某师范学院数字化校园信息化建设方案（完整版）

1、某师范学院数字化校园信息化建设方案某师范学院数字化校园信息化建设方案目录第1章、网络设计原则41.1、 IPV6技术、WLAN新技术的广泛应用 41.2、高带宽41.3、可增值性41.4、可扩充性41.5、开放性51.6、安全可靠性51.7、设计依据及引用标准 5第2章、网络设计62.1. 拓扑结构图72.2. 业务数据流向 错误！未定义书签。2.3. 骨干网链路设计82.4. 核心交换区设计82.5. 楼层汇聚区设计 92.6. 楼层接入区设计9第3章、校园网高可用设计 113.1.1、操作系统模块化 113.1.2、引擎切换无中断113.1.3、三平面分离保护 143.1.4、硬件 CPU

2、保护143.2、二层高可用性设计 153.2.1、生成树设计153.2.2、RLDP设计163.3、三层高可用性设计 173.3.1、VSU 技术173.3.2、路由冗余设计 183.4、网络服务质量保证 19第4章、校园网高安全设计 214.1、 核心交换机内置强大的安全特性 214.1.1、关键部件的安全稳定 214.1.2、病毒和攻击防护214.1.3、设备管理安全 224.1.4、接入安全224.2、汇聚层网络安全规划 224.3、接入层网络安全规划 224.3.1、接入层实现对用户身份的准确验证 23432、 接入层实现对网络病毒和攻击的有效控制 234.4、 网络设备自身安全加固

3、274.4.1、路由认证和保护274.4.2、关闭IP功能服务 274.4.3、设备安全防护284.4.4、关闭设备服务 324.4.5、其它安全措施 334.5、 统一身份认证、安全运营管理平台设计 344.5.1、方案组件344.5.2、高融合344.5.3、高安全354.5.4、高可用 374.5.5、可运营384.5.6、易管理42第5章、IPV6校园网规划设计 515.1、 IPV6背景介绍515.2、 IPV4的局限性 515.3、IPV6 新特性525.4、CNGI 的发展555.5、 IPv6试验网规划设计 555.5.1、过渡阶段555.5.2、过渡策略565.6、 IPv6

4、详细设计 565.6.1、核心网IPv6设计 565.6.2、汇聚网IPv6设计 565.6.3、接入网IPv6设计 565.6.4、网络出口区IPv6设计 57第6章、校园网岀口规划设计 586.1、边界连接设计606.2、流量控制设计616.3、日志审计设计 626.4、热点内容加速缓存 626.5、安全防护设计 636.5.1、报文过滤636.5.2、状态检测636.5.3、攻击防御 636.5.4、内容过滤 636.6、远程接入设计 错误！未定义书签。6.6.1、VPN接入技术选择 错误！未定义书签。6.6.2、 VPN系统性能及管理性要求错误！未定义书签。第7章、建设面向服务的“五位

5、一体”数字化校园网络 647.1、校园网安全运营管理的挑战 647.2、“五位一体”的数字化校园网络 657.2.1、“准入和准出一体化”设计 657.2.2、“802.1X认证和 Web认证一体化”设计 667.2.3、“有线和无线一体化”设计 687.2.4、“校内和校外一体化”设计 687.2.5、“IPv4 和 IPv6 一体化”设计697.3、“五位一体”建设效果 707.4、热点区域无线覆盖、占领信息化制高点 错误！未定义书签。7.5、 全网部署IPV6、紧扣前沿技术脉搏 707.6、 高性能、高安全、带宽透明管理的边界网 707.7、 信息点数量统计 错误！未定义书签。第73页共

6、72页第1章、网络设计原则1.1、IPv6技术、WLAf新技术的广泛应用根据新一代互联网技术的要求，接入、汇聚、核心网络设备、必须支持IPv6，并且可随时完成向IPv6网络平滑迁移。随着信息技术的飞速发展，教师和学生对校园网的依赖性相当之高，“随时随地获取信息”已成为广大师生们的新需求。因此我院迫切需要为广大教师、学生、行政管理人员、后勤人员打造一个 具有打造一个具有技术前瞻性的无线校园网，与目前的有线网络进行无缝融合，提供优良的无线体 验。1.2、高带宽校园网是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机

7、具有高性能、高带宽的特性，整 网的核心交换要求能够提供无瓶颈的数据交换。1.3、可增值性校园网的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制，实现以网养网。1.4、可扩充性考虑到用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩 展功能，要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩 充余地。1.5、开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连

