畢業(yè)設計（論文）企業(yè)局域網網絡設計與實現(xiàn)

1、山東職業(yè)學院信息工程系畢業(yè)論文（封面樣式）畢業(yè)論文打印格式(a4紙型)山東職業(yè)學院畢業(yè)設計（論文）題目： 火炬大廈網絡的規(guī)劃和實現(xiàn)系別： 信息工程系專業(yè)： 計算機網絡技術班級： 計網0832學生姓名： 指導教師： 完成日期： 2011-4-28山東職業(yè)學院畢業(yè)設計（論文）任務書班 級計網0832學生姓名指導教師 設計（論文）題目火炬大廈網絡的規(guī)劃和實現(xiàn)主要研究內容1、 計算機網絡的設計與規(guī)劃2、 ip地址的劃分3、 計算機網絡硬件設備的原理與應用4、 計算機網絡路由原理與應用5、 計算機網絡交換原理與應用6、 計算機網絡網絡布線應用主要技術指標或研究目標1、 接入層、匯聚層、核心層的功能2、

2、計算機網絡綜合布線的六個子系統(tǒng)的設計與規(guī)劃3、 ip子網的劃分4、 vlan的設計與規(guī)劃5、 網絡安全策略的設計與實現(xiàn)6、 internet接入技術7、 整體網絡管理與監(jiān)視基本要求1、 建筑群子系統(tǒng)應具備兩到三個多層建筑物，建筑物之間采用光線連接2、 每個樓層不少于30個接入點3、 接入層采用100m接入，核心層采用1000m互連4、 internet接入應采用主流技術例如：專線、f-r、isdn等5、 至少劃分5個邏輯子網及5個vlan，采用802.1q或公共端口6、 要求具備dmz分區(qū)7、 網絡應具備冗余性、可靠性、安全性8、 對于特殊子網要求通過訪問列表進行控制9、 網關中心要監(jiān)控整體網

3、絡運行狀態(tài)10、網絡設備要求有型號、價格主要參考資料及文獻cisco現(xiàn)場手冊 人民郵電出版社 張輝譯 2003年2版思科網絡高級路由教材 人民郵電出版社mark著 2002年1版思科網絡多層交換教材 人民郵電出版社mark著 2002年1版網絡安全與防火墻 人民郵電出版社david w著2002年1版摘要自從火炬大廈決定建設科研計算機網絡(cernet)以來,國內各大網絡公司紛紛著手建設企業(yè)網。作為火炬大廈網絡建設系統(tǒng)，它面向淄博各個部門、行政管理部門、cernet、internet?；鹁娲髲B需要的是一個適用的同時可滿足未來技術發(fā)展需求的多媒體廣域網絡系統(tǒng)環(huán)境。故在考慮整個系統(tǒng)建設時，應尋求：

4、l 相互協(xié)作能力：即可提供跨國或跨地域解決方案能力。l 全面解決方案：即可提供滿足一線工作人員及行政人員需求的全套解決方案能力。l 靈活，簡單：即不管大小，可以同樣的可靠性及靈活性支持整個企業(yè)網系統(tǒng)軟硬件的能力。l 投資保障：即系統(tǒng)可隨時增加軟硬件來滿足貴公司目前應用需求變化，及科技發(fā)展。不必為適應新需求而重復投資。l 適應性：即系統(tǒng)可快速適用于技術革新或社會需求改變的能力。l 可靠而易于維護：即系統(tǒng)可持續(xù)運作的能力和在影響系統(tǒng)運轉前即可預先找出問題的所在?；鹁娲髲B網絡支持的是一個不斷多元化的網絡應用系統(tǒng)設備組合，用以支持其日常運作和實現(xiàn)其長遠目標。系統(tǒng)設備、管理者及使用者之間的聯(lián)系必須是親密

5、無間的，自覺而透明的，從而具備較強的擴展性。豐富的經驗與專業(yè)知識，將與火炬大廈一道，為今天和進入下一世紀信息時代所具備的企業(yè)網絡需求，共同設計建成一個多媒體企業(yè)網絡工作系統(tǒng)打下堅實的基礎。我們提出的是最先進的技術、最專業(yè)的服務使其滿足現(xiàn)在及將來需要的多媒體網絡通訊技術。有明確的網絡目的和網絡拓撲圖，增加了擴展的網絡空間。采用最近的網絡技術，保證硬件的良好兼容性。關鍵字：企業(yè)局域網網絡管理系統(tǒng)網絡設計h3c網絡安全目錄1引言- 5 -2局域網設計目標和與原則- 6 -2.1火炬大廈局域網的設計目的：- 6 -2.2火炬大廈局域網的設計原則：- 6 -3網絡系統(tǒng)設計及報價- 7 -3.1 系統(tǒng)設計

6、- 7 -3.2 1000m千兆以太網- 7 -3.3主干網絡的選擇- 8 -3.4 網絡系統(tǒng)產品的選擇- 9 -3.5方案描述- 9 -3.6無線接入方案- 11 -3.7有線無線一體化的網管系統(tǒng)- 13 -3.8網絡流量分析系統(tǒng)（nta）- 13 -4網絡級可靠性設計- 17 -4.1網絡可靠性設計- 17 -4.2設備級可靠性設計- 17 -4.3雙星型的網絡拓撲- 18 -4.4適當采用鏈路捆綁技術- 18 -4.5采用vrrp技術- 18 -4.6系統(tǒng)安全性的實現(xiàn)- 19 -4.7網絡可靠管理的實現(xiàn)- 19 -5相關產品簡介- 19 -5.1 catalyst5500核心交換機- 1

7、9 -5.2 建立內部網基礎設施- 19 -5.3 提供成套的綜合內部網服務- 20 -5.4 ciscoworks網管軟件- 22 -5.5 在ciscoworks中的一些應用：- 23 -6用戶綜合接入管理解決方案- 23 -6.1系統(tǒng)總體結構- 23 -6.2系統(tǒng)功能- 23 -6.3用戶管理- 24 -6.4系統(tǒng)管理- 24 -6.5安全管理- 25 -6.6用戶數(shù)據查詢與導出- 25 -6.7最終用戶自助- 25 -7安全狀態(tài)評估- 26 -7.1軟件檢測- 26 -7.2用戶權限管理- 26 -7.3用戶行為監(jiān)控- 26 -7.4網絡流量分析系統(tǒng)- 27 -7.5傳統(tǒng)網管的局限性-

