西南交通大学
组网设计方案
大型园区网络
西南交大一队
第一章 概述
1.1前言
在二十一世纪教育改革中,世界各国都在加快教育现代化的步伐,其信息化程度的高低已成为当今世界衡量一个国家综合国力的重要标志。
1 / 62
大型园区网络设计方案
中国教育信息化在经过过去几年的建设后,国家教育科研网(CERNET)骨干已基本建成。大部分高校也已建设了自己的校园网络,对校内提供ISP服务。国家要求在今后5年内完成教育上网,即所有高校、职业学校、中学和小学拥有自己的校园网,并建设校园网将各个校区互联并提供与国家教育科研网和各运营商互联的接口。 1.2总体设计原则
1.先进性原则:计算机网络的先进性将通过网络构架的先进性、硬件设备的先进性、传输速率和协议选择、信息系统的先进性来体现。
2.实用性原则:采用的技术路线、产品应经过实践检验,被证明是成熟可靠的,设计结果能满足客户的需求并且行之有效。
3.可靠性原则:校园计算机网络的可靠性将通过选择能可靠运行的网络结构、选择可靠的网络和计算机硬件设备,以与选择可靠的网络操作系统和信息应用系统来体现。
4.安全性原则:通过加强内部访问控制和外部访问控制两方面来保证网络和信息安全。
5.开放性原则:采用标准通用的网络协议和信息传递方式,保证系统的开放性。
6.易管理性原则:从网络的结构和网络设备的易管理性来体现。网管员可以在网络的任意端口通过Web对设备进行管控,设备的所有端口的状态都会实时地显示出来。控制整个网络安全高效地运行。
2 / 62
大型园区网络设计方案
7.经济性原则:相对国防、金融等机构,学校对网络建设的投入显然较低,这就要求建成的网络经济实用,具备很高的性能价格比;在技术性能和价格的平衡中,技术性能优先,兼顾价格 1.3校园网网络设计需求 1网络的应用
1、 大容量的教学资源库、课件资源库。
2、 Web、E-MAIL、视频服务器、数据库服务器的应用。 3、 办公自动化与办公收发文系统。 4、 远程教育服务。
5、 各种流媒体和各种应用平台服务 6、 Intranet
以与Internet技术应用。
2校园网络主干
校园网络主要涉与40栋大楼:网络中心设在大楼1。
集团共20个部门,分别在A、B、C、D楼各5各,每个部门用户数在100个左右。
1.主干采用千兆以太网,到桌面10/100兆自适应连接; 2.接入交换机至大楼交换机之间采用1000M互连; 3.大楼交换机至核心交换机之间采用1000M互联;
4.分别通过两个路由器连接到教育科研网CERNET和chinanet,实现与INTERNET的互联。
5.内部网络采用Intranet应用模式架构整个应用信息系统 6.骨干网技术要求
1) 满足对多媒体数据的要求,避免主干网络瓶颈的出现;
3 / 62
大型园区网络设计方案
2) 提供子网划分、虚拟网技术和能力,解决内部网络的路由,实现较高的内部路由性能; 3) 具有高可靠性;
4) 保证传输的服务质量,提供必要的服务质量(QOS)、服务级别(COS)和服务类型(TOS)等;
5) 主干交换机的背叛交换容量不小于50G; 6) 高性能价格比。 7.布线系统技术要求
1) 布线系统全部采用符合国家标准或国际标准的产品进行完全的结构化布线;
2) 在较好性能价格比的情况下,布线的标准适当超前,整个系统应提供15年以上的质量保证;
3) 楼宇之间根据距离远近采用多模(MMF)或单模(SMF)光纤,大楼内部采用5类双绞线
4)集团内部各个建筑物都有1对8芯的单模光纤连接到主建筑物(即网络中心所在地), 8.网络管理技术要求
1) 基于开放的校园网系统,应当支持集成化的SNMP与CMIP应用,能够全面管理TCP/IP网络设备,并且提供面向目标的图形管理接口和API编程接口;
2) 网络管理员可以通过网络管理工作站,借助图形化的界面,可以对网络上的设备进行监控和集中式管理,只要对网络软件进行配
4 / 62
大型园区网络设计方案
置,不必到现场进行实际操作,就能重新构造网络;
3) 提供方便、安全、可靠的故障和维护管理、安全管理、性能管理、统计管理、计费管理等基本管理功能。 9.系统安全控制技术要求
1) Internet的安全控制应提供地址转换、被动监厅、端口扫描和否认服务等机制、,同时划分不同级别的安全区域;
2) 远程访问的安全控制应提供访问服务器的用户身份认证、用户授权与用户记账/审计等功能;
3) 应提供对整个网络和工作站进行侦独、解毒和清毒等工作,防范计算机病毒。
3网络流量
学校现有师生15000人,以后用户还会增多,并有多个计算机局域网,初步估计上网高峰时约有20000台计算机需同时使用集团网络。另外还考虑到视频会议以与文件服务得需求所以设计计算机网络系统应充分考虑每个用户的带宽和系统的响应时间。其计算机网络的建设应达到:网络传输速度高,不能有信息传输瓶颈,信息处理效率高,系统响应时间短,每个用户都有较高的带宽。 1.4技术方案综述
通过对集团网络建设项目系统现状和对整个网络系统建设需求的了解,以万兆主干网络为基础平台,以集团网应用为主线,以实现办公自动化、资源共享、实时新闻发布、
财务电算化和集中式的供应链管理系统和客户服务关系管理系统为目
5 / 62
大型园区网络设计方案
的,我公司推荐如下主要技术方案:
采用锐捷网络公司的交换机产品来构造集团内部网络:网络核心交换机采用RG-S8600系列高密度多业务IPV6核心路由交换机;大楼汇聚交换机采用RG-S5750系列安全智能万兆多层交换机;接入交换机采用RG-S2126S千兆增强网管交换机。
第二章 网络系统设计
2.1方案描述
桌面接入交换机采用RG-S2126S并通过五类双绞线连接,汇聚层交换机采用RG-S5750并通过千兆光纤连接,核心交换机采用两个RG-S8600并通过千兆光纤连接,在核心交换机之间采用10G光纤构成冗余线路。通过一台核心交换机和两台路由器RSR-08相连采用10G光纤,之间由RG-WALL1600防火墙进行安全保障。其中一台路由接入cernet一台路由接入chinanet。 2.2设备选型 接入层交换机
产品概述
RG-S2126S是一款全线速可堆叠千兆智能交换机,提供智能的流分类和完善的服务质量(QoS)以与组播管理特性,并可以实施灵活多样的
6 / 62
大型园区网络设计方案
ACL访问控制。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。S2126S以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网新需求。 产品特性 高性能
高背板带宽为所有的端口提供非阻塞性能; 灵活多样的安全控制
通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化地使用网络,如端口安全、端口隔离、硬件ACL控制、端口ARP报文的合法性检查、基于数据流的带宽限速、六元素绑定等,满足企业网、校园网加强对访问者进行控制、非授权用户通信的需求;
硬件实现端口与MAC地址和用户IP地址的灵活绑定,严格限定端口上用户接入;
通过将端口设为保护端口,即可简单方便地隔离用户之间信息互通,不必占用VLAN资源,同时又无需利用安全规则资源即能达到隔离不同用户以与不同组用户之间通讯的功能,充分保护用户隐私;
7 / 62
大型园区网络设计方案
实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等多元素之间的灵活任意绑定,有效确认用户合法性和唯一性;
通过锐捷安全计费管理平台SAM,不仅可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户身份的合法性和唯一性,更能通过交换机特色硬件动态绑定,保障用户身份始终一致性,避免了用户恶意篡改身份信息进行非法攻击等行为;
专用的硬件防范ARP网关和ARP主机欺骗功能,有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了用户的正常上网; 支持DHCP Relay,更可支持DHCP Option 82,可方便实现对IP地址的精确分配和控制,并可通过交换机硬件ARP检查,可有效防范动态分配IP地址环境下的ARP欺骗问题;
提供极为有效的Port Blocking功能,避免和阻止端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口的负载负担,提高端口带宽,保护用户PC更高效安全地运行;
基于源IP地址控制的Telnet和Web设备访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性;
8 / 62
大型园区网络设计方案
