寵物食品有限公司綜合布線建設(shè)項(xiàng)目技術(shù)方案

xxxx寵物食品有限公司綜合布線建設(shè)項(xiàng)目（技術(shù)文件）目錄設(shè)備介紹 41、S12700設(shè)備概述 42、產(chǎn)品特點(diǎn) 4二、xxxx園區(qū)網(wǎng)絡(luò)總體設(shè)計(jì)架構(gòu) 71.1園區(qū)網(wǎng)總體網(wǎng)絡(luò)架構(gòu) 71.1.1網(wǎng)絡(luò)設(shè)計(jì)原則 71.1.2網(wǎng)絡(luò)邏輯架構(gòu) 71.2核心層總體網(wǎng)絡(luò)架構(gòu) 91.2.1核心層組網(wǎng) 91.2.2核心層規(guī)格 101.2.3核心層可靠性 111.2.4核心層安全性 12三、項(xiàng)目設(shè)計(jì)實(shí)施方案 131.1路由設(shè)計(jì) 131.1.1路由概述 131.1.2IGP設(shè)計(jì) 141.1.3BGP設(shè)計(jì) 161.2組播設(shè)計(jì) 171.2.1組播概述 171.2.2組播地址規(guī)劃 171.2.3組播路由選擇 181.2.4組播方案建議 181.3可靠性設(shè)計(jì) 191.3.1硬件可靠性 191.3.2可靠性方案建議 211.4QoS設(shè)計(jì) 261.4.1部署模型 271.4.2業(yè)務(wù)模型 271.4.3隊(duì)列調(diào)度 281.4.4端口緩存 291.4.5QoS方案 311.5網(wǎng)絡(luò)邊界設(shè)計(jì) 371.5.1邊界防護(hù)設(shè)備 381.5.2邊界防護(hù)組網(wǎng) 381.6NAC設(shè)計(jì) 391.6.1用戶接入認(rèn)證 431.6.2用戶策略管理 551.6.3遠(yuǎn)程用戶接入 581.6.4NAC方案建議 59四、技術(shù)偏離表 63五、項(xiàng)目管理組織方案 661、項(xiàng)目組織管理機(jī)構(gòu)結(jié)構(gòu)圖 662、項(xiàng)目部主要管理人員職責(zé)說明 663、項(xiàng)目管理工作流程 684、項(xiàng)目管理制度 75六、施工方案、工期安排及工期保證措施 761、計(jì)劃開、竣工日期 762、施工工期計(jì)劃 763、本項(xiàng)目施工工期計(jì)劃 764、工期保證措施 77七、勞動(dòng)力和材料投入計(jì)劃及措施 801、勞動(dòng)力投入計(jì)劃 802、資源限制條件 813、勞動(dòng)力投入保障措施 814、民工工資支付保證措施 825、材料投入計(jì)劃及保證措施； 84八、工程質(zhì)量控制及質(zhì)量保證措施 85（一）工程質(zhì)量控制 851、質(zhì)量程序文件 852、質(zhì)量體系 853、質(zhì)量體系文件 854、質(zhì)量保證文件 865、IS09000質(zhì)量管理體系 876、施工質(zhì)量控制的原則 87（二）工程質(zhì)量保證體系 901、公司質(zhì)量保證架構(gòu) 912、質(zhì)量保證流程 91九、安全施工保證措施 921、工程負(fù)責(zé)人安全責(zé)任制 922、建筑施工現(xiàn)場(chǎng)工程安全施工的一般要求 923、安全書面交底的內(nèi)容和要求 934、施工現(xiàn)場(chǎng)安全用火要求及防火措施 93xx解決方案93/94設(shè)備介紹1、S12700設(shè)備概述S12700系列交換機(jī)是華為公司面向敏捷園區(qū)核心而專門設(shè)計(jì)開發(fā)的敏捷交換機(jī)，采用全可編程架構(gòu)，靈活快速滿足客戶定制需求，助力客戶平滑演進(jìn)至SDN網(wǎng)絡(luò)。S12700基于華為公司首款以太網(wǎng)絡(luò)處理器ENP，內(nèi)置隨板WLANAC無線局域網(wǎng)接入控制器，實(shí)現(xiàn)有線無線真正融合；內(nèi)置統(tǒng)一用戶管理功能，提供精細(xì)化的用戶和業(yè)務(wù)管理，支持iPCA網(wǎng)絡(luò)包守恒算法，可對(duì)任意業(yè)務(wù)流隨時(shí)隨地逐點(diǎn)檢測(cè)，助力客戶對(duì)業(yè)務(wù)的精準(zhǔn)管理。該產(chǎn)品基于華為公司自主研發(fā)的通用路由平臺(tái)VRP，在提供高性能的L2/L3層交換服務(wù)基礎(chǔ)上，進(jìn)一步融合了MPLSVPN、硬件IPv6、桌面云、視頻會(huì)議等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷升級(jí)、不間斷轉(zhuǎn)發(fā)、CSS2交換網(wǎng)硬件集群主控1＋N備份、硬件Eth-OAM/BFD、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從而降低了客戶的總擁有成本（TCO）。S12700系列提供S12708、S12712兩種產(chǎn)品形態(tài)。2、產(chǎn)品特點(diǎn)S12700產(chǎn)品提供以下特點(diǎn)：讓網(wǎng)絡(luò)更敏捷地為業(yè)務(wù)服務(wù)S12700內(nèi)置高速靈活的以太網(wǎng)絡(luò)處理器ENP，針對(duì)以太網(wǎng)專屬設(shè)計(jì)。憑借其靈活的報(bào)文處理及流量控制能力，深入貼近業(yè)務(wù)，滿足現(xiàn)在及未來的各種挑戰(zhàn)，助力客戶構(gòu)建彈性擴(kuò)展的網(wǎng)絡(luò)。在完全覆蓋傳統(tǒng)交換機(jī)能力基礎(chǔ)上，S12700通過全可編程開放接口和自定義轉(zhuǎn)發(fā)流程，滿足企業(yè)定制化業(yè)務(wù)訴求。企業(yè)既可以直接利用多層次的開放接口自主開發(fā)新的協(xié)議、功能，也可以將訴求交由廠商，與廠商共同開發(fā)完成，打造企業(yè)專屬敏捷園區(qū)網(wǎng)絡(luò)。ENP芯片采用全可編程架構(gòu)，可以完全自定義流量的轉(zhuǎn)發(fā)模式、轉(zhuǎn)發(fā)行為和查找算法。通過微碼編程實(shí)現(xiàn)新業(yè)務(wù)，客戶無需更換新的硬件，快速靈活，6個(gè)月即可上線。而傳統(tǒng)ASIC芯片采用固定的轉(zhuǎn)發(fā)架構(gòu)和轉(zhuǎn)發(fā)流程，新業(yè)務(wù)無法快速部署，需要等待1～3年的硬件支持。更敏捷地實(shí)現(xiàn)豐富業(yè)務(wù)特性S12700內(nèi)置隨板AC，無需額外購買AC硬件；整機(jī)可管理4KAP，64K用戶；同時(shí)S12700也成為業(yè)界首款T-bitAC的核心交換機(jī)，解決外置AC處理性能瓶頸，從容面向高速無線時(shí)代。S12700內(nèi)置統(tǒng)一用戶管理，有線無線統(tǒng)一集中到業(yè)務(wù)板卡上認(rèn)證，屏蔽了接入層設(shè)備能力和接入方式的差異，支持PPPoE/802.1X/MAC/Portal等多種認(rèn)證方式，支持對(duì)用戶進(jìn)行分組/分域/分時(shí)的管理，用戶、業(yè)務(wù)可視可控，實(shí)現(xiàn)了從“以設(shè)備管理為中心”到“以用戶管理為中心”的飛躍。更敏捷地實(shí)現(xiàn)網(wǎng)絡(luò)精準(zhǔn)管理iPCA網(wǎng)絡(luò)包守恒算法，改變了傳統(tǒng)利用模擬流量做故障定位的檢測(cè)模型，可對(duì)任意業(yè)務(wù)流隨時(shí)隨地逐點(diǎn)檢測(cè)網(wǎng)絡(luò)質(zhì)量，無需額外開銷；可在1秒內(nèi)立刻檢測(cè)業(yè)務(wù)閃斷性故障，檢測(cè)直接精準(zhǔn)到故障端口，實(shí)現(xiàn)從“粗放式運(yùn)維”到“精準(zhǔn)化運(yùn)維”的大轉(zhuǎn)變。S12700把WLAN領(lǐng)域中“AC管理AP”的優(yōu)秀實(shí)踐應(yīng)用到“核心交換機(jī)管理接入交換機(jī)”上，免除了接入交換機(jī)的繁瑣配置，并利用CAPWAP隧道對(duì)接入交換機(jī)和AP進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)開局時(shí)接入交換機(jī)和AP的“零配置”。業(yè)界領(lǐng)先的高規(guī)格板卡S12700采用自研ENP芯片，提供百萬級(jí)硬件表項(xiàng)規(guī)格，遠(yuǎn)超傳統(tǒng)交換機(jī)：高達(dá)1MMAC表項(xiàng)，3MFIB表項(xiàng)，滿足廣電、教育城域網(wǎng)核心等大路由應(yīng)用；高達(dá)1MNetstream表項(xiàng)，滿足校園網(wǎng)、大型企業(yè)等需要精細(xì)化流表統(tǒng)計(jì)的應(yīng)用需求。S12700每單板內(nèi)置1.5GB大緩存，確保突發(fā)流量不丟包，視頻業(yè)務(wù)清晰流暢。傳統(tǒng)交換機(jī)每板一般內(nèi)置4MB緩存，無法滿足高質(zhì)量視頻傳輸?shù)囊?。S12700支持48*10GE、2*100GE等高密線速線卡。整機(jī)最大支持576個(gè)10GE端口，24個(gè)100GE端口，充分滿足多媒體視頻會(huì)議、數(shù)據(jù)訪問等大帶寬應(yīng)用需求，保護(hù)用戶的投資。端到端的高可靠性設(shè)計(jì)設(shè)備級(jí)：CSS2交換網(wǎng)硬件集群技術(shù)S12700采用源自華為高端核心路由器已廣泛成熟使用的背靠背集群，在繼承CSS交換網(wǎng)集群技術(shù)的基礎(chǔ)上，創(chuàng)新推出CSS2第二代集群交換機(jī)系統(tǒng)，即CSS2交換網(wǎng)硬件集群。CSS2采用交換網(wǎng)硬件通道互聯(lián)，集群系統(tǒng)的控制報(bào)文和數(shù)據(jù)報(bào)文不需要經(jīng)由業(yè)務(wù)板卡轉(zhuǎn)發(fā)，而是直接通過交換網(wǎng)一次轉(zhuǎn)發(fā)。相對(duì)于傳統(tǒng)業(yè)務(wù)口集群而言，不僅減少了軟件故障可能帶來的干擾，降低了板卡故障帶來的風(fēng)險(xiǎn)，在時(shí)延上也大大縮減。CSS2創(chuàng)新支持主控1＋N備份，集群系統(tǒng)中只要保證任意一框的一個(gè)主控板運(yùn)行正常，多框業(yè)務(wù)即可穩(wěn)定運(yùn)行。相對(duì)于傳統(tǒng)業(yè)務(wù)口集群系統(tǒng)，每個(gè)框至少要有一塊主控單元運(yùn)行正常的限制，進(jìn)一步提高了集群系統(tǒng)的可靠性。CSS2采用集群不分裂架構(gòu)，通過集群系統(tǒng)的控制報(bào)文和數(shù)據(jù)報(bào)文走獨(dú)立的通道技術(shù)，即使所有交換網(wǎng)間鏈路均發(fā)生故障，控制報(bào)文也可通過主控板之間的控制通道在設(shè)備間互通，集群系統(tǒng)不會(huì)分裂。而傳統(tǒng)業(yè)務(wù)口集群技術(shù)，控制報(bào)文和數(shù)據(jù)報(bào)文都是通過業(yè)務(wù)板間的鏈路進(jìn)行轉(zhuǎn)發(fā)，一旦集群間鏈路故障，數(shù)據(jù)報(bào)文和控制報(bào)文都會(huì)丟失，集群系統(tǒng)的控制報(bào)文無法互通，造成集群分裂。網(wǎng)絡(luò)級(jí)：端到端的硬件保護(hù)倒換技術(shù)S12700支持硬件Eth-OAM、BFD等鏈路檢測(cè)技術(shù)，及G.8032、智能以太保護(hù)協(xié)議SEP等標(biāo)準(zhǔn)/兼容標(biāo)準(zhǔn)的鏈路倒換技術(shù)，提供端到端50ms硬件級(jí)倒換，打造反應(yīng)最迅速、業(yè)務(wù)最可靠園區(qū)。二、xxxx園區(qū)網(wǎng)絡(luò)總體設(shè)計(jì)架構(gòu)園區(qū)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)設(shè)計(jì)原則園區(qū)網(wǎng)通常是一種用戶高密度的非運(yùn)營網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。同時(shí)對(duì)于園區(qū)網(wǎng)而言，注重的是網(wǎng)絡(luò)的簡單可靠、易部署、易維護(hù)。