某學(xué)院HD校園網(wǎng)建設(shè)鋪陳設(shè)計方案

學(xué)院HD校園網(wǎng)建設(shè)鋪設(shè)計方案系統(tǒng)設(shè)計既要采用先進的概念、技術(shù)和方法,又要注意結(jié)構(gòu)、設(shè)備、工具的相對先進成熟,整個系統(tǒng)的生命周期應(yīng)有比較長的時間,可以在信息技術(shù)不斷發(fā)展的今天,在系統(tǒng)建成以后比較長的一段時間能滿足用戶需求增長的需要；不但能反映當(dāng)今的先進水平,而且具有發(fā)展?jié)摿?能保證在未來若干年占主導(dǎo)地位,保證網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位,采用千兆以太網(wǎng)技術(shù)構(gòu)建網(wǎng)絡(luò)主干、支干線路。1.1.3擴展性系統(tǒng)必須具有良好的可擴充性,在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與技術(shù)方案等方面必須具有升級換代的可能,核心設(shè)備必須采用模塊化的結(jié)構(gòu),跟蹤網(wǎng)絡(luò)發(fā)展的前沿方向,符合網(wǎng)絡(luò)的發(fā)展趨勢并具有充分的擴展性。系統(tǒng)建設(shè)必須盡量保護現(xiàn)有的軟、硬件資源,保證各部門現(xiàn)有的計算機系統(tǒng)的使用,逐步過渡,有效保護用戶投資,最終形成一個統(tǒng)一的、一體化的綜合網(wǎng)絡(luò)系統(tǒng)。1.1.4高性能網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力,保證各種信息的高質(zhì)量無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力,保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。1.1.5可運營為了讓校園網(wǎng)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展,并收回網(wǎng)絡(luò)建設(shè)成本,學(xué)?；蜻\營商需要對校園網(wǎng)進行運營,通過對上網(wǎng)的學(xué)生用戶收取一定的費用來達到"以網(wǎng)養(yǎng)網(wǎng)"的目的,并要求運營系統(tǒng)能夠貼近校園用戶的應(yīng)用模式,方便維護和管理。1.1.6規(guī)化和標(biāo)準(zhǔn)化網(wǎng)絡(luò)體系結(jié)構(gòu)、通信協(xié)議及軟件的設(shè)計和開發(fā)必須按照國家或行業(yè)標(biāo)準(zhǔn)進行,要模塊化、結(jié)構(gòu)化、數(shù)據(jù)要代碼化,以便于信息共享和交流及將來的維護。在系統(tǒng)設(shè)計和軟件開發(fā)時,應(yīng)用程序必須規(guī)化、模塊化和可復(fù)用。2.2網(wǎng)絡(luò)建設(shè)目標(biāo)通過以上的網(wǎng)絡(luò)建設(shè)原則,本次校園網(wǎng)建設(shè)要實現(xiàn)以下目標(biāo)：東西校區(qū)各設(shè)一個千兆互聯(lián)網(wǎng)出口,解決出口瓶頸問題；雙出口,雙核心,雙鏈路實現(xiàn)東西校區(qū)的穩(wěn)固互聯(lián),確保鏈路的帶寬及穩(wěn)定性；東西校區(qū)可以根據(jù)需求達到不同區(qū)域使用不同的出口訪問互聯(lián)網(wǎng)；科學(xué)規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu),合理配備核心層和匯聚層網(wǎng)絡(luò)設(shè)備與端口,保證核心網(wǎng)絡(luò)設(shè)備和線路適當(dāng)冗余,優(yōu)化接入層網(wǎng)絡(luò)設(shè)備,建設(shè)千兆主干、百兆到桌面的高效校園網(wǎng)絡(luò)；合理部署網(wǎng)絡(luò)安全措施,建立有效的網(wǎng)絡(luò)安全防和響應(yīng)機制,為網(wǎng)絡(luò)安全管理提供在線監(jiān)控、事后可查的技術(shù)手段,防止私設(shè)代理和盜用IP地址現(xiàn)象,提高網(wǎng)絡(luò)安全性；建立全網(wǎng)統(tǒng)一管理系統(tǒng),包含對網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全的統(tǒng)一管理和配置；建立高效的網(wǎng)絡(luò)性能監(jiān)視與預(yù)警機制；同時建立配套的軟硬件平臺。全面支持IPV6,可平滑過度到IPV6,保證設(shè)備的投資；建立全局化、智能化的安全體系,從接入層的基于端口的安全策略,到匯聚再到核心,病毒及非法網(wǎng)絡(luò)行為進行監(jiān)控和預(yù)制策略,預(yù)警功能。將學(xué)院的教工宿舍"金?；▓@"納入校園網(wǎng),可以訪問圖書館資源和中國期刊網(wǎng)等眾多校學(xué)術(shù)資源。學(xué)生宿舍聯(lián)網(wǎng)并接入校園網(wǎng)。s5750-24sfp/gk網(wǎng)絡(luò)設(shè)計3.1東西校區(qū)互聯(lián)網(wǎng)出口設(shè)計本次設(shè)計,東西校區(qū)各設(shè)一個1000M互聯(lián)網(wǎng)出口,我們電信網(wǎng)絡(luò),在市有自己的城域環(huán)網(wǎng),保證這兩個1000M互聯(lián)網(wǎng)出口不是出自同一個模塊局,確保出口線路冗余。3.2東西校區(qū)互聯(lián)的設(shè)計由于目前學(xué)校東校區(qū)的網(wǎng)絡(luò)中心還未建成,暫時將東西兩個校園的核心設(shè)備放在西區(qū)的網(wǎng)絡(luò)中心,東區(qū)的匯聚設(shè)備都通過兩對光纖形成的雙鏈路與兩個核心互連。東區(qū)網(wǎng)絡(luò)中心造成后東區(qū)設(shè)備轉(zhuǎn)放東區(qū)網(wǎng)絡(luò)中心機房。3.3網(wǎng)絡(luò)架構(gòu)的設(shè)計目前網(wǎng)絡(luò)架構(gòu)有單核心單鏈路、雙核心雙鏈路、二層架構(gòu)、三層架構(gòu)、四層架構(gòu)等多種網(wǎng)絡(luò)架構(gòu),結(jié)合學(xué)院的實際情況以及網(wǎng)絡(luò)技術(shù)的發(fā)展,我們選擇雙核心雙鏈路的架構(gòu),這樣不僅在鏈路上確保網(wǎng)絡(luò)穩(wěn)定高效、在設(shè)備上也可實現(xiàn)穩(wěn)定與高效；同時選擇三層架構(gòu)：分流核心數(shù)據(jù)處理能力、降低核心路由交換壓力；更好抑制廣播風(fēng)暴、提升網(wǎng)絡(luò)性能；終結(jié)各VLAN信息、增強核心路由管理能力；網(wǎng)絡(luò)層次結(jié)構(gòu)更加完善、可匯總路由,降低核心路由表項；安全性更高,更強的預(yù)防和控制,對網(wǎng)絡(luò)攻擊、病毒和破壞盡量控制在邊緣完成；擴展性更強、快速定位故障點、更易于管理；各接入層部通訊量大,無需通過核心處理時〔部網(wǎng)絡(luò)游戲等,采用三層結(jié)構(gòu)更加合理；可靠性更強,可以通過匯聚層雙鏈路上聯(lián)雙核心構(gòu)成環(huán)狀結(jié)構(gòu),全網(wǎng)架構(gòu)更加健壯,提升網(wǎng)絡(luò)高可用性。我們采用了接入堆疊＋小區(qū)域匯聚＋核心這種雙核心雙鏈路的三層結(jié)構(gòu)架構(gòu)：采用千兆可堆疊高性能網(wǎng)管交換機。交換機通過部堆疊后上聯(lián)片區(qū)匯聚節(jié)點。節(jié)省投資成本擴展靈活,通過增加堆疊組交換機或增加堆疊組來擴展接入信息點。支持多種訪問控制功能和802.1x功能,可靈活方便的控制樓棟部之間的訪問限制。減少網(wǎng)絡(luò)層次架構(gòu),加速數(shù)據(jù)傳輸,提高網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)性能。充分利用片區(qū)匯聚節(jié)點的高性能數(shù)據(jù)轉(zhuǎn)發(fā),高穩(wěn)定可靠基礎(chǔ),對每個樓棟之間的控制,可以在片區(qū)匯聚節(jié)點連接各樓棟的千兆接口上實現(xiàn),如訪問控制,防DDoS攻擊,防惡意IP掃描等等,不影響數(shù)據(jù)轉(zhuǎn)發(fā)性能。樓棟部各樓層之間的數(shù)據(jù)通過堆疊方式〔千兆以上帶寬相互訪問,加速部訪問和數(shù)據(jù)傳輸速度。環(huán)型冗余方式堆疊,沒有單點故障和性能瓶頸。堆疊后多臺設(shè)備會虛擬成一臺設(shè)備進行管理,大大提高管理效率。千兆堆疊可網(wǎng)管交換機是目前高校網(wǎng)絡(luò)建設(shè)主流使用的接入設(shè)備,因此在未來發(fā)展中設(shè)備延續(xù)使用性強。架構(gòu)缺點：堆疊臺數(shù)一般不超過6臺,需要超過6臺的地區(qū)增加新的堆疊組進行信息點擴展。雙核心雙鏈路的三層結(jié)構(gòu),具體如下圖所示：3.3網(wǎng)絡(luò)安全設(shè)計今天的網(wǎng)絡(luò)安全正遭受嚴(yán)峻挑戰(zhàn)。病毒、外部入侵〔黑客、拒絕服務(wù)攻擊、部的誤用和濫用,以及各種災(zāi)難事故的發(fā)生,時刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運轉(zhuǎn)和信息安全。但與此同時,大多數(shù)正在使用的網(wǎng)絡(luò)安全系統(tǒng)都缺乏真正的全局防護能力。當(dāng)網(wǎng)絡(luò)受到來自各方面的攻擊時,由防毒軟件和防火墻等獨立安全產(chǎn)品堆砌起來的措施不僅漏洞百出,還會處處被動挨打?？梢詳嘌裕好鎸?fù)雜的安全隱患,這種"各自為戰(zhàn)"的安全系統(tǒng)已徹底失去效力。今天,網(wǎng)絡(luò)安全技術(shù)與各種安全隱患之間進行的是一場深入、多層次的戰(zhàn)爭。為了徹底扭轉(zhuǎn)"各自為戰(zhàn)"的被動局面,唯有用全局化、智能化的安全體系代替舊的安防措施。