【正文】 ...........................13 XXXXX大學(xué)解決方案特點(diǎn)： ....................................14 完全的分布式的處理方式 .....................................14 ...............................................15 核心交換機(jī)先進(jìn)的體系架構(gòu)設(shè)計(jì) ...............................15 基于流攻擊的防止。報(bào)告顯示，截止到 2022年 6月 30日，我國(guó)上網(wǎng)用戶總數(shù)為 8700萬(wàn)，比去年同期增長(zhǎng) %，上網(wǎng)計(jì)算機(jī)達(dá)到 3630萬(wàn)臺(tái)。校園網(wǎng)是學(xué)?，F(xiàn)代化管理的基礎(chǔ)，深入、全面的學(xué)校信息管理系統(tǒng)必須建立在校園網(wǎng)上。XXXXX大學(xué)校園網(wǎng)絡(luò)建設(shè)從網(wǎng)絡(luò)流量模型上看和企業(yè)網(wǎng)的流量模型相似，用戶集中而網(wǎng)絡(luò)流量大，但實(shí)際應(yīng)用上還存在許多和企業(yè)網(wǎng)不同的地方。用戶管理的需求：1) 使用方便，存在 WEB認(rèn)證需求。為了更好的為學(xué)生提供全方面的教學(xué)資料，越來(lái)越的多學(xué)校在自己的內(nèi)部局域網(wǎng)上面為學(xué)生提供多種教學(xué)資料，如：多媒體教學(xué)課件、典型的考試資料等等提供給學(xué)生上網(wǎng)下載使用?？稍鲋敌訶XXXX大學(xué)校園網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。三個(gè)核心之間采用萬(wàn)兆相連，進(jìn)而形成堅(jiān)實(shí)的“鐵三角” ；匯聚層設(shè)在每個(gè)教學(xué)樓上，每個(gè)教學(xué)樓設(shè)置一個(gè)匯聚節(jié)點(diǎn)，匯聚層為高性能“小核心”型交換機(jī)，根據(jù)各個(gè)樓的配線間的數(shù)量不同，可以分別采用 1臺(tái)或是 2臺(tái)匯聚層交換機(jī)進(jìn)行匯聚，建議采用華為 3Com S5600作為樓層匯聚交換機(jī)；接入層就是每個(gè)樓的接入交換機(jī)，接入層交換機(jī)的選擇仍然非常中要，考慮到接入層交換機(jī)的對(duì)于終端用戶接入的控制起著非常重要的作用，因此建議采用安全性、控制性較高的設(shè)備，我們?cè)诖私ㄗh采用華為 3Com E050/E026接入交換機(jī)作為樓層接入交換機(jī)，E050/E026 分別為48/24口交換機(jī)，用戶可以根據(jù)接入信息點(diǎn)的數(shù)量靈活選擇不同的產(chǎn)品，滿足實(shí)際信息點(diǎn)數(shù)量的需求。同時(shí) S5600支持萬(wàn)兆上聯(lián)最大程度的提高了匯聚層與核心交換機(jī)之間的帶寬擴(kuò)展需求。Quidview 網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，包括網(wǎng)元管理平臺(tái)、廣域網(wǎng)管理系統(tǒng)、局域網(wǎng)管理系統(tǒng)、資源管理系統(tǒng)等， XXXXX 校園網(wǎng)改造技術(shù)建議書(shū) XXXXX 大學(xué)網(wǎng)絡(luò)改造項(xiàng)目 機(jī)密文件 13用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)” 。而用戶又由于測(cè)試儀器的限制無(wú)法確認(rèn)實(shí)際配置的性能，這一點(diǎn)在華為公司是絕對(duì)不會(huì)出現(xiàn)的。 