xx校园网络设计方案

xx校园网络设计方案内容摘要：

1，符合 amp。 PoE） 数量： 2 台。 Cisco Catalyst 6509 的优点 ： ? 最长的网 络正常运行时间 利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供 1～ 3 秒的状态故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。 ? 全面的网络安全性 将切实可行的数千兆位级思科安全解决方案集成到现有网络中，包括入侵检测、防火墙、 VPN 和 SSL。 ? 可扩展性能 利用分布式转发体系结构提供高达 400Mpps 的转发性能。 ? 能够适应未来发展并保护投资的体系结构 在同一种机箱中支持三代可互换、可热插拔的模块，以提高 IT 基础设施利用率，增大投资回报，并降低总体拥 有成本。 ? 卓越的服务集成和灵活性 将安全和内容等高级服务与融合网络集成在一起，提供从 10/100 和 10/100/1000 以太网到万兆以太网，从 DS0 到 OC48 的各种接口和密度，并能够在任何部署项目中端到端执行。 校园网络分布层设备采用 CISCO Catalyst 4507R（ Supervisor Engine V10GE*2/电源 *2/若干千兆以太网光口板及 GBIC/48 口千兆电口板 *1，符合amp。 PoE）数量： 7 台。 Cisco Catalyst 4506（ With Supervisor V10GE）的优点 是： ? 136Gbps 交换矩阵 ； ? 102mpps 第二层到第四层吞吐率 ； 11 ? 双线速万兆以太网上行链路 ； ? 利用千兆以太网 SFP 上行链路顺利移植到万兆以太网 ； ? 在交换管理引擎上提供集成式 NetFlow，通过基于用户的速率限制实施精确流量控制 ； ? 超快速 800MHz CPU 可实现更快的控制平面 ； ? 最多能够在 Catalyst 4510R 交换机中支持 384 个 10/100/1000 端口 ； ? 提供所有 Cisco Catalyst 集成式安全特性 ； ? 为提供更加灵活的策略，能够为每个 端口和 VLAN 实施不同的 QoS； ? 思科快速转发能够防止可变 IP 信息攻击。 ? 端口安全、 DHCP 侦听、 ARP 检测和 IP 源防护能够防止黑客从第二层及以上发动拒绝服务（ DoS）攻击或破坏网络。 ? 速率限制以出口和入口限速器的方式出现，可以控制每个 VLAN 的流量，防止 DoS攻击。 Supervisor Engine V10GE 支持基于用户的速率限制。 ? 及其扩展性能 防止非法用户和设备接入网络，例如恶意接入点。 ? 硬件 Netflow 可用 于主动发现网络流量异常，并采取相应措施。 它使用的访问控制列表 可在交换端口和路由端口上提供，以便进行 二到七层流量控制。 校园网络接入层设备采用 CISCO Catalyst 3560(EMI)交换机 ，该 系列交换机是一个固定配置、企业级、 IEEE 和思科预标准以太网供电 (PoE) 交换机系列，工作在快速以太网和千兆位以太网配置下。 CISCO Catalyst 3560 是一款理想的接入层交换机，适用于小型企业布线室或分支机构环境，结合了 10/100/1000 和 PoE 配置，实现最高生产率和投资保护，并可部署新应用，如 IP 电话、无线接入、视频监视、建筑 物管理系统和远程视频访问等。 客户可在整个网络范围中部署智能服务，如高级 QoS 、速率限制、访问控制列表、组播管理和高性能 IP 路由等，且同时保持传统 LAN 交换的简洁性。 思科网络助理 (work assistant)在 Catalyst 3560 系列中免费提供，是一个集中管理应用，可简化思科交换机、路由器和无线接入点的管理任务。 思科网络助理提供了配置向导，大大简化了融合网络和智能网络服务的实施； 支持增强的 (IBNS)。 12 网络安全设计 XX学院 网络安全性方案设计原则是：整个 XX学院 网络必须是一个严密的安全保密体系。 采取的安全措施不能影响整个网络运行效率。 保密设备要做到管理方便，完善可靠。 加密系统具有良好的网络兼容性和可扩展性，实现防窃取、防篡改、防破坏三大功能。 按照国家主管部门对政府办公网络安全保密性的相应法规和规定，要保障系统内部信息的安全，我们主要应该做到处理秘密级、机密级信息的系统与不涉及保密信息的系统实行物理隔离，秘密级、机密级信息在网络上采取加密传输。 防火墙是设置在内部网络与 Inter 之间的一个或一组系统，用以实施两个网络间的访问控制和安全策略。 狭义上防火墙指安装 了防火墙软件的主机或和路由系统；广义上还包括整个网络的安全策略和安全行为。 防火墙技术属于被动防卫型，它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的目的，其功能是按照设定的条件对通过的信息进行检查和过滤。 防火墙是实施组织的网络安全策略、保护内部信息的第一道屏障，其作用主要有：保护功能拒绝非授权访问、保护网络系统和私人及敏感信息不受侵害。 连接功能作为内部网络与 Inter 之间的单一连接点。 管理功能实施统一的安全策略，检查网络使用情况，进行流量控制等。 防火墙有三个属性：所有进出内部网的数据 包必须经过它；仅被本地安全策略所授权的数据包才能通过它；防火墙本身对攻击必须具有免疫能力。 在 XX学院和外网的连接中，我们推荐使用硬件防火墙。 比如 CISCO ASA5510BUNK9系列 ： ? 并发连接数 130000 ? 网络吞吐量 (Mbps) 300 ? 安全过滤带宽 170Mbps ? 网络端口 3+1个管理快速以太网端口、可升级到 5个快速以太网端口、 1个 SSM 扩展插槽 ? 用户数限制无用户数限制 ? 入侵检测 DoS ? 安全标准 UL 1950, CSA No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001 13 ? 控制端口 console ? 管理思科安全管理器 (CSManager) ? VPN支持 选择该型号是因为价格适中 ,且功能齐全 ,较适合本校园网建设。 在内部网络和外网之间之间通过防火墙，建立起一个 DMZ 区。 与外网关联业务的服务器都可以。