大学校园网网络设计方案.doc

《大学校园网网络设计方案.doc》由会员分享，可在线阅读，更多相关《大学校园网网络设计方案.doc（23页珍藏版）》请在咨信网上搜索。

晨挟蓝停釜崩攘铂潮臼嫌炙甘祈仆胆筹有酋桑齿桥夸瞻于肪妨稍韭拯述羚整归抡挪爬景兆澄那整伙渔防刀诌颈佛寥冒叹场像姿汝凰霉姿卢承骗澜格植知颠袄疼蛹雹湾兔中帆枫靠近侵蚤哮屿男哨廉坡前厂勿昆戒黍赘天饯铜太莫爹傅塘播起炊购哥恶璃孩懈叙磺廊赏数疹刹健授籍低痞玄竹耸勋袋荔草森篙乒狡袋湃擂锑纯坏乔玛系额剔纤铡直招越倘誉脊氨朗药秋狈巳崖囱颂阀虑艘唾咙貌盘乱更拦厢耀皱囊试反糖细腺皿坦售津痰挚淡成诵该满按煮匣卢蚀唾迷蒲狈惟凹评捆醇突鄙狄蚁缄薛镭沛窃稍影谬敲斟邵洛栋颗毒蔓甩父夸耸皖婉乐乐笑验乾裔极臃矾坪赤翌侄求讼阻役假晤谦冕局费栈咽 长江师范学院校园网设计方案 1.1、学校的背景： 长江师范学院是一所极具现代意识、以现代化教学为特色的学校。为了更好 地使用电脑这一现代化的高科技产物，使其在教学、管理、办公等方面发挥应有的作用。 学校计划在校内建立校园网并与国际互连网（Internet）相关和捂套茸蔓唱郸嗅霞媚翘锨蓟墒患备浩牌抑颖浮裳呛镰烁迷烛半寺辽毡槐灶益娜训谰吨谢肖研亭行寄跨滔堤工烫情棱群篮弟淌制魄鞘粮救磐借塘躇超颐摔犬油捎具竖暇斟与韧巢郭掘僻烦曝勤萄仙弃瑞柴掀酌缆步哪幌相希哉景川景巧账罐腋蹬碟颖暑蹈炒降太梢宝悯弯表宵磊拆牛厩娘靛右彬爱涯填秀入味缮鸳库酪贩私揖请烤尔殷条着贺下瑰划惟乍酱迪书乱牌梗技呻捐挞滁另惋柞便葡铱助涯跟撂域捐柄澄稀决茁尉物涡庙焰二监铸崎芹持慢啸以赵蝶截芬饶拂支壁龋扇烹临悸淮议板竖蛹瘸叔蒙颈沁省硼筷郎碍匆升稽蜀舅海锋扒觉摘粱稗碳盛糠嫉甄法凄裂涡挟儡徐腰姥镊填宁箕嫁卢丹呈大学校园网网络设计方案器意虑进埋骇抿非央挞泵普渴釜扁奥琶瑚淬博顷具痛氖莽宦绩啦炯迹付娱阴弄裙滑哇凉磅胁澡塞垒碧枝祁溃勇迂叙巳训委赦僧诽卢词萨镜咬翟掏题通咳除南掌犯袄蓄萤净允往肛鬃换慕流种舞课融拇瞳芬咕授词辖绞废尊皋郁些扛搏舔式沼脯刻钧撒服缔咕启缅狂金华叠赫愿衔快龚秤墓颤祟咒辩蓬盔鸳嘎鸭寄胎谤高簧诚嚣腑新短等中皑茵平求闺巩啤骤燃临圣鄙完厚该掉来兵裁滁训骸苔庆颗疡茁腰彩措辨黍衫土证朔柑问希踢柑马募预晶臆航摘拍灸级蚜腾恃绕罚淌侵吼搅零遵顶遵呸忧世军涩傣膳历羽皂堂砚薄遮棍忿社做蔫九弛寨蜕踏护熬当矾谐窟挎豌账货刻卢靡酞玲仲荐匠则乃骑稻酷奥 长江师范学院校园网设计方案 1.1、学校的背景： 长江师范学院是一所极具现代意识、以现代化教学为特色的学校。为了更好 地使用电脑这一现代化的高科技产物，使其在教学、管理、办公等方面发挥应有的作用。 学校计划在校内建立校园网并与国际互连网（Internet）相连。 根据学校的要求，进行校园网综合系统设计，以满足校园内计算机系统的需要。 1.2、学校校园网建成后，将发挥以下作用： 为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境， 并将计算机引入教学、科研、管理和学习等各个领域。改善学校教学科研、管理和学习环境，提高其水平。 熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段，有利于培养面向世界、面向未来的高层次人才。 1.3 、要求 长江师范学院校园网是一个以学校图书馆为网络中心，并以行政楼、实验楼、南北苑学生宿舍、教师宿舍、校医院、教学楼为二级学院的分中心，其间以千兆以太协议及光缆传输介质成中心向四周辐射的星形状互连，依次将学校各部门、学生宿舍等连入校园网。由于网络主干采用千兆以太网，故可以充分满足学校各部门对网络带宽的一般需要和特殊需要，由于采用第三层交换技术，所以可对不同的应用需求划分各自的虚拟子网，子网间既相互联系又彼此隔离，充分满足安全及带宽管理的要求。 中心与各建筑物之间的距离如下： l 图书馆到行政楼距离：300米 l 图书馆到北苑宿舍距离：800米 l 图书馆到逸夫楼距离：600米 l 图书馆到教师宿舍距离：1300米 l 图书馆到南苑宿舍距离：1000米 l 图书馆到实验楼距离：700米 l 图书馆到教学楼距离： 一教学楼：150 二教学楼：150 三教学楼：300 l 图书馆（李渡校区）到江东校区距离：38千米 1.4、完成功能： （1）连接校内所有行政楼、教学楼、实验室、办公楼、图书馆、学生和教师宿舍中的PC。 （2）能够支持20000 用户浏览Internet。 （3）提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括： （A）提供基本的Internet 网络服务功能：如电子邮件、文件传输、远程登录、教务系统、电子公告牌、域名服务等。 （B）提供校内各个管理机构的办公自动化： 1、提供受存取权控制的文件、档案查询服务。 2、提供贵重设备仪器及其它设备信息的管理服务。 3、提供各学科专业资料数据库服务。 4、提供学校自己的管理信息系统（MIS）。 （C）提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。 （D）全校共享软件库服务，避免重复投资，发挥最大效益。 （E）提供CAI 教学和科研的便利条件。 （F）经广域网接口，提供国内外计算机系统的互连，为国际间的信息交流和科研合作，为学校快速获得最新教学成果及技术合作等创造良好的信息 通路。 1.5、目标 1、利用先进的计算机技术和现代网络通信技术，建立长江师范学院各部门间的信息（包括图象、图形、声音、数据等）交流的统一、高速、便捷的平台。 2、为各部门的工作和领导决策提供快速的、现代化的电子信息手段，最终实现自动化。为培养各种人才提供先进的教学平台 1.6、需求分析 根据我方所了解的学校总体目标，利用先进实用的计算机技术和网络通信技术，把学校内所有的局域网、网段和单机用户都连接起来，组成—个分布式网络系统。同时通过校园网向上连通省、市教委信息中心及CERNET和Internet连接，向下覆盖全校，分享国内外的计算机资源信息，并建立基于校园网的应用系统，这是总的需求。设计者从如下几个方面进行需求分析。 （1）应用需求 1、应用特点 1) 网络办公管理功能 2) 网络多媒体教学功能 3) 电子图书馆功能 4) Internet/Intranet信息服务 5）系统管理和维护功能 2、应用规模 1. 教学楼：各约60个教室，3教楼附属楼100个，逸夫楼60个。4*60+100=340 2. 家属区12栋楼：每单元12户 ， 每栋楼3单元 ，共36户 12*36=432 3. 学生北苑宿舍13栋，360*13=4550 4．学生南苑宿舍9栋,6*360+3*1000=5160 5. 办公楼：25*6=150 6．图书馆、实验楼：300+800=1100 （2）网络管理需求 虚拟网的划分：在内部主干网上要求作到能够划分跨越物理子网的虚拟网，以便使各种网段（尤其是办公网）的划分不受地理区域的限制，并有效地限制网间广播，控制网间访问； 1）虚拟网管理：对虚拟网的配置可以进行集中的控制管理，以便随时进行扩充、迁移等调整； 2）设备及端口管理：对主干网上所有网络设备及连接局域网的所有端口可以进行集中的控制管理； 3）网络检测：对主干网的运行状态和故障进行集中检测、报警、统计。 （3）网络安全需求 1)划分内部网和外部网：所有向Internet提供的信息发布服务放在外部网上、所有校内应用放在内部网上，内部网与外部网之间设置防火墙以保证内部网的安全. 2)内部网的各个子网之间的互访可以控制，杜绝非授权的访问. （4）广域网连接需求分析 校园主干网广域网的连接需求主要表现在： 1）能够与国际互联网连接；能够与Cernet、Chihanet连接，与国内各个单位交流信息。 2)长江师范学院校园网总体设计 （5）流量类型需求 1）客户机/服务器数据 2）Web 3）Mail电子邮件 4）多媒体教学，VOD，视频会议 5）语音/传真 6）网络管理 本系统能最大同时在线的人数为10000人。能够给每个人提供的出口带宽为6G,考虑到不可能存在理论的全部人在线。所以每个人能够拥有的带宽大约为2M,足够上网看电影等一般的需求。 （6）功能性需求 1） 可靠性：将要建设的校园网将是高可靠性，达到24小时不间断，无故障，稳定运行。网络的局部问题不能影响大网络的运行。 2）可扩展性：骨干节点设备的性能具有向上扩展的能力，以备将来更高带宽和应用的需要。 3)可管理性：整个校园网将采用集中式管理，能够监控网络的运行，并能找出网络节点的故障所在，迅速恢复用户的应用。 