8、 27 -8 lan接入業(yè)務組件提供的功能- 27 -8.1認證功能- 27 -8.2授權功能- 28 -8.3業(yè)務管理- 28 -8.4系統(tǒng)功能- 28 -8.5協(xié)議支持- 29 -8.6認證功能- 29 -8.7業(yè)務管理- 29 -9功能系統(tǒng)- 29 -9.1ldap業(yè)務組件提供的功能- 29 -9.2ldap服務器的管理功能- 29 -9.3ldap用戶導出功能- 30 -9.4ldap用戶管理功能- 30 -9.5dhcp業(yè)務組件提供的功能- 30 -9.6地址池管理功能- 30 -9.7地址分配查詢功能- 30 -9.8地址池統(tǒng)計功能- 30 -9.9支持自動升級功能：- 30 -1

9、0網絡管理方案- 31 -10.1網絡管理需求- 31 -10.2業(yè)務流程（businessprocess）- 31 -10.3用戶、資源和業(yè)務的融合管理- 31 -10.4基于soa的開放架構- 31 -10.5網絡管理系統(tǒng)的功能- 32 -總結- 33 -致謝- 34 -參考文獻- 35 -1引言在信息化社會，尤其是中國加入世貿組織，要在強手如林的市場占據一席之地并能有所發(fā)展，就必須提升企業(yè)自身的競爭力和抗風險能力，而擺在面前的惟一出路就是順應潮流，加強企業(yè)內部的信息化建設，建設可靠的企業(yè)園區(qū)網絡。通過企業(yè)網絡建設實現(xiàn)計算機網絡之間的安全、高速相互訪問，為企業(yè)實現(xiàn)辦公自動化和運行基于電腦計

10、算機網絡的應用信息管理系統(tǒng)提供良好的硬件平臺，從而達到充分利用各種計算機信息技術使企業(yè)的辦公、管理逐步實現(xiàn)計算機網絡化、信息化、現(xiàn)代化的目的。企業(yè)信息化的目的在于提高企業(yè)的業(yè)績。從根本上說，這決定于企業(yè)的素質。另一方面，企業(yè)的素質好壞會通過企業(yè)的業(yè)績表現(xiàn)出來。這兩者互相聯(lián)系互為表里。在不同的時代兩者之間有著不同的內容。如今我們已經步入了信息時代，企業(yè)的素質更多地是看信息和知識的運用程度、創(chuàng)新能力、無形資產的價值、供貨速度、服務質量以及用戶滿意程度等等。企業(yè)的業(yè)績除了利潤以外，還要看市場占有份額、對社會的貢獻與積極影響等等。如果企業(yè)素質與企業(yè)業(yè)績得不到提升，企業(yè)信息化就失去了意義。企業(yè)信息化的關

11、鍵因素在于兩個方面，一是企業(yè)業(yè)務信息化，二是企業(yè)管理信息化。企業(yè)管理服務于企業(yè)業(yè)務，企業(yè)業(yè)務的進展則取決于企業(yè)管理的好壞。現(xiàn)代企業(yè)穿梭在海量的信息當中，沒有一個好信息系統(tǒng)作為指引的話，就會徘徊于這些信息，最終淹沒在這些信息中。如果企業(yè)能夠引入創(chuàng)新的知識，將其運用于整個企業(yè)的運作之中，滿足未來競爭需要。這就成為企業(yè)的核心競爭力。在所有的企業(yè)都引入信息系統(tǒng)之后，這種知識創(chuàng)新的因素仍然存在，所以我們要組建完善的信息化局域網絡來實現(xiàn)企業(yè)局域網的管理系統(tǒng)。因此本課程設計課題將主要以企業(yè)局域網絡建設過程可能用到的各種技術及實施方案為設計方向，為企業(yè)局域網網的建設提供理論依據和實踐指導。企業(yè)的網絡化建設必然

12、會對企業(yè)的信息化建設起到巨大的推動作用，同時提供簡單、有效、便捷的理想辦公、工作環(huán)境。企業(yè)網一方面縮短了企業(yè)與外界的距離；另一方面，構建了以intranet為基礎的管理信息系統(tǒng)，推動了企業(yè)的信息化建設。隨著internet不斷的普及愈來越多的企業(yè)已經通過各種方式把自己的企業(yè)接入到internet,方法有很多。但是一個不正的事實是很多企業(yè)還是利用自己公司的內部局域網拉入internet，所以我們必須要和局域網有個親密接觸。2局域網設計目標和與原則2.1火炬大廈局域網的設計目的：構建大型辦公局域網的總體目標是利用先進的計算機技術和網絡通信技術，建設高質、高效率、統(tǒng)一的辦公網絡。其具體目標如下：一是

13、使系統(tǒng)互通互聯(lián)，最大限度地實現(xiàn)信息資源共享；二是改變傳統(tǒng)的工作方式，用電子信息的傳遞取代紙面文件、材料的傳送，逐步實現(xiàn)“無紙辦公”，進一步提高工作效率；三是利用各種業(yè)務信息的綜合分析，為企事單位的發(fā)展提供決策支持，更好地組織生產和經營。構建大型辦公局域網主要遵循以下原則：其一，在企事業(yè)領導小組的領導下，建立統(tǒng)一的規(guī)章制度，進行統(tǒng)一的管理，采用統(tǒng)一的標準；其二，所有軟、硬件產品的選擇都必須堅持標準化的原則，采用全路統(tǒng)一的軟、硬件平臺和基本應用軟件，進行統(tǒng)一的軟件版本升級管理；其三，局域網應具有良好的安性與保密性；其四，做到資源共享與保護，充分合理地利用現(xiàn)有資源，最大限度地與原有系統(tǒng)或在建系統(tǒng)互通

