編號： 本科畢業(yè)論文（設計）企業(yè)網絡規(guī)劃與設計院 系：姓 名：學 號：專 業(yè)：年 級：指導教師：職 稱：完成日期：摘 要由于社會發(fā)展與計算機網絡系統(tǒng)的應用息息相關，傳統(tǒng)的企業(yè)正以前所未有的速度進行著變革，其主要特征就是企業(yè)網成為企業(yè)生存與發(fā)展的信息化基礎設施。為了提高企業(yè)自身的競爭力和工作效率，更好地適應信息化建設的要求，本文通就如何完善企業(yè)網絡建設，進行了分析討論，提出了一種安全可靠的計算機網絡管理方法。該方案注重網絡設備的性價比，采用成熟可靠的網絡技術，力求簡單易用、性能優(yōu)秀并且具有良好的可升級擴展。在網絡設計的標準性、先進性、可靠性與穩(wěn)定性、保密性與安全性、可擴展性、冗余性等方面，制定了一系列具有針對性的可行性方案。系統(tǒng)設計方面充分考慮大中型企業(yè)對網絡需求的特點，注重為客戶提供www服務、ftp服務、Internet對外郵件系統(tǒng)等，更好更快地與外部客戶交流，為中型企業(yè)提供安全可靠、便于管理穩(wěn)定的網絡系統(tǒng)做出了一些討論。本方案還考慮到企業(yè)的未來的發(fā)展規(guī)劃，在網絡的結構、應用、管理、系統(tǒng)性能等各個方面都能夠適應未來的發(fā)展，并最大程度地節(jié)省企業(yè)的投入。從而使其在信息化建設過程中起到巨大的推動作用，為企業(yè)的辦公提供簡單、有效、便捷的理想環(huán)境，也為企業(yè)在以后的改革提供有效的電子信息。關鍵詞：局域網；大中型企業(yè)網絡；網絡規(guī)劃IAbstractBecause of the social development and application of computer network system is closely related, the traditional enterprises are engaged in an unprecedented rate of changes, the main feature is the corporate network as enterprise survival and development of information technology infrastructure. In order to improve the competitiveness of the working efficiency and better adapt to the request, the informatization construction of paper on how to improve enterprise network, general construction, analyzed, and puts forward a kind of safe and reliable network management plan. The solution to network devices, mature and reliable performance, and easy-to-use network technology, excellent and good performance can be upgraded. In web design standards, advanced, reliability and stability, security and secrecy and expansibility, redundancy, etc., have enacted a series of feasible scheme. System design for a medium-sized enterprise fully consider the characteristics of the needs of the network, provide the www ftp service and Internet services to foreign mail system etc, better with external customers faster and medium-sized enterprises provide safe and reliable, easy to manage stable network system made some discussions.The plan also considering the future of the companys development plan, the structure, the application in the network management, system performance, etc to be able to adapt to the development of the future, and to maximize the enterprise. Save so in the information construction process has great impetus for the enterprise, the office provides a simple and effective, convenient, also the ideal environment for enterprises to provide effective after the reform of electronic information.Key words : Lan;Large and medium-sized enterprise network;Network planning45目 錄1 概述11.1 信息化建設背景11.2 信息化網絡平臺12 網絡需求分析及建設目標22.1 工程項目概況22.2 信息點分布22.2.1 企業(yè)網絡建設需求22.3 總體技術要求22.3.1 網絡系統(tǒng)技術要求33 網絡技術選型43.1 路由協(xié)議OSPF43.2 端口安全與認證（基于802.1X）43.3 VRRP(虛擬路由冗余協(xié)議)原理43.4 