大型园区网络设计方案

西南交通大学西南交通大学 组网设计方案组网设计方案 大大 型型 园园 区区 网网 络络 西南交大一队西南交大一队 第一章第一章 概述概述 1 1 前言前言 在二十一世纪教育改革中 世界各国都在加快教育现代化的步伐 其信息化程度的高 低已成为当今世界衡量一个国家综合国力的重要标志 中国教育信息化在经过过去几年的建设后 国家教育科研网 CERNET 骨干已基本 建成 大部分高校也已建设了自己的校园网络 对校内提供 ISP 服务 国家要求在今后 5 年内完成教育上网 即所有高校 职业学校 中学和小学拥有自己的校园网 并建设校园 网将各个校区互联并提供与国家教育科研网和各运营商互联的接口 1 2 总体设计原则总体设计原则 1 先进性原则 计算机网络的先进性将通过网络构架的先进性 硬件设备的先进性 传输速率和协议选择 信息系统的先进性来体现 2 实用性原则 采用的技术路线 产品应经过实践检验 被证明是成熟可靠的 设计 结果能满足客户的需求并且行之有效 3 可靠性原则 校园计算机网络的可靠性将通过选择能可靠运行的网络结构 选择可 靠的网络和计算机硬件设备 以及选择可靠的网络操作系统和信息应用系统来体现 4 安全性原则 通过加强内部访问控制和外部访问控制两方面来保证网络和信息安全 5 开放性原则 采用标准通用的网络协议和信息传递方式 保证系统的开放性 6 易管理性原则 从网络的结构和网络设备的易管理性来体现 网管员可以在网络的 任意端口通过 Web 对设备进行管控 设备的所有端口的状态都会实时地显示出来 控制整 个网络安全高效地运行 7 经济性原则 相对国防 金融等机构 学校对网络建设的投入显然较低 这就要求 建成的网络经济实用 具备很高的性能价格比 在技术性能和价格的平衡中 技术性能优先 兼顾价格 1 3 校园网网络设计需求校园网网络设计需求 1 网络的应用网络的应用 1 大容量的教学资源库 课件资源库 2 Web E MAIL FTP BBS 视频服务器 数据库服务器的应用 3 办公自动化及办公收发文系统 4 远程教育服务 5 各种流媒体和各种应用平台服务 6 Intranet 以及 Internet 技术应用 2 校园网络主干校园网络主干 校园网络主要涉及 40 栋大楼 网络中心设在大楼 1 集团共 20 个部门 分别在 A B C D 楼各 5 各 每个部门用户数在 100 个左右 1 主干采用千兆以太网 到桌面 10 100 兆自适应连接 2 接入交换机至大楼交换机之间采用 1000M 互连 3 大楼交换机至核心交换机之间采用 1000M 互联 4 分别通过两个路由器连接到教育科研网 CERNET 和 chinanet 实现与 INTERNET 的 互联 5 内部网络采用 Intranet 应用模式架构整个应用信息系统 6 骨干网技术要求 1 满足对多媒体数据的要求 避免主干网络瓶颈的出现 2 提供子网划分 虚拟网技术和能力 解决内部网络的路由 实现较高的内部路由 性能 3 具有高可靠性 4 保证传输的服务质量 提供必要的服务质量 QOS 服务级别 COS 和服务类型 TOS 等 5 主干交换机的背叛交换容量不小于 50G 6 高性能价格比 7 布线系统技术要求 1 布线系统全部采用符合国家标准或国际标准的产品进行完全的结构化布线 2 在较好性能价格比的情况下 布线的标准适当超前 整个系统应提供 15 年以上 的质量保证 3 楼宇之间根据距离远近采用多模 MMF 或单模 SMF 光纤 大楼内部采用 5 类 双绞线 4 集团内部各个建筑物都有 1 对 8 芯的单模光纤连接到主建筑物 即网络中心所在 地 8 网络管理技术要求 1 基于开放的校园网系统 应当支持集成化的 SNMP 及 CMIP 应用 能够全面管理 TCP IP 网络设备 并且提供面向目标的图形管理接口和 API 编程接口 2 网络管理员可以通过网络管理工作站 借助图形化的界面 可以对网络上的设备 进行监控和集中式管理 只要对网络软件进行配置 不必到现场进行实际操作 就能重新构造网络 3 提供方便 安全 可靠的故障和维护管理 安全管理 性能管理 统计管理 计 费管理等基本管理功能 9 系统安全控制技术要求 1 Internet 的安全控制应提供地址转换 被动监厅 端口扫描和否认服务等机制 同时划分不同级别的安全区域 2 远程访问的安全控制应提供访问服务器的用户身份认证 用户授权及用户记账 审计等功能 3 应提供对整个网络和工作站进行侦独 解毒和清毒等工作 防范计算机病毒 3 3 网络流量网络流量 学校现有师生 15000 人 以后用户还会增多 并有多个计算机局域网 初步估计上 网高峰时约有 20000 台计算机需同时使用集团网络 另外还考虑到视频会议以及文件服 务得需求所以设计计算机网络系统应充分考虑每个用户的带宽和系统的响应时间 其计 算机网络的建设应达到 网络传输速度高 不能有信息传输瓶颈 信息处理效率高 系 统响应时间短 每个用户都有较高的带宽 1 4 技术方案综述技术方案综述 通过对集团网络建设项目系统现状和对整个网络系统建设需求的了解 以万兆主干 网络为基础平台 以集团网应用为主线 以实现办公自动化 资源共享 实时新闻发布 财务电算化和集中式的供应链管理系统和客户服务关系管理系统为目的 我公司推荐如 下主要技术方案 采用锐捷网络公司的交换机产品来构造集团内部网络 网络核心交换机采用 