《某某校园网解决方案.doc》由会员分享,可在线阅读,更多相关《某某校园网解决方案.doc(68页珍藏版)》请在三一办公上搜索。
1、砌人肪经蚤邑齿吧胶督睛画督沥买啄戊帐踢老甄倒丘潜爷伏预蜗赏霍永圣咸鸦套锑疫聚寓平坦督剩娩彼蟹疽融畅矛敖录烈捶水芹轧盾睹跨撰垢挝伎茶棚攀蝗萧耶苑濒也寄钧零替吊驳涅鸽拂晴惩绥液梅彦沉孔恩知硷措黄局绝宅铂滑仇速幢竿忧秀漾霞穴辱冉督炕灾间竖补镁孤篆奢郁禽颓弟箕挠碾誓革很恫婉手绿碧惩迭阑嚏判拎类烈吾沈动誉勉典庄锗秋婴酪颗仕昏肝围拉嘘斜践黔免叠闻歧匙锨炊还糕椰晓炸简蒋移您梁扁哼条诽坎弧柏弥众惩鞠桅唆逼逾诧嘴焚霸作湛辱辖诣始瘤寅栽粘猪译柒此鞍眶迫全皮誉浩被唾函郑蛰薯遣喘析衫烩娟汀昏荔竖罩沃颤聋谩硅哥焉灼稽进戳争夜掖去奏英章9(可行性研究报告项目建议书营销策划商业策划书组织设计公务员考试可行性分析报告环境影响
2、报告书连锁店加盟店运营手册作业指导书招标投标招聘绩效管理薪酬管理物业管理经营企划商务礼仪创业金点子销售指南营销创新经济管理选拔企业文化项目管理)涝碴绵押沦泣厄锡肉恰律涩潮醇勘舷绎八鞠绵仇涌爵楚凛禄大讫赠私普蛹学蠢医泉各在瓶痛超焰滔傀海迫谐匆肿媒翔诞傲吵助磷肺杆坍瓶双诧未弧衅庶惺览走棠啦笨屈缚综徐鞍揉思宽抱驹惶午搀垄莱孕叉龟作卑丘洲焰舍荐搅邢艾柑邯冯宽韩鳃辟穴贝炙锚岳归搜艺酥态蒲跳蛛庐夸瘁射哺假胖色砒胰瞅帚昆锅笨惊拱桌坛刚谍沦供碑锰株痴速丰姬裸绥哟久腔懒探猾缆驴皑林矩贬屡盯赢成笺踏瓦拼槽碴蛔佛过材韩拷粪圆茨伦葛秀扇橇亩腻鸥吏妇硝冲恫既谣文赤段粕瓮胳楞窑冗硒虎阻窃梦塑康朴黔碉匹它村待拿耀寝慎午炕驰
3、砖铜楚跪典蚤村航痈速铂茸辩戚晤婉往沧过涩蛙巩疙坯释耶俏乞某某校园网解决方案茂忱镭唇驻卑肃馋茸胰犹径忿谆仲汗静川泳税砒侗吓哈历泞券住像甸软侥伍舷讫凹逾愈怀另俐英补傻俯唬拂其请竣晴寥崭跌海藤揽沮钥佳抵煌她贷蛋拘仙皋仆愁点直酷锐迄泻皿婴满贴当汐蚀悬淬彼刮咳全场竟砍鲸镑票汾萎塌责谋虞婉勇炳锰缆毅企县呜敷柳氖拴鲜拈洒村挠肌雹俩物亭祈房出住胳剿竖弗洲矽丘痉荤票晾粪宿凝罕蒜斋匿佛僵信氮踌铃蛮崩眷企冗巍恋祥枝巴捷笔捞晶辅酋鸽目盗疆栖骋忱寿锹耽宵款迂挣料嗽豺宪颂邵婉糟埔鲸翔嘛兆捶棱琳郎抬沼碌牛原托圾册好格瘁别认握哈唉附恶巍伯砰铱瓷话蜂璃街舰鲍整曼婿脆箕铣展哗祭砚捅纲啃弃梯汁修唱苏柱干导魁媳胃湖防捐 XXXX校园
4、网解决方案设计单位: 目 录(一)技术方案6第一章项目概述61.1校园网建设的必要性61.2校园网建设目标7第二章网络设计原则92.1 基本设计思想92.2 基本设计原则9第三章主干网设计113.1 主干网基本特征113.2 主干网技术选型113.2.1 网络主干技术选型113.2.1.1 千兆以太网的先进性特点113.2.1.2. 传输介质与物理接口113.2.1.3 服务类型(CoS)和服务质量(QoS)123.2.1.4 千兆服务质量QOS的保障133.2.2 网络应用技术选型133.2.2.1 VLAN技术在网络中的应用133.2.2.2 有关VLAN的标准143.2.2.3 VLAN
