住宅小區(qū)網(wǎng)絡(luò)規(guī)劃設(shè)計方案-網(wǎng)絡(luò)規(guī)劃設(shè)計方案

1、住宅小區(qū)網(wǎng)絡(luò)規(guī)劃設(shè)計方案住宅小區(qū)網(wǎng)絡(luò)規(guī)劃設(shè)計方案（此文檔為 word格式，下載后您可任意修改編輯?。?引言近年來，許多房地產(chǎn)開發(fā)商在住宅小區(qū)開發(fā)時規(guī)模大小不等，近幾 年隨著房地產(chǎn)和網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，社區(qū)建設(shè)逐漸成為開發(fā)商的 主要工作。因為互聯(lián)網(wǎng)的信息和服務(wù)內(nèi)容的不斷擴展，允許用戶對網(wǎng)絡(luò) 的需求急劇增加。同時，網(wǎng)絡(luò)小區(qū)還將對開發(fā)商和具有商業(yè)價值的社區(qū) 帶來新的市場機會。隨著計算機技術(shù)，通信技術(shù)，控制技術(shù)和多媒體技 術(shù)的發(fā)展，小區(qū)的網(wǎng)絡(luò)系統(tǒng)建設(shè)也在不斷發(fā)展。某某小區(qū)用地面積19.35萬平方米，按1000戶規(guī)模設(shè)計，小區(qū)網(wǎng)及 信息化基礎(chǔ)設(shè)施建設(shè)要充分體現(xiàn) 21世紀高等小區(qū)建設(shè)水平，包括小區(qū)物

2、業(yè)辦公室，綜合服務(wù)中心，居民樓等建筑，建筑面積超過20.47萬平方米，是一座舒適、現(xiàn)代化小區(qū)。隨著網(wǎng)絡(luò)覆蓋面積的增加、用戶數(shù)量的擴大，以及用戶對信息傳輸 速度要求的不斷提高，網(wǎng)絡(luò)的技術(shù)服務(wù)和用戶服務(wù)的工作量和難度亦不 斷提高，將小區(qū)網(wǎng)絡(luò)變得更方便，更安全是每個開發(fā)商共同努力追求的 目標。因此，在網(wǎng)絡(luò)中添加相應(yīng)的設(shè)備，重新規(guī)劃小區(qū)的IP地址，選取新的網(wǎng)絡(luò)技術(shù)，使網(wǎng)絡(luò)更安全，方便完善正是這次設(shè)計所要解決的問題。為此，我們根據(jù)社區(qū)的用戶需求，對某某小區(qū)網(wǎng)絡(luò)系統(tǒng)的建設(shè)提出 我們的一些想法和設(shè)計2網(wǎng)絡(luò)建設(shè)的目標隨著生活節(jié)奏的加速，生活質(zhì)量的提高，人們需要更快的信息傳輸 平臺，所以一個高效、安全的網(wǎng)絡(luò)是人

3、們生活中不可或缺的。信息技術(shù) 的應(yīng)用與普及，將改變傳統(tǒng)的住宿模式并大幅度提高信息流動速率，數(shù) 字化小區(qū)、網(wǎng)上小區(qū)已被人們熟悉，住宅小區(qū)正在走向全面的信息化。在某某小區(qū)建設(shè)中應(yīng)推動小區(qū)信息化基礎(chǔ)設(shè)施建設(shè)，其最終建設(shè)目 標是將某某小區(qū)建設(shè)成為一個信息化時代下的高水平的智能化、數(shù)字化 小區(qū)，更好的對小區(qū)網(wǎng)絡(luò)進行管理。某某小區(qū)網(wǎng)絡(luò)系統(tǒng)在總體上需滿足以下幾個原則：結(jié)構(gòu)化小區(qū)內(nèi)部局域網(wǎng)建設(shè)，除住宅樓的接入信息點外，還存在資源共享 區(qū)域等等，其功能的不同決定了不同的信息點對網(wǎng)絡(luò)的要求和網(wǎng)絡(luò)設(shè)計 中考慮的因素不同。當某部分功能要求有所變化時，也只需要針對相應(yīng) 的功能結(jié)構(gòu)進行重新設(shè)計和改造升級，對網(wǎng)絡(luò)的其它組成

4、結(jié)構(gòu)和網(wǎng)絡(luò)的 主干沒有任何影響?；谶@些優(yōu)勢，小區(qū)內(nèi)部局域網(wǎng)采用結(jié)構(gòu)化的設(shè)計 模式。安全性為了保證小區(qū)內(nèi)的業(yè)主使用安全，避免互相干擾，網(wǎng)絡(luò)系統(tǒng)應(yīng)支持 多VLAN的劃分，并能在VLAW間進行第三層交換時進行有效的安全控 制，核心層部署硬件防火墻，保護整個小區(qū)的網(wǎng)絡(luò)安全，分布層部署軟 件防火墻，保護各個服務(wù)器上的數(shù)據(jù)安全。此外，在接入小區(qū)內(nèi)部網(wǎng)絡(luò) 的用戶通過身份認證系統(tǒng)，防止用戶賬號、IP地址、MAGfe址的盜用, 保證用戶身份的合法性。高可管理性為方便設(shè)計的施工以及驗收，乃至以后的易維護，網(wǎng)絡(luò)系統(tǒng)應(yīng)注意 保證整個系統(tǒng)的可管理性，統(tǒng)一管理。高性能在小區(qū)內(nèi)部局域網(wǎng)中，不僅要求網(wǎng)絡(luò)主干是高帶寬的，作為

5、一個網(wǎng) 絡(luò)的基礎(chǔ)，接入層設(shè)備也應(yīng)該達到高速(1Gbp。也就是說，交換機的 接入速率應(yīng)該達到千兆才能滿足未來的發(fā)展趨勢?？蓴U展性和可升級性系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高， 網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴展性，并 能隨著技術(shù)的發(fā)展不斷升級。標準協(xié)議支持網(wǎng)絡(luò)系統(tǒng)應(yīng)支持標準協(xié)議IP,是一個開放型的網(wǎng)絡(luò)，支持各種協(xié)議 的互聯(lián)。符合國際標準選用符合國際標準的系統(tǒng)和產(chǎn)品，可以保證系統(tǒng)具有較長的生命力 和擴展能力，滿足將來系統(tǒng)升級的要求。3網(wǎng)絡(luò)的設(shè)計規(guī)劃3.1網(wǎng)絡(luò)建設(shè)設(shè)計原則某某小區(qū)網(wǎng)絡(luò)系統(tǒng)具有覆蓋面積大，計算機節(jié)點分散，數(shù)據(jù)交換頻 繁和實時性要求高等特點，

6、所以對于計算機系統(tǒng)的處理能力、網(wǎng)絡(luò)遠程 通訊能力及系統(tǒng)可靠性要求很高。根據(jù)某某小區(qū)網(wǎng)絡(luò)系統(tǒng)的具體特點并 結(jié)合工作的具體需求，系統(tǒng)的建設(shè)遵循以下原則：先進隹計算機網(wǎng)絡(luò)技術(shù)發(fā)展很快，不斷有新技術(shù)、新產(chǎn)品涌現(xiàn)，我們要采 用先進的、成熟的計算機技術(shù)和網(wǎng)絡(luò)通訊技術(shù)來滿足業(yè)務(wù)的需求，保障 系統(tǒng)有較長的生命周期，但同時要堅持采用標準化產(chǎn)品。可靠性系統(tǒng)能長時間穩(wěn)定可靠地運行，并保證系統(tǒng)安全，防止非法用戶的 非法訪問。系統(tǒng)不能出現(xiàn)故障，或者說即使有設(shè)備出現(xiàn)故障，對網(wǎng)絡(luò)和 網(wǎng)上的數(shù)據(jù)不構(gòu)成大的威脅，要有設(shè)備對數(shù)據(jù)作備份。靈活性需求會變化，計算機網(wǎng)絡(luò)技術(shù)也在進步，需求和解決方案之間是一 個動態(tài)的匹配過程，因此，一方

7、面要構(gòu)筑一個穩(wěn)固( Strong )的技術(shù)平 臺，另一方面也要有在這平臺上作調(diào)整、升級和擴充的靈活性。系統(tǒng)應(yīng) 具有良好的可擴展性，易于升級，支持新業(yè)務(wù)發(fā)展需求，使原有投資得 到保護，因此在目前選擇方案和產(chǎn)品時要留出余地，選用的產(chǎn)品要有好 的升級擴充能力。網(wǎng)絡(luò)開放性網(wǎng)絡(luò)開放性的好壞，實際是指構(gòu)造網(wǎng)絡(luò)所選用的網(wǎng)絡(luò)硬件、軟件產(chǎn) 品的開放性如何，網(wǎng)絡(luò)產(chǎn)品是否可與其他廠商產(chǎn)品聯(lián)網(wǎng)。包括是否具有支持多種網(wǎng)絡(luò)協(xié)議的能力，是否支持通用的國際標準，或普遍使用的工 業(yè)標準等。開放性好的網(wǎng)絡(luò)不但可以在一個網(wǎng)絡(luò)系統(tǒng)上使用其他廠家的 網(wǎng)絡(luò)產(chǎn)品而實現(xiàn)“無縫聯(lián)接”，而且為進一步的網(wǎng)絡(luò)應(yīng)用環(huán)境的集成、為 實現(xiàn)網(wǎng)絡(luò)的可互操作性

