汾湖實驗小學(xué)網(wǎng)絡(luò)規(guī)劃方案

汾湖實驗小學(xué)

網(wǎng)絡(luò)規(guī)劃方案

目錄

第1章前言...............................................................-3-

第2章網(wǎng)絡(luò)現(xiàn)狀描述......................................................-4-

第3章用戶需求分析......................................................-4-

3.1骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性需求.....................................-5-

3.2網(wǎng)絡(luò)安全性需求....................................................-5-

3.3智能無線部署需求..................................................-5-

3.4高效網(wǎng)絡(luò)管理需求..................................................-6-

第4章用戶網(wǎng)絡(luò)建設(shè)要求..................................................-7-

4.1建設(shè)目標(biāo)..........................................................-7-

4.2建設(shè)內(nèi)容..........................................................-7-

4.3網(wǎng)絡(luò)系統(tǒng)設(shè)計原則..................................................-7-

第5章網(wǎng)絡(luò)系統(tǒng)解決方案................................................-10-

第6章解決方案特色....................................................-12-

6.1骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性.......................................-12-

6.1.1骨干設(shè)備選擇.................................................-12-

6.1.2先進技術(shù)帶來的高性能........................................-12-

6.2網(wǎng)絡(luò)安全性保證..................................................-18-

6.2.1出口設(shè)備安全策略.............................................-18-

6.2.2核心、接入交換機安全策略....................................-18-

6.2.3病毒、攻擊防護方式..........................................-19-

6.3網(wǎng)絡(luò)后期擴展性好...............................................-20-

第7章主要設(shè)備選型說明................................................-21-

7.1核心交換機產(chǎn)品..................................................-21-

7.1.1產(chǎn)品概述.....................................................-21-

7.1.2產(chǎn)品特性.....................................................-22-

7.1.3產(chǎn)品技術(shù)參數(shù).................................................-24-

7.2匯聚交換機產(chǎn)品...................................................-25-

7.2.1產(chǎn)品概述.....................................................-25-

7.2.2產(chǎn)品特性.....................................................-26-

7.2.3產(chǎn)品技術(shù)參數(shù).................................................-28-

7.3接入交換機產(chǎn)品...................................................-32-

7.3.1產(chǎn)品概述.....................................................-32-

7.3.2產(chǎn)品特性.....................................................-32-

7.3.3技術(shù)參數(shù).....................................................-34-

7.4無線產(chǎn)品.........................................................-35-

7.4.1產(chǎn)品概述.....................................................-35-

7.4.2產(chǎn)品特性.....................................................-36-

7.4.3技術(shù)參數(shù).....................................................-36-

7.5網(wǎng)管產(chǎn)品.........................................................-38-

7.5.1產(chǎn)品概述.....................................................-38-

7.5.2產(chǎn)品特性.....................................................-38-

第8章部分教育用戶榮譽名單.............................................-39-

第1章前言

汾湖實驗小學(xué)目前正加緊新校區(qū)的工程建設(shè)。在整個校園弱電智能化建設(shè)

中，校園網(wǎng)絡(luò)系統(tǒng)占有較為的重要的地位，是校園的重要基礎(chǔ)設(shè)施。建成后的計

算機網(wǎng)絡(luò)系統(tǒng)應(yīng)成為一套現(xiàn)代化的計算機網(wǎng)絡(luò)系統(tǒng)，使用戶享有其應(yīng)有的信息資

源（包括數(shù)據(jù)、語音、視頻等）；實現(xiàn)內(nèi)部辦化自動化、多媒體教學(xué)、公共設(shè)備

管理、音視頻數(shù)據(jù)的傳輸、軟件硬件資源共享、有關(guān)弱電系統(tǒng)的運行等功能。無

線網(wǎng)絡(luò)覆蓋整個校園。

隨著當(dāng)代信息技術(shù)的擴展，隨著多媒體計算機在教育教學(xué)過程中的應(yīng)用越

來越普遍，校園網(wǎng)絡(luò)的建設(shè)提到了重要的議事日程。從當(dāng)今世界發(fā)達國家教育信

息化發(fā)展的經(jīng)驗來看，從單機發(fā)展到網(wǎng)絡(luò)，是中教育信息化發(fā)展的必然趨勢。因

此，在當(dāng)前我國發(fā)達地區(qū)的基礎(chǔ)教育信息化發(fā)展過程中，以校園網(wǎng)絡(luò)的建設(shè)為核

心與基礎(chǔ)，加快教育現(xiàn)代化的進程，實現(xiàn)我國基礎(chǔ)教育改革發(fā)展中的跳躍式發(fā)展,

這是全面貫徹素質(zhì)教育的關(guān)鍵性步驟。

當(dāng)前的校園網(wǎng)正發(fā)生著巨大的變化，校園網(wǎng)正從傳統(tǒng)的、簡單的以數(shù)據(jù)共享、

網(wǎng)頁瀏覽、電子郵件服務(wù)等數(shù)據(jù)處理為中心的數(shù)據(jù)承載網(wǎng)過渡到以多媒體流（多

媒體教學(xué)、遠程教學(xué)、實況網(wǎng)上視頻轉(zhuǎn)播、VOD點播、視頻會議等）處理為中心

的多業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)。隨著校園網(wǎng)的信息化的發(fā)展，越來越的多教學(xué)方式依托于網(wǎng)

絡(luò)給用戶提供多種的特色教學(xué)模式多媒體教學(xué)；通過建立VOD視頻服務(wù)器平臺，

為用戶提供優(yōu)質(zhì)的視頻內(nèi)容服務(wù)；通過召開視頻會議，從時間、空間上改變傳統(tǒng)

的會議方式，方便了與會者，提高了效率并節(jié)省了會議費用。

應(yīng)用趨勢決定了校園網(wǎng)絡(luò)要能支持豐富的應(yīng)用，如電子校務(wù)、資源共享、網(wǎng)

絡(luò)遠程教學(xué)、網(wǎng)絡(luò)課件、校園網(wǎng)絡(luò)監(jiān)控、一卡通系統(tǒng)等等。豐富的應(yīng)用要求校園

網(wǎng)絡(luò)具備高性能、高安全性、高可靠性。為了保護投資，要充分的考慮到未來的

擴展要求。

第2章網(wǎng)絡(luò)現(xiàn)狀描述

汾湖實驗小學(xué)于09年已經(jīng)采購過一批網(wǎng)絡(luò)設(shè)備，目前這批網(wǎng)絡(luò)設(shè)備已經(jīng)投

入使用。由于新校園目前尚未投入使用，這些設(shè)備目前僅部署在教學(xué)樓辦公區(qū)內(nèi),

為內(nèi)網(wǎng)辦公的老師提供簡單的上網(wǎng)接入服務(wù)。以下為這些設(shè)備的使用情況：

產(chǎn)

產(chǎn)品名描述數(shù)量說明

品

銳捷防火墻安全網(wǎng)關(guān)，固化4個GE口+1個FE

防

□;提供1個模塊化插槽，支持現(xiàn)用于教學(xué)樓辦公區(qū)