14、互聯(lián)，在盡可能利用已有投資的基礎上，解決好經費的補充和配套資金到位問題。2.2火炬大廈局域網的設計原則：1.高性能1）隨著ip電話、視頻會議、網上業(yè)務、oa辦公系統(tǒng)、電子郵件等系統(tǒng)的應用，該網絡需要承載各種信息流，將對火炬大廈局域網帶寬提出較高的要求。高速網絡是火炬大廈局域網發(fā)展的必然方向，網絡應該運用當今最先進的技術，并且應該滿足今后若干年的性能需求，因此我們要使用千兆網來滿足火炬大廈的帶寬需求。2）局域網以千兆為核心技術，支持萬兆交換已成為組網的基本要求，千兆骨干、千兆到服務器，千兆到用戶應該成為火炬大廈局域網網絡建設的基本要求。3）支持多種應用：火炬大廈局域網是融合多種應用如數(shù)據、ip電

15、話、視頻等的網絡，網絡在建設之初就應該考慮的對多業(yè)務的支持。4）vlan的靈活劃分是非常重要的功能，它為限制全網范圍的廣播、減少不必要的流量提供了有效的手段。在網絡設計中應選擇切實可行的技術進行vlan的靈活劃分。5）對于廣域網來說，路由規(guī)劃及ipqos的設計也是非常重要，需要選擇高效率的路由協(xié)議來實現(xiàn)各點的快速互聯(lián)互通，同時廣域網帶寬有限，如何在有限的帶寬上實現(xiàn)語音、視頻和數(shù)據的分類優(yōu)質傳輸，是網絡規(guī)劃應該詳細考慮的。2.高安全性隨著火炬大廈信息化建設的不斷深入，在火炬大廈局域網迅速壯大并推動業(yè)務快速發(fā)展的同時，也使火炬大廈面臨著更加嚴峻的挑戰(zhàn)：網絡安全與網絡管理日益成為關系到火炬大廈業(yè)務處

16、理的重大因素。目前常見的網絡安全隱患主要來自以下一些方面：網絡級攻擊：竊聽報文，ip地址欺騙、源路由攻擊、端口掃描、拒絕服務攻擊。應用層攻擊：有多種形式，包括探測應用軟件的漏洞、特洛依木馬等；系統(tǒng)級攻擊：不法分子利用操作系統(tǒng)的安全漏洞對內部網構成安全威脅。另外，網絡本身的可靠性與線路安全也是值得關注的問題。所以，建成的火炬大廈局域網系統(tǒng)應具有良好的安全性。能夠對使用者進行驗證、授權、審核，以保障系統(tǒng)的安全性。同時提供靈活的用戶接入控制策略：及分布式控制和集中式控制。3.高可靠性火炬大廈局域網系統(tǒng)承載著火炬大廈各種重要數(shù)據，整個網絡系統(tǒng)應具有高可靠性。除了采用高可靠性的網絡設備以外還應考慮鏈路層

17、和網絡層的備份。4.可擴展性和可升級性系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網絡中的數(shù)據和信息流將按指數(shù)增長，需要網絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。5.易管理、易維護火炬大廈局域網系統(tǒng)規(guī)模大，需要網絡系統(tǒng)具有良好的可管理性，網管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設置等功能，以便于系統(tǒng)的管理和維護。3網絡系統(tǒng)設計及報價3.1 系統(tǒng)設計3.11網絡協(xié)議選擇我們在火炬大廈企業(yè)局域網的設計中主要采用了以下標準：ieee802.3ieee工作組為csma/cdlan制定了被稱作ieee802.3的標準，它為csma/cdlan制定了如下的規(guī)范：1.線纜電纜最大距

18、離每段最大站點數(shù)優(yōu)點10base5粗纜500米100較遠距離10base2細纜200米30便宜10baset雙絞線100米1024易維護10baset光纖2000米1024遠距離2.編碼曼切斯特編碼3.介質子層控制定義與了幀格式及載波監(jiān)聽多路訪問/碰撞訪問(csma/cd)控制方法。3.2 1000m千兆以太網1998年6月29日，千兆以太網聯(lián)盟于加利福尼亞paloalto正式宣布了千兆以太網標準ieee802.3z。這是千兆以太網發(fā)展的里程碑。 人們對千兆以太網技術給予了充分的重視和信心。簡單地說，這是因為“千兆以太網仍然是以太網，只不過速度更快而已”。 這一點是問題的關鍵。由于“千兆以太網

19、仍然是以太網”，因此千兆以太網繼承了10m、100m以太網的特征。由此得出了千兆以太網的以下優(yōu)點：與現(xiàn)有大多數(shù)網絡設施的兼容性權威統(tǒng)計表明大多數(shù)網絡都是以太網，因此千兆以太網與現(xiàn)有網絡具有天然的兼容性。千兆以太網在與10m、100m以太網通信時不存在需要損失性能的轉換操作。簡便的網絡升級操作千兆以太網由于完全與以前的10m、100m以太網兼容。因此，自然簡便的網絡升級使得千兆以太網可以“無縫”融入現(xiàn)存的以太網環(huán)境中，解決了網絡管理員所面臨的如何升級現(xiàn)有網絡，但不至于造成網絡癱瘓的問題。用戶總是傾向簡單實用，厭惡煩瑣復雜的工作。因為升級的挑戰(zhàn)過程和額外的知識學習并不是用戶建網的目的。技術的成熟性

20、和穩(wěn)定性以太網技術是十分成熟的技術，它所組成系統(tǒng)的可靠性已經接近一般的電話通信系統(tǒng)（我們可以體會到，電話是不大出錯的）?！扒д滓蕴W仍然是以太網”意味著千兆以太網是可以信賴的技術?？傮w開銷較低總體性的開銷是評價網絡技術的重要的因素?？傮w開銷不僅包括購買設備的開銷，還應包括培訓、維護和糾錯的開銷。而千兆以太網產品能提供較好的性能價格比。從臺式機聯(lián)網的網卡、集線器、交換機、路由器和其它各種設備，千兆以太網和其它類似速率的通信技術比較價格總是低廉的。并且，由于用戶早已熟悉了以太網技術，以太網的維護和糾錯手段，因此以太網維護的開銷也較少。從技術本身的特征分析，千兆以太網的技術復雜度也較低。網絡管理人員