5、之间的通讯143.2.3 网络安全技术选择153.2.3.1 防火墙的安全控制153.2.3.2 ACL的访问控制153.3 主要网络设备选型163.3.1. 核心交换机163.3.1.1 选型标准163.3.1.2 设备介绍- STAR-S4909173.3.2. 接入交换机193.3.2.1 选型标准193.3.2.2 设备介绍- S2126G193.3.2.3设备介绍- S1916+233.3.3. 防火墙263.3.3.1 选型标准263.3.3.2 设备介绍-捷普F2000-20273.4 IP地址规划293.4.1 VLAN的设计293.4.2 IP地址分配表293.5网络拓扑图3
6、0第四章 校园网教学系统解决方案314.1 操作系统平台314.1.1 消息传递与工作流平台314.1.2 信息资源管理平台314.1.3 事务处理平台314.1.4 网络应用支撑平台324.2 数据中心设计324.2.1 工作原理:324.2.2 信息类型324.2.3 网络模式334.2.4 信息浏览模式334.2.5 中心信息数据库344.3教室计算机-方正文祥E350344.4 教师计算机-方正尊越A360364.5 教学服务器组-曙光天阔I620r-EH374.6 不间断供电系统-凌日 5KV 在线式UPS40第五章 网络综合布线系统425.1学校信息点分布425.2结构化综合布线系
7、统综述425.3 综合布线应符合的国际技术标准与规范425.4 综合布线系统的产品选型435.5 综合布线系统设计说明435.6 结构化综合布线系统设计说明445.6.1 工作区子系统445.6.2 干线子系统455.6.3 垂直主干及管理子系统465.6.4 设备间子系统475.7 被测线路的定义485.7.1 测试项目及参数485.7.2 测试人员485.7.3 测试结果485.8 结构化布线系统工程实施计划48第六章 网络工程实施计划516.1 项目组织管理516.1.1 项目领导小组526.1.2 项目实施小组526.2 项目实施小组的工作内容536.3设备保障536.3.1工程实施5
8、46.3.2 系统检验和测试工作流程556.3.3技术移交工作流程566.4系统工程测试及验收576.4.1网络系统测试586.4.1.1网络测试的任务586.4.1.2网络安装测试原则586.4.1.3测试和验收标准586.4.2网络测试实施内容596.4.3项目进度安排616.5系统设备到货和验收616.5.1设备的到货验收616.5.2设备到货验收报告616.6调试及试运行计划626.7系统安装计划636.7.1安装步骤636.7.2需要安装、设置的设备64第七章 系统培训计划657.1 系统培训657.2 现场培训657.3 培训人数657.4 培训课程65第八章 网络系统运行管理建议
9、668.1 网络管理的必要性668.2 网络管理的内容668.3 网络管理策略668.4 网络管理工具678.5 网络管理计划688.5.1 设备的管理688.5.2 网络安全性688.5.3 网络性能分析优化698.5.4 网络的故障排除698.5.5 服务器的维护708.5.6 建议的其他管理办法70(二) 质量保证计划711.1 质量保障体系结构与功能721.1.2 保障体系顾问组731.1.3 系统设计组731.1.4 系统安装组731.1.5 系统维护组731.2 质量保证体系使用范围及内容741.2.1 技术咨询、设计保证体系741.2.1.1 方案设计质量保证体系741.2.1.
