2022年2022年计算机网络系统设计方案 5.pdf

《2022年2022年计算机网络系统设计方案 5.pdf》由会员分享，可在线阅读，更多相关《2022年2022年计算机网络系统设计方案 5.pdf（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络系统设计方案第一章系统建设的总体原则 1.1 校园网络建设的总体规划系统建设的总休原则是：安全、高速、稳定。结合省“十二五”发展规划，为加速学校网络的教育信息化进程，实现全面应用信息技术，构建数字化校园网络环境，以信息技术的现代化推动教育的现代化，从而推动学校教育、科研、管理水平的全面提高。结合当前技术发展状况及趋势，考虑项目建设和日后运行的成本，在整体设计、设备采购、施工、测试运行的过程中严格遵循以下原则：（1）统筹规划校园网络建设是一个庞大的系统工程, 建设之前必须站在整体层面，做好项目分析和规划设计工作，整体考虑、统筹规划，确保统一的建设标准、统一的技术标准、统一的基础架构和统

2、一的组织管理。（2）分步实施校园网络建设，涉及到需求调研、方案论证、系统选型、部署与集成、人员培训、运行反馈、修改完善等多个过程，因此整个建设过程实行统筹安排、分步实施，确保校园网络建设的进度和质量。（3）加强应用校园网络建设的核心目的就是“应用”，使学校实现管理信息化和教学数字化，实现学校各部门之间的快捷沟通，实现学校部及校际之间的数据共享与交换，让广大师生实现个性化的综合信息服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 32 页 - - - - - - - -

3、 - 1.2 安全性原则对于校园网络系统来说，安全问题是其首要的问题。因此，系统设计时应完全按照国家局和国办的有关规要求，从网络安全和应用安全两个层面进行统一的安全规划和管理，对系统中的用户权限和角色进行严格、合理的规定和划分，对用户身份进行严格审核；对用户行为、基本信息单元的存取进行严格的监控与审计。采用先进的安全保证技术防火墙、上网行为管理等技术保障系统不受入侵，从而切实保证系统信息数据的安全性。1.3 实用性原则系统在设计上遵循实用性的原则，系统设计充分体现“以人为本”的设计理念，尽可能为用户提供操作简便、布局清晰、快速有效的使用感受。1.4 先进性原则充分利用先进技术，在深入的分析和广

4、泛的调查基础上选用先进、实用的设备来实现先进技术，针对学校的实际业务工作对功能需求进行全面的梳理，注重系统运行效率，为决策支持提供强有力的数据分析功能，使系统在校园工作中真正的发挥出重要作用，真正实现校园网络信息化。1.5 高集成性原则在本项目的设计中集成了安全认证系统、知识管理、知识挖掘、可视化工作流、集成通讯、网络防下载、访问控制、数据仓库等高新技术。针对学校用户的不同要求，在具体分析的基础上设计系统的解决方案。为学校各大应用软件系统提供一个具有最佳的技术解决方案和网络基础平台。因此网络应用系统的建设是一个高度集成化的工作，在设计的过程中必须遵守高集成性的原则。名师资料总结 - - -精品

5、资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 32 页 - - - - - - - - - 1.6 开放性原则系统设计遵循软总线、星型构件化设计原则，各部分遵循标准的规接口，支持各个部分之间灵活的沟通与联系，在统一的安全机制下，实现信息数据的充分共享与灵活集成。系统的设计要保持开放性，采用搭积木的构建方式，当需求发生变化时，系统可以便捷的进行扩展和升级，使系统可以不断的生长，达到一种自适应的要求，保护前期的投资。1.7 稳定性原则任何一个综合性的应用系统，都是多个领域的各种软硬产品的集成，这就增加

6、了系统整体的不稳定性；而且，系统往往需要7X24小时连续稳定的工作；系统的稳定性将关系到系统使用效率，关系到整个系统能否真正有效运转，关系到系统中的各种信息的安全性、有效性、完整性，因此，只有在系统硬件、操作系统、软件开发平台、中间件、数据库、应用软件、网络设备等各个环节保证每个组件，乃至整个分系统的稳定，并在系统集成时严格遵守质量保证体系要求，才能使系统整体稳定性得到保障。 1.8 可扩展性原则系统建设是一项长期的工作，因此系统在设计之初就遵守开放性和可扩充性的原则。系统建设引入分层、模块化、标准化的设计思路，充分利用“高聚、低耦合、标准化”的设计理念，对业务对象进行深入分析，为系统的灵活、

