《计算机网络系统设计与施工设计方案.pdf》由会员分享,可在线阅读,更多相关《计算机网络系统设计与施工设计方案.pdf(163页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目 录1 项目概况.-1 -1.1 项目背景.-1-1.2 建设目标.-1-1.3 工程范围.-I-1.4 网络信息点位分布与数量表.-I-2 总体设计.-3-2.1 设计依据.-3-2.2 设计原则.-3-3 网络系统.-5-3.1 网络协议的选择.-5-3.2 网络技术选择.-5-3.2.1 VLAN(Virtual LANs).-5-3.2.2 三层交换技术.-6-32 3 VRRP.-7-3.2.4 其它网络技术.-8-3.3 网络设计概要.-8-3.4 网络的分层设计.-9-3.4.1 核心层.-9-3.4.2 汇聚层.-9-3.4.3 接入层.-10-3.4.4 选用华为3COM的
2、网络设备.-10-3.4.5 网络规划.-11-3.5 网络拓扑图.-24-3.6 网络冗余设计.-26-3.7 路由规划.-26-3.8 应用VRRP技术.-28-3.9 选择组播协议.-31-3.10 VLAN 规划.-33-3.11 IP地址分配原则.-33-3.11.1 内网1P分配规划.-34-3.11.2 外网沪分配规划.-34-3.12 本设计方案的特点.-35-3.12.1 完全的分布式的处理方式.-35-3.12.2 核心交换机先进的体系架构设计.-35-3.12.3 基于流攻击的防止.-35-3.12.4 QOS 功能.-35-3.12.5 广播风暴的抑止.-36-3.12
3、.6 高可用性保障.-36-4 网管管理系统.-36-4.1 网络管理的重要性.-36-4.2 管理系统的总体设计.-37-4.3 华为3coM网络管理解决方案.-37-4.3.1 产品特点.-37-4.3.2 典 型 组 网 应 用.-41-4.4 用户的安全接入管理.-41-5 网络系统安全特性.-42-5.1 配置 IDS.-42-5.2 网络病毒的诊断.-42-5.3 协议的安全性.-42-5.3.1 应 用 服 务协议的安全.-42-5.3.2 路 由 协 议的安全.-43-5.3.3 网管SNMP的安全性.-43-5.4 网络设备的安全性.-43-5.4.1 控制口 console
4、 的控制.-43-5.4.2 远程登录telnet的控制.-44-5.5 限制外网BT业务流量.-44-5.6 多元绑定技术的应用.-47-5.6.1 网 络 安 全 特 征.-48-5.6.2 可 用 绑 定 技 术 规 划 高 安 全 的 网 络.-49-5.7 防止对DHCP服务器的攻击.-52-5.7.1 Private VLAN.-52-5.7.2 访 问 控 制 列 表.-53-5.7.3 新的命令.-53-5.8 恶意用户追查.-53-5.9 防病毒攻击.-53-5.9.1 防止 DOS 攻击.-54-5.9.2 防 止 基 于流的攻击特性.-54-5.9.3 防 止 病 毒的广
5、播传递.-55-6 网络入侵检测.-56-6.1 入侵检测系统在外网网络的作用.-56-6.1.1 在 外 网 建设入 侵 检 测 系 统 的 必 要 性.-56-6.2 本系统外网络入侵检测产品选型.-59-621 网 络 入 侵 检 测 技 术 简 介.-59-6.2.2 网 络 入 侵 检 测 技 术 分 析.60 6.2.3 网 络 入 侵 产 品 选 型.-62-6.3 网络入侵检测产品部署.-65-6.3.1 NetEye IDS 部署 建 议.-65-6.3.2 NetEye IDS 的集中管理.-66-6.3.3 NetEye IDS 的系统结构.-67-6.3.4 NetEy
6、e IDS 的配置清单.-67-6.4 网络入侵检测产品扩展及建议.-68-6.4.1 NetEye IDS 平 滑 扩 展.-68-6.4.2 NetEye IDS 全/J.63-6.5 NETEYE IDS 优势介绍.-69-7 网络防病毒.-72-7.1 计.算机病毒发展和入侵途径分析.-72-7.1.1 计 算 机 病 毒 的 发 展 趋 势.-72-7.1.2 病 毒 入 侵 渠 道 分 析.-73-7.2 本系统外网网络防病毒技术要求.-74-7.3 网络防病毒需求分析.-76-7.4 防病毒解决方案.-78-7.4.1 设计思想.-78-7.4.2 防 病 毒 规 划.-79-7
