华迪实习 云南xxx学院网络工程设计 方案书dcta.docx

云南XXXX学院院校园网网改造方方案书第四小组组方案设设计人员员（）目录第一章概概述- 5 -1.1. 文档档大纲- 5 -1.2. 项目目背景- 5 -1.3. 项目目范围- 5 -1.4. 项目目目标- 5 -1.5. 设计计标准与与规范- 5 -第二章用用户需求求- 5 -2.1. 技术术目标- 5 -2.2. 应用用系统- 6 -2.3. 服务务器要求求- 6 -2.4. 网络络建设需需求- 6 -2.5. 系统统集成要要求- 7 -第三章综综合布线线设计- 7 -3.1. 采用用综合布布线方案案概述- 7 -3.2 工作区区子系统统设计介介绍- 8 -3.3 水平区区子系统统设计介介绍- 9 -3.4 垂直主主干线子子系统设设计介绍绍- 9 -3.5 设备间间子系统统设计介介绍- 10 -3.6 建筑群群子系统统设计介介绍- 10 -3.7 综合布布线系统统的安装装与施工工指南- 111 -3.8 产品选选型说明明- 122 -第四章网网络拓扑扑结构设设计- 13 -4.1 拓扑图图设计- 133 -4.1.1 设设计说明明- 133 -4.2 核心层层设计- 144 -4.2.1 双双核心热热冗余备备份设计计- 155 -4.3 出口设设计- 16 -4.4 防火墙墙- 117 -4.5 主要设设备选型型- 118 -第五章VVLANN与IP规划划- 119 -5.1 VLAAN与IP技术术介绍- 199 -5.1.1 VVLANN与IP划分分方案- 200 -第六章网网络管理理与安全全方案- 211 -6.1 网络管管理方案案-21 -6.2 网络安安全方案案- 211 -第七章工工程施工工管理- 322 -7.1 标准化化- 322 -7.2 施工计计划表- 322 -7.3 施工配配合- 33 -7.4 铺设线线缆和管管道- 33 -7.5 搭建配配线架- 333 -第八章测测试与验验收- 34 -8.1 测试目目标及其其验收标标准- 34 -8.2 测试种种类- 34 -8.3 测试需需要的网网络设备备和网络络资源- 344 -第九章售售后服务务与技术术支持- 344 -第十章项项目预算算- 344 -10.11 布线线材料清清单及报报价- 34 -10.22 网络络设备清清单及报报价- 35 -第一章 概述1.1. 文档档大纲1.2. 项目目背景1.3. 项目目范围1.4. 项目目目标1.5. 设计计标准与与规范第二章 用户需需求2.1. 技术术目标众所周知知，电子子计算机机机房装装饰，不不同于普普通的宾宾馆、家家庭装饰饰，机房房装饰工工程是一一项系统统工程，是是现代科科学技术术和装饰饰艺术的的综合。机机房内放放置有复复杂的电电子设备备和机电电设备，对对装饰的的要求，主主要是满满足计算算机对机机房提出出的技术术要求，在在机房装装饰艺术术上以既既大方舒舒适，又又满足其其技术要要求为原原则。对对装饰材材料的选选择要达达到吸音音、防火火、防潮潮、防变变形、抗抗干扰、防防静电等等要求。以以期达到到现代化化的装饰饰水平和和视觉效效果。网络核心心机房是是整个校校园计算算机网络络开展应应用的中中心和关关键所在在，为消消除安全全隐患，确确保通信信设备和和通信网网络的安安全可靠靠，应该该建设在在一个安安全、可可靠、稳稳定的基基础环境境中。数数据中心心机房应应符合国国际标准准和相关关规范，在在洁净与与温湿度度、供配配电、接接地、防防雷、防防静电、防防盗与防防破坏等等各方面面满足征征信系统统的环境境要求和和管理要要求。2.2. 应用用系统本次机房房建设将将包括一一下几个个子系统统：1、机机房空调调与新风风系统；2、电电气系统统（供配配电系统统）；33、UPPS系统统；4、建建筑装饰饰系统；5、消消防及自自动报警警系统；6、机机房漏水水监测系系统；77、机房房其他配配套设备备系统2.3. 服务务器要求求由于此处处为校园园网，主主要功能能是实现现好学校校与外部部的上网网功能，以以及实现现学校的的资源共共享 ，服服务器具具体功能能（安全全监控中中心、数数据中心心、存储储中心、网网管中心心），WWWW服服务，作作为信息息服务的的平台，EEmaiil服务务，作为为信息传传递和与与外界交交流的主主要手段段。