柳州市公园路小学校园网设计方案new

更新时间:2023-12-14 23:21:01 阅读量: 教育文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

柳州市公园路小学校园网

网络建设方案

二○○七年六月

柳州市公园路小学东校园网设计方案

第1章 项目概述及需求分析

1.1 项目概述

校园网就是一个网络化、数字化、智能化有机结合的新型教育和学习的校园平台。而高度发达的计算机网络是信息化校园的核心技术支撑。具体的形式就是在校园内组建计算机网络,它将行政管理、教学服务、研究开发等各类系统连接起来并与互联网连接,实现系统间的信息交换和信息服务,校园的教学、科研资源与社会知识资源的高度整合,使信息化校园成为完全开放、超越时空的校园平台和知识枢纽。它主要用来为全校教职员工、学生及其家长、Internet用户等提供计算机教学和管理、校园信息、学习指导等服务。

目前,各类学校建立校园网已是大势所趋,也是非常必要和迫切需要的。校园网的建成使用,对提高教学和科研质量,改善教学和科研条件,使教学多出人才,出高精尖人才,使科研出成果, 出一流成果,有着十分重要而深远的意义。“柳州市公园路小学校园网”是实现学校信息化行之有效的手段,其自身建设也成为柳州市公园路小学信息化建设的焦点,校园信息网络系统的建设便具有突出的重要性,是学校现代化、信息化的关键所在。校园网可以用来为全校教师、学生提供各种高科技信息服务,以下是一些典型的应用:

提供教学信息共享,扩展课堂教学活动

以学校的优秀教学资源为基础,以先进的网络资源为依托,采用全新的技术、观念和手段,实现基于计算机网络上的远程教育和视频点播等先进技术,打破学校、地域和时空界限,使全社会的学生最大限度地实现共享学校优秀的教学资源。通过集文字、图象为一体的WWW页面的浏览,校园网提供的教学内容呈现在一台上网的计算机上,学生坐在家里就可以通过计算机接受教师讲授、辅导、自我检测或和其他同学交流。

提高教育管理水平

利用先进的计算机处理技术,实现教学管理自动化,提高学校的教育管理质量和水平。

信息发布

1

柳州市公园路小学东校园网设计方案

将学校内部的一些文件,包括日常新闻、学术报告信息、计划报告等有关文件,以及与学生和教职工切身利益相关的信息,例如招生信息、教学动态、学生守则、校风校史等,通过校园网发送给全体师生以及全球的Internet用户。

视频点播(openvideo)服务

教育部门最棘手的问题是需要不断更新教材资料,使教学内容能及时适应各种新的变化。校园网上的视频点播服务器妥善地解决了这个问题。它可为教师、学生提供包括声音与影视信息等的最新教材,而且学生可根据本人条件掌握学习进度。

数字化图书馆

图书是每个人成长过程中最友好的朋友。但是由于图书价格、借阅手续等问题的影响,并不是每个人都能够及时得到想要的图书资料。而数字化图书馆的建立将会给每一个人带来方便。只要你拥有一个图书馆帐号,不论你是在学校内还是出差在外,只要能够连入Internet,您就可以查阅图书馆中的每一本书。与现有的所谓网上图书馆相比,它不但可以提供目录检索功能,而且可以查阅或下载书中的内容,建立自己的资料库,更好地完成工作。

合作开发

学校内分布在各个教学或研究开发部门,可以利用校园网提供的WWW和电子邮件功能传送讲座问题,交换资料。通过Internet几乎使地区的隔阂不再存在。

柳州市公园路小学校园网的规划在宏观的设计上,网络建设主要侧重以下方面:

1、 教学网络建设:在学校的各个教室内实现交互式的多媒体辅助教学。随着网络技术的飞

速发展,“多媒体”逐渐渗入了教学、生活的方方面面。多媒体教学方式以其形象生动,易学易记的特点逐渐在教学中显现出其独特的优,在教学中的应用也越来越广泛; 2、 计算机教学:现在,计算机课程已经成为中小学的主要课程之一,随之而来的计算机课

程的教学设施也成为学校教学设备的主要部分之一。利用校园网络,丰富计算机教学的内容,可以提高学生的学习积极性和对计算机的认知程度;

3、 校园网资源共享:校园网中的教学软件、办公软件、因特网接入等资源可以利用校园网

络实现资源共享。资源共享后,可以大幅度降低学校在软件购买、因特网接入等方面费用;

