导致网络的现象故障; 支持 1+1 冗余可插拔电源，提供系统可靠性，同时方便客户进行现场维护。 （4）多业务支持 当网络上的服务越来越多，其带宽安全就显得尤为必要。为了避免带宽的紧急服 务，完善的服务质量是服务质量的保障; 支持的 802.1p，DSCP，IP TOS，根据不同的应用二至七层流过的 QOS 策略的过 长 春 大 学毕业设计（论文）纸 共31页第16页 装 订 线 滤器，用 MAC 流，IP 流，应用流的多层流分类和流量控制，带宽控制，转发优先级 策略，支持网络和不同的应用需要保持服务质量提供完善服务; 每端口支持 8 个优先级输出队列，使网络管理员可更精细的为各种应用分配带 宽，从而更好的保证业务正常开展。交换机支持 SP，WRR，DRR 等机制确定报文处理 顺序，比如 SP 可确保某个队列中的业务总是优先传输，而 WRR 则可保证所有队列中 的业务都有机会； 极灵活的带宽控制能力，基于交换机端口、MAC 地址、IP 地址、VLAN ID、协议、 应用组合进行灵活的带宽限速，限速粒度达到 64Kbps，可根据网络安全需求，设定 不同业务应用的带宽流量，满足网络带宽按需所用； 能够探测 IGMPv1/v2 和 IGMPv3 全部版本的组播报文，适应不同组播环境，避免 非法的组播数据流占用网络带宽，满足组播安全应用的需要。 （5）灵活可靠的万兆混合堆叠 提供可靠的万兆冗余堆叠组合， 在万兆冗余堆叠的基础上， 能同时提供万兆上链， 满足高性能、高带宽的需要，方便网络发展和规模扩大； 支持硬件堆叠 QOS，保证在网络拥塞、网络攻击等网络环境恶劣的情况下，依然 能正常管理堆叠组成员，保证堆叠设备的正常运营。 （6）方便易用易管理 采用灵活复用的千兆接口和扩展槽组合的形式， 可最灵活满足是否需要多个千兆 链路上链或多个千兆服务器的连接，方便用户根据网络架构灵活选择连接形式； 多端口同步监控，通过一个端口监控数据流的多个端口，只能监控输入帧或只监 控输出帧或双向帧，大大提高维护效率； 网络时间协议确保的开关时间的准确性，并统一为在网络时间服务器，因此它可 以很容易地记录信息和交通信息和故障诊断； 日志便于收集，维护，分析，故障各种日志信息，这是很容易对管理员的维护和 管理的位置和备份； 4.4.44.4.4 防火墙的选择防火墙的选择 实现和维护防火墙是网络安全策略的一个主要部分， 所以防火墙在网络安全的实 现当中一直扮演着重要的角色。防火墙通常位于网络中，这使得内部网和因特网或与 其它外部网络彼此隔离，限制访问来保护网络的交换的边缘。设置防火墙的目的是要 建立的内部网络和外部网络之间的唯一通道，并简化了网络的安全性管理。 锐捷网络 RG-WALL 1600 系列下一代防火墙基于“人本网络”，实现“智能感 知”。实现基于用户、资源、应用的访问控制。RG-WALL 系列下一代防火墙采用最新 的安全处理算法，以高性能提供防病毒、IPS、行为监管、反垃圾邮件、深度状态检 测、外部攻击防范、应用层过滤等功能，有效保证网络安全。 长 春 大 学毕业设计（论文）纸 共31页第17页 装 订 线 提供多种智能分析和管理手段，支持邮件告警，进行网络管理监控，协助网络管 理员完成网络安全管理； 全面的 VPN 业务， 可以构建多种形式的 VPN； 双机状态热备， 支持主主和主备两种工作模式以及丰富的 QOS 特性， 充分满足客户对网络高可靠性的 要求。 即刻选择锐捷网络 RG-WALL 下一代防火墙， 让用户的网络更加安全、 高效、 稳定、 可靠。 （1）采用先进的硬件平台及设计架构 全线产品使用多核平台，万兆级高速安全处理。统一化的特征库和一体化分析处 理引擎设计，极大的提高了多功能模块同时运行时的运行效率。 （2）多业务高性能 采用锐捷网络安全研究组 RG-Slab 最新发布的 HiSpeed 算法， 突破安全产品硬件 瓶颈。实现防火墙、VPN、UTM 多业务高性能。支持 IPS、流控、Web 过滤的高性能处 理。 （3）下一代防火墙特性 面向法规和人本，实现基于用户、资源、应用的访问控制。可以与身份认证系统 对接，实现一体化策略配置，可视化安全管理更加快捷高效。 （4）支持全面的网络攻击防护 支持 DOS/DDOS 攻击防护， 支持 MAC 和 IP 绑定功能， 支持智能防范 ARP 攻击防护、 TCP 报文标志位不合法攻击防范、超大 ICMP 报文攻击防范等等网络攻击防护。 （5）完善的日志管理与审计 提供记录日志功能，统计与分析流量，时间监控，邮件提醒功能，有完善的日至 管理系统，完成的日志查询，分析，记录。 （6）独立的 VPN 模块 内置专用的硬件 VPN 模块，支持 GRE、L2TP、IPSec、SSL VPN 等多种 VPN 业务模 式。支持多种平台移动终端 VPN 接入。 （7）高可靠性保障 支持双机状态热备功能， 支持 Active/Active 和 Active/Passive 两种工作模式， 实现负载分担和业务备份，支持自动同步特征库和策略库。支持双配置文件，设备关 键部件均采用冗余设计。 4.54.5 网络总体拓扑图网络总体拓扑图 国信美邑网络出口为防火墙，下接三层交换机作为核心，然后就是每栋楼的接入 交换机。内网服务器部署在防火墙的 DMZ 区域。 网络的出口为一条电信的链路， 内网的服务器通过在端口映射成电信的地址使外 部可以访问。 长 春 大 学毕业设计（论文）纸 共31页第18页 装 订 线 核心交换机为锐捷的 S-8600，防火墙是锐捷网络 RG-AG515，各个楼的接入交换 机是锐捷网络睿翼 RG-S2928G-S.所有布线均采用的是双绞线。 根据客户的需求，国信美邑小区网络拓扑图如图 4-1 所示： 图 4-1 国信美邑小区核心拓扑图 长 春 大 学毕业设计（论文）纸 共31页第19页 装 订 线 5 5 网络的详细设计规划网络的详细设计规