h3c職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)設(shè)計方案

..專業(yè).專注.h3c職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)設(shè)計方案第1章系統(tǒng)建設(shè)需求校園網(wǎng)絡(luò)平臺是校園數(shù)字化系統(tǒng)的運行基礎(chǔ)，學(xué)院原有的網(wǎng)絡(luò)平臺無論是在網(wǎng)絡(luò)的穩(wěn)定性、業(yè)務(wù)適應(yīng)用性、性能、安全以及可擴展性等方面已無法支撐學(xué)院系統(tǒng)的需求，更是無法達到國家示范性高等職院建設(shè)的要求，因此，學(xué)院的校園網(wǎng)絡(luò)平臺需要進行全面的升級，建設(shè)任務(wù)主要包括以下五大方面：建設(shè)一個高可用的骨干網(wǎng)，這是網(wǎng)絡(luò)平臺建設(shè)最為重要及緊急任務(wù)之一，骨干網(wǎng)的穩(wěn)定性、性能和安全性將直接影響到校園網(wǎng)絡(luò)的運行；建設(shè)一個數(shù)據(jù)中心網(wǎng)絡(luò)平臺，為數(shù)字化業(yè)務(wù)系統(tǒng)提供一個高可用的接入平臺；建設(shè)一個安全可控的網(wǎng)絡(luò)出口，增強網(wǎng)絡(luò)外界的安全防護以及校園網(wǎng)用戶的行為監(jiān)管能力，提高出口帶寬的使用效率；完善校園網(wǎng)用戶的接入和控制，通過部署用戶認證、計費等措施對全面提升對接入用戶的控制，使用戶接入規(guī)范化。建設(shè)校園無線網(wǎng)絡(luò)平臺，提高網(wǎng)絡(luò)接入的覆蓋能力，校園用戶更易于使用學(xué)院資源。第2章網(wǎng)絡(luò)平臺建設(shè)方案網(wǎng)絡(luò)設(shè)計原則學(xué)院網(wǎng)絡(luò)建設(shè)遵循以下基本原則：高帶寬學(xué)院網(wǎng)絡(luò)是一個龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計的無瓶頸性，要求方案設(shè)計的階段就要充分考慮到，同時要求核心交換機具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換?？稍鲋敌詫W(xué)院網(wǎng)絡(luò)的建設(shè)、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時要充分考慮業(yè)務(wù)的擴展能力，能針對不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U充性考慮到學(xué)院用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對于核心交換機與匯聚交換機具有強大的擴展功能，學(xué)院網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡(luò)平臺，能夠隨著需求變化，充分留有擴充余地。開放性技術(shù)選擇必須符合相關(guān)國際標(biāo)準及國內(nèi)標(biāo)準，避免個別廠家的私有標(biāo)準或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計應(yīng)充分考慮整個網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點的備份和線路保護，提供網(wǎng)絡(luò)安全防范措施。網(wǎng)絡(luò)層次化設(shè)計在校園園區(qū)網(wǎng)絡(luò)整體設(shè)計中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計結(jié)構(gòu)，并嚴格定義各層功能模型，不同層次關(guān)注不同的特性配置。根據(jù)廣州XX職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)分布情況，校園網(wǎng)共分成核心層、匯聚層和接入層三層。核心層核心層是整個網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴展性等。XX學(xué)院主校區(qū)設(shè)立整個校園網(wǎng)的核心層，同時，在新機場實訓(xùn)基地設(shè)立分核心。對于XX學(xué)院主校園的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的多設(shè)備冗余的星型結(jié)構(gòu)。對于校園網(wǎng)核心層設(shè)備，應(yīng)該在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進一步融合了硬件 IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為校園園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺，進而幫助用戶實現(xiàn) IT資源整合的需求。匯聚層匯聚來自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時，具有負載均衡、快速收斂和易于擴展等特點，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。目前，XX學(xué)院在主校區(qū)共有15幢建筑物，新機場實訓(xùn)基地共有6幢建筑物。XX學(xué)院匯聚層設(shè)立將根據(jù)現(xiàn)有的信息點分布，結(jié)合綜合布線系統(tǒng)等多因素，一般而言，以建筑物/功能區(qū)為單位設(shè)立匯聚層，即每個單體建筑 /功能區(qū)設(shè)立一個網(wǎng)絡(luò)匯聚層，如數(shù)據(jù)中心和網(wǎng)絡(luò)出口分別設(shè)于匯聚層，同時對于學(xué)生宿舍區(qū)，可以采用多幢學(xué)生宿舍共用1個網(wǎng)絡(luò)匯聚層的方式。對于校園園區(qū)網(wǎng)的匯聚層設(shè)備，應(yīng)該能夠承載校園園區(qū)的多種融合業(yè)務(wù)，能夠融合IPv6、網(wǎng)絡(luò)安全、流量分析等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種高可靠技術(shù)，能夠承載校園園區(qū)融合業(yè)務(wù)的需求。接入層提供網(wǎng)絡(luò)的第一級接入功能，完成二層接入，并實現(xiàn)對終端接入的安全控制，包括ARPW御、IP/MAC/端口綁定以及PO唐高級功能。在XX校園網(wǎng)中，接入層采用千兆及百兆到桌面的接入模式，對于數(shù)據(jù)傳輸量較大或重要區(qū)域采用千兆到桌面的方案，如綜合辦公、圖書館等，其它的為百兆接入，同時，無線AP接入采用POE?式進行設(shè)備的供電。接入層設(shè)備以選擇二層交換機為主，設(shè)備應(yīng)具有靈活的擴展能力，支持堆疊，具有強安全性，可以實現(xiàn)IP、MAC端口的綁定，支持802.1x認證，支持DHCPSnooping,防止非法DHCP!入和AR瞰擊。校園網(wǎng)絡(luò)總體結(jié)構(gòu)校園網(wǎng)絡(luò)平臺將采用層次化通用結(jié)構(gòu)設(shè)計，采用核心層、匯聚層和接入層三層架構(gòu)，包括網(wǎng)絡(luò)骨干、數(shù)據(jù)中心、網(wǎng)絡(luò)出口、網(wǎng)絡(luò)接入、無線網(wǎng)絡(luò)等五大部分。..專業(yè).專注..專業(yè).專注.專業(yè).專注.校園網(wǎng)骨干匯聚交換機FT3CS5500-EI/接入交換機H3CS5100數(shù)據(jù)中心服務(wù)器系統(tǒng)中心交換機H3CS7502E網(wǎng)絡(luò)中心機房匯聚交換機H3CS5500-EI接入與換機H3CE/52/126A用戶管理系統(tǒng)H3CCAMS網(wǎng)絡(luò)出口應(yīng)用流量控制 出口路由器H3CACG-2000MH3CSR6604"J——校園網(wǎng)骨干匯聚交換機FT3CS5500-EI/接入交換機H3CS5100數(shù)據(jù)中心服務(wù)器系統(tǒng)中心交換機H3CS7502E網(wǎng)絡(luò)中心機房匯聚交換機H3CS5500-EI接入與換機H3CE/52/126A用戶管理系統(tǒng)H3CCAMS網(wǎng)絡(luò)出口應(yīng)用流量控制 出口路由器H3CACG-2000MH3CSR6604"J——電信/網(wǎng)通置防火墻無線網(wǎng)控制器AC模塊核心交換機H3CS7510E匯聚交換機H3cS5500-EI接入交換機H3CE152/126A匯聚交換機H3CS5500-EI接入交換機H3CE152/1：無線AP辦公樓 圖書館、實驗樓等 宿舍區(qū)千兆到桌面 百兆到桌面 百兆到桌面宿舍區(qū)

百兆到桌面網(wǎng)絡(luò)骨干由核心層和匯聚層組網(wǎng)，骨干網(wǎng)采用高可靠性組網(wǎng)，核心層配置兩臺高端核心交換機，匯聚層設(shè)備通過雙千兆鏈路實現(xiàn)與核心層設(shè)備的互聯(lián)， 網(wǎng)宿舍區(qū)

百兆到桌面絡(luò)骨干全面支持IPv6,并提供萬兆擴展能力。校園網(wǎng)設(shè)立數(shù)據(jù)中心，實現(xiàn)各業(yè)務(wù)系統(tǒng)服務(wù)器的集中部署，數(shù)據(jù)中心網(wǎng)絡(luò)平臺獨立建設(shè)，配置2臺模塊化交換機設(shè)備，為服務(wù)器提供高性能、高可靠、可擴展性的接入平臺，同時，通過核心交換機內(nèi)置高性能的防火墻模塊提供安全保護。網(wǎng)絡(luò)出口實現(xiàn)校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)，包括與教育科、互聯(lián)網(wǎng)的互聯(lián)，網(wǎng)絡(luò)出口需實現(xiàn)校園網(wǎng)與外部網(wǎng)絡(luò)的隔離，網(wǎng)絡(luò)出口配置1臺路由器設(shè)備實現(xiàn)與外部網(wǎng)絡(luò)互聯(lián)，同時提供地址轉(zhuǎn)換等服務(wù)，配置應(yīng)用控制網(wǎng)關(guān)，實現(xiàn)出口帶寬的管理，并對校園網(wǎng)用戶實現(xiàn)行為審計等功能。網(wǎng)絡(luò)接入層提供校園網(wǎng)用戶的接入，并實現(xiàn)網(wǎng)絡(luò)接入的安全防御，如ARP攻擊防護，同時，結(jié)合用戶管理系統(tǒng)實現(xiàn)對接入用戶認證、計費等管理。為實現(xiàn)校園網(wǎng)絡(luò)接入的靈活性，提高網(wǎng)絡(luò)的覆蓋，校園網(wǎng)將實現(xiàn)辦公樓、圖書館、實驗室、運動場館等公共區(qū)域的無線網(wǎng)絡(luò)覆蓋，無線網(wǎng)采用智能的Fit

