学院HD校园网建设铺陈设计方案

华德学院校园网整体设计方案 第 页 华德学院网络中心 1 学院 园网建设铺陈设计方案 系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位，采用千兆以太网技术构建网络主干、支干线路。 展性 系统必须具有良好的可扩充性，在系统结构、系统容量与技术方案等方面必须具有升级换代的可能， 核心设备必须采用模块 化的结构，跟踪网络发展的前沿方向，符合网络的发展趋势并具有充分的扩展性 。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统。 性能 网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。 运营 为了让校园网能够良性、稳定、持续、健康的发展，并收回网络建设成本，学校或运营商需要对校园网进行运营，通过对上网的学生 用户收取一定的费用来达到“以网养网”的目的，并要求运营系统能够贴近校园用户的应用模式，方便维护和管理。 华德学院校园网整体设计方案 第 页 华德学院网络中心 2 范化和标准化 网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。 络建设目标 通过以上的网络建设原则，本次校园网建设要实现以下目标： 1) 东西校区各设一个千兆互联网出口，解决出口瓶颈问题； 2) 双出口 ,双核心 ,双链路实现东西校区的稳固互联，确保链 路的带宽及稳定性； 3) 东西校区可以根据需求达到不同区域使用不同的出口访问互联网； 4) 科学规划网络结构，合理配备核心层和汇聚层网络设备与端口，保证核心网络设备和线路适当冗余，优化接入层网络设备，建设千兆主干、百兆到桌面的高效校园网络； 5) 合理部署网络安全措施，建立有效的网络安全防范和响应机制，为网络安全管理提供在线监控、事后可查的技术手段，防止私设代理和盗用 址现象，提高网络安全性； 6) 建立全网统一管理系统，包含对网络用户、网络设备、网络安全的统一管理和配置；建立高效的网络性能监视与预警机制；同时建立配套的软硬件 平台。 7) 全面支持 平滑过度到 证设备的投资； 8) 建立全局化、智能化的安全体系，从接入层的基于端口的安全策略，到汇聚再到核心，病毒及非法网络行为进行监控和预制策略，预警功能。 9) 将学院的教工宿舍“金海花园”纳入校园网内，可以访问图书馆资源和中国期刊网等众多校内学术资源。 10) 学生宿舍联网并接入校园网内。 华德学院校园网整体设计方案 第 页 华德学院网络中心 3 德学院校园网整体设计方案 第 页 华德学院网络中心 4 网络设计 西校区互联网出口设计 本次设计，东西校区各设一个 1000M 互联网出口，我们电信网络，在怀化市内有自己的城域环网，保证这两个 1000M 互联网出口不是出自同一个模块局，确保出口线路冗余。 西校区互联的设计 由于目前学校东校区的网络中心还未建成，暂时将东西两个校园的核心设备放在西区的网络中心，东区的汇聚设备都通过两对光纤形成的双链路与两个核心互连。东区网络中心造成后东区设备转放东区网络中心机房。 络架构的设计 目前网络架构有单核心单链路、双核心双链路、二层架构、三层架构、四层架构等多种网络架构，结合学院的实际情况以及网络技术的发展，我们选择双核心双链路的架构，这样不仅在链路上确保网络稳定高效、在设备上也可实现稳定与高效；同时 选择三层架构： （ 1） 分流核心数据处理能力、降低核心路由交换压力； （ 2） 更好抑制广播风暴、提升网络性能； （ 3） 终结各 息、增强核心路由管理能力； （ 4） 网络层次结构更加完善、可汇总路由，降低核心路由表项； （ 5） 安全性更高，更强的预防和控制，对网络攻击、病毒和破坏尽量控制在边缘完成； （ 6） 扩展性更强、快速定位故障点、更易于管理； （ 7） 各接入层内部通讯量大，无需通过核心处理时（内部网络游戏等），采用三层结构更加合理； （ 8） 可靠性更强，可以通过汇聚层双链路上联双核心构成环状结构，全网架构更加健壮，提升网络高可用性。 华德学院校园网整体设计方案 第 页 华德学院网络中心 5 我们采用了接入堆叠小区 域汇聚核心这种双核心双链路的三层结构架构： 采用千兆可堆叠高性能网管交换机。交换机通过内部堆叠后上联片区汇聚节点。 1、 节省投资成本 2、 扩展灵活，通过增加堆叠组内交换机或增加堆叠组来扩展接入信息点。 