【正文】 換機失敗，服務器就會因為默認網關不可用而不能與其它 IP 子網的 PC 通信。 EAPS 與目前的其它以太網的保護技術比有以下的明顯優(yōu)勢： ? 基于標準的以太技術，不需專有的硬件； ? 支持高帶寬連接（ 1G~10Gbps） ? 50ms 切換時間，滿足嚴格的實時業(yè)務通信要求； ? 實現(xiàn)成本低 綜合考慮， EAPS 并非所有廠家支持，在實際方案實施中，在全極進網絡設備環(huán)境下優(yōu)先選用 EAPS 技術，同時通過 STP/FSTP 與其它品牌交換機互聯(lián)互通，提供二層冗余中繼連接。 EAPS 實現(xiàn)基于 已有的硬件實現(xiàn)，能夠同二層交換機集成。 EAPS 技術是一種將以太網高效地運行在環(huán)形物理拓撲的解決方案。本文后面更加詳細地介紹了 ESRP，可以在純第二層環(huán)境中使用ESRP，或者與第三層交換一起使用 ESRP。這消除了冗余交換機 /路由器實現(xiàn)技術最常見的問題，即通常要求單獨的第二層和第三解決方案，如生成樹和 VRRP。基于這些原因， Extreme Networks 建議客戶采用其它技術提供容錯能力，如在相應的地方采用第三層路由協(xié)議、鏈路聚合或 Extreme 備用路由器協(xié)議 (ESRP)。此外，它沒有有效地利用帶寬，因為阻塞的鏈路不能用來承載流量。生成樹的主要局限性是收斂慢。在交換機啟動生成樹協(xié)議時，每個端口都處在下述兩種模式中的一種模式下，即轉發(fā)模式和阻塞模式?？梢曰诙丝?、第二層到第四層會話地址 信息或循環(huán)標準分布流量。這一特點同時提高了網絡的性能和可靠。鏈路聚合的主要優(yōu)點是，如果物理鏈路發(fā)生故障或從服務中移出，它可以提供不到一秒的超快速故障切換能力。 Extreme 的鏈路聚合基于的 標準。 極進網絡 交換機還包括多種增強了第二層 容錯能力的特性。在交換機組件發(fā)生故障或換機配置變化時，可帶電熱插拔的組件使得網絡仍能繼續(xù)運行。 ? 熱插拔： BlackDiamond 中的所有模塊，包括交換陣列，都可以帶電熱插拔。這種方法的優(yōu)點是，交換機一直使用備用交換引擎。由于交換引擎對交換機的運行非常關鍵，因此 BlackDiamond交換機設計了完全冗余的交換引擎。每臺 SummitRPS 可以為最多兩臺 Summit 交換機提供冗余電源支持。每個電源都擁有足夠的容量，可以為整個機箱供電，但在正常運行過程中，每臺電源都分別提供一半的所需電流。這種冗余性包括電源冗余和交換陣列冗余。 在此設計方案中，極進網絡針對物理層、第二和三協(xié)議綜合設計，為關鍵事務型應用同時提供了高度容錯的網絡所要求的硬件冗余和軟件智能。網絡還必須擁有智能，可以實現(xiàn)最優(yōu)的冗余組件利用率。通過消除單一故障點，絡設計人員可以為關鍵事務型應用構建高度容錯的網絡。即使在網絡組件發(fā)生意外故障，以及進行計劃內網絡升級和變動時，高可用性網絡都必須能夠保持正常運行。 網絡冗余設計 電子應用需求的高漲，要求網絡像公共交換電話一樣高度可靠。每個配備一兩口萬兆接口模塊，分別上聯(lián)至 兩個核心交換機，提供冗余的中繼連接。 通過 Extreme 公司的安全解決方案，可以為用戶提供一個比較全面的接入層控制解決方案。 ? 支持 ARP Disable Learning 功能。 ? 支持 MAC 鎖定和 MAC 限制功能。在避免了 IP 地址盜用出現(xiàn)的不 可管理性的同 時，還保證了只有合法用戶才能接入到網絡。 SummitX450 系列交換機與BlackDiamond8800 核心交換一致，采用模塊化操作系統(tǒng)和 LPM 最長匹配包轉發(fā)機制 ，從而大大提高了設備抗擊掃描攻的能力，解決了由于流表溢出導致CPU 使用率升高所帶來的問題。 Summit 系列交換機支持基于硬件的 ACL 處理方式，這樣可以在提供細致的安全控制的同時保證線速數(shù)據(jù)包的傳輸能力。 Extreme 公司的 summit X450 系列三層交換機是為了滿足高安全、多業(yè)務承載、高性能的網絡環(huán)境所開發(fā)的新一代三層智能交換機，具備傳統(tǒng)二大容量、高性能等優(yōu)點，同時還具有領先的安全特性，進一步加強了企業(yè)網絡對邊緣接入層面的安全控制能力。 這無疑給網絡的穩(wěn)定、可靠帶來一定的 隱患。 4) 如果使用二層設備，一些本來可以在本地路由的數(shù)據(jù)流量占據(jù)了寶貴的主干帶寬。