【文章內(nèi)容簡介】 地址學(xué)習(xí)數(shù)目限制和 MAC 地址與端口綁定實現(xiàn)。支持用戶分級管理和口令保護，支持 MAC 地址學(xué)習(xí)數(shù)目限制、 MAC 地址與端口綁定、端口隔離、 MAC 地址黑洞；支持防止 DoS 攻擊功能。具有豐富的 QoS 特性，支持基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、端口、協(xié)議的 L2~L7 復(fù)雜流分類，充分保障了復(fù)雜網(wǎng)絡(luò)對于 QoS 規(guī)則的要求。在本次組網(wǎng)中非常適合從事匯聚層面的工作。 出口路由 設(shè)計 出口路由 采用 MSR5040，由于部分區(qū)縣匯聚需要使用 VPN 連接中心區(qū)網(wǎng)絡(luò)，我們?yōu)?MSR5040 配置了高性能的數(shù)據(jù)加密插卡，為 VPN 網(wǎng)絡(luò)提供了更高的安全性能，同時 MSR 系列路由器獨有的多業(yè)務(wù)擴展能力為教 育城域網(wǎng)用戶今后的語音擴展等業(yè)務(wù)提供支持，最大程度的保護用戶的投資，此外， MSR5040 還具備防毒卡的擴展能力，可以為教育網(wǎng)中心網(wǎng)絡(luò)的病毒防護提供更多的選擇。 3 網(wǎng)絡(luò)業(yè)務(wù)設(shè)計 路由設(shè)計 路由協(xié)議選擇及設(shè)計建議 選擇何種路由協(xié)議，對于最大程度的發(fā)揮網(wǎng)絡(luò)的效能具有重要意義，因此本次 XX教育局城域網(wǎng)中心網(wǎng)絡(luò) 網(wǎng)絡(luò)建設(shè)的路由協(xié)議的選擇也就十分重要。 路由協(xié)議選擇原則 在大型網(wǎng)絡(luò)中，選擇適當(dāng)?shù)穆酚蓞f(xié)議是非常重要的。目前常用的路由協(xié)議有多種，如 RIP、 OSPF、 ISIS、 BGP、 PIM 等等。不同的路由協(xié)議有各自 的特點，分別適用于不同的條件之下。 12 選擇適當(dāng)?shù)穆酚蓞f(xié)議需要考慮以下因素： 1）路由協(xié)議的開放性：開放性的路由協(xié)議保證了不同廠商都能對本路由協(xié)議進行支持，這不僅保證了目前網(wǎng)絡(luò)的互通性，而且保證了將來網(wǎng)絡(luò)發(fā)展的擴充能力和選擇空間。 2）網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu) ：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)直接影響協(xié)議的選擇。例如 RIP 這樣比較簡單的路由協(xié)議不支持分層次的路由信息計算，對復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。路由協(xié)議還必須支持網(wǎng)絡(luò)拓?fù)涞淖兓?，在拓?fù)浒l(fā)生變化時，無論是對網(wǎng)絡(luò)中的路由本身，還是網(wǎng)絡(luò)設(shè)備的管理都要使影響最小。 3）網(wǎng)絡(luò)節(jié)點數(shù)量：不同的協(xié)議對 于網(wǎng)絡(luò)規(guī)模的支持能力有所不同，需要按需求適當(dāng)選擇，有時還需要采用一些特殊技術(shù)解決適應(yīng)網(wǎng)絡(luò)規(guī)模方面的擴展性問題。 對于本網(wǎng)絡(luò)，在選擇路由協(xié)議時不能只看眼前，還要充分考慮今后的擴展性 4）與其他網(wǎng)絡(luò)的互連要求：通過劃分成相對獨立管理的網(wǎng)絡(luò)區(qū)域，可以減少網(wǎng)絡(luò)間的相關(guān)性，有利于網(wǎng)絡(luò)的擴展，路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性，是通常劃分為一個自治系統(tǒng)（ AS），在 AS之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議。