研究生综合楼计算机网络方案系统集成方案项目建议书

./研究生综合楼计算机网络方案系统集成方案建议书.目录第一章概述01.1研究生综合楼计算机网络现状01.2本次建设的目标与规模01.3建网原则1第二章网络技术分析32.1以太网技术32.1.1以太网技术的发展32.1.2以太网交换技术虚拟网〔VLAN技术第三层交换及多层交换6优先级服务〔Cos和质量服务<Qos>72.2网络管理9网络配置管理9网络失效管理9网络安全管理10网络性能管理10网络计费管理112.3路由协议112.3.1RIP路由协议112.3.2OSPF路由协议142.3.3PIM路由协议16第三章交换机技术分析213.1核心交换机21交换结构〔SwitchingFabric21阻塞与非阻塞配置L3/L4数据流处理模式22系统容量23背版带宽和L2/L3层交换速率23关键部件冗余设计23系统结构的技术寿命243.2可堆叠接入层交换机24堆叠方式24可管理性25安全性25第四章研究生综合楼网络方案设计274.1方案一：采用Cisco网络产品28园区网〔外网的方案设计28管理网〔内网的方案设计304.2方案二：采用华为网络产品30园区网〔外网的方案设计31管理网〔内网的方案设计334.3方案三：采用港湾网络产品34园区网〔外网的方案设计34管理网〔内网的方案设计354.4网络详细规划364.4.1设备命名364.4.2VLAN设计364.4.3地址设计374.4.4网络安全设计〔可选384.4.5用户接入40端口绑定与认证40广播抑制414.5网络管理系统〔可选414.5.1CISCO网管系统－CiscoWorks2000LAN管理解决方案414.5.2华为网管系统424.5.3港湾网管系统44网管产品功能特色45分级分权网管45智能策略网管45集群管理45端口环回测试46网管产品功能指标47附图一：CISCO网络方案园区网〔外网网络拓扑图48附图二：CISCO网络方案管理网〔内网网络拓扑图48附图三：华为网络方案园区网〔外网网络拓扑图49附图四：华为网络方案管理网〔内网网络拓扑图49附图五：港湾网络方案园区网〔外网网络拓扑图50附图六：港湾网络方案管理网〔内网网络拓扑图50附表一：CISCO网络方案园区网〔外网产品设备清单51附表二：CISCO网络方案管理网〔内网产品设备清单52附表三：华为网络方案园区网〔外网产品设备清单53附表四：华为网络方案管理网〔内网产品设备清单54附表五：港湾网络方案园区网〔外网产品设备清单55附表六：港湾网络方案管理网〔内网产品设备清单56.概述1.1研究生综合楼计算机网络现状军事医学科学院研究生综合楼总建筑面积为17817.73平米,大楼为地下一层,地上十四层,１－４层为教室和办公室,５－１４层为学生宿舍,大楼分别在东西两侧设计了管道竖井。大楼综合布线系统设计为：主机房设在地下室弱电机房内,配线间设在大楼两侧管道竖井内,分别在二层、五层、七层、九层、十一层、十三层的东西两侧各设一个配线间；另外三层1个计算机教室、4层3个计算机教室内各设1个配线机柜。水平系统数据线采用超五类非屏蔽电缆,电话线采用普通电话电缆；垂直系统数据采用室内多模光缆〔配线间交换机到主机房核心交换机,电话采用５０对大对数电缆；数据系统全部采用原装ＡＭＰ结构化布线系统,电话系统采用国产电话系列产品。1.2本次建设的目标与规模本次招标采购的目标是通过计算机网络软件、硬件设备的采购和相关的技术服务,建立军事医学科学院研究生综合楼的计算机网络系统〔内外网,并分别和院园区网和管理网连接。军事医学科学院研究生综合楼局域网网络系统建设主要包括如下几个方面内容：研究生综合楼4个教室的综合布线系统研究生综合楼地下室主机房安装一台主干交换机,主干交换机配有16个多模光纤千兆端口,连接下面16个二级交换机；研究生综合楼二层楼东西、三层楼计算机教室、四层楼三个计算机教室、五层楼东西、七层楼东西、九层楼东西、十一层楼东西、十三层楼东西共16个二级交换机的安装；外部网络系统的虚拟网络的划分和三层路由；内部网络系统主干交换机的安装；1.3建网原则军事医学科学院主要用来进行科研教学等活动,使用人数众多,人员流动大,网络相对需要承担更大的压力。因此研究生综合楼计算机网络系统建设应该遵循相应的原则：●先进性以先进、成熟的网络通信技术进行组网,所选择的设备应该是先进的产品,支持目前所有主流的技术,同时应该能够非常容易的升级,为以后的扩展提供良好的支持。●标准化和开放性网络协议采用符合ISO及其他标准,如：IEEE、ITUT、ANSI等制定的协议,采用遵从国际和国家标准的网络设备。●可靠性和可用性选用高可靠的产品和技术,充分考虑系统在程序运行时的应变能力和容错能力,确保整个系统的安全与可靠。●实用性和经济性网络的性能网络立足现状,从实用性和经济性出发,着眼于近期目标和长期的发展,充分利用有限的投资,适度超前,在保证网络先进性的前提下,选用性能价格比最好的设备,●安全性研究生综合楼计算机网络系统用户量大,网络使用频繁,需要确保网络的安全,只有经过授权的访问才是允许的。●管理性园区网可管理,能够支持标准的网络管理协议,同时通过开放的网络管理平台,对全网设备进行管理。第二章网络技术分析2.1以太网技术2.1.1以太网技术的发展以太网是当前局域网络中使用最普遍的网络技术,也是目前连网成本最低、技术发展最为迅猛的网络技术。1998年9月,颁布了千兆以太网标准,而传输速度更快的10Gbps以太网也在实验室中试验成功。迄今,以太网技术已经发展为以太、快速以太、千兆以太、交换以太等几种,下面分别予以简述。①以太网以太网的传输速度为10Mbps,所使用的传输介质有：粗同轴电缆、细同轴电缆、非屏蔽双绞线。以太网以连接简便、成本低廉的特点,迅速占领了早期的计算机局域网络市场。②快速以太网快速以太网标准颁布于1993年,其传输速度为100Mbps,所使用的传输介质为非屏蔽双绞线或光纤,其中非屏蔽双绞线的传输距离为100米,多模光纤的传输距离为2公里。快速以太网采用星形布线,成本低廉、结构简单、故障率较低,它沿用以太网的帧格式,可以从以太网进行无缝升级且可与以太网混合使用,有效地保护了以太网用户原有的投资。在1993年之后,快速以太网逐渐取代FDDI,成为局域网络主干的主流产品。③千兆以太网1998年9月千兆以太网标准IEEE802.3z颁布,其传输速度为1000Mbps,所使用的传输介质及传输距离如下：*62.5微米多模光纤260米--440米*50微米多模光纤550米*单模光纤传输达3公里以上,在有的环境中甚至可达几十公里千兆以太网与快速以太网的特点相同,成本相对较低,也沿用了以太网帧格式,可以与快速以太网及以太网很好地融合。在千兆以太网标准颁布后,它取代ATM技术,成为局域网主干的首选技术。2.1.2以太网交换技术交换技术是当今以太网技术的又一重要组成部分,它改变了原来以太网共享信道带宽的状况,使每个网口可以独占带宽。使用交换技术,不仅可以有效地提高以太网的带宽,而且许多以太网中的新技术都是建立于交换技术基础之上的,这些技术主要有：*10M/100M/1000M自适应*全双工传输*虚拟网络<VLAN>技术*第三层交换及高层交换*SpanningTree技术计算机局域网正在从传统的基于集线器和路由器具结构,转向基于第三层路由交换机的结构。传统的局域网使用的共享式HUB对MAC地址不加分析地向所有端口传播导致有效的带宽被浪费,从而限制了用集线器组网时一个网段上的站点数。另外,传统的以太网是面向非连接的,这样一个网段必然有大量的广播信息要传输,当广播信息大到一定程度时交换机的效率必然降低。交换机上的虚拟局域网〔VLAN技术的出现,将交换机的端口划分为不同的虚拟网段,因此可将广播信息限制在不同的虚拟局限网内,从而提高了网络的传输效率。VLAN的划分可以跨越快速以太网,千兆以太网ATM等骨干网而实现,划分的方式所基于交换机端口、工作站的MAC地址,第三层协议类型和网络地址、多些广播方式、策略来完成。