上海師范大學(xué)校園網(wǎng)技術(shù)建議書

PAGEPAGE4上海師范大學(xué)校園網(wǎng)技術(shù)建議書華為技術(shù)有限公司2008年11月

目錄第一章總論 1第一節(jié)項目提要 1第二節(jié)可研依據(jù)與范圍 2第三節(jié)主要技術(shù)經(jīng)濟指標(biāo) 4第二章項目背景和建設(shè)必要性 6第一節(jié)項目背景 6第二節(jié)項目建設(shè)必要性 8第三章項目建設(shè)可行性 10第一節(jié)國內(nèi)外紅豆杉市場條件分析 10第二節(jié)項目建設(shè)技術(shù)條件分析 13第三節(jié)項目實施基礎(chǔ)條件分析 15第四節(jié)項目建設(shè)政策條件分析 16第五節(jié)項目實施龍頭企業(yè)情況分析 20第四章建設(shè)方案 23第一節(jié)建設(shè)指導(dǎo)思想及原則 23建設(shè)地址和條件24建設(shè)內(nèi)容及規(guī)模 27第四節(jié)建設(shè)方案 28第五節(jié)建設(shè)進度安排 30第六節(jié)技術(shù)方案 31第七節(jié)工程方案 32第八節(jié)產(chǎn)品方案 33第九節(jié)招投標(biāo)方案 34第五章環(huán)境保護 35第一節(jié)環(huán)境條件 35第二節(jié)環(huán)境影響 35第三節(jié)環(huán)境評價 35第六章投資估算及資金籌措 36第一節(jié)投資估算 36第二節(jié)資金籌措與使用計劃 38第七章經(jīng)濟評價 39第一節(jié)經(jīng)濟效益評價依據(jù)、原則和方法 39第二節(jié)財務(wù)估算 40第三節(jié)財務(wù)分析 41第四節(jié)效益分析 42第五節(jié)風(fēng)險分析 43第八章結(jié)論及建議 46第一節(jié)結(jié)論 46第二節(jié)建議 46上海師范大學(xué)校園網(wǎng)技術(shù)建議書PAGEPAGE25上海師范大學(xué)校園網(wǎng)工程 機密文件

1．概述隨著國家信息化工作的深入開展，提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重點。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵，尤其是高校校園網(wǎng)建設(shè)。在信息化的建設(shè)過程中，它的作用體現(xiàn)在如下幾個方面：1、校園網(wǎng)能促進教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平；信息技術(shù)學(xué)科的內(nèi)容是發(fā)展的，它是一門應(yīng)用型學(xué)科，因此，為了讓學(xué)生學(xué)到實用的知識，必須給他們提供一個實踐的環(huán)境，這個環(huán)境離不開校園網(wǎng)。2、校園網(wǎng)為教師提供了一種先進的輔助教學(xué)工具、提供了豐富的資源庫，所以校園網(wǎng)是學(xué)校進行教學(xué)改革、推行素質(zhì)教育的一種必不可少的工具。3、校園網(wǎng)是學(xué)?，F(xiàn)代化管理的基礎(chǔ)，深入、全面的學(xué)校信息管理系統(tǒng)必須建立在校園網(wǎng)上。4、校園網(wǎng)提供了學(xué)校與外界交流的窗口，學(xué)校應(yīng)將校園網(wǎng)與互聯(lián)網(wǎng)聯(lián)接，這也是學(xué)校信息化的要求，做到了這一步，通過校園網(wǎng)去了解世界、在互聯(lián)網(wǎng)上樹立學(xué)校的形象都是很容易的。教育即未來，作為國家最重要的戰(zhàn)略工程，如何應(yīng)用信息技術(shù)改造我們傳統(tǒng)的教學(xué)和管理手段；如何加深學(xué)生對于信息化和信息技術(shù)的理解與了解；如何造就同時具備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當(dāng)前最為緊迫的任務(wù)之一。信息技術(shù)的應(yīng)用，勢必極大地推進教育手段和教育內(nèi)容的革命性變革。我們對此深信不疑，并將全身心地為之努力。1.1上海師范大學(xué)校區(qū)校園網(wǎng)建網(wǎng)需求分析1.2.1一般建網(wǎng)需求上海師范大學(xué)校區(qū)的網(wǎng)絡(luò)屬于新建，在實際的建設(shè)過程當(dāng)中，應(yīng)當(dāng)充分考慮到學(xué)校內(nèi)部的校園網(wǎng)多業(yè)務(wù)以及特色業(yè)務(wù)等擴展性，如：校園網(wǎng)內(nèi)部的服務(wù)器的訪問，由于學(xué)生的訪問的內(nèi)容多樣化決定，涉及到基礎(chǔ)網(wǎng)絡(luò)設(shè)施的建設(shè)和業(yè)務(wù)應(yīng)用平臺建設(shè)兩個不同的層面。此處主要分析上海師范大學(xué)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)運營方面相關(guān)的內(nèi)容。上海師范大學(xué)校園網(wǎng)絡(luò)建設(shè)從網(wǎng)絡(luò)流量模型上看和企業(yè)網(wǎng)的流量模型相似，用戶集中而網(wǎng)絡(luò)流量大，但實際應(yīng)用上還存在許多和企業(yè)網(wǎng)不同的地方。主要特點如下：多出口的需求：典型的組網(wǎng)有中國教育和科研網(wǎng)（CERNET）出口和運營商網(wǎng)絡(luò)出口。多出口帶來了以下兩個需求：多權(quán)限ISP需求。用戶可通過不同的賬號名或采用相同的賬號，不同的域名認(rèn)證，獲得不同的上網(wǎng)權(quán)限。譬如做到用戶不認(rèn)證前能自由訪問校園內(nèi)部分服務(wù)器，采用“user@163”登錄，可實現(xiàn)Internet和校園網(wǎng)絡(luò)自由訪問，采用“user@crenet”登錄，可訪問CERNET和校園網(wǎng)。用戶域名選擇可通過WEB認(rèn)證時用戶通過選擇WEB認(rèn)證上的相應(yīng)選擇項進行選擇。多ISP分別計費的需求，對應(yīng)不同的ISP，計費策略不一致?？紤]到用戶的以上的需求，需要在學(xué)校的內(nèi)部提供不同的路由策略，即用戶訪問教育網(wǎng)的相關(guān)站點，通過CERNET的線路，而訪問其他的網(wǎng)站如：新浪網(wǎng)、263等網(wǎng)站則選擇運營商的線路作為出口路由，這要求核心的交換機或出口路由器能夠提供策略路由以支持該特性。2、用戶管理的需求：使用方便，存在WEB認(rèn)證需求。要求能做到基于WEB的身份認(rèn)證、多ISP選擇、W用戶費率查詢、帶寬動態(tài)調(diào)整（隱性需求）、多WEB界面（隱性需求）等。