智慧园区网络系统设计方案

1、 智慧园区网络系统设计方案目 录 TOC o 1-2 h z u HYPERLINK l _Toc46866000 第一部分 项目背景 PAGEREF _Toc46866000 h 3 HYPERLINK l _Toc46866001 1.1 项目概述 PAGEREF _Toc46866001 h 3 HYPERLINK l _Toc46866002 1.2 设计依据 PAGEREF _Toc46866002 h 3 HYPERLINK l _Toc46866003 1.3 设计原则 PAGEREF _Toc46866003 h 4 HYPERLINK l _Toc46866004 第二部分

2、整体需求分析 PAGEREF _Toc46866004 h 7 HYPERLINK l _Toc46866005 2.1 需求分析 PAGEREF _Toc46866005 h 7 HYPERLINK l _Toc46866006 2.2 拓扑规划 PAGEREF _Toc46866006 h 8 HYPERLINK l _Toc46866007 2.3 设计思想 PAGEREF _Toc46866007 h 8 HYPERLINK l _Toc46866008 第三部分 园区网络设计 PAGEREF _Toc46866008 h 10 HYPERLINK l _Toc46866009 3.1

3、 园区网络设计概述 PAGEREF _Toc46866009 h 10 HYPERLINK l _Toc46866010 3.2 园区网结构设计 PAGEREF _Toc46866010 h 11 HYPERLINK l _Toc46866011 3.3 核心层设计 PAGEREF _Toc46866011 h 15 HYPERLINK l _Toc46866012 3.4 汇聚层设计 PAGEREF _Toc46866012 h 24 HYPERLINK l _Toc46866013 3.5 接入层设计 PAGEREF _Toc46866013 h 28 HYPERLINK l _Toc46

4、866014 3.6 外联设计 PAGEREF _Toc46866014 h 34 HYPERLINK l _Toc46866015 3.7 IP地址规划原则 PAGEREF _Toc46866015 h 36 HYPERLINK l _Toc46866016 3.8 路由协议 PAGEREF _Toc46866016 h 37项目背景项目概述公司成立于1983年，是一家在全球范围内提供显示解决方案和快速服务支持的创新型科技企业。公司制造基地分布在深圳、上海、成都、武汉等全国各地，同时，在美国、德国、韩国、台湾、香港等主要发达国家与地区设有全球营销网络和技术服务支持平台。而目前建设中的厦门天马

5、项目是厦门高新区着力打造千亿元光电产业集群、强化全国的光电显示产业集群试点基地的又一力作。针对其生产要求，结合我公司对于网络系统设计的理念和多年来在网络工程建设中的经验，以实现高可靠、高性能、可扩充为前提，遵循开放、标准、安全和实用的原则，追求网络性能的最佳化、合理化、节省费用，技术上的先进性与成熟性、实用性相结合，为厦门G6网络系统提供合理有效的解决方案，满足其办公需求，保证在未来的信息化建设中高效稳定运行。设计依据数据中心由于其特殊性，需严格遵循国家GB标准所定义的电子信息系统机房设计等相关规范数据中心设计规范GB/T50174-2014电子信息系统机房设计规范GB50174-2008智能

6、建筑设计标准GB/T50314-2006民用建筑设计通则GB50352-2005电力装置的继电保护和自动装置设计规范GB50062-92高层民用建筑设计防火规范GB50045-95民用建筑电气设计规范JGJ/T16-92建筑与建筑群综合布线工程设计规范GB/T50311-2000弱电系统技术要求GA/T367-2001(2005年版)公共安全工程技术规范GB50348-2004电子计算机房设计规范GB50174-93建筑物防雷设计规范GB50057-94建筑物电子信息系统防雷技术规范GB50343-2004工业与民用电力装置的接地设计规范GBJ65-83工业企业通信接地设计规范GBJ79-85

7、通信管道工程施工及验收规范GB50374-2006设计原则以安全、实用、冗余、先进、适应发展为总建设原则。1、实用性原则：以现行需求为基础，充分考虑发展的需要来确定规模。2、冗余性原则：特别注重网络硬件系统自身在突发事件时的可用性，以冗余备份的设计方式加以保障。在核心位置提供设备级冗余，在主干设备与汇聚设备之间提供可靠的线路及模块冗余，当其中一个部件因故障停止工作时，另一部件自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性和可靠性。3、安全性原则：安全性是信息化建设的基础保障。出于安全及保密因素，现在信息化建设工程对安全性有很高的要求。设计的过程中必须依据国家各种有关安