2

柳州市公园路小学东校园网设计方案

4、 办公自动化应用: 学校的办公自动化应用也应该得到应有的重视,如招生、教师资源管

理、费用收缴、课程安排、学生档案管理等各项工作的计算机管理等;

5、 远程拨号访问:随着计算机的逐渐普及,许多教职工的家里都有了计算机。如果教职工

通过远程拨号访问学校的计算机资源,可以加强教学、办公的灵活性,与可以加强与兄弟学校的交流与合作,扩大学校的延伸范围;

6、 因特网网站建设:通过因特网网站的建设,可以实现学校的电子“教”务。因特网网站

可以作为学校的对外窗口,使得在信息时代继续保持学校的优势。

柳州市公园路小学的校园网络建成后,将成为集教学、办公、管理于一体的高质量信息工程,网络将保持技术的先进性和足够的安全性,让学校在信息化建设方面迈出一大步,为将来的发展奠定一个良好的基础。

1.2 网络需求分析

柳州市公园路小学东校区,校园内共分布有四座建筑,包括东区1号楼(教学楼)、东区2号楼(教学楼)、东区3号楼(综合楼)、东区4号楼。具体建筑功能分布如下:

? 东区1号楼(教学楼):

中控室、多媒体教室 男厕 学生机房 信息处 楼梯 楼梯 五(1)班 办公室 五(2)班 女厕 五(3)班 教师办公室 楼梯 楼梯 五(4)班 书记室 校长室 五(5)班 男厕 五(6)班 教师办公室 楼梯 楼梯 五(7)班 副校长室 教务处 五(8)班 女厕 五(9)班 教师办公室 楼梯 门卫 体育器 材室 卫生室 楼梯

3

柳州市公园路小学东校园网设计方案

? 东区2号楼(教学楼):

楼梯 厕所 四(1)班 四(2)班 杂物间 厕所 四(3)班 四(4)班 杂物间 广播室 四(5)班 四(6)班 杂物间 厕所 四(7)班 学前班 厕所

? 东区3号楼(综合楼):

舞蹈室 服饰室 楼梯间 连廊 厕所 音乐室 楼梯间 连廊 厕所 实验室 楼梯间 连廊 厕所 图书室、阅览室 楼梯间 连廊 厕所 美术书画室 楼梯间 连廊 架 空

? 东区4号楼:

心理咨询室 队部室 楼 机器人室 科技室 梯 科技室 午托 间 午托 科技室 围棋室 午托 厕所 午托 科技室 休息室 午托 厕所 午托 休息室 门面10 门面9 门面8 门面7 门面6 门面5 门面4 门面3 门面2 门面1

4

柳州市公园路小学东校园网设计方案

现无阻塞的千兆骨干。日后信息点添加的情况下,还可以通过交换机之间的堆叠功能,实现网络规划的轻松扩展。

2.3.3 边缘层网络出口

柳州市公园路小学校园网承载重要的应用系统、电子课件等重要的业务系统,但同时也面临着来自Internet和内部的各种网络威胁和风险,而有数据表明70%的网络入侵事件是来自内部而非外部,所以内部的各种隐患也同样不容忽视,综上考虑,必须在网络边界采用防火墙进行逻辑隔离。

网络出口设置1台百兆防火墙,对内连接校园网内网,对外和Internet保持连接。

通过防火墙实现内、外网的访问控制来提高网络的安全性。防火墙DMZ区放置需要对外提供访问服务的WEB、信息发布等服务器,也就是说对外提供业务的机器必须搁置DMZ中,外部网络只能访问DMZ中的主机,而不能访问内部网络。严格控制DMZ中的主机访问内部网络的权限,只允许所开放的业务的数据进入内部网络,其他的一概禁止。这样,即使DMZ中的主机被攻击,也不会影响到内部网络的安全。

网络出口防火墙担负着柳州市公园路小学校园网与外界网络连通的重任,必须具备较高的可靠性,稳定性和安全性。建议采用神州数码统一威胁管理系统DCFW-1800E-UTM。

2.3.4 网络管理

为了提高管理效率,我们建议采用专用网络管理系统进行整个网络的管理。 推荐使用神州数码公司的LinkManager网络管理软件。

管理软件是一种全功能网络管理工具,简化了基于IP的网络的配置、检修和状态监测。它提供了一套完善的网络管理应用,包括能够配置、监测、检修和管理网络及网元。它可管理任何基于SNMP的网络设备,并显示设备的详细信息。基于地域和环境的网络设计和管理方式,可以使多个网络设计人员同时设计网络,互不干扰。满足了网络管理的基本要求,同时增加了重要直观的特性,通过简化常见任务,节约了用户的时间。通过对网络的全面监控,网络管理员可以重构网络结构,使网络达到最佳效果。

