目錄TOC\o"1-3"\h\z1 項目概況 -1-1.1 項目背景 -1-1.2 建設目標 -1-1.3 工程范圍 -1-1.4 網絡信息點位分布與數量表 -1-2 總體設計 -3-2.1 設計依據 -3-2.2 設計原則 -3-3 網絡系統 -5-3.1 網絡協議的選擇 -5-3.2 網絡技術選擇 -5-3.2.1 VLAN（VirtualLANs） -5-3.2.2 三層交換技術 -6-3.2.3 VRRP -7-3.2.4 其它網絡技術 -8-3.3 網絡設計概要 -8-3.4 網絡的分層設計 -9-3.4.1 核心層 -9-3.4.2 匯聚層 -9-3.4.3 接入層 -10-3.4.4 選用華為3COM的網絡設備 -10-3.4.5 網絡規劃 -11-3.5 網絡拓撲圖 -24-3.6 網絡冗余設計 -26-3.7 路由規劃 -26-3.8 應用VRRP技術 -28-3.9 選擇組播協議 -31-3.10 VLAN規劃 -33-3.11 IP地址分配原則 -33-3.11.1 內網IP分配規劃 -34-3.11.2 外網IP分配規劃 -34-3.12 本設計方案的特點 -35-3.12.1 完全的分布式的處理方式 -35-3.12.2 核心交換機先進的體系架構設計 -35-3.12.3 基于流攻擊的防止 -35-3.12.4 QOS功能 -35-3.12.5 廣播風暴的抑止 -36-3.12.6 高可用性保障 -36-4 網管管理系統 -36-4.1 網絡管理的重要性 -36-4.2 管理系統的總體設計 -37-4.3 華為3Com網絡管理解決方案 -37-4.3.1 產品特點 -37-4.3.2 典型組網應用 -41-4.4 用戶的安全接入管理 -41-5 網絡系統安全特性 -42-5.1 配置IDS -42-5.2 網絡病毒的診斷 -42-5.3 協議的安全性 -42-5.3.1 應用服務協議的安全 -42-5.3.2 路由協議的安全 -43-5.3.3 網管SNMP的安全性 -43-5.4 網絡設備的安全性 -43-5.4.1 控制口console的控制 -43-5.4.2 遠程登錄telnet的控制 -44-5.5 限制外網BT業務流量 -44-5.6 多元綁定技術的應用 -47-5.6.1 網絡安全特征 -48-5.6.2 可用綁定技術規劃高安全的網絡 -49-5.7 防止對DHCP服務器的攻擊 -52-5.7.1 PrivateVLAN -52-5.7.2 訪問控制列表 -53-5.7.3 新的命令 -53-5.8 惡意用戶追查 -53-5.9 防病毒攻擊 -53-5.9.1 防止DOS攻擊 -54-5.9.2 防止基于流的攻擊特性 -54-5.9.3 防止病毒的廣播傳遞 -55-6 網絡入侵檢測 -56-6.1 入侵檢測系統在外網網絡的作用 -56-6.1.1 在外網建設入侵檢測系統的必要性 -56-6.2 本系統外網絡入侵檢測產品選型 -59-6.2.1 網絡入侵檢測技術簡介 -59-6.2.2 網絡入侵檢測技術分析 -60-6.2.3 網絡入侵產品選型 -62-6.3 網絡入侵檢測產品部署 -65-6.3.1 NetEyeIDS部署建議 -65-6.3.2 NetEyeIDS的集中管理 -66-6.3.3 NetEyeIDS的系統結構 -67-6.3.4 NetEyeIDS的配置清單 -67-6.4 網絡入侵檢測產品擴展及建議 -68-6.4.1 NetEyeIDS平滑擴展 -68-6.4.2 NetEyeIDS安全聯動 -68-6.5 NetEyeIDS優勢介紹 -69-7 網絡防病毒 -72-7.1 計算機病毒發展和入侵途徑分析 -72-7.1.1 計算機病毒的發展趨勢 -72-7.1.2 病毒入侵渠道分析 -73-7.2 本系統外網網絡防病毒技術要求 -74-7.3 網絡防病毒需求分析 -76-7.4 防病毒解決方案 -78-7.4.1 設計思想 -78-7.4.2 防病毒規劃 -79-7.4.3 部署產品 -79-7.4.4 部署示意 -79-7.4.5 部署防病毒系統實現的效果 -80-7.5 網絡版防毒系統介紹 -81-7.5.1 網絡版產品簡介 -81-7.5.2 網絡版系統需求 -82-7.5.3 網絡版部署方式 -83-7.5.4 網絡版管理方式 -84-7.5.5 網絡版升級方式 -84-7.5.6 網絡版功能特色 -84-8 設備安裝場地及環境要求 -92-8.1 機房的選址建議要求 -92-8.2 機房的建筑建議要求 -92-8.3 網絡設備工作環境的要求 -93-8.3.1 溫度和濕度要求 -93-8.3.2 潔凈度要求 -94-8.3.3 防靜電要求 -94-8.3.4 電磁環境要求 -95-8.3.5 防雷擊要求 -95-8.3.6 抗干擾要求 -95-8.3.7 照明要求 -96-9 實施方案 -97-9.1 總體實施規劃 -97-9.2 工程界面 -98-9.3 工程實施組織結構和分工 -99-9.4 項目實施計劃編制和文檔修改控制 -100-9.5 工程協調會和工程進度安排 -102-9.6 項目實施 -107-9.6.1 安裝準備 -107-9.6.2 到貨檢查 -107-9.6.3 設備安裝檢驗 -108-9.6.4 連通性和系統完整性測試 -110-9.6.5 系統測試和驗收 -110-9.6.6 培訓 -110-9.6.7 實施總結 -111-9.6.8 售后維護 -111-9.6.9 過程監控 -111-9.7 項目質量保證計劃 -112-9.8 工程文檔 -113-10 驗收方案 -115-10.1 驗收的方法與步驟 -115-10.2 驗收測試標準 -115-10.3 驗收測試流程 -115-10.4 整體系統驗收 -116-10.5 檢測方法與目的 -118-10.5.1 設備到貨驗收 -118-10.5.2 初驗收 -122-10.5.3 系統終驗 -123-11 培訓方案 -126-11.1 培訓目的 -126-11.1.1 的培訓優勢 -126-11.2 華為3COM培訓機構簡介 -129-11.2.1 培訓理念 -129-11.2.2 總體介紹 -129-11.2.3 培訓師資 -130-11.2.4 課程設計 -130-11.2.5 中高端路由器產品培訓項目 -133-11.3 本項目培訓計劃 -134-11.3.1 現場培訓 -134-11.3.2 國內技術培訓 -134-12 質保和售后服務 -140-12.1 公司技術服務的優勢 -140-12.2 公司的服務承諾 -140-12.3 華為3COM的服務承諾 -141-12.3.1 技術服務 -141-12.3.2 技術支持 -142-12.3.3 備件以及設備維保 -143-12.4 趨勢科技的售后服務 -143-12.4.1 技術支持部分 -143-12.4.2 自動升級服務 -143-12.4.3 新版本更新權利 -144-12.5 服務體系簡介 -144-12.5.1 服務架構 -144-12.5.2 服務范圍及程度 -146-項目概況項目背景目前，XXX辦公大樓改造已進入工程實施階段，即將建成。