2.4. 网络络建设需需求实用性和和先进性性采用先进进成熟的的技术和和设备，尽尽可能采采用先进进的技术术、设备备和材料料，以适适应高速速的数据据与需要要，使整整个系统统在一段段时期内内保证技技术的先先进性，并并具有良良好的发发展潜力力，以适适应未来来业务的的发展和和技术升升级的需需要。安全可靠靠性为保证各各项业务务应用，网网络必须须具有高高可靠性性，决不不能出现现单点故故障。要要对机房房布局、结结构设计计、设备备选型、日日常维护护等各个个方面进进行高可可靠性的的设计和和建设。在在关键设设备采用用硬件备备份、冗冗余等可可靠性技技术的基基础上，采采用相关关的软件件技术提提供较强强的管理理机制控控制手段段和事故故监控与与安全保保密等技技术措施施提高数数据中心心机房的的安全可可靠性。灵活性与与可扩展展性计算机机机房必须须具有良良好的灵灵活性与与可扩展展性，能能够根据据机房业业务不断断深入发发展的需需要，扩扩大设备备容量和和提高用用户数量量和质量量的功能能。应具具备支持持多种网网络传输输，多种种物理接接口的能能力，提提供技术术升级设设备更新新的灵活活性。管理性由于机房房具有一一定复杂杂性，随随着业务务的不断断发展，管管理的任任务必定定会日益益繁重。所所以在机机房的设设计中，必必须建立立一套全全面、完完善的数数据中心心机房管管理和监监控系统统。所选选用的设设备应具具有智能能化、可可管理的的功能，同同时条用用先进和和管理监监控系统统设备及及软件，实实现先进进的集中中管理监监控，实实时监控控、监测测整个机机房的运运行状况况，实时时灯光、语语音报警警，实时时事件记记录，这这样可以以迅速确确定故障障，简化化机房管管理人员员的维护护工作，从从而为计计算机机机房的安安全、可可靠运行行提供最最有力的的保障。2.5. 系统统集成要要求WinddowssXP系系统，WWinddowss20003 sservver，llinuux系统统，点点播系统统（VOOD）,网络监监视系统统，报警警系统，认认证系统统，校园园系统，局局域网管管理系统统，UPPS不间间断电源源系统，网网络管理理系统。第三章 综合布布线设计计3.1. 采用用综合布布线方案案概述综合布线线系统是是采用模模块化插插接件，垂垂直、水水平方向向的线路路一经布布置，只只需改变变接线间间中的跳跳线，改改变集线线器，增增加接线线间的接接线模块块，便可可满足用用户对这这些系统统的扩展展和移动动。综合合布线由由六个子子系统组组成，即即工作区区子系统统(Woork Areea)、水水平布线线子系统统(Hoorizzonttal Cabblinng)、垂垂直干线线子系统统(Baackbbonee Caabliing)、设备备间子系系统(EEquiipmeent Roooms)、管理理子系统统(Addminnisttrattionn)和建建筑群接接入子系系统(PPremmisees EEntrrancce FFaciilittiess) 。如图：3.2 工作区区子系统统设计介介绍工作区子子系统是是由终端端设备连连接到信信息插座座的连线线和信息息插座组组成。室室内房间间的一系系列设备备包括标标准RJJ-455插座、网网卡、五五类双绞绞线。另另外需要要统一线线缆连接接标准，EEIA/TIAA5688A或EEIA/TIAA5688B。 信信息点数数量（RRJ-445插座座的数量量）应根根据工作作区的实实际功能能及需求求确定，并并预留适适当数量量的冗余余。例如如办公室室可配置置233个信息息点，此此外还应应该考虑虑该办公公区是否否需要配配置专用用信息点点用于工工作组服服务器、网网络打印印机、传传真机和和视频会会议等。对对于宿舍舍，一个个房间配配备1个个信息点点。注意，在在进行建建筑弱电电设计时时，要严严格执行行有关综综合布线线标准，每每个信息息点到设设备间的的图纸距距离应在在70mm内，因因此，楼楼宇中的的设备间间的选择择以位于于或者尽尽可能位位于本建建筑物的的地理中中心为宜宜。如图图3.3 水平区区子系统统设计介介绍水平子系系统主要要是实现现信息插插座和管管理子系系统，及及中间配配线架间间的连接接。