中学网络建设方案规划书华为支持

《中学网络建设方案规划书华为支持》由会员分享，可在线阅读，更多相关《中学网络建设方案规划书华为支持（63页珍藏版）》请在装配图网上搜索。

1、学校网络建设方案建议书华为支持目录第一章 概述31.1XXX学校简介31.2H3C公司简介31.3设备性能要求4第二章 XXXX学校局域网方案72.1 网络结构方案72.2 核心交换机设备配置82.3 楼层交换机设备配置92.4 路由器设备配置102.5无线网络设计102.6 网络管理配置19第三章 网络方案特点213.1 高带宽、高性能213.2 高可靠性213.3 良好平安的管理机制233.4 优良的QOS保证233.5 满足根本的运营、可管理和控制需求233.6对于新特性的业务支持力度IPv6233.7深度业务感知，基于复杂流的检测和控制24第五章 网络平安方案255.1 网络平安技术概

2、述255.2 防火墙解决方案265.3 用户身份认证解决方案315.4 VLAN规划325.5 IP地址规划35第六章 QOS方案386.1 QOS技术介绍386.2 效劳模型406.3 华为VRP的QOS特性及实现技术426.4 业务分类及优先级分析556.5 效劳质量QoS保证实施建议56第七章 网络管理59第八章 设备简介64第一章 概述1.1 XXX学校简介1.2 H3C公司简介H3C技术简称H3C成立于2003年11月，运营总部设在杭州。H3C致力于IP技术的网络设备与应用的研究、开发、生产、销售及效劳。2005年上缴国地税及各项海关关税、增值税共2.8亿元人民币。2006年第一季度

3、，H3C销售收入达1.54亿美金，同比增长70%。目前公司有员工近4800人。 作为全球领先的网络设备和解决方案供给商，H3C不但拥有全线路由器和以太网交换机产品，还在网络平安、IP存储、IP语音 、IP视频、IP监控、WLAN、SOHO及软件管理系统等领域稳健成长。H3C实现了IP网络建设从13层向47层的深度扩展，致力于从网络设备供给商向全业务解决方案供给商的转变，目前已广泛效劳于党政、公检法、财税、教育、金融、电力、能源、交通、水利、制造业、公共事业、中小企业等广阔用户。H3C注重自主研发和知识产权体系的建设，每年将销售额的15以上用于研发投入，并拥有基于全球化的技术、人才、经验和质量管

4、理的研发平台，在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构，在北京和杭州设有产品鉴定测试中心，全面实施CMM和集成产品开发流程IPD管理。2005年，H3C用于研究与开发的投入达5.7亿元人民币。成立近三年来，H3C已申请专利400余件，其中80是创造专利。H3C始终把以客户需求为核心作为企业开展的源动力，构建起标准、统一、易获得的效劳平台，不仅在北京、东京、香港设立了客户效劳中心，建立了全球客户问题统一处理平台，超过300人的专职效劳人员，全面保证为客户提供高品质的效劳。2006年，H3C正式推出H3Care效劳品牌，向用户提供更加标准、易得的支持效劳和专业技术效劳。 国际化是H3

5、C的核心开展战略。目前，在日本、美国、南非、韩国、泰国、俄罗斯、印度和马来西亚成立了子公司，在欧洲、拉美、中东、亚太、非洲等地区设立代表处，产品和解决方案已经广泛覆盖91个国家和地区。来自每个笑容的背后，H3C支撑起你对未来的期待，让网络为你创造价值，让网络成就你的梦想。H3C，您身边的网络专家！1.3 设备性能要求本次配置设备必须具有较高的性能，所有端口均需到达全线速转发。1.3.1 关于可靠性考虑到XXXX学校网络是一个非常重要的教育网络系统，XXXX系统大量的实时数据在网络上传递，其网络可靠性直接影响到XXXX学校正常教学活动的进行，而且由于所要建设的是集整个数据通信主干网络系统，任何网

6、络的单点失败都可能对XXXX学校的正常教学活动带来影响。所有整个网络的拓扑设计、设备配置、协议支持都必须充分表达出对高可靠性的支持，不允许网络有任何的间断。所以本次投标方案必须满足：1所有高端、中端交换机必须具备高可靠性，采用分布式架构；2所有高端、中端交换机必须支持冗余电源；3所有高端、中端交换机必须配置分布式三层交换、分布式策略执行，即配置的每个模块必须支持分布式三层交换和分布式策略实施功能；这些策略包括ACLAccess control List，访问控制列表、QoS效劳质量保证等；4所有高端、中端交换机必须具有提供多层次物理层、数据链路层、网络层恢复机制的能力；支持基于标准的802.1

7、w快速生成树协议和链路聚合技术。1.3.2关于网络性能1所有高端交换机的主、备管理引擎模块必须具有相同的管理、交换和路由能力，并使用同一版本的微代码；2所有高端交换机必须支持第3层交换协议和线速运行；1.3.3 关于兼容性1要求交换机必须能和原有的网络系统无缝隔合；2高端交换机中同一层次交换机的管理引擎模块、交换矩阵模块、管理模块、10/100Mbps以太网交换模块、光纤千兆以太网交换模块等，尽量保证每种模块是同一型号；3所有高、中、低端交换机采用的10/100/1000Mbps以太网交换模块，必须是RJ45的端口形式。1.3.4 关于扩展性1任何一个硬件设备所需使用的软件或软硬件升级许可证必