RG S8600 系列高密度多业务 IPV6 核心路由交换机 大楼汇聚交换机采用 RG S5750 系列 安全智能万兆多层交换机 接入交换机采用 RG S2126S 千兆增强网管交换机 第二章第二章 网络系统设计网络系统设计 2 1 方案描述方案描述 桌面接入交换机采用 RG S2126S 并通过五类双绞线连接 汇聚层交换机采用 RG S5750 并通过千兆光纤连接 核心交换机采用两个 RG S8600 并通过千兆光纤连接 在核 心交换机之间采用 10G 光纤构成冗余线路 通过一台核心交换机和两台路由器 RSR 08 相 连采用 10G 光纤 之间由 RG WALL1600 防火墙进行安全保障 其中一台路由接入 cernet 一台路由接入 chinanet 2 2 设备选型设备选型 接入层交换机 产品概述产品概述 RG S2126S 是一款全线速可堆叠千兆智能交换机 提供智能的流分类和完善的服务质 量 QoS 以及组播管理特性 并可以实施灵活多样的 ACL 访问控制 可通过 SNMP Telnet Web 和 Console 口等多种方式提供丰富的管理 S2126S 以极高的性价比 为各类型网络提供完善的端到端的服务质量 灵活丰富的安全设置和基于策略的网管 最 大化满足高速 安全 智能的企业网新需求 产品特性产品特性 高性能高性能 高背板带宽为所有的端口提供非阻塞性能 灵活多样的安全控制灵活多样的安全控制 通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击 控制非法用户使用网络 保证 合法用户合理化地使用网络 如端口安全 端口隔离 硬件 ACL 控制 端口 ARP 报文的合法性检查 基于 数据流的带宽限速 六元素绑定等 满足企业网 校园网加强对访问者进行控制 限制非授权用户通信的 需求 硬件实现端口与 MAC 地址和用户 IP 地址的灵活绑定 严格限定端口上用户接入 通过将端口设为保护端口 即可简单方便地隔离用户之间信息互通 不必占用 VLAN 资源 同时又无 需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能 充分保护用户隐私 实现用户账号 MAC 地址 IP 地址 交换机 IP 交换机端口等多元素之间的灵活任意绑定 有效确 认用户合法性和唯一性 通过锐捷安全计费管理平台 SAM 不仅可实现用户账号 MAC 地址 IP 地址 交换机 IP 交换机端口 等六大元素之间的灵活任意绑定 有效确认用户身份的合法性和唯一性 更能通过交换机特色硬件动态绑 定 保障用户身份始终一致性 避免了用户恶意篡改身份信息进行非法攻击等行为 专用的硬件防范 ARP 网关和 ARP 主机欺骗功能 有效遏制了网络中日益泛滥的 ARP 网关欺骗和 ARP 主 机欺骗的现象 保障了用户的正常上网 支持 DHCP Relay 更可支持 DHCP Option 82 可方便实现对 IP 地址的精确分配和控制 并可通过交 换机硬件 ARP 检查 可有效防范动态分配 IP 地址环境下的 ARP 欺骗问题 提供极为有效的 Port Blocking 功能 避免和阻止端口受到其它端口发送的广播包 多播包等报文的 干扰 有效减轻端口的负载负担 提高端口带宽 保护用户 PC 更高效安全地运行 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制 避免非法人员和黑客恶意攻击和控制设备 增强 了设备网管的安全性 SSH Secure Shell 和 SNMPv3 技术可以通过在 Telnet 和 SNMP 进程中加密管理信息 保证管理设备 信息的安全性 防止黑客攻击和控制设备 完善的完善的 QoSQoS 策略策略 支持 802 1P DSCP 端口优先级 IP TOS 二到七层流过滤等 QoS 策略 具备 MAC 流 IP 流 应用 流等多层流分类和流控制能力 实现带宽控制 转发优先级等多种流策略 支持网络根据不同的应用 以 及不同应用所需要的服务质量特性 提供服务 极灵活的带宽控制能力 可以基于交换机端口 MAC 地址 IP 地址 协议 应用组合进行带宽限速 限速粒度精细 1Mbps 128KB 粒度 百兆端口 8Mbps 1024KB 粒度 千兆端口 可根据网络安全需求 设定不同业务应用的带宽流量 满足按需所用 丰富的组播特性丰富的组播特性 支持业界特有的 IGMP 源端口检查 有效杜绝非法组播源播放和大量占用大量网络带宽 提高网络安 全性 支持和识别 IGMPv1 v2 和 IGMPv3 全部版本的组播报文 适应不同组播环境 避免非法的组播数据流 占用网络带宽 满足组播安全应用的需要 高可靠性高可靠性 支持生成树协议 802 1d 802 1w 802 1s 完全保证快速收敛 提高容错能力 保证网络的稳定运 行和链路的负载均衡 合理使用网络通道 方便易用易管理方便易用易管理 强大的菊花链式堆叠 保证网络的高度灵活和可扩展 网络管理更加简单 独特的集群管理 通过一台命令交换机可管理多达 20 台的 S21 系列交换机 无论交换机是否在同一 配线间和布线室 强大的集群管理方式使得网络的维护工作变得非常方便和简单 只需配置 1 个 IP 地址 即可管理多 台设备 不仅成倍节省了 IP 地址空间 而且维护和管理量也得到极大降低 多端口同步监控 