1、校园学生宿舍网工程方案的总体设计1342020年4月19日文档仅供参考北京林业管理干部学院校园网学生宿舍楼上网工程方案建议书北京金商祺系统集成有限责任公司 7月目 录第一章 概述与需求分析51、校园网建设背景51.1基本需求:51.2组网要求:52、 整体建网原则5第二章 学生宿舍网整体设计综述81、核心层IP骨干网82、汇聚层网络设计92.1汇聚网络架构的选择92.2学生宿舍网汇聚层网络设计102.2.1汇聚层S5600系列以太网交换机概述:102.2.2汇聚层S5600系列以太网交换机产品特点:112.2.3汇聚层S5600系列以太网交换机规格特性:132.2.4汇聚层S5600系列以太网
2、交换机业务特性:153、智能弹性接入层网络设计203.1 学生宿舍网接入层网络设计203.1.1接入层 E328/E352以太网交换机概述:203.1.2接入层 E328/E352以太网交换机产品特点:213.1.3接入层 E328/E352以太网交换机规格特性:223.1.4接入层 E328/E352以太网交换机业务特性:234、交换机配置275、IP地址与路由策略286、VLAN划分30第三章 安全渗透网络设计321、骨干层安全防护332、基层网络安全343、网络安全措施353.1 用户严格隔离353.2 有效防范MAC扫描和ARP攻击:353.3 DHCP攻击、VLAN ”Hopping
3、”攻击的防范:353. 4 采用SNMP v3杜绝网管攻击:363. 5 有效抑制广播风暴363. 6 恶意用户追查363. 7 防治蠕虫病毒36第四章 北京林业管理干部学院学生宿舍网运营综合管理391、校园网用户认证管理需求分析392、安腾校园认证计费解决方案的设计原则393、校园网用户管理认证方案概述413.1校园网特点和面临的问题413.2 CBMS系统产品介绍423.2.1Amtium eFlow BAS认证计费管理网关介绍433.2.2 Amtium eFlow BillingWare认证计费管理发布监控系统介绍453.2.3 Amtium eFlow BillingWare的Rad
4、ius Server463.2.4 Amtium eFlow BillingWare计费管理发布监控系统473.2.5用户自服务系统、用户自注册系统493.2.6校园一卡通接口,IDS系统接口503.2.7 Amtium eFlow Client客户端软件503.2.8 Amtium eFlow LRMS日志记录管理系统514、安腾教育网应用方案514.1方案一:采用CBMS系统的典型应用(上海外国语大学)514.1.1方案的典型拓扑及说明514.1.2特别推荐案例:上海外国语大学524.2方案二: 802.1x交换机和BAS混合认证或单独采用802.1X交换机认证(广西职业技术学院)554.
5、2.1方案的典型拓扑及说明554.2.2特别推荐案例:广西职业技术学院564.3方案三:采用802.1x交换机和BAS进行二次认证(广东工业大学华立学院)584.3.1方案的典型拓扑及说明584.3.2特别推荐案例:广东工业大学华立学院595、安腾服务体系63第五章 网络综合布线系统641、工程概述642、德国罗森伯格公司简介643、产品和技术特点简介653.1 Rosenberger PreCONNECT HDCS高密度布线方案653.2HDCS系统总结654、设计依据665、系统设计685.1设计说明685.1.1一号学生宿舍楼685.1.2二号学生宿舍楼685.1.3三号学生宿舍楼685
6、.1.4临时图书馆685.1.5系统选择686、设计特点697、详细设计697.1工作区子系统697.2水平子系统717.3垂直子系统727.4配线管理子系统728、测试及验收768.1综合布线系统测试说明768.2一般测试原则778.3衰减测试合格值788.4测试及验收要求82第六章 项目管理和工程实施831、项目组织结构图832、项目组成员构成及职责833、项目实施步骤864、项目实施进度表87第七章 针对此项目提供”金色阳光”特色服务88一、北京金商祺系统集成有限责任公司介绍881 公司介绍882 公司政府采购中标情况893 部分成功案例:90二、完善的服务体系91三、服务措施931 产
7、品备件库支持体系932 设备故障无偏离93四、服务保障94五、服务承诺94六、培训服务94第一章 概述与需求分析1、校园网建设背景1.1基本需求:1 本方案作为校园网未来规划整体框架的一个组成部分。2 对于校园网已有建设投资具有保护性。具有较强的扩展性,考虑未来整个学生宿舍区的校园网接入和管理问题。3 能够使学生相对简便地经过身份验证登录到互联网上学习和工作。4 网络计费系统为基于账号机制的网关式计费系统,支持充值卡续费功能。5 具有灵活的用户管理方式,包括用户开户、用户资料管理,用户向量参数的绑定(包括用户帐号、IP地址、MAC地址、交换机地址、交换机端口等等)。6 在网络计费模式上,采用灵