8、互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。1.6、安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。1.7、设计依据及引用标准GB/T 50311-2007建筑与建筑群结构化综合布线系统工程设计规范GB/T50314-2006智能建筑设计标准GB/T 50312-2007建筑与建筑群结构化综合布线系统工程验收规范GB50303-2004建筑物电子信息系统防雷规范GBJ/T16-92民用建筑电气设计规范ISO/IEC 11801

9、信息技术-布线标准EIA 568A/TIA 568B 商业建筑运营商布线标准EIA/TIA586民用建筑线缆标准EIA/TIA TSB67非屏蔽双绞线布线测试标准YD/T 926-1997大楼通信结构化综合布线系统工业企业通讯设计规范EMC欧洲电磁兼容性标准ITU-T国际运营商联盟标准ANSI FDDI美国国家标准：分布式光纤数据接口IEEE 802.3ae国际电子电气工程师协会IEEE 802.5国际电子电气工程师协会第2章、网络设计随着计算机、通信、多媒体技术高速融合发展和数字校园资源的深度整合，越来越多的应用将 逐步迁移到校园网的计算机网络平台上来。同时在多媒体教育和管理等方面的需求，对

10、校园网络也 提出了更高的的要求。因此 *师范学院校园网需要建设一个高速的、先进的、高可靠、高安全、可 扩展的校园网络以适应当前网络技术的发展，并满足学校*师范学院在网络通信领域方面的科研和教学的需求。2.1. 校园网数据流量分析-、校内访问校外的数据流量主要有两类：1）办公区访问互联网（internet和cernet）BT、视频网站访问流量大；安全认证要求不高；安全管理要求维护方便；校内访客需要区分访问权限，只能访问in ternet;对关键用户要重点保证带宽；需要日志记录，出现安全事件定位到人。2）学生宿舍，家属区访问互联网（internet和cernet）BT、视频网站访问流量大；安全认证

11、要求高；安全管理要求严格，客户端需要防代理、防破解；若需要差异化运营，需要提供个性化服务；需要日志记录，出现安全事件定位到人。、校外访问校内的数据流量主要有三类：1）校外用户访问学校网站流量不大但多样，需要路由器具备智能DNS技术;2）校外用户访问 VPN进行FTP下载流量不大但突发;认证。3）校外学生访问校内课件资源流量逐步增大，但对数据流质量要求高。、校内互访的数据流量主要有三类:1）办公区用户访问学校数据中心流量不大，但稳定性要求高，但瞬时流量要求高（邮件的大附件等）2）学生宿舍用户访问学校数据中心多媒体访问流量大，需要对关键业务服务器的健康度和繁忙度进行监控管理其他访问安全防护要求高，

12、需要日志记录，出现安全事件定位到人。3）办公区和学生宿舍区互访流量少。22拓扑结构图以万兆以太网技术为基础，十万兆以太网为目标，采用“主支干万兆，千兆到宿舍”的设计思路，分为核心层、区域分核心，楼宇汇聚层、接入层。核心层设置在逸夫楼7层，部署2台高性能十万兆核心路由交换机，区域汇聚层分为老校区、教学办公区、家属区、宿舍区4个区域，每个区域汇聚由两台区域汇聚交换机与核心交换机之间通过四条万兆链路互联，采用动态协议实现负载均衡的同时完成链路的备份宿舍楼部署楼宇汇聚交换机并通过3层千兆光纤链路上联区域汇聚交换机，家属区通过接入交换机通过千兆光纤链路直接上行至区域汇聚交换机；接入层交换机下行端口以千兆

13、比特位每秒与终端相连，接入In ternet速率由终端用户申请的账户带宽决定。所有主干和接入设备均可网管，要求支持全线速转发。23骨干网链路设计有线网络的设计和建设需要考虑未来510年的先进性，因此骨干网需要建成一个高性能、高可用、高稳定的校园骨干网络平台。*师范学院可通过支持 10万兆平台的高性能核心交换机构建全冗余支持100G骨干网络架构。各汇聚设备采用多条万兆链路聚合连接到骨干网络设备上，增大校区骨干网络之间的链接带宽和转发性能。实现校内多万兆骨干网络的新一代校园网络架构。2.4. 核心交换区设计核心交换区负责汇聚各个功能区高性能数据转发，同时也负责与服务器区、校园网出口区之间的流量转发

14、。核心交换区是一个高速的 Layer3交换骨干，不建议进行终端系统的连接，也不建议实 施影响高速交换性能的安全访问控制（ ACL ）等功能。设计时还需要通过设备冗余、路由冗余、链 路冗余等技术，充分保障网络系统稳定性。核心交换区建议部署 2台核心交换机，2台核心交换机通过10G链路互联实现 VSU虚拟化，并 通过链路聚合技术采用 4*40GE链路与数据中心的服务区汇聚交换机互联； 宿舍区组团，家属区组团， 教学办公区组团， 老校区组团区域汇聚交换机均通过 4*10GE万兆光纤链路与核心交换机互联； 出口 万兆流控通过4*10GE万兆链路与核心交换机互联在核心交换机上不建议配置复杂的协议，只需要