屆時1#、2#和3#樓將通過光纖鏈路和綜合布線系統進行組網，實現的辦公內部網絡。為充分發揮XXX辦公大樓的作用，有必要在樓內進行辦公網絡聯網建設，實現真正意義上的內部網絡連接，同時建設于內網完全物理隔離的辦公外網，提高辦公自動化程度，進一步加速和推進的信息化建設。通過與工程技術人員進行詳細的技術交流并到辦公大樓現場考察，在充分理解用戶方需求的基礎上，提出本設計方案。建設目標在XXX辦公大樓綜合布線系統的基礎上，建立起聯系3座辦公樓內的所有單位內部辦公網絡和外部辦公網絡，集信息收集、傳遞、發布等多功能為一體，可用圖、文、聲、像等多媒體方式進行信息交互的專用辦公內網。可以實現部屬機關內部的互聯互通、數據傳輸，使信息交互的實效性更加增強，提高可靠性和信息化辦公程度，從而降低總體辦公費用。工程范圍本次網絡工程范圍是1#、2#、3#三棟辦公樓，總建筑面積約為6500平米。每棟大樓均有兩個獨立的弱電豎井，本次改造要求內網、外網之間物理隔離，內網、外網由弱電豎井分別置各層。本大樓的功能定位對數據通信有較高的要求，因此垂直主干設12芯多模光纜，水平布線全面采用6類線纜。重點部分區域建議光纖到桌面。內網、外網網絡機房均設在3#樓4層。網絡信息點位分布與數量表1#2#3#樓網絡信息點位分布與數量表樓號樓層網絡信息點數量光網點內網點外網點1#1097548548F1384877F1883866F161281315F171241274F10981433F18901082F972921F86468地下1F044地下2F0782#731975201312F4373911F1018518810F102072109F61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地下1F0911地下2F047491#654835258F351557F1586886F51221275F513204F1752553F618262F7961011F71422地下1F055地下2F02626合計24732123392

總體設計設計依據《信息化網絡集成項目比選文件》；國內國際信息化建設相關標準和規范；政府、企業網絡建設方面的豐富的經驗。設計原則我們在進行總體設計和設備選型時遵循以下設計原則：可靠性高可靠性是大樓智能化的重要標準。采用先進的設計思想，提供連續的網絡工作環境，系統應具有較強的自動糾錯能力，合理的網絡鏈路策略，確保系統7X24小時正常服務。擴展性隨著業務發展，需求也會不斷增長，因而對大樓網絡系統要求有很高的擴展性。設計時應支持多種的系統標準，達到在各個系統上提供一些預留接口，使得在用戶需要時，系統可以跨越現有的平臺，增加新的功能，實現平滑的擴展。采用的技術和設備遵循相關國際、國內標準，能支持各種相應的接口和標準協議，具有兼容性、靈活性和可移植性。先進性和成熟性在對系統進行設計時，要符合當今技術發展方向，系統硬、軟件的選擇和系統的設計，采用符合當前技術和管理發展方向的先進性技術和思想。同時，確保設備和技術都是有成功應用先例的。使用被證明了是成熟的設備和技術，減少實施風險。安全性XXX辦公大樓是國家政策、文件、信息的核心地。承擔著極其重要的工作。系統安全性主要體現在防止來自外部對網絡的攻擊、侵擾、病毒。保證文件信息的不篡改不丟失。中選單位必須有中國信息安全評測認證中心的《信息安全服務資質標準》的信息安全服務資質認證。可維護性為確保投資的有效性和大樓的實用性，應針對功能特點選用設備和技術，并盡量簡化系統配置步驟，使其容易得到維護和維修。

網絡系統本規劃將從當前及未來一個時期內應用的實際出發，對信息管理系統的基礎設施—網絡系統進行規劃設計，從而達到一個先進、高效、可靠、實用和便于維護、擴展性能較強的網絡，為信息化提供穩定和功能強大的網絡平臺。網絡協議的選擇本網絡系統以TCP/IP為主要協議。因為TCP/IP協議簇是目前眾多計算機網絡最流行的協議，以它為基礎組建的Internet網是目前國際上規模最大的計算機網間網，采用TCP/IP為網絡主要協議，可保證系統各部分網絡保持一致。網絡技術選擇網絡技術發展很快，新技術層出不窮，有的具有旺盛的生命力，如以太網技術；有的很快就被淘汰，如TokenRing、FDDI等。因此，就給用戶投資帶來一定的風險，如何把握網絡發展的方向，選擇合適的技術和產品非常重要。在本項目中，我們采用千兆以太網作為骨干網技術，同時，我們將采用一些其它的先進且成熟的網絡技術，如VLAN、三層交換、虛擬路由器冗余協議（VRRP，RFC2338）、入侵檢測（IDS）、服務質量（QoS）、組播（MultiCast）等，使整個網絡具有優異的性能、良好的安全可靠性及未來的可擴展性。下面重點介紹幾種先進實用的網絡技術。VLAN（VirtualLANs）隨著網絡技術日新月異，L3，L4交換已經非常成熟。Internet中也越來越廣泛地應用了交換技術，全交換網絡已經非常普遍。在這些網絡中，VLAN的使用是必不可少的。VLAN是一個根據作用、計劃組、應用等進行邏輯劃分的交換式網絡。與用戶的物理位置沒有關系。舉個例子來說，幾個終端可能被組成一個部分，可能包括工程師或財務人員。當終端的實際物理位置比較相近，可以組成一個局域網（LAN）。如果他們在不同的建筑物中，就可以通過VLAN將他們聚合在一起。同一個VLAN中的端口可以接受VLAN中的廣播包。但別的VLAN中的端口卻接受不到。VLAN提供以下一些特性簡化了終端的刪除、增加、改動當一個終端從物理上移動到一個新的位置，它的特征可以從網絡管理工作站通過SNMP或用戶界面菜單中重新定義。而對于僅在同一個VLAN中移動的終端來說，它會保持以前定義的特征。在不同VLAN中移動的終端來說，終端可以獲得新的VLAN定義。控制通訊活動VLAN可以由相同或不同的交換機端口組成。廣播信息被限制在VLAN中。這個特征限定了只在VLAN中的端口才有廣播、多播通訊。管理域（managementdomain）是一個僅有單一管理者的多個VLAN的集合。工作組和網絡安全將網絡劃分不同的域可以增加安全性。VLAN可以限制廣播域的用戶數?？刂芕LAN的大小和組成可以控制廣播域的相應特性。在VLAN中應用最廣的就是GVRP和STP技術。它們是VLAN中優點的集中體現。三層交換技術現在，網絡業界對“三層交換”這個詞已經不感到陌生了，在中大型規模網絡建設中，以千兆三層交換機為核心的主流網絡模型已不勝枚舉。