因此在園區(qū)網(wǎng)中，拓?fù)浣Y(jié)構(gòu)通常以星型結(jié)構(gòu)為主，較少使用環(huán)網(wǎng)結(jié)構(gòu)（環(huán)網(wǎng)結(jié)構(gòu)較多的運(yùn)用在運(yùn)營商的城域網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)中，可以節(jié)約光纖資源）?；谛切徒Y(jié)構(gòu)的園區(qū)網(wǎng)設(shè)計(jì)，通常遵循如下原則：層次化將園區(qū)網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化將園區(qū)網(wǎng)絡(luò)中的每個(gè)部門或者每個(gè)功能區(qū)劃分為一個(gè)模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問題定位。冗余性關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)；關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載分擔(dān)；關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。提高了整個(gè)網(wǎng)絡(luò)的可靠性。安全隔離園區(qū)網(wǎng)絡(luò)應(yīng)具備有效的安全控制。按業(yè)務(wù)、按權(quán)限進(jìn)行分區(qū)邏輯隔離，對(duì)特別重要的業(yè)務(wù)采取物理隔離?？晒芾硇院涂删S護(hù)性網(wǎng)絡(luò)應(yīng)當(dāng)具有良好的可管理性。為了便于維護(hù)，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品。網(wǎng)絡(luò)邏輯架構(gòu)園區(qū)網(wǎng)絡(luò)的邏輯架構(gòu)如下圖所示，包括五大部分。終端層包含園區(qū)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、POTS話機(jī)、SIP話機(jī)、手機(jī)、攝像頭等。接入層負(fù)責(zé)將各種終端接入到園區(qū)網(wǎng)絡(luò)，通常由以太網(wǎng)交換機(jī)組成。對(duì)于某些終端，可能還要增加特定的接入設(shè)備，例如無線接入的AP設(shè)備、POTS話機(jī)接入的IAD等。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。匯聚層通常還作為用戶三層網(wǎng)關(guān)，承擔(dān)L2/L3邊緣設(shè)備的角色，提供用戶管理、安全管理、QoS（QualityofService）調(diào)度等各項(xiàng)跟用戶和業(yè)務(wù)相關(guān)的處理。核心層核心層負(fù)責(zé)整個(gè)園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實(shí)現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。園區(qū)出口園區(qū)出口是園區(qū)網(wǎng)絡(luò)到外部公網(wǎng)的邊界，園區(qū)網(wǎng)的內(nèi)部用戶通過邊緣網(wǎng)絡(luò)接入到公網(wǎng)，外部用戶（包括客戶、合作伙伴、分支機(jī)構(gòu)、遠(yuǎn)程用戶等）也通過邊緣網(wǎng)絡(luò)接入到內(nèi)部網(wǎng)絡(luò)。數(shù)據(jù)中心區(qū)部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為企業(yè)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。DMZ（DemilitarizedZone）區(qū)通常公用服務(wù)器部署于該區(qū)域，為外部訪客（非企業(yè)員工）提供相應(yīng)的訪問業(yè)務(wù)，其安全性受到嚴(yán)格控制。Extranet區(qū)與DMZ區(qū)相似，但它主要是面向合作伙伴提供服務(wù)。網(wǎng)絡(luò)管理區(qū)對(duì)網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)進(jìn)行管理的區(qū)域。包括故障管理、配置管理、性能管理、安全管理等。核心層總體網(wǎng)絡(luò)架構(gòu)核心層一般部署園區(qū)的核心設(shè)備（高端交換機(jī)或路由器），連接所有的匯聚交換機(jī)，轉(zhuǎn)發(fā)各個(gè)部門之間的流量。核心層對(duì)三個(gè)以上部門規(guī)模的企業(yè)來說是必須的，除了減少連線、路由Peer之外，讓擴(kuò)展以及日常策略調(diào)整也變得簡單。核心層組網(wǎng)一般情況下，核心層設(shè)備部署在匯聚層之上，作為匯聚層的匯聚，通常一臺(tái)匯聚設(shè)備管理一個(gè)企業(yè)的一個(gè)部門或一個(gè)樓層，而核心設(shè)備則管理一個(gè)企業(yè)或者一棟樓，其管理區(qū)域可以視為多個(gè)匯聚設(shè)備管理區(qū)域的合集。傳統(tǒng)核心設(shè)備與匯聚設(shè)備之間都采用雙歸上行連接，虛擬化技術(shù)成熟后現(xiàn)在上一般采用樹形連接，這樣的組網(wǎng)無論從物理連線還是業(yè)務(wù)部署上都較傳統(tǒng)網(wǎng)絡(luò)大大簡化了。如下圖所示，核心設(shè)備與匯聚設(shè)備通過虛擬化技術(shù)提高可靠性的同時(shí)，連線之間也可以做鏈路聚合，那么邏輯上設(shè)備之間的組網(wǎng)即為樹形結(jié)構(gòu)。核心設(shè)備與園區(qū)出口網(wǎng)關(guān)之間通常部署防火墻（本文以華為防火墻為例介紹），為了提高可靠性，核心設(shè)備可以通過雙歸方式上行至防火墻。如果一個(gè)園區(qū)需要多臺(tái)核心設(shè)備（三臺(tái)及以上），那么核心設(shè)備之間建議環(huán)形相連，設(shè)備與設(shè)備之間通過路由協(xié)議破環(huán)。核心層規(guī)格核心層是整網(wǎng)流量的匯聚點(diǎn)，因此核心設(shè)備要求要求有很高的轉(zhuǎn)發(fā)容量、同時(shí)還要求有高密度大帶寬的接口，除此之外，還要求有大規(guī)格轉(zhuǎn)發(fā)表項(xiàng)的學(xué)習(xí)和處理能力以應(yīng)對(duì)網(wǎng)絡(luò)不斷發(fā)展的要求。S12700可以同時(shí)滿足上訴所有的要求。高轉(zhuǎn)發(fā)性能S12712當(dāng)前整機(jī)支持最大交換容量37.28T，最大包轉(zhuǎn)發(fā)率12960Mpps；S12708當(dāng)前整機(jī)支持最大交換容量27.04T，最大包轉(zhuǎn)發(fā)率9120Mpps。無論是S12712還是S12708，在只配置3塊交換網(wǎng)時(shí)（滿配4塊，可真正實(shí)現(xiàn)3+1備份），仍可以實(shí)現(xiàn)48*10GE線卡的全線速轉(zhuǎn)發(fā)。高密度接口S12712支持48*10G的萬兆板卡，萬兆端口密度和單板的轉(zhuǎn)發(fā)性能都處于業(yè)內(nèi)領(lǐng)先。大規(guī)格表項(xiàng)能力S12700采用自研ENP芯片，提供百萬級(jí)硬件表項(xiàng)規(guī)格，遠(yuǎn)超傳統(tǒng)交換機(jī)：高達(dá)1MMAC表項(xiàng)，3MFIB表項(xiàng)，滿足廣電、教育城域網(wǎng)核心等大路由應(yīng)用；高達(dá)1MNetstream表項(xiàng)，滿足校園網(wǎng)、大型企業(yè)等需要精細(xì)化流表統(tǒng)計(jì)的應(yīng)用需求。S12700每單板內(nèi)置1.5GB大緩存，確保突發(fā)流量不丟包，視頻業(yè)務(wù)清晰流暢。傳統(tǒng)交換機(jī)每板一般內(nèi)置4MB緩存，無法滿足高質(zhì)量視頻傳輸?shù)囊?。核心層可靠性從上述組網(wǎng)圖可以看到，網(wǎng)絡(luò)可靠性由雙設(shè)備、鏈路冗余來保證。對(duì)于雙設(shè)備、鏈路冗余的網(wǎng)絡(luò)，如果接入層進(jìn)三層，在接入層和核心層之間采用三層路由的方式，通過等價(jià)路徑再輔助部署B(yǎng)FD（BidirectionalForwardingDetection）快速檢測(cè)故障，就能夠保證鏈路故障、設(shè)備故障的快速切換，同時(shí)也能夠充分利用冗余鏈路。我們推薦采用集群+堆疊的無環(huán)網(wǎng)絡(luò)方案來解決上面的這些缺陷。核心、匯聚采用兩臺(tái)框式交換機(jī)集群。接入層交換機(jī)和核心/匯聚層交換機(jī)間的鏈路進(jìn)行鏈路捆綁。這個(gè)方案有四大優(yōu)勢(shì)：簡化管理和配置首先，集群和堆疊技術(shù)將需要管理的設(shè)備節(jié)點(diǎn)減少一半以上。其次，二層組網(wǎng)變得簡潔不需要配置復(fù)雜的協(xié)議，如：STP/SmartLink/VRRP等?？焖俚墓收鲜諗挎溌饭收鲜諗繒r(shí)間可以控制在<10ms，大大降低了網(wǎng)絡(luò)鏈路/節(jié)點(diǎn)的故障對(duì)業(yè)務(wù)的影響。帶寬利用率高采用鏈路Trunk的方式，帶寬利用率可以達(dá)到100%。擴(kuò)容方便、保護(hù)投資隨著業(yè)務(wù)的增加，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級(jí)時(shí)，只需要增加新設(shè)備，而不需要更改網(wǎng)絡(luò)配置。平滑擴(kuò)容，很好的保護(hù)了投資。該方案極大提高了可靠性，以單鏈路故障率為1小時(shí)/1千小時(shí)為例，增加到兩條鏈路，就可以將故障率降低到3.6秒/1千小時(shí)，可靠性從3個(gè)9提高到6個(gè)9。可靠性的另一個(gè)重要方面是設(shè)備可靠性，核心區(qū)設(shè)備一般為框式設(shè)備，在可靠性方面的要求包括：支持主控單元的備份支持電源模塊的備份支持模塊化的風(fēng)扇設(shè)計(jì)，支持單風(fēng)扇失效支持所有模塊的熱插拔核心層安全性核心層除了邏輯上向下與匯聚層相連外，在園區(qū)內(nèi)部還主要負(fù)責(zé)與兩大區(qū)域互聯(lián)：園區(qū)網(wǎng)的數(shù)據(jù)區(qū)（主要是數(shù)據(jù)中心和DMZ）和網(wǎng)絡(luò)外部（Internet、VPN等）。兩個(gè)區(qū)域的安全性需要規(guī)劃。外網(wǎng)安全性核心層與園區(qū)出口部署防火墻設(shè)備，主要解決如下幾個(gè)安全問題：園區(qū)內(nèi)、外網(wǎng)之間的訪問控制，實(shí)現(xiàn)園區(qū)內(nèi)、外網(wǎng)的安全隔離。企業(yè)分支與園區(qū)內(nèi)網(wǎng)的訪問控制，實(shí)現(xiàn)企業(yè)分支和園區(qū)內(nèi)網(wǎng)業(yè)務(wù)的安全隔離。出差員工與總部DMZ區(qū)的訪問控制，實(shí)現(xiàn)出差員工與園區(qū)內(nèi)網(wǎng)的安全隔離。合作伙伴/訪客與總部DMZ區(qū)的訪問控制，實(shí)現(xiàn)合作伙伴/訪客與園區(qū)內(nèi)網(wǎng)的安全隔離。以華為自研防火墻（FW）為例，當(dāng)前一般使用雙設(shè)備備份方案，如果核心層設(shè)備已經(jīng)虛擬化（堆疊），則需要使用雙歸上行與FW連接。內(nèi)網(wǎng)安全性園區(qū)網(wǎng)的數(shù)據(jù)中心區(qū)主要是讀業(yè)務(wù)，常用的寫業(yè)務(wù)也是認(rèn)證通過的接入用戶授權(quán)操作，因此安全方案等級(jí)沒有外網(wǎng)那么高，內(nèi)部網(wǎng)絡(luò)屬于較安全的區(qū)域，是綠色區(qū)域，風(fēng)險(xiǎn)比較低。主要的安全風(fēng)險(xiǎn)來自內(nèi)部網(wǎng)絡(luò)自身的用戶（如用戶未經(jīng)授權(quán)的存取）。在接入設(shè)備中，根據(jù)實(shí)際需求控制不同分支之間的數(shù)據(jù)互通的訪問控制。