2022年承德师专平泉分校校园局域网规划与方案设计书 .docx

精选学习资料 - - - - - - - - - 目 录一、现状及需求分析 3（一）运算机网络系统现状 3 （二）网络系统及业务需求分析 3 二、系统设计原就和实现目标 4（一）网络系统设计原就 4 （二）建设目标 4 （三）网络设计关键技术说明 5 三、系统总体方案设计 6（一）网络拓扑结构设计 6 （二）网络系统接入设计及安全设计 6 1、交换模块 6 2、无线接入模块 7 3、广域网接入 7 4、服务器群 7 （三） VLAN 划分及子网配置 7 1、掌握广播风暴 8 2、增强网络的安全性 8 3、增强网络治理 8 （四） IP 地址安排 10 （五）传输及布线设计 11 1、流量测算 11 名师归纳总结 - - - - - - -第 1 页,共 23 页精选学习资料 - - - - - - - - - 2、布线设计 12 3、施工要求 12 4、主要工程量 14 四、设备的选型及配置 15（一）设备选型的比较 15 1、接入路由器性能指标要求 15 2、防火墙性能指标要求 16 3、核心交换机性能指标要求 16 4、汇聚三层交换机性能指标要求 17 （二）系统配置方案 19 1、接入路由器配置方案 19 2、防火墙配置方案 20 3、核心交换机配置方案 21 4、汇聚交换机配置方案 22 5、运算机终端配置方案 23 6、说明 23 五、总结 23名师归纳总结 - - - - - - -第 2 页,共 23 页精选学习资料 - - - - - - - - - 承德师专平泉分校校内局域网规划与设计一、现状及需求分析（一）运算机网络系统现状承德师专平泉分校现拥有两座教案楼,办公楼、科技楼各一座,教室 60 余间,办公室 40 间,作为平泉县拥有电教化实施较早的学校之一,目前拥有运算机教室 3 个,教案用运算机180 余台,部分办公室拥有运算机终端及笔记本等终端如干台,目前科技楼内的运算机教室单独组成了局域网,教案楼及办公室 的运算机终端并没有联网,只有个别电脑因查阅课件资料需要,能够以窄带拨 号或 ADSL方式接入互联网；因此,该校的运算机等电子资源只能满意日常办公 打字,无法实现联网办公、课件共享等信息化要求；（二）网络系统及业务需求分析为实现训练信息化、办公无纸化的目标,学校拟搭建校内局域网,将教案 楼、办公楼及科技楼的终端进行联网,从而达到能够联网办公、电子教案及课 件共享等目标；同时为了适应教案进展要求,满意老师及同学在互联网上查询资料的需 求,需将校内网接入至互联网,并在互联网上发布学校网站及教案资源,网页 及资源都通过架设在学校中心机房的应用服务器来实现；在没有运算机的教室增设信息点,同时为满意办公楼内会议室部分拥有无 线网卡的移动笔记本接入互联网,在办公楼会议室内增设无线接入点,满意这 部分终端接入校内网的需求；名师归纳总结 - - - - - - -第 3 页,共 23 页精选学习资料 - - - - - - - - - 二、系统设计原就和实现目标（一）网络系统设计原就网络系统的设计我们遵循如下原就：网络系统采纳开放、标准的网络协议；网络系统要有足够的带宽和处理才能,不造成应用系统的“ 瓶颈” ；网络系统要有肯定的冗余,局部的故障不能造成系统瘫痪；网络系统要有足够的隔离与安全机制；网络系统要有多种网络接口,以适合不同的通信网络；网络系统要有足够的扩充才能,便于网络规模的扩大,同时有利于向 新技术升级；网络系统要有肯定的先进性,保证刚建立的网络系统不会由于技术落 后立刻被剔除；在满意要求的情形下,尽可能采纳简洁的网络拓扑结构,尽量利用原 有布线系统及相关网络设备和通信设备；（二）建设目标网络系统搭建完成后,应能达到如下目标：互联网连接；校内网内电脑都应能拜访国际互联网,便于领导、老师 和员工浏览信息、查找资料和发布教案信息；信息共享；在校内网内的电脑能够共享信息,防止建立信息孤岛,提 高信息利用率,增强教案沟通,提高工作效率；海量教案信息发布；能够将教案课件、视频或其他相关大容量资源在 网络间进行发布,达到便利教案使用、编制课件、在线教案等目的；校内无纸化办公环境；网络环境搭建完成后,原有的纸面信息,如各 种文件或资料等,可以通过网络环境传递,削减了办公消耗,提高了 