大型园区网络设计方案.doc

《大型园区网络设计方案.doc》由会员分享，可在线阅读，更多相关《大型园区网络设计方案.doc（46页珍藏版）》请在咨信网上搜索。

西南交通大学西南交通大学 组网设计方案组网设计方案 大大 型型 园园 区区 网网 络络 西南交大一队西南交大一队 第一章第一章 概述概述 1.1 前言前言 在二十一世纪教育改革中，世界各国都在加快教育现代化的步伐，其信息化限度的高低已成为当今世界衡量一个国家综合国力的重要标志。中国教育信息化在通过过去几年的建设后，国家教育科研网（CERNET）骨干已基本建成。大部分高校也已建设了自己的校园网络，对校内提供 ISP 服务。国家规定在此后 5 年内完毕教育上网，即所有高校、职业学校、中学和小学拥有自己的校园网，并建设校园网将各个校区互联并提供与国家教育科研网和各运营商互联的接口。1.2 总体设计原则总体设计原则 1.先进性原则：计算机网络的先进性将通过网络构架的先进性、硬件设备的先进性、传输速率和协议选择、信息系统的先进性来体现。2.实用性原则：采用的技术路线、产品应通过实践检查，被证明是成熟可靠的，设计结果能满足客户的需求并且行之有效。3.可靠性原则：校园计算机网络的可靠性将通过选择能可靠运营的网络结构、选择可靠的网络和计算机硬件设备，以及选择可靠的网络操作系统和信息应用系统来体现。4.安全性原则：通过加强内部访问控制和外部访问控制两方面来保证网络和信息安全。5开放性原则：采用标准通用的网络协议和信息传递方式，保证系统的开放性。6.易管理性原则：从网络的结构和网络设备的易管理性来体现。网管员可以在网络的任意端口通过 Web 对设备进行管控，设备的所有端口的状态都会实时地显示出来。控制整个网络安全高效地运营。7.经济性原则：相对国防、金融等机构，学校对网络建设的投入显然较低，这就规定建成的网络经济实用，具有很高的性能价格比;在技术性能和价格的平衡中，技术性能优先，兼顾价格 1.3 校园网网络设计需求校园网网络设计需求 1 网络的应用网络的应用 1、大容量的教学资源库、课件资源库。2、Web、E-MAIL、FTP、BBS 视频服务器、数据库服务器的应用。3、办公自动化及办公收发文系统。4、远程教育服务。5、各种流媒体和各种应用平台服务 6、Intranet 以及 Internet 技术应用。2 校园网络主干校园网络主干 校园网络重要涉及 40 栋大楼：网络中心设在大楼 1。集团共 20 个部门，分别在 A、B、C、D 楼各 5 各，每个部门用户数在 100 个左右。1主干采用千兆以太网，到桌面 10/100 兆自适应连接；2接入互换机至大楼互换机之间采用 1000M 互连；3大楼互换机至核心互换机之间采用 1000M 互联；4分别通过两个路由器连接到教育科研网 CERNET 和 chinanet，实现与 INTERNET 的互联。5内部网络采用 Intranet 应用模式架构整个应用信息系统 6骨干网技术规定 1)满足对多媒体数据的规定，避免主干网络瓶颈的出现；2)提供子网划分、虚拟网技术和能力，解决内部网络的路由，实现较高的内部路由性能；3)具有高可靠性；4)保证传输的服务质量，提供必要的服务质量(QOS)、服务级别(COS)和服务类型(TOS)等；5)主干互换机的背叛互换容量不小于 50G;6)高性能价格比。7布线系统技术规定 1)布线系统所有采用符合国家标准或国际标准的产品进行完全的结构化布线；2)在较好性能价格比的情况下，布线的标准适当超前，整个系统应提供 2023 以上的质量保证；3)楼宇之间根据距离远近采用多模（MMF）或单模（SMF）光纤，大楼内部采用 5 类双绞线 4）集团内部各个建筑物都有 1 对 8 芯的单模光纤连接到主建筑物（即网络中心所在地），8网络管理技术规定 1)基于开放的校园网系统，应当支持集成化的 SNMP 及 CMIP 应用，可以全面管理TCP/IP 网络设备，并且提供面向目的的图形管理接口和 API 编程接口；2)网络管理员可以通过网络管理工作站，借助图形化的界面，可以对网络上的设备进行监控和集中式管理，只要对网络软件进行配置，不必到现场进行实际操作，就能重新构造网络；3)提供方便、安全、可靠的故障和维护管理、安全管理、性能管理、记录管理、计费管理等基本管理功能。9系统安全控制技术规定 1)Internet 的安全控制应提供地址转换、被动监厅、端口扫描和否认服务等机制、，同时划分不同级别的安全区域；2)远程访问的安全控制应提供访问服务器的用户身份认证、用户授权及用户记账/审计等功能；3)应提供对整个网络和工作站进行侦独、解毒和清毒等工作，防范计算机病毒。