社区网络设计方案-

1、大型社区网络整合解决方案一、设计背景随着家用电脑的普及，更多的家庭已不再将电脑作为简洁、孤立的玩耍工具。人们更愿 意将自己的电脑变成网络中的一个信息节点，由此享受网络供应的丰富、便捷的功能。网上 购物、远程教育、远程医疗、多媒体效劳自然是家庭上网的推动力，但是，全部这一切的前提必需是网络的高速与稳定，如何结合目前国内社区楼宇的具体状况，实施合理的布线，成 为问题的关键。二、建立目标适应桌面计算机处理、I/O 力量大幅度提高的现状，发挥桌面机的网络性能，提高桌面机的访问带宽；适应联网规模大、总流量大的状况，合理分流流量，实现流量分流和把握；适应将来对高技术应用效劳器的特殊支持；能够向将来的高速网

2、络技术和不断推出新技术的应用过度；适应数据集中型应用的技术开展趋势，为Client/Server 数据构造、Browser/Server 型数据构造应用环境供应根底平台；增加网络系统运行的牢靠性，降低故障率，提高系统的可升级性、可管理性。三、需求分析环境描述网络掩盖大约 20000 户，开通用户大约 2000 户，全部为小区用户，没有公司用户，预算尽量把握在 50 万以内。小区用户已双绞线入户，经过各个单元的交换机连接到总点，以楼为单位用光猫传输，向上至各个总光节点通过光缆至机房。拓扑构造图构造设计及设备选型路由交换机在细致分析大型社区组网特点和应用需求之后，凭借多年在社区行业的深厚积累，华为

3、 3 推出一套完善的大型社区网解决方案。整个方案接受了标准的三层网络构造，实现了万兆上连，融合了业界领先的无线、VoIP 等技术进展.机敏组网，全面提升了整个网络体系的品质。在网络核心层，华为 3 选择最新的高性能的万兆核心路由交换机H3C-7500 担当网络骨干。作为一款核心交换设备，H3C-7500 交换机具有 352G 的超大背板容量，使得其全部端口均具备全线速交换力量，确保在巨大的网络负载下始终能够保持线速的其次层和第三层交换，是大型社区网骨干级核心路由交换机的抱负选择。H3C-7500 支持多种路由协议，如 RIP, OSPF, IPX-RIP, Apple Talk Routing

4、，保证了在不同的网络环境中机敏传递路由信息。H3C-7500 拥有 8 个开放式插槽，供应了丰富的接口类型，用户可以依据不同的网络应用机敏选择接入方式。H3C-7500 是真正基于分布式交换体系构造设计的，全部接口的传输数据均在本地进展交换处理，从而加快了数据传输的速率。DES- 6500 精彩的性能为大型社区实现高速网络通信供应了源源不断的充分动力。功能方面，H3C-7500 供应了丰富的 QoS 策略，不仅能够将各种网络任务进展分级处理，而且能够依据数据的不同类别实行不同的传输策略，加之基于硬件的 IGMP、GMRP、DVMRP、PIM DM/SM 等组播协议，为社区用户在线教学、VOD

5、视频点播等多媒体网络应用供应了充分的网络空间和最正确的网络速率。为了爱护社区网络安全，保障社区核心机房重要数据免遭非法侵害， H3C-7500 供应了多重的安全策略，包括基于 802.1Q 标准的 VLAN 动态划分， 用于把握网络流量的 IP 过滤功能等等，并全面支持 802.1x 标准，为学校带来全方位、多层次的安全爱护。由于用户上网时间相对集中，致使社区网某些时段网络流量巨大，对网络线路而言是一个很大考验，有鉴于此，H3C-7500 融合了 VRRP、生成树、端口聚合等标准链路冗余功能，而且供应可热插拔的容错模块和用于备份的冗余电源 ， 充 分 保 证 了 社 区 网 络 的 稳 定 运

6、 行 。LS-7506管理系统、识别：假如用户自身无法将应用类型进展精细化区分，便无法对网络流量进展精细化管理。随着互联网的开展，网络应用的类型也愈加简单，尤其是 P2P 技术的开展，以传统基于端口的方式来识别应用，已经力不从心，QQSG2000 系列产品接受先进的DPI 和 DFI 技术，可检测并识别上千种类型的流量，对国内软件的识别率高，目前可以识别 95%以上的 P2P 下载软件、P2P 视频流媒体软件、即时谈天软件、玩耍软件、v股票软件、VOIP 软件、特洛伊木马以及其它大局部的常用软件和应用协议。、分析: 有限带宽是如何消耗的？为什么关键应用的开展如此缓慢？谁使用的资源最多？这些都是

