3COM计算机网络系统设计和施工组织方案

.132-/NUMPAGES137目录TOC\o"1-3"\h\z1项目概况-1-1.1项目背景-1-1.2建设目标-1-1.3工程范围-1-1.4网络信息点位分布与数量表-1-2总体设计-3-2.1设计依据-3-2.2设计原则-3-3网络系统-5-3.1网络协议的选择-5-3.2网络技术选择-5-VLAN〔VirtualLANs-5-三层交换技术-6-VRRP-7-其它网络技术-8-3.3网络设计概要-8-3.4网络的分层设计-9-核心层-9-汇聚层-9-接入层-10-选用华为3COM的网络设备-10-网络规划-11-3.5网络拓扑图-24-3.6网络冗余设计-26-3.7路由规划-26-3.8应用VRRP技术-28-3.9选择组播协议-31-3.10VLAN规划-33-3.11IP地址分配原则-33-内网IP分配规划-34-外网IP分配规划-34-3.12本设计方案的特点-35-完全的分布式的处理方式-35-核心交换机先进的体系架构设计-35-基于流攻击的防止-35-QOS功能-35-广播风暴的抑止-36-高可用性保障-36-4网管管理系统-36-4.1网络管理的重要性-36-4.2管理系统的总体设计-37-4.3华为3Com网络管理解决方案-37-产品特点-37-典型组网应用-41-4.4用户的安全接入管理-41-5网络系统安全特性-42-5.1配置IDS-42-5.2网络病毒的诊断-42-5.3协议的安全性-42-应用服务协议的安全-42-路由协议的安全-43-网管SNMP的安全性-43-5.4网络设备的安全性-43-控制口console的控制-43-远程登录telnet的控制-44-5.5限制外网BT业务流量-44-5.6多元绑定技术的应用-47-网络安全特征-48-可用绑定技术规划高安全的网络-49-5.7防止对DHCP服务器的攻击-52-PrivateVLAN-52-访问控制列表-53-新的命令-53-5.8恶意用户追查-53-5.9防病毒攻击-53-防止DOS攻击-54-防止基于流的攻击特性-54-防止病毒的广播传递-55-6网络入侵检测-56-6.1入侵检测系统在外网网络的作用-56-在外网建设入侵检测系统的必要性-56-6.2本系统外网络入侵检测产品选型-59-网络入侵检测技术简介-59-网络入侵检测技术分析-60-网络入侵产品选型-62-6.3网络入侵检测产品部署-65-NetEyeIDS部署建议-65-NetEyeIDS的集中管理-66-NetEyeIDS的系统结构-67-NetEyeIDS的配置清单-67-6.4网络入侵检测产品扩展及建议-68-NetEyeIDS平滑扩展-68-NetEyeIDS安全联动-68-6.5NetEyeIDS优势介绍-69-7网络防病毒-72-7.1计算机病毒发展和入侵途径分析-72-计算机病毒的发展趋势-72-病毒入侵渠道分析-73-7.2本系统外网网络防病毒技术要求-74-7.3网络防病毒需求分析-76-7.4防病毒解决方案-78-设计思想-78-防病毒规划-79-部署产品-79-部署示意-79-部署防病毒系统实现的效果-80-7.5网络版防毒系统介绍-81-网络版产品简介-81-网络版系统需求-82-网络版部署方式-83-网络版管理方式-84-网络版升级方式-84-网络版功能特色-84-8设备安装场地及环境要求-92-8.1机房的选址建议要求-92-8.2机房的建筑建议要求-92-8.3网络设备工作环境的要求-93-温度和湿度要求-93-洁净度要求-94-防静电要求-94-电磁环境要求-95-防雷击要求-95-抗干扰要求-95-照明要求-96-9实施方案-97-9.1总体实施规划-97-9.2工程界面-98-9.3工程实施组织结构和分工-99-9.4项目实施计划编制和文档修改控制-100-9.5工程协调会和工程进度安排-102-9.6项目实施-107-安装准备-107-到货检查-107-设备安装检验-108-连通性和系统完整性测试-110-系统测试和验收-110-培训-110-实施总结-111-售后维护-111-过程监控-111-9.7项目质量保证计划-112-9.8工程文档-113-10验收方案-115-10.1验收的方法与步骤-115-10.2验收测试标准-115-10.3验收测试流程-115-10.4整体系统验收-116-10.5检测方法与目的-118-设备到货验收-118-初验收-122-系统终验-123-11培训方案-126-11.1培训目的-126-的培训优势-126-11.2华为3COM培训机构简介-129-培训理念-129-总体介绍-129-培训师资-130-课程设计-130-中高端路由器产品培训项目-133-11.3本项目培训计划-134-现场培训-134-国内技术培训-134-12质保和售后服务-140-12.1公司技术服务的优势-140-12.2公司的服务承诺-140-12.3华为3COM的服务承诺-141-技术服务-141-技术支持-142-备件以及设备维保-143-12.4趋势科技的售后服务-143-技术支持部分-143-自动升级服务-143-新版本更新权利-144-12.5服务体系简介-144-服务架构-144-服务范围及程度-146-.