【正文】 . 網(wǎng)絡方案說明各接入層設備采用就近原則匯聚學生公寓組團學生公寓組團會澤院組團、工科教學組團、理科教學組團、學生會堂組團的6個匯聚點。 各功能分區(qū)的接入層相對獨立；216。在接入層設計時，應考慮以下幾點：216。 開放業(yè)務架構H3C S58系列交換機采用了H3C的開放業(yè)務架構（OAA），不僅可以提供傳統(tǒng)交換機的二、三層報文轉發(fā)的功能，而且可以集成包括防火墻，IPS，無線控制器等高性能多業(yè)務模塊，使S58交換機成為一個多業(yè)務的承載平臺。H3C S58系列交換機支持NetStream功能，以及SPAN/RSPAN/ERSPAN鏡像和多個鏡像觀察端口，可以對網(wǎng)絡流量進行分析以采取相應管理維護措施，使原本不可見的網(wǎng)絡業(yè)務應用流量變得一目了然，可以為用戶提供多種網(wǎng)流分析報表，幫助用戶及時優(yōu)化網(wǎng)絡結構，調整資源部署。 出色的管理性H3C S58系列交換機支持豐富的管理接口，例如Console、帶外網(wǎng)口、USB口，支持SNMPv1/v2/v3，支持Open View等通用網(wǎng)管平臺以及iMC智能管理中心。當網(wǎng)絡上承載多業(yè)務、大流量的時候也不影響網(wǎng)絡的收斂時間，保證業(yè)務的正常開展。此外整機還支持電源和風扇的故障檢測及告警，可以根據(jù)溫度的變化自動調節(jié)風扇的轉速，這些設計使我們這款盒式交換機具備了機柜式交換機的高可靠性。采用過流保護、過壓保護和過熱保護技術。252。H3C S58系列交換機提供增強的ACL控制邏輯，支持超大容量的入方向和出方向ACL，并且支持基于VLAN的ACL下發(fā)，在簡化用戶配置過程的同時，避免了ACL資源的浪費。252。252。分布性：通過分布式鏈路聚合技術，實現(xiàn)多條上行鏈路的負載分擔和互為備份，從而提高整個網(wǎng)絡架構的冗余性和鏈路資源的利用率。 智能彈性架構H3C S5800交換機支持IRF2（第二代智能彈性架構）技術，在擴展性、可靠性、整體架構和可用性方面具有強大的優(yōu)勢，主要體現(xiàn)在四個方面：擴展性：IRF技術允許交換機利用互聯(lián)電纜實現(xiàn)多臺設備的擴展；具有即插即用、單一IP管理，同步升級的優(yōu)點，同時大大降低系統(tǒng)擴展的成本。此外，該系列產品還可以提供靈活的千兆接入端口，可以提供16個千兆光接口或者電接口擴展模塊，單臺設備可以按需擴展至最多44個全線速轉發(fā)的千兆端口，滿足大型網(wǎng)絡匯聚或中小網(wǎng)絡核心對于光電混合配置的要求。 靈活的端口擴展能力隨著用戶端帶寬不斷提高，交換機需要提供更高的轉發(fā)性能和萬兆端口擴展能力。樓宇匯聚設備采用H3C S580032F三層千兆兆交換機。簡化了管理過程，降低管理成本，并可根據(jù)實際需求平滑擴容網(wǎng)絡容量。252。 多業(yè)務高可靠性運行H3C S7500E支持不間斷轉發(fā)和優(yōu)雅重啟，提供毫秒級的切換時間；支持等價路由，可幫助用戶建立多條等值路徑，實現(xiàn)流量的負載均衡及冗余備份；支持RRPP快速環(huán)網(wǎng)保護協(xié)議；支持SmartLink協(xié)議，保證雙上行網(wǎng)絡拓撲的業(yè)務毫秒級快速切換。 電信級高可靠性設計H3C S7500E采用無單點故障設計，所有關鍵部件，如主控板、交換網(wǎng)、電源和風扇等采用冗余設計；無源背板避免了機箱出現(xiàn)單點故障；所有單板和電源模塊支持熱插拔功能；H3C S7500E系列可以在惡劣的環(huán)境下長時間穩(wěn)定運行，％的電信級可靠性。 增強的ACL特性H3C S7500E系列產品支持強大的ACL能力：支持標準和擴展ACL；支持基于VLAN的ACL，方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL，滿足金融等行業(yè)訪問權限嚴格控制的需求。H3C S7500E既支持有線終端用戶的EAD，也支持無線終端用戶的EAD，能夠做到終端安全防范無漏洞。252。 