HD校園網(wǎng)設(shè)計(jì)方案

華德學(xué)院校園網(wǎng)整體設(shè)計(jì)方案．7華德學(xué)院網(wǎng)絡(luò)中心

序由于高校行業(yè)的特殊性，造成建設(shè)校園網(wǎng)不能走社會(huì)上個(gè)人和團(tuán)體入網(wǎng)的網(wǎng)絡(luò)建設(shè)方案和運(yùn)行模式的老路，我公司在做懷化學(xué)院校園網(wǎng)設(shè)計(jì)方案時(shí)，在省內(nèi)高校進(jìn)行了某些調(diào)查，因高校對(duì)網(wǎng)絡(luò)應(yīng)用和管理的特殊性，造成網(wǎng)絡(luò)建設(shè)的需求不同于電信運(yùn)行商建設(shè)社會(huì)性網(wǎng)絡(luò)。因此我公司在做懷化學(xué)院校園網(wǎng)設(shè)計(jì)方案時(shí)，在省內(nèi)某些高校進(jìn)行了調(diào)查，調(diào)查中發(fā)現(xiàn)80%的學(xué)校在使用星網(wǎng)銳捷的網(wǎng)絡(luò)解決方案，我們?cè)诤腿A為的設(shè)備對(duì)比，銳捷的網(wǎng)絡(luò)產(chǎn)品在重視網(wǎng)絡(luò)鏈路層和網(wǎng)絡(luò)應(yīng)用的同時(shí)，更重視的是接入層的管理和整體的安全系統(tǒng)。在便于網(wǎng)絡(luò)管理、提高工作效率，有效控制攻擊和病毒對(duì)網(wǎng)絡(luò)的影響，減少維護(hù)成本，發(fā)揮管理員的主觀能動(dòng)性、控制顧客使用網(wǎng)絡(luò)記費(fèi)等方面做的很有特色，更能適應(yīng)學(xué)校網(wǎng)絡(luò)建設(shè)的需要。因此我公司根據(jù)學(xué)校實(shí)際狀況，擬采用銳捷公司的網(wǎng)絡(luò)產(chǎn)品進(jìn)行懷化學(xué)院校園網(wǎng)建設(shè)。網(wǎng)絡(luò)建設(shè)原則與目的1．1網(wǎng)絡(luò)建設(shè)原則1.1.1安全性網(wǎng)絡(luò)必須含有良好的安全防備方法和密碼保護(hù)技術(shù)，靈活方便的權(quán)限設(shè)定和控制機(jī)制，使系統(tǒng)含有多個(gè)有效手段，防備多個(gè)形式對(duì)網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，以確保網(wǎng)絡(luò)的實(shí)體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務(wù)活動(dòng)和避免內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采用不同的方法，涉及系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等，銳捷網(wǎng)絡(luò)充足考慮安全性，針對(duì)教育行業(yè)網(wǎng)絡(luò)的多個(gè)應(yīng)用，有多個(gè)的保護(hù)機(jī)制，如劃分VLAN、IP/MAC地址綁定、802.1x顧客訪問控制、802.1d、802.1w、802.1s冗余鏈路保護(hù)等，另外還含有良好的防病毒能力，提高整個(gè)網(wǎng)絡(luò)的安全性，確保內(nèi)外網(wǎng)安全。1.1.2先進(jìn)性系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和辦法，又要注意構(gòu)造、設(shè)備、工具的相對(duì)先進(jìn)成熟，整個(gè)系統(tǒng)的生命周期應(yīng)有比較長(zhǎng)的時(shí)間，能夠在信息技術(shù)不停發(fā)展的今天，在系統(tǒng)建成后來比較長(zhǎng)的一段時(shí)間內(nèi)能滿足顧客需求增加的需要；不僅能反映當(dāng)今的先進(jìn)水平，并且含有發(fā)展?jié)摿?，能確保在將來若干年內(nèi)占主導(dǎo)地位，確保網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用千兆以太網(wǎng)技術(shù)構(gòu)建網(wǎng)絡(luò)主干、支干線路。1.1.3擴(kuò)展性系統(tǒng)必須含有良好的可擴(kuò)充性，在系統(tǒng)構(gòu)造、系統(tǒng)容量與技術(shù)方案等方面必須含有升級(jí)換代的可能，核心設(shè)備必須采用模塊化的構(gòu)造，跟蹤網(wǎng)絡(luò)發(fā)展的前沿方向，符合網(wǎng)絡(luò)的發(fā)展趨勢(shì)并含有充足的擴(kuò)展性。系統(tǒng)建設(shè)必須盡量保護(hù)現(xiàn)有的軟、硬件資源，確保各部門現(xiàn)有的計(jì)算機(jī)系統(tǒng)的使用，逐步過渡，有效保護(hù)顧客投資，最后形成一種統(tǒng)一的、一體化的綜合網(wǎng)絡(luò)系統(tǒng)。1.1.4高性能網(wǎng)絡(luò)鏈路和設(shè)備含有足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，確保多個(gè)信息的高質(zhì)量無阻塞傳輸；交換系統(tǒng)含有很高的交換容量與多服務(wù)支持的能力，確保網(wǎng)絡(luò)服務(wù)的質(zhì)量。1.1.5可運(yùn)行為了讓校園網(wǎng)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展，并收回網(wǎng)絡(luò)建設(shè)成本，學(xué)?；蜻\(yùn)行商需要對(duì)校園網(wǎng)進(jìn)行運(yùn)行，通過對(duì)上網(wǎng)的學(xué)生顧客收取一定的費(fèi)用來達(dá)成“以網(wǎng)養(yǎng)網(wǎng)”的目的，并規(guī)定運(yùn)行系統(tǒng)能夠貼近校園顧客的應(yīng)用模式，方便維護(hù)和管理。1.1.6規(guī)范化和原則化網(wǎng)絡(luò)體系構(gòu)造、通信合同及軟件的設(shè)計(jì)和開發(fā)必須按照國(guó)家或行業(yè)原則進(jìn)行，要模塊化、構(gòu)造化、數(shù)據(jù)要代碼化，方便于信息共享和交流及將來的維護(hù)。在系統(tǒng)設(shè)計(jì)和軟件開發(fā)時(shí)，應(yīng)用程序必須規(guī)范化、模塊化和可復(fù)用。2.2網(wǎng)絡(luò)建設(shè)目的通過以上的網(wǎng)絡(luò)建設(shè)原則，本次校園網(wǎng)建設(shè)要實(shí)現(xiàn)下列目的：東西校區(qū)各設(shè)一種千兆互聯(lián)網(wǎng)出口，解決出口瓶頸問題；雙出口,雙核心,雙鏈路實(shí)現(xiàn)東西校區(qū)的穩(wěn)固互聯(lián)，確保鏈路的帶寬及穩(wěn)定性；東西校區(qū)能夠根據(jù)需求達(dá)成不同區(qū)域使用不同的出口訪問互聯(lián)網(wǎng)；科學(xué)規(guī)劃網(wǎng)絡(luò)構(gòu)造，合理配備核心層和匯聚層網(wǎng)絡(luò)設(shè)備與端口，確保核心網(wǎng)絡(luò)設(shè)備和線路合適冗余，優(yōu)化接入層網(wǎng)絡(luò)設(shè)備，建設(shè)千兆主干、百兆到桌面的高效校園網(wǎng)絡(luò)；合理布署網(wǎng)絡(luò)安全方法，建立有效的網(wǎng)絡(luò)安全防備和響應(yīng)機(jī)制，為網(wǎng)絡(luò)安全管理提供在線監(jiān)控、事后可查的技術(shù)手段，避免私設(shè)代理和盜用IP地址現(xiàn)象，提高網(wǎng)絡(luò)安全性；建立全網(wǎng)統(tǒng)一管理系統(tǒng)，包含對(duì)網(wǎng)絡(luò)顧客、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全的統(tǒng)一管理和配備；建立高效的網(wǎng)絡(luò)性能監(jiān)視與預(yù)警機(jī)制；同時(shí)建立配套的軟硬件平臺(tái)。全方面支持IPV6,可平滑過分到IPV6,確保設(shè)備的投資；建立全局化、智能化的安全體系，從接入層的基于端口的安全方略，到匯聚再到核心，病毒及非法網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和預(yù)制方略，預(yù)警功效。將學(xué)院的教工宿舍“金?；▓@”納入校園網(wǎng)內(nèi)，能夠訪問圖書館資源和中國(guó)期刊網(wǎng)等眾多校內(nèi)學(xué)術(shù)資源。學(xué)生宿舍聯(lián)網(wǎng)并接入校園網(wǎng)內(nèi)。s5750-24sfp/gk

網(wǎng)絡(luò)設(shè)計(jì)3.1東西校區(qū)互聯(lián)網(wǎng)出口設(shè)計(jì)本次設(shè)計(jì)，東西校區(qū)各設(shè)一種1000M互聯(lián)網(wǎng)出口，我們電信網(wǎng)絡(luò)，在懷化市內(nèi)有自己的城域環(huán)網(wǎng)，確保這兩個(gè)1000M互聯(lián)網(wǎng)出口不是出自同一種模塊局，確保出口線路冗余。3.2東西校區(qū)互聯(lián)的設(shè)計(jì)由于現(xiàn)在學(xué)校東校區(qū)的網(wǎng)絡(luò)中心尚未建成，臨時(shí)將東西兩個(gè)校園的核心設(shè)備放在西區(qū)的網(wǎng)絡(luò)中心，東區(qū)的匯聚設(shè)備都通過兩對(duì)光纖形成的雙鏈路與兩個(gè)核心互連。東區(qū)網(wǎng)絡(luò)中心造成后東區(qū)設(shè)備轉(zhuǎn)放東區(qū)網(wǎng)絡(luò)中心機(jī)房。3.3網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)現(xiàn)在網(wǎng)絡(luò)架構(gòu)有單核心單鏈路、雙核心雙鏈路、二層架構(gòu)、三層架構(gòu)、四層架構(gòu)等多個(gè)網(wǎng)絡(luò)架構(gòu)，結(jié)合學(xué)院的實(shí)際狀況以及網(wǎng)絡(luò)技術(shù)的發(fā)展，我們選擇雙核心雙鏈路的架構(gòu)，這樣不僅在鏈路上確保網(wǎng)絡(luò)穩(wěn)定高效、在設(shè)備上也可實(shí)現(xiàn)穩(wěn)定與高效；同時(shí)選擇三層架構(gòu)：分流核心數(shù)據(jù)解決能力、減少核心路由交換壓力；更加好克制廣播風(fēng)暴、提高網(wǎng)絡(luò)性能；終止各VLAN信息、增強(qiáng)核心路由管理能力；網(wǎng)絡(luò)層次構(gòu)造更加完善、可匯總路由，減少核心路由表項(xiàng)；安全性更高，更強(qiáng)的防止和控制，對(duì)網(wǎng)絡(luò)攻擊、病毒和破壞盡量控制在邊沿完畢；擴(kuò)展性更強(qiáng)、快速定位故障點(diǎn)、更易于管理；各接入層內(nèi)部通訊量大，無需通過核心解決時(shí)（內(nèi)部網(wǎng)絡(luò)游戲等），采用三層構(gòu)造更加合理；可靠性更強(qiáng)，能夠通過匯聚層雙鏈路上聯(lián)雙核心構(gòu)成環(huán)狀構(gòu)造，全網(wǎng)架構(gòu)更加強(qiáng)健，提高網(wǎng)絡(luò)高可用性。我們采用了接入堆疊＋社區(qū)域匯聚＋核心這種雙核心雙鏈路的三層構(gòu)造架構(gòu)：采用千兆可堆疊高性能網(wǎng)管交換機(jī)。交換機(jī)通過內(nèi)部堆疊后上聯(lián)片區(qū)匯聚節(jié)點(diǎn)。節(jié)省投資成本擴(kuò)展靈活，通過增加堆疊組內(nèi)交換機(jī)或增加堆疊組來擴(kuò)展接入信息點(diǎn)。支持多個(gè)訪問控制功效和802.1x功效，可靈活方便的控制樓棟內(nèi)部之間的訪問限制。