它具备的主要特性是:

(1)中文的操作界面,简单、易懂;

10

柳州市公园路小学东校园网设计方案

(2)软件安装简单,不需要过高的设备要求; (3)可管理、监视服务器和工作站;

(4)只要接入网络就可以管理、监控网络,实现移动管理; (5)适合用于各类大中小型局域网等; (6)支持多厂商网络设备 (7)支持网络拓扑的分层显示 (8)支持网络拓扑的布局

2.4 系统特点

2.4.1整个网络的技术体系

柳州市公园路小学校园网的安全性至关重要。采用以下几个方面来保证网络的安全。

(1)VLAN

在大型局域网络组建中,VLAN技术是不可缺少的关键技术,科学的VLAN设计可以为局域网络带来一系列的优点:

? 在同一个物理网络实现第二层工作组划分,实现不同工作组之间第二层的完全隔离,同时,

组员可以处在物理网络中的任何位置,不受同一台设备限制;

? 隔离广播,提高效率,避免不相关的广播帧在全网扩散,浪费有效带宽资源;

本次柳州市公园路小学校园网的建设,我们基于IEEE 802.1Q标准实现VLAN,使用VLAN技术达到两个目的:第一,不同用户或各业务部门之间的隔离和通信控制;第二,广播范围的抑制。

VLAN的划分可以依据不同的用户或业务部门进行也可以依据用户所处网络的物理结构进行,后者主要是从网络性能角度出发,而前者还同时兼顾了网络安全性可控性的需要。从广播控制角度出发,为了保障网络的高可用和高性能,按照惯例原则,我们在进行具体VLAN规划时,同一个广播域内(一个VLAN)的通信主机一般不超过50台,对于主机数量超过50的业务部门,我们通过二层隔离,三层交换的方式来解决。

作为特殊VLAN 的典型,保留VLAN1作为管理VLAN,管理VLAN覆盖到全网的每一台交换机,但在第三层接口上,需要通过控制列表与其他业务VLAN进行有效的隔离。网管工作站设置在管理VLAN。

11

柳州市公园路小学东校园网设计方案

另外,由于柳州市公园路小学新校区校园网中前期所布署的业务服务器尚比较少,因此服务器也设置在管理VLAN。

对于对外的WWW等服务,再单独设置VLAN,结合防火墙设备,通过设置DMZ(停火区)的方式实现与外界的安全互联。

(2) 防火墙访问列表的安全防范。 包过滤技术

IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由路由器进行处理的信息。包过滤通常用到IP报文的以下属性:

IP的源、目的地址及协议域; TCP或UDP的源、目的端口; ICMP码、ICMP的类型域; TCP的标志域

表示请求连接的单独的SYN 表示连接确认的SYN/ACK 表示正在使用的一个会话连接 表示连接终断的FIN

(3) IPv6设备支持

系统采用高性能的核心路由交换机-------DCRS-6804L提供整个管理信息网络系统的中心交换,本次方案中,在DCRS-6804L机箱上配置两块MRS-6804L-M4GX24TX主控管理模块,在实现管理模块冗余的时间,提供了48个10/1000M自适应铜缆接口,8个千兆光/电复用接口,同时交换机还具有万兆以太网的支持能力,一个满配置的DCRS-6804L核心交换机可以提供高达480 Gbps的总交换能力.

备受瞩目的CERNET2也已步入试运行阶段。与此同时,为数众多的IPv6试验网已经在广大高校当中落地生根,并呈现快速蔓延之势,IPv4迁移至IPv6已是指日可待。由于基于IPv6的下一代网络应用是从互联网开始的,因此作为核心层的主力设备,万兆路由交换机首当其冲,其对于IPv6的支持能力至关重要。

DCRS-6804L核心万兆路由交换机在国内主流网络厂商中率先通过了IPv6领域最高等级的资质

12

柳州市公园路小学东校园网设计方案

认证—— “IPv6 Ready Phase-2”,在即将到来的IPv6浪潮中走到了最前列。

2.4.2提供统一的网管功能

通过LinkManager网络管理软件管理柳州市公园路小学校园网的所有神州数码路由器及交换机。神州数码路由器支持SNMP(V1、V2、V3)、RMON网络管理协议,可通过各种通用网管软件(如HP OpenView、CiscoView、CiscoWorks 2000)对路由器进行监控和管理,模块化路由器支持CDP协议,在OpenView中,DCR-标配系列路由器、模块化路由器支持网络拓扑结构的图的自动生成,并能够通过集成的RouterView显示DCR-系列路由器的背板图,监视和控制各个端口的状态和统计信息。