8、提供了技術(shù)基礎(chǔ)條件。網(wǎng)絡(luò)的開放性好，也為網(wǎng) 絡(luò)的擴充、發(fā)展以及新的應(yīng)用領(lǐng)域開闊了天地。否則，不僅網(wǎng)絡(luò)的應(yīng)用 和發(fā)展受到限制，而且會導(dǎo)致投資浪費。網(wǎng)絡(luò)可互操作性網(wǎng)絡(luò)系統(tǒng)的可互操作性是指在一個網(wǎng)絡(luò)上的不同廠商的系統(tǒng)之間是 否可以透明的以統(tǒng)一界面相互訪問對方的系統(tǒng)、文件數(shù)據(jù)以及應(yīng)用系統(tǒng)， 以達到共享資源的目的。另一方面，可互操作性還體現(xiàn)在對網(wǎng)絡(luò)管理的 可互操作性上。包括網(wǎng)絡(luò)運行監(jiān)測、網(wǎng)絡(luò)應(yīng)用管理、網(wǎng)絡(luò)設(shè)備管理、網(wǎng) 絡(luò)安全管理以及網(wǎng)絡(luò)維護管理等，這些管理不僅在本地網(wǎng)絡(luò)上可以操作， 而且能夠在遠程網(wǎng)絡(luò)間進行互操作。網(wǎng)絡(luò)的兼容性當一個已有的網(wǎng)絡(luò)在采用新技術(shù)或新的網(wǎng)絡(luò)設(shè)備進行改進、擴充和 升級時，這些新的網(wǎng)

9、絡(luò)設(shè)施(軟、硬件)是否能與原有的或其他的網(wǎng)絡(luò)設(shè) 施兼容是非常重要的。好的兼容性可以保護原有的設(shè)備，可使新投資與 原有的設(shè)備同時發(fā)揮效益。網(wǎng)絡(luò)的可用性建成后網(wǎng)絡(luò)的可用性高低是網(wǎng)絡(luò)用戶最為關(guān)心的，它也是對網(wǎng)絡(luò)質(zhì) 量和網(wǎng)絡(luò)性能的綜合衡量?？捎眯允蔷W(wǎng)絡(luò)本身很多物理特性的總體體現(xiàn)， 如網(wǎng)絡(luò)的帶寬、網(wǎng)絡(luò)帶寬效率、網(wǎng)絡(luò)時延、網(wǎng)絡(luò)負載、網(wǎng)絡(luò)故障頻率等 狀況。同時也是網(wǎng)絡(luò)系統(tǒng)環(huán)境、網(wǎng)絡(luò)應(yīng)用環(huán)境和網(wǎng)絡(luò)應(yīng)用的支持能力、 水平和質(zhì)量的總體反映。如果一個網(wǎng)絡(luò)能支持傳統(tǒng)的文件與數(shù)據(jù)的傳輸、訪問和共享，同時 也能支持新型文件如多媒體的傳輸、訪問和共享服務(wù)，并且使用戶的應(yīng) 用需求能夠得到充分的滿足，那么這個網(wǎng)絡(luò)肯定是高質(zhì)量、

10、高性能的。（8）網(wǎng)絡(luò)的可伸縮性網(wǎng)絡(luò)的可伸縮性不只是一種網(wǎng)絡(luò)設(shè)施在構(gòu)造網(wǎng)絡(luò)時，在規(guī)模上可依 據(jù)需要擴大或減小，而且還應(yīng)體現(xiàn)在網(wǎng)絡(luò)的模塊化和結(jié)構(gòu)化方面。網(wǎng)絡(luò) 體系結(jié)構(gòu)的模塊化、結(jié)構(gòu)化是現(xiàn)代化網(wǎng)絡(luò)技術(shù)產(chǎn)品的標志和趨勢。網(wǎng)絡(luò)管理的任意性和網(wǎng)絡(luò)配置的簡便性等是網(wǎng)絡(luò)可伸縮性的另一重 要方面。（9）網(wǎng)絡(luò)的經(jīng)濟性一個好的網(wǎng)絡(luò)并不是高價網(wǎng)絡(luò)設(shè)備的簡單堆積，并不是網(wǎng)絡(luò)設(shè)備越 好，網(wǎng)絡(luò)就越好。衡量一個網(wǎng)絡(luò)的好壞和它的經(jīng)濟性，不能單看所用的 投資的多少，而應(yīng)以網(wǎng)絡(luò)所具有的功能和網(wǎng)絡(luò)可承擔的負荷，如網(wǎng)上的 用戶數(shù)、數(shù)據(jù)流量等參數(shù)去綜合衡量。以“少花錢，多辦事”的原則， 獲得更大的經(jīng)濟效益和社會效益。根據(jù)某某小區(qū)局域網(wǎng)網(wǎng)

11、絡(luò)應(yīng)用的特點，主干網(wǎng)的選擇對于網(wǎng)絡(luò)建設(shè) 的成功與否起著決定性的作用。選擇先進的主流網(wǎng)絡(luò)技術(shù)，不但能保證 整個網(wǎng)絡(luò)的正常運行，還能提供良好的可靠性，可用性，擴展性，不僅 有力地保證了某某小區(qū)各項活動的正常進行，而且保護小區(qū)網(wǎng)絡(luò)的各種 設(shè)備運行與使用1。3.2網(wǎng)絡(luò)的結(jié)構(gòu)化設(shè)計層次在網(wǎng)絡(luò)設(shè)計中的作用類似于生活中的層次。采用正確的層次， 就能使網(wǎng)絡(luò)有可預(yù)測性，具有幫助定義區(qū)域的功能。銳捷的層次模型可 以幫助設(shè)計，實現(xiàn)和維護可擴展的、可靠的和性能價格比高的層次化的 互聯(lián)網(wǎng)絡(luò)。小區(qū)網(wǎng)絡(luò)的主要層次包括：接入層（交換）、匯聚層（路由）、 核心層（骨干）。核心層是1臺銳捷網(wǎng)絡(luò)RG-S-8600,雖然小區(qū)人口多，

12、但網(wǎng)絡(luò)帶寬要 求并不高，所以用1臺交換機做核心。匯聚層主要是由若干個中端銳捷設(shè)備組成，匯聚層就是小區(qū)內(nèi)部每 棟樓之間接入核心的一個過渡的層次。它主要負責提供負載均衡、快速 收斂和可擴展性等作用。接入層就是用戶可見的部分，主要實現(xiàn)用戶層次的網(wǎng)絡(luò)的接入，一 般選用的都是比較簡單低端的設(shè)備。4某某網(wǎng)絡(luò)設(shè)計方案4.1網(wǎng)絡(luò)技術(shù)及接入方式的選擇4.1.1網(wǎng)絡(luò)技術(shù)的選擇當前的網(wǎng)絡(luò)技術(shù)主要有千兆以太交換網(wǎng)、FDDI、AT鳴可供選擇。千 兆以太網(wǎng)是快速以太網(wǎng)的延續(xù)，是性價比很高的一種主干網(wǎng)技術(shù)，千兆 以太網(wǎng)白身提供了完整的遷移途徑，通過它可以充分保護我們對現(xiàn)有網(wǎng) 絡(luò)設(shè)備的投資。前衛(wèi)以太網(wǎng)保留了 IEEE 802

13、.3和以太網(wǎng)幀格式和管理對 象規(guī)格。這一性能可以使小區(qū)網(wǎng)絡(luò)在進行白身升級的同時，不影響現(xiàn)有 線纜的使用、操作系統(tǒng)、協(xié)議、桌面應(yīng)用程序和網(wǎng)絡(luò)管理戰(zhàn)略與工具。 與原有的快速以太網(wǎng)、FDDk ATM等主干網(wǎng)解決方案相比，千兆位以太網(wǎng) 提供了一條最佳的路徑。至少在目前看來，是改善交換機與服務(wù)器之間 和交換機與交換機之間骨干連接的可靠、經(jīng)濟的途徑。結(jié)合某某小區(qū)網(wǎng)絡(luò)的需求分析及其未來網(wǎng)絡(luò)的發(fā)展?jié)摿x擇千兆以 太網(wǎng)技術(shù)作為組網(wǎng)技術(shù)，完全可以滿足某某小區(qū)的組網(wǎng)需求，也符合當 前網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢。要保證網(wǎng)絡(luò)的傳輸速率，必須有一定的帶寬。千兆交換式以太網(wǎng)可 以為每個端口提供1G的帶寬，完全可以滿足主干網(wǎng)的需要；

