xx校园网解决方案毕业论文.doc

校园网解决方案 1 页 X X 校园网解决方案毕校园网解决方案毕 业论文业论文 目目 录录 一 一 技术方案技术方案 6 第一章第一章项目概述项目概述 6 1 11 1 校园网建设的必要性校园网建设的必要性 6 1 21 2 校园网建设目标校园网建设目标 7 第二章第二章网络设计原则网络设计原则 9 2 12 1 基本设计思想基本设计思想 9 2 22 2 基本设计原则基本设计原则 9 第三章第三章主干网设计主干网设计 11 3 13 1 主干网基本特征主干网基本特征 11 3 23 2 主干网技术选型主干网技术选型 11 3 2 1 网络主干技术选型 11 3 2 1 1 千兆以太网的先进性特点 11 3 2 1 2 传输介质与物理接口 11 3 2 1 3 服务类型 CoS 和服务质量 QoS 12 3 2 1 4 千兆服务质量 QOS 的保障 13 3 2 2 网络应用技术选型 13 3 2 2 1 VLAN 技术在网络中的应用 13 3 2 2 2 有关 VLAN 的标准 14 3 2 2 3 VLAN 之间的通讯 14 3 2 3 网络安全技术选择 15 3 2 3 1 防火墙的安全控制 15 3 2 3 2 ACL 的访问控制 15 校园网解决方案 2 页 3 33 3 主要网络设备选型主要网络设备选型 16 3 3 1 核心交换机 16 3 3 1 1 选型标准 16 3 3 1 2 设备介绍 STAR S4909 17 3 3 2 接入交换机 19 3 3 2 1 选型标准 19 3 3 2 2 设备介绍 S2126G 19 3 3 2 3设备介绍 S1916 23 3 3 3 防火墙 26 3 3 3 1 选型标准 26 3 3 3 2 设备介绍 捷普 F2000 20 27 3 43 4 IP 地址规划地址规划 29 3 4 1 VLAN 的设计 29 3 4 2 IP 地址分配表 29 3 53 5网络拓扑图网络拓扑图 30 第四章第四章 校园网教学系统解决方案校园网教学系统解决方案 31 4 14 1 操作系统平台操作系统平台 31 4 1 1 消息传递与工作流平台 31 4 1 2 信息资源管理平台 31 4 1 3 事务处理平台 31 4 1 4 网络应用支撑平台 32 4 24 2 数据中心设计数据中心设计 32 4 2 1 工作原理 32 4 2 2 信息类型 32 4 2 3 网络模式 33 4 2 4 信息浏览模式 33 4 2 5 中心信息数据库 34 4 34 3教室计算机教室计算机 方正文祥方正文祥 E350E350 34 4 44 4 教师计算机教师计算机 方正尊越方正尊越 A360 36 4 54 5 教学服务器组教学服务器组 曙光天阔曙光天阔 I620I620R R EH EH 37 4 64 6 不间断供电系统不间断供电系统 凌日凌日 5KV5KV 在线式在线式 UPSUPS 40 第五章第五章 网络综合布线系统网络综合布线系统 42 5 15 1学校信息点分布学校信息点分布 42 5 25 2结构化综合布线系统综述结构化综合布线系统综述 42 5 35 3 综合布线应符合的国际技术标准与规范综合布线应符合的国际技术标准与规范 42 5 45 4 综合布线系统的产品选型综合布线系统的产品选型 43 5 55 5 综合布线系统设计说明综合布线系统设计说明 43 5 65 6 结构化综合布线系统设计说明结构化综合布线系统设计说明 44 5 6 1 工作区子系统 44 校园网解决方案 3 页 5 6 2 干线子系统 45 5 6 3 垂直主干及管理子系统 46 5 6 4 设备间子系统 47 5 75 7 被测线路的定义被测线路的定义 48 5 7 1 测试项目及参数 48 5 7 2 测试人员 48 5 7 3 测试结果 48 5 85 8 结构化布线系统工程实施计划结构化布线系统工程实施计划 48 第六章第六章 网络工程实施计划网络工程实施计划 51 6 16 1 项目组织管理项目组织管理 51 6 1 1 项目领导小组 52 6 1 2 项目实施小组 52 6 26 2 项目实施小组的工作内容项目实施小组的工作内容 53 6 36 3设备保障设备保障 53 6 3 1工程实施 54 6 3 2 系统检验和测试工作流程 55 6 3 3技术移交工作流程 56 6 46 4系统工程测试及验收系统工程测试及验收 57 6 4 1网络系统测试 58 6 4 1 1网络测试的任务 58 6 4 1 2网络安装测试原则 58 6 4 1 3测试和验收标准 58 6 4 2网络测试实施内容 59 6 4 3项目进度安排 61 6 56 5系统设备到货和验收系统设备到货和验收 61 6 5 1设备的到货验收 61 6 5 2设备到货验收报告 61 6 66 6调试及试运行计划调试及试运行计划 62 6 76 7系统安装计划系统安装计划 63 6 7 1安装步骤 63 6 7 2需要安装 设置的设备 64 第七章第七章 系统培训计划系统培训计划 65 7 17 1 系统培训系统培训 65 7 27 2 现场培训现场培训 65 7 37 3 培训人数培训人数 65 7 47 4 培训课程培训课程 65 第八章第八章 网络系统运行管理建议网络系统运行管理建议 66 8 18 1 