7、全部网络管理者关怀的问题。QQSG 可以对 27 层的网络流量进展分析统计，可评估带宽利用，网络管理者可以了解自己的网络带宽使用状况、用户活动状况、网络上运行的各种应用及其各自占用的网络带宽资源，为下一步制定把握策略供应依据。、把握：在全面把握网络流量状况的根底上，对网络状况进展管理也需要供应一个精细化的手段， QQSG2000 系列产品可以供应多种多样的策略手段，以对应用进展把握和爱护。为实现精确的流量整形效果，QQSG 系列产品接受了先进的三色令牌桶流量整形机制，使得流量的把握精度能精确到 1Kbps。、报表：以图形、表格的形式给出分析报告，可以查看最大1 年的历史网络流量状况，并且可依据

8、分析报告修改把握策略。、 透亮串接到网络中，系统本身不存在漏洞，能够抵挡常见安全攻击； 对网络中应用流量的识别率到达 90%以上；支持静态和动态两种带宽预留机制，动态带宽预留模式下，在没有到达预留带宽大小时，带宽可以被抢占；对网络流量把握粒度能精确到 1K； 每秒最大可以新建 70 万连接数。路由器独特高效的双总线构造H3C AR 46 系列路由器接受了独特的双总线体系构造，两条独立的PCI 总线以及高性能的CPU，协作自主学问产权的IP Turbo EngineTM 技术，极大的提高了系统转发性能。本着贴近客户需求的原那么，继AR 46 推出了双总线、单内核引擎的350kpps转发力量的主板

9、之后，为了进一步提升宽带业务性能而推出了双总线、双内核引擎的 1Mpps 转发力量的主板，转发性能远远高于业界同等档次的产品。AR 46 系列路由器的高性能是业务的高性能，在处理各种业务时转发性能不会消灭明显下降。考虑到用户将来的开展，AR 46 供应弹性极强的硬件平台，通过对主板的升级， H3CAR 46 系列路由器可供应高达 1Mpps 的业务性能，系统总线带宽为 2Gbps， 不断提升企业中心及大型行业应用环境的业务性能。增加的安全特性虚拟路由器VRF功能VRF 可以把一台路由器在规律上划分为多台虚拟的路由器，每台虚拟的路由器就象单独的一台路由器一样工作，有自己独立的路由表和相应的参与数

10、据转发的接口，并且彼此业务隔离。这从根本上解决了多种业务并存于一台物理设备且又需要隔离的问题，能够节省用户在设备及通信资源方面的投资。uRPF 单播反向路径查找Unicast Reverse Path ForwardinguRPF单播反向路径查找，主要功能是防范基于源地址哄骗的网络攻击行为。SSHv2SSH 弥补了Telnet 协议的缺乏，支持Password、RSA 验证方式，支持数据加密。SSH 客户端与效劳器端通讯时，加密用户名和口令，有效防范口令被窃听。同时SSH 效劳对传输的数据进展加密，保证了数据传输的安全性和牢靠性，使在不安全的网络上实现安全的远程访问成为可能。尤其是对 RSA

11、验证方式的支持，实现密钥的安全交换，最终实现了安全会话的全过程。DHCP 安全增加供应授权ARP 功能，确保只有DHCP server 安排的客户端上网。同时授权ARP 功能本身供应ARP 探测机制。可以确认用户是否在线并通知DHCP server。性能更高的硬件加密扣卡ENDE 加密扣卡是专用于AR 46 ERPU 上的主板内置扣卡，不占用路由器的接口模块插槽，加密性能比HNDE 加密卡更强。支持 VPE 功能VPEVPN PE是一种特殊的 PE，它和 CE 之间的连接方式不是接受传统的DDN/E1/ POS/ETH/PVC 等专线技术，而是接受IPSEC/L2TP/GRE/UDP VPN

12、等隧道技术。VPE 完成 IP VPN 与 MPLS VPN 的融合，在网络边缘实现网络资源的规律划分及安全隔离，核心网与边缘网络形成了一个整体，实现了端到端的VPN 功能。支持 H3C 动态VPN 功能DVPN 动态虚拟私有网络技术，通过动态猎取对端的信息建立VPN 连接，接受了Client 和 Server 的方式解决了网状网络模型中传统VPN 配置的N2 问题和动态IP 地址接入的问题。NAT 网段转换特性通过 NAT 网段转换功能，可以实现内部主机地址和公网地址的直接映射关系，允许外部主机对内部主机的访问。转换过程中只对网段地址进展转换，保持主机地址不变。NAT 网段转换功能可以对原有

