小區(qū)網(wǎng)絡(luò)規(guī)劃與方案設(shè)計

1、近年來，許多房地產(chǎn)開發(fā)商在住宅小區(qū)開發(fā)時規(guī)模大小不等， 近幾年隨著房地產(chǎn) 和網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，社區(qū)建設(shè)逐漸成為開發(fā)商的主要工作。因為互聯(lián)網(wǎng)的信 息和服務(wù)內(nèi)容的不斷擴展，允許用戶對網(wǎng)絡(luò)的需求急劇增加。 同時，網(wǎng)絡(luò)小區(qū)還將對 開發(fā)商和具有商業(yè)價值的社區(qū)帶來新的市場機會。 隨著計算機技術(shù)，通信技術(shù)，控制 技術(shù)和多媒體技術(shù)的發(fā)展，小區(qū)的網(wǎng)絡(luò)系統(tǒng)建設(shè)也在不斷發(fā)展。國信美邑小區(qū)用地面積19.35萬平方米，按1000戶規(guī)模設(shè)計，小區(qū)網(wǎng)及信息化 基礎(chǔ)設(shè)施建設(shè)要充分體現(xiàn)21世紀(jì)高等小區(qū)建設(shè)水平，包括小區(qū)物業(yè)辦公室，綜合服 務(wù)中心，居民樓等建筑，建筑面積超過 20.47萬平方米，是一座舒適、現(xiàn)代化小區(qū)。隨著

2、網(wǎng)絡(luò)覆蓋面積的增加、用戶數(shù)量的擴大，以及用戶對信息傳輸速度要求的不 斷提高，網(wǎng)絡(luò)的技術(shù)服務(wù)和用戶服務(wù)的工作量和難度亦不斷提高，將小區(qū)網(wǎng)絡(luò)變得更方便，更安全是每個開發(fā)商共同努力追求的目標(biāo)。因此，在網(wǎng)絡(luò)中添加相應(yīng)的設(shè)備， 重新規(guī)劃小區(qū)的IP地址，選取新的網(wǎng)絡(luò)技術(shù)，使網(wǎng)絡(luò)更安全，方便完善正是這次設(shè) 計所要解決的問題。為此，我們根據(jù)社區(qū)的用戶需求，對國信美邑小區(qū)網(wǎng)絡(luò)系統(tǒng)的建設(shè)提出我們的一 些想法和設(shè)計。2網(wǎng)絡(luò)建設(shè)的目標(biāo)隨著生活節(jié)奏的加速，生活質(zhì)量的提高，人們需要更快的信息傳輸平臺，所以一 個高效、安全的網(wǎng)絡(luò)是人們生活中不可或缺的。信息技術(shù)的應(yīng)用與普及，將改變傳統(tǒng) 的住宿模式并大幅度提高信息流動速率，數(shù)

3、字化小區(qū)、網(wǎng)上小區(qū)已被人們熟悉，住宅 小區(qū)正在走向全面的信息化。在國信美邑小區(qū)建設(shè)中應(yīng)推動小區(qū)信息化基礎(chǔ)設(shè)施建設(shè)， 其最終建設(shè)目標(biāo)是將國 信美邑小區(qū)建設(shè)成為一個信息化時代下的高水平的智能化、 數(shù)字化小區(qū)，更好的對小 區(qū)網(wǎng)絡(luò)進(jìn)行管理。國信美邑小區(qū)網(wǎng)絡(luò)系統(tǒng)在總體上需滿足以下幾個原則：（1）結(jié)構(gòu)化小區(qū)內(nèi)部局域網(wǎng)建設(shè)，除住宅樓的接入信息點外，還存在資源共享區(qū)域等等，其 功能的不同決定了不同的信息點對網(wǎng)絡(luò)的要求和網(wǎng)絡(luò)設(shè)計中考慮的因素不同。 當(dāng)某部 分功能要求有所變化時，也只需要針對相應(yīng)的功能結(jié)構(gòu)進(jìn)行重新設(shè)計和改造升級，對 網(wǎng)絡(luò)的其它組成結(jié)構(gòu)和網(wǎng)絡(luò)的主干沒有任何影響。基于這些優(yōu)勢，小區(qū)內(nèi)部局域網(wǎng)采 用結(jié)構(gòu)

4、化的設(shè)計模式。（2）安全性為了保證小區(qū)內(nèi)的業(yè)主使用安全，避免互相干擾，網(wǎng)絡(luò)系統(tǒng)應(yīng)支持多VLAN的劃分，并能在VLAN之間進(jìn)行第三層交換時進(jìn)行有效的安全控制，核心層部署硬件防火 墻，保護整個小區(qū)的網(wǎng)絡(luò)安全，分布層部署軟件防火墻，保護各個服務(wù)器上的數(shù)據(jù)安 全。此外，在接入小區(qū)內(nèi)部網(wǎng)絡(luò)的用戶通過身份認(rèn)證系統(tǒng)，防止用戶賬號、IP地址、MAC地址的盜用，保證用戶身份的合法性。（3）高可管理性為方便設(shè)計的施工以及驗收，乃至以后的易維護，網(wǎng)絡(luò)系統(tǒng)應(yīng)注意保證整個系統(tǒng) 的可管理性，統(tǒng)一管理。（4）高性能在小區(qū)內(nèi)部局域網(wǎng)中，不僅要求網(wǎng)絡(luò)主干是高帶寬的，作為一個網(wǎng)絡(luò)的基礎(chǔ)，接 入層設(shè)備也應(yīng)該達(dá)到高速（IGbps）。

5、也就是說，交換機的接入速率應(yīng)該達(dá)到千兆才能 滿足未來的發(fā)展趨勢。（5）可擴展性和可升級性系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù) 據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴展性，并能隨著技術(shù)的發(fā)展不斷升 級。（6）標(biāo)準(zhǔn)協(xié)議支持網(wǎng)絡(luò)系統(tǒng)應(yīng)支持標(biāo)準(zhǔn)協(xié)議IP，是一個開放型的網(wǎng)絡(luò)，支持各種協(xié)議的互聯(lián)。(7) 符合國際標(biāo)準(zhǔn)選用符合國際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，可以保證系統(tǒng)具有較長的生命力和擴展能力, 滿足將來系統(tǒng)升級的要求。3網(wǎng)絡(luò)的設(shè)計規(guī)劃3.1網(wǎng)絡(luò)建設(shè)設(shè)計原則國信美邑小區(qū)網(wǎng)絡(luò)系統(tǒng)具有覆蓋面積大， 計算機節(jié)點分散，數(shù)據(jù)交換頻繁和實時 性要求高等特點，所以對于計算機系統(tǒng)的處理能力、

6、網(wǎng)絡(luò)遠(yuǎn)程通訊能力及系統(tǒng)可靠性 要求很高。根據(jù)國信美邑小區(qū)網(wǎng)絡(luò)系統(tǒng)的具體特點并結(jié)合工作的具體需求，系統(tǒng)的建設(shè)遵循以下原則：（1）先進(jìn)性計算機網(wǎng)絡(luò)技術(shù)發(fā)展很快，不斷有新技術(shù)、新產(chǎn)品涌現(xiàn)，我們要采用先進(jìn)的、成熟的計算機技術(shù)和網(wǎng)絡(luò)通訊技術(shù)來滿足業(yè)務(wù)的需求，保障系統(tǒng)有較長的生命周期，但同時要堅持采用標(biāo)準(zhǔn)化產(chǎn)品。（2）可靠性系統(tǒng)能長時間穩(wěn)定可靠地運行， 并保證系統(tǒng)安全，防止非法用戶的非法訪問。系 統(tǒng)不能出現(xiàn)故障，或者說即使有設(shè)備出現(xiàn)故障，對網(wǎng)絡(luò)和網(wǎng)上的數(shù)據(jù)不構(gòu)成大的威脅， 要有設(shè)備對數(shù)據(jù)作備份。（3）靈活性需求會變化，計算機網(wǎng)絡(luò)技術(shù)也在進(jìn)步，需求和解決方案之間是一個動態(tài)的匹配 過程，因此，一方面要構(gòu)筑一個