21、不需要記憶很多術語，不需要經過復雜的額外培訓。靈活的網絡互聯(lián)和網絡設計千兆以太網可以支持多種交換、路由和共享式方式。所有當今的網絡互聯(lián)技術，包括第三、四層交換技術和千兆以太網都是兼容的。千兆以太網性能很高千兆以太網能以千兆線速運行。由于多數(shù)千兆以太網使用無沖突的交換式、全雙工的結構，應當認為此時的吞吐率將可以接近全雙工的理論上的2gb/s的最大吞吐量。千兆以太網的距離千兆以太網標準定義了傳輸距離的三個特定目標：最大距離為550米的多模光纖，最大距離為3千米的單模光纖，最大距離不小于25米、理想為100米的銅線。實際上cisco公司已經突破了這些距離定義的限制，cisco公司的千兆以太網傳輸距離

22、已經達到城域網的長度，并且已經利用長距離的千兆以太網的傳輸手段建設出了長達近百千米的成功城域網范例。這種長距離的千兆位高速傳輸?shù)慕鉀Q方案引起了人們的極大興趣和關注。3.3主干網絡的選擇企業(yè)網絡主干采用千兆以太交換技術，各大樓內采用以太網、快速以太網技術。千兆以太網的技術掌握和操作相對簡單,atm需要掌握大量的相關知識，而具備高水平網絡人才的中國企業(yè)目前還不多。千兆以太網因此而獨具優(yōu)勢。實際上對于企業(yè)網絡管理人員來說，他們最關心的是穩(wěn)定可靠的網絡運行。簡單實用，避免復雜的培訓和網絡管理工作，應當是網管人員的目標。以太網從很簡單的概念中得到效益：網絡越簡單就越有用。千兆以太網具有價格優(yōu)勢千兆以太網

23、繼承了傳統(tǒng)以太網的主要技術特征，以太網長期研發(fā)和生產線經驗使得千兆以太網的產品具有成熟性和大規(guī)模生產的價格優(yōu)勢。從構造層次和技術復雜性來說，千兆以太網也應在價格上優(yōu)于其它主干方式?？紤]到倍比于設備開銷的維護管理開銷，千兆以太網似乎更應勝出一籌。網絡維護和管理以太網在管理qos和vlan等功能時會變得復雜。但這也是循序漸進得學習過程。技術的穩(wěn)定性“穩(wěn)定性”指技術的成熟標準和眾多廠家對該項技術所達成的認識一致性?！扒д滓蕴W還是以太網”意味著它基本上是使用多年的成熟技術，具有很多成熟標準，擁有很多不同廠家的系列兼容產品支持，它們之間的互操作性早已得到證實。千兆以太網也不是完全沒有qos能力。雖然簡

24、單一些，但是以太網也能提供優(yōu)先級的控制能力。在火炬大廈企業(yè)網絡建設中，除非有條件，有特殊需求和環(huán)境限制，一般在考慮要求較高的主干協(xié)議時恐怕千兆以太網應當首先考慮。故在火炬大廈企業(yè)網絡建設方案中，選用千兆以太網更為實際,也更好一些。3.4 網絡系統(tǒng)產品的選擇火炬科技根據用戶的要求，綜合火炬大廈的網絡集成經驗，為用戶選擇在網絡領域具有領先水平的cisco公司的網絡產品。cisco公司是全球最大的網絡產品供應商，其產品在全球有超過50以上的市場占有率，其中在全球骨干網上超過80的路由器是cisco公司提供的。cisco公司的產品系列包括多協(xié)議路由器，局域網交換機和atm交換機，可為用戶提供全方位的網

25、絡互連服務。cisco公司同時是atm論壇，幀中繼論壇及其他網絡技術的發(fā)起者和組織者之一，cisco歷來堅持協(xié)議的標準化、技術的先進性和產品的互連性，這使cisco公司始終處于網絡界領先地位。火炬科技考慮到上述因素，因此在火炬大廈企業(yè)網絡建設方案中，推薦cisco產品。3.5方案描述火炬大廈計算機網絡包括火炬大廈內網和外網2個部分，2個網絡物理隔離。本次采用模塊化、層次化的設計思想，火炬大廈專網對可靠性要求更高，因此采用雙星形的拓撲結構，互聯(lián)網則采用單星形的拓撲結構，將整個計算機網絡分為：核心層、匯聚層、接入層和服務器區(qū)3個部分，如圖3.51和圖3.52所示：圖3.51火炬大廈內網拓撲圖圖3.

26、52火炬大廈外網拓撲圖3.51核心層作為整個局域網數(shù)據交換的中心，核心交換機將承擔整個網絡的數(shù)據轉發(fā)功能，這就要求核心交換機具有較高的性能和可靠性。核心設備建議采用h3c的s9500系列高端萬兆路由交換機?；鹁娲髲B內網采用雙核心結構，選用12個業(yè)務插槽的s9512，2臺交換機之間采用1000m雙絞線連接，2臺核心交換機可以運行在主備模式或者負載分擔模式?；鹁娲髲B互聯(lián)網則采用單核心結構，考慮到擴展性，選用12個業(yè)務插槽的s9512，配置雙處理引擎，核心交換機與匯聚層交換機之間通過1000m多模光纖連接。在內網核心層交換機上配置高性能的流量分析業(yè)務板卡，可以對流經核心交換機的流量進行收集并聚合，配

27、合xlog分析軟件可以對基于應用層信息對流量進行分析，形成報表，以便網管人員對整個網絡進行可視化管理，詳細設計請見流量分析章節(jié)。3.52匯聚層考慮到火炬大廈樓層的分布，在內外網分別部署6臺12臺匯聚交換機。匯聚層的作用主要有3個方面：第一，將數(shù)量眾多的接入層設備匯接起來，可以按照電井位置或部門位置萊進行匯接，方便布線；第二，作為本區(qū)域終端的vlan終結點，將部分本地流量控制在匯聚交換機上，減輕核心交換機的流量壓力；第三，匯聚交換機與核心交換機之間采用三層連接，可以在匯聚交換機上設置本區(qū)域的路由及訪問控制策略，便于管理。在匯聚層建議采用h3c的s7506r多業(yè)務路由交換機，通過配置相應的千兆接口