設(shè)置DMZ區(qū)是出于安全性和業(yè)務(wù)便利性的考慮。DMZ區(qū)放置對(duì)外服務(wù)的Web、FTP、Email服務(wù)器，也放置方便內(nèi)部用戶訪問Internet的Proxy、DNS服務(wù)器等。外部用戶可以訪問DMZ區(qū)的Web、FTP等服務(wù)，但不能訪問到內(nèi)部的服務(wù)。內(nèi)部用戶可以訪問DMZ區(qū)也可以訪問內(nèi)部的服務(wù)。無論是數(shù)據(jù)中心還是DMZ區(qū)域，建議區(qū)域接口部署兩臺(tái)核心交換機(jī)或路由器作為出口，園區(qū)核心層交換機(jī)與出口交換機(jī)/路由器之間雙歸接入。業(yè)務(wù)部署方面，接口設(shè)備與核心層交換機(jī)部署常見路由協(xié)議，如OSPF。項(xiàng)目設(shè)計(jì)實(shí)施方案路由設(shè)計(jì)路由概述建議采用匯聚交換機(jī)作為路由和交換的分界點(diǎn)。這種設(shè)計(jì)方法有如下的優(yōu)點(diǎn)：路由配置簡單只需要在核心和匯聚交換機(jī)上配置路由。大量的接入交換機(jī)只做二層交換，配置簡單。便于采用接入交換機(jī)的“自動(dòng)配置”或者“零配置”功能，減少配置維護(hù)工作量。擴(kuò)展性好在同一個(gè)匯聚/核心交換機(jī)下的服務(wù)器擴(kuò)容方便，并且隨著業(yè)務(wù)的變化不需要更改網(wǎng)絡(luò)的配置，即插即用。路由備份靈活同一匯聚/核心交換機(jī)之間的聚合鏈路可以綁定多條物理鏈路，也可以分別綁定為多個(gè)聚合鏈路，如果是后者，那么多個(gè)聚合鏈路之間通過FRR實(shí)現(xiàn)快速收斂。IGP設(shè)計(jì)由于園區(qū)網(wǎng)內(nèi)部可能存在不規(guī)則區(qū)域，且路由節(jié)點(diǎn)不是特別多，建議使用OSPF路由協(xié)議。每個(gè)業(yè)務(wù)部門區(qū)域作為一個(gè)單獨(dú)的OSPF區(qū)域。針對(duì)OSPF的規(guī)劃主要注意以下幾點(diǎn)：規(guī)劃合理的RouteIDRouteID建議采用Loopback接口IP地址。OSPF核心區(qū)域規(guī)劃出口路由器和核心交換機(jī)作為OSPF的Area0，出口路由器作為ASBR和ABR，核心交換機(jī)為ABR。每個(gè)匯聚交換機(jī)和核心交換機(jī)組網(wǎng)部署為不同的OSPFAreaID1，2，N。OSPF邊緣區(qū)域規(guī)劃每個(gè)匯聚交換機(jī)和核心交換機(jī)組網(wǎng)部署為不同的OSPFAreaID1,2,N，Area1,2,N使用OSPFNSSA區(qū)域。與原先的普通的完全OSPF區(qū)域相比，通過規(guī)劃減少LSA在區(qū)域間的傳播，減少路由條數(shù)；和純stub區(qū)域相比部署路由協(xié)議更加靈活。另外核心交換機(jī)和出口路由器通過區(qū)域匯總，限制了區(qū)域間傳播的LSA條目。邊緣區(qū)域使用NSSA區(qū)域的優(yōu)勢(shì)在于：能精簡骨干區(qū)域路由器的路由表；減少骨干區(qū)域內(nèi)OSPF交互的信息量；提高路由表項(xiàng)的穩(wěn)定性。一個(gè)區(qū)域的路由計(jì)算和網(wǎng)絡(luò)調(diào)整不會(huì)影響其它區(qū)域，因故障引起的路由震蕩被隔離在區(qū)域內(nèi)部。如果部門較少，或者匯聚層與核心層之間是單條邏輯鏈路直連，那么建議只配置Area0。BGP設(shè)計(jì)園區(qū)場(chǎng)景很少需要部署B(yǎng)GP，除非出現(xiàn)以下幾種情況之一：場(chǎng)景1路由數(shù)量過于龐大，OSPF難以勝任時(shí)。一般單獨(dú)一個(gè)園區(qū)內(nèi)部路由數(shù)目可能不會(huì)很多，但是當(dāng)一個(gè)企業(yè)分支眾多且IP規(guī)劃不十分合理，導(dǎo)致路由條目過多，特別是園區(qū)的出口路由器/核心交換機(jī)上可建議部署B(yǎng)GP進(jìn)行合理規(guī)劃引入部分路由。場(chǎng)景2由于業(yè)務(wù)需要，需要大量的使用路由策略或者是業(yè)務(wù)分流，使用OSPF等協(xié)議不擅長，使用BGP可以方便的控制路由策略，來分配業(yè)務(wù)流向。場(chǎng)景3部署MPLSVPN技術(shù)時(shí)，用于復(fù)雜的隔離策略等。使用BGP是應(yīng)該注意以下幾點(diǎn)：Routerid的規(guī)劃BGP的routerid與OSPF的routerid共用一個(gè)，與Loopback接口地址相同。ASnumber的規(guī)劃由于企業(yè)網(wǎng)中都是私有網(wǎng)絡(luò)，所以BGP使用私有的ASnumber。組播設(shè)計(jì)組播概述IP組播技術(shù)實(shí)現(xiàn)了IP網(wǎng)絡(luò)中點(diǎn)到多點(diǎn)的高效數(shù)據(jù)傳送。相對(duì)于數(shù)據(jù)單播傳送，組播有效節(jié)省網(wǎng)絡(luò)帶寬，降低對(duì)網(wǎng)絡(luò)設(shè)備的要求，用戶規(guī)模可以靈活變化，用戶規(guī)模的增大不會(huì)對(duì)網(wǎng)絡(luò)和服務(wù)器造成帶寬和性能壓力。所以在實(shí)時(shí)數(shù)據(jù)傳送、多媒體會(huì)議、數(shù)據(jù)拷貝、游戲和仿真等諸多方面都有廣泛的應(yīng)用。組播在園區(qū)網(wǎng)一般用于特殊場(chǎng)景，例如：網(wǎng)上教學(xué)、IP組播視頻會(huì)議等業(yè)務(wù)。組播地址規(guī)劃組播組用D類IP地址（～55）來標(biāo)識(shí)。按照使用范圍劃分，組播地址可以劃分為三部分。協(xié)議保留組播地址地址范圍：～55。此地址范圍被IANA預(yù)留，一般供網(wǎng)絡(luò)協(xié)議使用。該范圍內(nèi)的地址屬于局部范疇，此地址的組播報(bào)文不能被轉(zhuǎn)發(fā)。用戶組播地址地址范圍：～55，此地址范圍也稱為公用組播地址，在全網(wǎng)范圍內(nèi)有效，可以用于Internet上。本地管理組地址地址范圍：～55，此地址范圍也稱為私有組播地址，主要用于測(cè)試或供內(nèi)部網(wǎng)絡(luò)在內(nèi)部使用，這個(gè)地址的組播不能上公網(wǎng)，類似于單播協(xié)議使用的私網(wǎng)地址。園區(qū)內(nèi)部部署的組播業(yè)務(wù)只是供本園區(qū)內(nèi)部使用，建議采用本地管理組地址作為組播地址。組播路由選擇根據(jù)協(xié)議的作用范圍，組播協(xié)議分為組播成員關(guān)系管理協(xié)議和組播路由協(xié)議。組成員關(guān)系管理協(xié)議包括IGMP（互連網(wǎng)組管理協(xié)議，目前存在V1、V2、V3三個(gè)版本）。組播路由協(xié)議又分為域內(nèi)組播路由協(xié)議和域間組播路由協(xié)議兩類。域內(nèi)組播路由協(xié)議包括：PIM-SM、PIM-DM、DVMRP等協(xié)議；域間組播路由協(xié)議包括MBGP、MSDP等協(xié)議。園區(qū)網(wǎng)絡(luò)的路由屬于域內(nèi)路由，所以園區(qū)網(wǎng)絡(luò)部署的組播業(yè)務(wù)不涉及跨域問題。園區(qū)網(wǎng)絡(luò)域內(nèi)組播路由推薦使用PIM組播路由協(xié)議。PIM不依賴于某一特定單播路由協(xié)議，組播路由和單播路由協(xié)議無關(guān)。與其它組播協(xié)議相比，PIM開銷更小，效率更高。PIM包括兩種模式：密集模式（Dense-Mode）PIM-DM適合于組播組成員相對(duì)比較密集、組播源和接受者比較靠近、組播數(shù)據(jù)流比較大且比較穩(wěn)定、規(guī)模較小的網(wǎng)絡(luò)。稀疏模式（Sparse-Mode）PIM-SM適用于組播組成員分布相對(duì)分散、范圍較廣、視頻源多、規(guī)模較大的網(wǎng)絡(luò)。從協(xié)議的設(shè)計(jì)優(yōu)劣情況比較，PIM-SM優(yōu)于PIM-DM，考慮到GR特性，建議在三層網(wǎng)絡(luò)中使用PIM-SM。IGMP組播成員管理機(jī)制是針對(duì)第三層設(shè)計(jì)的。通常IGMP部署在二三層網(wǎng)絡(luò)的邊界（三層網(wǎng)關(guān)）。在很多情況下，組播報(bào)文不可避免地經(jīng)過一些二層交換設(shè)備，如果不對(duì)二層設(shè)備進(jìn)行相應(yīng)的配置，則組播報(bào)文就會(huì)轉(zhuǎn)發(fā)給二層交換設(shè)備的所有接口，這顯然會(huì)浪費(fèi)大量的系統(tǒng)資源，使能IGMPSnooping可以很好解決這個(gè)問題。組播方案建議園區(qū)網(wǎng)絡(luò)中，建議采用PIM-SM+IGMP+IGMPSnooping來實(shí)現(xiàn)組播業(yè)務(wù)端到端的開展。核心交換機(jī)與匯聚交換機(jī)（可能還要包含出口路由器）之間使能PIM-SM，匯聚交換機(jī)（三層網(wǎng)關(guān)位置）使能IGMP，二層交換機(jī)上使能IGMPSnooping。園區(qū)網(wǎng)絡(luò)比較簡單時(shí)，一般PIM-SM的RP設(shè)置在和源DR所在的核心交換機(jī)上；園區(qū)網(wǎng)絡(luò)比較復(fù)雜時(shí)，選取一臺(tái)性能較高的路由器作為源DR。在采用層次化結(jié)構(gòu)組網(wǎng)的園區(qū)網(wǎng)絡(luò)中，視頻源建議直接部署接入核心層上，最大程度減少PIM-SM協(xié)議范圍，縮短組播流量路徑，減少組播流量對(duì)帶寬的占用?？煽啃栽O(shè)計(jì)硬件可靠性S12700系列交換機(jī)的部件熱備份、部件熱插拔以及硬件異常保護(hù)機(jī)制。部件熱備份S12700系列交換機(jī)的主控單元、交換網(wǎng)版、電源模塊、風(fēng)扇等關(guān)鍵部件都支持冗余備份。S12700系列交換機(jī)可以配置兩塊MPU主控單元，支持1+1冗余熱備。兩塊MPU主控單元工作在1+1冗余備份方式時(shí)，支持自動(dòng)倒換和強(qiáng)制倒換兩種倒換方式。主備倒換后，備用MPU快速承擔(dān)原主用MPU的全部工作，保證業(yè)務(wù)的連續(xù)性，提高系統(tǒng)的穩(wěn)定可用性。S12700系列交換機(jī)可以配置4塊SFU交換網(wǎng)單元，支持N+1（N≤3）冗余備份方式工作，互為熱備。3塊SFU交換網(wǎng)單元同時(shí)工作時(shí)，可以滿足LPU的線速轉(zhuǎn)發(fā)，當(dāng)其中任一塊SFU交換網(wǎng)故障時(shí)，備用SFU交換網(wǎng)快速承擔(dān)原主用SFU交換網(wǎng)的工作，保證業(yè)務(wù)的連續(xù)性。S12700系列交換機(jī)可以配置6個(gè)交流電源模塊或6個(gè)直流電源模塊，工作在M+N冗余備份模式。當(dāng)主備電源模塊正確插入并上電時(shí)，同時(shí)提供S12700所需要的電力。如果一個(gè)電源模塊出現(xiàn)故障，另一個(gè)電源快速承擔(dān)全部工作，可以確保業(yè)務(wù)不中斷，提高系統(tǒng)的可用性。S12700系列交換機(jī)每個(gè)風(fēng)扇框使用雙層風(fēng)扇備份方案實(shí)現(xiàn)系統(tǒng)冗余備份，滿足產(chǎn)品任何一個(gè)風(fēng)扇發(fā)生故障的情況下，其他風(fēng)扇會(huì)動(dòng)態(tài)調(diào)節(jié)轉(zhuǎn)速，確保產(chǎn)品正常工作。在風(fēng)扇出現(xiàn)故障后、或者故障后交換機(jī)溫度升高并超過警戒值，系統(tǒng)會(huì)產(chǎn)生告警信息并通知用戶及時(shí)更換。部件熱插拔S12700系列交換機(jī)的MPU、LPU、SFU、電源模塊和風(fēng)扇框都支持熱插拔。熱插拔備用MPU主控單元不影響業(yè)務(wù)轉(zhuǎn)發(fā)，插拔主用MPU主控單元后備用MPU將快速倒換，業(yè)務(wù)平滑過渡。當(dāng)S12700系列交換機(jī)上配置了6個(gè)電源模塊且都正常工作時(shí)，插拔其中的部分電源模塊不會(huì)中斷業(yè)務(wù)，此時(shí)需確保剩余電源模塊的供電仍能滿足當(dāng)前系統(tǒng)的正常運(yùn)行。