神州数码路由器的网络管理和其它绝大多数网络设备一样,都是基于SNMP(简单网络管理协议)开发的。SNMP是另一种可以访问路由器的方法。通过SNMP,可以收集路由器的统计信息获得路由器的配置信息。使用get-request 和 get-next-request命令获得统计信息,使用set-request可以配置路由器。神州数码路由器可以与其它品牌的路由器实现很好的兼容,支持CISCO的EIGRP等专用协议,并可通过常用网管软件进行多厂家路由器的集中管理。

神州数码自主研发的LinkMangaer软件能极大方便整个网络的管理和维护。

13

柳州市公园路小学东校园网设计方案

2.5网络设备清单

序号 型 号 描 述 核心交换机 4插槽核心路由交换机机箱(电源1+1冗余,标配11 DCRS-6804L 个MRS-PWR-A2-AC交流电源,1个热插拔风扇盘,不含管理模块。) 2 3 MRS-6804L-M4GX24TX SFP-SX-L DCRS-6804L管理模块(含24口10/100BaseTX百兆接口和4口千兆Combo(SFP/GT)接口 1000Base-SX SFP接口卡模块,LC接口 块 块 2 3 台 1 单位 数量 一号楼(76个点) 4 DCS-3950-26C 可堆叠智能安全交换机(24口10/100Base-TX,固化2个千兆Combo(SFP/GT)接口) 台 3 二号楼24个点) 5 6 DCS-3950-26C SFP-SX-L 可堆叠智能安全交换机(24口10/100Base-TX,固化2个千兆Combo(SFP/GT)接口) 1000Base-SX SFP接口卡模块,LC接口 台 块 1 1 三号楼(12个点) 7 8 DCS-3950-26C SFP-SX-L 可堆叠智能安全交换机(24口10/100Base-TX,固化2个千兆Combo(SFP/GT)接口) 1000Base-SX SFP接口卡模块,LC接口 台 块 1 1 四号楼(32个点) 9 10 DCS-3950-26C SFP-SX-L 可堆叠智能安全交换机(24口10/100Base-TX,固化2个千兆Combo(SFP/GT)接口) 1000Base-SX SFP接口卡模块,LC接口 台 块 2 1 防火墙 神州数码统一威胁管理系统(百兆) 11 DCFW-1800E-UTM 性能参数:吞吐量400M、并发连接数800,000、每秒新建连接数 19,000 物理参数:1U标准机箱、4个百兆电口。 台 2 网管软件 12 LinkManager-40-B-25N 基础版插件式网络管理系统软件,4.X版本,25节点,Windows XP/2000平台 台 1

14

柳州市公园路小学东校园网设计方案

第3章 网络安全系统设计

3.1网络安全需求分析

柳州市公园路小学校园网网络应用是一个典型的Internet/Intranet应用,由此带来的网络安全问题不容忽视。一般而言,网络安全问题可能导致的部分后果大致有:

★ 资料被有意篡改,可能造成恶劣影响和难以挽回的损失; ★ 硬件系统被破坏,造成文件永久丢失; ★ 服务被迫停止,造成重大经济损失;

★ 页面被丑化或者修改,如贴上谣言、黄色图片或反动言论,造成法律和政治上的严重后果,企业形象被黑客破坏;

★ 给客户层带来服务质量低劣的印象。

因此,如何作好网络安全的解决方案将是一个系统工程。

一般说来,在网络中需要保护的内容主要包括两个方面:一是网络数据;二是网络中的设备。以下我们将从网络的不同方面进行安全分析。

(一) 物理安全风险

物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有:水灾、火灾、雷击等自然灾害,人为的破坏或误操作,外界的电磁干扰,设备固有的弱点或缺陷等等。

物理安全的威胁可以直接造成设备的损坏,系统和网络的不可用,数据的直接损坏或丢失等等。 为了保证网络系统的物理安全,首先要保证系统所处环境——机房,满足相应的国家标准,同时对重要的网络设备采用UPS不间断稳压电源等等。