3 3 网络流量网络流量 学校现有师生 15000 人，以后用户还会增多，并有多个计算机局域网，初步估计上网高峰时约有 20230 台计算机需同时使用集团网络。此外还考虑到视频会议以及文献服务得需求所以设计计算机网络系统应充足考虑每个用户的带宽和系统的响应时间。其计算机网络的建设应达成：网络传输速度高，不能有信息传输瓶颈，信息解决效率高，系统响应时间短，每个用户都有较高的带宽。1.4 技术方案综述技术方案综述 通过对集团网络建设项目系统现状和对整个网络系统建设需求的了解，以万兆主干网络为基础平台，以集团网应用为主线,以实现办公自动化、资源共享、实时新闻发布、财务电算化和集中式的供应链管理系统和客户服务关系管理系统为目的，我公司推荐如下重要技术方案：采用锐捷网络公司的互换机产品来构造集团内部网络：网络核心互换机采用RG-S8600 系列高密度多业务 IPV6 核心路由互换机；大楼汇聚互换机采用 RG-S5750 系列安全智能万兆多层互换机；接入互换机采用 RG-S2126S 千兆增强网管互换机。第二章第二章 网络系统设计网络系统设计 2.1 方案描述方案描述 桌面接入互换机采用 RG-S2126S 并通过五类双绞线连接，汇聚层互换机采用 RG-S5750并通过千兆光纤连接，核心互换机采用两个 RG-S8600 并通过千兆光纤连接，在核心互换机之间采用 10G 光纤构成冗余线路。通过一台核心互换机和两台路由器 RSR-08 相连采用 10G光纤，之间由 RG-WALL1600 防火墙进行安全保障。其中一台路由接入 cernet 一台路由接入chinanet。2.2 设备选型设备选型 接入层互换机 产品概述产品概述 RG-S2126S 是一款全线速可堆叠千兆智能互换机，提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，并可以实行灵活多样的 ACL 访问控制。可通过 SNMP、Telnet、Web 和 Console 口等多种方式提供丰富的管理。S2126S 以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设立和基于策略的网管，最大化满足高速、安全、智能的公司网新需求。产品特性产品特性 高性能高性能 高背板带宽为所有的端口提供非阻塞性能；灵活多样的安全控制灵活多样的安全控制 通过内在的多种安全机制可有效防止和控制病毒传播和网络流量袭击，控制非法用户使用网络，保证合法用户合理化地使用网络，如端口安全、端口隔离、硬件 ACL 控制、端口 ARP 报文的合法性检查、基于数据流的带宽限速、六元素绑定等，满足公司网、校园网加强对访问者进行控制、限制非授权用户通信的需求；硬件实现端口与 MAC 地址和用户 IP 地址的灵活绑定，严格限定端口上用户接入；通过将端口设为保护端口，即可简朴方便地隔离用户之间信息互通，不必占用 VLAN 资源，同时又无需运用安全规则资源即能达成隔离不同用户以及不同组用户之间通讯的功能，充足保护用户隐私；实现用户账号、MAC 地址、IP 地址、互换机 IP、互换机端口等多元素之间的灵活任意绑定，有效确认用户合法性和唯一性；通过锐捷安全计费管理平台 SAM，不仅可实现用户账号、MAC 地址、IP 地址、互换机 IP、互换机端口等六大元素之间的灵活任意绑定，有效确认用户身份的合法性和唯一性，更能通过互换机特色硬件动态绑定，保障用户身份始终一致性，避免了用户恶意篡改身份信息进行非法袭击等行为；专用的硬件防范 ARP 网关和 ARP 主机欺骗功能，有效遏制了网络中日益泛滥的 ARP 网关欺骗和 ARP主机欺骗的现象，保障了用户的正常上网；支持 DHCP Relay，更可支持 DHCP Option 82，可方便实现对 IP 地址的精确分派和控制，并可通过互换机硬件 ARP 检查，可有效防范动态分派 IP 地址环境下的 ARP 欺骗问题；提供极为有效的 Port Blocking 功能，避免和阻止端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口的负载承担，提高端口带宽，保护用户 PC 更高效安全地运营；基于源 IP 地址控制的 Telnet 和 Web 设备访问控制，避免非法人员和黑客恶意袭击和控制设备，增强了设备网管的安全性；SSH（Secure