SSH(Secure Shell)和SNMPv3技术可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备;
完善的QoS策略
支持802.1P、DSCP、端口优先级、IP TOS、二到七层流过滤等QoS策略,具备MAC流、IP流、应用流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以与不同应用所需要的服务质量特性,提供服务;
极灵活的带宽控制能力,可以基于交换机端口、MAC地址、IP地址、协议、应用组合进行带宽限速,限速粒度精细:1Mbps(128KB)粒度/百兆端口、8Mbps(1024KB)粒度/千兆端口,可根据网络安全需求,设定不同业务应用的带宽流量,满足按需所用。 丰富的组播特性
支持业界特有的IGMP源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性;
支持和识别IGMPv1/v2和IGMPv3全部版本的组播报文,适应不同组播环境,避免非法的组播数据流占用网络带宽,满足组播安全应用的需要。 高可靠性
9 / 62
大型园区网络设计方案
支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道。 方便易用易管理
强大的菊花链式堆叠,保证网络的高度灵活和可扩展,网络管理更加简单;
独特的集群管理,通过一台命令交换机可管理多达20台的S21系列交换机,无论交换机是否在同一配线间和布线室;
强大的集群管理方式使得网络的维护工作变得非常方便和简单,只需配置1个IP地址,即可管理多台设备,不仅成倍节省了IP地址空间,而且维护和管理量也得到极大降低;
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;
支持端口环路检测,可快速检测端口下联出现环路的情况,并能自动将有环路端口关闭和定时启动,保障了网络的可靠;
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员进行网络维护和管理;
CLI界面,方便高级用户配置和使用;
10 / 62
大型园区网络设计方案
Java-based Web管理方式,实现对交换机的可视化图形界面管理,快速和高效地配置设备。 产品参数 产品型号 固定端口 模块插槽 可用模块 RG-S2126S 24端口10/100自适应 2个扩展插槽 单口1000BASE-SX模块 单口1000BASE-LX模块 单口1000BASE-TX模块(支持10/100/1000M自适应) 单口100BASE-FX模块 单口100BASE-FX单模模块 单口100BASE-TX模块 堆叠模块 包转发速率 802.1q VLAN ACL 线速 4K 标准IP ACL(基于IP地址的硬件ACL)、 扩展IP ACL(基于IP地址、传输层端口号的硬件ACL)、 MAC扩展ACL(基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL)、 L2协议 IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、11 / 62
大型园区网络设计方案
IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3 管理协议 SNMPv1/v2C/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog 其它协议 BOOTP/DHCP Relay、DNS Client 尺寸(长× 宽× 440 ×240 ×44mm 高) 电源 温度 160VAC~240VAC,48Hz~60Hz 工作温度: 0℃ 到 45℃ 存储温度:-40ºC 到 70ºC 湿度 工作湿度: 10% 到 90% RH 存储湿度: 5% 到 90% RH ● 适用场合
可满足多种应用需求:
高性价比的千兆上链解决方案 高密度端口需求,实现网络弹性扩展 高安全接入控制 灵活的用户带宽分配
12 / 62
大型园区网络设计方案
灵活的用户计费
保证语音、组播音视频服务与视频点播等关键任务的应用 丰富的管理策略应用,有效控制网络访问和端到端的QoS策略 ● 典型应用
RG-S2126S的组网形式非常灵活,适用各种类型网络的接入层,如教育、金融、大中小企业、等。 · 大中型网络接入层 · 小型网络接入层 汇聚层交换机
产品概述
RG-S5750系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。
13 / 62
大型园区网络设计方案
该系列交换机提供的接口形式和组合非常灵活,即可以提供24个或48个10/100/1000M自适应的千兆电口,又可以提供有24个SFP千兆光口,又能提供PoE远程供电的接口。
每种产品型号都配合提供了灵活的复用千兆口,满足网络建设中不同传输介质的连接需要。同时为满足网络的弹性扩展,和高带宽传输需要,可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块。
特别适合高带宽、高性能和灵活扩展的大型网络汇聚层,中型网络核心,以与数据中心服务器群的接入使用。
该系列交换机硬件支持多层线速交换,并提供了丰富而完善的路由协议,以适合大型网络多种路由和高性能的需要。
RG-S5750系列交换机提供二到七层的智能的业务流分类、完善的服务质量(QoS)保证和组播应用管理特性。在提供高性能、多智能的同时,其内在的安全防御机制和用户接入管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入网络,保证合法用户合理地使用网络资源,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,充分保障了网络安全、网络合理化使用和运营。
RG-S5750系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网需求。
14 / 62
大型园区网络设计方案
产品特性
高性能IPv4/IPv6双协议栈多层交换
高背板带宽为所有的端口提供非阻塞性能;
丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要,特别是支持ECMP/WCMP(Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing),确保了各骨干网络链路的充分使用,大大增加了网络传输带宽,而且可以无时延无丢包地备份失效链路的数据传输;
硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和 ISATAP隧道等,可根据IPv6网络的需求规划和网络现状,提供灵活的IPv6网络间通信方案;
双协议栈的支持和处理,使得无需改变网络架构,即可将现有网络无缝地升级为下一代IPv6方案;
基于LPM硬件路由转发方式使得RG-S5750系列不仅适用于大型网络环境,而且可防御各种网络病毒的侵袭,保障所有报文的线速转发,有效保证了设备的安全性;
15 / 62
大型园区网络设计方案
硬件支持多层线速交换,能够识别二到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的应用流进行不同的策略管理和控制。 灵活完备的安全控制
具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防Dos攻击、防黑客IP扫描等,还网络一片绿色;
业界领先的硬件CPU保护机制:特有的CPU保护策略(CPP技术),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全;
硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问题;
保护端口不必占用VLAN资源,即可非常方便地隔离用户之间信息互通,充分保护用户信息的安全;
支持DHCP snooping,可只允许信任端口的DHCP响应,防止私设DHCP Server的欺骗;并在DHCP监听的基础上,通过动态监测ARP和检查用户的IP,直接丢弃不符合绑定表项的非法报文,有效防范ARP欺骗和用户源IP地址的欺骗问题;
16 / 62
大型园区网络设计方案
基于源IP地址控制的Telnet和Web设备访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性;
