【正文】 以便不同 VLAN 間進(jìn)行訪問，對(duì)于學(xué)校重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問的時(shí)候，建議采用專家級(jí)ACL（可同時(shí)基于 VLAN 號(hào)、以太網(wǎng)類型、MAC 地址、IP 地址、TCP/UDP 端口號(hào)、時(shí)間靈活組合限定的硬件 ACL）來(lái)進(jìn)行訪問權(quán)限設(shè)定，保障重要資料不被非法訪問。按群體劃分 VLAN 在工程實(shí)施中就十分的方便，不會(huì)造成VLAN 劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī)劃。所以方案建議骨干網(wǎng)絡(luò)劃分 VLAN 方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少?gòu)V播域，又達(dá)到劃分VLAN，方便管理的效果，對(duì)于后期網(wǎng)絡(luò)維護(hù)和升級(jí)具有十分現(xiàn)實(shí)的意義。這樣劃分 VLAN 的好處有：1）方便管理。? VLAN 間的子網(wǎng)訪問，可以在三層交換機(jī)上實(shí)現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實(shí)行，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。建立VLAN 和IP 子網(wǎng)的對(duì)應(yīng)關(guān)系。要進(jìn)行訪問，需要通過(guò)三層交換，這樣信息流就得到相當(dāng)好的控制。主要突出為以下幾點(diǎn)：? VLAN 劃分，可以避免廣播風(fēng)暴，在骨干網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點(diǎn)播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網(wǎng)中進(jìn)行，不會(huì)做無(wú)意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。網(wǎng)絡(luò)站點(diǎn)的增減，人員的變動(dòng)，無(wú)論從網(wǎng)絡(luò)管理，還是用戶的角度來(lái)講，都需要虛擬網(wǎng)技術(shù)的支持。高性能高可靠性領(lǐng)先的多核架構(gòu)及分布式搜索檢測(cè)引擎，確保 SecPath IPS 在各種大流量、復(fù)雜應(yīng)用的環(huán)境下，仍能具備線速深度檢測(cè)和防護(hù)能力，僅有微秒級(jí)時(shí)延。便捷的管理方式支持本地和分布式管理。網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)SecPath T1000A IPS 具有強(qiáng)大的攻擊防護(hù)和流量模型自學(xué)習(xí)能力，當(dāng)攻擊發(fā)生、或者短時(shí)間內(nèi)大規(guī)模爆發(fā)的病毒導(dǎo)致網(wǎng)絡(luò)流量激增時(shí)，能自動(dòng)發(fā)現(xiàn)并阻斷攻擊和異常流量，以保護(hù)路由器、交換機(jī)、VoIP 系統(tǒng)、DNS 服務(wù)器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭各種惡意攻擊，保證關(guān)鍵業(yè)務(wù)的通暢。同時(shí)，通過(guò)部署于全球的蜜罐系統(tǒng)，實(shí)時(shí)掌握最新的攻擊技術(shù)和趨勢(shì)，以定期（每周）和緊急（當(dāng)重大安全漏洞被發(fā)現(xiàn)）兩種方式發(fā)布，并自動(dòng)或手動(dòng)地分發(fā)到 IPS 設(shè)備中，使用戶的 IPS 設(shè)備在漏洞被公布的同時(shí)立刻具備防御零時(shí)差攻擊的能力。采用第二代啟發(fā)式代碼分析技術(shù)、獨(dú)特的實(shí)時(shí)監(jiān)控腳本病毒攔截技術(shù)等多種最尖端的反病毒技術(shù)，能實(shí)時(shí)查殺大量文件型、網(wǎng)絡(luò)型和混合型等各類病毒；并采用新一代虛擬脫殼和行為判斷技術(shù)，準(zhǔn)確查殺各種變種病毒、未知病毒。 