【文章內容簡介】 通過核心層實現高速的數據流量運轉，又可以通過匯聚層將網絡拓撲結構變化隔離，控制流量和端口的收斂，同時在接入層提供強大的接入能力并支持豐富的業(yè)務特性。. 樓層交換機采用百兆電口/千兆光口的交換機樓層交換機選擇百兆鏈路還是千兆鏈路上行將直接關系到樓層接入設備結構和網絡交換層次結構的選擇。我們需要從三方面進行分析，帶寬角度、可靠性角度以及資源的充分利用。在帶寬方面，首先我們需要計算的是，在辦公網絡用戶并發(fā)通信高峰時間，每一個用戶可以獲得多大的骨干帶寬。需要說明的是，在衡量方式上，大型辦公網絡系統與小區(qū)寬帶用戶接入（上網）的收斂比計算存在本質上的區(qū)別，辦公系統用戶的網絡服務、互聯需要時間幾乎完全一致，即在8小時工作時間之內，所有用戶在線率在80％以上，所以，在計算辦公樓用戶可以獲得的帶寬時，我們需要嚴格保證即使在辦公高峰80％以上用戶并發(fā)通信時，系統仍然能夠保證當前要求以及今后開展業(yè)務的順利運行。在樓層交換機的選擇上考慮采用能提供千兆光接口交換機，主要是體現高帶寬、高安全的優(yōu)點：百兆到桌面一個最直接的優(yōu)點就是帶寬大。用戶的接入不再只是十兆帶寬，現在可以通過百兆直接接入網絡，提供10倍與原來的帶寬。有了高帶寬，應用業(yè)務的開展將更為方便與靈活，數據、語音、視頻等多種業(yè)務在新的高帶寬網絡中將得到充裕的帶寬保證。采用千兆上行接口的交換機，不同樓層間的用戶之間可以實現千兆交換，充分發(fā)揮網絡帶寬高的優(yōu)勢，開展多種豐富的IP網絡業(yè)務，包括數據業(yè)務、視頻業(yè)務等，屆時網絡帶寬問題得到徹底解決，用戶業(yè)務的開展將不比再為網絡帶寬不足問題精打細算。部分千兆上行接口可直接連接具有千兆光接口網卡的服務器或網絡設備，也可以預留給后期的網絡升級建設的需要。這樣提供了更高的靈活性和擴展性，使該網絡具有一定的前瞻性，能夠滿足不同時期網絡建設的要求。網絡整體安全性提高。通過三層到桌面的方式，整個網絡中將不再有二層報文，二層攻擊事件徹底杜絕，設備與設備之間的級連鏈路上將只有三層報文流通，極大提高了網絡帶寬的利用率與網絡的安全性。. 局域網交換機采用最長匹配、逐包轉發(fā)機制目前如“紅色代碼”、“沖擊波”等網絡病毒在進行攻擊時，基本上都是IP地址在同一個網段內遞減或遞增的方式，而目前大多數交換機都是采用逐個進行精確匹配，這樣的話在很短的時間內交換機CPU的占有率就會達到飽和，出現宕機甚至是死機的現象。而采用最長匹配、逐包轉發(fā)的方式，能夠有效的抗擊網絡“紅色代碼”、“沖擊波”等病毒的攻擊，更加適合大規(guī)模、多業(yè)務，復雜流量訪問的網絡。. 網絡安全隨著網絡技術的普及，網絡攻擊行為出現得越來越頻繁。通過各種攻擊軟件，只要具有一般計算機常識的初學者也能完成對網絡的攻擊。各種網絡病毒的泛濫，也加劇了網絡被攻擊的危險。目前網絡中主要使用防火墻來保證內部網路的安全。防火墻技術經歷了包過濾防火墻、代理防火墻、狀態(tài)防火墻的技術演變，但是隨著各種基于不安全應用的攻擊增多以及網絡蠕蟲病毒的泛濫，傳統防火墻凸顯其不足。因此在此次項目中采用的防火墻應具有高性能的包過濾功能、透明的代理服務、基于改進的狀態(tài)檢測安全技術、豐富的統計分析功能、多種安全保障措施集于一身，并且支持和交換機、路由器進行統一網管，輕松的滲漏進入網絡，和其他網絡設備共同構成立體的防御系統，為客戶打造一個用戶放心、管理員舒心的安全網絡。. 組網建議. 總體方案概述網絡帶寬設計原則：本著以用為主的設計理念，利用局域網高帶寬的天然優(yōu)勢，結合網絡安全第一的設計思路，辦公樓的局域網將采用萬兆核心，千兆匯聚，百兆三層到桌面的高帶寬、高安全性、高穩(wěn)定性網絡設計方案進行網絡部署。. 