上海師范大學(xué)校園網(wǎng)技術(shù)建議書

1、上海師范大學(xué)校園網(wǎng)技術(shù)建議書華為技術(shù)有限公司2008年 11月HUAWei上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 HUAWei上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 目錄 TOC o 1-5 h z 目錄1 HYPERLINK l bookmark2 o Current Document 概述21.1上海師范大學(xué)校區(qū)校園網(wǎng)建網(wǎng)需求分析 21.2.1 一般建網(wǎng)需求21.2.2上海師范大學(xué)校區(qū)建網(wǎng)需求 41.3核心、匯聚建網(wǎng)原則 4 HYPERLINK l bookmark4 o Current Document 總體網(wǎng)絡(luò)設(shè)計(jì) 72.1組網(wǎng)描述 72.2業(yè)務(wù)

2、訪問說明 9 HYPERLINK l bookmark6 o Current Document 3上海師范大學(xué)詳細(xì)網(wǎng)絡(luò)設(shè)計(jì) 10IP地址規(guī)劃和路由策略 103.2上海師范大學(xué) VLAN劃分 11 HYPERLINK l bookmark8 o Current Document 核心網(wǎng)安全設(shè)計(jì) 124.1用戶嚴(yán)格隔離 124.2用戶唯一標(biāo)識(shí) 124.3防止對(duì)DHCP服務(wù)器的攻擊 134.4組網(wǎng)安全性設(shè)計(jì) 134.5出口運(yùn)營商線路備份 13 HYPERLINK l bookmark10 o Current Document 組網(wǎng)核心設(shè)備介紹 15?QJIDWAYS9300系列核心路由交換機(jī) 15Q

3、UIDWA? NETENGINE 40全業(yè)務(wù)路由器 18 HYPERLINK l bookmark12 o Current Document 6.教育行業(yè)用戶名單 24HIWVVT I上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 HIWVVT I上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 1 概述隨著國家信息化工作的深入開展，提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重 點(diǎn)。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵，尤其是高校校園網(wǎng)建設(shè)。在信息 化的建設(shè)過程中，它的作用體現(xiàn)在如下幾個(gè)方面：1、 校園網(wǎng)能促進(jìn)教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平；信息技術(shù)學(xué)科的內(nèi)容 是發(fā)展

4、的，它是一門應(yīng)用型學(xué)科，因此，為了讓學(xué)生學(xué)到實(shí)用的知識(shí)，必須 給他們提供一個(gè)實(shí)踐的環(huán)境，這個(gè)環(huán)境離不開校園網(wǎng)。2、 校園網(wǎng)為教師提供了一種先進(jìn)的輔助教學(xué)工具、提供了豐富的資源庫，所以校 園網(wǎng)是學(xué)校進(jìn)行教學(xué)改革、推行素質(zhì)教育的一種必不可少的工具。3、校園網(wǎng)是學(xué)?，F(xiàn)代化管理的基礎(chǔ)，深入、全面的學(xué)校信息管理系統(tǒng)必須建立在 校園網(wǎng)上。4、校園網(wǎng)提供了學(xué)校與外界交流的窗口， 學(xué)校應(yīng)將校園網(wǎng)與互聯(lián)網(wǎng)聯(lián)接， 這也是 學(xué)校信息化的要求，做到了這一步，通過校園網(wǎng)去了解世界、在互聯(lián)網(wǎng)上樹立學(xué)校的形象都是很容易的。教育即未來，作為國家最重要的戰(zhàn)略工程，如何應(yīng)用信息技術(shù)改造我們傳統(tǒng)的教 學(xué)和管理手段；如何加深學(xué)生對(duì)于

5、信息化和信息技術(shù)的理解與了解；如何造就同時(shí)具 備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當(dāng)前最為緊迫的任務(wù)之一。信息技 術(shù)的應(yīng)用，勢(shì)必極大地推進(jìn)教育手段和教育內(nèi)容的革命性變革。我們對(duì)此深信不疑， 并將全身心地為之努力。1.1上海師范大學(xué)校區(qū)校園網(wǎng)建網(wǎng)需求分析1.2.1 一般建網(wǎng)需求上海師范大學(xué)校區(qū)的網(wǎng)絡(luò)屬于新建， 在實(shí)際的建設(shè)過程當(dāng)中，應(yīng)當(dāng)充分考慮到學(xué) 校內(nèi)部的校園網(wǎng)多業(yè)務(wù)以及特色業(yè)務(wù)等擴(kuò)展性，如：校園網(wǎng)內(nèi)部的服務(wù)器的訪問，由 于學(xué)生的訪問的內(nèi)容多樣化決定，涉及到基礎(chǔ)網(wǎng)絡(luò)設(shè)施的建設(shè)和業(yè)務(wù)應(yīng)用平臺(tái)建設(shè)兩 個(gè)不同的層面。此處主要分析上海師范大學(xué)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)運(yùn)營方面相關(guān)的內(nèi)容。上海師范大

6、學(xué)校園網(wǎng)絡(luò)建設(shè)從網(wǎng)絡(luò)流量模型上看和企業(yè)網(wǎng)的流量模型相似,用戶集中而網(wǎng)絡(luò)流量大，但實(shí)際應(yīng)用上還存在許多和企業(yè)網(wǎng)不同的地方。主要特點(diǎn)如下：1多出口的需求：典型的組網(wǎng)有中國教育和科研網(wǎng)（CERNET出口和運(yùn)營商網(wǎng)絡(luò)出口。多出口帶 來了以下兩個(gè)需求：1）多權(quán)限ISP需求。用戶可通過不同的賬號(hào)名或采用相同的賬號(hào)，不同的域 名認(rèn)證，獲得不同的上網(wǎng)權(quán)限。譬如做到用戶不認(rèn)證前能自由訪問校園內(nèi) 部分服務(wù)器，采用“ user163登錄，可實(shí)現(xiàn)In ternet和校園網(wǎng)絡(luò)自由 訪問，采用“ usercrenet”登錄，可訪問CERNE和校園網(wǎng)。用戶域名選 擇可通過 WEB認(rèn)證時(shí)用戶通過選擇 WEB認(rèn)證上的相應(yīng)選擇項(xiàng)

7、進(jìn)行選擇。2）多ISP分別計(jì)費(fèi)的需求，對(duì)應(yīng)不同的ISP，計(jì)費(fèi)策略不一致?？紤]到用戶的以上的需求，需要在學(xué)校的內(nèi)部提供不同的路由策略，即用 戶訪問教育網(wǎng)的相關(guān)站點(diǎn)，通過 CERNET線路，而訪問其他的網(wǎng)站如：新浪 網(wǎng)、263等網(wǎng)站則選擇運(yùn)營商的線路作為出口路由，這要求核心的交換機(jī)或 出口路由器能夠提供策略路由以支持該特性。2、用戶管理的需求：1）使用方便，存在 WEB認(rèn)證需求。要求能做到基于 WEB的身份認(rèn)證、多ISP 選擇、W用戶費(fèi)率查詢、帶寬動(dòng)態(tài)調(diào)整（隱性需求）、多WEB界面（隱性需 求）等。2）需要解決賬號(hào)和端口綁定問題。通過此種方式限制賬號(hào)的使用區(qū)域。3）對(duì)用戶帶寬進(jìn)行控制的需求，要求設(shè)

