數(shù)據(jù)中心建設(shè)項目網(wǎng)絡(luò)設(shè)計方案

數(shù)據(jù)中心建設(shè)項目網(wǎng)絡(luò)設(shè)計方案

摘要

當前網(wǎng)絡(luò)中數(shù)據(jù)流量非常大，各個企業(yè)各個網(wǎng)站每天都有龐大的數(shù)據(jù)需要處

理和存儲，而這些數(shù)據(jù)如果通過普遍的處理和統(tǒng)計方式是無法滿足當前網(wǎng)絡(luò)用戶

的需求的，所以推出了一個新的網(wǎng)絡(luò)架構(gòu)：互聯(lián)網(wǎng)數(shù)據(jù)中心。

為了迎合當前網(wǎng)絡(luò)的飛速發(fā)展，互聯(lián)網(wǎng)數(shù)據(jù)中心也在逐漸的普遍起來，國內(nèi)

外的企業(yè)紛紛建立起屬于自己的數(shù)據(jù)中心，并對此投入巨大的資金，人們熟知的

四大電信運營商也紛紛投入這項工程中。數(shù)據(jù)中心，是傳統(tǒng)的數(shù)據(jù)中心與

Internet的結(jié)合，他不帶有傳統(tǒng)的數(shù)據(jù)中心的全部優(yōu)點，如所有網(wǎng)絡(luò)數(shù)據(jù)的集

中處理、網(wǎng)絡(luò)設(shè)備運行的可靠性，還需要具有登陸方式的些變化、要做到7x24

小時不間斷服務(wù)、反應(yīng)速度快等。IDC是一個提供資源外包服務(wù)的基地，它應(yīng)具

有非常好的機房環(huán)境、網(wǎng)絡(luò)數(shù)據(jù)安全保證、網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)端口高帶寬。

互聯(lián)網(wǎng)數(shù)據(jù)中心，顧名思義它是一個用來處理大量數(shù)據(jù)，并且對數(shù)據(jù)進行統(tǒng)

計、計算、分類并對收到的數(shù)據(jù)進行轉(zhuǎn)發(fā)、回復(fù)、備份的一個大型機房，而本方

案所要說的就是數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的搭建，通過一個個網(wǎng)元設(shè)備節(jié)點，將所

有的數(shù)據(jù)中心所涉及的業(yè)務(wù)處理端連接在一起，形成一個完整的網(wǎng)絡(luò)架構(gòu)，進行

所有網(wǎng)絡(luò)業(yè)務(wù)的承載與轉(zhuǎn)發(fā)。

本方案主要從交換機以及網(wǎng)絡(luò)傳輸協(xié)議方面來構(gòu)建網(wǎng)絡(luò)，詳細描寫了網(wǎng)絡(luò)設(shè)

備的IP規(guī)劃，二層網(wǎng)絡(luò)的設(shè)計與三層網(wǎng)絡(luò)的設(shè)計。并對所涉及的網(wǎng)絡(luò)協(xié)議進行

了描述與分析，剖析了網(wǎng)絡(luò)搭建的細節(jié)與規(guī)劃。并且添加了網(wǎng)絡(luò)管理設(shè)備，可以

對網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)設(shè)備進行統(tǒng)一的管理與監(jiān)測。為后期網(wǎng)絡(luò)的維護與優(yōu)化提供

了一個非常直觀的平臺。

關(guān)鍵詞：互聯(lián)網(wǎng)數(shù)據(jù)中心數(shù)據(jù)傳輸網(wǎng)絡(luò)架構(gòu)

NetworkDesignSchemeofDataCenterConstruction

Project

Abstract

Atpresent,thedatatrafficinthenetworkisverylarge.Everyenterprise

websitehashugedatatobeprocessedandstoredeveryday.Ifthesedata

areprocessedandstoredinageneralway,theycannotmeettheneeds

ofcurrentnetworkusers.Soanewnetworkarchitectureisintroduced:

InternetDataCenter.

Inordertocatertotherapiddevelopmentofthecurrentnetwork,Internet

datacentersarebecomingmoreandmorepopular,attractinghuge

investmentfromforeigncompaniessuchasAT&T,A0-,IBM,Exodus,UUNET

andsoon;notonlyChinaTelecom,ChinaNetcom,ChinaUnicomandChina

Jitong,thefourmajortelecomoperatorsinChina,butalsosome

professionalserviceproviderssuchasTsinghuaWanbo,CapitalOnlineand

Century.Interconnectionandsoon,alsoparticipatedinthecompetition.

IDC(InternetDataCenter)-Internetdatacenter,whichisthe

combinationoftraditionaldatacenterandInternet,hasnotonlythe

characteristicsoftraditionaldatacenter,suchasdatacentralization,

reliableoperationofhost,butalsothechangeofaccessmode,7x24

serviceandfastresponsespeed.IDCisabasetoprovideoutsourcing

services.Itshouldhaveaverygoodroomenvironment,securityassurance,

networkbandwidth,thenumberofhostsandhostperformance,largestorage

dataspace,softwareenvironmentandexcellentserviceperformance.

Internetdatacenter,asitsnameimplies,isalargecomputerroomused

toprocessalargeamountofdata,andtostatistics,calculate,classify

andforward,replyandbackupthereceiveddata.Whatthisprojectisabout

istheconstructionoftheinternalnetworkstructureofthedatacenter,

throughanetworkelementdevicenode,allthebusinessinvolvedinthe

datacenter.Themanagementterminalsareconnectedtogethertoforma

completenetworkarchitectureforcarryingandforwardingallnetwork

services.

Thisschememainlyconstructsthenetworkfromtheaspectsofswitchand

networktransmissionprotocol.ItdescribesindetailtheIPplanningof

networkequipment,thedesignoftwo-tiernetworkandthedesignof

three-tiernetwork.Thenetworkprotocolsinvolvedaredescribedand

analyzed,andthedetailsandplanningofnetworkconstructionare

analyzed.Andaddnetworkmanagementequipment,canallnetworkequipment

inthenetworkforunifiedmanagementandmonitoring.Itprovidesavery

intuitiveplatformforthemaintenanceandoptimizationofthelater

network.

