校园网方案（DEMO）

1、第一章 网络系统体系升级改造方案一、 需求分析1. 太京中学现有校园网络系统状况： 原有网络环境已不能满足当前学校各项业务的需求。 部分网络硬件设备与现在相比较略显落后。2. 新的需求： 提升网络运行速度 更换部分网络设备 新增部分网络点位的布线工程。3. 实现需求涉及的产品： 网络中心路由设备 网络中心核心交换设备 汇聚层交换设备 网络安全产品-网络杀毒软件。二、 方案设计依据和原则1. 设计原则太京中学校园网是校园投资的一项重要的网络系统工程，其设计是否合理，对XX中学信息网络未来的发展和产生的效益起着重要的作用。太京中学校园网改造的确定，不仅要考虑到近期目标，还要为系统的进一步发展和扩充

2、留有余地。设计中需要考虑各阶段的情况，适应长远发展，进行统一规划和设计。太京中学校园网改造的总体设计原则如下：1） 开放原则l 采用开放标准；l 采用开放技术；l 采用开放结构；l 采用开放系统组件；l 采用开放用户接口。2） 实用原则l 实用有效是最主要的设计目标，设计结果能满足需求并且行之有效。3） 可靠原则l 设计结果稳定可靠，具有高MTBF（平均无故障时间）和低MTBR（平均无故障率），提供容错设计，支持故障检测和恢复，可管理性强。4） 安全原则l 安全措施有效可信，能够在多个层次上实现安全控制。5） 经济性l 性能指标高，软硬件性能充分发挥。6） 灵活原则l 系统配置灵活，备用和可选

3、方案多，能够适应应用和技术发展需要。7） 可扩展性l 能够在规模和性能两个方向上进行扩展，扩展后的性能有大幅度提高。2. 网络设备平台结构信息网网络在结构上分为三层，即：核心层、汇聚层、接入层。在实施过程中，通常应将把核心层放在网络中心，在大型信息网中，核心层应该由两台三层交换机构成核心冗余结构，同时大量的网管工作也是在这里完成；为了保证网络具有高效的系统服务，服务器群（Server Farm）经常被直接联到中心交换机上；另外，VLAN的数据交换也在此层进行。汇聚层的物理位置常常位于配线间，他们起着上传下达的任务，一般是由高密度口可网管交换机构成。接入层，顾名思义它们直接与终端设备相连，上行连

4、接汇聚层，在全交换网中，这部分网络设备也采用交换机。当然，在实际实施中，会有一定的灵活性。3. 网络系统体系结构网络系统的体系结构包括功能的分层及各层功能通信所遵守的协议。网络系统的体系结构也称为“层次与协议的集合”。网络系统设计的第一步就是选择网络体系结构，核心内容是决策应当采用的协议集合。选择目前应用范围最为广泛，并且是事实上的Internet/Intranet标准的通信协议族TCP/IP，作为架构整个网络体系结构的核心协议。同时，为了保护用户现有的软件投资，使新的网络系统兼容原有的系统，也可使用IPX/SPX等协议。为了支持远程访问功能，还使用了异步通信协议PPP。下图为拟选用的整个网络

5、体系结构：4. 系统逻辑设计根据需求分析，我们总结太京中学校园网具有以下特点：1） 网络系统分布在太京中学校园及所辖范围内，系统规模中等；2） 采用原布线系统作为网络的线路基础；3） 信息流动以内部为主，对网络吞吐能力要求较高；4） 应用系统采用集中配置、集中管理的模式；5） 流量具有中心汇集的特点；6） 有对外互连的要求，将与cernet和Internet网互连；7） 提供安全控制措施。综上所述，我们定义太京中学校园网为园区级网络，拓扑结构为星型拓扑网络。针对这种结构，做出如下设计：1） 主干网汇接基层网段；2） 主干网不直接接入用户网络；3） 在网络中心进行集中控制和管理；4） 桌面机连接

6、到基层网段上，服务器、工作站连接到高层网络；5） 部署网络杀毒软件，防止来自内部或外部的恶意攻击；6） 在完善的网络基础之上，提供基本的Internet服务。5. 系统物理设计太京中学校园网网络系统的软硬件平台是整个系统的物理基础，因而是物理设计的主要内容。设备选型是物理设计中的关键问题。在太京中学校园网项目中根据以下标准选择厂商：1） 设备性能价格比设备的性能价格比是选型决策的重要考虑因素。2） 售后服务售后服务包括如下内容：u 设备的保修期；u 是否在中国有备件库，这样一旦发生硬件故障时可以及时得到更换；u 是否提供ONLINE服务，以便与原制造厂商及时取得联系，获得技术咨询和支持；u 故