28、連接核心交換機和接入交換機，s7506r本身具備萬兆升級能力，支持雙引擎。3.53接入層接入層分為2個部分，一部分為樓層普通pc終端的接入，接入交換機選用h3c的s3600si系列，采用100m到桌面，上行1000m光纖連接核心交換機。s3600si交換機提供高密度的24或48個10/100base-t以太網端口，支持千兆上行，并且支持智能堆疊堆疊；多樣的隊列調度滿足高級qos、更為精細的流分類、限速粒度和組播服務，實現(xiàn)網絡控制和帶寬優(yōu)化；為網絡提供了更多的智能特性，如基于策略的vlan、支持基于端口流macvlan鏡像、增強的acl和端口安全功能等；更加多樣化的管理和豐富的特性。s3600s

29、i還支持arp入侵檢測功能，通過與dhcpsnooping功能配合，可以動態(tài)綁定接入用戶的ip-mac對應表，以防止非法arp報文的攻擊。3.6無線接入方案火炬大廈無線覆蓋存在接入點眾多，分布零散的特點，在部署ap時，需要考慮大規(guī)模ap的管理問題，因此，我們建議采用fitap的組網模式：在外網核心交換機上增加1塊無線控制器板卡，充分利用核心交換機的高可靠設計。在熱點覆蓋區(qū)部署wlan接入點apwa2110，根據覆蓋區(qū)域的特點，可以靈活選用不同類型的天線，以適應吸頂或壁掛等需求。采用h3cfitap覆蓋方案具有以下特點：1）方便部署一般而言，對網絡的改造和升級是一個大工程，不但在網絡升級期間，網

30、絡無法使用，甚至需要對原有的有線網絡重新規(guī)劃和部署。h3c公司fitap解決方案，采用集中式架構，在原有網絡增加無線功能時，可以輕松地把原來有線企業(yè)網絡，在不改變其網絡的原有規(guī)劃和部署的情況下，甚至不需要中斷原有網絡就可以輕松疊加一個無線網絡，該無線網絡和原有的有線網絡可以形成有線無線一體化的接入方案，這種保護客戶已有投資的升級方法，可以大大減少網絡升級和部署的成本。2）易于管理、ap“零配置”傳統(tǒng)無線網絡的部署需要網絡管理員對網絡中的每一個ap進行逐一配置，當無線網絡規(guī)模較大時網絡管理員往往要配置上百個ap，工作量巨大，且容易出錯。而采用無線控制器和fitap配合組網時，只需要在無線控制器上

31、對一類相同屬性的ap建立配置模板，ap在啟動時可以自動從無線控制器上下載最新的配置文件。另外，由于ap本身不保存任何配置，萬一設備丟失，也可以保證網絡配置不被竊取。ap支持啟動后自動獲取ip地址、自動獲取ac的工作列表并自動和ac建立關聯(lián)，真正做到了零配置，免維護，即插即用，極大地減輕了網絡管理員在部署網絡階段的維護工作量。當網絡正常運行以后，無線控制器對所管理的ap以及ap所接入的用戶進行實時監(jiān)控，并能將這些信息實時上報給網管。維護人員可以指定ap或用戶進行在線服務策略設定和安全策略設定，使網絡配置策略更加靈活。3）方便升級wa2110-ag還支持軟件自動更新功能，在其每次重新啟動時會自動比

32、較當前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，wa2110-ag會自動更新本地的軟件映像，軟件升級不再需要網管人員的干預。4）三層漫游h3cwx5002系列無線控制器支持三層漫游，并支持快速漫游，漫游切換時間小于50ms，滿足對切換時間要求最苛刻的語音業(yè)務。5）支持虛擬apwa2110-ag支持多ssid實現(xiàn)虛擬ap特性，每個ssid可對應不同的vlan、從而對于每一個ssid可以實現(xiàn)不同的網絡服務及認證方式。該特性使管理員可以方便的為不同用戶群、不同的業(yè)務制定區(qū)分的服務策略。6）豐富的rf管理和安全rf管理功能，可以使得無線網絡的布網靈活性大大增強，網絡的可維護性

33、得到很大的提高。ap的功率調整和信道切換是網絡部署和調試時不可缺少的重要手段，信道和功率還需要按照國家代碼自動設置，h3cwx5002系列無線控制器的rf管理功能使得網絡部署非常簡單。rssi/snr的不斷更新，更是讓系統(tǒng)可以適時了解每一個無線用戶所處電磁環(huán)境的好壞、離ap的距離，從而可以采取相應的策略來提升網絡可用性。7）支持智能的負載均衡支持按接入用戶數(shù)量和流量的復雜均衡方式，當無線控制器發(fā)現(xiàn)ap的負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的ap可供用戶接入，如果有則ap會拒絕用戶的關聯(lián)請求，用戶會轉而接入其他負載較輕的ap，但如果無線用戶不在

34、ap的重疊覆蓋區(qū)內，傳統(tǒng)的負載均衡方式往往會導致連接不上網絡，造成誤均衡。h3c公司創(chuàng)新性地支持智能負載均衡技術，保證只對處于ap覆蓋重疊區(qū)的無線用戶才啟動ap負載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網絡容量。8）ipv6wx5002實現(xiàn)了ipv4/ipv6雙協(xié)議棧。ap和無線控制器之間可以穿過ipv6網絡互聯(lián)，從而使組網方式更加靈活，可以滿足今后網絡發(fā)展的需要，保護用戶投資。9）完善的qoswx5002系列無線控制器基于h3c公司最新的comwarev5平臺開發(fā)，不但對diff-serv標準進行了完善，同時還增加了對ipv6協(xié)議的qos支持。qosdiff-serv模型