通过一个端口即可同时监控多个端口的数据流 可以只监控输入帧或只监控输出帧 或双向帧 大大提高维护效率 支持端口环路检测 可快速检测端口下联出现环路的情况 并能自动将有环路端口关闭和定时启动 保障了网络的可靠 Syslog 方便各种日志信息的统一收集 维护 分析 故障定位 备份 便于管理员进行网络维护和 管理 CLI 界面 方便高级用户配置和使用 Java based Web 管理方式 实现对交换机的可视化图形界面管理 快速和高效地配置设备 产品参数产品参数 产品型号 RG S2126S 固定端口24 端口 10 100 自适应 模块插槽2 个扩展插槽 可用模块单口 1000BASE SX 模块 单口 1000BASE LX 模块 单口 1000BASE TX 模块 支持 10 100 1000M 自适应 单口 100BASE FX 模块 单口 100BASE FX 单模模块 单口 100BASE TX 模块 堆叠模块 包转发速率线速 802 1q VLAN4K ACL 标准 IP ACL 基于 IP 地址的硬件 ACL 扩展 IP ACL 基于 IP 地址 传输层端口号的硬件 ACL MAC 扩展 ACL 基于源 MAC 地址 目的 MAC 地址和可选的以太网类型 的硬件 ACL L2 协议IEEE802 3 IEEE802 3u IEEE802 3z IEEE802 3x IEEE802 3ad IEEE802 1p IEEE802 1x IEEE802 3 ab IEEE802 1Q GVRP IEEEE802 1d IEEE802 1w IEEE802 1s IGMP Snooping v1 v2 v3 管理协议SNMPv1 v2C v3 Web JAVA CLI Telnet Console RMON 1 2 3 9 集群 SSH Syslog 其它协议BOOTP DHCP Relay DNS Client 尺寸 长 宽 高 440 240 44mm 电源160VAC 240VAC 48Hz 60Hz 温度工作温度 0 到 45 存储温度 40 C 到 70 C 湿度工作湿度 10 到 90 RH 存储湿度 5 到 90 RH 适用场合适用场合 可满足多种应用需求 高性价比的千兆上链解决方案 高密度端口需求 实现网络弹性扩展 高安全接入控制 灵活的用户带宽分配 灵活的用户计费 保证语音 组播音视频服务及视频点播等关键任务的应用 丰富的管理策略应用 有效控制网络访问和端到端的 QoS 策略 典型应用典型应用 RG S2126S 的组网形式非常灵活 适用各种类型网络的接入层 如教育 金融 大中小企业 政法等 大中型网络接入层 小型网络接入层 汇聚层交换机 产品概述产品概述 RG S5750 系列是锐捷网络推出的融合了高性能 高安全 多智能 易用性的新一代万兆机架式多层交换 机 该系列交换机提供的接口形式和组合非常灵活 即可以提供 24 个或 48 个 10 100 1000M 自适应的千 兆电口 又可以提供有 24 个 SFP 千兆光口 又能提供 PoE 远程供电的接口 每种产品型号都配合提供了灵活的复用千兆口 满足网络建设中不同传输介质的连接需要 同时为满 足网络的弹性扩展 和高带宽传输需要 可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块 特别适合高带宽 高性能和灵活扩展的大型网络汇聚层 中型网络核心 以及数据中心服务器群的接 入使用 该系列交换机硬件支持多层线速交换 并提供了丰富而完善的路由协议 以适合大型网络多种路由和 高性能的需要 RG S5750 系列交换机提供二到七层的智能的业务流分类 完善的服务质量 QoS 保证和组播应用管 理特性 在提供高性能 多智能的同时 其内在的安全防御机制和用户接入管理能力 更可有效防止和控 制病毒传播和网络攻击 控制非法用户接入网络 保证合法用户合理地使用网络资源 并可以根据网络实 际使用环境 实施灵活多样的安全控制策略 充分保障了网络安全 网络合理化使用和运营 RG S5750 系列交换机以极高的性价比为大型网络汇聚 中型网络核心 数据中心服务器接入提供了 高性能 完善的端到端的服务质量 灵活丰富的安全设置和基于策略的网管 最大化满足高速 安全 智 能的企业网需求 产品特性产品特性 高性能高性能 IPv4 IPv6IPv4 IPv6 双协议栈多层交换双协议栈多层交换 高背板带宽为所有的端口提供非阻塞性能 丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要 特别是支持 ECMP WCMP Equal Cost Multipath Routing Weight Cost Multipath Routing 确保了各骨干网络链 路的充分使用 大大增加了网络传输带宽 而且可以无时延无丢包地备份失效链路的数据传输 硬件支持 IPv4 IPv6 双协议栈多层线速交换 硬件区分和处理 IPv4 IPv6 协议报文 支持多种 Tunnel 隧道技术 如手工配置隧道 6to4 隧道和 ISATAP 隧道等 可根据 IPv6 网络的需求规划和网络现 状 提供灵活的 IPv6 网络间通信方案 双协议栈的支持和处理 使得无需改变网络架构 即可将现有网络无缝地升级为下一代 IPv6 方案 基于 LPM 硬件路由转发方式使得 RG