7、穩(wěn)固（Strong ）的技術(shù)平臺，另一方面也要有在這平 臺上作調(diào)整、升級和擴充的靈活性。系統(tǒng)應(yīng)具有良好的可擴展性，易于升級，支持新 業(yè)務(wù)發(fā)展需求，使原有投資得到保護，因此在目前選擇方案和產(chǎn)品時要留出余地，選用的產(chǎn)品要有好的升級擴充能力。（4）網(wǎng)絡(luò)開放性網(wǎng)絡(luò)開放性的好壞，實際是指構(gòu)造網(wǎng)絡(luò)所選用的網(wǎng)絡(luò)硬件、 軟件產(chǎn)品的開放性如 何，網(wǎng)絡(luò)產(chǎn)品是否可與其他廠商產(chǎn)品聯(lián)網(wǎng)。包括是否具有支持多種網(wǎng)絡(luò)協(xié)議的能力， 是否支持通用的國際標(biāo)準(zhǔn)，或普遍使用的工業(yè)標(biāo)準(zhǔn)等。開放性好的網(wǎng)絡(luò)不但可以在一 個網(wǎng)絡(luò)系統(tǒng)上使用其他廠家的網(wǎng)絡(luò)產(chǎn)品而實現(xiàn)“無縫聯(lián)接”，而且為進(jìn)一步的網(wǎng)絡(luò)應(yīng) 用環(huán)境的集成、為實現(xiàn)網(wǎng)絡(luò)的可互操作性提供了技術(shù)

8、基礎(chǔ)條件。網(wǎng)絡(luò)的開放性好，也為網(wǎng)絡(luò)的擴充、發(fā)展以及新的應(yīng)用領(lǐng)域開闊了天地。 否則，不僅網(wǎng)絡(luò)的應(yīng)用和發(fā)展受 到限制，而且會導(dǎo)致投資浪費。（5）網(wǎng)絡(luò)可互操作性網(wǎng)絡(luò)系統(tǒng)的可互操作性是指在一個網(wǎng)絡(luò)上的不同廠商的系統(tǒng)之間是否可以透明 的以統(tǒng)一界面相互訪問對方的系統(tǒng)、文件數(shù)據(jù)以及應(yīng)用系統(tǒng)，以達(dá)到共享資源的目的。 另一方面，可互操作性還體現(xiàn)在對網(wǎng)絡(luò)管理的可互操作性上。包括網(wǎng)絡(luò)運行監(jiān)測、網(wǎng) 絡(luò)應(yīng)用管理、網(wǎng)絡(luò)設(shè)備管理、網(wǎng)絡(luò)安全管理以及網(wǎng)絡(luò)維護管理等，這些管理不僅在本 地網(wǎng)絡(luò)上可以操作，而且能夠在遠(yuǎn)程網(wǎng)絡(luò)間進(jìn)行互操作。（6）網(wǎng)絡(luò)的兼容性當(dāng)一個已有的網(wǎng)絡(luò)在采用新技術(shù)或新的網(wǎng)絡(luò)設(shè)備進(jìn)行改進(jìn)、 擴充和升級時，這些 新的

9、網(wǎng)絡(luò)設(shè)施（軟、硬件）是否能與原有的或其他的網(wǎng)絡(luò)設(shè)施兼容是非常重要的。 好的 兼容性可以保護原有的設(shè)備，可使新投資與原有的設(shè)備同時發(fā)揮效益。（7）網(wǎng)絡(luò)的可用性建成后網(wǎng)絡(luò)的可用性高低是網(wǎng)絡(luò)用戶最為關(guān)心的，它也是對網(wǎng)絡(luò)質(zhì)量和網(wǎng)絡(luò)性能 的綜合衡量?？捎眯允蔷W(wǎng)絡(luò)本身很多物理特性的總體體現(xiàn)，如網(wǎng)絡(luò)的帶寬、網(wǎng)絡(luò)帶寬 效率、網(wǎng)絡(luò)時延、網(wǎng)絡(luò)負(fù)載、網(wǎng)絡(luò)故障頻率等狀況。同時也是網(wǎng)絡(luò)系統(tǒng)環(huán)境、網(wǎng)絡(luò)應(yīng) 用環(huán)境和網(wǎng)絡(luò)應(yīng)用的支持能力、水平和質(zhì)量的總體反映。如果一個網(wǎng)絡(luò)能支持傳統(tǒng)的文件與數(shù)據(jù)的傳輸、訪問和共享，同時也能支持新型 文件如多媒體的傳輸、訪問和共享服務(wù)，并且使用戶的應(yīng)用需求能夠得到充分的滿足， 那么這個網(wǎng)絡(luò)肯定是高

10、質(zhì)量、高性能的。（8）網(wǎng)絡(luò)的可伸縮性網(wǎng)絡(luò)的可伸縮性不只是一種網(wǎng)絡(luò)設(shè)施在構(gòu)造網(wǎng)絡(luò)時，在規(guī)模上可依據(jù)需要擴大或 減小，而且還應(yīng)體現(xiàn)在網(wǎng)絡(luò)的模塊化和結(jié)構(gòu)化方面。網(wǎng)絡(luò)體系結(jié)構(gòu)的模塊化、結(jié)構(gòu)化 是現(xiàn)代化網(wǎng)絡(luò)技術(shù)產(chǎn)品的標(biāo)志和趨勢。網(wǎng)絡(luò)管理的任意性和網(wǎng)絡(luò)配置的簡便性等是網(wǎng)絡(luò)可伸縮性的另一重要方面。（9）網(wǎng)絡(luò)的經(jīng)濟性一個好的網(wǎng)絡(luò)并不是高價網(wǎng)絡(luò)設(shè)備的簡單堆積， 并不是網(wǎng)絡(luò)設(shè)備越好，網(wǎng)絡(luò)就越 好。衡量一個網(wǎng)絡(luò)的好壞和它的經(jīng)濟性， 不能單看所用的投資的多少，而應(yīng)以網(wǎng)絡(luò)所 具有的功能和網(wǎng)絡(luò)可承擔(dān)的負(fù)荷，如網(wǎng)上的用戶數(shù)、數(shù)據(jù)流量等參數(shù)去綜合衡量。以 “少花錢，多辦事”的原則，獲得更大的經(jīng)濟效益和社會效益。根據(jù)國信美邑小

11、區(qū)局域網(wǎng)網(wǎng)絡(luò)應(yīng)用的特點， 主干網(wǎng)的選擇對于網(wǎng)絡(luò)建設(shè)的成功與 否起著決定性的作用。選擇先進(jìn)的主流網(wǎng)絡(luò)技術(shù)，不但能保證整個網(wǎng)絡(luò)的正常運行， 還能提供良好的可靠性，可用性，擴展性，不僅有力地保證了國信美邑小區(qū)各項活動 的正常進(jìn)行，而且保護小區(qū)網(wǎng)絡(luò)的各種設(shè)備運行與使用 。3.2網(wǎng)絡(luò)的結(jié)構(gòu)化設(shè)計層次在網(wǎng)絡(luò)設(shè)計中的作用類似于生活中的層次。采用正確的層次，就能使網(wǎng)絡(luò)有 可預(yù)測性，具有幫助定義區(qū)域的功能。銳捷的層次模型可以幫助設(shè)計，實現(xiàn)和維護可 擴展的、可靠的和性能價格比高的層次化的互聯(lián)網(wǎng)絡(luò)。 小區(qū)網(wǎng)絡(luò)的主要層次包括：接 入層（交換）、匯聚層（路由）、核心層（骨干）2。核心層是1臺銳捷網(wǎng)絡(luò)RG-S-8600,

12、雖然小區(qū)人口多，但網(wǎng)絡(luò)帶寬要求并不高， 所以用1臺交換機做核心。匯聚層主要是由若干個中端銳捷設(shè)備組成， 匯聚層就是小區(qū)內(nèi)部每棟樓之間接入 核心的一個過渡的層次。它主要負(fù)責(zé)提供負(fù)載均衡、快速收斂和可擴展性等作用。接入層就是用戶可見的部分，主要實現(xiàn)用戶層次的網(wǎng)絡(luò)的接入，一般選用的都是 比較簡單低端的設(shè)備。4國信美邑網(wǎng)絡(luò)設(shè)計方案4.1網(wǎng)絡(luò)技術(shù)及接入方式的選擇網(wǎng)絡(luò)技術(shù)的選擇當(dāng)前的網(wǎng)絡(luò)技術(shù)主要有千兆以太交換網(wǎng)、FDDI、ATM等可供選擇。千兆以太網(wǎng)是快速以太網(wǎng)的延續(xù)，是性價比很高的一種主干網(wǎng)技術(shù)，千兆以太網(wǎng)自身提供了完整的 遷移途徑，通過它可以充分保護我們對現(xiàn)有網(wǎng)絡(luò)設(shè)備的投資。前衛(wèi)以太網(wǎng)保留了 IEEE

