最新网络设计方案2.doc

《最新网络设计方案2.doc》由会员分享，可在线阅读，更多相关《最新网络设计方案2.doc（104页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络设计方案2(可以直接使用，可编辑 优秀版资料，欢迎下载）班别：网络1031班姓名：向龙莲 2021年12月29日星期四目录一、校园网的概述及分析1、概述32、校园网建设的必要性3二、校园网网络需求分析1、用户需求分析42、校园网建设的目标和原则53、校园网建设环境分析7三、组网技术及产品选型1、组网技术选择8 2、网络拓扑结构93、子网划分及IP地址的分配94、网络设备的选型115、网络设备清单21一、校园网的概述及分析1、概述中国教育科研计算机（CERNET）于1994年正式启动以来，以与国内几百所学校相连。为广大师生及科研人员提供了一个全新的网络环境。1998年10月，中国教育科研网（

2、CERNET）二期工程正式启动，工程计划到2000年二期工程完成，除达到连接1000所大学的目标外，对有条件的中小学也提供接入上网服务。的确，虽信息技术的飞速发展，中小学校园网的建设已经逐步提到议事日程上来。但是我国目前大多数校园网上的应用还不丰富,与学校原有一些计算机业务系统还没充分发挥,应用水平的低下是对校园网资源的极大浪费。只有提高校园网上的应用水平，才能切实提高学校各项业务水平，适应信息时代的要求。因而，如何利用当前先进的计算机技术与校园网资源，实现学校各项业务系统的集成,提高应用水平将是学校校园网建设的下一个工作重点。当前由于网络、数据库及与之相关的应用技术不断发展,尤其国际互联网(

3、Internet)和内部网（Intranet）技术的广泛应用，世界正在迈入网络中心计算（）时代。人们传统的交互和工作模式正在改变。处在不同的地理位置的人们可以共享数据,使用群件技术(）进而能够协同工作，多媒体数据的存储、传输、应用技术的不断成熟。以上这些计算机激素的发展对学校传统的计算机业务系统产生影响,适用户能更方便.更直观的使用系统，也使系统的性能更完善、功能更强大.校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备想去胡链接起来,形成校园区内部的tntranet系统，对外通过路由设备接入广域网。建设校园网对每个学校来说都不是一件容易的事情，都要经过周密的论证、谨

4、慎想决策和紧张的施工。当一堆设备变成网络的时候，大部分学校的满腔热情也慢慢冷却凝固.校园网建成了。各种问题也不断涌现：设计目标根本无法实现，没有适合的应用软件，许多设想根本无法视线，后续的维护费用不堪承受等等。2、网络建设的必要性 是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题，而且十分重要的是，学校应该处于影响整个社会深刻变革的中心地位。随着计算机多媒体和网络技术的不断发展与普及，校园网信息系统的建设,是非常必要的,也是可行的。主要变现在：（1）、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设

5、提出了越来越高的要求.（2）教育信息量的不断增多，使各级类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越来强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是决定性想因素，因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面，信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及他们在教学方面具有的优势都是很多的，特别是计算机和多媒体系统的使用有助于个人的道路，每个学生在个人的学习道路上都可以按照自己的速度发展。（3）、我国各级教育研究部门、软件开发单位，教学设备供应商恶和各级学校不断开发提供

6、了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化、迫切需要网络环境。(4)现代化教育改革的需要。在校园网中将计算机引入教学各个环节，从而引起了教学方法，教学手段.教学工具的重大革新。对提高教学质量，推动我国教育现代化的发展起着不可估量的作用.网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问，校园网是学校提高管理水平、工作效率、改善教学质量的有力手段，是解决信息时代教育问题的基本工具。（5）随着经济发展，我国各级政府对教育的投入不断加大;计算机技术的飞速发展，使相应产品价格不断下降同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭，使得计算机用于教

