.132-/NUMPAGES137目錄TOC\o"1-3"\h\z1項目概況-1-1.1項目背景-1-1.2建設目標-1-1.3工程范圍-1-1.4網絡信息點位分布與數量表-1-2總體設計-3-2.1設計依據-3-2.2設計原則-3-3網絡系統-5-3.1網絡協議的選擇-5-3.2網絡技術選擇-5-VLAN〔VirtualLANs-5-三層交換技術-6-VRRP-7-其它網絡技術-8-3.3網絡設計概要-8-3.4網絡的分層設計-9-核心層-9-匯聚層-9-接入層-10-選用華為3COM的網絡設備-10-網絡規劃-11-3.5網絡拓撲圖-24-3.6網絡冗余設計-26-3.7路由規劃-26-3.8應用VRRP技術-28-3.9選擇組播協議-31-3.10VLAN規劃-33-3.11IP地址分配原則-33-內網IP分配規劃-34-外網IP分配規劃-34-3.12本設計方案的特點-35-完全的分布式的處理方式-35-核心交換機先進的體系架構設計-35-基于流攻擊的防止-35-QOS功能-35-廣播風暴的抑止-36-高可用性保障-36-4網管管理系統-36-4.1網絡管理的重要性-36-4.2管理系統的總體設計-37-4.3華為3Com網絡管理解決方案-37-產品特點-37-典型組網應用-41-4.4用戶的安全接入管理-41-5網絡系統安全特性-42-5.1配置IDS-42-5.2網絡病毒的診斷-42-5.3協議的安全性-42-應用服務協議的安全-42-路由協議的安全-43-網管SNMP的安全性-43-5.4網絡設備的安全性-43-控制口console的控制-43-遠程登錄telnet的控制-44-5.5限制外網BT業務流量-44-5.6多元綁定技術的應用-47-網絡安全特征-48-可用綁定技術規劃高安全的網絡-49-5.7防止對DHCP服務器的攻擊-52-PrivateVLAN-52-訪問控制列表-53-新的命令-53-5.8惡意用戶追查-53-5.9防病毒攻擊-53-防止DOS攻擊-54-防止基于流的攻擊特性-54-防止病毒的廣播傳遞-55-6網絡入侵檢測-56-6.1入侵檢測系統在外網網絡的作用-56-在外網建設入侵檢測系統的必要性-56-6.2本系統外網絡入侵檢測產品選型-59-網絡入侵檢測技術簡介-59-網絡入侵檢測技術分析-60-網絡入侵產品選型-62-6.3網絡入侵檢測產品部署-65-NetEyeIDS部署建議-65-NetEyeIDS的集中管理-66-NetEyeIDS的系統結構-67-NetEyeIDS的配置清單-67-6.4網絡入侵檢測產品擴展及建議-68-NetEyeIDS平滑擴展-68-NetEyeIDS安全聯動-68-6.5NetEyeIDS優勢介紹-69-7網絡防病毒-72-7.1計算機病毒發展和入侵途徑分析-72-計算機病毒的發展趨勢-72-病毒入侵渠道分析-73-7.2本系統外網網絡防病毒技術要求-74-7.3網絡防病毒需求分析-76-7.4防病毒解決方案-78-設計思想-78-防病毒規劃-79-部署產品-79-部署示意-79-部署防病毒系統實現的效果-80-7.5網絡版防毒系統介紹-81-網絡版產品簡介-81-網絡版系統需求-82-網絡版部署方式-83-網絡版管理方式-84-網絡版升級方式-84-網絡版功能特色-84-8設備安裝場地及環境要求-92-8.1機房的選址建議要求-92-8.2機房的建筑建議要求-92-8.3網絡設備工作環境的要求-93-溫度和濕度要求-93-潔凈度要求-94-防靜電要求-94-電磁環境要求-95-防雷擊要求-95-抗干擾要求-95-照明要求-96-9實施方案-97-9.1總體實施規劃-97-9.2工程界面-98-9.3工程實施組織結構和分工-99-9.4項目實施計劃編制和文檔修改控制-100-9.5工程協調會和工程進度安排-102-9.6項目實施-107-安裝準備-107-到貨檢查-107-設備安裝檢驗-108-連通性和系統完整性測試-110-系統測試和驗收-110-培訓-110-實施總結-111-售后維護-111-過程監控-111-9.7項目質量保證計劃-112-9.8工程文檔-113-10驗收方案-115-10.1驗收的方法與步驟-115-10.2驗收測試標準-115-10.3驗收測試流程-115-10.4整體系統驗收-116-10.5檢測方法與目的-118-設備到貨驗收-118-初驗收-122-系統終驗-123-11培訓方案-126-11.1培訓目的-126-的培訓優勢-126-11.2華為3COM培訓機構簡介-129-培訓理念-129-總體介紹-129-培訓師資-130-課程設計-130-中高端路由器產品培訓項目-133-11.3本項目培訓計劃-134-現場培訓-134-國內技術培訓-134-12質保和售后服務-140-12.1公司技術服務的優勢-140-12.2公司的服務承諾-140-12.3華為3COM的服務承諾-141-技術服務-141-技術支持-142-備件以及設備維保-143-12.4趨勢科技的售后服務-143-技術支持部分-143-自動升級服務-143-新版本更新權利-144-12.5服務體系簡介-144-服務架構-144-服務范圍及程度-146-.