綜合信息大樓網(wǎng)絡系統(tǒng)設(shè)計施工方案

目錄TOC\o"1-3"\h\z1 項目概況 -1-1.1 項目背景 -1-1.2 建設(shè)目標 -1-1.3 工程范圍 -1-1.4 網(wǎng)絡信息點位分布與數(shù)量表 -1-2 總體設(shè)計 -3-2.1 設(shè)計依據(jù) -3-2.2 設(shè)計原則 -3-3 網(wǎng)絡系統(tǒng) -5-3.1 網(wǎng)絡協(xié)議的選擇 -5-3.2 網(wǎng)絡技術(shù)選擇 -5-3.2.1 VLAN（VirtualLANs） -5-3.2.2 三層交換技術(shù) -6-3.2.3 VRRP -7-3.2.4 其它網(wǎng)絡技術(shù) -8-3.3 網(wǎng)絡設(shè)計概要 -8-3.4 網(wǎng)絡的分層設(shè)計 -9-3.4.1 核心層 -9-3.4.2 匯聚層 -9-3.4.3 接入層 -10-3.4.4 選用華為3COM的網(wǎng)絡設(shè)備 -10-3.4.5 網(wǎng)絡規(guī)劃 -11-3.5 網(wǎng)絡拓撲圖 -24-3.6 網(wǎng)絡冗余設(shè)計 -26-3.7 路由規(guī)劃 -26-3.8 應用VRRP技術(shù) -28-3.9 選擇組播協(xié)議 -31-3.10 VLAN規(guī)劃 -33-3.11 IP地址分配原則 -33-3.11.1 內(nèi)網(wǎng)IP分配規(guī)劃 -34-3.11.2 外網(wǎng)IP分配規(guī)劃 -34-3.12 本設(shè)計方案的特點 -35-3.12.1 完全的分布式的處理方式 -35-3.12.2 核心交換機先進的體系架構(gòu)設(shè)計 -35-3.12.3 基于流攻擊的防止 -35-3.12.4 QOS功能 -35-3.12.5 廣播風暴的抑止 -36-3.12.6 高可用性保障 -36-4 網(wǎng)管管理系統(tǒng) -36-4.1 網(wǎng)絡管理的重要性 -36-4.2 管理系統(tǒng)的總體設(shè)計 -37-4.3 華為3Com網(wǎng)絡管理解決方案 -37-4.3.1 產(chǎn)品特點 -37-4.3.2 典型組網(wǎng)應用 -41-4.4 用戶的安全接入管理 -41-5 網(wǎng)絡系統(tǒng)安全特性 -42-5.1 配置IDS -42-5.2 網(wǎng)絡病毒的診斷 -42-5.3 協(xié)議的安全性 -42-5.3.1 應用服務協(xié)議的安全 -42-5.3.2 路由協(xié)議的安全 -43-5.3.3 網(wǎng)管SNMP的安全性 -43-5.4 網(wǎng)絡設(shè)備的安全性 -43-5.4.1 控制口console的控制 -43-5.4.2 遠程登錄telnet的控制 -44-5.5 限制外網(wǎng)BT業(yè)務流量 -44-5.6 多元綁定技術(shù)的應用 -47-5.6.1 網(wǎng)絡安全特征 -48-5.6.2 可用綁定技術(shù)規(guī)劃高安全的網(wǎng)絡 -49-5.7 防止對DHCP服務器的攻擊 -52-5.7.1 PrivateVLAN -52-5.7.2 訪問控制列表 -53-5.7.3 新的命令 -53-5.8 惡意用戶追查 -53-5.9 防病毒攻擊 -53-5.9.1 防止DOS攻擊 -54-5.9.2 防止基于流的攻擊特性 -54-5.9.3 防止病毒的廣播傳遞 -55-6 網(wǎng)絡入侵檢測 -56-6.1 入侵檢測系統(tǒng)在外網(wǎng)網(wǎng)絡的作用 -56-6.1.1 在外網(wǎng)建設(shè)入侵檢測系統(tǒng)的必要性 -56-6.2 本系統(tǒng)外網(wǎng)絡入侵檢測產(chǎn)品選型 -59-6.2.1 網(wǎng)絡入侵檢測技術(shù)簡介 -59-6.2.2 網(wǎng)絡入侵檢測技術(shù)分析 -60-6.2.3 網(wǎng)絡入侵產(chǎn)品選型 -62-6.3 網(wǎng)絡入侵檢測產(chǎn)品部署 -65-6.3.1 NetEyeIDS部署建議 -65-6.3.2 NetEyeIDS的集中管理 -66-6.3.3 NetEyeIDS的系統(tǒng)結(jié)構(gòu) -67-6.3.4 NetEyeIDS的配置清單 -67-6.4 網(wǎng)絡入侵檢測產(chǎn)品擴展及建議 -68-6.4.1 NetEyeIDS平滑擴展 -68-6.4.2 NetEyeIDS安全聯(lián)動 -68-6.5 NetEyeIDS優(yōu)勢介紹 -69-7 網(wǎng)絡防病毒 -72-7.1 計算機病毒發(fā)展和入侵途徑分析 -72-7.1.1 計算機病毒的發(fā)展趨勢 -72-7.1.2 病毒入侵渠道分析 -73-7.2 本系統(tǒng)外網(wǎng)網(wǎng)絡防病毒技術(shù)要求 -74-7.3 網(wǎng)絡防病毒需求分析 -76-7.4 防病毒解決方案 -78-7.4.1 設(shè)計思想 -78-7.4.2 防病毒規(guī)劃 -79-7.4.3 部署產(chǎn)品 -79-7.4.4 部署示意 -79-7.4.5 部署防病毒系統(tǒng)實現(xiàn)的效果 -80-7.5 網(wǎng)絡版防毒系統(tǒng)介紹 -81-7.5.1 網(wǎng)絡版產(chǎn)品簡介 -81-7.5.2 網(wǎng)絡版系統(tǒng)需求 -82-7.5.3 網(wǎng)絡版部署方式 -83-7.5.4 網(wǎng)絡版管理方式 -84-7.5.5 網(wǎng)絡版升級方式 -84-7.5.6 網(wǎng)絡版功能特色 -84-8 設(shè)備安裝場地及環(huán)境要求 -92-8.1 機房的選址建議要求 -92-8.2 機房的建筑建議要求 -92-8.3 網(wǎng)絡設(shè)備工作環(huán)境的要求 -93-8.3.1 溫度和濕度要求 -93-8.3.2 潔凈度要求 -94-8.3.3 防靜電要求 -94-8.3.4 電磁環(huán)境要求 -95-8.3.5 防雷擊要求 -95-8.3.6 抗干擾要求 -95-8.3.7 照明要求 -96-9 實施方案 -97-9.1 總體實施規(guī)劃 -97-9.2 工程界面 -98-9.3 工程實施組織結(jié)構(gòu)和分工 -99-9.4 項目實施計劃編制和文檔修改控制 -100-9.5 工程協(xié)調(diào)會和工程進度安排 -102-9.6 項目實施 -107-9.6.1 安裝準備 -107-9.6.2 到貨檢查 -107-9.6.3 設(shè)備安裝檢驗 -108-9.6.4 連通性和系統(tǒng)完整性測試 -110-9.6.5 系統(tǒng)測試和驗收 -110-9.6.6 培訓 -110-9.6.7 實施總結(jié) -111-9.6.8 售后維護 -111-9.6.9 過程監(jiān)控 -111-9.7 項目質(zhì)量保證計劃 -112-9.8 工程文檔 -113-10 驗收方案 -115-10.1 驗收的方法與步驟 -115-10.2 驗收測試標準 -115-10.3 驗收測試流程 -115-10.4 整體系統(tǒng)驗收 -116-10.5 檢測方法與目的 -118-10.5.1 設(shè)備到貨驗收 -118-10.5.2 初驗收 -122-10.5.3 系統(tǒng)終驗 -123-11 培訓方案 -126-11.1 培訓目的 -126-11.1.1 的培訓優(yōu)勢 -126-11.2 華為3COM培訓機構(gòu)簡介 -129-11.2.1 培訓理念 -129-11.2.2 總體介紹 -129-11.2.3 培訓師資 -130-11.2.4 課程設(shè)計 -130-11.2.5 中高端路由器產(chǎn)品培訓項目 -133-11.3 本項目培訓計劃 -134-11.3.1 現(xiàn)場培訓 -134-11.3.2 國內(nèi)技術(shù)培訓 -134-12 質(zhì)保和售后服務 -140-12.1 公司技術(shù)服務的優(yōu)勢 -140-12.2 公司的服務承諾 -140-12.3 華為3COM的服務承諾 -141-12.3.1 技術(shù)服務 -141-12.3.2 技術(shù)支持 -142-12.3.3 備件以及設(shè)備維保 -143-12.4 趨勢科技的售后服務 -143-12.4.1 技術(shù)支持部分 -143-12.4.2 自動升級服務 -143-12.4.3 新版本更新權(quán)利 -144-12.5 服務體系簡介 -144-12.5.1 服務架構(gòu) -144-12.5.2 服務范圍及程度 -146-項目概況項目背景目前，XXX辦公大樓改造已進入工程實施階段，即將建成。屆時1#、2#和3#樓將通過光纖鏈路和綜合布線系統(tǒng)進行組網(wǎng)，實現(xiàn)的辦公內(nèi)部網(wǎng)絡。為充分發(fā)揮XXX辦公大樓的作用，有必要在樓內(nèi)進行辦公網(wǎng)絡聯(lián)網(wǎng)建設(shè)，實現(xiàn)真正意義上的內(nèi)部網(wǎng)絡連接，同時建設(shè)于內(nèi)網(wǎng)完全物理隔離的辦公外網(wǎng)，提高辦公自動化程度，進一步加速和推進的信息化建設(shè)。通過與工程技術(shù)人員進行詳細的技術(shù)交流并到辦公大樓現(xiàn)場考察，在充分理解用戶方需求的基礎(chǔ)上，提出本設(shè)計方案。建設(shè)目標在XXX辦公大樓綜合布線系統(tǒng)的基礎(chǔ)上，建立起聯(lián)系3座辦公樓內(nèi)的所有單位內(nèi)部辦公網(wǎng)絡和外部辦公網(wǎng)絡，集信息收集、傳遞、發(fā)布等多功能為一體，可用圖、文、聲、像等多媒體方式進行信息交互的專用辦公內(nèi)網(wǎng)。可以實現(xiàn)部屬機關(guān)內(nèi)部的互聯(lián)互通、數(shù)據(jù)傳輸，使信息交互的實效性更加增強，提高可靠性和信息化辦公程度，從而降低總體辦公費用。