綜合信息大樓網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)施工方案

目錄TOC\o"1-3"\h\z1 項(xiàng)目概況 -1-1.1 項(xiàng)目背景 -1-1.2 建設(shè)目標(biāo) -1-1.3 工程范圍 -1-1.4 網(wǎng)絡(luò)信息點(diǎn)位分布與數(shù)量表 -1-2 總體設(shè)計(jì) -3-2.1 設(shè)計(jì)依據(jù) -3-2.2 設(shè)計(jì)原則 -3-3 網(wǎng)絡(luò)系統(tǒng) -5-3.1 網(wǎng)絡(luò)協(xié)議的選擇 -5-3.2 網(wǎng)絡(luò)技術(shù)選擇 -5-3.2.1 VLAN（VirtualLANs） -5-3.2.2 三層交換技術(shù) -6-3.2.3 VRRP -7-3.2.4 其它網(wǎng)絡(luò)技術(shù) -8-3.3 網(wǎng)絡(luò)設(shè)計(jì)概要 -8-3.4 網(wǎng)絡(luò)的分層設(shè)計(jì) -9-3.4.1 核心層 -9-3.4.2 匯聚層 -9-3.4.3 接入層 -10-3.4.4 選用華為3COM的網(wǎng)絡(luò)設(shè)備 -10-3.4.5 網(wǎng)絡(luò)規(guī)劃 -11-3.5 網(wǎng)絡(luò)拓?fù)鋱D -24-3.6 網(wǎng)絡(luò)冗余設(shè)計(jì) -26-3.7 路由規(guī)劃 -26-3.8 應(yīng)用VRRP技術(shù) -28-3.9 選擇組播協(xié)議 -31-3.10 VLAN規(guī)劃 -33-3.11 IP地址分配原則 -33-3.11.1 內(nèi)網(wǎng)IP分配規(guī)劃 -34-3.11.2 外網(wǎng)IP分配規(guī)劃 -34-3.12 本設(shè)計(jì)方案的特點(diǎn) -35-3.12.1 完全的分布式的處理方式 -35-3.12.2 核心交換機(jī)先進(jìn)的體系架構(gòu)設(shè)計(jì) -35-3.12.3 基于流攻擊的防止 -35-3.12.4 QOS功能 -35-3.12.5 廣播風(fēng)暴的抑止 -36-3.12.6 高可用性保障 -36-4 網(wǎng)管管理系統(tǒng) -36-4.1 網(wǎng)絡(luò)管理的重要性 -36-4.2 管理系統(tǒng)的總體設(shè)計(jì) -37-4.3 華為3Com網(wǎng)絡(luò)管理解決方案 -37-4.3.1 產(chǎn)品特點(diǎn) -37-4.3.2 典型組網(wǎng)應(yīng)用 -41-4.4 用戶的安全接入管理 -41-5 網(wǎng)絡(luò)系統(tǒng)安全特性 -42-5.1 配置IDS -42-5.2 網(wǎng)絡(luò)病毒的診斷 -42-5.3 協(xié)議的安全性 -42-5.3.1 應(yīng)用服務(wù)協(xié)議的安全 -42-5.3.2 路由協(xié)議的安全 -43-5.3.3 網(wǎng)管SNMP的安全性 -43-5.4 網(wǎng)絡(luò)設(shè)備的安全性 -43-5.4.1 控制口console的控制 -43-5.4.2 遠(yuǎn)程登錄telnet的控制 -44-5.5 限制外網(wǎng)BT業(yè)務(wù)流量 -44-5.6 多元綁定技術(shù)的應(yīng)用 -47-5.6.1 網(wǎng)絡(luò)安全特征 -48-5.6.2 可用綁定技術(shù)規(guī)劃高安全的網(wǎng)絡(luò) -49-5.7 防止對DHCP服務(wù)器的攻擊 -52-5.7.1 PrivateVLAN -52-5.7.2 訪問控制列表 -53-5.7.3 新的命令 -53-5.8 惡意用戶追查 -53-5.9 防病毒攻擊 -53-5.9.1 防止DOS攻擊 -54-5.9.2 防止基于流的攻擊特性 -54-5.9.3 防止病毒的廣播傳遞 -55-6 網(wǎng)絡(luò)入侵檢測 -56-6.1 入侵檢測系統(tǒng)在外網(wǎng)網(wǎng)絡(luò)的作用 -56-6.1.1 在外網(wǎng)建設(shè)入侵檢測系統(tǒng)的必要性 -56-6.2 本系統(tǒng)外網(wǎng)絡(luò)入侵檢測產(chǎn)品選型 -59-6.2.1 網(wǎng)絡(luò)入侵檢測技術(shù)簡介 -59-6.2.2 網(wǎng)絡(luò)入侵檢測技術(shù)分析 -60-6.2.3 網(wǎng)絡(luò)入侵產(chǎn)品選型 -62-6.3 網(wǎng)絡(luò)入侵檢測產(chǎn)品部署 -65-6.3.1 NetEyeIDS部署建議 -65-6.3.2 NetEyeIDS的集中管理 -66-6.3.3 NetEyeIDS的系統(tǒng)結(jié)構(gòu) -67-6.3.4 NetEyeIDS的配置清單 -67-6.4 網(wǎng)絡(luò)入侵檢測產(chǎn)品擴(kuò)展及建議 -68-6.4.1 NetEyeIDS平滑擴(kuò)展 -68-6.4.2 NetEyeIDS安全聯(lián)動 -68-6.5 NetEyeIDS優(yōu)勢介紹 -69-7 網(wǎng)絡(luò)防病毒 -72-7.1 計(jì)算機(jī)病毒發(fā)展和入侵途徑分析 -72-7.1.1 計(jì)算機(jī)病毒的發(fā)展趨勢 -72-7.1.2 病毒入侵渠道分析 -73-7.2 本系統(tǒng)外網(wǎng)網(wǎng)絡(luò)防病毒技術(shù)要求 -74-7.3 網(wǎng)絡(luò)防病毒需求分析 -76-7.4 防病毒解決方案 -78-7.4.1 設(shè)計(jì)思想 -78-7.4.2 防病毒規(guī)劃 -79-7.4.3 部署產(chǎn)品 -79-7.4.4 部署示意 -79-7.4.5 部署防病毒系統(tǒng)實(shí)現(xiàn)的效果 -80-7.5 網(wǎng)絡(luò)版防毒系統(tǒng)介紹 -81-7.5.1 網(wǎng)絡(luò)版產(chǎn)品簡介 -81-7.5.2 網(wǎng)絡(luò)版系統(tǒng)需求 -82-7.5.3 網(wǎng)絡(luò)版部署方式 -83-7.5.4 網(wǎng)絡(luò)版管理方式 -84-7.5.5 網(wǎng)絡(luò)版升級方式 -84-7.5.6 網(wǎng)絡(luò)版功能特色 -84-8 設(shè)備安裝場地及環(huán)境要求 -92-8.1 機(jī)房的選址建議要求 -92-8.2 機(jī)房的建筑建議要求 -92-8.3 網(wǎng)絡(luò)設(shè)備工作環(huán)境的要求 -93-8.3.1 溫度和濕度要求 -93-8.3.2 潔凈度要求 -94-8.3.3 防靜電要求 -94-8.3.4 電磁環(huán)境要求 -95-8.3.5 防雷擊要求 -95-8.3.6 抗干擾要求 -95-8.3.7 照明要求 -96-9 實(shí)施方案 -97-9.1 總體實(shí)施規(guī)劃 -97-9.2 工程界面 -98-9.3 工程實(shí)施組織結(jié)構(gòu)和分工 -99-9.4 項(xiàng)目實(shí)施計(jì)劃編制和文檔修改控制 -100-9.5 工程協(xié)調(diào)會和工程進(jìn)度安排 -102-9.6 項(xiàng)目實(shí)施 -107-9.6.1 安裝準(zhǔn)備 -107-9.6.2 到貨檢查 -107-9.6.3 設(shè)備安裝檢驗(yàn) -108-9.6.4 連通性和系統(tǒng)完整性測試 -110-9.6.5 系統(tǒng)測試和驗(yàn)收 -110-9.6.6 培訓(xùn) -110-9.6.7 實(shí)施總結(jié) -111-9.6.8 售后維護(hù) -111-9.6.9 過程監(jiān)控 -111-9.7 項(xiàng)目質(zhì)量保證計(jì)劃 -112-9.8 工程文檔 -113-10 驗(yàn)收方案 -115-10.1 驗(yàn)收的方法與步驟 -115-10.2 驗(yàn)收測試標(biāo)準(zhǔn) -115-10.3 驗(yàn)收測試流程 -115-10.4 整體系統(tǒng)驗(yàn)收 -116-10.5 檢測方法與目的 -118-10.5.1 設(shè)備到貨驗(yàn)收 -118-10.5.2 初驗(yàn)收 -122-10.5.3 系統(tǒng)終驗(yàn) -123-11 培訓(xùn)方案 -126-11.1 培訓(xùn)目的 -126-11.1.1 的培訓(xùn)優(yōu)勢 -126-11.2 華為3COM培訓(xùn)機(jī)構(gòu)簡介 -129-11.2.1 培訓(xùn)理念 -129-11.2.2 總體介紹 -129-11.2.3 培訓(xùn)師資 -130-11.2.4 課程設(shè)計(jì) -130-11.2.5 中高端路由器產(chǎn)品培訓(xùn)項(xiàng)目 -133-11.3 本項(xiàng)目培訓(xùn)計(jì)劃 -134-11.3.1 現(xiàn)場培訓(xùn) -134-11.3.2 國內(nèi)技術(shù)培訓(xùn) -134-12 質(zhì)保和售后服務(wù) -140-12.1 公司技術(shù)服務(wù)的優(yōu)勢 -140-12.2 公司的服務(wù)承諾 -140-12.3 華為3COM的服務(wù)承諾 -141-12.3.1 技術(shù)服務(wù) -141-12.3.2 技術(shù)支持 -142-12.3.3 備件以及設(shè)備維保 -143-12.4 趨勢科技的售后服務(wù) -143-12.4.1 技術(shù)支持部分 -143-12.4.2 自動升級服務(wù) -143-12.4.3 新版本更新權(quán)利 -144-12.5 服務(wù)體系簡介 -144-12.5.1 服務(wù)架構(gòu) -144-12.5.2 服務(wù)范圍及程度 -146-項(xiàng)目概況項(xiàng)目背景目前，XXX辦公大樓改造已進(jìn)入工程實(shí)施階段，即將建成。屆時(shí)1#、2#和3#樓將通過光纖鏈路和綜合布線系統(tǒng)進(jìn)行組網(wǎng)，實(shí)現(xiàn)的辦公內(nèi)部網(wǎng)絡(luò)。為充分發(fā)揮XXX辦公大樓的作用，有必要在樓內(nèi)進(jìn)行辦公網(wǎng)絡(luò)聯(lián)網(wǎng)建設(shè)，實(shí)現(xiàn)真正意義上的內(nèi)部網(wǎng)絡(luò)連接，同時(shí)建設(shè)于內(nèi)網(wǎng)完全物理隔離的辦公外網(wǎng)，提高辦公自動化程度，進(jìn)一步加速和推進(jìn)的信息化建設(shè)。通過與工程技術(shù)人員進(jìn)行詳細(xì)的技術(shù)交流并到辦公大樓現(xiàn)場考察，在充分理解用戶方需求的基礎(chǔ)上，提出本設(shè)計(jì)方案。建設(shè)目標(biāo)在XXX辦公大樓綜合布線系統(tǒng)的基礎(chǔ)上，建立起聯(lián)系3座辦公樓內(nèi)的所有單位內(nèi)部辦公網(wǎng)絡(luò)和外部辦公網(wǎng)絡(luò)，集信息收集、傳遞、發(fā)布等多功能為一體，可用圖、文、聲、像等多媒體方式進(jìn)行信息交互的專用辦公內(nèi)網(wǎng)?？梢詫?shí)現(xiàn)部屬機(jī)關(guān)內(nèi)部的互聯(lián)互通、數(shù)據(jù)傳輸，使信息交互的實(shí)效性更加增強(qiáng)，提高可靠性和信息化辦公程度，從而降低總體辦公費(fèi)用。工程范圍本次網(wǎng)絡(luò)工程范圍是1#、2#、3#三棟辦公樓，總建筑面積約為6500平米。每棟大樓均有兩個(gè)獨(dú)立的弱電豎井，本次改造要求內(nèi)網(wǎng)、外網(wǎng)之間物理隔離，內(nèi)網(wǎng)、外網(wǎng)由弱電豎井分別置各層。本大樓的功能定位對數(shù)據(jù)通信有較高的要求，因此垂直主干設(shè)12芯多模光纜，水平布線全面采用6類線纜。重點(diǎn)部分區(qū)域建議光纖到桌面。內(nèi)網(wǎng)、外網(wǎng)網(wǎng)絡(luò)機(jī)房均設(shè)在3#樓4層。網(wǎng)絡(luò)信息點(diǎn)位分布與數(shù)量表1#2#3#樓網(wǎng)絡(luò)信息點(diǎn)位分布與數(shù)量表樓號樓層網(wǎng)絡(luò)信息點(diǎn)數(shù)量光網(wǎng)點(diǎn)內(nèi)網(wǎng)點(diǎn)外網(wǎng)點(diǎn)1#1097548548F1384877F1883866F161281315F171241274F10981433F18901082F972921F86468地下1F044地下2F0782#731975201312F4373911F1018518810F102072109F61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地下1F0911地下2F047491#654835258F351557F1586886F51221275F513204F1752553F618262F7961011F71422地下1F055地下2F02626合計(jì)24732123392

