校园学生宿舍网工程预案的总体设计

159/159北京林业治理干部学院校园网学生宿舍楼上网工程方案建议书北京金商祺系统集成有限责任公司2006年7月目录第一章概述与需求分析 51、校园网建设背景 51.1差不多需求： 51.2组网要求： 52、整体建网原则 5第二章学生宿舍网整体设计综述 81、核心层IP骨干网 82、汇聚层网络设计 92.1汇聚网络架构的选择 92.2学生宿舍网汇聚层网络设计 102.2.1汇聚层S5600系列以太网交换机概述： 102.2.2汇聚层S5600系列以太网交换机产品特点： 112.2.3汇聚层S5600系列以太网交换机规格特性： 132.2.4汇聚层S5600系列以太网交换机业务特性： 153、智能弹性接入层网络设计 203.1学生宿舍网接入层网络设计 203.1.1接入层®E328/E352以太网交换机概述： 203.1.2接入层®E328/E352以太网交换机产品特点： 213.1.3接入层®E328/E352以太网交换机规格特性： 223.1.4接入层®E328/E352以太网交换机业务特性： 234、交换机配置 275、IP地址与路由策略 286、VLAN划分 30第三章安全渗透网络设计 321、骨干层安全防护 332、基层网络安全 343、网络安全措施 353.1用户严格隔离 353.2有效防范MAC扫描和ARP攻击： 353.3DHCP攻击、VLAN“Hopping”攻击的防范： 353.4采纳SNMPv3杜绝网管攻击： 363.5有效抑制广播风暴 363.6恶意用户追查 363.7防治蠕虫病毒 36第四章北京林业治理干部学院学生宿舍网运营综合治理 391、校园网用户认证治理需求分析 392、安腾校园认证计费解决方案的设计原则 393、校园网用户治理认证方案概述 413.1校园网特点和面临的问题 413.2CBMS系统产品介绍 423.2.1AmtiumeFlowBAS认证计费治理网关介绍 433.2.2AmtiumeFlowBillingWare认证计费治理公布监控系统介绍 453.2.3AmtiumeFlowBillingWare的RadiusServer 463.2.4AmtiumeFlowBillingWare计费治理公布监控系统 473.2.5用户自服务系统、用户自注册系统 493.2.6校园一卡通接口，IDS系统接口 503.2.7AmtiumeFlowClient客户端软件 503.2.8AmtiumeFlowLRMS日志记录治理系统 514、安腾教育网应用方案 514.1方案一：采纳CBMS系统的典型应用（上海外国语大学） 514.1.1方案的典型拓扑及讲明 514.1.2特不推举案例：上海外国语大学 524.2方案二：802.1x交换机和BAS混合认证或单独采纳802.1X交换机认证（广西职业技术学院） 554.2.1方案的典型拓扑及讲明 554.2.2特不推举案例：广西职业技术学院 564.3方案三：采纳802.1x交换机和BAS进行二次认证（广东工业大学华立学院） 584.3.1方案的典型拓扑及讲明 584.3.2特不推举案例：广东工业大学华立学院 595、安腾服务体系 63第五章网络综合布线系统 641、工程概述 642、德国罗森伯格公司简介 643、产品和技术特点简介 653.1RosenbergerPreCONNECT®HDCS高密度布线方案 653.2 HDCS系统总结 654、设计依据 665、系统设计 685.1设计讲明 685.1.1一号学生宿舍楼 685.1.2 二号学生宿舍楼 685.1.3 三号学生宿舍楼 685.1.4 临时图书馆 685.1.5 系统选择 686、设计特点 697、详细设计 697.1工作区子系统 697.2 水平子系统 717.3垂直子系统 727.4配线治理子系统 728、测试及验收 768.1 综合布线系统测试讲明 768.2一般测试原则 778.3衰减测试合格值 788.4测试及验收要求 82第六章项目治理和工程实施 831、项目组织结构图 832、项目组成员构成及职责 833、项目实施步骤 864、项目实施进度表 87第七章针对此项目提供“金色阳光”特色服务 88一、北京金商祺系统集成有限责任公司介绍 881公司介绍 882公司政府采购中标情况 893部分成功案例: 90二、完善的服务体系 91三、服务措施 931产品备件库支持体系 932设备故障无偏离 93四、服务保障 94五、服务承诺 94六、培训服务 94