7、可扩展性奠定扎实的技术基础。采用 SOA 服务模型的理念设计系统平台的核心组件，保证平台可移植性、可扩展性。1.9 可恢复性原则信息的有效管理、储存、备份是信息能够被有效利用的基础。对信息资源的各种频繁操作，将不可避免的给信息资源，甚至整个信息系统带来损害；一些不可预料的突发性事件可能造成系统的被破坏；还有各种人为的攻击、破坏都可能造成系统的故名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 32 页 - - - - - - - - - 障，直至崩溃。因此，系统的可恢复性就

8、成为系统建设，尤其是校园信息系统建设的重要原则。1.10 可管理性原则系统管理是指系统使用期间为保证用户安全、可靠，正常使用系统服务而从事的全部操作和维护性活动。应该严格的从系统结构、技术措施、运行环境、安全控制等各方面综合考虑系统可管理性，基于业界最新的ITIL(IT Infrastructure Library)的 IT 服务管理思想，提供成熟的IT 运维管理解决方案。使得系统的使用及管理简便、易于操作、实用，保证系统具有高可管理性，降低系统管理和维护成本。1.11 高带宽校园网络是一个庞大而且复杂的网络，为了保障全网的高速转发，网络全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑

9、到高带宽，同时要求核心交换机和汇聚交换机都要具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。接入交换机也得充分满足各终端的需求。第二章学校网络规划与设计 2.1 设计总述该方案将为整个校园网络提供一个高性能的、具有扩充能力的高效网络。因此采用模块化和可扩充的多层次网络体系结构来解决网络设计方面的挑战。此网络设计提供了很多优点。主要包括：良好的扩充能力：可以方便的增加相应的模块；容错能力：部件更换，提供冗余网络服务；可预测的流量模式：包括各种条件下（正常工作与故障条件）网络的各种行为。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -

10、- - - - - - 名师精心整理 - - - - - - - 第 4 页，共 32 页 - - - - - - - - - 与设备的冗余能力结合，如热插拔部件，可以提供更大的灵活性和网络增长的潜力。网络系统方案以核心层、汇聚层、接入层为体系架构的万兆骨干网络。网络具备升级和扩容能力，以满足校园网络不断增长的业务的需求。核心层、汇聚层和接入层网络设备要具有高可扩展性和高可靠性、冗余性，并通过相应的路由协议实现链路之间的保护和负载均衡，以保证网络安全、稳定的运行，确保校园网络各应用子系统的运行。对于校园网络教学性，为用户提供千兆上行的接入服务，整网千兆光纤链路骨干，具有网络故障收敛速度快、易于

11、管理和维护的特点。通过把VLAN终结在接入端口，限制广播域围，较少广播报文对网络带宽的消耗。利用网络中存在的等价多路径实现业务流量的负载分担。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 32 页 - - - - - - - - - 2.2 网络拓扑简介出口选用一台 1000M高性能的防火墙，通过高吞吐、高转发和高并发用户数来满足整个学校师生访问外网的高需求，同时该防火墙还连接学校与电教馆的专线，因此该出口设备性能选用高性能设备。从中心机房到各志远楼、综合楼、明远楼、实

12、验楼和艺术楼分别通过多模光纤和多模纤模块连接到各大楼的汇聚交换机，实现高速、稳定、可靠的主干连接。各楼层接入交换机分别通过多模光纤连接至各大楼的汇聚交换机光口，通过多模光纤模块实现全光口1000M上行连接，做到全网络全1000M骨干的高速连接。本方案中网络结构分成三层：核心层、汇聚层、接入层的层次化结构设计名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 32 页 - - - - - - - - - 2.3各层功能设计简介2.3.1 核心层规划设计核心层 设备作为网络的骨干

