大型园区网络设计方案.docx

1、大型园区网络设计方案西南交通大学组网设计方案大型园区网络西南交大一队第一章 概述.、八 、一前言在二十一世纪教育改革中， 世界各国都在加快教育现代化的步伐， 其信息化程度的高低 已成为当今世界衡量一个国家综合国力的重要标志。中国教育信息化在经过过去几年的建设后， 国家教育科研网（CERNE）骨干已基本建成。大部分高校也已建设了自己的校园网络， 对校内提供 ISP 服务。国家要求在今后 5年内完成 教育上网， 即所有高校、 职业学校、 中学和小学拥有自己的校园网，并建设校园网将各个校 区互联并提供与国家教育科研网和各运营商互联的接口。总体设计原则1. 先进性原则： 计算机网络的先进性将通过网络构

2、架的先进性、 硬件设备的先进性、 传 输速率和协议选择、信息系统的先进性来体现。2. 实用性原则： 采用的技术路线、产品应经过实践检验， 被证明是成熟可靠的，设计结 果能满足客户的需求并且行之有效。3. 可靠性原则： 校园计算机网络的可靠性将通过选择能可靠运行的网络结构、 选择可靠 的网络和计算机硬件设备，以及选择可靠的网络操作系统和信息应用系统来体现。4. 安全性原则：通过加强内部访问控制和外部访问控制两方面来保证网络和信息安全。5开放性原则：采用标准通用的网络协议和信息传递方式，保证系统的开放性。6. 易管理性原则： 从网络的结构和网络设备的易管理性来体现。 网管员可以在网络的任意端口通过

3、Web对设备进行管控，设备的所有端口的状态都会实时地显示出来。 控制整个网络安全高效地运行。7. 经济性原则： 相对国防、金融等机构， 学校对网络建设的投入显然较低， 这就要求建 成的网络经济实用，具备很高的性能价格比 ; 在技术性能和价格的平衡中，技术性能优先， 兼顾价格校园网网络设计需求1 网络的应用1、 大容量的教学资源库、课件资源库。2、 Web E-MAIL、FTP、BBS视频服务器、数据库服务器的应用。3、 办公自动化及办公收发文系统。4、 远程教育服务。5、 各种流媒体和各种应用平台服务6、 Intranet 以及 Internet 技术应用。2 校园网络主干校园网络主要涉及 4

4、0 栋大楼：网络中心设在大楼 1。集团共20个部门，分别在 A B、C D楼各5各，每个部门用户数在 100个左右。1主干采用千兆以太网，到桌面 10/100 兆自适应连接；2. 接入交换机至大楼交换机之间采用 1000M互连；3. 大楼交换机至核心交换机之间采用 1000M互联；4. 分别通过两个路由器连接到教育科研网 CERNE和chinanet，实现与INTERNET勺互 联。5. 内部网络采用 Intranet 应用模式架构整个应用信息系统6. 骨干网技术要求1） 满足对多媒体数据勺要求，避免主干网络瓶颈勺出现；2） 提供子网划分、虚拟网技术和能力，解决内部网络勺路由，实现较高勺内部路

5、由性能；3） 具有高可靠性；4） 保证传输的服务质量，提供必要的服务质量（QOS）服务级别（COS）和服务类型（TOS）等；5） 主干交换机的背叛交换容量不小于 50G;6） 高性能价格比。7. 布线系统技术要求1） 布线系统全部采用符合国家标准或国际标准的产品进行完全的结构化布线；2） 在较好性能价格比的情况下， 布线的标准适当超前， 整个系统应提供 15年以上的 质量保证；3） 楼宇之间根据距离远近采用多模（ MMF或单模（SMF光纤，大楼内部采用 5类双绞线4） 集团内部各个建筑物都有 1 对 8 芯的单模光纤连接到主建筑物（即网络中心所在地），8. 网络管理技术要求1） 基于开放的校园

6、网系统，应当支持集成化的 SNMP及 CMIP应用，能够全面管理TCP/IP 网络设备，并且提供面向目标的图形管理接口和 API 编程接口；2） 网络管理员可以通过网络管理工作站，借助图形化的界面，可以对网络上的设备进行监控和集中式管理，只要对网络软件进行配置，不必到现场进行实际操作，就能重新构造网络；3) 提供方便、安全、可靠的故障和维护管理、安全管理、性能管理、统计管理、计费管理等基本管理功能。9系统安全控制技术要求1) Internet 的安全控制应提供地址转换、被动监厅、端口扫描和否认服务等机制、 ，同时划分不同级别的安全区域；2) 远程访问的安全控制应提供访问服务器的用户身份认证、

