HD校园网设计方案

华德学院校园网整体设计方案．7华德学院网络中心

序由于高校行业的特殊性，导致建设校园网不能走社会上个人和团体入网的网络建设方案和运行模式的老路，我企业在做怀化学院校园网设计方案时，在省内高校进行了某些调查，因高校对网络应用和管理的特殊性，导致网络建设的需求不一样于电信运行商建设社会性网络。因此我企业在做怀化学院校园网设计方案时，在省内某些高校进行了调查，调查中发现80%的学校在使用星网锐捷的网络处理方案，我们在和华为的设备对比，锐捷的网络产品在重视网络链路层和网络应用的同步，更重视的是接入层的管理和整体的安全系统。在便于网络管理、提高工作效率，有效控制袭击和病毒对网络的影响，减少维护成本，发挥管理员的主观能动性、控制顾客使用网络记费等方面做的很有特色，更能适应学校网络建设的需要。因此我企业根据学校实际状况，拟采用锐捷企业的网络产品进行怀化学院校园网建设。网络建设原则与目的1．1网络建设原则1.1.1安全性网络必须具有良好的安全防备措施和密码保护技术，灵活以便的权限设定和控制机制，使系统具有多种有效手段，防备多种形式对网络的非法入侵和内部袭击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不一样的应用和不一样的网络通信环境，采用不一样的措施，包括系统安全机制、数据存取的权限控制等，锐捷网络充足考虑安全性，针对教育行业网络的多种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定、802.1x顾客访问控制、802.1d、802.1w、802.1s冗余链路保护等，此外还具有良好的防病毒能力，提高整个网络的安全性，保证内外网安全。1.1.2先进性系统设计既要采用先进的概念、技术和措施，又要注意构造、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不停发展的今天，在系统建成后来比较长的一段时间内能满足顾客需求增长的需要；不仅能反应当今的先进水平，并且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位，采用千兆以太网技术构建网络主干、支干线路。1.1.3扩展性系统必须具有良好的可扩充性，在系统构造、系统容量与技术方案等方面必须具有升级换代的也许，关键设备必须采用模块化的构造，跟踪网络发展的前沿方向，符合网络的发展趋势并具有充足的扩展性。系统建设必须尽量保护既有的软、硬件资源，保证各部门既有的计算机系统的使用，逐渐过渡，有效保护顾客投资，最终形成一种统一的、一体化的综合网络系统。1.1.4高性能网络链路和设备具有足够高的数据转发能力，保证多种信息的高质量无阻塞传播；互换系统具有很高的互换容量与多服务支持的能力，保证网络服务的质量。1.1.5可运行为了让校园网可以良性、稳定、持续、健康的发展，并收回网络建设成本，学校或运行商需要对校园网进行运行，通过对上网的学生顾客收取一定的费用来到达“以网养网”的目的，并规定运行系统可以贴近校园顾客的应用模式，以便维护和管理。1.1.6规范化和原则化网络体系构造、通信协议及软件的设计和开发必须按照国家或行业原则进行，要模块化、构造化、数据要代码化，以便于信息共享和交流及未来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。2.2网络建设目的通过以上的网络建设原则，本次校园网建设要实现如下目的：东西校区各设一种千兆互联网出口，处理出口瓶颈问题；双出口,双关键,双链路实现东西校区的稳固互联，保证链路的带宽及稳定性；东西校区可以根据需求到达不一样区域使用不一样的出口访问互联网；科学规划网络构造，合理配置关键层和汇聚层网络设备与端口，保证关键网络设备和线路合适冗余，优化接入层网络设备，建设千兆主干、百兆到桌面的高效校园网络；合理布署网络安全措施，建立有效的网络安全防备和响应机制，为网络安全管理提供在线监控、事后可查的技术手段，防止私设代理和盗用IP地址现象，提高网络安全性；建立全网统一管理系统，包括对网络顾客、网络设备、网络安全的统一管理和配置；建立高效的网络性能监视与预警机制；同步建立配套的软硬件平台。全面支持IPV6,可平滑过度到IPV6,保证设备的投资；建立全局化、智能化的安全体系，从接入层的基于端口的安全方略，到汇聚再到关键，病毒及非法网络行为进行监控和预制方略，预警功能。将学院的教工宿舍“金海花园”纳入校园网内，可以访问图书馆资源和中国期刊网等众多校内学术资源。学生宿舍联网并接入校园网内。s5750-24sfp/gk

网络设计3.1东西校区互联网出口设计本次设计，东西校区各设一种1000M互联网出口，我们电信网络，在怀化市内有自己的城域环网，保证这两个1000M互联网出口不是出自同一种模块局，保证出口线路冗余。3.2东西校区互联的设计由于目前学校东校区的网络中心尚未建成，临时将东西两个校园的关键设备放在西区的网络中心，东区的汇聚设备都通过两对光纤形成的双链路与两个关键互连。东区网络中心导致后东区设备转放东区网络中心机房。3.3网络架构的设计目前网络架构有单关键单链路、双关键双链路、二层架构、三层架构、四层架构等多种网络架构，结合学院的实际状况以及网络技术的发展，我们选择双关键双链路的架构，这样不仅在链路上保证网络稳定高效、在设备上也可实现稳定与高效；同步选择三层架构：分流关键数据处理能力、减少关键路由互换压力；更好克制广播风暴、提高网络性能；终止各VLAN信息、增强关键路由管理能力；网络层次构造愈加完善、可汇总路由，减少关键路由表项；安全性更高，更强的防止和控制，对网络袭击、病毒和破坏尽量控制在边缘完毕；扩展性更强、迅速定位故障点、更易于管理；各接入层内部通讯量大，无需通过关键处理时（内部网络游戏等），采用三层构造愈加合理；可靠性更强，可以通过汇聚层双链路上联双关键构成环状构造，全网架构愈加强健，提高网络高可用性。我们采用了接入堆叠＋小区域汇聚＋关键这种双关键双链路的三层构造架构：采用千兆可堆叠高性能网管互换机。互换机通过内部堆叠后上联片区汇聚节点。节省投资成本扩展灵活，通过增长堆叠组内互换机或增长堆叠组来扩展接入信息点。支持多种访问控制功能和802.1x功能，可灵活以便的控制楼栋内部之间的访问限制。减少网络层次架构，加速数据传播，提高网络数据转发性能。充足运用片区汇聚节点的高性能数据转发，高稳定可靠基础，对每个楼栋之间的控制，可以在片区汇聚节点连接各楼栋的千兆接口上实现，如访问控制，防DDoS袭击，防恶意IP扫描等等，不影响数据转发性能。楼栋内部各楼层之间的数据通过堆叠方式（千兆以上带宽）互相访问，加速内部访问和数据传播速度。环型冗余方式堆叠，没有单点故障和性能瓶颈。堆叠后多台设备会虚拟成一台设备进行管理，大大提高管理效率。千兆堆叠可网管互换机是目前高校网络建设主流使用的接入设备，因此在未来发展中设备延续使用性强。架构缺陷：堆叠台数一般不超过6台，需要超过6台的地区增长新的堆叠组进行信息点扩展。双关键双链路的三层构造，详细如下图所示：3.3网络安全设计今天的网络安全正遭受严峻挑战。病毒、外部入侵（黑客）、拒绝服务袭击、内部的误用和滥用，以及多种劫难事故的发生，时刻威胁着网络的业务运转和信息安全。但与此同步，大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的袭击时，由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出，还会到处被动挨打。可以断言：面对复杂的安全隐患，这种“各自为战”的安全系统已彻底失去效力。