13、，负责了整个网络所有应用和业务的数据传输任务，所以其转发性能和稳定性是衡量整个基础网络架构好坏的关键，其需要能提供快速的数据交换和极高的永续性，从备份和负载分担角度出发，此次设计采用双引擎、双电源设计，双机采用IRF2 智能堆叠技术，可实现双链路上行捆绑，共同负载均衡，业务切换的时间在毫秒级，保证了核心层的设备及链路冗余能力；核心交换机采用了高可靠性的多级交换 CLOS 架构，实现了主控与交换网板的物理分离，在主控宕机的情况下能够保证已有业务不中断。另外还须支持双主控、电源冗余、风扇冗余、分布式转发等特性，提供 40G/100G的扩展能力，而且考虑到的安全防护升级和智能可视化管理，核心设备支持

14、多种业务板卡如防火墙/IPS 板卡等；为了满足后期针对数据流的监控，核心设备应该能够支持跨板镜像。2.3.1.1 核心 IRF2 代智能堆叠介绍目前，网络中主要存在两种形态的通信设备：盒式设备和框式分布式设备。将它们进行比较，我们会发现：盒式设备成本低廉，但是没有高可用性支持，缺乏不中断的业务保护，无法应用于重要的场合（例如核心层、汇聚层、生产网络、数据中心等）；在复杂的组网环境中，盒式设备扩展性差的缺点表现的非常明显，用户不得不维护更多的网络设备，并且为了增加这些设备还不得不修改早期的组网结构；框式分布式设备具有高可用性、高性能、高端口密度的优点，因此经常被应用于一些重要场合（例如核心层、汇

15、聚层、生产网络、数据中心等）。但它相比盒式交换机也有一些缺点，比如首次投入成本高、单端口成本高等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 32 页 - - - - - - - - - 针对盒式设备与框式分布式设备的这些特点，一种结合了两种设备优点的IRF虚拟化技术应运而生。 IRF 就是将多台设备通过IRF 端口连接起来形成一台虚拟的逻辑设备，如下图所示。用户对这台虚拟设备进行管理，来实现对虚拟设备中的所有物理设备的管理。这种虚拟设备既具有盒式设备的低成本优点，又

16、具有框式分布式设备的扩展性以及高可靠性优点。IRF 组网应用示意图从提出虚拟化理念开始，虚拟化技术在不断发展、变化中，不同厂商的技术实现也不尽相同，但普遍存在以下问题：支持的功能少。大部分厂商在虚拟化技术实现时采用了全新的系统架构，导致在其它设备上很普通很成熟的技术，在虚拟设备上都必须进行单独的支持，而多年的技术积累很难在短时间重新实现，因此只能保证虚拟设备首先支持基本功能，而大量的增值服务可能缺失。功能支持与其它产品有差异。由于基本架构的不同，很多功能在支持虚拟化的产品上的实现不同于任何已有产品，用户在使用此类产品前必须熟悉这些差异。名师资料总结 - - -精品资料欢迎下载 - - - -

17、- - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 32 页 - - - - - - - - - 而在与其它产品混合组网时，更需要了解各产品的不同，给用户的管理和维护带来了很大的不便，增加了维护成本。技术不成熟造成运行不稳定。这里说的技术不成熟不是指技术本身，而是技术应用在虚拟化环境不成熟。例如虚拟化的一个特点是每个成员都有独立的控制能力，如何协调各成员的控制就是一个问题。再比如成员的地位相互平等，每个成员又都有与其他成员交互的能力，那么随着成员个数的增加，成员间的交互将成几何级数增加，这就是通常所说的N平方问题，虚拟化必须要很好的

18、考虑解决这个问题。总之这些系统相关的问题对各种特性来说都需要新的技术加以解决。而这些全新技术的不成熟，会直接影响产品的性能以至运行的可靠。2.3.1.2 核心交换机技术优点IRF 具有以下主要优点：简化管理：IRF 形成之后，用户通过任意成员设备的任意端口均可以登录IRF 系统，对 IRF 所有成员设备进行统一管理。而不用物理连接到每台成员设备上分别对它们进行配置和管理。简化网络运行：IRF 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。IRF 技术的这一特性是常

19、见的集群技术所不具备的，后者仅仅能完成设备管理上的统一，而集群中的设备在网络中仍然分别作为独立节点运行。低成本：IRF技术是将一些较低端的设备虚拟成为一个相对高端的设备使用，从而具有高端设备的端口密度和带宽，以及低端设备的成本。比直接使用高端设备具有成本优势。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 32 页 - - - - - - - - - 强大的网络扩展能力：通过增加成员设备，可以轻松自如的扩展IRF 系统的端口数、带宽和处理能力。保护用户投资：由于具有强大的

