【正文】 個(gè)千兆線速接口和 4 個(gè)萬(wàn)兆線速接口。全方位的安全保障，抵御多種網(wǎng)絡(luò)安全威脅* 三平面安全保障機(jī)制H3C S7500E 提供完善的安全防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置協(xié)議報(bào)文攻擊識(shí)別模塊，防止 TCN、ARP 等協(xié)議報(bào)文攻擊，OSPF/BGP/ISIS 路由協(xié)議采用 MD5 驗(yàn)證，防止非法路由更新報(bào)文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，SNMPv3 網(wǎng)管協(xié)議， SSH V2，基于 、AAA/Radius 的用戶身份認(rèn)證以及分級(jí)的用戶權(quán)限管理保證了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持 IP、VLAN 、MAC 和端口等多種組合精細(xì)綁定；支持 uRPF 單播反向路徑轉(zhuǎn)發(fā)，防止非法流量訪問(wèn)網(wǎng)絡(luò)，采用最長(zhǎng)匹配逐包轉(zhuǎn)發(fā)機(jī)制，有效抵御病毒的攻擊。* 增強(qiáng)的 ACL 特性H3C S7500E 系列產(chǎn)品支持強(qiáng)大的 ACL 能力：支持標(biāo)準(zhǔn)和擴(kuò)展 ACL；支持基于 VLAN的 ACL，方便用戶配置，節(jié)省 ACL 資源；支持出方向和入方向的 ACL，每板最大可支持9K 條 ACL，滿足金融等行業(yè)訪問(wèn)權(quán)限嚴(yán)格控制的需求。* 支持熱補(bǔ)丁技術(shù)H3C S7500E 能夠在不重啟設(shè)備的前提下，通過(guò)熱補(bǔ)丁技術(shù)，在線修改軟件 BUG，增加新的業(yè)務(wù)特性。 AR 2880 模塊化中心路由器是華為 3Com 公司 Quidway174。Quidway174。? 互連協(xié)議：以太網(wǎng)、橋、幀中繼、HDLC、SDLC、LAPB、SLIP、PPP、PPP 頭壓縮、MP、ISDN、PPPoE Client、按需撥號(hào)、撥號(hào)串循環(huán)備份、 PPP/ISDN 回呼、L2TP 建立二層隧道、GRE 建立三層隧道、IPSEC 建立三層隧道、 xDSL 寬帶接入。? 網(wǎng)絡(luò)可靠性：接口/子接口間的物理層備份，虛鏈路/虛模板/撥號(hào)接口/ 邏輯接口間的鏈路層備份，動(dòng)態(tài)路由實(shí)現(xiàn)網(wǎng)絡(luò)層備份、VRRP 實(shí)現(xiàn)設(shè)備層備份。? 配置管理：中英文雙語(yǔ)、命令分級(jí)保護(hù)、tracert/ping/debugging 故障診斷功能、RMON、SNMPv1/v2c/v系統(tǒng)日志、可通過(guò) FTP 或 TFTP 進(jìn)行系統(tǒng)升級(jí)、可通過(guò)Console/AUX/ PAD/Tel/反向 Tel 等方式進(jìn)行配置。M（Eamp。針對(duì)多主機(jī)多 VLAN 的方式這類主機(jī)部署的應(yīng)用屬于重要應(yīng)用，以核心業(yè)務(wù)應(yīng)用為主。為保證可靠性選擇在 2 臺(tái)接入交換機(jī)上做相同的 VLAN 和端口配置，實(shí)現(xiàn)端口 1+1 冗余，即保證單一接入設(shè)備可以承載全部主機(jī)連接，在工作時(shí)將雙機(jī)對(duì)應(yīng)端口部接入到不同交換機(jī)的對(duì)應(yīng) VLAN 中。針對(duì)單機(jī)多網(wǎng)卡多 VLAN方式，也考慮將多 VLAN 在 2 臺(tái)接入交換機(jī)上部署，實(shí)現(xiàn) VLAN 端口 1+1 冗余。