減少網(wǎng)絡(luò)層次架構(gòu)，加速數(shù)據(jù)傳輸，提高網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)性能。充足運(yùn)用片區(qū)匯聚節(jié)點(diǎn)的高性能數(shù)據(jù)轉(zhuǎn)發(fā)，高穩(wěn)定可靠基礎(chǔ)，對(duì)每個(gè)樓棟之間的控制，能夠在片區(qū)匯聚節(jié)點(diǎn)連接各樓棟的千兆接口上實(shí)現(xiàn)，如訪問控制，防DDoS攻擊，防惡意IP掃描等等，不影響數(shù)據(jù)轉(zhuǎn)發(fā)性能。樓棟內(nèi)部各樓層之間的數(shù)據(jù)通過堆疊方式（千兆以上帶寬）互相訪問，加速內(nèi)部訪問和數(shù)據(jù)傳輸速度。環(huán)型冗余方式堆疊，沒有單點(diǎn)故障和性能瓶頸。堆疊后多臺(tái)設(shè)備會(huì)虛擬成一臺(tái)設(shè)備進(jìn)行管理，大大提高管理效率。千兆堆疊可網(wǎng)管交換機(jī)是現(xiàn)在高校網(wǎng)絡(luò)建設(shè)主流使用的接入設(shè)備，因此在將來發(fā)展中設(shè)備延續(xù)使用性強(qiáng)。架構(gòu)缺點(diǎn)：堆疊臺(tái)數(shù)普通不超出6臺(tái)，需要超出6臺(tái)的地區(qū)增加新的堆疊組進(jìn)行信息點(diǎn)擴(kuò)展。雙核心雙鏈路的三層構(gòu)造，具體以下圖所示：3.3網(wǎng)絡(luò)安全設(shè)計(jì)今天的網(wǎng)絡(luò)安全正遭受嚴(yán)峻挑戰(zhàn)。病毒、外部入侵（黑客）、回絕服務(wù)攻擊、內(nèi)部的誤用和濫用，以及多個(gè)災(zāi)難事故的發(fā)生，時(shí)刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)轉(zhuǎn)和信息安全。但與此同時(shí)，大多數(shù)正在使用的網(wǎng)絡(luò)安全系統(tǒng)都缺少真正的全局防護(hù)能力。當(dāng)網(wǎng)絡(luò)受到來自各方面的攻擊時(shí)，由防毒軟件和防火墻等獨(dú)立安全產(chǎn)品堆砌起來的方法不僅漏洞百出，還會(huì)到處被動(dòng)挨打。能夠斷言：面對(duì)復(fù)雜的安全隱患，這種“各自為戰(zhàn)”的安全系統(tǒng)已徹底失去效力。今天，網(wǎng)絡(luò)安全技術(shù)與多個(gè)安全隱患之間進(jìn)行的是一場(chǎng)進(jìn)一步、多層次的戰(zhàn)爭(zhēng)。為了徹底扭轉(zhuǎn)“各自為戰(zhàn)”的被動(dòng)局面，唯有用全局化、智能化的安全體系替代陳舊的安防方法。我公司采用了底，業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備及解決方案供應(yīng)商銳捷網(wǎng)絡(luò)率先公布了集自動(dòng)防御（自御）、自動(dòng)修復(fù)（自愈）與自動(dòng)學(xué)習(xí)（自育）等三大自“YU”功效于一體的GSN全局安全網(wǎng)絡(luò)解決方案。GSN強(qiáng)調(diào)“多兵種協(xié)同作戰(zhàn)”，將安全構(gòu)造覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備（顧客PC、服務(wù)器等），成為一種全局化的網(wǎng)絡(luò)安全綜合體系。在此基礎(chǔ)上，GSN不僅能夠滿足現(xiàn)階段網(wǎng)絡(luò)安全環(huán)境的需求，同時(shí)也為此后可能發(fā)生的安全威脅做出了準(zhǔn)備。總體而言，GSN由銳捷安全交換機(jī)、安全客戶端、安全管理平臺(tái)、顧客認(rèn)證系統(tǒng)、安全修復(fù)系統(tǒng)、VPN客戶端、RG-IPS入侵檢測(cè)系統(tǒng)等多重網(wǎng)絡(luò)元素構(gòu)成，實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng)，使網(wǎng)絡(luò)中的每個(gè)設(shè)備都在發(fā)揮著安全防護(hù)的作用，構(gòu)成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。GSN通過將顧客入網(wǎng)強(qiáng)制安全、統(tǒng)一安全方略管理、動(dòng)態(tài)網(wǎng)絡(luò)帶寬分派、嵌入式安全機(jī)制集成到一種網(wǎng)絡(luò)安全解決方案中，達(dá)成對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御，網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)，同時(shí)可針對(duì)網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動(dòng)學(xué)習(xí)，從而達(dá)成對(duì)未知網(wǎng)絡(luò)安全事件的防備。其基本原理和構(gòu)造圖以下：（圖1GSN基本原理）網(wǎng)絡(luò)自動(dòng)防御（自御）面對(duì)復(fù)雜的網(wǎng)絡(luò)安全行為，最有效的防御方略即是將網(wǎng)絡(luò)安全防御技術(shù)應(yīng)用于在整個(gè)網(wǎng)絡(luò)中，而不是在單點(diǎn)進(jìn)行網(wǎng)絡(luò)安全的防護(hù)布署。由于攻擊源可能來自網(wǎng)絡(luò)的任何一處，并能快速的擴(kuò)散到整個(gè)網(wǎng)絡(luò)當(dāng)中。GSN提高了現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護(hù)能力，增強(qiáng)了終端顧客的安全防護(hù)能力。當(dāng)接入網(wǎng)絡(luò)的顧客終端發(fā)生安全攻擊事件時(shí)，安全管理平臺(tái)（RG-SMP）將針對(duì)這一安全事件進(jìn)行判斷，以確認(rèn)選擇調(diào)用何種安全方略來解決。安全管理平臺(tái)（RG-SMP）將自動(dòng)把安全方略下發(fā)到安全事件發(fā)生的網(wǎng)絡(luò)區(qū)域，安全方略的執(zhí)行者能夠是銳捷網(wǎng)絡(luò)聯(lián)動(dòng)設(shè)備，根據(jù)安全事件的等級(jí)由安全管理平臺(tái)（RG-SMP）判斷與否需要將安全方略同時(shí)到網(wǎng)絡(luò)的區(qū)域中，以實(shí)現(xiàn)全網(wǎng)安全。同時(shí)，安全管理平臺(tái)會(huì)把針對(duì)這次安全事件的解決狀況告知給顧客終端，使顧客能夠及時(shí)理解到網(wǎng)絡(luò)安全環(huán)境的變化。通過這個(gè)流程，網(wǎng)絡(luò)能夠?qū)σ寻l(fā)生的安全行為進(jìn)行完全自動(dòng)化的防御方法，從而確保顧客網(wǎng)絡(luò)在受到威脅時(shí)能夠快速做出連動(dòng)反映。（圖2GSN自動(dòng)防御）網(wǎng)絡(luò)自動(dòng)修復(fù)（自愈）隨著網(wǎng)絡(luò)連接點(diǎn)的不停增加，網(wǎng)絡(luò)遭遇攻擊的風(fēng)險(xiǎn)也隨之增加。一旦網(wǎng)絡(luò)遭受攻擊，所產(chǎn)生的嚴(yán)重后果不僅在于破壞本身，災(zāi)難之后的系統(tǒng)恢復(fù)和調(diào)試同樣消耗了大量珍貴的時(shí)間和人力、財(cái)力。GSN提供的自動(dòng)修復(fù)（自愈）功效，即能夠通過自動(dòng)使受損系統(tǒng)得以恢復(fù)的方式為顧客節(jié)省大量的IT技術(shù)人力資源，并確保即使在系統(tǒng)不停遭受攻擊時(shí)，網(wǎng)絡(luò)的大部分資源仍時(shí)刻處在正常使用狀態(tài)下。當(dāng)顧客終端接入網(wǎng)絡(luò)時(shí)，系統(tǒng)會(huì)自動(dòng)檢測(cè)終端顧客的安全狀態(tài)，一旦檢測(cè)到顧客系統(tǒng)存在安全漏洞，安全管理平臺(tái)（RG-SMP）會(huì)通過網(wǎng)絡(luò)自動(dòng)將受損顧客從網(wǎng)絡(luò)正常區(qū)域中隔離開來，被隔離的顧客將被自動(dòng)置于系統(tǒng)修復(fù)區(qū)域。此時(shí)顧客終會(huì)根據(jù)安全管理平臺(tái)提供的信息自動(dòng)連接到RG-RES安全修復(fù)系統(tǒng)上進(jìn)行系統(tǒng)修復(fù)，修復(fù)期間系統(tǒng)會(huì)把受到訪問控制的狀況告知顧客。自動(dòng)修復(fù)完畢，系統(tǒng)會(huì)重新對(duì)顧客系統(tǒng)進(jìn)行評(píng)定，當(dāng)顧客系統(tǒng)安全評(píng)定完畢后來，安全管理平臺(tái)（RG-SMP）將通過允許顧客進(jìn)入網(wǎng)絡(luò)繼續(xù)工作。（圖3GSN自動(dòng)修復(fù)）網(wǎng)絡(luò)自動(dòng)學(xué)習(xí)（自育）在常規(guī)的網(wǎng)絡(luò)安全防護(hù)方案中，判斷一種網(wǎng)絡(luò)與否產(chǎn)生安全事件的原則經(jīng)常是某個(gè)網(wǎng)絡(luò)行為符合了安全隱患的特性，從而將針對(duì)這個(gè)行為發(fā)生一連串的動(dòng)作。但現(xiàn)在往往對(duì)網(wǎng)絡(luò)產(chǎn)生最大威脅的是未知的網(wǎng)絡(luò)行為對(duì)網(wǎng)絡(luò)產(chǎn)生的危害，當(dāng)碰到這類的攻擊后來，普通的網(wǎng)絡(luò)安全方案將無能為力。而在配備GSN全局安全方法的網(wǎng)絡(luò)環(huán)境中，GSN能夠針對(duì)網(wǎng)絡(luò)安全環(huán)境的變化不停調(diào)節(jié)和強(qiáng)化，有效協(xié)助網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)安全隱患的判斷。 當(dāng)網(wǎng)絡(luò)中有新的網(wǎng)絡(luò)訪問行為時(shí)，該行為的有關(guān)信息會(huì)被網(wǎng)絡(luò)聯(lián)動(dòng)設(shè)備有效捕獲，并通過E-MAIL、管理日志等方式告知管理員。同時(shí)GSN能及時(shí)的捕獲到網(wǎng)絡(luò)的環(huán)境變化，一旦檢測(cè)到網(wǎng)絡(luò)流量異常，聯(lián)動(dòng)設(shè)備會(huì)自動(dòng)截取網(wǎng)絡(luò)流量報(bào)文進(jìn)行分析，從而有效的阻斷DDos或未知的網(wǎng)絡(luò)安全事件。由這個(gè)網(wǎng)絡(luò)訪問行為產(chǎn)生的對(duì)應(yīng)安全方略會(huì)自動(dòng)匹配到系統(tǒng)當(dāng)中。在此后發(fā)生同樣的網(wǎng)絡(luò)訪問行為時(shí)，系統(tǒng)就能自動(dòng)調(diào)用對(duì)應(yīng)的安全方略來解決，從而達(dá)成不停根據(jù)網(wǎng)絡(luò)安全形勢(shì)強(qiáng)化系統(tǒng)安全性的安全方略自動(dòng)學(xué)習(xí)功效。（圖3GSN自動(dòng)學(xué)習(xí)）所覺得了確保校區(qū)網(wǎng)絡(luò)的安全，我們校區(qū)網(wǎng)絡(luò)建設(shè)時(shí)采用GSN方案來確保校區(qū)的網(wǎng)絡(luò)安全。3.4網(wǎng)絡(luò)出口流量控制設(shè)計(jì)現(xiàn)在越來越多的下載軟件造成網(wǎng)絡(luò)出口帶寬嚴(yán)重局限性，如現(xiàn)在的P2P軟件的使用造成了諸多高校網(wǎng)絡(luò)出口帶寬的嚴(yán)重局限性。