8、须是唯一的有授权使用数量的，其授权使用数必须不小于硬件设备数量，以保证在使用的过程中不会发生冲突；2要求所有的高、中、低端千兆三层交换机具备高级路由功能、支持RIP1、RIP2，OSPF等路由协议，如有必要配置相应的软件；3要求所有的低端百兆二层交换机具备VLAN划分及SNMP管理等功能。1.3.5 关于投资保护系统设计采用成熟的计算机技术和网络通信技术，按照国际标准和工业界标准建立一个独立于应用，长期稳定和可靠，具有灵活性的开放系统，并能以较好的性能价格比实现与现有系统互连和向将来技术升级。1.3.6 关于可管理性和可维护性在一个网络系统中，网络管理已经越来越受到人们的重视。因为它关系到网络

9、系统的使用效率、维护、监控甚至系统资源的再分配。网络管理对系统的重要性越来越大，这是由于系统对网络环境的依赖性不断增加而引起的，一方面由于网络中断而使业务被迫中止造成的损失会越来越大；另一方面由于越来越多的用户连入网络，对网络管理的要求提高了，以确保网络到达最高的效率。1.3.7 关于开放性和先进性在大型网中，用户的环境千差万别，应用平台和硬件平台各不相同，因此，遵循开放式标准是实现网络互连的最根本的保证。系统具有开放性，意味着遵循一个大多数计算机系统所共同遵循的标准，园区主干网络的特点注定系统应具备有与其它系统和网络互操作和互联的能力。以实现内部各系统之间，以及有关其它领域的交流如：与Int

10、ernet互连，与各外地分支网络的互连等。开放性还意味着更多的选择和最正确的性能价格比，有利于在众多满足同一开放性标准的硬件、软件系统中选择最符合要求的产品。1.3.8 关于平安性1所有交换机必须支持VLAN，支持多种VLAN策略，以及满足802.1p与802.1Q协议；2预防播送风暴，防止因为病毒或入侵等原因引导起的网络不正常，而导致整个网络瘫痪；3保证效劳器能够正常的运行，不受任何外部人为或非人为技术干扰影响；4效劳器的访问控制和保护，保证效劳器不受到网络的攻击，拒绝恶意的网络攻击。使效劳器能够正常稳定的运行。第二章 XXXX学校局域网方案根据XXXX现网的需求分析，我们在XXXX网络系统

11、设计中包括：核心交换机设备的部署和选型以及楼层分支交换机的部署和选型，满足学校400多个信息点的网络系统互联的需求。2.1 网络结构方案对于XXXX学校网络类似的校园网网络应用，目前的技术趋势和业界的潮流已经完全确定，主干连接使用千兆以太网或链路聚合技术使网络连接主干带宽到达理想的带宽，客户端设备接入网络使用10/100M自适应以太网连接接入网络，效劳器等提供共享应用设备使用1000M光纤或双绞线连接接入网络主干网。局域网中普遍采用VLAN划分减少局域网中的播送域，提高以太网络的工作效率，使用三层交换技术实现VLAN之间的网络互通，使用VLAN和三层路由相结合实现对不同网段的平安控制策略。VL

12、AN划分方式普遍采用基于端口的VLAN划分，通过TRUNK协议实现跨主干网的VLAN划分，TRUNK协议普遍支持标准的802.1q协议。主干连接可以使用链路聚合技术方便的实现主干网的带宽扩充，网络设备普遍支持802.1P协议，使用802.1p协议实现在局域网网络中对不同数据流划分优先级，可以实现在以太网上开展对效劳质量敏感的应用。XXXX网络结构为星形结构，从核心机房到楼层配线间铺设多模光缆。网络方案图如下：2.2 核心交换机设备配置本方案中我们建议内网核心配置2台H3C公司大容量、高性能的H3C S8512万兆核心路由交换机，H3C S8512万兆路由交换机，采用分布式处理架构，逐包转发的处

13、理机制，具有720Gbps交换容量和432Mpps的包转发能力，设备具有12个业务插槽，支持10 GE接口，具有极高的性能和可扩展能力。S8512基于最长匹配的交换方式，能够保证所有报文均获得相同的转发性能，解决了很多交换机采用精确匹配交换技术所带来的路由震荡等问题，转发效率高，保证网络的稳定、可靠。建议2台S8512核心万兆路由交换机均配置冗余的路由处理引擎，每台配置48口10/100/1000自适应电接口模块1块，用于效劳器双绞线网卡和主干路由器的连接；每台各配置24端口千兆以太网光接口业务板1块和12端口千兆以太网光接口业务板1块，通过插入SFP子卡提供千兆连接。每台配置22个SFP多模

14、GE子卡用于连接楼层交换机和网上直报交换机。核心交换机之间通过1000M捆绑进行互联，以提高核心骨干带宽。今后可以通过万兆接口进行扩展，提升骨干带宽。核心交换机配置4-7层内容交换组件，提供效劳器负载均衡功能，满足XXXX各类业务开展的需求。具体设备配置见报价清单局部。2.3 楼层交换机设备配置本方案中我们建议配置H3C公司的S3928P-SI路由交换机，总共12台，每台交换机配置2个千兆多模接口通过光纤分别与内网核心交换机S8512连接。S3928P-SI交换机提供24口百兆接入能力和4个1000M SFP扩展模块，设备支持IRF智能堆叠，扩展性好。H3C S3900系列平安智能三层交换机是

15、H3C公司为充分满足平安IP交换和高QOS保证的需求而推出的智能型以太网交换机。该系列交换机提供完善的路由协议、VLAN控制、流量交换、QOS保证的机制，以及完备的业务控制和用户管理能力。这些智能化的特点非常适合作为关注业务管理控制和网络平安保障能力的办公网、业务网和驻地网的会聚和接入三层交换机。具体设备配置见报价清单局部。注：三层交换机作为接入的优势：三层到桌面一个最直接的优点就是个人用户平安性更高。目前局域网大局部均采用私网地址，IP地址资源一般都比拟充裕，采用30位掩码划分网段，一个用户一个网段，并且一个网段内最多也只能接入一个用户，所有用户之间的互访均通过三层交换实现。采用这种三层到桌

