四中下沙校区网络设计方案.doc

四中下沙校区网络设计方案主干网络是基于光纤的千兆网网络，通过光纤跳线把楼层交换机和主交换机相连，就能满足主干的千兆要求。主干交换机做为构建的一个核心部件，不但要承担内部日常信息交换任务，另外作为信息交流、资源共享以及进行远程多媒体教学的枢纽。因此主干交换机性能和可扩充性的高低在很大程度上就决定了网络的整体性能。作为一个网络中心，必须要承担日常访问的需要，随着今后两三年中，日常的访问次数和访问流量也就会呈现出爆炸性的增长，港湾bighammer6808骨干智能多层交换机作为港湾公司的一款顶级交换机，无论在背板容量还是在交换速率上都提供足够的余量以满足未来的网络需求，并且独有的多槽位机箱以及模块化的设计，为将来网络的扩充、或是实现必要的安全冗余都能提供多种可供选择的合理配置，256g的背板容量和170mpps的交换速率能够确保无论是在现阶段还是在今后很长一段时间内都能享用卓越的线速无阻塞交换性能。且能够做到任何端口之间的线速交换和路由。通过其802.1q和802.1d vlan协议，可以轻易地利用端口模块上qos和cos功能，划分不同优先级以达到最佳的网络效率。本方案中港湾bighammer6808骨干智能多层交换机配置一个主控板模块、一个24口sfp千兆光纤接口模块和一个2口gbic+6口千兆电口+48口百兆电接口模块，这些模块的每一个端口均支持第三层交换，其性能完全达到并超过了标书的要求，为今后校园应用的发展做了充分的准备。并且在港湾bighammer6808骨干智能多层交换机还预留有5个模块插槽，这主要是考虑到二期建设中网络中心可能扩容，并要采用室外光纤连接其它设备，同时随着以后信息量和利用率的增多，还需增加服务器，这些都需要额外的千兆连接。网络设计具体分析核心层分析目标：高速运送流量，主要工作是交换数据包。高可靠性及冗余性较高密度端口，直接连接接入交换机提供故障隔离具有迅速升级到10ge的能力较少的时延和好的可管理性良好的路由交换能力良好的区域汇聚能力核心层网络设备需要具有极高的二、三层的交换能力，能支持三层的线速转发；能支持万兆上行口及多千兆口绑定功能，以便校园网核心层设备升级。同时，支持远程telnet管理、snmp及远程开关交换机端口功能，仍然需要支持功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以热插拔和冗余热备份等特性，良好的ospf等路由协议的支持能力。由于骨干设备在网络中核心的位置需要高性能，所有的功能部件（电源、系统总线、处理器模块、网络接口模块等）均可以热插拔和冗余热备份等特性。完成网络骨干层高速数据交换、转发以及稳定性的要求。骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种业务的高质量传输，才能使网络不成为校园网业务开展的瓶颈。核心层采用港湾公司智能万兆多层路由交换机bighammer 6808，以千兆光缆接入各楼宇接入设备。bighammer6808具有大容量256g的交换容量，最多可以支持252个千兆端口或384个百兆端口非常适合于宽带网络的千兆业务集中。而且bighammer6808所有的业务槽位，不仅有高密度的端口接入同时采用了业界最为先进的分布式处理技术，每块业务板上都具有自己的高性能cpu作为数据转发引擎。同时，作为骨干核心路由交换机，6808的主控模块支持热插拔及热冗余，让整个设备更加稳定。bighammer6808的电源模块也采用2+1冗余。核心层交换设计核心层采用bighammer6808万兆骨干智能路由交换机。核心链路使用以太方式，运行errp或者802.1w（rstp）协议解决以太环路问题、链路的保护和快速收敛问题。核心层使用千兆光纤端口与接入层设备互连，接入层使用星型连接方式接入核心层。核心层设备性能设计第三代智能万兆架构设计，板间通讯带宽远远超过40g （板间可支持线速210g接口）。bighammer6808万兆骨干智能路由交换机支持10g以太网和10g广域网接口，256g大容量交换背板，并且背板采用无源背板技术，加上crossbar交换网架构，实现了核心设备的无阻塞交换特性，完全分布式交换处理能力有效降低核心设备的转发引擎处理压力，支持170mpps高速包转发，充分满足核心业务应用对高端骨干交换机性能的要求。针对此次项目要求，完全可以实现端口捆绑，例如ge整机支持32组，捆绑支持8端口/组；百兆端口支持6组/模块，每组最大8个端口；千兆电口和千兆光口可以混合捆绑。