項目概況項目背景目前,XXX辦公大樓改造已進入工程實施階段,即將建成。屆時1#、2#和3#樓將通過光纖鏈路和綜合布線系統進行組網,實現的辦公內部網絡。為充分發揮XXX辦公大樓的作用,有必要在樓內進行辦公網絡聯網建設,實現真正意義上的內部網絡連接,同時建設于內網完全物理隔離的辦公外網,提高辦公自動化程度,進一步加速和推進的信息化建設。通過與工程技術人員進行詳細的技術交流并到辦公大樓現場考察,在充分理解用戶方需求的基礎上,提出本設計方案。建設目標在XXX辦公大樓綜合布線系統的基礎上,建立起聯系3座辦公樓內的所有單位內部辦公網絡和外部辦公網絡,集信息收集、傳遞、發布等多功能為一體,可用圖、文、聲、像等多媒體方式進行信息交互的專用辦公內網。可以實現部屬機關內部的互聯互通、數據傳輸,使信息交互的實效性更加增強,提高可靠性和信息化辦公程度,從而降低總體辦公費用。工程范圍本次網絡工程范圍是1#、2#、3#三棟辦公樓,總建筑面積約為6500平米。每棟大樓均有兩個獨立的弱電豎井,本次改造要求內網、外網之間物理隔離,內網、外網由弱電豎井分別置各層。本大樓的功能定位對數據通信有較高的要求,因此垂直主干設12芯多模光纜,水平布線全面采用6類線纜。重點部分區域建議光纖到桌面。內網、外網網絡機房均設在3#樓4層。網絡信息點位分布與數量表1#2#3#樓網絡信息點位分布與數量表樓號樓層網絡信息點數量光網點內網點外網點1#1097548548F1384877F1883866F161281315F171241274F10981433F18901082F972921F86468地下1F044地下2F0782#731975201312F4373911F1018518810F102072109F61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地下1F0911地下2F047491#654835258F351557F1586886F51221275F513204F1752553F618262F7961011F71422地下1F055地下2F02626合計24732123392總體設計設計依據《信息化網絡集成項目比選文件》；國內國際信息化建設相關標準和規范；政府、企業網絡建設方面的豐富的經驗。設計原則我們在進行總體設計和設備選型時遵循以下設計原則：可靠性高可靠性是大樓智能化的重要標準。采用先進的設計思想,提供連續的網絡工作環境,系統應具有較強的自動糾錯能力,合理的網絡鏈路策略,確保系統7X24小時正常服務。擴展性隨著業務發展,需求也會不斷增長,因而對大樓網絡系統要求有很高的擴展性。設計時應支持多種的系統標準,達到在各個系統上提供一些預留接口,使得在用戶需要時,系統可以跨越現有的平臺,增加新的功能,實現平滑的擴展。采用的技術和設備遵循相關國際、國內標準,能支持各種相應的接口和標準協議,具有兼容性、靈活性和可移植性。先進性和成熟性在對系統進行設計時,要符合當今技術發展方向,系統硬、軟件的選擇和系統的設計,采用符合當前技術和管理發展方向的先進性技術和思想。同時,確保設備和技術都是有成功應用先例的。使用被證明了是成熟的設備和技術,減少實施風險。安全性XXX辦公大樓是國家政策、文件、信息的核心地。承擔著極其重要的工作。系統安全性主要體現在防止來自外部對網絡的攻擊、侵擾、病毒。保證文件信息的不篡改不丟失。中選單位必須有中國信息安全評測認證中心的《信息安全服務資質標準》的信息安全服務資質認證。可維護性為確保投資的有效性和大樓的實用性,應針對功能特點選用設備和技術,并盡量簡化系統配置步驟,使其容易得到維護和維修。網絡系統本規劃將從當前及未來一個時期內應用的實際出發,對信息管理系統的基礎設施—網絡系統進行規劃設計,從而達到一個先進、高效、可靠、實用和便于維護、擴展性能較強的網絡,為信息化提供穩定和功能強大的網絡平臺。網絡協議的選擇本網絡系統以TCP/IP為主要協議。因為TCP/IP協議簇是目前眾多計算機網絡最流行的協議,以它為基礎組建的Internet網是目前國際上規模最大的計算機網間網,采用TCP/IP為網絡主要協議,可保證系統各部分網絡保持一致。網絡技術選擇網絡技術發展很快,新技術層出不窮,有的具有旺盛的生命力,如以太網技術；有的很快就被淘汰,如TokenRing、FDDI等。因此,就給用戶投資帶來一定的風險,如何把握網絡發展的方向,選擇合適的技術和產品非常重要。在本項目中,我們采用千兆以太網作為骨干網技術,同時,我們將采用一些其它的先進且成熟的網絡技術,如VLAN、三層交換、虛擬路由器冗余協議〔VRRP,RFC2338、入侵檢測〔IDS、服務質量〔QoS、組播〔MultiCast等,使整個網絡具有優異的性能、良好的安全可靠性及未來的可擴展性。下面重點介紹幾種先進實用的網絡技術。VLAN〔VirtualLANs隨著網絡技術日新月異,L3,L4交換已經非常成熟。Internet中也越來越廣泛地應用了交換技術,全交換網絡已經非常普遍。在這些網絡中,VLAN的使用是必不可少的。VLAN是一個根據作用、計劃組、應用等進行邏輯劃分的交換式網絡。與用戶的物理位置沒有關系。