综合信息大楼网络系统设计施工方案

目录1 项目概况 -1-1.1 项目背景 -1-1.2 建设目标 -1-1.3 工程范围 -1-1.4 网络信息点位分布与数量表 -1-2 总体设计 -3-2.2 网络拓扑图 -19-2.3 网络冗余设计 -22-2.4 路由规划 -22-2.5 应用VRRP技术 -24-2.6 选择组播协议 -27-2.7 IP地址分配原则 -29-2.7.1 内网IP分配规划 -29-2.7.2 外网IP分配规划 -30-2.7.3 典型组网应用 -36-2.8 用户的安全接入管理 -37-3 网络系统安全特性 -38-3.1 防止对DHCP服务器的攻击 -47-3.1.1 PrivateVLAN -47-3.1.2 访问控制列表 -48-3.1.3 网络入侵产品选型 -53-3.2 网络入侵检测产品部署 -56-3.2.1 NetEyeIDS部署建议 -56-3.2.2 NetEyeIDS的集中管理 -57-3.3 本系统外网网络防病毒技术要求 -64-3.4 网络防病毒需求分析 -66-3.5 防病毒解决方案 -68-3.5.1 设计思想 -68-3.5.2 防病毒规划 -69-3.5.3 部署产品 -69-3.5.4 部署示意 -69-3.5.5 部署防病毒系统实现的效果 -70-3.6 网络版防毒系统介绍 -71-3.6.1 网络版产品简介 -71-3.6.2 网络版系统需求 -72-3.6.3 网络版部署方式 -73-3.6.4 网络版管理方式 -74-3.6.5 网络版升级方式 -74-3.6.6 网络版功能特色 -74-4 设备安装场地及环境要求 -82-4.1 机房的选址建议要求 -82-4.2 机房的建筑建议要求 -82-4.3 网络设备工作环境的要求 -83-4.3.1 温度和湿度要求 -83-4.3.2 洁净度要求 -84-4.3.3 防静电要求 -84-4.4 工程界面 -87-4.5 工程实施组织结构和分工 -88-4.6 项目实施 -97-4.6.1 安装准备 -97-4.7 工程文档 -104-5 验收方案 -105-5.1 验收的方法与步骤 -105-5.2 验收测试标准 -105-5.3 验收测试流程 -105-5.4 整体系统验收 -106-5.5 检测方法与目的 -107-5.5.1 设备到货验收 -107-5.5.2 初验收 -111-5.5.3 系统终验 -113-项目概况项目背景目前，XXX办公大楼改造已进入工程实施阶段，即将建成。届时1#、2#和3#楼将通过光纤链路和综合布线系统进行组网，实现的办公内部网络。为充分发挥XXX办公大楼的作用，有必要在楼内进行办公网络联网建设，实现真正意义上的内部网络连接，同时建设于内网完全物理隔离的办公外网，提高办公自动化程度，进一步加速和推进的信息化建设。通过与工程技术人员进行详细的技术交流并到办公大楼现场考察，在充分理解用户方需求的基础上，提出本设计方案。建设目标在XXX办公大楼综合布线系统的基础上，建立起联系3座办公楼内的所有单位内部办公网络和外部办公网络，集信息收集、传递、发布等多功能为一体，可用图、文、声、像等多媒体方式进行信息交互的专用办公内网。可以实现部属机关内部的互联互通、数据传输，使信息交互的实效性更加增强，提高可靠性和信息化办公程度，从而降低总体办公费用。工程范围本次网络工程范围是1#、2#、3#三栋办公楼，总建筑面积约为6500平米。每栋大楼均有两个独立的弱电竖井，本次改造要求内网、外网之间物理隔离，内网、外网由弱电竖井分别置各层。本大楼的功能定位对数据通信有较高的要求，因此垂直主干设12芯多模光缆，水平布线全面采用6类线缆。重点部分区域建议光纤到桌面。内网、外网网络机房均设在3#楼4层。网络信息点位分布与数量表1#2#3#楼网络信息点位分布与数量表楼号楼层网络信息点数量光网点内网点外网点1#1097548548F1384877F1883866F161281315F171241274F10981433F18901082F972921F86468地下1F044地下2F0782#731975201312F4373911F1018518810F102072109F61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地下1F0911地下2F047491#654835258F351557F1586886F51221275F513204F1752553F618262F7961011F71422地下1F055地下2F02626合计24732123392总体设计1 总体设计1.1 设计依据 《信息化网络集成项目比选文件》； 国内国际信息化建设相关标准和规范； 政府、企业网络建设方面的丰富的经验。1.2 设计原则我们在进行总体设计和设备选型时遵循以下设计原则：（1） 可靠性高可靠性是大楼智能化的重要标准。采用先进的设计思想，提供连续的网络工作环境，系统应具有较强的自动纠错能力，合理的网络链路策略，确保系统7X24小时正常服务。（2） 扩展性随着业务发展，需求也会不断增长，因而对大楼网络系统要求有很高的扩展性。设计时应支持多种的系统标准，达到在各个系统上提供一些预留接口，使得在用户需要时，系统可以跨越现有的平台，增加新的功能，实现平滑的扩展。采用的技术和设备遵循相关国际、国内标准，能支持各种相应的接口和标准协议，具有兼容性、灵活性和可移植性。（3） 先进性和成熟性在对系统进行设计时，要符合当今技术发展方向，系统硬、软件的选择和系统的设计，采用符合当前技术和管理发展方向的先进性技术和思想。同时，确保设备和技术都是有成功应用先例的。使用被证明了是成熟的设备和技术，减少实施风险。（4） 安全性XXX办公大楼是国家政策、文件、信息的核心地。承担着极其重要的工作。系统安全性主要体现在防止来自外部对网络的攻击、侵扰、病毒。保证文件信息的不篡改不丢失。中选单位必须有中国信息安全评测认证中心的《信息安全服务资质标准》的信息安全服务资质认证。（5） 可维护性为确保投资的有效性和大楼的实用性，应针对功能特点选用设备和技术，并尽量简化系统配置步骤，使其容易得到维护和维修。2 网络系统本规划将从当前及未来一个时期内应用的实际出发，对信息管理系统的基础设施—网络系统进行规划设计，从而达到一个先进、高效、可靠、实用和便于维护、扩展性能较强的网络，为信息化提供稳定和功能强大的网络平台。2.1 网络协议的选择本网络系统以TCP/IP为主要协议。因为TCP/IP协议簇是目前众多计算机网络最流行的协议，以它为基础组建的Internet网是目前国际上规模最大的计算机网间网，采用TCP/IP为网络主要协议，可保证系统各部分网络保持一致。2.2 网络技术选择网络技术发展很快，新技术层出不穷，有的具有旺盛的生命力，如以太网技术；有的很快就被淘汰，如TokenRing、FDDI等。因此，就给用户投资带来一定的风险，如何把握网络发展的方向，选择合适的技术和产品非常重要。在本项目中，我们采用千兆以太网作为骨干网技术，同时，我们将采用一些其它的先进且成熟的网络技术，如VLAN、三层交换、虚拟路由器冗余协议（VRRP，RFC2338）、入侵检测（IDS）、服务质量（QoS）、组播（MultiCast）等，使整个网络具有优异的性能、良好的安全可靠性及未来的可扩展性。下面重点介绍几种先进实用的网络技术。2.2.1 VLAN（VirtualLANs）随着网络技术日新月异，L3，L4交换已经非常成熟。Internet中也越来越广泛地应用了交换技术，全交换网络已经非常普遍。在这些网络中，VLAN的使用是必不可少的。