第一章概述与需求分析1、校园网建设背景1.1差不多需求：本方案作为校园网以后规划整体框架的一个组成部分。关于校园网已有建设投资具有爱护性。具有较强的扩展性，考虑以后整个学生宿舍区的校园网接入和治理问题。能够使学生相对简便地通过身份验证登录到互联网上学习和工作。网络计费系统为基于账号机制的网关式计费系统，支持充值卡续费功能。具有灵活的用户治理方式，包括用户开户、用户资料治理，用户向量参数的绑定（包括用户帐号、IP地址、MAC地址、交换机地址、交换机端口等等）。在网络计费模式上，采纳灵活的计费策略（包月方式、包月限时长方式）。支持Linux操作系统下安装部署。能够通过日志治理，及时查找用户的上网纪录。1.2组网要求：本次设备招标的楼宇：1#，2#，3#，车库（临时图书馆）及车队、食堂，怡林宾馆，各楼宇信息点数及线缆条件见综合布线系统部分。本次招标采购的设备：汇聚层设备，接入层设备和计费系统。网络终端用户100MFullDuplex接入接入交换机通过6类线缆1000MFullDuplex接入楼宇汇合交换机楼宇汇聚交换机通过1条1000MFullDuplex链路（单模光纤）接入核心交换机南北区核心交换机通过2条1000MFullDuplex链路（单模光纤）互联2、整体建网原则早期的高校校园网要紧是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，专门少有三层应用，存在安全、可治理性较差、无业务增值能力等方面的问题。现在北京林业治理干部学院学生宿舍网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育治理、多媒体教学、图书馆治理自动化，提供可增值可治理的业务，必须具备高性能、高安全性、高可靠性，可治理、可增值特性以及开放性、兼容性、可扩展性。基于对北京林业治理干部学院学生宿舍网业务需求的深入理解，结合自身产品和技术特点，我公司推出了了完善的北京林业治理干部学院学生宿舍网解决方案，为北京林业治理干部学院学生宿舍网提供“高扩展、多业务、高安全”的精品网络。北京林业治理干部学院学生宿舍网建设遵循以下差不多原则：高带宽北京林业治理干部学院学生宿舍网是一个庞大的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的时期就要充分考虑到，同时要求汇聚交换机具有高性能、高带宽的特，整网的汇聚交换要求能够提供无瓶颈的数据交换。可增值性北京林业治理干部学院学生宿舍网的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续进展基础。因此在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到北京林业治理干部学院学生宿舍网用户数量和业务种类进展的不确定性，要求关于汇聚与接入交换机具有强大的扩展功能，北京林业治理干部学院学生宿舍网要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，幸免个不厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和治理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一治理。安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路爱护，提供网络安全防范措施。标准化在网络系统中选用的通信协议、网络协议和产品要符合国际标准或工业标准，以实现异构网络之间互连的相互兼容性；可延展性考虑到北京林业治理干部学院学生宿舍网必须有升级能力，要可能到今后一段时刻的需求的增长，使网络能够适应以后进展的要求，从而为今后网络升级作好预备

第二章学生宿舍网整体设计综述北京林业治理干部学院学生宿舍网解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可治理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采纳模块化的设计方法。组网图如下所示：北京林业治理干部学院学生宿舍网要紧目的是将学生宿舍区网络的性能、带宽、要紧网络业务进行全网的建设。网络设计要紧包含高品质IP核心网模块、智能弹性接入网模块、安全渗透网络模块、网络系统综合治理、组播与QoS优化模块等共五个要紧部分。 本章节要紧对主体网络拓扑结构进行简述，关于详细功能和业务特性的实现请参看后续章节的具体内容。 北京林业治理干部学院学生宿舍网分成三个层次，即核心－汇聚－接入的模式。核心网由1台原有的CiscoWS－C4506组成，依靠路由协议实现数据流的均衡和备份。汇聚层要紧由新增华为3Com的LS－S5624P作为每个楼宇的汇聚交换机，通过GE分不上联到核心交换机。在充分提升性能的基础上，增加网络的可靠性、可用性。接入层通过部署华为的新款设备LS－E328和E352实现GE上行、FE三层功能到桌面的解决方案。一则可实现完全弹性、平滑的基础网络扩容，二则通过三层功能的下移，释放、降低核心层、汇聚层设备的性能压力和组网成本。最终通过治理服务中心的治理组件安腾计费网络系统实现对整个北京林业治理干部学院学生宿舍网用户行为与计费业务进行综合有效的治理。 