【正文】 余備份連接和數(shù)據(jù)傳輸負(fù)載分擔(dān)的。堆疊后的交換機(jī)之間通過24Gbps的背板堆疊總線進(jìn)行傳輸，而具有冗余連接的特性（注：市場上大多支持萬兆的機(jī)箱式交換機(jī)，機(jī)箱里的插槽模塊之間傳輸?shù)谋嘲蹇偩€帶寬為24Gbps）。同時高速的萬兆三層架構(gòu)設(shè)計，使整個網(wǎng)絡(luò)更具有管理的智能性，強(qiáng)勁的核心交換機(jī)GSM73xxS支持多種由協(xié)議,如基于端口和VLAN的路由,靜態(tài)/動態(tài)/等價路由，豐富的管理控制機(jī)制等。從屏幕上，IT 管理員可以直接對包括 NETGEAR 可網(wǎng)管設(shè)備在內(nèi)的網(wǎng)絡(luò)設(shè)備進(jìn)行參數(shù)設(shè)置，比如基于整個網(wǎng)絡(luò)范圍，組或單獨節(jié)點的安全性設(shè)置,設(shè)備升級,配置保存等等。如果任意一臺核心交換機(jī)發(fā)生故障，另外一臺交換機(jī)會接管它，并繼續(xù)提供網(wǎng)絡(luò)服務(wù)。路由器間的切換對用戶是完全透明的，用戶不必關(guān)心具體過程，只要把缺省路由器設(shè)為虛擬路由器的 IP 地址即可。于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進(jìn)行通信，實際的數(shù)據(jù)處理由備份組內(nèi) Master 路由器執(zhí)行。這個虛擬的路由器擁有自己的 IP 地址 ，稱為路由器的虛擬 IP地址。匯聚交換機(jī)可以采用 2 條 1000M 鏈路并行上聯(lián)到核心萬兆交換機(jī)。應(yīng)該支持 MAC 地址－端口綁定，端口限速，廣播風(fēng)暴控制等功能。本方案中，網(wǎng)絡(luò)中心采用二臺堆疊的 GSM7352FS 交換機(jī)形成高性能高可靠的千兆網(wǎng)絡(luò)中心。向匯聚層交換機(jī)提供連接，其也負(fù)責(zé)連接網(wǎng)絡(luò)的中心服務(wù)器以及對外出口聽防火墻設(shè)備，總體負(fù)責(zé)整個網(wǎng)絡(luò)中所有客戶端與應(yīng)用服務(wù)器或互聯(lián)網(wǎng)之間的數(shù)據(jù)交換。（8）、從實際出發(fā)本著從實際情況出發(fā)，采用先進(jìn)的網(wǎng)絡(luò)技術(shù)，建立一個高速、寬帶、擴(kuò)充性能良好的計算機(jī)網(wǎng)絡(luò)系統(tǒng)。為了使網(wǎng)絡(luò)可靠地運(yùn)行，本方案選用了高品質(zhì)、高性能價格比的產(chǎn)品，把故障率降到最低。實現(xiàn)線速網(wǎng)絡(luò)多層交換，特別是對 ACL 等處理后保持較高轉(zhuǎn)發(fā)速率。（3）、性能可擴(kuò)展性所有設(shè)備均可滿足用戶的目前大數(shù)據(jù)量和性能需求，又能輕易擴(kuò)展以保障用戶將來直接的平滑升級至 10G 主干和支持 IPv6。 在總體設(shè)計理念上,網(wǎng)絡(luò)建設(shè)的設(shè)計應(yīng)以下要求:（1）、設(shè)備的先進(jìn)性與成熟性當(dāng)今世界，通信技術(shù)和計算機(jī)技術(shù)的發(fā)展日新月異。本方案適應(yīng)新技術(shù)發(fā)展的潮流，既兼顧了技術(shù)上的成熟性，同時也保證了系統(tǒng)的先進(jìn)性。(4)、高性能采用高性能的 Layer2 和 Layer3 交換機(jī)以及高性能路由器，提供線速交換和路由。將來隨著業(yè)務(wù)的發(fā)展，可輕易的將網(wǎng)絡(luò)升級支持至萬兆主干和 IPv6。