分布式l2/3/4层接口板处理应用流（视频、话音、数据）、重要用户的优先级，支持nat、mpls、vpn、策略路由等应用；支持基于端口、mac、vlan、ip、应用类型等多种qos；支持8个优先级队列和wred、wrr、pq、wfq、fifo等流分类、排队、调度和整形机制。赋予交换机高度的智能性，高效支持各种应用业务。68系列设备具有非常强大的acl功能，每8个百兆端口支持256条acl，每个ge口128条，单板最大支持3072（24128）条acl，业界领先。bighammer6808完全可以支持高达9k长度的jumbo frame（超长帧）。核心层设备架构设计 核心交换机背板技术决定了核心产品性能，当其用于网络核心时候甚至直接决定了全网的性能。其技术经历了四代的发展：（1）共享总线技术（2）共享内存技术（3）crosspoint架构（4）crossbar架构。crossbar架构采用无阻塞架构设计，完全解决了第三代技术所不能完全解决1，2代技术带来的csmacd冲突检测机制交换效率不高的弊端，目前国内外只有少数主流厂家才能实现自主研发该项技术，bighammer6808、6802等产品属于国内首家具备该项技术的专利产品；这样就从构造了一个良好的无阻塞网络平台，并提升了用户整体网络形象。核心层扩展性设计 bighammer6808整机可以提供252个千兆接口数量，336个百兆接口。港湾公司摆脱了困扰国内业界以久的单板千兆端口密度集成技术，因为早期国内许多厂家单板只能出4口最多8口的千兆端口数量，但港湾公司通过采用高密度大容量的hs3、crossbar无阻塞交换网架构、大容量的板间通讯带宽等技术一举解决此问题，单板最大可以支持32个全双工情况下的全线速转发，如果只考虑单双工下的线速转发，最大目前可以支持36个千兆端口的线速转发，整机最多支持252个千兆端口或336 个10/100tx+56ge，千兆端口密度技术在同类型产品中遥遥领先位置，保证了核心设备的扩展性，保证整体设备的高性价比。核心层可靠性设计主控引擎、交换引擎、电源、风扇、关键部件的支持冗余备份，尤其在支持bighammer6808设备的双机热备份vrrp协议时候表现优异，业界同类设备中测试切换不丢包，不会造成业务中断。全方位的对内容、设备、用户的安全保障，完善的acl访问控制策略的定制，防止非法内容的访问；广播包抑制及广播源定位功能，保障网络设备安全；ip+mac+端口绑定，支持端口反查技术，迅速定位非法用户，保证网络用户安全。核心层智能万兆平台设计即使在线速万兆接口的情况下仍能有效支持分布式l2/3/4层接口板处理应用流（视频、话音、数据）、重要用户的优先级，支持nat、mpls、vpn、策略路由等应用；支持基于端口、mac、vlan、ip、应用类型等多种qos；支持四个优先级队列和wred、wrr、pq、wfq等流分类、排队、调度和整形机制。赋予交换机高度的智能性，高效支持各种应用业务。核心层拥塞控制以及差异化服务hammer全系列交换机提供了很好的拥塞控制功能，支持半双工模式下的背压技术，和全双工模式下的ieee 802.3x流量控制技术，并且对每个端口的缓冲区都采用动态智能分配方式，智能排队技术，多达8个队列，可有效支持采用漏桶算法等提高拥塞控制管理的能力，其拥塞控制能力属于最新第三代智能万兆的第一款产品，远远高于业界同类型产品，能提供更好的拥塞控制功能。全线交换机可以统一部署针对每一类用户的服务策略，然后针对策略进行排队、处理、转发；多年来，qos一直是宽带网络的关键需求。带宽、延迟和延迟变化的需求都是广域网中优先考虑的内容，对于宽带接入网更是如此，能满足不同用户qos的需求，由于内部网和外部网应用的快速发展对整个网络提出了更高要求，端到端qos的重要性也在不断增长。qos可以保护关键任务应用免受多媒体、网络广播及实时视频服务等需要极大带宽的应用的干扰。港湾网络宽带操作系统hammeros软件中的qos机制可以帮助网络对各种网络应用和信息类型进行控制和服务。hammeros软件的部分关键qos功能包括但不限于以下：1、加权随机早期检测(wred)：避免网络流量的振荡。网络管理员可根据信息流量类型的不同而制订不同的red政策，wred可以在网络发生拥挤时对重要的信息类型给予优先处理，而对低优先级的数据，在拥塞发生前就有意的有控制的丢弃一些包。2、加权平衡排队(wfq)：wfq将信息包分成若干列或类别，然后对信息包的输出进行排程，以满足其带宽分配及延迟要求。weq类可根据ip优先权、应用端口、ip协议或引入接口进行指定。3、资源保留协议(rsvp)：应用可以使用rsvp对必需的网络资源进行动态的请求和保留，从而满足其特定的qos要求。