基于多址广播方式划分VLAN特别适合于开展视频会议。VLAN的出现为网络设计、扩展、变动提供了很大灵活性,主要特点有：提高网络组网的灵活性。处于不同物理位置的工作站可根据其应用需求划分到同一个虚拟网中,从逻辑上把应用主体有机的统一。方便网络中工作站的增减、移动等变化。在传统网络中,一个工作站从一个网段移到另一个网段时,用户需要对站点的IP地址、缺省网关进行重新配置后才能上网。如果采用基于MAC地址的VLAN划分技术,用户作任何个性后可在网上的任意位置上网。提高网络的安全性基于HUB的网络,如果利用一台PC装上协议分析软件,连接到HUB上就可以拦截该网段的所有数据。如果采用交换机并对VLAN内的数据,从而有效的提高了网络的安全性。提高网络的响应速度。将服务器划分到各个VLAN后,各VLAN的站点可直接访问服务器,提高了网络的响应速度。第二层交换在共享介质LAN中消除瓶颈方面取得的巨大的成功,它在易用性、性能价格比等方面较其它技术都明显的优势,但它有以下两个方面的局限：第二层交换只有本地不含路由器的工作组中取得性能的提高,而在工作组之间,通过路由器的端到端的性能,会因路由器阻塞而显著下降。第二层交换对基于网段所遭受的广播风暴束手无策,且缺乏安全性。第三层交换结合了第二层交换和第三层路由的功能,可以不将广播填充包扩散,直接利用动态建立的MAC地址来通信并能获取第三层IP地址,ARP等信息,具有多路广播和虚拟网间基于IP、IPX等协议的路由功能。第三层交换将传统的由软件处理的指令加入专用集成电路〔ASIC芯片中,从而加速了对包的转发和过滤,使设高速下的线性路由和Qos服务质量都有可靠的保证,第三层交换技术解决了工作组间的瓶颈问题,用户在工作组间获高100－1000Mb/s的速率,同时维持了网络整体流量等及负载的均衡。大部分的局域骨干网都是建立在传统路由器基础上的,这些路由器过去IT部门设备阵容中最贵和功能最强的网络设备。但是,曾经功能强大的路由器的数据通讯能力并不强大,这些桌面和服务器系统运行所产生的网络层交换程序的数据足以充滞网络中心。传统的路由器从来就不是为了处理如此大量的<甚至是不可预测的>业务量,而且同时还要施实如此诸多策略和控制决定而设计的。局域网演进的下一步就是构成一种比传统路由器工作效率大得高的平台。当网络核心成为多种技术,多种用户团体和大量数据汇集的一个集合中心时,这种新型平台提供IT经理们所需的容量和控制能力。在新型局域网中,传统路由器变得更加专业化。它向WAN移动,使其WAN的配置能力得到较好的利用,而且其性能限制不会降低局域网的速度。LAN的容量和控制能力现在已可以由第三层高性能交换平台替代。第三层交换机可以用作主干局域网路由设备来提供第三层的转发功能,从而取代局域网中的传统路由器,同样地,它也可以作为接入千兆以太网或ATM网的边缘设备。以太网的优先级服务〔Cos和服务质量<Qos>保证相关协议,如IEEE802.1P,IEEE802.1Q,IEEE802.3X,IEEE802.3AB和资源预留协议〔RSVP等关键协议保证了网络上对传输要求比较高应用的正常使用,优化了网络的性能。IEEE802.1P使得以太网能够及时响应独立端点主机对网络发出的某个QoS〔服务质量请求,该标准界定了组播〔Multicast分组管理。IEEE802.1P还包括了最新定义的通用分配注册协议〔GARP,它专用于GARP的特定应用,如GARP组播注册协议〔GMRP,GARPWAN注册协议〔GVRP,GMRP为组播MAC地址分组提供了注册服务。从而保证以太网上的多媒体应用需求。IEEE802.1Q已建立起了基于标准的VLANs,该标准以帧标签机制为基础,适合于以太网,快速以太网,令牌环和FDDI,也为交换机和路由器提供一种使VLAM标签化的方法。保证了多厂商的VLAN兼容性,GVRP已由IEEE802.1Q支持,它提供了VLAN成员的注册服务。IEEE802.3X是以太网的一种流控机制。当客户终端向服务器发出请求后,自身系统或网络产生拥塞环境中,它会向服务器发出一种暂停帧,以延缓服务器的数据传输。千兆比特设备对该机制的支持,补充了千兆比以太网的控制功能。IEEE802.3AB的标准支持在5类非屏蔽双绞线上,传输千兆比以太网。RSVP-资源预留协议,以太网通过在帧位中标记数据流类型,使网络在传输中识别其优先级别,以保证高优先级的数据流优先占用带宽资源,弥补以太网对延时敏感的应用支持的不足。2.2网络管理网络管理是计算机网络建设的一项重要内容,它对于网络的正常运行与维护有着非常重要的意义,网络越大越复杂,网络管理系统就越重要。网络管理系统包括以下几个方面的内容：2.2.1网络配置管理通过网管系统对各设备进行配置,同时建立以下数据库以供系统维护之用：*主要系统设备的设备数据库<ObjectDataBase>；*通信和网络联接拓扑结构数据库<TopologyDataBase>；*关键路由配置文件数据库；*用户名、电子邮件地址、口令字数据库。*初始化网络设备和结构配置设备,定义工作方式及参数作Download或parameterServer*维护/增加/修改网络配置*选择网络通讯协议2.2.2网络失效管理通过网络管理的失效管理功能,辅以其它手段,可以对网络的故障进行有效的管理。要建立书面和联机的工作手册,一切故障按失效管理程序进行。包括书面记录、电话报告、Email报告、出错处理等。具体功能有：*确定故障节点*隔离故障节点*重新配置/修改配置*更换/修复故障节点*恢复网络初始状态2.2.3网络安全管理网络安全对企业网尤其重要。主要包括网络设备安全、网络服务器安全和网络信息安全。例如：可以将中心节点的路由器和交换机集中放置在有保安措施的网络控制室,并在路由器和交换机上做出限制,只允许在控制室从内部管理网段的管理主机登录和配置这些路由器和交换机,并且只允许在授权主机上才能读取路由器和交换机的状态信息,而其余任何主机和用户均无法侵入路由器系统。2.2.4网络性能管理在内部网上,对用户及单位的数据流量及流速进行定时采样记录,同时记录各个不同IP地址的通信量。通过分析,可以看到网络流量的高峰和瓶颈所在,并据此优化网络性能。通过网络性能管理,还可以监视各用户IP地址的访问情况,为以后网络发展和安全保障提供依据。具体的功能有：*检测瓶颈*响应时间监测*网上数据分析*资源使用情况*资源使用控制*超量信息控制*信息吞吐量控制2.2.5网络计费管理企业网的计费系统是必不可少的,它是网络管理的重要方面和用户管理的重要手段。可以使用市场上的网络计费系统或拨号服务器和网络设备自带的计费系统进行计费管理。特别要对拨号用户进行严格的分类记帐管理,以保证服务质量,防止非法侵入。用户可以通过WWW界面方便地了解自己帐号的使用情况。具体的功能有：*定义网络资源计费系统结构*定义网络资源管理系统*用户使用资源控制*用户使用资源进程控制*详细了解资源使用状况2.3路由协议2.3.1RIP路由协议RIP〔RoutingInformationProtocol是最常使用的内部网关协议<InteriorGatewayProtocol>之一,是一种典型的基于D-V算法的动态路由协议。它通过UDP〔UserDatagramProtocol报文交换路由信息,使用跳数〔HopCount来衡量到达目的地的距离〔被称为路由权－Routingcost。由于在RIP中大于或等于16的跳数被定义为无穷大〔即目的网络或主机不可达,所以RIP一般用于采用同类技术的中等规模的网络,如校园网及一个地区范围内的网络,RIP并非为复杂、大型的网络而设计。〔参考RFC1058。RIP有RIP-1和RIP-2两个版本,RIP-2支持明文认证和MD5密文认证,并支持可变长子网掩码。为提高性能,防止产生路由环,RIP支持水平分割〔SplitHorizon、毒性逆转〔PoisonReverse,并采用触发更新〔TriggeredUpdate。