水平平子系统统指定的的拓扑结结构为星星型拓扑扑。选择择水平子子系统的的线缆要要根据建建筑物内内具体信信息点的的类型、容容量、带带宽和传传输速率率来确定定。水平平组网子子系统包包括光纤纤主干线线和各个个楼层间间的组网网。室外外主干的的光纤电电缆采用用多模光光纤，室室内采用用超五类类非屏蔽蔽双绞线线。如图图3.4 垂直主主干线子子系统设设计介绍绍垂直主干干线子系系统提供供建筑物物主干电电缆的路路由，实实现主配配线架与与中间配配线架、计计算机、控控制中心心与各设设备间子子系统间间的连接接。垂直直组网在在各栋楼楼中从配配线架通通过楼道道上的桥桥架连接接到设备备间。注注意，如如支持110000Basse-TTX则必必须使用用六类双双绞线。如图3.5 设备间间子系统统设计介介绍设备间子子系统由由设备室室的电缆缆、连接接器和相相关支持持硬件组组成，把把各种公公用系统统设备互互相连接接起来。本本企业网网采用多多设备间间子系统统，包括括网络中中心机房房、办公公教学楼楼、宿舍舍区、其其公共场场所设备备间子系系统。 网络络中心机机房设备备间配线线架、交交换机安安装在标标准机柜柜中，光光纤连接接到机柜柜的光纤纤连接器器上。办办公教学学楼、宿宿舍区等等设备间间子系统统配备标标准机柜柜，柜中中安装光光纤连接接器、配配线架和和交换机机等，通通过水平平干线线线缆连接接到相应应网络机机柜的配配线架上上，通过过跳线与与交换机机相连。如图3.6 建筑群群子系统统设计介介绍建筑群子子系统主主要是实实现建筑筑之间的的相互连连接，提提供楼群群之间通通信设施施所需的的硬件。由由连接网网络中心心和各个个设备间间子系统统的室外外电缆组组成了园园区网建建筑群子子系统。有有线通信信线缆中中，建筑筑群子系系统多采采用622.5/1255um多多模光纤纤，起最最大传输输距离为为2kmm，满足足该学院院网内的的距离需需求，并并把光纤纤埋入到到地下管管道中。如图3.7 综合布布线系统统的安装装与施工工指南最低配置置：适用用于综合合布线系系统中配配置标准准较低的的场合，用用铜芯对对绞电缆缆组网。1）每个个工作区区有1个个信息插插座； 2）每个个信息插插座的配配线电缆缆为1条条4对对对绞电缆缆； 3）干线线电缆的的配置，对对计算机机网络宜宜按244个信息息插座配配2对对对绞线，或或每一个个集线器器 （HUBB）或集集线器群群（HUUB群）配配4对对对绞线；对电话话至少每每个信息息插座配配1对对对绞线。基本配置置：适用用于综合合布线系系统中中中等配置置标准的的场合，用用铜芯对对绞电缆缆组网。1） 每每个工作作区有22个或22个以上上信息插插座； 2） 每每个信息息插座的的配线电电缆为11条4对对对绞电电缆； 3.8 产品选选型说明明 在布线线设施设设计中，需需要的主主要材料料如下：1. 多模光纤纤；2. 五类双绞绞线，在在布线实实施时，应应该尽可可能考虑虑选用防防火标准准高的线线缆；3. 各种信息息插座，RRJ-445等；4. 电源；5. 塑料槽板板；6. PVC管管；7. 供电导线线；8. 配线架；第四章 网络拓拓扑结构构设计4.1 拓扑图图设计云南XXXX学院院校园网网改造拓拓扑图4.1.1 设设计说明明主干是万万兆以太太网，分分别连接接网通和和电信，这这样可以以做负载载均衡，保保证校园园网的通通畅。核核心交换换机采用用双机热热备技术术，两个个同样的的核心交交换机，一一个做主主核心交交换机连连接个机机器使用用，一个个做备份份，只有有当主交交换机坏坏了是，备备份的交交换机会会自动启启用，提提供网络络安全保保障。SSQL服服务器采采用磁盘盘阵列，共共5个磁磁盘，两两个用来来存储数数据三个个用来备备份，这这样即使使坏了两两个数据据也不会会丢失。汇汇聚层采采用思科科4系列列交换机机，具有有处理简简单的认认证信息息和网络络管理。外外部服务务器群放放在DMMZ区域域，当外外面的人人访问内内网，首首先同过过DMZZ区域，在在此区域域内检测测是否有有病毒，如如果有则则处理掉掉，保证证了内网网的安全全。为了了让全校校所有的的地方都都可以上上网，本本方案还还在校园园内装无无限路由由器。