15、启动三层路由协议和CPU保护即可。2.5. 园区汇聚区：主要包含老校区、教学办公区、家属区、宿舍区在内四个校园网区域，每区域分别采用两台高密度插槽数的万兆三层交换机通过虚拟化技术采用2*1GE双聚合链路与宿舍区楼宇汇聚交换机。通过高密度接入端口数量，大容量的三层表项以及完备的IPv4/IPv6双栈支持满足*师范校园网的应用和发展。主要实现以下的功能：部署本区域的VLAN信息（如老校区家属区，宿舍区，新校区家属区），实现VLAN终结。汇聚本区域的IP地址或路由。实现到核心交换区的路由策略。实施安全访问控制（ACL ），保证网络安全。2.6.数据中心交换机采用两台支持 VEPA的数据中心级高密度万

16、兆以太网交换机和各类虚拟服务器构建*师范学院校园网数据中心区，通过VEPA（ Virtual Ethernet Port Aggregator）技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理，不仅实现了虚拟机间的流量转发，同时还解决了虚拟机流量监管、访问控制策略部署等问题；另外*师范学院校园网数据中心的二层网络架构也为数据中心虚拟机的迁移提供了良好的网络架构；以及两台服务器汇聚交换机实现VSU虚拟化，具有即插即用，简化管理的优点，同时大大降低了系统扩展的成本。主要实现如下功能：服务器群的汇聚承载学校部署的各业务系统部署服务器区的 VLAN信息，实现VLAN终结在服务器区。实现

17、服务器区之间以及到核心交换平台的访问策略；实施安全访问控制（ACL ），保证网络安全。2.7. 楼宇汇聚区设计宿舍楼楼栋汇聚区主要负责楼栋内信息点的汇聚，是路由域与交换域的分界层。以各个建筑物为单位分别部署汇聚节点，每个楼栋汇聚节点部署楼栋汇聚交换机，楼栋汇聚交换机通过Iayer3层千兆光纤链路上联核心交换机，通过Iayer2层千兆光纤链路与楼层接入区接入交换机互联。主要实现以下的功能：汇聚本楼层的IP地址或路由。部署本楼层的VLAN信息，实现VLAN终结与本楼栋内。实现本楼层到核心交换区的路由策略。实施安全访问控制（ACL ），保证网络安全。layer2层接入功能。主2.8. 楼层接入区设计

18、楼栋接入区主要是负责本楼层内的信息点互联起来，为各个信息点提供要完成以下功能：部署802.1.X协议，实现“入网身份认证、主机健康检查、网络安全事件监控与主动防御”实现802.1X协议、web认证在同一个端口上部署，实现方便快捷上网。通过VLAN定义实现业务划分。实现QoS，对数据包进行分类和标记。接入网设备全部采用千兆链路上连汇聚设备，以保证接入网连接汇聚网的带宽及可靠性要求。接入网作为用户终端接入校园网的唯一接口，在为用户终端提供高速、方便的网络接入服务的同时，需要对用户终端进行入网认证、访问行为规范控制，从而拒绝非法用户使用网络，保证合法用户合理使用网络资源，并有效防止和控制病毒传播和网

19、络攻击。第3章、校园网高可用设计3.1.1、操作系统模块化网络的通用操作系统，已成为网络全线交换路由产品统一的系统平台。RGOS模块化操作系统CLIA1Z 前RGO濮块化操作系统设计原理图这是一种模块化软件平台（对软件系统进行划分之后，将不同的系统任务分割成一些很少交互的可管理子集）系统内核通过POSIX连接各功能模块。各功能模块独立，故障隔离，提升新功能开发测试效率和系统稳定性。RGOS系统内核通过POSIX接口连接硬件抽象层，扩展支持多种网络产品，如交换机、路由器、出口设备等。通过RGOS的开放性设计，可以整合多种产品资源，加速产品与技术发展。利用多种网络产品组网形成基于RGOS勺智能、融

20、合的IP网络。3.1.2、引擎切换无中断随着网络规模及应用领域的急速扩张，网络日益成为社会生活中不可或缺的部分，企业与个人 的通信与交流都离不开网络的使用。随着企业对网络依赖性的增加，网络必须安全可靠，一旦网络 服务不可用，可能严重影响企业的生产力及赢利。交换机支持 UISS (UnInterrupted SupervisorEngine Switchover),即无中断引擎切换技术，保证主从管理板的切换在1秒间实现，同时在切换过程中，各主机线卡可以继续转发原有的数据流，不影响网络业务的正常透明运行，实现管理板的平滑切换，极大地保证了核心的可靠性和网络可用 性。系统停机可划分两类：未经计划的停