AP組網(wǎng)。為便于網(wǎng)絡(luò)的管理和維護，校園網(wǎng)還將建設(shè) 1套網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)對校園網(wǎng)絡(luò)平臺設(shè)備的統(tǒng)一管理，網(wǎng)絡(luò)管理應(yīng)具有拓撲、故障、性能、配置和圖形化設(shè)備管理等功能，為了實現(xiàn)更為方便的通過遠程方式對網(wǎng)絡(luò)的狀態(tài)進行監(jiān)控和維護，網(wǎng)絡(luò)系統(tǒng)采用B/S架構(gòu)。同時，為加強對接入用戶的控制和管理，系統(tǒng)還部署用戶認證、計費管理系統(tǒng)。核心層設(shè)計XX學(xué)院主校區(qū)設(shè)立整個校園網(wǎng)的核心層， 同時，在新機場實訓(xùn)基地設(shè)立分核心。對于XX學(xué)院主校園的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的多設(shè)備冗余的星型結(jié)構(gòu)。核心層配置 2臺高端交換機作為核心交換機，兩臺交換機之間通過萬兆鏈路進行互聯(lián)，形成雙機復(fù)用，在兩臺中心交換機之間啟用 VRRPW議，這樣在其中一臺出現(xiàn)故障的時候，業(yè)務(wù)可以自動切換到另外一臺。選用的核心交換機是從可靠性、性能、業(yè)務(wù)特性、安全特性以及可擴展性等多個方面進行綜合考慮。在可靠性方面，核心交換機應(yīng)達到 99.99%的高可靠性，采用全模塊化設(shè)計，電源、風(fēng)扇、引擎、業(yè)務(wù)模塊等均可實現(xiàn)熱插拔，支持電源、引擎等關(guān)鍵部件的1+1冗余熱備份，支持VRRP路由優(yōu)雅（GR等高可靠性協(xié)議，實現(xiàn)核心層的業(yè)務(wù)不間斷轉(zhuǎn)發(fā)。在性能方面，核心交換機應(yīng)采用Crossbar交換矩陣，采用全分布式轉(zhuǎn)發(fā)，支持萬兆、千兆等高速以太網(wǎng)接口，所有接口實現(xiàn)線速轉(zhuǎn)發(fā),保障校園網(wǎng)多種業(yè)務(wù)進行并發(fā)交換。在業(yè)務(wù)特性方面，核心交換機支持豐富的QoSW性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)；并且支持內(nèi)置防火墻、內(nèi)置無線控制器等多種業(yè)務(wù)功能插卡，可以進行靈活的部署，實現(xiàn)業(yè)務(wù)的擴展和融合。在安全性方面，核心交換機應(yīng)既能保障自身的運行安全，也能通過一些安全機制保障所承載業(yè)務(wù)的安全?；谏鲜鲆蛩兀覀兘ㄗh核心交換機采用 H3cS7510EW端交換機。H3cS7500E系列產(chǎn)品是杭州華三通信技術(shù)有限公司（以下簡稱 H3c公司）面向融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機， 該產(chǎn)品基于H3c自主知識產(chǎn)權(quán)的ComwareV5操作系統(tǒng)，融合了MPLSIPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種高可靠技術(shù)。S7510E具有10個槽位，其中8個為業(yè)務(wù)模塊插槽，并支持豐富的接口模塊，如萬兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡(luò)規(guī)模實現(xiàn)在線擴展。S7510E具有高轉(zhuǎn)發(fā)性能，整機具有1152Gbps交換容量、773Mpps轉(zhuǎn)發(fā)性能，同時，S7510E采用全分布式轉(zhuǎn)發(fā)，并采用最長匹配、逐包轉(zhuǎn)發(fā)的處理機制，保證業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7510E中配置的所有接口均可實現(xiàn)線速轉(zhuǎn)發(fā)。選用的H3CS7500或換機具有以下特點：＜一＞、豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢全面的MPLSk務(wù)能力H3CS7500E所有產(chǎn)品均支持VRF-Lite特性，可以做為MCE?備使用；支持三層的MPLSVPNT口二層的MPLSVPNMartini、Kompella）,可擴展支持VPLS技術(shù)；支持MPLSOAMH生，方便用戶的管理和維護；與H3CMPLSVPNManager配合，實現(xiàn)圖形化的MPLS?署與維護。線速的IPv4/IPv6業(yè)務(wù)能力H3CS7500E支持IPv4/IPv6雙協(xié)議棧，支持多種6to4隧道技術(shù)，支持IPv4/IPv6的組播技術(shù)，為用戶提供完善的IPv4/IPv6解決方案；H3CS7500E采用分布式體系架構(gòu)，實現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)；H3CS7500E已經(jīng)通過了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認證和IPv6Ready第二階段金色認證，是成熟商用的IPv6產(chǎn)品。有線無線一體化，有源無源一體化H3CS7500E集成的無線控制模塊提供豐富的業(yè)務(wù)能力，包括精細的用戶控制管理、完善的RF管理及安全機制、快速漫游、超強的QO序口又tIPV6的支持等；無線控制模塊通過與安全策略服務(wù)器的聯(lián)動，實現(xiàn)對無線接入用戶的端點準入防御，提高了整網(wǎng)的安全性。H3CS7500E是業(yè)界最高密度的以太網(wǎng)無源光網(wǎng)絡(luò)（EPON設(shè)備，單臺最大可接入10240個FTTH用戶；H3CS7500E是高可靠的EPONS統(tǒng)，采用分布式體系結(jié)構(gòu)、模塊化設(shè)計，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，具有電信級可靠性。支持Portal認證H3CS7500E支持大容量的Portal認證功能，可以在數(shù)千用戶的局域網(wǎng)中作為EAW關(guān)設(shè)備，為全網(wǎng)用戶提供EA汝全認證功能；可以在大中型的校園網(wǎng)中擔(dān)任匯聚/核心設(shè)備的同時，為學(xué)生宿舍區(qū)的認證計費提供 Portal認證功能。＜二＞、靈活的配置，適應(yīng)各種應(yīng)用場景配線間融合業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇H3CS7500E#對配線間的需求定制開發(fā)了SA板卡，單臺設(shè)備可以提供480個千兆線速接口和4個萬兆線速接口。H3CS7500E支持端點準入防御解決方案，解決終端安全問題；內(nèi)置2800W/電源直接提供PoE功能，對IP語音和無線接入提供良好的支持。政府電力城域網(wǎng)邊緣和匯聚的最佳選擇H3CS7500E支持VRF-Lite特性，為用戶提供高可靠高性能的MC殷備；通過配置SalienceVI-Turbo引擎，可以提供集中式MPLSlk務(wù)功能，適合在城域網(wǎng)邊緣作為高性價 PE設(shè)備使用；通過配置 EA類板卡，可以提供分布式線速的MPLSt務(wù)功能，適合在城域網(wǎng)匯聚層作為高性能的 PE使用。IPv6網(wǎng)絡(luò)的最佳選擇H3CS7500即有SalienceVI引擎都可以提供集中式IPv6功能，H3CS7500E針對IPv4/IPv6高性能的要求還開發(fā)了分布式IPv4/IPv6轉(zhuǎn)發(fā)的SC板卡，在整機滿配置狀態(tài)下實現(xiàn)線速無收斂，為高校用戶提供了高性能低成本的雙棧匯聚核心設(shè)備，同時也滿足其他行業(yè)用戶IPv6Ready的需求。＜三＞、全方位的安全保障，抵御多種網(wǎng)絡(luò)安全威脅三平面安全保障機制H3CS7500E提供完善的安全防護機制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置協(xié)議報文攻擊識別模塊，防止TCNAR%協(xié)議報文攻擊，OSPF/BGP/IS-IS路由協(xié)議采用MD5驗證，防止非法路由更新報文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面， SNMPv3R］管協(xié)、議,SSHV2,基于802.1x、AAA/Radius的用戶身份認證以及分級的用戶權(quán)限管理保證了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持IP、VLAN、MAG口端口等多種組合精細綁定；支持uRPF單播反向路徑轉(zhuǎn)發(fā)，防止非法流量訪問網(wǎng)絡(luò)，采用最長匹配逐包轉(zhuǎn)發(fā)機制，有效抵御病毒的攻擊。有線無線全面支持EADH3cS7500E^EAD端點準入防御解決方案的重要組成部分，S7500E可以動態(tài)的接收來自安全策略服務(wù)器的控制策略，根據(jù)終端的安全狀態(tài)給予下發(fā)相應(yīng)的訪問權(quán)限。H3CS7500EK支持有線終端用戶的EAD也支持無線終端用戶的EAD能夠做到終端安全防范無漏洞。增強的ACL特性H3CS7500E系歹產(chǎn)品支持強大的ACL能力：支持標(biāo)準和擴展A"支持基于VLAN的ACL方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL每板最大可支持9K條ACL滿足金融等行業(yè)訪問權(quán)限嚴格控制的需求。＜四＞、電信級的高可靠性，保障用戶業(yè)務(wù)長期穩(wěn)定運行電信級高可靠性設(shè)計H3CS7500E采用無單點故障設(shè)計，所有關(guān)鍵部件，如主控板、交換網(wǎng)、電源和風(fēng)扇等采用冗余設(shè)計；無源背板避免了機箱出現(xiàn)單點故障；所有單板和電源模塊支持熱插拔功能；H3CS7500E系列可以在惡劣的環(huán)境下長時間穩(wěn)定運行，達到99.999％的電信級可靠性。多業(yè)務(wù)高可靠性運行H3CS7500E支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級的切換時間；支持等價路由，可幫助用戶建立多條等值路徑，實現(xiàn)流量的負載均衡及冗余備份；支持RRP映速環(huán)網(wǎng)保護協(xié)議，提供小于200ms的環(huán)網(wǎng)故障保護；支持Smart-Link協(xié)議，保證雙上行網(wǎng)絡(luò)拓撲的業(yè)務(wù)毫秒級快速切換。