SSH(Secure Shell)和SNMPv3确保在Telnet和SNMP进程中加密管理信息,保证交换机管理信息的安全性,防止黑客攻击和控制设备; 控制非法用户接入网络,保证合法用户合理化使用网络,如端口安全、端口隔离、专家级ACL、时间ACL、基于应用数据流的带宽限速、多元素绑定等等,满足企业和校园网加强对访问者进行控制、阻止非授权用户通信的需求。 丰富的组播特性
支持各种单播和组播动态路由协议,可适应不同的网络规模和需要进行大量组播服务的环境,实现网络的可扩展和多业务应用;
支持IGMP源端口和源IP检查功能,有效地杜绝非法的组播源,提高网络的安全性;
支持IGMPv1/v2和IGMPv3全部版本,适应不同组播环境,避免非法的组播数据流占用网络带宽,满足组播安全应用的需要。 完善的QoS策略
17 / 62
大型园区网络设计方案
以DiffServ标准为核心的QoS保障系统,支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;
具备MAC流、IP流、应用流等多层的流分类和流控制能力,实现按照业务流进行带宽控制、转发优先级等多种流策略,限速粒度精细,千兆端口粒度达Kbps,万兆端口粒度达1Mbps,支持网络根据不同的应用、以与不同应用所需要的服务质量特性,提供服务。 高可靠性
支持生成树协议802.1D、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;
支持VRRP虚拟路由器冗余协议,有效保障网络稳定;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。 方便易用易管理
灵活复用的多种千兆接口形式,可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接,方便用户灵活选择线缆;
18 / 62
大型园区网络设计方案
为满足网络弹性扩展和高带宽传输需要,简单选配多种类型的万兆模块,网络即可平滑升级到万兆上链骨干;
为方便安装地点或建筑物不适宜部署外部电源的环境,RG-S5750系列交换机特别提供支持PoE功能的产品型号,即通过双绞线就可以向远端下挂的PD设备供电,如无线AP、IP Phone、视频监控等设备,方便了任何符合IEEE 802.3af标准的终端设备的接入,实现以太网集中供电,以满足金融、企业、学校、医院、工厂等用户实现VoIP、远程监控、无线AP等网络应用的需要;
SNTP(简单网络时间协议)保证交换机时间的准确性,并与网络中时间服务器的时间统一化,方便日志信息和流量信息的分析、故障诊断等管理;
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率; CLI界面,方便高级用户配置和使用;
Java-based Web管理方式,实现对交换机的可视化图形界面管理,快速和高效地配置设备。 技术参数
19 / 62
大型园区网络设计方案
技术参数 产品型号 RG-S5750-24GT/12SFP RG-SRG-S55750750P-S-2424GT/RG-S5750-24SFP/RG-SRG-S57505750-48GT/4SFP 24端口24个10/100/1000M自适应端口(支持PoESFP接48端口S-48GT/4SFP 48端口10/100/1000M自适应GT/112SFP 12GT 2SFP 固定端口 24端口24端10/100/1000M自适应端口10/100/1000口,1210/1个复用的10/100/1000M自适应端00/1000M自适应口,12M自个复用的SFP适应端口,远程供电),端口,端口,4个复用的SFP4个复用的SFP接口,212个个扩展槽 复用的SFP12个复口,2用的SFP接个扩展槽 接口,口,22个扩展槽 20 / 62
接口,接口,2个扩展槽 2个扩展槽 个扩展槽 大型园区网络设计方案
可用模块 包转发速率 VLAN ACL 标准IP ACL(基于IP地址的硬件ACL)、 扩展IP ACL(基于IP地址、TCP/UDP端口号的硬件ACL)、 MAC扩展ACL(基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL)、 基于时间ACL、 专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL) L2协议 IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.3af、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q (GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3、RLDP、IEEE 802.3af21 / 62
万兆扩展模块,万兆堆叠模块,万兆光纤模块,SFP光纤模块 L2:线速 L3:线速 L2:线速 L3:线速 支持4K个802.1Q VLAN 大型园区网络设计方案
(S5750P产品型号) L3协议 IPv6、OSPFv1/v2、OSPFv3、ECMP/WCMP、RIPv1/v2、PIM(DM/SM/SSM)、DVMRP、VRRP、IGMPv1/v2/v3 IPv6协议 支持ICMPv6、IPv6动态路由协议OSPFv3、支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和 ISATAP隧道等) Defeat DoS Attack Defeat IP Scan 管理协议 SNMPv1/v2c/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、SNTP、NTP、Syslog Jumb支持 o Frame 22 / 62
支持 支持 大型园区网络设计方案
其它协议 Super VLAN、Private VLAN、Protocol VLAN、QinQ、DHCP Server、DHCP Relay、DHCP Client、DHCP Snooping、免费ARP、DNS Client 尺寸(长× 宽×高) 电源 176VAC~2VAC 48Hz~60Hz 功耗(满70W S5750P在所有端口外接PD情况120W 440×435×44mm 440×420×44mm 负荷) 下<460W 温度 工作温度: 0ºC 到 45ºC 存储温度: -40ºC 到 70ºC 湿度 工作湿度: 10% 到 90% RH 存储湿度: 5% 到 90% RH 典型应用 适用场合
大型网络的汇聚层、中小型网络的核心、服务器群的接入、大型企业或园区办公楼栋的全千兆接入
通过简单地增加万兆模块即可以平滑地升级为万兆上链骨干网,保护用
23 / 62
大型园区网络设计方案
户投资
需要能灵活多样的千兆端口形式和千兆端口数的场合,提供高性能数据处理
需要高性能的多层交换解决方案
丰富的安全管理机制,提供网络安全防御、高安全接入控制和有效网络访问控制
完善的管理策略应用,帮助管理带宽、保证语音、组播音视频服务与视频点播等关键任务的应用 典型应用
● 大型网络汇聚 · 万兆骨干校园网
RG-S5750系列交换机用于学校各教学科研、图书馆、学生宿舍各楼栋,千兆下连楼层接入交换机,万兆上链各区域的区核心交换机,为接入用户提供高性能的万兆骨干链路,满足接入信息点不断扩充和信息量日益增加的需要。
· 安全金融局域网
采用功能模块区的层次划分,通过锐捷RG-S8600,RG¬S6800E,RG-S5750提供的业界最强大安全防护功能,可以为金融一级分行提供满
24 / 62
大型园区网络设计方案
足新形势下的一级分行信息系统对网络安全的要求,并配合数据中心建立全行一体化的网络安全体系,实施完善的一级分行辖内网络安全项目。 在安全防护的基础上,RG-S5750的高性能、高可靠性和灵活的QoS策略更可为金融局域网提供稳定智能的网络环境。
1、 利用VRRP、802.1S等技术提供接入交换机和核心交换机之间的负载均衡和冗余备分,满足金融机构极高的网络稳定需求。
2、 提供灵活的流分类和QOS技术,满足金融网络重要业务的带宽保证和性能要求。
3、 RG-S5750强大的路由处理性能,满足金融网络环境路由设计复杂条件下的高性能需求。 ● 中小型网络核心
核心交换机使用锐捷网络安全智能万兆多层交换机
RG-S5750S-24GT/12SFP,高背板带宽和线速的包转发速率,可以满足中小学校和中小企业的各种应用需求,灵活多样的千兆接口(24个千兆电口和灵活复用的12个SFP光纤接口),用于连接各分点接入交换机和服务器的接入需要。
● 大型企业或园区网的接入
S5750系列交换机上行通过万兆或千兆连接锐捷的多业务IPv6核心路由交换机S8600系列,核心设备通过万兆或多千兆链路聚合相连;S5750
25 / 62
大型园区网络设计方案
