计算机网络专业网络设计与规划.doc

1、 编号 *学院毕业论文题 目*科技网络设计与规划学生姓名 学 号 院 系计算机与通信工程学院专 业计算机网络技术班 级 指导教师* 讲师顾问教师二一五年十月摘 要信息化爆炸式发展的今天，以计算机网络迅猛发展而形成的网络化是推动信息化、数字化和全球化的综合信息系统，基于计算机网络的各种网络应用系统通过在网络中对数字信息的综合采集、存储、传输、处理和利用而在全球范围把人类社会更紧密地联系起来，并以不可抗拒之势影响和冲击着人类社会政治、经济、和日常工作、生活的各个方面。企业局域网建设的应用也越来越多，因此企业局域网也越来越被重视，成为企业核心竞争力的关键因素。利用网络技术，现代企业可以在供应商、客户

2、、合作伙伴、员工之间实现优化的信息沟通，这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业，加上很多移动终端的使用，使得网络多元化，更智能。本次论文，主要深入研究分析了企业局域网的构建及其相关安全管理技术措施，探索了局域网在企业网络中基本应用，运用多种网络常用技术使网络更加安全、可靠、实用。结合志诚科技有限公司企业网构建的实际需求，构建了一个实用、安全的企业局域网的解决方案。本方案针对中小企业的局域网建设，为企业信息平台的建设提供一个行之有效的方案。关键词：企业网 端口聚合 访问控制 VLAN 网络安全AbstractAbstra

3、ctThe explosive growth of information technology today, the network and the rapid development of computer network is to promote the formation of information technology, digitization and globalization of integrated information system, a variety of network-based applications through the computer netwo

4、rk of integrated digital information network collection, storage, transmission, processing and utilization of the human society on a global scale more closely together, and with irresistible trend influence and impact on all aspects of human social, political, economic, and daily work life. Applicat

5、ion of enterprise LAN-building more and more, so companies are increasingly being taken seriously LANs become the core competitiveness of key factors. Use of network technology, modern enterprises can optimize communication of information among suppliers, customers, partners, employees, which is dir

6、ectly related to the ability of the business to obtain a key competitive advantage. In recent years, more and more enterprises are accelerating build their own information network, while the vast majority are SMEs, with a lot of use of the mobile terminal, making the network diversification, more in

7、telligent.This paper mainly depth research and analysis of the Construction and related measures for security management technology enterprise LAN, explore the basic LAN application in enterprise networks, using a variety of common network technology makes the network more secure, reliable, and prac

8、tical. Combined with the actual needs of the enterprise network to build Zhicheng Technology Co., Ltd. to construct a practical, secure enterprise LAN solutions. The program for the construction of small and medium local area networks, for building enterprise information platform to provide an effec

9、tive solution.Keywords: Enterprise Network Port Aggregation Access control VLAN Cyber Security目 录目 录摘 要IABSTRACTII第一章 系统设计需求与分析11.1志诚科技网络建设背景11.2志诚科技网络基本需求11.3志诚科技网络安全需求2第二章 企业网络总体设计方案32.1网络设计原则32.2网络建设目标42.3志诚科技网络拓扑结构图52.4志诚科技网络地址规划6第三章 企业网络设备选型73.1出口设备选型73.2核心设备选型93.3汇聚设备选型123.4接入设备选型163.5无线接入点设备选

10、型19第四章 网络技术应用与配置234.1虚拟局域网技术234.2端口聚合技术244.3生成树技术244.4 OSPF路由协议244.5 VRRP+MSTP技术254.6访问控制技术26第五章 总结与展望295.1论文总结295.2展望未来29致 谢30参考文献3133第一章 系统设计需求与分析第一章 系统设计需求与分析1.1志诚科技网络建设背景志诚科技有限公司是一家成立不久的公司，该公司有所有员工在同一栋楼里，该楼四层，一层楼中包括财务部和仓库，二楼和三楼为办公层，核机房在三楼，四楼为老板和主任办公室，还有两个会议室。1.2志诚科技网络基本需求满足志诚科技公司高速的要求,主干网负责各个子网和