總體設(shè)計(jì)設(shè)計(jì)依據(jù)《信息化網(wǎng)絡(luò)集成項(xiàng)目比選文件》；國內(nèi)國際信息化建設(shè)相關(guān)標(biāo)準(zhǔn)和規(guī)范；政府、企業(yè)網(wǎng)絡(luò)建設(shè)方面的豐富的經(jīng)驗(yàn)。設(shè)計(jì)原則我們在進(jìn)行總體設(shè)計(jì)和設(shè)備選型時(shí)遵循以下設(shè)計(jì)原則：可靠性高可靠性是大樓智能化的重要標(biāo)準(zhǔn)。采用先進(jìn)的設(shè)計(jì)思想，提供連續(xù)的網(wǎng)絡(luò)工作環(huán)境，系統(tǒng)應(yīng)具有較強(qiáng)的自動糾錯(cuò)能力，合理的網(wǎng)絡(luò)鏈路策略，確保系統(tǒng)7X24小時(shí)正常服務(wù)。擴(kuò)展性隨著業(yè)務(wù)發(fā)展，需求也會不斷增長，因而對大樓網(wǎng)絡(luò)系統(tǒng)要求有很高的擴(kuò)展性。設(shè)計(jì)時(shí)應(yīng)支持多種的系統(tǒng)標(biāo)準(zhǔn)，達(dá)到在各個(gè)系統(tǒng)上提供一些預(yù)留接口，使得在用戶需要時(shí)，系統(tǒng)可以跨越現(xiàn)有的平臺，增加新的功能，實(shí)現(xiàn)平滑的擴(kuò)展。采用的技術(shù)和設(shè)備遵循相關(guān)國際、國內(nèi)標(biāo)準(zhǔn)，能支持各種相應(yīng)的接口和標(biāo)準(zhǔn)協(xié)議，具有兼容性、靈活性和可移植性。先進(jìn)性和成熟性在對系統(tǒng)進(jìn)行設(shè)計(jì)時(shí)，要符合當(dāng)今技術(shù)發(fā)展方向，系統(tǒng)硬、軟件的選擇和系統(tǒng)的設(shè)計(jì)，采用符合當(dāng)前技術(shù)和管理發(fā)展方向的先進(jìn)性技術(shù)和思想。同時(shí)，確保設(shè)備和技術(shù)都是有成功應(yīng)用先例的。使用被證明了是成熟的設(shè)備和技術(shù)，減少實(shí)施風(fēng)險(xiǎn)。安全性XXX辦公大樓是國家政策、文件、信息的核心地。承擔(dān)著極其重要的工作。系統(tǒng)安全性主要體現(xiàn)在防止來自外部對網(wǎng)絡(luò)的攻擊、侵?jǐn)_、病毒。保證文件信息的不篡改不丟失。中選單位必須有中國信息安全評測認(rèn)證中心的《信息安全服務(wù)資質(zhì)標(biāo)準(zhǔn)》的信息安全服務(wù)資質(zhì)認(rèn)證?？删S護(hù)性為確保投資的有效性和大樓的實(shí)用性，應(yīng)針對功能特點(diǎn)選用設(shè)備和技術(shù)，并盡量簡化系統(tǒng)配置步驟，使其容易得到維護(hù)和維修。

網(wǎng)絡(luò)系統(tǒng)本規(guī)劃將從當(dāng)前及未來一個(gè)時(shí)期內(nèi)應(yīng)用的實(shí)際出發(fā)，對信息管理系統(tǒng)的基礎(chǔ)設(shè)施—網(wǎng)絡(luò)系統(tǒng)進(jìn)行規(guī)劃設(shè)計(jì)，從而達(dá)到一個(gè)先進(jìn)、高效、可靠、實(shí)用和便于維護(hù)、擴(kuò)展性能較強(qiáng)的網(wǎng)絡(luò)，為信息化提供穩(wěn)定和功能強(qiáng)大的網(wǎng)絡(luò)平臺。網(wǎng)絡(luò)協(xié)議的選擇本網(wǎng)絡(luò)系統(tǒng)以TCP/IP為主要協(xié)議。因?yàn)門CP/IP協(xié)議簇是目前眾多計(jì)算機(jī)網(wǎng)絡(luò)最流行的協(xié)議，以它為基礎(chǔ)組建的Internet網(wǎng)是目前國際上規(guī)模最大的計(jì)算機(jī)網(wǎng)間網(wǎng)，采用TCP/IP為網(wǎng)絡(luò)主要協(xié)議，可保證系統(tǒng)各部分網(wǎng)絡(luò)保持一致。網(wǎng)絡(luò)技術(shù)選擇網(wǎng)絡(luò)技術(shù)發(fā)展很快，新技術(shù)層出不窮，有的具有旺盛的生命力，如以太網(wǎng)技術(shù)；有的很快就被淘汰，如TokenRing、FDDI等。因此，就給用戶投資帶來一定的風(fēng)險(xiǎn)，如何把握網(wǎng)絡(luò)發(fā)展的方向，選擇合適的技術(shù)和產(chǎn)品非常重要。在本項(xiàng)目中，我們采用千兆以太網(wǎng)作為骨干網(wǎng)技術(shù)，同時(shí)，我們將采用一些其它的先進(jìn)且成熟的網(wǎng)絡(luò)技術(shù)，如VLAN、三層交換、虛擬路由器冗余協(xié)議（VRRP，RFC2338）、入侵檢測（IDS）、服務(wù)質(zhì)量（QoS）、組播（MultiCast）等，使整個(gè)網(wǎng)絡(luò)具有優(yōu)異的性能、良好的安全可靠性及未來的可擴(kuò)展性。下面重點(diǎn)介紹幾種先進(jìn)實(shí)用的網(wǎng)絡(luò)技術(shù)。VLAN（VirtualLANs）隨著網(wǎng)絡(luò)技術(shù)日新月異，L3，L4交換已經(jīng)非常成熟。Internet中也越來越廣泛地應(yīng)用了交換技術(shù)，全交換網(wǎng)絡(luò)已經(jīng)非常普遍。在這些網(wǎng)絡(luò)中，VLAN的使用是必不可少的。VLAN是一個(gè)根據(jù)作用、計(jì)劃組、應(yīng)用等進(jìn)行邏輯劃分的交換式網(wǎng)絡(luò)。與用戶的物理位置沒有關(guān)系。舉個(gè)例子來說，幾個(gè)終端可能被組成一個(gè)部分，可能包括工程師或財(cái)務(wù)人員。當(dāng)終端的實(shí)際物理位置比較相近，可以組成一個(gè)局域網(wǎng)（LAN）。如果他們在不同的建筑物中，就可以通過VLAN將他們聚合在一起。同一個(gè)VLAN中的端口可以接受VLAN中的廣播包。但別的VLAN中的端口卻接受不到。VLAN提供以下一些特性簡化了終端的刪除、增加、改動當(dāng)一個(gè)終端從物理上移動到一個(gè)新的位置，它的特征可以從網(wǎng)絡(luò)管理工作站通過SNMP或用戶界面菜單中重新定義。而對于僅在同一個(gè)VLAN中移動的終端來說，它會保持以前定義的特征。在不同VLAN中移動的終端來說，終端可以獲得新的VLAN定義?？刂仆ㄓ嵒顒覸LAN可以由相同或不同的交換機(jī)端口組成。廣播信息被限制在VLAN中。這個(gè)特征限定了只在VLAN中的端口才有廣播、多播通訊。管理域（managementdomain）是一個(gè)僅有單一管理者的多個(gè)VLAN的集合。工作組和網(wǎng)絡(luò)安全將網(wǎng)絡(luò)劃分不同的域可以增加安全性。VLAN可以限制廣播域的用戶數(shù)?？刂芕LAN的大小和組成可以控制廣播域的相應(yīng)特性。在VLAN中應(yīng)用最廣的就是GVRP和STP技術(shù)。它們是VLAN中優(yōu)點(diǎn)的集中體現(xiàn)。三層交換技術(shù)現(xiàn)在，網(wǎng)絡(luò)業(yè)界對“三層交換”這個(gè)詞已經(jīng)不感到陌生了，在中大型規(guī)模網(wǎng)絡(luò)建設(shè)中，以千兆三層交換機(jī)為核心的主流網(wǎng)絡(luò)模型已不勝枚舉。其實(shí)，三層交換從其出現(xiàn)到今天的普及應(yīng)用也不過幾年的時(shí)間，計(jì)算機(jī)網(wǎng)絡(luò)加速度式的迅猛發(fā)展勢頭，實(shí)在快得令人吃驚?！叭龑咏粨Q”概念的出現(xiàn)，與VLAN有著密不可分的聯(lián)系。事實(shí)上，一個(gè)虛擬網(wǎng)就是邏輯上的子網(wǎng)。為了避免在大型交換機(jī)上進(jìn)行廣播所引起的廣播風(fēng)暴，可將其進(jìn)一步劃分為多個(gè)虛擬網(wǎng)。在一個(gè)虛擬網(wǎng)內(nèi)，由一個(gè)工作站發(fā)出的信息，只能發(fā)送到具有相同虛擬網(wǎng)號的其他站點(diǎn)，而其他虛擬網(wǎng)的成員收不到這些信息或廣播幀。由于網(wǎng)絡(luò)變得越來越復(fù)雜，性能要求也越來越高，這就要求網(wǎng)管員能夠成功地部署VLAN，從而使網(wǎng)絡(luò)更加靈活而且易于管理。以往，網(wǎng)管員將3/4的時(shí)間花費(fèi)在維護(hù)網(wǎng)絡(luò)的基礎(chǔ)結(jié)構(gòu)，確保通信流量的優(yōu)化，并處理移動和變更等工作。通常情況下，當(dāng)一名用戶轉(zhuǎn)移到網(wǎng)絡(luò)中另一個(gè)物理位置時(shí)，需要重新配置網(wǎng)絡(luò)，甚至還有用戶的工作站需要進(jìn)行大量的管理工作。針對于此，VLAN的部署就是將通過減少管理網(wǎng)絡(luò)中移動與變更所需的資源，從而實(shí)現(xiàn)為用戶節(jié)約大量寶貴的資源。VLAN技術(shù)還可以在以下關(guān)鍵領(lǐng)域內(nèi)為用戶提供價(jià)值：比路由器更具有成本效益的廣播控制，有效抑制廣播風(fēng)暴。支持多媒體應(yīng)用與高效組播控制，提高網(wǎng)絡(luò)帶寬的有效利用率。提高網(wǎng)絡(luò)的安全性，各種顯式或隱式的VLAN劃分方法提供基于策略的安全訪問機(jī)制。網(wǎng)絡(luò)監(jiān)督與管理的自動化，更多的有效的網(wǎng)絡(luò)監(jiān)控。減少路由需要，基于ASIC技術(shù)，大幅度提高設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。VLAN之間如何通信？簡單回答就是“通過路由”。