8、全法规政策，对硬件支撑平台的访问控制、在线监视、信息加密等方面进行完善考虑，在网络建构上根据功能划分相应的区域，使用如防火墙、入侵检测、信息过滤等手段，防止非法用户、非法信息及病毒的入侵和泄密事件的发生。同时还要在企业内部建立健全各种相关安全管理制度，确保全网的安全。4、先进性原则：系统采用国际上先进的前沿网络技术，满足今后一段时期的需要。5、可靠性原则：要保证系统运行可靠，极高的平均无故障时间和极短的设备修复时间。网络的运行必须保证相当高的可靠性，以满足工作及信息的安全与稳定。防止局部故障引起整个网络系统的瘫痪，避免网络出现单点故障。6、易维护原则：系统要易于管理、易于维护。网络需要很高的可

9、管理性，特别是在数据、视频等多业务的网络系统里，要使用可管理的网络设备，可以识别关键资源，根据流量状况以及网络性能配置阈值并为不同的应用提供不同的带宽，使所有的服务能够顺利完成。随着系统的投入运行和系统资源的不断增加，网络系统应具有很好的易维护性，使管理人员易于维护，减少不必要的额外劳动，提高工作效率。7、易扩展原则：设计过程中应当保证在用户业务量和业务类型的变化增长的情况下，硬件支撑平台能够方便的升级并扩展，网络可以自如地扩充容量，支持更多的用户及应用。网络平台设计时必须按照各种国际通用标准进行，以保证各种设备、网络的兼容通用，将来网络在实现扩容、升级时不会受到某些厂家专有标准的限制。网络结

10、构与网络技术的选择，要具有相当的前瞻性，以确保随着网络技术的不断发展，网络能够平滑地过渡到更先进的技术和设备，充分保障用户现有的投资和利益。整体需求分析需求分析根据前期和客户沟通汇总的需求，本次项目规划涉及网络包括：园区有线网络、园区无线网络、数据中心网络、管理控制网络、外联网络、互联网络等网络。按照模块化、层次化、区域化、可扩展的规划原则，厦门G6总体网络可进行以下模块化划分：园区网核心交换区域：VSS系统架构，高可靠性和提升网络性能;部署冗余无线控制器，实现无线快速切换园区网络接入区域：万兆光纤主干，通过VSS实现链路的捆绑，提高链路利用率，包括有线和无线接入方式.数据中心核心交换区域：V

11、PC+系统架构，高性能高扩展性数据中心主机接入区域：公司办公业务系统的各种服务器外联区域：双机SSL VPN终结设备，提供外联及接入的高可靠架构员工上网区域：链路负载均衡、防火墙设备整合应用。管理控制区域：管理控制区域，主要都由各种服务器系统组成，是整个网络运维管理的核心区域，网络管理系统、网络安全审计及授权系统、无线覆盖的管理系统、移动终端的认证管理系统等网络运维的管理系统均部署于该区域拓扑规划设计思想园区有线采用两种方案： 方案一：针对M3区采用两层架构，核心采用Cat6807交换机，接入层采用Cat6800ia交换机,实现即时接入。该接入交换机可提供48端口接入且最大24端口802.3a

12、t 30W供电能力。通过VSS+IA技术实现园区简化架构、提高转发效率的要求。 方案二：针对M4厂区由于受限于光纤等资源情况，需在M4楼部署汇聚设备；即采用传统三层架构方式园区无线采用CT5520作为无线控制器，接入层AP采用支持802.11ac的1700/2700系列。无线AP2702E可实现高密度无线接入。方案中采用FlaxConnect集中认证、本地转发模式。管理控制层使用Cisco ISE作为整网管理控制平台，Cisco ISE支持有线无线准入控制一体化。将无线访客网络通过Cat6807的VRF特性进行流量隔离，并指定网关至深信服AC。深信服AC上对此网段进行Portal认证，实现对无

13、线访客的Portal认证。园区网络设计园区网络设计概述 数据网络对于提高企业的生存能力和生产力至关重要。只有数据网络能够提供可靠的信息资源访问能力，员工在线支持工具才能发挥优势。 因为网络对于企业的运作和创新如此关键，所以能够不间断地通信和访问资源是提高员工工作效率的基础。随着网络日益复杂，以满足任意设备、任意连接类型和任意地点的需要，因设计不佳、配置繁复、维修增多或软硬件故障而导致的停机风险也在不断加大。与此同时，企业希望通过尽可能快速、高效地利用投资，来找到简化运营、降低成本和提高投资回报的方法。企业能够通过思科所设计的智能业务平台园区网架构，而从多方面受益：基于思科公认最佳案例降低部署标

14、准化设计的成本。多种园区网可扩展性设计模式，能满足各种规模、位于不同地点的企业的需求，且升级方便易行 。为有园区网连接需求的企业提供建立统一、稳固的园区网基础的重要法，可满足从只有几名联网用户的小型站点，到拥有多达几万名联网用户的大型站点的广泛需求。经过测试的有线和无线局域网连接集成解决方案，能够满足连接、移动和性能需求。以方便、安全、经济高效的方式，在企业办公地点为来访者和承包商提供访客互联网接入。通过正确使用网络设计、优化链路拓扑结构、平台特性和系统安全性，提供永续、高度可用的网络接入功能。精练、简化的设计选项，使得所有的IT人员都能部署和运行网络。园区网结构设计 依客户信息统计，本次项目