8、活的计费策略(包月方式、包月限时长方式)。7 支持Linux操作系统下安装部署。8 能够经过日志管理,及时查找用户的上网纪录。1.2组网要求:1 本次设备招标的楼宇:1#,2#,3#,车库(临时图书馆)及车队、食堂,怡林宾馆,各楼宇信息点数及线缆条件见综合布线系统部分。2 本次招标采购的设备:汇聚层设备,接入层设备和计费系统。3 网络终端用户100M Full Duplex接入4 接入交换机经过6类线缆1000M Full Duplex接入楼宇汇集交换机5 楼宇汇聚交换机经过1条1000M Full Duplex链路(单模光纤)接入核心交换机6 南北区核心交换机经过2条1000M Full D
9、uplex链路(单模光纤)互联2、 整体建网原则早期的高校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在 安全、可管理性较差、无业务增值能力 等方面的问题。现在北京林业管理干部学院学生宿舍网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。基于对北京林业管理干部学院学生宿舍网业务需求的深入理解,结合自身产品和技术特点,我公司推出了了完善的北京林业管理干部学院
10、学生宿舍网解决方案,为北京林业管理干部学院学生宿舍网提供”高扩展、多业务、高安全”的精品网络。北京林业管理干部学院学生宿舍网建设遵循以下基本原则:高带宽北京林业管理干部学院学生宿舍网是一个庞大的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求汇聚交换机具有高性能、高带宽的特,整网的汇聚交换要求能够提供无瓶颈的数据交换。可增值性北京林业管理干部学院学生宿舍网的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。因此在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,
11、实现以网养网。可扩充性考虑到北京林业管理干部学院学生宿舍网用户数量和业务种类发展的不确定性,要求对于汇聚与接入交换机具有强大的扩展功能,北京林业管理干部学院学生宿舍网要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。 安全可靠性设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供
12、网络安全防范措施。标准化在网络系统中选用的通信协议、网络协议和产品要符合国际标准或工业标准,以实现异构网络之间互连的相互兼容性;可延展性 考虑到北京林业管理干部学院学生宿舍网必须有升级能力,要预计到将来一段时间的需求的增长,使网络能够适应未来发展的要求,从而为将来网络升级作好准备第二章 学生宿舍网整体设计综述北京林业管理干部学院学生宿舍网解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:北京林业管理干部学院学生宿舍网主要目的是将学生宿舍区网络的性能、带宽、主要网络业务进
13、行全网的建设。网络设计主要包含高品质IP核心网模块、智能弹性接入网模块、安全渗透网络模块、网络系统综合管理、组播与QoS优化模块等共五个主要部分。本章节主要对主体网络拓扑结构进行简述,关于详细功能和业务特性的实现请参看后续章节的具体内容。北京林业管理干部学院学生宿舍网分成三个层次,即核心汇聚接入的模式。核心网由1台原有的Cisco WSC4506组成,依靠路由协议实现数据流的均衡和备份。汇聚层主要由新增华为3Com的LSS5624P作为每个楼宇的汇聚交换机,经过GE分别上联到核心交换机。在充分提升性能的基础上,增加网络的可靠性、可用性。接入层经过部署华为的新款设备LSE328和E352实现GE
14、上行、FE三层功能到桌面的解决方案。一则可实现完全弹性、平滑的基础网络扩容,二则经过三层功能的下移,释放、降低核心层、汇聚层设备的性能压力和组网成本。最终经过管理服务中心的管理组件安腾计费网络系统实现对整个北京林业管理干部学院学生宿舍网用户行为与计费业务进行综合有效的管理。对于原有宿舍楼已经部署的网络设备,本项目对其进行优化、调整,也要完成其网络有效利用连接的工作。物理链路主要以单条GE单模为主。1、核心层IP骨干网北京林业管理干部学院学生宿舍网核心层IP骨干网交换机采用原有Cisco WSC4506,为实现宿舍网各种业务流的高品质传送,高品质业务保证、业务高安全、业务高可靠、业务高性能可扩展