其實，三層交換從其出現到今天的普及應用也不過幾年的時間，計算機網絡加速度式的迅猛發展勢頭，實在快得令人吃驚?！叭龑咏粨Q”概念的出現，與VLAN有著密不可分的聯系。事實上，一個虛擬網就是邏輯上的子網。為了避免在大型交換機上進行廣播所引起的廣播風暴，可將其進一步劃分為多個虛擬網。在一個虛擬網內，由一個工作站發出的信息，只能發送到具有相同虛擬網號的其他站點，而其他虛擬網的成員收不到這些信息或廣播幀。由于網絡變得越來越復雜，性能要求也越來越高，這就要求網管員能夠成功地部署VLAN，從而使網絡更加靈活而且易于管理。以往，網管員將3/4的時間花費在維護網絡的基礎結構，確保通信流量的優化，并處理移動和變更等工作。通常情況下，當一名用戶轉移到網絡中另一個物理位置時，需要重新配置網絡，甚至還有用戶的工作站需要進行大量的管理工作。針對于此，VLAN的部署就是將通過減少管理網絡中移動與變更所需的資源，從而實現為用戶節約大量寶貴的資源。VLAN技術還可以在以下關鍵領域內為用戶提供價值：比路由器更具有成本效益的廣播控制，有效抑制廣播風暴。支持多媒體應用與高效組播控制，提高網絡帶寬的有效利用率。提高網絡的安全性，各種顯式或隱式的VLAN劃分方法提供基于策略的安全訪問機制。網絡監督與管理的自動化，更多的有效的網絡監控。減少路由需要，基于ASIC技術，大幅度提高設備的數據包轉發能力。VLAN之間如何通信？簡單回答就是“通過路由”。因此，這種技術也引發出一些新的問題：虛擬網之間通信是不允許的，這也包括地址解析(ARP)封包。要想通信，就需要用路由器橋接這些虛擬網，這就是虛擬網的問題：用交換機速度快但不能解決廣播風暴問題，在交換機中采用虛擬網技術可以解決廣播風暴問題，但又必須放置路由器來實現虛擬網之間的互通。在這種網絡系統集成模式中，路由器是核心。過去的網絡在一般情況下按“80/20分配”規則，即只有20%的流量是通過骨干路由器與中央服務器或企業網的其他部分進行通信，而80%的網絡流量主要仍集中在不同的部門子網內。而今天，這個比例已經提高到了50%（“平分秋色”）甚至80%（倒二八，20/80），這是因為今天的網絡正在經歷著諸多應用的集合影響。網絡應用已經超越了組件和電子郵件，新型應用已經如此迅速和深刻地沖擊著網絡，比如，任何人通過任何一個瀏覽器便可進行訪問設定的Web網頁，支持諸如銷售、服務和財務之類商業功能的數據倉庫。這種變化對傳統路由器產生了直接的沖擊。因為傳統的路由器更注重對多種介質類型和多種傳輸速度的支持，而目前數據緩沖和轉換能力比線速吞吐能力和低時延更為重要。路由器的高費用、低性能，使其成為網絡的瓶頸。但由于網絡間互連的需求，它又是不可缺少的并處于網絡的核心位置，雖然也開發了高速路由器，但是由于其成本太高，僅用于Internet主干部分。在這種情況下，提出了三層交換技術。三層交換機是采用Intranet應用的關鍵，它將二層交換機和三層路由器兩者的優勢有機而智能化地結合成一個靈活的解決方案，可在各個層次提供線速性能。這種集成化的結構還引進了策略管理屬性，不僅使二層與三層相互關聯起來，而且還提供流量優先化處理、安全訪問機制以及多種其它的靈活功能。三層交換機分為LAN接口層、二層交換矩陣層和三層交換矩陣（路由控制）層三部分。三層交換機的應用其實很簡單，主要用途是代替傳統路由器作為網絡的核心。因此，凡是沒有廣域網連接需求，同時需要路由器的地方，都可以用三層交換機代替。在企業網中，一般會將三層交換機用在網絡的核心層，用三層交換機上的千兆端口或百兆端口連接不同的子網或VLAN。因為其網絡結構相對簡單，節點數相對較少。另外，其不需要較多的控制功能，并且要求成本較低。簡單地說，三層交換技術就是：二層交換技術＋三層轉發技術。它解決了局域網中網段劃分之后，網段中子網必須依賴路由器進行管理的局面，解決了傳統路由器低速、復雜所造成的網絡瓶頸問題。VRRP當路由器功能出現故障時，VRRP（虛擬路由器冗余協議，RFC2338）通過同一個局域網中的另一臺路由器來保障網絡的正常運行。通過設置虛擬路由器為缺省路由器，終端用戶在路由器發生故障時可以繼續通信，而不必考慮轉換到另一臺路由器上。利用同一個以太網中的兩臺路由器設置一臺虛擬路由器。在實際運行中，兩臺路由器中的任一臺成為主路由器，該主路由器模擬虛擬路由器。備份路由器監控主由器狀態。一旦主路由器出現故障影響網絡運行，備份路由器立即進入主路由器狀態以模擬虛擬路由器。IP地址被分配給虛擬路由器。指定虛擬路由器IP地址為缺省路由器的服務器將不會覺察主路由器的切換而繼續進行正常通信。關于VRRP的詳細設計和部署情況請參見后續章節。其它網絡技術在本網絡中，除了采用三層交換和VRRP技術，根據應用情況，還可采用組播（Multicast）、QoS和負載均衡等先進網絡技術。全面支持MultiCast：選擇設備全部支持MultiCast，主干設備支持DVMRP、PIM、IGMP、GARP組管理協議和多點發送、多點廣播協議，充分適應網絡特殊網絡傳輸要求。一定的QoS保證：核心設備支持RSVP、CAR(CommittedAccessRate)以及可配置門限的多種隊列采用WAED、WRR、業務類型/業務級別(ToS/CoS)映射機制，在滿足基本要求前提下保持高性價比，也為多媒體應用提供了堅實地網絡基礎。負載均衡實現：在核心設備上通過設置不同的VLAN的優先級，可將所有的VLAN流量分擔在各樓的兩臺匯聚設備上，通過兩臺匯聚設備的VRRP功能，實現網絡層的負載均衡。也可根據未來網絡擴展的需求，增加相關的專用負載均衡設備實現3-7層的負載均衡功能。網絡設計概要XXX辦公大樓內、外網網絡系統項目的總體設計目標以高可靠性、高安全性、高性能、極好的可擴展性和有效的可管理性為原則，同時兼顧考慮到技術的成熟性、先進性和可擴充性，網絡系統設計采用層次化、結構化的設計方法。根據對本系統網絡需求的初步分析，確定辦公內、外網網絡采用多千兆鏈路捆綁，百兆到桌面的方案，本方案具有較好的性能價格比，整個網絡采用分層設計技術，骨干為網絡中心與1#、2#和3#樓之間的多千兆光纖線路，接入網為各終端節點的10/100M以太網接入線路。核心設備使用高端路由交換機，接入設備選用具備三層交換功能的接入交換機。各樓內采用虛擬網VLAN技術實現功能群的劃分，VLAN可在匯聚設備上創建。利用統一的標準調整網絡規劃，避免可能的不兼容性，保證整個網絡的統一架構。根據我們對網絡系統需求的初步分析并結合本系統的特點，我公司提出一套基于華為3COM網絡設備的解決方案，本方案具有較好的性能價格比，內網和外網全部采用分層設計，利用統一的標準調整網絡擴容規劃，避免可能的不兼容性，保證整個內、外網絡的統一架構。網絡的分層設計XXX辦公大樓內、外網網絡系統設計為兩級網絡，三級設備節點：以網絡中心（中心節點）為中心，邊界至1#、2#和3#樓（匯聚節點）的骨干網；以1#、2#和3#樓（匯聚節點）為中心，邊界至同各配線間（接入節點）的接入網；本系統的辦公內、外網拓撲為冗余樹型結構，無匯聚與匯聚和接入與接入節點之間有物理直聯的需求。