13、的私有网络进展改造，实现两个地址重叠的私有网络的融合互通。双向 NAT 特性常规地址转换技术只转换报文的源地址或目的地址，而双向地址转换技术可以将报文的源地址和目的地址同时转换，该技术应用于内部网络主机地址重叠的情 况。双向 NAT 技术通过配置重叠地址池到临时地址的映射关系，将重叠地址转换为唯一的临时地址，来保证报文的正确转发。NAT 私网效劳器常规的NAT 隐蔽了内部网络的构造，具有“屏蔽内部主机的作用，但是在实际应用中，可能需要供应应外部一个访问内部主机的时机H3C 系列路由器的NAT 功能供应了内部效劳器功能供外部网络访问，公网和私网用户都能通过域名方式来 访问私网效劳器。NAT 连接

14、数把握在实际应用中，需要能够限制每个用户能够建立的最大NAT 连接数。例如计算机病毒同一源地址会扫描发起大量的TCP 连接，快速消耗路由器资源，导致路由器整机效率下降，影响其他用户应用。通过此特性可以把握用户对资源的占用状况。支持 Auto-detect 自动侦测特性可以检测到网络应用的目的地可达性，检测结果目的地 ICMP 可达或者不行达反应到与其联动的模块，如静态路由浮动备份、备份中心、VRRP，触发其相应的 主备切换动作。IPSec DPD实现 IPSec 与 VRRP 虚地址建立隧道的功能，当VRRP 备份组的MASTER 发生切换时，借助DPD 的快速检测，能使安全隧道快速恢复，扩展

15、和提高了IPSec 的备份方式，加强了强健性。强大的备份功能支持接口/子接口间的物理层备份，虚链路/虚模板/拨号接口/规律接口间的链路层备份，动态路由实现网络层备份、VRRP 实现设备层备份。模块热插拔接口模块支持热插拔，保证在接口模块升级/维护的过程中主机持续运行，大大缩短由于升级/维护造成的网络中断时间，供应业务永续的效劳。数据分析工具NetStreamNetStream 供应报文统计功能，它依据报文的目的IP 地址、源IP 地址、目的端口号、源端口号、协议号、ToS、输入/输出接口来区分流，并针对不同的流进展独立的数据统计。NetStream 的统计信息定期发送给NSCNetStream

16、 Collector，网络流数据收集器，由NSC 进一步处理后，交给NDANetStream Data Analyzer，网络流数据分析器进展数据分析、计费、网络规划等多种应用。协议性能测试工具HWPingHWPing 做为测量网络上运行的各种协议性能的一种工具，是对 ping 功能的增加。ping 功能只能使用ICMP 协议来测试数据包在本端和指定的目的端之间的来回时间，从而推断目的主机是否可达；然而HWPing 不但可以完成上面的功能，还可以探测DLSw、dhcp、FTP、HTTP、SNMP 效劳器是否翻开以及测试各种效劳的响应时间等。防火墙扩展性最强基于 H3C 先进的OAA 开放应用架

17、构，SecPath 防火墙能机敏扩展病毒防范、网络流量监控和SSL VPN 等硬件业务模块，实现 2-7 层的全面安全。强大的攻击防范力量能防备DoS/DDoS 攻击如 CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood 等、ARP 哄骗攻击、TCP 报文标志位不合法攻击、Large ICMP 报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑、MAC 绑定、内容过滤等先进功能。增加型状态安全过滤支持根底、扩展和基于接口的状态检测包过滤技术；支持H3C 特有ASPF 应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据

18、包，支持对应用层协议的状态监控。丰富的 VPN 特性集成 IPSec、L2TP、GRE 和 SSL 等多种成熟VPN 接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。应用层内容过滤可以有效的识别网络中各种P2P 模式的应用，并且对这些应用实行限流的把握措施，有效爱护网络带宽；支持过滤，供应SMTP 地址、标题、附件和内容过滤； 支持网页过滤，供应HTTP URL 和内容过滤。全面 NAT 应用支持供应多对一、多对多、静态网段、双向转换、Easy IP 和 DNS 映射等NAT 应用方式；支持多种应用协议正确穿越NAT，供应DNS、FTP、H.323、NBT 等 NAT ALG 功能。全面的认证效劳支持本地用户、RADIUS、TACACS 等认证方式，支持基于 PKI/CA 体系的数字证书X.509 格式认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赐予不同的管理配置权限。集中管理与审计供应各种日志功能、流量统计和分析功能、各种大事监控和统计功能、告警功能。四方案特点本系统完成后，可按楼宇号划分地址段，例如：1 号楼对应一个地址段，组成一个微 LAN，2 号楼对应一个地址段以此类推。核心交换机组成的双机热备，在系统故障时备机可以准时的恢复工作，保障社区网络的畅通。系统建成后，