RIP支持将其它路由协议发现的路由信息引入到路由表中。每个运行RIP的路由器管理一个路由数据库,该路由数据库包含了到网络所有可达目的地的一个路由项,这些路由项包含下列信息：目的地址：主机或网络的地址。下一跳地址：为到达目的地,本路由器要经过的下一个路由器地址。接口：转发报文的接口。Cost值：本路由器到达目的地的开销,可取值0～16之间的整数。定时器：该路由项最后一次被修改的时间。路由标记：区分该路由为内部路由协议路由还是外部路由协议路由的标记。RIP启动和运行的整个过程可描述如下：<1>某路由器刚启动RIP时,以广播形式向其相邻路由器发送请求报文,相邻路由器收到请求报文后,响应该请求,并回送包含本地路由信息的响应报文。<2>路由器收到响应报文后,修改本地路由表,同时向相邻路由器发送触发修改报文,广播路由修改信息。相邻路由器收到触发修改报文后,又向其各自的相邻路由器发送触发修改报文。在一连串的触发修改广播后,各路由器都能得到并保持最新的路由信息。<3>同时,RIP每隔30秒向其相邻路由器广播本地路由表,相邻路由器在收到报文后,对本地路由进行维护,选择一条最佳路由,再向其各自相邻网络广播修改信息,使更新的路由最终能达到全局有效。同时,RIP采用超时机制对过时的路由进行超时处理,以保证路由的实时性和有效性。RIP作为IGP协议的一种,正是通过这些机制,使路由器能够了解到整个网络的路由信息。虽然RIP目前已被大多数路由器厂商所广泛使用,但它还是有较大的局限性：支持站点的数量有限：这就使得RIP只适用于较小的自治系统,如只用于大多数校园网及结构较简单的连续性强的地区性网络。依靠固定度量计算路由：RIP不能自动更新度量值来适应网络发生的变化,在人为更新之前,由网络管理员定义的度量值仍是固定不变的。路由表更新信息将占用较大的网络带宽：RIP每30秒就向外广播发送路由更新信息。在有许多节点的网络中,这样将消耗相当大的网络带宽。2.3.2OSPF路由协议80年代中期,由于RIP路由协议越来越不适应大规模异构网络互连。OSPF作为IETF〔网间工程任务组织为IP网络开发的一种IGP〔内部网关协议协议,克服了RIP路由协议的缺点,并采用SPF〔ShortestPathFirst算法。OSPF是一种基于链路状态的动态路由协议,协议的基本思路如下：在自治系统〔AS中每一台运行OSPF的路由器收集各自的接口/邻接信息称为链路状态,通过Flooding算法在整个系统广播自己的链路状态,使得在整个系统内部维护一个同步的链路状态数据库,根据这一数据库,路由器计算出以自己为根,其它网络节点为叶的一根最短的路径树,从而计算出自己到达系统内部各可定的最佳路由。OSPF是一种内部网关协议〔InteriorGatewayProtocol,IGP,它处理在一个自治系统中路由器的网络路由信息。OSPF路由协议有如下特点：1、同域内路由器共享相同的拓扑信息：每台路由器向同域〔Area的所有其它路由器发送链路状态广播〔LSA信息。路由器收集有关的链路状态信息,并根据SPF的算法计算出到每个结点的最短路径。2、路由选择的分级：OSPF可在一个域〔Area内进行路由选择。域的最大集合是自治域〔AS。AS是共享同一路由选择策略的网络集合。一个自治域AS可分为多个域〔Area,域是由相邻的网络和连接的主机组成。根据源点和目的地是否在同一域内,OSPF有两种类型的路由选择方式：当源和目的在同一区域时,采用域内路由选择当源和目的不在同区域时,采用域间路由选择由于有域的概念,OSPF路由协议比那些不将AS分区的情况下所需传送的路由信息少得多。3、收敛性：OSPF使用泛洪〔flooding技术在一个新的路由区域中更新邻居路由器。只有受影响的路由才被更新,而且由于进行路由聚合,如果某路由是到达另一区域的聚合路由的一部分,则更新操作只局限于受影响的区域。4、支持VLSM〔VanableLengthSubnetMask可变长度子网掩码技术：OSPF支持可变长子网掩码,使OSPF适合于管理大型IP网络规划。由于每个发布的目的地均包括IP子网的掩码,从而可利用子网掩码将IP网络分为不同大小的子网,这种方法可节省IP地址空间并给网络管理员管理带来灵活性。5、带宽利用效率：由于OSPF基于链路状态进行利用更新,只有受影响的路由更新报文才被送往邻居路由器,而不是传送整个路由表。6、消耗路由器CPU资源：SPF算法需要占用路由器的CPU资源,一般来说CPU运算量与网内链路数目和路由器数目乘积成正比。当网络链路状态不稳定时,整个OSPF域内进行频繁的运算以选择最佳路由,这将大量的消耗路由器的CPU资源,引起网络性能的急剧下降。7、基于带宽的路由选择：OSPF使用带宽作为确定两个网络间最优路径的决定因素。2.3.3PIM路由协议PIM-DM简介PIM-DM〔ProtocolIndependentMulticast——DenseMode,与协议无关的组播——密集模式主要适用下列几种情况下：发送者和接收者彼此非常接近,并且网络中组播组接收成员的数量很大。组播包的流量很大。组播包的流量是持续的。PIM-DM利用单播路由表,从源端PIM路由器构建一棵到所有端节点的组播转发树〔DistributionTree。在发送组播包时,PIM-DM认为网络上所有主机都准备接收组播包,组播源一开始将向网络所有下游节点转发组播包,无组播组成员的节点将剪枝报文通知上游路由器不用再向下游节点转发数据。当新的成员在剪枝区域中出现时,PIM-DM发送嫁接消息,使被剪枝的路径重新变成转发状态。该机制称为广播——剪枝过程,PIM-DM广_播——剪枝机制将周期性地不断进行。PIM-DM在广播——剪枝过程中采用了逆向路径转发〔ReversePathForwarding,RPF技术：当一个组播包到达的时候,路由器首先判断到达路径的正确性。若到达端点是由单播路由指示的通往组播源的端口,那么该组播包被认为是从正确路径而来；否则该组播包将作为冗余报文而被丢弃,不进行组播转发。PIM-DM主要包括下列几种报文：Hello报文〔PIMHelloMessage：PIMHello报文由运行PIM-DM协议的路由器接口定期发送到同网段其它邻居接口,与PIM-DM邻居建立邻居关系。另外,由于IGMPv1中需要使用DR〔DesignedRouter来发送主机查询报文〔Host-QueryMessage,Hello报文同时负责为运行IGMPv1的路由器选择DR〔每个PIM路由器定期广播发送Hello报文,IP地址较大的路由器当选为DR。嫁接报文〔GraftMessage：主机通过IGMP报告报文〔MembershipReportMessage来通知路由器它想加入某个组播组,此时端口向上游路由器发送Graft报文,上游路由器收到Graft报文后,就将该端口加入到组播组转发列表中。嫁接应答报文〔GraftACKMessage：上游路由器在收到Graft报文后,需要向发送此嫁接报文的下路由器发送应答报文。剪枝报文〔PruneMessage：若路由器的接口转发列表为空,或接口转发列表变为空时,就向上游路由器发送Prune报文,通知上游路由器将该路由器从其接口邻居列表中删除。断言报文〔AssertMessage：一个共享网段可能同时有两个上游路由器,若它们都向该网段转发组播包的话,该网段的下游路由器可能将收到两份相同的组播包。为避免这种情况,PIM-DM采用Assert消息机制：若路由器在一个共享局域网的转发端口收到组播包,它要所运行PIM-DM的所有路由器〔组地址为3发送Assert报文,下游路由器将按一系列规则通过比较Assert报文的特定域来决定获胜者：报文preference小的路由器获胜；若报文的preference相同,报文metric值小的路由器获胜；若报文的metric值也相同,IP地址大的路由器获胜。获胜者将作为该网段的转发者,失败者发送出接口剪枝报文。