关于原有宿舍楼差不多部署的网络设备，本项目对其进行优化、调整，也要完成其网络有效利用连接的工作。物理链路要紧以单条GE单模为主。1、核心层IP骨干网北京林业治理干部学院学生宿舍网核心层IP骨干网交换机采纳原有CiscoWS－C4506，为实现宿舍网各种业务流的高品质传送，高品质业务保证、业务高安全、业务高可靠、业务高性能可扩展、业务可治理提供了可靠的保证。本次工程关于核心层硬件设备不增加，只做优化、调整，以便更好的为整个校园网提供安全、稳定、有效的运行治理。2、汇聚层网络设计2.1汇聚网络架构的选择校园网的建设中，网络架构的选择具有举足轻重的作用，组网架构决定整个校园网络的性能、可扩展性、可治理性、线缆布放、区域划分等诸多关键因素，从目前的主流的组网架构上看，每种组网架构都具有优点与缺点，关键是要选择适合于学校自身特点的架构，合理的组网架构是一个优秀校园网络的基础。选择合理的组网架构考虑因素众多，同时一旦实施了某种类型的组网架构，就意味着将长期阻碍校园网的建设，因此组网架构的选择成为困扰校园网建设者们的一个难题，本文从技术角度动身，探讨了校园网中常见的几种组网架构的优缺点，为校园网的建设者选择合理架构提供参考。选择方法关键因素排序法在选择组网架构时，通常要考虑的因素有流量分布、路由规划、线缆走向、功能区域划分、设备治理、网络应用等等，甚至还要考虑网络协议支持，如IPv6部署区域，IPv4/IPv6共存区域等。在这些因素中，依照学校的实际情况选取一些关键性因素，如差不多进行了光纤布放的学校，线缆走向可能会成为选择校园网整体架构的关键因素。通常情况下，网络架构的选择应该优先满足关键性因素，其他因素作为参考指标。对比法在几种主流架构中，通过对学校自身特点的归纳总结，对比每种架构关于学校特点与需求的满足度，从中选择最合适的组网架构。逐步建设法校园网的建设是个逐步的、长期的过程。在初期建设中，有可能校园网只是覆盖了有限区域，现在能够选择一些相当简单的架构。在后期建设中，能够依照实际情况调整为最合理结构，采纳这种方式应注意校园网建设的长期规划，同时也要选择长期的合作伙伴和国际标准技术组网，初期建设不应对后期进展有所局限。经验借鉴法尽管没有方案能够适合所有学校的校园网建设，“他山之石能够攻玉”，其他学校的经验教训关于本校的校园网建设有较多借鉴作用，同时应注重选择经验丰富的合作伙伴。2.2学生宿舍网汇聚层网络设计北京林业治理干部学院学生宿舍网核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可治理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采纳模块化的设计方法。同时兼顾学校在楼宇分布、光缆布设条件、组网综合成本等客观因素，建议骨干网结构采纳1个单星形结构融合的结构。本次北京林业治理干部学院学生宿舍网校区网设计中，我们特不关注方案的可靠性，因为在学校网络中宿舍的业务也是关键的业务，而本项目确实是教学楼的网络，因此可靠性的设计特不关键。在汇聚层，由于楼宇内网络，尤其是宿舍区存在密集度高的大量用户，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性。我们建议楼内汇聚采纳QuidwayS5600万兆核心交换机。QuidwayS5600系列全千兆智能弹性交换机支持华为-3COM创新的IRF（IntelligentResilientFramework）技术，能够实现用户网络的高度弹性智能扩展。利用IRF技术，用户能够将多台设备通过堆叠接口连接起来组成一个联合设备（Fabric），并将这些设备看作单一设备进行治理和使用，降低了治理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地爱护已有投资。同时S5600支持万兆上联最大程度的提高了汇聚层与核心交换机之间的带宽扩展需求。2.2.1汇聚层S5600系列以太网交换机概述：QuidwayS5600系列全千兆智能弹性交换机是华为-3COM公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采纳华为-3COM公司创新的IRF（IntelligentResilientFramework，智能弹性架构)技术，支持高达96G的堆叠带宽和高密度千兆端口，支持万兆上行。特不适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。QuidwayS5624P/5648P：采纳交、直流双输入电源模块供电，并可通过更换电源模块提供千兆PoE功能。后面板提供两个固定的堆叠接口和一个扩展模块插槽，扩展模块可选配8端口千兆SFP模块、1端口万兆模块或2端口万兆模块。前面板提供24/48个10/100/1000Base-T自协商以太网端口（RJ-45连接器）及4个SFPCombo接口。QuidwayS5624F：采纳交、直流双输入电源模块供电。后面板提供两个固定的堆叠接口和一个扩展模块插槽，扩展模块可选配8端口千兆SFP模块、1端口万兆模块或2端口万兆模块。前面板提供24个千兆SFP接口和4个como的10/100/1000Base-T自协商以太网端口（RJ-45连接器）2.2.2汇聚层S5600系列以太网交换机产品特点：

