网络系统集成技术课程设计报告

安徽工业大学

网络系统集成技术课程设计报告

专业班级

姓 名

学 号

指导教师

成绩等级

二Ο一三年 12 月20日

课程名称：网络规划与网络集成 课程号码：07464911-0315-1

目录

1．校园网概述 ……………………………………………………………………3

１．１高校校园网现状与发展趋势 ……………………………………………3

１．２我校园网概述 ……………………………………………………………4

2．用户需求分析…………………………………………………………………… 4

2．１用户类型及业务需求分析……………………………………………… 4

3．网络性能需求分析……………………………………………………………… 5

３．１当前网络性能分析………………………………………………………5

３．２未来网络性能的提升空间………………………………………………5

３．３网络可靠性及保障机制 ………………………………………………6

4．网络方案设计 ……………………………………………………………………6

４．１网络架构分析……………………………………………………………6

４．２网络拓扑结构设计分析…………………………………………………7

４．３网络的可扩展性…………………………………………………………7

４．４校园网ＶＬＡＮ设计与实现……………………………………………8

４．５网络安全性………………………………………………………………9

４．６服务器布局………………………………………………………………10

４．７形成拓扑结构……………………………………………………………10

５．IP 地址划分及Nat 策略…………………………………………………………11

５．１ IP分配策略 …………………………………………………………11

５．２ Nat策略………………………………………………………………11

６．设备选择…………………………………………………………………………12

６．１交换机……………………………………………………………………12

６．２路由器……………………………………………………………………12

６．３服务器……………………………………………………………………12

６．４防火墙……………………………………………………………………13

６．５预算………………………………………………………………………13

一、校园网概述

1.1高校校园网现状和发展趋势

随着互联网的不断发展，网络已经融入到我们的生活和学习当中，高校校园网做为一个成功应用的实例，给学校的教学及管理带来了新的方式，成为学校教育活动的发展平台，因此也成为教学和管理中不可或缺的一部分。校园网的发展带着高等教育走进了一个新的时代。因此，搞好校园网络建设，对教学的改革及学习方法的改进十分重要，是教育现代化的重要内容。

校园网的现状 高校校园网的发展可分为三个阶段：第一个阶段是大部分学校没有网络设备阶段，我国已经基本渡过这个阶段，据不完全统计，我国现在大学校园网的覆盖率已经达到100%。第二个阶段是学校网络设备处于比较杂乱的阶段，我国现有高校的大部分校园网都处在这个阶段。第三个阶段是学校的校园网可以提供一个高效、安全的平台，为高校的教育事业发展提供良好的条件。这个阶段也是我们校园网发展的更高目标。

1.1.1 校园网是信息交流的平台 校园网是教育信息化、乃至教育现代化建设的重要内容，校园网在学校教育教学工作中其作用的发挥程度如何，反映出一所学校、一个地区的教育信息化水平。现在的校园网可以为师生提供教学、科研和综合信息服务的宽带多媒体网络，校园网内各计算机通过局域网进行连接，实现网络信息管理、资源共享和信息交流等，并能通过广域网实现校园内外和国内外的教育资源共享与交流等。

1.1.2 校园网是高等院校对外的主要窗口 高等院校的对外宣传是发展学校建设学校的一个重要手段，有再好的教学资源和师资力量但社会大众不了解，人们也不会认可和信赖这所学校的。现在社会各界了解学校几乎都是通过网络来完成的，网络中又以校园网为主，所以建设一个快速、稳定、方便的校园网是高等院校对外宣传的重要保障。

1.1.3 网络速度慢，稳定性差，制约了社会对学校的关注度 网络中经常会出现网络速度慢的情况，由于引起网络速慢的原因复杂多变，使得网络速度成了网络管理中最常见也最头疼的问题之一。因网络速度与硬件设施有着密切的关系，硬件的建设资金投入是比较大的，所以现在一些高校还没有充足的资金来建设硬件设施，保障不了通信线路的承载能力，网络的速度也跟不上。而且现在高校的网络设备的生产厂家和品牌五花八门，网络设备不能实现最优结合，也造成了校园网的稳定性差。速度慢，稳定性差，这两方面对于用户来说是非常忌讳的，没有人愿意花太多的时间去等待网页的打开，这也就导致了人们不得不放弃或用其它渠道来了解学校，这样严重影响了学校被关注的程度。

1.1.4 校园网的建设不能充分的为教学改革提供良好的帮助

很多学校在校园网的建设的同时，对于多媒体教学的资金投入也很多。但是在使用这两个先进的教学手段的时候却是各行其政，并没有在必要的时候将两种技术结合起来以带来更大的教学效果的发挥。校园网的普及给教育教学增添了便利和新的手段。但它并没有把师生之间的传统关系信息化，只是单纯的把老师的工作简单化、方便化，但并没有对学生的学习方式产生必要的影响。

1.2 我校校园网概述

根据我校的实际情况，我们的校园网络划分层次相对明确，布局合理。上网身份分为本科生、研究生、教职工、居民（教师住宅区），计费策略灵活，每天晚上11点左右断网（周五周六延迟30分钟），对学生非常优惠，各个楼宇有楼层和楼宇交换机，保障了上网的可靠性和安全性。基本能够满足学生、教师及家属的日常需求。网络的易扩展性也是显而易见的，对于新建的宿舍楼层能够做到每人一个接口，很方便的连到校园网和外网，上网方式采用拨号上网，非常方便。另外校园网具备常用的服务器如邮件服务器、DNS 服务器、FTP 服务器等等，校内网有不少资源可供学生、教师下载，因为是校内资源，所以下载非常方便。针对不同学院、不同部门都有各自专属的主页，教务处理非常方便。

另外我校是一所具有前瞻性的高等学校，正在建立起自己的IPv6网站，随着IPv4地址越来越匮乏以及未来我们对IP 地址的需求，发展IPv6是非常正确和明智的，我们是一所跟得上时代的高校，学校正在这方面努力建设、完善我们的校园网络。

虽然我们的校园网目前已经比较成熟，能够长期稳定的运行，但是从生活中老师和同学们的反映来看，我们的校园网速度仍然是比较慢的，在上网的高峰期如节假日、晚上网速明显变慢，加载网页都略显卡顿，这不仅影响学生和老师的上网体验，另外也为我们的学习办公带来了一定的不变，所以希望学校能够在这方面建设的更好。

