IPV6校園網(wǎng)設(shè)計(jì)版

IPv6校園網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)一網(wǎng)絡(luò)需求分析1.1功能要求針對(duì)我們學(xué)校具體的使用環(huán)境，設(shè)置具體功能如下：宿舍樓：用來下載視頻、音頻，瀏覽網(wǎng)頁、視頻，玩游戲，聊天圖書館：內(nèi)部電腦可以用來查詢借閱情況、數(shù)據(jù)庫、論文等，管理員可以查看圖書整體的借閱情況，發(fā)布、更新消息，另外，圖書館中增設(shè)無線，以便學(xué)生上網(wǎng)實(shí)驗(yàn)樓：瀏覽網(wǎng)頁，大量查閱資料教學(xué)樓：瀏覽網(wǎng)頁，查閱資料，教務(wù)管理行政、財(cái)政樓：發(fā)布消息、同步更新，學(xué)生交學(xué)雜費(fèi)，學(xué)?？傮w的助獎(jiǎng)學(xué)金以及財(cái)務(wù)管理等家屬區(qū)：用來下載視頻、音頻，瀏覽網(wǎng)頁、視頻，玩游戲，聊天1.2性能要求（1）校園網(wǎng)骨干網(wǎng)帶寬升級(jí)。伴隨著信息化建設(shè)的深入，學(xué)?；镜慕虒W(xué)教務(wù)管理、科研管理、后勤管理、數(shù)字圖書館、視頻服務(wù)系統(tǒng)、辦公自動(dòng)化系統(tǒng)和校園社區(qū)服務(wù)等業(yè)務(wù)系統(tǒng)在內(nèi)的校園信息系統(tǒng)建設(shè)要求核心交換能夠提供無瓶頸的數(shù)據(jù)交換，主干萬兆已成為校園網(wǎng)發(fā)展的趨勢(shì)。我們學(xué)校校園網(wǎng)原有網(wǎng)絡(luò)骨干是千兆，本次改造將提升到萬兆。（2） 新的主干設(shè)備應(yīng)能滿足15,000用戶接入訪問的要求。（3） 校園網(wǎng)可靠性的提升。由于整個(gè)網(wǎng)絡(luò)需要長期不間斷運(yùn)行，設(shè)備的維護(hù)工作比較困難，所以要求采用的核心設(shè)備應(yīng)該是高可靠，免維護(hù)的高質(zhì)量網(wǎng)絡(luò)產(chǎn)品。另外，要求骨干設(shè)備應(yīng)具有很高的容錯(cuò)能力，不僅要有設(shè)備級(jí)的冗余性，還應(yīng)配備冗余引擎和冗余電源，所有的設(shè)備接口模塊可以進(jìn)行熱插拔更換。（4） 支持IP多目廣播（Multicast）與服務(wù)質(zhì)量（Qos）或服務(wù)類型（CoS），滿足遠(yuǎn)程教育的需要。（5）校園網(wǎng)安全防護(hù)的提升。校園網(wǎng)中同樣有大量關(guān)于教學(xué)和檔案管理的重要數(shù)據(jù)，不論是被損壞、丟失還是被竊取，都將帶來極大的損失，要求對(duì)ARP攻擊、DHCP仿冒等要有效防御。設(shè)備須支持防火墻、VLAN、數(shù)據(jù)加密等技術(shù)，具有防止和控制病毒傳播的功能，對(duì)校園網(wǎng)的安全進(jìn)行合理規(guī)劃，有效防止各類安全事件。（6） 支持無線用戶接入。本次升級(jí)，在校園網(wǎng)新增無線網(wǎng)絡(luò)設(shè)備，以擴(kuò)大IPv6的接入范圍和接入手段。1.3運(yùn)行環(huán)境要求支持windows.Linux操作系統(tǒng)，支持現(xiàn)在系統(tǒng)自帶和用戶安裝的的應(yīng)用軟件以及可以實(shí)現(xiàn)資源共享。1.4可擴(kuò)充性和可維護(hù)性要求考慮現(xiàn)有網(wǎng)絡(luò)的平滑過度，使學(xué)?，F(xiàn)有陳舊設(shè)備盡量保持較好的利用價(jià)值；選用產(chǎn)品應(yīng)具有最佳性價(jià)比，又要充分考慮未來可能的應(yīng)用，具有高擴(kuò)展性。對(duì)于核心層的網(wǎng)絡(luò)設(shè)備，要求骨干交換機(jī)全面支持IM技術(shù)，具備強(qiáng)大和完整的第三層交換能力，支持雙棧技術(shù)，支持視頻點(diǎn)播、電視電話會(huì)議等寬帶多媒體應(yīng)用。對(duì)于網(wǎng)絡(luò)管理，要求采用智能化網(wǎng)絡(luò)管理軟件，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的自動(dòng)監(jiān)測和控制，用戶界面應(yīng)該友好并能進(jìn)行常見的網(wǎng)絡(luò)配置，支持虛擬網(wǎng)絡(luò)功能。