15、中园区网络包含有3771个信息点位，按15%冗余565个，接入点位按 4336个设计。为满足高密度的有线接入需求，在逻辑网络设计中，同样采用分层设计的思路，每一层的任务都集中在一些特定的功能上，推荐采用三层网络设计模型，将网络设备按照3个层次进行分组:核心层(corelayer)、汇聚层(distributionlayer)和接入(accesslayer)， 在此次系统设计中，我们采用分层设计方法，将网络的逻辑结构化整为零，分层讨论设计与实现的细节问题。将网络拓扑按照实际结构划分两种方案：其一为传统三个层次，即核心层、汇聚层和接入层； 其二采用IA架构方式。两种方案各有特色其中三层架构设计亮点

16、如下： 1、节约成本流量从接入层流向核心层时，被收敛在高速的链接上；流量从核心层流向接入时，被发散到低速链接上，因此接入层路由器可以采用较小的设备。在采用分层设计方法之后，各层次负责不同的数据传送，不再需要同时考虑同一个问题。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。 但需要注意在此项目内并不能展现出其节约成本优势。2、易于理解采用分成设计方法设计出来的网络拓扑结构层次结构清楚，结晰，可以在不同层次上实施不同难度的管理，降低了管理的成本。 3、易于排错层次模块化能够使网络拓扑结构分解成易于理解的子网结构，管理者能够更方便的确定网络故障的范围，从而更快的排

17、出网络故障。那么传统架构除了以上优点外也难免暴露了一些问题，如：传统园区面临的问题：管理和配置复杂每台交换机都是一个单独的管理节点，数据中心园区交换机可能多达几百台，管理和配置复杂，运维风险大楼主交换机到楼层之间普遍采用传统STP技术，二层域较大，很容易导致二层环路和广播风暴日常变更繁琐每一次的配置和变更都需要反复登录到不同的交换设备而针对以上这些问题往往新一代 IA 架构却能很好解决。 新一代园区架构如下图（VSS+IA 架构）：IA接入方案亮点如下： 单一节点：管理，配置，故障排查；大大简化运维管理 集中部署, 简便规划：VLAN、链路捆绑等, 消除环路 高容错能力：四引擎VSS SSO,

18、 FlexStack+多上联部署，大大提高可靠能力 灵活的基础架构：增加网络功能、统一服务、统一接入/核心设备功能根据集团实际情况建议才有两种方案混合方式。核心层设计 核心层是互联网络的高速主干，他的主要任务是交换数据分组，核心层的性能决定了整个网络的整体性能，因此核心层的设计成功与否关系着整个网络的成败。核心层设计原则 核心层的任务是在网络中的任意两个节点之间提供最优的传送路径，这两个节点可能在不同的子网中，因此，核心层需要提供最佳的路由选择。核心层的设计任务是高速的传输、冗余能力及可靠性，而网络的控制功能尽量不在核心层上实施。总体上说，核心层是所有流量的最终承受者和汇聚者，所以对核心层的设

19、计以及网络设备的要求都十分严格，核心层的设备也会占投资的主要部分。在进行核心层设计时，要注意以下几点:(1) 不要在核心层执行网络策略，尽量避免增加核心层路由器配置的复杂程度(2) 核心层所有设备应具有足够的路由信息，保证充分的可达性。但在设计时应考虑路径的聚合，聚合路径能够用来减少核心层路由表的大小，提高效率。(3) 为了保障核心网络的可靠性，通常核心层可以采用设备冗余、模块冗余和链路冗余来达到可靠性的目标。 核心层一般都是由高端三层交换机或路由器实现。对于大型的园区网或重要部门的局域网，为了保证网络的可靠性，核心层一般采用设备冗余技术，即多台核心交换机，它们互为备份，也可以实现负载均衡。当

20、网络很小时，通常核心层只包含一个三层设备，该设备与汇聚层上所有的设备相连。如果网络更小的话，核心层交换机可以直接与接入层交换机连接，汇聚层就被压缩掉了。单核心设计的网络易于配置和管理，但是其扩展性不好，容错能力差，所以在资金足够的前提下，可以充分考虑设备冗余，链路熔体，提高网络的健壮性和自愈性。本方案 采用新一代园区交换机C6800，满足集团未来3-5年的网络发展规模。Cisco Instant Access 即时接入解决方案 随着用户的网络需求由传统的基本联通到今天需要满足丰富的业务应用，网络的架构也在随之而创新改变。为了满足用户对网络既能支持丰富的业务，又能够简单化管理降低TCO的需求，思