需要解決賬號和端口綁定問題。通過此種方式限制賬號的使用區(qū)域。對用戶帶寬進行控制的需求，要求設(shè)備能對用戶的帶寬進行控制，譬如限制為64K、256K、512K、1M、2M、5M、10M等等級。3、多種教學(xué)方式并行的需求：隨著校園網(wǎng)的信息化的發(fā)展，越來越的多教學(xué)方式依托于網(wǎng)絡(luò)給學(xué)生提供多種的特色教學(xué)模式多媒體教學(xué)。為了更好的為學(xué)生提供全方面的教學(xué)資料，越來越的多學(xué)校在自己的內(nèi)部局域網(wǎng)上面為學(xué)生提供多種教學(xué)資料，如：多媒體教學(xué)課件、典型的考試資料等等提供給學(xué)生上網(wǎng)下載使用。VOD點播業(yè)務(wù)實現(xiàn)，通過建立VOD視頻服務(wù)器平臺，利用交換機提供的組播功能，為上海師范大學(xué)的用戶提供優(yōu)質(zhì)的視頻效果，同時節(jié)省用戶帶寬。4、安全管理的需求：校園用戶接受新鮮事務(wù)的能力非常強，因此校園也成為黑客最多的場所之一，如何保障校園網(wǎng)絡(luò)的安全成為建網(wǎng)時不得不考慮的問題，目前主要攻擊手段有DOS，DDOS等上網(wǎng)日志的需求，主要是配合公安機關(guān)保證社會的穩(wěn)定和校園的安全6、組播業(yè)務(wù)的需求，特別是可控組播的需求將隨著校園信息化的深入而體現(xiàn)出來。1.2.2上海師范大學(xué)校區(qū)建網(wǎng)需求上海師范大學(xué)有兩個校區(qū)共四個主節(jié)點和五個分節(jié)點。主節(jié)點為：徐匯信息辦機房、徐匯一教5樓機房、奉賢圖文8樓機房、奉賢老圖書館機房；分節(jié)點為：徐匯計算中心、徐匯東校區(qū)、徐匯圖書館、徐匯行政樓、奉賢圖書館。上海師范大學(xué)有三個Internet網(wǎng)絡(luò)出口，分別為徐匯校區(qū)的1000M教科網(wǎng)出口（目前日常使用帶寬為單向800M、雙向1.5G以上）、1000M上海中小學(xué)校校通教育網(wǎng)出口和奉賢校區(qū)的20M電信出口（所有鏈路均為千兆光纖接口）。具體需求：現(xiàn)有網(wǎng)絡(luò)的容量，可靠性－－建設(shè)后網(wǎng)絡(luò)5－10年的容量，可靠性新的網(wǎng)絡(luò)平臺擴充后必然會引入安全問題，如何實現(xiàn)安全的控制及監(jiān)控。新的網(wǎng)絡(luò)平臺對于業(yè)務(wù)主流技術(shù)的應(yīng)用（包括VPN,IPV6,QOS等）對于用戶的管理和計費，以及安全是否做充分的考慮其他業(yè)務(wù)系統(tǒng)的信息化互聯(lián)，包括一卡通，數(shù)據(jù)中心等…1.2核心、匯聚建網(wǎng)原則早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機資源，共享簡單數(shù)據(jù)庫，多以二層交換為主，很少有三層應(yīng)用，存在安全、可管理性較差、無業(yè)務(wù)增值能力等方面的問題?，F(xiàn)在上海師范大學(xué)校園網(wǎng)建設(shè)要實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實現(xiàn)教育管理、多媒體教學(xué)、圖書館管理自動化，而且還要通過Internet實現(xiàn)遠程教學(xué)，提供可增值可管理的業(yè)務(wù)，必須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴展性?；趯ι虾煼洞髮W(xué)校園網(wǎng)業(yè)務(wù)需求的深入理解，結(jié)合自身產(chǎn)品和技術(shù)特點，華為公司推出了了完善的上海師范大學(xué)校園網(wǎng)解決方案，為上海師范大學(xué)提供“可管理、可增值、可持續(xù)發(fā)展”的精品網(wǎng)絡(luò)。上海師范大學(xué)網(wǎng)絡(luò)建設(shè)遵循以下基本原則：高帶寬上海師范大學(xué)網(wǎng)絡(luò)是一個龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計的無瓶頸性，要求方案設(shè)計的階段就要充分考慮到，同時要求核心交換機具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換。可增值性上海師范大學(xué)校園網(wǎng)絡(luò)的建設(shè)、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時要充分考慮業(yè)務(wù)的擴展能力，能針對不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。可擴充性考慮到上海師范大學(xué)用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對于核心交換機與匯聚交換機具有強大的擴展功能，上海師范大學(xué)校園網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡(luò)平臺，能夠隨著需求變化，充分留有擴充余地。開放性技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計應(yīng)充分考慮整個網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點的備份和線路保護，提供網(wǎng)絡(luò)安全防范措施。

2．總體網(wǎng)絡(luò)設(shè)計2.1組網(wǎng)描述上海師范大學(xué)校園核心層解決方案總體設(shè)計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進性、成熟性，并采用模塊化的設(shè)計方法。組網(wǎng)圖如下所示：徐匯信息辦機房徐匯信息辦機房奉賢圖文8樓機房中國教科網(wǎng)校校通網(wǎng)絡(luò)中國電信教科網(wǎng)、校校通出口路由器電信出口路由器NE40NE40流控日志服務(wù)器防火墻防火墻服務(wù)器群服務(wù)器群S9312S9303徐匯一教5樓機房奉賢老圖書館機房徐匯計算中心徐匯東校區(qū)徐匯圖書館奉賢圖書館徐匯行政樓S9303S9303S9303S9303S9303S9312S9312S9312 解決方案網(wǎng)絡(luò)分為三個層次，核心層、樓層匯聚層、接入層。為實現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層采用4臺華為公司核心路由交換機QuidwayS9312，采用10G接口互聯(lián)，組成環(huán)網(wǎng)，構(gòu)建了校園網(wǎng)絡(luò)中心。