因此，這種技術(shù)也引發(fā)出一些新的問題：虛擬網(wǎng)之間通信是不允許的，這也包括地址解析(ARP)封包。要想通信，就需要用路由器橋接這些虛擬網(wǎng)，這就是虛擬網(wǎng)的問題：用交換機(jī)速度快但不能解決廣播風(fēng)暴問題，在交換機(jī)中采用虛擬網(wǎng)技術(shù)可以解決廣播風(fēng)暴問題，但又必須放置路由器來實(shí)現(xiàn)虛擬網(wǎng)之間的互通。在這種網(wǎng)絡(luò)系統(tǒng)集成模式中，路由器是核心。過去的網(wǎng)絡(luò)在一般情況下按“80/20分配”規(guī)則，即只有20%的流量是通過骨干路由器與中央服務(wù)器或企業(yè)網(wǎng)的其他部分進(jìn)行通信，而80%的網(wǎng)絡(luò)流量主要仍集中在不同的部門子網(wǎng)內(nèi)。而今天，這個(gè)比例已經(jīng)提高到了50%（“平分秋色”）甚至80%（倒二八，20/80），這是因?yàn)榻裉斓木W(wǎng)絡(luò)正在經(jīng)歷著諸多應(yīng)用的集合影響。網(wǎng)絡(luò)應(yīng)用已經(jīng)超越了組件和電子郵件，新型應(yīng)用已經(jīng)如此迅速和深刻地沖擊著網(wǎng)絡(luò)，比如，任何人通過任何一個(gè)瀏覽器便可進(jìn)行訪問設(shè)定的Web網(wǎng)頁，支持諸如銷售、服務(wù)和財(cái)務(wù)之類商業(yè)功能的數(shù)據(jù)倉庫。這種變化對傳統(tǒng)路由器產(chǎn)生了直接的沖擊。因?yàn)閭鹘y(tǒng)的路由器更注重對多種介質(zhì)類型和多種傳輸速度的支持，而目前數(shù)據(jù)緩沖和轉(zhuǎn)換能力比線速吞吐能力和低時(shí)延更為重要。路由器的高費(fèi)用、低性能，使其成為網(wǎng)絡(luò)的瓶頸。但由于網(wǎng)絡(luò)間互連的需求，它又是不可缺少的并處于網(wǎng)絡(luò)的核心位置，雖然也開發(fā)了高速路由器，但是由于其成本太高，僅用于Internet主干部分。在這種情況下，提出了三層交換技術(shù)。三層交換機(jī)是采用Intranet應(yīng)用的關(guān)鍵，它將二層交換機(jī)和三層路由器兩者的優(yōu)勢有機(jī)而智能化地結(jié)合成一個(gè)靈活的解決方案，可在各個(gè)層次提供線速性能。這種集成化的結(jié)構(gòu)還引進(jìn)了策略管理屬性，不僅使二層與三層相互關(guān)聯(lián)起來，而且還提供流量優(yōu)先化處理、安全訪問機(jī)制以及多種其它的靈活功能。三層交換機(jī)分為LAN接口層、二層交換矩陣層和三層交換矩陣（路由控制）層三部分。三層交換機(jī)的應(yīng)用其實(shí)很簡單，主要用途是代替?zhèn)鹘y(tǒng)路由器作為網(wǎng)絡(luò)的核心。因此，凡是沒有廣域網(wǎng)連接需求，同時(shí)需要路由器的地方，都可以用三層交換機(jī)代替。在企業(yè)網(wǎng)中，一般會將三層交換機(jī)用在網(wǎng)絡(luò)的核心層，用三層交換機(jī)上的千兆端口或百兆端口連接不同的子網(wǎng)或VLAN。因?yàn)槠渚W(wǎng)絡(luò)結(jié)構(gòu)相對簡單，節(jié)點(diǎn)數(shù)相對較少。另外，其不需要較多的控制功能，并且要求成本較低。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)＋三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。VRRP當(dāng)路由器功能出現(xiàn)故障時(shí)，VRRP（虛擬路由器冗余協(xié)議，RFC2338）通過同一個(gè)局域網(wǎng)中的另一臺路由器來保障網(wǎng)絡(luò)的正常運(yùn)行。通過設(shè)置虛擬路由器為缺省路由器，終端用戶在路由器發(fā)生故障時(shí)可以繼續(xù)通信，而不必考慮轉(zhuǎn)換到另一臺路由器上。利用同一個(gè)以太網(wǎng)中的兩臺路由器設(shè)置一臺虛擬路由器。在實(shí)際運(yùn)行中，兩臺路由器中的任一臺成為主路由器，該主路由器模擬虛擬路由器。備份路由器監(jiān)控主由器狀態(tài)。一旦主路由器出現(xiàn)故障影響網(wǎng)絡(luò)運(yùn)行，備份路由器立即進(jìn)入主路由器狀態(tài)以模擬虛擬路由器。IP地址被分配給虛擬路由器。指定虛擬路由器IP地址為缺省路由器的服務(wù)器將不會覺察主路由器的切換而繼續(xù)進(jìn)行正常通信。關(guān)于VRRP的詳細(xì)設(shè)計(jì)和部署情況請參見后續(xù)章節(jié)。其它網(wǎng)絡(luò)技術(shù)在本網(wǎng)絡(luò)中，除了采用三層交換和VRRP技術(shù)，根據(jù)應(yīng)用情況，還可采用組播（Multicast）、QoS和負(fù)載均衡等先進(jìn)網(wǎng)絡(luò)技術(shù)。全面支持MultiCast：選擇設(shè)備全部支持MultiCast，主干設(shè)備支持DVMRP、PIM、IGMP、GARP組管理協(xié)議和多點(diǎn)發(fā)送、多點(diǎn)廣播協(xié)議，充分適應(yīng)網(wǎng)絡(luò)特殊網(wǎng)絡(luò)傳輸要求。一定的QoS保證：核心設(shè)備支持RSVP、CAR(CommittedAccessRate)以及可配置門限的多種隊(duì)列采用WAED、WRR、業(yè)務(wù)類型/業(yè)務(wù)級別(ToS/CoS)映射機(jī)制，在滿足基本要求前提下保持高性價(jià)比，也為多媒體應(yīng)用提供了堅(jiān)實(shí)地網(wǎng)絡(luò)基礎(chǔ)。負(fù)載均衡實(shí)現(xiàn)：在核心設(shè)備上通過設(shè)置不同的VLAN的優(yōu)先級，可將所有的VLAN流量分擔(dān)在各樓的兩臺匯聚設(shè)備上，通過兩臺匯聚設(shè)備的VRRP功能，實(shí)現(xiàn)網(wǎng)絡(luò)層的負(fù)載均衡。也可根據(jù)未來網(wǎng)絡(luò)擴(kuò)展的需求，增加相關(guān)的專用負(fù)載均衡設(shè)備實(shí)現(xiàn)3-7層的負(fù)載均衡功能。網(wǎng)絡(luò)設(shè)計(jì)概要XXX辦公大樓內(nèi)、外網(wǎng)網(wǎng)絡(luò)系統(tǒng)項(xiàng)目的總體設(shè)計(jì)目標(biāo)以高可靠性、高安全性、高性能、極好的可擴(kuò)展性和有效的可管理性為原則，同時(shí)兼顧考慮到技術(shù)的成熟性、先進(jìn)性和可擴(kuò)充性，網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)采用層次化、結(jié)構(gòu)化的設(shè)計(jì)方法。根據(jù)對本系統(tǒng)網(wǎng)絡(luò)需求的初步分析，確定辦公內(nèi)、外網(wǎng)網(wǎng)絡(luò)采用多千兆鏈路捆綁，百兆到桌面的方案，本方案具有較好的性能價(jià)格比，整個(gè)網(wǎng)絡(luò)采用分層設(shè)計(jì)技術(shù)，骨干為網(wǎng)絡(luò)中心與1#、2#和3#樓之間的多千兆光纖線路，接入網(wǎng)為各終端節(jié)點(diǎn)的10/100M以太網(wǎng)接入線路。核心設(shè)備使用高端路由交換機(jī)，接入設(shè)備選用具備三層交換功能的接入交換機(jī)。各樓內(nèi)采用虛擬網(wǎng)VLAN技術(shù)實(shí)現(xiàn)功能群的劃分，VLAN可在匯聚設(shè)備上創(chuàng)建。利用統(tǒng)一的標(biāo)準(zhǔn)調(diào)整網(wǎng)絡(luò)規(guī)劃，避免可能的不兼容性，保證整個(gè)網(wǎng)絡(luò)的統(tǒng)一架構(gòu)。根據(jù)我們對網(wǎng)絡(luò)系統(tǒng)需求的初步分析并結(jié)合本系統(tǒng)的特點(diǎn)，我公司提出一套基于華為3COM網(wǎng)絡(luò)設(shè)備的解決方案，本方案具有較好的性能價(jià)格比，內(nèi)網(wǎng)和外網(wǎng)全部采用分層設(shè)計(jì)，利用統(tǒng)一的標(biāo)準(zhǔn)調(diào)整網(wǎng)絡(luò)擴(kuò)容規(guī)劃，避免可能的不兼容性，保證整個(gè)內(nèi)、外網(wǎng)絡(luò)的統(tǒng)一架構(gòu)。網(wǎng)絡(luò)的分層設(shè)計(jì)XXX辦公大樓內(nèi)、外網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)為兩級網(wǎng)絡(luò)，三級設(shè)備節(jié)點(diǎn)：以網(wǎng)絡(luò)中心（中心節(jié)點(diǎn)）為中心，邊界至1#、2#和3#樓（匯聚節(jié)點(diǎn)）的骨干網(wǎng)；以1#、2#和3#樓（匯聚節(jié)點(diǎn)）為中心，邊界至同各配線間（接入節(jié)點(diǎn)）的接入網(wǎng)；本系統(tǒng)的辦公內(nèi)、外網(wǎng)拓?fù)錇槿哂鄻湫徒Y(jié)構(gòu)，無匯聚與匯聚和接入與接入節(jié)點(diǎn)之間有物理直聯(lián)的需求。因此所有匯聚節(jié)點(diǎn)之間的通信全部經(jīng)過網(wǎng)絡(luò)中心的核心路由交換機(jī)實(shí)現(xiàn)數(shù)據(jù)交換，比較容易對各樓之間的流量和訪問控制進(jìn)行有效控制。層次化設(shè)計(jì)的優(yōu)點(diǎn)為：可擴(kuò)展性：因?yàn)榫W(wǎng)絡(luò)可模塊化增長而不會遇到問題；簡單性：通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在的問題；設(shè)計(jì)的靈活性：使網(wǎng)絡(luò)容易升級到最新的技術(shù)，升級任意層次的網(wǎng)絡(luò)不會對其它層次造成影響，無需改變整個(gè)環(huán)境；可管理性：層次結(jié)構(gòu)使單個(gè)設(shè)備的配置的復(fù)雜性大大降低，更易管理。核心層核心層為匯聚和接入層提供優(yōu)化的數(shù)據(jù)輸運(yùn)功能，它是一個(gè)高速的路由交換骨干，其作用是盡可能快地交換數(shù)據(jù)包而不應(yīng)卷入到具體的數(shù)據(jù)包的運(yùn)算中（ACL，過濾等），否則會降低數(shù)據(jù)包的交換速度。內(nèi)外網(wǎng)核心層設(shè)備各包括兩臺核心交換機(jī)。匯聚層匯聚層提供基于統(tǒng)一策略的互連性，它是核心層和接入層的分界點(diǎn)，定義了網(wǎng)絡(luò)的邊界，對數(shù)據(jù)包進(jìn)行復(fù)雜的運(yùn)算。匯聚層主要提供地址的聚集、部門和工作組的接入、廣播域/多目傳輸域的定義、InterVLAN路由、任何介質(zhì)的轉(zhuǎn)換和安全控制等功能。在內(nèi)、外網(wǎng)中，1#、2#和3#辦公樓各有2個(gè)匯聚層交換機(jī)，通過OSPF和VRRP實(shí)現(xiàn)設(shè)備和鏈路的冗余備份。接入層接入層直接為各接入用戶提供的網(wǎng)絡(luò)訪問接入。本系統(tǒng)的接入設(shè)備選用支持802.1x功能的接入交換機(jī)。