工作效率,从而达到无纸化的办公环境；名师归纳总结 - - - - - - -第 4 页,共 23 页精选学习资料 - - - - - - - - - （三）网络设计关键技术说明本技术方案具有如下特点：以 TCP/IP 协议为基础,以交换技术为核心,构造一个既能掩盖本地又 能与外界进行网络互通、共享信息的运算机网络主干网；选用技术先进、具有容错才能的网络产品,在投资和条件答应的情形 下也可采纳结构容错的方法；完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之 中；具有较好的可扩展性,为今后的网络扩容作好预备；名师归纳总结 - - - - - - -第 5 页,共 23 页精选学习资料 - - - - - - - - - 三、系统总体方案设计（一）网络拓扑结构设计（二）网络系统接入设计及安全设计设计方案主要由以下四大部分构成：交换模块、无线接入模块、广域网接 入模块、服务器群；1、 交换模块交换模块使用以三层交换为主的快速以太网技术构建；主干网络的拓扑结构为星形,具有高速、简洁、稳固的特点；名师归纳总结 - - - - - - -第 6 页,共 23 页精选学习资料 - - - - - - - - - 核心交换机位于科技楼二层校内网机房,至教案楼、办公楼的距离较近,因此采纳多模光纤进行互联,两条主干光缆缆至两个教案楼二楼的中间位置与 教案楼的汇聚交换机连接；一条至办公楼与办公楼现有网络及无线网络相接；在每个楼内新增一台汇聚交换机,用于汇聚大楼内各楼层内的二层交换机 网络,各楼层交换机与汇聚交换机之间采纳超五类网线进行布放；汇聚层与核心层交换机之间实行千兆速率互联,终端接入交换机采纳百兆 速率互联；2、 无线接入模块由于无线办公需求,在办公楼部署数个无线 机,掩盖办公楼中各层；3、 广域网接入AP,直接接入办公楼汇聚交换目前主要的接入方式有光纤专线接入、DDN接入、 ADSL接入等,光纤接入速度高,费用合理,因此采纳光纤10M 接入互联网,需配置一台接入路由器用于接入互联网,一台防火墙用于实现地址转换及网络安全防护；4、 服务器群在科技楼核心机房架设数台服务器,主要用于课件资源存放、视频存放、OA 办公系统及校内网站发布；这些服务器通过一台三层交换机汇聚后接入核心交换机；（三） VLAN 划分及子网配置VLAN（ Virtual Local Area Network,虚拟局域网）技术的显现,主要为明白决交换机在进行局域网互连时无法限制广播的问题；这种技术可以把一个 LAN划分成多个规律的LAN VLAN,每个 VLAN是一个广播域, VLAN内的主机间通信就和在一个 LAN内一样,而 VLAN间就不能直接互通,这样,广播报文被限制在一个 VLAN内；采纳 VLAN具有以下优点 : 名师归纳总结 - - - - - - -第 7 页,共 23 页精选学习资料 - - - - - - - - - 1、掌握广播风暴网络治理必需解决因大量广播信息带来带宽消耗的问题；VLAN作为一种网络分段技术,可将广播风暴限制在一个VLAN内部,防止影响其他网段；与传统局域网相比, VLAN能够更加有效地利用带宽；在 VLAN中,网络被规律地分割成广播域,由 VLAN成员所发送的信息帧或数据包仅在 VLAN内的成员之间传送,而不是向网上的全部工作站发送；这样可削减主干网的流量,提高网络速度；2、增强网络的安全性共享式 LAN上的广播必定会产生安全性问题,由于网络上的全部用户都能监测到流经的业务,用户只要插入任一活动端口就可拜访网段上的广播包；采纳 VLAN供应的安全机制,可以限制特定用户的拜访,掌握广播组的大小和位置,甚至锁定网络成员的 和网络成员对网络的使用；3、增强网络治理MAC地址,这样,就限制了未经安全许可的用户采纳 VLAN技术,使用 VLAN治理程序可对整个网络进行集中治理,能够更简洁地实现网络的治理性；用户可以依据业务需要快速组建和调整 VLAN；当链路拥挤时,利用治理程序能够重新安排业务；治理程序仍能够供应 有关工作组的业务量、广播行为以及统计特性等的详尽报告；对于网络治理员来说,全部这些网络配置和治理工作都是透亮的；网络的接线情形和协议是如何重新设置的；VLAN变动时,用户无需明白VLAN仍能削减因网络成员变化所带来的开销；在添加、删除和移动网络成 