20、扩展能力，当用户进行网络升级时，不需要替换掉原有设备，只需要增加新设备既可。很好的保护了用户投资。高可靠性：IRF 的高可靠性体现在多个方面，例如：成员设备之间IRF物理端口支持聚合功能， IRF 系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了IRF系统的可靠性；IRF系统由多台成员设备组成， Master设备负责 IRF 系统的运行、 管理和维护， Slave 设备在作为备份的同时也可以处理业务，一旦 Master 设备故障，系统会迅速自动选举新的Master，以保证通过IRF 系统的业务不中断，从而实现了设备的1:N 备份。IRF 是网络可靠性保障的最优解决方案。

21、高性能：由于 IRF 系统是由多个支持IRF 特性的单机设备虚拟化而成的，IRF 系统的交换容量和端口数量就是IRF部所有单机设备交换容量和端口数量的总和。因此， IRF 技术能够通过多个单机设备的虚拟化， 轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。丰富的功能： IRF 支持包括 IPv4、IPv6、MPLS 、安全特性、 OAA 插卡、高可用性等全部交换机特性，并且能够高效稳定地运行这些功能，大大扩展了IRF 设备的应用围。广泛的产品支持： IRF 技术作为一种通用的虚拟化技术，对不同形态产品的虚拟化一体化的实现，使用同一技术，同时支持盒式设备的虚拟化，

22、以及框式分布式设备的虚拟化名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 32 页 - - - - - - - - - 2.3.1.3 核心交换机 CLOS 架构特点多级交换，典型为三级交换架构，在每一级，每个交换单元的输出都与下一级的所有单元的输入相连。到指定目的地，在第1 级交换单元存在多条路由；到指定目的地，后续交换单元都只存在1 条路由严格意义上的无阻塞；支持递归，无限可扩展CLOS 交换架构的优势：可以通过使用较小交换结构作为基础组件来构建大型交换结构，从而简

23、化大型交换结构的构建。大幅度减少构建无阻塞交换结构所需要的交叉点，从而减少故障点，增强交换结构的可靠性。强大的故障抵御能力，第1 级交换单元即可通过冗余路径绕过第 2 级交换单元的故障交换单元的交换路径完全独立，不会彼此干扰，从而不需要复杂的集中控制器来协调各交换单元的交换，进一步增强可靠性和可扩展性支持递归扩展，Clos 网络中间级的交换也可以是一个完整的三级Clos 网络。这可支持构建具有五级、七级或九级的巨大交换结构，在极大数量的输入和输出之间建立严格的无阻塞连接。由于 clos 网络的递归特性，理论上它具有无限的可扩展性。2.3.1.4 数据中心与核心接入设计数据中心的整体架构为底层是

24、承载网，然后是数据存储、计算、通信三大IT 基础组件，再通过业务中间件和数据共享管理层支撑起上层面向应用系统（如电子政务系名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 32 页 - - - - - - - - - 统、行业监管等），通过业务中间件和业务应用层实现各部分业务之间的整合与集成，为相关领导提供战略决策和行业监管（如决策支撑系统、数据挖掘、在线分析处理、执行信息系统等等）。业务中间件和数据共享管理层既要屏蔽底层基础架构不同通信协议、不同数据库、操作系统之间的差

25、异，为上层不同业务应用系统提供统一的接口。数据中心建设项目遵循开放化和标准化原则，充分考虑原有信息化基础设施，基于标准化 IP 技术，组建高效智能信息化平台，使整个数据中心及下属各企业的数据整合成为统一整体，最终实现计算、通信、安全、管理一体化由于各大楼有不同部门办公，因此数据中心也在物理空间和物理设备上分为不同的接入区域。由于接入部门较多，因此数据中心需要提供同一物理网络上的虚拟化隔离功能，一体化的安全防护和基于业务应用的负载分担。2.3.1.5 核心交换机虚拟化隔离设计根据国家 4 部委所颁布的信息安全等级保护管理办法的相关要求，数据中心网络各个应用系统均有独立业务，而且各应用系统之间存在