项目概况项目背景目前,XXX办公大楼改造已进入工程实施阶段,即将建成。届时1#、2#和3#楼将通过光纤链路和综合布线系统进行组网,实现的办公内部网络。为充分发挥XXX办公大楼的作用,有必要在楼内进行办公网络联网建设,实现真正意义上的内部网络连接,同时建设于内网完全物理隔离的办公外网,提高办公自动化程度,进一步加速和推进的信息化建设。通过与工程技术人员进行详细的技术交流并到办公大楼现场考察,在充分理解用户方需求的基础上,提出本设计方案。建设目标在XXX办公大楼综合布线系统的基础上,建立起联系3座办公楼内的所有单位内部办公网络和外部办公网络,集信息收集、传递、发布等多功能为一体,可用图、文、声、像等多媒体方式进行信息交互的专用办公内网。可以实现部属机关内部的互联互通、数据传输,使信息交互的实效性更加增强,提高可靠性和信息化办公程度,从而降低总体办公费用。工程范围本次网络工程范围是1#、2#、3#三栋办公楼,总建筑面积约为6500平米。每栋大楼均有两个独立的弱电竖井,本次改造要求内网、外网之间物理隔离,内网、外网由弱电竖井分别置各层。本大楼的功能定位对数据通信有较高的要求,因此垂直主干设12芯多模光缆,水平布线全面采用6类线缆。重点部分区域建议光纤到桌面。内网、外网网络机房均设在3#楼4层。网络信息点位分布与数量表1#2#3#楼网络信息点位分布与数量表楼号楼层网络信息点数量光网点内网点外网点1#1097548548F1384877F1883866F161281315F171241274F10981433F18901082F972921F86468地下1F044地下2F0782#731975201312F4373911F1018518810F102072109F61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地下1F0911地下2F047491#654835258F351557F1586886F51221275F513204F1752553F618262F7961011F71422地下1F055地下2F02626合计24732123392总体设计设计依据《信息化网络集成项目比选文件》；国内国际信息化建设相关标准和规范；政府、企业网络建设方面的丰富的经验。设计原则我们在进行总体设计和设备选型时遵循以下设计原则：可靠性高可靠性是大楼智能化的重要标准。采用先进的设计思想,提供连续的网络工作环境,系统应具有较强的自动纠错能力,合理的网络链路策略,确保系统7X24小时正常服务。扩展性随着业务发展,需求也会不断增长,因而对大楼网络系统要求有很高的扩展性。设计时应支持多种的系统标准,达到在各个系统上提供一些预留接口,使得在用户需要时,系统可以跨越现有的平台,增加新的功能,实现平滑的扩展。采用的技术和设备遵循相关国际、国内标准,能支持各种相应的接口和标准协议,具有兼容性、灵活性和可移植性。先进性和成熟性在对系统进行设计时,要符合当今技术发展方向,系统硬、软件的选择和系统的设计,采用符合当前技术和管理发展方向的先进性技术和思想。同时,确保设备和技术都是有成功应用先例的。使用被证明了是成熟的设备和技术,减少实施风险。安全性XXX办公大楼是国家政策、文件、信息的核心地。承担着极其重要的工作。系统安全性主要体现在防止来自外部对网络的攻击、侵扰、病毒。保证文件信息的不篡改不丢失。中选单位必须有中国信息安全评测认证中心的《信息安全服务资质标准》的信息安全服务资质认证。可维护性为确保投资的有效性和大楼的实用性,应针对功能特点选用设备和技术,并尽量简化系统配置步骤,使其容易得到维护和维修。网络系统本规划将从当前及未来一个时期内应用的实际出发,对信息管理系统的基础设施—网络系统进行规划设计,从而达到一个先进、高效、可靠、实用和便于维护、扩展性能较强的网络,为信息化提供稳定和功能强大的网络平台。网络协议的选择本网络系统以TCP/IP为主要协议。因为TCP/IP协议簇是目前众多计算机网络最流行的协议,以它为基础组建的Internet网是目前国际上规模最大的计算机网间网,采用TCP/IP为网络主要协议,可保证系统各部分网络保持一致。网络技术选择网络技术发展很快,新技术层出不穷,有的具有旺盛的生命力,如以太网技术；有的很快就被淘汰,如TokenRing、FDDI等。因此,就给用户投资带来一定的风险,如何把握网络发展的方向,选择合适的技术和产品非常重要。在本项目中,我们采用千兆以太网作为骨干网技术,同时,我们将采用一些其它的先进且成熟的网络技术,如VLAN、三层交换、虚拟路由器冗余协议〔VRRP,RFC2338、入侵检测〔IDS、服务质量〔QoS、组播〔MultiCast等,使整个网络具有优异的性能、良好的安全可靠性及未来的可扩展性。下面重点介绍几种先进实用的网络技术。VLAN〔VirtualLANs随着网络技术日新月异,L3,L4交换已经非常成熟。Internet中也越来越广泛地应用了交换技术,全交换网络已经非常普遍。在这些网络中,VLAN的使用是必不可少的。VLAN是一个根据作用、计划组、应用等进行逻辑划分的交换式网络。与用户的物理位置没有关系。举个例子来说,几个终端可能被组成一个部分,可能包括工程师或财务人员。当终端的实际物理位置比较相近,可以组成一个局域网〔LAN。