3、 支持多种访问控制功能和 能，可灵活方便的控制楼栋内部之间的访问限制。 4、 减少网络层次架构，加速数据传输，提高网络数据转发性能。 5、 充分利用片区汇聚节点的高性能数据转发，高稳定可靠基础，对每个楼栋之间的控制，可以在片区汇聚节点连接各楼栋的千兆接口上实现，如访问控制，防 恶意 描等等，不影响数 据转发性能。 6、 楼栋内部各楼层之间的数据通过堆叠方式（千兆以上带宽）相互访问，加速内部访问和数据传输速度。 7、 环型冗余方式堆叠，没有单点故障和性能瓶颈。 8、 堆叠后多台设备会虚拟成一台设备进行管理，大大提高管理效率。 9、 千兆堆叠可网管交换机是目前高校网络建设主流使用的接入设备，因此在未来发展中设备延续使用性强。 架构缺点： 堆叠台数一般不超过 6 台，需要超过 6 台的地区增加新的堆叠组进行信息点扩展。双核心双链路的三层结构，具体如下图所示： 络安全设计 今天的网络安全正遭受严峻挑战。病毒、外部入侵（黑客）、拒绝 服务攻击、内部的误华德学院校园网整体设计方案 第 页 华德学院网络中心 6 用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安全。但与此同时，大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的攻击时，由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出，还会处处被动挨打。可以断言：面对复杂的安全隐患，这种“各自为战”的安全系统已彻底失去效力。 今天，网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转“各自为战”的被动局面，唯有用全局化、智能化的安全体系代替陈旧的安防措施。我公司采用了 2004 年 底，业界领先的网络设备及解决方案供应商锐捷网络率先发布了集自动防御（自御）、自动修复（自愈）与自动学习（自育）等三大自“ 能于一体的 调“多兵种协同作战”，将安全结构覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（用户 务器等），成为一个全局化的网络安全综合体系。在此基础上， 仅能够满足现阶段网络安全环境的需求，同时也为今后可能发生的安全威胁做出了准备。 总体而言， 全客户端、安全管理平台、用户认证系统、安全修复系统、 现同一网络环境下的全局联动，使网络中的每个设备都在 发挥着安全防护的 作用，构成“多兵种协同作战”的全新安全体系。 一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中，达到对网络安全威胁的自动防御，网络受损系统的自动修复，同时可针对网络环境的变化和新的网络行为自动学习，从而达到对未知网络安全事件的防范。 其基本原理和结构图如下： （图 1 华德学院校园网整体设计方案 第 页 华德学院网络中心 7 网络自动防御（自御） 面对复杂的网络安全行为， 最有效的防御策略即是将网络安全防御技术应用于在整个网络中，而不是在单点进行网络安全的防护部署。因为攻击源可能来自网络的任何一处，并能迅速的扩散到整个网络当中。 高了现有网络基础设施的安全防护能力，增强了终端用户的安全防护能力。 当接入网络的用户终端发生安全攻击事件时，安全管理平台（ 针对这一安全事件进行判断，以确认选择调用何种安全策略来处理。安全管理平台（ 自动把安全策略下发到安全事件发生的网络区域，安全策略的执行者可以是锐捷网络联动设备， 根据安全事件的等级由安全管理平台（ 断是否需要将安全策略同步到网络的区域中，以实现全网安全。同时，安全管理平台会把针对这次安全事件的处理情况通知给用户终端，使用户能够及时了解到网络安全环境的变化。通过这个流程，网络可以对已发生的安全行为进行完全自动化的防御措施，从而保证用户网络在受到威胁时可以迅速做出连动反应。 （图 2 网络自动修复（自愈） 随着网络连接点的不断增加，网络 遭遇攻击 的风险 也随之 增 加。一旦网络遭受攻击，所产生的严重后果不仅在于破坏本身，灾难之后的系统恢复和调试同样消耗了大量宝贵的时间和人力、财 力 。 愈）功能，即能够通过自动使受损系统得以恢复的方式为用户节约大量的 保证即使在系统不断遭受攻击时，网络的大部分华德学院校园网整体设计方案 第 页 华德学院网络中心 8 资源仍时刻处在正常使用状态下。 