小区网络规划与设计方案

装订线长 春 大 学 毕业设计（论文）纸1 引 言近年来，许多房地产开发商在住宅小区开发时规模大小不等，近几年随着房地产和网络信息技术的快速发展，社区建设逐渐成为开发商的主要工作。因为互联网的信息和服务内容的不断扩展，允许用户对网络的需求急剧增加。同时，网络小区还将对开发商和具有商业价值的社区带来新的市场机会。随着计算机技术，通信技术，控制技术和多媒体技术的发展，小区的网络系统建设也在不断发展。国信美邑小区用地面积 19.35万平方米，按1000户规模设计，小区网及信息化基础设施建设要充分体现21世纪高等小区建设水平，包括小区物业办公室，综合服务中心，居民楼等建筑，建筑面积超过20.47万平方米，是一座舒适、现代化小区。随着网络覆盖面积的增加、用户数量的扩大，以及用户对信息传输速度要求的不断提高，网络的技术服务和用户服务的工作量和难度亦不断提高，将小区网络变得更方便，更安全是每个开发商共同努力追求的目标。因此，在网络中添加相应的设备，重新规划小区的IP地址，选取新的网络技术，使网络更安全，方便完善正是这次设计所要解决的问题。为此，我们根据社区的用户需求，对国信美邑小区网络系统的建设提出我们的一些想法和设计。2网络建设的目标随着生活节奏的加速，生活质量的提高，人们需要更快的信息传输平台，所以一个高效、安全的网络是人们生活中不可或缺的。信息技术的应用与普及，将改变传统的住宿模式并大幅度提高信息流动速率，数字化小区、网上小区已被人们熟悉，住宅小区正在走向全面的信息化。在国信美邑小区建设中应推动小区信息化基础设施建设，其最终建设目标是将国信美邑小区建设成为一个信息化时代下的高水平的智能化、数字化小区，更好的对小区网络进行管理。国信美邑小区网络系统在总体上需满足以下几个原则：（1）结构化小区内部局域网建设，除住宅楼的接入信息点外，还存在资源共享区域等等，其功能的不同决定了不同的信息点对网络的要求和网络设计中考虑的因素不同。当某部分功能要求有所变化时，也只需要针对相应的功能结构进行重新设计和改造升级，对网络的其它组成结构和网络的主干没有任何影响。基于这些优势，小区内部局域网采用结构化的设计模式。（2）安全性为了保证小区内的业主使用安全，避免互相干扰，网络系统应支持多VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，核心层部署硬件防火墙，保护整个小区的网络安全，分布层部署软件防火墙，保护各个服务器上的数据安全。此外，在接入小区内部网络的用户通过身份认证系统，防止用户账号、IP地址、MAC地址的盗用，保证用户身份的合法性。（3）高可管理性为方便设计的施工以及验收，乃至以后的易维护，网络系统应注意保证整个系统的可管理性，统一管理。（4）高性能在小区内部局域网中，不仅要求网络主干是高带宽的，作为一个网络的基础，接入层设备也应该达到高速（1Gbps）。也就是说，交换机的接入速率应该达到千兆才能满足未来的发展趋势。（5）可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。（6）标准协议支持网络系统应支持标准协议IP，是一个开放型的网络，支持各种协议的互联。（7）符合国际标准选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。3网络的设计规划3.1网络建设设计原则国信美邑小区网络系统具有覆盖面积大，计算机节点分散，数据交换频繁和实时性要求高等特点，所以对于计算机系统的处理能力、网络远程通讯能力及系统可靠性要求很高。根据国信美邑小区网络系统的具体特点并结合工作的具体需求，系统的建设遵循以下原则：（1）先进性计算机网络技术发展很快，不断有新技术、新产品涌现，我们要采用先进的、成熟的计算机技术和网络通讯技术来满足业务的需求，保障系统有较长的生命周期，但同时要坚持采用标准化产品。（2）可靠性系统能长时间稳定可靠地运行，并保证系统安全，防止非法用户的非法访问。系统不能出现故障，或者说即使有设备出现故障，对网络和网上的数据不构成大的威胁，要有设备对数据作备份。（3）灵活性需求会变化，计算机网络技术也在进步，需求和解决方案之间是一个动态的匹配过程，因此，一方面要构筑一个稳固（Strong）的技术平台，另一方面也要有在这平台上作调整、升级和扩充的灵活性。系统应具有良好的可扩展性，易于升级，支持新业务发展需求，使原有投资得到保护，因此在目前选择方案和产品时要留出余地，选用的产品要有好的升级扩充能力。（4）网络开放性网络开放性的好坏，实际是指构造网络所选用的网络硬件、软件产品的开放性如何，网络产品是否可与其他厂商产品联网。包括是否具有支持多种网络协议的能力，是否支持通用的国际标准，或普遍使用的工业标准等。开放性好的网络不但可以在一个网络系统上使用其他厂家的网络产品而实现“无缝联接”，而且为进一步的网络应用环境的集成、为实现网络的可互操作性提供了技术基础条件。网络的开放性好，也为网络的扩充、发展以及新的应用领域开阔了天地。