1、毕 业 设 计 论 文 题 目: 四川国际标榜职业学院校园网 改造设计与实施 摘 要 随着,计算机技术、通讯技术、网络技术正在以前所未有的速度发展。这 些高速发展的新技术带动人类步入了计算机技术发展的新时代-网络时代,校 园网络如何能满足未来网络的需要,更好的为师生提供良好的网络环境这个课 题是我们值得研究的,在原有网络的环境中建设一个具有前沿性、先进性、结 构化、系统化的网络实在必行。 同所有网络建设一样,当建设一个满足特定业务需求的网络时 ,必须采取 “结构化、系统化”思想做指导。一个良好的、规范的网络开发过程不仅不会 成为干扰实际健忘工作的负担,相反会使设计的工作更清晰、更加高效和更令
2、人满意,同时也可以大大减少网络开发成本和提高网络工程质量。 本毕业设计作品定位于实际的工程应用,因此配置了比较完备的硬件资源。 在内容选择上,一方面以对校园网的网络拓扑和所需设备进行了设计;另一方 面用很直观的网络拓扑图概述了本次毕业设计相关的网络安全、网络所需设备 以及所实现的网络功能和应用等。 毕业设计论文包括课题概况:标榜职业学院是一所高职性综合性院校对网 络性能要求严格。统需求分析:本课题对结合校园网络特点进行了详细的需求 描述和详细的分析。系统设计:系统设计包括光纤线路走向、网络拓扑结构选 择、网络设备选型、VLAN 和子网的划分,详细描述了网络组成结构。校园网网 络安全:从网络流量
3、控制、网络认证、网络设备安全、无线网络安全详细描述 了安全实施。并参与了网络的具体实施,加深了对计算机网络技术的理解,实 际动手能力大大提高,学习到了许多书本上学不到的知识。 关键词 :校园网 网络拓扑 VLAN 网络安全 系统实施 目 录 第一章 概述 1 1.1 课题背景 1 1.2 课题概况 2 1.3 课题目的 .3 第二章 需求分析和设计原则 .4 2.1 需求与分析 4 2.1.1 具体需求 .5 2.1.2 需求分析 .5 2.2 设计目标 .5 2.3 设计原则 .6 第三章 系统设计方案 7 3.1 网络拓扑设计 7 3.1.1 原拓扑结构 7 3.1.2 拓扑选择 .7 3
4、.1.3 拓扑结构图 8 3.1.4 拓扑结构说明 9 3.2 详细设计及设备选型 .9 3.2.1 光纤链路设计 9 3.2.2 核心层设计 10 3.2.3 汇聚层设计 15 3.2.4 接入层设计 18 3.3 VLAN 与 IP 子网设计 26 3.3.1 VLAN 规划 26 3.3.2 IP 子网设计 26 3.3.3 技术前沿 IPV6 网络设计 .27 第四章 网络安全管理 31 4.1 认证方式 31 4.1.1 主流的接入认证技术 31 4.1.2 认证方式选择 32 4.1.3 认证流程图 32 4.2 流量控制 33 4.3 设备安全 36 4.4 无线网络安全 36
5、4.4.1 无线局域的安全威胁 36 4.4.2 无线局域网安全技术 .37 4.4.3 无线局域安全策略 .40 4.5 网络结构安全 40 4.6 网络应用安全 41 4.6.1 网络嗅探 .41 4.6.2 ARP 欺骗 42 4.6.3 IP 地址欺骗 42 4.6.4 DOS 攻击 42 4.7 安全控制 44 4.7.1 访问控制列表( ACL) 44 4.7.2 源地址确认 44 第五章 系统实施 46 5.1 系统实施原则 46 5.2 系统实施步骤 .46 总结 48 参考文献 49 致谢 50 第一章 概述 1.1 课题背景 随着国家信息化工作的深入开展,提高教育系统信息化
6、水平成为当前工作 的重点。而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建 设。校园网是教育信息化的平台,对于推进教学和和科研至关重要,一个先进 的校园网能够极大的促进高等院校教学和科研水平的提高。在高校信息化的建 设过程中,它的作用体现在如下几个方面: 1.校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科 的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识, 必须给他们提供一个实践的环境,这个环境离不开校园网。 2.校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库, 所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。 3.校