16、面的方式可以有效隔离用户之间的二层报文，包括二层播送报文以及二层的攻击报文，可以极大提高用户的个人平安。同时，采用一个用户一个网段、一个网段最多一个用户的策略，可以彻底杜绝用户IP地址假冒的问题，因为不同端口的网段均不相同，即使有人假冒他人的IP地址也无法实现网络接入。网络整体平安性提高。通过三层到桌面的方式，整个网络中将不再有二层报文，二层攻击事件彻底杜绝，设备与设备之间的级连链路上将只有三层报文流通，极大提高了网络带宽的利用率与网络的平安性。2.4 路由器设备配置主干路由器担负着上海XXXX网络和外界网络连通的重任，必须具备很高的可靠性，稳定性、强大的性能和丰富的路由协议、策略支持，因此建

17、议采用H3C公司H3C AR46-80(以下简称AR46-80)高端多业务路由器，满足出口节点多样性的需求。AR46-80多业务路由器是H3C系列路由器中的中高端产品，设备具有先进的转发体系结构和灵活的组网能力，具有强大的专线接入及VPN业务能力，提供丰富的业务功能，具备完善QOS和平安特性。设备支持高性能转发能力，最高转发速率到达1Mpps。AR46-80通过1000M接口与核心交换机互联，同时配置E1 2M接口连接分支机构的网络。具体设备配置见报价清单局部。2.5无线网络设计2.5.1无线网络总体拓扑图如上图所示，无线网络主要由两方面设备组成，一是部署在教学楼各楼层的无线AP，本次工程推荐

18、选用支持802.11g技术的H3C WA2210-AG，该设备可实现最大54Mbps传输速率，且每台AP支持2030个用户的无线接入，传输距离较原大，能够覆盖更大的范围。WA2210-AG AP支持Fat和Fit两种工作模式，根据网络规划的需要，可以通过命令行灵活地在Fat和Fit两种工作模式中切换。本次复旦附中工程既是将WA2210-AG产品配合S7500E无线控制器插卡，作为瘦APFit AP使用。另外，其他各楼，如问思楼等，也考虑选用支持802.11g的蟑螂型壁挂式AP，每层楼部署24个，提供54Mbps的接入带宽，作为有线网络的有力补充，供教师及学生无线上网使用。无线网络的另一组成局部

19、即无线控制器插卡，该设备默认可支持128个无线Fit AP的统一集中管理，并可扩充至最大640个无线AP，提供用户无缝漫游切换时间小于50ms、AP零配置、用户接入负载均衡以及智能射频技术等。无线控制器插卡作为模块部署在核心交换上，是一个理想的有线无线一体化设计方案，即实现了一体化的硬件设备减少网络单点故障，实现了一体化的管理可用一套网络管理软件实现对有线和无线网络的统一管理，也实现了一体化平安可利用交换机的ACL、ARP防御、DDOS防御等功能，保护无线网络的平安。本次工程中，将无线控制器插卡插入核心交换机S7500E，部署在中心机房，将教学楼内的无线AP部署在各楼层的过道等处，每个AP均通

20、过6类线，直接通往三楼的中心机房，最后连接在POE交换机的24个10/100BaseT接口上，这样节省了AP端的强电布设的本钱。另外，还需要注意的是，PoE交换机与AP之间连接6类线的距离按照布线标准90米原那么，如超过90米，那么会出现信号衰减的情况。2.5.2 H3C无线网络技术特点u H3C解决无线解决方案优势1) 国内市场占有率第一位，国内运营商WLAN设备市场份额24.5%，高端应用案例众多，如上海环球金融中心酒店无线覆盖、上海新天地无线覆盖、国家体育场鸟巢、国家大剧院等。2) 实现有线/无线一体化，通过一体化硬件、一体化管理及一体化平安，将有线网络及无线网络进行融合，可实现统一认证

21、、统一管理及统一平安规划。u 智能射频管理每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小。当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到适宜的工作信道以躲避干扰信号。当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。u 智能负载均衡无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况。当无线控制器发现AP的负载超过设定

22、的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有那么AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的防止误均衡的出现。u 无线传输距离u 业务QOS支持H3C无线产品支持多种效劳质量Qos，支持802.11e中的EDCF优先级，支持以太网口支持802.1p识别和标记。支持优先级队列及映射、流量限制、流分类。并且能够对QOS策略映射不同SSID/VLAN。多媒体业务QOS示意u 支持无线入侵检测系统(WIDS)H3C WLAN

23、解决方案支持无线入侵检测系统(WIDS)，WIDS工作原理如下：A.无线控制器可以指定AP工作在两种工作模式：模式一、AP负责监听空口所有信道的信息，但不负责用户报文的转发。模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息, AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器B.无线控制器根据AP上报的设备信息识别非法设备C.无线控制器通过各种途径提供各种声、光、电的报警D.当有用户试图连接到非法的AP上时，用户会发起关联请求，无线控制器通过AP收到这个请求时，指挥周边的AP发解除关联的指令，确保用户不会连接到非法AP。 u Portal认证支持Portal认证又

24、称为强制WEB认证，以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点，受到越来越多用户的欢送。Portal认证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息效劳、个性化的业务等，为信息传播提供一个良好的载体。Portal认证原理：Portal 认证协议主要应用于H3C公司提出的基于 WEB 的宽带接入认证系统中，完成用户的认证和授权。整个 Portal 认证过程涉及到了Portal 页面，WX5002 和 iMC 效劳器。Portal认证工作原理：未认证用户在访问网络时，可以直接访问为用户免费开放的资源，当用户要使用网络中的收费