7、.4.3 部署产品.-79-7.4.4 部署示意.-79-7.4.5 部 署 防 病 毒 系 统 实 现 的 效 果.-80-7.5 网络版防毒系统介绍.-81-7.5.1 网 络 版 产 品 简 介.-81-7.5.2 网 络 版 系 统 需 求.-82-7.5.3 网 络 版 部 署 方 式.-83-7.5.4 网 络 版 管 理 方 式.-84-7.5.5 网 络 版 升 级 方 式.-84-7.5.6 网 络 版 功 能 特 色.-84-8 设备安装场地及环境要求.-92-8.1 机房的选址建议要求.-92-8.2 机房的建筑建议要求.-92-8.3 网络设备工作环境的要求.-93-8
8、.3.1 温 度 和 湿 度 要 求.-93-8.3.2 洁 净 度 要 求.-94-8.3.3 防 静 也 要 求.-94-8.3.4 电 磁 环 境 要 求.-95-8.3.5 防 雷 击 要 求.-95-8.3.6 抗 干 扰 要 求.-95-8.3.7 照明要求.-96-9 实施方案.-97-9.1 总体实施规划.-97-9.2 工程界面.-98-9.3 工程实施组织结构和分工.-99-9.4 项目实施计划编制和文档修改控制.-100-9.5 工程协调会和工程进度安排.-102-9.6 项目实施.-107-9.6.1 安装准备.-107-9.6.2 到货检查.-107-9.6.3 设备
9、安装检验.-108-9.6.4 连通性和系统完整性测试.-110-9.6.5 系统测试和验收.-110-9.6.6 培训.-110-9.6.7 实施总结.-111-9.6.8 售后维护.-111-9.6.9 过程监控.-Ill-9.7 I页 目 .-11 2 9.8 工程文档.-113-10 验收方案.-115-10.1 验收的方法与步骤.-115-10.2 4 攵 测 i X i 本木.-115-10.3 验收测试流程.-115-10.4 整体系统验收.-116-10.5 检测方法与目的.-118-1 0.5.1 设备到货验收.-118-10.5.2 初验收.-122-10.5.3 系统终脸
10、.-123-11 培训方案.-126-1 1.1 培训目的.-126-1 1.1.1 的培训优势.-126-11.2 华为3COM培训机构简介.-129-1 1.2.1 培训理念.-129-1 1.2.2 总体介绍.-130-1 1.2.3 培训师资.-130-1 1.2.4 课程设计.-730-1 1.2.5 中高端路由器产品培训项目.-133-11.3 本项目培训计划.-134-1 1.3.1 现场培训.-134-1 1.3.2 国内技术培训.-134-12 质保和售后服务.-140-1 2.1 公司技术服务的优势.-140-12.2 公司的服务承诺.-140-12.3 华为3coM的服务
11、承诺.-141-1 2.3.1 技术服务.-141-12.3.2 技术支持.-142-1 2.3.3 备件以及设备维保.-143-12.4 趋势科技的售后服务.-143-1 2.4.1 技术支持部分.-143-12.4.2 自动升级服务.-143-12.4.3 新版本更新权利.-144-12.5 服务体系简介.-144-12.5.1 服务架构.-144-12.5.2 服务范围及程度.-146-1 项目概况1.1 项目背景目前,X X X办公大楼改造已进入工程实施阶段,即将建成。届 时I#、2#和3#楼将通过光纤链路和综合布线系统进行组网,实现的办公内部网络。为充分发挥X X X办公大楼的作用,
12、有必要在楼内进行办公网络联网建设,实现真正意义上的内部网络连接,同时建设于内网完全物理隔离的办公外网,提高办公自动化程度,进一步加速和推进的信息化建设。通过与工程技术人员进行详细的技术交流并到办公大楼现场考察,在充分理解用户方需求的基础上,提出本设计方案。1.2 建设目标在X X X办公大楼综合布线系统的基础上,建立起联系3座办公楼内的所有单位内部办公网络和外部办公网络,集信息收集、传递、发布等多功能为一体,可用图、文、声、像等多媒体方式进行信息交互的专用办公内网。可以实现部属机关内部的互联互通、数据传输,使信息交互的实效性更加增强,提高可靠性和信息化办公程度,从而降低总体办公费用。1.3 工