7、育信息管理和信息服务是完全可行的。二、校园网网络需求分析1、用户需求分析设计一个网络首先要为用户分析目前面临的主要问题，确定用户对网络的真正需求并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质量服务。l 功能需求对于多媒体形式的数据如语音、图像、动画演示、视频点播等。网络应该及时、高效地完成数据传输，确保电子教学的正常运作。满足学生上集要求。l 网络规模需求网络应该支持大规模的数据库应用。随着我国基础教育水平的提高，通过网络运行基于服务器|客户机的数据库查询检索是日常教学中教师和学生经常要进行的活动。如何确保数据库查询迅速及时地得到反馈是网络应该注意的问

8、题。l 网络拓扑结构需求随着校园网对因特网接入需求的增加，应该考虑校园网能够顺利实现与外部网络和internet的链接.校园网应该具备使用灵活,管理简单的特性。由于校园网不可能投入太多的专业人员从事系统维护，因此在设计时就应该考虑网络使用和维护应该尽量简单。考虑到未来校园的扩建，教学发展的需要，校园网应该具备很好的扩展能力，能够保证在需要时校园网能够实现面向未来网络的平滑发展升级。另外校园网应该能够保证新的应用顺利开发实现.l 网络管理需求网络系统应该能够支持SNMP，这样便于计算机管理人员通过网管软件随时监视网络的运行状况，一旦出现故障,可以自动报告出错位置和出错原因,管理人员可以迅速发现故

9、障并及时维护，同时SNMPV2版本的协议还支持很多更高级的网络管理功能。l 网络安全需求配备防火墙。防火墙的配备，极大的提高了我校校园网与外网之间的安全性，从根本上消除了多年来存在的网络安全隐患。2、校园网建设的目标和原则（1)设计要求我们的设计方案要遵循以下设计要求:l 网络建设的起点要高要求一定要利用目前成熟度技术和产品，在此基础上考虑尽可能先进，保证在五至十年内缩减成的网路能满足进一步的需求并且不会落后于时代。l 要有良好的可扩充性和易维护性在建网时要考虑能进行灵活配置，要考虑尽可能降低以后的维护工作量和维护费用，尽量统一配置设备的规格和型号。l 网络要有好的开放性是指能支持多种通讯协议

10、、多种传输介质和多种主机连接，能支持多种数据格式的传输。l 网络设备配置要合理网络设备应综合考虑避免出现瓶颈。l 系统采用的Intranet设计技术要提高易用性并可更加方便与Intranet连接（2）设计原则为将我们学校校园网建设成达到国内一流水平，运用现代科学技术手段，充分体现现代办学思想的网络系统，在校园网工程建设中，遵循下列原则：l 开放性原则随着开放互连标准的制定,只有开放地,复活国际标准的网路系统才能够实现多厂家产品的互连。目前已成熟的国际标准还包括:以太网、快速以太网、FDDI网、令牌环网.已制订还包括 千兆以太网、ATM等，并且这些网络系统不仅在世界范围内，即使在国内也被广泛地采

11、用。l 可扩充性原则网络系统要能够灵活地扩充，比如:能够通过扩充支持千兆网、ATM网络。具有良好扩充性的网络系统能够让用户以较小的代价，通过产品升级，采用新的技术来扩充l 可靠性原则用户的网路系统必须具有一定的容错能力，保证在意外情况下不中断用户的正常工作，这要求网络设备能够支持如：MulitiLink Trunking 、Spsnning Tree 等冗余连接协议.比如，在网络系统的关键部位提供2条以上线路连接，多条链路可同时使用，当其中一条线路意外断开的,另一条线路仍能够自动正常工作，保障系统不中断.l 可管理性原则网络系统应该能够支持SNMP，这样便于计算机管理人员通过网管软件随时监视网

12、络的运行状况，一旦出现故障，可以自动报告出错位置和出错原因，管理人员可以迅速发现故障并及时维护，同时SNMPV2版本的协议还支持很多更高级的网络管理功能。（3）实施原则校园网的建设要适应学校的长远发展规划，可依据具体情况采取“统一规划，分阶段实施逐步到位建网原则。具体地讲，主干网的建设应该尽可能全面的 一步到位，而 终端设备可以分批采购。因为主干网决定了系统的基本结构，不能轻易改变;而终端设备随时在升级换代，可根据当时的需要不断配置完善。（4）应用原则l 应坚持“培训在先、使用在后”的原则。要实现学校教师、技术与管理人员的全员培训，形成一支能使校园网正常持续运行的软硬件管理建设的骨干队伍。（5