网络管理的必要性网络管理的必要性 66 校园网解决方案 4 页 8 28 2 网络管理的内容网络管理的内容 66 8 38 3 网络管理策略网络管理策略 66 8 48 4 网络管理工具网络管理工具 67 8 58 5 网络管理计划网络管理计划 68 8 5 1 设备的管理 68 8 5 2 网络安全性 68 8 5 3 网络性能分析优化 69 8 5 4 网络的故障排除 69 8 5 5 服务器的维护 70 8 5 6 建议的其他管理办法 70 二 二 质量保证计划质量保证计划 71 1 1 质量保障体系结构与功能质量保障体系结构与功能 72 1 1 2 保障体系顾问组 73 1 1 3 系统设计组 73 1 1 4 系统安装组 73 1 1 5 系统维护组 73 1 21 2 质量保证体系使用范围及内容质量保证体系使用范围及内容 74 1 2 1 技术咨询 设计保证体系 74 1 2 1 1 方案设计质量保证体系 74 1 2 1 2 初步设计质量保证体系 75 1 2 1 3 施工图设计质量保证体系 75 1 2 1 4 技术资料管理体系 76 1 2 1 5 设计文件审核程序 77 1 2 2 工程施工质量保证体系 77 1 2 2 1 安装工程质量保证体系 78 1 2 2 2 管线工程质量保证体系 78 1 2 2 3 系统调试质量保证体系 78 1 2 3 产品质量保证体系 79 1 2 4 项目及产品服务质量保证体系 79 1 2 4 1 前期服务质量保证体系 79 1 2 4 2 工程服务质量保证体系 79 1 2 4 3 售后服务质量保证体系 80 1 2 4 4 备品备件质量保证体系 80 三 三 售后服务计划售后服务计划 81 1 11 1 服务体系理念 服务策略 服务与支持分类服务体系理念 服务策略 服务与支持分类 81 1 21 2 售后服务的内容及人员安排售后服务的内容及人员安排 82 1 31 3 技术配合与支持技术配合与支持 83 1 41 4 技术培训技术培训 84 1 51 5 正常维护正常维护 85 校园网解决方案 5 页 1 61 6 应急措施应急措施 85 1 71 7 定期巡回检查和系统升级服务定期巡回检查和系统升级服务 85 1 81 8 服务响应时间服务响应时间 86 1 91 9 保修措施保修措施 86 1 101 10 售后服务承诺售后服务承诺 87 四 四 附录附录 89 网络拓扑图网络拓扑图 89 一 一 技术方案技术方案 第一章第一章项目概述项目概述 1 1 校园网建设的必要性校园网建设的必要性 信息技术教育是信息科学与技术发展的基础 传统的教育模式已不能适应 信息化的要求 亟需深化改革 加快信息技术教育进程 是提高我国综合国力 的一项长期而又紧迫的战略任务 世界各国都在积极发展信息技术教育 中共 中央国务院关于深化教育改革全面推进素质教育的决定 中提出 在高中 初 中和小学阶段普及计算机操作和信息技术教育 面向 21 世纪教育振兴行动计 划 也提出要实施 现代远程教育工程 而信息技术教育又必须以校园网平台 作为依托 共享和采集校园网平台提供的各种资源 因此在这种背景下 实施 校园网工程已经成为全国广大中小学一项迫在眉睫的任务 所谓校园网 是指 以网络技术为依托 以各种信息设施为支持 以教育资源和软件为基础 以实 现信息化教育为目的 为区域教育提供全方位应用服务的信息化环境全面解决 方案 教育信息化 不论是网上教育信息管理 还是网上教学应用都有广阔的 前景 就教育信息管理而言 目前学校内部各级教育管理机构基本沿袭传统手 校园网解决方案 6 页 工管理方式 只有个别办公室 个别部门 在某些方面实现了计算机自动化管 理 但都是零星的 分散的 基于单机的管理模式 在信息技术高度发达的今 天 这种管理模式已不能适应社会发展的需求 基于网络的教育信息管理模式 不仅可以极大地减轻工作强度 提高工作效率 而且可以减少由于人工操作出 现错误的可能性 并可以使信息在流通和重复使用中发挥最大的效益 就网上 教学而言 基于网络的教学环境 其信息资源的多样性 丰富性和信息检索的 快捷性 方便性是传统教学环境不可比拟的 而且网上学习不受时空和地域的 限制 学习模式也可灵活选择 既可以实现个别化的学习模式 又可以实现协 作式的学习模式 有利于发挥学生的主动性 积极性 创造性 有利于培养学 生的创新精神和贯彻落实素质教育 总之 基于网络的交互式教学 克服了过 去课堂集中演示型 学生自主学习型 专业训练型 课外检索阅读型的单调模 式 转而形成一种大容量 开放型的模式 充分体现了交互 合作的特点 符 合学生认知规律 并适应校园网络发展的新方向 进而形成一种全新的教学模 式和校园育人环境 1 2 校园网建设目标校园网建设目标 基于国家教育部对校园网的定义以及我们对校园网的深刻理解 我们认为 校园网建设的目标是 建设一个以信息管理 办公自动化 多媒体辅助教学为核心目的 以现代建设一个以信息管理 办公自动化 多媒体辅助教学为核心目的 以现代 网络技术 多媒体技术 通讯技术为依托 满足学校师生日常的教学 工作 网络技术 多媒体技术 通讯技术为依托 满足学校师生日常的教学 工作 学习与生活需要的综合性网络 将学校的各种数字信号设备与模拟信号设备连学习与生活需要的综合性网络 将学校的各种数字信号设备与模拟信号设备连 接起来 