13、程范围本次网络工程范围是1#、2#、3#三栋办公楼,总建筑面积约为6500平米。每栋大楼均有两个独立的弱电竖井,本次改造要求内网、外网之间物理隔离,内网、外网由弱电竖井分别置各层。本大楼的功能定位对数据通信有较高的要求,因此垂直主干设12芯多模光缆,水平布线全面采用6类线缆。重点部分区域建议光纤到桌面。内网、外网网络机房均设在3#楼4层。1.4 网络信息点位分布与数量表1#2#3罐 网络信息点位分布与数量表楼号楼层网络信息点数量光网点内网点外网点1#1097548548F1384877F188386专业 学 习 参 考 资 料1#2#3#楼网络信息点位分布与数量表楼号楼层网络信息点数量光网点内
14、网点外网点6F161281315F171241274F10981433F18901082F972921F86468地 下1F044地下2F0782#731975201312F4373911F1018518810F102072109E61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地 下1F0911地下2F047491#654835258F351557F1586886F51221275F513204F1752553F618262F7961011F71422地 下1F055地下2F02626
15、合计24732123392专业 学 习 参考资料2 总体设计2.1 设计依据 信息化网络集成项目比选文件;国内国际信息化建设相关标准和规范;政府、企业网络建设方面的丰富的经验。2.2 设计原则我们在进行总体设计和设备选型时遵循以下设计原则:(1)可靠性高可靠性是大楼智能化的重要标准。采用先进的设计思想,提供连续的网络工作环境,系统应具有较强的自动纠错能力,合理的网络链路策略,确保系统7 X 2 4小时正常服务。(2)扩展性随着业务发展,需求也会不断增长,因而对大楼网络系统要求有很高的扩展性。设计时应支持多种的系统标准,达到在各个系统上提供一些预留接口,使得在用户需要时,系统可以跨越现有的平台,
16、增加新的功能,实现平滑的扩展。采用的技术和设备遵循相关国际、国内标准,能支持各种相应的接口和标准协议,具有兼容性、灵活性和可移植性。(3)先进性和成熟性在对系统进行设计时,要符合当今技术发展方向,系统硬、软件的选择和系统的设计,采用符合当前技术和管理发展方向的先进性技术和思想。同时,确保设备和技术都是有成功应用先例的。使用被证明了是成熟的设备和技术,减少实施风险。(4)安全性XXX办公大楼是国家政策、文件、信息的核心地。承担着极其重要的工作。系统安全性主要体现在防止来自外部对网络的攻击、侵扰、病毒。保证文件信息的不篡改不丢失。中选单位必须有中国信息安全评测认证中心的 信息安全服务资质标准的信息
17、安全服务资质认证。(5)可维护性为确保投资的有效性和大楼的实用性,应针对功能特点选用设备和技术,并尽量简化系统配专业 学 习 参考资料置步骤,使其容易得到维护和维修。专业 学 习 参考资料3 网络系统本规划将从当前及未来一个时期内应用的实际出发,对信息管理系统的基础设施一网络系统进行规划设计,从而达到一个先进、高效、可靠、实用和便于维护、扩展性能较强的网络,为信息化提供稳定和功能强大的网络平台。3.1 网络协议的选择本网络系统以TCP/IP为主要协议。因为TCP/IP协议簇是目前众多计算机网络最流行的协议,以它为基础组建的Internet网是目前国际上规模最大的计算机网间网,采用TCP/IP为
18、网络主要协议,可保证系统各部分网络保持一致。3.2 网络技术选择网络技术发展很快,新技术层出不穷,有的具有旺盛的生命力,如以太网技术;有的很快就被淘汰,如Token Ring、FDDI等。因此,就给用户投资带来一定的风险,如何把握网络发展的方向,选择合适的技术和产品非常重要。在本项目中,我们采用千兆以太网作为骨干网技术,同时,我们将采用一些其它的先进且成熟的网络技术,如VLAN、三层交换、虚拟路由器冗余协议(VRRP.RFC2338)、入侵 检 测(IDS)、服务质量(QoS)、组 播(MultiCast)等,使整个网络具有优异的性能、良好的安全可靠性及未来的可扩展性。下面重点介绍几种先进实用
19、的网络技术。3.2.1 VLAN(Virtual LANs)随着网络技术日新月异,L3,L4交换已经非常成熟。1ntemet中也越来越广泛地应用了交换技术,全交换网络已经非常普遍。在这些网络中,VLAN的使用是必不可少的。VLAN是一个根据作用、计划组、应用等进行逻辑划分的交换式网络。与用户的物理位置没有关系。举个例子来说,几个终端可能被组成一个部分,可能包括工程师或财务人员。当终端的实际物理位置比较相近,可以组成一个局域网(LAN)。如果他们在不同的建筑物中,就可以通过VLAN将他们聚合在一起。同一个VLAN中的端口可以接受VLAN中的广播包。但别的VLAN中的端口却接受不到。VLAN提供以
