计算机网络系统项目设计方案

3 32.1高性能 32.2高可靠性 4 52.4高安全性 5 62.6扩展性 6 73.1总体设计思路 73.2网络拓朴设计 83.3出口流量分配 93.4网络设备配置 3.7网络冗余设计 3.7.1物理冗余 3.7.2第二层冗余 3.7.3第三层冗余 3.8网络安全设计 3.8.2防范DOS攻击 3.8.3防范ARP欺骗 3.9网络管理设计 第4章极进网络方案特色与优势 304.2网络的安全性 4.3网络的服务质量 4.4网络的高性能 4.5网络的灵活性和可扩展性 5.1极进网络公司介绍 5.2成功案例 5.3产品介绍-BlackDiamond8800 5.4产品介绍-Summit*450 第1章前言*****计算机网络系统将充分利用先进的以太网交换技术，在新办公楼务联网系统的自动化以及因特网的互联互通，为行政办公、科研等应用系统提则，使整个网络具有高安全、先进、高可靠、高性能、标准化、可扩展和可管理的特点，达到世界先进、国内一流的技术水平，最终能灵活地满足现有各类业务需求并保证将来网络扩展，为各类信息系统提供统一的宽带综合业务网络第2章需求分析动(如：办公、销售、采购、决策、财务和物流等等)信息化并运行在计算机网络之上，企业为了更好的利用计算机网络平台，在提高工作效率的同时降低企业的运营成本，日益将电话、会议、监控等等对数据传输实时要求很高的应也都放在在企业网络上传输。因此，构建一个安全可靠、性能卓越、易于管理的企业网络已经成为企业信息化建设成功的基础。为适应企业信息化的发展，满足日益增长的通讯需求和网络的稳定运行，今天的企业网络建设比传统企业网络已经发展成为一个多业务承载平台，它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用媒体业务，因此数据流量将大大增加，尤其是对核心网络的数据交换能力提出随着千兆端口的成本持续下降，千兆到桌面的应用会在不久的业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10G级别机箱式交换机，由此可见，万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准，它的核心层及骨干层必须具有万兆级带宽和处理性能，才能构筑一个畅通无阻的企业网网核心应用也将提上日程。所以本次网络建设将采用万兆主干，千兆到桌面的设2.2高可靠性现代企业网络应具有更全面的可靠性设计，以实现网络通讯的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代企业网络在可靠性设计方面主要涉及三方面：a)设备级可靠性设计：设备级可靠性设计不仅仅只是实现了关键部件的c)链路级可靠性设计：以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。对于*****公司网络，很多链路已经实现了冗余。在设备模块冗余和设备的冗余要进行考虑。如核心设备除了模块的冗余外，更重要的还要考虑核心设备内部软件功能模块的不间断工作能力。高带宽并不能够有效的保障数据交换的畅通无阻。就象公路交通一样，如果没只有在网络能够对不同数据流进行合理有效的用网络传输带宽。因此，现代企业网络必须能够智能的识别应用事件的紧急和重要程度，如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传量的带宽控制能力是非常重要的，例如当客户端同时进行两种或以上通讯应用时，如不具备三层和四层识别能力，就不能识别流量类型并实施带宽管理，在接入层使用高于二层能力的交换设备可极其有效地提高多媒体应用的实施效果。因而在考虑成本的可接受的前提下，接入层使用多层交换机作为网络设备2.4高安全性随着企业信息化建设的深入，使用网络的人员和设备越来越复杂，络误用所引起的网络故障越来越多。数据信息化带来的数据共享便利性为企业生产效率的提高，同时也给企业的商业机密和核心技术的安全性也带来了更多传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证企业网络的稳定运行，也才能更有效地阻击病毒和黑客的攻击，减少企业的经济损失。对于还有本次综合楼的网络建设，在安全方面要有综合的考虑，如在安全上不论核心还是边缘都要支持如802.1*(rel.2)、网络登录(netlogin)、第二层到为了适应网络规模日益扩大所带来的维护工作更加复杂的需要，现代企业网络应具备更智能的网络管理解决方案。的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力，有时甚至是不可能的任务，所以现代企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力，并能一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。随着业务的增长和应用的丰富，尤其是多媒体应用的广泛采用，网络中的数据和信息流将按指数增长，这需要网络有很好的可扩展性。同时，新的网络技术和新标准不断出现，不但要求网络设备能随着技术的发展不断升级，而且能够最大限度地保护用户投资。同时网络应具有灵活的配置和适应多种互连方因此在网络设备的选择上应该考虑优先采用设备实用性强，可扩展、可升第3章计算机网络系统设计方案在本章，我们只是根据前面的需求分析，对网络整体架构进行设计阐述。作为新大楼的网络建设，我们从以下几方面进行网络建设的考虑：媒体组播业务提供良好支持，提供CoS/QoS,支持流量控制，所有网4)方案设计要充分考虑安全防护设计，具备全网实时流量统计分析能在设备的可靠性、冗余性、可恢复性和安全性方面，除了与设备有关外，与网络的结构和规划有密切的关系。