MSTP（多生成樹協(xié)議）原理53.5 NAT的描述及策略路由的實現(xiàn)63.6 ACL(訪問控制列表)63.7 鏈路聚合EC(Ethernet Channel)63.8 VLAN(虛擬局域網)74 網絡設計原則84.1 網絡資源的實用性84.2 網絡的可靠性84.3 網絡的擴展性84.4 網絡的安全性94.5 網絡的可管理性105 方案涉及產品介紹115.1 主要設備選型115.2 DCRS-7608 IPv6萬兆核心交換機115.2.1 產品概述115.2.2 產品特性115.3 CRS-6804萬兆核心路由交換機145.3.1 產品概述145.3.2 產品特性155.4 DCS-4500-26T智能安全接入交換機175.4.1 產品概述175.4.2 主要特性185.5 DCFW-1800E-2G多核防火墻205.5.1 產品概述205.5.2 主要特性205.6 LinkManager 網絡管理系統(tǒng)215.6.1 系統(tǒng)特點215.6.2 要特征226 網絡方案設計266.1 網絡拓撲結構介紹266.2 網絡拓撲圖266.3 網絡設計276.3.1 骨干核心層網絡設計276.3.2 匯聚層網絡設計286.3.3 接入層網絡設計286.3.4 運維中心296.3.5 網絡安全設計306.3.6 網絡QoS設計306.3.7 冗余/負載均衡設計316.3.8 IP地址規(guī)劃346.3.9 VlAN的劃分406.4 方案優(yōu)勢40總結43參考文獻44致謝45概述1 概述1.1 信息化建設背景當今社會信息化進程迅猛發(fā)展，網絡技術已經對社會、經濟和文化各方面產生重大影響，并將改變人們認識世界、思考世界的觀點和方法。作為企業(yè)集團，如何面對網絡時代帶來的沖擊，如何利用網絡技術提高我們行業(yè)的管理水平和服務質量，是無法回避的問題。為進一步推進行業(yè)的信息化建設，了解國際信息化發(fā)展動態(tài)，吸收新的技術和管理經驗，提高系統(tǒng)信息化應用的管理水平，使經濟效益和社會效益雙豐收勢在必行。 網絡設計主導：(1) “量身定制”對用戶的需求進行了定量分析。站在用戶的立場上為用戶“量身定制”出這個網絡方案。(2) “采先進成熟技術及產品”當今世界新技術產品層出不窮，組建內部網絡應從高技術高起點出發(fā)，并留出擴容余量及廣域網接口，盡量避免重復建設及投資。(3) “精打細算”選用產品應具有最佳性價比，在本次設計中采用神州數(shù)碼全線產品。1.2 信息化網絡平臺隨著行業(yè)管理信息化的不斷深入和行業(yè)本身對信息化管理的要求不斷提高，其原來的網絡環(huán)境和技術管理手段逐漸不能適應和滿足新的要求。搭建一個穩(wěn)定、高效、安全、可管理并可持續(xù)發(fā)展的網絡基礎平臺來承載企業(yè)的應用，本設計方案網絡平臺架構不僅能夠完全滿足企業(yè)的信息化需求和辦公應用，而且能解決方案的可升級和擴展性也保證了企業(yè)局域網的安全性和運營效率。網絡需求分析及建設目標2 網絡需求分析及建設目標2.1 工程項目概況該企業(yè)為了加快信息化建設，企業(yè)網將建設一個以集團辦公自動化、電子商務、業(yè)務綜合管理、多媒體視頻會議、遠程通訊、信息發(fā)布及查詢?yōu)楹诵?，以現(xiàn)代網絡技術為依托，技術先進、擴展性強，將企業(yè)的各種辦公室、多媒體會議室、PC終端設備、應用系統(tǒng)通過網絡連接起來，實現(xiàn)內、外溝通的現(xiàn)代化計算機網絡系統(tǒng)。該網絡系統(tǒng)是支持辦公自動化、供應鏈管理以及各應用系統(tǒng)運行的基礎設施。2.2 信息點分布主要信息點集中在生產部、賬務部、網絡中心、職工宿舍等部門。詳細信息點分布如表2-1所示。表2-1主要信息點分布地點信息點備注網絡中心40需保證速度、流量和可靠性生產部150需保證速度、流量和可靠性賬務部120需保證速度、流量和安全性行政部100需保證速度、流量和安全性銷售部100需要保證速度和可靠性職工宿舍1000需保證速度和流量2.2.1 企業(yè)網絡建設需求企業(yè)計算機網絡系統(tǒng)項目建設，共涉及六棟樓，每棟樓八層，共有信息點數(shù)大約1500個，此次網絡建設的目的是為了實現(xiàn)企業(yè)內的辦公自動化，提高辦公效率。2.3 總體技術要求采用三層網絡架構，萬兆核心交換機，接入層交換機千兆上聯(lián)到核心，千兆接入桌面，關鍵性業(yè)務千兆接入。根據(jù)實際情況進行VLAN劃分，把不同的業(yè)務劃分到不同的VLAN中進行隔離，以保證網絡安全。隨著技術的發(fā)展和業(yè)務的增長，可以通過更換或增加模塊，使網絡升級，網絡規(guī)模和容量可以平滑增長。能夠在所有信息點內任意劃分組成虛擬網，實現(xiàn)不同業(yè)務的劃分。要求整個網絡具有高可靠性的總體設計，采用的技術是相對成熟的技術；所選用的設備具有高可靠性；采用具有高安全級別的系統(tǒng)軟件；可以實現(xiàn)網絡自愈。系統(tǒng)的性能指標能夠完全滿足網絡內各項業(yè)務對處理能力的要求，且便于維護與管理。網絡和主機應支持符合國際和業(yè)界標準的相關結構，能夠與相關系統(tǒng)和網絡可靠互聯(lián)；系統(tǒng)軟硬件平臺應具有良好的移植能力；應選擇廣泛應用的標準協(xié)議，支持局域網內部的其它協(xié)議。2.3.1 網絡系統(tǒng)技術要求網絡設備應盡量選用同一廠家提供的，彼此之間匹配完全一致的產品。提供與設備選型相應的網管軟件，具有網絡配置、管理、監(jiān)控、故障排除等方面的功能。(1) 核心交換機1 核心交換機負責連接所有的接入層交換機、防火墻、服務器；2 支持廣泛的接口類型和密度；3 提供強大的VLAN支持能力；4 要支持第二層或第三層的IP Multicast協(xié)議；5 要支持第二層或第三層的QoS協(xié)議；6 提供第二層或第三層的網絡安全控制能力。(2) 接入交換機提供相應數(shù)量的接入交換機，安裝在院區(qū)各樓相應樓層內。接入交換機提供光纖接口，通過光纖與匯聚交換機相連。網絡技術選型3 網絡技術選型3.1 路由協(xié)議OSPF在網絡骨干核心層和核心層以及匯聚層上需要使用三層設備為網絡內部不同的網段的數(shù)據(jù)和不同VLAN間的數(shù)據(jù)轉發(fā)而需要路由協(xié)議時，我們采用OSPF協(xié)議作為路由協(xié)議。