员时,不用重新布线,也不用直接对成员进行配置；如采纳传统局域网技术,那么当网络达到肯定规模时,此类开销往往会成为治理员的繁重负担；VLAN的划分有三种方式,可以基于端口、MAC及 IP 地址,基于端口应用最名师归纳总结 广泛,依据实际需求平泉分校采纳基于端口的方法来划分VLAN；VLAN技术划分第 8 页,共 23 页依据平泉分校的应用需求及物理拓扑结构,将其校内网采纳- - - - - - -精选学习资料 - - - - - - - - - 成几个小的虚拟局域网,达到缩小广播、便于治理的目的；在这里,我们依据校方要求基于物理地点的不同来划分VLAN,即将教案楼、办公楼及科技楼划分为 3 个 VLAN,由于服务器群在科技楼内,为了保证该服务器运行质量,因此我们将服务器群单独划分1 个 VLAN,因此将该校内网划分成下表几个VLAN：VLAN标使用地点运算机数 量号10 教案楼80 20 办公楼80 30 科技楼200 40 服务器12 100 三层交换机与防火墙互联VLAN划分示意图VLAN划分完成后,同一个VLAN内的终端属于一个局域网,不通VLAN内的终端是是不能进行数据链路层的拜访,这样就大大缩小了广播的范畴,削减了名师归纳总结 由于局域网内存在ARP等广播病毒时而可能造成的大面积障碍；第 9 页,共 23 页- - - - - - -精选学习资料 - - - - - - - - - （四） IP 地址安排目前互联网上所使用的IP 地址协议号为 IPV4 版本,每个 IP 地址由 32 个二进制数字共4 个字节组成；为了便于识别,IP 地址采纳点分十进制进行书写,如 192.168.0.1 ；每个 IP 地址由网络位和主机位两部分组成,网络位代表该 IP 地址所属网络,主机位代表IP 地址在该网络中的标号, IP 地址用网络掩码来区分网络位和主机位,网络掩码一般是连续的二进制数“1” ；依据 IANA规定, IP 地址依据其掩码不同,共分为5 类地址,分别为：A 类地址：由 1 个字节的网络位及 3 个字节的主机位组成,其 IP 地址最高位必需是“0” ,网络掩码为 255.0.0.0 ；B 类地址：由 2 个字节的网络位及 2 个字节的主机位组成,其 IP 地址最高位必需是“10” ,网络掩码为 255.255.0.0 ；C类地址：由 3 个字节的网络位及 1 个字节的主机位组成,其 IP 地址最高位必需是“110” ,网络掩码为 255.255.255.0 ；D类地址：其地址最高位必需是“E类地址：其地址最高位必需是“1110” ,一般用于组播；11110” ,用于保留应用；目前所使用的主要是A、B、C 三类地址,由于IP 地址数量有限,为节省IP 地址资源, IANA 又从这三类地址中分别规划出一段IP 地址,用于各种组织在内部组网时应用,而这些地址就在互联网上不再显现,称为私有地址,分别为：A类： 10.0.0.0-10.255.255.255 B类： 172.16.0.0-172.31.0.0 C类： 192.168.0.0-192.168.255.255 本次平泉分校组网依据其 VLAN的划分,其每个 VLAN内的终端都不超过 255 台,因此采纳 C 类私有地址段就可以满意其应用需求,详细规划如下表所 示：名师归纳总结 VLAN标所属位置表：平泉分校局域网IP 地址规划网关第 10 页,共 23 页IP 网络网络掩码号10 教案楼192.168.10.0 255.255.255.0 192.168.10.1 20 办公楼192.168.20.0 255.255.255.0 192.168.20.1 - - - - - - -精选学习资料 - - - - - - - - - 30 科技楼192.168.30.0 255.255.255.0 192.168.30.1 40 服务器群192.168.40.0 255.255.255.0 192.168.40.1 100 互联 VLAN 192.168.100.0 255.255.255.252 此外,由于平泉分校要拜访外网,因此特向平泉网通申请了光纤互联网专线 一 条 , 互 联 地 址 4 个 , 202.99.160.40 到 202.99.160.43, 其 