VLAN是一个根据作用、计划组、应用等进行逻辑划分的交换式网络。与用户的物理位置没有关系。举个例子来说，几个终端可能被组成一个部分，可能包括工程师或财务人员。当终端的实际物理位置比较相近，可以组成一个局域网（LAN）。如果他们在不同的建筑物中，就可以通过VLAN将他们聚合在一起。同一个VLAN中的端口可以接受VLAN中的广播包。但别的VLAN中的端口却接受不到。VLAN提供以下一些特性 简化了终端的删除、增加、改动当一个终端从物理上移动到一个新的位置，它的特征可以从网络管理工作站通过SNMP或用户界面菜单中重新定义。而对于仅在同一个VLAN中移动的终端来说，它会保持以前定义的特征。在不同VLAN中移动的终端来说，终端可以获得新的VLAN定义。 控制通讯活动VLAN可以由相同或不同的交换机端口组成。广播信息被限制在VLAN中。这个特征限定了只在VLAN中的端口才有广播、多播通讯。管理域（managementdomain）是一个仅有单一管理者的多个VLAN的集合。 工作组和网络安全将网络划分不同的域可以增加安全性。VLAN可以限制广播域的用户数。控制VLAN的大小和组成可以控制广播域的相应特性。在VLAN中应用最广的就是GVRP和STP技术。它们是VLAN中优点的集中体现。2.2.2 三层交换技术现在，网络业界对“三层交换”这个词已经不感到陌生了，在中大型规模网络建设中，以千兆三层交换机为核心的主流网络模型已不胜枚举。其实，三层交换从其出现到今天的普及应用也不过几年的时间，计算机网络加速度式的迅猛发展势头，实在快得令人吃惊。“三层交换”概念的出现，与VLAN有着密不可分的联系。事实上，一个虚拟网就是逻辑上的子网。为了避免在大型交换机上进行广播所引起的广播风暴，可将其进一步划分为多个虚拟网。在一个虚拟网内，由一个工作站发出的信息，只能发送到具有相同虚拟网号的其他站点，而其他虚拟网的成员收不到这些信息或广播帧。由于网络变得越来越复杂，性能要求也越来越高，这就要求网管员能够成功地部署VLAN，从而使网络更加灵活而且易于管理。以往，网管员将3/4的时间花费在维护网络的基础结构，确保通信流量的优化，并处理移动和变更等工作。通常情况下，当一名用户转移到网络中另一个物理位置时，需要重新配置网络，甚至还有用户的工作站需要进行大量的管理工作。针对于此，VLAN的部署就是将通过减少管理网络中移动与变更所需的资源，从而实现为用户节约大量宝贵的资源。VLAN技术还可以在以下关键领域内为用户提供价值： 比路由器更具有成本效益的广播控制，有效抑制广播风暴。 支持多媒体应用与高效组播控制，提高网络带宽的有效利用率。 提高网络的安全性，各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制。 网络监督与管理的自动化，更多的有效的网络监控。 减少路由需要，基于ASIC技术，大幅度提高设备的数据包转发能力。VLAN之间如何通信？简单回答就是“通过路由”。因此，这种技术也引发出一些新的问题：虚拟网之间通信是不允许的，这也包括地址解析(ARP)封包。要想通信，就需要用路由器桥接这些虚拟网，这就是虚拟网的问题：用交换机速度快但不能解决广播风暴问题，在交换机中采用虚拟网技术可以解决广播风暴问题，但又必须放置路由器来实现虚拟网之间的互通。在这种网络系统集成模式中，路由器是核心。过去的网络在一般情况下按“80/20分配”规则，即只有20%的流量是通过骨干路由器与中央服务器或企业网的其他部分进行通信，而80%的网络流量主要仍集中在不同的部门子网内。而今天，这个比例已经提高到了50%（“平分秋色”）甚至80%（倒二八，20/80），这是因为今天的网络正在经历着诸多应用的集合影响。网络应用已经超越了组件和电子邮件，新型应用已经如此迅速和深刻地冲击着网络，比如，任何人通过任何一个浏览器便可进行访问设定的Web网页，支持诸如销售、服务和财务之类商业功能的数据仓库。这种变化对传统路由器产生了直接的冲击。因为传统的路由器更注重对多种介质类型和多种传输速度的支持，而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。路由器的高费用、低性能，使其成为网络的瓶颈。但由于网络间互连的需求，它又是不可缺少的并处于网络的核心位置，虽然也开发了高速路由器，但是由于其成本太高，仅用于Internet主干部分。在这种情况下，提出了三层交换技术。三层交换机是采用Intranet应用的关键，它将二层交换机和三层路由器两者的优势有机而智能化地结合成一个灵活的解决方案，可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性，不仅使二层与三层相互关联起来，而且还提供流量优先化处理、安全访问机制以及多种其它的灵活功能。三层交换机分为LAN接口层、二层交换矩阵层和三层交换矩阵（路由控制）层三部分。三层交换机的应用其实很简单，主要用途是代替传统路由器作为网络的核心。因此，凡是没有广域网连接需求，同时需要路由器的地方，都可以用三层交换机代替。在企业网中，一般会将三层交换机用在网络的核心层，用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。因为其网络结构相对简单，节点数相对较少。另外，其不需要较多的控制功能，并且要求成本较低。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。2.2.3 VRRP当路由器功能出现故障时，VRRP（虚拟路由器冗余协议，RFC2338）通过同一个局域网中的另一台路由器来保障网络的正常运行。通过设置虚拟路由器为缺省路由器，终端用户在路由器发生故障时可以继续通信，而不必考虑转换到另一台路由器上。利用同一个以太网中的两台路由器设置一台虚拟路由器。在实际运行中，两台路由器中的任一台成为主路由器，该主路由器模拟虚拟路由器。备份路由器监控主由器状态。一旦主路由器出现故障影响网络运行，备份路由器立即进入主路由器状态以模拟虚拟路由器。IP地址被分配给虚拟路由器。指定虚拟路由器IP地址为缺省路由器的服务器将不会觉察主路由器的切换而继续进行正常通信。关于VRRP的详细设计和部署情况请参见后续章节。2.2.4 其它网络技术在本网络中，除了采用三层交换和VRRP技术，根据应用情况，还可采用组播（Multicast）、QoS和负载均衡等先进网络技术。全面支持MultiCast：选择设备全部支持MultiCast，主干设备支持DVMRP、PIM、IGMP、GARP组管理协议和多点发送、多点广播协议，充分适应网络特殊网络传输要求。一定的QoS保证：核心设备支持RSVP、CAR(CommittedAccessRate)以及可配置门限的多种队列采用WAED、WRR、业务类型/业务级别(ToS/CoS)映射机制，在满足基本要求前提下保持高性价比，也为多媒体应用提供了坚实地网络基础。负载均衡实现：在核心设备上通过设置不同的VLAN的优先级，可将所有的VLAN流量分担在各楼的两台汇聚设备上，通过两台汇聚设备的VRRP功能，实现网络层的负载均衡。也可根据未来网络扩展的需求，增加相关的专用负载均衡设备实现3-7层的负载均衡功能。2.3 网络设计概要XXX办公大楼内、外网网络系统项目的总体设计目标以高可靠性、高安全性、高性能、极好的可扩展性和有效的可管理性为原则，同时兼顾考虑到技术的成熟性、先进性和可扩充性，网络系统设计采用层次化、结构化的设计方法。根据对本系统网络需求的初步分析，确定办公内、外网网络采用多千兆链路捆绑，百兆到桌面的方案，本方案具有较好的性能价格比，整个网络采用分层设计技术，骨干为网络中心与1#、2#和3#楼之间的多千兆光纤线路，接入网为各终端节点的10/100M以太网接入线路。