核心交換機(jī)先進(jìn)的體系架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)的背板技術(shù)經(jīng)歷了共享式、緩存式等發(fā)展，Crossbar 技術(shù)被公認(rèn)為最為完美的一種設(shè)計(jì)方式，華為 3Com公司 S8505交換機(jī)采用背板采用分布式 Crossbar的技術(shù)，整機(jī)的轉(zhuǎn)發(fā)不存在任何的瓶頸問(wèn)題，同時(shí)， S8505可實(shí)現(xiàn)背板容量的平滑升級(jí)，除背板采用 Crossbar的方式，在接口板上，華為 3Com公司 S8505萬(wàn)兆核心交換機(jī)采用分布式 Crossbar的技術(shù)，即在每個(gè)業(yè)務(wù)單板上面也同樣采用 Crossbar的技術(shù)，端口與端口之間的轉(zhuǎn)發(fā)均有可直達(dá)的端到端轉(zhuǎn)發(fā)通道，使得端口之間的轉(zhuǎn)發(fā)不存在在任何瓶頸，大大提高了核心交換機(jī)的整機(jī)轉(zhuǎn)發(fā)性能。并且用戶不需要花一半的投資專門(mén)用在備份設(shè)備上面，IRF 中所有的設(shè)備都實(shí)際參與業(yè)務(wù)運(yùn)行。高性能由于 IRF設(shè)備是由多個(gè)支持 IRF特性的單機(jī)設(shè)備堆疊而成的，IRF 設(shè)備的交換容量和端口數(shù)量就是 IRF內(nèi)部所有單機(jī)設(shè)備交換容量和端口數(shù)量的總和。用戶無(wú)論通過(guò)何種方式（console 口、tel、snmp）連接到 fabric內(nèi)的一臺(tái)設(shè)備上，對(duì) fabric的配置只需要執(zhí)行一次，fabric 內(nèi)的所有設(shè)備都將得到配置。為了避免這種情況發(fā)生，IRF 使用 Resilient Arp技術(shù)，探測(cè) fabric發(fā)生分離的 unit之間是否存在 IP地址沖突，如果存在，則把其中之一的設(shè)備降為二層設(shè)備使用，避免沖突而引起網(wǎng)絡(luò)路由的振蕩。 XXXXX 校園網(wǎng)改造技術(shù)建議書(shū) XXXXX 大學(xué)網(wǎng)絡(luò)改造項(xiàng)目 機(jī)密文件 22IRFHost4Host3Host1Host2Unit1Unit3Unit4Unit2IGMP 主機(jī)加入報(bào)文數(shù)據(jù)流RouterIRF堆疊設(shè)備中 IGMP報(bào)文分布式轉(zhuǎn)發(fā)fabric內(nèi)的設(shè)備通過(guò)堆疊口連接在一起，堆疊的連接方式可以是多種多樣的：串行連接、環(huán)形連接以及星型連接。如果出端口是本 unit上的端口，則直接交換出去；如果是其它unit上的端口，則通過(guò)堆疊口轉(zhuǎn)發(fā)到相應(yīng)的 unit上，再交換出去。 XXXXX 校園網(wǎng)改造技術(shù)建議書(shū) XXXXX 大學(xué)網(wǎng)絡(luò)改造項(xiàng)目 機(jī)密文件 24Router1Router2Router3Router4IP 報(bào)文數(shù)據(jù)流Unit1Unit3Unit4Unit2IRF分布式三層轉(zhuǎn)發(fā)不管轉(zhuǎn)發(fā)出端口是在本地，還是在 fabric內(nèi)其它設(shè)備上，通過(guò)在本地一次查找路由轉(zhuǎn)發(fā)表，報(bào)文就可以實(shí)現(xiàn)三層轉(zhuǎn)發(fā)任務(wù)。 E系列接入層交換機(jī)1．