21、科“即时接入”（Instant Access）解决方案应运而生，该解决方案使传统的三层网络架构简化为一层网络架构，网络管理员可以将园区网络中的建筑作为整合在一起的单一交换机看待，这样整个建筑可以被看做是单一的管理模块，极大地简化运维管理，减少TCO。该解决方案使思科创新的解决方案，极大地引领市场，区别于竞争对手。该解决方案的组成部分包括 Cisco Catalyst 6500 或 6800 核心交换机和 Cisco Catalyst 6800ia 系列交换机。可广泛应用在银行的园区接入，教育行业的教学楼接入，政府行业的办公接入等。CiscoCatalyst Instant Access 即时接

22、入解决方案包含 2 个部分，分别是：InstantAccess 父交换机：父交换机由运行在VSS模式下的1-2台 Cisco Catalyst 6500E 或 6800 系列（6807-XL或6880-X或6880-X-LE）机箱构成，对于6500E或6807-XL机箱，需要配置sup2T系列引擎及6904系列线卡，其中6904系列线卡可同时支持40G模式及10G模式（需配合CVR-CFP-4SFP10G）。6500或6800交换机需运行 VSS 或 VSS Quad-Sup SSO1 模式，而6904线卡需使用10G端口来连接6800IA客户端线卡，不需要连接6800IA的端口仍然可以工作在

23、40G模式下。 某些部署场景可能在核心层仅使用一台6500或6800交换机。在这种情况下，此交换机仍然需要在 VSS 模式下进行配置和运行，所有的功能特性与Standalone模式时基本一致。我们不建议在核心层仅部署一台6500或6800交换机来使用 Instant Access即时接入解决方案，因为双机VSS能提供更好的可靠性。如果已经进行了此类单机配置，建议在机箱中配置 2 个sup2T引擎(非必备)，以便可在其中一台管理引擎出现故障时提供引擎冗余。InstantAccess 客户端：客户端是指Cisco Catalyst 6800IA 交换机，该交换机直接作为6500或6800核心交换机

24、的扩展板卡来工作。当前的Instant Access 客户端支持 48 个 10/100/1000 电接口和 2 个 10Gbps SFP+上行端口。Instant Access 客户端的特性及功能如下： 1. 48 个具有 PoE+ 或非 PoE 选项的10/100/1000 BASE-T 主机端口 2. 2 个 10Gbps 上行链路端口，2个专用堆叠端口，支持80Gbps双向堆叠带宽 3. 740W PoE 功率：在所有 48 个端口上完全 PoE (15W) 或在任何 24 个端口上完全 PoE+ (30W) 4. 最多可堆叠 3-5*个客户端，堆叠模式下仍然可作为Instant Ac

25、cess即时接入客户端工作 5. Instant Access客户端交换机下行端口支持生成树STP协议，可任意连接以太网交换机，PC，服务器，无线接入点AP，PoE话机或其他PoE设施。 6. Instant Access客户端可以继承6500或6800核心功能特性，包括但不限于mpls，vpls，GRE，NAT，PBR等，相关功能配置与6500上原生端口完全一致。除父交换机和客户端之外，Instant Access 父交换机和客户端之间的 FEX 交换矩阵链路还借助跨交换矩阵的 Cisco 10GBase SFP+ 链路支持短距、长距多模、长距以及超长距光纤接口（ER模块支持40公里）。 本

26、项目中由于M3 楼与机房物理位置是在同一栋楼，网络可以不规划汇聚层设备，直接 采用IA方式解决方案。不仅可以简化网络网管，另一方面也可以减少一对汇聚设备；也大大提升网络的管理维护工作。 IA 的接入设备上利用堆叠技术将两台堆叠起来。有效减少光纤资源的同时增强了网络可靠性。整体IA方案优势如下：核心层网络组件Catalyst 6800 系列交换机通过 Cisco Catalyst 6800 系列交换机远程对网络进行有效的扩展、虚拟化、保护和管理。Cisco Catalyst 6800 系列提供功能丰富的高性能平台，适合在园区、数据中心、WAN 和城域以太网网络部署，为无边界网络奠定了坚实的基础，

27、从而让您能够随时随地任意连接。扩展性能与网络服务已针对 1GB 和 10GB 服务优化，提供更高的插槽容量（高达 880 GB）和交换容量（高达 11.4 TB）智能服务，支持 Catalyst 6800 DNA 和应用策略基础架构控制器企业模块 (APIC-EM)利用 Catalyst 即时访问简化操作借助全面的有线、无线和 VPN 安全性，保证用户和应用程序的高度安全提供较大的表，可实现可扩展部署，并具有受保护的控制平面。虚拟交换系统激活冗余 Catalyst 6800 系统间的所有可用带宽，并消除不对称路由支持机箱间状态故障切换，并提供决定性的次秒级恢复提供单点管理功能无需第一跳弹性协议