二網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)2.1方案設(shè)計(jì)2.1.1主要網(wǎng)絡(luò)技術(shù)IPv6作為構(gòu)建網(wǎng)絡(luò)的基礎(chǔ)，在技術(shù)上有諸多優(yōu)勢(shì)，雖然IPv6是新的標(biāo)準(zhǔn)體系，但是它的架構(gòu)仍然沿襲了TCP/IP體系，在路由和轉(zhuǎn)發(fā)過程中，IPv6路由尋址思想與IPv4相同，采用最長地址匹配，選擇最優(yōu)路徑。IPv4的動(dòng)態(tài)路由協(xié)議，經(jīng)過擴(kuò)展后可以在IPv6網(wǎng)絡(luò)上運(yùn)行，包括RIPng，ISISv6oIPv6作為新的網(wǎng)絡(luò)層協(xié)議，原有支持IPv4的鏈路層通過擴(kuò)展可以方便地提供支持。未來的很長一段時(shí)間之內(nèi)，IP網(wǎng)絡(luò)將是IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)的共存的網(wǎng)絡(luò)?，F(xiàn)在從IPv4向IPv6過渡階段提供了很多過渡技術(shù)來實(shí)現(xiàn)這個(gè)漸進(jìn)過程。這些過渡技術(shù)主要圍繞著解決兩類問題：IPv6孤島互通技術(shù) 實(shí)現(xiàn)IPv6網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)的互通；IPv6和IPv4之間互通——實(shí)現(xiàn)兩個(gè)不同網(wǎng)絡(luò)之間互相訪問資源。目前基本過渡技術(shù)主要技術(shù)有雙棧、隧道、NAT三種方式。雙棧是設(shè)備升級(jí)到IPv6的同時(shí)保留對(duì)IPv4支持，可以同時(shí)訪問IPv4和IPv6設(shè)備。其中包含雙協(xié)議棧支持，應(yīng)用程序依靠DNS地址解析返回的地址類型，來決定使用何種協(xié)議棧。對(duì)于路由器來講，雙棧是指在一個(gè)路由器設(shè)備中維護(hù)IPv4和IPv6兩套路由協(xié)議棧，使得路由器既能與IPv4主機(jī)也能與IPv6主機(jī)通信，分別支持獨(dú)立的IPv4和IPv6路由協(xié)議，IPv4和IPv6路由信息按照各自的路由協(xié)議進(jìn)行計(jì)算，維護(hù)不同的路由表°IPv6數(shù)據(jù)報(bào)按IPv6路由協(xié)議得到的路由表轉(zhuǎn)發(fā)，IPv4數(shù)據(jù)報(bào)按IPv4路由協(xié)議得到的路由表轉(zhuǎn)發(fā)。TCP/IP協(xié)議族體系結(jié)構(gòu)中，在網(wǎng)絡(luò)層，為了將IPv6初期的各個(gè)IPv6小網(wǎng)絡(luò)孤島連接在一起并最終形成IPv6Internet，發(fā)揮Internet優(yōu)勢(shì)促進(jìn)IPv6業(yè)務(wù)和應(yīng)用的發(fā)展，就必須建立起IPv6互聯(lián)中心。在應(yīng)用層必須建立成IPv6，IPv4雙棧DNS服務(wù)系統(tǒng)，這樣才能為網(wǎng)絡(luò)的過渡技術(shù)提供業(yè)務(wù)連通基礎(chǔ)。圖1表示了雙協(xié)議棧的通信方式。IPv4主機(jī)圖1IPv4/v6雙協(xié)議棧技術(shù)2.1.2基于雙棧技術(shù)的IPv6校園網(wǎng)絡(luò)設(shè)計(jì)在原有校園網(wǎng)基礎(chǔ)上直接升級(jí)支持IPv6，所涉及因素比較復(fù)雜，需要考慮的內(nèi)容也較多，一般而言需要購買新的雙棧設(shè)備，少數(shù)設(shè)備可以通過升級(jí)軟件直接支持雙棧。若核心設(shè)備可升級(jí)，則部署和業(yè)務(wù)互通方案類似新建校園網(wǎng)。若增加新的雙棧設(shè)備，則新建IPv6網(wǎng)與原來IPv4網(wǎng)在各自網(wǎng)內(nèi)分別互通，與外部則分別經(jīng)原核心連接的CERNET或新增設(shè)備所連接的CERNET2分別于外部IPv4和IPv6網(wǎng)絡(luò)互通，校園網(wǎng)內(nèi)部IPv4--IPv4、IPv6--IPv6業(yè)務(wù)分別利用新老校園網(wǎng)直接互通。IPv4數(shù)據(jù)可以經(jīng)由原有網(wǎng)絡(luò)轉(zhuǎn)發(fā)，IPv6數(shù)據(jù)經(jīng)由新核心進(jìn)行轉(zhuǎn)發(fā)，如此以來可以高效地支持大容量IPv6數(shù)據(jù)的轉(zhuǎn)發(fā)，而且業(yè)務(wù)支持性能比較高，不過成本相對(duì)比較昂貴。數(shù)據(jù)轉(zhuǎn)發(fā)路徑可能一致，也可以不同。