系列向下通过千兆连接桌面工作组,实现全千兆三层到桌面,并且可以通过万兆弹性堆叠提供端口的无缝扩容,满足网络的灵活扩展。 核心交换机
产品概述
RG-S8600是锐捷网络推出的面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机,满足未来以太网络的应用需求,支持下一代的以太网100G速率接口,提供10竖插槽设计和6横插槽设计两种主机:RG-S8606和RG-S8610。
RG-S8600系列高密度多业务IPV6核心路由交换机提供3.2T/1.6T背板带宽,并支持将来更高带宽的扩展能力,高达1190Mpps/595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。 RG-S8600系列高密度多业务IPV6核心路由交换机提供全面的安全防护体系,提供分布式的业务融合平台,满足未来网络对安全和业务的更高需求。 产品特性
26 / 62
大型园区网络设计方案
● 强大的处理能力
RG-S8600系列万兆核心路由交换机提供3.2T/1.6T背板带宽,并支持将来更高带宽的扩展能力,提供1190Mpps/595Mpps的数据转发能力,每线卡提供高达200G的交换能力,满足高密度的千兆/万兆端口线速转发,并且支持未来100G接口的扩展。 ● 强大的安全稳定保障 1、关键部件的安全稳定:
主机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。
两个管理模块之间支持负载均衡工作模式 ,可支持主备和并发两种工作模式,提供更为强大的冗余能力和处理性能。
主机监控显示屏可直接显示交换机名、CPU利用率、内存利用率、管理模块与线卡温度、风扇和电源工作状态、持续工作时间等,提供与时的设备关键状态查看,提升系统安全稳定的维护能力。
主机实时检测CPU的使用状态,并提供业界领先的硬件CPU保护技术(CPP,Control Plane Policy),CPP技术对发往CPU的数据进行流区分和流限速,避免非法攻击包对CPU的攻击和资源消耗。 2、病毒和攻击防护:
27 / 62
大型园区网络设计方案
采用硬件方式提供多种安全防护能力,例如防DDOS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。
提供业界最为强大的ACL特性,基于SPOH技术提供IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术,支持IPV4/IPV6双栈下的输入输出ACL。
提供线卡分布式的IPFIX监控技术,与时发现网络中的异常流量,有助于提早发现网络中病毒和攻击等不安全行为,并通过流量监控技术提供的详细异常流量数据信息,识别攻击源或攻击手段。
支持同时启用多组的多端口同步监控技术,并且支持灵活的输入、输出、双向数据镜像,满足灵活的网络监控需求,提升网络监控能力。 3、设备管理安全:
提供SSHv1/v2的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁;
Telnet/Web登录的源IP功能,避免非法人员对网络设备的管理; SNMPV3提供加密和鉴别功能,可以确保数据从合法的数据源发出,确保数据在传输过程中不被篡改,并且加密报文,确保数据的机密性。 4、接入安全:
28 / 62
大型园区网络设计方案
硬件支持IP、MAC、端口绑定,提高用户接入控制能力; 支持802.1X技术,满足6元素绑定接入;
支持IGMP源端口检查、源IP检查、IGMP过滤等功能,可有效控制非法组播源,提高网络安全;
IGMP V3支持通告客户端主机希望接收的多播源服务器的地址,避免非法的组播数据流占用网络带宽;
通过PVLAN(端口保护)隔离用户之间信息互通,不必占用VLAN资源;
支持根据带宽速率或带宽百分比进行未知名报文、多播包、广播包进行控制;
端口MAC地址锁、MAC地址过滤、端口MAC地址接入数量功能可以屏蔽非法主机的接入和非法数据包进入网络。 ● 丰富的应用支持技术 1、提供完善的各种QOS技术
灵活的流分类:除了根据IP Precedence、802.1P、DSCP进行流分类,还可以根据专家级ACL、IP扩展ACL、IP标准ACL、MAC扩展ACL等进行流分类;
29 / 62
大型园区网络设计方案
多种队列技术:Urgent Queue、Protocol Queue、硬件队列、FIFO、PQ、CQ;
拥塞管理和控制技术:SP、RR、WRR、DRR、SP+WRR、SP+DRR、CBQ、WFQ、CBWFQ、LLQ、WRED、CAR、LR(In\\Out)、Traffic Shaping(GTS)、HOL、RSVP等。
2、提供多种组播支持技术,包括IGMP snooping、IGMP、PIM(SSM、SM、DM),DVMRP,保证了网络中提供组播服务时的带宽合理占用,同时提供支持IGMP源端口检查、源IP检查、IGMP过滤功能等屏蔽非法组播源。
3、线卡分布式提供硬件的IPV6、MPLS/VPLS、策略路由、IPFIX等业务处理能力,提供支持POE功能的多种线卡。
● 支持领先的万兆以太网技术(IEEE 802.3ae、IEEE 802.3ak、IEEE 802.3an)
万兆以太网采用了IEEE802.3以太网媒体访问控制(MAC)协议、IEEE802.3以太网帧格式,以与IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步,采用全双工技术,不需要应用低速的、半双工的CSMA/CD协议。在其他方面,万兆以太网保留了初期以太网模型的精髓,因而可以和现有以太网环境无缝融合,支持客户已有应用。
30 / 62
大型园区网络设计方案
RG-S8600全面支持万兆局域网传输标准:10GBASE-R(IEEE 802.3ae)、10GBASE-W(IEEE 802.3ae)、10GBASE-LX4(IEEE 802.3ae)、10GBASE-CX4(IEEE 802.3ak)、10BGASE-T(IEEE 802.3an),五种传输标准在数据链路层以上都相同,差别在于物理层。
10GBASE-R、10GBASE-CX4、10GBASE-T用于传统的以太网环境,10GBASE-R采用光纤作为传输介质,10GBASE-CX4采用同轴铜缆作为传输介质,10GBASE-T采用双绞线铜缆作为传输介质,而10GBASE-W可与OC-192电路、SONET/SDH设备一起运行,保护传统基础投资,使运营商能够在不同地区通过城域网提供端到端以太网。10GBSE-LX4则使用WDM波分复用技术进行数据传输。 ● 扩展的路由技术
1、 基于每个SVI接口的default route配置
基于SVI接口的缺省路由优先级比基于整机的缺省路由优先级高,所以,当需要为缺省路由设置备份线路的时候可以使用该功能很好地实现。 2、ECMP/WCMP(Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing)
在拥有多条不同链路到达同一目的地址的网络环境中,如果使用传统的路由技术,发往该目地址的数据包只能利用其中的一条链路,其它链路处于备份状态或无效状态,并且在动态路由环境下相互的切换需要一定时
31 / 62
大型园区网络设计方案
间,而等值多路径路由协议(ECMP)和权重多路径路由协议(WCMP)可以在该网络环境下同时使用多条链路,不仅增加了传输带宽,并且可以无时延无丢包地备份失效链路的数据传输。 3、基于目的IP地址的策略路由
在拥有多条不同链路到达同一目的地址的网络环境中,使用基于目的IP地址的策略路由可以在多条链路间实现等值负载均衡和相互备份。 4、策略路由
在拥有多条不同链路到达同一目的地址的网络环境中,策略路由功能可基于数据包的源IP地址、目的IP地址、协议字段、TCP/UDP源端口号、TCP/UDP目的端口号等特征进行多条出口链路间的灵活选择和相互备份。
● 最长匹配(LPM)三层交换技术
在传统的硬件三层交换机中采用“一次路由、多次交换”的路由技术,使用精确流匹配方式进行硬件三层转发,大量耗费CPU资源,并且占用大量的硬件存储资源。
最长匹配(LPM)三层交换技术可以解决传统方式“多次交换”中采用精确流匹配而带来硬件存储空间压力过大的问题。最长匹配(LPM)技术支持静态路由、动态学习到的路由都直接以网段形式存储于硬件转发
32 / 62
大型园区网络设计方案
表,一个目的网段使用一个转发表项,而不明目的网段IP地址的数据包直接通过硬件缺省路由转发。
因此,LPM技术的优点是极大地节约硬件存储空间,拥有硬件缺省路由,所以,病毒和攻击数据包可以通过硬件网段路由或缺省路由进行转发,不增加额外的硬件表项,避免了存储溢出导致CPU利用率过高问题,保障设备的正常运行。
