社区网络设计方案.doc

大型社区网络整合解决方案一、设计背景 随着家用电脑的普及，更多的家庭已不再将电脑作为简单、孤立的游戏工具。人们更愿意将自己的电脑变成网络中的一个信息节点，由此享受网络提供的丰富、便捷的功能。网上购物、远程教育、远程医疗、多媒体服务自然是家庭上网的推动力，但是，所有这一切的前提必须是网络的高速与稳定，如何结合目前国内社区楼宇的具体情况，实施合理的布线，成为问题的关键。 二、建设目标 适应桌面计算机处理、I/O能力大幅度提高的现状，发挥桌面机的网络性能，提高桌面机的访问带宽； 适应联网规模大、总流量大的情况，合理分流流量，实现流量分流和控制； 适应将来对高技术应用服务器的特别支持； 能够向未来的高速网络技术和不断推出新技术的应用过度； 适应数据集中型应用的技术发展趋势，为Client/Server数据结构、Browser/Server型数据结构应用环境提供基础平台； 增加网络系统运行的可靠性，降低故障率，提高系统的可升级性、可管理性。三、需求分析3.1 环境描述 网络覆盖大约20000户，开通用户大约2000户，全部为小区用户，没有公司用户，预算尽量控制在50万以内。小区用户已双绞线入户，经过各个单元的交换机连接到总点，以楼为单位用光猫传输，向上至各个总光节点通过光缆至机房。3.2 拓扑结构图 3.3结构设计及设备选型3.3.1 路由交换机在细致分析大型社区组网特点和应用需求之后，凭借多年在社区行业的深厚积累，华为3COM推出一套完善的大型社区网解决方案。整个方案采用了标准的三层网络结构，实现了万兆上连，融合了业界领先的无线、VoIP等技术进行灵活组网，全面提升了整个网络体系的品质。在网络核心层，华为3COM选择最新的高性能的万兆核心路由交换机H3C-7500担当网络骨干。作为一款核心交换设备，H3C-7500交换机具有352G的超大背板容量，使得其所有端口均具备全线速交换能力，确保在巨大的网络负载下始终能够保持线速的第二层和第三层交换，是大型社区网骨干级核心路由交换机的理想选择。 H3C-7500支持多种路由协议，如RIP, OSPF, IPX-RIP, Apple Talk Routing，保证了在不同的网络环境中灵活传递路由信息。H3C-7500拥有8个开放式插槽，提供了丰富的接口类型，用户可以根据不同的网络应用灵活选择接入方式。H3C-7500是真正基于分布式交换体系结构设计的，所有接口的传输数据均在本地进行交换处理，从而加快了数据传输的速率。DES- 6500出色的性能为大型社区实现高速网络通信提供了源源不断的充足动力。功能方面，H3C-7500提供了丰富的QoS策略，不仅能够将各种网络任务进行分级处理，而且能够根据数据的不同类别采取不同的传输策略，加之基于硬件的IGMP、GMRP、DVMRP、PIM DM/SM等组播协议，为社区用户在线教学、VOD视频点播等多媒体网络应用提供了充足的网络空间和最佳的网络速率。 为了保护社区网络安全，保障社区核心机房重要数据免遭非法侵害，H3C-7500提供了多重的安全策略，包括基于802.1Q标准的VLAN动态划分，用于控制网络流量的 IP过滤功能等等，并全面支持802.1x标准，为学校带来全方位、多层次的安全保护。 由于用户上网时间相对集中，致使社区网某些时段网络流量巨大，对网络线路而言是一个很大考验，有鉴于此，H3C-7500融合了VRRP、生成树、端口聚合等标准链路冗余功能，而且提供可热插拔的容错模块和用于备份的冗余电源，充分保证了社区网络的稳定运行。 LS-75063.3.2 管理系统 、 识别：如果用户自身无法将应用类型进行精细化区分，便无法对网络流量进行精细化管理。随着互联网的发展，网络应用的类型也愈加复杂，尤其是P2P技术的发展，以传统基于端口的方式来识别应用，已经力不从心，QQSG2000系列产品采用先进的DPI和DFI技术，可检测并识别上千种类型的流量，对国内软件的识别率高，目前可以识别95%以上的P2P下载软件、P2P视频流媒体软件、即时聊天软件、游戏软件、股票软件、VOIP软件、特洛伊木马以及其它大部分的常用软件和应用协议。 、 分析: 有限带宽是如何消耗的？为什么关键应用的发展如此缓慢？谁使用的资源最多？这些都是所有网络管理者关心的问题。