大学校园网建设技术建议书(编辑修改稿)

大学校园网建设技术建议书(编辑修改稿)内容摘要：

XXXXX 大学网络改造项目 机密文件 12 展。 利用 IRF 技术，用户可以将多台设备通过堆叠接口连接起来组成一个联合设备（ Fabric），并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。 同时 S5600 支持万兆上联最大程度的提高了汇聚层与核心交换机之间的带宽扩展需求。 在接入层， 接入层是直接与用户相连的设备，因此，在实际的 应用的过程当中我们建议采用华为 3Com E050/E026 产品，由于楼内布线采用千兆铜缆布线，所以建议通过在 E050/E026 上配置千兆电接口与楼内核心交换机 S5600 进行链接，这样将会进一步扩大带宽。 华为 3Com E050/E026 具有 48/24 个固定的 10/100M 自适应以太网接口， 2 个扩展插槽，背板容量 ，包转发率 可以实现所有端口的线速转发，支持各种类型的上行接口，支持堆叠。 华为 E 系列接入层交换机具有强大的业务特性，可以支持 256 个标准的 VLAN， VLAN ID 均可 达 4096 个 并能够提供强大的业务功能：如 认证 、动态 ACL、动态 Vlan、防止 Proxy 等功能。 支持 认证，其高性价比的特性可满足用户对于强业务、高性价比的组网要求 用户认证、计费管理： 出口处采用 华为 3Com 专业用户认证计费设备 MA5200 作为全网出口计费设备，MA5200 具有强大的认证功能，可以实现按流量计费、支持多种计费策略，同时可以实现监控全网的出口流量，同时其旁挂式的方式大大提高了网络的安全性，避免了在出口产生流量瓶颈的问题， 本次组网采用 CAMS 综合管理软件实行全网的用户认证 和计费管理。 详细介绍参加第三章。 网管平台 ： 为提高网络管理的效率，减轻网络维护的压力，本次组网采用 Quidview 网管系统进行全网设备的统一管理。 Quidview 网络管理软件是华为 3Com 公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品，位于网络解决方案的管理层，能够实现网元管理和网络管理的功能。 Quidview 网络管理软件基于灵活的组件化结构，包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建 XXXXX 校园网改造技术建议书 XXXXX 大学网络改造项目 机密文件 13 构”。 XXXXX 校园网改造技术建议书 XXXXX 大学网络改造项目 机密文件 14 3．网络业务设计 地址分配解决方式 的选择 根据 XXXXX 大学 的用户特点，考虑到网络中心的维护工作量，这里我们建议采用动态 DHCP 的方式进行 IP 地址分配。 考虑到 IP 地址的管理比较繁琐，在实际的应用的过程当中建议可以与 CAMS 配合，实现 IP 地址分配至用户的方式进行 IP 地址的管理。 S5600汇聚层 交换机万兆的 支持 从网络的整体结构上我们可以看出整个网络的设计是采用核心万兆环网，核心与汇聚、汇聚与接入之间均采用千兆的方式，接入与最终用户之间采用百兆的方式进行互通，整个网络的瓶颈在核心与汇聚 之间的连接存在瓶颈，随着网络接入用户的不断扩大，汇聚与接入之间可以采用万兆的方式进行互联。 华为 3 S5600 汇聚层交换机，交换容量 192/240G，包转发率 66/102Mpps 可支持 2 个万兆接口上行 ，用户无需任何投资，可以直接购买 10GE 模块 ，可直接插到汇聚层 S5600 交换机上就可以实现万兆带宽的升级，原上联 GE 接口可以作为下联接口用。 整体组网如下所示： XXXXX 校园网改造技术建议书 XXXXX 大学网络改造项目 机密文件 15 核心与汇聚层之间 直接采用万兆的带宽将汇聚层存在的带宽瓶颈问题彻底解决，S5600 汇聚层万兆交换机可为用户提前做好万兆升级的准备，减少用户投资。 