11、应用服务的连接，为信息交换提供有效的高速通道。系统主干采用万兆以太网1000M交换，下属子网采用千兆以太网，网络协议采用TCP/IP协议，整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机采用三层交换机，支持VLAN等功能，能较好解决突发数据量和密集服务请求的实时响应问题，在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，还要考虑预防瓶颈出现和补救的相应措施。下属单位接入交换机可采用相对低一档的产品；本系统处理的信息包括数据、语音和图像等，因此要考虑实时性问题，特别要考虑包括视频会议在内的信息共享等方

12、面的实时性要求。；UPS电源的配备，配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转；网络带宽的分配：应根据所属单位网络的信息流量情况合理分配网段，以充分利用网络带宽，提高网络的运行效率。网络需要需要具有多主机跨平台主机连接能力,数据集中存放、集中管理、数据有效共享、存储空间共享、统一安全备份，可实现无人值守、自动实施备份策略，备份LANFREE、SERVERLESS等功能，为全面集中管理和数据仓库的建设奠定坚实的基础满足用户使用网络系统的运行质量，提高网络运行速度；要求采用千兆以太网作为主干的网络技术，提供标准化的高速度主干网连接，并在未来可以升级到IP，可以在同

13、一个网络中支持多种服务质量，以支持目前和未来的应用和服务为标准。允许网络集成，使用三层交换来代替路由，能实现与广域网的集成功能；网络中使用的设备、技术和协议完全符合国际通用的标准，兼容现有的网络环境，提供良好的互联性；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留一定的余量供扩展使用，最大可能地降低网络传输延迟；要求网络有很高的可靠性、稳定性及冗余，网络能够提供良好的安全性策略，能避免内部操作失误造成的损害和来自外部的恶意攻击。1.3志诚科技网络安全需求（1）硬件平台安全性：当计算机的元器件突然发生故障，或计算机系统工作环境设备突然发生故障时，计算机系统能继续工作

14、或迅速恢复。（2）网络通迅系统安全性：网络的安全性主要包括采取以下安全措施：认证措施，包括网点认证和人员认证；数据保密措施如传输加密；存取控制措施如防止非法操作。（3）操作系统安全性：操作系统安全性要达到C2级，即通过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性，实施存取限制，保护数据防止被别的用户读取或破坏。（4）数据库安全性：数据库要有以下安全机制：磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制，确保数据库的安全。（5）认同用户和鉴别，确认用户的真实身份，防止非法用户进入系统。（6）采用杀毒软件，或在对网络服务器中的文件频率的扫描和

15、监测，也可以在工作站上用防病毒芯片和对网络目录及文件设置访问权限。（7）采用了路由器带防火墙模块里面集成内容过滤、邮件过滤，为了防止非法信息、恶意脚本及垃圾邮件；集成防范拒绝服务网关，提供攻击检测及攻击抵御。（8）安全性内部网络之间、内部网络与外部公共网之间的互联，利用VLAN、ACL等对访问进行控制，确保网络的安全。第二章 企业网络总体设计方案第二章 企业网络总体设计方案2.1网络设计原则该企业网络是中小型用户群的网络，上班时信息流量大，为了保障全网的高速转发，企业网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无

16、瓶颈的数据交换。 （1）可管理性是指该企业网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于企业网络的使用者数量较多，跨网络开展的业务众多，因此需要能够提供用户的高效管理，以确保企业网络的信息安全。（2）可增值是指企业网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能提供丰富的宽带增值业务（如VoIP，IPV6等），全网支持IPV6，使网络能适应未来需求，节约各类费用。确保新建网络在35年内的使

17、用价值。（3）安全保密性是指充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。能有效通过软硬件相互联动，有效保证企业网的安全；选择设备必须具有较高的安全特性，如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能，系统采用数字签名,安全认证,密码技术以及超级防火墙软件,代理服务器和VPN(虚拟隧道网络技术)等来确保网内安全。对员工的上网行为进行实时记录，并保存到日志服务器。（4）可扩展与成熟性是指企业网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，要具有可扩展性和可升级性。随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要

18、网络有很好的可扩展性，并能随着技术的发展不断升级。（5）经济性是指在满足高性能价格比(高性价比)的前提下,选用物廉价美,经济实用的产品,以减少开支。（6）开放性是指技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。2.2网络建设目标志诚科技目前开展的企业网建设，旨在推动公司信息化建设，其最终建设目标是将志诚科技建设成为一个借助信息化办公和管理手段的高水平的智能化、数字化的企业网络，最