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個網絡的鏈路信息，從而掌握全網的拓撲結構，獨立計算路由。因為RIP路由協(xié)議不能服務于大型網絡，所以，IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議OSPF。目前廣為使用的是OSPF第二版。OSPF作為一種內部網關協(xié)議（Interior Gateway Protocol，IGP），用于在同一個自治域（AS）中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議(RIP)，OSPF具有支持大型網絡、路由收斂快、占用網絡資源少等優(yōu)點，在目前應用的路由協(xié)議中占有相當重要的地位。3.2 端口安全與認證（基于802.1X）(1) 端口安全交換設備定義了對端口保護的功能，我們能定義允許的最大MAC地址訪問數(shù)，或者靜態(tài)的定義特定的MAC地址。(2) 基于802.1x的端口認證基于端口的認證就是將AAA認證與端口保護相結合，默認情況下。一個支持802.1x的交換機端口處于未授權狀態(tài)，除了和802.1x有關的數(shù)據(jù)，其他數(shù)據(jù)都不能通過該端口，只有客戶的交換機創(chuàng)建了一個802.1x的會話，客戶被授權訪問EAPOL：Extensible Authentication Protocol OVER LAN局域網上的可擴展身份認證。在端口處于未授權狀態(tài)下，客戶端只能使用EAPOL與交換機通信。3.3 VRRP（虛擬路由冗余協(xié)議）原理VRRP給路由器組提供了一個冗余網關地址，它是一種容錯協(xié)議，通過定義不同的組，不同優(yōu)先級的路由器，它保證網絡的主路由器失效時，可以及時的由備分來實現(xiàn)路由器來替代，從而保持通訊的連續(xù)性和可靠性。并可以在該協(xié)議上實現(xiàn)負載均衡等高級交換特性。VRRP技術的實現(xiàn)：匯聚到核心冗余連接及VRRP的實現(xiàn)通過VRRP技術將多個設備虛擬成為一臺邏輯設備，實現(xiàn)匯聚/接入鏈路冗余。3.4 MSTP（多生成樹協(xié)議）原理RSTP協(xié)議完全向下兼容802.1D STP協(xié)議，除了和傳統(tǒng)的STP協(xié)議一樣具有避免回路、提供冗余鏈路的功能外，最主要的特點就是“快”。如果一個局域網內的網橋都支持RSTP協(xié)議且管理員配置得當，一旦網絡拓樸改變而 要重新生成拓樸樹只需要不超過1秒的時間（傳統(tǒng)的STP需要大約50秒）。本交換機支持MSTP，MSTP是在傳統(tǒng)的STP、RSTP的基礎上發(fā)展而來的新的生成樹協(xié)議，本身就包含了RSTP的快速FORWARDING機制。由于傳統(tǒng)的生成樹協(xié)議與VLAN沒有任何聯(lián)系，因此在特定網絡拓撲下就會產生很多問題：當交換機A、B在VLAN1內，交換機C、D在VLAN2內，然后連成環(huán)路。描述的拓撲圖如下，見圖3-1。圖3-1描述的拓撲圖 在某種情況的配置下，會造成把交換機A和B間的鏈路給DISCARDING由于交換機C、D不包含VLAN1，無法轉發(fā)VLAN1的數(shù)據(jù)包，這樣交換機A的VLAN1就無法與交換機B的VLAN1進行通訊。在網絡末梢，連接到單個工作站的時候，是不可能形成橋接環(huán)路的。在接口上啟用了PORTFAST特性，可以使交換機端口立即變?yōu)檗D發(fā)狀態(tài)，提高了網絡的響應速度及收斂時間。基于RSTP的交換機高級特性UPLINKFAST在網絡中的應用。考慮到有冗余上行連接的網絡，使用冗余連接到上層交換機，通常情況下一個上行連接處于轉發(fā)狀態(tài)，另一個處于阻塞狀態(tài)，如果主上行連接斷開，在使用冗余連接之前所經歷的時間高達50S。在使用UPLINKFAS之后，使的具有冗余上行連接的交換機具有根端口失效時，另一個阻塞的上行連接能夠立即使用，這個時間大大縮小到1-5S之間，在企業(yè)網的特殊環(huán)境之下，能大大增強網絡的穩(wěn)定性，加快網絡收斂。3.5 NAT的描述及策略路由的實現(xiàn)在組建網絡時，為了節(jié)約地址，我們在內部使用保留的私有地址段中的地址，但是使用私有地址不能訪問Internet,所以必須申請多個公開地址配置在和Internet相連的局域網邊緣設備上，應用NAT進行地址轉換。NAT是網絡地址翻譯技術，在路由器上起用NAT之后，可以在部私有地址和外部公網地址之間做轉換。比如我們可以把網絡內部使用的IP翻譯成外部公網的IP。配置基于策略的路由選擇時，可使用路由映射表來指定基于IP地址，應用程序，協(xié)議或者分組長度的條件?；诓呗缘穆酚蛇x擇命令對中選的路由實現(xiàn)策略?；诓呗缘穆酚珊挽o態(tài)路由有很多共同之處。然而，靜態(tài)路由根據(jù)目標網絡地址來轉換分組，而策略路由根據(jù)源地址來轉發(fā)分組。在路由選擇表中使用訪問列表時，可根據(jù)諸如目標地址，分組長度，IP協(xié)議字段，優(yōu)先級或端口號來轉發(fā)數(shù)據(jù)流。這樣可以指定范圍更廣泛，更細致的條件，并根據(jù)這些條件來決定下一路由器。3.6 ACL(訪問控制列表)訪問列表為我們提供了一種對網絡訪問進行有效管理的方法，通過訪問列表，我們可以設置允許或拒絕數(shù)據(jù)包通過路由器，或者允許或者拒絕具體的某些端口進行訪問和使用，如果滿足條件則執(zhí)行相應的操作，放行這個包或者放棄這個包。我們通過這些設置來滿足實際網絡的靈活需求，從而達到設置網絡安全策略，防止網絡中的敏感設備受到非授權訪問的情況。在具體實現(xiàn)過程中從技術上來說我們需要了解到ACL分為兩種類型,他們分別是標準訪問列表(Standard access lists)和擴展訪問列表（Extends access lists）前者在過濾網絡的時候只使用IP數(shù)據(jù)報的源地址，那么在使用這種訪問列表的情況下它做出允許或者拒絕這個決定完全是依賴于源IP地址，它無法區(qū)分具體的流量類型。