15、、业务可管理提供了可靠的保证。本次工程对于核心层硬件设备不增加,只做优化、调整,以便更好的为整个校园网提供安全、稳定、有效的运行管理。2、汇聚层网络设计2.1汇聚网络架构的选择校园网的建设中,网络架构的选择具有举足轻重的作用,组网架构决定整个校园网络的性能、可扩展性、可管理性、线缆布放、区域划分等诸多关键因素,从当前的主流的组网架构上看,每种组网架构都具有优点与缺点,关键是要选择适合于学校自身特点的架构,合理的组网架构是一个优秀校园网络的基础。选择合理的组网架构考虑因素众多,而且一旦实施了某种类型的组网架构,就意味着将长期影响校园网的建设,因此组网架构的选择成为困扰校园网建设者们的一个难题,本
16、文从技术角度出发,探讨了校园网中常见的几种组网架构的优缺点,为校园网的建设者选择合理架构提供参考。选择方法关键因素排序法在选择组网架构时,一般要考虑的因素有流量分布、路由规划、线缆走向、功能区域划分、设备管理、网络应用等等,甚至还要考虑网络协议支持,如IPv6部署区域,IPv4/IPv6共存区域等。在这些因素中,根据学校的实际情况选取一些关键性因素,如已经进行了光纤布放的学校,线缆走向可能会成为选择校园网整体架构的关键因素。一般情况下,网络架构的选择应该优先满足关键性因素,其它因素作为参考指标。对比法在几种主流架构中,经过对学校自身特点的归纳总结,对比每种架构对于学校特点与需求的满足度,从中选
17、择最合适的组网架构。逐步建设法校园网的建设是个逐步的、长期的过程。在初期建设中,有可能校园网只是覆盖了有限区域,此时能够选择一些相当简单的架构。在后期建设中,能够根据实际情况调整为最合理结构,采用这种方式应注意校园网建设的长期规划,同时也要选择长期的合作伙伴和国际标准技术组网,初期建设不应对后期发展有所局限。经验借鉴法虽然没有方案能够适合所有学校的校园网建设,”她山之石能够攻玉”,其它学校的经验教训对于本校的校园网建设有较多借鉴作用,同时应注重选择经验丰富的合作伙伴。2.2学生宿舍网汇聚层网络设计北京林业管理干部学院学生宿舍网核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、
18、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。同时兼顾学校在楼宇分布、光缆布设条件、组网综合成本等客观因素,建议骨干网结构采用1个单星形结构融合的结构。本次北京林业管理干部学院学生宿舍网校区网设计中,我们非常关注方案的可靠性,因为在学校网络中宿舍的业务也是关键的业务,而本项目就是教学楼的网络,因此可靠性的设计非常关键。在汇聚层,由于楼宇内网络,特别是宿舍区存在密集度高的大量用户,为了保证数据传输和交换的效率,现在各个楼内设置三层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性。我们建议楼内汇聚采用Quidway
19、S5600万兆核心交换机。Quidway S5600系列全千兆智能弹性交换机支持华为-3COM创新的IRF(Intelligent Resilient Framework)技术,能够实现用户网络的高度弹性智能扩展。利用IRF技术,用户能够将多台设备经过堆叠接口连接起来组成一个联合设备(Fabric),并将这些设备看作单一设备进行管理和使用,降低了管理成本,同时实现按需购买、平滑扩容,在网络升级时最大限度地保护已有投资。同时S5600支持万兆上联最大程度的提高了汇聚层与核心交换机之间的带宽扩展需求。2.2.1汇聚层S5600系列以太网交换机概述:Quidway S5600系列全千兆智能弹性交换机
20、是华为-3COM公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用华为-3COM公司创新的IRF(Intelligent Resilient Framework,智能弹性架构)技术,支持高达96G的堆叠带宽和高密度千兆端口,支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。Quidway S5624P/5648P:采用交、直流双输入电源模块供电,并可经过更换电源模块提供千兆PoE功能。后面板提供两个固定的堆叠接口和一个扩展模块插槽,扩展模块可选配8端口千兆SFP模块、1端口万兆模块或2端