25、资源时，设备会将用户的 请求重定向到Portal门户网站，用户必须在门户网站进行认证，只有认证通过后才可以访问这些资源。Portal认证的工作流程如以下图所示：图6-4 Portal认证流程认证流程：用户通过IE访问需要授权的网络资源，设备发现用户还没有通过认证那么强制到Portal，Portal Server将WEB页面强推给用户，提示用户需要进行认证。用户在WEB页面中输入用户名密码并提交认证，Portal Server将认证信息发送给设备，设备将用户信息转换为Radius报文发送到iMC效劳器进行认证。iMC效劳器对用户信息进行验证，确认无误后，下发认证通过报文以及相应的权限控制信息给设

26、备，设备放开用户的上网权限，同时iMC效劳器开始进行计费。上网期间，用户PC和Portal Server定时发送心跳报文交互，以确保用户没有因异常原因下线。用户下线时，Portal Server收到用户下线请求并通知设备，iMC效劳器终止计费并通知设备断开用户。u 多业务的平安性H3C FIT AP解决方案提供多种业务不同网络层面的平安保障，表达在：层次体系主要技术解决的问题物理接入WEP64/128、TKIP、CCMP加密可升级支持WAPI加密防止无线报文被监听和篡改SSID隐藏解决不明用户访问网络逻辑链路802.1x/PSK/MAC/Portal多种认证方式的混合接入802.1x支持PEA

27、P/TLS/TTLS/SIM多种模式可升级支持WAPI认证用户身份鉴别和平安准入动态下发用户的权限业务隔离Hotspot用户隔离限制用户互访黑名单限制恶意用户网络无线入侵检测系统非法设备的检测、无线攻击的告警和躲避平安策略在无线控制器统一部署防止在大量的无线接入点部署策略AC和AP间的CAPWAP隧道下行流量限速防范外界对AP的数据流量攻击IPSEC VPN端到端的平安加密资源绑写MAC、ESS、VLAN、Port尽可能防止假冒设备AP本地不再保存配置信息防止设备丧失造成配置泄漏AP身份认证只有合法的AP才能和无线控制器建立关联AP支持多无线控制器的冗余备份无线控制器down机不会造成无线网络

28、的瘫痪网管无线平安策略配置无线平安策略的统一部署非法设备监控和告警非法设备的检测、无线攻击的告警和躲避设备信道调整告警了解设备遭受干扰后的信道调整情况u IPV6支持为了适应下一代IP网络的部署要求，H3C公司的FIT AP能够同时满足IPv4和IPv6两种不同网络的组网要求图示，为了简化用户配置这种适应能力不需要用户配置干预而是自适应调整。作为FIT AP的缺省发现方式FIT AP会首先作为IPv4节点发起无线控制器发现过程，当发现过程失败以后，FIT AP会切换到IPv6节点方式继续无线控制器发现过程。 FIT AP会在以下两种情况下切换到IPv6模式：1、FIT AP无法从DHCP se

29、rver获取到IPv4网络地址2、FIT AP在IPv4网络没有无线控制器响应FIT AP的发现请求3、FIT AP在IPv4网络中和所有的无线控制器建立连接失败u AP间无线漫游H3C无线漫游解决方案支持同一AC下AP之间，不同AC下AP之间的无缝快速漫游，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。1、同一AC下AP之间快速漫游：AP1与AP2分别与AC建立CAPWAP隧道； 无线用户与AP1进行关联，接入网络；AP会将用户的报文封装在隧道中送给AC处理；当无线用户从AP1往AP2方向移动时，无线用户向AP2发起认证和

30、重关联请求此时重关联请求中携带无线用户与AP1协商出的PMK对应的PMKID；AP2透传重认证请求报文到AC上；AC检查发现此无线用户已经在AP1上进行认证，且通过PMKID成功查询得到对应PMK，说明此无线用户为漫游用户；重关联成功后，AC直接通知无线用户使用原有的PMK进行四次握手4-Way handshake协商，得到实际数据加密使用的PTK。无线用户与AP1解除关联，所有用户数据通过AP2进行转发。整个协商过程中，未和认证效劳器进行交互，且用户无需重登录。H3C的AC内快速漫游的最大延迟时间为50ms.2、不同AC下AP之间的快速漫游：不同AC下AP间漫游，采用IACTP技术实现。In

31、ter Access Controller Tunneling Protocol (IACTP) 是H3C自主创新的私有协议，它提供了无线控制器AC间的一种通用的封装和传输机制。IACTP使用标准TCP客户端/效劳器模型。IACTP引入了漫游域的概念，漫游域是一个AC的集合，它定义了无线用户可进行快速漫游的AC集。IACTP提供控制通道用于快速漫游时AC间共享/交换信息，同时也提供了数据通道用于对数据报文进行AC间的传输。预先配置的漫游域中包含AC1和AC2。AC1与AC2建立IACTP隧道；无线用户第一次关联到一个漫游域中的任意一个AC 如AC1，称此AC为家乡Home-ACHA，并进行80

32、2.1X或MAC认证，和802.11Key协商。AC1通过IACTP把用户信息诸如PMK， PMKID等同步到预先配置的漫游域中所有AC中，此时为AC2。当无线用户漫游到漫游域中的其它AC时AC2，称此AC为Foreign-AC (FA)，无线用户向AC2下属的AP2发起认证和重关联请求此时重关联请求中携带无线用户与AP1协商出的PMK对应的PMKID；AP2透传重认证请求报文到AC2上；AC2通过AC1同步来的无线用户信息，检查发现此无线用户已经在AC1AP1上进行认证，且通过PMKID成功查询得到对应PMK，说明此无线用户为AC间漫游用户；重关联成功后，AC2直接通知无线用户使用原有的PM

