大学校园网建设技术建议书

XXXXX大学校园网建设

技术建议书

华为acorn

华为3com技术有限公司

2005年3月

目录

1.概述...................................................................5

L1校园网建设背景......................................................5

1.2XXXXX大学校园网建网需求分析.......................................6

1.2.1一般建网需求.................................................6

1.2.2XXXXX大学建网需求...........................................7

XXXXX大学的用户需求请自行添加。....................................7

1.3整体建网原则.......................................................8

2.总体网络设计...........................................................10

2.1核心改造组网描述..................................................10

2.2网络层次介绍：....................................................11

3.网络业务设计...........................................................14

3.1地址分配解决方式的选择............................................14

3.2S5600汇聚层交换机万兆的支持.....................................14

3.3华为XXXXX大学解决方案特点：.....................................15

3.3.1完全的分布式的处理方式.......................................15

3.3.2良好的互通性.................................................16

3.3.3核心交换机先进的体系架构设计...............................16

3.3.4基于流攻击的防止。...........................................16

3.3.5汇聚层强大的IRF扩展性能.....................................16

3.3.6高可靠性汇聚层组网架构：...................................25

3.3.7E系列接入层交换机...........................................26

3.3.6Q0S功能......................................................27

3.3.7广播风暴的抑止..............................................28

3.3.8组播业务......................................................28

3.4XXXXX大学IPv6网络设计..........................................29

3.4.1IPv6的优势.................................................29

3.4.2整体设计.....................................................30

3.4.3IPv6运行模式设计.............................................31

3.5网管解决方案......................................................34

4.XXXXX大学用户管理及安全方案..........................................38

4.1校园网用户认证管理需求分析.......................................38

4.2校园网用户管理认证方案概述.......................................39

4.3业务认证、授权管理描述............................................39

4.3.1认证选择设计一802.IX........................................39

4.4CAMS对用户上网认证的管理........................................43

4.4.1用户需求分析.................................................43

4.4.2CAMS解决方案................................................43

4.4.3业务认证流程.................................................56

4.4管理方案的坚定执行者：E050、E026智能交换机.....................58

4.4.1端口+IP+MAC地址的绑定：..................................58

4.4.2接入层防Proxy的功能........................................58

4.4.3MAC地址盗用的防止..........................................59

4.4.4MAC地址反查，防攻击特性....................................59

4.5GUESTVLAN实现用户客户端的安全下载...............................59

5.核心网安全设计.........................................................61

5.1校园网BT业务限流量的解决方案....................................61

5.2多元绑定技术对XXXXX大学安全的应用...............................66

5.2.1校园网的安全特征：...........................................66

5.2.2绑定技术为XXXXX大学规划高安全的校园网。...................68

5.3、防止对DHCP服务器的攻击.........................................72

5.3.1PrivateVLAN..................................................72

5.3.2访问控制列表..................................................72

5.3.3新的命令......................................................73

5.4、恶意用户追查......................................................73

5.5防病毒攻击........................................................73

5.6EAD全网安全联动解决方案..........................................74

5.7网络管理安全设计...................................................76

5.8组网安全性设计.....................................................79

5.9出口运营商线路备份.................................................80

6.组网核心设备介绍.....................................................81