20、下一些特性 简化了终端的删除、增加、改动当一个终端从物理上移动到一个新的位置,它的特征可以从网络管理工作站通过SNMP或用专业 学 习 参考资料户界面菜单中重新定义。而对于仅在同一个V LA N中移动的终端来说,它会保持以前定义的特征。在不同V LA N中移动的终端来说,终端可以获得新的V LA N定义。控制通讯活动V L A N可以由相同或不同的交换机端口组成。广播信息被限制在V L A N中。这个特征限定了只在V L A N中的端口才有广播、多播通讯。管 理 域(management dom ain)是一个仅有单一管理者的多个V LA N的集合。工作组和网络安全将网络划分不同的域可以增加安
21、全性。V L A N可以限制广播域的用户数。控 制V L A N的大小和组成可以控制广播域的相应特性。在V LA N中应用最广的就是GVRP和STP技术。它们是V LA N中优点的集中体现。3.2.2三层交换技术现在,网络业界对“三层交换”这个词已经不感到陌生了,在中大型规模网络建设中,以千兆三层交换机为核心的主流网络模型已不胜枚举。其实,三层交换从其出现到今天的普及应用也不过几年的时间,计算机网络加速度式的迅猛发展势头,实在快得令人吃惊。“三层交换”概念的出现,与V L A N有着密不可分的联系。事实上,一个虚拟网就是逻辑上的子网。为了避免在大型交换机上进行广播所引起的广播风暴,可将其进一步
22、划分为多个虚拟网。在一个虚拟网内,由一个工作站发出的信息,只能发送到具有相同虚拟网号的其他站点,而其他虚拟网的成员收不到这些信息或广播帧。由于网络变得越来越复杂,性能要求也越来越高,这就要求网管员能够成功地部署V L A N,从而使网络更加灵活而且易于管理。以往,网管员将3/4的时间花费在维护网络的基础结构,确保通信流量的优化,并处理移动和变更等工作。通常情况下,当一名用户转移到网络中另一个物理位置时,需要重新配置网络,甚至还有用户的工作站需要进行大量的管理工作。针对于此,V LA N的部署就是将通过减少管理网络中移动与变更所需的资源,从而实现为用户节约大量宝贵的资源。V L A N技术还可以
23、在以下关键领域内为用户提供价值:比路由器更具有成本效益的广播控制,有效抑制广播风暴。支持多媒体应用与高效组播控制,提高网络带宽的有效利用率。提高网络的安全性,各种显式或隐式的V LA N划分方法提供基于策略的安全访问机制。网络监督与管理的自动化,更多的有效的网络监控。减少路由需要,基于ASIC技术,大幅度提高设备的数据包转发能力。V LA N之间如何通信?简单回答就是“通 过 路 由 因 此,这种技术也引发出一些新的问题:虚专业 学 习 参考资料拟网之间通信是不允许的,这也包括地址解析(ARP)封包.要想通信,就需要用路由器桥接这些虚拟网,这就是虚拟网的问题:用交换机速度快但不能解决广播风暴问
24、题,在交换机中采用虚拟网技术可以解决广播风暴问题,但又必须放置路由器来实现虚拟网之间的互通。在这种网络系统集成模式中,路由器是核心。过去的网络在一般情况下按“80/20分配”规则,即只有20%的流量是通过骨干路由器与中央服务器或企业网的其他部分进行通信,而 80%的网络流量主要仍集中在不同的部门子网内。而今天,这个比例已经提高到了 50%(“平分秋色”)甚至80%(倒二八,20/80),这是因为今天的网络正在经历着诸多应用的集合影响。网络应用已经超越了组件和电子邮件,新型应用已经如此迅速和深刻地冲击着网络,比如,任何人通过任何个浏览器便可进行访问设定的Web网页,支持诸如销售、服务和财务之类商
25、业功能的数据仓库。这种变化对传统路由器产生了直接的冲击。因为传统的路由器更注重对多种介质类型和多种传输速度的支持,而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。路由器的高费用、低性能,使其成为网络的瓶颈。但由于网络间互连的需求,它又是不可缺少的并处于网络的核心位置,虽然也开发了高速路由器,但是由于其成本太高,仅用于Internet主干部分。在这种情况下,提出了三层交换技术。三层交换机是采用Intranet应用的关键,它将二层交换机和三层路由器两者的优势有机而智能化地结合成一个灵活的解决方案,可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性,不仅使二层与三层相互关联起来,
