高级路由课程网络设计方案

高级路由课程网络设计方案 1 概述 企业园区网络承载企业所有 础设施和企业所有上层软件应用，对一个企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视，传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中，还是在公司的咖啡厅、待客室，今天的用户都需要方便地获取各种网络服务。 一个典型的企业园区网络通常由楼宇办公网络、数据中心、 口、以将这四部分互联起来的主干网络组成，其中办公网络可分为有线网络和无线网络。在规划与建设一个企业园区网络的时候，这些部分都要充分考虑。 同时，企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问题，本企业园区网设计方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性，可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业园区网络。 2 企业网络建设设计原则 在网络建设项目中，我们应该遵循以下设计原则： 1) 合理性、整体性原则 系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的需求是系统建设的首要原则。 深入调研，全力做好网络与信息系统安全检测、监测和认证的需求分析，这是系统成败的关键； 充分考虑已有 资源（软硬件设备及人员）合理利用，避免出现不必要的浪费； 系统建设尽可能模拟国内外最常用的几种网络应用模式。 系统建设要有一定的前瞻性。在网络建成后的 3之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术 企业网络设计方案 _ 38 - 2 环境过于超前造成投资浪费。 2) 标准化原则 为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性，应建立一个开放的、遵循国际标准的网络系统。 建设的方案要科学、正确、严谨、且现实可行； 采用的先进技术应是成熟的、经过实践证明是成功的技术； 选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品 3) 先进性原则 系统建设应充分考虑网络通信技术和互联网技术的发展，建设是循序渐进的，初期重点应在网络基础环境和基本系统上： 系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境； 系统实现采用先进的网络技术、网络安全检测技术。 4) 安全可靠性原则 本系统具有特殊性，因此安全保密性非常复杂。系统要有极强的自我保护能力。 选用具有 全级或 全级的系统软件平台； 配置功能齐全、可视化程度高的网管系统，对网络运行情况进行实时监督和控制； 采取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。 5) 可管理性原则 随着网络规模的扩大和系统复杂程度的增加，网络的管理、监控和维护，以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护，本方案将提供先进而完善的网络管理系统。这样，即方便网络管理员的工作，减轻了劳动强度，也提高了网络系统的管理程度。 6) 灵活、可伸缩性原则 为适应因特网和互联网络技术的发展，系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外，在网络系统的设计过程中，还需要考虑整个网络系统在未来几年的扩充能力和扩 充办法。这样才能即照顾目前的应用需求，又能满足今后整个计算机系统的 企业网络设计方案 _ 38 - 3 发展需要。 应用软件设计要采用结构化和模块设计方法，使系统逻辑结构清晰、易读，在功能的划分和设计时，使各模块尽可能相对独立、减少相关性以易于扩充、维护和修改。 网络系统要具有异种设备的异种网络的互联互通能力，以达到保护已有资源并能与其他信息系统交流信息的目的。 7) 绿色节能原则 随着数据中心的不断壮大，数据中心的电费不断增长，目前，通信 /备节能是降低能耗的基础，采用底能耗的设备是节能减排最主要的途径。 3 网络设计解决方案 体架构设计 体网络架构 整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法，组网图如下所示： 网络架构 企业网络设计方案 _ 38 - 4 汇聚层交换机接入层交换机核心层交换机I n t e r n e 线网接入H S W 1 H S W 2行政部财务部整个网络的设计方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，通过模块化或者购买单独设备的方式，在汇聚层交换机，提供防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。 整个网络的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换 机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用 路保证链路级可靠性。 细网络解决方案 整个网络层次建议采用业界成熟的三层架构：接入、汇聚和核心，最后企业园区通过出口层网络设备（路由器或交换机）连接到外网通过。 这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。 心层网络设计 核心层交换机部署在园区核心机房中，汇聚各楼宇 /区域之间的用户流量，提供三层交换机功能，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性 企业网络设计方案 _ 38 - 5 和易扩展性等。对于园区网核心 层，应该在提供大容量、高性能 3 交换服务基础上，能够进一步融合了硬件 为园区构建融合业务的基础网络平台，进而帮助用户实现源整合的需求。 