同時，我們采用了系統(tǒng)堆疊容錯技術(shù)，當(dāng)網(wǎng)絡(luò)系統(tǒng)內(nèi)某一點出現(xiàn)故障時，整個系統(tǒng)仍然能夠繼續(xù)運(yùn)行而不會造成停機(jī)，從而把損失降到最小。NETGEAR 高速交換網(wǎng)解決方案 NETGEAR 高速以太網(wǎng)網(wǎng)絡(luò)方案設(shè)計、NETGEAR 網(wǎng)絡(luò)連接拓?fù)鋱D 如下圖示,本方案總體的網(wǎng)絡(luò)設(shè)計，將采用三級層次結(jié)構(gòu)：核心交換機(jī)、匯聚層交換機(jī)和工作組接入交換。匯聚層接入交換局機(jī)：在配線間配置 NETGEAR 公司千兆全網(wǎng)管交換機(jī)－GS7212，向接入層交換機(jī)提供 1000Mbps 二層數(shù)據(jù)連接 、 ,向上通過雙鏈路千兆連接 2 臺中心交換機(jī)。2）匯聚層交換機(jī)對于匯聚層的設(shè)計，我們以整體網(wǎng)絡(luò)高速性能、可靠、可擴(kuò)展、高密度接入為,即同時支持多個光纖及 UTP 接口的設(shè)備－GSM7212,同時為了有效的提供網(wǎng)絡(luò)冗余特性，我們采用雙鏈路上聯(lián)方式接入到網(wǎng)絡(luò)核心。在本方案中我們推薦采用 Netgear 增強(qiáng)型智能交換機(jī) FS752TS。采用 NETGEAR 稱為路由熱備(VRRP)技術(shù)，邏輯上交換機(jī)視 2 個萬兆核心交換機(jī)為一臺交換機(jī)，2 條物理鏈路分別連接到網(wǎng)絡(luò)核心，正常工作時候，兩個核心交換機(jī)各負(fù)責(zé)網(wǎng)絡(luò)一半的流量，在任何一臺核心交換機(jī)出現(xiàn)故障后，另外一臺交換機(jī)會自動接NETGEAR 高速交換網(wǎng)解決方案管全部網(wǎng)絡(luò)流量。同時，物理路由器 SW1 ,SW2 也有自己的 IP 地址（如 SW1 的 IP 地址為，SW2 的 IP 地址為 ）。如果備份組內(nèi)的 Master 路由器出現(xiàn)故障時，備份組內(nèi)的其它 Backup 路由器將會接替成為新的 Master，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)。 通過 VRRP 技術(shù)還可以實現(xiàn)核心網(wǎng)絡(luò)設(shè)備負(fù)載均衡，例如 SW1 在 vlan 1，3，5 中為主路由，在 vlan2，4，6 中為備份路由。這種不間斷的網(wǎng)絡(luò)服務(wù)對于大中型網(wǎng)絡(luò)是至關(guān)重要的。該屏幕同時提供了快速瀏覽細(xì)節(jié)的功能，比如網(wǎng)絡(luò)設(shè)備的健康狀態(tài),性能分析,日志記錄等。邊緣智能FS752TS交換機(jī)具有極高的性能價格比，能夠以低廉的價格提供高效的網(wǎng)絡(luò)服務(wù)。堆疊后最大可提供192個千兆端口，16個10G端口。另外，從核心交換機(jī)到邊緣交換機(jī)網(wǎng)絡(luò)結(jié)構(gòu)清晰，簡單、可靠、無阻塞和線速。