S5750 系列不仅适用于大型网络环境 而且可防御各种网络病毒 的侵袭 保障所有报文的线速转发 有效保证了设备的安全性 硬件支持多层线速交换 能够识别二到七层的应用业务流 所有端口都具有单独的数据包过滤 区分 不同应用流 并根据不同的应用流进行不同的策略管理和控制 灵活完备的安全控制灵活完备的安全控制 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击 如预防 Dos 攻击 防黑客 IP 扫描等 还网络一片绿色 业界领先的硬件 CPU 保护机制 特有的 CPU 保护策略 CPP 技术 对发往 CPU 的数据流 进行流区 分和优先级队列分级处理 并根据需要实施带宽限速 充分保护 CPU 不被非法流量占用 恶意攻击和资源 消耗 保障了 CPU 安全 充分保护了交换机的安全 硬件实现端口或交换机整机与用户 IP 地址和 MAC 地址的灵活绑定 严格限定端口上的用户接入或交 换机整机上的用户接入问题 保护端口不必占用 VLAN 资源 即可非常方便地隔离用户之间信息互通 充分保护用户信息的安全 支持 DHCP snooping 可只允许信任端口的 DHCP 响应 防止私设 DHCP Server 的欺骗 并在 DHCP 监 听的基础上 通过动态监测 ARP 和检查用户的 IP 直接丢弃不符合绑定表项的非法报文 有效防范 ARP 欺骗和用户源 IP 地址的欺骗问题 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制 避免非法人员和黑客恶意攻击和控制设备 增强 了设备网管的安全性 SSH Secure Shell 和 SNMPv3 确保在 Telnet 和 SNMP 进程中加密管理信息 保证交换机管理信息的 安全性 防止黑客攻击和控制设备 控制非法用户接入网络 保证合法用户合理化使用网络 如端口安全 端口隔离 专家级 ACL 时间 ACL 基于应用数据流的带宽限速 多元素绑定等等 满足企业和校园网加强对访问者进行控制 阻止非 授权用户通信的需求 丰富的组播特性丰富的组播特性 支持各种单播和组播动态路由协议 可适应不同的网络规模和需要进行大量组播服务的环境 实现网 络的可扩展和多业务应用 支持 IGMP 源端口和源 IP 检查功能 有效地杜绝非法的组播源 提高网络的安全性 支持 IGMPv1 v2 和 IGMPv3 全部版本 适应不同组播环境 避免非法的组播数据流占用网络带宽 满 足组播安全应用的需要 完善的完善的 QoSQoS 策略策略 以 DiffServ 标准为核心的 QoS 保障系统 支持 802 1P IP TOS 二到七层流过滤 SP WRR 等完整 的 QoS 策略 实现基于全网系统多业务的 QoS 逻辑 具备 MAC 流 IP 流 应用流等多层的流分类和流控制能力 实现按照业务流进行带宽控制 转发优 先级等多种流策略 限速粒度精细 千兆端口粒度达 64Kbps 万兆端口粒度达 1Mbps 支持网络根据不同 的应用 以及不同应用所需要的服务质量特性 提供服务 高可靠性高可靠性 支持生成树协议 802 1D 802 1w 802 1s 完全保证快速收敛 提高容错能力 保证网络的稳定运 行和链路的负载均衡 合理使用网络通道 提供冗余链路利用率 支持 VRRP 虚拟路由器冗余协议 有效保障网络稳定 支持 RLDP 可快速检测链路的通断和光纤链路的单向性 并支持端口下的环路检测功能 防止端口 下因私接 Hub 等设备形成的环路而导致网络故障的现象 方便易用易管理方便易用易管理 灵活复用的多种千兆接口形式 可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接 方便用户 灵活选择线缆 为满足网络弹性扩展和高带宽传输需要 简单选配多种类型的万兆模块 网络即可平滑升级到万兆上 链骨干 为方便安装地点或建筑物不适宜部署外部电源的环境 RG S5750 系列交换机特别提供支持 PoE 功能 的产品型号 即通过双绞线就可以向远端下挂的 PD 设备供电 如无线 AP IP Phone 视频监控等设备 方便了任何符合 IEEE 802 3af 标准的终端设备的接入 实现以太网集中供电 以满足金融 企业 学校 医院 工厂等用户实现 VoIP 远程监控 无线 AP 等网络应用的需要 SNTP 简单网络时间协议 保证交换机时间的准确性 并与网络中时间服务器的时间统一化 方便日 志信息和流量信息的分析 故障诊断等管理 Syslog 方便各种日志信息的统一收集 维护 分析 故障定位 备份 便于管理员网络维护和管理 多端口同步监控 通过一个端口即可同时监控多个端口的数据流 可以只监控输入帧或只监控输出帧 或双向帧 大大提高维护效率 CLI 界面 方便高级用户配置和使用 Java based Web 管理方式 实现对交换机的可视化图形界面管理 快速和高效地配置设备 技术参数技术参数 技术参数技术参数 产品型 号 RG S5750 RG S5750 24GT 12SF24GT 12SF P P RG RG S5750S S5750S 24GT 1224GT 12 SFPSFP RG RG S5750P S5750P 24GT 12SF24GT 12SF P P RG S5750 RG S5750 24SFP 12G24SFP 12G T