因此所有匯聚節點之間的通信全部經過網絡中心的核心路由交換機實現數據交換，比較容易對各樓之間的流量和訪問控制進行有效控制。層次化設計的優點為：可擴展性：因為網絡可模塊化增長而不會遇到問題；簡單性：通過將網絡分成許多小單元，降低了網絡的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環等潛在的問題；設計的靈活性：使網絡容易升級到最新的技術，升級任意層次的網絡不會對其它層次造成影響，無需改變整個環境；可管理性：層次結構使單個設備的配置的復雜性大大降低，更易管理。核心層核心層為匯聚和接入層提供優化的數據輸運功能，它是一個高速的路由交換骨干，其作用是盡可能快地交換數據包而不應卷入到具體的數據包的運算中（ACL，過濾等），否則會降低數據包的交換速度。內外網核心層設備各包括兩臺核心交換機。匯聚層匯聚層提供基于統一策略的互連性，它是核心層和接入層的分界點，定義了網絡的邊界，對數據包進行復雜的運算。匯聚層主要提供地址的聚集、部門和工作組的接入、廣播域/多目傳輸域的定義、InterVLAN路由、任何介質的轉換和安全控制等功能。在內、外網中，1#、2#和3#辦公樓各有2個匯聚層交換機，通過OSPF和VRRP實現設備和鏈路的冗余備份。接入層接入層直接為各接入用戶提供的網絡訪問接入。本系統的接入設備選用支持802.1x功能的接入交換機。選用華為3COM的網絡設備本項目中涉及的網絡設備種類不多，但各設備類別具體需求各不相同，因此在選擇設備廠商時，應考慮選擇技術先進，產品線豐富，售后服務周到，且具有良好信譽的網絡設備廠家。網絡設備的選擇原則如下：1．必須支持本系統目前以及未來涉及到的網絡技術，如Trunking、VLAN/PVLAN、RoutingSwitch、ACL、QoS、Multicast及多種路由協議等；2．必須支持多協議下的局域網絡互連；3．必須支持國際/國內網絡技術標準，與不同廠商的網絡安全產品有較好的互連性；4．必須支持SNMP網絡管理協議；5．所選產品必須具有良好的發展前景，能適應未來網絡技術的發展；支持向未來網絡新技術的平滑過渡。6．所選網絡設備必須能夠在不影響性能的情況下實現平滑升級。7．所選網絡設備必須要能夠在網絡中心利用網管軟件進行統一網管。在當今網絡設備的市場上，比較著名的廠商有華為3COM、Cisco、NORTELNetworks等。其中，華為3COM公司在政府、企業網絡、住宅寬帶產品、基于Internet協議的電話、以太網連接、網絡服務供應商的遠程接入與無線解決方案等領域都可提供高性價比的解決方案。因此我們在本項目網絡設計中選用華為3COM公司的網絡設備。核心設備：華為3COMQuidway?S8512S8512具有720Gbps的交換容量，背板為1.8Tbps（可擴展至3.6T），多層硬件轉發能力為428Mpps，完全滿足本網絡對核心路由交換的需求。另外，S8512未來還可順利增加防火墻模板和IDS模板，以保證核心交換機的安全功能平滑升級，從而在網絡核心層為提高內、外網絡的安全性提供更豐富的解決方案。匯聚設備：華為3COMQuidway?S6506S6506具有384Gbps的交換容量，背板為1.6Tbps，完全滿足本網絡對匯聚路由交換的需求。接入設備：華為3COMQuidway?LS-3952-P/LS-3928-PLS-3952-P和LS-3928-P具有32Gbps的交換背板，多層硬件轉發能力分別為13.2和9.6Mpps，完全滿足本網絡對接入交換機的需求。上述華為3COM的交換機都是具有較高性價比的產品，并且具有較大的擴展性。網絡規劃由于內外網的重要性，本次項目必須能夠為用戶提供不間斷的網絡服務，因此建議全網絡采用全冗余結構（設備冗余、線路冗余）互連。內網設備統計見下表：內網樓號樓層數據點接入交換機(48口)接入交換機(24口)匯聚交換機核心交換機1號樓8F84227F8326F12835F12434F98213F9022F72111F642B1F4B2F71號樓小計754172202號樓12F371211F185410F207419F17348F207417F17346F17345F17344F18343F18342F12931F9631B1F9B2F472號樓小計1975433203號樓8F5111227F8626F12235F1314F52113F1812F9621F141B1F5B2F263號樓小計48310422合計321270962由于每接入交換機具備48或24個端口，因此接入層交換機數量可根據內網的每層設備間管理的信息點數計算得出，內網需配置70臺48口和9臺24口交換機。其中多余的端口作為備用端口。內網在1#、2#和3#樓各需配置2臺單引擎的匯聚交換機。內網的2臺核心交換機位于3#樓的4層，為了保證核心設備的高效穩定運行，減少核心設備宕機對網絡產生重要影響，需配置冗余引擎。外網設備統計見下表：外網樓號樓層光網數據點接入交換機(48口)接入交換機(24口)匯聚交換機核心交換機1號樓8F1387227F188626F1613135F1712734F1014333F18108212F99221F8682B1F4B2F81號樓小計109854191202號樓12F4391211F10188410F10210419F617648F10210417F617646F617645F617644F618643F618642F113231F29831B1F11B2F492號樓小計732013433203號樓8F35511227F158826F512735F52014F1755113F62612F7101211F72211B1F5B2F263號樓小計6552511522合計247339273962由于每接入交換機具備48或24個端口，因此接入層交換機數量可根據外網的每層設備間管理的信息點數計算得出，外網需配置73臺48口和9臺24口交換機。其中多余的端口作為備用端口。外網在1#、2#和3#樓各需配置2臺單引擎的匯聚交換機。外網的2臺核心交換機位于3#樓的4層，為了保證核心設備的高效穩定運行，減少核心設備宕機對網絡產生重要影響，需配置冗余引擎。另外，本系統外網在1#、2#和3#還有共247個光纖到桌面的信息點。鑒于光纖到桌面的特殊性和光網絡流量集中管理，建議這些光網端口不配置接入層交換設備，而是直接聯到匯聚層的千兆光端口交換模板上，由匯聚層交換機直接負責這些光纖到桌面的信息節點的接入和訪問控制管理。Quidway?S8500系列核心交換機是由華為3Com公司自主開發的新一代高性能核心路由交換機產品，可廣泛應用于電子政務網核心層、校園網及教育城域網核心層、園區網和企業網核心層以及運營商IP城域網核心層、匯聚層。