计算机网络技术专业毕业论文08686.doc

《计算机网络技术专业毕业论文08686.doc》由会员分享，可在线阅读，更多相关《计算机网络技术专业毕业论文08686.doc（53页珍藏版）》请在三一办公上搜索。

1、毕 业 设 计 论 文题目: 四川国际标榜职业学院校园网改造设计与实施摘 要随着，计算机技术、通讯技术、网络技术正在以前所未有的速度发展。这些高速发展的新技术带动人类步入了计算机技术发展的新时代-网络时代，校园网络如何能满足未来网络的需要，更好的为师生提供良好的网络环境这个课题是我们值得研究的，在原有网络的环境中建设一个具有前沿性、先进性、结构化、系统化的网络实在必行。同所有网络建设一样,当建设一个满足特定业务需求的网络时,必须采取“结构化、系统化”思想做指导。一个良好的、规范的网络开发过程不仅不会成为干扰实际健忘工作的负担，相反会使设计的工作更清晰、更加高效和更令人满意，同时也可以大大减少网

2、络开发成本和提高网络工程质量。本毕业设计作品定位于实际的工程应用，因此配置了比较完备的硬件资源。在内容选择上，一方面以对校园网的网络拓扑和所需设备进行了设计；另一方面用很直观的网络拓扑图概述了本次毕业设计相关的网络安全、网络所需设备以及所实现的网络功能和应用等。毕业设计论文包括课题概况：标榜职业学院是一所高职性综合性院校对网络性能要求严格。统需求分析：本课题对结合校园网络特点进行了详细的需求描述和详细的分析。系统设计：系统设计包括光纤线路走向、网络拓扑结构选择、网络设备选型、VLAN和子网的划分，详细描述了网络组成结构。校园网网络安全：从网络流量控制、网络认证、网络设备安全、无线网络安全详细描

3、述了安全实施。并参与了网络的具体实施，加深了对计算机网络技术的理解，实际动手能力大大提高，学习到了许多书本上学不到的知识。关键词：校园网 网络拓扑 VLAN 网络安全 系统实施目 录第一章 概述11.1课题背景11.2课题概况21.3 课题目的3第二章 需求分析和设计原则42.1需求与分析42.1.1具体需求52.1.2需求分析52.2 设计目标52.3 设计原则6第三章 系统设计方案73.1网络拓扑设计73.1.1原拓扑结构73.1.2拓扑选择73.1.3拓扑结构图83.1.4拓扑结构说明93.2详细设计及设备选型93.2.1光纤链路设计93.2.2核心层设计103.2.3汇聚层设计153.

4、2.4接入层设计183.3 VLAN与IP子网设计263.3.1 VLAN规划263.3.2 IP子网设计263.3.3 技术前沿IPV6网络设计27第四章 网络安全管理314.1认证方式314.1.1主流的接入认证技术314.1.2认证方式选择324.1.3认证流程图324.2流量控制334.3设备安全364.4无线网络安全364.4.1无线局域的安全威胁364.4.2 无线局域网安全技术374.4.3 无线局域安全策略404.5网络结构安全404.6网络应用安全414.6.1网络嗅探414.6.2 ARP欺骗424.6.3 IP地址欺骗424.6.4 DOS攻击424.7安全控制444.7

5、.1访问控制列表（ACL）444.7.2源地址确认44第五章 系统实施465.1系统实施原则465.2 系统实施步骤46总结48参考文献49致谢50第一章 概述1.1课题背景随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。校园网是教育信息化的平台，对于推进教学和和科研至关重要，一个先进的校园网能够极大的促进高等院校教学和科研水平的提高。在高校信息化的建设过程中，它的作用体现在如下几个方面： 1.校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生

6、学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。 2.校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3.校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。4.校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。 教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和

7、信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。四川国际标榜职业学院是国家具有独立颁发学历文凭资格的普通高等学校。举办纳入国家招生计划的高等职业教育和面向全国的短期职业培训。学院自1993年开设“四川创美学院”，开始美容美发短期培训。1999年更名为“四川国际标榜发型美容专修学院”，并招收两年制大专学历文凭学生。2002年经四川省人民政府批准，更名为“四川国际标榜职业学院”，开设了人物形象设计、发型设计、现代美容、中国传统养生美容、运动保健、服装设计、时装设计及产品开发、平面设计、