如果他们在不同的建筑物中,就可以通过VLAN将他们聚合在一起。同一个VLAN中的端口可以接受VLAN中的广播包。但别的VLAN中的端口却接受不到。VLAN提供以下一些特性简化了终端的删除、增加、改动当一个终端从物理上移动到一个新的位置,它的特征可以从网络管理工作站通过SNMP或用户界面菜单中重新定义。而对于仅在同一个VLAN中移动的终端来说,它会保持以前定义的特征。在不同VLAN中移动的终端来说,终端可以获得新的VLAN定义。控制通讯活动VLAN可以由相同或不同的交换机端口组成。广播信息被限制在VLAN中。这个特征限定了只在VLAN中的端口才有广播、多播通讯。管理域〔managementdomain是一个仅有单一管理者的多个VLAN的集合。工作组和网络安全将网络划分不同的域可以增加安全性。VLAN可以限制广播域的用户数。控制VLAN的大小和组成可以控制广播域的相应特性。在VLAN中应用最广的就是GVRP和STP技术。它们是VLAN中优点的集中体现。三层交换技术现在,网络业界对"三层交换"这个词已经不感到陌生了,在中大型规模网络建设中,以千兆三层交换机为核心的主流网络模型已不胜枚举。其实,三层交换从其出现到今天的普及应用也不过几年的时间,计算机网络加速度式的迅猛发展势头,实在快得令人吃惊。"三层交换"概念的出现,与VLAN有着密不可分的联系。事实上,一个虚拟网就是逻辑上的子网。为了避免在大型交换机上进行广播所引起的广播风暴,可将其进一步划分为多个虚拟网。在一个虚拟网内,由一个工作站发出的信息,只能发送到具有相同虚拟网号的其他站点,而其他虚拟网的成员收不到这些信息或广播帧。由于网络变得越来越复杂,性能要求也越来越高,这就要求网管员能够成功地部署VLAN,从而使网络更加灵活而且易于管理。以往,网管员将3/4的时间花费在维护网络的基础结构,确保通信流量的优化,并处理移动和变更等工作。通常情况下,当一名用户转移到网络中另一个物理位置时,需要重新配置网络,甚至还有用户的工作站需要进行大量的管理工作。针对于此,VLAN的部署就是将通过减少管理网络中移动与变更所需的资源,从而实现为用户节约大量宝贵的资源。VLAN技术还可以在以下关键领域内为用户提供价值：比路由器更具有成本效益的广播控制,有效抑制广播风暴。支持多媒体应用与高效组播控制,提高网络带宽的有效利用率。提高网络的安全性,各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制。网络监督与管理的自动化,更多的有效的网络监控。减少路由需要,基于ASIC技术,大幅度提高设备的数据包转发能力。VLAN之间如何通信？简单回答就是"通过路由"。因此,这种技术也引发出一些新的问题：虚拟网之间通信是不允许的,这也包括地址解析<ARP>封包。要想通信,就需要用路由器桥接这些虚拟网,这就是虚拟网的问题：用交换机速度快但不能解决广播风暴问题,在交换机中采用虚拟网技术可以解决广播风暴问题,但又必须放置路由器来实现虚拟网之间的互通。在这种网络系统集成模式中,路由器是核心。过去的网络在一般情况下按"80/20分配"规则,即只有20%的流量是通过骨干路由器与中央服务器或企业网的其他部分进行通信,而80%的网络流量主要仍集中在不同的部门子网内。而今天,这个比例已经提高到了50%〔"平分秋色"甚至80%〔倒二八,20/80,这是因为今天的网络正在经历着诸多应用的集合影响。网络应用已经超越了组件和电子邮件,新型应用已经如此迅速和深刻地冲击着网络,比如,任何人通过任何一个浏览器便可进行访问设定的Web网页,支持诸如销售、服务和财务之类商业功能的数据仓库。这种变化对传统路由器产生了直接的冲击。因为传统的路由器更注重对多种介质类型和多种传输速度的支持,而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。路由器的高费用、低性能,使其成为网络的瓶颈。但由于网络间互连的需求,它又是不可缺少的并处于网络的核心位置,虽然也开发了高速路由器,但是由于其成本太高,仅用于Internet主干部分。在这种情况下,提出了三层交换技术。三层交换机是采用Intranet应用的关键,它将二层交换机和三层路由器两者的优势有机而智能化地结合成一个灵活的解决方案,可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性,不仅使二层与三层相互关联起来,而且还提供流量优先化处理、安全访问机制以及多种其它的灵活功能。三层交换机分为LAN接口层、二层交换矩阵层和三层交换矩阵〔路由控制层三部分。三层交换机的应用其实很简单,主要用途是代替传统路由器作为网络的核心。因此,凡是没有广域网连接需求,同时需要路由器的地方,都可以用三层交换机代替。在企业网中,一般会将三层交换机用在网络的核心层,用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。因为其网络结构相对简单,节点数相对较少。另外,其不需要较多的控制功能,并且要求成本较低。简单地说,三层交换技术就是：二层交换技术＋三层转发技术。它解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。