設(shè)計說明：核心采用4臺S9312核心交換機，主要是從核心的大容量轉(zhuǎn)發(fā)、高可靠性角度考慮。4臺S9312負(fù)載分擔(dān)連接多臺服務(wù)器、所有匯聚交換機和出口路由器，部署業(yè)界先進的檢測技術(shù)及保護技術(shù)，如BFDFORVRRP,smartlink，RRPP，確保網(wǎng)絡(luò)s級的快速切換，保證業(yè)務(wù)不中斷，最大實現(xiàn)網(wǎng)絡(luò)的可靠性。匯聚層采用全千兆S9303匯聚層交換機，保證帶寬，避免在匯聚層形成瓶頸。S9303交換機提供的三層功能可以有效屏蔽網(wǎng)絡(luò)攻擊，保證網(wǎng)絡(luò)安全。在服務(wù)器分布區(qū)，核心設(shè)備旁掛一臺交換機，作為各種服務(wù)器端口匯聚，新增一臺防火墻作為安全防范。上海師范大學(xué)校區(qū)校園網(wǎng)核心層、匯聚層、接入層建設(shè)是要求從上海師范大學(xué)實際的應(yīng)用出發(fā)，考慮到學(xué)生用戶數(shù)量大、上網(wǎng)時間集中、突發(fā)流量較大等因素，華為在實際的建網(wǎng)的過程當(dāng)中遵循了以下幾點要求：核心層交換機：在建設(shè)的過程當(dāng)中，應(yīng)當(dāng)充分考慮到核心交換機的交換性能，以及轉(zhuǎn)發(fā)性能，華為S9312萬兆核心交換機具12個業(yè)務(wù)插槽，最大可以支持4.8T的背板容量和2T的交換能力，設(shè)備包交換能力可以達到864Mpps，MAC地址表最大達到512K?？梢詾橛脩籼峁姶蟮娜龑咏粨Q功能，目前對于萬兆接口、IPv6等新技術(shù)均支持。匯聚層交換機：匯聚層在整網(wǎng)當(dāng)中是接入層與核心層的橋梁，因此在網(wǎng)絡(luò)的建設(shè)過程當(dāng)中應(yīng)當(dāng)避免匯聚層的瓶頸問題，并應(yīng)當(dāng)留有足夠的業(yè)務(wù)擴展能力。我們在上海師范大學(xué)的網(wǎng)絡(luò)設(shè)計當(dāng)中采用S9303交換機作為匯聚層交換機，S9303交換機支持QinQ、靈活QinQ、VLAN交換等VLAN特性。支持BPDUTunnel、GRE、VLL、MPLSL3VPN、VPLS等隧道功能，支持RRPP、STP、RSTP、MSTP等環(huán)網(wǎng)技術(shù)。支持靜態(tài)路由，RIPv1/v2,OSPFv2，ISIS，BGPv4等豐富的路由特性。支持IGMPSnooping、IGMPProxy、靜態(tài)組播、PIMSM、PIMDM、MSDP等組播功能.出口路由器：考慮到上海師范大學(xué)的公網(wǎng)出口有兩個，用戶可以自由的選擇不同的線路作為自己的出口線路；因此要求出口路由器具有強大的策略路由的功能，以及基于硬件的ACL列表功能，華為NE40高端路由器，具有強大的路由功能以及業(yè)務(wù)功能；NE40基于分布式的硬件轉(zhuǎn)發(fā)和無阻塞交換技術(shù)，具備電信級可靠性、線速轉(zhuǎn)發(fā)性能、完善的QoS機制、豐富的業(yè)務(wù)處理能力、優(yōu)異的擴展能力。NE40具備核心路由器所需的強大IP業(yè)務(wù)處理能力，同時融合了三層以太交換能力，具有豐富的IP邊緣業(yè)務(wù)特性，包括以太網(wǎng)交換處理、PE、隧道和流隊列等，支持以太網(wǎng)時鐘。憑借NE40全面的業(yè)務(wù)支持能力，可實現(xiàn)IP運營級業(yè)務(wù)的可靠承載，IPv4向IPv6的平滑過渡。NE40有機地結(jié)合了軟件的靈活性和硬件的高性能，即提供線速轉(zhuǎn)發(fā)性能，又具備快速良好的業(yè)務(wù)升級和擴展能力。2.2業(yè)務(wù)訪問說明不同用戶訪問公網(wǎng)：用戶可以根據(jù)自己的需求，選擇不同的運營商來進行公網(wǎng)的訪問，出口路由器根據(jù)用戶的訪問策略進行策略路由，如圖所示：不同的ISP用戶在經(jīng)過NE40的時候，NE40會根據(jù)用戶所在的ISP服務(wù)商來做策略路由，將用戶送到自己選擇的出口線路上。校內(nèi)三層互訪：對于同在一個校園內(nèi)部的學(xué)生之間的互訪可以直接通過局域網(wǎng)的內(nèi)部交換機來完成內(nèi)部之間的互訪，對于同屬于一個匯聚層交換機S9303下的用戶，兩個用戶之間的互訪可以直接在匯聚層交換機S9303上來完成，而對于跨匯聚層交換機的用戶只見的額互訪可以通過核心交換機S9312來完成，S9312強大的三層交換功能完全可以勝任任何突發(fā)流量以及高集中用戶上網(wǎng)時段的三層交換，為用戶提供高速高帶寬的用戶接入?；诹鞴舻姆乐?。華為公司所采用產(chǎn)品NE40、S9312、S9303等三層轉(zhuǎn)發(fā)模式均為最長路由匹配技術(shù)。這樣就可以避免校園網(wǎng)內(nèi)外的非法用戶利用專門的攻擊軟件進行的一些基于流的共計，因為這種攻擊是通過不斷變換自己的本網(wǎng)斷內(nèi)的IP地址，來不斷消耗主控處理板的CPU處理能力，直到徹底使主控處理板的CPU喪失處理能力，整個機器癱掉。S9312是根據(jù)最長匹配來查找路由的，是針對網(wǎng)斷進行路由的。所以當(dāng)攻擊者進行攻擊時，不會造成S9312業(yè)務(wù)能力處理下降，對于整機沒有影響影響。VPN業(yè)務(wù)規(guī)劃目前針對學(xué)校的主要業(yè)務(wù)是寬帶業(yè)務(wù)、門禁業(yè)務(wù)等，VPN的規(guī)劃是在匯聚層節(jié)點以上部署PE功能，核心節(jié)點作為P設(shè)備，可以采用二層或者三層VPN，按照每個業(yè)務(wù)采用一類VPN部署。學(xué)校內(nèi)不存在VPN用戶之間的訪問需求，主要需求都是針對后臺服務(wù)器以及出口的訪問，同時VPN也沒有跨域的需求（不存在學(xué)校和其他網(wǎng)絡(luò)之間的VPN業(yè)務(wù)訪問），總的來說VPN的LSP路徑從匯聚設(shè)備開始，在核心設(shè)備終結(jié)。對用戶側(cè)采用一類業(yè)務(wù)一類VLAN，對于寬帶業(yè)務(wù)部署QINQ（打外層標(biāo)簽），在匯聚設(shè)備上通過ACL識別業(yè)務(wù)，把VLAN按照類通過子接口放入VRF中。3．上海師范大學(xué)詳細(xì)網(wǎng)絡(luò)設(shè)計3.1IP地址規(guī)劃和路由策略IP地址的合理規(guī)劃是校園網(wǎng)網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型計算機網(wǎng)絡(luò)必須對ＩＰ地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進一步發(fā)展。IP地址分配原則考慮到學(xué)校的學(xué)生宿舍的固定性，為保證對于上網(wǎng)學(xué)生的可查詢性，且考慮到10.xxx.xxx.xxx私網(wǎng)地址不存在短缺等因素，建議上海師范大學(xué)的IP地址采用靜態(tài)IP地址接入的方式進行建設(shè)。