35、中主要包括流分類、流量監(jiān)管（policing）、隊列管理、隊列調度（scheduling）等，完整實現(xiàn)了標準中定義的ef、af1af4、be等六組phb及業(yè)務，可為用戶提供具有不同服務質量等級的服務保證，真正成為同時承載數(shù)據、語音和視頻業(yè)務的綜合網絡。3.7有線無線一體化的網管系統(tǒng)quidview是h3c公司自主研發(fā)的新一代網絡管理系統(tǒng)。quidview采用組件化結構設計，通過安裝不同的業(yè)務組件實現(xiàn)了設備管理、軟件升級管理、配置文件管理、告警管理、性能管理等功能。無論對于企業(yè)網、校園網、園區(qū)網用戶還是各大運營商，quidview都可以提供完善的解決方案，方便用戶監(jiān)控、維護、管理各自的網絡。h3

36、cwx5002系列無線控制器提供本地維護、遠程維護、集中維護等多種維護手段，并提供完備的告警、測試、診斷、跟蹤、日志等功能，方便用戶的日常維護管理。在局域網與廣域網的連接部分，建議部署安全設備，可以采用防火墻實現(xiàn)訪問控制和安全保護。根據內外網數(shù)據流量及功能的不同，建議使用不同檔次的防火墻設備。內網防火墻建議采用h3c的secpathf1000-a，外網使用h3c的secpathf1800-a，f1000/f1800支持外部攻擊防范、內網安全、流量監(jiān)控、郵件過濾、網頁過濾、應用層過濾等功能，能夠有效的保證網絡的安全；采用aspf（applicationspecificpacketfilter）應

37、用狀態(tài)檢測技術，可對連接狀態(tài)過程和異常命令進行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網絡管理監(jiān)控，協(xié)助網絡管理員完成網絡的安全管理。對于應用層（七層）威脅的防御，建議在出口增加防病毒網關，在互聯(lián)網的連接出對通過smtp、http、pop3、ftp等協(xié)議傳播的病毒進行過濾，保證內網不受這些病毒的影響。h3c方案特點h3c提供全面的網絡解決方案，為火炬大廈內外網提供高性能、可擴展、可管理、高安全的網絡，h3c網絡解決方案有如下特點：集成安全：網絡設備具備豐富的安全特性，并可擴展防火墻、vpn等插卡，實現(xiàn)網絡和安全融合。深度安全：防火墻集成病毒防護功能，可提供應用層（l7

38、）的威脅抵御。智能管理：網絡管理采用業(yè)界創(chuàng)新設計，使用智能管理中心將設備資源（路由器、交換機、防火墻）、用戶（pc、服務器）和網絡業(yè)務（安全接入業(yè)務、acl管理、mplsvpn）整合，實現(xiàn)了真正的智能性。3.8網絡流量分析系統(tǒng)（nta）為克服現(xiàn)有網管系統(tǒng)對網絡流量和流向分析功能的技術局限性，火炬大廈it管理部門迫切需要尋找一種功能豐富，成熟穩(wěn)定的新技術對現(xiàn)有管理系統(tǒng)中管理信息的采集和分析方式進行改造和升級。新的信息采集和分析技術還需要對火炬大廈的運行網絡影響小，無需對網絡拓撲進行改變就能平滑升級。而且新的信息采集和分析技術應該即可以對網絡中各個鏈路的帶寬使用率進行統(tǒng)計，也可以對每條鏈路上傳輸不

39、同類型業(yè)務的流量和流向進行分析和統(tǒng)計。作為it業(yè)界的網絡解決方案提供商，h3c公司不但提供了性能卓越的網絡設備，還同步配套研發(fā)了專門針對客戶對網絡流量和流向分析需求的netstream技術，netstream技術是一種基于網絡流信息的統(tǒng)計與發(fā)布技術，它可以對網絡中的通信量和資源使用情況進行分類和統(tǒng)計，基于各種業(yè)務和不同的應用進行分析。在理解h3c公司的網絡流量分析（networktrafficanalysis）解決方案之前，首先需要了解netstream的一些基本概念，它們是該解決方案的基礎。3.81 netstream技術為對火炬大廈網絡中不同類型的業(yè)務流進行準確的流量和流向分析與計量，首先

40、需要對網絡中傳輸?shù)母鞣N類型數(shù)據包進行區(qū)分。由于ip網絡的非面向連接特性，網絡中不同類型業(yè)務的通信可能是任意一臺終端設備向另一臺終端設備發(fā)送的一組ip數(shù)據包，這組數(shù)據包實際上就構成火炬大廈網絡中某種業(yè)務的一個數(shù)據流（stream）。h3c公司的netstream正是基于這種“流”概念，定義了路由器/交換機輸出網絡流量的統(tǒng)計數(shù)據的方法，路由器/交換機對通過其的ip數(shù)據包進行統(tǒng)計和分析，并上報給數(shù)據采集器，采集器經過一定的聚合策略后，把統(tǒng)計數(shù)據傳送到中心服務器，經合并處理后存入數(shù)據庫，并進行進一步的分析處理。通過對上述原始、詳細的基本ip數(shù)據流進行分析，準確把握網絡運行狀態(tài)，準實時發(fā)現(xiàn)網絡異常情況并

41、進行處理，也能支持面對業(yè)務應用的精細管理和計費。netstream技術可利用網絡中數(shù)據流創(chuàng)造價值，并可在最大限度減小對路由器/交換機性能的影響的前提下提供詳細的數(shù)據流統(tǒng)計信息。圖3.81 netstream處理流程netstream的流定義為在源、目的端點間的一系列單方向的數(shù)據包，端點由ip地址和傳輸層的端口號決定，此外，netstream還使用了ip協(xié)議類型、tos和輸入接口來唯一地標識一個流，即如下的七元組：源ip地址（sourceipaddress）目的ip地址（destinationipaddress）源端口號（sourceportnumber）目的端口號（destinationpor

42、tnumber）協(xié)議類型（protocoltype）服務類型（typeofservice）輸入接口/輸出接口（inputinterface/outputinterface）如果不同的包中的七元組中各域都匹配，那么所有這些包都將被視為屬于同一股流量。3.82 nta的邏輯組成nta解決方案包括：網流采樣設備（nettrafficexporter）、網流采集設備（nettrafficcollector）、數(shù)據分析處理設備（nettrafficprocessor），三個設備之間的關系如下圖所示：nte負責流量的采集和發(fā)送，ntc設備負責收集和存儲nte發(fā)來的流量統(tǒng)計數(shù)據信息；ntp從數(shù)據庫中獲取收集