核心设备使用高端路由交换机，接入设备选用具备三层交换功能的接入交换机。各楼内采用虚拟网VLAN技术实现功能群的划分，VLAN可在汇聚设备上创建。利用统一的标准调整网络规划，避免可能的不兼容性，保证整个网络的统一架构。根据我们对网络系统需求的初步分析并结合本系统的特点，我公司提出一套基于华为3COM网络设备的解决方案，本方案具有较好的性能价格比，内网和外网全部采用分层设计，利用统一的标准调整网络扩容规划，避免可能的不兼容性，保证整个内、外网络的统一架构。2.4 网络的分层设计XXX办公大楼内、外网网络系统设计为两级网络，三级设备节点：以网络中心（中心节点）为中心，边界至1#、2#和3#楼（汇聚节点）的骨干网；以1#、2#和3#楼（汇聚节点）为中心，边界至同各配线间（接入节点）的接入网；本系统的办公内、外网拓扑为冗余树型结构，无汇聚与汇聚和接入与接入节点之间有物理直联的需求。因此所有汇聚节点之间的通信全部经过网络中心的核心路由交换机实现数据交换，比较容易对各楼之间的流量和访问控制进行有效控制。层次化设计的优点为：可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其它层次造成影响，无需改变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。2.4.1 核心层核心层为汇聚和接入层提供优化的数据输运功能，它是一个高速的路由交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中（ACL，过滤等），否则会降低数据包的交换速度。内外网核心层设备各包括两台核心交换机。2.4.2 汇聚层汇聚层提供基于统一策略的互连性，它是核心层和接入层的分界点，定义了网络的边界，对数据包进行复杂的运算。汇聚层主要提供地址的聚集、部门和工作组的接入、广播域/多目传输域的定义、InterVLAN路由、任何介质的转换和安全控制等功能。在内、外网中，1#、2#和3#办公楼各有2个汇聚层交换机，通过OSPF和VRRP实现设备和链路的冗余备份。2.4.3 接入层接入层直接为各接入用户提供的网络访问接入。本系统的接入设备选用支持802.1x功能的接入交换机。2.4.4 选用华为3COM的网络设备本项目中涉及的网络设备种类不多，但各设备类别具体需求各不相同，因此在选择设备厂商时，应考虑选择技术先进，产品线丰富，售后服务周到，且具有良好信誉的网络设备厂家。网络设备的选择原则如下：1．必须支持本系统目前以及未来涉及到的网络技术，如Trunking、VLAN/PVLAN、RoutingSwitch、ACL、QoS、Multicast及多种路由协议等；2．必须支持多协议下的局域网络互连；3．必须支持国际/国内网络技术标准，与不同厂商的网络安全产品有较好的互连性；4．必须支持SNMP网络管理协议；5．所选产品必须具有良好的发展前景，能适应未来网络技术的发展；支持向未来网络新技术的平滑过渡。6．所选网络设备必须能够在不影响性能的情况下实现平滑升级。7．所选网络设备必须要能够在网络中心利用网管软件进行统一网管。在当今网络设备的市场上，比较著名的厂商有华为3COM、Cisco、NORTELNetworks等。其中，华为3COM公司在政府、企业网络、住宅宽带产品、基于Internet协议的电话、以太网连接、网络服务供应商的远程接入与无线解决方案等领域都可提供高性价比的解决方案。因此我们在本项目网络设计中选用华为3COM公司的网络设备。 核心设备：华为3COMQuidway®S8512S8512具有720Gbps的交换容量，背板为1.8Tbps（可扩展至3.6T），多层硬件转发能力为428Mpps，完全满足本网络对核心路由交换的需求。另外，S8512未来还可顺利增加防火墙模板和IDS模板，以保证核心交换机的安全功能平滑升级，从而在网络核心层为提高内、外网络的安全性提供更丰富的解决方案。 汇聚设备：华为3COMQuidway®S6506S6506具有384Gbps的交换容量，背板为1.6Tbps，完全满足本网络对汇聚路由交换的需求。 接入设备：华为3COMQuidway®LS-3952-P/LS-3928-PLS-3952-P和LS-3928-P具有32Gbps的交换背板，多层硬件转发能力分别为13.2和9.6Mpps，完全满足本网络对接入交换机的需求。上述华为3COM的交换机都是具有较高性价比的产品，并且具有较大的扩展性。2.4.5 网络规划由于内外网的重要性，本次项目必须能够为用户提供不间断的网络服务，因此建议全网络采用全冗余结构（设备冗余、线路冗余）互连。内网设备统计见下表：内网楼号楼层数据点接入交换机(48口)接入交换机(24口)汇聚交换机核心交换机1号楼8F84227F8326F12835F12434F98213F9022F72111F642B1F4B2F71号楼小计754172202号楼12F371211F185410F207419F17348F207417F17346F17345F17344F18343F18342F12931F9631B1F9B2F472号楼小计1975433203号楼8F5111227F8626F12235F1314F52113F1812F9621F141B1F5B2F263号楼小计48310422合计321270962由于每接入交换机具备48或24个端口，因此接入层交换机数量可根据内网的每层设备间管理的信息点数计算得出，内网需配置70台48口和9台24口交换机。其中多余的端口作为备用端口。内网在1#、2#和3#楼各需配置2台单引擎的汇聚交换机。内网的2台核心交换机位于3#楼的4层，为了保证核心设备的高效稳定运行，减少核心设备宕机对网络产生重要影响，需配置冗余引擎。外网设备统计见下表：外网楼号楼层光网数据点接入交换机(48口)接入交换机(24口)汇聚交换机核心交换机1号楼8F1387227F188626F1613135F1712734F1014333F18108212F99221F8682B1F4B2F81号楼小计109854191202号楼12F4391211F10188410F10210419F617648F10210417F617646F617645F617644F618643F618642F113231F29831B1F11B2F492号楼小计732013433203号楼8F35511227F158826F512735F52014F1755113F62612F7101211F72211B1F5B2F263号楼小计6552511522合计247339273962由于每接入交换机具备48或24个端口，因此接入层交换机数量可根据外网的每层设备间管理的信息点数计算得出，外网需配置73台48口和9台24口交换机。其中多余的端口作为备用端口。外网在1#、2#和3#楼各需配置2台单引擎的汇聚交换机。外网的2台核心交换机位于3#楼的4层，为了保证核心设备的高效稳定运行，减少核心设备宕机对网络产生重要影响，需配置冗余引擎。Quidway®S8500系列核心交换机是由华为3Com公司自主开发的新一代高性能核心路由交换机产品，可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商IP城域网核心层、汇聚层。Quidway®S8500系列基于新一代核心交换机的设计理念，具备大容量高性能、可扩展能力强和业务与性能兼具的特点。