8、游戏软件、商贸英语、景观设计、室内设计、家具设计与制造、古旧家具修复与保护、陶艺设计、市场营销与策划、广告与传媒、工商企业管理等十九个专业或专业方向。纳入国家统一招生计划，招收三年制、五年制高职学生。同时设立继续教育学院，招生成人教育和中职学生，进行职业技能培训，保留了短期职业培训机构。学院是美国国际标榜在中国设立的唯一排它性学历教育机构，授权使用“国际标榜”注册商标，在教育教学质量体系建设、课程中国本土化合作、教学研究、师资队伍建设、信息资源共享、技术与产品创新等六个方面进行了长期的、全方位的合作。美国国际标榜是世界上最权威的形象设计教育产业机构，1962年成立于美国芝加哥，2000多所会员

9、学校分布在全球70多个国家和地区。2007年10月，四川国际标榜职业学院顺利通过教育部高职高专人才培养水平评估并获得优秀。2008年8月，四川国际标榜职业学院教学实践基地女红坊为北京奥运会设计制作了3680套15000多件头饰品；学院300余名师生出色地完成了2008北京奥运会开幕式10000余名演员的化妆造型任务。北京奥组委对四川国际标榜职业学院参与奥运工作的表现，对标榜师生展示出来的道德情操、职业素养和专业技能给与了高度赞扬。2009年1月6日，中央电视台5频道奥运档案节目专门播出了标榜化妆造型团队的事迹。四川国际标榜职业学院从短期职教走到今天的高职高专教育，经历了十几年的实践。在未来的征

10、程中，将继续沿着 “以市场为导向、以质量求生存、以特色求发展”的办学方针，创立独具特色的职业教育理念及办学方法。1.2课题概况四川国际标榜职业学院需要进行校园园区网改造建设，改变原来网络网速缓慢，线路走向混乱。新校园网园区以单模光缆连接了各栋楼宇，覆盖全部教学办公区域和教学区域，实现校园内全部无线覆盖。校园网计划分布有3000多个网络端口，目前需要在原来网络的基础上升级改造，全部重新铺设光纤线路。需接入校园网的计算机约2000多台，并计划校园网能提供Ipv4并保留升级ipv4与Ipv6的双栈服务。新校园网将根据当前与今后一段时间的发展需求，规划一个全新的校园网系统，该校园网系统必须具备高校教育

11、行业应用特点，满足教学、办公、学生教师上网的信息化需求，同时新的校园网系统必须满足将来扩展的需要进行整体计划，在满足当前需要的同时，还必须具备一定的前瞻性。在实际的建设过程当中，应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性，如：校园网内部的服务器的访问，由于学生的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。在本课题中本人主要参与了，光纤线路的铺设和熔接，VLAN与子网的划分，交接机的配置调试及上架，无线AP的安装。1.3 课题目的本课题的来源是四川国际标榜职业学院校园网网络升级改造建设的过程和需要，改变原有校园网的安全性差、带宽较小、性能较低等状

12、况。校园网的整体结构是一个通过光纤连接的三层园区网络并连接到互联网和教育网，在网络每一级的主干节点上具有一个局域网。校园网需要对学校内几千个端点进行管理，这其中存在的监控、管理、认证等各种问题十分复杂，学院的建网目标是连接学院内的所有应用节点并实现与互联网和CERNET网的安全互联，建立信息资源服务体系，在满足学院系统内信息化需求的同时，向内部师生员工和社会提供信息资源服务。基于这种情况，考虑到四川国际标榜职业学院联网计算机较多，具有较多的网络设施和应用系统，为保障校园网的运行安全和应对各种网络风险，有必要统一规划，设计一个符合四川国际标榜职业学院校园网实际的校园网系统，有计划地分步骤实施。第

13、二章 需求分析和设计原则2.1需求与分析校园网作为一种独特的模式，既具有一般企业网的特质，又有其特殊的地方。相同之处在于：作为集团用户，接入网络都需要具有一定的独立性和相当的可统计、可管理性的特性；较之一般的企业网，校园网又会面临更复杂的用户类型和业务需求，它不是单纯的办公网络，是一个承载教学、办公自动化、图书馆等多种业务和应用的平台，建设一个性能强大的校园网络是必不可少。当前校园网的主要特点：网络吞吐能力高、速度快、系统规模大（多校区）；用户群庞大、多层次（教师、学生等）、接入方式多样（PPPoE、DHCPWeb、802.1x、专线接入、WLAN等）；网络环境复杂、多网共存（教学网、科研网、