7、园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须 建立在校园网上。 4.校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接, 这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网 上树立学校的形象都是很容易的。 教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传 统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如 何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫 的任务之一。信息技术的应用,势必极大地推进教育手段和教育内容的革命性 变革。我们对此深信不疑,并将全身心地为之努力。 四川国际标榜职业学院是国家
8、具有独立颁发学历文凭资格的普通高等学校。 举办纳入国家招生计划的高等职业教育和面向全国的短期职业培训。学院自 1993 年开设“四川创美学院”,开始美容美发短期培训。1999 年更名为“四川 国际标榜发型美容专修学院”,并招收两年制大专学历文凭学生。2002 年经四 川省人民政府批准,更名为“四川国际标榜职业学院”,开设了人物形象设计、 发型设计、现代美容、中国传统养生美容、运动保健、服装设计、时装设计及 产品开发、平面设计、游戏软件、商贸英语、景观设计、室内设计、家具设计 与制造、古旧家具修复与保护、陶艺设计、市场营销与策划、广告与传媒、工 商企业管理等十九个专业或专业方向。纳入国家统一招生
9、计划,招收三年制、 五年制高职学生。同时设立继续教育学院,招生成人教育和中职学生,进行职 业技能培训,保留了短期职业培训机构。 学院是美国国际标榜在中国设立的唯一排它性学历教育机构,授权使用 “国际标榜”注册商标,在教育教学质量体系建设、课程中国本土化合作、教 学研究、师资队伍建设、信息资源共享、技术与产品创新等六个方面进行了长 期的、全方位的合作。美国国际标榜是世界上最权威的形象设计教育产业机构, 1962 年成立于美国芝加哥,2000 多所会员学校分布在全球 70 多个国家和地区。 2007 年 10 月,四川国际标榜职业学院顺利通过教育部高职高专人才培养 水平评估并获得优秀。 2008
10、年 8 月,四川国际标榜职业学院教学实践基地女红坊为北京奥运 会设计制作了 3680 套 15000 多件头饰品;学院 300 余名师生出色地完成了 2008 北京奥运会开幕式 10000 余名演员的化妆造型任务。北京奥组委对四川国 际标榜职业学院参与奥运工作的表现,对标榜师生展示出来的道德情操、职业 素养和专业技能给与了高度赞扬。2009 年 1 月 6 日,中央电视台 5 频道奥运 档案节目专门播出了标榜化妆造型团队的事迹。 四川国际标榜职业学院从短期职教走到今天的高职高专教育,经历了十几 年的实践。在未来的征程中,将继续沿着 “以市场为导向、以质量求生存、以 特色求发展”的办学方针,创立
11、独具特色的职业教育理念及办学方法。 1.2 课题概况 四川国际标榜职业学院需要进行校园园区网改造建设,改变原来网络网速 缓慢,线路走向混乱。新校园网园区以单模光缆连接了各栋楼宇,覆盖全部教 学办公区域和教学区域,实现校园内全部无线覆盖。校园网计划分布有 3000 多 个网络端口,目前需要在原来网络的基础上升级改造,全部重新铺设光纤线路。 需接入校园网的计算机约 2000 多台,并计划校园网能提供 Ipv4 并保留升级 ipv4 与 Ipv6 的双栈服务。新校园网将根据当前与今后一段时间的发展需求, 规划一个全新的校园网系统,该校园网系统必须具备高校教育行业应用特点, 满足教学、办公、学生教师上
12、网的信息化需求,同时新的校园网系统必须满足 将来扩展的需要进行整体计划,在满足当前需要的同时,还必须具备一定的前 瞻性。 在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特 色业务等扩展性,如:校园网内部的服务器的访问,由于学生的访问的内容多 样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。 在本课题中本人主要参与了,光纤线路的铺设和熔接,VLAN 与子网的划分, 交接机的配置调试及上架,无线 AP 的安装。 1.3 课题目的 本课题的来源是四川国际标榜职业学院校园网网络升级改造建设的过程和 需要,改变原有校园网的安全性差、带宽较小、性能较低等状况。校园网的整