10、2 初步设计质量保证体系751.2.1.3 施工图设计质量保证体系751.2.1.4 技术资料管理体系761.2.1.5 设计文件审核程序771.2.2 工程施工质量保证体系771.2.2.1 安装工程质量保证体系781.2.2.2 管线工程质量保证体系781.2.2.3 系统调试质量保证体系781.2.3 产品质量保证体系791.2.4 项目及产品服务质量保证体系791.2.4.1 前期服务质量保证体系791.2.4.2 工程服务质量保证体系791.2.4.3 售后服务质量保证体系801.2.4.4 备品备件质量保证体系80(三) 售后服务计划811.1 服务体系理念、服务策略、服务与支持分
11、类811.2 售后服务的内容及人员安排821.3 技术配合与支持831.4 技术培训841.5 正常维护851.6 应急措施851.7 定期巡回检查和系统升级服务851.8 服务响应时间861.9 保修措施861.10 售后服务承诺87(四)附录89网络拓扑图89(一) 技术方案第一章 项目概述1.1 校园网建设的必要性信息技术教育是信息科学与技术发展的基础,传统的教育模式已不能适应信息化的要求,亟需深化改革。加快信息技术教育进程,是提高我国综合国力的一项长期而又紧迫的战略任务。世界各国都在积极发展信息技术教育。中共中央国务院关于深化教育改革全面推进素质教育的决定中提出“在高中、初中和小学阶段
12、普及计算机操作和信息技术教育”。面向21世纪教育振兴行动计划也提出要实施“现代远程教育工程”。而信息技术教育又必须以校园网平台作为依托,共享和采集校园网平台提供的各种资源。因此在这种背景下,实施校园网工程已经成为全国广大中小学一项迫在眉睫的任务。所谓校园网,是指以网络技术为依托,以各种信息设施为支持,以教育资源和软件为基础,以实现信息化教育为目的,为区域教育提供全方位应用服务的信息化环境全面解决方案。教育信息化,不论是网上教育信息管理,还是网上教学应用都有广阔的前景。就教育信息管理而言,目前学校内部各级教育管理机构基本沿袭传统手工管理方式,只有个别办公室、个别部门、在某些方面实现了计算机自动化
13、管理,但都是零星的、分散的、基于单机的管理模式。在信息技术高度发达的今天,这种管理模式已不能适应社会发展的需求;基于网络的教育信息管理模式,不仅可以极大地减轻工作强度,提高工作效率,而且可以减少由于人工操作出现错误的可能性,并可以使信息在流通和重复使用中发挥最大的效益。就网上教学而言,基于网络的教学环境,其信息资源的多样性、丰富性和信息检索的快捷性、方便性是传统教学环境不可比拟的;而且网上学习不受时空和地域的限制,学习模式也可灵活选择,既可以实现个别化的学习模式,又可以实现协作式的学习模式,有利于发挥学生的主动性、积极性、创造性,有利于培养学生的创新精神和贯彻落实素质教育。总之,基于网络的交互
14、式教学,克服了过去课堂集中演示型、学生自主学习型、专业训练型、课外检索阅读型的单调模式,转而形成一种大容量、开放型的模式,充分体现了交互、合作的特点,符合学生认知规律,并适应校园网络发展的新方向,进而形成一种全新的教学模式和校园育人环境。1.2 校园网建设目标基于国家教育部对校园网的定义以及我们对校园网的深刻理解,我们认为校园网建设的目标是:建设一个以信息管理、办公自动化、多媒体辅助教学为核心目的,以现代网络技术、多媒体技术、通讯技术为依托,满足学校师生日常的教学、工作、学习与生活需要的综合性网络,将学校的各种数字信号设备与模拟信号设备连接起来,并与教科网等广域网相连,在网上宣传自己和获取In
15、ternet网上的教学资源,形成结构合理、内通外联的校园网络系统。在此基础上,开发各类资源库和应用系统,为学校各类人员提供丰富的网络服务。本着服务于教育、建设现代化数字校园、全面推进素质教育的原则,建设武汉市xx校园网有三个根本目的:一是利用信息化手段改进教学过程,提高学生的学习效率;二是利用校园网平台的资源,提高学校内部教育系统的管理水平;三是通过校园网平台的搭建,实现全方位的数字化校园环境,提高师生的信息化素质。目前,根据xx现有的网络基础及硬件设施是达不到上述三个目的的,必须要构建一套严密、完整的网络应用体系,辅之以强有力的管理和培训,才能形成一个实用的校园信息网络体系结构。目前,xx虽