43、到的數(shù)據，經分析加工后以直觀的圖表、報表等方式為網絡規(guī)劃、網絡優(yōu)化、網絡監(jiān)控、應用監(jiān)控等提供直接的數(shù)據依據。nettrafficexporter提供netstream技術接口的網絡設備（h3c的s9500/s7500系列交換機等），負責對設備各個端口進出的網絡報文進行流分類統(tǒng)計，然后打包輸出。nettrafficcollectorntc可以采集多個nte設備輸出的數(shù)據，對數(shù)據進行過濾和聚合，并將數(shù)據存儲在數(shù)據庫中供分析處理。nettrafficprocessorntp是一個網絡流量的分析工具，對采集來的流量數(shù)據，根據不用的應用進行詳細的分析處理。使用sql數(shù)據庫為中心的分布式數(shù)據集中和分析的方

44、法，可以獲得更好的分析樣本以及統(tǒng)計粒度。為便于網絡管理人員的操作，采用基于web的直觀的、圖形化的管理界面，所有數(shù)據輸出都以腳本語言（xml）的形式，直接在web頁面中顯示。3.83 nta系統(tǒng)功能nte設備提供以下的功能：支持按七元組（源ip、目的ip、源端口號、目的端口號、ip協(xié)議類型、iptos、接口信息）建立netstream流支持對流進行信息記錄和統(tǒng)計，統(tǒng)計的信息有：流量信息：包括包數(shù)、字節(jié)數(shù)時間段信息：流起始時間、流結束時間qos信息：tos、協(xié)議類型、tcp的連接標志起至信息：源ip、目的ip應用信息：源端口、目的端口、協(xié)議類型路由和對等體信息：下一跳地址、源as號、目的as號、

45、源地址掩碼、目的地址掩碼網絡設備支持netstream有兩種方式，硬件單板和軟件方式。這兩種方式的區(qū)別在于，因為有獨立的硬件單板實現(xiàn)ip數(shù)據流的netstream數(shù)據提取和統(tǒng)計，因此采用此方式對設備的轉發(fā)性能影響小，而采用軟件方式實現(xiàn)對設備的轉發(fā)性能影響較大，因此推薦采用硬件單板的實現(xiàn)方式，對于數(shù)據流量較大的情況，還可以進行采樣的方式，進一步減輕對設備轉發(fā)性能的影響。ntc功能ntc的主要功能是為一個或多個nte上報的netstream數(shù)據進行采集，用戶在nte設備上配置ntc的ip地址和端口后，ntc設備就能夠接收nte設備上報的netstream數(shù)據。ntc設備實現(xiàn)的功能包括如下：數(shù)據采集

46、：支持對多個nte流統(tǒng)計數(shù)據的收集，同時支持netstreamv5、v9數(shù)據過濾：基于預置的規(guī)則對數(shù)據進行篩選數(shù)據聚合：對過濾后的數(shù)據進行聚合，將一段時間內的一系列記錄聚合為一條記錄，降低入庫數(shù)據量數(shù)據入庫：不同粒度高速批量入庫ntp功能ntp對ntc生成的所有數(shù)據進行分析，對數(shù)據進行二次聚合、統(tǒng)計分析，分析的結果以圖表方式（柱狀圖、餅圖、直方圖、統(tǒng)計信息表格等）展示給用戶，通過這些統(tǒng)計報表用戶可以監(jiān)控網絡使用狀況、應用使用狀況、用戶網絡訪問行為，并可監(jiān)控到流量異常狀況并可以進一步做分析。報表功能用戶可根據統(tǒng)計分析的需求，自定義報表生成規(guī)則，由報表引擎生成報表，并將統(tǒng)計分析的結果以柱狀圖、餅圖

47、、曲線圖、統(tǒng)計信息表格等直觀的形態(tài)展示出來。當前實現(xiàn)的報表功能列表和簡要說明如下：功能類別功能項目功能說明配置功能設備接口自動識別對指定的設備（設備ip地址、團體字），自動發(fā)現(xiàn)其各種接口設備物理端口的流量統(tǒng)計對指定的設備的物理端口流量通過snmp方式進行統(tǒng)計接口組設置對自動發(fā)現(xiàn)的接口按組進行分類，并按組進行統(tǒng)計設置應用聚合策略設置統(tǒng)計實時性系統(tǒng)參數(shù)設置設置topn的n值大小，數(shù)據保存時間，以及磁盤使用方面的信息應用管理設置修改預先定義好的網絡應用的端口號和協(xié)議號，以及新增未知網絡應用的端口號和協(xié)議號分析功能設備接口流量統(tǒng)計顯示設備各個接口的流量值和接口的帶寬占用率基于接口的流量分布指定設備、接

48、口和時間段，顯示其流量在這段時間的趨勢圖基于接口的應用分布指定設備、接口和時間段，顯示其各種應用（topn）流量在一段時間的趨勢圖和比例基于接口的源iptopn指定設備、接口和時間段，顯示其流量排名靠前的topn源ip地址以及流量值和占用流量的比例基于接口的目的iptopn指定設備、接口和時間段，顯示其流量排名靠前的topn目的ip地址以及流量值和占用流量的比例基于接口的會話topn指定設備、接口和時間段，顯示其流量排名靠前的topn源和目的ip會話以及流量值和占用流量的比例基于接口的應用相關topn源ip和目的ip列表指定設備、接口，在應用流量趨勢圖中，查看指定應用的topn源ip地址和to

49、pn目的ip地址基于接口的topn源ip相關的應用topn列表和會話topn目的ip列表指定設備、接口，在源iptopn列表中，查看指定源ip地址的應用topn排名和會話topn的目的ip地址基于接口的topn目的ip相關的應用topn列表和會話topn源ip列表指定設備、接口，在目的iptopn列表中，查看指定目的ip地址的應用topn排名和會話topn的源ip地址基于接口的topn會話相關的應用明細指定設備、接口，在會話topn列表中，查看其會話的應用明細列表流量值和所占比例支持周期報表提供網流周期性(每小時、每日、每周、每月)狀態(tài)的綜合報表，提供直觀的網流狀態(tài)展示。支持即時報表提供網流當