并与教科网等广域网相连 在网上宣传自己和获取接起来 并与教科网等广域网相连 在网上宣传自己和获取 InternetInternet 网上的教网上的教 学资源 形成结构合理 内通外联的校园网络系统 在此基础上 开发各类资学资源 形成结构合理 内通外联的校园网络系统 在此基础上 开发各类资 源库和应用系统 为学校各类人员提供丰富的网络服务 源库和应用系统 为学校各类人员提供丰富的网络服务 本着服务于教育 建设现代化数字校园 全面推进素质教育的原则 建设 武汉市 xx 校园网有三个根本目的 一是利用信息化手段改进教学过程 提高学 生的学习效率 二是利用校园网平台的资源 提高学校内部教育系统的管理水 校园网解决方案 7 页 平 三是通过校园网平台的搭建 实现全方位的数字化校园环境 提高师生的 信息化素质 目前 根据 xx 现有的网络基础及硬件设施是达不到上述三个目的 的 必须要构建一套严密 完整的网络应用体系 辅之以强有力的管理和培训 才能形成一个实用的校园信息网络体系结构 目前 xx 虽然有些已单独组网 但仍相互独立没有互连 基本上都以单机 方式工作 计算机上网比率仍然较低 综上所述 xx 计算机应用水平和使用效 率还有待于改进和提高 随着计算机 通信和多媒体技术的发展 使得网络上的应用更加丰富 同 时在多媒体教育和管理等方面的需求 对校园网络也提出进一步的要求 因此 需要一个高速的 具有先进性的 可扩展的校园计算机网络以适应当前网络技 术发展的趋势并满足学校各方面应用的需要 信息技术的普及教育已经越来越 受到人们关注 学校领导已经充分认识到这一点 学校未来的教育方法和手段 将是构筑在教育信息化发展战略之上 通过加大信息网络教育的投入 开展网 络化教学 开展教育信息服务和远程教育服务等将成为未来建设的具体内容 为了进一步发展教育事业 本着学校提出的 科研兴教构建教育模式 健康促 进国际品牌 的原则 并且使 xx 更充份的利用网络资源 提高教师及学生工作 学习的效率 有必要建设一个功能齐备 技术先进的校园网络 在武汉市在武汉市 xxxx 校园信息网工程中 根据我公司多年成功的大型校园网络项目校园信息网工程中 根据我公司多年成功的大型校园网络项目 经验 我们认为武汉市经验 我们认为武汉市 xxxx 校园信息网工程应该达到如下目标 校园信息网工程应该达到如下目标 1 采用能满足武汉市 xx 相当长一段时间内应用需要的网络技术建设学校 校园信息网 校园信息网将覆盖办公 教学 微机室 财会室 打字 室 教导处 总务处 电子阅览室 多媒体阶梯教室 校办以及校长 室等教育设施 2 校内的所有信息点都通过核心交换机可以实现信息通讯 方便的进行 资源共享 当信息中心机房接入互联网以后 需要上网的信息点都可 以同过信息中心与外网互联 3 提供网络管理功能 实现对网络运行的有效监控 保证武汉市 xx 日常 教学及管理工作的正常运行 同时实现校园网统一用户管理 提高网 络管理效率 方便用户使用网络资源 同时 有效的校园管理能加强 校园网解决方案 8 页 网络的安全 4 对整个系统进行完备的安全控制 在系统各层次如网络系统 服务器 系统 数据库系统 应用系统等采取有效的安全控制策略 5 保证网络有良好的扩展性 能够横向扩展 支持更多的用户接入 支 持更大的应用负荷 能够纵向扩展 实现向更先进的技术升级 提供 更多的网络服务 整个校园网络都是以教学为核心在功能方面我们是尽量求多 性能方 面我们是尽量的求稳 并且为学校以后的添置留有可扩展的空间 第二章第二章网络设计原则网络设计原则 2 1 基本设计思想基本设计思想 校园网建设应贯彻 统一规划 分级负责 分步实施 的原则 校园网建 设要适应学校教育信息化的发展需要 从实际出发 积极稳妥发展 统一规划 好校园网建设工作 由各级分步实施 以保证标准的统一性和软件的兼容性 校园网建设要适应学校的长远发展规划 要因地制宜 考虑学校的实际需 要和经济条件 以满足教育教学的需要为根本出发点 总体规划 分阶段实施 逐步完善 校园网不只是涉及技术方面 而是包括网络设施 应用平台 信息资源 专业应用 人员素质等众多成份的综合集成的信息化教学环境系统 因此 在 总体上如何筹划 组织网络建设和开发应用的设计思想是校园网建设中的最重 要的问题 总体设计是校园网建设的总体思路和工程蓝图 是搞好校园网建设的核心 任务 进行校园网总体设计 首先是进行对象研究和需求调查 弄清学校的性 质 任务和改革发展的特点 对学校的信息化环境进行准确的描述 明确系统 校园网解决方案 9 页 建设的需求和条件 其次 在应用需求分析的基础上 确定学校 Intranet 服务 类型 进而确定系统建设的具体目标 包括网络设施 站点设置 开发应用和 管理等方面的目标 第三是确定网络拓朴结构和功能 根据应用需求 建设目 标和学校主要建筑分布特点 进行系统分析和设计 第四 确定技术设计的原 则要求 如在技术选型 布线设计 设备选择 软件配置等方面的标准和要求 第五 规划安排校园网建设的实施步骤 2 2 基本设计原则基本设计原则 1 1 先进性 先进性 先进的设计思想 网络结构 开发工具 采用市场覆盖率高 标准化和技术成熟的软硬件产品 2 2 实用性 实用性 校园网是一个集教学 管理和信息发布为一体的综合服务体 系 它应能适应各种应用的要求 完成各种形式的信息传递的功能 建网时充 