A2区，A3区教学楼三楼
A2区，A3区教学楼四楼 A2区，A3区教学楼五楼 … A楼101机房 A楼105机房 A楼106机房 A楼109机房 A楼110机房 A楼111机房 A楼207机房 A楼208机房 A楼210机房 … G教学楼217机房
拓扑图绘制
网络设备选择
1.互联网接入设备选型 学院校园网络设计有两个网络出口，一个是电信、另一个是联通， 如果每个网络出口均采用路由器、防火墙的话，成本要增加，而采用双 线路接入的话网络中的服务器都需要进行配置双网卡，才能实现高速访 问外网，网络维护难度大。 所以在网络设计的时候要考虑采用统一的网络出口设备，保证内网 的用户可以简单高速的访问互联网，同时网络出口设备要具有非常高的 NAT性能和电信、联通自动选路的功能。根据内部节点数为8000个点以 内，可以选择相应的路由器、防火墙，根据网络需求和性价比这里选择 H3C SR6608路由器、Cisco ASA 5520防火墙 。
网络设备选择
表4 Cisco ASA 5520防火墙主要技术指标
防火墙吞吐量 并发会话数 内存 端口数
≥450M bps ≥280,000 ≥512M。 ≥4个10/100/1000M以太网端口。 提供硬件的IPSEC VPN和WEB VPN、 SSL VPN功能。支持远程接入VPN和SITE TO SITE的VPN；支持VPN集群和负载 均衡，负载可根据每台设备的容量分配。支持基于状态检测的包过滤。支持NAT、PAT，支持双向NAT的功能。支持 静态、RIP、OSPF 等路由协议。支持对H.323、SIP等实时会话的安全过滤。支持对应用的深度分析，提供对于P2P、 IM等应用的控制。支持路由模式和二层透明模式的防火墙设置。支持不同端口的同一安全级别设置，可以同时配置多 个INSIDE（内口）或多个OUTSIDE（外口）。所有端口支持802.1Q VLAN，可以配置多个VLAN虚拟接口数。支持冗 余防火墙的负载均衡和备份，包括ACTIVE/ACTIVE的工作方式和ACTIVE/STANDBY的工作方式。支持虚拟防火墙的 功能，虚拟防火墙数量≥2，可以为这些不同的业务分配逻辑独立的防火墙，和MPLS VPN相结合，并能够为不同VPN 的用户实现独立的安全控制策略和地址转换策略，能对不同逻辑独立防火墙分配CPU资源、内存资源、会话连接数等。 能够与外部URL过滤服务器配合实现基于URL的过滤。支持JAVA过滤和ACTIVEX过滤。防御拒绝服务（DOS）攻击， 例如SYN泛滥、互联网控制信息协议（ICMP）泛滥、端口扫描、PING OF DEATH等攻击方式。支持IP/MAC地址的绑 定。支持SYSLOG日志，可向日志服务器导出日志。可提供不小于16个级别的可定制管理角色，可以授予管理员和操 作人员访问每台设备的相应级别的权限，例如，只能进行VPN服务配置、只能进行防火墙服务配置、只能进行监控， 或配置的只读访问。支持基于WEB的管理，支持图形化的管理工具对防火墙进行配置和管理 35000元
功能
参考价格
网络设备选择
2.局域网核心交换设备选型
核心层是局域网的骨干，重点考虑全网的安全建设，采用的核心设 备必须具备完整的安全体系架构，具备防源IP地址欺骗、防DOS/DDOS攻 击，防IP扫描等防攻击功能，支持千兆端口链路聚合，支持端口镜像， 支持DHCP Snooping，设备的管理支持采用SNMPV3标准协议，具备数据 加密，非法数据包检测等安全功能，保证网络设备的安全，负责可靠而 迅速的传输大量的数据流。根据网络需求和性价比这里选择Cisco Catalyst 6509 。
序号
1
楼宇
A1
实际信息点
116
序号
10
楼宇
宾馆
实际信息点
94
2
A2、A3
84
11
专家公寓
40
3
B
220
12
学生公寓1
674
4
C
188
13
学生公寓2
674
5
D
70
14
学生公寓3
674
6
E
224
15
学生公寓4
674
7
F
187
16
服务楼
15
8
G
163
17
食堂
100
9
H
526
18
体育馆、图书馆
319
合计信息点数
10.1.23.0/24
10.1.24.0/24 10.1.25.0/24 … 10.1.201.0/24 10.1.202.0/24 10.1.203.0/24 10.1.204.0/24 10.1.205.0/24 10.1.206.0/24 10.1.207.0/24 10.1.208.0/24 10.1.209.0/24 … 10.1.260.0/24
网络设备选择
表3 H3C SR6608主要技术指标