19、终完成我公司网络和统一软件资源平台的构建，实现、统一身份认证、统一网络管理、统一安全策略、统一软件资源系统，并实现网络远程办公、管理、资源共享等各种应用；利用现代信息技术从事成产、办公、研究和管理等工作。总体目标是建立一个覆盖该公司所有职工部门高速的信息通道，为公司管理层的决策、管理、业务、财务和后勤工作人员等提供一个良好得计算机网络环境，加强所有各职工部门的合作交流，共享数据资源共享，公司内外电子化，对外为公司的数据传输提供保障，提高整个公司的办公效率，从而真正实现公司内各职工部门的“电子化”功能，更好的提高经济效率，提升公司的市场竞争力。为确保我公司企业网络建设和应用的成功，对网络方案的设

20、计大致可归纳出以下的需求：（1）高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用比较先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。（2）高可靠性网络系统应具有高可靠性、高安全性，具体到本项目中，要求采用可靠性较高的产品和网络架构，在物理层、数据链路层和网络层等多个层次都有相应的技术，以最大程度的保证网络的正常运转。（3）QoS保证当今网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，新的网络系统应能保证QoS，以支持这类应用。（4）多协议支持由于网络将要存在不同的业务

21、和办公应用系统，并基于不同的网络协议，所以网络系统应能支持多种协议（IP、OSPF、NAT等），是一个开放型的网络，支持各种协议的互连。（5）易管理、易维护由于我公司的网络系统规模庞大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。（6）安全性网络系统应具有良好的安全性，要充分的保证网络的安全性，应该根据相应的管理制度和网络策略制定一套完善的安全政策，基于此安全政策，采用合适的技术手段，以达成目标，保证系统的安全性。（7）符合国际标准选用符合国际标准的系统和产品，可以保

22、证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。（8）其它需求整个网络系统分布相对较广泛；整个网络采用先进的网络结构，以满足传输、存储和处理数据、语音及图象信息的需要；满足网上的集成系统和业务系统的需求；完整统一的系统管理平台。2.3志诚科技网络拓扑结构图本设计主要目标是企业有线无线结合网络进行设计，本企业网网络主干采用锐捷RG-S8605E核心交换机，整个网络三层结构，保证了数据的快速交换，同时，网络主干全部使用光纤，桌面接入全部实现百兆接入，保证了企业网对多媒体数据流的需求。企业的网络拓扑如图2-1所示。图2-1 志诚科技有限公司网络拓扑图2.4志诚科技网络地址规划表2.1 网络

23、地址规划表VLANVLAN名称网段默认网关说明101-ceng192.168.1.0/24192.168.1.254一层202-ceng192.168.2.0/24192.168.2.254二层303-ceng192.168.3.0/24192.168.3.254三层404-ceng192.168.4.0/24192.168.4.254四层第三章 企业网络设备选型第三章 企业网络设备选型3.1出口设备选型出口路由器，即对接ISP的设备，选择出口路由器最好选用当前商场主流设备，在这里我们选用锐捷的RG-RSR7704，如图：图3-1 RG-RSR7704该设备有如下特点：（1）先进的硬件处理技术

24、RG-RSR77系列可信多业务路由器基于CLOS分布式无阻塞交换架构，采用业界领先的多核处理器，通过锐捷网络特有的vCPU和多线程处理技术，实现数据转发平面和协议控制平面分离，并实现多个处理内核之间的负载均衡。另外，不同处理内核占用系统的资源可以根据实际需要来进行调节，在设备需要更多资源处理协议和控制报文时，可以给负责设备管理的内核配置更多的资源；在设备需要处理更多的报文转发时，可以给负责报文转发的内核分配更多的资源，实现资源的可管理，可支配。通过分布式实现高性能数据转发，支持万兆性能转发。（2）成熟稳定的操作系统lRG-RSR77系列万兆核心分布式路由器采用锐捷成熟稳定的RGOS操作系统，R

25、GOS操作系统具有三大关键特性：完全模块化、开放性、安全性。l完全模块化：模块化操作系统的优势是各功能和进程各自独立，可以实现相互故障隔离，极大提升系统稳定性，这是模块化设计的最大优势；另外完全模块化设计，在开发的新功能不影响原有功能，提升了新功能开发与测试效率，可以更加快速地提供新功能和新技术。l开放性：RGOS拥有一个“硬件抽象层”，因此RGOS可以通过不同的设备驱动程序连接不同的硬件设备，目前锐捷网络交换产品和路由产品都统一到了RGOS操作系统平台，而未来还计划扩展到无线、存储、安全等产品线。在软件设计方面，RGOS还拥有POSIX可移植操作系统接口，该接口是国际标准接口，通过POSIX