VRRP当路由器功能出现故障时,VRRP〔虚拟路由器冗余协议,RFC2338通过同一个局域网中的另一台路由器来保障网络的正常运行。通过设置虚拟路由器为缺省路由器,终端用户在路由器发生故障时可以继续通信,而不必考虑转换到另一台路由器上。利用同一个以太网中的两台路由器设置一台虚拟路由器。在实际运行中,两台路由器中的任一台成为主路由器,该主路由器模拟虚拟路由器。备份路由器监控主由器状态。一旦主路由器出现故障影响网络运行,备份路由器立即进入主路由器状态以模拟虚拟路由器。IP地址被分配给虚拟路由器。指定虚拟路由器IP地址为缺省路由器的服务器将不会觉察主路由器的切换而继续进行正常通信。关于VRRP的详细设计和部署情况请参见后续章节。其它网络技术在本网络中,除了采用三层交换和VRRP技术,根据应用情况,还可采用组播〔Multicast、QoS和负载均衡等先进网络技术。全面支持MultiCast：选择设备全部支持MultiCast,主干设备支持DVMRP、PIM、IGMP、GARP组管理协议和多点发送、多点广播协议,充分适应网络特殊网络传输要求。一定的QoS保证：核心设备支持RSVP、CAR<CommittedAccessRate>以及可配置门限的多种队列采用WAED、WRR、业务类型/业务级别<ToS/CoS>映射机制,在满足基本要求前提下保持高性价比,也为多媒体应用提供了坚实地网络基础。负载均衡实现：在核心设备上通过设置不同的VLAN的优先级,可将所有的VLAN流量分担在各楼的两台汇聚设备上,通过两台汇聚设备的VRRP功能,实现网络层的负载均衡。也可根据未来网络扩展的需求,增加相关的专用负载均衡设备实现3-7层的负载均衡功能。网络设计概要XXX办公大楼内、外网网络系统项目的总体设计目标以高可靠性、高安全性、高性能、极好的可扩展性和有效的可管理性为原则,同时兼顾考虑到技术的成熟性、先进性和可扩充性,网络系统设计采用层次化、结构化的设计方法。根据对本系统网络需求的初步分析,确定办公内、外网网络采用多千兆链路捆绑,百兆到桌面的方案,本方案具有较好的性能价格比,整个网络采用分层设计技术,骨干为网络中心与1#、2#和3#楼之间的多千兆光纤线路,接入网为各终端节点的10/100M以太网接入线路。核心设备使用高端路由交换机,接入设备选用具备三层交换功能的接入交换机。各楼内采用虚拟网VLAN技术实现功能群的划分,VLAN可在汇聚设备上创建。利用统一的标准调整网络规划,避免可能的不兼容性,保证整个网络的统一架构。根据我们对网络系统需求的初步分析并结合本系统的特点,我公司提出一套基于华为3COM网络设备的解决方案,本方案具有较好的性能价格比,内网和外网全部采用分层设计,利用统一的标准调整网络扩容规划,避免可能的不兼容性,保证整个内、外网络的统一架构。网络的分层设计XXX办公大楼内、外网网络系统设计为两级网络,三级设备节点：以网络中心〔中心节点为中心,边界至1#、2#和3#楼〔汇聚节点的骨干网；以1#、2#和3#楼〔汇聚节点为中心,边界至同各配线间〔接入节点的接入网；本系统的办公内、外网拓扑为冗余树型结构,无汇聚与汇聚和接入与接入节点之间有物理直联的需求。因此所有汇聚节点之间的通信全部经过网络中心的核心路由交换机实现数据交换,比较容易对各楼之间的流量和访问控制进行有效控制。层次化设计的优点为：可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性：使网络容易升级到最新的技术,升级任意层次的网络不会对其它层次造成影响,无需改变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低,更易管理。核心层核心层为汇聚和接入层提供优化的数据输运功能,它是一个高速的路由交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中〔ACL,过滤等,否则会降低数据包的交换速度。内外网核心层设备各包括两台核心交换机。汇聚层汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。汇聚层主要提供地址的聚集、部门和工作组的接入、广播域/多目传输域的定义、InterVLAN路由、任何介质的转换和安全控制等功能。在内、外网中,1#、2#和3#办公楼各有2个汇聚层交换机,通过OSPF和VRRP实现设备和链路的冗余备份。接入层接入层直接为各接入用户提供的网络访问接入。本系统的接入设备选用支持802.1x功能的接入交换机。选用华为3COM的网络设备本项目中涉及的网络设备种类不多,但各设备类别具体需求各不相同,因此在选择设备厂商时,应考虑选择技术先进,产品线丰富,售后服务周到,且具有良好信誉的网络设备厂家。网络设备的选择原则如下：1．必须支持本系统目前以及未来涉及到的网络技术,如Trunking、VLAN/PVLAN、RoutingSwitch、ACL、QoS、Multicast及多种路由协议等；2．必须支持多协议下的局域网络互连；3．必须支持国际/国内网络技术标准,与不同厂商的网络安全产品有较好的互连性；4．必须支持SNMP网络管理协议；5．所选产品必须具有良好的发展前景,能适应未来网络技术的发展；支持向未来网络新技术的平滑过渡。6．所选网络设备必须能够在不影响性能的情况下实现平滑升级。