中型局域网组网技术建议书一

中型局域网技术建议书一 中型局域网技术建议书 目录 第 1 章 网络现状和需求分析 . 3 1.1 网络现状 . 3 1.2 需求分析 . 3 第 2 章 组网方案规划设计 . 3 第 3 章 设备选型 . 4 第 4 章 组网优势 . 10 第 5 章 配置清单 . 10 第 2 页, 共 11 页 中型局域网技术建议书 第1章 1.1 网络现状 网络现状和需求分析 根据项目实际情况描述 1.2 需求分析 1、总体接入信息点约 300600 个以内， 2、要求网络结构简洁，核心和接入层设备扩展性要强，骨干千兆链路，百兆接入 到桌面。 第2章 组网方案规划设计 本建网方案为扁平化结构设计，分为核心和接入两层架构设计。 1、核心采用 H3C 公司全千兆三层智能弹性交换机 H3C S5600 系列，以千兆双 绞线/光纤与接入交换机及服务器连接; 2、用户接入采用 H3C 公司三层智能弹性交换机 H3C S3600 系列，以千兆双绞 线/光纤上连核心交换机; 局域网结构如下图所示： 第 3 页, 共 11 页 中型局域网技术建议书 服务器 H3C S5600 中心机房 GE FE S3600 S3600 S3600 配线间 配线间 配线间 第3章 设备选型 核心交换机: 本方案选用 H3C S5600 全千兆智能弹性交换机。其是 H3C 公司为设计和构建高弹 性和高智能网络需求而推出的新一代以太网交换机产品。系统采用 H3C 公司创新的 IRF （Intelligent Resilient Framework，智能弹性架构技术，支持高达 96G 的堆叠带宽 和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中 小企业网核心。 前面板提供 24 个千兆 SFP 接口和 4 个 como 的 10/100/1000Base-T 自协 商以太网端口（RJ-45 连接器）,后面板提供两个固定的堆叠接口和一个扩展模块插槽， 扩展模块可选配 8 端口千兆 SFP 模块、1 端口万兆模块或 2 端口万兆模块。 大容量全线速的多层交换 S5600 系列交换机具有 192G/240G 的交换容量和 66M/102Mpps 的二/三层包转发能 力， 支持所有端口线速转发。 设备最大提供 24/48 端口 10/100/1000M 电接口、 个 SFP 32 千兆光接口或 2 个 10G 接口，充分满足客户对高密度 GE 和万兆上行设备的需求。设备 具备强大的 IRF 堆叠扩展能力，极大的节省了用户对设备的投资。 IRF 智能弹性架构技术 第 4 页, 共 11 页 中型局域网技术建议书 S5600 系列交换机采用创新的 IRF 智能弹性技术，与传统组网技术相比，在扩展 性、可靠性、整体架构的性能方面具有强大的优势，主要体现在三个方面； 扩展性IRF 技术允许交换机利用互联电缆实现多台设备的扩展， 最大实现 8 台设 备的弹性扩展；具有即插即用、单一 IP 管理，同步升级的优点，同时大大降低系统扩 展的成本。 可靠性通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平 面所有信息的冗余备份和无间断的三层转发，极大的增强了堆叠架构的可靠性和高性 能，同时消除了单点故障，避免了业务中断。 分布性通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份， 从而提高整个网络架构的冗余性和链路资源的利用率。 POE(Power over ethernet远程供电特性 S5600 系列交换机支持 PoE（Power Over Ethernet）功能，即可通过双绞线向远 端下挂 PD 设备（如 IP Phone、WLAN AP、Security、Bluetooth AP 等）提供电源，实 现对下挂 PD 设备远端供电，使设备安装简单而且节省空间。作为供电方 PSE（Power Sourcing Equipment）设备，支持 IEEE802.3af 线路供电标准，同时也可以兼容不符合 802.3af 标准的 PD（Powered Device）设备。交换机远端供电时每个以太网口向下挂设 备提供的最大功率为 15.4W。S5600 提供千兆电口上的 PoE 特性，能够充分满足未来技 术发展的需求，为千兆无线技术，语音技术的发展提供了支持。通过支持 POE 和 Voice VLAN 技术，S5600 系列交换机能够提供完美的数据和语音融合解决方案。 完备的安全控制策略 S5600 系列交换机支持 EAD（端点准入防御）功能，配合后台系统可以将终端防病 毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一 个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网 络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升 了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 支持集中式 MAC 地址认证和 802.1x 认证。 在用户接入网络时完成必要的身份认证， 还可以通过灵活的 MAC、 IP、 VLAN、 PORT 任意组合绑定， 有效的防止非法用户访问网络。 