13、 体结构是一个通过光纤连接的三层园区网络并连接到互联网和教育网,在网络 每一级的主干节点上具有一个局域网。校园网需要对学校内几千个端点进行管 理,这其中存在的监控、管理、认证等各种问题十分复杂,学院的建网目标是 连接学院内的所有应用节点并实现与互联网和 CERNET 网的安全互联,建立信息 资源服务体系,在满足学院系统内信息化需求的同时,向内部师生员工和社会 提供信息资源服务。基于这种情况,考虑到四川国际标榜职业学院联网计算机 较多,具有较多的网络设施和应用系统,为保障校园网的运行安全和应对各种 网络风险,有必要统一规划,设计一个符合四川国际标榜职业学院校园网实际 的校园网系统,有计划地分步骤
14、实施。 第二章 需求分析和设计原则 2.1 需求与分析 校园网作为一种独特的模式,既具有一般企业网的特质,又有其特殊的地 方。相同之处在于:作为集团用户,接入网络都需要具有一定的独立性和相当 的可统计、可管理性的特性;较之一般的企业网,校园网又会面临更复杂的用 户类型和业务需求,它不是单纯的办公网络,是一个承载教学、办公自动化、 图书馆等多种业务和应用的平台,建设一个性能强大的校园网络是必不可少。 当前校园网的主要特点:网络吞吐能力高、速度快、系统规模大(多校区) ; 用户群庞大、多层次(教师、学生等) 、接入方式多样 (PPPoE、DHCPWeb、802.1x、专线接入、WLAN 等) ;网
15、络环境复杂、多网共 存(教学网、科研网、办公网、无线网、学生宿舍网、教工家属网等) ;数据业 务复杂(网上点播、电子教室、财务、政务等) 、类型多样(数据、语音、视频 等) ;用网时间集中、同时在线人数众多、流量巨大且分布时段不均;学生活跃、 好奇、敢于尝试、攻击性强;计算机蠕虫、病毒泛滥、盗版资源泛滥、网络行 为突发性高;教育网作为我国开展下一代网络研究的试验基地,其采用了先进 性的技术,Cernet2 试验网的开通,是我国第一个 IPV6 主干网,也是世界上规 模最大的纯 IPV6 网,标志着中国下一代互联网建设拉开了序幕。一般高校校园 网的主要需求有: 1、多出口需求:典型的组网有中国教
16、育和科研网(CERNET)出口和运营商 网络出口。 2、管理的需求:包括对用户和设备的管理,可操作、易管理、具备灵活的 计费策略、扩展能力强。 3、区分内、外网需求:限制资源的访问,对内、网采用不同计费策略。 4、安全需求:非法的 DHCP Server、病毒、攻击、上网日志等。 5、NAT 需求:公网地址不够,在运营商或教育网其中一个出口做 NAT。 6、多业务需求:强大的组播支持能力、多业务融合(语言、数据、饰品) 能力。 7、可靠性需求:设备具备高性能、高可靠性、高稳定性、高安全性。 8、投资需求:高性价比、平滑升级、投资保护。 9、Qos 需求:具备完善的 QOS 能力。 2.1.1
17、具体需求 1、升级后对用户和设备的管理,可操作、易管理、具备灵活的计费策略、 扩展能力强。 2、升级后能更有效的防止非法的 DHCP Server、病毒、攻击。 3、升级后网络具备高性能、高可靠性、高稳定性、高安全性。 4、升级后无线使用认证接入方式,并实现相应区域漫游。 5、升级后能更好的控制网络流量在上班时间阻止不必要流量,合理利用现 有带宽。 2.1.2 需求分析 1、升级后全部采用可管理的网络设备,到达远程对设备的管理和操作。 2、网络全部采用认证接入方式,防止不明计算机接入,保证接入的安全性。 3、核心到汇集全部采用单模光纤并做相应的备份,提供高速可靠的传输。 4、加装流量监控设备,
18、智能应用管理合理利用流量,防止不必要流量产生。 5、无线认证接入,提供漫游。 2.2 设计目标 针对本次学院网络升级改造建设课题,按照以下目标来实施网络建设: 1、以校区新网络建设为契机,将学院网络建设成为信息一体化、管理集中 化、业务多样化的优秀校园网络; 2、新网络结构清晰,网络层次合理数据网络需要采用分布式布线,各个配 线节点通过单模光纤与中心交换机相连,形成万兆骨干、千兆骨干、桌面百兆 接入、无线全院覆盖的宽带网络,网络建成后,应该实现各信息点的高速上网、 能为多媒体教学科研提供一个高速承载平台,支持 MPLS、IPV6 等特性,方便的 网络管理、安全的认证; 3、运营商级的网络系统安
19、全性、运营安全性; 4、网络带宽大幅提升:核心层与汇聚层之间全部采用万兆并预留千兆升级 接口连接,汇聚层之间采用千兆连接,消除带宽瓶颈; 5、多样性访问权限控制与管理;针对不同类别用户采取不同认证、计费策 略。 2.3 设计原则 现在高校校园网建设要实现内部全方位的数据共享,应用三层交换,提供 全面的 QoS 保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图 书馆管理自动化,而且还要通过 Internet 实现远程教学,提供可增值可管理的 业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放 性、兼容性、可扩展性。高校网络建设遵循以下基本原则: 1、可管理性 高校网络