8、備能對(duì)用戶的帶寬進(jìn)行控制，譬如限制為 64K、256K、512K、1M 2M 5M 10M等等級(jí)。3、多種教學(xué)方式并行的需求：隨著校園網(wǎng)的信息化的發(fā)展，越來越的多教學(xué)方式依托于網(wǎng)絡(luò)給學(xué)生提供多種的特色教學(xué)模式1）多媒體教學(xué)。為了更好的為學(xué)生提供全方面的教學(xué)資料，越來越的多學(xué)校在自己的內(nèi)部局域網(wǎng)上面為學(xué)生提供多種教學(xué)資料，如：多媒體教學(xué)課件、典型的考試資料等等提供給學(xué)生上網(wǎng)下載使用2）VOD點(diǎn)播業(yè)務(wù)實(shí)現(xiàn)，通過建立 VOD視頻服務(wù)器平臺(tái)，利用交換機(jī)提供的組 播功能，為上海師范大學(xué)的用戶提供優(yōu)質(zhì)的視頻效果，同時(shí)節(jié)省用戶帶寬。4、安全管理的需求：1）校園用戶接受新鮮事務(wù)的能力非常強(qiáng)，因此校園也成為黑客

9、最多的場(chǎng)所之 一，如何保障校園網(wǎng)絡(luò)的安全成為建網(wǎng)時(shí)不得不考慮的問題，目前主要攻 擊手段有DOS DDO等2）上網(wǎng)日志的需求，主要是配合公安機(jī)關(guān)保證社會(huì)的穩(wěn)定和校園的安全6、組播業(yè)務(wù)的需求，特別是可控組播的需求將隨著校園信息化的深入而體現(xiàn)出 來。1.2.2上海師范大學(xué)校區(qū)建網(wǎng)需求上海師范大學(xué)有兩個(gè)校區(qū)共四個(gè)主節(jié)點(diǎn)和五個(gè)分節(jié)點(diǎn)。主節(jié)點(diǎn)為：徐匯信息辦機(jī) 房、徐匯一教5樓機(jī)房、奉賢圖文8樓機(jī)房、奉賢老圖書館機(jī)房；分節(jié)點(diǎn)為：徐匯計(jì) 算中心、徐匯東校區(qū)、徐匯圖書館、徐匯行政樓、奉賢圖書館。上海師范大學(xué)有三個(gè)In ternet網(wǎng)絡(luò)出口，分別為徐匯校區(qū)的1000M教科網(wǎng)出口（目 前日常使用帶寬為單向800M雙

10、向1.5G以上）、1000M上海中小學(xué)校校通教育網(wǎng)出口 和奉賢校區(qū)的20M電信出口（所有鏈路均為千兆光纖接口）。具體需求：現(xiàn)有網(wǎng)絡(luò)的容量，可靠性 建設(shè)后網(wǎng)絡(luò)5- 10年的容量，可靠性新的網(wǎng)絡(luò)平臺(tái)擴(kuò)充后必然會(huì)引入安全問題，如何實(shí)現(xiàn)安全的控制及監(jiān)控。新的網(wǎng)絡(luò)平臺(tái)對(duì)于業(yè)務(wù)主流技術(shù)的應(yīng)用（包括 VPN,IPV6,QOS等）對(duì)于用戶的管理和計(jì)費(fèi)，以及安全是否做充分的考慮其他業(yè)務(wù)系統(tǒng)的信息化互聯(lián)，包括一卡通，數(shù)據(jù)中心等1.2核心、匯聚建網(wǎng)原則早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機(jī)資源，共享簡(jiǎn)單數(shù)據(jù)庫，多以二 層交換為主，很少有三層應(yīng)用，存在安全、可管理性較差、無業(yè)務(wù)增值能力 等方面 的問題?，F(xiàn)在上海師

11、范大學(xué)校園網(wǎng)建設(shè)要實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)教育管理、多媒體教學(xué)、圖書館 管理自動(dòng)化，而且還要通過In ternet實(shí)現(xiàn)遠(yuǎn)程教學(xué)，提供可增值可管理的業(yè)務(wù)，必 須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可 擴(kuò)展性?；趯?duì)上海師范大學(xué)校園網(wǎng)業(yè)務(wù)需求的深入理解， 結(jié)合自身產(chǎn)品和技術(shù)特點(diǎn)，華 為公司推出了了完善的上海師范大學(xué)校園網(wǎng)解決方案，為上海師范大學(xué)提供“可管理、 可增值、可持續(xù)發(fā)展”的精品網(wǎng)絡(luò)。上海師范大學(xué)網(wǎng)絡(luò)建設(shè)遵循以下基本原則：高帶寬上海師范大學(xué)網(wǎng)絡(luò)是一個(gè)龐大而且復(fù)雜的網(wǎng)絡(luò)， 為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)

12、，校園 網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計(jì)的無瓶頸性，要求方案設(shè)計(jì)的階段就要充分考慮到， 同時(shí)要求核心 交換機(jī)具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換?？稍鲋敌陨虾煼洞髮W(xué)校園網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng) 絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì) 不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)， 使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U(kuò)充性考慮到上海師范大學(xué)用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性， 要求對(duì)于核心交換機(jī) 與匯聚交換機(jī)具有強(qiáng)大的擴(kuò)展功能，上海師范大學(xué)校園網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng) 靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充

13、分留有擴(kuò)充余地。開放性技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)， 避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié) 議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需 要；開放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、 遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性， 支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)， 提供網(wǎng)絡(luò) 安全防范措施。HIWVVT I上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 HIWVVT I上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密

14、文件 總體網(wǎng)絡(luò)設(shè)計(jì)2.1組網(wǎng)描述上海師范大學(xué)校園核心層解決方案總體設(shè)計(jì)以高性能、高可靠性、高安全性、良以及考慮到技術(shù)的先好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則,進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。組網(wǎng)圖如下所示:校校通網(wǎng)絡(luò)中國教科網(wǎng)教科流控日志服務(wù)器I防火墻群服 務(wù)S9312NE40校校通出口路由器徐匯一教徐匯東校區(qū)徐匯圖書館辦機(jī)房S9303徐匯計(jì)算中心徐匯信息S9303S9303S9303徐匯行政樓S9312中國電信8樓機(jī)房S93S9312圖書館機(jī),務(wù) 器 群奉賢圖書館電信出口路由器NE40防火墻奉賢圖文S9303S9303解決方案網(wǎng)絡(luò)分為三個(gè)層次，核心層、樓層匯聚層、接入

15、層。為實(shí)現(xiàn)校區(qū)內(nèi) 的高速互聯(lián)，核心層采用4臺(tái)華為公司核心路由交換機(jī) Quidway S9312,采用10G 接口互聯(lián)，組成環(huán)網(wǎng)，構(gòu)建了校園網(wǎng)絡(luò)中心。設(shè)計(jì)說明:核心采用4臺(tái)S9312核心交換機(jī)，主要是從核心的大容量轉(zhuǎn)發(fā)、高可靠性角度考 慮。4臺(tái)S9312負(fù)載分擔(dān)連接多臺(tái)服務(wù)器、所有匯聚交換機(jī)和出口路由器，部署 業(yè)界先進(jìn)的檢測(cè)技術(shù)及保護(hù)技術(shù)，如 BFD FOR VRRP, smartlink，RRPP確保網(wǎng) 絡(luò)s級(jí)的快速切換，保證業(yè)務(wù)不中斷，最大實(shí)現(xiàn)網(wǎng)絡(luò)的可靠性。匯聚層采用全千兆S9303匯聚層交換機(jī)，保證帶寬，避免在匯聚層形成瓶頸。S9303交換機(jī)提供的三層功能可以有效屏蔽網(wǎng)絡(luò)攻擊，保證網(wǎng)絡(luò)安全