當(dāng)今的Cisco，華為等高端路由器和高端交換機(jī)采用網(wǎng)絡(luò)處理技術(shù)，可以隨時(shí)進(jìn)行業(yè)務(wù)升級(jí)；中低端路由器具有成本低、特性豐富、IOS版本容易升級(jí)等優(yōu)點(diǎn)，特別適合于組建教學(xué)科研網(wǎng)絡(luò)。在教學(xué)科研網(wǎng)上，可以運(yùn)行多種IPv6路由協(xié)議、IPv6隧道技術(shù)和互通技術(shù)，支持6PE，GRE等多種IPv6隧道技術(shù)。現(xiàn)在大多數(shù)網(wǎng)絡(luò)采用優(yōu)化的寬帶IP網(wǎng)絡(luò)結(jié)構(gòu)，寬帶IP網(wǎng)大多是采用分層結(jié)構(gòu)，由核心層、匯聚層、接入層組成。采用分層結(jié)構(gòu)可以有效地隔離各個(gè)層次之間的相互影響，為每個(gè)層次的需求實(shí)現(xiàn)優(yōu)化設(shè)計(jì)，提高整個(gè)校園網(wǎng)設(shè)計(jì)研究網(wǎng)絡(luò)的靈活性、擴(kuò)展性、有效性和可靠性。各個(gè)層次的要求如下：核心層：將多個(gè)匯聚層連接起來，為匯聚層網(wǎng)絡(luò)提供數(shù)據(jù)的高速轉(zhuǎn)發(fā)，同時(shí)實(shí)現(xiàn)與其他骨干網(wǎng)絡(luò)的互聯(lián)，高速IP數(shù)據(jù)出口。骨干層網(wǎng)絡(luò)結(jié)構(gòu)重點(diǎn)考慮高速的交換能力、高帶寬、高可靠性、良好的擴(kuò)展能力、清晰的網(wǎng)絡(luò)結(jié)構(gòu)、多業(yè)務(wù)的支持能力，包括OS保證、流量管理，提供IPv6隧道接口、IPv6/IPv4雙棧通道等等。匯聚層：完成本地業(yè)務(wù)的區(qū)域匯接，進(jìn)行帶寬和業(yè)務(wù)匯聚、收斂及分發(fā)，并進(jìn)行用戶管理，通過識(shí)別定位用戶，實(shí)現(xiàn)基于用戶的訪問控制和帶寬保證，以及提供安全保證和靈活的計(jì)費(fèi)方式。要求具有高端口密度、高性能、高容量、多技術(shù)支持，支持各種接入技術(shù)如以太網(wǎng)、ATM,CableModem等、安全控制、流量管理、多業(yè)務(wù)支持、計(jì)費(fèi)管理，支持IPv6/IPv4雙棧協(xié)議，允許兩種網(wǎng)絡(luò)長期共存。接入層：通過各種接入技術(shù)和線路資源實(shí)現(xiàn)對(duì)用戶的覆蓋，并提供多業(yè)務(wù)的用戶接入，必要時(shí)配合完成用戶流量控制功能。要求具有高性能、高容量、多技術(shù)支持、多業(yè)務(wù)支持、用戶管理能力等，支持IPv6/IPv4雙棧協(xié)議，校內(nèi)任何信息點(diǎn)的用戶都可以方便地訪問IPv6或者IPv4資源。具體的設(shè)計(jì)步驟如下：?主干系統(tǒng)的設(shè)計(jì)，指核心層和匯聚層?接入系統(tǒng)的設(shè)計(jì)?網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)基于雙棧技術(shù)的IPv6校園網(wǎng)絡(luò)設(shè)計(jì)如圖2所示。

Cisco6500Cisco3570Cisco3570Cisco3570Cisco296銳捷Cisco6500Cisco3570Cisco3570Cisco3570Cisco296銳捷RSR-08EWR941NCisco3570圖2升級(jí)后的學(xué)校網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示，分為核心層、匯聚層、接入層。核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時(shí)要為各匯聚節(jié)點(diǎn)提供最佳傳輸通道。在部署IPv6核心層設(shè)備時(shí)，要特別注意在雙棧環(huán)境中的設(shè)備轉(zhuǎn)發(fā)性能是否能夠達(dá)到線速轉(zhuǎn)發(fā)。在核心層部署兩臺(tái)cisco6506E，實(shí)現(xiàn)萬兆雙鏈路捆綁，保證核心設(shè)備間的高性能轉(zhuǎn)發(fā)及冗余，實(shí)現(xiàn)匯聚設(shè)備的雙鏈路上行，提高骨干鏈路可靠性。匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進(jìn)行匯聚和集中，承擔(dān)路由聚合和訪問控制的任務(wù)。