舉個例子來說,幾個終端可能被組成一個部分,可能包括工程師或財務人員。當終端的實際物理位置比較相近,可以組成一個局域網〔LAN。如果他們在不同的建筑物中,就可以通過VLAN將他們聚合在一起。同一個VLAN中的端口可以接受VLAN中的廣播包。但別的VLAN中的端口卻接受不到。VLAN提供以下一些特性簡化了終端的刪除、增加、改動當一個終端從物理上移動到一個新的位置,它的特征可以從網絡管理工作站通過SNMP或用戶界面菜單中重新定義。而對于僅在同一個VLAN中移動的終端來說,它會保持以前定義的特征。在不同VLAN中移動的終端來說,終端可以獲得新的VLAN定義。控制通訊活動VLAN可以由相同或不同的交換機端口組成。廣播信息被限制在VLAN中。這個特征限定了只在VLAN中的端口才有廣播、多播通訊。管理域〔managementdomain是一個僅有單一管理者的多個VLAN的集合。工作組和網絡安全將網絡劃分不同的域可以增加安全性。VLAN可以限制廣播域的用戶數。控制VLAN的大小和組成可以控制廣播域的相應特性。在VLAN中應用最廣的就是GVRP和STP技術。它們是VLAN中優點的集中體現。三層交換技術現在,網絡業界對"三層交換"這個詞已經不感到陌生了,在中大型規模網絡建設中,以千兆三層交換機為核心的主流網絡模型已不勝枚舉。其實,三層交換從其出現到今天的普及應用也不過幾年的時間,計算機網絡加速度式的迅猛發展勢頭,實在快得令人吃驚。"三層交換"概念的出現,與VLAN有著密不可分的聯系。事實上,一個虛擬網就是邏輯上的子網。為了避免在大型交換機上進行廣播所引起的廣播風暴,可將其進一步劃分為多個虛擬網。在一個虛擬網內,由一個工作站發出的信息,只能發送到具有相同虛擬網號的其他站點,而其他虛擬網的成員收不到這些信息或廣播幀。由于網絡變得越來越復雜,性能要求也越來越高,這就要求網管員能夠成功地部署VLAN,從而使網絡更加靈活而且易于管理。以往,網管員將3/4的時間花費在維護網絡的基礎結構,確保通信流量的優化,并處理移動和變更等工作。通常情況下,當一名用戶轉移到網絡中另一個物理位置時,需要重新配置網絡,甚至還有用戶的工作站需要進行大量的管理工作。針對于此,VLAN的部署就是將通過減少管理網絡中移動與變更所需的資源,從而實現為用戶節約大量寶貴的資源。VLAN技術還可以在以下關鍵領域內為用戶提供價值：比路由器更具有成本效益的廣播控制,有效抑制廣播風暴。支持多媒體應用與高效組播控制,提高網絡帶寬的有效利用率。提高網絡的安全性,各種顯式或隱式的VLAN劃分方法提供基于策略的安全訪問機制。網絡監督與管理的自動化,更多的有效的網絡監控。減少路由需要,基于ASIC技術,大幅度提高設備的數據包轉發能力。VLAN之間如何通信？簡單回答就是"通過路由"。因此,這種技術也引發出一些新的問題：虛擬網之間通信是不允許的,這也包括地址解析<ARP>封包。要想通信,就需要用路由器橋接這些虛擬網,這就是虛擬網的問題：用交換機速度快但不能解決廣播風暴問題,在交換機中采用虛擬網技術可以解決廣播風暴問題,但又必須放置路由器來實現虛擬網之間的互通。在這種網絡系統集成模式中,路由器是核心。過去的網絡在一般情況下按"80/20分配"規則,即只有20%的流量是通過骨干路由器與中央服務器或企業網的其他部分進行通信,而80%的網絡流量主要仍集中在不同的部門子網內。而今天,這個比例已經提高到了50%〔"平分秋色"甚至80%〔倒二八,20/80,這是因為今天的網絡正在經歷著諸多應用的集合影響。網絡應用已經超越了組件和電子郵件,新型應用已經如此迅速和深刻地沖擊著網絡,比如,任何人通過任何一個瀏覽器便可進行訪問設定的Web網頁,支持諸如銷售、服務和財務之類商業功能的數據倉庫。這種變化對傳統路由器產生了直接的沖擊。因為傳統的路由器更注重對多種介質類型和多種傳輸速度的支持,而目前數據緩沖和轉換能力比線速吞吐能力和低時延更為重要。路由器的高費用、低性能,使其成為網絡的瓶頸。但由于網絡間互連的需求,它又是不可缺少的并處于網絡的核心位置,雖然也開發了高速路由器,但是由于其成本太高,僅用于Internet主干部分。在這種情況下,提出了三層交換技術。三層交換機是采用Intranet應用的關鍵,它將二層交換機和三層路由器兩者的優勢有機而智能化地結合成一個靈活的解決方案,可在各個層次提供線速性能。這種集成化的結構還引進了策略管理屬性,不僅使二層與三層相互關聯起來,而且還提供流量優先化處理、安全訪問機制以及多種其它的靈活功能。三層交換機分為LAN接口層、二層交換矩陣層和三層交換矩陣〔路由控制層三部分。三層交換機的應用其實很簡單,主要用途是代替傳統路由器作為網絡的核心。因此,凡是沒有廣域網連接需求,同時需要路由器的地方,都可以用三層交換機代替。在企業網中,一般會將三層交換機用在網絡的核心層,用三層交換機上的千兆端口或百兆端口連接不同的子網或VLAN。因為其網絡結構相對簡單,節點數相對較少。另外,其不需要較多的控制功能,并且要求成本較低。簡單地說,三層交換技術就是：二層交換技術＋三層轉發技術。它解決了局域網中網段劃分之后,網段中子網必須依賴路由器進行管理的局面,解決了傳統路由器低速、復雜所造成的網絡瓶頸問題。