工程范圍本次網(wǎng)絡工程范圍是1#、2#、3#三棟辦公樓，總建筑面積約為6500平米。每棟大樓均有兩個獨立的弱電豎井，本次改造要求內(nèi)網(wǎng)、外網(wǎng)之間物理隔離，內(nèi)網(wǎng)、外網(wǎng)由弱電豎井分別置各層。本大樓的功能定位對數(shù)據(jù)通信有較高的要求，因此垂直主干設(shè)12芯多模光纜，水平布線全面采用6類線纜。重點部分區(qū)域建議光纖到桌面。內(nèi)網(wǎng)、外網(wǎng)網(wǎng)絡機房均設(shè)在3#樓4層。網(wǎng)絡信息點位分布與數(shù)量表1#2#3#樓網(wǎng)絡信息點位分布與數(shù)量表樓號樓層網(wǎng)絡信息點數(shù)量光網(wǎng)點內(nèi)網(wǎng)點外網(wǎng)點1#1097548548F1384877F1883866F161281315F171241274F10981433F18901082F972921F86468地下1F044地下2F0782#731975201312F4373911F1018518810F102072109F61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地下1F0911地下2F047491#654835258F351557F1586886F51221275F513204F1752553F618262F7961011F71422地下1F055地下2F02626合計24732123392

總體設(shè)計設(shè)計依據(jù)《信息化網(wǎng)絡集成項目比選文件》；國內(nèi)國際信息化建設(shè)相關(guān)標準和規(guī)范；政府、企業(yè)網(wǎng)絡建設(shè)方面的豐富的經(jīng)驗。設(shè)計原則我們在進行總體設(shè)計和設(shè)備選型時遵循以下設(shè)計原則：可靠性高可靠性是大樓智能化的重要標準。采用先進的設(shè)計思想，提供連續(xù)的網(wǎng)絡工作環(huán)境，系統(tǒng)應具有較強的自動糾錯能力，合理的網(wǎng)絡鏈路策略，確保系統(tǒng)7X24小時正常服務。擴展性隨著業(yè)務發(fā)展，需求也會不斷增長，因而對大樓網(wǎng)絡系統(tǒng)要求有很高的擴展性。設(shè)計時應支持多種的系統(tǒng)標準，達到在各個系統(tǒng)上提供一些預留接口，使得在用戶需要時，系統(tǒng)可以跨越現(xiàn)有的平臺，增加新的功能，實現(xiàn)平滑的擴展。采用的技術(shù)和設(shè)備遵循相關(guān)國際、國內(nèi)標準，能支持各種相應的接口和標準協(xié)議，具有兼容性、靈活性和可移植性。先進性和成熟性在對系統(tǒng)進行設(shè)計時，要符合當今技術(shù)發(fā)展方向，系統(tǒng)硬、軟件的選擇和系統(tǒng)的設(shè)計，采用符合當前技術(shù)和管理發(fā)展方向的先進性技術(shù)和思想。同時，確保設(shè)備和技術(shù)都是有成功應用先例的。使用被證明了是成熟的設(shè)備和技術(shù)，減少實施風險。安全性XXX辦公大樓是國家政策、文件、信息的核心地。承擔著極其重要的工作。系統(tǒng)安全性主要體現(xiàn)在防止來自外部對網(wǎng)絡的攻擊、侵擾、病毒。保證文件信息的不篡改不丟失。中選單位必須有中國信息安全評測認證中心的《信息安全服務資質(zhì)標準》的信息安全服務資質(zhì)認證。可維護性為確保投資的有效性和大樓的實用性，應針對功能特點選用設(shè)備和技術(shù)，并盡量簡化系統(tǒng)配置步驟，使其容易得到維護和維修。

網(wǎng)絡系統(tǒng)本規(guī)劃將從當前及未來一個時期內(nèi)應用的實際出發(fā)，對信息管理系統(tǒng)的基礎(chǔ)設(shè)施—網(wǎng)絡系統(tǒng)進行規(guī)劃設(shè)計，從而達到一個先進、高效、可靠、實用和便于維護、擴展性能較強的網(wǎng)絡，為信息化提供穩(wěn)定和功能強大的網(wǎng)絡平臺。網(wǎng)絡協(xié)議的選擇本網(wǎng)絡系統(tǒng)以TCP/IP為主要協(xié)議。因為TCP/IP協(xié)議簇是目前眾多計算機網(wǎng)絡最流行的協(xié)議，以它為基礎(chǔ)組建的Internet網(wǎng)是目前國際上規(guī)模最大的計算機網(wǎng)間網(wǎng)，采用TCP/IP為網(wǎng)絡主要協(xié)議，可保證系統(tǒng)各部分網(wǎng)絡保持一致。網(wǎng)絡技術(shù)選擇網(wǎng)絡技術(shù)發(fā)展很快，新技術(shù)層出不窮，有的具有旺盛的生命力，如以太網(wǎng)技術(shù)；有的很快就被淘汰，如TokenRing、FDDI等。因此，就給用戶投資帶來一定的風險，如何把握網(wǎng)絡發(fā)展的方向，選擇合適的技術(shù)和產(chǎn)品非常重要。在本項目中，我們采用千兆以太網(wǎng)作為骨干網(wǎng)技術(shù)，同時，我們將采用一些其它的先進且成熟的網(wǎng)絡技術(shù)，如VLAN、三層交換、虛擬路由器冗余協(xié)議（VRRP，RFC2338）、入侵檢測（IDS）、服務質(zhì)量（QoS）、組播（MultiCast）等，使整個網(wǎng)絡具有優(yōu)異的性能、良好的安全可靠性及未來的可擴展性。下面重點介紹幾種先進實用的網(wǎng)絡技術(shù)。VLAN（VirtualLANs）隨著網(wǎng)絡技術(shù)日新月異，L3，L4交換已經(jīng)非常成熟。Internet中也越來越廣泛地應用了交換技術(shù)，全交換網(wǎng)絡已經(jīng)非常普遍。在這些網(wǎng)絡中，VLAN的使用是必不可少的。VLAN是一個根據(jù)作用、計劃組、應用等進行邏輯劃分的交換式網(wǎng)絡。與用戶的物理位置沒有關(guān)系。舉個例子來說，幾個終端可能被組成一個部分，可能包括工程師或財務人員。當終端的實際物理位置比較相近，可以組成一個局域網(wǎng)（LAN）。如果他們在不同的建筑物中，就可以通過VLAN將他們聚合在一起。同一個VLAN中的端口可以接受VLAN中的廣播包。但別的VLAN中的端口卻接受不到。VLAN提供以下一些特性簡化了終端的刪除、增加、改動當一個終端從物理上移動到一個新的位置，它的特征可以從網(wǎng)絡管理工作站通過SNMP或用戶界面菜單中重新定義。而對于僅在同一個VLAN中移動的終端來說，它會保持以前定義的特征。在不同VLAN中移動的終端來說，終端可以獲得新的VLAN定義。控制通訊活動VLAN可以由相同或不同的交換機端口組成。廣播信息被限制在VLAN中。這個特征限定了只在VLAN中的端口才有廣播、多播通訊。管理域（managementdomain）是一個僅有單一管理者的多個VLAN的集合。工作組和網(wǎng)絡安全將網(wǎng)絡劃分不同的域可以增加安全性。VLAN可以限制廣播域的用戶數(shù)。控制VLAN的大小和組成可以控制廣播域的相應特性。在VLAN中應用最廣的就是GVRP和STP技術(shù)。它們是VLAN中優(yōu)點的集中體現(xiàn)。三層交換技術(shù)現(xiàn)在，網(wǎng)絡業(yè)界對“三層交換”這個詞已經(jīng)不感到陌生了，在中大型規(guī)模網(wǎng)絡建設(shè)中，以千兆三層交換機為核心的主流網(wǎng)絡模型已不勝枚舉。其實，三層交換從其出現(xiàn)到今天的普及應用也不過幾年的時間，計算機網(wǎng)絡加速度式的迅猛發(fā)展勢頭，實在快得令人吃驚?！叭龑咏粨Q”概念的出現(xiàn)，與VLAN有著密不可分的聯(lián)系。事實上，一個虛擬網(wǎng)就是邏輯上的子網(wǎng)。為了避免在大型交換機上進行廣播所引起的廣播風暴，可將其進一步劃分為多個虛擬網(wǎng)。在一個虛擬網(wǎng)內(nèi)，由一個工作站發(fā)出的信息，只能發(fā)送到具有相同虛擬網(wǎng)號的其他站點，而其他虛擬網(wǎng)的成員收不到這些信息或廣播幀。由于網(wǎng)絡變得越來越復雜，性能要求也越來越高，這就要求網(wǎng)管員能夠成功地部署VLAN，從而使網(wǎng)絡更加靈活而且易于管理。以往，網(wǎng)管員將3/4的時間花費在維護網(wǎng)絡的基礎(chǔ)結(jié)構(gòu)，確保通信流量的優(yōu)化，并處理移動和變更等工作。通常情況下，當一名用戶轉(zhuǎn)移到網(wǎng)絡中另一個物理位置時，需要重新配置網(wǎng)絡，甚至還有用戶的工作站需要進行大量的管理工作。針對于此，VLAN的部署就是將通過減少管理網(wǎng)絡中移動與變更所需的資源，從而實現(xiàn)為用戶節(jié)約大量寶貴的資源。VLAN技術(shù)還可以在以下關(guān)鍵領(lǐng)域內(nèi)為用戶提供價值：比路由器更具有成本效益的廣播控制，有效抑制廣播風暴。支持多媒體應用與高效組播控制，提高網(wǎng)絡帶寬的有效利用率。提高網(wǎng)絡的安全性，各種顯式或隱式的VLAN劃分方法提供基于策略的安全訪問機制。網(wǎng)絡監(jiān)督與管理的自動化，更多的有效的網(wǎng)絡監(jiān)控。減少路由需要，基于ASIC技術(shù)，大幅度提高設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。VLAN之間如何通信？簡單回答就是“通過路由”。因此，這種技術(shù)也引發(fā)出一些新的問題：虛擬網(wǎng)之間通信是不允許的，這也包括地址解析(ARP)封包。要想通信，就需要用路由器橋接這些虛擬網(wǎng)，這就是虛擬網(wǎng)的問題：用交換機速度快但不能解決廣播風暴問題，在交換機中采用虛擬網(wǎng)技術(shù)可以解決廣播風暴問題，但又必須放置路由器來實現(xiàn)虛擬網(wǎng)之間的互通。在這種網(wǎng)絡系統(tǒng)集成模式中，路由器是核心。