出現(xiàn)這樣問題的因素是現(xiàn)在對(duì)P2P軟件沒有一種較好的控制手段，如P2P軟件是大家比較承認(rèn)的一種下載軟件，但是過多的使用會(huì)造成出口瓶頸，并且P2P軟件現(xiàn)在使用的端標(biāo)語不固定且沒有特性碼，因此想要對(duì)其限制也是一種比較頭痛的問題。針對(duì)這樣的問題，我們認(rèn)為對(duì)P2P軟件的使用最佳的方式不是針對(duì)流量進(jìn)行計(jì)費(fèi)，而是一種針對(duì)P2P應(yīng)用的管理與控制手段我公司結(jié)合現(xiàn)在我院的認(rèn)證計(jì)費(fèi)系統(tǒng)，對(duì)顧客進(jìn)行流量的控制，以控制由于顧客過多使用P2P軟件下載造成出口帶寬的局限性的現(xiàn)象，具體以下：3.5網(wǎng)絡(luò)管理設(shè)計(jì)隨著學(xué)校網(wǎng)絡(luò)規(guī)模的不停擴(kuò)大，現(xiàn)在不僅需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行集中統(tǒng)一的管理，同時(shí)還需要對(duì)顧客進(jìn)行集中統(tǒng)一的管理。4.1網(wǎng)絡(luò)拓?fù)鋱D4.2網(wǎng)絡(luò)設(shè)計(jì)闡明根據(jù)學(xué)院的實(shí)際狀況，并考慮到將來的發(fā)展趨勢(shì)，需要建立一種統(tǒng)一的信息傳輸網(wǎng)絡(luò)，滿足數(shù)據(jù)、語音、視頻、圖像、多媒體等有關(guān)教育信息的傳輸，能夠?qū)崿F(xiàn)計(jì)算機(jī)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、多媒體教學(xué)系統(tǒng)、數(shù)字圖書館和上網(wǎng)訪問（Internet）等應(yīng)用。為了保護(hù)投資，原有校園網(wǎng)部分我們?nèi)匀徊捎迷性O(shè)備和構(gòu)造。東西校區(qū)的互連根據(jù)前文所述，東西校區(qū)的互連我們采用雙鏈路光纖冗余互連，分別將東西校區(qū)的核心交換機(jī)進(jìn)行互連，同時(shí)全校啟用動(dòng)態(tài)路由OSPF的方式，確保新老校區(qū)穩(wěn)定可靠。網(wǎng)絡(luò)出口網(wǎng)絡(luò)出口采用1000M雙出口，由于學(xué)校飛速發(fā)展，地區(qū)不停擴(kuò)大，現(xiàn)在已有兩個(gè)校區(qū)，為了使整個(gè)網(wǎng)絡(luò)便于管理，合理規(guī)劃出口，東校區(qū)顧客上網(wǎng)的時(shí)候信息是由東校區(qū)的出口出去，西校區(qū)顧客上是通過西校區(qū)出口出去，如果任何一種出口出現(xiàn)問題，則顧客將由另一種出口出去，確保出口的穩(wěn)定和安全。同時(shí)考慮到現(xiàn)有出口帶寬基本都已被占滿，重要是由于顧客大量使用P2P軟件的因素，為理解決這個(gè)問題我們采用對(duì)顧客進(jìn)行流量控制，以避免顧客大量使用P2P軟件造成網(wǎng)絡(luò)出口帶寬局限性。網(wǎng)絡(luò)架構(gòu)為了能夠?qū)崿F(xiàn)骨干網(wǎng)絡(luò)的穩(wěn)定可靠，本次東西校區(qū)的網(wǎng)絡(luò)建設(shè)我們選擇雙核心雙鏈路的方式，即整個(gè)校園網(wǎng)采用雙核心的方式，兩臺(tái)核心之間通過千兆單模光纖相連，同時(shí)每個(gè)區(qū)域的區(qū)域匯聚交換機(jī)通過雙千兆單模光纖上聯(lián)到兩臺(tái)核心，而每個(gè)區(qū)域內(nèi)的交換機(jī)通過千兆多模鏈路連接各個(gè)區(qū)域的區(qū)域匯聚交換機(jī)，為了便于布線，在每棟樓的接入層上，各個(gè)不同的樓層采用不同的堆疊組進(jìn)行堆疊然后上聯(lián)到區(qū)域的匯聚交換機(jī)。而對(duì)于服務(wù)器群組來說，為了讓顧客提高訪問效率的體驗(yàn)，我們單獨(dú)采用一臺(tái)服務(wù)器群組交換機(jī)，該交換機(jī)含有很強(qiáng)的擴(kuò)展能力，并通過雙千兆多模光纖與東西校區(qū)的兩臺(tái)核心交換機(jī)進(jìn)行互聯(lián)，并通過服務(wù)器群組交換機(jī)的WCMP/ECMP的功效，能夠使兩條鏈路同時(shí)按照帶寬的比例都傳輸數(shù)據(jù)，確保顧客訪問服務(wù)器時(shí)的高效。網(wǎng)絡(luò)安全為了能夠更加好地實(shí)現(xiàn)網(wǎng)絡(luò)安全方面的控制，確保校園網(wǎng)內(nèi)的教學(xué)、科研數(shù)據(jù)和學(xué)生管理信息不被竊取和丟失，全部連接進(jìn)網(wǎng)絡(luò)的顧客必須通過了身份的檢查后才干訪問網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)，并且各個(gè)系統(tǒng)運(yùn)作時(shí)需要通過VLAN劃分和物理路由互相隔離，和Internet連接的出口也需要布署防火墻系統(tǒng)來實(shí)現(xiàn)安全保護(hù)，以確保網(wǎng)絡(luò)內(nèi)全部數(shù)據(jù)和信息的安全。由于現(xiàn)有的網(wǎng)絡(luò)安全事件已不是某一種產(chǎn)品或軟件就能夠解決的，而是需要全部網(wǎng)絡(luò)設(shè)備進(jìn)行有效的聯(lián)動(dòng)，一起抵抗網(wǎng)絡(luò)攻擊和病毒對(duì)網(wǎng)絡(luò)造成的影響。因此除了上述的安全保護(hù)外，同時(shí)為了進(jìn)一步做到能夠主動(dòng)的對(duì)網(wǎng)絡(luò)攻擊、病毒的防備，以及對(duì)未知網(wǎng)絡(luò)病毒的學(xué)習(xí)和控制，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備及軟件的有效聯(lián)動(dòng)，我們要在東西校區(qū)布署一整套安全體系，為學(xué)院網(wǎng)絡(luò)提供更加好的安全屏障。網(wǎng)絡(luò)高效、穩(wěn)定性由于網(wǎng)絡(luò)中心核心設(shè)備的穩(wěn)定和安全性能是整個(gè)網(wǎng)絡(luò)最重要的保障，因此必須規(guī)定核心交換機(jī)含有優(yōu)良的性能和高可靠性，必須采用超大交換容量的交換背板，以確保任何狀況下網(wǎng)絡(luò)的每個(gè)端口均可含有全線速多層交換能力，能夠確保傳輸帶寬和數(shù)據(jù)傳輸優(yōu)化等核心應(yīng)用，從而為整個(gè)網(wǎng)絡(luò)提供了穩(wěn)定和快速的基礎(chǔ)。網(wǎng)絡(luò)運(yùn)行為了能夠更加好的運(yùn)行網(wǎng)絡(luò)，使網(wǎng)絡(luò)健康良性的發(fā)展，東西校區(qū)網(wǎng)絡(luò)建設(shè)繼續(xù)采用學(xué)校原有的認(rèn)證方式，這樣同一套系統(tǒng)，不僅方便運(yùn)行維護(hù)及提高工作效率，同時(shí)也可使我們無需耗費(fèi)更多的時(shí)間來熟悉和掌握新的系統(tǒng)。網(wǎng)絡(luò)管理隨著網(wǎng)絡(luò)規(guī)模的不停擴(kuò)大，應(yīng)用越來越多，管理已不在是以前的那種單存對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理的年代，現(xiàn)在不僅要能夠?qū)υO(shè)備進(jìn)行集中統(tǒng)一的管理，同時(shí)還要能夠?qū)尤腩櫩瓦M(jìn)行集中統(tǒng)一的管理，并且隨著網(wǎng)絡(luò)安全事件的不停增多，還需要一套能夠?qū)W(wǎng)絡(luò)安全事件進(jìn)行集中統(tǒng)一管理的軟件，這樣才干夠確保網(wǎng)絡(luò)管理的高效。

5.1核心交換機(jī)選型闡明根據(jù)學(xué)院校園網(wǎng)建設(shè)的實(shí)際狀況，需要在東西校區(qū)網(wǎng)絡(luò)中心各布署一臺(tái)核心交換機(jī)，為了滿足實(shí)際網(wǎng)絡(luò)的需要和將來的升級(jí)擴(kuò)展，該核心交換機(jī)規(guī)定：支持多個(gè)模塊熱插拔、支持多個(gè)千兆端口、支持鏈路聚合IEEE802.3ad、支持三層合同、較高的背板帶寬和包轉(zhuǎn)發(fā)率、硬件或NP多業(yè)務(wù)卡方式支持IPV6（確保網(wǎng)絡(luò)系統(tǒng)后來平滑升級(jí)）、支持三種生成樹、支持802.1x、多個(gè)QOS和組播合同的支持等。根據(jù)具體狀況，我們準(zhǔn)備采用銳捷新一代多業(yè)務(wù)萬兆核心路由交換機(jī)RG-S6806E，該設(shè)備具體特點(diǎn)以下：RG-S6806E是銳捷網(wǎng)絡(luò)推出的基于NP+ASIC構(gòu)架的新一代多業(yè)務(wù)萬兆核心路由交換機(jī)，擁有6個(gè)擴(kuò)展插槽，RG-S6806E在保障高性能大容量的基礎(chǔ)上提供強(qiáng)大的安全防護(hù)能力，并且擁有業(yè)務(wù)按需疊加擴(kuò)展能力，達(dá)成業(yè)務(wù)和性能并重的設(shè)計(jì)需求。RG-S6806E多業(yè)務(wù)萬兆核心路由交換機(jī)V3.X提供1.2T背板帶寬，并支持將來擴(kuò)展到2.4T的能力，高達(dá)428Mpps的二/三層包轉(zhuǎn)發(fā)速率可為顧客提供高速無阻塞的數(shù)據(jù)交換，強(qiáng)大的交換路由功效、安全智能技術(shù)可同銳捷各系列交換機(jī)配合，為顧客提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的抱負(fù)選擇。RG-S6806E交換機(jī)通過擴(kuò)展高性能的多業(yè)務(wù)卡支持方略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等業(yè)務(wù)功效，滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。產(chǎn)品特性強(qiáng)大數(shù)據(jù)解決設(shè)計(jì)（SPOH設(shè)計(jì)）RG-S6806E的交換、路由、ACL、QoS等復(fù)雜功效通過硬件實(shí)現(xiàn)，避免了軟件實(shí)現(xiàn)同樣功效對(duì)數(shù)據(jù)高速解決的影響。管理模塊執(zhí)行路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)等任務(wù)，顧客接口模塊能夠獨(dú)立實(shí)現(xiàn)硬件路由、交換和組播功效；顧客交換端口則獨(dú)立實(shí)現(xiàn)硬件ACL和QoS功效，同時(shí)式解決設(shè)計(jì)(SPOH設(shè)計(jì))極大地提高整機(jī)解決能力。強(qiáng)大的擴(kuò)展能力RG-S6806E多業(yè)務(wù)萬兆核心路由交換機(jī)V3.X現(xiàn)在提供1.2T背板帶寬，在不更換機(jī)箱的狀況下，將來僅通過更換管理模塊能夠支持背板帶寬擴(kuò)展到2.4T。RG-S6806E多業(yè)務(wù)萬兆核心路由交換機(jī)通過擴(kuò)展高性能的多業(yè)務(wù)卡，能夠支持方略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等功效。高安全保障方法物理安全：RG-S6806E提供冗余管理模塊、冗余電源模塊、多個(gè)模塊熱拔插等物理安全保障方法。