16、。在服務(wù)器分布區(qū)，核心設(shè)備旁掛一臺(tái)交換機(jī)，作為各種服務(wù)器端口匯聚，新增 臺(tái)防火墻作為安全防范。上海師范大學(xué)校區(qū)校園網(wǎng)核心層、 匯聚層、接入層建設(shè)是要求從上海師范大學(xué) 實(shí)際的應(yīng)用出發(fā)，考慮到學(xué)生用戶數(shù)量大、上網(wǎng)時(shí)間集中、突發(fā)流量較大等因素, 華為在實(shí)際的建網(wǎng)的過程當(dāng)中遵循了以下幾點(diǎn)要求：1）核心層交換機(jī)：在建設(shè)的過程當(dāng)中，應(yīng)當(dāng)充分考慮到核心交換機(jī)的交換性能， 以及轉(zhuǎn)發(fā)性能，華為S9312萬兆核心交換機(jī)具12個(gè)業(yè)務(wù)插槽，最大可以支持 4.8T的背板容量和2T的交換能力，設(shè)備包交換能力可以達(dá)到 864Mpps MAC 地址表最大達(dá)到512&可以為用戶提供強(qiáng)大的三層交換功能，目前對(duì)于萬兆接 口、IPv

17、6等新技術(shù)均支持。2）匯聚層交換機(jī)：匯聚層在整網(wǎng)當(dāng)中是接入層與核心層的橋梁，因此在網(wǎng)絡(luò)的建設(shè)過程當(dāng)中應(yīng)當(dāng)避免匯聚層的瓶頸問題，并應(yīng)當(dāng)留有足夠的業(yè)務(wù)擴(kuò)展能力。我們?cè)谏虾煼洞髮W(xué)的網(wǎng)絡(luò)設(shè)計(jì)當(dāng)中采用S9303交換機(jī)作為匯聚層交換機(jī)，S9303交換機(jī)支持 QinQ、靈活QinQ、VLAN交換等VLAN特性。支持BPDUTunnel、GRE VLL、MPLS L3 VPN VPLS 等隧道功能，支持 RRPP STR RSTP MSTP 等環(huán)網(wǎng)技術(shù)。支持靜態(tài)路由，RIPv1/v2,OSPFv2, ISIS，BGPv4等豐富的路由特性。支持 IGMPSnooping、IGMPProxy、靜態(tài)組播、PIM

18、SM PIM DM MSDP 等組播功能.3）出口路由器：考慮到上海師范大學(xué)的公網(wǎng)出口有兩個(gè)，用戶可以自由的選擇不同的線路作為自己的出口線路；因此要求出口路由器具有強(qiáng)大的策略路由 的功能，以及基于硬件的ACL列表功能，華為NE40高端路由器，具有強(qiáng)大的 路由功能以及業(yè)務(wù)功能；NE40基于分布式的硬件轉(zhuǎn)發(fā)和無阻塞交換技術(shù)，具 備電信級(jí)可靠性、線速轉(zhuǎn)發(fā)性能、完善的QoS機(jī)制、豐富的業(yè)務(wù)處理能力、優(yōu)異的擴(kuò)展能力。NE40具備核心路由器所需的強(qiáng)大IP業(yè)務(wù)處理能力，同時(shí) 融合了三層以太交換能力，具有豐富的IP邊緣業(yè)務(wù)特性，包括以太網(wǎng)交換處理、PE、隧道和流隊(duì)列等，支持以太網(wǎng)時(shí)鐘。憑借NE40全面的業(yè)務(wù)支

19、持能力， 可實(shí)現(xiàn)IP運(yùn)營級(jí)業(yè)務(wù)的可靠承載，IPv4向IPv6的平滑過渡。NE40有機(jī)地結(jié) 合了軟件的靈活性和硬件的高性能，即提供線速轉(zhuǎn)發(fā)性能，又具備快速良好 的業(yè)務(wù)升級(jí)和擴(kuò)展能力。2.2業(yè)務(wù)訪問說明1）不同用戶訪問公網(wǎng)：用戶可以根據(jù)自己的需求，選擇不同的運(yùn)營商來進(jìn)行公 網(wǎng)的訪問，出口路由器根據(jù)用戶的訪問策略進(jìn)行策略路由，如圖所示：不同的ISP用戶在經(jīng)過NE40的時(shí)候，NE40會(huì)根據(jù)用戶所在的ISP服務(wù)商來做策略 路由，將用戶送到自己選擇的出口線路上。2）校內(nèi)三層互訪：對(duì)于同在一個(gè)校園內(nèi)部的學(xué)生之間的互訪可以直接通過局域網(wǎng)的內(nèi)部交換機(jī)來完成內(nèi)部之間的互訪，對(duì)于同屬于一個(gè)匯聚層交換機(jī) S9303

20、下的用戶，兩個(gè)用戶之間的互訪可以直接在匯聚層交換機(jī)S9303上來完成，而對(duì)于跨匯聚層交換機(jī)的用戶只見的額互訪可以通過核心交換機(jī)S9312來完成，S9312強(qiáng)大的三層交換功能完全可以勝任任何突發(fā)流量以及高集中用戶上 網(wǎng)時(shí)段的三層交換，為用戶提供高速高帶寬的用戶接入。3）基于流攻擊的防止。華為公司所采用產(chǎn)品NE40 S9312 S9303等三層轉(zhuǎn)發(fā)模 式均為最長(zhǎng)路由匹配技術(shù)。這樣就可以避免校園網(wǎng)內(nèi)外的非法用戶利用專門的攻擊軟件進(jìn)行的一些基于流的共計(jì)，因?yàn)檫@種攻擊是通過不斷變換自己的 本網(wǎng)斷內(nèi)的IP地址，來不斷消耗主控處理板的 CPI#理能力，直到徹底使主 控處理板的CPU喪失處理能力，整個(gè)機(jī)器癱掉

21、。S9312是根據(jù)最長(zhǎng)匹配來查找 路由的，是針對(duì)網(wǎng)斷進(jìn)行路由的。所以當(dāng)攻擊者進(jìn)行攻擊時(shí)，不會(huì)造成S9312 業(yè)務(wù)能力處理下降，對(duì)于整機(jī)沒有影響影響。4）VPN業(yè)務(wù)規(guī)劃目前針對(duì)學(xué)校的主要業(yè)務(wù)是寬帶業(yè)務(wù)、 門禁業(yè)務(wù)等，VPN的規(guī)劃是在匯聚層節(jié) 點(diǎn)以上部署PE功能，核心節(jié)點(diǎn)作為P設(shè)備，可以采用二層或者三層 VPN按 照每個(gè)業(yè)務(wù)采用一類 VPN部署。學(xué)校內(nèi)不存在VPN用戶之間的訪問需求，主要 需求都是針對(duì)后臺(tái)服務(wù)器以及出口的訪問,同時(shí)VPN也沒有跨域的需求（不存 在學(xué)校和其他網(wǎng)絡(luò)之間的 VPN業(yè)務(wù)訪問），總的來說VPN的LSP路徑從匯聚設(shè) 備開始，在核心設(shè)備終結(jié)。對(duì)用戶側(cè)采用一類業(yè)務(wù)一類 VLAN對(duì)于

22、寬帶業(yè)務(wù) 部署QINQ（打外層標(biāo)簽），在匯聚設(shè)備上通過 ACL識(shí)別業(yè)務(wù)，把VLAN按照類 通過子接口放入VRF中。上海師范大學(xué)詳細(xì)網(wǎng)絡(luò)設(shè)計(jì)3.1 IP地址規(guī)劃和路由策略IP地址的合理規(guī)劃是校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率， 影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò) 應(yīng)用的進(jìn)一步發(fā)展。IP地址分配原則考慮到學(xué)校的學(xué)生宿舍的固定性，為保證對(duì)于上網(wǎng)學(xué)生的可查詢性，且考慮到 10.xxx.xxx.xxx 私網(wǎng)地址不存在短缺等因素，建議上海師范大學(xué)的IP地址采用靜態(tài)IP地址接