当用户终端接入网络时，系统会自动检测终端用户的安全状态，一旦检测到用户系统存在安全漏洞，安全管理平台（ 通过网络自动将受损用户从网络正常区域中隔离开来，被隔离的用户将被自动置于系统修复区域。此时用户终会根据安全管理平台提供的信息自动连接到 复期间系统会把受到访问控制的情况 通知用户。自动修复完成，系统会重新对用户系统进行评估，当用户系统安全评估完成以后，安全管理平台（ 通过允许用户进入网络继续工作。 （图 3 网络自动学习（自育） 在常规的网络安全防护方案中，判断一个网络是否产生安全事件的标准经常是某个网络行为符合了安全隐患的特征，从而将针对这个行为发生一连串的动作。但目前往往对网络产生最大威胁的是未知的网络行为对网络产生的危害，当遇到此类的攻击以后，一般的网络安全方案将无能为力。而在配备 境的变化不断调整和强化，有效协助网络管理员进行网络安全隐患的判断。 当网络中有新的网络访问行为时，该行为的相关信息会被网络联动设备有效捕获，并通过 理日志等方式通知管理员。同时 及时的捕获到网络的环境变化，一旦检测到网络流量异常，联动设备会自动截取网络流量报文进行分析，从而有效的阻断 这个网络访问行为产生的对应安全策略会自动匹配到系统当中。华德学院校园网整体设计方案 第 页 华德学院网络中心 9 在今后发生同样的网络访问行为时，系统就能自动调用相应的安全策略来处理，从而达到不断根据网络安全形势强化系统安全性的安 全策略自动学习功能。 （图 3 所以为了确保校区网络的安全，我们校区网络建设时采用 案来确保校区的网络安全。 络出口流量控制设计 目前越来越多的下载软件导致网络出口带宽严重不足，如现在的 件的使用造成了很多高校网络出口带宽的严重不足。 出现这样问题的原因是目前对 件没有一个很好的控制手段，如 件是大家比较认可的一个下载软件，但是过多的使用会造成出口瓶颈，而且 件现在使用的端口号不固定且没有特征码，所以想要对其限制也是一个比较头痛的问题。针对这样的问 题，我们认为对 件的使用最好的方式不是针对流量进行计费，而是一种针对 用的管理与控制手段 我公司结合目前我院的认证计费系统，对用户进行流量的控制，以控制由于用户过多使用 件下载造成出口带宽的不足的现象，具体如下： 华德学院校园网整体设计方案 第 页 华德学院网络中心 10 络管理设计 随着学校网络规模的不断扩大，现在不仅需要对网络设备进行集中统一的管理，同时还需要对用户进行集中统一的管理。 华德学院校园网整体设计方案 第 页 华德学院网络中心 11 络拓扑图 络设计说明 根据学院的实际情况， 并考虑到未来的发展趋势，需要建立一个统一的信息传输网络，满足数据、语音、视频、 图像、多媒体等相关教育信息的传输，可以实现计算机管理系统、办公自动化系统、多媒体教学系统、数字图书馆和上网访问（ 应用。为了保护投资，原有校园网部分我们依然采用原有设备和结构。 东西校区的互连 根据前文所述，东西校区的互连我们采用双链路光纤冗余互连，分别将东西校区的核心交换机进行互连，同时全校启用动态路由 方式，确保新老校区稳定可靠。 网络出口 网络出口采用 1000M 双出口，由于学校飞速发展，地域不断扩大，现在已经有两个校华德学院校园网整体设计方案 第 页 华德学院网络中心 12 区，为了使整个网络便于管理，合理规划出口，东校区用户上网的时 候信息是由东校区的出口出去，西校区用户上是通过西校区出口出去，如果任何一个出口出现问题，则用户将由另一个出口出去，确保出口的稳定和安全。 同时考虑到现有出口带宽基本都已被占满，主要是因为用户大量使用 件的原因，为了解决这个问题我们采用对用户进行流量控制，以防止用户大量使用 件造成网络出口带宽不足。 网络架构 为了能够实现骨干网络的稳定可靠，本次东西校区的网络建设我们选择双核心双链路的方式，即整个校园网采用双核心的方式，两台核心之间通过千兆单模光纤相连，同时每个区域的区域汇聚交换机通过双千兆单模光 纤上联到两台核心，而每个区域内的交换机通过千兆多模链路连接各个区域的区域汇聚交换机，为了便于布线，在每栋楼的接入层上，各个不同的楼层采用不同的堆叠组进行堆叠然后上联到区域的汇聚交换机。 而对于服务器群组来说，为了让用户提高访问效率的体验，我们单独采用一台服务器群组交换机，该交换机具有很强的扩展能力，并通过双千兆多模光纤与东西校区的两台核心交换机进行互联，并通过服务器群组交换机的 功能，可以使两条链路同时按照带宽的比例都传输数据，确保用户访问服务器时的高效。 