必要時還要考慮路由信息安全因素和對路由交換的限制管理。 5）管理和安全上的要求：通常要求在可以滿足功能需求的情況下盡可能 簡化管理。但有時為了實現(xiàn)比較完善的管理功能或為了滿足安全的需要，例如對路由的傳播和選用提出一些人為的要求，就需要路由協(xié)議對策略的支持。 本網(wǎng)絡(luò)路由協(xié)議的選擇 考慮到協(xié)議的通用性、標(biāo)準(zhǔn)性以 XX教育局城域網(wǎng)中心網(wǎng)絡(luò) 網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)規(guī)模，建議在本次網(wǎng)絡(luò)建設(shè)中選擇 OSPF 作為未來網(wǎng)絡(luò)動態(tài)路由協(xié)議，選擇 OSPF 主要有以下幾個原因： 1．標(biāo)準(zhǔn)開放性及成熟性 OSPF 是開放的標(biāo)準(zhǔn)協(xié)議，受到廣大廠家設(shè)備及組織的支持，也是目前網(wǎng)絡(luò)構(gòu)建中用得最多的協(xié)議，也是在企業(yè)網(wǎng)中應(yīng)用最廣泛的 IGP 協(xié)議；因此其性能是經(jīng)受過考驗及驗證的。 2. 擴展能力分域功能非常適合網(wǎng)絡(luò)擴展 13 OSPF 提供分域功能一方面保證路由轉(zhuǎn)發(fā)效率，另一方面要提供很好的網(wǎng)絡(luò)擴展能力。 當(dāng)然路由協(xié)議的選擇也必須考慮本系統(tǒng)的整體規(guī)劃，本次方案選擇的 S7500E 產(chǎn)品具有豐富的路由協(xié)議支持能力，單播、多播路由協(xié)議包括 OSPF、 RIP、 PIM 等都提供很好的支持，因此可以適應(yīng)本系統(tǒng)的路由協(xié)議的選擇。 VLAN的劃分 劃分 VLAN的必要性 VLAN 是建立在各種交換技術(shù)基礎(chǔ)之上的。所謂交換實質(zhì)上只是物理網(wǎng)絡(luò)上的一個控制點，它由軟件進行管理，所以允許用戶利用軟件功能靈活地配置資源，管 理網(wǎng)絡(luò)。利用交換設(shè)備中的虛網(wǎng)功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新配置網(wǎng)絡(luò)。采用虛網(wǎng)功能，網(wǎng)絡(luò)性能可以獲得較大的改善： ，有效地分割通信量，因而能更好地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。 布線，因為虛網(wǎng)技術(shù)是從邏輯角度而非物理角度來劃分子網(wǎng)的，所以采用虛網(wǎng)技術(shù)能減輕系統(tǒng)的擴容壓力，將遷移費用降至最小。 ，增加網(wǎng)絡(luò)的安全性和保密性。虛擬網(wǎng)絡(luò)的安全策略采用的主要協(xié)議為 ，此協(xié)議結(jié)合有鑒別和加密技術(shù)以確保整個網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。 ，但與傳統(tǒng)的局域網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，從而節(jié)省網(wǎng)絡(luò)帶寬。 ，用封裝的辦法支法支持不同的網(wǎng)絡(luò)協(xié)議絡(luò)協(xié)議，如 SNMP、 NMP、 IPX、 TCP//IP、 等，兼容性非常好性非常好。 “虛網(wǎng)中繼”， VLAN Trunking 特有技術(shù)的采用也 14 成成為了必然。必然。簡而言之 ， VLAN Trunking 主要是通過一條高速全雙工通道來實現(xiàn)將將一個 LAN Switch 端口所劃分的不同 VLAN 與其它 LAN Switch 中各自相應(yīng)的VLAN 成員進行線路復(fù)用連接的技術(shù)。 VLAN Trunking 技術(shù)的采用，既節(jié)省了信道數(shù)據(jù)量，又提高了可靠性，并便于管理及方便連接，提高了整個網(wǎng)絡(luò)吞吐量和性能指標(biāo)。