7、障报告的响应时间。3） 公司的经济、技术实力和市场占有率，这在一定程度反映其产品的信誉度。4） 设备的技术先进性，这是选型的首要考虑因素。5） 设备对未来新技术的适应能力，反映设备的可扩展性，这是保护用户投资的一种策略。6） 设备的技术性能指标。7） 设备使用的方便程度，这体现设备的可维护性。8） 设备在大型网络中的应用情况，它反映设备的适应性和可靠性。9） 网络管理系统的集成性、开放性和功能，它反映网络管理系统是否能对网络作全面深入的管理，以及它对异构网络的适应能力。10） 设备的标准化程度和可扩充性，反映对网络规模扩展的适应能力。11） 是否对教育系统有长期稳定的优惠政策。12） 差错的检

8、测与隔离能力，这是网络可靠性的重要保证。13） 手册与培训，反映用户能否较快地掌握设备的使用。第二章 网络平台设计一、 网络设备选型本方案根据太京中学的基本情况，网络设备设计以H3C S5100-EI系列以太网交换机为核心。1. H3C S5024E系列以太网交换机主要特点H3C S5024E以太网交换机是H3C公司自主开发的支持Web管理的二层线速以太网交换产品，是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S5024P提供24个千兆以太网端口、4个千兆SFP端口（与后4个千兆以太网端口复用）以及一个Console端口。该交换机可以通过console口、telnet以及web方

9、式登录进行配置，支持VLAN划分、端口双向镜像、端口+MAC地址绑定和端口聚合等功能。图1 H3C S5024P产品外观示意图 符合IEEE802.3、IEEE802.3u、IEEE802.3ab/z和IEEE802.3x标准 支持端口流量控制，符合IEEE 802.3x 提供24个10/100/1000M自适应以太网端口，支持端口自动翻转（Auto MDI/MDIX）、4个1000M SFP端口（与最后4个1000M电口复用）及1个Console口 最多支持255个符合IEEE 802.1q标准的VLAN，VLAN ID 14094可配；最多支持24个基于端口的VLAN 端口汇聚：支持整机最

10、多4组，每组最多24个端口 支持基于端口的带宽控制，最小粒度为25Mbps 支持IEEE 802.1p优先级、IP优先级和DSCP优先级，支持SP队列调度，支持每端口2个优先级队列； 支持广播风暴抑制 支持端口镜像功能 支持端口绑定 支持端口收发报文统计 支持MAC地址老化时间设置 提供命令行接口管理和Web管理 支持交换机系统软件的升级 内置通用电源，1U钢壳，19英寸标准机架结构，可上机架。产品规格项目描述概述外形尺寸（长宽高）440mm260mm44mm带挂耳，可机架安装标准IIEEE 802.3 10BASE-T 以太网IEEE 802.3u 100BASE-TX 快速以太网IEEE

11、802.3ab 1000BASE-T千兆以太网IEEE 802.3z 千兆以太网（光纤）ANSI/IEEE 802.3 NWay自动协商IEEE 802.3x 流量控制固定端口24个10/100/1000BASE-T自协商的以太网端口1个Console端口可选端口4个1000Base-SX/LX SFP光口固定端口属性连接器类型：RJ-45支持10/100/1000Mbit/s传输速率支持半双工、全双工、自协商工作模式支持MDI/MDI-X自适应可选端口属性连接器类型：LC支持1000Mbit/s传输速率 全双工网线类型l 双绞线：采用5类双绞线，传输距离100m l 光纤多模：50/125m

12、多模光纤，配有LC插头，传输距离550m单模短距：9/125m单模光纤，配有LC插头，传输距离10km单模中距：9/125m单模光纤，配有LC插头，传输距离40km单模长距：9/125m单模光纤，配有LC插头，传输距离70km指示灯每端口：Link/Act，Speed每设备：Power性能背板带宽48G 转发能力35.71Mpps交换模式存储转发模式MAC地址表支持地址自动学习、自动老化（老化时间为5分钟）最多支持MAC（Media Access Control）地址：8K支持手工配置静态MAC：64项输入电压100V240V AC，50/60Hz功耗45W工作温度040存储温度-1070工作

13、湿度20%85%，非凝露存储湿度10%90%，非凝露散热方式内置风扇散热软件VLAN最多支持255个符合IEEE 802.1q标准的VLAN，VLAN ID在1-4094范围内可配最多支持24个基于端口的VLAN优先级队列（QoS）支持802.1p优先级、IP优先级和DSCP优先级队列数：每端口2个端口汇聚支持整机最多4个汇聚组，每组最多24个端口端口镜像支持基于端口的双向镜像端口带宽控制最小粒度为25Mbps广播风暴抑制所有端口上支持基于带宽百分比的广播风暴抑制配置和管理基于Web的管理支持命令行配置支持通过Telnet登录进行配置维护支持调试信息的输出、统计支持Ping维护诊断工具支持通过

