高校网络系统解决方案.doc

校园网网络系统解决方案建议书（计算机网络系统部分）2007年2月目录方案摘要5第一部分 相关介绍61.1 友讯公司简介6第二部分 用户需求及分析142.1 用户现状及需求142.1.1 基本情况简介和现状142.1.2 网络信息点分布要求152.1.3 网络速率要求152.1.4 网络安全要求162.2 该系统网络设计原则162.3 需求分析172.3.1 关于网络结构选择172.3.2 设计一个更稳定的网络182.3.3 关于核心交换机性能要求 常见的核心交换机设计结构 阻塞与非阻塞配置(线速交换) 多层交换方式 交换机的系统容量 交换机的部件冗余 交换机的缓冲设计 交换机的设计寿命 核心交换机的性能需求222.3.4 关于接入设备的要求222.3.5 关于网络内数据流优化232.3.6 关于网络安全控制23第三部分 方案说明及设备清单243.1 网络设计说明243.1.1 网络结构的确定243.1.2 核心交换机的选型243.1.3 汇聚层设备选型273.1.3 接入层设备选型283.1.4 连接线路选择303.1.5 网络安全建议313.1.6 Internet的共享313.1.7 认证系统313.2 最终网络拓扑图323.3设备清单32第四部分 网络安全344.1 网络设备安全344.2 网络管理系统的安全354.3 网络业务的安全364.4 数据传输的安全374.5 接入用户的安全管理374.6 网络安全实施建议384.7 防病毒、黑客攻击38第五部分 相应的远程网管体系405.1 D-Link设备提供的管理模式405.2 本方案建议的最佳管理模式415.3 D-Link的网管软件41第六部分 认证计费系统506.1认证系统的实现506.2 认证解决方案516.3 客户端软件526.4 认证系统546.5 认证策略与实施流程546.6 与RADIUS对接方式55第七部分 整体解决方案的特点587.1 优秀的稳定性587.2 全网的高速转发能力587.3 完整的三层功能587.4 良好的网络隔离（防干扰）功能587.5 非常方便的可扩展设计597.6 良好的安全性和优良的病毒抑制配置597.7 良好的服务质量功能597.8 友好的管理配置界面607.9 良好的兼容性607.10 完善的产品系列，满足不同规模的场合607.11 强大的售后技术支持体系60第八部分 方案所选产品的优点618.1 DES-6500的性能优点618.2 D-Link DXS-3226GSR的性能优点618.3 D-Link DES-3526/3550的性能优点61第九部分 D-Link的服务体系639.1 售后服务体系639.2 换件维修库和备件库客户服务体系639.2.1换件维修库639.2.2 备件库639.3 系统升级和产品讯息服务649.4 培训649.4.1友讯网络网络大学简介649.4.2友讯网络网络大学培训体系65附录一 设备技术参数6610.1 DES-6500 机箱式三层交换机6610.2 D-Link DGS-3426 万兆三层交换机7210.3 D-Link DES-3526/3550 可堆叠交换机83方案摘要 本方案所涉及的产品为： D-Link DES-6500、DGS-3426、DES-3526、 DFL-2500、网管软件、认证记费软件 本方案的优势：1、 非常高的稳定性设计。2、 在完全满足用户需求的基础上，提供最高的性价比。3、 强大的数据交换能力和丰富的安全控制功能（ACL），保证数据的安全、快速传输。4、 组网方式灵活，可同时或分阶段进行，全局的IP规划策略。5、 统一的管理方式，保证设备配置的一致性。第一部分 相关介绍1.1 友讯公司简介国际著名网络设备和解决方案提供商友讯集团（D-Link），成立于1986年，并于1994年10月在台湾证券交易所挂牌上市，为台湾第一家公开上市的网络公司，以自创D-Link品牌行销电脑网络产品遍及全世界100多个国家。友讯作为居世界领导品牌的网络设备制造商，致力于局域网、宽带网、无线网、语音网及相关网络设备的研发、生产和行销。2002年全球营业额为6亿美元。在22个国家有100多个营销点，产品遍及百余个国家，拥有众多美国和日本的世界级影响客户，是世界前五大网络设备厂商之一。在日前商业周刊公布的最新IT百强排名中，在许多IT巨头排名大幅下滑的情况下，友讯集团（D-Link）却异军突起，从上次的第100名一举跃至84名，其“快速、创新、成本”的核心竞争力得到了充分体现。1994年，友讯进入中国大陆市场，自主主导D-Link在中国大陆的品牌经营。在广东东莞，江苏吴江设有制造工厂，在成都，北京设立了研发中心，并于2002年5月，开始实施将祖国大陆作为“Home Market”的“网络中国，纵横全球”战略。