我公司采用了2004年底,業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備及解決方案供應(yīng)商銳捷網(wǎng)絡(luò)率先發(fā)布了集自動防御〔自御、自動修復(fù)〔自愈與自動學(xué)習(xí)〔自育等三大自"YU"功能于一體的GSN全局安全網(wǎng)絡(luò)解決方案。GSN強調(diào)"多兵種協(xié)同作戰(zhàn)",將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備〔網(wǎng)絡(luò)交換機、路由器等和網(wǎng)絡(luò)終端設(shè)備〔用戶PC、服務(wù)器等,成為一個全局化的網(wǎng)絡(luò)安全綜合體系。在此基礎(chǔ)上,GSN不僅能夠滿足現(xiàn)階段網(wǎng)絡(luò)安全環(huán)境的需求,同時也為今后可能發(fā)生的安全威脅做出了準(zhǔn)備?？傮w而言,GSN由銳捷安全交換機、安全客戶端、安全管理平臺、用戶認(rèn)證系統(tǒng)、安全修復(fù)系統(tǒng)、VPN客戶端、RG-IPS入侵檢測系統(tǒng)等多重網(wǎng)絡(luò)元素組成,實現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動,使網(wǎng)絡(luò)中的每個設(shè)備都在發(fā)揮著安全防護的作用,構(gòu)成"多兵種協(xié)同作戰(zhàn)"的全新安全體系。GSN通過將用戶入網(wǎng)強制安全、統(tǒng)一安全策略管理、動態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機制集成到一個網(wǎng)絡(luò)安全解決方案中,達到對網(wǎng)絡(luò)安全威脅的自動防御,網(wǎng)絡(luò)受損系統(tǒng)的自動修復(fù),同時可針對網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動學(xué)習(xí),從而達到對未知網(wǎng)絡(luò)安全事件的防。其基本原理和結(jié)構(gòu)圖如下：〔圖1GSN基本原理網(wǎng)絡(luò)自動防御〔自御面對復(fù)雜的網(wǎng)絡(luò)安全行為,最有效的防御策略即是將網(wǎng)絡(luò)安全防御技術(shù)應(yīng)用于在整個網(wǎng)絡(luò)中,而不是在單點進行網(wǎng)絡(luò)安全的防護部署。因為攻擊源可能來自網(wǎng)絡(luò)的任何一處,并能迅速的擴散到整個網(wǎng)絡(luò)當(dāng)中。GSN提高了現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護能力,增強了終端用戶的安全防護能力。當(dāng)接入網(wǎng)絡(luò)的用戶終端發(fā)生安全攻擊事件時,安全管理平臺〔RG-SMP將針對這一安全事件進行判斷,以確認(rèn)選擇調(diào)用何種安全策略來處理。安全管理平臺〔RG-SMP將自動把安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡(luò)區(qū)域,安全策略的執(zhí)行者可以是銳捷網(wǎng)絡(luò)聯(lián)動設(shè)備,根據(jù)安全事件的等級由安全管理平臺〔RG-SMP判斷是否需要將安全策略同步到網(wǎng)絡(luò)的區(qū)域中,以實現(xiàn)全網(wǎng)安全。同時,安全管理平臺會把針對這次安全事件的處理情況通知給用戶終端,使用戶能夠及時了解到網(wǎng)絡(luò)安全環(huán)境的變化。通過這個流程,網(wǎng)絡(luò)可以對已發(fā)生的安全行為進行完全自動化的防御措施,從而保證用戶網(wǎng)絡(luò)在受到威脅時可以迅速做出連動反應(yīng)?！矆D2GSN自動防御網(wǎng)絡(luò)自動修復(fù)〔自愈隨著網(wǎng)絡(luò)連接點的不斷增加,網(wǎng)絡(luò)遭遇攻擊的風(fēng)險也隨之增加。一旦網(wǎng)絡(luò)遭受攻擊,所產(chǎn)生的嚴(yán)重后果不僅在于破壞本身,災(zāi)難之后的系統(tǒng)恢復(fù)和調(diào)試同樣消耗了大量寶貴的時間和人力、財力。GSN提供的自動修復(fù)〔自愈功能,即能夠通過自動使受損系統(tǒng)得以恢復(fù)的方式為用戶節(jié)約大量的IT技術(shù)人力資源,并保證即使在系統(tǒng)不斷遭受攻擊時,網(wǎng)絡(luò)的大部分資源仍時刻處在正常使用狀態(tài)下。當(dāng)用戶終端接入網(wǎng)絡(luò)時,系統(tǒng)會自動檢測終端用戶的安全狀態(tài),一旦檢測到用戶系統(tǒng)存在安全漏洞,安全管理平臺〔RG-SMP會通過網(wǎng)絡(luò)自動將受損用戶從網(wǎng)絡(luò)正常區(qū)域中隔離開來,被隔離的用戶將被自動置于系統(tǒng)修復(fù)區(qū)域。此時用戶終會根據(jù)安全管理平臺提供的信息自動連接到RG-RES安全修復(fù)系統(tǒng)上進行系統(tǒng)修復(fù),修復(fù)期間系統(tǒng)會把受到訪問控制的情況通知用戶。自動修復(fù)完成,系統(tǒng)會重新對用戶系統(tǒng)進行評估,當(dāng)用戶系統(tǒng)安全評估完成以后,安全管理平臺〔RG-SMP將通過允許用戶進入網(wǎng)絡(luò)繼續(xù)工作?！矆D3GSN自動修復(fù)網(wǎng)絡(luò)自動學(xué)習(xí)〔自育在常規(guī)的網(wǎng)絡(luò)安全防護方案中,判斷一個網(wǎng)絡(luò)是否產(chǎn)生安全事件的標(biāo)準(zhǔn)經(jīng)常是某個網(wǎng)絡(luò)行為符合了安全隱患的特征,從而將針對這個行為發(fā)生一連串的動作。但目前往往對網(wǎng)絡(luò)產(chǎn)生最大威脅的是未知的網(wǎng)絡(luò)行為對網(wǎng)絡(luò)產(chǎn)生的危害,當(dāng)遇到此類的攻擊以后,一般的網(wǎng)絡(luò)安全方案將無能為力。而在配備GSN全局安全措施的網(wǎng)絡(luò)環(huán)境中,GSN可以針對網(wǎng)絡(luò)安全環(huán)境的變化不斷調(diào)整和強化,有效協(xié)助網(wǎng)絡(luò)管理員進行網(wǎng)絡(luò)安全隱患的判斷。 當(dāng)網(wǎng)絡(luò)中有新的網(wǎng)絡(luò)訪問行為時,該行為的相關(guān)信息會被網(wǎng)絡(luò)聯(lián)動設(shè)備有效捕獲,并通過E-MAIL、管理日志等方式通知管理員。同時GSN能及時的捕獲到網(wǎng)絡(luò)的環(huán)境變化,一旦檢測到網(wǎng)絡(luò)流量異常,聯(lián)動設(shè)備會自動截取網(wǎng)絡(luò)流量報文進行分析,從而有效的阻斷DDos或未知的網(wǎng)絡(luò)安全事件。由這個網(wǎng)絡(luò)訪問行為產(chǎn)生的對應(yīng)安全策略會自動匹配到系統(tǒng)當(dāng)中。在今后發(fā)生同樣的網(wǎng)絡(luò)訪問行為時,系統(tǒng)就能自動調(diào)用相應(yīng)的安全策略來處理,從而達到不斷根據(jù)網(wǎng)絡(luò)安全形勢強化系統(tǒng)安全性的安全策略自動學(xué)習(xí)功能?！矆D3GSN自動學(xué)習(xí)所以為了確保校區(qū)網(wǎng)絡(luò)的安全,我們校區(qū)網(wǎng)絡(luò)建設(shè)時采用GSN方案來確保校區(qū)的網(wǎng)絡(luò)安全。3.4網(wǎng)絡(luò)出口流量控制設(shè)計目前越來越多的下載軟件導(dǎo)致網(wǎng)絡(luò)出口帶寬嚴(yán)重不足,如現(xiàn)在的P2P軟件的使用造成了很多高校網(wǎng)絡(luò)出口帶寬的嚴(yán)重不足。出現(xiàn)這樣問題的原因是目前對P2P軟件沒有一個很好的控制手段,如P2P軟件是大家比較認(rèn)可的一個下載軟件,但是過多的使用會造成出口瓶頸,而且P2P軟件現(xiàn)在使用的端口號不固定且沒有特征碼,所以想要對其限制也是一個比較頭痛的問題。針對這樣的問題,我們認(rèn)為對P2P軟件的使用最好的方式不是針對流量進行計費,而是一種針對P2P應(yīng)用的管理與控制手段我公司結(jié)合目前我院的認(rèn)證計費系統(tǒng),對用戶進行流量的控制,以控制由于用戶過多使用P2P軟件下載造成出口帶寬的不足的現(xiàn)象,具體如下：3.5網(wǎng)絡(luò)管理設(shè)計隨著學(xué)校網(wǎng)絡(luò)規(guī)模的不斷擴大,現(xiàn)在不僅需要對網(wǎng)絡(luò)設(shè)備進行集中統(tǒng)一的管理,同時還需要對用戶進行集中統(tǒng)一的管理。4.1網(wǎng)絡(luò)拓?fù)鋱D4.2網(wǎng)絡(luò)設(shè)計說明根據(jù)學(xué)院的實際情況,并考慮到未來的發(fā)展趨勢,需要建立一個統(tǒng)一的信息傳輸網(wǎng)絡(luò),滿足數(shù)據(jù)、語音、視頻、圖像、多媒體等相關(guān)教育信息的傳輸,可以實現(xiàn)計算機管理系統(tǒng)、辦公自動化系統(tǒng)、多媒體教學(xué)系統(tǒng)、數(shù)字圖書館和上網(wǎng)訪問〔Internet等應(yīng)用。為了保護投資,原有校園網(wǎng)部分我們依然采用原有設(shè)備和結(jié)構(gòu)。東西校區(qū)的互連根據(jù)前文所述,東西校區(qū)的互連我們采用雙鏈路光纖冗余互連,分別將東西校區(qū)的核心交換機進行互連,同時全校啟用動態(tài)路由OSPF的方式,確保新老校區(qū)穩(wěn)定可靠。網(wǎng)絡(luò)出口網(wǎng)絡(luò)出口采用1000M雙出口,由于學(xué)校飛速發(fā)展,地域不斷擴大,現(xiàn)在已經(jīng)有兩個校區(qū),為了使整個網(wǎng)絡(luò)便于管理,合理規(guī)劃出口,東校區(qū)用戶上網(wǎng)的時候信息是由東校區(qū)的出口出去,西校區(qū)用戶上是通過西校區(qū)出口出去,如果任何一個出口出現(xiàn)問題,則用戶將由另一個出口出去,確保出口的穩(wěn)定和安全。同時考慮到現(xiàn)有出口帶寬基本都已被占滿,主要是因為用戶大量使用P2P軟件的原因,為了解決這個問題我們采用對用戶進行流量控制,以防止用戶大量使用P2P軟件造成網(wǎng)絡(luò)出口帶寬不足。