另為，二層交換機僅支持二層的 優(yōu)先級，無法識別三層 IP 包中 的 QoS（ ToS 或IP DiffServ）信息，不能將二層和三層的 QoS 進行銜接，因此無法做到端到端的 QoS。二層交換機因為不識別 IP 層次的信息，所以也無法根據(jù) IP 地址或應用進行 QoS 方面的保護。此外，在二層交換機上無法阻止某 VLAN 中的非法 DHCP server 為其它主機分配非法 IP 地址。尤其是目前網絡病毒日益泛濫，可以說訪問控制列表的功能是必 不可少的。無須中斷設備的運行，即能完成系統(tǒng)軟件中某個功能模塊的升級。在無須整臺設備重新啟動的前提下，設備能夠自實現(xiàn)對故障進程的重啟動。 ? 進程和線程的自動重啟動。 ? 動態(tài)停止 /重啟模塊。 ? 無中斷軟件升級（ Hitless Software Upgarde）。通過使用模塊化多線程操作系統(tǒng) ExtremeWare XOS，BlackDiamond 8810 設備可以提供更多的可靠性、拓展性和安全性能力，如： ? 無中斷切換（ Hitless Failover）。確保無中斷運行 ? 具備天然預防新一類攻擊的能力 Extreme 公司的 BlackDiamond 8810 全新一代萬兆路由交換機采用新一代模塊化多線程操作系統(tǒng) ExtremeWare XOS。而 Extreme 的交換機采用最長匹配工作機制，其 TCAM 硬件交換內存 足以容納下所有的 FIB 轉發(fā)表項，任何數(shù)據(jù)包的轉發(fā)均可由 ASIC 在一個時鐘內找到轉發(fā)下一跳，而無需 CPU 的干預。因此 256K 被輕易突破。目的是隨可變的。其原因是網絡病毒的大量出現(xiàn)。比如同時訪問的目標地址不大于 256K，盡管在大多數(shù)情況下，目的地址少于256K。一般的捷徑式三層主機流轉發(fā)模式的工作機制是為每一個目的地址建立轉發(fā)表項，這些表項安裝在 CAM 中。 BD8810 具有以下特點： ? 10 槽機箱式交換機，模塊化全冗余設計，支持管理模塊、電源和風扇等關鍵部件冗余熱備份 ? 800Gbps 交換背板， 570 Mpps 的 Layer 2/Layer 3 線速交換能力。策略路由的示意圖如下所，實現(xiàn)兩個不同網段通過個不同的防火墻出口 SW 11 0 . 1 . 1 . 1AA目的網段 A1 9 2 . 1 6 8 . 1 . 01 9 2 . 1 6 8 . 1 . 01 9 2 . 1 6 8 . 2 . 01 9 2 . 1 6 8 . 2 . 0運營商 A運營商運營商 B運營商 網絡設備配置 1） 核心交換機 – BlackDiamond8810 配備兩套核心萬兆交換機，每套配置清單如下： 型號 描述和說明 數(shù)量 核心交換機 (一套 ) BD 8810 BlackDiamond 8810 10 槽機箱 (包括風扇盤 ) 1 BD 700W/1200W AC PSU BlackDiamond 700W/1200W 100240V 交流電源 3 BD 8800 MSM48 BlackDiamond 8800 管理模塊 2 BD 8800 Core License BlackDiamond 8800 ExtremeXOSTM 核心軟件證書 1 BD 8800 G48Ta BlackDiamond 8800 48port 10/100/1000BASET RJ45 1 BD 8800 10G4Xa BlackDiamond 8800 4port 10GBASEXFP(SR XFP required) 3 SR XFP 10GBASESR XFP, SC Connector 10 配置說明： ? 每套核心交換機配備 2 塊管理模塊和 3 塊電源模塊，全冗余熱備份 ? 每套核心交換機配備 3 塊 4 口萬兆模塊，其中 8 個萬兆口用于樓層交換機萬兆中繼， 2 個萬兆口用于兩臺核心交換機之間中繼互聯(lián) ? 每套核心交換機配備 1 塊 48 口 10/100/1000M 電口模塊，用于防火墻、網管工作站 和其它重要服務器接入，其中 4 個接口用于兩臺核心交換機之間中繼互聯(lián) ? 