● 领先的多业务扩展能力
RG-S8600提供业界领先的集成万兆防火墙模块 M8600-FW,可以为用户提供无以伦比的安全性、可靠性和性能。
RG-S8600提供业界领先的集成负载均衡模块M8600-LB,具有7层应用交换功能,提供服务器、防火墙、入侵检测等设备的负载均衡功能。 产品参数 技术参数 模块插槽 RG-S8610 10个(2个用于管理引擎模块) 背板 3.2T(支持更高带宽的未来扩1.6T(支持更高带宽的未来扩展) 交换容量 展) RG-S8606 6个(2个用于管理引擎模块) 1.6T(支持更高带宽的未来扩0.8T(支持更高带宽的未来扩展) 展) L2:595Mpps 33 / 62
包转发速L2:1190Mpps 大型园区网络设计方案
率 L3:1190Mpps L3:595Mpps MAC地址 512K 路由表项 802.1q VLAN L2协议 IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3an 、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.1Q、IEEEE802.1D、IEEEE802.1w、IEEEE802.1s 、RERP、SPAN、IGMP Snooping v1/v2/v3、Jumbo Frame(9Kbytes)、QinQ、GVRP、RLDP L3协议(IPV4) BGP4、IS-IS、OSPFv2、RIPV1、RIPV2、IGMP v1/v2/v3、 DVMRP、PIM-SSM/SM/DM、MBGP、LPM Routing、Policy-based Routing、Route-policy、ECMP、WCMP、VRRP Ipv6协议 静态路由、等价路由、策略路由、ICMPv6、ICMPv6重定向、DHCPv6、ACLv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、OSPFV3、RIPng、BGP4+、IS-ISv6、NAT-PT、TCP/UDP for ipv6、SOCKET for ipv6、手工隧道、ISATAP、6to4隧道 100万 4K 34 / 62
大型园区网络设计方案
QOS IP Precedence、802.1P、DSCP、ACL流分类、Urgent Queue、、Protocol Queue、硬件队列、FIFO、PQ、CQ、SP、RR、WRR、DRR、SP+WRR、SP+DRR、CBQ、WFQ、CBWFQ、LLQ、WRED、CAR、LR(In\\Out)Traffic Shaping(GTS)、HOL、RSVP 专业安全技术 管理方式 防DDOS攻击、非法数据包检测、数据加密、防源IP欺骗、防IP扫描 SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2、、USB、监控显示屏 其它协议 CPP、SNTP、NTP、DHCP Client、DHCP Relay、DHCP Server、DNS Client、UDP relay、ARP Proxy、Radius、Tacacs、Domain、MPLS、VPLS、VPN、Syslog、IPFIX、NAT 尺寸(长x448 mm x 437mm x 宽x高) 电源 MTBF 温度 956mm 508mm x 437 mm x 7mm 100VAC~240VAC,50Hz~60Hz,功率:1200W;2000W > 200,000 hours 工作温度: 0℃ 到 40℃ 存储温度:-40℃ 到 70℃ 湿度 工作湿度: 10% 到 90% RH 存储湿度: 5% 到 95% RH 35 / 62
大型园区网络设计方案
● 万兆核心IPV6校园网
1、 校园网全网采用支持IPV6的网络设备,S86、S57都提供硬件ASIC的IPV6,S68支持NP扩展IPV6,满足高校网络现在和未来的下一代网络建设需求。
2、 RG-S8600提供业界最为强大的安全防护功能,硬件方式提供防DDOS攻击、非法数据包检测、防源IP地址欺骗等多种专业安全防护能力,硬件方式提供IPFIX流量监控能力和CPP技术,满足安全可信校园新网络的建设需求。
3、 RG-S8600提供强大性能的全分布式硬件策略路由功能,满足高校多出口之间负载均衡和冗余备份的功能。
4、 通过万兆骨干网提供各区域之间的高速连接,保证各业务高效运行,并提供骨干区域之间的链路冗余备份提升网络安全。 ● 安全金融局域网
1、 利用VRRP、802.1S等技术提供接入交换机和核心交换机之间的负载均衡和冗余备分,满足金融机构极高的网络稳定需求。
2、 RG-S8600提供业界最为强大的安全防护功能,硬件方式提供防DDOS攻击、非法数据包检测、防源IP地址欺骗等多种专业安全防护能力,硬件方式提供SFLOW流量监控能力和CPP技术,满足安全可信金融新网络的建设需求。
36 / 62
大型园区网络设计方案
3、 提供灵活的流分类和各种拥塞控制QOS技术,满足金融网络重要业务的带宽保证和性能要求。
4、 强大的路由处理能力,满足金融网络环境路由设计复杂条件下的高性能需求。
出口路由
产品概述
锐捷RSR-08路由器是高性能、通用的骨干汇聚路由器,具有高背板带宽、高包转发率、结构紧凑、端口密度高等特点,并能提供全范围的光纤和铜缆接口。RSR-08路由器具有强大的业务能力,可以满足目前所有的城域汇聚和接入需求,提供多协议标准交换 (MPLS)第2或3层隧道技术、动态带宽控制和面向连接的数据收集体系。作为多协议标记(MPLS)PE路
37 / 62
大型园区网络设计方案
由器,他们使提供商的基于MPLS的业务具有高度的可扩展性和可靠性。通过使用VPLS,可以利用原有网络和以太网基础设施提供VOIP、互联网接入、视频以与多点虚拟专用网(VPN)等融合业务。
锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网,速率高达OC- 48。部署在各种应用中,RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络,为用户提供综合的、高性能、功能强大的服务, 并提供高可用性网络所需的冗余支持。
锐捷RSR-08路由器主要应用在电信运营商以与、金融、教育、电力、企业用户市场的网络建设。 产品特性
一、功能丰富的线速服务
IP路由、单播(unicast)和组播(multicast) 每个线路卡上硬件的路由 MPLS LSR和LER支持 RSVP-TE 流量工程支持 安全(ACL,L2 过滤器) 基于硬件的速率、速率整形
第四层应用流交换和服务质量解决方案(简称 QoS) 基于端口或协议的虚拟局域网(简称 VLAN) 网络地址翻译(NAT)
38 / 62
大型园区网络设计方案
巨型桢(Jumbo Frame)支持 服务器负载均衡(LSNAT) 2547-bis MPLS L3 VPN Martini MPLS L2 VLL MPLS 透明局域网业务 TLS MPLS 快速重路由 二、高度的容错设计 冗余CPU、电源 热拔插介质模块
基于标准的虚拟路由器冗余协议(VRRP) 第二层和第三层冗余协议支持 冗余交换矩阵
无缝保护系统(HPS) 三、广泛的管理方式
线速全组 RMON/RMON2 简单网络管理协议(SNMP) 管理 SSH RADIUS TACACS+
39 / 62
大型园区网络设计方案
RS-232(频带外管理) 命令行接口(CLI) 四、丰富的接口类型 10/100 Base-TX 100 Base-FX 1000 Base-LH 1000 Base-SX 1000 Base-LX 1000 Base-T Serial T1/E1 HSSI T3/E3 多级速度WAN模块 信道化 DS-3 POS OC-3c, OC-12c
ATM DS-3, E-3, OC-3c, OC-12c OC-48 弹性分组环 技术参数 设备性能 交换容量 包处理能力 32G 16.7MPPS 40 / 62
大型园区网络设计方案
ACL 路由表 流表 2万条 25万条 最多可达2,000,000个第4层应用数据流 最多可达3,500,000个第2层MAC地址 MTBF 协议支持 路由协议 组播协议 地址管理 MPLS OSPF、IS-IS、BGP、RIPv2、静态路由 IGMP、PIM-DM/SM、DVMRP、RP 静态、DHCP中继 MPLS LSR和LER支持 、2547-bis MPLS L3 VPN 、Martini MPLS L2 VLL 、MPLS 透明局域网业务 TLS 、MPLS 快速重路由 特色支持 NAT、Load balancing 、 VSRP 、Web cache redirection、策略路由、HPS 管理方式 线速全组 RMON/RMON2 、简单网络管理协议(SNMP)管理 、SSH、RADIUS、TACACS+、RS-232、命令行接口(CLI) 物理指标 尺寸 高8.75英寸×宽17.25英寸×深12.25英寸 (22.23厘米×43.82厘米×31.12厘米) 重量 环境规格 41 / 62