Keywords:Internetdatacenterdatatransmissionnetwork

architecture

目錄

前言.............................................5

第1章課題研究背景與價值...........................6

第1.1節(jié)選題背景..................................6

第1.2節(jié)研究目的與研究方法........................7

第1.3節(jié)本文工作內(nèi)容...............................7

第2章網(wǎng)絡(luò)總體設(shè)計..................................7

第2.1節(jié)網(wǎng)絡(luò)總體物理架構(gòu)..........................7

第2.2節(jié)網(wǎng)絡(luò)各個節(jié)點作用..........................8

第2.3節(jié)網(wǎng)絡(luò)功能分區(qū)劃分..........................8

第3章設(shè)備和接口命名設(shè)計............................9

第3.1節(jié)設(shè)備命名設(shè)計...............................9

第3.2節(jié)設(shè)備具體命名...............................9

第3.3節(jié)接口命名設(shè)計.............................10

第4章VLAN分配和IP地址設(shè)計........................10

第4.1節(jié)VLAN分配原則.............................10

第4.2節(jié)VLAN規(guī)劃設(shè)計..............................10

第4.3節(jié)IP地址規(guī)劃設(shè)計............................11

第5章二層網(wǎng)絡(luò)設(shè)計.................................12

第5.1.節(jié)概述......................................12

第5.2節(jié)基本參數(shù)設(shè)計..............................12

第5.3節(jié)鏈路聚合部署技術(shù)要求......................12

第5.4節(jié)操作步驟..................................13

第5.5節(jié)本地優(yōu)先轉(zhuǎn)發(fā)..............................16

第5.6節(jié)配置本地優(yōu)先轉(zhuǎn)發(fā)前置任務(wù)..................17

第6章靜態(tài)路由設(shè)計.................................18

第6.1節(jié)靜態(tài)路由的優(yōu)點............................18

第6.2節(jié)基本參數(shù)設(shè)計..............................18

第6.3節(jié)配置步驟..................................18

第7章網(wǎng)絡(luò)可靠性設(shè)計...............................19

第7.1節(jié)設(shè)備可靠性設(shè)計...........................20

第7.2節(jié)設(shè)備可靠性設(shè)計...........................22

第7.3節(jié)節(jié)點可靠性設(shè)計............................23

第8章安全部署設(shè)計.................................23

第8.1節(jié)網(wǎng)絡(luò)設(shè)備自身安全部署.....................23

8.1.1設(shè)備的訪問控制.............................................23

8.1.2Console/Meth控制端口......................................23

8.1.3系統(tǒng)日志..................................................23

第8.2節(jié)密碼設(shè)置.................................24

第8.3節(jié)網(wǎng)絡(luò)設(shè)備自身安全部署.....................24

8.3.1安全區(qū)域規(guī)劃..............................................24

8.3.2包過濾策略規(guī)劃策略........................................25

第9章網(wǎng)絡(luò)管理設(shè)計..................................25

第9.1節(jié)網(wǎng)管模式選擇.............................25

9.1.1帶內(nèi)管理..................................................25

9.1.2帶外管理（本次采用）......................................25

9.1.3Esight網(wǎng)關(guān)軟件...........................................26

第9.2節(jié)網(wǎng)管系統(tǒng)網(wǎng)絡(luò)參數(shù)設(shè)計......................26

第9.3節(jié)SNMP參數(shù)設(shè)計.............................26

第9.4節(jié)NTP參數(shù)設(shè)計.............................27

結(jié)論............................................29

參考文獻............................................31

致謝............................錯誤!未定義書簽。

-JLJL.—a—

刖百

古時候人們儲存數(shù)據(jù)的方式都是通過書面的方式來記錄，從世界上的第一臺

電腦的誕生之后，數(shù)據(jù)有了一種新的記錄方式。但是這種存儲方式還需要人為的

操控與計算，如今數(shù)據(jù)有了一個更高效更全面的存儲方式，那就是數(shù)據(jù)中心。數(shù)

據(jù)中心是全世界共同創(chuàng)建的數(shù)據(jù)網(wǎng)絡(luò)，他通過網(wǎng)絡(luò)進行傳遞、加速、顯示、統(tǒng)計

和存儲數(shù)據(jù)。

數(shù)據(jù)中心的作用非常的大，現(xiàn)在的世界是一個網(wǎng)絡(luò)覆蓋的世界，幾乎每個人

都通過網(wǎng)絡(luò)來進行社交、娛樂等活動，但是這些互動所產(chǎn)生的數(shù)據(jù)是龐大的，若

只是依靠手機和電腦本身的存儲空間，那就不會有如今如此全面的網(wǎng)絡(luò)世界，所

以人們提出了一個設(shè)計“數(shù)據(jù)中心”。一個企業(yè)如人們所熟知的微博，博主通過

運營商網(wǎng)絡(luò)將發(fā)布的內(nèi)容傳遞到微博的數(shù)據(jù)中心來進行數(shù)據(jù)的存儲，游客通過想

微博的數(shù)據(jù)中心發(fā)出查看的信號來閱讀博主所發(fā)布的內(nèi)容，而游客閱覽后的痕跡:

點贊、評論、轉(zhuǎn)發(fā)。這一切的操作都是通過數(shù)據(jù)中心來進行，現(xiàn)如今網(wǎng)絡(luò)交互的

速度非常之快，同樣對數(shù)據(jù)中心對網(wǎng)絡(luò)數(shù)據(jù)的傳輸與處理速度的要求也非常的苛

刻。

而今天我設(shè)計的就是一個數(shù)據(jù)中心的網(wǎng)絡(luò)，為了配合數(shù)據(jù)中心高效率的業(yè)務(wù)

要求，本次設(shè)計采用的皆是華為CE系列交換機，核心交換機由兩臺CE12804堆

疊而成接入設(shè)備采用的是CE6855。

使用CE12804作為核心交換機，所有的網(wǎng)絡(luò)數(shù)據(jù)都在核心交換機中進行轉(zhuǎn)發(fā),

多臺CE6855連接所有下屬業(yè)務(wù)設(shè)備，通過鏈路聚合技術(shù)將下屬設(shè)備所傳輸?shù)木W(wǎng)

絡(luò)轉(zhuǎn)發(fā)至核心交換機，進行信息交互。

核心交換機在得到網(wǎng)絡(luò)數(shù)據(jù)后會將數(shù)據(jù)包通過VPN技術(shù)在運營商網(wǎng)絡(luò)的架

構(gòu)上傳輸?shù)搅硪粋€數(shù)據(jù)中心或者是用戶的使用平臺上。

當信息從用戶的平臺傳輸?shù)綌?shù)據(jù)中心，數(shù)據(jù)中心對數(shù)據(jù)進行處理備份等等一

系列的操作之后再反饋到用戶的操作平臺上，這一系列的傳輸方式，就是數(shù)據(jù)通

信，本方案著重講解的就是為所有數(shù)據(jù)在信息中心內(nèi)部能夠正常的傳輸所搭建的

平臺，也就是數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計。

第1章課題研究背景與價值

第1.1節(jié)選題背景

隨著時代的進步，企業(yè)數(shù)據(jù)中心越來越多，數(shù)據(jù)中心建設(shè)背景主要分為兩用，

一種是內(nèi)因，一種是外因。

內(nèi)因是因為當前世界數(shù)據(jù)的采集、存儲、管理和使用等環(huán)節(jié)發(fā)生了新的形勢

變化，這些變化大致來源于數(shù)據(jù)量增加、數(shù)據(jù)多樣、使用個性化等方面。需要采

用新的手段來改善當前局面；外陰主要是當前的技術(shù)趨勢，社會普遍開始引入大

數(shù)據(jù)進入企業(yè)，這就說明各個企業(yè)的數(shù)據(jù)也在發(fā)生著翻天覆地的變化，也在謀求

新的技術(shù)手段來解決各種數(shù)據(jù)問題以服務(wù)公司的運營。

還有一種是由于數(shù)據(jù)管理十分的混亂。

截止目前，底層數(shù)據(jù)倉庫以服務(wù)企業(yè)八年半。

數(shù)據(jù)開發(fā)人員更替速度快，數(shù)據(jù)管理沒有指定執(zhí)行嚴格的標準不同的人使用

不同的模型生產(chǎn)同樣的數(shù)據(jù)：后一般的時間幾乎完全的以需求未想到，自上而下

建設(shè)底層數(shù)據(jù)模型，不遵循科學的數(shù)據(jù)倉庫建設(shè)方法，使得康庫數(shù)據(jù)模型更加混

亂，過渡冗余，加工繁雜。

第1.2節(jié)研究目的與研究方法

從我來到現(xiàn)在的公司，縱觀已經(jīng)實施的數(shù)據(jù)類需求，從基本的多維報表再到

用戶自行選擇維度，橫縱向挖掘式地探索式分析數(shù)據(jù)，用戶的需求呈現(xiàn)多樣化復(fù)