Quidway®S8500系列支持新一代高性能接口，能够为城域网、园区网、数据中心提供超高速链路，构建端到端以太网络，打造低成本、高性能、具有丰富业务支持能力的高性能网络。Quidway®S8500提供大容量、高密度、模块化的二、三层线速转发性能，内置强劲的全分布式业务处理引擎，以全线速处理二层、三层、MPLSVPN、组播等各种业务流量，提供完善的QoS保障、安全管理机制和电信级的高可靠设计，满足大型IP网络对多业务、高可靠、大容量、模块化的需求。1)先进的体系结构Quidway®S8500系列产品采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板，不单独占用设备槽位，可提供高达720Gbps的交换容量，并可平滑升级到1.44Tbps的交换容量。接口板通过多条高速总线分别连到两块主控板上的Crossbar交换网，从而实现真正的双主控、双交换网的热备份，极大的提高了系统的可靠性。Quidway®S8500系列产品采用高性能的最长匹配、逐包转发的方式，在保持线速性能和低成本的基础上，革命性的解决了传统交换机流Cache精确匹配转发的致命缺陷，能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。2)大容量、高密度线速交换Quidway®S8500系列产品目前最高可以提供720Gbps交换容量/428Mpps包转发能力，并可平滑升级到1.44Tbps交换容量、857Mpps转发能力。支持各种高密度业务板和组合业务板，整机可支持高达576个千兆端口的同时线速转发，满足核心层设备大容量、高密度的要求。3)强大的业务支撑能力Quidway®S8500支持MPLSVPN业务；支持丰富的组播协议（IGMP、IGMPSNOOPING，PIM-SM、PIM-DM和MSDP/MBGP等）；支持WebSwitch（硬件支持）、NAT（硬件支持），内置防火墙（硬件支持）、IDS；支持POS/ATM、RPR等接口。4)MPLS/IPv6分布式线速支持Quidway®S8500系列产品遵循业务与性能并重的设计理念。一方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升，另一方面业务的发展要求核心交换机更加智能化并具备更强的业务提供能力。Quidway®S8500系列产品采用功能强大的ASIC芯片实现MPLS、IPv6的分布式线速转发，并能够基于高性能NP实现线速NAT、WebSwitch等增值业务，在为用户提供全面的有保障业务的同时，也做到根据需求业务可裁减。5)完善的QoS机制Quidway®S8500系列产品提供了灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式；支持8个优先级队列，3个丢弃优先级；支持WRED拥塞避免算法和端口流量整形。支持带宽控制功能，流量限速的粒度为1Kbit/s，满足精品宽带网络的要求。6)电信级可靠性设计：Quidway®S8500系列产品系统采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔；电源系统交流/直流可选，采用1+1冗余热备份，并支持双路电源输入；支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求，系统可靠性达到：99.999％。7)完善的安全机制：Quidway®S8500系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备安全，支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证；支持URPF（单播反向路径检查）；采用802.1x方式对接入用户进行认证，支持安全的SNMPv3的网管协议、支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置权限，并提供两种用户认证方式：本地认证和RADIUS认证。Quidway®S8500系列产品通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。Quidway®S8500系列产品还支持标准Radius协议，同时提供Radius+功能，以及HCBM™（华为可控组播管理协议）功能支持。基于硬件支持的内置防火墙/IDS功能为核心交换设备安全组网提供了多样化的选择，简化了网络层次，提高了整网性能。Quidway®S8500系列产品可与华为3ComSecEngineD系列IDS设备实现线速安全联动，采用标准的SNMPv2/v3作为联动协议的承载协议，根据不同的攻击事件行为，使联动交换机产生下述不同的ACL对数据流进行阻断：可以对单一主机发起的所有流、单一主机特定端口发起的流、单一主机接收的所有流、单一主机特定端口的接收流、指定网络发起的所有流、指定网络接收的所有数据流或明确的五元组流(源和目的IP地址和端口和协议)进行阻断，为用户建立起立体的安全网络。 S8512网络处理器（NP）特色应用随着Internet从科研向商业应用的转变，网络用户迅猛增加，各种类型的应用（包括文件传送、Web浏览、局域网互联、视频/音频会议、IP电话以及其它实时多媒体业务）共存在一个物理网络上，网络节点的处理能力、QoS保障和网络带宽逐渐成为Internet继续发展的主要障碍。随着光传输技术的发展，尤其DWDM的出现，传输带宽不再成为网络的瓶颈，而网络交换节点的处理能力显得尤为重要。为了满足IP网络新变化，G比特路由器（GSR）和T比特路由器（TSR）应运而生，这些高端路由器采用大容量交换结构和硬件高速转发技术，大大提高了报文转发速度；作为这些设备交换核心的网络处理器（NetworkProcessor）技术也得到了迅猛的发展和应用。那么，什么是网络处理器呢？根据国际网络处理器大会（NetworkProcessorsConference）的定义：网络处理器是一种可编程器件，它特定的应用于通信领域的各种任务，比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、QOS。网络处理器的使用者是研制路由器、交换机、HUB、服务器、网络接口卡、VPN和网桥设备的通信设备制造商。目前生产网络处理器的公司有很多，大公司有Intel、Agere（Lucent的微电子部）、摩托罗拉、IBM、InfineonTechnologies（以前西门子的微电子部）；小一点的公司有MMCNetworks、EzchipTechnologies、SiTera、SolidumSystems、T-Sqware、XstreamLogic等。网络处理器目前的应用主要集中在数据通信网络的中高端设备上，和以前的CPU软件转发、FPGA实现转发、ASIC实现转发相比，它有以下特点或优点：1、性能高很多算法都用硬件实现，内部一般都集成了几个甚至几十个转发微引擎（CPU）和硬件协处理器、硬件加速器，在实现复杂的拥塞管理、队列调度、流分类和QOS功能的前提下，还可以达到很高的查找、转发性能，实现所谓的“硬转发”。目前已经投入商用的有支持2.5GPOS口的NP、支持10GPOS的NP、支持40GPOS口的NP。2、可以进行灵活的功能扩展由于可以进行编程，一旦有新的技术或者需求出现，可以很方便的通过软件编程进行实现，系统的功能可以通过软件模块方便的添加删除。所以对于特殊的用户需求，可以进行定制开发，即可以在短时间内通过模块删减开发能满足不同用户需求的产品。