>200,000小时(预测) 44.5磅(20.2公斤) 大型园区网络设计方案
操作温度 存储温度 相对操作湿度 相对存储湿度 电源规格 交流电源 输入电压: 100到240 VAC 输入电流: 12 ~ 6A 频率: 50到60Hz 直流电源 输入电压: -48到-60 VDC 输入电流: 27A 标准和规范 安全性 UL60950、CAN/CSA-C22.2 No. 60950、EN60950、IEC950、72/73/EEC 电磁兼容性 FCC Part 15、CSA C108.8、EN55022、VCCI、EN55024、/336/EEC ETSI NEBS 防火墙
ETSI EN 300-386、EN 300-109、ETS 300-753 NEBS Level 3、GR-10、GR-63 5%到95%(非冷凝) +0°C到+40°(32º到104ºF) -40°C到+70°C(-40º到158ºF) 10%到90%(非冷凝) 42 / 62
大型园区网络设计方案
产品概述
RG-WALL系列采用锐捷网络独创的分类算法(Classification
Algorithm)设计的新一代安全产品——第三类防火墙,支持扩展的状态检测(Stateful Inspection)技术,具备高性能的网络传输功能;同时在启用动态端口应用程序(如VoIP, H323等)时,可提供强有力的安全信道。 采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
RG-WALL的主要功能包括:扩展的状态检测功能、防范入侵与其它(如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等)附加功能。 产品特性
● 锐捷网络私有的分类算法,性能不受规则数与会话数的影响 ● 在内核层处理流量,极大降低应用层的负荷
43 / 62
大型园区网络设计方案
● 多线程代理方式
● 内置入侵检测功能,确保防火墙的安全运行 ● 实时的状态监控功能,动态过滤技术
● 无需L4交换机,无需增加模块就可实现Active-Active的高可用性解决方案
● 支持网桥模式和路由模式以与NAT模式 ● 支持多个接口与VLAN,适合多种网络结构 ● 内置入侵检测模块
● 支持应用代理、内容安全防护、带宽管理、DHCP服务器、OPSEC国际安全联动协议等功能与协议;
● 支持L2TP VPN、GRE VPN、IPSec VPN等多种VPN功能; ● 支持NAT,支持多种NAT ALG,包括DNS、、ILS、MSN、NBT、PPTP、SIP
● 实现DNS分离功能,保护了内部DNS结构的安全性,也可为小型企业免除DNS的投资
● 基于网络IP和MAC地址绑定的包过滤
● 透明代理(Transparent Proxy),URL级的信息过滤 ● 流量控制管理,保证关键用户,关键流量对网络的使用 ● 工作模式的多样性,可以不影响现有网络,迅速投入使用 ● 安全的网络结构和安全的体系结构
● 提供操作简单的图形化用户界面对防火墙进行配置 ● 支持BT/eDonkey/Kazaa等P2P软件的禁止和带宽
44 / 62
大型园区网络设计方案
● 支持入侵检测和防护(IPS)
● 支持多种IDS产品联动和自动响应阻断方式 ● 支持冗余电源,提供更高设备可靠性 ● 支持集群功能,最多支持Active/Standby ,Active/Active模式 产品参数
RG-WALL 1600千兆防火墙/VPN网关 端 口 固化4个10/100/1000BaseT 端口+4个SFP端口 尺 寸 电气性能 标准19英寸宽度,2U高度 电源类型:AC 100-240V/50-60Hz 电源功率:400W,冗余电源 工作环境 操作环境:温度0℃~40℃,湿度0%~80% 存储环境:温度-40℃~80℃,湿度0%~ 95% 技术性能 MTBF(平均故障间隔时间):≥100,000小时 2.3设备清单与预算
RG-S2126S 40*6*20000=4800000元 RG-S5750 1*40*99000=360000元 RG-S8600 2*239800=479600元 RG-WALL1600 2*350000=700000元 线缆费用10万
45 / 62
4台防火墙之间的
大型园区网络设计方案
总计 100900*0.4+100000=4,048,560元
第三章网络拓扑和IP规划
3.1网络拓扑图
行政办公楼 RG-S2126S RG-S5750 DHCP 服务器
核心交换机RG-S8606 RG-S5750
其他校区 10G光纤 服务器群 Web/视频… RG-S5750 综合管理平台 RG-S8606 RG-WALL1600 1000M光纤 100M光纤 双绞线 ChinaNet CennNet RS-08 RG-IDS入侵检测系统 RG-S5750 ….. 其他学生住宅楼 RG-S5750 46 / 62 RG-S2126S RG-S2126S … RGS2126S … 接入控制: ✓帐号 + IP+MAC+端口多元素绑定 ✓接入时段控制 大型园区网络设计方案
3.2 IP地址规划
⑴网络中心:
核心交换机接IP地址 口 4/1(大楼A) 4/2(大楼B) 4/3(大楼C) 4/4(大楼D) 10.0.0.1 10.0.0.5 10.0.0.9 10.0.0.12 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 子网掩码 3/0(出口路10.0.0.15 由) Vlan88 路由器接口/公网IP配置IP地址 情况 0/0(内网) S1/1(chinanet) 0/1(Cernet) 10.0.0.16 67.95.123.1 子网掩码 255.255.255.252 255.255.255.252 255.255.255.224 211.95.123.1 47 / 62
大型园区网络设计方案
所得公网IP段 211.95.123.0 211.95.123.31 211.95.123.30 255.255.255.224 255.255.255.224 255.255.255.224 DNS服务器 ⑵大楼1:
Vlan号/端口 1/1(上行) Vlan11 Vlan12 Vlan13 Vlan14 Vlan15 ⑶大楼2: Vlan号/端口 1/1(上行) Vlan21 Vlan22 Vlan23 Vlan24 10.0.3.0 网络号/IP地址 10.0.0.2 子网掩码 网 关 255.255.255.252 10.0.0.128 10.0.1.0 10.0.1.128 10.0.2.0 10.0.2.128 255.255.255.128 10.0.0.129 255.255.255.128 10.0.1.1 255.255.255.128 10.0.1.129 255.255.255.128 10.0.2.1 255.255.255.128 10.0.2.129 网络号/IP地址 10.0.0.6 子网掩码 网 关 255.255.255.252 255.255.255.128 10.0.3.1 10.0.3.128 10.0.4.0 10.0.4.128 255.255.255.128 10.0.3.129 255.255.255.128 10.0.4.1 255.255.255.128 10.0.4.129 48 / 62
大型园区网络设计方案
Vlan25
10.0.5.0 255.255.255.128 10.0.5.1 ⑷大楼3: Vlan号/端口 1/1(上行) Vlan31 Vlan32 Vlan33 Vlan34 Vlan35 10.0.5.128 10.0.6.0 10.0.6.128 10.0.7.0 10.0.7.128 255.255.255.128 10.0.5.129 255.255.255.128 10.0.6.1 网络号/IP地址 10.0.0.10 255.255.255.252 子网掩码 网 关 255.255.255.128 10.0.6.129 255.255.255.128 10.0.7.1 255.255.255.128 10.0.7.129 第四章 技术选型 三层交换技术的应用与选择