友讯（D-Link）设在东莞的工厂正在为D-Link全球市场供应着80%的产品。友讯在祖国大陆投资6亿元人民币的承诺不断得到落实：投资1亿元人民币用于在祖国大陆的技术研发；投资2亿元人民币用于在祖国大陆的营销和服务；投资3亿元人民币用于在祖国大陆的生产制造。在2002年，D-Link的销售业绩较去年同期增加了一倍，其中销售各类网卡达110万片，交换机以端口数计达240万口；就品牌知名度而言， D-Link品牌已经位于用户认知度和接受度前三名，成为大陆市场中最具影响力、美誉度的网络设备品牌之一。 经过多年的技术积累和市场经营，D-Link的全线网络产品正日益广泛地服务于大陆市场各行业的信息化建设之中。在中小企业网，政府，电信，教育，金融等行业，D-Link产品及解决方案正为国内的信息化建设发挥着积极的推动作用。 在中小企业网领域，D-Link凭借卓越的产品品质和出色的技术服务深得广大用户的信赖，成为首选品牌之一；在对产品品质要求严格的电信行业，D-Link专为电信行业用户需求特点量身定做的、具有“客制化”特点的一系列特色整体解决方案在全国电信行业得到了全面认可和成功应用，用户包括中国电信、中国网通、中国铁通和中国移动等运营商；作为全球第一家推出面向教育系统的“校校通”工程专用产品的厂商，D-Link凭借其在产品品质、技术研发、服务、性价比等方面贯有的优势和“定制化”的产品服务特色，一系列专为教育行业用户量身定做的交换机设备及特色解决方案在全国教育的信息化建设中得到了成功应用，并在迄今国内最大的教育采购项目天津市中小学信息技术教育的行业信息化配置项目采购中拔得头筹，独揽网络设备大单；连续两年入围北京市“校校通”工程并已完成北京市400所中小学校园网。D-Link曾经服务过的项目还有：国家计委方舟CPU网络工程全国18所重点学校校园网、广州“校校通”工程、西部大学校园网、复旦大学、天津大学、浙江大学、四川大学、河南登封教育城域网、青海教育城域网等；在电子政务领域，D-Link积累了丰富的行业经验，与相关政府部门建立了良好的合作关系并饱受好评，主要客户包括国家教委、钓鱼台国宾馆、江苏金税工程、四川省交通局、河南电力系统、北京石景山区政府，昆明市公安局等；在金融行业的拓展也初见成效，用户包括国家开发银行、湖南省建行和南京平安保险公司等。 随着Home Market 战略在大陆市场的全面深化，友讯网络（D-Link）已在北京，上海，广州等地设立了九大办事处平台，辖下300多家代理商队伍，为全国各地的用户提供全面、快速、积极、有效的技术支持和服务响应措施。随着网络设备技术的不断发展和普及，软性的服务支持显得越来越重要。在维修换货方面，D-Link承诺“随送随修，立等可取”，寄件送修方式保证24小时内完成。技术支持方面，保证随时随地服务，并实现多路互通，如技术支持热线、800免费电话以及网上全方面支持等等。在培训认证方面，D-Link认证与培训以完善的认证体系、真实的网络环境和经验丰富的培训讲师，来保证学员的培训质量，并为通过认证培训计划的学员颁发全球认证证书。D-Link认证与培训真实、完善、全面的培训认证体系，积极引导和培育着国内数据通信市场的美好未来。公司业绩报告员工人数超过5500人，其中一半以上是研发人员；软件开发早在2003年就已通过国际CMM-3体系认证及IS9001:2000标准认证。第二部分 用户需求及分析2.1 用户现状及需求2.1.1 基本情况简介和现状地域需求某高校是一所由广东外语外贸大学举办、国家教育部批准成立的、本科层次的独立学院，校园占地面积800余亩，现有校舍建筑面积10万平方米，建有教学大楼、实验大楼、行政大楼、学生公寓、教师公寓、图书馆（临时）、学生食堂与生活服务中心、田径运动场、足球场、篮球场、网球场、排球场等，拥有各类专业实验室和较完备的网络设施。要求主干千兆、百兆交换到桌面（或主干万兆、千兆交换到桌面），校园通过电信、网通与Internet连接。校园内实现网络办公，集数据、文本、图像、视频和音频为一体的综合传输平台。设置不同的子网，如教学网、教务子网、行政办公网、财务子网等，每个子网具有不同的访问权限。具体建筑分布如下图所示：2.1.2设计基本要求l 计算机网络布线系统是整个计算机网路的基础，要求该布线系统能够覆盖整个校园，提供主干1000兆、桌面100兆的网络速度。l 校园网工程共设18个分配线间，1个中心机房，分配线间通过光缆连接到中心交换机，参见网络拓朴图（附件2）。l 水平布线采用超5类UTP、STP或SCTP。l 网络布线产品必须为著名的统一品牌，并提供15年以上的质保。