由于PIM-DM自身不具备路由发现机制,这使得它不依赖于特定的单播路由协议,协议的实现也比较简单。PIM-SM简介PIM-SM〔ProtocolIndependentMulticast,SparseMode,与协议无关的组播——稀疏模式主要适用下列几种情况下：组成员分布相对分散,范围较广。网络带宽资源有限。PIM-SM不依赖于特定的单播路由协议,它假设所有路由器除非存在传送的显式请求,否则就不向组播组发送组播包。PIM-SM通过设置汇集点RP〔RendezvousPoint和引导路由器BSR〔BootstrapRouter向所有PIM-SM路由器通告组播信息、并通过让路由器显式地加入和退出组播组来减少数据报文和控制报文占用的网络带宽。PIM-SM构造以RP根的共享树RPT〔RPPathTree,使组播包能沿着共享树发送,当主机加入一个组播组时,直接连接的路由器便向汇聚点〔RP发送PIM加入报文；发送者的第一跳路由器把发送者注册到RP上；接收者的DR〔直连网络的负责人将接收者加入到共享树。使用以RP根的共享树RPT进行报文转发,不但减少路由器需要维护的协议状态、提高协议的可伸缩性,降低路由器处理开销,还能支持大量同时存在的多点广播组。当数据流量达到一定程度时,数据可从共享树RPT〔RPPathTree切换到基于源的最短路径树SPT〔ShortPathTree,以减少网络延迟。PIM-SM主要包括下面几种报文：Hello报文〔PIMHelloMessage：PIMHello报文由运行PIM-SM协议的路由器接口定期发送到同网段其它邻居接口,与邻居建立邻居关系,还同时为运行IGMPv1的版本的路由器选择DR。注册报文〔RegisterMessage：当DR收到本地网络上主机发出的组播报文收到组播报文,要将该报文封装在注册报文中单播发送给RP,以便该报文在RP树上分发。注册报文的IP头部中的源地址为DR的地址,目的地址是RP的地址。注册停止报文〔Register-StopMessage：由RP单播给注册报文的发送者,用来告诉注册报文的发送停止发送注册报文。加入/剪枝报文〔Join/PruneMessage：该报文被沿着源或RP的方向发送上去。加入消息用来建立RPT或SPT,当接收者离开组时用剪枝消息剪枝RPT或SPT。该报文包含各个组播路由项加入和剪枝消息。加入消息和剪枝消息放在一个报文中,但是两种报文中任何一种都可以为空。引导报文〔BootstrapMessage：路由器要从除了接收到这种报文的接口外的所有的接口发送这种报文。该种报文在BSR中产生,并被所有的路由器转发。用来向所有的路由器通告BSR收集到的RP-Set信息。断言报文〔AssertMessage：在多路访问网络上存在多个路由器,并且某个路由器路由项的出接口收到组播组报文时,要使用这种报文来指定转发者。候选RP信息广播报文〔Candidate-RP-AdvertisementMessage：由候选RP定期单播给BSR,用来通告该候选RP服务的组地址集合。第三章交换机技术分析3.1核心交换机网络主干设备即骨干节点设备的系统结构直接决定了设备的性能和功能水平。因此,深入了解设备的系统结构设计,客观认知设备的性能和功能,对正确选择设备极有帮助。3.1.1交换结构〔SwitchingFabric随着网络交换技术不断的发展,交换结构在网络设备的体系结构中占据着极为重要的地位。为了便于理解,这里仅简述三种典型的交换结构的特点：共享总线：由于近年来网络设备的总线技术发展缓慢,所以导致了共享总线带宽低,访问效率不高；而且,它不能用来同时进行多点访问。另外,受CPU频率和总线位数的限制,其性能扩展困难。它适用于大部分流量在模块本地进行交换的网络模式。共享内存：其访问效率高,适合同时进行多点访问〔MULTICAST。共享内存通常为DRAM和SRAM两种,DRAM速度慢,造价低,SRAM速度快,造价高。共享内存方式对内存芯片的性能要求很高,至少为整机所有端口带宽之和的两倍〔比如设备支持32个千兆以太网端口,则要求共享内存的性能要达到64Gbps。交换矩阵〔Crossbar：由于ASIC技术发展迅速,目前ASIC芯片间的转发性能通常可达到几十Gbps,甚至更高的性能,于是给交换矩阵提供了极好的物质基础。所有接口模块〔包括控制模块都连接到一个矩阵式背板上,通过ASIC芯片到ASIC芯片的直接转发,可同时进行多个模块之间的通信；每个模块的缓存只处理本模块上的输入/输出队列,因此对内存芯片性能的要求大大低于共享内存方式。总之,交换矩阵的特点是访问效率高,适合同时进行多点访问,容易提供非常高的带宽,并且性能扩展方便,不易受CPU、总线以及内存技术的限制。目前大部分的专业网络厂商在其第三层核心交换设备中都越来越多地采用了这种技术。阻塞与非阻塞配置是两种截然不同的设计思想,它们各有优劣。在选型时,一定要根据实际需求来选择相应的网络设备。阻塞配置：该种设计是指：机箱中所有交换端口的总带宽,超过前述交换结构的转发能力。因此,阻塞配置设计容易导致数据流从接口模块进入交换结构时,发生阻塞；一旦发生阻塞,便会降低系统的交换性能。例如,一个交换接口模块上有8个千兆交换端口,其累加和为8Gbps,而该模块在交换矩阵的带宽只有2Gbps。当该模块满负荷工作时,势必发生阻塞。采用阻塞设计容易在千兆/百兆接口模块上提高端口密度,十分适合连接服务器集群〔因为服务器本身受到操作系统、输入/输出总线、磁盘吞吐能力,以及应用软件等诸多因素的影响,通过其网卡进行交换的数据不可能达到网卡吞吐的标称值。非阻塞配置：该设计的目标为：机箱中全部交换端口的总带宽,低于或等于交换结构的转发能力,这就使得在任何情况下,数据流进入交换结构时不会发生阻塞。因此,非阻塞设计的网络设备适用于主干连接。在主干设备选型时,只需注意接口模块的端口密度和交换结构的转发能力相匹配即可。当要构造高性能的网络主干时,必须选用非阻塞配置的主干设备。众所周知,每一次网络通信都是在通信的机器之间产生一串数据包。这些数据包构成的数据流可分别在第3、4层进行识别。网络主干交换机的系统结构在设计上分成两大类：集中式和分布式。即便两者都采用了新的技术,但就其性能而言,仍存在着较大的差异。集中式所谓集中式,顾名思义,L3/L4数据流的转发由一个中央模块控制处理。因此,L3/L4层转发能力通常为3M－4Mpps,最多达到15Mpps,例如cisco的集中转发模式下的catalyst6500。分布式将L3/L4层数据流的转发策略设置到接口模块上,并且通过专用的ASIC芯片转发L3/L4层数据流,从而实现相关控制和服务功能。L3/L4层转发能力可达几百Mpps。3.1.2系统容量由于网络规模越来越大,网络主干交换机的系统容量也成为选型中的重要考核指标。建议重点考核以下两个方面：物理容量各类网络协议的端口密度,如千兆以太网、快速以太网,尤其是非阻塞配置下的端口密度。逻辑容量路由表、MAC地址表、应用数据流表、访问控制列表〔ACL大小,反映出设备支持网络规模大小的能力〔先进的主干设备必须支持足够大的逻辑容量,以及非阻塞配置设计下的高端口密度。3.1.3背版带宽和L2/L3层交换速率背板带宽背板带宽是交换机的内部实现。背板带宽能够体现在交换机吞吐量上。设备背板带宽的设计通常是根据该设备所要支持的端口数量和类型来决定,一台设备,如果具有24口10/100M的以太网和1口1000M以太网,那么它所需要的背板能力最高需要：24×0.2G＋1×2G＝6.8G。因此根据自己的网络情况,合理地选择背板带宽,使其物尽其用。L2/L3层交换速率交换机最基本且最重要的功能是数据包转发吞吐量。在同样端口速率下转发小包是交换机包转发能力最大的考验。L2/L3层交换速率是在设备满配置的情况下,对各端口测得的吞吐量之和。因此单纯的L2/L3层交换速率并不是设备性能的关键,而每个端口特殊的硬件处理设计出的高吞吐量才是设备的性能差异所在。