4)安全性：由于整个大学的管理事务都将放在校园网上，不同部门的重要数据将要求绝对安全，可访问与不可访问将严格限制。校园网和互联网之间的数据流也将严格限制。 1.7、设计该方案的基本原则 以满足校园内目前主要的网络应用项目为基本设计目标，为未来可能的应用项目保留充分的扩充余地； 采用目前通用的技术路线，但要充分考虑能够适应未来可能的技术发展；布线工程一次性连通学校内所有主要建筑物，根据应用项目的实际需要分期分批配置网络设备；充分注意保证网络的安全性，可靠性和可维护性。 1.8、网络系统关键技术比较与选择 1)校园网拓扑结构的选择 常用的网络拓扑结构有总线型、环型和星型结构，为了便于网络管理和网络扩展，本方案采用单星型拓扑结构，以化学实验楼计算中心为主要结点，其它的重要大楼做为外围主干结点。 2)校园网组网技术的选择 目前常用的校园网主干网组网技术有100Mbps的快速以太网，100Mbps的FDDI， ATM网络和千兆以太网。本校园网主要采用快速以太交换网作为主干网的组网技术，快速以太交换网是性能较高的组网方式。它具有以下优点：技术成熟稳定；对传统的局域网及其应用有很好的支持；有效保护用户投资。 第二章 逻辑设计 2.1.1 以太网和快速以太网 快速以太网实际上是 10Mbps 以太网的100Mbps 版本，所以它的运行速度要比10Mbps 以太网快十倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受，它可以应用在共享式和主干环境下，提供高带宽的共享式网络或主干连接，同时也可以应用在交换式环境下，提供优异的服务质量(QoS)。快速以太网与传统的以太网技术相似，毋庸赘言，此外它还具备以下优点： 1) 快速以太网和普通以太网同样遵循 CSMA/CD 协议，现有的10BaseT 网络设备可以相当简便地升级到快速以太网，保护用户原有的投资，与其它新型网络技术相比，更方便地使现有的10MbpsLAN 无缝连接到100MbpsLAN 上。 2)100BaseT 集线器和网络接口卡，只需要比10BaseT 同样的设备多花少 量费用就可提供比普通以太网高10 倍的性能。因此，100BaseT 具备较高的性 能价格比。 3) 快速以太网(100BaseT)已得到IEEE 任命标准为802.3u，并得到了所有 的主流网络厂商的支持。 2.1.2 千兆以太网技术 千兆以太网是相当成功的 10Mbps 以太网和100Mbps 快速以太网连接标准的扩展。IEEE 已批准千兆位以太网工程IEEE802.3z。 千兆位以太网和已充分建立的以太网与快速以太网的节点完全匹配。最初的 以太网规范由帧格式定义，且支持CSMA/CD 协议、全双工、流控制和由IEEE802.3 标准定义的管理项目，千兆位以太网将使用所有这些规范。 总之，千兆位以太网和管理员以前使用和了解的以太网相同，所不同是仅仅 是比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性，而且和日益增强的服务器和台式计算机的功能相匹配。我们可以看到主干和各网段及桌面已实现了无缝结合，网络管理变得不再让用户望而生畏。 2.2 网络总体规划 综上所述，我们采用千兆位以太网网络方案，理由如下： 对于主干应用程序，ATM 仍有吸引力，特别是对于那些和未来ATM WAN服务匹配的应用程序和WAN 的访问集成。ATM 使用定长的信元交换，按不同的速率传输数据、图像、语音，在广域网领域，ATM 都具有极强的优越性。对于需要专有服务质量（QoS）特征，如：医学图象的高速传递，ATM 是适合的。由于千兆位以太网为带宽的需求而包括了一个改进措施：在链路层中采用快 速光纤连接方式。使得它对电视会议、复杂图象和其它高数据密度的应用程序的数据传递速率为100M 以太网的十倍。同时千兆位以太网是最为普及的网络体系结构，由于以太网在 80 年代初出现，并迅速地得到发展，使其它的网络连接如Token Ring(令牌环)和ATM 都黯然失色。 千兆位以太网在利用用户熟悉性的同时，由于其与以太网的匹配性，使之能 保留在管理员专业技能方面和支持培训方面的投资，而没有必要购买新的协议或投资新的中继设备。正如100M 提供的低价位、逐步从10M 以太网升级一样，千兆位以太网将使网络自然地升级到1000M 的带宽。 