病毒和攻擊防護(hù)：面對(duì)現(xiàn)在網(wǎng)絡(luò)環(huán)境越來越多的網(wǎng)絡(luò)病毒和攻擊威脅，RG-S6806E提供強(qiáng)大的網(wǎng)絡(luò)病毒和攻擊防護(hù)能力，不僅提供了基于SPOH技術(shù)的ACL功效，并且還支持防源IP地址欺騙（SouceIPSpoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）等能力。提供多端口同時(shí)監(jiān)控技術(shù)，支持靈活的網(wǎng)絡(luò)監(jiān)控，提高網(wǎng)絡(luò)監(jiān)控能力設(shè)備管理安全：為了避免非管理人員登陸并操縱網(wǎng)絡(luò)設(shè)備，造成網(wǎng)絡(luò)傳輸和安全的影響，RG-S6806E提供了SSH加密登陸功效，以及telnet/web登錄的源IP限制功效。接入安全：硬件支持IP、MAC、端口綁定，提高顧客接入控制能力。支持802.1X技術(shù)，滿足6元素綁定接入限制支持IGMP源端口檢查，可有效控制非法組播源，提高網(wǎng)絡(luò)安全。通過PVLAN（保護(hù)端口）隔離顧客之間信息互通，不必占用VLAN資源。端口MAC地址鎖和端口MAC地址接入數(shù)量功效能夠屏蔽非法主機(jī)的接入豐富的應(yīng)用支持技術(shù)（QOS、組播）RG-S6806E提供多個(gè)流分類技術(shù)和多個(gè)QOS技術(shù)，涉及SP、WRR、WFQ、WRED、CAR、HOL等，為多個(gè)應(yīng)用的帶寬保障提供需要的支持技術(shù)。流分類：能夠根據(jù)數(shù)據(jù)流的源/目的MAC地址、源/目的三層IP地址、三層合同（IP/IPX）、四層合同（UDP/TCP）、源/目的四層合同端標(biāo)語、COS、TOS對(duì)數(shù)據(jù)流進(jìn)行辨別，實(shí)現(xiàn)2/3/4層的流分類功效。數(shù)據(jù)標(biāo)記：802.1p是二層合同，可覺得數(shù)據(jù)提供8個(gè)級(jí)別的優(yōu)先級(jí)標(biāo)記；DSCP在三層的IP合同報(bào)文里進(jìn)行優(yōu)先級(jí)標(biāo)記，能夠提供64個(gè)級(jí)別的優(yōu)先標(biāo)記。隊(duì)列調(diào)度：嚴(yán)格優(yōu)先級(jí)隊(duì)列SP確保高優(yōu)先級(jí)業(yè)務(wù)總是在低優(yōu)先級(jí)業(yè)務(wù)之前解決；WRR是一種加權(quán)循環(huán)隊(duì)列調(diào)度機(jī)制，首先解決高優(yōu)先級(jí)，但在解決高優(yōu)先級(jí)業(yè)務(wù)時(shí)，較低優(yōu)先級(jí)的業(yè)務(wù)并沒有被完全阻塞，而是按一定的比例同時(shí)進(jìn)行。WFQ是加權(quán)公平隊(duì)列，對(duì)全部的數(shù)據(jù)流進(jìn)行排隊(duì)，監(jiān)控吞吐率，并根據(jù)發(fā)送的信息量分派權(quán)值。WFQ試圖公平地為每個(gè)對(duì)話分派帶寬，確保低帶寬應(yīng)用能夠獲得對(duì)接口的訪問權(quán)，而不會(huì)被高帶寬應(yīng)用全部占用。擁塞控制：WRED加權(quán)隨機(jī)早期檢測(cè)合同，能夠設(shè)立各個(gè)數(shù)據(jù)流在擁塞發(fā)生之前自動(dòng)丟失數(shù)據(jù)的閥值，避免較高優(yōu)先級(jí)應(yīng)用的擁塞丟失。HOL通過消除HOL阻塞確保最高可能的吞吐量；最大程度地減少包丟失，減少多路傳輸和廣播流量擁塞承諾信息速率：CAR可覺得重要的數(shù)據(jù)流設(shè)定固定的帶寬，如果設(shè)定的帶寬合理，滿足該數(shù)據(jù)流的需求，就能夠確保重要數(shù)據(jù)流的正常轉(zhuǎn)發(fā)。提供多個(gè)組播支持技術(shù)，涉及IGMPsnooping、IGMP、PIM（SM、DM），DVMRP，確保了網(wǎng)絡(luò)中提供組播服務(wù)時(shí)的帶寬合理占用。支持領(lǐng)先的萬兆以太網(wǎng)技術(shù)（IEEE802.3AE、IEEE802.3AK）萬兆以太網(wǎng)采用了IEEE802.3以太網(wǎng)媒體訪問控制（MAC）合同、IEEE802.3以太網(wǎng)幀格式，以及IEEE802.3幀的最大和最小尺寸。萬兆以太網(wǎng)是以太網(wǎng)在速度和距離方面的進(jìn)步，采用全雙工技術(shù)，不需要應(yīng)用低速的、半雙工的CSMA/CD合同。在其它方面，萬兆以太網(wǎng)保存了早期以太網(wǎng)模型的精髓，因而能夠和現(xiàn)有以太網(wǎng)環(huán)境無縫融合，支持客戶已有應(yīng)用。RG-S6806E提供現(xiàn)在主流的四種萬兆局域網(wǎng)傳輸原則：10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4，四種傳輸原則在數(shù)據(jù)鏈路層以上都相似，差別在于物理層。10GBASE-R和10GBASE-CX4用于傳統(tǒng)的以太網(wǎng)環(huán)境，10GBASE-R采用光纖作為傳輸介質(zhì)，10GBASE-CX4采用同軸銅纜作為傳輸介質(zhì)，而10GBASE-W可與OC-192電路、SONET/SDH設(shè)備一起運(yùn)行，保護(hù)傳統(tǒng)基礎(chǔ)投資，使運(yùn)行商能夠在不同地區(qū)通過城域網(wǎng)提供端到端以太網(wǎng)。10GBSE-LX4則使用WDM波分復(fù)用技術(shù)進(jìn)行數(shù)據(jù)傳輸。支持L2VPN（QINQ）RG-S6806E支持ServiceProvidervlan(DoubleTagging、VLANtunnel)，允許對(duì)交換數(shù)據(jù)進(jìn)行二次VLAN標(biāo)記，外層標(biāo)記用于創(chuàng)立VPN，提供鏈路選擇，內(nèi)層標(biāo)記用于標(biāo)記業(yè)務(wù)VLAN信息，實(shí)現(xiàn)在以太網(wǎng)環(huán)境中的L2VPN，解決了傳統(tǒng)以太網(wǎng)環(huán)境無法提供數(shù)據(jù)傳輸安全控制的問題。ECMP/WCMP（Equal-CostMultipathRouting/Weight-CostMultipathRouting）存在多條不同鏈路達(dá)成同一目的地址的網(wǎng)絡(luò)環(huán)境中，如果使用傳統(tǒng)的路由技術(shù)，發(fā)往該目地址的數(shù)據(jù)包只能運(yùn)用其中的一條鏈路，其它鏈路處在備份狀態(tài)或無效狀態(tài)，并且在動(dòng)態(tài)路由環(huán)境下互相的切換需要一定時(shí)間，而等值多途徑路由合同和權(quán)重多途徑路由合同能夠在該網(wǎng)絡(luò)環(huán)境下同時(shí)使用多條鏈路，不僅增加了傳輸帶寬，并且能夠無時(shí)延無丟包地備份失效鏈路的數(shù)據(jù)傳輸。最長(zhǎng)匹配（LPM）三層交換技術(shù)在傳統(tǒng)的硬件三層交換機(jī)中采用“一次路由、多次交換”的路由技術(shù)，并且使用精確流匹配方式進(jìn)行硬件三層轉(zhuǎn)發(fā)，大量耗費(fèi)CPU資源，并且占用大量的硬件存儲(chǔ)資源。最長(zhǎng)匹配（LPM）三層交換技術(shù)能夠解決傳統(tǒng)方式“多次交換”中采用精確流匹配”而帶來存儲(chǔ)空間壓力過大的問題。最長(zhǎng)匹配（LPM）技術(shù)支持直連路由、靜態(tài)路由、動(dòng)態(tài)學(xué)習(xí)到的路由都直接以網(wǎng)段形式存儲(chǔ)于硬件轉(zhuǎn)發(fā)表，一種目的網(wǎng)段使用一種轉(zhuǎn)發(fā)表項(xiàng)，而不明目的網(wǎng)段IP地址的數(shù)據(jù)包直接通過硬件缺省路由轉(zhuǎn)發(fā)。因此，LPM技術(shù)的優(yōu)點(diǎn)是極大地節(jié)省存儲(chǔ)空間，擁有硬件缺省路由，因此，病毒和攻擊數(shù)據(jù)包能夠通過硬件網(wǎng)段路由或缺省路由進(jìn)行轉(zhuǎn)發(fā)，不增加額外的硬件表項(xiàng)，避免了存儲(chǔ)溢出問題，保障設(shè)備的正常運(yùn)行。支持完善的雙核心技術(shù)RG-S6806E支持涉及802.1D、802.1W、802.1S在內(nèi)的多個(gè)生成樹合同以及虛擬路由合同VRRP，提供完善的雙核心保障技術(shù)。技術(shù)參數(shù)技術(shù)參數(shù)RG-S6806E模塊插槽6個(gè)（2個(gè)用于管理引擎模塊）背板1.2T（可擴(kuò)展2.4T）（V3.x）交換容量600G（V3.x引擎）包轉(zhuǎn)發(fā)速率L2/L3：428M（V3.x引擎）路由表項(xiàng)256K802.1qVLAN4KL2合同IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ae、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、portmirror、IGMPSNOOPING、Aggregateport、GVRP、jumboframe(9Kbytes)、QINQL3合同BGP4、OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、DVMRP、PIM-SM/DM、PIM-SSM、LPMRouting、Policy-basedRouting、ECMP、WCMP病毒攻擊防護(hù)全方面的ACL、防源IP地址欺騙（SouceIPSpoofing）、防DOS攻擊（Synflood，Smurf），防掃描（PingSweep）管理方式SNMPv1/v2/v3、Telnet、Console、CLI、RMON、SSH其它合同SNTP、VRRP、BootP/DHCPclient、ARPPROXY、DHCPrelay、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect、Syslog尺寸（長(zhǎng)x寬x高）445mmx445m電源100VAC~240VAC，50Hz~60Hz，功率:1200WMTBF>200,000hours溫度工作溫度：0℃到存儲(chǔ)溫度：-40℃到濕度工作濕度:10%到90%RH存儲(chǔ)濕度:5%到95%RH典型應(yīng)用可擴(kuò)萬兆的千兆IP核心網(wǎng)運(yùn)用RG-S6806E強(qiáng)大的數(shù)據(jù)解決能力提供各分支機(jī)構(gòu)的高速互連運(yùn)用多條光纖鏈路連接成網(wǎng)狀，提供高度安全的網(wǎng)絡(luò)連接使用OSPF路由合同，配合ECMP/WCMP路由合同，能夠充足運(yùn)用各鏈路并且提供實(shí)時(shí)的鏈路備份需求通過簡(jiǎn)樸地增加萬兆模塊能夠平滑地升級(jí)到萬兆IP核心網(wǎng)，保護(hù)顧客投資可擴(kuò)萬兆的千兆雙核心網(wǎng)通過兩臺(tái)RG-S6806E之間的鏈路冗余備份和負(fù)載均衡（802.1S\VRRP）提供安全可靠的網(wǎng)絡(luò)構(gòu)架通過RG-S6806E豐富的安全保障技術(shù)提供一種全網(wǎng)概念的整體網(wǎng)絡(luò)安全通過方略路由功效支持多ISP出口的負(fù)載均衡和冗余備份通過簡(jiǎn)樸地增加萬兆模塊能夠平滑升級(jí)到萬兆骨干網(wǎng)，保護(hù)顧客投資5.2服務(wù)器群組交換機(jī)選型闡明學(xué)院現(xiàn)在的服務(wù)器群組都是在連接在一臺(tái)100M傻瓜式二層交換機(jī)上的。已不能合用新的網(wǎng)絡(luò)應(yīng)用需求，需要在網(wǎng)絡(luò)中心布署一臺(tái)服務(wù)器群組交換機(jī)，為了滿足實(shí)際網(wǎng)絡(luò)的需要和將來的升級(jí)擴(kuò)展，該核心交換機(jī)規(guī)定：支持萬兆擴(kuò)展端口、千兆端口、支持鏈路聚合IEEE802.3ad、支持三層合同、較高的背板帶寬和包轉(zhuǎn)發(fā)率、支持三種生成樹、支持802.1x、多個(gè)QOS和組播合同的支持等。根據(jù)具體狀況，我們采用銳捷安全智能萬兆多層交換機(jī)RG-S5750-24GT/12SFP，該設(shè)備具體特點(diǎn)以下：RG-S5750系列是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機(jī)架式多層交換機(jī)。