21、口万兆模块。前面板提供24/48个10/100/1000Base-T自协商以太网端口(RJ-45连接器)及4个SFP Combo接口。Quidway S5624F:采用交、直流双输入电源模块供电。后面板提供两个固定的堆叠接口和一个扩展模块插槽,扩展模块可选配8端口千兆SFP模块、1端口万兆模块或2端口万兆模块。前面板提供24个千兆SFP接口和4个como的10/100/1000Base-T自协商以太网端口(RJ-45连接器)2.2.2汇聚层S5600系列以太网交换机产品特点:uIRF智能弹性架构技术可管理性IRF技术真正的即插即用支持、单一 IP 地址管理、单步骤软件升级以及经过 SNMP、W
22、eb 界面和 CLI 进行的架构范围配置,所有这些功能都简化分布式架构中的设备管理。 高性能第三层交换IRF分布式架构能够利用所有交换机的第三层交换功能提供更高的性能和可扩展性,而避免管理多台独立三层设备的复杂性。分布式链路聚合可跨分布式架构中多台交换机的端口配置一个聚合链路,能对布线间进行双重双核心上连,从而提高整个网络骨干的可用性和性能。u POE(Power over ethernet)远程供电特性Quidway S5600系列交换机能够经过更换POE电源支持PoE(Power Over Ethernet)功能,即可经过双绞线向远端下挂PD设备(如IP Phone、WLAN AP、Sec
23、urity、Bluetooth AP等)提供-48V直流电源,实现对下挂PD设备远端供电。作为供电方PSE(Power Sourcing Equipment)设备,支持IEEE802.3af线路供电标准,同时也能够兼容不符合802.3af标准的PD(Powered Device)设备。交换机远端供电时每个以太网口向下挂设备提供的最大功率为15.4W。S5600提供千兆电口上的PoE特性,能够充分满足未来技术发展的需求,为千兆无线技术,语音技术的发展提供了支持。经过支持POE和Voice VLAN技术,S5600系列交换机能够提供完美的数据和语音融合解决方案。u 大容量全线速的多层交换Quidw
24、ay S5600系列交换机具有192G/240G的交换容量和66M/102Mpps的二/三层包转发能力,支持所有端口线速转发。设备最大提供24/48端口10/100/1000M电接口、32个SFP千兆光接口或2个10G接口,充分满足客户对高密度GE和万兆上行设备的需求。设备具备强大的IRF堆叠扩展能力,极大的节省了用户对设备的投资。硬件支持二/三层线速交换,能够识别、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制。u 完备的安全控制策略Quidway S5600系列交换机基于最长匹配的路由策略。系统采用逐包转发方式,保证了所有报文均
25、获得相同的转发性能,对”红码病毒”和”冲击波病毒”的攻击具有天生的防御能力,有效保证了设备安全。支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证,还能够经过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。支持DUD(Disconnect Unauthorised Device)认证,经过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护,支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞;支持防止DoS攻击功能。支持QoS Profile功能。和802.1x认证功能相结合,能够动态的
26、为经过认证的用户提供预先配置的一套QoS功能。用户在经过802.1x认证后,交换机根据AAA服务器上配置的用户名和Profile的对应关系,将相应的Profile动态下发到用户登录的端口上,为该用户提供量身定做的服务质量保证。支持SSH特性。用户经过一个不能保证安全的网络环境远程登录到以太网交换机时,能够提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。 u 高可靠性Quidway S5600系列交换机采用IRF技术组网后,能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份,极大地增强了设备和网络的可靠性,消除了单点故障,避免了业务中断。
27、同时Quidway S5600系列交换机不但支持STP/RSTP生成树协议,还提供了基于多VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。 支持VRRP虚拟路由冗余协议,与其它三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份,当主上行路由发生故障时自动切换到下一条备份路由,实现上行路由的多级备份。采用交、直流双输入电源模块供电,也能够经过更换电源模块来支持PoE功能,提供所有固定端口的PoE满负载。u 丰富的QOS策略Quidway S5600系