選用華為3COM的網(wǎng)絡(luò)設(shè)備本項(xiàng)目中涉及的網(wǎng)絡(luò)設(shè)備種類不多，但各設(shè)備類別具體需求各不相同，因此在選擇設(shè)備廠商時(shí)，應(yīng)考慮選擇技術(shù)先進(jìn)，產(chǎn)品線豐富，售后服務(wù)周到，且具有良好信譽(yù)的網(wǎng)絡(luò)設(shè)備廠家。網(wǎng)絡(luò)設(shè)備的選擇原則如下：1．必須支持本系統(tǒng)目前以及未來涉及到的網(wǎng)絡(luò)技術(shù)，如Trunking、VLAN/PVLAN、RoutingSwitch、ACL、QoS、Multicast及多種路由協(xié)議等；2．必須支持多協(xié)議下的局域網(wǎng)絡(luò)互連；3．必須支持國際/國內(nèi)網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)，與不同廠商的網(wǎng)絡(luò)安全產(chǎn)品有較好的互連性；4．必須支持SNMP網(wǎng)絡(luò)管理協(xié)議；5．所選產(chǎn)品必須具有良好的發(fā)展前景，能適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展；支持向未來網(wǎng)絡(luò)新技術(shù)的平滑過渡。6．所選網(wǎng)絡(luò)設(shè)備必須能夠在不影響性能的情況下實(shí)現(xiàn)平滑升級。7．所選網(wǎng)絡(luò)設(shè)備必須要能夠在網(wǎng)絡(luò)中心利用網(wǎng)管軟件進(jìn)行統(tǒng)一網(wǎng)管。在當(dāng)今網(wǎng)絡(luò)設(shè)備的市場上，比較著名的廠商有華為3COM、Cisco、NORTELNetworks等。其中，華為3COM公司在政府、企業(yè)網(wǎng)絡(luò)、住宅寬帶產(chǎn)品、基于Internet協(xié)議的電話、以太網(wǎng)連接、網(wǎng)絡(luò)服務(wù)供應(yīng)商的遠(yuǎn)程接入與無線解決方案等領(lǐng)域都可提供高性價(jià)比的解決方案。因此我們在本項(xiàng)目網(wǎng)絡(luò)設(shè)計(jì)中選用華為3COM公司的網(wǎng)絡(luò)設(shè)備。核心設(shè)備：華為3COMQuidway?S8512S8512具有720Gbps的交換容量，背板為1.8Tbps（可擴(kuò)展至3.6T），多層硬件轉(zhuǎn)發(fā)能力為428Mpps，完全滿足本網(wǎng)絡(luò)對核心路由交換的需求。另外，S8512未來還可順利增加防火墻模板和IDS模板，以保證核心交換機(jī)的安全功能平滑升級，從而在網(wǎng)絡(luò)核心層為提高內(nèi)、外網(wǎng)絡(luò)的安全性提供更豐富的解決方案。匯聚設(shè)備：華為3COMQuidway?S6506S6506具有384Gbps的交換容量，背板為1.6Tbps，完全滿足本網(wǎng)絡(luò)對匯聚路由交換的需求。接入設(shè)備：華為3COMQuidway?LS-3952-P/LS-3928-PLS-3952-P和LS-3928-P具有32Gbps的交換背板，多層硬件轉(zhuǎn)發(fā)能力分別為13.2和9.6Mpps，完全滿足本網(wǎng)絡(luò)對接入交換機(jī)的需求。上述華為3COM的交換機(jī)都是具有較高性價(jià)比的產(chǎn)品，并且具有較大的擴(kuò)展性。網(wǎng)絡(luò)規(guī)劃由于內(nèi)外網(wǎng)的重要性，本次項(xiàng)目必須能夠?yàn)橛脩籼峁┎婚g斷的網(wǎng)絡(luò)服務(wù)，因此建議全網(wǎng)絡(luò)采用全冗余結(jié)構(gòu)（設(shè)備冗余、線路冗余）互連。內(nèi)網(wǎng)設(shè)備統(tǒng)計(jì)見下表：內(nèi)網(wǎng)樓號樓層數(shù)據(jù)點(diǎn)接入交換機(jī)(48口)接入交換機(jī)(24口)匯聚交換機(jī)核心交換機(jī)1號樓8F84227F8326F12835F12434F98213F9022F72111F642B1F4B2F71號樓小計(jì)754172202號樓12F371211F185410F207419F17348F207417F17346F17345F17344F18343F18342F12931F9631B1F9B2F472號樓小計(jì)1975433203號樓8F5111227F8626F12235F1314F52113F1812F9621F141B1F5B2F263號樓小計(jì)48310422合計(jì)321270962由于每接入交換機(jī)具備48或24個(gè)端口，因此接入層交換機(jī)數(shù)量可根據(jù)內(nèi)網(wǎng)的每層設(shè)備間管理的信息點(diǎn)數(shù)計(jì)算得出，內(nèi)網(wǎng)需配置70臺48口和9臺24口交換機(jī)。其中多余的端口作為備用端口。內(nèi)網(wǎng)在1#、2#和3#樓各需配置2臺單引擎的匯聚交換機(jī)。內(nèi)網(wǎng)的2臺核心交換機(jī)位于3#樓的4層，為了保證核心設(shè)備的高效穩(wěn)定運(yùn)行，減少核心設(shè)備宕機(jī)對網(wǎng)絡(luò)產(chǎn)生重要影響，需配置冗余引擎。外網(wǎng)設(shè)備統(tǒng)計(jì)見下表：外網(wǎng)樓號樓層光網(wǎng)數(shù)據(jù)點(diǎn)接入交換機(jī)(48口)接入交換機(jī)(24口)匯聚交換機(jī)核心交換機(jī)1號樓8F1387227F188626F1613135F1712734F1014333F18108212F99221F8682B1F4B2F81號樓小計(jì)109854191202號樓12F4391211F10188410F10210419F617648F10210417F617646F617645F617644F618643F618642F113231F29831B1F11B2F492號樓小計(jì)732013433203號樓8F35511227F158826F512735F52014F1755113F62612F7101211F72211B1F5B2F263號樓小計(jì)6552511522合計(jì)247339273962由于每接入交換機(jī)具備48或24個(gè)端口，因此接入層交換機(jī)數(shù)量可根據(jù)外網(wǎng)的每層設(shè)備間管理的信息點(diǎn)數(shù)計(jì)算得出，外網(wǎng)需配置73臺48口和9臺24口交換機(jī)。其中多余的端口作為備用端口。外網(wǎng)在1#、2#和3#樓各需配置2臺單引擎的匯聚交換機(jī)。外網(wǎng)的2臺核心交換機(jī)位于3#樓的4層，為了保證核心設(shè)備的高效穩(wěn)定運(yùn)行，減少核心設(shè)備宕機(jī)對網(wǎng)絡(luò)產(chǎn)生重要影響，需配置冗余引擎。另外，本系統(tǒng)外網(wǎng)在1#、2#和3#還有共247個(gè)光纖到桌面的信息點(diǎn)。鑒于光纖到桌面的特殊性和光網(wǎng)絡(luò)流量集中管理，建議這些光網(wǎng)端口不配置接入層交換設(shè)備，而是直接聯(lián)到匯聚層的千兆光端口交換模板上，由匯聚層交換機(jī)直接負(fù)責(zé)這些光纖到桌面的信息節(jié)點(diǎn)的接入和訪問控制管理。Quidway?S8500系列核心交換機(jī)是由華為3Com公司自主開發(fā)的新一代高性能核心路由交換機(jī)產(chǎn)品，可廣泛應(yīng)用于電子政務(wù)網(wǎng)核心層、校園網(wǎng)及教育城域網(wǎng)核心層、園區(qū)網(wǎng)和企業(yè)網(wǎng)核心層以及運(yùn)營商IP城域網(wǎng)核心層、匯聚層。Quidway?S8500系列基于新一代核心交換機(jī)的設(shè)計(jì)理念，具備大容量高性能、可擴(kuò)展能力強(qiáng)和業(yè)務(wù)與性能兼具的特點(diǎn)。Quidway?S8500系列支持新一代高性能接口，能夠?yàn)槌怯蚓W(wǎng)、園區(qū)網(wǎng)、數(shù)據(jù)中心提供超高速鏈路，構(gòu)建端到端以太網(wǎng)絡(luò)，打造低成本、高性能、具有豐富業(yè)務(wù)支持能力的高性能網(wǎng)絡(luò)。Quidway?S8500提供大容量、高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能，內(nèi)置強(qiáng)勁的全分布式業(yè)務(wù)處理引擎，以全線速處理二層、三層、MPLSVPN、組播等各種業(yè)務(wù)流量，提供完善的QoS保障、安全管理機(jī)制和電信級的高可靠設(shè)計(jì)，滿足大型IP網(wǎng)絡(luò)對多業(yè)務(wù)、高可靠、大容量、模塊化的需求。1)先進(jìn)的體系結(jié)構(gòu)Quidway?S8500系列產(chǎn)品采用全分布式體系結(jié)構(gòu)設(shè)計(jì)，采用功能強(qiáng)大的ASIC芯片進(jìn)行高速路由查找，并通過Crossbar技術(shù)進(jìn)行高速報(bào)文交換，從而大大提升了路由交換機(jī)的轉(zhuǎn)發(fā)性能和擴(kuò)充能力。Crossbar交換網(wǎng)芯片內(nèi)置于主控板，不單獨(dú)占用設(shè)備槽位，可提供高達(dá)720Gbps的交換容量，并可平滑升級到1.44Tbps的交換容量。接口板通過多條高速總線分別連到兩塊主控板上的Crossbar交換網(wǎng)，從而實(shí)現(xiàn)真正的雙主控、雙交換網(wǎng)的熱備份，極大的提高了系統(tǒng)的可靠性。Quidway?S8500系列產(chǎn)品采用高性能的最長匹配、逐包轉(zhuǎn)發(fā)的方式，在保持線速性能和低成本的基礎(chǔ)上，革命性的解決了傳統(tǒng)交換機(jī)流Cache精確匹配轉(zhuǎn)發(fā)的致命缺陷，能夠有效的抗擊網(wǎng)絡(luò)“紅色代碼”、“沖擊波”等病毒的攻擊，更加適合大規(guī)模、多業(yè)務(wù)，復(fù)雜流量訪問的網(wǎng)絡(luò)。2)大容量、高密度線速交換Quidway?S8500系列產(chǎn)品目前最高可以提供720Gbps交換容量/428Mpps包轉(zhuǎn)發(fā)能力，并可平滑升級到1.44Tbps交換容量、857Mpps轉(zhuǎn)發(fā)能力。支持各種高密度業(yè)務(wù)板和組合業(yè)務(wù)板，整機(jī)可支持高達(dá)576個(gè)千兆端口的同時(shí)線速轉(zhuǎn)發(fā)，滿足核心層設(shè)備大容量、高密度的要求。3)強(qiáng)大的業(yè)務(wù)支撐能力Quidway?S8500支持MPLSVPN業(yè)務(wù)；支持豐富的組播協(xié)議（IGMP、IGMPSNOOPING，PIM-SM、PIM-DM和MSDP/MBGP等）；支持WebSwitch（硬件支持）、NAT（硬件支持），內(nèi)置防火墻（硬件支持）、IDS；支持POS/ATM、RPR等接口。4)MPLS/IPv6分布式線速支持Quidway?S8500系列產(chǎn)品遵循業(yè)務(wù)與性能并重的設(shè)計(jì)理念。一方面帶寬和網(wǎng)絡(luò)規(guī)模的增長推動核心路由交換機(jī)的性能容量不斷提升，另一方面業(yè)務(wù)的發(fā)展要求核心交換機(jī)更加智能化并具備更強(qiáng)的業(yè)務(wù)提供能力。