(二)网络的安全风险

柳州市公园路小学校园网系统可以分为内部网络及外部网络两个部分。因此在内网和外网之间,必须采取一定的安全防护措施。对于内部网络,由于内部用户有意或无意的攻击,往往也会导致意想不到的后果。

15

柳州市公园路小学东校园网设计方案

入侵者可以利用各种工具扫描网络及系统中存在的安全漏洞,并通过一些攻击程序对网络进行恶意攻击,攻击可能会针对服务器系统或是网络设备,造成的危害可能有:非法修改设备配置,影响其正常的工作;对设备进行各种攻击,造成其瘫痪,服务的终止;非法登录服务器系统,窃取、篡改其上的数据信息;等等。

(三)系统的安全风险

在柳州市公园路小学校园网系统中,有着各种各样的设备和系统,比如服务器、交换机、工作站等设备;操作系统、数据库系统和其他应用软件系统。这些设备或系统都或多或少地存在着各种各样的“后门”和漏洞,这些都是重大的安全隐患。一旦被利用并攻击,将带来不可估量的损失。比如,对各类操作系统(UNIX,WINDOWS NT等)和数据库而言,其中存在大量已知和未知的漏洞,一些国际上的安全组织已经发布了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。操作系统、数据库系统及各类应用系统的安全漏洞,不可避免地存在,所有系统都被发现过存在着安全隐患。漏洞形成的原因或是由于软件开发人员的疏忽、设计中的缺陷,或是开发商的主观原因等。

(四)病毒的安全威胁

计算机病毒是指一种能使自己附加到目标机系统的文件上的程序。它在所有破坏性设备中最具危险性,可以导致服务拒绝、破坏数据,甚至使计算机系统完全瘫痪。当病毒被释放到网络环境时,其无法预测的扩散能力使它极具危险性。

病毒的种类是多种多样的,目前全世界发现的病毒已远远超过20000种,根据感染对象的不同,这些病毒可分为引导型病毒、文件型病毒、混合型病毒三类。病毒会突破系统的访问控制,对系统造成破坏,可能造成机器死机、信息泄漏、文件丢失等威胁。

(五) 管理的安全威胁

管理是网络安全的重要组成部分。安全管理制度的不完善是网络风险的重要来源之一。网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对帐号认证等严格限制、用户安全意识不强,将自己的帐号随意转借他人或与别人共享等等,这些管理上的问题是无论多么精妙的安全策略和网络安全体系都不能解决的,都会使网络处于危险之中。

16

柳州市公园路小学东校园网设计方案

3.2网络安全建设原则

1、一体化设计原则:必须分析信息网络的层次关系,遵循先进的安全理念,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度解决可能存在的安全问题。

2、可控性原则:采取的技术手段需要达到安全可控的目的,技术解决方案涉及的工程实施应具有可控性。

3、系统性、均衡性、综合性设计原则:从全系统出发,综合考虑各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。

4、可行性、可靠性原则:必须保证在采用安全系统之后,不会对网络扩展和应用系统有大的影响。在保证网络和应用系统正常运转的前提下,提供最优安全保障。

5、标准性原则:方案的设计、实施以及产品的选择以相关国际国家安全管理、安全控制、安全规程为参考依据。

6、投资保护原则:对安全设备进行有效的利用,保护已有投资。

3.3网络安全技术解决方案

影响计算机网络安全的因素有很多,所以保护网络的安全也不只一种手段,在绝大多数情况下,必须综合使用现有的各种计算机网络安全技术手段,才能达到良好的安全效果。在柳州市公园路小学校园网的网络系统安全项目中,根据网络的拓扑结构、网络安全风险分析以及安全需求,为了有效地保护网络系统的安全,采取如下的安全措施:

★ 对服务器和路由/交换设备上的操作系统、数据库系统、应用软件系统进行安全的配置和定期维护;

★ 采用防火墙系统,将网络划分为内网、外网、DMZ区(中立区),内网与外网(Internet、分支机构、拨号网络等)隔离开,严格控制来自外网的用户对内网的访问;

★ 采用VLAN(虚拟局域网)技术,各个部门划分为独立的VLAN区域,各个VLAN之间原则上不能互相访问,需要访问的通过三层交换进行,可避免来自内部不同部门的破坏,提高安全性;

★ 在网络中安装相应的防病毒软件,防止病毒扩散,保护网络系统不受病毒的危害;

