HD校园网设计方案

华德学院校园网整体设计方案．7华德学院网络中心

序由于高校行业的特殊性，造成建设校园网不能走社会上个人和团体入网的网络建设方案和运行模式的老路，我公司在做怀化学院校园网设计方案时，在省内高校进行了某些调查，因高校对网络应用和管理的特殊性，造成网络建设的需求不同于电信运行商建设社会性网络。因此我公司在做怀化学院校园网设计方案时，在省内某些高校进行了调查，调查中发现80%的学校在使用星网锐捷的网络解决方案，我们在和华为的设备对比，锐捷的网络产品在重视网络链路层和网络应用的同时，更重视的是接入层的管理和整体的安全系统。在便于网络管理、提高工作效率，有效控制攻击和病毒对网络的影响，减少维护成本，发挥管理员的主观能动性、控制顾客使用网络记费等方面做的很有特色，更能适应学校网络建设的需要。因此我公司根据学校实际状况，拟采用锐捷公司的网络产品进行怀化学院校园网建设。网络建设原则与目的1．1网络建设原则1.1.1安全性网络必须含有良好的安全防备方法和密码保护技术，灵活方便的权限设定和控制机制，使系统含有多个有效手段，防备多个形式对网络的非法入侵和内部攻击，以确保网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和避免内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采用不同的方法，涉及系统安全机制、数据存取的权限控制等，锐捷网络充足考虑安全性，针对教育行业网络的多个应用，有多个的保护机制，如划分VLAN、IP/MAC地址绑定、802.1x顾客访问控制、802.1d、802.1w、802.1s冗余链路保护等，另外还含有良好的防病毒能力，提高整个网络的安全性，确保内外网安全。1.1.2先进性系统设计既要采用先进的概念、技术和办法，又要注意构造、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，能够在信息技术不停发展的今天，在系统建成后来比较长的一段时间内能满足顾客需求增加的需要；不仅能反映当今的先进水平，并且含有发展潜力，能确保在将来若干年内占主导地位，确保网络建设的领先地位，采用千兆以太网技术构建网络主干、支干线路。1.1.3扩展性系统必须含有良好的可扩充性，在系统构造、系统容量与技术方案等方面必须含有升级换代的可能，核心设备必须采用模块化的构造，跟踪网络发展的前沿方向，符合网络的发展趋势并含有充足的扩展性。系统建设必须尽量保护现有的软、硬件资源，确保各部门现有的计算机系统的使用，逐步过渡，有效保护顾客投资，最后形成一种统一的、一体化的综合网络系统。1.1.4高性能网络链路和设备含有足够高的数据转发能力，确保多个信息的高质量无阻塞传输；交换系统含有很高的交换容量与多服务支持的能力，确保网络服务的质量。1.1.5可运行为了让校园网能够良性、稳定、持续、健康的发展，并收回网络建设成本，学校或运行商需要对校园网进行运行，通过对上网的学生顾客收取一定的费用来达成“以网养网”的目的，并规定运行系统能够贴近校园顾客的应用模式，方便维护和管理。1.1.6规范化和原则化网络体系构造、通信合同及软件的设计和开发必须按照国家或行业原则进行，要模块化、构造化、数据要代码化，方便于信息共享和交流及将来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。2.2网络建设目的通过以上的网络建设原则，本次校园网建设要实现下列目的：东西校区各设一种千兆互联网出口，解决出口瓶颈问题；双出口,双核心,双链路实现东西校区的稳固互联，确保链路的带宽及稳定性；东西校区能够根据需求达成不同区域使用不同的出口访问互联网；科学规划网络构造，合理配备核心层和汇聚层网络设备与端口，确保核心网络设备和线路合适冗余，优化接入层网络设备，建设千兆主干、百兆到桌面的高效校园网络；合理布署网络安全方法，建立有效的网络安全防备和响应机制，为网络安全管理提供在线监控、事后可查的技术手段，避免私设代理和盗用IP地址现象，提高网络安全性；建立全网统一管理系统，包含对网络顾客、网络设备、网络安全的统一管理和配备；建立高效的网络性能监视与预警机制；同时建立配套的软硬件平台。全方面支持IPV6,可平滑过分到IPV6,确保设备的投资；建立全局化、智能化的安全体系，从接入层的基于端口的安全方略，到汇聚再到核心，病毒及非法网络行为进行监控和预制方略，预警功效。将学院的教工宿舍“金海花园”纳入校园网内，能够访问图书馆资源和中国期刊网等众多校内学术资源。学生宿舍联网并接入校园网内。s5750-24sfp/gk

网络设计3.1东西校区互联网出口设计本次设计，东西校区各设一种1000M互联网出口，我们电信网络，在怀化市内有自己的城域环网，确保这两个1000M互联网出口不是出自同一种模块局，确保出口线路冗余。3.2东西校区互联的设计由于现在学校东校区的网络中心尚未建成，临时将东西两个校园的核心设备放在西区的网络中心，东区的汇聚设备都通过两对光纤形成的双链路与两个核心互连。东区网络中心造成后东区设备转放东区网络中心机房。3.3网络架构的设计现在网络架构有单核心单链路、双核心双链路、二层架构、三层架构、四层架构等多个网络架构，结合学院的实际状况以及网络技术的发展，我们选择双核心双链路的架构，这样不仅在链路上确保网络稳定高效、在设备上也可实现稳定与高效；同时选择三层架构：分流核心数据解决能力、减少核心路由交换压力；更加好克制广播风暴、提高网络性能；终止各VLAN信息、增强核心路由管理能力；网络层次构造更加完善、可汇总路由，减少核心路由表项；安全性更高，更强的防止和控制，对网络攻击、病毒和破坏尽量控制在边沿完毕；扩展性更强、快速定位故障点、更易于管理；各接入层内部通讯量大，无需通过核心解决时（内部网络游戏等），采用三层构造更加合理；可靠性更强，能够通过汇聚层双链路上联双核心构成环状构造，全网架构更加强健，提高网络高可用性。我们采用了接入堆叠＋社区域汇聚＋核心这种双核心双链路的三层构造架构：采用千兆可堆叠高性能网管交换机。交换机通过内部堆叠后上联片区汇聚节点。节省投资成本扩展灵活，通过增加堆叠组内交换机或增加堆叠组来扩展接入信息点。支持多个访问控制功效和802.1x功效，可灵活方便的控制楼栋内部之间的访问限制。减少网络层次架构，加速数据传输，提高网络数据转发性能。充足运用片区汇聚节点的高性能数据转发，高稳定可靠基础，对每个楼栋之间的控制，能够在片区汇聚节点连接各楼栋的千兆接口上实现，如访问控制，防DDoS攻击，防恶意IP扫描等等，不影响数据转发性能。楼栋内部各楼层之间的数据通过堆叠方式（千兆以上带宽）互相访问，加速内部访问和数据传输速度。环型冗余方式堆叠，没有单点故障和性能瓶颈。堆叠后多台设备会虚拟成一台设备进行管理，大大提高管理效率。千兆堆叠可网管交换机是现在高校网络建设主流使用的接入设备，因此在将来发展中设备延续使用性强。架构缺点：堆叠台数普通不超出6台，需要超出6台的地区增加新的堆叠组进行信息点扩展。双核心双链路的三层构造，具体以下图所示：3.3网络安全设计今天的网络安全正遭受严峻挑战。病毒、外部入侵（黑客）、回绝服务攻击、内部的误用和滥用，以及多个灾难事故的发生，时刻威胁着网络的业务运转和信息安全。但与此同时，大多数正在使用的网络安全系统都缺少真正的全局防护能力。当网络受到来自各方面的攻击时，由防毒软件和防火墙等独立安全产品堆砌起来的方法不仅漏洞百出，还会到处被动挨打。能够断言：面对复杂的安全隐患，这种“各自为战”的安全系统已彻底失去效力。今天，网络安全技术与多个安全隐患之间进行的是一场进一步、多层次的战争。为了彻底扭转“各自为战”的被动局面，唯有用全局化、智能化的安全体系替代陈旧的安防方法。