5教学办公网解决方案文档格式.docx

1、5.1.1RG-S2126S千兆智能交换机 65.1.2RG-S3760系列双协议栈多层交换机 95.2办公网 115.2.1RG-S2900系列全千兆安全智能交换机 11第六章 IP地址规划 13附件： 13RG-S2126S 13RG-S3760-24 14RG-S3760-48 14RG-S3760-12SFP/GT 14RG-S2924G参数描述 16RG-S2927XG参数描述 16RG-S2951XG参数描述 16第一章 需求分析1.1安全性“安全、可信”是现在业界都很关心的一个问题，对于我们教学办公网来说，“安全可信”的网络环境也是最重要的问题。例如，我们平常学习中常用的图书馆资

2、源。各个学校都已经购买了一定数量的数据库或建立国外镜像站点，这些资源是有偿的且十分昂贵的，如果这些资源非法流失，这对于校方来说，将会是巨大的损失，而且极有可能直接导致与数据库厂商之间出现纠纷。现在网络中的病毒十分猖獗，“DOS攻击”、“DDOS攻击”、“ARP病毒”等对网络的危害。我们教学中的主机电脑就很容易受到这些攻击，这样严重的影响了我们的教学秩序，给各位同学带了很大的损失。经过业界权威的调查统计，“移动存储介质”是病毒传播最有效的方法之一，在平常老师的办公，学生的实验中，经常使用移动的存储设备，这使得病毒的蔓延更快。1.2可管理性 在学校的教学楼、实验室、图书馆中有着大量的主机，这些主机

3、都是有我们有限的网管在负责，工作量大。可以想象，如果没有一个统一的管理平台，我们的管理员如何能将在机房中运筹帷幄，使得整个网络系统顺畅的运行呢？而面对如此繁多的网络设备，错综复杂的网络环境，简单方便的网络管理系统成为了网络管理员的工作利器。一个简单方便的网络管理系统能大大简化网络管理员的工作，从而提高他的工作效率，也可使其时时观测到网络内各台设备的情况，在出现故障时，第一时间找到故障点，能大大缩短由于网络原因造成整个教学办公网的业务中断的时间。1.3可扩展性我们的教学办公网在初期的设计中往往会忽略信息点的分布，造成有些人无法上网。因此，在设备上做好预留工作的同时，有线网与无线网的相结合是很重要

4、的解决方案。例如，图书馆中一般都会有学术报告厅或大型会议室，其物理结构布局使得布线工程变的十分烦琐，而且现在很多的科研人员及专家教授都会拥有支持无线笔记本，这时提供无线接入将给听众以及演讲者带来极大的方便，也能充分显示出图书馆建设的专业性。1.4访问随时性我们的老师同学们平常在家中可能需要登入到图书馆的数据库中查找些资源。如何能提供远程的访问为大家提供方便，是我们需考虑的重要议题。VPN技术可以有效的解决这个问题。第二章 GSN安全解决方案介绍业界领先的GSN全局安全方案，能统一对接入层交换机做动态下发安全策略，轻松有效的控制网络病毒，使网络保持畅通。结合网络攻击检测系统，能够抵御日益增多的内

5、部网络攻击，并且自动对用户做出相应的控制动作，保证网络安全。 GSN系统实现，由IDS旁路侦测各区块的数据，对于发现异常（网络攻击、蠕虫病毒、漏洞攻击、后门供给、邮件木马等）数据及通知SMP安全策略平台，SMP平台最终通过SAM联动楼栋汇聚或接入交换机，对异常数据流或异常客户端进行阻断。将安全事件全局性的控制在接入层范围内。这一方案目前在包括集美大学在内的各高校取得了较好的应用效果，例证之一就是：盛极一时并造成巨大影响的熊猫烧香病毒，在这些学校都悄然无声。 此外，通过部署GSN全局安全，还能轻松的进行主机信息获取；实现主机完整性（HI）规则（通过一系列规则的定义，约定了对用户主机的准入标准）；