l 参考选型：IBDN、AMP布线产品（光纤除外，但光纤必须采用著名品牌）2.1.3信息点统计某高校校园网工程布置的信息点分基本要求和充分要求，具体如下：基本要求信息点统计：序号名称信息间及楼层明细要求数量小计备注1教工1#楼共5层，每层12套，其中8套二房一厅、4套一房一厅160602教工2#楼共6层，每层24间，共144间11441443教工3#楼共6层，每层8套，每套均一房一厅148484学生宿舍1#楼共6层，首层20间，26层均为25间，共145间21452905学生宿舍2#楼共6层，首层20间，26层均为25间，共145间21452906学生宿舍3#楼共6层，首层17间，26层均为22间，共127间21272547学生宿舍4#楼共6层，首层17间，26层均为22间，共127间21272548学生宿舍一区（未建）首层32间，25层每层31间，六层29间，共185间21853709学生宿舍二区（未建）首层31间，25层每层30间，六层28间，共179间217935810学生宿舍三区（未建）首层34间，25层每层33间，六层31间，共197间219739411学生宿舍四区（未建）首层33间，25层每层33间，六层31间，共196间219639212旧行政楼首层5间，二层4间，三层4间1131313教学大楼首层20间，二层23间，三层22间，四层22间，五层22间110910914实验楼首层9间，二四层均为11间，五层7间0490暂时不计算在内,预留光纤15行政楼首层10间，二层13间，三层11间，四层6套+3间（每套由院长办公室和休息间组成）1434316商业中心外租，饭堂三层为临时图书馆，一、二层为饭堂111预留光纤17新教学楼12层每层13间，35每层8间，每层另加两个办公室16060合计：3080注：整体采用超五类布线系统，楼层主干以六类线连接，楼宇间以单模六芯光纤连接。楼宇间距离以400米为单位计算。信息点按照65米的理论值计算。每栋楼宇设立弱电间。充分要求信息点统计如下：序号名称明细要求数量小计备注1教工1#楼共5层，每层12套，其中8套二房一厅、4套一房一厅2601202教工2#楼共6层，每层24间，共144间21442883教工3#楼共6层，每层8套，每套均一房一厅248964学生宿舍1#楼共6层，首层20间，26层均为25间，共145间61458705学生宿舍2#楼共6层，首层20间，26层均为25间，共145间61458706学生宿舍3#楼共6层，首层17间，26层均为22间，共127间61277627学生宿舍4#楼共6层，首层17间，26层均为22间，共127间61277628学生宿舍一区（未建）首层32间，25层每层31间，六层29间，共185间618511109学生宿舍二区（未建）首层31间，25层每层30间，六层28间，共179间6179107410学生宿舍三区（未建）首层34间，25层每层33间，六层31间，共197间6197118211学生宿舍四区（未建）首层33间，25层每层33间，六层31间，共196间6196117612旧行政楼首层5间，二层4间，三层4间1131313教学大楼首层20间，二层23间，三层22间，四层22间，五层22间210921814实验楼首层9间，二四层均为11间，五层7间0490暂时不计算在内,预留光纤15行政楼首层10间，二层13间，三层11间，四层6套+3间（每套由院长办公室和休息间组成）1434316商业中心外租，饭堂三层为临时图书馆，一、二层为饭堂111预留光纤17新教学楼12层每层13间，35每层8间，每层另加两个办公室260120合计：8705注：整体采用超五类布线系统，楼层主干以六类线连接，楼宇间以单模六芯光纤连接。楼宇间距离以400米为单位计算。信息点按照65米的理论值计算。每栋楼宇设立弱电间。根椐以上信息点的统计，交换机的布局如下：楼名配线间名称核心交换机汇聚层交换机基本要求交换机充分要求交换机教工1#楼配线间135教工2#楼配线间2612教工3#楼配线间324学生宿舍1#楼配线间411237学生宿舍2#楼配线间511212学生宿舍3#楼配线间611132学生宿舍4#楼配线间711132学生宿舍一区（未建）配线间811647学生宿舍二区（未建）配线间911545学生宿舍三区（未建）配线间1011750学生宿舍四区（未建）配线间1111749旧行政楼中心机房211教学大楼配线间1259实验楼配线间13暂时不计算行政楼配线间1422商业中心配线间1511新教学楼配线间1635总计28134343单模GBIC统计301614142.2 该系统网络设计原则该系统网络建设是一项大型网络工程项目，用户需要根据自身的实际情况来制定网络设计原则。在网络建设过程中，D-Link建议其遵循以下网络设计原则：1、实用性和经济性由于网络一次性资金投入大，设备折旧快，因此，在网络的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。