Quidway?S8500系列產(chǎn)品采用功能強(qiáng)大的ASIC芯片實(shí)現(xiàn)MPLS、IPv6的分布式線速轉(zhuǎn)發(fā)，并能夠基于高性能NP實(shí)現(xiàn)線速NAT、WebSwitch等增值業(yè)務(wù)，在為用戶提供全面的有保障業(yè)務(wù)的同時(shí)，也做到根據(jù)需求業(yè)務(wù)可裁減。5)完善的QoS機(jī)制Quidway?S8500系列產(chǎn)品提供了靈活的隊(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP、WRR、SP+WRR三種模式；支持8個(gè)優(yōu)先級隊(duì)列，3個(gè)丟棄優(yōu)先級；支持WRED擁塞避免算法和端口流量整形。支持帶寬控制功能，流量限速的粒度為1Kbit/s，滿足精品寬帶網(wǎng)絡(luò)的要求。6)電信級可靠性設(shè)計(jì)：Quidway?S8500系列產(chǎn)品系統(tǒng)采用分布式結(jié)構(gòu)，支持雙主控交換板，無源背板設(shè)計(jì)，所有單板支持熱插拔；電源系統(tǒng)交流/直流可選，采用1+1冗余熱備份，并支持雙路電源輸入；支持STP/RSTP/MSTP協(xié)議和VRRP協(xié)議，能夠滿足苛刻的電信級網(wǎng)絡(luò)可靠性要求，系統(tǒng)可靠性達(dá)到：99.999％。7)完善的安全機(jī)制：Quidway?S8500系列產(chǎn)品的先進(jìn)的逐包轉(zhuǎn)發(fā)機(jī)制確保其在各種數(shù)據(jù)流狀況下的設(shè)備安全，支持OSPF、RIPv2及BGPv4報(bào)文的明文及MD5密文認(rèn)證；支持URPF（單播反向路徑檢查）；采用802.1x方式對接入用戶進(jìn)行認(rèn)證，支持安全的SNMPv3的網(wǎng)管協(xié)議、支持配置安全，對登錄用戶進(jìn)行認(rèn)證，不同級別的用戶有不同的配置權(quán)限，并提供兩種用戶認(rèn)證方式：本地認(rèn)證和RADIUS認(rèn)證。Quidway?S8500系列產(chǎn)品通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)。支持多種ACL訪問控制策略，能夠?qū)τ脩粼L問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行設(shè)置，保證網(wǎng)絡(luò)的受控訪問。Quidway?S8500系列產(chǎn)品還支持標(biāo)準(zhǔn)Radius協(xié)議，同時(shí)提供Radius+功能，以及HCBM?（華為可控組播管理協(xié)議）功能支持?；谟布С值膬?nèi)置防火墻/IDS功能為核心交換設(shè)備安全組網(wǎng)提供了多樣化的選擇，簡化了網(wǎng)絡(luò)層次，提高了整網(wǎng)性能。Quidway?S8500系列產(chǎn)品可與華為3ComSecEngineD系列IDS設(shè)備實(shí)現(xiàn)線速安全聯(lián)動，采用標(biāo)準(zhǔn)的SNMPv2/v3作為聯(lián)動協(xié)議的承載協(xié)議，根據(jù)不同的攻擊事件行為，使聯(lián)動交換機(jī)產(chǎn)生下述不同的ACL對數(shù)據(jù)流進(jìn)行阻斷：可以對單一主機(jī)發(fā)起的所有流、單一主機(jī)特定端口發(fā)起的流、單一主機(jī)接收的所有流、單一主機(jī)特定端口的接收流、指定網(wǎng)絡(luò)發(fā)起的所有流、指定網(wǎng)絡(luò)接收的所有數(shù)據(jù)流或明確的五元組流(源和目的IP地址和端口和協(xié)議)進(jìn)行阻斷，為用戶建立起立體的安全網(wǎng)絡(luò)。隨著Internet從科研向商業(yè)應(yīng)用的轉(zhuǎn)變，網(wǎng)絡(luò)用戶迅猛增加，各種類型的應(yīng)用（包括文件傳送、Web瀏覽、局域網(wǎng)互聯(lián)、視頻/音頻會議、IP電話以及其它實(shí)時(shí)多媒體業(yè)務(wù)）共存在一個(gè)物理網(wǎng)絡(luò)上，網(wǎng)絡(luò)節(jié)點(diǎn)的處理能力、QoS保障和網(wǎng)絡(luò)帶寬逐漸成為Internet繼續(xù)發(fā)展的主要障礙。隨著光傳輸技術(shù)的發(fā)展，尤其DWDM的出現(xiàn)，傳輸帶寬不再成為網(wǎng)絡(luò)的瓶頸，而網(wǎng)絡(luò)交換節(jié)點(diǎn)的處理能力顯得尤為重要。為了滿足IP網(wǎng)絡(luò)新變化，G比特路由器（GSR）和T比特路由器（TSR）應(yīng)運(yùn)而生，這些高端路由器采用大容量交換結(jié)構(gòu)和硬件高速轉(zhuǎn)發(fā)技術(shù)，大大提高了報(bào)文轉(zhuǎn)發(fā)速度；作為這些設(shè)備交換核心的網(wǎng)絡(luò)處理器（NetworkProcessor）技術(shù)也得到了迅猛的發(fā)展和應(yīng)用。那么，什么是網(wǎng)絡(luò)處理器呢？根據(jù)國際網(wǎng)絡(luò)處理器大會（NetworkProcessorsConference）的定義：網(wǎng)絡(luò)處理器是一種可編程器件，它特定的應(yīng)用于通信領(lǐng)域的各種任務(wù)，比如包處理、協(xié)議分析、路由查找、聲音/數(shù)據(jù)的匯聚、防火墻、QOS。網(wǎng)絡(luò)處理器的使用者是研制路由器、交換機(jī)、HUB、服務(wù)器、網(wǎng)絡(luò)接口卡、VPN和網(wǎng)橋設(shè)備的通信設(shè)備制造商。目前生產(chǎn)網(wǎng)絡(luò)處理器的公司有很多，大公司有Intel、Agere（Lucent的微電子部）、摩托羅拉、IBM、InfineonTechnologies（以前西門子的微電子部）；小一點(diǎn)的公司有MMCNetworks、EzchipTechnologies、SiTera、SolidumSystems、T-Sqware、XstreamLogic等。網(wǎng)絡(luò)處理器目前的應(yīng)用主要集中在數(shù)據(jù)通信網(wǎng)絡(luò)的中高端設(shè)備上，和以前的CPU軟件轉(zhuǎn)發(fā)、FPGA實(shí)現(xiàn)轉(zhuǎn)發(fā)、ASIC實(shí)現(xiàn)轉(zhuǎn)發(fā)相比，它有以下特點(diǎn)或優(yōu)點(diǎn)：1、性能高很多算法都用硬件實(shí)現(xiàn)，內(nèi)部一般都集成了幾個(gè)甚至幾十個(gè)轉(zhuǎn)發(fā)微引擎（CPU）和硬件協(xié)處理器、硬件加速器，在實(shí)現(xiàn)復(fù)雜的擁塞管理、隊(duì)列調(diào)度、流分類和QOS功能的前提下，還可以達(dá)到很高的查找、轉(zhuǎn)發(fā)性能，實(shí)現(xiàn)所謂的“硬轉(zhuǎn)發(fā)”。目前已經(jīng)投入商用的有支持2.5GPOS口的NP、支持10GPOS的NP、支持40GPOS口的NP。2、可以進(jìn)行靈活的功能擴(kuò)展由于可以進(jìn)行編程，一旦有新的技術(shù)或者需求出現(xiàn)，可以很方便的通過軟件編程進(jìn)行實(shí)現(xiàn)，系統(tǒng)的功能可以通過軟件模塊方便的添加刪除。所以對于特殊的用戶需求，可以進(jìn)行定制開發(fā)，即可以在短時(shí)間內(nèi)通過模塊刪減開發(fā)能滿足不同用戶需求的產(chǎn)品。而以前用FPGA實(shí)現(xiàn)的情況下，需要修改管腳功能，重新調(diào)試升級，而且大多情況下其它硬件設(shè)計(jì)也要改動，為系統(tǒng)可靠性帶來很大隱患。用ASIC實(shí)現(xiàn)的情況下，無法對新的功能進(jìn)行添加，只能重新設(shè)計(jì)，更新芯片。在開發(fā)時(shí)間上，按照業(yè)界的經(jīng)驗(yàn)數(shù)字，軟件開發(fā)時(shí)間一般為6個(gè)月，而用FPGA實(shí)現(xiàn)的時(shí)間為18個(gè)月，用ASIC實(shí)現(xiàn)的時(shí)間更長，通常需要2~3年的時(shí)間，隨著網(wǎng)絡(luò)處理器使用C語言編程的推進(jìn)，開發(fā)周期變的將會更短。所以NP具有更靈活的擴(kuò)展能力。3、可靠性高由于大部分功能都使用一個(gè)或者兩個(gè)芯片實(shí)現(xiàn)，芯片轉(zhuǎn)產(chǎn)前都經(jīng)過了嚴(yán)格的測試和各種抗干擾和破壞性試驗(yàn)，從而使使用NP的系統(tǒng)的可靠性大大提高。所以NP特別適合用于開發(fā)電信級數(shù)據(jù)通信產(chǎn)品。4、豐富的流分類、擁塞管理、隊(duì)列調(diào)度和QOS功能大多數(shù)NP都使用硬件的并行操作，實(shí)現(xiàn)了業(yè)界流行的各種算法，為使用NP的設(shè)備提供了豐富和強(qiáng)大的QOS功能。很多以前用軟件實(shí)現(xiàn)時(shí)無法保證性能的復(fù)雜QOS功能，在使用了NP之后，可以很容易的得到實(shí)現(xiàn)，并且對性能基本沒有影響。5、管理、開發(fā)方便NP都提供了和上層CPU標(biāo)準(zhǔn)的接口或者內(nèi)置管理CPU，可以和其它CPU實(shí)現(xiàn)高速通訊。NP一般都提供了大量硬件計(jì)數(shù)器，可以方便的實(shí)現(xiàn)各種MIB統(tǒng)計(jì)功能，為網(wǎng)管提供支持。NP一般都提供了編譯系統(tǒng)和軟件樣例，而且目前主流的NP都提供軟件仿真開發(fā)平臺，可以進(jìn)行離線開發(fā)和驗(yàn)證，甚至可以用仿真平臺將軟件的效率仿真到Cycle級；在在線調(diào)試時(shí)有單步跟蹤、設(shè)置斷點(diǎn)等手段，可以使設(shè)備開發(fā)商在較短時(shí)間內(nèi)開發(fā)出適合產(chǎn)品需要的軟件。6、可以實(shí)現(xiàn)靈活組態(tài)NP作為一個(gè)器件，都提供了靈活的配置功能，可以通過NP的不同形式組合或者和其它CPU的組合，實(shí)現(xiàn)系統(tǒng)的靈活配置，滿足不同設(shè)備的需求，方便了系統(tǒng)設(shè)計(jì)，加快了設(shè)備的開發(fā)進(jìn)度。本項(xiàng)目內(nèi)、外網(wǎng)的匯聚交換機(jī)S6506全部選用第三代交換容量為384Gbps的引擎。樓號內(nèi)網(wǎng)外網(wǎng)匯聚交換機(jī)匯聚上聯(lián)端口匯聚交換機(jī)匯聚上聯(lián)端口光口1號樓28241092號樓2824733號樓282465合計(jì)：624612247考慮到內(nèi)網(wǎng)不同辦公樓內(nèi)用戶之間互訪的流量較大，因此在內(nèi)網(wǎng)的匯聚交換機(jī)上聯(lián)采用雙GE捆綁到核心交換機(jī)，6臺匯聚共需24個(gè)上聯(lián)千兆端口，因此每臺內(nèi)網(wǎng)核心交換機(jī)需要12個(gè)千兆端口用于匯聚設(shè)備的連接。而外網(wǎng)用戶訪問公網(wǎng)的流量相對較大，不同樓宇間的用戶互訪的需求較少，因此外網(wǎng)核心與匯聚設(shè)備互聯(lián)采用單千兆聯(lián)路，即每臺匯聚交換機(jī)有兩條千兆鏈路分別上聯(lián)到外網(wǎng)的核心交換機(jī)上，每臺外網(wǎng)核心交換機(jī)需要有6個(gè)千兆端口用于下聯(lián)匯聚交換機(jī)。