Shell）和 SNMPv3 技术可以通过在 Telnet 和 SNMP 进程中加密管理信息，保证管理设备信息的安全性，防止黑客袭击和控制设备；完善的完善的 QoSQoS 策略策略 支持 802.1P、DSCP、端口优先级、IP TOS、二到七层流过滤等 QoS 策略，具有 MAC 流、IP 流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务；极灵活的带宽控制能力，可以基于互换机端口、MAC 地址、IP 地址、协议、应用组合进行带宽限速，限速粒度精细：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口，可根据网络安全需求，设定不同业务应用的带宽流量，满足按需所用。丰富的组播特性丰富的组播特性 支持业界特有的 IGMP 源端口检查，有效杜绝非法组播源播放和大量占用大量网络带宽，提高网络安全性；支持和辨认 IGMPv1/v2 和 IGMPv3 所有版本的组播报文，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。高可靠性高可靠性 支持生成树协议 802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运营和链路的负载均衡，合理使用网络通道。方便易用易管理方便易用易管理 强大的菊花链式堆叠，保证网络的高度灵活和可扩展，网络管理更加简朴；独特的集群管理，通过一台命令互换机可管理多达 20 台的 S21 系列互换机，无论互换机是否在同一配线间和布线室；强大的集群管理方式使得网络的维护工作变得非常方便和简朴，只需配置 1 个 IP 地址，即可管理多台设备，不仅成倍节省了 IP 地址空间，并且维护和管理量也得到极大减少；多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；支持端口环路检测，可快速检测端口下联出现环路的情况，并能自动将有环路端口关闭和定期启动，保障了网络的可靠；Syslog 方便各种日记信息的统一收集、维护、分析、故障定位、备份，便于管理员进行网络维护和管理；CLI 界面，方便高级用户配置和使用；Java-based Web 管理方式，实现对互换机的可视化图形界面管理，快速和高效地配置设备。产品参数产品参数 产品型号 RG-S2126S 固定端口 24 端口 10/100 自适应 模块插槽 2 个扩展插槽 可用模块 单口 1000BASE-SX 模块 单口 1000BASE-LX 模块 单口 1000BASE-TX 模块（支持 10/100/1000M 自适应）单口 100BASE-FX 模块 单口 100BASE-FX 单模模块 单口 100BASE-TX 模块 堆叠模块 包转发速率 线速 802.1q VLAN 4K ACL 标准 IP ACL（基于 IP 地址的硬件 ACL）、扩展 IP ACL（基于 IP 地址、传输层端标语的硬件 ACL）、MAC 扩展 ACL（基于源 MAC 地址、目的 MAC 地址和可选的以太网类型的硬件 ACL）、L2 协议 IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3 管理协议 SNMPv1/v2C/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog 其它协议 BOOTP/DHCP Relay、DNS Client 尺寸（长 宽 高）440 240 44mm 电源 160VAC240VAC，48Hz60Hz 温度 工作温度：0 到 45 存储温度：-40C 到 70C 湿度 工作湿度：10%到 90%RH 存储湿度：5%到 90%RH 合用场合合用场合 可满足多种应用需求：高性价比的千兆上链解决方案 高密度端口需求，实现网络弹性扩展 高安全接入控制 灵活的用户带宽分派 灵活的用户计费 保证语音、组播音视频服务及视频点播等关键任务的应用 丰富的管理策略应用，有效控制网络访问和端到端的 QoS 策略 典型应用典型应用 RG-S2126S 的组网形式非常灵活，合用各种类型网络的接入层，如教育、金融、大中小公司、政法等。大中型网络接入层 小型网络接入层 汇聚层互换机 产品概述产品概述 RG-S5750 系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层互换机。