20、是一个庞大而且复杂的网络,为了保障网络的正常使用以及设备 的良好维护需要一个功能强大,具有分级、分权管理能力的网管系统,实现统 一的网络业务调度和管理,降低网络运营成本。同时由于高校网络的使用者数 量巨大,网上开展的业务众多,因此需要能够提供用户的高效管理,以确保用 户和学校的利益不受损失。 2、可增值性 校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增 值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对 不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以 网养网。 3、可扩充性 考虑到用户数量和业务种类发展的不确定性,校园网络要建设成完整统
21、一、 组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。 4、开放性 技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或 内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良 交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络 统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。 5、安全可靠性 设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提 供网络安全防范措施。 第三章 系统设计方案 根据校园网升级建设的需求和设计原则,并结合学院校园网的当前状况和 未来发展趋势,本论文为学院校园网网络建设量身定制
22、了一套合体合用的校园 网升级建设方案。整个网络方案设计突出层次化、可管理、易维护、高可靠性 的原则,确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。 3.1 网络拓扑设计 3.1.1 原拓扑结构 四川国际标榜学院原网络结构采用了三台软路由来连接不同的 ISP,采用 单核心交换,接入层连接复杂。如图 3-1 所示。 图 3-1 标榜学院原拓扑结构图 在此网络中三层网络结构不明显,线路连接混乱,没有明显的层次结构。用 户长期反映,网络缓慢,掉包严重。无法提供稳定的网络环境。 3.1.2 拓扑选择 网络拓扑结构,特别是网络主干拓扑结构的设计直接关系到网络性能的好 坏。一般来说局域网总体结构分
23、为三层网络结构和两层网络结构。三层网络结 构包括核心层、汇聚层和接入层;两层网络结构分为核心层和接入层。 三层结构中的汇聚层一般起到分担核心层负担的作用,通常在广域网或者 用户数量很大的情况下采用。两层结构相对于三层结构投资少,网络结构简单、 维护方便、网络故障环节少,但是仅仅适合相对用户数量较少的情况;另外, 二层结构对于有技术功底的学生来说,让核心设备直接暴露在学生的 PC 下面, 造成不安全因素;同时,大量的服务器以及应用平台直接下带核心设备,也极 大的占用了核心设备的高速转发性能,体现不出核心交换机的功能。因此,校 园网一般采用三层结构,包括核心层、汇聚层和接入层。三层结构出了方便用
24、户管理和设备管理之外,也提供了良好的网络安全性和扩展性。 核心层主要作用是提供高速传输和路由最优化通信,为下层提供优化的数 据运输功能,它是一个高速可靠的主干,其作用是尽可能快地交换数据包而不 应卷入到具体的数据包的运算中(ACL,过滤等),否则会降低数据包的交换速度。 汇聚层的作用是汇聚接入层的流量,连接核心层,为接入层和核心层提供 通道。 接入层主要完成用户的接入控制,还应能对由用户接入层所区分开的不同 优先级的应用加以区别对待,从而支持端到端的服务质量以及提供 VLAN 的功能。 根据这种层次化网络设计思想的原则,我们可以把校园网的整个网络体系 结构分为以下三个层次: 由位于中心机房的核