由于外網(wǎng)還有247個(gè)光纖到桌面的端口需要全部直連到匯聚交換機(jī)，因此6臺匯聚交換機(jī)需要增配20個(gè)光端口的模板和若干多模千兆光纖接口模塊，數(shù)量如下：樓號設(shè)備名稱數(shù)量1號樓20個(gè)光端口模板6多模光纖接口模塊1092號樓20個(gè)光端口模板4多模光纖接口模塊733號樓20個(gè)光端口模板4多模光纖接口模塊65Quidway?S6500系列高端多業(yè)務(wù)路由交換機(jī)是華為3Com公司面向IP城域網(wǎng)、大型企業(yè)網(wǎng)及園區(qū)網(wǎng)用戶開發(fā)的系列大容量、高密度、模塊化的二、三層線速以太網(wǎng)交換機(jī)產(chǎn)品，主要作為企業(yè)的核心交換機(jī)或城域網(wǎng)匯聚層交換機(jī)。該系列產(chǎn)品包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R（8槽）。Quidway?S6500能夠?yàn)槌怯蚓W(wǎng)、園區(qū)網(wǎng)、數(shù)據(jù)中心提供超高速鏈路，打造低成本、高性能、具有豐富業(yè)務(wù)支持能力的高性能網(wǎng)絡(luò)。Quidway?S6500提供大容量、高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能，同時(shí)具有豐富的業(yè)務(wù)功能、強(qiáng)大的QoS保障、完善的安全管理機(jī)制和電信級的高可靠設(shè)計(jì)，完全滿足行業(yè)客戶和運(yùn)營商用戶對多業(yè)務(wù)、高可靠、大容量、模塊化的需求。Quidway?S6500系列高端多業(yè)務(wù)交換機(jī)的特點(diǎn)可以用一句話來概括：“多快好省、高而不貴”?！岸唷保寒a(chǎn)品系列多、引擎規(guī)格多、接口板類型多。有利于簡化網(wǎng)絡(luò)結(jié)構(gòu)，降低建網(wǎng)成本。產(chǎn)品系列多：S6500系列包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R(8槽)。產(chǎn)品設(shè)計(jì)采用開放式的體系結(jié)構(gòu)、統(tǒng)一的硬件平臺、完全兼容的引擎和接口板、相同的軟件版本、以及系列化機(jī)箱。S6500還可以支持POE（PowerOverEthernet）特性，提供支持POE功能的系列機(jī)箱和單板，能夠?qū)崿F(xiàn)向遠(yuǎn)端受電設(shè)備（IP電話、WLAN無線接入點(diǎn)等）進(jìn)行以太網(wǎng)遠(yuǎn)端供電。引擎規(guī)格多：基于新一代ASIC技術(shù)的Salience?系列交換路由引擎將L2/3/4線速轉(zhuǎn)發(fā)與豐富的QOS、ACL特性結(jié)合在一起，是組建高可靠、低時(shí)延的核心網(wǎng)絡(luò)的重要保障。S6500提供系列化的引擎，可以根據(jù)用戶的需求在系列化機(jī)箱上進(jìn)行靈活配置。iSalience?I（交換容量32Gbps）Salience?I（交換容量64Gbps）Salience?II（交換容量64Gbps）Salience?III96G（交換容量96Gbps）Salience?III384G（交換容量384Gbps）接口板類型多：提供百兆、千兆、萬兆等各種類型的以太網(wǎng)接口；提供100m-100km可選擇的傳送距離；提供4口/單

快：采用先進(jìn)體系結(jié)構(gòu)設(shè)計(jì)，交換容量高達(dá)768G，支持新一代線速接口，提供網(wǎng)絡(luò)高性能。先進(jìn)的體系結(jié)構(gòu)：S6500采用全分布式體系結(jié)構(gòu)設(shè)計(jì)，采用功能強(qiáng)大的ASIC芯片進(jìn)行高速路由查找，并通過Crossbar技術(shù)進(jìn)行高速報(bào)文交換，從而大大提升了路由交換機(jī)的轉(zhuǎn)發(fā)性能和擴(kuò)充能力。Crossbar交換網(wǎng)芯片內(nèi)置于主控板，不再單獨(dú)占用設(shè)備槽位，可提供高達(dá)768G的交換容量。高密度二、三層全線速接口：S6500系列推出SalienceIII系列交換引擎，最大交換容量為768Gbps，在滿配時(shí)S6500最大可提供288GE或288FE。萬兆接口支持：S6500提供的新一代萬兆以太網(wǎng)在線速轉(zhuǎn)發(fā)的基礎(chǔ)上能夠提供強(qiáng)大的QoS保障，并支持豐富的ACL、策略路由、安全等特性。S6500支持高密度萬兆設(shè)計(jì)，每塊業(yè)務(wù)板可以提供1－4個(gè)萬兆接口。好：支持強(qiáng)大的QoS能力和精細(xì)化用戶管理，高可靠、高安全設(shè)計(jì)，采用智能業(yè)務(wù)擴(kuò)展模塊可以實(shí)現(xiàn)靈活的智能化業(yè)務(wù)能力。強(qiáng)大的QoS能力和精細(xì)化用戶管理：每端口支持8個(gè)硬件隊(duì)列，帶寬控制粒度可達(dá)64Kbps；強(qiáng)大的用戶管理、認(rèn)證計(jì)費(fèi)功能支持；支持CAMS?（綜合訪問控制管理服務(wù)器）系統(tǒng)，提供專業(yè)用戶管理、計(jì)費(fèi)解決方案；內(nèi)置IEEE802.1x認(rèn)證服務(wù)器功能。內(nèi)置DHCPSERVER功能。運(yùn)營級可靠性設(shè)計(jì)：系統(tǒng)采用分布式結(jié)構(gòu)；S6506R支持雙主控板；S6500系列所有單板支持熱插拔；電源系統(tǒng)采用N+1冗余熱備份；支持STP/RSTP/MSTP協(xié)議和VRRP協(xié)議，能夠滿足苛刻的電信級網(wǎng)絡(luò)可靠性要求；支持雙路電源供電。完善的安全機(jī)制：支持標(biāo)準(zhǔn)Radius協(xié)議，同時(shí)提供Radius+功能；支持TACAS+協(xié)議；HCBM?（華為可控組播管理協(xié)議）功能支持；保證對用戶的精確認(rèn)證。支持SSHV1/2?；谧铋L匹配的路由方式，保證了所有報(bào)文均獲得相同的轉(zhuǎn)發(fā)性能，對“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力。智能業(yè)務(wù)擴(kuò)展：能夠提供高速的NAT數(shù)據(jù)流轉(zhuǎn)發(fā)，支持動態(tài)NAT功能、動態(tài)NAPT功能、ALG功能、多ISP支持、EasyIP支持、NAT黑名單、內(nèi)部服務(wù)器功能、NAT策略和NAT日志等功能。支持基于ACL的策略路由。支持NetStream功能，能夠?qū)νㄟ^交換機(jī)的網(wǎng)絡(luò)流量進(jìn)行精細(xì)化統(tǒng)計(jì)。?。簶O高的性價(jià)比，為客戶量身打造，總有一款適合您；性能、業(yè)務(wù)可平滑擴(kuò)展升級，保護(hù)用戶投資。無與倫比的性能價(jià)格比：S6500提供系列化機(jī)箱和系列化超級引擎，可以根據(jù)不同組網(wǎng)需要進(jìn)行靈活配置；S6500提供多種高密度百兆、千兆、萬兆接口板，有效簡化網(wǎng)絡(luò)結(jié)構(gòu)、降低建網(wǎng)成本；S6502無需專門的主控交換引擎，主控交換功能內(nèi)置于接口板內(nèi)部，進(jìn)一步降低建網(wǎng)成本。強(qiáng)大的擴(kuò)展性能：S6500具有強(qiáng)大的性能和業(yè)務(wù)擴(kuò)展能力；背板帶寬高達(dá)1.6Tbps；采用智能業(yè)務(wù)擴(kuò)展模塊可以實(shí)現(xiàn)靈活的智能化業(yè)務(wù)能力，如NAT/MPLS/WebSwitch/NetStream/IPv6等高級業(yè)務(wù)特性，從而有效保障用戶的投資。內(nèi)網(wǎng)樓號樓層接入交換機(jī)(48口)接入交換機(jī)(24口)接入上聯(lián)端口1號樓8F247F246F365F364F2163F242F1141F24B1FB2F1號樓小計(jì)172382號樓12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2號樓小計(jì)433923號樓8F1147F246F365F124F1143F122F241F12B1FB2F3號樓小計(jì)10428合計(jì)：709158由于每臺接入交換機(jī)都有2個(gè)千兆光纖端口分別上聯(lián)到匯聚交換機(jī)，因此內(nèi)網(wǎng)的70臺LS-3952-P和9臺LS-3928-P共需要158個(gè)千兆上聯(lián)的端口。外網(wǎng)樓號數(shù)據(jù)點(diǎn)接入交換機(jī)(48口)接入交換機(jī)(24口)接入上聯(lián)端口1號樓8F247F246F365F364F363F2162F241F24B1FB2F1號樓小計(jì)854191402號樓12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2號樓小計(jì)2013433923號樓8F1147F246F365F124F1143F122F2161F114B1FB2F3號樓小計(jì)49311532合計(jì)：739164由于每臺接入交換機(jī)都有2個(gè)千兆光纖端口分別上聯(lián)到匯聚交換機(jī)，因此外網(wǎng)的73臺LS-3952-P和9臺LS-3928-P共需要164個(gè)千兆上聯(lián)的端口。QuidwayS3900系列智能彈性以太網(wǎng)交換機(jī)是華為-3COM公司為設(shè)計(jì)和構(gòu)建高彈性、高智能網(wǎng)絡(luò)需求而推出的新一代以太網(wǎng)交換機(jī)產(chǎn)品。系統(tǒng)采用華為-3COM公司創(chuàng)新的IRF（IntelligentResilientFramework，智能彈性架構(gòu))技術(shù)，將多臺分散的設(shè)備組成統(tǒng)一的交換矩陣，非常適合作為關(guān)注擴(kuò)展性、可靠性、安全性和易管理性的辦公網(wǎng)、業(yè)務(wù)網(wǎng)和駐地網(wǎng)的匯聚和接入層交換機(jī)。QuidwayS3900系列智能彈性交換機(jī)目前包含型號為：S3924-SI、S3928P-SI、S3928TP-SI、S3952P-SI、S3928P-EI、S3928F-EI、S3928P-PWR-EI、S3952P-EI、S3952P-PWR-EI。QuidwayS3900系列交換機(jī)提供標(biāo)準(zhǔn)型（SI）和增強(qiáng)型（EI）兩種產(chǎn)品版本，標(biāo)準(zhǔn)型支持二層和基本的三層功能、提供部分的IRF功能（分布設(shè)備管理和基本的分布冗余路由）。增強(qiáng)型支持復(fù)雜的路由協(xié)議和豐富的業(yè)務(wù)特性，支持全部的IRF功能（分布設(shè)備管理、分布冗余路由和分布鏈路聚合）。1）IRF智能彈性架構(gòu)技術(shù)Quidway?S3900系列交換機(jī)支持華為3Com創(chuàng)新的IRF（IntelligentResilientFramework）技術(shù)，能夠?qū)崿F(xiàn)用戶網(wǎng)絡(luò)的高度彈性智能擴(kuò)展。