包转发能力 可扩展插槽 背板带宽 IPSec加密 GE路由接口满配 路由协议 组播 IPv6过渡技术 动态路由协议 组播路由协议 VPN 防火墙 流量分析 参考价格
>=18Mpps >=8 >=100Gpbs >=12Gbps >=64 支持RIP、OSPF、BGP、IS-IS等路由协议。 组播路由协议：IGMP/IGMPv3，PIM-DM，PIM-SM，PIM SSM，MBGP，MSDP NAT-PT，IPv6隧道，6PE、IPv6隧道：手工隧道，自动隧道，GRE隧道，6to4，ISATAP、IPv6静态路由。 RIPng，OSPFv3，IS-ISv6，BGP4+ MLD V1/V2，IGMPv3，PIM-DM，PIM-SM，PIM-SSM 硬件加密加速，IPSec/ IKE， L2TP，GRE，MPLS/BGP VPN，MPLS L2VPN，MPLS TE 包过滤、ASPF，NAT/NAPT，SSL，URPF 内置支持Netstream、sflow或netflow流量分析功能，如果不支持内置流量分析功能，需要配置相应的板卡。 180000元
组播协议
IPv6路由协议 流量分析
支持PIM-DM、PIM-SM、IGMP v1/v2/v3、IGMP Snooping、MSDP等协议
支持ND、RIPng、MLD SNOOPING、ICMP v6等协议 要求内置支持NETSTREAM、sflow或者netflow等流量分析功能。
安全特性
支持IP+MAC+PORT的绑定，支持黑洞MAC，支持非法帧报文过滤，用户分级管理和口令保护，支持端口 隔离，支持SSH，支持SNMPv3网管；支持DHCP Snooping。
网络设备选择
表6 H3C S5500-28C-PWR-EI主要技术指标
背板带宽 包转发率（整机） 端口 可扩展万兆接口数量 路由表容量 链路聚合
192Gbps 95.2Mpps 24个10/100/1000Base-T以太网端口 4个复用的1000Base-X千兆SFP端口 >=4 >=512 最大支持8个GE口或者2个10GE端口聚合；支持LACP
>=16 支持端口/IP/MAC三元组的绑定 支持基于VLAN下发ACL，有效简化ACL配置过程 支持8K MAC地址；支持黑洞MAC；支持设置端口最大MAC地址学习 5700元
网络设备选择
表8 H3C E152主要技术指标
交换容量 转发性能 端口数量 支持堆叠台数 端口/IP/MAC三元组的绑定 VLAN ACL MAC地址 参考价格
5042
IP地址规划设计
表2 vlan与IP规划情况
VLAN ID 11 VLAN Name a11 IP/Subnetwork 10.1.11.0/24 描述 A1区行政办公一楼
12
13 14 15 21 22
a12
a13 a14 Байду номын сангаас15 a21 A22
10.1.12.0/24
10.1.13.0/24 10.1.14.0/24 10.1.15.0/24 10.1.21.0/24 10.1.22.0/24
A1区行政办公二楼
A1区行政办公三楼 A1区行政办公四楼 A1区行政办公五楼 A2区，A3区教学楼一楼 A2区，A3区教学楼二楼
23
24 25 … 201 202 203 204 205 206 207 208 209 … 260
A23
A24 A25 … ZL101 ZL105 ZL106 Zl109 ZL110 ZL111 ZL207 ZL208 ZL210 … G217
网络设备选择
表5 Cisco Catalyst 6509主要技术指标
操作系统 背板带宽 第三层转发性能 冗余交换管理引擎 高可用性特性 10/100/1000兆位以太网 （GBIC）、10千兆位以 太网 其他功能 参考价格
Catalyst OS(CatOS) / Cisco IOS混合配置 32Gbps共享总线、720Gbps交换矩阵 Supervisor 720 、400Mpps 支持状态化故障切换 网关负载均衡协议（GLBP）、 热备份路由器协议（HSRP） 、跨多模块EtherChannel 、快速生成树、多生成树、 每VLAN快速生成树、快速收敛的第三层协议 576个端口，都支持馈线电源 194个端口（在交换管理引擎上提供了2个端口） 32个端口 支持QoS、硬件支持IPv6、可扩展支持NAT 810000元
需求分析
2. 学院校园网网络规划建设目标应有以下几点：
骨干网络具有弹性扩展能力，支持IPV6，保护投资； 无线覆盖通过本校园区网，实现全校无线覆盖，方便移动办公； 对全网进行运营管理，保证入网用户的合法性； 提高整网的安全性，防止病毒、网络攻击等行为对网络的影响。
需求分析
表1 楼宇信息点分布情况