28、 (FHRP)，支持简化的无环路拓扑网络虚拟化通过提供分段、路径隔离、隐私、有限命运共享、成员资格定义和地址空间分离技术来实现基础架构整合使用 IP/MPLS 技术提供端到端网络虚拟化。安全通过 Cisco TrustSec 识别（802.1x 套件）、标记 (SGT)、加密 (MacSec) 并实施（安全组访问控制列表）支持网络设备准入控制 (NDAC) 和端点准入控制 (EAC)通过 TrustSec 入口/出口反射器提供投资保护集成服务与运营效率通过下一代集成服务模块帮助统一、简化和有效利用网络通过模块化设计方便多代组件集成于一个机箱上通过交换端口分析器 (SPAN)/远程交换端口分析器

29、 (RSPAN) 监控网络上的交机，并通过加密远程 SPAN (ERSPAN) 将分析器实际连接至网络上的几乎任何端口通过灵活的入口采样 Netflow 和 CPU 保留 Netflow 导出实现应用可见性通过连接管理处理器 (CMP) 提供映像恢复和控制台记录功能通过迷你端口分析器提供板载数据包捕获功能Catalyst 6800ia 系列交换机 思科推出针对园区网络的变革性部署和运营方式。Cisco Catalyst即时接入解决方案可显著简化园区网络运营，变革业务转型模式，从而在园区内制造创新机遇。Cisco Catalyst 即时接入可通过具备功能和配置一致性的单一接触点，支持 IT 即时

30、部署接入交换机。该解决方案的组成部分包括 Cisco Catalyst 6500 或 6800 核心交换机和 Cisco Catalyst 6800ia 系列交换机。其中，Cisco Catalyst 6800ia 接入交换机连接到 Cisco Catalyst 6500 或 6800 交换机，整个配置的作用相当于一台具有单一管理域的扩展交换机。同时，这些接入交换机可支持增强型以太网供电 (PoE+)，并且可堆叠在一起实现更高的端口密度和恢复能力。IT 可在整个或部分园区网络上灵活部署 Cisco Catalyst 即时接入解决方案。同时，IT 可以重复使用当前的网络布线基础设施以部署该解决方

31、案。产品概述 通过 Cisco Catalyst 6800ia 解决方案，网络管理员可以将园区网络中的建筑作为整合在一起的单一交换机看待。这样，整个建筑可以被看作是单一的管理模块。Cisco Catalyst 6800ia 解决方案由 Cisco Catalyst 6500/6800 父交换机进行管理， 可实现园区以太网网络各个接入层和分布层之间的功能一致性。Cisco Catalyst 6800ia 是 Cisco Catalyst 6500/6800 父交换机的扩展产品。Cisco Catalyst 6800ia 解决方案支持多机箱 EtherChannel 和堆叠，具备极大的弹性。在 C

32、isco Catalyst 6800ia 解决方案中，Cisco Catalyst 6800ia 交换机和 Cisco Catalyst 6500/6800 父交换机之间的链路不使用生成树协议。同时，该解决方案支持虚拟交换系统 VSS。Cisco Catalyst 6800ia 交换机不执行任何本地数据包转发任务。系统会将来自 Cisco Catalyst 6800ia 交换机主机端口（下行链路端口）的所有流量发送至即时接入父交换机，父交换机会制定这些流量的所有交换和转发决策，以将其转发至目的地。Cisco Catalyst 6800ia 交换机继承即时接入解决方案内的父交换机的特性和功能。如

33、果将 Cisco Catalyst 6500 系列管理引擎 2T 视为即时接入父交换机，Cisco Catalyst 6800ia 客户端交换机会继承管理引擎 2T 的所有功能，包括安全组标记 (SGT)、安全组访问控制列表 (SGACL)、增强型内部网关路由协议 (EIGRP)、IPv6、媒体跟踪、多协议标签交换 (MPLS) 等： 48 千兆以太网端口 集成的 FlexStack-Plus 功能（可提供高达 80 Gbps 堆叠带宽） 支持一个堆叠至多包含三个交换机 2 个 10G 增强型小型封装热插拨 (SFP+) 上行链路 Cisco Catalyst 6800ia 外部 RPS 电源

34、冗余 适用于各种控制台管理的小型 USB 端口和以太网端口 Cisco Catalyst 6800ia 系列中的所有端口均支持 MACsec 硬件 与 IEEE 802.3at 兼容的 PoE+ 可在每个端口提供高达 30W 的功率 提供高达 740W 的 PoE/PoE+ 整合功率预算 IEEE 802.3az 节能以太网 (EEE) 可在所有交换机端口上实现动态节能 支持动态功率映射，以扩展至 740W PoE+ 功率汇聚层设计 汇聚层又称为分布层，它是网络核心层与接入层之间的分界点。1.汇聚层的任务汇聚层的主要任务是提供与流量控制、安全及路由相关的策略，具体内容如下:(1) 定义广播和组