13、802.3和以太網(wǎng)幀格式和管理對象規(guī)格。 這一性能可以使小區(qū)網(wǎng)絡(luò)在進(jìn)行自身升級的 同時，不影響現(xiàn)有線纜的使用、操作系統(tǒng)、協(xié)議、桌面應(yīng)用程序和網(wǎng)絡(luò)管理戰(zhàn)略與工 具。與原有的快速以太網(wǎng)、FDDI、ATM等主干網(wǎng)解決方案相比，千兆位以太網(wǎng)提供了 一條最佳的路徑。至少在目前看來，是改善交換機與服務(wù)器之間和交換機與交換機之 間骨干連接的可靠、經(jīng)濟的途徑。結(jié)合國信美邑小區(qū)網(wǎng)絡(luò)的需求分析及其未來網(wǎng)絡(luò)的發(fā)展?jié)摿x擇千兆以太網(wǎng)技 術(shù)作為組網(wǎng)技術(shù)，完全可以滿足國信美邑小區(qū)的組網(wǎng)需求， 也符合當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展 的趨勢。要保證網(wǎng)絡(luò)的傳輸速率，必須有一定的帶寬。千兆交換式以太網(wǎng)可以為每個端口 提供1G的帶寬，完全可以滿

14、足主干網(wǎng)的需要；未來網(wǎng)絡(luò)的發(fā)展是不可預(yù)知的，必須 做好充分的向萬兆以太網(wǎng)過度的準(zhǔn)備，千兆以太網(wǎng)在向萬兆以太網(wǎng)過渡時會免去很多 麻煩事情；在網(wǎng)絡(luò)技術(shù)的操作性以及兼容性，最主要是技術(shù)的成熟和管理等方面綜合 考慮，選取千兆以太網(wǎng)是最佳選擇。采用三層交換模式三層交換技術(shù)是二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。在傳統(tǒng)的交換技術(shù)中是第二層在 OSI網(wǎng)絡(luò)模型-數(shù)據(jù)鏈路層進(jìn)行操作，而三層交換技術(shù)是在第三層中的網(wǎng)絡(luò)模型中實 現(xiàn)分組快速轉(zhuǎn)發(fā)。網(wǎng)絡(luò)路由的功能可以通過應(yīng)用第三層交換技術(shù)來實現(xiàn)，該網(wǎng)絡(luò)性能 可以根據(jù)不同的網(wǎng)絡(luò)條件進(jìn)行優(yōu)化。使用三層交換機的好處：除了高性能外，與二層交換機相比，三層交換機還具有一些獨有的特性， 這些

15、特 性使三層交換機更有優(yōu)勢：(1) 高可擴展性與傳統(tǒng)外部路由器不同，在連接多個子網(wǎng)時，三層交換機的子網(wǎng)中僅第三層交換 模塊建立邏輯連接，需要增加端口，滿足本地區(qū)3? 5年的互聯(lián)網(wǎng)應(yīng)用。性價比高三層交換機在功能上比傳統(tǒng)的二層交換機更加強大，但價格上卻接近二層交換機，百兆的三層交換機幾萬元左右，幾乎與高端的二層交換機持平。（3）內(nèi)置安全機制三層交換機可自身具有訪問列表的功能，并可以實現(xiàn)不同VLAN之間的單向或雙向通信。如果設(shè)置了訪問列表，你可以限制訪問特定的IP地址。訪問列表不僅可以為內(nèi)部用戶禁止訪問某些站點，也可以用于防止非法用戶訪問社區(qū)內(nèi)部網(wǎng)絡(luò)，降低網(wǎng)絡(luò)遭受攻擊的幾率，從而提高了網(wǎng)絡(luò)的安全性4

16、。網(wǎng)絡(luò)的介入選擇以太網(wǎng)技術(shù)成熟、成本低、結(jié)構(gòu)簡單、穩(wěn)定性、可擴充性好 ；便于網(wǎng)絡(luò)升級，同 時可實現(xiàn)智能化物業(yè)管理、實時監(jiān)控、家庭自動化小區(qū)/大樓/家庭保安（如遠(yuǎn)程遙控 家電、可視門鈴等）、遠(yuǎn)程抄表等，可提供智能化、信息化的辦公與家居環(huán)境，以此 保證不同層次用戶的需求3。采用VPN方式接入VPN可以通過特殊的加密的通訊協(xié)議在連接在In ternet上的位于不同地方的不同數(shù)量居民樓內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就如同是構(gòu)建了一條專線一樣， 但是它其實并不需要真正的去鋪設(shè)光纜之類的物理線路。一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。結(jié)合國信美邑小區(qū)網(wǎng)絡(luò)系統(tǒng)覆蓋面積大， 計算機節(jié)點分散

17、，數(shù)據(jù)交換頻繁和實時 性要求高等特點，在小區(qū)網(wǎng)絡(luò)設(shè)計中選擇千兆以太網(wǎng)技術(shù)， 考慮到三層交換技術(shù)的各 種優(yōu)勢，我們在網(wǎng)絡(luò)設(shè)計中將選用三層交換技術(shù)， 采用VPN的接入方式支持小區(qū)內(nèi)部 網(wǎng)絡(luò)通信。4.2路由協(xié)議的選取因為考慮到小區(qū)網(wǎng)絡(luò)結(jié)構(gòu)較復(fù)雜，并且在網(wǎng)絡(luò)協(xié)議的選擇方面要考慮到穩(wěn)定和簡 便。所以本次設(shè)計選取 RIP-2作為路由協(xié)議。RIP-2是一種無類別協(xié)議（路由），與RIP-1相比，它具有以下優(yōu)點：（1）支持路由標(biāo)記，并可以靈活地路由標(biāo)記路由策略控制。（2） 該數(shù)據(jù)包攜帶掩碼的信息，它支持路由聚合和CIDR（無類別的域間路由）。（3）支持下一跳的指定，并且可以被選擇在廣播網(wǎng)絡(luò)的最佳下一跳地址。（4

18、）支持組播路由發(fā)送更新報文，減少資源消耗。（5） 支持協(xié)議消息的驗證，并提供明確的認(rèn)證和驗證MD5加密兩種方式，增強 安全性。綜上特點，由于RIP適合大小適中且簡單的局域網(wǎng)，而且需要VLSM和 VLAN的劃 分，所以國信美邑小區(qū)內(nèi)網(wǎng)選擇 RIP-2更加合適。4.3網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)計算機網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是指網(wǎng)絡(luò)設(shè)備的物理連接關(guān)系。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)主要有總 線網(wǎng)、環(huán)型網(wǎng)和星型網(wǎng)混合拓?fù)浣Y(jié)構(gòu)等。借鑒現(xiàn)代網(wǎng)絡(luò)建設(shè)的基本原則及比較了上述各種網(wǎng)絡(luò)拓?fù)涞膬?yōu)缺點后，本次針對小區(qū)的網(wǎng)絡(luò)設(shè)計選擇混合拓?fù)浣Y(jié)構(gòu)最為合理?；旌贤?fù)浣Y(jié)構(gòu)是由星型結(jié)構(gòu)或環(huán)型結(jié)構(gòu)和總線型結(jié)構(gòu)結(jié)合在一起的網(wǎng)絡(luò)結(jié)構(gòu)， 這 樣的拓?fù)浣Y(jié)構(gòu)更能滿足較大網(wǎng)絡(luò)的

19、拓展， 解決星型網(wǎng)絡(luò)在傳輸距離上的局限， 而同時 又解決了總線型網(wǎng)絡(luò)在連接用戶數(shù)量上的限制。首先由于小區(qū)分為別墅區(qū)與普通住宅，采用單一的拓?fù)浣Y(jié)構(gòu)根本不能滿足用戶的 需求，所以采用混合拓?fù)浣Y(jié)構(gòu)，可以彌補其他拓?fù)涞牟蛔阒帯Ｆ浯?，國信美邑小區(qū)網(wǎng)絡(luò)內(nèi)物理設(shè)施的建設(shè)不是十分規(guī)律， 這也就導(dǎo)致內(nèi)部節(jié)點 以及網(wǎng)絡(luò)布線等不是十分規(guī)律，采用的信息傳播方式也有很多不同。 再者由于小區(qū)的 可擴展能力十分強，內(nèi)部節(jié)點數(shù)量的增加和總線長度的擴展十分可能。因此必須采用 一種擴展能力相當(dāng)強的網(wǎng)絡(luò)拓?fù)鋪頋M足用戶和未來的發(fā)展， 混合拓?fù)浣Y(jié)構(gòu)正適合當(dāng)前 國信美邑小區(qū)網(wǎng)絡(luò)的需求。再次，網(wǎng)絡(luò)工程師們在設(shè)計網(wǎng)絡(luò)時不可能保證網(wǎng)絡(luò)永遠(yuǎn)不