14、Telnet进行远程维护2. H3C S3100千兆以太网交换机的特点H3C S3100系列千兆以太网交换机是H3C公司秉承IToIP理念设计的二层线速智能型可网管以太网交换机产品，具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QoS控制策略等特点，满足企业用户多业务融合、高安全、可扩展、易管理的建网需求，适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。1） 千兆上行、线速交换H3C S3100系列千兆交换机具有19.2Gbps的总线带宽，为所有端口提供二层线速交换能力，同时支持千兆上行，满足当前多业务融合对高带宽的需求。2） 完备的安全控制策略H3C S3100系列千兆交

15、换机支持802.1x认证，在用户接入网络时完成必要的身份认证，支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能，保证接入用户的合法性。 支持跨交换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到核心交换机（例如S9500/7500）上，在核心上启动网流分析（Netstream）功能，对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。3） QoS能力H3C S3100系列千兆交换机支持每个端口4个输出队列，支持2种队列调度算法：WRR调度算法和HQ+WRR调度算法，可以以不同的优先级将报文放入端口的输出队列。支持端口双向限速，限速的控制粒度最小可达64 Kbps。

16、满足用户多业务识别、分类、资源调度的需要。4） 简单易用的管理和维护H3C S3100系列千兆交换机采用无风扇静音设计，特别适合在楼道和办公室使用。支持VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点。支持堆叠功能，通过增加设备来扩展端口数量和交换能力，多台设备之间的互相备份增强了设备的可靠性，从而保证了网络的平滑升级并能降低扩建成本；同时对多台设备统一管理，降低了管理成本。通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统和故障诊断，实现了设备的集中管理和维护 。支持SNMP，可支持HP OpenView等通用网管平台，以及H3C iMC网管系

17、统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。5） H3C S3100系列交换机业务特性项目S3100-SIVLAN最多支持4K个符合IEEE 802.1Q标准的VLAN广播风暴抑制支持基于端口带宽百分比的广播风暴抑制组播IGMPv1/v2/v3 Snooping生成树协议支持STP/RSTP/MSTP 端口汇聚支持多个端口汇聚组；FE汇聚组最多支持8个端口，GE汇聚组最多支持2个端口端口镜像支持多对一的端口镜像 支持RSPAN（远程交换端口分析）端口隔离支持端口环回检测支持MAC地址表最多支持8K个MAC地址流控支持IEEE 802.3x流控（全双工）堆

18、叠除S3100-8C-SI, S3100-8TP-SI均支持堆叠加载与升级支持XModem协议实现加载升级 支持FTP、TFTP加载升级管理支持命令行接口（CLI），Telnet，Console口配置 支持SNMP支持iMC网管系统支持WEB网管支持系统日志维护支持PING、Traceroute， Multicast Traceroute 支持Telnet远程维护支持VCT（Virtual Cable Test）电缆检测功能QoS每个端口支持4个输出队列 支持802.1p优先级、DSCP优先级、ip-precedence优先级支持WRR、HQ+WRR队列调度算法支持端口发送和接收方向的双向端口

19、限速安全特性用户分级管理和口令保护 支持端口安全，支持端口MAC绑定支持Guest VLAN支持IEEE 802.1X认证支持集中MAC地址认证支持SSH2.0DHCP支持DHCP Client，DHCP SnoopingNTP支持集群管理支持NDP（邻居发现协议） 支持NTDP（网络拓扑发现协议）3. ER5200路由器的特点ER5200是H3C公司为中小企业、网吧、学校等机构量身定制的一款高性能千兆路由器，它采用专业的64位双核网络处理器，主频高达500MHz，同时提供丰富的软件特性，如IPMAC地址绑定，ARP防攻击，流量限速，链接数限制，弹性带宽等功能。它是H3C公司宽带路由器中的中高

20、端产品，是企业和网吧用户的理想选择。1） 产品特点性能卓越：业内领先的双核500MHz CPU；533M主频的DDR II内存千兆接口：1 WAN+3个LAN(千兆)，端口镜像安全无忧：防ARP病毒，防DoS攻击防P2P软件：流量查看、控制与NAT连接控制典型带机量：250-350台2） 高配置：最为豪华的配置，带来最佳的上网体验高速CPU：采用64位双核网络处理器，主频高达500MHz，处理能力相当于1GHz的专业网络处理器，典型的带机量为250-350台。强大内存：选用64M的DDR II高速RAM进行高速转发，主频更是达到533M，能保证网吧中游戏数据的快速处理。千兆接口：具有3个千兆L