后续技术设计章节将详细分析和论述3.2网络拓朴设计对于办公楼网络建设，由于接入点分散于大楼内部的各个楼层位置，所以建议采用三层星形网络架构：核心层、汇聚层和接入层。核心层采用极进网络的高端机箱式万兆以太网交换机BlackDiamond8810;汇聚层采用极进网固定式万兆以太网交换机Summit*450a系列；接入层采用极进网络的24/48口固定式换机堆叠，每个堆叠通过千兆中继接口就近汇集至Summit*450汇聚交换机，然网络中心450e-24/48t堆叠E各楼层接入我们建议骨干层设置全冗余备份的双核心节点，两个核心节点间通过两条万兆中继捆绑互连，每个楼层接入交换机堆叠通过两条中继链路分别上联至两个核心，从而形成全冗余的星状拓朴连接，以提高网络的健壮性，实现链路的安全保障。同时可采用极进网络发明的RFC3619-EAPS以太网环网自动保护技术，它可完全替代收敛较慢的标准生成树或快速生成树技术，提供类似于SDH最为领先的以太网通信保护技术，具有延迟小、可靠性高、成本低等优势，完全可以媲美RPR技术(RPR成本高昂),而且无须提供专用硬件接口，降低了成本(具体情况可参考网络冗余设计章节)。3.3出口流量分配核心交换机可通过2台或以上的防火墙连接多条电信出口线路，核心交换1)常规路由式：核心交换机BlackDiamond8810可设置多条等价静态路由或通过与防火墙之间的OSPF动态路由协议学习多条等价出口路由，BlackDiamond8810可根据智能负载均衡算法(基于数据包头L2/L3/L4信息运算),动态平均地将流量平均分配至不同出口防火墙。当某个防火墙失效时，可自动将受影响的流量切换至其它正常工作的防火墙。BlackDiamond8810可同时支持8条等价路由。2)策略路由式：上述常规路由的平均效果较好，但控制能力相对较弱。而用的多个会话通过不同的防火墙出口并翻译成不同的公网IP地址，导致外网服务器端无法正确识别，从而影响应用正常通信。为此，可考虑启用BlackDiamond8810的策略路由功能，定义策略强制某一源IP地址流量只通过某个指定防火墙出口，不同的源IP地址段可设置不同的防火墙出口，从而近似实现负载均衡效果。除了源IP地址，BlackDiamond8810同样可识别目的IP地址、源/目的TCP/UDP端口号执目的网段-A运营商B1)核心交换机-BlackDiamond8810配备两套核心万兆交换机，每套配置清单如下：型号描述和说明核心交换机(一套)BlackDiamond881010槽机箱(包括风扇盘)132BlackDiamond8800E*treme*OSTM核心软件证书11BlackDiamond88004-port10GBASE-*F3>每套核心交换机配备3块4口万兆模块，其中8个万兆口用于楼层交每套核心交换机配备1块48口10/100/1000M电口模块，用于防火在完全满足现有端口需求情况下，每套核心交换机尚剩余4个空槽，可用于将来扩展2)楼层接入交换机-Summit*450e-24/48p根据楼层配线间设置，配备8套Summit*450e-24/48p堆叠，每套配置如下型号描述和说明固定式48口10/100/1000BASE-T交换机，支持802.3af展，1个AC交流电源，支持外置备份电源1固定式24口10/100/1000BASE-T交换机，支持802.3af展，1个AC交流电源，支持外置备份电源1SummitUniStackTM堆叠线缆，0.5米212配置说明：>每个堆叠配备一台48口和一台24口千兆交换机每个堆叠配备一个2口万兆模块，通过两个多模万兆光接口分别上联3.5网络交换设备选型---核心交换机性的要求。BD8810具有以下特点：√10槽机箱式交换机，模块化全冗余设计，支持管理模块、电源和风扇等关键部件冗余热备份√高密度10/100/1000M和10G以太网端口：48口千兆、4口万兆√采用全模块化，高度容错的操作系统(E*tremeWare*OS)√运营级可靠性：管理模块无中断切换/升级，EAPS50ms链路保护切换三层主机流转发模式的工作机制是为每一个目的地址建立一个转发表项，这些表项安装在CAM中。这种工作机制在目标地址不多的情况下是合理的。比如同时访问的目标地址不大于256K,尽管在大多数情况下，目的地址少于256K。但是在最近一二年，这个情况已经变了。其原因是网络病毒的大量出现。网络病毒的一个特点是使用地址扫描方式查找宿主机。目的地址是随机可变的。由于合法的IPv4地址共有40亿个。因此256K被轻易突破。这就导致这匹配工作机制，其TCAM硬件交换内存足以容纳下所有的FIB转发表项，任何数据包的转发均可由ASIC在一个时钟内找到转发下一跳，而无需CPU的干预。这项技术带来的好处为：√新一代的转发技术使交换机不受病毒或攻击√具备天然预防新一类攻击的能力E*treme公司的BlackDiamond8810全新一代万兆路由交换机采用新一代模(KLM),采用独立进程内存保护运行模式，支持对称多处理(SMP)和标准■动态停止/重启模块。在障模块的单独重新启动。■进程和线程的自动重启动。系统中某个进程或线程出现故障时不会影响到其他进程和线程■支持软件模块下载，无中断在线功能扩充。无须中断设备的运行，3.6网络交换设备选型---接入交换机应用的多样化和复杂化，使用二层交换机作为接入设备已经不能很好地满足现1)首先，网络安全方面，二层交换机因为不识别IP层次的信息，所以无法根据IP地址或应用进行访问控制列表的控制。尤其是目前网络病毒日益泛滥，可以说访问控制列表的功能是必不可少的。二层交换机对网络病毒的扩散和攻击无能为力。此外，在二层交换机上无法阻止某VLAN中的非法DHCP2)网络QoS方面，支持IP语音和IP视频等协作应用必需三层交换。