2、先进性和成熟性当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求网络建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。建成的网络具有良好的性能，不仅能满足近期内计算机数据通信的需要，还要能适应将来多媒体通信的需要。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保网络络能够适应将来网络技术发展的需要，保证在未来几年内占主导地位。在保证数据传输和处理准确快速的同时，注意充分利用现有的资源和设备。3、可靠性和稳定性网络的安全可靠性体现在数据的完整性和网络设备的可靠性、冗余备份、容错功能、线路备份、完整的网络管理、全面的灾难恢复能力。在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。4、安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。5、开放性和易扩展性 开放性包括：l 布线系统与网络设备的开放性；l 网络协议，互连与互操作能力的开放性；l 网络管理的标准性与开放性；网络系统具有较好的易扩展性，既能满足近期信息管理需要，又能适应未来的网络技术的发展。为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。把当前先进性、未来可扩展性和经济可行性结合起来，保护以往投资，实现较高的总体性能价格比。2.3 需求分析根据客户的实际需求，结合D-Link对大型网络建设的参考建议，我们可以得出以下客户在设备上的性能要求：2.3.1 关于网络结构选择在网络结构的设计上，将采用传统的星型层次结构，整个网络主要分为三层：核心层、汇聚层和接入层。核心层交换机主要负责三层数据交换，将不在上面进行安全控制策略，以保证数据的无延迟转发；汇聚层和接入交换机负责部分安全策略控制，提供到PC的100M连接。这种网络结构的优点是：1、具有更好的拓展性；2、单一线路、端口故障时，不影响网络其他部分的正常运行；3、有效减短数据包的传递路径，使每两台电脑之间的传递路径都最短，提高传递质量；4、功能分工清晰，策略执行效率高；5、减少室外光纤布线的成本，减少室外光纤维护工作量；6、排除故障较为简单快捷，方便网管人员维护；2.3.2 设计一个更稳定的网络在大型的网络里特别是象学校这样的网络系统，网络的稳定性已经成为是否有效体现信息化工作、提高单位工作效率的一个重要因素。2.3.3 关于核心交换机性能要求网络主干设备即核心交换机的系统结构直接决定了该交换机的性能和功能水平。因此，深入了解设备的系统结构设计，客观认知设备的性能和功能，这对正确选择设备极有帮助，下面将从几个方面进行讨论。 常见的核心交换机设计结构随着网络交换技术不断的发展，交换结构在网络设备的体系结构中占据着极为重要的地位。为了便于理解，这里仅简述三种典型的交换结构的特点： 共享总线。由于近年来网络设备的总线技术发展缓慢，所以导致了共享总线带宽低，访问效率不高；而且，它不能用来同时进行多点访问。另外，受CPU频率和总线位数的限制，其性能扩展困难。它适用于大部分流量在模块本地进行交换的网络模式。 共享内存。其访问效率高，适合同时进行多点访问（MULTICAST）。共享内存通常为DRAM和SRAM两种，DRAM速度慢，造价低，SRAM速度快，造价高。共享内存方式对内存芯片的性能要求很高，至少为整机所有端口带宽之和的两倍（比如设备支持32个千兆以太网端口，则要求共享内存的性能要达到64Gbps）。 交换矩阵（Cross bar）。由于ASIC技术发展迅速，目前ASIC芯片间的转发性能通常可达到1Gbps，甚至更高的性能，于是给交换矩阵提供了极好的物质基础。所有接口模块（包括控制模块）都连接到一个矩阵式背板上，通过ASIC芯片到ASIC芯片的直接转发，可同时进行多个模块之间的通信；每个模块的缓存只处理本模块上的输入/输出队列，因此对内存芯片性能的要求大大低于共享内存方式。总之，交换矩阵的特点是访问效率高，适合同时进行多点访问，容易提供非常高的带宽，并且性能扩展方便，不易受CPU、总线以及内存技术的限制。目前大部分的专业网络厂商在其第三层核心交换设备中都越来越多地采用了这种技术。 阻塞与非阻塞配置(线速交换)阻塞与非阻塞配置是两种截然不同的设计思想，它们各有优劣。在选型时，一定要根据实际需求来选择相应的网络设备。阻塞配置。该种设计是指：机箱中所有交换端口的总带宽，超过前述交换结构的转发能力。因此，阻塞配置设计容易导致数据流从接口模块进入交换结构时，发生阻塞；一旦发生阻塞，便会降低系统的交换性能。例如，一个交换接口模块上有8个千兆交换端口，其累加和为8Gbps，而该模块在交换矩阵的带宽只有2Gbps。当该模块满负荷工作时，势必发生阻塞。