過去的網(wǎng)絡在一般情況下按“80/20分配”規(guī)則，即只有20%的流量是通過骨干路由器與中央服務器或企業(yè)網(wǎng)的其他部分進行通信，而80%的網(wǎng)絡流量主要仍集中在不同的部門子網(wǎng)內(nèi)。而今天，這個比例已經(jīng)提高到了50%（“平分秋色”）甚至80%（倒二八，20/80），這是因為今天的網(wǎng)絡正在經(jīng)歷著諸多應用的集合影響。網(wǎng)絡應用已經(jīng)超越了組件和電子郵件，新型應用已經(jīng)如此迅速和深刻地沖擊著網(wǎng)絡，比如，任何人通過任何一個瀏覽器便可進行訪問設(shè)定的Web網(wǎng)頁，支持諸如銷售、服務和財務之類商業(yè)功能的數(shù)據(jù)倉庫。這種變化對傳統(tǒng)路由器產(chǎn)生了直接的沖擊。因為傳統(tǒng)的路由器更注重對多種介質(zhì)類型和多種傳輸速度的支持，而目前數(shù)據(jù)緩沖和轉(zhuǎn)換能力比線速吞吐能力和低時延更為重要。路由器的高費用、低性能，使其成為網(wǎng)絡的瓶頸。但由于網(wǎng)絡間互連的需求，它又是不可缺少的并處于網(wǎng)絡的核心位置，雖然也開發(fā)了高速路由器，但是由于其成本太高，僅用于Internet主干部分。在這種情況下，提出了三層交換技術(shù)。三層交換機是采用Intranet應用的關(guān)鍵，它將二層交換機和三層路由器兩者的優(yōu)勢有機而智能化地結(jié)合成一個靈活的解決方案，可在各個層次提供線速性能。這種集成化的結(jié)構(gòu)還引進了策略管理屬性，不僅使二層與三層相互關(guān)聯(lián)起來，而且還提供流量優(yōu)先化處理、安全訪問機制以及多種其它的靈活功能。三層交換機分為LAN接口層、二層交換矩陣層和三層交換矩陣（路由控制）層三部分。三層交換機的應用其實很簡單，主要用途是代替?zhèn)鹘y(tǒng)路由器作為網(wǎng)絡的核心。因此，凡是沒有廣域網(wǎng)連接需求，同時需要路由器的地方，都可以用三層交換機代替。在企業(yè)網(wǎng)中，一般會將三層交換機用在網(wǎng)絡的核心層，用三層交換機上的千兆端口或百兆端口連接不同的子網(wǎng)或VLAN。因為其網(wǎng)絡結(jié)構(gòu)相對簡單，節(jié)點數(shù)相對較少。另外，其不需要較多的控制功能，并且要求成本較低。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)＋三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進行管理的局面，解決了傳統(tǒng)路由器低速、復雜所造成的網(wǎng)絡瓶頸問題。VRRP當路由器功能出現(xiàn)故障時，VRRP（虛擬路由器冗余協(xié)議，RFC2338）通過同一個局域網(wǎng)中的另一臺路由器來保障網(wǎng)絡的正常運行。通過設(shè)置虛擬路由器為缺省路由器，終端用戶在路由器發(fā)生故障時可以繼續(xù)通信，而不必考慮轉(zhuǎn)換到另一臺路由器上。利用同一個以太網(wǎng)中的兩臺路由器設(shè)置一臺虛擬路由器。在實際運行中，兩臺路由器中的任一臺成為主路由器，該主路由器模擬虛擬路由器。備份路由器監(jiān)控主由器狀態(tài)。一旦主路由器出現(xiàn)故障影響網(wǎng)絡運行，備份路由器立即進入主路由器狀態(tài)以模擬虛擬路由器。IP地址被分配給虛擬路由器。指定虛擬路由器IP地址為缺省路由器的服務器將不會覺察主路由器的切換而繼續(xù)進行正常通信。關(guān)于VRRP的詳細設(shè)計和部署情況請參見后續(xù)章節(jié)。其它網(wǎng)絡技術(shù)在本網(wǎng)絡中，除了采用三層交換和VRRP技術(shù)，根據(jù)應用情況，還可采用組播（Multicast）、QoS和負載均衡等先進網(wǎng)絡技術(shù)。全面支持MultiCast：選擇設(shè)備全部支持MultiCast，主干設(shè)備支持DVMRP、PIM、IGMP、GARP組管理協(xié)議和多點發(fā)送、多點廣播協(xié)議，充分適應網(wǎng)絡特殊網(wǎng)絡傳輸要求。一定的QoS保證：核心設(shè)備支持RSVP、CAR(CommittedAccessRate)以及可配置門限的多種隊列采用WAED、WRR、業(yè)務類型/業(yè)務級別(ToS/CoS)映射機制，在滿足基本要求前提下保持高性價比，也為多媒體應用提供了堅實地網(wǎng)絡基礎(chǔ)。負載均衡實現(xiàn)：在核心設(shè)備上通過設(shè)置不同的VLAN的優(yōu)先級，可將所有的VLAN流量分擔在各樓的兩臺匯聚設(shè)備上，通過兩臺匯聚設(shè)備的VRRP功能，實現(xiàn)網(wǎng)絡層的負載均衡。也可根據(jù)未來網(wǎng)絡擴展的需求，增加相關(guān)的專用負載均衡設(shè)備實現(xiàn)3-7層的負載均衡功能。網(wǎng)絡設(shè)計概要XXX辦公大樓內(nèi)、外網(wǎng)網(wǎng)絡系統(tǒng)項目的總體設(shè)計目標以高可靠性、高安全性、高性能、極好的可擴展性和有效的可管理性為原則，同時兼顧考慮到技術(shù)的成熟性、先進性和可擴充性，網(wǎng)絡系統(tǒng)設(shè)計采用層次化、結(jié)構(gòu)化的設(shè)計方法。根據(jù)對本系統(tǒng)網(wǎng)絡需求的初步分析，確定辦公內(nèi)、外網(wǎng)網(wǎng)絡采用多千兆鏈路捆綁，百兆到桌面的方案，本方案具有較好的性能價格比，整個網(wǎng)絡采用分層設(shè)計技術(shù)，骨干為網(wǎng)絡中心與1#、2#和3#樓之間的多千兆光纖線路，接入網(wǎng)為各終端節(jié)點的10/100M以太網(wǎng)接入線路。核心設(shè)備使用高端路由交換機，接入設(shè)備選用具備三層交換功能的接入交換機。各樓內(nèi)采用虛擬網(wǎng)VLAN技術(shù)實現(xiàn)功能群的劃分，VLAN可在匯聚設(shè)備上創(chuàng)建。利用統(tǒng)一的標準調(diào)整網(wǎng)絡規(guī)劃，避免可能的不兼容性，保證整個網(wǎng)絡的統(tǒng)一架構(gòu)。根據(jù)我們對網(wǎng)絡系統(tǒng)需求的初步分析并結(jié)合本系統(tǒng)的特點，我公司提出一套基于華為3COM網(wǎng)絡設(shè)備的解決方案，本方案具有較好的性能價格比，內(nèi)網(wǎng)和外網(wǎng)全部采用分層設(shè)計，利用統(tǒng)一的標準調(diào)整網(wǎng)絡擴容規(guī)劃，避免可能的不兼容性，保證整個內(nèi)、外網(wǎng)絡的統(tǒng)一架構(gòu)。網(wǎng)絡的分層設(shè)計XXX辦公大樓內(nèi)、外網(wǎng)網(wǎng)絡系統(tǒng)設(shè)計為兩級網(wǎng)絡，三級設(shè)備節(jié)點：以網(wǎng)絡中心（中心節(jié)點）為中心，邊界至1#、2#和3#樓（匯聚節(jié)點）的骨干網(wǎng)；以1#、2#和3#樓（匯聚節(jié)點）為中心，邊界至同各配線間（接入節(jié)點）的接入網(wǎng)；本系統(tǒng)的辦公內(nèi)、外網(wǎng)拓撲為冗余樹型結(jié)構(gòu)，無匯聚與匯聚和接入與接入節(jié)點之間有物理直聯(lián)的需求。因此所有匯聚節(jié)點之間的通信全部經(jīng)過網(wǎng)絡中心的核心路由交換機實現(xiàn)數(shù)據(jù)交換，比較容易對各樓之間的流量和訪問控制進行有效控制。層次化設(shè)計的優(yōu)點為：可擴展性：因為網(wǎng)絡可模塊化增長而不會遇到問題；簡單性：通過將網(wǎng)絡分成許多小單元，降低了網(wǎng)絡的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的問題；設(shè)計的靈活性：使網(wǎng)絡容易升級到最新的技術(shù)，升級任意層次的網(wǎng)絡不會對其它層次造成影響，無需改變整個環(huán)境；可管理性：層次結(jié)構(gòu)使單個設(shè)備的配置的復雜性大大降低，更易管理。核心層核心層為匯聚和接入層提供優(yōu)化的數(shù)據(jù)輸運功能，它是一個高速的路由交換骨干，其作用是盡可能快地交換數(shù)據(jù)包而不應卷入到具體的數(shù)據(jù)包的運算中（ACL，過濾等），否則會降低數(shù)據(jù)包的交換速度。內(nèi)外網(wǎng)核心層設(shè)備各包括兩臺核心交換機。匯聚層匯聚層提供基于統(tǒng)一策略的互連性，它是核心層和接入層的分界點，定義了網(wǎng)絡的邊界，對數(shù)據(jù)包進行復雜的運算。匯聚層主要提供地址的聚集、部門和工作組的接入、廣播域/多目傳輸域的定義、InterVLAN路由、任何介質(zhì)的轉(zhuǎn)換和安全控制等功能。在內(nèi)、外網(wǎng)中，1#、2#和3#辦公樓各有2個匯聚層交換機，通過OSPF和VRRP實現(xiàn)設(shè)備和鏈路的冗余備份。接入層接入層直接為各接入用戶提供的網(wǎng)絡訪問接入。本系統(tǒng)的接入設(shè)備選用支持802.1x功能的接入交換機。選用華為3COM的網(wǎng)絡設(shè)備本項目中涉及的網(wǎng)絡設(shè)備種類不多，但各設(shè)備類別具體需求各不相同，因此在選擇設(shè)備廠商時，應考慮選擇技術(shù)先進，產(chǎn)品線豐富，售后服務周到，且具有良好信譽的網(wǎng)絡設(shè)備廠家。網(wǎng)絡設(shè)備的選擇原則如下：1．必須支持本系統(tǒng)目前以及未來涉及到的網(wǎng)絡技術(shù)，如Trunking、VLAN/PVLAN、RoutingSwitch、ACL、QoS、Multicast及多種路由協(xié)議等；2．必須支持多協(xié)議下的局域網(wǎng)絡互連；3．