6.1QUIDWAY"S8500系列万兆核心路由交换机..............................81

6.2QITDWAY®S6500系列高端多业务交换机................................87

6.3服务器群万兆汇聚交换机S5600....................................92

6.4QLIDWAY®E系列教育网以太网交换机.................................96

6.5QLIDWAY®S3026C-PWR智能型以太网供电交换机......................104

6.6QUIDWAY®NETENGINE40系列通用交换路由器(USR).....................108

6.7网管系统QUIDVIEW..................................................113

7.华为3coM公司售后保障体系..........................................119

7.1两小时厂家上门服务...............................................119

7.2服务组织结构.....................................................119

7.3服务及时性保障...................................................121

7.4服务有效性保障...................................................122

7.4.17X24小时热线技术支持电话.................................122

7.4.2区域技术支持平台............................................122

7.4.3网上问题处理系统............................................123

7.4.4完善的实验平台..............................................123

7.4.5高效快捷的备件系统..........................................123

7.4.6技术支持网站与技术支持论坛..................................124

7.4.7完备的技术支持资料开发系统..................................124

8.华为3C0M认证培训体系介绍...........................................125

9.部分教育行业用户名单及案例.........................................130

多业务高带宽解决方案一清华大学美术学院...............................132

校园网高性能、综合管理解决方案一北京邮电大学.........................133

深度业务检测解决方案一北京外国语大学.................................134

高性能、高稳定、多级分层网络解决方案——江南大学校园网..............135

两校区大流量互联解决方案——安徽大学.................................136

高可靠性校园环形网一广东工业大学.....................................137

多业务、新技术融合一兰州理工大学数字化校园网.........................138

多校区互联、高带宽解决方案一山东大学校园网...........................139

下一代高性能互联网骨干解决方案一CERNET2骨干网建设...................140

高性能、高带宽、高稳定巨型核心网解决方案一广州大学城主干网........141

多校区、环形核心、超大校园网解决方案一浙江大学校园网................142

1.概述

L1校园网建设背景

2004年7月20日，中国互联网络信息中心(CNNIC)在京发布“第十四次中国互联

网络发展状况统计报告”。报告显示，截止到2004年6月30日，我国上网用户总数

为8700万，比去年同期增长27.9%,上网计算机达到3630万台。网络国际出口带宽

增长飞速，总数达到53.9G,比去年同期增长190.3%。CN下注册的域名数、网站数分

别达到38万和62.7万。8700万网民当中，教育的用户占有12.5%,教育用户当中绝

大部分的网民主体是来自于学生用户，报告中主要数据说明，前十年的发展取得丰硕

成果，我国互联网事业正在持续快速的发展，并在普及应用上进入崭新的多元化应用

阶段！互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。同时,

随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而

校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。在信息化的建

设过程中，它的作用体现在如下几个方面：

1、校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容

是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须

给他们提供一个实践的环境，这个环境离不开校园网。

2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校

园网是学校进行教学改革、推行素质教育的一种必不可少的工具。

3、校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在

校园网上。

4、校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是

学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树

立学校的形象都是很容易的。

教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教

学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具

备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技

术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，

并将全身心地为之努力。

1.2XXXXX大学校园网建网需求分析

1.2.1一般建网需求

XXXXX大学的网络的建设主要是对于原校园网络的改造，改变原有校园网的带宽

较小、性能低等原因。在实际的建设过程当中，应当充分考虑到学校内部的校园网多

业务以及特色业务等扩展性，如：校园网内部的服务器的访问，由于学生的访问的内

容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此

处主要分析XXXXX大学网络基础设施建设和网络运营方面相关的内容。XXXXX大学校

园网络建设从网络流量模型上看和企业网的流量模型相似，用户集中而网络流量大，

但实际应用上还存在许多和企业网不同的地方。主要特点如下：

1、多出口的需求：

典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口。多出口带

来了以下两个需求：

1)多权限ISP需求。用户可通过不同的账号名或采用相同的账号，不同的域

名认证，获得不同的上网权限。譬如做到用户不认证前能自由访问校园内

部分服务器，采用“user@163”登录，可实现Internet和校园网络自由

访问，采用“user@crenet”登录，可访问CERNET和校园网。用户域名选

择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。

2)多ISP分别计费的需求，对应不同的ISP,计费策略不一致。

考虑到用户的以上的需求，需要在学校的内部提供不同的路由策略，即用

户访问教育网的相关站点，通过CERNET的线路，而访问其他的网站如：新浪

网、263等网站则选择运营商的线路作为出口路由，这要求核心的交换机或

出口路由器能够提供策略路由以支持该特性。

2、用户管理的需求:

