社区网络规划设计方案

前 言

当今社会已步入信息时代，信息成为社会经济发展的核心因素，信息化已成

为当今世界潮流。以计算机网络迅猛发展而形成的网络化是推动信息化、数字化

和全球化的综合信息系统，基于计算机网络的各种网络应用系统通过在网络中对

数字信息的综合采集、存储、传输、处理和利用而在全球范围把人类社会更紧密

地联系起来，并以不可抗拒之势影响和冲击着人类社会政治、经济、和日常工作、

生活的各个方面。因此，计算机网络将注定成为21世纪全球信息社会最重要的

基础设施。

随着技术的发展，人们对网络要求也越来越多，越来越高！社区宽带网络是

接到小区用户的高速网络，网络速率应该足以支持视频，通常至少是2Mbps.社

区宽带网是连接普通用户终端设备和信息高速公路之间的桥梁。随着人民生活水

平的提高和科学技术水平的发展，市民的消费水平的提高，享受意识也随之改变！

市民越来越觉得去网吧上网————网速快，却周围环境差！在家里上网冲浪，

越来越受广大市民的钟爱！

由于社区网络提供多种实用实惠的网络服务：社区服务、电子商务、娱乐项

目和网络教育项目等等四个大项目。因此，越来越受市民的垂青！

社区宽带网强调娱乐，要易于使用、系统提供娱乐节目到社区必须比原有的

商务系统有更优良的性能。

社区网建设的目标是为广大市民提供高速网络带宽，丰富社区活动，网络教育的

项目

第一章 背景分析

1.1用户信息及应用需求

1

）、用户概况

XX小区整体有6栋楼，每栋5单元，都为居住，每单元4户住户。总共120

户。

图形如下：

一栋二栋

三栋四栋

五栋六栋

2）、

应用的需求：

通过社区网建设满足居民稳定高速的访问Internet，丰富的社区活动，

通过计算机网络增进社区居民与居民之间沟通互助、友谊！具体的如下：

（1）社区服务和电子商务

宽带网络社区中的电子商务之所以被广泛看好，是因为物业管理与服务

完全可以在网上完成。社区信息为社区服务（医疗、物业管理的一系列项目）

和电子商务提供了很好的应用平台，它不仅为电子商务提供了真实的用户群

体和很好的安全性能，而且在配送方面也具有得天独厚的优势。就安全性而

言，在局域网内提供的金融服务会有更好的安全性，它只需要验证一下固定

的IP地址即可。社区拥有一支较好的物业管理队伍，那么它完全可以拥有很

好的物流配送体系。从这个角度来说，社区的电子商务也会有更好的前景。

（2）娱乐项目

娱乐项目包括娱乐信息、视频点播（VOD）、网络游戏等等。从现在社会

发展趋势来看，娱乐将是一个最大的消费市场。人们在家庭生活中60%--70%

的时间会用于娱乐活动。

(3)网络教育项目

在宽带的条件下，许多教育内容可以通过多媒体的方式来传输，从而充

分发挥了网络的优势，使教育的内容更加丰富多彩，更易于理解和接受。为

人们提供了更多的教育机会，使我们随时随地都能接受教育资源。

(4)对网络的需求：

网络需求要考虑网络本身和网络管理员的需求，要求网络易于管理，其

中包括网络的拓扑结构、联网软件、网络互连设备等等。所有网络设备均可

用相匹配的网管软件进行监控、管理和设置。网络设备要求具有高的可靠性

和可升级性，能够适应用户的数量扩展，能够保证未来网络的升级时的平稳

过渡，提供足够的带宽，以适应社区网上信息结构多样化；网络必须安全可

靠，应有一定的防范、安全机制，防止被破坏、滥用。

第二章 小区网络需求分析

2.1技术应用背景分析

住宅小区通信网络是小区内综合信息服务、小区与外界广域网连接、小

区智能物业管理的物理平台。构建小区通信网络平台，要考虑网络提供综合信息

与资讯服务的能力，网络的先进性、扩展性、性价比以及开发商（用户）对投资

费用的承受能力。综合考虑各方面因素，参考了多个方案以后，我们可以看出 ：

现阶段建设小区宽带通信网络平台多以采用以大网方式或有线电视HFC网，也

可采用两者结合的方式来进行的。

以太网是目前应用最为广泛的局域网络，它采用基带传输，通过对绞线和

传输设备，实现 10Mbps／100Mbps／1000Mbps的数据传输。由于应用广泛，各

大网络设备生产商均投入极大精力于这类技术产品的研究和开发，技术不断创

新，从最初的同轴电线上的共享10Mbps传输技术，发展到现在的在对绞线和光

纤上的100Mbps甚至100OMbps的传输、交换技术。目前，大部分局域网络均

采用以太网，在大型网络系统中的各个子网也多数构成以太网。从应用来看，办

公室自动化、证券、校园网、控制系统等各类应用均以以太网为主要的通讯传输

方式，应用非常广泛，而且仍保持很猛的发展势头，可以预见，将来的局域网仍

将以以太网为主流技术。总之，以太网是目前网络技术中先进成熟，实时性强，

应用广泛，性能稳定，价格低廉的通讯技术，是信息化住宅小区通讯网的理想选

择。

千兆以太网继承了传统以太网的特点，并极大地拓宽了带宽，与10／

1OOMbps以大网保持良好的兼容性，增加了对Qos的支持，以高带宽和流量控

制的策略来满足应用的需要，是信息化住宅小区局域骨干网的理想选择。

2.2小区局域以太网

2.2.1功能说明和设计要求

住宅小区局域网一般涵盖若干标用户住宅楼、小区管理控制中心、小区公

共会所、小区物业管理公司以及区内各类集团用户，并通过一定的方式与小区智

能控制网连接。

网络设计要求采用可靠、先进、成熟的技术；所有信息点具有交换能力；支持虚

网划分;支持多媒体应用；能进行良好的网络管理；具有良好的扩充性和升级能

力。

2.2.2网络系统

整个网络包括广域网（Internet、各专业网）接入、小区网络系统及小区网

络控制中心。

小区网络系统采用星型拓扑结构，分为系统中心（小区管理控制中心）、区

域中心、住宅楼栋和用户四级。根据小区的规模和用户楼栋的分布情况，为便于

网络设计和管理，可将整个小区分成若干个区域，每个区域设一个区域中心，管

辖若干个相近的楼栋。根据小区网络设计要求，小区局域主干采用千兆以太网，

在系统中心设一千兆以太网核心交换机，在各区域中心设置工作组交换机，各工

作组交换机配置1000Mbps FX上联端口，通过光纤与核心交换机连接，构成智

能化住宅小区千兆以太骨干网。每个区域内，在各楼栋设备间设置100／10Mbps

交换式集线器，交换式集线器通过100Mbps TX上联端口经五类对绞线与工作组

交换机连接，根据需要也可通过 100Mbps FX端口经光纤连接。在楼内，交换式

集线器通过10Mbps TX端口经楼内5类综合布线连接用户计算机。这样，核心

交换机与工作组交换机之间可提供高达 1000Mbps的传输速率，工作组交换机向

各楼栋提供100Mbps的传输速率，每个最终用户可独享10Mbps的通信带宽。

2.2业务需求分析

小区的业务主要以上网娱乐、电子商务、网络教育为主，同时有的用户会

涉及办应用，这会涉及PC连接，非压缩视频的服务，文件的服务。

对于小区需求分析如下：

（1）Vlan (Virtual LAN) 划分

采用Vlan的一个原因是，通过VLAN划分可有效的减小网络广播域，

提供网络利用率。而且在不同的虚拟网络间还可以进行比一般桥上过滤功能强得

多的控制能力，加强网络的控制。

对于小区网络系统来讲，存在不同类型的，彼此关系不是非常紧密的子系统，

这些子系统的信息点分布可能集中在某一特定的物理范围，也可能分布在全网范

围之内。为了将这些子系统在全网范围内互相隔离以及将同一个子系统的信息点

划分到一个逻辑的网络中，采用虚拟网技术是必不可少的。所以要求网络设备必

须支持全网范围内的虚拟网划分。此外，通过虚拟网的划分也便于系统今后的变