该系列互换机提供的接口形式和组合非常灵活，即可以提供 24 个或 48 个 10/100/1000M 自适应的千兆电口，又可以提供有 24 个 SFP 千兆光口，又能提供 PoE 远程供电的接口。每种产品型号都配合提供了灵活的复用千兆口，满足网络建设中不同传输介质的连接需要。同时为满足网络的弹性扩展，和高带宽传输需要，可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块。特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器群的接入使用。该系列互换机硬件支持多层线速互换，并提供了丰富而完善的路由协议，以适合大型网络多种路由和高性能的需要。RG-S5750 系列互换机提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户接入管理能力，更可有效防止和控制病毒传播和网络袭击，控制非法用户接入网络，保证合法用户合理地使用网络资源，并可以根据网络实际使用环境，实行灵活多样的安全控制策略，充足保障了网络安全、网络合理化使用和运营。RG-S5750 系列互换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设立和基于策略的网管，最大化满足高速、安全、智能的公司网需求。产品特性产品特性 高性能高性能 IPv4/IPv6IPv4/IPv6 双协议栈多层互换双协议栈多层互换 高背板带宽为所有的端口提供非阻塞性能；丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要，特别是支持ECMP/WCMP（Equal-Cost Multipath Routing/Weight-Cost Multipath Routing），保证了各骨干网络链路的充足使用，大大增长了网络传输带宽，并且可以无时延无丢包地备份失效链路的数据传输；硬件支持IPv4/IPv6双协议栈多层线速互换，硬件区分和解决IPv4、IPv6协议报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4 隧道和 ISATAP 隧道等，可根据 IPv6 网络的需求规划和网络现状，提供灵活的 IPv6 网络间通信方案；双协议栈的支持和解决，使得无需改变网络架构，即可将现有网络无缝地升级为下一代 IPv6 方案；基于 LPM 硬件路由转发方式使得 RG-S5750 系列不仅合用于大型网络环境，并且可防御各种网络病毒的侵袭，保障所有报文的线速转发，有效保证了设备的安全性；硬件支持多层线速互换，可以辨认二到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的应用流进行不同的策略管理和控制。灵活完备的安全控制灵活完备的安全控制 具有的多种内在机制可以有效防范和控制病毒传播和黑客袭击，如防止 Dos 袭击、防黑客 IP 扫描等，还网络一片绿色；业界领先的硬件 CPU 保护机制：特有的 CPU 保护策略（CPP 技术），对发往 CPU 的数据流，进行流区分和优先级队列分级解决，并根据需要实行带宽限速，充足保护 CPU 不被非法流量占用、恶意袭击和资源消耗，保障了 CPU 安全，充足保护了互换机的安全；硬件实现端口或互换机整机与用户 IP 地址和 MAC 地址的灵活绑定，严格限定端口上的用户接入或互换机整机上的用户接入问题；保护端口不必占用 VLAN 资源，即可非常方便地隔离用户之间信息互通，充足保护用户信息的安全；支持 DHCP snooping，可只允许信任端口的 DHCP 响应，防止私设 DHCP Server 的欺骗；并在 DHCP监听的基础上，通过动态监测 ARP 和检查用户的 IP，直接丢弃不符合绑定表项的非法报文，有效防范 ARP欺骗和用户源 IP 地址的欺骗问题；基于源 IP 地址控制的 Telnet 和 Web 设备访问控制，避免非法人员和黑客恶意袭击和控制设备，增强了设备网管的安全性；SSH（Secure Shell）和 SNMPv3 保证在 Telnet 和 SNMP 进程中加密管理信息，保证互换机管理信息的安全性，防止黑客袭击和控制设备；控制非法用户接入网络，保证合法用户合理化使用网络，如端口安全、端口隔离、专家级 ACL、时间 ACL、基于应用数据流的带宽限速、多元素绑定等等，满足公司和校园网加强对访问者进行控制、阻止非授权用户通信的需求。