网络安全 为了 能够更好地实现网络 安全方面的控制，确保校园网内的教学、科研数据和学生管理信息不被窃取和丢失，所有连接进网络的用户必须通过了身份的检查后才能访问网络内的数据， 而且各个系统运作时需要通过 分和物理路由相互隔离，和 接的出口也需要部署防火墙系统来实现安全保护，以保证网络内所有数据和信息的安全。 因为现有的网络安全事件已不是某一个产品或软件就能够解决的，而是需要所有网络设备进行有效的联动，一起抵御网络攻击和病毒对网络造成的影响。所以除了上述的安全保护外，同时为了进一步做到能够主动的对网络攻击、病毒的防范，以及 对未知网络病毒的学习和控制，实现网络设备及软件的有效联动，我们要在东西校区部署一整套安全体系，为学院网络提供更好的安全屏障。 网络高效、稳定性 由于网络中心 核心 设备 的稳定和安全性能是整个网络最重要的保障，因此 必须 要求核心交换机具有优良的性能和高可靠性 ，必须采用 超大交换容量的交换背板 ， 以保证任何情况下华德学院校园网整体设计方案 第 页 华德学院网络中心 13 网络的每个端口均可具备全线速多层交换能力， 能够保证 传输带宽和数据传输优化等关键应用 ， 从而为整个网络提供了稳定和快速的基础。 网络运营 为了能够更好的运营网络，使网络健康良性的发展，东西校区网络建设继续采用学校原有 的认证方式，这样同一套系统，不仅方便运营维护及提高工作效率，同时也可使我们无需花费更多的时间来熟悉和掌握新的系统。 网络管理 随着网络规模的不断扩大，应用越来越多，管理已不在是以前的那种单存对网络设备进行管理的年代，现在不仅要能够对设备进行集中统一的管理，同时还要能够对接入用户进行集中统一的管理，而且随着网络安全事件的不断增多，还需要一套能够对网络安全事件进行集中统一管理的软件，这样才能够确保网络管理的高效。 华德学院校园网整体设计方案 第 页 华德学院网络中心 14 心交换机选型说明 根据 学院校园网 建设的实际情况，需要在东西校区网络中心各部署一台核心交 换机，为了满足实际网络的需要和未来的升级扩展，该核心交换机要求：支持各种模块热插拔、支持多种千兆端口、支持链路聚合 持三层协议、较高的背板带宽和包转发率、硬件或 业务卡方式支持 证网络系统以后平滑升级）、支持三种生成树、种 组播协议的支持等。根据具体情况，我们准备采用锐捷新一代多业务万兆核心路由交换机 设备具体特点如下： 锐捷网络推出的基于 架的新一代多业务万兆核心路由交换机，拥有 6 个扩展 插槽， 保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。 业务万兆核心路由交换机 供 板带宽，能力，高达 428二 /三层包 转发 速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。 换机通过扩展高性能的多业务卡支持策略路由 、 业务功能，满足客户环境灵活而复杂的不同应用需求。 产品特性 强大数据处理设计（ 计） 交换、路由、 复杂功能通过硬件实现，避免了软件实现同样功能对数据高速处理的影响。 管理模块执行路由管理、网络管理、网络服务等任务，用户接口模块可以独立实现硬件路由、交换和组播功能；用户交换端口则独立实现硬件 能，同步式处理设计(计 )极大 地提高整机处理能力。 强大的扩展能力 业务万兆核心路由交换机 前提供 板带宽，在不更换机箱的情况下，未来仅通过更换管理模块可以支持背板带宽扩展到 业务万兆核心路由交换机通过 扩展高性能的多业务卡 ，可以支持策略路华德学院校园网整体设计方案 第 页 华德学院网络中心 15 由、 功能。 高安全保障措施 物理安全： 供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保 障措施。 病毒和攻击防护： 面对现在网络环境越来越多的网络病毒和攻击威胁， 供强大的网络病毒和攻击防护能力，不仅提供了基于 术的 能，而且还支持防源 址欺骗（ P 防 击（ 防扫描（ 能力。 提供多端口同步监控技术，支持灵活的网络监控，提升网络监控能力 设备管理安全： 为了避免非管理人员登陆并操纵网络设备，造成网络传输和安全的影响， 供了 密登陆功能， 以及 录的源 制功能。 接入安全： 硬件支持 口绑定，提高用户接入控制能力。 支持 术，满足 6 元素绑定接入限制 支持 端口检查，可有效控制非法组播源，提高网络安全。 通过 护端口）隔离用户之间信息互通，不必占用 源。 