三平面安全保障機制H3C S7500E提供完善的安全防護機制，可從控制、管理、轉發(fā)三平面全面保障網(wǎng)絡的安全：在控制平面，內置協(xié)議報文攻擊識別模塊，防止TCN、ARP等協(xié)議報文攻擊，OSPF/BGP/ISIS路由協(xié)議采用MD5驗證，防止非法路由更新報文導致的網(wǎng)絡癱瘓；在管理平面，SNMPv3網(wǎng)管協(xié)議，SSH V2，、AAA/Radius的用戶身份認證以及分級的用戶權限管理保證了設備管理的安全性；在轉發(fā)平面，支持IP、VLAN 、MAC和端口等多種組合精細綁定；支持uRPF單播反向路徑轉發(fā)，防止非法流量訪問網(wǎng)絡，采用最長匹配逐包轉發(fā)機制，有效抵御病毒的攻擊。 EAD端點準入防護技術H3C S7500E支持大容量的Portal認證功能，可以在數(shù)千用戶的局域網(wǎng)中做為EAD網(wǎng)關設備，為全網(wǎng)用戶提供EAD安全認證功能；可以在大中型的校園網(wǎng)中擔任匯聚/核心設備的同時，為學生宿舍區(qū)的認證計費提供Portal認證功能。H3C S7500E是業(yè)界最高密度的以太網(wǎng)無源光網(wǎng)絡（EPON）設備，單臺最大可接入10240個FTTH用戶；H3C S7500E是高可靠的EPON系統(tǒng)，采用分布式體系結構、模塊化設計，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，具有電信級可靠性。252。252。 全面的MPLS、VPLS業(yè)務能力H3C S7500E所有產品均支持MultiVRF特性，可以作為MCE設備使用；支持三層的MPLS VPN和二層的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用戶的管理和維護；與H3C MPLS VPN Manager配合，實現(xiàn)圖形化的MPLS部署與維護。 基于IRF2（第二代智能彈性架構）技術的虛擬化架構H3C S7500E面向數(shù)據(jù)中心技術的演進，推出了IRF2為代表的軟件虛擬化技術，提供多臺主機的協(xié)同工作、統(tǒng)一管理和不間斷維護功能；IRF2不僅成為數(shù)據(jù)中心交換設備高性能、虛擬化的關鍵技術，而且對于傳統(tǒng)企業(yè)網(wǎng)應用，IRF2所提供的高可靠性和無縫升級、擴展能力，也成為H3C用戶增值服務的重要組成部分。H3C S7500E符合“限制電子設備有害物質標準（RoHS）”，是綠色環(huán)保的路由交換機。. 設備選型區(qū)域匯聚交換機選擇高可靠，高性能的多引擎高端萬兆交換機——H3C S7500E系列，以保證校園網(wǎng)辦公教學的正常運行。. 設備間連接方式。l 安全部署采用安全交換一體化架構，學生公寓組團學生公寓組團會澤院組團、工科教學組團、理科教學組團、學生會堂組團匯聚交換機集成防火墻板卡，以便簡化網(wǎng)絡拓撲、減少網(wǎng)絡單點故障，提高安全處理性能，方便后期擴展。. 安全規(guī)劃l 為了防止各個部分之間非法訪問，導致竊取、破壞等攻擊，本次在匯聚層部署防火墻進行安全區(qū)域的隔離。區(qū)域匯聚交換機分別通過萬兆冗余鏈路接入到兩臺核心交換機，下行接入各個建筑單體的接入交換機，由于學生公寓組團1和2單個建筑信息點數(shù)量眾多，所以建議在學生宿舍每個建筑中部署2臺樓宇匯聚交換機，每臺配置雙電源，提高樓宇匯聚節(jié)點的可靠性。匯聚區(qū)是BBB大學YYY校區(qū)網(wǎng)絡承上啟下的關鍵，需要保證該層次網(wǎng)絡的可靠性。 在匯聚層實施功能區(qū)內、功能區(qū)之間的安全訪問策略。 本功能區(qū)VLAN 間的路由；216。 各功能分區(qū)IP地址或路由區(qū)域的匯聚；216。l S12500產品滿足材料環(huán)保與安全性的歐盟RoHS標準。系統(tǒng)支持風扇狀態(tài)監(jiān)控（轉速監(jiān)控、故障告警等）可以根據(jù)環(huán)境溫度、單板配置自動分區(qū)調速，降低設備功耗和運行噪聲，有效降低環(huán)境噪音并延長風扇壽命。