25、心交换机组成的核心层; 由位于楼宇机房的汇聚层交换机组成汇聚层; 由位于各楼层的信息点和接入组成接入层; 3.1.3 拓扑结构图 总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和 统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采 用模块化的设计方法。新网络拓扑图如图 3-2 所示。 图 3-2 新网络拓扑 3.1.4 拓扑结构说明 1、新的校园网络从核心层到汇集层全部使用单模光纤。 2、采用 5 条万兆链路连接重点区域。 3、除 5 条万兆链路外,其余全部使用千兆光纤连接。 4、用户接入采用无线与有线结合,接入交换机全网管。 5、采用层次结构使网络易于管理。
26、 6、采用高性能的单核心交换。 3.2 详细设计及设备选型 3.2.1 光纤链路设计 本次网络升级不仅仅是设备的升级也是线路的升级,把过去多模光纤网络, 全部更换为传输更可靠传输距离更远的单模光纤网络。为了使网络有一定量的 冗余,更好的管理光纤线路,光纤链路使用交接箱连接方式。从中心交接箱到 中心机房采用 72 芯,从中心交接箱到飞燕楼交接箱采用 32 芯,从中心交接箱 到 CB 楼交接箱采用 32 芯,从中心交接箱到龙子楼交接箱采用 32 芯,其余链路 为 8 芯和 4 芯。光纤链路图如图 3-3 所示 图 3-3 光纤链路图 3.2.2 核心层设计 核心交换机是整个网络的计算和内部数据交换
27、处理中心,在整个局域网内 是最为关键和重要的设备。核心交换机推荐采用 H3C9512 交换机一台。如图 3- 4 所示 图 3-4 H3C 9512 交换机特点: 基于 ASIC 的高性能业务 线速的 MPLS 业务处理 H3C S9500 系列支持分布式的 MPLS 业务,分布在接口板上的 ASIC 芯片直 接完成 MPLS 标签的线速处理,不存在集中式处理的瓶颈,MPLS 性能业界最高。 与其他集中式的 MPLS 设备相比,S9500 保障了大业务量时 MPLS 的高可用性, 持续保护用户投资。 线速的 IPv6 业务处理 H3C S9500 系列支持分布式的 IPv6 业务,分布在接口板
28、上的 ASIC 芯片 支持对 IPv6 报文的线速处理,用户通过升级操作系统可实现基于 ASIC 的全 线速 IPv6 转发,极大保护用户投资,适应网络业务不断发展的需求。 大容量高性能路由交换 H3C S9500 系列提供业界领先的交换能力,其最高的 1.44T 路由交换引擎 可以实现 576 个千兆或 48 个万兆端口的线速转发,三层包转发能力高达 857Mpps。 融合的网络安全特性 集成的安全特性 H3C S9500 系列产品基于开放的 OAA 架构,可以集成防火墙模块、IPS 模块、 ACG 应用控制网关模块、AFC 异常流量清洗模块、LB 负载均衡模块、SSL VPN 模块,通过产
29、品的融合实现网络安全一体化的解决方案。 设备自身的安全特性 H3C S9500 系列采用“最长匹配、 逐包转发”模式,能够抵御网络病毒的 攻击; 支持 OSPF、 RIPv2 及 BGPv4 报文的明文及 MD5 密文认证;支持 IP、VLAN 、MAC 和端口等多种组合绑定方式,防范地址盗用;支持广播报文抑 制,有效控制 ARP 等非法广播流量对设备造成冲击;支持 URPF,防止 IP 地址 欺骗;支持报文安全过滤,防止非法侵入和恶意报文攻击等。 管理的安全性 H3C S9500 系列支持 IEEE 802.1x、AAA/Radius、HWTACACS,对用户身份 进行合法性认证;支持用户分
30、级管理,不同级别的用户拥有不同的配置权限; 支持安全的 SNMPv3 网管协议;支持安全的远程登录 SSH V2;支持受限 IP 地址 方式的 Telnet 登录。 最长的网络正常运行时间 产品的无单点故障设计 H3C S9500 系列采用分布式体系结构,所有关键部件采用冗余设计,包括 主控板、交换网、电源和风扇等;采用无源背板设计,避免机箱出现单点故障; 所有单板支持热插拔功能,并且对其它单板上运行的业务无影响。 路由协议的高可靠保障 H3C S9500 系列支持 OSPF/IS-IS/BGP 的优雅重启技术(Graceful Restart) ,可以实现用户业务的不间断转发;支持动态路由协
31、议、跨板端口聚 合、虚拟路由冗余协议(VRRP)等保护机制,有效保证全网高速可靠 运行。 快速自愈的环网保护技术 H3C S9500 支持 RPR(弹性分组环) ,RPR 技术融合了 SDH 故障自愈的高 可靠性与以太网的经济性、高带宽、灵活性、可扩展能力等优势,可以保障小 于 50ms 的故障切换时间,音频、视频等实时业务不受故障影响。RPR 技术为 用户提供了高可靠的多业务传输解决方案。 融合的多业务特性 网络业务分析 H3C S9500 系列通过高性能的网络处理器实现对网络业务的分析。支持 V5、V8 和 V9 多种日志格式,与 XLOG 日志审计系统配合,为用户提供完整的网 络流量分析