否则，不仅网络的应用和发展受到限制，而且会导致投资浪费。（5）网络可互操作性网络系统的可互操作性是指在一个网络上的不同厂商的系统之间是否可以透明的以统一界面相互访问对方的系统、文件数据以及应用系统，以达到共享资源的目的。另一方面，可互操作性还体现在对网络管理的可互操作性上。包括网络运行监测、网络应用管理、网络设备管理、网络安全管理以及网络维护管理等，这些管理不仅在本地网络上可以操作，而且能够在远程网络间进行互操作。（6）网络的兼容性当一个已有的网络在采用新技术或新的网络设备进行改进、扩充和升级时，这些新的网络设施(软、硬件)是否能与原有的或其他的网络设施兼容是非常重要的。好的兼容性可以保护原有的设备，可使新投资与原有的设备同时发挥效益。（7）网络的可用性建成后网络的可用性高低是网络用户最为关心的，它也是对网络质量和网络性能的综合衡量。可用性是网络本身很多物理特性的总体体现，如网络的带宽、网络带宽效率、网络时延、网络负载、网络故障频率等状况。同时也是网络系统环境、网络应用环境和网络应用的支持能力、水平和质量的总体反映。如果一个网络能支持传统的文件与数据的传输、访问和共享，同时也能支持新型文件如多媒体的传输、访问和共享服务，并且使用户的应用需求能够得到充分的满足，那么这个网络肯定是高质量、高性能的。（8）网络的可伸缩性网络的可伸缩性不只是一种网络设施在构造网络时，在规模上可依据需要扩大或减小，而且还应体现在网络的模块化和结构化方面。网络体系结构的模块化、结构化是现代化网络技术产品的标志和趋势。网络管理的任意性和网络配置的简便性等是网络可伸缩性的另一重要方面。（9）网络的经济性一个好的网络并不是高价网络设备的简单堆积，并不是网络设备越好，网络就越好。衡量一个网络的好坏和它的经济性，不能单看所用的投资的多少，而应以网络所具有的功能和网络可承担的负荷，如网上的用户数、数据流量等参数去综合衡量。以“少花钱，多办事”的原则，获得更大的经济效益和社会效益。根据国信美邑小区局域网网络应用的特点，主干网的选择对于网络建设的成功与否起着决定性的作用。选择先进的主流网络技术，不但能保证整个网络的正常运行，还能提供良好的可靠性，可用性，扩展性，不仅有力地保证了国信美邑小区各项活动的正常进行，而且保护小区网络的各种设备运行与使用1。3.2网络的结构化设计层次在网络设计中的作用类似于生活中的层次。采用正确的层次，就能使网络有可预测性，具有帮助定义区域的功能。锐捷的层次模型可以帮助设计，实现和维护可扩展的、可靠的和性能价格比高的层次化的互联网络。小区网络的主要层次包括：接入层（交换）、汇聚层（路由）、核心层（骨干）2。核心层是1台锐捷网络RG-S-8600，虽然小区人口多，但网络带宽要求并不高，所以用1台交换机做核心。汇聚层主要是由若干个中端锐捷设备组成，汇聚层就是小区内部每栋楼之间接入核心的一个过渡的层次。它主要负责提供负载均衡、快速收敛和可扩展性等作用。接入层就是用户可见的部分，主要实现用户层次的网络的接入，一般选用的都是比较简单低端的设备。4国信美邑网络设计方案4.1网络技术及接入方式的选择4.1.1 网络技术的选择当前的网络技术主要有千兆以太交换网、FDDI、ATM等可供选择。千兆以太网是快速以太网的延续，是性价比很高的一种主干网技术，千兆以太网自身提供了完整的迁移途径，通过它可以充分保护我们对现有网络设备的投资。前卫以太网保留了IEEE 802.3和以太网帧格式和管理对象规格。这一性能可以使小区网络在进行自身升级的同时，不影响现有线缆的使用、操作系统、协议、桌面应用程序和网络管理战略与工具。与原有的快速以太网、FDDI、ATM等主干网解决方案相比，千兆位以太网提供了一条最佳的路径。至少在目前看来，是改善交换机与服务器之间和交换机与交换机之间骨干连接的可靠、经济的途径。结合国信美邑小区网络的需求分析及其未来网络的发展潜力选择千兆以太网技术作为组网技术，完全可以满足国信美邑小区的组网需求，也符合当前网络技术发展的趋势。要保证网络的传输速率，必须有一定的带宽。千兆交换式以太网可以为每个端口提供1G的带宽，完全可以满足主干网的需要；未来网络的发展是不可预知的，必须做好充分的向万兆以太网过度的准备，千兆以太网在向万兆以太网过渡时会免去很多麻烦事情；在网络技术的操作性以及兼容性，最主要是技术的成熟和管理等方面综合考虑，选取千兆以太网是最佳选择。4.1.3 采用三层交换模式三层交换技术是二层交换技术+三层转发技术。在传统的交换技术中是第二层在OSI网络模型-数据链路层进行操作，而三层交换技术是在第三层中的网络模型中实现分组快速转发。网络路由的功能可以通过应用第三层交换技术来实现，该网络性能可以根据不同的网络条件进行优化。使用三层交换机的好处：除了高性能外，与二层交换机相比，三层交换机还具有一些独有的特性，这些特性使三层交换机更有优势：(1)高可扩展性与传统外部路由器不同，在连接多个子网时，三层交换机的子网中仅第三层交换模块建立逻辑连接，需要增加端口，满足本地区35年的互联网应用。