今天，网络安全技术与多种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转“各自为战”的被动局面，唯有用全局化、智能化的安全体系替代陈旧的安防措施。我企业采用了底，业界领先的网络设备及处理方案供应商锐捷网络率先公布了集自动防御（自御）、自动修复（自愈）与自动学习（自育）等三大自“YU”功能于一体的GSN全局安全网络处理方案。GSN强调“多兵种协同作战”，将安全构造覆盖网络传播设备（网络互换机、路由器等）和网络终端设备（顾客PC、服务器等），成为一种全局化的网络安全综合体系。在此基础上，GSN不仅可以满足现阶段网络安全环境的需求，同步也为此后也许发生的安全威胁做出了准备。总体而言，GSN由锐捷安全互换机、安全客户端、安全管理平台、顾客认证系统、安全修复系统、VPN客户端、RG-IPS入侵检测系统等多重网络元素构成，实现同一网络环境下的全局联动，使网络中的每个设备都在发挥着安全防护的作用，构成“多兵种协同作战”的全新安全体系。GSN通过将顾客入网强制安全、统一安全方略管理、动态网络带宽分派、嵌入式安全机制集成到一种网络安全处理方案中，到达对网络安全威胁的自动防御，网络受损系统的自动修复，同步可针对网络环境的变化和新的网络行为自动学习，从而到达对未知网络安全事件的防备。其基本原理和构造图如下：（图1GSN基本原理）网络自动防御（自御）面对复杂的网络安全行为，最有效的防御方略即是将网络安全防御技术应用于在整个网络中，而不是在单点进行网络安全的防护布署。由于袭击源也许来自网络的任何一处，并能迅速的扩散到整个网络当中。GSN提高了既有网络基础设施的安全防护能力，增强了终端顾客的安全防护能力。当接入网络的顾客终端发生安全袭击事件时，安全管理平台（RG-SMP）将针对这一安全事件进行判断，以确认选择调用何种安全方略来处理。安全管理平台（RG-SMP）将自动把安全方略下发到安全事件发生的网络区域，安全方略的执行者可以是锐捷网络联动设备，根据安全事件的等级由安全管理平台（RG-SMP）判断与否需要将安全方略同步到网络的区域中，以实现全网安全。同步，安全管理平台会把针对这次安全事件的处理状况告知给顾客终端，使顾客可以及时理解到网络安全环境的变化。通过这个流程，网络可以对已发生的安全行为进行完全自动化的防御措施，从而保证顾客网络在受到威胁时可以迅速做出连动反应。（图2GSN自动防御）网络自动修复（自愈）伴随网络连接点的不停增长，网络遭遇袭击的风险也随之增长。一旦网络遭受袭击，所产生的严重后果不仅在于破坏自身，劫难之后的系统恢复和调试同样消耗了大量宝贵的时间和人力、财力。GSN提供的自动修复（自愈）功能，即可以通过自动使受损系统得以恢复的方式为顾客节省大量的IT技术人力资源，并保证虽然在系统不停遭受袭击时，网络的大部分资源仍时刻处在正常使用状态下。当顾客终端接入网络时，系统会自动检测终端顾客的安全状态，一旦检测到顾客系统存在安全漏洞，安全管理平台（RG-SMP）会通过网络自动将受损顾客从网络正常区域中隔离开来，被隔离的顾客将被自动置于系统修复区域。此时顾客终会根据安全管理平台提供的信息自动连接到RG-RES安全修复系统上进行系统修复，修复期间系统会把受到访问控制的状况告知顾客。自动修复完毕，系统会重新对顾客系统进行评估，当顾客系统安全评估完毕后来，安全管理平台（RG-SMP）将通过容许顾客进入网络继续工作。（图3GSN自动修复）网络自动学习（自育）在常规的网络安全防护方案中，判断一种网络与否产生安全事件的原则常常是某个网络行为符合了安全隐患的特性，从而将针对这个行为发生一连串的动作。但目前去往对网络产生最大威胁的是未知的网络行为对网络产生的危害，当碰到此类的袭击后来，一般的网络安全方案将无能为力。而在配置GSN全局安全措施的网络环境中，GSN可以针对网络安全环境的变化不停调整和强化，有效协助网络管理员进行网络安全隐患的判断。 当网络中有新的网络访问行为时，该行为的有关信息会被网络联动设备有效捕捉，并通过E-MAIL、管理日志等方式告知管理员。同步GSN能及时的捕捉到网络的环境变化，一旦检测到网络流量异常，联动设备会自动截取网络流量报文进行分析，从而有效的阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全方略会自动匹配到系统当中。在此后发生同样的网络访问行为时，系统就能自动调用对应的安全方略来处理，从而到达不停根据网络安全形势强化系统安全性的安全方略自动学习功能。（图3GSN自动学习）所认为了保证校区网络的安全，我们校区网络建设时采用GSN方案来保证校区的网络安全。3.4网络出口流量控制设计目前越来越多的下载软件导致网络出口带宽严重局限性，如目前的P2P软件的使用导致了诸多高校网络出口带宽的严重局限性。出现这样问题的原因是目前对P2P软件没有一种很好的控制手段，如P2P软件是大家比较承认的一种下载软件，不过过多的使用会导致出口瓶颈，并且P2P软件目前使用的端口号不固定且没有特性码，因此想要对其限制也是一种比较头痛的问题。针对这样的问题，我们认为对P2P软件的使用最佳的方式不是针对流量进行计费，而是一种针对P2P应用的管理与控制手段我企业结合目前我院的认证计费系统，对顾客进行流量的控制，以控制由于顾客过多使用P2P软件下载导致出口带宽的局限性的现象，详细如下：3.5网络管理设计伴随学校网络规模的不停扩大，目前不仅需要对网络设备进行集中统一的管理，同步还需要对顾客进行集中统一的管理。4.1网络拓扑图4.2网络设计阐明根据学院的实际状况，并考虑到未来的发展趋势，需要建立一种统一的信息传播网络，满足数据、语音、视频、图像、多媒体等有关教育信息的传播，可以实现计算机管理系统、办公自动化系统、多媒体教学系统、数字图书馆和上网访问（Internet）等应用。为了保护投资，原有校园网部分我们仍然采用原有设备和构造。东西校区的互连根据前文所述，东西校区的互连我们采用双链路光纤冗余互连，分别将东西校区的关键互换机进行互连，同步全校启用动态路由OSPF的方式，保证新老校区稳定可靠。网络出口网络出口采用1000M双出口，由于学校飞速发展，地区不停扩大，目前已经有两个校区，为了使整个网络便于管理，合理规划出口，东校区顾客上网的时候信息是由东校区的出口出去，西校区顾客上是通过西校区出口出去，假如任何一种出口出现问题，则顾客将由另一种出口出去，保证出口的稳定和安全。同步考虑到既有出口带宽基本都已被占满，重要是由于顾客大量使用P2P软件的原因，为了处理这个问题我们采用对顾客进行流量控制，以防止顾客大量使用P2P软件导致网络出口带宽局限性。网络架构为了可以实现骨干网络的稳定可靠，本次东西校区的网络建设我们选择双关键双链路的方式，即整个校园网采用双关键的方式，两台关键之间通过千兆单模光纤相连，同步每个区域的区域汇聚互换机通过双千兆单模光纤上联到两台关键，而每个区域内的互换机通过千兆多模链路连接各个区域的区域汇聚互换机，为了便于布线，在每栋楼的接入层上，各个不一样的楼层采用不一样的堆叠组进行堆叠然后上联到区域的汇聚互换机。而对于服务器群组来说，为了让顾客提高访问效率的体验，我们单独采用一台服务器群组互换机，该互换机具有很强的扩展能力，并通过双千兆多模光纤与东西校区的两台关键互换机进行互联，并通过服务器群组互换机的WCMP/ECMP的功能，可以使两条链路同步按照带宽的比例都传播数据，保证顾客访问服务器时的高效。网络安全为了可以更好地实现网络安全面的控制，保证校园网内的教学、科研数据和学生管理信息不被窃取和丢失，所有连接进网络的顾客必须通过了身份的检查后才能访问网络内的数据，并且各个系统运作时需要通过VLAN划分和物理路由互相隔离，和Internet连接的出口也需要布署防火墙系统来实现安全保护，以保证网络内所有数据和信息的安全。