33、K进行四次握手4-Way handshake协商，得到实际数据加密使用的PTK；无线用户与AP1解除关联，所有用户数据通过AC2AP2进行转发。AC2对用户数据进行IACTP封装，通过IACTP数据通道转发到AC1。由于所有数据最终仍然通过AC1进行处理，因此保证了用户IP不改变，用户业务的不中断。H3C的不同AC下的AP间快速漫游的最大延迟时间为50ms。2.6 网络管理配置在网络中心配置H3C公司独立研发的，面向企业应用的全新一代网络运营管理软件系统Quidview 3.0系列网络管理软件。另外可结合实际需求配置CAMS系列运营管理软件。Quidview 3.0是针对IP网络开发的适合各种

34、规模的网络管理的新一代的网管软件，提供了全面的网络建构和管理功能；CAMS那么是用于网络平安、认证和计费的运营和综合管理软件，为网络系统提供了全面、丰富、细致的运营管理手段。Quidview网络管理软件使用灵活的组件技术，支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理，支持企业网络和运营商网络。具体性能介绍见第七章网络管理局部；具体设备配置见报价清单局部。第三章 网络方案特点基于成熟的技术和创新的设计，针对XXXX学校网络建设需求，提供高性价比、高性能、高可靠的局域网建设方案，满足日常教学、办公、话音、视频等大多数宽带业务和根本的可运营、可管理需求，同时提

35、供灵活的扩展能力。3.1 高带宽、高性能整网基于二、三层以太网交换技术，技术成熟度非常高，以较高的性价比获取100M到桌面，1000M上连，同时支持10G的接口能力。所有设备本次配置的所有端口全部支持全线速度交换，给用户提供真正的高带宽的网络，对企业较高带宽的业务支撑能力强，开展潜力大。XXXX大量数据流向效劳器，保证对效劳器访问的高性能和高带宽是本次方案设计的一个重要考虑因素。本次方案设计中，所有效劳器全部通过GE端口连接到高性能的网上直报交换机上，所有GE端口全部实现线速转发，保证了XXXX用户对效劳器的大数据量访问。本次配置的万兆核心交换机S8512是H3C公司推出的新一代高性能万兆核心

36、路由交换机产品，它采用模块化设计，一共有12个业务槽位，可支持10 GE接口，具有极高的性能和容量。S8512采用先进的全分布式体系结构，区别于其他的企业级三层交换机路由集中式处理所导致的转发效率低下。S8512区别于传统三层交换机采用流CACHE转发方式，而是采用了更先进的最长匹配、逐包转发的转发方式，转发性能和业务流目的地址变化无关，可用在网络高端位置；而传统三层交换机ASIC采用流Cache命中方式，转发性能会随着业务流目的地的变化急剧下降，可下降90以上。3.2 高可靠性网络的构建中，各网络之间的互通是最根本的要求，但只有这点对XXXX骨干网络是远远不够的，网上业务的不可间断性，对网络

37、互联、运行的可靠性都提出了很高的要求。因此，网络的可靠性设计、备份网络的建设，就显得尤为重要。网络的可靠性设计需要考虑：1设备的可靠性设计：消除单点故障，设备关键部件应该冗余设计，支持热插拔；2互连线路的可靠性设计：防止单路故障，提高网络路径冗余，设备间应使用热备份技术如VRRP等，保证网络及业务的不间断性；当启用路由时，通过路由的自动选路和迂回，做到当某局部网络出现意外而发生通路切换，这些操作对上层业务主机是透明的。设备的可靠性设计：提高网络设备的可靠性需要从设备的硬件系统和软件系统两方面考虑。在硬件系统上，提高设备可靠性的方法包括在关键部件上采用大量的冗余设计方式和降额设计方式，对硬件系统

38、的关键部件进行备份，使用正确的制造工艺，对出厂设备进行老化试验；一般情况下，这样的措施能够保证产品的可靠性，但是不排除因为个别器件异常或环境因素的影响，导致产品出现故障，因此需要使用冗余措施来进一步增强设备的可靠性。在使用1+1备份的情况下，设备的可靠性增加50%，因为备份措施比其它措施更能够有效的保证设备的可靠性，所以在传统电信设备中，广泛的使用了备份机制来提高可靠性。H3C公司在以太网交换机设计中引入了电信级的设计思想，S8500、S6000系列交换机遵循模块化、分布式、热备份、热插拔、软件补丁等设计思想，同时按照IPD集成产品开发流程运作，采用CMM 5软件开发成熟度模型，使其到达很高的

39、可靠性。S8512万兆交换机主控板、交换网和电源系统等所有关键部件采用冗余热备份设计，支持双路电源供电，采用分布式路由转发处理引擎，有效隔离网络故障，采用无源背板，支持真正热插拔、热备份，不需重新启动，不影响业务进行。根据国际通用的可靠性计算公式，采用Bellcore TR-332标准的计数法预计器件的稳态故障率，采用可修系统和马尔可夫模型进行计算系统可靠性，并参照MILHDBK472 Maintainability Prediction 中的可修复产品“时间累积预计法。计算得出S8512的可靠性指标： MTTR小于0.5小时，MTBF大于5万小时，可用度为99.99989%。3.3 良好平安

40、的管理机制使用华为QUIDVIEW网络管理软件实现全面的网络管理，所有设备都支持基于SNMP V3协议的网络管理和基于浏览器技术的图形化的配置管理等。可以利用华为HGMP协议的集中管理特性，可以在核心交换机对会聚接入交换机进行集中统一的配置和管理，把分布安装的设备的配置、管理、维护、升级、业务等全面管理起来，以软件的代价替换物理资源和人力的投入，降低整个网络的维护管理本钱，改善网络管理能力。支持基于SNMP的统一的网络管理能力，支持基于V3版本的SNMP协议，提供真正平安的网络管理机制。带内网管数据流承载关于网络配置的全部信息，V3版本的SNMP协议基于加密、鉴权、认证手段把这局部信息保护起来