分考虑利用和保护现有资源 充分发挥设备效益 保证系统和应用软件全中文 界面 且功能完善 界面友好 兼容性强 能使用户最方便地实现各种功能 3 3 开放性 开放性 系统设计应采用开放技术 开放结构 开放系统组件和开放 用户接口 以利于网络的维护 扩展升级及外界信息的沟通 4 4 灵活性 灵活性 采用积木式模块组合和结构化设计 使系统配置灵活 满足 学校逐步完善的建网原则 使网络具有强大的可增长性 管理 维护方便 5 5 可扩展性 可扩展性 网络规划设计要满足用户发展在配置上的预留 还要满足 因技术发展需要而实现低成本扩展和升级的需求 特别是对综合业务应用即数 据 语音 视频等多媒体应用的支持 这就要求网络的规划设计必须在考虑技 术的可行性和先进性同时 还要考虑到前瞻性 在网络设备 线路 带宽 传 输协议选择 以及重要网络节点内部结构设计时 都需要权衡现有需求和未来 发展需求之间 现有技术和未来技术发展方向之间的矛盾 6 6 可靠性 可靠性 具有容错功能 能满足当地的环境 气候条件 抗干扰能力 强 对网络的设计 选型 安装 调试等各环节进行统一规划和分析 确保系 统运行可靠 7 7 安全性 安全性 提供多层次安全控制手段 建立完善的安全管理体系 防止 校园网解决方案 10 页 数据受侵击和破坏 有可靠的防病毒措施 8 8 经济性 经济性 在先进性和可靠性及高性价比的前提下 通过优化设计达到 经济性的目标 第三章第三章 主干网设计主干网设计 3 1 主干网基本特征主干网基本特征 根据国家教育部的校园网定义 我们认为校园主干网应该具有以下基本特 征 1 采用计算机网络综合布线技术和规范 2 在主干网上数字 模拟信号同时传输 3 各节点具有标准的数字 模拟信号接口 4 各节点之间可以交互式操作 5 必须是积木式结构 保证系统的扩展性和分步实施性 3 2 主干网技术选型主干网技术选型 3 2 13 2 1 网络主干技术选型网络主干技术选型 3 2 1 13 2 1 1 千兆以太网的先进性特点千兆以太网的先进性特点 千兆以太网技术千兆以太网技术 以太网从 100MBPS 升级到 1GBPS 溶和了两种技术 即 IEEE802 3 以太 网技术和 ANSIX3T11 光纤通道技术 协议架构协议架构 校园网解决方案 11 页 千兆比以太网是在利用了光纤通道的高速物理接口同时 又保留了 IEEE802 3 以太网帧格式 具备对已安装介质的向后兼容性 并利用了全 半双 工载波侦听 CSMA CD 传输机制 由于上述特点极小化了千兆技术的复杂性 该项技术具备良好的稳定性和扩展性 其应用得到了快速发展 3 2 1 2 3 2 1 2 传输介质与物理接口传输介质与物理接口 目前千兆比以太网的传输介质包括两种标准 IEEE802 3Z 和 IEEE802 3AB IEEE802 3Z1000BASELX 单模或多模 1000BASTSX 多模 1000BASECX 屏蔽铜缆 IEEE802 3AB 1000BASET 非屏蔽双绞线 千兆比以太网接口载体是由千兆比接口转换器 GBIC 实现的 3 2 1 3 服务类型服务类型 CoS 和服务质量和服务质量 QoS 技术技术 GigabitEthernet 除了提供高带宽以外 千兆比以太网也支持以太网的服务 类型和服务质量保证相关协议 如 IEEE802 1P IEEE802 1Q IEEE802 3X IEEE802 3AB 和资源预留协议 RSVP 等关键协议 IEEE802 1P 1998 年 6 月形成的 IEEE802 1P 标准 使得以太网能够及时响应独立端站 主机对网络发出的某个 QOS 服务质量 请求 该标准界定了组播 Multicast 分组 管理 IEEE802 1P 还包括了最新定义的通用分配注册协议 GARP 它专用于 GARP 的特定应用 如 GARP 组播注册协议 GMRP GARPWAN 注册协议 GVRP GMRP 为组播 MAC 地址分组提供了注册服务 从而保证以太网上的 多媒体应用需求 IEEE802 1Q 交换式互联网络中的虚拟局域网 VLANS 为网络产品提供了增值特性 如 VLAN 主干减少生成树的重复计算 控制广播等 以前除 ATM 局域网仿真外 还没有创建 VLANs 的任何工业标准 校园网解决方案 12 页 现在 802 1Q 已建立起了基于标准的 VLANs 该标准以帧标签机制为基 础 适合于以太网 快速以太网 令牌环和 FDDI 也为交换机和路由器提供一 种使 VLAM 标签化的方法 保证了多厂商的 VLAN 兼容性 GVRP 已由 IEEE802 1Q 支持 它提供了 VLAN 成员的注册服务 IEEE802 3X 802 3X 是以太网的一种流控机制 当客户终端向服务器发出请求后 自身 系统或网络产生拥塞环境中 它会向服务器发出一种暂停帧 以延缓服务器的 数据传输 千兆比设备对该机制的支持 补充了千兆比以太网对数据流的控制 功能 IEEE802 3AB 802 3AB 的标准支持在 5 类非屏蔽双绞线上 传输千兆比以太网 3 2 1 4 千兆服务质量千兆服务质量 QOS 的保障的保障 千兆以太网方案主要利用以下技术来保证服务质量 a 高速度和高带宽 高速度和高带宽 方案采用 1000Mbps 以太网作为骨干 桌面直接采用 交换的 10 100Mbps 连接 网络的带宽远超过一般多媒体应用所需的带宽 