二层交换机因为不识别IP层次的信息，所以也无法根据IP地址或应用进行QoS方VOIP、视频等对QoS要求比较高的应用，二层交换机无法去保证QoS。另为，二层交换机仅支持二层的802.1p优先级，无法识别三层IP包中的QoS (ToS或IPDiffServ)信息，不能将二层和三层的QoS进行衔接，因此无法做3)在做组播业务时，由于二层交换机上的每个用户都是通过VLAN上联到上一级的设备，因此在做复制时要每个VLAN复制一次极有可能造成端口的4)如果使用二层设备，一些本来可以在本地路由的数据流量占据了宝贵的基于以上考虑，以及三层交换机成本的下降，在*****计算机网络设计方案中，我们推荐采用极进网络公司的48口千兆Summit*450a-48t作为楼层桌面接入交换机，以满足现代企业网建设对可靠性、安全性以及网络的整体传输性能的要求。E*treme公司的summit*450系列三层交换机是为了满足高安全、多业务承载、高性能的网络环境所开发的新一代三层智能交换机，具备传统二层交换机大容量、高性能等优点，同时还具有领先的安全特性，进一步加强了企业网络对边缘接入层面的安全控制能力。用户可以根据需要来订制自身的安全策略并部署在此件的ACL处理方式，这样可以在提供细致防流量攻击病毒的能力、防组播、广播攻击的能力；使交换机能够智能的自动阻断或隔离内外部的攻击和网络病毒。Summit*450系列交换机与发机制，从而大大提高了设备抗击扫描攻击的能力，解决了由于流表溢出导致端口+端口+MAC支持单端口多用户的接入认证。在避免了IP地址盗用出现的不-可户动态分配到不同的VLAN的方式，最终可以实现对用户可以使用能，可以强制终端用户必须使用DHCP动态获得地址才能接入网络，任何非DHCP方式配置地址的设备-无法通过交换机接入网络，这样就可以在利用DHCP便宜性的同时避免了因部分用户静态据每个楼层信息点需求配置相应的交换堆叠单元数。每个堆叠配备一个两口万兆接口模块，分别上联至两个核心交换机，提供冗余的中继连接。具体情况参3.7网络冗余设计力和冗余性已经成为区分网络设备的关键因素。即使在网络组件发生意外故障，以及进行计划内网络升级和变动时，高可用性网络都必须能够保持正常运行。冗余性在这两种情况下为网络提供了保护能力。通过消除单一故障点，网但是，高可用性不仅仅要求冗余的硬件。网络还必须拥有智能，可以实现最优的冗余组件利用率。网络软件必须考虑网元故障对第二层和第三层协议的方案中配备的机箱式核心交换机的所有关键组件都进行了冗余设计。这种冗余源。每个电源都拥有足够的容量，可以为整个机箱供电，但在正常运行过程中，每台电源都分别提供一半的所需电流。作为一个选项，E*treme的Summit可堆叠交换机可以连接到SummitRPS冗余电源上，冗余电源提供●冗余交换引擎：交换引擎是交换机运行的基本单元，因为它处理端口之间是，在正常运行过程中，两个交换引擎都是完全活动的，交换机同时使用主引擎和备用引擎处理数据流量。这种方法的优点是，交换机一直使用备中的所有模块，包括交换阵列，都可以带电热插拔。因此用户不需重新引导或重新设置交换机，就可以更换模块，而且更换一个模块不会影响任何其它模块的操作。在交换机组件发生故障或在交物理和机械冗余对构建可靠的网络非常关键，但硬件组件的可靠性只是一个开余特性。E*treme的链路聚合基于的IEEE802.3ad标准。这种功达8条物理链路合成一条逻辑链路。链路聚合的主要优点是，如果物理链路发生故障或从服务中移出，它可以提供不到一秒的超快速故障切换能树。本文后面更加详细地介绍了ESRP,可以在纯第二层环境中使用链路收敛时间(业界最快):E*treme公司作为以太网技支持快速的失效恢复(约50毫秒),提供多个VLAN的保护，并支持多个环的互连扩展。EAPS实现基于已有的硬件实现，能够同二层交换机集Ps品娜品娜HH支持高带宽连接(1G~10Gbps)综合考虑，EAPS并非所有厂家支持，在实际方案实施中，在全极进网络设备环境下优先选用EAPS技术，同时通过STP/FSTP与其它品牌交换机互联机，其默认网关都将设置为核心交换机之一(假定为核心交换机1)。然而，的PC通信。因此，需要一种机制，使得当当前的默认网关(核心交换机1)失败时，另一台核心交换机(核心交换机2)能自动充当默认网关，服务器不需冗余路由器或备用路由器。作，并采用单一的IP和MAC地址。然后，主机配置虚拟路由器的IP地址，而不是物理路由器的IP地址。这种虚拟路由器地址一直分配给当前活动的物理路VRRP,但它包括某些扩展内容，因此能够在当前的交换式网络中作出更加智能的故障切换决策。一项重要的ESRP扩展是计算ESRPVLAN中的活动链路数活动链路，并启动到备份路由器的切换。这一决策将保持与整个VLAN的连交换机学到的路由的是否存在的状态，或路由器上连端口的活动状态，作为作出故障切换决策的依据。在目前的主用路由器上发生上连故障时，ESRP会切器没有活动的原因可能是因为它只是部分连接子网。只有活动的ESRP路由器VRRP和HSRP区分开来的另一个主要特点是，还可以在没有路由时使用用默认参数时的收敛时间为5-8秒。还可以在纯第二层环境中采用ESRP,在一级第二层交换机发生故障时提供备份第二层交换机。这一故障切换时间非常计中，全极进网络的环境可启用ESRP,而通过VRRP连接其它品牌交换机。3.8网络安全设计全防护措施，通过各个层面保护通信安全。PC,并且新的反病毒软件尚不可得时(种情况业内称为“Day-ZeroThreats(零天威胁”),就全靠ACL来保证网络不受新病毒感染了。极进BlackDiamond8810由硬件芯片执行访问控制表ACL,不管定义多么灵活，它是业内唯一一款使用高级语言(类C)定义ACL的交换机。使用高级义。BlackDiamond8810可以用标准的文本编辑器(例如Windows写字板、记事本等)编辑ACL规则，然后一次性加载到交换机执行。