同時,下一代全網(wǎng)管安全交換機(jī) GSM73xxS 和 FS7xxTS 系列支持完整的 + Radius work login 功能,配合 NETGEAR 在中國的 客戶端軟件及Radius Server 軟件,可實現(xiàn)用戶名與 客戶端 IP 地址,客戶端 MAC 地址,所接交換NETGEAR 高速交換網(wǎng)解決方案機(jī)的管理 IP 地址(NAS IP Address),交換機(jī)端口及端口 VLAN ID 入端提供了安全, 客戶端軟件及Radius Server , 下一代全網(wǎng)管安全系列交換機(jī)還具備交換機(jī)端口/MAC 地址綁定和多種層次(L2/3/4)的 ACL 安全訪問控制功能.GSM73xxS 和 FS7xxTS 系列交換機(jī)通過 Secure Sockets Layer (SSLv3)來安全WEB GUI 圖形化界面的配置, 通過 Secured Shell (SSH )開安全遠(yuǎn)程的命令行配置,通過 SNMPv3 “中間人”攻擊，非法進(jìn)入交換機(jī)管理，竊取交換機(jī)用戶名/密碼/管理 IP 地址等等，信息偵聽探測，竊取修改管理數(shù)據(jù),以實現(xiàn)局域網(wǎng)絡(luò)的安全管理.4. 豐富的 QoS 策略方案中配置的交換機(jī)全都是具有功能強(qiáng)大的 DifferServ 服務(wù)質(zhì)量控制功能, 可以支持基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、端口、協(xié)議的 L2~L7 復(fù)雜流分類, 可以提供靈活的隊列調(diào)度算法，可以同時基于端口和隊列進(jìn)行設(shè)置，支持 SP（Strict Priority）、WRR（Weighted Round Robin）模式，支持8 個優(yōu)先級隊列，支持 WRED 擁塞避免算法。這樣可以NETGEAR 高速交換網(wǎng)解決方案使交換機(jī)之間或交換機(jī)和服務(wù)器之間形成可靠的連接,并且連接帶寬 Nx2 倍(全雙工). 從邏輯鏈路上看,它是一個整體，內(nèi)部的組成,并且傳輸?shù)臄?shù)據(jù)對上層服務(wù)透明. 聚合內(nèi)部的幾根物理鏈路可以共同完成數(shù)據(jù)傳輸并互為備份。使用 IEEE “鏈路聚合控制”(LACP)的優(yōu)勢在于它在交換機(jī)中自動創(chuàng)建鏈路聚合，而且它允許您使用支持 IEEE 標(biāo)準(zhǔn)的其他廠商的鏈路聚合技術(shù).在 IEEE 標(biāo)準(zhǔn)中，“鏈路聚合控制協(xié)議”（LACP）自動通知交換機(jī)應(yīng)該聚集哪些端口。LACP 協(xié)議報文中的聚合信息包括本設(shè)備的配置參數(shù)和聚合狀態(tài)等，報文發(fā)送方式分為事件觸發(fā)和周期發(fā)送。NETGEAR 高速交換網(wǎng)解決方案需要指出的是，LACP 協(xié)議并不等于鏈路聚合技術(shù)，而是 提供的一種鏈路聚合控制方式，具體實現(xiàn)中也可采用其它的聚合控制方式。而在網(wǎng)絡(luò)中的路由設(shè)備上會設(shè)置各自不同的 IP 子網(wǎng),并通過廣播路由表的方式交換路由信息,常用的方式有兩種:一種是使用最短路徑優(yōu)先（Open ShortestPath First，簡稱OSPF）協(xié)議和路由信息協(xié)議（Routing Information Protocol，簡稱 RIP）。為此，Inter 工程任務(wù)組（Inter Engineering Task Force，簡稱 IETF）制定了虛擬路由器冗余協(xié)議（VRRP， RFC2338），應(yīng)用于作為靜態(tài)配置默認(rèn)網(wǎng)關(guān)上的第三層交換機(jī)和路由器，為依賴于默認(rèn)網(wǎng)關(guān)進(jìn)行廣域網(wǎng)接入或訪問其他局域網(wǎng)的終端系統(tǒng)提供更快、更有效的冗余容錯能力。由于網(wǎng)絡(luò)內(nèi)的主機(jī)配置了 VRRP 虛擬網(wǎng)關(guān)地址，發(fā)生故障時，虛擬路由器沒有改變，主機(jī)仍然保持連接，網(wǎng)絡(luò)將不會受到單點故障的影響，這樣就較好地解決了網(wǎng)絡(luò)中路由器切換的問題。