14、未來網(wǎng)絡(luò)的 發(fā)展是不可預(yù)知的，必須做好充分的向萬兆以太網(wǎng)過度的準備，千兆以 太網(wǎng)在向萬兆以太網(wǎng)過渡時會免去很多麻煩事情；在網(wǎng)絡(luò)技術(shù)的操作性 以及兼容性，最主要是技術(shù)的成熟和管理等方面綜合考慮，選取千兆以 太網(wǎng)是最佳選擇。4.1.3采用三層交換模式三層交換技術(shù)是二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。在傳統(tǒng)的交換技術(shù)中 是第二層在OSI網(wǎng)絡(luò)模型-數(shù)據(jù)鏈路層進行操作，而三層交換技術(shù)是在 第三層中的網(wǎng)絡(luò)模型中實現(xiàn)分組快速轉(zhuǎn)發(fā)。網(wǎng)絡(luò)路由的功能可以通過應(yīng) 用第三層交換技術(shù)來實現(xiàn)，該網(wǎng)絡(luò)性能可以根據(jù)不同的網(wǎng)絡(luò)條件進行優(yōu) 化。使用三層交換機的好處：除了高性能外，與二層交換機相比，三層交換機還具有一些獨有的 特性，這些特

15、性使三層交換機更有優(yōu)勢：高可擴展性與傳統(tǒng)外部路由器不同，在連接多個子網(wǎng)時，三層交換機的子網(wǎng)中 僅第三層交換模塊建立邏輯連接，需要增加端口，滿足本地區(qū) 3? 5年的 互聯(lián)網(wǎng)應(yīng)用。性價比高三層交換機在功能上比傳統(tǒng)的二層交換機更加強大，但價格上卻接 近二層交換機，百兆的三層交換機幾萬元左右，幾乎與高端的二層交換 機持平。內(nèi)置安全機制三層交換機可白身具有訪問列表的功能，并可以實現(xiàn)不同 VLAW間 的單向或雙向通信。如果設(shè)置了訪問列表，你可以限制訪問特定的 IP地 址。訪問列表不僅可以為內(nèi)部用戶禁止訪問某些站點，也可以用于防止 非法用戶訪問社區(qū)內(nèi)部網(wǎng)絡(luò)，降低網(wǎng)絡(luò)遭受攻擊的幾率，從而提高了網(wǎng) 絡(luò)的安全性4

16、。4.1.2網(wǎng)絡(luò)的介入選擇以太網(wǎng)技術(shù)成熟、成本低、結(jié)構(gòu)簡單、穩(wěn)定性、可擴充性好；便于網(wǎng)絡(luò)升級，同時可實現(xiàn)智能化物業(yè)管理、實時監(jiān)控、家庭白動化小區(qū)/大樓/家庭保安(如遠程遙控家電、可視門鈴等)、遠程抄表等，可提供智 能化、信息化的辦公與家居環(huán)境，以此保證不同層次用戶的需求3。4.1.4 采用VPNT7式接入VP阿以通過特殊的加密的通訊協(xié)議在連接在 Internet上的位于不 同地方的不同數(shù)量居民樓內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就如同 是構(gòu)建了一條專線一樣，但是它其實并不需要真正的去鋪設(shè)光纜之類的 物理線路。一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。結(jié)合某某小區(qū)網(wǎng)絡(luò)系統(tǒng)覆蓋面積大，

17、計算機節(jié)點分散，數(shù)據(jù)交換頻 繁和實時性要求高等特點，在小區(qū)網(wǎng)絡(luò)設(shè)計中選擇千兆以太網(wǎng)技術(shù)，考 慮到三層交換技術(shù)的各種優(yōu)勢，我們在網(wǎng)絡(luò)設(shè)計中將選用三層交換技術(shù)， 采用VPN的接入方式支持小區(qū)內(nèi)部網(wǎng)絡(luò)通信。4.2路由協(xié)議的選取因為考慮到小區(qū)網(wǎng)絡(luò)結(jié)構(gòu)較復(fù)雜，并且在網(wǎng)絡(luò)協(xié)議的選擇方面要考 慮到穩(wěn)定和簡便。所以本次設(shè)計選取 RIP-2作為路由協(xié)議。RIP-2是一種無類別協(xié)議(路由)，與RIP-1相比，它具有以下優(yōu)點：支持路由標記，并可以靈活地路由標記路由策略控制。該數(shù)據(jù)包攜帶掩碼的信息，它支持路由聚合和 CIDR(無類別的 域間路由)。支持下一跳的指定，并且可以被選擇在廣播網(wǎng)絡(luò)的最佳下一跳 地址。支持組播

18、路由發(fā)送更新報文，減少資源消耗。 支持協(xié)議消息的驗證，并提供明確的認證和驗證MD劭口密兩種 方式，增強安全性5。綜上特點，由于RIP適合大小適中且簡單的局域網(wǎng)，而且需要VLSM 和VLAN的劃分，所以某某小區(qū)內(nèi)網(wǎng)選擇 RIP-2更加合適。4.3網(wǎng)絡(luò)的拓撲結(jié)構(gòu)計算機網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是指網(wǎng)絡(luò)設(shè)備的物理連接關(guān)系。網(wǎng)絡(luò)的拓撲 結(jié)構(gòu)主要有總線網(wǎng)、環(huán)型網(wǎng)和星型網(wǎng)混合拓撲結(jié)構(gòu)等。借鑒現(xiàn)代網(wǎng)絡(luò)建設(shè)的基本原則及比較了上述各種網(wǎng)絡(luò)拓撲的優(yōu)缺點 后，本次針對小區(qū)的網(wǎng)絡(luò)設(shè)計選擇混合拓撲結(jié)構(gòu)最為合理?；旌贤負浣Y(jié)構(gòu)是由星型結(jié)構(gòu)或環(huán)型結(jié)構(gòu)和總線型結(jié)構(gòu)結(jié)合在一起的 網(wǎng)絡(luò)結(jié)構(gòu)，這樣的拓撲結(jié)構(gòu)更能滿足較大網(wǎng)絡(luò)的拓展，解決星型網(wǎng)絡(luò)在

19、 傳輸距離上的局限，而同時又解決了總線型網(wǎng)絡(luò)在連接用戶數(shù)量上的限 制。首先由于小區(qū)分為別墅區(qū)與普通住宅，采用單一的拓撲結(jié)構(gòu)根本不 能滿足用戶的需求，所以采用混合拓撲結(jié)構(gòu)，可以彌補其他拓撲的不足 之處。其次，某某小區(qū)網(wǎng)絡(luò)內(nèi)物理設(shè)施的建設(shè)不是十分規(guī)律，這也就導(dǎo)致 內(nèi)部節(jié)點以及網(wǎng)絡(luò)布線等不是十分規(guī)律，采用的信息傳播方式也有很多 不同。再者由于小區(qū)的可擴展能力十分強，內(nèi)部節(jié)點數(shù)量的增加和總線 長度的擴展十分可能。因此必須采用一種擴展能力相當強的網(wǎng)絡(luò)拓撲來 滿足用戶和未來的發(fā)展，混合拓撲結(jié)構(gòu)正適合當前某某小區(qū)網(wǎng)絡(luò)的需求。再次，網(wǎng)絡(luò)工程師們在設(shè)計網(wǎng)絡(luò)時不可能保證網(wǎng)絡(luò)永遠不出現(xiàn)故障, 故障可能是線路問題也可

20、能是設(shè)備問題。采用混合拓撲結(jié)構(gòu)可以保證一 個優(yōu)點，那就是容易維護。無論哪里出現(xiàn)錯誤，在維護的過程中都是相 當復(fù)雜的。采用混合拓撲結(jié)構(gòu)可以保證一個前提：無論哪個分支網(wǎng)絡(luò)出 現(xiàn)故障都不會影響到整個網(wǎng)絡(luò)的運行。最后，現(xiàn)在用戶對網(wǎng)絡(luò)速度的要求越來越苛刻，如果做的不好，很 可能受責罵。采用混合拓撲結(jié)構(gòu)可以保證數(shù)據(jù)傳輸速度，無論使用哪種 線路進行網(wǎng)絡(luò)傳輸都不會對整個網(wǎng)絡(luò)的速度上進行太多的限制。由上述可見。這種拓撲結(jié)構(gòu)主要有以下幾個方面的特點：應(yīng)用相當廣泛。擴展相當靈活。較易維護。速度較快。4.4網(wǎng)絡(luò)設(shè)備的選擇設(shè)備的選擇要盡量考慮到某某小區(qū)網(wǎng)絡(luò)規(guī)劃的目的及未來的可擴展 能力，從安全性、可靠性等多方面來考慮。