必須支持國際/國內(nèi)網(wǎng)絡技術(shù)標準，與不同廠商的網(wǎng)絡安全產(chǎn)品有較好的互連性；4．必須支持SNMP網(wǎng)絡管理協(xié)議；5．所選產(chǎn)品必須具有良好的發(fā)展前景，能適應未來網(wǎng)絡技術(shù)的發(fā)展；支持向未來網(wǎng)絡新技術(shù)的平滑過渡。6．所選網(wǎng)絡設(shè)備必須能夠在不影響性能的情況下實現(xiàn)平滑升級。7．所選網(wǎng)絡設(shè)備必須要能夠在網(wǎng)絡中心利用網(wǎng)管軟件進行統(tǒng)一網(wǎng)管。在當今網(wǎng)絡設(shè)備的市場上，比較著名的廠商有華為3COM、Cisco、NORTELNetworks等。其中，華為3COM公司在政府、企業(yè)網(wǎng)絡、住宅寬帶產(chǎn)品、基于Internet協(xié)議的電話、以太網(wǎng)連接、網(wǎng)絡服務供應商的遠程接入與無線解決方案等領(lǐng)域都可提供高性價比的解決方案。因此我們在本項目網(wǎng)絡設(shè)計中選用華為3COM公司的網(wǎng)絡設(shè)備。核心設(shè)備：華為3COMQuidway?S8512S8512具有720Gbps的交換容量，背板為1.8Tbps（可擴展至3.6T），多層硬件轉(zhuǎn)發(fā)能力為428Mpps，完全滿足本網(wǎng)絡對核心路由交換的需求。另外，S8512未來還可順利增加防火墻模板和IDS模板，以保證核心交換機的安全功能平滑升級，從而在網(wǎng)絡核心層為提高內(nèi)、外網(wǎng)絡的安全性提供更豐富的解決方案。匯聚設(shè)備：華為3COMQuidway?S6506S6506具有384Gbps的交換容量，背板為1.6Tbps，完全滿足本網(wǎng)絡對匯聚路由交換的需求。接入設(shè)備：華為3COMQuidway?LS-3952-P/LS-3928-PLS-3952-P和LS-3928-P具有32Gbps的交換背板，多層硬件轉(zhuǎn)發(fā)能力分別為13.2和9.6Mpps，完全滿足本網(wǎng)絡對接入交換機的需求。上述華為3COM的交換機都是具有較高性價比的產(chǎn)品，并且具有較大的擴展性。網(wǎng)絡規(guī)劃由于內(nèi)外網(wǎng)的重要性，本次項目必須能夠為用戶提供不間斷的網(wǎng)絡服務，因此建議全網(wǎng)絡采用全冗余結(jié)構(gòu)（設(shè)備冗余、線路冗余）互連。內(nèi)網(wǎng)設(shè)備統(tǒng)計見下表：內(nèi)網(wǎng)樓號樓層數(shù)據(jù)點接入交換機(48口)接入交換機(24口)匯聚交換機核心交換機1號樓8F84227F8326F12835F12434F98213F9022F72111F642B1F4B2F71號樓小計754172202號樓12F371211F185410F207419F17348F207417F17346F17345F17344F18343F18342F12931F9631B1F9B2F472號樓小計1975433203號樓8F5111227F8626F12235F1314F52113F1812F9621F141B1F5B2F263號樓小計48310422合計321270962由于每接入交換機具備48或24個端口，因此接入層交換機數(shù)量可根據(jù)內(nèi)網(wǎng)的每層設(shè)備間管理的信息點數(shù)計算得出，內(nèi)網(wǎng)需配置70臺48口和9臺24口交換機。其中多余的端口作為備用端口。內(nèi)網(wǎng)在1#、2#和3#樓各需配置2臺單引擎的匯聚交換機。內(nèi)網(wǎng)的2臺核心交換機位于3#樓的4層，為了保證核心設(shè)備的高效穩(wěn)定運行，減少核心設(shè)備宕機對網(wǎng)絡產(chǎn)生重要影響，需配置冗余引擎。外網(wǎng)設(shè)備統(tǒng)計見下表：外網(wǎng)樓號樓層光網(wǎng)數(shù)據(jù)點接入交換機(48口)接入交換機(24口)匯聚交換機核心交換機1號樓8F1387227F188626F1613135F1712734F1014333F18108212F99221F8682B1F4B2F81號樓小計109854191202號樓12F4391211F10188410F10210419F617648F10210417F617646F617645F617644F618643F618642F113231F29831B1F11B2F492號樓小計732013433203號樓8F35511227F158826F512735F52014F1755113F62612F7101211F72211B1F5B2F263號樓小計6552511522合計247339273962由于每接入交換機具備48或24個端口，因此接入層交換機數(shù)量可根據(jù)外網(wǎng)的每層設(shè)備間管理的信息點數(shù)計算得出，外網(wǎng)需配置73臺48口和9臺24口交換機。其中多余的端口作為備用端口。外網(wǎng)在1#、2#和3#樓各需配置2臺單引擎的匯聚交換機。外網(wǎng)的2臺核心交換機位于3#樓的4層，為了保證核心設(shè)備的高效穩(wěn)定運行，減少核心設(shè)備宕機對網(wǎng)絡產(chǎn)生重要影響，需配置冗余引擎。另外，本系統(tǒng)外網(wǎng)在1#、2#和3#還有共247個光纖到桌面的信息點。鑒于光纖到桌面的特殊性和光網(wǎng)絡流量集中管理，建議這些光網(wǎng)端口不配置接入層交換設(shè)備，而是直接聯(lián)到匯聚層的千兆光端口交換模板上，由匯聚層交換機直接負責這些光纖到桌面的信息節(jié)點的接入和訪問控制管理。Quidway?S8500系列核心交換機是由華為3Com公司自主開發(fā)的新一代高性能核心路由交換機產(chǎn)品，可廣泛應用于電子政務網(wǎng)核心層、校園網(wǎng)及教育城域網(wǎng)核心層、園區(qū)網(wǎng)和企業(yè)網(wǎng)核心層以及運營商IP城域網(wǎng)核心層、匯聚層。Quidway?S8500系列基于新一代核心交換機的設(shè)計理念，具備大容量高性能、可擴展能力強和業(yè)務與性能兼具的特點。Quidway?S8500系列支持新一代高性能接口，能夠為城域網(wǎng)、園區(qū)網(wǎng)、數(shù)據(jù)中心提供超高速鏈路，構(gòu)建端到端以太網(wǎng)絡，打造低成本、高性能、具有豐富業(yè)務支持能力的高性能網(wǎng)絡。Quidway?S8500提供大容量、高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能，內(nèi)置強勁的全分布式業(yè)務處理引擎，以全線速處理二層、三層、MPLSVPN、組播等各種業(yè)務流量，提供完善的QoS保障、安全管理機制和電信級的高可靠設(shè)計，滿足大型IP網(wǎng)絡對多業(yè)務、高可靠、大容量、模塊化的需求。1)先進的體系結(jié)構(gòu)Quidway?S8500系列產(chǎn)品采用全分布式體系結(jié)構(gòu)設(shè)計，采用功能強大的ASIC芯片進行高速路由查找，并通過Crossbar技術(shù)進行高速報文交換，從而大大提升了路由交換機的轉(zhuǎn)發(fā)性能和擴充能力。Crossbar交換網(wǎng)芯片內(nèi)置于主控板，不單獨占用設(shè)備槽位，可提供高達720Gbps的交換容量，并可平滑升級到1.44Tbps的交換容量。接口板通過多條高速總線分別連到兩塊主控板上的Crossbar交換網(wǎng)，從而實現(xiàn)真正的雙主控、雙交換網(wǎng)的熱備份，極大的提高了系統(tǒng)的可靠性。Quidway?S8500系列產(chǎn)品采用高性能的最長匹配、逐包轉(zhuǎn)發(fā)的方式，在保持線速性能和低成本的基礎(chǔ)上，革命性的解決了傳統(tǒng)交換機流Cache精確匹配轉(zhuǎn)發(fā)的致命缺陷，能夠有效的抗擊網(wǎng)絡“紅色代碼”、“沖擊波”等病毒的攻擊，更加適合大規(guī)模、多業(yè)務，復雜流量訪問的網(wǎng)絡。2)大容量、高密度線速交換Quidway?S8500系列產(chǎn)品目前最高可以提供720Gbps交換容量/428Mpps包轉(zhuǎn)發(fā)能力，并可平滑升級到1.44Tbps交換容量、857Mpps轉(zhuǎn)發(fā)能力。支持各種高密度業(yè)務板和組合業(yè)務板，整機可支持高達576個千兆端口的同時線速轉(zhuǎn)發(fā)，滿足核心層設(shè)備大容量、高密度的要求。3)強大的業(yè)務支撐能力Quidway?S8500支持MPLSVPN業(yè)務；支持豐富的組播協(xié)議（IGMP、IGMPSNOOPING，PIM-SM、PIM-DM和MSDP/MBGP等）；支持WebSwitch（硬件支持）、NAT（硬件支持），內(nèi)置防火墻（硬件支持）、IDS；支持POS/ATM、RPR等接口。4)MPLS/IPv6分布式線速支持Quidway?S8500系列產(chǎn)品遵循業(yè)務與性能并重的設(shè)計理念。一方面帶寬和網(wǎng)絡規(guī)模的增長推動核心路由交換機的性能容量不斷提升，另一方面業(yè)務的發(fā)展要求核心交換機更加智能化并具備更強的業(yè)務提供能力。Quidway?S8500系列產(chǎn)品采用功能強大的ASIC芯片實現(xiàn)MPLS、IPv6的分布式線速轉(zhuǎn)發(fā)，并能夠基于高性能NP實現(xiàn)線速NAT、WebSwitch等增值業(yè)務，在為用戶提供全面的有保障業(yè)務的同時，也做到根據(jù)需求業(yè)務可裁減。5)完善的QoS機制Quidway?S8500系列產(chǎn)品提供了靈活的隊列調(diào)度算法，可以同時基于端口和隊列進行設(shè)置，支持SP、WRR、SP+WRR三種模式；支持8個優(yōu)先級隊列，3個丟棄優(yōu)先級；支持WRED擁塞避免算法和端口流量整形。