13、)维护原则网络的建成仅仅是万里长征的第一步，校园网真正投入使用并发挥效益，还需要完善的管理和细致的维护。学校应把专业维护协议，把定期的专业为维护交给专业人员去做；同时，普通日常维护依靠自身完成.这样，学校才能把主要精力投入到教学应用方面上。3、校园网建设环境分析部门名称计算机总数目（台）建筑物层数与中心机房的距离（米）教学楼205250办公楼1506350图书馆802500实验楼1205510100要求将教学楼、办公楼、图书馆和实验室全部连接在一起组建校园网,校园网能够实现办公信息发布、文件共享、师生交流、网上讨论和收发邮件等功能。三、组网技术及产品选型1、组网技术选择在校园网校区网络的建设中

14、，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用.选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术滑过渡，保护用户的投资。目前在局域网络上应用最广泛的技术有以太网、快速以太网、FDDI、Token Ring 、以及最新崛起的ATM、千兆以太网等.交换式以太网作为几年前主干网组网的主要技术，现在主要被用于工作组级组网,使网络交换到桌面工作站。快速以太网是一种非常成熟的组网技术，造价很低，性能价格很高，可作为资金不很充裕的中小型单位组建Intranet网的首选技术.快速以太网技术现在被广泛用于人型企业网的二级、三级网络组

15、网或直接连接至桌面工作站。FDDI也是一种成熟的组网技术，但技术复杂、造价高，FDDI网络难以向更先进的网络技术升级，现在用FDDI组建主干网的情况已非常少见。ATM技术成熟而复杂，组网成本高，是多媒体应用系统的理想网络平台。但是,网络带宽的实际利用率很低。在选择校园校区网络技术时应该考虑如下:（1）、长远来看如何保护现有投资。保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样,网络技术的发展也是非常迅速的。从目前的趋势来看，采用快速以太网技术是最适宜的。在校园网网络的建设中,主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择校园

16、网网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过度，保护用户的投资。2、网络拓扑结构3、子网划分及IP地址的分配地理位置子网编号IP地址范围预留IP教学楼119/27172.16。5.2031/27办公楼1楼2172.16。6.024/2450254/242楼3172。16。6.2549/243楼4172。16.6.5074/244楼5172.16.6.75-99/245楼6172。16.6.100124/246楼7172.16。6。125149/24图书馆1楼8172。16.7.039/24172。16。7。80-254/242楼

17、9172.16.7。4079/24实验楼1楼实验110172。16.8。0-59/25172.16。8.120127/25实验2 11172。16.8。60119/25实验312172。16。9.059/25172。16。9.120127/25实验413172。16。9.60119/252楼实验114172.16.10。0-59/25172.16。10。120-127/25实验2 15172。16。10。60119/25实验316172。16.11.059/25172.16。11.120127/25实验417172。16。11.60-119/253楼实验118172.16。12。059/251

18、72。16.12。120-127/25实验2 19172。16.12.60119/25实验320172.16.13.0.59/25172.16.13.120-127/25实验421172。16。13.60119/254楼实验122172。16。14.0。59/25172。16。14。120127/25实验2 23172。16.14.60119/25实验324172。16。15。0。59/25172。16。15.120-127/25实验425172.16.15.60119/255楼实验126172。16.9。059/25172。16。16。120127/25实验2 27172.16.16.601

19、19/25实验328172.16。17.0.59/25172。16.17.120-127/25实验429172.16.17.60119/254、网络设备的选型l 接入路由器思科 3825-HSEC/K9 详细参数查看：更多信息 | 产品图片基本参数产品型号3825HSEC/K9产品类型模块化，企业级,路由器广域网接口可选局域网接口2 x 10/100/1000Mbps硬件参数DRAM内存1024MBFlash内存256MB控制端口Console扩展插槽有扩展插槽，6软件参数认证标准UL 60950：CAN/CSA C22.2 No。 60950,IEC 60950,EN 60950-1,AS/