23、入的方式進(jìn)行建設(shè)。要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空 間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò) 中的路由聚類，減少路由器中路由表的長(zhǎng)度，減少對(duì)路由器CPU內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。 具體分配時(shí)要遵循以下原則：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高 路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊

24、合所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。當(dāng)校園網(wǎng)以私網(wǎng)地址分配或采用混合網(wǎng)絡(luò)地址接入時(shí)，要求校園網(wǎng)提供地址變換功能，過濾掉私網(wǎng)地址。上海師范大學(xué)校園網(wǎng)IP地址規(guī)劃方案1）IP地址的設(shè)計(jì)內(nèi)部地址的分配原則是按建筑物進(jìn)行的，視用戶的數(shù)量，1/4、1/2、整個(gè)私網(wǎng)的劃分。對(duì)于相對(duì)固定不變的教學(xué)區(qū)采用靜態(tài)分配IP地址，為防止地址盜用，采用IP地址與端口、地址綁定，對(duì)于流動(dòng)性大、用戶人數(shù)多、用戶增長(zhǎng)快的學(xué)生區(qū)采用動(dòng)態(tài)分配IP 地址，采用By Port的Vian，小范圍地限制地址盜用問題。靜

25、態(tài) IP地址對(duì)于用戶來 說可以實(shí)現(xiàn)對(duì)應(yīng)物理位置的查詢，對(duì)全網(wǎng)的IP地址與物理位置的對(duì)應(yīng)有全面、可靠的管理。2） 中心交換機(jī)支持靜態(tài)或動(dòng)態(tài)的IP地址分配，并支持動(dòng)態(tài)IP地址分配方式下DHCP-Relay功能，DHCP SERVER安放在園區(qū)內(nèi)部。3） 對(duì)于固定IP地址用戶，需要針對(duì)標(biāo)識(shí)符（MAC地址）設(shè)定保留IP地址。3.2上海師范大學(xué)VLAN劃分通常采用包月方式，同時(shí)需要實(shí)現(xiàn)帳號(hào)和端口綁定的功能，故采用一個(gè)用戶一個(gè) VLAN，并限制一個(gè)VLAN下同時(shí)接入的用戶數(shù)量。2、對(duì)一層樓一個(gè)VLAN本層樓的內(nèi)部互訪無須經(jīng)過三層交換機(jī)，優(yōu)化了組網(wǎng)。這種劃分方式中，因?yàn)閷?duì)用戶能實(shí)現(xiàn)動(dòng)態(tài)的 VLAN+MAC+

26、I綁定，可對(duì)用戶發(fā)動(dòng) 的偽造攻擊報(bào)文進(jìn)行合法性檢查和過濾，具有一定的網(wǎng)絡(luò)安全性保障。HIWVVT I上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 HIWVVT I上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 HUAWei上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 3、不同VLAN間的互訪，必須經(jīng)過三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)核心網(wǎng)安全設(shè)計(jì)網(wǎng)絡(luò)安全是任何一個(gè)網(wǎng)絡(luò)建設(shè)時(shí)首先要考慮的重要問題，上海師范大學(xué)校園網(wǎng)的環(huán)境更加復(fù)雜，學(xué)生的技術(shù)水平都較高，好奇心比較強(qiáng)，校園網(wǎng)的網(wǎng)絡(luò)安全更加值得 關(guān)注。TCP/IP網(wǎng)絡(luò)本身就存在很多安全漏洞，很容易被一些惡意用戶利用并實(shí)施攻擊

27、， 或非法占用網(wǎng)絡(luò)資源，侵犯其它用戶的合法利益，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)崩潰。任何 一個(gè)網(wǎng)絡(luò)設(shè)備都必需首先具備足夠的自我保護(hù)和防范能力，華為的交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備在安全性方面有豐富實(shí)用的功能， 大體可分為兩類，一類是自身防攻擊措施， 另一類是用戶安全保證措施。4.1用戶嚴(yán)格隔離方法一：用Vian隔離。在樓道以太網(wǎng)交換機(jī)上按端口劃分 Vian，每個(gè)用戶占用 一個(gè) Vian。方法二：利用PVlan技術(shù)。在樓道交換機(jī)上劃分 PVlan,使用戶端口之間不能通 信，用戶端口只能和Uplink 口通信。方法三：使用以太網(wǎng)MUXS備。該類設(shè)備將接入層交換機(jī)的端口分為兩類：上行 口 Uplink和用戶端口。用

28、戶端口之間不能通信，Uplink 口可以和所有端口通信。4.2用戶唯一標(biāo)識(shí)一般的邊緣路由器對(duì)于用戶上行報(bào)文，只根據(jù)目的 IP地址進(jìn)行轉(zhuǎn)發(fā)，不做源地 址檢查，這是出現(xiàn)網(wǎng)絡(luò)和用戶安全性問題的根本原因所在。對(duì)于靜態(tài) IP地址分配方 案，接入層交換機(jī)可在操作界面中實(shí)現(xiàn)用戶的 VLAN ID+IP+MAC綁定關(guān)系的指定；對(duì) 于動(dòng)態(tài)IP地址分配方案，在IP地址動(dòng)態(tài)分配后，接入層交換機(jī)可實(shí)現(xiàn)用戶的VLAN ID+IP+MAC勺綁定。VLAN信息由設(shè)備構(gòu)造，不可仿冒，可作為用戶上網(wǎng)的唯一標(biāo)識(shí)。4.3防止對(duì)DHC服務(wù)器的攻擊使用DHCP Server動(dòng)態(tài)分配IP地址會(huì)存在兩個(gè)問題：一是 DHCP Server假

29、冒， 用戶將自己的計(jì)算機(jī)設(shè)置成 DHCPServer后會(huì)與局方的DHCPServer沖突；二是用戶 DHCfSmurf，用戶使用軟件變換自己的 MAC地址，大量申請(qǐng)IP地址，很快將DHCP勺 地址池耗光。由于DHCP是通過二層廣播包起作用的，故在二層嚴(yán)格隔離用戶，可防止 DHCP Server假冒。為解決DHCP Smurf在以太網(wǎng)接入時(shí)，對(duì)用戶劃分 Vian，由匯聚層交 換機(jī)控制一個(gè)Vian下申請(qǐng)的最大IP地址數(shù)，當(dāng)該Vian的IP地址數(shù)目達(dá)到限制值后， 拒絕新的DHC呻請(qǐng)。Vian的劃分可根據(jù)學(xué)校的實(shí)際情況靈活掌握。4.4組網(wǎng)安全性設(shè)計(jì)網(wǎng)絡(luò)當(dāng)中，線路的備份非常重要，上海師范大學(xué)的網(wǎng)絡(luò)的設(shè)計(jì)

30、當(dāng)中，我們建議在 匯聚層與核心層之間的 2GE捆綁的上行可以在采用擴(kuò)大帶寬的同時(shí)實(shí)現(xiàn)線路上的備 份，當(dāng)其中一條線路出現(xiàn)故障，其余的一條線路可以實(shí)現(xiàn)線路的接替。這樣大大提高 了網(wǎng)絡(luò)組網(wǎng)的可靠性，進(jìn)而提高全網(wǎng)的可靠性。4.5出口運(yùn)營商線路備份對(duì)于上海師范大學(xué)來說雖然存在不同的學(xué)生用戶選擇不同的ISP的服務(wù)商，但是在實(shí)際的應(yīng)用當(dāng)中可能會(huì)產(chǎn)生ISP服務(wù)商線路終端的問題，因此學(xué)?？梢栽诔隹诼酚?器上配置備份策略，當(dāng)一個(gè)ISP服務(wù)商的線路出現(xiàn)問題的情況下， 可以選擇有限級(jí)較 低的策略從其他的ISP出口上網(wǎng)實(shí)現(xiàn)ISP線路的備份。主備方式：徐匯A上行端口下一跳靜態(tài)路由配置為徐匯 B,備份路由啟動(dòng)其它上行端口，