要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則：唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表項連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。當(dāng)校園網(wǎng)以私網(wǎng)地址分配或采用混合網(wǎng)絡(luò)地址接入時，要求校園網(wǎng)提供地址變換功能，過濾掉私網(wǎng)地址。上海師范大學(xué)校園網(wǎng)IP地址規(guī)劃方案1）IP地址的設(shè)計內(nèi)部地址的分配原則是按建筑物進行的，視用戶的數(shù)量，1/4、1/2、整個私網(wǎng)的劃分。對于相對固定不變的教學(xué)區(qū)采用靜態(tài)分配IP地址，為防止地址盜用，采用IP地址與端口、地址綁定，對于流動性大、用戶人數(shù)多、用戶增長快的學(xué)生區(qū)采用動態(tài)分配IP地址，采用ByPort的Vlan，小范圍地限制地址盜用問題。靜態(tài)IP地址對于用戶來說可以實現(xiàn)對應(yīng)物理位置的查詢，對全網(wǎng)的IP地址與物理位置的對應(yīng)有全面、可靠的管理。2）中心交換機支持靜態(tài)或動態(tài)的IP地址分配，并支持動態(tài)IP地址分配方式下DHCP-Relay功能，DHCPSERVER可安放在園區(qū)內(nèi)部。3）對于固定IP地址用戶，需要針對標(biāo)識符（MAC地址）設(shè)定保留IP地址。3.2上海師范大學(xué)VLAN劃分通常采用包月方式，同時需要實現(xiàn)帳號和端口綁定的功能，故采用一個用戶一個VLAN，并限制一個VLAN下同時接入的用戶數(shù)量。2、對一層樓一個VLAN①本層樓的內(nèi)部互訪無須經(jīng)過三層交換機，優(yōu)化了組網(wǎng)。③這種劃分方式中，因為對用戶能實現(xiàn)動態(tài)的VLAN+MAC+IP綁定，可對用戶發(fā)動的偽造攻擊報文進行合法性檢查和過濾，具有一定的網(wǎng)絡(luò)安全性保障。3、不同VLAN間的互訪，必須經(jīng)過三層交換機進行轉(zhuǎn)發(fā)。4．核心網(wǎng)安全設(shè)計網(wǎng)絡(luò)安全是任何一個網(wǎng)絡(luò)建設(shè)時首先要考慮的重要問題，上海師范大學(xué)校園網(wǎng)的環(huán)境更加復(fù)雜，學(xué)生的技術(shù)水平都較高，好奇心比較強，校園網(wǎng)的網(wǎng)絡(luò)安全更加值得關(guān)注。TCP/IP網(wǎng)絡(luò)本身就存在很多安全漏洞，很容易被一些惡意用戶利用并實施攻擊，或非法占用網(wǎng)絡(luò)資源，侵犯其它用戶的合法利益，甚至導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)崩潰。任何一個網(wǎng)絡(luò)設(shè)備都必需首先具備足夠的自我保護和防范能力，華為的交換機和路由器等網(wǎng)絡(luò)設(shè)備在安全性方面有豐富實用的功能，大體可分為兩類，一類是自身防攻擊措施，另一類是用戶安全保證措施。4.1用戶嚴(yán)格隔離方法一：用Vlan隔離。在樓道以太網(wǎng)交換機上按端口劃分Vlan，每個用戶占用一個Vlan。方法二：利用PVlan技術(shù)。在樓道交換機上劃分PVlan，使用戶端口之間不能通信，用戶端口只能和Uplink口通信。方法三：使用以太網(wǎng)MUX設(shè)備。該類設(shè)備將接入層交換機的端口分為兩類：上行口Uplink和用戶端口。用戶端口之間不能通信，Uplink口可以和所有端口通信。4.2用戶唯一標(biāo)識一般的邊緣路由器對于用戶上行報文，只根據(jù)目的IP地址進行轉(zhuǎn)發(fā)，不做源地址檢查，這是出現(xiàn)網(wǎng)絡(luò)和用戶安全性問題的根本原因所在。對于靜態(tài)IP地址分配方案，接入層交換機可在操作界面中實現(xiàn)用戶的VLANID+IP+MAC綁定關(guān)系的指定；對于動態(tài)IP地址分配方案，在IP地址動態(tài)分配后，接入層交換機可實現(xiàn)用戶的VLANID+IP+MAC的綁定。VLAN信息由設(shè)備構(gòu)造，不可仿冒，可作為用戶上網(wǎng)的唯一標(biāo)識。4.3防止對DHCP服務(wù)器的攻擊使用DHCPServer動態(tài)分配IP地址會存在兩個問題：一是DHCPServer假冒，用戶將自己的計算機設(shè)置成DHCPServer后會與局方的DHCPServer沖突；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。由于DHCP是通過二層廣播包起作用的，故在二層嚴(yán)格隔離用戶，可防止DHCPServer假冒。為解決DHCPSmurf，在以太網(wǎng)接入時，對用戶劃分Vlan，由匯聚層交換機控制一個Vlan下申請的最大IP地址數(shù)，當(dāng)該Vlan的IP地址數(shù)目達到限制值后，拒絕新的DHCP申請。Vlan的劃分可根據(jù)學(xué)校的實際情況靈活掌握。4.4組網(wǎng)安全性設(shè)計網(wǎng)絡(luò)當(dāng)中，線路的備份非常重要，上海師范大學(xué)的網(wǎng)絡(luò)的設(shè)計當(dāng)中，我們建議在匯聚層與核心層之間的2GE捆綁的上行可以在采用擴大帶寬的同時實現(xiàn)線路上的備份，當(dāng)其中一條線路出現(xiàn)故障，其余的一條線路可以實現(xiàn)線路的接替。這樣大大提高了網(wǎng)絡(luò)組網(wǎng)的可靠性，進而提高全網(wǎng)的可靠性。4.5出口運營商線路備份對于上海師范大學(xué)來說雖然存在不同的學(xué)生用戶選擇不同的ISP的服務(wù)商，但是在實際的應(yīng)用當(dāng)中可能會產(chǎn)生ISP服務(wù)商線路終端的問題，因此學(xué)?？梢栽诔隹诼酚善魃吓渲脗浞莶呗裕?dāng)一個ISP服務(wù)商的線路出現(xiàn)問題的情況下，可以選擇有限級較低的策略從其他的ISP出口上網(wǎng)實現(xiàn)ISP線路的備份。主備方式：徐匯A上行端口下一跳靜態(tài)路由配置為徐匯B，備份路由啟動其它上行端口，可以配合ACL（五元組），正常流量統(tǒng)一從徐匯B出口，異常時通過徐匯A出口策略可以在核心設(shè)備上部署，訪問電信從奉賢出口，其他選擇徐匯出口負(fù)載分擔(dān)：徐匯A和徐匯B出口都配置等價路由，采用負(fù)載分擔(dān)方式承載，某條鏈路故障時，則流量全部轉(zhuǎn)移到正常的鏈路上承載。策略可以在核心設(shè)備上部署，訪問電信從奉賢出口，其他選擇徐匯出口