b 低延时 低延时 千兆以太网交换机的延时是极低的 一般不超过 15 s 采用 尽量少的网络层次结构使累积的延时保持在足够低的水平 交换式千兆以太网 低延时的交换机 能对流量进行应用层控制的交换式路由器 这些技术和产品 均可大幅度改善网络响应时间 c 流量优先化处理 流量优先化处理 IEEE802 1p 为以太网帧定义了 8 个优先级别 不同类 别的应用被赋予不同的优先级别 支持 802 1p 的交换机在每个端口都设置多个 输入 输出队列 这些队列的优先级别是不同的 网络管理员根据各种网络应用 对服务质量的要求为这些应用制定基于 802 1p 的优先级别 交换式路由器与第 2 层交换机相比 除了能辨认数据包中的 802 1p 位 而且能够辨认出各种应用 的信息流 并根据网管人员制定的有关服务质量的策略将这些信息流送入不同 级别的队列中 交换式路由器通过复杂的队列管理机制来保证对时间敏感的应 用 其数据流一般也是高优先级别的 优先被转发出目的端口 好的队列管理机 制也可进行流量控制和流量整形 TrafficShaping 以保证数据流不会拥塞交换 校园网解决方案 13 页 机 以及获得平稳的数据流输出 这对话音和视频会议这样的多媒体应用是非 常重要的 综上所述 千兆以太网作为本次校园网的网络骨干技术是最合适的 3 2 23 2 2 网络应用网络应用技术选型技术选型 3 2 2 1 VLAN 技术在网络中的应用技术在网络中的应用 为了便于管理 并提高网络的效率和安全性 除了网络的物理设计外 还 需要对网络进行逻辑设计 即划分虚拟网 VLAN 虚拟网技术是将网络的物理基础设施与网络的逻辑基础设计相分离 使得 网管人员能方便而动态地建立和重构虚拟网络 以适应今后部门机构的协作与 变动 方便网络管理 降低网络管理的成本 在交换式网络体系结构中 虚拟局域网 VLAN 是一个重要的组成部分 通 过 VLAN 的合理设置 xx 校园网网络中的用户可以方便地在网络中移动 而不 需硬件线路的改变 这样 可以从逻辑上对用户和其它网络对象进行分组 并 设定相应的安全和访问权限 然后 由计算机自动根据配置形成相应的虚拟网 络工作组 充分发挥交换网络的优势 体现交换网络高速 灵活 易管理等特 性 采用 VLAN 具有下述优势 控制网络上的广播风暴控制网络上的广播风暴 增加网络的安全性增加网络的安全性 集中化的管理控制集中化的管理控制 3 2 2 2 有关有关 VLAN 的标准的标准 IEEE802 lq 是 IEEE 执行委员会于 1996 年下半年开始制定的一种 VLAN 互 操作性的标准 它不仅规定 VLAN 中 MAC 帧的格式 而且还将制定诸如帧发 送及校验 回路检测 对服务质量 QoS 参数的支持以及对网管系统的支持等方 面的标准 它的正式名称是 IEEE802 1Q Interoperable LAN MAN Security Standard 是 一个 OSI 第二层的协议 包括了验证 Authentication 和加密 Encryption 等机制 其目的是在数据链路层内安全地交换数据 为此它定义了称为安全数据互换 校园网解决方案 14 页 SDE SecureDataExchange 的协议数据单元 PDU 经过 802 1Q 协议处理过的 MAC 帧 实际上是在 MAC 的帧头和数据区之间插入了一个 802 1Q 报头 该 报头中的 SAID SecurityAssociationIdentifier 域被一些厂家用作 VLAN 的标志域 虽然 802 1Q 确实是一个标准 但它毕竟只是一个安全性标准 并不能完全满足 虚拟网的需要 而且目前对 802 1Q 报头中域的使用 各厂家仍是各自为政 互 不兼容 3 2 2 3 VLAN 之间的通讯之间的通讯 此次工程中 我们采用的核心交换机和部分交换机都是第三层交换机的典 范 它消除了交换机与路由器的差别之争 它以新发明的灵活智能路由引擎 ASIC 为基础 可以实现 VLAN 之间的通讯 同时还可以根据不同的用户来设 置不同的访问权限 3 2 33 2 3 网络安全技术选择网络安全技术选择 网络安全性问题是一个综合问题 它包含网络设备和人为因素两个方面 因此 在网络安全性方面应制定如下制度 加强用户口令管理制度 合理设置口令的长度 更换周期 及时注销到期 帐号 利用网络系统及网络应用的权限机制 对不同网络用户提供不同的访问权 限 定期分析运行记录 防止非法入网和越权访问 网络病毒防范系统 加强行政管理 进行网络安全教育和培训 因此 在网络方案具体实施中 我们拟通过以下几个部分保证网络的安全 性 3 2 3 13 2 3 1 防火墙的安全控制防火墙的安全控制 随着 Internet 的日益商业化和社会化 人们对 Internet 网络信息的安全性给 予极大的关注 Internet 的信息安全性不论从技术上还是从法律方面都有很大的 校园网解决方案 15 页 发展 在技术上主要是防火墙 Firewall 技术 防火墙技术是在被保护网络和 Internet 之间设置一个隔离保护软件 从而 为一个地理上比较集中的网络提供抵抗外部入侵的能力 是一种被广泛使用的 安全性技术 设置防火墙的主要目的是保护一个网络不受来自另一个不可信赖网络的非 法侵入 对网络的保护主要体现在 拒绝未经授权用户的访问 