中202.99.160.41 和 202.99.160.42 是用户网通公司及接入路由器互联用；用户内 网 IP 地 址 32 个 , 地 址 段 为 61.55.192.1-60.5.192.31, 网 络 掩 码 为255.255.255.224 ,其中 61.55.192.1 是接入路由器的内网地址,61.55.192.2是防火墙地址, 61.55.192.3-61.55.192.30为 NAT地址池,用于局域网内终端拜访外网及外网拜访平泉分校网站服务器使用；（五）传输及布线设计1、流量测算依据各楼宇所接入终端数量,以及每个终端所占用网络带宽,加以适当的 收敛,最终得出科技楼核心交换机至汇聚层交换机所使用带宽,运算方法及参 考依据见下表：名称业务应用终端接入带宽终端数收敛比实际带宽量Mbps （Mbps 台）教案楼 1 网页浏览、课件下100 40 0.2 800 载、视频播放教案楼 2 网页浏览、课件下100 40 0.2 800 载、视频播放科技楼网页浏览、课件下10 200 0.3 600 载、视频播放办公楼课件下载、 OA办15 80 0.5 600 公、网页浏览其中终端接入带宽是依据其接入网络设备所使用接口的带宽打算,收敛比 是依据同时在线终端数所推算；依据流量测算,并考虑到将来扩展需求,各个汇聚交换机到核心交换机之 间采纳千兆以太接口,依据距核心交换机距离远近全部采纳多模光纤进行连 接；名师归纳总结 - - - - - - -第 11 页,共 23 页精选学习资料 - - - - - - - - - 2、布线设计本设计在科技楼二层机房放置1 个网络柜,网络柜内分别安装1 台路由器、 1 台防火墙、 1 台核心交换机和 1 台接入交换机；在教案楼（ 1,2）二楼东墙安装多媒体箱,在多媒体箱内分别放置一台汇聚层交换机,通过多模光缆缆与核心交换机相连,并且从多媒体箱引出超五类4 对 UTP电缆到达各层信息点；超五类4 对 UTP电缆在楼道内敷设通过PVC线槽爱护；核心交换机位于科技楼二层机房内,分别通过3 条 4 芯多模光纤与办公楼、教案楼（ 1,2）的汇聚交换机进行级联,其中每条光缆中 2 芯主用、另外2 芯备用；再通过超五类线与科技楼五层指定位置的汇聚交换机进行级联；从办公楼汇聚交换机引出3 条超五类 4 对 UTP电缆与办公楼三至五层会议室的无线 AP相联；无线 AP居中布放；科技楼的汇聚交换机位于二层机房,两栋教案楼的汇聚交换机分别为于教案楼二楼楼道东墙多媒体箱内,超五类4 对 UTP电缆分别从接入交换机引出在楼道内敷设,通过 PVC线槽爱护,分别引上引下,打墙洞到达各屋接入交换机或数据信息点位置；各楼内信息点布置数量见下表；信息点分布表楼号信息点数接入交换机数科技楼200 9 教案楼 1 30 2 教案楼 2 30 2 办公楼40 3 合计80 17 3、施工要求1）光缆接续要求名师归纳总结 - - - - - - -第 12 页,共 23 页精选学习资料 - - - - - - - - - 光纤接续宜采纳熔接法；光纤接续衰减应符合规范的要求；光纤接续后应用接头套管爱护,余纤在光纤盘片内的曲率半径应30mm,盘绕方向应一样；管道光缆接头盒安装应符合设计要求,余缆应采纳波纹塑料管爱护并紧贴人孔壁或人孔搁架,盘成“O” 型圈,并用扎线固定；光缆固定后的曲率半径应小于光缆直径的 10 倍；2）布放局内光、电缆及成端要求 局内电缆的安装依据各局（站）现有条件采纳爬梯和走线架方式安 装；局内电缆的布放应整齐美观,绑扎固定要坚固,并进行统一编 号；进局电缆的外护层应完整,无可见的损耗；横放的电缆接头应交叉排列,接头任一端距电缆转弯处应大于 做好编号和相关标志；2m；进线室的电缆应按设计要求当测量室的地板洞为上线槽方式时,所布放的成端电缆应与相对应的 总配线架对直,并绑扎固定,以非延燃材料封堵上线槽洞口；在原有总配线架上新做直列成端电缆的,其绑扎方法、位置、式样应 与原直列成端电缆相同；成端电缆屏蔽连接线应牢靠接至总配线架铁架；光缆在 ODF或单设的光缆终端盒做终端时,光缆内的金属构件应与 ODF 接地装置接触良好, ODF接地装置至机房防雷接地排的接地线的规格、型号应符合设计要求；接地线严禁成螺旋型布放；3）综合布线施工要求 