校园网规划及相关技术---完整版.doc

德州科技职业学院毕业设计（论文）题目 校园网规划及相关技术 院系名称 信息工程系 班 级 09网络 学生姓名 李文卿 学 号 090402017 指导教师 栾亨胜 答辩教师 栾亨胜 杨新华 王洪考 孙先民 时 间 2012年4月10日 德州科技职业学院毕业论文 中文摘要摘 要设计一个结构合理，性能优良，经济实用的校园网络是一个中小型高校校园网建设的基本目标。本文对高校校园网的特点，设计的思路，以及整个校园网络的设计方案作了阐述。网络管理，是大型计算机网络成功的关键因素。高效有序的网络管理，确保网络的最优化运行，发挥网络的最佳效益。本文从IP地址分配和VLAN的规划、使用8021x协议进行用户认证以及通过配置访问控制列表对网络数据流进行控制三个方面对校园网管理进行技术研究。地址管理在网络世界中非常重要。错误的理解将会带来非常严重的后果，对于一个大型网络，地址管理结构设计不好很容易引起组织对整个网络重新编号。这不仅会引起长时间的停机，而且还会在重新编址阶段引起不稳定。而一个良好的地址管理结构是不需要花费任何代价的，仅需要认真规划和了解问题。每个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设各投资、简化网络管理、提高网络的安全性。IEEE 802.Ix通过对认证方式和认证体系结构进行优化，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本。访问控制列表是网络防御外来攻击的第一关。网络管理员可以使用访问控制列表设计网络操作和控制网络数据流。反过来，通过使用路由器的访问控制列表，网络管理员也可以建立特定的网络规划策略。关键词：校园网设计；网络管理；IP地址；虚拟局域网；IEEE8021X认证；访问控制列I德州科技职业学院毕业论文 英文摘要ABSTRACTThe design of a reasonable structure, excellent performance, economical and practical campus network is a small campus network construction the basic goal. This paper on the characteristics of the campus network, design ideas, as well as the entire campus network design is expounded. Network management, is a large computer network key success factors. Highly efficient and orderly management, ensure network optimal operation, network play the best benefits. This article from the P address allocation and VLAN programming, the use of the 802.1x protocol user authentication and access control list through the configuration of the network data flow control three aspects of the campus network management technology research. Address management is very important in the world. Wrong understanding will lead to very serious consequences, in a large network, address management structure design is very easy to cause the organization to the whole network renumbering. This will not only cause the long time shutdown, but also to address phase induced instability. While a good address management structure is not need to spend any cost, only requires careful planning and understanding of the problem. Each VLAN internal broadcast and unicast traffic will not be forwarded to the other VLAN, thereby contributing to the control of flow, reduce equipment investment, simplifying the management of network, improve network security. MEE802.Ix through the certification and accreditation system structure optimization, eliminating bottlenecks in the network, reduce network encapsulation overhead, reducing