20、出現(xiàn)故障， 故障可能是 線路問題也可能是設(shè)備問題。采用混合拓?fù)浣Y(jié)構(gòu)可以保證一個優(yōu)點，那就是容易維護。 無論哪里出現(xiàn)錯誤，在維護的過程中都是相當(dāng)復(fù)雜的。 采用混合拓?fù)浣Y(jié)構(gòu)可以保證一 個前提：無論哪個分支網(wǎng)絡(luò)出現(xiàn)故障都不會影響到整個網(wǎng)絡(luò)的運行。最后，現(xiàn)在用戶對網(wǎng)絡(luò)速度的要求越來越苛刻，如果做的不好，很可能受責(zé)罵。 采用混合拓?fù)浣Y(jié)構(gòu)可以保證數(shù)據(jù)傳輸速度，無論使用哪種線路進(jìn)行網(wǎng)絡(luò)傳輸都不會對 整個網(wǎng)絡(luò)的速度上進(jìn)行太多的限制。由上述可見。這種拓?fù)浣Y(jié)構(gòu)主要有以下幾個方面的特點：（1）應(yīng)用相當(dāng)廣泛。（2）擴展相當(dāng)靈活。（3）較易維護。（4）速度較快。4.4網(wǎng)絡(luò)設(shè)備的選擇設(shè)備的選擇要盡量考慮到國信美邑小區(qū)網(wǎng)絡(luò)

21、規(guī)劃的目的及未來的可擴展能力，從安全性、可靠性等多方面來考慮。成熟實用的產(chǎn)品以及開放先進(jìn)的技術(shù)是我們選擇網(wǎng) 絡(luò)設(shè)備首先也是必須考慮的問題。核心設(shè)備的選擇在設(shè)備選型和結(jié)構(gòu)設(shè)計中網(wǎng)絡(luò)中心必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。特別 是核心節(jié)點交換機，有兩個基本要求：(1) 高密度的端口，也能保持端口線速轉(zhuǎn)發(fā)；(2) 關(guān)鍵模塊必須是冗余的，如引擎管理，電源，風(fēng)扇管理。在此設(shè)計中，選 擇銳捷2 RG-S8610基于十萬兆網(wǎng)絡(luò)平臺的 RG-S8610網(wǎng)絡(luò)核心路由交換機。銳捷RG-S8600系列交換機是銳捷網(wǎng)絡(luò)推出面向下一代融合網(wǎng)絡(luò)的高密度多業(yè)務(wù)IPv6核心路由交換機，滿足未來小區(qū)以太網(wǎng)的應(yīng)用需求。RG-S8

22、600系列交換機融合了 VSU(Virtual Switching Unit) 、MPLS/VPLS 網(wǎng)絡(luò)安全、無線網(wǎng)絡(luò)、IPv6、流量 分析等多業(yè)務(wù)特性。豐富的槽位選擇給客戶預(yù)留了豐富的擴展余地，VSU虛擬化特性簡化客戶的網(wǎng)絡(luò)結(jié)構(gòu)，MPLS/VPL虛擬專網(wǎng)技術(shù)打破客戶物理專網(wǎng)隔閡，形成融合統(tǒng) 一網(wǎng)絡(luò)，完善的IPv6特性滿足未來的升級改造。RG-S8600系列交換機可廣泛應(yīng)用于 城域網(wǎng)、園區(qū)網(wǎng)和數(shù)據(jù)中心。RG-S8600系列包括三款型號：RG-S8614 RG-S8610和 RG-S8606-BSERISE。SPOF基于標(biāo)準(zhǔn)的技術(shù)，擴大，MAC效率，ACI80,基于一系列的ACL技術(shù)支持 IP

23、v4/IPv6堆疊VLAN ACL功能。在ACL的配置也達(dá)到上千兆線速數(shù)據(jù)傳輸。最長匹配(LPM三層交換技術(shù)的IPv4/IPv6路由直接向網(wǎng)絡(luò)的靜態(tài)和動態(tài)的方 式存儲，目的網(wǎng)段使用轉(zhuǎn)發(fā)條目，和未知的目的地IP地址網(wǎng)段的數(shù)據(jù)包直接通過硬件的默認(rèn)路由轉(zhuǎn)發(fā)，大大節(jié)省了硬件存儲空間，避免內(nèi)存溢出導(dǎo)致高CPU利用率的問 題，以確保設(shè)備的正常運行。RG-S8600提供各種硬件的安全功能，如防DDOS&擊，非法數(shù)據(jù)包檢測，防掃描， 防源IP地址欺騙等，避免了傳統(tǒng)軟件對整體性能的影響。支持廣播包抑制，有效控 制流動的非法廣播設(shè)備的影響。 支持IPv4、IPv6，結(jié)合多種組合，VLAN MA(和端口，

24、提高用戶的訪問控制。RG-S8600支持IPv6協(xié)議族和地址結(jié)構(gòu)，支持ND路徑MTU發(fā)現(xiàn)DNSv6后DHCPv6 ICMPv6回等IPv6特性。RG-S8600的 IPv6 靜態(tài)路由，RIPNG的從 OSPFv3 IS-ISv6 的 BGP4 +等 IPv6 單 播路由協(xié)議的全面支持，支持 MLD V1 / V2，MLD偵聽和PIM-SM / DMv6, PIM-SSMv6 等IPv6組播特性，為用戶提供完美的IPv4 / IPv6 解決方案。RG-S8600支持豐富的IPv4向IPv6過渡技術(shù)，包括：IPv6手動隧道，6to4隧道， ISATAP隧道，IPv4 over IPv6 隧道技術(shù)，

25、保證IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的平滑過渡。隨著IPv6在中國的發(fā)展不斷深化，在小區(qū)網(wǎng)絡(luò)升級的未來選擇轉(zhuǎn)移到IPv6網(wǎng)絡(luò) 設(shè)備，為國信美邑小區(qū)以后的網(wǎng)絡(luò)升級打下了良好的基礎(chǔ)。結(jié)合銳捷網(wǎng)絡(luò)流量分析系統(tǒng)，IPFIX技術(shù)可以對網(wǎng)絡(luò)進(jìn)行異常檢測和統(tǒng)計分析， 輸出各種豐富的網(wǎng)絡(luò)流量分析報告，其中包括對所有流量：流量使用情況，歷史和接 口報表，可解析主機地址，流量分析，可變顯示的信息，這可以幫助管理員對網(wǎng)絡(luò)異 常進(jìn)行分析，很快修復(fù)網(wǎng)絡(luò)，為客戶提供客觀，準(zhǔn)確的決策依據(jù)對網(wǎng)絡(luò)容量規(guī)劃，網(wǎng)絡(luò)應(yīng)用監(jiān)測和故障診斷的問題，可以實現(xiàn)的真實網(wǎng)絡(luò)流量的可視化。IPFIX多業(yè)務(wù)模塊作為一個獨立的業(yè)務(wù)靈活擴展到銳捷交換機中， 使

26、用獨立的硬 件平臺，保證多業(yè)務(wù)模塊上的故障或維修，數(shù)據(jù)業(yè)務(wù)的核心設(shè)備的正常轉(zhuǎn)發(fā)， 保證核 心設(shè)備的高可靠性。442匯聚層設(shè)備的選擇匯聚層節(jié)點必須提供全線速交換數(shù)據(jù)，確保順利接入節(jié)點和核心節(jié)點的數(shù)據(jù)交換，同時，當(dāng)網(wǎng)絡(luò)流量大時，保證關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量。本次國信美邑小區(qū)網(wǎng)絡(luò)匯聚層選用的 RG-S5750-E系列交換機是銳捷網(wǎng)絡(luò)推出的 融合了高性能、多業(yè)務(wù)、高安全的新一代三層交換機?？蓴U展的高密度萬兆端口，加 上全千兆的端口形態(tài)，提供1： 1全線速多層交換，該交換機適合高性能、高帶寬和 靈活擴展的大型網(wǎng)絡(luò)匯聚層，數(shù)據(jù)中心服務(wù)器群，以及中型網(wǎng)絡(luò)核心的接入使用。 業(yè) 界領(lǐng)先的虛擬交換單元技術(shù)（Virtua