其原理如下圖所示： V1 V2 V3 V4V1 V2 V4 V1V1 V2 V32 0 0 Mb p sB a n d w i d th2 0 0 M bp sB a nd w i dt hVL AN 1 t o VL AN 4VL AN 2 t o VL AN 2 V L A N T r u n k in g 技 術(shù) 如果采用 VLAN trunking 的技術(shù)，則 V V V3均可通過一條全雙工的 100Mbps，即 200Mbps 的速率與上級 LAN Switch 進行互通并經(jīng)過位于樹根部的 路由器進行路由與其它的 VLAN 進行通訊。 VLAN trunking 技術(shù)的優(yōu)點在于采用一條高速通道連接，提高了通道的使用效率，如在，如在 V2， V3 無數(shù)據(jù)量的情況下， V1 可以獨占此 100M帶寬；并且可以使得線路的連接變得簡單，從而大大提高可靠性與易維護性。 劃分 VLAN的方法 H3C 公司的 E 系列 接入交換機不僅能夠支持標(biāo)準(zhǔn)的 VLAN，還能實現(xiàn)端口之間的隔離。 我們可以使用 E系列 支持的 PVLAN（ primaryvlan）這個特性，一方面實現(xiàn)用戶 15 之間的隔離，另一方面可以為三層交換機節(jié)省 VLAN 資源 。 E系列 可以屏蔽下面的 VLAN劃分，僅向三層交換機提供一個 VLAN 信息，在邊緣交換機實現(xiàn)了端口可以同時屬于多個 Vlan； 如圖所示：其中端口 1為 uplink 端口，端口 2， 3， 4為接入端口； Vlan 1：包含端口： 1， 2， 3， 4， 5 Vlan 2：包含端口： 1， 2 Vlan 3：包含端口： 1， 3， 4 Vlan 4：包含端口： 1， 5 2 4 51vlan 1vlan 3vlan 2 vlan 43 設(shè)計中采用了幾個 secondary vlan 包含在一個 primary VLAN 中的方式，給用戶提供了靈活的配置方式。如果用戶希望實現(xiàn)二層 報文的隔離，可以采用了為每個用戶分配一個 secondary vlan 的方式，每個 vlan 中只包含用戶連接的 port 和 uplink port；如果希望實現(xiàn)用戶之間二層報文的互通，可以將用戶連接的端口劃入同一個VLAN 中；同時創(chuàng)建 primary vlan，該 vlan 包含所有 secondary vlan 中包含的端口和 uplink 端口，這樣對上層交換機來說，可以認(rèn)為下層交換機中只有一個 primary vlan，用來標(biāo)識設(shè)備，而不必關(guān)心 primary VLAN 中的端口實際所屬的 VLAN，簡化了配置，節(jié)省了 VLAN 資源 。 primary vlan 中的所有端口都不是 的 trunk 端口，包括與其它交換機相連的 uplink 口。每個 port 的 PVID 就是它所屬 secondary vlan 的 ID； uplink 端口的 PVID 是 primary vlan 的 ID； 16 我們建議在接入交換機上根據(jù)各個部門之間的邏輯關(guān)系進行靈活的 VLAN 劃分?？梢宰屢粋€樓層對應(yīng)于一個 PVLAN，樓層內(nèi)的不同部門分屬不同的 Sencondary VLAN。這種劃分方式中，可以對用戶能實現(xiàn)動態(tài)的 VLAN+MAC+IP 綁定，可對用戶發(fā)動的偽造攻擊報文進行合法 性檢查和過濾，具有一定的網(wǎng)絡(luò)安全性保障。不同 VLAN 間的互訪，必須經(jīng)過三層交換機進行轉(zhuǎn)發(fā)。 VLAN規(guī)劃 我們建議按 不同的業(yè)務(wù)使用主體來 規(guī)劃整個 XX 教育局城域網(wǎng)中心網(wǎng)絡(luò) 的 VLAN 資源。 如：學(xué)生宿舍 學(xué)生宿舍 教師、校管理人員等。 為了減小廣播域，建議 VLAN 終結(jié)在 匯聚層 的三層交換機上，每個 VLAN 內(nèi)的主機數(shù)量原則上不要超過 250 臺，建議每個 VLAN 內(nèi)的 PC 機數(shù)量控制在 50 臺以內(nèi)。 