7、用户授权及用户记账 / 审计等功能；3) 应提供对整个网络和工作站进行侦独、解毒和清毒等工作，防范计算机病毒。3 网络流量学校现有师生 15000 人，以后用户还会增多，并有多个计算机局域网，初步估计上 网高峰时约有 20000 台计算机需同时使用集团网络。另外还考虑到视频会议以及文件服 务得需求所以设计计算机网络系统应充分考虑每个用户的带宽和系统的响应时间。其计 算机网络的建设应达到：网络传输速度高，不能有信息传输瓶颈，信息处理效率高，系 统响应时间短，每个用户都有较高的带宽。技术方案综述通过对集团网络建设项目系统现状和对整个网络系统建设需求的了解，以万兆主干 网络为基础平台，以集团网应用为

8、主线 , 以实现办公自动化、资源共享、实时新闻发布、 财务电算化和集中式的供应链管理系统和客户服务关系管理系统为目的，我公司推荐如 下主要技术方案：采用锐捷网络公司的交换机产品来构造集团内部网络：网络核心交换机采用RG-S8600系列高密度多业务IPV6核心路由交换机；大楼汇聚交换机采用 RG-S5750系列 安全智能万兆多层交换机；接入交换机采用 RG-S2126S千兆增强网管交换机。第二章 网络系统设计方案描述桌面接入交换机采用 RG-S2126S并通过五类双绞线连接，汇聚层交换机采用 RG-S5750并通过千兆光纤连接，核心交换机采用两个 RG-S8600并通过千兆光纤连接，在核心交换机

9、之间采用10G光纤构成冗余线路。通过一台核心交换机和两台路由器 RSR-08相连采用10G光纤，之间由RG-WALL16O0防火墙进行安全保障。其中一台路由接入 cernet 台路由接入chinanet 。设备选型接入层交换机产品概述RG-S2126S是 一款全线速可堆叠千兆智能交换机， 提供智能的流分类和完善的服务质量(QoS以及组播管理特性，并可以实施灵活多样的 ACL访问控制。可通过 SNMP Tel net、Web和Con sole 口等多种方式提供丰富的管理。 S2126S以极高的性价比为各类型网络提供完 善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全

10、、 智能的企业网新需求。产品特性高性能高背板带宽为所有的端口提供非阻塞性能；灵活多样的安全控制通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击， 控制非法用户使用网络， 保 证合法用户合理化地使用网络，如端口安全、端口隔离、硬件 ACL控制、端口 ARP报文的合法性检查、基于数据流的带宽限速、六元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信 的需求；硬件实现端口与 MAC地址和用户IP地址的灵活绑定，严格限定端口上用户接入；通过将端口设为保护端口，即可简单方便地隔离用户之间信息互通，不必占用 VLA N资源，同时又无需利用安全规则资源即能达到隔离不同用户以及

11、不同组用户之间通讯的功能，充分保护用户隐私；实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等多元素之间的灵活任意绑定，有效 确认用户合法性和唯一性；通过锐捷安全计费管理平台 SAM不仅可实现用户账号、 MAC地址、IP地址、交换机IP、交换机端 口等六大元素之间的灵活任意绑定，有效确认用户身份的合法性和唯一性，更能通过交换机特色硬件动态 绑定，保障用户身份始终一致性，避免了用户恶意篡改身份信息进行非法攻击等行为；专用的硬件防范 ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的 ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网；支持 DHCPRelay ，更可支持

12、 DHCP Option 82，可方便实现对 IP 地址的精确分配和控制，并可通过 交换机硬件ARP检查，可有效防范动态分配 IP地址环境下的ARP欺骗问题；提供极为有效的 Port Blocking 功能，避免和阻止端口受到其它端口发送的广播包、多播包等报文 的干扰，有效减轻端口的负载负担，提高端口带宽，保护用户 PC更高效安全地运行；基于源IP地址控制的Telnet和Web设备访问控制，避免非法人员和黑客恶意攻击和控制设备， 增强了设备网管的安全性；SSH( Secure Shell )和SNMPV技术可以通过在 Telnet和SNMP进程中加密管理信息，保证管理设 备信息的安全性，防止黑