雜化，個人定制需求越來越豐富。

固定化的報表明顯無法再滿足其撰寫分析報告的數(shù)據(jù)需求，數(shù)據(jù)中心直接提

供給用戶用來解決自身數(shù)據(jù)需求的模型的顆粒度明顯細化，用戶轉(zhuǎn)而希望自己可

以在同一時間類自行分析不同維度不同層次的數(shù)據(jù)集。

要想及時滿足用戶這樣的數(shù)據(jù)需求，底層數(shù)據(jù)的加工效率、數(shù)據(jù)的統(tǒng)計展現(xiàn)

效率是兩個非常重要的環(huán)節(jié)。

第1.3節(jié)本文工作內(nèi)容

本文的主要工作內(nèi)容就是搭建出一張安全的，可靠性高的園區(qū)網(wǎng)，將這張園

區(qū)網(wǎng)放置在數(shù)據(jù)中心的架構(gòu)中，幫助數(shù)據(jù)中心完成帶內(nèi)數(shù)據(jù)處理與互訪，為數(shù)據(jù)

中心提供合適的端口帶寬值與可靠的端口轉(zhuǎn)發(fā)速率，協(xié)助業(yè)務(wù)終端完成數(shù)據(jù)傳輸,

再通過和運營商網(wǎng)絡(luò)的對接，通過VPN技術(shù)將本數(shù)據(jù)中心和其他數(shù)據(jù)中心完成網(wǎng)

絡(luò)對接，從而共同處理與備份數(shù)據(jù)。

第2章網(wǎng)絡(luò)總體設(shè)計

第2.1節(jié)網(wǎng)絡(luò)總體物理架構(gòu)

本節(jié)描述本網(wǎng)絡(luò)的總體架構(gòu)，并結(jié)合項目的需求和客觀條件輸出層次清晰的

網(wǎng)絡(luò)拓撲，包括各個網(wǎng)絡(luò)設(shè)備，接入終端的連接方式，鏈路類型和設(shè)備形態(tài)等。

同時概述網(wǎng)絡(luò)中需要部署的網(wǎng)絡(luò)技術(shù)及其作用。

第2.2節(jié)網(wǎng)絡(luò)各個節(jié)點作用

SG6670：數(shù)據(jù)中心出口防火墻，數(shù)據(jù)中心與外網(wǎng)訪問的包過濾策略與訪問控

制，安全策略等，雙機熱備直連組網(wǎng)，為內(nèi)部服務(wù)器提供服務(wù)網(wǎng)關(guān)，保證設(shè)備級

可靠性，上行鏈路采用雙鏈路捆綁上行方式，提高鏈路可靠性；

CE12804S：數(shù)據(jù)中心核心交換機，作為終端與數(shù)據(jù)中心服務(wù)器網(wǎng)關(guān)，承載全

網(wǎng)數(shù)據(jù)交換業(yè)務(wù)，采用堆疊方式部署，提高設(shè)備級可靠性，鏈路采用雙鏈路捆綁

的方式，提高鏈路可靠性，并連接互聯(lián)網(wǎng)出口防火墻；

CE6855：作為數(shù)據(jù)中心服務(wù)器接入交換機，采用兩兩堆疊方式，提高設(shè)備級

可靠性，鏈路采用雙鏈路捆綁的方式，提高鏈路可靠性。

S5720：硬件管理交換機，對數(shù)據(jù)中心內(nèi)的服務(wù)器進行硬件管理。

第2.3節(jié)網(wǎng)絡(luò)功能分區(qū)劃分

本數(shù)據(jù)中心根據(jù)功能劃分為外聯(lián)區(qū)與數(shù)據(jù)中心業(yè)務(wù)區(qū)：

外聯(lián)區(qū)：互聯(lián)網(wǎng)出口防火墻對外來數(shù)據(jù)中心網(wǎng)絡(luò)流量進行路由、數(shù)據(jù)清洗與

安全策略防護；

數(shù)據(jù)中心業(yè)務(wù)區(qū)：核心交換機、接入交換機和服務(wù)器虛擬化軟件。

第3章設(shè)備和接口命名設(shè)計

第3.1節(jié)設(shè)備命名設(shè)計

描述本網(wǎng)絡(luò)中設(shè)備的命名原則：

如果客戶有自己的設(shè)備命名規(guī)則，則使用用戶自己的規(guī)則，否則建議使用如

下的設(shè)備命名規(guī)則。

網(wǎng)元名稱在全網(wǎng)范圍內(nèi)命名唯一。

能表示出網(wǎng)絡(luò)設(shè)備的類型。

能表示出網(wǎng)絡(luò)設(shè)備的物理位置（或機房所在地）

能表示出網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)層次。

同一地點同一架構(gòu)的網(wǎng)絡(luò)設(shè)備，通過對網(wǎng)絡(luò)設(shè)備的編號，來對設(shè)備進行區(qū)分。

能體現(xiàn)出該設(shè)備所處的設(shè)備類型、物理位置、網(wǎng)絡(luò)層次。

字字段含義舉注釋

1省市縣縮寫B(tài)J北京

2單位名稱RMRB人民日報

3物理位置DC數(shù)據(jù)中心

4設(shè)備形態(tài)CE12CE12804S

5機柜位置2-42-4

6設(shè)備編號01第一臺

第3.2節(jié)設(shè)備具體命名

設(shè)備型號設(shè)備命名

CE12804SBJ-RMRB-DC-2-4_CE12804S-01

CE12804SBJ-RMRB-DC-2-4_CE12804S-02

USG6670BJ-RMRB-DC-2-4_USG6670-01

USG6670BJ-RMRB-DC-2-4_USG6670-02

CE6855BJ-RMRB-DC-l-2_CE6855-01

第3.3節(jié)接口命名設(shè)計

對網(wǎng)絡(luò)設(shè)備的接口進行命名的時候要求能體現(xiàn)出該設(shè)備所在的地點、設(shè)備型

號、端口號、所服務(wù)的業(yè)務(wù)。

[BJ-RMRB-DC-2-4_CE12804S-01-10GE2/1/0/0]descriptionTo_

BJ-RMRB-DC-2-4_USG6670-01_10GEl/0/l

VLANIF接口命名的要求是表現(xiàn)出VLAN的作用，比如是某業(yè)務(wù)VLAN或者某

類用戶的VLAN,$0[BJ-RMRB-DC-2-4_CE12804S-01-Vlanif10]description

formanagementvlan

第4章VLAN分配和IP地址設(shè)計

第4.1節(jié)VLAN分配原則

IP地址規(guī)劃要符合當前的網(wǎng)絡(luò)層級結(jié)構(gòu)、當前網(wǎng)絡(luò)中協(xié)議的應(yīng)用、所服務(wù)

的業(yè)務(wù)類型、設(shè)備轉(zhuǎn)發(fā)報文類型等融合考慮，從而得出規(guī)劃，IP地址的規(guī)劃最

好是和設(shè)備的序列號相對應(yīng)，應(yīng)做到有序，盡量避免有中間空余的IP地址。

VLANID設(shè)計的基本原則：

應(yīng)根據(jù)業(yè)務(wù)的類型、各個設(shè)備用來管理VLAN以及和與其他設(shè)備互聯(lián)的VLAN

照業(yè)務(wù)區(qū)域劃分不同的VLAN

同一個地點的業(yè)務(wù)應(yīng)當根據(jù)具體的業(yè)務(wù)來區(qū)分不同的VLAN

VLAN分配需要有規(guī)律，從而保證節(jié)省VLAN空間，最合理的利用VLAN空間

預(yù)留一定數(shù)目VLAN方便后續(xù)擴展

第4.2節(jié)VLAN規(guī)劃設(shè)計

VLAN是將LAN內(nèi)的設(shè)備邏輯地劃分為一個個網(wǎng)段，從而實現(xiàn)在一個LAN內(nèi)