41、，实质性地提高了网络管理的平安性，改善网络的可运营性和可管理性。3.4 优良的QOS保证S8500、S5600和S3900系列交换机支持基于二、三、四层的灵活的流分类和QoS策略，配合网络的高转发性能，对不同类型的业务和不同类型的用户进行分类支持，为话音、视频等实时业务提供质量保证；对关键业务和非关键业务进行区分处理，保证关键业务畅通。3.5 满足根本的运营、可管理和控制需求通过交换机和CAMS认证管理效劳器的配合，实现端口地址捆绑、用户接入认证、QoS、平安特性和集中统一网管等特性，满足业务可扩展，提供根本的可运营可管理特性。3.6对于新特性的业务支持力度IPv6数据通信的技术的开展的迅速的

42、，所以在网络建设的过程当中应当充分考虑到网络的延续性以及网络对于未来新业务的支持力度，如：IPv6技术，随着Internet网的迅速的开展，目前国内的IP地址的数量越来越不够使用，这就迫使我们需要进一步扩大IPv6的协议的支持，目前各高校正在学校内部的局部局域网实验IPv6的技术，再如：MPLS VPN的技术目前好多的运营商都在兴建自己的VPN线路。在本次建网的过程当中希望能够考虑到网络的延续性以及相关的技术的支持性，以便于网络的建设的开展。传统的路由设备在增加新的业务特性的时候，必须通过更换单板等硬件升级的方式来实现，这样对于用户来说，是一笔极大的浪费。H3C公司充分考虑到用户的相关的需求，

43、因此核心交换机S8512和路由器AR4600对于新业务MPLS VPN、IPv6等技术均可支持。3.7深度业务感知，基于复杂流的检测和控制随着应用和业务越来越复杂，如何维护XXXX的应用和标准网络应用，提高XXXX网络的平安性和可控制性，是必须面临的问题。S8512交换机可以根据基于复杂流的分类来检测数据报文的合法性和平安性。S8512可以检测数据报文中最长128字节的匹配内容，例如S8512会根据预先设定的检测匹配内容如“法轮功,如果设置了该匹配内容，那么S8512会检测报文流中最长的128个字节内容，如果有匹配的内容就丢弃该流的报文，提供从网络内部的平安性。我们本次方案时已经设计了此项功能

44、的应用。H3C S8500核心交换机支持深度业务感知，支持对BT业务流的识别并对BT流进行CAR带宽限制，BT流的总带宽可以根据需要被控制在100K-1Gbps之间，通过BT流的特征字符串，抓到BT流并打上标记，以后对所有命中该流的报文做适当的带宽限制，从而实现对于BT业务的禁止或限流量。而其实现方式只要通过简单的几条命令就可以到达目的。 第五章 网络平安方案随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的破坏,或被删除或被复制或被篡改和窃取，数据的平安性和自身的利益受到了严重的威胁。无论是有意的攻击，还是无意

45、的误操作，都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。黑客的威胁见诸报道的已经屡见不鲜，象不久前的中美黑客大战就曾轰动一时。内部工作人员的不小心甚至充当间谍，据XXXX分析，70%的平安问题来自于单位内部。内部工作人员能较多地接触内部信息，工作中的任何有意行为或者不小心都可能给信息平安带来危险。这些都使信息平安问题越来越复杂。竞争对手的非法入侵。现在社会竞争越来越剧烈，竞争对手通过网络非法访问对方内部信息的事件也屡见不鲜。在XX

46、XX计算机网络运行企业科研、生产和经营管理业务系统，存储数据涉及企业核心秘密的信息，假设网络系统被非法攻击将会直接影响企业业务并造成损失，核心数据的丧失或泄露将威胁企业的生存，其影响是难以估量的。综上所述，在XXXX计算机网络必须有足够强的平安措施。无论是在局域网还是在广域网中，网络的平安措施都应能全方位地应付各种不同的平安威胁和系统脆弱性，这样才能确保网络信息的保密性、完整性和可用性。5.1 网络平安技术概述网络平安技术包括：防火墙，身份认证，入侵检测和漏洞扫描，VPN平安通道，平安策略管理和防病毒。1、防火墙技术，一般用于内部网络和外部网络交界处的平安，主要包括因特网出口处以及内部单位之间

47、的平安，Internet出口处的平安措施一般采取加防火墙的方法，实施地址转换，隐藏内部网络结构，限制外部用户访问内部网络的权限和可到达的区域等，目前一些比拟先进的防火墙还可以实现入侵检测、防病毒等功能，极大提高内部网络的平安性，防火墙目前包括硬件防火墙和软件防火墙2种，由于硬件防火墙的高性能和更好的平安性，目前被更加广泛的使用，新型的防火墙具有的透明防火墙功能更多的被用于内部网络之间进行访问控制，提高网络的平安性和可管理性。2、身份认证，包括用户身份鉴别、用户访问权限授权、用户访问资源计帐。3、漏洞扫描，检查平安根底设施的有效性，包括新系统安装检查，发现恶意入侵行为的措施等。平安扫描工具主要用