32、解决方案;支持向主、备服务器同时发送日志,防止统计信息丢失。 网络业务分析使原本不可见的网络业务应用流量变得一目了然,进而可以帮助 用户及时优化 网络结构,调整资源部署。 高品质 QoS 特性 H3C S9500 系列支持完善的 QoS 功能,支持流量监管,粒度可精细化到 8Kbps;支持流量整形,可基于端口或队列灵活设置;支持报文 DSCP 优先级、 IP 优先级、TOS 优先级、COS 优先级以及 Exp 优先级的重置 功能;支持报文重定向功能,可根据网络流量状况灵活配置报文的转发路径; 支持多种模式的队列调度机制;支持多种拥塞避免机制。 定制的行业解决方案 H3C S9500 系列根据行
33、业用户的个性化需求,推出了多种新业务特性:支 持 Portal 认证,使最终用户无须安装客户端即可完成认证;支持对 BT 流量 控制,防止 P2P 业务对出口带宽资源的滥用;在校园网中对不同网段的流量区 分计费,满足教育用户的需求;支持可编程的开放接口,可针对各行业客户需 求实现个性化的业务定制。 产品规格及参数:(见表 3-1 所示) 表 3-1 H3C 9512 产品规格及参数: 背板容量(bps) 槽位数量 业务槽位数量 MAC 地址表 1.8T 14 12 168k/System 交换容量(bps) XRCoreEngine I 720G XRCoreEngine II 1.44T I
34、Pv4 包转发率(pps) XRCoreEngine I 428M XRCoreEngine II 857M IPv6 包转发率(pps) XRCoreEngine I 374M XRCoreEngine II 749M 二层特性 支持 IEEE 802.1Q(VLAN) 支持 IEEE 802.1d(STP)/802.1w(RSTP)/802.1s(MSTP) 支持 IEEE 802.1ad(QinQ)和灵活 QinQ 支持 IEEE 802.3x(全双工流控)和背压式流控(半双工) 支持 IEEE 802.3ad(链路聚合)和跨板链路聚合 支持 IEEE 802.3(10Base-T)/8
35、02.3u(100Base-T) 支持 IEEE 802.3z(1000BASE-X)/802.3ab(1000BaseT) 支持 IEEE 802.3ae(10Gbase) 支持 IEEE 802.3af(POE) 支持 IEEE 802.17(RPR) 支持 RRPP(快速环网保护协议) 支持端口镜像和跨板的端口镜像 支持端口广播风暴抑制 支持多播流量限制 支持 Jumbo frame 支持基于端口、协议、IP 子网的 VLAN 划分 支持基于用户名、MAC 地址的 VLAN 动态分配 支持 SuperVLAN、支持 Isolate VLAN(PVLAN) 支持 GVRP、ARP Prox
36、y 路由特性 支持静态路由 支持 RIPv1/v2 支持 OSPFv2 支持 IS-IS 支持 BGPv4 支持 OSPF/IS-IS/BGP GR (Graceful Restart 优雅重启) 支持等价路由 支持策略路由 支持路由策略 支持 DHCP Relay 支持 DHCP Server 组播 支持 IGMP v1/2/3 支持 IGMP Snooping v1/2/3 支持 IGMP Filter、支持 IGMP Fast leave 支持 IGMP Proxy 支持 PIM-SM 支持 PIM-DM 支持 MSDP 支持 MBGP 支持 Any-RP 多业务特性 支持 MPLS 支
37、持 MPLS L3 VPN、VLL L2 VPN 支持 VPLS VPN、L2TP/GRE/IPSec VPN 支持防火墙功能、NAT 功能、网络流量分析 IPv6 特性 支持 RIPng、OSPFv3、IS-ISv6、BGP4+ 支持 IPv6 Policy Routing、VRRPv3 支持 Neighbor Discovery Protocol、Path MTU Discovery 支持 DHCPv6、Ping v6、Telnet v6、FTPv6、TFTPv6、DNSv6、ICMPv6 支持 MLD(Multicast Listener Discovery) v1、MLD Snoopi