所以建议核心层采用双机冗余备份的方式构造，消除单点故障，设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用 10G 链路互联，达到高带宽、高转发性能的效果。 本次建议采用华为的 性能交换机构造核心层，实现高性能的骨干网络。华为持大容量、高转发性能，完全能够满足各网络的数据转发。 聚层网络设计 汇聚层交换机的重要性也是比较高的，一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为园区网的网关，终结园区网用户的二层流量，进行三层转发。当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关，能够承载校园园区融合业务的需求。 根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡器、 者旁挂独立的增值业务设备（如 式 ），为园区网用户提供增值业务。 汇聚层与核心层 共同组建成骨干网络，所以汇聚设备的性能要求也是比较高的，建议采用 10G 的链路互联，达到万兆骨干网络。 汇聚交换机需要提供高密度的 口，汇聚接入交换机的流量，通过 10口接到核心交换机，推荐使用 列交换机作为园区汇聚层交换机。 入层网络设计 接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（ 或服务器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机）。 提供网络的第一级接入功能，一般完成简单的二层交换，安全、 位于这一层。 企业网络设计方案 _ 38 - 6 对于园区网的接入层设备，建议采用千兆二层接入的方式，应该具有线速二层交换、 略等功能。 可靠性设计 络高可靠性设计 针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。 接入层网络是二层网络，接入交换机与汇聚交换机之间通过 证网络可靠性，同时解决二层网络环路问题；汇聚层交换机之间通过 议确定用户的主备网关，交换机互联通过 路，保证链路级可靠性。 核心层交换机及汇聚层交 换机之间分别通过 端口汇聚 是将多个端口聚合在一起形成 1个汇聚组，以实现出负荷在各成员端口中的分担，同时也提供了更高的连接可靠性。 端口汇聚 可将多物理连接当作一个单一的逻辑连接来处理，它允许两个 交换器 之间通过多个端口并行连接同时传输数据以提供更高的 带宽 、更大的吞吐量和可恢复性的技术。 一般来说，两个普通交换器连接的最大带宽取决于媒介的连接速度（ 100绞线为 200M），而使用 术可以将 4 个 200M 的端口捆绑后成为一个高达 800M 的连接。这一技术的优点是以较低的成本 通过捆绑 多端口 提高带宽，而其增加的开销只是连接用的普通五类网线和多占用的端口，它可以有效地提高 子网 的上行速度，从而消除网络访问中的瓶颈。另外 具有自动 带宽 平衡，即容错功能：即使 有一个连接存在时，仍然会工作，这无形中增加了 系统的可靠性 。 4 设备介绍 列交换机 列全千兆企业网交换机（以下简称 是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机。它基于新一代 高性能硬件和华为公司统一的 台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足客户对高密度千兆和万兆上行设备 企业网络设计方案 _ 38 - 7 的需求，同时针对企业网用户的园区网接入、汇聚、 兆接入以及千兆到桌面等多种应用场景，融合了可靠、安全、绿色环保等先进技术，采用简单便利的安装维护手段，帮助客户减轻网络规划、建设和维护的压力，助力企业搭建面向未来的 络。 产品特点 1) 强大的多业务支持能力 持 v1/v2/协议。 持线速的跨 播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足 持 能，实现了不同 户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。 2) 完备的高可靠保护机制 仅支持传统的 成树协议，还支持 增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质 量。此外，针对 提供多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。 持以太 能。在使用 后， 备可以通过 E 设备上。从而把链路可靠性从单板级提高到了设备级，大大增强了设备级的可靠性。从而实现了跨设备的链路聚合和链路负载分担功能。极大的提升了接入侧设备的可靠性。 持智能以太保护 一种专用于以太网链路 层的环网协议。适用于半环组网场景，部署时可独立于上层汇聚设备，并提供 50证业务的不中断。在华为设备上已经利用 议实现了以太网链路管理。 议简单可靠、倒换性能高、维护方便、拓扑灵活，可以大大方便用户进行网络的管理和规划。 持双电源冗余供电，也可以交、直流同时输入。用户可灵活选择单电源工作模式或者双电源工作模式，提高了设备可靠性。 企业网络设计方案 _ 38 - 8 I 系列支持 拟路由冗余协议，与其他三层交换机构建 份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性 和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一个备份路由上去，实现上行路由的多级备份。 持 路快速检测功能，能为 协议提供毫秒级检测机制，提高了网络可靠性。 循 供点到点以太网故障管理功能，可以用于检测用户侧最后一公里以太网直连链路上的故障。 3) 完备的 略和安全机制 列交换机可以基于五元组、 先级、 议类型、 型、 端口、 太网帧协议类型、 信息，实现复杂流分流功能，支持双向 5700 支持基于流的双速三色限速功能，每端口支持 8 个优先级队列，支持 P 多种队列调度算法，有效地保证了话音、视频和数据等网络业务质量。 