14、办公网、无线网、学生宿舍网、教工家属网等）；数据业务复杂（网上点播、电子教室、财务、政务等）、类型多样（数据、语音、视频等）；用网时间集中、同时在线人数众多、流量巨大且分布时段不均；学生活跃、好奇、敢于尝试、攻击性强；计算机蠕虫、病毒泛滥、盗版资源泛滥、网络行为突发性高；教育网作为我国开展下一代网络研究的试验基地，其采用了先进性的技术，Cernet2试验网的开通，是我国第一个IPV6主干网，也是世界上规模最大的纯IPV6网，标志着中国下一代互联网建设拉开了序幕。一般高校校园网的主要需求有：1、多出口需求：典型的组网有中国教育和科研网（CERNET）出口和运营商网络出口。2、管理的需求：包括对用

15、户和设备的管理，可操作、易管理、具备灵活的计费策略、扩展能力强。3、区分内、外网需求：限制资源的访问，对内、网采用不同计费策略。4、安全需求：非法的DHCP Server、病毒、攻击、上网日志等。5、NAT需求：公网地址不够，在运营商或教育网其中一个出口做NAT。6、多业务需求：强大的组播支持能力、多业务融合（语言、数据、饰品）能力。7、可靠性需求：设备具备高性能、高可靠性、高稳定性、高安全性。8、投资需求：高性价比、平滑升级、投资保护。9、Qos需求：具备完善的QOS能力。2.1.1具体需求1、升级后对用户和设备的管理，可操作、易管理、具备灵活的计费策略、扩展能力强。2、升级后能更有效的防止

16、非法的DHCP Server、病毒、攻击。3、升级后网络具备高性能、高可靠性、高稳定性、高安全性。4、升级后无线使用认证接入方式，并实现相应区域漫游。5、升级后能更好的控制网络流量在上班时间阻止不必要流量，合理利用现有带宽。2.1.2需求分析1、升级后全部采用可管理的网络设备，到达远程对设备的管理和操作。2、网络全部采用认证接入方式，防止不明计算机接入，保证接入的安全性。3、核心到汇集全部采用单模光纤并做相应的备份，提供高速可靠的传输。4、加装流量监控设备，智能应用管理合理利用流量，防止不必要流量产生。5、无线认证接入，提供漫游。2.2 设计目标针对本次学院网络升级改造建设课题，按照以下目标来

17、实施网络建设：1、以校区新网络建设为契机，将学院网络建设成为信息一体化、管理集中化、业务多样化的优秀校园网络；2、新网络结构清晰，网络层次合理数据网络需要采用分布式布线，各个配线节点通过单模光纤与中心交换机相连，形成万兆骨干、千兆骨干、桌面百兆接入、无线全院覆盖的宽带网络，网络建成后，应该实现各信息点的高速上网、能为多媒体教学科研提供一个高速承载平台，支持MPLS、IPV6等特性，方便的网络管理、安全的认证；3、运营商级的网络系统安全性、运营安全性；4、网络带宽大幅提升：核心层与汇聚层之间全部采用万兆并预留千兆升级接口连接，汇聚层之间采用千兆连接，消除带宽瓶颈；5、多样性访问权限控制与管理；针

18、对不同类别用户采取不同认证、计费策略。2.3 设计原则现在高校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。高校网络建设遵循以下基本原则：1、可管理性高校网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于高校网络的使用者数量巨

19、大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保用户和学校的利益不受损失。2、可增值性校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。3、可扩充性考虑到用户数量和业务种类发展的不确定性，校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。4、开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换

20、传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 5、安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。第三章 系统设计方案根据校园网升级建设的需求和设计原则，并结合学院校园网的当前状况和未来发展趋势，本论文为学院校园网网络建设量身定制了一套合体合用的校园网升级建设方案。整个网络方案设计突出层次化、可管理、易维护、高可靠性的原则，确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。3.1网络拓扑设计3.1.1原拓扑结构四川国际标榜学院原网络结构采用了三台软路由来连接不