端口＋I(xiàn)P 地址的綁定：對(duì)于學(xué)生宿舍區(qū)的用戶上網(wǎng)的安全性非常重要，華為 E050/E026可以實(shí)現(xiàn)端口＋I(xiàn)P 地址的綁定關(guān)系，一般的 MAC＋I(xiàn)P 地址的綁定關(guān)系，但是由于學(xué)校學(xué)生畢業(yè)流動(dòng)的緣故，PC 機(jī)的 MAC地址會(huì)不斷的發(fā)生變化，學(xué)生的 PC機(jī)隨機(jī)的發(fā)生變化使得學(xué)校無(wú)法對(duì)整網(wǎng)進(jìn)行維護(hù)，而且無(wú)法防止學(xué)生 IP地址欺騙的攻擊，因此建議學(xué)校采用 IP地址＋端口的綁定關(guān)系，如：每個(gè)宿舍分配一個(gè) IP地址，當(dāng)用戶通過(guò) 客戶端認(rèn)證通過(guò)以后用戶便可以實(shí)現(xiàn) IP地址＋端口＋用戶 ID的綁定，這種方式具有很強(qiáng)的安全特性：防 ，防止用戶的 IP地址的欺騙，對(duì)于更改 IP地址的用戶（IP 地址欺騙的用戶）可以實(shí)現(xiàn)強(qiáng)制下線。 廣播風(fēng)暴的抑止華為 3Com S8500 、S5600、E 系列接入交換機(jī)均可以實(shí)現(xiàn)基于端口的廣播風(fēng)暴抑止功能，可支持同一 VLAN 內(nèi)的風(fēng)暴抑止功能，可以有效的抑止局域網(wǎng)內(nèi)部的廣播風(fēng)暴，確保網(wǎng)絡(luò)的安全穩(wěn)定。XXXXX大學(xué)組播業(yè)務(wù)示意圖： XXXXX 校園網(wǎng)改造技術(shù)建議書(shū) XXXXX 大學(xué)網(wǎng)絡(luò)改造項(xiàng)目 機(jī)密文件 29如圖所示：全網(wǎng)可以采用 OSPF路由協(xié)議，組播協(xié)議建議采用 PIMSM組播協(xié)議，華為 3Com匯聚層交換機(jī)采用以及核心交換機(jī)均支持豐富的組播協(xié)議，相關(guān)組播數(shù)據(jù)可以在交換機(jī)端口進(jìn)行復(fù)制廣播。層次區(qū)劃：IPv6 極大的地址空間使層次性的地址規(guī)劃成為可能，同時(shí)國(guó)際標(biāo)準(zhǔn)中已經(jīng)規(guī)定了各個(gè)類型地址的層次結(jié)構(gòu)，這樣既便于路由快速查找址格式更具層次性，也有利于路由聚合，縮減 IPv6路由表大小，降低網(wǎng)絡(luò)地址規(guī)劃的難度。173。173。 ）進(jìn)行手工的配置隧道，該隧道對(duì)于最終的用戶來(lái)說(shuō)是不可見(jiàn)的， 如圖所示： XXXXX 校園網(wǎng)改造技術(shù)建議書(shū) XXXXX 大學(xué)網(wǎng)絡(luò)改造項(xiàng)目 機(jī)密文件 33當(dāng)一個(gè) IPv6的包經(jīng)過(guò)邊界路由器的時(shí)候邊界路由器會(huì)將 IPv6的報(bào)文封裝為IPv4的包在隧道種進(jìn)行傳送，當(dāng)報(bào)文到達(dá)對(duì)防的時(shí)候，在邊界路由器上進(jìn)行解封裝，還原出原 IP6的包，從而實(shí)現(xiàn)互通。在 Web Server上安裝了網(wǎng)管軟件后，其它網(wǎng)管機(jī)器不用預(yù)裝網(wǎng)管軟件，只須安裝了 WEB瀏覽器并且設(shè)備能上網(wǎng)，就能使用 QuidView系統(tǒng)管理 。同時(shí)可以支持對(duì)于網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備利用率、CPU 利用率、故障率、線路流量統(tǒng)計(jì)、網(wǎng)絡(luò)時(shí)延統(tǒng)計(jì)、歷史告警信息等進(jìn)行統(tǒng)計(jì)記錄，并可以實(shí)現(xiàn)網(wǎng)絡(luò)流量配置。這是網(wǎng)絡(luò)安全的需要，同時(shí)也是做到準(zhǔn)確計(jì)費(fèi)的需要。在 XXXXX大學(xué)的網(wǎng)絡(luò)認(rèn)證管理方面，其我們用戶建議采用 MAC地址＋端口的綁定技術(shù)來(lái)作為整個(gè)校園網(wǎng)管理的主要方式，華為E050/E026接入層交換機(jī)支持多種綁定技術(shù)，同樣支持 MAC地址＋端口的綁定方式，這樣對(duì)于用戶可以直接做到端到端的綁定方式。