列交换机提供多种安全保护功能。支持 防攻击、网络的防攻击、用户的防攻击等功能。其中 防攻击主要包括 络的防攻击主要是指 击。用户的防攻击涉及 冒攻击、中间人攻击、 击、 变 的 击等等。 持通过建立和维护 定表，侦听接入用户的 P 地址、租用期、 口等信息，解决 户的 端口跟踪定位问题。同时，对不符合绑定表项的非法报文（ 骗报文、擅自修改 址等）直接丢弃，有效防 止黑客或攻击者通过 文实施园区网常见的“中间人”攻击。利用 信任端口特性还可以保证 合法性。 持 项严格学习功能，可以防止因 骗攻击将交换机 项占满，导致正常用户无法上网。同时，支持 性，防止包括 骗、 P 欺骗在内的非法地址仿冒带来的 击。 持集中式 址认证和 证及 能，支持用户账号、 企业网络设计方案 _ 38 - 9 口、客户 端是否安装病毒防范等用户标识元素的动态或静态绑定，同时实现用户策略（ 动态下发。 持基于端口的源 址学习限制功能，有效防止用户源 骗冲击设备 项，导致正常用户无法学到 而泛洪的问题等。 4) 免维护易部署 持自动配置、即插即用、 局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。 持 1/3、 令行、 管、 群管理等多 样化的管理和维护方式，设备管理更加灵活。支持 日志主机、基于端口的流量统计，支持 络质量分析，有利于进一步作好网络规划和改造。 5) 性 列交换机可以通过配置不同功率等级的 源支持 能，即可通过网线向远端下挂 备（如 P、 P 等）提供 流电源，实现对下挂 备远端供电。作为供电方 备，支持 供电标准， 准的 备。其中 端口供电功率高达 30W。能提升了单端口的最大功率，实现了支持 准大功率应用的智能化功率管理，有效方便了客户的应用。同时支持绿色 电应用模式。 系列交换机支持完善的 决方案，用户可灵活配置 口是否供电以及何时供电。 6) 良好的可扩展性 列交换机支持智能堆叠 能，完全即插即用，插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障引起的业务中断时间。支持智能升级，排除用户给堆叠扩容时为新加入交换机更换软件版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展，单一 理，大大降低系统扩展以及运维的成本。与传统组网技术相比，在扩展性、可靠性、整体架构等性能方面均具有强大的优势。 7) 简单的可管理特性 企业网络设计方案 _ 38 - 10 持 现动态分发、注册和传播 性，从而达到减少网络管理员的手工配置量及保证 置正确的目的。 一种 动态配置技术，在复杂的组网环境中应用 够简化 置管理，减少因为配置不一致而导致的网络互通问题。 持 能。 供了一种在 端口间进行二层流量隔离的机制。采用两层 离技术，只有上层 局可见，下层 互隔离。 常用于企业内部网，客户端口可以同服务器端口通讯，但客户端口之间不能通讯。用来防止连接到某些接口或接口组的网 络设备之间的相互通信，但却允许与默认网关进行通信。 8) 丰富的 性 列交换机提供双协议栈，可平滑升级。硬件支持 栈和 道（包括手工 6三层线速转发。既可以用于纯 络，也可以用于 存的网络，组网方式灵活，充分满足当前网络从 渡的需求。 持 v1/v2/协议。 持线速的跨 播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足 持 能，实现了不同 户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。 列交换机 列以太网交换机 （简称 华为公司推出的集接入、汇聚和传送功能于一身的以太网交换机，满足企业网对多业务可靠接入和高质量传输的要求。 位于企业网接入和汇聚层，具有大 容量、高密度、高性价比的分组转发能力。借助 构建高可靠的环形网络拓扑，具有多业务接入能力、良好的扩展性、 强大的组播复制能力和运营级的安全性。 1）灵活的组网能力 企业网络设计方案 _ 38 - 11 供 10/100太网电接口、 10/100/1000太网电接口和100/1000太网光接口，支持 多种接口类型。对于千兆光纤连接， 供可插拔的 型光模块。光纤长度可以根据用户对传输距离的需求灵活选配。 以组成树状、星型和环状以太网。对于环状以太网， 供 除环路并提供快速保护倒换。 2）网络级 障 备完善的 制。 够智能感知业务，能够对 型 2 4 层信息进行流分类，根据流分类结果提供访问过滤、流量监管、队列调度策略，从而确保不同业务对差别服务的要求。 3）周 密的安全措施 障设备和数据传输的安全，有效的防止恶意用户对网络的攻击。 支持基于 址的过滤。 提供丰富的 略。提供“ 查表机制。 支持流量抑制。 供安全的用户登录操作保护。对登录用户提供口令保护，口令可加密功能。 通过配置用户级别和命令级别实现对命令的分级保护。 通过命令锁定当前配置终端，防止设备被非法使用。 对影响系统性能的重要命令，提供确认和提示。 供 能，在光纤连接断开时停止发送激 光，有效避免激光对用户的伤害。 4）便捷的操作维护 仅自身提供基于接口的流量统计功能，支持 络中 故障检测和定位技术。而且还能配合华为公司 络管理系统，提供丰富的性能监视、告警和快速的故障定位能力。 以完成对 监控配置，包括设备资源管理、拓扑管理、配置文件管理、多设备批量配置工具等。此外， 提供图表化形式对设备重要监控信息进行展示。 企业网络设计方案 _ 38 - 12 5 详细配置 网需求 如下图所示，各部门主机分别通过接入层交换机 入网络，然后通过双上行连接 接入核心层交换机 由于接入备份的需要，部署了冗余链路。冗余备份链路的存在导致出现环网，可能会引起广播风暴和 址表项被破坏。为了能够在存在冗余备份链路的同时消除网络中的环路，在一条上行链路断开的时候，流量能切换到另外一条上行链路转发，还能合理利用网络带宽。因此在网络中部署 决环路问题。 阻塞二层网络中的冗余链路，将网络修剪成树状，达到消除环路的目的。 同时在 配置 务部主机以 默认网关接入上一级网络， 为备份网关；其它部门主机以 默认网关接入上一级网络， 实现可靠性及流量的负载分担。并且为