大型园区网络设计方案

丰富的组播特性
支持业界特有的 IGMP 源端口检查，有效杜绝非法组播源播放和大量占用大量网络带宽，提高网络 安全性；
支持和识别 IGMPv1/v2 和 IGMPv3 全部版本的组播报文，适应不同组播环境，避免非法的组播数据 流占用网络带宽，满足组播安全应用的需要。
高可靠性
支持生成树协议 802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运 行和链路的负载均衡，合理使用网络通道。
的网络和计算机硬件设备，以及选择可靠的网络操作系统和信息应用系统来体现。
4.安全性原则：通过加强内部访问控制和外部访问控制两方面来保证网络和信息安全。
5．开放性原则：采用标准通用的网络协议和信息传递方式，保证系统的开放性。
6.易管理性原则：从网络的结构和网络设备的易管理性来体现。网管员可以在网络的任
通过锐捷安全计费管理平台 SAM，不仅可实现用户账号、MAC 地址、IP 地址、交换机 IP、交换机端 口等六大元素之间的灵活任意绑定，有效确认用户身份的合法性和唯一性，更能通过交换机特色硬件动态 绑定，保障用户身份始终一致性，避免了用户恶意篡改身份信息进行非法攻击等行为；
专用的硬件防范 ARP 网关和 ARP 主机欺骗功能，有效遏制了网络中日益泛滥的 ARP 网关欺骗和 ARP 主机欺骗的现象，保障了用户的正常上网；
2.2 设备选型
接入层交换机
产品概述
RG-S2126S 是一款全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质 量（QoS）以及组播管理特性，并可以实施灵活多样的 ACL 访问控制。可通过 SNMP、 Telnet、Web 和 Console 口等多种方式提供丰富的管理。S2126S 以极高的性价比为各类型网 络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、 安全、智能的企业网新需求。
西南交通大学
组网设计方案
大 型 园 区 网 络
西南交大一队
第一章 概述
1.1 前言
在二十一世纪教育改革中，世界各国都在加快教育现代化的步伐，其信息化程度的高低 已成为当今世界衡量一个国家综合国力的重要标志。
中国教育信息化在经过过去几年的建设后，国家教育科研网（CERNET）骨干已基本建 成。大部分高校也已建设了自己的校园网络，对校内提供 ISP 服务。国家要求在今后 5 年内 完成教育上网，即所有高校、职业学校、中学和小学拥有自己的校园网，并建设校园网将各 个校区互联并提供与国家教育科研网和各运营商互联的接口。
1.2 总体设计原则
1.先进性原则：计算机网络的先进性将通过网络构架的先进性、硬件设备的先进性、传
输速率和协议选择、信息系统的先进性来体现。
2.实用性原则：采用的技术路线、产品应经过实践检验，被证明是成熟可靠的，设计结
果能满足客户的需求并且行之有效。
3.可靠性原则：校园计算机网络的可靠性将通过选择能可靠运行的网络结构、选择可靠
标准 IP ACL（基于 IP 地址的硬件 ACL）、
扩展 IP ACL（基于 IP 地址、传输层端口号的硬件 ACL）、
MAC 扩展 ACL（基于源 MAC 地址、目的 MAC 地址和可选的以太网类型的
硬件 ACL）、
L2 协议
IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ad、
IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、
CLI 界面，方便高级用户配置和使用；
Java-based Web 管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。
产品参数
产品型号 固定端口 模块插槽 可用模块
包转发速率 802.1q VLAN ACL
RG-S2126S 24 端口 10/100 自适应 2 个扩展插槽 单口 1000BASE-SX 模块 单口 1000BASE-LX 模块 单口 1000BASE-TX 模块（支持 10/100/1000M 自适应） 单口 100BASE-FX 模块 单口 100BASE-FX 单模模块 单口 100BASE-TX 模块 堆叠模块 线速 4K