T RG RG S5750 S5750 48GT 4S48GT 4S FPFP RG RG S5750S S5750S 48GT 4S48GT 4S FPFP 固定端 口 24 端口 10 100 10 00M 自适应 端口 12 个复用的 SFP 接口 2 个扩展槽 24 端口 10 100 1000M 自 适应端 口 12 个复用 的 SFP 接口 2 个扩展 槽 24 端口 10 100 10 00M 自适应 端口 支 持 PoE 远 程供电 12 个复用 的 SFP 接 口 2 个扩 展槽 24 个 SFP 接口 12 个复用的 10 100 10 00M 自适应 端口 2 个 扩展槽 48 端口 10 100 1000M 自 适应端 口 4 个 复用的 SFP 接口 2 个扩展 槽 48 端口 10 100 1000M 自 适应端 口 4 个 复用的 SFP 接口 2 个扩展 槽 可用模 块 万兆扩展模块 万兆堆叠模块 万兆光纤模块 SFP 光纤模块 包转发 速率 L2 线速 L3 线速 L2 线速 L3 线速 VLAN 支持 4K 个 802 1Q VLAN ACL 标准 IP ACL 基于 IP 地址的硬件 ACL 扩展 IP ACL 基于 IP 地址 TCP UDP 端口号的硬件 ACL MAC 扩展 ACL 基于源 MAC 地址 目的 MAC 地址和可选的以太网类型的硬 件 ACL 基于时间 ACL 专家级 ACL 可同时基于 VLAN 号 以太网类型 MAC 地址 IP 地址 TCP UDP 端口号 协议类型 时间等灵活组合的硬件 ACL L2 协议IEEE802 3 IEEE802 3u IEEE802 3z IEEE802 3x IEEE802 3ae IEEE802 3ak IEEE802 3ad IEEE802 3a f IEEE802 1p IEEE802 1x IEEE802 3ab IEEE802 1Q GVRP IEEEE802 1d IEEE802 1w IEEE802 1s IGMP Snooping v1 v2 v3 RLDP IEEE 802 3af S5750P 产品型号 L3 协议IPv6 OSPFv1 v2 OSPFv3 ECMP WCMP RIPv1 v2 PIM DM SM SSM DVMRP VRRP IGMPv1 v2 v3 IPv6 协 议 支持 ICMPv6 IPv6 动态路由协议 OSPFv3 支持多种 Tunnel 隧道技术 如手工配置隧道 6to4 隧道和 ISATAP 隧道等 Defeat DoS Attack 支持 Defeat IP Scan 支持 管理协 议 SNMPv1 v2c v3 Web JAVA CLI Telnet Console RMON 1 2 3 9 SSH SNTP NTP Syslog Jumbo Frame 支持 其它协 议 Super VLAN Private VLAN Protocol VLAN QinQ DHCP Server DHCP Relay DHCP Client DHCP Snooping 免费 ARP DNS Client 尺寸 长 宽 高 440 435 44mm440 420 44mm 电源 176VAC 264VAC 48Hz 60Hz 功耗 满负 荷 70W S5750P 在所有端口外接 PD 情况下 200 000 hours 温度工作温度 0 到 40 存储温度 40 到 70 湿度工作湿度 10 到 90 RH 存储湿度 5 到 95 RH 万兆核心万兆核心 IPV6IPV6 校园网校园网 1 校园网全网采用支持 IPV6 的网络设备 S86 S57 都提供硬件 ASIC 的 IPV6 S68 支持 NP 扩展 IPV6 满足高校网络现在和未来的下一代网络建设需求 2 RG S8600 提供业界最为强大的安全防护功能 硬件方式提供防 DDOS 攻击 非法数据包检测 防 源 IP 地址欺骗等多种专业安全防护能力 硬件方式提供 IPFIX 流量监控能力和 CPP 技术 满足安全可信 校园新网络的建设需求 3 RG S8600 提供强大性能的全分布式硬件策略路由功能 满足高校多出口之间负载均衡和冗余备 份的功能 4 通过万兆骨干网提供各区域之间的高速连接 保证各业务高效运行 并提供骨干区域之间的链路 冗余备份提升网络安全 安全金融局域网安全金融局域网 1 利用 VRRP 802 1S 等技术提供接入交换机和核心交换机之间的负载均衡和冗余备分 满足金融 机构极高的网络稳定需求 2 RG S8600 提供业界最为强大的安全防护功能 硬件方式提供防 DDOS 攻击 非法数据包检测 防 源 IP 地址欺骗等多种专业安全防护能力 硬件方式提供 SFLOW 流量监控能力和 CPP 技术 满足安全可信 金融新网络的建设需求 3 提供灵活的流分类和各种拥塞控制 QOS 技术 满足金融网络重要业务的带宽保证和性能要求 4 强大的路由处理能力 满足金融网络环境路由设计复杂条件下的高性能需求 出口路由 产品概述产品概述 锐捷 RSR 08 路由器是高性能 通用的骨干汇聚路由器 具有高背板带宽 高包转发率 结构紧凑 端口 密度高等特点 并能提供全范围的光纤和铜缆接口 RSR 08 路由器具有强大的业务能力 可以满足目前 所有的城域汇聚和接入需求 提供多协议标准交换 MPLS 