(2)性价比高三层交换机在功能上比传统的二层交换机更加强大，但价格上却接近二层交换机，百兆的三层交换机几万元左右，几乎与高端的二层交换机持平。(3)内置安全机制三层交换机可自身具有访问列表的功能，并可以实现不同VLAN之间的单向或双向通信。如果设置了访问列表，你可以限制访问特定的IP地址。访问列表不仅可以为内部用户禁止访问某些站点，也可以用于防止非法用户访问社区内部网络，降低网络遭受攻击的几率，从而提高了网络的安全性4。4.1.2 网络的介入选择以太网技术成熟、成本低、结构简单、稳定性、可扩充性好; 便于网络升级，同时可实现智能化物业管理、实时监控、家庭自动化小区/大楼/家庭保安（如远程遥控家电、可视门铃等）、远程抄表等，可提供智能化、信息化的办公与家居环境，以此保证不同层次用户的需求3。4.1.4 采用VPN方式接入VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的不同数量居民楼内部网之间建立一条专有的通讯线路，就如同是构建了一条专线一样，但是它其实并不需要真正的去铺设光缆之类的物理线路。一句话，VPN的核心就是在利用公共网络建立虚拟私有网。结合国信美邑小区网络系统覆盖面积大，计算机节点分散，数据交换频繁和实时性要求高等特点，在小区网络设计中选择千兆以太网技术，考虑到三层交换技术的各种优势，我们在网络设计中将选用三层交换技术，采用VPN的接入方式支持小区内部网络通信。4.2 路由协议的选取因为考虑到小区网络结构较复杂，并且在网络协议的选择方面要考虑到稳定和简便。所以本次设计选取RIP-2作为路由协议。RIP-2是一种无类别协议（路由），与RIP-1相比，它具有以下优点：（1）支持路由标记，并可以灵活地路由标记路由策略控制。（2）该数据包携带掩码的信息，它支持路由聚合和CIDR（无类别的域间路由）。（3）支持下一跳的指定，并且可以被选择在广播网络的最佳下一跳地址。（4）支持组播路由发送更新报文，减少资源消耗。（5）支持协议消息的验证，并提供明确的认证和验证MD5加密两种方式，增强安全性5。综上特点，由于RIP适合大小适中且简单的局域网，而且需要VLSM和VLAN的划分，所以国信美邑小区内网选择RIP-2更加合适。4.3 网络的拓扑结构计算机网络的拓扑结构是指网络设备的物理连接关系。网络的拓扑结构主要有总线网、环型网和星型网混合拓扑结构等。借鉴现代网络建设的基本原则及比较了上述各种网络拓扑的优缺点后，本次针对小区的网络设计选择混合拓扑结构最为合理。混合拓扑结构是由星型结构或环型结构和总线型结构结合在一起的网络结构，这样的拓扑结构更能满足较大网络的拓展，解决星型网络在传输距离上的局限，而同时又解决了总线型网络在连接用户数量上的限制。首先由于小区分为别墅区与普通住宅，采用单一的拓扑结构根本不能满足用户的需求，所以采用混合拓扑结构，可以弥补其他拓扑的不足之处。其次，国信美邑小区网络内物理设施的建设不是十分规律，这也就导致内部节点以及网络布线等不是十分规律，采用的信息传播方式也有很多不同。再者由于小区的可扩展能力十分强，内部节点数量的增加和总线长度的扩展十分可能。因此必须采用一种扩展能力相当强的网络拓扑来满足用户和未来的发展，混合拓扑结构正适合当前国信美邑小区网络的需求。再次，网络工程师们在设计网络时不可能保证网络永远不出现故障，故障可能是线路问题也可能是设备问题。采用混合拓扑结构可以保证一个优点，那就是容易维护。无论哪里出现错误，在维护的过程中都是相当复杂的。采用混合拓扑结构可以保证一个前提：无论哪个分支网络出现故障都不会影响到整个网络的运行。最后，现在用户对网络速度的要求越来越苛刻，如果做的不好，很可能受责骂。采用混合拓扑结构可以保证数据传输速度，无论使用哪种线路进行网络传输都不会对整个网络的速度上进行太多的限制。由上述可见。这种拓扑结构主要有以下几个方面的特点：（1）应用相当广泛。（2）扩展相当灵活。（3）较易维护。（4）速度较快。4.4 网络设备的选择设备的选择要尽量考虑到国信美邑小区网络规划的目的及未来的可扩展能力，从安全性、可靠性等多方面来考虑。成熟实用的产品以及开放先进的技术是我们选择网络设备首先也是必须考虑的问题。4.4.1 核心设备的选择在设备选型和结构设计中网络中心必须考虑整体网络的高性能和高可靠性。特别是核心节点交换机，有两个基本要求：（1）高密度的端口，也能保持端口线速转发; （2）关键模块必须是冗余的，如引擎管理，电源，风扇管理。在此设计中，选择锐捷2 RG-S8610基于十万兆网络平台的RG-S8610网络核心路由交换机。锐捷RG-S8600系列交换机是锐捷网络推出面向下一代融合网络的高密度多业务IPv6核心路由交换机，满足未来小区以太网的应用需求。RG-S8600系列交换机融合了VSU(Virtual Switching Unit)、MPLS/VPLS、网络安全、无线网络、IPv6、流量分析等多业务特性。