支持帶寬控制功能，流量限速的粒度為1Kbit/s，滿足精品寬帶網(wǎng)絡的要求。6)電信級可靠性設(shè)計：Quidway?S8500系列產(chǎn)品系統(tǒng)采用分布式結(jié)構(gòu)，支持雙主控交換板，無源背板設(shè)計，所有單板支持熱插拔；電源系統(tǒng)交流/直流可選，采用1+1冗余熱備份，并支持雙路電源輸入；支持STP/RSTP/MSTP協(xié)議和VRRP協(xié)議，能夠滿足苛刻的電信級網(wǎng)絡可靠性要求，系統(tǒng)可靠性達到：99.999％。7)完善的安全機制：Quidway?S8500系列產(chǎn)品的先進的逐包轉(zhuǎn)發(fā)機制確保其在各種數(shù)據(jù)流狀況下的設(shè)備安全，支持OSPF、RIPv2及BGPv4報文的明文及MD5密文認證；支持URPF（單播反向路徑檢查）；采用802.1x方式對接入用戶進行認證，支持安全的SNMPv3的網(wǎng)管協(xié)議、支持配置安全，對登錄用戶進行認證，不同級別的用戶有不同的配置權(quán)限，并提供兩種用戶認證方式：本地認證和RADIUS認證。Quidway?S8500系列產(chǎn)品通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡。支持多種ACL訪問控制策略，能夠?qū)τ脩粼L問網(wǎng)絡資源的權(quán)限進行設(shè)置，保證網(wǎng)絡的受控訪問。Quidway?S8500系列產(chǎn)品還支持標準Radius協(xié)議，同時提供Radius+功能，以及HCBM?（華為可控組播管理協(xié)議）功能支持。基于硬件支持的內(nèi)置防火墻/IDS功能為核心交換設(shè)備安全組網(wǎng)提供了多樣化的選擇，簡化了網(wǎng)絡層次，提高了整網(wǎng)性能。Quidway?S8500系列產(chǎn)品可與華為3ComSecEngineD系列IDS設(shè)備實現(xiàn)線速安全聯(lián)動，采用標準的SNMPv2/v3作為聯(lián)動協(xié)議的承載協(xié)議，根據(jù)不同的攻擊事件行為，使聯(lián)動交換機產(chǎn)生下述不同的ACL對數(shù)據(jù)流進行阻斷：可以對單一主機發(fā)起的所有流、單一主機特定端口發(fā)起的流、單一主機接收的所有流、單一主機特定端口的接收流、指定網(wǎng)絡發(fā)起的所有流、指定網(wǎng)絡接收的所有數(shù)據(jù)流或明確的五元組流(源和目的IP地址和端口和協(xié)議)進行阻斷，為用戶建立起立體的安全網(wǎng)絡。隨著Internet從科研向商業(yè)應用的轉(zhuǎn)變，網(wǎng)絡用戶迅猛增加，各種類型的應用（包括文件傳送、Web瀏覽、局域網(wǎng)互聯(lián)、視頻/音頻會議、IP電話以及其它實時多媒體業(yè)務）共存在一個物理網(wǎng)絡上，網(wǎng)絡節(jié)點的處理能力、QoS保障和網(wǎng)絡帶寬逐漸成為Internet繼續(xù)發(fā)展的主要障礙。隨著光傳輸技術(shù)的發(fā)展，尤其DWDM的出現(xiàn)，傳輸帶寬不再成為網(wǎng)絡的瓶頸，而網(wǎng)絡交換節(jié)點的處理能力顯得尤為重要。為了滿足IP網(wǎng)絡新變化，G比特路由器（GSR）和T比特路由器（TSR）應運而生，這些高端路由器采用大容量交換結(jié)構(gòu)和硬件高速轉(zhuǎn)發(fā)技術(shù)，大大提高了報文轉(zhuǎn)發(fā)速度；作為這些設(shè)備交換核心的網(wǎng)絡處理器（NetworkProcessor）技術(shù)也得到了迅猛的發(fā)展和應用。那么，什么是網(wǎng)絡處理器呢？根據(jù)國際網(wǎng)絡處理器大會（NetworkProcessorsConference）的定義：網(wǎng)絡處理器是一種可編程器件，它特定的應用于通信領(lǐng)域的各種任務，比如包處理、協(xié)議分析、路由查找、聲音/數(shù)據(jù)的匯聚、防火墻、QOS。網(wǎng)絡處理器的使用者是研制路由器、交換機、HUB、服務器、網(wǎng)絡接口卡、VPN和網(wǎng)橋設(shè)備的通信設(shè)備制造商。目前生產(chǎn)網(wǎng)絡處理器的公司有很多，大公司有Intel、Agere（Lucent的微電子部）、摩托羅拉、IBM、InfineonTechnologies（以前西門子的微電子部）；小一點的公司有MMCNetworks、EzchipTechnologies、SiTera、SolidumSystems、T-Sqware、XstreamLogic等。網(wǎng)絡處理器目前的應用主要集中在數(shù)據(jù)通信網(wǎng)絡的中高端設(shè)備上，和以前的CPU軟件轉(zhuǎn)發(fā)、FPGA實現(xiàn)轉(zhuǎn)發(fā)、ASIC實現(xiàn)轉(zhuǎn)發(fā)相比，它有以下特點或優(yōu)點：1、性能高很多算法都用硬件實現(xiàn)，內(nèi)部一般都集成了幾個甚至幾十個轉(zhuǎn)發(fā)微引擎（CPU）和硬件協(xié)處理器、硬件加速器，在實現(xiàn)復雜的擁塞管理、隊列調(diào)度、流分類和QOS功能的前提下，還可以達到很高的查找、轉(zhuǎn)發(fā)性能，實現(xiàn)所謂的“硬轉(zhuǎn)發(fā)”。目前已經(jīng)投入商用的有支持2.5GPOS口的NP、支持10GPOS的NP、支持40GPOS口的NP。2、可以進行靈活的功能擴展由于可以進行編程，一旦有新的技術(shù)或者需求出現(xiàn)，可以很方便的通過軟件編程進行實現(xiàn)，系統(tǒng)的功能可以通過軟件模塊方便的添加刪除。所以對于特殊的用戶需求，可以進行定制開發(fā)，即可以在短時間內(nèi)通過模塊刪減開發(fā)能滿足不同用戶需求的產(chǎn)品。而以前用FPGA實現(xiàn)的情況下，需要修改管腳功能，重新調(diào)試升級，而且大多情況下其它硬件設(shè)計也要改動，為系統(tǒng)可靠性帶來很大隱患。用ASIC實現(xiàn)的情況下，無法對新的功能進行添加，只能重新設(shè)計，更新芯片。在開發(fā)時間上，按照業(yè)界的經(jīng)驗數(shù)字，軟件開發(fā)時間一般為6個月，而用FPGA實現(xiàn)的時間為18個月，用ASIC實現(xiàn)的時間更長，通常需要2~3年的時間，隨著網(wǎng)絡處理器使用C語言編程的推進，開發(fā)周期變的將會更短。所以NP具有更靈活的擴展能力。3、可靠性高由于大部分功能都使用一個或者兩個芯片實現(xiàn)，芯片轉(zhuǎn)產(chǎn)前都經(jīng)過了嚴格的測試和各種抗干擾和破壞性試驗，從而使使用NP的系統(tǒng)的可靠性大大提高。所以NP特別適合用于開發(fā)電信級數(shù)據(jù)通信產(chǎn)品。4、豐富的流分類、擁塞管理、隊列調(diào)度和QOS功能大多數(shù)NP都使用硬件的并行操作，實現(xiàn)了業(yè)界流行的各種算法，為使用NP的設(shè)備提供了豐富和強大的QOS功能。很多以前用軟件實現(xiàn)時無法保證性能的復雜QOS功能，在使用了NP之后，可以很容易的得到實現(xiàn)，并且對性能基本沒有影響。5、管理、開發(fā)方便NP都提供了和上層CPU標準的接口或者內(nèi)置管理CPU，可以和其它CPU實現(xiàn)高速通訊。NP一般都提供了大量硬件計數(shù)器，可以方便的實現(xiàn)各種MIB統(tǒng)計功能，為網(wǎng)管提供支持。NP一般都提供了編譯系統(tǒng)和軟件樣例，而且目前主流的NP都提供軟件仿真開發(fā)平臺，可以進行離線開發(fā)和驗證，甚至可以用仿真平臺將軟件的效率仿真到Cycle級；在在線調(diào)試時有單步跟蹤、設(shè)置斷點等手段，可以使設(shè)備開發(fā)商在較短時間內(nèi)開發(fā)出適合產(chǎn)品需要的軟件。6、可以實現(xiàn)靈活組態(tài)NP作為一個器件，都提供了靈活的配置功能，可以通過NP的不同形式組合或者和其它CPU的組合，實現(xiàn)系統(tǒng)的靈活配置，滿足不同設(shè)備的需求，方便了系統(tǒng)設(shè)計，加快了設(shè)備的開發(fā)進度。本項目內(nèi)、外網(wǎng)的匯聚交換機S6506全部選用第三代交換容量為384Gbps的引擎。樓號內(nèi)網(wǎng)外網(wǎng)匯聚交換機匯聚上聯(lián)端口匯聚交換機匯聚上聯(lián)端口光口1號樓28241092號樓2824733號樓282465合計：624612247考慮到內(nèi)網(wǎng)不同辦公樓內(nèi)用戶之間互訪的流量較大，因此在內(nèi)網(wǎng)的匯聚交換機上聯(lián)采用雙GE捆綁到核心交換機，6臺匯聚共需24個上聯(lián)千兆端口，因此每臺內(nèi)網(wǎng)核心交換機需要12個千兆端口用于匯聚設(shè)備的連接。而外網(wǎng)用戶訪問公網(wǎng)的流量相對較大，不同樓宇間的用戶互訪的需求較少，因此外網(wǎng)核心與匯聚設(shè)備互聯(lián)采用單千兆聯(lián)路，即每臺匯聚交換機有兩條千兆鏈路分別上聯(lián)到外網(wǎng)的核心交換機上，每臺外網(wǎng)核心交換機需要有6個千兆端口用于下聯(lián)匯聚交換機。由于外網(wǎng)還有247個光纖到桌面的端口需要全部直連到匯聚交換機，因此6臺匯聚交換機需要增配20個光端口的模板和若干多模千兆光纖接口模塊，數(shù)量如下：樓號設(shè)備名稱數(shù)量1號樓20個光端口模板6多模光纖接口模塊1092號樓20個光端口模板4多模光纖接口模塊733號樓20個光端口模板4多模光纖接口模塊65Quidway?S6500系列高端多業(yè)務路由交換機是華為3Com公司面向IP城域網(wǎng)、大型企業(yè)網(wǎng)及園區(qū)網(wǎng)用戶開發(fā)的系列大容量、高密度、模塊化的二、三層線速以太網(wǎng)交換機產(chǎn)品，主要作為企業(yè)的核心交換機或城域網(wǎng)匯聚層交換機。