3.1.4关键部件冗余设计人们已经普遍认同处于关键部位的网络设备不应存在单点故障。为此,网络主干设备应能实现如下三方面的冗余。电源和机箱风扇冗余控制模块冗余控制模块冗余功能应提供对主控制模块的"自动切换"支持。如：备份控制模块连续5次没有听到来自主控制模块的汇报,备份模块将进行初始化并执行硬件恢复。另外,各种模块均可热插拔。交换结构冗余如果网络主干设备忽略交换结构的冗余设计,就无法达到设备冗余的完整性。因此,要充分考虑网络主干设备的可靠性,应该要求该设备支持交换结构冗余。此外,交换结构冗余功能也应具有对主交换结构"自动切换"的特性。3.1.5系统结构的技术寿命所选择的网络主干设备,其系统结构应能满足用户的功能需求,并具有足够长的技术生命周期。换言之,要避免通过硬件补丁的办法〔不断增加新的硬件单元对系统结构中存在的不足进行补偿,或彻底更换新设备的方式,才能满足用户1至5年内不断增长的功能需求。业界有很多设备的系统结构是第2层交换的设计概念,需要通过增加第3层的硬件模块才能实现第3层或第3/4层交换的功能,而且第3/4层数据包的转发能力远低于第2层交换的转发能力。另外,很多主干设备架构上不支持万兆模块,当网络升级到万兆后,必然替换设备,这对用户的投资保护十分不利。3.2可堆叠接入层交换机在一个配线间,当网络信息点较多的时候,通常采用交换机堆叠来扩展交换机端口。堆叠交换机的选择,可以考虑以下一些问题。3.2.2堆叠方式堆叠交换机一般有两种堆叠方式：星型堆叠和菊花链式堆叠。菊花链式堆叠是一种基于级联结构的堆叠技术,对交换机硬件上没有特殊的要求,通过相对高速的端口串接和软件的支持,最终实现构建一个多交换机的层叠结构,如果实现了环路,可以在一定程度上实现冗余。菊花链式堆叠模式多层次转发时时延极高,如果堆叠8台,则从第一台交换机把数据传送到第八台经过的可能是7跳,性能较差。而星型堆叠模式适用于要求高效率高密度端口的单节点LAN,通过提供高带宽矩阵,克服菊花链式堆叠模式多层次转发时高时延问题。目前,市场上不少堆叠交换机的堆叠数量能达到多台,这种高堆叠功能可以实现网络的灵活扩展。但有,在实现高堆叠的同时,必须兼顾交换机的性能不受影响。3.2.3可管理性许多研究证明,在产品生命期中涉及到运行和管理的费用比产品的最初购买费用要更多。因此,可管理性成为评估总体价值的另一项关键因素。可堆叠交换机固有的优势,在于管理单一逻辑实体比管理多台必须独立配置和监控的设备更容易。但是,这里仍有其它一些需要研究的因素,包括用于优先数据流的服务质量〔QoS、执行策略的能力、管理VLAN传输流的能力以及易于管理和操作性。为了简化管理工作,可堆叠交换机要能够提供基于Web的多种管理方式,以及能跨交换机作相应配置和软件升级等。3.2.3安全性在安全问题上,交换机最好能够提供全面的安全功能,包括ACL、身份认证、端口隔离、支持802.1x及VLAN功能等,因为用户对于网络的安全方面要求越来越高。而最佳的网络安全控制应当从网络边缘即网络与外网或者用户接入处开始,将网络的安全屏蔽及策略执行能力分散到网络的边缘。对于园区网来说,通常要在用户访问不同的网络服务资源时,进行认证和访问控制。简单的如MAC地址与端口绑定,限制特定用户从特定端口接入。另外,接入认证方面,目前发展较快的是802.1x认证标准,而且,802.1x认证还可结合动态VLAN划分、动态ACL等。第四章研究生综合楼网络方案设计根据用户的具体需求,三个方案的内网拓扑结构都采用下图的两层交换网络结构。主机房核心交换机采用双千兆单模光纤上联到院网络中心核心交换机。各配线间接入交换机采用一条千兆多模光纤上联到主机房核心交换机。配线间接入交换机采用堆叠方式,以满足对接入端口的要求。接入交换机百兆双绞线到桌面。三个方案的管理网拓扑结构都采用下图的两层交换网络结构。4.1方案一：采用Cisco网络产品设备清单见附表一、附表二,具体设备拓扑图见附图一、附图二。4.1.1园区网〔外网的方案设计园区网采用二层结构,接入层交换机通过堆叠之后,单链路千兆连接到核心交换机。接入层交换机全部堆叠上连,Catalyst2950G-48作为主堆叠交换机,提供二个扩展插槽,Catalyst2950G-12提供二个扩展插槽；然后用其中之一插上堆叠模块,与主堆叠交换机Catalyst2950G-48进行堆叠。Catalyst2950G-48二个扩展插槽之一插千兆光模块,与核心设备进行连接。核心交换机Catalyst4507R提供千兆光接口,与接入层主堆叠交换机进行连接。内网核心交换机－Catalyst4507R〔1台,包括：引擎×2、4306模块×3、4548模块×1和电源模块×2；CiscoCatalyst4500系列可以提供无阻塞的第2－4层交换和集成化的永续性,因而能进一步加强对融合网络的控制。具有高可用性的集成化语音、视频和数据网络能够为正在部署基于互联网的业务应用的企业和城域以太网客户提供业务永续性。作为新一代CiscoCatalyst4500系列平台,CiscoCatalyst4507R〔七个插槽提供的集成式永续性增强包括1＋1超级引擎冗余,集成式IEEE802.3af兼容以太网供电、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式永续性能够最大限度地缩短网络的中断时间,从而提高生产率、利润率和客户成功率。作为思科AVVID〔集成化语音、视频和数据体系结构的重要组成部分,CiscoCatalyst4500能够通过智能网络服务将控制扩展到网络边缘,包括高级服务质量〔QoS、可预测性能、高级安全性、全面管理和集成式永续性。由于CiscoCatalyst4500系列可以提供与CiscoCatalyst4000系列线路卡和超级引擎的兼容性,因而能够在融合网络中延长CiscoCatalyst4000系列的部署时间。由于这种方式能够最大限度地减少重复性的运营开支和提高投资回报〔ROI,从而可以降低总体拥有成本。根据客户的需求,我司对Catalyst4507R进行以下的模块配置：选用WS-C4507R七插槽机框1台选用PWR-C45-1000AC电源模块2个,以实现1＋1的电源冗余选用WS-X4515引擎模块〔第四代引擎2块,以实现引擎冗余选用WS-X4306-GB6口〔基于GBIC模块的千兆模块3块,总共提供20个可用的GBIC插槽〔引擎可以提供2个；同时选用16块WS-G5484〔1000BASE-SX模块和2块WS-G5486〔1000BASE-LX/LH模块,提供16个千兆短波和2个千兆长波线速端口注：CiscoCatalyst4000/4500系列6端口千兆位以太网线卡为高速骨干网、交换机到交换机应用或小型服务器集群应用提供六个专用的1000BASE-X千兆位以太网上行链路端口。由于它使用了通用的GBIC技术,因此,内部建立的多模连接可以与长途园区网单模连接混合使用。所有端口都为高速互连应用使用千兆位以太通道或IEEE802.3ad。选用WS-X4548-GB-RJ4548口RJ45的千兆模块1块注：CiscoCatalyst4000/4500系列48端口10/100/1000BASE-T线卡能够提供从网络边缘直接到台式计算机的业界密度最高的自协商千兆位以太网。这种线卡为48个RJ-45端口提供三速自检测、自协商技术,使所有端口都能通过第5类电缆提供10Mbps、100Mbps或1000Mbps的速度,以及100米的最大距离,并提供最大的灵活性和投资保护。借助这种模块,无需更换交换机线卡就能从当今的快速以太网移植到未来的千兆位以太网,因而能为布线室提供投资保护能力。48个端口可以提升到千兆位以太网线速,共享12Gpbs交换网容量〔6Gbps全双工。如果想控制过量使用,可以改变1000Mbps端口的数量。所有端口都可以为高速互连应用使用千兆位以太通道或IEEE802.3ad。所有端口都使用标准的IEEE802.1x流量控制机制控制千兆位以太网主机流量。