31、可 以配合ACL（五元組），正常流量統(tǒng)一從徐匯 B出口，異常時(shí)通過徐匯 A出口策略可以在核心設(shè)備上部署，訪問電信從奉賢出口，其他選擇徐匯出口負(fù)載分擔(dān)：徐匯A和徐匯B出口都配置等價(jià)路由，采用負(fù)載分擔(dān)方式承載，某條鏈路故障時(shí),則流量全部轉(zhuǎn)移到正常的鏈路上承載。策略可以在核心設(shè)備上部署，訪問電信從奉賢出口，其他選擇徐匯出口HUAWCI上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 組網(wǎng)核心設(shè)備介紹5.1 Quidway ? S9300系列核心路由交換機(jī)產(chǎn)品概述Quidway? S9300系列路由交換機(jī)(以下簡(jiǎn)稱S9300)是基于

32、新一代的硬件平臺(tái)和華為公司統(tǒng)一的VRP? (Versatile Routing Platform )平臺(tái)而推出的下一代以太網(wǎng)匯聚交換機(jī)，提供超大容量、高密 度、模塊化體系架構(gòu)，提供二、三層線速轉(zhuǎn)發(fā)能力，具有強(qiáng)大組播功能，VLAN 交換功能，完善的QoS保障、有效的安全管理機(jī)制和電信級(jí)高可靠設(shè)計(jì)，滿足城域以太網(wǎng)和企業(yè)園區(qū)網(wǎng)對(duì)Multi-Play業(yè)務(wù)承載的組網(wǎng)需求，為運(yùn)營商和企業(yè)網(wǎng)提供強(qiáng)大的網(wǎng)絡(luò)交換能力，支持IP專線、VPN、IPTV、IPv6等多種服務(wù)。為了降低運(yùn)營成本，滿足節(jié)能減排需求，S9300作為新一代的交換機(jī)采用了多種綠色節(jié)能的創(chuàng)新技術(shù)，大幅降低設(shè)備能耗、減小噪聲污染。產(chǎn)品外觀S9303

33、S9306S9312S9300系列包括S9303、S9306、S9312三款產(chǎn)品形態(tài)，均采用前維護(hù)設(shè)計(jì)。三款產(chǎn)品除了外形尺 寸、線卡數(shù)目、交換容量等指標(biāo)不同外，其他特性均保持一致。產(chǎn)品特點(diǎn)先進(jìn)的多平面系統(tǒng)架構(gòu)S9300采用分布式的轉(zhuǎn)發(fā)控制架構(gòu)，整個(gè)系統(tǒng)被分為五個(gè)邏輯平面，包括電源、時(shí)鐘、設(shè)備管理、 轉(zhuǎn)發(fā)控制四個(gè)控制平面和一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)平面，五個(gè)平面分別使用不同的背板總線，相互獨(dú)立，協(xié) 同工作。綠色節(jié)能環(huán)保S9300系列交換機(jī)基于綠色環(huán)保理念設(shè)計(jì)，左后風(fēng)道散熱方式提高機(jī)框的走線效率、智能風(fēng)扇分 區(qū)調(diào)速以及端口自動(dòng)休眠功能降低整機(jī)平均功耗、小顆粒模塊化電源設(shè)計(jì)減少運(yùn)營商初期投資、 歸一化的模塊化設(shè)計(jì)

34、節(jié)省維護(hù)成本；電信級(jí)高可靠性設(shè)計(jì)S9300系列交換機(jī)所有核心部件均采用冗余設(shè)計(jì)，主控模塊SRU/MCU支持1 + 1的工作模式，集中監(jiān)控模塊CMU支持1:1的備份工作模式，4個(gè)電源模塊支持2+2的負(fù)荷分擔(dān)工作模式,風(fēng)扇模 塊使用雙層備份方案，支持單風(fēng)扇失效(單風(fēng)扇出現(xiàn)故障情況下，系統(tǒng)仍可保持正常運(yùn)行)。除此 之外，Quidway? S9300系列軟件系統(tǒng)基于華為公司VRP平臺(tái)的模塊化設(shè)計(jì)，確保了主機(jī)系統(tǒng)軟件的可靠性，并且支持端口捆綁、Smart Link、RRPP、OAM、BFD、FRR等鏈路保護(hù)倒換協(xié)議，提高整個(gè)網(wǎng)絡(luò)的可靠性。超大容量交換平臺(tái)作為新一代的路由交換平臺(tái)，Quidway? S93

35、00系列交換機(jī)最大可以支持4.8T的背板容量和2T的交換能力，設(shè)備包交換能力可以達(dá)到864Mpps， MAC地址表最大達(dá)到512K。彈性可擴(kuò)展的硬件結(jié)構(gòu)S9300系列交換機(jī)交換容量可以擴(kuò)展到3.84T，槽位帶寬可以擴(kuò)展到 480Gbps,單框接口密度可以擴(kuò)展到288個(gè)10GE，MAC地址數(shù)可以擴(kuò)展到 1M。層次化QoSS9300系列交換機(jī)支持雙速三色和單速雙色標(biāo)記器，層次化的流量監(jiān)管，提供基于用戶組的流量 監(jiān)控以及組內(nèi)用戶間的帶寬統(tǒng)計(jì)復(fù)用，從而提供更精細(xì)的帶寬管理。支持SR、WRR、SP+WRR、DWRR等調(diào)度算法，解決 Triple Play和VPN模式下不同業(yè)務(wù)的服務(wù)質(zhì)量問題。支持基于端口

36、、 COS和VLAN進(jìn)行流量整形功能，有效提高IPTV視頻的質(zhì)量。豐富的二三層業(yè)務(wù)特性S9300系列交換機(jī)支持 QinQ、靈活QinQ、VLAN 交換等 VLAN 特性。支持BPDU Tunnel、GRE、 VLL、MPLS L3 VPN、VPLS等隧道功能，使得運(yùn)營商有提供管道服務(wù)的能力。支持RRPP、STP、RSTP、MSTP等環(huán)網(wǎng)技術(shù)。支持靜態(tài)路由，RIPv1/v2,OSPFv2，ISIS，BGPv4等豐富的路由特性。支持 IGMP Snooping、IGMP Proxy、靜態(tài)組播、PIM SM、PIM DM、MSDP 等組播功能，為 IPTV 業(yè)務(wù)的開展提供技術(shù)支持。精細(xì)化的主機(jī)安全控

37、制S9300系列交換機(jī)不僅提供 ACL過濾、DHCP Snooping、MAC地址限制、MAC地址綁定等業(yè)務(wù) 安全以及命令行分級(jí)保護(hù)、SSH、SNMPv3等設(shè)備訪問安全控制，還通過硬件層次化的CPU過載控制，抵御各種網(wǎng)絡(luò)攻擊，保障關(guān)鍵業(yè)務(wù)得到及時(shí)處理，從而有效的防止類似于泛洪/DDOS等攻擊影響路由協(xié)議、DHCP等重要業(yè)務(wù)。NQA網(wǎng)絡(luò)質(zhì)量分析S9300系列交換機(jī)支持 NQA ( Network Quality Analyses )網(wǎng)絡(luò)質(zhì)量分析，通過主動(dòng)在多個(gè)設(shè)備之 間發(fā)送指定設(shè)置數(shù)量的NQA協(xié)議報(bào)文來實(shí)現(xiàn)網(wǎng)絡(luò)性能的度量，統(tǒng)計(jì)抖動(dòng)，時(shí)延，丟包率等網(wǎng)絡(luò)性能參數(shù)，診斷 NQA 協(xié)議報(bào)文包括 ICMP