通過上述技術(shù)，H3cS7500E可以在承載多業(yè)務(wù)的情況下不間斷運行，實現(xiàn)業(yè)務(wù)的永續(xù)。支持熱補丁技術(shù)H3CS7500E能夠在不重啟設(shè)備的前提下，通過熱補丁技術(shù)，在線修改軟件BUG增加新的業(yè)務(wù)特性。H3CS7500E?供控制補丁單元狀態(tài)切換的用戶命令，使用戶能夠方便的加載、激活、去激活、運行或刪除補丁單元。通過熱補丁技術(shù)，降低了設(shè)備需要重啟的次數(shù)，為客戶提供更長的網(wǎng)絡(luò)正常工作時間。數(shù)據(jù)中心設(shè)計為實現(xiàn)對校園網(wǎng)服務(wù)器統(tǒng)一管理和控制，同時考慮到擴展性，服務(wù)器的接入獨立配置交換機實現(xiàn)，為保證服務(wù)器接入的高可用性，配置2臺全千兆三層路由交換機，數(shù)據(jù)中心交換機通過VRRPJ、議實現(xiàn)互為熱備和負載分擔(dān)。在選用的數(shù)據(jù)中心交換機時，我們充分考慮到應(yīng)具備以下功能和特性：在可靠性方面，數(shù)據(jù)中心交換機支持 VRRFB備份協(xié)議，為服務(wù)器提供可靠的接入。在性能方面，數(shù)據(jù)中心交換機所有端口線速轉(zhuǎn)發(fā)，保障圖書館多種業(yè)務(wù)進行并發(fā)交換。在業(yè)務(wù)特性方面，數(shù)據(jù)中心交換機支持豐富的QoSt性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。在安全性方面，數(shù)據(jù)中心交換機具有安全機制保障所承載業(yè)務(wù)的安全。在可擴展性方面，數(shù)據(jù)中心交換機應(yīng)采用模塊化設(shè)備，支持高密度、高帶寬接口，在業(yè)務(wù)系統(tǒng)不斷增長時，可通過增加業(yè)務(wù)模塊來滿足服務(wù)器接入需求?；谏鲜鲆蛩?，我們建議數(shù)據(jù)中心交換機采用 H3cS7502EW端交換機。S7510E具有4個槽位，其中2個為業(yè)務(wù)模塊插槽，并支持豐富的接口模塊，如萬兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡(luò)規(guī)模實現(xiàn)在線擴展。S7502E具有高轉(zhuǎn)發(fā)性能，整機具有192Gbps交換容量、143Mpp酢專發(fā)性能，同時，S7502E采用全分布式轉(zhuǎn)發(fā)，并采用最長匹配、逐包轉(zhuǎn)發(fā)的處理機制，保證業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7502E中配置的所有接口均可實現(xiàn)線速轉(zhuǎn)發(fā)。匯聚層設(shè)計匯聚來自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時，具有負載均衡、快速收斂和易于擴展等特點，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。選用的匯聚交換機應(yīng)具備以下功能和特性：在可靠性方面，匯聚交換機支持路由協(xié)議平滑重啟，支持RSTPMSTPt成樹協(xié)議，支持 2層的快速切換，確保與核心交換機組網(wǎng)的可靠性，在性能方面，匯聚交換機所有端口線速轉(zhuǎn)發(fā)，包括萬兆接口，保障多種業(yè)務(wù)進行并發(fā)交換。在業(yè)務(wù)特性方面，匯聚交換機支持豐富的QoSW性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。在安全性方面，匯聚交換機具有安全機制保障所承載業(yè)務(wù)的安全?；谝陨弦螅覀兘ㄗh匯聚交換機選用 H3c的S5500-EI,S5500-EI系列交換機具有以下特點：1、高擴展性保護投資隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達到飽和，而能夠擁有多條集群10GES1路將是我們的未來發(fā)展方向。H3CS5500-EI系列交換機支持兩個擴展槽位，每個槽位支持單端口或雙端口的 10GE擴展模塊，在實現(xiàn)千兆匯聚或接入時保留進一步支持10GE的擴展能力，盡力保護用戶投資。IPv4到IPv6的演變是以太網(wǎng)發(fā)展的大勢所趨，網(wǎng)絡(luò)設(shè)備對于IPv6的支持不僅是簡單的可用就行，而是需要達到商用的標(biāo)準，S5500-EI已經(jīng)通過了國際最權(quán)威的IPv6Ready第二階段認證，而且通過了信息產(chǎn)業(yè)部嚴格的IPv6入網(wǎng)測試。這個系列產(chǎn)品是基于硬件的IPv4/IPv6雙棧平臺，支持豐富的IPv4和IPv6三層路由協(xié)議、組播協(xié)議和策略路由機制，實現(xiàn) IPv4到IPv6的平滑升級。2、完備的安全控制策略H3CS5500-EI系列交換機支持EAD（端點準入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5500-EI交換機支持集中式MAO址認證、802.1x認證、PORTA認證，支持用戶帳號、IP、MACVLAN端口等用戶標(biāo)識元素的動態(tài)或靜態(tài)綁定，同時實現(xiàn)用戶策略（VLANQoSACD的動態(tài)下發(fā)；支持配合H3c公司的CAM添統(tǒng)對在線用戶進行實時的管理，及時的診斷和瓦解網(wǎng)絡(luò)非法行為。H3CS5500-EI系列交換機提供增強的ACL控制邏輯，支持超大容量的入端口和出端口ACL并且支持基于VLAN的ACL下發(fā)，在簡化用戶配置過程的同時，避免了ACL資源的浪費。另外，S5500-EI系列還將支持單播反向路徑查找技術(shù)（uRPF），原理是當(dāng)設(shè)備的一個接口上收到一個數(shù)據(jù)包時，會反向查找路徑來驗證是否存在從該接收接口到包中制定的源地址之間的路由，即驗證了其真實性，如果不存在就將數(shù)據(jù)包刪除，這樣我們就可以有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺騙。7VM海岸線網(wǎng)絡(luò)安全資訊站3、多重可靠性保護S5500-EI系列交換機還具備設(shè)備級和鏈路級的多重可靠性保護。所有機型都支持內(nèi)置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模塊，也就是說我們可以根據(jù)實際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機還支持電源和風(fēng)扇的故障檢測及告警，可以根據(jù)溫度的變化自動調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速，這些設(shè)計使我們這款盒式交換機具備了機柜式交換機的高可靠性。除了設(shè)備級可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術(shù)，比如華三通信獨創(chuàng)的 RRPPtfe速環(huán)網(wǎng)保護機制。當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時候也不影響網(wǎng)絡(luò)的收斂時間，保證業(yè)務(wù)的正常開展。4、多業(yè)務(wù)支持能力支持PoE(PoweroverEthernet)技術(shù)，通過以太網(wǎng)對所連接的設(shè)備(如IPPhone,WirelessAP等)進行遠程供電，從而使得不必在使用現(xiàn)場為設(shè)備部署單獨的電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和管理成本。支持VoiceVLANfe術(shù)，交換機通過識別端口的語音流，將對應(yīng)的接入端口加入 VoiceVLAN(專用語音VLAN中，為語音流量提供專門通道，并自動下發(fā)優(yōu)先級規(guī)則保證語音流的優(yōu)先傳輸來保證通話質(zhì)量。同時通過設(shè)置 VoiceVLAN安全特性，只允許語音流量通過，可以有效防止突發(fā)數(shù)據(jù)流量對 VoiceVLAN內(nèi)的語音流量的沖擊。H3cS5500-EI系列交換機支持MC或能，可以有效解決多VPN網(wǎng)絡(luò)帶來的用戶數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用CE設(shè)備本身的VLAN6口編號與網(wǎng)絡(luò)內(nèi)的VPN1行綁定，并為每個VPN^J建和維護獨立的路由轉(zhuǎn)發(fā)表(Multi-VRF)。這樣不但能夠隔離私網(wǎng)內(nèi)不同VPN的報文轉(zhuǎn)發(fā)路徑,而且通過與PE間的配合,也能夠?qū)⒚總€VPN的路由正確發(fā)布至對端PE,保證VPNK文在公網(wǎng)內(nèi)的傳輸。5、豐富的QoSfi略H3cS5500-EI系列交換機支持支持 L2(Layer2)~L4(Layer4)包過濾功能，提供基于源MAC!址、目的MAO址、源IP地址、目的IP地址、TCP/UDP端口號、協(xié)議類型、 VLAN的流分類。提供靈活的對列調(diào)度算法，可以同時基于端口和隊列進行設(shè)置，支持SP(StrictPriority)、WR(RWeightedRoundRobin)、SP+WRR種模式。支持CARCommittedAccessRate)功能，粒度最小達64Kbpso支持出、入兩個方向的端口鏡像，用于對指定端口上的報文進行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進行網(wǎng)絡(luò)檢測和故障排除。6、出色的管理性H3CS5500-EI系列交換機支持 SNMPv1/v2/v3(SimpleNetworkManagementProtocol),可支持OpenView等通用網(wǎng)管平臺以及iMC智能管理中心。支持CLI命令行，WetR］管，TELNETHGMP1群管理，使設(shè)備管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5500-EI系列交換機支持基于MACM址戈U分VLAN很好的解決了移動辦公的智能靈活管理；結(jié)合特有的基于全局和 VLAN下發(fā)ACL策略，在簡化用戶配置的同時，也大幅節(jié)約了硬件資源。該系列交換機還支持 sFlow功能，可以對出入方向的報文按比例隨機抽樣，靈活實現(xiàn)報文采集。