21、机(故障)它们是不可控的、随机的，通常与软硬组件缺陷相关。有计划的停机(维护)如系统的修理、升级等，由于它们在一定范围内是可调度的，因此对可用性的冲击可以降低到 最低限度。由于网络应用需要穿越多个网络段，要保证网络的可用性，所有的网络段都必须具有故障中恢复的能力，恢复要快至对于用户和网络应用都是透明的、不可觉察的。UISS热备份功能的构成UISS热备份功能支持由热备份框架与备份集合构成。热备份框架系统由 Checkpoint FacilityRedundancy Facility和Redundancy Protocol三个主要组件构成。热备份框架为整个系统热备份提供基础平台，需要热备份的模块通

22、过这个基础平台提供的通信、管理等功能完成热备份所需的同 步信息传输。依据对高可用性的支持程度，设备的功能可划分为以下几类：* High Availability Supported Feature完全支持高可用性，在Active Supervisor engine与Stand Supervisor engineer之间进行了数据同步；* High Availability Compatible Feature这些特性不支持高可用性，它们的状态数据没有进行同步，但是在高可用性启用时，这些功能仍然可以使用，在切换后，这些功能从初始化状态开始运行；* High Availability In com

23、patible Feature这些特性不支持高可用，它们的状态数据没有进行同步，在高可用性启用时，这些特性不能使用，否则可能导致系统行为的不正常。在系统中，需要使用热备份子系统进行信息同步的实体(也就是High Availability SupportedFeature )所构成的集合称为“备份集合”。备份集合中的实体一般是系统运行过程动态创建的，是 Master作为对外事件的响应而产生的状态变化。由于状态变化是作为对外部事件的响应而产生的， 如用户配置、协议数据接收等，而Slave接收不到这些事件，它将Master同步信息当作外部事件来 处理。热备份框架与备份集合的关系是平台与使用者之间的关

24、系。从平台角度来看，它不关心使用者 是谁，而使用者之间并不因为同时使用某个平台功能而改变了它们之间的关系。因此，在使用热备 份框架提供的功能后，备份集合内的实体静态关系并未发生变化。具体切换过程及实现1、切换前状态信息同步ACTIVEtACwr叭心讪拔拒半网剧必 41 41 4* 42、主引擎出现故障时，数据不间断转发3、备份引擎启动，故障引擎重启动，备份引擎下发 FIB表更新，待故障引擎重启完毕后，新的主引 擎将状态信息同步到重启后的引擎，此时完成切换。UISS热备份设计可以保证交换机主从管理板的切换在1秒间实现，同时在切换过程中， 各主机线卡可以继续转发原有的数据流，不影响网络业务的正常透

25、明运行，实现管理板的平滑切换，极大 地保证了网络设备的可靠性和网络可用性。3.1.3、三平面分离保护传统交换机系统分为数据平面和控制平面两部分。控制平面负责各种协议的运行和控制，提供 TELNET WEB SSH SNMP等管理接口，执行管理员对于网络设备各种网络功能的设置命令，交换机 是否稳定的直接根源。数据平面数据的各种处理转发过程，包括L2/L3/ACL/QOS/组播等各种功能。数据平面是交换机最耗费资源的平面。高端的交换机将控制平面再分离，分为控制平面和管理平面，由管理平面负责提供 TELNETWEB SSH SNMP等管理接口，保证在路由震荡、网络复杂、病毒攻击条件下，控制平面的协议

26、运行占用 大量设备资源，管理平面独立于控制平面，可以轻松通过管理平面在线定位和规避网络设备的非正 常运行，高度保证了系统稳定性。交换机在“三平面分离”的基础上加强了各平面内部的保护。“平面保护”通过分别对“控制平面、管理平面、数据平面”三个平面提供大量的保护技术, 极大地保证了各个平面的内部稳定性。3.1.4、硬件CPU呆护目前众多的网络病毒都是通过对网络设备的CPU上进行特定协议的攻击。例如，禾U用伪造的数据包瞄准具体协议，向网络设备发动攻击。攻击会大量消耗CPU上的资源（CPU循环和通信队列）,从而达到攻击目的。网络交换机通过硬件的方式对发往控制平面的数据进行分类，把不同的协议数据归类到不