21、成熟實用的產(chǎn)品以及開放先 進的技術(shù)是我們選擇網(wǎng)絡(luò)設(shè)備首先也是必須考慮的問題。4.4.1核心設(shè)備的選擇在設(shè)備選型和結(jié)構(gòu)設(shè)計中網(wǎng)絡(luò)中心必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。特別是核心節(jié)點交換機，有兩個基本要求：高密度的端口，也能保持端口線速轉(zhuǎn)發(fā)；關(guān)鍵模塊必須是冗余的，如引擎管理，電源，風扇管理。在此 設(shè)計中，選擇銳捷2 RG-S8610基于十萬兆網(wǎng)絡(luò)平臺的 RG-S8610網(wǎng)絡(luò)核 心路由交換機。銳捷RG-S860源列交換機是銳捷網(wǎng)絡(luò)推出面向下一代融合網(wǎng)絡(luò)的高 密度多業(yè)務(wù)IPv6核心路由交換機，滿足未來小區(qū)以太網(wǎng)的應(yīng)用需求。RG-S8600系列交換機融合了 VSU(Virtual Switching

22、Unit)、MPLS/VPLS 網(wǎng)絡(luò)安全、無線網(wǎng)絡(luò)、IPv6、流量分析等多業(yè)務(wù)特性。豐富的槽位選擇 給客戶預(yù)留了豐富的擴展余地，VSU虛擬化特性簡化客戶的網(wǎng)絡(luò)結(jié)構(gòu)， MPLS/VPL睡擬專網(wǎng)技術(shù)打破客戶物理專網(wǎng)隔閡，形成融合統(tǒng)一網(wǎng)絡(luò)，完 善的IPv6特性滿足未來的升級改造。RG-S8600系列交換機可廣泛應(yīng)用于城域網(wǎng)、園區(qū)網(wǎng)和數(shù)據(jù)中心。RG-S8600系列包括三款型號：RG-S8614 RG-S861Cffl RG-S8606-BSERISJE。SPOH于標準的技術(shù)，擴大，MAC效率，AC180，基于一系列的ACL 技術(shù)支持IPv4/IPv6堆疊VLAN AC肪能。在ACL的配置也達到上千兆線

23、 速數(shù)據(jù)傳輸。最長匹配（LPM三層交換技術(shù)的IPv4/IPv6路由直接向網(wǎng)絡(luò)的靜態(tài) 和動態(tài)的方式存儲，目的網(wǎng)段使用轉(zhuǎn)發(fā)條目，和未知的目的地IP地址網(wǎng)段的數(shù)據(jù)包直接通過硬件的默認路由轉(zhuǎn)發(fā)，大大節(jié)省了硬件存儲空間， 避免內(nèi)存溢出導(dǎo)致高CPLffl用率的問題，以確保設(shè)備的正常運行。RG-S860虢供各種硬件的安全功能，如防DDO敏擊，非法數(shù)據(jù)包檢 測，防掃描，防源IP地址欺騙等，避免了傳統(tǒng)軟件對整體性能的影響。 支持廣播包抑制，有效控制流動的非法廣播設(shè)備的影響。支持IPv4、IPv6 , 結(jié)合多種組合，VLAN MACW端口，提高用戶的訪問控制。RG-S860岐持IPv6協(xié)議族和地址結(jié)構(gòu)，支持ND路

24、徑MT段現(xiàn)DNSv6 后，DHCPv6 ICMPv6回等 IPv6 特性。RG-S8600的 IPv6 靜態(tài)路由，RIPNG勺從 OSPFv3 IS-ISv6 的 BGP# 等IPv6單播路由協(xié)議的全面支持，支持 MLDV1/ V2, MLD貞聽和PIM-SM / DMv6, PIM-SSMv磅IPv6組播特性，為用戶提供完美的IPv4 / IPv6 解決方案。RG-S8600支持豐富的IPv4向IPv6過渡技術(shù)，包括：IPv6手動隧道， 6to4隧道，ISATAP隧道，IPv4 over IPv6 隧道技術(shù)，保證IPv4網(wǎng)絡(luò)向 IPv6網(wǎng)絡(luò)的平滑過渡。隨著IPv6在中國的發(fā)展不斷深化，在小區(qū)

25、網(wǎng)絡(luò)升級的未來選擇轉(zhuǎn)移 到IPv6網(wǎng)絡(luò)設(shè)備，為某某小區(qū)以后的網(wǎng)絡(luò)升級打下了良好的基礎(chǔ)。結(jié)合銳捷網(wǎng)絡(luò)流量分析系統(tǒng)，IPFIX技術(shù)可以對網(wǎng)絡(luò)進行異常檢測和 統(tǒng)計分析，輸出各種豐富的網(wǎng)絡(luò)流量分析報告，其中包括對所有流量: 流量使用情況，歷史和接口報表，可解析主機地址，流量分析，可變顯 示的信息，這可以幫助管理員對網(wǎng)絡(luò)異常進行分析，很快修復(fù)網(wǎng)絡(luò)，為 客戶提供客觀，準確的決策依據(jù)對網(wǎng)絡(luò)容量規(guī)劃，網(wǎng)絡(luò)應(yīng)用監(jiān)測和故障 診斷的問題，可以實現(xiàn)的真實網(wǎng)絡(luò)流量的可視化。IPFIX多業(yè)務(wù)模塊作為一個獨立的業(yè)務(wù)靈活擴展到銳捷交換機中，使 用獨立的硬件平臺，保證多業(yè)務(wù)模塊上的故障或維修，數(shù)據(jù)業(yè)務(wù)的核心 設(shè)備的正常轉(zhuǎn)發(fā)，保

26、證核心設(shè)備的高可靠性7。4.4.2匯聚層設(shè)備的選擇匯聚層節(jié)點必須提供全線速交換數(shù)據(jù)，確保順利接入節(jié)點和核心節(jié)點的數(shù)據(jù)交換，同時，當網(wǎng)絡(luò)流量大時，保證關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量。本次某某小區(qū)網(wǎng)絡(luò)匯聚層選用的 RG-S5750-E系列交換機是銳捷網(wǎng)絡(luò)推出的融合了高性能、多業(yè)務(wù)、高安全的新一代三層交換機?？蓴U展的高密度萬兆端口，加上全千兆的端口形態(tài)，提供 1: 1全線速多層交換，該交換機適合高性能、高帶寬和靈活擴展的大型網(wǎng)絡(luò)匯聚層，數(shù)據(jù)中心 服務(wù)器群，以及中型網(wǎng)絡(luò)核心的接入使用。業(yè)界領(lǐng)先的虛擬交換單元技 術(shù)（Virtual Switch Unit ）,可以簡化用戶對網(wǎng)絡(luò)的管理，提升用戶網(wǎng) 絡(luò)架構(gòu)的穩(wěn)定性。不

27、僅如此，RG-S5750-E系列出眾的安全性能和豐富的 防攻擊功能，全方位的保障用戶的網(wǎng)絡(luò)安全，為用戶帶來非凡的極速網(wǎng)絡(luò)體驗。銳捷 S7500E（X）系列包括 S7510E（ 12 槽）、S7508E-X（ 14 槽）、 S7506E （8 槽）、S7506E-V（垂直 8 槽）、銳捷 S7506E-S （8 槽）、S7503E（5 槽）、7503E-S （3 槽）和 S7502E（4 槽）8 款產(chǎn)品，除了 7503E-S 所有產(chǎn)品均支持冗余主控。銳捷 S7500E（X）可廣泛應(yīng)用于數(shù)據(jù)中心、城域 網(wǎng)、小區(qū)網(wǎng)核心和匯聚等多種網(wǎng)絡(luò)環(huán)境，為用戶提供了有源無源一體化、 有線無線一體化的行業(yè)解決方案。

28、（1）高性能萬兆端口為“千兆匯聚，萬兆核心”提供可能，適應(yīng)了網(wǎng)絡(luò)應(yīng)用高 速發(fā)展，網(wǎng)絡(luò)帶寬不斷增加的需要。而萬兆端口的可擴展性既方便用戶 現(xiàn)在使用萬兆網(wǎng)絡(luò)，也方便用戶后續(xù)升級網(wǎng)絡(luò)到萬兆。IPv4/IPv6雙協(xié)議棧多層交換硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換，硬件區(qū)分和處理IPv4、 IPv6協(xié)議報文，可根據(jù)IPv6網(wǎng)絡(luò)的需求規(guī)劃網(wǎng)絡(luò)或者維持網(wǎng)絡(luò)現(xiàn)狀， 提 供靈活的IPv6網(wǎng)絡(luò)通信方案。支持豐富的IPv4路由協(xié)議，包括靜態(tài)路由、 RIP、OSPF BGP4, 滿足不同網(wǎng)絡(luò)環(huán)境中用戶選擇合適的路由協(xié)議靈活組建網(wǎng)絡(luò)。支持豐富的IPv6路由協(xié)議，包括靜態(tài)路由、 RIPNG OSPFv3 BGP