4.2 核心层层设计 网络络核心交交换机是是连接各各区域并并保障各各区域高高速通信信的纽带带，因此此该设备备应采用用具有大大容量、高高密度、模模块化体体系架构构的设备备，在提提供稳定定、可靠靠、安全全的高性性能L22/L33层交换换服务基基础上，还还应具有有强大组组播功能能、基于于策略的的QOSS、有效效的安全全管理机机制和电电信级的的高可靠靠设计，从从而满足足现代信信息化网网络的多多种业务务承载融融合和业业务灵活活分类、分分流的组组网需求求。 针对对xxxx学院网网络的实实际情况况，我们们部署两两台模块块化核心心交换机机RG-S86610。RRG-SS86110高密密度多业业务IPPv6核核心路由由交换机机提供33.2TT背板带带宽，并并支持将将来更高高带宽的的扩展能能力，高高达11190MMppss的二层层/三层层包转发发率可为为用户提提供高密密度端口口的高速速无阻塞塞数据交交换，具具有线速速转发数数据包的的能力。每每线卡提提供2000G的的交换能能力，满满足高密密度的千千兆/万万兆端口口线速转转发，并并且支持持未来440G/1000G接口口的扩展展。通过过XFPP接口万万兆线卡卡下连汇汇聚层交交换机构构成万兆兆骨干链链路；千千兆端口口连接管管理工作作站、无无线控制制器、IIDS入入侵检测测设备以以及服务务器区域域交换机机。 同时时，RGG-S886100高密度度多业务务IPvv6核心心路由交交换机提提供全面面的安全全防护体体系，提提供分布布式的业业务融合合平台，满满足未来来网络对对安全和和业务的的更高要要求。CCPP技技术，业业界领先先的硬件件CPUU保护技技术，通通过对发发往CPPU的IIPv44/IPPv6等等多层协协议报文文自动进进行流区区分和流流线速，避避免异常常报文对对CPUU的攻击击和资源源消耗，保保证核心心设备在在IPvv4/IIPv66三层网网络、二二层网络络环境中中核心设设备CPPU稳定定运行。同同时，RRG-SS86110核心心路由交交换机还还提供其其他更多多的安全全防护能能力，例例如防DDDOSS攻击、非非法数据据包检测测、防扫扫描、防防源IPP地址欺欺骗等等等，避免免了传统统软件实实现方式式对整机机性能的的影响。支支持广播播报文抑抑制，有有效控制制非法广广播流量量对设备备造成冲冲击。支支持IPPv6/IPvv6、VVLANN、MAAC和端端口等多多种组合合绑定方方式，提提高用户户接入控控制能力力。4.2.1 双双核心热热冗余备备份设计计 为保障障网络具具有999.9999%的的电信级级高可靠靠性，实实施时采采用双核核心、双双链路的的设计方方案。该该方式的的好处在在于，任任意一台台核心交交换机的的故障，或或者任意意一条上上行链路路的故障障，均不不会影响响网络的的稳定运运行，备备用交换换机或备备用线路路会智能能地启用用起来。图 要实现现这样的的热冗余余备份机机制，需需要在核核心交换换机上启启用VRRRP（虚虚拟热冗冗余备份份协议）和和MSTTP（多多生成树树协议）。VVRRPP协议主主要用于于两台核核心设备备面向接接入用户户虚拟出出一个实实时可用用的IPP地址，实实现核心心设备间间的智能能热备份份；MSSTP协协议则主主要用于于避免VVLANN内部出出现环路路，配合合VRRRP协议议实现线线路的智智能热备备份。核核心交换换机与出出口路由由器之间间启用动动态路由由协议，实实现与VVRRPP/MSSTP的的配合切切换。 根据部部分网络络信息点点建设要要求全千千兆到桌桌面的总总体设计计思想，考考虑到万万兆、IIPv66的建网网理念，根根据集团团各个分分部的厂厂房和库库房网络络建设的的具体情情况，考考虑到部部分信息息点数据据流量庞庞大等因因素，在在攀枝花花、西昌昌、泸州州分部核核心区域域建议采采用锐捷捷RG-S57750-48GGT/44SPFF-E全全千兆三三层多业业务IPPv6交交换机。RRG-SS57550-448GTT/4SSPF-E全千千兆三层层多业务务交换机机具备448口，可可容纳多多个接入入层设备备。