5．組網(wǎng)核心設(shè)備介紹5.1Quidway?S9300系列核心路由交換機產(chǎn)品概述Quidway?S9300系列路由交換機（以下簡稱S9300）是基于新一代的硬件平臺和華為公司統(tǒng)一的VRP?（VersatileRoutingPlatform）平臺而推出的下一代以太網(wǎng)匯聚交換機，提供超大容量、高密度、模塊化體系架構(gòu)，提供二、三層線速轉(zhuǎn)發(fā)能力，具有強大組播功能，VLAN交換功能，完善的QoS保障、有效的安全管理機制和電信級高可靠設(shè)計，滿足城域以太網(wǎng)和企業(yè)園區(qū)網(wǎng)對Multi-Play業(yè)務(wù)承載的組網(wǎng)需求，為運營商和企業(yè)網(wǎng)提供強大的網(wǎng)絡(luò)交換能力，支持IP專線、VPN、IPTV、IPv6等多種服務(wù)。為了降低運營成本，滿足節(jié)能減排需求，S9300作為新一代的交換機采用了多種綠色節(jié)能的創(chuàng)新技術(shù)，大幅降低設(shè)備能耗、減小噪聲污染。產(chǎn)品外觀S9303S9306S9312S9300系列包括S9303、S9306、S9312三款產(chǎn)品形態(tài)，均采用前維護設(shè)計。三款產(chǎn)品除了外形尺寸、線卡數(shù)目、交換容量等指標(biāo)不同外，其他特性均保持一致。產(chǎn)品特點先進的多平面系統(tǒng)架構(gòu)S9300采用分布式的轉(zhuǎn)發(fā)控制架構(gòu)，整個系統(tǒng)被分為五個邏輯平面，包括電源、時鐘、設(shè)備管理、轉(zhuǎn)發(fā)控制四個控制平面和一個數(shù)據(jù)轉(zhuǎn)發(fā)平面，五個平面分別使用不同的背板總線，相互獨立，協(xié)同工作。綠色節(jié)能環(huán)保S9300系列交換機基于綠色環(huán)保理念設(shè)計，左后風(fēng)道散熱方式提高機框的走線效率、智能風(fēng)扇分區(qū)調(diào)速以及端口自動休眠功能降低整機平均功耗、小顆粒模塊化電源設(shè)計減少運營商初期投資、歸一化的模塊化設(shè)計節(jié)省維護成本；電信級高可靠性設(shè)計S9300系列交換機所有核心部件均采用冗余設(shè)計，主控模塊SRU/MCU支持1+1的工作模式，集中監(jiān)控模塊CMU支持1:1的備份工作模式，4個電源模塊支持2+2的負(fù)荷分擔(dān)工作模式，風(fēng)扇模塊使用雙層備份方案，支持單風(fēng)扇失效（單風(fēng)扇出現(xiàn)故障情況下，系統(tǒng)仍可保持正常運行）。除此之外，Quidway?S9300系列軟件系統(tǒng)基于華為公司VRP平臺的模塊化設(shè)計，確保了主機系統(tǒng)軟件的可靠性，并且支持端口捆綁、SmartLink、RRPP、OAM、BFD、FRR等鏈路保護倒換協(xié)議，提高整個網(wǎng)絡(luò)的可靠性。超大容量交換平臺作為新一代的路由交換平臺，Quidway?S9300系列交換機最大可以支持4.8T的背板容量和2T的交換能力，設(shè)備包交換能力可以達到864Mpps，MAC地址表最大達到512K。彈性可擴展的硬件結(jié)構(gòu)S9300系列交換機交換容量可以擴展到3.84T，槽位帶寬可以擴展到480Gbps，單框接口密度可以擴展到288個10GE，MAC地址數(shù)可以擴展到1M。層次化QoSS9300系列交換機支持雙速三色和單速雙色標(biāo)記器，層次化的流量監(jiān)管，提供基于用戶組的流量監(jiān)控以及組內(nèi)用戶間的帶寬統(tǒng)計復(fù)用，從而提供更精細(xì)的帶寬管理。支持SR、WRR、SP+WRR、DWRR等調(diào)度算法，解決TriplePlay和VPN模式下不同業(yè)務(wù)的服務(wù)質(zhì)量問題。支持基于端口、COS和VLAN進行流量整形功能，有效提高IPTV視頻的質(zhì)量。豐富的二三層業(yè)務(wù)特性S9300系列交換機支持QinQ、靈活QinQ、VLAN交換等VLAN特性。支持BPDUTunnel、GRE、VLL、MPLSL3VPN、VPLS等隧道功能，使得運營商有提供管道服務(wù)的能力。支持RRPP、STP、RSTP、MSTP等環(huán)網(wǎng)技術(shù)。支持靜態(tài)路由，RIPv1/v2,OSPFv2，ISIS，BGPv4等豐富的路由特性。支持IGMPSnooping、IGMPProxy、靜態(tài)組播、PIMSM、PIMDM、MSDP等組播功能，為IPTV業(yè)務(wù)的開展提供技術(shù)支持。精細(xì)化的主機安全控制S9300系列交換機不僅提供ACL過濾、DHCPSnooping、MAC地址限制、MAC地址綁定等業(yè)務(wù)安全以及命令行分級保護、SSH、SNMPv3等設(shè)備訪問安全控制，還通過硬件層次化的CPU過載控制，抵御各種網(wǎng)絡(luò)攻擊，保障關(guān)鍵業(yè)務(wù)得到及時處理，從而有效的防止類似于泛洪/DDOS等攻擊影響路由協(xié)議、DHCP等重要業(yè)務(wù)。NQA——網(wǎng)絡(luò)質(zhì)量分析S9300系列交換機支持NQA（NetworkQualityAnalyses）網(wǎng)絡(luò)質(zhì)量分析，通過主動在多個設(shè)備之間發(fā)送指定設(shè)置數(shù)量的NQA協(xié)議報文來實現(xiàn)網(wǎng)絡(luò)性能的度量，統(tǒng)計抖動，時延，丟包率等網(wǎng)絡(luò)性能參數(shù)，診斷NQA協(xié)議報文包括ICMPping/traceroute，LSPping/traceroute，基于VCCV的ping，MACping/traceroute，組播ping/traceroute等。IPv6ReadyS9300系列交換機支持軟硬件的IPv6，支持RIPng，OSPFv3，ISISv6，BGP4+，MLD，MLDSnooping，PIMv6，IPv6multicastVLAN，ICMPv6等單組播IPv6路由協(xié)議，S9300還支持6to4隧道和IPv6ACL。