二、用户需求分析

２. １用户类型及需求分析

学校网的建设要比园区网建设更复杂一些，因为学校上网的用户人群更广，有本科生、研究生、教职工可能还包括家属。针对不同的用户群体，用户需求不一样，自然带宽的分配，计费策略都是有差别的，本科生作为需求的最低层次，只要能满足日常需要即可，比如浏览网页、收发邮件、聊天、在线看视频听音乐等等，另外本科生还处于学生阶段，所以上网的费用不能太高，本科生的主要任务是学习，当然上网查资料是大家经常用到的，所以要对本科生限制上网的时间段，但是又不能太过于影响使用，所以采用晚上11点以后至第二天6点之间断网是非常合理的。

比本科生层次相对高一层次的是研究生，因为研究生学习的更深入一些，他们需要查询的资料可能大部分情况下是比本科生多的，另外他们研究的问题也比我们更深入，所以对他们的限制要相对第一些，比如全天侯不断网不断电。最后是教师及家属区，因为家属区平时在线看视频、电视等，时间比学生宽松的多，他们对娱乐性要求更高一些，相应的带宽分配自然更高一些，当然费用要相应的比学生和研究生高得多。当前上网的用户计费策略技术是很成熟的，所以这个很容易实现。

三、网络性能分析

3.1、当前网络性能

根据我从大一到大三的上网体验，总体上我们的网络性能是逐渐提升和改善的。大一的时候首先网速比较慢，以前的旧宿舍连校园网都没接通。网络覆盖率比较低，现在旧的宿舍逐渐淘汰，另外新的宿舍不仅住宿环境好而且每个人都有自己电脑桌。最初的时候网速大概只有50到100KB/S，我们只能浏览一下网页，看看新闻等等，而且一到选课期间，服务器爆满，学校教务管理网站根本无法登录。经过两年的改善网络性能已大幅度提高，带宽增加了，一般情况下的网速可以达到120到200KB/S，在比较的空闲的时刻可以达到400到600KB/S甚至1M 以上，在线看视频，下载一般大小的资料不再成为难题。网络基本上稳定出现突然断网的情形大大减少，虽然学校正在不断的改善网络性能，但是特殊情况下仍然不太理想，比如大家集体选课时由于同时访问服务器的人数过多导致访问服务器的速度变慢甚至无法访问的情况依然存在。在12月初曾经有一次DHCP 服务器因为用户数过度导致瘫痪的经历也足以给我们的网络管理人员一个警醒，所以在我们的校园网建设上仍需努力。

3.2、未来网络性能的提升空间

现代社会的Internet 发展速度是惊人的，在短短的几十年里我们的IPv4地址已几乎耗尽，但是随着信息技术及物联网的快速发展我们对IP 地址的需求量仍然在增加，而且需求量大，所以一方面我们要依靠现有技术解决IP 地址不足的问题，另一方面我们也要同时跟进新的IPv6技术。现有的IP 地址不足的问题我们校园网采用的策略是Nat 地址转换技术，这对于我们一个只有2-3万人的学校来说还不是大问题。现在我们所采用的设备要求要能兼容未来的技术或协议，这样当新技术成熟并普遍应用之后我们的校园网的升级的工作量和成本将会大大降低，不必再重新购置设备，这不仅浪费大量人力物力而且影响用户使用，工作效率会突然变得很低势必会对学校的工作造成一定的影响，所以我们在设计现有网络时一定要考虑到设备的升级，能不能向更高层次的协议或技术提供支持。面对将来更加的庞大的用户群体，服务器是不是能够依然保持长期稳定的运行，设备的工作效率是不是会降低很

多，网络延时是不是非常大。这些问题的考虑对校园网的设计是很重要的。

3.3、网络可靠性及保障机制

上面我们说过，学校在之前曾发生过DHCP 服务器瘫痪的事情，事情发生的非常偶然，索性没有给我们带来什么损失。但是这绝对是一个让人警醒的信号，假如当时有几台主机正在处理转账交易、工资分发、正在传送重要文件或数据时或涉及金钱交易等方面的操作时，如果突然断网或者网络无法访问无论对于个人还是学校都是不应该忽视的。正因为网络的快速发展，所以我们对计算机，对网络的依赖性也越来越高，这就要求我们的网络可靠性要越来越高才能满足我们的要求。根据当前我们的需求以及当前现状和曾经出现过的偶然事件，我们在购买服务器、交换机、路由器等设备时一定要保证质量并对用户数量作出准确的预估，为了能够保证网络时代的时时畅通，可以考虑每个服务器都有一个备份，和主服务器同时工作，两个服务器同时工作的好处是不仅系统的稳定性更好，而且一个服务器可以缓解另一个 服务器的访问压力，提高工作效率，尤其在用户量比较多的时候更加明显。

网络的可靠性不仅仅局限于网络的性能可靠稳定，网络的安全性也是非常重要的，在信息高度发达的现代社会，没有连接到互联网的电脑几乎就是一堆废铁，但是连接到互联网的每一台电脑都存在潜在的安全性，都有被攻击的可能，被攻击的对象可以是一台电脑，多台电脑，企业的内网，政府网等等。所以不仅要在校内网的性能方面做好工作，保证访问互联网的安全性也是非常重要的。最基本的就是安装防火墙，机器不是万能的，所以真正的安全仍然离不开网络管理人员的定期检查和维护，查看系统日志等等。

使用校园网接入外网的每一个用户都应该有维护网络安全的责任，首先不浏览不健康、非法网站，不从事网络非法操作，不能破坏网络设施，不能攻击局域网或者远程服务器。

四、网络方案设计

4．１网络架构分析

我校虽然在计算机领域没有走在技术前沿，作为高等院校的领头羊，但是我校是一个正在崛起的安徽省重点建设高校，不仅省教育厅比较重视，我们学校在十八大之后更是表现出了自强不息，科技创新的精神。在高等院校校园网建设这一块投入了不少精力和物力，最近半年来校园网各个部门及主页的变化可见学校对网络建设的重视。不仅正在加快建设IPv6站点，在这些看的见的背后所做的努力是不可忽视的，我们的校园网采用的是三层网络结构，层次明了，便于网络监控和安全控制，各学生宿舍、家属区、各部门等组成最底层的接入层，学生宿舍的集合、整个家属区、各个校级部门的集合组成第二层的汇聚层，最后由汇聚层接入校园网的核心层。

从传统的二层交换技术的网络架构调整到三层交换技术的网络架构，网络的优化效果明显，配之以网管软件，网络的安全性和可防护性大为提高。通过合理配置核心交换机，充分发挥了核心交换机的硬件性能，调整核心交换机在带宽、网络