7．所选网络设备必须要能够在网络中心利用网管软件进行统一网管。在当今网络设备的市场上,比较著名的厂商有华为3COM、Cisco、NORTELNetworks等。其中,华为3COM公司在政府、企业网络、住宅宽带产品、基于Internet协议的电话、以太网连接、网络服务供应商的远程接入与无线解决方案等领域都可提供高性价比的解决方案。因此我们在本项目网络设计中选用华为3COM公司的网络设备。核心设备：华为3COMQuidway®S8512S8512具有720Gbps的交换容量,背板为1.8Tbps〔可扩展至3.6T,多层硬件转发能力为428Mpps,完全满足本网络对核心路由交换的需求。另外,S8512未来还可顺利增加防火墙模板和IDS模板,以保证核心交换机的安全功能平滑升级,从而在网络核心层为提高内、外网络的安全性提供更丰富的解决方案。汇聚设备：华为3COMQuidway®S6506S6506具有384Gbps的交换容量,背板为1.6Tbps,完全满足本网络对汇聚路由交换的需求。接入设备：华为3COMQuidway®LS-3952-P/LS-3928-PLS-3952-P和LS-3928-P具有32Gbps的交换背板,多层硬件转发能力分别为13.2和9.6Mpps,完全满足本网络对接入交换机的需求。上述华为3COM的交换机都是具有较高性价比的产品,并且具有较大的扩展性。网络规划由于内外网的重要性,本次项目必须能够为用户提供不间断的网络服务,因此建议全网络采用全冗余结构〔设备冗余、线路冗余互连。内网设备统计见下表：内网楼号楼层数据点接入交换机<48口>接入交换机<24口>汇聚交换机核心交换机1号楼8F84227F8326F12835F12434F98213F9022F72111F642B1F4B2F71号楼小计754172202号楼12F371211F185410F207419F17348F207417F17346F17345F17344F18343F18342F12931F9631B1F9B2F472号楼小计1975433203号楼8F5111227F8626F12235F1314F52113F1812F9621F141B1F5B2F263号楼小计48310422合计321270962由于每接入交换机具备48或24个端口,因此接入层交换机数量可根据内网的每层设备间管理的信息点数计算得出,内网需配置70台48口和9台24口交换机。其中多余的端口作为备用端口。内网在1#、2#和3#楼各需配置2台单引擎的汇聚交换机。内网的2台核心交换机位于3#楼的4层,为了保证核心设备的高效稳定运行,减少核心设备宕机对网络产生重要影响,需配置冗余引擎。外网设备统计见下表：外网楼号楼层光网数据点接入交换机<48口>接入交换机<24口>汇聚交换机核心交换机1号楼8F1387227F188626F1613135F1712734F1014333F18108212F99221F8682B1F4B2F81号楼小计109854191202号楼12F4391211F10188410F10210419F617648F10210417F617646F617645F617644F618643F618642F113231F29831B1F11B2F492号楼小计732013433203号楼8F35511227F158826F512735F52014F1755113F62612F7101211F72211B1F5B2F263号楼小计6552511522合计247339273962由于每接入交换机具备48或24个端口,因此接入层交换机数量可根据外网的每层设备间管理的信息点数计算得出,外网需配置73台48口和9台24口交换机。其中多余的端口作为备用端口。外网在1#、2#和3#楼各需配置2台单引擎的汇聚交换机。外网的2台核心交换机位于3#楼的4层,为了保证核心设备的高效稳定运行,减少核心设备宕机对网络产生重要影响,需配置冗余引擎。另外,本系统外网在1#、2#和3#还有共247个光纤到桌面的信息点。鉴于光纤到桌面的特殊性和光网络流量集中管理,建议这些光网端口不配置接入层交换设备,而是直接联到汇聚层的千兆光端口交换模板上,由汇聚层交换机直接负责这些光纤到桌面的信息节点的接入和访问控制管理。Quidway®S8500系列核心交换机是由华为3Com公司自主开发的新一代高性能核心路由交换机产品,可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商IP城域网核心层、汇聚层。Quidway®S8500系列基于新一代核心交换机的设计理念,具备大容量高性能、可扩展能力强和业务与性能兼具的特点。Quidway®S8500系列支持新一代高性能接口,能够为城域网、园区网、数据中心提供超高速链路,构建端到端以太网络,打造低成本、高性能、具有丰富业务支持能力的高性能网络。Quidway®S8500提供大容量、高密度、模块化的二、三层线速转发性能,内置强劲的全分布式业务处理引擎,以全线速处理二层、三层、MPLSVPN、组播等各种业务流量,提供完善的QoS保障、安全管理机制和电信级的高可靠设计,满足大型IP网络对多业务、高可靠、大容量、模块化的需求。