端口 址锁和端口 址接入数量功能可以屏蔽非法主机的接入 丰富的应用支持技术（ 播） 供多种流分类技术和多种 术，包括 ， 为各种应用的带宽保障提供需要的支持技术。 流分类 ：可以依据数据流的源 /目的 址、源 /目的三层 址、三层协议（ 四层协议（ 源 /目的四层协议端口号、 数据流进行区分，实现 2/3/4层的流分类功能。 数据标记 ： 二层协议，可以为数据提供 8 个级别的优先级标记； 三层的 议报文里进行优先级标记，可以提供 64 个级别的优先标记。 队列调度 ：严格优先级队列 证高优先级业务总是在低优先级业务之前处理； 先处理 高优先级，但在处理高优先级业务时，较低优先级的业务并没有被完全阻塞，而是按一定的比例同时进行。 加权公平队列，对所有的数据流进行排队，监控吞吐率，并根据发送的信息量分配权值。 图公平地为每个对话分华德学院校园网整体设计方案 第 页 华德学院网络中心 16 配带宽，保证低带宽应用可以获得对接口的访问权，而不会被高带宽应用全部占用。 拥塞控制 ： 权随机早期检测协议，可以设置各个数据流在拥塞发生之前自动丢失数据的阀值，避免较高优先级应用的拥塞丢失。 过消除 塞确保最高可能的吞吐量；最大限度地减少包丢失，减少多路传输和广播流量拥塞 承诺信息速 率： 以为重要的数据流设定固定的带宽，如果设定的带宽合理，满足该数据流的需求，就可以保证重要数据流的正常转发。 提供多种组播支持技术，包括 证了网络中提供组播服务时的带宽合理占用。 支持领先的万兆以太网技术（ 万兆以太网采用了 太网媒体访问控制（ 议、 太网帧格式，以及 的最大和最小尺寸。万兆以太网是以太网在速度和距离方面 的 进步，采用全双工技术，不需要应用低速的、半双工的 D 协议。在其他方面，万兆以太网保留了初期以太网模型的精髓 ，因而可以和现有以太网环境无缝融合，支持客户已有应用。 供目前主流的四种万兆局域网传输标准： 1010010种传输标准 在数据链路层以上都相同，差别在于物理层。10 10于传统的以太网环境， 10用光纤作为传输介质， 10用同轴铜缆作 为传输介质，而 10与 路、备一起运行，保护传统基础投资，使运营商能够在不同地区通过城域网提供端到端以太网。 10使用 分复用技术进行数据传输。 支持 持 允许对交换数据进行二次 识，外层标识用于创建 供链路选择，内层标识用于标识业务息，实现在以太网环境中的 决 了传统以太网环境无法提供数据传输安全控制的问题。 存在多条不同链路到达同一目的地址的网络环境中，如果使用传统的路由技术，发往该目地址的数据包只能利用其中的一条链路，其它链路处于备份状态或无效状态，并且在动态路由环境下相互的切换需要一定时间，而等值多路径路由协议和权重多路径路由协议可以在该网络环境下同时使用多条链路，不仅增加了传输带宽，并且可以无时延无丢包地备份失效链路的数据传输。 华德学院校园网整体设计方案 第 页 华德学院网络中心 17 最长匹配（ 层交换技术 在传统的 硬件三层交换机中采用“一次路由、多次交换”的路由技术，并且使用精确流匹配方式进行硬件三层转发 ， 大量耗费 源，并且占用大量的 硬件 存储资源。 最长匹配（ 层交换技术 可以解决传统方式“多次交换”中采用精确流匹配”而带来存储空间压力过大的问题。 最长匹配（ 术支持直连路由、静态路由、动态学习到的路由都直接以网段形式存储于硬件转发表，一个目的网段使用一个转发表项， 而不明目的网段 址的数据包直接通过硬件缺省路由转发。 因此， 术的 优 点 是 极大地节约存储空间，拥有硬件缺省路由，所以，病毒和攻击数据包可以通过硬件网段路由或缺省路由进行转发，不增加额外的硬件表项，避免了存储溢出问题，保障设备的正常运行。 支持完善的双核心技术 持包括 内的多种生成树协议以及虚拟路由协议 供完善的双核心保障技术。 技术参数 技术参数 块插槽 6 个（ 2 个用于管理引擎模块） 背板 扩展 交换容量 600G（ 擎） 包转发 速率 3： 428M（ 擎） 路由表项 256K K 议 3 协议 v1/v2/ M、 毒攻击 防护 全面的 源 址欺骗（ P 防 击（ 防扫描（ 管理方式 v1/v2/它协议 寸（长 x 宽x 高） 445 mm x 445mm x 980源 10040500功率 :1200W 200,000 德学院校园网整体设计方案 第 页 华德学院网络中心 18 温度 工作温度： 0 到 40 存储温度： 到 70 湿度 工作湿度 : 10% 到 90% 储湿度 : 5% 到 95% 型应用 可扩万兆的千兆 心网 利用 大的数据处理能力提供各分支机构的高速互连 利用多条光纤链路连接成网状，提供高度安全的网络连接 使用 由协议，配合 由协议，可以充分利用各链路并且提供实时的链路备份需求 通过简单地增加万兆模块可以平滑地升级到万兆 心网，保护用户投资 可扩万兆的千兆双核心网 通过两台 间的链路冗余备份和负载均衡（ 供安全可靠的网络构架 通过 富的安全保障技术提供一个全网概念的整体网络安全 通过策略路由功能支持多 口的负载均衡和冗余备份 通过简单地增加万兆模块可以平滑升级到万兆骨干网，保护用户投资 务器群组交换机选型说明 学院现在的服务器群组都是在连接在一台 100M 傻瓜式二层交换机上的。