这样，ACL的编if{source-address}3.8.2防范DOS攻击的IP,而要求解释的IP也是要假冒的IP,这样，整个子网的所有站点(包括BlackDiamond8810上才有对应的ARP条目。其他站点都没有(个别用手工加入静态ARP条目者例外),因而不能通信。强制用户使用DHCP获得IP,可以避免IP地址重复。总流量，而不能分析流量的组成成分，例如，它不能报告某一网络应用(例如分析报告(只要分析软件有能力),但是它分析的范围有限，它只能在同一时兆端口。又详细。SFlow的代理(Agent),而流量分析/统计软件能够与各交换机的SFlowAgent内置于交换机的SFlow代理与SFlow分析况，包括(但不限于):●流出或流入指定设备端口的数据●流出或流入指定VLAN的数据●二层网络协议指定的数据，协议可以是Ethernet等●源或目的MAC地址指定的以太帧数据●三层网络协议指定的数据，协议可以是IP/IP*/DECNET等●指定数据包大小的数据网络的可透视性对现代网络越来越重要，因为现代网络上黑客攻击和病毒传染越来越频繁，且手段和途径越来越多样。通过SFlow的分析，可以及时发现潜在的安全隐患、发现病毒和攻击源、探究蠕虫病毒的特征以及分析网络性●某些主机发起的TCP/UDP连接的目标端口特别分散，可以怀疑它应用(包括FTP、电子邮件、Windows文件共享等)可能造成网●分析某台服务器的流量的组成成分，有助于较为准确地评估服务器的性能。例如，如果网络流量并不大，但是TCP连接数太多，则性能问题的根源在于CPU和内存；如果该服务器运行多种应用(例如Web和FTP),则流量分析可以报告各种应用的流量，从而确定是哪种应用引起性能问题。例如可以确定，是FTP太多导致Web响应迟缓，还是Web本身的流量就太大，当然，如果其它端口的流量还相当可观，则应当将这些端口关闭。●对于已知的蠕虫病毒，可以通过观察相关TCP/UDP端口的流量来由于SFlow已经是IETF的正式标准(RFC3176),因此，用户可以从多种途径获得基于SFlow的流量分析/统计软件，也有免费软件可以下载。综合考虑，我们在交换机上可同时启动防病毒ACL,防ARP欺骗和sFlow流量监控功能，实时智能地发现全网异常流量并将其过滤；同时如果安全需求，我们可进一步在交换机支持802.1*/WEB/MAC网络身份认证，防止3.9网络管理设计在现代计算机网络日益成为多种业务的传输平台的今天，网络规模越来越大，并且网上应用也变得更加复杂化和多样化，这就使得网络管理与维护的任务日益加重和复杂。为了满足现代计算机网络管理与维护的要求，减低网络管理与维护的工作强度复杂度，提高工作效率，E*treme公司推出了全面的网络除故障、状态监控和基于策略的管理不同厂家产品更加容易。E*tremeVLAN工具—多个交换VLAN的创建和管理E*treme监控工具—对每一台交换机进行全面的配置和状态监控实时统计工具查看多端口、多交换机数据的实时统计程序>MAC/IP寻址工具—搜索MAC和IP地址的工具>动态报表工具生成被管理设备的报表前，服务器和数据库应用支持微软公司的WindowsNT和SunMicroystem公司Solaris操作系统环境。EPICenter的三部分主要功能是服务器及其关系数据库、管理系统(RDBMS)和EPICenter固有的基于浏览器的客户机应用。服务器负责将Java程序applet和数据下载到客户机上，负责监视被管理设备并与之通信，负责安全管理，并且还负责与EPICenter的数据库的通信，EPICenter的服务器软件是以SunJavaWebServer为基础的。RDBMS就是SybseAdaptiveServerAnywhere,它包含EPICenter用来管理已确认的设备和数据存储和数据缓存的。基于浏览器的EPICenter客户机应用是一些Javaapplet,它们是根据要求从服务器下载到一个客户机上的浏览器中的。扩充的管理能力无论应用环境设计得多么完善，网络管理仍然是一个困难的任务，改变网络配置，创建虚拟局域网(VLAN),创建协议过滤器，以及路由任务的分配都是非常复杂的功能。然而，利用EPICenter的管理模块，这些任务都变得简单多了。因为这个管理模块有一个用户接口，它可以简化所有这些动作。网络管理员可以完成所有这些工作而不必创建一个单独的程序或者一个单独的远程EPICenter的配置管理器提供了一个机制和一个图形界面，用来从被管理设映射下载到E*tremeNetworks的设备中去，配置管理器还提供一个方式储存分配路由责任的能力。障探测是以SNMPTrap,RMON门限和轮询为基础的。报警系统支持SNMP可以在用户指定的条件(如特定的重复次数或超出指定的门限值等)下报告错样的单个警报。有这些设备和网络设有这些设备和网络设置要求一个完整的网络专业队伍，或者是应用套件，它的功能包括清单工具、配置管理、配置和状态监视等。bosenn[Thadefautdnkapraiptrallowiches.清单工具为所有受EPICenter管理或监视的设备建立一个数据库，这些设备方设备。一个授权用户可以察看这些设备的状态和基本配置信息。使用这个统计信息，并以一种简单，合理的方式管理各种配置。盛p1(的EQ\*jc3\*hps19\o\al(\s\up3(A),M)EQ\*jc3\*hps19\o\al(\s\up4(P),M)EQ\*jc3\*hps19\o\al(\s\up4(P),M)EQ\*jc3\*hps19\o\al(\s\up4(P),M)回5A盒回6回8实时统计工具提供一个界面来实时地察看多端口、多设备的端口统计信地址定位和地址隔离是网络故障检修必不可少的方面。MAC地址或IP地址查找工具提供一个简单但功能强大的界面，用来在第2层(MAC层)或第3层(IP)层查明已知地址的位置。