1）使用方便，存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP

选择、W用户费率查询、带宽动态调整（隐性需求）、多WEB界面（隐性需

求）等。

2）需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。

3）能够实现全网的安全管理，包括：IP、MAC的盗用问题、防止接入用户的非

法DHCPServer>Proxy等用户。

4）对于用户的上网行为能够实现实时的跟踪以及时候的追查。

5）对用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，譬如限

制为64K、256K、512K、IM、2M、5M、10M等等级。

3、多种教学方式并行的需求：

随着校园网的信息化的发展，越来越的多教学方式依托于网络给学生提供多种

的特色教学模式

1）多媒体教学。为了更好的为学生提供全方面的教学资料•，越来越的多学校

在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、

典型的考试资料等等提供给学生上网下载使用。

2）V0D点播业务实现，通过建立VOD视频服务器平台，利用交换机提供的组

播功能，为XXXXX大学的用户提供优质的视频效果，同时节省用户带宽。

4、安全管理的需求：

1）校园用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之

一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻

击手段有DOS,DDOS等

2）上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全

6、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出

来。

1.2.2XXXXX大学建网需求

XXXXX大学的用户需求请自行添加o

1.3整体建网原则

早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二

层交换为主，很少有三层应用，存在安全、可管理性较差、无业务增值能力等方面

的问题。

现在XXXXX大学校园网建设要实现内部全方位的数据共享，应用三层交换，提供

全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管

理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须

具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩

展性。

基于对XXXXX大学校园网业务需求的深入理解，结合自身产品和技术特点，华为

公司推出了了完善的XXXXX大学校园网解决方案，为XXXXX大学提供“高扩展、多业

务、高安全”的精品网络。

XXXXX大学网络建设遵循以下基本原则：

高带宽

XXXXX大学网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网

全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交

换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。

可增值性

XXXXX大学校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络

的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不

同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。

可扩充性

考虑到XXXXX大学用户数量和业务种类发展的不确定性，要求对于核心交换机与

汇聚交换机具有强大的扩展功能，XXXXX大学校园网络要建设成完整统-组网灵活、

易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。

开放性

技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协

议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需

要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、

遥控的信息处理功能，实现网络设备的统一管理。

安全可靠性

设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络

安全防范措施。

2.总体网络设计

2.1核心改造组网描述

XXXXX大学校园核心层解决方案总体设计以高性能、高可靠性、高安全性、良

好的可扩展性、可管理性和统…的网管系统及可靠组播为原则，以及考虑到技术的先