采用阻塞设计容易在千兆/百兆接口模块上提高端口密度，十分适合连接服务器集群（因为服务器本身受到操作系统、输入/输出总线、磁盘吞吐能力，以及应用软件等诸多因素的影响，通过其网卡进行交换的数据不可能达到网卡吞吐的标称值）。 非阻塞配置。该设计的目标为：机箱中全部交换端口的总带宽，低于或等于交换结构的转发能力，这就使得在任何情况下，数据流进入交换结构时不会发生阻塞。因此，非阻塞设计的网络设备适用于主干连接。在主干设备选型时，只需注意接口模块的端口密度和交换结构的转发能力相匹配即可。当要构造高性能的网络主干时，必须选用非阻塞配置的主干设备。 多层交换方式众所周知，每一次网络通信都是在通信的机器之间产生一串数据包。这些数据包构成的数据流可分别在第3、4层进行识别。 在第3层（Network Layer，即网络层，以下简称L3），数据流是通过源站点和目的站点的网络地址被识别。因此，控制数据流的能力仅限于通信的源站点和目的站点的地址对，实现这种功能的设备称之为路由器。路由器在网络中占据着核心的地位。传统路由器是采用软件实现路由功能，其速度慢，且价格昂贵，往往成为网络的瓶颈。随着网络技术的发展，路由器技术发生了革命，路由功能由专用的ASIC集成电路来完成。现在这种设备被称之为第三层交换机或叫做交换式路由器。 第4层（Transport Layer即传输层，以下简称L4），通过数据包的第4层信息，设备能够懂得所传输的数据包是何种应用。因此，第4层交换提供应用级的控制，即支持安全过滤和提供对应用流施加特定的QoS策略。传统路由器具有阅读第4层报头信息的能力（通过软件实现），与第三层交换机（或交换式路由器）采用专用的ASIC集成电路相比，设备的性能几乎相差了两个数量级，因此，传统路由器无法实现第4层交换。 值得指出的是：网络主干设备的系统结构在设计上分成两大类：集中式和分布式。即便两者都采用了新的技术，但就其性能而言，仍存在着较大的差异。 集中式所谓集中式，顾名思义，L3/L4数据流的转发由一个中央模块控制处理。因此，L3/L4层转发能力通常为3M4Mpps，最多达到15Mpps。 分布式将L3/L4层数据流的转发策略设置到接口模块上，并且通过专用的ASIC芯片转发L3/L4层数据流，从而实现相关控制和服务功能。L3/L4层转发能力可达 40Mpps 至 100Mpps，甚至180Mpps。 交换机的系统容量由于网络规模越来越大，网络主干设备的系统容量也成为选型中的重要考核指标。建议重点考核以下两个方面： 物理容量 各类网络协议的端口密度，如千兆以太网、快速以太网，尤其是非阻塞配置下的端口密度。 逻辑容量路由表、MAC地址表、应用数据流表、访问控制列表（ACL）大小，反映出设备支持网络规模大小的能力（先进的主干设备必须支持足够大的逻辑容量，以及非阻塞配置设计下的高端口密度。） 交换机的部件冗余人们已经普遍认同处于关键部位的网络设备不应存在单点故障。为此，网络主干设备应能实现如下三方面的冗余。 电源和机箱风扇冗余 控制模块冗余 控制模块冗余功能应提供对主控制模块的“自动切换”支持。如：备份控制模块连续5次没有听到来自主控制模块的汇报，备份模块将进行初始化并执行硬件恢复。另外，各种模块均可热插拔。 交换结构冗余如果网络主干设备忽略交换结构的冗余设计，就无法达到设备冗余的完整性。因此，要充分考虑网络主干设备的可靠性，应该要求该设备支持交换结构冗余。此外，交换结构冗余功能也应具有对主交换结构“自动切换”的特性。 交换机的缓冲设计缓冲技术在网络交换机的系统结构中使用的越来越多，也越来越复杂。任何技术的使用都有着两面性，如过大的缓冲空间会影响正常通信状态下，数据包的转发速度（因为过大的缓冲空间需要相对多一点的寻址时间），并增加设备的成本。而过小的缓冲空间在发生拥塞时又容易丢包出错。所以，适当的缓冲空间加上先进的缓冲调度算法是解决缓冲问题的合理方式。对于网络主干设备，需要注意几点： l 每端口是否享有独立的缓冲空间，而且该缓冲空间的工作状态不会影响其它端口缓冲的状态。 l 模块或端口是否设计有独立的输入缓冲、独立的输出缓冲，或是输入/输出缓冲。 l 是否具有一系列的缓冲管理调度算法，如RED、WRED、RR/FQ、WERR/WEFQ。 交换机的设计寿命所选择的网络主干设备，其系统结构应能满足用户的功能需求，并具有足够长的技术生命周期。换言之，要避免通过硬件补丁的办法（不断增加新的硬件单元对系统结构中存在的不足进行补偿，或彻底更换新设备的方式），才能满足用户1至2年内不断增长的功能需求。 业界有很多设备的系统结构是第2层交换的设计概念，需要通过增加第3层的硬件模块才能实现第3层或第3/4层交换的功能，而且第3/4层数据包的转发能力远低于第2层交换的转发能力。另外，短期内还可能出现用新产品来替代原有产品的情况，这对用户的投资保护十分不利。 