第 2 或 3 层隧道技术 动态带宽控制和面向连 接的数据收集体系 作为多协议标记 MPLS PE 路由器 他们使提供商的基于 MPLS 的业务具有高度的可 扩展性和可靠性 通过使用 VPLS 可以利用原有网络和以太网基础设施提供 VOIP 互联网接入 视频以 及多点虚拟专用网 VPN 等融合业务 锐捷 RSR 08 路由器支持包括 TDM POS ATM 和千兆位以太网 速率高达 OC 48 部署在各种应用中 RSR 08 路由器可用于搭建骨干汇聚路由器和核心层网络 为用户提供综合的 高性能 功能强大的服务 并提供高可用性网络所需的冗余支持 锐捷 RSR 08 路由器主要应用在电信运营商以及政府 金融 教育 电力 企业用户市场的网络建设 产品特性产品特性 一 功能丰富的线速服务一 功能丰富的线速服务 IP 路由 单播 unicast 和组播 multicast 每个线路卡上硬件的路由 MPLS LSR 和 LER 支持 RSVP TE 流量工程支持 安全 ACL L2 过滤器 基于硬件的速率限制 速率整形 第四层应用流交换和服务质量政策解决方案 简称 QoS 基于端口或协议的虚拟局域网 简称 VLAN 网络地址翻译 NAT 巨型桢 Jumbo Frame 支持 服务器负载均衡 LSNAT 2547 bis MPLS L3 VPN Martini MPLS L2 VLL MPLS 透明局域网业务 TLS MPLS 快速重路由 二 高度的容错设计二 高度的容错设计 冗余 CPU 电源 热拔插介质模块 基于标准的虚拟路由器冗余协议 VRRP 第二层和第三层冗余协议支持 冗余交换矩阵 无缝保护系统 HPS 三 广泛的管理方式三 广泛的管理方式 线速全组 RMON RMON2 简单网络管理协议 SNMP 管理 SSH RADIUS TACACS RS 232 频带外管理 命令行接口 CLI 四 丰富的接口类型四 丰富的接口类型 10 100 Base TX 100 Base FX 1000 Base LH 1000 Base SX 1000 Base LX 1000 Base T Serial T1 E1 HSSI T3 E3 多级速度 WAN 模块 信道化 DS 3 POS OC 3c OC 12c ATM DS 3 E 3 OC 3c OC 12c OC 48 弹性分组环 技术参数技术参数 设备性能设备性能 交换容量32G 包处理能力16 7MPPS ACL2 万条 路由表25 万条 流表最多可达 2 000 000 个第 4 层应用数据流 最多可达 3 500 000 个第 2 层 MAC 地址 MTBF 200 000 小时 预测 协议支持协议支持 路由协议OSPF IS IS BGP RIPv2 静态路由 组播协议IGMP PIM DM SM DVMRP RP 地址管理静态 DHCP 中继 MPLSMPLS LSR 和 LER 支持 2547 bis MPLS L3 VPN Martini MPLS L2 VLL MPLS 透明局域网业务 TLS MPLS 快速重路由 特色支持NAT Load balancing VSRP Web cache redirection 策略路由 HPS 管理方式线速全组 RMON RMON2 简单网络管理协议 SNMP 管理 SSH RADIUS TACACS RS 232 命令行接口 CLI 物理指标物理指标 尺寸高 8 75 英寸 宽 17 25 英寸 深 12 25 英寸 22 23 厘米 43 82 厘米 31 12 厘米 重量44 5 磅 20 2 公斤 环境规格环境规格 操作温度 0 C 到 40 32 到 104 F 存储温度 40 C 到 70 C 40 到 158 F 相对操作湿度10 到 90 非冷凝 相对存储湿度5 到 95 非冷凝 电源规格电源规格 交流电源输入电压 100 到 240 VAC 输入电流 12 6A 频率 50 到 60Hz 直流电源输入电压 48 到 60 VDC 输入电流 27A 标准和规范标准和规范 安全性UL60950 CAN CSA C22 2 No 60950 EN60950 IEC950 72 73 EEC 电磁兼容性FCC Part 15 CSA C108 8 EN55022 VCCI EN55024 89 336 EEC ETSIETSI EN 300 386 EN 300 109 ETS 300 753 NEBSNEBS Level 3 GR 1089 GR 63 防火墙 产品概述产品概述 RG WALL 系列采用锐捷网络独创的分类算法 Classification Algorithm 设计的新一代安全产品 第 三类防火墙 支持扩展的状态检测 Stateful Inspection 技术 具备高性能的网络传输功能 同时在 启用动态端口应用程序 如 VoIP H323 等 时 可提供强有力的安全信道 采用锐捷独创的分类算法使得 RG WALL 产品的高速性能不受策略数和会话数多少的影响 产品安装前 后丝毫不会影响网络速度 同时 RG WALL 在内核层处理所有数据包的接收 分类 转发工作 因此不会 成为网络流量的瓶颈 另外 RG WALL 具有入侵监测功能 可判断攻击并且提供解决措施 且入侵监测功 能不会影响防火墙的性能 RG WALL 的主要功能包括 扩展的状态检测功能 