流量处理能力位置结构，具备良好的扩展性，根据各学院、各校级部门、家属区、实验楼及图书馆按需求划分VLAN ，控制广播范围，抑制广播风暴，提高了局域网的整体性能和安全性。整个网络可靠性得到加强，核心交换机采用双机热备份、负载平衡方式，即两台核心交换机正常情况下都参与工作，当其中的任何一台发生故障时，另外一台可以自动、无缝地接管它的工作，这对网络管理员、用户来说都是透明的，无需人工干预故障切换。提高网络对突发事故的自动容错能力，最小化网络的失效时间。而网络的扩展能力满足了高等院校校园网今后一段时间内对网络发展的需求，支持了高等院校校园网在今后拓展与网络变迁的需求。

所以根据我校实际情况，总体采用星型网络拓扑结构, 分为核心, 汇聚和接入三层. 主干采用千兆以太网接入. 核心层。一个中心交换机做核心。汇聚层的主交换机与核心交换机链接。全校所有上网计算机均通过各个楼栋交换机与该区域的汇聚层主交换机链接, 区域汇聚层主交换机连到核心交换机, 再通过路由与Internet 连接。 学校里分三个区：本部、东区、东区生活区。东区主要有办公区、教师公寓、图书馆、校级部门等；东区生活区主要有学生公寓、餐厅等。根据这些区分出教学子网, 办公子网, 图书馆子网, 宿舍区子网和后勤子网。根据学校的建筑物的分布，把校园网的主节点放置在图书馆的网络中心，所以以图书信息楼为核心，主干为千兆以太网向其他大楼辐射，建筑物之间使用多模光纤连接。同时，各建筑物都（五至七层为主），所以每幢建筑只需要一个路由器。

4．２网络拓扑结构设计分析

网络中的所有设备都必须用上，且必须尽可能地保障负载均衡，无性能瓶颈。各学生公寓的核心交换机用一条光纤以总线型网络类型连接在一起，为各楼用户问访问提 供1 0Mbps的网络连接。核心交换机通过两个双绞线千兆位端口，采用链路聚合技术与会聚交换机连接，提供最高可达2000Mbps 的连接性能。核心交换机和会聚交换机都要留有可扩展端口。结构图中可清晰地知道各主要设备所连端口类型和传输介质类型。

4．３网络的可扩展性

安徽工业大学作为安徽省重点建设的省属大学，虽然在计算机科学领域起步较晚不占优势，但是毫无疑问的是我们的学校正在追赶时代的步伐，我们学校计算机科学方面的进步是显而易见的，而且我校正在研究IPv6技术，建设IPv6校园网站。信息时代科技的进步、设备的更新换代速度非常快，所以如果我们的校园网络设计、使用的设备都应该可以扩展将来的新技术及更多的设备。同时在规划网络时应该综合考虑学校的建设和规划情况，网络无论多么发达都需要有物理设备支撑，目前我们还做不到无线网满足全校需求的地步，所以在设计网络时同时要考虑施工的难易程度，使之更加合理。

4．４校园网VLAN 的设计与实现

4.4.1 VLAN 技术介绍

在传统的局域网中, 各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。为了解决发生在网络第二层的信道冲突和发生在网络第三层的广播风暴问题, 网桥和路由器被广泛应用于局域网中。由网桥连接的网络属于同一逻辑子网, 逻辑子网是指该网络中的网络站点具有相同的网络层地址, 例如具有 相同的 I P 网络号或 者I P X 网号。由路由 器将不 同逻 辑子网 连接在 一起, 逻辑子网间的通信必须经路由器进行。在这种网络结构中, 通常一个 I P 子网或者 I P X子网属于一个广播域, 因此网络中的广播域是根据物理网络来划分的。这样的网络结构无论从效率和安全性角度来考虑都有所欠缺。同时, 由于网络中的站点被束缚在所处的物理网络中, 而不能够根据需要将其划分至相应的逻辑子网, 因此网络的结构缺乏灵活性。例如分属于不同的集线器的站点不能属于同一个逻辑子网。为解决这一问题, 从而引发了虚拟局域网( VL A N ) 的概念。V LA N 是英文 V i r tua lLo c al Ar ea Ne t wor k 的缩写, 所谓 VL A N 是指网络中的站点不拘泥于所处的物理位置, 而可以根据需要灵活地加入不同的逻辑子网中共享一个广播域的一种网络技术。一方面, VL AN 建立在局域网交换机( 例如以太网交换机、 A T M 交换机等) 的基础之上; 另一方面, VL A N 是局域网交换机的灵魂。

V LA N 与普通局域网从原理上讲没有多大区别。但从用户使用和网络管理的角度, VL AN 与普通局域网最基本的差异体现在: V L AN 并不局限于某一网络或物理范围, VL AN 用户可以是位于城市内的不同区域, 甚至位于不同的国家。总体来讲,VL AN 具有以下优点: 增加了网络连接的灵活性。网络管理员对网络上工作站可以按业务功能, 而不必按地理位置分组。V LA N 可以降低移动或变更工作站地理位置的管理费用, 特别是一些业务情况有经常性变动的公司使用了VL AN 后, 这部分管理费用大大降低。

控制网络上的广播风暴。随着网络向交换结构转变, 人们失去了路由器提供防火墙功能。这样, 广播风暴将发送到每一个交换端口, 这就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量。缺点是增加了整个交换网络的广播风暴。 VL AN 可以提供建立防火墙的机制, 防止交换网络的过量广播风暴。使用V L AN, 可 以将某个交换端口或用户赋于某一个特定的V L AN 组, 该VL A N组可以在一个交换网中或跨接多个交换机, 在一个VL AN 中的广播风暴不会送到 VL A N 之外。同样, 相邻的端口不会收到其他 V LA N 产生的广播风暴。这样, 可以减少广播流量, 释放带宽给用户应用, 减少广播风暴的产生。

增加网络的安全性。人们在局域网上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组, 网络管理员限制了VL AN 中用户的数量, 禁止未经允许而访问VL AN 中的应用。交换端口可以基于应用类型和访问特权来进行分组, 被限制的应用程序和资源一般置于安全性 V LA N 中。VL A N 之所以能确保网络的安全性, 是 VL A N 能限制个别用户的访问, 控制广播组的大小和位置, 甚至能锁定 某台设备 的 M AC 地址。