1>先进的体系结构Quidway®S8500系列产品采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查找,并通过Crossbar技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板,不单独占用设备槽位,可提供高达720Gbps的交换容量,并可平滑升级到1.44Tbps的交换容量。接口板通过多条高速总线分别连到两块主控板上的Crossbar交换网,从而实现真正的双主控、双交换网的热备份,极大的提高了系统的可靠性。Quidway®S8500系列产品采用高性能的最长匹配、逐包转发的方式,在保持线速性能和低成本的基础上,革命性的解决了传统交换机流Cache精确匹配转发的致命缺陷,能够有效的抗击网络"红色代码"、"冲击波"等病毒的攻击,更加适合大规模、多业务,复杂流量访问的网络。2>大容量、高密度线速交换Quidway®S8500系列产品目前最高可以提供720Gbps交换容量/428Mpps包转发能力,并可平滑升级到1.44Tbps交换容量、857Mpps转发能力。支持各种高密度业务板和组合业务板,整机可支持高达576个千兆端口的同时线速转发,满足核心层设备大容量、高密度的要求。3>强大的业务支撑能力Quidway®S8500支持MPLSVPN业务；支持丰富的组播协议〔IGMP、IGMPSNOOPING,PIM-SM、PIM-DM和MSDP/MBGP等；支持WebSwitch〔硬件支持、NAT〔硬件支持,内置防火墙〔硬件支持、IDS；支持POS/ATM、RPR等接口。4>MPLS/IPv6分布式线速支持Quidway®S8500系列产品遵循业务与性能并重的设计理念。一方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升,另一方面业务的发展要求核心交换机更加智能化并具备更强的业务提供能力。Quidway®S8500系列产品采用功能强大的ASIC芯片实现MPLS、IPv6的分布式线速转发,并能够基于高性能NP实现线速NAT、WebSwitch等增值业务,在为用户提供全面的有保障业务的同时,也做到根据需求业务可裁减。5>完善的QoS机制Quidway®S8500系列产品提供了灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式；支持8个优先级队列,3个丢弃优先级；支持WRED拥塞避免算法和端口流量整形。支持带宽控制功能,流量限速的粒度为1Kbit/s,满足精品宽带网络的要求。6>电信级可靠性设计：Quidway®S8500系列产品系统采用分布式结构,支持双主控交换板,无源背板设计,所有单板支持热插拔；电源系统交流/直流可选,采用1+1冗余热备份,并支持双路电源输入；支持STP/RSTP/MSTP协议和VRRP协议,能够满足苛刻的电信级网络可靠性要求,系统可靠性达到：99.999％。7>完善的安全机制：Quidway®S8500系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备安全,支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证；支持URPF〔单播反向路径检查；采用802.1x方式对接入用户进行认证,支持安全的SNMPv3的网管协议、支持配置安全,对登录用户进行认证,不同级别的用户有不同的配置权限,并提供两种用户认证方式：本地认证和RADIUS认证。Quidway®S8500系列产品通过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。支持多种ACL访问控制策略,能够对用户访问网络资源的权限进行设置,保证网络的受控访问。Quidway®S8500系列产品还支持标准Radius协议,同时提供Radius+功能,以及HCBM™〔华为可控组播管理协议功能支持。基于硬件支持的内置防火墙/IDS功能为核心交换设备安全组网提供了多样化的选择,简化了网络层次,提高了整网性能。Quidway®S8500系列产品可与华为3ComSecEngineD系列IDS设备实现线速安全联动,采用标准的SNMPv2/v3作为联动协议的承载协议,根据不同的攻击事件行为,使联动交换机产生下述不同的ACL对数据流进行阻断：可以对单一主机发起的所有流、单一主机特定端口发起的流、单一主机接收的所有流、单一主机特定端口的接收流、指定网络发起的所有流、指定网络接收的所有数据流或明确的五元组流<源和目的IP地址和端口和协议>进行阻断,为用户建立起立体的安全网络。随着Internet从科研向商业应用的转变,网络用户迅猛增加,各种类型的应用〔包括文件传送、Web浏览、局域网互联、视频/音频会议、IP电话以及其它实时多媒体业务共存在一个物理网络上,网络节点的处理能力、QoS保障和网络带宽逐渐成为Internet继续发展的主要障碍。随着光传输技术的发展,尤其DWDM的出现,传输带宽不再成为网络的瓶颈,而网络交换节点的处理能力显得尤为重要。为了满足IP网络新变化,G比特路由器〔GSR和T比特路由器〔TSR应运而生,这些高端路由器采用大容量交换结构和硬件高速转发技术,大大提高了报文转发速度；作为这些设备交换核心的网络处理器〔NetworkProcessor技术也得到了迅猛的发展和应用。