VRRP當路由器功能出現故障時,VRRP〔虛擬路由器冗余協議,RFC2338通過同一個局域網中的另一臺路由器來保障網絡的正常運行。通過設置虛擬路由器為缺省路由器,終端用戶在路由器發生故障時可以繼續通信,而不必考慮轉換到另一臺路由器上。利用同一個以太網中的兩臺路由器設置一臺虛擬路由器。在實際運行中,兩臺路由器中的任一臺成為主路由器,該主路由器模擬虛擬路由器。備份路由器監控主由器狀態。一旦主路由器出現故障影響網絡運行,備份路由器立即進入主路由器狀態以模擬虛擬路由器。IP地址被分配給虛擬路由器。指定虛擬路由器IP地址為缺省路由器的服務器將不會覺察主路由器的切換而繼續進行正常通信。關于VRRP的詳細設計和部署情況請參見后續章節。其它網絡技術在本網絡中,除了采用三層交換和VRRP技術,根據應用情況,還可采用組播〔Multicast、QoS和負載均衡等先進網絡技術。全面支持MultiCast：選擇設備全部支持MultiCast,主干設備支持DVMRP、PIM、IGMP、GARP組管理協議和多點發送、多點廣播協議,充分適應網絡特殊網絡傳輸要求。一定的QoS保證：核心設備支持RSVP、CAR<CommittedAccessRate>以及可配置門限的多種隊列采用WAED、WRR、業務類型/業務級別<ToS/CoS>映射機制,在滿足基本要求前提下保持高性價比,也為多媒體應用提供了堅實地網絡基礎。負載均衡實現：在核心設備上通過設置不同的VLAN的優先級,可將所有的VLAN流量分擔在各樓的兩臺匯聚設備上,通過兩臺匯聚設備的VRRP功能,實現網絡層的負載均衡。也可根據未來網絡擴展的需求,增加相關的專用負載均衡設備實現3-7層的負載均衡功能。網絡設計概要XXX辦公大樓內、外網網絡系統項目的總體設計目標以高可靠性、高安全性、高性能、極好的可擴展性和有效的可管理性為原則,同時兼顧考慮到技術的成熟性、先進性和可擴充性,網絡系統設計采用層次化、結構化的設計方法。根據對本系統網絡需求的初步分析,確定辦公內、外網網絡采用多千兆鏈路捆綁,百兆到桌面的方案,本方案具有較好的性能價格比,整個網絡采用分層設計技術,骨干為網絡中心與1#、2#和3#樓之間的多千兆光纖線路,接入網為各終端節點的10/100M以太網接入線路。核心設備使用高端路由交換機,接入設備選用具備三層交換功能的接入交換機。各樓內采用虛擬網VLAN技術實現功能群的劃分,VLAN可在匯聚設備上創建。利用統一的標準調整網絡規劃,避免可能的不兼容性,保證整個網絡的統一架構。根據我們對網絡系統需求的初步分析并結合本系統的特點,我公司提出一套基于華為3COM網絡設備的解決方案,本方案具有較好的性能價格比,內網和外網全部采用分層設計,利用統一的標準調整網絡擴容規劃,避免可能的不兼容性,保證整個內、外網絡的統一架構。網絡的分層設計XXX辦公大樓內、外網網絡系統設計為兩級網絡,三級設備節點：以網絡中心〔中心節點為中心,邊界至1#、2#和3#樓〔匯聚節點的骨干網；以1#、2#和3#樓〔匯聚節點為中心,邊界至同各配線間〔接入節點的接入網；本系統的辦公內、外網拓撲為冗余樹型結構,無匯聚與匯聚和接入與接入節點之間有物理直聯的需求。因此所有匯聚節點之間的通信全部經過網絡中心的核心路由交換機實現數據交換,比較容易對各樓之間的流量和訪問控制進行有效控制。層次化設計的優點為：可擴展性：因為網絡可模塊化增長而不會遇到問題；簡單性：通過將網絡分成許多小單元,降低了網絡的整體復雜性,使故障排除更容易,能隔離廣播風暴的傳播、防止路由循環等潛在的問題；設計的靈活性：使網絡容易升級到最新的技術,升級任意層次的網絡不會對其它層次造成影響,無需改變整個環境；可管理性：層次結構使單個設備的配置的復雜性大大降低,更易管理。核心層核心層為匯聚和接入層提供優化的數據輸運功能,它是一個高速的路由交換骨干,其作用是盡可能快地交換數據包而不應卷入到具體的數據包的運算中〔ACL,過濾等,否則會降低數據包的交換速度。內外網核心層設備各包括兩臺核心交換機。匯聚層匯聚層提供基于統一策略的互連性,它是核心層和接入層的分界點,定義了網絡的邊界,對數據包進行復雜的運算。匯聚層主要提供地址的聚集、部門和工作組的接入、廣播域/多目傳輸域的定義、InterVLAN路由、任何介質的轉換和安全控制等功能。在內、外網中,1#、2#和3#辦公樓各有2個匯聚層交換機,通過OSPF和VRRP實現設備和鏈路的冗余備份。接入層接入層直接為各接入用戶提供的網絡訪問接入。本系統的接入設備選用支持802.1x功能的接入交換機。選用華為3COM的網絡設備本項目中涉及的網絡設備種類不多,但各設備類別具體需求各不相同,因此在選擇設備廠商時,應考慮選擇技術先進,產品線豐富,售后服務周到,且具有良好信譽的網絡設備廠家。網絡設備的選擇原則如下：1．必須支持本系統目前以及未來涉及到的網絡技術,如Trunking、VLAN/PVLAN、RoutingSwitch、ACL、QoS、Multicast及多種路由協議等；2．必須支持多協議下的局域網絡互連；3．必須支持國際/國內網絡技術標準,與不同廠商的網絡安全產品有較好的互連性；4．必須支持SNMP網絡管理協議；5．所選產品必須具有良好的發展前景,能適應未來網絡技術的發展；支持向未來網絡新技術的平滑過渡。