增加了集中化的管理控制。通过集中化的VL AN 管理程序, 网络管理员可以确定VL A N 组, 分配特定用户和交换端口给这些 VL A N 组, 设置安全性等级, 限制广播域的大小, 通过冗余链路负载分担网络流量, 跨越交换机配置V L AN 通信, 监控交通流量和 VL A N 使用的网络带宽。这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能, 减少 了管理的费用。VL AN 技术仍在发展中, 有关它的 一些技术标准需进一步制订和完善, 预计它的应用在未来的数年内将会得到极大的发展。

4.4.2 校园网为什么要使用VLAN 技术

高等院校的机构总是很复杂的，当然我们可以不作任何处理，学校内的所有计算机都通过交换机路由器等连到校园网，这样做不是不行，只是这样会给网络的管理带来相当大的麻烦，而且所有计算机作为一个群体使得用户数据库非常混乱，而且不同的群体计费策略，带宽分配都不同所以这样做会带来极大的工作量并使管理变得相当困难，而且一旦网络遭到入侵，会危及所有计算机。

所以利用VLAN 的优势，可以把不同的用户群体隔开来，分而治之，这会容易的多，不仅管理简单了不少，因为不同的用户群体之间相互隔开，满足不同群体的需求更加容易，而且VLAN 的实现并不难。

4.4.3 VLAN 的划分与实现技术 这里因为是个人设计的校园网络，受限于个人的能力、知识及精力，所以对校园网作了简化处理，在设计VLAN 时仅考虑10个不同的学院。VLAN 的实现有三种方式：1，交换机端口方式，即设置不同的VLAN 编号，交换机根据编号转发相应的分组。2，基于MAC 地址的VLAN ，这种方式的VLAN ，要求交换机对站点的MAC 地址和交换端口进行跟踪，在新站点入网时，根据需要将其划归至某一个VLAN 。3，基于路由的VLAN ，路由协议工作在7层协议的第三层：网络层，即基于IP 和IPX 协议的转发，它是利用网络层的业务属性来自动生成VLAN 。IP 子网1为第一个VLAN ，IP 子网2为第二个VLAN ，IPX 子网1为第三个VLAN ……依次类推。这里我们校园网设计时使用的是第三种实现方式及基于路由的VLAN 。IP 的划分如下图：

4．５网络安全性

虽然高等院校不像银行企业那样需要投入大量的资金组建防护系统，而且正常情况下受到攻击的可能性也非常小，但是在互联网时代，因为互联网的及时性和互联性非常强，所以一旦有病毒在网络上传播，速度之快、范围之广是任何其它疾病所无法相比的。即使这些病毒、木马没有恶意至少会拖慢机器的运行速度，降低工作效率，严重的还会损坏我们的数据，这对于一个复杂的校园网络来说，造成不必要的麻烦和损失也是我们不希望的，所以必要的安全措施还是需要的。网络的安全最常用的就是防火墙，因为防火墙的需求量少，且比较重要，所以防火墙应该考虑购买功能比较强大一点的，有备无患。

4．６服务器布局

常用的服务器有邮件服务器、DNS 服务器、DHCP 服务器、FTP 服务器、万维网服务器等，因为服务器需要长期稳定不间断的工作，并且访问量可能时多时少，要根据实际情况选择，另外，为了使系统更加稳定，高峰期不至于网络拥塞或太大的延迟可以考虑每个服务器都配备备用服务器与主服务器并行工作。

4．７形成拓扑结构

五、IP 地址划分及Nat 策略

5.1 IP 地址分配策略

5.2 NAT 策略

六、设备选择

6.1交换机

三层交换机 12500/台 型号 S5700-52C-SI

主要技术参数：

固定接口：48*10/100/1000Base-T

MAC 地址表：支持32K MAC地址容量

支持静态、动态、黑洞MAC 表项

支持源MAC 地址过滤

LAN ： 支持4K 个VLAN

支持基于MAC/协议/IP 子网/策略/端口的VLAN

IP 路由： 静态路由、RIP V1/2、RIPng 、ECMP 、路由策略

二层交换机 1200 元 型号 S1700-24

主要技术参数：

固定端口： 24个10/100M接口

可选端口： 无

MAC 地址表： 8K MAC

交换机数量根据需要及资金合理采购，由网络规划人员和财务人员共同协商

6.2路由器

主干网路由器：

厂商：华为 型号：NE40E-X16

主要技术参数：

交换容量：12.58Tbps 转发性能：3200Mpps

槽位数：22, （16个业务线路板槽位，2个主控板槽位，4个交换网板）

接入级路由器：

主要技术参数：

型号： 华为AR2220

转发性能 1Mpps

带业务转发性能：400Mbps

整机交换容量： 32Gbps

主干网路由器与接入级路由器数量根据需要及资金合理采购

6.3服务器

服务器因为设备比较重要，我们接触的不多，对服务器的选取没有太多经验，所以服务器的选取由网络规划人员自行选择。

6.4防火墙

主要技术参数 防火墙型号： USG9520 最多能支持的用户数： 不限 扩展槽位： 3（SPU+LPU） 主控槽位： 2 SPU 选项： 2 CPU板卡/4 CPU板卡 接口模块类型： 以太网接口：12*1G（SFP/RJ45），1*10GE（XFP ），2*10GE （XFP ），POS ：1*10G（XFP ） 基本特性： 支持应用层协议识别、应用层包过滤（ASPF ）、访问控制、 状态合法性检测、地址转换、黑白名单、虚拟防火墙、安全域划分 IPS 入侵防御系统： 支持蠕虫、0Day 攻击、特洛伊木马、恶意软件等攻击防护 IPsec VPN： 手动密钥、PKI(X.509)、IKEv2、冗VPN 网关、EAP 认证 DDoS 攻击防护： 支持包括应用层在内的的多种DoS 和DDoS 攻击防范：SYN Flood 、ICMP Flood、UDP Flood、 DNS Query Flood、 DNS 缓存投毒攻击、DNS 反射攻击、Connection Flood、HTTP Flood、HTTPS Flood等 由特性 IPv4：静态路由、RIP 、OSPF 、BGP 、IS-IS IPv6：RIPng 、OSPFv3、BGP4+、IPv6 IS-IS