17

柳州市公园路小学东校园网设计方案

3.3.1 系统安全维护

针对系统中存在的诸多风险,应该采取相应的安全维护措施:

★ 及时安装操作系统和服务器软件的最新版本和修补程序。不断会有一些系统的漏洞被发现,

通常软件厂商会发布新的版本或补丁程序,以修补安全漏洞,保持使用的版本是最新的可以使安全的威胁最小;

★ 进行必要的安全配置,在系统配置中关闭存在安全隐患的、不需要的服务,比如:FTP,Telnet,

finger,login,shell,BOOTP,TFTP等等,这些协议都存在安全隐患。禁止某些r命令,比如:rlogin,rsh等;

★ 加强登录过程的身份认证,设置复杂、不易猜测的登录口令,严密保护帐号口令并经常变更,

防止非法用户轻易猜出口令,确保用户使用的合法性,限制未授权的用户对主机的访问; ★ 严格限制系统中关键文件(如UNIX下的/.rhost、etc/host、passwd、shadow、group等)

的使用许可权限;

★ 严格控制登录访问者的操作权限,将其完成的操作限制在最小的范围内;

★ 充分利用系统本身的日志功能,对用户的所有访问作记录,定期检查系统安全日志和系统状

态,以便及早发现系统中可能出现的非法入侵行为,为管理员的安全决策提供依据,为事后审查提供依据。

3.3.2 防火墙系统

柳州市公园路小学的网络系统中,在内网Internet出口处设置防火墙。

3.3.2.1 安全区域规划

防火墙系统分为内部网络区、管理区、DMZ区以及外部网络区域,共四个部分;每一部分构成一个不同性质的安全域。各区域定义如下:

内部网络区:内部局域网。

18

柳州市公园路小学东校园网设计方案

外部网络区:与Internet连接接口区域。

DMZ区:用于向外部提供服务的专用区域,其范围包括WEB服务器、邮件服务器等。 管理区:防火墙管理控制台区域。

3.3.2.2 安全策略部署

为更好的实现防火墙系统对各网络区域的保护,本方案防火墙安全策略部署如下: 禁止外部网络区访问除DMZ区域之外的其它区域;

仅允许外部网络区访问DMZ区域中向外提供的服务端口,禁止除此之外的其它端口的访问; 仅允许内部网络区访问DMZ区域中向外提供的服务端口,禁止除此之外的其它端口的访问; 允许内部网络区域访问外部网络区,但屏蔽对网络安全存在潜在威胁的网络端口,如一些计算机病毒常用端口;

禁止DMZ区域主动访问其它网络区域;

管理区设为一个独立区域,禁止管理区访问其它网络区域,同时也禁止其它区域访问管理区。

3.4 VLAN的划分

在柳州市公园路小学校园网中,可以制定各用户的安全级别,按各用户划分VLAN。VLAN技术的采用和具体划分及策略制定将在与柳州市公园路小学协商的基础上进行。

19

柳州市公园路小学东校园网设计方案

第4章 主要产品资料介绍

4.1 DCRS-6804L万兆路由交换机

DCRS-6800系列路由交换机为企业和电信网络提供了优秀的安全性、可靠性、业务多样性和扩展能力。DCRS-6800系列可作为中小型校园网、企业网的核心层设备或作为大型校园网、IP城域网的汇聚层设备,它们不仅能够降低用户构建下一代网络的复杂性,而且提供了很好的投资保护。

DCRS-6800系列路由交换机率先通过最为苛刻的国际IPv6 Ready第二阶段认证。借助芯片级的转发能力和多样化的业务支持,以及较高的性价比,DCRS-6800系列成为企业级网络和电信城域汇聚层部署IPv6的最佳解决方案的一部分。

DCRS-6804L提供了4个插槽,其管理模块均带有业务接口,是一种高性价比的组合:在配予专用电源模块之后,利用L型专用管理模块,DCRS-6804L则成为一台满足中小型网络核心需求的高性价比机箱交换机。

DCRS-6800系列交换机的管理模块、电源模块支持冗余备份和负载均衡,板卡、电源、风扇均支持热插拔,为DCRS-6800系列提供了电信运营商级的可靠性。

20

柳州市公园路小学东校园网设计方案

4.1.1 主要特性

? 基于ASIC的分布式硬件IPv6转发

DCRS-6804L系列支持基于ASIC的分布式硬件IPv6转发方式,可以在本地实现IPv6报文的处理,并可在接口模块内部及模块与背板间实现IPv6报文的线速转发,避免了集中式转发的瓶颈和时延问题,为IPv6真正走向大规模商用提供了有力保障。