26、信息安全、的实际需要，因此在建基础网络平台的同时需要考虑如何将各种业务进行逻辑隔离，确保各业务应用系统的独立性，并且需要考虑在部署了业务隔离之后，如何对部分数据进行共享，如何与各业务部门的原有专网进行对接。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 32 页 - - - - - - - - - MPLS VPN 虚拟化技术逻辑示意图如上图所示，随着网络技术的发展，虚拟化技术得到了广泛的应用。虚拟化即是在一套物理网络上，采用逻辑隔离技术将网络资源划分为多个逻辑隔离的虚

27、拟通道，虚拟通道间既能达到与物理隔离等同的安全保证，也可以灵活控制某条虚拟通道中的业务对其他虚拟通道的访问。数据中心网络虚拟化解决方案包括接入控制、通道隔离、统一应用三个部分，实现对整个基础网络、应用资源的虚拟化，提高资源的利用效率、降低管理的复杂度，并且满足了网络的安全性和灵活业务的需要。数据中心虚拟化网络逻辑图2.3.1.6 接入控制设计名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 32 页 - - - - - - - - - 接入控制能够保证网络访问的安全和接入

28、用户正确获得访问相关资源的权限。数据中心虚拟化解决方案接入控制采用防火墙设备来实现上网权限的控制，对通过认证的用户动态下发 VPN和对应的资源访问和使用权限。通过中央服务器和客户端的配合，还可以监控接入用户的安全状态，拒绝非法接入网络，防止终端ARP欺骗和攻击，进一步加强了整网的稳定和安全。通道隔离： 通过 MPLS VPN技术对不同的应用、业务和群组用户进行安全隔离，把不同用户、不同应用的数据横向隔离开来，保证数据传输的私密性和安全性。统一应用： 应用服务区通过计算虚拟化、存储虚拟化、虚拟安全等技术，为整网的隔离用户提供统一的安全策略部署、数据中心服务、流量监控、Internet/WAN 访

29、问服务等。结合中兴数据中心虚拟化解决方案，更能提供用户、专网、数据中心网络、数据中心服务器的一体化端到端虚拟化，既满足资源的整合需求，又满足了用户、业务的隔离和访问控制要求。根据数据中心网络的隔离要求，建议通过MPLS VPN隔离方式进行部署，以满足路警指挥、数据中心 / 呼叫中心等各个应用系统对网络安全隔离的需要。数据中心基础网络部署 MPLS VPN 后，可以灵活的设置业务隔离后业务之间的逻辑关系。数据中心通过部署MPLS VPN 技术来实现业务的安全隔离，具有如下优势：1. 业务隔离性高。通过端到端的VRF隔离，实现业务数据整网的虚拟通道转发，同时网络部署中极大减少了ACL策略的控制，降

30、低了出错的可能性和安全漏洞，安全性高。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 32 页 - - - - - - - - - 2. 扩展性、可管理为核心高。每个VPN 维护独立的虚拟路由转发表，允许各VPN的 IP 地址重叠，对网络IP 地址规划要求低，配置管理简单，能够满足大型网络的应用2.3.1.7 负载均衡设计随着网络的快速发展和业务量的不断提高，基于网络的数据访问流量迅速增长，特别是对数据中心等的访问，其访问流量甚至达到了10Gb/s 的级别；同时，服务器

31、借助 HTTP 、FTP 、SMTP 等应用程序，为访问者提供了越来越丰富的容和信息，服务器逐渐被数据淹没；所有这些都对应用服务提出了高性能和高可靠性的需求。但是，相对于网络技术的发展，服务器处理速度和存访问速度的增长却远远低于网络带宽和应用服务的增长，网络带宽增长的同时带来的用户数量的增长，也使得服务器资源消耗严重，因而服务器成为了网络瓶颈。传统的单机模式，也往往成为网络故障点。负载均衡提供了一种廉价、有效、透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力，提高网络的灵活性和可用性。负载均衡技术具有如下优点：高性能：通过调度算法，将客户端请求合理地均衡到后端各台服务器上