火RG-WALL160M1

4GE/4SFP/2GE/2SFP擴展，可擴展至8個千兆口；出口安全防護

墻

支持Bypass功能，標(biāo)準(zhǔn)1U設(shè)備

出

銳捷電信級全千兆寬帶路由器,2個千兆WAN口

口

（其中1個光電復(fù)用口），4個千兆LAN口（其現(xiàn)用于教學(xué)樓辦公區(qū)

路NBR1200G1

中3個LAN口可彈性配置為WAN口），1個控制出口路由轉(zhuǎn)發(fā)

由

臺口，中文WEB配置，防網(wǎng)絡(luò)病毒抗攻擊。

器

層24端口10/100M自適應(yīng)端口，4個SFP接口

現(xiàn)用于教學(xué)樓辦公區(qū)

交RG-S3760-24和4個復(fù)用的10/100/1000M自適應(yīng)電口，雙1

核心

換協(xié)議棧IPv4/IPv6多層交換機

機

24口10/100M交換機，2個10/100/1000M

RG-S2328G端口和2個千兆SFP光口復(fù)用，1個擴展槽，1現(xiàn)用于教學(xué)樓1F

層可上千兆模塊和堆疊模塊

交兩臺用于兩個學(xué)生機

48口10/100M交換機,2個10/100/1000M

換房接入，另三臺用于

RG-S2352G端口和2個千兆SFP光口復(fù)用，1個擴展槽，5

機教學(xué)樓2F-4F樓層接

可上千兆模塊和堆疊模塊

入

這些設(shè)備目前集中于教學(xué)樓二樓教室辦公室內(nèi)，待到校園網(wǎng)施工建設(shè)完成,

這些設(shè)備需統(tǒng)一轉(zhuǎn)移到綜合樓4樓校園網(wǎng)中心機房。

第3章用戶需求分析

學(xué)校校園網(wǎng)是為學(xué)校教學(xué)、科研和管理提供服務(wù)的重要基礎(chǔ)設(shè)施，本著“以

需求為導(dǎo)向，以應(yīng)用促發(fā)展，以構(gòu)建數(shù)字校園為目標(biāo)”和“總體規(guī)劃，分步實施”

的建設(shè)思路，校園網(wǎng)建設(shè)將是一個長久的、持續(xù)的工作。隨著校園網(wǎng)建設(shè)的不斷

發(fā)展，和新應(yīng)用系統(tǒng)的使用，學(xué)校校園網(wǎng)將會在教學(xué)、科研和管理等方面發(fā)揮更

大的作用。

我們結(jié)合汾湖實驗小學(xué)的實際建設(shè)情況，對用戶今后的用網(wǎng)需求做如下分

析：

3.1骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性需求

網(wǎng)絡(luò)骨干包括網(wǎng)絡(luò)的核心層、匯聚層，是整個網(wǎng)絡(luò)流量的承受者和匯聚者，

因此對骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性提出了高的要求。

在網(wǎng)絡(luò)的核心層面，應(yīng)盡量通過核心設(shè)備的冗余，實現(xiàn)設(shè)備的熱備和自動切

換，以保障網(wǎng)絡(luò)骨干高穩(wěn)定，高可用。

3.2網(wǎng)絡(luò)安全性需求

網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)級、系統(tǒng)級、用戶級、應(yīng)用級的安全，在網(wǎng)絡(luò)級，需要利

用出口設(shè)備的NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）功能，對外屏蔽校園內(nèi)網(wǎng)的網(wǎng)絡(luò)拓撲信息，從

而避免校園網(wǎng)受到外來攻擊。在網(wǎng)絡(luò)內(nèi)部，根據(jù)用戶的網(wǎng)絡(luò)使用需求，將用戶和

網(wǎng)絡(luò)資源劃分為不同的VLAN,在VLAN間根據(jù)需求啟用相應(yīng)的ACL（訪問控制

列表），從而保證用戶的物理隔離和資源訪問的安全。

3.3智能無線部署需求

網(wǎng)絡(luò)能在有線無法延伸到的地方，做無線的網(wǎng)絡(luò)信號覆蓋，使得樓層內(nèi)，甚

至整個校園內(nèi)，處處能上網(wǎng)。依托新建成的無線網(wǎng)絡(luò)，校內(nèi)師生可以方便地在圖

書館、報告廳利用手提電腦、PDA、手機等通訊工具連接到內(nèi)網(wǎng)中來，校領(lǐng)導(dǎo)可

以在會議室無需網(wǎng)線即可上網(wǎng)，進行系統(tǒng)的訪問和數(shù)據(jù)的共享；外來訪客也可以

用終端設(shè)備安全地接入網(wǎng)絡(luò)，通過校園網(wǎng)來進行Internet訪問，方便高效。大

范圍的無線部署，必將能夠提升整網(wǎng)用戶訪問網(wǎng)絡(luò)的效率，提升整個校園的信息

化水平。經(jīng)過與用戶溝通，汾湖實驗小學(xué)需要在綜合樓報告廳、行政辦公區(qū)、學(xué)

生閱覽室、教室閱覽室等區(qū)域部署無線，實現(xiàn)這些區(qū)域的無線上網(wǎng)。

3.4高效網(wǎng)絡(luò)管理需求

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)的管理越來越重要，管理的事務(wù)也越來越復(fù)

雜。學(xué)校網(wǎng)絡(luò)系統(tǒng)將會分布在學(xué)校各個樓宇、樓宇內(nèi)樓層的各個角落，日常的網(wǎng)

絡(luò)維護和操作的工作量大大增加，網(wǎng)絡(luò)系統(tǒng)需要一個可靠，便捷、功能強大的網(wǎng)

絡(luò)管理系統(tǒng)來充分有效的管理和利用網(wǎng)絡(luò)資源。

第4章用戶網(wǎng)絡(luò)建設(shè)要求

4.1建設(shè)目標(biāo)

學(xué)校此次進行的校園網(wǎng)建設(shè)，目的是將學(xué)校校園網(wǎng)建設(shè)成為一個借助信息化

教育和管理手段的高水平的智能化、數(shù)字化的教育園區(qū)網(wǎng)絡(luò)，完成學(xué)校網(wǎng)絡(luò)和統(tǒng)

一軟件資源平臺的構(gòu)建，實現(xiàn)網(wǎng)絡(luò)遠程教學(xué)、在線考試、教育資源共享等各種應(yīng)

用利用現(xiàn)代信息技術(shù)從事管理、教學(xué)和科學(xué)研究等工作。

4.2建設(shè)內(nèi)容

汾湖實驗小學(xué)此次進行的校園網(wǎng)建設(shè)，本著是“總體規(guī)劃，分步實施”的建

設(shè)思路，搭建一個安全可靠，穩(wěn)定成熟的網(wǎng)絡(luò)基礎(chǔ)平臺，為教學(xué)信息化、辦公信

息化提供服務(wù)。本次建設(shè)考慮以下幾點：萬兆網(wǎng)絡(luò)核心、千兆網(wǎng)絡(luò)骨干、信息點

百兆接入、熱點區(qū)域的無線覆蓋、高效的網(wǎng)絡(luò)管理。

4.3網(wǎng)絡(luò)系統(tǒng)設(shè)計原則

安全性

網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護技術(shù)，靈活方便的權(quán)限設(shè)定和