核心交换机的性能要求由于通常校园网络中用户数量较多、流量较大，并且目前千兆端口的成本已经非常接近百兆端口的成本，因此考虑到整个网络性能的提高和未来的扩展性，因此应该采用高性能的三层千兆交换机作为网络核心，并以其为核心建立千兆核心网络骨干，保证网络内所有网络功能模块数据的高速传送。核心交换机应该具有以下特性：1、强大的交换容量；2、强大的三层数据包交换能力和丰富的动态路由协议；3、较高密度的千兆端口，并提供千兆铜缆与千兆光纤接口的灵活选择；4、良好的端口扩充能力，方便未来网络的扩充；5、良好的监控能力，保证网络管理员能及时发现和快速处理故障；6、支持标准的802.1Q VLAN，配合接入交换机对网络进行分割；7、能提供冗余电源，保证避免单电源故障对网络的冲击；8、良好的QOS功能，更好的服务应用；234汇聚层交换机的性能要求1、单一交换机具备高密度端口，完整的10/100 Mbps，千兆铜缆及SFP光纎支持2、 提供10G上联，相当於10倍千兆端口的传输速度。3、 高容错星型堆叠架构4、 最大允许6台xStack交换机与主堆叠交换机进行堆叠，最大支持312个千兆端口(星型堆叠架构) 。5、 最大允许12台xStack交换机与主堆叠交换机进行堆叠，最大支持336个千兆端口(环型堆叠架构。6、 高堆叠带宽 120G(星型堆叠架构)/40G (环型堆叠架构) 。7、 支持RIP-1,RIP-2 路由协议，DVMRP，PIM Dense mode。8、 支持端口带宽控制及多层(L2,L3,L4)服务质量/服务类别（Qos/Cos）保障措施。9、 支持高级访问控制列表ACL及TACACS/ TACACS + 认证管理。10、 支持802.3ad 端口链路聚合11、 支持巨型帧12、 支持冗馀电源及生成树协议13、 单一IP地址管理，支持SNMPv.1, v.2c，v.3网络管理， RMON监控，Syslog，基于WEB的管理，Telnet，通过console口实现命令行方式2.3.5 关于接入设备的要求考虑到用户对网络的应用非常复杂，也容易不按照标准的网络操作方式使用网络资源，因此，以低成本的方式来加强对网络资源的管理，最有效的方式就是在接入层交换机来完成；作为直接面对用户PC的接入层交换机，需要特别完整的网络功能，其基本的性能应该是：1、 100M端口密度够高，1U机器应该至少能提供24个端口；2、 提供千兆上联端口，与核心交换机共同构筑千兆骨干；3、 提供对每个端口的完整控制，能够远程开关每个端口、修改端口的参数；4、 完全支持802.1Q VLAN标准，与核心交换机共同分割网络；5、 由于网络中可能会存在非法攻击和感染病毒，因此，接入层交换机应该具备强大的控制策略能力。6、 提供链路聚合功能，方便未来升级带宽；7、 用户端口隔离功能，合理阻隔用户群，防止网络用户之间的互相干扰，保证正常使用网络资源用户的权利；8、 良好的QOS功能，更好的服务应用；9、 支持组播，减少数据包对带宽的占用；2.3.6 关于网络内数据流优化1、 要防止广播风暴对网络的影响；由于用户数量较大，应用复杂，无可避免的会产生大量的网络广播数据，因此为了把网络划分为多个VLAN，这样可以有效减少广播和其他区域内部数据交换对核心网络的冲击。2、 减少组波数据对带宽的占用；由于可能需要大量的多媒体应用，这些应用对网络带宽的需求非常巨大，如果不合理配置交换机，将会导致网络的可利用率大大降低；在全网络中支持组播是解决组播数据对网络带款占用问题的最有效的方法。2.3.7关于网络安全控制网络安全机制主要负责避免网络中病毒、受外部黑客的攻击，同时，也要抑制内部顾客对网络的非法使用，建议的基本网络安全机制包括：1、 全网络的防病毒体系，保证及时发现在网络中的病毒；2、 接入层交换机上合理的ACL配置，保证顾客只能合法使用网络资源，同时也抑制部分病毒在内部网络的传播；3、 代理服务器/防火墙建立适当的安全策略，防止来自网络外部的攻击；4、 完善的设备密码管理机制，防止非管理人员接近、控制网络设备；综合以上分析，D-LINK将推荐使用D-Link DES-6500、DGS-3426、DES-3526、DFL-2500来构架整个网络。第三部分 方案说明及设备清单3.1 网络设计说明3.1.1 网络结构的确定这个方案，采用了单核心3层的设计思路，网络中分为核心层、汇聚层、接入层、服务器区及出口区。3.1.2 核心交换机的选型主干交换机采用属于第三层千兆以太网路由交换机，内部集成路由功能，具备高容量、无阻塞、优质的管理能力和可靠的多媒体支持等特点。将千兆以太网交换、快速以太网交换、以太网交换以及路由都集成到一个交换机中，使得交换机的功能十分强大。节点交换机和主干交换机之间通过千兆光纤连接。我们采用两台D-Link DES-6500为冗余主干核心交换设备，介绍如下：D-Link DES-6500交换机是采用当今最先进的ASIC技术设计的机箱式/模块化三层以太网交换机，主要面向IP城域网、大中型企业网及园区网用户，可作为企业的核心交换机或IP城域网区域汇聚层以及小区中心汇接交换机。