我公司采用了底，业界领先的网络设备及解决方案供应商锐捷网络率先公布了集自动防御（自御）、自动修复（自愈）与自动学习（自育）等三大自“YU”功效于一体的GSN全局安全网络解决方案。GSN强调“多兵种协同作战”，将安全构造覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（顾客PC、服务器等），成为一种全局化的网络安全综合体系。在此基础上，GSN不仅能够满足现阶段网络安全环境的需求，同时也为此后可能发生的安全威胁做出了准备。总体而言，GSN由锐捷安全交换机、安全客户端、安全管理平台、顾客认证系统、安全修复系统、VPN客户端、RG-IPS入侵检测系统等多重网络元素构成，实现同一网络环境下的全局联动，使网络中的每个设备都在发挥着安全防护的作用，构成“多兵种协同作战”的全新安全体系。GSN通过将顾客入网强制安全、统一安全方略管理、动态网络带宽分派、嵌入式安全机制集成到一种网络安全解决方案中，达成对网络安全威胁的自动防御，网络受损系统的自动修复，同时可针对网络环境的变化和新的网络行为自动学习，从而达成对未知网络安全事件的防备。其基本原理和构造图以下：（图1GSN基本原理）网络自动防御（自御）面对复杂的网络安全行为，最有效的防御方略即是将网络安全防御技术应用于在整个网络中，而不是在单点进行网络安全的防护布署。由于攻击源可能来自网络的任何一处，并能快速的扩散到整个网络当中。GSN提高了现有网络基础设施的安全防护能力，增强了终端顾客的安全防护能力。当接入网络的顾客终端发生安全攻击事件时，安全管理平台（RG-SMP）将针对这一安全事件进行判断，以确认选择调用何种安全方略来解决。安全管理平台（RG-SMP）将自动把安全方略下发到安全事件发生的网络区域，安全方略的执行者能够是锐捷网络联动设备，根据安全事件的等级由安全管理平台（RG-SMP）判断与否需要将安全方略同时到网络的区域中，以实现全网安全。同时，安全管理平台会把针对这次安全事件的解决状况告知给顾客终端，使顾客能够及时理解到网络安全环境的变化。通过这个流程，网络能够对已发生的安全行为进行完全自动化的防御方法，从而确保顾客网络在受到威胁时能够快速做出连动反映。（图2GSN自动防御）网络自动修复（自愈）随着网络连接点的不停增加，网络遭遇攻击的风险也随之增加。一旦网络遭受攻击，所产生的严重后果不仅在于破坏本身，灾难之后的系统恢复和调试同样消耗了大量珍贵的时间和人力、财力。GSN提供的自动修复（自愈）功效，即能够通过自动使受损系统得以恢复的方式为顾客节省大量的IT技术人力资源，并确保即使在系统不停遭受攻击时，网络的大部分资源仍时刻处在正常使用状态下。当顾客终端接入网络时，系统会自动检测终端顾客的安全状态，一旦检测到顾客系统存在安全漏洞，安全管理平台（RG-SMP）会通过网络自动将受损顾客从网络正常区域中隔离开来，被隔离的顾客将被自动置于系统修复区域。此时顾客终会根据安全管理平台提供的信息自动连接到RG-RES安全修复系统上进行系统修复，修复期间系统会把受到访问控制的状况告知顾客。自动修复完毕，系统会重新对顾客系统进行评定，当顾客系统安全评定完毕后来，安全管理平台（RG-SMP）将通过允许顾客进入网络继续工作。（图3GSN自动修复）网络自动学习（自育）在常规的网络安全防护方案中，判断一种网络与否产生安全事件的原则经常是某个网络行为符合了安全隐患的特性，从而将针对这个行为发生一连串的动作。但现在往往对网络产生最大威胁的是未知的网络行为对网络产生的危害，当碰到这类的攻击后来，普通的网络安全方案将无能为力。而在配备GSN全局安全方法的网络环境中，GSN能够针对网络安全环境的变化不停调节和强化，有效协助网络管理员进行网络安全隐患的判断。 当网络中有新的网络访问行为时，该行为的有关信息会被网络联动设备有效捕获，并通过E-MAIL、管理日志等方式告知管理员。同时GSN能及时的捕获到网络的环境变化，一旦检测到网络流量异常，联动设备会自动截取网络流量报文进行分析，从而有效的阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全方略会自动匹配到系统当中。在此后发生同样的网络访问行为时，系统就能自动调用对应的安全方略来解决，从而达成不停根据网络安全形势强化系统安全性的安全方略自动学习功效。（图3GSN自动学习）所觉得了确保校区网络的安全，我们校区网络建设时采用GSN方案来确保校区的网络安全。3.4网络出口流量控制设计现在越来越多的下载软件造成网络出口带宽严重局限性，如现在的P2P软件的使用造成了诸多高校网络出口带宽的严重局限性。出现这样问题的因素是现在对P2P软件没有一种较好的控制手段，如P2P软件是大家比较承认的一种下载软件，但是过多的使用会造成出口瓶颈，并且P2P软件现在使用的端标语不固定且没有特性码，因此想要对其限制也是一种比较头痛的问题。针对这样的问题，我们认为对P2P软件的使用最佳的方式不是针对流量进行计费，而是一种针对P2P应用的管理与控制手段我公司结合现在我院的认证计费系统，对顾客进行流量的控制，以控制由于顾客过多使用P2P软件下载造成出口带宽的局限性的现象，具体以下：3.5网络管理设计随着学校网络规模的不停扩大，现在不仅需要对网络设备进行集中统一的管理，同时还需要对顾客进行集中统一的管理。4.1网络拓扑图4.2网络设计阐明根据学院的实际状况，并考虑到将来的发展趋势，需要建立一种统一的信息传输网络，满足数据、语音、视频、图像、多媒体等有关教育信息的传输，能够实现计算机管理系统、办公自动化系统、多媒体教学系统、数字图书馆和上网访问（Internet）等应用。为了保护投资，原有校园网部分我们仍然采用原有设备和构造。东西校区的互连根据前文所述，东西校区的互连我们采用双链路光纤冗余互连，分别将东西校区的核心交换机进行互连，同时全校启用动态路由OSPF的方式，确保新老校区稳定可靠。网络出口网络出口采用1000M双出口，由于学校飞速发展，地区不停扩大，现在已有两个校区，为了使整个网络便于管理，合理规划出口，东校区顾客上网的时候信息是由东校区的出口出去，西校区顾客上是通过西校区出口出去，如果任何一种出口出现问题，则顾客将由另一种出口出去，确保出口的稳定和安全。同时考虑到现有出口带宽基本都已被占满，重要是由于顾客大量使用P2P软件的因素，为理解决这个问题我们采用对顾客进行流量控制，以避免顾客大量使用P2P软件造成网络出口带宽局限性。网络架构为了能够实现骨干网络的稳定可靠，本次东西校区的网络建设我们选择双核心双链路的方式，即整个校园网采用双核心的方式，两台核心之间通过千兆单模光纤相连，同时每个区域的区域汇聚交换机通过双千兆单模光纤上联到两台核心，而每个区域内的交换机通过千兆多模链路连接各个区域的区域汇聚交换机，为了便于布线，在每栋楼的接入层上，各个不同的楼层采用不同的堆叠组进行堆叠然后上联到区域的汇聚交换机。而对于服务器群组来说，为了让顾客提高访问效率的体验，我们单独采用一台服务器群组交换机，该交换机含有很强的扩展能力，并通过双千兆多模光纤与东西校区的两台核心交换机进行互联，并通过服务器群组交换机的WCMP/ECMP的功效，能够使两条链路同时按照带宽的比例都传输数据，确保顾客访问服务器时的高效。网络安全为了能够更加好地实现网络安全方面的控制，确保校园网内的教学、科研数据和学生管理信息不被窃取和丢失，全部连接进网络的顾客必须通过了身份的检查后才干访问网络内的数据，并且各个系统运作时需要通过VLAN划分和物理路由互相隔离，和Internet连接的出口也需要布署防火墙系统来实现安全保护，以确保网络内全部数据和信息的安全。由于现有的网络安全事件已不是某一种产品或软件就能够解决的，而是需要全部网络设备进行有效的联动，一起抵抗网络攻击和病毒对网络造成的影响。