13、客攻击和控制设备； 完善的QoS策略支持、DSCR端口优先级、IP TOS、二到七层流过滤等 QoS策略，具备MAC流、IP流、应用流等 多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不 同应用所需要的服务质量特性，提供服务；极灵活的带宽控制能力，可以基于交换机端口、 MAC地址、IP地址、协议、应用组合进行带宽限速， 限速粒度精细：1Mbps( 128KE)粒度/百兆端口、8Mbps (1024KB)粒度/千兆端口，可根据网络安全需求， 设定不同业务应用的带宽流量，满足按需所用。丰富的组播特性支持业界特有的IGMP源端口检查，有效杜绝非法组播源播放

14、和大量占用大量网络带宽，提高网络 安全性；支持和识别IGMPv1/v2和IGMPV3全部版本的组播报文，适应不同组播环境，避免非法的组播数据 流占用网络带宽，满足组播安全应用的需要。高可靠性支持生成树协议、 、，完全保证快速收敛， 提高容错能力， 保证网络的稳定运行和链路的负载均衡， 合理使用网络通道。方便易用易管理强大的菊花链式堆叠，保证网络的高度灵活和可扩展，网络管理更加简单；独特的集群管理，通过一台命令交换机可管理多达 20台的S21系列交换机，无论交换机是否在同一配线间和布线室；强大的集群管理方式使得网络的维护工作变得非常方便和简单，只需配置 1 个 IP 地址，即可管理多台设备，不仅

15、成倍节省了 IP 地址空间，而且维护和管理量也得到极大降低；多端口同步监控， 通过一个端口即可同时监控多个端口的数据流， 可以只监控输入帧或只监控输出 帧或双向帧，大大提高维护效率；支持端口环路检测， 可快速检测端口下联出现环路的情况， 并能自动将有环路端口关闭和定时启动， 保障了网络的可靠；Syslog 方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员进行网络维护 和管理；CLI 界面，方便高级用户配置和使用；Java-based Web 管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。产品参数产品型号RG-S2126S固定端口24端口 10/100自适应

16、模块插槽2个扩展插槽可用模块单口 1000BASE-SX 模块单口 1000BASE-LX 模块单口 1000BASE-TX 模块（支持 10/100/1000M 自适应）单口 100BASE-FX 模块单口 100BASE-FX单模模块单口 100BASE-TX 模块堆叠模块包转发速率线速VLAN4KACL标准IP ACL （基于IP地址的硬件 ACL）、扩展IP ACL （基于IP地址、传输层端口号的硬件 ACL）、MAC扩展ACL （基于源 MAC地址、目的 MAC地址和可选的以太网类型的硬件ACL）、L2协议、 （GVRP）、 IGMP Sno op ing v1/v2/v3管理协议S

17、NMPv1/v2C/v3、Web(JAVA)、CLI(TeInet/Console) 、RMON(1,2,3,9)、集群、SSH Syslog其它协议BOOTP/DHCP Relay DNS Client尺寸（长X宽X 高）440 X 240 X 44mm电源160VAC240VAC 48Hz60Hz温度工作温度： 0C到45 C存储温度：-40 o C到70 o C湿度工作湿度：10% 到90% RH存储湿度：5%至U 90% RH 适用场合可满足多种应用需求：高性价比的千兆上链解决方案高密度端口需求，实现网络弹性扩展高安全接入控制灵活的用户带宽分配灵活的用户计费保证语音、组播音视频服务及视

18、频点播等关键任务的应用丰富的管理策略应用，有效控制网络访问和端到端的 QoS策略 典型应用等。大中型网络接入层 小型网络接入层汇聚层交换机产品概述RG-S5750系列是锐捷网络推出的融合了高性能、 高安全、多智能、易用性的新一代万兆机架式多层交换机。该系列交换机提供的接口形式和组合非常灵活，即可以提供 24个或 48个 10/100/1000M 自适应的 千兆电口，又可以提供有 24个SFP千兆光口，又能提供 PoE远程供电的接口。每种产品型号都配合提供了灵活的复用千兆口， 满足网络建设中不同传输介质的连接需要。 同时为满足网络的弹性扩展，和高带宽传输需要，可灵活弹性扩展多种类型的万兆模块和万