網(wǎng)絡(luò)出口設(shè)計網(wǎng)絡(luò)出口實現(xiàn)校園網(wǎng)絡(luò)與外界網(wǎng)絡(luò)互聯(lián)，出口網(wǎng)絡(luò)應(yīng)具有一定的可靠性，提供網(wǎng)絡(luò)安全防護能力，并對出口帶寬進行有效的分配和控制，同時加強對用戶行為進行監(jiān)管。網(wǎng)絡(luò)出口配置1臺高端路由器，路由器實現(xiàn)外部網(wǎng)絡(luò)互聯(lián)，并提供NA似能，配置1臺應(yīng)用控制網(wǎng)關(guān)，實現(xiàn)對出口帶寬的靈活調(diào)配，并實現(xiàn)對用戶行為進行審計和監(jiān)管。并通過核心交換機的防火墻模塊實現(xiàn)對網(wǎng)絡(luò)區(qū)域的隔離和訪問控制。網(wǎng)絡(luò)出口路由器應(yīng)具備以下功能和特性：在可靠性方面，路由器應(yīng)支持電源、處理系統(tǒng)的冗余備份。在性能方面，路由器應(yīng)提供高性能轉(zhuǎn)發(fā)，并具有優(yōu)越的 NA說理能力。在業(yè)務(wù)特性方面，路由器支才I豐富的QoSW性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。在安全性方面，路由器有安全機制保障所承載業(yè)務(wù)的安全?；谏鲜鲆蛩?，我們建議出口路由器采用 H3CSR6604s端路由器。應(yīng)用控制網(wǎng)關(guān)選用 H3CSecPathACG(Application ControlGateway)，H3CACGg業(yè)界識別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對網(wǎng)絡(luò)中的P2P/IM帶寬濫用、“地下”VoIP、”一拖M、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問等行為進行精細化識別和控制；同時，可對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進行深入分析與全面的事后審計， 并具有強大的URLM濾功能，進而幫助用戶優(yōu)化其網(wǎng)絡(luò)資源，全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，開展各項業(yè)務(wù)提供有力的支撐。H3cACGi有以下優(yōu)點：強大的P2P/IM業(yè)務(wù)監(jiān)控通過H3c長期積累的狀態(tài)機檢測技術(shù)，能精確檢測 Thunder（迅雷） 、BitTorrent、eMule（電騾）、eDonkey（電驢）、QQMSNPPLive等近百種P2P/IM應(yīng)用。同時，可基于時間、用戶、區(qū)域、應(yīng)用協(xié)議等，對 P2P/IM應(yīng)用進行告警、限流、干擾或阻斷。完善的安全審計系統(tǒng)可對各種P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀鞣N上網(wǎng)行為提供全方面的行為監(jiān)控和記錄；同時，通過綜合分析、檢測用戶網(wǎng)絡(luò)流量與流向趨勢，事后對歷史數(shù)據(jù)進行分析，為用戶提供細粒度的網(wǎng)絡(luò)行為審計管理系統(tǒng)。強大的過濾功能通過自定義IP地址、主機名、正則表達式等方式設(shè)置 URL特征庫，支持根據(jù)不同的URLS略設(shè)置不同的響應(yīng)方式，支持根據(jù)時間表對不同的URL策略設(shè)置不同的響應(yīng)動作，避免保密信息的外泄，免受非法信息的干擾，確保網(wǎng)絡(luò)的健康使用。豐富的報表提供業(yè)務(wù)流量趨勢圖、流量分布圖、TopN用戶列表、TopN應(yīng)用協(xié)議列表等報表，并支持按照用戶名/用戶組、使用頻度、使用時段、應(yīng)用分類、應(yīng)用協(xié)議、流量大小等進行多維度組合定制報表，使用戶能全面掌握網(wǎng)絡(luò)中的流量、應(yīng)用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制定流量控制策略提供依據(jù)。全面地識別“地下”VoIP支持對 Skype、H.323、SIP、中橋、UUcall等近百種協(xié)議或網(wǎng)關(guān)的呼叫識別、阻斷或干擾。目前，H3c是唯一能實現(xiàn)對Skype在PC-PCPC-Phone兩種通信模式進行實時有效控制的廠商。領(lǐng)先的“一拖N'清理技術(shù)采用業(yè)界流行的ID軌跡檢測技術(shù)、時鐘偏移檢測技術(shù)，結(jié)合多種應(yīng)用層特征檢測技術(shù)如應(yīng)用特征檢測、流量/連接數(shù)統(tǒng)計、TTL檢測、MAC4址檢測等，能實時準確的識別出以NATProxy方式進行共享接入的用戶以及準確的PC數(shù)量,并實施告警、阻斷等控制措施。用戶行為分析采用先進的技術(shù)分析手段，全面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢，統(tǒng)計網(wǎng)絡(luò)熱點，發(fā)掘業(yè)務(wù)增長點；分析用戶行為，統(tǒng)計用戶興趣，為個性化運營提供依據(jù)，并通過開放的平臺接口，與第三方業(yè)務(wù)平臺對接，提供高附加值業(yè)務(wù)，如在用戶行為興趣分析的基礎(chǔ)上提供定向 WE曠告服務(wù)。高性能、高可靠性基于新一代多核CPU^核架構(gòu)及分布式搜索引擎，同時配合高容量的交換背板，確保SecPathACGE各種大流量、復(fù)雜應(yīng)用的環(huán)境下，仍能具備千兆級線速業(yè)務(wù)處理能力，僅有微秒級時延。通過掉電保護（PFC、二層回退等高可靠性設(shè)計，確保SecPathACGft斷電、軟硬件故障或鏈路故障的情況下，網(wǎng)絡(luò)鏈路仍然暢通，保證用戶業(yè)務(wù)的不間斷正常運行。及時的特征庫更新H3c專業(yè)安全團隊密切跟蹤應(yīng)用變化，并對應(yīng)用協(xié)議特征庫及時更新；支持在線自動/手動升級方式，升級過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運行。接入層設(shè)計接入層實現(xiàn)各終端電腦的高速接入，根據(jù)各業(yè)務(wù)系統(tǒng)的分布，可采用千兆到桌面以及百兆到桌面兩種方案。對于辦公大樓、圖書館、實驗室等對網(wǎng)絡(luò)帶寬要求較高的,建議采用千兆到桌面的解決方案。對于教學(xué)樓、宿舍區(qū)的接入可采用10/100M到終端的解決方案。配合用戶認證系統(tǒng)實現(xiàn)對接入用戶的接入層交換機應(yīng)具有豐富的安全特性，配合用戶認證系統(tǒng)實現(xiàn)對接入用戶的認證計費，同時，交換機還應(yīng)具有防偽 DHCFServer的接入，對終端ARP各種形式攻擊的防護。接入層交換機，我們建議千兆交換機選用H3cS5100系列交換機，百兆到桌面選用H3C?教育行業(yè)用戶專門研發(fā)的E系列交換機。選用的 S5100－EI系列交換機具有以下特點：1、靈活的千兆接入和集群管理H3cS5100-EI系列千兆以太網(wǎng)交換機提供靈活的16/24/48個10/100/1000M自適應(yīng)電口接入密度；并且支持復(fù)用的SFP?槽，充分考慮用戶的帶寬升級的實際情況，既可以支持千兆光模塊，也可以支持百兆光模塊，保護用戶投資。其中S5100C-EI機型支持最多2個可擴展的萬兆接口，并且支持40G帶寬的堆疊。該系列硬件支持最大136Gbps交換容量，保證所有端口線速交換。H3cS5100-EI系列交換機采用專利技術(shù)允許交換機利用專用互聯(lián)電纜實現(xiàn)多達16臺設(shè)備的堆疊，支持不同端口設(shè)備的混合堆疊。具有即插即用、單一 IP管理。同時大大降低系統(tǒng)擴展的成本，保護了用戶投資。2、全面的接入安全策略H3CS5100-EI系列交換機支持EAD（端點準入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5100-EI系列交換機支持特有的AR叭侵檢測功能，可有效防止黑客或攻擊者通過ARPf文實施網(wǎng)絡(luò)中逐漸盛行的“中間人”攻擊，對不符合 DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARPK騙報文直接丟棄。同時支持IPSourceCheck特性，防止包括MAO騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 DoSgfc擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕私設(shè)DHCPK務(wù)器，保證DHC環(huán)境的真實性和一致性。H3CS5100-EI系列交換機支持端口安全特性族可以有效防范基于 MAO址的攻擊。可以實現(xiàn)基于MAO址允許/限制流量，或者設(shè)定每個端口允許的MAC地址的最大數(shù)量,使得某個特定端口上的MAO址可以由管理員靜態(tài)配置,或者由交換機動態(tài)學(xué)習(xí)。H3CS5100-EI系列交換機有強大硬件ACK力，能深度識別報文，支持L2~L4包過濾功能，提供基于源MAO址、目的MAC源IP地址、目的IP地址、IP協(xié)議類型、物理端口、VLAN等定義ACL以便交換機進行后續(xù)的處理。并且支持基于全局、VLAN端口（組）的ACL下發(fā)，有效簡化配置過程并節(jié)約硬件資源。H3CS5100-EI系列交換機提供802.1X和集中MAC1證方式對接入的用戶進行認證，允許合法用戶通過，對于非法用戶則拒絕其上網(wǎng)。同時還支持客戶端軟件版本檢測、GuestVLAN^功能,和CAM$艮務(wù)器配合還可以實現(xiàn)代理檢測、雙網(wǎng)卡檢測等功能。通過這些功能的應(yīng)用可以對用戶的合法性進行充分的檢查和控制，最大程度的減少非法用戶對網(wǎng)絡(luò)安全的危害。2、完善的QoS保障H3CS5100-EI系列以太網(wǎng)交換機提供基于Diffserv和802.1P的QoS#性，可以對報文的802.1P和DSC題優(yōu)先級進行修改等操作，并映射到每端口提供的8個CO縱列，隊列調(diào)度提供了三種各具特色的隊列調(diào)度算法， 嚴格優(yōu)先級（SP）和整形加權(quán)輪循（SDWFRR調(diào)度算法以及SP+SDWRR合調(diào)度算法。H3CS5100-EI系列以太網(wǎng)交換機支持流量監(jiān)管和帶寬粒度控制，流量限速的最小粒度為1Kbit/s，確保為進入交換機的特定業(yè)務(wù)提供帶寬保證，即使在網(wǎng)絡(luò)擁塞時，也能滿足一定的丟包、時延及時延抖動等QoS需求。支持流量整形保證以太網(wǎng)交換機可以對輸出報文速率進行控制。