进性、成熟性，并采用模块化的设计方法。组网图如下所示：

如图所示，XXXXX大学的校园网改造主要目的是将整个校园网的性能、带宽进

行全网的改造，包括学生宿舍区以及教学区的网络改造，网络整体分为三个层次：核

心层、汇聚层、接入层。为实现校区内的高速互联，核心层分别由3个核心节点组成,

包括教学区区域、学生宿舍区、服务器群，每个节点采用一台S8500万兆核心交换机

作为核心节点，承担着核心节点下所接入的数据信息，考虑到服务器群相对接入信息

点数量较少，主要承担服务器群的接入访问，因此建议采用S8505万兆交换机。三个

核心之间采用万兆相连，进而形成坚实的“铁三角”；汇聚层设在每个教学楼上，每

个教学楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配

线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，建议采用华为

3comS5600作为楼层汇聚交换机；接入层就是每个楼的接入交换机，接入层交换机的

选择仍然非常中要，考虑到接入层交换机的对于终端用户接入的控制起着非常重要的

作用，因此建议采用安全性、控制性较高的设备，我们在此建议采用华为3Com

E050/E026接入交换机作为楼层接入交换机，E050/E026分别为48/24口交换机，用

户可以根据接入信息点的数量灵活选择不同的产品，满足实际信息点数量的需求。

2.2网络层次介绍：

在核心层，核心层主要采用三个骨干节点，分别为网络中心核心交换机(教学区),

服务器群核心交换机，学生宿舍区核心交换机，此次网络的改造主要是为了实现骨干

网带宽的提升，由原来的千兆骨干网带宽提升至万兆，网络内部采用动态路由协议

0SPF,环网的构成进一步大大提高了网络的可靠性，同时华为S8512万兆交换机其背

板容量1.8T,交换容量720G,包转发率432Mpps,具有14个插槽，包括12个业务插

槽，S8505背板容量750G,交换容量300G,包转发率180Mpps,进一步满足大型节点

高数据量转发的特点完全满足骨干节点的需求，整个改造后的IP网络与校园网核心

交换机之间采用10GE的带宽相连大大扩大的原有的带宽,S8500万兆核心交换机采用

Crossbar体系结构所有端口均线速转发。核心层的重点应当中重点考虑如何提高核心

的组网架构，因此在实际的应用的过程当中建议采用环形的方式，如上图所示，铁三

角的模式进一步提高了核心网的安全性以及稳定性。

在汇聚层，由于宿舍区存在密集度高的大量用户，为了保证数据传输和交换的效

率，现在各个楼内设置三层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分

压力，同时提高了网络的安全性。我们建议楼内汇聚采用QuidwayS5600万兆核心交

换机。QuidwayS5600系列全千兆智能弹性交换机支持华为-3C0M创新的IRF

(IntelligentResilientFramework)技术,能够实现用户网络的高度弹性智能扩

展。利用IRF技术，用户可以将多台设备通过堆叠接口连接起来组成一个联合设备

(Fabric),并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实

现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。同时S5600支持万

兆上联最大程度的提高了汇聚层与核心交换机之间的带宽扩展需求。

在接入层，接入层是直接与用户相连的设备，因此，在实际的应用的过程当中我

们建议采用华为3ComE050/E026产品,由于楼内布线采用千兆铜缆布线，所以建议

通过在E050/E026上配置千兆电接口与楼内核心交换机S5600进行链接，这样将会进

一步扩大带宽。华为3ComE050/E026具有48/24个固定的10/100M自适应以太网接

口，2个扩展插槽，背板容量18.5G/12.8G,包转发率6.55Mpps可以实现所有端口的

线速转发，支持各种类型的上行接口，支持堆叠。华为E系列接入层交换机具有强大

的业务特性，可以支持256个标准的VLAN,VLANID均可达4096个并能够提供强大

的业务功能:如802.IX认证、动态ACL、动态Vian、防止Proxy等功能。支持802.IX

认证，其高性价比的特性可满足用户对于强业务、高性价比的组网要求

用户认证、计费管理：

出口处采用华为3Com专业用户认证计费设备MA5200作为全网出口计费设备，

MA5200具有强大的认证功能，可以实现按流量计费、支持多种计费策略，同时可以实

现监控全网的出口流量，同时其旁挂式的方式大大提高了网络的安全性，避免了在出

口产生流量瓶颈的问题，

本次组网采用CAMS综合管理软件实行全网的用户认证和计费管理。详细介绍参

加第三章。

网管平台：

为提高网络管理的效率，减轻网络维护的压力，本次组网采用Quidview网管系统

进行全网设备的统一管理。Quidview网络管理软件是华为3Com公司对数据通信设备