已不能适用新的网络应用需求，需要在网络中心部署一台服务器群组交换机，为了满足实际网络的需要和未来的升级扩展，该核心交换机要求：支持万兆扩展端口、千兆端口、支持链路聚合 支持三层协议、较高的背板带宽和包转发率、支持三种生成树、支持 种 组播协议的支持等 。根据具体情况，我们采用锐捷安全智能万兆多层交换机2设备具体特点如下： 列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。 该系列交换机接口形式和组合非常灵活，可提供 24 个 10/100/1000M 自适应的千兆电口，和灵活复用的高密度千兆 纤连接，满足网络建设中不同介质的连接需要，同时为满足网络的弹性扩 展，和高带宽传输需要，可灵活弹性扩展多种类型的万兆模块。 特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心华德学院校园网整体设计方案 第 页 华德学院网络中心 19 服务器接入的使用。 该系列交换机硬件支持多层线速交换，并提供了丰富而完善的路由协议，以适合大型网络多种路由和高性能的需要。 列交换机提供二到七层的智能的业务流分类、完善的服务质量（ 证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理使 用网络资源，充分保障网络安全、网络合理化使用和运营，并可以根据网络实际使用环境，实施灵活多样的安全控制策略。 列交换机以极高的性价比为大型网络汇聚和中型网络核心提供了多层交换、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网需求。 产品特性： 高性能多层交换 高背板带宽为所有的端口提供非阻塞性能； 丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要； 基于 件路由转发方式使得 列不仅适用于大型网络环境，而且可防御各种网络病毒的侵袭，保障所有报文的线速转发，有效保证了设备的安全性； 硬件支持多层线速交换，能够识别二到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。 灵活完备的安全控制 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防 击、防黑客 描机制等，还网络一片绿色； 硬件实现端口与 址和用户 址的灵活绑定，严格限定端口上的用户接入 ; 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用 基于 源 址控制的 备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备； 基于端口速率百分比和基于速率 广播风暴抑制功能，确保网络稳定安全； 华德学院校园网整体设计方案 第 页 华德学院网络中心 20 以通过在 程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备； 控制非法用户使用网络，保证合法用户合理化使用网络，如端口安全、端口隔离、专家级 间 于数据流的带宽限速、六元素绑定等等，满足企业网、校园网加强对访问者进行控制、限制非 授权用户通信的需求。 丰富的组播特性 支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进行大量多播服务的环境，实现网络的可扩展和多业务应用； 支持 端口和源 查功能，有效地杜绝非法的组播源，提高网络的安全性； 支持 v2/部版本，适应不同组播环境，满足组播安全应用的需要。 