那么,什么是网络处理器呢？根据国际网络处理器大会〔NetworkProcessorsConference的定义：网络处理器是一种可编程器件,它特定的应用于通信领域的各种任务,比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、QOS。网络处理器的使用者是研制路由器、交换机、HUB、服务器、网络接口卡、VPN和网桥设备的通信设备制造商。目前生产网络处理器的公司有很多,大公司有Intel、Agere〔Lucent的微电子部、摩托罗拉、IBM、InfineonTechnologies〔以前西门子的微电子部；小一点的公司有MMCNetworks、EzchipTechnologies、SiTera、SolidumSystems、T-Sqware、XstreamLogic等。网络处理器目前的应用主要集中在数据通信网络的中高端设备上,和以前的CPU软件转发、FPGA实现转发、ASIC实现转发相比,它有以下特点或优点：1、性能高很多算法都用硬件实现,内部一般都集成了几个甚至几十个转发微引擎〔CPU和硬件协处理器、硬件加速器,在实现复杂的拥塞管理、队列调度、流分类和QOS功能的前提下,还可以达到很高的查找、转发性能,实现所谓的"硬转发"。目前已经投入商用的有支持2.5GPOS口的NP、支持10GPOS的NP、支持40GPOS口的NP。2、可以进行灵活的功能扩展由于可以进行编程,一旦有新的技术或者需求出现,可以很方便的通过软件编程进行实现,系统的功能可以通过软件模块方便的添加删除。所以对于特殊的用户需求,可以进行定制开发,即可以在短时间内通过模块删减开发能满足不同用户需求的产品。而以前用FPGA实现的情况下,需要修改管脚功能,重新调试升级,而且大多情况下其它硬件设计也要改动,为系统可靠性带来很大隐患。用ASIC实现的情况下,无法对新的功能进行添加,只能重新设计,更新芯片。在开发时间上,按照业界的经验数字,软件开发时间一般为6个月,而用FPGA实现的时间为18个月,用ASIC实现的时间更长,通常需要2~3年的时间,随着网络处理器使用C语言编程的推进,开发周期变的将会更短。所以NP具有更灵活的扩展能力。3、可靠性高由于大部分功能都使用一个或者两个芯片实现,芯片转产前都经过了严格的测试和各种抗干扰和破坏性试验,从而使使用NP的系统的可靠性大大提高。所以NP特别适合用于开发电信级数据通信产品。4、丰富的流分类、拥塞管理、队列调度和QOS功能大多数NP都使用硬件的并行操作,实现了业界流行的各种算法,为使用NP的设备提供了丰富和强大的QOS功能。很多以前用软件实现时无法保证性能的复杂QOS功能,在使用了NP之后,可以很容易的得到实现,并且对性能基本没有影响。5、管理、开发方便NP都提供了和上层CPU标准的接口或者内置管理CPU,可以和其它CPU实现高速通讯。NP一般都提供了大量硬件计数器,可以方便的实现各种MIB统计功能,为网管提供支持。NP一般都提供了编译系统和软件样例,而且目前主流的NP都提供软件仿真开发平台,可以进行离线开发和验证,甚至可以用仿真平台将软件的效率仿真到Cycle级；在在线调试时有单步跟踪、设置断点等手段,可以使设备开发商在较短时间内开发出适合产品需要的软件。6、可以实现灵活组态NP作为一个器件,都提供了灵活的配置功能,可以通过NP的不同形式组合或者和其它CPU的组合,实现系统的灵活配置,满足不同设备的需求,方便了系统设计,加快了设备的开发进度。本项目内、外网的汇聚交换机S6506全部选用第三代交换容量为384Gbps的引擎。楼号内网外网汇聚交换机汇聚上联端口汇聚交换机汇聚上联端口光口1号楼28241092号楼2824733号楼282465合计：624612247考虑到内网不同办公楼内用户之间互访的流量较大,因此在内网的汇聚交换机上联采用双GE捆绑到核心交换机,6台汇聚共需24个上联千兆端口,因此每台内网核心交换机需要12个千兆端口用于汇聚设备的连接。而外网用户访问公网的流量相对较大,不同楼宇间的用户互访的需求较少,因此外网核心与汇聚设备互联采用单千兆联路,即每台汇聚交换机有两条千兆链路分别上联到外网的核心交换机上,每台外网核心交换机需要有6个千兆端口用于下联汇聚交换机。由于外网还有247个光纤到桌面的端口需要全部直连到汇聚交换机,因此6台汇聚交换机需要增配20个光端口的模板和若干多模千兆光纤接口模块,数量如下：楼号设备名称数量1号楼20个光端口模板6多模光纤接口模块1092号楼20个光端口模板4多模光纤接口模块733号楼20个光端口模板4多模光纤接口模块65Quidway®S6500系列高端多业务路由交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品,主要作为企业的核心交换机或城域网汇聚层交换机。该系列产品包括S6502〔2槽,S6503〔4槽,S6506〔7槽,S6506R〔8槽。Quidway®S6500能够为城域网、园区网、数据中心提供超高速链路,打造低成本、高性能、具有丰富业务支持能力的高性能网络。