丰富的槽位选择给客户预留了丰富的扩展余地，VSU虚拟化特性简化客户的网络结构，MPLS/VPLS虚拟专网技术打破客户物理专网隔阂，形成融合统一网络，完善的IPv6特性满足未来的升级改造。RG-S8600系列交换机可广泛应用于城域网、园区网和数据中心。 RG-S8600系列包括三款型号：RG-S8614、RG-S8610和RG-S8606-BSERISE6。SPOH基于标准的技术，扩大，MAC，效率，ACl80，基于一系列的ACL技术支持IPv4/IPv6堆叠VLAN ACL功能。在ACL的配置也达到上千兆线速数据传输。最长匹配（LPM）三层交换技术的IPv4/IPv6路由直接向网络的静态和动态的方式存储，目的网段使用转发条目，和未知的目的地IP地址网段的数据包直接通过硬件的默认路由转发，大大节省了硬件存储空间，避免内存溢出导致高CPU利用率的问题，以确保设备的正常运行。RG-S8600提供各种硬件的安全功能，如防DDOS攻击，非法数据包检测，防扫描，防源IP地址欺骗等，避免了传统软件对整体性能的影响。支持广播包抑制，有效控制流动的非法广播设备的影响。支持IPv4、IPv6，结合多种组合，VLAN，MAC和端口，提高用户的访问控制。RG-S8600支持IPv6协议族和地址结构，支持ND，路径MTU发现DNSv6后，DHCPv6，ICMPv6回等IPv6特性。RG-S8600的IPv6静态路由，RIPNG的从OSPFv3，IS-ISv6的BGP4 +等IPv6单播路由协议的全面支持，支持MLD V1 / V2，MLD侦听和PIM-SM / DMv6，PIM-SSMv6等IPv6组播特性，为用户提供完美的IPv4 / IPv6解决方案。RG-S8600支持丰富的IPv4向IPv6过渡技术，包括：IPv6手动隧道，6to4隧道，ISATAP隧道，IPv4 over IPv6隧道技术，保证IPv4网络向IPv6网络的平滑过渡。随着IPv6在中国的发展不断深化，在小区网络升级的未来选择转移到IPv6网络设备，为国信美邑小区以后的网络升级打下了良好的基础。结合锐捷网络流量分析系统，IPFIX技术可以对网络进行异常检测和统计分析，输出各种丰富的网络流量分析报告，其中包括对所有流量：流量使用情况，历史和接口报表，可解析主机地址，流量分析，可变显示的信息，这可以帮助管理员对网络异常进行分析，很快修复网络，为客户提供客观，准确的决策依据对网络容量规划，网络应用监测和故障诊断的问题，可以实现的真实网络流量的可视化。IPFIX多业务模块作为一个独立的业务灵活扩展到锐捷交换机中，使用独立的硬件平台，保证多业务模块上的故障或维修，数据业务的核心设备的正常转发，保证核心设备的高可靠性7。4.4.2 汇聚层设备的选择汇聚层节点必须提供全线速交换数据，确保顺利接入节点和核心节点的数据交换，同时，当网络流量大时，保证关键业务的服务质量。本次国信美邑小区网络汇聚层选用的RG-S5750-E系列交换机是锐捷网络推出的融合了高性能、多业务、高安全的新一代三层交换机。可扩展的高密度万兆端口，加上全千兆的端口形态，提供1：1全线速多层交换，该交换机适合高性能、高带宽和灵活扩展的大型网络汇聚层，数据中心服务器群，以及中型网络核心的接入使用。业界领先的虚拟交换单元技术（Virtual Switch Unit），可以简化用户对网络的管理，提升用户网络架构的稳定性。不仅如此，RG-S5750-E系列出众的安全性能和丰富的防攻击功能，全方位的保障用户的网络安全，为用户带来非凡的极速网络体验。锐捷 S7500E(X)系列包括S7510E（ 12 槽）、S7508E-X（14 槽）、S7506E（8 槽）、S7506E-V（垂直8 槽）、锐捷 S7506E-S（8 槽）、S7503E（5 槽）、7503E-S（3 槽）和S7502E(4 槽)8 款产品，除了7503E-S 所有产品均支持冗余主控。锐捷 S7500E(X)可广泛应用于数据中心、城域网、小区网核心和汇聚等多种网络环境，为用户提供了有源无源一体化、有线无线一体化的行业解决方案。（1）高性能万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网络，也方便用户后续升级网络到万兆。（2）IPv4/IPv6双协议栈多层交换硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，可根据IPv6网络的需求规划网络或者维持网络现状，提供灵活的IPv6网络通信方案。支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络。支持丰富的IPv6路由协议，包括静态路由、RIPNG、OSPFv3、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络。（3）虚拟化技术支持VSU（Virtual Switch Unit）即虚拟交换单元技术。通过聚合链路连接，将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，利用单一IP地址、单一Telnet进程、单一命令行接口(CLI)、自动版本检查、自动配置等特性简化了管理。