最重重要的是是RG-S57750-48GGT/44SPFF-E三三层交换换机还具具备两个个万兆扩扩展槽，可可灵活弹弹性扩展展多种类类型的万万兆模块块和万兆兆堆叠模模块，通通过扩展展万兆光光口实现现骨干网网络的万万兆互联联以及部部分接入入网络的的千兆桌桌面。从从RG-S57750-48GGT/44SPFF-E是是锐捷网网络推出出的融合合了高性性能、高高安全、多多智能、易易用性的的新一代代全千兆兆带万兆兆扩展机机架式多多层交换换机。可可以提供供48个个10/1000/10000MM自适应应的千兆兆电口，还还能提供供PoEE远程供供电的接接口。4.3 出口设设计出口区域域的网络络主要由由路由器器VPNN网关、防防火墙组组成，以以下介绍绍以路由由器为主主。我们们建议在在总部网网络出口口处部署署一台锐锐捷RGG-NPPE500E网络络出口引引擎，RRG-NNPE550E固固化提供供了8个个光电复复用的GGE口，可可扩展22个扩展展糟，定定位于中中大型网网络出口口。RGG-NPPE500E全新新融入了了智能DDNS和和多链路路负载均均衡技术术，使得得用户对对内对外外访问都都能智能能选择最最优最快快速路径径；集成成了DPPI引擎擎，让网网络管理理人员轻轻松应对对P2PP等应用用的流量量控制；重构了了WEBB界面，让让其在设设备管理理维护层层面变得得简化。RG-NNPE550E网网络出口口引擎采采用MIIPS多多核处理理器体系系架构，单单个处理理器内部部基于锐锐捷网络络自主知知识产权权的虚拟拟多处理理器 （vvCPUU）技术术，从而而在x-floow框架架下构建建起一个个高性能能、高稳稳定的转转发平台台。RGG-NPPE500E网络络出口引引擎支持持的最大大并发用用户数最最多达1100000人，4G的DDR II内存，最高达6Mpps的转发能力具有卓越的转发性能。RG-NPE50E网络出口引擎充分利用x-flow技术，实现高速NAT，每秒高达30万条的NAT新建连接会话，最大支持整机200万条并发会话数。64bytes小包转发率可达100Mbps，同时实现出口防火墙功能，在各业务功能全开的情况下，能实现最大3000-10000用户的并发带机量。RG-NPE50E网络出口引擎配有先进的DPI深入分析引擎、行为分析/管理引擎，能够在保证网络出口高效转发的基础上，提供专业的流控功能、出色的URL过滤以及本地化的日志存储/审计服务。此外，RG-NPE50E网络出口引擎还提供WEB认证、IPsec/L2TP/SSL VPN、智能DNS、多链路负载均衡等多种功能的支持。同时可根据网络使用分部情况，RG-NPE50E网络出口引擎提供专业的流量限速策略，用户可根据不同时段指定，分时段限速策略。同时RG-NPE50E的多出口负载均衡，可综合利用不同运营商、不同自费的线路，提升网络带宽的同时，降低线路资费。4.4 防火墙墙根据学院院对网络络安全的的统一规规划，需需要在网网络出口口处均部部署防火火墙产品品进行网网络安全全防护，建建议采用用RG-WALLL 116000E防火火墙用在在内外网网间链路路上作防防护，从从而实现现对外部部的攻击击防御，保保护内部部网络的的安全性性。RG-WWALLL 16600EE防火墙墙是面向向大型园园区网出出口用户户开发的的新一代代电信级级高性能能防火墙墙设备。RRG-WWALLL 16600EE可支持持数十个个GE接接口，可可以广泛泛应用于于企业、教教育、政政府、医医疗等行行业的千千兆网络络环境。配配合锐捷捷网络交交换机、路路由器产产品，可可以为用用户提供供完整的的端到端端解决方方案，是是大型网网络出口口和不同同策略区区域之间间安全互互联的理理想选择择。RG-WWALLL 16600EE基于锐锐捷网络络自主开开发的RRG-SSecOOS和独独创的分分类算法法使得它它的高速速性能不不受策略略数和会会话数多多少的影影响。RRG-WWALLL 16600EE采用独独立的安安全协议议栈，可可以自由由处理通通过协议议栈的网网络数据据，基于于网络行行为检测测多流关关联分析析技术，支支持对网网络数据据深度状状态检测测。同时时还采用用快速流流检测引引擎，对对网络报报文处理理进行了了革命性性的改造造和优化化；内置置专用的的硬件VVPN模模块，支支持SSSL、IIPseec、PPPTPP、L22TP VPNN等多种种VPNN业务模模式。