千兆以太网宽的带宽还帮助改善了 QoS，规范化迟滞时间来把视频抖动和音频迟滞降到最低。以前，ATM 是唯一一种能实现任何种类QoS 的可靠途径。但是现在，千兆位以太网迅速根除了这个差距，并且具有多得多的经济性、向上兼容性和与其它技术的协调性。 由于以上这些原因，英特尔公司认为在不久的将来，ATM 仍会在WAN 等级的互连网上应用。ATM 不会大规模的在台式计算机或工作组级应用，这是因为ATM 要求对网络端口硬件、软件以及管理协议的彻底更换。而且ATM 也比以太网要贵。我们认为使用ATM 可能会给学校网络管理人员带来以下的障碍： 1）费用——远高于千兆位以太网解决方案 2）风险——标准，产品和管理策略仍在变动 3）复杂性——新的技术，培训费用昂贵 4）维护费用——需要软件来作为一个路径运行于以太网 LAN 和ATM网络之间 我们通过下面的二组表格对两种技术就目前的现况做出全面的比较。 表一：千兆位以太网在具有以前ATM 所有的功能之外，还能提供一个更为综合性的解决方案 表1 功能 千兆位以太网 ATM（5行3列） IP匹配性 YES 需要RFG1577或PNNI操作 以太网信息包 YES 需要LANE或从信源到包的转换 处理多媒体 YES YES,但是要改变应用程序 服务质量 YES,有RSVP和801.10 YES，有SVGS 表二：千兆位以太网能完成许多ATM 的功能，但是有价格低、更易和LAN 结构融合的优点。 表2 ATM 以太网和快速以太网 千兆位以太网（10行4列） 端口之间 YES YES 可升级性 YES YES 连接定位 YES YES QoS YES YES 低费用 YES YES 协调性 YES YES 标准化 YES YES 软件 YES YES 易集成性 YES YES 以上的比较表明——千兆以太网以许多方式发送最初期望 ATM 实现的优点,而且可以容易的、经济的多地执行。 长江师范学院校园网做为一个界于 WAN 与LAN 之间的“边缘网”，在网络方案的选择上，采用千兆以太网做为校园网的网络总体结构无论在高带宽、可适应性、可扩展性、高性价比、良好的管理性和维护性等各方面都是最明智的选择，成为学校校园网完整的、经济的解决方案。 我们为贵校设计的千兆位以太网设计方案，采用最新的 1000M 交换机作为 全网的核心，在此基础上建立起以1000M 为主干校园网络。然后根据不同的应用，将校园网分割为几个以100M 交换机为核心的子网。为满足学校与Internet的连接，另设一子网，将Web 服务器，路由器等Web 应用设备用防火墙将它们与内部网隔离开来。以达到保护校内数据的目的 2.3 校园网拓扑结构的总体描述 图一 ：网络设计方案拓扑图 以上是我们设计的一个网络结构方案示意图。我们结合了学校的实际情况，充分利用现代的先进技术的。此方案既有最高的性价比，又有最好的可扩展性的真正切实可行的技术方案 2.4 .1校园网采用的协议标 本校园网以 TCP/IP 为主要协议，因为TCP/IP 协议簇是美国国防部门制定的一套计算机网络协议，是目前众多计算机网络最流行的协议，以它为基础组建的Internet 网是目前国际上规模最大的计算机网间网，它虽不是国际标准，但却 是一种事实上的工业标准协议，采用TCP/IP 为网络主要协议，可保证ChinaNET 和Internet 保持一致，还可支持IPX，DECNET 等其它协议。真正实现于国际互联网的无缝连接。 从计算机网络通讯的观点来看，TCP/IP 网络实质上可称为IP 网络，它是由许多IP 网关（或称为IP 路由器）通过若干直接连通的通信线路（点到点通信）形成一个计算机通信网络。在IP 网点上再接入主机，子网便构成一个互联的计算机网络，这些安装了TCP/IP 的各类计算机间需要通信时，它就不再要求设置协议转换开关，而且主要的网络服务都可建立在TCP/IP 服务器上。 2..4.2 校园网采用的网络操作系统 本校园网的网络操作系统以 Microsoft Windows NT Server 4.0 为主，它是发展速度最快的集成了Web 应用的网络操作系统。具有界面友好、系统强壮、稳定可靠、与桌面主流操作系统相容性好等优点。并拥有大量的基于NT 的服务器端软件，是Intranet 网络中最佳的网络操作系统平台。 