因此除了上述的安全保护外，同时为了进一步做到能够主动的对网络攻击、病毒的防备，以及对未知网络病毒的学习和控制，实现网络设备及软件的有效联动，我们要在东西校区布署一整套安全体系，为学院网络提供更加好的安全屏障。网络高效、稳定性由于网络中心核心设备的稳定和安全性能是整个网络最重要的保障，因此必须规定核心交换机含有优良的性能和高可靠性，必须采用超大交换容量的交换背板，以确保任何状况下网络的每个端口均可含有全线速多层交换能力，能够确保传输带宽和数据传输优化等核心应用，从而为整个网络提供了稳定和快速的基础。网络运行为了能够更加好的运行网络，使网络健康良性的发展，东西校区网络建设继续采用学校原有的认证方式，这样同一套系统，不仅方便运行维护及提高工作效率，同时也可使我们无需耗费更多的时间来熟悉和掌握新的系统。网络管理随着网络规模的不停扩大，应用越来越多，管理已不在是以前的那种单存对网络设备进行管理的年代，现在不仅要能够对设备进行集中统一的管理，同时还要能够对接入顾客进行集中统一的管理，并且随着网络安全事件的不停增多，还需要一套能够对网络安全事件进行集中统一管理的软件，这样才干够确保网络管理的高效。

5.1核心交换机选型阐明根据学院校园网建设的实际状况，需要在东西校区网络中心各布署一台核心交换机，为了满足实际网络的需要和将来的升级扩展，该核心交换机规定：支持多个模块热插拔、支持多个千兆端口、支持链路聚合IEEE802.3ad、支持三层合同、较高的背板带宽和包转发率、硬件或NP多业务卡方式支持IPV6（确保网络系统后来平滑升级）、支持三种生成树、支持802.1x、多个QOS和组播合同的支持等。根据具体状况，我们准备采用锐捷新一代多业务万兆核心路由交换机RG-S6806E，该设备具体特点以下：RG-S6806E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，拥有6个扩展插槽，RG-S6806E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达成业务和性能并重的设计需求。RG-S6806E多业务万兆核心路由交换机V3.X提供1.2T背板带宽，并支持将来扩展到2.4T的能力，高达428Mpps的二/三层包转发速率可为顾客提供高速无阻塞的数据交换，强大的交换路由功效、安全智能技术可同锐捷各系列交换机配合，为顾客提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的抱负选择。RG-S6806E交换机通过扩展高性能的多业务卡支持方略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等业务功效，满足客户环境灵活而复杂的不同应用需求。产品特性强大数据解决设计（SPOH设计）RG-S6806E的交换、路由、ACL、QoS等复杂功效通过硬件实现，避免了软件实现同样功效对数据高速解决的影响。管理模块执行路由管理、网络管理、网络服务等任务，顾客接口模块能够独立实现硬件路由、交换和组播功效；顾客交换端口则独立实现硬件ACL和QoS功效，同时式解决设计(SPOH设计)极大地提高整机解决能力。强大的扩展能力RG-S6806E多业务万兆核心路由交换机V3.X现在提供1.2T背板带宽，在不更换机箱的状况下，将来仅通过更换管理模块能够支持背板带宽扩展到2.4T。RG-S6806E多业务万兆核心路由交换机通过扩展高性能的多业务卡，能够支持方略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等功效。高安全保障方法物理安全：RG-S6806E提供冗余管理模块、冗余电源模块、多个模块热拔插等物理安全保障方法。病毒和攻击防护：面对现在网络环境越来越多的网络病毒和攻击威胁，RG-S6806E提供强大的网络病毒和攻击防护能力，不仅提供了基于SPOH技术的ACL功效，并且还支持防源IP地址欺骗（SouceIPSpoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力。提供多端口同时监控技术，支持灵活的网络监控，提高网络监控能力设备管理安全：为了避免非管理人员登陆并操纵网络设备，造成网络传输和安全的影响，RG-S6806E提供了SSH加密登陆功效，以及telnet/web登录的源IP限制功效。接入安全：硬件支持IP、MAC、端口绑定，提高顾客接入控制能力。支持802.1X技术，满足6元素绑定接入限制支持IGMP源端口检查，可有效控制非法组播源，提高网络安全。通过PVLAN（保护端口）隔离顾客之间信息互通，不必占用VLAN资源。端口MAC地址锁和端口MAC地址接入数量功效能够屏蔽非法主机的接入丰富的应用支持技术（QOS、组播）RG-S6806E提供多个流分类技术和多个QOS技术，涉及SP、WRR、WFQ、WRED、CAR、HOL等，为多个应用的带宽保障提供需要的支持技术。流分类：能够根据数据流的源/目的MAC地址、源/目的三层IP地址、三层合同（IP/IPX）、四层合同（UDP/TCP）、源/目的四层合同端标语、COS、TOS对数据流进行辨别，实现2/3/4层的流分类功效。数据标记：802.1p是二层合同，可觉得数据提供8个级别的优先级标记；DSCP在三层的IP合同报文里进行优先级标记，能够提供64个级别的优先标记。队列调度：严格优先级队列SP确保高优先级业务总是在低优先级业务之前解决；WRR是一种加权循环队列调度机制，首先解决高优先级，但在解决高优先级业务时，较低优先级的业务并没有被完全阻塞，而是按一定的比例同时进行。WFQ是加权公平队列，对全部的数据流进行排队，监控吞吐率，并根据发送的信息量分派权值。WFQ试图公平地为每个对话分派带宽，确保低带宽应用能够获得对接口的访问权，而不会被高带宽应用全部占用。拥塞控制：WRED加权随机早期检测合同，能够设立各个数据流在拥塞发生之前自动丢失数据的阀值，避免较高优先级应用的拥塞丢失。HOL通过消除HOL阻塞确保最高可能的吞吐量；最大程度地减少包丢失，减少多路传输和广播流量拥塞承诺信息速率：CAR可觉得重要的数据流设定固定的带宽，如果设定的带宽合理，满足该数据流的需求，就能够确保重要数据流的正常转发。提供多个组播支持技术，涉及IGMPsnooping、IGMP、PIM（SM、DM），DVMRP，确保了网络中提供组播服务时的带宽合理占用。支持领先的万兆以太网技术（IEEE802.3AE、IEEE802.3AK）万兆以太网采用了IEEE802.3以太网媒体访问控制（MAC）合同、IEEE802.3以太网帧格式，以及IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步，采用全双工技术，不需要应用低速的、半双工的CSMA/CD合同。在其它方面，万兆以太网保存了早期以太网模型的精髓，因而能够和现有以太网环境无缝融合，支持客户已有应用。RG-S6806E提供现在主流的四种万兆局域网传输原则：10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4，四种传输原则在数据链路层以上都相似，差别在于物理层。10GBASE-R和10GBASE-CX4用于传统的以太网环境，10GBASE-R采用光纤作为传输介质，10GBASE-CX4采用同轴铜缆作为传输介质，而10GBASE-W可与OC-192电路、SONET/SDH设备一起运行，保护传统基础投资，使运行商能够在不同地区通过城域网提供端到端以太网。10GBSE-LX4则使用WDM波分复用技术进行数据传输。