XXXXX大学 解决方案特点： 华为 XXXXX 大学 教育网组网解决方案的优点有以下几点： 完全的分布式的处理方式 S8500 为用户提供完全的分布式的处理方式， XXXXX 大学 的校园网内部的数据量是非常大的，因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞。 华为 S8512 背板交换容量 够做到所有 GE 接口的双向的线速，华为公司的 S8512的性能指标是经过完整的测试，而业界厂家在指标宣称上面往往与给最终提供给用户的不一致。 而用户又由于测试仪器的 限制无法确认实际配置的性能，这一点在 华为公司是绝对不会出现的。 再次 ,分布式的转发，对于 S8500 路由查找是非常有益的补充。 因为 S8500 的路由查找模式为最长匹配。 这样就可以避免校园网内外的非法用户利用专门的攻击软件来攻击中心交换机，因为这种攻击是通过不断变换自己的本网断内的 IP 地址，来不 XXXXX 校园网改造技术建议书 XXXXX 大学网络改造项目 机密文件 16 断消耗主控处理板的 CPU 处理能力，直到彻底使主控处理板的 CPU 丧失处理能力，整个机器瘫掉。 但是 S8500 是根据最长匹配来查找路由的，是针对网断进行路由的。 所以当攻击者进行攻击时， S8512 只能造成该接口板的业务能力处理下降，但是对于整机没有多大影响。 这是我们 选则 S8500 的作为核心交换的非常重要的原因。 S8500 具有良好的互通性， S8500 支持标准的路由协议，包括 OSPF、 BGP ISIS、RIP 等路由协议，在实际的开局中与 Foundry、思科、 Exreme 等多种厂家均能够实现互通，在华南理工大学、山东大学等用户都得到实际的应用验证。 核心交换机先进的体系架构设计 网络的背板技术经历了共享式、缓存式等发展， Crossbar 技术被公认为最为完美的一种设计方式，华为 3Com公司 S8505交换机采用背板采用分布式 Crossbar的技术，整机的转发不存在任何的瓶颈问题，同时， S8505 可实现背板容量的平滑升级，除背板采用 Crossbar 的方式，在接口板上，华为 3Com 公司 S8505 万兆核心交换机采用分布式 Crossbar 的技术，即在每个业务单板上面也同样采用 Crossbar 的技术，端口与端口之间的转发均有可直达的端到端转发通道，使得端口之间的转发不存在在任何瓶颈，大大提高了核心交换机的整机转发性能。 基于流攻击的防止。 华为 3 所采用产品 S8500、 S5600 等三层转发模式均为最长路由匹配技术。 这样就可以避 免校园网内外的非法用户利用专门的攻击软件进行的一些基于流的共计，因为这种攻击是通过不断变换自己的本网断内的 IP 地址，来不断消耗主控处理板的CPU 处理能力，直到彻底使主控处理板的 CPU 丧失处理能力，整个机器瘫掉。 S8500是根据最长匹配来查找路由的，是针对网断进行路由的。 所以当攻击者进行攻击时，不会造成 S8500 业务能力处理下降，对于整机没有影响影响。 这是我们选则 S8500 的作为核心交换的非常重要的原因。 汇聚层强大的 IRF扩展性能 S5600 可以支持强大的 IRF 特性，可以扩大汇聚层与核心层之间的 带宽以及可靠 XXXXX 校园网改造技术建议书 XXXXX 大学网络改造项目 机密文件 17 性， 其相关技术如下： 路由的热备份 相对于传统的设备组网， IRF 提供了真正的单播路由协议和组播路由协议的热备份。 并且用户不需要花一半的投资专门用在备份设备上面， IRF 中 所有的设备都实际参与业务运行。 IRF 是在提供业务的同时进行备份。 DRR 实现了路由协议热备份的技术，做到了同一个 fabric 中各个 unit 上路由信息的严格同步，并且在其中一个或多个 unit 出现故障的时候，其它 unit 可以照常运行并迅速接管故障 unit 的功能，此时，域内路由协议不会随之出现中断，二 /三层转发流量和业务也不会出现中断， 从而实现了真正意义上的不中断路由协议、不中断业务的故障保护和设备切换功能。 