Quidway?S8500系列基于新一代核心交換機的設計理念，具備大容量高性能、可擴展能力強和業務與性能兼具的特點。Quidway?S8500系列支持新一代高性能接口，能夠為城域網、園區網、數據中心提供超高速鏈路，構建端到端以太網絡，打造低成本、高性能、具有豐富業務支持能力的高性能網絡。Quidway?S8500提供大容量、高密度、模塊化的二、三層線速轉發性能，內置強勁的全分布式業務處理引擎，以全線速處理二層、三層、MPLSVPN、組播等各種業務流量，提供完善的QoS保障、安全管理機制和電信級的高可靠設計，滿足大型IP網絡對多業務、高可靠、大容量、模塊化的需求。1)先進的體系結構Quidway?S8500系列產品采用全分布式體系結構設計，采用功能強大的ASIC芯片進行高速路由查找，并通過Crossbar技術進行高速報文交換，從而大大提升了路由交換機的轉發性能和擴充能力。Crossbar交換網芯片內置于主控板，不單獨占用設備槽位，可提供高達720Gbps的交換容量，并可平滑升級到1.44Tbps的交換容量。接口板通過多條高速總線分別連到兩塊主控板上的Crossbar交換網，從而實現真正的雙主控、雙交換網的熱備份，極大的提高了系統的可靠性。Quidway?S8500系列產品采用高性能的最長匹配、逐包轉發的方式，在保持線速性能和低成本的基礎上，革命性的解決了傳統交換機流Cache精確匹配轉發的致命缺陷，能夠有效的抗擊網絡“紅色代碼”、“沖擊波”等病毒的攻擊，更加適合大規模、多業務，復雜流量訪問的網絡。2)大容量、高密度線速交換Quidway?S8500系列產品目前最高可以提供720Gbps交換容量/428Mpps包轉發能力，并可平滑升級到1.44Tbps交換容量、857Mpps轉發能力。支持各種高密度業務板和組合業務板，整機可支持高達576個千兆端口的同時線速轉發，滿足核心層設備大容量、高密度的要求。3)強大的業務支撐能力Quidway?S8500支持MPLSVPN業務；支持豐富的組播協議（IGMP、IGMPSNOOPING，PIM-SM、PIM-DM和MSDP/MBGP等）；支持WebSwitch（硬件支持）、NAT（硬件支持），內置防火墻（硬件支持）、IDS；支持POS/ATM、RPR等接口。4)MPLS/IPv6分布式線速支持Quidway?S8500系列產品遵循業務與性能并重的設計理念。一方面帶寬和網絡規模的增長推動核心路由交換機的性能容量不斷提升，另一方面業務的發展要求核心交換機更加智能化并具備更強的業務提供能力。Quidway?S8500系列產品采用功能強大的ASIC芯片實現MPLS、IPv6的分布式線速轉發，并能夠基于高性能NP實現線速NAT、WebSwitch等增值業務，在為用戶提供全面的有保障業務的同時，也做到根據需求業務可裁減。5)完善的QoS機制Quidway?S8500系列產品提供了靈活的隊列調度算法，可以同時基于端口和隊列進行設置，支持SP、WRR、SP+WRR三種模式；支持8個優先級隊列，3個丟棄優先級；支持WRED擁塞避免算法和端口流量整形。支持帶寬控制功能，流量限速的粒度為1Kbit/s，滿足精品寬帶網絡的要求。6)電信級可靠性設計：Quidway?S8500系列產品系統采用分布式結構，支持雙主控交換板，無源背板設計，所有單板支持熱插拔；電源系統交流/直流可選，采用1+1冗余熱備份，并支持雙路電源輸入；支持STP/RSTP/MSTP協議和VRRP協議，能夠滿足苛刻的電信級網絡可靠性要求，系統可靠性達到：99.999％。7)完善的安全機制：Quidway?S8500系列產品的先進的逐包轉發機制確保其在各種數據流狀況下的設備安全，支持OSPF、RIPv2及BGPv4報文的明文及MD5密文認證；支持URPF（單播反向路徑檢查）；采用802.1x方式對接入用戶進行認證，支持安全的SNMPv3的網管協議、支持配置安全，對登錄用戶進行認證，不同級別的用戶有不同的配置權限，并提供兩種用戶認證方式：本地認證和RADIUS認證。Quidway?S8500系列產品通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網絡。支持多種ACL訪問控制策略，能夠對用戶訪問網絡資源的權限進行設置，保證網絡的受控訪問。Quidway?S8500系列產品還支持標準Radius協議，同時提供Radius+功能，以及HCBM?（華為可控組播管理協議）功能支持。基于硬件支持的內置防火墻/IDS功能為核心交換設備安全組網提供了多樣化的選擇，簡化了網絡層次，提高了整網性能。Quidway?S8500系列產品可與華為3ComSecEngineD系列IDS設備實現線速安全聯動，采用標準的SNMPv2/v3作為聯動協議的承載協議，根據不同的攻擊事件行為，使聯動交換機產生下述不同的ACL對數據流進行阻斷：可以對單一主機發起的所有流、單一主機特定端口發起的流、單一主機接收的所有流、單一主機特定端口的接收流、指定網絡發起的所有流、指定網絡接收的所有數據流或明確的五元組流(源和目的IP地址和端口和協議)進行阻斷，為用戶建立起立體的安全網絡。隨著Internet從科研向商業應用的轉變，網絡用戶迅猛增加，各種類型的應用（包括文件傳送、Web瀏覽、局域網互聯、視頻/音頻會議、IP電話以及其它實時多媒體業務）共存在一個物理網絡上，網絡節點的處理能力、QoS保障和網絡帶寬逐漸成為Internet繼續發展的主要障礙。隨著光傳輸技術的發展，尤其DWDM的出現，傳輸帶寬不再成為網絡的瓶頸，而網絡交換節點的處理能力顯得尤為重要。為了滿足IP網絡新變化，G比特路由器（GSR）和T比特路由器（TSR）應運而生，這些高端路由器采用大容量交換結構和硬件高速轉發技術，大大提高了報文轉發速度；作為這些設備交換核心的網絡處理器（NetworkProcessor）技術也得到了迅猛的發展和應用。那么，什么是網絡處理器呢？根據國際網絡處理器大會（NetworkProcessorsConference）的定義：網絡處理器是一種可編程器件，它特定的應用于通信領域的各種任務，比如包處理、協議分析、路由查找、聲音/數據的匯聚、防火墻、QOS。網絡處理器的使用者是研制路由器、交換機、HUB、服務器、網絡接口卡、VPN和網橋設備的通信設備制造商。目前生產網絡處理器的公司有很多，大公司有Intel、Agere（Lucent的微電子部）、摩托羅拉、IBM、InfineonTechnologies（以前西門子的微電子部）；小一點的公司有MMCNetworks、EzchipTechnologies、SiTera、SolidumSystems、T-Sqware、XstreamLogic等。