支持L2VPN（QINQ）RG-S6806E支持ServiceProvidervlan(DoubleTagging、VLANtunnel)，允许对交换数据进行二次VLAN标记，外层标记用于创立VPN，提供链路选择，内层标记用于标记业务VLAN信息，实现在以太网环境中的L2VPN，解决了传统以太网环境无法提供数据传输安全控制的问题。ECMP/WCMP（Equal-CostMultipathRouting/Weight-CostMultipathRouting）存在多条不同链路达成同一目的地址的网络环境中，如果使用传统的路由技术，发往该目地址的数据包只能运用其中的一条链路，其它链路处在备份状态或无效状态，并且在动态路由环境下互相的切换需要一定时间，而等值多途径路由合同和权重多途径路由合同能够在该网络环境下同时使用多条链路，不仅增加了传输带宽，并且能够无时延无丢包地备份失效链路的数据传输。最长匹配（LPM）三层交换技术在传统的硬件三层交换机中采用“一次路由、多次交换”的路由技术，并且使用精确流匹配方式进行硬件三层转发，大量耗费CPU资源，并且占用大量的硬件存储资源。最长匹配（LPM）三层交换技术能够解决传统方式“多次交换”中采用精确流匹配”而带来存储空间压力过大的问题。最长匹配（LPM）技术支持直连路由、静态路由、动态学习到的路由都直接以网段形式存储于硬件转发表，一种目的网段使用一种转发表项，而不明目的网段IP地址的数据包直接通过硬件缺省路由转发。因此，LPM技术的优点是极大地节省存储空间，拥有硬件缺省路由，因此，病毒和攻击数据包能够通过硬件网段路由或缺省路由进行转发，不增加额外的硬件表项，避免了存储溢出问题，保障设备的正常运行。支持完善的双核心技术RG-S6806E支持涉及802.1D、802.1W、802.1S在内的多个生成树合同以及虚拟路由合同VRRP，提供完善的双核心保障技术。技术参数技术参数RG-S6806E模块插槽6个（2个用于管理引擎模块）背板1.2T（可扩展2.4T）（V3.x）交换容量600G（V3.x引擎）包转发速率L2/L3：428M（V3.x引擎）路由表项256K802.1qVLAN4KL2合同IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ae、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、portmirror、IGMPSNOOPING、Aggregateport、GVRP、jumboframe(9Kbytes)、QINQL3合同BGP4、OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、DVMRP、PIM-SM/DM、PIM-SSM、LPMRouting、Policy-basedRouting、ECMP、WCMP病毒攻击防护全方面的ACL、防源IP地址欺骗（SouceIPSpoofing）、防DOS攻击（Synflood，Smurf），防扫描（PingSweep）管理方式SNMPv1/v2/v3、Telnet、Console、CLI、RMON、SSH其它合同SNTP、VRRP、BootP/DHCPclient、ARPPROXY、DHCPrelay、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect、Syslog尺寸（长x宽x高）445mmx445m电源100VAC~240VAC，50Hz~60Hz，功率:1200WMTBF>200,000hours温度工作温度：0℃到存储温度：-40℃到湿度工作湿度:10%到90%RH存储湿度:5%到95%RH典型应用可扩万兆的千兆IP核心网运用RG-S6806E强大的数据解决能力提供各分支机构的高速互连运用多条光纤链路连接成网状，提供高度安全的网络连接使用OSPF路由合同，配合ECMP/WCMP路由合同，能够充足运用各链路并且提供实时的链路备份需求通过简朴地增加万兆模块能够平滑地升级到万兆IP核心网，保护顾客投资可扩万兆的千兆双核心网通过两台RG-S6806E之间的链路冗余备份和负载均衡（802.1S\VRRP）提供安全可靠的网络构架通过RG-S6806E丰富的安全保障技术提供一种全网概念的整体网络安全通过方略路由功效支持多ISP出口的负载均衡和冗余备份通过简朴地增加万兆模块能够平滑升级到万兆骨干网，保护顾客投资5.2服务器群组交换机选型阐明学院现在的服务器群组都是在连接在一台100M傻瓜式二层交换机上的。已不能合用新的网络应用需求，需要在网络中心布署一台服务器群组交换机，为了满足实际网络的需要和将来的升级扩展，该核心交换机规定：支持万兆扩展端口、千兆端口、支持链路聚合IEEE802.3ad、支持三层合同、较高的背板带宽和包转发率、支持三种生成树、支持802.1x、多个QOS和组播合同的支持等。根据具体状况，我们采用锐捷安全智能万兆多层交换机RG-S5750-24GT/12SFP，该设备具体特点以下：RG-S5750系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。

该系列交换机接口形式和组合非常灵活，可提供24个10/100/1000M自适应的千兆电口，和灵活复用的高密度千兆SFP光纤连接，满足网络建设中不同介质的连接需要，同时为满足网络的弹性扩展，和高带宽传输需要，可灵活弹性扩展多个类型的万兆模块。特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器接入的使用。该系列交换机硬件支持多层线速交换，并提供了丰富而完善的路由合同，以适合大型网络多个路由和高性能的需要。RG-S5750系列交换机提供二到七层的智能的业务流分类、完善的服务质量（QoS）确保和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和顾客管理能力，更可有效避免和控制病毒传输和网络攻击，控制非法顾客接入和使用网络，确保正当顾客合理使用网络资源，充足保障网络安全、网络合理化使用和运行，并能够根据网络实际使用环境，实施灵活多样的安全控制方略。RG-S5750系列交换机以极高的性价比为大型网络汇聚和中型网络核心提供了多层交换、完善的端到端的服务质量、灵活丰富的安全设立和基于方略的网管，最大化满足高速、安全、智能的公司网需求。产品特性：高性能多层交换高背板带宽为全部的端口提供非阻塞性能；丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要；基于LPM硬件路由转发方式使得RG-S5750系列不仅合用于大型网络环境，并且可防御多个网络病毒的侵袭，保障全部报文的线速转发，有效确保了设备的安全性；硬件支持多层线速交换，能够识别二到七层的应用业务流，全部端口都含有单独的数据包过滤、辨别不同应用流，并根据不同的流进行不同的管理和控制。灵活完备的安全控制含有的多个内在机制能够有效防备和控制病毒传输和黑客攻击，如防止Dos攻击、防黑客IP扫描机制等，还网络一片绿色；硬件实现端口与MAC地址和顾客IP地址的灵活绑定，严格限定端口上的顾客接入;通过将端口设为保护端口即可简朴方便地隔离顾客之间信息互通，不必占用VLAN资源；基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；基于端口速率比例和基于速率pps的广播风暴克制功效，确保网络稳定安全；SSH（SecureShell）和SNMPv3能够通过在Telnet和SNMP进程中加密管理信息，确保管理设备信息的安全性，避免黑客攻击和控制设备；控制非法顾客使用网络，确保正当顾客合理化使用网络，如端口安全、端口隔离、专家级ACL、时间ACL、基于数据流的带宽限速、六元素绑定等等，满足公司网、校园网加强对访问者进行控制、限制非授权顾客通信的需求。