丰富的组播特性丰富的组播特性 支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进行大量组播服务的环境，实现网络的可扩展和多业务应用；支持 IGMP 源端口和源 IP 检查功能，有效地杜绝非法的组播源，提高网络的安全性；支持 IGMPv1/v2 和 IGMPv3 所有版本，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。完善的完善的 QoSQoS 策略策略 以 DiffServ 标准为核心的 QoS 保障系统，支持 802.1P、IP TOS、二到七层流过滤、SP、WRR 等完整的 QoS 策略，实现基于全网系统多业务的 QoS 逻辑；具有 MAC 流、IP 流、应用流等多层的流分类和流控制能力，实现按照业务流进行带宽控制、转发优先级等多种流策略，限速粒度精细，千兆端口粒度达 64Kbps，万兆端口粒度达 1Mbps，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。高可靠性高可靠性 支持生成树协议 802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运营和链路的负载均衡，合理使用网络通道，提供冗余链路运用率；支持 VRRP 虚拟路由器冗余协议，有效保障网络稳定；支持 RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接 Hub 等设备形成的环路而导致网络故障的现象。方便易用易管理方便易用易管理 灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择线缆；为满足网络弹性扩展和高带宽传输需要，简朴选配多种类型的万兆模块，网络即可平滑升级到万兆上链骨干；为方便安装地点或建筑物不适宜部署外部电源的环境，RG-S5750 系列互换机特别提供支持 PoE 功能的产品型号，即通过双绞线就可以向远端下挂的 PD 设备供电，如无线 AP、IP Phone、视频监控等设备，方便了任何符合 IEEE 802.3af 标准的终端设备的接入，实现以太网集中供电，以满足金融、公司、学校、医院、工厂等用户实现 VoIP、远程监控、无线 AP 等网络应用的需要；SNTP（简朴网络时间协议）保证互换机时间的准确性，并与网络中时间服务器的时间统一化，方便日记信息和流量信息的分析、故障诊断等管理；Syslog 方便各种日记信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；CLI 界面，方便高级用户配置和使用；Java-based Web 管理方式，实现对互换机的可视化图形界面管理，快速和高效地配置设备。技术参数技术参数 技术参数技术参数 产品型RGRG-S5750S5750-RGRG-S575S575RGRG-S5750PS5750PRGRG-S5750S5750-RGRG-S575S575RGRG-S575S575号 24GT/12SF24GT/12SFP P 0S0S-24GT24GT/12SFP/12SFP -24GT/12S24GT/12SFPFP 24SFP/12G24SFP/12GT T 0 0-48GT/48GT/4SFP4SFP 0S0S-48GT48GT/4SFP/4SFP 固定端口 24 端口10/100/1000M 自适应端口，12个复用的SFP 接口，2个扩展槽 24 端口10/100/1000M 自适应端口，12个复用的SFP接口，2 个扩展槽 24 端口10/100/1000M 自适应端口（支持PoE 远程供电），12个复用的SFP 接口，2个扩展槽 24 个 SFP接口，12个复用的10/100/1000M 自适应端口，2 个扩展槽 48 端口10/100/1000M 自适应端口，4 个复用的SFP 接口，2 个扩展槽 48 端口10/100/1000M 自适应端口，4 个复用的SFP 接口，2 个扩展槽 可用模块 万兆扩展模块，万兆堆叠模块，万兆光纤模块，SFP 光纤模块 包转发速率 L2：线速 L3：线速 L2：线速 L3：线速 VLAN 支持 4K 个 802.1Q VLAN ACL 标准 IP ACL（基于 IP 