完善的 略 以 准为核心的 障系统，支持 到七层流过滤、完整的 略，实现基于全网系统多业务的 辑； 具备 、 、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级、流量管理，流量整形等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供流量限速千兆端口粒度达 64兆端口粒度达 1 高可靠性 支持生成树协议 全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率； 支持 拟路由器冗余协议，有效保障网络稳定； 支持锐捷网络的可选冗余电源系统 为 列设备提供卓越的电源冗余，提高容错能力和网络正常运行时间。 方便易用易管理 灵活复用的多种千兆形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择； 为满足网络灵活弹性扩展和高带宽传输需要，简单选配多种类型的万兆模块，网络即可平滑升级到万兆上链骨干； 华德学院校园网整体设计方案 第 页 华德学院网络中心 21 简单网络时间协议（ 证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理； 便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理； 多端口同步 监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率； 面，方便高级用户配置和使用；可提供 多种加载升级方式，方便用户使用； 理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。 技术参数： 产品型号 2定端口 24 端口 10/100/1000M 自适应端口， 12 个复用的 口， 2 个扩展槽 可用模块 口 1000换模块（ 口）； 口 1000换模块（ 口）； 口 1000换模块（ 口）， 50 口 1000换模块（ 口）， 80 端口 口万兆转接板 1 端口 口万兆转接板 万兆光纤接口模块（ 300 米），配合 接板使用 万兆光纤 口模块（ 10 公里），配合 接板使用 万兆光纤 口模块（ 40 公里），配合 接板使用 万兆光纤 口模块（ 300 米），配合 接板使用 万兆光纤 口模块（ 10 公里），配合 接板使用 万兆光纤 口模块（ 40 公里），配合 接板使用 背板 240转发速率 速（ 66 速（ 66 6K K 准 于 址的硬件 华德学院校园网整体设计方案 第 页 华德学院网络中心 22 扩展 于 址、 口号的硬件 展 于源 址、目的 址和可选的以太网类型的硬件 基于时间 专家级 可同时 基于 、 以太网类型、 址、 址、 议类型、时间等灵活组合的硬件 议 v1/v2/持 P 持 议 M/ v2/理协议 v2/ ,2,3,9)、集群、 它协议 持 尺寸（长 宽 高） 440 43544电源 1766480度 工作温度 : 0C 到 40C 存储温度 : 70C 湿度 工作湿度 : 10% 到 90% 储湿度 : 5% 到 90% 域汇聚交换机选型说明 根据 学院 实际情况，为了满足实际网络环境的需要，区域汇聚交换机都要求： 支持千兆端口、支持链路聚合 持三层协议、较高的背板带宽和包转发率、支持三种生成树、支持 种 组播协议的支持等 。我们采用锐捷全千兆智能多层交换机 2区域汇聚 ，该设备具体特点如下： 一款线速全千兆智能多层交换机，能提供多 槽，最多可提供 24 个 槽， 槽支持千兆铜缆、光纤扩展模块 ，支持模块热插拔，极大方便用户灵活配置网络。 该系列交换机硬件支持 2 至 4 层的多层线速交换，提供二到七层的智能的流分类和和华德学院校园网整体设计方案 第 页 华德学院网络中心 23 完善的服务质量（ 及 组播管理特性 ，支持完善的高性能路由协议，并可以实施 灵活多样的 问控制 策略。可通过 等多种方式提供丰富的管理。 极高的性价比为各类型网络提供线速多层交换、完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。 产品特性： 高性能多层交换 72G 背板带 宽为所有的端口提供非阻塞性能； 硬件支持多层线速交换， 能够识别、处理四层以上的应用业务流， 所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。 完备的安全控制 具