19、兆堆叠模块。中型网络核心， 以及数据中心服务器群的特别适合高带宽、 高性能和灵活扩展的大型网络汇聚层， 接入使用。以适合大型网络多种路由该系列交换机硬件支持多层线速交换， 并提供了丰富而完善的路由协议， 和高性能的需要。RG-S5750系列交换机提供二到七层的智能的业务流分类、完善的服务质量( QoS保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户接入管理能力，更可有效防止和 控制病毒传播和网络攻击，控制非法用户接入网络，保证合法用户合理地使用网络资源，并可以根据网络 实际使用环境，实施灵活多样的安全控制策略，充分保障了网络安全、网络合理化使用和运营。RG-S57

20、50系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供 了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、 智能的企业网需求。产品特性高性能 IPv4/IPv6 双协议栈多层交换高背板带宽为所有的端口提供非阻塞性能；丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要，特别是支持 ECMP/WCM(PEqual-Cost Multipath Routing/ Weight-Cost Multipath Routing )，确保了各骨干网络链路的充分使用，大大增加了网络传输带宽，而且可以无时延无丢包地备份失效链路的

21、数据传输；硬件支持 IPv4/IPv6 双协议栈多层线速交换， 硬件区分和处理 IPv4 、IPv6 协议报文，支持多种 Tunnel 隧道技术（如手工配置隧道、 6to4 隧道和 ISATAP 隧道等，可根据 IPv6 网络的需求规划和网络现状，提供 灵活的 IPv6 网络间通信方案；双协议栈的支持和处理， 使得无需改变网络架构， 即可将现有网络无缝地升级为下一代 IPv6 方案；基于LPM硬件路由转发方式使得 RG-S5750系列不仅适用于大型网络环境，而且可防御各种网络病 毒的侵袭，保障所有报文的线速转发，有效保证了设备的安全性；硬件支持多层线速交换， 能够识别二到七层的应用业务流， 所

22、有端口都具有单独的数据包过滤、 区 分不同应用流，并根据不同的应用流进行不同的策略管理和控制。灵活完备的安全控制具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防 Dos 攻击、防黑客 IP 扫描等，还网络一片绿色；业界领先的硬件 CPU保护机制：特有的 CPU保护策略（CPP技术），对发往CPU的数据流，进行流 区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护 CPU不被非法流量占用、恶意攻击和资源消耗，保障了 CPU安全，充分保护了交换机的安全；硬件实现端口或交换机整机与用户 IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；保护端

23、口不必占用 VLAN资源，即可非常方便地隔离用户之间信息互通， 充分保护用户信息的安全；支持DHCP snooping，可只允许信任端口的 DHCH向应，防止私设 DHCP Server的欺骗；并在 DHCP 监听的基础上，通过动态监测 ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范 ARP 欺骗和用户源 IP 地址的欺骗问题；基于源IP地址控制的Telnet和Web设备访问控制，避免非法人员和黑客恶意攻击和控制设备， 增 强了设备网管的安全性；SSH（ Secure Shell ）和SNMPv3确保在Telnet和SNMPt程中加密管理信息，保证交换机管理信息 的安全性，

24、防止黑客攻击和控制设备；控制非法用户接入网络，保证合法用户合理化使用网络，如端口安全、端口隔离、专家级 ACL时间ACL、基于应用数据流的带宽限速、多元素绑定等等，满足企业和校园网加强对访问者进行控制、阻止 非授权用户通信的需求。丰富的组播特性支持各种单播和组播动态路由协议， 可适应不同的网络规模和需要进行大量组播服务的环境， 实现 网络的可扩展和多业务应用；支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的安全性;支持IGMPv1/v2和IGMPv3全部版本，适应不同组播环境，避免非法的组播数据流占用网络带宽， 满足组播安全应用的需要。完善的QoS策略以DiffServ