27、l Switch Unit ），可以簡化用戶對網(wǎng)絡(luò)的管理， 提升用戶網(wǎng)絡(luò)架構(gòu)的穩(wěn)定性。不僅如此，RG-S5750-E系列出眾的安全性能和豐富的 防攻擊功能，全方位的保障用戶的網(wǎng)絡(luò)安全，為用戶帶來非凡的極速網(wǎng)絡(luò)體驗。銳捷 S7500E（X）系列包括 S7510E（ 12 槽）、S7508E-X （14 槽）、S7506E（8 槽）、S7506E-V（垂直 8 槽）、銳捷 S7506E-S（ 8 槽）、S7503E （5 槽）、7503E-S （3 槽）和 S7502E（4 槽）8款產(chǎn)品，除了 7503E-S所有產(chǎn)品均支持冗余主控。銳捷 S7500E（X）可廣泛應(yīng)用 于數(shù)據(jù)中心、城域網(wǎng)、小區(qū)網(wǎng)核心

28、和匯聚等多種網(wǎng)絡(luò)環(huán)境， 為用戶提供了有源無源一 體化、有線無線一體化的行業(yè)解決方案。（1）高性能萬兆端口為“千兆匯聚，萬兆核心”提供可能，適應(yīng)了網(wǎng)絡(luò)應(yīng)用高速發(fā)展，網(wǎng)絡(luò) 帶寬不斷增加的需要。而萬兆端口的可擴展性既方便用戶現(xiàn)在使用萬兆網(wǎng)絡(luò)，也方便 用戶后續(xù)升級網(wǎng)絡(luò)到萬兆。（2）IPv4/IPv6雙協(xié)議棧多層交換硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換，硬件區(qū)分和處理IPv4、IPv6協(xié)議報文，可根據(jù)IPv6網(wǎng)絡(luò)的需求規(guī)劃網(wǎng)絡(luò)或者維持網(wǎng)絡(luò)現(xiàn)狀，提供靈活的IPv6網(wǎng)絡(luò)通支持豐富的IPv4路由協(xié)議，包括靜態(tài)路由、RIP、OSPF BGP4等，滿足不同網(wǎng) 絡(luò)環(huán)境中用戶選擇合適的路由協(xié)議靈活組建網(wǎng)絡(luò)。

29、支持豐富的IPv6路由協(xié)議，包括靜態(tài)路由、 RIPNG 0SPFv3 BGP4等，不論是 在升級現(xiàn)有網(wǎng)絡(luò)至IPv6網(wǎng)絡(luò)，還是新建IPv6網(wǎng)絡(luò)，都可靈活選擇合適的路由協(xié)議組 建網(wǎng)絡(luò)。（3）虛擬化技術(shù)支持VSU（Virtual Switch Unit ）即虛擬交換單元技術(shù)。通過聚合鏈路連接，將多臺物理設(shè)備虛擬為一臺邏輯上統(tǒng)一的設(shè)備，使其能夠?qū)崿F(xiàn)統(tǒng)一的運行，利用單一IP地址、單一 Telnet進(jìn)程、單一命令行接口（CLI）、自動版本檢查、自動配置等特 性簡化了管理。聚合鏈路可以是千兆接口，也可以是萬兆接口，最大限度保護用戶的投資。（4）靈活完備的安全策略具有的多種內(nèi)在機制可以有效防范和控制病毒傳播和

30、黑客攻擊，如預(yù)防DOS攻擊、防黑客IP掃描機制、端口 ARP報文的合法性檢查、多種硬件 ACL策略等，還網(wǎng) 絡(luò)一片綠色。支持基于硬件的IPv6 ACL，即使在IPv4網(wǎng)絡(luò)內(nèi)有IPv6用戶，也可輕松在網(wǎng)絡(luò) 邊緣實現(xiàn)對IPv6用戶的訪問控制，既可允許網(wǎng)絡(luò)內(nèi)IPv4/IPv6用戶并存，也可以對 IPv6用戶的訪問權(quán)限進(jìn)行控制，比如限制對網(wǎng)絡(luò)敏感資源的訪問等。業(yè)界領(lǐng)先的硬件CPU保護機制：特有的CPU保護策略（CPP技術(shù)，流向CPU勺 數(shù)據(jù)，采用流動分離和優(yōu)先級隊列分級，并根據(jù)需要實施帶寬限制，充分保護CPU是不被占用，惡意攻擊和資源消耗，以確保 CPU勺安全，充分保護交換機安全。硬件實現(xiàn)的端口或交換

31、機與用戶的IP地址和MAC地址柔性結(jié)合，端口上嚴(yán)格限 制用戶訪問或交換機上的用戶訪問的問題。支持DHCP snooping,可只允許信任端口的 DHCP向應(yīng)，防止私設(shè) DHCP Server 的欺騙；并在DHCPS聽的基礎(chǔ)上，通過動態(tài)監(jiān)測 ARP和檢查用戶的IP，直接丟棄不 符合綁定表項的非法報文，有效防范 ARP欺騙和用戶源IP地址的欺騙問題?；谠碔P地址控制的Telnet設(shè)備訪問控制，防止非法人員和黑客惡意攻擊和控 制設(shè)備，提高網(wǎng)絡(luò)管理的安全性。SSH Secure Shell ）和SNMPv可以通過在Telnet和SNM進(jìn)程中加密管理信息， 保證管理設(shè)備信息的安全性，防止黑客攻擊和控制

32、設(shè)備?？刂品欠ㄓ脩羰褂镁W(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如多元素綁定、端口安 全、時間ACL基于數(shù)據(jù)流的帶寬限速等，滿足小區(qū)網(wǎng)加強對訪問者進(jìn)行控制、限制 非授權(quán)用戶通信的需求。支持 NFPF技術(shù)。NFPP （Network Foundation Protection Policy 基礎(chǔ)網(wǎng)絡(luò)保護 策略）是用來增強交換機安全的一種保護體系，通過對攻擊源頭采取隔離措施，可以 使交換機的處理器和信道帶寬資源得到保護，從而保證報文的正常轉(zhuǎn)發(fā)以及協(xié)議狀態(tài) 的正常。（5）強大的多業(yè)務(wù)支撐能力支持IPv4、IPv6組播功能，包含豐富的組播協(xié)議。比如 IGMPSnooping、IGMP MLD PIM、PIM

33、for IPv6、MSD等協(xié)議族，為 IPv4 網(wǎng)絡(luò)、IPv6 網(wǎng)絡(luò)、IPv4 和 IPv6 共存的網(wǎng)絡(luò)提供了組播服務(wù)支持。支持IGMP源端口和源IP檢查功能，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的安全 性。支持等價路由(ECMP等豐富的三層特性和業(yè)務(wù)特性，滿足不同網(wǎng)絡(luò)鏈路規(guī)劃下 的通信需要。支持豐富的MPLS/PN功能，智能偵測MPL醐網(wǎng)，智能選擇冗余線路保持 MPLS/PN 的連通性。支持在三層 MPLS VP中作為PE MVR使用。支持國際流量監(jiān)測標(biāo)準(zhǔn)IPFIX( IP流信息導(dǎo)出)，銳捷流量分析系統(tǒng)的結(jié)合，IPFIX 技術(shù)可以對網(wǎng)絡(luò)進(jìn)行統(tǒng)計分析和異常檢測，輸出各種豐富的網(wǎng)絡(luò)流量分析報告，包括

34、： 流量報告，歷史報告，報表界面，解析的主機地址，流量分析，可變顯示的信息，這 可以幫助管理員在網(wǎng)絡(luò)中的異常行為分析，很快存在的網(wǎng)絡(luò)，為客戶提供客觀，準(zhǔn)確 的決策依據(jù)對網(wǎng)絡(luò)容量規(guī)劃問題，網(wǎng)絡(luò)應(yīng)用監(jiān)測和故障診斷。(6) 完善的QOSft略與MA(流、IP流相比應(yīng)用流的具有多層流分類和流控制能力，實現(xiàn)精細(xì)化流量 帶寬控制，轉(zhuǎn)發(fā)優(yōu)先級策略，根據(jù)不同的應(yīng)用和不同的應(yīng)用支持網(wǎng)絡(luò)需要的業(yè)務(wù)特點， 保證提供服務(wù)的質(zhì)量。QOS勺保障體系，這需要將 DIFFSERVE標(biāo)準(zhǔn)為核心，支持802.1P，IP TOS,二 至七層過濾層，SP, WR等完整的QOS策略，實現(xiàn)基于全網(wǎng)系統(tǒng)的QOS邏輯。(7) 高可靠性支持生