隔離廣播域的技術(shù)。本網(wǎng)絡(luò)中VLAN用于隔離多個不同業(yè)務(wù)部門之間的互訪，同

一個部門內(nèi)部通過VLAN進行業(yè)務(wù)區(qū)分。

業(yè)務(wù)VLAN規(guī)劃（本次業(yè)務(wù)VLAN為SDN下發(fā)）：

VLAN類型Vian編號

業(yè)務(wù)1000-2000

存儲2000-3000

管理2-1000

第4.3節(jié)IP地址規(guī)劃設(shè)計

介紹本方案中涉及的IP地址相關(guān)的內(nèi)容，包括本網(wǎng)絡(luò)中的地址可以劃分為

哪幾類，各類IP地址的獲取方式。

IP地址時為了讓各個電腦之間互相連接而設(shè)計的網(wǎng)絡(luò)協(xié)議，在網(wǎng)絡(luò)中，他可以通過各

種路由協(xié)議來進行數(shù)據(jù)的傳輸，從而使各個電腦之間可以相互通過新，IP地址的定義是具

有變革性的，它的誕生該規(guī)定了網(wǎng)絡(luò)的整體設(shè)計，他的協(xié)議規(guī)則也是網(wǎng)絡(luò)中不可變的鐵律,

在網(wǎng)絡(luò)中任何一個IP地址都不可能重復(fù)存在，若一個網(wǎng)絡(luò)中存在兩個相同的IP地址，那么

兩臺設(shè)備都有可能收到影響，導致無法正常的使用網(wǎng)絡(luò)。隨意任何的網(wǎng)絡(luò)設(shè)備都必須遵從

TCP/IP協(xié)議的規(guī)定?，F(xiàn)如今的所有網(wǎng)絡(luò)廠家所生產(chǎn)的網(wǎng)絡(luò)設(shè)備只要是遵從TCP/IP的規(guī)定

都可以通過因特網(wǎng)互相連接，互相通信。也正是有了TCP/IP協(xié)議，網(wǎng)絡(luò)才可以發(fā)展的這么

迅速，所以大家都它因特網(wǎng)協(xié)議。

IP地址的分類：

用戶IP地址：即最終用戶的IP地址。

設(shè)備互聯(lián)IP地址：指兩臺網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的IP地址。

設(shè)備管理IP地址：網(wǎng)絡(luò)設(shè)備分布在不同的位置，網(wǎng)絡(luò)管理員若想管理每一

個設(shè)備，中間會有嚴重的時間浪費，給每一個網(wǎng)絡(luò)設(shè)備一個IP地址，網(wǎng)絡(luò)管理

員通過這個IP地址對網(wǎng)絡(luò)這個進行遠程管理。

本次網(wǎng)絡(luò)IP地址分配采用靜態(tài)配置

DHCP獲取不涉及

NAT轉(zhuǎn)換不涉及

Loopback接口的IP地址是32位的，他會的IP地址下發(fā)會因為網(wǎng)絡(luò)設(shè)備所

在的網(wǎng)絡(luò)層次的改變而改變，具體的IP地址下發(fā)先小后大的順序，對應(yīng)網(wǎng)絡(luò)層

次的核心層，匯聚層以及接入層。IP地址的最后一位也分別代表著不同的網(wǎng)絡(luò)

設(shè)備，路由器IP地址的最后一位是奇數(shù)，交換機IP的最后一位是偶數(shù)。

兩臺網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的IP地址使用30位掩碼，核心層網(wǎng)絡(luò)

設(shè)備采用同一網(wǎng)段中IP地址尾數(shù)較小的一個IP地址。

網(wǎng)絡(luò)中服務(wù)器的地址單獨規(guī)劃，如：WIFI登陸認證服務(wù)器，F(xiàn)TP數(shù)據(jù)傳輸服

務(wù)器，DHCP服務(wù)器下發(fā)IP所使用的地址池等。

第5章二層網(wǎng)絡(luò)設(shè)計

第5.1.節(jié)概述

鏈路聚合技術(shù)是一種捆綁技術(shù)，是將多條以太網(wǎng)口捆綁到一起，虛擬成一個

端口，這個端口有一個獨立的MAC地址，將多個以太網(wǎng)絡(luò)捆綁到一起具有增加端

口帶寬的效果，并且這些端口還可以提高網(wǎng)絡(luò)的穩(wěn)定性，當一個端口DOWN掉時，

另一個網(wǎng)口仍然轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)，保證業(yè)務(wù)的正常運行。

鏈路聚合有手工、靜態(tài)LACP、動態(tài)LACP三種方式，本次項目采用動態(tài)LACP

方式實現(xiàn)。

第5.2節(jié)基本參數(shù)設(shè)計

描述鏈路聚合的參數(shù)進行設(shè)計說明：

本方案鏈路聚合采用Eth-trunk方式實現(xiàn)，Eth-trunk編號設(shè)備之間獨立隔

離；

如果端口流量過大導致端口占用率過高，可使用鏈路聚合添加端口成員組來

解決問題。

本項目鏈路聚合部署見下圖TOPO：

端口位置是否鏈路聚合建議

US6670—USG6670鏈路聚合

CE12804S-CE12804Speer-link

CE6855-CE12804S鏈路聚合

第5.3節(jié)鏈路聚合部署技術(shù)要求

如果情況允許鏈路聚合端口成員組可以跨板卡添加，可以增加網(wǎng)絡(luò)的穩(wěn)定性;

鏈路聚合使用手工模式，聚合端口速率一致；

鏈路聚合成員之間會通過自主協(xié)商來進行流量分配。（如果自協(xié)商無法成功，

則采用強制模式，同時啟用DLDP）

鏈路聚合模式是一種聚合端口，是將多個業(yè)務(wù)端口捆綁到一起，虛擬成一個

端口，該端口擁有所有聚合端口總和的帶寬值，同時具有負載分擔的功能，可以

將一個業(yè)務(wù)端口承載不了的業(yè)務(wù)均分給其他端口，其最主要的還是具有主備的功

能，當聚合端口中一個端口斷開時，其余端口仍然會正常工作，完成業(yè)務(wù)的轉(zhuǎn)發(fā)。

鏈路聚合對端的對端同樣也需要是鏈路聚合端口，因為鏈路聚合端口不止有

一根網(wǎng)線，若對端不是鏈路聚合端口，那么鏈路聚合的對應(yīng)端口會產(chǎn)生MAC地址

漂移的情況，MAC漂移會導致數(shù)據(jù)報文一直在一個環(huán)路中無限的轉(zhuǎn)發(fā)，直到該報

文的TTL值耗盡，MAC地址漂移嚴重時，會導致全網(wǎng)的網(wǎng)絡(luò)風暴，嚴重影響業(yè)務(wù)