在敷设缆线前,应对已运到施工现场的各种缆线进行清点和复查；其 内容有缆线的型号、规格、程式和数量；依据施工图纸要求、施工组 织方案和工程现场条件等,将需要布放的缆线整理妥当,在其两端应 贴有显著的标签；标签内容有缆线的用途和名称（也可用代号代 替）、型号、规格、长度、起始端和终端地点等,标签上的字迹应清 晰、端正、精确,且线缆敷设施工应严格依据工序进行；为了保证缆线本身不受损耗,在缆线敷设时,布放缆线的牵引力不宜名师归纳总结 - - - - - - -第 13 页,共 23 页精选学习资料 - - - - - - - - - 过大,应小于缆线答应张力的80；在牵引过程中为防止缆线被拖、蹭、刮、磨等损耗,应匀称设置吊挂或支承缆线的支点；在缆线布放过程中,缆线不应产生扭绞或打圈等有可能受到外界的挤 压或遭受损耗而产生障碍隐患；电缆在线槽中敷设时,为了使电缆布置牢靠和美观整齐,应实行稳妥 的固定绑扎措施；如是在水平装设的桥架内敷设,应在电缆的始端、终端、转弯处进行固定；如是在垂直装设的桥架内敷设时,应在电缆 的上端和每间隔 1.5m 处进行固定；4）缆线的弯曲半径应符合以下规定：非屏蔽对对绞电缆的弯曲半径应至少为电缆外径的 4 倍；屏蔽对对绞电缆的弯曲径应至少为电缆外径的 6-10 倍；主干对绞电缆的弯曲半径应至少为电缆外径的 10 倍；15 倍；光缆的弯曲半径应至少为光缆外径的 5）对绞电缆芯线终接应符合以下要求：终接时,每对对绞线应保持扭绞状态,类线的扭绞松开长度不应大 于 13mm；对绞线在与位模块式通用插座相连时,必需按色标和线对次序进行卡接；插座类型、色标和编号应符合规定；在T568A 和 T568B 两种连接中,首推类连接方式,但在同一布线工程中两种连接方式不应混 合使用；对绞电缆与插接件连接应认准线号、线位色标,不得颠倒和错接；4、主要工程量校内局域网主要工程量表名师归纳总结 序号主要工作量单位数量第 14 页,共 23 页1 光电缆施工测量100M 11.18 2 钉固式墙壁光缆100M 条1.51 3 吊线式墙壁光缆0.07 100M 条4 明布 4 对对绞电缆100M 条47.80 5 27.62 敷设塑料线槽 D100mm 宽以下 100M - - - - - - -精选学习资料 - - - - - - - - - 6 电缆跳线条54.00 7 安装网络柜架1.00 8 安装多媒体箱个3.00 9 安装 8 位模块式信息插座单口非屏蔽 10 个8.00 10 安装交换机6.00 架11 安装路由器架1.00 12 安装无线 AP 站3.00 13 光纤链路测试4.00 链路14 打穿楼墙洞 混凝土墙 个89.00 15 光缆成端接头芯8.00 施工图纸见附件图1-7. 四、设备的选型及配置（一）设备选型的比较1、接入路由器性能指标要求工程 规格与参数系统才能 至少 2Mpps 包转发率512K 条路由表项用户槽位 支持模块化设计端口才能 1、 支持 10/100/1000 自适应 RJ-45 以太接口；2、 支持千兆以太网光口链路层协议 PPP、Frame Relay、X.25、LAPB 、HDLC 、SLIP 、MP 路由协议 全面支持 IPv4 和 IPv6 双协议栈支持 IPv4 向 IPv6 的基本过渡技术：手工配置隧道、自动配置隧道、 6to4 隧道、硬件实现 NAT-PT 等支持 IPv6 静态路由,支持 ISISv6 等动态路由协议BGP4/BGP4+ 、RIPng 、OSPFv3、支持 ICMPv6 MIB 、UDP6 MIB 、TCP6 MIB 、IPv6 MIB 等支持的 QoS 机制队列调度机制：PQ、CQ、WFQ 支持 802.1p、DiffServ 支持 WRED 支持 CAR 、GTS 治理特性网络治理接口：Console,RJ-45 支持 SNMP 名师归纳总结 - - - - - - -第 15 页,共 23 页精选学习资料 - - - - - - - - - 工程 规格与参数支持带内、带外网管信息通道可以进行远程网管和软件版本升级牢靠性交换结构和主控模块可配置1:1 冗余备份电源模块 1+1 备份其他关键特性 支持 SDH APS/MSP 支持策略路由支持安全过滤特性支持高速端口的线速NAT 功能TCP/UDP 端口支持基于标准列表（SA 