化和发展。

（2）第三层交换能力

对于第三层交换能力，因为在网络系统内部进行了Vlan划分，各子网间的

数据交换必须通过路由器转发。此外，内部网络带宽的急速增加，网络内部

Intranet应用使得大量数据不是限制在网络内部，而是跨越网络边界，传统的路

由器不能满足这一日益增长的需要，所以在网络中采用第三层交换技术是十分必

要的。

（3）多媒体网

在本网络系统中，要建立一个不光是为数据，而且要为视频、图像等

多媒体传输的高速网络通信平台。这要求网络系统必须对多媒体数据由支

持能力。这包括两点：

1）、网络必须能区分这些多媒体数据，并应能保证其优先及时的传送；

2）、支持众多多媒体应用所采用的组播技术。

（4）网络可靠性

网络系统的可靠性是整个网络应用稳定可靠的基础，对于一个网络系

统，保障设备可靠性和骨干网络不间断的运行是网络设计成功与否的一个关

键因素。

（5）采用开放的、标准的相应协议

在网络技术日新月异的今天，新的应用推动网络技术更新的形式已显现

出来。为保证与今后新建的网络系统可以互联，必须在系统中采用相关的

工业标准。

最终我们强调，系统设计小区现在和未来20年内的需求，不能盲目追求大

而全，以最少的投资创造实际需要的功能。

2.3通信量的需求分析

类型 基本宽带需求 备注

PC连接 14.4kbit/s---56kbit/s 用于HTTP，E-mail

文件服务 100kbit/s以上 在线游戏，文件共享等纯

压缩视频 256kbit/s以上 Mp3,rm 等流媒体传输

非压缩视频 2Mbit/s以上 Vod视频点播

文本应用

2.4管理性需求分析

根据用户需求分析的结果可知，桃园小区必须是一个可管理的网络，因此，

在逻辑网络设计时，必须进行网络管理设计。

根据客户机/服务器应用模式和全网范围资源集中管理的原则，建立网络管

理中心，统一网络中的交换设备的管理配置等。

⑴ 网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维

护。

⑵ 支持RMON 和RMON2管理标准。

⑶ 进行故障隔离和分析、统计、报警和设置。

⑷ 网管软件采用图形化用户界面，支持广泛的网管平台。

2.5网络设计原则

网络系统设计将严格遵守各种相关的技术原则，遵循各种相关的技术标准

和规范，整个网络系统设计严格按照以下原则进行：

 先进性和实用性

采用先进成熟的技术满足内部应用系统的需求，兼顾其他相关的管理需求，

尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需

要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展

的需要

 灵活性和可扩展性

计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可

扩展性，能够根据小区周边扩建发展的需要，方便的扩展网络覆盖范围、扩大网

络容量和提高网络的各层次节点的功能。具备支持多种应用系统的能力，提供技

术升级、设备更新的灵活性。

第三章 网络组网技术选型

3.1骨干网技术选型

千兆以太网于1998年6月达成标准，在高速局域网的主干连接方面已经

形成统治地位。

它遵循1000Ba-Tx,1000Ba-Fx的技术标准；

使用光纤作为主要传输介质，传输建立广，线路质量高；提供高达1Gbit/s

的主干带宽，如核心交换机支持链路聚合技术，还可以将骨干网带宽提高到n

Gbit/s;核心交换机通常具有第三次交换功能，支持RIPv2等路由协议，能在VLAN

之间转发数据包。

3.2设备供应商选型

基于对现实各个供应商的了解，对安全性、可靠性、应用广泛性来考虑，我们采用

锐捷公司的产品。

第四章 网络设计

4.1 设计目标

（1）小区局域网的构成

此网络系统由硬件系统和软件系统构成。其中硬件系统主要由网络系统（防

火墙、路由器、交换机等）、主机系统（服务器、工作站等）、外部设备（UPS、

磁盘阵列等）以及布线系统组成；软件系统主要由系统软件（网络操作系统、网

络管理系统、安全系统等）和应用软件（办公自动化系统、小区物业管理系统等）

组成。

（2）逻辑设计目标

小区网络系统设计的总体目标是充分利用信息技术，建立多层次、高可靠稳

定性、可管理、可运营、经济实用的开放式数字化小区，促进提高为小区居民服

务质量和效益。具体体现在以下4个方面：

① 总体规划，分布实施。

② 以小区娱乐活动和物业管理活动为核心，以居民为主体。

③ 注重应用系统建设。

④ 注重网络建设的扩展性和可升级性以及向后兼容性。

4.2分层设计

根据需求分析，在设计中，将采用多层次的网络体系结构。具体为三个层

次：接入层、汇聚层、核心层。

（1）核心层

核心层是网络互联的最高层次，应具有如下能力：

 核心设备之间应该具有最高速的链路

 比较粗的QoS控制粒度

 最高的路由前缀

 为网络其他模块提供互联

（2）汇聚层

汇聚层是核心层和接入层的连接模块。

主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中

和核心层链路的接入。

（3）接入层

接入层是面向最终用户的设备

采用多层网络的设计方法，必须依赖于利用网络的高弹性和扩充性。所谓的

弹性指的是对故障的容忍度和故障情况下的恢复能力；所谓扩充性是指根据实际

需要，可以在各个不同层次实现升级和扩充，实现对网络可控的、有序的优化。

根据上述论述，我们认采用核心、汇聚、接入的三层网络结构有利于网络的扩展和管理。

同时，采用10M接入到桌面，百兆网络支干，千兆网络主干的合理带宽收敛。

4.3网络逻辑设计

整个网络包括广域网（Internet、各专业网）接入、小区网

络系统，小区网络系统采用星型拓扑结构，分为系统中心、区域中心、

住宅楼栋和用户四级。根据小区的规模和用户楼栋的分布情况，为便

于网络设计和管理，可将整个小区分成若两个区域，每个区域设一个

区域中心，管辖若干个相近的楼栋。根据小区网络设计要求，小区局

域主干采用千兆以太网，在系统中心设一千兆以太网核心交换机，在

各区域中心设置工作组交换机，各工作组交换机配置1000Mbps FX上

联端口，通过光纤与核心交换机连接，构成智能化住宅小区千兆以太

骨干网。每个区域内，在各楼栋设备间设置10／100Mbps交换式集线

器，交换式集线器通过100Mbps TX上联端口经五类对绞线与工作组

交换机连接，根据需要也可通过 100Mbps FX端口经光纤连接。在楼

内，交换式集线器通过10Mbps TX端口经楼内5类综合布线连接用户

计算机。这样，核心交换机与工作组交换机之间可提供高达 1000Mbps

的传输速率，工作组交换机向各楼栋提供100Mbps的传输速率，每个

最终用户可独享10Mbps的通信带宽。

如下图：

Internet

1000Mbit/s

1000Mbit/s

100Mbit/s

4.4 对计算机平台的需求：

对计算机平台的需求做分析，因为每种计算机硬件和软件的特性都会影

响网络，所以作需求工作应该收集连接到网上的每台计算机的详细信息。包

括CPU、内存、操作系统等详细信息。社区网中的计算机平台主要考虑以下

几点：服务器的性能、操作系统的性能等等。在这里主要考虑的是服务器平

台的需求，其次是桌面计算机平台的需求。

桌面计算机：主流的操作系统如：Windows XP 和 Windows Vista.