6.5预算

上面给出的价格为参考价格，实际购买时根据地区不同，价格有所差异，而且由于主干路由器、服务器及防火墙比较昂贵，所以这里预算由网络规划人员确定所需设备后自行评估。

安徽工业大学

网络系统集成技术课程设计报告

专业班级

姓 名

学 号

指导教师

成绩等级

二Ο一三年 12 月20日

课程名称：网络规划与网络集成 课程号码：07464911-0315-1

目录

1．校园网概述 ……………………………………………………………………3

１．１高校校园网现状与发展趋势 ……………………………………………3

１．２我校园网概述 ……………………………………………………………4

2．用户需求分析…………………………………………………………………… 4

2．１用户类型及业务需求分析……………………………………………… 4

3．网络性能需求分析……………………………………………………………… 5

３．１当前网络性能分析………………………………………………………5

３．２未来网络性能的提升空间………………………………………………5

３．３网络可靠性及保障机制 ………………………………………………6

4．网络方案设计 ……………………………………………………………………6

４．１网络架构分析……………………………………………………………6

４．２网络拓扑结构设计分析…………………………………………………7

４．３网络的可扩展性…………………………………………………………7

４．４校园网ＶＬＡＮ设计与实现……………………………………………8

４．５网络安全性………………………………………………………………9

４．６服务器布局………………………………………………………………10

４．７形成拓扑结构……………………………………………………………10

５．IP 地址划分及Nat 策略…………………………………………………………11

５．１ IP分配策略 …………………………………………………………11

５．２ Nat策略………………………………………………………………11

６．设备选择…………………………………………………………………………12

６．１交换机……………………………………………………………………12

６．２路由器……………………………………………………………………12

６．３服务器……………………………………………………………………12

６．４防火墙……………………………………………………………………13

６．５预算………………………………………………………………………13

一、校园网概述

1.1高校校园网现状和发展趋势

随着互联网的不断发展，网络已经融入到我们的生活和学习当中，高校校园网做为一个成功应用的实例，给学校的教学及管理带来了新的方式，成为学校教育活动的发展平台，因此也成为教学和管理中不可或缺的一部分。校园网的发展带着高等教育走进了一个新的时代。因此，搞好校园网络建设，对教学的改革及学习方法的改进十分重要，是教育现代化的重要内容。

校园网的现状 高校校园网的发展可分为三个阶段：第一个阶段是大部分学校没有网络设备阶段，我国已经基本渡过这个阶段，据不完全统计，我国现在大学校园网的覆盖率已经达到100%。第二个阶段是学校网络设备处于比较杂乱的阶段，我国现有高校的大部分校园网都处在这个阶段。第三个阶段是学校的校园网可以提供一个高效、安全的平台，为高校的教育事业发展提供良好的条件。这个阶段也是我们校园网发展的更高目标。

1.1.1 校园网是信息交流的平台 校园网是教育信息化、乃至教育现代化建设的重要内容，校园网在学校教育教学工作中其作用的发挥程度如何，反映出一所学校、一个地区的教育信息化水平。现在的校园网可以为师生提供教学、科研和综合信息服务的宽带多媒体网络，校园网内各计算机通过局域网进行连接，实现网络信息管理、资源共享和信息交流等，并能通过广域网实现校园内外和国内外的教育资源共享与交流等。

1.1.2 校园网是高等院校对外的主要窗口 高等院校的对外宣传是发展学校建设学校的一个重要手段，有再好的教学资源和师资力量但社会大众不了解，人们也不会认可和信赖这所学校的。现在社会各界了解学校几乎都是通过网络来完成的，网络中又以校园网为主，所以建设一个快速、稳定、方便的校园网是高等院校对外宣传的重要保障。

1.1.3 网络速度慢，稳定性差，制约了社会对学校的关注度 网络中经常会出现网络速度慢的情况，由于引起网络速慢的原因复杂多变，使得网络速度成了网络管理中最常见也最头疼的问题之一。因网络速度与硬件设施有着密切的关系，硬件的建设资金投入是比较大的，所以现在一些高校还没有充足的资金来建设硬件设施，保障不了通信线路的承载能力，网络的速度也跟不上。而且现在高校的网络设备的生产厂家和品牌五花八门，网络设备不能实现最优结合，也造成了校园网的稳定性差。速度慢，稳定性差，这两方面对于用户来说是非常忌讳的，没有人愿意花太多的时间去等待网页的打开，这也就导致了人们不得不放弃或用其它渠道来了解学校，这样严重影响了学校被关注的程度。

1.1.4 校园网的建设不能充分的为教学改革提供良好的帮助

很多学校在校园网的建设的同时，对于多媒体教学的资金投入也很多。但是在使用这两个先进的教学手段的时候却是各行其政，并没有在必要的时候将两种技术结合起来以带来更大的教学效果的发挥。校园网的普及给教育教学增添了便利和新的手段。但它并没有把师生之间的传统关系信息化，只是单纯的把老师的工作简单化、方便化，但并没有对学生的学习方式产生必要的影响。

1.2 我校校园网概述

根据我校的实际情况，我们的校园网络划分层次相对明确，布局合理。上网身份分为本科生、研究生、教职工、居民（教师住宅区），计费策略灵活，每天晚上11点左右断网（周五周六延迟30分钟），对学生非常优惠，各个楼宇有楼层和楼宇交换机，保障了上网的可靠性和安全性。基本能够满足学生、教师及家属的日常需求。网络的易扩展性也是显而易见的，对于新建的宿舍楼层能够做到每人一个接口，很方便的连到校园网和外网，上网方式采用拨号上网，非常方便。另外校园网具备常用的服务器如邮件服务器、DNS 服务器、FTP 服务器等等，校内网有不少资源可供学生、教师下载，因为是校内资源，所以下载非常方便。针对不同学院、不同部门都有各自专属的主页，教务处理非常方便。

另外我校是一所具有前瞻性的高等学校，正在建立起自己的IPv6网站，随着IPv4地址越来越匮乏以及未来我们对IP 地址的需求，发展IPv6是非常正确和明智的，我们是一所跟得上时代的高校，学校正在这方面努力建设、完善我们的校园网络。

虽然我们的校园网目前已经比较成熟，能够长期稳定的运行，但是从生活中老师和同学们的反映来看，我们的校园网速度仍然是比较慢的，在上网的高峰期如节假日、晚上网速明显变慢，加载网页都略显卡顿，这不仅影响学生和老师的上网体验，另外也为我们的学习办公带来了一定的不变，所以希望学校能够在这方面建设的更好。