27、同的队列然后对不同的队列进行限速，专门对路由引擎进行保护，阻挡外界的DOS攻击。而且并不影响转发速度，所以 CPP能够在不影响性能的前提下，灵活且有力的防止攻击，而且保证了即使有大规 模攻击数据发往 CPU的时候依然可以在交换机内部对数据进行区分对外。自或曲堆fl匚Q保护,在任钊龙击坯境;汁二印扌開耘3弋CPP提供三种保护方法，来保护 CPU的利用率。第一，可以配置 CPU接受数据流的总带宽，从全局上保护CPU第二，可以设备 QO敦列，为每种队列设置带宽。第三，为每种类型的报文设置最大速率。经过信息产业部权威测试中心测试，得出结论：“网络的CPP功能可进一步提高交换机抗攻击的能力和保持网络拓扑

28、与 CPU的稳定性”3.2、二层高可用性设计3.2.1、生成树设计STP （Spanning Tree Protocol生成树协议）是在IEEE 802.1D中定义的二层网络管理协议，通过生成树算法消除网络环路，同时提供链路冗余备份功能。RSTP （Rapid Spanning Tree Protocol快速生成树协议）是在IEEE 802.1W中定义的，在STP的基础上实现了快速握手协商的机制，从而使收 敛时间大幅提高。MSTP （ Multiple Spanning Tree Protocol多生成树协议）是在 IEEE802.1S中定义的，它弥补了 STP和RSTP的缺陷，既可以实现快速

29、收敛，又能保证不同 VLAN的流量沿着各自的路径转发，从而为冗余链路提供负载均衡。本网络设计中，涉及生成树的模块有1个，分别是楼栋汇聚交换机一楼层接入交换机生成树协议统一使用 MSTP。对于接PC或者服务器的交换机设备端口，配置portfast、bpduguard。3.2.2、RLDP设计RLDP全称是Rapid Link Detection ProtocoI ,用于快速检测以太网链路故障的链路协议。一般的以太网链路检测机制都只是利用物理连接的状态，通过物理层的自动协商来检测链路的连通性。但是这种检测机制存在一定的局限性，在一些情况下无法为用户提供可靠的链路检测信息，比如在光纤口上光纤接收线对

30、接错，由于光纤转换器的存在，造成设备对应端口物理上是linkup的,但实际对应的二层链路却是无法通讯的。再比如两台以太网设备之间架设着一个中间网络，由于网络传输中继设备的存在，如果这些中继设备出现故障，将造成同样的问题。利用RLDP协议用户将可以方便快速地检测出以太网设备的链路故障，包括单向链路故障、双向链路故障、环路链路故障。在二层网络中生成树的部署可以避免大多数的网络环路风险，但是面对单端口下存在的环路，就无能力为力，因此需要在所有的接入层交换机上部署RLDP ,实现端口环路检测功能，避免环路给网络带来的灾难。3.3、三层高可用性设计3.3.1、VSU技术为了保证网络的可靠性、故障自愈性，

31、在方案设计中均需要考虑各种冗余设计，如网络冗余节 点、冗余链路等。冗余的设计使网络结构中出现了环路以及环路有可能引起的广播风暴等风险，生 成树技术（STP）应运而生。它虽然消除了环路，但却带来了链路性能利用不足的新的问题。随之 MSTP技术利用通过多实例的划分来实现不同链路流量的负载分担，提高了链路可用性能， 但与此同时却将网络的结构，管理维护工作量翻了几番。而管理维护量大会导致一旦配置出错会又回到起初 环路产生所带来的广播风暴的问题。从根本上讲，网络结构、业务、管理维护的复杂度，：一方面是由于网络设备数量众多直接带来的；另一方面是由于网络设备数量众多衍生出的类似STP、VRRP这些特性间接带

32、来的。但无论是直接还是间接引起，本质上都是网络设备数量的问题。所以，最根本的方法，就是要减少逻辑设备的 数量。换句话讲，就是将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运行， 从而达到减小网络规模的目的。为了解决传统网络的这些问题，网络提出一种把两台物理交换机组合成一台虚拟交换机的新技术，称为VSU ,全称是Virtual Switch Un it ,即虚拟交换单元。 把传统网络中两台核心层交换机用VSU替换，VSU和汇聚层交换机通过聚合链路连接。在外围设备看来，VSU相当于一台交换机。VSU技术有如下特点：、速度更快高端交换机性能和端口密度的提升会受到其硬件的限

33、制，而VSU系统的性能和端口密度是 VSU内部所有设备性能和端口数量的总和。因此，VSU技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而VSU可以通过跨设备链路聚合等特性，让原本“Active-standby ”的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。、网络更加可靠链路级：VSU设备之间的物理端口支持链路聚合，VSU系统和上、下层设备之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性。协议级：VSu提供实时的协议热备份功能，负责将协