6．所選網絡設備必須能夠在不影響性能的情況下實現平滑升級。7．所選網絡設備必須要能夠在網絡中心利用網管軟件進行統一網管。在當今網絡設備的市場上,比較著名的廠商有華為3COM、Cisco、NORTELNetworks等。其中,華為3COM公司在政府、企業網絡、住宅寬帶產品、基于Internet協議的電話、以太網連接、網絡服務供應商的遠程接入與無線解決方案等領域都可提供高性價比的解決方案。因此我們在本項目網絡設計中選用華為3COM公司的網絡設備。核心設備：華為3COMQuidway?S8512S8512具有720Gbps的交換容量,背板為1.8Tbps〔可擴展至3.6T,多層硬件轉發能力為428Mpps,完全滿足本網絡對核心路由交換的需求。另外,S8512未來還可順利增加防火墻模板和IDS模板,以保證核心交換機的安全功能平滑升級,從而在網絡核心層為提高內、外網絡的安全性提供更豐富的解決方案。匯聚設備：華為3COMQuidway?S6506S6506具有384Gbps的交換容量,背板為1.6Tbps,完全滿足本網絡對匯聚路由交換的需求。接入設備：華為3COMQuidway?LS-3952-P/LS-3928-PLS-3952-P和LS-3928-P具有32Gbps的交換背板,多層硬件轉發能力分別為13.2和9.6Mpps,完全滿足本網絡對接入交換機的需求。上述華為3COM的交換機都是具有較高性價比的產品,并且具有較大的擴展性。網絡規劃由于內外網的重要性,本次項目必須能夠為用戶提供不間斷的網絡服務,因此建議全網絡采用全冗余結構〔設備冗余、線路冗余互連。內網設備統計見下表：內網樓號樓層數據點接入交換機<48口>接入交換機<24口>匯聚交換機核心交換機1號樓8F84227F8326F12835F12434F98213F9022F72111F642B1F4B2F71號樓小計754172202號樓12F371211F185410F207419F17348F207417F17346F17345F17344F18343F18342F12931F9631B1F9B2F472號樓小計1975433203號樓8F5111227F8626F12235F1314F52113F1812F9621F141B1F5B2F263號樓小計48310422合計321270962由于每接入交換機具備48或24個端口,因此接入層交換機數量可根據內網的每層設備間管理的信息點數計算得出,內網需配置70臺48口和9臺24口交換機。其中多余的端口作為備用端口。內網在1#、2#和3#樓各需配置2臺單引擎的匯聚交換機。內網的2臺核心交換機位于3#樓的4層,為了保證核心設備的高效穩定運行,減少核心設備宕機對網絡產生重要影響,需配置冗余引擎。外網設備統計見下表：外網樓號樓層光網數據點接入交換機<48口>接入交換機<24口>匯聚交換機核心交換機1號樓8F1387227F188626F1613135F1712734F1014333F18108212F99221F8682B1F4B2F81號樓小計109854191202號樓12F4391211F10188410F10210419F617648F10210417F617646F617645F617644F618643F618642F113231F29831B1F11B2F492號樓小計732013433203號樓8F35511227F158826F512735F52014F1755113F62612F7101211F72211B1F5B2F263號樓小計6552511522合計247339273962由于每接入交換機具備48或24個端口,因此接入層交換機數量可根據外網的每層設備間管理的信息點數計算得出,外網需配置73臺48口和9臺24口交換機。其中多余的端口作為備用端口。外網在1#、2#和3#樓各需配置2臺單引擎的匯聚交換機。外網的2臺核心交換機位于3#樓的4層,為了保證核心設備的高效穩定運行,減少核心設備宕機對網絡產生重要影響,需配置冗余引擎。另外,本系統外網在1#、2#和3#還有共247個光纖到桌面的信息點。鑒于光纖到桌面的特殊性和光網絡流量集中管理,建議這些光網端口不配置接入層交換設備,而是直接聯到匯聚層的千兆光端口交換模板上,由匯聚層交換機直接負責這些光纖到桌面的信息節點的接入和訪問控制管理。Quidway?S8500系列核心交換機是由華為3Com公司自主開發的新一代高性能核心路由交換機產品,可廣泛應用于電子政務網核心層、校園網及教育城域網核心層、園區網和企業網核心層以及運營商IP城域網核心層、匯聚層。Quidway?S8500系列基于新一代核心交換機的設計理念,具備大容量高性能、可擴展能力強和業務與性能兼具的特點。Quidway?S8500系列支持新一代高性能接口,能夠為城域網、園區網、數據中心提供超高速鏈路,構建端到端以太網絡,打造低成本、高性能、具有豐富業務支持能力的高性能網絡。Quidway?S8500提供大容量、高密度、模塊化的二、三層線速轉發性能,內置強勁的全分布式業務處理引擎,以全線速處理二層、三層、MPLSVPN、組播等各種業務流量,提供完善的QoS保障、安全管理機制和電信級的高可靠設計,滿足大型IP網絡對多業務、高可靠、大容量、模塊化的需求。