這就要求匯聚層設(shè)備必須具備良好的可擴(kuò)展性，必須使用模塊化、分布式轉(zhuǎn)發(fā)的體系結(jié)構(gòu)，可通過增加板卡提高端口密度，以便匯接更多的接入層設(shè)備，并能提供良好的性能保障。在IPv6部署時(shí)，特別需要支持IPv6路由，轉(zhuǎn)發(fā)等基本功能，同時(shí)要考慮將來IPv6VRRP（虛擬路由器冗余協(xié)議）用來提供對(duì)用戶的網(wǎng)關(guān)冗余。在匯聚層部署多臺(tái)cisio3570匯聚層交換機(jī)。接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP風(fēng)暴、MAC掃描、ICMP風(fēng)暴、帶寬攻擊等攻擊方式，對(duì)安全性的要求很高；另一方面必須提供靈活的用戶管理手段。在部署IPv6網(wǎng)絡(luò)時(shí)，首先要考慮接入層交換機(jī)支持對(duì)雙棧用戶進(jìn)行認(rèn)證，IPv6HOST，IPv6ACL等功能，同時(shí)在IPv6中，用戶可能遭受ND（鄰居發(fā)現(xiàn)協(xié)議）攻擊，接入層交換機(jī)也需要支持ND防攻擊的相關(guān)功能。在此次升級(jí)中，接入層設(shè)備采用的是支持IPv6管理并具有安全特性的cisco2960。2.2提供的服務(wù)建設(shè)一流的數(shù)字化網(wǎng)絡(luò)環(huán)境、數(shù)字化資源、數(shù)字化教學(xué)與學(xué)習(xí)環(huán)境，實(shí)現(xiàn)數(shù)字化學(xué)習(xí)、教學(xué)、科研和管理，創(chuàng)建數(shù)字化的生活空間。將本校建設(shè)成高速互聯(lián)的數(shù)字化校園。我校的下一代校園網(wǎng)建設(shè)，不能僅僅著眼于網(wǎng)絡(luò)帶寬的建設(shè)，而且應(yīng)該極其強(qiáng)調(diào)建成以后網(wǎng)絡(luò)的可管理性、安全性、擴(kuò)展性和各級(jí)網(wǎng)絡(luò)設(shè)備和鏈路的冗余性和可靠性。比如安全性，作為網(wǎng)絡(luò)應(yīng)用一個(gè)很重要的方面，是需要重點(diǎn)考慮的部分，在保障數(shù)據(jù)傳輸安全的同時(shí)，還要同時(shí)加強(qiáng)網(wǎng)絡(luò)安全、防病毒系統(tǒng)建設(shè)，保護(hù)校園網(wǎng)系統(tǒng)免受黑客攻擊，防止非法的訪問，為網(wǎng)絡(luò)系統(tǒng)和應(yīng)用提供安全的防護(hù)屏障。服務(wù)主要包括Pv6/IPv4互訪業(yè)務(wù)，及遠(yuǎn)端節(jié)點(diǎn)的接入，部署節(jié)點(diǎn)冗余設(shè)計(jì)等。另外，根據(jù)實(shí)際應(yīng)用，主要應(yīng)用包括：支持各種方式的Internet接入支持各應(yīng)用及文件服務(wù)器的接入支持多點(diǎn)對(duì)多點(diǎn)的視頻會(huì)議支持多媒體的廣播教學(xué)應(yīng)用支持圖書館管理系統(tǒng)支持學(xué)校信息管理系統(tǒng)能采用VLAN技術(shù)以提高流量控制，安全及防止網(wǎng)絡(luò)風(fēng)暴2.3關(guān)鍵設(shè)備選型核心層交換機(jī):cisco6500系列交換機(jī)提供安全的端到端融合網(wǎng)絡(luò)服務(wù)。能夠通過多種機(jī)箱配置和LAN/WAN/MAN接口提供可擴(kuò)展的性能和端口密度，降低總體擁有成本。提供帶插槽的機(jī)箱，以及多種集成式服務(wù)模塊，包括數(shù)千兆位網(wǎng)絡(luò)安全性、內(nèi)容交換、語音和網(wǎng)絡(luò)分析模塊。使用了統(tǒng)一的模塊和操作系統(tǒng)軟件，形成了能夠適應(yīng)未來發(fā)展的體系結(jié)構(gòu)。借助冗余路由與轉(zhuǎn)發(fā)引擎之間的故障切換功能提高網(wǎng)絡(luò)正常運(yùn)行時(shí)間提供高達(dá)200Mbps的硬件Ipv6匯聚層交換機(jī):cisco3750系列交換機(jī)易于使用一“即插即用”配置混合和匹配交換機(jī)類型一隨您對(duì)網(wǎng)絡(luò)的擴(kuò)展而付費(fèi)智能組播一為融合網(wǎng)絡(luò)提高新效率水平支持IPV6標(biāo)準(zhǔn)PoE支持一順暢地添加IP通信萬兆位以太網(wǎng)支持一為千兆位以太網(wǎng)部署增加上行鏈路帶寬管理選項(xiàng)接入層交換機(jī):cisco2960系列交換機(jī)集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC)高級(jí)服務(wù)質(zhì)量(QoS)和永續(xù)性為網(wǎng)絡(luò)邊緣提供智能服務(wù)2.4.