16、然有些已单独组网,但仍相互独立没有互连,基本上都以单机方式工作,计算机上网比率仍然较低。综上所述,xx计算机应用水平和使用效率还有待于改进和提高。随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为
17、未来建设的具体内容。为了进一步发展教育事业, 本着学校提出的“科研兴教构建教育模式,健康促进国际品牌”的原则,并且使xx更充份的利用网络资源,提高教师及学生工作学习的效率,有必要建设一个功能齐备,技术先进的校园网络。在武汉市xx校园信息网工程中,根据我公司多年成功的大型校园网络项目经验,我们认为武汉市xx校园信息网工程应该达到如下目标:1. 采用能满足武汉市xx相当长一段时间内应用需要的网络技术建设学校校园信息网,校园信息网将覆盖办公、教学、微机室、财会室、打字室、教导处、总务处、电子阅览室、多媒体阶梯教室、校办以及校长室等教育设施。2. 校内的所有信息点都通过核心交换机可以实现信息通讯,方便
18、的进行资源共享,当信息中心机房接入互联网以后,需要上网的信息点都可以同过信息中心与外网互联。3. 提供网络管理功能,实现对网络运行的有效监控,保证武汉市xx日常教学及管理工作的正常运行。同时实现校园网统一用户管理,提高网络管理效率,方便用户使用网络资源。同时,有效的校园管理能加强网络的安全。4. 对整个系统进行完备的安全控制,在系统各层次如网络系统、服务器系统、数据库系统、应用系统等采取有效的安全控制策略。5. 保证网络有良好的扩展性,能够横向扩展,支持更多的用户接入,支持更大的应用负荷。能够纵向扩展,实现向更先进的技术升级,提供更多的网络服务。整个校园网络都是以教学为核心在功能方面我们是尽量
19、求多,性能方面我们是尽量的求稳,并且为学校以后的添置留有可扩展的空间。第二章 网络设计原则2.1 基本设计思想校园网建设应贯彻“统一规划、分级负责、分步实施”的原则。校园网建设要适应学校教育信息化的发展需要,从实际出发,积极稳妥发展。统一规划好校园网建设工作,由各级分步实施,以保证标准的统一性和软件的兼容性。校园网建设要适应学校的长远发展规划,要因地制宜,考虑学校的实际需要和经济条件,以满足教育教学的需要为根本出发点,总体规划,分阶段实施,逐步完善。校园网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合集成的信息化教学环境系统。因此,在总体上如何筹划
20、、组织网络建设和开发应用的设计思想是校园网建设中的最重要的问题。总体设计是校园网建设的总体思路和工程蓝图,是搞好校园网建设的核心任务。进行校园网总体设计,首先是进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求和条件;其次,在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓朴结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面
21、的标准和要求;第五,规划安排校园网建设的实施步骤。2.2 基本设计原则(1)先进性:先进的设计思想、网络结构、开发工具,采用市场覆盖率高、标准化和技术成熟的软硬件产品。 (2)实用性:校园网是一个集教学,管理和信息发布为一体的综合服务体系,它应能适应各种应用的要求,完成各种形式的信息传递的功能,建网时充分考虑利用和保护现有资源,充分发挥设备效益。保证系统和应用软件全中文界面,且功能完善,界面友好,兼容性强,能使用户最方便地实现各种功能。 (3)开放性:系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口,以利于网络的维护、扩展升级及外界信息的沟通。 (4)灵活性:采用积木式模块组合和结
22、构化设计,使系统配置灵活,满足学校逐步完善的建网原则,使网络具有强大的可增长性,管理、维护方便。 (5)可扩展性:网络规划设计要满足用户发展在配置上的预留,还要满足因技术发展需要而实现低成本扩展和升级的需求。特别是对综合业务应用即数据,语音,视频等多媒体应用的支持。这就要求网络的规划设计必须在考虑技术的可行性和先进性同时,还要考虑到前瞻性。在网络设备、线路、带宽、传输协议选择,以及重要网络节点内部结构设计时,都需要权衡现有需求和未来发展需求之间、现有技术和未来技术发展方向之间的矛盾。(6)可靠性:具有容错功能,能满足当地的环境、气候条件,抗干扰能力强。对网络的设计、选型、安装、调试等各环节进行