26、而且还提供流量优先化处理、安全访问机制以及多种其它的灵活功能.三层交换机分为LA N 接口层、二层交换矩阵层和三层交换矩阵(路由控制)层三部分。三层交换机的应用其实很简单,主要用途是代替传统路由器作为网络的核心。因此,凡是没有广域网连接需求,同时需要路由器的地方,都可以用三层交换机代替。在企业网中,一般会将三层交换机用在网络的核心层,用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。因为其网络结构相对简单,节点数相对较少。另外,其不需要较多的控制功能,并且要求成本较低。简单地说,三层交换技术就是:二层交换技术+三层转发技术,它解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管
27、理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。3.2.3 VRRP当路由器功能出现故障时,VRRP(虚拟路由器冗余协议,RFC2338)通过同一个局域网中的另一台路由器来保障网络的正常运行。通过设置虚拟路由器为缺省路由器,终端用户在路由器发生故障时可以继续通信,而不必考虑转换到另一台路由器上。利用同一个以太网中的两台路由器设置一台虚拟路由器。在实际运行中,两台路由器中的任一台成为主路由济,该主路由器模拟虚拟路由器,备份路由器监控主由器状态。一旦主路由器出现故障影响网络运行,备份路由器立即进入主路由器状态以模拟虚拟路由器。专业 学 习 参考资料I P 地址被分配给虚拟路由器。指定虚拟
28、路由器I P 地址为缺省路由耕的服务谓将不会觉察主路由器的切换而继续进行正常通信。关于V R R P 的详细设计和部署情况请参见后续章节。3.2.4其它网络技术在本网络中,除了采用三层交换和V R R P 技术,根据应用情况,还可采用组播(M u l t i c a s t)、Q o S和负载均衡等先进网络技术。全面支持MultiCast:选择设备全部支持Mu l t i C a s t,主干设备支持D V MR P、PI M、I G MP、G AR P组管理协议和多点发送、多点广播协议,充分适应网络特殊网络传输要求。一定的QoS保证:核心设备支持RSVP、C AR(C o m m i t t
29、 e d Ac c e s s R a t e)以及可配置门限的多种队列采用W AE D、1 V R R、业务类型/业务级别(T o S/C o S)映射机制,在满足基本要求前提下保持高性价比,也为多媒体应用提供了坚实地网络基础。负载均衡实现:在核心设备上通过设置不同的VL A N 的优先级,可将所有的VL A N 流量分担在各楼的两台汇聚设备上,通过两台汇聚设备的V R R P 功能,实现网络层的负载均衡。也可根据未来网络扩展的需求,增加相关的专用负载均衡设备实现3-7 层的负载均衡功能。3.3网络设计概要XXX办公大楼内、外网网络系统项目的总体设计目标以高可靠性、高安全性、高性能、极好的可
30、扩展性和有效的可管理性为原则,同时兼顾考虑到技术的成熟性、先进性和可扩充性,网络系统设计采用层次化、结构化的设计方法。根据对本系统网络需求的初步分析,确定办公内、外网网络采用多千兆链路捆绑,百兆到桌面的方案,本方案具有较好的性能价格比,整个网络采用分层设计技术,骨干为网络中心与1#、2#和3#楼之间的多千兆光纤线路,接入网为各终端节点的I 0/1 0 0 M以太网接入线路。核心设备使用高端路由交换机,接入设备选用具备三层交换功能的接入交换机。各楼内采用虚拟网VL A N 技术实现功能群的划分,VL A N 可在汇聚设备上创建。利用统一的标准调整网络规划,避免可能的不兼容性,保证整个网络的统一架
31、构。根据我们对网络系统需求的初步分析并结合本系统的特点,我公司提出一套基于华为3coM网络设备的解决方案,本方案具有较好的性能价格比,内网和外网全部采用分层设计,利用统一的标准调整网络扩容规划,避免可能的不兼容性,保证整个内、外网络的统一架构。专业 学 习 参考资料3.4网络的分层设计XXX办公大楼内、外网网络系统设计为两级网络,三级设备节点:以网络中心(中心节点)为中心,边界至1#、2#和 3#楼(汇聚节点)的骨干网;以 1#、2#和 3#楼(汇聚节点)为中心,边界至同各配线间(接入节点)的接入网;本系统的办公内、外网拓扑为冗余树型结构,无汇聚与汇聚和接入与接入节点之间有物理直联的需求。因此
