XXXXX实验学校网络方案精要.docVIP

XXXXXX学校 《网络设计方案》 2014年1月  目录 第1章 概述 3 第2章 系统建设需求 3 第3章 网络平台建设方案 4 3.1 网络设计原则 4 3.2 网络层次化设计 5 3.3 校园网络总体结构 6 3.3.1 核心层设计 7 3.3.2 数据中心设计 11 3.3.3 汇聚层设计 11 3.3.4 网络出口设计 14 3.3.5 接入层设计 17 3.4 网络安全性设计 21 3.4.1 重要安全区域隔离 21 3.4.2 出口带宽监管 22 3.4.3 网络安全保护 22 3.5 网络可靠性设计 24 3.5.1 物理设备和链路稳定性 25 网络结构的可靠性 25 设备级冗余性设计 25 链路冗余配置 26 3.5.2 数据链路层稳定性设计 26 网络部署MSTP 26 生成树边缘端口 27 DLDP技术运用 27 3.5.3 网络层稳定性设计 28 3.6 网络管理设计 28 3.6.1 资源管理 29 3.6.2 拓扑管理 30 3.6.3 故障（告警/事件）管理 31 3.6.4 性能管理 33 3.6.5 图形化设备管理 34 3.6.6 集中配置管理 34 3.7 用户管理系统 35 3.8 方案总结及优势说明 39 概述 XXXXXX学校位于经开区内，占地200亩，师资管理完全与实验学校接轨，办学规模4000人左右的12年制高品质、高规格中小学（含幼儿园）寄宿制学校P2P下载电影造成网络速度变慢，怎么解决 用户在BBS上发布违法帖子，违反信息安全规定 用户工作时间炒股、打游戏、聊天造成工作效率的下降，怎么解决 用户访问非法网站易感染病毒，如何控制 校园网络出口通过间部署一台SecPath ACG网关，通过在ACG应用控制网关，可精确识别BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用，可基于时间、用户、区域、应用协议，通过告警、限速、阻断等手段进行灵活控制，保证网速的正常和业务不被影响。 ACG采用先进的分析技术，能对网络多媒体、网络游戏、炒股等应用进行识别与控制，通过URL过滤、关键字过滤、内容过滤等多种访问控制策略，控制非法应用，过滤非法网站，规范用户上网行为，提高员工工作效率。 同时，ACG能够以下审计功能: WEB应用审计——URL；源、目的IP；访问时间等 应用审计——登录名；上传或下载文件名；源、目的IP；访问时间等 Email应用审计——POP3和SMTP收发邮件的邮件名、发件人、收件人等；不支持WEB Mail的审计 NAT日志审计——NAT前后的IP、端口号；时间等；需要与U200或F1000E等支持FLOW 3.0日志的设备配合 网络安全保护 对于校园网大型应用以太网交换机的系统，网络的安全特性非常重要，因以太网工作原理的限制，交换式网络容易造成MAC、IP等安全的攻击。对此，需通过交换机的安全特性加以防护。 本次选用的核心交换机、汇聚交换机和接入交换机具有丰富的安全特性，可以解决网络中存在的安全问题，详细参见下表： 攻击 类型 攻击行为 交换机安全防范特性 核心 交换机 汇聚交换机 接入 交换机 资源耗尽型攻击 MAC表攻击 端口MAC数限制 具有 具有 具有 禁止某个VLAN的MAC地址学习 ＋ 静态MAC表 具有 具有 具有 端口安全 具有 具有 具有 MAC + IP + 端口绑定,端口安全中的1个特性 具有 具有 具有 DHCP DOS攻击 DHCP Relay Option 82 具有 具有 具有 DHCP Snooping Option 82 具有 具有 具有 DHCP报文限速 具有 具有 具有 CPU恶意冲击 ARP限速 具有 具有 具有 防范攻击的其它特性 广播风暴抑制 具有 具有 具有 环路检测 具有 具有 具有 安全准入特性 具有 具有 具有 802.1x 具有 具有 具有 端口安全特性 具有 具有 具有 假冒伪装型攻击 ARP欺骗攻击 ARP入侵检测 具有 具有 具有 端口隔离 具有 具有 具有 Isolate-User-VLAN 具有 具有 具有 MAC/IP欺骗攻击 DHCP relay Security 具有 具有 具有 IP源地址保护 具有 具有 具有 DHCP服务器欺骗攻击 DHCP Snooping Trust 具有 具有 具有 根桥伪装攻击 STP根保护 具有 具有 具有 BPDU保护 具有 具有 具有 TCN攻击 TC-BPDU报文非立即处理机制 具有 具有 具有 路由源伪装攻击 OSPF/RIP路由MD5验证 具有 具有 二层，不具有 设备控制权