20、NZS 60950其它参数重量9.06Kg功率交流或直流电源：210W，用于系统,ACIP电源：210W,用于系统370W,用于IP ：360W.直流：325W数据来源：太平洋电脑网产品报价 (product.pconline。com )l 核心层交换机核心节点的交换机是整个校园网络的核心,应当采用有多层交换功能的交换机。核心交换机应采用模块化设计，有良好的扩展性能、多种接入模块;具备增强的网络传输能力，支持VLAN、RIP和OSPF协议、服务质量（QOS）、IP组播、DHCP中继和AAA认证等功能；支持通用的管理性（SNMP）,能使用流行的网管软件对它进行管理等。思科 WSC6509-E 详

21、细参数查看：更多信息 产品图片基本参数产品型号WS-C6509-E产品类型千兆以太网交换机传输方式存储转发方式背板带宽720Gbps包转发率387 Mpps外形尺寸622445460 mm重量27。3Kg硬件参数最大DRAM内存1024MB接口类型DS0 到 OC-48， 100BASE-FX接口数目9口传输速率10/100/1000Mbps网络与软件支持网络标准IEEE 802.3， IEEE 802。3u， IEEE 802。1s, IEEE 802.1w, IEEE 802。3ad网管功能CiscoWorks2000, RMON, 增强交换端口分析器(ESPAN)， SNMP, Teln

22、et, BOOTP， TFTPMAC地址表64K其它参数最大功率DC， 6000； AC， 4000W数据来源：太平洋电脑网产品报价 (product。pconline 。cn)l 汇聚层交换机汇聚层交换机连接核心蹭和接入层,应采用带VLAN和网管功能的中低档交换机。汇聚层交换机具有快速的级联核心层的以太端口以及高速堆叠模块；带VLAN子网划分功能，能很好的管理接入层用户；支持IEEE802.1Q、VTP、SNMP等协议。实验楼、办公楼、图书馆 汇聚层交换机H3C S5500-52CPWR-EI 详细参数查看：更多信息 | 产品图片基本参数产品型号S5500-52CPWREI产品类型千兆以太网

23、交换机传输方式存储转发方式背板带宽240Gbps包转发率130.9Mpps外形尺寸44042043。6 mm重量6。5Kg硬件参数接口类型48个10/100/1000Base-T以太网端口/4个复用的1000BaseX千兆SFP端口接口数目52口传输速率10/100/1000Mbps模块化插槽数2个堆叠支持最多9台设备堆叠网络与软件支持网络标准支持STP/RSTP/MSTP/支持RRPP网管功能支持命令行接口(CLI）, Telnet， Console口进行配置/支持SNMPv1/v2/v3， WEB网管/支持RMON (Remote Monitoring）告警，事件，历史记录/支持NTP认证

24、标准安全性 支持用户分级管理和口令保护/支持802.1X认证/集中式MAC地址认证/支持Guest VLAN/支持RADIUS认证/支持SSH 2。0/支持端口隔离/支持端口安全/支持PORTAL认证/支持EAD MAC地址表32K其他性能支持流镜像/支持N:4端口镜像/支持本地和远程端口镜像其它参数电源电压100240VAC, -52V-55VDC最大功率AC/DC供电： 满负荷功耗最大640W/910W, 其中系统功耗270W/170W; POE对外供电功率370W/740W数据来源:太平洋电脑网产品报价 (product.pconline 。cn)其他汇聚层交换机思科 WS-C3750G

25、-12S-S 详细参数查看：更多信息 | 产品图片基本参数产品型号WSC3750G12S-S产品类型企业级，三层，可网管型交换机，千兆交换机传输方式存储转发方式背板带宽32Gbps包转发率17。8Mpps外形尺寸43944532.6mm重量4.55Kg硬件参数接口类型10/100/1000BASET端口,SFP千兆位以太网端口接口数目12口传输速率10M/100M/1000Mbps模块化插槽数12堆叠可堆叠网络与软件支持网络标准IEEE 802。3, 802.3u, 802.3z, 802.3abVLAN支持支持VLAN功能,支持VLAN网管功能支持网管功能，支持SNMP管理是否支持全双工支持