IRF智能弹性架构技术可治理性—IRF技术真正的即插即用支持、单一IP地址治理、单步骤软件升级以及通过SNMP、Web界面和CLI进行的架构范围配置，所有这些功能都简化分布式架构中的设备治理。高性能第三层交换—IRF分布式架构能够利用所有交换机的第三层交换功能提供更高的性能和可扩展性，而幸免治理多台独立三层设备的复杂性。分布式链路聚合—可跨分布式架构中多台交换机的端口配置一个聚合链路，能对布线间进行双重双核心上连，从而提高整个网络骨干的可用性和性能。

POE(Poweroverethernet)远程供电特性QuidwayS5600系列交换机能够通过更换POE电源支持PoE（PowerOverEthernet）功能，即可通过双绞线向远端下挂PD设备（如IPPhone、WLANAP、Security、BluetoothAP等）提供-48V直流电源，实现对下挂PD设备远端供电。作为供电方PSE（PowerSourcingEquipment）设备，支持IEEE802.3af线路供电标准，同时也能够兼容不符合802.3af标准的PD（PoweredDevice）设备。交换机远端供电时每个以太网口向下挂设备提供的最大功率为15.4W。S5600提供千兆电口上的PoE特性，能够充分满足以后技术进展的需求，为千兆无线技术，语音技术的进展提供了支持。通过支持POE和VoiceVLAN技术，S5600系列交换机能够提供完美的数据和语音融合解决方案。大容量全线速的多层交换QuidwayS5600系列交换机具有192G/240G的交换容量和66M/102Mpps的二/三层包转发能力，支持所有端口线速转发。设备最大提供24/48端口10/100/1000M电接口、32个SFP千兆光接口或2个10G接口，充分满足客户对高密度GE和万兆上行设备的需求。设备具备强大的IRF堆叠扩展能力，极大的节约了用户对设备的投资。硬件支持二/三层线速交换，能够识不、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并依照不同的流进行不同的治理和操纵。

完备的安全操纵策略QuidwayS5600系列交换机基于最长匹配的路由策略。系统采纳逐包转发方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防备能力，有效保证了设备安全。支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还能够通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持DUD（DisconnectUnauthorisedDevice）认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级治理和口令爱护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。支持QoSProfile功能。和802.1x认证功能相结合，能够动态的为通过认证的用户提供预先配置的一套QoS功能。用户在通过802.1x认证后，交换机依照AAA服务器上配置的用户名和Profile的对应关系，将相应的Profile动态下发到用户登录的端口上，为该用户提供量身定做的服务质量保证。支持SSH特性。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时，能够提供安全的信息保障和强大的认证功能，以爱护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。

高可靠性QuidwayS5600系列交换机采纳IRF技术组网后，能够在整个堆叠组内实现操纵平面和数据平面所有信息的冗余备份，极大地增强了设备和网络的可靠性，消除了单点故障，幸免了业务中断。同时QuidwayS5600系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一条备份路由，实现上行路由的多级备份。采纳交、直流双输入电源模块供电，也能够通过更换电源模块来支持PoE功能，提供所有固定端口的PoE满负载。