D-Link DES-6500可轻松实现二、三层数据的线速转发，并具有完善的QoS、流量控制、路由、组播能力。能根据用户定义对数据包进行二至七层过滤，结合802. 1x认证协议，满足用户安全性需要。结合D-Link其它丰富的交换机、路由器等系列产品，可以为企业网、IP城域网提供低成本、高性能、扩展性强、管理简单的一体化解决方案。D-Link DES-6500具有如下特点：D-Link DES-6500交换机外形图高速可靠、扩展性良好背板交换带宽高达352G，二、三层转发速率140Mpps。支持庞大的地址容量表，二层MAC地址表为64K，并且提供特殊三层地址表算法，保证交换机不受病毒影响，完全满足大型网络环境的应用。提供8个业务插槽，可以根据实际组网环境需要选配各种业务模块，最多可以支持96个千兆光、电接口，各种模块可以混合组合使用，各种业务模块均支持热插拔，可方便、灵活的进行增减。支持全双工下的802.3x流量控制及半双工下的背压流控方式，完全实现无阻塞全线速交换。支持双电源冗余热备份，支持STP/RSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求。QoS 支持IEEE 802.1p、ToS、Diff-serv等协议标准 ，在QoS网络的边界可以通过源/目的IP地址，第四层TCP/UDP端口编号，协议类型，输入的交换机端口号等信息来对流的数据包进行标记,也可以在QoS网络域内对数据包重新分类，确保对每个包进行准确的标记。在QoS网络的内部可以根据DSCP或ToS值来转发各种对带宽有不同需求的流，根据数据流的需要可以分别采取EF或AF转发行为。64级的Diff-serv优先级，可映射到2个丢弃优先级，4个输出优先级队列，并可设置报文的802.1p的TAG标记来支持IEEE 802.1p的网络。支持PQ、WRR等队列调度机制，保证高优先级的数据优先转发，实时数据的快速转发，合理利用网络带宽，使得网络最优化运行。严格的优先级序列可以确保优先级最高的包优先获得服务，而不会导致性能上的降低。ACL可以通过源/目的IP地址，第四层TCP/UDP端口编号、协议类型、输入的交换机端口号等信息来对流进行安全访问控制（ACL），可以使网络在不同时段具有不同的访问控制行为， 可以实现避免一些大数据量的流在网络高峰期时影响网络性能。可以对每一个流设定访问权限，因此可以更精细地定制网络的访问方式，通过数据包的各种信息再配合802.1x的认证及校验机制来精确识别访问者的身份，从而防止非法访问通过粗粒度的安全访问设置漏洞而造成的损失。线速多层交换技术支持IEEE 802.1Q协议标准，IEEE 802.1Q GVRP动态注册的VLAN。每台设备通过划分VLAN来提高LAN的性能，从而完成更高级别的数据安全性。这保证了数据包只传送到特定VLAN中的工作站，在网络端口组之间创建隔离的冲突域，并减少广播传输。D-Link DES-6500交换机支持多种路由方式，可对各个VLAN间的数据进行线速路由，完好满足各个VLAN间通信的需求。D-Link DES-6500交换机支持静态路由、RIP v1/v2、OSPF等路由协议，采用专用ASIC技术保障实现三层全线速转发。D-Link DES-6500交换机支持多种组播协议，包括IGMP、IGMP SNOOPING，组播路由协议如DVMRP、PIMSM等，能够在组播环境中进行理想的交换，满足大型网络对多媒体业务应用的需求。VRRP虚拟路由器冗余协议D-Link DES-6500交换机全面支持VRRP虚拟路由器冗余协议，能提供双机路由热备份，创建冗余的故障恢复路由拓扑，保证终端用户与网络的联系可靠、稳定、不中断，进一步从软件和数据链路上保证了网络的可靠运行。Link Aggregation支持IEEE802.3ad链路聚合，可提供8组，每组28个端口；可为那些设备端口还有富余，同时又想提高网络带宽的用户提供最廉价的解决办法。通过Link Aggregation技术，可在交换机之间、交换机和服务器之间提供高速通道，突破网络瓶颈，同时可为网络提供冗余备份。强大、人性化的网管功能支持SHELL、TELNET、WEB、SNMP、第三方网管等管理方式，人性化的人机界面让网络管理员无须更多专门学习便可轻松操作，实现跨平台、规模化网络管理。内置的基于Web的管理软件，通过标准的Web的浏览器提供了便于使用的、基于Web的管理界面，可同时支持中、英文界面,适合不同习惯的网络工程师使用。简单网络管理协议（SNMP v1/v2/v3）和远程登录（TELNET）界面支持提供了全面的带内管理，以及基于命令行界面（CLI）的管理控制平台可以提供详尽的带外管理。