38、 pin g/traceroute , LSP pin g/traceroute，基于 VCCV 的 pi ng.MAC ping/traceroute，組播 ping/traceroute 等。IPv6 ReadyS9300 系列交換機(jī)支持軟硬件的 IPv6，支持 RIP ng ,OSPFv3, ISISv6，BGP4+，MLD，MLD Sn oopi ng， PIMv6，IPv6 multicast VLAN ，ICMPv6 等單組播 IPv6 路由協(xié)議，S9300 還支持 6 to 4 隧道和 IPv6 ACL。產(chǎn)品規(guī)格項(xiàng)目S9303S9306S9312背板容量1.2Tbps2.4Tbp

39、s4.8Tbps交換容量384Gbps2Tbps2Tbps業(yè)務(wù)槽位3612包轉(zhuǎn)發(fā)能力216Mpps432Mpps864Mpps端口容量144Gbps288Gbps576Gbps支持 AccessTrunk、Hybrid和QinQ接入方式支持 default VLAN 支持VLAN 交換 支持靈活QinQ項(xiàng)目MAC 地址功能STPIP路由組播MPLSQoS配置與維護(hù)安全和管理機(jī)箱尺寸 mm （寬 x深 x 高）機(jī)箱重量 （空配）工作電壓S9303S9306S9312支持MAC地址自動(dòng)學(xué)習(xí)和老化支持靜態(tài)、動(dòng)態(tài)、黑洞 MAC表項(xiàng)支持源MAC地址過濾支持基于端口和 VLAN的MAC地址學(xué)習(xí)限制支持 S

40、TP, RSTP 和 MSTP支持BPDU保護(hù)、Root保護(hù)、環(huán)路保護(hù)支持 BDPU Tunnel支持RIP、OSPF、ISIS、BGP等IPv4動(dòng)態(tài)路由協(xié)議支持 RIP ng、OSPFv3、ISISv6、BGPv4 等 IPv6 動(dòng)態(tài)路由協(xié)議支持IGMP Snooping功能支持用戶快速離開機(jī)制支持組播流量控制支持組播查詢器支持組播協(xié)議報(bào)文抑制功能支持組播ACL支持 IGMP snooping in VPLS支持MPLS基本功能支持 MPLS OAM支持MPLS TE支持 MPLS VPN/VLL/VPLS支持基于Layer2協(xié)議頭、Layer3協(xié)議、Layer4協(xié)議、802.1p優(yōu)先級(jí)等的

41、組合流分類支持 ACL、CAR、Remark、Schedule 等動(dòng)作支持PQ、PQ+WRR等隊(duì)列調(diào)度方式支持WRED、尾丟棄等擁塞避免機(jī)制支持流量整形支持H-QoS支持 Con sole、AUX、Tel net、SSH 等終端服務(wù)支持SNMPv1/v2/v3等網(wǎng)絡(luò)管理協(xié)議支持通過FTP、TFTP方式上載、下載文件支持BootROM升級(jí)和遠(yuǎn)程在線升級(jí)支持熱補(bǔ)丁支持用戶操作日志命令行分級(jí)保護(hù)，未授權(quán)用戶無法侵入支持RADIUS和HWTACACS 用戶登錄認(rèn)證支持防范 DoS攻擊、TCP的SYN Flood攻擊、UDP Flood攻擊、廣播風(fēng)暴攻擊、大流量攻擊支持CPU通道的保護(hù)支持ICMP實(shí)現(xiàn)p

42、i ng和traceroute功能支持RMON442 X476 X75442 X476 X41.7442 X76 663.9515KgDC : 8.4V 72V45Kg30KgHUAWCI上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 HUAWCI上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 HUAWEI上海師范大學(xué)校園網(wǎng)技術(shù)建議書項(xiàng)目S9303S9306S9312取大支持功AC : 90V 264V350W800W1600W耗工作溫度：長(zhǎng)期 0C 45C ;短期-5C 55C 環(huán)境參數(shù)相對(duì)適度：5 % RH85% RH，不結(jié)露氣壓：7

43、0106kPa5.2 Quidway? NetEngine 40 全業(yè)務(wù)路由器產(chǎn)品概述Quidway? NetEngine 40系列通用交換路由器(以下簡(jiǎn)稱NE40)，采用分布式網(wǎng)絡(luò)處理器技術(shù)和無阻塞交換技術(shù)，具備優(yōu)異的擴(kuò)展能力，全面支持IPv6，具備高速接口的線速轉(zhuǎn)發(fā)能力、完善的QoS(Quality of Service )機(jī)制和運(yùn)營級(jí)的可靠性。NE40融合核心路由器強(qiáng)大的IP業(yè)務(wù)處理能力和二層以太交換能力，可提供更豐富的業(yè)務(wù)、更靈活的組網(wǎng)和更理想的性價(jià)比，面向承載網(wǎng)邊緣、IP骨干網(wǎng)邊緣和城域網(wǎng)核心、城域網(wǎng)匯聚、骨干網(wǎng)匯聚以及各種行業(yè)、企業(yè)的核心網(wǎng)絡(luò)。產(chǎn)品外觀NE40-8NE40-4NE4

44、0-2NE40-8提供2個(gè)路由交換板槽位和 8個(gè)業(yè)務(wù)槽位，交換容量為128Gbps,整機(jī)包轉(zhuǎn)發(fā)性能為48Mpps。NE40-4提供2個(gè)路由交換板槽位和 4個(gè)業(yè)務(wù)槽位，交換容量為128Gbps，整機(jī)包轉(zhuǎn)發(fā)性能為24Mpps。NE40-2提供1個(gè)路由交換板槽位和 2個(gè)業(yè)務(wù)槽位，交換容量為16Gbps，整機(jī)包轉(zhuǎn)發(fā)性能為12Mpps。產(chǎn)品特點(diǎn)分布式第五代路由器NE40作為第五代路由器采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)，充分繼承了第四代全分布式硬件處 理的架構(gòu)，有機(jī)地結(jié)合了軟件的靈活性和硬件的高性能，既提供線速轉(zhuǎn)發(fā)性能，又具備快速良好 的業(yè)務(wù)升級(jí)和擴(kuò)展能力，最大限度地保證用戶投資。NE40良好的可擴(kuò)展性加速

45、了IP網(wǎng)絡(luò)向?qū)拵Щ?、安全化、業(yè)務(wù)化、智能化方向發(fā)展。全面的業(yè)務(wù)能力和高品質(zhì)性能NE40基于分布式硬件處理，具備高性能的網(wǎng)絡(luò)業(yè)務(wù)能力，勝任高性能MPLS VPN P/PE應(yīng)用，提供高品質(zhì)、安全和全面的 MPLS L3 VPN、MPLS TE、IP VPN、組播等業(yè)務(wù)方案。NE40 提供豐富的二層 VPN 業(yè)務(wù)特性，女口 L2VPN/PWE3、1483B 透?jìng)鳂I(yè)務(wù)，VPLS (Virtual Private LAN Service)、VLL (Virtual Leased Line)和 VLAN 的相關(guān)特性。NE40提供高品質(zhì) QoS,實(shí)現(xiàn)先進(jìn)的隊(duì)列調(diào)度算法、擁塞控制算法，精確保證不同業(yè)務(wù)的帶寬、