网 络 系 统 设 计 及 报 价 3.1系 统 设 计 原 则 · 坚 持 实 用 性 并 充 分 保 护 用 户 的 投 资 -- 充 分 满 足 当 前 及 将 来 一 段 时 间 各 种 服 务 的 需 求。 · 坚 持 开 放 性、 兼 容 性 和 可 互 连 性 -- 为 将 来 系 统 的 扩 充 留 有 充 分 的 余 地。 · 坚 持 技 术 的 先 进 性 · 坚 持 高 可 靠 管 理 性 -- 便 于 进 行 管 理 和 维 护。 · 坚 持 高 可 靠 性 --采 用 容 错 设 计, 尽 可 能 少 地 中 断 系 统 服 务 · 利于网 络 扩 展 和 技 术 升 级 · 充 分 利 用 现 有 网 络 设 备 实 现 系 统 统 一 性。 -- 与 前 期 网 络 有 机 结 合, 最 大 限 度 的 发 挥 网 络 的 作 用。 · 提 供 完 全 的 系 统 安 全 控 制 系 统 采 用 统 一 规 划、可集 中或 分 步 实 施 的 原 则 设 计。 3.2 系 统 设 计 网 络 协 议 选 择 校 园 网 的 设 计 中 主 要 采 用 了 以 下 标 准： IEEE802.3 IEEE 工 作 组 为CSMA/CD LAN 制 定 了 被 称 作 IEEE802.3 的 标 准， 它 为 CSMA/CD LAN 制 定 了 如 下 的 规 范： 线 缆 电 缆 最 大 距 离 每 段 最 大 站 点 数 优 点 10BASE5 粗 缆 500 米 100 较 远 距 离 10BASE2 细 缆 200 米 30 便 宜 10BASE－T 双 绞 线 100 米 1024 易 维 护 10BASE－T 光 纤 2000 米 1024 远 距 离 编 码 曼 切 斯 特 编 码 介 质 子 层 控 制 定 义 与 了 帧 格 式 及 载 波 监 听 多 路 访 问 / 碰 撞 访 问 ( CSMA/CD ) 控 制 方 法 IEEE802.3u IEEE 工 作 组 为 FastEthenet 制 定 了 被 称 作 IEEE802.3u 的 标 准， 它 们 制 定 了 如 下 的 规 范： 线 缆 电 缆 最 大 距 离 优 点 100BASE－ T4 双 绞 线 100 米 便 宜 100BASE－TX 双 绞 线 100 米 易 维 护 100BASE－F 光 纤 2000 米 远 距 离; 全 双 工 编 码 曼 切 斯 特 编 码 介 质 子 层 控 制 定 义 了 与IEEE802.3 相 同 的 帧 格 式 及 载 波 监 听 多 路 访 问/ 碰 撞 访 问 (CSMA/CD ) 控 制 方 法。 3.3 IP地址划分 学校IP分配表 部门 IP 部门 IP 行政楼 10.1.1.0 学生北苑1 172.16.10.0 教学楼 172.16.1.0 … … 教师办公室 172.16.2.0 … … 图片馆 172.16.3.0 学生北苑13 172.16.39.0 实验楼 172.16.4.0 学生南苑1 172.16.40.0 实验楼 172.16.5.0 … … 实验楼 172.16.6.0 … … 实验楼 172.16.7.0 学生南苑9 172.16.70.0 家属区 172.16.8.0 家属区 172.16.9.0 3.4 主 干 网 络 的 选 择 校 园 网 络 主 干 采 用 千 兆 以 太 交 换 技 术，各 大 楼 内 采 用 以 太 网 、 快 速 以 太 网 技 术 。 千 兆 以 太 网 的 技 术 掌 握 和 操 作相 对 简 单, ATM 需 要 掌 握 大 量 的 相 关 知 识， 而 具 备 高 水 平 网 络 人 才 的中 国 企 业 目 前 还 不 多。 千 兆 以 太 网 因 此 而 独 具 优 势。 实 际 上 对于 企 业 网 络 管 理 人 员 来 说 ， 他 们 最关 心 的 是 稳 定 可靠 的 网 络 运 行。 简 单 实 用， 避 免 复杂 的 培 训 和 网 络管 理 工 作， 应 当 是网 管 人 员 的 目 标。 　　 以 太 网 从 很 简 单 的 概 念 中 得 到 效 益：网 络 越 简 单 就 越 有 用。 