32、，消除系统可能存在的瓶颈。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 32 页 - - - - - - - - - 可扩展性：当服务的负载增长时，系统能被扩展来满足需求，且不降低服务质量。高可用性：通过健康性检测功能，能实时监测应用服务器的状态，保证在部分硬件和软件发生故障的情况下，整个系统的服务仍然可用。透明性：高效地使由多个独立计算机组成的松耦合的服务系统构成一个虚服务器；客户端应用程序与服务系统交互时，就像与一台高性能、高可用的服务器交互一样，客户端无须作任何

33、修改。部分服务器的切入和切出不会中断服务，而用户觉察不到这些变化。当前市场除了传统盒式的负载均衡产品外，也有另外一种形态的负载均衡产品，它以业务模块的形式将负载均衡的业务处理部分集成到交换机设备中，通常被成为LB(Load Balance) 业务模块或插卡（如下午所示），集成了LB的交换机又被称为负载均衡交换机。负载均衡交换机2.3.1.8 模块化产品有以下特点共享网络特性。由于与网络设备共享了统一的软件平台，天然支持丰富的路由协议如 RIP、BGP 、OSPF 和 IPv6 等网络特性。一些传统的负载均衡产品是通过License使用上述网络特性。名师资料总结 - - -精品资料欢迎下载 -

34、- - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 32 页 - - - - - - - - - 共享硬件器件。负载均衡模块在以插卡方式集成到网络设备上之后，一方面通过复用交换路由的双主控、双电源等器件分享高可靠资源，另一方面还通过复用交换路由的电源系统、交换接口提供更优的性价比。节约机架空间、简化组网。在宝贵的机房空间中，负载均衡模块集成在交换路由设备中，节约机房空间；在组网中，无须外联引流，简化组网和配置维护工作量。对比盒式产品的报文所流经的路径，模块化产品则简化了这个流程，其报文的路径是： 网络设备 负载均衡模块

35、的处理器网络设备。2.3.2 汇聚层简介在网络中，汇聚层交换机和核心层交换机的作用与接入交换机不同，它们承担了网关和三层路由转发功能的重担。 应具有高扩展性功能。 由于 IP 扫描和 DoS攻击对三层交换机的影响和危害严重，常常会使交换机CPU处理满负荷，造成交换机处理能力下降，甚至瘫痪，用户无常上网，其部应采用了先进硬件三层转发机制（最长匹配转发方式）可以有效抗击恶意IP 地址扫描。同时，交换机部更是嵌了安全策略（如制的防DoS攻击、防 IP 扫描机制），保证数据包路由转发功能不受 IP 扫描和攻击的影响。 IGMP源端口和源 IP 检查功能对非法组播源的防和控制，以及对各种硬件ACL （如

36、专家级 ACL 、时间 ACL等）的访问权限控制，都为网络健壮地运营提供了保证。2.3.3 接入层简介?接入层交换机提供网络的第一级接入功能，完成简单的二、 三层交换，安全、Qos和 POE 功能都位于这一层。根据以上要求，对于学校校园网络的接入层设备，建议采用100M到桌面，千兆光纤上行的方式，提供线速三层交换、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 32 页 - - - - - - - - - 高级 QoS策略、上行链路热备等高可靠性功能。提供48 个/24

37、 个固定的10M/100M 以太网口和 2 个固定的 1000M光口和 2 个固定的 10/100/1000M 自适应电口。采用固定接口和模块化接口结合的机器架构， 1U 高度，结构紧凑小巧，支持交流电源和直流电源，既可入19 英寸标准机架，也可以靠近客户端桌面放置，安装方便，应用灵活，性价比高。丰富接口类型，满足不同组网方式的需求?应具有 25.6Gbps 的背板交换容量，提供固定的48 个 10/100M以太网接口，和 2 个 1000M光口，2 个 10/100/1000 自适应电口。支持端口的捆绑，接入和组网方式非常灵活。良好的运营管理能力?需支持端口入口和出口的端口限速。支持VLAN