2 校园网络主干 校园网络主要涉及 40 栋大楼：网络中心设在大楼 1。
集团共 20 个部门，分别在 A、B、C、D 楼各 5 各，每个部门用户数在 100 个左右。
1．主干采用千兆以太网，到桌面 10/100 兆自适应连接；
2．接入交换机至大楼交换机之间采用 1000M 互连； 3．大楼交换机至核心交换机之间采用 1000M 互联； 4．分别通过两个路由器连接到教育科研网 CERNET 和 chinanet，实现与 INTERNET 的互
支持 802.1P、DSCP、端口优先级、IP TOS、二到七层流过滤等 QoS 策略，具备 MAC 流、IP 流、应用 流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以 及不同应用所需要的服务质量特性，提供服务；
极灵活的带宽控制能力，可以基于交换机端口、MAC 地址、IP 地址、协议、应用组合进行带宽限速， 限速粒度精细：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口，可根据网络安全需求， 设定不同业务应用的带宽流量，满足按需所用。
3) 提供方便、安全、可靠的故障和维护管理、安全管理、性能管理、统计管理、计费
管理等基本管理功能。
9．系统安全控制技术要求
1) Internet 的安全控制应提供地址转换、被动监厅、端口扫描和否认服务等机制、，
同时划分不同级别的安全区域；
2) 远程访问的安全控制应提供访问服务器的用户身份认证、用户授权及用户记账/审
等； 5) 主干交换机的背叛交换容量不小于 50G; 6) 高性能价格比。 7．布线系统技术要求 1) 布线系统全部采用符合国家标准或国际标准的产品进行完全的结构化布线； 2) 在较好性能价格比的情况下，布线的标准适当超前，整个系统应提供 15 年以上的
质量保证； 3) 楼宇之间根据距离远近采用多模（MMF）或单模（SMF）光纤，大楼内部采用 5 类
1.4 技术方案综述
通过对集团网络建设项目系统现状和对整个网络系统建设需求的了解，以万兆主干 网络为基础平台，以集团网应用为主线,以实现办公自动化、资源共享、实时新闻发布、 财务电算化和集中式的供应链管理系统和客户服务关系管理系统为目的，我公司推荐如 下主要技术方案：
采用锐捷网络公司的交换机产品来构造集团内部网络：网络核心交换机采用 RG-S8600 系列高密度多业务 IPV6 核心路由交换机；大楼汇聚交换机采用 RG-S5750 系 列安全智能万兆多层交换机；接入交换机采用 RG-S2126S 千兆增强网管交换机。
支持 DHCP Relay，更可支持 DHCP Option 82，可方便实现对 IP 地址的精确分配和控制，并可通过 交换机硬件 ARP 检查，可有效防范动态分配 IP 地址环境下的 ARP 欺骗问题；
提供极为有效的 Port Blocking 功能，避免和阻止端口受到其它端口发送的广播包、多播包等报文的 干扰，有效减轻端口的负载负担，提高端口带宽，保护用户 PC 更高效安全地运行；
方便易用易管理
强大的菊花链式堆叠，保证网络的高度灵活和可扩展，网络管理更加简单；
独特的集群管理，通过一台命令交换机可管理多达 20 台的 S21 系列交换机，无论交换机是否在同 一配线间和布线室；
强大的集群管理方式使得网络的维护工作变得非常方便和简单，只需配置 1 个 IP 地址，即可管理 多台设备，不仅成倍节省了 IP 地址空间，而且维护和管理量也得到极大降低；
第二章 网络系统设计
2.1 方案描述
桌面接入交换机采用 RG-S2126S 并通过五类双绞线连接，汇聚层交换机采用 RG-S5750 并通过千兆光纤连接，核心交换机采用两个 RG-S8600 并通过千兆光纤连接，在核心交换机 之间采用 10G 光纤构成冗余线路。通过一台核心交换机和两台路由器 RSR-08 相连采用 10G 光纤，之间由 RG-WALL1600 防火墙进行安全保障。其中一台路由接入 cernet 一台路由接入 chinanet。