VLAN 的劃分可以依據(jù)不同的業(yè)務(wù)部門進行也可以依據(jù)用戶所處網(wǎng)絡(luò)的物理結(jié)構(gòu)進行，后者主要是從網(wǎng)絡(luò)性能角度出發(fā)，而前者還兼顧了 網(wǎng)絡(luò)安全性可控性的需要。根據(jù)實際業(yè)務(wù)部門辦公環(huán)境的分布情況來看，在大部分情況下，兩者實現(xiàn)了重合，而對于少數(shù)由于辦公地點不同，隔離在不同匯集點的相同業(yè)務(wù)部門，我們則推薦第一種方式。 將端口分配給 VLAN 的方式有兩種，分別是靜態(tài)的和動態(tài)的。 靜態(tài) VLAN： 形成靜態(tài) VLAN 過程是將端口強制性地分配給 VLAN 的過程。確定哪些端口屬于哪些特定的 VLAN，然后將 VLAN 靜態(tài)映射到端口。這是將端口映射到 VLAN 的一種最通用的方法。 對于學(xué)生宿舍，教師辦公等用戶相對集中的區(qū)域，建議采用這種部署方式，將 VLAN 部署在用戶對應(yīng) 的匯聚交換機端口上。 動態(tài) VLAN： 我們知道， VLAN 常常被規(guī)劃用于對 “ 資源訪問權(quán)限 ” 的分組，不同的 VLAN 具有不同的訪問權(quán)限，每個 VLAN 內(nèi)有一個 IP 地址網(wǎng)段，不同的 VLAN/IP 地址段的用戶，具有不同的訪問資源的權(quán)限。用戶權(quán)限數(shù)據(jù)一般存儲在 CAMS 或接入認(rèn)證系統(tǒng) UAM（后 17 臺綜合訪問管理服務(wù)器）中， CAMS 根據(jù)用戶端的權(quán)限歸類，在認(rèn)證通過之后向二層交換機作動態(tài)的 VLAN ID 下發(fā)配置。此時，二層交換機要支持 VLAN 的動態(tài)配置功能（ H3C 全系列交換機支持）。 從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高 性能，我們建議在進行具體VLAN 規(guī)劃時，同一個廣播域內(nèi)（一個 VLAN）的通信主機不要超過 250 臺，最好控制在 50 臺以內(nèi)，對于主機數(shù)量超過 50 的業(yè)務(wù)部門，我們通過二層隔離，三層交換的方式來解決。 管理 VLAN： 作為特殊 VLAN 的典型，建議保留 VLAN1 作為管理 VLAN，管理 VLAN 覆蓋到全網(wǎng)的每一臺交換機，但在第三層接口上，需要與其他業(yè)務(wù) VLAN 進行有效的隔離。網(wǎng)管工作站建議另外設(shè)置一個 VLAN，例如 VLAN ID=4000,VLAN4000 與 VLAN1 在第三層上相通，同時，部分業(yè)務(wù) VLAN 可以訪問 VLAN4000，從而實現(xiàn)網(wǎng)管的分布式監(jiān)控布局。 VLAN1和 VLAN4000 的第三層路由接口處設(shè)置訪問控制列表，只有特定的主機或者只有網(wǎng)管VLAN 可以直接訪問每一臺設(shè)備，其他均在過濾之列。 對于服務(wù)器建議單獨設(shè)置在一個 VLAN 中。 業(yè)務(wù) VLAN 可以按照部門的類別進行劃分，每個部門劃分一個 VLAN，部門人數(shù)超過 50 名的應(yīng)該劃分為兩個 VLAN，以保證交換的性能，業(yè)務(wù) VLAN 的命名建議采用VLAN100 作為第一個業(yè)務(wù) VLAN，然后按照數(shù)字序列進行劃分，一直到 VLAN123。 本次 建議 在 XX 教育局城域網(wǎng)中心網(wǎng)絡(luò) 網(wǎng)絡(luò)中 采用 靜態(tài) VLAN 劃分方案 來部署 。 組播業(yè)務(wù) H3C S7500E 、 S75 S5500 SI、 S5100 EI 系列 通過標(biāo)準(zhǔn)的組播協(xié)議完成用戶的組播管理， 上述產(chǎn)品 均可以支持豐富的組播協(xié)議，包括 ICMP、 PIM－ SM、 PIM－ DM、 MSDP等組播協(xié)議，可支持豐富的業(yè)務(wù)，包括視頻點播、流媒體點播，可支持各種流媒體終端以及組播源的