网络安全设计方案

1.1设计原则。

1. 充分满足现在以及未来3-5年内的网络需求，既要保证校园网能很好的为学校服务，又要保护学校的投资。

2. 强大的安全管理措施，四分建设、六分管理，管理维护的好坏是校园网正常运行的关键。

3. 在满足学校的需求的前提下，建出自己的特色。

1.2网络建设需求。

网络的稳定性要求。

整个网络需要具有高度的稳定性，能够满足不同用户对网络访问的不同要求。

网络高性能需求。

整个网络系统需要具有很高的性能，能够满足各种流**的无障碍传输，保证校园网各种应用的畅通无阻。

认证计费效率高，对用户的认证和计费不会对网络性能造成瓶颈。

网络安全需求。

防止ip地址冲突。

非法站点访问过滤。

非法言论的准确追踪。

恶意攻击的实时处理。

记录访问日志提供完整审计。

网络管理需求。

需要方便的进行用户管理，包括开户、销户、资料修改和查询。

需要能够对网络设备进行集中的统一管理。

需要对网络故障进行快速高效的处理。

第二章、某校园网方案设计。

2.1校园网现网拓扑图。

整个网络采用二级的网络架构：核心、接入。

核心采用一台rg－s4909，负责整个校园网的数据**，同时为接入交换机s1926f+、内部服务器提供百兆接口。网络出口采用rg-wall1200防火墙。原有网络设备功能较少，无法进行安全防护，已经不能满足应用的需求。

2.2校园网设备更新方案。

方案一：不更换核心设备。

核心仍然采用锐捷网络s4909交换机，在中校区增加一台sam服务器，部署sam系统，同时东校区和西校区各用3台s2126g替换原有s1926f+,其中汇聚交换机各采用一台新增的s2126g，剩余的两台s2126g用于加强对关键机器的保护，中校区的网络结构也做相应的调整，采用现有的两台s2126g做为汇聚设备，其它交换机分别接入这两台交换机，从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。

方案二：更换核心设备。

核心采用一台锐捷网络面向10万兆平台设计的多业务ipv6路由交换机rg-s8606，负责整个校园网的数据**。在中校区增加一台sam服务器，部署sam系统，同时东校区和西校区各用3台s2126g替换原有s1926f+。将原有的s4909放到东校区做为汇聚设备，下接三台s2126g实现安全控制，其它二层交换机分别接入相应的s2126g。

西校区汇聚采用一台s2126g，剩余两台s2126g用于保护重点机器，其它交换机接入对应的s2126g。中校区的网络结构也做相应的调整，采用现有的两台s2126g做为汇聚设备，其它交换机分别接入这两台交换机，从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。

2.3骨干网络设计。

骨干网络由rg-s8606构成，核心交换机rg-s8606主要具有5特性：

1、骨干网带宽设计：千兆骨干，可平滑升级到万兆。

整个骨干网采用千兆双规线路的设计，二条线路通过vrrp冗余路由协议和ospf动态路由协议实现负载分担和冗余备份，以后，随着网络流量的增加，可以将链路升级到万兆。

2、骨干设备的安全设计：css安全体系架构。

3、css之硬件cpp

cpp即cpu protect policy，rg-s8606采用硬件来实现，cpp提供管理模块和线卡cpu的保护功能，对发往cpu的数据流进行带宽限制（总带宽、qos队列带宽、类型报文带宽），这样，对于arp攻击的数据流、针对cpu的网络攻击和病毒数据流，rg-s8606分配给其的带宽非常的有限，不会影响其正常工作。

由于锐捷10万兆产品rg-s8606采用硬件的方式实现，不影响整机的运行效率。

4、css之spoh技术。

现在的网络需要更安全、需要为不同的业务提供不同的处理优先级，这样，大量的acl和qos需要部署，需要核心交换机来处理，而这些应用属于对交换机硬件资源消耗非常大的，核心交换机rg-s8606通过在交换机的每一个用户端口上增加一个ffp(快速过滤处理器)，专门用来处理acl和qos，相当于把交换机的每一个端口都变成了一**立的交换机，可以保证在非常复杂的网络环境中核心交换机的高性能。

网络安全设计方案

网络安全设计方案

网络安全设计方案

网络安全设计方案

其他用户还读了