網(wǎng)絡(luò)架構(gòu)為了能夠?qū)崿F(xiàn)骨干網(wǎng)絡(luò)的穩(wěn)定可靠,本次東西校區(qū)的網(wǎng)絡(luò)建設(shè)我們選擇雙核心雙鏈路的方式,即整個校園網(wǎng)采用雙核心的方式,兩臺核心之間通過千兆單模光纖相連,同時每個區(qū)域的區(qū)域匯聚交換機通過雙千兆單模光纖上聯(lián)到兩臺核心,而每個區(qū)域的交換機通過千兆多模鏈路連接各個區(qū)域的區(qū)域匯聚交換機,為了便于布線,在每棟樓的接入層上,各個不同的樓層采用不同的堆疊組進行堆疊然后上聯(lián)到區(qū)域的匯聚交換機。而對于服務(wù)器群組來說,為了讓用戶提高訪問效率的體驗,我們單獨采用一臺服務(wù)器群組交換機,該交換機具有很強的擴展能力,并通過雙千兆多模光纖與東西校區(qū)的兩臺核心交換機進行互聯(lián),并通過服務(wù)器群組交換機的WCMP/ECMP的功能,可以使兩條鏈路同時按照帶寬的比例都傳輸數(shù)據(jù),確保用戶訪問服務(wù)器時的高效。網(wǎng)絡(luò)安全為了能夠更好地實現(xiàn)網(wǎng)絡(luò)安全方面的控制,確保校園網(wǎng)的教學(xué)、科研數(shù)據(jù)和學(xué)生管理信息不被竊取和丟失,所有連接進網(wǎng)絡(luò)的用戶必須通過了身份的檢查后才能訪問網(wǎng)絡(luò)的數(shù)據(jù),而且各個系統(tǒng)運作時需要通過VLAN劃分和物理路由相互隔離,和Internet連接的出口也需要部署防火墻系統(tǒng)來實現(xiàn)安全保護,以保證網(wǎng)絡(luò)所有數(shù)據(jù)和信息的安全。因為現(xiàn)有的網(wǎng)絡(luò)安全事件已不是某一個產(chǎn)品或軟件就能夠解決的,而是需要所有網(wǎng)絡(luò)設(shè)備進行有效的聯(lián)動,一起抵御網(wǎng)絡(luò)攻擊和病毒對網(wǎng)絡(luò)造成的影響。所以除了上述的安全保護外,同時為了進一步做到能夠主動的對網(wǎng)絡(luò)攻擊、病毒的防,以及對未知網(wǎng)絡(luò)病毒的學(xué)習(xí)和控制,實現(xiàn)網(wǎng)絡(luò)設(shè)備及軟件的有效聯(lián)動,我們要在東西校區(qū)部署一整套安全體系,為學(xué)院網(wǎng)絡(luò)提供更好的安全屏障。網(wǎng)絡(luò)高效、穩(wěn)定性由于網(wǎng)絡(luò)中心核心設(shè)備的穩(wěn)定和安全性能是整個網(wǎng)絡(luò)最重要的保障,因此必須要求核心交換機具有優(yōu)良的性能和高可靠性,必須采用超大交換容量的交換背板,以保證任何情況下網(wǎng)絡(luò)的每個端口均可具備全線速多層交換能力,能夠保證傳輸帶寬和數(shù)據(jù)傳輸優(yōu)化等關(guān)鍵應(yīng)用,從而為整個網(wǎng)絡(luò)提供了穩(wěn)定和快速的基礎(chǔ)。網(wǎng)絡(luò)運營為了能夠更好的運營網(wǎng)絡(luò),使網(wǎng)絡(luò)健康良性的發(fā)展,東西校區(qū)網(wǎng)絡(luò)建設(shè)繼續(xù)采用學(xué)校原有的認(rèn)證方式,這樣同一套系統(tǒng),不僅方便運營維護及提高工作效率,同時也可使我們無需花費更多的時間來熟悉和掌握新的系統(tǒng)。網(wǎng)絡(luò)管理隨著網(wǎng)絡(luò)規(guī)模的不斷擴大,應(yīng)用越來越多,管理已不在是以前的那種單存對網(wǎng)絡(luò)設(shè)備進行管理的年代,現(xiàn)在不僅要能夠?qū)υO(shè)備進行集中統(tǒng)一的管理,同時還要能夠?qū)尤胗脩暨M行集中統(tǒng)一的管理,而且隨著網(wǎng)絡(luò)安全事件的不斷增多,還需要一套能夠?qū)W(wǎng)絡(luò)安全事件進行集中統(tǒng)一管理的軟件,這樣才能夠確保網(wǎng)絡(luò)管理的高效。5.1核心交換機選型說明根據(jù)學(xué)院校園網(wǎng)建設(shè)的實際情況,需要在東西校區(qū)網(wǎng)絡(luò)中心各部署一臺核心交換機,為了滿足實際網(wǎng)絡(luò)的需要和未來的升級擴展,該核心交換機要求：支持各種模塊熱插拔、支持多種千兆端口、支持鏈路聚合IEEE802.3ad、支持三層協(xié)議、較高的背板帶寬和包轉(zhuǎn)發(fā)率、硬件或NP多業(yè)務(wù)卡方式支持IPV6〔保證網(wǎng)絡(luò)系統(tǒng)以后平滑升級、支持三種生成樹、支持802.1x、各種QOS和組播協(xié)議的支持等。根據(jù)具體情況,我們準(zhǔn)備采用銳捷新一代多業(yè)務(wù)萬兆核心路由交換機RG-S6806E,該設(shè)備具體特點如下：RG-S6806E是銳捷網(wǎng)絡(luò)推出的基于NP+ASIC構(gòu)架的新一代多業(yè)務(wù)萬兆核心路由交換機,擁有6個擴展插槽,RG-S6806E在保障高性能大容量的基礎(chǔ)上提供強大的安全防護能力,并且擁有業(yè)務(wù)按需疊加擴展能力,達到業(yè)務(wù)和性能并重的設(shè)計需求。RG-S6806E多業(yè)務(wù)萬兆核心路由交換機V3.X提供1.2T背板帶寬,并支持將來擴展到2.4T的能力,高達428Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的數(shù)據(jù)交換,強大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機配合,為用戶提供完整的端到端解決方案,是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點交換機的理想選擇。RG-S6806E交換機通過擴展高性能的多業(yè)務(wù)卡支持策略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等業(yè)務(wù)功能,滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。產(chǎn)品特性強大數(shù)據(jù)處理設(shè)計〔SPOH設(shè)計RG-S6806E的交換、路由、ACL、QoS等復(fù)雜功能通過硬件實現(xiàn),避免了軟件實現(xiàn)同樣功能對數(shù)據(jù)高速處理的影響。管理模塊執(zhí)行路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)等任務(wù),用戶接口模塊可以獨立實現(xiàn)硬件路由、交換和組播功能；用戶交換端口則獨立實現(xiàn)硬件ACL和QoS功能,同步式處理設(shè)計<SPOH設(shè)計>極提高整機處理能力。強大的擴展能力RG-S6806E多業(yè)務(wù)萬兆核心路由交換機V3.X目前提供1.2T背板帶寬,在不更換機箱的情況下,未來僅通過更換管理模塊可以支持背板帶寬擴展到2.4T。RG-S6806E多業(yè)務(wù)萬兆核心路由交換機通過擴展高性能的多業(yè)務(wù)卡,可以支持策略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等功能。高安全保障措施物理安全：RG-S6806E提供冗余管理模塊、冗余電源模塊、各種模塊熱拔插等物理安全保障措施。病毒和攻擊防護：面對現(xiàn)在網(wǎng)絡(luò)環(huán)境越來越多的網(wǎng)絡(luò)病毒和攻擊威脅,RG-S6806E提供強大的網(wǎng)絡(luò)病毒和攻擊防護能力,不僅提供了基于SPOH技術(shù)的ACL功能,而且還支持防源IP地址欺騙〔SouceIPSpoofing、防DOS/DDOS攻擊〔Synflood,Smurf,防掃描〔PingSweep等能力。提供多端口同步監(jiān)控技術(shù),支持靈活的網(wǎng)絡(luò)監(jiān)控,提升網(wǎng)絡(luò)監(jiān)控能力設(shè)備管理安全：為了避免非管理人員登陸并操縱網(wǎng)絡(luò)設(shè)備,造成網(wǎng)絡(luò)傳輸和安全的影響,RG-S6806E提供了SSH加密登陸功能,以及telnet/web登錄的源IP限制功能。接入安全：硬件支持IP、MAC、端口綁定,提高用戶接入控制能力。支持802.1X技術(shù),滿足6元素綁定接入限制支持IGMP源端口檢查,可有效控制非法組播源,提高網(wǎng)絡(luò)安全。通過PVLAN〔保護端口隔離用戶之間信息互通,不必占用VLAN資源。端口MAC地址鎖和端口MAC地址接入數(shù)量功能可以屏蔽非法主機的接入豐富的應(yīng)用支持技術(shù)〔QOS、組播RG-S6806E提供多種流分類技術(shù)和多種QOS技術(shù),包括SP、WRR、WFQ、WRED、CAR、HOL等,為各種應(yīng)用的帶寬保障提供需要的支持技術(shù)。流分類：可以依據(jù)數(shù)據(jù)流的源/目的MAC地址、源/目的三層IP地址、三層協(xié)議〔IP/IPX、四層協(xié)議〔UDP/TCP、源/目的四層協(xié)議端口號、COS、TOS對數(shù)據(jù)流進行區(qū)分,實現(xiàn)2/3/4層的流分類功能。數(shù)據(jù)標(biāo)記：802.1p是二層協(xié)議,可以為數(shù)據(jù)提供8個級別的優(yōu)先級標(biāo)記；DSCP在三層的IP協(xié)議報文里進行優(yōu)先級標(biāo)記,可以提供64個級別的優(yōu)先標(biāo)記。隊列調(diào)度：嚴(yán)格優(yōu)先級隊列SP保證高優(yōu)先級業(yè)務(wù)總是在低優(yōu)先級業(yè)務(wù)之前處理；WRR是一種加權(quán)循環(huán)隊列調(diào)度機制,首先處理高優(yōu)先級,但在處理高優(yōu)先級業(yè)務(wù)時,較低優(yōu)先級的業(yè)務(wù)并沒有被完全阻塞,而是按一定的比例同時進行。WFQ是加權(quán)公平隊列,對所有的數(shù)據(jù)流進行排隊,監(jiān)控吞吐率,并根據(jù)發(fā)送的信息量分配權(quán)值。WFQ試圖公平地為每個對話分配帶寬,保證低帶寬應(yīng)用可以獲得對接口的訪問權(quán),而不會被高帶寬應(yīng)用全部占用。擁塞控制：WRED加權(quán)隨機早期檢測協(xié)議,可以設(shè)置各個數(shù)據(jù)流在擁塞發(fā)生之前自動丟失數(shù)據(jù)的閥值,避免較高優(yōu)先級應(yīng)用的擁塞丟失。