支持 DUD（Disconnect Unauthorised Device）认证，通过 MAC 地址学习数目限制和 MAC 第 5 页, 共 11 页 地址与端口绑定实现。支持用户分级管理和口令保护,支持MAC地址学习数目限制、MAC 地址与端口绑定、端口隔离、MAC地址黑洞;支持防止DoS攻击功能。支持QoS Profile功能。和802.1x认证功能相结合,可以动态的为通过认证的用户提供预先配置的一套QoS功能。用户在经过802.1x认证后,交换机根据AAA服务器上配置的用户名和Profile的对应关系,将相应的Profile动态下发到用户登录的端口上,为该用户提供量身定做的服务质量保证。支持SSH特性。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时,可以提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。高可靠性S5600系列交换机采用IRF技术组网后,能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份,极大地增强了设备和网络的可靠性,消除了单点故障,避免了业务中断。同时H3C S5600系列交换机不仅支持STP/RSTP生成树协议,还提供了基于多VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持等价路由实现上行路由的冗余备份和负载分担。采用交、直流双输入电源模块供电,也可以通过更换电源模块来支持PoE功能,提供所有固定端口的PoE满负载。丰富的QOS策略H3C S5600系列交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP 地址、端口、协议的L2L7复杂流分类;每端口支持100个流规则,整机支持3200/5600个流规则,充分保障了复杂网络对于QoS规则的要求。提供灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority、WRR(Weighted Round Robin、SP+WRR三种模式;支持8个优先级队列。支持CAR(Committed Access Rate功能,可以实现基于端口和基于流的速率限制,限制的粒度可以精确至64Kbps,为网络带宽的精细化管理提供了手段。多样的管理方式H3C S5600系列交换机支持CLI(命令行、Telnet、Console口配置,支持华为3COM的Quidview、iManager网管系统,支持WEB网管,使设备管理更加方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。接入交换机:本方案选用H3C S3600系列智能弹性以太网交换机,其是H3C公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。系统采用H3C公司创新的IRF(Intelligent Resilient Framework,智能弹性架构技术,将多台分散的设备组成统一的交换矩阵,非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。H3C S3600系列交换机具有32G的背板交换容量,支持所有端口线速转发。系统能够提供4个GE,百兆可以提供24电口/24光口/48电口三种方式。满足各种形式接入组网的需求。H3C S3600系列交换机分为SI和EI特性版本。SI版本支持高级Qos、ACL功能、基本三层路由(静态/RIP和IRF基本功能(单一IP管理,EI版本支持更加丰富和完备的企业特性,包括基于硬件的IP单播路由、组播路由和全部的IRF特性。z弹性扩展技术-IRFH3C S3600系列交换机采用华为3COM公司创新的IRF( Intelligent Resilient Framework智能弹性技术,与传统组网技术相比,在扩展性、可靠性、整体架构的性能方面具有强大的优势:扩展性IRF技术允许交换机利用互联电缆实现多台设备的扩展,最大扩展至384个10/100M端口;具有即插即用、单一IP管理,同步升级的优点,同时大大降低系统扩展的成本。可靠性通过专利的路由热备份技术,在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发,极大的增强了堆叠架构的可靠性和性能,同时消除了单点故障,避免了业务中断。分布性-通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。z完备的安全策略当前的园区网面临着越来越多的安全威胁和挑战,如何实现安全的接入控制,防止病从口入?如何对攻击源进行定位和反查?如何监控网络中的各种流量并进行分析控制?H3C S3600系列交换机在安全策略方面为用户提供全新的技术特性和解决方案。传统的802.1X认证方式只解决了用户的权限问题,对用户终端的安全状态无能为力,病毒可以通过合法用户的感染终端进入网络系统和应用系统。H3C S3600系列交换机支持EAD(端点准入防御功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。传统交换机对端口的镜像功能都是基于本地实现,镜像数据流无法穿越网络在核心实现统一采集集、监控和分析;H3C S3600支持跨交换机的远程端口镜像功能(RSPAN,可以将接入端口的流量镜像到核心交换机(例如S9500/7500上,在核心上启动网流分析(Netstream功能,配合XLOG系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。