當(dāng)S12700系列交換機(jī)上配置了多塊SFU交換網(wǎng)單元時(shí)，插拔任意一塊SFU交換網(wǎng)單元時(shí)不會(huì)導(dǎo)致業(yè)務(wù)中斷，但會(huì)導(dǎo)致整機(jī)交換容量降低，如果流量較大時(shí)可能無法線速轉(zhuǎn)發(fā)。風(fēng)扇框的熱插拔不會(huì)影響S12700的業(yè)務(wù)。S12700系列交換機(jī)的防塵網(wǎng)為無源，可根據(jù)需要隨時(shí)插拔，不影響S12700的運(yùn)行，方便隨時(shí)清潔。硬件異常保護(hù)S12700系列交換機(jī)支持如下硬件異常保護(hù)措施：內(nèi)存芯片故障糾錯(cuò)功能。電源輸入接口防止誤插和反插的功能。電源和業(yè)務(wù)接口過流和過壓保護(hù)。單板防誤插保護(hù)。電源、電壓和環(huán)境溫度的監(jiān)測(cè)、告警功能?？煽啃苑桨附ㄗh虛擬化方案園區(qū)網(wǎng)可靠性方案設(shè)計(jì)的目標(biāo)方案或發(fā)展趨勢(shì)是各層次園區(qū)網(wǎng)交換機(jī)都進(jìn)行虛擬化。如下圖所示，通過集群/堆疊技術(shù)將兩臺(tái)或多臺(tái)交換機(jī)虛擬成一臺(tái)交換機(jī)（多虛一），而虛擬交換機(jī)之間通過鏈路聚合技術(shù)（Trunk）鏈接，做到鏈路級(jí)的備份。多虛一方案可以實(shí)現(xiàn)：提高單節(jié)點(diǎn)設(shè)備可靠性，一臺(tái)交換機(jī)故障，另外一臺(tái)交換機(jī)自動(dòng)接管故障設(shè)備上的所有業(yè)務(wù)，可以做到業(yè)務(wù)無損切換。設(shè)備虛擬化通過跨設(shè)備的Trunk鏈路，提升鏈路級(jí)可靠性，并且流量可以均勻分布在Trunk成員鏈路上，提高鏈路帶寬利用率，一條或多條鏈路故障后，流量自動(dòng)切換到其他正常的鏈路。網(wǎng)絡(luò)配置和維護(hù)簡單，園區(qū)二層接入網(wǎng)不需要配置復(fù)雜的二層環(huán)網(wǎng)和保護(hù)倒換協(xié)議，二層鏈路故障能直接感知快速切換。三層網(wǎng)絡(luò)中多個(gè)設(shè)備間共享路由表，網(wǎng)絡(luò)故障路由收斂速度快。網(wǎng)絡(luò)管理和維護(hù)難度大大降低，此方案適應(yīng)面廣，擴(kuò)展性強(qiáng)，是未來園區(qū)網(wǎng)的發(fā)展趨勢(shì)。提高網(wǎng)絡(luò)故障的收斂時(shí)間。將虛擬化與Trunk相結(jié)合，使得傳統(tǒng)網(wǎng)絡(luò)中協(xié)議的收斂時(shí)間轉(zhuǎn)化為Trunk內(nèi)部成員的選路時(shí)間。鏈路聚合技術(shù)的收斂不涉及復(fù)雜的協(xié)議計(jì)算，也不涉及網(wǎng)絡(luò)協(xié)議的重新收斂，效率提高很多。華為S12700敏捷交換機(jī)的CSS2（ClusterSwitchSystemGeneration2，第二代集群交換機(jī)系統(tǒng)），又被稱為集群，除了實(shí)現(xiàn)將多臺(tái)交換機(jī)設(shè)備虛擬化為一臺(tái)交換機(jī)設(shè)備以外，對(duì)于敏捷園區(qū)核心網(wǎng)絡(luò)，還具有如下優(yōu)勢(shì)：交換網(wǎng)集群S12700支持獨(dú)立交換網(wǎng)板，交換網(wǎng)板上支持插集群卡。通過連接交換網(wǎng)集群卡端口，建立交換網(wǎng)集群。交換網(wǎng)集群的設(shè)計(jì)特點(diǎn)如下：啟動(dòng)性能快（交換網(wǎng)板與MPU并行啟動(dòng)）連線簡單（安裝、維護(hù)簡單）擴(kuò)展性更強(qiáng)（在交換網(wǎng)、集群子卡端口范圍內(nèi)，可以按需配置，靈活擴(kuò)展）拔主控對(duì)業(yè)務(wù)0損耗主備倒換0丟包交換網(wǎng)集群與業(yè)界常見的業(yè)務(wù)口集群比較不占用業(yè)務(wù)端口轉(zhuǎn)發(fā)路徑更短拔主控0丟包流量更均衡(業(yè)務(wù)口需要二次hash)故障感知更優(yōu)于業(yè)務(wù)口集群(集群口故障中斷上報(bào))業(yè)務(wù)口集群最多兩塊板、交換網(wǎng)集群最多4塊板。廣播流量無阻塞（業(yè)務(wù)口集群，兩組備份的集群鏈路中需要阻塞其中一路。交換網(wǎng)集群，集群鏈路無需阻塞）。單主控集群S12700主控和交換分離，主控板不在位時(shí)不影響轉(zhuǎn)發(fā)。S12700支持主框和備框僅一個(gè)主控時(shí)可建立集群，即S12700支持單主控集群。單主控集群，可以減少客戶部署成本。S12700備框主控故障，業(yè)務(wù)不中斷。S12700備框主控都拔出時(shí)，備框的數(shù)據(jù)轉(zhuǎn)發(fā)不受影響。需要說明：主、備框必須至少有一塊主控，CSS2集群才可以建立，所謂的單主控集群是指在CSS2集群建立以后可以支持單主控集群。S12700的CSS2集群系統(tǒng)，在備框設(shè)備無主控時(shí)，仍然能夠正常運(yùn)行。最后，針對(duì)鏈路故障檢測(cè)協(xié)議OAM，華為公司通過硬件OAM（CFM）提高檢測(cè)效率。相對(duì)于業(yè)界300ms的檢測(cè)效率，華為公司可以實(shí)現(xiàn)10ms檢測(cè)到鏈路故障，該性能與業(yè)內(nèi)廠家相比提升了30倍。其他技術(shù)方案三層網(wǎng)絡(luò)比較常用的可靠性技術(shù)包括：IPFRR、NSF/GR、ECMP/UCMP、BFD。IPFRRIPFRR（IPFastReroute）即IP快速重路由。IPFRR是一種轉(zhuǎn)發(fā)快速切換技術(shù)，當(dāng)物理層或鏈路層檢測(cè)到故障時(shí)無需等待路由收斂，立即開始采取措施，使用一條備份的鏈路將報(bào)文轉(zhuǎn)發(fā)出去，從而將鏈路故障對(duì)承載業(yè)務(wù)的影響降低到最小限度。通常在匯聚層到核心層、核心層到出口路由器之間部署。NSF(GR)NSF（NoneStopForwarding）是設(shè)備本身可靠性的一種，屬于GR（GracefulRestart）的一種形態(tài)。NSF是指在路由器/三層交換機(jī)控制層面故障的過程中，數(shù)據(jù)轉(zhuǎn)發(fā)不間斷地正常執(zhí)行。通常情況下，路由器/三層交換機(jī)故障后，其路由協(xié)議層面的鄰居會(huì)檢測(cè)到它們之間的鄰居關(guān)系Down掉，然后過段時(shí)間再次UP，這個(gè)過程被稱之為鄰居關(guān)系震蕩。這種鄰居關(guān)系的震蕩將最終導(dǎo)致路由震蕩的出現(xiàn)，使得重啟路由器/三層交換機(jī)在一段時(shí)間內(nèi)出現(xiàn)路由黑洞或者導(dǎo)致鄰居將數(shù)據(jù)業(yè)務(wù)從重啟路由器/三層交換機(jī)處旁路，從而導(dǎo)致網(wǎng)絡(luò)的可靠性大大降低。NSF技術(shù)的目標(biāo)就是為了解決上述路由震蕩的問題，在設(shè)備主控倒換時(shí)，轉(zhuǎn)發(fā)層面不等待控制平面重新計(jì)算路由，先保持現(xiàn)有轉(zhuǎn)發(fā)路徑不變。NSF功能通常在所有三層設(shè)備上部署。ECMP/UCMPECMP（EqualCostMultiplePath）是解決三層設(shè)備之間的轉(zhuǎn)發(fā)能力擴(kuò)展和可靠性問題的協(xié)議。根據(jù)實(shí)際鏈路情況和需要配置成等價(jià)轉(zhuǎn)發(fā)路徑或者非等價(jià)轉(zhuǎn)發(fā)路徑，實(shí)際轉(zhuǎn)發(fā)路徑通過HASH得到，根據(jù)需要進(jìn)行3元組、4元組或者5元組HASH，是解決三層多路徑的一種非常好的辦法。ECMP負(fù)載分擔(dān)模式是等價(jià)負(fù)載分擔(dān)，而UCMP（UnequalCostMultiplePath）則流量可以根據(jù)帶寬按比例分擔(dān)到每條鏈路上。這樣所有鏈路可根據(jù)帶寬不同而分擔(dān)不同比例的流量，使流量轉(zhuǎn)發(fā)更合理。ECMP和UCMP主要用于園區(qū)出口連接廣域網(wǎng)和Internet的不同運(yùn)營商。BFDBFD是一種三層檢測(cè)機(jī)制，對(duì)相鄰轉(zhuǎn)發(fā)引擎之間通道故障提供輕負(fù)荷、持續(xù)時(shí)間短的檢測(cè)。這些故障包括接口、數(shù)據(jù)鏈路，甚至是轉(zhuǎn)發(fā)引擎本身。BFD提供一個(gè)單一的機(jī)制，它能夠用來對(duì)任何媒介、任何協(xié)議層進(jìn)行實(shí)時(shí)地檢測(cè)，并且檢測(cè)的時(shí)間與開銷范圍比較寬。BFD故障檢測(cè)機(jī)制與以往的其他“Hello”檢測(cè)機(jī)制相比，具有許多獨(dú)到的優(yōu)勢(shì)。目前的網(wǎng)絡(luò)路由協(xié)議一般采用慢Hello機(jī)制，在沒有硬件幫助下，檢測(cè)時(shí)間會(huì)很長（例如：OSPF需要2秒的檢測(cè)時(shí)間，ISIS需要1秒的檢測(cè)時(shí)間）。這對(duì)某些應(yīng)用來說時(shí)間太長了，當(dāng)故障發(fā)生時(shí)，故障感應(yīng)時(shí)間越長代表著數(shù)據(jù)丟失量越大。BFD協(xié)議的出現(xiàn)，為上述問題提出了一種解決方案。BFD協(xié)議可以通過硬件發(fā)包做到最短10ms的“Hello”檢測(cè)周期。BFDFor路由，就是將BFD和路由協(xié)議關(guān)聯(lián)起來，通過BFD對(duì)鏈路故障的快速感應(yīng)進(jìn)而通知路由協(xié)議，從而加快路由協(xié)議對(duì)于網(wǎng)絡(luò)拓?fù)渥兓捻憫?yīng)。三層可靠性保護(hù)方式組網(wǎng)部署建議IPFRR在匯聚層和核心層部署IPFRR。對(duì)主用路徑和備用路徑可以靈活指定。NSF/GR在核心層和出口路由器/交換機(jī)上部署GR功能，當(dāng)設(shè)備主用主控失效，備用主控接管控制平面，轉(zhuǎn)發(fā)平面不受影響。ECMP/UCMP部署在出口路由器/交換機(jī)上，將流量負(fù)載均衡到不同的出口鏈路上。BFD在匯聚層配置BFDForVRRP；在核心層、出口路由器/交換機(jī)上部署B(yǎng)FDForOSPF。表三層可靠性部署建議1.4QoS設(shè)計(jì)企業(yè)網(wǎng)絡(luò)中，除了傳統(tǒng)的WWW、E-Mail、FTP等數(shù)據(jù)業(yè)務(wù)，還承載著視頻監(jiān)控、電視會(huì)議、語音電話、生產(chǎn)調(diào)度等業(yè)務(wù)，這些業(yè)務(wù)有一個(gè)共同特點(diǎn)，即對(duì)帶寬、延遲、延遲抖動(dòng)等傳輸性能有著特殊的需求。比如視頻監(jiān)控、電視會(huì)議需要高帶寬、低延遲抖動(dòng)的保證。語音業(yè)務(wù)雖然不一定要求高帶寬，但非常注重時(shí)延，在擁塞發(fā)生時(shí)要求優(yōu)先獲得處理。服務(wù)質(zhì)量QoS是各種存在服務(wù)供需關(guān)系的場(chǎng)合中普遍存在的概念，它評(píng)估服務(wù)方對(duì)客戶的服務(wù)需求提供支持的能力，目的就是向用戶的業(yè)務(wù)提供端到端的服務(wù)質(zhì)量保證。一般情況，QoS度量指標(biāo)如下：吞吐量（Throughput）：又可稱為帶寬，表示一定時(shí)間內(nèi)業(yè)務(wù)流的平均速率。通常通過流量監(jiān)管（CAR）、流量整形（GTS）實(shí)現(xiàn)帶寬調(diào)度。時(shí)延(Latency)：表示業(yè)務(wù)流穿過網(wǎng)絡(luò)時(shí)需要的平均時(shí)間。對(duì)于網(wǎng)絡(luò)中的一個(gè)設(shè)備來說，一般將不同時(shí)延的業(yè)務(wù)分為幾種優(yōu)先級(jí)，通過隊(duì)列調(diào)度保證業(yè)務(wù)需求。抖動(dòng)(Jitter)：表示業(yè)務(wù)流穿過網(wǎng)絡(luò)的時(shí)間的變化，可通過擁塞避免等技術(shù)防止流量抖動(dòng)。