38、ng v1、PIMv6 支持 IPv6 手工隧道、6to4 隧道、ISATAP 隧道、GRE 隧道、IPv4 兼容自动配置隧道 QoS 支持 802.1P(COS 优先级) 支持 DSCP 支持 Diff-serv/QoS 支持基于标准、扩展、VLAN ACL 进行流量分类 支持流量监管(CAR) ,粒度为 8Kbps 支持流量整形(Traffic Shapping) 支持队列调度机制,包括 SP、WRR、SP+WRR 支持拥塞避免机制,包括 Tail-Drop、WRED 安全机制 支持 IEEE 802.1x 和 IEEE 802.1x SERVER 支持 Portal 认证、支持 Radi
39、us/HWTACACS 支持基于标准、扩展、VLAN 的 ACL 报文过滤 支持 OSPF、RIPv2 及 BGPv4 报文的明文及 MD5 密文认证 支持安全网管 SNMPv3、SSHv2 支持命令行采用分级保护方式,防止未授权用户的非法侵入,为 不同级别的用户有不同的 配置权限 支持受限的 IP 地址的 Telnet 的登录和口令机制 支持 IP 地址、VLAN ID、MAC 地址和端口等多种组合绑定 支持广播报文抑制 支持主备数据备份机制 机柜/机箱配置:(见表 3-2 所示) 表 3-2 H3C9512 机柜/机箱配置: 描述 数量范围 备注 H3C S9512 路由交换机主机 1 4
40、8 端口 10/100/1000M 电接口业务板 2 24 端口千兆以太网光接口业务板 1 4 端口万兆以太网光接口业务板 2 无线控制器业务板 2 直流电源模块-2000W 2 3.2.3 汇聚层设计 由于校园网的各区域存在密集度高的大量用户,为了保证数据传输和交换 的效率,在各个楼内设置三层楼内汇聚层。楼内汇聚层设备不但分担了核心设 备的部分压力,同时提高了网络的安全性。我们建议楼内汇聚采用 LS-5500- 28C-SI 汇聚交换机 5 台提供万兆链路主要负责用户密集区域。如图 3-5 所示 图 3-5 LS-5500-28C-SI 交换机特点: 高扩展性保护投资 随着用户端速度不断提高
41、,用户最终会使集群千兆链路达到饱和,而能够 拥有多条集群 10GE 链路将是我们的未来发展方向。S5500-SI 系列交换机支持两个扩展槽位, 每个槽位支持单端口或双端口的 10GE 扩展模块,在实现千兆汇聚或接入时保 留进一步支持 10GE 的扩展能力,尽力保护用户投资。此外,每槽位还可以支 持双端口 SFP 扩展模块,整机可用千兆端口数可以达到 28 或者 52。 S5500- SI 系列硬件支持 IPv4/IPv6 双栈,其中 IPv4 支持静态路由和 RIP 协议, IPv6 支持静态路由和 RIPng 协议。同时支持 IPv6 的 ACL 和网管,实现 IPv4 到 IPv6 的平滑
42、升级。 H3C S5510-SI 交换机采用专利技术允许交换机利用专 用互联电缆实现多达 16 台设备的堆叠,支持不同端口设备的混合堆叠。具有 即插即用、单一 IP 管理的优点。同时大大降低系统扩展的成本,保护了用户 投资。 多业务支持能力 支持 PoE (Power over Ethernet) 技术, 通过以太网对所连接的设备 (如 IP Phone, Wireless AP 等)进行远程供电,从而使得不必在使用现场为 设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。 支持 Voice VLAN 技术,交换机通过识别端口的语音流,将对应的接入端口加 入 Voice VL
43、AN(专用语音 VLAN)中,为语音流量提供专门通道,并自动下发 优先级规则保证语音流的优先传输来保证通话质量。同时通过设置 Voice VLAN 安全特性,只允许语音流量通过,可以有效防止突发数据流量对 Voice VLAN 内的语音流量的冲击。 S5500-SI 系列交换机通过支持 POE 和 Voice Vlan 技 术结合可以提供完整的语音设备管理方案,很好地解决了大量的 IP PHONE 的智 能检测、供电和优先级的调整问题。 完备的安全控制策略 H3C S5500-SI 系列交换机支持 EAD(端点准入防御)功能,配合后台系统 可以将终端防病毒、补丁修复等终端安全措施与网络接入控制
44、、访问权限控制 等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔 离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全 面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威 胁的整体防御能力。 H3C S5500-SI 系列交换机支持对试图接入网络的用户进 行 802.1x 认证。可以在交换机上对 802.1x 客户端的版本和有效性进行验证, 防止非法用户登录网络。支持集中式 MAC 地址认证,可以基于端口和 MAC 地 址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端 软件, 而且可以同时运行 802.1x 认证和基于