丰富的组播特性支持多个单播和组播动态路由合同，可适应不同的网络规模和需要进行大量多播服务的环境，实现网络的可扩展和多业务应用；支持IGMP源端口和源IP检查功效，有效地杜绝非法的组播源，提高网络的安全性；支持IGMPv1/v2/v3全部版本，适应不同组播环境，满足组播安全应用的需要。完善的QoS方略以DiffServ原则为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS方略，实现基于全网系统多业务的QoS逻辑；含有MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级、流量管理，流量整形等多个流方略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供流量限速千兆端口粒度达64Kbps，万兆端口粒度达1Mbps。高可靠性支持生成树合同802.1d、802.1w、802.1s，完全确保快速收敛，提高容错能力，确保网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路运用率；支持VRRP虚拟路由器冗余合同，有效保障网络稳定；支持锐捷网络的可选冗余电源系统STAR-RPS，可为S5750系列设备提供卓越的电源冗余，提高容错能力和网络正常运行时间。方便易用易管理灵活复用的多个千兆形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便顾客灵活选择；为满足网络灵活弹性扩展和高带宽传输需要，简朴选配多个类型的万兆模块，网络即可平滑升级到万兆上链骨干；简朴网络时间合同（SNTP）确保交换机时间的精确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊疗等管理；Syslog方便多个日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；多端口同时监控，通过一种端口即可同时监控多个端口的数据流，能够只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；CLI界面，方便高级顾客配备和使用；可提供Xmodem、FTP、TFTP等多个加载升级方式，方便顾客使用；Java-basedWeb管理方式，实现对交换机的可视化图形界面管理，快速和高效地配备设备。技术参数：产品型号RG-S5750-24GT/12SFP固定端口24端口10/100/1000M自适应端口，12个复用的SFP接口，2个扩展槽可用模块Mini-GBIC-SX：单口1000BASE-SXminiGBIC转换模块（LC接口）；Mini-GBIC-LX：单口1000BASE-LXminiGBIC转换模块（LC接口）；Mini-GBIC-ZX50：单口1000BASE-ZXminiGBIC转换模块（LC接口），50km；Mini-GBIC-ZX80：单口1000BASE-ZXminiGBIC转换模块（LC接口），80km1端口XENPAK接口万兆转接板1端口XFP接口万兆转接板万兆光纤接口模块（300米），配合M5700-01XENPAK万兆光纤LR接口模块（10公里），配合M5700-01XENPAK万兆光纤ER接口模块（40公里），配合M5700-01XENPAK万兆光纤SR接口模块（300米），配合M5700-01XFP万兆光纤LR接口模块（10公里），配合M5700-01XFP万兆光纤ER接口模块（40公里），配合M5700-01XFP背板240Gbps包转发速率L2：线速（66Mpps）L3：线速（66Mpps）MAC16K802.1qVLAN4KACL原则IPACL（基于IP地址的硬件ACL）、扩展IPACL（基于IP地址、TCP/UDP端标语的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端标语、合同类型、时间等灵活组合的硬件ACL）L2合同IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3、LLDPDefeatDoSAttack支持DefeatIPScan支持L3合同OSPF、ECMP/WCMP、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3管理合同SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、SNTP、Syslog其它合同DHCPRelay、DNSClientJumboFrame支持尺寸（长×宽×高）440×435×44mm电源176VAC~264VAC48Hz~60Hz温度工作温度:0ºC到40ºC存储温度:-40ºC到70ºC湿度工作湿度:10%到90%RH存储湿度:5%到90%RH5.3区域汇聚交换机选型阐明根据学院实际状况，为了满足实际网络环境的需要，区域汇聚交换机都规定：支持千兆端口、支持链路聚合IEEE802.3ad、支持三层合同、较高的背板带宽和包转发率、支持三种生成树、支持802.1x、多个QOS和组播合同的支持等。我们采用锐捷全千兆智能多层交换机STAR-RG-S5750-24GT/12SFP做区域汇聚，该设备具体特点以下：STAR-S3550-24G是一款线速全千兆智能多层交换机，能提供多GBIC插槽，最多可提供该系列交换机硬件支持2至4层的多层线速交换，提供二到七层的智能的流分类和和完善的服务质量（QoS）以及组播管理特性，支持完善的高性能路由合同，并能够实施灵活多样的ACL访问控制方略。可通过SNMP、Telnet、Web和Console口等多个方式提供丰富的管理。S3550-24产品特性：高性能多层交换72G背板带宽为全部的端口提供非阻塞性能；硬件支持多层线速交换，能够识别、解决四层以上的应用业务流，全部端口都含有单独的数据包过滤、辨别不同应用流，并根据不同的流进行不同的管理和控制。完备的安全控制含有的多个内在机制能够有效防备和控制病毒传输和黑客攻击，如防止Dos攻击、防黑客和病毒IP扫描机制等，还网络一片绿色；硬件实现端口与MAC地址和顾客IP地址的绑定；通过保护端口即可方便简朴地隔离顾客之间信息互通，不必占用VLAN资源；基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；提供加密传输的SecureShell（SSH），确保管理设备信息的安全性，避免黑客攻击和控制设备；高安全性，含有端口安全、动态地址锁、端口隔离、顾客接入认证（802.1x）、专家级ACL控制、基于数据流的带宽限速等多个安全方法，满足公司网加强对访问者进行控制、限制非授权顾客通信的需求。丰富的组播特性支持多个单播和组播动态路由合同，可适应不同的网络规模，和需要进行大量多播服务的环境，实现网络的可扩展；支持IGMP源端口检查功效，有效地杜绝非法的组播源，提高网络的安全性。完善的QoS方略以DiffServ原则为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS方略，实现基于全网系统多业务的QoS逻辑；含有MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多个流方略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务；高可靠性支持生成树合同802.1d、802.1w、802.1s，完全确保快速收敛，提高容错能力，确保网络的稳定运行和链路的负载均衡，合理使用网络通道；支持VRRP虚拟路由器冗余合同，构建故障时的冗余路由拓扑构造，保持通讯的持续性和可靠性，有效保障网络稳定；支持锐捷网络的可选冗余电源系统STAR-RPS，可为6台S3550-12G/S3550-24G以S3550-12SFP/GT系列网络设备提供卓越的电源冗余，提高容错能力和网络正常运行时间。