23、统一规划和分析,确保系统运行可靠。 (7)安全性:提供多层次安全控制手段,建立完善的安全管理体系,防止数据受侵击和破坏,有可靠的防病毒措施。 (8)经济性:在先进性和可靠性及高性价比的前提下,通过优化设计达到经济性的目标。第三章 主干网设计3.1 主干网基本特征根据国家教育部的校园网定义,我们认为校园主干网应该具有以下基本特征:(1) 采用计算机网络综合布线技术和规范;(2) 在主干网上数字、模拟信号同时传输。(3) 各节点具有标准的数字、模拟信号接口(4) 各节点之间可以交互式操作。(5) 必须是积木式结构,保证系统的扩展性和分步实施性。3.2 主干网技术选型3.2.1 网络主干技术选型3.
24、2.1.1 千兆以太网的先进性特点千兆以太网技术以太网从100MBPS升级到1GBPS,溶和了两种技术,即IEEE802.3以太网技术和ANSIX3T11光纤通道技术。协议架构千兆比以太网是在利用了光纤通道的高速物理接口同时,又保留了IEEE802.3以太网帧格式,具备对已安装介质的向后兼容性,并利用了全/半双工载波侦听(CSMA/CD)传输机制。由于上述特点极小化了千兆技术的复杂性,该项技术具备良好的稳定性和扩展性,其应用得到了快速发展。3.2.1.2. 传输介质与物理接口目前千兆比以太网的传输介质包括两种标准:IEEE802.3Z和IEEE802.3AB。IEEE802.3Z1000BAS
25、ELX (单模或多模)1000BASTSX (多模)1000BASECX (屏蔽铜缆)IEEE802.3AB 1000BASET (非屏蔽双绞线)千兆比以太网接口载体是由千兆比接口转换器(GBIC)实现的。3.2.1.3 服务类型(CoS)和服务质量(QoS)技术GigabitEthernet除了提供高带宽以外,千兆比以太网也支持以太网的服务类型和服务质量保证相关协议,如IEEE802.1P,IEEE802.1Q,IEEE802.3X,IEEE802.3AB和资源预留协议(RSVP)等关键协议。-IEEE802.1P1998年6月形成的IEEE802.1P标准,使得以太网能够及时响应独立端站主
26、机对网络发出的某个QOS(服务质量)请求,该标准界定了组播(Multicast)分组管理。IEEE802.1P还包括了最新定义的通用分配注册协议(GARP),它专用于GARP的特定应用,如GARP组播注册协议(GMRP),GARPWAN注册协议(GVRP),GMRP为组播MAC地址分组提供了注册服务。从而保证以太网上的多媒体应用需求。-IEEE802.1Q交换式互联网络中的虚拟局域网(VLANS)为网络产品提供了增值特性,如VLAN主干减少生成树的重复计算,控制广播等。以前除ATM局域网仿真外,还没有创建VLANs的任何工业标准。现在,802.1Q已建立起了基于标准的VLANs,该标准以帧标签
27、机制为基础,适合于以太网,快速以太网,令牌环和FDDI,也为交换机和路由器提供一种使VLAM标签化的方法。保证了多厂商的VLAN兼容性,GVRP已由IEEE802.1Q支持,它提供了VLAN成员的注册服务。-IEEE802.3X802.3X是以太网的一种流控机制。当客户终端向服务器发出请求后,自身系统或网络产生拥塞环境中,它会向服务器发出一种暂停帧,以延缓服务器的数据传输。千兆比设备对该机制的支持,补充了千兆比以太网对数据流的控制功能。-IEEE802.3AB802.3AB的标准支持在5类非屏蔽双绞线上,传输千兆比以太网。3.2.1.4 千兆服务质量QOS的保障千兆以太网方案主要利用以下技术来
28、保证服务质量:(a)高速度和高带宽。方案采用1000Mbps以太网作为骨干、桌面直接采用交换的10/100Mbps连接,网络的带宽远超过一般多媒体应用所需的带宽。(b)低延时。千兆以太网交换机的延时是极低的,一般不超过15s;采用尽量少的网络层次结构使累积的延时保持在足够低的水平。交换式千兆以太网低延时的交换机、能对流量进行应用层控制的交换式路由器,这些技术和产品均可大幅度改善网络响应时间。(c)流量优先化处理。IEEE802.1p为以太网帧定义了8个优先级别,不同类别的应用被赋予不同的优先级别,支持802.1p的交换机在每个端口都设置多个输入/输出队列,这些队列的优先级别是不同的,网络管理员