設備選用思路根據以上總體設計原則以及網絡設計原則來看，可以確定以下設備選用原則：178。 核心節(jié)點設計網絡中心的核心交換機是整個網絡的交換中心，同時也是整網（LAN）的路由中心，全網絕大部分第三層操作(數據轉發(fā)、服務器訪問、視頻會議等)都通過核心交換機集中進行，其有效性通過兩臺核心交換機全線速的多層處理性能以及未來骨干網的高帶寬（10GE）來實現保證。根據以上原則，新大樓局域網核心交換機采用S9512，兩臺S9512之間采用2個GE接口聯接，兩條GE鏈路之間的備份和負載分擔策略通過OSPF、BGP等動態(tài)路由協議實現。為了充分保障核心交換平臺的高可靠特性，每一臺S9512都配置了雙交換引擎和雙主控單元以及雙電源配置，規(guī)格指標達到電信級要求。178。 匯聚節(jié)點設計匯聚節(jié)點在網絡中起著承上啟下的作用，擔負著將接入網絡流量進行過濾，充分優(yōu)化網絡結構的作用。因此要使用業(yè)務特性豐富，轉發(fā)能力強的設備，并使用雙機備份，上行提供雙鏈路備份，以充分保證網絡的高可靠性。178。 樓層節(jié)點設計樓層交換機是每個樓層網絡的交換中心，由于每個樓層用戶之間也存在通過劃分VLAN實現隔離與互訪，而且第三層操作(數據轉發(fā)、服務器訪問等)也都會通過樓層交換機集中進行，所以樓層交換機除了具備三層功能之外，還必須具備先進的體系結構、大容量高密度端口線速交換、高可靠性設計、精細化用戶管理等特性，對于不同信息點數量的樓層分別可以采用相應的產品進行組網，既滿足業(yè)務需求，又節(jié)省用戶投資。結合本次各配線間信息點的分布情況，我們推薦采用華為3COM的S3652P，簡單介紹如下：H3C S3600系列交換機是華為3COM公司基于IToIP理念設計和開發(fā)的智能彈性以太網交換機。系統采用創(chuàng)新的IRF技術，在安全可靠、多業(yè)務融合、易管理和維護等方面為用戶提供全新的技術特性和解決方案，是理想的辦公網、業(yè)務網和駐地網的匯聚、接入交換機以及中小企業(yè)、分支機構的核心交換機。S360052PSI提供48個10/100BaseT以太網端口和4個1000BaseX SFP千兆以太網端口。178。 安全設備網絡安全已成為目前網絡建設的重點，對于防火墻設備在提供高性能的處理能力的同時，還要支持對外部攻擊防范、內網安全、流量監(jiān)控、郵件過濾、網頁過濾、應用層過濾等功能，能夠有效的保證網絡的安全；并需采用ASPF（Application Specific Packet Filter）應用狀態(tài)檢測技術，對連接狀態(tài)過程和異常命令進行檢測；同時提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網絡管理監(jiān)控，協助網絡管理員完成網絡的安全管理；根據不同業(yè)務的需要還需支持多種VPN業(yè)務，如L2TP VPN、GRE VPN 、IPSec VPN、動態(tài)VPN等，可以構建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形及多種隊列調度策略。根據以上原則此次選用SecPath F1000A作為網絡出口的安全設備。SecPath F1000A是華為3Com公司面向大中型企業(yè)用戶開發(fā)的新一代專業(yè)防火墻設備。SecPath F1000A防火墻充分考慮網絡應用對高可靠性的要求，采用互為冗余備份的雙電源（1＋1備份）模塊，支持交、直流輸入電源模塊；業(yè)務接口卡支持熱插拔，充分滿足網絡維護、升級、優(yōu)化的需求；支持雙機狀態(tài)熱備，支持Active/Active和Active/Passive兩種工作模式。