該系列交換機(jī)接口形式和組合非常靈活，可提供24個(gè)10/100/1000M自適應(yīng)的千兆電口，和靈活復(fù)用的高密度千兆SFP光纖連接，滿足網(wǎng)絡(luò)建設(shè)中不同介質(zhì)的連接需要，同時(shí)為滿足網(wǎng)絡(luò)的彈性擴(kuò)展，和高帶寬傳輸需要，可靈活彈性擴(kuò)展多個(gè)類型的萬兆模塊。特別適合高帶寬、高性能和靈活擴(kuò)展的大型網(wǎng)絡(luò)匯聚層，中型網(wǎng)絡(luò)核心，以及數(shù)據(jù)中心服務(wù)器接入的使用。該系列交換機(jī)硬件支持多層線速交換，并提供了豐富而完善的路由合同，以適合大型網(wǎng)絡(luò)多個(gè)路由和高性能的需要。RG-S5750系列交換機(jī)提供二到七層的智能的業(yè)務(wù)流分類、完善的服務(wù)質(zhì)量（QoS）確保和組播應(yīng)用管理特性。在提供高性能、多智能的同時(shí)，其內(nèi)在的安全防御機(jī)制和顧客管理能力，更可有效避免和控制病毒傳輸和網(wǎng)絡(luò)攻擊，控制非法顧客接入和使用網(wǎng)絡(luò)，確保正當(dāng)顧客合理使用網(wǎng)絡(luò)資源，充足保障網(wǎng)絡(luò)安全、網(wǎng)絡(luò)合理化使用和運(yùn)行，并能夠根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制方略。RG-S5750系列交換機(jī)以極高的性價(jià)比為大型網(wǎng)絡(luò)匯聚和中型網(wǎng)絡(luò)核心提供了多層交換、完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)立和基于方略的網(wǎng)管，最大化滿足高速、安全、智能的公司網(wǎng)需求。產(chǎn)品特性：高性能多層交換高背板帶寬為全部的端口提供非阻塞性能；豐富完善的路由性能和超大容量路由表資源可滿足大型網(wǎng)絡(luò)動(dòng)態(tài)路由的需要；基于LPM硬件路由轉(zhuǎn)發(fā)方式使得RG-S5750系列不僅合用于大型網(wǎng)絡(luò)環(huán)境，并且可防御多個(gè)網(wǎng)絡(luò)病毒的侵襲，保障全部報(bào)文的線速轉(zhuǎn)發(fā)，有效確保了設(shè)備的安全性；硬件支持多層線速交換，能夠識(shí)別二到七層的應(yīng)用業(yè)務(wù)流，全部端口都含有單獨(dú)的數(shù)據(jù)包過濾、辨別不同應(yīng)用流，并根據(jù)不同的流進(jìn)行不同的管理和控制。靈活完備的安全控制含有的多個(gè)內(nèi)在機(jī)制能夠有效防備和控制病毒傳輸和黑客攻擊，如防止Dos攻擊、防黑客IP掃描機(jī)制等，還網(wǎng)絡(luò)一片綠色；硬件實(shí)現(xiàn)端口與MAC地址和顧客IP地址的靈活綁定，嚴(yán)格限定端口上的顧客接入;通過將端口設(shè)為保護(hù)端口即可簡(jiǎn)樸方便地隔離顧客之間信息互通，不必占用VLAN資源；基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；基于端口速率比例和基于速率pps的廣播風(fēng)暴克制功效，確保網(wǎng)絡(luò)穩(wěn)定安全；SSH（SecureShell）和SNMPv3能夠通過在Telnet和SNMP進(jìn)程中加密管理信息，確保管理設(shè)備信息的安全性，避免黑客攻擊和控制設(shè)備；控制非法顧客使用網(wǎng)絡(luò)，確保正當(dāng)顧客合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級(jí)ACL、時(shí)間ACL、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿足公司網(wǎng)、校園網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)顧客通信的需求。豐富的組播特性支持多個(gè)單播和組播動(dòng)態(tài)路由合同，可適應(yīng)不同的網(wǎng)絡(luò)規(guī)模和需要進(jìn)行大量多播服務(wù)的環(huán)境，實(shí)現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展和多業(yè)務(wù)應(yīng)用；支持IGMP源端口和源IP檢查功效，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的安全性；支持IGMPv1/v2/v3全部版本，適應(yīng)不同組播環(huán)境，滿足組播安全應(yīng)用的需要。完善的QoS方略以DiffServ原則為核心的QoS保障系統(tǒng)，支持802.1P、IPTOS、二到七層流過濾、SP、WRR等完整的QoS方略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；含有MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)、流量管理，流量整形等多個(gè)流方略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供流量限速千兆端口粒度達(dá)64Kbps，萬兆端口粒度達(dá)1Mbps。高可靠性支持生成樹合同802.1d、802.1w、802.1s，完全確?？焖偈諗?，提高容錯(cuò)能力，確保網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路運(yùn)用率；支持VRRP虛擬路由器冗余合同，有效保障網(wǎng)絡(luò)穩(wěn)定；支持銳捷網(wǎng)絡(luò)的可選冗余電源系統(tǒng)STAR-RPS，可為S5750系列設(shè)備提供卓越的電源冗余，提高容錯(cuò)能力和網(wǎng)絡(luò)正常運(yùn)行時(shí)間。方便易用易管理靈活復(fù)用的多個(gè)千兆形式，可靈活滿足需要多個(gè)千兆銅纜和多個(gè)千兆光纖鏈路的連接，方便顧客靈活選擇；為滿足網(wǎng)絡(luò)靈活彈性擴(kuò)展和高帶寬傳輸需要，簡(jiǎn)樸選配多個(gè)類型的萬兆模塊，網(wǎng)絡(luò)即可平滑升級(jí)到萬兆上鏈骨干；簡(jiǎn)樸網(wǎng)絡(luò)時(shí)間合同（SNTP）確保交換機(jī)時(shí)間的精確性，并與網(wǎng)絡(luò)中時(shí)間服務(wù)器時(shí)間統(tǒng)一化，方便日志信息和流量信息的分析、故障診療等管理；Syslog方便多個(gè)日志信息的統(tǒng)一收集、維護(hù)、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護(hù)和管理；多端口同時(shí)監(jiān)控，通過一種端口即可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，能夠只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護(hù)效率；CLI界面，方便高級(jí)顧客配備和使用；可提供Xmodem、FTP、TFTP等多個(gè)加載升級(jí)方式，方便顧客使用；Java-basedWeb管理方式，實(shí)現(xiàn)對(duì)交換機(jī)的可視化圖形界面管理，快速和高效地配備設(shè)備。技術(shù)參數(shù)：產(chǎn)品型號(hào)RG-S5750-24GT/12SFP固定端口24端口10/100/1000M自適應(yīng)端口，12個(gè)復(fù)用的SFP接口，2個(gè)擴(kuò)展槽可用模塊Mini-GBIC-SX：?jiǎn)慰?000BASE-SXminiGBIC轉(zhuǎn)換模塊（LC接口）；Mini-GBIC-LX：?jiǎn)慰?000BASE-LXminiGBIC轉(zhuǎn)換模塊（LC接口）；Mini-GBIC-ZX50：?jiǎn)慰?000BASE-ZXminiGBIC轉(zhuǎn)換模塊（LC接口），50km；Mini-GBIC-ZX80：?jiǎn)慰?000BASE-ZXminiGBIC轉(zhuǎn)換模塊（LC接口），80km1端口XENPAK接口萬兆轉(zhuǎn)接板1端口XFP接口萬兆轉(zhuǎn)接板萬兆光纖接口模塊（300米），配合M5700-01XENPAK萬兆光纖LR接口模塊（10公里），配合M5700-01XENPAK萬兆光纖ER接口模塊（40公里），配合M5700-01XENPAK萬兆光纖SR接口模塊（300米），配合M5700-01XFP萬兆光纖LR接口模塊（10公里），配合M5700-01XFP萬兆光纖ER接口模塊（40公里），配合M5700-01XFP背板240Gbps包轉(zhuǎn)發(fā)速率L2：線速（66Mpps）L3：線速（66Mpps）MAC16K802.1qVLAN4KACL原則IPACL（基于IP地址的硬件ACL）、擴(kuò)展IPACL（基于IP地址、TCP/UDP端標(biāo)語的硬件ACL）、MAC擴(kuò)展ACL（基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL）、基于時(shí)間ACL、專家級(jí)ACL（可同時(shí)基于VLAN號(hào)、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端標(biāo)語、合同類型、時(shí)間等靈活組合的硬件ACL）L2合同IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3、LLDPDefeatDoSAttack支持DefeatIPScan支持L3合同OSPF、ECMP/WCMP、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3管理合同SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、SNTP、Syslog其它合同DHCPRelay、DNSClientJumboFrame支持尺寸（長(zhǎng)×寬×高）440×435×44mm電源176VAC~264VAC48Hz~60Hz溫度工作溫度:0oC到40oC存儲(chǔ)溫度:-40oC到70oC濕度工作濕度:10%到90%RH存儲(chǔ)濕度:5%到90%RH5.3區(qū)域匯聚交換機(jī)選型闡明根據(jù)學(xué)院實(shí)際狀況，為了滿足實(shí)際網(wǎng)絡(luò)環(huán)境的需要，區(qū)域匯聚交換機(jī)都規(guī)定：支持千兆端口、支持鏈路聚合IEEE802.3ad、支持三層合同、較高的背板帶寬和包轉(zhuǎn)發(fā)率、支持三種生成樹、支持802.1x、多個(gè)QOS和組播合同的支持等。我們采用銳捷全千兆智能多層交換機(jī)STAR-RG-S5750-24GT/12SFP做區(qū)域匯聚，該設(shè)備具體特點(diǎn)以下：STAR-S3550-24G是一款線速全千兆智能多層交換機(jī)，能提供多GBIC插槽，最多可提供該系列交換機(jī)硬件支持2至4層的多層線速交換，提供二到七層的智能的流分類和和完善的服務(wù)質(zhì)量（QoS）以及組播管理特性，支持完善的高性能路由合同，并能夠?qū)嵤╈`活多樣的ACL訪問控制方略?？赏ㄟ^SNMP、Telnet、Web和Console口等多個(gè)方式提供豐富的管理。