另外，MAC地址或IP地址查找工具还允许用户同时运行几个搜索任务，从而更加高效地在整个网络范围内排除故障。拓扑工具允许用户以一组网络图的形式显示EPICenter管理的设备和设备之间的链接。这些网络图以子图树的形式组合起来，表示用户的网络是一个由园区、大楼、楼层、储藏室以及任何用户感性趣的逻辑组合构成的一个层次系统。当设备加入到EPICenter的设备清单中时，拓扑程序自动在用户的网络图中增加设备结点。EPICenter还将添加存在于设备之间的链接，并将其组织到合适的子图中。用户可以通过移动设备网元，通过增加链路连接、非管理结点、文本字符、调整以发现的设备来定制最终的网络图。由网络图上一个受管理的结点，用户可以激活其他的EPICenter功能，如报警浏览器、远程登录、实时或者选中设备的前面板图等。EPICenter具有生成动态报告的能力。如果没有报告功能，网络管理者就无法追踪分析各种趋势并与团队其它成员交流，所有的管理和监测能力都将一分不态，环境状态和物理配置。该软件还包含一个统计程序，它可以提供描述网络性能的图表，通过修改已有的HTML或者通过编写新的TCL脚本，可以产生口监视管理(monitor)(察看交换机参数和状态)口配置管理(manager)(修改交换机参数)口特权管理(administrator)(第4章极进网络方案特色与优势4.1网络的高可靠性●HitlessFailover攻击保证交换机在任何情况下均无中断运行。E*treme独有的hitlessFailover技术保证交换机在升级并启用新版本软件、主备用主控模块切换、或更换其它模块时，均可保证网络继续保持工作，无任何数据流中断的发生。●新一代万兆交换机BlackDiamond8810和Summit*450采用自愈式硬件采用最可靠的模块化Uni*操作系统，具有进程死锁发现、重启、进程●EAPS技术为物理冗余的网络提供二层小于50毫秒的收敛能力。通过4.2网络的安全性E*treme的网络解决方案从用户接入和设备两用户认证技术和IEEE802.1*+EAP标准。通过该功能，网络系统可以控制●将用户接入认证功能与第三方的网络安全技术(如：segate)相结合，网络备的安全性进行检查，确定终端系统是否存在安全漏洞(如是否安装了最新的“补丁”),若终端系统存在安全漏洞，网络系统将可以强制终VLAN中，通过对VLAN的控制，最终实现对用户可使用网络资源的控●支持终端设备的接入控制。通过E*treme网络设备上的MAC地址锁定和今天，越来越多的网络通过DHCP方式来实现IP地址的分配，通过IP地址的不可管理性，并会导致因IP地址冲突而带来的网络不可用的问DHCP获得的IP地址，否则终端设备不能够接入网络，进而保证网络的基于流表的方式(IPHostForwarding)来完成数据包的快速转发。基于流方式，使得每个新数据流的第一个数据包必须经过CPU进行处理，当网据包传输。通过使用IPDAsubnetForwarding和LPM转发技术，大大提■E*treme公司的网络设备采用专门的硬件来完成ACL的处理，保证了用户在使用ACL进行安全控制的同时还能实4.3网络的服务质量多媒体应用得以在新一代网络上实施的重要基础为带宽的大幅扩展和采用硬件包处理技术的设备性能的提高。由于多媒体应用对延迟和抖动的敏感性以及IP网络本身的尽力而为的特点，在保证带宽和性能的基础上，网络平台好要具有良好的QoS保证能力。E*treme网络产品提供多种带宽管理方式和策略，不管是核心层、汇聚端口等实施带宽控制策略和流量分类管理的能力。E*treme公司的网络解决方案可以为用户提供以下QoS保障能力：机则支持每端口8个队列。更多的队列意味着更细的业务类别区别。8个队列意味着8个不同优先级带宽保证的业务类别。●业务最强的分组分类能力。BlackDiamond8810能够根据IP数据包前轻易区分不同类型的流量。●全Diff-Serv标准的分组分类能力。两个交换机均Diffserv分类、重写(remark)标准及8个802.1p分类重写(remark)标准。保证QOS的全网实施且与其它厂家兼容。●E*treme的QOS处理，包括识别，分类，标记，重写，队列，调度，限速在内，均为ASIC处理，保证不引入额外的时延。通过组合QOS及web/802.1*认证技术，根据不同的用户名指定不同的QOS4.4网络的高性能网络的高性能是所有网络的设计者和使用者所追求的目标，因此网络的性能通常也成为选择网络产品的重要依据。其实，网络技术发展到今天，几乎所有网络厂商的产品都可实现‘线速’交换和路由。但是，一个成功的网络不但要能对简单的普通信息传输提供无阻塞的交换，它还必须在一些苛刻的应用环境下表现出应有的性能。比如，当网络中出现病毒攻击、启用ACL等防护措施时，当网络传输不同重要等级的流量网络对多种通讯技术(如：单播、组播)、多种协议提供同时服务时，大部分著名的第三方测试机构TollyGroup和ZDLabs对E*treme和其他公司主ACL、QoS,在100M、1000M、10000M交换、路由等各种苛刻的环境下都表4.5网络的灵活性和可扩展性●硬件方面■大容量的MAC地址表、路由表■支持最长掩码匹配路由(LPM)或子网查找技术(IPDA)■同一台设备支持多种功能(2、3、4、~7层),并不增加成本●软件方面■E*tremeE*OS采用基于Uni*内核的■提供了*ML标记接口。*ML提供了一种理想的机器间接口语言，第5章附件极进网络E*tremeNetworks(Nasdaq:E*TR)是开放型网络的全球领导**加州硅谷，目前已在50多个国家中销售网络交换解决方案。系统两大核心领域的研发投入，其独树一帜的4GNSS(第四代可编程ASIC芯片)和新一代模块化操作系统E*tremeWare*OS使得E*tremeNetworks傲立于全球交换机技术领域的最前沿。