丟包率（DropRatio）：在網(wǎng)絡(luò)中傳輸數(shù)據(jù)包時(shí)丟棄數(shù)據(jù)包的最高比率。數(shù)據(jù)包丟失一般是由網(wǎng)絡(luò)擁塞引起的。針對(duì)帶寬、時(shí)延、抖動(dòng)、丟包率等要求，QoS可以通過優(yōu)先級(jí)映射、流量監(jiān)管、流量整形、隊(duì)列調(diào)度、擁塞避免等技術(shù)提升網(wǎng)絡(luò)服務(wù)質(zhì)量，滿足用戶在有限的資源限制情況下，獲得多業(yè)務(wù)部署的最佳體驗(yàn)。1.4.1部署模型QoS部署模型規(guī)定了多種QoS技術(shù)如何組合滿足用戶網(wǎng)絡(luò)服務(wù)需求，當(dāng)前主要存在兩種部署模型：Int-Serv模型Int-Serv（IntegratedService）模型是一個(gè)綜合服務(wù)模型，它的特點(diǎn)是在發(fā)送報(bào)文前要先向網(wǎng)絡(luò)提出申請(qǐng)，一般通過資源預(yù)留協(xié)議RSVP實(shí)現(xiàn)?？梢蕴峁┒说蕉说腝oS投遞服務(wù)是Int-Serv的最大優(yōu)點(diǎn)；其最大缺點(diǎn)是可擴(kuò)展性不好，通信設(shè)備需要為每個(gè)資源預(yù)留維護(hù)一些必要的軟狀態(tài)（SoftState）信息，當(dāng)網(wǎng)絡(luò)中的數(shù)據(jù)流數(shù)量很大時(shí)，設(shè)備的存儲(chǔ)和處理能力會(huì)遇到很大的壓力。Diff-Serv模型Diff-Serv（DifferentiatedService）模型是一種多服務(wù)模型，它通過攜帶在報(bào)文頭部的優(yōu)先級(jí)參數(shù)（802.1P、DSCP、EXP）來告知網(wǎng)絡(luò)節(jié)點(diǎn)它的QoS需求，這樣，Diff-Serv在提供服務(wù)時(shí)，可以為屬于同一需求類別的分組提供同樣的服務(wù)策略，而無需通過信令協(xié)議再去申請(qǐng)資源。正是由于擁有“帶內(nèi)”信令和基于流進(jìn)行服務(wù)的特點(diǎn)，在網(wǎng)絡(luò)部署中，Diff-Serv具有良好的可擴(kuò)展性，成為企業(yè)園區(qū)網(wǎng)絡(luò)部署的主流方案。1.4.2業(yè)務(wù)模型對(duì)于Diff-Serv部署，RFC4594把業(yè)務(wù)劃分為12種類型，并對(duì)每一類型的業(yè)務(wù)對(duì)于丟包、時(shí)延和抖動(dòng)的要求做了分析。業(yè)務(wù)分類RFC名稱業(yè)務(wù)說明丟包時(shí)延抖動(dòng)網(wǎng)絡(luò)控制NetworkControl網(wǎng)絡(luò)控制平面業(yè)務(wù)，如OSPF/BGP/VRRP/EIGRP等。LowLowHigh語音業(yè)務(wù)TelephonyVoIP業(yè)務(wù)，包括G.711、G.729等語音流VeryLowVeryLowVeryLow廣播視頻BroadcastVideo廣播電視和視頻監(jiān)控業(yè)務(wù)，特點(diǎn)是丟包敏感，不具備重新發(fā)送和流控能力。VeryLowMediumHigh桌面會(huì)議MultimediaConferencing桌面多媒體協(xié)同應(yīng)用軟件，包括語音和視頻的應(yīng)用，如華為eSpace。Low-MediumVeryLowLow交互視頻Real-timeInteractive室內(nèi)部署的交互視頻應(yīng)用，具有語音和視頻能力。如視頻會(huì)議、高清視頻等LowVeryLowLow視頻點(diǎn)播MultimediaStreamingVoD視頻點(diǎn)播業(yè)務(wù)。這類業(yè)務(wù)允許一定的時(shí)延，丟包能夠重傳，比廣播和實(shí)時(shí)媒體業(yè)務(wù)更具彈性Low-MediumMediumHigh呼叫信令SignalingIP語音和視頻業(yè)務(wù)信令流。如SIP、H323、MGCP、VMP等LowLowHigh事務(wù)處理Low-LatencyData交互式的重要數(shù)據(jù)業(yè)務(wù)，如即時(shí)消息、ERP、數(shù)據(jù)庫查詢LowLow-MediumHigh網(wǎng)絡(luò)管理OAM網(wǎng)絡(luò)維護(hù)和管理業(yè)務(wù)。SNMP、SSH、SysLogLowMediumHighBulk數(shù)據(jù)High-ThroughputData指非交互式“背景”業(yè)務(wù)，其特點(diǎn)是不需要等待業(yè)務(wù)響應(yīng)，不會(huì)影響工作效率。如Email、FTP、文件共享等業(yè)務(wù)LowMediumHigh背景流量Low-PriorityData與公司業(yè)務(wù)無關(guān)，多是娛樂性的業(yè)務(wù)。如BT、eMule、YouTube等非組織性的內(nèi)容HighHighHigh盡力服務(wù)Standard采用默認(rèn)優(yōu)先級(jí)0，大多數(shù)業(yè)務(wù)不進(jìn)行優(yōu)先級(jí)標(biāo)記NANANA1.4.3隊(duì)列調(diào)度隊(duì)列指的是在緩存中對(duì)報(bào)文進(jìn)行排序的邏輯。當(dāng)流量的速率超過接口帶寬或超過為該流量設(shè)置的帶寬時(shí)，報(bào)文就以隊(duì)列的形式暫存在緩存中。報(bào)文離開隊(duì)列的時(shí)間、順序，以及各個(gè)隊(duì)列之間報(bào)文離開的相互關(guān)系則由隊(duì)列調(diào)度算法決定。S12700交換機(jī)設(shè)備的每個(gè)端口上都有8個(gè)下行隊(duì)列，稱為CQ（ClassQueue）隊(duì)列，也叫端口隊(duì)列（Port-queue），在交換機(jī)內(nèi)部與前文提到的8個(gè)PHB一一對(duì)應(yīng)，分別為BE、AF1、AF2、AF3、AF4、EF、CS6和CS7。單個(gè)隊(duì)列的報(bào)文采用FIFO（FirstInFirstOut）原則入隊(duì)和出隊(duì)。S12700交換機(jī)支持的隊(duì)列調(diào)度算法包括：PQ（PriorityQueuing）調(diào)度PQ調(diào)度，就是嚴(yán)格按照隊(duì)列優(yōu)先級(jí)的高低順序進(jìn)行調(diào)度。只有高優(yōu)先級(jí)隊(duì)列中的報(bào)文全部調(diào)度完畢后，低優(yōu)先級(jí)隊(duì)列才有調(diào)度機(jī)會(huì)。RR（RoundRobin）調(diào)度RR調(diào)度采用輪詢方式，對(duì)多個(gè)隊(duì)列進(jìn)行調(diào)度。RR以環(huán)形方式輪詢多個(gè)隊(duì)列。如果輪詢的隊(duì)列不為空，則從該隊(duì)列取走一個(gè)報(bào)文；如果該隊(duì)列為空，則直接跳過該隊(duì)列，調(diào)度器不等待。WRR（WeightedRoundRobin）調(diào)度加權(quán)輪詢WRR調(diào)度主要解決RR不能設(shè)置權(quán)重的不足。在輪詢的時(shí)候，WRR每個(gè)隊(duì)列享受的調(diào)度機(jī)會(huì)和該隊(duì)列的權(quán)重成比例。RR調(diào)度相當(dāng)于權(quán)值為1的WRR調(diào)度。DRR（DeficitRoundRobin）調(diào)度差分輪詢DRR調(diào)度實(shí)現(xiàn)原理與RR調(diào)度基本相同。DRR與RR的區(qū)別是：RR調(diào)度是按照?qǐng)?bào)文個(gè)數(shù)進(jìn)行調(diào)度，而DRR是按照?qǐng)?bào)文長度進(jìn)行調(diào)度。DWRR（DeficitWeightedRoundRobin）調(diào)度差分加權(quán)輪詢DWRR調(diào)度主要解決DRR不能設(shè)置權(quán)重的不足。DRR調(diào)度相當(dāng)于權(quán)值為1的DWRR調(diào)度。1.4.4端口緩存當(dāng)網(wǎng)絡(luò)中有視頻業(yè)務(wù)并存在突發(fā)時(shí)，核心/匯聚層可能會(huì)出現(xiàn)擁塞，導(dǎo)致視頻報(bào)文丟失，從效果上看就是視頻出現(xiàn)馬賽克。提高核心/匯聚層設(shè)備的緩存，可以有效解決上述問題。S12700的X1E系列單板支持1.5GB緩存，該緩存可以被單板上所有端口共享，對(duì)于48端口的單板而言，平均每個(gè)端口可以緩存200ms以上的線速流量，遠(yuǎn)遠(yuǎn)超過業(yè)內(nèi)的商用ASIC單板。1.4.5QoS方案園區(qū)網(wǎng)絡(luò)部署的主流方案使用Diff-Serv模型。業(yè)務(wù)優(yōu)先級(jí)由于S12700部署于網(wǎng)絡(luò)核心/匯聚層，業(yè)務(wù)以三層為主時(shí)，業(yè)務(wù)優(yōu)先級(jí)主要根據(jù)DSCP字段指定。根據(jù)RFC4594，各個(gè)業(yè)務(wù)類型按如下方式劃分。業(yè)務(wù)分類RFC名稱業(yè)務(wù)說明PHBDSCP網(wǎng)絡(luò)控制NetworkControl網(wǎng)絡(luò)控制平面業(yè)務(wù)，如OSPF/BGP/VRRP/EIGRP等。CS648語音業(yè)務(wù)VoIPTelephonyVoIP業(yè)務(wù)，包括G.711、G.729等語音流EF46廣播視頻BroadcastVideo廣播電視和視頻監(jiān)控業(yè)務(wù)，特點(diǎn)是丟包敏感，不具備重新發(fā)送和流控能力。CS540桌面會(huì)議MultimediaConferencing桌面多媒體協(xié)同應(yīng)用軟件，包括語音和視頻的應(yīng)用，如華為eSpace。AF41、AF42、AF4332、36、38交互視頻Real-timeInteractive室內(nèi)部署的交互視頻應(yīng)用，具有語音和視頻能力。如視頻會(huì)議、高清視頻等CS432視頻點(diǎn)播MultimediaStreamingVoD視頻點(diǎn)播業(yè)務(wù)。這類業(yè)務(wù)允許一定的時(shí)延，丟包能夠重傳，比廣播和實(shí)時(shí)媒體業(yè)務(wù)更具彈性AF31、AF32、AF3326、28、30呼叫信令SignalingIP語音和視頻業(yè)務(wù)信令流。如SIP、H323、MGCP、VMP等CS324事務(wù)處理Low-LatencyData交互式的重要數(shù)據(jù)業(yè)務(wù)，如即時(shí)消息、ERP、數(shù)據(jù)庫查詢AF21、AF22、AF2318、20、22網(wǎng)絡(luò)管理OAM網(wǎng)絡(luò)維護(hù)和管理業(yè)務(wù)。SNMP、SSH、SysLogCS216Bulk數(shù)據(jù)High-ThroughputData指非交互式“背景”業(yè)務(wù)，其特點(diǎn)是不需要等待業(yè)務(wù)響應(yīng)，不會(huì)影響工作效率。如Email、FTP、文件共享等業(yè)務(wù)AF110、12、14背景流量Low-PriorityData與公司業(yè)務(wù)無關(guān)，多是娛樂性的業(yè)務(wù)。如BT、eMule、YouTube等非組織性的內(nèi)容CS18盡力服務(wù)Standard采用默認(rèn)優(yōu)先級(jí)0，大多數(shù)業(yè)務(wù)不進(jìn)行優(yōu)先級(jí)標(biāo)記DF(CS0)0隊(duì)列優(yōu)先級(jí)對(duì)于8隊(duì)列的設(shè)備，可以按照1P7Q模型設(shè)計(jì)：其中Q7指定為優(yōu)先級(jí)隊(duì)列（PQ調(diào)度），其他指定為WRR（DRR）隊(duì)列，采取混合調(diào)度方式實(shí)施QoS策略。