21、AN接口，可以与核心交换机进行千兆互联，消除宽带瓶颈，大幅提高网速。3） 高安全：抵挡网络病毒、攻击，打造安全网吧防ARP病毒：内置“ARP攻击主动防御”功能，一方面通过IPMAC地址绑定功能，固定了网关的ARP列表，同时定时发送免费ARP的机制，可以有效地避免局域网PC中毒后引发的ARP攻击。防内外网攻击：针对目前网吧常见的DoS攻击，开发了相应的防攻击功能，包括短包、碎片包、TearDrop、Ping of Death、Land攻击、TCP空连接攻击、Syn Flood攻击、TCP/UDP/端口过滤等等，保证网吧不受竞争对手和黑客的攻击。防网络病毒：内置高级防火墙功能，可以对数据包进行双向

22、过滤，同时支持状态防火墙，可以有效防止Nimda、冲击波、木马等病毒的发作。4） 高可用：全中文WEB配置，操作随心所欲更新换代无烦恼：支持WAN、LAN口的MAC地址修改，当换下老设备的时候，不需要更改以前网络的设置；支持最新软件的WEB升级和升级失败之后的恢复，让升级成为一件很轻松，没有任何风险的工作。P2P尽在掌握之中：BT，迅雷等P2P软件对网络带宽的过度占用会影响到网内其他用户的正常业务，ER5100通过基于IP或基于NAT表项的网络流量限速机制可以有效地控制P2P软件对网络带宽的过度占用，弹性带宽保证了闲时对带宽的充分利用。轻松搭建服务器：支持DDNS，能够与www.3322.or

23、g（希网）、花生壳等第三方域名服务商联动，能协助中小企业在无固定IP地址(ADSL拨号)时也能架自己的WEB或者其他服务器。5） 产品规格项目S5100-24P-EI外形尺寸（长宽高）（单位：mm）44026043.6管理端口1个Console口业务端口描述24个10/100/1000 Base-T以太网端口，4个复用的1000Base-X SFP千兆以太网端口交换容量（全双工）48Gbps包转发率（整机）35.7Mpps端口聚合支持LACP 支持手工聚合支持最大聚合组：端口数/2，每个聚合组支持最大8GE/4*10GE端口流控支持端口流控VLAN支持基于端口的VLAN（4K个）支持VLAN

24、VPN（QinQ）支持协议VLAN支持Voice VLAN支持GVRPDHCP支持DHCP Client支持DHCP Snooping支持 DHCP Snooping Option82三层路由支持三层静态路由组播支持IGMP Snoopingv1/v2/v3支持组播VLAN支持未知组播丢弃广播风暴抑制支持基于端口的广播风暴控制二层环网协议支持STP/RSTP/MSTP协议支持Smart Link堆叠支持16台设备堆叠QoS/ACL支持ACL支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等ACL支持基于时间段的ACL支持基于全局、VLAN

25、、端口（组）下发ACL支持QoS支持IEEE 802.1p/DSCP优先级支持优先级映射支持优先级标记支持流量统计支持端口信任模式每端口支持8个队列支持方式为SP/SDWRR/SP+SDWRR的队列调度支持端口和队列的流量整形支持基于流的重定向镜像支持流镜像支持基于VLAN的镜像支持基于MAC地址的镜像支持N:1端口镜像支持远程端口镜像安全特性支持用户分级管理和口令保护支持RADIUS认证支持SSH 2.0支持端口隔离支持端口安全支持802.1X，集中式MAC地址认证支持Guest VLAN支持MAC地址学习数目限制支持IP源地址保护支持ARP 入侵检测功能支持IP+MAC+端口的绑定支持EA

26、D管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持SNMPv1/v2/v3，WEB网管支持RMON告警、事件、历史记录支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持Modem远端拨号支持NTP支持电源的状态检测，告警功能，风扇报警支持Ping、Tracert支持Telnet远程维护支持VCT（Virtual Cable Test）电缆检测功能支持DLDP（Device Link Detection Protocol）单向链路检测协议支持Loopback-detection 端口环回检测支持I

27、Pv6 host功能族，实现IPv6管理输入电压S5100-EI系列以太网交换机支持交流电源输入和直流电源输入（S5100-16P-EI除外）：AC：额定电压范围：100V240V ；50/60Hz最大电压范围：90V264V ；47/63HzDC：额定电压范围：-48V-60V最大电压范围：-36V-72V功耗（满负荷时）46W工作环境温度045工作环境相对湿度（非凝露）10%90%二、 网络实现设计1. 网络拓扑实现根据综合布线系统链路设计，我们采用如下网络实现：2. 网络实现 以光纤链路为主，形成太京中学校园骨干网。 网络服务器群直接连接骨干交换机，通过独享带宽实现高速的网络服务 全网新增交换机均支持VLAN技术，可以灵活的采用端口、MAC地址、IP地址进行VLAN划分 网络内部IP地址可采用静态和动态相结合的方法进行管理，内部地址建议采用互联网预留地址 信息网内部对外部网络的访问通过代理服务器，便于根据用户登录信息开发灵活有效的记费管理系统 采用神州数码局域网