1>先進的體系結構Quidway?S8500系列產品采用全分布式體系結構設計,采用功能強大的ASIC芯片進行高速路由查找,并通過Crossbar技術進行高速報文交換,從而大大提升了路由交換機的轉發性能和擴充能力。Crossbar交換網芯片內置于主控板,不單獨占用設備槽位,可提供高達720Gbps的交換容量,并可平滑升級到1.44Tbps的交換容量。接口板通過多條高速總線分別連到兩塊主控板上的Crossbar交換網,從而實現真正的雙主控、雙交換網的熱備份,極大的提高了系統的可靠性。Quidway?S8500系列產品采用高性能的最長匹配、逐包轉發的方式,在保持線速性能和低成本的基礎上,革命性的解決了傳統交換機流Cache精確匹配轉發的致命缺陷,能夠有效的抗擊網絡"紅色代碼"、"沖擊波"等病毒的攻擊,更加適合大規模、多業務,復雜流量訪問的網絡。2>大容量、高密度線速交換Quidway?S8500系列產品目前最高可以提供720Gbps交換容量/428Mpps包轉發能力,并可平滑升級到1.44Tbps交換容量、857Mpps轉發能力。支持各種高密度業務板和組合業務板,整機可支持高達576個千兆端口的同時線速轉發,滿足核心層設備大容量、高密度的要求。3>強大的業務支撐能力Quidway?S8500支持MPLSVPN業務；支持豐富的組播協議〔IGMP、IGMPSNOOPING,PIM-SM、PIM-DM和MSDP/MBGP等；支持WebSwitch〔硬件支持、NAT〔硬件支持,內置防火墻〔硬件支持、IDS；支持POS/ATM、RPR等接口。4>MPLS/IPv6分布式線速支持Quidway?S8500系列產品遵循業務與性能并重的設計理念。一方面帶寬和網絡規模的增長推動核心路由交換機的性能容量不斷提升,另一方面業務的發展要求核心交換機更加智能化并具備更強的業務提供能力。Quidway?S8500系列產品采用功能強大的ASIC芯片實現MPLS、IPv6的分布式線速轉發,并能夠基于高性能NP實現線速NAT、WebSwitch等增值業務,在為用戶提供全面的有保障業務的同時,也做到根據需求業務可裁減。5>完善的QoS機制Quidway?S8500系列產品提供了靈活的隊列調度算法,可以同時基于端口和隊列進行設置,支持SP、WRR、SP+WRR三種模式；支持8個優先級隊列,3個丟棄優先級；支持WRED擁塞避免算法和端口流量整形。支持帶寬控制功能,流量限速的粒度為1Kbit/s,滿足精品寬帶網絡的要求。6>電信級可靠性設計：Quidway?S8500系列產品系統采用分布式結構,支持雙主控交換板,無源背板設計,所有單板支持熱插拔；電源系統交流/直流可選,采用1+1冗余熱備份,并支持雙路電源輸入；支持STP/RSTP/MSTP協議和VRRP協議,能夠滿足苛刻的電信級網絡可靠性要求,系統可靠性達到：99.999％。7>完善的安全機制：Quidway?S8500系列產品的先進的逐包轉發機制確保其在各種數據流狀況下的設備安全,支持OSPF、RIPv2及BGPv4報文的明文及MD5密文認證；支持URPF〔單播反向路徑檢查；采用802.1x方式對接入用戶進行認證,支持安全的SNMPv3的網管協議、支持配置安全,對登錄用戶進行認證,不同級別的用戶有不同的配置權限,并提供兩種用戶認證方式：本地認證和RADIUS認證。Quidway?S8500系列產品通過靈活的MAC、IP、VLAN、PORT任意組合綁定,有效的防止非法用戶訪問網絡。支持多種ACL訪問控制策略,能夠對用戶訪問網絡資源的權限進行設置,保證網絡的受控訪問。Quidway?S8500系列產品還支持標準Radius協議,同時提供Radius+功能,以及HCBM?〔華為可控組播管理協議功能支持。基于硬件支持的內置防火墻/IDS功能為核心交換設備安全組網提供了多樣化的選擇,簡化了網絡層次,提高了整網性能。Quidway?S8500系列產品可與華為3ComSecEngineD系列IDS設備實現線速安全聯動,采用標準的SNMPv2/v3作為聯動協議的承載協議,根據不同的攻擊事件行為,使聯動交換機產生下述不同的ACL對數據流進行阻斷：可以對單一主機發起的所有流、單一主機特定端口發起的流、單一主機接收的所有流、單一主機特定端口的接收流、指定網絡發起的所有流、指定網絡接收的所有數據流或明確的五元組流<源和目的IP地址和端口和協議>進行阻斷,為用戶建立起立體的安全網絡。隨著Internet從科研向商業應用的轉變,網絡用戶迅猛增加,各種類型的應用〔包括文件傳送、Web瀏覽、局域網互聯、視頻/音頻會議、IP電話以及其它實時多媒體業務共存在一個物理網絡上,網絡節點的處理能力、QoS保障和網絡帶寬逐漸成為Internet繼續發展的主要障礙。隨著光傳輸技術的發展,尤其DWDM的出現,傳輸帶寬不再成為網絡的瓶頸,而網絡交換節點的處理能力顯得尤為重要。為了滿足IP網絡新變化,G比特路由器〔GSR和T比特路由器〔TSR應運而生,這些高端路由器采用大容量交換結構和硬件高速轉發技術,大大提高了報文轉發速度；作為這些設備交換核心的網絡處理器〔NetworkProcessor技術也得到了迅猛的發展和應用。