34、议的配置信息备份到其他所有的成员设备， 从而实现协议可靠。设备级：VSU系统由多台成员设备组成， Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。 一旦Master设备故障，系统会迅速自动选举新的 Master,以保证 通过系统的业务不中断，从而实现了设备级的备份。 相比传统的二层生成树技术和三层的 VRRP技术, 其收敛时间从N秒级缩短到毫秒级。、无任何业务限制帮助用户在实现基本功二层、三层能的同时，提供包括防火墙模块、流量分析模块等更广的业 务应用。此外还支持IPv6、组播、MPLS等多种业务。VSU不仅可以提供机架内的高性价比连接方

35、案，还可以通过标准光纤实现长达70km的跨区域远距系统连接方案，提高了智能弹性系统的可用性。、高性能硬件模块采用高性能硬件模块实现，进行设备机箱见得快速检测和设备间数据高度转发。适用于大规模 的网络，无软件升级方式带来的弊端。3.3.2、路由冗余设计选择何种路由协议，对于最大程度的发挥网络的效能具有重要意义，因此本次网络建设的路由 协议的选择也就十分重要。、路由协议选择原则在大型网络中，选择适当的路由协议是非常重要的。目前常用的路由协议有多种，如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由协议有各自的特点，分别适用于不同的条件之下。选择适

36、当的路由协议需要考虑以下因素：路由协议的开放性：开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不 仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和选择空间。网络的拓扑结构：网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。路由协议还必须支持网络拓 扑的变化，在拓扑发生变化时，无论是对网络中的路由本身，还是网络设备的管理都要使 影响最小。网络节点数量：不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有 时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。对于本网络，在选择路由协议时不能

37、只看眼前，还要充分考虑今后的扩展性与其他网络的互连要求：通过划分成相对独立管理的网络区域，可以减少网络间的相关性，有利于网络的扩展，路由协议要能支持减少网络间的相关性，是通常划分为一个自治系统(AS)，在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。管理和安全上的要求：通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为 了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人 为的要求，就需要路由协议对策略的支持。、路由协议选择考虑到协议的通用性、标准性以信息网的网络规模，建议在本次网络建设中选择OSPF

38、作为未来网络动态路由协议，选择 OSPF主要有以下几个原因：标准开放性及成熟性OSPF是开放的标准协议， 受到广大厂家设备及组织的支持，也是目前网络构建中用得最多的协议，也是在企业网中应用最广泛的IGP协议；因此其性能是经受过考验及验证的。扩展能力分域功能非常适合网络扩展OSPF提供分域功能一方面保证路由转发效率，另一方面要提供很好的网络扩展能力。3.4、网络服务质量保证建议方案，以学校实际规划为主。在传统的ip网络中，所有的报文都被无区别的等同对待，每个网络设备对所有的报文均采用先 入先出（FIFO）的策略进行处理，它尽最大的努力（ best-effort ）将报文送到目的地，但对报文传 送

39、的可靠性、传送延迟等性能不提供任何保证。随着IP技术的日趋成熟，IP网络运营商化已经成为大势所趋，于是形成了语音、视频、数据 等多种业务IP统一承载，由于语音、视频等实时业务自身的特点对承载平台提出了严格的服务质量 要求，因此就必须在网络中部署相应的QoS技术，使得网络管理者能够有效地控制网络资源的使用，能够在有限资源的IP平台上综合语音、视频及数据等多种业务，能够区分业务、针对不同的业务提 供特色的差分服务。QoS旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。为实现上述目的，QoS提供了下述功能：1、报文分类和着色2、避

40、免和管理网络拥塞3、流量监管和流量整形4、QoS信令协议在网络设计中，设计合理的QOS保障方案，利用有限的资源，以获得更好的网络使用效益，是非常必要的。良好的 QOS保障方案可以确保一般情况下网络具有最好的使用效率、实时业务具有较 小延时，恶劣情况下保证关键业务得到应有的网络服务。衡量QoS的指标包括：1、带宽/吞吐量- 指网络的两个节点之间特定应用业务流的平均速率；2、时延- 指数据包在网络的两个节点之间传送的平均往返时间；3、抖动-指时延的变化；4、 丢包率-指在网络传输过程中丢失报文的百分比，用来衡量网络正确转发用户数据的能力；5、可用性-指网络可以为用户提供服务的时间的百分比。在本期网