服务器平台：网络操作系统采用：Windows Server 2003和 Windows 2000

Server.

第五章 网络PDS设计

5.1概述

小区管理控制中心是整个网络系统的中心，系统的主要通信设备集中于此，除网

络核心交换机外，还包括与广域网连接的路由器、各类服务器以及管理工作站等。

小区局域网通过DDN专线或ADSL与Internet连接，随着信息化的不断发展，

今后还可以通过155Mbps ATM或通过千兆IP城域以太网与Internet连接。

可根据小区的实际情况灵活组合与配置。区域中心可以包括若干栋单元楼，

也可以只管辖一栋高层住宅，小区内的集团用户、公共会所、物业管理公司以及

各应用子系统以适当的方式就近接入各自所在的区域中心网络，形成一体化的统

一网络。

5.2住宅综合布线设计

由上所述，在楼内交换式集线器通过综合布线与用户计算机连接，综合布线

系统是网络系统化住宅的基础设施，为住宅楼的通讯网络提供高速信息通道。住

宅布线系统按功能区域分为三大部分：住宅单元子系统、楼层管理间和垂直干线

子系统以及设备间子系统，各系统布线都采用5类以上对绞线。

5.2.1

住宅单元子系统

在每一个住宅单元设置一个家庭布线系统接线箱，作为与户外布线系统连接的界

面，对户内外布线系统的变动带来极大的方便。接线箱可安装各种系统接线模块，

包括数据和语音通信模块、家庭安防系统模块、可视对讲系统模块等等，根据需

要自由组合安装。户内数据通信布线采用5类以上UTP（非屏蔽对绞线），信息插

座采用RJ45制式接口。

楼层管理间和垂直干线子系统 垂直主干布线采用新型拓扑方法，由设备间主

配线架敷设至各楼层管理间的干线电缆构成，系统采用五类以上4对UTP作

为系统主干电缆。楼层管理间设置桥式模块板通过不同跳线实现水平线缆与垂

直干线的连接。

5.2.2 设备间子系统

设备间子系统内安置交换式集线器和主配线架，所有主干线缆都端接在

主配线架上，通过跳线与交换式集线器连接。

5.3布线设计和施工标准

《商业建筑电信设施管理标准》 （ANSI/EIA/TIA-606）

《商业建筑通讯接地接续要求》 （ANSI/EIA/TIA-607）

《非屏蔽双绞线电缆特性追加条款》 （EIA/TIA TSB-36）

《非屏蔽双绞线连接硬件传输特性追加条款》 （EIA/TIA TSB-40A）

《非屏蔽双绞线布线系统传输特性现场测试标准》（EIA/TIA TSB-67）

《智能建筑设计标准》 （DBJ08-47-95）

5.4子网划分和VLAN划分

子网是把一个单一的IP网络分成多个更小的网络。我们采用私有地址

192.168.0.0，子网掩码255.255.255.0。分为6个子网，分别是1栋楼子网、2

栋楼子网、3栋楼子网，4栋楼子网，5栋楼子网，6栋楼子网。

1栋楼子网 192.168.1.0/24

2栋楼子网 192.168.2.0/24

3栋楼子网 192.168.3.0/24

4栋楼子网 192.163.4.0/24

5栋楼子网 192.163.5.0/24

6栋楼子网 192.163.6.0/24

小区网的逻辑拓扑可划分为若干虚拟局域网（逻辑子网），虚拟局域网不

受设备物理位置的限制，灵活性较大。虚拟局域网技术用于在不更改网络的拓扑

结构的前提下对局域网进行重组。采用虚拟局域网技术后，网管人员只需在交换

机上对网络进行逻辑重构，即可使网络结构适应新的通信要求，并维持通信的高

效率。具体的讲，虚拟局域网技术是通过路由和交换设备，在网络物理拓扑的基

础上建立一个逻辑网络。每个VLAN都构成一个独立的广播域，处于同一VLAN

中的网络用户可以不受地理位置的限制而像处于同一个VLAN上那样相互交换信

息。VLAN必须在交换网络环境中实现，每个交换设备均可根据网络管理人员所

定义的VLAN划分方法对报文进行过滤和转发，并能将这种划分信息传递到网络

中其他交换设备和路由器中。LAN交换设备在VLAN的划分及实现低延迟的报文

转发方面起着重要的作用。VLAN是一种不采用路由器对广播数据进行抑制的解

决方案。在VLAN中，对广播数据的抑制由交换机完成。

有如下几种划分方法：

① 基于端口划分的VLAN

② 基于MAC地址划分VLAN

③ 基于网络层协议划分VLAN

④ 根据IP组播划分VLAN

VLAN的优越性 ：

⑴ 增加了网络连接的灵活性

借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一

个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低

移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公

司使用了VLAN后，这部分管理费用大大降低。

⑵ 控制网络上的广播

VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，

可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交

换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，

相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽

给用户应用，减少广播的产生。

⑶ 增加网络的安全性

因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高

了网络的利用率，确保了网络的安全保密性。人们在LAN上经常传送一些保密的、

关键性的数据。保密的数据应 提供访问控制等安全手段。一个有效和容易实现

的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数

量，禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特

权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。

5.5 互联网接入设计

通过与小区所在的地区的电信业务营运商的商谈，与有关负责人的意见，以光纤方式

接入Internet。

第六章、网络设备

6.1 物理层网络选择

6.1.1超五类模块

NM1045超五类信息插座模块；

可安装在任何M系列的模块面板上，面板架上或表面安装盒上，

一旦装入即被锁定；按住锁扣即可拆下。

特殊的润滑处理，至少可插拨750次；

支持622Mbps应用

满足EIA/TIA 568A标准

6.1.2

超五类双绞线

NL101004超5类4对电缆；

高速高性能100Ω电缆；

在大楼布线系统中能远距离传输高比特率信号；

性能优于EIA/TIA-568A标准

符合欧洲EN71环保标准，特别适合小区家庭布线

具有撕裂绳，方便剥线

6.1.3 室外超五类双绞线

NL301004超五类双绞线

适用于室外布线系统中能远距离传输高比特率信号；

性能优于EIA/TIA-568A标准

具有防水功能

具有撕裂绳，方便剥线

6.1.4 超五类配线架

ND1124 24口超五类配线架；

适用于绝缘移动接口；

RJ45插口8针表面镀金50m-inch

端口插拔次数超过750次

前面RJ45插口，背面110打线方式，一体化设计

6.2其他网络设备选择

交换机设备：

核心层设备选用锐捷RG-S5750-48GT/4SFT，汇聚接入层选用锐捷

RG-S2951XG。

RG-S5750是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新

一代万兆机架式多层交换机。

该交换机提供的接口形式和组合非常灵活，即可以提供48个10/100/1000M

自适应的千兆电口，又可以提供有4个SFP（光电复用）千兆光口，又有2个扩

展槽和能提供PoE远程供电的接口。

提供了灵活的复用千兆口，满足网络建设中不同传输介质的连接需要。同时

为满足网络的弹性扩展和高带宽传输需要，可灵活弹性扩展多种类型的万兆模块

和万兆堆叠模块。

特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以

及数据中心服务器群的接入使用。

该交换机硬件支持多层线速交换，并提供了丰富而完善的路由协议，以适合

大型网络多种路由和高性能的需要。

交换机提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和

组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用

户接入管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入

网络，保证合法用户合理地使用网络资源，并可以根据网络实际使用环境，实施

灵活多样的安全控制策略，充分保障了网络安全、网络合理化使用和运营。

交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接

入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的

网管，最大化满足高速、安全、智能的企业网需求。

RG-S5750-48GT/4SFT的特点主要体现在以下几个方面：

①高性能IPv4/IPv6双协议栈多层交换

◆背板带宽为所有的端口提供非阻塞性能；

◆ 丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的

需要，特别是支持ECMP/WCMP（Equal-Cost Multipath Routing/ Weight-Cost