拒绝未经授权用户的访问 阻止未经授权用户去存取敏感数据 阻止未经授权用户去存取敏感数据 保证合法用户不受阻碍地访问网络资源 保证合法用户不受阻碍地访问网络资源 3 2 3 2 ACL 的访问控制的访问控制 在 xx 校园网工程中 通过划分虚拟网并配置虚网之间的路由以维护网络的 安全性 同时利用具有三层交换功能交换机的 访问列表 AccessList 方式来 实现网络过滤功能 使之限制某些用户不能够访问或可以访问某些网络资源 这种访问列表的功能是相当强大的 它不仅可以支持基于 IP 源和目的地址 的控制 也支持基于 TCP UDP 的端口进行控制 保证 VLAN 内的主机安全 防止内部用户非法访问如财务 教务 后勤等敏感部门 3 3 主要网络设备选型主要网络设备选型 3 3 1 3 3 1 核心交换机核心交换机 3 3 1 13 3 1 1 选型标准选型标准 1 协议功能的支持协议功能的支持 网络主干设备应具有强大的标准协议支持能力 具有良好的开放性和互 连性 特别是复杂的路由协议 例如提供网络扩展能力的 OSPF BGP4 所支持的协议可根据网络模型的第 2 层和第 3 层进行分类 第 2 层 802 1d SPT 802 1Q 802 1p 802 3x 校园网解决方案 16 页 第 3 层 IP IPX RIP1 2 OSPF BGP4 VRRP 以及组播协议等等 2 策略功能的支持策略功能的支持 网络主干设备对策略的支持 表现在以下两点 网络主干设备不仅能根据第 2 层或第 3 层的地址对数据包进行处理 而且 能基于第 4 层的报头信息 针对不同的应用 实施对数据流的访问控制 ACL 服务质量保证 QoS 带宽管理 以及各种控制和服务策略 网络主干设备在第 3 4 层上对数据流施加各种管理 控制和服务策略时 其网络的传输性能保持不变 3 方案总体功能方案总体功能 网络主干设备在网络中不是孤立工作 它必须保证与二级网络设备相关功 能的一致性或兼容性 在方案总体功能上应能达到 端到端的链路聚集 Trunking 端到端的 VLAN 处理 端到端的 QoS 统一的网络管理 3 3 1 23 3 1 2 设备介绍设备介绍 STAR S4909STAR S4909 网络的核心层交换机模块 根据学校的用途和需求 我们选用 校园网解决方案 17 页 1 1 STAR M4909 CM 管理模块 对外提供 管理模块 对外提供 DB 9 的的 RS 232 电平接口 电平接口 2 2 STAR M4909 08T 8 8 口口 100BASE TX RJ45 接口模块 接口模块 3 3 STAR M4909 02GT 2 2 口口 10 100 1000M10 100 1000M RJ45 以太网模块 以太网模块 4 4 STAR M4909 02SFP 2 2 口基于口基于 SFPSFP 接口的千兆以太网模块接口的千兆以太网模块 STAR S4909 是全模块化的核心路由交换机 其高达 64G 的背板带宽和 24 Mpps 的三层包转发速率可为用户提供高速无阻塞的交换 丰富的扩展模块支持 灵活构建弹性可扩展的网络 S4909 支持基于 IP 的运营管理 安全控制 认证 计费等各种策略 提供完备的业务控制和用户管理能力 是大中型网络核心交 换机的理想选择 高密度模块化高密度模块化 在 3 5U 的空间里提供了多达 9 个插槽 8 个接口插槽 最大限度地满足了 用户模块配置的灵活性 先进背板结构先进背板结构 采用业界先进的交换矩阵结构 克服共享式总线交换结构的弱点 使整个 系统的交换容量具有很强的伸缩扩展能力 复杂功能硬件实现复杂功能硬件实现 STAR S4909 采用硬件方式实现交换和路由 保证系统所有端口均可同时 达到线速二 三层转发 并且 ACL 和 QOS 功能也是通过硬件实现的 不影响 系统的数据处理性能 接口模块独立分布式处理接口模块独立分布式处理 STAR S4909 整体设计上采用了分步式处理的先进理念 接口模块可以独 立实现硬件交换 路由 ACL QOS 组播等功能 流分类能力和流分类能力和 QOS 技术技术 STAR S4909 提供多种流分类技术 并且支持数据标记 802 1P DSCP 队列调度 SP WRR 承诺信息速率 CAR 拥塞控制 WRED 等 QOS 技术 校园网解决方案 18 页 完美的网络备份技术完美的网络备份技术 在网络双核心多链路的网络环境下 核心设备的 802 1S 和 VRRP 技术以 及汇聚层设备的 802 1S 技术是实现链路冗余备份和负载均衡的必要技术 STAR S4909 支持 802 1S 和 VRRP 所以不论作为核心还是汇聚设备 都可以 支持双核心多链路的网络备份环境 生成树支持生成树支持 支持生成树协议 802 1D 802 1w 802 1s 完全保证快速收敛 提高容错 能力 保证网络的稳定运行 技术参数技术参数STAR S4909 固定端口全模块化 模块插槽9 个 1 个用于管理引擎模块 背板64G 包转发速率L2 24Mpps L3 24Mpps MAC 地址32K 802 1q VLAN4K L2 协议IEEE802 3 IEEE802 3u IEEE802 3z IEEE802 3ab IEEE802 3x IEEE802 3ad IEEE802 1p IEEE8 02 1x IEEE802 