26、，操作系统的内核可以和各种符合POSIX接口的软件功能模块通信和调度。l安全性：锐捷RGOS从操作系统的层面上保证了网络的安全，通过RNOS流量管理技术，设备防攻击技术，状态防火墙技术等保证了设备在各种复杂环境下稳定可靠运行。（3）强大的路由处理能力RG-RSR77系列万兆核心分布式路由器支持IPv4/IPv6静态路由，各种动态路由协议，满足各种组网要求；另外支持策略路由功能，可对网络流量进行灵活的控制和调度，满足金融、政府、企业网等用户的路由特性要求。依托高性能流表、快速转发技术，通过GR、FRR和BFD等功能，改善传统路由协议的收敛机制，实现大型网络的极速收敛。（4）电信级可靠性设计l关键

27、模块的冗余：路由引擎冗余、交换网板冗余、电源冗余、双启动映像文件、双配置文件。l关键部件热拔插：路由引擎热拨插、业务载板/模块热拨插、电源/风扇热拔插。l模块化软件设计：完全采用模块化的设计，各功能模块互不干扰，大大降底了各功能之间的藕合关联度，大幅度提升了软件的稳定性。l多种备份机制：支持VRRP，结合BFD/DLDP故障快速检测机制，实现快速的VRRP倒换能力；支持链路备份机制、支持路由备份。l所有RSR系列路由器使用同一个RGOS软件系统，给维护带来极大的方便。具体特点见表3.1：RG-RSR7704参数表表3.1：RG-RSR7704参数表技术参数参数描述产品型号RG-RSR7704模

28、块插槽4个业务载板插槽2个业务子卡插槽4个交换容量960 Gbps转发性能120 Mbps路由引擎固化接口2个USB2.0接口1个USB-Console口1个MGMT管理口1个Console口1个AUX口1个SD卡插槽可用模块OC-48c/STM-16c POSOC-12c/STM-4c POSOC-3/STM-1 POSOC-3/STM-1 CPOS通道化到E1/T1/64KOC-48/STM-16 CPOS通道化到E1/T1OC-12/STM-4 CPOS通道化到E1/T1OC-192c/STM-64c POSOC-192/STM-64 CPOS通道化到155MOC-192c/STM-64

29、c RPR接口模块10GE/GE/FEE1/CE1OC-3/STM-1 ATM高速同步串口国密局商密算法硬件加密模块尺寸（DWH）mm440480221电源100VAC240VAC，50Hz60Hz-36VDC-72VDC3.2核心设备选型核心设备是整个网络的关键设备，要性能要强大，这里选择锐捷RG-S8605E，如图：图3-2 RG-S8600E该设备有如下特点：（1）最高性能满足未来十年网络发展lRG-S8600E系列单槽位支持3Tbps带宽，可平滑扩展到12Tbps，支持高密度40GE、10GE以太网端口，满足云计算数据中心可持续发展的需求，满足未来十年网络发展过程中对核心交换机的要求。

30、lRG-S8600E系列支持业界最高性能的小包线速转发能力，包括最高密度板卡在内的所有板卡均可实现64字节小包线速转发，从容应对大型数据中心中业务对高速转发不丢包的苛刻需求。l面对高性能计算的应用场景，RG-S8600E系列支持超低时延技术，时延最低可达0.5s，保证超算中心场景中高速传输的业务需求。l支持超大表项，ARP资源容量170K，确保更多用户的同时在线。（2）虚拟交换设备VSDRG-S8600E系列通过VSD（Virtual Switch Device，虚拟交换设备）技术可将一台设备虚拟化为多台虚拟设备，每台虚拟设备具有独立的配置管理界面、独立硬件资源分配(比如内存、TCAM、硬件转