由于既有的网络安全事件已不是某一种产品或软件就可以处理的，而是需要所有网络设备进行有效的联动，一起抵御网络袭击和病毒对网络导致的影响。因此除了上述的安全保护外，同步为了深入做到可以积极的对网络袭击、病毒的防备，以及对未知网络病毒的学习和控制，实现网络设备及软件的有效联动，我们要在东西校区布署一整套安全体系，为学院网络提供更好的安全屏障。网络高效、稳定性由于网络中心关键设备的稳定和安全性能是整个网络最重要的保障，因此必须规定关键互换机具有优良的性能和高可靠性，必须采用超大互换容量的互换背板，以保证任何状况下网络的每个端口均可具有全线速多层互换能力，可以保证传播带宽和数据传播优化等关键应用，从而为整个网络提供了稳定和迅速的基础。网络运行为了可以更好的运行网络，使网络健康良性的发展，东西校区网络建设继续采用学校原有的认证方式，这样同一套系统，不仅以便运行维护及提高工作效率，同步也可使我们无需花费更多的时间来熟悉和掌握新的系统。网络管理伴随网络规模的不停扩大，应用越来越多，管理已不在是此前的那种单存对网络设备进行管理的年代，目前不仅要可以对设备进行集中统一的管理，同步还要可以对接入顾客进行集中统一的管理，并且伴随网络安全事件的不停增多，还需要一套可以对网络安全事件进行集中统一管理的软件，这样才可以保证网络管理的高效。

5.1关键互换机选型阐明根据学院校园网建设的实际状况，需要在东西校区网络中心各布署一台关键互换机，为了满足实际网络的需要和未来的升级扩展，该关键互换机规定：支持多种模块热插拔、支持多种千兆端口、支持链路聚合IEEE802.3ad、支持三层协议、较高的背板带宽和包转发率、硬件或NP多业务卡方式支持IPV6（保证网络系统后来平滑升级）、支持三种生成树、支持802.1x、多种QOS和组播协议的支持等。根据详细状况，我们准备采用锐捷新一代多业务万兆关键路由互换机RG-S6806E，该设备详细特点如下：RG-S6806E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆关键路由互换机，拥有6个扩展插槽，RG-S6806E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，到达业务和性能并重的设计需求。RG-S6806E多业务万兆关键路由互换机V3.X提供1.2T背板带宽，并支持未来扩展到2.4T的能力，高达428Mpps的二/三层包转发速率可为顾客提供高速无阻塞的数据互换，强大的互换路由功能、安全智能技术可同锐捷各系列互换机配合，为顾客提供完整的端到端处理方案，是大型网络关键骨干和大流量节点互换机的理想选择。RG-S6806E互换机通过扩展高性能的多业务卡支持方略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等业务功能，满足客户环境灵活而复杂的不一样应用需求。产品特性强大数据处理设计（SPOH设计）RG-S6806E的互换、路由、ACL、QoS等复杂功能通过硬件实现，防止了软件实现同样功能对数据高速处理的影响。管理模块执行路由管理、网络管理、网络服务等任务，顾客接口模块可以独立实现硬件路由、互换和组播功能；顾客互换端口则独立实现硬件ACL和QoS功能，同步式处理设计(SPOH设计)极大地提高整机处理能力。强大的扩展能力RG-S6806E多业务万兆关键路由互换机V3.X目前提供1.2T背板带宽，在不更换机箱的状况下，未来仅通过更换管理模块可以支持背板带宽扩展到2.4T。RG-S6806E多业务万兆关键路由互换机通过扩展高性能的多业务卡，可以支持方略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等功能。高安全保障措施物理安全：RG-S6806E提供冗余管理模块、冗余电源模块、多种模块热拔插等物理安全保障措施。病毒和袭击防护：面对目前网络环境越来越多的网络病毒和袭击威胁，RG-S6806E提供强大的网络病毒和袭击防护能力，不仅提供了基于SPOH技术的ACL功能，并且还支持防源IP地址欺骗（SouceIPSpoofing）、防DOS/DDOS袭击（Synflood，Smurf），防扫描（PingSweep）等能力。提供多端口同步监控技术，支持灵活的网络监控，提高网络监控能力设备管理安全：为了防止非管理人员登陆并操纵网络设备，导致网络传播和安全的影响，RG-S6806E提供了SSH加密登陆功能，以及telnet/web登录的源IP限制功能。接入安全：硬件支持IP、MAC、端口绑定，提高顾客接入控制能力。支持802.1X技术，满足6元素绑定接入限制支持IGMP源端口检查，可有效控制非法组播源，提高网络安全。通过PVLAN（保护端口）隔离顾客之间信息互通，不必占用VLAN资源。端口MAC地址锁和端口MAC地址接入数量功能可以屏蔽非法主机的接入丰富的应用支持技术（QOS、组播）RG-S6806E提供多种流分类技术和多种QOS技术，包括SP、WRR、WFQ、WRED、CAR、HOL等，为多种应用的带宽保障提供需要的支持技术。流分类：可以根据数据流的源/目的MAC地址、源/目的三层IP地址、三层协议（IP/IPX）、四层协议（UDP/TCP）、源/目的四层协议端口号、COS、TOS对数据流进行辨别，实现2/3/4层的流分类功能。数据标识：802.1p是二层协议，可认为数据提供8个级别的优先级标识；DSCP在三层的IP协议报文里进行优先级标识，可以提供64个级别的优先标识。队列调度：严格优先级队列SP保证高优先级业务总是在低优先级业务之前处理；WRR是一种加权循环队列调度机制，首先处理高优先级，但在处理高优先级业务时，较低优先级的业务并没有被完全阻塞，而是按一定的比例同步进行。WFQ是加权公平队列，对所有的数据流进行排队，监控吞吐率，并根据发送的信息量分派权值。WFQ试图公平地为每个对话分派带宽，保证低带宽应用可以获得对接口的访问权，而不会被高带宽应用所有占用。拥塞控制：WRED加权随机初期检测协议，可以设置各个数据流在拥塞发生之前自动丢失数据的阀值，防止较高优先级应用的拥塞丢失。HOL通过消除HOL阻塞保证最高也许的吞吐量；最大程度地减少包丢失，减少多路传播和广播流量拥塞承诺信息速率：CAR可认为重要的数据流设定固定的带宽，假如设定的带宽合理，满足该数据流的需求，就可以保证重要数据流的正常转发。提供多种组播支持技术，包括IGMPsnooping、IGMP、PIM（SM、DM），DVMRP，保证了网络中提供组播服务时的带宽合理占用。支持领先的万兆以太网技术（IEEE802.3AE、IEEE802.3AK）万兆以太网采用了IEEE802.3以太网媒体访问控制（MAC）协议、IEEE802.3以太网帧格式，以及IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步，采用全双工技术，不需要应用低速的、半双工的CSMA/CD协议。在其他方面，万兆以太网保留了初期以太网模型的精髓，因而可以和既有以太网环境无缝融合，支持客户已经有应用。RG-S6806E提供目前主流的四种万兆局域网传播原则：10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4，四种传播原则在数据链路层以上都相似，差异在于物理层。10GBASE-R和10GBASE-CX4用于老式的以太网环境，10GBASE-R采用光纤作为传播介质，10GBASE-CX4采用同轴铜缆作为传播介质，而10GBASE-W可与OC-192电路、SONET/SDH设备一起运行，保护老式基础投资，使运行商可以在不一样地区通过城域网提供端到端以太网。10GBSE-LX4则使用WDM波分复用技术进行数据传播。