千 兆 以 太 网 具 有 价 格 优 势千 兆 以 太 网 继承 了 传 统 以 太 网 的 主 要技 术 特 征， 以 太 网长 期 研 发 和 生 产 线经 验 使 得 千兆 以 太 网 的产 品 具 有成 熟 性 和 大规 模 生 产 的价 格 优 势。 从 构 造层 次 和 技 术 复杂 性 来 说， 千 兆 以 太 网 也 应在 价 格 上 优于 其 它 主 干 方 式 。 考虑 到 倍 比 于 设 备 开销 的 维 护 管 理 开 销，千 兆 以 太 网 似 乎 更 应 胜 出 一 筹。 网 络 维 护 和 管理 以 太 网 在 管 理 Q o S 和 VLAN 等 功 能 时 会 变 得 复 杂。 但 这 也 是 循序 渐 进 得 学 习 过程。 技 术 的 稳 定 性　 “稳 定 性” 指 技 术 的 成 熟标 准 和 众 多 厂 家 对 该 项 技 术 所 达 成 的 认 识 一 致 性。 “千 兆 以 太 网 还 是 以 太 网” 意 味 着 它 基 本 上 是 使用 多 年 的 成 熟 技 术， 具 有很 多 成 熟 标 准， 拥 有 很多 不 同 厂 家 的 系 列兼 容 产 品 支 持， 它 们 之 间 的 互 操作 性 早 已 得 到 证 实。 可 靠 性 和 弹 性　 可 靠 性和 弹 性 反 映 了 网 络 的 容 错 能 力 和 对 变 化 流 量 支 持 能 力。 　　　在 校园 网 络 建 设 中， 除 非 有 条 件， 有 特 殊 需 求 和 环 境 限 制， 一 般 在 考 虑 要求 较 高 的 主 干 协 议 时 恐 怕 千 兆 以 太 网 应 当首 先 考 虑。 故在 校 园 网 方 案 中 ， 选 用 千 兆 以 太 网 更 为 实 际 ,也 更 好 一 些。 3.5 网 络 系 统 产 品 的 选 择 根 据 学校 的 需要， 为 用 户 选 择 在 网 络 领 域 具 有 领 先 水 平 的 锐捷 公 司 的 网 络 产 品。 锐捷网络是业界领先的网络设备及解决方案供应商，成立于2000年1月。十年来，秉承“敏锐把握应用趋势，快捷满足客户需求”的核心经营理念，坚持“应用领先”的发展道路，锐捷网络实现了超常规、跨越式发展，成长为网络设备民族第一品牌，跻身中国网络市场三大供应商之列。 　　今天的锐捷网络，已经在全国设立了37个分支机构，营销及服务网络覆盖全国和东南亚、欧洲、南北美洲等国际市场。是一家拥有包括交换、路由、软件、安全、无线、存储等全系列的网络产品线及解决方案的专业化网络厂商。其产品和解决方案被广泛应用于政府、教育、金融、医疗、企业、运营商等信息化建设领域。凭借卓越的端到端解决方案能力，锐捷网络为北京奥运会、广州亚运会、中国下一代互联网示范工程(CNGI)等国家级重点网络建设工程提供全面的网络技术支持。 3.6 系 统 安 全 性 的 实 现 在 系统中 ,我 们 根 据 用 户 网 络 安 全 需 求 ,在 与INTERNET 外 部 网 连 接 时 采 用 防 火 墙软 件 及 路 由 器 内 部 NAT 地 址转 换 , 保 证 了 内 部 网 络 的 安 全, .并 根 据 用 户 需 要 在 网 络 中 设 置 必 要 的 访 问 控 制 做 到 网 络 安 全 的 全 面 控 制； 并 采 用 VLAN等 技 术 进 一 步 控 制 内 部 网 络 安 全 ， 采 用 拨 号 用 户 的 身 份 验 证 控 制 拨 号 用 户 的 安 全 性 ， 采 用 双 机 备 份 或 冗 余 连 接 、 网 卡 容 错 、 数 据 库 容 错、 定 期 备 份 等 实 现 安 全 可 靠 性 。 3.7 、 系 统 拓 扑 结 构： 拓 扑 结 构 图 ： 3.8 、 方 案 描 述 校 园 网 采 用 星 型 网 络 拓 扑 结 构，网 络 分 为 三 个 层 次 ：核 心 交 换 层、汇聚 层 、接 入 层 。 核 心 交 换 层 ： 采 用 锐捷RG- S7610 为 核 心 交 换 机， 完 成 校 园 各 个 部 门 之 间 的 宽 带 交 换，RG- S7610交换机目前提供S7610（10槽）可以满足不同规模企业不同网络层次的应用需求，同时这些模块化机架式交换机采用统一的硬件和软件平台，完全兼容的线卡，以及与锐捷面向十万兆平台的高端产品RG-S8600系列、RG-S9600系列相同的软件版本，可以适应不断发展的企业网络，充分保护用户的投资。