传统行业和园区网采用DHCP技术后极大简化了网络地址的分配和管理。但同时,在一个不安全的园区网中(如校园网,存在恶意地址欺骗、擅自修改IP地址、私设DHCP Server等安全事件和隐患。H3C S3600系列交换机提供DHCP Snooping(侦听功能,通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息,解决了 DHCP用户的IP和端口跟踪定位问题。同时对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址的报文直接丢弃,保证DHCP环境的真实性和一致性。同时利用DHCP Snooping的信任端口特性可以保证DHCP Server的合法性。z多业务融合能力按业务类型大致分成数据、语音、视频、多媒体等,不同的业务对基础网络的要求,比如带宽、优先级、延时、端到端的QOS保证等,如果这些都需要手工进行设置和调整,那么网络的适应能力无从谈起,因此IToIP的基础网络应该是对业务变化自动感知和自动适应的系统,对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。例如对于语音业务来说,大量的IP PHONE的部署需要配置和远程供电,H3C S3600系列交换机通过支持Voice VLAN技术和智能POE技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。Voice VLAN技术是指交换机通过识别端口的语音流,将对应的接入端口加入Voice VLAN(专用语音VLAN中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性,只允许语音流量通过,可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。PoE(Power over Ethernet技术是指通过以太网对所连接的设备(如IP Phone, Wireless AP等进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。PoE技术符合802.3af标准,通过以太网电口对外供电,采用数据线提供-48V直流电源。当PD设备插到端口上后,交换机将自动对PD设备进行检测,进行功率分类,并根据当前剩余电源、端口供电优先级的配置、端口最小功率配置等参数,决定是否对此设备供电以及分配功率。通过PoE技术和Voice VLAN技术的结合可以提供完整的语音设备管理方案。z高可靠性设计H3C S3600系列交换机除了支持高可靠性的IRF技术以外,还支持传统的STP/RSTP/MSTP二层链路保护技术,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓扑结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持ECMP(等价路由,通过配置多条等值路径实现上行路由的冗余备份和负载分担。采用交流/直流双输入设计,设备既可以采用交流电源输入,也可以直流电源输入,二者之间热备份。z简单易用的管理维护H3C S3600系列交换机支持VCT(Virtual Cable Test电缆检测功能,便于快速定位网络故障点。支持DLDP(Device Link Detection Protocol,设备连接检测协议,可以监控光纤的链路状态。如果发现单向链路存在,DLDP 协议会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。支持SNMP V1/V2/V3,可支持Open View等通用网管平台,以及Quidview网管系统。支持CLI命令行,Web网管,Telnet,HGMP集群管理,使设备管理更方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。第4章第5章组网优势本组网方案核心和接入交换机均支持IRF智能弹性堆叠技术,具备以下组网优势: 1、可管理性IRF技术真正的即插即用支持、单一 IP 地址管理、单步骤软件升级以及通过 SNMP、Web 界面和 CLI 进行的架构范围配置,所有这些功能都简化分布式架构中的设备管理。2、高性能第三层交换IRF分布式架构能够利用所有交换机的第三层交换功能提供更高的性能和可扩展性,而避免管理多台独立三层设备的复杂性。3、分布式链路聚合可跨分布式架构中多台交换机的端口配置一个聚合链路,能对布线间进行双重双核心上连,从而提高整个网络骨干的可用性和性能。配置清单产品型号 产品描述 数量核心层交换机H3C 5600-26F配置S5600-26F主机一台,配置千兆多模光纤模块12块中型局域网技术建议书 H3C S5600-26F 以太网交换机,24 GE SFP,4 个 combo LS-S5600-26F 10/100/Base-T,自带两个堆叠口,1 个模块 插槽 LSHM1GP8P3 SFP-GE-T SFP-GE-SX-MM850-A 1 H3C S5600 功能模块8 端口千兆 SFP 转接板 电模块-SFPGE-(RJ45 光模块-SFP-GE-多模模