而以前用FPGA实现的情况下，需要修改管脚功能，重新调试升级，而且大多情况下其它硬件设计也要改动，为系统可靠性带来很大隐患。用ASIC实现的情况下，无法对新的功能进行添加，只能重新设计，更新芯片。在开发时间上，按照业界的经验数字，软件开发时间一般为6个月，而用FPGA实现的时间为18个月，用ASIC实现的时间更长，通常需要2~3年的时间，随着网络处理器使用C语言编程的推进，开发周期变的将会更短。所以NP具有更灵活的扩展能力。3、可靠性高由于大部分功能都使用一个或者两个芯片实现，芯片转产前都经过了严格的测试和各种抗干扰和破坏性试验，从而使使用NP的系统的可靠性大大提高。所以NP特别适合用于开发电信级数据通信产品。4、丰富的流分类、拥塞管理、队列调度和QOS功能大多数NP都使用硬件的并行操作，实现了业界流行的各种算法，为使用NP的设备提供了丰富和强大的QOS功能。很多以前用软件实现时无法保证性能的复杂QOS功能，在使用了NP之后，可以很容易的得到实现，并且对性能基本没有影响。5、管理、开发方便NP都提供了和上层CPU标准的接口或者内置管理CPU，可以和其它CPU实现高速通讯。NP一般都提供了大量硬件计数器，可以方便的实现各种MIB统计功能，为网管提供支持。NP一般都提供了编译系统和软件样例，而且目前主流的NP都提供软件仿真开发平台，可以进行离线开发和验证，甚至可以用仿真平台将软件的效率仿真到Cycle级；在在线调试时有单步跟踪、设置断点等手段，可以使设备开发商在较短时间内开发出适合产品需要的软件。6、可以实现灵活组态NP作为一个器件，都提供了灵活的配置功能，可以通过NP的不同形式组合或者和其它CPU的组合，实现系统的灵活配置，满足不同设备的需求，方便了系统设计，加快了设备的开发进度。本项目内、外网的汇聚交换机S6506全部选用第三代交换容量为384Gbps的引擎。楼号内网外网汇聚交换机汇聚上联端口汇聚交换机汇聚上联端口光口1号楼28241092号楼2824733号楼282465合计：624612247考虑到内网不同办公楼内用户之间互访的流量较大，因此在内网的汇聚交换机上联采用双GE捆绑到核心交换机，6台汇聚共需24个上联千兆端口，因此每台内网核心交换机需要12个千兆端口用于汇聚设备的连接。而外网用户访问公网的流量相对较大，不同楼宇间的用户互访的需求较少，因此外网核心与汇聚设备互联采用单千兆联路，即每台汇聚交换机有两条千兆链路分别上联到外网的核心交换机上，每台外网核心交换机需要有6个千兆端口用于下联汇聚交换机。由于外网还有247个光纤到桌面的端口需要全部直连到汇聚交换机，因此6台汇聚交换机需要增配20个光端口的模板和若干多模千兆光纤接口模块，数量如下：楼号设备名称数量1号楼20个光端口模板6多模光纤接口模块1092号楼20个光端口模板4多模光纤接口模块733号楼20个光端口模板4多模光纤接口模块65Quidway®S6500系列高端多业务路由交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机或城域网汇聚层交换机。该系列产品包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R（8槽）。Quidway®S6500能够为城域网、园区网、数据中心提供超高速链路，打造低成本、高性能、具有丰富业务支持能力的高性能网络。Quidway®S6500提供大容量、高密度、模块化的二、三层线速转发性能，同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。Quidway®S6500系列高端多业务交换机的特点可以用一句话来概括：“多快好省、高而不贵”。“多”：产品系列多、引擎规格多、接口板类型多。有利于简化网络结构，降低建网成本。产品系列多：S6500系列包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R(8槽)。产品设计采用开放式的体系结构、统一的硬件平台、完全兼容的引擎和接口板、相同的软件版本、以及系列化机箱。S6500还可以支持POE（PowerOverEthernet）特性，提供支持POE功能的系列机箱和单板，能够实现向远端受电设备（IP电话、WLAN无线接入点等）进行以太网远端供电。引擎规格多：基于新一代ASIC技术的Salience™系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障。S6500提供系列化的引擎，可以根据用户的需求在系列化机箱上进行灵活配置。iSalience™I（交换容量32Gbps）Salience™I（交换容量64Gbps）Salience™II（交换容量64Gbps）Salience™III96G（交换容量96Gbps）Salience™III384G（交换容量384Gbps）接口板类型多：提供百兆、千兆、万兆等各种类型的以太网接口；提供100m-100km可选择的传送距离；提供4口/单板-48口/单板的接口密度；提供多种组合接口板，全面满足客户需求。•快：采用先进体系结构设计，交换容量高达768G，支持新一代线速接口，提供网络高性能。先进的体系结构：S6500采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板，不再单独占用设备槽位，可提供高达768G的交换容量。高密度二、三层全线速接口：S6500系列推出SalienceIII系列交换引擎，最大交换容量为768Gbps，在满配时S6500最大可提供288GE或288FE。万兆接口支持：S6500提供的新一代万兆以太网在线速转发的基础上能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全等特性。S6500支持高密度万兆设计，每块业务板可以提供1－4个万兆接口。•好：支持强大的QoS能力和精细化用户管理，高可靠、高安全设计，采用智能业务扩展模块可以实现灵活的智能化业务能力。强大的QoS能力和精细化用户管理：每端口支持8个硬件队列，带宽控制粒度可达64Kbps；强大的用户管理、认证计费功能支持；支持CAMS™（综合访问控制管理服务器）系统，提供专业用户管理、计费解决方案；内置IEEE802.1x认证服务器功能。内置DHCPSERVER功能。运营级可靠性设计：系统采用分布式结构；S6506R支持双主控板；S6500系列所有单板支持热插拔；电源系统采用N+1冗余热备份；支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求；支持双路电源供电。完善的安全机制：支持标准Radius协议，同时提供Radius+功能；支持TACAS+协议；HCBM™（华为可控组播管理协议）功能支持；保证对用户的精确认证。支持SSHV1/2。基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力。智能业务扩展：能够提供高速的NAT数据流转发，支持动态NAT功能、动态NAPT功能、ALG功能、多ISP支持、EasyIP支持、NAT黑名单、内部服务器功能、NAT策略和NAT日志等功能。支持基于ACL的策略路由。支持NetStream功能，能够对通过交换机的网络流量进行精细化统计。•省：极高的性价比，为客户量身打造，总有一款适合您；性能、业务可平滑扩展升级，保护用户投资。无与伦比的性能价格比：S6500提供系列化机箱和系列化超级引擎，可以根据不同组网需要进行灵活配置；S6500提供多种高密度百兆、千兆、万兆接口板，有效简化网络结构、降低建网成本；S6502无需专门的主控交换引擎，主控交换功能内置于接口板内部，进一步降低建网成本。