35、播域:(2) 执行安全和网络策略，包括地址翻译和防火墙策略(3) VLAN之间的路由选择:(4) 部门或者工作组级的访问；(5) 布线间连接的汇聚和需要进行的各种介质转换。汇聚层设计原则 设计汇聚层时，主要考虑的是如何保证提供流量控制及安全控制的策略。通常需要考虑的主要因素有QoS、静态或者动态路由的选择、地址过滤等。而对这些因素的综合考虑最后会转化为交换机的选择。. 从物理位置上看汇聚层交换机属于楼宇交换机，或者说是各楼层的核心交换机。从逻辑上看，它可以是应用系统的汇聚。汇聚层可以通过两条上行线路连接到核心层，以保证线路的冗余。在近几年的产品设计中，汇聚层交换机的上行端口一般是千兆光口，下行

36、端口为百兆电口，连接到接入层交换机。 汇聚层的交换机目前大多数选用三层交换机(也可以选择二层交换机)。最终用户发出的流量直接影响汇聚层交换机的选择。如果选择三层交换机，则可在全网的设计上体现分布式路由思想，以减轻核心层交换机的路由压力，有效地进行路由流量的均衡。如果汇聚层设备选择二层设备，则核心层交换机的路由压力会增加，核心层交换机的投资将加大。汇聚层网络组件Cisco Nexus 3500系列 交换机 Cisco Nexus 3000 系列交换机为 1、10 和 40 千兆位以太网交换机的全面组合，根据芯片内交换 (SoC) 架构构建。2011 年 4 月推出，该系列已通过配对高性能和具有性

37、能可视性、自动化和时间同步创新的低延迟，确立了其自身作为高频交易、高性能计算和大数据环境领域的领导者地位。 Cisco Nexus 3500 平台概述Cisco Nexus 3500 平台通过包括创新的 Algorithm Boost（或 Algo Boost）技术进一步扩展了 Cisco Nexus 3000 系列的领导地位。交换机应用专用集成电路 (ASIC) 中内置的 Algo Boost 技术使 Nexus 3548 能够实现卓越的第 2 层和第 3 层交换延迟，低于 200 纳秒 (ns)。此外，Algo Boost 包含多项延迟、转发功能和性能可见性创新： 无中断网络地址转换 (N

38、AT)在许多金融贸易环境中，外贸订单必须来自供应商的 IP 空间，要求 NAT 存于网络之间的边界处。Cisco Nexus 3500 平台可为 IPv4 单播路由数据包执行 NAT，而不产生任何其他延迟。 活动的缓冲区监测即使在最低延迟的交换机上，数据包也会在拥塞期间产生毫秒或更长的延迟。今天的交换机未充分告知管理员有关此拥塞的存在，为他们解决此条件的能力设置了瓶颈，导致性能不理想。之前的缓冲利用监测技术完全以轮询间隔高于 100 毫秒的软件轮询算法为基础，其会丢失重要的拥塞事件。与之相反，Algo Boost 加速了硬件中缓冲利用数据的收集，允许 10 纳秒或更快的采样间隔。 高级流量镜像

39、Cisco Nexus 3500 平台上的 Algo Boost 技术不仅通过支持交换端口分析器 (SPAN) 和封装远程 SPAN (ERSPAN) 技术加快了网络故障排除，而且通过增强功能促进了服务中网络监控，包括以下 功能： 应用用户可配置的过滤器将捕获的流量降低到指定流或协议 捕获符合条件数据包的样本，如每一千个中有一个 用户定义阈值后，截断数据包 在已捕获数据包的 ERSPAN 标题中插入纳秒级别的时间戳具有每秒脉冲* (PPS) 输出的 IEEE 1588 PTP 建立并保持同步、精确定时解决方案的功能是成功调配和管理高性能交易网络和应用程序的基础。使用 IEEE 1588 PTP

40、，Cisco Nexus 3000 系列交换机可为现有网络架构中的应用程序提供高度准确精密的时间同步，而无需投资和部署单独的定时网络。 部署 IEEE 1588 PTP 的网络管理员经常发现很难测量每台设备同步的准确性。为了协助这项工作，Cisco Nexus 3500 平台包括可用于测量主时钟定时偏差的 1-PPS 输出端口。 接入层设计 接入层为用户提供在本地网络访问互联网的能力，它是最终用户的网络接入点。它以共享、独享或交换带宽的方式为用户提供入网的接口。接入层通过接入交换机的上行端口(100Mbit/s快速以太网、千兆以太网)连接到汇聚层。接入层一般通过二层交换技术宋实现。接入层的目标