第三层交换机,实际上就好象是将传统交换器与传统路由器结合起来的网络设备,它既可以完成传统交换机的端口交换功能,又可完成部分路由器的路由功能。当然,这种二层设备与三层设备的结合,并不是简单的物理结合,而是各取所长的逻辑结合,其中最重要的表现是,当某一信息源的第一个数据流进入第三层交换机后,其中的路由系统将会产生一个MAC地址与IP地址映射表,并将该表存储起来,当同一信息源的后续数据流再次进入第三层交换时,交换机将根据第一次产生并保存的地址映射表,直接从二层由源地址传输到目的地址,而不再需经过第三路由系统处
49 / 62
大型园区网络设计方案
理,从而消除了路由选择时造成的网络延迟,提高了数据包的转发效率,解决了网间传输信息时路由产生的速率瓶颈。
第三层交换机的出现,实际上已经历了三代。第一代产品是一种由分立电子元件和原语式软件相结合的简单混合体,设备体积大、重量重、功耗高,所需散热风扇功率高、体积大,而性能较差。运行在一个固定内存处理机上的软件系统,虽然在管理和协议功能方面有许多改善,但当用户的日常业务更加依赖于网络,使得网络流量不断增加时,网络设备便成了传输瓶颈;第二代交换机的硬件引进了专门用于优化第二层处理的专用集成电路ASIC(Application Specific Integrated Circuit)芯片,体积、功耗、性能得到了极大改善与提高,并降低了系统的整体成本,这就是我们传统的第二层交换机;第三代交换机并不是简单地建立在第二代交换设备上,而是在第三层路由、组播与用户可选策略等方面提供了线速性能,在硬件方面也采用了性能与功能更先进的ASIC芯片。 三层路由技术 RIP路由协议
RIP是路由信息协议(Routing Information Protocol)的缩写,是一种在网关与主机之间交换路由选择信息的标准,采用距离向量算法,是当今应用最为广泛的内部网关协议。在默认情况下,RIP使用一种非常简单的度量制度:距离就是通往目的站点所需经过的链路数,取值为1~15,数值16表示无穷大。RIP进程使用UDP的520端口来发送和接收RIP分组。RIP分组每隔30s以广播的形式发送一次,为了防止出现“广播风暴”,其后续的的分组将做随机延时后发送。在RIP中,如果一个路由在
50 / 62
大型园区网络设计方案
180s内未被刷,则相应的距离就被设定成无穷大,并从路由表中删除该表项。RIP分组分为两种:请求分组和相应分组。
RIP-1被提出较早,其中有许多缺陷。为了改善RIP-1的不足,在RFC1388中提出了改进的RIP-2,并在RFC 1723和RFC 2453中进行了修订。RIP-2定义了一套有效的改进方案,新的RIP-2支持子网路由选择,支持CIDR,支持组播,并提供了验证机制。
随着OSPF和IS-IS的出现,许多人认为RIP已经过时了。但事实上RIP也有它自己的优点。对于小型网络,RIP就所占带宽而言开销小,易于配置、管理和实现,并且RIP还在大量使用中。但RIP也有明显的不足,即当有多个网络时会出现环路问题。为了解决环路问题,IETF提出了分割范围方法,即路由器不可以通过它得知路由的接口去宣告路由。分割范围解决了两个路由器之间的路由环路问题,但不能防止3个或多个路由器形成路由环路。触发更新是解决环路问题的另一方法,它要求路由器在链路发生变化时立即传输它的路由表。这加速了网络的聚合,但容易产生广播泛滥。总之,环路问题的解决需要消耗一定的时间和带宽。若采用RIP协议,其网络内部所经过的链路数不能超过15,这使得RIP协议不适于大型网络。 OSPF路由协议
OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网
关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对,OSPF是链路状态路由协议,而RIP是距离向量路由协议。
51 / 62
大型园区网络设计方案
链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。 策略路由协议
策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发
机制。应用了策略路由,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。
应用策略路由,必须要指定策略路由使用的路由图,并且要创建路由图。一个路由图由很多条策略组成,每个策略都定义了1 个或多个的匹配规则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理,符合路由图中某个策略的数据包
52 / 62
大型园区网络设计方案
就按照该策略中定义的操作进行处理。
策略路由可以使数据包按照用户指定的策略进行转发。对于某些管理目的,如QoS需求或VPN拓扑结构,要求某些路由必须经过特定的路径,就可以使用策略路由。例如,一个策略可以指定从某个网络发出的数据包只能转发到某个特定的接口。 局域网接入控制技术 地址绑定
基于端口的MAC地址绑定
设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
基于MAC地址的扩展访问列表
它与基于端口的MAC地址绑定大体相同,但它是基于端口做的MAC地址访问控制列表,可以限定特定源MAC地址与目的地址范围。
IP地址的MAC地址绑定
IP地址静态绑定时,接入网络时检查用户的IP地址是否合法。IP地
址动态绑定时,用户上网过程中,如更改了自己的IP地址,接入设备能够获取到,并禁止用户继续上网。 基于802.1X的端口安全与认证
802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的
一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的
53 / 62
大型园区网络设计方案
访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。 802.1x认证,又称EAPOE认证,主要用于宽带IP城域网。802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。
802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉与通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题,但是,如果802.1x认证技术用于宽带IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。
接入认证通过之后,IP数据包在二层普通MAC帧上传送,认证后的数据流和没有认证的数据流完全一样,这是由于认证行为仅在用户接入的时刻进行,认证通过后不再进行合法性检查。 STP生成树协议
STP(生成树协议)是一个二层管理协议。在一个扩展的局域网中参与STP的所有交换机之间通过交换桥协议数据单元BPDU(Bridge Protocol
54 / 62
大型园区网络设计方案
Data Unit)来实现;为稳定的生成树拓扑结构选择一个根桥;为每个交换网段选择一台指定交换机;将冗余路径上的交换机置为Blocking,来消除网络中的环路。
IEEE 802.1d是最早关于STP的标准,它提供了网络的动态冗余切换机制。STP使您能在网络设计中部署备份线路,并且保证:
在主线路正常工作时,备份线路是关闭的。
当主线路出现故障时自动使能备份线路,切换数据流。
RSTP(Rapid Spanning Tree Protocol)是STP的扩展,其主要特点是增加了端口状态快速切换的机制,能够实现网络拓扑的快速转换。 NAT的实现
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。
NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部
网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将内部地址替换成公用地址,从而在外部公网(internet)上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法,您可以只申请一个合法IP地址,就把整个局域网中的计算机接入Internet中。这时,NAT屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的,而内部网计
55 / 62
大型园区网络设计方案
算机用户通常不会意识到NAT的存在。如图2所示。这里提到的内部地址,是指在内部网络中分配给节点的私有IP地址,这个地址只能在内部网络中使用,不能被路由(一种网络技术,可以实现不同路径转发)。