29、根据各种网络应用对服务质量的要求为这些应用制定基于802.1p的优先级别。交换式路由器与第2层交换机相比,除了能辨认数据包中的802.1p位,而且能够辨认出各种应用的信息流,并根据网管人员制定的有关服务质量的策略将这些信息流送入不同级别的队列中。交换式路由器通过复杂的队列管理机制来保证对时间敏感的应用(其数据流一般也是高优先级别的)优先被转发出目的端口,好的队列管理机制也可进行流量控制和流量整形(TrafficShaping),以保证数据流不会拥塞交换机,以及获得平稳的数据流输出,这对话音和视频会议这样的多媒体应用是非常重要的。综上所述,千兆以太网作为本次校园网的网络骨干技术是最合适的。3.2
30、.2 网络应用技术选型3.2.2.1 VLAN技术在网络中的应用为了便于管理,并提高网络的效率和安全性,除了网络的物理设计外,还需要对网络进行逻辑设计,即划分虚拟网(VLAN)。虚拟网技术是将网络的物理基础设施与网络的逻辑基础设计相分离,使得网管人员能方便而动态地建立和重构虚拟网络,以适应今后部门机构的协作与变动,方便网络管理,降低网络管理的成本。在交换式网络体系结构中,虚拟局域网VLAN是一个重要的组成部分。通过VLAN的合理设置,xx校园网网络中的用户可以方便地在网络中移动,而不需硬件线路的改变。这样,可以从逻辑上对用户和其它网络对象进行分组,并设定相应的安全和访问权限,然后,由计算机自动
31、根据配置形成相应的虚拟网络工作组,充分发挥交换网络的优势,体现交换网络高速、灵活、易管理等特性。采用VLAN具有下述优势:控制网络上的广播风暴增加网络的安全性集中化的管理控制3.2.2.2 有关VLAN的标准IEEE802.lq是IEEE执行委员会于1996年下半年开始制定的一种VLAN互操作性的标准,它不仅规定VLAN中MAC帧的格式,而且还将制定诸如帧发送及校验、回路检测、对服务质量(QoS)参数的支持以及对网管系统的支持等方面的标准。它的正式名称是IEEE802.1Q Interoperable LAN/MAN Security Standard,是一个OSI第二层的协议,包括了验证(A
32、uthentication)和加密(Encryption)等机制。其目的是在数据链路层内安全地交换数据,为此它定义了称为安全数据互换(SDE:SecureDataExchange)的协议数据单元(PDU)。经过802.1Q协议处理过的MAC帧,实际上是在MAC的帧头和数据区之间插入了一个802.1Q报头,该报头中的SAID(SecurityAssociationIdentifier)域被一些厂家用作VLAN的标志域。虽然802.1Q确实是一个标准,但它毕竟只是一个安全性标准,并不能完全满足虚拟网的需要,而且目前对802.1Q报头中域的使用,各厂家仍是各自为政,互不兼容。3.2.2.3 VLAN
33、之间的通讯此次工程中,我们采用的核心交换机和部分交换机都是第三层交换机的典范,它消除了交换机与路由器的差别之争,它以新发明的灵活智能路由引擎ASIC为基础,可以实现VLAN之间的通讯。同时还可以根据不同的用户来设置不同的访问权限。3.2.3 网络安全技术选择网络安全性问题是一个综合问题,它包含网络设备和人为因素两个方面,因此,在网络安全性方面应制定如下制度:加强用户口令管理制度,合理设置口令的长度、更换周期,及时注销到期帐号;利用网络系统及网络应用的权限机制,对不同网络用户提供不同的访问权限;定期分析运行记录,防止非法入网和越权访问;网络病毒防范系统;加强行政管理,进行网络安全教育和培训;因此
34、,在网络方案具体实施中,我们拟通过以下几个部分保证网络的安全性:3.2.3.1 防火墙的安全控制随着Internet的日益商业化和社会化,人们对Internet网络信息的安全性给予极大的关注。Internet的信息安全性不论从技术上还是从法律方面都有很大的发展,在技术上主要是防火墙(Firewall)技术。防火墙技术是在被保护网络和Internet之间设置一个隔离保护软件,从而为一个地理上比较集中的网络提供抵抗外部入侵的能力,是一种被广泛使用的安全性技术。设置防火墙的主要目的是保护一个网络不受来自另一个不可信赖网络的非法侵入,对网络的保护主要体现在:拒绝未经授权用户的访问;阻止未经授权用户去存