產(chǎn)品規(guī)格項目S9303S9306S9312背板容量1.2Tbps2.4Tbps4.8Tbps交換容量384Gbps2Tbps2Tbps業(yè)務(wù)槽位3612包轉(zhuǎn)發(fā)能力216Mpps432Mpps864Mpps端口容量144Gbps288Gbps576GbpsVLAN支持Access、Trunk、Hybrid和QinQ接入方式支持defaultVLAN支持VLAN交換支持靈活QinQMAC地址功能支持MAC地址自動學(xué)習(xí)和老化支持靜態(tài)、動態(tài)、黑洞MAC表項支持源MAC地址過濾支持基于端口和VLAN的MAC地址學(xué)習(xí)限制STP支持STP，RSTP和MSTP支持BPDU保護、Root保護、環(huán)路保護支持BDPUTunnelIP路由支持RIP、OSPF、ISIS、BGP等IPv4動態(tài)路由協(xié)議支持RIPng、OSPFv3、ISISv6、BGPv4等IPv6動態(tài)路由協(xié)議組播支持IGMPSnooping功能支持用戶快速離開機制支持組播流量控制支持組播查詢器支持組播協(xié)議報文抑制功能支持組播ACL支持IGMPsnoopinginVPLSMPLS支持MPLS基本功能支持MPLSOAM支持MPLSTE支持MPLSVPN/VLL/VPLSQoS支持基于Layer2協(xié)議頭、Layer3協(xié)議、Layer4協(xié)議、802.1p優(yōu)先級等的組合流分類支持ACL、CAR、Remark、Schedule等動作支持PQ、PQ+WRR等隊列調(diào)度方式支持WRED、尾丟棄等擁塞避免機制支持流量整形支持H-QoS配置與維護支持Console、AUX、Telnet、SSH等終端服務(wù)支持SNMPv1/v2/v3等網(wǎng)絡(luò)管理協(xié)議支持通過FTP、TFTP方式上載、下載文件支持BootROM升級和遠程在線升級支持熱補丁支持用戶操作日志安全和管理命令行分級保護，未授權(quán)用戶無法侵入支持RADIUS和HWTACACS用戶登錄認(rèn)證支持防范DoS攻擊、TCP的SYNFlood攻擊、UDPFlood攻擊、廣播風(fēng)暴攻擊、大流量攻擊支持CPU通道的保護支持ICMP實現(xiàn)ping和traceroute功能支持RMON機箱尺寸mm（寬×深×高）442×476×175442×476×441.7442×476×663.95機箱重量（空配）<15Kg<30Kg<45Kg工作電壓DC：–38.4V～–72VAC：90V～264V最大支持功耗350W800W1600W環(huán)境參數(shù)工作溫度：長期0℃～45℃；短期-5相對適度：5％RH～85％RH，不結(jié)露氣壓：70~106kPa5.2Quidway?NetEngine40全業(yè)務(wù)路由器產(chǎn)品概述Quidway?NetEngine40系列通用交換路由器（以下簡稱NE40），采用分布式網(wǎng)絡(luò)處理器技術(shù)和無阻塞交換技術(shù)，具備優(yōu)異的擴展能力，全面支持IPv6，具備高速接口的線速轉(zhuǎn)發(fā)能力、完善的QoS（QualityofService）機制和運營級的可靠性。NE40融合核心路由器強大的IP業(yè)務(wù)處理能力和二層以太交換能力，可提供更豐富的業(yè)務(wù)、更靈活的組網(wǎng)和更理想的性價比，面向承載網(wǎng)邊緣、IP骨干網(wǎng)邊緣和城域網(wǎng)核心、城域網(wǎng)匯聚、骨干網(wǎng)匯聚以及各種行業(yè)、企業(yè)的核心網(wǎng)絡(luò)。產(chǎn)品外觀NE40-8NE40-4NE40-2NE40-8提供2個路由交換板槽位和8個業(yè)務(wù)槽位，交換容量為128Gbps，整機包轉(zhuǎn)發(fā)性能為48Mpps。NE40-4提供2個路由交換板槽位和4個業(yè)務(wù)槽位，交換容量為128Gbps，整機包轉(zhuǎn)發(fā)性能為24Mpps。NE40-2提供1個路由交換板槽位和2個業(yè)務(wù)槽位，交換容量為16Gbps，整機包轉(zhuǎn)發(fā)性能為12Mpps。

產(chǎn)品特點分布式第五代路由器NE40作為第五代路由器采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)，充分繼承了第四代全分布式硬件處理的架構(gòu)，有機地結(jié)合了軟件的靈活性和硬件的高性能，既提供線速轉(zhuǎn)發(fā)性能，又具備快速良好的業(yè)務(wù)升級和擴展能力，最大限度地保證用戶投資。NE40良好的可擴展性加速了IP網(wǎng)絡(luò)向?qū)拵Щ?、安全化、業(yè)務(wù)化、智能化方向發(fā)展。全面的業(yè)務(wù)能力和高品質(zhì)性能NE40基于分布式硬件處理，具備高性能的網(wǎng)絡(luò)業(yè)務(wù)能力，勝任高性能MPLSVPNP/PE應(yīng)用，提供高品質(zhì)、安全和全面的MPLSL3VPN、MPLSTE、IPVPN、組播等業(yè)務(wù)方案。NE40提供豐富的二層VPN業(yè)務(wù)特性，如L2VPN/PWE3、1483B透傳業(yè)務(wù)，VPLS(VirtualPrivateLANService)、VLL(VirtualLeasedLine)和VLAN的相關(guān)特性。NE40提供高品質(zhì)QoS，實現(xiàn)先進的隊列調(diào)度算法、擁塞控制算法，精確保證不同業(yè)務(wù)的帶寬、時延和抖動，滿足不同用戶、不同業(yè)務(wù)等級的服務(wù)質(zhì)量要求，保證VoIP（VoiceoverIP）等電信級業(yè)務(wù)的開展，適應(yīng)多業(yè)務(wù)承載IP網(wǎng)的發(fā)展要求。NE40既具有高端路由器強大的路由處理能力，又兼具豐富的二層交換特性，在充分滿足業(yè)務(wù)應(yīng)用的同時大幅節(jié)省建網(wǎng)成本，體現(xiàn)出極高的性價比。同時支持強大的NAT/NATPT能力，提供單播反向路徑檢查uRPF（UnicastReversePathForwarding）、策略路由、端口鏡像、系統(tǒng)漏桶（CP-CAR）、流量統(tǒng)計NetStream等周密的安全措施協(xié)助用戶提高競爭能力，是性價比極好的高端路由器。強大的路由能力NE40支持IP/MPLS分布式轉(zhuǎn)發(fā)，路由能力強大，提供RIP、OSPF、IS-IS、BGP4和組播等豐富的路由協(xié)議功能，具備快速收斂功能，在復(fù)雜路由環(huán)境下穩(wěn)定自如。NE40全面支持IPv4/IPv6雙協(xié)議棧，支持通用的IPv4路由協(xié)議、IPv6路由協(xié)議、組播路由協(xié)議和靜態(tài)路由。NE40支持IPv4向IPv6過渡的多種技術(shù)，如手工配置隧道、自動配置隧道、6to4隧道、基于硬件的NAT-PT和6PE。電信級可靠性NE40各關(guān)鍵部件冗余熱備份，所有組件支持熱插拔；采用無源背板設(shè)計；實現(xiàn)基于狀態(tài)的熱切換和不間斷的路由轉(zhuǎn)發(fā)；提供熱補丁技術(shù)，實現(xiàn)軟件完全平滑升級；提供IP/MPLS/VPN快速重路由、虛擬路由冗余協(xié)議（VRRP）、RPR自愈環(huán)網(wǎng)(IPS)、IPTRUNK鏈路分擔(dān)備份、BFD鏈路快速檢測、路由協(xié)議/端口/VLANDamping等保護機制，有效保證了全網(wǎng)運行的高速可靠，可以實現(xiàn)99.999%的系統(tǒng)可用性。