方便易用易管理全GBIC架构，可选配多个规格千兆接口模块，支持千兆铜缆、单/多模光纤接口模块的混合配备，支持模块热插拔，极大方便顾客灵活配备和扩展网络；独特的集群管理，通过一台命令交换机即可管理多达20台的汇聚层和接入层设备S3550系列和S21系列交换机，无论交换机与否在同一配线间和布线室，都能得到统一管理；强大的集群管理方式使得网络的维护工作变得非常方便和简朴，只需配备1个IP地址，即可统一管理多台设备，不仅成倍节省了IP地址空间，并且维护和管理量也得到极大减少；多端口同时监控，通过一种端口即可同时监控多个端口的数据流，能够只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；支持业界领先的EAPS功效，实现网络的高可用性；CLI界面，方便高级顾客配备和使用；Java-basedWeb管理方式，实现对交换机的可视化图形界面管理，快速和高效地配备设备。技术参数产品型号STAR-S3550-固定端口24口GBIC接口可用GBIC或Mini-GBIC模块GBIC-GT：单口1000BASE-T模块GBIC-SX：单口1000BASE-SX模块GBIC-LX：单口1000BASE-LX模块背板72G包转发速率L2：36MppsL3：36MppsMAC地址32K802.1qVLAN4KACLIP原则ACL（基于IP地址的硬件ACL）、IP扩展ACL（基于IP地址、传输层端标语的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端标语的硬件ACL)L2合同IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1s、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IGMPSnooping、LLDPL3合同OSPF、RIPV1、RIPV2、PIM（DM/SM）、VRRP、IGMP管理方式SNMPv1/v2、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog其它合同EAPS、BootP、DHCPRelay网络介质和最大传输距离1000BASE-SX：波长850nm，62.5/125um多模光纤线的最大传输距离为220m；50/125um多模光纤线的最大传输距离为500m；1000BASE-LX：波长1310nm，62.5/125um多模光纤线的最大传输距离为550m；50/125um多模光纤线的最大传输距离为550m；9/125um单模光纤线的最大传输距离为10Km；1000BASE-ZX：波长1550nm，9/125um单模光纤线的最大传输距离为50Km和80Km10/100/1000BASE-T：使用5类UTP或STP最大传输距离为100m；尺寸（长×宽×高）440mm×330mm ×67mm电源176VAC~264VAC，47Hz~63Hz，或10.6~13.2VDC/最大5.3A温度工作温度：0℃到存储温度：-40℃湿度工作湿度:10%到90%RH存储湿度:5%到95%RH5.4接入交换机选型阐明根据我院校园网建设的实际状况，为了满足实际网络环境的需要，对于全部接入交换机都规定：较高的背板带宽和包转发率、支持三种生成树合同、支持基于时间和合同的网络访问控制、含有较高的安全性能、支持IP地址+MAC地址+交换机端口绑定、支持802.1x、多个QOS的支持等。我们锐捷安全智能交换机STAR-S2126G/S2150G做为接入层交换机，该设备具体特点以下：STAR-S2126G/S2150G是两款全线速可堆叠的安全智能交换机，在提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同时，并能够根据网络实际使用环境，实施灵活多样的安全控制方略，可有效避免和控制病毒传输和网络攻击，控制非法顾客使用网络，确保正当顾客合理使用网络资源，充足保障网络安全和网络合理化使用和运行。STAR-S2126G/S2150G可通过SNMP、Telnet、Web和Console口等多个方式提供丰富的管理。S2126G/S2150G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全方略管理和基于方略的网管，最大化满足高速、安全、智能的公司网新需求。产品特性：高性能12.8G/18.5G背板带宽为全部的端口提供非阻塞性能。灵活完备的安全控制方略通过内在的多个安全机制可有效避免和控制病毒传输和网络流量攻击，控制非法顾客使用网络，确保正当顾客合理化使用网络，避免过渡占用网络带宽资源，如BT泛滥下载；安全方略有端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文正当性检查、基于数据流的带宽限速、六元素绑定、基于应用内容的深度识别和控制等，满足公司网、校园网加强对访问者进行控制、限制非授权顾客通信，合理化运行网络的需要；硬件实现端口与MAC地址和顾客IP地址的绑定，严格限定端口上顾客接入；通过将端口设为保护端口即可简朴方便地隔离顾客之间信息互通，不必占用VLAN资源；通过PrivateVLAN能够在交换机的同一VLAN中提供端口之间的通讯或安全隔离，确保数据流进入有效端口，而不会被发送到其它端口，即解决了因传统802.1QVLAN造成全网VID资源不够的问题，同时又无需运用安全规则资源即能达成隔离不同顾客以及不同组顾客之间通讯的功效，充足保护顾客隐私；通过锐捷SAM平台，可实现顾客账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认顾客正当性和唯一性；支持业界特有的IGMP源端口检查，有效杜绝非法组播源播放和大量占用大量网络带宽，提高网络安全性；提供极为有效的PortBlocking功效，避免端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口负载负担，提高端口带宽，保护顾客PC更高效安全地运行；基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；SSH（SecureShell）和SNMPv3能够通过在Telnet和SNMP进程中加密管理信息，确保管理设备信息的安全性，避免黑客攻击和控制设备；可灵活控制二－七层数据报文，使得任何一种顾客PC上的任何一种应用报文通过网络都能得到有效控制，充足保障了网络的安全和合理化使用。完善的QoS方略支持802.1P、端口优先级、IPTOS、二到七层流过滤等QoS方略，含有MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多个流方略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务；极灵活的带宽控制能力，能够基于交换机端口、MAC地址、IP地址、VLANID、合同、应用组合进行带宽限速，限速粒度精细：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口，可根据网络安全需求，设定不同业务应用的带宽流量，满足按需所用。