控制機制，使系統(tǒng)具有多種有效手段，防范各種形式對網(wǎng)絡(luò)的非法入侵和內(nèi)部攻

擊，以保證網(wǎng)絡(luò)的實體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常

的業(yè)務(wù)活動和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應(yīng)分別針

對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機制、數(shù)

據(jù)存取的權(quán)限控制等。

先進性

系統(tǒng)設(shè)計既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的

相對先進成熟，整個系統(tǒng)的生命周期應(yīng)有比較長的時間，可以在信息技術(shù)不斷發(fā)

展的今天，在系統(tǒng)建成以后比較長的一段時間內(nèi)能滿足用戶需求增長的需要；不

但能反映當(dāng)今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導(dǎo)地

位，保證網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位。本方案的設(shè)計宗旨是“立足今日，著眼未來”,

在保證技術(shù)成熟的前提下，充分先進技術(shù)，滿足現(xiàn)有需求，充分考慮潛在擴充。

從而最大限度保護用戶投資。

開放性

采用開放的軟硬件平臺和數(shù)據(jù)庫管理系統(tǒng)，遵循國際標(biāo)準(zhǔn)化組織提出的開放

系統(tǒng)互聯(lián)的標(biāo)準(zhǔn)，應(yīng)用軟件必須獨立于軟硬件平臺，能集成任何第三方的應(yīng)用，

具有良好的可擴展性、可移植性和互操作性。

擴展性

系統(tǒng)必須具有良好的可擴充性，在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與技術(shù)方案等方面必

須具有升級換代的可能，核心設(shè)備必須采用模塊化的結(jié)構(gòu)，符合網(wǎng)絡(luò)的發(fā)展趨勢

并具有充分的擴展性。系統(tǒng)建設(shè)必須盡量保護現(xiàn)有的軟、硬件資源，保證各部門

現(xiàn)有的計算機系統(tǒng)的使用，逐步過渡，有效保護用戶投資。

高性能

網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞

傳輸;交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。

標(biāo)準(zhǔn)化

建立一個可靠、高效、靈活的計算機網(wǎng)絡(luò)系統(tǒng)平臺，不僅著重考慮數(shù)據(jù)信息

能夠訊速、準(zhǔn)確、安全、可靠地交換，還要考慮同層次網(wǎng)絡(luò)互連，遠程分部的互

聯(lián)，以及與相關(guān)信息系統(tǒng)網(wǎng)際互聯(lián)，以充分共享資源。這些需求體現(xiàn)在設(shè)計時，

要求提供開放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案，設(shè)備的各種接口滿足標(biāo)準(zhǔn)化原則。

可管理

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)的管理越來越重要，管理的事務(wù)也越來越復(fù)

雜。整個網(wǎng)絡(luò)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護，操作簡單，易學(xué)，易用，便于

進行網(wǎng)絡(luò)配置，網(wǎng)絡(luò)在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和

控制，并可以進行遠程管理和故障診斷。如：可以通過友好的圖形化界面，對網(wǎng)

絡(luò)進行網(wǎng)絡(luò)劃分，設(shè)置各子網(wǎng)的訪問權(quán)限，實施網(wǎng)絡(luò)的動態(tài)監(jiān)測、配置，數(shù)據(jù)流

量的分析等，簡化網(wǎng)絡(luò)的管理。

第5章網(wǎng)絡(luò)系統(tǒng)解決方案

通過對汾湖實驗小學(xué)新建網(wǎng)絡(luò)的實際需求和建設(shè)目標(biāo)，我們提出“高效、穩(wěn)

定、易管理”的網(wǎng)絡(luò)規(guī)劃建議方案，以下是汾湖實驗小學(xué)規(guī)劃的初步拓撲圖：

銃捷河絳

RG-WALL160M防火墻

NBR1200G路由器

RG-S7604

綜合樓南樓匯聚

S2300系列

，綜合樓北樓匯聚RG-S7604

應(yīng)用服務(wù)器群

S2300系列

MP-71無線接入點

教學(xué)樓匯聚

S2300系列

食堂接入

S2300系列

體育帽接入

S2300系列千兆主干光纖

千兆備份光纖

千兆主干雙絞線

MP-71無線接入點

百兆雙絞線

本方案是以局域網(wǎng)以太網(wǎng)技術(shù)為基礎(chǔ)，建設(shè)智能化的校園網(wǎng)絡(luò)。整個校園網(wǎng)

絡(luò)采用千兆主干（可平滑升級到萬兆），百兆交換到桌面，核心設(shè)備采用兩臺銳

捷萬兆交換機RG-S7604,通過VRRP協(xié)議可以實現(xiàn)雙機冗余和熱備切換，具備很

強的穩(wěn)定性和可靠性，充分保證整個網(wǎng)絡(luò)的穩(wěn)定性；在綜合樓南樓、綜合樓北樓

以及教學(xué)樓各部署一臺匯聚交換機，每臺匯聚交換機雙光纖線路上聯(lián)到核心。接

入設(shè)備采用銳捷安全網(wǎng)管接入交換機RG-S23系列，為行政辦公區(qū)、食堂、體育

館提供高性能高安全的接入。（由于教學(xué)樓接入交換機已經(jīng)部署完畢，故本方案

中不涉及添加教學(xué)樓接入交換機）

整個校園網(wǎng)設(shè)計采用三層結(jié)構(gòu)：核心層、匯聚層和接入層，核心交換機放置

于校園中心機房，匯聚交換機做整個樓宇的信息點匯聚，放置于樓層或樓宇分機

房，接入設(shè)備則根據(jù)信息點部署情況放置于弱電間或分機房。

接入層交換機使用銳捷高性能的智能百兆交換機S23系列，通過雙絞線上聯(lián)

至樓棟的匯聚交換機，每臺樓棟匯聚交換機雙線上聯(lián)至中心機房核心設(shè)備。中心

交換機采用銳捷萬兆核心路由交換機RG-S7604,該款交換機作為學(xué)校的核心交

換機，具有極高的數(shù)據(jù)包轉(zhuǎn)發(fā)能力和很好的擴展性。

核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，核心層設(shè)計任務(wù)的重點

通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能、網(wǎng)絡(luò)的各種應(yīng)用應(yīng)盡

量少在核心層上實施。核心層一直被認為是流量的最終承受者和匯聚者，因此對

核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴格。

方案中核心層采用2臺RG-S7604多業(yè)務(wù)萬兆核心路由交換機作為整個網(wǎng)絡(luò)