安全設(shè)計(jì)如同需要用鎖來保證有形的財(cái)產(chǎn)的安全一樣，計(jì)算機(jī)和數(shù)據(jù)網(wǎng)也需要一種保護(hù)信息安全的防犯物。在一個(gè)互連網(wǎng)絡(luò)中，安全性既重要又困難。說它重要，是因?yàn)樾畔⒕哂酗@著的價(jià)值一一信息可以被直接買賣，也可以通過間接地使用信息創(chuàng)造出可獲得高利潤的新的產(chǎn)品或服務(wù)。說它困難，是因?yàn)榘踩砸馕吨纫私庹齾⒓雍献鞯挠脩?、?jì)算機(jī)、服務(wù)和網(wǎng)絡(luò)在何時(shí)相互依賴以及如何相互依賴，還要了解網(wǎng)絡(luò)硬件和協(xié)議的技術(shù)細(xì)節(jié)。從廣義上講，術(shù)語“網(wǎng)絡(luò)安全性”和“信息安全性”是指能夠確保網(wǎng)絡(luò)上的信息和服務(wù)不被非授權(quán)的用戶所使用。安全性意味著：數(shù)據(jù)的完整性，防止對(duì)計(jì)算機(jī)資源的非授權(quán)地隨意訪問，防止隨意地竊聽或偷窺以及隨便地打斷服務(wù)。當(dāng)然，如同不能保證物理財(cái)產(chǎn)針對(duì)犯罪來說的絕對(duì)安全，也沒有網(wǎng)絡(luò)的絕對(duì)安全。由于信息的飄忽不定和難以捕捉，保護(hù)像信息這樣的資源一般比提供物理的安全性更加困難。數(shù)據(jù)完整性（即保護(hù)信息不被非授權(quán)的改變）是關(guān)鍵；數(shù)據(jù)可用性（即保證外來者不能通過使網(wǎng)絡(luò)業(yè)務(wù)流飽和來阻止對(duì)數(shù)據(jù)的合法訪問）也是個(gè)關(guān)鍵。因?yàn)樾畔⒃谕ㄟ^網(wǎng)絡(luò)時(shí)可以被復(fù)制，必須防止數(shù)據(jù)被非授權(quán)的監(jiān)聽。也就是，網(wǎng)絡(luò)安全性也必須包括保護(hù)隱私。西安電子科技大學(xué)為園區(qū)網(wǎng)絡(luò)，有大量的網(wǎng)絡(luò)用戶。同時(shí)和外網(wǎng)互聯(lián)，必然有很多不安全的因素。為保證網(wǎng)絡(luò)的安全可靠，我們結(jié)合西安電子科技大學(xué)的實(shí)際情況、運(yùn)用恰當(dāng)?shù)募夹g(shù)提出整體的層次化解決方案。2.4.1部署防火墻防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與Internet之間的一個(gè)或一組系統(tǒng)，用以實(shí)施兩個(gè)網(wǎng)絡(luò)間的訪問控制和安全策略。狹義上防火墻指安裝了防火墻軟件的主機(jī)或和路由系統(tǒng)；廣義上還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。防火墻技術(shù)屬于被動(dòng)防衛(wèi)型，它通過在網(wǎng)絡(luò)邊界上建立一個(gè)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的，其功能是按照設(shè)定的條件對(duì)通過的信息進(jìn)行檢查和過濾。防火墻是實(shí)施組織的網(wǎng)絡(luò)安全策略、保護(hù)內(nèi)部信息的第一道屏障，其作用主要有：保護(hù)功能拒絕非授權(quán)訪問、保護(hù)網(wǎng)絡(luò)系統(tǒng)和私人及敏感信息不受侵害。連接功能作為內(nèi)部網(wǎng)絡(luò)與Internet之間的單一連接點(diǎn)。管理功能實(shí)施統(tǒng)一的安全策略，檢查網(wǎng)絡(luò)使用情況，進(jìn)行流量控制等。防火墻有三個(gè)屬性：所有進(jìn)出內(nèi)部網(wǎng)的數(shù)據(jù)包必須經(jīng)過它；僅被本地安全策略所授權(quán)的數(shù)據(jù)包才能通過它；防火墻本身對(duì)攻擊必須具有免疫能力。在西安電子科技大學(xué)和外網(wǎng)的連接中，我們推薦使用硬件防火墻。防火墻在內(nèi)外網(wǎng)絡(luò)連接中起兩個(gè)作用：1） 利用訪問控制列表（AccessControlList，ACL）實(shí)施安全防護(hù)防火墻操作系統(tǒng)IOS通過訪問控制列表（ACL）技術(shù)支持包過濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應(yīng)的訪問列表，可以對(duì)數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制，可以根據(jù)源/目的地址、協(xié)議類型、TCP端口號(hào)進(jìn)行控制。