第 6 章 VLAN 和 Spanning Tree 設(shè)計(jì) VLAN 簡(jiǎn)述VLAN（Virtual Local Area Network－虛擬局域網(wǎng)）邏輯上把網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶按照一定的原則進(jìn)行劃分，把一個(gè)物理上實(shí)際的網(wǎng)絡(luò)劃分成多個(gè)小的邏輯的網(wǎng)絡(luò)。 定義了 VLAN 幀格式，為識(shí)別幀屬于哪個(gè) VLAN 提供了一個(gè)標(biāo)準(zhǔn)的方法。所有支持 GVRP 特性的交換機(jī)能夠接收來(lái)自其它交換機(jī)的 VLAN 注冊(cè)信息，并動(dòng)態(tài)更新本地的 VLAN 注冊(cè)信息，包括當(dāng)前的 VLAN 成員，這些 VLAN 成員可以通過(guò)哪個(gè)端口到達(dá)等。根據(jù) VLAN 注冊(cè)信息，交換機(jī)了解到干道鏈路對(duì)端有哪些 VLAN，自動(dòng)配置干道鏈路，只允許對(duì)端交換機(jī)需要的 VLAN 在干道鏈路上傳輸。根據(jù)前文所述，數(shù)據(jù)中心網(wǎng)絡(luò)分為多個(gè)功能分區(qū)，每個(gè)網(wǎng)絡(luò)功能分區(qū)的接入層交換機(jī)將定義為 Layer2 交換機(jī)，Layer2 和 Layer3 的邊界位于每個(gè)網(wǎng)絡(luò)功能分區(qū)的匯聚層交換機(jī)上。STA（生成樹算法）在網(wǎng)絡(luò)中選擇 Root Bridge（根27 / 51網(wǎng)橋）為參考點(diǎn)，通過(guò)發(fā)送 BPDU（橋接協(xié)議數(shù)據(jù)單元）尋找冗余鏈路。建立根網(wǎng)橋生成樹網(wǎng)絡(luò)中最重要的設(shè)計(jì)之一是根網(wǎng)橋的放置。根據(jù)經(jīng)驗(yàn)，推薦將匯聚層交換機(jī)設(shè)置成根網(wǎng)橋。VRRP 中定義了三種狀態(tài)模型初始狀態(tài) Initialize ，活動(dòng)狀態(tài) Master ，備份狀態(tài) Backup，其中只有活動(dòng)狀態(tài)可以發(fā)送報(bào)文，而且報(bào)文也只有一種。IP 地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。 路由邊界按照前文所述，網(wǎng)絡(luò)核心和各功能分區(qū)的匯聚層交換機(jī)之間將構(gòu)成數(shù)據(jù)中心的路由區(qū)域；而接入層交換機(jī)將定義為 Layer2 交換機(jī)，通過(guò) Trunk 或 VLAN 連接匯聚層交換機(jī)；路由和交換的邊界位于每個(gè)功能分區(qū)的匯聚層交換機(jī)。根據(jù)業(yè)務(wù)需要，數(shù)據(jù)中心將構(gòu)造多個(gè)主機(jī) Sysplex 環(huán)境：以上各主機(jī) Sysplex 環(huán)境和所在功能分區(qū)的匯聚層交換機(jī)之間將運(yùn)行 OSPF 路由協(xié)議，采用單獨(dú)的 OSPF Area。出于統(tǒng)一管理考慮，數(shù)據(jù)中心運(yùn)行 OSPF 路由協(xié)議的網(wǎng)絡(luò)設(shè)備使用相同的 OSPF Process ID：10。對(duì)農(nóng)行上海數(shù)據(jù)中心 OSPF 鏈路 Metric 規(guī)劃如下： 鏈路類型 鏈路帶寬(Mbps) Metric 值10 GigabitEther 10,000 104 ports GE Channel 4,000 252 ports GE Channel 2,000 50GigabitEther 1,000 100VLAN Interface 1,000 10033 / 51 OSPF MD5 認(rèn)證考慮安全的因素，建議應(yīng)收賬款局域移動(dòng)系統(tǒng)數(shù)據(jù)中心運(yùn)行 OSPF 路由協(xié)議的網(wǎng)絡(luò)設(shè)備采用 Message Digest (MD5) 認(rèn)證，以保證 OSPF Update 的可靠性。