强大的扩展性能：S6500具有强大的性能和业务扩展能力；背板带宽高达1.6Tbps；采用智能业务扩展模块可以实现灵活的智能化业务能力，如NAT/MPLS/WebSwitch/NetStream/IPv6等高级业务特性，从而有效保障用户的投资。内网楼号楼层接入交换机(48口)接入交换机(24口)接入上联端口1号楼8F247F246F365F364F2163F242F1141F24B1FB2F1号楼小计172382号楼12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2号楼小计433923号楼8F1147F246F365F124F1143F122F241F12B1FB2F3号楼小计10428合计：709158由于每台接入交换机都有2个千兆光纤端口分别上联到汇聚交换机，因此内网的70台LS-3952-P和9台LS-3928-P共需要158个千兆上联的端口。外网楼号数据点接入交换机(48口)接入交换机(24口)接入上联端口1号楼8F247F246F365F364F363F2162F241F24B1FB2F1号楼小计854191402号楼12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2号楼小计2013433923号楼8F1147F246F365F124F1143F122F2161F114B1FB2F3号楼小计49311532合计：739164由于每台接入交换机都有2个千兆光纤端口分别上联到汇聚交换机，因此外网的73台LS-3952-P和9台LS-3928-P共需要164个千兆上联的端口。QuidwayS3900系列智能弹性以太网交换机是华为-3COM公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。系统采用华为-3COM公司创新的IRF（IntelligentResilientFramework，智能弹性架构)技术，将多台分散的设备组成统一的交换矩阵，非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。QuidwayS3900系列智能弹性交换机目前包含型号为：S3924-SI、S3928P-SI、S3928TP-SI、S3952P-SI、S3928P-EI、S3928F-EI、S3928P-PWR-EI、S3952P-EI、S3952P-PWR-EI。QuidwayS3900系列交换机提供标准型（SI）和增强型（EI）两种产品版本，标准型支持二层和基本的三层功能、提供部分的IRF功能（分布设备管理和基本的分布冗余路由）。增强型支持复杂的路由协议和丰富的业务特性，支持全部的IRF功能（分布设备管理、分布冗余路由和分布链路聚合）。1）IRF智能弹性架构技术Quidway®S3900系列交换机支持华为3Com创新的IRF（IntelligentResilientFramework）技术，能够实现用户网络的高度弹性智能扩展。利用IRF技术，用户可以将多台设备连接起来组成一个联合设备（Fabric），并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。IRF（IntelligentResilientFramework）技术包括三个方面：DDM、DRR和DLA。DDM（分布设备管理）：在外界看来，整个Fabric是一台整体设备。用户可以通过Console、SNMP、Telnet、WEB等多种方式来管理整个Fabric。DRR（分布冗余路由）：Fabric的多个设备在外界看来是一台单独的三层交换机。整个Fabric将作为一台设备进行路由功能和二三层转发功能。单播路由协议和组播路由协议分布式运行并完全支持热备份，在某一个设备发生故障时，路由协议和数据转发都不会中断。DLA（分布链路聚合）：支持跨设备的链路聚合，可以在设备之间进行链路的负载分担和互为备份。2）PoE（PoweroverEthernet）远程供电特性QuidwayS3900系列交换机（PWR型号）支持PoE（PoweroverEthernet），即可通过双绞线向远端下挂PD设备（如IPPhone、WLANAP、Security、BluetoothAP等）提供-48V直流电源，实现对下挂PD设备远端供电。作为供电方PSE（PowerSourcingEquipment）设备，支持IEEE802.3af线路供电标准，同时也可以兼容不符合802.3af标准的PD（PoweredDevice）设备。交换机远端供电时每个以太网口向下挂设备提供的最大功率分别为12.5W（使用交流电源）和15.4W（使用直流电源）。通过支持PoE和VoiceVLAN技术，S3900系列交换机能够提供完美的数据和语音融合解决方案。3）大容量全线速的多层交换QuidwayS3900系列交换机支持所有端口线速转发。系统能够提供4个GE，有效解决了在单台设备上多条千兆链路上行，同时接入千兆服务器的需求，极大的节省了用户对设备的投资。硬件支持二/三层线速交换，能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。支持丰富的接入形式，百兆可以提供24电口/24光口/48电口三种方式。满足各种形式接入组网的需求。4）完备的安全控制策略QuidwayS3900系列交换机基于最长匹配的路由策略。系统采用逐包转发方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力，有效保证了设备安全。支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持DUD(DisconnectUnauthorisedDevice)认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。支持QoSProfile功能。和802.1x认证功能相结合，可以动态的为通过认证的用户提供预先配置的一套QoS功能。用户在经过802.1x认证后，交换机根据AAA服务器上配置的用户名和Profile的对应关系，将相应的Profile动态的下发到用户登录的端口上，为该用户提供量身定做的一系列服务质量保证。支持SSH特性。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时，可以提供安全的信息保障和强大的认证功能，以保护交换机不受诸如IP地址欺诈、明文密码截取等等攻击。4）高可靠性QuidwayS3900系列交换机采用IRF技术组网后，能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大的增强了设备和网络的可靠性，消除了单点故障，避免了业务中断。同时QuidwayS3900系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一条备份路由，实现上行路由的多级备份。首次实现交流/直流双输入，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份。5）丰富的QoS策略Quidway®S3900系列交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类；支持1K个流规则。