32、所有汇聚节点之间的通信全部经过网络中心的核心路由交换机实现数据交换,比较容易对各楼之间的流量和访问控制进行有效控制。层次化设计的优点为:可扩展性:因为网络可模块化增长而不会遇到问题;简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题:设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其它层次造成影响,无需改变整个环境:可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。3.4.1核心层核心层为汇聚和接入层提供优化的数据输运功能,它是一个高速的路由交换骨干,其作用是尽可能快地交换数据包而不应卷入到具
33、体的数据包的运算中(A C L,过滤等),否则会降低数据包的交换速度。内外网核心层设备各包括两台核心交换机。3.4.2汇聚层汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。汇聚层主要提供地址的聚集、部门和工作组的接入、广播域/多目传输域的定义、In t e r V LAN 路由、任何介质的转换和安全控制等功能。在内、外网中,1#、2#和 3#办公楼各有2个汇聚层交换机,通过O S P F 和 V R R P 实现设备和链路的冗余备份。专业 学 习 参考资料3.4.3接入层接入层直接为各接入用户提供的网络访问接入。本系统的接入设备选用支持80
34、2.lx功能的接入交换机。3.4.4选用华为3COM的网络设备本项目中涉及的网络设备种类不多,但各设备类别具体需求各不相同,因此在选择设备厂商时,应考虑选择技术先进,产品线丰富,售后服务周到,且具有良好信誉的网络设备厂家。网络设备的选择原则如下:1.必须支持本系统目前以及未来涉及到的网络技术,如Trunking.VLAN/PVLAN.RoutingSwitch.ACL、QoS、Multicast及多种路由协议等12.必须支持多协议下的局域网络互连;3.必须支持国际/国内网络技术标准,与不同厂商的网络安全产品有较好的互连性:4.必须支持SNMP网络管理协议;5.所选产品必须具有良好的发展前景,能
35、适应未来网络技术的发展;支持向未来网络新技术的平滑过渡。6.所选网络设备必须能够在不影响性能的情况下实现平滑升级。7.所选网络设备必须要能够在网络中心利用网管软件进行统一网管。在当今网络设备的市场上,比较著名的厂商有华为3coM、Cisco.NORTEL Networks等。其中,华为3 c o M公司在政府、企业网络、住宅宽带产品、基于Internet协议的电话、以太网连接、网络服务供应商的远程接入与无线解决方案等领域都可提供高性价比的解决方案。因此我们在本项目网络设计中选用华为3 c o M公司的网络设备。核心设备:华为3coM Quidway S8512S8512具 有720Gbps的交
36、换容量,背 板 为1.8Tbps(可扩展至3.6T),多层硬件转发能力为428M pps,完全满足本网络对核心路由交换的需求。另外,S8512未来还可顺利增加防火墙模板和IDS模板,以保证核心交换机的安全功能平滑升级,从而在网络核心层为提高内、外网络的安全性提供更丰富的解决方案。汇聚设备:华为3coM QuidwaN S6506专业 学 习 参考资料S6506具有384Gbps的交换容量,背板为l.6T bps,完全满足本网络对汇聚路由交换的需求。接入设备:华为 3coM Quidwa勘 LS-3952-P/LS-3928-PLS-3952-P和 LS-3928-P具有32Gbps的交换背板,
37、多层硬件转发能力分别为13.2和 9.6Mpps,完全满足本网络对接入交换机的需求。上述华为3 co M 的交换机都是具有较高性价比的产品,并且具有较大的扩展性。3.4.5网络规划由于内外网的重要性,本次项目必须能够为用户提供不间断的网络服务,因此建议全网络采用全冗余结构(设备冗余、线路冗余)互连。3.4.5.1网络设备统计内网设备统计见下表:内网楼号楼层数据点接入交换机(48 口)接入交换机(24 口)汇聚交换机核心交换机1 号楼8F84227F8326F12835F12434F98213F9022F72111F642B1F4B2F71 号楼小计754172202 号楼12F371211F1
38、85410F207419F17348F207417F17346F17345F17344F18343F18342F12931F9631B1F9B2F47专业 学 习 参考资料内网楼号楼层数据点接入交换机(48 口)接入交换机(24 口)汇聚交换机核心交换机2 号楼小计1975433203 号楼8F5111227F8626F12235F1314F52113F1812F9621F141BIF5B2F263 号楼小计48310422合计321270962由于每接入交换机具备48或 24个端口,因此接入层交换机数量可根据内网的每层设备间管理的信息点数计算得出,内网需配置7 0 台 48 口和9 台 24