第 9 章 可靠性設(shè)計(jì) 可靠性概述網(wǎng)絡(luò)的可靠性是一個(gè)從端到端的全程概念，單純提高某一層面的可靠性并不能對(duì)網(wǎng)絡(luò)整體的可靠性有很大改善。鏈路級(jí)的可靠性：包括鏈路本身的可靠性，包括良好的線路質(zhì)量，及鏈路的備份技術(shù)，如采用一些物理線路捆綁技術(shù)提供線路的可靠性，也可以采用其它鏈路/線路保護(hù)技術(shù)，如34 / 51環(huán)網(wǎng)技術(shù)。 設(shè)備級(jí)可靠性設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)的設(shè)備級(jí)可靠性主要從設(shè)備自身可靠性，設(shè)備間熱備份兩個(gè)方面考慮。? 網(wǎng)絡(luò)核心設(shè)備支持軟件熱補(bǔ)丁，打補(bǔ)丁過(guò)程中主控板和接口板都不需要重啟動(dòng)，業(yè)務(wù)不中斷。對(duì)數(shù)據(jù)和系統(tǒng)狀態(tài)的備份也需要相應(yīng)的硬件配合，通過(guò)部件冗余備份實(shí)現(xiàn)來(lái)增強(qiáng)設(shè)備的可靠性，如對(duì)路由器的主控板進(jìn)行冗余備份，備用板與主用板之間并不進(jìn)行運(yùn)行狀態(tài)和與運(yùn)行數(shù)據(jù)的同步。不過(guò)在這種備份方式下，1）由于主備之間不進(jìn)行任何數(shù)據(jù)的備份，需要進(jìn)行數(shù)據(jù)的搜集或恢復(fù)處理，需要花費(fèi)一定的時(shí)間，2) 一些協(xié)議連接需要重新協(xié)商處理，如路由協(xié)議建立鄰居、路由聚合需要花費(fèi)一定的時(shí)間。我們稱這種備份方式為熱備份。備用系統(tǒng)升級(jí)為主用系統(tǒng)后，一些狀態(tài)信息沒(méi)有從原主用系統(tǒng)得到，或數(shù)據(jù)失效，新的主用系統(tǒng)需要與接口板對(duì)硬件狀態(tài)、鏈路層狀態(tài)和配置數(shù)據(jù)上確認(rèn)這些數(shù)據(jù)，這個(gè)確認(rèn)過(guò)程是數(shù)據(jù)平滑。本次項(xiàng)目的。華為 3 的 VRP(Virsatile Routing Platform)在 H3C S7500E 萬(wàn)兆核心路由交換機(jī)產(chǎn)品的各個(gè)業(yè)務(wù)板上保存 FIB 表（轉(zhuǎn)發(fā)表） ，報(bào)文轉(zhuǎn)發(fā)不需要系統(tǒng)板的參與。當(dāng)批量備份結(jié)束后，隨著系統(tǒng)的運(yùn)行，主用系統(tǒng)的數(shù)據(jù)會(huì)發(fā)生變化，這些變化需要定時(shí)的備份到備用系統(tǒng)中，這個(gè)過(guò)程稱作定時(shí)備份。所有這些，都可能導(dǎo)致業(yè)務(wù)的短時(shí)間中斷，但是，即使是瞬間的網(wǎng)絡(luò)中斷，也可能給用戶造成巨大的損失，對(duì)銀行系統(tǒng)這種敏感用戶尤其如此。這種備份方式稱為冷備份。既要對(duì)硬件部件的備份，也需要對(duì)數(shù)據(jù)和系統(tǒng)的中間狀態(tài)信息備份。主備倒換過(guò)程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。業(yè)務(wù)可靠性：網(wǎng)絡(luò)只是業(yè)務(wù)的承載平臺(tái)，設(shè)備，鏈路及網(wǎng)絡(luò)的可靠性設(shè)計(jì)歸根到底都是為了保證業(yè)務(wù)的可靠性，從網(wǎng)絡(luò)角度考慮業(yè)務(wù)可靠性，主要是通過(guò)各種網(wǎng)絡(luò)技術(shù)時(shí)業(yè)務(wù)數(shù)據(jù)流滿足業(yè)務(wù)的要去，如流量分布是不均衡的，特別是突發(fā)流量會(huì)引起網(wǎng)絡(luò)的擁塞，導(dǎo)致業(yè)務(wù)的中斷，需流量管理的引入能夠使網(wǎng)絡(luò)流量均衡，提高網(wǎng)絡(luò)的利用率，進(jìn)而對(duì)控制網(wǎng)絡(luò)擁塞情況的發(fā)生。