的路由交換平臺，雙機熱備，保障核心的穩(wěn)定運行。

匯聚層采用S57系列全千兆三層智能網(wǎng)管型交換機，其提供24個

10/100/1000M電口以及12個復(fù)用的SFP光口，并且能夠支持雙萬兆上聯(lián)，靈活

的端口形態(tài)不僅滿足現(xiàn)階段的匯聚需求，而且也為今后骨干線路升級預(yù)留了空

間，做好了準(zhǔn)備。

接入層采用S23系列智能型交換機，線速轉(zhuǎn)發(fā)性能、高安全特性、易網(wǎng)管配

置、主流操作界面和豐富QOS特性及惡劣環(huán)境適應(yīng)性完全滿足校園網(wǎng)接入需要。

骨干網(wǎng)絡(luò)通過光纖布線，采用千兆以太網(wǎng)技術(shù)實現(xiàn)互聯(lián)；接入網(wǎng)上聯(lián)采用千

兆以太網(wǎng)技術(shù)，桌面接入采用10/100M以太網(wǎng)技術(shù)。

出口采用一臺高性能的RG-WALL160M防火墻和一臺銳捷寬帶路由器NBR

1200G,在提供私網(wǎng)到公網(wǎng)地址轉(zhuǎn)換的同時，為整個校園網(wǎng)提供安全防護。

我們在綜合樓報告廳、行政辦公區(qū)、學(xué)生閱覽室、教室閱覽室等熱點區(qū)域部

署了一套智能無線設(shè)備，這套設(shè)備由兩部分組成：無線交換機、智能無線AP。

MX-8通過雙百兆聚合鏈路連接到核心交換機設(shè)備上，其主要負責(zé)全網(wǎng)AP流量的

高速轉(zhuǎn)發(fā)和AP的統(tǒng)一管理。我們選用了MP-71智能型無線AP,該型號AP支持

802.Ub/g,單路單頻設(shè)計，覆蓋范圍大。

在網(wǎng)絡(luò)的管理上，學(xué)校可以根據(jù)需求，選擇我司的網(wǎng)管產(chǎn)品RG-SNC來進行

全網(wǎng)設(shè)備的統(tǒng)一管理，該網(wǎng)管軟件不但具有一般網(wǎng)管軟件的設(shè)備發(fā)現(xiàn)、拓撲管理、

報表輸出功能，而且可以支持全網(wǎng)設(shè)備的VLAN統(tǒng)一下發(fā)，配置文件的統(tǒng)一更改,

這對網(wǎng)絡(luò)建成后的網(wǎng)絡(luò)管理員需要變更網(wǎng)絡(luò)部署來說，相當(dāng)方便。

第6章解決方案特色

6.1骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性

6.1.1骨干設(shè)備選擇

核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，核心層任務(wù)的重點通常

是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能、網(wǎng)絡(luò)的各種應(yīng)用應(yīng)盡量少

在核心層上實施。核心層一直被認為是流量的最終承受者和匯聚者，因此對核心

層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴格。

方案中在核心層采用銳捷網(wǎng)絡(luò)RG-S7600系列多業(yè)務(wù)IPv6核心路由交換機作

為整個校園網(wǎng)的路由交換平臺，該核心路由交換機硬件實現(xiàn)路由交換和線速萬兆

轉(zhuǎn)發(fā)功能滿足整個校園網(wǎng)核心的路由交換。RG-S7600系列多業(yè)務(wù)IPv6核心路由

交換機和匯聚層設(shè)備通過啟用OSPF路由協(xié)議和RSTP、MSTP生成樹協(xié)議，保證線

路的負載均衡和冗余備份。整個核心部分具有強大的未來擴展能力。RG-S7600

系列多業(yè)務(wù)IPv6核心路由交換機的APS技術(shù)能保證主控冗余和自動失效切換，

滿足99.999%的電信級應(yīng)用需求。同時RG-S7600系列多業(yè)務(wù)IPv6核心路由交換

機完全兼容主流網(wǎng)絡(luò)設(shè)備的CLI界面，配置方便，支持完善的流分類策略和豐富

的QOS特性，是校園網(wǎng)建設(shè)核心層網(wǎng)絡(luò)設(shè)備的理想選擇。核心層設(shè)備RG-S7600

系列多業(yè)務(wù)IPv6核心路由交換機采用千兆光纖與匯聚層設(shè)備相連，充分保證網(wǎng)

絡(luò)骨干線路的帶寬需求，真正達到校園網(wǎng)內(nèi)部的高速數(shù)據(jù)交換。

6.1.2先進技術(shù)帶來的高性能

雙機冗余熱備提升核心穩(wěn)定性

網(wǎng)絡(luò)中心作為全網(wǎng)的心臟，擔(dān)任著整網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)重任，因此，作為整個網(wǎng)

絡(luò)平臺的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行模粌H要保證7*24小時

的穩(wěn)定運行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸?shù)浇K端系統(tǒng)，同時，

還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時，保證網(wǎng)絡(luò)中心自

身的安全。

穩(wěn)定可靠的架構(gòu)設(shè)計

?雙核心

?匯聚到核心采用雙鏈路

?服務(wù)器區(qū)采用雙機熱備

?匯聚設(shè)備采用雙機熱備

網(wǎng)絡(luò)中心設(shè)計采用2臺核心交換機互為容錯備份，核心、匯聚層都采用雙鏈

路連接，構(gòu)成一個環(huán)路架構(gòu)，核心啟用VRRP技術(shù)；VRRP協(xié)議通過在兩臺互備份

的交換機上對每個VLAN用戶提供一個統(tǒng)一的虛擬網(wǎng)關(guān)IP地址，相應(yīng)VLAN用戶

設(shè)置PC網(wǎng)關(guān)地址時就設(shè)置成為該虛擬網(wǎng)關(guān)IP,用戶工作時并不用關(guān)心真正負責(zé)

數(shù)據(jù)傳輸?shù)慕粨Q機，在真正負責(zé)用戶數(shù)據(jù)傳輸?shù)慕粨Q機出現(xiàn)故障時VRRP協(xié)議可

以自動地把用戶數(shù)據(jù)的轉(zhuǎn)發(fā)工作轉(zhuǎn)移到另一臺交換機，不僅實現(xiàn)了主機間的備份

功能，而且不必更改用戶的網(wǎng)絡(luò)設(shè)置。RSTP、MSTP等技術(shù)在二層上造成網(wǎng)絡(luò)環(huán)

路的鏈路將邏輯失效，網(wǎng)絡(luò)環(huán)路被消除；而在負責(zé)數(shù)據(jù)傳輸?shù)幕顒渔溌肥б院?/p>

又可以激活先前邏輯失效的鏈路，保障數(shù)據(jù)的正常傳輸，提供冗余備份功能；全

網(wǎng)架構(gòu)，核心層雙鏈路交換系統(tǒng)不存在單點故障，是一種高級別交換完全冗余的

容錯方案，這樣即使其中一條鏈路斷線或一個主干交換機發(fā)生故障，都能在用戶

覺察不到的極短的時間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高可靠

性、穩(wěn)定性的運行。

雙核心網(wǎng)絡(luò)設(shè)計架構(gòu)，為我校網(wǎng)絡(luò)提供了高穩(wěn)定性和可靠性的數(shù)據(jù)傳輸平

臺，同時，提供了一種能夠“自愈”網(wǎng)絡(luò)鏈路或設(shè)備的單點故障的網(wǎng)絡(luò)架構(gòu)，保

證了汾湖實驗小學(xué)網(wǎng)絡(luò)能夠提供7*24小時高速穩(wěn)定的數(shù)據(jù)傳輸。

SPOH技術(shù)提供更強的數(shù)據(jù)處理能力

SPOH：SynchronizationProcessOverHardware,是''基于硬件的同步式

處理技術(shù)”縮寫。

銳捷核心設(shè)備支持SPOH技術(shù)一一專注于安全防護和智能保障的交換技術(shù)!