内网接入交换机－Catalyst2950G-48〔28台和Catalyst2950G-12〔2台；Catalyst2950G-48交换机提供2个基于GBIC的千兆位以太网端口和48个10/100BaseTx,Catalyst2950G-12交换机提供2个基于GBIC的千兆位以太网端口和12个10/100BaseTx端口；通过思科基于GBICStack的堆叠模块WS-X3500-XL,分别占用两台交换机的一个GBIC插槽提供1Gbps的堆叠带宽,Catalyst2950G-48的另一个GBIC插槽使用1块WS-G5484〔1000BASE-SX模块,提供1个千兆短波线速端口上行至核心交换机。我司采用2台Catalyst2950G-48点到点堆叠提供96个10/100BASE-Tx端口和1台Catalyst2950G-48与1台Catalyst2950G-12点到点堆叠提供60个10/100BASE-Tx端口两种方式满足用户对配线间接入密度的需求4.1.2管理网〔内网的方案设计管理网核心交换机－Catalyst3550-12G〔1台；Catalyst3550-12G交换机提供10个基于GBIC的千兆位以太网端口和2个10/100/1000BaseT端口,同时选用8块WS-G5486〔1000BASE-LX/LH模块,可提供8个千兆长波线速端口和2个10/100/1000BaseT端口管理网接入交换机－Catalyst2950G-24〔2台Catalyst2950G-24交换机提供2个基于GBIC的千兆位以太网端口和24个10/100BaseTx端口；通过一个GBIC插槽使用1块WS-G5486〔1000BASE-LX模块,提供1个千兆短波线速端口上行至核心交换机4.2方案二：采用华为网络产品设备清单见附表三、附表四,具体设备拓扑图见附图三、附图四。4.2.1园区网〔外网的方案设计园区网采用二层结构,接入层交换机通过堆叠之后,单链路千兆连接到核心交换机。接入层交换机全部堆叠上连,S3050作为主堆叠交换机,提供二个扩展插槽,S3026E提供二个扩展插槽；然后用其中之一插上堆叠模块,与主堆叠交换机S3050进行堆叠。S3050二个扩展插槽之一插千兆光模块,与核心设备进行连接。核心交换机S6506R提供千兆光接口,与接入层主堆叠交换机进行连接。内网核心交换机－S6506R〔1台,包括：引擎×2、GB8U模块×3、FT48模块×1和电源模块×3；Quidway®S6500系列高端多业务交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户的系列大容量、高密度、模块化的二、三层线速以太网交换机产品,主要作为企业的核心交换机或城域网汇聚层交换机。分布式处理体系结构,采用模块化设计,S6506/S6506R整机支持6个高速业务板插槽,提供平滑的投资和业务扩展能力。S6500系列交换机的背板带宽可达128Gbps,在满配时S6500最大可提供48GE或288FE。最大支持64K路由表项,基于最长匹配的路由方式,保证了所有报文均获得相同的转发性能,对"红马病毒"和"冲击波病毒"的攻击具有天生的防御能力。S6506R支持双主控板,S6500系列所有单板支持热插拔,电源系统采用N+1冗余热备份,支持STP/RSTP协议和VRRP协议,能够满足苛刻的电信级网络可靠性要求。支持专利的弹性资源调配系统技术,实现系统背板、交换引擎带宽、性能的最优分布；VRP™3.x网络操作系统支持,提供丰富的网络特性功能。根据客户的需求,我司对S6506R进行以下的模块配置：选用LS-B-6506R-AC220机框1台选用LS-PS-AC220电源模块2个,以实现2＋1的电源冗余选用S6506R-SRU引擎模块2块〔SalienceII型转发引擎,以实现引擎冗余功能选用LS-6506-GB8U8口〔基于GBIC模块的千兆模块3块,总共提供24个可用的GBIC插槽；同时选用16块GBIC-SX-MM850〔1000BASE-SX模块和2块GBIC-LX-SM1310〔1000BASE-LX模块,提供16个千兆短波和2个千兆长波线速端口注：华为6500系列8端口千兆位以太网模块为高速骨干网、交换机到交换机应用或小型服务器集群应用提供8个专用的1000BASE-X千兆位以太网上行链路端口。由于它使用了通用的GBIC技术,因此,内部建立的多模连接可以与长途园区网单模连接混合使用。所有端口都为高速互连应用使用千兆位以太通道或IEEE802.3ad。选用LS-6506-FT4848口RJ45的百兆模块1块注：S6500系列采用华为专利的弹性资源调配系统技术后,可实现从中心交换单元到业务处理板通道带宽的动态调整,用户可根据不同的处理板、不同的业务、不同的工作组配置不同的通道带宽,插大流量业务板的槽位就分配多一些的上行带宽,插小流量业务板的槽位就分配少一些的上行带宽,空闲没有使用的槽位就可以根本不分配上行带宽。使得整个网络的灵活性更高,从而实现系统背板、交换引擎带宽、性能的最优分布。。内网接入交换机－S3050〔28台和S3026E〔2台；S3050交换机提供2个基于千兆位以太网插槽和48个10/100BaseTx端口,S3026E交换机提供2个基于千兆位以太网插槽和24个10/100BaseTx端口；通过华为基于GB的堆叠模块LS-LSIU,分别占用两台交换机的一个GB插槽提供1Gbps的堆叠带宽,S3050的另一个GB插槽使用1块LS-GMIU〔1000BASE-SX模块,提供1个千兆短波线速端口上行至核心交换机。我司采用2台S3050点到点堆叠提供96个10/100BASE-Tx端口和1台S3050与1台S3026E点到点堆叠提供72个10/100BASE-Tx端口两种方式满足用户对配线间接入密度的需求4.2.2管理网〔内网的方案设计管理网核心交换机－S5516〔1台,包括：GL4L模块×2；Quidway®S5516具有32Gbps交换容量,24Mpps转发能力,最大支持32K路由表项,基于最长匹配的路由方式,保证了所有报文均获得相同的转发性能,对"红码病毒"和"冲击波病毒"的攻击具有天生的防御能力。强大的处理能力是构建可靠、稳定、高速的IP网络平台的重要保障。Quidway®S5516采用模块化设计,4个接口槽位,每个接口槽位可提供4个GE端口,提供多种规格千兆接口模块供选择,支持高性能SPF光接口,支持GE电口、单/多模光口模块的混合配置。根据客户的需求,我司对S5516进行以下的模块配置：选用LS-55164插槽主机一台〔含引擎和电源选用LS-GL4L4千兆长波线速端口模块2块,提供8个千兆长波线速端口。管理网接入交换机－S3026E〔2台S3026E交换机提供2个基于千兆位以太网插槽和24个10/100BaseTx端口,通过一个GB插槽使用1块LS-GLIU〔1000BASE-LX模块,提供1个千兆长波线速端口上行至核心交换机。4.3方案三：采用港湾网络产品设备清单见附表五、附表六,具体设备拓扑图见附图五、附图六。4.3.1园区网〔外网的方案设计接入层交换机全部堆叠上连,uHammer3024M作为主堆叠交换机,提供二个扩展插槽,三个堆叠接口。uHammer24E提供二个扩展插槽,然后用其中之一插上堆叠模块,与主堆叠交换机uHammer3024M进行星形堆叠。uHammer3024M二个扩展插槽之一插千兆光模块,与核心设备进行连接。堆叠接入层交换机推荐采用港湾uHammer3024M和uHammer24E。uHammer3024M作为主堆叠交换机,uHammer24E作从堆叠交换机。uHammer3024M可以通过3个4G的堆叠口进行星形堆叠,同时uHammer3024M还提供两个扩展插槽,用于上连。uHammer24E提供二个扩展插槽,用于堆叠和上连。管理网的接入交换机采用uHammer24E。