39、 口交换机。其中多余的端口作为备用端口。内网在1#、2#和 3#楼各需配置2 台单引擎的汇聚交换机。内网的2 台核心交换机位于3#楼的4层,为了保证核心设备的高效稳定运行,减少核心设备宕机对网络产生重要影响,需配置冗余引擎。外网设备统计见下表:外网楼号楼层光网数据点接入交换机(48 口)接入交换机(24 口)汇聚交换机核心交换机1号楼8F1387227F188626F1613135F1712734F1014333F18108212F99221F8682B1F4B2F81号楼小计109854191202 号楼12F4391211F10188410F10210419F617648F10210417
40、F617646F617645F617644F618643F61864专 业 学 习 参 考 资 料外网楼号楼层光网数据点接入交换机(48 口)接入交换机(24 口)汇聚交换机核心交换机2F113231F29831B1F11B2F492 号楼小计732013433203 号楼8F35511227F158826F512735F52014F1755113F62612F7101211F72211B1F5B2F263 号楼小计6552511522合计247339273962由于每接入交换机具备4 8 或 24个端口,因此接入层交换机数量可根据外网的每层设备间管理的信息点数计算得出,外网需配置7 3 台
41、48 口和9 台 24 口交换机。其中多余的端口作为备用端口。外网在1#、2#和 3#楼各需配置2 台单引擎的汇聚交换机。外网的2 台核心交换机位于3#楼的4层,为了保证核心设备的高效稳定运行,减少核心设备宕机对网络产生重要影响,需配置冗余引擎。另外,本系统外网在1#、2#和 3毋 有 共 247个光纤到桌面的信息点。鉴于光纤到桌面的特殊性和光网络流量集中管理,建议这些光网端口不配置接入层交换设备,而是直接联到汇聚层的千兆光端口交换模板上,由汇聚层交换机直接负责这些光纤到桌面的信息节点的接入和访问控制管理。3.4.5.2 核心层交换Quidway S8512Quidway S8500系列核心交
42、换机是由华为3 co m 公司白主开发的新一代高性能核心路由交换机产品,可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商IP 城域网核心层、汇聚层。QuidwayS8500系列基于新一代核心交换机的设计理念,具备大容量高性能、可扩展能力强和业务与性能兼具的特点。Quidway S8500系列支持新一代高性能接口,能够为城域网、园区网、数据中心提供超高速链路,构建端到端以太网络,打造低成本、高性能、具有丰富业务支持能力的高性能网络。QuidwayS8500提供大容量、高密度、模块化的二、三层线速转发性能,内置强劲的全分布式业务处理引擎,以全线速处理二层、三层
43、、MPLS V P N,组播等各种业务流量,提供完善的Q oS保障、安全管理机制和电信级的高可靠设计,满足大型IP 网络对多业务、高可靠、大容量、模块化的需求。I)先进的体系结构专 业 学 习 参 考 资 料Quidway S8500系列产品采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查找,并 通 过 Crossbar技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板,不单独占用设备槽位,可提供高达720Gbps的交换容量,并可平滑升级到1.44Tbps的交换容量。接口板通过多条高速总线分别连到两块主控板上的Cross
44、bar交换网,从而实现真正的双主控、双交换网的热备份,极大的提高了系统的可靠性。Quidway S8500系列产品采用高性能的最长匹配、逐包转发的方式,在保持线速性能和低成本的基础上,革命性的解决了传统交换机流Cache精确匹配转发的致命缺陷,能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击,更加适合大规模、多业务,复杂流量访问的网络。2)大容量、高密度线速交换Quidway S8500系列产品目前最高可以提供720Gbps交换容量/428Mpps包转发能力,并可平滑升级到1.44Tbps交换容量、857Mpps转发能力。支持各种高密度业务板和组合业务板,整机可支持高达576个千兆端口的