6、利用先进的“免疫性”ARP防病毒防攻击技术，彻底解决ARP木马等病毒/攻击带来的网络中断事故的影响。第三章 拓扑方案介绍第四章 方案分析4.1在图书馆跟办公区启用统一的身份准入控制及详细的日志审计 首先，能够安全认证到桌面。采用六元素的自动绑定、静态绑定、动态绑定相结合，可以确保用户入网时身份唯一，并且避免了IP冲突。其次，实现了管理分级授权。不同职能的管理者使用同一套系统时可以得到不同的操作界面以及使用权限，避免了管理的安全隐患。 最后，详细的日志审计功能记录用户上网的详细信息（包括用户名、IP、MAC等）及完整的用户访问外网的记录（包括源IP、目的IP、源端口、目的端口、访问时间），一旦出

7、现安全事件，可以进行快速完整的审计，迅速定位到个人。4.2设备本身的安全防护能力 以上选用的锐捷的各系列交换机RG-S5760、RG-S3760、RG-S2900、RG-S2100支持丰富的安全防护能力，包括防DOS攻击 （Smurf、Synflood），防IP扫描 （PingSweep），防源IP地址欺骗 （Source IP Spoofing）、防ARP欺骗、防病毒、带宽控制等功能。4.3端到端QOS从接入层交换机到核心设备，全面覆盖端口速率限制，应用流分类识别，关键业务流量带宽保证等多层交换质量保证。 基于交换机时间、物理端口、MAC地址、IP地址、TCP/UDP端口号的应用流分类识别和

8、带宽限速机制，完成了高校全网端到端的QOS保证。4.4多种接入方式在图书馆，办公网，教学网中基础采用有线的接入方式；在图书馆，办公网中同时采用无线的接入方式；在校外采用VPN的接入方式。4.5易管理 1） 全网设备统一管理 全网拓扑发现以及对事件、性能、日志的统一管理，可以方便的对全网设备统一管理，运筹帷幄决胜于千里之外。2） 接入时段管理 通过对日常、周末以及节日的一次性设置，轻松灵活管理用户能够使用网络的时段，提高用户管理的力度。3） 自动升级客户端 通过统一的一次性配置，使得所有用户的客户端自动进行升级，大大简化了管理者及使用者的负担，使得上网更为轻松第五章 设备介绍 在学生宿舍网中，我

9、们已经介绍了RG-S5760。在无线解决方案中介绍了RG-P-720。在这不再重复介绍。5.1教学区网络在教学区中，老师和同学们对流量的要求不会太高。访问网络主要是有时需流量些页面。因此，无需用较高端的设备保障。在接入层使用RG-S2100系列交换机，且采用堆叠技术来增加带宽跟端口，提高设备的性能。在汇聚层使用RG-S3760可以完全保证流量的汇聚跟策略的控制。5.1.1RG-S2126S千兆智能交换机RG-S2126S是一款全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，并可以实施灵活多样的ACL访问控制。可通过SNMP、Telnet、Web和Cons

10、ole口等多种方式提供丰富的管理。S2126S以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。高性能 高背板带宽为所有的端口提供非阻塞性能；灵活多样的安全控制 通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化地使用网络，如端口安全、端口隔离、硬件ACL控制、端口ARP报文的合法性检查、基于数据流的带宽限速、六元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求； 硬件实现端口与MAC地址和用户IP地址的灵活绑定，严格限定端口上用户接入

11、； 通过将端口设为保护端口，即可简单方便地隔离用户之间信息互通，不必占用VLAN资源，同时又无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能，充分保护用户隐私； 实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等多元素之间的灵活任意绑定，有效确认用户合法性和唯一性； 通过锐捷安全计费管理平台SAM，不仅可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户身份的合法性和唯一性，更能通过交换机特色硬件动态绑定，保障用户身份始终一致性，避免了用户恶意篡改身份信息进行非法攻击等行为；专用的硬件防范ARP网关和ARP主机欺骗