那么,什么是網絡處理器呢？根據國際網絡處理器大會〔NetworkProcessorsConference的定義：網絡處理器是一種可編程器件,它特定的應用于通信領域的各種任務,比如包處理、協議分析、路由查找、聲音/數據的匯聚、防火墻、QOS。網絡處理器的使用者是研制路由器、交換機、HUB、服務器、網絡接口卡、VPN和網橋設備的通信設備制造商。目前生產網絡處理器的公司有很多,大公司有Intel、Agere〔Lucent的微電子部、摩托羅拉、IBM、InfineonTechnologies〔以前西門子的微電子部；小一點的公司有MMCNetworks、EzchipTechnologies、SiTera、SolidumSystems、T-Sqware、XstreamLogic等。網絡處理器目前的應用主要集中在數據通信網絡的中高端設備上,和以前的CPU軟件轉發、FPGA實現轉發、ASIC實現轉發相比,它有以下特點或優點：1、性能高很多算法都用硬件實現,內部一般都集成了幾個甚至幾十個轉發微引擎〔CPU和硬件協處理器、硬件加速器,在實現復雜的擁塞管理、隊列調度、流分類和QOS功能的前提下,還可以達到很高的查找、轉發性能,實現所謂的"硬轉發"。目前已經投入商用的有支持2.5GPOS口的NP、支持10GPOS的NP、支持40GPOS口的NP。2、可以進行靈活的功能擴展由于可以進行編程,一旦有新的技術或者需求出現,可以很方便的通過軟件編程進行實現,系統的功能可以通過軟件模塊方便的添加刪除。所以對于特殊的用戶需求,可以進行定制開發,即可以在短時間內通過模塊刪減開發能滿足不同用戶需求的產品。而以前用FPGA實現的情況下,需要修改管腳功能,重新調試升級,而且大多情況下其它硬件設計也要改動,為系統可靠性帶來很大隱患。用ASIC實現的情況下,無法對新的功能進行添加,只能重新設計,更新芯片。在開發時間上,按照業界的經驗數字,軟件開發時間一般為6個月,而用FPGA實現的時間為18個月,用ASIC實現的時間更長,通常需要2~3年的時間,隨著網絡處理器使用C語言編程的推進,開發周期變的將會更短。所以NP具有更靈活的擴展能力。3、可靠性高由于大部分功能都使用一個或者兩個芯片實現,芯片轉產前都經過了嚴格的測試和各種抗干擾和破壞性試驗,從而使使用NP的系統的可靠性大大提高。所以NP特別適合用于開發電信級數據通信產品。4、豐富的流分類、擁塞管理、隊列調度和QOS功能大多數NP都使用硬件的并行操作,實現了業界流行的各種算法,為使用NP的設備提供了豐富和強大的QOS功能。很多以前用軟件實現時無法保證性能的復雜QOS功能,在使用了NP之后,可以很容易的得到實現,并且對性能基本沒有影響。5、管理、開發方便NP都提供了和上層CPU標準的接口或者內置管理CPU,可以和其它CPU實現高速通訊。NP一般都提供了大量硬件計數器,可以方便的實現各種MIB統計功能,為網管提供支持。NP一般都提供了編譯系統和軟件樣例,而且目前主流的NP都提供軟件仿真開發平臺,可以進行離線開發和驗證,甚至可以用仿真平臺將軟件的效率仿真到Cycle級；在在線調試時有單步跟蹤、設置斷點等手段,可以使設備開發商在較短時間內開發出適合產品需要的軟件。6、可以實現靈活組態NP作為一個器件,都提供了靈活的配置功能,可以通過NP的不同形式組合或者和其它CPU的組合,實現系統的靈活配置,滿足不同設備的需求,方便了系統設計,加快了設備的開發進度。本項目內、外網的匯聚交換機S6506全部選用第三代交換容量為384Gbps的引擎。樓號內網外網匯聚交換機匯聚上聯端口匯聚交換機匯聚上聯端口光口1號樓28241092號樓2824733號樓282465合計：624612247考慮到內網不同辦公樓內用戶之間互訪的流量較大,因此在內網的匯聚交換機上聯采用雙GE捆綁到核心交換機,6臺匯聚共需24個上聯千兆端口,因此每臺內網核心交換機需要12個千兆端口用于匯聚設備的連接。而外網用戶訪問公網的流量相對較大,不同樓宇間的用戶互訪的需求較少,因此外網核心與匯聚設備互聯采用單千兆聯路,即每臺匯聚交換機有兩條千兆鏈路分別上聯到外網的核心交換機上,每臺外網核心交換機需要有6個千兆端口用于下聯匯聚交換機。由于外網還有247個光纖到桌面的端口需要全部直連到匯聚交換機,因此6臺匯聚交換機需要增配20個光端口的模板和若干多模千兆光纖接口模塊,數量如下：樓號設備名稱數量1號樓20個光端口模板6多模光纖接口模塊1092號樓20個光端口模板4多模光纖接口模塊733號樓20個光端口模板4多模光纖接口模塊65Quidway?S6500系列高端多業務路由交換機是華為3Com公司面向IP城域網、大型企業網及園區網用戶開發的系列大容量、高密度、模塊化的二、三層線速以太網交換機產品,主要作為企業的核心交換機或城域網匯聚層交換機。該系列產品包括S6502〔2槽,S6503〔4槽,S6506〔7槽,S6506R〔8槽。Quidway?S6500能夠為城域網、園區網、數據中心提供超高速鏈路,打造低成本、高性能、具有豐富業務支持能力的高性能網絡。