支持L2VPN（QINQ）RG-S6806E支持ServiceProvidervlan(DoubleTagging、VLANtunnel)，容许对互换数据进行二次VLAN标识，外层标识用于创立VPN，提供链路选择，内层标识用于标识业务VLAN信息，实目前以太网环境中的L2VPN，处理了老式以太网环境无法提供数据传播安全控制的问题。ECMP/WCMP（Equal-CostMultipathRouting/Weight-CostMultipathRouting）存在多条不一样链路抵达同一目的地址的网络环境中，假如使用老式的路由技术，发往该目地址的数据包只能运用其中的一条链路，其他链路处在备份状态或无效状态，并且在动态路由环境下互相的切换需要一定期间，而等值多途径路由协议和权重多途径路由协议可以在该网络环境下同步使用多条链路，不仅增长了传播带宽，并且可以无时延无丢包地备份失效链路的数据传播。最长匹配（LPM）三层互换技术在老式的硬件三层互换机中采用“一次路由、多次互换”的路由技术，并且使用精确流匹配方式进行硬件三层转发，大量花费CPU资源，并且占用大量的硬件存储资源。最长匹配（LPM）三层互换技术可以处理老式方式“多次互换”中采用精确流匹配”而带来存储空间压力过大的问题。最长匹配（LPM）技术支持直连路由、静态路由、动态学习到的路由都直接以网段形式存储于硬件转刊登，一种目的网段使用一种转刊登项，而不明目的网段IP地址的数据包直接通过硬件缺省路由转发。因此，LPM技术的长处是极大地节省存储空间，拥有硬件缺省路由，因此，病毒和袭击数据包可以通过硬件网段路由或缺省路由进行转发，不增长额外的硬件表项，防止了存储溢出问题，保障设备的正常运行。支持完善的双关键技术RG-S6806E支持包括802.1D、802.1W、802.1S在内的多种生成树协议以及虚拟路由协议VRRP，提供完善的双关键保障技术。技术参数技术参数RG-S6806E模块插槽6个（2个用于管理引擎模块）背板1.2T（可扩展2.4T）（V3.x）互换容量600G（V3.x引擎）包转发速率L2/L3：428M（V3.x引擎）路由表项256K802.1qVLAN4KL2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ae、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、portmirror、IGMPSNOOPING、Aggregateport、GVRP、jumboframe(9Kbytes)、QINQL3协议BGP4、OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、DVMRP、PIM-SM/DM、PIM-SSM、LPMRouting、Policy-basedRouting、ECMP、WCMP病毒袭击防护全面的ACL、防源IP地址欺骗（SouceIPSpoofing）、防DOS袭击（Synflood，Smurf），防扫描（PingSweep）管理方式SNMPv1/v2/v3、Telnet、Console、CLI、RMON、SSH其他协议SNTP、VRRP、BootP/DHCPclient、ARPPROXY、DHCPrelay、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect、Syslog尺寸（长x宽x高）445mmx445m电源100VAC~240VAC，50Hz~60Hz，功率:1200WMTBF>200,000hours温度工作温度：0℃到存储温度：-40℃到湿度工作湿度:10%到90%RH存储湿度:5%到95%RH经典应用可扩万兆的千兆IP关键网运用RG-S6806E强大的数据处理能力提供各分支机构的高速互连运用多条光纤链路连接成网状，提供高度安全的网络连接使用OSPF路由协议，配合ECMP/WCMP路由协议，可以充足运用各链路并且提供实时的链路备份需求通过简朴地增长万兆模块可以平滑地升级到万兆IP关键网，保护顾客投资可扩万兆的千兆双关键网通过两台RG-S6806E之间的链路冗余备份和负载均衡（802.1S\VRRP）提供安全可靠的网络构架通过RG-S6806E丰富的安全保障技术提供一种全网概念的整体网络安全通过方略路由功能支持多ISP出口的负载均衡和冗余备份通过简朴地增长万兆模块可以平滑升级到万兆骨干网，保护顾客投资5.2服务器群组互换机选型阐明学院目前的服务器群组都是在连接在一台100M傻瓜式二层互换机上的。已不能合用新的网络应用需求，需要在网络中心布署一台服务器群组互换机，为了满足实际网络的需要和未来的升级扩展，该关键互换机规定：支持万兆扩展端口、千兆端口、支持链路聚合IEEE802.3ad、支持三层协议、较高的背板带宽和包转发率、支持三种生成树、支持802.1x、多种QOS和组播协议的支持等。根据详细状况，我们采用锐捷安全智能万兆多层互换机RG-S5750-24GT/12SFP，该设备详细特点如下：RG-S5750系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层互换机。

该系列互换机接口形式和组合非常灵活，可提供24个10/100/1000M自适应的千兆电口，和灵活复用的高密度千兆SFP光纤连接，满足网络建设中不一样介质的连接需要，同步为满足网络的弹性扩展，和高带宽传播需要，可灵活弹性扩展多种类型的万兆模块。尤其适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络关键，以及数据中心服务器接入的使用。该系列互换机硬件支持多层线速互换，并提供了丰富而完善的路由协议，以适合大型网络多种路由和高性能的需要。RG-S5750系列互换机提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同步，其内在的安全防御机制和顾客管理能力，更可有效防止和控制病毒传播和网络袭击，控制非法顾客接入和使用网络，保证合法顾客合理使用网络资源，充足保障网络安全、网络合理化使用和运行，并可以根据网络实际使用环境，实行灵活多样的安全控制方略。RG-S5750系列互换机以极高的性价比为大型网络汇聚和中型网络关键提供了多层互换、完善的端到端的服务质量、灵活丰富的安全设置和基于方略的网管，最大化满足高速、安全、智能的企业网需求。产品特性：高性能多层互换高背板带宽为所有的端口提供非阻塞性能；丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要；基于LPM硬件路由转发方式使得RG-S5750系列不仅合用于大型网络环境，并且可防御多种网络病毒的侵袭，保障所有报文的线速转发，有效保证了设备的安全性；硬件支持多层线速互换，可以识别二到七层的应用业务流，所有端口都具有单独的数据包过滤、辨别不一样应用流，并根据不一样的流进行不一样的管理和控制。灵活完备的安全控制具有的多种内在机制可以有效防备和控制病毒传播和黑客袭击，如防止Dos袭击、防黑客IP扫描机制等，还网络一片绿色；硬件实现端口与MAC地址和顾客IP地址的灵活绑定，严格限定端口上的顾客接入;通过将端口设为保护端口即可简朴以便地隔离顾客之间信息互通，不必占用VLAN资源；基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，防止黑客恶意袭击和控制设备；基于端口速率比例和基于速率pps的广播风暴克制功能，保证网络稳定安全；SSH（SecureShell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客袭击和控制设备；控制非法顾客使用网络，保证合法顾客合理化使用网络，如端口安全、端口隔离、专家级ACL、时间ACL、基于数据流的带宽限速、六元素绑定等等，满足企业网、校园网加强对访问者进行控制、限制非授权顾客通信的需求。