業(yè)務(wù)分類PHB隊(duì)列隊(duì)列調(diào)度權(quán)重網(wǎng)絡(luò)控制CS6Q7PQ語音業(yè)務(wù)EFQ5WRR10%廣播視頻CS5桌面會(huì)議AF4Q4WRR20%交互視頻CS4視頻點(diǎn)播AF3Q3WRR15%呼叫信令CS3事務(wù)處理AF2Q2WRR20%網(wǎng)絡(luò)管理CS2Bulk數(shù)據(jù)AF1Q1WRR5%背景流量CS1盡力服務(wù)DFQ0WRR25%QoS部署方案建議園區(qū)網(wǎng)QoS部署圖如下圖所示，具體可以按照前面Diff-Serv模型分層實(shí)施，主要分為接入層業(yè)務(wù)識(shí)別、匯聚層/核心層Diff-Serv部署、出口路由器帶寬控制三個(gè)方面。園區(qū)網(wǎng)部署QoS部署如下圖所示，具體可以按照前面Diff-Serv模型分層實(shí)施，主要分為接入層業(yè)務(wù)識(shí)別、匯聚層/核心層Diff-Serv部署、出口路由器帶寬控制三個(gè)方面。接入層是最接近終端業(yè)務(wù)的層面，這個(gè)層面可以最早的接觸各個(gè)用戶各個(gè)業(yè)務(wù)的流量，因此在接入層實(shí)施流量的識(shí)別和分類、以及對(duì)應(yīng)業(yè)務(wù)的限速是常用的方案。不同的業(yè)務(wù)在二層用VLAN分隔，并依據(jù)一定的流量模型做優(yōu)先級(jí)標(biāo)記和CAR著色。接入層本文不做重點(diǎn)介紹。核心/匯聚層在帶寬保證的前提下是不會(huì)出現(xiàn)擁塞的，因此QoS業(yè)務(wù)主要是trust接入層的報(bào)文優(yōu)先級(jí)，將二層的802.1p優(yōu)先級(jí)轉(zhuǎn)換為三層的DCSP或者M(jìn)PLS的EXP優(yōu)先級(jí)，以保證業(yè)務(wù)報(bào)文在核心網(wǎng)中依然可以保持優(yōu)先級(jí)傳輸。如果網(wǎng)絡(luò)中有視頻業(yè)務(wù)，除了可以考慮給視頻業(yè)務(wù)分配較高的優(yōu)先級(jí)以外，在核心/匯聚層上可以考慮部署X1E系列單板，X1E系列單板自帶的超大緩存功能可以更好的保證視頻流量在突發(fā)情況下不丟包。下表列舉了常見視頻編碼的帶寬需求情況。編碼技術(shù)常見壓縮比可處理視頻分辨率常見視頻常見視頻CIR建議值（bps）MPEG-120-30352×240×30352×288×25352×288×251.5MMPEG-230-40352×288～1920×11521280×720×30（720P）8MMPEG-460>=176×1441280×720×30（720P）5MH.26120352×288352×288×252MH.26480-100各種分辨率1920×1080×30（1080P）10M園區(qū)網(wǎng)絡(luò)的出口處往往是流量的瓶頸，容易造成流量的擁塞，因此此處通常需要進(jìn)行擁塞管理，常見的方法主要是隊(duì)列調(diào)度和擁塞丟棄策略。隊(duì)列調(diào)度的策略可以參考表4-4，根據(jù)報(bào)文的優(yōu)先級(jí)放入不同的隊(duì)列中，并給WRR調(diào)度的隊(duì)列按比例分配權(quán)重。權(quán)重的分配不固定，本著重要優(yōu)先業(yè)務(wù)優(yōu)先處理的原則，不同的業(yè)務(wù)適當(dāng)?shù)恼{(diào)整。擁塞丟棄策略使用WRED調(diào)度，丟棄的上限和下限可以籠統(tǒng)的設(shè)置為80：100，也可以根據(jù)隊(duì)列的不同（隊(duì)列不同說明報(bào)文優(yōu)先級(jí)不同）加以區(qū)分，區(qū)分的原則可以參考下圖。隊(duì)列（PHB）閾值下限（%）閾值上限（%）丟棄概率高優(yōu)先級(jí)（CS7、CS6）8010010中優(yōu)先級(jí)（EF、AF1-AF4）608020低優(yōu)先級(jí)（BE）406030H-QoS調(diào)度當(dāng)園區(qū)網(wǎng)絡(luò)中設(shè)備高速發(fā)展，接入用戶數(shù)量和每用戶的業(yè)務(wù)數(shù)量都不斷增多時(shí)，就需要既能區(qū)分用戶流量又能根據(jù)用戶業(yè)務(wù)的優(yōu)先級(jí)進(jìn)行靈活調(diào)度，這時(shí)就需要部署H-QoS技術(shù)。華為敏捷交換機(jī)提供的H-QoS技術(shù)，具有如下優(yōu)點(diǎn)：精細(xì)化標(biāo)識(shí)業(yè)務(wù)，提升用戶體驗(yàn)可以精細(xì)地標(biāo)識(shí)用戶及其業(yè)務(wù)，提供基于業(yè)務(wù)、用戶、端口隊(duì)列、端口等層次化的多級(jí)調(diào)度，保證用戶高優(yōu)先級(jí)業(yè)務(wù)體驗(yàn)。融合DiffServ模型，增強(qiáng)整網(wǎng)QoS部署能力H-QoS基于隊(duì)列實(shí)現(xiàn)層次化調(diào)度，可以和DiffServ模型很好融合，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)（例如核心層設(shè)備）上提供多用戶多業(yè)務(wù)帶寬保證的技術(shù)，提升整網(wǎng)QoS部署能力，同時(shí)能夠從整體上節(jié)約網(wǎng)絡(luò)運(yùn)行維護(hù)成本。敏捷交換機(jī)S12700支持流隊(duì)列（FQ）、用戶隊(duì)列（SQ）、類隊(duì)列（CQ）、目標(biāo)端口隊(duì)列（TP）等層級(jí)。當(dāng)報(bào)文做層次化調(diào)度時(shí)，首先進(jìn)入流隊(duì)列進(jìn)行FQ調(diào)度，隨后按序?qū)崿F(xiàn)FQ（流隊(duì)列）→SQ（用戶隊(duì)列）→CQ（類隊(duì)列）→TP（目標(biāo)端口隊(duì)列）逐級(jí)調(diào)度。流隊(duì)列FQ（FlowQueue）H-QoS可以針對(duì)每用戶的業(yè)務(wù)流進(jìn)行隊(duì)列調(diào)度，每用戶都有8個(gè)流隊(duì)列，分別對(duì)應(yīng)8個(gè)業(yè)務(wù)優(yōu)先級(jí)（BE、AF1、AF2、AF3、AF4、EF、CS6、CS7）。每個(gè)流隊(duì)列可以配置WRED丟棄、流量整形或隊(duì)列調(diào)度，其中隊(duì)列調(diào)度支持PQ（優(yōu)先級(jí)隊(duì)列）和WFQ（加權(quán)公平隊(duì)列）兩種機(jī)制。用戶隊(duì)列SQ（SubscriberQueue）用戶隊(duì)列主要用來區(qū)分不同的用戶。一個(gè)SQ對(duì)應(yīng)一個(gè)用戶，用戶的劃分主要通過ACL進(jìn)行。用戶隊(duì)列可以配置基于用戶的流量整形，限制每個(gè)用戶的總帶寬。類隊(duì)列CQ（ClassQueue）H-QoS下行每個(gè)物理端口對(duì)應(yīng)8個(gè)CQ隊(duì)列，用來根據(jù)業(yè)務(wù)優(yōu)先級(jí)區(qū)分下行所有用戶的業(yè)務(wù)流?？梢詾槊總€(gè)CQ隊(duì)列配置WRED丟棄、流量整形或者隊(duì)列調(diào)度，其中隊(duì)列調(diào)度支持PQ、DRR等機(jī)制。S12700支持配置流隊(duì)列到類隊(duì)列的映射，通過建立FQ-CQ的隊(duì)列映射，可靈活控制流隊(duì)列某一服務(wù)等級(jí)隊(duì)列中的業(yè)務(wù)流量進(jìn)入端口隊(duì)列的某一服務(wù)等級(jí)隊(duì)列。目標(biāo)端口隊(duì)列TP（TargetPort）目標(biāo)端口TP即設(shè)備的物理接口，數(shù)據(jù)經(jīng)過TP的調(diào)度后從相應(yīng)的端口轉(zhuǎn)發(fā)出去。S12700支持在每個(gè)TP端口配置流量整形。H-QoS部署方案建議實(shí)際應(yīng)用中，園區(qū)網(wǎng)部署H-QoS如下圖所示。由于核心層交換機(jī)作為園區(qū)出口流量和數(shù)據(jù)中心流量的匯聚點(diǎn)，容易存在擁塞瓶頸，故H-QoS一般部署在核心層交換機(jī)上。H-QoS調(diào)度基于整網(wǎng)DiffServ模型實(shí)施，上圖中，主要分為接入層業(yè)務(wù)識(shí)別、匯聚層DiffServ部署、核心層H-QoS調(diào)度、出口路由器帶寬控制等方面。接入層應(yīng)用識(shí)別接入交換機(jī)擔(dān)負(fù)數(shù)據(jù)流的識(shí)別、分類以及流標(biāo)記的工作。實(shí)際部署時(shí)，接入交換機(jī)上不同的端口接入不同終端，在接入層可以給這些不同的業(yè)務(wù)分配不同優(yōu)先級(jí)（802.1P或DSCP等）。匯聚層DiffServ調(diào)度匯聚層設(shè)備端口信任DSCP（或者802.1P），基于接入層標(biāo)識(shí)的QoS參數(shù)，通過隊(duì)列調(diào)度、流量整形、擁塞避免等技術(shù)實(shí)施QoS策略，保證高優(yōu)先級(jí)業(yè)務(wù)優(yōu)先獲得調(diào)度。核心層H-QoS調(diào)度核心層作為園區(qū)出口流量和數(shù)據(jù)中心流量的匯聚點(diǎn)，實(shí)施H-QoS調(diào)度。在網(wǎng)絡(luò)上行方向，用戶業(yè)務(wù)流量由于園區(qū)出口帶寬限制，存在收斂瓶頸，故在核心交換機(jī)網(wǎng)絡(luò)側(cè)端口出方向部署H-QoS調(diào)度。在網(wǎng)絡(luò)下行方向，用戶需要訪問服務(wù)器區(qū)域等存在大數(shù)據(jù)的資源，也存在擁塞可能，故在核心層交換機(jī)用戶側(cè)端口出方向也部署H-QoS調(diào)度。出口路由器帶寬控制對(duì)于出口路由器，同樣作為DiffServ域，信任設(shè)備標(biāo)識(shí)的DSCP/802.1P參數(shù)，實(shí)施QoS策略。需要說明的是，在路由器WAN口上，由于受限于出口帶寬，需要進(jìn)行WAN口帶寬出方向帶寬控制。1.5網(wǎng)絡(luò)邊界設(shè)計(jì)所謂網(wǎng)絡(luò)邊界，是指園區(qū)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的分界線。對(duì)邊界進(jìn)行安全防護(hù)，首先必須明確哪些網(wǎng)絡(luò)邊界需要防護(hù)，這可以通過安全分區(qū)設(shè)計(jì)來確定。定義安全分區(qū)的原則就是首先需要根據(jù)業(yè)務(wù)和信息敏感度定義安全資產(chǎn)，其次對(duì)安全資產(chǎn)定義安全策略和安全級(jí)別，對(duì)于安全策略和級(jí)別相同的安全資產(chǎn)，就可以認(rèn)為屬于同一安全區(qū)域。網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)的重要組成部分，負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量進(jìn)行最初及最后的過濾，因此邊界安全的有效部署對(duì)整網(wǎng)安全意義重大。1.5.1邊界防護(hù)設(shè)備一般而言，一個(gè)完整的安全部署包括邊界路由器、邊界防火墻、IPS、邊界防毒墻、邊界流量分析監(jiān)控等安全部件及各安全部件之間的協(xié)同工作。這些部件僅僅依靠各自自身的力量是無法提供完整的網(wǎng)絡(luò)安全。只有這些部件的功能相互補(bǔ)充，相互結(jié)合，協(xié)同工作才能形成一個(gè)立體的防御結(jié)構(gòu)。邊界路由器路由器在網(wǎng)絡(luò)中承擔(dān)路由轉(zhuǎn)發(fā)的功能，它們將流量引導(dǎo)進(jìn)入網(wǎng)絡(luò)、流出網(wǎng)絡(luò)或者在網(wǎng)絡(luò)中傳輸，由于邊界路由器具有豐富的網(wǎng)絡(luò)接口，一般置于Internet出口或廣域網(wǎng)出口，是流量進(jìn)入和流出之前我們可以控制的第一道防線。邊界防火墻防火墻設(shè)備通過一組規(guī)則決定哪些流量可以通過而哪些流量不能通過防火墻。防火墻可以對(duì)邊界路由器不能監(jiān)控的流量進(jìn)行更加深入地分析和過濾，并能夠按照管理者所確定的策略來阻塞或者允許流量經(jīng)過。華為防火墻產(chǎn)品支持安全域管理、攻擊防范、ASPF、NAT等功能，通過這些功能保障網(wǎng)絡(luò)安全。1.5.2邊界防護(hù)組網(wǎng)對(duì)企業(yè)總部或大型分支機(jī)構(gòu)，一般在園區(qū)出口部署雙防火墻，兩防火墻呈主備或負(fù)載均衡的方式工作。