提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、WFQ（WeightedFairQueue）、SP+WRR、SP+WFQ五种模式；支持8个优先级队列，2个丢弃优先级；支持WRED拥塞避免算法。支持CAR（CommittedAccessRate）功能，可以实现基于端口和基于流的速率限制，限制的粒度可以精确至64Kbps，为网络带宽的精细化管理提供了手段。6）多样的管理方式Quidway®S3900系列交换机支持SNMPV1/V2/V3，可支持OpenView等通用网管平台，以及Quidview®、iManager®网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。网络拓扑图本系统的网络系统拓扑图如下：内网拓扑图外网拓扑图网络冗余设计为了实现有效合理利用网络资源，保证系统高效、可靠、安全地支撑基于网上的所有办公业务，在核心、会聚和接入网络设备地设计全部考虑冗余备份，尽量减少单点故障，以提高本系统的冗错和可靠性。内、外网的网络中心各配置两台双引擎的核心路由交换机S8512，通过动态路由协议实现双核心Active/Active配置，并实现网络层的流量和负载均衡。内、外网分别在1#、2#和3#楼内各配置两台单引擎的汇聚设备S6506，同样采用Active/Active配置，内网的每台S6506都采用双千兆以太捆绑（GEC）链路分别上联内网的两台核心S8512，外网的每台S6506都采用单千兆以太链路分别上联外网的两台核心S8512，实现汇聚到核心的链路备份、流量和负载均衡。内、外网在1#、2#和3#楼内的接入交换机LS-3952-P/LS-3928-P都分别配置两个上联千兆模块，保证每个接入交换机有两条千兆链路分别上联到本楼的两台汇聚设备S6506。当其中一个千兆接口或光纤链路发生故障，仍然不影响接入用户的网络连接。必要时这两条上联链路也可同时分担网络流量，实现负载均衡。所有的核心和汇聚路由交换机都配置冗余电源，保证供电质量。路由规划本系统的接入到汇聚、汇聚到核心的网络链路全部为冗余设计，如果选用纯数据链路层的生成树协议（STP），为了保证所有的链路都提供数据传送，需要做大量的手工配置STP参数的工作，而且灵活性极差，一旦网络有细微调整将无法保证链路达到最优的使用效率。如果选用三层路由连接方式，则能够避免上述问题的发生。信息从源地址到达目的地址的过程称为路由，路由有静态路由和动态路由之分。静态路由由管理员在各个网络互联设备中预先输入路径信息，路由表根据这些路径信息来确定，静态路由的网络开销小，可以人为控制网络路径，网络系统安全性较好，但可管理性和灵活性稍差，容易导致环路产生。动态路由由各个网络互联设备根据某种协议或算法动态地交换路径信息，建立自己的路由表，动态路由能自动感知网络路径的变化，网络管理更方便，在本系统中使用动态路由所产生的额外网络开销也相对不大，因此本系统采用动态路由协议OSPF，将同时能够自动计算并保证接入到汇聚、汇聚到核心的网络链路的冗余设计和负载均衡。开放式最短路径优先（OpenShortestPathFirst，OSPF）协议是一种为IP网络开发的内部网关路由选择协议，由IETF开发并推荐使用。OSPF协议由三个子协议组成：Hello协议、交换协议和扩散协议。其中Hello协议负责检查链路是否可用，并完成指定路由器及备份指定路由器；交换协议完成“主”、“从”路由器的指定并交换各自的路由数据库信息；扩散协议完成各路由器中路由数据库的同步维护。OSPF协议具有以下优点：OSPF能够在自己的链路状态数据库内表示整个网络，这极大地减少了收敛时间，并且支持大型异构网络的互联，提供了一个异构网络间通过同一种协议交换网络信息的途径，并且不容易出现错误的路由信息。OSPF支持通往相同目的的多重路径。OSPF使用路由标签区分不同的外部路由。OSPF支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息；并且可以对不同的区域定义不同的验证方式，从而提高了网络的安全性。OSPF支持费用相同的多条链路上的负载均衡。OSPF是一个非族类路由协议，路由信息不受跳数的限制，减少了因分级路由带来的子网分离问题。OSPF支持VLSM和非族类路由查表，有利于网络地址的有效管理。因此，采用OSPF路由协议，将两台核心路由交换机S8512与汇聚层的S6506路由交换机纳入整个网络的OSPF0区域中。如果需要可以在分布和汇聚层增加设置OSPF的其它Area。本系统的核心路由交换与汇聚设备间有多条冗余千兆（或捆绑）链路，可利用OSPF支持6条等值路由的负载均衡（Equal-costloadbalancinguptosixpaths）能力实现的链路备份和负载均衡。内网路由规划示意外网路由规划示意应用VRRP技术 本设计方案中的内、外网系统中1#、2#和3#楼各配置了两台汇聚交换机，所有接入交换机全部以千兆链路分别上联各楼的这两台汇聚交换机。在这些汇聚交换机上启用VRRP功能，可实现汇聚交换机之间的冗余备份和接入交换机上联的负载均衡。"VRRP特性"是路由器冗余备份的协议，该特性由用户通过命令行进行设置，通过路由器之间的备份功能，为网络核心层、汇聚层设备提供更强大的安全冗余备份功能。在基于TCP/IP协议的网络中，为了保证不直接物理连接的设备之间的通信，必须指定路由。目前常用的指定路由的方法有两种：一种是通过路由协议（比如：内部路由协议RIP和OSPF）动态学习；另一种是静态配置。在每一个终端都运行动态路由协议是不现实的，大多客户端操作系统平台都不支持动态路由协议，即使支持也受到管理开销、收敛度、安全性等许多问题的限制。因此普遍采用对终端IP设备静态路由配置，一般是给终端设备指定一个或者多个默认网关(DefaultGateway)。静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销，但是它仍然有一个缺点：如果作为默认网关的路由器损坏，所有使用该网关为下一跳主机的通信必然要中断。即便配置了多个默认网关，如不重新启动终端设备，也不能切换到新的网关。采用虚拟路由冗余协议(VirtualRouterRedundancyProtocol，简称VRRP)可以很好的避免静态指定网关的缺陷。在VRRP协议中，有两组重要的概念：VRRP路由器和虚拟路由器，主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP协议创建的，是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP相应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址，故对终端使用者系统是透明的。