而擴展訪問列表則可以提供更細的決定，它可以具體到端口，從而精確到某一個服務，比如對WEB,FTP的訪問等，給我們網絡的策略提供了更細的控制手段。我們利用這種訪問列表進行協(xié)議級的控制以達到對網絡一個有效的管理。標準訪問控制列表一般放在靠近目標的路由器上,而擴展訪問控制列表一般放于近源端的路由器上。3.7 鏈路聚合EC(Ethernet Channel)以太網信道鏈路聚合可以讓交換機之間和交換機與服務器之間的鏈路帶寬有非常好的伸縮性，比如可以把2個、3個、4個千兆的鏈路綁定在一起，使鏈路的帶寬成倍增長。鏈路聚合技術可以實現(xiàn)不同端口的負載均衡，同時也能夠互為備份，保證鏈路的冗余性。在這些千兆以太網交換機中，最多可以支持4組鏈路聚合，每組中最大4個端口。鏈路聚合一般是不允許跨芯片設置的。生成樹協(xié)議和鏈路聚合都可以保證一個網絡的冗余性。在一個網絡中設置冗余鏈路，并用生成樹協(xié)議讓備份鏈路阻塞，在邏輯上不形成環(huán)路。而一旦出現(xiàn)故障，啟用備份鏈路。3.8 VLAN(虛擬局域網)VLAN虛擬局域網是一種在二層設備上隔離和劃分廣播域的技術，通過這種劃分，我們可以把物理位置上分離的網絡設備在邏輯上劃為同一個廣播域，或者把物理位置上鄰近的網絡設備劃為不同的廣播域，從而更方便我們管理和做一個邏輯層次的劃分。從技術上說VLAN可以分為靜態(tài)VLAN和動態(tài)VLAN,那么靜態(tài)的VLAN是基于交換機端口進行劃分，根據(jù)網絡設備連接不同的交換機端口，則進入相應VLAN。動態(tài)VLAN則更靈活，它可以根據(jù)接入計算機的IP地址，MAC地址，甚至是用戶的登陸賬號做出相應的處理，把計算機劃分進相應的VLAN中，這樣就為我們實際的網絡管理帶來了比較大的方便性和靈活性。那么在我們的企業(yè)網方案中，我們希望通過使用VLAN技術進行劃分達到以下目的：隔離，劃分廣播域，減小不必要的廣播流量，從而提高整個網絡的利用效率。網絡設計原則4 網絡設計原則采用先進成熟的技術和設計思想，運用先進的集成技術路線，以先進、實用、可靠、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實用性，盡快投入使用，發(fā)揮較好的效能。4.1 網絡資源的實用性網絡建設的實用性是網絡建設的根本，在此基礎上考慮網絡的可靠性、可擴展性、安全性以及可管理性。網絡的實用性主要體現(xiàn)在網絡的性能上，網絡的性能是由應用系統(tǒng)的數(shù)據(jù)流量分布、網絡設備性能及廣域網鏈路帶寬綜合決定的。對應用系統(tǒng)的認真分析是網絡設備選型以及廣域網鏈路帶寬選擇的基礎。在一定的網絡資源條件下，可利用各種技術實施對于關鍵的網絡應用的保障。如通過先進的隊列機制進行擁塞控制，對不同等級的數(shù)據(jù)進行不同的處理，包括時延的不同和丟包率的不同；采用具備先期擁塞控制機制的網絡設備，當網絡出現(xiàn)真正的擁塞前就自動采取適當?shù)拇胧?，進行先期擁塞控制，避免瞬間大量的丟包現(xiàn)象；對非常重要的特殊應用，應可以采用保留帶寬資源的方式保證其QoS。4.2 網絡的可靠性網絡的可靠性既是保證網絡的正常運行，不因網絡的故障或變化引起網絡的瞬間質量惡化。網絡作為數(shù)據(jù)處理及轉發(fā)中心，應充分考慮可靠性。 網絡的可靠性通過冗余技術實現(xiàn)，包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。模塊冗余考慮網絡匯接點的主干設備和核心設備的所有關鍵模塊和環(huán)境部件應具備1+1或1：N熱備份的功能，所有模塊具備熱插拔的功能，當某一關鍵模塊出現(xiàn)故障時，可由備份模塊接替其功能。4.3 網絡的擴展性從網絡的發(fā)展趨勢來看，用戶數(shù)量以及應用系統(tǒng)的膨脹是必然的趨勢，網絡系統(tǒng)面臨數(shù)據(jù)流量增大的壓力，同時網絡高新技術在網絡中不斷被應用，在設計網絡時應充分考慮系統(tǒng)的可升級性，從而保護網絡系統(tǒng)投資。網絡的可升級能力包括設備交換容量的可升級能力、端口數(shù)量的可升級能力、主干帶寬的可升級能力，網絡新技術平滑過渡的可升級能力，以及網絡規(guī)模的可升級能力。交換容量擴展應具備在現(xiàn)有基礎上繼續(xù)擴充2-4倍容量的能力，以適應IP類業(yè)務急速膨脹的需求。設備的選型應充分考慮包轉發(fā)能力以及數(shù)據(jù)交換能力。端口密度擴展需要認真分析用戶和應用系統(tǒng)的升級可能性，在具備升級可能性的信息節(jié)點配置高可升級性的網絡設備，滿足網絡擴容時對用戶接入以及系統(tǒng)互聯(lián)的需要。主干設備應具備豐富的的接口種類，具備向后延展性，可支持萬兆以太網是發(fā)展的必然方向，以適應IP類應用及業(yè)務急速膨脹的需求。網絡規(guī)模擴展需綜合考慮網絡體系結構、路由協(xié)議的規(guī)劃和設備的CPU路由處理能力，應能滿足網絡升級時對用戶接入以及數(shù)據(jù)流量變化或增大時處理能力的需要。4.4 網絡的安全性網絡的發(fā)展趨勢是基于Internet Web技術的開放網絡化系統(tǒng)。這不僅帶來了新的巨大的使用方便，同時也帶來了不斷增加的復雜應用及信息技術的挑戰(zhàn)，因而安全是網絡建設中要考慮的一個關鍵因素。網絡安全在內容上主要應考慮以下幾個方面：(1) 身份鑒別與授權：身份包括鑒別和授權。鑒別回答了“你是誰”和“你在哪？”這兩個問題，授權回答“你可以訪問什么”。必須對身份機制謹慎部署，因為如果設施難以使用，即便是最嚴謹?shù)陌踩呗砸灿锌赡鼙槐荛_。(2) 邊界安全：邊界安全涉及到防火墻種類的功能，決定網絡的不同區(qū)域允許或拒絕何種業(yè)務，特別是在Internet和園區(qū)網之間或撥入網和園區(qū)網之間。(3) 數(shù)據(jù)的保密性和完整性：數(shù)據(jù)的保密性指確保只有獲準能夠閱讀數(shù)據(jù)的實體以有效的形式閱讀數(shù)據(jù)，而數(shù)據(jù)完整性指確保數(shù)據(jù)在傳輸過程中未被改動。