提供機箱內部環(huán)境溫度檢測功能，并支持網管。178。 路由設備作為網絡出口的路由設備，在保證高性能路由轉發(fā)的同時，必須具備高可靠性。此次網絡出口路由器選用H3C AR46，H3C AR 46系列路由器是華為3Com公司面向企業(yè)核心、匯聚的多業(yè)務模型而開發(fā)的新一代智能業(yè)務路由器。此次使用H3C AR 46路由器高性能引擎主板ERPU，其包轉發(fā)率可達1Mpps，完全滿足性能要求。. 網絡解決方案辦公樓局域網網絡拓撲圖如下圖所示：CAMS服務器群網絡管理服務器核心機房S5600S3600S3600S3600S9500S3600S5600S9500AR4600F1000A相關網. 核心層核心層設備是大樓網絡的核心樞紐，應該選擇高性能、高可靠、高擴展性的核心以太網交換機，本次方案推薦核心采用兩臺S9512萬兆以太網交換機進行雙核心組網，這兩臺核心交換機并不是簡單的一主一備的關系。由于樓層三層交換機采取負載均衡雙接口分別接入到兩臺核心交換機上，所以兩臺核心交換機同時在承擔整個網絡的流量。這樣的組網方式可減輕一主一備模式下主核心交換機的承載壓力，降低了對每臺核心設備業(yè)務轉發(fā)性能的壓力。同時，由于樓層接入的三層交換機分主用和迂回鏈路分別接入到兩臺核心交換機上，所以每臺核心交換機在另一臺設備故障時，可承擔整個網絡的流量。避免了單點故障對整網的影響范圍，從而提高了整個網絡的安全性。兩臺S9512上共配置了24個千兆口，其中4千兆口個用于與匯聚交換機千兆級連、4個千兆口用于兩臺核心之間級連，并支持MPLS VPN功能，可以作為PE設備，并預留了多個個千兆口為備份或今后的擴容接口。為了充分保障核心交換平臺的高可靠特性，每一臺S9512都配置了雙交換引擎和雙主控單元以及雙電源配置，規(guī)格指標達到電信級要求。產品特點1. 基于ASIC的高性能業(yè)務線速的MPLS業(yè)務處理：H3C S9500系列支持分布式的MPLS業(yè)務，分布在接口板上的ASIC芯片直接完成MPLS標簽的線速處理，不存在集中式處理的瓶頸，MPLS性能業(yè)界最高。與其他集中式的MPLS設備相比，S9500保障了大業(yè)務量時MPLS的高可用性，持續(xù)保護用戶投資。線速的IPv6業(yè)務處理：H3C S9500系列支持分布式的IPv6業(yè)務，分布在接口板上的ASIC芯片支持對IPv6報文的線速處理，用戶通過升級操作系統可實現基于ASIC的全線速IPv6轉發(fā)，極大保護用戶投資，適應網絡業(yè)務不斷發(fā)展的需求。大容量高性能路由交換：H3C S9500系列提供業(yè)界領先的交換能力，三層包轉發(fā)能力高達857Mpps。2. 融合的網絡安全特性集成的安全特性：H3C S9500系列支持集成的防火墻模塊，可以將防火墻的保護功能擴展到交換機的每個端口；支持集成IPSec模塊，提供安全的互聯網VPN接入服務；支持端口鏡像和遠程端口鏡像，將有安全隱患的報文鏡像到分析端口，并通過與IDS聯動及時阻斷攻擊。設備自身的安全特性：H3C S9500系列采用“最長匹配、逐包轉發(fā)”模式，能夠抵御網絡病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報文的明文及MD5密文認證；支持IP、VLAN 、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報文抑制，有效控制ARP等非法廣播流量對設備造成沖擊；支持URPF，防止IP地址欺騙；支持報文安全過濾，防止非法侵入和惡意報文攻擊等。