38、堆叠，增加支持的用户数目。支持 PVLAN ，实现用户隔离。实现4 级 QOS 队列，满足用户等级区分要求，支持 IP。支持 ZGMP 集群管理，自动发现和管理交换机群组。统一的网管功能?所有接入交换机应支持RFC1213 SNMP （简单网络管理）协议，带网管的形式可采用基于 Telnet 的配置管理（ CLI 命令行的形式）或基于SNMP 的配置管理 （图形界面的形式），实现基于网管平台的统一网管。 2.3.4 出口设备的规划与设计2.3.4.1 出口互联设备性能要求出口核心设备的性能好坏直接影响网络规模、网络稳定性以及网络可扩展性，通过它不仅可以连通不同的广域网，还能选择数据传送的路径，

39、并能阻隔非法的访问，必须具有强大的转发性能和丰富的业务特性，并能够给未来扩展留下充足的余地。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 32 页 - - - - - - - - - 作为整个学校网络核心出口设备, 需要担负整个校园网络的通讯, 对设备性能要求非常高 , 必须能够提供完善的业务支持能力。需要满足以下要求：高可靠、高性能：整网要达到电信级99.999% 的可靠性， 即全年业务中断时间不能超过 5 分钟。同时还需要实现各类业务数据的高速转发，不能出现大规模

40、拥塞等现象，否则对于语音、视频等高时延敏感业务会产生巨大影响。灵活丰富的 QoS策略： 校园网络业务类型丰富，不同业务对于QoS有着不同的要求。语音数据对带宽要求不高，但却对时延和抖动非常敏感，若时延超过150ms ，否则就会产生失真、语音断续等现象；视频数据不但对时延抖动敏感，且对带宽要求较高，若产生拥塞，则图像会产生马赛克、甚至停顿；普通的数据服务，如Web 页面浏览、电子发送等，由于容越来越丰富而不像以前仅仅局限于文字，故对于带宽的要求也越来越高。这都要求网关设备具备丰富灵活的QoS策略，充分保证不同业务的连续性。业务的逻辑隔离： 校园网络行政系统由多个部位门组成，各部门的业务相互独立，

41、并且各单位与其上下级之间有频繁的信息交流。信息交流手段不仅包含传统的数据通信，还需要具备更直接的交流手段，如语音通讯、会议电视等。在保障部各单位的基础交流通信的基础上，还应重点考虑信息化建设的、安全策略，让部各单位放心的开展自己的业务。伴随着信息化建设的快速发展，网络系统已成为校园网络系统正常运行的基本保障系统，整个校园网络系统的运转高度依赖着信息系统的运行。网络作为校园信息系统运行的基础平台，其安全性、稳定性是学校信息系统正常运行的前提。但是，随着网络的日益复杂，信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题，可能会影响网络的稳定运行、威胁网络业务的正常运行。如何应对网络安全

42、威胁，确保网络行政专网信息系统的安全稳定运行，已经是必须关注的问题。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 32 页 - - - - - - - - - 校园网络信息化程度越高，对信息安全的依赖也越明显，一旦出现安全问题，往往会给网络系统的运行造成致命打击，而传统采的多个安全产品堆彻的方法，由于缺乏统一安全策略、安全设备无法实现信息共享，不能相互配合，安全漏洞无法弥补。网络不同区域的安全防护需求，提供了局域网端点准入防御（上网行为管理）解决方案、网络边界检测防御

43、（防火墙）解决方案、这些解决方案相互融合，多个安全产品之间通过统一的安全策略实现信息共享和联动，从而为学校网络提供全网的安全防护。校园网络要实现网络安全的重点目标是如何保障网络中的各种网络设备、系统平台及各类应用业务能够安全可靠地运行。2.3.4.2 网络安全风险整个网络均采用开放的TCP/IP 协议，在提供网络通信便捷的同时，面临着来自、外网用户的基于TCP/IP 协议的某些安全漏洞而实施的各类攻击的安全风险。整个网络建成后将为学校部的各类业务应用提供服务，由于学校部门之多，部门划分细致，所有的用户均通过部网络平台进行办公和Internet访问，从而可能面临着某些少数别有用心的用户可能发起的

44、如“拒绝服务、病毒传播”等恶意攻击的安全风险。当网络中心的网络和系统管理员在利用某些工具（如TELNET 、TFTP等）对全网进行配置管理时，由于TELNET 的信息在网络上都是以明文进行传输，从而面临着某些重要信息泄露的安全风险。由于网络覆盖面大、结构复杂、设备多种多样、应用系统很多，将来在投入运行时可能会给用户的管理上带来较大的困难，同时可能导致整个网络出现安全漏洞隐患。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 32 页 - - - - - - - - - 计