網(wǎng)管軟件對(duì)于用戶來(lái)說(shuō)是維護(hù)網(wǎng)絡(luò)的重要工具，華為 3公司 Quidview網(wǎng)管平臺(tái)可以為用戶提供強(qiáng)大的維護(hù)功能，同時(shí)可以對(duì)所管理的接入層交換機(jī)進(jìn)行批量配置，避免用戶繁瑣的工作，同時(shí) Quidview可以對(duì)端口流量進(jìn)行設(shè)置閥值告警，發(fā)現(xiàn)用戶端口流量較大（如：病毒攻擊） ，可以通過(guò)網(wǎng)管將端口關(guān)閉避免大量垃圾報(bào)文，維護(hù)網(wǎng)絡(luò)安全。本次方案所采用的所有交換機(jī)都支持 。這是因?yàn)?，無(wú)需特殊的設(shè)備支持，同時(shí)支持任何網(wǎng)絡(luò)應(yīng)用。這些不和諧的行為影響了正常的網(wǎng)絡(luò)使用，造成了許多安全隱患。功能功能 描述路由器設(shè)備視圖 設(shè)備端口的配置情況：端口個(gè)數(shù)、端口種類、端口當(dāng)前狀態(tài)等故障管理 對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。根據(jù)網(wǎng)絡(luò)實(shí)際情況可采用華為 Quidview網(wǎng)管系統(tǒng)。華為 S8500支持 6to4或 4to6等方式完全可以滿足用戶的需求。173。移動(dòng)便捷：Mobile IPv6 增強(qiáng)了移動(dòng)終端的移動(dòng)特性、安全特性、路由特性，降低了網(wǎng)絡(luò)部署的難度和投資，為用戶提供了永久在線的服務(wù)。 XXXXX大學(xué) IPv6網(wǎng)絡(luò)設(shè)計(jì) IPv6的優(yōu)勢(shì) IPv6的發(fā)展是從 1992年開(kāi)始的，經(jīng)過(guò)了 12年的發(fā)展時(shí)間，IPv6 的標(biāo)準(zhǔn)體系已經(jīng)基本完善，在這個(gè)過(guò)程中，IPv6 逐步優(yōu)化了協(xié)議體系結(jié)構(gòu)，為業(yè)務(wù)發(fā)展創(chuàng)造機(jī)會(huì)，歸納起來(lái) IPv6的優(yōu)勢(shì)包括如下幾個(gè)特點(diǎn)：地址充足：IPv6 產(chǎn)生的初衷主要是針對(duì) IPv4地址短缺問(wèn)題， ，即從 IPv4的32bit地址，擴(kuò)展到了 IPv6的 128bit地址，充分解決地址匱乏問(wèn)題。通過(guò)這種機(jī)制，使得整個(gè)網(wǎng)絡(luò)的流量做到最優(yōu)，有效的保證了視頻點(diǎn)播、網(wǎng)絡(luò)電視、會(huì)議電視、視頻游戲等視頻業(yè)務(wù)的開(kāi)展，通過(guò)組播實(shí)現(xiàn)的視頻業(yè)務(wù)有：會(huì)議電視：利用網(wǎng)絡(luò)和數(shù)字視像技術(shù)實(shí)現(xiàn)異地會(huì)議的交互傳輸和控制。3．接入層防 Proxy的功能考慮到大學(xué)學(xué)生的技術(shù)性較強(qiáng)，在實(shí)際的應(yīng)用的過(guò)程當(dāng)中應(yīng)當(dāng)充分考慮到學(xué)生的 Proxy的使用，對(duì)于 Proxy的防止，華為 3公司 E050配合華為 3公司的 ，一旦檢測(cè)到用戶 PC機(jī)上存在兩個(gè)活動(dòng)的 IP地址（不論是單網(wǎng)卡還是雙網(wǎng)卡） ，E050 將會(huì)下發(fā)指令將該用戶直接踢下線。IRF交換機(jī)將三層組播轉(zhuǎn)發(fā)表和分布式 IGMPsnooping有機(jī)的結(jié)合后，產(chǎn)生了交換上引導(dǎo)組播數(shù)據(jù)轉(zhuǎn)發(fā)的二三層結(jié)合的組播數(shù)據(jù)轉(zhuǎn)發(fā)表。