地址的硬件 ACL）、扩展 IP ACL（基于 IP 地址、TCP/UDP 端标语的硬件 ACL）、MAC 扩展 ACL（基于源 MAC 地址、目的 MAC 地址和可选的以太网类型的硬件 ACL）、基于时间 ACL、专家级 ACL（可同时基于 VLAN 号、以太网类型、MAC 地址、IP 地址、TCP/UDP端标语、协议类型、时间等灵活组合的硬件 ACL）L2 协议 IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.3af、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3、RLDP、IEEE 802.3af（S5750P 产品型号）L3 协议 IPv6、OSPFv1/v2、OSPFv3、ECMP/WCMP、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3 IPv6 协议 支持 ICMPv6、IPv6 动态路由协议 OSPFv3、支持多种 Tunnel 隧道技术（如手工配置隧道、6to4 隧道和 ISATAP 隧道等）Defeat DoS Attack 支持 Defeat IP Scan 支持 管理协议 SNMPv1/v2c/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、SNTP、NTP、Syslog Jumbo Frame 支持 其它协议 Super VLAN、Private VLAN、Protocol VLAN、QinQ、DHCP Server、DHCP Relay、DHCP Client、DHCP Snooping、免费 ARP、DNS Client 尺寸（长 宽高）44043544mm 44042044mm 电源 176VAC264VAC 48Hz60Hz 功耗（满负荷）70W S5750P 在所有端口外接 PD 情况下 200,000 hours 温度 工作温度：0 到 40 存储温度：-40 到 70 湿度 工作湿度:10%到 90%RH 存储湿度:5%到 95%RH 万兆核心万兆核心 IPV6IPV6 校园网校园网 1、校园网全网采用支持 IPV6 的网络设备，S86、S57 都提供硬件 ASIC 的 IPV6，S68 支持 NP 扩展 IPV6，满足高校网络现在和未来的下一代网络建设需求。2、RG-S8600 提供业界最为强大的安全防护功能，硬件方式提供防 DDOS 袭击、非法数据包检测、防源 IP 地址欺骗等多种专业安全防护能力，硬件方式提供 IPFIX 流量监控能力和 CPP 技术，满足安全可信校园新网络的建设需求。3、RG-S8600 提供强大性能的全分布式硬件策略路由功能，满足高校多余口之间负载均衡和冗余备份的功能。4、通过万兆骨干网提供各区域之间的高速连接，保证各业务高效运营，并提供骨干区域之间的链路冗余备份提高网络安全。安全金融局域网安全金融局域网 1、运用 VRRP、802.1S 等技术提供接入互换机和核心互换机之间的负载均衡和冗余备分，满足金融机构极高的网络稳定需求。2、RG-S8600 提供业界最为强大的安全防护功能，硬件方式提供防 DDOS 袭击、非法数据包检测、防源 IP 地址欺骗等多种专业安全防护能力，硬件方式提供 SFLOW 流量监控能力和 CPP 技术，满足安全可信金融新网络的建设需求。3、提供灵活的流分类和各种拥塞控制 QOS 技术，满足金融网络重要业务的带宽保证和性能规定。4、强大的路由解决能力，满足金融网络环境路由设计复杂条件下的高性能需求。出口路由 产品概述产品概述 锐捷 RSR-08 路由器是高性能、通用的骨干汇聚路由器，具有高背板带宽、高包转发率、结构紧凑、端口密度高等特点，并能提供全范围的光纤和铜缆接口。RSR-08 路由器具有强大的业务能力，可以满足目前所有的城域汇聚和接入需求，提供多协议标准互换(MPLS)第 2 或 3 层隧道技术、动态带宽控制和面向连接的数据收集体系。作为多协议标记（MPLS）PE 路由器，他们使提供商的基于 MPLS 的业务具有高度的可扩展性和可靠性。通过使用 VPLS，可以运用原有网络和以太网基础设施提供 VOIP、互联网接入、视频以及多点虚拟专用网（VPN）等融合业务。锐捷 RSR-08 路由器支持涉及 TDM、POS、ATM 和千兆位以太网，速率高达 OC-48。