產(chǎn)品規(guī)格項目NE40-8NE40-4NE40-2交換容量128Gbps，無阻塞交換128Gbps，無阻塞交換16Gbps，無阻塞交換轉(zhuǎn)發(fā)性能48Mpps24Mpps12Mpps接口板槽位數(shù)842接口類型OC-48c/STM-16cPOSOC-12c/STM-4cPOSOC-3/STM-1POSOC-3/STM-1cPOS通道化到E1/T1OC-3/STM-1cPOS通道化至DS0OC-12c/STM-4cATMOC-48c/STM-16cRPRGEFEE3/T3E1/cE1靈活業(yè)務(wù)插卡OC-3/STM-1ATM專用業(yè)務(wù)板NAT/NATPT/Netstream/隧道路由協(xié)議支持RIP、OSPF、IS-IS、BGP-4等路由協(xié)議，所有端口在路由振蕩等復(fù)雜路由環(huán)境下仍然能夠保持線速轉(zhuǎn)發(fā)。IPv6全面支持IPv4和IPv6雙協(xié)議棧；支持豐富的IPv4向IPv6的過渡技術(shù)：手工配置隧道、自動配置隧道、6to4隧道、硬件實現(xiàn)NAT-PT等；支持IPv6靜態(tài)路由，支持BGP4+、RIPng、OSPFv3、ISISv6等動態(tài)路由協(xié)議；支持ICMPv6MIB、UDP6MIB、TCP6MIB、IPv6MIB等。二層交換特性作為通用核心路由器，支持二層交換和三層轉(zhuǎn)發(fā)功能，提供豐富交換機特性，包括IEEE802.1ad、IEEE802.1d、IEEE802.3、IEEE802.3u、IEEE802.3x、IEEE802.3z、IEEE802.1Q、IEEE802.1p、IEEE802.1D/802.1w、MSTP、支持VLAN聚合（SupperVLAN）、VLANTRUNK、支持基于MAC地址和端口的過濾列表。MPLSVPN可作為P和PE。支持MPLSL3VPN，符合RFC4364協(xié)議；支持三種跨域?qū)崿F(xiàn)方式；支持與Internet業(yè)務(wù)集成，提供基于VPN的多實例NAT；支持HoPE；支持多角色主機等。支持MPLSTE、RSVPTE。IPVPN/L2VPN支持L2TP、GRE，支持Martini、Kompella方式MPLSL2VPN和LDP、BGP方式的VPLS，支持ATM信元透傳。NAT提供專用NAT業(yè)務(wù)處理板，實現(xiàn)雙向千兆線速地址轉(zhuǎn)換能力；每板支持100萬并發(fā)連接；每秒處理20萬新建連接；每秒刷新50萬NAT表項；支持IPv6/IPv4的NAT-PT功能；提供完善的安全日志。QoS提供完善的QoS機制。每線路板可提供2k個隊列，支持CBQ、LLS/NLS、PBS等先進調(diào)度技術(shù)，采用WRED和先進的SA-RED算法，支持8個等級的丟棄優(yōu)先級；提供精確的流量監(jiān)管和流量整形功能；提供定義復(fù)雜規(guī)則的功能，可以鑒別細(xì)粒度的流?？梢蕴峁┗贒iffServ的完善QoS保證。組播支持IGMP協(xié)議，支持靜態(tài)組播配置，支持PIM-DM/SM、MSDP、MBGP組播路由協(xié)議；支持多個組播協(xié)議間的互操作性；支持組播策略處理，包括組播路由協(xié)議和組播轉(zhuǎn)發(fā)的策略處理，支持組播QoS、組播VPN；提供交換網(wǎng)和線路板兩級組播復(fù)制功能，達到最優(yōu)的組播效能?？煽啃蕴峁㊣P/MPLS/VPN快速重路由、虛擬路由冗余協(xié)議（VRRP）、RPR自愈環(huán)網(wǎng)(IPS)、IPTRUNK鏈路分擔(dān)備份、BFD鏈路快速檢測、路由協(xié)議/端口/VLANDamping等保護機制。提供軟件熱補丁技術(shù)，實現(xiàn)設(shè)備軟件完全平滑升級；采用無源背板設(shè)計；路由處理模塊、交換網(wǎng)、電源風(fēng)扇等關(guān)鍵部件冗余備份，整機沒有單點故障，支持基于狀態(tài)的熱備份切換，實現(xiàn)不間斷路由轉(zhuǎn)發(fā)，所有組件可熱拔插。體系結(jié)構(gòu)一體化機箱結(jié)構(gòu)，支持19英寸標(biāo)準(zhǔn)機架輸入電源DC：-42～-60VAC：100V～240V滿負(fù)荷功耗小于1000W小于600W小于300W外形尺寸(mm)(寬X深X高)482.6（mm）×420（mm）×797.3（mm）482.6（mm）×420（mm）×352.8（mm）482.6（mm）×420（mm）×219.5（mm）滿配置最大重量小于85kg小于50kg小于35kg環(huán)境要求長期工作溫度：5～40℃；短期工作溫度：-5～50℃溫度變化速率限制：30°C/小時運行濕度：5%～85%（無凝露）；短時間運行濕度：5%～90%海拔高度：5000m以內(nèi)不影響轉(zhuǎn)發(fā)性能5.3Quidway?MA5200F寬帶接入服務(wù)器產(chǎn)品概述Quidway?MA5200F系列寬帶接入服務(wù)器（以下簡稱MA5200F）采用集中式處理的盒式硬件體系，具備完善的接入、認(rèn)證、授權(quán)和計費功能，完整的QoS機制、豐富的業(yè)務(wù)處理能力，能夠滿足中小規(guī)模IP網(wǎng)絡(luò)寬帶接入服務(wù)和用戶管理的需求。MA5200F主要是面向城域網(wǎng)匯聚層中小匯聚節(jié)點，用于IPDSLAM模塊局、小容量IPDSLAM端局的xDSL寬帶接入用戶的管理，也可用于以太網(wǎng)匯聚層，對以太網(wǎng)接入用戶進行管理，還可用于中小企業(yè)網(wǎng)和行業(yè)網(wǎng)絡(luò)，以及酒店、會議中心、展覽館等各種熱點地區(qū)寬帶用戶（包括專線用戶）的接入。MA5200F可以支持1K用戶的并發(fā)接入，5200F-2000是5200F的增強版，可以支持2K用戶的并發(fā)接入。產(chǎn)品外觀MA5200FMA5200F提供4個業(yè)務(wù)槽位，每槽位可配置1/2路GE或6路FE或4路POS155M；MA5200F支持1K并發(fā)用戶接入；MA5200F-2000支持2K并發(fā)用戶接入。