高可靠性支持生成树合同802.1D、802.1w、802.1s，完全确保快速收敛，提高容错能力，确保网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路运用率。方便易用易管理强大的菊花链式堆叠，最多支持堆叠8台S2126G/S2150G的混合堆叠，最大支持384个10/100M端口，确保网络的高度灵活和可扩展，网络管理更加简朴；独特的集群管理，通过一台命令交换机可管理多达20台的S3550系列和S21系列交换机，无论交换机与否在同一配线间和布线室；强大的集群管理方式使得网络的维护工作变得非常方便和简朴，只需配备1个IP地址，即可管理多台设备，不仅成倍节省了IP地址空间，并且维护和管理量也得到极大减少；提供图形化的安全方略管理配备平台，支持安全方略自动同时下发、升级和维护功效，安全方略智能化，可大幅度提高交换机管理和配备效率，提高网络安全；端口的VLAN自动跳转功效，无需网管员手工干预，即可将端口跳转到顾客所在VLAN，实现顾客全网漫游上网，减轻设备配备和维护量；多端口同时监控，通过一种端口即可同时监控多个端口的数据流，能够只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；简朴网络时间合同（SNTP）确保交换机时间的精确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊疗等管理；Syslog方便多个日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；CLI界面，方便高级顾客配备和使用；Java-basedWeb管理方式，实现对交换机的可视化图形管理，快速和高效地配备设备。技术参数产品型号STAR-S2126GSTAR-S2150G固定端口24端口10/100自适应48端口10/100自适应模块插槽2个扩展插槽可用模块M2121S：单口1000BASE-SX模块M2121L：单口1000BASE-LX模块M2121T：单口1000BASE-TX模块（支持10/100/1000M自适应）M2101F：单口100BASE-FX模块M2101F-S：单口100BASE-FXM2101T：单口100BASE-TX模块M2131：堆叠模块背板12.8Gbps18.5Gbps包转发速率线速（6.6Mpps）线速（10.1Mpps）802.1qVLAN4KACL原则IPACL（基于IP地址的硬件ACL）、扩展IPACL（基于IP地址、传输层端标语的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端标语、合同类型、时间灵活组合的硬件ACL)L2合同IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3、LLDP管理合同SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog、SNTP其它合同BOOTP/DHCPRelay、DNSClient尺寸（长×宽×高）440mm×240mm×44mm440mm×300mm×44mm电源160VAC~240VAC，48Hz~60Hz温度工作温度：0℃到存储温度：-40ºC到70ºC湿度工作湿度：10%到90%RH存储湿度：5%到90%RH典型应用多个类型网络的接入层需要灵活多样的安全控制方略，防止和控制网络病毒和网络攻击、提供顾客接入安全等高性价比的千兆上链解决方案高密度端口需求，实现网络弹性扩展灵活的顾客带宽分派灵活的顾客计费确保语音、多媒体、视频会议、视频点播、远程教学等核心任务的应用丰富的管理方略应用，有效控制网络访问安全和端到端的QoS方略5.5流量统计设备选型阐明我们采用的是星网锐捷网络公司的RG-NTD它是锐捷公司面对校园网、行业顾客开发的专业计费网关设备。计费方案作为校园网等整体解决方案，其中涉及以太网交换机，RG-SAM安全计费管理软件以及局域网认证客户端软件suplicant等。RG-NTD作为重要设备之一，它对通过802.1x认证顾客的以太网数据流进行分类、统计并将统计后的数据发送给RG-SAM。RG-NTD的计费功效必须配合使用RG-SAM安全计费管理软件。RG-NTD提供两个10/100/1000M自适应GEGigabitEthernet吉比特以太网接口。两个10/100M自适应FEFastEthernet快速以太网接口。RG-NTD支持将数据流进行分类的流量计费方略，向RG-SAM提供流量分类计费的原始信息。RG-NTD支持旁路模式和穿透模式。重要性能支持穿透、旁路两种工作模式。分类统计顾客数据流。支持集团顾客应用。支持转发控制功效。支持web管理。支持串口管理。数据流分类概述数据流分类是按照顾客访问的目的地址不同而将数据流分为若干种类例。例如能够将国内地址分成一类，将国外地址分成一类，将校内地址分成一类。在RG-SAM上可根据不同类别的流指定不同的计费方略。数据流分类配备现在RG-NTD支持6种数据流，分别是国内上行流量，国内下行流量，国外上行流量，国外下行流量，校内上行流量，校外上行流量。进行数据流分类需要配备IP对照表，RG-NTD通过将顾客数据流目的IP地址和IP对照表进行比较，来判断该数据流属于哪一种类别。当顾客数据流的IP地址在IP对照表种无法查到的时候，默认数据流为国内类别。数据流方向辨别RG-NTD通过GE口来接受数据流，RG-NTD含有穿透和旁路两种工作模式。RG-NTD工作在穿透模式下，通过两个GE口来定义流的方向。GE口的作用固定：其中一种用来接受局域网内部的流量，一种用来接受局域网外部的流量。RG-NTD根据IP对照表和数据流的方向来判断属于上述6种数据流中的哪一种。RG-NTD工作在旁路模式下，通过一种GE口来接受数据流，数据流方向的辨别由RG-NTD本身来完毕。5.6防火墙设备选型阐明根据我院校园网建设的实际状况，需要在东西校区网络出口各布署一台防火墙，为了满足实际网络的需要和将来的升级扩展，该防火墙规定：高性能、提供入侵检测功效、能够防备攻击和入侵等。根据具体状况，我们采用锐捷千兆防火墙RG-WALL1200，该设备具体特点以下：RG-WALL防火墙是锐捷网络采用独创的分类算法（ClassificationAlgorithm）设计的新一代安全产品，支持扩展的状态检测（StatefulInspection）技术，含有高性能的数据过滤传输功效；同时在启用动态端口应用程序(如VoIP,H323等)时，可提供强有力的安全通道。采用锐捷网络独创的分类算法使得RG-WALL产品的高速性能不受方略数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层解决全部数据包的接受、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL含有入侵监测功效，可判断攻击并且提供解决方法，且入侵监测功效不会影响防火墙的性能。RG-WALL的重要功效涉及：扩展的状态检测功效、防备入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功效和审计/报告等）附加功效。产品特性锐捷网络私有的分类算法，性能不受规则数及会话数的影响在内核层解决流量，极大减少应用层的负荷多线程代理方式内置入侵检测功效，确保防火墙的安全运行实时的状态监控功效，动态过滤技术无需L4交换机，无需增加模块就可实现Active-Active的高可用性解决方案支持网桥模式和路由模式以及NAT模式支持多个接口及VLAN，适合多个网络构造实现DNS分离功效，保护了内部DNS构造的安全性，也可为小型公司免去DNS的投资基于网络IP和MAC地址绑定的包过滤