12、功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网； 支持DHCP Relay，更可支持DHCP Option 82，可方便实现对IP地址的精确分配和控制，支持DHCP Snooping，可有效防范动静态分配IP地址环境下的ARP欺骗问题； 提供极为有效的Port Blocking功能，避免和阻止端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口的负载负担，提高端口带宽，保护用户PC更高效安全地运行； 基于源IP地址控制的Telnet和Web设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；SSH（Secure Sh

13、ell）和SNMPv3技术可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；完善的QoS策略 支持802.1P、DSCP、端口优先级、IP TOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务；极灵活的带宽控制能力，可以基于交换机端口、MAC地址、IP地址、协议、应用组合进行带宽限速，限速粒度精细：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口，可根据网络安全需求，设定

14、不同业务应用的带宽流量，满足按需所用。丰富的组播特性支持业界特有的IGMP源端口检查，有效杜绝非法组播源播放和大量占用大量网络带宽，提高网络安全性； 支持和识别IGMPv1/v2和IGMPv3全部版本的组播报文，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。高可靠性 支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道。方便易用易管理强大的菊花链式堆叠，保证网络的高度灵活和可扩展，网络管理更加简单； 独特的集群管理，通过一台命令交换机可管理多达20台的S21系列交换机，无论交换

15、机是否在同一配线间和布线室；强大的集群管理方式使得网络的维护工作变得非常方便和简单，只需配置1个IP地址，即可管理多台设备，不仅成倍节省了IP地址空间，而且维护和管理量也得到极大降低；多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率； 支持端口环路检测，可快速检测端口下联出现环路的情况，并能自动将有环路端口关闭和定时启动，保障了网络的可靠；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员进行网络维护和管理；CLI界面，方便高级用户配置和使用； Java-based Web管理方式，实现对交换机的可视

16、化图形界面管理，快速和高效地配置设备。产品选择 产品型号描述RG-S2126S24口10/100M交换机，两个扩展槽，可上100M、1000M光纤/电口模块，支持堆叠M2131堆叠模块（附赠1根堆叠线缆）4）堆叠技术介绍 堆叠是指将一台以上的交换机组合起来共同工作，以便在有限的空间内提供尽可能多的端口。多台交换机经过堆叠形成一个堆叠单元。堆叠可以大大提高交换机端口密度和性能。堆叠单元具有足以匹敌大型机架式交换机的端口密度和性能，而投资却比机架式交换机便宜得多，实现起来也灵活得多。这就是堆叠得优势所在。 汇聚层设备选用RG-S37605.1.2RG-S3760系列双协议栈多层交换机RG-S376

17、0系列是锐捷网络推出的业界第一款硬件全面支持IPv6的机架式多层交换机系列产品。该系列产品为IPv4网络的建设、IPv4向IPv6网络过渡、以及IPv6网络的建设和通信提供了最直接和最方便灵活的技术实现和方案保障。RG-S3760系列交换机硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，并提供了丰富而完善的路由协议，以适合大型网络多种路由和多业务的需要。RG-S3760系列交换机在提供高性能、多业务的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网

18、络资源，充分保障网络安全、网络合理化使用和运营。高性能IPv4/IPv6双栈协议多层交换硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和 ISATAP隧道等等，可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信方案；双协议栈的支持和处理，使得无需改变网络架构，即可将现有网络无缝地升级为下一代IPv6方案； 丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由需要； 基于LPM硬件路由转发方式使得RG-S3760系列不仅适用于大型网络环境，而且可防御各种网络病毒的侵袭，

19、保障所有报文线速转发，有效保证了设备的安全性。灵活完备的安全控制策略 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色； 业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全； 硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题； 专用的硬件

20、防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网； SSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备； 控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。强大的多应用支持能力 支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进行大量多播服务的环境，实现网络的可扩展和多业务应用； 支持IGMP