Multipath Routing），确保了各骨干网络链路的充分使用，大大增加了网络传输

带宽，而且可以无时延无丢包地备份失效链路的数据传输；

◆件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6

协议报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和 ISATAP

隧道等，可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信

方案；

◆协议栈的支持和处理，使得无需改变网络架构，即可将现有网络无缝地升

级为下一代IPv6方案；

◆基于LPM硬件路由转发方式使得RG-S5750系列不仅适用于大型网络环境，

而且可防御各种网络病毒的侵袭，保障所有报文的线速转发，有效保证了设备的

安全性；

◆硬件支持多层线速交换，能够识别二到七层的应用业务流，所有端口都具

有单独的数据包过滤、区分不同应用流，并根据不同的应用流进行不同的策略管

理和控制。活完备的安全控制

② 灵活完备的安全控制

◆ 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防

Dos攻击、防黑客IP扫描等，还网络一片绿色；

◆ 业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对

发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限

速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，

充分保护了交换机的安全；

◆ 硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严

格限定端口上的用户接入或交换机整机上的用户接入问题；

◆ 保护端口不必占用VLAN资源，即可非常方便地隔离用户之间信息互通，

充分保护用户信息的安全；

◆ 支持DHCP snooping，可只允许信任端口的DHCP响应，防止私设DHCP

Server的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，

直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺

骗问题；

◆ 基于源IP地址控制的Telnet和Web设备访问控制，避免非法人员和

黑客恶意攻击和控制设备，增强了设备网管的安全性；

◆ SSH（Secure Shell）和SNMPv3确保在Telnet和SNMP进程中加密管理

信息，保证交换机管理信息的安全性，防止黑客攻击和控制设备；

◆ 控制非法用户接入网络，保证合法用户合理化使用网络，如端口安全、

端口隔离、专家级ACL、时间ACL、基于应用数据流的带宽限速、多元素绑定等

等，满足企业和校园网加强对访问者进行控制、阻止非授权用户通信的需求。

支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进行大量

组播服务的环境，实现网络的可扩展和多业务应用；

③ 丰富的组播特性

◆ 支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进

行大量组播服务的环境，实现网络的可扩展和多业务应用；

◆ 支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高

网络的安全性；

◆ 支持IGMPv1/v2和IGMPv3全部版本，适应不同组播环境，避免非法的

组播数据流占用网络带宽，满足组播安全应用的需要。

④ 完善的QoS策略

◆ 以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二

到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻

辑；

◆ 具备MAC流、IP流、应用流等多层的流分类和流控制能力，实现按照

业务流进行带宽控制、转发优先级等多种流策略，限速粒度精细，千兆端口粒度

达64Kbps，万兆端口粒度达1Mbps，支持网络根据不同的应用、以及不同应用所

需要的服务质量特性，提供服务。

⑤ 高可靠性

◆ 支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高

容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗

余链路利用率；

◆ 支持VRRP虚拟路由器冗余协议，有效保障网络稳定；

◆ 支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口

下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的

现象。

⑥ 方便易用易管理

◆ 灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个

千兆光纤链路的连接，方便用户灵活选择线缆；

◆ 为满足网络弹性扩展和高带宽传输需要，简单选配多种类型的万兆模

块，网络即可平滑升级到万兆上链骨干

◆ 为方便安装地点或建筑物不适宜部署外部电源的环境，RG-S5750系列

交换机特别提供支持PoE功能的产品型号，即通过双绞线就可以向远端下挂的

PD设备供电，如无线AP、IP Phone、视频监控等设备，方便了任何符合IEEE

802.3af标准的终端设备的接入，实现以太网集中供电，以满足金融、企业、学

校、医院、工厂等用户实现VoIP、远程监控、无线AP等网络应用的需要；

◆ SNTP（简单网络时间协议）保证交换机时间的准确性，并与网络中时

间服务器的时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；

◆ Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，

便于管理员网络维护和管理；

◆ 多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可

以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；

◆ CLI界面，方便高级用户配置和使用；

◆ Java-bad Web管理方式，实现对交换机的可视化图形界面管理，快

速和高效地配置设备。

RG-S5750-48GT/4SFT的技术参数如下图：

产品型号 RG-S5750-48GT/4SFT

固定端口 48端口10/100/1000M自适应端口，4个复用的SFP接口，2个扩展槽

可用模块 Mini-GBIC-SX：单口1000BASE-SX mini GBIC转换模块（LC接口）；

Mini-GBIC-LX：单口1000BASE-LX mini GBIC转换模块（LC接口），10Km，1310nm；

Mini-GBIC-LH40：单口1000BASE-LH mini GBIC转换模块（LC接口），40Km，

1310nm；

Mini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50km，1550nm；

Mini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80km，1550nm；

 1端口XENPAK接口万兆转接板

 1端口XFP接口万兆转接

 万兆堆叠模块

 万兆光纤接口模块（300米），配合M5700-01XENPAK转接板使用

 万兆光纤LR接口模块（10公里），配合M5700-01XENPAK转接板使用

 万兆光纤ER接口模块（40公里），配合M5700-01XENPAK转接板使用

 万兆光纤SR接口模块（300米），配合M5700-01XFP转接板使用

 万兆光纤LR接口模块（10公里），配合M5700-01XFP转接板使用

 万兆光纤ER接口模块（40公里），配合M5700-01XFP转接板使用

背板容量 240Gbps

包转发速率 L2：线速（102Mpps）

VLAN 支持4K个802.1Q VLAN 240Gbps

ACL 标准IP ACL（基于IP地址的硬件ACL）、

L3：线速（102Mpps）

扩展IP ACL（基于IP地址、TCP/UDP端口号的硬件ACL）、

MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、

基于时间ACL、

专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端

口号、协议类型、时间等灵活组合的硬件ACL）

IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、L2协议

IEEE802.3ad、IEEE802.3af、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q

(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3、

RLDP、IEEE 802.3af（S5750P产品型号）

IPv6、OSPFv1/v2、OSPFv3、ECMP/WCMP、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、L3 协议