28、列交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类;每端口支持100个流规则,整机支持3200/5600个流规则,充分保障了复杂网络对于QoS规则的要求。提供灵活的队列调度算法,能够同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR三种模式;支持8个优先级队列。支持CAR(Committed Access Rate)功能,能够实现基于端口和基于流的速率限制,限制的粒度能够精确至64Kbps,为网络带宽的精细化管理提供了手段。 u 多样的管理方式Quidway
29、 S5600系列交换机支持CLI(命令行)、Telnet、Console口配置,支持华为3COM的Quidview、iManager网管系统,支持WEB网管,使设备管理更加方便。经过各种开放的标准MIB和扩展MIB的支持能够提供完善的基于SNMP的第三方管理能力。2.2.3汇聚层S5600系列以太网交换机规格特性:项目S5624P/S5624P-PWRS5624FS5648P/S5648P-PWR管理端口1个Console口业务端口描述固定端口24个10/100/1000M电口4个SFP Combo千兆口24个千兆SFP接口4个10/100/1000Mcomo电口48个10/100/1000M
30、电口4个SFP Combo千兆口可选模块8端口SFP模块1端口10GE模块2端口10GE模块端口类型10/100/1000BASE-T1000Base-SX-SFP1000Base-LX-SFP1000Base-LH-SFP1000Base-T-SFP10GBase-LR-XENPAK10GBase-LR-XFP10GBase-ER-XFP可选电源电源模块PSL130-AD(130W系统输出电源模块)交流输入或者直流输入PSL480-AD24P(180W系统+300W POE输出电源模块)交流输入或直流输入PSL130-AD(130W系统输出电源模块)交流输入或者直流输入PSL180-AD(1
31、80W系统输出电源模块)交流输入或者直流输入PSL480-AD48P(180W系统+300W POE输出电源模块)交流输入或直流输入输入电压交、直流双输入电源模块输入电压:AC:额定电压范围:100-240V;50/60Hz最大电压范围:90-264V;50/60HzDC:额定电压范围:-48 - -60V最大电压范围:-36 - -72VPoE电源模块直流输入:额定电压:-53.5V最大电压:-52V - - 55V外形尺寸(mm)宽深高44042043.6重量7.5KG8KG功耗(满负荷时)S5624P:170WS5648P:230WS5624F:170WS5624P-PWR:540WS5
32、648P-PWR:600W在进行PoE供电时:S5624P-PWR采用直流供电时最大功率为540W,采用交流供电时为540WS5648P-PWR采用直流供电时最大功率为970W,采用交流供电时为600W 工作环境温度045工作环境相对湿度(非凝露)10%95%2.2.4汇聚层S5600系列以太网交换机业务特性:特性S5624P/S5624F/S5624P-PWRS5648P/S5648P-PWR线速二/三层交换所有端口支持线速转发交换容量为192Gbit/s包转发率66Mpps所有端口支持线速转发交换容量为240Gbit/s包转发率102Mpps交换模式存储转发模式(Store and For
33、ward)VLAN支持4K个符合IEEE 802.1Q标准的VLAN支持基于端口的VLANVoice VLAN支持识别进入端口的流的MAC地址,如果是IP电话流,就会将该端口加入相应的Voice VLAN广播风暴抑制支持基于端口速率百分比的广播风暴抑制,同时支持基于pps的广播风暴抑制端口环回检测支持端口收、发数据线被短路的检测与告警IP路由静态路由、RIPv1/2OSPFECMPBGPVRRP支持组播IGMP SnoopingIGMP V1/V2PIM-SMPIM-DM生成树协议支持STP/RSTP/MSTP协议,符合IEEE 802.1D、IEEE 802.1w、IEEE 802.1s标准