41、络中 QOS方案部署如下：在接入层交换机接入端口根据不同业务进行VLAN标记,并可以对报文进行 802.1P优先级标记,以便后续的核心交换根据相应优先级标记（802.1P、DSCP进行调度，当然还可以根据策略的需要部署CAR流量监管策略，对用户的接入速率进行控制，保证网络各项应用系统处于健康（轻载）的 运行状态。第4章、校园网高安全设计4.1、核心交换机内置强大的安全特性4.1.1、关键部件的安全稳定主机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。主机监控显示屏可直接显示交换机名、CPU利用率、内存利用率、管理模块与线卡温度、风扇和电源工作状态、持续工作时间等，提供及

42、时的设备关键状态查看，提升系统安全稳定的维护能力。主机实时检测 CPU的使用状态，并提供业界领先的硬件CPU保护技术(CPP, CPU ProtectPolicy), CPP技术对发往CPU的数据进行流区分和流限速，避免非法攻击包对CPU的攻击和资源消耗。4.1.2、病毒和攻击防护采用硬件方式提供多种安全防护能力，例如NFPP、CPP、防DDOS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等，避免了传统软件实现方式对整机性能的影响。NFPP是英文Network Foundation Protection Policy 的缩写，中文意思是“基础网络保护策略”；NFPP技术可以联动网络设备自

43、身的安全检测和安全防护技术，实现网络设备的自动智能安全体系。随着交换机应用的逐渐普及，以及网络攻击的不断增多，越来越需要为数据交换机提供一种保 护机制，对发往交换机 CPU的数据流，进行流分类和优先级分级处理，以及CPU的带宽限速，以确保在任何情况下 CPU都不会出现负载过高的状况，从而能为用户提供一个稳定的网络环境，这种保护机制就是 CPU Protect Policy，简称CPP。提供业界最为强大的 ACL特性，基于SPOH技术提供IP标准、IP扩展、MAC扩展、时间、专 家级等丰富的ACL技术，支持IPv4/IPv6双栈下的输入输出 ACL。提供线卡分布式的IPFIX监控技术，及时发现网

44、络中的异常流量，有助于提早发现网络中病毒 和攻击等不安全行为，并通过流量监控技术提供的详细异常流量数据信息，识别攻击源或攻击手段。支持同时启用多组的多端口同步监控技术，并且支持灵活的输入、输出、双向数据镜像，满足灵活的网络监控需求，提升网络监控能力。4.1.3、设备管理安全提供SSHv1/v2的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁。Telnet/Web登录的源IP限制功能，避免非法人员对网络设备的管理。SNMPv3提供加密和鉴别功能，可以确保数据从合法的数据源发出，确保数据在传输过程中不 被篡改，并且加密报文，确保数据的机密性。4.1.4、接入安全硬件支持IP、MAC、端口绑

45、定，提高用户接入控制能力。支持802.1X技术，满足6元素绑定接入限制。支持IGMP源端口检查、源IP检查、IGMP过滤等功能，可有效控制非法组播源，提高网络安 全。IGMP v3支持通告客户端主机希望接收的多播源服务器的地址，避免非法的组播数据流占用网络带宽。通过PVLAN （端口保护）隔离用户之间信息互通，不必占用VLAN资源。支持根据带宽速率或带宽百分比进行未知名报文、多播包、广播包进行控制。端口 MAC地址锁、MAC地址过滤、端口 MAC地址接入数量限制功能可以屏蔽非法主机的接 入和非法数据包进入网络。4.2、汇聚层网络安全规划楼栋汇聚区、服务器区是路由域与交换域的分界层，用户的VLA

46、N信息终结在汇聚交换机上。通过部署如下安全特性实现网络安全：部署VLAN规划，实现业务的隔离；部署ACL策略，实现业务的访问控制；4.3、接入层网络安全规划用户在访问网络的过程中，首先要经过的就是接入交换机，在用户试图进入网络的时候，也就是在接入层交换机上部署网络安全无疑是达到更好的效果。4.3.1、接入层实现对用户身份的准确验证对于每一个需要访问网络的用户，利用802.1X技术对其身份进行验证，身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户 PC所在交换机的端口号、用户被系统定义的允许访问网络的时间，通过以上信息的联合验证，达

47、到 如下的效果：每一个用户的身份在整个网络中是唯一并且合法的当安全事故发生的时候，只要能够发现肇事者的一项信息（如IP地址），就可以准确定位到该用户，便于事件的追踪。4.3.2、接入层实现对网络病毒和攻击的有效控制接入层交换机内置了丰富的安全防护功能，如下图tu丄甫？Xicrp码 | -MXIGMFJIPR（1）防IP地址盗用和 ARP攻击-暮口删I昂止P削绅&（1m一 - nMAC書 YNFUKDK土接入层交换机通过对每一个ARP报文进行深度的检测，即检测ARP报文中的源IP和源MAC是否和端口安全规则一致，如果不一致，视为更改了IP地址，所有的数据包都不能进入网络，这样可有效防止安全端口上