核心交换机BigHammer6805提供千兆光接口,与接入层主堆叠交换机进行连接。内网核心交换机－BigHammer6805〔1台,包括：BH6-MCU×2、BH-24GE-SFP模块×1、BH-24GE-TX模块×2；BigHammer6800系列骨干智能多层交换机是港湾网络在网络融合的趋势下,针对目前城域网及园区网对核心设备高性能、高可靠性、高智能、高安全、高端口密度和复杂业务支持的要求,推出的自主研发的基于10G平台系列产品,目前已经在市场上取得了大规模应用。BigHammer6805骨干智能多层交换机包括交换容量可达400G。通过双主控、冗余电源等关键部件冗余特性以及主控板、业务板热插拔特性保证网络核心的稳定和关键业务的可靠运行；未来最高400G的交换容量保证网络核心的线速交换性能；最大192个千兆端口密度完全满足用户千兆交换和接入的需求；并且支持MPLS、VPN、BRAS、NAT、策略路由等功能。BigHammer6800系列交换机采用分布式交换架构,各个业务接口模块上均分布有Crossbar芯片和专用的硬件业务转发芯片,并且拥有独立的CPU、内存等硬件,保证系统内业务端口均可同时达到线速二、三、四层转发。根据客户的需求,我司对BigHammer6805进行以下的模块配置：选用BigHammer6805主机1台〔含电源2块选用电源模块1块,提供整机的2＋1电源冗余选用BH6-MCU引擎模块2块〔提供128G交换容量,以实现引擎冗余功能选用BH-24GE-SFP24口〔基于SFP模块的千兆模块1块,总共提供24个可用的SFP插槽；同时选用16块SFP-GE-MM-550〔1000BASE-SX模块和2块SFP-GE-SM-10K〔1000BASE-LX模块,提供16个千兆短波和2个千兆长波线速端口注：港湾BigHammer6805交换机每个模块与crossbar的连接带宽为32G,能够保证16个千兆端口线速转发,具有非常小的阻塞比。选用BH-24GE-TX24口RJ45的线速千兆模块2块,通过48个线速千兆电接口。内网接入交换机－uHammer3024M〔16台、uHammer24E〔42台；uHammer3024M和uHammer24E固化24个10/100BaseTx端口,uHammer3024M作为主堆叠交换机,uHammer24E作从堆叠交换机。uHammer3024M可以通过3个4G的堆叠口最多与3台uHammer24E进行星形堆叠,同时uHammer3024M还提供两个千兆SFP端口,用于上连。我司采用1台uHammer3024M与1－3台uHammer24E进行星形堆叠提供24/48/72/96个10/100BASE-Tx端口的灵活方式满足用户对配线间接入密度的需求4.3.2管理网〔内网的方案设计管理网同样两层结构,千兆骨干的设计方式。管理网核心交换机－FlexHammer5610E〔1台；FlexHammer5610E全千兆智能路由交换机采用灵活的模块化的结构,基于硬件的L2/L3线速交换架构。FlexHammer5610E提供12个GBIC插槽,支持千兆铜缆、光纤扩展模块,同时选用GBIC-GE-SM-10K单模光纤模块8块,提供8个千兆长波线速端口。管理网接入交换机－uHammer24E〔2台uHammer24E固化24个10/100BaseTx端口和两个千兆扩展插槽,同时选用HC-1SFP〔不含SFP模块和SFP-GE-SM-10K单模光纤模块各1块,提供1个千兆长波线速端口,用于上连。4.4网络详细规划4.4.1设备命名为了管理和使用方便,网络中所有的网络设备名称进行统一的规划。园区网交换机命名方案：L[n][X]--[YYYY][n]L标示楼层n表示楼层数,用0表示主机房X表示配线间,东用E表示,西用W表示,教室用S表示,大教室S0,小教室分别为S1,S2YYYY――四位数字,表示设备类型：比如6805,3024等n表示设备编号。管理网交换机命名方案：M-L[n][X]--[YYYY][n]4.4.2VLAN设计在本方案中,Cisco、华为、港湾交换机都支持多种VLAN功能,包括基于端口的VLAN,标准的802.1QVLAN及SupperVLAN功能,同样也都支持基于协议的VLAN及动态VLAN。VLAN的合理划分可以有效的隔离广播,减小冲突域,提高网络效率以及安全性。vlan设计在网络中起到举足轻重的作用,目前VLAN的划分通常基于两种方式：按照地理位置来划分vlan,按照用户群来划分vlan。按照地理位置来划分vlan,可以简化网络的拓朴和配置,但这并非一个好的设计方法：因为地理位置相近的用户不一定有资源共享的需求。按照用户群来划分vlan,使通信最多的用户群处于同一个vlan下,一方面可以保证通信最多的用户之间使用二层交换协议,而性质不同的用户之间,通信量较少,采用三层交换协议,无疑提高了网络的效率；通信最多的用户群体一般属于相同性质用户如同一个部门等,相互之间有信任关系,网络的安全性能同样会提高。但是,这种vlan划分使得网络拓朴和配置变得复杂,增加了管理的难度。因此如何来划分vlan,需要我们从管理上、配置上、拓朴结构上、通信量上和网络安全上来全盘权衡考虑。针对园区网,因为涉及办公使用和学生使用。在vlan划分上采用两种方式：办公网：使用第二种方式――按照用户群――划分VLAN,因为需要跨越交换机,我们采用802.1q的VLAN方式。学生网：采用基于端口的vlan,用来隔离学生之间的访问。管理网的网络规模小,可以让所有端口和设备处于同一个Vlan中。4.4.3地址设计为了合理使用IP地址,提高有限的IP地址资源的使用率,本网需要根据各节点用户数的数量采用VLSM技术合理规划IP地址,同时还应当结合考虑IP地址的分配应当有利于路由汇总,减少路由表的数量。园区网地址规划采用结构化的方式,分层划分。一级子网络化：教室和办公区分配前缀为23位的IP地址段,即二个C类地址,前缀为23位的IP地址段将提供超过500个可用的IP地址。学生宿舍区分配前缀为22位的IP地址段,前缀为22位的IP地址段将提供超过1000个可用的IP地址。二级子网化教室和办公区以27位的掩码为基准,进行子网划分,即每个子网有30个可用地址,中心局域网采用第一和第二个子网,掩码相应为26位。核心设备互连地址采用最后一个最后一个子网,从核心开始,依次分配。根据VLAN的大小,依次确定网段大小。学生宿舍区因为采用了基于端口的Vlan进行了隔离,使用每个用户只能和上连端口通信,因此网络地址以24进行子网化。。核心层设备与汇聚层设备互连,VLAN地址采用子网最后一个IP地址。设备地址采用子网第一个IP地址。管理网可以用一个26位前缀的地址块进行分配。4.4.4网络安全设计〔可选建设成的网络,将服务于学校的科研教学和信息交互。复杂的应用和多样的访问使得在进行网络设计时,需要充分考虑网络的安全,保证信息和资源被合法的利用。网络安全从用户层、网络层与应用层这三个层次来共同保证。在网络方案中我们考虑用户层安全和网络层安全。用户层安全采用三种技术保证用户层安全：802.1x认证：确保网络被授权的人使用。802.1x的部署,使得网络使用者是谁的问题得到了解决。为了进一步提供安全性,建议对交换机端口、IP地址、Mac地址和用户名进行捆绑。基于端口VLAN：控制用户行为,禁止用户之间的访问。网络层安全设备安全控制、广播攻击防范保证网络层的安全：1.设备安全控制：关闭不必要的服务：关闭所以路由器上的不必要的服务,如Finger、Bootp、Http等。设置加密特权秘密：使用加密的特权秘密,注意密码的选择。不使用登录名,不管以何种形式〔如原样或颠倒、大写和重复等不用名字的第一个、中间一个或最后一个字不要用最亲近的家人的名字不要用其他任何容易得到的关于你的信息不要使用纯数字或完全同一个字母组成的口令不使用英文单词不使用短于6位的口令不要把口令告诉任何人……设置NTPserver：为了保证全网网络设备时钟同步,必须在网络设备上配置NTP。