21、v1/v2/v3全部版本，适应不同组播环境，满足组播安全应用的需要； 支持丰富的路由协议如等价路由、权重路由等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。 以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑； 具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。 支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网

22、络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率； 支持VRRP虚拟路由器冗余协议，有效保障网络稳定； 支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。 RG-S3760-24灵活复用的千兆接口形式，可灵活满足需要多个千兆链路上链、或多个千兆服务器的连接，方便用户灵活选择和网络扩展； RG-S3760-12SFP/GT的SFP和电口任意选用的架构设计，可选配多种规格千兆接口模块，支持千兆铜缆、单/多模光纤接口模块的混合配置，支持模块热插拔，极大方便用户灵活配置和扩展网络；网络时间协议

23、保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理； Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理； CLI界面，方便高级用户配置和使用；Java-based Web管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。5.2办公网在接入层中选用RG-S2900系列交换机5.2.1RG-S2900系列全千兆安全智能交换机 高背板带宽为所有端口提供线速的交换能力，并提供万兆扩展和万兆堆叠，满足数据流量和多媒体业务日益增长的需要。业界领先的硬件CPU保护机制 CPU安全屏障保护：特有的CP

24、U保护策略（CPP），对发往CPU的数据流，进行流区分和优先级队列分级处理，并实施带宽限速，充分保护CPU不被非法流量占用、恶意者攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全。灵活完备的安全接入和访问控制 多种内置安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口安全、专家级ACL、时间ACL、基于应用数据流的带宽限速、多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求； 硬件实现端口与用户IP地址和MAC地址的绑定，严格限定端口上用户接入； 可灵活控制二七层数据报文，使得任何一个用户PC上的任何一种

25、应用报文通过网络都能得到有效控制，充分保障了网络的安全和合理化使用； 支持硬件IPv6 ACL，满足从接入到核心的全网IPv6建设和发展； 通过锐捷SAM平台，可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等多元素之间的灵活任意绑定，有效确认用户的合法性和唯一性。 支持802.1P、DSCP、端口优先级、IP TOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，可根据网络不同的业务应用、和所需要的服务质量特性，提供服务； 支持基于IPv6的服务质量保证，可在IPv6环境下识别出不同的应用，并提供不同的服务

26、质量，确保关键业务的带宽。 极为精细灵活的带宽控制能力，可以基于交换机端口、MAC地址、IP地址、VLAN ID、协议、应用组合进行带宽限速，限速粒度精细，最低可达64Kbps粒度，可根据网络安全需求和业务发展，设定不同业务应用的带宽流量，满足按需所用，实现网络带宽合理化应用。灵活可靠的万兆混合堆叠 S2900系列交换机支持设备的混合堆叠，方便提供灵活的端口数量组合； 提供可靠的万兆冗余堆叠组合，在万兆冗余堆叠的基础上，能同时提供万兆上链，满足高性能、高带宽的需要，方便网络发展和规模扩大； 支持硬件堆叠QoS，保证在网络拥塞、网络攻击等网络环境恶劣的情况下，依然能正常管理堆叠组成员，保证堆叠设

27、备的正常运营。 支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率。 可监听IGMP v1/v2/v3全部版本组播报文，适应不同组播环境，满足组播安全应用的需要； 多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率； 支持IPv6网管特性，可直接通过IPv6管理到网络边缘，SNMPv6使全网统一IPv6管理成为可能。 支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象； 网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理； Java-based Web管理方式，实现对交换机的可视化图形管理，快速和高效地配置设备。第六章 IP地址规划各区用户接入的IP地址教学310172.16.60.0172.16.60.1172.16.63.251172.16.63.255图书馆320172.16.64.0172.16.64.1172.16.65.251172.16.65.255330172.16.66.0172.16.66.1172.16.67.251172.16.67.255340172.16.68.0172.16.68.