48、的 ARP欺骗，防止非法信息点冒充网络关键设备的IP （如服务器），造成网络通讯混乱。(2) 防 MAC FloodSYN Flood 攻击通过部署IP、MAC端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现) 。并实现端口 反查功能，追查源IP、MAC访问，追查恶意用户。有效的防止通过假冒源 IP/MAC地址进行网络的攻 击，进一步增强网络的安全性。并且此功能可直接在接入层交换机上实现，真正做到了安全控制到边缘！(3)非法组播源的屏蔽接入层交换机均支持IMGP源端口检查，实现全网杜绝非法组播源，指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时，从任何端口进入的视频流均是

49、合法的，交换机会把它们转发 到已注册的端口。当IGMP源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机 把它们转发向已注册的端口；而从非路由连接口进入的视频流被视为是非法的，将被丢弃。产品支 持IGMP源端口检查，有效控制非法组播，实现全网杜绝非法组播源，更好地提高了网络的安全性和 全网的性能，同时可以有效杜绝以组播方式的传播病毒.而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查，具有效率更高、配置更简单、更加实用的特点，更加适用于大规模网络应用环 境。以上可直接在接入交换机上部署，保证了组播应用的安全性，同时也提高了网络性能！(4 )对DHCP攻击的控制方式一、非法

50、 DHCP Server，为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误 信息，不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法DHCP Server，严重影响合法用户的信息安全。方式二、恶意用户通过更换 MAC地址的方式向 DHCPServer发送大量的DHCF请求，以消耗DHCP Server可分配的IP地址为目的，使得合法用户的IP请求无法实现。接入层交换机均可对以上两种方式进行有效控制：可检查和控制DHCP响应报文合法性可遏制恶意用户不断更换 MAC地址的DHCP请求(5) 对DOS攻击，扫描攻击的屏蔽通过接入层设备部署防止 DOS攻击，扫描攻击，能够有效的避免

51、这二种攻击行为，节省了网络 带宽，避免了网络设备、服务器遭受到此类攻击时导致的网络中断。(6) 对网络病毒的控制对于常见的比如冲击波、振荡波、ARP病毒等对网络危害特别严重的网络病毒，本次投标的所有接入层交换机内置了丰富的AC功能，能够对这些病毒进行防范，一旦某个用户不小心感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了带宽的有效利用。最有效的防病毒配置文件如下:ip access-list exte nded Iandeny udp any any eq 136deny udp any any eq n etbios-nsdeny udp any any eq n etbios-d

52、gmdeny udp anyany eq n etbios-ssdeny udp any any eq 445deny udp any any eq 593deny udp any any eq 1434 deny tcp any any eq 135deny tcp any any eq 136deny tcp any any eq 137deny tcp any any eq 138deny tcp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 4444deny tcp any any eq 5800deny tcp

53、any any eq 5900deny tcp anyany eq 6667deny tcp any any eq 5554deny tcp any any eq 9996permit ip any any端口 135服务 Location Service说明Microsoft 在这个端口运行 DCE RPC end-point mapper为它的DCOM艮务。这与 UNIX 111端口 的功能很相似。使用 DCOM和 RPC的服务利用计算机上的end-point mapper 注册它们的位置。远端客户连接到计算机时，它们查找en d-poi nt mapper 找到服务的位置。HACKER扫

54、描计算机的这个端口是为了找到这个计算机上运行Excha nge Server吗？什么版本？还有些DOS攻击直接针对这个端口。端口 137、13 8、139服务 NETBIOS Name Service说明其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口通过这个端口进入的连接试图获得 NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和 SAMBA还有 WINS Regisrtation 也用它。端口 445说明：445端口和139端口一样，都是用来开启 SME服务的端口。在2000系统里，445开启NBT（共 享文件）服务，禾U用它，你才能

55、看见网上邻居上的其他电脑，禾U用这个端口可以获取主机的相关信 息。互联网上的蠕虫病毒以及其他病毒，利用这个端口对该机以外的其他机器进行病毒传播。在远 程控制方面这个端口作用不是特别大，但是病毒传播的效果是很明显的。应该封闭这些端口，主要有：TCP135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129端口），以及远程服务访问端口3389、4444 端口5800, 5900 端口首先说明5800, 5900端口是远程控制软件 VNC的默认服务端口，但是VNC在修改过后会被用在某些 蠕虫中。请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭关闭的方法