HOL通過消除HOL阻塞確保最高可能的吞吐量；最大限度地減少包丟失,減少多路傳輸和廣播流量擁塞承諾信息速率：CAR可以為重要的數(shù)據(jù)流設(shè)定固定的帶寬,如果設(shè)定的帶寬合理,滿足該數(shù)據(jù)流的需求,就可以保證重要數(shù)據(jù)流的正常轉(zhuǎn)發(fā)。提供多種組播支持技術(shù),包括IGMPsnooping、IGMP、PIM〔SM、DM,DVMRP,保證了網(wǎng)絡(luò)中提供組播服務(wù)時的帶寬合理占用。支持領(lǐng)先的萬兆以太網(wǎng)技術(shù)〔IEEE802.3AE、IEEE802.3AK萬兆以太網(wǎng)采用了IEEE802.3以太網(wǎng)媒體訪問控制〔MAC協(xié)議、IEEE802.3以太網(wǎng)幀格式,以及IEEE802.3幀的最大和最小尺寸。萬兆以太網(wǎng)是以太網(wǎng)在速度和距離方面的進步,采用全雙工技術(shù),不需要應(yīng)用低速的、半雙工的CSMA/CD協(xié)議。在其他方面,萬兆以太網(wǎng)保留了初期以太網(wǎng)模型的精髓,因而可以和現(xiàn)有以太網(wǎng)環(huán)境無縫融合,支持客戶已有應(yīng)用。RG-S6806E提供目前主流的四種萬兆局域網(wǎng)傳輸標(biāo)準(zhǔn)：10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4,四種傳輸標(biāo)準(zhǔn)在數(shù)據(jù)鏈路層以上都相同,差別在于物理層。10GBASE-R和10GBASE-CX4用于傳統(tǒng)的以太網(wǎng)環(huán)境,10GBASE-R采用光纖作為傳輸介質(zhì),10GBASE-CX4采用同軸銅纜作為傳輸介質(zhì),而10GBASE-W可與OC-192電路、SONET/SDH設(shè)備一起運行,保護傳統(tǒng)基礎(chǔ)投資,使運營商能夠在不同地區(qū)通過城域網(wǎng)提供端到端以太網(wǎng)。10GBSE-LX4則使用WDM波分復(fù)用技術(shù)進行數(shù)據(jù)傳輸。支持L2VPN〔QINQRG-S6806E支持ServiceProvidervlan<DoubleTagging、VLANtunnel>,允許對交換數(shù)據(jù)進行二次VLAN標(biāo)識,外層標(biāo)識用于創(chuàng)建VPN,提供鏈路選擇,層標(biāo)識用于標(biāo)識業(yè)務(wù)VLAN信息,實現(xiàn)在以太網(wǎng)環(huán)境中的L2VPN,解決了傳統(tǒng)以太網(wǎng)環(huán)境無法提供數(shù)據(jù)傳輸安全控制的問題。ECMP/WCMP〔Equal-CostMultipathRouting/Weight-CostMultipathRouting存在多條不同鏈路到達同一目的地址的網(wǎng)絡(luò)環(huán)境中,如果使用傳統(tǒng)的路由技術(shù),發(fā)往該目地址的數(shù)據(jù)包只能利用其中的一條鏈路,其它鏈路處于備份狀態(tài)或無效狀態(tài),并且在動態(tài)路由環(huán)境下相互的切換需要一定時間,而等值多路徑路由協(xié)議和權(quán)重多路徑路由協(xié)議可以在該網(wǎng)絡(luò)環(huán)境下同時使用多條鏈路,不僅增加了傳輸帶寬,并且可以無時延無丟包地備份失效鏈路的數(shù)據(jù)傳輸。最長匹配〔LPM三層交換技術(shù)在傳統(tǒng)的硬件三層交換機中采用"一次路由、多次交換"的路由技術(shù),并且使用精確流匹配方式進行硬件三層轉(zhuǎn)發(fā),大量耗費CPU資源,并且占用大量的硬件存儲資源。最長匹配〔LPM三層交換技術(shù)可以解決傳統(tǒng)方式"多次交換"中采用精確流匹配"而帶來存儲空間壓力過大的問題。最長匹配〔LPM技術(shù)支持直連路由、靜態(tài)路由、動態(tài)學(xué)習(xí)到的路由都直接以網(wǎng)段形式存儲于硬件轉(zhuǎn)發(fā)表,一個目的網(wǎng)段使用一個轉(zhuǎn)發(fā)表項,而不明目的網(wǎng)段IP地址的數(shù)據(jù)包直接通過硬件缺省路由轉(zhuǎn)發(fā)。因此,LPM技術(shù)的優(yōu)點是極節(jié)約存儲空間,擁有硬件缺省路由,所以,病毒和攻擊數(shù)據(jù)包可以通過硬件網(wǎng)段路由或缺省路由進行轉(zhuǎn)發(fā),不增加額外的硬件表項,避免了存儲溢出問題,保障設(shè)備的正常運行。支持完善的雙核心技術(shù)RG-S6806E支持包括802.1D、802.1W、802.1S在的多種生成樹協(xié)議以及虛擬路由協(xié)議VRRP,提供完善的雙核心保障技術(shù)。技術(shù)參數(shù)技術(shù)參數(shù)RG-S6806E模塊插槽6個〔2個用于管理引擎模塊背板1.2T〔可擴展2.4T〔V3.x交換容量600G〔V3.x引擎包轉(zhuǎn)發(fā)速率L2/L3：428M〔V3.x引擎路由表項256K802.1qVLAN4KL2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ae、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、portmirror、IGMPSNOOPING、Aggregateport、GVRP、jumboframe<9Kbytes>、QINQL3協(xié)議BGP4、OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、DVMRP、PIM-SM/DM、PIM-SSM、LPMRouting、Policy-basedRouting、ECMP、WCMP病毒攻擊防護全面的ACL、防源IP地址欺騙〔SouceIPSpoofing、防DOS攻擊〔Synflood,Smurf,防掃描〔PingSweep管理方式SNMPv1/v2/v3、Telnet、Console、CLI、RMON、SSH其它協(xié)議SNTP、VRRP、BootP/DHCPclient、ARPPROXY、DHCPrelay、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect、Syslog尺寸〔長x寬x高445mmx445mmx980mm電源100VAC~240VAC,50Hz~60Hz,功率:1200WMTBF>200,000hours溫度工作溫度：0℃到40℃存儲溫度：-40℃到70℃濕度工作濕度:10%到90%RH存儲濕度:5%到95%RH典型應(yīng)用可擴萬兆的千兆IP核心網(wǎng)利用RG-S6806E強大的數(shù)據(jù)處理能力提供各分支機構(gòu)的高速互連利用多條光纖鏈路連接成網(wǎng)狀,提供高度安全的網(wǎng)絡(luò)連接使用OSPF路由協(xié)議,配合ECMP/WCMP路由協(xié)議,可以充分利用各鏈路并且提供實時的鏈路備份需求通過簡單地增加萬兆模塊可以平滑地升級到萬兆IP核心網(wǎng),保護用戶投資可擴萬兆的千兆雙核心網(wǎng)通過兩臺RG-S6806E之間的鏈路冗余備份和負(fù)載均衡〔802.1S\VRRP提供安全可靠的網(wǎng)絡(luò)構(gòu)架通過RG-S6806E豐富的安全保障技術(shù)提供一個全網(wǎng)概念的整體網(wǎng)絡(luò)安全通過策略路由功能支持多ISP出口的負(fù)載均衡和冗余備份通過簡單地增加萬兆模塊可以平滑升級到萬兆骨干網(wǎng),保護用戶投資5.2服務(wù)器群組交換機選型說明學(xué)院現(xiàn)在的服務(wù)器群組都是在連接在一臺100M傻瓜式二層交換機上的。已不能適用新的網(wǎng)絡(luò)應(yīng)用需求,需要在網(wǎng)絡(luò)中心部署一臺服務(wù)器群組交換機,為了滿足實際網(wǎng)絡(luò)的需要和未來的升級擴展,該核心交換機要求：支持萬兆擴展端口、千兆端口、支持鏈路聚合IEEE802.3ad、支持三層協(xié)議、較高的背板帶寬和包轉(zhuǎn)發(fā)率、支持三種生成樹、支持802.1x、各種QOS和組播協(xié)議的支持等。根據(jù)具體情況,我們采用銳捷安全智能萬兆多層交換機RG-S5750-24GT/12SFP,該設(shè)備具體特點如下：RG-S5750系列是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機架式多層交換機。

該系列交換機接口形式和組合非常靈活,可提供24個10/100/1000M自適應(yīng)的千兆電口,和靈活復(fù)用的高密度千兆SFP光纖連接,滿足網(wǎng)絡(luò)建設(shè)中不同介質(zhì)的連接需要,同時為滿足網(wǎng)絡(luò)的彈性擴展,和高帶寬傳輸需要,可靈活彈性擴展多種類型的萬兆模塊。特別適合高帶寬、高性能和靈活擴展的大型網(wǎng)絡(luò)匯聚層,中型網(wǎng)絡(luò)核心,以及數(shù)據(jù)中心服務(wù)器接入的使用。該系列交換機硬件支持多層線速交換,并提供了豐富而完善的路由協(xié)議,以適合大型網(wǎng)絡(luò)多種路由和高性能的需要。RG-S5750系列交換機提供二到七層的智能的業(yè)務(wù)流分類、完善的服務(wù)質(zhì)量〔QoS保證和組播應(yīng)用管理特性。在提供高性能、多智能的同時,其在的安全防御機制和用戶管理能力,更可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊,控制非法用戶接入和使用網(wǎng)絡(luò),保證合法用戶合理使用網(wǎng)絡(luò)資源,充分保障網(wǎng)絡(luò)安全、網(wǎng)絡(luò)合理化使用和運營,并可以根據(jù)網(wǎng)絡(luò)實際使用環(huán)境,實施靈活多樣的安全控制策略。RG-S5750系列交換機以極高的性價比為大型網(wǎng)絡(luò)匯聚和中型網(wǎng)絡(luò)核心提供了多層交換、完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置和基于策略的網(wǎng)管,最大化滿足高速、安全、智能的企業(yè)網(wǎng)需求。產(chǎn)品特性：高性能多層交換高背板帶寬為所有的端口提供非阻塞性能；豐富完善的路由性能和超大容量路由表資源可滿足大型網(wǎng)絡(luò)動態(tài)路由的需要；基于LPM硬件路由轉(zhuǎn)發(fā)方式使得RG-S5750系列不僅適用于大型網(wǎng)絡(luò)環(huán)境,而且可防御各種網(wǎng)絡(luò)病毒的侵襲,保障所有報文的線速轉(zhuǎn)發(fā),有效保證了設(shè)備的安全性；硬件支持多層線速交換,能夠識別二到七層的應(yīng)用業(yè)務(wù)流,所有端口都具有單獨的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流,并根據(jù)不同的流進行不同的管理和控制。