E*tremeNetworks是由100家国际知名网络二任主席都是E*treme公司的网络产品经理。另外E*tremeNetworks的主要技术官员是几个IEEE协会和IETF工作组的主要成员，其中包括IEEE802.3ae工2005&2004InfoWorldMagazinetechnologyproductoftheYear,2005TechWorld2000NetworkMagazinePhigh-PNetwrkWrH需NCSTARTUPS,97、98LANTIMESBestTest,连续四年获得Networld&Interop际网络产品评测中获得的部分奖项。E*tremeNetworks千兆以太网产品在速度、带宽、网络规模及服务质量E*tremeNetworks通过先进技术推动市动发展，从98、99、2000、2001、2002、2003年度E*tremeNetworks的千兆产品市场份额连续保持全球销量第一，同时率先成为全球第三层交换机累计端口出货数量超过1000万的厂大型教育网络系统使用的也是E*treme千兆交换机；E*tremeNetworks于2000北京邮电大学和上海交通大学分别设有专业技术培训认证中心。进入中国5年300多家客户。随着千兆以太网的日益普及，其市场占有率还将持续增长。解决方案以及优质的技术支持服务。公司网站：5.2成功案例企业、科研及其他客户：数据中心厥务莓pc司海上作业平台配置：原标书中要求配置20个千兆收发器如果原来多模光纤保留，就不再需要使用单多模转换器万兆环滨海各单位滨海东沽10G东沽各单位港区各单位港区湛江片区网络改造后拓扑图服务器服务器核心交换机BD8810船舶小区网络2区服务器总公司●大庆油田●山东莱芜钢铁集团●广东美的集团●华北电力设计院●成都飞机公司●云南云维集团企业网络●广州丰彩印刷厂●成都飞机设计研究所●机械工业部第九设计院(一汽的汽车研究所)●中国艺术研究院●上海交通大学985网络工程(国内第一个万兆以太网)●上海空军政治学院●武汉江汉教育城域网●广西师范大学●苏州研究生城●连云港教育城域网●中国移动(ChinaMobile)总部●中国电信山东城域网(共6个城市)●中国电信吉林城域网(共13个城市)●中国电信湖南城域网(共10个城市)●中国电信安徽城域网(共7个城市)●上海现代职业学校●上海东华大学●上海财经大学●南京国际关系学院●吉林大学珠海分校●华南师范大学南海分校●郑州大学软件学院●河南大学●北京电影学院●韶关大学●东莞理工大学新校区●珠海二中●广州越秀区教育局●成都七中●广州轻工职业学校●中国移动互联网黑龙江省网德城域网域网●江宁广电城域网●肥城广电城域网●武进广电城域网●金坛广电城域网●上海银行●平安证券公司●国信证券公司●南方证券公司●香港医院管理局及其下属●一个行政中心●44个公立医院及医疗单位●49个专家门诊部●北京市政府(2008奥运会项目)●深财证券公司●江门证券公司●杭州工商信托公司●奥财证券公●13个普通门诊部●浙江妇幼保健医院●浙江义乌人民医院●浙江温州医院第一附属医院●上海中山医院●重庆西南医院●FourSeasonsHotel,香港四季酒店店●澳门葡京赌场●澳门永利赌场●澳门教育部●●新加坡电信●韩国电信●重庆大坪医院●澳门司法●HospitalAuthority,香港医管局●韩国最大的ISP-DACOM●Apple苹果电脑●**国防部●Compaq康柏BlackDiamond8800高性能交换机采用10插中的每个端口都支持从2层到4层的全部功能。产品族包括了10插槽的BlackDiamond8810和6插槽的BlackDiamond8806。●为高性能集群计算提供互联交换无论是在接入层连接PC机和IP电话还是在集群中连接各个服务器，高性能的网络连接设备只有在高度可靠的情况下才可以体现其作用。BlackDiamond8800交换机产品族具备大量的硬件冗余和采用了E*tremeWare*os操作系统。E*tremeWare*os操作系统支持在不重启系统的情况下完成系统的恢复和应用的升级，同时支持各种网络协议为聚集应用提供网络恢复功能。●采用2+1的冗余电源设计给全负载的机箱供电，支持千兆位或10Gb(SpanningTree),做为一项单独的操作系统的任务在系统中运供的可靠性和启动时间(少于50毫秒),并支持在任何VLAN数、节点数和网络拓●BlackDiamond8800支持生成树(SpanningTree)、VLAN生成树(802.1D)和快速生成树(802.1D)等协议，提供2层的可靠性功能。●交叉链路汇聚技术支持一个逻辑连接上的高达八条链路的汇聚，为每个逻辑连接提供高达80千兆的冗余带宽。根据IP电话、无线接入点等边缘网络设备的数目持续增长这一网络发展趋势，BlackDiamond8800提供了一个高性能、低成本的方案。BlackDiamond8800采用的是单独的7层机架结构，可支持1200个无阻塞的千兆以太网端口或近100个无阻塞的10Gb以太网端口，为实现集群提供一个低成本的连接方案。边缘网络设备的数目持续增长这一网络趋势也推动了在网络边缘和个人台式机中实现千兆以太网连接(GigabitEthernettothedesktop)的需求和10Gb以太网做为连接技术在实际中的应用。