21、同的ISP，采用单核心交换，接入层连接复杂。如图3-1所示。图3-1 标榜学院原拓扑结构图在此网络中三层网络结构不明显，线路连接混乱，没有明显的层次结构。用户长期反映，网络缓慢，掉包严重。无法提供稳定的网络环境。 3.1.2拓扑选择网络拓扑结构，特别是网络主干拓扑结构的设计直接关系到网络性能的好坏。一般来说局域网总体结构分为三层网络结构和两层网络结构。三层网络结构包括核心层、汇聚层和接入层；两层网络结构分为核心层和接入层。三层结构中的汇聚层一般起到分担核心层负担的作用，通常在广域网或者用户数量很大的情况下采用。两层结构相对于三层结构投资少，网络结构简单、维护方便、网络故障环节少，但是仅仅适合相

22、对用户数量较少的情况；另外，二层结构对于有技术功底的学生来说，让核心设备直接暴露在学生的PC下面，造成不安全因素；同时，大量的服务器以及应用平台直接下带核心设备，也极大的占用了核心设备的高速转发性能，体现不出核心交换机的功能。因此，校园网一般采用三层结构，包括核心层、汇聚层和接入层。三层结构出了方便用户管理和设备管理之外，也提供了良好的网络安全性和扩展性。核心层主要作用是提供高速传输和路由最优化通信，为下层提供优化的数据运输功能，它是一个高速可靠的主干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL，过滤等)，否则会降低数据包的交换速度。汇聚层的作用是汇聚接入层的流量，连

23、接核心层，为接入层和核心层提供通道。接入层主要完成用户的接入控制，还应能对由用户接入层所区分开的不同优先级的应用加以区别对待，从而支持端到端的服务质量以及提供VLAN的功能。根据这种层次化网络设计思想的原则，我们可以把校园网的整个网络体系结构分为以下三个层次：u 由位于中心机房的核心交换机组成的核心层；u 由位于楼宇机房的汇聚层交换机组成汇聚层；u 由位于各楼层的信息点和接入组成接入层；3.1.3拓扑结构图总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。新网络拓扑图如图3-2所示。图3-2

24、新网络拓扑3.1.4拓扑结构说明 1、新的校园网络从核心层到汇集层全部使用单模光纤。 2、采用5条万兆链路连接重点区域。 3、除5条万兆链路外，其余全部使用千兆光纤连接。 4、用户接入采用无线与有线结合，接入交换机全网管。 5、采用层次结构使网络易于管理。 6、采用高性能的单核心交换。3.2详细设计及设备选型3.2.1光纤链路设计 本次网络升级不仅仅是设备的升级也是线路的升级，把过去多模光纤网络，全部更换为传输更可靠传输距离更远的单模光纤网络。为了使网络有一定量的冗余，更好的管理光纤线路，光纤链路使用交接箱连接方式。从中心交接箱到中心机房采用72芯，从中心交接箱到飞燕楼交接箱采用32芯，从中心

25、交接箱到CB楼交接箱采用32芯，从中心交接箱到龙子楼交接箱采用32芯，其余链路为8芯和4芯。光纤链路图如图3-3所示图3-3光纤链路图3.2.2核心层设计核心交换机是整个网络的计算和内部数据交换处理中心，在整个局域网内是最为关键和重要的设备。核心交换机推荐采用H3C9512交换机一台。如图3-4所示图3-4 H3C 9512交换机特点：基于 ASIC 的高性能业务 线速的MPLS 业务处理 H3C S9500系列支持分布式的 MPLS业务，分布在接口板上的 ASIC 芯片直接完成 MPLS标签的线速处理，不存在集中式处理的瓶颈，MPLS性能业界最高。与其他集中式的 MPLS设备相比，S9500

26、 保障了大业务量时 MPLS的高可用性，持续保护用户投资。 线速的 IPv6业务处理 H3C S9500系列支持分布式的 IPv6 业务，分布在接口板上的 ASIC 芯片支持对 IPv6 报文的线速处理，用户通过升级操作系统可实现基于 ASIC的全线速 IPv6转发，极大保护用户投资，适应网络业务不断发展的需求。 大容量高性能路由交换 H3C S9500系列提供业界领先的交换能力，其最高的 1.44T 路由交换引擎可以实现 576个千兆或48个万兆端口的线速转发，三层包转发能力高达 857Mpps。 融合的网络安全特性 集成的安全特性 H3C S9500系列产品基于开放的OAA架构，可以集成防