二、用户需求分析

２. １用户类型及需求分析

学校网的建设要比园区网建设更复杂一些，因为学校上网的用户人群更广，有本科生、研究生、教职工可能还包括家属。针对不同的用户群体，用户需求不一样，自然带宽的分配，计费策略都是有差别的，本科生作为需求的最低层次，只要能满足日常需要即可，比如浏览网页、收发邮件、聊天、在线看视频听音乐等等，另外本科生还处于学生阶段，所以上网的费用不能太高，本科生的主要任务是学习，当然上网查资料是大家经常用到的，所以要对本科生限制上网的时间段，但是又不能太过于影响使用，所以采用晚上11点以后至第二天6点之间断网是非常合理的。

比本科生层次相对高一层次的是研究生，因为研究生学习的更深入一些，他们需要查询的资料可能大部分情况下是比本科生多的，另外他们研究的问题也比我们更深入，所以对他们的限制要相对第一些，比如全天侯不断网不断电。最后是教师及家属区，因为家属区平时在线看视频、电视等，时间比学生宽松的多，他们对娱乐性要求更高一些，相应的带宽分配自然更高一些，当然费用要相应的比学生和研究生高得多。当前上网的用户计费策略技术是很成熟的，所以这个很容易实现。

三、网络性能分析

3.1、当前网络性能

根据我从大一到大三的上网体验，总体上我们的网络性能是逐渐提升和改善的。大一的时候首先网速比较慢，以前的旧宿舍连校园网都没接通。网络覆盖率比较低，现在旧的宿舍逐渐淘汰，另外新的宿舍不仅住宿环境好而且每个人都有自己电脑桌。最初的时候网速大概只有50到100KB/S，我们只能浏览一下网页，看看新闻等等，而且一到选课期间，服务器爆满，学校教务管理网站根本无法登录。经过两年的改善网络性能已大幅度提高，带宽增加了，一般情况下的网速可以达到120到200KB/S，在比较的空闲的时刻可以达到400到600KB/S甚至1M 以上，在线看视频，下载一般大小的资料不再成为难题。网络基本上稳定出现突然断网的情形大大减少，虽然学校正在不断的改善网络性能，但是特殊情况下仍然不太理想，比如大家集体选课时由于同时访问服务器的人数过多导致访问服务器的速度变慢甚至无法访问的情况依然存在。在12月初曾经有一次DHCP 服务器因为用户数过度导致瘫痪的经历也足以给我们的网络管理人员一个警醒，所以在我们的校园网建设上仍需努力。

3.2、未来网络性能的提升空间

现代社会的Internet 发展速度是惊人的，在短短的几十年里我们的IPv4地址已几乎耗尽，但是随着信息技术及物联网的快速发展我们对IP 地址的需求量仍然在增加，而且需求量大，所以一方面我们要依靠现有技术解决IP 地址不足的问题，另一方面我们也要同时跟进新的IPv6技术。现有的IP 地址不足的问题我们校园网采用的策略是Nat 地址转换技术，这对于我们一个只有2-3万人的学校来说还不是大问题。现在我们所采用的设备要求要能兼容未来的技术或协议，这样当新技术成熟并普遍应用之后我们的校园网的升级的工作量和成本将会大大降低，不必再重新购置设备，这不仅浪费大量人力物力而且影响用户使用，工作效率会突然变得很低势必会对学校的工作造成一定的影响，所以我们在设计现有网络时一定要考虑到设备的升级，能不能向更高层次的协议或技术提供支持。面对将来更加的庞大的用户群体，服务器是不是能够依然保持长期稳定的运行，设备的工作效率是不是会降低很

多，网络延时是不是非常大。这些问题的考虑对校园网的设计是很重要的。

3.3、网络可靠性及保障机制

上面我们说过，学校在之前曾发生过DHCP 服务器瘫痪的事情，事情发生的非常偶然，索性没有给我们带来什么损失。但是这绝对是一个让人警醒的信号，假如当时有几台主机正在处理转账交易、工资分发、正在传送重要文件或数据时或涉及金钱交易等方面的操作时，如果突然断网或者网络无法访问无论对于个人还是学校都是不应该忽视的。正因为网络的快速发展，所以我们对计算机，对网络的依赖性也越来越高，这就要求我们的网络可靠性要越来越高才能满足我们的要求。根据当前我们的需求以及当前现状和曾经出现过的偶然事件，我们在购买服务器、交换机、路由器等设备时一定要保证质量并对用户数量作出准确的预估，为了能够保证网络时代的时时畅通，可以考虑每个服务器都有一个备份，和主服务器同时工作，两个服务器同时工作的好处是不仅系统的稳定性更好，而且一个服务器可以缓解另一个 服务器的访问压力，提高工作效率，尤其在用户量比较多的时候更加明显。

网络的可靠性不仅仅局限于网络的性能可靠稳定，网络的安全性也是非常重要的，在信息高度发达的现代社会，没有连接到互联网的电脑几乎就是一堆废铁，但是连接到互联网的每一台电脑都存在潜在的安全性，都有被攻击的可能，被攻击的对象可以是一台电脑，多台电脑，企业的内网，政府网等等。所以不仅要在校内网的性能方面做好工作，保证访问互联网的安全性也是非常重要的。最基本的就是安装防火墙，机器不是万能的，所以真正的安全仍然离不开网络管理人员的定期检查和维护，查看系统日志等等。

使用校园网接入外网的每一个用户都应该有维护网络安全的责任，首先不浏览不健康、非法网站，不从事网络非法操作，不能破坏网络设施，不能攻击局域网或者远程服务器。

四、网络方案设计

4．１网络架构分析

我校虽然在计算机领域没有走在技术前沿，作为高等院校的领头羊，但是我校是一个正在崛起的安徽省重点建设高校，不仅省教育厅比较重视，我们学校在十八大之后更是表现出了自强不息，科技创新的精神。在高等院校校园网建设这一块投入了不少精力和物力，最近半年来校园网各个部门及主页的变化可见学校对网络建设的重视。不仅正在加快建设IPv6站点，在这些看的见的背后所做的努力是不可忽视的，我们的校园网采用的是三层网络结构，层次明了，便于网络监控和安全控制，各学生宿舍、家属区、各部门等组成最底层的接入层，学生宿舍的集合、整个家属区、各个校级部门的集合组成第二层的汇聚层，最后由汇聚层接入校园网的核心层。

从传统的二层交换技术的网络架构调整到三层交换技术的网络架构，网络的优化效果明显，配之以网管软件，网络的安全性和可防护性大为提高。通过合理配置核心交换机，充分发挥了核心交换机的硬件性能，调整核心交换机在带宽、网络