VRRP、IGMPv1/v2/v3

支持ICMPv6、IPv6动态路由协议OSPFv3、支持多种Tunnel隧道技术（如手工配IPv6协议

置隧道、6to4隧道和 ISATAP隧道等）

DoS 支持 Defeat

Attack

管理协议 SNMPv1/v2c/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、SNTP、

Jumbo Fame 支持

其他协议 Super VLAN、Private VLAN、Protocol VLAN、QinQ、DHCP Server、DHCP Relay、

Defeat IP Scan 支持

NTP、Syslog

DHCP Client、DHCP Snooping、免费ARP、DNS Client

尺寸 440×420×44mm

（长x宽x高）

电源 176VAC~264VAC

功耗 120W

（满负荷）

温度 工作温度: 0ºC 到 45ºC

湿度 工作湿度: 10% 到 90% RH

48Hz~60Hz

存储温度: -40ºC 到 70ºC

存储湿度: 5% 到 90% RH

RG-S1951XG是锐捷网络推出的融合了高性能、高安全、多智能、易用性的

新一代全千兆安全智能接入交换机。

该交换机支持万兆扩展和万兆冗余堆叠，满足了网络流量成倍提高和多媒体

业务的迅速增长的需要。在提供高性能、高带宽的同时，S2900交换机提供智能

的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实

际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻

击，控制非法用户接入和使用网络，保证合法的用户合理化地使用网络资源，充

分保障了网络高效安全、网络合理化使用和运营。

RG-S2951XG交换机特有的CPU保护控制机制，对发送到CPU的数据进行带

宽控制，避免以非法者对CPU的恶意攻击，充分保障了交换机的安全。

RG-S2951XG交换机为方便不同管理员的使用习惯，提供了多种形式的管理

工具，如SNMP、Telnet、Web和Console口等。

RG-S2951XG交换机以极高的性价比为各类型网络提供高性能、完善的端到

端的QoS服务质量、灵活丰富的安全策略管理，最大化满足企业网高速、高效、

安全、智能的新需求。

RG-S2951XG交换机的特点主要体现在以下几个方面：

① 高性能

高背板带宽为所有端口提供线速的交换能力，并提供万兆扩展和万兆堆叠，

满足数据流量和多媒体业务日益增长的需要。

② 业界领先的硬件CPU保护机制

◆CPU安全屏障保护：特有的CPU保护策略（CPP），对发往CPU的数据流，

进行流区分和优先级队列分级处理，并实施带宽限速，充分保护CPU不被非法流

量占用、恶意者攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全。

灵活完备的安全接入和访问控制

◆ 多种内置安全机制可有效防止和控制病毒传播和网络流量攻击，控制非

法用户使用网络，保证合法用户合理化使用网络，如端口安全、专家级ACL、时

间ACL、基于应用数据流的带宽限速、多元素绑定等，满足企业网、校园网加强

对访问者进行控制、限制非授权用户通信的需求；

◆硬件实现端口与用户IP地址和MAC地址的绑定，严格限定端口上用户接

入；

◆ 专用的硬件防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益

泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网；

◆ 基于源IP地址控制的Telnet和Web设备访问控制，避免非法人员和黑

客恶意攻击和控制设备，增强了设备网管的安全性；

◆ SSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密

管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；

◆ 可灵活控制二－七层数据报文，使得任何一个用户PC上的任何一种应用

报文通过网络都能得到有效控制，充分保障了网络的安全和合理化使用；

◆支持硬件IPv6 ACL，满足从接入到核心的全网IPv6建设和发展；

◆通过锐捷SAM平台，可实现用户账号、MAC地址、IP地址、交换机IP、

交换机端口等多元素之间的灵活任意绑定，有效确认用户的合法性和唯一性。

③ 完善的QoS策略

◆ 支持802.1P、DSCP、端口优先级、IP TOS、二到七层流过滤等QoS策略，

具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发

优先级等多种流策略，可根据网络不同的业务应用、和所需要的服务质量特性，

提供服务；

◆ 极为精细灵活的带宽控制能力，可以基于交换机端口、MAC地址、IP地

址、VLAN ID、协议、应用组合进行带宽限速，限速粒度精细，最低可达64Kbps

粒度，可根据网络安全需求和业务发展，设定不同业务应用的带宽流量，满足按

需所用，实现网络带宽合理化应用。

④ 灵活可靠的万兆混合堆叠

◆ S2951XG交换机支持设备的混合堆叠，方便提供灵活的端口数量组合；

◆ 提供可靠的万兆冗余堆叠组合，在万兆冗余堆叠的基础上，能同时提供

万兆上链，满足高性能、高带宽的需要，方便网络发展和规模扩大；

◆支持硬件堆叠QoS，保证在网络拥塞、网络攻击等网络环境恶劣的情况下，

依然能正常管理堆叠组成员，保证堆叠设备的正常运营。

⑤ 高可靠性

◆支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容

错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余

链路利用率。

⑥ 方便易用易管理

◆可监听IGMP v1/v2/v3全部版本组播报文，适应不同组播环境，满足组播

安全应用的需要；

◆多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只

监控输入帧或只监控输出帧或双向帧，大大提高维护效率；

◆支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而

导致网络故障的现象；

◆ 网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统

一化，方便日志信息和流量信息的分析、故障诊断等管理；

◆ Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，

便于管理员网络维护和管理；

◆CLI界面，方便高级用户配置和使用；

◆ Java-bad Web管理方式，实现对交换机的可视化图形管理，快速和高

效地配置设备。

RG-S2951XG的技术参数如下图：

产品型号 RG-S2951XG

固定端口 48个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽

可用SFP Mini-GBIC-SX：单口1000BASE-SX mini GBIC转换模块（LC接口）；

模块 Mini-GBIC-LX：单口1000BASE-LX mini GBIC转换模块（LC接口）；

Mini-GBIC-LH：单口1000BASE-LX mini GBIC转换模块（LC接口），40Km；

Mini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50km；

Mini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80km

1端口XENPAK接口万兆转接板

1端口XFP接口万兆转接板

万兆光纤接口模块（300米），需配合M5700-01XENPAK转接板使用

万兆光纤LR接口模块（10公里），需配合M5700-01XENPAK转接板使用

万兆光纤ER接口模块（40公里），需配合M5700-01XENPAK转接板使用

万兆光纤SR接口模块（300米），需配合M5700-01XFP转接板使用

万兆光纤LR接口模块（10公里），需配合M5700-01XFP转接板使用

万兆光纤ER接口模块（40公里），需配合M5700-01XFP转接板使用

156G 交换容量

117Mpps 包转发速

16K MAC

4K 802.1q

率

VLAN

IPv4 ACL 支持多种硬件ACL：

标准IP ACL（基于IP地址的硬件ACL）、

扩展IP ACL（基于IP地址、传输层端口号的硬件ACL）、

MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、

基于时间ACL、

专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP

端口号、协议类型、时间灵活组合的硬件ACL)