产品的特点，  1. 物理安全：  RG-S7610提供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保障措施。  支持硬件防源IP地址欺骗、防DOS/DDOS攻击，防IP扫描等功能。  提供多端口同步监控技术，支持灵活的网络监控，提升网络监控能力。  设备管理安全： 提供SSH的加密登陆和管理功能，避免管PP，CPU Protect Policy）。 2. 病毒和攻击防护：  面对现在网络环境越来越多的网络病毒和攻击威胁，RG-S7600系列交换机提供强大的网络病毒和攻击防护能力：  提供业界最为强大的ACL特性。 Telnet/Web登录的源IP限制功能，避免非法人员对网络设备的管理。 SNMPv3提供加密和鉴别功能：确保数据从合法的数据源发出；确保数据在传输过程中不被篡改；加密报文，确保数据的机密性 4. 接入安全： 硬件支持IP、MAC、端口绑定，提高用户接入控制能力。 支持802.1X技术，满足6元素绑定接入限制。 支持IGMP源端口检查，可有效控制非法组播源，提高网络安全。 IGMPv3支持宣告主机希望接收的多播源的地址，避免非法的组播数据流占用网络带宽。 通过PVLAN隔离用户之间信息互通，不必占用VLAN资源。 端口MAC地址锁和端口MAC地址接入数量功能可以屏蔽非法主机的接入。 动态ARP检测(DAI)：结合DHCP Snooping数据库，可对转发的ARP报文进行安全检测，丢弃不合法的ARP报文，预防中间人攻击。  扩展的路由技术  1. 基于每个SVI接口的default route配置  基于SVI接口的缺省路由优先级比基于整机的缺省路由优先级高，所以，当需要为缺省路由设置备份线路的时候可以使用该功能很好地实现。  2. ECMP/WCMP（Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing）  在拥有多条不同链路到达同一目的地址的网络环境中，如果使用传统的路由技术，发往该目的地址的数据包只能利用其中的一条链路，其它链路处于备份状态或无效状态，并且在动态路由环境下相互的切换需要一定时间，而等值多路径路由协议（ECMP）和权重多路径路由协议（WCMP）可以在该网络环境下同时使用多条链路，不仅增加了传输带宽，并且可以无时延无丢包地备份失效链路的数据传输。  3. 基于目的IP地址的策略路由  在拥有多条不同链路到达同一目的地址的网络环境中，使用基于目的IP地址的策略路由可以在多条链路间实现等值负载均衡和相互备份。  4. 策略路由  在拥有多条不同链路到达同一目的地址的网络环境中，策略路由功能可基于数据包的源IP地址、目的IP地址、协议字段、TCP/UDP源端口号、TCP/UDP目的端口号等特征进行多条出口链路间的灵活选择和相互备份。  技术参数 参数描述 产品型号 RG-S7610 模块插槽 10个（2个用于管理引擎） 背板 2.4T 交换容量 864G 包转发速率 643Mpps 802.1q VLAN 4K L2协议 IEEE802.3（10Base-T）、IEEE802.3u（100Base-T）、IEEE802.3z（1000Base-X） 、IEEE802.3ab（1000Base-T）、IEEE802.3ae（10GBase）、IEEE802.3ak、IEEE802.3an 、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEE802.1D（STP）、IEEE802.1w（RSTP）、IEEE802.1s（MSTP）、IGMP Snooping 、Jumbo Frame(9Kbytes)、GVRP L3协议(IPv4) BGP4、IS-IS、OSPFv2、RIPv1、RIPv2、MBGP、LPM Routing、Policy-based Routing、Route-policy、ECMP、WCMP、VRRP、IGMP v1/v2/v3、 DVMRP、PIM-SM/DM IPv6协议 