同时,为了保护用户已有投资,DCRS-6800系列还提供ASIC代理技术,使得早期的IPv4模块也能够平滑迁移到IPv6。

? 运营商级的可靠性 为了满足苛刻的运营商级网络对设备可靠性的要求,DCRS-6800系列交换机对所有关键部件都采用了冗余备份的设计方案,并且可随时监控各个部件的工作温度并在出现温度异常时自动报警。

? 强大的ACL功能 支持标准和扩展ACL,支持IP ACL、基于IP子网的ACL、MAC ACL、IP-MAC ACL,支持基于源/目的IP、三层IP协议类型、TCP/UDP四层端口号、IP优先级、ToS,并且以上功能完全依靠硬件线速实现,不影响转发性能。

? 增强的安全特色 ? 全面的受控组播方案DCSCM,可以对源和目的进行安全控制,完整实现了在接入层网络中

应用了基于IGMP源端口和目的端口检查技术,可完全限制合法组播在网络中的稳定传输,有效控制组播建立的整个过程,保障了正常合法的组播应用的稳定运行。

? 支持ACL-X可基于时间段设置安全策略,安全设置随时间而动,在不同的时间段自动切换

为不同的策略;智能化流量控制,可基于ACL进行流量分类,更加精细和贴近业务分类。 ? “交换引擎CPU核心保护”:可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪; ? “关键协议绿色通道” 功能:可保障正常、合法、速度合理的关键控制报文(STP、MSTP、

RIP、OSFP、BGP、组播协议、双引擎板间心跳等)在大流量业务下不被淹没,快速处理不中断;

21

柳州市公园路小学东校园网设计方案

? 先进的LPM技术:可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病

毒等;

? 端口信任模式:则可检测非法DHCP Server等,只在信任端口才能接入这些设备,从而保

障网络的安全。

? 丰富灵活的QoS DCRS-6800系列交换机为每个端口提供了8个优先级队列,完全硬件实现,不影响性能。每端口8个队列,支持基于802.1p、ToS、端口、DiffServ进行流量分类。还可以根据ACL-X的80个字节高层内容进行流量分类,同时支持WRR、SP、SWRR等队列算法,还支持入口流量整形。为语音/数据/视频在同一网络中传输提供所要求的不同服务质量。

4.1.2 技术指标

项目 DCRS-6804L 插槽 4 10/100/1000BASE-T最多192个 1000Base-SX最多192个 端口 1000Base-LX最多192个 10/100BASE-T最多192个 万兆最多16个 背板带宽 交换容量 包转发速率 MAC表项 VLAN表项 640Gbps(可扩至1.2Tbps) 480Gbps 357Mpps,L2/L3全线速 64K 4K

22

柳州市公园路小学东校园网设计方案

二层协议规范 IEEE802.3(10Base-T)、 IEEE802.3u(100Base-TX)、 IEEE802.3z(1000BASE-X)、 IEEE802.3ab(1000Base-T)、 IEEE802.3ae(10GBase)、 IEEE802.3ak(10GBASE-CX4)、 IEEE802.1Q(VLAN)、 IEEEE802.1d(STP)、 IEEEE802.1W(RSTP)、 IEEEE802.1S(MSTP)、 IEEE802.1p(COS)、 IEEE802.1x(Port Control)、 IEEE802.3x(流控)、 IEEE802.3ad(LACP)、 Port Mirror、IGMP Snooping、 QinQ、GVRP,VLAN, PVLAN,广播风暴控制 整机最多支持4096个VLAN Static Routing、 RIPv1/V2、OSPFv2、BGP4等多种单播路由协议 支持LPM Routing、支持Policy-based Routing(PBR) VRRP、HSRP、 支持IGMP v1/2/3、DVMRP、PIM-DM、PIM-SM、PIM-SSM等。 ARP、ARP Proxy 支持 支持内嵌式防火墙、IDS、IPSce VPN、内容交换服务、网络分析等硬件模块 ICMPv6、ND、 RIPng、OSPFv3、BGP4+等单播路由协议、 PIM-SM/DM for IPv6, MLD for IPv6(v1),MLDv1/v2 6to4 Tunnels、configured Tunnels 、ISATAP等 完全硬件实现,不影响性能。 每端口8个队列。支持SP、WRR、SWRR等队列调度算法。 支持基于802.1p、ToS、端口、DiffServ进行流量分类 还可以根据支持采用ACL进行流量分类,根据分类结果设置COS, TOS, DSCP,根据ACL-X的80个字节高层内容进行流量分类, 支持SP、WRR、SWRR等,为语音/数据/视频在同一网络中传输提供所要求的不同服务质量 支持Traffic Shapping(流量整形)、 支持优先级Mark/Remark 完全硬件线速实现,不影响转发性能。 支持标准和扩展ACL, 支持IP ACL、基于IP子网的ACL、MAC ACL、IP-MAC ACL, 支持基于源/目的IP或MAC、三层IP协议类型、TCP/UDP四层端口号、IP优先级(DSCP、ToS、Precedence)、基于VLAN、Tag/Untag、CoS等 三层协议规范(v4) PoE 增强扩展 IPv6 QoS ACL