防范入侵及其它 如 URL 过滤 HTTP 透明代理 SMTP 代理 分离 DNS NAT 功能和审计 报告等 附加功能 产品特性产品特性 锐捷网络私有的分类算法 性能不受规则数及会话数的影响 在内核层处理流量 极大降低应用层的负荷 多线程代理方式 内置入侵检测功能 确保防火墙的安全运行 实时的状态监控功能 动态过滤技术 无需 L4 交换机 无需增加模块就可实现 Active Active 的高可用性解决方案 支持网桥模式和路由模式以及 NAT 模式 支持多个接口及 VLAN 适合多种网络结构 内置入侵检测模块 支持应用代理 内容安全防护 带宽管理 DHCP 服务器 OPSEC 国际安全联动协议等功能及协议 支持 L2TP VPN GRE VPN IPSec VPN 等多种 VPN 功能 支持 NAT 支持多种 NAT ALG 包括 DNS FTP H 323 ILS MSN NBT PPTP SIP 实现 DNS 分离功能 保护了内部 DNS 结构的安全性 也可为小型企业免除 DNS 的投资 基于网络 IP 和 MAC 地址绑定的包过滤 透明代理 Transparent Proxy URL 级的信息过滤 流量控制管理 保证关键用户 关键流量对网络的使用 工作模式的多样性 可以不影响现有网络 迅速投入使用 安全的网络结构和安全的体系结构 提供操作简单的图形化用户界面对防火墙进行配置 支持 BT eDonkey Kazaa 等 P2P 软件的禁止和带宽限制 支持入侵检测和防护 IPS 支持多种 IDS 产品联动和自动响应阻断方式 支持冗余电源 提供更高设备可靠性 支持集群功能 最多支持 4 台防火墙之间的 Active Standby Active Active 模式 产品参数 RG WALLRG WALL 16001600 千兆防火墙千兆防火墙 VPN 网关网关 端 口固化 4 个 10 100 1000BaseT 端口 4 个 SFP 端口 尺 寸标准 19 英寸宽度 2U 高度 电源类型 AC 100 240V 50 60Hz电气性能 电源功率 400W 冗余电源 操作环境 温度 0 40 湿度 0 80 工作环境 存储环境 温度 40 80 湿度 0 95 技术性能MTBF 平均故障间隔时间 100 000 小时 2 3 设备清单及预算设备清单及预算 RG S2126S 40 6 20000 元 RG S5750 1 40 99000 元 RG S8600 2 元 RG WALL1600 2 元 线缆费用 10 万 总计 0 4 4 048 560 元 第三章网络拓扑和第三章网络拓扑和 IP 规划规划 3 1 网络拓扑图网络拓扑图 100M 光纤 双绞线 1000M 光纤 10G 光纤 ChinaNet CennNet 教学科研楼 图书馆楼 行政办公楼 综合管理平台 学生住宅楼 核心交换机 RG S8606 RG S8606 RG S2126S RGS2126S RG S2126S RG S2126S RG S5750 RG S5750 RG S5750 RG S5750 RG WALL1600 RG IDS 入侵检测系统 接入控制接入控制 帐号 IP MAC 端口多元 素绑定 接入时段控制 代理服务器控制 用户权限控制 RG S5750 服务器群 Web 视频 DHCP 服务 器 RS 08 其他学生住宅楼 其他校区 3 23 2 IPIP 地址规划地址规划 网络中心 核心交换机接口核心交换机接口IP 地址地址子网掩码子网掩码 4 1 大楼 A 10 0 0 1255 255 255 252 4 2 大楼 B 10 0 0 5255 255 255 252 4 3 大楼 C 10 0 0 9255 255 255 252 4 4 大楼 D 10 0 0 12255 255 255 252 3 0 出口路由 10 0 0 15255 255 255 252 Vlan88 路由器接口路由器接口 公网公网 IP 配置情况配置情况IP 地址地址子网掩码子网掩码 0 0 内网 10 0 0 16255 255 255 252 S1 1 chinanet 67 95 123 1255 255 255 252 0 1 Cernet 211 95 123 1255 255 255 224 所得公网 IP 段211 95 123 0255 255 255 224 211 95 123 31255 255 255 224 DNS 服务器211 95 123 30255 255 255 224 大楼 1 Vlan 号号 端口端口网络号网络号 IP 地址地址子网掩码子网掩码网网 关关 1 1 上行 10 0 0 2255 255 255 252 Vlan1110 0 0 128255 255 255 12810 0 0 129 Vlan1210 0 1 0255 255 255 12810 0 1 1 Vlan1310 0 1 128255 255 255 12810 0 1 129 Vlan1410 0 2 0255 255 255 12810 0 2 1 Vlan1510 0 2 128255 255 255 12810 0 2 129 大楼 2 Vlan 号号 端口端口网络号网络号 IP 地址地址子网掩码子网掩码网网 关关 1 1 上行 10 0 0 6255 255 255 252 