IPv6 ACL & 支持硬件IPv6 ACL：

QoS 支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型（Traffic

class）、时间选项的硬件IPv6 ACL 和IPv6 QoS

L2协议 IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、

IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1Q(GVRP)、

IEEEE802.1d、IEEE802.1w、IEEE802.1s、IEEE802.1x、IGMP Snooping v1/v2/v3、

RLDP

SNMPv1/v2C/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、管理协议

Syslog、NTP、SNTP

DHCP Relay、DHCP Snooping 其它协议

支持 Jumbo

Frame

尺寸（长× 440×400 ×44mm

宽× 高）

电源 176VAC~240VAC，50Hz~60Hz

功耗 125W

温度 工作温度： 0℃ 到 45℃

存储温度：-40ºC 到 70ºC

服务器：

为了能够充分发挥小区网的效用，高性能的服务器是不可少的，为了保证能

够高效、稳定、安全地为小区全体居民提供优质的服务，采用方正的专用服务器，

在服务器的配制上按服务功能进行专门配制，根据需要应配置WWW服务器、VOD

服务器、DNS服务器、认证计费服务器、FTP服务器。由于小区的服务有限，几

种服务可以配合使用。

圆明LT300 1500服务器采用四核英特尔®至强®处理器以及新一代内存和

I/O技术，带来全新的系统总体性能提升，是一款融合了32位以及64位计算技

术的单路工作组级服务器。

防火墙;