如下圖所示，在核心交換機(jī)與園區(qū)路由器之間采用直路全雙歸方式接入防火墻設(shè)備，兩臺(tái)防火墻設(shè)備之間采用主備或負(fù)載均衡方式連接。這樣，園區(qū)出口路由器、防火墻及核心路由器之間都有備份作用，保證了鏈路的可靠性。防火墻放置在總部出口，主要承擔(dān)以下功能:啟用防火墻攻擊防范以及訪問控制，抵御外來的各種攻擊。根據(jù)需要啟用地址轉(zhuǎn)換功能，滿足出口公網(wǎng)不足的需要。根據(jù)需要開啟虛擬防火墻功能，通過不同的虛擬防火墻與各大客戶對(duì)應(yīng)，將不同的服務(wù)器群用VPN隔離開。啟用L2TPVPN的功能，允許出差移動(dòng)用戶通過撥號(hào)的方式接入不同的VPN，訪問不同VPN里的業(yè)務(wù)或者設(shè)備。除了直路全雙歸，防火墻的接入方式還有與交換機(jī)雙歸，與路由器口字型、與交換機(jī)路由器都口字型及旁掛等。1.6NAC設(shè)計(jì)華為的NAC（NetworkAccessControl）安全解決方案以“只有合法的用戶、安全的終端才可以接入網(wǎng)絡(luò)”為主導(dǎo)思想，提供以“用戶認(rèn)證、安全檢查、修復(fù)升級(jí)”為基礎(chǔ)的一體化終端安全防護(hù)功能?？蓭椭髽I(yè)構(gòu)建一個(gè)安全網(wǎng)絡(luò)，保證企業(yè)業(yè)務(wù)的正常開展和進(jìn)行。華為的NAC安全解決方案，從接入網(wǎng)絡(luò)的終端安全控制入手，將終端安全狀況和網(wǎng)絡(luò)準(zhǔn)入控制結(jié)合在一起，通過檢查、隔離、加固和審計(jì)等手段，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力，保證企業(yè)中每個(gè)終端的安全性，進(jìn)而保護(hù)企業(yè)整網(wǎng)的安全性。NAC安全系統(tǒng)（以下簡稱NAC系統(tǒng)）框架中包括三個(gè)關(guān)鍵組件：終端代理、網(wǎng)絡(luò)準(zhǔn)入設(shè)備和準(zhǔn)入服務(wù)器，如下圖所示。終端代理終端代理是安裝在用戶終端系統(tǒng)上的專用客戶端軟件，與準(zhǔn)入服務(wù)器聯(lián)動(dòng)進(jìn)行用戶身份認(rèn)證、終端安全檢查、系統(tǒng)修復(fù)升級(jí)，終端行為監(jiān)控審計(jì)等工作。用戶身份認(rèn)證終端安裝客戶端軟件后，可以進(jìn)行用戶名及密碼輸入，送到準(zhǔn)入服務(wù)器。終端安全檢查終端安全檢查也稱終端健康檢查?？蛻舳塑浖?fù)責(zé)根據(jù)準(zhǔn)入服務(wù)器下發(fā)的安全策略檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁狀況、防病毒軟件安裝情況、病毒庫日期、應(yīng)用進(jìn)程黑白名單等信息，并將安全檢查結(jié)果上報(bào)準(zhǔn)入服務(wù)器，用于判斷終端是否“安全/健康”。系統(tǒng)修復(fù)升級(jí)客戶端軟件接受準(zhǔn)入服務(wù)器的指示，對(duì)未達(dá)到安全標(biāo)準(zhǔn)的用戶終端，自動(dòng)或強(qiáng)制其進(jìn)行修復(fù)升級(jí)工作，修復(fù)完成后可以向準(zhǔn)入服務(wù)器上報(bào)結(jié)果。監(jiān)控審計(jì)實(shí)時(shí)監(jiān)控終端主機(jī)安全狀態(tài)和用戶行為是否符合安全策略，并將安全事件定時(shí)上報(bào)到準(zhǔn)入服務(wù)器，用于事后進(jìn)行安全審計(jì)。終端主機(jī)安全檢查包括終端代理執(zhí)行補(bǔ)丁、防病毒軟件、屏幕保護(hù)、共享目錄等檢查。用戶行為監(jiān)控包括終端代理執(zhí)行文件操作、網(wǎng)絡(luò)連接、訪問站點(diǎn)、USB存儲(chǔ)設(shè)備等監(jiān)控。網(wǎng)絡(luò)準(zhǔn)入設(shè)備網(wǎng)絡(luò)準(zhǔn)入設(shè)備是終端訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)控制點(diǎn)，是企業(yè)安全策略的實(shí)施者，負(fù)責(zé)按照客戶網(wǎng)絡(luò)制定的安全策略，實(shí)施相應(yīng)的準(zhǔn)入控制（允許、拒絕、隔離或限制）。華為NAC方案中，網(wǎng)絡(luò)準(zhǔn)入設(shè)備可以是交換機(jī)、路由器、無線接入點(diǎn)、VPN網(wǎng)關(guān)或其它安全設(shè)備，通過這些網(wǎng)絡(luò)準(zhǔn)入設(shè)備，實(shí)現(xiàn)強(qiáng)制用戶準(zhǔn)入認(rèn)證、拒絕非法用戶的網(wǎng)絡(luò)訪問、隔離不健康終端、為“合法用戶、健康終端”提供網(wǎng)絡(luò)服務(wù)的目的。網(wǎng)絡(luò)準(zhǔn)入設(shè)備具備如下功能特性：用戶身份認(rèn)證網(wǎng)絡(luò)準(zhǔn)入設(shè)備可協(xié)助終端代理完成認(rèn)證。華為NAC方案支持802.1X、MAC認(rèn)證和Portal多種認(rèn)證方式。在各種認(rèn)證方式下，網(wǎng)絡(luò)準(zhǔn)入設(shè)備輔助客戶端軟件與準(zhǔn)入服務(wù)器進(jìn)行認(rèn)證。實(shí)現(xiàn)用戶權(quán)限控制網(wǎng)絡(luò)準(zhǔn)入設(shè)備科監(jiān)控用戶認(rèn)證過程，根據(jù)準(zhǔn)入服務(wù)器給出的結(jié)果，給用戶授予相應(yīng)權(quán)限：終端認(rèn)證前具有認(rèn)證前域的訪問權(quán)限，可以訪問準(zhǔn)入服務(wù)器、公用軟件服務(wù)器進(jìn)行終端代理安裝等操作。安全隔離的終端具有隔離域的權(quán)限，可以訪問病毒服務(wù)器、補(bǔ)丁服務(wù)器等。終端認(rèn)證通過后具有認(rèn)證后域的網(wǎng)絡(luò)權(quán)限，不同的用戶角色可以授予不同的網(wǎng)絡(luò)權(quán)限。準(zhǔn)入服務(wù)器準(zhǔn)入服務(wù)器包括準(zhǔn)入控制服務(wù)器、管理服務(wù)器、病毒庫服務(wù)器和補(bǔ)丁服務(wù)器。準(zhǔn)入控制服務(wù)器主要進(jìn)行用戶認(rèn)證和安全審核，實(shí)施安全策略，并且與網(wǎng)絡(luò)準(zhǔn)入設(shè)備聯(lián)動(dòng)，下發(fā)用戶權(quán)限。管理服務(wù)器主要進(jìn)行用戶管理，包括增加、刪除、修改用戶權(quán)限及用戶部門配置，及安全策略的定制和管理等。病毒庫服務(wù)器主要用于控制各種終端上的防病毒軟件的病毒庫的自動(dòng)更新。補(bǔ)丁服務(wù)器主要用于控制各種終端上的操作系統(tǒng)和應(yīng)用軟件的補(bǔ)丁安裝和更新。結(jié)合終端代理、網(wǎng)絡(luò)準(zhǔn)入設(shè)備、準(zhǔn)入服務(wù)器各個(gè)組件，NAC方案的基本流程如下圖所示。詳細(xì)流程說明如下：客戶端接入網(wǎng)絡(luò)，認(rèn)證前都具有認(rèn)證前域網(wǎng)絡(luò)權(quán)限，可以根據(jù)需要進(jìn)行終端代理軟件安裝，補(bǔ)丁安裝，殺毒軟件安裝、升級(jí)等操作，以上操作都是可選的。PC客戶端安裝終端代理軟件或WebAgent插件（可選），用戶輸入用戶帳號(hào)和密碼、或者根據(jù)攜帶的證書發(fā)起身份認(rèn)證，身份認(rèn)證通過后，終端代理軟件或WebAgent插件與準(zhǔn)入服務(wù)器聯(lián)動(dòng)檢查終端安全狀態(tài)，如果沒有代理軟件則直接到下一步。對(duì)合法并安全的用戶，身份認(rèn)證后，準(zhǔn)入服務(wù)器下發(fā)網(wǎng)絡(luò)權(quán)限到網(wǎng)絡(luò)準(zhǔn)入設(shè)備，允許該用戶訪問認(rèn)證后域網(wǎng)絡(luò)。對(duì)合法但存在較低安全風(fēng)險(xiǎn)的用戶，身份認(rèn)證后，準(zhǔn)入服務(wù)器下發(fā)網(wǎng)絡(luò)權(quán)限到網(wǎng)絡(luò)準(zhǔn)入設(shè)備，允許該用戶訪問認(rèn)證后域網(wǎng)絡(luò)，同時(shí)提示終端安全風(fēng)險(xiǎn)。對(duì)合法但嚴(yán)重不安全的用戶，身份認(rèn)證后，準(zhǔn)入服務(wù)器下發(fā)隔離域網(wǎng)絡(luò)權(quán)限到網(wǎng)絡(luò)準(zhǔn)入設(shè)備，僅允許該用戶訪問隔離域網(wǎng)絡(luò)，用戶安全修復(fù)后，重新下發(fā)網(wǎng)絡(luò)后域網(wǎng)絡(luò)權(quán)限。支持用戶在線實(shí)時(shí)安全狀態(tài)檢查，上線用戶使用過程中出現(xiàn)嚴(yán)重安全問題，仍會(huì)被隔離。非法用戶及未認(rèn)證用戶僅允許訪問認(rèn)證前域網(wǎng)絡(luò)資源。1.6.1用戶接入認(rèn)證傳統(tǒng)網(wǎng)絡(luò)中交換機(jī)僅支持有線用戶的接入認(rèn)證，而無線用戶的接入認(rèn)證需要在AC上完成，這樣有線無線的網(wǎng)絡(luò)認(rèn)證點(diǎn)不統(tǒng)一，而且需要額外設(shè)備，提高了成本。S12700的X1E系列單板支持隨板AC和統(tǒng)一用戶管理功能，可以支持有線和無線用戶的接入認(rèn)證在同一塊業(yè)務(wù)單板上完成，節(jié)約了成本的同時(shí)也簡化了網(wǎng)絡(luò)部署。有線認(rèn)證方式常用的有線接入認(rèn)證有MAC認(rèn)證、802.1X認(rèn)證、Portal認(rèn)證、PPPoE認(rèn)證等，在華為敏捷園區(qū)網(wǎng)解決方案中，多種認(rèn)證方法可集中部署在核心/匯聚交換機(jī)S12700上，配合AAA服務(wù)器共同完成策略控制和用戶管理功能，為企業(yè)園區(qū)提供安全可靠的網(wǎng)絡(luò)。MAC認(rèn)證MAC認(rèn)證是以終端MAC地址作為身份憑據(jù)到系統(tǒng)進(jìn)行認(rèn)證，用戶無需輸入用戶名和密碼。啟用MAC認(rèn)證后，當(dāng)終端接入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)準(zhǔn)入設(shè)備提取終端MAC地址，并將該MAC地址作為用戶名和密碼進(jìn)行認(rèn)證。如果認(rèn)證失敗使用戶下線，并保持一段時(shí)間內(nèi)不再發(fā)起認(rèn)證和探測(cè)，超時(shí)后重新開始探測(cè)過程。如果認(rèn)證成功，交換機(jī)將增加該MAC地址到MAC表，用戶可以正常訪問網(wǎng)絡(luò)。對(duì)于啞終端，如打印機(jī)、IP電話等設(shè)備，適合采用MAC認(rèn)證的方式實(shí)現(xiàn)對(duì)終端的網(wǎng)絡(luò)訪問控制。某些特殊情況，終端用戶不想或不能通過輸入用戶帳號(hào)信息的方式完成認(rèn)證。例如某些特權(quán)終端希望能“免認(rèn)證”直接訪問網(wǎng)絡(luò)，此時(shí)也可采用MAC認(rèn)證方式。對(duì)于用戶的MAC認(rèn)證，既可以是本地認(rèn)證，也可以是遠(yuǎn)端RADIUS服務(wù)器認(rèn)證。如果采用RADIUS認(rèn)證，用戶的訪問權(quán)限由RADIUS服務(wù)器下發(fā)的策略來控制。MAC認(rèn)證的詳細(xì)流程如下：終端設(shè)備上線，網(wǎng)絡(luò)準(zhǔn)入設(shè)備自動(dòng)提取終端MAC地址；網(wǎng)絡(luò)準(zhǔn)入設(shè)備對(duì)終端設(shè)備MAC地址進(jìn)行認(rèn)證，網(wǎng)絡(luò)準(zhǔn)入設(shè)備將終端設(shè)備MAC地址作為帳號(hào)和密碼，通過RADIUS協(xié)議送準(zhǔn)入服務(wù)器認(rèn)證；服務(wù)器認(rèn)證成功，Radius下發(fā)ACL或VLAN對(duì)終端設(shè)備進(jìn)行權(quán)限控制；認(rèn)證成功，用戶接入網(wǎng)絡(luò)。在S12700交換機(jī)上，有線、無線用戶均支持MAC認(rèn)證接入。