29、4+ 等，不論是在升級現(xiàn)有網(wǎng)絡(luò)至IPv6網(wǎng)絡(luò)，還是新建IPv6網(wǎng)絡(luò)，都可靈 活選擇合適的路由協(xié)議組建網(wǎng)絡(luò)。虛擬化技術(shù)支持VSU (Virtual Switch Unit)即虛擬交換單元技術(shù)。通過聚合鏈路連接，將多臺物理設(shè)備虛擬為一臺邏輯上統(tǒng)一的設(shè)備，使其能夠?qū)?現(xiàn)統(tǒng)一的運行，利用單一 IP地址、單一 Telnet進程、單一命令行接口 (CLI)、白動版本檢查、白動配置等特性簡化了管理。聚合鏈路可以是千兆接口，也可以是萬兆接口，最大限度保護用戶 的投資。靈活完備的安全策略具有的多種內(nèi)在機制可以有效防范和控制病毒傳播和黑客攻擊，如 預(yù)防DO敏擊、防黑客IP掃描機制、端口 ARPB文的合法性檢查、多

30、種 硬件ACL策略等，還網(wǎng)絡(luò)一片綠色。支持基于硬件的IPv6 ACL，即使在IPv4網(wǎng)絡(luò)內(nèi)有IPv6用戶，也可 輕松在網(wǎng)絡(luò)邊緣實現(xiàn)對IPv6用戶的訪問控制，既可允許網(wǎng)絡(luò)內(nèi)IPv4/IPv6 用戶并存，也可以對IPv6用戶的訪問權(quán)限進行控制，比如限制對網(wǎng)絡(luò)敏 感資源的訪I可等。業(yè)界領(lǐng)先的硬件CPU呆護機制：特有的CPU呆護策略(cpp技術(shù)， 流向CPU勺數(shù)據(jù)，采用流動分離和優(yōu)先級隊列分級，并根據(jù)需要實施帶 寬限制，充分保護CP堤不被占用，惡意攻擊和資源消耗，以確保 CPU 的安全，充分保護交換機安全。硬件實現(xiàn)的端口或交換機與用戶的IP地址和MACfe址柔性結(jié)合，端 口上嚴格限制用戶訪問或交換機上

31、的用戶訪問的問題。支持DHCnooping，可只允許信任端口的 DHC嗣應(yīng)，防止私設(shè)DHCP Server的欺騙；并在DHC瞌聽的基礎(chǔ)上，通過動態(tài)監(jiān)測ARPffi檢查用戶 的IP,直接丟棄不符合綁定表項的非法報文，有效防范ARPB騙和用戶源IP地址的欺騙問題。基于源IP地址控制的Telnet設(shè)備訪問控制，防止非法人員和黑客 惡意攻擊和控制設(shè)備，提高網(wǎng)絡(luò)管理的安全性。SSH(Secure Shell )和 SNMPv卸以通過在 Telnet 和 SNMP4程中 加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備?？刂品欠ㄓ脩羰褂镁W(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如多元素 綁定、端口安

32、全、時間ACL基于數(shù)據(jù)流的帶寬限速等，滿足小區(qū)網(wǎng)加強 對訪問者進行控制、限制非授權(quán)用戶通信的需求。支持 NFP啾術(shù)。NFPP (Network Foundation Protection Policy 基 礎(chǔ)網(wǎng)絡(luò)保護策略)是用來增強交換機安全的一種保護體系，通過對攻擊源 頭采取隔離措施，可以使交換機的處理器和信道帶寬資源得到保護，從 而保證報文的正常轉(zhuǎn)發(fā)以及協(xié)議狀態(tài)的正常。強大的多業(yè)務(wù)支撐能力支持IPv4、IPv6組播功能，包含豐富的組播協(xié)議。比如 IGMP Snooping、IGMR MLD PIM PIM for IPv6、MSD警協(xié)議族，為 IPv4 網(wǎng) 絡(luò)、IPv6網(wǎng)絡(luò)、IPv4和IP

33、v6共存的網(wǎng)絡(luò)提供了組播服務(wù)支持。支持IGMP源端口和源IP檢查功能，有效地杜絕非法的組播源，提 高網(wǎng)絡(luò)的安全性。支持等價路由(ECMP等豐富的三層特性和業(yè)務(wù)特性，滿足不同網(wǎng) 絡(luò)鏈路規(guī)劃下的通信需要。支持豐富的MPLS VP鋤能，智能偵測MPLSf網(wǎng)，智能選擇冗余線 路保持 MPLS/PN的連通性。支持在三層 MPLS/PN中作為PM MVR敢用。支持國際流量監(jiān)測標準IPFIX (IP流信息導(dǎo)出)，銳捷流量分析系統(tǒng) 的結(jié)合，IPFIX技術(shù)可以對網(wǎng)絡(luò)進行統(tǒng)計分析和異常檢測， 輸出各種豐富 的網(wǎng)絡(luò)流量分析報告，包括：流量報告，歷史報告，報表界面，解析的 主機地址，流量分析，可變顯示的信息，這可以幫

34、助管理員在網(wǎng)絡(luò)中的 異常行為分析，很快存在的網(wǎng)絡(luò)，為客戶提供客觀，準確的決策依據(jù)對 網(wǎng)絡(luò)容量規(guī)劃問題，網(wǎng)絡(luò)應(yīng)用監(jiān)測和故障診斷。完善的QOSft略與MA(M、IP流相比應(yīng)用流的具有多層流分類和流控制能力，實現(xiàn) 精細化流量帶寬控制，轉(zhuǎn)發(fā)優(yōu)先級策略，根據(jù)不同的應(yīng)用和不同的應(yīng)用 支持網(wǎng)絡(luò)需要的業(yè)務(wù)特點，保證提供服務(wù)的質(zhì)量。QOS勺保障體系，這需要將 DIFFSERVE標準為核心，支持802.1P, IP TOS二至七層過濾層，SP, WR由完整的QOSft略，實現(xiàn)基于全網(wǎng)系 統(tǒng)的QO腰輯。高可靠性支持生成確保鏈路的負載均衡和網(wǎng)絡(luò)的穩(wěn)定運行，合理使用網(wǎng)絡(luò)通 道，反饋冗余鏈路利用率。支持VRR睦擬路由器冗

35、余協(xié)議，全面保障網(wǎng)絡(luò)穩(wěn)定。支持RLDP快速檢測鏈路的通斷和光纖鏈路可以支持端口環(huán)路檢測 功能，防止將端口用于私有訪問集線器等設(shè)備，導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象。支持ERPS (G.8032),國際標準為核心以太網(wǎng)設(shè)計的二層鏈路冗余 備份協(xié)議，其環(huán)路阻斷以及鏈路恢復(fù)都集中在主控設(shè)備上進行，非主控 設(shè)備直接向主控設(shè)備匯報白己的鏈路情況，無需經(jīng)過其他非主控設(shè)備的 處理，因此環(huán)路中斷以及恢復(fù)時間比 STP快?；谝陨蠀^(qū)別，ERPS理 想環(huán)境下的鏈路恢復(fù)能力能夠達到毫秒級。在不啟用STP的情況下，可以通過 REUP(Rapid Ethernet Uplink Protection Protocol)提供一個快速上

36、鏈保護功能，REUR得用戶在關(guān)閉STP的情況下，仍提供基本的鏈路冗余，同時提供比STP更快的毫秒級故障恢復(fù)。支持BFD為各上層協(xié)議如路由協(xié)議，MPLS?提供一種快速檢測兩 臺路由設(shè)備之間轉(zhuǎn)發(fā)路徑連通狀態(tài)的方法，大大減少了上層協(xié)議在鏈路 狀態(tài)變化時的收斂時間。方便易用易管理靈活復(fù)用的多種千兆接口形式，可靈活滿足需要多個千兆銅纜和多 個千兆光纖鏈路的連接，方便用戶靈活選擇線纜。網(wǎng)絡(luò)時間協(xié)議保證交換機時間的準確性，并與網(wǎng)絡(luò)中時間服務(wù)器時 間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理。為方便安裝地點或建筑物不適宜部署外部電源的環(huán)境，RG-S5750-E系列交換機特別提供支持 POE功能的產(chǎn)品