S3550-24產(chǎn)品特性：高性能多層交換72G背板帶寬為全部的端口提供非阻塞性能；硬件支持多層線速交換，能夠識(shí)別、解決四層以上的應(yīng)用業(yè)務(wù)流，全部端口都含有單獨(dú)的數(shù)據(jù)包過濾、辨別不同應(yīng)用流，并根據(jù)不同的流進(jìn)行不同的管理和控制。完備的安全控制含有的多個(gè)內(nèi)在機(jī)制能夠有效防備和控制病毒傳輸和黑客攻擊，如防止Dos攻擊、防黑客和病毒IP掃描機(jī)制等，還網(wǎng)絡(luò)一片綠色；硬件實(shí)現(xiàn)端口與MAC地址和顧客IP地址的綁定；通過保護(hù)端口即可方便簡(jiǎn)樸地隔離顧客之間信息互通，不必占用VLAN資源；基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；提供加密傳輸?shù)腟ecureShell（SSH），確保管理設(shè)備信息的安全性，避免黑客攻擊和控制設(shè)備；高安全性，含有端口安全、動(dòng)態(tài)地址鎖、端口隔離、顧客接入認(rèn)證（802.1x）、專家級(jí)ACL控制、基于數(shù)據(jù)流的帶寬限速等多個(gè)安全方法，滿足公司網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)顧客通信的需求。豐富的組播特性支持多個(gè)單播和組播動(dòng)態(tài)路由合同，可適應(yīng)不同的網(wǎng)絡(luò)規(guī)模，和需要進(jìn)行大量多播服務(wù)的環(huán)境，實(shí)現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展；支持IGMP源端口檢查功效，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的安全性。完善的QoS方略以DiffServ原則為核心的QoS保障系統(tǒng)，支持802.1P、IPTOS、二到七層流過濾、SP、WRR等完整的QoS方略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；含有MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多個(gè)流方略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供服務(wù)；高可靠性支持生成樹合同802.1d、802.1w、802.1s，完全確?？焖偈諗浚岣呷蒎e(cuò)能力，確保網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道；支持VRRP虛擬路由器冗余合同，構(gòu)建故障時(shí)的冗余路由拓?fù)錁?gòu)造，保持通訊的持續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定；支持銳捷網(wǎng)絡(luò)的可選冗余電源系統(tǒng)STAR-RPS，可為6臺(tái)S3550-12G/S3550-24G以S3550-12SFP/GT系列網(wǎng)絡(luò)設(shè)備提供卓越的電源冗余，提高容錯(cuò)能力和網(wǎng)絡(luò)正常運(yùn)行時(shí)間。方便易用易管理全GBIC架構(gòu)，可選配多個(gè)規(guī)格千兆接口模塊，支持千兆銅纜、單/多模光纖接口模塊的混合配備，支持模塊熱插拔，極大方便顧客靈活配備和擴(kuò)展網(wǎng)絡(luò)；獨(dú)特的集群管理，通過一臺(tái)命令交換機(jī)即可管理多達(dá)20臺(tái)的匯聚層和接入層設(shè)備S3550系列和S21系列交換機(jī)，無論交換機(jī)與否在同一配線間和布線室，都能得到統(tǒng)一管理；強(qiáng)大的集群管理方式使得網(wǎng)絡(luò)的維護(hù)工作變得非常方便和簡(jiǎn)樸，只需配備1個(gè)IP地址，即可統(tǒng)一管理多臺(tái)設(shè)備，不僅成倍節(jié)省了IP地址空間，并且維護(hù)和管理量也得到極大減少；多端口同時(shí)監(jiān)控，通過一種端口即可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，能夠只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護(hù)效率；支持業(yè)界領(lǐng)先的EAPS功效，實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性；CLI界面，方便高級(jí)顧客配備和使用；Java-basedWeb管理方式，實(shí)現(xiàn)對(duì)交換機(jī)的可視化圖形界面管理，快速和高效地配備設(shè)備。技術(shù)參數(shù)產(chǎn)品型號(hào)STAR-S3550-固定端口24口GBIC接口可用GBIC或Mini-GBIC模塊GBIC-GT：?jiǎn)慰?000BASE-T模塊GBIC-SX：?jiǎn)慰?000BASE-SX模塊GBIC-LX：?jiǎn)慰?000BASE-LX模塊背板72G包轉(zhuǎn)發(fā)速率L2：36MppsL3：36MppsMAC地址32K802.1qVLAN4KACLIP原則ACL（基于IP地址的硬件ACL）、IP擴(kuò)展ACL（基于IP地址、傳輸層端標(biāo)語的硬件ACL）、MAC擴(kuò)展ACL（基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL）、基于時(shí)間ACL、專家級(jí)ACL(可同時(shí)基于VLAN號(hào)、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端標(biāo)語的硬件ACL)L2合同IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1s、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IGMPSnooping、LLDPL3合同OSPF、RIPV1、RIPV2、PIM（DM/SM）、VRRP、IGMP管理方式SNMPv1/v2、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog其它合同EAPS、BootP、DHCPRelay網(wǎng)絡(luò)介質(zhì)和最大傳輸距離1000BASE-SX：波長(zhǎng)850nm，62.5/125um多模光纖線的最大傳輸距離為220m；50/125um多模光纖線的最大傳輸距離為500m；1000BASE-LX：波長(zhǎng)1310nm，62.5/125um多模光纖線的最大傳輸距離為550m；50/125um多模光纖線的最大傳輸距離為550m；9/125um單模光纖線的最大傳輸距離為10Km；1000BASE-ZX：波長(zhǎng)1550nm，9/125um單模光纖線的最大傳輸距離為50Km和80Km10/100/1000BASE-T：使用5類UTP或STP最大傳輸距離為100m；尺寸（長(zhǎng)×寬×高）440mm×330mm ×67mm電源176VAC~264VAC，47Hz~63Hz，或10.6~13.2VDC/最大5.3A溫度工作溫度：0℃到存儲(chǔ)溫度：-40℃濕度工作濕度:10%到90%RH存儲(chǔ)濕度:5%到95%RH5.4接入交換機(jī)選型闡明根據(jù)我院校園網(wǎng)建設(shè)的實(shí)際狀況，為了滿足實(shí)際網(wǎng)絡(luò)環(huán)境的需要，對(duì)于全部接入交換機(jī)都規(guī)定：較高的背板帶寬和包轉(zhuǎn)發(fā)率、支持三種生成樹合同、支持基于時(shí)間和合同的網(wǎng)絡(luò)訪問控制、含有較高的安全性能、支持IP地址+MAC地址+交換機(jī)端口綁定、支持802.1x、多個(gè)QOS的支持等。我們銳捷安全智能交換機(jī)STAR-S2126G/S2150G做為接入層交換機(jī)，該設(shè)備具體特點(diǎn)以下：STAR-S2126G/S2150G是兩款全線速可堆疊的安全智能交換機(jī)，在提供智能的流分類、完善的服務(wù)質(zhì)量（QoS）和組播應(yīng)用管理特性同時(shí)，并能夠根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制方略，可有效避免和控制病毒傳輸和網(wǎng)絡(luò)攻擊，控制非法顧客使用網(wǎng)絡(luò)，確保正當(dāng)顧客合理使用網(wǎng)絡(luò)資源，充足保障網(wǎng)絡(luò)安全和網(wǎng)絡(luò)合理化使用和運(yùn)行。STAR-S2126G/S2150G可通過SNMP、Telnet、Web和Console口等多個(gè)方式提供豐富的管理。S2126G/S2150G以極高的性價(jià)比為各類型網(wǎng)絡(luò)提供完善的端到端的QoS服務(wù)質(zhì)量、靈活豐富的安全方略管理和基于方略的網(wǎng)管，最大化滿足高速、安全、智能的公司網(wǎng)新需求。產(chǎn)品特性：高性能12.8G/18.5G背板帶寬為全部的端口提供非阻塞性能。靈活完備的安全控制方略通過內(nèi)在的多個(gè)安全機(jī)制可有效避免和控制病毒傳輸和網(wǎng)絡(luò)流量攻擊，控制非法顧客使用網(wǎng)絡(luò)，確保正當(dāng)顧客合理化使用網(wǎng)絡(luò)，避免過渡占用網(wǎng)絡(luò)帶寬資源，如BT泛濫下載；安全方略有端口安全、端口隔離、專家級(jí)ACL、時(shí)間ACL、端口ARP報(bào)文正當(dāng)性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定、基于應(yīng)用內(nèi)容的深度識(shí)別和控制等，滿足公司網(wǎng)、校園網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)顧客通信，合理化運(yùn)行網(wǎng)絡(luò)的需要；硬件實(shí)現(xiàn)端口與MAC地址和顧客IP地址的綁定，嚴(yán)格限定端口上顧客接入；通過將端口設(shè)為保護(hù)端口即可簡(jiǎn)樸方便地隔離顧客之間信息互通，不必占用VLAN資源；通過PrivateVLAN能夠在交換機(jī)的同一VLAN中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口，而不會(huì)被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題，同時(shí)又無需運(yùn)用安全規(guī)則資源即能達(dá)成隔離不同顧客以及不同組顧客之間通訊的功效，充足保護(hù)顧客隱私；通過銳捷SAM平臺(tái)，可實(shí)現(xiàn)顧客賬號(hào)、MAC地址、IP地址、交換機(jī)IP、交換機(jī)端口等六大元素之間的靈活任意綁定，有效確認(rèn)顧客正當(dāng)性和唯一性；支持業(yè)界特有的IGMP源端口檢查，有效杜絕非法組播源播放和大量占用大量網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)安全性；提供極為有效的PortBlocking功效，避免端口受到其它端口發(fā)送的廣播包、多播包等報(bào)文的干擾，有效減輕端口負(fù)載負(fù)擔(dān)，提高端口帶寬，保護(hù)顧客PC更高效安全地運(yùn)行；基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；SSH（SecureShell）和SNMPv3能夠通過在Telnet和SNMP進(jìn)程中加密管理信息，確保管理設(shè)備信息的安全性，避免黑客攻擊和控制設(shè)備；可靈活控制二－七層數(shù)據(jù)報(bào)文，使得任何一種顧客PC上的任何一種應(yīng)用報(bào)文通過網(wǎng)絡(luò)都能得到有效控制，充足保障了網(wǎng)絡(luò)的安全和合理化使用。