Quidway?S6500提供大容量、高密度、模塊化的二、三層線速轉發性能,同時具有豐富的業務功能、強大的QoS保障、完善的安全管理機制和電信級的高可靠設計,完全滿足行業客戶和運營商用戶對多業務、高可靠、大容量、模塊化的需求。Quidway?S6500系列高端多業務交換機的特點可以用一句話來概括："多快好省、高而不貴"。"多"：產品系列多、引擎規格多、接口板類型多。有利于簡化網絡結構,降低建網成本。產品系列多：S6500系列包括S6502〔2槽,S6503〔4槽,S6506〔7槽,S6506R<8槽>。產品設計采用開放式的體系結構、統一的硬件平臺、完全兼容的引擎和接口板、相同的軟件版本、以及系列化機箱。S6500還可以支持POE〔PowerOverEthernet特性,提供支持POE功能的系列機箱和單板,能夠實現向遠端受電設備〔IP電話、WLAN無線接入點等進行以太網遠端供電。引擎規格多：基于新一代ASIC技術的Salience?系列交換路由引擎將L2/3/4線速轉發與豐富的QOS、ACL特性結合在一起,是組建高可靠、低時延的核心網絡的重要保障。S6500提供系列化的引擎,可以根據用戶的需求在系列化機箱上進行靈活配置。iSalience?I〔交換容量32GbpsSalience?I〔交換容量64GbpsSalience?II〔交換容量64GbpsSalience?III96G〔交換容量96GbpsSalience?III384G〔交換容量384Gbps接口板類型多：提供百兆、千兆、萬兆等各種類型的以太網接口；提供100m-100km快：采用先進體系結構設計,交換容量高達768G,支持新一代線速接口,提供網絡高性能。先進的體系結構：S6500采用全分布式體系結構設計,采用功能強大的ASIC芯片進行高速路由查找,并通過Crossbar技術進行高速報文交換,從而大大提升了路由交換機的轉發性能和擴充能力。Crossbar交換網芯片內置于主控板,不再單獨占用設備槽位,可提供高達768G的交換容量。高密度二、三層全線速接口：S6500系列推出SalienceIII系列交換引擎,最大交換容量為768Gbps,在滿配時S6500最大可提供288GE或288FE。萬兆接口支持：S6500提供的新一代萬兆以太網在線速轉發的基礎上能夠提供強大的QoS保障,并支持豐富的ACL、策略路由、安全等特性。S6500支持高密度萬兆設計,每塊業務板可以提供1－4個萬兆接口。好：支持強大的QoS能力和精細化用戶管理,高可靠、高安全設計,采用智能業務擴展模塊可以實現靈活的智能化業務能力。強大的QoS能力和精細化用戶管理：每端口支持8個硬件隊列,帶寬控制粒度可達64Kbps；強大的用戶管理、認證計費功能支持；支持CAMS?〔綜合訪問控制管理服務器系統,提供專業用戶管理、計費解決方案；內置IEEE802.1x認證服務器功能。內置DHCPSERVER功能。運營級可靠性設計：系統采用分布式結構；S6506R支持雙主控板；S6500系列所有單板支持熱插拔；電源系統采用N+1冗余熱備份；支持STP/RSTP/MSTP協議和VRRP協議,能夠滿足苛刻的電信級網絡可靠性要求；支持雙路電源供電。完善的安全機制：支持標準Radius協議,同時提供Radius+功能；支持TACAS+協議；HCBM?〔華為可控組播管理協議功能支持；保證對用戶的精確認證。支持SSHV1/2。基于最長匹配的路由方式,保證了所有報文均獲得相同的轉發性能,對"紅碼病毒"和"沖擊波病毒"的攻擊具有天生的防御能力。智能業務擴展：能夠提供高速的NAT數據流轉發,支持動態NAT功能、動態NAPT功能、ALG功能、多ISP支持、EasyIP支持、NAT黑名單、內部服務器功能、NAT策略和NAT日志等功能。支持基于ACL的策略路由。支持NetStream功能,能夠對通過交換機的網絡流量進行精細化統計。省：極高的性價比,為客戶量身打造,總有一款適合您；性能、業務可平滑擴展升級,保護用戶投資。無與倫比的性能價格比：S6500提供系列化機箱和系列化超級引擎,可以根據不同組網需要進行靈活配置；S6500提供多種高密度百兆、千兆、萬兆接口板,有效簡化網絡結構、降低建網成本；S6502無需專門的主控交換引擎,主控交換功能內置于接口板內部,進一步降低建網成本。強大的擴展性能：S6500具有強大的性能和業務擴展能力；背板帶寬高達1.6Tbps；采用智能業務擴展模塊可以實現靈活的智能化業務能力,如NAT/MPLS/WebSwitch/NetStream/IPv6等高級業務特性,從而有效保障用戶的投資。內網樓號樓層接入交換機<48口>接入交換機<24口>接入上聯端口1號樓8F247F246F365F364F2163F242F1141F24B1FB2F1號樓小計172382號樓12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2號樓小計433923號樓8F1147F246F365F124F1143F122F241F12B1FB2F3號樓小計10428合計：709158由于每臺接入交換機都有2個千兆光纖端口分別上聯到匯聚交換機,因此內網的70臺LS-3952-P和9臺LS-3928-P共需要158個