37、型號，即通過雙絞線就可以向 遠端下掛的PD設(shè)備供電，如無線AR IP Phone視頻監(jiān)控等設(shè)備，方便 了任何符合IEEE 802.3af和IEEE 802.3at標準的終端設(shè)備的接入，實 現(xiàn)以太網(wǎng)集中供電，以滿足金融、小區(qū)、學(xué)校、醫(yī)院、工廠等用戶實現(xiàn) VOIR遠程監(jiān)控、無線AP等網(wǎng)絡(luò)應(yīng)用的需要。SYSLOC便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備 份，便于管理員網(wǎng)絡(luò)維護和管理。多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流， 可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護效率。4.4.3接入層設(shè)備的選擇對于某某小區(qū)網(wǎng)絡(luò)接入節(jié)點的交換機，必須考慮到安全接入控制、 QOS

38、I艮務(wù)質(zhì)量保證、組播支持等技術(shù)。銳捷網(wǎng)絡(luò)睿翼RG-S2928G-S-FPC列交換機是銳捷網(wǎng)絡(luò)推出的全千兆 安全智能POEffi電的二層交換機，適用于園區(qū)網(wǎng)絡(luò)的接入層，提供千兆 到桌面的解決方案。憑借高性能、高安全、多業(yè)務(wù)、易用性的特點，融 入IPv6的特性，使得銳捷網(wǎng)絡(luò)睿翼 RG-S2928G-S-咬換機可廣泛應(yīng)用于 各行業(yè)的千兆網(wǎng)絡(luò)。通過支持萬兆擴展和萬兆冗余堆疊，滿足了網(wǎng)絡(luò)流量成倍提高和多 媒體業(yè)務(wù)的迅速增長的需要，特別適合需要高帶寬的網(wǎng)絡(luò)環(huán)境中使用。在提供高性能、高帶寬的同時，銳捷網(wǎng)絡(luò)睿翼RG-S2928G-S-咬換機提供智能流分類，提高服務(wù)質(zhì)量(QOS和多播應(yīng)用，管理特性的質(zhì)量, 并可

39、以根據(jù)實際使用環(huán)境，靈活的控制策略的執(zhí)行的網(wǎng)絡(luò)，有效地預(yù)防 和控制病毒的傳播和網(wǎng)絡(luò)攻擊，非法用戶接入控制和網(wǎng)絡(luò)，保證合法用 戶合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全，更合理的使用和操作網(wǎng)絡(luò)。高性能局背板帶寬為所有端口提供線速的交換能力，并提供萬兆擴展和萬 兆堆疊，滿足數(shù)據(jù)流量和多媒體業(yè)務(wù)日益增長的需要。靈活完備的安全控制策略通過各種內(nèi)部安全機制，可以有效地防止和控制病毒和網(wǎng)絡(luò)攻擊流 量的擴散，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)，如端 口靜態(tài)和動態(tài)安全綁定，端口隔離，各種硬件 ACLfi制，基于數(shù)據(jù)流的 帶寬限速，多元素綁定的用戶訪問控制，滿足小區(qū)網(wǎng)絡(luò)的需求，以加強 控制和限制參觀者的非

40、授權(quán)用戶的通信需求；銳捷網(wǎng)絡(luò)安全計費管理平臺，不僅可以實現(xiàn)用戶帳號，密碼，MACfe址，IP地址，IP交換機，交換機靈活的綁定任何端口之間的六要素，確 認用戶身份的唯一性和合法性，可以通過切換動態(tài)綁定的硬件特性和保 護用戶的身份始終保持一致，避免用戶惡意篡改身份信息的非法攻擊行 為；ARP僉測功能有效遏制在網(wǎng)絡(luò)中日益增長的 ARFW關(guān)欺騙和ARPi機 欺騙的現(xiàn)象，并保護用戶的正常上網(wǎng)。白動裝訂可以實現(xiàn)IP的靜態(tài)分配與動態(tài)分配，這大大節(jié)省了勞動力成本，并通過 AR涎率減少管理ARP 分組的速率，從而防止對 ARPS意使用掃描工具監(jiān)視的開銷，導(dǎo)致網(wǎng)絡(luò) 擁塞的攻擊；支持DHCP Snoopin酣能，

41、只允許信任端口的 DHCPS,并沒有阻 止管理員權(quán)限設(shè)置DHC服務(wù)器，擾亂IP地址的分配和管理，影響用戶 的正常上網(wǎng)的行為；和DHCP Snooping功能，監(jiān)控動態(tài)ARPW檢查源IP 的基礎(chǔ)上，有效地防止IP ARP欺騙和源IP地址欺騙的DHC劇態(tài)分配；基于源IP地址控制的Telnet和We昉問控制，防止非法人員和黑 客對設(shè)備的控制和惡意攻擊，提高網(wǎng)絡(luò)管理的安全性；在日益激烈的IPv6應(yīng)用面前，交換機支持基于IPv6的ACL的硬件， 即使是在IPv4網(wǎng)絡(luò)與IPv6用戶，也可以很方便地在網(wǎng)絡(luò)上實現(xiàn)IPv6的 用戶訪問控制的邊緣，可以讓網(wǎng)絡(luò)的IPv4 / IPv6 共存的用戶，IPv6的 用戶訪

42、I可控制，如接入網(wǎng)絡(luò)中的敏感資源的限制；SSH （安全殼）和 SNMPv披術(shù)通過在Telnet和SNMP過程中加密管理信息，防止黑客攻擊和控制設(shè)備，保證管理信息的安全性?；谠L 問控制的Telnet源IP地址控制，保證只有管理員配置的IP地址登陸切 換，更精確的提供設(shè)備管理控制，提高了網(wǎng)絡(luò)管理設(shè)備的安全性。高可靠性CPLK全屏障保護：特有的CPU呆護策略(CPP,對發(fā)往CPU勺數(shù)據(jù) 流，進行流區(qū)分和優(yōu)先級隊列分級處理，并實施帶寬限速，充分保護CPL不被非法流量占用、惡意者攻擊和資源消耗，保障了CPL全，充分保護了交換機的安全；生成樹協(xié)議802.1D, 802.1w, 802.1s的支持，充分保

43、證了快速收斂， 提高系統(tǒng)容錯能力，保證網(wǎng)絡(luò)和鏈路負載均衡的穩(wěn)定運行，合理利用渠 道網(wǎng)絡(luò)，提供冗余鏈路利用；的PORTFAST大降低了 30-50秒生成樹協(xié) 議收斂時間的標準，和BPD*護功能，以避免生成樹協(xié)議環(huán)路；支持RLD河以是單向鏈路快速檢測的通斷和光纖鏈路和支持端口環(huán) 路檢測功能，防止端口，用于私有訪問集線器等設(shè)備，在循環(huán)的形式， 并導(dǎo)致網(wǎng)絡(luò)的現(xiàn)象故障；支持1 + 1冗余可插拔電源，提供系統(tǒng)可靠性，同 時方便客戶進行現(xiàn)場維護。多業(yè)務(wù)支持當網(wǎng)絡(luò)上的服務(wù)越來越多，其帶寬安全就顯得尤為必要。為了避免 帶寬的緊急服務(wù)，完善的服務(wù)質(zhì)量是服務(wù)質(zhì)量的保障；支持的802.1p , DSCP IP TOS

44、根據(jù)不同的應(yīng)用二至七層流過的 QOS 策略的過濾器，用MA(M, IP流，應(yīng)用流的多層流分類和流量控制，帶 寬控制，轉(zhuǎn)發(fā)優(yōu)先級策略，支持網(wǎng)絡(luò)和不同的應(yīng)用需要保持服務(wù)質(zhì)量提 供完善服務(wù)；每端口支持8個優(yōu)先級輸出隊列，使網(wǎng)絡(luò)管理員可更精細的為各種 應(yīng)用分配帶寬，從而更好的保證業(yè)務(wù)正常開展。交換機支持SP, WRRDRR 等機制確定報文處理順序，比如 SP可確保某個隊列中的業(yè)務(wù)總是優(yōu)先傳輸，而WRR可保證所有隊列中的業(yè)務(wù)都有機會；極靈活的帶寬控制能力，基于交換機端口、MA弛址、IP地址、VLANID、協(xié)議、應(yīng)用組合進行靈活的帶寬限速，限速粒度達到64Kbps,可根據(jù)網(wǎng)絡(luò)安全需求，設(shè)定不同業(yè)務(wù)應(yīng)用的帶