防火墙采用锐捷RG-WALL120。RG-WALL系列防火墙是专门为企业级用户打造

的高可用的安全产品。利用精心设计的锐捷防火墙操作系统，充分发挥了硬件的

高效数据交换能力和系统并行处理能力，实现了高性能与高安全性的完美结合。

RG-WALL系列采用锐捷独创的分类算法（Classification Algorithm）设

计理念，在具备高性能的网络传输功能的时候，同时支持扩展的应用状态检测

（Stateful Inspection）技术；另外可以在启用动态端口应用程序(如VoIP、

H.323、SIP等)时，可提供强有力的安全信道。

RG-WALL的主要功能包括：扩展的应用状态检测功能、防范入侵及其它（如

URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告、VPN、

负载均衡等）附加功能

特别适合带宽要求高，中心骨干机构和复杂的高端流量环境。

① 产品特点：

◆锐捷网络专有的分类算法，性能不受规则数及会话数的影响

◆应用层的状态检测，过滤蠕虫病毒，保证用户安全

◆ 内置入侵检测功能，确保防火墙的安全运行

◆ 网络部署灵活，适应多种复杂网络环境和接入模式

◆ 支持透明模式、路由模式、混合模式以及NAT模式

◆ 支持最多4台集群和链路聚会功能，消除单点故障，提升产品性能

◆ 基于网络IP和MAC地址绑定的包过滤

◆ 透明代理（Transparent Proxy），URL级的信息过滤

◆ 流量控制管理，保证关键用户，关键流量对网络的使用

◆ 支持完整VPN功能

◆ 提供操作简单的图形化用户界面对防火墙进行配置

◆ 支持ADSL、PPPOE拨号方式

◆ 支持BT/eDonkey/Kazaa等P2P软件的禁止和带宽限制

◆ 支持入侵检测和防护（IPS）

◆ 支持多种IDS产品联动和自动响应阻断方式

技术参数：

RG-WALL 120百兆防火墙/VPN网关

端口 固化4个10/100BaT

尺 寸 标准19英寸宽度，1U高度

电气性能 电源类型：AC 100-240V/50-60Hz

电源功率：230W

工作环境 操作环境：温度0℃~40℃，湿度0%~80%

存储环境：温度-40℃~80℃，湿度0%~ 95%

技术性能 MTBF（平均故障间隔时间）：≥50,000小时

（1） 电源

UPS电源对与机房服务器和网络设备的正常运行非常重要，而UPS电

池对于电源而言至关重要,在次，我们采用山特UPS (MT-1000),MT-1000可以

提供4小时的后备电源。为了保证UPS的网络管理，还需要网络管理适配器，

通过随身携带的软件即可实现对其管理。

（5）磁盘阵列以及网络存储设备

对于磁盘阵列而言，采用锐捷的RG-iS900采用RISC系统架构和硬件RAID

体系结构，打造出高性能、高可用性、功能强大且灵活实用的IP SAN存储网络；

采用先进的RAID 6技术保证存储数据的安全可信；系统无线缆和全模块化设计，

以及灵活的机架式设计，便于产品安装和日常的维护；利用网络交换机建立IP

SAN存储网络的存储解决方案可以同时支持Windows、Linux、IBM AIX、HP-UX

和Solaris等操作系统；RG-iS900设计强调易于管理和使用，基于Web的阵列

管理方式、命令行管理方式，完全满足不同层次用户需求；

RG-iS900是锐捷网络应对海量数据集中和关键应用数据备份而推出的一款

基于硬件RAID技术和iSCSI技术的磁盘阵列。RG-iS900提供2~4个标准的千兆

以太网端口用来连接前端的应用服务器。具有性价比高、功能丰富、配置简单、

易于维护、安全可信、稳定可靠等特点，产品和技术均处于国内领先地位。

RG-iS900可支持Windows、Linux、Solaris、AIX、HP-UX等UNIX操作系统。通

过iSCSI技术，可以在以太网络上传输数据，实现了数据存储即插即用的效果，

建立存储区域网变得更加的容易，相对于光纤存储网络储存架构， RG-iS900

提供了较低的初期投入和维护成本以及高效的存取效能。

RG-iS900提供12~16个磁盘插槽，支持性价比高的SATA II硬盘(传输速率

为300MB/c)，并提供最先进的NCQ (Native Command Queuing) 技术来提升整

体效能。用户可以选择250GB、500GB、750GB的不同容量的硬盘。

操作系统选型；

① Microsoft Windows 2000 Server是一个支持群集的操作系统，且支持

大型的SMP服务器，更多的RAM以及可扩展的分布式应用程序。企业对可扩展性、

可用性和可管理性的要求越来越高，Windows 2000 Server也是建立和实施大型

分布式应用程序的最佳平台。由于2000 rver 提供给最终用户、系统管理员、

软硬件开发人员以及其他许多人们的优秀特性，所以Microsoft Windows 2000

Server已经成为世界上最为畅销的操作系统，越来越多的企业将Windows 2000

Server应用于关键任务的应用程序和数据。

另外， Windows 2000 Serve新增功能使得它成为应用于大型关键任务企业

服务器的最为简便的操作系统：内置的Microsoft Cluster Server（MSCS）软

件支持群集技术，当应用验证群集配置时，这一性能为能够自动实现失败恢复的

关键任务的数据和应用程序提供了更高的可用性。

支持多达8个的对称式多处理器（SMP），从而提供了更高的可扩展性，能够

为耗费内存的应用程序提供更多的RAM，利用事物处理和消息传送保护技术，内

置的Microsoft Transaction Server和Microsoft Message Queue Server能够

方便的建立和管理整个企业内成百上千的计算机联系起来的应用程序。

Windows 2000 rver下的分布式管理可对不断扩展的网络实现高效的、可

扩展性管理，同时Windows 2000 rver 为3Com的Transcend Enterpri

Manager应用软件提供了一种可靠的应用平台。

Windows 2000 Server将企业服务器所需要的更高的可扩展性和可用性引入

了世界上最流行的服务器操作系统。另外，Windows 2000 Server平台提供了非

并行的灵活性和选择，节省了大量的IT生命周期，并且能够获得来自于

Microsoft的企业级支持。

②StarView网络管理系统是一套基于 Windows平台的高度集成、功能完善、

实用性强、方便易用的全中文用户界面的网络级网络管理系统。它是由锐捷网络

自主开发的软件产品。

StarView管理系统能提供整个网络的拓扑结构，能对以太网络中的任何通用IP

设备、SNMP管理型设备进行管理，结合管理设备所支持的SNMP管理、Telnet

管理、Web管理、RMON管理等构成一个功能齐全的网络管理解决方案，实现从网

络级到设备级的全方位的网络管理。

StarView可以对整个网络上的网络设备进行集中式的配置、监视和控制，

自动检测网络拓扑结构，监视和控制网段和端口，以及进行网络流量的统计和错

误统计，网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通

过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。

StarView具有以下几个方面的特点：

★ 稳定的可扩展的软件体系结构

StarView的软件体系结构采用多进程挂靠的方式进行设计，保留了丰富的可扩

展接口，为系统进一步扩展和软件外联提供了稳定的平台基础。

★ 强劲的网络拓朴发现能力

StarView集成了目前最先进的三层拓朴发现算法，可自动检测和描绘网络

拓扑结构，为管理员提供统一的拓扑视图和集中式管理视角。使用三层拓朴和子

网自动发现功能，即可自动完成全网逻辑拓朴的发现，了解整个网络的设备及其

运行状况。系统提供DIY方式，满足管理员按照物理连接或个人习惯自组物理视

图。自动检测网络活动，采用不同的位图标识不同类型的设备，不同颜色的三色

状态图标识设备的不同状态，更好的描绘了网络设备节点的状态，为管理员提供

了快速准确的的告警定位。通过与事件管理器的无缝连接，实现设备状态在事件

管理器中的实时通知与处理。

★ 增强的设备管理能力

对以太网络中的通用IP设备、SNMP管理型设备提供了Web、Telnet、

MIB-Browr、RMON View等多种综合管理方式，并在此基础上，为锐捷网络设

备，提供了增强的设备管理和功能管理。为锐捷网络设备提供各自的管理窗口及

其管理功能。为管理员提供逼真的锐捷网络设备面板图，直观显示端口的连接状

态，并可在设备面板图上进行点击操作，完成设备整体或接口的信息配置、浏览

以及性能监视。

★智能化的事件管理机制

结合拓朴管理和性能管理器于一体，集中管理Trap事件、拓朴管理事件、

阈值报警事件、拓扑管理的系统事件和未知类型事件。事件管理器提供丰富的事

件分类查看和存储功能，使管理员可在大量的网络事件中迅速查找并标识重要事

件，从而进行有效处理。根据网络状况和管理需要，管理员可使用自定义的方式

扩展软件支持的事件类型，从而避免了多设备混用时事件管理混乱问题。事件管

理器提供了事件报表功能，可根据管理员定义的搜索条件，检索数据库，并形成

HTML报表供管理员汇总和分析。事件管理器除了为管理员提供了基于声音、

EMAIL的事件告警功能，有效地帮助管理员及时了解整个网络运行状况外，还提

供了针对网络事件的管理动作自动响应功能，从而使得管理员可对网络事件进行

最及时的处理。

★ 高效的性能监视和预警功能

提供完美的组合式曲线统计方式，为网络性能分析和故障分析提供直观的

分析视图集。

提供统计视图打印功能，为网络故障分析提供了现场保存的能力。

主动式的阈值告警功能使得管理员可根据网络实际应用自定义网络关键性能变

更事件，并通过与事件管理器连接得到有效的预警和处理。

提供多设备多性能同视图对比监视的方式，使得管理员可方便的对多项网络性能

进行对比分析。自动视图记忆功能使得监视视图被设定后即可永久保存，从而使

得软件一旦启动即可对历史监视点进行后台监视，免除了管理员重复再设定的烦

恼。

★ 基于数据库的灵活的网络应用

软件使用SQL数据库作为后台数据库，基于SQL Server的网络功能，

StarView可实现基于网络的分布式的高级应用，即所有管理站收集到的事件信

息、性能数据以及拓朴视图可在SQL Server进行汇总，从而使得网络性能历史

重现、网络事件报表等功能可共享数据信息，为管理进行统计分析提供最丰富的