靈活完備的安全控制具有的多種在機制可以有效防和控制病毒傳播和黑客攻擊,如預(yù)防Dos攻擊、防黑客IP掃描機制等,還網(wǎng)絡(luò)一片綠色；硬件實現(xiàn)端口與MAC地址和用戶IP地址的靈活綁定,嚴(yán)格限定端口上的用戶接入;通過將端口設(shè)為保護端口即可簡單方便地隔離用戶之間信息互通,不必占用VLAN資源；基于源IP地址控制的Telnet和Web設(shè)備訪問控制,增強了設(shè)備網(wǎng)管的安全性,避免黑客惡意攻擊和控制設(shè)備；基于端口速率百分比和基于速率pps的廣播風(fēng)暴抑制功能,確保網(wǎng)絡(luò)穩(wěn)定安全；SSH〔SecureShell和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息,保證管理設(shè)備信息的安全性,防止黑客攻擊和控制設(shè)備；控制非法用戶使用網(wǎng)絡(luò),保證合法用戶合理化使用網(wǎng)絡(luò),如端口安全、端口隔離、專家級ACL、時間ACL、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等,滿足企業(yè)網(wǎng)、校園網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求。豐富的組播特性支持各種單播和組播動態(tài)路由協(xié)議,可適應(yīng)不同的網(wǎng)絡(luò)規(guī)模和需要進行大量多播服務(wù)的環(huán)境,實現(xiàn)網(wǎng)絡(luò)的可擴展和多業(yè)務(wù)應(yīng)用；支持IGMP源端口和源IP檢查功能,有效地杜絕非法的組播源,提高網(wǎng)絡(luò)的安全性；支持IGMPv1/v2/v3全部版本,適應(yīng)不同組播環(huán)境,滿足組播安全應(yīng)用的需要。完善的QoS策略以DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng),支持802.1P、IPTOS、二到七層流過濾、SP、WRR等完整的QoS策略,實現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力,實現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級、流量管理,流量整形等多種流策略,支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性,提供流量限速千兆端口粒度達64Kbps,萬兆端口粒度達1Mbps。高可靠性支持生成樹協(xié)議802.1d、802.1w、802.1s,完全保證快速收斂,提高容錯能力,保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負(fù)載均衡,合理使用網(wǎng)絡(luò)通道,提供冗余鏈路利用率；支持VRRP虛擬路由器冗余協(xié)議,有效保障網(wǎng)絡(luò)穩(wěn)定；支持銳捷網(wǎng)絡(luò)的可選冗余電源系統(tǒng)STAR-RPS,可為S5750系列設(shè)備提供卓越的電源冗余,提高容錯能力和網(wǎng)絡(luò)正常運行時間。方便易用易管理靈活復(fù)用的多種千兆形式,可靈活滿足需要多個千兆銅纜和多個千兆光纖鏈路的連接,方便用戶靈活選擇；為滿足網(wǎng)絡(luò)靈活彈性擴展和高帶寬傳輸需要,簡單選配多種類型的萬兆模塊,網(wǎng)絡(luò)即可平滑升級到萬兆上鏈骨干；簡單網(wǎng)絡(luò)時間協(xié)議〔SNTP保證交換機時間的準(zhǔn)確性,并與網(wǎng)絡(luò)中時間服務(wù)器時間統(tǒng)一化,方便日志信息和流量信息的分析、故障診斷等管理；Syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份,便于管理員網(wǎng)絡(luò)維護和管理；多端口同步監(jiān)控,通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流,可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀,大大提高維護效率；CLI界面,方便高級用戶配置和使用；可提供Xmodem、FTP、TFTP等多種加載升級方式,方便用戶使用；Java-basedWeb管理方式,實現(xiàn)對交換機的可視化圖形界面管理,快速和高效地配置設(shè)備。技術(shù)參數(shù)：產(chǎn)品型號RG-S5750-24GT/12SFP固定端口24端口10/100/1000M自適應(yīng)端口,12個復(fù)用的SFP接口,2個擴展槽可用模塊Mini-GBIC-SX：單口1000BASE-SXminiGBIC轉(zhuǎn)換模塊〔LC接口；Mini-GBIC-LX：單口1000BASE-LXminiGBIC轉(zhuǎn)換模塊〔LC接口；Mini-GBIC-ZX50：單口1000BASE-ZXminiGBIC轉(zhuǎn)換模塊〔LC接口,50km；Mini-GBIC-ZX80：單口1000BASE-ZXminiGBIC轉(zhuǎn)換模塊〔LC接口,80km1端口XENPAK接口萬兆轉(zhuǎn)接板1端口XFP接口萬兆轉(zhuǎn)接板萬兆光纖接口模塊〔300米,配合M5700-01XENPAK轉(zhuǎn)接板使用萬兆光纖LR接口模塊〔10公里,配合M5700-01XENPAK轉(zhuǎn)接板使用萬兆光纖ER接口模塊〔40公里,配合M5700-01XENPAK轉(zhuǎn)接板使用萬兆光纖SR接口模塊〔300米,配合M5700-01XFP轉(zhuǎn)接板使用萬兆光纖LR接口模塊〔10公里,配合M5700-01XFP轉(zhuǎn)接板使用萬兆光纖ER接口模塊〔40公里,配合M5700-01XFP轉(zhuǎn)接板使用背板240Gbps包轉(zhuǎn)發(fā)速率L2：線速〔66MppsL3：線速〔66MppsMAC16K802.1qVLAN4KACL標(biāo)準(zhǔn)IPACL〔基于IP地址的硬件ACL、擴展IPACL〔基于IP地址、TCP/UDP端口號的硬件ACL、MAC擴展ACL〔基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL、基于時間ACL、專家級ACL〔可同時基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、協(xié)議類型、時間等靈活組合的硬件ACLL2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q<GVRP>、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3、LLDPDefeatDoSAttack支持DefeatIPScan支持L3協(xié)議OSPF、ECMP/WCMP、RIPv1/v2、PIM〔DM/SM/SSM、DVMRP、VRRP、IGMPv1/v2/v3管理協(xié)議SNMPv1/v2/v3、Web<JAVA>、CLI<Telnet/Console>、RMON<1,2,3,9>、集群、SSH、SNTP、Syslog其它協(xié)議DHCPRelay、DNSClientJumboFrame支持尺寸〔長×寬×高440×435×44mm電源176VAC~264VAC48Hz~60Hz溫度工作溫度:0oC到40oC存儲溫度:-40oC到70oC濕度工作濕度:10%到90%RH存儲濕度:5%到90%RH5.3區(qū)域匯聚交換機選型說明根據(jù)學(xué)院實際情況,為了滿足實際網(wǎng)絡(luò)環(huán)境的需要,區(qū)域匯聚交換機都要求：支持千兆端口、支持鏈路聚合IEEE802.3ad、支持三層協(xié)議、較高的背板帶寬和包轉(zhuǎn)發(fā)率、支持三種生成樹、支持802.1x、各種QOS和組播協(xié)議的支持等。我們采用銳捷全千兆智能多層交換機STAR-RG-S5750-24GT/12SFP做區(qū)域匯聚,該設(shè)備具體特點如下：STAR-S3550-24G是一款線速全千兆智能多層交換機,能提供多GBIC插槽,最多可提供24個GBIC插槽,GBIC插槽支持千兆銅纜、光纖擴展模塊,支持模塊熱插拔,極大方便用戶靈活配置網(wǎng)絡(luò)。該系列交換機硬件支持2至4層的多層線速交換,提供二到七層的智能的流分類和和完善的服務(wù)質(zhì)量〔QoS以及組播管理特性,支持完善的高性能路由協(xié)議,并可以實施靈活多樣的ACL訪問控制策略?？赏ㄟ^SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。S3550-24G以極高的性價比為各類型網(wǎng)絡(luò)提供線速多層交換、完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策略的網(wǎng)管,最大化滿足高速、安全、智能的企業(yè)網(wǎng)新需求。產(chǎn)品特性：高性能多層交換72G背板帶寬為所有的端口提供非阻塞性能；硬件支持多層線速交換,能夠識別、處理四層以上的應(yīng)用業(yè)務(wù)流,所有端口都具有單獨的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流,并根據(jù)不同的流進行不同的管理和控制。完備的安全控制具有的多種在機制可以有效防和控制病毒傳播和黑客攻擊,如預(yù)防Dos攻擊、防黑客和病毒IP掃描機制等,還網(wǎng)絡(luò)一片綠色；硬件實現(xiàn)端口與MAC地址和用戶IP地址的綁定；通過保護端口即可方便簡單地隔離用戶之間信息互通,不必占用VLAN資源；基于源IP地址控制的Telnet和Web設(shè)備訪問控制,增強了設(shè)備網(wǎng)管的安全性,避免黑客惡意攻擊和控制設(shè)備；提供加密傳輸?shù)腟ecureShell〔SSH,保證管理設(shè)備信息的安全性,防止黑客攻擊和控制設(shè)備；高安全性,具有端口安全、動態(tài)地址鎖、端口隔離、用戶接入認(rèn)證〔802.1x、專家級ACL控制、基于數(shù)據(jù)流的帶寬限速等多種安全措施,滿足企業(yè)網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求。