當(dāng)fabric發(fā)生變化，例如加入一臺(tái)新的 unit，新的 unit需要獲取原 fabric的轉(zhuǎn)發(fā)表項(xiàng)，同時(shí)將自己的轉(zhuǎn)發(fā)表項(xiàng)同步到原 fabric內(nèi)。IRF技術(shù)完全實(shí)現(xiàn)了報(bào)文的分布式轉(zhuǎn)發(fā)，無(wú)論是二層報(bào)文交換，還是三層報(bào)文的路由，都能夠做到分布式轉(zhuǎn)發(fā)。另外，fabric 內(nèi)任何 unit發(fā)生故障，由于協(xié)議分別獨(dú)立運(yùn)行，相互之間的依賴關(guān)系不強(qiáng)，只需要簡(jiǎn)單操作，就可以恢復(fù)設(shè)備的正常運(yùn)轉(zhuǎn)。而這個(gè)過(guò)程絲毫沒(méi)有影響原有設(shè)備轉(zhuǎn)發(fā)過(guò)程。IRF 技術(shù)極大的保護(hù)了用戶以前的投資，提高用戶的投資效率。由于聚合成員可以位于系統(tǒng)的不同設(shè)備上，這樣即使某些成員所在的設(shè)備整個(gè)出現(xiàn)故障，也不會(huì)導(dǎo)致聚合鏈路完全失效，其它正常工作的 unit會(huì)繼續(xù)管理和維護(hù)剩下的聚合端口的狀態(tài)。S8500是根據(jù)最長(zhǎng)匹配來(lái)查找路由的，是針對(duì)網(wǎng)斷進(jìn)行路由的。但是 S8500是根據(jù)最長(zhǎng)匹配來(lái)查找路由的，是針對(duì)網(wǎng)斷進(jìn)行路由的。華為 3 S5600 匯聚層交換機(jī)，交換容量 192/240G，包轉(zhuǎn)發(fā)率 66/102Mpps 可支持 2 個(gè)萬(wàn)兆接口上行，用戶無(wú)需任何投資，可以直接購(gòu)買(mǎi) 10GE 模塊，可直接插到匯聚層 S5600 交換機(jī)上就可以實(shí)現(xiàn)萬(wàn)兆帶寬的升級(jí)，原上聯(lián) GE 接口可以作為下聯(lián)接口用。支持 ，其高性價(jià)比的特性可滿足用戶對(duì)于強(qiáng)業(yè)務(wù)、高性價(jià)比的組網(wǎng)要求用戶認(rèn)證、計(jì)費(fèi)管理：出口處采用華為 3Com專業(yè)用戶認(rèn)證計(jì)費(fèi)設(shè)備 MA5200作為全網(wǎng)出口計(jì)費(fèi)設(shè)備，MA5200具有強(qiáng)大的認(rèn)證功能，可以實(shí)現(xiàn)按流量計(jì)費(fèi)、支持多種計(jì)費(fèi)策略，同時(shí)可以實(shí)現(xiàn)監(jiān)控全網(wǎng)的出口流量，同時(shí)其旁掛式的方式大大提高了網(wǎng)絡(luò)的安全性，避免了在出口產(chǎn)生流量瓶頸的問(wèn)題，本次組網(wǎng)采用 CAMS綜合管理軟件實(shí)行全網(wǎng)的用戶認(rèn)證和計(jì)費(fèi)管理。樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時(shí)提高了網(wǎng)絡(luò)的安全性。 安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。 整體建網(wǎng)原則早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機(jī)資源，共享簡(jiǎn)單數(shù)據(jù)庫(kù)，多以二層交換為主，很少有三層應(yīng)用，存在 安全、可管理性較差、無(wú)業(yè)務(wù)增值能力 等方面的問(wèn)題。3) 能夠?qū)崿F(xiàn)全網(wǎng)的安全管理，包括：IP、MAC 的盜用問(wèn)題、防止接入用戶的非法 DHCP Server、Proxy 等用戶。譬如做到用戶不認(rèn)證前能自由訪問(wèn)校園內(nèi)部分服務(wù)器，采用“user163”登錄，可實(shí)現(xiàn) Inter和校園網(wǎng)絡(luò)自由訪問(wèn)，采用“usercre”登錄，可訪問(wèn) CERNET和校園網(wǎng)。我們對(duì)此深信不疑，并將全