聚合链路可以是千兆接口，也可以是万兆接口，最大限度保护用户的投资。（4）灵活完备的安全策略具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防DOS攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色。支持基于硬件的IPv6 ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等。业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP）技术，流向CPU的数据，采用流动分离和优先级队列分级，并根据需要实施带宽限制，充分保护CPU是不被占用，恶意攻击和资源消耗，以确保CPU的安全，充分保护交换机安全。硬件实现的端口或交换机与用户的IP地址和MAC地址柔性结合，端口上严格限制用户访问或交换机上的用户访问的问题。支持DHCP snooping，可只允许信任端口的DHCP响应，防止私设DHCP Server的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题。基于源IP地址控制的Telnet设备访问控制，防止非法人员和黑客恶意攻击和控制设备，提高网络管理的安全性。SSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备。控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足小区网加强对访问者进行控制、限制非授权用户通信的需求。支持NFPP技术。NFPP (Network Foundation Protection Policy基础网络保护策略)是用来增强交换机安全的一种保护体系，通过对攻击源头采取隔离措施，可以使交换机的处理器和信道带宽资源得到保护，从而保证报文的正常转发以及协议状态的正常。（5）强大的多业务支撑能力支持IPv4、IPv6组播功能，包含丰富的组播协议。比如IGMP Snooping、IGMP、MLD、PIM、PIM for IPv6、MSDP等协议族，为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持。支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的安全性。支持等价路由（ECMP）等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。支持丰富的MPLS VPN功能，智能侦测MPLS断网，智能选择冗余线路保持MPLS VPN的连通性。支持在三层MPLS VPN中作为PE，MVRF使用。支持国际流量监测标准IPFIX（IP流信息导出），锐捷流量分析系统的结合，IPFIX技术可以对网络进行统计分析和异常检测，输出各种丰富的网络流量分析报告，包括：流量报告，历史报告，报表界面，解析的主机地址，流量分析，可变显示的信息，这可以帮助管理员在网络中的异常行为分析，很快存在的网络，为客户提供客观，准确的决策依据对网络容量规划问题，网络应用监测和故障诊断。（6）完善的QOS策略与MAC流、IP流相比应用流的具有多层流分类和流控制能力，实现精细化流量带宽控制，转发优先级策略，根据不同的应用和不同的应用支持网络需要的业务特点，保证提供服务的质量。QOS的保障体系，这需要将DIFFSERVER标准为核心，支持802.1P，IP TOS，二至七层过滤层，SP，WRR等完整的QOS策略，实现基于全网系统的QOS逻辑。（7）高可靠性支持生成确保链路的负载均衡和网络的稳定运行，合理使用网络通道，反馈冗余链路利用率。支持VRRP虚拟路由器冗余协议，全面保障网络稳定。支持RLDP，快速检测链路的通断和光纤链路可以支持端口环路检测功能，防止将端口用于私有访问集线器等设备，导致网络故障的现象。支持ERPS （G.8032），国际标准为核心以太网设计的二层链路冗余备份协议，其环路阻断以及链路恢复都集中在主控设备上进行，非主控设备直接向主控设备汇报自己的链路情况，无需经过其他非主控设备的处理，因此环路中断以及恢复时间比STP快。基于以上区别， ERPS在理想环境下的链路恢复能力能够达到毫秒级。在不启用STP的情况下，可以通过REUP(Rapid Ethernet Uplink Protection Protocol)提供一个快速上链保护功能，REUP使得用户在关闭STP的情况下，仍提供基本的链路冗余，同时提供比STP更快的毫秒级故障恢复。支持BFD，为各上层协议如路由协议，MPLS等提供一种快速检测两台路由设备之间转发路径连通状态的方法，大大减少了上层协议在链路状态变化时的收敛时间。