Quidway®S6500提供大容量、高密度、模块化的二、三层线速转发性能,同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计,完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。Quidway®S6500系列高端多业务交换机的特点可以用一句话来概括："多快好省、高而不贵"。"多"：产品系列多、引擎规格多、接口板类型多。有利于简化网络结构,降低建网成本。产品系列多：S6500系列包括S6502〔2槽,S6503〔4槽,S6506〔7槽,S6506R<8槽>。产品设计采用开放式的体系结构、统一的硬件平台、完全兼容的引擎和接口板、相同的软件版本、以及系列化机箱。S6500还可以支持POE〔PowerOverEthernet特性,提供支持POE功能的系列机箱和单板,能够实现向远端受电设备〔IP电话、WLAN无线接入点等进行以太网远端供电。引擎规格多：基于新一代ASIC技术的Salience™系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起,是组建高可靠、低时延的核心网络的重要保障。S6500提供系列化的引擎,可以根据用户的需求在系列化机箱上进行灵活配置。iSalience™I〔交换容量32GbpsSalience™I〔交换容量64GbpsSalience™II〔交换容量64GbpsSalience™III96G〔交换容量96GbpsSalience™III384G〔交换容量384Gbps接口板类型多：提供百兆、千兆、万兆等各种类型的以太网接口；提供100m-100km快：采用先进体系结构设计,交换容量高达768G,支持新一代线速接口,提供网络高性能。先进的体系结构：S6500采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查找,并通过Crossbar技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板,不再单独占用设备槽位,可提供高达768G的交换容量。高密度二、三层全线速接口：S6500系列推出SalienceIII系列交换引擎,最大交换容量为768Gbps,在满配时S6500最大可提供288GE或288FE。万兆接口支持：S6500提供的新一代万兆以太网在线速转发的基础上能够提供强大的QoS保障,并支持丰富的ACL、策略路由、安全等特性。S6500支持高密度万兆设计,每块业务板可以提供1－4个万兆接口。好：支持强大的QoS能力和精细化用户管理,高可靠、高安全设计,采用智能业务扩展模块可以实现灵活的智能化业务能力。强大的QoS能力和精细化用户管理：每端口支持8个硬件队列,带宽控制粒度可达64Kbps；强大的用户管理、认证计费功能支持；支持CAMS™〔综合访问控制管理服务器系统,提供专业用户管理、计费解决方案；内置IEEE802.1x认证服务器功能。内置DHCPSERVER功能。运营级可靠性设计：系统采用分布式结构；S6506R支持双主控板；S6500系列所有单板支持热插拔；电源系统采用N+1冗余热备份；支持STP/RSTP/MSTP协议和VRRP协议,能够满足苛刻的电信级网络可靠性要求；支持双路电源供电。完善的安全机制：支持标准Radius协议,同时提供Radius+功能；支持TACAS+协议；HCBM™〔华为可控组播管理协议功能支持；保证对用户的精确认证。支持SSHV1/2。基于最长匹配的路由方式,保证了所有报文均获得相同的转发性能,对"红码病毒"和"冲击波病毒"的攻击具有天生的防御能力。智能业务扩展：能够提供高速的NAT数据流转发,支持动态NAT功能、动态NAPT功能、ALG功能、多ISP支持、EasyIP支持、NAT黑名单、内部服务器功能、NAT策略和NAT日志等功能。支持基于ACL的策略路由。支持NetStream功能,能够对通过交换机的网络流量进行精细化统计。省：极高的性价比,为客户量身打造,总有一款适合您；性能、业务可平滑扩展升级,保护用户投资。无与伦比的性能价格比：S6500提供系列化机箱和系列化超级引擎,可以根据不同组网需要进行灵活配置；S6500提供多种高密度百兆、千兆、万兆接口板,有效简化网络结构、降低建网成本；S6502无需专门的主控交换引擎,主控交换功能内置于接口板内部,进一步降低建网成本。强大的扩展性能：S6500具有强大的性能和业务扩展能力；背板带宽高达1.6Tbps；采用智能业务扩展模块可以实现灵活的智能化业务能力,如NAT/MPLS/WebSwitch/NetStream/IPv6等高级业务特性,从而有效保障用户的投资。内网楼号楼层接入交换机<48口>接入交换机<24口>接入上联端口1号楼8F247F246F365F364F2163F242F1141F24B1FB2F1号楼小计172382号楼12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2号楼小计433923号楼8F1147F246F365F124F1143F122F241F12B1FB2F3号楼小计10428合计：709158由于每台接入交换机都有2个千兆光纤端口分别上联到汇聚交换机,因此内网的70台LS-3952-P和9台LS-3928-P共需要158个