的正常使用。

第5.4節(jié)操作步驟

鍵入命令sys,進入系統(tǒng)視圖。

鍵入命令interfaceEth-trunk,進入鏈路聚合視圖。

執(zhí)行命令modelacp-static,配置Eth-Trunk的工作模式為LACP模式。

默認情況下，Eth-Trunk為手工負載分擔模式。

配置時需要保證本端和對端的聚合模式一致。即如果本端配置為LACP模式，

那么對端設(shè)備也必須要配置為LACP模式。

執(zhí)行命令commit,提交配置。

聚合成員口設(shè)計:鏈路聚合端口組加入成員有兩種方式，一種方式是在鏈路

聚合的端口模式下添加新成員端口，還有一種是在新成員端口視圖下，輸入想要

添加進入的鏈路聚合組來添加新成員端口。

操作步驟：

在Eth-Trunk接口視圖下向聚合組中加入成員接口

執(zhí)行命令system-view,進入系統(tǒng)視圖。

執(zhí)行命令interfaceeth-trunktrunk-id,進入Eth-Trunk接口視圖。

執(zhí)行命令trunkportinterface-type{interface-number1[to

interface-number2]}&<1-32>,增加成員接口。

c□說明：

批量增加成員接口時，若其中某個接口加入失敗，則全部回退，此接口之前

的接口也不會加入到Eth-trunk接口中。

執(zhí)行命令commit,提交配置。

在成員接口視圖下向聚合組中加入成員接口

鍵入命令sys,進入系統(tǒng)視圖。

執(zhí)行命令interface+端口類型+端口號，進入接口視圖。

執(zhí)行命令eth-trunk+鏈路聚合端口號，將當前接口加入到對應(yīng)的鏈路聚合

組中。

執(zhí)行命令commit,提交配置。

將成員接口加入Eth-Trunk時，需要注意以下問題：

每個Eth-Trunk接口下最多可以包含32個成員接口。

成員接口不能配置某些業(yè)務(wù)和靜態(tài)MAC地址。

新的端口加入到鏈路聚合組時，該端口的配置必須是系統(tǒng)默認的端口狀態(tài)。

鏈路聚合組不能添加鏈路聚合組為成員接口。

交換機的端口同時只能在一個亂路聚合端口組中，如果想要加入到別的鏈路

聚合組，必須先退出原本的鏈路聚合組，再添加到新的鏈路聚合組里。

■—個Eth-Trunk接口中的成員接口必須是同一類型。

當成員接口加入到鏈路聚合端口后，學習MAC地址時是按照鏈路聚合組來學

習的，這個MAC地址是由鏈路聚合端口所有接口一起生成的，其他端口學習到該

端口的MAC地址時，學習到的時整個鏈路聚合組的MAC地址而不是他所對應(yīng)的端

口的MAC地址。

鏈路聚合端口的對端最好和本端鏈路聚合保持一致，建議鏈路聚合端口組的

端口數(shù)量、端口速率、Jumbo幀和流控配置都保持一致。

負載分擔方式:Eth-Trunk的負載分擔是逐流進行的，這種分擔方式可以按

照包頭的數(shù)據(jù)來判定報文的優(yōu)先級，他可以讓同一個幀數(shù)的流量數(shù)據(jù)在同一個端

口進行轉(zhuǎn)發(fā)，其余的不同幀數(shù)的流量數(shù)據(jù)會平均的分擔在每一個成員端口上。

因為鏈路聚合的負載分擔只對出方向的報文生效，進方向的數(shù)據(jù)報文并不受

負載分擔的影響，所以對端的負載分擔模式可以和本端的負載分擔模式不同，并

且只要保證兩端都是鏈路聚合端口就可以保證進出口的所有數(shù)據(jù)報文都是經(jīng)過

負載分擔的，會最大限度的減少鏈路端口帶寬的占用率。

操作步驟：

鍵入命令sys,進入系統(tǒng)視圖。

鍵入指令load-balanceprofile+profilename,這條命令是配置全局負載

分擔的模板，并進入模板視圖，其中profile-name是模板名稱。

默認情況下，負載分擔模板的缺省值為default。

對于L2、IPv4、IPv6、MPLS報文，可以單獨的配置對應(yīng)報文的負載分擔模

式，以下步驟可不選、選擇其一或多選，請根據(jù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)報文的實際情況選擇。

執(zhí)行命令12[src-mac|dst-mac|vlan|eth-type]*,配置指定負

載分擔模板中二層報文（非IP報文）的負載分擔模式。

默認情況下，二層報文（非IP報文）的負載分擔模式為依靠src-mac進行

負載分擔、依靠dst-mac進行負載分擔、依靠vlan來進行負載分擔。

C□說明：

在二層轉(zhuǎn)發(fā)中,只有IPv4、IPv6、802.lah、ARP、CFM和TRILL報文可以根

據(jù)eth-type進行負載分擔，其他類型的報文不能根據(jù)eth-type進行負載分擔。

執(zhí)行命令ip[src-ipdst-ipI14-src-port|14-dst-port|protocol]

*，配置指定負載分擔模板中IPV4報文負載分擔模式。

默認情況下，IPv4協(xié)議的數(shù)據(jù)傳輸報文的分擔模式分為依靠src-ip進行負

載分擔、依靠dst-ip進行負載分擔、依靠14-src+端口號進行負載分擔、依靠

14-dst+端口號進行負載分擔。

執(zhí)行命令ipv6[src-ip|dst-ipprotocol]*,配置指定負載分擔模

板中IPV6報文負載分擔模式。

缺省情況下，IPv6報文負載分擔模式為src-ip、dst-ipo

C□說明：

配置IPv6報文按照傳輸層源端口和傳輸層目的端口負載分擔和配置IPv4

報文的一致，命令按照ip[14-src-port|14-dst-port]*進行配置。

執(zhí)行命令mpls[2nd-label|3rd-label|top-label]*,配置指定負

載分擔模板中的MPLS報文負載分擔模式。

缺省情況下，MPLS報文負載分擔模式為topTabei、2ndTabel。

執(zhí)行命令eth-trunk[src-interface|seedseed-data|universal-id

universal-id]*，配置指定負載分擔模板中的LAG的負載分擔模式。

缺省情況下，LAG的負載分擔模式為seed(l)。

執(zhí)行命令eth-trunkhash-modehash-mode-id,配置Eth-Trunk負載分擔

的HASH算法。

缺省情況下，Eth-Trunk中指定負載分擔算法為1。

C□說明：

報文在三層轉(zhuǎn)發(fā)時，不能基于目的MAC、源MAC、VLAN、以太類型進行負載

分擔。

設(shè)備的鏈路聚合LAG和ECMP共用同一負載分擔模板，通過12、ip、ipv6、

mpls命令配置的負載分擔方式對LAG和ECMP都生效，而通過命令eth-trunk

(load-balance-profile視圖)和ecmp(load-balance-profile視圖)配置的

負載分擔方式則分別對LAG和ECMP生效。

第5.5節(jié)本地優(yōu)先轉(zhuǎn)發(fā)

本地優(yōu)先轉(zhuǎn)發(fā):若鏈路聚合建立在堆疊組之上，鏈路聚合的本地優(yōu)先級轉(zhuǎn)發(fā)

可以增加堆疊成員組之間的帶寬承載，非常優(yōu)先的提高業(yè)務(wù)流量的轉(zhuǎn)發(fā)效率。

請根據(jù)實際情況配置使能或去使能流量本地優(yōu)先轉(zhuǎn)發(fā)功能。

網(wǎng)絡(luò)中存在大量具有不同傳輸能力的設(shè)備，可以開啟自協(xié)商，自協(xié)商的內(nèi)

容包括兩端接口的雙工模式、接口速率和FEC等。一旦協(xié)商通過，鏈路兩端的設(shè)