完善的QoS方略支持802.1P、端口優(yōu)先級(jí)、IPTOS、二到七層流過濾等QoS方略，含有MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多個(gè)流方略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供服務(wù)；極靈活的帶寬控制能力，能夠基于交換機(jī)端口、MAC地址、IP地址、VLANID、合同、應(yīng)用組合進(jìn)行帶寬限速，限速粒度精細(xì)：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口，可根據(jù)網(wǎng)絡(luò)安全需求，設(shè)定不同業(yè)務(wù)應(yīng)用的帶寬流量，滿足按需所用。高可靠性支持生成樹合同802.1D、802.1w、802.1s，完全確?？焖偈諗浚岣呷蒎e(cuò)能力，確保網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路運(yùn)用率。方便易用易管理強(qiáng)大的菊花鏈?zhǔn)蕉询B，最多支持堆疊8臺(tái)S2126G/S2150G的混合堆疊，最大支持384個(gè)10/100M端口，確保網(wǎng)絡(luò)的高度靈活和可擴(kuò)展，網(wǎng)絡(luò)管理更加簡(jiǎn)樸；獨(dú)特的集群管理，通過一臺(tái)命令交換機(jī)可管理多達(dá)20臺(tái)的S3550系列和S21系列交換機(jī)，無論交換機(jī)與否在同一配線間和布線室；強(qiáng)大的集群管理方式使得網(wǎng)絡(luò)的維護(hù)工作變得非常方便和簡(jiǎn)樸，只需配備1個(gè)IP地址，即可管理多臺(tái)設(shè)備，不僅成倍節(jié)省了IP地址空間，并且維護(hù)和管理量也得到極大減少；提供圖形化的安全方略管理配備平臺(tái)，支持安全方略自動(dòng)同時(shí)下發(fā)、升級(jí)和維護(hù)功效，安全方略智能化，可大幅度提高交換機(jī)管理和配備效率，提高網(wǎng)絡(luò)安全；端口的VLAN自動(dòng)跳轉(zhuǎn)功效，無需網(wǎng)管員手工干預(yù)，即可將端口跳轉(zhuǎn)到顧客所在VLAN，實(shí)現(xiàn)顧客全網(wǎng)漫游上網(wǎng)，減輕設(shè)備配備和維護(hù)量；多端口同時(shí)監(jiān)控，通過一種端口即可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，能夠只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護(hù)效率；簡(jiǎn)樸網(wǎng)絡(luò)時(shí)間合同（SNTP）確保交換機(jī)時(shí)間的精確性，并與網(wǎng)絡(luò)中時(shí)間服務(wù)器時(shí)間統(tǒng)一化，方便日志信息和流量信息的分析、故障診療等管理；Syslog方便多個(gè)日志信息的統(tǒng)一收集、維護(hù)、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護(hù)和管理；CLI界面，方便高級(jí)顧客配備和使用；Java-basedWeb管理方式，實(shí)現(xiàn)對(duì)交換機(jī)的可視化圖形管理，快速和高效地配備設(shè)備。技術(shù)參數(shù)產(chǎn)品型號(hào)STAR-S2126GSTAR-S2150G固定端口24端口10/100自適應(yīng)48端口10/100自適應(yīng)模塊插槽2個(gè)擴(kuò)展插槽可用模塊M2121S：?jiǎn)慰?000BASE-SX模塊M2121L：?jiǎn)慰?000BASE-LX模塊M2121T：?jiǎn)慰?000BASE-TX模塊（支持10/100/1000M自適應(yīng)）M2101F：?jiǎn)慰?00BASE-FX模塊M2101F-S：?jiǎn)慰?00BASE-FXM2101T：?jiǎn)慰?00BASE-TX模塊M2131：堆疊模塊背板12.8Gbps18.5Gbps包轉(zhuǎn)發(fā)速率線速（6.6Mpps）線速（10.1Mpps）802.1qVLAN4KACL原則IPACL（基于IP地址的硬件ACL）、擴(kuò)展IPACL（基于IP地址、傳輸層端標(biāo)語的硬件ACL）、MAC擴(kuò)展ACL（基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL）、基于時(shí)間ACL、專家級(jí)ACL（可同時(shí)基于VLAN號(hào)、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端標(biāo)語、合同類型、時(shí)間靈活組合的硬件ACL)L2合同IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3、LLDP管理合同SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog、SNTP其它合同BOOTP/DHCPRelay、DNSClient尺寸（長(zhǎng)×寬×高）440mm×240mm×44mm440mm×300mm×44mm電源160VAC~240VAC，48Hz~60Hz溫度工作溫度：0℃到存儲(chǔ)溫度：-40oC到70oC濕度工作濕度：10%到90%RH存儲(chǔ)濕度：5%到90%RH典型應(yīng)用多個(gè)類型網(wǎng)絡(luò)的接入層需要靈活多樣的安全控制方略，防止和控制網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊、提供顧客接入安全等高性價(jià)比的千兆上鏈解決方案高密度端口需求，實(shí)現(xiàn)網(wǎng)絡(luò)彈性擴(kuò)展靈活的顧客帶寬分派靈活的顧客計(jì)費(fèi)確保語音、多媒體、視頻會(huì)議、視頻點(diǎn)播、遠(yuǎn)程教學(xué)等核心任務(wù)的應(yīng)用豐富的管理方略應(yīng)用，有效控制網(wǎng)絡(luò)訪問安全和端到端的QoS方略5.5流量統(tǒng)計(jì)設(shè)備選型闡明我們采用的是星網(wǎng)銳捷網(wǎng)絡(luò)公司的RG-NTD它是銳捷公司面對(duì)校園網(wǎng)、行業(yè)顧客開發(fā)的專業(yè)計(jì)費(fèi)網(wǎng)關(guān)設(shè)備。計(jì)費(fèi)方案作為校園網(wǎng)等整體解決方案，其中涉及以太網(wǎng)交換機(jī)，RG-SAM安全計(jì)費(fèi)管理軟件以及局域網(wǎng)認(rèn)證客戶端軟件suplicant等。RG-NTD作為重要設(shè)備之一，它對(duì)通過802.1x認(rèn)證顧客的以太網(wǎng)數(shù)據(jù)流進(jìn)行分類、統(tǒng)計(jì)并將統(tǒng)計(jì)后的數(shù)據(jù)發(fā)送給RG-SAM。RG-NTD的計(jì)費(fèi)功效必須配合使用RG-SAM安全計(jì)費(fèi)管理軟件。RG-NTD提供兩個(gè)10/100/1000M自適應(yīng)GEGigabitEthernet吉比特以太網(wǎng)接口。兩個(gè)10/100M自適應(yīng)FEFastEthernet快速以太網(wǎng)接口。RG-NTD支持將數(shù)據(jù)流進(jìn)行分類的流量計(jì)費(fèi)方略，向RG-SAM提供流量分類計(jì)費(fèi)的原始信息。RG-NTD支持旁路模式和穿透模式。重要性能支持穿透、旁路兩種工作模式。分類統(tǒng)計(jì)顧客數(shù)據(jù)流。支持集團(tuán)顧客應(yīng)用。支持轉(zhuǎn)發(fā)控制功效。支持web管理。支持串口管理。數(shù)據(jù)流分類概述數(shù)據(jù)流分類是按照顧客訪問的目的地址不同而將數(shù)據(jù)流分為若干種類例。例如能夠?qū)?guó)內(nèi)地址分成一類，將國(guó)外地址分成一類，將校內(nèi)地址分成一類。在RG-SAM上可根據(jù)不同類別的流指定不同的計(jì)費(fèi)方略。數(shù)據(jù)流分類配備現(xiàn)在RG-NTD支持6種數(shù)據(jù)流，分別是國(guó)內(nèi)上行流量，國(guó)內(nèi)下行流量，國(guó)外上行流量，國(guó)外下行流量，校內(nèi)上行流量，校外上行流量。進(jìn)行數(shù)據(jù)流分類需要配備IP對(duì)照表，RG-NTD通過將顧客數(shù)據(jù)流目的IP地址和IP對(duì)照表進(jìn)行比較，來判斷該數(shù)據(jù)流屬于哪一種類別。當(dāng)顧客數(shù)據(jù)流的IP地址在IP對(duì)照表種無法查到的時(shí)候，默認(rèn)數(shù)據(jù)流為國(guó)內(nèi)類別。數(shù)據(jù)流方向辨別RG-NTD通過GE口來接受數(shù)據(jù)流，RG-NTD含有穿透和旁路兩種工作模式。RG-NTD工作在穿透模式下，通過兩個(gè)GE口來定義流的方向。GE口的作用固定：其中一種用來接受局域網(wǎng)內(nèi)部的流量，一種用來接受局域網(wǎng)外部的流量。RG-NTD根據(jù)IP對(duì)照表和數(shù)據(jù)流的方向來判斷屬于上述6種數(shù)據(jù)流中的哪一種。RG-NTD工作在旁路模式下，通過一種GE口來接受數(shù)據(jù)流，數(shù)據(jù)流方向的辨別由RG-NTD本身來完畢。5.6防火墻設(shè)備選型闡明根據(jù)我院校園網(wǎng)建設(shè)的實(shí)際狀況，需要在東西校區(qū)網(wǎng)絡(luò)出口各布署一臺(tái)防火墻，為了滿足實(shí)際網(wǎng)絡(luò)的需要和將來的升級(jí)擴(kuò)展，該防火墻規(guī)定：高性能、提供入侵檢測(cè)功效、能夠防備攻擊和入侵等。根據(jù)具體狀況，我們采用銳捷千兆防火墻RG-WALL1200，該設(shè)備具體特點(diǎn)以下：RG-WALL防火墻是銳捷網(wǎng)絡(luò)采用獨(dú)創(chuàng)的分類算法（ClassificationAlgorithm）設(shè)計(jì)的新一代安全產(chǎn)品，支持?jǐn)U展的狀態(tài)檢測(cè)（StatefulInspection）技術(shù)，含有高性能的數(shù)據(jù)過濾傳輸功效；同時(shí)在啟用動(dòng)態(tài)端口應(yīng)用程序(如VoIP,H323等)時(shí)，可提供強(qiáng)有力的安全通道。采用銳捷網(wǎng)絡(luò)獨(dú)創(chuàng)的分類算法使得RG-WALL產(chǎn)品的高速性能不受方略數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會(huì)影響網(wǎng)絡(luò)速度；同時(shí)，RG-WALL在內(nèi)核層解決全部數(shù)據(jù)包的接受、分類、轉(zhuǎn)發(fā)工作，因此不會(huì)成為網(wǎng)絡(luò)流量的瓶頸。另外，RG-WALL含有入侵監(jiān)測(cè)功效，可判斷攻擊并且提供解決方法，且入侵監(jiān)測(cè)功效不會(huì)影響防火墻的性能。RG-WALL的重要功效涉及：擴(kuò)展的狀態(tài)檢測(cè)功效、防備入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功效和審計(jì)/報(bào)告等）附加功效。產(chǎn)品特性銳捷網(wǎng)絡(luò)私有的分類算法，性能不受規(guī)則數(shù)及會(huì)話數(shù)的影響在內(nèi)核層解決流量，極大減少應(yīng)用層的負(fù)荷多線程代理方式內(nèi)置入侵檢測(cè)功效，確保防火墻的安全運(yùn)行實(shí)時(shí)的狀態(tài)監(jiān)控功效，動(dòng)態(tài)過濾技術(shù)無需L4交換機(jī)，無需增加模塊就可實(shí)現(xiàn)Active-Active的高可用性解決方案支持網(wǎng)橋模式和路由模式以及NAT模式支持多個(gè)接口及VLAN，適合多個(gè)網(wǎng)絡(luò)構(gòu)造實(shí)現(xiàn)DNS分離功效，保護(hù)了內(nèi)部DNS構(gòu)造的安全性，也可為小型公司免去DNS的投資基于網(wǎng)絡(luò)IP和MAC地址綁定的包過濾