Exposures，通用漏洞披露)的兼容性認(rèn)證，在系統(tǒng)漏洞研究和攻擊防御方面達(dá)到了業(yè)界頂尖水平。配合 H3C FIRST（Full Inspection with Rigorous State Test）專有引擎技術(shù)，能精確識(shí)別并實(shí)時(shí)防范各種網(wǎng)絡(luò)攻擊和濫用行為。集中管理與審計(jì)提供各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)功能、郵件告警功22 / 56能。全面的認(rèn)證服務(wù)支持本地用戶、RADIUS 、TACACS 等認(rèn)證方式，支持基于 PKI/CA 體系的數(shù)字證書（ 格式）認(rèn)證功能。應(yīng)用層內(nèi)容過(guò)濾可以有效的識(shí)別網(wǎng)絡(luò)中各種 P2P 模式的應(yīng)用，并且對(duì)這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬；支持郵件過(guò)濾，提供 SMTP 郵件地址、標(biāo)題、附件和內(nèi)容過(guò)濾；支持網(wǎng)頁(yè)過(guò)濾，提供 HTTP URL 和內(nèi)容過(guò)濾。增強(qiáng)型狀態(tài)安全過(guò)濾支持基礎(chǔ)、擴(kuò)展和基于接口的狀態(tài)檢測(cè)包過(guò)濾技術(shù)；支持 H3C 特有 ASPF 應(yīng)用層報(bào)文過(guò)濾協(xié)議，支持對(duì)每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測(cè)并動(dòng)態(tài)地過(guò)濾數(shù)據(jù)包，支持對(duì)應(yīng)用層協(xié)議的狀態(tài)監(jiān)控。21 / 56 網(wǎng)絡(luò)安全 防火墻：F1000EI擴(kuò)展性最強(qiáng)基于 H3C 先進(jìn)的 OAA 開放應(yīng)用架構(gòu)，SecPath 防火墻能靈活擴(kuò)展病毒防范、網(wǎng)絡(luò)流量監(jiān)控和 SSL VPN 等硬件業(yè)務(wù)模塊，實(shí)現(xiàn) 27 層的全面安全。豐富的業(yè)務(wù)支持能力H3C S3100EI 系列交換機(jī)支持 PoE（Power over Ether）技術(shù)，通過(guò)以太網(wǎng)對(duì)所連接的設(shè)備（如 IP Phone, Wireless AP 等）進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場(chǎng)為設(shè)備部署單獨(dú)的電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和管理成本。具有即插即用、單一 IP 管理。設(shè)備支持 2 個(gè) GE 上行，采用 2 個(gè)固定10/100/1000 兆自適應(yīng)電口和 2 個(gè)復(fù)用的通用 SFP 端口，并且 SFP 端口既可以支持百兆光模塊，也可以支持千兆光模塊，在降低用戶成本的同時(shí)，更好的考慮了用戶后續(xù)升級(jí)的實(shí)際需求。H3C S3100EI 系列交換機(jī)支持 VCT（Virtual Cable Test）電纜檢測(cè)功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持 DLDP（Device Link Detection Protocol）單向鏈路檢測(cè)協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給用戶。支持 CLI 命令行， Web 網(wǎng)管，Tel，HGMP 集群管理，使設(shè)備管理更方便。支持對(duì) Proxy 進(jìn)行有效的管理。H3C S3100EI 系列交換機(jī)有強(qiáng)大硬件 ACL 能力，能深度識(shí)別報(bào)文，支持L2～L4 包過(guò)濾功能，提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的IP 地址、IP 協(xié)議類型、TCP/UDP 端口、TCP/UDP 端口范圍、VLAN、VLAN 范圍等定義 ACL，以便交換機(jī)進(jìn)行后續(xù)的處理。