備就鎖定在同樣的雙工模式、接口速率和FEC方式。非自協(xié)商模式下，需要手動

配置上述參數(shù)。

根據(jù)實際需要，用戶既可以開啟雙向的流量控制，也可以選擇開啟接口入方

向或者出方向的流量控制。例如SwitchA的接口10GE1/0/1,如果使能接口入方

向的流量控制，那么接口受對端控制，接收Pause幀并停止發(fā)送數(shù)據(jù)報文；如果

使能接口出方向的流量控制，那么接口僅發(fā)送Pause幀，控制對端停止發(fā)送報文。

如果不指定入方向或者出方向，表示同時開啟雙向的流量控制。

設(shè)備支持兩種流量控制配置方式：流量控制和流量控制自協(xié)商。如果鏈路兩

端設(shè)備均支持自協(xié)商功能時，用戶可以在鏈路兩端均配置流量控制自協(xié)商功能，

設(shè)備將根據(jù)網(wǎng)絡(luò)擁塞情況，和對端相互協(xié)商是否打開流量控制開關(guān)。

在同一個接口上不能同時配置流量控制與流量控制自協(xié)商。

鏈路兩端要求配置一致。如果鏈路兩端均支持流量控制自協(xié)商，建議兩端均

配置流量控制自協(xié)商。

如果本端鏈路聚合的成員接口的端口帶寬值能夠承載設(shè)備轉(zhuǎn)發(fā)的流量值，可

以讓鏈路聚合端口優(yōu)先轉(zhuǎn)發(fā)本地的數(shù)據(jù)報文，從而避免設(shè)備端口轉(zhuǎn)發(fā)效率低、堆

疊設(shè)備之間的帶寬承載壓力大的問題。

如果本端鏈路聚合的成員接口的端口帶寬值不能夠承載設(shè)備轉(zhuǎn)發(fā)的流量值，

就需要關(guān)閉接口優(yōu)先轉(zhuǎn)發(fā)本地數(shù)據(jù)報文的功能，這個時候本端設(shè)備需要轉(zhuǎn)發(fā)的部

分流量就會選擇跨越其他設(shè)備的Eth-Trunk出接口轉(zhuǎn)發(fā)，防止發(fā)生丟包。

第5.6節(jié)配置本地優(yōu)先轉(zhuǎn)發(fā)前置任務(wù)

在配置鏈路聚合接口流量本地優(yōu)先轉(zhuǎn)發(fā)的功能的時候，需要先確定設(shè)備是否

符合以下的條件要求。

1、Eth-Trunk已經(jīng)創(chuàng)建，并已經(jīng)加入物理接口。

2、已經(jīng)搭建好設(shè)備堆疊環(huán)境。

3、保證本端鏈路聚合的成員接口的端口帶寬值能夠承載設(shè)備轉(zhuǎn)發(fā)的流量值，

保證不會出現(xiàn)端口轉(zhuǎn)發(fā)效率低、堆疊設(shè)備之間的帶寬承載壓力大的問題。

操作步驟

鍵入命令sys,進入系統(tǒng)視圖。

執(zhí)行命令interfaceeth-trunk+trunk模式端口ID,進入需要進行去使能

操作的鏈路聚合端口。

執(zhí)行命令undolocal-preferencedisable,這條命令可以開啟鏈路聚合接

口流量本地優(yōu)先轉(zhuǎn)發(fā)的功能。

默認狀況下，鏈路聚合端口已經(jīng)開啟了本設(shè)備數(shù)據(jù)傳輸流量優(yōu)先轉(zhuǎn)發(fā)的功能。

H說明：

流量本地優(yōu)先轉(zhuǎn)發(fā)功能只對已知單播有效，對廣播、組播和未知單播均不生

效。

第6章靜態(tài)路由設(shè)計

第6.1節(jié)靜態(tài)路由的優(yōu)點

核心CE12804S與防火墻之間采用靜態(tài)路由，CE12804S和USG6670分別啟用

VRRP,簡化路由配置。

數(shù)據(jù)中心網(wǎng)絡(luò)通過運營商鏈路采用靜態(tài)路由訪問互聯(lián)網(wǎng)。

靜態(tài)路由是由網(wǎng)絡(luò)管理員認為手動配置的一種路由條目。

靜態(tài)路由可以實現(xiàn)三層網(wǎng)絡(luò)非直連鏈路之間的通信

靜態(tài)路由配置簡單，維護簡單。

第6.2節(jié)基本參數(shù)設(shè)計

靜態(tài)路由包含三部分：目的地址、下一跳地址和子網(wǎng)掩碼，在串行接口上,

靜態(tài)路由可以通過指定下一跳或者出接口來配置靜態(tài)路由。但是在廣播網(wǎng)絡(luò)中

（以太網(wǎng)），只能制定下一跳為IP地址。

?下一跳IP地址

?與BFD聯(lián)動。

第6.3節(jié)配置步驟

此處只給出與本項目相關(guān)參數(shù)的最小配置步驟。

執(zhí)行命令system-view,進入系統(tǒng)視圖。

[SwitchA]bfd

[SwitchA-bfd]quit

[SwitchA]bfdaabindpeer-ip1.1.1.2

[SwitchA-bfd-session-aa]discriminatorlocal10

[SwitchA-bfd-session-aa]discriminatorremote20

[SwitchA-bfd-session-aa]commit

[SwitchA-bfd-session-aa]quit

#在SwitchB配置與SwitchA之間的BFDSession。

[SwitchB]bfd

[SwitchB-bfd]quit

[SwitchB]bfdbbbindpeer-ip1.1.1.1

[SwitchB-bfd-session-bb]discriminatorlocal20

[SwitchB-bfd-session-bb]discriminatorremote10

[SwitchB-bfd-session-bb]commit

[SwitchB-bfd-session-bb]quit

配置SwitchA到服務(wù)器的靜態(tài)路由并綁定BFDSession,實現(xiàn)毫秒級故障感

知，提高收斂速度。

[SwitchA]iproute-static2.2.2.0241.1.1.2trackbfd-sessionaa

執(zhí)行命令commit,提交配置。

第7章網(wǎng)絡(luò)可靠性設(shè)計

網(wǎng)絡(luò)的可靠性是反映網(wǎng)絡(luò)設(shè)備本身的穩(wěn)定性以及保證設(shè)備在傳輸數(shù)據(jù)包時

不會產(chǎn)生丟包或者網(wǎng)絡(luò)延遲波動過大的問題，具體的包括設(shè)備本身運行的可靠性

還有網(wǎng)絡(luò)傳輸數(shù)據(jù)的可靠性。

設(shè)備可靠性的技術(shù)有很多種，比如支持設(shè)備板卡的熱插拔即在設(shè)備運行的過

程中進行板卡的更換；關(guān)鍵設(shè)備的備份，如本次設(shè)計的核心交換機采用的堆疊,

堆疊不但可以提高交換機的轉(zhuǎn)發(fā)能力，節(jié)省地址池資源，更重要的還是提供了主

備的功能，即有其中一臺設(shè)備因故障DOWN機的時候，另一臺設(shè)備會迅速的恢復(fù)

業(yè)務(wù)，繼續(xù)進行數(shù)據(jù)報文的轉(zhuǎn)發(fā)；關(guān)鍵模塊的備份；電源模塊冗余，即設(shè)備具有

兩個電源模塊，在其中一個電源模塊斷電的時候，另一個電源模塊依然會為設(shè)備

供電，保證業(yè)務(wù)不中斷。

網(wǎng)絡(luò)可靠性方面，在二層和三層網(wǎng)絡(luò)中部署不同的可靠性技術(shù)。二層網(wǎng)絡(luò)通

過的就是上文所述的鏈路聚合技術(shù)，通過多條業(yè)務(wù)端口綁定成一個端口來保證網(wǎng)