45、寬流量，滿足網(wǎng)絡(luò)帶寬按需所 用；能夠探測IGMPv1/v2和IGMPv3r部版本的組播報文，適應(yīng)不同組播 環(huán)境，避免非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬，滿足組播安全應(yīng)用的需要。靈活可靠的萬兆混合堆疊提供可靠的萬兆冗余堆疊組合，在萬兆冗余堆疊的基礎(chǔ)上，能同時提供萬兆上鏈，滿足高性能、高帶寬的需要，方便網(wǎng)絡(luò)發(fā)展和規(guī)模擴大； 支持硬件堆疊QOS保證在網(wǎng)絡(luò)擁塞、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)環(huán)境惡劣的情況下，依然能正常管理堆疊組成員，保證堆疊設(shè)備的正常運營。方便易用易管理采用靈活復(fù)用的千兆接口和擴展槽組合的形式，可最靈活滿足是否 需要多個千兆鏈路上鏈或多個千兆服務(wù)器的連接，方便用戶根據(jù)網(wǎng)絡(luò)架 構(gòu)靈活選擇連接形式；多端口同步

46、監(jiān)控，通過一個端口監(jiān)控數(shù)據(jù)流的多個端口，只能監(jiān)控 輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護效率；網(wǎng)絡(luò)時間協(xié)議確保的開關(guān)時間的準確性，并統(tǒng)一為在網(wǎng)絡(luò)時間服務(wù) 器，因此它可以很容易地記錄信息和交通信息和故障診斷；日志便于收集，維護，分析，故障各種日志信息，這是很容易對管 理員的維護和管理的位置和備份；4.4.4防火墻的選擇實現(xiàn)和維護防火墻是網(wǎng)絡(luò)安全策略的一個主要部分，所以防火墻在 網(wǎng)絡(luò)安全的實現(xiàn)當中一直扮演著重要的角色。防火墻通常位于網(wǎng)絡(luò)中， 這使得內(nèi)部網(wǎng)和因特網(wǎng)或與其它外部網(wǎng)絡(luò)彼此隔離，限制訪問來保護網(wǎng) 絡(luò)的交換的邊緣。設(shè)置防火墻的目的是要建立的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之 間的唯一通道，并簡化了網(wǎng)絡(luò)

47、的安全性管理。銳捷網(wǎng)絡(luò)RG-WALL 160笑列下一代防火墻基于“人本網(wǎng)絡(luò)”，實現(xiàn)“智能感知”。實現(xiàn)基于用戶、資源、應(yīng)用的訪問控制。RG-WAL底列下一代防火墻采用最新的安全處理算法，以高性能提供防病毒、IPS、行為監(jiān)管、反垃圾郵件、深度狀態(tài)檢測、外部攻擊防范、應(yīng)用層過濾等功能， 有效保證網(wǎng)絡(luò)安全。提供多種智能分析和管理手段，支持郵件告警，進行網(wǎng)絡(luò)管理監(jiān)控， 協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)安全管理；全面的 VPN務(wù)，可以構(gòu)建多種形 式的VPN雙機狀態(tài)熱備，支持主主和主備兩種工作模式以及豐富的QOS特性，充分滿足客戶對網(wǎng)絡(luò)高可靠性的要求。即刻選擇銳捷網(wǎng)絡(luò)RG-WALLF一代防火墻，讓用戶的網(wǎng)絡(luò)更加安全、

48、 高效、穩(wěn)定、可靠。采用先進的硬件平臺及設(shè)計架構(gòu)全線產(chǎn)品使用多核平臺，萬兆級高速安全處理。統(tǒng)一化的特征庫和 一體化分析處理引擎設(shè)計，極大的提高了多功能模塊同時運行時的運行 效率。多業(yè)務(wù)高性能采用銳捷網(wǎng)絡(luò)安全研究組 RG-Slab最新發(fā)布的HiSpeed算法，突破 安全產(chǎn)品硬件瓶頸。實現(xiàn)防火墻、 VPN UT眼業(yè)務(wù)高性能。支持IPS、 流控、Web濾的高性能處理。下一代防火墻特性面向法規(guī)和人本，實現(xiàn)基于用戶、資源、應(yīng)用的訪問控制?？梢耘c 身份認證系統(tǒng)對接，實現(xiàn)一體化策略配置，可視化安全管理更加快捷高效。支持全面的網(wǎng)絡(luò)攻擊防護支持DOS/DDO玫擊防護，支持MAC?日IP綁定功能，支持智能防范 A

49、R敏擊防護、TCP文標志位不合法攻擊防范、超大ICMPB文攻擊防 范等等網(wǎng)絡(luò)攻擊防護。完善的日志管理與審計提供記錄日志功能，統(tǒng)計與分析流量，時間監(jiān)控，郵件提醒功能， 有完善的日至管理系統(tǒng)，完成的日志查詢，分析，記錄。獨立的VPN莫塊內(nèi)置專用的硬件 VP眼塊，支持 GRE L2TR IPSec、SSLVP隋多 種VP業(yè)務(wù)模式。支持多種平臺移動終端 VPN入。周可靠性保障支持雙機狀態(tài)熱備功能，支持 Active/Active 和Active/Passive 兩 種工作模式，實現(xiàn)負載分擔和業(yè)務(wù)備份，支持白動同步特征庫和策略庫。支持雙配置文件，設(shè)備關(guān)鍵部件均采用冗余設(shè)計。4.5網(wǎng)絡(luò)總體拓撲圖某某網(wǎng)絡(luò)出

50、口為防火墻，下接三層交換機作為核心，然后就是每棟 樓的接入交換機。內(nèi)網(wǎng)服務(wù)器部署在防火墻的DM職域。網(wǎng)絡(luò)的出口為一條電信的鏈路，內(nèi)網(wǎng)的服務(wù)器通過在端口映射成電 信的地址使外部可以訪問。核心交換機為銳捷的S-8600,防火墻是銳捷網(wǎng)絡(luò)RG-AG515各個樓 的接入交換機是銳捷網(wǎng)絡(luò)睿翼RG-S2928G-S所有布線均采用的是雙絞 線。根據(jù)客戶的需求，某某小區(qū)網(wǎng)絡(luò)拓撲圖如圖4-1所示:圖4-1某某小區(qū)核心拓撲圖5網(wǎng)絡(luò)的詳細設(shè)計規(guī)劃5.1 IP地址的重新劃分考慮到原網(wǎng)絡(luò)的IP地址規(guī)劃中的問題，現(xiàn)需要對某某小區(qū)的IP地 址進行重新規(guī)劃，所用私有網(wǎng)段IP地址為：/16 ,表面看起 來這個網(wǎng)段似乎很大，但是

51、在實際應(yīng)用中根本無法滿足劇增的用戶的需 求。因此在IP地址規(guī)劃這里必須詳細考慮到某某小區(qū)的現(xiàn)在狀況，合理 的利用各項技術(shù)，盡可能使IP地址資源達到充分的利用，在IP地址的 分配中，還要考慮到VLA序的IP地址以及VLS精。IP地址劃分是本次 設(shè)計中最繁瑣的一塊。根據(jù)某某小區(qū)的網(wǎng)絡(luò)拓撲，還有已經(jīng)存在的建筑構(gòu)造，小區(qū)網(wǎng)絡(luò)的 重新規(guī)劃十分困難，而且小區(qū)各棟樓結(jié)構(gòu)類似。在這里某某小區(qū)的IP地址空間應(yīng)該足夠的大。根據(jù)樓編號劃分，各棟樓都已經(jīng)分配到了白己所 需要的IP地址，內(nèi)部的具體詳細劃分如下。/21 可以劃分出16個192.168.x.x/25 的IP地址段。所 以某某小區(qū)的網(wǎng)絡(luò)IP地址具體規(guī)劃如下：

52、服務(wù)器，防火墻，核心設(shè)備的端口IP地址也可以在某某小區(qū)的IP地址里劃分出來。服務(wù)器群及防火墻的IP地址可在：/25網(wǎng)段中，內(nèi)部的 具體IP地址劃分可根據(jù)一個服務(wù)器一個指定IP地址的原則進行劃分。29/25 54/25 為核心設(shè)備的 IP 地址段。/25 26/25 為服務(wù)器和防火墻等配置。服務(wù)器IP分配例子如下：www /25FTP /25Mail : /25DNS /25如果有新的服務(wù)器添加進來，只需要按照IP地址的數(shù)目依次往下分 配即可。由于核心設(shè)備的端口比較多， 其IP地址可在：28/25 取 IP地址來滿足設(shè)備配置的需要。某某小區(qū)的網(wǎng)絡(luò)IP地址具體劃分要根據(jù)信某某小區(qū)網(wǎng)絡(luò)拓撲來詳細 劃

53、分。由此可以確定某某小區(qū)的網(wǎng)絡(luò)IP地址具體分配，如表5-1所示：表5-1某某小區(qū)的網(wǎng)絡(luò)IP地址具體分配表樓號IP地址（網(wǎng)絡(luò)地址）A1棟/2526/25A2棟29/2554/25A3棟/2526/25A4棟29/2554/25A5棟/2526/25A6棟29/2554/25.A17棟/2526/25A18棟29/25 54/25物業(yè)29/25 54/25在IP地址分配出后，仍然有/2554/25作為保留網(wǎng)段，完全可以滿足日漸發(fā)展的某某小區(qū)的 網(wǎng)絡(luò)的需要。社區(qū)網(wǎng)的信息點多，如何對IP地址的分配進行有效的管理，是十分 重要的。針對不同的情況，可以對IP地址進行靜態(tài)或動態(tài)的分配方式。某某小區(qū)的靜態(tài)分配