巨大的交换能力●800Gbps的交换带宽●每个插槽48Gbps的交换带宽●支持超过570Mpps的2层/3层硬件转发速率●每个I/O模块的本地交换能力●4.016Tbps的总交换能力*×基于所有的交换能力，也包括了不在数据路径上的交换能力高密度的千兆和10Gb以太网端口端口、2个管理交换阵列模块(MSM),BlackDiamond8810中采用432个端口、1个MSM模块●1000BASE-*:208个端口、2个管理模块，BlackDiamond8810中采用224个端口、1个MSM模块10Gb以太网：32个端口、BlackDiamond8810中采用36个端口、1个MSM模块●两个MSM同时使用时，端口可按线速运行高密度10/100/1000以太网432个按802.3af标准定义特和7瓦特内嵌电源)端口EQ\*jc3\*hps31\o\al(\s\up1(432个按802.3af标准定义特和7瓦特内嵌电源)端口●333个按802.3af标准定义的Class3(15.4瓦特的内嵌电源)端口●全部采用内部电源供电EQ\*jc3\*hps31\o\al(\s\up1(Bl),●)ackDiamond8806192个按802.3af标准定义EQ\*jc3\*hps31\o\al(\s\up1(Bl),●)ackDiamond8806模块●240个按802.3af标准定义的Class3(15.4瓦特的内模块●全部采用内部电源供电安全网络的配置要求交换机可以支持全面的安全功能。BlackDiamond8800系列的安全功能主要包括三个方面：用户和主机的完整性，威胁检测和响应以及坚固的网络结构。用户和主机的完整性●汇聚型的网络设计通常采用共享的端口。交换机可以唯一地辨认出共享端口上的每个用户或设备，并对用户或设备采用适当的安全策略。●MAC地址锁定功能给IP电话、无线接入点(AP)和服务器提供了保护。MAC地址安全/锁定功能使得交换机能够阻隔任何和已配置的MAC地址不符的MAC地址的访●基于可信计算组织(TrustedComputingGroup)的模型，支持主机完整或端点完整。威胁检测和响应●收集器可以采集到一分钟内的网络流量视图，用于网络诊断、控制拥塞和网络安全威胁检测。●支持多对一和交叉模块端口镜像功能，用于趋势分析或者做为网络管理员阻隔网络威胁的诊断工具。48000个ACL。坚固的网络结构终止这些报文的传输。●支持路由协议的MD5认证，阻止攻击者篡改合法报文和攻击路由会话。一般规范交换能力端口容量●36个10GBASE-*(*ENPAK)端口(采用2个MSM时，提供32个10GBASE-*端口)●224个1000BASE-*SFP(迷你型GBIC)端口(采用2个MSM时，提供208个1000BASE-*SFP端●20个10GBASE-*(*ENPAK)端口(采用2个MSM时，提供16个10GBASE-*端口)●128个1000BASE-*SFP(迷你型GBIC)端口(采用2个MSM时，提供112个1000BASE-*SFP端管理交换模块I/O模块选项-S*(最多550m)-L*(最多5km)-Z*(最多70km)-SR(最多330m)-LR(最多50km)-ER(最多40km)电源选项符合802.3af标准的以太网供电(PoE)333端口，支持6个电源供电的802.3af定义的class0设备432端口，支持6个电源供电的803.3af定义的class1设备432端口，支持6个电源供电的803.3af定义的class2设备协议和标准一般路由和交换●PVST+每个VLAN生成树(802.1Q可互操作)●RFC2474DiffServ优先级，每个端口包括8●RFC2328OSPFv2(包括MD5认证)BGP4(要求可靠性)●RFC2796BGP路由反射(代替RFC1966)IP组播●PIM-DM草案IETFPIM密集模式v2-dm-●静态IGMP注册IPv6(应需可靠性)●RFC1591DNS(客户端操作)似以太网的MIB和陷阱事件●RFC1493桥接MIB●RFC1657BGPv4MIB(应需可靠性)●安全套接(SSHv2)服务器●安全拷贝(SCPv2)服务器●安全FTP(SFTP)服务器Syslog服务器●999条本地信息(在重新启动过程中存储的关键数据)●E*tremWare厂商MIB(包括FDB、VLAN配置和VMANMIB)安全●路由协议MD5认证(参见上面)●安全套接(SSHv2)、安全拷贝(SCPv2)和SFTP,支持加密/认证(参见上面)●网络登录(基于Web的DHCP/HTTP/RADIUS机制)控制●多申请者的网络登录(基于web和采用●IP地址安全，支持DHCP第82选项控制●线速ACLCA-98.01:smurfIP_Spoofing_Attacks_and_Hijacked订货信息部件编号部件名称说明BlackDiamond881010插槽机箱(包括风扇盘)BlackDiamond88066插槽机箱(包括风扇盘)240V源单元(PSU)BlackDiamond8800MBlackDiamond8800管理交换矩阵模块，w/81000迷你型GBICI/0端口BlackDiamond880048端口10/100/1000BASE-T块BlackDiamond880048端口10/100/1000BASE-T块BlackDiamond880048端口10/100/1000BASE电(PoE)RJ-45模块BlackDiamond880024端口1000BASE-*迷你型BlackDiamond88004端口10BASE-**EBlackDiamond88004端口10BASE-**E计算机网络系统项目扇托架BlackDiamond8810备用风扇托架BlackDiamond8800备用电源单元(PSU)/风扇控制BlackDiamond8800备用电源单元(PSU)/BlackDiamond8800备用空白板配工具BlackDiamond8810中央装配工具可阿BlackDiamond8810E*tremeWare*0S核心软件升级10G以太网*ENPAK收发器，850nm,与多模光纤一起使用，支持距离达300米，SC接口10G以太网*ENPAK收发器，1310nm,与单模光纤一起使用，支持距离达10公里，SC接口10G以太网*ENPAK收发器，1550nm,与单模光纤一起使用，支持距离达40公里，SC接口Mini-GBIC,SFP,1000BASES*,LC接口Mini-GBIC,SFP,1000BASEL*,LC接口Mini-GBIC,SFP,超远距离单模光纤70公里/21db预算，LC接口5.4产品介绍-Summit*450在2003年，E*tremeNetworks公司在网络操作系统方面取得了重大突破，推出了E*tremeWare*OS操作系统，从而为模块化和高可用性提出了一个新的工业标准。