如路由器、交换机等进行统一管理和维护的网管产品，位于网络解决方案的管理层，

能够实现网元管理和网络管理的功能。Quidview网络管理软件基于灵活的组件化结

构，包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等，用户

可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建

构

3.网络业务设计

3.1地址分配解决方式的选择

根据XXXXX大学的用户特点，考虑到网络中心的维护工作量，这里我们建议采用

动态DIICP的方式进行IP地址分配。考虑到IP地址的管理比较繁琐，在实际的应用

的过程当中建议可以与CAMS配合，实现IP地址分配至用户的方式进行IP地址的管

理。

3.2S5600汇聚层交换机万兆的支持

从网络的整体结构上我们可以看出整个网络的设计是采用核心万兆环网，核心与

汇聚、汇聚与接入之间均采用千兆的方式，接入与最终用户之间采用百兆的方式进行

互通，整个网络的瓶颈在核心与汇聚之间的连接存在瓶颈，随着网络接入用户的不断

扩大，汇聚与接入之间可以采用万兆的方式进行互联。华为3comS5600汇聚层交换

机，交换容量192/240G,包转发率66/l()2Mpps可支持2个万兆接口上行，用户无需

任何投资，可以直接购买10GE模块，可直接插到汇聚层S5600交换机上就可以实现

万兆带宽的升级，原上联GE接口可以作为下联接口用。整体组网如下所示：

XXX校园网组网示意图

Cernet

Internet

网络中心

留务寤群

核心与汇聚层之间直接采用万兆的带宽将汇聚层存在的带宽瓶颈问题彻底解决，

S5600汇聚层万兆交换机可为用户提前做好万兆升级的准备，减少用户投资。

3.3华为XXXXX大学解决方案特点：

华为XXXXX大学教育网组网解决方案的优点有以下几点：

3.3.1完全的分布式的处理方式

S8500为用户提供完全的分布式的处理方式，XXXXX大学的校园网内部的数据

量是非常大的，因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞。

华为S8512背板交换容量1.8T够做到所有GE接口的双向的线速，华为公司的S8512

的性能指标是经过完整的测试，而业界厂家在指标宣称上面往往与给最终提供给用户

的不一致。而用户又由于测试仪器的限制无法确认实际配置的性能，这一点在华为公

司是绝对不会出现的。

再次，分布式的转发，对于S8500路由查找是非常有益的补充。因为S8500的路

由查找模式为最长匹配。这样就可以避免校园网内外的非法用户利用专门的攻击软件

来攻击中心交换机，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不

断消耗主控处理板的CPU处理能力，直到彻底使主控处理板的CPU丧失处理能力，整

个机器瘫掉。但是S8500是根据最长匹配来查找路由的，是针对网断进行路由的。所

以当攻击者进行攻击时，S8512只能造成该接口板的业务能力处理下降，但是对于整

机没有多大影响。这是我们选则S8500的作为核心交换的非常重要的原因。

3.3.2良好的互通性

S8500具有良好的互通性,S8500支持标准的路由协议，包括OSPF、BGP4、ISIS、

RIP等路由协议，在实际的开局中与Foundry、思科、Exreme等多种厂家均能够实现

互通，在华南理工大学、山东大学等用户都得到实际的应用验证。

3.3.3核心交换机先进的体系架构设计

网络的背板技术经历了共享式、缓存式等发展，Crossbar技术被公认为最为完美

的一种设计方式，华为3Com公司S8505交换机采用背板采用分布式Crossbar的技术,

整机的转发不存在任何的瓶颈问题，同时，S8505可实现背板容量的平滑升级，除背

板采用Crossbar的方式，在接口板上，华为3Com公司S8505万兆核心交换机采用分

布式Crossbar的技术，即在每个业务单板上面也同样采用Crossbar的技术，端口与

端口之间的转发均有可直达的端到端转发通道，使得端口之间的转发不存在在任何瓶

颈，大大提高了核心交换机的整机转发性能。

3.3.4基于流攻击的防止。

华为3com所采用产品S8500、S5600等三层转发模式均为最长路由匹配技术。这

样就可以避免校园网内外的非法用户利用专门的攻击软件进行的一些基于流的共计，

因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的

CPU处理能力，直到彻底使主控处理板的CPU丧失处理能力，整个机器瘫掉。S8500

是根据最长匹配来查找路由的，是针对网断进行路由的。所以当攻击者进行攻击时，

不会造成S8500业务能力处理下降，对于整机没有影响影响。这是我们选则S8500的

作为核心交换的非常重要的原因。

3.3.5汇聚层强大的IRF扩展性能

S5600可以支持强大的IRF特性，可以扩大汇聚层与核心层之间的带宽以及可靠

性，其相关技术如下：

路由的热备份

相对于传统的设备组网，IRF提供了真正的单播路由协议和组播路由协议的热备