802.1X認(rèn)證802.1X是一種鏈路層認(rèn)證框架，包括客戶端、準(zhǔn)入設(shè)備和認(rèn)證服務(wù)器三部分。標(biāo)準(zhǔn)的802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，用于在局域網(wǎng)接入設(shè)備的端口一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源。802.1X認(rèn)證使用EAP（ExtensibleAuthenticationProtocol）認(rèn)證協(xié)議，目前常用認(rèn)證類型有EAP-MD5、EAP-PEAP、EAP-TLS、EAP-TTLS等，不同認(rèn)證類型，802.1X認(rèn)證流程差異較大，具體由802.1X客戶端和AAA服務(wù)器協(xié)商確定。EAP-MD5（MessageDigest5）使用MD5算法對(duì)用戶密碼和加密字（Challenge）生成消息摘要，到AAA服務(wù)器完成用戶認(rèn)證。因需要輸入用戶名和口令，容易受到字典攻擊，但配置簡單，廣泛用于園區(qū)網(wǎng)絡(luò)。EAP-PEAP（ProtectedExtensibleAuthenticationProtocol）主要指EAP-MS-CHAPv2。服務(wù)器端需要提供證書，客戶端使用用戶名和密碼進(jìn)行用戶身份驗(yàn)證。EAP-TLS（TransportLayerSecurity）使用了雙向認(rèn)證，客戶端和服務(wù)器均擁有證書并進(jìn)行相互間的身份證明。EAP-TLS使用證書提高了安全性，但同時(shí)也意味著需要進(jìn)行繁瑣的證書管理。EAP-TTLS（TunneledTransportLayerSecurity）EAP-TTLS是EAP-TLS的增強(qiáng)版本，只需要服務(wù)器端證書。TLS隧道建立后，采用用戶名和密碼進(jìn)行認(rèn)證。以EAP-MD5為例，簡要說明一下協(xié)議流程。流程簡要說明如下：流程1-4是用戶名上送步驟，用戶在客戶端輸入用戶名和密碼，上送認(rèn)證服務(wù)器處理。流程5～6實(shí)現(xiàn)生成Challenge挑戰(zhàn)字，認(rèn)證服務(wù)器收到用戶名后，若數(shù)據(jù)庫存在該用戶名，則生成挑戰(zhàn)字Challenge，并通知客戶端。流程7～8上送用戶密碼，客戶端使用MD5算法，使用Challenge加密密碼，上送服務(wù)器。流程9～11實(shí)現(xiàn)認(rèn)證成功授權(quán)，服務(wù)器收到用戶密碼（MD5）后，進(jìn)行驗(yàn)證，符合要求后開放用戶權(quán)限，用戶接入網(wǎng)絡(luò)。S12700統(tǒng)一用戶管理支持上述802.1X認(rèn)證方式，可以做到基于客戶端進(jìn)行自適應(yīng)不同802.1X認(rèn)證機(jī)制。一般802.1X認(rèn)證在接入層，而S12700部署在核心/匯聚層，所以在S12700部署802.1X的場(chǎng)景并不多。Portal認(rèn)證Portal認(rèn)證也稱為WEB認(rèn)證或DHCP+WEB認(rèn)證。Portal認(rèn)證通過客戶端或者標(biāo)準(zhǔn)WEB頁面，填入用戶名、密碼信息，提交后由Portal服務(wù)器、AAA服務(wù)器和網(wǎng)絡(luò)設(shè)備配合完成用戶的認(rèn)證。Portal認(rèn)證無需安裝客戶端軟件，這使得Portal認(rèn)證在園區(qū)網(wǎng)AAA方案中獲得廣泛的應(yīng)用。在Portal的Web認(rèn)證前，用戶首先要訪問認(rèn)證頁面，在認(rèn)證頁面輸入帳號(hào)和密碼，然后提交。用戶訪問認(rèn)證頁面的過程，可以采用主動(dòng)訪問頁面和被動(dòng)訪問頁面即強(qiáng)推的方式來實(shí)現(xiàn)。詳細(xì)的流程說明如下：用戶終端訪問任意Web服務(wù)器（注：如果訪問的是某個(gè)域名，此域名需要是DNS服務(wù)器可以解析的）。網(wǎng)絡(luò)準(zhǔn)入設(shè)備截獲用戶HTTP請(qǐng)求，如果請(qǐng)求報(bào)文目的地址不是Portal服務(wù)器，通過HTTP重定向命令推送Portal的Web認(rèn)證頁面。用戶終端訪問Portal服務(wù)器Web認(rèn)證頁面，輸入帳號(hào)/密碼，提交認(rèn)證。Portal服務(wù)器與網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過Portal協(xié)議交換用戶帳號(hào)信息。網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過RADIUS協(xié)議，向認(rèn)證服務(wù)器（RADIUS服務(wù)器）進(jìn)行用戶認(rèn)證。準(zhǔn)入服務(wù)器進(jìn)行用戶身份認(rèn)證，并反饋認(rèn)證結(jié)果。如果認(rèn)證通過，一并下發(fā)授權(quán)控制。網(wǎng)絡(luò)準(zhǔn)入設(shè)備收到RADIUS認(rèn)證結(jié)果，通過Portal協(xié)議告知Portal服務(wù)器。如果認(rèn)證成功，放開用戶上網(wǎng)權(quán)限，并啟動(dòng)ACL實(shí)現(xiàn)該用戶的網(wǎng)絡(luò)訪問控制。Portal服務(wù)器向用戶終端通過HTTP通知認(rèn)證結(jié)果。用戶終端下載安裝ActiveX控件（或安裝客戶端代理軟件），認(rèn)證通過后，成功接入網(wǎng)絡(luò)?；赟12700的統(tǒng)一用戶管理，Portal認(rèn)證對(duì)于有線、無線用戶均可以做到支持。PPPoE認(rèn)證PPP協(xié)議是一種點(diǎn)到點(diǎn)的鏈路層協(xié)議，提供點(diǎn)到點(diǎn)的封裝、傳遞數(shù)據(jù)的方法。PPP應(yīng)用在以太網(wǎng)上，必須使用PPPoE再進(jìn)行一次封裝，進(jìn)行廣播鏈路上點(diǎn)對(duì)點(diǎn)通訊的協(xié)商，包括服務(wù)器的發(fā)現(xiàn)和會(huì)話標(biāo)識(shí)SessionID的確認(rèn)；PPPoE協(xié)議提供了在廣播式網(wǎng)絡(luò)上建立點(diǎn)對(duì)點(diǎn)會(huì)話的能力，并完成用戶接入認(rèn)證業(yè)務(wù)?；赑PPoE的認(rèn)證系統(tǒng)中，PPPoE客戶端到PPPoE服務(wù)器之間為二層網(wǎng)絡(luò)，PPPoE服務(wù)器負(fù)責(zé)終結(jié)PPPoE客戶端發(fā)起的PPPoE協(xié)議報(bào)文，并利用PPP對(duì)客戶終端的PPP連接請(qǐng)求進(jìn)行認(rèn)證。PPPoE認(rèn)證可分為兩個(gè)階段，PPPoE發(fā)現(xiàn)階段和PPPoE會(huì)話階段。PPPoE發(fā)現(xiàn)階段用戶終端在廣播網(wǎng)絡(luò)尋找業(yè)務(wù)網(wǎng)關(guān)的過程（S12700），并確定會(huì)話標(biāo)識(shí)SessionID。PPPoE會(huì)話階段主機(jī)和接入服務(wù)器之間進(jìn)行PPP的各項(xiàng)協(xié)商和數(shù)據(jù)傳輸，協(xié)商過程主要包括LCP協(xié)商、用戶認(rèn)證、NAC協(xié)商三個(gè)過程。PPPoE認(rèn)證可分為PAP和CHAP兩種方式。以CHAP為例，用戶接入認(rèn)證流程如下圖。詳細(xì)的流程說明如下：PPPoE客戶端向業(yè)務(wù)網(wǎng)關(guān)設(shè)備（這里是S12700）發(fā)送一個(gè)PADI報(bào)文，開始PPPoE接入。PPPoE服務(wù)器向客戶端發(fā)送PADO報(bào)文?？蛻舳烁鶕?jù)回應(yīng)，發(fā)起PADR請(qǐng)求給PPPoE服務(wù)器。PPPoE服務(wù)器產(chǎn)生一個(gè)Sessionid，通過PADS發(fā)給客戶端?？蛻舳撕蚉PPoE服務(wù)器之間進(jìn)行PPP的LCP協(xié)商，建立鏈路層通信。PPPoE服務(wù)器通過Challenge報(bào)文發(fā)送給認(rèn)證客戶端,提供一個(gè)128bit的Challenge。客戶端收到Challenge報(bào)文后，將密碼和Challenge做MD5算法后的，在Response回應(yīng)報(bào)文中把它發(fā)送給PPPoE服務(wù)器。PPPoE服務(wù)器將Challenge、Challenge-Password和用戶名一起送到RADIUS用戶認(rèn)證服務(wù)器，由RADIUS用戶認(rèn)證服務(wù)器進(jìn)行認(rèn)證。RADIUS用戶認(rèn)證服務(wù)器根據(jù)用戶信息判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到PPPoE服務(wù)器。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束。PPPoE服務(wù)器將認(rèn)證結(jié)果返回給客戶端。用戶進(jìn)行NCP（如IPCP）協(xié)商，通過PPPoE服務(wù)器獲取到規(guī)劃的IP地址等參數(shù)。認(rèn)證如果成功，用戶則成功接入網(wǎng)絡(luò)。需要說明，PPPoE認(rèn)證僅對(duì)有線用戶支持，無線用戶不支持PPPoE認(rèn)證。無線認(rèn)證方式無線接入和有線接入相比，由于無線報(bào)文在空口傳輸，報(bào)文可以被任何合適的接收設(shè)備捕獲，所以無線用戶不僅要進(jìn)行認(rèn)證，還要考慮無線空口的安全問題。在無線用戶接入過程中，S12700交換機(jī)作為有線無線一體化控制器（UC），具有WLANAC功能。S12700交換機(jī)首先和接入設(shè)備AP建立CAPWAP管理隧道，管理所有下轄的AP設(shè)備；后續(xù)用戶接入認(rèn)證，S12700交換機(jī)和AAA服務(wù)器通過RADIUS協(xié)議進(jìn)行。如上圖，無線用戶接入主要經(jīng)過服務(wù)發(fā)現(xiàn)、鏈路認(rèn)證、終端關(guān)聯(lián)、接入認(rèn)證、密鑰協(xié)商、數(shù)據(jù)轉(zhuǎn)發(fā)等六個(gè)階段，其中前文提到的MAC認(rèn)證、802.1X認(rèn)證、Portal認(rèn)證等技術(shù)，位于接入認(rèn)證階段，其他階段都是無線用戶上線獨(dú)有的流程。服務(wù)發(fā)現(xiàn)在無線領(lǐng)域中，用戶終端也稱為STA（Station），STA加入任何無線網(wǎng)絡(luò)之前，必須先經(jīng)過一番服務(wù)辨識(shí)的工作，稱為WLAN服務(wù)發(fā)現(xiàn)過程。WLANAP會(huì)主動(dòng)發(fā)送Beacon幀通告提供的SSID，STA可以根據(jù)該報(bào)文確定周圍存在的無線服務(wù)；STA也可以指定SSID或者使用廣播SSID（即沒有指定SSID）主動(dòng)地探測(cè)是否存在指定的無線網(wǎng)絡(luò)，WLANAP接入端如果提供指定的無線服務(wù)，會(huì)發(fā)送確認(rèn)信息給STA。服務(wù)發(fā)現(xiàn)成功后進(jìn)入鏈路認(rèn)證過程。鏈路認(rèn)證這是STA連入無線網(wǎng)絡(luò)的起點(diǎn)，鏈路認(rèn)證通過Authentication報(bào)文實(shí)現(xiàn)。當(dāng)前802.11的鏈路認(rèn)證支持兩種認(rèn)證方式：開放系統(tǒng)認(rèn)證（OpenSystemAuthentication）和共享密鑰認(rèn)證（SharedKeyAuthentication）。終端關(guān)聯(lián)一旦完成鏈路認(rèn)證，STA就可以跟AP進(jìn)行連接，以便獲得網(wǎng)絡(luò)的完全訪問權(quán)。STA客戶端發(fā)起的Association或者Re-association請(qǐng)求，和WLAN服務(wù)端（包括AP和AC）完成鏈路服務(wù)協(xié)商，建立了802.11鏈路。對(duì)于沒有使能接入認(rèn)證的SSID，客戶端已經(jīng)可以訪