丰富的组播特性支持多种单播和组播动态路由协议，可适应不一样的网络规模和需要进行大量多播服务的环境，实现网络的可扩展和多业务应用；支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的安全性；支持IGMPv1/v2/v3所有版本，适应不一样组播环境，满足组播安全应用的需要。完善的QoS方略以DiffServ原则为关键的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS方略，实现基于全网系统多业务的QoS逻辑；具有MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级、流量管理，流量整形等多种流方略，支持网络根据不一样的应用、以及不一样应用所需要的服务质量特性，提供流量限速千兆端口粒度达64Kbps，万兆端口粒度达1Mbps。高可靠性支持生成树协议802.1d、802.1w、802.1s，完全保证迅速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路运用率；支持VRRP虚拟路由器冗余协议，有效保障网络稳定；支持锐捷网络的可选冗余电源系统STAR-RPS，可为S5750系列设备提供卓越的电源冗余，提高容错能力和网络正常运行时间。以便易用易管理灵活复用的多种千兆形式，可灵活满足需要多种千兆铜缆和多种千兆光纤链路的连接，以便顾客灵活选择；为满足网络灵活弹性扩展和高带宽传播需要，简朴选配多种类型的万兆模块，网络即可平滑升级到万兆上链骨干；简朴网络时间协议（SNTP）保证互换机时间的精确性，并与网络中时间服务器时间统一化，以便日志信息和流量信息的分析、故障诊断等管理；Syslog以便多种日志信息的统一搜集、维护、分析、故障定位、备份，便于管理员网络维护和管理；多端口同步监控，通过一种端口即可同步监控多种端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；CLI界面，以便高级顾客配置和使用；可提供Xmodem、FTP、TFTP等多种加载升级方式，以便顾客使用；Java-basedWeb管理方式，实现对互换机的可视化图形界面管理，迅速和高效地配置设备。技术参数：产品型号RG-S5750-24GT/12SFP固定端口24端口10/100/1000M自适应端口，12个复用的SFP接口，2个扩展槽可用模块Mini-GBIC-SX：单口1000BASE-SXminiGBIC转换模块（LC接口）；Mini-GBIC-LX：单口1000BASE-LXminiGBIC转换模块（LC接口）；Mini-GBIC-ZX50：单口1000BASE-ZXminiGBIC转换模块（LC接口），50km；Mini-GBIC-ZX80：单口1000BASE-ZXminiGBIC转换模块（LC接口），80km1端口XENPAK接口万兆转接板1端口XFP接口万兆转接板万兆光纤接口模块（300米），配合M5700-01XENPAK万兆光纤LR接口模块（10公里），配合M5700-01XENPAK万兆光纤ER接口模块（40公里），配合M5700-01XENPAK万兆光纤SR接口模块（300米），配合M5700-01XFP万兆光纤LR接口模块（10公里），配合M5700-01XFP万兆光纤ER接口模块（40公里），配合M5700-01XFP背板240Gbps包转发速率L2：线速（66Mpps）L3：线速（66Mpps）MAC16K802.1qVLAN4KACL原则IPACL（基于IP地址的硬件ACL）、扩展IPACL（基于IP地址、TCP/UDP端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL（可同步基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL）L2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3、LLDPDefeatDoSAttack支持DefeatIPScan支持L3协议OSPF、ECMP/WCMP、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3管理协议SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、SNTP、Syslog其他协议DHCPRelay、DNSClientJumboFrame支持尺寸（长×宽×高）440×435×44mm电源176VAC~264VAC48Hz~60Hz温度工作温度:0ºC到40ºC存储温度:-40ºC到70ºC湿度工作湿度:10%到90%RH存储湿度:5%到90%RH5.3区域汇聚互换机选型阐明根据学院实际状况，为了满足实际网络环境的需要，区域汇聚互换机都规定：支持千兆端口、支持链路聚合IEEE802.3ad、支持三层协议、较高的背板带宽和包转发率、支持三种生成树、支持802.1x、多种QOS和组播协议的支持等。我们采用锐捷全千兆智能多层互换机STAR-RG-S5750-24GT/12SFP做区域汇聚，该设备详细特点如下：STAR-S3550-24G是一款线速全千兆智能多层互换机，能提供多GBIC插槽，最多可提供该系列互换机硬件支持2至4层的多层线速互换，提供二到七层的智能的流分类和和完善的服务质量（QoS）以及组播管理特性，支持完善的高性能路由协议，并可以实行灵活多样的ACL访问控制方略。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。S3550-24产品特性：高性能多层互换72G背板带宽为所有的端口提供非阻塞性能；硬件支持多层线速互换，可以识别、处理四层以上的应用业务流，所有端口都具有单独的数据包过滤、辨别不一样应用流，并根据不一样的流进行不一样的管理和控制。完备的安全控制具有的多种内在机制可以有效防备和控制病毒传播和黑客袭击，如防止Dos袭击、防黑客和病毒IP扫描机制等，还网络一片绿色；硬件实现端口与MAC地址和顾客IP地址的绑定；通过保护端口即可以便简朴地隔离顾客之间信息互通，不必占用VLAN资源；基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，防止黑客恶意袭击和控制设备；提供加密传播的SecureShell（SSH），保证管理设备信息的安全性，防止黑客袭击和控制设备；高安全性，具有端口安全、动态地址锁、端口隔离、顾客接入认证（802.1x）、专家级ACL控制、基于数据流的带宽限速等多种安全措施，满足企业网加强对访问者进行控制、限制非授权顾客通信的需求。丰富的组播特性支持多种单播和组播动态路由协议，可适应不一样的网络规模，和需要进行大量多播服务的环境，实现网络的可扩展；支持IGMP源端口检查功能，有效地杜绝非法的组播源，提高网络的安全性。完善的QoS方略以DiffServ原则为关键的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS方略，实现基于全网系统多业务的QoS逻辑；具有MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流方略，支持网络根据不一样的应用、以及不一样应用所需要的服务质量特性，提供服务；高可靠性支持生成树协议802.1d、802.1w、802.1s，完全保证迅速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道；支持VRRP虚拟路由器冗余协议，构建故障时的冗余路由拓扑构造，保持通讯的持续性和可靠性，有效保障网络稳定；支持锐捷网络的可选冗余电源系统STAR-RPS，可为6台S3550-12G/S3550-24G以S3550-12SFP/GT系列网络设备提供卓越的电源冗余，提高容错能力和网络正常运行时间。