在線卡分布式設(shè)計的基礎(chǔ)上，為各個物理端口配備專用的FFP(FFP:fastfilter

processor)處理模塊，F(xiàn)FP模塊可以實現(xiàn)硬件處理QoS與ACL功能，實現(xiàn)整機

數(shù)據(jù)端口級同步處理ACL/QOS；同時，通過線卡芯片線速轉(zhuǎn)發(fā)L2/L3/組播數(shù)據(jù)，

實現(xiàn)了從線卡到端口的全面分布式硬件設(shè)計，有效分流、緩解線卡ASIC芯片的

負載壓力，極大地提升交換機的整體數(shù)據(jù)處理能力。既滿足業(yè)務(wù)急劇增長，保持

網(wǎng)絡(luò)的高性能無阻塞交換和網(wǎng)絡(luò)安全的防護，實現(xiàn)大數(shù)據(jù)多業(yè)務(wù)全線速處理。

SPOH技術(shù)保障了核心設(shè)備的高性能無阻塞數(shù)據(jù)交換和網(wǎng)絡(luò)安全的高級防

護，實現(xiàn)大數(shù)據(jù)多業(yè)務(wù)全線速處理，從而達到了電信級的可靠性保障。

LPM+HDR技術(shù)提供更高的路由處理效率

最長匹配(LPM)三層交換技術(shù)可以解決傳統(tǒng)方式“多次交換”中采用“流

精確匹配”而帶來存儲空間壓力過大的問題。最長匹配(LPM)技術(shù)支持靜態(tài)路

由、動態(tài)學(xué)習(xí)到的路由都直接以網(wǎng)段形式存儲于硬件轉(zhuǎn)發(fā)表，一個目的網(wǎng)段使用

一個轉(zhuǎn)發(fā)表項，而直連網(wǎng)段僅生成表項內(nèi)容為“目的IP地址”的主機轉(zhuǎn)發(fā)表，

對于其它不明目的網(wǎng)段IP地址的數(shù)據(jù)包直接通過硬件缺省路由轉(zhuǎn)發(fā)。因此,LPM

技術(shù)的優(yōu)點是極大地節(jié)約存儲空間，病毒和攻擊數(shù)據(jù)可以通過硬件網(wǎng)段路由或缺

省路由進行轉(zhuǎn)發(fā)，不增加額外的硬件表項，避免了存儲溢出問題，保障設(shè)備的正

常運行。

在LPM技術(shù)中依然保留了CPU參與一次路由的需要，雖然每個網(wǎng)段只有一

次CPU參與的需要，但是在三層設(shè)備擁有直連網(wǎng)段，主機轉(zhuǎn)發(fā)表數(shù)量比較多的

情況下，CPU的第一次參與依然會對三層轉(zhuǎn)發(fā)的處理效率產(chǎn)生一些影響，HDR

技術(shù)可以進一步優(yōu)化LPM技術(shù)的處理效率，主機直接路由（HDR：Hostdirect

Route）用于解決CPU參與“一次路由”的不足。主機直接路由（HDR）支持三

層設(shè)備在最長匹配硬件轉(zhuǎn)發(fā)中的下一跳節(jié)點和數(shù)據(jù)轉(zhuǎn)發(fā)出口運行ARP協(xié)議時把

對應(yīng)的MAC地址直接下載到硬件轉(zhuǎn)發(fā)表。因此，沒有了第一次CPU參與路由

的效率影響，網(wǎng)絡(luò)中的所有主機（Host）都可以通過最長匹配硬件轉(zhuǎn)發(fā)表進行直

接的三層轉(zhuǎn)發(fā)。

LPM+HDR三層交換技術(shù)不需要CPU參與、節(jié)約了緩存空間，不僅極大地

提高了路由效率，而且避免了病毒和攻擊對網(wǎng)絡(luò)設(shè)備本身的影響，提高設(shè)備的穩(wěn)

定性。

第二代Crossbar硬件體系提供更強的數(shù)據(jù)轉(zhuǎn)發(fā)效率

銳捷多業(yè)務(wù)核心路由交換機采用最先進的第二代Crossbar硬件體系架構(gòu):

第二代BufferedCrossbar技術(shù)具有如下特性:

調(diào)度任務(wù)非常簡單，通過背壓流控，每個交叉點自動獨立地進行調(diào)度，

不需要配置整個系統(tǒng)的所有“輸出輸入線卡對"，不帶來Crossbar的調(diào)度

損耗。

調(diào)度相互獨立，不存在所有“輸出輸入線卡對”同步地從一個狀態(tài)變化

到另一個狀態(tài)，因此，就不需同步每個數(shù)據(jù)包發(fā)送的結(jié)束時間，允許直

接對非定長數(shù)據(jù)包進行操作，沒有包分割和重組。

?因為沒有包分割和調(diào)度效率的影響，內(nèi)部超速并不需要。BufferedCrossbar

可以處理相同速率的外部線卡

BufferedCrossbar技術(shù)克服第一代Crossbar架構(gòu)技術(shù)的局限性，Buffered

Crossbar架構(gòu)內(nèi)置了眾多緩存，采用分布式調(diào)度，無需內(nèi)部加速，可直接處理非

定長包，充分發(fā)揮Crossbar芯片的交換效率和處理性能，從而使整個設(shè)備系統(tǒng)達

到了電信級的高性能和高可靠性。

三平面分離保護技術(shù)提供更高的穩(wěn)定可靠性

銳捷網(wǎng)絡(luò)核心路由交換機通過采用數(shù)據(jù)平面、控制平面、管理平面相互分離

的設(shè)計方式，保證了最耗費主機資源的數(shù)據(jù)處理轉(zhuǎn)發(fā)任務(wù)不影響交換機的管理和

協(xié)議運行，而在路由和環(huán)境復(fù)雜多變條件下，控制平面的任務(wù)不影響交換機的管

理，高度保證了交換機系統(tǒng)的穩(wěn)定性。保證了即便出現(xiàn)設(shè)備由于數(shù)據(jù)交換異常癱

瘓狀態(tài)情況，依然可以通過Telnet、Console等管理界面正常登陸管理該設(shè)備。

從根本上高度保證了系統(tǒng)的穩(wěn)定可靠性。

管理平面

如平面-

控制平面

業(yè)界設(shè)備的傳統(tǒng)方式銳捷核心設(shè)備的方式

通過采用數(shù)據(jù)平面、■控制平面、管理平面相互

分離的結(jié)構(gòu)模型高度保證了系統(tǒng)穩(wěn)定性！

CPP（CPUProtectPolicy）機制提供更強的安全性

盡管通過加密認證可以保護網(wǎng)絡(luò)中的通信協(xié)議，但是它并不能完全的防止非

法惡意用戶對路由引擎（CPU）上特定協(xié)議的攻擊。例如，攻擊者仍可以利用偽

造的數(shù)據(jù)包瞄準(zhǔn)具體協(xié)議，向路由交換機發(fā)動攻擊。盡管這些數(shù)據(jù)包無法通過鑒

權(quán)檢查，但是攻擊仍可以消耗CPU上的資源（CPU循環(huán)和通信隊列），因此在某

種程度上達到攻擊的目的。

銳捷網(wǎng)絡(luò)核心路由交換產(chǎn)品通過硬件的方式對發(fā)往控制平面的數(shù)據(jù)進行分

類，把不同的協(xié)議數(shù)據(jù)歸類到不同的隊列然后對不同的隊列進行限速，專門對路

由引擎進行保護，阻擋外界的DOS攻擊。而且并不影響轉(zhuǎn)發(fā)速度，所以CPP

能夠在不限制性能的前提下，靈活且有力的防止攻擊，而且保證了即使有大規(guī)模

攻擊數(shù)據(jù)發(fā)往CPU的時候依然可以在交換機內(nèi)部對數(shù)據(jù)進行區(qū)分對外。

CPP提供三種保護方法，來保護CPU的利用率。

第一，可以配置CPU接受數(shù)據(jù)流的總帶寬，從全局上保護CPU。

第二，可以設(shè)備QOS隊列，為每種隊列設(shè)置帶寬。

第三，為每種類型的報文設(shè)置最大速率。

具體實現(xiàn)方式如下：

?針對不同的系統(tǒng)報文進行分類。CPP可針對arp、bpdu、dhcp、igmp、rip、

ospf、pim、gvrp、vvrp的報文進行分類，并分別設(shè)置不同的帶寬。

?CPU端口共有8個優(yōu)先級隊列（queue）,可以配置每種類型的報文對應(yīng)的

隊列，硬件根據(jù)配置自動地將這種類型的報文的送到指定隊列，并可分

別設(shè)置隊列的最大速率。

可以配置CPU端口的總的帶寬，從全局上保護CPU。

6.2網(wǎng)絡(luò)安全性保證

6.2.1出口設(shè)備安全策略

在出口設(shè)備RG-WALL160M上啟用多種防攻擊策略；為服務(wù)器做相應(yīng)的地

址映射；啟用NAT特性；可以針對端口進行帶寬線速，也可以基于策略做到每

用戶帶寬限制。

6.2.2核心、接入交換機安全策略

完善的用戶IP/MAC地址綁定

方案中提供的包括核心、接入交換機均支持基于整機級和端口級兩種IP、

MAC地址綁定功能，并采用硬件芯片直接實現(xiàn)。在提高安全性的同時不影響交

換機數(shù)據(jù)交換性能。

分布式網(wǎng)絡(luò)病毒（攻擊）防御

基于校園網(wǎng)的特點，它是一個開放的應(yīng)用環(huán)境，在這種環(huán)境下尤其容易感染

網(wǎng)絡(luò)病毒和發(fā)生網(wǎng)絡(luò)攻擊，這會給網(wǎng)絡(luò)主干帶來嚴重沖擊，甚至可能造成整網(wǎng)癱

瘓。因此，為了保證整個網(wǎng)絡(luò)的帶寬可用性。防止網(wǎng)絡(luò)病毒傳播擴散，防止網(wǎng)絡(luò)

攻擊的發(fā)生，在該方案中，采用分布式網(wǎng)絡(luò)病毒（攻擊）防御體系設(shè)計思想。核

心、接入層網(wǎng)絡(luò)設(shè)備均支持嵌入式防DDoS攻擊、防病毒擴散等，可直接屏蔽網(wǎng)

絡(luò)特征病毒傳播擴散，防止網(wǎng)絡(luò)攻擊。同時接入層設(shè)備S2300G硬件智能識別2-4

層數(shù)據(jù)流、可實現(xiàn)非常豐富的ACL訪問控制功能，最大程度的實現(xiàn)分布式的網(wǎng)

絡(luò)安全控制防護。

防ARP欺騙攻擊

目前網(wǎng)絡(luò)中較多的出現(xiàn)了ARP欺騙攻擊，可造成整個網(wǎng)段癱瘓或者信息泄

密的嚴重后果。S2300G支持防ARP欺騙功能，有效地杜絕ARP網(wǎng)關(guān)欺騙行為

的發(fā)生，更好地提高了網(wǎng)絡(luò)的安全性。

6.2.3病毒、攻擊防護方式

IP掃描攻擊及防范

眾所周知，許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動的主機開始

的，大量的掃描報文也急劇占用網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無法進行。

為此，銳捷RG-S76交換機提供了防掃描的功能，用以防止黑客掃描和類似

“沖擊波病毒”的攻擊，并能減少三層交換機的CPU負擔(dān)。目前發(fā)現(xiàn)的掃描攻擊

有兩種：

目的IP地址變化的掃描，我們稱為“scandestipattack”。這種掃描是最危害

網(wǎng)絡(luò)的，不但消耗網(wǎng)絡(luò)帶寬，增加交換機的負擔(dān)，更是大部分黑客攻擊手段的起

手。

目的IP地址不存在，卻不斷的發(fā)送大量報文，我們稱為“samedestipattack”。

這種攻擊主要是針對減少交換機CPU的負擔(dān)來設(shè)計。對三層交換機來說，如果

目的IP地址存在,則報文的轉(zhuǎn)發(fā)會通過交換芯片直接轉(zhuǎn)發(fā),不會占用交換機CPU

的資源，而如果目的IP不存在，交換機CPU會定時的嘗試連接，而如果大量的

這種攻擊存在，也會消耗著CPU資源。當(dāng)然，這種攻擊的危害比第一種小得多

To

以上這兩種攻擊，我們交換機都可以在每個接口上調(diào)整相應(yīng)的攻擊閥值、攻

擊主機隔離的時間等參數(shù)，以便管理員最細化的管理配置。

DDoS攻擊及防范

近年來，各種DoS攻擊（DenialofService,拒絕服務(wù)）報文在互聯(lián)網(wǎng)上傳

播，給互聯(lián)網(wǎng)用戶帶來很大煩惱。DoS的攻擊方式有很多種，最基本的DoS攻

擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服

務(wù)的響應(yīng)。攻擊報文主要采用偽裝源IP以防暴露其蹤跡。

針對這種情況，RFC2827提出在網(wǎng)絡(luò)接入處設(shè)置入口過濾(IngressFilting),

來限制偽裝源IP的報文進入網(wǎng)絡(luò)。這種方法更注重在攻擊的早期和從整體上防

止DoS的發(fā)生，因而具有較好效果。使用這種過濾也能夠幫助ISP和網(wǎng)管來準(zhǔn)