(4) 安全監(jiān)測：為檢驗安全基礎設施的有效性，應經常進行定期的安全審查，包括新系統(tǒng)安裝檢查，發(fā)現(xiàn)惡意入侵行為的措施，可能的特殊問題(拒絕業(yè)務攻擊)以及對安全策略的全面遵守等方面。(5) 策略管理：由于網絡安全涉及到以上的多個方面，每一個方面都使用了多種產品和技術，對這些產品進行集中有效的管理可以幫助網絡管理者有效地部署和更新自己的安全策略。(6) 其他基于網絡安全技術的策略：比如利用硬件ACL技術，線速地對網絡內部常見漏洞端口的封閉，對已知網絡病毒傳播的抑制。4.5 網絡的可管理性隨著網絡中設備逐漸增多，網絡技術日趨復雜，網絡管理的重要性越來越明顯網絡的復雜導致系統(tǒng)運行的不確定因素增加，可靠性降低，“宕機”時間變長且?guī)淼膿p失越來越大，而往往由于平時對網管的忽略，缺乏受過專業(yè)培訓的網絡管理人員，也缺乏綜合的網管解決方案，因而發(fā)生問題時無從下手，這才意識到網管的重要。作為一套考慮完善、可靠性要求極高的系統(tǒng)，當然不希望有“亡羊補牢”的情況發(fā)生，因此網絡管理是網絡設計必不可少的考慮因素之一，從設備本身操作系統(tǒng)所具備的一些網管功能，到簡單的網絡管理工具，甚而功能強大的大型管理系統(tǒng)，用戶可根據(jù)自身的實際網絡應用和資金安排，循序漸進，逐步實現(xiàn)全面網絡管理功能。網絡從承載單一的數(shù)據(jù)到多種不同的應用，如何合理利用帶寬資源，保障關鍵性業(yè)務QoS等管理要求成為網絡規(guī)劃管理人員不能回避的問題，網絡管理系統(tǒng)必須提供有效的性能監(jiān)控與流量收集分析的網絡工具幫助網絡管理人員優(yōu)化網絡性能，準確地進行網絡規(guī)劃。多種業(yè)務的集成要求勢必帶來網絡硬件環(huán)境的變化。從單一的路由器與交換機的互連到集合了路由器，交換機，IP PHONE，語音網關，視頻設備等多樣設備的互連，設備管理和配置的直觀性，靈活性對網絡管理的效率至關重要。方案涉及產品介紹5 方案涉及產品介紹5.1 主要設備選型神州數(shù)碼（中國）有限公司具有業(yè)界最長最豐富的交換機產品線，其中新一代的大容量萬兆核心交換機DCRS-7600系列，可以提供豐富的IPv6實現(xiàn)技術，出色的體系結構，完整的攻擊和病毒防范功能線速萬兆和節(jié)能技術。而DCRS-6800系列可以提供大容量無阻塞的高性能業(yè)務交換，具備不斷擴展和升級的能力；提供大容量的二、三層線速交換，提供多種豐富的業(yè)務板卡，不斷滿足客戶對網絡的需求，并極大的保護用戶的投資。智能接入的DCS-4500-24T交換機，支持豐富的協(xié)議類型，用戶行為的管理控制、安全可靠，充分滿足客戶對網絡易管理、高性能、多業(yè)務承載的需求。5.2 DCRS-7608 IPv6萬兆核心交換機圖5-1 DCRS-7608 IPv6萬兆核心交換機5.2.1產品概述神州數(shù)碼DCRS-7608，豐富的IPv6實現(xiàn)技術，出色的體系結構，完整的攻擊和病毒防范功能，穩(wěn)定的核心保障機制，智能靈活的性能資源調度機制Flex Resource，便捷安全的網絡管理，運營商級的可靠性，線速萬兆和節(jié)能技術。5.2.2產品特性(1) 豐富的業(yè)務支持支持全線速的MPLS VPN業(yè)務：DCRS-7600系列支持全面的LDP功能和BGP/MPLS VPN功能的同時，還支。持MPLS VPN訪問公網功能，實現(xiàn)專網通信的同時，可以無阻隔地訪問公網，保障了業(yè)務的多樣性，可同時作為PE路由器、P路由器，還可根據(jù)需要支持版本升級擴展功能。支持領先的IPv6業(yè)務：DCRS-7600系列支持豐富的IPv6實現(xiàn)技術，完全基于ASIC的分布式全線速硬件方式進行轉發(fā)，能夠滿足高性能的IPv6應用。分布式硬件IPv6轉發(fā)方式，可以在本地實現(xiàn)IPv6報文的處理，并可在接口模塊內部及模塊與背板間實現(xiàn)IPv6報文的線速轉發(fā)，避免了集中式轉發(fā)、NP轉發(fā)等模式存在的瓶頸和時延問題；同時，作為國內和國際最先通過IPv6 Ready第二階段增強版認證和IPv6 Ready Dhcpv6認證的路由交換機，新增加了更安全的鄰居發(fā)現(xiàn)（ND）信息、認證封裝安全負載、避免了受到路由頭RH0攻擊的影響、避免了使用IPv6任播地址的限制、完善了無狀態(tài)地址分配的協(xié)議交互過程，為IPv6能真正在大規(guī)模商用環(huán)境中應用提供了安全方面的保障。支持強大復雜的組播業(yè)務：DCRS-7600系列支持強大的組播實現(xiàn)技術，不僅支持IPv4組播，還支持領先的IPv6組播，完全基于ASIC的分布式全線速硬件方式進行IPv4/IPv6組播轉發(fā)，能夠滿足高性能的多媒體應用。在IPv4方面，提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等為主，配以MSDP、anycast-RP、靜態(tài)組播路由、邊界組播、Multcast VLAN、IGMP Proxy、IGMP Snooping等為輔的多套IPv4組播解決方案；在神州數(shù)碼網絡的傳統(tǒng)強項IPv6方面，提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2為主，配以IPv6 anycast(泛播)-RP、IPv6靜態(tài)組播路由、IPv6邊界組播、IPv6 Multcast VLAN、IPv6組播隧道等為輔的多套IPv6組播解決方案，滿足了業(yè)務復雜的電信級IPv4/IPv6組播業(yè)務需求。(2) 出色的體系結構DCRS-7608提供了10個插槽，DCRS-7604提供了4個插槽，同時DCRS-7604管理引擎模塊支持高密度千兆端口，業(yè)界獨特，極大地保護了用戶的投資。 DCRS-7600系列產品采用全分布式體系結構設計，采用功能強大的ASIC芯片進行高速路由查找，采用最長匹配、逐包轉發(fā)的方式進行數(shù)據(jù)轉發(fā)，從而大大提升了路由交換機的轉發(fā)性能和擴充能力。