the net cost. Access control list is the first network defense against attack. The network administrator can use the access control list design network operation and control of network data flow. In turn, through the use of router access control list, a network administrator can also set up a specific network planning strategy.Key words: campus network design; network management; IP; virtual LAN; IEEE802.1X certification; access control List II德州科技职业学院毕业论文 目录目 录中文摘要I英文摘要II1 园区网的相关介绍11.1 引言11.2 校园网规划建设问题的提出与研究1 1.3 校园网规划需求分析21.4 校园网中的应用32 校园网规划方案5 2.1 组建校园网相关设计分析52.2组网设备选型72.2 IP地址和VLAN的划分143 组网中的相关技术配置193.1网络边界防火墙的配置193.2接入互联网-NAT技术213.3 802.1X认证213.4 VLAN及生成树233.5 链路聚合253.6 端口快速收敛253.7 园区网中容易产生的问题263.8 使用访问控制列表进行网络管理274 结论29致谢30参考文献31III德州科技职业学院毕业论文 园区网的相关介绍 1 园区网的相关介绍1.1 引言1随着的Internet普及，校园网己成为每个学校必备的信息基础设施，也成了学校提高教学、科研及管理水平的重要途径和手段，再加上国家积极倡导教育信息化，致使全国不少学校都在积极筹划、建设和完善校园网。建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种Pc机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的教育资源。形成结构合理、内外沟通的校园计算机网络系统，在此基础上建立能满足教学、科研和管理工作需要的软硬件环境，开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为学校着想，合理使用建设资金，使系统经济可行。网络的发展壮大，网络的管理也提到议事日程。网络管理是网络的灵魂，为保证计算机网络稳定高效地运行，网络管理起着非常重要的作用，网络管理的好坏直接影响到网络的运行质量，对于像大学这样一个较大规模的校园网络来说尤其如此。伴随互联网的高速发展的XX科技职业学院也在不断扩建和壮大的同时，XX科技职业学院校园网建设也紧跟时代发展的步伐-建设现代化高效能的校园网络。本文以XX科技职业学院校园网组建为例展开论述分析。1.2校园网规划建设问题的提出与研究1.21校园网规划建设问题的提出在学院的不断发展壮大的同时，校园网己成为我学校必备的信息基础设施，建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种Pc机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的教育资源。这一高效节能无纸化办公的现代化教学方式受到我校领导的高度关注，随之校园网的规划建设这一问题被提出。1.2. 2组建校园网的相关研究在组建校园网络的同时，会同时产生一系列的问题，例如：网上办公、网上教学、招生、在线注册、网上社区服务、网上支付等具有校园特色的电子商务将蓬勃发展，构建电子社区服务，电子社区服务包括地图导航、虚拟服务台、海报、意见处理、新闻中心及各式服务项目(学习、运动、娱乐、餐饮、购物、旅游交通、邮电、金融、医疗、维修、治安)等。在这一系列问题产生的同时，我们必须把校园网组建时产生的问题拿到桌面上来分析研究，从而得出一些比较安全、合理、稳定、容易管理的校园网络，为学校的发展和在校师生等人员的工作、学习、生活带来方便。1.3 校园网规划需求分析1.3.1 校园网建设目标校园网建设的目标应该是：建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取INTERNET网上的教育资源。形成结构合理、内外沟通的校园计算机网络系统，在此基础上建立能满足教学、科研和管理工作需要的软硬件环境，开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为学校着想，合理使用建设资金，使系统经济可行。1.3.2 校园网的特点(1)先进性(2)兼容性好(3)应用复杂流量大(4)安全控制要求高(5)网络设备分散，不易统一管理把握校园网应用，了解用户网络建设需求，是成功构建校园网络的关键所在。我认为：构建符合应用的校园网络可以用下面七个标准来衡量。(1)高性能(2)高可靠性(3)适合多种应用需求(4)高伸缩性(5)高安全性(6)可运营，可管理(7)结构合理1.4 校园网中的应用在我校不断发展和壮大正朝着多元化、社会化的方向发展，所以建立一些生活学习所需的设施也是在校园网的建设中必须考虑，也应该校园网应具备的基本功能。1.4.1校园一卡通的使用所谓校园一卡通，就是利用IC卡作为电子身份的载体，在校园中，每一个成员都有一个固定的身份，如教师、管理人员、专科生、本科生、临时人员等，成员的身份都可以通过其校园一卡通得到确认。