在完全滿足現(xiàn)有端口需求情況下，每套核心交換機尚剩余 4 個空槽，可用于將來擴展 2） 樓層接入交換機 – SummitX450e24/48p 根據(jù)樓層配線間設置，配備 8 套 SummitX450e24/48p 堆疊，每套配置如下 型號 描述和說明 數(shù)量 接入交換機 Summit X450e48p 固定式 48 口 10/100/1000BASET交換機，支持 在線供電，提供 4 個 miniGBIC 插槽 , 支持兩口萬兆模塊擴展， 1 個 AC 交流電源 ,支持外置備份電源 1 Summit X450e24p 固定式 24 口 10/100/1000BASET交換機，支持 在線供電，提供 4 個 miniGBIC 插槽 , 支持兩口萬兆模塊擴展， 1 個 AC 交流電源 ,支持外置備份電源 1 Stacking Cable, Summit UniStackTM 堆疊線纜 , 米 2 XGM22xf 兩口萬兆擴展模塊，提供兩個 XFP 萬兆接口插槽 1 SR XFP 10GBASESR XFP, SC Connector 2 配置說明： ? 每個堆疊配備一臺 48 口和一臺 24 口千兆交換機 ? 每個堆疊配備一個 2 口萬兆模塊，通過兩個多模萬兆光接口分別上聯(lián)兩臺核心，形成全冗余熱備的中繼連接 網絡交換設備選型 核心交換機 辦公樓計算機網絡骨干層主要完成樓內各接入層設備之間的高速數(shù)據(jù)路由轉發(fā)，以及與服務器群的高速互聯(lián)。為此可考慮啟用 BlackDiamond8810 的策略路由功能，定義策 略強制某一源 IP 地址流量只通過某個指定防火墻出口，不同的源 IP 地址段可設置不同的防火墻出口，從而近似實現(xiàn)負載均衡效果。 2） 策略路由式：上述常規(guī)路由的平均效果較好，但控制能力相對弱。當某個墻失效時，可自動將受影響的流量切換至其它正常工作的防火墻。 EAPS 技術可以在普通的 10M、 100M、 1000M 和 10G 以太網接口模塊運行，是目前業(yè)界最為領先的以太網通信保護技術，具有延遲小、可靠性高成本低等優(yōu)勢完B l a c k D i a m o 8 8 1 0S u m m i t450e 2 4 / 4 8 t 堆疊S u m m i t450e 2 4 / 4 8 t 堆疊S u m m i t450e 2 4 / 4 8 t 堆疊10G網絡中心各樓層接入I S P 1I S P 2I S P 3I S P 4防火墻全可以媲美 RPR 技術（ RPR 成本高昂），而且無須提供專用硬件接口，降低了成本（具體情況可參考網絡冗余設計章節(jié)）。其整體結構如圖所示： 我們 建議骨干層設置全冗余備份的雙核心節(jié)點，兩個核心間通過條萬兆中繼捆綁互連，每個樓層接入交換機堆疊通過兩條中繼鏈路分別上聯(lián)至個核心，從而形成全冗余的星狀拓樸連接，以提高網絡的健壯性實現(xiàn)鏈路安全保障。采用極進網絡的高端機箱式萬兆以太網交換機 BlackDiamond8810；匯聚層采用極進網固定式萬兆以太網交換機 SummitX450a 系列；接入層采用極進網絡的 24/48 口固定式可堆疊千兆 /百兆交換機，每個樓層配線間根據(jù)端口需求配備相應數(shù)量的接入交換機堆疊，每個堆疊通過千兆中繼接口就近匯集至 SummitX450 匯聚交換機，然后通過兩口上聯(lián)千兆 /萬兆中繼聯(lián)入核心。 在設備的可靠性、冗余性、可恢復和安全方面，除了與設備有關外與網絡的結構和規(guī)劃有密切的關系。通過擇合適的設備，定制相應的策略和配置才能夠達到并且更好地完成上面的要求。 7) 符合國家法律法規(guī)要求。 5) 方案選用設備成熟可靠，是廠家的主流產品兼顧技術先進性和品的成熟性，避免 采用廠家的實驗型產品和短期內快速升級的產品。 3) 方案設計要有高可靠性，具備容錯能力和最小網絡故障恢復時間。 總體設計思路 作為新大樓的網絡建設，我們從以下幾方面進行網絡建設的考慮： 1) 符合國際規(guī)范和標準，具有開放性，可以兼容現(xiàn)北電交換 設備和其它主流的其他網絡產品。 目前， IPv6 在我國的發(fā)展非常迅猛，因此，在構建辦公網的同時，需要考慮所選擇的設備對 IPv6 的良好支持。 因此在網絡設備的選擇上應該考慮優(yōu)先采用設備實性強，可擴展、升級，可在不淘汰現(xiàn)有硬件的條件下能夠升級支持未來新技術的產品。同時，新技術和新標準不斷出現(xiàn)，不但要求網絡設備能隨著技術的發(fā)展不斷升級，而且能夠最大限度地保護用戶投資。比如，網絡調試期間最消耗人力與物力的線纜故障定位工作，網絡運行期間對不同用戶靈活的服務策略部署、訪問權限控制以及網絡日志審計和病毒控制能力等方面的管理工作，由