E*tremeWare*OS最初被用于BlackDiamond10808(10K)和BlackDiamond8800这两种高端机架式交换机中，而现在这一技术也被应用于固定配置的千兆交换机系列中，即Summit*450系列。Summit*450系列采用了和E*tremeBlackDianmond8800相同的高性能、无阻塞的硬件技术，从而延续了E*tremeNetwork公司在网络中使用通用的硬件和软件技术来后视图Summit*450产品系列多样化，包括24个光纤端口、24或48个10/100/1000M自适应铜线以太网端口以及24口10/100/1000M在线馈电以太网端口等多种机箱，所有型号都提供一计算机网络系统项目于核心层和边缘层·作为传统的三层结构网络的汇聚交换机，将E*treme*OS的功能延伸到汇聚层·或者，在城域以太网中作为用户边缘设备(CE攻击防护硬件配置铜线千兆端口4(共享)24(4个共24(4个共48(4个共享)24(4个共24/48(4个共享)在线馈电迷你型GBIC千兆光纤端口24(4个共4(共享)4(共享)4(共享)4(共享)可选的10G端口22222带外管理端口√√√√√串行口√√√√√外部冗余电源交流交流交流直流交流可选的两个路由交换支持支持支持支持支持支持支持支持支持支持策略路由支持支持支持硬件包过滤支持支持支持支持支持每端口8个硬件队列每端口8个硬件队列每端口8个硬件队列每端口8个硬件队列每端口8个硬件队列*OS高级边缘软件随机提供随机提供随机提供随机提供选配*OS核心软件选配选配选配选配选配计算机网络系统项目想了解Summit*450系列所能提供的优势，最好途径就是快速了解它的功能。高可用性*450系列可获得语音级的可用性。E*E*tremeWare*OS是一个全面的模块化操作系统，提供E*treme*OS支持在不影响交换机运作的情况下增加软件功能，从而消除了"预安排停运"(scheduledoutages)的现象。Summit*45BlackDiamond8800和BlackDiamond10K相同的E*tremeWare*OS操作系统，从而实现了网络从边缘到核心部署统一的操作系统。以下是务，将做为一项单独的操作系统的任务在系统·进程监控和重启：E*remeWare*OS可以实时监控每一个单独的任务。它们中的任何一个如果没有响应或者停止运作都将被自动重启。这一功能大大提高了网络的可用性，例如，在某一特定网络协议遭受攻击的情况下网络仍然可以正常运行。·可加载模块：E*tremeWare*OS的模块化设计意味着可以在交换机运行新的功能。例如，可以在不重启交换机的情况下Summit*450系列支持大量的高可用性协议，包括以太网自动保护协议(EAPS)。在大多数情况下，由于EAPS在少于50毫秒的时间内就能完成故障切换，因此Summit*450系列其余的2层和3层弹性协议和众多的硬件冗余技术进一步延伸了Summit*450系列的可用性。OSPF的等值多链路路由协议(ECMP)不仅提供了冗余的网络路径，还增加了可用带宽。而E*treme备份路由协议(ESRP)可同时作用于2层和3层，可以很好地支持双宿标准的双宿配置。同时，为了提供不间断的局域网服务，Summit*源故障的情况下实现透明备份故障切换的冗余电源配置，千兆和10G级别的冗余上行链路计算机网络系统项目高级路由协议Summit*450系列采用的是最长前缀匹配(LPM)三层转发这一在核心路由器中使用的转发技术，这一技术通过显著扩大硬件路由表的数目来提高路由效率。这使得交换机在受到*OS可支持一组交换协议，包括支持IPv4的OSPF和BGP协议以及为下一代路由准备的Summit*450a和e系列同时硬件策略全面的安全功能以避开攻击应以及坚固的网络结构。这是在网络边缘和数据中心对企业资产进行保护的三个重要技sFlow是Summit*450系列中的一个功能强大的威胁检测功能，它是一种取样技术，可同时在所有的接口处连续监控应用级的流量。sFlow代理将数据打包成sFlow数据包后并将它们送到sFlow采集器，从而建立起分钟级的网络流量视图，以用于诊断网络问题、控制Summit*450系列的坚固的网络结构功能可以实现在不降低总体交换性能的情况下检测和城域以太网服务传输功能Summit*450系列是理想的城域以太网服务传输平台。它的高级流量管理功能、冗余功能和和可扩展功能使得它可以灵活部署在用户边缘(CE)或者作为一个汇聚交换机部署在运营商边缘(PE)。通过支持CE和PE的服务传输需求，Summit*450系列大大减少了服务提供城域网部署需要特别的服务质量(QOS)功能，而Summit*换机，它的每个端口有8个硬件队列以支持精细的流量分级，每个入方向都有128个分类处理器，可以利用1层到4层的信息对进入的数据包按线速的速率进行分级和计量。在流量计量过程中，Summit*450系列可以选择丢掉特定的数据流或者给它加标记以供后期处理。为了加速上行流量处理速度，数据包分级标记可以和2层(802.lp)和3层(DiffServ)标计算机网络系统项目作为一个用户边缘设备时，Summit*450系列的高级流量管理功能可以支持将语音、视频和数据服务组合在一起的三网合一业务的传输。Summit*450和UNI1.0城域以太网论坛规