1s IEEE802 1Q IEEEE802 1d IEEE802 1w IGMP Snooping GVRP Port Mirror L3 协议OSPF RIPV1 RIPV2 VRRP PIM SM DM IGMP 管理方式 SNMP V1 V2 Telnet Console WEB RMON 其它协议DHCP Client DHCP Relay ARP Proxy Radius IPV6 尺寸 长 x 宽 x 高 440 mm 360mm 163 mm 电源100VAC 240VAC 50Hz 60Hz 功率 300W MTBF 200 000 hours 温度工作温度 0 到 40 存储温度 20 到 70 湿度工作湿度 10 到 90 RH 存储湿度 5 到 95 RH 校园网解决方案 19 页 3 3 2 3 3 2 接入交换机接入交换机 3 3 2 1 选型标准选型标准 接入交换机应该达到 具备高性能的第 2 层交换能力 足够的端口密度满足用户节点的需求 以标准技术实现各种功能 可提供灵活的上连链路技术 ATM 千兆以太网 快速以太网 及 FDDI 等传统网络技术 可扩展性特指设备的性能 功能和端口密度的可扩展能力 通过软件的更 新或升级 使设备获得性能和功能的扩充以及对新标准 技术的支持能力 这不 仅可以保护投资的用户 还可避免硬件更新带来的诸多不便和额外的费用 可管理性应能根据用户的需求 灵活 简便地监控链路 端口的工作状态 和各种相关信息 同时可对其施加一定的管理策略 与网络主干设备在技术 功能上的一致性和兼容性 实现端到端的链路聚 集 VLAN QoS 统一的网管处理 支持主干设备上的 VRRP 根据 xx 的实际需求 2 层交换机需支持 VLAN 隔离和端口聚合 有效 的逻辑隔离广播 避免网络拥塞 3 3 2 2 设备介绍设备介绍 S2126G 校园网解决方案 20 页 STAR S2126G 是一款全线速可堆叠的安全智能交换机 在提供智能的流分 类 完善的服务质量 QoS 和组播应用管理特性同时 并可以根据网络实际 使用环境 实施灵活多样的安全控制策略 可有效防止和控制病毒传播和网络 攻击 控制非法用户使用网络 保证合法用户合理使用网络资源 充分保障网 络安全和网络合理化使用和运营 STAR S2126G 可通过 SNMP Telnet Web 和 Console 口等多种方式提供 丰富的管理 S2126G 以极高的性价比为各类型网络提供完善的端到端的 QoS 服务质量 灵活丰富的安全策略管理和基于策略的网管 最大化满足高速 安全 智能的 企业网新需求 高性能高性能 12 8G 背板带宽为所有的端口提供非阻塞性能 灵活完备的安全控制策略灵活完备的安全控制策略 通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击 控 制非法用户使用网络 保证合法用户合理化使用网络 如端口安全 端口隔离 专家级 ACL 时间 ACL 端口 ARP 报文合法性检查 基于数据流的带宽限速 六元素绑定 嵌入式硬件过滤 BT 数据流技术等等 满足企业网 校园网加强 对访问者进行控制 限制非授权用户通信的需求 硬件实现端口与 MAC 地址和用户 IP 地址的绑定 严格限定端口上用户接 入 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通 不必占 用 VLAN 资源 通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯或 安全隔离 确保数据流进入有效端口 而不会被发送到其它端口 即解决了因 传统 802 1QVLAN 造成全网 VID 资源不够的问题 同时又无需利用安全规则资 源即能达到隔离不同用户以及不同组用户之间通讯的功能 充分保护用户隐私 通过锐捷 SAM 平台 可实现用户账号 MAC 地址 IP 地址 交换机 IP 交换机端口等六大元素之间的灵活任意绑定 有效确认用户合法性和唯一 校园网解决方案 21 页 性 支持业界特有的 IGMP 源端口检查 有效杜绝非法组播源播放和大量占用 大量网络带宽 提高网络安全性 提供极为有效的 Port Blocking 功能 避免端口受到其它端口发送的广播包 多播包等报文的干扰 有效减轻端口负载负担 提高端口带宽 保护用户 PC 更高效安全地运行 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制 增强了设备网管的安全 性 避免黑客恶意攻击和控制设备 提供加密传输的 Secure Shell SSH 保证管理设备信息的安全性 防止 黑客攻击和控制设备 可灵活控制二 七层数据报文 使得任何一个用户 PC 上的任何一种应用 报文通过网络都能得到有效控制 充分保障了网络的安全和合理化使用 完善的完善的 QoS 策略策略 支持 802 1P 端口优先级 IP TOS 二到七层流过滤等 QoS 策略 具备 MAC 流 IP 流 应用流等多层流分类和流控制能力 实现带宽控制 转发优 先级等多种流策略 支持网络根据不同的应用 以及不同应用所需要的服务质 量特性 提供服务 极灵活的带宽控制能力 可以基于交换机端口 MAC 地址 IP 地址 VLAN ID 协议 应用组合进行带宽限速 