利用IRF技術(shù)，用戶可以將多臺設(shè)備連接起來組成一個(gè)聯(lián)合設(shè)備（Fabric），并將這些設(shè)備看作單一設(shè)備進(jìn)行管理和使用，降低了管理成本，同時(shí)實(shí)現(xiàn)按需購買、平滑擴(kuò)容，在網(wǎng)絡(luò)升級時(shí)最大限度地保護(hù)已有投資。IRF（IntelligentResilientFramework）技術(shù)包括三個(gè)方面：DDM、DRR和DLA。DDM（分布設(shè)備管理）：在外界看來，整個(gè)Fabric是一臺整體設(shè)備。用戶可以通過Console、SNMP、Telnet、WEB等多種方式來管理整個(gè)Fabric。DRR（分布冗余路由）：Fabric的多個(gè)設(shè)備在外界看來是一臺單獨(dú)的三層交換機(jī)。整個(gè)Fabric將作為一臺設(shè)備進(jìn)行路由功能和二三層轉(zhuǎn)發(fā)功能。單播路由協(xié)議和組播路由協(xié)議分布式運(yùn)行并完全支持熱備份，在某一個(gè)設(shè)備發(fā)生故障時(shí)，路由協(xié)議和數(shù)據(jù)轉(zhuǎn)發(fā)都不會中斷。DLA（分布鏈路聚合）：支持跨設(shè)備的鏈路聚合，可以在設(shè)備之間進(jìn)行鏈路的負(fù)載分擔(dān)和互為備份。2）PoE（PoweroverEthernet）遠(yuǎn)程供電特性QuidwayS3900系列交換機(jī)（PWR型號）支持PoE（PoweroverEthernet），即可通過雙絞線向遠(yuǎn)端下掛PD設(shè)備（如IPPhone、WLANAP、Security、BluetoothAP等）提供-48V直流電源，實(shí)現(xiàn)對下掛PD設(shè)備遠(yuǎn)端供電。作為供電方PSE（PowerSourcingEquipment）設(shè)備，支持IEEE802.3af線路供電標(biāo)準(zhǔn)，同時(shí)也可以兼容不符合802.3af標(biāo)準(zhǔn)的PD（PoweredDevice）設(shè)備。交換機(jī)遠(yuǎn)端供電時(shí)每個(gè)以太網(wǎng)口向下掛設(shè)備提供的最大功率分別為12.5W（使用交流電源）和15.4W（使用直流電源）。通過支持PoE和VoiceVLAN技術(shù)，S3900系列交換機(jī)能夠提供完美的數(shù)據(jù)和語音融合解決方案。3）大容量全線速的多層交換QuidwayS3900系列交換機(jī)支持所有端口線速轉(zhuǎn)發(fā)。系統(tǒng)能夠提供4個(gè)GE，有效解決了在單臺設(shè)備上多條千兆鏈路上行，同時(shí)接入千兆服務(wù)器的需求，極大的節(jié)省了用戶對設(shè)備的投資。硬件支持二/三層線速交換，能夠識別、處理四到七層的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨(dú)的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流，并根據(jù)不同的流進(jìn)行不同的管理和控制。支持豐富的接入形式，百兆可以提供24電口/24光口/48電口三種方式。滿足各種形式接入組網(wǎng)的需求。4）完備的安全控制策略QuidwayS3900系列交換機(jī)基于最長匹配的路由策略。系統(tǒng)采用逐包轉(zhuǎn)發(fā)方式，保證了所有報(bào)文均獲得相同的轉(zhuǎn)發(fā)性能，對“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力，有效保證了設(shè)備安全。支持集中式MAC地址認(rèn)證和802.1x認(rèn)證。在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)。支持DUD(DisconnectUnauthorisedDevice)認(rèn)證，通過MAC地址學(xué)習(xí)數(shù)目限制和MAC地址與端口綁定實(shí)現(xiàn)。支持用戶分級管理和口令保護(hù)，支持MAC地址學(xué)習(xí)數(shù)目限制、MAC地址與端口綁定、端口隔離、MAC地址黑洞；支持防止DoS攻擊功能。支持QoSProfile功能。和802.1x認(rèn)證功能相結(jié)合，可以動態(tài)的為通過認(rèn)證的用戶提供預(yù)先配置的一套QoS功能。用戶在經(jīng)過802.1x認(rèn)證后，交換機(jī)根據(jù)AAA服務(wù)器上配置的用戶名和Profile的對應(yīng)關(guān)系，將相應(yīng)的Profile動態(tài)的下發(fā)到用戶登錄的端口上，為該用戶提供量身定做的一系列服務(wù)質(zhì)量保證。支持SSH特性。用戶通過一個(gè)不能保證安全的網(wǎng)絡(luò)環(huán)境遠(yuǎn)程登錄到以太網(wǎng)交換機(jī)時(shí)，可以提供安全的信息保障和強(qiáng)大的認(rèn)證功能，以保護(hù)交換機(jī)不受諸如IP地址欺詐、明文密碼截取等等攻擊。4）高可靠性QuidwayS3900系列交換機(jī)采用IRF技術(shù)組網(wǎng)后，能夠在整個(gè)堆疊組內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份，極大的增強(qiáng)了設(shè)備和網(wǎng)絡(luò)的可靠性，消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。同時(shí)QuidwayS3900系列交換機(jī)不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機(jī)構(gòu)建VRRP備份組。構(gòu)建故障時(shí)的冗余路由拓樸結(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。支持在設(shè)備上配置多條等價(jià)路由的方式實(shí)現(xiàn)上行路由的冗余備份，當(dāng)主上行路由發(fā)生故障時(shí)自動切換到下一條備份路由，實(shí)現(xiàn)上行路由的多級備份。首次實(shí)現(xiàn)交流/直流雙輸入，設(shè)備既可以采用交流電源輸入，也可以直流電源輸入，二者之間熱備份。5）豐富的QoS策略Quidway?S3900系列交換機(jī)支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復(fù)雜流分類；支持1K個(gè)流規(guī)則。提供靈活的隊(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、WFQ（WeightedFairQueue）、SP+WRR、SP+WFQ五種模式；支持8個(gè)優(yōu)先級隊(duì)列，2個(gè)丟棄優(yōu)先級；支持WRED擁塞避免算法。支持CAR（CommittedAccessRate）功能，可以實(shí)現(xiàn)基于端口和基于流的速率限制，限制的粒度可以精確至64Kbps，為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。6）多樣的管理方式Quidway?S3900系列交換機(jī)支持SNMPV1/V2/V3，可支持OpenView等通用網(wǎng)管平臺，以及Quidview?、iManager?網(wǎng)管系統(tǒng)。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便。通過各種開放的標(biāo)準(zhǔn)MIB和擴(kuò)展MIB的支持可以提供完善的基于SNMP的第三方管理能力。

網(wǎng)絡(luò)拓?fù)鋱D本系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D如下：內(nèi)網(wǎng)拓?fù)鋱D

外網(wǎng)拓?fù)鋱D

網(wǎng)絡(luò)冗余設(shè)計(jì)為了實(shí)現(xiàn)有效合理利用網(wǎng)絡(luò)資源，保證系統(tǒng)高效、可靠、安全地支撐基于網(wǎng)上的所有辦公業(yè)務(wù)，在核心、會聚和接入網(wǎng)絡(luò)設(shè)備地設(shè)計(jì)全部考慮冗余備份，盡量減少單點(diǎn)故障，以提高本系統(tǒng)的冗錯(cuò)和可靠性。內(nèi)、外網(wǎng)的網(wǎng)絡(luò)中心各配置兩臺雙引擎的核心路由交換機(jī)S8512，通過動態(tài)路由協(xié)議實(shí)現(xiàn)雙核心Active/Active配置，并實(shí)現(xiàn)網(wǎng)絡(luò)層的流量和負(fù)載均衡。內(nèi)、外網(wǎng)分別在1#、2#和3#樓內(nèi)各配置兩臺單引擎的匯聚設(shè)備S6506，同樣采用Active/Active配置，內(nèi)網(wǎng)的每臺S6506都采用雙千兆以太捆綁（GEC）鏈路分別上聯(lián)內(nèi)網(wǎng)的兩臺核心S8512，外網(wǎng)的每臺S6506都采用單千兆以太鏈路分別上聯(lián)外網(wǎng)的兩臺核心S8512，實(shí)現(xiàn)匯聚到核心的鏈路備份、流量和負(fù)載均衡。內(nèi)、外網(wǎng)在1#、2#和3#樓內(nèi)的接入交換機(jī)LS-3952-P/LS-3928-P都分別配置兩個(gè)上聯(lián)千兆模塊，保證每個(gè)接入交換機(jī)有兩條千兆鏈路分別上聯(lián)到本樓的兩臺匯聚設(shè)備S6506。當(dāng)其中一個(gè)千兆接口或光纖鏈路發(fā)生故障，仍然不影響接入用戶的網(wǎng)絡(luò)連接。必要時(shí)這兩條上聯(lián)鏈路也可同時(shí)分擔(dān)網(wǎng)絡(luò)流量，實(shí)現(xiàn)負(fù)載均衡。所有的核心和匯聚路由交換機(jī)都配置冗余電源，保證供電質(zhì)量。路由規(guī)劃本系統(tǒng)的接入到匯聚、匯聚到核心的網(wǎng)絡(luò)鏈路全部為冗余設(shè)計(jì)，如果選用純數(shù)據(jù)鏈路層的生成樹協(xié)議（STP），為了保證所有的鏈路都提供數(shù)據(jù)傳送，需要做大量的手工配置STP參數(shù)的工作，而且靈活性極差，一旦網(wǎng)絡(luò)有細(xì)微調(diào)整將無法保證鏈路達(dá)到最優(yōu)的使用效率。如果選用三層路由連接方式，則能夠避免上述問題的發(fā)生。信息從源地址到達(dá)目的地址的過程稱為路由，路由有靜態(tài)路由和動態(tài)路由之分。靜態(tài)路由由管理員在各個(gè)網(wǎng)絡(luò)互聯(lián)設(shè)備中預(yù)先輸入路徑信息，路由表根據(jù)這些路徑信息來確定，靜態(tài)路由的網(wǎng)絡(luò)開銷小，可以人為控制網(wǎng)絡(luò)路徑，網(wǎng)絡(luò)系統(tǒng)安全性較好，但可管理性和靈活性稍差，容易導(dǎo)致環(huán)路產(chǎn)生。動態(tài)路由由各個(gè)網(wǎng)絡(luò)互聯(lián)設(shè)備根據(jù)某種協(xié)議或算法動態(tài)地交換路徑信息，建立自己的路由表，動態(tài)路由能自動感知網(wǎng)絡(luò)路徑的變化，網(wǎng)絡(luò)管理更方便，在本系統(tǒng)中使用動態(tài)路由所產(chǎn)生的額外網(wǎng)絡(luò)開銷也相對不大，因此本系統(tǒng)采用動態(tài)路由協(xié)議OSPF，將同時(shí)能夠自動計(jì)算并保證接入到匯聚、匯聚到核心的網(wǎng)絡(luò)鏈路的冗余設(shè)計(jì)和負(fù)載均衡。