（8）方便易用易管理灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择线缆。网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理。为方便安装地点或建筑物不适宜部署外部电源的环境，RG-S5750-E系列交换机特别提供支持POE+功能的产品型号，即通过双绞线就可以向远端下挂的PD设备供电，如无线AP、IP Phone、视频监控等设备，方便了任何符合IEEE 802.3af和IEEE 802.3at标准的终端设备的接入，实现以太网集中供电，以满足金融、小区、学校、医院、工厂等用户实现VOIP、远程监控、无线AP等网络应用的需要。SYSLOG方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理。多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率。4.4.3 接入层设备的选择对于国信美邑小区网络接入节点的交换机，必须考虑到安全接入控制、QOS服务质量保证、组播支持等技术。 锐捷网络睿翼RG-S2928G-S-P系列交换机是锐捷网络推出的全千兆安全智能POE供电的二层交换机，适用于园区网络的接入层，提供千兆到桌面的解决方案。凭借高性能、高安全、多业务、易用性的特点，融入IPv6的特性，使得锐捷网络睿翼RG-S2928G-S-P交换机可广泛应用于各行业的千兆网络。通过支持万兆扩展和万兆冗余堆叠，满足了网络流量成倍提高和多媒体业务的迅速增长的需要，特别适合需要高带宽的网络环境中使用。在提供高性能、高带宽的同时，锐捷网络睿翼RG-S2928G-S-P交换机提供智能流分类，提高服务质量（QOS）和多播应用，管理特性的质量，并可以根据实际使用环境，灵活的控制策略的执行的网络，有效地预防和控制病毒的传播和网络攻击，非法用户接入控制和网络，保证合法用户合理使用网络资源，充分保障网络安全，更合理的使用和操作网络。（1）高性能高背板带宽为所有端口提供线速的交换能力，并提供万兆扩展和万兆堆叠，满足数据流量和多媒体业务日益增长的需要。（2）灵活完备的安全控制策略通过各种内部安全机制，可以有效地防止和控制病毒和网络攻击流量的扩散，控制非法用户使用网络，保证合法用户合理使用网络，如端口静态和动态安全绑定，端口隔离，各种硬件ACL控制，基于数据流的带宽限速，多元素绑定的用户访问控制，满足小区网络的需求，以加强控制和限制参观者的非授权用户的通信需求;锐捷网络安全计费管理平台，不仅可以实现用户帐号，密码，MAC地址，IP地址，IP交换机，交换机灵活的绑定任何端口之间的六要素，确认用户身份的唯一性和合法性，可以通过切换动态绑定的硬件特性和保护用户的身份始终保持一致，避免用户恶意篡改身份信息的非法攻击行为;ARP检测功能有效遏制在网络中日益增长的ARP网关欺骗和ARP主机欺骗的现象，并保护用户的正常上网。自动装订可以实现IP的静态分配与动态分配，这大大节省了劳动力成本，并通过ARP速率减少管理ARP分组的速率，从而防止对ARP恶意使用扫描工具监视的开销，导致网络拥塞的攻击；支持DHCP Snooping功能，只允许信任端口的DHCP响应，并没有阻止管理员权限设置DHCP服务器，扰乱IP地址的分配和管理，影响用户的正常上网的行为;和DHCP Snooping功能，监控动态ARP和检查源IP的基础上，有效地防止IP ARP欺骗和源IP地址欺骗的DHCP动态分配；基于源IP地址控制的Telnet和Web访问控制，防止非法人员和黑客对设备的控制和恶意攻击，提高网络管理的安全性；在日益激烈的IPv6应用面前，交换机支持基于IPv6的ACL的硬件，即使是在IPv4网络与IPv6用户，也可以很方便地在网络上实现IPv6的用户访问控制的边缘，可以让网络的IPv4 / IPv6共存的用户，IPv6的用户访问控制，如接入网络中的敏感资源的限制；SSH（安全壳）和SNMPv3技术通过在Telnet和SNMP的过程中加密管理信息，防止黑客攻击和控制设备，保证管理信息的安全性。基于访问控制的Telnet源IP地址控制，保证只有管理员配置的IP地址登陆切换，更精确的提供设备管理控制，提高了网络管理设备的安全性。（3）高可靠性CPU安全屏障保护：特有的CPU保护策略（CPP），对发往CPU的数据流，进行流区分和优先级队列分级处理，并实施带宽限速，充分保护CPU不被非法流量占用、恶意者攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全；生成树协议802.1D，802.1w，802.1s的支持，充分保证了快速收敛，提高系统容错能力，保证网络和链路负载均衡的稳定运行，合理利用渠道网络，提供冗余链路利用;的PORTFAST大大降低了30-50秒生成树协议收敛时间的标准，和BPDU保护功能，以避免生成树协议环路；支持RLDP可以是单向链路快速检测的通断和光纤链路和支持端口环路检测功能，防止端口，用于私有访问集线器等设备，在循环的形式，并导致网络的现象故障;支持1+1冗余可插拔电源，提供系统可靠性，同时方便客户进行现场维护。