份。并且用户不需要花一半的投资专门用在备份设备上面，IRF中所有的设备都实际

参与业务运行。IRF是在提供业务的同时进行备份。

DRR实现了路由协议热备份的技术，做到了同一个fabric中各个unit上路由信

息的严格同步，并且在其中一个或多个unit出现故障的时候，其它unit可以照常运

行并迅速接管故障unit的功能，此时，域内路由协议不会随之出现中断，二/三层转

发流量和业务也不会出现中断，从而实现了真正意义上的不中断路由协议、不中断业

务的故障保护和设备切换功能。

IRF的分布式弹性路由

链路的备份

分布式的聚合技术进一步消除了聚合设备单点失效的问题，提高了聚合链路的可

用性。由于聚合成员可以位于系统的不同设备上，这样即使某些成员所在的设备整个

出现故障，也不会导致聚合链路完全失效，其它正常工作的unit会继续管理和维护

剩下的聚合端口的状态。这对于核心交换系统和要求高质量服务的网络环境意义重

大。

分布式链路聚合（DLA）

DLA技术允许IRF网络核心外的其他交换机等设备以多宿主的方式接入IRF网络

核心，极大提高了全网的可用性。通过多条聚合链路流向IRF网络核心的流量将均匀

分布在聚合链路上，当某一条聚合链路失效时，DLA能够将流量自动重新分布到其余

聚合链路以实现链路的弹性备份和提高网络可靠性。

高性能

由于IRF设备是由多个支持IRF特性的单机设备堆叠而成的，IRF设备的交换容

量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此，IRF技

术能够通过多个单机设备的堆叠，轻易的将设备的核心交换能力、用户端口的密度扩

大数倍，从而大幅度提高了设备的性能。

扩展性

IRF技术最大支持八台设备的堆叠，用户可以按照自身的需要购买IRF交换机。

由于业务的需要，如果用户需要扩展网络的容量，只需要堆叠更多的IRF交换机，就

可以达到扩容的目的。IRF技术极大的保护了用户以前的投资，提高用户的投资效率。

分布式设备管理

支持IRF技术的多台设备可以被看成是一台统一的设备来管理。

IRF

用户将一个fabric当成-台整体设备进行管理

高效的配置管理

IRF技术最多可以连接8台设备组成一个fabric,无论是管理特性、还是转发特

性，在用户看来，fabric就像是一台设备在运行。组成fabric的每台设备具有相同

的桥MAC地址，单一管理IP地址和三层转发地址。用户无论通过何种方式（console

口、telnet、snmp）连接到fabric内的一台设备上，对fabric的配置只需要执行--

次，fabric内的所有设备都将得到配置。

软件版本升级

相对于以前的简单堆叠，对堆叠体内多台单机进行软件升级的操作将要执行多

次，而IRF交换机，通过WEB网管，用户只需要执行一次操作，就可以实现fabric

内所有unit的软件的自动升级。

设备的热插拔

组成fabric的设备可以任意的插入和拔出，而不会影响当前fabric的正常运行。

当一台设备通过堆叠线接入到一个正在运行的fabric内，原有的fabric就会检

测到新的设备，同时验证新设备是否可以加入到fabric,如果验证通过，新加入的设

备将会得到原有的全局配置信息和转发信息，同时将自己设备特有的配置和转发信息

散发到fabric内，经过短暂的信息交互后，新加入的设备就可以参与转发了。而这

个过程丝毫没有影响原有设备转发过程。当然，这个过程也可以是两个现有的fabric

进行合并，现有的转发不会受到影响。

当从fabric断开一台或者多台unit,和该设备相关的配置、转发信息将被从剩

余的设备内删除，从而不会造成转发失败。

同时,，分离出去的unit可能会自己形成一个新的fabric,由于fabric内所有的

配置都是相同的，如果原来配置有三层接口，分离出去的fabric可能会和原来的

fabric发生IP地址冲突，即在网络中不同的设备上有相同的IP地址配置。为了避免

这种情况发生，IRF使用ResilientArp技术，探测fabric发生分离的unit之间是

否存在IP地址冲突，如果存在，则把其中之一的设备降为二层设备使用，避免冲突

而引起网络路由的振荡。

分布式二层协议

组成IRF的多台交换机就像一台设备在运行，当然这也包括很多协议的运行。

IRF交换机支持的多数协议，例如RSTP、IGMP-SNOOPING、LACP等，这些协议都

是分布运行在fabric内的各个设备上，每个设备独立运行协议，与外部协议实体进

行交互；同时为了保持IRF作为一个整体运行，unit之间完成必要的信息交互。

在外界看来，组成IRF的各个设备好像是一个协议实体在运行，而在内部，各个

协议分布运行在IRF的各个设备上，每个设备都独立承担本设备的协议计算，协议在

fabric内负载分担运行，这样不仅提高了设备的利用率，同时;由于是分布式运行,

每台设备上只需要保留本unit的信息，任何一台设备上不需要fabric完整的协议状

态信息，节省了大量的设备间备份操作。另外，fabric内任何unit发生故障，由于