丰富的QOS策略QuidwayS5600系列交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类；每端口支持100个流规则，整机支持3200/5600个流规则，充分保障了复杂网络关于QoS规则的要求。提供灵活的队列调度算法，能够同时基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种模式；支持8个优先级队列。支持CAR（CommittedAccessRate）功能，能够实现基于端口和基于流的速率限制，限制的粒度能够精确至64Kbps，为网络带宽的精细化治理提供了手段。多样的治理方式QuidwayS5600系列交换机支持CLI（命令行）、Telnet、Console口配置，支持华为3COM的Quidview®、iManager®网管系统，支持WEB网管，使设备治理更加方便。通过各种开放的标准MIB和扩展MIB的支持能够提供完善的基于SNMP的第三方治理能力。2.2.3汇聚层S5600系列以太网交换机规格特性：项目S5624P/S5624P-PWRS5624FS5648P/S5648P-PWR治理端口1个Console口业务端口描述固定端口24个10/100/1000M电口＋4个SFPCombo千兆口24个千兆SFP接口＋4个10/100/1000Mcomo电口48个10/100/1000M电口＋4个SFPCombo千兆口可选模块8端口SFP模块1端口10GE模块2端口10GE模块端口类型10/100/1000BASE-T1000Base-SX-SFP1000Base-LX-SFP1000Base-LH-SFP1000Base-T-SFP10GBase-LR-XENPAK10GBase-LR-XFP10GBase-ER-XFP可选电源电源模块PSL130-AD（130W系统输出电源模块）交流输入或者直流输入PSL480-AD24P（180W系统+300WPOE输出电源模块）交流输入或直流输入PSL130-AD（130W系统输出电源模块）交流输入或者直流输入PSL180-AD（180W系统输出电源模块）交流输入或者直流输入PSL480-AD48P（180W系统+300WPOE输出电源模块）交流输入或直流输入输入电压交、直流双输入电源模块输入电压：AC：额定电压范围：100-240V；50/60Hz最大电压范围：90-264V；50/60HzDC：额定电压范围：-48--60V最大电压范围：-36--72VPoE电源模块直流输入：额定电压：-53.5V最大电压：-52V--55V外形尺寸(mm)宽×深×高440×420×43.6重量<7.5KG<8KG功耗（满负荷时）S5624P：170WS5648P：230WS5624F：170WS5624P-PWR：540WS5648P-PWR：600W在进行PoE供电时：S5624P-PWR采纳直流供电时最大功率为540W，采纳交流供电时为540WS5648P-PWR采纳直流供电时最大功率为970W，采纳交流供电时为600W工作环境温度0～45工作环境相对湿度（非凝露）10%～95%2.2.4汇聚层S5600系列以太网交换机业务特性：特性S5624P/S5624F/S5624P-PWRS5648P/S5648P-PWR线速二/三层交换所有端口支持线速转发交换容量为192Gbit/s包转发率66Mpps所有端口支持线速转发交换容量为240Gbit/s包转发率102Mpps交换模式存储转发模式（StoreandForward）VLAN支持4K个符合IEEE802.1Q标准的VLAN支持基于端口的VLANVoiceVLAN支持识不进入端口的流的MAC地址，假如是IP电话流，就会将该端口加入相应的VoiceVLAN广播风暴抑制支持基于端口速率百分比的广播风暴抑制，同时支持基于pps的广播风暴抑制端口环回检测支持端口收、发数据线被短路的检测与告警IP路由静态路由、RIPv1/2OSPFECMPBGPVRRP