41、接入层直接面对各个信息节点的接入的访问。这一层应当包括如下功能:(1) 到汇聚层的工作组连接；(2) 建立单独的冲突域 (分段) ；(3) 共享式带宽或交换式带宽；(4) 提供灵活的用户接入及扩展。在一个园区网络中，接入层需要考虑的因素有用户数量、用户带宽需求和安全控制等，同时接入层也有QoS及安全方面的要求。接入层设备需要具有以下特性:(1) 能够提供多网络接入端口，拥有更加灵活的端口性能，如线缆自适应功能。(2) 能够提供较远程的用户接入功能，如实现超长距离的以太网接入特性。(3) 能够提供高速的上联端口，支持长距离的连接。(4) 能够兼容和识别来自于上层网络的一些功能，如不同的VLAN信

42、息，支持IEEE802.1Q的标记。(5) 提供用户的最终控制。例如设置静态的MAC地址映射功能，便于管理。接入层设计和设备选型Cisco Catalyst 2960-X 系列交换机Cisco Catalyst 2960-X 系列交换机是可堆叠的固定配置千兆以太网交换机， 能为园区和分支机构应用提供企业级接入。该系列产品旨在通过简化运营 来降低总拥有成本，可借助智能 服务和各种高级 Cisco IOS 软件功能，实现可扩展、 安全且高效的业务运营。重要产品特性 Cisco Catalyst 2960-X 交换机具有以下特性：24 或 48 个具有线速转发性能的千兆以太网端口 千兆位小型封装热插

43、拔 (SFP) 或 10G SFP+ 上行链路FlexStack Plus 可堆叠最多 8 个交换机，实现 80 Gbps 的堆叠吞吐量（可选） 增强型以太网供电 (PoE+) 支持，可提供高达 740W 的 PoE 预算更低的功耗以及高级能源管理功能USB 和以太网管理接口，有助于简化运营带有集成 NetFlow-Lite 的应用可视性和容量规划LAN Base 或 LAN Lite Cisco IOS 软件功能 Cisco Catalyst 2960-XR 型号还提供：电源恢复能力（通过可选的第二个可现场更换电源提供）具有动态路由和第 3 层功能的 IP Lite Cisco IOS 软件

44、Catalyst 2960-XR IP-Lite 交换机中提供极高性能的 IP 路由：支持 IP 单播路由协议（包括静态、路由信息协议第 1 版 RIPv1、RIPv2 和 RIPng），以实现小型网络 路由应用。 支持高级 IP 单播路由协议 (OSPF for Routed Access) 以实现可扩展 LAN 的负载平衡和构建。 硬件中支 持 IPv6 路由 (OSPFv3)，以实现最大性能。等成本的路由有助于在堆叠中实现第 3 层负载平衡和冗余。基于策略的路由 (PBR) 能够促进数据流的重定向，不论配置何种路由协议，都能实现卓越控制。热待机路由协议 (HSRP) 和虚拟路由器冗余协议

45、 (VRRP) 为路由链路提供动态负载平衡和故障转移。支持用于 IP 组播的协议无关组播 (PIM)，包括 PIM 稀疏模式 (PIM-SM)、PIM 密集模式 (PIM-DM)、PIM 稀 疏-密集模式和源特定组播 (SSM)。网络安全 Cisco Catalyst 2960-X 系列交换机提供了一系列安全功能，以限制对网络的访问并降低威胁，包括：Cisco TrustSec 使用 SXP 简化整个网络的安全性和策略实施。 全面的 802.1X 功能：能控制对网络的访问，包括灵活身份验证、802.1x 监控模式和 RADIUS 授权更改。IPv6 第一跳安全保护：增强了激增的 IPv6 设备

46、（尤其是 BYOD 设备）的第 2 层和第 3 层网络访问。 它可以防御非法路由器公告、地址欺骗、假冒 DHCP 应答以及由 IPv6 技术带来的其他风险。设备传感器和设备分类器：启用无缝多设备配置文件，包括 BYOD 设备。它们还启用思科身份服务引擎(ISE)， 以调配基于身份的安全策略（仅在 2960-XR SKU 中支持 ISE）。 思科威胁防御：其特色是包括端口安全、动态 ARP 检测和 IP 源保护。专用 VLAN：通过在第 2 层将流量分段、将广播段转换为非广播多访问类似段，对公共段中 主机之间的流量 进行限制。该功能仅在 IP-Lite 功能集中提供。 私有 VLAN 边界：在交