支持基于流的報文重定向。3、增強的網(wǎng)絡(luò)管理和維護的易用性H3CS5100-EI系列交換機支持通過FTRTFTP實現(xiàn)設(shè)備的遠程升級，支持SNMPv1/v2/v3,可支持OpenView等通用網(wǎng)管平臺，以及iMC智能管理中心。支持CLI命令行，WetB管,TELNETHGMP1群管理，使設(shè)備管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。傳統(tǒng)交換機對端口的鏡像功能都是基于本地實現(xiàn)，鏡像數(shù)據(jù)流無法穿越網(wǎng)絡(luò)在核心實現(xiàn)統(tǒng)一采集、監(jiān)控和分析；H3CS5100-EI支持跨交換機的遠程端口鏡像功能（RSPAN,可以將接入端口的流量鏡像到核心交換機上，在核心上啟動網(wǎng)流分析（Netstream）功能，對監(jiān)控端口的業(yè)務(wù)和流量進行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。H3CS5100-EI系列交換機支持 VCT(VirtualCableTest)電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點；并支持 DLDP(DeviceLinkDetectionProtocol )單向鏈路檢測協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護效率，切實將設(shè)備的易用性帶給用戶。H3cE系列交換機具有以下特點：全面的接入安全策略H3CE126A/E152a育網(wǎng)交換機支持特有的ARPA侵檢測功能，可有效防止黑客或攻擊者通過ARP艮文實施校園網(wǎng)常見的“中間人”攻擊，對不符合 DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARPK騙報文直接丟棄。同時支持IPSourceCheck特性，防止包括MAO騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 DoSgfc擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕學(xué)生私設(shè)DHCPK務(wù)器，保證DHC即境的真實性和一致性。E126A/E152教育網(wǎng)交換機支持端口安全特性族，可以有效防范基于 MAO址的攻擊。可以實現(xiàn)基于MAC!址允許/限制流量，或者設(shè)定每個端口允許的MAC地址的最大數(shù)量，使得某個特定端口上的MAO址可以由管理員靜態(tài)配置，或者由交換機動態(tài)學(xué)習(xí)。E126A/E152教育網(wǎng)交換機有強大硬件ACL能力，能深度識別報文，支持L2?L4包過濾功能，提供基于源MAC!址、目的MAC!址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDPSm、TCP/UD磯口范圍、VLANVLAN?圍等定義ACL以便交換機進行后續(xù)的處理。E126A/E152教育網(wǎng)交換機支持集中式MAO址認證和802.1x認證，支持用戶帳號、IP、MACVLAN端口等用戶標(biāo)識元素的動態(tài)或靜態(tài)綁定，同時實現(xiàn)用戶策略(VLANQoSACD的動態(tài)下發(fā)；支持配合H3c公司的CAM系統(tǒng)對在線用戶進行實時的管理，及時的診斷和瓦解網(wǎng)絡(luò)非法行為。支持對Proxy進行有效的管理。增強的網(wǎng)絡(luò)管理和維護的易用性H3CE126A/E15徵育網(wǎng)交換機支持通過FTRTFTP實現(xiàn)設(shè)備的遠程升級，支持SNMPv1/v2/v3,可支持OpenView等通用網(wǎng)管平臺，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管,Telnet,HGM集群管理，使設(shè)備管理更方便。E126A/E152教育網(wǎng)交換機支持跨交換機的遠程端口鏡像 RSPAN可以將接入端口的流量鏡像到核心交換機上，可以對全網(wǎng)業(yè)務(wù)和流量進行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控，滿足校園網(wǎng)精細化管理的需要。E126A/E152教育網(wǎng)交換機支持VCT(VirtualCableTest)電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點；并支持 DLDP(DeviceLinkDetectionProtocol)單向鏈路檢測協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護效率，切實將設(shè)備的易用性帶給用戶。高性能與靈活擴展能力H3cE126A/E15徵育網(wǎng)交換機具有19.2G的背板交換容量，支持所有端口線速轉(zhuǎn)發(fā)，滿足了教育用戶對高帶寬的需求。設(shè)備支持 2/4個6曰±行，采用固定電口和通用SFP的靈活千兆連接方式，在降低用戶成本的同時，更好的考慮了用戶后續(xù)升級的實際需求。E126A/E152教育網(wǎng)交換機采用專利技術(shù)允許交換機利用專用互聯(lián)電纜實現(xiàn)多達16臺設(shè)備的堆疊，最大擴展至768個10/100M端口，支持E126A和E152混合堆疊。具有即插即用、單一 IP管理。同時大大降低系統(tǒng)擴展的成本，保護了用戶投資。豐富的業(yè)務(wù)支持能力H3CE126A/E152教育網(wǎng)交換機支持SP(StrictPriority)、WRRWeightedRoundRobin)、SP+WRR種隊列調(diào)度算法，支持每個端口4/8個輸出隊列，可以以不同的優(yōu)先級將報文放入端口的輸出隊列。E126A/E152教育網(wǎng)交換機支持端口限速功能，限速粒度可達 64Kbps,防止惡意侵占網(wǎng)絡(luò)帶寬，也為網(wǎng)絡(luò)帶寬的精細化管理提供了手段。E126A/E152教育網(wǎng)交換機支持IPv6host，包括IPv6單播地址配置，ICMPv?IPv6鄰居發(fā)現(xiàn)協(xié)議(ND,IPv6-TCP,IPv6-TFTP,IPv6-TRACERTt理特性。無線網(wǎng)絡(luò)設(shè)計無線局域網(wǎng)技術(shù)經(jīng)過十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無線局域網(wǎng)主要是采用FatAP(即“胖”AP),每一臺AP都要單獨進行配置，費時、費力、費成本；.專業(yè).專注.專業(yè).專注.第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進行管理和配置， 其管理性和安全性以及對有線網(wǎng)絡(luò)的依賴成為了第一代和第二代 WLAN"品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radiusclient的安全密碼(secret)等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量(IPsessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。在這樣的環(huán)境下，基于無線交換機技術(shù)的第三代 WLAIT品應(yīng)運而生。第三代無線局域網(wǎng)采用無線交換機和 FITAP(即“瘦”AP)的架構(gòu)，對傳統(tǒng)WLANS備的功能做了重新劃分，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的WLAN交換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、 AP問自適應(yīng)、無線安管、RF監(jiān)測、無縫漫游以及Qos,使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。FATAP方案FITAP方案技術(shù)模式傳統(tǒng)主流新生方式，增強管理安全性傳統(tǒng)加密、認證方式，普通安全怏增加射頻環(huán)境監(jiān)控，基于用戶位置安全策略，高安全性網(wǎng)絡(luò)管理對每AP下發(fā)配置文件無線控制器上配置好文件.AP本身零配置，自動下載配置文件用戶管理類似有線，根據(jù)AP接入的有線端口區(qū)分權(quán)限虛擬專用組方式，根據(jù)用戶名區(qū)分權(quán)限WLAN組網(wǎng)規(guī)模L2漫游，適合小規(guī)模組網(wǎng)L2、L3漫游，拓撲無關(guān)性，適合大規(guī)模組網(wǎng)搟俏業(yè)務(wù)能力實現(xiàn)簡單數(shù)據(jù)接入可擴展語音等豐富業(yè)務(wù)室內(nèi)無線覆蓋將使用大量無線接入點(AP)提供無線網(wǎng)絡(luò)接入服務(wù)，必須有效實現(xiàn)多個AP的統(tǒng)一策略部署和可靠的安全認證機制，因此，采用FITAP的解決方案，即采用無線控制器結(jié)合瘦AP與無線網(wǎng)絡(luò)管理系統(tǒng)的架構(gòu)。綜合上述分析，對于大規(guī)模部署的校園網(wǎng)無線局域網(wǎng)，我們建議采用FITAP的方案。無線網(wǎng)絡(luò)結(jié)構(gòu)參見下圖:H3(/IS置防火墻匯聚交換機匯聚交換機H3CS5500-EIH3CS5500-EI接入交換機H3CE152/126A接入交換機H3CE152/126A無線AP電信/網(wǎng)通校園網(wǎng)骨干北聚交換機F無線APH3CS550I網(wǎng)絡(luò)中心機房H3CS5500-ET接入交我機H3CE括2/126A核心交換機H3CS7510EH3CS5100服務(wù)器系統(tǒng)無線網(wǎng)絡(luò)結(jié)構(gòu)參見下圖:H3(/IS置防火墻匯聚交換機匯聚交換機H3CS5500-EIH3CS5500-EI接入交換機H3CE152/126A接入交換機H3CE152/126A無線AP電信/網(wǎng)通校園網(wǎng)骨干北聚交換機F無線APH3CS550I網(wǎng)絡(luò)中心機房H3CS5500-ET接入交我機H3CE括2/126A核心交換機H3CS7510EH3CS5100服務(wù)器系統(tǒng)數(shù)據(jù)中心用戶管理系統(tǒng)網(wǎng)絡(luò)出口中心交換機H3CS7502E應(yīng)用流量控制 出口路由器AC模塊H3CACG—2000MH3CSR6604無線網(wǎng)控制器辦公樓 圖書館、實驗樓等 宿舍區(qū)千兆到桌面 百兆到桌面 百兆到桌面宿舍區(qū)百兆到桌面無線網(wǎng)絡(luò)組成包括以下部分:無線控制系統(tǒng)，設(shè)備建議部署在網(wǎng)絡(luò)中心，為確保整個無線網(wǎng)絡(luò)的高可性，建議采用在核心交換機配置無線控制模塊，通過交換機的高性能來實現(xiàn)路由和轉(zhuǎn)發(fā)，并配置無線控制器模塊實現(xiàn)無線的管理。