NAT有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT(Port-Level NAT)。
其中静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,三种NAT方案各有利弊。
动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。
网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。 ACL访问控制列表
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝
56 / 62
大型园区网络设计方案
具体的某些端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。
访问控制列表分为两种类型,他们分别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists)前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而精确到某一个服务,比如对 WEB,FTP 的访问等,给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。
基本访问控制列表不需要身份认证,始终使用同一规则对经过路由器接口上的数据进行控制,而动态访问控制列表默认情况是禁止数据流通过的,用户需要Telnet到路由器上进行身份认证,如果用户通过身份认证,便可暂时通过路由器访问目标主机,经过指定的空闲时间,恢复到默认的情况,用户再次访问目标主机需要再次身份认证。 VLAN虚拟局域网
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
57 / 62
大型园区网络设计方案
VLAN的划分有三种方式:基于端口(Port)、基于MAC地址和基于IP地址。通过划分虚拟网,可以把广播在各个虚拟网的范围内,从而减少整个网络范围内广播包的传输,提高了网络的传输效率;同时各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。虽然VLAN并非最好的网络技术,但这种用于网络结点逻辑分段的方法正为许多企业所使用。VLAN采用多种方式配置于企业网络中,包括网络安全认证、使无线用户在802.11b接入点漫游、隔离IP语音流在不同协议的网络中传输数据等虚拟局域网(VLAN)的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便。 IPv6技术
IPv6采用128位地址长度,几乎可以不受地提供地址。 IPv6的主要优势体现在以下几方面:扩大地址空间、提高网络的整体吞吐量、改善服务质量(QoS)、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。
更大的地址空间。IPv6中IP地址的长度为128,即有2^128-1个地址。
更小的路由表。IPv6的地址分配一开始就遵循聚类 (Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。
增强的组播(Multicast)支持以与对流的支持(Flow-control)。这使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS)控制提供了良好的网络平台.
58 / 62
大型园区网络设计方案
加入了对自动配置(Auto-configuration)的支持.这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。
更高的安全性.在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这极大的增强了网络安全。
无线组网模式 SSID
SSID(Service Set Identifier)也可以写为ESSID,用来区分不同的
网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。
SSID(Service Set Identifier)也可以写为ESSID,用来区分不同的
网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。
无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己
的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。
59 / 62
大型园区网络设计方案
无线存取桥接器AP
AP即为无线存取桥接器(Access Point)简称,中文译为“无线访问
节点”,它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。
AP 可以连接到有线网络,实现无线网络和有线网络的互联。通俗的讲,无线AP是无线网和有线网之间沟通的桥梁。AP是组建WLAN的核心设备。在AP信号覆盖范围内的无线工作站可以通过它进行相互通信,没有AP基本上就无法组建真正意义上可访问Internet的WLAN。AP在WLAN中就相当于发射基站在移动通信网络中的角色。
由于无线AP的覆盖范围是一个向外扩散的圆形区域,因此,应当尽量把无线AP放置在无线网络的中心位置,而且各无线客户端与无线AP的直线距离要适度,符合硬件的要求,以避免因通讯信号衰减过多而导致通信失败。
根据AP的功用不同,WLAN可以根据用户的不同网络环境的需求, 实现不同的组网方式。目前市场上的AP可支持AP模式、点对点桥接模式、点对多点桥接模式、AP Client客户端模式、混合模式和无线中继器模式六种组网方式. 无线分布式系统WDS
WDS (无线分布系统)是802.11网络的一部分用来作中继桥接的功
能,它是一个低成本扩展的无线网络的好方案。无线分布式系统(WDS)的无线中继模式,就是在WDS上可以让无线AP之间通过无线进行桥接(中
60 / 62
大型园区网络设计方案
继),在这同时并不影响其无线AP覆盖的功能。 无线分布系统 (WDS) 通过无线电接口在两个 AP 设备之间创建一个链路。此链路可以将来自一个不具有以太网连接的 AP 的通信量中继至另一具有以太网连接的 AP。WDS最多允许在访问点之间配置四个点对点链路。
无线分布式系统(WDS)的无线混合模式,可以支持在点对点、点对多
点、中继应用模式下的无线访问点(AP),同时工作在两种工作模式状态。即:桥接模式+AP模式。无线局域网络创新的无线分布式系统(WDS),改变了原有单一、简单的无线应用模式。比如:大型热点区域和企业用户选用无线WDS技术的解决方案的时候,可以通过各种可选的无线应用方式来连接各个AP,这样就大大提高了整个网络结构的灵活型和便捷性。特别值得一提的是:使无线网络使用者以购买最少无线设备,达到更多用途的功能实现。 DHCP
DHCP是一种用于简化主机IP配置管理的协议标准。通过采用DHCP标准,可以使用DHCP服务器为网络上所有启用了DHCP的客户端分配、配置、跟踪和更改(必要时)所有TCP/IP设置。此外,DHCP还可以确保不使用重复地址、重新分配未使用的地址,并且可以自动为主机连接的子网分配适当的IP地址。当一个网络中,有2个或2个以上的DHCP服务器时,提醒切勿将DHCP地址池定义的过大,以免多个地址池之间出现“包含于”的关系,或者是部分客户端手工指定的IP地址包含于DHCP服务器的地址池中,从而造成DHCP的一些异常故障。 DHCP服务器有三种机制分配IP地址:
61 / 62
大型园区网络设计方案
自动分配 DHCP服务器给首次连接到网络的某些客户端分配固定IP地址,该地址由用户长期使用;
动态分配 DHCP服务器给客户端分配有时间的IP地址,使用期限到期后,客户端需要重新申请地址,客户端也可以主动释放该地址。绝大多数客户端主机得到的是这种动态分配的地址;
手动分配 由网络管理员为客户端指定固定的IP地址。
三种地址分配方式中,只有动态分配可以重复使用客户端不再需要的地址。
每项技术都是有利有弊的,DHCP也不例外,由于DHCP有着配置简单,管理方便的优点,问题也随之产生,由于DHCP的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络造成混乱。由于用户不小心配置了DHCP服务器引起的网络混乱非常常见,足可见此问题的普遍性。
62 / 62
因篇幅问题不能全部显示,请点此查看更多更全内容