豐富的組播特性支持各種單播和組播動態(tài)路由協(xié)議,可適應(yīng)不同的網(wǎng)絡(luò)規(guī)模,和需要進行大量多播服務(wù)的環(huán)境,實現(xiàn)網(wǎng)絡(luò)的可擴展；支持IGMP源端口檢查功能,有效地杜絕非法的組播源,提高網(wǎng)絡(luò)的安全性。完善的QoS策略以DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng),支持802.1P、IPTOS、二到七層流過濾、SP、WRR等完整的QoS策略,實現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力,實現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略,支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性,提供服務(wù)；高可靠性支持生成樹協(xié)議802.1d、802.1w、802.1s,完全保證快速收斂,提高容錯能力,保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負(fù)載均衡,合理使用網(wǎng)絡(luò)通道；支持VRRP虛擬路由器冗余協(xié)議,構(gòu)建故障時的冗余路由拓?fù)浣Y(jié)構(gòu),保持通訊的連續(xù)性和可靠性,有效保障網(wǎng)絡(luò)穩(wěn)定；支持銳捷網(wǎng)絡(luò)的可選冗余電源系統(tǒng)STAR-RPS,可為6臺S3550-12G/S3550-24G以S3550-12SFP/GT系列網(wǎng)絡(luò)設(shè)備提供卓越的電源冗余,提高容錯能力和網(wǎng)絡(luò)正常運行時間。方便易用易管理全GBIC架構(gòu),可選配多種規(guī)格千兆接口模塊,支持千兆銅纜、單/多模光纖接口模塊的混合配置,支持模塊熱插拔,極大方便用戶靈活配置和擴展網(wǎng)絡(luò)；獨特的集群管理,通過一臺命令交換機即可管理多達20臺的匯聚層和接入層設(shè)備S3550系列和S21系列交換機,無論交換機是否在同一配線間和布線室,都能得到統(tǒng)一管理；強大的集群管理方式使得網(wǎng)絡(luò)的維護工作變得非常方便和簡單,只需配置1個IP地址,即可統(tǒng)一管理多臺設(shè)備,不僅成倍節(jié)省了IP地址空間,而且維護和管理量也得到極大降低；多端口同步監(jiān)控,通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流,可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀,大大提高維護效率；支持業(yè)界領(lǐng)先的EAPS功能,實現(xiàn)網(wǎng)絡(luò)的高可用性；CLI界面,方便高級用戶配置和使用；Java-basedWeb管理方式,實現(xiàn)對交換機的可視化圖形界面管理,快速和高效地配置設(shè)備。技術(shù)參數(shù)產(chǎn)品型號STAR-S3550-24G固定端口24口GBIC接口可用GBIC或Mini-GBIC模塊GBIC-GT：單口1000BASE-T模塊GBIC-SX：單口1000BASE-SX模塊GBIC-LX：單口1000BASE-LX模塊背板72G包轉(zhuǎn)發(fā)速率L2：36MppsL3：36MppsMAC地址32K802.1qVLAN4KACLIP標(biāo)準(zhǔn)ACL〔基于IP地址的硬件ACL、IP擴展ACL〔基于IP地址、傳輸層端口號的硬件ACL、MAC擴展ACL〔基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL、基于時間ACL、專家級ACL<可同時基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號的硬件ACL>L2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1s、IEEE802.3ab、IEEE802.1Q<GVRP>、IEEEE802.1d、IEEE802.1w、IGMPSnooping、LLDPL3協(xié)議OSPF、RIPV1、RIPV2、PIM〔DM/SM、VRRP、IGMP管理方式SNMPv1/v2、Web<JAVA>、CLI<Telnet/Console>、RMON<1,2,3,9>、集群、SSH、Syslog其它協(xié)議EAPS、BootP、DHCPRelay網(wǎng)絡(luò)介質(zhì)和最大傳輸距離1000BASE-SX：波長850nm,62.5/125um多模光纖線的最大傳輸距離為220m；50/125um多模光纖線的最大傳輸距離為500m；1000BASE-LX：波長1310nm,62.5/125um多模光纖線的最大傳輸距離為550m；50/125um多模光纖線的最大傳輸距離為550m；9/125um單模光纖線的最大傳輸距離為10Km；1000BASE-ZX：波長1550nm,9/125um單模光纖線的最大傳輸距離為50Km和80Km兩種；10/100/1000BASE-T：使用5類UTP或STP最大傳輸距離為100m；尺寸〔長×寬×高440mm×330mm ×67mm電源176VAC~264VAC,47Hz~63Hz,或10.6~13.2VDC/最大5.3A溫度工作溫度：0℃到40℃存儲溫度：-40℃到70℃濕度工作濕度:10%到90%RH存儲濕度:5%到95%RH5.4接入交換機選型說明根據(jù)我院校園網(wǎng)建設(shè)的實際情況,為了滿足實際網(wǎng)絡(luò)環(huán)境的需要,對于所有接入交換機都要求：較高的背板帶寬和包轉(zhuǎn)發(fā)率、支持三種生成樹協(xié)議、支持基于時間和協(xié)議的網(wǎng)絡(luò)訪問控制、具有較高的安全性能、支持IP地址+MAC地址+交換機端口綁定、支持802.1x、各種QOS的支持等。我們銳捷安全智能交換機STAR-S2126G/S2150G做為接入層交換機,該設(shè)備具體特點如下：STAR-S2126G/S2150G是兩款全線速可堆疊的安全智能交換機,在提供智能的流分類、完善的服務(wù)質(zhì)量〔QoS和組播應(yīng)用管理特性同時,并可以根據(jù)網(wǎng)絡(luò)實際使用環(huán)境,實施靈活多樣的安全控制策略,可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊,控制非法用戶使用網(wǎng)絡(luò),保證合法用戶合理使用網(wǎng)絡(luò)資源,充分保障網(wǎng)絡(luò)安全和網(wǎng)絡(luò)合理化使用和運營。STAR-S2126G/S2150G可通過SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。S2126G/S2150G以極高的性價比為各類型網(wǎng)絡(luò)提供完善的端到端的QoS服務(wù)質(zhì)量、靈活豐富的安全策略管理和基于策略的網(wǎng)管,最大化滿足高速、安全、智能的企業(yè)網(wǎng)新需求。產(chǎn)品特性：高性能12.8G/18.5G背板帶寬為所有的端口提供非阻塞性能。靈活完備的安全控制策略通過在的多種安全機制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊,控制非法用戶使用網(wǎng)絡(luò),保證合法用戶合理化使用網(wǎng)絡(luò),防止過渡占用網(wǎng)絡(luò)帶寬資源,如BT泛濫下載；安全策略有端口安全、端口隔離、專家級ACL、時間ACL、端口ARP報文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定、基于應(yīng)用容的深度識別和控制等,滿足企業(yè)網(wǎng)、校園網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信,合理化運營網(wǎng)絡(luò)的需要；硬件實現(xiàn)端口與MAC地址和用戶IP地址的綁定,嚴(yán)格限定端口上用戶接入；通過將端口設(shè)為保護端口即可簡單方便地隔離用戶之間信息互通,不必占用VLAN資源；通過PrivateVLAN可以在交換機的同一VLAN中提供端口之間的通訊或安全隔離,確保數(shù)據(jù)流進入有效端口,而不會被發(fā)送到其它端口,即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題,同時又無需利用安全規(guī)則資源即能達到隔離不同用戶以及不同組用戶之間通訊的功能,充分保護用戶隱私；通過銳捷SAM平臺,可實現(xiàn)用戶賬號、MAC地址、IP地址、交換機IP、交換機端口等六大元素之間的靈活任意綁定,有效確認(rèn)用戶合法性和唯一性；支持業(yè)界特有的IGMP源端口檢查,有效杜絕非法組播源播放和大量占用大量網(wǎng)絡(luò)帶寬,提高網(wǎng)絡(luò)安全性；提供極為有效的PortBlocking功能,避免端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾,有效減輕端口負(fù)載負(fù)擔(dān),提高端口帶寬,保護用戶PC更高效安全地運行；基于源IP地址控制的Telnet和Web設(shè)備訪問控制,增強了設(shè)備網(wǎng)管的安全性,避免黑客惡意攻擊和控制設(shè)備；SSH〔SecureShell和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息,保證管理設(shè)備信息的安全性,防止黑客攻擊和控制設(shè)備；可靈活控制二－七層數(shù)據(jù)報文,使得任何一個用戶PC上的任何一種應(yīng)用報文通過網(wǎng)絡(luò)都能得到有效控制,充分保障了網(wǎng)絡(luò)的安全和合理化使用。