網絡處理器目前的應用主要集中在數據通信網絡的中高端設備上，和以前的CPU軟件轉發、FPGA實現轉發、ASIC實現轉發相比，它有以下特點或優點：1、性能高很多算法都用硬件實現，內部一般都集成了幾個甚至幾十個轉發微引擎（CPU）和硬件協處理器、硬件加速器，在實現復雜的擁塞管理、隊列調度、流分類和QOS功能的前提下，還可以達到很高的查找、轉發性能，實現所謂的“硬轉發”。目前已經投入商用的有支持2.5GPOS口的NP、支持10GPOS的NP、支持40GPOS口的NP。2、可以進行靈活的功能擴展由于可以進行編程，一旦有新的技術或者需求出現，可以很方便的通過軟件編程進行實現，系統的功能可以通過軟件模塊方便的添加刪除。所以對于特殊的用戶需求，可以進行定制開發，即可以在短時間內通過模塊刪減開發能滿足不同用戶需求的產品。而以前用FPGA實現的情況下，需要修改管腳功能，重新調試升級，而且大多情況下其它硬件設計也要改動，為系統可靠性帶來很大隱患。用ASIC實現的情況下，無法對新的功能進行添加，只能重新設計，更新芯片。在開發時間上，按照業界的經驗數字，軟件開發時間一般為6個月，而用FPGA實現的時間為18個月，用ASIC實現的時間更長，通常需要2~3年的時間，隨著網絡處理器使用C語言編程的推進，開發周期變的將會更短。所以NP具有更靈活的擴展能力。3、可靠性高由于大部分功能都使用一個或者兩個芯片實現，芯片轉產前都經過了嚴格的測試和各種抗干擾和破壞性試驗，從而使使用NP的系統的可靠性大大提高。所以NP特別適合用于開發電信級數據通信產品。4、豐富的流分類、擁塞管理、隊列調度和QOS功能大多數NP都使用硬件的并行操作，實現了業界流行的各種算法，為使用NP的設備提供了豐富和強大的QOS功能。很多以前用軟件實現時無法保證性能的復雜QOS功能，在使用了NP之后，可以很容易的得到實現，并且對性能基本沒有影響。5、管理、開發方便NP都提供了和上層CPU標準的接口或者內置管理CPU，可以和其它CPU實現高速通訊。NP一般都提供了大量硬件計數器，可以方便的實現各種MIB統計功能，為網管提供支持。NP一般都提供了編譯系統和軟件樣例，而且目前主流的NP都提供軟件仿真開發平臺，可以進行離線開發和驗證，甚至可以用仿真平臺將軟件的效率仿真到Cycle級；在在線調試時有單步跟蹤、設置斷點等手段，可以使設備開發商在較短時間內開發出適合產品需要的軟件。6、可以實現靈活組態NP作為一個器件，都提供了靈活的配置功能，可以通過NP的不同形式組合或者和其它CPU的組合，實現系統的靈活配置，滿足不同設備的需求，方便了系統設計，加快了設備的開發進度。本項目內、外網的匯聚交換機S6506全部選用第三代交換容量為384Gbps的引擎。樓號內網外網匯聚交換機匯聚上聯端口匯聚交換機匯聚上聯端口光口1號樓28241092號樓2824733號樓282465合計：624612247考慮到內網不同辦公樓內用戶之間互訪的流量較大，因此在內網的匯聚交換機上聯采用雙GE捆綁到核心交換機，6臺匯聚共需24個上聯千兆端口，因此每臺內網核心交換機需要12個千兆端口用于匯聚設備的連接。而外網用戶訪問公網的流量相對較大，不同樓宇間的用戶互訪的需求較少，因此外網核心與匯聚設備互聯采用單千兆聯路，即每臺匯聚交換機有兩條千兆鏈路分別上聯到外網的核心交換機上，每臺外網核心交換機需要有6個千兆端口用于下聯匯聚交換機。由于外網還有247個光纖到桌面的端口需要全部直連到匯聚交換機，因此6臺匯聚交換機需要增配20個光端口的模板和若干多模千兆光纖接口模塊，數量如下：樓號設備名稱數量1號樓20個光端口模板6多模光纖接口模塊1092號樓20個光端口模板4多模光纖接口模塊733號樓20個光端口模板4多模光纖接口模塊65Quidway?S6500系列高端多業務路由交換機是華為3Com公司面向IP城域網、大型企業網及園區網用戶開發的系列大容量、高密度、模塊化的二、三層線速以太網交換機產品，主要作為企業的核心交換機或城域網匯聚層交換機。該系列產品包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R（8槽）。Quidway?S6500能夠為城域網、園區網、數據中心提供超高速鏈路，打造低成本、高性能、具有豐富業務支持能力的高性能網絡。Quidway?S6500提供大容量、高密度、模塊化的二、三層線速轉發性能，同時具有豐富的業務功能、強大的QoS保障、完善的安全管理機制和電信級的高可靠設計，完全滿足行業客戶和運營商用戶對多業務、高可靠、大容量、模塊化的需求。Quidway?S6500系列高端多業務交換機的特點可以用一句話來概括：“多快好省、高而不貴”?！岸唷保寒a品系列多、引擎規格多、接口板類型多。有利于簡化網絡結構，降低建網成本。產品系列多：S6500系列包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R(8槽)。產品設計采用開放式的體系結構、統一的硬件平臺、完全兼容的引擎和接口板、相同的軟件版本、以及系列化機箱。S6500還可以支持POE（PowerOverEthernet）特性，提供支持POE功能的系列機箱和單板，能夠實現向遠端受電設備（IP電話、WLAN無線接入點等）進行以太網遠端供電。引擎規格多：基于新一代ASIC技術的Salience?系列交換路由引擎將L2/3/4線速轉發與豐富的QOS、ACL特性結合在一起，是組建高可靠、低時延的核心網絡的重要保障。S6500提供系列化的引擎，可以根據用戶的需求在系列化機箱上進行靈活配置。iSalience?I（交換容量32Gbps）Salience?I（交換容量64Gbps）Salience?II（交換容量64Gbps）Salience?III96G（交換容量96Gbps）Salience?III384G（交換容量384Gbps）接口板類型多：提供百兆、千兆、萬兆等各種類型的以太網接口；提供100m-100km可選擇的傳送距離；提供4口/單