26、全双工，支持全双工MAC地址表12K其他性能安装了SMI，提供基本RIP和静态路由其它参数电源电压100 to 127/200 to 240 VAC最大功率120W数据来源：太平洋电脑网产品报价 （product.pconline )l 接入层交换机思科 WS-C2960-48TT-L 详细参数查看：更多信息 | 产品图片基本参数产品型号WS-C296048TT-L产品类型桌面级,企业级,二层,可网管型交换机，快速以太网型传输方式存储转发方式背板带宽16Gbps包转发率10。1Mpps外形尺寸236x445x44mm重量3.6Kg硬件参数最大DRAM内存64M接口类型10/100BaseT端口

27、,10/100/1000BASET端口接口数目48 传输速率10M/100M/1000Mbps模块化插槽数2管理端口1堆叠不可堆叠网络与软件支持网络标准IEEE 802。3 ，IEEE 802。3u,IEEE 802.1x，IEEE 802。1Q，IEEE 802。1p,IEEE 802.1D,IEEE 802。1s.IEEE 802.1w，IEEE 802.3ad，IEEE 802.3z,IEEE 802.3VLAN支持支持VLAN功能端口聚合支持端口聚合功能网管功能支持网管功能是否支持全双工支持全双工MAC地址表8K其它参数电源电压最大功率45W数据来源：太平洋电脑网产品报价 (produ

28、ct.pconline ）l 硬件防火墙思科 ASA5510-K8 详细参数查看：更多信息 产品图片基本参数产品型号ASA5510K8产品类型企业级，VPN防火墙最大吞吐量300Mbps安全过滤带宽170Mbps外形尺寸174.5200.444.5mm重量1.8Kg硬件参数固定接口3个快速以太网接口扩展插槽1个SSC扩展插槽网络与软件用户数限制无用户数限制并发连接数130000并发连接数VPN支持VPN功能认证标准DES许可证功能特点控制端口:console其它参数电源电压100240VAC,50/60Hz数据来源:太平洋电脑网产品报价 （product。pconline 。cn)l 服务器I

29、BM System x3500 M3（7380i18) 详细参数查看：更多信息 产品图片基本资料产品型号X3500M3（7380i18）产品类型塔式处理器CPU系列至强处理器5000系列CPU型号E5607CPU主频2.26GHz三级缓存8M标配CPU数目1个最大CPU数目2个主板主板插槽个PCI-Express x16插槽,5个PCIExpress x8插槽（1个被SAS控制器占用）,1个PCI插槽内存内存类型DDR3标配内存1x4G内存插槽数高达16个内存插槽(每处理器配置8个内存插槽)存储标配硬盘146G硬盘阵列Raid 0,Raid 1,Raid 5硬盘热插拔支持光驱DVDROM光驱其

30、它网卡集成双口千兆以太网,支持网络唤醒、网络卸载引擎（TOE)等网络高级特性机箱托架8个2。5英寸热插拔硬盘托架，通过选件扩展至24个硬盘托架电源920W热插拔电源其它性能集成IMM, 支持远程呈现售后服务三年7*24小时保修,全国部分城市4小时宕机上门服务数据来源：太平洋电脑网产品报价 (product.pconline 。cn）5、网络设备清单器材型号数量价格（元）接入路由器思科3825-HSEC/K9145000硬件防火墙思科 ASA5510K8115000核心交换机思科 WSC6509E159000汇聚层交换机（1)H3C S5500-52C-PWR-EI340000汇聚层交换机(2）