該系列產(chǎn)品包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R（8槽）。Quidway?S6500能夠為城域網(wǎng)、園區(qū)網(wǎng)、數(shù)據(jù)中心提供超高速鏈路，打造低成本、高性能、具有豐富業(yè)務支持能力的高性能網(wǎng)絡。Quidway?S6500提供大容量、高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能，同時具有豐富的業(yè)務功能、強大的QoS保障、完善的安全管理機制和電信級的高可靠設(shè)計，完全滿足行業(yè)客戶和運營商用戶對多業(yè)務、高可靠、大容量、模塊化的需求。Quidway?S6500系列高端多業(yè)務交換機的特點可以用一句話來概括：“多快好省、高而不貴”?！岸唷保寒a(chǎn)品系列多、引擎規(guī)格多、接口板類型多。有利于簡化網(wǎng)絡結(jié)構(gòu)，降低建網(wǎng)成本。產(chǎn)品系列多：S6500系列包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R(8槽)。產(chǎn)品設(shè)計采用開放式的體系結(jié)構(gòu)、統(tǒng)一的硬件平臺、完全兼容的引擎和接口板、相同的軟件版本、以及系列化機箱。S6500還可以支持POE（PowerOverEthernet）特性，提供支持POE功能的系列機箱和單板，能夠?qū)崿F(xiàn)向遠端受電設(shè)備（IP電話、WLAN無線接入點等）進行以太網(wǎng)遠端供電。引擎規(guī)格多：基于新一代ASIC技術(shù)的Salience?系列交換路由引擎將L2/3/4線速轉(zhuǎn)發(fā)與豐富的QOS、ACL特性結(jié)合在一起，是組建高可靠、低時延的核心網(wǎng)絡的重要保障。S6500提供系列化的引擎，可以根據(jù)用戶的需求在系列化機箱上進行靈活配置。iSalience?I（交換容量32Gbps）Salience?I（交換容量64Gbps）Salience?II（交換容量64Gbps）Salience?III96G（交換容量96Gbps）Salience?III384G（交換容量384Gbps）接口板類型多：提供百兆、千兆、萬兆等各種類型的以太網(wǎng)接口；提供100m-100km可選擇的傳送距離；提供4口/單

快：采用先進體系結(jié)構(gòu)設(shè)計，交換容量高達768G，支持新一代線速接口，提供網(wǎng)絡高性能。先進的體系結(jié)構(gòu)：S6500采用全分布式體系結(jié)構(gòu)設(shè)計，采用功能強大的ASIC芯片進行高速路由查找，并通過Crossbar技術(shù)進行高速報文交換，從而大大提升了路由交換機的轉(zhuǎn)發(fā)性能和擴充能力。Crossbar交換網(wǎng)芯片內(nèi)置于主控板，不再單獨占用設(shè)備槽位，可提供高達768G的交換容量。高密度二、三層全線速接口：S6500系列推出SalienceIII系列交換引擎，最大交換容量為768Gbps，在滿配時S6500最大可提供288GE或288FE。萬兆接口支持：S6500提供的新一代萬兆以太網(wǎng)在線速轉(zhuǎn)發(fā)的基礎(chǔ)上能夠提供強大的QoS保障，并支持豐富的ACL、策略路由、安全等特性。S6500支持高密度萬兆設(shè)計，每塊業(yè)務板可以提供1－4個萬兆接口。好：支持強大的QoS能力和精細化用戶管理，高可靠、高安全設(shè)計，采用智能業(yè)務擴展模塊可以實現(xiàn)靈活的智能化業(yè)務能力。強大的QoS能力和精細化用戶管理：每端口支持8個硬件隊列，帶寬控制粒度可達64Kbps；強大的用戶管理、認證計費功能支持；支持CAMS?（綜合訪問控制管理服務器）系統(tǒng)，提供專業(yè)用戶管理、計費解決方案；內(nèi)置IEEE802.1x認證服務器功能。內(nèi)置DHCPSERVER功能。運營級可靠性設(shè)計：系統(tǒng)采用分布式結(jié)構(gòu)；S6506R支持雙主控板；S6500系列所有單板支持熱插拔；電源系統(tǒng)采用N+1冗余熱備份；支持STP/RSTP/MSTP協(xié)議和VRRP協(xié)議，能夠滿足苛刻的電信級網(wǎng)絡可靠性要求；支持雙路電源供電。完善的安全機制：支持標準Radius協(xié)議，同時提供Radius+功能；支持TACAS+協(xié)議；HCBM?（華為可控組播管理協(xié)議）功能支持；保證對用戶的精確認證。支持SSHV1/2?；谧铋L匹配的路由方式，保證了所有報文均獲得相同的轉(zhuǎn)發(fā)性能，對“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力。智能業(yè)務擴展：能夠提供高速的NAT數(shù)據(jù)流轉(zhuǎn)發(fā)，支持動態(tài)NAT功能、動態(tài)NAPT功能、ALG功能、多ISP支持、EasyIP支持、NAT黑名單、內(nèi)部服務器功能、NAT策略和NAT日志等功能。支持基于ACL的策略路由。支持NetStream功能，能夠?qū)νㄟ^交換機的網(wǎng)絡流量進行精細化統(tǒng)計。?。簶O高的性價比，為客戶量身打造，總有一款適合您；性能、業(yè)務可平滑擴展升級，保護用戶投資。無與倫比的性能價格比：S6500提供系列化機箱和系列化超級引擎，可以根據(jù)不同組網(wǎng)需要進行靈活配置；S6500提供多種高密度百兆、千兆、萬兆接口板，有效簡化網(wǎng)絡結(jié)構(gòu)、降低建網(wǎng)成本；S6502無需專門的主控交換引擎，主控交換功能內(nèi)置于接口板內(nèi)部，進一步降低建網(wǎng)成本。強大的擴展性能：S6500具有強大的性能和業(yè)務擴展能力；背板帶寬高達1.6Tbps；采用智能業(yè)務擴展模塊可以實現(xiàn)靈活的智能化業(yè)務能力，如NAT/MPLS/WebSwitch/NetStream/IPv6等高級業(yè)務特性，從而有效保障用戶的投資。內(nèi)網(wǎng)樓號樓層接入交換機(48口)接入交換機(24口)接入上聯(lián)端口1號樓8F247F246F365F364F2163F242F1141F24B1FB2F1號樓小計172382號樓12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2號樓小計433923號樓8F1147F246F365F124F1143F122F241F12B1FB2F3號樓小計10428合計：709158由于每臺接入交換機都有2個千兆光纖端口分別上聯(lián)到匯聚交換機，因此內(nèi)網(wǎng)的70臺LS-3952-P和9臺LS-3928-P共需要158個千兆上聯(lián)的端口。外網(wǎng)樓號數(shù)據(jù)點接入交換機(48口)接入交換機(24口)接入上聯(lián)端口1號樓8F247F246F365F364F363F2162F241F24B1FB2F1號樓小計854191402號樓12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2號樓小計2013433923號樓8F1147F246F365F124F1143F122F2161F114B1FB2F3號樓小計49311532合計：739164由于每臺接入交換機都有2個千兆光纖端口分別上聯(lián)到匯聚交換機，因此外網(wǎng)的73臺LS-3952-P和9臺LS-3928-P共需要164個千兆上聯(lián)的端口。QuidwayS3900系列智能彈性以太網(wǎng)交換機是華為-3COM公司為設(shè)計和構(gòu)建高彈性、高智能網(wǎng)絡需求而推出的新一代以太網(wǎng)交換機產(chǎn)品。系統(tǒng)采用華為-3COM公司創(chuàng)新的IRF（IntelligentResilientFramework，智能彈性架構(gòu))技術(shù)，將多臺分散的設(shè)備組成統(tǒng)一的交換矩陣，非常適合作為關(guān)注擴展性、可靠性、安全性和易管理性的辦公網(wǎng)、業(yè)務網(wǎng)和駐地網(wǎng)的匯聚和接入層交換機。QuidwayS3900系列智能彈性交換機目前包含型號為：S3924-SI、S3928P-SI、S3928TP-SI、S3952P-SI、S3928P-EI、S3928F-EI、S3928P-PWR-EI、S3952P-EI、S3952P-PWR-EI。QuidwayS3900系列交換機提供標準型（SI）和增強型（EI）兩種產(chǎn)品版本，標準型支持二層和基本的三層功能、提供部分的IRF功能（分布設(shè)備管理和基本的分布冗余路由）。增強型支持復雜的路由協(xié)議和豐富的業(yè)務特性，支持全部的IRF功能（分布設(shè)備管理、分布冗余路由和分布鏈路聚合）。1）IRF智能彈性架構(gòu)技術(shù)Quidway?S3900系列交換機支持華為3Com創(chuàng)新的IRF（IntelligentResilientFramework）技術(shù)，能夠?qū)崿F(xiàn)用戶網(wǎng)絡的高度彈性智能擴展。利用IRF技術(shù)，用戶可以將多臺設(shè)備連接起來組成一個聯(lián)合設(shè)備（Fabric），并將這些設(shè)備看作單一設(shè)備進行管理和使用，降低了管理成本，同時實現(xiàn)按需購買、平滑擴容，在網(wǎng)絡升級時最大限度地保護已有投資。IRF（IntelligentResilientFramework）技術(shù)包括三個方面：DDM、DRR和DLA。DDM（分布設(shè)備管理）：在外界看來，整個Fabric是一臺整體設(shè)備。