27、火墙模块、IPS模块、ACG应用控制网关模块、AFC 异常流量清洗模块、LB负载均衡模块、SSL VPN 模块，通过产品的融合实现网络安全一体化的解决方案。 设备自身的安全特性 H3C S9500系列采用“最长匹配、 逐包转发”模式，能够抵御网络病毒的攻击； 支持 OSPF、 RIPv2 及 BGPv4 报文的明文及 MD5 密文认证；支持 IP、VLAN 、MAC 和端口等多种组合绑定方式，防范地址盗用；支持广播报文抑制，有效控制 ARP等非法广播流量对设备造成冲击；支持URPF，防止 IP地址欺骗；支持报文安全过滤，防止非法侵入和恶意报文攻击等。 管理的安全性 H3C S9500系列支持

28、IEEE 802.1x、AAA/Radius、HWTACACS，对用户身份进行合法性认证；支持用户分级管理，不同级别的用户拥有不同的配置权限；支持安全的SNMPv3网管协议；支持安全的远程登录SSH V2；支持受限 IP地址方式的 Telnet登录。 最长的网络正常运行时间 产品的无单点故障设计 H3C S9500系列采用分布式体系结构，所有关键部件采用冗余设计，包括主控板、交换网、电源和风扇等；采用无源背板设计，避免机箱出现单点故障；所有单板支持热插拔功能，并且对其它单板上运行的业务无影响。 路由协议的高可靠保障 H3C S9500系列支持 OSPF/IS-IS/BGP的优雅重启技术（Gra

29、ceful Restart），可以实现用户业务的不间断转发；支持动态路由协议、跨板端口聚合、虚拟路由冗余协议（VRRP）等保护机制，有效保证全网高速可靠运行。 快速自愈的环网保护技术 H3C S9500支持RPR（弹性分组环），RPR 技术融合了 SDH故障自愈的高可靠性与以太网的经济性、高带宽、灵活性、可扩展能力等优势，可以保障小于 50ms的故障切换时间，音频、视频等实时业务不受故障影响。RPR 技术为用户提供了高可靠的多业务传输解决方案。 融合的多业务特性 网络业务分析 H3C S9500系列通过高性能的网络处理器实现对网络业务的分析。支持 V5、V8和 V9多种日志格式，与XLOG日志

30、审计系统配合，为用户提供完整的网络流量分析解决方案；支持向主、备服务器同时发送日志，防止统计信息丢失。网络业务分析使原本不可见的网络业务应用流量变得一目了然，进而可以帮助用户及时优化网络结构，调整资源部署。 高品质QoS特性 H3C S9500系列支持完善的 QoS功能，支持流量监管，粒度可精细化到8Kbps；支持流量整形，可基于端口或队列灵活设置；支持报文DSCP优先级、IP优先级、TOS优先级、COS优先级以及 Exp 优先级的重置功能；支持报文重定向功能，可根据网络流量状况灵活配置报文的转发路径；支持多种模式的队列调度机制；支持多种拥塞避免机制。 定制的行业解决方案 H3C S9500系

31、列根据行业用户的个性化需求，推出了多种新业务特性：支持 Portal 认证，使最终用户无须安装客户端即可完成认证；支持对 BT 流量控制，防止 P2P业务对出口带宽资源的滥用；在校园网中对不同网段的流量区分计费，满足教育用户的需求；支持可编程的开放接口，可针对各行业客户需求实现个性化的业务定制。产品规格及参数：（见表3-1所示）表3-1 H3C 9512产品规格及参数:背板容量(bps)槽位数量业务槽位数量MAC 地址表1.8T1412168k/System交换容量(bps)XRCoreEngine I 720G XRCoreEngine II 1.44TIPv4包转发率(pps)XRCore