QQSG可以对27层的网络流量进行分析统计，可评估带宽利用，网络管理者可以了解自己的网络带宽使用情况、用户活动情况、网络上运行的各种应用及其各自占用的网络带宽资源，为下一步制定控制策略提供依据。 、 控制：在全面掌握网络流量状况的基础上，对网络状况进行管理也需要提供一个精细化的手段，QQSG2000系列产品可以提供多种多样的策略手段，以对应用进行控制和保护。为实现精确的流量整形效果，QQSG系列产品采用了先进的三色令牌桶流量整形机制，使得流量的控制精度能精确到1Kbps。、 报表：以图形、表格的形式给出分析报告，可以查看最大1年的历史网络流量情况，并且可根据分析报告修改控制策略。、 透明串接到网络中，系统本身不存在漏洞，能够抵御常见安全攻击；对网络中应用流量的识别率达到90%以上；支持静态和动态两种带宽预留机制，动态带宽预留模式下，在没有达到预留带宽大小时，带宽可以被抢占；对网络流量控制粒度能精确到1K；每秒最大可以新建70万连接数。 路由器 l 独特高效的双总线结构H3C AR 46系列路由器采用了独特的双总线体系结构，两条独立的PCI总线以及高性能的CPU，配合自主知识产权的IP Turbo EngineTM技术，极大的提高了系统转发性能。本着贴近客户需求的原则，继AR 46推出了双总线、单内核引擎的350kpps转发能力的主板之后，为了进一步提升宽带业务性能而推出了双总线、双内核引擎的1Mpps转发能力的主板，转发性能远远高于业界同等档次的产品。AR 46系列路由器的高性能是业务的高性能，在处理各种业务时转发性能不会出现明显下降。考虑到用户未来的发展，AR 46提供弹性极强的硬件平台，通过对主板的升级， H3C AR 46系列路由器可提供高达1Mpps的业务性能，系统总线带宽为2Gbps，不 断提升企业中心及大型行业应用环境的业务性能。l 增强的安全特性u 虚拟路由器（VRF）功能VRF可以把一台路由器在逻辑上划分为多台虚拟的路由器，每台虚拟的路由器就象单独的一台路由器一样工作，有自己独立的路由表和相应的参与数据转发的接口，并且彼此业务隔离。这从根本上解决了多种业务并存于一台物理设备且又需要隔离的问题，能够节省用户在设备及通信资源方面的投资。uuRPF单播反向路径查找Unicast Reverse Path Forwarding（uRPF）单播反向路径查找，主要功能是防范基于源地址欺骗的网络攻击行为。 uSSHv2SSH弥补了Telnet协议的不足，支持Password、RSA验证方式，支持数据加密。SSH客户端与服务器端通讯时，加密用户名和口令，有效防范口令被窃听。同时SSH服务对传输的数据进行加密，保证了数据传输的安全性和可靠性，使在不安全的网络上实现安全的远程访问成为可能。尤其是对RSA验证方式的支持，实现密钥的安全交换，最终实现了安全会话的全过程。 uDHCP安全增强提供授权ARP功能，确保只有DHCP server分配的客户端上网。同时授权ARP功能本身提供ARP 探测机制。可以确认用户是否在线并通知DHCP server。u性能更高的硬件加密扣卡ENDE加密扣卡是专用于AR 46 ERPU上的主板内置扣卡，不占用路由器的接口模块插槽，加密性能比HNDE加密卡更强。u支持VPE功能VPE（VPN PE）是一种特殊的PE，它和CE之间的连接方式不是采用传统的DDN/E1/ POS/ETH/PVC等专线技术，而是采用IPSEC/L2TP/GRE/UDP VPN等隧道技术。VPE完成IP VPN与MPLS VPN的融合，在网络边缘实现网络资源的逻辑划分及安全隔离，核心网与边缘网络形成了一个整体，实现了端到端的VPN功能。 u支持H3C动态VPN功能DVPN动态虚拟私有网络技术，通过动态获取对端的信息建立VPN连接，采用了Client和Server的方式解决了网状网络模型中传统VPN配置的N2问题和动态IP地址接入的问题。u NAT网段转换特性通过NAT网段转换功能，可以实现内部主机地址和公网地址的直接映射关系，允许外部主机对内部主机的访问。转换过程中只对网段地址进行转换，保持主机地址不变。NAT网段转换功能可以对原有的私有网络进行改造，实现两个地址重叠的私有网络的融合互通。u双向NAT特性常规地址转换技术只转换报文的源地址或目的地址，而双向地址转换技术可以将报文的源地址和目的地址同时转换，该技术应用于内部网络主机地址重叠的情况。双向NAT技术通过配置重叠地址池到临时地址的映射关系，将重叠地址转换为唯一的临时地址，来保证报文的正确转发。 