當(dāng)主路由器正常工作時，它會每隔一段時間發(fā)送一個 VRRP 組播報文，以通知其它的備份路由器，主虛擬路由器處于正常工作狀態(tài)。通過這樣一個過程,就會將優(yōu)先級最大的路由器選成新的主虛擬路由器。 2．Master 主控狀態(tài):當(dāng)主虛擬路由器處于 Master 狀態(tài)時，它可以做以下工作： 1) 定期發(fā)送 VRRP 報文給其它備份虛擬路由器； 2) 發(fā)送免費（gratuitous）ARP 報文，以使網(wǎng)絡(luò)內(nèi)各主機(jī)知道虛擬 IP 地址所對應(yīng)的虛擬 MAC 地址； 3) 響應(yīng)對虛擬 IP 地址的 ARP 請求，并且響應(yīng)的是虛擬 MAC 地址，而不是路由器端口的真實 MAC 地址； 4) 轉(zhuǎn)發(fā)目的 MAC 地址為虛擬 MAC 地址的 IP 報文；同樣轉(zhuǎn)發(fā)目的 IP 地址為虛擬 IP 地址的 IP 報文。只有當(dāng)接收到接口的 Shutdown 事件時才會轉(zhuǎn)為 Initialize。如果僅靠增加網(wǎng)絡(luò)帶寬不能徹底解決問題，因為一方面帶寬是不可能無限制增加的，另一方面帶寬的增加是無法趕上應(yīng)用系統(tǒng)的變化、用戶的增加所給網(wǎng)絡(luò)帶來的巨大流量壓力。 網(wǎng)絡(luò)擁塞管理 。在默認(rèn)情況下，IP 優(yōu)先級 6 和 7 是用于網(wǎng)絡(luò)控制通訊使用，不推薦用戶使用. 如果交換機(jī)使用 IPv6 增強(qiáng)版本軟件的話,可支持 16 個優(yōu)先級對列. 16 種優(yōu)先級別中的 9 種用于非實時傳輸業(yè)務(wù)，其余的 8 種用于實時傳輸業(yè)務(wù)。當(dāng)線路帶寬比較充裕的時候，通過 CQ 可以實現(xiàn)動態(tài)的帶寬分配。使數(shù)據(jù)流得到指定的服務(wù),特別是當(dāng)在高優(yōu)先級別的隊列中沒有數(shù)據(jù)傳輸時,WFQ 算法使每個傳輸中的數(shù)據(jù)流的吞吐量和響應(yīng)時間變的可預(yù)知. Qos 服務(wù)質(zhì)量—帶寬控制? 基于端口的速率限制? 基于 IP 的速率限制? 基于數(shù)據(jù)流的速率限制 帶寬控制技術(shù)提供了精確帶寬使用策略，可向用戶提供訪問速度承諾(Committed Access Rate, CAR)。保證實時多媒體數(shù)據(jù)和關(guān)鍵任務(wù)數(shù)據(jù)的傳輸。NETGEAR 高速交換網(wǎng)解決方案相對而言，很容易在現(xiàn)有的 IP 網(wǎng)絡(luò)及產(chǎn)品中實現(xiàn)。對 DiffServ 服務(wù)模型，網(wǎng)絡(luò)不需要為每個流維護(hù)狀態(tài)，它根據(jù)每個報文指定的 QoS，來提供特定的服務(wù)。DiffServ 一般用來為一些重要的應(yīng)用提供端到端的 QoS。擁塞管理策略一般應(yīng)用于外出接口，根據(jù)需要將不同的業(yè)務(wù)流量按一定的順序發(fā)送出去，來保證某些業(yè)務(wù)的正常運(yùn)行。在這樣的情況下，總數(shù)據(jù)隊列很快就會溢出。其中最常見的擁塞避免策略是 WRED（加權(quán)公平早期檢測）。從而保證高優(yōu)先級業(yè)務(wù)的順利展開。從已具有的 IP 包過濾技術(shù)來看，完全可以作為局域網(wǎng)內(nèi)部的防火墻的角色功能。在邊緣接入的以太網(wǎng)交換機(jī)上按端口劃分Vlan，每個用戶或用戶組占用一個 Vlan, 用于標(biāo)記 VLAN 公共端口,公共端口上的二層 VLAN 間相互不能直接通訊 o。