以便易用易管理全GBIC架构，可选配多种规格千兆接口模块，支持千兆铜缆、单/多模光纤接口模块的混合配置，支持模块热插拔，极大以便顾客灵活配置和扩展网络；独特的集群管理，通过一台命令互换机即可管理多达20台的汇聚层和接入层设备S3550系列和S21系列互换机，无论互换机与否在同一配线间和布线室，都能得到统一管理；强大的集群管理方式使得网络的维护工作变得非常以便和简朴，只需配置1个IP地址，即可统一管理多台设备，不仅成倍节省了IP地址空间，并且维护和管理量也得到极大减少；多端口同步监控，通过一种端口即可同步监控多种端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；支持业界领先的EAPS功能，实现网络的高可用性；CLI界面，以便高级顾客配置和使用；Java-basedWeb管理方式，实现对互换机的可视化图形界面管理，迅速和高效地配置设备。技术参数产品型号STAR-S3550-固定端口24口GBIC接口可用GBIC或Mini-GBIC模块GBIC-GT：单口1000BASE-T模块GBIC-SX：单口1000BASE-SX模块GBIC-LX：单口1000BASE-LX模块背板72G包转发速率L2：36MppsL3：36MppsMAC地址32K802.1qVLAN4KACLIP原则ACL（基于IP地址的硬件ACL）、IP扩展ACL（基于IP地址、传播层端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL(可同步基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号的硬件ACL)L2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1s、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IGMPSnooping、LLDPL3协议OSPF、RIPV1、RIPV2、PIM（DM/SM）、VRRP、IGMP管理方式SNMPv1/v2、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog其他协议EAPS、BootP、DHCPRelay网络介质和最大传播距离1000BASE-SX：波长850nm，62.5/125um多模光纤线的最大传播距离为220m；50/125um多模光纤线的最大传播距离为500m；1000BASE-LX：波长1310nm，62.5/125um多模光纤线的最大传播距离为550m；50/125um多模光纤线的最大传播距离为550m；9/125um单模光纤线的最大传播距离为10Km；1000BASE-ZX：波长1550nm，9/125um单模光纤线的最大传播距离为50Km和80Km10/100/1000BASE-T：使用5类UTP或STP最大传播距离为100m；尺寸（长×宽×高）440mm×330mm ×67mm电源176VAC~264VAC，47Hz~63Hz，或10.6~13.2VDC/最大5.3A温度工作温度：0℃到存储温度：-40℃湿度工作湿度:10%到90%RH存储湿度:5%到95%RH5.4接入互换机选型阐明根据我院校园网建设的实际状况，为了满足实际网络环境的需要，对于所有接入互换机都规定：较高的背板带宽和包转发率、支持三种生成树协议、支持基于时间和协议的网络访问控制、具有较高的安全性能、支持IP地址+MAC地址+互换机端口绑定、支持802.1x、多种QOS的支持等。我们锐捷安全智能互换机STAR-S2126G/S2150G做为接入层互换机，该设备详细特点如下：STAR-S2126G/S2150G是两款全线速可堆叠的安全智能互换机，在提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同步，并可以根据网络实际使用环境，实行灵活多样的安全控制方略，可有效防止和控制病毒传播和网络袭击，控制非法顾客使用网络，保证合法顾客合理使用网络资源，充足保障网络安全和网络合理化使用和运行。STAR-S2126G/S2150G可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。S2126G/S2150G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全方略管理和基于方略的网管，最大化满足高速、安全、智能的企业网新需求。产品特性：高性能12.8G/18.5G背板带宽为所有的端口提供非阻塞性能。灵活完备的安全控制方略通过内在的多种安全机制可有效防止和控制病毒传播和网络流量袭击，控制非法顾客使用网络，保证合法顾客合理化使用网络，防止过渡占用网络带宽资源，如BT泛滥下载；安全方略有端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定、基于应用内容的深度识别和控制等，满足企业网、校园网加强对访问者进行控制、限制非授权顾客通信，合理化运行网络的需要；硬件实现端口与MAC地址和顾客IP地址的绑定，严格限定端口上顾客接入；通过将端口设为保护端口即可简朴以便地隔离顾客之间信息互通，不必占用VLAN资源；通过PrivateVLAN可以在互换机的同一VLAN中提供端口之间的通讯或安全隔离，保证数据流进入有效端口，而不会被发送到其他端口，即处理了因老式802.1QVLAN导致全网VID资源不够的问题，同步又无需运用安全规则资源即能到达隔离不一样顾客以及不一样组顾客之间通讯的功能，充足保护顾客隐私；通过锐捷SAM平台，可实现顾客账号、MAC地址、IP地址、互换机IP、互换机端口等六大元素之间的灵活任意绑定，有效确认顾客合法性和唯一性；支持业界特有的IGMP源端口检查，有效杜绝非法组播源播放和大量占用大量网络带宽，提高网络安全性；提供极为有效的PortBlocking功能，防止端口受到其他端口发送的广播包、多播包等报文的干扰，有效减轻端口负载承担，提高端口带宽，保护顾客PC更高效安全地运行；基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，防止黑客恶意袭击和控制设备；SSH（SecureShell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客袭击和控制设备；可灵活控制二－七层数据报文，使得任何一种顾客PC上的任何一种应用报文通过网络都能得到有效控制，充足保障了网络的安全和合理化使用。完善的QoS方略支持802.1P、端口优先级、IPTOS、二到七层流过滤等QoS方略，具有MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流方略，支持网络根据不一样的应用、以及不一样应用所需要的服务质量特性，提供服务；极灵活的带宽控制能力，可以基于互换机端口、MAC地址、IP地址、VLANID、协议、应用组合进行带宽限速，限速粒度精细：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口，可根据网络安全需求，设定不一样业务应用的带宽流量，满足按需所用。