流量处理能力位置结构，具备良好的扩展性，根据各学院、各校级部门、家属区、实验楼及图书馆按需求划分VLAN ，控制广播范围，抑制广播风暴，提高了局域网的整体性能和安全性。整个网络可靠性得到加强，核心交换机采用双机热备份、负载平衡方式，即两台核心交换机正常情况下都参与工作，当其中的任何一台发生故障时，另外一台可以自动、无缝地接管它的工作，这对网络管理员、用户来说都是透明的，无需人工干预故障切换。提高网络对突发事故的自动容错能力，最小化网络的失效时间。而网络的扩展能力满足了高等院校校园网今后一段时间内对网络发展的需求，支持了高等院校校园网在今后拓展与网络变迁的需求。

所以根据我校实际情况，总体采用星型网络拓扑结构, 分为核心, 汇聚和接入三层. 主干采用千兆以太网接入. 核心层。一个中心交换机做核心。汇聚层的主交换机与核心交换机链接。全校所有上网计算机均通过各个楼栋交换机与该区域的汇聚层主交换机链接, 区域汇聚层主交换机连到核心交换机, 再通过路由与Internet 连接。 学校里分三个区：本部、东区、东区生活区。东区主要有办公区、教师公寓、图书馆、校级部门等；东区生活区主要有学生公寓、餐厅等。根据这些区分出教学子网, 办公子网, 图书馆子网, 宿舍区子网和后勤子网。根据学校的建筑物的分布，把校园网的主节点放置在图书馆的网络中心，所以以图书信息楼为核心，主干为千兆以太网向其他大楼辐射，建筑物之间使用多模光纤连接。同时，各建筑物都（五至七层为主），所以每幢建筑只需要一个路由器。

4．２网络拓扑结构设计分析

网络中的所有设备都必须用上，且必须尽可能地保障负载均衡，无性能瓶颈。各学生公寓的核心交换机用一条光纤以总线型网络类型连接在一起，为各楼用户问访问提 供1 0Mbps的网络连接。核心交换机通过两个双绞线千兆位端口，采用链路聚合技术与会聚交换机连接，提供最高可达2000Mbps 的连接性能。核心交换机和会聚交换机都要留有可扩展端口。结构图中可清晰地知道各主要设备所连端口类型和传输介质类型。

4．３网络的可扩展性

安徽工业大学作为安徽省重点建设的省属大学，虽然在计算机科学领域起步较晚不占优势，但是毫无疑问的是我们的学校正在追赶时代的步伐，我们学校计算机科学方面的进步是显而易见的，而且我校正在研究IPv6技术，建设IPv6校园网站。信息时代科技的进步、设备的更新换代速度非常快，所以如果我们的校园网络设计、使用的设备都应该可以扩展将来的新技术及更多的设备。同时在规划网络时应该综合考虑学校的建设和规划情况，网络无论多么发达都需要有物理设备支撑，目前我们还做不到无线网满足全校需求的地步，所以在设计网络时同时要考虑施工的难易程度，使之更加合理。

4．４校园网VLAN 的设计与实现

4.4.1 VLAN 技术介绍

在传统的局域网中, 各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。为了解决发生在网络第二层的信道冲突和发生在网络第三层的广播风暴问题, 网桥和路由器被广泛应用于局域网中。由网桥连接的网络属于同一逻辑子网, 逻辑子网是指该网络中的网络站点具有相同的网络层地址, 例如具有 相同的 I P 网络号或 者I P X 网号。由路由 器将不 同逻 辑子网 连接在 一起, 逻辑子网间的通信必须经路由器进行。在这种网络结构中, 通常一个 I P 子网或者 I P X子网属于一个广播域, 因此网络中的广播域是根据物理网络来划分的。这样的网络结构无论从效率和安全性角度来考虑都有所欠缺。同时, 由于网络中的站点被束缚在所处的物理网络中, 而不能够根据需要将其划分至相应的逻辑子网, 因此网络的结构缺乏灵活性。例如分属于不同的集线器的站点不能属于同一个逻辑子网。为解决这一问题, 从而引发了虚拟局域网( VL A N ) 的概念。V LA N 是英文 V i r tua lLo c al Ar ea Ne t wor k 的缩写, 所谓 VL A N 是指网络中的站点不拘泥于所处的物理位置, 而可以根据需要灵活地加入不同的逻辑子网中共享一个广播域的一种网络技术。一方面, VL AN 建立在局域网交换机( 例如以太网交换机、 A T M 交换机等) 的基础之上; 另一方面, VL A N 是局域网交换机的灵魂。

V LA N 与普通局域网从原理上讲没有多大区别。但从用户使用和网络管理的角度, VL AN 与普通局域网最基本的差异体现在: V L AN 并不局限于某一网络或物理范围, VL AN 用户可以是位于城市内的不同区域, 甚至位于不同的国家。总体来讲,VL AN 具有以下优点: 增加了网络连接的灵活性。网络管理员对网络上工作站可以按业务功能, 而不必按地理位置分组。V LA N 可以降低移动或变更工作站地理位置的管理费用, 特别是一些业务情况有经常性变动的公司使用了VL AN 后, 这部分管理费用大大降低。

控制网络上的广播风暴。随着网络向交换结构转变, 人们失去了路由器提供防火墙功能。这样, 广播风暴将发送到每一个交换端口, 这就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量。缺点是增加了整个交换网络的广播风暴。 VL AN 可以提供建立防火墙的机制, 防止交换网络的过量广播风暴。使用V L AN, 可 以将某个交换端口或用户赋于某一个特定的V L AN 组, 该VL A N组可以在一个交换网中或跨接多个交换机, 在一个VL AN 中的广播风暴不会送到 VL A N 之外。同样, 相邻的端口不会收到其他 V LA N 产生的广播风暴。这样, 可以减少广播流量, 释放带宽给用户应用, 减少广播风暴的产生。

增加网络的安全性。人们在局域网上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组, 网络管理员限制了VL AN 中用户的数量, 禁止未经允许而访问VL AN 中的应用。交换端口可以基于应用类型和访问特权来进行分组, 被限制的应用程序和资源一般置于安全性 V LA N 中。VL A N 之所以能确保网络的安全性, 是 VL A N 能限制个别用户的访问, 控制广播组的大小和位置, 甚至能锁定 某台设备 的 M AC 地址。