無線控制器模塊最大可管理640個AP,通過在S7510E中集成無線控制器模塊，將充分利用核心交換機的高可靠性和高處理性能，同時，與有線網(wǎng)絡(luò)的融合度更高。無線AP,根據(jù)實際需求，室內(nèi)區(qū)域，包括辦公室、圖書館等，AP采用FitAP,選用WA2110AGAP與無線控制器組成無線網(wǎng)，室內(nèi)AP連接到最近的訪問層交換機。在室外區(qū)域，直接采用室外型APWA2200凍列AP,H3c室外型AP通過IP66等級保護，可防水防塵，直接安裝在外。建議配套H3CWSME線業(yè)務(wù)管理系統(tǒng)，實現(xiàn)對無線網(wǎng)絡(luò)的管理，通過WSME線業(yè)務(wù)管理器，用戶可以獲得全面的無線業(yè)務(wù)管理能力。在設(shè)備選型中，我們建議無線局域網(wǎng)與交換機采用相同的品牌， 以確保系統(tǒng)的兼容性，并實現(xiàn)統(tǒng)一化管理。采用FITAP解決方案構(gòu)建的無線局域網(wǎng)具有以下功能和特點：?方便部署FITAP解決方案采用集中式架構(gòu)，在不改變其網(wǎng)絡(luò)的原有規(guī)劃和部署的情況下，甚至不需要中斷原有網(wǎng)絡(luò)就可以輕松疊加一個無線網(wǎng)絡(luò)， 該無線網(wǎng)絡(luò)和原有的有線網(wǎng)絡(luò)可以形成有線無線一體化的接入方案，可以大大減少網(wǎng)絡(luò)升級和部署的成本。? 易于管理、AP“零配置”采用無線控制器和FITAP配合組網(wǎng)時，只需要在無線控制器上對一類相同屬性的AP建立配置模板，AP在啟動時可以自動從無線控制器上下載最新的配置文件，真正做到了零配置，免維護，即插即用，極大地減輕了網(wǎng)絡(luò)管理員在部署網(wǎng)絡(luò)階段的維護工作量。?方便升級FITAP還支持軟件自動更新功能，在其每次重新啟動時會自動比較當(dāng)前運

行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新， AP會自動更新本地的軟件映像，軟件升級不再需要網(wǎng)管人員的干預(yù)。? 三層漫游無線控制器支持三層漫游，并支持快速漫游，漫游切換時間小于 50m6滿足對切換時間要求最苛刻的語音業(yè)務(wù)。?支持虛擬APFITAP支持多SSID實現(xiàn)虛擬AP特性，每個SSID可對應(yīng)不同的VLAN從而對于每一個SSID可以實現(xiàn)不同的網(wǎng)絡(luò)服務(wù)及認證方式。該特性使管理員可以方便的為不同用戶群、不同的業(yè)務(wù)制定區(qū)分的服務(wù)策略。? 豐富的RF管理和安全RF管理功能，可以使得無線網(wǎng)絡(luò)的布網(wǎng)靈活性大大增強，網(wǎng)絡(luò)的可維護性得到很大的提高。AP的功率調(diào)整和信道切換是網(wǎng)絡(luò)部署和調(diào)試時不可缺少的重要手段，信道和功率還需要按照國家代碼自動設(shè)置，無線控制器的 RF管理功能使得網(wǎng)絡(luò)部署非常簡單。RSSI/SNR的不斷更新，更是讓系統(tǒng)可以適時了解每一個無線用戶所處電磁環(huán)境的好壞、離AP的距離，從而可以采取相應(yīng)的策略來提升網(wǎng)絡(luò)可用性。?支持智能的負載均衡支持智能負載均衡技術(shù)，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量。? IPv6無線控制器實現(xiàn)了IPv4/IPv6雙協(xié)議棧。AP和無線控制器之間可以穿過IPv6網(wǎng)絡(luò)互聯(lián)，從而使組網(wǎng)方式更加靈活，可以滿足今后網(wǎng)絡(luò)發(fā)展的需要，保護用戶投資。? 完善的QoS無線控制器支持Diff-Serv標(biāo)準包括流分類、流量監(jiān)管(Policing)、隊列管理、隊列調(diào)度(Scheduling)等，完整實現(xiàn)了標(biāo)準中定義的EF、AF1?AF4BE等六組PHB及業(yè)務(wù)，可為用戶提供具有不同服務(wù)質(zhì)量等級的服務(wù)保證， 真正成為同時承載數(shù)據(jù)、語音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。? 有線無線一體化的網(wǎng)管系統(tǒng)采用同一品牌的交換機和無線局域網(wǎng)產(chǎn)品，通過配置 1套網(wǎng)絡(luò)管理系統(tǒng)，即可實現(xiàn)有線無線一體化的管理 。網(wǎng)絡(luò)安全性設(shè)計校園網(wǎng)絡(luò)承載多種業(yè)務(wù)系統(tǒng)，并實現(xiàn)與外界網(wǎng)絡(luò)的互聯(lián)互通，為確保業(yè)務(wù)系統(tǒng)的安全性，需根據(jù)不同的業(yè)務(wù)類型，采取相應(yīng)的安全措施。在校園網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)安全建設(shè)主要包括以下幾大部分：一、對重點區(qū)域的安全隔離和訪問控制，通過增加防火墻，實現(xiàn)對業(yè)務(wù)系統(tǒng)資源和外部網(wǎng)絡(luò)安全隔離和訪問權(quán)限的控制。二、網(wǎng)絡(luò)出口部署應(yīng)用控制網(wǎng)關(guān)，實現(xiàn)對校園網(wǎng)用戶的行為審計和監(jiān)管。三、通過配置交換機所具有的安全功能，加強的網(wǎng)絡(luò)的安全控制。重要安全區(qū)域隔離為使網(wǎng)絡(luò)能夠阻止、檢測由面向?qū)W生開放的業(yè)務(wù)資源、校外其它用戶發(fā)起的異常流量和攻擊，對數(shù)據(jù)中心和網(wǎng)絡(luò)出口等重要區(qū)域進行保護，網(wǎng)絡(luò)設(shè)計時使用防火墻實現(xiàn)各區(qū)域的安全隔離，參見下圖：置防火墻匯聚交換;無線AP無線APH3cE152/126A匯聚交換機/H3CS5500-EI核心交換機H3CS7510E匯聚交換機H3CS5500-EIH3CCAMS接入學(xué)機H3CE152/126A網(wǎng)絡(luò)中心機房無線網(wǎng)控制器ZAC模塊校園網(wǎng)骨干數(shù)據(jù)中心服務(wù)器系統(tǒng)用戶管理系統(tǒng)H3CACG-2000MH3CSR6604置防火墻匯聚交換;無線AP無線APH3cE152/126A匯聚交換機/H3CS5500-EI核心交換機H3CS7510E匯聚交換機H3CS5500-EIH3CCAMS接入學(xué)機H3CE152/126A網(wǎng)絡(luò)中心機房無線網(wǎng)控制器ZAC模塊校園網(wǎng)骨干數(shù)據(jù)中心服務(wù)器系統(tǒng)用戶管理系統(tǒng)H3CACG-2000MH3CSR6604匯聚交換機H3cS5500-E接入交換機H3CS5100網(wǎng)絡(luò)出口應(yīng)用流量控制出口路由器中心交換機H3CS7502E/網(wǎng)H3CS5500-EI辦公樓千兆到桌面圖書館、實驗樓等百兆到桌面宿舍區(qū)百兆到桌面宿舍區(qū)百兆到桌面通過在核心交換機增加防火墻模塊，同時為數(shù)據(jù)中心和網(wǎng)絡(luò)出口提供安全區(qū)域隔離和安全保護.防火墻模塊具有虛擬防火墻、虛擬接口等特點，提供高達6Gbps處理性能，并充分利用核心交換機的高可靠性，為確保系統(tǒng)的可靠性，并分別在兩臺中心交換機上配置防火墻模塊，實現(xiàn)防火墻的負載分擔(dān)和冗余備份。出口帶寬監(jiān)管校園網(wǎng)絡(luò)應(yīng)用層出不窮，在大大提升了用戶的工作效率的同時也帶來許多負面影響，針對用戶行為控制的解決方案，需要能夠解決以下問題：用戶通過P2P下載電影造成網(wǎng)絡(luò)速度變慢，怎么解決用戶在BBS上發(fā)布違法帖子，違反信息安全規(guī)定用戶工作時間炒股、打游戲、聊天造成工作效率的下降，怎么解決用戶訪問非法網(wǎng)站易感染病毒，如何控制校園網(wǎng)絡(luò)出口通過問部署一臺SecPathACM關(guān)，通過在ACGE用控制網(wǎng)關(guān)，可精確識別BK電驢、迅雷、MSNQQYahooMessenger、PPLive等近百種P2P/IM應(yīng)用，可基于時間、用戶、區(qū)域、應(yīng)用協(xié)議，通過告警、限速、阻斷等手段進行靈活控制，保證網(wǎng)速的正常和業(yè)務(wù)不被影響。AC或用先進的分析技術(shù)，能對網(wǎng)絡(luò)多媒體、網(wǎng)絡(luò)游戲、炒股等應(yīng)用進行識別與控制，通過URLM濾、關(guān)鍵字過濾、內(nèi)容過濾等多種訪問控制策略，控制非法應(yīng)用，過濾非法網(wǎng)站，規(guī)范用戶上網(wǎng)行為，提高員工工作效率。同時，ACGtt夠以下審計功能：WEB—用審計——URL源、目的IP;訪問時間等應(yīng)用審計一一登錄名；上傳或下載文件名；源、目的IP;訪問時間等Email應(yīng)用審計——POP劑SMTP攵發(fā)郵件的郵件名、發(fā)件人、收件人等；不支持WEBMail的審計NAT日志審計——NAT1后的IP、端口號；時間等；需要與U200或F1000E等支持FLOW3.0日志的設(shè)備配合網(wǎng)絡(luò)安全保護對于校園網(wǎng)大型應(yīng)用以太網(wǎng)交換機的系統(tǒng)，網(wǎng)絡(luò)的安全特性非常重要，因以太網(wǎng)工作原理的限制，交換式網(wǎng)絡(luò)容易造成MACIP等安全的攻擊。對此，需通過交換機的安全特性加以防護。本次選用的核心交換機、匯聚交換機和接入交換機具有豐富的安全特性， 可以解決網(wǎng)絡(luò)中存在的安全問題，詳細參見下表:攻擊攻擊行為交換機安全防范特性核心交換機匯聚交換機接入交換機資源耗盡型攻擊端口MAO限制具有具有具有禁止某個VLAN的MAC!址學(xué)習(xí)+靜態(tài)MACS具有具有具有MAC5L以山端口安全具有具有具有MAC+IP+端口綁定，端口安全中的1個特性具有具有具有DHCPDOS^擊DHCPRelayOption82具有具有具有DHCPSnoopingOption82具有具有具有DHCP艮文限速具有具有具有CPUS^意沖擊ARP艮速具有具有具有防范攻擊的廣播風(fēng)暴抑制具有具有具有