32、Engine I 428M XRCoreEngine II 857MIPv6包转发率(pps)XRCoreEngine I 374M XRCoreEngine II 749M二层特性支持 IEEE 802.1Q（VLAN） 支持 IEEE 802.1d（STP）/802.1w（RSTP）/802.1s（MSTP） 支持 IEEE 802.1ad（QinQ）和灵活 QinQ 支持 IEEE 802.3x（全双工流控）和背压式流控（半双工） 支持 IEEE 802.3ad（链路聚合）和跨板链路聚合 支持 IEEE 802.3（10Base-T）/802.3u（100Base-T） 支持 IEEE

33、802.3z（1000BASE-X）/802.3ab（1000BaseT） 支持 IEEE 802.3ae（10Gbase） 支持 IEEE 802.3af（POE） 支持 IEEE 802.17（RPR） 支持RRPP（快速环网保护协议） 支持端口镜像和跨板的端口镜像 支持端口广播风暴抑制 支持多播流量限制 支持Jumbo frame 支持基于端口、协议、IP子网的 VLAN划分 支持基于用户名、MAC 地址的 VLAN 动态分配 支持 SuperVLAN、支持 Isolate VLAN（PVLAN） 支持 GVRP、ARP Proxy路由特性支持静态路由 支持RIPv1/v2 支持 OSP

34、Fv2 支持 IS-IS 支持 BGPv4 支持 OSPF/IS-IS/BGP GR (Graceful Restart 优雅重启) 支持等价路由 支持策略路由 支持路由策略 支持DHCP Relay 支持DHCP Server组播支持 IGMP v1/2/3 支持 IGMP Snooping v1/2/3 支持 IGMP Filter、支持 IGMP Fast leave 支持 IGMP Proxy 支持 PIM-SM 支持 PIM-DM 支持 MSDP 支持 MBGP 支持 Any-RP多业务特性支持 MPLS 支持 MPLS L3 VPN、VLL L2 VPN 支持 VPLS VPN、L

35、2TP/GRE/IPSec VPN 支持防火墙功能、NAT 功能、网络流量分析IPv6 特性支持RIPng、OSPFv3、IS-ISv6、BGP4+ 支持 IPv6 Policy Routing、VRRPv3 支持Neighbor Discovery Protocol、Path MTU Discovery 支持DHCPv6、Ping v6、Telnet v6、FTPv6、TFTPv6、DNSv6、ICMPv6 支持 MLD(Multicast Listener Discovery) v1、MLD Snooping v1、PIMv6 支持 IPv6 手工隧道、6to4 隧道、ISATAP隧道、G

36、RE隧道、IPv4 兼容自动配置隧道QoS支持 802.1P(COS优先级) 支持DSCP 支持Diff-serv/QoS 支持基于标准、扩展、VLAN ACL 进行流量分类 支持流量监管（CAR） ，粒度为 8Kbps 支持流量整形（Traffic Shapping） 支持队列调度机制，包括 SP、WRR、SP+WRR 支持拥塞避免机制，包括 Tail-Drop、WRED安全机制支持 IEEE 802.1x和 IEEE 802.1x SERVER 支持 Portal认证、支持 Radius/HWTACACS 支持基于标准、扩展、VLAN 的 ACL 报文过滤 支持 OSPF、RIPv2 及

37、BGPv4 报文的明文及MD5密文认证 支持安全网管 SNMPv3、SSHv2 支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限 支持受限的 IP地址的 Telnet 的登录和口令机制 支持 IP地址、VLAN ID、MAC 地址和端口等多种组合绑定 支持广播报文抑制 支持主备数据备份机制机柜/机箱配置：（见表3-2所示）表3-2 H3C9512机柜/机箱配置:描述数量范围备注H3C S9512路由交换机主机148 端口 10/100/1000M 电接口业务板224 端口千兆以太网光接口业务板14 端口万兆以太网光接口业务板2无线控制器业务板2直流电源模块

38、-2000W23.2.3汇聚层设计由于校园网的各区域存在密集度高的大量用户，为了保证数据传输和交换的效率，在各个楼内设置三层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性。我们建议楼内汇聚采用LS-5500-28C-SI汇聚交换机5台提供万兆链路主要负责用户密集区域。如图3-5所示图3-5 LS-5500-28C-SI交换机特点：高扩展性保护投资 随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE 链路将是我们的未来发展方向。S5500-SI 系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的 10GE 扩展模块，在实现千