31、发表)，可以独立重启而不影响其它的虚拟交换机。最大程度上为您实现网络资源的按需分配，可让核心交换机资源同时共享给多个区域或用户使用。另外，通过同时开启VSU 3.0和VSD技术，可以实现网络资源的彻底池化。（3）虚拟以太网端口聚合VEPARG-S8600E系列支持IEEE802.1qbg标准定义的VEPA（Virtual Ethernet Port Aggregator，虚拟以太网端口聚合），能将服务器虚拟机产生的数据流牵引到物理网络设备上进行“硬交换”，解决了虚拟机流量无法监管、访问控制策略无法统一部署等问题，又消除传统“软交换”对服务器资源的占用，使下一代数据中心网络解决方案更好适应虚拟化

32、计算环境。具体特点见表3.2：RG-S8600E参数表：表3.2：RG-S8605E参数表技术参数参数描述产品型号RG-S8605E模块插槽5个（2个用于管理引擎模块）交换容量7.2Tbps/24Tbps包转发速率2,160Mpps/7,200Mpps数据中心融合网络特性支持增强以太网特性（DCB）：802.1Qbb: Priority-based Flow Control (PFC) ，基于优先级的流控。802.1Qaz: Enhanced Transmission Selection (ETS and DCBX)，增强传输选择802.1Qau: Congestion Notificatio

33、n (CN/QCN)，拥塞通告支持统一交换特性：FCoE（Fibre Channel over Ethernet）支持VXLAN设备虚拟化支持VSU3.0(Virtual Switch Unit,虚拟交换单元)支持虚拟化带宽2.56Tbps支持VSD(Virtual Switch Device,虚拟交换设备)支持纵向虚拟化网络虚拟化支持TRILL 透明交换网络支持L2GRE边缘虚拟交换支持VEPA（虚拟以太网端口聚合）支持虚拟机策略自动迁移SDN支持OpenFlow 1.3L2 特性支持Jumbo Frame支持802.1Q支持STP、RSTP、MSTP支持Super VLAN支持GVRP支持

34、QinQ、灵活QinQ、QinQ终结支持LLDP支持ERPS（G.8032）IPv4 特性支持静态路由、RIP、OSPF、IS-IS、BGP4支持VRRP支持等价路由支持策略路由支持GRE隧道IPv6 特性支持静态路由OSPFv3、BGP4+、IS-ISv6、MLDv1/v2支持VRRPv3支持等价路由支持策略路由支持手工隧道、自动隧道、ISATAP隧道、支持GRE隧道等组播支持IGMP v1,v2,v3支持IGMP Snooping支持IGMP Proxy支持PIM-DM、PIM-SM、PIM-SSM等组播路由协议支持MLD支持MLD Proxy支持组播静态路由MPLS支持MPLS转发支持M

35、PLS MIB(RFC1273,4265,4382)支持跨域OPTION A/B/C三种模式支持MPLS VPN/VPLS支持VPWSACL支持标准、扩展、专家级ACL支持ACL 80支持IPv6 ACLQOS支持802.1p支持SP、WRR、DRR、SP+WRR、SP+DRR等队列调度机制支持RED/WRED支持基于出端口/入端口的限速支持HQoS可靠性独立的交换网板与独立的主控板设计，实现转发与控制平面完全分离主控板支持1+1冗余备份交换网板支持N+1冗余备份支持热补丁功能，可在线进行补丁升级支持ISSU支持GR for OSPF/IS-IS/BGP支持BFD for VRRP/OSPF/

36、BGP4/ISIS/ISISv6/MPLS/静态路由等安全性支持NFPP（基础安全保护策略）支持CPP（CPU保护）支持DAI，端口安全，IP Source Guard支持802.1x/Portal/Mac等多种认证方式支持登录认证、口令安全支持支持未知组播不送CPU、支持未知单播抑制3.3汇聚设备选型为了充分融合了网络发展需要的高性能、高安全、多业务、易用性特点，为用户提供全新的技术特性和解决方案，这们选用锐捷RG-S5750-28GT-S，如图：图3-3 RG-S5750-28GT-S该设备特点如下：（1）RG-S5750-28GT-S设备采用无风扇设计，大幅降低设备功耗，实现设备运行无噪

37、音，减少机械故障点，同时免除凝露腐蚀和尘土侵害。（2）全方位立体安全防范l通过丰富的安全功能，消除安全威胁、攻击、病毒、ARP欺骗等侵害，还网络一片绿色，让用户更安心、省心上网；l产品支持802.1X准入功能，在启用这些功能的前提下，交换机能够有效抵御各种针对交换机的攻击，能够防止各种ARP攻击和欺骗；l业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全；l硬件实现端口或交换机整机与用户IP地址和MAC地址的灵