50、前狀態(tài)（最近一小時）的綜合報表，提供準實時的網絡流量展示。表1nta報表功能4網絡級可靠性設計4.1網絡可靠性設計網絡的可靠性最終要從設備，鏈路級可靠，網絡，業(yè)務等各層次保證。4.2設備級可靠性設計火炬大廈網絡系統(tǒng)的設備級可靠性主要從設備自身可靠性，設備間熱備份幾個個方面考慮：網絡中的關鍵設備，如各核心交換機等，應該具備電信級可靠性：可靠性指標必須達到99.999%。網絡核心設備采用全分布式體系結構，路由與轉發(fā)分離。所有關鍵器件，如主控板、交換網、電源等都采用冗余設計，業(yè)務模塊支持熱插拔。網絡核心設備無源背板，采用無源器件的背板，可靠性更高。網絡核心設備支持不間斷轉發(fā)，主控板熱備份。主備倒換過

51、程不影響業(yè)務轉發(fā)，不丟包。網絡核心設備支持軟件在線升級，升級過程中業(yè)務不中斷。網絡核心設備支持軟件熱補丁，打補丁過程中主控板和接口板都不需要重啟動，業(yè)務不中斷。本次選用的s9500采用分布式體系結構，所有關鍵部件采用冗余設計，包括主控板、交換網、電源和風扇等；采用無源背板設計，避免機箱出現(xiàn)單點故障；所有單板支持熱插拔功能，并且對其它單板上運行的業(yè)務無影響。s9500還支持ospf/is-is/bgp的優(yōu)雅重啟技術（gracefulrestart），可以實現(xiàn)用戶業(yè)務的不間斷轉發(fā)；支持動態(tài)路由協(xié)議、跨板端口聚合、虛擬路由冗余協(xié)議（vrrp）等保護機制，有效保證全網高速可靠運行。4.3雙星型的網絡拓

52、撲火炬大廈內網系統(tǒng)實際上采用的是雙星型拓撲，以核心交換機為中心，所有接入設備均采用雙鏈路上行。4.4適當采用鏈路捆綁技術對可靠性要求較高的鏈路，如核心交換機之間以及服務器交換機與核心交換機之間，可以考慮采用鏈路捆綁技術：局域網中，在關鍵鏈路上采用ethernettrunk技術，即將多個ethernetlink捆綁為一條trunk鏈路，該trunk鏈路在設備上對應為一個邏輯接口，在路由表中只有一項，其下一跳是這個邏輯接口，當報文需要經這個邏輯接口轉發(fā)時，路由表信息指示這個接口是邏輯接口，轉發(fā)部件選擇一個實際物理出接口，因此當trunk中的某一鏈路故障時，只需要更新trunk表，而不影響需要更新秒

53、級收斂的路由表，大大提高了故障恢復的能力。4.5采用vrrp技術對于現(xiàn)有網絡部分的二層trunk連接，采用vrrp的備份方案，對于每一個vlan，都在2臺核心交換機上建立一個vrrp備份組：如上圖所示，針對vlan1，建立vrrp組group1，group1中包含2個設備上為vlan1的網關地址，分別為主設備上的和備用設備s7506e上的，group1虛擬出1個vlan1的ip地址，對于vlan1中的pc終端，網關地址設為。對于下級設備而言，vlan1的接口地址為，備份組將為該地址指定

54、一個對應關系，在group1中，所有發(fā)往vlan1接口地址的數(shù)據包都將發(fā)往group1指定的master設備上的接口地址上，一旦master設備出現(xiàn)故障，group1將自動切換master設備，將指定為master設備，那么故障發(fā)生后的數(shù)據包將發(fā)往備用設備上的接口，從而實現(xiàn)設備的備份。4.6系統(tǒng)安全性的實現(xiàn)在系統(tǒng)中,我們根據用戶網絡安全需求,在與internet外部網連接時采用防火墻軟件及路由器內部nat地址轉換(放火墻可在后期擴展中采用),保證了內部網絡的安全,.并根據用戶需要在網絡中設置必要的訪問控制做到網絡安全的全面控制；并采用vlan等技術進

55、一步控制內部網絡安全，采用撥號用戶的身份驗證控制撥號用戶的安全性，采用雙機備份或冗余連接、網卡容錯、數(shù)據庫容錯、定期備份等實現(xiàn)安全可靠性。4.7網絡可靠管理的實現(xiàn)我們使用的所有設備都是可網管的,而且提供了ciscoworks的網管軟件,可提供全方位的網管功能.5相關產品簡介5.1 catalyst5500核心交換機ciscocatalyst5500不但建立在屢獲大獎的catalyst5000和lightstream1010交換機體系結構基礎上，還在同一個平臺上集成了基于cisco網間網操作系統(tǒng)（ciscoios）的路由技術。這兩種最佳技術的完美結合不但建立了強有利的平臺，而且還進一步完善了ca

56、talyst交換機系列。catalyst5500采用了千兆級以太網體系結構，這種結構體系可擴充到50gbps，吞吐量高達數(shù)千萬pps，因而可提供建立大型交換式內部網所需的擴展性、靈活性和冗余性，并可用于布線室和骨干網應用。5.2 建立內部網基礎設施catalyst5500是cisco的新型高檔模塊化交換平臺，它能夠滿足今天就需要且發(fā)展很快的企業(yè)內部網的需求。同時新的catalyst5500還能將現(xiàn)有的catalyst5000和lightstream1010接口模塊順滑的集成到新的catalyst5500機柜中，從而保護客戶在當前cisco產品上的投資。不依賴介質的體系結構通過各種以太網、快速以太網、光纖分布式數(shù)據接口（fddi）令牌環(huán)網和atm交換機模塊支持所有遺留的lan和異步傳輸模塊（atm）交換技術。根據所配備模塊的不同，cata