用户的身份决定了用户在校园空间所享有的权限，如教师可以在教师食堂就餐、学生可以在学生食堂就餐、教师可以在图书馆借更多的书等。通过采用校园一卡通的解决方案，可以全面实现校园的高度信息化、自动化管理。1.4.2 信息服务信息服务是根据用户的需求，将信息按照用户的逻辑提取出来，以方便的接口提供给用户。(1)信息发布信息发布是校园网的基本功能：管理信息系统将信息收集、整理起来，主要是提供给特定的用户用于管理活动；(2)决策支持决策支持是信息服务的高级形式。为学校重大问题提供决策依据。如：教学评估、招生评估、毕业评估、学科评估等等。1.4.3 电子商务随着远程教育的开展和校内管理与服务的数字化进展，网上招生、在线注册、网上社区服务、网上支付等具有校园特色的电子商务将蓬勃发展。电子商务平台的建设对于数字校园中和支付相关的各个应用系统的发展具有重要的推动作用。1.4.4 网上办公办公自动化系统为学校领导以及各职能部门提供了基于校园网的协同办公环境，使学校办公逐步向电子化、无纸化方向迈进。同时由于校园网络连接了办公室、计算机实验室、学生宿舍乃至教师家庭，同样一件工作在不同的场所办理成为现实的可能情况。1.4.5 网上教学网络教学是一种新型教育手段，它是为适应21世纪社会经济和科技发展对高素质创造型人才的需要，创造一个在教师指导下的学生自主式学习的环境。(1)网络教学资源网络教学的资源是开展网络教学的基础，它包括教师的电子讲义、课件、录像、试题库、以及各种数字化的教学素材。(2)网络教学平台网络教学平台是一个全新的教学环境，它为校园网上的同步远程教学提供实时双向交互的多媒体网络教学环境，为校园上的异步远程教学提供自主学习的网络教学环境。网络教学平台将建设成一个支持包括网上备课、课件制作、教学素材建设、网络授课、网上交流、网上自学、网络考试等多种服务的综合教学平台，全面支持教学各个环节。(3)数字图书馆数字图书馆是采用现代高新技术所支持的数字信息资源系统，是下一代因特网上信息资源的管理模式，将从根本上改变目前因特网上信息分散、不便使用的现状。它涉及数字信息资源的生产、加工、存储、检索、传递、保护、利用、归档、剔除等全过程。(4)虚拟实验室网络虚拟实验就是在Web中创建出一个可视化的三维环境，其中每一个可视化的三维物体代表一种实验对象。通过鼠标的点击以及拖曳操作，用户可以进行虚拟、仿真实验。17德州科技职业学院毕业论文 校园网规划方案2 校园网规划方案2.1 组建校园网相关设计分析2.1.1 拓扑图的绘制根据XX科技职业学院的楼宇坐落、部门分布和逻辑网络拓扑层次分析之后，绘制了拓扑图，如下：图2.1 XX科技职业学院校园网拓扑图Fig2.1 Technological Vocational College of XX campus network topology2.1.2 校园网的结构化建设（1）核心层网络建设核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。(2)汇聚层网络建设同样的，校园网汇聚层网络建设按照中小型校园网两种规模来分析设计。对于大型校园网络，汇聚层的设计十分类似于核心层的设计思想。那就是将汇聚层当作本地交换系统的核心来设计，每个汇聚层的设计应该符合本地交换系统的应用需求。比如，对于教学系统，可能存在大量的语音和视频传输。据此，应该考虑汇聚层对QOS有良好的支持并且能提供大的带宽。如果本地子网无特殊需求，可以考虑这里是降低网络投资成本的点，选用一般设备即可。中小型校园网络汇聚层的设计原则和大型校园网络汇聚层的设计是相同的，既要兼顾本地的需求又要兼顾对整个网络的配合。对于中小型校园网络，可能汇聚层和接入层并为一层，也就是出现了2层的结构。2层结构也好3层结构也好都是逻辑的，网络设计层次只要对需求有利就可以了。(3)接入层网络建设接入层设备是最终用户的最直接上联的设备，它应该具备即插即用特性以及易于维护的特点。另外，设备对恶劣环境的抵抗能力也应该考虑在内。至少性能方面应该考虑几个方面：l 能提供好的性能价格比，不需要过高的性能；l 需求端口密度高的时候，最好使用堆叠方式；l 建议重要部门的接入层设备提供网络管理功能；l 如果有多媒体应用，设备应该提供IGMP Snooping功能，以充分利用带宽；l 依据实际流量的情况选择上连带宽；2.1.3 根据网络层次划分之后选择设备应具备的特性此方案在于汇聚层设计采用二层交换机，通过二层可网管交换机DCS一3926S堆叠之后千兆上联到网络中心，宿舍楼内的每个信息点可以直接与汇聚层交换机DCS一3926S，楼内不方便布线或者距离汇聚层配线间较远的楼层，可以在相应的楼层内采用DCS-2026网管交换机，然后与汇聚层交换机连接，实现高性能的灵活的高性价比的宿舍网络接入方案。此方案的特点是宿舍区接入网采用堆叠方式实现，堆叠方式的特点决定了接入网的性能较好，很好的解决了各级交换机级联带来的带宽限制；同时方案也很好的体现了灵活设计的特点，可以根据用户的网络需求，在接入层或者采用功能较强的DCS一2026网管交换机，或者采用投资较小的DCS2026网管交换机。充分体现了网络设计原则。除此之外，此方案还具有如下特点：（1）实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。（2）先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。（3）可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。（4）安全性和保密性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。