35、成確保鏈路的負(fù)載均衡和網(wǎng)絡(luò)的穩(wěn)定運行，合理使用網(wǎng)絡(luò)通道，反饋冗余鏈路利用率。支持VRRP虛擬路由器冗余協(xié)議，全面保障網(wǎng)絡(luò)穩(wěn)定。支持RLDP快速檢測鏈路的通斷和光纖鏈路可以支持端口環(huán)路檢測功能，防止 將端口用于私有訪問集線器等設(shè)備，導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象。支持ERPS (G.8032)，國際標(biāo)準(zhǔn)為核心以太網(wǎng)設(shè)計的二層鏈路冗余備份協(xié)議， 其環(huán)路阻斷以及鏈路恢復(fù)都集中在主控設(shè)備上進(jìn)行， 非主控設(shè)備直接向主控設(shè)備匯報 自己的鏈路情況，無需經(jīng)過其他非主控設(shè)備的處理，因此環(huán)路中斷以及恢復(fù)時間比 STP快?；谝陨蠀^(qū)別，ERPS在理想環(huán)境下的鏈路恢復(fù)能力能夠達(dá)到毫秒級。在不啟用 STP的情況下，可以通過 REU

36、P(Rapid Ethernet Uplink ProtectionProtocol)提供一個快速上鏈保護功能，REUP8得用戶在關(guān)閉STP的情況下，仍提供 基本的鏈路冗余，同時提供比 STP更快的毫秒級故障恢復(fù)。支持BFD為各上層協(xié)議如路由協(xié)議，MPLS等提供一種快速檢測兩臺路由設(shè)備之 間轉(zhuǎn)發(fā)路徑連通狀態(tài)的方法，大大減少了上層協(xié)議在鏈路狀態(tài)變化時的收斂時間。(8) 方便易用易管理靈活復(fù)用的多種千兆接口形式，可靈活滿足需要多個千兆銅纜和多個千兆光纖鏈 路的連接，方便用戶靈活選擇線纜。網(wǎng)絡(luò)時間協(xié)議保證交換機時間的準(zhǔn)確性， 并與網(wǎng)絡(luò)中時間服務(wù)器時間統(tǒng)一化，方 便日志信息和流量信息的分析、故障診斷等

37、管理。為方便安裝地點或建筑物不適宜部署外部電源的環(huán)境，RG-S5750-E系列交換機特別提供支持POE功能的產(chǎn)品型號，即通過雙絞線就可以向遠(yuǎn)端下掛的 PD設(shè)備供電， 如無線APIP Phone視頻監(jiān)控等設(shè)備，方便了任何符合IEEE 802.3af和IEEE 802.3at 標(biāo)準(zhǔn)的終端設(shè)備的接入，實現(xiàn)以太網(wǎng)集中供電，以滿足金融、小區(qū)、學(xué)校、醫(yī)院、工 廠等用戶實現(xiàn)VOIP、遠(yuǎn)程監(jiān)控、無線AP等網(wǎng)絡(luò)應(yīng)用的需要。SYSLOG方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管 理員網(wǎng)絡(luò)維護和管理。多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀

38、，大大提高維護效率。443接入層設(shè)備的選擇對于國信美邑小區(qū)網(wǎng)絡(luò)接入節(jié)點的交換機，必須考慮到安全接入控制、QOSK務(wù)質(zhì)量保證、組播支持等技術(shù)。銳捷網(wǎng)絡(luò)睿翼RG-S2928G-S-P系列交換機是銳捷網(wǎng)絡(luò)推出的全千兆安全智能 POE供電的二層交換機，適用于園區(qū)網(wǎng)絡(luò)的接入層，提供千兆到桌面的解決方案。憑 借高性能、高安全、多業(yè)務(wù)、易用性的特點，融入IPv6的特性，使得銳捷網(wǎng)絡(luò)睿翼RG-S2928G-S-P交換機可廣泛應(yīng)用于各行業(yè)的千兆網(wǎng)絡(luò)。通過支持萬兆擴展和萬兆冗余堆疊，滿足了網(wǎng)絡(luò)流量成倍提高和多媒體業(yè)務(wù)的迅 速增長的需要，特別適合需要高帶寬的網(wǎng)絡(luò)環(huán)境中使用。在提供高性能、高帶寬的同時，銳捷網(wǎng)絡(luò)睿翼R

39、G-S2928G-S-P交換機提供智能流 分類，提高服務(wù)質(zhì)量（QOS和多播應(yīng)用，管理特性的質(zhì)量，并可以根據(jù)實際使用環(huán) 境，靈活的控制策略的執(zhí)行的網(wǎng)絡(luò)，有效地預(yù)防和控制病毒的傳播和網(wǎng)絡(luò)攻擊，非法用戶接入控制和網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全，更合理 的使用和操作網(wǎng)絡(luò)。（1）高性能高背板帶寬為所有端口提供線速的交換能力，并提供萬兆擴展和萬兆堆疊，滿足數(shù)據(jù)流量和多媒體業(yè)務(wù)日益增長的需要。（2）靈活完備的安全控制策略通過各種內(nèi)部安全機制，可以有效地防止和控制病毒和網(wǎng)絡(luò)攻擊流量的擴散，控 制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)，如端口靜態(tài)和動態(tài)安全綁定，端 口隔離，各種硬件AC

40、Lg制，基于數(shù)據(jù)流的帶寬限速，多元素綁定的用戶訪問控制， 滿足小區(qū)網(wǎng)絡(luò)的需求，以加強控制和限制參觀者的非授權(quán)用戶的通信需求；銳捷網(wǎng)絡(luò)安全計費管理平臺，不僅可以實現(xiàn)用戶帳號，密碼，MAC地址，IP地址， IP交換機，交換機靈活的綁定任何端口之間的六要素，確認(rèn)用戶身份的唯一性和合法性，可以通過切換動態(tài)綁定的硬件特性和保護用戶的身份始終保持一致，避免用戶惡意篡改身份信息的非法攻擊行為；ARP檢測功能有效遏制在網(wǎng)絡(luò)中日益增長的 ARP網(wǎng)關(guān)欺騙和ARP主機欺騙的現(xiàn) 象，并保護用戶的正常上網(wǎng)。自動裝訂可以實現(xiàn)IP的靜態(tài)分配與動態(tài)分配，這大大 節(jié)省了勞動力成本，并通過ARP速率減少管理ARP分組的速率，從而

41、防止對ARP惡意 使用掃描工具監(jiān)視的開銷，導(dǎo)致網(wǎng)絡(luò)擁塞的攻擊；支持DHCP Snooping功能，只允許信任端口的 DHCP向應(yīng)，并沒有阻止管理員權(quán) 限設(shè)置DHCP艮務(wù)器，擾亂IP地址的分配和管理，影響用戶的正常上網(wǎng)的行為；和DHCP Snooping功能，監(jiān)控動態(tài)ARP和檢查源IP的基礎(chǔ)上，有效地防止IP ARP欺騙和源 IP地址欺騙的DHCP動態(tài)分配；基于源IP地址控制的Telnet和Web訪問控制，防止非法人員和黑客對設(shè)備的控 制和惡意攻擊，提高網(wǎng)絡(luò)管理的安全性；在日益激烈的IPv6應(yīng)用面前，交換機支持基于IPv6的ACL的硬件，即使是在 IPv4網(wǎng)絡(luò)與IPv6用戶，也可以很方便地在網(wǎng)絡(luò)

42、上實現(xiàn)IPv6的用戶訪問控制的邊緣， 可以讓網(wǎng)絡(luò)的IPv4 / IPv6 共存的用戶，IPv6的用戶訪問控制，如接入網(wǎng)絡(luò)中的敏 感資源的限制；SSH（安全殼）和SNMPv技術(shù)通過在Tel net和SNM的過程中加密管理信息，防 止黑客攻擊和控制設(shè)備，保證管理信息的安全性。基于訪問控制的Telnet源IP地址 控制，保證只有管理員配置的IP地址登陸切換，更精確的提供設(shè)備管理控制，提高 了網(wǎng)絡(luò)管理設(shè)備的安全性。（3）高可靠性CPU安全屏障保護：特有的CPU保護策略（CPP，對發(fā)往CPU勺數(shù)據(jù)流，進(jìn)行流 區(qū)分和優(yōu)先級隊列分級處理，并實施帶寬限速，充分保護CPU不被非法流量占用、惡 意者攻擊和資源消耗