用戶可以通過Console、SNMP、Telnet、WEB等多種方式來管理整個Fabric。DRR（分布冗余路由）：Fabric的多個設(shè)備在外界看來是一臺單獨的三層交換機。整個Fabric將作為一臺設(shè)備進行路由功能和二三層轉(zhuǎn)發(fā)功能。單播路由協(xié)議和組播路由協(xié)議分布式運行并完全支持熱備份，在某一個設(shè)備發(fā)生故障時，路由協(xié)議和數(shù)據(jù)轉(zhuǎn)發(fā)都不會中斷。DLA（分布鏈路聚合）：支持跨設(shè)備的鏈路聚合，可以在設(shè)備之間進行鏈路的負載分擔和互為備份。2）PoE（PoweroverEthernet）遠程供電特性QuidwayS3900系列交換機（PWR型號）支持PoE（PoweroverEthernet），即可通過雙絞線向遠端下掛PD設(shè)備（如IPPhone、WLANAP、Security、BluetoothAP等）提供-48V直流電源，實現(xiàn)對下掛PD設(shè)備遠端供電。作為供電方PSE（PowerSourcingEquipment）設(shè)備，支持IEEE802.3af線路供電標準，同時也可以兼容不符合802.3af標準的PD（PoweredDevice）設(shè)備。交換機遠端供電時每個以太網(wǎng)口向下掛設(shè)備提供的最大功率分別為12.5W（使用交流電源）和15.4W（使用直流電源）。通過支持PoE和VoiceVLAN技術(shù)，S3900系列交換機能夠提供完美的數(shù)據(jù)和語音融合解決方案。3）大容量全線速的多層交換QuidwayS3900系列交換機支持所有端口線速轉(zhuǎn)發(fā)。系統(tǒng)能夠提供4個GE，有效解決了在單臺設(shè)備上多條千兆鏈路上行，同時接入千兆服務器的需求，極大的節(jié)省了用戶對設(shè)備的投資。硬件支持二/三層線速交換，能夠識別、處理四到七層的應用業(yè)務流，所有端口都具有單獨的數(shù)據(jù)包過濾、區(qū)分不同應用流，并根據(jù)不同的流進行不同的管理和控制。支持豐富的接入形式，百兆可以提供24電口/24光口/48電口三種方式。滿足各種形式接入組網(wǎng)的需求。4）完備的安全控制策略QuidwayS3900系列交換機基于最長匹配的路由策略。系統(tǒng)采用逐包轉(zhuǎn)發(fā)方式，保證了所有報文均獲得相同的轉(zhuǎn)發(fā)性能，對“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力，有效保證了設(shè)備安全。支持集中式MAC地址認證和802.1x認證。在用戶接入網(wǎng)絡時完成必要的身份認證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡。支持DUD(DisconnectUnauthorisedDevice)認證，通過MAC地址學習數(shù)目限制和MAC地址與端口綁定實現(xiàn)。支持用戶分級管理和口令保護，支持MAC地址學習數(shù)目限制、MAC地址與端口綁定、端口隔離、MAC地址黑洞；支持防止DoS攻擊功能。支持QoSProfile功能。和802.1x認證功能相結(jié)合，可以動態(tài)的為通過認證的用戶提供預先配置的一套QoS功能。用戶在經(jīng)過802.1x認證后，交換機根據(jù)AAA服務器上配置的用戶名和Profile的對應關(guān)系，將相應的Profile動態(tài)的下發(fā)到用戶登錄的端口上，為該用戶提供量身定做的一系列服務質(zhì)量保證。支持SSH特性。用戶通過一個不能保證安全的網(wǎng)絡環(huán)境遠程登錄到以太網(wǎng)交換機時，可以提供安全的信息保障和強大的認證功能，以保護交換機不受諸如IP地址欺詐、明文密碼截取等等攻擊。4）高可靠性QuidwayS3900系列交換機采用IRF技術(shù)組網(wǎng)后，能夠在整個堆疊組內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份，極大的增強了設(shè)備和網(wǎng)絡的可靠性，消除了單點故障，避免了業(yè)務中斷。同時QuidwayS3900系列交換機不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯能力，保證網(wǎng)絡的穩(wěn)定運行。支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機構(gòu)建VRRP備份組。構(gòu)建故障時的冗余路由拓樸結(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡穩(wěn)定。支持在設(shè)備上配置多條等價路由的方式實現(xiàn)上行路由的冗余備份，當主上行路由發(fā)生故障時自動切換到下一條備份路由，實現(xiàn)上行路由的多級備份。首次實現(xiàn)交流/直流雙輸入，設(shè)備既可以采用交流電源輸入，也可以直流電源輸入，二者之間熱備份。5）豐富的QoS策略Quidway?S3900系列交換機支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復雜流分類；支持1K個流規(guī)則。提供靈活的隊列調(diào)度算法，可以同時基于端口和隊列進行設(shè)置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、WFQ（WeightedFairQueue）、SP+WRR、SP+WFQ五種模式；支持8個優(yōu)先級隊列，2個丟棄優(yōu)先級；支持WRED擁塞避免算法。支持CAR（CommittedAccessRate）功能，可以實現(xiàn)基于端口和基于流的速率限制，限制的粒度可以精確至64Kbps，為網(wǎng)絡帶寬的精細化管理提供了手段。6）多樣的管理方式Quidway?S3900系列交換機支持SNMPV1/V2/V3，可支持OpenView等通用網(wǎng)管平臺，以及Quidview?、iManager?網(wǎng)管系統(tǒng)。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便。通過各種開放的標準MIB和擴展MIB的支持可以提供完善的基于SNMP的第三方管理能力。

網(wǎng)絡拓撲圖本系統(tǒng)的網(wǎng)絡系統(tǒng)拓撲圖如下：內(nèi)網(wǎng)拓撲圖

外網(wǎng)拓撲圖

網(wǎng)絡冗余設(shè)計為了實現(xiàn)有效合理利用網(wǎng)絡資源，保證系統(tǒng)高效、可靠、安全地支撐基于網(wǎng)上的所有辦公業(yè)務，在核心、會聚和接入網(wǎng)絡設(shè)備地設(shè)計全部考慮冗余備份，盡量減少單點故障，以提高本系統(tǒng)的冗錯和可靠性。內(nèi)、外網(wǎng)的網(wǎng)絡中心各配置兩臺雙引擎的核心路由交換機S8512，通過動態(tài)路由協(xié)議實現(xiàn)雙核心Active/Active配置，并實現(xiàn)網(wǎng)絡層的流量和負載均衡。內(nèi)、外網(wǎng)分別在1#、2#和3#樓內(nèi)各配置兩臺單引擎的匯聚設(shè)備S6506，同樣采用Active/Active配置，內(nèi)網(wǎng)的每臺S6506都采用雙千兆以太捆綁（GEC）鏈路分別上聯(lián)內(nèi)網(wǎng)的兩臺核心S8512，外網(wǎng)的每臺S6506都采用單千兆以太鏈路分別上聯(lián)外網(wǎng)的兩臺核心S8512，實現(xiàn)匯聚到核心的鏈路備份、流量和負載均衡。內(nèi)、外網(wǎng)在1#、2#和3#樓內(nèi)的接入交換機LS-3952-P/LS-3928-P都分別配置兩個上聯(lián)千兆模塊，保證每個接入交換機有兩條千兆鏈路分別上聯(lián)到本樓的兩臺匯聚設(shè)備S6506。當其中一個千兆接口或光纖鏈路發(fā)生故障，仍然不影響接入用戶的網(wǎng)絡連接。必要時這兩條上聯(lián)鏈路也可同時分擔網(wǎng)絡流量，實現(xiàn)負載均衡。所有的核心和匯聚路由交換機都配置冗余電源，保證供電質(zhì)量。路由規(guī)劃本系統(tǒng)的接入到匯聚、匯聚到核心的網(wǎng)絡鏈路全部為冗余設(shè)計，如果選用純數(shù)據(jù)鏈路層的生成樹協(xié)議（STP），為了保證所有的鏈路都提供數(shù)據(jù)傳送，需要做大量的手工配置STP參數(shù)的工作，而且靈活性極差，一旦網(wǎng)絡有細微調(diào)整將無法保證鏈路達到最優(yōu)的使用效率。如果選用三層路由連接方式，則能夠避免上述問題的發(fā)生。信息從源地址到達目的地址的過程稱為路由，路由有靜態(tài)路由和動態(tài)路由之分。靜態(tài)路由由管理員在各個網(wǎng)絡互聯(lián)設(shè)備中預先輸入路徑信息，路由表根據(jù)這些路徑信息來確定，靜態(tài)路由的網(wǎng)絡開銷小，可以人為控制網(wǎng)絡路徑，網(wǎng)絡系統(tǒng)安全性較好，但可管理性和靈活性稍差，容易導致環(huán)路產(chǎn)生。動態(tài)路由由各個網(wǎng)絡互聯(lián)設(shè)備根據(jù)某種協(xié)議或算法動態(tài)地交換路徑信息，建立自己的路由表，動態(tài)路由能自動感知網(wǎng)絡路徑的變化，網(wǎng)絡管理更方便，在本系統(tǒng)中使用動態(tài)路由所產(chǎn)生的額外網(wǎng)絡開銷也相對不大，因此本系統(tǒng)采用動態(tài)路由協(xié)議OSPF，將同時能夠自動計算并保證接入到匯聚、匯聚到核心的網(wǎng)絡鏈路的冗余設(shè)計和負載均衡。開放式最短路徑優(yōu)先（OpenShortestPathFirst，OSPF）協(xié)議是一種為IP網(wǎng)絡開發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由IETF開發(fā)并推薦使用。