多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出 帧或双向帧，大大提高维护效率；
支持端口环路检测，可快速检测端口下联出现环路的情况，并能自动将有环路端口关闭和定时启动， 保障了网络的可靠；
Syslog 方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员进行网络维护和 管理；
基于源 IP 地址控制的 Telnet 和 Web 设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增 强了设备网管的安全性；
SSH（Secure Shell）和 SNMPv3 技术可以通过在 Telnet 和 SNMP 进程中加密管理信息，保证管理设 备信息的安全性，防止黑客攻击和控制设备；
完善的 QoS 策略
双绞线 4）集团内部各个建筑物都有 1 对 8 芯的单模光纤连接到主建筑物（即网络中心所在
地）， 8．网络管理技术要求
1) 基于开放的校园网系统，应当支持集成化的 SNMP 及 CMIP 应用，能够全面管理 TCP/IP 网络设备，并且提供面向目标的图形管理接口和 API 编程接口；
2) 网络管理员可以通过网络管理工作站，借助图形化的界面，可以对网络上的设备进 行监控和集中式管理，只要对网络软件进行配置，不必到现场进行实际操作，就 能重新构造网络；
Biblioteka Baidu意端口通过 Web 对设备进行管控，设备的所有端口的状态都会实时地显示出来。控制整个网
络安全高效地运行。
7.经济性原则：相对国防、金融等机构，学校对网络建设的投入显然较低，这就要求建
成的网络经济实用，具备很高的性能价格比;在技术性能和价格的平衡中，技术性能优先，
兼顾价格
1.3 校园网网络设计需求
1 网络的应用 1、 大容量的教学资源库、课件资源库。 2、 Web、E-MAIL、FTP、BBS 视频服务器、数据库服务器的应用。 3、 办公自动化及办公收发文系统。 4、 远程教育服务。 5、 各种流媒体和各种应用平台服务 6、 Intranet 以及 Internet 技术应用。
产品特性
高性能
高背板带宽为所有的端口提供非阻塞性能；
灵活多样的安全控制
通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保 证合法用户合理化地使用网络，如端口安全、端口隔离、硬件 ACL 控制、端口 ARP 报文的合法性检查、基 于数据流的带宽限速、六元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信 的需求；
计等功能；
3) 应提供对整个网络和工作站进行侦独、解毒和清毒等工作，防范计算机病毒。
3 网络流量 学校现有师生 15000 人，以后用户还会增多，并有多个计算机局域网，初步估计上
网高峰时约有 20000 台计算机需同时使用集团网络。另外还考虑到视频会议以及文件服 务得需求所以设计计算机网络系统应充分考虑每个用户的带宽和系统的响应时间。其计 算机网络的建设应达到：网络传输速度高，不能有信息传输瓶颈，信息处理效率高，系 统响应时间短，每个用户都有较高的带宽。
硬件实现端口与 MAC 地址和用户 IP 地址的灵活绑定，严格限定端口上用户接入；
通过将端口设为保护端口，即可简单方便地隔离用户之间信息互通，不必占用 VLAN 资源，同时又 无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能，充分保护用户隐私；
实现用户账号、MAC 地址、IP 地址、交换机 IP、交换机端口等多元素之间的灵活任意绑定，有效确 认用户合法性和唯一性；
联。 5．内部网络采用 Intranet 应用模式架构整个应用信息系统 6．骨干网技术要求
1) 满足对多媒体数据的要求，避免主干网络瓶颈的出现； 2) 提供子网划分、虚拟网技术和能力，解决内部网络的路由，实现较高的内部路由性
能； 3) 具有高可靠性； 4) 保证传输的服务质量，提供必要的服务质量(QOS)、服务级别(COS)和服务类型(TOS)