34、端口汇聚支持经过LACP进行动态端口汇聚支持进行经过命令行手动进行端口汇聚支持堆叠范围内的跨设备链路汇聚支持GE(Gigabit Ethernet)端口汇聚支持10G(Gigabit Ethernet)端口汇聚最多32组端口汇聚组,GE汇聚组最多支持8个端口,10GE汇聚组最多4个端口,汇聚的端口必须具有相同的端口类型镜像支持多对一的端口镜像,即多个源端口,一个镜像端口支持流镜像支持在堆叠范围内跨设备的镜像功能支持RSPAN(远程端口镜像)MAC地址表地址自学习IEEE 802.1D标准最多支持16K个MAC地址支持1K个静态MAC地址流控支持IEEE 802.3x流控(全双工)支持Back-
35、pressure based flow control(背压式流控)(半双工)IRF 支持IRF,最多8台。2个高速堆叠端口,每端口48G堆叠带宽,环形堆叠时能够提供高达96G堆叠带宽。加载与升级支持XModem协议实现加载升级支持FTP(File Transfer Protocol)、TFTP(Trivial File Transfer Protocol)加载升级管理支持命令行接口(CLI)配置支持Telnet远程配置支持经过Console口配置支持SNMP(Simple Network Management Protocol)支持RMON (Remote Monitoring)1,2,3,
36、9组MIB支持QuidView网管系统支持WEB网管支持系统日志支持分级告警维护支持调试信息输出支持PING、Traceroute, Multicast Traceroute支持Telnet远程维护QoS/ACL支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持CAR(Committed Access Rate)功能,GE端口流量限速的粒度为:64Kbit/s,10G端口流量限速的粒度为:1Mbit/s支持8个端口输出队列支持灵活的队列调度算法,能够同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+
37、WRR三种模式支持报文的802.1p和DSCP优先级重新标记支持L2(Layer 2)L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC(Medium Access Control)地址、源IP地址、目的IP地址、端口、协议、VLAN(Virtual Local Area Network)、VLAN范围、MAC地址范围和非法帧过滤支持基于时间段(Time Range)的ACL和QoS控制支持Qos Profile管理方式,允许用户定制Qos服务方案安全特性用户分级管理和口令保护支持IEEE 802.1X认证支持基于MAC地址的认证支持DUD (Disconnect Unauth
38、orized Device)特性支持SSH包过滤支持端口隔离DHCP支持DHCP CLIENT/ DHCP RELAY/ DHCP SNOOPING/DHCP SERVERNTP支持3、智能弹性接入层网络设计弹性智能接入网主要实现业务的导入、业务感知、驱动网络资源分配和策略部署。首先,业务进入网络之后需要进行身份认证及终端安全状态检查,合法而安全的用户及终端能够允许访问网络资源,这个过程称为EAD(端点准入防御);随后,网络会根据用户的权限为用户分配网络资源,包括IP地址、VLAN,以及安全及QOS策略,这些策略都是动态生成的。对于安全性要求比较高的网络,能够采用PSPT(为每个业务分配不同的
39、隧道)技术,与核心网的VPN技术相配合,实现端到端的业务隔离。随着关键应用的增多,接入网的可靠性显得越来越重要,除了堆叠、STP收敛、端口汇聚、快速路由收敛等方法之外,华为3Com公司还开发了基于全分布式转发的IRF(智能弹性架构)技术,支撑更加强大的可靠性和扩展性。3.1 学生宿舍网接入层网络设计针对北京林业管理干部学院学生宿舍网的接入网络提供解决方案,其中重点在于有线网络的弹性扩展能力、3层网络接入桌面和接入交换机针对教育行业的典型特性进行设计。接入层建议采用Quidway E328/E352教育网以太网交换机,该交换机是华为-3COM公司为教育行业构建高弹性、高智能网络需求而专门设计的新
40、一代以太网交换机产品,具有高扩展性、高可靠性、高安全性和易管理性,适合作为教育城域网和校园网的汇聚和接入层交换机。3.1.1接入层 E328/E352以太网交换机概述:Quidway E328/E352教育网以太网交换机是华为-3COM公司为教育行业构建高弹性、高智能网络需求而专门设计的新一代以太网交换机产品,具有高扩展性、高可靠性、高安全性和易管理性,适合作为教育城域网和校园网的汇聚和接入层交换机。QuidwayE328QuidwayE3523.1.2接入层 E328/E352以太网交换机产品特点:u 大容量全线速的多层交换QuidwayE328/E352教育网交换机具有32G的背板带宽,系