48、于主动的发现内部网络上所有设备存在的平安漏洞，可以提示用户进行相应的措施加以解决。 4、平安通道，指数据的保密性，涉及数据在传输过程特别是在公网信道上不被窃取，保证数据的目标用户可以容易解读加密的数据。包括有硬件信道加密以及二层VPN、三层VPN等技术，详细情况见VPN方案章节。5、防病毒，当今计算机电脑病毒对用户网络、计算机、重要资料造成的损害越来越大，而且传播途径多种多样，必须建立网络病毒检测、预防和治理相结合的完善防病毒体系。6、平安策略，主要由用户根据网络内部不同局部的重要性的差异，以及功能差异等因素，定制处不同的平安策略，包括Internet网络用户对内部网络的访问以及内部用户的不同

49、的访问权限等，平安策略的制定将直接影响到网络的平安性能。5.2 防火墙解决方案在XXXX网络系统中，目前在Internet出口处以及已经使用有硬件防火墙，但是现有的硬件防火墙主要实现地址转换和访问控制功能，不具备入侵检测功能和防病毒功能，入侵检测和防病毒功能是新型防火墙新增的局部功能，主要针对Internet网络上日益增长的不平安因素而将这2项原本由不同专业设备完成的功能集成在一起，更好的完成对内部网络的平安防护功能。防火墙可以作为内外网之间良好的访问控制通道，或作为某一资源的有效保护，由于黑客攻破防火墙的情况也越来越多，发生这样的情况怎么办呢？采取实时入侵监测的技术，及时探测到黑客的入侵，立

50、即切断入侵动作，修改防火墙的配置，断绝其入侵的路径，并记录其行为。随着Internet的越来越普及，应用的越广泛，病毒的危害也越来越大。总是不停的有新的病毒出现，并造成破坏，人们特别是系统管理员的工作量也越来越大，因此，如何构筑一个更加有效的防病毒体制，成为了一个企业不得不去面对的问题。防火墙通过检测在XXXX网络内部和外部网Internet之间的请求，然后允许或拒绝每个连接请求，使因特网连接尽量平安。功能强大的防火墙是在所有通信协议层上从数据链路层到应用层保护网络。防火墙被认为是XXXX网络边界平安，没有它，网站内的每个主机都不得不自己执行防火墙的功能。防火墙的主要功能都使用包过滤、网络地址

51、转换、代理效劳三个根本方法。包过滤功能拒绝接受从未授权的主机发送的TCP/IP 包，并拒绝接受使用未授权效劳的连接请求。网络地址转换翻译内部主机的IP 地址而使外部监视器无法探测它们。代理效劳代表内部主机进行高层应用连接，完全中断内部主机与外部主机的网络层连接。大多数防火墙还执行加密的身份认证和加密通道两个重要的平安效劳。加密的身份认证允许公共网络上的用户从外部网络为获得专用网络的访问权证实他们的身份。通过公共网络如Internet为两个专用网络之间建立一个平安的加密通道来进行通信。由于XXXX内部网络要和外部网络发生业务联系，又要保证网络的平安性，故在XXXX内部网络和XXXXINTERNE

52、T网出口路由器之间设置H3C公司的硬件防火墙来保证XXXX网络内系统的平安。DMZ区又称非军事化区，它对外提供各种效劳如网页浏览、邮件效劳和FTP效劳等，系统对外开放的信息都放在该区，由于它的开放性，就使它成为黑客们攻击的对象，但由于它与内部网是隔离开的，所以即使受到了攻击也不会危及内部网络的平安。H3C S8512内置防火墙模块需要单独配置硬件单板，提供完善的平安特性，如包过滤防火墙、状态防火墙、验证、加密等功能和完善的VPN效劳。1)、NAT 特性通过防火墙的NAT/PAT那么可以用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址，外部网络根本不可能穿

53、过地址转换层直接访问XXXX内部网络。地址转换能够将网内效劳器发出的报文的源地址全部映射成一个外部地址。地址转换使网内用户通过路由器访问Internet的同时保证XXXX网络内部的平安性。防火墙可以支持H.323 协议的地址转换，因此可以在不增加任何其他非会议电视设备H.323组件的前提下，实现跨NAT的H.323通讯。NAT支持RASReliability Availability and Serviceability，可靠性、可获得性、可效劳性、Q.931、H245消息，能够和多媒体MCUMultipoint Control Unit，多点控制单元、GKGatekeeper，网守以及终端等

54、设备灵活组网，使得该设备可以完全透明的支持多媒体应用。这样，具有私有IP地址的网站内的视频终端可以和Internet上的视频终端进行视频会议的交流。NAT特性支持DNS Domain Name System，域名系统、Netmeeting网络会议效劳。防火墙提供优质的NAT性能，可以满足大量访问的需求，向外提供WWW、FTP等效劳，防止XXXX系统内部效劳器直接受到攻击。2)、包过滤防火墙特性提供完善的包过滤防火墙特性：A、 可以根据IP包的目的地址、源地址，TCP/UDP的目的端口、源端口，ICMP报文的类型、Code等信息进行包过滤。B、可以针对分片报文指定专门的过滤规那么。C、可以针对分

55、片报文进行精确的四层匹配。D、可以对违反规那么的报文做日志。E、配置ACL平安规那么的时候，可以提供自动排序或者按照配置顺序排序两种规那么排序方式，极大的方便了用户配置平安规那么。F、可以根据收到报文的接口进行包过滤，例如可以禁止从Eth0接口进入的报文从Eth1接口转发。G、黑名单过滤恶意主机为了更快捷地发现并屏蔽某些恶意主机的攻击行为，防火墙提供主动防御措施即动态、手工两种方式维护黑名单列表，将某些报文源IP地址记录在黑名单中，从而实现高速的报文过滤。H、防范假冒IP地址防火墙根据用户配置，将MAC和IP地址的绑定并形成关联关系，从而过滤IP地址和MAC地址不匹配的报文，从而有效防止IP地