這樣，我們就可以在Intranet上建立第一道安全防護(hù)墻，屏蔽對(duì)內(nèi)部網(wǎng)Intranet的非法訪問。2） 利用地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）實(shí)現(xiàn)安全保護(hù)防火墻另外一個(gè)強(qiáng)大功能就是內(nèi)外地址轉(zhuǎn)換。進(jìn)行IP地址轉(zhuǎn)換由兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP地址，這可以使黑客（hacker）無法直接攻擊內(nèi)部網(wǎng)絡(luò)，因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個(gè)好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。地址轉(zhuǎn)換（NAT）技術(shù)運(yùn)用在內(nèi)部主機(jī)與外部主機(jī)之間的互相訪問的時(shí)候，當(dāng)內(nèi)部訪問者想通過路由器外出時(shí)，路由器首先對(duì)其進(jìn)行身份認(rèn)證----通過訪問列表（ACL）核對(duì)其權(quán)限，如果通過，則對(duì)其進(jìn)行地址轉(zhuǎn)換，使其以一個(gè)對(duì)外公開的地址訪問外部網(wǎng)絡(luò)；當(dāng)外部訪問者想進(jìn)入內(nèi)部網(wǎng)時(shí)，路由器同樣首先核對(duì)其訪問權(quán)限，然后根據(jù)其目的地址（外部公開的地址），將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換的相應(yīng)的內(nèi)部主機(jī)。2.4.2局域網(wǎng)內(nèi)部安全策略在西安電子科技大學(xué)網(wǎng)絡(luò)工程和今后各種應(yīng)用系統(tǒng)的建設(shè)過程中，在局域網(wǎng)上我們可以根據(jù)不同部門、不同業(yè)務(wù)類別劃分VLAN，通過把不同系統(tǒng)劃分在不同VLAN的方式，將各系統(tǒng)完全隔離，實(shí)現(xiàn)對(duì)跨系統(tǒng)訪問的控制，既保證了安全性，也提高了可管理性。1）VLAN技術(shù)VLAN技術(shù)用以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的集中管理和安全控制°CISCO局域網(wǎng)交換機(jī)的一大優(yōu)勢(shì)是具備跨交換機(jī)的VLAN（虛網(wǎng)）劃分和VLAN路由功能。虛網(wǎng)是將一個(gè)物理上連接的網(wǎng)絡(luò)在邏輯上完全分開，這種隔離不僅是數(shù)據(jù)訪問的隔離，也是廣播域的隔離，就如同是物理上完全分離的網(wǎng)絡(luò)一樣，是一種安全的防護(hù)。通過VLAN路由實(shí)現(xiàn)對(duì)跨部門訪問的控制，既保證了安全性，也提高了可管理性。2） VLANRouting原理每一個(gè)VLAN都具有一個(gè)標(biāo)識(shí)，不同的VLAN標(biāo)識(shí)亦不相同，交換機(jī)在數(shù)據(jù)鏈路層上可以識(shí)別不同的VLAN標(biāo)識(shí)，但不能修改該VLAN標(biāo)識(shí)，只有VLAN標(biāo)識(shí)相同的端口才能形成橋接，數(shù)據(jù)鏈路層的連接才能建立，因而不同VLAN的設(shè)備在數(shù)據(jù)鏈路層上是無法連通的。VLANRouting技術(shù)是在網(wǎng)絡(luò)層將VLAN標(biāo)識(shí)進(jìn)行轉(zhuǎn)換，使得不同的VLAN間可以溝通，而此時(shí)基于網(wǎng)絡(luò)層、傳輸層甚至應(yīng)用層的安全控制手段都可運(yùn)用，諸如Access-list（訪問列表限制）、FireWall（防火墻）、TACACS+等，VLANRouting技術(shù)使我們獲得了對(duì)不同VLAN間數(shù)據(jù)流動(dòng)的強(qiáng)有力控制。3） MAC地址過濾策略在內(nèi)部網(wǎng)中還可以利用Cisco交換機(jī)的MAC地址過濾功能對(duì)局域網(wǎng)的訪問提供鏈路層的安全控制。MAC地址過濾能進(jìn)一步實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。