47、换机端口之间提供安全性和隔离，从而帮助确保用户无法在 其他用户流量上进行侦听。 单播逆向路径转发 (RPF)：该功能通过丢弃缺少可验证 IP 源地址的 IP 数据包，帮助消除格式错误或伪造 （欺诈）的 IP 源地址引入网络所带来的问题。该功能仅在 IP-Lite 功能集中提供。多域身份验证：使 IP 电话和 PC 可以在同一交换机端口上进行身份验证，同时将它们放在适当的语音和数据 VLAN 上。访问控制列表：适用于 IPV6 和 IPv4，提供安全性和 QoS ACE。交换端口分析器 (SPAN)：借助双向数据支持，使思科入侵检测系统 (IDS) 可以在检测到入侵者时采取行动。TACACS+

48、和 RADIUS 身份验证：可以简化交换机的集中控制，限制未经授权的用户更改配置。MAC 地址通知：在网络中添加或删除用户时通知管理员。控制台访问的多级安全性：可避免未经授权的用户更改交换机配置。桥接协议数据单元 (BPDU) 保护：在收到 BPDU 时，关闭支持生成树 PortFast 接口，以避免意外的拓扑环路。生成树根保护 (STRG)：可防止不在网络管理员控制范围内的边缘设备成为生成树协议的根节点。IGMP 过滤：利用过滤非订阅用户来提供组播身份验证，并限制每个端口可用的并发组播流数量。Cross-Stack EtherChannel：能够在不同的堆叠成员之间配置思科 EtherCha

49、nnel 技术，从而实现很强的恢复能力。 Flexlink：提供融合时间小于 100 毫秒的链路冗余。IEEE 802.1s/w 快速生成树协议 (RSTP) 和多实例生成树协议 (MSTP)：提供与生成树计时器无关的 快速生 成树融合，同时提供 2 层负载平衡和分布式处理的好处。堆叠设备充当单一生成树节点。Per-VLAN 快速生成树 (PVRST+)：能够以 VLAN 快速生成树为单位，快速进行生成树重新融合， 而无需 实现生成树实例。思科热待机路由器协议 (HSRP)：支持该协议以在 2960-XR IP Lite SKU 中创建冗余的、 具有故障防御功能 的路由拓扑。交换机端口自动恢复

50、 (错误禁用)：自动尝试重新激活由于网络错误而禁用的链路。 电源冗余：2960-XR 型号上具有一个可选的第二个电源，或在 2960-X 型号上有一个外置 RPS。 增强的服务质量 Cisco Catalyst 2960-X 系列交换机提供智能流量管理以保证所有流量均能顺利传输。灵活的标记、 分类和调度机制 提供优异的数据、语音和视频流量性能，全部都以线速提供。QoS 的主要功能包括：每个端口上最多八个出口队列（在 2960-X 上或堆叠 2960-XR 时有四个）和严格的优先权排队， 从而使优 先级最高的数据包在所有其他流量之前得到处理整形循环 (SRR) 调度和加权尾部丢弃 (WTD) 拥

51、塞避免功能。 基于流的速率限制和每端口高达 256 个聚合或单个速率限制。802.1p 服务等级 (CoS) 和差分服务代码点 (DSCP) 分类以数据包为单位，按源和目的地 IP 地址、 MAC 地 址或第 4 层 TCP/UDP 端口号进行标记和重新分类。外联设计 目前，任何一个网络都要考虑与Intemet的连接问题。提供高速、安全的Intemet连接是网络设计必须考虑的问题。对单个的远程用户而言，目前有许多远程接入技术可以帮助他们轻松地与公司的网络连接，例如PPP、ISDN及DSL等。小型局域网与外部网络的连接很简单，仅需要考虑内部网络用户对外部的访问，其路由协议的选择(静态路由或RIP

52、)以及路由器的选择都很简单，成本也较低。大型园区网络与外部的连接则要复杂得多。不仅仅要考虑选择什么样的接入技术，还要考虑安全性等多方面的内容。既涉及广域网服务提供商、路由器及路由协议的选择，还涉及一些广域网技术的选择。1.设计目标与基本原则 (1) 速率。高传输速率是任何一个网络设计者都要追求的目标，因此在进行园区网络的外联设计时，设计人员要根据网络需求分析的结果确定与其他网络或者Internet的连接速率。从实际应用情况考虑，对带宽的追求几乎是无止境的，所以设计人员只能在给定成本的情况下，尽量设计较高的带宽。根据目前的技术发展，能够提供高带宽的接入方式主要有:基于以太网的专线接入基于光传输的SDH接入(2) 成本。成本是一个永恒的话题。实际上，在很多情况下，没计人员需要在性能与成本之间需求折中，或者说，在给定成本的情况下，追求尽可能高的速率与性能。一般来说，通过以太网技术接入Intemet的成本要低一些，而基于光技术的接入方式的成本要高得多，无论是一次性的设备投入还是以后的运行成本都比较高。(3) 可靠性。有时候，用户对外部接入的可靠性要求甚至超过了内部的