（4）多业务支持当网络上的服务越来越多，其带宽安全就显得尤为必要。为了避免带宽的紧急服务，完善的服务质量是服务质量的保障;支持的802.1p，DSCP，IP TOS，根据不同的应用二至七层流过的QOS策略的过滤器，用MAC流，IP流，应用流的多层流分类和流量控制，带宽控制，转发优先级策略，支持网络和不同的应用需要保持服务质量提供完善服务;每端口支持8个优先级输出队列，使网络管理员可更精细的为各种应用分配带宽，从而更好的保证业务正常开展。交换机支持SP，WRR，DRR等机制确定报文处理顺序，比如SP可确保某个队列中的业务总是优先传输，而WRR则可保证所有队列中的业务都有机会；极灵活的带宽控制能力，基于交换机端口、MAC地址、IP地址、VLAN ID、协议、应用组合进行灵活的带宽限速，限速粒度达到64Kbps，可根据网络安全需求，设定不同业务应用的带宽流量，满足网络带宽按需所用；能够探测IGMPv1/v2和IGMPv3全部版本的组播报文，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。（5）灵活可靠的万兆混合堆叠提供可靠的万兆冗余堆叠组合，在万兆冗余堆叠的基础上，能同时提供万兆上链，满足高性能、高带宽的需要，方便网络发展和规模扩大；支持硬件堆叠QOS，保证在网络拥塞、网络攻击等网络环境恶劣的情况下，依然能正常管理堆叠组成员，保证堆叠设备的正常运营。（6）方便易用易管理采用灵活复用的千兆接口和扩展槽组合的形式，可最灵活满足是否需要多个千兆链路上链或多个千兆服务器的连接，方便用户根据网络架构灵活选择连接形式；多端口同步监控，通过一个端口监控数据流的多个端口，只能监控输入帧或只监控输出帧或双向帧，大大提高维护效率；网络时间协议确保的开关时间的准确性，并统一为在网络时间服务器，因此它可以很容易地记录信息和交通信息和故障诊断；日志便于收集，维护，分析，故障各种日志信息，这是很容易对管理员的维护和管理的位置和备份；4.4.4 防火墙的选择实现和维护防火墙是网络安全策略的一个主要部分，所以防火墙在网络安全的实现当中一直扮演着重要的角色。防火墙通常位于网络中，这使得内部网和因特网或与其它外部网络彼此隔离，限制访问来保护网络的交换的边缘。设置防火墙的目的是要建立的内部网络和外部网络之间的唯一通道，并简化了网络的安全性管理。锐捷网络RG-WALL 1600系列下一代防火墙基于“人本网络”，实现“智能感知”。实现基于用户、资源、应用的访问控制。RG-WALL系列下一代防火墙采用最新的安全处理算法，以高性能提供防病毒、IPS、行为监管、反垃圾邮件、深度状态检测、外部攻击防范、应用层过滤等功能，有效保证网络安全。提供多种智能分析和管理手段，支持邮件告警，进行网络管理监控，协助网络管理员完成网络安全管理；全面的VPN业务，可以构建多种形式的VPN；双机状态热备，支持主主和主备两种工作模式以及丰富的QOS特性，充分满足客户对网络高可靠性的要求。即刻选择锐捷网络RG-WALL下一代防火墙，让用户的网络更加安全、高效、稳定、可靠。（1）采用先进的硬件平台及设计架构全线产品使用多核平台，万兆级高速安全处理。统一化的特征库和一体化分析处理引擎设计，极大的提高了多功能模块同时运行时的运行效率。（2）多业务高性能采用锐捷网络安全研究组RG-Slab最新发布的HiSpeed算法，突破安全产品硬件瓶颈。实现防火墙、VPN、UTM多业务高性能。支持IPS、流控、Web过滤的高性能处理。（3）下一代防火墙特性面向法规和人本，实现基于用户、资源、应用的访问控制。可以与身份认证系统对接，实现一体化策略配置，可视化安全管理更加快捷高效。（4）支持全面的网络攻击防护支持DOS/DDOS攻击防护，支持MAC和IP绑定功能，支持智能防范ARP攻击防护、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护。（5）完善的日志管理与审计提供记录日志功能，统计与分析流量，时间监控，邮件提醒功能，有完善的日至管理系统，完成的日志查询，分析，记录。（6）独立的VPN模块内置专用的硬件VPN模块，支持GRE、L2TP、IPSec、SSL VPN等多种VPN业务模式。支持多种平台移动终端VPN接入。（7）高可靠性保障支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份，支持自动同步特征库和策略库。支持双配置文件，设备关键部件均采用冗余设计。4.5 网络总体拓扑图国信美邑网络出口为防火墙，下接三层交换机作为核心，然后就是每栋楼的接入交换机。内网服务器部署在防火墙的DMZ区域。网络的出口为一条电信的链路，内网的服务器通过在端口映射成电信的地址使外部可以访问。核心交换机为锐捷的S-8600，防火墙是锐捷网络RG-AG515，各个楼的接入交换机是锐捷网络睿翼RG-S2928G-S.