H3C S3100EI 系列交換機(jī)支持端口安全特性族，可以有效防范基于 MAC 地址的攻擊。同時(shí)支持 IP Source Check 特性，防止包括 MAC 欺騙、IP 欺騙、 MAC/IP 欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來(lái)的 DoS 攻擊。 接入：S3100EI全面的接入安全策略H3C S3100EI 系列交換機(jī)支持 EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。出色的管理性 H3C S5820V2 系列交換機(jī)支持豐富的管理接口，例如 Console、帶外網(wǎng)口、USB 口，支持SNMPv1/V2/v3，支持 iMC 智能管理中心。 除了設(shè)備級(jí)可靠性以外，S5820V2 還支持豐富的鏈路級(jí)可靠性技術(shù)，比如 H3C 獨(dú)創(chuàng)的RRPP 快速環(huán)網(wǎng)保護(hù)機(jī)制，VRRPE 和 Smart link。多重可靠性保護(hù) H3C S5820V2 系列交換機(jī)具備設(shè)備級(jí)和鏈路級(jí)的多重可靠性保護(hù)。 H3C S5820V2 系列交換機(jī)提供增強(qiáng)的 ACL 控制邏輯，支持大容量的入端口和出端口ACL，并且支持基于 VLAN 的 ACL 下發(fā)，在簡(jiǎn)化用戶配置過(guò)程的同時(shí)，避免了 ACL 資源的浪費(fèi)。靈活的風(fēng)道方向選擇 為了更好的配合數(shù)據(jù)中心的風(fēng)道設(shè)計(jì)，H3C S5820V2 系列交換機(jī)為用戶提供了更靈活的風(fēng)道方案，在實(shí)現(xiàn)前后風(fēng)道的同時(shí)，用戶還可以通過(guò)選擇不同的風(fēng)扇框來(lái)實(shí)現(xiàn)不同的風(fēng)向（從前往后或者從后往前）。其核心技術(shù) Openflow 通過(guò)將網(wǎng)絡(luò)的控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層進(jìn)行分離，大幅簡(jiǎn)化了網(wǎng)絡(luò)的管理及維護(hù)難度，更為重要的是實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的網(wǎng)絡(luò)平臺(tái)。采用支持 TRILL 技術(shù)的 S5820V2 系列交換機(jī)是構(gòu)建大型的、高性能易擴(kuò)展、并支持服務(wù)器虛擬機(jī)動(dòng)態(tài)遷移的云數(shù)據(jù)中心網(wǎng)絡(luò)的理想選擇。部分款型的下行 SFP+端口還可以切換為 FC 端口與 FC SAN互通，實(shí)現(xiàn) FC SAN 網(wǎng)絡(luò)與以太網(wǎng)絡(luò)的完全融合，大大簡(jiǎn)化了整網(wǎng)基礎(chǔ)設(shè)施。18 / 56 FCoE 技術(shù)實(shí)現(xiàn)了在以太網(wǎng)中對(duì) FC 報(bào)文的承載，使得 FC SAN 網(wǎng)絡(luò)和以太網(wǎng) LAN 網(wǎng)絡(luò)可共享同一網(wǎng)絡(luò)基礎(chǔ)設(shè)施，很好的解決了不同類型網(wǎng)絡(luò)共存所帶來(lái)的問題。豐富的數(shù)據(jù)中心特性 S5820V2 系列交換機(jī)支持邊緣虛擬橋 EVB (Edge Virtual Bridging)，通過(guò) VEPA (Virtual Ether Port Aggregator)模式實(shí)現(xiàn)將虛擬機(jī) VM(Virtual Machine)產(chǎn)生的數(shù)據(jù)流量上傳至與服務(wù)器相連的物理交換機(jī)進(jìn)行處理。 簡(jiǎn)化業(yè)務(wù)：VCF 架構(gòu)中的各種業(yè)務(wù)配置基于單一邏輯設(shè)備進(jìn)行配置，這樣可以大幅簡(jiǎn)化整網(wǎng)的 VLAN、IP、路由、MPLS VPN 等規(guī)劃注意事項(xiàng)。 統(tǒng)一安全策略：整網(wǎng)的安全策略只需在主設(shè)備上進(jìn)行配置，避免了對(duì)全網(wǎng)設(shè)備逐一配置所帶來(lái)的潛在策略沖突，并大幅降低了安全部署工作量。