、DA ）、扩展列表（号）的 ACL 电源 220VAC 依据校内网应用及以后网络升级改造需求,提出以上路由器性能指标要求,符合该性能要求的设备许多,最终确定CISCO3600路由器作为该校内网接入互联网路由器,其中上行配置1 个 FE百兆口,下行配置一个多模GE口；2、防火墙性能指标要求工程 规格与参数基本参数并发连接数网络吞吐量10/100/1000M 以太网口 *3, 千兆 GBIC 接口 *2 1200000 2000 Mbps 入侵检测主要功能IDS 动态检测包过滤,支持双向NAT,全面支持VLAN, 支持复杂动态协议,供应透明网关式应用代理,抗 DoS/DdoS 攻击 ,IPSec VPN 网关 ,与 IDS 联动 ,双机热备和多机集群 ,流量治理 ,远程安全治理 ,安全集中治理 ,日志治理依据校内网实际需求,选用华为公司的 网的安全防护；3、核心交换机性能指标要求接口 支持千兆 Fiber 接口Eudemon100防火墙设备来进行校内至少 48 个 RJ-45 10/100M 以太网接口名师归纳总结 - - - - - - -第 16 页,共 23 页精选学习资料 - - - - - - - - - 扩展插槽 支持扩展插槽基本参数超级扩展堆叠- 32 台交换容量至少 160G 业务特性转发速率至少 100Mpps IEEE 802.3 协议族缓存容量至少 128M MAC 表容量至少 16K 基本特性支持标准以太网支持 STP、 RSTP、 MSTP、PVST 支持端口聚合 LACP 支持 802.1Q VLAN ,支持 SVLAN 、 QinQ、 SelectiveQinQ 支持完整可控组播 支持 QOS 支持 Radius 认证安全特性 支持 MAC 地址过滤 支持 MAC 地址捆绑 支持广播、组播、单播报文抑制支持端口限速增强特性支持 CPU 防攻击（病毒）爱护,支持CPU 过载 /节奏爱护防 DDos 攻击,识别多种病毒特点报文并加以过滤 LAND/BLAT/NULLScan/XmaScan/Smurf、 SYN Flooding 、 Ping Flood 支持生成树根爱护（Rood Guard）、 BPDU 攻击爱护、 ARP 攻击 爱护 支持 uRPF 单播逆向路由检查,防假冒源地址攻击 支持 OSPF/RIPv2/BGPv4 MD5 密文检查 支持 IP source Guard 网络治理本地治理接口Console RS232 治理方式本地命令行CLI 远程 Telnet 标准 SNMP 图形化 NetNumen N31 集群治理 ZGMP （命令行模式、图形模式）支持 SSHv2.0 支持用户网管本地、远程认证电源MIB 集合SNMP v1/v2/v3 RMON 1/2/3/9 私有 MIB （CPU、内存、端口状态等）沟通 AC 100V240V 5060Hz 整机最大功耗80w 依据校内网应用及以后网络升级改造需求,提出以上交换机性能指标要求,符合该性能要求的设备许多,最终确定华为Quidway5600 交换机作为该校园网核心交换机,配置为 8 端口千兆光口板一块, 24 端口百兆电口板一块；4、汇聚三层交换机性能指标要求工程 规格与参数名师归纳总结 基本参数交换容量：至少32G；全线速二三层交换第 17 页,共 23 页端口容量：至少25.6G 包转发率：至少9.6Mpps - - - - - - -精选学习资料 - - - - - - - - - VLAN 数目： 4K 用户槽位MAC 表容量：至少16K 48 个 RJ-45 100BASE-TX路由表容量：至少128K 路由接口数目：至少5K 组播表容量：至少1K ACL 规章数目：至少1K 支持模块化插槽,支持100-BASE-FX 接口,至少接口协议支持支持基本网络协议：IEEE802.3 10Base-T 以太网协议IEEE802.3u 100Base-TX 快速以太网协议 IEEE802.3z 1000BaseX 千兆以太网协议 IEEE802.3x 流量掌握协议 IEEE802.1x 用户认证计费协议 支持 RADIUS 认证 支持 802.1x 透传VLAN ：支持 IEEE802.1q, VLAN 数目 4K 个 支持基于端口的 VLAN VID 