协议分别独立运行，相互之间的依赖关系不强，只需要简单操作，就可以恢复设备的

正常运转。

>IGMP通用食询报文数据流

■>IGMP主机加入报文数据流

er

HostlUnitl____Unit2

Host2

*

,^nit4tlnit3

NORMALSTACK

Host3

Host4

传统堆叠IGMP报文

运行在IRF交换机上的IGMP-snooping,每个unit都只维护本unit上的路由器

端口、主机端口，但是并不关心其它unit上的端口号。如果本设备接收到IGMP主机

加入报文，表明该设备需要转发多播数据，本unit就向fabric内其它unit发送--

份通知消息，告诉fabric内其它unit需要向此unit转发数据，如果该设备以后再

次收到相同组播组的主机加入消息，就不会再通知fabric其它unit了。实现按需转

发IGMP报文，在fabric内减少IGMP协议报文的拥塞冲突。

—>IGMP通用行询报文数据流

IGMP主机加入报文数据流

IRF堆叠设备中IGMP报文

分布式转发

fabric内的设备通过堆叠口连接在一起，堆叠的连接方式可以是多种多样的：串

行连接、环形连接以及星型连接。

如果采用环形连接，而且报文需要从fabric内其它unit转发出去，那么收到报

文的unit一般会有两条路径选择将报文转发到出端口所在的unit上。IRF在进行转

发时，会选择一条距离出端口所在unit最近的路径转发。这种最短路径的转发方式,

比起单向的转发，不仅效率高，而且可以起到负载分担的作用。

IRF技术完全实现了报文的分布式转发，无论是二层报文交换，还是三层报文的

路由，都能够做到分布式转发。分布式的转发最大限度地利用了fabric内unit的带

宽。

二层转发

在fabric内每台unit上，有足够的二层转发表项，指导报文在本地完成交换，

而无需再经过第三方的处理。当fabric内-台unit接收到转发报文，通过查找自己

的二层转发表，就可以得到转发的出端口，这个端口可以是本地端口，也可以其它unit

上的端口。如果出端口是本unit上的端口，则直接交换出去；如果是其它unit上的

端口，则通过堆叠口转发到相应的unit上，再交换出去。但是无论端口是在本地，

还是在其它unit上，转发过程只需要一次查询二层转发表，就可以被交换出去。

在fabric内任何unit接收到转发报文，都会在本unit上进行源MAC地址学习，

就像其它任何交换机所作的一样；但是，无论fabric内有多少台设备，IRF交换机必

须表现的像一台交换机在工作一样，那么，在一台unit上学习的二层转发表项,fabric

内的其它unit也必须有，否则，报文就会在VLAN内广播。为了实现fabric内二层

分布式转发，而且IRF内的交换机表现的象一台设备一样，当一台unit新学习到MAC

表项以及用户配置的MAC表项，都需要同步到fabric内的其它设备上。当fabric发

生变化，例如加入一台新的unit,新的unit需要获取原fabric的转发表项，同时将

自己的转发表项同步到原fabric内。如果有unit离开，则需要把和此unit相关的

表项从fabric内删除掉。

三层转发

同二层转发类似，IRF交换机实现了分布式的三层转发，即fabric上任意一个

unit都有完整的三层转发能力，当它收到待转发的三层报文时，可以通过查询本unit

的三层转发表得到报文的出接口以及下一跳，然后将报文从正确的出接口送出去，这

个出接口可以在本unit上也可以在其它unit上，因为fabric始终是作为一台设备

进行工作的，任何一个unit上的接口都是fabric上的接口，将报文从一个unit送

到另外…个unit是一个纯内部实现，对外界是完全屏蔽的，即对于三层报文来说，

不管它在fabric内部穿过了多少unit,在跳数上只增加1,即表现为只经过了一个

网络设备，在fabric内部的报文传递是不会改变报文的三层属性的。因此对于外界

设备来说，fabric始终就是一台设备。

IP报文数据流Routeri

分布式三层转发

不管转发出端口是在本地，还是在fabric内其它设备上，通过在本地一次查找

路由转发表，报文就可以实现三层转发任务。相对于集中式的转发，减少了对单台设

备的依赖，同时减轻设备的转发负载。

组播转发

组播数据转发是影响网络带宽的祸首，如何合理有效的处理组播数据转发是困扰

业界的一个难题。

同传统的堆叠技术和多台单机互联设备相比，使用IRF技术堆叠的设备，可以做

到按需转发组播数据报文，减少设备间组播数据流量。

IRF交换机将三层组播转发表和分布式IGMP-snooping有机的结合后，产生了交

换上引导组播数据转发的二三层结合的组播数据转发表。该组播转发表只维护本unit

上的用户出端口和fabric内其他unit上出端口的unit号，而且只记录出端口所在

的unit号，并不关心具体的端口号。这种高效的转发表从根本上解决了组播数据占

用带宽的问题，保证了设备间只有一份报文传送。

传统堆叠的组播数据转发

图9IRF的组播数据转发

3.3.6高可靠性汇聚层组网架构:

Host5

核心层交换机

汇聚层汇聚层

如图所示，在实际的应用过程当中建议采用两台楼层汇聚交换机跨设备捆绑与核

心交换机形成带宽、线路上的负荷分担、链路扩展，两台S5600交换机之间采用IRF

技术形成一个单一的Unit,同时乂实现链路的跨设备捆绑进而实现链路的带宽扩大,

再者当任何两台设备之间的链路出现问题，IRF都能构确保整个网络的安全、稳定。

3.3.7E系列接入层交换机

1.端口+IP地址的绑定：

对于学生宿舍区的用户上网的安全性非常重要，华为E050/E026可以实现端口

+IP地址的绑定关系，一般的802.IX的认证的采用的是MAC+IP地址的绑定

关系，但是由于学校学生毕业流动的缘故,PC机的MAC地址会不断的发生变化,

学生的PC机随机的发生变化使得学校无法对整网进行维护，而且无法防止学

生IP地址欺骗的攻击，因此建议学校采用IP地址+端口的绑定关系，如：每

个宿舍分配一个IP地址，当用户通过802.IX客户端认证通过以后用户便可以

实现IP地址+端口+用户ID的绑定，这种方式具有很强的安全特性:防D.0.S

的攻击，防止用户的IP地址的欺骗，对于更改IP地址的用户（IP地址欺骗的

用户）可以实现强制下线。

2.动态Vian的功能

对于位置移动的用户（有便携机），可以采用动态Vian的技术来实现，用户的

的Vian是和用户的ID号对应的，用户可以通过不同地理位置的接入点上网，用

户认证的过程当中，Raduis服务器会根据用户的ID号对应到用户所属的Vian当

中。这样学校便携机使用者能够方便的使用学校的网络资源，同时学校有能够对

移动用户进行管理监控。华为E050接入层交换机可以为用户提供强大的动态VLAN

功能切实可行的为用户提供丰富的业务功能。

3.接入层防Proxy的功能

考虑到大学学生的技术性较强，在实际的应用的过程当中应当充分考虑到学生

的Proxy的使用，对于Proxy的防止，华为3com公司E050配合华为3com公司的

802.IX的客户端，一旦检测到用户PC机上存在两个活动的IP地址（不论是单网

卡还是双网卡），E050将会下发指令将该用户直接踢下线。

4.IP地址盗用的防止

在校园网的应用当中IP地址的盗用是最为经常的一种非法手段，用户在认证

通过以后将自己获取的IP地址进行修改，然后在进行一些非法操作，在XXXXX

大学的网络的设计当中我们针对该问题,在接入层交换机上提供防止IP地址盗用

的功能，用户在更改IP地址后，802.IX客户端与E050配合，直接将用户下线，

其下线功能是由E050来实现的，不依赖于802.IX客户端，因此对于学生自己从

网上下载的802.IX的客户端来说，E050仍然可以对其进行有效的控制。

3.3.6QOS功能

Qos对于网络的应用来说是非常重要的，考虑到学校未来要增加多种的业务，

如：流媒体点播、视频点播等，这要求全网能够提供强大的Qos的功能，华为3com

的S8500、S5600全网产品可以为用户提供丰富的Qos保证，华为3com公司支持

QoS技术中的PQ/CQ/WFQ/LLQ/CBWFQ等转发队列优先保证机制，所携带的IP

地址段、TOS值、源端口号等均可实现业务的保证，同时可以针对不同的接入层

交换机端口或是不同业务进行端口的限速，以提高全网的Qos业务的保证。同时

S85OO以及S5600可实现基于业务类型的流领控制功能，如：基于端口、IP、Vian

等带宽管理以及优先权的分配，可实现带宽管理最小粒度为8Ko

3.3.7广播风暴的抑止

华为3comS8500、S5600、E系列接入交换机均可以实现基于端口的广播风暴抑

止功能，可支持同一VLAN内的风暴抑止功能，可以有效的抑止局域网内部的广播

风暴，确保网络的安全稳定。

3.3.8组播业务

QuidwayS8500、S5600、E050通过标准的组播协议完成用户的组播管理，

S8505、S5600均可以支持丰富的组播协议，包括ICMP、PIM-SM、PIM-DM、MSDP

等组播协议，可支持丰富的业务，包括视频点播、流媒体点播，可支持各种流媒

体终端以及组播源的种类。并可以并通过HGMP协议将各楼道交换机也纳入到组播

实现中。由S5600完成对其下挂的汇聚交换机以及楼道交换机的组播用户进行报

文复制和发送。通过这种机制，使得整个网络的流量做到最优，有效的保证了视

频点播、网络电视、会议电视、视频游戏等视频业务的开展，通过组播实现的视

频业务有：

会议电视：利用网络和数字视像技术实现异地会议的交互传输和控制。

付费视频：按节目收费的视讯节目。

视频点播：交互式电视的一部分，它使用户可以随意选择所需的视讯节目，并可

随意地控制节目播出（如快进、快倒、暂停等）。

网络教学：使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教

学，实现学生和教师的实时交流，学生还可随时进行学习点播和查询。

XXXXX大学组播业务示意图:

如图所示：全网可以采用OSPF路由协议，组播协议建议采用PIM-SM组播协

议，华为3com汇聚层交换机采用以及核心交换机均支持丰富的组播协议，相关组

播数据可以在交换机端口进行复制广播。同时，对于无视频流需求端口无需要进

行复制。S5600、S8500均支持可控组播，可控制的组播源的地址，可确保对终端

用户的控制。

对于IPv6的业务开展，对于IPv6流媒体的访问同样可以采用IPv6组播协议

进行IPv6业务的开展，通过核心、汇聚IPv6协议的支持，可以在全网开展IPv6

业务，确保IPv6组播业务能够很好的开展，便于IPv6业务的丰富、提高。

3.4XXXXX大学IPv6网络设计

3.4.1IPv6的优势

IPv6的发展是从1992年开始的，经过了1