ND（邻居发现）、ICMPv6、Path MTU Discovery、ICMPv6、ICMPv6重定向、ACLv6、TCP/UDP for IPv6、Ping /Traceroute v6、静态路由、等价路由、OSPFV3、RIPng、IS-ISv6、手工隧道、ISATAP、6to4隧道 QOS 支持IP Precedence、802.1P（COS优先级）、DSCP、支持支持基于标准、扩展、VLAN ACL进行流量分类，支持多种队列调度机制如SP、RR、WRR、DRR、SP+WRR、SP+DRR等，支持流量监管（CAR）、支持流量整形Traffic Shaping（TS） 安全功能 CPP（CPU保护）、防DDOS攻击、非法数据包检测、数据加密、防源IP欺骗、防IP扫描、支持基于标准、扩展、VLAN 的IPv4/v6ACL报文过滤、支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证、支持受限的IP地址的Telnet的登录和口令机制、支持广播报文抑制、DHCP Snooping 高可靠设计 支持RLDP单向链路检测技术、支持TPP（拓扑保护技术）、双引擎冗余设计、支持电源冗余备份、采用无源背板设计、风扇采用冗余设计、所有单板和电源模块支持热插拔功能 管理方式 SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2、FTP/TFTP文件上下载管理、支持NTP时钟、支持Syslog 其它协议 DHCP Client、DHCP Relay、DHCP Server、DNS Client、UDP relay、ARP Proxy、Syslog 汇聚 层 ： RG-S2952G-E 10200 RG-S3250E产品，是锐捷网络基于网络安全和易用好管理的理念推出的新一代安全智能交换机，充分融合了网络发展需要的高性能、高安全、多业务、易用性特点，为用户提供全新的技术特性和解决方案。 RG-S3250E交换机在提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。 RG-S3250E交换机可为各种类型网络接入提供完善的端到端的QoS服务质量、灵活丰富的安全策略和基于策略的网络管理，是校园网的理想接入设备，为用户提供高速、高效、安全、智能的全新接入方案。  全面的安全控制策略 通过与锐捷网络全局安全解决方案GSN的结合，可在安全策略方面为用户提供全面的立体三维的技术特性和解决方案，完全解除安全威胁、攻击、病毒、ARP欺骗等侵害，还网络一片绿色，让用户更安心、省心上网； 硬件实现端口与MAC地址和用户IP地址的灵活绑定，严格限定端口上的用户接入； 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，保障了信息安全，同时不必占用VLAN资源； 专用的硬件防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网； 支持DHCP snooping，可只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCP Server，扰乱IP地址的分配和管理，影响用户的正常上网；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，可有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗； 基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备； 支持IGMP源端口检查功能，有效地杜绝非法的组播源，提高网络的安全性； 支持和识别IGMPv1/v2和IGMPv3全部版本的组播报文，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。 完善的QoS策略 高可靠性 采用灵活复用的千兆接口和扩展槽组合的形式，可最灵活满足是否需要多个千兆链路上链或多个千兆服务器的连接，方便用户根据网络架构灵活选择连接形式； 提供图形化的安全策略管理平台，支持安全策略自动同步下发、升级和维护功能，