其它特性環(huán)路檢測具有具有具有安全準入特性具有具有具有802.1x具有具有具有端口安全特性具有具有具有假冒偽裝型攻擊ARPK騙攻擊AR叭侵檢測具有具有具有端口隔離具有具有具有Isolate-User-VLAN具有具有具有MAC/IP欺騙攻擊DHCPrelaySecurity具有具有具有IP源地址保護具有具有具有DHC用艮務(wù)器欺騙攻擊DHCPSnoopingTrust具有具有具有根橋偽裝攻擊STPfi保護具有具有具有BPDUS護具有具有具有TCNt擊TC-BPDU艮文非立即處理機制具有具有具有路由源偽裝攻擊OSPF/RI琳由MD5僉證具有具有二層，不具有設(shè)備控制權(quán)攻擊用戶信息嗅探SSH2.0具有具有具有SNMPv3具有具有具有SFTP具有具有具有管理人員泄密遠程管理終端限制（TelnetVTY配置ACL）具有具有具有用戶分級具有具有具有暴力嘗試攻擊遠程管理終端限制（TelnetVTY配置ACL）具有具有具有在用戶接入安全控制，設(shè)計時采取以下針對性的措施解決以下MACIP地址的安全問題。1、通過接入層交換機進行IP、MAC端口的綁定或認證系統(tǒng)的實施，解決IP地址沖突和IP地址欺騙。..專業(yè).專注.2、接入層交換機啟用ARP僉測特性,解決ARPt擊和欺騙的問題。3、接入層交換機啟用DHCPe全特性，解決用戶私自架設(shè)非法 DHCF?務(wù)器的問題。4、在防火墻或路由交換機通過IPSourceGuard以及URPF#性上解決偽造IP源地址攻擊。5、交換機啟用ARP艮文限制，解決導(dǎo)致交換機或客戶端 ARPft溢出或DHCP服務(wù)器地址耗盡的問題。6、通過網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)在網(wǎng)絡(luò)維護和故障解決時，可快速查找、定位和隔離發(fā)生故障的交換機所有的端口。網(wǎng)絡(luò)可靠性設(shè)計各業(yè)務(wù)系統(tǒng)的安全運行，對網(wǎng)絡(luò)系統(tǒng)的可靠性提出了很高的要求。因此在網(wǎng)絡(luò)的設(shè)計實施中必須對網(wǎng)絡(luò)的可靠性進行詳盡的考慮和設(shè)計。網(wǎng)絡(luò)系統(tǒng)的可靠性包括設(shè)備和鏈路冗余、數(shù)據(jù)鏈路層穩(wěn)定性以及網(wǎng)絡(luò)層穩(wěn)定性三大方面。物理設(shè)備和鏈路穩(wěn)定性網(wǎng)絡(luò)結(jié)構(gòu)的可靠性校園網(wǎng)絡(luò)設(shè)計首先從網(wǎng)絡(luò)結(jié)構(gòu)上保證了高可靠性和高冗余性：網(wǎng)絡(luò)核心層和數(shù)據(jù)中心采用雙機冗余架構(gòu)設(shè)計， 通過路由協(xié)議、不間斷路由等技術(shù)配合實現(xiàn)可靠性；網(wǎng)絡(luò)核心層和數(shù)據(jù)中心設(shè)備間互聯(lián)全部采用雙或多鏈路互聯(lián)，配合路由協(xié)議、VRRPMSTP?技術(shù)實現(xiàn)局域網(wǎng)絡(luò)的可靠性。設(shè)備級冗余性設(shè)計網(wǎng)絡(luò)核心節(jié)點設(shè)備的可靠是確保整個網(wǎng)絡(luò)的有效運轉(zhuǎn)的關(guān)鍵所在。要保證網(wǎng)絡(luò)平臺的可靠性，必須要選用具備電信級可靠性的網(wǎng)絡(luò)設(shè)備進行組網(wǎng)，才能使網(wǎng)絡(luò)具有自動恢復(fù)能力、降低人工維護工作，達到電信級的可靠運行。網(wǎng)絡(luò)關(guān)鍵設(shè)備必須具有電信級可靠性網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，如核心路由器等，應(yīng)該具備電信級可靠性：可靠性指標(biāo)必須達到 99.999%。網(wǎng)絡(luò)核心設(shè)備采用全分布式體系結(jié)構(gòu)，路由與轉(zhuǎn)發(fā)分離。所有關(guān)鍵器件，如主控板、電源等都采用冗余設(shè)計，業(yè)務(wù)模塊支持熱插拔。網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。主備倒換過程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。網(wǎng)絡(luò)核心設(shè)備支持軟件在線升級，升級過程中業(yè)務(wù)不中斷。網(wǎng)絡(luò)核心設(shè)備支持軟件熱補丁，打補丁過程中主控板和接口板都不需要重啟動，業(yè)務(wù)不中斷。校園網(wǎng)絡(luò)中所采用的核心交換機和數(shù)據(jù)中心交換機 S7500E等設(shè)備具有強大的設(shè)備級可靠性保證：1、采用分布式體系結(jié)構(gòu)：S7500E采用分布式體系結(jié)構(gòu)，與集中式體系設(shè)備相比較，分布式體系設(shè)備除性能可以通過插入更多的接口處理板提高整體性能外，更為關(guān)鍵的是將管理、路由轉(zhuǎn)發(fā)、接口處理等功能分配在不同的部件上，協(xié)同工作，分布式體系可以分散故障風(fēng)險、隔離故障、提供冗余配置，提高系統(tǒng)的自動恢復(fù)能力；如管理部件故障，只需要更換這部分板件，不影響其他功能。2、關(guān)鍵部件冗余：S7500E采用分布式體系下，對設(shè)備的關(guān)鍵部件，如主控管理單元、交換轉(zhuǎn)發(fā)單元等，進行冗余構(gòu)造配置，保證系統(tǒng)在工作中不會全部失效。3、實時熱備份機制：在系統(tǒng)軟件及硬件的支持下，關(guān)鍵部件在發(fā)生故障能自動啟動備份系統(tǒng)，而且主備之間的切換要能夠?qū)崟r熱倒換，即運行中即使發(fā)生設(shè)備故障切換也不會對網(wǎng)絡(luò)業(yè)務(wù)造成影響。4、熱插拔特性：S7500E任意單板均支持熱插拔特性，保證系統(tǒng)出現(xiàn)故障需要維護，或系統(tǒng)需要升級擴展時，不需要停機處理，保證網(wǎng)絡(luò)的 7X24小時不間斷運行。5、冗余電源支持：S7500E能提供冗余電源負載分擔(dān)及備份供電，保障系統(tǒng)具有可靠的能量源。6、散熱系統(tǒng)：S7500E的散熱系統(tǒng)使設(shè)備能夠長時間穩(wěn)定運行而不至因為系統(tǒng)升溫過高出現(xiàn)故障，冗余風(fēng)扇等散熱裝置可以增加設(shè)備的運行時間及減少故障發(fā)生。鏈路冗余配置校園網(wǎng)絡(luò)核心與匯聚、核心與數(shù)據(jù)中心之間采用多條鏈路互聯(lián)，通過路由協(xié)議的ECM多鏈路分擔(dān)和切換等特點，實現(xiàn)多鏈路之間的互為冗余備份。數(shù)據(jù)鏈路層穩(wěn)定性設(shè)計接入交換機與匯聚交換機之間為二層鏈路互聯(lián)，為避免二層環(huán)路的發(fā)生，需運行生成樹協(xié)議，在具體的部署過程中，為實現(xiàn)鏈路的快速切換以及保障網(wǎng)絡(luò)的穩(wěn)定性，可綜合實施MSTPE成樹、生成樹邊緣端口、鏈路單向檢測等技術(shù)。網(wǎng)絡(luò)部署MSTP通過運行MSTPk成樹協(xié)議，可以解決因拓撲變化 STP重新計算引起的局部網(wǎng)絡(luò)中斷問題以及因某個VLANft撲變化引起整個STP重新計算的問題。MSTP（MultipleSpanningTreeProtocol ，多生成樹協(xié)議）可以彌補STP和RSTP勺缺陷，它既可以快速收斂，也能使不同VLAN的流量沿各自的路徑轉(zhuǎn)發(fā)，從而為冗余鏈路提供了更好的負載分擔(dān)機制。MSTP勺特點如下：MST股置VLAN央射表（即VLANffi生成樹的對應(yīng)關(guān)系表），把VLANff口生成樹聯(lián)系起來。通過增加“實例”（將多個VLAN整合到一個集合中）這個概念，將多個VLANB綁到一個實例中，以節(jié)省通信開銷和資源占用率。MSTPf巴一個交換網(wǎng)絡(luò)劃分成多個域，每個域內(nèi)形成多棵生成樹，生成樹之間彼此獨立。MSTP等環(huán)路網(wǎng)絡(luò)修剪成為一個無環(huán)的樹型網(wǎng)絡(luò),避免報文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLANa據(jù)的負載分擔(dān)。MSTPS容STPffiRSTP生成樹邊緣端口接入交換機的端口設(shè)為生成樹的邊緣端口,通過此種方法，可以避免終端設(shè)備接入時，發(fā)生由于STP狀態(tài)變化引起的延時連通現(xiàn)象。在運行生成樹的網(wǎng)絡(luò)中，當(dāng)網(wǎng)絡(luò)拓撲變化時，邊緣端口不會產(chǎn)生臨時環(huán)路。因此，用戶如果將某個端口指定為邊緣端口，那么當(dāng)該端口由堵塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時，這個端口可以實現(xiàn)快速遷移，而無需等待延遲時間。DLD俄術(shù)運用校園網(wǎng)絡(luò)中建議選用的交換機均具有DLDP（DeviceLinkDetectionProtocol，設(shè)備連接檢測協(xié)議），實現(xiàn)光纖單向失效檢測（即收發(fā)兩方向上的一對光纖中有一根失效），解決因光纖單向鏈路失效引起反復(fù)的 STP和OSPF#算帶來的性能和連通性問題。DLDPft、議有如下特點：?DLDF^鏈路層協(xié)議，它與物理層協(xié)議協(xié)同工作來監(jiān)控設(shè)備的鏈路狀態(tài)。?物理層的自動協(xié)商機制進行物理信號和故障的檢測； DLDF?行對端設(shè)備的識別、單向鏈路的識別和關(guān)閉不可達端口等工作。?當(dāng)使能自動協(xié)商機制和DLD而，二者協(xié)同工作，可以檢測和關(guān)閉物理和邏輯的單向連接，并阻止其他協(xié)議（如： STP協(xié)議）的失效。?如果兩端鏈路在物理層都能獨立正常工作，DLD法在鏈路層檢測這些鏈路是否正確連接、兩端是否可以正確的交互報文。這種檢測不能通過自動協(xié)商機制實現(xiàn)。網(wǎng)絡(luò)層穩(wěn)定性設(shè)計在校園網(wǎng)的數(shù)據(jù)中心，兩臺交換機之間采用 VRR次業(yè)務(wù)服務(wù)器、提供高可靠的接入服務(wù)。在校園網(wǎng)的數(shù)據(jù)中心，業(yè)務(wù)服務(wù)器 IP網(wǎng)關(guān)設(shè)在數(shù)據(jù)中心交換機，在組網(wǎng)中，兩臺S7502互間運行VRR初議。虛擬路由冗余協(xié)議VirtualRouterRedundancyProtocol（VRRP）在國際標(biāo)準RFC3768定義，被眾多網(wǎng)絡(luò)設(shè)備廠商所支持。