45、算机病毒的日益猖獗也会给月球智慧城市网络上某些重要服务器（如网管服务器、认证服务器、各类资源服务器等）带来可能导致重要数据丢失或系统瘫痪的风险。网络中运行的关键业务流，如语音、学生信息系统、OA系统、财务等，在需要高质量数据传输的前提下，必须基于充分的安全保障。2.3.4.3 整体网络安全整体网络安全作为一个整体的安全架构，从局部安全、全局安全、智能安全三个层面，为用户提供一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体。局部安全是基础， 即对可能出现问题的节点部署安全产品，进行 27 层的威胁防。这种方式简单有效并有极强的针对性，适合网络建设已经比较完善而安全因素考虑不足的情况。

46、在这个层面，中兴强调通过“集成”来提供最佳的防御效果，即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式，实现安全技术和网络技术的初步融合。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页，共 32 页 - - - - - - - - - 全局安全是在局部安全基础上的提升，借助于中兴的网络优势，通过技术和产品的协作，将网络中的多个网络设备、安全设备和各组件联动起来，并通过多层次的安全策略和流程控制，向用户提供端到端的安全解决方案。2.3.4

47、.4 防火墙对服务器群的保护根据学校业务的各种应用， WEB 服务器等公开服务器属于对外提供公开服务的主机系统，因此对于这些公开服务器的保护也是十分必要的；因此建议将对外服务器放置在防火墙的 DMZ 区域中。DMZ （安全服务器网络）区是为适应越来越多的用户向Internet上提供服务时对服务器保护的需要。为了更好的保护服务器的安全，就需要了解服务器的基本工作原理。服务器在提供服务器之前始终是处于被动状态，监听着所提供服务的端口，当有用户请求服务时，才会有回应数据包。根据服务器的这一特点，在防火墙上防火墙采用特别的策略 （自反 ACL ）对用户的公开服务器实施保护，它利用防火墙部建立的转发表来

48、监控数据包的状态，发现为服务器主动发起的请求数据包时，防火墙将丢弃这个数据包，从而保证服务器群不会成为黑客攻击部网络的“跳板”。2.3.4.5 防火墙对核心部业务网的保护对于核心部业务网部分，通过配置防火墙并设置只允许核心部网能够访问外界有限分配资源， 而不允许外界网络访问核心部网信息资源或只允许访问有限资源（如 WEB服务器）；从而更好地保护核心部网的系统安全。2.3.4.6 防火墙对网络边界的保护对于各个网络边界而言，每个网络系统都是一个独立的网络安全区域，因此可在防火墙定义的非信任区域中实施安全控制策略（自反 ACL ），不仅可以有效地保护部网络中的系统和数据安全，还可以防止各网络之间有

49、意无意地探测和攻击行为。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页，共 32 页 - - - - - - - - - 防火墙部署网络边界，以网关的形式出现。部署在网络边界的防火墙，同时承担着网、DMZ 区域的安全责任，针对不同的安全区域，其受信程度不一样，安全策略也不一样。防火墙放置在网和外网之间，实现了网和外网的安全隔离。防火墙上划分 DMZ 区，隔离服务器群。保护服务器免受来自公网和网的攻击。在防火墙上配置安全访问策略，设置访问权限，保护部网络的安全。防火墙具有对业

50、务的良好支持，作为ASPF 过滤，都能够满足正常业务的运行。防火墙易于管理，可以通过IMC只能管理平台进行统一管理，让管理员舒心。2.3.4 智能网管系统2.3.4.1智能网管系统描述在学校信息网络发展的后期，仅仅将所有的网络设备集成连接在一起是远远不够的。现在的网络必须是一个可扩展，可管理，可维护的网络，并且随着网络规模的扩大，网络的维护管理日益成为一个十分突出的问题。而网络管理及维护的关键在于网管系统的可用性及有效性，因此，为月球智慧城市网络后期发展设计一个科学合理有效的网络智能管理系统对充分发挥日常办公、办案的网络潜力，方便实施是至关重要的。因此需要网管软件来进行统一的管理。智能管理中心