41、统能够提供4个GE,有效解决了在单台设备上多条千兆链路上行,同时接入千兆服务器的需求,极大的节省了用户对设备的投资。u 完备的安全控制策略QuidwayE328/E352教育网交换机支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证,还能够经过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。支持动态策略功能。和802.1x认证功能相结合,能够将策略(VLAN、QOS、ACL)动态下发到用户登录的端口上,为该用户提供量身定做的一系列服务质量保证。支持DHCP Snooping功能,经过建立和维护DHCP Snooping绑定表实现侦听接
42、入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息,解决了 DHCP用户的IP和端口跟踪定位问题。同时利用DHCP Snooping的信任端口特性能够保证DHCP Server的合法性。支持EAD(端点准入防御)功能。将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,经过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。u 丰富的QOS策略Quidway E328/E352教育网交换机支持基于源MAC
43、地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类;支持1K个流规则。提供灵活的队列调度算法,能够同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)、WFQ(Weighted Fair Queue)、SP+WRR、SP+WFQ五种模式;支持8个优先级队列,2个丢弃优先级;支持WRED拥塞避免算法。支持CAR(Committed Access Rate)功能,能够实现基于端口和基于流的速率限制,限制的粒度能够精确至64Kbps,为网络带宽的精细化管理提供了手段。 u 多样的管理方式QuidwayE
44、328/E352教育网交换机经过专利技术实现真正的即插即用、单一IP 地址管理、单步骤软件升级以及经过 SNMP、Web 界面和 CLI 进行的架构范围配置,支持专用堆叠电缆和最大8台设备的堆叠。支持VCT(Virtual Cable Test)电缆检测功能,便于快速定位网络故障点。支持SNMP V1/V2/V3,可支持Open View等通用网管平台,以及Quidview 网管系统。支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便。经过各种开放的标准MIB和扩展MIB的支持能够提供完善的基于SNMP的第三方管理能力。3.1.3接入层 E328/E352以太网交换
45、机规格特性:项目E328E352管理端口1个Console口业务端口描述固定端口24个10/100Base-T以太网端口,2个1000Base-X SFP千兆以太网端口,2个10/100/1000Base-T以太网端口48个10/100Base-T以太网端口,4个1000Base-X SFP千兆以太网端口可选模块1000BASE-SX-SFP1000BASE-LX-SFP1000BASE-LH-SFP 1000BASE-ZX-LR-SFP 1000BASE-ZX-VR-SFP1000BASE-T-AN-SFP端口类型10/100BASE-T1000BASE-SFP外形尺寸(mm)宽深高44026043.6重量E328:3.5kg.E352:4kg输入电压额定电压范围:100-240V a.c. ;50/60Hz最大电压范围:90-264V a.c. ; 50/60Hz功耗(满负荷时)E328 :40W E352 :50W 工作环境温度045工作环境相对湿度(非凝露)10%90%3.1.4接入层 E328/E352以太网交换机业务特性:特性Quidway E328/E352线速二/三层交换背板带宽为32Gbit/s包转发率9.6Mpps(E328)/13.2Mpps(E352)交换模式存储转发模式(Store and Forward)VLAN支持4K个符合
浙ICP备2021020529号-1 | 浙B2-20240490 