透明代理（TransparentProxy），URL級(jí)的信息過濾

流量控制管理，確保核心顧客，核心流量對(duì)網(wǎng)絡(luò)的使用工作模式的多樣性，能夠不影響現(xiàn)有網(wǎng)絡(luò)，快速投入使用可選加載VPN功效安全的網(wǎng)絡(luò)構(gòu)造和安全的體系構(gòu)造提供操作簡(jiǎn)樸的圖形化顧客界面對(duì)防火墻進(jìn)行配備技術(shù)參數(shù)RG-WALL1200千兆防火墻端口固化4個(gè)10/100/1000BaseT+2個(gè)千兆SX光口最大并發(fā)連接數(shù)1,500,000sessions吞吐量2.5Gbps最大方略數(shù)65,535尺寸原則19英寸寬度，2U電氣性能電源類型：AC100-240V/50-60Hz電源功率：350W工作環(huán)境操作環(huán)境：溫度0℃~40℃存儲(chǔ)環(huán)境：溫度-40℃~80℃技術(shù)性能MTBF（平均故障間隔時(shí)間）：≥100,000小時(shí)5.7入侵檢測(cè)系統(tǒng)選型闡明根據(jù)我院校園網(wǎng)建設(shè)的實(shí)際狀況，需要在東西校區(qū)新增的核心層各布署一臺(tái)入侵檢測(cè)系統(tǒng)，以配合實(shí)現(xiàn)整個(gè)學(xué)校的全網(wǎng)安全。為了滿足實(shí)際網(wǎng)絡(luò)的需要和將來的升級(jí)擴(kuò)展，該IPS規(guī)定：含有感知功效、能夠識(shí)別并阻斷網(wǎng)絡(luò)層和應(yīng)用層的攻擊等。我們采用銳捷千兆入侵檢測(cè)系統(tǒng)RG-IPS1000，該設(shè)備具體特點(diǎn)以下：銳捷RG-IPS是銳捷網(wǎng)絡(luò)針對(duì)公司網(wǎng)顧客推出的入侵防御系統(tǒng)（IntrusionPreventionSystem）。RG-IPS集成了應(yīng)用層感知能力，通過研究解決安全事件在攻擊對(duì)顧客網(wǎng)絡(luò)造成影響之前就有效的識(shí)別了并阻斷網(wǎng)絡(luò)層和應(yīng)用層攻擊，最小化攻擊所帶來的損失。通過布署RG-IPS，某些未被授權(quán)的應(yīng)用程序如P2P應(yīng)用或IM即時(shí)通訊軟件更容易被網(wǎng)絡(luò)識(shí)別并被強(qiáng)制執(zhí)行既定的規(guī)則，從而讓既定的顧客規(guī)則得到較好的實(shí)施確保。通過集中的基于規(guī)則的管理機(jī)制，RG-IPS提供更為精細(xì)粒度的訪問控制，這樣為審計(jì)網(wǎng)絡(luò)行為提供了更精確的數(shù)據(jù)。顯然，RG-IPS是保護(hù)顧客核心資源的強(qiáng)有力武器。產(chǎn)品特性RG-IPS集成特性匹配、合同分析和流量分析的功效，含有業(yè)內(nèi)最完備的特性代碼庫(kù)，提供特性代碼自定義和報(bào)告機(jī)制，有效的對(duì)網(wǎng)絡(luò)攻擊實(shí)施阻斷達(dá)成防護(hù)的目的。1、基于特性分析的檢測(cè)RG-IPS集成了超出條通過認(rèn)真檢測(cè)與時(shí)間考驗(yàn)的攻擊特性，特性匹配技術(shù)根據(jù)攻擊的特性模式對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行匹配。它通過識(shí)別多個(gè)攻擊的特性值并按照規(guī)范寫成檢測(cè)規(guī)則，在合同交互的特定階段，對(duì)接受到的數(shù)據(jù)包的內(nèi)容逐個(gè)進(jìn)行規(guī)則匹配分析，如果對(duì)內(nèi)容的搜索能夠匹配上一條或多條規(guī)則，則認(rèn)為是發(fā)生了一次攻擊。RG-IPS系統(tǒng)支持多個(gè)高效的模式匹配算法，并且通過專有的算法實(shí)現(xiàn)這些匹配，能夠高效地檢測(cè)已知特性的病毒、蠕蟲、木馬等攻擊。2、基于合同異常分析的檢測(cè)基于合同異常分析的檢測(cè)，重要是針對(duì)網(wǎng)絡(luò)合同本身，以及各個(gè)應(yīng)用系統(tǒng)在實(shí)現(xiàn)上的缺點(diǎn)而提出來的，RG-IPS進(jìn)一步分析了靠近100種的應(yīng)用層合同，涉及HTTP、FTP、SMTP以及木馬、后門、P2P應(yīng)用、IM即時(shí)消息系統(tǒng)、網(wǎng)絡(luò)在線游戲等等常見應(yīng)用，極大地提高檢測(cè)的精確性，減少誤報(bào)率。RG-IPS含有強(qiáng)有力的合同異常分析引擎，對(duì)檢測(cè)未知的溢出攻擊與回絕服務(wù)攻擊，達(dá)成靠近100%的檢測(cè)精確率和幾乎為零的誤報(bào)率。3、基于流量異常的檢測(cè)抵抗DoS攻擊流量異常分析的檢測(cè)是基于網(wǎng)絡(luò)流量分類統(tǒng)計(jì)的辦法對(duì)被保護(hù)的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)，超出正常流量閾值的數(shù)據(jù)流將被認(rèn)為是非法流量，RG-IPS能夠精確檢測(cè)SYNFlood、ICMPFlood、ConnectionFlood、NullStreamFlood等多個(gè)回絕服務(wù)攻擊并能夠進(jìn)行有效的防御保護(hù)。另外，RG-IPS能夠與網(wǎng)絡(luò)安全交換機(jī)實(shí)現(xiàn)聯(lián)動(dòng)，主動(dòng)發(fā)現(xiàn)危險(xiǎn)所在的精確位置，并對(duì)其進(jìn)行隔離，達(dá)成立刻識(shí)別并補(bǔ)救惡意威脅，在入口處布署時(shí)可保護(hù)內(nèi)部網(wǎng)絡(luò)，抵抗可能發(fā)生的網(wǎng)絡(luò)攻擊。在管理方面，RG-IPS靈活、易用的圖形化安全管理工具，提供種類繁多的可視化安全報(bào)告，可發(fā)明基于任意安全事件的客戶化報(bào)告。技術(shù)參數(shù)性能表RG-IPS1000性能吞吐量2G并發(fā)會(huì)話數(shù)1,500,000sessions每秒新建會(huì)話20,000sessions/sec硬件參數(shù)RG-IPS1000CPUPentiumXeon2.4Ghz內(nèi)存1GBHD40G網(wǎng)絡(luò)接口10/100BASE-T(FastEthernet)01000BASE-T(GigaEthernet)21000BASE-SX(OpticalEthernet)2CONSOLE-DB91外觀批示燈Power,Status尺寸415ⅹ502ⅹ88重量10．1Kg供電510W工作環(huán)境溫度5~45濕度20~80%5.8出口路由器設(shè)備選型闡明根據(jù)我院校園網(wǎng)建設(shè)的實(shí)際狀況，需要在東西校區(qū)網(wǎng)絡(luò)出口各布署一臺(tái)高性能路由器，為了滿足實(shí)際網(wǎng)絡(luò)的需要和將來的升級(jí)擴(kuò)展，該路由器規(guī)定：高性能、提供強(qiáng)大的路由功效、提供硬件的NAT功效等。我們采用銳捷高端多業(yè)務(wù)路由器RSR-08E，該設(shè)備具體特點(diǎn)以下：RSR-08E提供豐富的IP/MPLS特性及卓越的性能，是在中型POP點(diǎn)提供安全可靠的網(wǎng)絡(luò)業(yè)務(wù)的抱負(fù)產(chǎn)品，能夠用作公司總部、公司骨干、高性能園區(qū)邊界路由器。RSR-08E路由器擁有三個(gè)獨(dú)特的硬件模塊,專門用于控制層面、轉(zhuǎn)發(fā)層面和業(yè)務(wù)層面。轉(zhuǎn)發(fā)及服務(wù)層面涉及可編程的ASIC，控制層面涉及一種專用解決器,該解決器運(yùn)行著模塊化、安全、高可用的RGNOS系統(tǒng)。這種架構(gòu)可確保在高轉(zhuǎn)發(fā)性能的前提下提供豐富的數(shù)據(jù)包解決性能，同時(shí)能提供運(yùn)行商級(jí)別的安全性、可用性及穩(wěn)定性。銳捷RSR-08E采用全冗余硬件架構(gòu)，且含有自動(dòng)故障切換及聯(lián)機(jī)軟件升級(jí)（ISSU）等特性。RSR-08E支持硬件加速的NAT、MPLS、QoS、組播、狀態(tài)防火墻及大型過濾表等豐富特性，是構(gòu)建安全可信新網(wǎng)絡(luò)的基石。RSR-08E路由器重要應(yīng)用在電信運(yùn)行商以及政府、金融、教育、電力、公司顧客市場(chǎng)的網(wǎng)絡(luò)建設(shè)。產(chǎn)品特性一、新型業(yè)務(wù)模式全方面的VPN業(yè)務(wù)可滿足最多的客戶需求,最大程度提高供應(yīng)商收入；同時(shí)運(yùn)行第2層虛擬電路、第2層VPN、第2.5層互通VPN、第3層2547VPN、VPLS、IPSec、IPoverIP和GRE等；擴(kuò)展性高,可支持成千上萬的VPN；含有低延遲、低抖動(dòng)性能的高精度QoS,可支持話音、視頻及其它實(shí)時(shí)應(yīng)用；按DLCI、VP、VC、VLAN、信道(DS0)和端口QoS；分類、速率限制、整形、加權(quán)循環(huán)調(diào)度、嚴(yán)格優(yōu)先級(jí)調(diào)度、加權(quán)隨機(jī)早期檢測(cè)、隨機(jī)早期檢測(cè)和數(shù)據(jù)包標(biāo)記；第2層(802.1p、CLP、DE)映射到第3層QoS(IPDSCP、MPLSEXP)；基于硬件的IPv6性能、MPLSIPv6、IPv6overIPv4GRE隧道、IPv6/IPv4雙棧；強(qiáng)大的組播支持涉及IGMPv1/v2/v3、PIM-SM、PIM-DM、MLD、SSM、RP、MSDP、BSR以及MPLS/BGPVPN中的組播,以高效運(yùn)用資源、傳輸高價(jià)值內(nèi)容；基于網(wǎng)絡(luò)的安全業(yè)務(wù)涉及NAT和狀態(tài)防火墻、以及按VRF的NAT和狀態(tài)防火墻；用于匯聚鏈路的MLPPP、MLFR.15和MLFR.16,802.3ad；運(yùn)用Flow記帳、源級(jí)使用以及目的級(jí)使用特性,可按應(yīng)用和CoS資源使用靈活計(jì)費(fèi),以及基于距離的計(jì)費(fèi)；通過合作伙伴關(guān)系實(shí)現(xiàn)多廠商網(wǎng)絡(luò)管理解決方案；基于XML的ScriptAPI便于第三方和內(nèi)部OSS開發(fā)。二、廣泛地提供業(yè)務(wù)特性豐富的RGNOS軟件在平臺(tái)上運(yùn)行,確保一致的業(yè)務(wù),并使供應(yīng)商可獨(dú)立于連接或服務(wù)地區(qū)密度向全部顧客推出全部業(yè)務(wù)；可通過任何接入技術(shù),涉及ATM、FR、以太網(wǎng)和TDM連接；速度范疇可從DS0到OC-192/STM-64；減少運(yùn)行成本；可無縫遷移到更大的平臺(tái),以適應(yīng)網(wǎng)絡(luò)的增加。三、低投入高產(chǎn)出的基礎(chǔ)設(shè)施業(yè)務(wù)構(gòu)建可完全隔離控制層面、轉(zhuǎn)發(fā)層面和業(yè)務(wù)層面,可在單一平臺(tái)支持多個(gè)業(yè)務(wù)；在盡量減少資本開支和運(yùn)行開支的同時(shí),最大程度提高收入；將以前由NAT、狀態(tài)型防火墻、IPSec和QoS等不同設(shè)備執(zhí)行的功效整合到銳捷RSR-04E平臺(tái)中；在單一平