（5）可扩展性和可管理性由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。2.2 组网设备选型根据校园网规划拓扑图和分层次设计的优点和各种特性，下面来进行设备的选型。（不涉及终端、线缆、中继器、组网工具或其他小型设备的选型，根据需要购买即可。）2.21网络出口设备选择因为校园网出口采用以太网，所以采用路由器 + 防火墙的方式，起到如下作用：防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。（1） 防火墙的选择为了以后扩展的需要，所以采用了RG-WALL1000。RG-WALL1000采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP, H323等)时，可提供强有力的安全信道。采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。表2.1 RG-WALL1000防火墙技术参数(单位：台) Table 2.1 RG-WALL1000firewall technology parameters ( unit: bench )RG-WALL 1000千兆防火墙/VPN网关端 口固化2个10/100BaseT+2个10/100/1000BaseT接口，可选配最多4个千兆电口/千兆SX/LX光口最大并发连接数1,000,000sessions吞吐量1.8Gbps（最大）策略数65,535VPN并发通道数10,000tunnelsVPN吞吐量 (SHA-1, 3-DES)400Mbps尺 寸标准19英寸宽度，2U高度电气性能电源类型：AC 100-240V/50-60Hz电源功率：200W工作环境操作环境：温度040，湿度0%80%存储环境：温度-4080，湿度0% 95%技术性能MTBF（平均故障间隔时间）：100,000小时（2）路由器的选择RG-S6800E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。目前提供10竖插槽设计和6横插槽设计两种主机：RG-S6810E和RG-S6806E。RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽，并支持将来扩展到4.8T/2.4T的能力，高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。RG-S6800E交换机通过先进的第三代高性能引擎可硬件支持策略路由、IPV6等协议，并可扩展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等丰富的业务功能，满足客户环境灵活而复杂的不同应用需求。表2.2 RG-S6806E交换机技术参数(单位：台)Table 2.2 RG-S6806E switch technology parameters ( unit: bench )模块插槽10个（2个用于管理引擎模块）6个（2个用于管理引擎模块）背板1.6T（可扩展3.2T）2.4T（可扩展4.8T）（V3.x）800G（可扩展1.6T）1.2T（可扩展2.4T）（V3.x）交换容量800G1.2T（V3.x引擎）400G600G（V3.x引擎）包转发速率L2/L3：572MppsL2/L3：857Mpps（V3.x引擎）L2/L3：286MppsL2/L3：428M（V3.x引擎）路由表项256K802.1q VLAN4KL2协议IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S 、Port Mirror、Igmp Snooping 、Jumbo Frame(9Kbytes)、QinQ、GVRPL3协议BGP4、IS-IS、OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、 DVMRP、 PIM-SSM/SM/DM、LPM Routing、Policy-based Routing、ECMP、WCMP、VRRP病毒攻击防护全面的ACL（基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等）、防源IP地址欺骗、防DOS/DDOS攻击，防IP扫描管理方式SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSH其它协议SNTP、DHCP Client、DHCP Relay、DNS Client、ARP Proxy、Radius、IPV6、MPLS、Load Balancing、EAPS、NAT、VPN、Firewall、IDS、Web Cache Redirect、Syslog尺寸（长x宽x高）448 mm x 437mm x 956mm508mm x 437 mm x 647mm电源100VAC240VAC，50Hz60Hz，功率:1200WMTBF 200,000 hours温度工作温度： 0 到 40存储温度：-40 到 70湿度工作湿度: 10% 到 90% RH存储湿度: 5% 到 95% RH2.2.2 核心层设备选型（1）骨干路由交换机RG-S6506是锐捷网络推出的万兆骨干路由交换机，拥有6个模块扩展槽，提供管理模块冗余，支持万兆、千兆和百兆模块线速转发，可以根据用户的需求灵活配置，构建弹性可扩展的现代IP网络。”RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是小型网络核心和大型网络骨干交换机的理想选择。