開放式最短路徑優(yōu)先（OpenShortestPathFirst，OSPF）協(xié)議是一種為IP網(wǎng)絡(luò)開發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由IETF開發(fā)并推薦使用。OSPF協(xié)議由三個(gè)子協(xié)議組成：Hello協(xié)議、交換協(xié)議和擴(kuò)散協(xié)議。其中Hello協(xié)議負(fù)責(zé)檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫信息；擴(kuò)散協(xié)議完成各路由器中路由數(shù)據(jù)庫的同步維護(hù)。OSPF協(xié)議具有以下優(yōu)點(diǎn)：OSPF能夠在自己的鏈路狀態(tài)數(shù)據(jù)庫內(nèi)表示整個(gè)網(wǎng)絡(luò)，這極大地減少了收斂時(shí)間，并且支持大型異構(gòu)網(wǎng)絡(luò)的互聯(lián)，提供了一個(gè)異構(gòu)網(wǎng)絡(luò)間通過同一種協(xié)議交換網(wǎng)絡(luò)信息的途徑，并且不容易出現(xiàn)錯(cuò)誤的路由信息。OSPF支持通往相同目的的多重路徑。OSPF使用路由標(biāo)簽區(qū)分不同的外部路由。OSPF支持路由驗(yàn)證，只有互相通過路由驗(yàn)證的路由器之間才能交換路由信息；并且可以對不同的區(qū)域定義不同的驗(yàn)證方式，從而提高了網(wǎng)絡(luò)的安全性。OSPF支持費(fèi)用相同的多條鏈路上的負(fù)載均衡。OSPF是一個(gè)非族類路由協(xié)議，路由信息不受跳數(shù)的限制，減少了因分級路由帶來的子網(wǎng)分離問題。OSPF支持VLSM和非族類路由查表，有利于網(wǎng)絡(luò)地址的有效管理。因此，采用OSPF路由協(xié)議，將兩臺核心路由交換機(jī)S8512與匯聚層的S6506路由交換機(jī)納入整個(gè)網(wǎng)絡(luò)的OSPF0區(qū)域中。如果需要可以在分布和匯聚層增加設(shè)置OSPF的其它Area。本系統(tǒng)的核心路由交換與匯聚設(shè)備間有多條冗余千兆（或捆綁）鏈路，可利用OSPF支持6條等值路由的負(fù)載均衡（Equal-costloadbalancinguptosixpaths）能力實(shí)現(xiàn)的鏈路備份和負(fù)載均衡。內(nèi)網(wǎng)路由規(guī)劃示意外網(wǎng)路由規(guī)劃示意應(yīng)用VRRP技術(shù) 本設(shè)計(jì)方案中的內(nèi)、外網(wǎng)系統(tǒng)中1#、2#和3#樓各配置了兩臺匯聚交換機(jī)，所有接入交換機(jī)全部以千兆鏈路分別上聯(lián)各樓的這兩臺匯聚交換機(jī)。在這些匯聚交換機(jī)上啟用VRRP功能，可實(shí)現(xiàn)匯聚交換機(jī)之間的冗余備份和接入交換機(jī)上聯(lián)的負(fù)載均衡。"VRRP特性"是路由器冗余備份的協(xié)議，該特性由用戶通過命令行進(jìn)行設(shè)置，通過路由器之間的備份功能，為網(wǎng)絡(luò)核心層、匯聚層設(shè)備提供更強(qiáng)大的安全冗余備份功能。在基于TCP/IP協(xié)議的網(wǎng)絡(luò)中，為了保證不直接物理連接的設(shè)備之間的通信，必須指定路由。目前常用的指定路由的方法有兩種：一種是通過路由協(xié)議（比如：內(nèi)部路由協(xié)議RIP和OSPF）動態(tài)學(xué)習(xí)；另一種是靜態(tài)配置。在每一個(gè)終端都運(yùn)行動態(tài)路由協(xié)議是不現(xiàn)實(shí)的，大多客戶端操作系統(tǒng)平臺都不支持動態(tài)路由協(xié)議，即使支持也受到管理開銷、收斂度、安全性等許多問題的限制。因此普遍采用對終端IP設(shè)備靜態(tài)路由配置，一般是給終端設(shè)備指定一個(gè)或者多個(gè)默認(rèn)網(wǎng)關(guān)(DefaultGateway)。靜態(tài)路由的方法簡化了網(wǎng)絡(luò)管理的復(fù)雜度和減輕了終端設(shè)備的通信開銷，但是它仍然有一個(gè)缺點(diǎn)：如果作為默認(rèn)網(wǎng)關(guān)的路由器損壞，所有使用該網(wǎng)關(guān)為下一跳主機(jī)的通信必然要中斷。即便配置了多個(gè)默認(rèn)網(wǎng)關(guān)，如不重新啟動終端設(shè)備，也不能切換到新的網(wǎng)關(guān)。采用虛擬路由冗余協(xié)議(VirtualRouterRedundancyProtocol，簡稱VRRP)可以很好的避免靜態(tài)指定網(wǎng)關(guān)的缺陷。在VRRP協(xié)議中，有兩組重要的概念：VRRP路由器和虛擬路由器，主控路由器和備份路由器。VRRP路由器是指運(yùn)行VRRP的路由器，是物理實(shí)體，虛擬路由器是指VRRP協(xié)議創(chuàng)建的，是邏輯概念。一組VRRP路由器協(xié)同工作，共同構(gòu)成一臺虛擬路由器。該虛擬路由器對外表現(xiàn)為一個(gè)具有唯一固定IP地址和MAC地址的邏輯路由器。處于同一個(gè)VRRP組中的路由器具有兩種互斥的角色：主控路由器和備份路由器，一個(gè)VRRP組中有且只有一臺處于主控角色的路由器，可以有一個(gè)或者多個(gè)處于備份角色的路由器。VRRP協(xié)議使用選擇策略從路由器組中選出一臺作為主控，負(fù)責(zé)ARP相應(yīng)和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其它路由器作為備份的角色處于待命狀態(tài)。當(dāng)由于某種原因主控路由器發(fā)生故障時(shí)，備份路由器能在幾秒鐘的時(shí)延后升級為主路由器。由于此切換非常迅速而且不用改變IP地址和MAC地址，故對終端使用者系統(tǒng)是透明的。上圖為VRRP冗余備份功能的典型組網(wǎng)方式。在主機(jī)上配置網(wǎng)關(guān)為，真實(shí)IP地址為和的兩臺路由器互為備份，一臺作為Master轉(zhuǎn)發(fā)主機(jī)的報(bào)文，另一臺在原來的Master設(shè)備故障的時(shí)候轉(zhuǎn)為Master狀態(tài)，保證網(wǎng)絡(luò)通信正常。一個(gè)VRRP路由器有唯一的標(biāo)識：VRID，范圍為0—255。該路由器對外表現(xiàn)為唯一的虛擬MAC地址，地址的格式為00-00-5E-00-01-[VRID]。主控路由器負(fù)責(zé)對ARP請求用該MAC地址做應(yīng)答。這樣，無論如何切換，保證給終端設(shè)備的是唯一一致的IP和MAC地址，減少了切換對終端設(shè)備的影響。VRRP控制報(bào)文只有一種：VRRP通告(advertisement)。它使用IP多播數(shù)據(jù)包進(jìn)行封裝，組地址為8，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)。這保證了VRID在不同網(wǎng)絡(luò)中可以重復(fù)使用。為了減少網(wǎng)絡(luò)帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報(bào)文。備份路由器在連續(xù)三個(gè)通告間隔內(nèi)收不到VRRP或收到優(yōu)先級為0的通告后啟動新的一輪VRRP選舉。在VRRP路由器組中，按優(yōu)先級選舉主控路由器，VRRP協(xié)議中優(yōu)先級范圍是0—255。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則稱該虛擬路由器作VRRP組中的IP地址所有者；IP地址所有者自動具有最高優(yōu)先級：255。優(yōu)先級0一般用在IP地址所有者主動放棄主控者角色時(shí)使用?？膳渲玫膬?yōu)先級范圍為1—254。優(yōu)先級的配置原則可以依據(jù)鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設(shè)定。主控路由器的選舉中，高優(yōu)先級的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現(xiàn)。對于相同優(yōu)先級的候選路由器，按照IP地址大小順序選舉。VRRP還提供了優(yōu)先級搶占策略，如果配置了該策略，高優(yōu)先級的備份路由器便會剝奪當(dāng)前低優(yōu)先級的主控路由器而成為新的主控路由器。為了保證VRRP協(xié)議的安全性，提供了兩種安全認(rèn)證措施：明文認(rèn)證和IP頭認(rèn)證。明文認(rèn)證方式要求：在加入一個(gè)VRRP路由器組時(shí)，必須同時(shí)提供相同的VRID和明文密碼。適合于避免在局域網(wǎng)內(nèi)的配置錯(cuò)誤，但不能防止通過網(wǎng)絡(luò)監(jiān)聽方式獲得密碼。IP頭認(rèn)證的方式提供了更高的安全性，能夠防止報(bào)文重放和修改等攻擊。綜上所述采用兩臺S6506匯聚交換機(jī)啟用VRRP協(xié)議可以對下聯(lián)的接入主機(jī)實(shí)現(xiàn)網(wǎng)關(guān)備份功能，各接入主機(jī)所屬VLAN的網(wǎng)關(guān)地址均可以設(shè)置為VRRP組的虛擬網(wǎng)關(guān)地址，在任意時(shí)刻主機(jī)只通過一臺S6506接入網(wǎng)絡(luò)，另外一臺S6506作為備份網(wǎng)關(guān)。另外，在S6506上可以開啟多組VRRP組，每一組的主設(shè)備與備份設(shè)備分別在兩臺S6506，同時(shí)對主設(shè)備、備份設(shè)備的選擇進(jìn)行合理分配，使得一部分主機(jī)的主設(shè)備在第一臺S6506上而另一部分的主設(shè)備在第二臺S8512上，每個(gè)S6506既做部分主機(jī)的主網(wǎng)關(guān)設(shè)備同時(shí)也做其他主機(jī)的備份網(wǎng)關(guān)設(shè)備，從而既實(shí)現(xiàn)了主機(jī)接入的網(wǎng)關(guān)備份同時(shí)也實(shí)現(xiàn)了主機(jī)接入的負(fù)載均衡。VRRP的負(fù)載平衡方式如上圖所示，PC1，PC2配置網(wǎng)關(guān)為，PC3，PC4配置網(wǎng)關(guān)為。同時(shí)在RouterA和RouterB上面同時(shí)配置兩個(gè)備份組，虛擬IP地址分別為兩個(gè)網(wǎng)關(guān)地址，通過配置優(yōu)先級保證A和B各為組1，2的Master。在這個(gè)組網(wǎng)中，如果一臺路由器設(shè)備故障，另一臺可接替工作；同時(shí)，兩臺設(shè)備平均分配網(wǎng)絡(luò)負(fù)載。為了實(shí)現(xiàn)上述的兩臺匯聚交換機(jī)之間既負(fù)載分擔(dān)，又能做到互為備份的功能，我們建議將接入層用戶以VLAN為單位分為兩個(gè)組，一臺S6506相對于組1是Active的，相對于組2是Standby的，另一臺S6506作相反的設(shè)置。這樣即可實(shí)現(xiàn)兩臺核心交換機(jī)之間既互為備份，又能做到負(fù)載分擔(dān)。另，在二層，由于存在冗余鏈路，通過啟用STP