CISCO局域網(wǎng)交換機(jī)具有MAC址過濾功能，通過在交換機(jī)上對(duì)每個(gè)端口進(jìn)行配置，可以禁止或允許特定MAC地址的源站點(diǎn)或目的站點(diǎn)，從而實(shí)現(xiàn)各站點(diǎn)之間的訪問控制。由于每塊網(wǎng)卡有唯一的MAC地址，是固定不變的，只允許特定MAC地址的工作站通過特定的端口進(jìn)行訪問，所以對(duì)MAC地址的訪問控制實(shí)際上就是對(duì)指定工作站這一物理設(shè)備的訪問控制，由于MAC地址的不可改變，與對(duì)IP地址的過濾相比，具有更高的安全性。2.4.3撥號(hào)訪問安全控制從確保網(wǎng)絡(luò)訪問的安全出發(fā)，路由器對(duì)所有遠(yuǎn)程撥號(hào)訪問連接都由Radius設(shè)置AAA（AuthenticationAuthorizationAccount，即認(rèn)證、授權(quán)、記帳）級(jí)安全控制，防止法用戶的訪問。同時(shí)，在計(jì)費(fèi)服務(wù)器上，也提供Radius認(rèn)證方式，兩者可以配合使用。（也可以只采用計(jì)費(fèi)服務(wù)器上的Radius認(rèn)證）具體的實(shí)現(xiàn)細(xì)節(jié)如下：在網(wǎng)絡(luò)中配置一臺(tái)安裝CiscoSecure軟件的服務(wù)器，CiscoSecure軟件使用Radius（RemoteAuthenticationDial-inUserService協(xié)議提供對(duì)網(wǎng)絡(luò)的安全控制，并對(duì)成功連接到網(wǎng)絡(luò)的用戶的操作進(jìn)行記錄。對(duì)于遠(yuǎn)程撥號(hào)訪問，配置PPP協(xié)議提供的CHAP（ChallengeHandshakeAuthorizationProtocol）認(rèn)證協(xié)議，該協(xié)議是一個(gè)基于標(biāo)準(zhǔn)的認(rèn)證服務(wù)，而且在傳輸過程中使用加密保護(hù)，與在傳輸用戶ID和口令時(shí)不使用加密的PAP協(xié)議相比，具有更大的安全性，可用西電校園網(wǎng)設(shè)計(jì)方案校園網(wǎng)建設(shè)方案供用戶ID和口令在傳輸線上的安全保護(hù).RADIUS提供的AAA級(jí)安全控制首先根據(jù)用戶名和口令識(shí)別在本網(wǎng)絡(luò)中是否允許該用戶訪問，從而決定是否建立連接；其次對(duì)經(jīng)過認(rèn)證連接到網(wǎng)絡(luò)的用戶授予相應(yīng)的網(wǎng)絡(luò)服務(wù)級(jí)別，提供訪問的限制；最后保留用戶在本網(wǎng)絡(luò)中的所有操作記錄（日志），這些記錄的內(nèi)容包括用戶網(wǎng)絡(luò)地址、用戶名、所使用的服務(wù)、日期和時(shí)間以及用于計(jì)帳的連接時(shí)間、連接位置、數(shù)據(jù)傳輸量、開始時(shí)間和停止時(shí)間等。AAA在Client/Server體系中允許在一個(gè)中心數(shù)據(jù)庫中存儲(chǔ)所有的安全信息，在一臺(tái)裝有CiscoSecure軟件的安全服務(wù)器上通過對(duì)數(shù)據(jù)庫的修改和維護(hù)就可方便地對(duì)整個(gè)系統(tǒng)進(jìn)行很好的安全控制。CiscoSecure軟件由一個(gè)Daemon和一個(gè)GUI兩部分組成。Daemon的操作依賴于兩個(gè)文件，一個(gè)用于定義所有的系統(tǒng)參數(shù)的控制文件和一個(gè)包含了網(wǎng)絡(luò)用戶所有認(rèn)證和授權(quán)信息的數(shù)據(jù)庫文件°GUI提供給系統(tǒng)管理員用于維護(hù)認(rèn)證和授權(quán)信息等，網(wǎng)絡(luò)用戶可被分配到具有一系列相同參數(shù)的組，GUI使系統(tǒng)管理員能夠修改網(wǎng)絡(luò)中任一組和任一用戶的認(rèn)證和授權(quán)參數(shù)。網(wǎng)絡(luò)訪問的安全控制過程如下：