25、标准为核心的 QoS保障系统，支持、IP TOS二到七层流过滤、SP WRF等完整的QoS 策略，实现基于全网系统多业务的 QoS逻辑；具备MAC流、IP流、应用流等多层的流分类和流控制能力，实现按照业务流进行带宽控制、转发 优先级等多种流策略，限速粒度精细，千兆端口粒度达 64Kbps，万兆端口粒度达1Mbps,支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。高可靠性支持生成树协议、 、，完全保证快速收敛， 提高容错能力， 保证网络的稳定运行和链路的负载均衡， 合理使用网络通道，提供冗余链路利用率；支持VRRP虚拟路由器冗余协议，有效保障网络稳定；支持RLDP可快速检测链

26、路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端 口下因私接Hub等设备形成的环路而导致网络故障的现象。方便易用易管理灵活复用的多种千兆接口形式， 可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接， 方便用 户灵活选择线缆；为满足网络弹性扩展和高带宽传输需要， 简单选配多种类型的万兆模块， 网络即可平滑升级到万兆 上链骨干；为方便安装地点或建筑物不适宜部署外部电源的环境， RG-S5750系列交换机特别提供支持 PoE功能的产品型号，即通过双绞线就可以向远端下挂的 PD设备供电，如无线 AP、IP Phone、视频监控等设备，方便了任何符合 IEEE 标准的终端设备的接入，实现

27、以太网集中供电，以满足金融、企业、学校、医院、 工厂等用户实现 VoIP、远程监控、无线 AP等网络应用的需要；SNTP（简单网络时间协议）保证交换机时间的准确性，并与网络中时间服务器的时间统一化，方便 日志信息和流量信息的分析、故障诊断等管理；Syslog 方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；多端口同步监控， 通过一个端口即可同时监控多个端口的数据流， 可以只监控输入帧或只监控输出 帧或双向帧，大大提高维护效率；CLI 界面，方便高级用户配置和使用；Java-based Web管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。技术

28、参数技术参数产品型号RG-S5750-24GT/12SFPRG-S5750S-24GT/12SFPRG-S5750P-24GT/12SFPRG-S5750-24SFP/12GTRG-S5750-48GT/4SFPRG-S5750S-48GT/4SFP固定端口24端口 10/100/10 00M自适应 端口，12 个复用的SFP接口，2个扩展槽24端口10/100/1000M 自适应端口，12个复用的 SFP接口，2个扩展槽24端口 10/100/10 00M自适应 端口（支持PoE远程供电），12 个复用的SFP接 口，2个扩展槽24 个 SFP接口，12 个复用的10/100/10 00M自

29、适应端口，2个 扩展槽48端口10/100/1000M 自适应端口，4个复用的SFP接口，2个扩展槽48端口10/100/1000M 自适应端口，4个复用的SFP接口，2个扩展槽可用模块万兆扩展模块，万兆堆叠模块，万兆光纤模块， SFP光纤模块包转发速率L2:线速L3:线速L2:线速L3:线速VLAN支持4K个VLANACL标准IP ACL （基于IP地址的硬件 ACL、扩展IP ACL （基于IP地址、TCP/UDP端口号的硬件 ACL）、MAC扩展ACL（基于源MAC!址、目的MAC地址和可选的以太网类型的硬件 ACI）、基于时间ACL专家级ACLL可同时基于 VLAN号、以太网类型、MA

30、C!址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件 ACI）L2协议、 （GVRP）、IGMPSnooping v1/v2/v3、RLDPIEEE （S5750P产品型号）L3协议IPv6、OSPFv1/v2、OSPFv3 ECMP/WCMFRIPv1/v2、PIM ( DM/SM/SSM、DVMRPVRRP IGMPv1/v2/v3IPv6 协议支持ICMPv6 IPv6动态路由协议 OSPFv3支持多种 Tunnel隧道技术（如手工配置隧道、6to4隧道和ISATAP隧道等）DefeatDoSAttack支持DefeatIP Scan支持管理协议SNMPv1/v2c/v3、Web(JAVA) CLI(Telnet/Console) 、RMON(1,2,3,9)、SSHSNTP NTP SyslogJumboFrame支持其它协议Super VLAN、Private VLAN、Protocol VLAN、QinQ、DHCP Server、DHCFRelay、DHCP Client、DHCP Snooping、免费 ARP DNS Client尺寸（长X宽X 高）440 X 435 X 44mm440 X 420 X 44mm电源176VAC264VA