虛擬路由冗余協(xié)議對共享多存取訪問介質(zhì)（如以太網(wǎng)）上終端IP設(shè)備的默認網(wǎng)關(guān)（Default Gateway）進行冗余備份，從而在其中一臺路由設(shè)備宕機時，備份路由設(shè)備及時接管轉(zhuǎn)發(fā)工作，向用戶提供透明的切換，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。網(wǎng)絡(luò)管理設(shè)計校園信息化系統(tǒng)是一個涉及多個廠家、多種類型設(shè)備的復(fù)雜系統(tǒng)，作為整個系統(tǒng)的承載層，網(wǎng)絡(luò)平臺必須具備良好的可維護性。在管理方面，我們采用基于H3C智能管理中心的管理系統(tǒng)，實現(xiàn)對校園網(wǎng)絡(luò)的統(tǒng)一管理，可以方便的對系統(tǒng)進行維護，實現(xiàn)快速的故障定位。H3CIMC智能管理中心基于SO咪構(gòu)，采用B/S平臺以及分布式、組件化、跨平臺的開放體系結(jié)構(gòu)，根據(jù)據(jù)根不同的業(yè)務(wù)需求選擇安裝不同的業(yè)務(wù)組件，可以實現(xiàn)設(shè)備管理、拓撲管理、告警管理、性能管理、軟件升級管理、配置文件管理等多種管理功能。H3CiMC采用B/S架構(gòu)，更為方便的通過遠程方式對網(wǎng)絡(luò)的狀態(tài)進行監(jiān)控和維護，運維人員可以采用IE瀏覽器，通過用戶名/密碼遠程登錄系統(tǒng)進行維護，同時，H3CiMC還可以實現(xiàn)用戶分權(quán)限、設(shè)備分組的管理，不同的級別管理人員可對設(shè)備進行各種類型的操作，而且還可以限制可以管理的設(shè)備。H3CiMC不僅能夠獨立提供完整的網(wǎng)絡(luò)管理平臺，還能夠與OpenViewSNMPc多種主流通用網(wǎng)管平臺靈活集成；不僅能夠管理 H3c公司的全線數(shù)據(jù)通信設(shè)備，還能夠通過標(biāo)準MIB管理CISCO3COW各主流廠商的數(shù)據(jù)通訊設(shè)備。通過部署H3CiMC網(wǎng)管系統(tǒng)，可以實現(xiàn)以下運行維護管理功能。資源管理iMC資源管理與拓撲管理作為整體共同為用戶提供網(wǎng)絡(luò)資源的管理。網(wǎng)絡(luò)自動發(fā)現(xiàn)可以通過設(shè)置種子的簡易方式、路由方式、 ARP方式、IPSecVPN、網(wǎng)段方式等五種自動發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓撲，自動識別包括：路由器、交換機、安全網(wǎng)關(guān)、存儲設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機、 UPS、服務(wù)器、PC在內(nèi)的多種類型網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)手工管理可以手工添加、刪除網(wǎng)絡(luò)設(shè)備，可以批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備，批量配置Telnet、SNM參數(shù)，以及批量校驗Telnet參數(shù)等輔助功能；網(wǎng)絡(luò)視圖管理支持IP視圖、設(shè)備視圖、自定義視圖、下級網(wǎng)絡(luò)管理視圖等多種管理視圖，用戶可以從不同角度實現(xiàn)整個網(wǎng)絡(luò)的管理；網(wǎng)絡(luò)設(shè)備的管理從任何一種網(wǎng)絡(luò)視圖入口，都可以實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，包括：支持對設(shè)備的管理/去管理、接口的管理 /去管理、設(shè)備的詳細信息顯示和接口詳細信息顯示、設(shè)備和接口實時告警狀態(tài)、設(shè)備和接口的實時性能狀態(tài)、 實時檢測存在故障的設(shè)備等，用戶可以方便的實現(xiàn)所有設(shè)備的管理；設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理支持對H3GCISCO3COW主要廠家設(shè)備的管理，支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號；支持設(shè)備面板管理的動態(tài)注冊機制，實現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成；支持拓撲定位、 ACLVLANQoS等業(yè)務(wù)管理系統(tǒng)的集成，實現(xiàn)設(shè)備資源的統(tǒng)一管理；設(shè)備分組權(quán)限管理支持設(shè)備分組功能，通過對設(shè)備資源進行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)分離；拓撲管理iMC拓撲管理從網(wǎng)絡(luò)拓撲的解決直觀的提供給用戶對整個網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓撲自動發(fā)現(xiàn)H3CiMC可以自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)，支持全網(wǎng)設(shè)備的統(tǒng)一拓撲視圖，通過視圖導(dǎo)航樹提供視圖間的快速導(dǎo)航。通過自動發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備及網(wǎng)絡(luò)結(jié)構(gòu)（具體參見資源管理），并且可以將非SNM股備發(fā)現(xiàn)出來，只要設(shè)備可以ping通即可。這樣就可以將所有網(wǎng)絡(luò)設(shè)備都列入其管理范圍（只要設(shè)備 IP可達）。同時支持自動的拓撲圖呈現(xiàn)和自定義拓撲。自動拓撲可以自動將網(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來，同時可以保存為自定義拓撲圖并可根據(jù)具體情況進行修改以便于網(wǎng)管員對整個網(wǎng)絡(luò)設(shè)備的監(jiān)控。支持對全網(wǎng)設(shè)備和連接定時輪詢和狀態(tài)刷新，實時了解整個網(wǎng)絡(luò)的運行情況，并且刷新周期是可定制（刷新周期：60?7200秒），同時也支持對多個設(shè)備的刷新周期進行批量配置的功能。支持自定義拓撲傳統(tǒng)的網(wǎng)絡(luò)管理軟件大多支持自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲的功能，但是自動發(fā)現(xiàn)后的網(wǎng)絡(luò)拓撲往往是很多設(shè)備圖標(biāo)的簡單排放，不能突出重點設(shè)備和網(wǎng)絡(luò)層次，使網(wǎng)絡(luò)管理人員感覺無從下手。針對這種情況，H3ciMC的拓撲功能支持靈活的自定義功能，管理人員可以根據(jù)網(wǎng)絡(luò)的實際組網(wǎng)情況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓撲，可對拓撲圖進行增、刪、改等編輯操作，使網(wǎng)絡(luò)拓撲能夠清晰地呈現(xiàn)整個企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)以及IT資源分布。H3CiMC支持靈活定制拓撲圖，使網(wǎng)絡(luò)拓撲更有重點和層次感。管理員可以按照關(guān)注設(shè)備不同，管理角度不同定義多種拓撲，并可以針對拓撲不同選擇不同的背景圖；管理員可以根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同，鏈路速率不同采用合適的圖標(biāo)顯示。自動識別各種網(wǎng)絡(luò)設(shè)備和主機的類型H3CiMC可以自動識別H3c華為、Cisco、3com等廠商的設(shè)備、WindowsSolaris的PC和工作站、其他SNM段備和ping設(shè)備，并且以樹形方式組織，以不同的圖標(biāo)顯示區(qū)分。在拓撲圖上更可進一步對設(shè)備的類型進行區(qū)分，如區(qū)分路由器、交換機、安全網(wǎng)關(guān)、存儲設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機、UPS服務(wù)器、PC等等。設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓撲圖上的直觀顯示H3CiMC的拓撲功能與故障管理和性能管理緊密融合，使拓撲圖能夠清晰地看到企業(yè)IT資源的狀態(tài)，包括運行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級別故障，根據(jù)節(jié)點圖標(biāo)顏色反映設(shè)備狀態(tài)。拓撲能提供設(shè)備管理便捷入口H3CiMC拓撲能夠提供對設(shè)備管理的便捷入口，管理員只需通過右鍵點擊拓撲圖中的設(shè)備圖標(biāo)即可啟動設(shè)備管理各項功能，實現(xiàn)對設(shè)備的面板管理等各項功能配置。故障（告警 /事件）管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺及其他業(yè)務(wù)組件統(tǒng)一的告警中心。如下圖所示，以故障管理流程為引導(dǎo)，介紹H3ciMC強大的故障管理能力：告警發(fā)現(xiàn)和上報iMC告警中心可以接收各種告警源的告警事件，包括設(shè)備告警、本級網(wǎng)管站及下級網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配置監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端安全異常告警等；同時通過支持對設(shè)備定時輪詢，實現(xiàn)通斷告警、響應(yīng)時間告警等，以告警事件的方式上報給H3CiMC告警中心；設(shè)備告警包括電源電壓、設(shè)備溫度、風(fēng)扇等告警事件，設(shè)備冷啟動、熱啟動、接口linkdown等重要告警事件，路由信息事件（OSPFBGP變化，熱備份路由（HSRP狀態(tài)變化等告警事件，支持對H3cCISCO華為、3CO琳多廠商設(shè)備告警的識別和解析；網(wǎng)管站告警指包括本級iMC系統(tǒng)集群服務(wù)器的異常告警，包括CPLM用率、內(nèi)存使用率、iMC服務(wù)程序運行狀態(tài)等以及下級iMC系統(tǒng)上報的告警事件；網(wǎng)絡(luò)性能監(jiān)視包括CPURJ用率，內(nèi)存使用率，以及RMOlt警的故障管理。網(wǎng)絡(luò)