(3) 完整的攻擊和病毒防范功能DCRS-7600系列具有多層的IPv4和IPv6安全防范設計，堪稱業(yè)界最全面，極有效地保障了超大規(guī)模、多業(yè)務、復雜流量訪問網絡的安全穩(wěn)定性：1 S-MAC技術可有效地基于MAC層防范各種攻擊；2 S-ARP (安全ARP) 技術可有效防止ARP的各種攻擊和欺騙；3 S-NDP (安全NDP) 技術可有效防止IPv6 NDP的各種攻擊和欺騙；4 S-ICMP（安全ICMP）技術可有效防止PING-DOS攻擊，靈活防止黑客利用ICMP；5 Unreachable攻擊第三方的行為；6 BPDU-GUARD技術可有效防止非法BPDU報文的攻擊；7 IPv4 DHCP Snooping/IPv6 DHCP Snooping技術可有效防止DHCP報文的攻擊；8 IPv4 URPF/IPv6 URPF技術可有效防止基于源IPv4地址IPv6欺騙的網絡攻擊；9 IPv4/IPv6 DCSCM可有效防止組播源和組播客戶端的攻擊；10 黑洞路由技術可有效防止路由環(huán)路、路由黑洞。(4) DCRS-7600系列的諸多設計可充分保障核心穩(wěn)定1 交換引擎CPU核心保護：可有效防止各類非法協(xié)議攻擊導致核心設備交換引擎癱瘓；2 關鍵協(xié)議綠色通道功能：可保障正常、合法、速度合理的關鍵控制報文（VRRP、STP、MSTP、RIP、OSPF、BGP、組播協(xié)議、雙引擎板間心跳等）在大流量業(yè)務下不被淹沒，快速處理不中斷；3 先進的FLASH ECC的自動糾錯：避免了版本升級過程中出錯的可能性；4 先進的內存ECC的自動糾錯：保障了設備運行的穩(wěn)定性。(5) 智能靈活的性能資源調度機制Flex Resource影響交換機性能的因素有很多：CPU、內存、MAC表、IP地址表、路由表、ACL表等等。這些資源都是有代價的，它們是交換機成本的重要組成部分。所以說，能不能在有限的成本范圍內，最大限度地提高交換機資源的利用率，就成為提升性能的有效之道！針對這個用戶需求，神州數(shù)碼網絡的Flex-Resource（柔性資源調度）可利用多項技術，動態(tài)調整、回收和再分配交換機資源,從而成倍地提高了核心交換機資源的利用率，支撐起更大規(guī)模的網絡。Flex-Resource目前支持Flex-LPM,Flex-L3,Flex-ARP等細分技術。(6) 便捷安全的網絡管理優(yōu)秀的網絡設備除了強大的性能和功能外還應具備完善的管理功能。DCRS-7600系列具有豐富的監(jiān)測網管功能，可實現(xiàn)任務異常、內存異常、交換芯片異常、CPU利用率、堆棧異常等方面的監(jiān)測，而SYSLOG功能可方便地記錄事件，便于事后查找和定位。DCRS-7600系列具備便捷安全的配置管理手段，支持標準SSH、SNMP v1/v2c/v3；Security IP功能可拒絕非法配置員，只有從合法的IP才能對交換機進行配置管理，防止非法用戶登陸交換機。(7) 運營商級的可靠性DCRS-7600系列路由交換機對所有關鍵部件都采用了冗余備份的設計方案：電源冗余、管理模塊冗余、鏈路冗余等，并且DCRS-7600系列路由交換機的交流電源采取多路(2-3路)電網供電電源工作時負載均衡，大大提高了電源的穩(wěn)定和可靠。雙引擎HA技術，保證在主引擎出現(xiàn)故障時，備份引擎自動接管交換機設備變成主引擎，從而保證交換機的穩(wěn)定可靠運行。同時所有單板、電源模塊、風扇盤等都支持熱插拔，提高了網絡運行的連續(xù)性。(8) 線速萬兆和節(jié)能技術DCRS-7600系列交換機擁有著先進的萬兆以太網支持，最高可提供Tbps級的交換容量和Mbps級的包轉發(fā)能力。在保持線速轉發(fā)性能的基礎上，支持各種高密度接口板，滿足核心層設備高密度、高吞吐量的要求，為城域和廣域的應用提供了針對性的解決措施，可以簡化網絡結構、降低網絡建設成本。DCRS-7600系列交換機還采取了最新的節(jié)能技術，擁有著業(yè)界同級別產品中最低的功耗，在當前這個能源緊張的時代節(jié)能的意義可想而知。并且，低功率意味著低散熱，可讓長期運行的核心網絡設備的系統(tǒng)穩(wěn)定性大大增強。5.3 CRS-6804萬兆核心路由交換機圖5-2 CRS-6804萬兆核心路由交換機5.3.1 產品概述DCRS-6804路由交換機為企業(yè)和電信網絡提供了優(yōu)秀的安全性、可靠性、業(yè)務多樣性和擴展能力。DCRS-6804可作為中小型校園網、企業(yè)網的核心層設備或作為大型校園網、IP城域網的匯聚層設備，它們不僅能夠降低用戶構建下一代網絡的復雜性，而且提供了很好的投資保護。DCRS-6804路由交換機率先通過最為苛刻的國際IPv6 Ready第二階段增強版認證，神州數(shù)碼網絡是國內第一家通過該認證的廠商。同時DCRS-6804路由交換機通過IPv6 Ready Dhcpv6認證，神州數(shù)碼是全球第一家通過該認證的廠商。借助芯片級的轉發(fā)能力和多樣化的業(yè)務支持，以及較高的性價比，DCRS-6804成為企業(yè)級網絡和電信城域匯聚層部署IPv6的最佳解決方案的一部分。該系列目前包括DCRS-6804, DCRS-6808等交換機。DCRS-6808提供10個槽位，具備強大的交換容量和轉發(fā)能力，可全線速地進行L2/L3數(shù)據(jù)轉發(fā)，能夠滿足用戶對于網絡規(guī)模的擴展要求。DCRS-6804提供了4個插槽，其管理模塊均帶有業(yè)務接口。DCRS-6804L是一種高性價比的組合：在配予專用電源模塊之后，利用L型專用管理模塊，DCRS-6804L則成為一臺滿足中小型網絡核心需求的高性價比機箱交換機。DCRS-6804交換機的管理模塊、電源模塊支持冗余備份和負載均衡，板卡、電源、風扇均支持熱插拔，為DCRS-6804提供了電信運營商級的可靠性。5.3.2 產品特性(1) 豐富的業(yè)務支持1 支持全線速的MPLS VPN業(yè)務；DCRS-6800系列支持全面的LDP功能和BGP/MPLS VPN功能的同時，還支持MPLS VPN訪問公網功能，實現(xiàn)專網通信的同時，可以無阻隔地訪問公網，保障了業(yè)務的多樣性，可同時作為PE、P，還可根據(jù)需要支持版本升級擴展功能，極大地保護了用戶的投資。