管理的安全性：H3C S9500系列支持IEEE 、AAA/Radius、HWTACACS，對用戶身份進行合法性認證；支持用戶分級管理，不同級別的用戶擁有不同的配置權限；支持安全的SNMPv3網管協議；支持安全的遠程登陸SSH V2；支持受限IP地址方式的Telnet登錄。3. 最長的網絡正常運行時間產品的無單點故障設計H3C S9500系列采用分布式體系結構，所有關鍵部件采用冗余設計，包括主控板、交換網、電源和風扇等；采用無源背板設計，避免機箱出現單點故障；所有單板支持熱插拔功能，并且對其它單板上運行的業(yè)務無影響。路由協議的高可靠保障H3C S9500系列支持OSPF/ISIS/BGP的優(yōu)雅重啟技術（Graceful Restart），可以實現用戶業(yè)務的不間斷轉發(fā)；支持動態(tài)路由協議、跨板端口聚合、虛擬路由冗余協議（VRRP）等保護機制，有效保證全網高速可靠運行。快速自愈的環(huán)網保護技術H3C S9500支持RPR（彈性分組環(huán)），RPR技術融合了SDH故障自愈的高可靠性與以太網的經濟性、高帶寬、靈活性、可擴展能力等優(yōu)勢，可以保障小于50ms的故障切換時間，音頻、視頻等實時業(yè)務不受故障影響。RPR技術為用戶提供了高可靠的多業(yè)務傳輸解決方案。4. 融合的多業(yè)務特性網絡業(yè)務分析H3C S9500系列通過高性能的網絡處理器實現對網絡業(yè)務的分析。支持VV8和V9多種日志格式，與XLOG日志審計系統配合，為用戶提供完整的網絡流量分析解決方案；支持向主、備服務器同時發(fā)送日志，防止統計信息丟失。網絡業(yè)務分析使原本不可見的網絡業(yè)務應用流量變得一目了然，進而可以幫助用戶及時優(yōu)化網絡結構，調整資源部署。高品質QoS特性H3C S9500系列支持完善的QoS功能，支持流量監(jiān)管，粒度可精細化到8Kbps；支持流量整形，可基于端口或隊列靈活設置；支持報文DSCP優(yōu)先級、IP優(yōu)先級、TOS優(yōu)先級、COS優(yōu)先級以及Exp優(yōu)先級的重置功能；支持報文重定向功能，可根據網絡流量狀況靈活配置報文的轉發(fā)路徑；支持多種模式的隊列調度機制；支持多種擁塞避免機制。定制的行業(yè)解決方案H3C S9500系列根據行業(yè)用戶的個性化需求，推出了多種新業(yè)務特性：支持Portal認證，使最終用戶無須安裝客戶端即可完成認證；支持對BT流量控制，防止P2P業(yè)務對出口帶寬資源的濫用；在校園網中對不同網段的流量區(qū)分計費，滿足教育用戶的需求；支持可編程的開放接口，可針對各行業(yè)客戶需求實現個性化的業(yè)務定制。. 匯聚層本次大樓的匯聚設備選用兩臺S5600C，并選用8端口千兆模塊對端口進行擴展，與接入設備連接。產品特點1. 大容量全線速的多層交換S5600系列交換機具有192G/240G的交換容量和66M/102Mpps的二/三層包轉發(fā)能力，支持所有端口線速轉發(fā)。設備最大提供24/48端口10/100/1000M電接口、32個SFP千兆光接口或2個10G接口，充分滿足客戶對高密度GE和萬兆上行設備的需求。設備具備強大的IRF堆疊擴展能力，極大的節(jié)省了用戶對設備的投資。2. IRF智能彈性架構技術S5600系列交換機采用創(chuàng)新的IRF智能彈性技術，與傳統組網技術相比，在擴展性、可靠性、整體架構的性能方面具有強大的優(yōu)勢，主要體現在三個方面；擴展性－IRF技術允許交換機利用互聯電纜實現多臺設備的擴展，最大實現8臺設備的彈性擴展；具有即插即用、單一IP管理，同步升級的優(yōu)點，同時大大降低系統擴展的成本?？煽啃裕ㄟ^專利的路由熱備份技術，在整個堆疊架構內實現控制