支持组播IGMPSnoopingIGMPV1/V2PIM-SMPIM-DM生成树协议支持STP/RSTP/MSTP协议，符合IEEE802.1D、IEEE802.1w、IEEE802.1s标准端口汇聚支持通过LACP进行动态端口汇聚支持进行通过命令行手动进行端口汇聚支持堆叠范围内的跨设备链路汇聚支持GE（GigabitEthernet）端口汇聚支持10G（GigabitEthernet）端口汇聚最多32组端口汇聚组，GE汇聚组最多支持8个端口，10GE汇聚组最多4个端口，汇聚的端口必须具有相同的端口类型镜像支持多对一的端口镜像，即多个源端口，一个镜像端口支持流镜像支持在堆叠范围内跨设备的镜像功能支持RSPAN(远程端口镜像)MAC地址表地址自学习IEEE802.1D标准最多支持16K个MAC地址支持1K个静态MAC地址流控支持IEEE802.3x流控（全双工）支持Back-pressurebasedflowcontrol（背压式流控）（半双工）IRF支持IRF，最多8台。2个高速堆叠端口，每端口48G堆叠带宽，环形堆叠时能够提供高达96G堆叠带宽。加载与升级支持XModem协议实现加载升级支持FTP（FileTransferProtocol）、TFTP（TrivialFileTransferProtocol）加载升级治理支持命令行接口（CLI）配置支持Telnet远程配置支持通过Console口配置支持SNMP（SimpleNetworkManagementProtocol）支持RMON（RemoteMonitoring）1，2，3，9组MIB支持QuidView网管系统支持WEB网管支持系统日志支持分级告警维护支持调试信息输出支持PING、Traceroute，MulticastTraceroute支持Telnet远程维护QoS/ACL支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持CAR（CommittedAccessRate）功能，GE端口流量限速的粒度为：64Kbit/s，10G端口流量限速的粒度为：1Mbit/s支持8个端口输出队列支持灵活的队列调度算法，能够同时基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种模式支持报文的802.1p和DSCP优先级重新标记支持L2（Layer2）~L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC（MediumAccessControl）地址、源IP地址、目的IP地址、端口、协议、VLAN（VirtualLocalAreaNetwork）、VLAN范围、MAC地址范围和非法帧过滤支持基于时刻段（TimeRange）的ACL和QoS操纵支持QosProfile治理方式，同意用户定制Qos服务方案安全特性用户分级治理和口令爱护支持IEEE802.1X认证支持基于MAC地址的认证支持DUD（DisconnectUnauthorizedDevice）特性支持SSH包过滤支持端口隔离DHCP支持DHCPCLIENT/DHCPRELAY/DHCPSNOOPING/DHCPSERVERNTP支持3、智能弹性接入层网络设计弹性智能接入网要紧实现业务的导入、业务感知、驱动网络资源分配和策略部署。首先，业务进入网络之后需要进行身份认证及终端安全状态检查，合法而安全的用户及终端能够同意访问网络资源，那个过程称为EAD(端点准入防备)；随后，网络会依照用户的权限为用户分配网络资源，包括IP地址、VLAN，以及安全及QOS策略，这些策略差不多上动态生成的。关于安全性要求比较高的网络，能够采纳PSPT(为每个业务分配不同的隧道)技术，与核心网的VPN技术相配合，实现端到端的业务隔离。随着关键应用的增多，接入网的可靠性显得越来越重要，除了堆叠、STP收敛、端口汇聚、快速路由收敛等方法之外，华为3Com公司还开发了基于全分布式转发的IRF（智能弹性架构）技术，支撑更加强大的可靠性和扩展性。3.1学生宿舍网接入层网络设计 针对北京林业治理干部学院学生宿舍网的接入网络提供解决方案，其中重点在于有线网络的弹性扩展能力、3层网络接入桌面和接入交换机针对教育行业的典型特性进行设计。接入层建议采纳Quidway®E328/E352教育网以太网交换机，该交换机是华为-3COM公司为教育行业构建高弹性、高智能网络需求而专门设计的新一代以太网交换机产品，具有高扩展性、高可靠性、高安全性和易治理性，适合作为教育城域网和校园网的汇聚和接入层交换机。3.1.1接入层®E328/E352以太网交换机概述：Quidway®E328/E352教育网以太网交换机是华为-3COM公司为教育行业构建高弹性、高智能网络需求而专门设计的新一代以太网交换机产品，具有高扩展性、高可靠性、高安全性和易治理性，适合作为教育城域网和校园网的汇聚和接入层交换机。

Quidway®E328Quidway®E3523.1.2接入层®E328/E352以太网交换机产品特点：

大容量全线速的多层交换Quidway®E328/E352教育网交换机具有32G的背板带宽，系统能够提供4个GE，有效解决了在单台设备上多条千兆链路上行，同时接入千兆服务器的需求，极大的节约了用户对设备的投资。

完备的安全操纵策略Quidway®E328/E352教育网交换机支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还能够通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持动态策略功能。和802.1x认证功能相结合，能够将策略（VLAN、QOS、ACL）动态下发到用户登录的端口上，为该用户提供量身定做的一系列服务质量保证。支持DHCPSnooping功能，通过建立和维护DHCPSnooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID接口等信息，解决了DHCP用户的IP和端口跟踪定位问题。同时利用DHCPSnooping的信任端口特性能够保证DHCPServer的合法性。支持EAD（端点准入防备）功能。将终端防病毒、补丁修复等终端安全措施与网络接入操纵、访问权限操纵等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、治理和监控，使整个网络变被动防备为主动防备、变单点防备为全面防备、变分散治理为集中策略治理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防备能力。

丰富的QOS策略Quidway®E328/E352教育网交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类；支持1K个流规则。提供灵活的队列调度算法，能够同时基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、WFQ（WeightedFairQueue）、SP+WRR、SP+WFQ五种模式；支持8个优先级队列，2个丢弃优先级；支持WRED拥塞幸免算法。支持CAR（CommittedAccessRate）功能，能够实现基于端口和基于流的速率限制，限制的粒度能够精确至64Kbps，为网络带宽的精细化治理提供了手段。

多样的治理方式Quidway®E328/E352教育网交换机通过专利技术实现真正的即插即用、单一IP地址治理、单步骤软件升级以及通过SNMP、Web界面和CLI进行的架构范围配置，支持专用堆叠电缆和最大8台设备的堆叠。支持VCT（VirtualCableTest）电缆检测功能，便于快速定位网络故障点。支持SNMPV1/V2/V3，可支持OpenView等通用网管平台，以及Quidview®网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群治理，使设备治理更方便。通过各种开放的标准MIB和扩展MIB的支持能够提供完善的基于SNMP的第三方治理能力。3.1.3接入层®E328/E352以太网交换机规格特性：项目E328E352治理端口1个Console口业务端口描述固定端口24个10/100Base-T以太网端口，2个1000Base-XSFP千兆以太网端口，2个10/100/1000Base-T以太网端口48个10/100Base-T以太网端口，4个1000Base-XSFP千兆以太网端口可选模块1000BASE-SX-SFP1000BASE-LX-SFP1000BASE-LH-SFP

1000BASE-ZX-LR-SFP

1000BASE-ZX-VR-SFP

1000BASE-T-AN-SFP端口类型10/100BASE-T1000BASE-SFP外形尺寸(mm)宽×深×高440×260×43.6重量E328：3.5kg.E352：4kg输入电压