2 支持領先的IPv6業(yè)務；DCRS-6800系列支持豐富的IPv6實現(xiàn)技術，完全基于ASIC的分布式全線速硬件方式進行轉發(fā)，能夠滿足高性能的IPv6應用。分布式硬件IPv6轉發(fā)方式，可以在本地實現(xiàn)IPv6報文的處理，并可在接口模塊內部及模塊與背板間實現(xiàn)IPv6報文的線速轉發(fā)，避免了集中式轉發(fā)、NP轉發(fā)等模式存在的瓶頸和時延問題；同時，作為國內和國際最先通過IPv6 Ready第二階段增強版認證和IPv6 Ready Dhcpv6認證的路由交換機，新增加了更安全的鄰居發(fā)現(xiàn)（ND）信息、認證封裝安全負載、避免了受到路由頭RH0攻擊的影響、避免了使用IPv6任播地址的限制、完善了無狀態(tài)地址分配的協(xié)議交互過程，為IPv6能真正在大規(guī)模商用環(huán)境中應用提供了安全方面的保障。3 支持強大復雜的組播業(yè)務。DCRS-6800系列支持強大的組播實現(xiàn)技術，不僅支持IPv4組播，還支持領先的IPv6組播，完全基于ASIC的分布式全線速硬件方式進行IPv4/IPv6組播轉發(fā)，能夠滿足高性能的多媒體應用。在IPv4方面，提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等為主，配以MSDP、anycast-RP、靜態(tài)組播路由、邊界組播、Multcast Vlan、IGMP Proxy、IGMP Snooping等為輔的多套IPv4組播解決方案；在神州數(shù)碼網絡的傳統(tǒng)強項IPv6方面，提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2為主，配以IPv6 anycast(泛播)-RP、IPv6靜態(tài)組播路由、IPv6邊界組播、IPv6 Multcast Vlan、IPv6組播隧道等為輔的多套IPv6組播解決方案，滿足了業(yè)務復雜的電信級IPv4/IPv6組播業(yè)務需求。(2) 運營商級的可靠性為了滿足苛刻的運營商級網絡對設備可靠性的要求，DCRS-6800系列交換機對所有關鍵部件都采用了冗余備份的設計方案，并且可隨時監(jiān)控各個部件的工作溫度并在出現(xiàn)溫度異常時自動報警。(3) 強大的ACL功能支持標準和擴展ACL，支持IP ACL、基于IP子網的ACL、MAC ACL、IP-MAC ACL，支持基于源/目的IP、三層IP協(xié)議類型、TCP/UDP四層端口號、IP優(yōu)先級、ToS，并且以上功能完全依靠硬件線速實現(xiàn)，不影響轉發(fā)性能。(4) 增強的安全特色1 全面的受控組播方案DCSCM，可以對源和目的進行安全控制，完整實現(xiàn)了在接入層網絡中應用了基于IGMP源端口和目的端口檢查技術，可完全限制合法組播在網絡中的穩(wěn)定傳輸，有效控制組播建立的整個過程，保障了正常合法的組播應用的穩(wěn)定運行。 2 支持ACL-X可基于時間段設置安全策略，安全設置隨時間而動，在不同的時間段自動切換為不同的策略；智能化流量控制，可基于ACL進行流量分類，更加精細和貼近業(yè)務分類。 3 交換引擎CPU核心保護：可有效防止各類非法協(xié)議攻擊導致核心設備交換引擎癱瘓。 4 “關鍵協(xié)議綠色通道” 功能：可保障正常、合法、速度合理的關鍵控制報文（STP、MSTP、RIP、OSFP、BGP、組播協(xié)議、雙引擎板間心跳等）在大流量業(yè)務下不被淹沒，快速處理不中斷。5 先進的LPM技術：可抵抗“沖擊波”病毒、“zero day”病毒、“SQL slammer warm”病毒等。6 端口信任模式：則可檢測非法DHCP Server等，只在信任端口才能接入這些設備，從而保障網絡的安全。7 智能靈活的性能資源調度機制Flex Resource。影響交換機性能的因素有很多：CPU、內存、MAC表、IP地址表、路由表、ACL表等等。這些資源都是有代價的，它們是交換機成本的重要組成部分。所以說，能不能在有限的成本范圍內，最大限度地提高交換機資源的利用率，就成為提升性能的有效之道！針對這個用戶需求，神州數(shù)碼網絡的Flex Resource（柔性資源調度）可利用多項技術，動態(tài)調整、回收和再分配交換機資源,從而成倍地提高了核心交換機資源的利用率，支撐起更大規(guī)模的網絡。(5) 豐富靈活的QoSDCRS-6800系列交換機為每個端口提供了8個優(yōu)先級隊列，完全硬件實現(xiàn)，不影響性能。每端口8個隊列，支持基于802.1p、TOS、端口、DiffServ進行流量分類還可以根據(jù)ACL-X的80個字節(jié)高層內容進行流量分類，同時支持WRR、SP、SWRR等隊列算法，還支持入口流量整形。為語音/數(shù)據(jù)/視頻在同一網絡中傳輸提供所要求的不同服務質量。5.4 DCS-4500-26T智能安全接入交換機圖 5-3 DCS-4500-26T智能安全接入交換機5.4.1 產品概述DCS-4500-26T是千兆交換機，固化端口組合更加豐富，最大限度的滿足網絡流量擴展及多媒體業(yè)務迅速增長的需要，提高投資的性價比。它支持豐富的協(xié)議命令，如基于流的mirror及數(shù)據(jù)統(tǒng)計、端口環(huán)路檢測、BPDU/Root Guard、Auto VLAN、Guest VLAN、Voice VLAN、支持最大32組LAG的端口聚合組數(shù)等等。這還是一款高安全性交換機，可全面防范ARP欺騙，具體可支持防ARP掃描、ARP Guard，同時還支持非法組播源檢測，基于芯片的防DOS攻擊等。DCS-4500-26T全面支持IPv6主機配置，具備SNMP v6、HTTP v6等，更靈活的適應網絡環(huán)境的需要，可在IPv4、IPv6網絡部署中收放自如。同時在機器性能上，它支持接入SFP百兆光模塊，支持ECC糾錯功能，具備集群批量升級功能，降低了用戶的投資及維護成本。DCS-4500-26T是千兆銅纜的接入，更大限度的釋放了帶寬，實現(xiàn)諸如電子政務應急指揮系統(tǒng)、高校的遠程視頻教學及視頻點播、網吧游戲系統(tǒng)、生產制造業(yè)的設計加工協(xié)助等的高效率運轉。神州數(shù)碼網絡的DCS-4500-26T所具備的高密度端口組合、豐富的協(xié)議支持、全面的安全接入、靈活的網絡適應、容易的網管及維護，是用戶千兆接入的理想選擇。