通过代理rsvp功能，cisco的路由器可使用rsvp代表那些无rsvp功能的应用对资源发出请求。4、ip优先：通过使用现有的ip优先排队机制(如wfq,wred等)，ip优先信号在网络中区分qos。5、基于政策的路由选择(pbr)：pbr根据源地址和应用端口等标准为所选的信息包提供了定制的路由路径，并可经由ip优先权对信息包分类并作出标记，这使得主干网路由器可以在拥挤时给予其优先权。6、端口速率限止(car) 在相应端口设置car，可以较好地限止接入端的访问速率，使得网络中心带宽合理分配。具体讲，信息综合楼4楼计算机教室为网络中心所在地，在港湾bighammer6808骨干智能多层交换机上配置的sfp光收发模块，完全能满足目前本楼和各楼层之间千兆光纤连接和与服务器的千兆连接。在本楼层内我们又增加了 2 台港湾hammer3550-48千兆智能以太网交换机，在本机房内的港湾hammer3550-48千兆智能以太网交换机经过堆叠后将通过配备的千兆光纤模块和港湾bighammer6808骨干智能多层交换机上配置的sfp光收发模块相连，以满足主干千兆上联以及各信息点百兆到桌面的要求。如果在将来的建设中随着分机房的增加，可采用室外光纤使和光纤收发模块使的各楼与中心机房的港湾bighammer6808骨干智能多层交换机相连，并通过港湾hammer3550-48千兆智能以太网交换机或港湾hammer3550-24千兆智能以太网交换机配置堆叠模块很方便的再堆叠就能适应的新的变化，满足以后建设的要求，具有很强的灵活性。网络接入层分析将流量接入网络控制用户访问执行其它的边缘功能端到端的acl访问控制能力端到端的qos运营质量提供能力接入层在整个网络的边缘，学生通过接入设备接入网络。为保证整个网络安全高效的运行，作为网络的入口接入设备的智能识别是一项重要的功能。智能识别包括用户识别和数据业务类型识别。用户识别是为了保证网络的安全。业务类型识别是保证业务数据的分类，帮助网络对业务数据的服务质量。接入层交换机uhammer3550系列交换机具备极高的性价比，是高性能宽带ip局域网络首选的接入层产品，支持丰富的网络协议和完备的业务支持。一方面，可在接入层合理的对网络各层的广播进行抑制，有效减轻网络核心的不必要压力，以减少核心业务主机的数据包与广播包的碰撞产生的错误，这也是全方位提高网络的性能，更高效的利用网络的带宽的一个必要手段。另外，接入交换机需要支持网管的功能来满足整个网络的统一管理的需求。整个网络要达到管理用户的端口投入的成本是相对较高，但这一点对于大中型的网络很有必要，这样才让宽带ip园区网络具有可控制、可管理的能力，如果随着将来信息点逐渐的增多，网络逐渐的庞大以后，如果对用户端口状态不可预知，而且不可管理和维护的话，那对于网络的正常运行将是一个灾难，意味着所有来自用户端口的问题都不能快速的得到解决。因此，要降低接入交换机的网络管理成本势在必行，对网络管理港湾网络提倡应用集群管理的技术简化网络管理的复杂性，还节省了ip地址。可通过汇接交换机对接入交换机发命令来管理接入设备，这样简化了管理的流程也降低了网络管理的成本，充分体现网络的整体价值。接入层运营特性设计交换机局端控制和防范proxy，hub，而非简单采用客户端控制模式。uhammer3500系列交换机采用突破性的概念，业界首家实现交换机局端支持防范winproxy、winroute、sagent、ccprocy、sygate、wingate等网关型或者应用层的代理服务的特性，客户端完全做到零维护，客户端不需要运行后台程序，客户端不需要占用windows操作系统的cpu资源，突破了早期其他厂家防范proxy的概念，可以每年节省大量的看不见的收入损失。接入层广播风暴抑制设计uhammer3500系列交换机支持广播风暴抑制功能，能够针对交换机的每一个端口进行大范围的报文阀值的任意设置，从根本上杜绝了广播风暴的危害性。接入层病毒防范隔离设计 智能隔离病毒，智能隔离受感染主机的接入端口。例如uhammer3550系列交换机支持交换机防范病毒，而且较为重要的一个特色例如;355048下面挂了48个pc，如果其中一台感染了类似冲击波病毒的话，该pc是不会感染其他的47台机器的，完全可以提升学校网络的健壮性，提升学校网络的连续性和稳定性，可以避免大量的不必要的维护工作。接入层实现非法用户、黑客的准确定位设计当局域网出现非法用户或合法用户进行了非法操作时，传统以太网接入很难迅速定位这个用户。港湾公司提供了该项技术供选用用于追捕网络攻击者。