小型网络规划(2)

? VLAN 划分，可以避免广播风暴，在骨干网络中尤为突出，在多媒体、视频点播

等很容易引起广播信息；划分之后，VLAN 是广播只在子网中进行，不会做无意? 义的广播，消除了广播风暴产生的条件。 VLAN 划分，可以增加网络的安全性，在不同的VLAN之间不能随意通讯，只限

与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。

网络管理系统采用完全独立的IP子网和VLAN，实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系。

提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。

VLAN 间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在汇聚设

6 ? ? ?

备上实行，分流核心交换机的三层交换，优化了组网。

根据以往网络管理经验和骨干网络网络建设的实际情况，方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则，以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有：

1、方便管理。为了更好的进行VLAN规划的实施，因此在网络实施前期，要对网络中不同区域的VLAN设置进行详细的规划，细化到接入层网络，这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话，避免由于前期配置设备时复杂烦琐，而且由于相同的用户群体可能在不同的物理位置，导致造成整个校园网络中VLAN划分复杂，减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划，这样既可以减少广播域，又达到划分VLAN，方便管理的效果，对于后期网络维护和升级具有十分现实的意义。

2、易于实施。按群体划分VLAN在工程实施中就十分的方便，不会造成VLAN划分复杂失误而使得网络出现不通的现象，便于工程快速实施和网络中心整体规划。

3、VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问，对于学校重要网络资源，需要进行权限访问的时候，建议采用专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL）来进行访问权限设定，保障重要资料不被非法访问。

（六）网络安全设计

构建全程全网的访问控制体系是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。

1.接入安全

RG-S2924G是锐捷网络推出的全千兆安全智能接入交换机，在提供高性能、高带宽的同时，提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。

2.访问安全

锐捷RG-S6800E多业务万兆核心路由交换机支持802.1Q VLAN，可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术，可实现跨校区的VLAN功能。并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL，可以基于MAC、IP、TCP/UDP端口号进行流量控制，以有效的防范和控制网络蠕虫病毒（如冲击波）的传播和危害。

ACLs的全称为接入控制列表(Access Control Lists)，可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数据流通过交换机时对其进行分类过滤，并对从指定接口输入的数据流进行检查，根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。

锐捷RG-S6800E多业务万兆核心路由交换机支持以下几种类型的ACLs：

? IP ACLs用于过滤IP报文，包括TCP和UDP。

1. Standard IP access lists (标准IP接入控制列表)使用源IP地址作为匹配的

条件

2. Extended IP access lists(扩展IP接入控制列表)使用源IP地址、目的IP地

址及可选的协议类型信息作为匹配的条件

? Ethernet ACLs用于过滤二层数据流：

1. MAC Extended access lists(MAC扩展控制列表)使用源MAC地址、

目的MAC地址及可选的以太网类型作为匹配的条件

? Expert ACLS用于过滤二层和三层、二层和四层、二层和三层、四层数据流： Expert Extended access lists(专家扩展控制列表)使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。

对于不同访问权限的区域采用ACL访问控制来对不同访问资源进行权限控制。应用ACL可以有效的防范“冲击波”等蠕虫病毒；支持802.1X技术，满足6元素绑定接入限制；支持IGMP源端口检查及源IP检查，可有效控制非法组播源，提高网络安全；IGMP V3支持通告主机希望接收的多播源的地址，避免非法的组播数据流占用网络带宽；

通过PVLAN（保护端口）隔离用户之间信息互通，不必占用VLAN资源；提供SSH的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁；

Telnet/Web登录的源IP限制功能，避免非法人员对网络设备的管理；

SNMPV3提供加密和鉴别功能：确保数据从合法的数据源发出（引擎ID）；确保数据在传输过程中不被篡改（采用MD5和SHA认证协议）；加密报文，确保数据的机密性（采用DES56加密协议）。

（百度搜索：99建筑网,查看数百万资料
四、网络设备选择

（一）交换机的选择

RG-S6506是锐捷网络推出的万兆骨干路由交换机，拥有6个模块扩展槽，提供管理模块冗余，支持万兆、千兆和百兆模块线速转发，可以根据用户的需求灵活配置，构建弹性可扩展的现代IP网络。”

RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是小型网络核心和大型网络骨干交换机的理想选择。

参考报价：10.6万元。

参数：

（二）路由器的选择

锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网，速率高达OC- 48。部署在各种应用中，RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络，为用户提供综合的、高性能、功能强大的服务, 并提供高可用性网络所需的冗余支持。

参考价格：48万

参数：

（三）防火墙

思科PIX-525-UR-GE-BUN是一款面向企业的防火墙，同时也满足一些中小型的校园网络。这款硬件防火墙采用了IntelPentiumIII处理器，主频达到600MHZ，并且配备了256MB随机内存和16MB闪存，最大支持28万个并发连接数，具有370Mpps的网络数据吞吐量和100MB的安全过滤带宽，无用户限制数，整体性能比较强劲，非常适合于中小型校园网络。

这款硬件防火墙提供面向静态连接的自适应安全算法（ASA），可以实现包过滤，并且可以跟踪数据传输中的源地址和目的地址，TCP序列号，端口号和每个数据包附加的TCP标志，从而保证校园内部网络不会受到非法用户的攻击。思科PIX-525-UR-GE-BUN支持VPN功能，并且可以将校园网络中传输的数据进行加密，防止其他用户窃取。思科PIX-525-UR-GE-BUN提供了（）功能，可以节省IP地址资源，并且可将IP地址隐藏，防止外部网络获取，为校园内部提供了有力的保障。思科PIX-525-UR-GE-BUN具有防止拒绝攻击功能，防止校园网络内部计算机不受黑客的攻击。Applet过滤功能则可终止校园网内部用户使用Java所带的潜在危险。邮件保护功能和URL过滤功能让校园网用户基本上不会受到邮件攻击和不能访问非法站点。

思科PIX-525-UR-GE-BUN的操作也十分简单，只需要6条命令就能完成基本的，对于校园网来说，就十分的方便了。

参考价格： 5.6万

（四）服务器

联想万全T260 G3 S5606 2G/2*500SNR1

参考价格：1.29万