絡(luò)數(shù)據(jù)傳輸?shù)牟恢袛?，三層網(wǎng)絡(luò)的可靠性通過IPFRR和BFD實現(xiàn)。

第7.1節(jié)設(shè)備可靠性設(shè)計

7.1.1堆疊設(shè)計

概述:通過交換機堆疊，可以將多臺網(wǎng)絡(luò)設(shè)備虛擬成一臺網(wǎng)絡(luò)設(shè)備，可以提

高交換機的穩(wěn)定性和網(wǎng)絡(luò)大數(shù)據(jù)包的轉(zhuǎn)發(fā)能力還可以簡化網(wǎng)絡(luò)拓撲，增強網(wǎng)絡(luò)管

理員的管理能力。

高可靠性：堆疊成員組里的所有成員交換機他們之間相互的備份數(shù)據(jù)，并且

使用同一個路由表，同時在使用跨設(shè)備的鏈路聚合方式，即同一個鏈路聚合端口

的成員端口連接到堆疊組中不同的成員交換機上，保證業(yè)務(wù)的可靠性。

堆疊可以有效的擴展交換機的端口，并且可以做到不更改網(wǎng)絡(luò)拓撲，在堆疊

組下的交換機對外的狀態(tài)為一臺虛擬交換機，并且可以提高交換機的端口帶寬和

業(yè)務(wù)的處理能力

簡化配置和管理：一方面，用戶可以通過登陸堆疊組中任意的一臺交換機來

控制堆疊組中所有的交換機，并且配置命令是，同一條命令會同步到所有的成員

組交換機中；另一方面，堆疊形成后，就不用在擔心網(wǎng)絡(luò)中出現(xiàn)二層物理層環(huán)路

的情況，因為再某種意義上講，這些交換機已經(jīng)成為了一臺交換機，就不用再配

置復(fù)雜的二層破除環(huán)路的協(xié)議還有三層的VRRP協(xié)議，簡化了網(wǎng)絡(luò)配置。

定義:堆疊iStack(IntelligentStack),是將多臺支持堆疊的網(wǎng)絡(luò)設(shè)備通

過特定的堆疊方法連接到一起，從而虛擬成一臺設(shè)備，共用一個IP地址，共用

一張路由表，共用一套配置。

堆疊系統(tǒng)建立之前每一臺交換機都是一臺獨立的交換機，各個交換機若想互

聯(lián)有可能會造成大量的網(wǎng)絡(luò)風暴，并且每一個交換機都需要占用一個IP地址，

也有一個獨立的MAC地址；堆疊建立后所有的堆疊組成員，對外的顯示狀態(tài)為一

臺設(shè)備，設(shè)備僅使用一個IP地址，可以大量的節(jié)省地址池資源，并且對堆疊中

的所有交換機進行管理和維護的時候只需要配置一次。通過交換機堆疊，可以實

現(xiàn)網(wǎng)絡(luò)大數(shù)據(jù)量轉(zhuǎn)發(fā)和網(wǎng)絡(luò)高可靠性，同時簡化網(wǎng)絡(luò)結(jié)構(gòu)，簡化設(shè)備的管理。

堆疊的特征：

角色

堆疊中的單臺交換機稱為成員交換機，按照功能不同可以分為以下角色：

主交換機

主交換機(Master)負責管理整個堆疊。堆疊中只有一臺主交換機。

備交換機

備交換機(Standby)是主交換機的備份交換機。

堆疊域

交換機通過堆疊鏈路連接在一起組成一個堆疊，堆疊之間使用域編號

(DomainID)來進行區(qū)別。

堆疊成員ID

用來標識和管理成員交換機。堆疊中所有成員交換機的堆疊成員ID都是唯

一的。

每臺設(shè)備支持一個堆疊端口，在堆疊功能未使能時，為Stack-Portl；在堆

疊功能已使能時，為Stack-Port〃/1,其中〃為設(shè)備的堆疊成員ID。

多臺交換機虛擬成一臺交換機：堆疊交換機對外狀態(tài)為一臺交換機，操作平

面何為一體，一步操作多倍效率，交換機統(tǒng)一管理。

轉(zhuǎn)發(fā)平面合一：堆疊組成員交換機共用同一張路由表，轉(zhuǎn)發(fā)平面多合一，轉(zhuǎn)

發(fā)的信息實時同步，并且每個交換機都有備份。

跨設(shè)備鏈路聚合：多個設(shè)備的業(yè)務(wù)端口匯聚成一個鏈路聚合端口，連接到下

屬設(shè)備上，實現(xiàn)某一設(shè)備DOWN機時i,另一設(shè)備還能繼續(xù)工作，轉(zhuǎn)發(fā)數(shù)據(jù)。

注意事項：

請使用經(jīng)過華為認證的光模塊，非認證光模塊或光電轉(zhuǎn)換模塊的可靠性無法

保證，可能導致業(yè)務(wù)不穩(wěn)定。

為減少堆疊分裂對業(yè)務(wù)的影響，建議用戶在堆疊組建完成之后進行雙主檢測

的配置。

雙主檢測的直連鏈路上不能運行任何業(yè)務(wù)，通過block端口屏蔽環(huán)路。

堆疊分為兩種連接方式，一種是線性連接，一種是環(huán)形連接。

線性連接是指交換機首尾相連，但是處于網(wǎng)絡(luò)架構(gòu)中的第一臺交換機和最后

一臺交換機不相連，這樣整體的網(wǎng)絡(luò)拓撲就呈現(xiàn)出一個線性的模樣，這種連接方

式相對來說安全性比較低，當堆疊分裂的時候，網(wǎng)絡(luò)中會出現(xiàn)兩臺或多臺交換機，

這兩臺交換機擁有著同樣的IP地址，他們的路由表也是一致的，他們分裂出來

的堆疊組也會重新的進行主備的搶占。

環(huán)形連接是指所有交換機都首尾相連，這樣做的好處就是，當其中一臺的設(shè)

備DOWN機或者分裂出去之后，堆疊組依然存在，不會影響到業(yè)務(wù)的傳輸，網(wǎng)絡(luò)

管理員有相當充分的時間來進行堆疊的恢復(fù)。

堆疊分裂之后，若主交換機不在了，備交換機會迅速的搶占轉(zhuǎn)發(fā)權(quán)，并且同

部路由表下發(fā)到其余從交換機上，而下屬的從交換機會根據(jù)他們的優(yōu)先級來搶占

備交換機的位置。

7.1.2配置步驟

執(zhí)行命令system-view,進入系統(tǒng)視圖。

執(zhí)行命令stack,進入堆疊管理視圖。

執(zhí)行命令stackdomaindomain-id,設(shè)置設(shè)備的堆疊域編號。

缺省情況下，設(shè)備沒有配置堆疊域編號。用戶在缺省情況下配置堆疊域編號

為某個值時，配置立即生效；此后再修改該值時，需要重新啟動設(shè)備配置才能生

效。

執(zhí)行命令commit,提交配置。

第7.2節(jié)設(shè)備可靠性設(shè)計

在整網(wǎng)方案中，整網(wǎng)二層互通，互聯(lián)鏈路繁多，任意鏈路故障都有可能導致

整網(wǎng)的震蕩，因此設(shè)備間互聯(lián)鏈路的可靠性尤為重要。

交換機間互聯(lián)端口數(shù)眾多，用Eth-trunk（鏈路聚合）技術(shù)創(chuàng)建一條邏輯鏈路,

兼顧負載分擔和鏈路冗余的功能，同時也便于路由的維護?；诂F(xiàn)有交換機轉(zhuǎn)發(fā)