31、思科 WSC3750G12S-S128000接入层交换机思科 WS-C296048TT-L326500服务器IBM System x3500 M3（7380i18）120000总价495000一 。项目需求1 . 公司的办公大楼为一栋20层的高层建筑.单层面积1400平方米。假设办公大楼的形状为长方形.长100米，宽14米。大楼1层至6层计划设计为快捷酒店.7层至16层为办公区域,17层至20层为临时出租的写字楼，如办公区域不够用,随时收回17层至20层的写字楼。2 。 1层至6层快捷酒店区域内的所有信息点都允许上网。17层至20层的临时写字楼区域所有信息点允许上网。7层至16层办公区域内,领

32、导可以上网,科室带头人可以上网,财务可以上网,设计人员不允许上网。3 . 公司需要服务器若干台，其中文件服务器(设计）、DNS服务器、文件服务器(财务）、邮件服务器、OA服务器等.二 .设计方案1 。 设计目标根据公司信息化的需求,对网络系统进行总体规划,并纳入所需业务。部署网络中心节点,提升网络安全系数，加强网络的可靠性和稳定性。2。 设计原则本着“投资保护、高可靠性、安全性和可扩展性”的原则，加强在网络通信及系统中的安全管理、技术和产品的全面落实,最终建设一个高效、可靠、安全的网络通信及应用系统.3. 设计思路方案1 （双线接入，永不断网)本大楼1至6层为快捷酒店，可以设计为一个单独的局域

33、网,运行商为中国铁通或中国电信100M光纤接入。7楼以上为公司办公和租赁写字楼,所以7楼以上为一个单独的局域网，由中国联通100M光纤接入，为节约成本可先接入10M光纤，以后根据流量在扩大.两个接入点之间预留一根千兆网线，一但运营商光纤出现问题可以快速接入另外一家运营商网络，实现永不断网。方案2 (经济实用）1至6层快捷酒店局域网信息汇聚到核心交换机后，并入公司的核心交换机上，然后通过网关路由器共享上网,此方案的优点是经济实用，上网费用将节约一半。缺点是一但运营商的接入光纤出现故障，公司网络将无法上网。4。 VLAN及IP地址的规划7至20层原则上按照VLAN划分网段，（例:VLAN7、IP段

34、为192.168.7.0/24。VLAN12 、IP段为192。168。12。0/24.）。VLAN按照使用功能划分。设备间管理为VLAN1， 管理网段192.168.1。0/24.(允许出外网）设计部门VLAN2,网段192。168。2。0/24。 （不允许出外网）各科室带领人VLAN3，网段192.168.3.0/24。(允许出外网）财务室VLAN6，网段192。168.6.0/24。（允许出外网）领导VLAN8，网段192。168.8。0/24.（允许出外网）17至20层VLAN7，网段192。168.7.0/24。（允许出外网）服务器区域VLAN5，网段192.168.5.0/24。(

35、不允许出外网，但映射对应的端口号）1至6层为宾馆单独局域网，但要考虑随时并入公司网络.所以设置VLAN不能与公司VLAN 重复.每个VLAN是否能够出外网根据实际情况调配。宾馆内部管理VLAN10 ，网段为192。168.10。0/24。 宾馆财务管理VLAN11 ， 网段为192。168。11.0/24。宾馆客房 VLAN12 , 网段为192.168。12。0/24。宾馆设备管理 VLAN1 , 网段192.168.1。0/24。（具体IP地址不能与公司网络设备的IP地址重复)。5 . VTP设计将核心交换机设置为VTP Server , 其他交换机设置为VTP Client 。6 。 考

36、虑到公司员工访问文件服务器和邮件服务器的流量可能会过大，可考虑将连接服务器的汇聚交换机与核心交换机之间组建以太网通道。三 .设备采购1。 从网络的稳定性、兼容性和可靠性考虑，所有交换、路由设备应统一选用同一知名品牌的设备（如:Cisco、华为等）。2。 设备性能要求接入层和汇聚层的交换机必须支持VLAN、TRUNK、VTP等协议。核心层交换机必须支持VLAN、TRUNK、VTP、DHCP等协议和服务.3. 设备数量接入层交换机按照每层的信息点数量配置，汇聚层每层最少2台，核心交换机2台，路由器根据方案配置.四.机房位置 16层快捷酒店机房建议设置在6层中间位置,7-20层机房建议设置在13层中