增加了集中化的管理控制。通过集中化的VL AN 管理程序, 网络管理员可以确定VL A N 组, 分配特定用户和交换端口给这些 VL A N 组, 设置安全性等级, 限制广播域的大小, 通过冗余链路负载分担网络流量, 跨越交换机配置V L AN 通信, 监控交通流量和 VL A N 使用的网络带宽。这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能, 减少 了管理的费用。VL AN 技术仍在发展中, 有关它的 一些技术标准需进一步制订和完善, 预计它的应用在未来的数年内将会得到极大的发展。

4.4.2 校园网为什么要使用VLAN 技术

高等院校的机构总是很复杂的，当然我们可以不作任何处理，学校内的所有计算机都通过交换机路由器等连到校园网，这样做不是不行，只是这样会给网络的管理带来相当大的麻烦，而且所有计算机作为一个群体使得用户数据库非常混乱，而且不同的群体计费策略，带宽分配都不同所以这样做会带来极大的工作量并使管理变得相当困难，而且一旦网络遭到入侵，会危及所有计算机。

所以利用VLAN 的优势，可以把不同的用户群体隔开来，分而治之，这会容易的多，不仅管理简单了不少，因为不同的用户群体之间相互隔开，满足不同群体的需求更加容易，而且VLAN 的实现并不难。

4.4.3 VLAN 的划分与实现技术 这里因为是个人设计的校园网络，受限于个人的能力、知识及精力，所以对校园网作了简化处理，在设计VLAN 时仅考虑10个不同的学院。VLAN 的实现有三种方式：1，交换机端口方式，即设置不同的VLAN 编号，交换机根据编号转发相应的分组。2，基于MAC 地址的VLAN ，这种方式的VLAN ，要求交换机对站点的MAC 地址和交换端口进行跟踪，在新站点入网时，根据需要将其划归至某一个VLAN 。3，基于路由的VLAN ，路由协议工作在7层协议的第三层：网络层，即基于IP 和IPX 协议的转发，它是利用网络层的业务属性来自动生成VLAN 。IP 子网1为第一个VLAN ，IP 子网2为第二个VLAN ，IPX 子网1为第三个VLAN ……依次类推。这里我们校园网设计时使用的是第三种实现方式及基于路由的VLAN 。IP 的划分如下图：

4．５网络安全性

虽然高等院校不像银行企业那样需要投入大量的资金组建防护系统，而且正常情况下受到攻击的可能性也非常小，但是在互联网时代，因为互联网的及时性和互联性非常强，所以一旦有病毒在网络上传播，速度之快、范围之广是任何其它疾病所无法相比的。即使这些病毒、木马没有恶意至少会拖慢机器的运行速度，降低工作效率，严重的还会损坏我们的数据，这对于一个复杂的校园网络来说，造成不必要的麻烦和损失也是我们不希望的，所以必要的安全措施还是需要的。网络的安全最常用的就是防火墙，因为防火墙的需求量少，且比较重要，所以防火墙应该考虑购买功能比较强大一点的，有备无患。

4．６服务器布局

常用的服务器有邮件服务器、DNS 服务器、DHCP 服务器、FTP 服务器、万维网服务器等，因为服务器需要长期稳定不间断的工作，并且访问量可能时多时少，要根据实际情况选择，另外，为了使系统更加稳定，高峰期不至于网络拥塞或太大的延迟可以考虑每个服务器都配备备用服务器与主服务器并行工作。

4．７形成拓扑结构

五、IP 地址划分及Nat 策略

5.1 IP 地址分配策略

5.2 NAT 策略

六、设备选择

6.1交换机

三层交换机 12500/台 型号 S5700-52C-SI

主要技术参数：

固定接口：48*10/100/1000Base-T

MAC 地址表：支持32K MAC地址容量

支持静态、动态、黑洞MAC 表项

支持源MAC 地址过滤

LAN ： 支持4K 个VLAN

支持基于MAC/协议/IP 子网/策略/端口的VLAN

IP 路由： 静态路由、RIP V1/2、RIPng 、ECMP 、路由策略

二层交换机 1200 元 型号 S1700-24

主要技术参数：

固定端口： 24个10/100M接口

可选端口： 无

MAC 地址表： 8K MAC

交换机数量根据需要及资金合理采购，由网络规划人员和财务人员共同协商

6.2路由器

主干网路由器：

厂商：华为 型号：NE40E-X16

主要技术参数：

交换容量：12.58Tbps 转发性能：3200Mpps

槽位数：22, （16个业务线路板槽位，2个主控板槽位，4个交换网板）

接入级路由器：

主要技术参数：

型号： 华为AR2220

转发性能 1Mpps

带业务转发性能：400Mbps

整机交换容量： 32Gbps

主干网路由器与接入级路由器数量根据需要及资金合理采购

6.3服务器

服务器因为设备比较重要，我们接触的不多，对服务器的选取没有太多经验，所以服务器的选取由网络规划人员自行选择。

6.4防火墙

主要技术参数 防火墙型号： USG9520 最多能支持的用户数： 不限 扩展槽位： 3（SPU+LPU） 主控槽位： 2 SPU 选项： 2 CPU板卡/4 CPU板卡 接口模块类型： 以太网接口：12*1G（SFP/RJ45），1*10GE（XFP ），2*10GE （XFP ），POS ：1*10G（XFP ） 基本特性： 支持应用层协议识别、应用层包过滤（ASPF ）、访问控制、 状态合法性检测、地址转换、黑白名单、虚拟防火墙、安全域划分 IPS 入侵防御系统： 支持蠕虫、0Day 攻击、特洛伊木马、恶意软件等攻击防护 IPsec VPN： 手动密钥、PKI(X.509)、IKEv2、冗VPN 网关、EAP 认证 DDoS 攻击防护： 支持包括应用层在内的的多种DoS 和DDoS 攻击防范：SYN Flood 、ICMP Flood、UDP Flood、 DNS Query Flood、 DNS 缓存投毒攻击、DNS 反射攻击、Connection Flood、HTTP Flood、HTTPS Flood等 由特性 IPv4：静态路由、RIP 、OSPF 、BGP 、IS-IS IPv6：RIPng 、OSPFv3、BGP4+、IPv6 IS-IS

6.5预算

上面给出的价格为参考价格，实际购买时根据地区不同，价格有所差异，而且由于主干路由器、服务器及防火墙比较昂贵，所以这里预算由网络规划人员确定所需设备后自行评估。