l S12500風扇采用高效PWM調速風扇，支持無級調速。l 支持以太網(wǎng)OAM，提供多種設備級和網(wǎng)絡級的故障檢測手段。l 單板隔離功能，可以將指定單板從轉發(fā)平面中隔離出來，不再參與轉發(fā)平面的轉發(fā)，但被隔離單板仍在控制平面中，可對其進行管理操作。7) 全方位的維護檢測機制l 在線狀態(tài)檢測機制，通過專用的維護引擎，可以實現(xiàn)對設備的交換網(wǎng)板，背板通信通道，業(yè)務通信通道，關鍵芯片，存儲器等進行檢測。S12500每萬兆端口256MB Buffer，支持200ms突發(fā)流量，再結合分布式入口緩存機制，滿足大型數(shù)據(jù)中心高突發(fā)流量的需求。每個端口可以精確地對所有流向該端口的各個業(yè)務流進行精確的帶寬分配和流量整形，轉發(fā)平面的精確調度確保支持Ingress方向的分布式緩存，有效共享和利用分布在各線卡上的緩存空間，提供更好的緩存效果。l 支持海量的ACL規(guī)則，匹配長度多達80Bytes，且滿足全線速轉發(fā)；可以對各種L2/IPv4/IPv6/MPLS報文及其字段組合進行精細的安全接入控制。電源模塊N+M冗余。l 控制引擎和交換網(wǎng)板硬件相互獨立，實現(xiàn)控制平面和轉發(fā)平面的物理分離，控制引擎1+1冗余；交換網(wǎng)板8+1冗余；最大限度的提高系統(tǒng)的故障隔離能力和可靠性。4) 數(shù)據(jù)中心級可靠性保障l S12500提供專用FFDR（Fast Fault Discovery and Restore－快速故障檢測及恢復）CPU系統(tǒng)，專門用于BFD、OAM等快速故障檢測，并與控制平面的協(xié)議實行聯(lián)動，支持快速保護切換和快速收斂。l 獨立的控制引擎，提供強大的主控CPU系統(tǒng)，輕松處理各種協(xié)議報文及控制報文，并支持協(xié)議報文精細控制，為系統(tǒng)提供完善的抗協(xié)議報文攻擊的能力；l 獨立的檢測引擎，提供高可靠和高性能的FFDR（Fast Fault Detection and Restoration快速故障檢測及恢復）CPU系統(tǒng)，專門用于BFD、OAM等快速故障檢測，并與控制平面的協(xié)議實行聯(lián)動，支持快速保護切換和快速收斂，可以實現(xiàn)50ms的故障檢測，保障業(yè)務不中斷；l 獨立的維護引擎，智能化的EMS（Embedded Maintenance Subsystem嵌入式維護子系統(tǒng)） CPU系統(tǒng)，該CPU系統(tǒng)支持電源智能管理，可以支持單板順序上下電（降低單板同時上電帶來的電源沖擊，提高設備壽命，降低電磁輻射，降低系統(tǒng)功耗），設備在線狀態(tài)檢查。l 超高端口密度，單臺設備支持576個萬兆端口，滿足數(shù)據(jù)中心高密度萬兆應用的需求。l 基于100G平臺的多級交換網(wǎng)交換機，支持未來40GE和100GE以太網(wǎng)標準，充分滿足數(shù)據(jù)中心應用及未來發(fā)展需求。S12500是中國國內第一款100G平臺交換機，支持未來40GE和100GE以太網(wǎng)標準，整機可以提供576個萬兆端口，提供業(yè)界密度最高的萬兆接入能力；面對下一代數(shù)據(jù)中心突發(fā)流量，創(chuàng)新的采用了“分布式入口緩存”技術，可以實現(xiàn)數(shù)據(jù)在萬兆線速下的200ms緩存，滿足數(shù)據(jù)中心、高性能計算等網(wǎng)絡突發(fā)流量的要求；為了滿足數(shù)據(jù)中心級網(wǎng)絡高可靠、高可用、虛擬化的要求，S12500采用創(chuàng)新IRF2（第二代智能彈性架構）設計，將多臺高端設備虛擬化為一臺邏輯設備，同時支持獨立的控制引擎、檢測引擎、維護引擎，為系統(tǒng)提供強大的控制能力和50ms的高可靠保障。. 設備選型核心設備選擇多級交換架構的高可靠核心交換機——H3C 核心交換機S12500。