38、活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；l支持DHCP snooping，可只允许信任端口的DHCP响应，防止私设DHCP Server的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题；l基于源IP地址控制的Telnet设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；lSSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；l控制非法用户使用网络，保证合

39、法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。l支持NFPP技术。NFPP (Network Foundation Protection Policy基础网络保护策略)是用来增强交换机安全的一种保护体系，通过对攻击源头采取隔离措施，可以使交换机的处理器和信道带宽资源得到保护，从而保证报文的正常转发以及协议状态的正常。（3）多业务支持组播功能，包含丰富的组播协议。比如IGMP Snooping、IGMP V1/V2、MLD、MLD Proxy等；支持丰富的IPv4路由协议，包括静态路由、RIP、

40、OSPF等，满足不同网络环境中用户选择合适的路由协议灵活组建网络；（4）高可靠支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；支持VRRP虚拟路由器冗余协议，有效保障网络稳定；支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象；（5）易管理灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择线缆；网络时间协议保证交换机时间的准确性，并与网络中时间服务

41、器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；固化USB 2.0高速接口，便于通过USB接口保存日志；CLI界面和WEB界面，方便高级用户配置和使用的同时也为普通用户提供简单人性化的界面进行配置和使用。 具体特点见表3.3：RG-S5750-28GT-S参数表：表3.3：RG-S5750-28GT-S参数技术参数参数描述产品型号RG-S5750-28GT-S基本特性固定端口24端口10/100/1000Base-T自适应以太网电口，4个非复用的SFP接口，1个USB 2.0接口可用模块M

42、ini-GBIC-SX：单口1000BASE-SXmini GBIC转换模块（LC接口）Mini-GBIC-LX：单口1000BASE-LXmini GBIC转换模块（LC接口），10KmMini-GBIC-LH40：单口1000BASE-LHmini GBIC转换模块（LC接口），40KmMini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50kMini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80kMini-GBIC-ZX100：单口1000BASE-ZX mini GBIC转换模块（LC接口），

43、100kmSFP堆叠模块GE-SFP-STACK1.6M，1.6M交换容量208G包转发率L2：线速（51Mpps）L3：线速（51Mpps）产品特性VLAN支持4K个802.1Q VLAN支持Super VLAN支持Guest VLAN支持Share VLAN支持Protocol VLAN支持Private VLAN支持Voice VLAN支持QinQ链路聚合支持端口镜像支持多对一镜像支持基于流的镜像支持跨设备镜像生成树支持STP、RSTP、MSTPDHCPDHCP/BOOTP ClientDHCP ServerDHCP RelayDHCP SnoopingDHCP Snooping Tru

44、stIP路由支持静态路由支持RIP支持OSPF v2ACL&QoSACL支持灵活多样的硬件ACL标准IP ACL（基于IP地址的硬件ACL）扩展IP ACL（基于IP地址、TCP/UDP端口号的硬件ACL）MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型等灵活组合的硬件ACL）基于VLAN的ACL支持基于三层接口ACLQoS支持端口流量识别支持802.1p/DSCP/IP Precedence流量分类每端口8个优先级队列支持SP、WRR、SP+WRR队列调度支持

45、尾丢弃拥塞控制支持流量限速支持入口方向基于流限速安全特性支持IP、MAC、端口三元素绑定支持安全通道支持防网关欺骗限制端口学习MAC地址数量过滤非法的MAC地址支持各种(动态静态)地址分配策略下的ARP-Check支持防DHCP服务器私设管理员分级管理和口令保护设备登陆管理的AAA安全认证（IPv4）支持硬件CPP保护支持802.1x(port based、mac based、guest vlan、Restrict VLAN、支持su自动下发)管理特性SNMPv1/v2c/v3、Web管理、CLI(Telnet/Console)、RMON(1,2,4,9)、SSH、Syslog、NTP/SNT

46、P高可靠性VRRP，无风扇静音设计其它协议FTP, TFTP，DNS Client、DNS static3.4接入设备选型接入设备使用数量最多，也是问题出现最多的设备，我们选用当前最主流的设备，这里使用锐捷的RG-S2600G-S，如图：图3-4 RG-S2600G-S该设备性能都是相当不错，具体特点如下：（1）灵活完备的安全控制策略通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制、基于数据流的带宽限速、用户接入控制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。支持客户