在在消除通通用操作作系统漏漏洞的前前提下，完完整实现现了状态态检测包包过滤/应用代代理防火火墙、动动态路由由、入侵侵检测防防护、病病毒过滤滤、IPPSecc VPPN、抗抗DDooS攻击击、深度度内容检检测、带带宽管理理和流量量控制等等综合安安全网关关功能。4.5 主要设设备选型型设备类型型设备型号号设备说明明交换机RG-8861003.2TT背板带带宽、110个（22个用于于管理引引擎）模模块插槽槽、包转转发速率率：L22：11190MMppss/L33:11190MMppss、交换换容量：1.66TRG-SS86006网管功能能：SNNMP v1/v2/v3、TTelnnet、CConssolee、WEEB、RRMONN、SSSHv11/v22背板带宽宽：16638GGbpss 包转转发率：L2: 5995MpppsLL3: 5955MpppsRG-SS57550-224GTT/8SSFP-E24口110/1100/10000M自自适应端端口(支支持远程程PoEE供电)，8个个SFPP光电复复用口，22个扩展展槽、模模块化电电源、22个电源源插槽、包包转发速速率：996Mppps,交换容容量:3360GGbpssRG-223522G背板带宽宽19.2G 包转发发率133.2MMppss 接口口数目552口 路由器RG-NNPE550EMIPSS多核处处理器、内内存:44G、fflassh:5512MM、8GGE光电电复用接接口、包包转发速速率>66Mppps、NNAT并并发会话话数：整整机2000万。防火墙RG-WWALLL16000E支持数十十个GEE接口、独独创的分分类算法法、RGG-SeecOSS、支持持对网络络数据深深度状态态检测、快快速流检检测引擎擎入侵检测测RG-IIDS220000全面检测测、分布布式结构构、高可可靠、高高性能、低低误报率率服务器IBM服服务器XX38550M22标配四个个Inttel 四核XXeonn E774200处理器器(2.13GGHz, 8MM L33缓存)，可扩扩至四路路处理器器，标配配8GBB DDDR22内存，00GB SASS硬盘，最最大可扩扩充至2256GGB，标标配1块块内存板板，标配配2个热热插拔电电源,44U机架架式，配配置2个个1466GB 10KK 2.5” SAAS HHot-Swaap HHDDIBM服服务器XX36550M222U机架架式服务务器。配配置一颗颗四核英英特尔至至强处理理器55504 2.00GHzz(4MMB三级级缓存，最最高支持持8000MHzz内存频频率，44.8 GT/s QQPI，支支持超线线程、TTurbboBooostt功能), 可可扩展至至2个处处理器。22x2GGB DDDR33 RDDIMMM内存，高高达166个内存存插槽(每处理理器配置置8个内内存插槽槽)。44个PCCI-EExprresss二代插插槽；44个x88插槽通通过可选选的扩展展卡可转转换为22个x116插槽槽；通过过可选的的扩展卡卡支持PPCI-X。配配置4个个1466GB热热插拔SSAS硬硬盘，共共计122个2.5英寸寸热插拔拔硬盘托托架。集集成双千千兆以太太网。三三年免费费保修和和服务。第五章VVLANN与IP规规划5.1 VLAAN与IIP技术术介绍(1) VLAAN技术术即虚拟拟子网技技术起始始于19994/19995年的的LANN交换技技术，VVLANN就是一一个广播播域，是是由跨越越物理LLAN网网段的多多台终端端机组成成的相互互可以通通信的逻逻辑网段段。划分分VLAAN可以以基于端端口、MMAC地地址、第第三层的的IP、多多址广播播及混合合技术。(2) VLAAN的划划分可以以提供更更多的服服务网络络管理及及性能的的提高。