46、 時(shí)延和抖動(dòng)，滿足不同用戶、不同業(yè)務(wù)等級(jí)的服務(wù)質(zhì)量要求，保證VoIP(Voice over IP)等電信級(jí)業(yè)務(wù)的開展，適應(yīng)多業(yè)務(wù)承載IP網(wǎng)的發(fā)展要求。NE40既具有高端路由器強(qiáng)大的路由處理能力，又兼具豐富的二層交換特性，在充分滿足業(yè)務(wù)應(yīng) 用的同時(shí)大幅節(jié)省建網(wǎng)成本，體現(xiàn)出極高的性價(jià)比。同時(shí)支持強(qiáng)大的NAT/NAT PT能力，提供單播反向路徑檢查uRPF ( Uni cast Reverse Path Forwardi ng )、策略路由、端口鏡像、系統(tǒng)漏桶(CP-CAR )、流量統(tǒng)計(jì)NetStream等周密的安全措施協(xié)助用戶提高競(jìng)爭(zhēng)能力，是性價(jià)比極好的高 端路由器。強(qiáng)大的路由能力NE40支持IP

47、/MPLS分布式轉(zhuǎn)發(fā)，路由能力強(qiáng)大，提供RIP、OSPF、IS-IS、BGP4和組播等豐富的路由協(xié)議功能，具備快速收斂功能，在復(fù)雜路由環(huán)境下穩(wěn)定自如。NE40全面支持IPv4/IPv6雙協(xié)議棧，支持通用的IPv4路由協(xié)議、IPv6路由協(xié)議、組播路由協(xié)議和靜態(tài)路由。NE40支持IPv4向IPv6過渡的多種技術(shù)，如手工配置隧道、自動(dòng)配置隧道、6to4隧道、基于硬件的 NAT-PT和6PE。電信級(jí)可靠性NE40各關(guān)鍵部件冗余熱備份，所有組件支持熱插拔；采用無源背板設(shè)計(jì)；實(shí)現(xiàn)基于狀態(tài)的熱切 換和不間斷的路由轉(zhuǎn)發(fā)；提供熱補(bǔ)丁技術(shù)，實(shí)現(xiàn)軟件完全平滑升級(jí)；提供IP/MPLS/VPN快速重路由、虛擬路由冗余協(xié)

48、議( VRRP )、RPR自愈環(huán)網(wǎng)(IPS)、 IP TRUNK鏈路分擔(dān)備份、BFD鏈路 快速檢測(cè)、路由協(xié)議/端口 /VLAN Damping等保護(hù)機(jī)制，有效保證了全網(wǎng)運(yùn)行的高速可靠，可以 實(shí)現(xiàn)99.999%的系統(tǒng)可用性。產(chǎn)品規(guī)格項(xiàng)目NE40-8NE40-4NE40-2交換容量128Gbps，無阻塞交 換128Gbps，無阻塞交 換16Gbps，無阻塞交換轉(zhuǎn)發(fā)性能48Mpps24Mpps12Mpps接口板槽位數(shù)842接口類型OC-48c/STM-16c POSOC-12c/STM-4c POSOC-3/STM-1 POSOC-3/STM-1 cPOS 通道化到 E1/T1OC-3/STM-1

49、cPOS 通道化至 DS0 OC-12c/STM-4c ATMOC-48c/STM-16c RPRGEFEE3/T3E1/cE1靈活業(yè)務(wù)插卡OC-3/STM-1 ATM專用業(yè)務(wù)板NAT / NATPT/Netstream / 隧道項(xiàng)目NE40-8NE40-4NE40-2路由協(xié)議支持RIP、OSPF、IS-IS、BGP-4等路由協(xié)議，所有端口在路由 振蕩等復(fù)雜路由環(huán)境下仍然能夠保持線速轉(zhuǎn)發(fā)。IPv6全面支持IPv4和IPv6雙協(xié)議棧；支持豐富的IPv4向IPv6的過渡技術(shù)：手工配置隧道、自動(dòng)配置隧道、6to4隧道、硬件實(shí)現(xiàn)NAT-PT等；支持 IPv6 靜態(tài)路由，支持 BGP4+、RIP ng、

50、OSPFv3、ISISv6 等 動(dòng)態(tài)路由協(xié)議；支持 ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB 等。二層交換特性作為通用核心路由器，支持二層交換和三層轉(zhuǎn)發(fā)功能，提供豐富 交換機(jī)特性，包括 IEEE802.1ad、IEEE 802.1d、IEEE 802.3、IEEE 802.3u、IEEE 802.3x、IEEE 802.3z、IEEE 802.1Q、IEEE 802.1p、 IEEE 802.1D/802.1W、MSTP、支持 VLAN 聚合(Supper VLAN )、 VLAN TRUNK、支持基于 MAC地址和端口的過濾列表。MPLS VPN可作為P和P

51、E。支持 MPLS L3 VPN，符合 RFC4364協(xié)議；支 持三種跨域?qū)崿F(xiàn)方式； 支持與In ternet業(yè)務(wù)集成，提供基于VPN 的多實(shí)例NAT；支持HoPE;支持多角色主機(jī)等。 支持MPLS TE、RSVP TE。IPVPN/L2VPN支持 L2TP、GRE，支持 Martini、Kompella 方式 MPLS L2VPN 和LDP、BGP方式的VPLS，支持 ATM信元透?jìng)?。NAT提供專用NAT業(yè)務(wù)處理板，實(shí)現(xiàn)雙向千兆線速地址轉(zhuǎn)換能力； 每板支持100萬并發(fā)連接；每秒處理 20萬新建連接；每秒刷新50萬NAT表項(xiàng)；支持IPv6/IPv4的NAT-PT功能；提供完善的 安全日志。Qo

52、S提供完善的QoS機(jī)制。每線路板可提供 2k個(gè)隊(duì)列，支持CBQ、 LLS/NLS、PBS等先進(jìn)調(diào)度技術(shù)，采用 WRED和先進(jìn)的SA-RED 算法，支持8個(gè)等級(jí)的丟棄優(yōu)先級(jí)；提供精確的流量監(jiān)管和流量 整形功能；提供定義復(fù)雜規(guī)則的功能，可以鑒別細(xì)粒度的流。 可以提供基于 DiffServ的完善QoS保證。組播支持IGMP協(xié)議，支持靜態(tài)組播配置，支持PIM-DM/SM、MSDP、MBGP組播路由協(xié)議；支持多個(gè)組播協(xié)議間的互操作性；支持 組播策略處理，包括組播路由協(xié)議和組播轉(zhuǎn)發(fā)的策略處理，支持組播QoS、組播VPN ;提供交換網(wǎng)和線路板兩級(jí)組播復(fù)制功能， 達(dá)到最優(yōu)的組播效能?？煽啃蕴峁㊣P/MPLS/

53、VPN快速重路由、虛擬路由冗余協(xié)議(VRRP )、RPR自愈環(huán)網(wǎng)(IPS)、IP TRUNK鏈路分擔(dān)備份、BFD鏈路快速 檢測(cè)、路由協(xié)議/端口 /VLAN Damping等保護(hù)機(jī)制。提供軟件熱 補(bǔ)丁技術(shù)，實(shí)現(xiàn)設(shè)備軟件完全平滑升級(jí)；采用無源背板設(shè)計(jì)； 路由處理模塊、交換網(wǎng)、電源風(fēng)扇等關(guān)鍵部件冗余備份，整機(jī)沒有單點(diǎn)故障，支持基于狀態(tài)的熱備份切換，實(shí)現(xiàn)不間斷路由轉(zhuǎn)發(fā)， 所有組件可熱拔插。體系結(jié)構(gòu)一體化機(jī)箱結(jié)構(gòu)，支持 19英寸標(biāo)準(zhǔn)機(jī)架輸入電源DC : -42 -60VAC : 100V 240V滿負(fù)荷功耗小于1000W小于600W小于300W項(xiàng)目NE40-8NE40-4NE40-2外形尺寸（mm） （