確定位使用真實有效的源IP的攻擊者。ISP應(yīng)該也必須采用此功能防止報文攻擊

進入Internet；網(wǎng)絡(luò)管理員應(yīng)該執(zhí)行過濾來確保校園網(wǎng)不會成為此類攻擊的發(fā)源

地。

銳捷S76、S23交換機采用基于RFC2827的入口過濾規(guī)則來防止DoS攻擊,

該過濾采用硬件實現(xiàn)而不會給網(wǎng)絡(luò)轉(zhuǎn)發(fā)增加負擔(dān)。

ARP欺騙攻擊及防范

ARP欺騙攻擊近年來呈愈演愈烈之勢，每個網(wǎng)絡(luò)管理員基本上都會碰到。

該欺騙攻擊會導(dǎo)致經(jīng)常出現(xiàn)斷網(wǎng)、設(shè)備cpu利用率居高不下、信息泄密等多種惡

果。

ARP欺騙主要存在以下5種方式：冒充網(wǎng)關(guān)欺騙主機、冒充主機欺騙網(wǎng)關(guān)、

冒充主機欺騙主機、黑洞攻擊、泛洪攻擊。這些攻擊的防御可以在接入層交換機

上做，無論用戶的IP地址是動態(tài)的還是靜態(tài)的，均可以有效的進行防御。

防御基本原理是采用IP+MAC+端口三元素綁定，啟用ARPcheck功能。若

用戶的IP地址是靜態(tài)的，可以采用手工綁定或通過802.IX認證中的IP授權(quán)模

式自動綁定；若用戶的IP地址是靜態(tài)的，可以采用DHCPSnooping的方式，用

戶獲取地址的同時在交換機端口做綁定。

6.3網(wǎng)絡(luò)后期擴展性好

方案中核心設(shè)備采用萬兆路由交換機，樓宇匯聚全部采用支持萬兆的匯聚交

換機，滿足未來骨干網(wǎng)絡(luò)萬兆擴展；網(wǎng)絡(luò)接入設(shè)備支持GSN全局安全網(wǎng)絡(luò)，為未

來進一步的提高網(wǎng)絡(luò)安全性和整體聯(lián)大性提供了廣闊的平臺。

6.4智能的無線辦公網(wǎng)絡(luò)

本次在綜合樓總共部署12個無線AP,覆蓋報告廳、會議室、行政辦公室、

閱覽室等區(qū)域。銳捷網(wǎng)絡(luò)針對學(xué)校無線應(yīng)用的特點，推出的有針對性的無線網(wǎng)絡(luò)

解決方案具有以下價值：

6.4.1高可用

?智能無線網(wǎng)絡(luò)解決方案采用面向下一代網(wǎng)絡(luò)的智能轉(zhuǎn)發(fā)型組網(wǎng)架構(gòu)，合

理的解決了在802.1In的大流量沖擊下，無線交換機的流量瓶頸問題。

?智能無線網(wǎng)絡(luò)解決方案采用設(shè)備級的冗余設(shè)計。無線交換機支持N:1的

冗余技術(shù)；無線接入點采用雙以太口上聯(lián)設(shè)計；AAA認證服務(wù)器支持

認證服務(wù)器冗余。

?智能無線網(wǎng)絡(luò)解決方案采用虛擬控制器集群技術(shù)，能夠提供基于用戶、

頻段、流量的負載均衡。

6.4.2高安全

提供一體化安全解決方案：用戶準(zhǔn)入的安全；用戶身份的安全；數(shù)據(jù)傳輸?shù)?/p>

安全；無線射頻的安全

第7章主要設(shè)備選型說明

7.1核心交換機產(chǎn)品

7.1.1產(chǎn)品概述

RG-S7600系列交換機是銳捷網(wǎng)絡(luò)推出的以業(yè)務(wù)為核心、面向下一代網(wǎng)絡(luò)的萬兆骨干路

由交換機，提供大容量、高密度、模塊化體系架構(gòu)，在提供穩(wěn)定、可靠、安全的高性能L2/L3

層交換服務(wù)基礎(chǔ)上，具有強大組播功能、基于策略的QOS、有效的安全管理機制和電信級

的高可靠設(shè)計，滿足現(xiàn)代網(wǎng)絡(luò)的多種業(yè)務(wù)承載融合和業(yè)務(wù)靈活分類、分流的組網(wǎng)需求?？梢?/p>

根據(jù)用戶的需求靈活配置，構(gòu)建彈性可擴展的現(xiàn)代IP網(wǎng)絡(luò)。

RG-S7600系列交換機為銳捷網(wǎng)絡(luò)的高端產(chǎn)品之一，強大的交換路由功能、安全智能技

術(shù)可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是小型網(wǎng)絡(luò)核心和大型

網(wǎng)絡(luò)骨干交換機的理想選擇。

RG-S7600系列交換機目前提供S7604（4槽）、S7606（6槽）、S761O0O槽）3款模

塊化產(chǎn)品，可以滿足不同規(guī)模企業(yè)不同網(wǎng)絡(luò)層次的應(yīng)用需求，同時這些模塊化機架式交換機

采用統(tǒng)一的硬件和軟件平臺，完全兼容的線卡，以及與銳捷面向十萬兆平臺的高端產(chǎn)品

RG-S8600/S9600相同的軟件版本，可以適應(yīng)不斷發(fā)展的企業(yè)網(wǎng)絡(luò)，充分保護用戶的投資。

7.1.2產(chǎn)品特性

1高安全保障措施

L1物理安全：

S7606提供冗余管理模塊、冗余電源模塊、各種模塊熱拔插等物理安全保障措施。

主機實時檢測CPU的使用狀態(tài)，并提供業(yè)界領(lǐng)先的硬件CPU保護技術(shù)（CPP,

CPUProtectPolicy）,CPP技術(shù)對發(fā)往CPU的數(shù)據(jù)進行流區(qū)分和流限速，避免非法攻擊包

對CPU的攻擊和資源消耗。

L2病毒和攻擊防護：

面對現(xiàn)在網(wǎng)絡(luò)環(huán)境越來越多的網(wǎng)絡(luò)病毒和攻擊威脅，RG-S7600系列交換機提供強大的

網(wǎng)絡(luò)病毒和攻擊防護能力。

提供業(yè)界最為強大的ACL特性，基于SPOH技術(shù)提供IP標(biāo)準(zhǔn)、IP擴展、MAC擴展、

時間、專家級等豐富的ACL技術(shù)，支持IPV4/IPV6雙棧下的輸入輸出ACLo

支持硬件防源IP地址欺騙、防DOS/DDOS攻擊，防IP掃描等功能，提供多端口同步

監(jiān)控技術(shù)，支持靈活的網(wǎng)絡(luò)監(jiān)控，提升網(wǎng)絡(luò)監(jiān)控能力。

1.3設(shè)備管理安全：

提供SSH的加密登陸和管理功能，避免管理信息明文傳輸引發(fā)的潛在威脅

TelneVWeb登錄的源IP限制功能，避免非法人員對網(wǎng)絡(luò)設(shè)備的管理

SNMPV3提供加密和鑒別功能：確保數(shù)據(jù)從合法的數(shù)據(jù)源發(fā)出（引擎ID）；確保數(shù)據(jù)

在傳輸過程中不被篡改（采用MD5和SHA認證協(xié)議）；加密報文，確保數(shù)據(jù)的機密性（采

用DES56加密協(xié)議)