额定电压范围：100-240Va.c.；50/60Hz最大电压范围：90-264Va.c.；50/60Hz功耗（满负荷时）E328：40WE352：50W工作环境温度0～45工作环境相对湿度（非凝露）10%～90%3.1.4接入层®E328/E352以太网交换机业务特性：特性Quidway®E328/E352线速二/三层交换背板带宽为32Gbit/s包转发率9.6Mpps(E328)/13.2Mpps(E352)交换模式存储转发模式（StoreandForward）VLAN支持4K个符合IEEE802.1Q标准的VLAN支持基于端口的VLAN和基于协议的VLAN支持GuestVlan支持GVRP协议VoiceVLAN支持识不进入端口的流的MAC地址，假如是IP电话流，就会将该端口加入相应的VoiceVLAN广播风暴抑制支持基于端口速率百分比的广播风暴抑制，同时支持基于pps的广播风暴抑制端口环回检测支持端口收、发数据线被短路的检测与告警IP路由静态路由、RIPv1/2组播IGMPSnooping生成树协议支持STP/RSTP/MSTP协议，符合IEEE802.1D、IEEE802.1w、IEEE802.1s标准端口汇聚支持通过LACP进行动态端口汇聚支持进行通过命令行手动进行端口汇聚支持FE/GE端口汇聚支持每个汇聚组最大端口数8FE或者4GE；最多支持8组端口汇聚Jumboframe支持镜像支持多对一的端口镜像，即多个源端口，一个镜像端口支持流镜像MAC地址表地址自学习IEEE802.1D标准最多支持16K个MAC地址支持静态MAC地址1K流控支持IEEE802.3x流控（全双工）支持背压式流控（半双工）加载与升级支持XModem协议实现加载升级支持FTP、TFTP加载升级治理支持命令行接口（CLI）配置支持Telnet远程配置支持VCT(虚拟电缆检测)，快速定位电缆故障点支持通过Console口配置支持SNMPV1/1V2/V3支持RMON1，2，3，9组MIB支持QuidView网管系统支持WEB网管支持HGMPv2集群治理支持系统日志支持分级告警维护支持调试信息输出支持PING、TracertQoS/ACL支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持CAR功能，流量限速的粒度最小可达64Kbit/s支持8个端口输出队列支持灵活的队列调度算法，能够同时基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、WFQ、SP+WFQ、SP+WRR五种模式支持报文的802.1p和DSCP优先级重新标记支持L2~L4包过滤功能，提供基于源MAC地址、目的MAC址、源IP地址、目的IP地址、端口、协议、VLAN、VLAN范围、MAC地址范围和非法帧过滤支持基于时刻段的ACL和QoS操纵支持QosProfile治理方式，同意用户定制Qos服务方案安全特性用户分级治理和口令爱护支持IEEE802.1X认证支持AAA&Radius认证支持MAC地址学习数目限制支持MAC地址与端口、IP的绑定支持SSH2.0支持防止DoS攻击功能支持端口隔离支持MAC地址黑洞支持集中式mac地址认证WRED支持DHCPCLIENT支持DHCPSnooping支持NTP支持4、交换机配置[一号学生宿舍楼]：汇聚层采纳QuidwayS5624P交换机一台，提供24个千兆SFP接口和4个como的10/100/1000Base-T自协商以太网端口（RJ-45连接器），并配1个SFP单模模块，接入层采纳Quidway®E328交换机？台，提供24个10/100Base-T以太网端口，2个1000Base-XSFP千兆以太网端口，2个10/100/1000Base-T以太网端口，上联通过六类千兆电缆实现。[二号学生宿舍楼]：汇聚层采纳QuidwayS5624P交换机一台，提供24个千兆SFP接口和4个como的10/100/1000Base-T自协商以太网端口（RJ-45连接器），并配1个SFP单模模块，接入层采纳Quidway®E328交换机？台，提供24个10/100Base-T以太网端口，2个1000Base-XSFP千兆以太网端口，2个10/100/1000Base-T以太网端口，上联通过六类千兆电缆实现。[三号学生宿舍楼]：汇聚层采纳QuidwayS5624P交换机一台，提供24个千兆SFP接口和4个como的10/100/1000Base-T自协商以太网端口（RJ-45连接器），并配1个SFP单模模块，接入层采纳Quidway®E328交换机？台，提供24个10/100Base-T以太网端口，2个1000Base-XSFP千兆以太网端口，2个10/100/1000Base-T以太网端口，上联通过六类千兆电缆实现。[怡林宾馆]：汇聚层采纳QuidwayS5624P交换机一台，提供24个千兆SFP接口和4个como的10/100/1000Base-T自协商以太网端口（RJ-45连接器），并配1个SFP单模模块，接入层采纳Quidway®E328交换机？台，提供24个10/100Base-T以太网端口，2个1000Base-XSFP千兆以太网端口，2个10/100/1000Base-T以太网端口，上联通过六类千兆电缆实现。[车库（临时图书馆）及车队、食堂]：采纳原有设备，做优化、调整，实现网络连接。5、IP地址与路由策略IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对ＩＰ地址进行统一规划并得到实施。IP地址规划的好坏，阻碍到网络路由协议算法的效率，阻碍到网络的性能，阻碍到网络的扩展，阻碍到网络的治理，也必将直接阻碍到网络应用的进一步进展。IP地址分配原则考虑到林业干部治理学院的学生宿舍使用环境，为保证关于上网用户的可查询性，且考虑到10.xxx.xxx.xxx私网地址不存在短缺等因素，建议林业干部治理学院学生宿舍楼的IP地址采纳静态IP地址接入的方式进行建设。要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可治理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采纳相同的IP地址；简单性：地址分配应简单易于治理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当校园网以私网地址分配或采纳混合网络地址接入时，要求校园网提供地址变换功能，过滤掉私网地址。IP地址规划方案1）IP地址的设计内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个私网的划分。关于相对固定不变的教学区采纳静态分配IP地址，为防止地址盗用，采纳IP地址与端口、地址绑定，关于流淌性大、用户人数多、用户增长快的区域采纳动态分配IP地址，采纳ByPort的Vlan，小范围地限制地址盗用问题。静态IP地址关于用户来讲能够实现对应物理位置的查询，对全网的IP地址与物理位置的对应有全面、可靠的治理。2）中心交换机支持静态或动态的IP地址分配，并支持动态IP地址分配方式下DHCP-Relay功能，DHCPSERVER可安放在区域内部。3）关于固定IP地址用户，需要针对标识符（MAC地址）设定保留IP地址。在路由策略方面，我们建议将核心交换机加到现在的OSPF域中，通过动态路由协议确保整个网络的可靠性，同时实现冗余链路之间的负载分担。6、VLAN划分依照林业干部治理学院的学生宿舍使用环境和计费治理的要求，建议每个接入层交换机划分为一个VLAN，接入交换机仅向三层交换机提供一个VLAN信息，一方面实现用户之间的隔离。另一方面能够为三层交换机节约VLAN资源。同时在边缘交换机还能够实现了端口能够同时属于多个Vlan； 如图所示：其中端口1为uplink端口，端口2，3，4为接入端口； Vlan1：包含端口：1，2，3，4，5 Vlan2：包含端口：1，2 Vlan3：包含端口：1，3，4 Vlan4：包含端口：1，5 设计中采纳了几个secondaryvlan包含在一个primaryVLAN中的方式，给用户提供了灵活的配置方式。假如用户希望实现二层报文的隔离，能够采纳了为每个用户分配一个secondaryvlan的方式，每个vlan中只包含用户连接的port和uplinkport；假如希望实现用户之间二层报文的互通，能够将用户连接的端口划入同一个VLAN中；同时创建primaryvlan，该vlan包含所有secondaryvlan中包含的端口和uplink端口，如此对上层交换机来讲，能够认为下层交换机中只有一个primaryvlan，用来标识设备，而不必关怀primaryVLAN中的端口实际所属的VLAN，简化了配置，节约了VLAN资源。primaryvlan中的所有端口差不多上不是802.1Q的trunk端口，包括与其它交换机相连的uplink口。每个port的PVID确实是它所属secondaryvlan的ID；uplink端口的PVID是primaryvlan的ID； 如下图所示： 如此VLAN10和VLAN20内的用户属于一个网段，分属不同的VLAN，在6509仅仅需要创建VLAN30，它认为二层交换机上面仅仅只有一个VLAN30，在二层交换机上配置VLAN30为P-VLAN，包含从VLAN10和VLAN20，它们对三层交换机来讲是不可见的。我们建议在接入交换机上依照楼层内部的各个楼层之间的逻辑关系进行灵活的VLAN划分。能够让一个楼层对应于一个PVLAN，楼层内的不同部门分属不同的SencondaryVLAN。这种划分方式中，因为对用户能实现动态的VLAN+MAC+IP绑定，可对用户发动的伪造攻击报文进行合法性检查和过滤，具有一定的网络安全性保障。不同VLAN间的互访，必须通过三层交换机进行转发。