(3) VLAAN可以以减少移移动及改改变的花花费；(4) VLAAN建立立的虚拟拟工作组组可以提提供方便便管理的的可能；(5) 一种资资源可以以属于不不同的VVLANN，减少少对广播播的路由由，防止止局域的的网络风风暴的产产生；(6) 更高的的安全性性，可以以在局域域只能够够建立安安全屏障障，分割割安全等等级；(7) 高性能能，低延延迟，提提供比路路由器高高得多的的速率，却却有更低低的价格格；5.1.1VLLAN与与IP划划分方案案部门VLANN名VLANN号VLANN IPPIP网段段可用范围围财务部CWB10192.1688.100.1192.1688.100.0/24192.1688.100.2 2554/224学工部XGB20192.1688.200.1192.1688.200.0/24192.1688.200.22544/244行政部XZB30192.1688.300.1192.1688.300.0/24192.1688.300.22544/244教务处JWC40192.1688.400.1192.1688.400.0/24192.1688.400.22544/244图书馆TSG50192.1688.500.1192.1688.500.0/24192.1688.500.22544/244内部服务务器区NBFWWQ60192.1688.600.1192.1688.600.0/24192.1688.600.22544/244外部服务务器区WBFWWQ70192.1688.700.1192.1688.700.0/24192.1688.700.22544/244管理GL80192.1688.800.1192.1688.800.0/24192.1688.800.22544/244学生区192.1688.900.0/241922.1668.1150.0/224教工区192.1688.1660.00/2441922.1668.1170.0/224教学区192.1688.1880.00/2441922.1668.1190.0/224第六章 网络管管理与安安全方案案6.1 网络管管理方案案配置管理理过程是是对处于于不断演演化、完完善过程程中的软软件产品品的管理理过程。其其最终目目标是实实现软件件产品的的完整性性、一致致性、可可控性，使使产品极极大程度度地与用用户需求求相吻合合。它通通过控制制、记录录、追踪踪对软件件的修改改和每个个修改生生成的软软件组成成部件来来实现对对软件产产品的管管理功能能。性能管管理是对对电信设设备的性性能和网网络单元元的有效效性进行行评估，并并提出评评价报告告的一组组功能。包包括性能能测试，性性能分析析及性能能控制。性性能管理理（Peerfoormaancee Maanaggemeent）性性能管理理指的是是优化网网络以及及联网的的应用系系统性能能的活动动，包括括对网络络以及应应用的监监测、及及时发现现网络堵堵塞或中中断情况况、全面面的故障障排除、基基于事实实的容量量规划和和有效地地分配网网络资源源。安全全管理：安装系系统补丁丁程序(Pattch)；采用最最新版本本的服务务方软件件；设置系系统日志志；定期检检查系统统安全性性；6.2 网络安安全方案案6.2.1 GGSN今天的网网络安全全正遭受受严峻挑挑战。病病毒、外外部入侵侵（黑客客）、拒拒绝服务务攻击、内内部的误误用和滥滥用，以以及各种种灾难事事故的发发生，时时刻威胁胁着网络络的业务务运转和和信息安安全。但但与此同同时，大大多数正正在使用用的网络络安全系系统都缺缺乏真正正的全局局防护能能力。当当网络受受到来自自各方面面的攻击击时，由由防毒软软件和防防火墙等等独立安安全产品品堆砌起起来的措措施不仅仅漏洞百百出，还还会处处处被动挨挨打。可可以断言言：面对对复杂的的安全隐隐患，这这种“各各自为战战”的安安全系统统已彻底底失去效效力。  今天天，网络络安全技技术与各各种安全全隐患之之间进行行的是一一场深入入、多层层次的战战争。为为了彻底底扭转“各各自为战战”的被被动局面面，唯有有用全局局化、智智能化的的安全体体系代替替陈旧的的安防措措施。业业界领先先的网络络设备及及解决方方案供应应商锐捷捷网络率率先发布布了集自自动防御御（自御御）、自自动修复复（自愈愈）与自自动学习习（自育育）等三三大自“YYU”功功能于一一体的GGSN全全局安全全网络解解决方案案。GSSN强调调“多兵兵种协同同作战”，将将安全结结构覆盖盖网络传传输设备备（网络络交换机机、路由由器等）和和网络终终端设备备（用户户PC、服服务器等等），成成为一个个全局化化的网络络安全综综合体系系。