支持输入速率限制和输出速率限制 限速粒度精细 1Mbps 128KB 粒度 百兆端口 8Mbps 1024KB 粒度 千兆 端口 可根据网络安全需求 设定不同业务应用的带宽流量 满足按需所用 高可靠性高可靠性 支持生成树协议 802 1d 802 1w 802 1s 完全保证快速收敛 提高容错能 力 保证网络的稳定运行和链路的负载均衡 合理使用网络通道 提供冗余链 路利用率 方便易用易管理方便易用易管理 强大的菊花链式堆叠 支持 S2126G S2150G 的混合堆叠 保证网络的高度 灵活和可扩展 网络管理更加简单 独特的集群管理 通过一台命令交换机可管理多达 20 台的 S3550 系列和 校园网解决方案 22 页 S21 系列交换机 无论交换机是否在同一配线间和布线室 强大的集群管理方式使得网络的维护工作变得非常方便和简单 只需配置 1 个 IP 地址 即可管理多台设备 不仅成倍节省了 IP 地址空间 而且维护和管 理量也得到极大降低 提供图形化的安全策略管理配置平台 支持安全策略自动同步下发 升级 和维护功能 安全策略智能化 可大幅度提高交换机管理和配置效率 提高网 络安全 端口的 VLAN 自动跳转功能 无需网管员手工干预 即可将端口跳转到用 户所在 VLAN 实现用户全网漫游上网 减轻设备配置和维护量 多端口同步监控 通过一个端口即可同时监控多个端口的数据流 可以只监 控输入帧或只监控输出帧或双向帧 大大提高维护效率 CLI 界面 方便高级用户配置和使用 Java based Web 管理方式 实现对交换机的可视化图形管理 快速和高效地 配置设备 产品型号 STAR S2126G 固定端口24 端口 10 100 自适应 模块插槽2 个扩展插槽 可用模块STAR M2121S 单口 1000BASE SX 模块 STAR M2121L 单口 1000BASE LX 模块 STAR M2121T 单口 1000BASE TX 模块 支持 10 100 1000M 自适应 STAR M2101F 单口 100BASE FX 模块 STAR M2101F S 单口 100BASE FX 单模模块 STAR M2101T 单口 100BASE TX 模块 STAR M2131 堆叠模块 背板 12 8Gbps 包转发速率线速 6 6 Mpps MAC 地址 8K 802 1q VLAN4K ACL IP 标准 ACL 基于 IP 地址的硬件 ACL IP 扩展 ACL 基于 IP 地址 传输层端 口号的硬件 ACL MAC 扩展 ACL 基于源 MAC 地址 目的 MAC 地址和可选的以 太网类型的硬件 ACL 基于时间 ACL 专家级 ACL 可同时基于 VLAN 号 以 太网类型 MAC 地址 IP 地址 TCP UDP 端口号 协议类型 时间灵活组合的硬 件 ACL L2 协议IEEE802 3 IEEE802 3u IEEE802 3z IEEE802 3x IEEE802 3ad IEEE802 1p IEEE802 1x IEEE802 3ab IEEE8 校园网解决方案 23 页 02 1Q GVRP IEEEE802 1d IEEE802 1w IEEE802 1s IGMP Snooping LLDP 管理协议SNMPv1 v2 v3 Web JAVA CLI Telnet Console RMON 1 2 3 9 集群 SSH 基于 HTTPS 的 Web 管理 Syslog 其它协议BOOTP DHCP Relay RADIUS 尺寸 长 宽 高 440mm 240mm 44mm 电源160VAC 240VAC 48Hz 60Hz 温度工作温度 0 到 40 存储温度 40 C 到 70 C 湿度工作湿度 10 到 90 RH 存储湿度 5 到 90 RH 3 3 2 3设备介绍设备介绍 S1916 RG S1916 是锐捷网络推出的一款 16 口高性能增强网管型交换机 具有丰 富而强大的网管功能 在实现数据线速交换的同时 可以通过多重设置方式对 网络进行网管操作 实现 802 1Q VLAN 保护端口 链路聚合 Spanning Tree 监控设置 静态地址管理 广播风暴控制 端口动态 MAC 地址锁 端 口 MAC 地址绑定 端口 IGMP 属性设置 802 1p 优先级 802 1x 安全控制等 各种管理 RG S1916 可针对用户的不同情况进行端口带宽分配 并采用业界 最先进的 802 1x 安全接入控制策略 简化认证的同时实现高效的用户控制能力 RG S1916 灵活的带宽分配功能 安全的用户接入控制功能 以及丰富多样 的管理方式和易于安装的外观设计使此款交换机特别特别适合于金融网点 城 域网 IP 接入 中小学教育网 政府 企业等多种应用场合 端口全线速交换端口全线速交换 交换容量 6 8G 为所有的端口提供无阻塞全线速交换 校园网解决方案 24 页 灵活的端口带宽分配灵活的端口带宽分配 S1916 的 16 个 10 100M 端口均可达 64K 精细粒度尺度的带宽分配 这样 网管人员可轻松地根据每个用户的实际业务需要分配相应的带宽 满足不同用 户的接入带宽需求 在控制用户的接入速率同时 又可以有效防止用户恶意占 用网络带宽 大大提高对网络带宽的利用率 为用户更好的利用带宽资源提供 最佳保证 如在智能大厦 宽带