高可靠性支持生成树协议802.1D、802.1w、802.1s，完全保证迅速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路运用率。以便易用易管理强大的菊花链式堆叠，最多支持堆叠8台S2126G/S2150G的混合堆叠，最大支持384个10/100M端口，保证网络的高度灵活和可扩展，网络管理愈加简朴；独特的集群管理，通过一台命令互换机可管理多达20台的S3550系列和S21系列互换机，无论互换机与否在同一配线间和布线室；强大的集群管理方式使得网络的维护工作变得非常以便和简朴，只需配置1个IP地址，即可管理多台设备，不仅成倍节省了IP地址空间，并且维护和管理量也得到极大减少；提供图形化的安全方略管理配置平台，支持安全方略自动同步下发、升级和维护功能，安全方略智能化，可大幅度提高互换机管理和配置效率，提高网络安全；端口的VLAN自动跳转功能，无需网管员手工干预，即可将端口跳转到顾客所在VLAN，实现顾客全网漫游上网，减轻设备配置和维护量；多端口同步监控，通过一种端口即可同步监控多种端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；简朴网络时间协议（SNTP）保证互换机时间的精确性，并与网络中时间服务器时间统一化，以便日志信息和流量信息的分析、故障诊断等管理；Syslog以便多种日志信息的统一搜集、维护、分析、故障定位、备份，便于管理员网络维护和管理；CLI界面，以便高级顾客配置和使用；Java-basedWeb管理方式，实现对互换机的可视化图形管理，迅速和高效地配置设备。技术参数产品型号STAR-S2126GSTAR-S2150G固定端口24端口10/100自适应48端口10/100自适应模块插槽2个扩展插槽可用模块M2121S：单口1000BASE-SX模块M2121L：单口1000BASE-LX模块M2121T：单口1000BASE-TX模块（支持10/100/1000M自适应）M2101F：单口100BASE-FX模块M2101F-S：单口100BASE-FXM2101T：单口100BASE-TX模块M2131：堆叠模块背板12.8Gbps18.5Gbps包转发速率线速（6.6Mpps）线速（10.1Mpps）802.1qVLAN4KACL原则IPACL（基于IP地址的硬件ACL）、扩展IPACL（基于IP地址、传播层端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL（可同步基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL)L2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3、LLDP管理协议SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog、SNTP其他协议BOOTP/DHCPRelay、DNSClient尺寸（长×宽×高）440mm×240mm×44mm440mm×300mm×44mm电源160VAC~240VAC，48Hz~60Hz温度工作温度：0℃到存储温度：-40ºC到70ºC湿度工作湿度：10%到90%RH存储湿度：5%到90%RH经典应用多种类型网络的接入层需要灵活多样的安全控制方略，防止和控制网络病毒和网络袭击、提供顾客接入安全等高性价比的千兆上链处理方案高密度端口需求，实现网络弹性扩展灵活的顾客带宽分派灵活的顾客计费保证语音、多媒体、视频会议、视频点播、远程教学等关键任务的应用丰富的管理方略应用，有效控制网络访问安全和端到端的QoS方略5.5流量记录设备选型阐明我们采用的是星网锐捷网络企业的RG-NTD它是锐捷企业面向校园网、行业顾客开发的专业计费网关设备。计费方案作为校园网等整体处理方案，其中波及以太网互换机，RG-SAM安全计费管理软件以及局域网认证客户端软件suplicant等。RG-NTD作为重要设备之一，它对通过802.1x认证顾客的以太网数据流进行分类、记录并将记录后的数据发送给RG-SAM。RG-NTD的计费功能必须配合使用RG-SAM安全计费管理软件。RG-NTD提供两个10/100/1000M自适应GEGigabitEthernet吉比特以太网接口。两个10/100M自适应FEFastEthernet迅速以太网接口。RG-NTD支持将数据流进行分类的流量计费方略，向RG-SAM提供流量分类计费的原始信息。RG-NTD支持旁路模式和穿透模式。重要性能支持穿透、旁路两种工作模式。分类记录顾客数据流。支持集团顾客应用。支持转发控制功能。支持web管理。支持串口管理。数据流分类概述数据流分类是按照顾客访问的目的地址不一样而将数据流分为若干种类例。例如可以将国内地址提成一类，将国外地址提成一类，将校内地址提成一类。在RG-SAM上可根据不一样类别的流指定不一样的计费方略。数据流分类配置目前RG-NTD支持6种数据流，分别是国内上行流量，国内下行流量，国外上行流量，国外下行流量，校内上行流量，校外上行流量。进行数据流分类需要配置IP对照表，RG-NTD通过将顾客数据流目的IP地址和IP对照表进行比较，来判断该数据流属于哪一种类别。当顾客数据流的IP地址在IP对照表种无法查到的时候，默认数据流为国内类别。数据流方向辨别RG-NTD通过GE口来接受数据流，RG-NTD具有穿透和旁路两种工作模式。RG-NTD工作在穿透模式下，通过两个GE口来定义流的方向。GE口的作用固定：其中一种用来接受局域网内部的流量，一种用来接受局域网外部的流量。RG-NTD根据IP对照表和数据流的方向来判断属于上述6种数据流中的哪一种。RG-NTD工作在旁路模式下，通过一种GE口来接受数据流，数据流方向的辨别由RG-NTD自身来完毕。5.6防火墙设备选型阐明根据我院校园网建设的实际状况，需要在东西校区网络出口各布署一台防火墙，为了满足实际网络的需要和未来的升级扩展，该防火墙规定：高性能、提供入侵检测功能、可以防备袭击和入侵等。根据详细状况，我们采用锐捷千兆防火墙RG-WALL1200，该设备详细特点如下：RG-WALL防火墙是锐捷网络采用独创的分类算法（ClassificationAlgorithm）设计的新一代安全产品，支持扩展的状态检测（StatefulInspection）技术，具有高性能的数据过滤传播功能；同步在启用动态端口应用程序(如VoIP,H323等)时，可提供强有力的安全通道。采用锐捷网络独创的分类算法使得RG-WALL产品的高速性能不受方略数多少的影响，产品安装前后丝毫不会影响网络速度；同步，RG-WALL在内核层处理所有数据包的接受、分类、转发工作，因此不会成为网络流量的瓶颈。此外，RG-WALL具有入侵监测功能，可判断袭击并且提供处理措施，且入侵监测功能不会影响防火墙的性能。RG-WALL的重要功能包括：扩展的状态检测功能、防备入侵及其他（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/汇报等）附加功能。产品特性锐捷网络私有的分类算法，性能不受规则数及会话数的影响在内核层处理流量，极大减少应用层的负荷多线程代理方式内置入侵检测功能，保证防火墙的安全运行实时的状态监控功能，动态过滤技术无需L4互换机，无需增长模块就可实现Active-Active的高可用性处理方案支持网桥模式和路由模式以及NAT模式支持多种接口及VLAN，适合多种网络构造实现DNS分离功能，保护了内部DNS构造的安全性，也可为小型企业免除DNS的投资基于网络IP和MAC地址绑定的包过滤