產(chǎn)品特點靈活的接入認(rèn)證方式支持用戶通過以太網(wǎng)、xDSL、HFC、WLAN等各種方式進行接入。支持Web、PPPoE、802.1x、端口綁定、即插即用等多種認(rèn)證接入方式；對應(yīng)不同的用戶，可以靈活地選擇不同的認(rèn)證方式。并可以在一個端口上同時支持PPPoE認(rèn)證、WEB認(rèn)證、快速認(rèn)證和802.1x認(rèn)證。支持多種認(rèn)證策略，包括：本地認(rèn)證和遠端認(rèn)證，以及本地優(yōu)先認(rèn)證和遠端優(yōu)先認(rèn)證。有效的地址管理功能支持DHCPRelay和內(nèi)置DHCPServer，為配置DHCP的用戶動態(tài)分配地址，還可以為PPP撥號用戶作DHCP代理，從外部DHCP服務(wù)器申請地址，具有DHCPProxy功能?？梢詫Φ刂烦刂械牡刂焚Y源進行管理，能夠?qū)崿F(xiàn)從本地地址池和遠端DHCP服務(wù)器地址池中為用戶分配地址，并且支持通過AAA服務(wù)器為用戶分配地址。允許用戶通過動態(tài)獲取地址或者靜態(tài)配置地址的方式接入網(wǎng)絡(luò)。支持二次地址分配，用戶認(rèn)證之前分配私網(wǎng)IP，在認(rèn)證通過后，根據(jù)用戶所選擇的域重新分配地址，可以解決公網(wǎng)地址不足問題，提高公網(wǎng)地址的利用率。支持多種計費方案能夠準(zhǔn)確地采集用戶的計費信息，包括時長和流量。同時還支持將計費信息抄送到指定的計費服務(wù)器。支持本地計費和遠端計費。對于本地計費和遠端計費都支持實時計費，保證計費信息的準(zhǔn)確性。對于遠端計費，還支持提供計費保護機制，通過計費服務(wù)器的冗余備份、握手、重發(fā)等機制，保證鏈路故障時不丟失話單、不產(chǎn)生錯誤話單。在遠端計費服務(wù)器不能計費時，可以將話單保存在本地，計費服務(wù)器恢復(fù)正常后，可以通過TFTP協(xié)議，將計費信息上傳到計費服務(wù)器。支持不計費、后付費和預(yù)付費等多種計費策略。對于預(yù)付費業(yè)務(wù)，支持基于時長的預(yù)付費和基于流量的預(yù)付費業(yè)務(wù)。與AAA服務(wù)器配合還能實現(xiàn)基于時長和流量的綜合預(yù)付費業(yè)務(wù)，并支持費率切換功能和各種折扣功能，可以按照接入類型，采用不同的費率收費。強大的用戶管理功能支持用戶屬性授權(quán)和管理，包括用戶帶寬限制、NAT連接數(shù)限制、訪問權(quán)限控制、互訪權(quán)限控制、QoS屬性控制和策略路由授權(quán)；提供用戶登錄日志和用戶訪問日志。能夠指定邏輯端口接入用戶的類型，例如WLAN用戶，ADSL用戶等，并且能夠針對不同用戶實施不同的控制策略，并且能夠?qū)⒂脩艚尤腩愋托畔⑸蠄蠼o認(rèn)證計費服務(wù)器?；谟脩羧旱脑L問控制功能，可以將用戶分為不同的UCL-Group，并在不同的UCL-Group上作用不同的ACL規(guī)則，由此實現(xiàn)用戶訪問控制的分群管理；基于用戶群的互訪控制功能，可以將用戶分為不同的互訪控制群InterGroup，InterGroup內(nèi)部用戶的互訪權(quán)限和InterGroup之間的互訪權(quán)限可配置，由此實現(xiàn)用戶互訪的分群管理。完善的安全機制通過身份認(rèn)證、ACL、資源保護、用戶日志等手段，提供身份鑒別、防地址仿冒、攻擊防護、安全審計等完善的安全功能。專有的報文綁定檢查技術(shù)，可以在用戶通過認(rèn)證后對用戶的每一個報文進行邏輯端口（接入端口+VLANID）+MAC地址+IP地址的綁定檢查，對于不匹配的報文進行丟棄處理。通過該功能，可以徹底的防止用戶的各種仿冒行為，為網(wǎng)絡(luò)安全提供保障。通過同個端口接入用戶數(shù)、地址分配請求、PPP撥號請求等控制、過濾各種非法報文，防止用戶對網(wǎng)絡(luò)的攻擊。豐富的業(yè)務(wù)功能提供CAR、QoS、VPDN、多ISP、門戶業(yè)務(wù)、組播、即插即用（PnP）、NAT等多種業(yè)務(wù)。強大的路由功能基于華為公司先進的第五代路由器體系架構(gòu)設(shè)計，可以作為標(biāo)準(zhǔn)的路由器工作，支持靜態(tài)路由、RIP1/2、OSPF、BGP、PIM-SM、PIM-DM、IGMPV1/V2等路由協(xié)議，支持L2TP隧道協(xié)議。運營級的管理維護采用HGMP協(xié)議對用戶接入交換機進行集中管理，簡化以太網(wǎng)接入的管理維護。提供上網(wǎng)日志功能，通過在設(shè)備上記錄用戶上網(wǎng)情況，生成用戶MAC、VLANID、IP地址和訪問目的IP地址，時長，可以在本機上查看，也可通過TFTP方式發(fā)送到后臺，是基于運營級別的實現(xiàn)方式。提供操作日志功能，通過在設(shè)備上記錄所有操作情況，可以對設(shè)備操作進行完全跟蹤。提供完善的網(wǎng)管平臺，實現(xiàn)拓?fù)洹⑴渲?、性能、故障、安全等運營級管理功能。產(chǎn)品規(guī)格項目MA5200F體系結(jié)構(gòu)2U高盒式設(shè)備，可裝入19inch標(biāo)準(zhǔn)結(jié)構(gòu)機柜；外形尺寸(mm)寬X深X高：482.6（19″）×381×88.9（2U）轉(zhuǎn)發(fā)能力全業(yè)務(wù)功能3Mpps（2GE雙向線速轉(zhuǎn)發(fā)）交換結(jié)構(gòu)共享緩存交換網(wǎng)，10Gbps交換容量用戶/表項數(shù)MAC地址：4K路由表項：4KVLAN終結(jié)數(shù)量（整機）：8K并發(fā)用戶數(shù)量（整機）：MA5200F：1K用戶MA5200F-2000：2K用戶支持協(xié)議802.1x、PPPoE、DHCPServer/DHCPRelay/DHCPClient、RIP/RIPV2、OSPF、BGP、IGMP、RADIUS，SNMP等安全性具備身份鑒別、資源保護、防攻擊、防地址仿冒、安全日志和審計的功能IP+MAC+VLANID捆綁，每個VLANID接入用戶數(shù)限制CAR限制用戶可用帶寬，最小64Kbps～100Mbps，步長為1Kbps。網(wǎng)管采用iManager，支持SNMP協(xié)議，可獨立運行于UNIX（SUN，HP）、ORACLE/SYBASE環(huán)境中，亦可嵌入用戶已有商用網(wǎng)管平臺如OpenView等；支持HGMP；提供VPN管理、QOS策略管理等業(yè)務(wù)管理功能；提供多語言支持。環(huán)境要求工作溫度：-5℃～55℃；存儲溫度：-30℃工作濕度：10%～90%（無凝露）工作電壓：直流-36～-72V；交流90～264V，47～63Hz滿配置功耗：<60W平均無故障時間（MTBF）：130000H

6.教育行業(yè)用戶名單高教清華大學(xué)北京大學(xué)浙江大學(xué)復(fù)旦大學(xué)中國科技大學(xué)西安交通大學(xué)同濟大學(xué)南開大學(xué)成都電子科技大哈爾濱工業(yè)大學(xué)哈爾濱工程大學(xué)上海第二醫(yī)科大學(xué)北京師范大學(xué)華東師范大學(xué)中南工業(yè)大學(xué)天津大學(xué)河北大學(xué)南昌大學(xué)福州大學(xué)河南大學(xué)內(nèi)蒙古大學(xué)黑龍江大學(xué)海南大學(xué)安徽大學(xué)安徽工業(yè)大學(xué)洛陽工學(xué)院南陽理工大學(xué)哈爾濱理工大學(xué)西南科技大學(xué)廣東工業(yè)大學(xué)南昌航空航天大學(xué)佳木斯大學(xué)江西財經(jīng)大學(xué)天津財經(jīng)大學(xué)中南財經(jīng)政法大學(xué)南陽師范大學(xué)海南師范大學(xué)浙江師范大學(xué)云南師范大學(xué)江西師范大學(xué)哈爾濱師范大學(xué)上海師范大學(xué)新疆教育學(xué)院黑龍江教育學(xué)院東北林業(yè)大學(xué)河南