在此此基础上上，GSSN不仅仅能够满满足现阶阶段网络络安全环环境的需需求，同同时也为为今后可可能发生生的安全全威胁做做出了准准备。GSN，即即 Gllobaal SSecuuritty NNetwworkk，中文文名称“全局安安全网络络”。GSSN通过过将用户户入网强强制安全全、主机机信息收收集和健健康性检检查、安安全事件件下的网网络设备备联动处处理集成成到一个个网络安安全解决决方案中中，达到到对网络络安全威威胁的自自动防御御，网络络受损系系统的自自动修复复，同时时针对网网络环境境的变化化和新的的网络行行为进行行学习，达达到对未未知安全全事件的的防范。GSN方方案由锐锐捷安全全交换机机、锐捷捷安全管管理平台台、锐捷捷安全计计费管理理系统、网网络入侵侵检测系系统、安安全修复复系统等等多重网网络元素素组成，能能实现同同一网络络环境下下的全局局联动，使使每个设设备都发发挥安全全防护的的作用。GSN由三个层面组成;（1） 后台服务务层面：身份认证证系统身份份认证系系统能够够提供严严格的用用户接入入控制，通通过准确确的身份份认证和和物理定定位来确确保接入入用户的的可靠性性。用户户认证系系统针对对用户的的入网，提提供入网网控制功功能，同同时，认认证系统统还可以以实现用用户帐号号、用户户IP、用用户MAAC、设设备IPP、设备备端口的的静态绑绑定、动动态绑定定以及自自动绑定定，保证证用户入入网身份份唯一。安全管理理平台安全全管理平平台是安安全防御御体系的的管理与与控制中中心，是是统一安安全管理理平台的的核心组组成部分分。通过过安全管管理平台台，可以以对系统统内的安安全设备备与系统统安全策策略进行行管理，实实现全系系统安全全策略的的统一配配置、分分发和管管理，并并能有效效的配置置和管理理全局安安全设备备，从而而实现全全局安全全设备的的集中管管理，起起到安全全网管的的作用。通通过统一一的技术术方法，将将系统所所有的安安全日志志、安全全事件集集中收集集管理，实实现集中中的日志志分析、审审计与报报告。同同时通过过集中的的分析审审计，发发现潜在在的攻击击征兆和和安全发发展趋势势，确保保安全事事件、事事故得到到及时的的响应和和处理。安全修复复系统安全全修复系系统的作作用是跟跟踪安全全漏洞的的变化，能能够有效效地进行行系统补补丁、病病毒特征征码或者者用户指指定应用用程序补补丁的管管理。针针对不同同的安全全策略，点点到面自自动强制制分发部部署补丁丁程序。（2） 网络层面面：安全联动动设备安全全联动设设备是校校园网络络中安全全策略的的实施点点，起到到强制用用户准入入认证、隔隔离不合合格终端端、为合合法用户户提供网网络服务务的作用用。由安安全管理理平台提提供标准准的协议议接口，同同交换机机、路由由器、防防火墙、IDS等各类网络设备实现安全联动。（3） 用户层面面：安全客户户端安全客客户端是是安装在在个人电电脑和服服务器上上的端点点保护软软件。安安全客户户端负责责收集不不同用户户的安全全软件的的状态信信息，包包括对防防病毒软软件信息息的收集集。同时时安全客客户端可可以评估估操作系系统的版版本、补补丁程度度等信息息，并且且把这些些信息传传递到安安全管理理平台，没没有进行行适当升升级的主主机将被被隔离到到网络修修复区域域，从而而保障网网络的安安全运行行。与传传统的解解决方案案不同，安安全客户户端通过过对用户户终端设设备信息息的搜集集，可预预先识别别和防止止用户对对网络的的恶意行行为，排排除潜在在的已知知和未知知的安全全风险。GSN的的优势：(1)提提供统一一、严格格的用户户入网身身份验证证机制GSN提提供了统统一的身身份管理理模式，对对接入内内网的用用户进行行身份合合法性验验证没有合法法身份的的用户被被隔离在在内网之之外，无无法登录录访问网网络。图（2）支支持对用用户名、密密码、用用户IPP、用户户MACC、交换换机IPP及交换换机端口口六元素素进行灵灵活绑定定（3）灵灵活的用用户访问问权限管管理不同部部门和组组织的用用户往往往需要约约束不同同的访问问控制权权限财务部部门的数数据服务务器不允允许其它它部门访访问访客用用户不能能访问所所有内网网资源，