交換機(jī)經(jīng)過這樣的配置后，網(wǎng)絡(luò)里面只有唯一合法主機(jī)可以使用網(wǎng)絡(luò)，如果對該主機(jī)的網(wǎng)卡進(jìn)行了更換或者其他 PC 機(jī)想通過這個端口使用網(wǎng)絡(luò)都是不可用的，除非刪除或修改該端口上綁定的 MAC 地址，才能正常使用。通過這個功能可安全有效的阻止－MAC 洪泛攻擊。例如：ACL 可以根據(jù)數(shù)據(jù)包的協(xié)議，指定 這種類型的數(shù)據(jù)包的優(yōu)先級，被交換機(jī)處理。例如，允許網(wǎng)絡(luò)的 Email 被通過，而阻止 FTP 通信.建立訪問控制列表后，可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對通信流量起到控制的手段，這也是對網(wǎng)絡(luò)訪問的基本安全手段。 端口認(rèn)證原理 協(xié)議具有完備的用戶認(rèn)證、管理功能，可以很好地支撐企業(yè)/校園/、安全、運(yùn)營和管理要求提供了極大的管理優(yōu)勢。 因此， 產(chǎn)生了。 1． 體系介紹雖然 定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，但是需要注意的是該協(xié)議僅適用于接入設(shè)備與接入端口間點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。Supplicant 與 Authenticator 間運(yùn)行 定義的 EAPOL 協(xié)議；Authenticator 與 Authentication Sever 間同樣運(yùn)行 EAP 協(xié)議，EAP 幀中封裝了認(rèn)證數(shù)據(jù)，將該協(xié)議承載在其他高層次協(xié)議中，如 Radius，以便穿越復(fù)雜的網(wǎng) 絡(luò)到達(dá)認(rèn)證服務(wù)器。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。認(rèn)證系統(tǒng)簡化了 PPPOE 方式中對每個數(shù)據(jù)包進(jìn)行拆包和封裝等繁瑣的工作，所以 802 .1x 封裝效率高，消除了網(wǎng)絡(luò)瓶頸；同時，由于 認(rèn)證包采用了在不可控通道中的獨立處理的方式，因此認(rèn)證處理容量可以很大，遠(yuǎn)遠(yuǎn)高于傳統(tǒng)的 BAS，無需購買昂貴設(shè)備，降低了建網(wǎng)成本?！　EB/PORTAL 認(rèn)證是基于業(yè)務(wù)類型的認(rèn)證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。WEB/PORTAL認(rèn)證用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現(xiàn)；用戶在訪問網(wǎng)絡(luò)前，不管是 TELNET、FTP 還是其它業(yè)務(wù)，必須使用瀏覽器進(jìn)行 WEB認(rèn)證，易用性不夠好；而且認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分。 NETGEAR 高速交換網(wǎng)解決方案萬兆以太網(wǎng)仍然采用了 以太網(wǎng)媒體訪問控制（MAC）協(xié)議、IEEE802.3 以太網(wǎng)幀格式，以及 幀的最大和最小尺寸。其技術(shù)特色首先表現(xiàn)在物理層面上。PCS 層由信息的編碼方式（如 64B/66B）、串行或多路復(fù)用等功能組