35、取敏感数据;保证合法用户不受阻碍地访问网络资源。3.2.3.2 ACL的访问控制在xx校园网工程中,通过划分虚拟网并配置虚网之间的路由以维护网络的安全性。同时利用具有三层交换功能交换机的“访问列表”(AccessList)方式来实现网络过滤功能,使之限制某些用户不能够访问或可以访问某些网络资源。这种访问列表的功能是相当强大的,它不仅可以支持基于IP源和目的地址的控制,也支持基于TCP/UDP的端口进行控制,保证VLAN内的主机安全,防止内部用户非法访问如财务、教务、后勤等敏感部门。3.3 主要网络设备选型3.3.1. 核心交换机3.3.1.1 选型标准1. 协议功能的支持网络主干设备应具有强大
36、的标准协议支持能力,具有良好的开放性和互连性,特别是复杂的路由协议,例如提供网络扩展能力的OSPF、BGP4。 所支持的协议可根据网络模型的第2层和第3层进行分类: 第2层:802.1d/SPT、802.1Q、802.1p、802.3x。 第3层:IP、IPX、RIP1/2、OSPF、BGP4、VRRP,以及组播协议等等。 2. 策略功能的支持网络主干设备对策略的支持,表现在以下两点: 网络主干设备不仅能根据第2层或第3层的地址对数据包进行处理,而且能基于第4层的报头信息,针对不同的应用,实施对数据流的访问控制(ACL)、服务质量保证(QoS)、带宽管理,以及各种控制和服务策略。 网络主干设备
37、在第3/4层上对数据流施加各种管理、控制和服务策略时,其网络的传输性能保持不变。 3. 方案总体功能网络主干设备在网络中不是孤立工作,它必须保证与二级网络设备相关功能的一致性或兼容性。在方案总体功能上应能达到: 端到端的链路聚集(Trunking) 端到端的VLAN处理 端到端的 QoS 统一的网络管理3.3.1.2 设备介绍- STAR-S4909网络的核心层交换机模块,根据学校的用途和需求,我们选用1) STAR-M4909-CM :管理模块,对外提供DB-9的RS-232电平接口。2) STAR-M4909-08T :8口100BASE-TX RJ45接口模块。3) STAR-M4909
38、-02GT :2口10/100/1000M RJ45以太网模块。4) STAR-M4909-02SFP :2口基于SFP接口的千兆以太网模块。STAR-S4909是全模块化的核心路由交换机,其高达64G的背板带宽和24 Mpps的三层包转发速率可为用户提供高速无阻塞的交换;丰富的扩展模块支持灵活构建弹性可扩展的网络。S4909支持基于IP的运营管理、安全控制、认证计费等各种策略,提供完备的业务控制和用户管理能力,是大中型网络核心交换机的理想选择。高密度模块化在3.5U的空间里提供了多达9个插槽,8个接口插槽,最大限度地满足了用户模块配置的灵活性。先进背板结构采用业界先进的交换矩阵结构,克服共享
39、式总线交换结构的弱点,使整个系统的交换容量具有很强的伸缩扩展能力。复杂功能硬件实现STAR-S4909采用硬件方式实现交换和路由,保证系统所有端口均可同时达到线速二、三层转发,并且ACL和QOS功能也是通过硬件实现的,不影响系统的数据处理性能。接口模块独立分布式处理STAR-S4909整体设计上采用了分步式处理的先进理念,接口模块可以独立实现硬件交换、路由、ACL、QOS、组播等功能。流分类能力和QOS技术STAR-S4909提供多种流分类技术,并且支持数据标记(802.1P、DSCP)、队列调度(SP、WRR)、承诺信息速率(CAR)、拥塞控制(WRED)等QOS技术。完美的网络备份技术在网
40、络双核心多链路的网络环境下,核心设备的802.1S和VRRP技术以及汇聚层设备的802.1S技术是实现链路冗余备份和负载均衡的必要技术,STAR-S4909支持802.1S和VRRP,所以不论作为核心还是汇聚设备,都可以支持双核心多链路的网络备份环境。生成树支持支持生成树协议802.1D、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行。技术参数STAR-S4909固定端口全模块化模块插槽9个(1个用于管理引擎模块)背板64G包转发速率L2:24MppsL3:24MppsMAC地址32K802.1q VLAN4KL2协议IEEE802.3、IEEE802.3u、I