、 PVID 范畴为 14094 支持 PVLAN 支持生成树协议：IEEE802.1d STP 生成树协议 IEEE 802.1w RSTP 快速生成树协议 IEEE 802.1s MSTP 多生成树协议 链路聚合：支持 IEEE802.3ad /LACP ACL 和 QoS 支持：支持 IEEE 802.1p 协议,支持 8级基于 VLAN 的优先级设置支持多重优先级调度算法（WRED ）支持基于 VLAN 的 ACL 、二层、三层和混合 ACL 支持分时间段 ACL 支持流限速、流分类支持单播路由协议：支持最长匹配路由,支持路由均衡和策略路由RFC2453 RIPv1/v2 RFC2328 OSPFv2 支持组播路由协议：IGMP v1v2v3 组播组数 1K,支持 IGMP Snooping PIM-SM ,支持 PIM snooping PIM-DM DVMRP 名师归纳总结 业务特性流量掌握：支持基于IEEE 802.3x 的流量掌握第 18 页,共 23 页- - - - - - -精选学习资料 - - - - - - - - - 支持端口速率限制 , 支持端口和MAC 地址的捆绑,防止用户私接,捆绑数目1K 支持动态绑定 支持风暴抑制,抑制才能连续可设设备治理支持SNMP MIB ,MIB II（ RFC1213）, Bridge MIB （ RFC 1493）及私有MIB 支持 RMON 中的 1,2,3,9 组 统计、历史、告警、大事 支持端口入口和出口镜像 可通过 TFTP 方式进行软件升级 支持线缆测试功能 支持 Console/Telnet 治理 支持系统日志和分级告警数据传输速率电源全线速AC 沟通： 100V 240V,50Hz 60Hz DC 直流： -57V-40V 功耗 最大 ： 40W 牢靠性MTBF ：>50000 小时, MTTR ： <30 分钟依据校内网应用及以后网络升级改造需求,提出以上交换机性能指标要求,符合该性能要求的设备许多,最终确定华为Quidway3528 交换机作为该校园网汇聚交换机,配置为 1 端口千兆光口板一块, 8 端口百兆电口板两块；依据接入层特点,选用华为2403 设备作为接入二层交换机；选用华为 WA1006E系列 AP作为办公楼无线接入设备；详细设备明细见附表（二）系统配置方案1、接入路由器配置方案Hostname PingQuanShiZhuan-AR Ip subnet-zero Enable securet .X#$ . /*定义连接互联网的接口 */ Interface fastethernet 1/0 ip address 202.99.160.42 255.255.255.252 . /*定义连接防火墙的接口 */ interface gigabitethernet 2/0 ip address 61.55.192.1 255.255.255.224 名师归纳总结 - - - - - - -第 19 页,共 23 页精选学习资料 - - - - - - - - - . /* 指定静态路由 */ Ip route 0.0.0.0 0.0.0.0 202.99.160.41 Access-list 100 permit 192.168.20.0 255.255.255.0 /* 定义远程 telnet 拜访方式 */ Line vty 0 4 Access-list 100 in Password 7 .$#%#$ . 2、防火墙配置方案Hostname PingQuanFX-Firewall Password 7 #%$& #定义公网地址池 nat address-group 1 61.55.192.3 61.55.192.15 #定义外网口 interface GigabitEthernet0/0 ip address 61.55.192.2 255.255.255.224 #定义内网口 interface GigabitEthernet1/0 ip address 192.168.100.1 255.255.255.252 #定义答应拜访互联网的拜访掌握列表 acl number 2000 rule 0 permit source 192.168.10.0255.255