單臺匯聚交換機雙萬兆鏈路接入兩臺核心，核心交換機與放置在相同核心機房的匯聚交換機采用多模萬兆互聯(lián)，與不同核心機房的匯聚交換機采用單模萬兆互聯(lián)。所以核心區(qū)只提供高速轉發(fā)功能，各區(qū)域間的訪問控制策略在各區(qū)域邊界（出口路由器或匯聚交換機）實施。l 本次需部署網(wǎng)流分析功能模塊，以便管理員能了解網(wǎng)絡真實運行情況，減少故障隱患，優(yōu)化網(wǎng)絡鏈路。. 安全規(guī)劃l 采用安全交換一體化架構，核心交換機應支持多業(yè)務安全板卡，以便簡化網(wǎng)絡拓撲、減少網(wǎng)絡單點故障，提高安全處理性能，方便后期擴展。為了簡化網(wǎng)絡部署，簡化網(wǎng)絡管理，并提高故障恢復的速度，核心和各個功能分區(qū)建議采用虛擬交換架構技術。兩臺核心設備互為備份，之間采用雙萬兆連接，區(qū)域匯聚設備雙歸屬上聯(lián)，其中任何一臺核心交換機或核心交換機上的板卡出現(xiàn)故障后，正常工作的核心交換機能夠立即接管故障核心交換機所有交換工作。. 網(wǎng)絡方案說明網(wǎng)絡核心區(qū)作為YYY校區(qū)整個校園網(wǎng)的數(shù)據(jù)交換核心，是BBB大學YYY校區(qū)應用系統(tǒng)可靠和高效率運行的基礎，因此建議在核心區(qū)配置兩臺吞吐量高、核心萬兆全分布式線速路由交換機，接入各個功能區(qū)域，下行萬兆光纖連接匯聚交換機，形成萬兆無阻塞線速轉發(fā)骨干網(wǎng)。 核心層不進行終端系統(tǒng)的連接；216。. 核心層設計核心層：提供高速的三層交換骨干。YYY校區(qū)校園信息網(wǎng)網(wǎng)絡拓撲示意見圖。此種組網(wǎng)方案的結構簡單，層次分明，便于管理；控制簡單，便于建網(wǎng)；網(wǎng)絡延遲時間較小，傳輸誤差較低。核心層主要承擔高速數(shù)據(jù)交換的任務，同時要為各匯聚節(jié)點提供最佳傳輸通道；匯聚層的主要任務是把大量來自接入層的訪問路徑進行匯聚和集中，承擔路由聚合和訪問控制的任務。本次BBB大學YYY新校區(qū)校園網(wǎng)采用星形網(wǎng)絡結構為主的三層結構（核心層、匯聚層及接入層）。OSPFv3的邏輯拓撲圖（AREA規(guī)劃）和OSPFv2可以完全不同。進行IPv4園區(qū)規(guī)劃時，同時需要考慮IPv6網(wǎng)絡應用。園區(qū)網(wǎng)絡高可用性可以通過設備自身的關鍵部件冗余、協(xié)議的不間斷轉發(fā)技術以及網(wǎng)絡拓撲的鏈路和設備冗余設計來綜合保證：l 設備的可靠：雙主控、雙電源l 網(wǎng)絡的可靠：關鍵設備雙歸屬、重要鏈路手工聚合、服務器采用雙網(wǎng)卡l 協(xié)議的可靠：VRRP、防火墻HRPl 架構的可靠：重要設備冗余部署、流量路徑合理規(guī)劃l 應用的可靠：服務器健康檢查l 建議接入交換機上沒有VLAN重疊的規(guī)劃，管理簡單，并能控制廣播域影響；l 利用MSTP多實例特性，合理規(guī)劃VLAN與實例映射關系，實現(xiàn)業(yè)務流量的負載分擔；l 規(guī)劃多個VRRP組，實現(xiàn)匯聚三層網(wǎng)關的備份和負載分擔；為防止錯誤的配置或連接形成端口自環(huán)，可在交換機下行端口上開啟loopbackdetection功能，發(fā)生自環(huán)時有多種處理模式可供選擇；l 在邊緣與PC或服務器相連的端口配成邊緣端口，并啟動BPDU保護，端口狀態(tài)快速轉換和不接收BPDU報文；l 為了避免交換機頻繁收到TC報文而去頻繁刪除MAC和ARP表項，繼而引起CPU繁忙業(yè)務中斷的情況，建議屆時在交換機上開啟TC保護功能；l 為避免整網(wǎng)收到搶根報文而引起網(wǎng)絡強烈震蕩，在根橋與其它設備相連的端口上開啟root保護功能；l 匯聚與接入層交換機相連的端口避免配置trunk all，只允許使用的vlan通過，各個雙歸屬環(huán)用vlan隔開，防止一個環(huán)上的廣播泛到另一個環(huán)上去；通過浮動靜態(tài)路由和虛擬交換機技術，可以方便的實現(xiàn)不同業(yè)務的鏈路分擔，例如學生宿舍的流量通過上行鏈路進入到一