快：采用先進體系結構設計，交換容量高達768G，支持新一代線速接口，提供網絡高性能。先進的體系結構：S6500采用全分布式體系結構設計，采用功能強大的ASIC芯片進行高速路由查找，并通過Crossbar技術進行高速報文交換，從而大大提升了路由交換機的轉發性能和擴充能力。Crossbar交換網芯片內置于主控板，不再單獨占用設備槽位，可提供高達768G的交換容量。高密度二、三層全線速接口：S6500系列推出SalienceIII系列交換引擎，最大交換容量為768Gbps，在滿配時S6500最大可提供288GE或288FE。萬兆接口支持：S6500提供的新一代萬兆以太網在線速轉發的基礎上能夠提供強大的QoS保障，并支持豐富的ACL、策略路由、安全等特性。S6500支持高密度萬兆設計，每塊業務板可以提供1－4個萬兆接口。好：支持強大的QoS能力和精細化用戶管理，高可靠、高安全設計，采用智能業務擴展模塊可以實現靈活的智能化業務能力。強大的QoS能力和精細化用戶管理：每端口支持8個硬件隊列，帶寬控制粒度可達64Kbps；強大的用戶管理、認證計費功能支持；支持CAMS?（綜合訪問控制管理服務器）系統，提供專業用戶管理、計費解決方案；內置IEEE802.1x認證服務器功能。內置DHCPSERVER功能。運營級可靠性設計：系統采用分布式結構；S6506R支持雙主控板；S6500系列所有單板支持熱插拔；電源系統采用N+1冗余熱備份；支持STP/RSTP/MSTP協議和VRRP協議，能夠滿足苛刻的電信級網絡可靠性要求；支持雙路電源供電。完善的安全機制：支持標準Radius協議，同時提供Radius+功能；支持TACAS+協議；HCBM?（華為可控組播管理協議）功能支持；保證對用戶的精確認證。支持SSHV1/2。基于最長匹配的路由方式，保證了所有報文均獲得相同的轉發性能，對“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力。智能業務擴展：能夠提供高速的NAT數據流轉發，支持動態NAT功能、動態NAPT功能、ALG功能、多ISP支持、EasyIP支持、NAT黑名單、內部服務器功能、NAT策略和NAT日志等功能。支持基于ACL的策略路由。支持NetStream功能，能夠對通過交換機的網絡流量進行精細化統計。?。簶O高的性價比，為客戶量身打造，總有一款適合您；性能、業務可平滑擴展升級，保護用戶投資。無與倫比的性能價格比：S6500提供系列化機箱和系列化超級引擎，可以根據不同組網需要進行靈活配置；S6500提供多種高密度百兆、千兆、萬兆接口板，有效簡化網絡結構、降低建網成本；S6502無需專門的主控交換引擎，主控交換功能內置于接口板內部，進一步降低建網成本。強大的擴展性能：S6500具有強大的性能和業務擴展能力；背板帶寬高達1.6Tbps；采用智能業務擴展模塊可以實現靈活的智能化業務能力，如NAT/MPLS/WebSwitch/NetStream/IPv6等高級業務特性，從而有效保障用戶的投資。內網樓號樓層接入交換機(48口)接入交換機(24口)接入上聯端口1號樓8F247F246F365F364F2163F242F1141F24B1FB2F1號樓小計172382號樓12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2號樓小計433923號樓8F1147F246F365F124F1143F122F241F12B1FB2F3號樓小計10428合計：709158由于每臺接入交換機都有2個千兆光纖端口分別上聯到匯聚交換機，因此內網的70臺LS-3952-P和9臺LS-3928-P共需要158個千兆上聯的端口。外網樓號數據點接入交換機(48口)接入交換機(24口)接入上聯端口1號樓8F247F246F365F364F363F2162F241F24B1FB2F1號樓小計854191402號樓12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2號樓小計2013433923號樓8F1147F246F365F124F1143F122F2161F114B1FB2F3號樓小計49311532合計：739164由于每臺接入交換機都有2個千兆光纖端口分別上聯到匯聚交換機，因此外網的73臺LS-3952-P和9臺LS-3928-P共需要164個千兆上聯的端口。QuidwayS3900系列智能彈性以太網交換機是華為-3COM公司為設計和構建高彈性、高智能網絡需求而推出的新一代以太網交換機產品。系統采用華為-3COM公司創新的IRF（IntelligentResilientFramework，智能彈性架構)技術，將多臺分散的設備組成統一的交換矩陣，非常適合作為關注擴展性、可靠性、安全性和易管理性的辦公網、業務網和駐地網的匯聚和接入層交換機。QuidwayS3900系列智能彈性交換機目前包含型號為：S3924-SI、S3928P-SI、S3928TP-SI、S3952P-SI、S3928P-EI、S3928F-EI、S3928P-PWR-EI、S3952P-EI、S3952P-PWR-EI。QuidwayS3900系列交換機提供標準型（SI）和增強型（EI）兩種產品版本，標準型支持二層和基本的三層功能、提供部分的IRF功能（分布設備管理和基本的分布冗余路由）。增強型支持復雜的路由協議和豐富的業務特性，支持全部的IRF功能（分布設備管理、分布冗余路由和分布鏈路聚合）。1）IRF智能彈性架構技術Quidway?S3900系列交換機支持華為3Com創新的IRF（IntelligentResilientFramework）技術，能夠實現用戶網絡的高度彈性智能擴展。利用IRF技術，用戶可以將多臺設備連接起來組成一個聯合設備（Fabric），并將這些設備看作單一設備進行管理和使用，降低了管理成本，同時實現按需購買、平滑擴容，在網絡升級時最大限度地保護已有投資。IRF（IntelligentResilientFramework）技術包括三個方面：DDM、DRR和DLA。DDM（分布設備管理）：在外界看來，整個Fabric是一臺整體設備。用戶可以通過Console、SNMP、Telnet、WEB等多種方式來管理整個Fabric。DRR（分布冗余路由）：Fabric的多個設備在外界看來是一臺單獨的三層交換機。整個Fabric將作為一臺設備進行路由功能和二三層轉發功能。單播路由協議和組播路由協議分布式運行并完全支持熱備份，在某一個設備發生故障時，路由協議和數據轉發都不會中斷。DLA（分布鏈路聚合）：支持跨設備的鏈路聚合，可以在設備之間進行鏈路的負載分擔和互為備份。2）PoE（PoweroverEthernet）遠程供電特性QuidwayS3900系列交換機（PWR型號）支持PoE（PoweroverEthernet），即可通過雙絞線向遠端下掛PD設備（如IPPhone、WLANAP、Security、BluetoothAP等）提供-48V直流電源，實現對下掛PD設備遠端供電。作為供電方PSE（PowerSourcingEquipment）設備，支持IEEE802.3af線路供電標準，同時也可以兼容不符合802.3af標準的PD（PoweredDevice）設備。交換機遠端供電時每個以太網口向下掛設備提供的最大功率分別為12.5W（使用交流電源）和15.4W（使用直流電源）。通過支持PoE和VoiceVLAN技術，S3900系列交換機能夠提供完美的數據和語音融合解決方案。3）大容量全線速的多層交換QuidwayS3900系列交換機支持所有端口線速轉發。