U n i t 1O S P FR I P备份信息U n i t 2U n i t 3 U n i t 4U n i t 1O S P FR I PU n i t 2U n i t 3 U n i t 4备份信息 IRF 的分布式弹性路由 链路的备份 分布式的聚合技术进一步消除了聚合设备单点失效的问题，提高了聚合链路的可用性。 由于聚合成员可以位于系统的不同设备上，这样即使某些成员所在的设备整个 XXXXX 校园网改造技术建议书 XXXXX 大学网络改造项目 机密文件 18 出现故障，也不会导致聚合链路完全失效，其它正常工作的 unit 会继续管理和维护剩下的聚合端口的状态。 这对于核心交换系统和要求高质量服务的网络环境意义重大。 分布式链路聚合（ DLA） DLA 技术允许 IRF 网络核心外的其他交换机等设备以多宿主的方式接入 IRF 网络核心，极大提高了全网的可用性。 通过多条聚合链路流向 IRF 网络核心的流量将均匀分布在聚合链路上，当某一条聚合链路失效时， DLA 能够将流量自动重新分布到其余聚合链路以实现链路的弹性备份和提高网络可靠性。 高性能 由于 IRF 设备是由多个支持 IRF 特性的单机设备堆叠而成的， IRF 设备的交换容量和端口数量就是 IRF 内部所有单机设备交换容量和端口数量的总和。 因此， IRF 技术能够通过多个单机设备 的堆叠，轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。 IRF 数据报文 数据报文 链路故障 IRF XXXXX 校园网改造技术建议书 XXXXX 大学网络改造项目 机密文件 19 扩展性 IRF 技术最大支持八台设备的堆叠，用户可以按照自身的需要购买 IRF 交换机。 由于业务的需要，如果用户需要扩展网络的容量，只需要堆叠更多的 IRF 交换机，就可以达到扩容的目的。 IRF 技术极大的保护了用户以前的投资，提高用户的投资效率。 分布式设备管理 支持 IRF 技术的多台设备可以被看成是一台统一的设备来管理。 用户将一个 fabric 当成一台整体设备进行管理 高效的配置管理 IRF 技术最多可以连接 8 台设备组成一个 fabric，无论是管理特性、还是转发特性，在用户看来， fabric 就像是一台设备在运行。 组成 fabric 的每台设备具有相同的桥 MAC 地址，单一管理 IP 地址和三层转发地址。 用户无论通过何种方式（ console口、 tel、 snmp）连接到 fabric 内的一台设备上，对 fabric 的配置只需要执行一次， fabric 内的所有设备都将得到配置。 1 2 3 4 IRF XXXXX 校园网改造技术建议书 XXXXX 大学网络改造项目 机密文件 20 软件版本升级 相对于以前的简单堆叠，对堆叠体内多台单机进行软件升级的操作将要执行多次，而 IRF 交换机，通过 WEB 网管，用户只需要执行一次操作，就可以实现 fabric内所 有 unit 的软件的自动升级。 设备的热插拔 组成 fabric 的设备可以任意的插入和拔出，而不会影响当前 fabric 的正常运行。 当一台设备通过堆叠线接入到一个正在运行的 fabric 内，原有的 fabric 就会检测到新的设备，同时验证新设备是否可以加入到 fabric，如果验证通过，新加入的设备将会得到原有的全局配置信息和转发信息，同时将自己设备特有的配置和转发信息散发到 fabric 内，经过短暂的信息交互后，新加入的设备就可以参与转发了。 而这个过程丝毫没有影响原有设备转发过程。 当然，这个过程也可以是两个现有的 fabric进行合并，现有的转发不会受到影响。 当从 fabric 断开一台或者多台 unit，和该设备相关的配置、转发信息将被从剩余的设备内删除，从而不会造成转发失败。 同时，分离出去的 unit 可能会自己形成一个新的 fabric，由于 fabric 内所有的配置都是相同的，如果原来配置有。