設(shè)備級(jí)的可靠性：包括設(shè)備本身的健壯性及對(duì)周圍環(huán)境的適應(yīng)能力，可靠的設(shè)備應(yīng)該對(duì)關(guān)鍵部件（如主控板，交換網(wǎng)板，電源等）進(jìn)行冗余備份，并且可以在惡劣的環(huán)境下長(zhǎng)時(shí)間穩(wěn)定運(yùn)行。考慮運(yùn)行維護(hù)的簡(jiǎn)單性，配合 STP 的 Root Primary 定義和 VRRP Primary 定義，在網(wǎng)絡(luò)設(shè)計(jì)上，將通過(guò) cost 的調(diào)整，在匯聚層和核心層將數(shù)據(jù)流引導(dǎo)到冗余網(wǎng)絡(luò)結(jié)構(gòu)的一側(cè)，而當(dāng)設(shè)備或連接因故障中斷時(shí)，OSPF 會(huì)自動(dòng)重新計(jì)算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊。 OSPF 鏈路 Metric對(duì) OSPF 協(xié)議，Interface 的 Metric 為：10 8/Interface Bandwidth，其中 108為缺省的“OSPF Autocost Reference Bandwidth”。2. OSPF STUB 接入設(shè)計(jì)如下：? 匯聚層設(shè)備作為 OSPF Area 0 和 STUB 的邊界，是 ABR；? OSPF 在匯聚層交換機(jī)和核心交換機(jī)的鏈路上通過(guò) Vlan 建立點(diǎn)點(diǎn)鄰居關(guān)系；? 匯聚層交換機(jī)互連 Trunk 的 Vlan 分別屬于 OSPF Area 0 和 STUB；? OSPF 在匯聚層交換機(jī)互連鏈路上通過(guò) Trunk 建立點(diǎn)點(diǎn)鄰居關(guān)系；? OSPF 在匯聚層交換機(jī)連接 Sysplex 的鏈路上通過(guò) Vlan 與 Sysplex 建立 BMA 鄰居關(guān)系，匯聚層交換機(jī)分別定義為 DR 和 BDR；32 / 51? OSPF 的 DR 和 BDR 分別向 STUB 區(qū)域發(fā)送默認(rèn)路由，為實(shí)現(xiàn)“單邊路由”的設(shè)計(jì)，需手工設(shè)置 Default Cost。`核 心 層匯 聚 層接 入 層接 入 設(shè) 備核 心 區(qū)路 由 域交 換 域31 / 51 路由協(xié)議設(shè)計(jì)（OSPF） OSPF Area 設(shè)計(jì)數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)設(shè)備數(shù)量和連接方式，為在可預(yù)見(jiàn)的時(shí)間內(nèi)，單獨(dú)一個(gè) OSPF Area可以滿足需要。根據(jù)選擇的 IP 地址段和數(shù)據(jù)中心的業(yè)務(wù)功能模塊進(jìn)行映射，建議如下：? 網(wǎng)段分配功能分區(qū)類型 IP 地址范圍生產(chǎn)區(qū) (主機(jī)、開放平臺(tái)) 16 個(gè) C 類地址備用 16 個(gè) C 類地址測(cè)試區(qū) (主機(jī)、開放平臺(tái)) 16 個(gè) C 類地址備用 16 個(gè) C 類地址29 / 51運(yùn)行管理區(qū) 16 個(gè) C 類地址備用 16 個(gè) C 類地址生產(chǎn)外聯(lián)區(qū)擴(kuò)展 DMZ 和 DMZ 區(qū)域外連區(qū)域16 個(gè) C 類地址另一個(gè) RFC1918 網(wǎng)段地址使用公有地址備用 16 個(gè) C 類地址辦公管理區(qū) 16 個(gè) C 類地址備用 16 個(gè) C 類地址中心網(wǎng)絡(luò)設(shè)備互連(不包括生產(chǎn)外聯(lián)區(qū)內(nèi)部設(shè)備互連)16 個(gè) C 類地址備用 剩余 C 類地址? 