OSPF協(xié)議由三個子協(xié)議組成：Hello協(xié)議、交換協(xié)議和擴散協(xié)議。其中Hello協(xié)議負責檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫信息；擴散協(xié)議完成各路由器中路由數(shù)據(jù)庫的同步維護。OSPF協(xié)議具有以下優(yōu)點：OSPF能夠在自己的鏈路狀態(tài)數(shù)據(jù)庫內(nèi)表示整個網(wǎng)絡，這極大地減少了收斂時間，并且支持大型異構(gòu)網(wǎng)絡的互聯(lián)，提供了一個異構(gòu)網(wǎng)絡間通過同一種協(xié)議交換網(wǎng)絡信息的途徑，并且不容易出現(xiàn)錯誤的路由信息。OSPF支持通往相同目的的多重路徑。OSPF使用路由標簽區(qū)分不同的外部路由。OSPF支持路由驗證，只有互相通過路由驗證的路由器之間才能交換路由信息；并且可以對不同的區(qū)域定義不同的驗證方式，從而提高了網(wǎng)絡的安全性。OSPF支持費用相同的多條鏈路上的負載均衡。OSPF是一個非族類路由協(xié)議，路由信息不受跳數(shù)的限制，減少了因分級路由帶來的子網(wǎng)分離問題。OSPF支持VLSM和非族類路由查表，有利于網(wǎng)絡地址的有效管理。因此，采用OSPF路由協(xié)議，將兩臺核心路由交換機S8512與匯聚層的S6506路由交換機納入整個網(wǎng)絡的OSPF0區(qū)域中。如果需要可以在分布和匯聚層增加設(shè)置OSPF的其它Area。本系統(tǒng)的核心路由交換與匯聚設(shè)備間有多條冗余千兆（或捆綁）鏈路，可利用OSPF支持6條等值路由的負載均衡（Equal-costloadbalancinguptosixpaths）能力實現(xiàn)的鏈路備份和負載均衡。內(nèi)網(wǎng)路由規(guī)劃示意外網(wǎng)路由規(guī)劃示意應用VRRP技術(shù) 本設(shè)計方案中的內(nèi)、外網(wǎng)系統(tǒng)中1#、2#和3#樓各配置了兩臺匯聚交換機，所有接入交換機全部以千兆鏈路分別上聯(lián)各樓的這兩臺匯聚交換機。在這些匯聚交換機上啟用VRRP功能，可實現(xiàn)匯聚交換機之間的冗余備份和接入交換機上聯(lián)的負載均衡。"VRRP特性"是路由器冗余備份的協(xié)議，該特性由用戶通過命令行進行設(shè)置，通過路由器之間的備份功能，為網(wǎng)絡核心層、匯聚層設(shè)備提供更強大的安全冗余備份功能。在基于TCP/IP協(xié)議的網(wǎng)絡中，為了保證不直接物理連接的設(shè)備之間的通信，必須指定路由。目前常用的指定路由的方法有兩種：一種是通過路由協(xié)議（比如：內(nèi)部路由協(xié)議RIP和OSPF）動態(tài)學習；另一種是靜態(tài)配置。在每一個終端都運行動態(tài)路由協(xié)議是不現(xiàn)實的，大多客戶端操作系統(tǒng)平臺都不支持動態(tài)路由協(xié)議，即使支持也受到管理開銷、收斂度、安全性等許多問題的限制。因此普遍采用對終端IP設(shè)備靜態(tài)路由配置，一般是給終端設(shè)備指定一個或者多個默認網(wǎng)關(guān)(DefaultGateway)。靜態(tài)路由的方法簡化了網(wǎng)絡管理的復雜度和減輕了終端設(shè)備的通信開銷，但是它仍然有一個缺點：如果作為默認網(wǎng)關(guān)的路由器損壞，所有使用該網(wǎng)關(guān)為下一跳主機的通信必然要中斷。即便配置了多個默認網(wǎng)關(guān)，如不重新啟動終端設(shè)備，也不能切換到新的網(wǎng)關(guān)。采用虛擬路由冗余協(xié)議(VirtualRouterRedundancyProtocol，簡稱VRRP)可以很好的避免靜態(tài)指定網(wǎng)關(guān)的缺陷。在VRRP協(xié)議中，有兩組重要的概念：VRRP路由器和虛擬路由器，主控路由器和備份路由器。VRRP路由器是指運行VRRP的路由器，是物理實體，虛擬路由器是指VRRP協(xié)議創(chuàng)建的，是邏輯概念。一組VRRP路由器協(xié)同工作，共同構(gòu)成一臺虛擬路由器。該虛擬路由器對外表現(xiàn)為一個具有唯一固定IP地址和MAC地址的邏輯路由器。處于同一個VRRP組中的路由器具有兩種互斥的角色：主控路由器和備份路由器，一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或者多個處于備份角色的路由器。VRRP協(xié)議使用選擇策略從路由器組中選出一臺作為主控，負責ARP相應和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其它路由器作為備份的角色處于待命狀態(tài)。當由于某種原因主控路由器發(fā)生故障時，備份路由器能在幾秒鐘的時延后升級為主路由器。由于此切換非常迅速而且不用改變IP地址和MAC地址，故對終端使用者系統(tǒng)是透明的。上圖為VRRP冗余備份功能的典型組網(wǎng)方式。在主機上配置網(wǎng)關(guān)為，真實IP地址為和的兩臺路由器互為備份，一臺作為Master轉(zhuǎn)發(fā)主機的報文，另一臺在原來的Master設(shè)備故障的時候轉(zhuǎn)為Master狀態(tài)，保證網(wǎng)絡通信正常。一個VRRP路由器有唯一的標識：VRID，范圍為0—255。該路由器對外表現(xiàn)為唯一的虛擬MAC地址，地址的格式為00-00-5E-00-01-[VRID]。主控路由器負責對ARP請求用該MAC地址做應答。這樣，無論如何切換，保證給終端設(shè)備的是唯一一致的IP和MAC地址，減少了切換對終端設(shè)備的影響。VRRP控制報文只有一種：VRRP通告(advertisement)。它使用IP多播數(shù)據(jù)包進行封裝，組地址為8，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)。這保證了VRID在不同網(wǎng)絡中可以重復使用。為了減少網(wǎng)絡帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報文。備份路由器在連續(xù)三個通告間隔內(nèi)收不到VRRP或收到優(yōu)先級為0的通告后啟動新的一輪VRRP選舉。在VRRP路由器組中，按優(yōu)先級選舉主控路由器，VRRP協(xié)議中優(yōu)先級范圍是0—255。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則稱該虛擬路由器作VRRP組中的IP地址所有者；IP地址所有者自動具有最高優(yōu)先級：255。優(yōu)先級0一般用在IP地址所有者主動放棄主控者角色時使用?？膳渲玫膬?yōu)先級范圍為1—254。優(yōu)先級的配置原則可以依據(jù)鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設(shè)定。主控路由器的選舉中，高優(yōu)先級的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現(xiàn)。對于相同優(yōu)先級的候選路由器，按照IP地址大小順序選舉。VRRP還提供了優(yōu)先級搶占策略，如果配置了該策略，高優(yōu)先級的備份路由器便會剝奪當前低優(yōu)先級的主控路由器而成為新的主控路由器。為了保證VRRP協(xié)議的安全性，提供了兩種安全認證措施：明文認證和IP頭認證。明文認證方式要求：在加入一個VRRP路由器組時，必須同時提供相同的VRID和明文密碼。適合于避免在局域網(wǎng)內(nèi)的配置錯誤，但不能防止通過網(wǎng)絡監(jiān)聽方式獲得密碼。IP頭認證的方式提供了更高的安全性，能夠防止報文重放和修改等攻擊。綜上所述采用兩臺S6506匯聚交換機啟用VRRP協(xié)議可以對下聯(lián)的接入主機實現(xiàn)網(wǎng)關(guān)備份功能，各接入主機所屬VLAN的網(wǎng)關(guān)地址均可以設(shè)置為VRRP組的虛擬網(wǎng)關(guān)地址，在任意時刻主機只通過一臺S6506接入網(wǎng)絡，另外一臺S6506作為備份網(wǎng)關(guān)。另外，在S6506上可以開啟多組VRRP組，每一組的主設(shè)備與備份設(shè)備分別在兩臺S6506，同時對主設(shè)備、備份設(shè)備的選擇進行合理分配，使得一部分主機的主設(shè)備在第一臺S6506上而另一部分的主設(shè)備在第二臺S8512上，每個S6506既做部分主機的主網(wǎng)關(guān)設(shè)備同時也做其他主機的備份網(wǎng)關(guān)設(shè)備，從而既實現(xiàn)了主機接入的網(wǎng)關(guān)備份同時也實現(xiàn)了主機接入的負載均衡。VRRP的負載平衡方式如上圖所示，PC1，PC2配置網(wǎng)關(guān)為，PC3，PC4配置網(wǎng)關(guān)為。同時在RouterA和RouterB上面同時配置兩個備份組，虛擬IP地址分別為兩個網(wǎng)關(guān)地址，通過配置優(yōu)先級保證A和B各為組1，2的Master。在這個組網(wǎng)中，如果一臺路由器設(shè)備故障，另一臺可接替工作；同時，兩臺設(shè)備平均分配網(wǎng)絡負載。為了實現(xiàn)上述的兩臺匯聚交換機之間既負載分擔，又能做到互為備份的功能，我們建議將接入層用戶以VLAN為單位分為兩個組，一臺S6506相對于組1是Active的，相對于組2是Standby的，另一臺S6506作相反的設(shè)置。這樣即可實現(xiàn)兩臺核心交換機之間既互為備份，又能做到負載分擔。另，在二層，由于存在冗余鏈路，通過啟用STP