uNAT私网服务器常规的NAT隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在实际应用中，可能需要提供给外部一个访问内部主机的机会H3C 系列路由器的NAT功能提供了内部服务器功能供外部网络访问，公网和私网用户都能通过域名方式来访问私网服务器。uNAT连接数控制在实际应用中，需要能够限制每个用户能够建立的最大NAT连接数。例如计算机病毒同一源地址会扫描发起大量的TCP连接，迅速消耗路由器资源，导致路由器整机效率下降，影响其他用户应用。通过此特性可以控制用户对资源的占用情况。u支持Auto-detect 自动侦测特性可以检测到网络应用的目的地可达性，检测结果（目的地ICMP可达或者不可达）反馈到与其联动的模块，如静态路由浮动备份、备份中心、VRRP，触发其相应的主备切换动作。uIPSec DPD实现IPSec与VRRP虚地址建立隧道的功能，当VRRP备份组的MASTER发生切换时，借助DPD的快速检测，能使安全隧道迅速恢复，扩展和提高了IPSec的备份方式，加强了健壮性。u强大的备份功能支持接口/子接口间的物理层备份，虚链路/虚模板/拨号接口/逻辑接口间的链路层备份，动态路由实现网络层备份、VRRP实现设备层备份。u模块热插拔接口模块支持热插拔，保证在接口模块升级/维护的过程中主机持续运行，大大缩短由于升级/维护造成的网络中断时间，提供业务永续的服务。u数据分析工具NetStreamNetStream提供报文统计功能，它根据报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS、输入/输出接口来区分流，并针对不同的流进行独立的数据统计。NetStream的统计信息定期发送给NSC（NetStream Collector，网络流数据收集器），由NSC进一步处理后，交给NDA（NetStream Data Analyzer，网络流数据分析器）进行数据分析、计费、网络规划等多种应用。u协议性能测试工具HWPingHWPing做为测量网络上运行的各种协议性能的一种工具，是对ping功能的增强。ping功能只能使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间，从而判断目的主机是否可达；然而HWPing 不但可以完成上面的功能，还可以探测DLSw、dhcp、FTP、HTTP、SNMP服务器是否打开以及测试各种服务的响应时间等。 防火墙u 扩展性最强基于H3C 先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块，实现2-7层的全面安全。u 强大的攻击防范能力能防御DoS/DDoS攻击（如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。u 增强型状态安全过滤支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。u 丰富的VPN特性集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。u 应用层内容过滤可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤。u 全面NAT应用支持提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。u 全面的认证服务支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有 不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。u 集中管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。四方案特点 4.1 本系统完成后，可按楼宇号划分地址段，（例如：1号楼对应一个地址段，组成一个微LAN，2号楼对应一个地址段以此类推）。 4.2 核心交换机组成的双机热备，在系统故障时备机可以及时的恢复工作，保障社区网络的畅通。 4.3 系统建成后，核心交换机实际上已经承担一个二级电信运营商的角色，配合QQ