完善的QoS策略支持802.1P、端口優(yōu)先級、IPTOS、二到七層流過濾等QoS策略,具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力,實現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略,支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性,提供服務(wù)；極靈活的帶寬控制能力,可以基于交換機端口、MAC地址、IP地址、VLANID、協(xié)議、應(yīng)用組合進行帶寬限速,限速粒度精細(xì)：1Mbps〔128KB粒度/百兆端口、8Mbps〔1024KB粒度/千兆端口,可根據(jù)網(wǎng)絡(luò)安全需求,設(shè)定不同業(yè)務(wù)應(yīng)用的帶寬流量,滿足按需所用。高可靠性支持生成樹協(xié)議802.1D、802.1w、802.1s,完全保證快速收斂,提高容錯能力,保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負(fù)載均衡,合理使用網(wǎng)絡(luò)通道,提供冗余鏈路利用率。方便易用易管理強大的菊花鏈?zhǔn)蕉询B,最多支持堆疊8臺S2126G/S2150G的混合堆疊,最大支持384個10/100M端口,保證網(wǎng)絡(luò)的高度靈活和可擴展,網(wǎng)絡(luò)管理更加簡單；獨特的集群管理,通過一臺命令交換機可管理多達20臺的S3550系列和S21系列交換機,無論交換機是否在同一配線間和布線室；強大的集群管理方式使得網(wǎng)絡(luò)的維護工作變得非常方便和簡單,只需配置1個IP地址,即可管理多臺設(shè)備,不僅成倍節(jié)省了IP地址空間,而且維護和管理量也得到極大降低；提供圖形化的安全策略管理配置平臺,支持安全策略自動同步下發(fā)、升級和維護功能,安全策略智能化,可大幅度提高交換機管理和配置效率,提高網(wǎng)絡(luò)安全；端口的VLAN自動跳轉(zhuǎn)功能,無需網(wǎng)管員手工干預(yù),即可將端口跳轉(zhuǎn)到用戶所在VLAN,實現(xiàn)用戶全網(wǎng)漫游上網(wǎng),減輕設(shè)備配置和維護量；多端口同步監(jiān)控,通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流,可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀,大大提高維護效率；簡單網(wǎng)絡(luò)時間協(xié)議〔SNTP保證交換機時間的準(zhǔn)確性,并與網(wǎng)絡(luò)中時間服務(wù)器時間統(tǒng)一化,方便日志信息和流量信息的分析、故障診斷等管理；Syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份,便于管理員網(wǎng)絡(luò)維護和管理；CLI界面,方便高級用戶配置和使用；Java-basedWeb管理方式,實現(xiàn)對交換機的可視化圖形管理,快速和高效地配置設(shè)備。技術(shù)參數(shù)產(chǎn)品型號STAR-S2126GSTAR-S2150G固定端口24端口10/100自適應(yīng)48端口10/100自適應(yīng)模塊插槽2個擴展插槽可用模塊M2121S：單口1000BASE-SX模塊M2121L：單口1000BASE-LX模塊M2121T：單口1000BASE-TX模塊〔支持10/100/1000M自適應(yīng)M2101F：單口100BASE-FX模塊M2101F-S：單口100BASE-FX單模模塊M2101T：單口100BASE-TX模塊M2131：堆疊模塊背板12.8Gbps18.5Gbps包轉(zhuǎn)發(fā)速率線速〔6.6Mpps線速〔10.1Mpps802.1qVLAN4KACL標(biāo)準(zhǔn)IPACL〔基于IP地址的硬件ACL、擴展IPACL〔基于IP地址、傳輸層端口號的硬件ACL、MAC擴展ACL〔基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL、基于時間ACL、專家級ACL〔可同時基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、協(xié)議類型、時間靈活組合的硬件ACL>L2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q<GVRP>、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3、LLDP管理協(xié)議SNMPv1/v2/v3、Web<JAVA>、CLI<Telnet/Console>、RMON<1,2,3,9>、集群、SSH、Syslog、SNTP其它協(xié)議BOOTP/DHCPRelay、DNSClient尺寸〔長×寬×高440mm×240mm×44mm440mm×300mm×44mm電源160VAC~240VAC,48Hz~60Hz溫度工作溫度：0℃到40℃存儲溫度：-40oC到70oC濕度工作濕度：10%到90%RH存儲濕度：5%到90%RH典型應(yīng)用各種類型網(wǎng)絡(luò)的接入層需要靈活多樣的安全控制策略,預(yù)防和控制網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊、提供用戶接入安全等高性價比的千兆上鏈解決方案高密度端口需求,實現(xiàn)網(wǎng)絡(luò)彈性擴展靈活的用戶帶寬分配靈活的用戶計費保證語音、多媒體、視頻會議、視頻點播、遠(yuǎn)程教學(xué)等關(guān)鍵任務(wù)的應(yīng)用豐富的管理策略應(yīng)用,有效控制網(wǎng)絡(luò)訪問安全和端到端的QoS策略5.5流量統(tǒng)計設(shè)備選型說明我們采用的是星網(wǎng)銳捷網(wǎng)絡(luò)公司的RG-NTD它是銳捷公司面向校園網(wǎng)、行業(yè)用戶開發(fā)的專業(yè)計費網(wǎng)關(guān)設(shè)備。計費方案作為校園網(wǎng)等整體解決方案,其中涉及以太網(wǎng)交換機,RG-SAM安全計費管理軟件以及局域網(wǎng)認(rèn)證客戶端軟件suplicant等。RG-NTD作為主要設(shè)備之一,它對通過802.1x認(rèn)證用戶的以太網(wǎng)數(shù)據(jù)流進行分類、統(tǒng)計并將統(tǒng)計后的數(shù)據(jù)發(fā)送給RG-SAM。RG-NTD的計費功能必須配合使用RG-SAM安全計費管理軟件。RG-NTD提供兩個10/100/1000M自適應(yīng)GEGigabitEthernet吉比特以太網(wǎng)接口。兩個10/100M自適應(yīng)FEFastEthernet快速以太網(wǎng)接口。RG-NTD支持將數(shù)據(jù)流進行分類的流量計費策略,向RG-SAM提供流量分類計費的原始信息。RG-NTD支持旁路模式和穿透模式。主要性能支持穿透、旁路兩種工作模式。分類統(tǒng)計用戶數(shù)據(jù)流。支持集團用戶應(yīng)用。支持轉(zhuǎn)發(fā)控制功能。支持web管理。支持串口管理。數(shù)據(jù)流分類概述數(shù)據(jù)流分類是按照用戶訪問的目的地址不同而將數(shù)據(jù)流分為若干種類例。例如可以將國地址分成一類,將國外地址分成一類,將校地址分成一類。在RG-SAM上可根據(jù)不同類別的流指定不同的計費策略。數(shù)據(jù)流分類配置目前RG-NTD支持6種數(shù)據(jù)流,分別是國上行流量,國下行流量,國外上行流量,國外下行流量,校上行流量,校外上行流量。進行數(shù)據(jù)流分類需要配置IP對照表,RG-NTD通過將用戶數(shù)據(jù)流目的IP地址和IP對照表進行比較,來判斷該數(shù)據(jù)流屬于哪一種類別。當(dāng)用戶數(shù)據(jù)流的IP地址在IP對照表種無法查到的時候,默認(rèn)數(shù)據(jù)流為國類別。數(shù)據(jù)流方向區(qū)分RG-NTD通過GE口來接收數(shù)據(jù)流,RG-NTD具有穿透和旁路兩種工作模式。RG-NTD工作在穿透模式下,通過兩個GE口來定義流的方向。GE口的作用固定：其中一個用來接收局域網(wǎng)部的流量,一個用來接收局域網(wǎng)外部的流量。RG-NTD根據(jù)IP對照表和數(shù)據(jù)流的方向來判斷屬于上述6種數(shù)據(jù)流中的哪一種。RG-NTD工作在旁路模式下,通過一個GE口來接收數(shù)據(jù)流,數(shù)據(jù)流方向的區(qū)分由RG-NTD自身來完成。5.6防火墻設(shè)備選型說明根據(jù)我院校園網(wǎng)建設(shè)的實際情況,需要在東西校區(qū)網(wǎng)絡(luò)出口各部署一臺防火墻,為了滿足實際網(wǎng)絡(luò)的需要和未來的升級擴展,該防火墻要求：高性能、提供入侵檢測功能、能夠防攻擊和入侵等。根據(jù)具體情況,我們采用銳捷千兆防火墻RG-WALL1200,該設(shè)備具體特點如下：RG-WALL防火墻是銳捷網(wǎng)絡(luò)采用獨創(chuàng)的分類算法〔ClassificationAlgorithm設(shè)計的新一代安全產(chǎn)品,支持?jǐn)U展的狀態(tài)檢測〔StatefulInspection技術(shù),具備高性能的數(shù)據(jù)過濾傳輸功能；同時在啟用動態(tài)端口應(yīng)用程序<如VoIP,H323等>時,可提供強有力的安全通道。采用銳捷網(wǎng)絡(luò)獨創(chuàng)的分類算法使得RG-WALL產(chǎn)品的高速性能不受策略數(shù)多少的影響,產(chǎn)品安裝前后絲毫不會影響網(wǎng)絡(luò)速度；同時,RG-WALL在核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作,因此不會成為網(wǎng)絡(luò)流量的瓶頸。另外,RG-WALL具有入侵監(jiān)測功能,可判斷攻擊并且提供解決措施,且入侵監(jiān)測功能不會影響防火墻的性能。RG-WALL的主要功能包括：擴展的狀態(tài)檢測功能、防入侵及其它〔如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等附加功能。產(chǎn)品特性銳捷網(wǎng)絡(luò)私有的分類算法,性能不受規(guī)則數(shù)及會話數(shù)的影響在核層處理流量,極大降低應(yīng)用層的負(fù)荷多線程代理方式置入侵檢測功能,確保防火墻的安全運行實時的狀態(tài)監(jiān)控功能,動態(tài)過濾技術(shù)無需L4交換機,無需增加模塊就可實現(xiàn)Active-Active的高可用性解決方案支持網(wǎng)橋模式和路由模式以及NAT模式支持多個接口及VLAN,適合多種網(wǎng)絡(luò)結(jié)構(gòu)實現(xiàn)DNS分離功能,保護了部DNS結(jié)構(gòu)的安全性,也可為小型企業(yè)免除DNS的投資基于網(wǎng)絡(luò)IP和MAC地址綁定的包過濾