芯片的流量負載分擔算法，當Eth-trunk成員鏈路數(shù)量為2%時，負載分擔最為

均勻。

在交換機互聯(lián)鏈路中，物理鏈路采用跨板捆綁的方式，形成一個Eth-trunk

鏈路。當成員端口、鏈路故障后，流量平均分擔到其他的成員端口上，不影響流

量的正常轉(zhuǎn)發(fā)。

在光纖互聯(lián)鏈路中，為了保證鏈路單斷故障的快速檢測，部署DLDP檢測鏈

路單通故障及時關(guān)閉端口。

第7.3節(jié)節(jié)點可靠性設(shè)計

在整個方案中所有關(guān)鍵節(jié)點都采用雙設(shè)備的方式部署確保本節(jié)點可靠性。這

種方式能夠有效的保證設(shè)備的穩(wěn)定性，一個DOWN機，另一個立馬頂上，網(wǎng)絡(luò)管

理員及時的對網(wǎng)絡(luò)設(shè)備進行修復(fù)，這樣在理想情況下可以完美的處理突發(fā)情況的

發(fā)生。

第8章安全部署設(shè)計

第8.1節(jié)網(wǎng)絡(luò)設(shè)備自身安全部署

8.1.1設(shè)備的訪問控制

對防火墻和交換機的管理，主要的方式是通過Console線連接到交換機和防

火墻上直接進行操作，在控制室可以通過交換機個防火墻的外部界面登陸設(shè)備進

行操作，還有一種方式是通過在交換機和防火墻上配置SNMP協(xié)議，再通過網(wǎng)管

軟件如Esight、U2000等來統(tǒng)一的對所有可以發(fā)現(xiàn)的網(wǎng)元設(shè)備進行操作管理，最

后一種方法是通過遠程登陸直接登陸到交換機或者防火墻。通過配置訪問控制，

做到只有特定的管理員可以配置設(shè)備，而其他的管理員只有查看相關(guān)配置的權(quán)限。

8.1.2Console/Meth控制端口

對進入機房的人員嚴格設(shè)置權(quán)限，從而避免無關(guān)人員接觸到網(wǎng)絡(luò)設(shè)備，調(diào)整

CONSOLE密碼登陸設(shè)備時的費操作時間，降低有心人在此時更改網(wǎng)絡(luò)配置。同時，

在Console/Meth口上配置AAA,做到只有特定的知曉用戶名/密碼的網(wǎng)絡(luò)管理員

才可以調(diào)試設(shè)備，提高設(shè)備安全性。

8.1.3系統(tǒng)日志

詳盡的系統(tǒng)日志能夠為網(wǎng)絡(luò)運維和安全審計提供足夠的信息，及時發(fā)現(xiàn)網(wǎng)絡(luò)、

設(shè)備出現(xiàn)的問題并解決。相關(guān)系統(tǒng)日志的操作設(shè)計包括：

開啟時間戳服務(wù)：系統(tǒng)的每一次報警和交換機每一次設(shè)備的更改都會同步記

錄下來保存到交換機內(nèi)存中，在出現(xiàn)網(wǎng)絡(luò)事故后可以通過這些文件直接找到故障

點，并且根據(jù)時間點確定操作人員；

關(guān)閉到Console端口的日志輸出：防止日志信息沖擊Console導致無法使用；

增加日志緩沖區(qū)空間：默認值是4096字節(jié)；

網(wǎng)絡(luò)管理系統(tǒng)中設(shè)置日志服務(wù)器：通過在管理軟件中設(shè)置日志服務(wù)器可以將

網(wǎng)絡(luò)設(shè)備的日志實時備份到日志服務(wù)器中，可以方便日志的查閱，但同時也要保

存好重要的日志數(shù)據(jù)，防止重要的網(wǎng)絡(luò)日志被竊取，導致網(wǎng)絡(luò)故障的發(fā)生。服務(wù)

器的安全不在本案設(shè)計范圍內(nèi)。

第8.2節(jié)密碼設(shè)置

密碼的設(shè)置不要采用簡易的字母數(shù)字組合，不要包含生日或者身份信息等具

有明顯特征字符的密碼，要使用字母數(shù)字與符號的混合密碼，并且要控制網(wǎng)絡(luò)設(shè)

備密碼知曉者的范圍，避免設(shè)備密碼的泄露；

默認情況下配置中所有的密碼和其他的認證字符序列都使用MD5哈希算法

不可逆的機制進行加密，很難使用軟件反向推算出原始密碼，具有較大安全性。

第&3節(jié)網(wǎng)絡(luò)設(shè)備自身安全部署

人民日報數(shù)據(jù)中心項目采用直連的方式作為全網(wǎng)骨干核心承接網(wǎng)絡(luò)互訪與

訪問公用服務(wù)器、互聯(lián)網(wǎng)流量防護核心。

雙機熱備組網(wǎng)，采用華為私有協(xié)議HRP做防火墻會話表項與配置同步，完成

設(shè)備級來回路徑一致；

防火墻之間采用獨立端口互聯(lián)，運行HRP協(xié)議；

連接各子網(wǎng)核心交換機和骨干核心交換機都采用Eth-Trunk鏈路捆綁的方

式進行鏈路級可靠性保障；

8.3.1安全區(qū)域規(guī)劃

USG6670防火墻為華為下一代防火墻NGFW防火墻，采用新一代防火墻硬件

架構(gòu)，對傳統(tǒng)安全區(qū)域劃分進行了改變，不再區(qū)分安全區(qū)域優(yōu)先級，此次網(wǎng)絡(luò)設(shè)

計中將防火墻上行鏈路部署在同一安全區(qū)域，下行鏈路部署在另一個安全區(qū)域,

通過防火墻完成安全區(qū)域隔離，并根據(jù)網(wǎng)絡(luò)安全需求進行防火墻包過濾策略和

UTM應(yīng)用層安全策略下發(fā)。

8.3.2包過濾策略規(guī)劃策略

由于新建數(shù)據(jù)中心網(wǎng)絡(luò)業(yè)務(wù)單一，網(wǎng)絡(luò)結(jié)構(gòu)簡單，業(yè)務(wù)訪問流量安全可靠,

故防火墻兩個區(qū)域訪問控制列表在兩個方向都做允許通過（permit）處理。

第9章網(wǎng)絡(luò)管理設(shè)計

第9.1節(jié)網(wǎng)管模式選擇

網(wǎng)管軟件管理各個網(wǎng)絡(luò)設(shè)備的方式有兩種分別是：帶內(nèi)管理和帶外管理。

9.1.1帶內(nèi)管理

帶內(nèi)管理是通過網(wǎng)絡(luò)中本身就存在的網(wǎng)段并占用一個IP地址用來為網(wǎng)關(guān)設(shè)

備提供網(wǎng)絡(luò)條件，來達到通過業(yè)務(wù)網(wǎng)絡(luò)控制網(wǎng)絡(luò)設(shè)備的方式，在這種情況下只需

要保證網(wǎng)關(guān)設(shè)備與被管理設(shè)備之間的網(wǎng)絡(luò)暢通即可，只要網(wǎng)絡(luò)通常網(wǎng)管軟件就可

以通過SNMP協(xié)議配置團體字來將網(wǎng)絡(luò)設(shè)備納管，納