部署在各种应用中，RSR-08 路由器可用于搭建骨干汇聚路由器和核心层网络，为用户提供综合的、高性能、功能强大的服务,并提供高可用性网络所需的冗余支持。锐捷 RSR-08 路由器重要应用在电信运营商以及政府、金融、教育、电力、公司用户市场的网络建设。产品特性产品特性 一、功能丰富的线速服务一、功能丰富的线速服务 IP 路由、单播(unicast)和组播(multicast)每个线路卡上硬件的路由 MPLS LSR 和 LER 支持 RSVP-TE 流量工程支持 安全（ACL，L2 过滤器）基于硬件的速率限制、速率整形 第四层应用流互换和服务质量政策解决方案（简称 QoS）基于端口或协议的虚拟局域网（简称 VLAN）网络地址翻译（NAT）巨型桢（Jumbo Frame）支持 服务器负载均衡（LSNAT）2547-bis MPLS L3 VPN Martini MPLS L2 VLL MPLS 透明局域网业务 TLS MPLS 快速重路由 二、高度的容错设计二、高度的容错设计 冗余 CPU、电源 热拔插介质模块 基于标准的虚拟路由器冗余协议（VRRP）第二层和第三层冗余协议支持 冗余互换矩阵 无缝保护系统（HPS）三、广泛的管理方式三、广泛的管理方式 线速全组 RMON/RMON2 简朴网络管理协议（SNMP）管理 SSH RADIUS TACACS RS-232（频带外管理）命令行接口（CLI）四、丰富的接口类型四、丰富的接口类型 10/100 Base-TX 100 Base-FX 1000 Base-LH 1000 Base-SX 1000 Base-LX 1000 Base-T Serial T1/E1 HSSI T3/E3 多级速度 WAN 模块 信道化 DS-3 POS OC-3c,OC-12c ATM DS-3,E-3,OC-3c,OC-12c OC-48 弹性分组环 技术参数技术参数 设备性能设备性能 互换容量 32G 包解决能力 16.7MPPS ACL 2 万条 路由表 25 万条 流表 最多可达 2,000,000 个第 4 层应用数据流 最多可达 3,500,000 个第 2 层 MAC 地址 MTBF 200,000 小时（预测）协议支持协议支持 路由协议 OSPF、IS-IS、BGP、RIPv2、静态路由 组播协议 IGMP、PIM-DM/SM、DVMRP、RP 地址管理 静态、DHCP 中继 MPLS MPLS LSR 和 LER 支持、2547-bis MPLS L3 VPN、Martini MPLS L2 VLL、MPLS 透明局域网业务 TLS、MPLS 快速重路由 特色支持 NAT、Load balancing、VSRP、Web cache redirection、策略路由、HPS 管理方式 线速全组 RMON/RMON2、简朴网络管理协议（SNMP）管理、SSH、RADIUS、TACACS、RS-232、命令行接口（CLI）物理指标物理指标 尺寸 高 8.75 英寸宽 17.25 英寸深 12.25 英寸（22.23 厘米43.82 厘米31.12 厘米）重量 44.5 磅（20.2 公斤）环境规格环境规格 操作温度+0C 到+40（32到 104F）存储温度-40C 到+70C(-40到 158F)相对操作湿度 10%到 90%（非冷凝）相对存储湿度 5%到 95%（非冷凝）电源规格电源规格 交流电源 输入电压：100 到 240 VAC 输入电流：12 6A 频率：50 到 60Hz 直流电源 输入电压：-48 到-60 VDC 输入电流：27A 标准和规范标准和规范 安全性 UL60950、CAN/CSA-C22.2 No.60950、EN60950、IEC950、72/73/EEC 电磁兼容性 FCC Part 15、CSA C108.8、EN55022、VCCI、EN55024、89/336/EEC ETSI ETSI EN 300-386、EN 300-109、ETS 300-753 NEBS NEBS Level 3、GR-1089、GR-63 防火墙 产品概述产品概述 RG-WALL 系列采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具有高性能的网络传输功能；同时在启用动态端口应用程序(如 VoIP,H323 等)时，可提供强有力的安全信道。