第三章安全渗透网络设计最近几年，网络安全成为大伙儿关注的重点。就高校校园网来讲，现在随着网络技术和应用的普及，越来越多的同学通过校园网络来进行学习、研究和娱乐，随之也产生了专门严峻的安全问题。一方面终端计算机的面临越来越严峻的安全威胁，像木马、蠕虫、病毒，以及SpyWare等各种恶意代码的泛滥，使得终端计算机成了威胁的目标，甚至成为威胁的载体，从而造成威胁的泛滥；另一方面，随着攻击工具的普及和门槛降低，能够比较容易的对网络上的服务器和应用发起攻击，从而使这些核心服务面临了巨大的风险，因此我们认为高校校园网面临着比其他行业更加严峻的安全形式，这是因为高校校园网络和应用有下面的一系列特点：服务器和应用的分散：高校里不同的院、系、研究团队都有自己的服务器和软件应用。因为软件应用的不同，导致服务器的各种软硬件的巨大差不，各自面临着不同的安全威胁；另外，分布在各个地点的服务器和应用导致了分散的治理，同时增加了安全维护的困难。新应用、新技术普及快：校园学生对新技术和新应用怀有强烈的好奇心，因此新的应用常常首先在校园网产生应用并普及，如P2P软件和IM软件等等。而新应用、新技术的普及又往往带来更大的安全风险。学生受技术和好奇心的驱动，经常尝试各种黑客攻击技术，在这种情况下，校园的网络及其上的机器往往首当其冲成为攻击的目标。因此，相关于传统的网络安全风险模型，现在的风险模型发生了全然转变，要紧体现在下面3个方面：首先是不断变化的信任模型，正如前面我们前面讲到的，终端计算机往往成为威胁攻击的目标和载体，在这种情况下，用户的身份被认证了，并不意味着计算机的安全状态被认证了，也不意味着用户的网络行为就能被信任。传统的基于用户名和密码的身份认证、授权、审计的信任模型差不多不能满足当前的安全需求了。其次是不断变化的威胁模型：各种蠕虫、病毒、应用层攻击技术和EMAIL、移动代码结合，形成复合攻击手段，使威胁更加危险和难以抵御。这些复合威胁直接攻击校园核心服务器和应用，给学校带来了重大损失；来自Internet和高校内部的对网络基础设施进行DDOS攻击，造成基础设施的瘫痪；更有甚者，以eDonkey、BT为代表的P2P软件，和以MSN、QQ为代表的IM软件的普及，使得高校宝贵带宽资源被白费掉，形成巨大的性能威胁；P2P和IM软件的普及，使得资源搜索、下载、共享多了另外一种渠道，因此原先基于HTTP和EMAIL的内容操纵和过滤手段将不再有效。这种新技术和新应用带来的安全风险使得原来的基于网络层的“非法访问”威胁模型差不多不能适应当前的安全需求了。最后是不断变化的业务模型，随着网络应用的成熟，不断有新的应用模式引入，不断的有组织构架调整和人员的变化，业务的变化带来安全策略的变化，原来的静态业务模型和安全策略差不多不能满足当前的安全需求了。在这种咄咄逼人的安全形势下，原来的“防火墙＋防病毒”的解决方案差不多不能满足安全需求了，新的安全形势要求我们必须对安全解决方案做出新的定义。如此就产生了华为3Com安全渗透网络，下面我们对安全渗透网络三个差不多特征的定义：安全渗透网络要求网络必须从端点开始进行行为的治理：仅仅进行身份鉴不是不够的，必须做到对端点的行为进行识不，让行为顺从取代简单的“口令”认证，成为安全接入网络的差不多条件安全渗透网络要求网络深入到应用和业务内容进行爱护：网络设备只工作在网络层和传输层是不够的，必须具有深度报文解析和深度应用感知的能力。安全渗透网络要求基础安全特性成为网络的一部分：也确实是基础安全特性应该有机的渗透到网络设备中，网络能够弹性的调整和部署，以适应因为业务变化引起的安全策略的变化。相应的，华为3Com安全渗透网络由三个功能模块组成，分不是用户层上以EAD（端点准入防备）为基础的端点安全模块；应用层上以SecEngineIDSIPS为依托的威胁抵御模块；以及网络层上的基础安全模块。1、骨干层安全防护逐包转发机制防止病毒冲击核心路由交换机是采纳了逐包转发的机制，它和传统的流转发机制在安全性方面有着更本的差异。流转发要紧存在下面两个问题：（1）、在网络拓扑频繁变化时，设备的适应性差，转发性能下降严峻；（2）存在一定安全隐患问题，尤其在网络遭受到类似“红色代码”这类病毒攻击时问题尤为严峻。流转发为一次路由多次交换，它的特点是一旦查找一次路由后，就把查找结果存放在CACHE里，以后同样目的地址的包就不用重新查找，直接采纳类似二层交换的技术，直接转发到目的端口去。假如路由表项几乎不变化，则可通过上面所述的硬件精确匹配的方式能够专门快的速度进行查表转发。然而假如应用的情况为路由表项经常出现变更的情况，就会导致无法通过硬件的精确匹配的方式查找到路由，这时三层以太网交换机的就会转为通过CPU软件进行路由查找，查表和转发速度就会急剧下降。这是工作差不多上是处于靠CPU软件进行路由的“多次慢路由”的情况。也确实是讲三层交换机在进行数据报文转发时要紧依照数据报文的五元组特征进行精确命中数据转发，关于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进行变换，其五元组信息始终处于一个不停变换时期，如此导致三层交换机CPU不停进行路由查找，由于这类报文另外一个特征确实是短时刻内产生大量报文，从而最终导致三层交换机CPU在转发过程中瘫机，同时这台交换机下挂的三层交换机同样接收到大量病毒报文，基于上述缘故其CPU转发引擎也将瘫机。与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中，如此网络路由必定就会出现较大振荡，交换机转发性能急剧下降，最终导致所有交换机瘫机，整个网络不可用。关于采纳网络拓扑驱动的路由交换机而言由于采纳逐包转发，进行的是最大匹配方式路由查找，当数据报文端口号进行变换的情况下，对路由器转发不造成阻碍，因此一旦遭受“红色代码”病毒攻击时没有任何问题。2、基层网络安全最近几年，网络安全成为大伙儿关注的重点。像典型的企业网一样，校园网从一开始就部署了某种程度的安全防范技术。然而我们发觉随着网络技术和应用的普及，越来越多的同学通过校园网络来进行学习、研究和娱乐，校园网的安全问题也是层出不穷，今天堵住某一项漏洞，改日又会出现新的漏洞，不论我们购买了多少强大的防火墙产品总是无济于事。事实上归结其缘故要紧有三：第一，大伙儿平常关注校园网的安全可能存在一定的局限性，比如认为网络出口部署一台性能卓越的、能够抵御上百种来自Internet攻击的防火墙设备就能够了，而较少的关注来自内部网络的攻击或干扰网络正常运行的“非法”行为；第二，内部安全防备缺乏智能性、可控性，不同的安全模块只是各自为政，缺乏全局统一的联动治理，无法有机结合，比如杀毒软件和网络系统是独立的；第三，认为只部署具备安全防备特性的产品即可，而忽视了针对安全治理工作的作用。那么就现在的校园网而言，安全问题能够简单抽象为：所有能够导致校园网络和网络内资源的可用性下降、运行秩序混乱的行为和现象差不多上校园网的安全问题。这些问题设计的方面专门广，包括面向网络出口防备、子网间的防备、核心数据的爱护、终端接入安全操纵……。3、网络安全措施网络安全是任何一个网络建设时首先要考虑的重要问题，TCP/IP网络本身就存在专门多安全漏洞，专门容易被一些恶意用户利用并实施攻击，或非法占用网络资源，侵犯其它用户的合法利益，甚至导致整个网络系统崩溃。任何一个网络设备都必需首先具备足够的自我爱护和防范能力，大体可分为两类，一类是自身防攻击措施，另一类是用户安全保证措施。3.1用户严格隔离方法一：用Vlan隔离。在楼道以太网交换机上按端口划分Vlan，每个用户占用一个Vlan。方法二：利用PVlan技术。在楼道交换机上划分PVlan，使用户端口之间不能通信，用户端口只能和Uplink口通信。方法