43、，保障了 CPU安全，充分保護了交換機的安全；生成樹協(xié)議802.1D, 802.1w, 802.1s的支持，充分保證了快速收斂，提高系統(tǒng) 容錯能力，保證網(wǎng)絡(luò)和鏈路負(fù)載均衡的穩(wěn)定運行， 合理利用渠道網(wǎng)絡(luò)，提供冗余鏈路 利用；的PORTFAS大大降低了 30-50秒生成樹協(xié)議收斂時間的標(biāo)準(zhǔn)，和 BPDI保護功 能，以避免生成樹協(xié)議環(huán)路；支持RLDP可以是單向鏈路快速檢測的通斷和光纖鏈路和支持端口環(huán)路檢測功能，防止端口，用于私有訪問集線器等設(shè)備，在循環(huán)的形式，并導(dǎo)致網(wǎng)絡(luò)的現(xiàn)象故障； 支持1+1冗余可插拔電源，提供系統(tǒng)可靠性，同時方便客戶進(jìn)行現(xiàn)場維護。（4）多業(yè)務(wù)支持當(dāng)網(wǎng)絡(luò)上的服務(wù)越來越多，其帶寬安全

44、就顯得尤為必要。為了避免帶寬的緊急服 務(wù)，完善的服務(wù)質(zhì)量是服務(wù)質(zhì)量的保障；支持的802.1p，DSCP IP TOS，根據(jù)不同的應(yīng)用二至七層流過的 QOS策略的過濾器，用MAC流，IP流，應(yīng)用流的多層流分類和流量控制，帶寬控制，轉(zhuǎn)發(fā)優(yōu)先級 策略，支持網(wǎng)絡(luò)和不同的應(yīng)用需要保持服務(wù)質(zhì)量提供完善服務(wù)；每端口支持8個優(yōu)先級輸出隊列，使網(wǎng)絡(luò)管理員可更精細(xì)的為各種應(yīng)用分配帶 寬，從而更好的保證業(yè)務(wù)正常開展。交換機支持SP, WRRDRR等機制確定報文處理順序，比如SP可確保某個隊列中的業(yè)務(wù)總是優(yōu)先傳輸，而 WR則可保證所有隊列中 的業(yè)務(wù)都有機會；極靈活的帶寬控制能力，基于交換機端口、MAC地址、IP地址、

45、VLAND、協(xié)議、應(yīng)用組合進(jìn)行靈活的帶寬限速，限速粒度達(dá)到64Kbps,可根據(jù)網(wǎng)絡(luò)安全需求，設(shè)定不同業(yè)務(wù)應(yīng)用的帶寬流量，滿足網(wǎng)絡(luò)帶寬按需所用；能夠探測IGMPv1/v2和IGMPv3全部版本的組播報文，適應(yīng)不同組播環(huán)境，避免 非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬，滿足組播安全應(yīng)用的需要。（5）靈活可靠的萬兆混合堆疊提供可靠的萬兆冗余堆疊組合，在萬兆冗余堆疊的基礎(chǔ)上，能同時提供萬兆上鏈， 滿足高性能、高帶寬的需要，方便網(wǎng)絡(luò)發(fā)展和規(guī)模擴大；支持硬件堆疊QOS保證在網(wǎng)絡(luò)擁塞、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)環(huán)境惡劣的情況下，依然 能正常管理堆疊組成員，保證堆疊設(shè)備的正常運營。（6）方便易用易管理采用靈活復(fù)用的千兆接口和擴展槽

46、組合的形式， 可最靈活滿足是否需要多個千兆 鏈路上鏈或多個千兆服務(wù)器的連接，方便用戶根據(jù)網(wǎng)絡(luò)架構(gòu)靈活選擇連接形式；多端口同步監(jiān)控，通過一個端口監(jiān)控數(shù)據(jù)流的多個端口， 只能監(jiān)控輸入幀或只監(jiān) 控輸出幀或雙向幀，大大提高維護效率；網(wǎng)絡(luò)時間協(xié)議確保的開關(guān)時間的準(zhǔn)確性， 并統(tǒng)一為在網(wǎng)絡(luò)時間服務(wù)器，因此它可 以很容易地記錄信息和交通信息和故障診斷；日志便于收集，維護，分析，故障各種日志信息，這是很容易對管理員的維護和 管理的位置和備份；防火墻的選擇實現(xiàn)和維護防火墻是網(wǎng)絡(luò)安全策略的一個主要部分，所以防火墻在網(wǎng)絡(luò)安全的實 現(xiàn)當(dāng)中一直扮演著重要的角色。防火墻通常位于網(wǎng)絡(luò)中，這使得內(nèi)部網(wǎng)和因特網(wǎng)或與 其它外部網(wǎng)絡(luò)

47、彼此隔離，限制訪問來保護網(wǎng)絡(luò)的交換的邊緣。 設(shè)置防火墻的目的是要 建立的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的唯一通道，并簡化了網(wǎng)絡(luò)的安全性管理。銳捷網(wǎng)絡(luò)RG-WAL1600系列下一代防火墻基于“人本網(wǎng)絡(luò)”，實現(xiàn)“智能感知” < 實現(xiàn)基于用戶、資源、應(yīng)用的訪問控制。 RG-WAL系列下一代防火墻采用最新的安全 處理算法，以高性能提供防病毒、IPS、行為監(jiān)管、反垃圾郵件、深度狀態(tài)檢測、外 部攻擊防范、應(yīng)用層過濾等功能，有效保證網(wǎng)絡(luò)安全。提供多種智能分析和管理手段， 支持郵件告警，進(jìn)行網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管 理員完成網(wǎng)絡(luò)安全管理；全面的VPN業(yè)務(wù)，可以構(gòu)建多種形式的VPN雙機狀態(tài)熱備， 支持主主和主備兩

48、種工作模式以及豐富的 Qose性，充分滿足客戶對網(wǎng)絡(luò)高可靠性的 要求。即刻選擇銳捷網(wǎng)絡(luò)RG-WAL下一代防火墻，讓用戶的網(wǎng)絡(luò)更加安全、高效、穩(wěn)定、 可靠。（1）采用先進(jìn)的硬件平臺及設(shè)計架構(gòu)全線產(chǎn)品使用多核平臺，萬兆級高速安全處理。統(tǒng)一化的特征庫和一體化分析處 理引擎設(shè)計，極大的提高了多功能模塊同時運行時的運行效率。（2）多業(yè)務(wù)高性能采用銳捷網(wǎng)絡(luò)安全研究組 RG-Slab最新發(fā)布的HiSpeed算法，突破安全產(chǎn)品硬件 瓶頸。實現(xiàn)防火墻、VPN UTM多業(yè)務(wù)高性能。支持IPS、流控、Web過濾的高性能處 理。（3）下一代防火墻特性面向法規(guī)和人本，實現(xiàn)基于用戶、資源、應(yīng)用的訪問控制?？梢耘c身份認(rèn)證系

49、統(tǒng) 對接，實現(xiàn)一體化策略配置，可視化安全管理更加快捷高效。（4）支持全面的網(wǎng)絡(luò)攻擊防護支持DOS/DDO攻擊防護，支持MA（和IP綁定功能，支持智能防范ARP攻擊防護、 TCP報文標(biāo)志位不合法攻擊防范、超大ICMP報文攻擊防范等等網(wǎng)絡(luò)攻擊防護。（5）完善的日志管理與審計提供記錄日志功能，統(tǒng)計與分析流量，時間監(jiān)控，郵件提醒功能，有完善的日至 管理系統(tǒng)，完成的日志查詢，分析，記錄。（6）獨立的VPN模塊內(nèi)置專用的硬件 VPN模塊，支持 GRE L2TP、IPSec、SSLVPN等多種VPN業(yè)務(wù)模 式。支持多種平臺移動終端 VPN接入。（7）咼可靠性保障支持雙機狀態(tài)熱備功能，支持Active/Act

50、ive 和Active/Passive 兩種工作模式， 實現(xiàn)負(fù)載分擔(dān)和業(yè)務(wù)備份，支持自動同步特征庫和策略庫。支持雙配置文件，設(shè)備關(guān) 鍵部件均采用冗余設(shè)計。4.5網(wǎng)絡(luò)總體拓?fù)鋱D國信美邑網(wǎng)絡(luò)出口為防火墻，下接三層交換機作為核心，然后就是每棟樓的接入 交換機。內(nèi)網(wǎng)服務(wù)器部署在防火墻的 DMZ區(qū)域。網(wǎng)絡(luò)的出口為一條電信的鏈路，內(nèi)網(wǎng)的服務(wù)器通過在端口映射成電信的地址使外 部可以訪問。核心交換機為銳捷的S-8600,防火墻是銳捷網(wǎng)絡(luò)RG-AG515各個樓的接入交換 機是銳捷網(wǎng)絡(luò)睿翼RG-S2928G-S所有布線均采用的是雙絞線。根據(jù)客戶的需求，國信美邑小區(qū)網(wǎng)絡(luò)拓?fù)鋱D如圖4-1所示：圖4-1國信美邑小區(qū)核心