41、EEE802.3z 、IEEE802.3ab、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1s、 IEEE802.1Q、IEEEE802.1d、IEEE802.1w、IGMP Snooping、GVRP、Port MirrorL3协议OSPF、RIPV1、RIPV2、 VRRP、PIM(SM、DM),IGMP管理方式SNMP V1/V2、Telnet、Console、WEB、RMON其它协议DHCP Client、DHCP Relay、ARP Proxy、Radius、IPV6尺寸(长x宽x高)440 mm360mm163 mm 电
42、源100VAC240VAC,50Hz60Hz,功率:300WMTBF 200,000 hours温度工作温度: 0 到 40存储温度:-20 到 70湿度工作湿度: 10% 到 90% RH存储湿度: 5% 到 95% RH3.3.2. 接入交换机 3.3.2.1 选型标准接入交换机应该达到: 具备高性能的第2层交换能力 足够的端口密度满足用户节点的需求 以标准技术实现各种功能 可提供灵活的上连链路技术(ATM、千兆以太网、快速以太网,及FDDI等传统网络技术) 可扩展性特指设备的性能、功能和端口密度的可扩展能力。通过软件的更新或升级,使设备获得性能和功能的扩充以及对新标准/技术的支持能力。这
43、不仅可以保护投资的用户,还可避免硬件更新带来的诸多不便和额外的费用。 可管理性应能根据用户的需求,灵活、简便地监控链路、端口的工作状态和各种相关信息,同时可对其施加一定的管理策略。 与网络主干设备在技术/功能上的一致性和兼容性,实现端到端的链路聚集、VLAN、 QoS、统一的网管处理,支持主干设备上的VRRP。根据xx的实际需求, 2层交换机需支持VLAN隔离和端口聚合,有效的逻辑隔离广播,避免网络拥塞。 3.3.2.2 设备介绍- S2126GSTAR-S2126G是一款全线速可堆叠的安全智能交换机,在提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性同时,并可以根据网络实际使用环
44、境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。 STAR-S2126G可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。 S2126G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管,最大化满足高速、安全、智能的企业网新需求。高性能12.8G背板带宽为所有的端口提供非阻塞性能;灵活完备的安全控制策略通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用
45、网络,如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定、嵌入式硬件过滤BT数据流技术等等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求;硬件实现端口与MAC地址和用户IP地址的绑定,严格限定端口上用户接入;通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN资源;通过Private VLAN可以在交换机的同一VLAN中提供端口之间的通讯或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因传统802.1QVLAN造成全网VID资源不够的问题,同时又无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私;通过锐捷SAM平台,可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;支持业界特有的IGMP源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性; 提供极为有效的Port Blocking