54、寬X深X高）482.6 ( mm ) X 420 (mm ) X 797.3 (mm)482.6 ( mm) X 420(mm ) X 352.8(mm)482.6 ( mm) X 420(mm ) X 219.5(mm)滿配置最大重 量小于85kg小于50kg小于35kg環(huán)境要求長(zhǎng)期工作溫度：540C;短期工作溫度：-550C 溫度變化速率限制：30 C/小時(shí)運(yùn)行濕度：5%85% （無凝露）；短時(shí)間運(yùn)行濕度：5%90% 海拔高度：5000m以內(nèi)不影響轉(zhuǎn)發(fā)性能5.3 Quidway ? MA5200F寬帶接入服務(wù)器產(chǎn)品概述Quidway? MA5200F系列寬帶接入服務(wù)器（以下簡(jiǎn)稱 MA520

55、0F ）采用集中式處理的盒式硬件體系， 具備完善的接入、認(rèn)證、授權(quán)和計(jì)費(fèi)功能，完整的 QoS機(jī)制、豐富的業(yè)務(wù)處理能力，能夠滿足中 小規(guī)模IP網(wǎng)絡(luò)寬帶接入服務(wù)和用戶管理的需求。MA5200F主要是面向城域網(wǎng)匯聚層中小匯聚節(jié)點(diǎn)，用于IP DSLAM模塊局、小容量IP DSLAM端局的xDSL寬帶接入用戶的管理，也可用于以太網(wǎng)匯聚層，對(duì)以太網(wǎng)接入用戶進(jìn)行管理，還可用于中小企業(yè)網(wǎng)和行業(yè)網(wǎng)絡(luò)，以及酒店、會(huì)議中 心、展覽館等各種熱點(diǎn)地區(qū)寬帶用戶（包括專線用戶）的接入。MA5200F可以支持1K用戶的并發(fā)接入，5200F-2000是5200F的增強(qiáng)版，可以支持 2K用戶 的并發(fā)接入。產(chǎn)品外觀MA5200FM

56、A5200F提供4個(gè)業(yè)務(wù)槽位，每槽位可配置1/2路GE或6路FE或4路POS 155M ；MA5200F支持1K并發(fā)用戶接入；MA5200F-2000支持2K并發(fā)用戶接入。HIWVVT I上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 HIWVVT I上海師范大學(xué)校園網(wǎng)技術(shù)建議書上海師范大學(xué)校園網(wǎng)工程機(jī)密文件 產(chǎn)品特點(diǎn)靈活的接入認(rèn)證方式支持用戶通過以太網(wǎng)、xDSL、HFC、WLAN等各種方式進(jìn)行接入。支持 Web、PPPoE、802.1x、端口綁定、即插即用等多種認(rèn)證接入方式；對(duì)應(yīng)不同的用戶，可以靈活地選擇不同的認(rèn)證方式。并可以在一個(gè)端口上同時(shí)支持PPPoE認(rèn)證、WEB認(rèn)證、快速認(rèn)

57、證和 802.1X認(rèn)證。支持多種認(rèn)證策略，包括：本地認(rèn)證和遠(yuǎn)端認(rèn)證，以及本地優(yōu)先認(rèn)證和遠(yuǎn)端優(yōu)先認(rèn)證。有效的地址管理功能支持DHCP Relay和內(nèi)置DHCP Server，為配置 DHCP的用戶動(dòng)態(tài)分配地址，還可以為PPP撥號(hào)用戶作 DHCP代理，從外部 DHCP服務(wù)器申請(qǐng)地址，具有 DHCP Proxy功能?？梢詫?duì)地址池 中的地址資源進(jìn)行管理，能夠?qū)崿F(xiàn)從本地地址池和遠(yuǎn)端DHCP服務(wù)器地址池中為用戶分配地址，并且支持通過 AAA服務(wù)器為用戶分配地址。允許用戶通過動(dòng)態(tài)獲取地址或者靜態(tài)配置地址的方 式接入網(wǎng)絡(luò)。支持二次地址分配，用戶認(rèn)證之前分配私網(wǎng)IP,在認(rèn)證通過后，根據(jù)用戶所選擇的域重新分配地址

58、，可以解決公網(wǎng)地址不足問題，提高公網(wǎng)地址的利用率。支持多種計(jì)費(fèi)方案能夠準(zhǔn)確地采集用戶的計(jì)費(fèi)信息，包括時(shí)長(zhǎng)和流量。同時(shí)還支持將計(jì)費(fèi)信息抄送到指定的計(jì)費(fèi)服 務(wù)器。支持本地計(jì)費(fèi)和遠(yuǎn)端計(jì)費(fèi)。對(duì)于本地計(jì)費(fèi)和遠(yuǎn)端計(jì)費(fèi)都支持實(shí)時(shí)計(jì)費(fèi)，保證計(jì)費(fèi)信息的準(zhǔn) 確性。對(duì)于遠(yuǎn)端計(jì)費(fèi)，還支持提供計(jì)費(fèi)保護(hù)機(jī)制，通過計(jì)費(fèi)服務(wù)器的冗余備份、握手、重發(fā)等機(jī) 制，保證鏈路故障時(shí)不丟失話單、不產(chǎn)生錯(cuò)誤話單。在遠(yuǎn)端計(jì)費(fèi)服務(wù)器不能計(jì)費(fèi)時(shí)，可以將話單 保存在本地，計(jì)費(fèi)服務(wù)器恢復(fù)正常后，可以通過TFTP協(xié)議，將計(jì)費(fèi)信息上傳到計(jì)費(fèi)服務(wù)器。支持不計(jì)費(fèi)、后付費(fèi)和預(yù)付費(fèi)等多種計(jì)費(fèi)策略。對(duì)于預(yù)付費(fèi)業(yè)務(wù)，支持基于時(shí)長(zhǎng)的預(yù)付費(fèi)和基于流 量的預(yù)付費(fèi)業(yè)務(wù)。與

59、 AAA服務(wù)器配合還能實(shí)現(xiàn)基于時(shí)長(zhǎng)和流量的綜合預(yù)付費(fèi)業(yè)務(wù)，并支持費(fèi)率 切換功能和各種折扣功能，可以按照接入類型，采用不同的費(fèi)率收費(fèi)。強(qiáng)大的用戶管理功能支持用戶屬性授權(quán)和管理，包括用戶帶寬限制、NAT連接數(shù)限制、訪問權(quán)限控制、互訪權(quán)限控制、QoS屬性控制和策略路由授權(quán)；提供用戶登錄日志和用戶訪問日志。能夠指定邏輯端口接入用戶 的類型，例如 WLAN用戶，ADSL用戶等，并且能夠針對(duì)不同用戶實(shí)施不同的控制策略，并且能 夠?qū)⒂脩艚尤腩愋托畔⑸蠄?bào)給認(rèn)證計(jì)費(fèi)服務(wù)器。基于用戶群的訪問控制功能，可以將用戶分為不 同的UCL-Group，并在不同的 UCL-Group上作用不同的 ACL規(guī)則，由此實(shí)現(xiàn)用戶訪問控制的分 群管理；基于用戶群的互訪控制功能，可以將用戶分為不同的互訪控制群InterGroup，InterGroup內(nèi)部用戶的互訪權(quán)限和 InterGroup之間的互訪權(quán)限可配置，由此實(shí)現(xiàn)用戶互訪的分群管理。完善的安全機(jī)制通過身份認(rèn)證、ACL、資源保護(hù)、用戶日志等手段，提供身份鑒別、防地址仿冒、攻擊防護(hù)、安 全審計(jì)等完善的安全功能。專有的報(bào)文綁定檢查技術(shù)，可以在用戶通過認(rèn)證后對(duì)用戶的每一個(gè)報(bào) 文進(jìn)行邏輯端口 （接入端口 +VLAN