表2.3 RG-S6506交换机技术参数(单位：台)Table 2.3 RG-S6506 switch technology parameters ( unit: bench )背板构架分布式CROSSBAR模块插槽6个（2个用于管理引擎模块）背板192G768G（V3.x）交换容量192G576G（第二代管理引擎）包转发速率L2/L3：143MppsL2/L3：286Mpps（第二代管理引擎）MAC地址64K802.1q VLAN4KL2协议IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S 、Port Mirror、Igmp Snooping 、Jumbo Frame(9Kbytes)、QinQ、GVRPL3协议OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、BGP4、DVMRP、 PIM-SSM/SM/DM、LPM Routing、ECMP、WCMP、VRRPIpv6协议静态路由、等价路由、策略路由、ICMPv6、ICMPv6重定向、DHCPv6、ACLv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、OSPFV3、RIPng、手工隧道、ISATAP、6to4隧道病毒攻击防护全面的ACL（基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等）、防源IP地址欺骗（Souce IP Spoofing）、防DOS攻击（Synflood，Smurf），防扫描（PingSweep)管理方式SNMP v1/v2/v3、Telnet、Console、WEB、RMON其它协议SNTP、EAPS、DHCP Client、DHCP Relay、DNS Client、ARP Proxy、Radius、Syslog尺寸（长x宽x高）440 mm x 540 mm x 559mm电源100VAC240VAC，50Hz60Hz，功率:600WMTBF 200,000 hours温度工作温度： 0 到 40存储温度：-40 到 70湿度工作湿度: 10% 到 90% RH存储湿度: 5% 到 95% RH2.2.3 接入层设备选型（1）安全智能接入交换机RG-S2924GRG-S2924G是锐捷网络推出的全千兆安全智能接入交换机，在提供高性能、高带宽的同时，提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。RG-S2924G特有的CPU保护控制机制，对发送到CPU的数据进行带宽控制，以避免非法者对CPU的恶意攻击，充分保障了交换机的安全。RG-S2924G为方便不同管理员的使用习惯，提供了多种形式的管理工具，如SNMP、Telnet、Web和Console口等。RG-S2924G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、高效、安全、智能的企业网新需求。支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率。表2.4 RG-S2924G交换机技术参数(单位：台)Table 2.4 RG-S2924G switch technology parameters ( unit: bench )产品型号RG-S2924G固定端口24个10/100/1000M电口，4个复用的SFP千兆光纤接口可用SFP模块Mini-GBIC-SX：单口1000BASE-SXmini GBIC转换模块（LC接口）；Mini-GBIC-LX：单口1000BASE-LXmini GBIC转换模块（LC接口）；Mini-GBIC-LH：单口1000BASE-LXmini GBIC转换模块（LC接口），40Km；Mini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50km；Mini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80km端口交换容量48Gbps包转发速率36MppsMAC16K802.1q VLAN4KIPv4 ACL支持多种硬件ACL：标准IP ACL（基于IP地址的硬件ACL）、扩展IP ACL（基于IP地址、传输层端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL)IPv6 ACL & QoS支持硬件IPv6 ACL：支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型（Traffic class）、时间选项的硬件IPv6 ACL 和IPv6 QoSL2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IEEE802.1x、IGMP Snooping v1/v2/v3、LLDP管理协议SNMPv1/v2C/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP、SNTP其它协议DHCP RelayJumbo Frame支持尺寸（长 宽 高）440mm260 mm44mm电源160VAC240VAC，50Hz60Hz温度工作温度： 0 到 40存储温度：-40C 到 70C湿度工作湿度： 10% 到 90% RH存储湿度： 5% 到 90% RH2.2.4服务器的选择天阔I650(r)-E服务器是曙光天阔服务器系列产品中，面向行业市场中等网络规模用户开发的一款部门级服务器产品。