采用锐捷独创的分类算法使得 RG-WALL 产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL 在内核层解决所有数据包的接受、分类、转发工作，因此不会成为网络流量的瓶颈。此外，RG-WALL 具有入侵监测功能，可判断袭击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL 的重要功能涉及：扩展的状态检测功能、防范入侵及其它（如 URL 过滤、HTTP 透明代理、SMTP 代理、分离 DNS、NAT 功能和审计/报告等）附加功能。产品特性产品特性 锐捷网络私有的分类算法，性能不受规则数及会话数的影响 在内核层解决流量，极大减少应用层的负荷 多线程代理方式 内置入侵检测功能，保证防火墙的安全运营 实时的状态监控功能，动态过滤技术 无需 L4 互换机，无需增长模块就可实现 Active-Active 的高可用性解决方案 支持网桥模式和路由模式以及 NAT 模式 支持多个接口及 VLAN，适合多种网络结构 内置入侵检测模块 支持应用代理、内容安全防护、带宽管理、DHCP 服务器、OPSEC 国际安全联动协议等功能及协议；支持 L2TP VPN、GRE VPN、IPSec VPN 等多种 VPN 功能；支持 NAT，支持多种 NAT ALG，涉及 DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP 实现 DNS 分离功能，保护了内部 DNS 结构的安全性，也可为小型公司免去 DNS 的投资 基于网络 IP 和 MAC 地址绑定的包过滤 透明代理（Transparent Proxy），URL 级的信息过滤 流量控制管理，保证关键用户，关键流量对网络的使用 工作模式的多样性，可以不影响现有网络，迅速投入使用 安全的网络结构和安全的体系结构 提供操作简朴的图形化用户界面对防火墙进行配置 支持 BT/eDonkey/Kazaa 等 P2P 软件的严禁和带宽限制 支持入侵检测和防护（IPS）支持多种 IDS 产品联动和自动响应阻断方式 支持冗余电源，提供更高设备可靠性 支持集群功能，最多支持 4 台防火墙之间的 Active/Standby,Active/Active 模式 产品参数 RGRG-WALL 1600WALL 1600 千兆防火墙千兆防火墙/VPN 网关网关 端 口 固化 4 个 10/100/1000BaseT 端口+4 个 SFP 端口 尺 寸 标准 19 英寸宽度，2U 高度 电气性能 电源类型：AC 100-240V/50-60Hz 电源功率：400W，冗余电源 工作环境 操作环境：温度 040，湿度 0%80%存储环境：温度-4080，湿度 0%95%技术性能 MTBF（平均故障间隔时间）：100,000 小时 2.3 设备清单及预算设备清单及预算 RG-S2126S 40*6*20230=4800000 元 RG-S5750 1*40*99000=360000 元 RG-S8600 2*239800=479600 元 RG-WALL1600 2*350000=700000 元 线缆费用 10 万 总计 10096400*0.4+100000=4,048,560 元 第三章网络拓扑和第三章网络拓扑和 IP 规划规划 3.1 网络拓扑图网络拓扑图 100M 光纤 双绞线 1000M 光纤 10G 光纤 ChinaNet 行政办公楼 综合管理平台 RG-S8606 RG-S2126S RG-S5750 RG-WALL1600 RG-S5750 服务器群 Web/视频 DHCP 服务器 其他校区 3.2 IP3.2 IP 地址规划地址规划 网络中心：核心互换机接口核心互换机接口 IP 地址地址 子网掩码子网掩码 4/1(大楼 A)10.0.0.1 255.255.255.252 4/2(大楼 B)10.0.0.5 255.255.255.252 4/3(大楼 C)10.0.0.9 255.255.255.252 4/4(大楼 D)10.0.0.12 255.255.255.252 3/0(出口路由)10.0.0.15 255.255.255.252 Vlan88 路由器接口路由器接口/公网公网 IP 配置情况配置情况 IP 地址地址 子网掩码子网掩码 0/0（内网）10.0.0.16 255.255.255.252 S1/1(chinanet)67.95.123.1 255.255.255.252 0/1（Cernet）211.95.123.1 25