56、址假冒攻击的行为。3)、应用层状态检测传统的包过滤技术虽然简单，但缺乏一定的灵活性，对类似于FTP这样的多通道应用来说，配置包过滤是困难的；FTP应用包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，配置平安策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。防火墙提供的ASPFApplication Specific Packet Filter，基于应用层标准的包过滤特性可以解决这个问题。ASPF是一种高级通信过滤，它检测基于TCP和UDP应用的报文应用层信息，监控每一个连接的应用层协议状态，并动态地根据报文的内容创立和删除临时的ACL表项。每一个连接状态信息都将被AS

57、PF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃，可以保证所有建立的连接都是合法连接，防止地址欺骗、身份伪造等恶意攻击行为。ASPF特性还可以检测基于TCP SYN的DoS攻击；由于ASPF维护并记录每一个TCP连接状态，因此根据TCP SYN状态的数目及速率等方式是否超过一个预定的阈值来判定系统是否正在遭受DoS攻击，从而可以防止DoS攻击。目前提供如下检测：标准TCP、UDP报文检测分片报文检测FTP协议数据通道和协议状态检测SMTP协议状态检测RTSPReal Time Streaming Protocol协议媒体通道和协议状态检测H.323协议多通道和协议状态检测 协议状态检测

58、Java Blocking保护和ActiveX Blocking保护Java小程序由Internet浏览器进行解释并在客户端执行，因此它把平安风险直接从效劳器端转移到了客户端。防火墙通过在两个区域之间对较高平安级别的区域实施Java Blocking保护，确保网络传输通过 方式传送的Java信息不受有害Java applets的破坏。同样，防火墙也能有效实施ActiveX Blocking保护，从而防止ActiveX控件给Internet浏览器端造成平安威胁。端口到应用的映射：由于所有应用层协议都使用一些系统预定义的知名端口号通信，为了防范恶意用户进行端口扫描，从而攻击系统，系统管理员可以对不

59、同应用在系统定义的端口号之外指定一组新的端口号，外界主机与这些新端口号发起连接，从而隐藏内部知名端口，从而提供良好的平安机制。目前支持两类映射机制：通用端口映射和基于标准ACL的主机端口映射。通用端口映射将用户自定义端口号和应用层协议建立映射关系，这样目的端口号就决定了该报文类别。主机端口映射利用标准ACL规那么，将来自某些特定主机的报文、端口号和应用协议之间建立映射关系。4)、防范攻击随着Internet的广泛应用，网络攻击手段越来越高明，并且越加隐蔽。按照攻击采用的方式，网络攻击大致可以分为：DoSDenial of Service，拒绝效劳攻击、扫描窥探攻击、其它攻击。防火墙提供强大的攻

60、击防范机制，对设备进行平安保护，防止非法报文对内部网络造成危害。防范多种DoS攻击：可以有效地检测出这些类攻击报文，防止攻击行为，记录日志。包括：SYN Flood攻击、ICMP Flood、UDP Flood攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位如ACK、SYN、FIN等不合法、Ping of Death攻击、Tear Drop攻击等等。防范扫描窥探：防火墙通过比拟分析，可以灵活高效地检测出这类扫描窥探报文，预先防止后续的攻击行为。可防止的扫描窥探包括：地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、t

61、racert窥探网络结构：Tracert利用TTL限定的ICMP或UDP报文，发现报文到达目的地所经过的路径，从而窥探网络结构。防范其它攻击：IP Spoofing 攻击：在基于IP地址验证的应用中，入侵者通常伪造报文的源地址从而获得对系统的访问权。5)、重要数据加密对于一些需要和XXXX交互数据的大客户，需要对通过Internet交互的数据进行加密，保证数据的平安传输。防火墙支持IETF制订的IPSec系列协议，通过采用自动协商密钥的方式，在传输或隧道模式下能够单独或组合应用AHAuthentication Header ，确认报头和ESPExtended Services Processo

62、r，扩展业务处理器平安协议，对整个IP报文或数据载荷内容进行不同粒度级别的加密和认证，从而提供验证数据源、校验数据完整性和防止报文重放等ESP还提供加密功能，结合ACL访问控制列表共同确保数据信息在Internet上传送的平安保密性。设备遵照ISAKMPInternet Security Association and Key Management Protocol，因特网相关平安和密钥管理协议协议框架和IKEInternet Key Exchange，因特网密钥交换协议实现自动密钥交换功能，简化了IPSec的使用和管理。5.3 用户身份认证解决方案身份认证指的是用户身份确实认技术，它是网络平

63、安的第一道防线，也是最重要的一道防线。网络中的各种应用和计算机系统都需要通过身份认证来确认一个用户的合法性，然后确定这个用户的个人数据和特定权限。生活中我们使用信用卡时，需要输入密码，上飞机时需要出示身份证等等，这些都是身份认证的应用实例。 对于身份认证系统来说，最重要的技术指标是，合法用户的身份是否易于被别人冒充。用户身份被冒充不仅可能损害用户自身的利益，也可能损害其他用户和整个系统。在计算机系统中，一般采用验证口令的方式来确认用户的合法性，但是用户的口令可能由于各种原因被其他人得到，常见的途径有： 1通过网络窃听。很多传统的网络效劳在询问和验证远程用户口令的过程中，用户口令在网络中用明文传送，于是网络中的窃听者可以窃得用户口令； 2通过用户主机窃听。现在各种各样的木马程序非常多，用户一不小心，就可能将来自各种渠道的某个木马程序激活，然后远程的黑客通过木马程序记录用户的一举一动，包括用户输入的口令； 3通过简单猜想。很多用户在设置口令的时候，为了方便自己记忆而选择过于简单的口令，攻击者通过简单猜想就可以搞定；