信息资源。基于SQL数据库的网络性能历史重现功能可有效记录大量的性能数

据，并提供管理员最多长达一年的对网络性能变化趋势进行描绘的能力。

★友好的用户界

采用全中文的用户界面和标准Windows界面风格，用户极易快速掌握软件

使用和操作。高度简化的软件操作方式使得复杂的软件功能应用只需简单的

步骤即可完成。

集线器简介：

集线器（HUB）是中继器的一种，但是它能够提供跟多的端口服务，所以

也称其为多口中继器；它主要以诱惑网络布线结构，简化网络管理为目标而设计

的，集线器是对网络进行集中管理的最小单元，相熟的竹竿一样，它是各分支的

汇集点。

以集线器为节点中的优点是：当网络系统中某条线路或节点出现故障时，

不会影响网上其他节点的正常工作，这就是集线器刚推出是与传统的总线网络的

最大区别于优点，因为它能够提供多通道通信，大大提高了网络通信速度。

本项目选择的是10Mbps/100Mbps交换式集线器，这是带宽自适应的集线

器，这种集线器能够自动识别所有连网络节点的带宽需求，自动选择10Mbps或

100Mbps带宽，这样子即可以保护抵挡设备而且又可以与高档设备保持高效能连

接，充分发挥高档设备的带宽优势。而且，在给个节点中，每户中的终端机的配

置不能都是一样的，有的配置会很好，有的配置可能会处低端，所以使用自适应

的集线器是最好的选择，它能够解决高低配置的带宽需求矛盾，使其能够共同适

应同一网络，而且各自配置性能到达最优。

第七章 网络安全设计

7.1计算机网络系统安全问题•

由于大型网络系统内运行多种网络协议（TCP/IP、IPX/SPX、NETBEUA等），

而这些网络协议并非专为安全通讯设计。因此，网络系统可能存在的安全威胁主

要来自以下方面：

操作系统的安全性：

目前流行的许多操作系统均存在网络安全漏洞，如：UNIX服务器、NT服

务器及Windows桌面PC等。

来自内部网用户的安全威胁。

缺乏有效的手段监视和评估网络系统的安全性。

采用TCP/IP协议族软件，本身缺乏安全性。

未能对来自外部的电子邮件挟带的病毒及Web浏览可能存在的恶意

Java/Active控件等进行有效控制。

应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较

少，并且，如果系统设置错误，很容易造成损失。

防火墙的安全性，防火墙自身是否安全，是否设置错误，需要经过检验。

从网络协议体系来看，网络系统安全则可从物理层、链路层、网络层、操

作系统、应用平台、应用系统几方面来分别讨论：

1)、 物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对

物理通路的攻击如干扰等。

2)、链路层的网络安全需要保证通过网络链路的数据不被窃听。

3）、网络层的安全需要保证网络只给授权的用户使用授权的服务，保证网

络路由正确，避免被拦截或监听。

4)、操作系统安全要求保证用户资料、操作系统访问控制的安全，同时能

够对该操作系统上的应用进行审计。

5)、应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、

电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种

技术（如SSL等）来增强应用平台的安全性。

6)、应用系统完成网络系统的最终目的—为用户服务，应用系统的安全与

系统设计和实现关系密切。

因此，对于网络系统安全问题需解决好如下问题：

在中心的局域网中如何在网络层实现安全性？如何控制远程用户访问

的安全性？

在广域网上的数据传输实现安全加密传输和用户的认证？

在连接外部网络时，如何保证系统的安全性？

如何在整个网络中防止病毒的入侵，包括Internet、服务器、工作站和

电子邮件等各个部分？

如何防止黑客的入侵？即使黑客入侵，如何降低系统的损失？

系统软件如何保证其系统安全？

应用系统如何保证其系统安全？

如何保证电子邮件系统的安全性？

如何主动的检查和查找网络系统的安全漏洞，并及时的防范和解决？

如何评估系统的整体安全性？

如何规划整个网络的安全系统方案？

7.2解决网络安全问题的一些技术和方法

7.2.1划分网段、局域网交换技术和VLAN实现：

划分网段、局域网交换技术和VLAN实现主要解决局域网络的安全问题。

由于局域网是广播型网络，因此，若在广播域中进行监听，就可以对信息包

进行分析，那么本广播域的信息传递都会暴露无遗。

划分网段，其本质就是限制广播域，将非法用户与网络资源相互隔离，从

而达到限制用户非法访问的目的。其方式可分为物理分段和逻辑分段两种。物理

分段通常是将网络从物理层和数据链路层上分开网段，各网段相互间无法进行直

接通讯；逻辑分段是指将整个系统在网络层上进行分段。

局域网交换和VLAN技术将传统的基于广播的局域网技术发展为面向连接

的技术，从广播网络转变为点到点的通讯，除非设置监听口，信息交换也不会存

在监听和篡改等问题。 但是，用了局域网交换和VLAN技术仍然有一定的

安全问题：如局域网设备成为了新的攻击对象、基于网络广播原理的入侵监测技

术在交换网络中的运用问题、基于MAC的VLAN不能防止MAC欺骗攻击等。

7.2.2 加密技术、数字签名和认证、VPN技术：

加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现

网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性，因而这

一类安全保障技术的基石是适用的数据加密技术极其在分布式系统中的应用。

7.2.2.1 防火墙

防火墙通常是网络互连中的第一道屏障。防火墙是近年发展起来的重要安全

技术，其主要作用是在网络入口点检查网络通讯，根据设定的安全规则，在保护

内部网络安全的前提下，提供内外网络通讯。如今的防火墙功能越来越强大，从

应用上分为包过滤和代理服务器两类；从实现上分为软件防火墙和硬件防火墙两

类，通过防火墙能解决如下问题：

1）、保护脆弱服务：

通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机

的风险。如，防火墙可以禁止NIS、NFS、TELNET服务通过，同时可以拒绝源

路由和ICMP重定向封包。

2)、控制对系统的访问：

防火墙可以提供对系统的访问控制。如允许从外部访问某些主机同时禁止

访问某些主机。

3）、 集中的安全管理：

防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运

用于整个内部网络系统，而无须在内部网每台机器上分别设定安全策略。

4）、增强的保密性：

使用防火墙可以阻止攻击者攻击网络系统的有用信息，如Finger、DNS

等。

5）、记录和统计网络利用数据以及非法使用数据：

防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计

数据，并且，防火墙可以提供统计数据来判断可能的攻击和探测。

6）、策略执行：

防火墙提供了制定和执行网络安全策略的手段，未设置防火墙时，网络安

全仅取决于每台主机的用户。

防火墙还提供许多的流量控制、防攻击检测等手段，直接将攻击挡在外面，充分

的保障了网络安全

7.2.2.2 入侵检测技术

利用防火墙技术，通常能够在内外网之间提供安全的网络保护，降低网络的

安全风险。但是，仅仅利用防火墙，网络安全还远远不够：入侵者可寻找防火墙

背后可能敞开的后门、入侵者可能就在防火墙内等等。

入侵检测系统是新型的网络安全技术，目的是提供实时的入侵检测及采取相

应的防护手段，实时入侵检测的能力重要点在于它能够对付来自内部的攻击，能

够阻止hacker的入侵。

入侵检测系统常分为基于主机和网络两类。

7.2.2.3 网络安全扫描技术

网络安全扫描技术可对网络系统的安全作预先的检测，查找安全漏洞，提供

解决方案等。

除上述技术和方法外，对于网络系统还需解决好病毒、系统软件、应用软件方面

的安全问题。

总之对于网络系统的安全，需做好网络系统的安全评估方案，综合利用安全

扫描技术、防火墙、安全监听系统、加密技术、防病毒软件等来互相配合，加强

管理，综合提高网络的安全性。

7.2.2.4 IP 过滤器设备

用户可以按照实际情况的需要方便、灵活的配置IP过滤器：如过滤主机收

到IP包时，发现规则表内没有适用于它的过滤规则，过滤主机可以采取允许或

拒绝其通过。这可由系统的缺省配置文件进行设定。缺省配置文件还包括如何记

录IP过滤的日志，可选择记录允许或拒绝通过的情况等。

7.2.2.5网络信息包实时检查

网络信息包实时检查是在包一级对信息内容进行关键字的匹配分析。信息实时

检查为用户提供了图形化的信息实时检查界面，用户输入所要查找的关键字组合

（与、或、非等组合），防火墙过滤主机对当前网上流动的分组进行实时检查，

最后将信息检查结果返给用户，系统将显示该分组的源地址、目的地址、源端口

号、目的端口号、协议、分组方向和信息检查时间以及包的信息内容，根据以上

信息还为用户提供了过滤规则自动生成功能。

2)网络文件分析功能

信息分析模块还提供了对当前网上流动的网络文件进行分析的功能，目前

所能分析的网络文件有TELNET、RLOGIN、FTP、EMAIL和WWW等几种协

议网络文件。对当前网络文件的分析功能如下：

浏览文件目录------用户可以选择所要分析的网络文件的文件类型和网络文

件的地址范围，系统将显示当前该范围内的网络文件的目录。

分析文件------用户可以选择所要分析的网络文件，利用系统的分析工具对

网络文件进行分析。目前系统提供了文本文件分析器和浏览器两种文件分析工

具，对于FTP 和WWW可以选择此两种工具进行分析。

7.2.2.6 日志、审计

系统的每一功能几乎都有详尽的日志、审计等功能。 信息实时检查日志为

用户提供了方便的记录功能，用户可以将检查结果详细记录下来，存入信息实时

检查日志文件，供进一步分析时需要，也使信息检查有据可查。

文件分析的日志详细记录了网络文件分析的结果。

IP过滤情况日志对IP过滤器的过滤情况进行记录，可以随时查看这些过滤情况，

掌握IP过滤器的过滤情况。

7.3 产品选型

作为防毒产品的选择，必需是基于以下几点考虑：

（1）网络防毒软件；

（2）非单机版的防毒软件，应该是基于网络，基于通信、信息访问；

（3）防治能力；

（4）能否防治目前已知的所有病毒，对新病毒的防治策略如何；

（5）管理能力和维护的方便性；

（6）对病毒的管理是否完善，维护是否方便，会否增加维护费用或软件过

时要重复投资。