透明代理（TransparentProxy），URL级的信息过滤

流量控制管理，确保核心顾客，核心流量对网络的使用工作模式的多样性，能够不影响现有网络，快速投入使用可选加载VPN功效安全的网络构造和安全的体系构造提供操作简朴的图形化顾客界面对防火墙进行配备技术参数RG-WALL1200千兆防火墙端口固化4个10/100/1000BaseT+2个千兆SX光口最大并发连接数1,500,000sessions吞吐量2.5Gbps最大方略数65,535尺寸原则19英寸宽度，2U电气性能电源类型：AC100-240V/50-60Hz电源功率：350W工作环境操作环境：温度0℃~40℃存储环境：温度-40℃~80℃技术性能MTBF（平均故障间隔时间）：≥100,000小时5.7入侵检测系统选型阐明根据我院校园网建设的实际状况，需要在东西校区新增的核心层各布署一台入侵检测系统，以配合实现整个学校的全网安全。为了满足实际网络的需要和将来的升级扩展，该IPS规定：含有感知功效、能够识别并阻断网络层和应用层的攻击等。我们采用锐捷千兆入侵检测系统RG-IPS1000，该设备具体特点以下：锐捷RG-IPS是锐捷网络针对公司网顾客推出的入侵防御系统（IntrusionPreventionSystem）。RG-IPS集成了应用层感知能力，通过研究解决安全事件在攻击对顾客网络造成影响之前就有效的识别了并阻断网络层和应用层攻击，最小化攻击所带来的损失。通过布署RG-IPS，某些未被授权的应用程序如P2P应用或IM即时通讯软件更容易被网络识别并被强制执行既定的规则，从而让既定的顾客规则得到较好的实施确保。通过集中的基于规则的管理机制，RG-IPS提供更为精细粒度的访问控制，这样为审计网络行为提供了更精确的数据。显然，RG-IPS是保护顾客核心资源的强有力武器。产品特性RG-IPS集成特性匹配、合同分析和流量分析的功效，含有业内最完备的特性代码库，提供特性代码自定义和报告机制，有效的对网络攻击实施阻断达成防护的目的。1、基于特性分析的检测RG-IPS集成了超出条通过认真检测与时间考验的攻击特性，特性匹配技术根据攻击的特性模式对网络数据包进行匹配。它通过识别多个攻击的特性值并按照规范写成检测规则，在合同交互的特定阶段，对接受到的数据包的内容逐个进行规则匹配分析，如果对内容的搜索能够匹配上一条或多条规则，则认为是发生了一次攻击。RG-IPS系统支持多个高效的模式匹配算法，并且通过专有的算法实现这些匹配，能够高效地检测已知特性的病毒、蠕虫、木马等攻击。2、基于合同异常分析的检测基于合同异常分析的检测，重要是针对网络合同本身，以及各个应用系统在实现上的缺点而提出来的，RG-IPS进一步分析了靠近100种的应用层合同，涉及HTTP、FTP、SMTP以及木马、后门、P2P应用、IM即时消息系统、网络在线游戏等等常见应用，极大地提高检测的精确性，减少误报率。RG-IPS含有强有力的合同异常分析引擎，对检测未知的溢出攻击与回绝服务攻击，达成靠近100%的检测精确率和几乎为零的误报率。3、基于流量异常的检测抵抗DoS攻击流量异常分析的检测是基于网络流量分类统计的办法对被保护的网络流量进行检测，超出正常流量阈值的数据流将被认为是非法流量，RG-IPS能够精确检测SYNFlood、ICMPFlood、ConnectionFlood、NullStreamFlood等多个回绝服务攻击并能够进行有效的防御保护。另外，RG-IPS能够与网络安全交换机实现联动，主动发现危险所在的精确位置，并对其进行隔离，达成立刻识别并补救恶意威胁，在入口处布署时可保护内部网络，抵抗可能发生的网络攻击。在管理方面，RG-IPS灵活、易用的图形化安全管理工具，提供种类繁多的可视化安全报告，可发明基于任意安全事件的客户化报告。技术参数性能表RG-IPS1000性能吞吐量2G并发会话数1,500,000sessions每秒新建会话20,000sessions/sec硬件参数RG-IPS1000CPUPentiumXeon2.4Ghz内存1GBHD40G网络接口10/100BASE-T(FastEthernet)01000BASE-T(GigaEthernet)21000BASE-SX(OpticalEthernet)2CONSOLE-DB91外观批示灯Power,Status尺寸415ⅹ502ⅹ88重量10．1Kg供电510W工作环境温度5~45湿度20~80%5.8出口路由器设备选型阐明根据我院校园网建设的实际状况，需要在东西校区网络出口各布署一台高性能路由器，为了满足实际网络的需要和将来的升级扩展，该路由器规定：高性能、提供强大的路由功效、提供硬件的NAT功效等。我们采用锐捷高端多业务路由器RSR-08E，该设备具体特点以下：RSR-08E提供丰富的IP/MPLS特性及卓越的性能，是在中型POP点提供安全可靠的网络业务的抱负产品，能够用作公司总部、公司骨干、高性能园区边界路由器。RSR-08E路由器拥有三个独特的硬件模块,专门用于控制层面、转发层面和业务层面。转发及服务层面涉及可编程的ASIC，控制层面涉及一种专用解决器,该解决器运行着模块化、安全、高可用的RGNOS系统。这种架构可确保在高转发性能的前提下提供丰富的数据包解决性能，同时能提供运行商级别的安全性、可用性及稳定性。锐捷RSR-08E采用全冗余硬件架构，且含有自动故障切换及联机软件升级（ISSU）等特性。RSR-08E支持硬件加速的NAT、MPLS、QoS、组播、状态防火墙及大型过滤表等丰富特性，是构建安全可信新网络的基石。RSR-08E路由器重要应用在电信运行商以及政府、金融、教育、电力、公司顾客市场的网络建设。产品特性一、新型业务模式全方面的VPN业务可满足最多的客户需求,最大程度提高供应商收入；同时运行第2层虚拟电路、第2层VPN、第2.5层互通VPN、第3层2547VPN、VPLS、IPSec、IPoverIP和GRE等；扩展性高,可支持成千上万的VPN；含有低延迟、低抖动性能的高精度QoS,可支持话音、视频及其它实时应用；按DLCI、VP、VC、VLAN、信道(DS0)和端口QoS；分类、速率限制、整形、加权循环调度、严格优先级调度、加权随机早期检测、随机早期检测和数据包标记；第2层(802.1p、CLP、DE)映射到第3层QoS(IPDSCP、MPLSEXP)；基于硬件的IPv6性能、MPLSIPv6、IPv6overIPv4GRE隧道、IPv6/IPv4双栈；强大的组播支持涉及IGMPv1/v2/v3、PIM-SM、PIM-DM、MLD、SSM、RP、MSDP、BSR以及MPLS/BGPVPN中的组播,以高效运用资源、传输高价值内容；基于网络的安全业务涉及NAT和状态防火墙、以及按VRF的NAT和状态防火墙；用于汇聚链路的MLPPP、MLFR.15和MLFR.16,802.3ad；运用Flow记帐、源级使用以及目的级使用特性,可按应用和CoS资源使用灵活计费,以及基于距离的计费；通过合作伙伴关系实现多厂商网络管理解决方案；基于XML的ScriptAPI便于第三方和内部OSS开发。二、广泛地提供业务特性丰富的RGNOS软件在平台上运行,确保一致的业务,并使供应商可独立于连接或服务地区密度向全部顾客推出全部业务；可通过任何接入技术,涉及ATM、FR、以太网和TDM连接；速度范畴可从DS0到OC-192/STM-64；减少运行成本；可无缝迁移到更大的平台,以适应网络的增加。三、低投入高产出的基础设施业务构建可完全隔离控制层面、转发层面和业务层面,可在单一平台支持多个业务；在尽量减少资本开支和运行开支的同时,最大程度提高收入；将以前由NAT、状态型防火墙、IPSec和QoS等不同设备执行的功效整合到锐捷RSR-04E平台中；在单一平