39、兆汇聚或接入时保留进一步支持 10GE 的扩展能力，尽力保护用户投资。此外，每槽位还可以支持双端口 SFP 扩展模块，整机可用千兆端口数可以达到28或者52。 S5500-SI 系列硬件支持 IPv4/IPv6 双栈，其中 IPv4 支持静态路由和 RIP 协议，IPv6 支持静态路由和RIPng 协议。同时支持 IPv6的 ACL和网管，实现 IPv4到 IPv6的平滑升级。 H3C S5510-SI 交换机采用专利技术允许交换机利用专用互联电缆实现多达 16 台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一 IP 管理的优点。同时大大降低系统扩展的成本，保护了用户投资。 多业务

40、支持能力 支持PoE （Power over Ethernet） 技术， 通过以太网对所连接的设备 （如 IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN 技术，交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN（专用语音 VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置 Voice VLAN 安全特性，只允许语音流量通过，可以有效防止突发数据流量对 Voice VLAN 内的语音流量的冲击。

41、 S5500-SI系列交换机通过支持POE和 Voice Vlan技术结合可以提供完整的语音设备管理方案，很好地解决了大量的IP PHONE的智能检测、供电和优先级的调整问题。 完备的安全控制策略 H3C S5500-SI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 H3C S5500-SI 系列交

42、换机支持对试图接入网络的用户进行 802.1x 认证。可以在交换机上对 802.1x 客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式 MAC 地址认证，可以基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件， 而且可以同时运行802.1x认证和基于 MAC 地址认证。 提供Guest Vlan功能，使得为被授权的访问端只能接入访问特定的资源， 并且会采取相应的策略， 例如可以获得 802.1x客户端、升级客户端或者获得其他的升级程序等等。支持 Secure Shell V2（SSH V2）特性可以提供安全的信息保障和强大的认证功能，以

43、保护以太网交换机不受诸如 IP 地址欺诈、明文密码截取等等攻击。 丰富的 QoS 策略 H3C S5500-SI系列交换机支持支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC 地址、目的MAC 地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持 SP（Strict Priority）、 WRR （Weighted Round Robin）、 SP+WRR 三种模式。 支持CAR （Committed Access Rate）功能，粒度最小达64Kbps。支持出、入两个方向的端

44、口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。 出色的管理性 H3C S5500-SI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持 Open View 等通用网管平台以及 iMC 智能管理中心。支持 CLI 命令行，Web 网管，TELNET，HGMPv2 集群管理，使设备管理更方便，并且支持 SSH2.0 等加密方式，使得管理更加安全。 H3C S5500-SI 系列交换机支持基于 MAC 地址划分 VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和V

45、LAN 下发 ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。产品规格及参数：（见表3-3所示）表3-3 H3C S5500-SI产品规格及参数:产品类型千兆交换机传输方式存储转发方式背板带宽128Gbps包转发率95.2Mpps接口类型10/100/1000M电口，100/1000M电口, 千兆SFP Combo口，24口传输速率10M/100M/1000Mbps模块化插槽数4个支持网络标准IEEE802.3x, 802.1X网管功能支持网管功能,支持命令行接口(CLI)配置, 支持Telnet远程配置, 支持通过Console口配置, 支持SNMP, 支持RMON, 支持Quidv

46、iew网管系统, 支持WEB网管, 支持系统日志, 支持分级告警, 支持HGMP, 支持NTP, 支持电源的告警功能, 支持风扇, 温度告警MAC地址表16K3.2.4接入层设计接入层是直接与校园网众多计算机相连的设备，校园网的接入层建设中，实训机房网络接入最为典型，在整个校园网的接入网建设中占有很大的比重，其主要特点是上网时间集中，突发流量大、安全控制要求高。学院网络升级后大部分教师采用无线上网方式，安全认证就是最总要的问题。鉴于上述特点，对于学院校园网网络接入层采用802.1x认证方式，配合PVLAN、单端口环回检测、端口速率限制、集群管理等手段，达到对学生可控、可管理的目的。因此接入层设备采用H3C E126A和H3C E152 和H3C WA2210-AG AP 配合使用。如图3-6、图3-7、图3-8所示图3-6 H3C E126A图3-7 H3C E152图3-8 H3C WA2210-AG交换机特点：全面的接入安全策略 H3C E126A/E152教育网交换机支持特有的 ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施校园网常见的“中间人”攻击，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持