54、的情況：對外提供信息服務(wù)的服務(wù)器；社區(qū)網(wǎng)內(nèi)提供信息及管理服務(wù)的服務(wù)器；路由器、交換機等網(wǎng)絡(luò)設(shè)備的IP地址分配。動態(tài)分配的情況：不提供信息服務(wù)，只訪問小區(qū)內(nèi)部或互聯(lián)網(wǎng)的資 源。本方案的接入交換機配合認證計費系統(tǒng)，可以做到以下地址管理：對于靜態(tài)分配地址的用戶，只有用預(yù)先分配的 IP地址才可 以上網(wǎng)；對于動態(tài)分配地址的用戶，只有通過 DHC防式獲得IP地 址才可以上網(wǎng)；獲得有效IP地址上網(wǎng)后，試圖修改IP地址，均會白動與 網(wǎng)絡(luò)斷線。以上手段，保證了 IP地址不會沖突，因而可以對IP地址資源的使 用進行有效的管理和控制。5.2 VLAN的戈U分VLANR叫虛擬局域網(wǎng)，它可以把可跨越不同網(wǎng)段，不同網(wǎng)絡(luò)的

55、端到 端邏輯網(wǎng)絡(luò)部署在交換局域網(wǎng)上。通過 VLANS成的邏輯廣播域覆蓋不同 的網(wǎng)絡(luò)設(shè)備，并且允許一個邏輯子網(wǎng)中存在不同地理位置的網(wǎng)絡(luò)用戶。本次VLAN的設(shè)計是基于端口的VLANJ分的。將一個交換機上的不 同端口構(gòu)建成一個邏輯組，這種方法簡單并且有效。該方法只需網(wǎng)絡(luò)管 理員對網(wǎng)絡(luò)設(shè)備的交換端口進行重新分配即可，不用考慮該端口所連接 的設(shè)備。其余棟的網(wǎng)絡(luò)大致可按次類推，每個代表性的棟劃分到一個 VLAN 這樣就能充分且合理的貫徹了 VLAN的作用及特點。本次設(shè)計中，不得不考慮到 VLANI間的路由。在默認時，只是在一 個VLAN中的主機才能彼此通信。針對某某小區(qū)網(wǎng)絡(luò)的物理拓撲，不可能 每一個棟住戶

56、都規(guī)劃到起相應(yīng)的交換機下，這種情況只需這種情況的端 口設(shè)置為Trunk即可解決所遇到的問題。這里要注意：要將交換機的端 口配置成為Trunk,端口帶寬必須至少為100MB/S通過建立一個虛擬專 用網(wǎng)來解決該問題。在交換機上配置一條中繼鏈接，然后在路由器上使用標記協(xié)議如： ISL或802.1Q,只需要在選擇了接口和封裝類型以及虛擬網(wǎng)號后，配置 上子接口的IP地址和這個接口屬于哪個子網(wǎng)即可。VLAN勺詳細配置，如表5-2所示：表5-2某某小區(qū)VLANM體分配表樓號VLAN IDA1棟VLAN 10A2棟VLAN 20A3棟VLAN 30A4棟VLAN 40A5棟VLAN 50A6棟VLAN 60A

57、17棟VLAN 170A18棟VLAN 180物業(yè)VLAN 1905.3網(wǎng)絡(luò)管理設(shè)計根據(jù)用戶需求的分析的結(jié)果，本小區(qū)必須是可管理的網(wǎng)絡(luò)，所以網(wǎng)絡(luò)管理的設(shè)計必須以邏輯網(wǎng)絡(luò)的設(shè)計來進行。根據(jù)客戶機/服務(wù)器應(yīng)用模式和集中式資源管理的原則，網(wǎng)絡(luò)管理中 心，建立，管理和交換設(shè)備在分布網(wǎng)絡(luò)中都是統(tǒng)一。所有開關(guān)設(shè)備和路由設(shè)備，配置和維護工作站網(wǎng)絡(luò)進行統(tǒng)一管理。支持RMOW RMON2理標準。支持故障隔離和分析，統(tǒng)計，并設(shè)置報警。網(wǎng)絡(luò)管理軟件采用的圖形用戶界面，支持廣泛的網(wǎng)絡(luò)管理平臺。5.4網(wǎng)絡(luò)的安全設(shè)計光纖局域網(wǎng)的安全性較高，在考慮到網(wǎng)絡(luò)安全的需求和用戶的需求 兩方面因素下，設(shè)計網(wǎng)絡(luò)安全區(qū)主要采用用戶認證，

58、訪問控制，防火墻 和安全管理技術(shù)和防病毒技術(shù)用以確保網(wǎng)絡(luò)安全，網(wǎng)絡(luò)高質(zhì)量的高速穩(wěn) 定運行。此外，采用劃分VLAN端口和IP地址綁定等措施來保證網(wǎng)絡(luò)的 信息和數(shù)據(jù)的安全性，完整性。某某小區(qū)網(wǎng)絡(luò)的邏輯拓撲可劃分為若干虛擬局域網(wǎng)（邏輯子網(wǎng)），虛 擬局域網(wǎng)不受設(shè)備物理位置的限制，靈活性較大。虛擬局域網(wǎng)技術(shù)用于 在不更改網(wǎng)絡(luò)的拓撲結(jié)構(gòu)的前提下對局域網(wǎng)進行重組。采用虛擬局域網(wǎng) 技術(shù)后，網(wǎng)管人員只需在交換機上對網(wǎng)絡(luò)進行邏輯重構(gòu)，即可使網(wǎng)絡(luò)結(jié) 構(gòu)適應(yīng)新的通信要求，并維持通信的高效率。具體的講，虛擬局域網(wǎng)技 術(shù)是通過路由和交換設(shè)備，在網(wǎng)絡(luò)物理拓撲的基礎(chǔ)上建立一個邏輯網(wǎng)絡(luò)。 每個VLANB構(gòu)成一個獨立的廣播域，處

59、于同一 VLAN中的網(wǎng)絡(luò)用戶可以 不受地理位置的限制而像處于同一個 VLAN那樣相互交換信息。VLAN只 能在交換網(wǎng)絡(luò)中存在，根據(jù)管理員的定義可以將每個交換設(shè)備進行VLAN劃分和報文的過濾與轉(zhuǎn)發(fā)，并使其他網(wǎng)絡(luò)設(shè)備和路由器接收到劃分信息。 LAN交換設(shè)備在VLAN的劃分及實現(xiàn)低延遲的報文轉(zhuǎn)發(fā)方面起著重要的作 用。VLA偃一種不采用路由器對廣播數(shù)據(jù)進行抑制的解決方案。在VLAN中，對廣播數(shù)據(jù)的抑制由交換機完成。網(wǎng)絡(luò)的安全設(shè)計可以分為兩個部分，一是訪問的安全；二是被訪問的安全。5.4.1訪問的安全在小區(qū)網(wǎng)絡(luò)設(shè)置訪問控制，當內(nèi)網(wǎng)用戶進行上網(wǎng)的時候，在出口處 會有上網(wǎng)行為管理，設(shè)備會根據(jù)布置的策略來進行

60、過濾。在出口負載均衡設(shè)備上還有一些訪問控制列表的功能，所以也可以 針對一些應(yīng)用來過濾，防止內(nèi)網(wǎng)用戶上網(wǎng)的時候中木馬等病毒。5.4.2被訪問的安全當用戶或者訪客在公網(wǎng)訪問內(nèi)網(wǎng)的時候，首先我們的出口設(shè)備負載 均衡會進行過濾，從而干掉不符合要求的數(shù)據(jù)包。在訪問服務(wù)器的時候， 防火墻又會進行過濾，保證服務(wù)器不會被木馬，釣魚等攻擊。5.5網(wǎng)絡(luò)內(nèi)部功能的詳細設(shè)計5.5.1上網(wǎng)行為的管理實現(xiàn)上網(wǎng)行為管理能為客戶解決的問題：上網(wǎng)缺乏管控。帶寬被濫用。訪問資源無法溯源。上網(wǎng)安全風險。上網(wǎng)行為管理的產(chǎn)品優(yōu)勢：最全面的應(yīng)用識別；最有效的帶寬優(yōu)化； 順應(yīng)互聯(lián)網(wǎng)發(fā)展需求；設(shè)備部署在負載均衡和核心之間， 地址為0 ,部署