Vlan2110 0 3 0255 255 255 12810 0 3 1 Vlan2210 0 3 128255 255 255 12810 0 3 129 Vlan2310 0 4 0255 255 255 12810 0 4 1 Vlan2410 0 4 128255 255 255 12810 0 4 129 Vlan2510 0 5 0255 255 255 12810 0 5 1 大楼 3 Vlan 号号 端口端口网络号网络号 IP 地址地址子网掩码子网掩码网网 关关 1 1 上行 10 0 0 10255 255 255 252 Vlan3110 0 5 128255 255 255 12810 0 5 129 Vlan3210 0 6 0255 255 255 12810 0 6 1 Vlan3310 0 6 128255 255 255 12810 0 6 129 Vlan3410 0 7 0255 255 255 12810 0 7 1 Vlan3510 0 7 128255 255 255 12810 0 7 129 第四章第四章 技术选型技术选型 三层交换技术的应用及选择三层交换技术的应用及选择 第三层交换机 实际上就好象是将传统交换器与传统路由器结合起来的网络设备 它 既可以完成传统交换机的端口交换功能 又可完成部分路由器的路由功能 当然 这种二 层设备与三层设备的结合 并不是简单的物理结合 而是各取所长的逻辑结合 其中最重 要的表现是 当某一信息源的第一个数据流进入第三层交换机后 其中的路由系统将会产 生一个 MAC 地址与 IP 地址映射表 并将该表存储起来 当同一信息源的后续数据流再次 进入第三层交换时 交换机将根据第一次产生并保存的地址映射表 直接从二层由源地址 传输到目的地址 而不再需经过第三路由系统处理 从而消除了路由选择时造成的网络延 迟 提高了数据包的转发效率 解决了网间传输信息时路由产生的速率瓶颈 第三层交换机的出现 实际上已经历了三代 第一代产品是一种由分立电子元件和原语 式软件相结合的简单混合体 设备体积大 重量重 功耗高 所需散热风扇功率高 体积 大 而性能较差 运行在一个固定内存处理机上的软件系统 虽然在管理和协议功能方面 有许多改善 但当用户的日常业务更加依赖于网络 使得网络流量不断增加时 网络设备 便成了传输瓶颈 第二代交换机的硬件引进了专门用于优化第二层处理的专用集成电路 ASIC Application Specific Integrated Circuit 芯片 体积 功耗 性能得到了极大改善 与提高 并降低了系统的整体成本 这就是我们传统的第二层交换机 第三代交换机并不 是简单地建立在第二代交换设备上 而是在第三层路由 组播及用户可选策略等方面提供 了线速性能 在硬件方面也采用了性能与功能更先进的 ASIC 芯片 三层路由技术三层路由技术 RIP 路由协议路由协议 RIP 是路由信息协议 Routing Information Protocol 的缩写 是一种在网关与主机 之间交换路由选择信息的标准 采用距离向量算法 是当今应用最为广泛的内部网关协议 在默认情况下 RIP 使用一种非常简单的度量制度 距离就是通往目的站点所需经过的链 路数 取值为 1 15 数值 16 表示无穷大 RIP 进程使用 UDP 的 520 端口来发送和接收 RIP 分组 RIP 分组每隔 30s 以广播的形式发送一次 为了防止出现 广播风暴 其后续 的的分组将做随机延时后发送 在 RIP 中 如果一个路由在 180s 内未被刷 则相应的距 离就被设定成无穷大 并从路由表中删除该表项 RIP 分组分为两种 请求分组和相应分 组 RIP 1 被提出较早 其中有许多缺陷 为了改善 RIP 1 的不足 在 RFC1388 中提出 了改进的 RIP 2 并在 RFC 1723 和 RFC 2453 中进行了修订 RIP 2 定义了一套有效的 改进方案 新的 RIP 2 支持子网路由选择 支持 CIDR 支持组播 并提供了验证机制 随着 OSPF 和 IS IS 的出现 许多人认为 RIP 已经过时了 但事实上 RIP 也有它自 己的优点 对于小型网络 RIP 就所占带宽而言开销小 易于配置 管理和实现 并且 RIP 还在大量使用中 但 RIP 也有明显的不足 即当有多个网络时会出现环路问题 为了 解决环路问题 IETF 提出了分割范围方法 即路由器不可以通过它得知路由的接口去宣告 路由 分割范围解决了两个路由器之间的路由环路问题 但不能防止 3 个或多个路由器形 成路由环路 触发更新是解决环路问题的另一方法 它要求路由器在链路发生变化时立即 传输它的路由表 这加速了网络的聚合 但容易产生广播泛滥 总之 环路问题的解决需 要消耗一定的时间和带宽 若采用 RIP 协议 其网络内部所经过的链路数不能超过 15 这 使得 RIP 协议不适于大型网络 OSPF 路由协议路由协议 OSPF Open Shortest Path First 开放式最短路径优先 是一个内部网关协议 Interior Gateway Protocol 简称 IGP 用于在单一自治系统 autonomous system AS 内决策路由 与 RIP 相对 OSPF 是链路状态路由协议 而 RIP 是距离向量路由协议 链路是路由器接口的另一种说法 因此 OSPF 也称为