23

柳州市公园路小学东校园网设计方案

ACL-X 安全可控组播技术 DCSCM 支持基于时间自动改变安全策略。 ACL的深度内容可被用于QoS分类的标准,深度可达80字节。 支持组播信源控制,防止非法组播源 支持组播用户可控 支持策略组播 支持MAC+端口捆绑、IP+MAC+端口绑定、IP+端口绑定,支持MAC过滤, 支持端口限速(带宽管理) 支持广播风暴控制, 支持端口镜像(CPU端口镜像、进或者出单向/双向,一对一,多对一,跨板) 支持流控:HOL防头包阻塞,半双工背压,全双工IEEE802.3x 支持端口聚合 IEEE802.3ad(LACP),支持端到端GEC/FEC,每trunk可到8个端口,支持负载均衡。 支持Client、Relay 内置DHCP Server 支持IEEE 802.1x 支持RADIUS 支持,可大大降低功耗,显著提高设备散热性和稳定性 端口功能 DHCP 用户接入 AAA认证 低耗节能技术 支持CLI、支持Console,支持Telnet, 支持SNMPv1/v2/v3, 网络配置和管理基本支持MIB接口,支持Trap 功能 支持RMON 1,2,3,9四组 支持Security IP安全网管功能 网管SysLog 支持 支持Security IP功能:防止在非指定区域非法登陆配置 支持安全SNMPv3 支持SSH 支持TACACS+ 支持网络流量分析,支持RFC3176,可以实现基于协议或地址的流量监控和统计 配置管理安全 SFlow功能 异常监测和故障检查任务异常、内存异常、CPU利用率、堆栈异常、 功能 交换芯片异常、板卡温度异常等监测,并告警 集中网管软件 物理尺寸(宽深高) 相对湿度 运行温度 电源 功耗

采取神州数码网络LinkManager软件 统一管理 440mm×421mm×266mm 10%~90%无凝结 0°C~40°C 交流:输入200~240V,50~60 Hz; 直流:输入-36V~ -72V;输出12V/25A,5V/10A (此输出参数为每一模块的额定值); ≤300W

24

柳州市公园路小学东校园网络设计方案

小计 综合布线部分费用合计: ¥9,880.00 ¥89,750.00

柳州市公园路小学东校园网络设计方案

3、机房装修部分报价清单(可选)

序号 名称 型号/描述 防静电地板 1 2 防静电地板 静电地板安装费 小计 机房电气部分 3 4 5 6 7 8 9 10 11 12 13 14 15 配电箱 60A三相空气开关 20A单相空气开关 30A空气开关 照明切换继电器 电源插座 灯管 3位翘板开关 2.5平方电源线 4平方电源线 10平方电源线 其它辅助材 工程安装费 小计 德力西 德力西 德力西 德力西 德力西 曼科 松下 曼科 上海胜华 上海胜华 上海胜华(软线) PVC、胶布等 个 块 块 块 块 块 支 块 卷 卷 卷 项 项 1 1 9 1 1 8 6 1 1 2 1 1 1 红日600*600*35 平方 平方 30 30 单位 数量 单价 金额 备注

柳州市公园路小学东校园网络设计方案

机房空调 16 17 18 19 20 21 22 三匹挂式空调 B级三相电源防雷器 C级三相电源防雷器 30*3扁铜带 接地铜芯线及辅材 防雷工程安装费 防雷检测费 小计 合计: 格力 机房防雷部分 德国OBO V25-B/3+NPE 德国OBO V20-C/3+NPE 块 块 米 项 项 项 由防雷检测所收 台 1

本文来源:https://www.bwwdw.com/article/mmm5.html

Top