首先，當(dāng)用戶使用PPP協(xié)議對(duì)網(wǎng)絡(luò)進(jìn)行撥號(hào)訪問時(shí)，訪問服務(wù)器將通過CHAP協(xié)議輸入的用戶名和口令送到RADIUS服務(wù)器，由RADIU協(xié)議根據(jù)數(shù)據(jù)庫的信息進(jìn)行認(rèn)證，并把認(rèn)證結(jié)果傳回訪問服務(wù)器。如認(rèn)證成功，訪問服務(wù)器將與遠(yuǎn)端建立連接，否則中斷連接。認(rèn)證成功后訪問服務(wù)器向RADIUS服務(wù)器送出授權(quán)請(qǐng)求，服務(wù)器根據(jù)數(shù)據(jù)庫信息將該用戶所具有的訪問權(quán)限的描述傳回訪問服務(wù)器，提供更多的安全控制。這些訪問控制信息包括該用戶的訪問控制列表，指定該用戶可使用的服務(wù)以及該用戶會(huì)話可延續(xù)的時(shí)間等。最后訪問服務(wù)器會(huì)將用戶在網(wǎng)絡(luò)中的每一個(gè)操作記錄到RADIUS服務(wù)器中。三關(guān)鍵設(shè)備選型說明3.1交換機(jī)所用的各種類型的交換機(jī)性能如下表:交換機(jī)核心層匯聚層接入層產(chǎn)品名稱思科WS-C6506-E思科WS-C3750G-48TS-S思科WS-C2960G-24TC-L產(chǎn)品圖片_ kK三產(chǎn)品價(jià)格￥27999￥27167￥7778交換機(jī)類型千兆以太網(wǎng)交換機(jī)千兆以太網(wǎng)交換機(jī)企業(yè)級(jí)交換機(jī)傳輸速率10/100/1000Mbps10/100/1000Mbps10/100/1000Mbps應(yīng)用層級(jí)四層三層二層交換方式存儲(chǔ)-轉(zhuǎn)發(fā)存儲(chǔ)-轉(zhuǎn)發(fā)存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬480Gbps32Gbps32Gbps包轉(zhuǎn)發(fā)率243Mpps38.7Mpps35.7Mpps端口結(jié)構(gòu)固定端口固定端口固定端口內(nèi)存1G128MB64MBMAC地址表64K12288K8KVLAN功能支持支持支持傳輸模式全雙工全雙工全雙工網(wǎng)管功能CiscoWorks2000,RMON,SNMP,CLI,WebWeb瀏覽器，SNMP,CLI增強(qiáng)交換端口分析器(ESPAN),SNMP,Telnet,BOOTP,TFTP堆疊功能不可堆疊能堆疊不可堆疊接口數(shù)量32個(gè)48個(gè)20個(gè)接口類型DS0到OC-4810/100/1000POE10/100Base-T,10/100BASE-FX1000Base-FX/SX100/1000Base-Tx/SFP電源電壓220200-240V100-240V額定功率DC,6000;AC,4000W160W75W

3.2路由器路由器 有線 無線產(chǎn)品名稱銳捷RSR-08E-BASE-DCTP-LINKTL-WR941N產(chǎn)品圖片H.二二二.二I\|/產(chǎn)品價(jià)格￥480000￥249路由器類型高端企業(yè)級(jí)路由器SOHO無線路由器傳輸速率10/100/1000Mbps270Mbps端口結(jié)構(gòu)模塊化路由器包轉(zhuǎn)發(fā)率16MPPS網(wǎng)絡(luò)協(xié)議IPV4/IPV6,OSPF,IS-IS,BGP,IEEE802.11n,IEEE802.11g,RIPv2,靜態(tài)路由，IGMPv3,IEEE802.11b,IEEE802.3,IEEEPIM-DM/SM,SDP,DVMRP,RP,802.3u,CSMA/CA,CSMA/CD,PIM-SSMTCP/IP,DHCP,ICMP,NAT,PPPoE路由器網(wǎng)管功能警管和整形、基于VLAN/VC/VP/DLCI/接口/捆綁的排隊(duì)、基于級(jí)別的排隊(duì)和優(yōu)先級(jí)分配、WRED簡潔易懂的Web管理界面VPN功能支持支持QoS功能支持支持防火墻功能內(nèi)置內(nèi)置其他功能交換容量：12.8GACL:超過1萬條路由表：50萬條標(biāo)準(zhǔn)/認(rèn)證CAN/CSA-C22.2No.60950-00/UL60950、EN60825-1、EN60825-2、EN60950IEEE802.11b/g/n無線頻率2.4-2.4835GHz信道13展頻技術(shù)DSSS（直接序列展頻）數(shù)據(jù)調(diào)制方式DBPSK、DQPSK、CCK、OFDM、16-QAM、64-QAM接收靈敏度270M:68dBm@10%PER130M:68dBm@10%PER108M:68dBm@10%PER54M:68dBm@10%PER11M:85dBm@8%PER6M:88dBm@10%PER1M:90dBm@8%PER安全標(biāo)準(zhǔn) 提供64/128/152位WEP加密，支持WPA/WPA-PSK、WPA2/WPA2-PSK

安全機(jī)制四工程預(yù)算設(shè)備名稱數(shù)量單價(jià)（元）總預(yù)算（元）思科WS-C6506-E交換機(jī)228,00056,000思科WS-C3750G-4