此款服务器支持双路Intel Xeon64bit处理器，主频可达3.6GHz 以上，系统前端总线频率为800MHz，系统内存由原来I650(r)-N的DDR配置升级为DDRII配置，最大支持16GB DDRII400内存，为用户带来“海量处理”的应用体验。 天阔I650(r)-E服务器以处理能力、可用性及可管理性等方面的强大优势，为电信、ISP/ICP/ASP 等行业用户提供了一款系统性能、可用性最佳的部门级服务器精品。天阔I650(r)-E 服务器完全兼容Windows 2000/2003 、RedHat Linux、SUN Solaris、SCO Openserver/Unixware、Novell Netware等多种操作系统平台，用户可以根据自己的需求在各种平台上构筑自己的网络及应用。 天阔I650(r)-E 服务器提供了塔式天阔I650-E 服务器及机架式天阔I650r-E服务器两种机型，灵活满足不同用户环境下对部门级服务器的应用需求。表2.4 天阔I650(r)-E服务器技术参数(单位：台)Table 2.4 taiwan I650(r)-E server technology parameters ( unit: bench )设备类型部门级服务器CPU类型Intel Xeon DPCPU频率3000MHz二级缓存1024KB目前CPU数1最大CPU数2内存类型DDRII400 ECC Registered标准内存容量1024MB最大内存容量16000MB主板芯片组Intel E7520+6300ESB+6700PXH PCI插槽类型/数量164bit 133MHzPCI-X；264bit 100MHzPCI-X；2PCI-Express x8；132bit 33MHz PCI主板I/O接口2串口（其中一个需从主板引出）；1并口；1VGA接口；2USB2.0接口（后置）；2USB2.0接口（前置）；2RJ45网口；1键盘接口；1鼠标接口硬盘类型SCSISCSI控制器类型/数量集成双通道Ultra320 SCSI控制器，支持HOST RAID，级别RAID0、1、01，支持ZCR（2010s）IDE控制器类型/数量Ultra ATA 100*2是否支持热插拔硬盘支持硬盘标配容量73*2GB外部驱动器架数52X CD-ROM，13.5英寸标准软驱显示卡ATI Radeon 7000显卡显存16MB是否支持磁盘阵列支持网卡型号集成两个千兆网卡（RJ45接口）系统风扇每处理器独立散热风扇；机箱中部2个系统风扇；机箱后部1个系统风扇机箱尺寸220*425*680mm 电源功率550W电源数量最大/标配单电源支持操作系统UNIX|LINUX|Windows NT|Windows2000随机软件曙光天阔服务器导航软件（1CD）；中文LINUX操作系统（1套）；NT资源手册（一套3本）； 随机CD中含有曙光天阔I110S用户手册2.3 IP地址和VLAN的划分2.3.1 IP地址的划分和IP地址的盗用问题（1）IP 地址的划分表2.5 IP地址的划分Table 2.5 The classification of IP address服务器名IP 段映射IPVLAN IDWWW/2463/2899FTP/2463/2899DNS/2463/2899VOD/2463/2899OA/2463/2899数据库/2463/2899财务数据/24100防火墙(RG-WALL1000)接口IP 地址 连接的设备F0/30RSR-08F1/30RG-S6810E管理IP0001 路由器(RSR-08) 接口IP 地址 连接的设备S1/163/28RG-WALL1000F1/1RG-S6506防火墙(财务)接口IP 地址 连接的设备F00/30RG-S6810EF13/30财务其他终端设备使用自动从DHCP获取的方式获取IP地址。(2)IP地址盗用问题分析研究现在，口地址作为一种稀缺资源，口地址的盗用就成为很常见的问题。特别是在按IP流量计费的网络，由于费用是按口地址进行统计的，许多用户为了逃避网络计费，用IP地址盗用的办法，将网络流量计费转嫁到他人身上。另外，一些用户因为一些不可告人的目的，采用口地址盗用的方式来逃避追踪，隐藏自己的身份。IP地址盗用侵害了网络的正常用户的权利，并且给网络计费、网络安全和网络运行带来了巨大的负面影响，因此解决口地址盗用问题成为当前一个迫切的课题。l IP地址盗用方法分析端口地址的盗用方法多种多样，其常用方法主要有以下几种： 静态修改IP地址对于任何一个TCP/IP实现来说，端口地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的端口地址，就形成了端口地址盗用。由于端口地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配职地址，但又会带来其它管理问题。 成对修改端口MAC地址对于静态修改地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，盗用技术又有了新的发展，即成对修改端口MAC地址。MAC地址是设备的硬件地址，对于我们以太网来说，即计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。 动态修改端口地址对于一些网络工程师来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的端口地址(或IP/MAC地址对)，达到端口欺骗并不是一件很困难的事。l 防范技术研究针