45、MAC 地址认证。 提供 Guest Vlan 功能,使得为被授权的访问端只能接入访问特定的资源, 并且会采取相 应的策略, 例如可以获得 802.1x 客户端、升级客户端或者获得其他的升级程 序等等。支持 Secure Shell V2(SSH V2)特性可以提供安全的信息保障和强 大的认证功能,以保护以太网交换机不受诸如 IP 地址欺诈、明文密码截取等 等攻击。 丰富的 QoS 策略 H3C S5500-SI 系列交换机支持支持 L2(Layer 2)L4(Layer 4)包过滤 功能,提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、 TCP/UDP 端口号
46、、协议类型、VLAN 的流分类。提供灵活的对列调度算法,可以 同时基于端口和队列进行设置,支持 SP(Strict Priority) 、 WRR (Weighted Round Robin) 、 SP+WRR 三种模式。 支持 CAR (Committed Access Rate)功能,粒度最小达 64Kbps。支持出、入两个方向的端口镜像, 用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进 行网络检测和故障排除。 出色的管理性 H3C S5500-SI 系列交换机支持 SNMPv1/v2/v3(Simple Network Management Protocol) ,可
47、支持 Open View 等通用网管平台以及 iMC 智能管 理中心。支持 CLI 命令行, Web 网管,TELNET,HGMPv2 集群管理,使设备管 理更方便,并且支持 SSH2.0 等加密方式,使得管理更加安全。 H3C S5500- SI 系列交换机支持基于 MAC 地址划分 VLAN,很好的解决了移动办公的智能灵 活管理;结合特有的基于全局和 VLAN 下发 ACL 策略,在简化用户配置的同时, 也大幅节约了硬件资源。 产品规格及参数:(见表 3-3 所示) 表 3-3 H3C S5500-SI 产品规格及参数: 产品类型 千兆交换机 传输方式 存储转发方式 背板带宽 128Gbp
48、s 包转发率 95.2Mpps 接口类型 10/100/1000M 电口,100/1000M 电口, 千兆 SFP Combo 口, 24 口 传输速率 10M/100M/1000Mbps 模块化插槽数 4 个 支持网络标准 IEEE802.3x, 802.1X 网管功能 支持网管功能,支持命令行接口(CLI)配置, 支持 Telnet 远程 配置, 支持通过 Console 口配置, 支持 SNMP, 支持 RMON, 支 持 Quidview 网管系统, 支持 WEB 网管, 支持系统日志, 支持 分级告警, 支持 HGMP, 支持 NTP, 支持电源的告警功能, 支 持风扇, 温度告警
49、MAC 地址表 16K 3.2.4 接入层设计 接入层是直接与校园网众多计算机相连的设备,校园网的接入层建设中, 实训机房网络接入最为典型,在整个校园网的接入网建设中占有很大的比重, 其主要特点是上网时间集中,突发流量大、安全控制要求高。学院网络升级后 大部分教师采用无线上网方式,安全认证就是最总要的问题。 鉴于上述特点,对于学院校园网网络接入层采用 802.1x 认证方式,配合 PVLAN、单端口环回检测、端口速率限制、集群管理等手段,达到对学生可控、 可管理的目的。 因此接入层设备采用 H3C E126A 和 H3C E152 和 H3C WA2210-AG AP 配合使 用。 如图 3-6、图 3-7、图 3-8 所示 图 3-6 H3C E126A 图 3-7 H3C E152 图 3-8 H3C WA2210-AG 交换机特点: 全面的接入安全策略 H3C E126A/E152 教育网交换机支持特有的 ARP 入侵检测功能,可有效防止 黑客或攻击者通过 ARP 报文实施校园网常见的“中间人”攻击,对不符合 DHCP Snooping 动态绑定表或手工配置的静态绑定表的非法 ARP 欺骗报文直接丢弃。 同时支持 IP Source Check 特性,防止包括 MAC 欺骗、IP 欺骗、MAC/IP 欺 骗在内的非法