配置日志：在所有的路由器上配置相应的日志选项。设置LOG和DEBUG的时间标记：为了方便排错和管理日志,在Log和DEBUG信息上加上时间戳。配置Consle,Vty,Aux等的登录控制：配置consle,vty,Aux的登录控制,避免非法访问。限制远程登录的范围：缺省情况下,从任何地方都可以登录网络设备。为了增加网络设备的安全性,需要对远程登录的范围进行限制。配置SNMP：设置SNMP只读和读写串,启用ACL限制可以通过SNMP的访问。配置特权等级：合理设置管理员的操作权限。2.广播攻击防范：对网络非正常广播和攻击进行主动控制。4.4.5用户接入交换机支持对mac＋ip＋port的绑定,同时提供基于端口的IEEE802.1x认证。建议在新网所有pc进行802.1x的认证,同时,为某些特殊的应用,进行mac+ip＋port的绑定。在网络管理中心,可以学习第一次接入网络的pc的mac地址,因此网络管理员不需要手动的大量输入mac地址。以太网是一个广播型网络,虽然VLAN的划分可以有效的减小广播域,但是针对终端恶意的广播攻击,同一VLAN中的所有用户都要受到广播风暴的影响,为了避免该问题的发生,港湾网络交换机支持在端口上进行广播抑制。4.5网络管理系统〔可选4.5.1CISCO网管系统－CiscoWorks2000LAN管理解决方案局域网管理解决方案〔LMS是CiscoWorks2000网络管理系列产品之一。它为园区网提供了配置、管理、监控、故障检测与维修工具,同时还包括了用于管理局域网交换和路由环境的应用软件。利用Internet的开放式标准及Cisco设备与操作系统的内在功能,局域网管理解决方案使网络管理员能够有效地管理整个局域网或园区网。Web浏览器为关键应用提供了便于使用的接口,如拓扑映象、配置服务以及有关园区交换网的主要系统、设备、故障和性能等信息情况。由于上述应用是具有Web和浏览器访问功能的,因此管理员可从网络的任何地方自由获取这些网络工具。局域网管理解决方案提供的灵活的安装能力使其能够安装在常用的网络管理系统〔NMS产品之外,或者与之并列安装。鉴于其Web结构,局域网管理解决方案工具可与任何在网络中运行的不同服务器上的常用NMS相集成。局域网管理解决方案与其他CiscoWorks2000解决方案一样,不需要预先配置NMS,并可以随时直接添加到您的网络中。这种多供应商并存与链接能力代表了Cisco一贯追求生态体系的方针：即采用基于浏览器的访问性和集成技术,为您提供一种端到端的Intranet管理形式。局域网管理解决方案为园区网管理工具奠定了坚实的基础,并对CiscoWorks2000的其他产品给予补充。例如,路由WAN管理解决方案体现了广域网的需要。服务管理解决方案则为定义和管理服务级协议提供了一种集中管理方法。而虚拟专网/安全性管理解决方案将web应用集成起来,有助于安装和监控虚拟专网及其安全设备。4.5.2华为网管系统华为Quidview网络管理平台能实现网络的性能管理,故障管理,配置管理,安全管理和计费管理等基本管理功能及其它功能。Quidview具有强大的管理功能,为用户提供路由器设备管理、交换机设备管理、集群管理、堆叠管理、视频设备管理、设备日志与告警和RMON等功能,同时还提供了EasyConfig、NSC&NDA以及TrafficView等工具组件,其目标是要成为一个更稳定、更完善的华为公司数据通信产品的通用网管平台。网络管理工具是保证网络正常运转,业务正常运行的必备的工具,通过网络管理软件不但能够及时发现网络的问题,对网络的变化做出迅速的相应,而且可以通过网络管理工具对整个网络进行优化,达到充分利用网络资源的目的。网络建设成后的管理、维护工作是一个任重道远的工作。在网络管理上目前华为提供下面三种网络管理软件：①网络设备管理组件,包括：EMF－ElementManagmentFramework,网络管理平台软件；WANManager－广域网网元管理软件,包含Quidview、TrafficView、easyconfig、ERMS；LANManager－局域网网元管理软件,包含QuidViewStackManager、HGMPManager、TrafficView、easyconfig、ERMS；MediaManager－语音、视频管理软件。②网络管理工具组件,主要提供NSC&NDA〔网络流量搜集和分析工具③网络业务管理组件：包括QoSManager和VPNManager。上述三种组件可以根据网络的情况,即可以单独使用,也可以灵活的组合使用。华为网络管理软件具有良好的适应性,目前可运行在Windows、IBMAIX、HPUnix和SUNSolaris等操作系统上；并且不但可以运行在自己的平台之上,还可利用业界的如IBMNetview、HPopenview、CAUniCenterTNG等平台,互相配合完成对网络的管理。华为的各个管理软件均提供如下功能：直观的图形化管理界面：图形化的操作界面〔GUI,操作简单、显示直观；全仿真、完整的设备视面板图；接口颜色的变化直观地反映设备各接口的运行状况。丰富的配置管理功能：提供了命令行和图形化的配置方式,便于用户对网络进行配置管理。全中文操作界面：提供双语支持,可以根据用户的需要在中、英文界面之间灵活切换,便于用户使用。全线产品的管理：可管理华为全系列路由器、以太网交换机、视频、IP语音和接入服务器产品。同时每一种管理软件由提供各自的管理特点,LANManager中的QuidViewStackManager则是华为公司对于QuidwayS系列以太网交换机提供网元级的管理系统。它为管理员提供了两个方面功能：设备管理和堆叠管理,即不仅能够管理单个交换机设备,同时还可以对由多个交换机设备组成的堆叠进行管理。QuidviewStackManager可管理的以太网交换机包括：QuidwayS2000系列、QuidwayS3000系列、QuidwayS5516、QuidwayS6506和QuidwayS8016以太网交换机。4.5.3港湾网管系统港湾网络分析了建网的不同层次,提供两套网管系统满足需要。一个是网元管理系统HammerView,一个是网络管理平台EasyTouch。网元管理系统HammerView可以对于港湾的全网设备能做到深入细致智能的管理,包括设备的配置管理,故障管理,安全管理,集群管理,权限管理。网络管理平台EasyTouch作为统一管理平台,能自动发现全网〔广域网、城域网和大型园区网设备的拓扑结构,并通过开放式接口,灵活集成多厂商的网元管理系统,对全网设备进行深入细致的配置管理。同时,作为统一网管平台,可以作到全网故障,性能,安全等的管理。网管平台EasyTouch提供中文操作界面,面板式管理方法,支持多操作系统平台和多数据库,模块化管理,功能强大,但简单实用。同时,适应网络不断发展的需要,网管平台EasyTouch还支持分布式管理。既能解决网络管理目前面临的问题,还能在保护投资的前提下平滑的扩展网络管理规模。4.5.4网管产品功能特色以下简单介绍一下网管产品的特色功能。比如：分级分权网管、黑客攻击自动防范〔广播风暴自动抑制、手机短信告警、智能策略网管、集群管理、端口环回测试。在网络规模发展的过程中,网管系统除了能满足集中网管的需要,还会随着网络分支管理的需要而增加分级分权的网管功能。以教育城域网为例,教育信息中心作为总的网管中心,负责整个骨干网络以及全网的设备管理,而6个骨干节点可作为分管理中心,管理本节点下连的各个学校的相关设备。分节点网管能力受到教育信息中心网管的控制和授权。既保证了集中统一管理,又保证各分节点具有一定的管理权限,分担信息中心网管的工作量。网络上涉及到WWW,E-MAIL,EPR等各种业务,视频、话音、数据等各种应用；各种层次的领导用户等。网管系统可以对全网的应用业务和用户进行QoS策略配置。从而保障关键应用,关键业务,关键领导的优先级和