所有布线均采用的是双绞线。根据客户的需求，国信美邑小区网络拓扑图如图4-1所示：图4-1 国信美邑小区核心拓扑图5 网络的详细设计规划5.1 IP地址的重新划分考虑到原网络的IP地址规划中的问题，现需要对国信美邑小区的IP地址进行重新规划，所用私有网段IP地址为：/16，表面看起来这个网段似乎很大，但是在实际应用中根本无法满足剧增的用户的需求。因此在IP地址规划这里必须详细考虑到国信美邑小区的现在状况，合理的利用各项技术，尽可能使IP地址资源达到充分的利用，在IP地址的分配中，还要考虑到VLAN中的IP地址以及VLSM等。IP地址划分是本次设计中最繁琐的一块。根据国信美邑小区的网络拓扑，还有已经存在的建筑构造，小区网络的重新规划十分困难，而且小区各栋楼结构类似。在这里国信美邑小区的IP地址空间应该足够的大。根据楼编号划分，各栋楼都已经分配到了自己所需要的IP地址，内部的具体详细划分如下。/21可以划分出16个192.168.x.x/25的IP地址段。所以国信美邑小区的网络IP地址具体规划如下：服务器，防火墙，核心设备的端口IP地址也可以在国信美邑小区的IP地址里划分出来。服务器群及防火墙的IP地址可在：/25网段中，内部的具体IP地址划分可根据一个服务器一个指定IP地址的原则进行划分。29/2554/25为核心设备的IP地址段。/2526/25为服务器和防火墙等配置。服务器IP分配例子如下：www：/25FTP：/25Mail：/25DNS：/25如果有新的服务器添加进来，只需要按照IP地址的数目依次往下分配即可。由于核心设备的端口比较多，其IP地址可在：28/25取IP地址来满足设备配置的需要。国信美邑小区的网络IP地址具体划分要根据信美邑小区网络拓扑来详细划分。由此可以确定国信美邑小区的网络IP地址具体分配，如表5-1所示：表5-1 国信美邑小区的网络IP地址具体分配表楼号IP地址（网络地址）A1栋/2526/25A2栋29/2554/25A3栋/2526/25A4栋29/2554/25A5栋/2526/25A6栋29/2554/25.A17栋/2526/25A18栋29/2554/25物业29/2554/25在IP地址分配出后，仍然有/2554/25作为保留网段，完全可以满足日渐发展的国信美邑小区的网络的需要。社区网的信息点多，如何对IP地址的分配进行有效的管理，是十分重要的。针对不同的情况，可以对IP地址进行静态或动态的分配方式。国信美邑小区的静态分配的情况： （1）对外提供信息服务的服务器； （2）社区网内提供信息及管理服务的服务器； （3）路由器、交换机等网络设备的IP 地址分配。动态分配的情况：不提供信息服务，只访问小区内部或互联网的资源。本方案的接入交换机配合认证计费系统，可以做到以下地址管理： （1）对于静态分配地址的用户，只有用预先分配的IP地址才可以上网； （2）对于动态分配地址的用户，只有通过DHCP方式获得IP地址才可以上网； （3）获得有效IP地址上网后，试图修改IP地址，均会自动与网络断线。 以上手段，保证了IP地址不会冲突，因而可以对IP地址资源的使用进行有效的管理和控制。5.2 VLAN的划分VLAN又叫虚拟局域网，它可以把可跨越不同网段，不同网络的端到端逻辑网络部署在交换局域网上。通过VLAN组成的逻辑广播域覆盖不同的网络设备，并且允许一个逻辑子网中存在不同地理位置的网络用户。本次VLAN的设计是基于端口的VLAN划分的。将一个交换机上的不同端口构建成一个逻辑组，这种方法简单并且有效。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。其余栋的网络大致可按次类推，每个代表性的栋划分到一个VLAN中。这样就能充分且合理的贯彻了VLAN的作用及特点。本次设计中，不得不考虑到VLAN之间的路由。在默认时，只是在一个VLAN中的主机才能彼此通信。针对国信美邑小区网络的物理拓扑，不可能每一个栋住户都规划到起相应的交换机下，这种情况只需这种情况的端口设置为Trunk即可解决所遇到的问题。这里要注意：要将交换机的端口配置成为Trunk，端口带宽必须至少为100MB/S。通过建立一个虚拟专用网来解决该问题。在交换机上配置一条中继链接，然后在路由器上使用标记协议如：ISL或802.1Q，只需要在选择了接口和封装类型以及虚拟网号后，配置上子接口的IP地址和这个接口属于哪个子网即可。VLAN的详细配置，如表5-2所示：表5-2 国信美邑小区VLAN具体分配表楼号VLAN IDA1栋VLAN 10A2栋VLAN 20A3栋VLAN 30A4栋VLAN 40A5栋VLAN 50A6栋VLAN 60A17栋VLAN 170A18栋VLAN 180物业VLAN 1905.3 网络管理设计根据用户需求的分析的结果，本小区必须是可管理的网络，所以网络管理的设计必须以逻辑网络的设计来进行。根据客户机/服务器应用模式和集中式资源管理的原则，网络管理中心，建立，管理和交换设备在分布网络中都是统一。所