VCF 支持將盒式設(shè)備作為遠(yuǎn)程接口板加入主設(shè)備系統(tǒng)，在縱向維度實(shí)現(xiàn)對(duì)系統(tǒng)的異構(gòu)擴(kuò)展，用戶可以將整個(gè)系統(tǒng)看成單一的邏輯設(shè)備進(jìn)行統(tǒng)一管理和使用。 可用性：通過(guò)標(biāo)準(zhǔn)的萬(wàn)兆以太網(wǎng)接口實(shí)現(xiàn)智能彈性架構(gòu)，可以根據(jù)需求分配業(yè)務(wù)帶寬和系統(tǒng)連接帶寬，合理分配本地流量與上行流量；不僅可以實(shí)現(xiàn)機(jī)架內(nèi)、跨機(jī)架，甚至跨區(qū)域的遠(yuǎn)距離智能彈性架構(gòu)。 可靠性：通過(guò)專利的路由熱備份技術(shù)，在整個(gè) IRF2 組內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無(wú)間斷的三層轉(zhuǎn)發(fā)，極大的增強(qiáng)了 IRF2 組的可靠性和高性能，同時(shí)消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。因此，S5820V252Q/52QF/52QFU 交換機(jī)最大可支持 64 個(gè)萬(wàn)兆端口，S5820V254QSGE 最大也可以支持 12 個(gè)萬(wàn)兆端口，滿足了數(shù)據(jù)中心對(duì)高密萬(wàn)兆接入的需求。 匯聚：S5800V2高密萬(wàn)兆接入 隨著用戶端帶寬不斷提高，交換機(jī)需要提供更高的轉(zhuǎn)發(fā)性能和萬(wàn)兆端口擴(kuò)展能力。無(wú)線控制模塊提供豐富的業(yè)務(wù)能力，包括精細(xì)的用戶控制管理、完善的 RF 管理及安全機(jī)制、快速漫游、超強(qiáng)的QoS 和對(duì) IPv6 的支持等；無(wú)線控制模塊通過(guò)與安全策略服務(wù)器的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)無(wú)線接入用戶的端點(diǎn)準(zhǔn)入防御，提高了整網(wǎng)的安全性。支持用戶分級(jí)管理和口令保護(hù)，對(duì)登錄用戶進(jìn)行認(rèn)證，并且不同級(jí)別的用戶有不同的配置權(quán)限，用戶認(rèn)證方式包括：AAA 認(rèn)證、RADIUS 認(rèn)證等認(rèn)證方式等；支持 ，為用戶登錄提供安全加密通道；支持標(biāo)準(zhǔn)和擴(kuò)展 ACL，可以對(duì)報(bào)文進(jìn)行過(guò)濾，防止網(wǎng)絡(luò)攻擊；支持控制平面的多級(jí)保護(hù)機(jī)制，防止 DoS / DDoS 攻擊；支持 uRPF 技術(shù)，防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。S10500 系列秉承 H3C 公司的開放架構(gòu)設(shè)計(jì)理念——開放應(yīng)用架構(gòu)（OAA）支持防火墻模塊、IPS 模塊、負(fù)載均衡等安全控制模塊，可以將安全保護(hù)功能擴(kuò)展到交換機(jī)的每個(gè)端口；支持虛擬防火墻功能，可以為 VPN 用戶提供網(wǎng)絡(luò)防火墻的租用服務(wù)。采用了創(chuàng)新的硬件設(shè)計(jì)，通過(guò)全分布式的獨(dú)立控制引擎、檢測(cè)引擎、維護(hù)引擎為系統(tǒng)提供強(qiáng)大的控制能力和 50ms 的高可靠保障；分布式的控制引擎，所有業(yè)務(wù)板均提供強(qiáng)大的控制處理 系統(tǒng)，輕松處理各種協(xié)議報(bào)文及控制報(bào)文，并支持協(xié)議報(bào)文精細(xì)控制，為系統(tǒng)提供完善的抗協(xié)議報(bào)文攻擊的能力；分布式的檢測(cè)引擎，所有業(yè)務(wù)板都可以分布式的 BFD、OAM 等快速故障檢測(cè)，并與控制平面的協(xié)議實(shí)行聯(lián)動(dòng)，支持快速保護(hù)切換和快速收斂，可以實(shí)現(xiàn) 50ms 的故障檢測(cè)，保障業(yè)務(wù)不中斷；分布式的維護(hù)引擎，智能化 CPU 系統(tǒng)支持電源智能管理，可以支持單板順序上下電（降低單板同時(shí)上電帶來(lái)的電源沖擊，提高設(shè)備壽命，降低電磁輻射，降低系統(tǒng)功耗），設(shè)備在線狀態(tài)檢查。