5.4.2 主要特性(1) 高密度千兆端口組合DCS-3950系列交換機提供了3款不同端口組合的產品供用戶選擇：1 DCS-4500-26T提供了26個10/100/1000 Base-T以太網接口及4個固化1000Base-T SFP以太網接口（combo），同時千兆光口可支持百兆光的接入。2 DCS-4500-50T提供了50個10/100/1000 Base-T以太網接口及4個固化1000Base-T SFP以太網接口（combo），同時千兆光口可支持百兆光的接入。3 DCS-4500-26T-PoE提供了26個10/100/1000 Base-T以太網接口（PoE）及4個固化1000Base-T SFP以太網接口（combo），同時千兆光口可支持百兆光的接入。(2) 豐富的協(xié)議支持DCS-4500-26T支持全面的QoS功能，交換機可根據(jù)端口、VLAN、COS、802.1p、ToS、DSCP、TCP/UDP端口進行流量分類，并分配不同的服務級別，支持SP/WRR/SWRR等隊列調度算法，為視頻/數(shù)據(jù)/語音在同一網絡中傳輸提供所要求的不同服務質量。DCS-4500-26T交換機支持802.1d/w/s 生成樹協(xié)議，同時支持BPDU Guard、Root Guard及BPDU報文透傳，能有效防止黑客針對整個交換結構發(fā)動的BPDU拒絕服務攻擊，提高了數(shù)據(jù)傳輸?shù)陌踩浴＝粨Q機還支持802.1Q、802.1p、802.3ad、802.3x、GVRP、DHCP等標準。DCS-4500-26T支持高適應性的VLAN特性，系列除了支持傳統(tǒng)的802.1q和基于端口、MAC的Vlan，還具備支持基于用戶的Vlan劃分功能。管理員可根據(jù)當前登陸交換機的用戶信息（基于IP+MAC的識別），來決定該端口屬于哪一個VLAN組，最大限度的保證了接入用戶的安全，同時還可以根據(jù)用戶權限進行VLAN設置。DCS-4500-26T具備Auto VLAN及Guest VLAN功能，可以根據(jù)用戶權限進行VLAN設置。比如企業(yè)用戶，來訪者接入網絡后系統(tǒng)把其自動加入相應的VLAN，使來訪者可以訪問內網中指定VLAN的一些開放資源。對于高校用戶，新生第一次入學只能具備有限訪問權限，同時可開放資源給不符合安全管理策略的終端，實現(xiàn)其自動修復。DCS-4500-26T的Vlan VPN（QinQ）技術為企業(yè)用戶和運營商提供了低成本、簡便易行、易于管理的二層VPN功能。在實際應用環(huán)境中，QinQ技術實現(xiàn)了VLAN數(shù)量的擴展，增加了VLAN資源。同時本交換機還具備Voice VLAN特性，系統(tǒng)通過識別設備類型，將IP電話等終端加入專用語音vlan（voice vlan），為語音業(yè)務提供良好的QoS保證。(3) 全面的安全功能DCS-4500-26T提供了完整的ACL策略，可根據(jù)報文多種字段對數(shù)據(jù)進行分類，并使用不同的策略進行轉發(fā)。它支持基于IP地址、MAC地址的ACL策略，支持基于時間段的ACL配置，支持ACL配置在VLAN上。通過ACL策略的實施，用戶可以過濾掉“沖擊波”、“震蕩波”、“紅色代碼”等病毒包，防止擴散和沖擊核心設備。支持IEEE802.1x基于端口的認證，為網絡提供端口級的安全保證。 配合RADIUS等認證機制，可有效防止非法用戶侵入網絡。DCS-4500-26T可有效防范ARP欺騙，它通過防ARP掃描技術、ARP Guard技術等，杜絕攻擊源通過ARP漏洞對網絡進行攻擊，可最大限度的減少網絡使用過程中的時斷時續(xù)、掉線頻繁，增加網絡的安全可用。(4) 靈活的網絡融合能力DCS-4500-26T-PoE設備支持PoE（Power over Ethernet）技術，可通過以太網對所連接的設備（包括無線AP、IP電話、網絡攝像頭等）進行供電，從而減少了大量電源連接線的部署，降低了用戶的布線成本。DCS-4500-26T-PoE設備的24個千兆電口都能提供PoE供電，每個端口支持最大PoE供電功耗為15.4W，整機最大PoE供電功耗為195W，24個端口可共享195W的功耗。系統(tǒng)可對PoE端口做多項設置：可設定每個端口的最大輸出功率，實現(xiàn)有效省電；設定端口的供電優(yōu)先級，在接入供電設備過多的情況下最大限度的滿足優(yōu)先級高的設備先得到供電；設定POE供電功能關閉，可選擇性的設定端口PoE供電。DCS-4500-26T可靈活接入IPv6或IPv4主機，可隨心所欲的應用在IPv4或IPv6的網絡環(huán)境中，同時，滿足用戶從IPv4到IPv6網絡的平滑升級過渡，避免了用戶的二次投資。(5) 便捷的網絡管理界面DCS-4500-26T交換機支持SNMP，支持帶內和帶外管理，支持CLI和WEB界面，支持Security IP功能，可以防止非法用戶登陸和修改交換機的配置。支持SSH協(xié)議，可以最大限度地保證交換機的配置管理的安全性。可采用神州數(shù)碼集中網管系統(tǒng)LinkManager統(tǒng)一管理，方便簡捷。(6) 完整的認證計費解決方案DCS-4500-26T交換機支持完整的神州數(shù)碼增強型802.1x認證計費解決方案，支持按交換機端口和MAC地址方式的認證。實施該套方案后，用戶在不通過認證的情況下將無法使用網絡，可以有效避免用戶私自更改IP對網絡的沖擊。配合神州數(shù)碼的安全接入控制與計費系統(tǒng)DCBI-3000和802.1x客戶端，可以實現(xiàn)按時長/流量計費，可以實現(xiàn)用戶帳號、密碼、IP、MAC、VLAN、端口、交換機的嚴格綁定，還可以防止代理軟件對合法客戶發(fā)送通知/廣告，進行上網時段控制，基于用戶動態(tài)實現(xiàn)VLAN授權和帶寬授權，可基于組策略實現(xiàn)動態(tài)IP地址分配而不必使用DHCP服務器等。DCS-4500系列交換機是實現(xiàn)網絡運營的非常理想的接入交換機。(7) 綠色環(huán)保的多維綠網設計理念多維綠網是神州數(shù)碼網絡多年3D-SMP（動態(tài)分布式安全域管理策略）實施經驗的集