1.4接入安全:

硬件支持IP、MAC、端口綁定，提高用戶接入控制能力。

支持802.1X技術(shù)，滿足6元素綁定接入限制

支持IGMP源端口檢查，可有效控制非法組播源，提高網(wǎng)絡(luò)安全。

IGMPV3支持宣告主機希望接收的多播源的地址，避免非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬

通過PVLAN隔離用戶之間信息互通，不必占用VLAN資源。

端口MAC地址鎖和端口MAC地址接入數(shù)量功能可以屏蔽非法主機的接入

動態(tài)ARP檢測(DAI):結(jié)合DHCPsnooping數(shù)據(jù)庫中，可對轉(zhuǎn)發(fā)的ARP報文進行安全

檢測,丟棄不合法的ARP報文，預(yù)防中間人攻擊

1.5豐富的應(yīng)用支持技術(shù)

提供完善的各種QOS技術(shù)

靈活的流分類：除了根據(jù)IPPrecedence、802.1P、DSCP進行流分類，還可以根據(jù)專

家級ACL、IP擴展ACL、IP標(biāo)準(zhǔn)ACL、MAC擴展ACL等進行流分類。

多種隊列技術(shù)：UrgentQueue>ProtocolQueue>硬件隊列、FIFO、PQ、CQ

擁塞管理和控制技術(shù)：SP、RR、WRR、DRR、SP+WRR、SP+DRR、CBQ、WFQ、

CBWFQ,LLQ、WRED、CAR、LR(ln\Out)>TrafficShaping(GTS)、HOL、RSVP等

提供多種組播支持技術(shù)，包括IGMPsnoopingJGMP,PIMCSSM,SM.DM),DVMRP,

保證了網(wǎng)絡(luò)中提供組播服務(wù)時的帶寬合理占用，同時提供支持IGMP源端口檢查、源IP檢

查、IGMP過濾功能等屏蔽非法組播源。

1.6IPv6的全面支持

支持多種IPv6的過渡技術(shù)，如雙棧、NAT-PT、手工隧道、GRE隧道、ISATAP、6to4

隧道等，利用這些過渡技術(shù)，可有效的滿足IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)的過渡

支持多種IPv6的路由技術(shù)，如靜態(tài)路由、等價路由、策略路由、OSPFV3、RIPng、

BGP4+、IS-ISV6等路由技術(shù)，滿足未來大規(guī)模IPv6網(wǎng)絡(luò)的部署

此外,還支持地址自動配置、ICMPv6、ICMPv6重定向、DHCPv6、ACLforIPV6.

TCP/UDPforipv6等大量IPv6的相關(guān)技術(shù)。

通過對IPv6全面的支持，在最大的限度上保護了用戶已有的投資，使得目前的IPv4

網(wǎng)絡(luò)也能夠平滑遷移到IPv6。同時，基于AISC的硬件IPv6轉(zhuǎn)發(fā)方式，能夠滿足未來網(wǎng)絡(luò)

大規(guī)模的IPv6應(yīng)用。

1.7ECMP/WCMP（Equal-CostMultipathRouting/Weight-Cost

MultipathRouting）

在擁有多條不同鏈路到達同一目的地址的網(wǎng)絡(luò)環(huán)境中，如果使用傳統(tǒng)的路由技術(shù)，發(fā)往

該目地址的數(shù)據(jù)包只能利用其中的一條鏈路，其它鏈路處于備份狀態(tài)或無效狀態(tài)，并且在動

態(tài)路由環(huán)境下相互的切換需要一定時間，而等值多路徑路由協(xié)議（ECMP）和權(quán)重多路徑路

由協(xié)議（WCMP）可以在該網(wǎng)絡(luò)環(huán)境下同時使用多條鏈路，不僅增加了傳輸帶寬，并且可

以無時延無丟包地備份失效鏈路的數(shù)據(jù)傳輸。

7.1.3產(chǎn)品技術(shù)參數(shù)

技術(shù)參數(shù)參數(shù)描述

產(chǎn)品型號RG-S7604

模塊插槽4個（1個用于管理引擎）

背板1T

交換容量432G

包轉(zhuǎn)發(fā)速率276Mpps

MAC地址64K

路由表項64K

802.lq4K

VLAN

L2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、EEE802.3ae>

IEEE802.3ak>IEEE802.3an、IEEE802.3x、IEEE802.3ad、IEEE802.1p>

IEEE802.1X、IEEE802.1Q、IEEEE802.1D、IEEEE802.1w、

IEEEE802.1S、RERP、SPAN>IGMPSnoopingvl/v2/v3、Jumbo

Frame(9Kbytes)>QinQ、GVRP、RLDP

L3協(xié)議BGP4、IS-IS、OSPFv2>RIPVKRIPV2、IGMPvl/v2/v3>DVMRP、

(IPV4)PIM-SSM/SM/DM、MBGP>LPMRouting、Policy-basedRouting、

Route-policy、ECMP、WCMP、VRRP

Ipv6協(xié)議靜態(tài)路由、等價路由、策略路由、ICMPv6、ICMPv6重定向、DHCPv6、

ACLv6、MLDvl/v2>PIM-SMv6>PIM-DMv6>PIM-SSMv6>OSPFV3、

RIPng、BGP4+、IS-ISv6、NAT-PT、TCP/UDPforipv6>SOCKETforipv6、

技術(shù)參數(shù)參數(shù)描述

產(chǎn)品型號RG-S7604

手工隧道、ISATAP、6to4隧道

QOSIPPrecedence>802.IP、DSCP>ACL流分類、UrgentQueue>>Protocol

Queue>硬件隊列、FIFO、PQ、CQ、SP、RR、WRR、DRR、SP+WRR、

SP+DRR、CBQ、WFQ、CBWFQ、LLQ、WRED、CAR、LR(In\Out)

TrafficShaping(GTS)、HOL、RSVP

專業(yè)安全技防DDOS攻擊、非法數(shù)據(jù)包檢測、數(shù)據(jù)加密、防源IP欺騙、防IP

術(shù)掃描

管理方式SNMPvl/v2/v3>Telnet>Console>WEB、RMON、SSHvl/v2>

FTP/TFTP、

其它協(xié)議CPP、SNTP、NTP、DHCPClient、DHCPRelay>DHCPServer、DNS

Client、UDPrelay>ARPProxy>Radius>Tacacs>Domain>VPN>Syslog

電源100VAC-240VAC,50Hz~60Hz,功率:480W

MTBF>200,000hours

溫度工作溫度：0℃到40℃

存儲溫度：-40℃到70℃

濕度工作濕度：10%到90%RH

存儲濕度：5%到95%RH

7.2匯聚交換機產(chǎn)品

7.2.1產(chǎn)品概述

RG-S5750系列是銳捷網(wǎng)絡(luò)推出的硬件支持IPv6的萬兆多層交換機。該系列產(chǎn)品為

IPv4網(wǎng)絡(luò)的建設(shè)、IPv4向IPv6網(wǎng)絡(luò)過渡、以及