支持 40GE 和 100GE 以太網(wǎng)標(biāo)準(zhǔn)，充分滿足無(wú)阻塞園區(qū)網(wǎng)的應(yīng)用及未來(lái)發(fā)展需求。根據(jù)我們的設(shè)計(jì)，XX 大學(xué)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖 1 所示。局域網(wǎng)內(nèi)的所有工作節(jié)點(diǎn)通過(guò)雙絞線與交換機(jī)相連形成一個(gè)星型網(wǎng)絡(luò)。 優(yōu)點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，易于維護(hù)，便于管理（集中式） ；每臺(tái)入網(wǎng)機(jī)均需物理線路與處理機(jī)互連，線路利用率低；處理機(jī)負(fù)載重（需處理所有的服務(wù)） ，因?yàn)槿魏蝺膳_(tái)入網(wǎng)機(jī)之間交換信息，都必須通過(guò)中心處理機(jī)；入網(wǎng)主機(jī)故障不影響整個(gè)網(wǎng)絡(luò)的正常工作。第 4 章 網(wǎng)絡(luò)方案設(shè)計(jì)14 / 56 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)局域網(wǎng)采用星型網(wǎng)絡(luò)拓樸結(jié)構(gòu)，星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu)，它是以一臺(tái)中心處理機(jī)（通信設(shè)備）為主而構(gòu)成的網(wǎng)絡(luò)，其它入網(wǎng)機(jī)器僅與該中心處理機(jī)之間有直接的物理鏈路，中心處理機(jī)采用分時(shí)或輪詢的方法為入網(wǎng)機(jī)器服務(wù)，所有的數(shù)據(jù)必須經(jīng)過(guò)中心處理機(jī)。先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)方法，才能夠發(fā)揮最大的作用。為了適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化的要求，必須充分考慮以最簡(jiǎn)便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)。由于信息技術(shù)和人們對(duì)于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，我們必須選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)候，不需要增加新的設(shè)備，而只需要增加一定數(shù)量的模塊就行。在學(xué)校啟用物理鏈路冗余機(jī)制，保證任何一條線路出現(xiàn)故障后骨干網(wǎng)絡(luò)平臺(tái)的可用性。13 / 56在考慮技術(shù)先進(jìn)性和開放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無(wú)故障時(shí)間，銳捷網(wǎng)絡(luò)做為國(guó)內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。網(wǎng)絡(luò)建設(shè)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。根據(jù)校園網(wǎng)的總體需求，結(jié)合對(duì)應(yīng)用系統(tǒng)的考慮，本次網(wǎng)絡(luò)建設(shè)的設(shè)計(jì)目標(biāo)是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬(wàn)兆骨干網(wǎng)絡(luò)平臺(tái)。 建設(shè)原則校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)在實(shí)用的前提下，應(yīng)當(dāng)在投資保護(hù)及長(zhǎng)遠(yuǎn)性方面做適當(dāng)考慮，在技術(shù)上、系統(tǒng)能力上要保持五年左右的先進(jìn)性。容錯(cuò)