設(shè)備和網(wǎng)關(guān)地址分配原則在單個(gè)子網(wǎng)地址范圍內(nèi)，為了減少干擾，網(wǎng)關(guān)通常使用最高位地址，用戶地址由低到高依次分配。同時(shí) VRRP 還支持將真實(shí)接口 IP 地址設(shè)置為虛擬 IP 地址的做法。VRRP 確保當(dāng)主機(jī)的下一跳三層設(shè)備壞掉時(shí)可以及時(shí)的由另一臺(tái)三層設(shè)備來(lái)代替，從而保持通訊的連續(xù)性和可靠性。上海數(shù)據(jù)中心通過(guò)在匯聚層交換機(jī)上手工配置根網(wǎng)橋的主、備策略，確保生成樹在二層鏈路形成最佳的樹型拓?fù)?。盡管生成樹協(xié)議可以在二層網(wǎng)絡(luò)中防止橋接環(huán)路問(wèn)題，但在實(shí)際環(huán)境中，也會(huì)引起一些其它問(wèn)題。如下圖：26 / 51`核 心 層匯 聚 層接 入 層接 入 設(shè) 備T r u n kV L A N VLAN 設(shè)計(jì)建議數(shù)據(jù)中心生產(chǎn)相關(guān) VLAN 依據(jù)以下規(guī)則進(jìn)行定義：對(duì) VLAN ID 進(jìn)行連續(xù)分配；分配的 VLAN ID 與數(shù)據(jù)中心不同的功能分區(qū)進(jìn)行對(duì)應(yīng)；辦公相關(guān) VLAN 的 VLAN ID 可以復(fù)用生產(chǎn)相關(guān) VLAN 的 VLAN ID；數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備互連 VLAN (不包括生產(chǎn)外聯(lián)區(qū)內(nèi)部設(shè)備互連 VLAN) 單獨(dú)分區(qū)；為了靈活的使用 VLAN ID 資源，相鄰 VLAN 區(qū)的 VLAN ID 分配方式取反；例如，前一個(gè)VLAN 分區(qū)分配方式為從低到高分配，后一個(gè) VLAN 區(qū)就使用從高到低分配，反之亦然。這種情況下，GVRP 就不會(huì)自動(dòng)配置 Trunk 端口允許哪些VLAN 報(bào)文可以通過(guò)；Forbidden 將注銷 VLAN1 以外的所有 VLAN，并且禁止在該端口上創(chuàng)建和注銷任何其它 VLAN；注：VLAN1 的注冊(cè)類型必須是 Fixed，且不可以更改。GVRP 傳播的 VLAN 注冊(cè)信息包括本地手工配置的靜態(tài)注冊(cè)信息和來(lái)自其它交換機(jī)的動(dòng)態(tài)注冊(cè)信息。 VLAN 注冊(cè)協(xié)議（ GVRP）GVRP（GARP VLAN Registration Protocol）是 VLAN 注冊(cè)協(xié)議。VLAN 在功能和操作上與傳統(tǒng) LAN 基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。針對(duì)單機(jī)單 VLAN 方式這種方式是實(shí)現(xiàn)單機(jī)的網(wǎng)卡和鏈路備份，以部分業(yè)務(wù)的前置服務(wù)器為主。為保證可靠性選擇在 2 臺(tái)接入交換機(jī)上做相同的 VLAN 和端口配置，實(shí)現(xiàn)端口 1+1 冗余，即保證單一接入設(shè)備可以承載全部主機(jī)連接，在工作時(shí)將雙機(jī)對(duì)應(yīng)端口部接入到不同交換機(jī)的同一 VLAN 端口中。針對(duì)多主機(jī)共享 VLAN 的方式，為保證可靠性至少選擇在 2 臺(tái)接入交換機(jī)上均做相同的VLAN 和端口配置，實(shí)現(xiàn)端口 1+1 冗余，即保證單一接入設(shè)備可以承載全部主機(jī)連接，在工作時(shí)并將多主機(jī)對(duì)應(yīng)業(yè)務(wù)端口分布到 2 臺(tái)交換機(jī)。這三種方式均涉及到多網(wǎng)卡與