51、拓?fù)鋱D5網(wǎng)絡(luò)的詳細(xì)設(shè)計規(guī)劃5.1 IP地址的重新劃分考慮到原網(wǎng)絡(luò)的IP地址規(guī)劃中的問題，現(xiàn)需要對國信美邑小區(qū)的IP地址進(jìn)行重 新規(guī)劃，所用私有網(wǎng)段IP地址為：，表面看起來這個網(wǎng)段似乎很大， 但是在實際應(yīng)用中根本無法滿足劇增的用戶的需求。因此在 IP地址規(guī)劃這里必須詳 細(xì)考慮到國信美邑小區(qū)的現(xiàn)在狀況，合理的利用各項技術(shù)，盡可能使IP地址資源達(dá)到充分的利用，在IP地址的分配中，還要考慮到VLAN中的IP地址以及VLSM等。IP 地址劃分是本次設(shè)計中最繁瑣的一塊。根據(jù)國信美邑小區(qū)的網(wǎng)絡(luò)拓?fù)洌€有已經(jīng)存在的建筑構(gòu)造，小區(qū)網(wǎng)絡(luò)的重新規(guī)劃 十分困難，而且小區(qū)各棟樓結(jié)構(gòu)類似。在這里國信美邑小區(qū)的IP地址空間

52、應(yīng)該足夠的大。根據(jù)樓編號劃分，各棟樓都已經(jīng)分配到了自己所需要的IP地址，內(nèi)部的具體詳細(xì)劃分如下?？梢詣澐殖?6個的IP地址段。所以國信美邑 小區(qū)的網(wǎng)絡(luò)IP地址具體規(guī)劃如下：服務(wù)器，防火墻，核心設(shè)備的端口 IP地址也可以在國信美邑小區(qū)的IP地址里劃 分出來。服務(wù)器群及防火墻的IP地址可在：網(wǎng)段中，內(nèi)部的具體IP地 址劃分可根據(jù)一個服務(wù)器一個指定IP地址的原則進(jìn)行劃分。為核心設(shè)備的 IP 地址段。為服務(wù)器和防火墻等配置。服務(wù)器IP分配例子如下：Mail : 如果有新的服務(wù)器添加進(jìn)來，只需要按照IP地址的數(shù)目依次往下分配即可。由于核心設(shè)備的端口比較多，其 IP地址可在：取IP地址來 滿足設(shè)備配置的需

53、要。國信美邑小區(qū)的網(wǎng)絡(luò)IP地址具體劃分要根據(jù)信美邑小區(qū)網(wǎng)絡(luò)拓?fù)鋪碓敿?xì)劃分。由此可以確定國信美邑小區(qū)的網(wǎng)絡(luò)IP地址具體分配，如表5-1所示：表5-1國信美邑小區(qū)的網(wǎng)絡(luò)IP地址具體分配表樓號IP地址（網(wǎng)絡(luò)地址）A1棟192.168.1.1/25A2棟A3棟192.16821/25A4棟A5棟A6棟A17棟A18棟物業(yè)在IP地址分配出后，仍然有 作為保留網(wǎng)段，完全可以滿足日漸發(fā)展的國信美邑小區(qū)的網(wǎng)絡(luò)的需要。社區(qū)網(wǎng)的信息點多，如何對IP地址的分配進(jìn)行有效的管理，是十分重要的。針 對不同的情況，可以對IP地址進(jìn)行靜態(tài)或動態(tài)的分配方式。國信美邑小區(qū)的靜態(tài)分配的情況：（1）對外提供信息服務(wù)的服務(wù)器；（2）社

54、區(qū)網(wǎng)內(nèi)提供信息及管理服務(wù)的服務(wù)器；（3）路由器、交換機等網(wǎng)絡(luò)設(shè)備的IP地址分配。動態(tài)分配的情況：不提供信息服務(wù)，只訪問小區(qū)內(nèi)部或互聯(lián)網(wǎng)的資源。 本方案的接入交換機配合認(rèn)證計費系統(tǒng)，可以做到以下地址管理：（1） 對于靜態(tài)分配地址的用戶，只有用預(yù)先分配的IP地址才可以上網(wǎng)；（2）對于動態(tài)分配地址的用戶，只有通過DHC方式獲得IP地址才可以上網(wǎng);（3） 獲得有效IP地址上網(wǎng)后，試圖修改IP地址，均會自動與網(wǎng)絡(luò)斷線。 以上手段，保證了 IP地址不會沖突，因而可以對IP地址資源的使用進(jìn)行有效的管理和控制。5.2 VLAN的戈ij分VLAN又叫虛擬局域網(wǎng)，它可以把可跨越不同網(wǎng)段，不同網(wǎng)絡(luò)的端到端邏輯網(wǎng)絡(luò)

55、部署在交換局域網(wǎng)上。通過 VLAN組成的邏輯廣播域覆蓋不同的網(wǎng)絡(luò)設(shè)備，并且允許 一個邏輯子網(wǎng)中存在不同地理位置的網(wǎng)絡(luò)用戶。本次VLAN的設(shè)計是基于端口的VLAN戈分的。將一個交換機上的不同端口構(gòu)建成 一個邏輯組，這種方法簡單并且有效。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口 進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。其余棟的網(wǎng)絡(luò)大致可按次類推，每個代表性的棟劃分到一個VLAN中。這樣就能充分且合理的貫徹了 VLAN的作用及特點。本次設(shè)計中，不得不考慮到VLAN之間的路由。在默認(rèn)時，只是在一個VLAN中的 主機才能彼此通信。針對國信美邑小區(qū)網(wǎng)絡(luò)的物理拓?fù)洌?不可能每一個棟住戶都規(guī)劃 到起相應(yīng)

56、的交換機下，這種情況只需這種情況的端口設(shè)置為 Trunk即可解決所遇到的 問題。這里要注意：要將交換機的端口配置成為 Trunk,端口帶寬必須至少為100MB/S 通過建立一個虛擬專用網(wǎng)來解決該問題。在交換機上配置一條中繼鏈接，然后在路由器上使用標(biāo)記協(xié)議如：ISL或802.1Q, 只需要在選擇了接口和封裝類型以及虛擬網(wǎng)號后，配置上子接口的 IP地址和這個接 口屬于哪個子網(wǎng)即可。VLAN的詳細(xì)配置，如表5-2所示：表5-2國信美邑小區(qū)VLAN具體分配表樓號VLAN IDA1棟VLAN 10A2棟VLAN 20A3棟VLAN 30A4棟VLAN 40A5棟VLAN 50A6棟VLAN 60A17棟

57、VLAN 170A18棟VLAN 180物業(yè)VLAN 1905.3網(wǎng)絡(luò)管理設(shè)計根據(jù)用戶需求的分析的結(jié)果，本小區(qū)必須是可管理的網(wǎng)絡(luò)，所以網(wǎng)絡(luò)管理的設(shè)計 必須以邏輯網(wǎng)絡(luò)的設(shè)計來進(jìn)行。根據(jù)客戶機/服務(wù)器應(yīng)用模式和集中式資源管理的原則，網(wǎng)絡(luò)管理中心，建立， 管理和交換設(shè)備在分布網(wǎng)絡(luò)中都是統(tǒng)一。所有開關(guān)設(shè)備和路由設(shè)備，配置和維護工作站網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理。支持RMO和RMON管理標(biāo)準(zhǔn)。支持故障隔離和分析，統(tǒng)計，并設(shè)置報警。網(wǎng)絡(luò)管理軟件采用的圖形用戶界面，支持廣泛的網(wǎng)絡(luò)管理平臺。5.4網(wǎng)絡(luò)的安全設(shè)計光纖局域網(wǎng)的安全性較高，在考慮到網(wǎng)絡(luò)安全的需求和用戶的需求兩方面因素 下，設(shè)計網(wǎng)絡(luò)安全區(qū)主要采用用戶認(rèn)證， 訪問控制，防火墻和安全管理技