上图为VRRP冗余备份功能的典型组网方式。在主机上配置网关为，真实IP地址为和的两台路由器互为备份，一台作为Master转发主机的报文，另一台在原来的Master设备故障的时候转为Master状态，保证网络通信正常。一个VRRP路由器有唯一的标识：VRID，范围为0—255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。VRRP控制报文只有一种：VRRP通告(advertisement)。它使用IP多播数据包进行封装，组地址为8，发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。为了保证VRRP协议的安全性，提供了两种安全认证措施：明文认证和IP头认证。明文认证方式要求：在加入一个VRRP路由器组时，必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误，但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性，能够防止报文重放和修改等攻击。综上所述采用两台S6506汇聚交换机启用VRRP协议可以对下联的接入主机实现网关备份功能，各接入主机所属VLAN的网关地址均可以设置为VRRP组的虚拟网关地址，在任意时刻主机只通过一台S6506接入网络，另外一台S6506作为备份网关。另外，在S6506上可以开启多组VRRP组，每一组的主设备与备份设备分别在两台S6506，同时对主设备、备份设备的选择进行合理分配，使得一部分主机的主设备在第一台S6506上而另一部分的主设备在第二台S8512上，每个S6506既做部分主机的主网关设备同时也做其他主机的备份网关设备，从而既实现了主机接入的网关备份同时也实现了主机接入的负载均衡。VRRP的负载平衡方式如上图所示，PC1，PC2配置网关为，PC3，PC4配置网关为。同时在RouterA和RouterB上面同时配置两个备份组，虚拟IP地址分别为两个网关地址，通过配置优先级保证A和B各为组1，2的Master。在这个组网中，如果一台路由器设备故障，另一台可接替工作；同时，两台设备平均分配网络负载。为了实现上述的两台汇聚交换机之间既负载分担，又能做到互为备份的功能，我们建议将接入层用户以VLAN为单位分为两个组，一台S6506相对于组1是Active的，相对于组2是Standby的，另一台S6506作相反的设置。这样即可实现两台核心交换机之间既互为备份，又能做到负载分担。另，在二层，由于存在冗余链路，通过启用STP/MSTP可以防止二层链路LOOP。选择组播协议 IP组播技术有效地解决了单点发送多点接收的问题，实现了IP网络中点到多点的高效数据传送，能够大量节约网络带宽、降低网络负载。作为一种与单播和广播并列的通信方式，组播的意义不仅在于此。更重要的是，可以利用网络的组播特性方便地提供一些新的增值业务，包括在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等互联网的信息服务领域。 组播从1988年提出到现在已经经历了十几年的发展，许多国际组织对组播的技术研究和业务开展进行了大量的工作。因为组播能够有效地节约网络带宽、降低网络负载，所以在实时数据传送、多媒体会议、数据拷贝、游戏和仿真等诸多方面都有广泛的应用。 与单播路由一样，组播路由也分为域内和域间两大类。域内组播路由目前已经讨论的相当成熟，在众多的域内路由协议中，DVMRP（距离矢量组播路由协议）、PIM-DM（密集模式协议无关组播）和PIM-SM（稀疏模式协议无关组播）是目前应用最多的协议。DVMRP：距离矢量组播路由协议DVMRP（距离矢量组播路由协议）是第一个（也是最古老的一个）真正得到应用的组播路由选择协议，DVMRP的一些重要特性包括：以距离矢量为基础（与RIP相似）；周期的路由更新（每60秒）；管理距离32跳（RIP为16跳）；反向抑制有特定含义（RIP表明一条路由不可达，DVMRP表明自己在组播树的下游）；无类路由。DVMRP自己维护用于组播反向检测的单播路由表，并用于构建组播源树，它是一个扩散剪枝协议（类似于PIMDM）。由于DVMRP使用跳数作为计量的尺度，而且其上限为32跳，因此他明显不能用于带有距离大于31跳且没有扩展隧道的网络。鉴于此，DVMRP不能用作与整个以太网互相连接的组播协议。除了因特网的距离问题，DVMRP有距离矢量协议的所有限制，包括缓慢收敛和定期路由更新机制，此机制不能处理在因特网中大量的路由或管理大量的路由器。使用DVMRP组播路由协议的另一问题是组播路由表的维护。由于组播协议依赖单播路由协议发现邻居，建立连接关系数据结构。而DVMRP只支持距离矢量单播路由协议，因此使用受到很大限制。目前的互联网无论局域网还是广域网，存在大量分支和分隔域。象RIP这样基于距离矢量的单播路由协议已经很少使用，目前常用的是基于链路状态的路由协议OSPF、IS-IS等。由于网络设备在启动单播路由协议时，可能启用OSPF，而组播协议DVMRP基于距离矢量，所以在设备内部必须维护两张路由表，会引起一定冲突。当然各厂家实现必然会尽量减少这种冲突发生，但不可避免存在一定隐患，至少加重了网络设备的负担和开销，对核心设备来说，稳定性不利。这是DVMRP对路由协议密切相关的固有问题，无法回避。今天的组播网络工程师出于无奈，才使用类似RIP一样的DVMRP。例如为了前后兼容。大多数网络工程师甚至不考虑推广应用基于RIP的单播网络，组播网络也一样。只有在需要与现有的DVMRP基础构造打交道时，才应该将DVMRP应用于新的网络设计。但必将大大降低网络的可扩展性和灵活性，增大网络无效负荷的开销，降低使用效率。很明显，如果IP组播协议想普及到整个因特网，一个区别DVMRP的组播路由协议必须用于主干网。后来互联网工程师发明了协议无关的组播协议。PIMDM：协议无关组播密集模式协议无关组播（PIM）这个名字反映了它独立于IP路由选择协议的事实。也就是说，不过哪一种单播路由选择协议过去是怎样的在单播路由表中占有一席之地（包括静态路由），而PIM都可以使用这些信息实现组播转发，因此，它与协议无关。尽管我们倾向于将PIM称为组播路由协议，事实上是使用现存的单播路由表去实现RPF（方向路径检测）功能，而不是维护一个分离的组播路由表。因为PIM不必保持它自己的路由表，所以它不需要像其它协议那样发送或接收组播路由更新，如DVMRP。由于不必发送组播路由更新和维护组播路由表，PIM的开销降低了许多。PIMDM的主要特性包括：独立于协议（使用单播路由表进行RPF检测）；没有独立的组播路由协议为路由信息（DVMRP自己维护组播路由）；扩散剪枝协议（同DVMRP）。PIMDM有比DVMRP好得多的扩展性能。原因是PIM使用基本的单播路由表在路由器中执行RPF检测功能，与DVMRP不同，它不发送自己的组播路由更新。然而，PIMDM有和DVMRP一样的扩散核剪枝行为，因此，能够承受不必要的信息在密集模式域上的周期性扩散。随着互联网的发展，现在的组播网络越来越多的使用协议无关的组播协议PIM，来构建有组播需求的IP网络，这也使得该网络将来使用更先进的单播路由算法，构建更复杂的网络成为可能。综上所述，在的内、外网中，都采用PIMDM来实现组播功能。1.1 VLAN规划本系统的内、外网络为核心——汇聚——接入三层稳定的网络结构。所有VLAN的网关均在汇聚交换机上设置。即所有的二层网络只存在于汇聚和接入之间，这样做的好处是多方面的。例如，二层网络终结于汇聚交换机，可将广播包屏蔽于核心层之外（DHCPRelay除外），避免网络核心因广播包过多而引起的网络性能下降和资源浪费；可以方便的在汇聚交换机上部署安全策略，例如防BT下载等；可以通过调整路由参数，人工限制数据流路径，方便实现流量整形和网络监控；通过路由协议可以很方便的实现负载均衡和冗余备份，不需要通过额外设置网络生成树。根据的建筑分布情况，我们把内外网分别分为3个区域，即1#、2#和3#楼各为一个区域。上述各个区域的内网和外网各有两台带三层交换功能的汇聚交换机，按照前面章节描述的方式上联内网和外网的2台核心交换机S8512。在各个分区内独立进行VLAN划分的基本原则是：在每个区域内进行独立地规划VLAN。但为了更好地管理和维护网络，建议所有的VTP域的VLANID不要重复，也就是说虽然我们没有建立跨越核心交换机的全局VLAN，但划分后的所有区域内的VLAN的ID要全局唯一。