透明代理（TransparentProxy），URL级的信息过滤

流量控制管理，保证关键顾客，关键流量对网络的使用工作模式的多样性，可以不影响既有网络，迅速投入使用可选加载VPN功能安全的网络构造和安全的体系构造提供操作简朴的图形化顾客界面对防火墙进行配置技术参数RG-WALL1200千兆防火墙端口固化4个10/100/1000BaseT+2个千兆SX光口最大并发连接数1,500,000sessions吞吐量2.5Gbps最大方略数65,535尺寸原则19英寸宽度，2U电气性能电源类型：AC100-240V/50-60Hz电源功率：350W工作环境操作环境：温度0℃~40℃存储环境：温度-40℃~80℃技术性能MTBF（平均故障间隔时间）：≥100,000小时5.7入侵检测系统选型阐明根据我院校园网建设的实际状况，需要在东西校区新增的关键层各布署一台入侵检测系统，以配合实现整个学校的全网安全。为了满足实际网络的需要和未来的升级扩展，该IPS规定：具有感知功能、可以识别并阻断网络层和应用层的袭击等。我们采用锐捷千兆入侵检测系统RG-IPS1000，该设备详细特点如下：锐捷RG-IPS是锐捷网络针对企业网顾客推出的入侵防御系统（IntrusionPreventionSystem）。RG-IPS集成了应用层感知能力，通过研究处理安全事件在袭击对顾客网络导致影响之前就有效的识别了并阻断网络层和应用层袭击，最小化袭击所带来的损失。通过布署RG-IPS，某些未被授权的应用程序如P2P应用或IM即时通讯软件更轻易被网络识别并被强制执行既定的规则，从而让既定的顾客规则得到很好的实行保证。通过集中的基于规则的管理机制，RG-IPS提供更为精细粒度的访问控制，这样为审计网络行为提供了更精确的数据。显然，RG-IPS是保护顾客关键资源的强有力武器。产品特性RG-IPS集成特性匹配、协议分析和流量分析的功能，具有业内最完备的特性代码库，提供特性代码自定义和汇报机制，有效的对网络袭击实行阻断到达防护的目的。1、基于特性分析的检测RG-IPS集成了超过条通过仔细检测与时间考验的袭击特性，特性匹配技术根据袭击的特性模式对网络数据包进行匹配。它通过识别多种袭击的特性值并按照规范写成检测规则，在协议交互的特定阶段，对接受到的数据包的内容逐一进行规则匹配分析，假如对内容的搜索可以匹配上一条或多条规则，则认为是发生了一次袭击。RG-IPS系统支持多种高效的模式匹配算法，并且通过专有的算法实现这些匹配，可以高效地检测已知特性的病毒、蠕虫、木马等袭击。2、基于协议异常分析的检测基于协议异常分析的检测，重要是针对网络协议自身，以及各个应用系统在实现上的缺陷而提出来的，RG-IPS深入分析了靠近100种的应用层协议，包括HTTP、FTP、SMTP以及木马、后门、P2P应用、IM即时消息系统、网络在线游戏等等常见应用，极大地提高检测的精确性，减少误报率。RG-IPS具有强有力的协议异常分析引擎，对检测未知的溢出袭击与拒绝服务袭击，到达靠近100%的检测精确率和几乎为零的误报率。3、基于流量异常的检测抵御DoS袭击流量异常分析的检测是基于网络流量分类记录的措施对被保护的网络流量进行检测，超过正常流量阈值的数据流将被认为是非法流量，RG-IPS可以精确检测SYNFlood、ICMPFlood、ConnectionFlood、NullStreamFlood等多种拒绝服务袭击并可以进行有效的防御保护。此外，RG-IPS可以与网络安全互换机实现联动，积极发现危险所在的精确位置，并对其进行隔离，到达立即识别并补救恶意威胁，在入口处布署时可保护内部网络，抵御也许发生的网络袭击。在管理方面，RG-IPS灵活、易用的图形化安全管理工具，提供种类繁多的可视化安全汇报，可发明基于任意安全事件的客户化汇报。技术参数性能表RG-IPS1000性能吞吐量2G并发会话数1,500,000sessions每秒新建会话20,000sessions/sec硬件参数RG-IPS1000CPUPentiumXeon2.4Ghz内存1GBHD40G网络接口10/100BASE-T(FastEthernet)01000BASE-T(GigaEthernet)21000BASE-SX(OpticalEthernet)2CONSOLE-DB91外观指示灯Power,Status尺寸415ⅹ502ⅹ88重量10．1Kg供电510W工作环境温度5~45湿度20~80%5.8出口路由器设备选型阐明根据我院校园网建设的实际状况，需要在东西校区网络出口各布署一台高性能路由器，为了满足实际网络的需要和未来的升级扩展，该路由器规定：高性能、提供强大的路由功能、提供硬件的NAT功能等。我们采用锐捷高端多业务路由器RSR-08E，该设备详细特点如下：RSR-08E提供丰富的IP/MPLS特性及卓越的性能，是在中型POP点提供安全可靠的网络业务的理想产品，可以用作企业总部、企业骨干、高性能园区边界路由器。RSR-08E路由器拥有三个独特的硬件模块,专门用于控制层面、转发层面和业务层面。转发及服务层面包括可编程的ASIC，控制层面包括一种专用处理器,该处理器运行着模块化、安全、高可用的RGNOS系统。这种架构可保证在高转发性能的前提下提供丰富的数据包处理性能，同步能提供运行商级别的安全性、可用性及稳定性。锐捷RSR-08E采用全冗余硬件架构，且具有自动故障切换及联机软件升级（ISSU）等特性。RSR-08E支持硬件加速的NAT、MPLS、QoS、组播、状态防火墙及大型过滤表等丰富特性，是构建安全可信新网络的基石。RSR-08E路由器重要应用在电信运行商以及政府、金融、教育、电力、企业顾客市场的网络建设。产品特性一、新型业务模式全面的VPN业务可满足最多的客户需求,最大程度提高供应商收入；同步运行第2层虚拟电路、第2层VPN、第2.5层互通VPN、第3层2547VPN、VPLS、IPSec、IPoverIP和GRE等；扩展性高,可支持成千上万的VPN；具有低延迟、低抖动性能的高精度QoS,可支持话音、视频及其他实时应用；按DLCI、VP、VC、VLAN、信道(DS0)和端口QoS；分类、速率限制、整形、加权循环调度、严格优先级调度、加权随机初期检测、随机初期检测和数据包标识；第2层(802.1p、CLP、DE)映射到第3层QoS(IPDSCP、MPLSEXP)；基于硬件的IPv6性能、MPLSIPv6、IPv6overIPv4GRE隧道、IPv6/IPv4双栈；强大的组播支持包括IGMPv1/v2/v3、PIM-SM、PIM-DM、MLD、SSM、RP、MSDP、BSR以及MPLS/BGPVPN中的组播,以高效运用资源、传播高价值内容；基于网络的安全业务包括NAT和状态防火墙、以及按VRF的NAT和状态防火墙；用于汇聚链路的MLPPP、MLFR.15和MLFR.16,802.3ad；运用Flow记帐、源级使用以及目的级使用特性,可按应用和CoS资源使用灵活计费,以及基于距离的计费；通过合作伙伴关系实现多厂商网络管理处理方案；基于XML的ScriptAPI便于第三方和内部OSS开发。二、广泛地提供业务特性丰富的RGNOS软件在平台上运行,保证一致的业务,并使供应商可独立于连接或服务地区密度向所有顾客推出所有业务；可通过任何接入技术,包括ATM、FR、以太网和TDM连接；速度范围可从DS0到OC-192/STM-64；减少运行成本；可无缝迁移到更大的平台,以适应网络的增长。三、低投入高产出的基础设施业务构建可完全隔离控制层面、转发层面和业务层面,可在单一平台支持多种业务；在尽量减少资本开支和运行开支的同步,最大程度提高收入；将此前由NAT、状态型防火墙、IPSec和QoS等不一样设备执行的功能整合到锐捷RSR-04E平台中；在单