37、间位置。两机房之间建议预留2根千兆网线或1根4芯光纤。某校园网方案2网络防火墙设计中的问题16如何构建网络整体安全方案22四台Cisco防火墙实现VPN网络26企业级防火墙选购热点30增强路由器安全的十个技巧31启明星辰银行安全防御方案32神码基金公司信息安全解决方案33安天校园网解决方案35网络入侵检测解决方案37企业需要什么样的IDS 测试IDS的几个性能指标39东软安全助力武汉信用风险管理信息系统42某校园网方案1。1设计原则1。 充分满足现在以及未来35年内的网络需求，既要保证校园网能很好的为学校服务，又要保护学校的投资。2。 强大的安全管理措施，四分建设、六分管理,管理维护的好坏是校

38、园网正常运行的关键3. 在满足学校的需求的前提下，建出自己的特色1.2网络建设需求网络的稳定性要求l 整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求网络高性能需求l 整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输，保证校园网各种应用的畅通无阻l 认证计费效率高，对用户的认证和计费不会对网络性能造成瓶颈网络安全需求l 防止IP地址冲突l 非法站点访问过滤l 非法言论的准确追踪l 恶意攻击的实时处理l 记录访问日志提供完整审计网络管理需求l 需要方便的进行用户管理,包括开户、销户、资料修改和查询l 需要能够对网络设备进行集中的统一管理l 需要对网络故障进行快速高

39、效的处理第二章、某校园网方案设计2。1校园网现网拓扑图 整个网络采用二级的网络架构:核心、接入.核心采用一台RGS4909，负责整个校园网的数据转发，同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少，无法进行安全防护，已经不能满足应用的需求。 2。2校园网设备更新方案方案一:不更换核心设备核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器，部署SAM系统，同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G，剩余的两台S2126G用于加强对关键机器的保护，中

40、校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备，其它交换机分别接入这两台交换机，从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。方案二：更换核心设备核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RGS8606，负责整个校园网的数据转发。在中校区增加一台SAM服务器，部署SAM系统，同时东校区和西校区各用3台S2126G替换原有S1926F+.将原有的S4909放到东校区做为汇聚设备，下接三台S2126G实现安全控制，其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G，剩余两台S2126G用于保护重

41、点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整，采用现有的两台S2126G做为汇聚设备，其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。2。3骨干网络设计骨干网络由RGS8606构成，核心交换机RG-S8606主要具有5特性:1、骨干网带宽设计：千兆骨干，可平滑升级到万兆整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份，以后，随着网络流量的增加,可以将链路升级到万兆。2、骨干设备的安全设计:CSS安全体系架构3、CSS之硬件CPPCPP即CP

42、U Protect Policy，RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能，对发往CPU的数据流进行带宽限制（总带宽、QOS队列带宽、类型报文带宽），这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。由于锐捷10万兆产品RG-S8606采用硬件的方式实现，不影响整机的运行效率4、CSS之SPOH技术现在的网络需要更安全、需要为不同的业务提供不同的处理优先级，这样，大量的ACL和QOS需要部署，需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的，核心交换机RGS8606通过在

43、交换机的每一个用户端口上增加一个FFP(快速过滤处理器），专门用来处理ACL和QOS，相当于把交换机的每一个端口都变成了一台独立的交换机，可以保证在非常复杂的网络环境中核心交换机的高性能。2.4网络安全设计某校园网网络安全需求分析1、网络病毒的防范病毒产生的原因：某校园网很重要的一个特征就是用户数比较多，会有很多的PC机缺乏有效的病毒防范手段，这样，当用户在频繁的访问INTERNET的时候，通过局域网共享文件的时候，通过U盘，光盘拷贝文件的时候，系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送，发送给其他用户，发送给服务器.病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗，用户正常的网络访问得不到响应，办公平台不能使用；资源库、VOD不能点播；INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。2、防止IP、MAC地址的盗用IP、MAC地址的盗用的原因：某校园网采用静态IP地址方案，