透明代理〔TransparentProxy,URL級的信息過濾

流量控制管理,保證關(guān)鍵用戶,關(guān)鍵流量對網(wǎng)絡(luò)的使用工作模式的多樣性,可以不影響現(xiàn)有網(wǎng)絡(luò),迅速投入使用可選加載VPN功能安全的網(wǎng)絡(luò)結(jié)構(gòu)和安全的體系結(jié)構(gòu)提供操作簡單的圖形化用戶界面對防火墻進行配置技術(shù)參數(shù)RG-WALL1200千兆防火墻端口固化4個10/100/1000BaseT+2個千兆SX光口最大并發(fā)連接數(shù)1,500,000sessions吞吐量2.5Gbps最大策略數(shù)65,535尺寸標(biāo)準(zhǔn)19英寸寬度,2U高度電氣性能電源類型：AC100-240V/50-60Hz電源功率：350W工作環(huán)境操作環(huán)境：溫度0℃~40℃,濕度0%~80%存儲環(huán)境：溫度-40℃~80℃,濕度0%~95%技術(shù)性能MTBF〔平均故障間隔時間：≥100,000小時5.7入侵檢測系統(tǒng)選型說明根據(jù)我院校園網(wǎng)建設(shè)的實際情況,需要在東西校區(qū)新增的核心層各部署一臺入侵檢測系統(tǒng),以配合實現(xiàn)整個學(xué)校的全網(wǎng)安全。為了滿足實際網(wǎng)絡(luò)的需要和未來的升級擴展,該IPS要求：具有感知功能、能夠識別并阻斷網(wǎng)絡(luò)層和應(yīng)用層的攻擊等。我們采用銳捷千兆入侵檢測系統(tǒng)RG-IPS1000,該設(shè)備具體特點如下：銳捷RG-IPS是銳捷網(wǎng)絡(luò)針對企業(yè)網(wǎng)用戶推出的入侵防御系統(tǒng)〔IntrusionPreventionSystem。RG-IPS集成了應(yīng)用層感知能力,通過研究處理安全事件在攻擊對用戶網(wǎng)絡(luò)造成影響之前就有效的識別了并阻斷網(wǎng)絡(luò)層和應(yīng)用層攻擊,最小化攻擊所帶來的損失。通過部署RG-IPS,一些未被授權(quán)的應(yīng)用程序如P2P應(yīng)用或IM即時通訊軟件更容易被網(wǎng)絡(luò)識別并被強制執(zhí)行既定的規(guī)則,從而讓既定的用戶規(guī)則得到很好的實施保證。通過集中的基于規(guī)則的管理機制,RG-IPS提供更為精細(xì)粒度的訪問控制,這樣為審計網(wǎng)絡(luò)行為提供了更精確的數(shù)據(jù)。顯然,RG-IPS是保護用戶關(guān)鍵資源的強有力武器。產(chǎn)品特性RG-IPS集成特征匹配、協(xié)議分析和流量分析的功能,具備業(yè)最完備的特征代碼庫,提供特征代碼自定義和報告機制,有效的對網(wǎng)絡(luò)攻擊實施阻斷達到防護的目的。1、基于特征分析的檢測RG-IPS集成了超過2000條經(jīng)過仔細(xì)檢測與時間考驗的攻擊特征,特征匹配技術(shù)依據(jù)攻擊的特征模式對網(wǎng)絡(luò)數(shù)據(jù)包進行匹配。它通過識別各種攻擊的特征值并按照規(guī)寫成檢測規(guī)則,在協(xié)議交互的特定階段,對接收到的數(shù)據(jù)包的容逐一進行規(guī)則匹配分析,如果對容的搜索可以匹配上一條或多條規(guī)則,則認(rèn)為是發(fā)生了一次攻擊。RG-IPS系統(tǒng)支持多種高效的模式匹配算法,并且通過專有的算法實現(xiàn)這些匹配,可以高效地檢測已知特征的病毒、蠕蟲、木馬等攻擊。2、基于協(xié)議異常分析的檢測基于協(xié)議異常分析的檢測,主要是針對網(wǎng)絡(luò)協(xié)議本身,以及各個應(yīng)用系統(tǒng)在實現(xiàn)上的缺陷而提出來的,RG-IPS深入分析了接近100種的應(yīng)用層協(xié)議,包括HTTP、FTP、SMTP以及木馬、后門、P2P應(yīng)用、IM即時消息系統(tǒng)、網(wǎng)絡(luò)在線游戲等等常見應(yīng)用,極提高檢測的準(zhǔn)確性,降低誤報率。RG-IPS具備強有力的協(xié)議異常分析引擎,對檢測未知的溢出攻擊與拒絕服務(wù)攻擊,達到接近100%的檢測準(zhǔn)確率和幾乎為零的誤報率。3、基于流量異常的檢測抵御DoS攻擊流量異常分析的檢測是基于網(wǎng)絡(luò)流量分類統(tǒng)計的方法對被保護的網(wǎng)絡(luò)流量進行檢測,超過正常流量閾值的數(shù)據(jù)流將被認(rèn)為是非法流量,RG-IPS能夠準(zhǔn)確檢測SYNFlood、ICMPFlood、ConnectionFlood、NullStreamFlood等多種拒絕服務(wù)攻擊并能夠進行有效的防御保護。此外,RG-IPS能夠與網(wǎng)絡(luò)安全交換機實現(xiàn)聯(lián)動,主動發(fā)現(xiàn)危險所在的精確位置,并對其進行隔離,達到立即識別并補救惡意威脅,在入口處部署時可保護部網(wǎng)絡(luò),抵御可能發(fā)生的網(wǎng)絡(luò)攻擊。在管理方面,RG-IPS靈活、易用的圖形化安全管理工具,提供種類繁多的可視化安全報告,可創(chuàng)造基于任意安全事件的客戶化報告。技術(shù)參數(shù)性能表RG-IPS1000性能吞吐量2G并發(fā)會話數(shù)1,500,000sessions每秒新建會話20,000sessions/sec硬件參數(shù)RG-IPS1000CPUPentiumXeon2.4Ghz存1GBHD40G網(wǎng)絡(luò)接口10/100BASE-T<FastEthernet>01000BASE-T<GigaEthernet>21000BASE-SX<OpticalEthernet>2CONSOLE-DB91外觀指示燈Power,Status尺寸415ⅹ502ⅹ88重量10．1Kg供電510W工作環(huán)境溫度5~45濕度20~80%5.8出口路由器設(shè)備選型說明根據(jù)我院校園網(wǎng)建設(shè)的實際情況,需要在東西校區(qū)網(wǎng)絡(luò)出口各部署一臺高性能路由器,為了滿足實際網(wǎng)絡(luò)的需要和未來的升級擴展,該路由器要求：高性能、提供強大的路由功能、提供硬件的NAT功能等。我們采用銳捷高端多業(yè)務(wù)路由器RSR-08E,該設(shè)備具體特點如下：RSR-08E提供豐富的IP/MPLS特性及卓越的性能,是在中型POP點提供安全可靠的網(wǎng)絡(luò)業(yè)務(wù)的理想產(chǎn)品,能夠用作公司總部、企業(yè)骨干、高性能園區(qū)邊界路由器。RSR-08E路由器擁有三個獨特的硬件模塊,專門用于控制層面、轉(zhuǎn)發(fā)層面和業(yè)務(wù)層面。轉(zhuǎn)發(fā)及服務(wù)層面包括可編程的ASIC,控制層面包括一個專用處理器,該處理器運行著模塊化、安全、高可用的RGNOS系統(tǒng)。這種架構(gòu)可確保在高轉(zhuǎn)發(fā)性能的前提下提供豐富的數(shù)據(jù)包處理性能,同時能提供運營商級別的安全性、可用性及穩(wěn)定性。銳捷RSR-08E采用全冗余硬件架構(gòu),且具備自動故障切換及聯(lián)機軟件升級〔ISSU等特性。RSR-08E支持硬件加速的NAT、MPLS、QoS、組播、狀態(tài)防火墻及大型過濾表等豐富特性,是構(gòu)建安全可信新網(wǎng)絡(luò)的基石。RSR-08E路由器主要應(yīng)用在電信運營商以及政府、金融、教育、電力、企業(yè)用戶市場的網(wǎng)絡(luò)建設(shè)。產(chǎn)品特性一、新型業(yè)務(wù)模式全面的VPN業(yè)務(wù)可滿足最多的客戶需求,最大程度提高供應(yīng)商收入；同時運行第2層虛擬電路、第2層VPN、第2.5層互通VPN、第3層2547VPN、VPLS、IPSec、IPoverIP和GRE等；擴展性高,可支持成千上萬的VPN；具有低延遲、低抖動性能的高精度QoS,可支持話音、視頻及其他實時應(yīng)用；按DLCI、VP、VC、VLAN、信道<DS0>和端口QoS；分類、速率限制、整形、加權(quán)循環(huán)調(diào)度、嚴(yán)格優(yōu)先級調(diào)度、加權(quán)隨機早期檢測、隨機早期檢測和數(shù)據(jù)包標(biāo)記；第2層<802.1p、CLP、DE>映射到第3層QoS<IPDSCP、MPLSEXP>；基于硬件的IPv6性能、MPLSIPv6、IPv6overIPv4GRE隧道、IPv6/IPv4雙棧；強大的組播支持包括IGMPv1/v2/v3、PIM-SM、PIM-DM、MLD、SSM、RP、MSDP、BSR以及MPLS/BGPVPN中的組播,以高效利用資源、傳輸高價值容；基于網(wǎng)絡(luò)的安全業(yè)務(wù)包括NAT和狀態(tài)防火墻、以及按VRF的NAT和狀態(tài)防火墻；用于匯聚鏈路的MLPPP、MLFR.15和MLFR.16,802.3ad；利用Flow記帳、源級使用以及目的級使用特性,可按應(yīng)用和CoS資源使用靈活計費,以及基于距離的計費；通過合作伙伴關(guān)系實現(xiàn)多廠商網(wǎng)絡(luò)管理解決方案；基于XML的ScriptAPI便于第三方和部OSS開發(fā)。二、廣泛地提供業(yè)務(wù)特性豐富的RGNOS軟件在平臺上運行,確保一致的業(yè)務(wù),并使供應(yīng)商可獨立于連接或服務(wù)地區(qū)密度向所有用戶推出所有業(yè)務(wù)；可通過任何接入技術(shù),包括ATM、FR、以太網(wǎng)和TDM連接；速度圍可從DS0到OC-192/STM-64；降低運營成本；可無縫遷移到更大的平臺,以適應(yīng)網(wǎng)絡(luò)的增長。三、低投入高產(chǎn)出的基礎(chǔ)設(shè)施業(yè)務(wù)構(gòu)建可完全隔離控制層面、轉(zhuǎn)發(fā)層面和業(yè)務(wù)層面,可在單一平臺支持多種業(yè)務(wù)；在盡可能降低資本開支和運營開支的同時,最大限度提高收入；將以前由NAT、狀態(tài)型防火墻、IPSec和QoS等不同設(shè)備執(zhí)行的功能整合到銳捷RSR-04E平臺中；在單一平臺上提供多種業(yè)務(wù)使客戶可以不必進行資本投資即可嘗試許多不同的業(yè)務(wù),從而擴展業(yè)務(wù),進一步拓展用戶數(shù)量；利用強韌的第2層VPN、第2.5層互