济宁中小学网络技术培训-设计与选型部分初步.pptVIP

济宁市中小学网络技术培训 汇报提纲 中小学网络整体设计 交换产品及技术 路由产品及技术 无线产品及技术 网络的层次划分 网络拓扑层次设计 网络中常用的拓扑结构 网络中常用的拓扑结构 汇报提纲 中小学网络整体设计 交换产品及技术 路由产品及技术 无线产品及技术 小型校园网交换设备选型建议 中型校园网交换设备选型建议 大型校园网交换设备选型建议 常用安全控制策略－VLAN 常用安全控制策略－VLAN 采用访问控制列表ACL进行L1层～L4层隔离 常用安全控制手段－安全设备防护 当内部网络与外部网络相连时，需要对内部网络进行必要的网络 防护措施。 即使在不需要与外网相连的情况下，也需要对内部网络中异常重 要的服务器进行防护。 网络防护主要通过防火墙设备来实施。 网络安全的补充措施—日志记录 汇报提纲 中小学网络整体设计 交换产品及技术 路由产品及技术 无线产品及技术 路由器常用功能－链路备份 路由器常用功能—NAT 小型校园网路由设备选型建议 中型校园网路由设备选型建议 大型校园网路由设备选型建议 汇报提纲 中小学网络整体设计 交换产品及技术 路由产品及技术 无线产品及技术 小型校园网无线选型建议 中型校园网无线选型建议 大型校园网无线选型建议 1、核心到汇聚只需要1个互联地址对（占用4个IP），非IRF情况下需要6个地址对（24个地址）；单跳路由，流量在6*10GE捆绑链路上HASH分担，无需考虑路由策略，只需启用简单的OSFP（甚至静态路由）。 2、汇聚到接入不需要启用VRRP、MSTP、STP等协议，无环路，接入到汇聚4*GE均可用。 3、服务器双网卡可启用LACP（链路捆绑）方式，2*GE均可用。 4、所需管理的设备数量减少一半。 5、设备/链路故障的恢复时间降至毫秒级，大大优于OSPF、生成树等协议。 * * 此页用来描述该章的授课内容，方便老师授课。 这种形式适合于本章下面不再细分节的情况。011 内容处将本章要讲解的主要内容列成简练的标题。 此页仅授课时使用，胶片＋注释不引用。 对称性备份 非对称性备份 静态NAT 基于IP的动态NAT 基于端口的动态NAT 非TCP、UDP协议的端口转换，如L2TP Network A NAT Network B 网络出口的瓶颈 出口设备的表现成为影响用户体验、业务运行的瓶颈，需要进行有效疏导 出口带宽拥挤，而非关键应用当道； 安全防线薄弱； 政策要求进行上网行为监管； 面临的压力 数字校园的变化 用户数量的增长； 网络应用的发展； 多媒体与高带宽消耗应用的发展； 教育局 学校 学校 学校 普教城域网 分层设计构筑安全高效网络出口 SecPath UTM SR6602 ACG2000 iNode安全客户端 用户上网行为管理 行为识别 行为控制 ACG识别用户的访问情况和流量信息 路由器进行NAT地址转换 交换机 SecPath ACG 校园网 SR6602 UBAS EAD 行为审计 ① ① ② ③ ACG根据流控策略和内容过滤策略，对用户行为进行细粒度的控制 ACG发送用户上网行为信息， 路由器发送NAT日志， UBAS进行记录，供事后审计 教育局出口：出口网关+ACG组合 高性能： 转发性能：8.4Mpps 并发连接性能：400万 新建连接数：30万/s 固定接口： 4个GE（光电复用），可扩展 灵活的策略路由，适应多出口应用模式 SR6602多核 紧凑型设计 高性能强业务 教育局出口：出口网关+ACG组合 张三 李四 Radius Server DHCP Server H3C ACG SecCenter ACG Manager LAN 带宽滥用：P2P、游戏、炒股等 公安部82号令：记录上网行为，保存NAT记录等，便于事后查询 ACG可用于带宽管理控制；分析和记录用户的上网行为 并发连接不低于5万； 每秒新建连接不低于5000； 支持IPv6； 满足静态路由、RIP、OSPF等路由协议部署； 支持多出口应用模式； 满足百兆口线速处理要求 主要要求 路由器 设备名称 小型分支机构（500终端以下） 固化三层交换机 支持虚拟化 UTM统一威胁网关 三层接入交换机 路由器 中型分支机构（1000终端以下） 中端多业务路由器 UTM统一威胁网关 模块化核心交换机 并发连接不低于25万； 每秒新建连接不低于8000； 支持IPv6； 满足静态路由、RIP、OSPF等路由协议部署； 支持多出口应用模式； 满足多条百兆口线速处理要求； 主要要求 路由器 设备名称 中型分支机构（1000终端以上） 高性能路由网关 UTM统一威胁网关 模块化核心交换机 并发连接不低于50万； 每秒新建连接不低于10000； 支持IPv6； 满足