随着技术的进步，出现了一种由认证交换机、802.1x认证协议和后台认证系统联合实现的用户物理定位技术。下图是港湾网络有限公司的实现方式描述。接入层联动安全设计港湾uhammer3550接入层交换机上可对任何ids设备开放网络管理方面的指令，每一个接入层的uhammer3550交换机都可听从入侵检测系统的关闭端口等指令，检测到安全事件的时候，入侵检测系统就可直接封堵或关闭某个pc入网的端口，有的放矢，而不会影响其他的正常用户使用网络。这功能是革命性的突破。ids作为网络安全系统必不可少的一部分，应用领域在迅速扩大，技术走向也日益明朗，从ids（入侵检测）向ips（入侵防御）发展成为必然，但目前并没有完善的ips解决方案和设备，而且可以预见ips的使用将大幅度提高网络建设的成本。因此，港湾网络认为，在ids向ips发展历程中，通过智能交换机对ids的补充，是一个非常实际而且不会给用户带来任何额外投资的理想过渡方案。接入层策略自动实施设计很多策略的实现如acl用户访问控制列表的配置、交换机端口和用户ip地址绑定等实施起来非常繁琐，耗费大量的人工，效率低下。为了降低网管老师的工作量，因此要求能够支持这些安全策略的自动实施。安全策略的自动实施主要通过802.1x认证系统与认证交换机配合实现。用户通过802.1x认证后，后台系统将用户的安全策略送给认证交换机，交换机无需人为干预，自动实施这些安全策略。接入层管理成熟度设计接入层面是直接面对最终网络用户的，一般来讲是网管管理的盲点和难点所在，根据港湾公司的网络经验分析，接入层存在通常两类并发的问题：（1）用户误报故障的大量浪费性工作量和网管人员人数的矛盾 ；（2）网络设备数量的巨大和网络管理手段成熟度的矛盾。基于此，港湾公司于2001年推出了端口环回的管理方式，以及配合交换机局端强控制和客户端零维护的管理理念，达到了一个较强的管理力度，和较成熟的管理模式。这样可以省去因为误报故障而带来的很多来校园内来往奔波之苦，端口环回原理如下图：具体设备配置： 信息综合楼信息综合楼分设备间在4楼杂务间，该分设备间里配置了 2 台港湾hammer3550-48千兆智能以太网交换机，并且还配置了千兆光纤接口模块和堆叠模块，完全能满足目前本楼信息点数量的要求。在本楼分设备间内的接入交换机堆叠后以千兆光纤上联核心交换机，以满足主干千兆上联以及各信息点百兆到桌面的要求。如果在将来的建设中随着分设备间开通的信息点数量增加，可采用堆叠方式进行扩容，满足接入点增加的需求。食堂食堂分设备间在1楼电脑机房内，该分设备间里配置了1台港湾hammer3550-24千兆智能以太网交换机和1台港湾hammer3550-48千兆智能以太网交换机，并且还配置了千兆光纤接口模块和堆叠模块，完全能满足目前本楼信息点数量的要求。在本楼分设备间内的接入交换机堆叠后由千兆光纤接口模块连接核心交换机，以满足主干千兆上联以及各信息点百兆到桌面的要求。如果在将来的建设中随着分设备间开通的信息点数量增加，可采用堆叠方式进行扩容。宿舍1宿舍1分设备间在2楼分配器内，该分设备间里配置了1台港湾hammer3550-24千兆智能以太网交换机，完全能满足目前本楼信息点数量的要求。在本楼分设备间内的接入交换机通过千兆光纤接口模块连接核心交换机，以满足主干千兆上联以及各信息点百兆到桌面的要求。如果在将来的建设中随着分设备间开通的信息点数量增加，可采用堆叠方式进行扩容，满足以后建设的要求，具有很强的灵活性。宿舍2宿舍2分设备间在2楼电视分配箱内，我们在该分设备间里配置了4台港湾hammer3550-48千兆智能以太网交换机与一台港湾hammer3550-24千兆智能以太网交换机，并且还配置了千兆光纤接口模块和堆叠模块，完全能满足目前本楼信息点数量的要求。在本楼分设备间内的接入交换机在通过堆叠后，以千兆光纤上联核心交换机，以满足主干千兆上联以及各信息点百兆到桌面的要求。如果在将来的建设中随着分设备间开通的信息点数量增加，可采用堆叠方式进行扩容，满足以后建设的要求。教学楼1教学楼1分设备间在2楼储藏室内，我们在该分设备间里配置了3台港湾hammer3550-24千兆智能以太网交换机，并且还配置了千兆光纤接口模块和堆叠模块，完全能满足目前本楼信息点数量的要求。在本楼分设备间内的3台接入交换机通过堆叠后，由千兆光纤上联，以满足主干千兆上联以及各信息点百兆到桌面的要求。如果在将来的建设中随着分设备间开通的信息点数量增加，可采用堆叠方式进行扩容，满足以后建设的要求。教学楼2教学楼2分设备间在2楼储藏室内，我们在该分设备间里配置了3台港湾hammer3550-24千兆智能以太网交