或者通过D-Link D-Vision网络管理软件进行管理，可以为D-Link路由器、交换机提供一个通用的管理界面。强大的集群管理技术可以使用1个IP地址实现对多台交换机进行统一管理。内置的远程监控（RMON）软件代理支持四个RMON群组（历史，统计，警报和事件），可以改进通信流量的管理、监控和分析。 用户接入认证802.1x认证，基于时长、流量的灵活计费策略。采用业界先进的IEEE 802.1X标准，结合D-Link特有的专有技术，实现用户接入认证机制；配合D-Link的DRS-2000计费平台，为电信运营商在小区接入，有特殊安全需求的企业用户提供了一套优于PPPoE、Web认证机制的用户接入认证、计费综合解决方案。软件下载、指示灯丰富简单文件传输协议（TFTP）可以通过从一个集中地点下载软件升级，降低维护、管理成本。 每个端口具有多个LED，可以显示端口状态，数据收发，1000M指示，以及交换机状态LED，用于显示系统、冗余电源和风扇的运行情况等，从而提供了一个全面、方便、直观的指示系统，方便维护、故障判断。3.1.3 汇聚层设备选型汇聚层采用D-Link DGS-3426纯千兆可堆叠可网管交换机，24口 SFP + 4 口1000BASE-T Combo可网管堆叠千兆三层交换机 (可选购2口万兆上连模块)方便用户汇聚来自接入层的千兆光纤线路，并通过千兆线路连接到核心交换机上。准三层千兆堆叠交换机n 每台交换机有24/48端口n 4个千兆光纤SFP组合n 可选配23个10G上连的开放式插槽n 支持虚拟堆叠和高速物理堆叠n 标准三层性能：静态路由、多层ACL和QoSn 能预防恶意传输导至性能下降的攻击n 可选配802.3af以太网供电功能DGS-3400系列堆叠交换机作为下一代千兆交换机，其处理能力、灵活性、安全性、多层QoS和冗余电源支持等特性对中小型企业都是极佳的选择。DGS-3400系列堆叠交换机具有高密度的千兆端口桌面连接、SFP光纤连通，可选配的10G上连、标准的三层功能。这些访问层的堆叠交换机可与三层的核心交换机无缝集成，形成一个可提供高速骨干网和集中式服务的多层网络架构的一部分。无比的灵活性：DGS-3400系列中的任何交换机既可以作为独立设备运行，也可以作为堆叠网络的一部分运行。这些交换机可以通过内嵌的单一IP管理技术（SIM），形成一个虚拟的堆叠网络，所有堆叠内部的传输流量都通过传统的网络线缆，这样可以取消昂贵的堆叠电缆。取消了堆叠电缆，就消除了电缆距离的限制和物理堆叠的局限性。在一个虚拟堆叠中，它的堆叠设备可以放在网络中的任何位置，这样可以将单点失败造成的影响降到最小。冗余的环状堆叠功能：作为一种选择，用户可将选配的10G模块安装到DGS-3400交换机的开放式插槽上，来激活一个物理堆叠。一个堆叠最大可配置12台设备，或者576个千兆端口。用户安装一个还是两个单端口模块，这取决于将要运行的堆叠拓扑是线性的还是可容错的环状结构。每个堆叠端口可通过低损耗的同轴电缆提供20G的全双工传输，这样DGS-3400系列交换机不仅能提供较高的堆叠带宽，而且可以有效地控制成本，因为用户可以严格地按照每一个实际需求来添加端口。10G的单口XFP模块也能安装在任何开放式的插槽内，连接到服务器或者光纤骨干网。比简单的三层交换机更智能：DGS-3400系列交换机提供包括二、三、四层的多层访问控制列表、通过TACACS+和RADIUS服务的802.1x用户认证等, 构建一套完整的安全特性。另外提供的恶意攻击抑制能力和三层IPV4、IPV6静态路由特性增加了网络的性能和安全。内嵌的D-Link ZoneDefense技术可以让堆叠交换机和D-Link NetDefend防火墙完美结合在一起，形成一个全覆盖的、可管控的安全架构。安全性、性能、可用度：DGS-3400系列交换机提供广泛的VLAN支持，包括GARP/GVRP和802.1Q的VLAN等来提升网络的安全性能。强化的二、三、四层的QoS/CoS特性，在合理的优先级下，确保了包括VOIP、ERP、内部网络和视频会议等关键网络应用的执行。DGS-3400系列交换机提供了D-Link独特的安全警卫技术, 可阻止因蠕虫/病毒感染而产生的恶意数据流量攻击，故大幅提升交换机的可靠性、可服务性和可利用性。带宽控制技术可以灵活地为每个端口预设确保终端服务的固定门限值。对于一些高级应用，DGS-3400系列交换机可基于特定IP地址或协议服务类型进行带宽流量控制的微调。3.1.4 接入层设备选型节点交换机之间组成快速以太工作组网。节点交换机我们选用D-Link DES-3500系列交换机，介绍如下：D-Link DES-3500系列交换机是针对企业网中心LAN以及IP城域网小区汇接，以及高端口密度需求的桌面接入自行研发的高性能台式二层以太网交换产品。D-Link D