45、同时线速转发,满足核心层设备大容量、高密度的要求。3)强大的业务支撑能力Quidway S8500 支持 MPLS VPN 业务;支持丰富的组播协议(IGMP、IGMP SNOOPING,PIM-SM.PIM-DM和 MSDP/MBGP等):支 持WebSwitch(硬件支持)、NAT(硬件支持),内置防 火 墙(硬件支持)、IDS;支持POS/ATM、RPR等接口。4)MPLS/IPV6分布式线速支持Quidway S8500系列产品遵循业务与性能并重的设计理念。方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升,另一方面业务的发展要求核心交换机更加智能化并具备更强的业务提供能力。
46、Quidway S8500系列产品采用功能强大的ASIC芯片实现MPLS、IPv6的分布式线速转发,并能够基于高性能NP实现线速NAT、WebSwitch等增值业务,在为用户提供全面的有保障业务的同时,也做到根据需求业务可裁减。5)完善的QoS机制Quidway S8500系列产品提供了灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式:支持8 个优先级队列,3 个丢弃优先级;支持WRED拥塞避免算法和端口流量整形。支持带宽控制功能,流量限速的粒度为1 Kbit/s,满足精品宽带网络的要求。6)电信级可靠性设计:Quidway S8500系列产品系统采用
47、分布式结构,支持双主控交换板,无源背板设计,所有单板支持热插拔;电源系统交流/直流可选,采 用 1+1 冗余热备份,并支持双路电源输入;支持STP/RSTP/MSTP协议和VRRP协议,能够满足苛刻的电信级网络可靠性要求,系统可靠性达到:99.999%。专业 学 习 参考资料7)完善的安全机制:Quidway S8500系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备安全,支持OSPF、R IPv2及 BGPv4报文的明文及MD5密文认证;支持URPF(单播反向路径检查);采用802.1X方式对接入用户进行认证,支持安全的SNMPv3的网管协议、支持配置安全,对登录用户进行认证,不同
48、级别的用户有不同的配置权限,并提供两种用户认证方式:本地认证和RADIUS认证。Quidway S8500系列产品通过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。支持多种ACL访问控制策略,能够对用户访问网络资源的权限进行设置,保证网络的受控访问。Quidway S8500系列产品还支持标准Radius协议,同时提供Radius+功能,以及HCBM(华为可控组播管理协议)功能支持。基于硬件支持的内置防火墙/IDS功能为核心交换设备安全组网提供了多样化的选择,简化了网络层次,提高了整网性能。Quidway S85(X)系列产品可与华为3Com SecEngin
49、e D 系列IDS设备实现线速安全联动,采用标准的SNMPv2/v3作为联动协议的承教协议,根据不同的攻击事件行为,使联动交换机产生下述不同的ACL对数据流进行阻断:可以对单一主机发起的所有流、单一主机特定端口发起的流、单一主机接收的所有流、单一主机特定端口的接收流、指定网络发起的所有流、指定网络接收的所有数据流或明确的五元组流(源和目的IP地址和端口和协议)进行阻断,为用户建立起立体的安全网络。3.4.5.3 S8512网 瞰 灌 器(NP)特色应用随 着 Internet从科研向商业应用的转变,网络用户迅猛增加,各种类型的应用(包括文件传送、W eb浏览、局域网互联、视频/音频会议、IP
50、电话以及其它实时多媒体业务)共存在一个物理网络上,网络节点的处理能力、QoS保障和网络带宽逐渐成为Internet继续发展的主要障碍。随着光传输技术的发展,尤 其 DWDM的出现,传输带宽不再成为网络的瓶颈,而网络交换节点的处理能力显得尤为重要。为了满足IP 网络新变化,G 比特路由器(GSR)和 T 比特路由器(TSR)应运而生,这些高端路由器采用大容量交换结构和硬件高速转发技术,大大提高了报文转发速度:作为这些设备交换核心的网络处理器(Network Processor)技术也得到了迅猛的发展和应用。那么,什么是网络处理器呢?根据国际网络处理器大会(Network Processors C