系統能夠提供4個GE，有效解決了在單臺設備上多條千兆鏈路上行，同時接入千兆服務器的需求，極大的節省了用戶對設備的投資。硬件支持二/三層線速交換，能夠識別、處理四到七層的應用業務流，所有端口都具有單獨的數據包過濾、區分不同應用流，并根據不同的流進行不同的管理和控制。支持豐富的接入形式，百兆可以提供24電口/24光口/48電口三種方式。滿足各種形式接入組網的需求。4）完備的安全控制策略QuidwayS3900系列交換機基于最長匹配的路由策略。系統采用逐包轉發方式，保證了所有報文均獲得相同的轉發性能，對“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力，有效保證了設備安全。支持集中式MAC地址認證和802.1x認證。在用戶接入網絡時完成必要的身份認證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網絡。支持DUD(DisconnectUnauthorisedDevice)認證，通過MAC地址學習數目限制和MAC地址與端口綁定實現。支持用戶分級管理和口令保護，支持MAC地址學習數目限制、MAC地址與端口綁定、端口隔離、MAC地址黑洞；支持防止DoS攻擊功能。支持QoSProfile功能。和802.1x認證功能相結合，可以動態的為通過認證的用戶提供預先配置的一套QoS功能。用戶在經過802.1x認證后，交換機根據AAA服務器上配置的用戶名和Profile的對應關系，將相應的Profile動態的下發到用戶登錄的端口上，為該用戶提供量身定做的一系列服務質量保證。支持SSH特性。用戶通過一個不能保證安全的網絡環境遠程登錄到以太網交換機時，可以提供安全的信息保障和強大的認證功能，以保護交換機不受諸如IP地址欺詐、明文密碼截取等等攻擊。4）高可靠性QuidwayS3900系列交換機采用IRF技術組網后，能夠在整個堆疊組內實現控制平面和數據平面所有信息的冗余備份，極大的增強了設備和網絡的可靠性，消除了單點故障，避免了業務中斷。同時QuidwayS3900系列交換機不僅支持STP/RSTP生成樹協議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯能力，保證網絡的穩定運行。支持VRRP虛擬路由冗余協議，與其他三層交換機構建VRRP備份組。構建故障時的冗余路由拓樸結構，保持通訊的連續性和可靠性，有效保障網絡穩定。支持在設備上配置多條等價路由的方式實現上行路由的冗余備份，當主上行路由發生故障時自動切換到下一條備份路由，實現上行路由的多級備份。首次實現交流/直流雙輸入，設備既可以采用交流電源輸入，也可以直流電源輸入，二者之間熱備份。5）豐富的QoS策略Quidway?S3900系列交換機支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協議的L2~L7復雜流分類；支持1K個流規則。提供靈活的隊列調度算法，可以同時基于端口和隊列進行設置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、WFQ（WeightedFairQueue）、SP+WRR、SP+WFQ五種模式；支持8個優先級隊列，2個丟棄優先級；支持WRED擁塞避免算法。支持CAR（CommittedAccessRate）功能，可以實現基于端口和基于流的速率限制，限制的粒度可以精確至64Kbps，為網絡帶寬的精細化管理提供了手段。6）多樣的管理方式Quidway?S3900系列交換機支持SNMPV1/V2/V3，可支持OpenView等通用網管平臺，以及Quidview?、iManager?網管系統。支持CLI命令行，Web網管，TELNET，HGMP集群管理，使設備管理更方便。通過各種開放的標準MIB和擴展MIB的支持可以提供完善的基于SNMP的第三方管理能力。

網絡拓撲圖本系統的網絡系統拓撲圖如下：內網拓撲圖

外網拓撲圖

網絡冗余設計為了實現有效合理利用網絡資源，保證系統高效、可靠、安全地支撐基于網上的所有辦公業務，在核心、會聚和接入網絡設備地設計全部考慮冗余備份，盡量減少單點故障，以提高本系統的冗錯和可靠性。內、外網的網絡中心各配置兩臺雙引擎的核心路由交換機S8512，通過動態路由協議實現雙核心Active/Active配置，并實現網絡層的流量和負載均衡。內、外網分別在1#、2#和3#樓內各配置兩臺單引擎的匯聚設備S6506，同樣采用Active/Active配置，內網的每臺S6506都采用雙千兆以太捆綁（GEC）鏈路分別上聯內網的兩臺核心S8512，外網的每臺S6506都采用單千兆以太鏈路分別上聯外網的兩臺核心S8512，實現匯聚到核心的鏈路備份、流量和負載均衡。內、外網在1#、2#和3#樓內的接入交換機LS-3952-P/LS-3928-P都分別配置兩個上聯千兆模塊，保證每個接入交換機有兩條千兆鏈路分別上聯到本樓的兩臺匯聚設備S6506。當其中一個千兆接口或光纖鏈路發生故障，仍然不影響接入用戶的網絡連接。必要時這兩條上聯鏈路也可同時分擔網絡流量，實現負載均衡。所有的核心和匯聚路由交換機都配置冗余電源，保證供電質量。路由規劃本系統的接入到匯聚、匯聚到核心的網絡鏈路全部為冗余設計，如果選用純數據鏈路層的生成樹協議（STP），為了保證所有的鏈路都提供數據傳送，需要做大量的手工配置STP參數的工作，而且靈活性極差，一旦網絡有細微調整將無法保證鏈路達到最優的使用效率。如果選用三層路由連接方式，則能夠避免上述問題的發生。信息從源地址到達目的地址的過程稱為路由，路由有靜態路由和動態路由之分。靜態路由由管理員在各個網絡互聯設備中預先輸入路徑信息，路由表根據這些路徑信息來確定，靜態路由的網絡開銷小，可以人為控制網絡路徑，網絡系統安全性較好，但可管理性和靈活性稍差，容易導致環路產生。動態路由由各個網絡互聯設備根據某種協議或算法動態地交換路徑信息，建立自己的路由表，動態路由能自動感知網絡路徑的變化，網絡管理更方便，在本系統中使用動態路由所產生的額外網絡開銷也相對不大，因此本系統采用動態路由協議OSPF，將同時能夠自動計算并保證接入到匯聚、匯聚到核心的網絡鏈路的冗余設計和負載均衡。開放式最短路徑優先（OpenShortestPathFirst，OSPF）協議是一種為IP網絡開發的內部網關路由選擇協議，由IETF開發并推薦使用。OSPF協議由三個子協議組成：Hello協議、交換協議和擴散協議。其中Hello協議負責檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協議完成“主”、“從”路由器的指定并交換各自的路由數據庫信息；擴散協議完成各路由器中路由數據庫的同步維護。OSPF協議具有以下優點：OSPF能夠在自己的鏈路狀態數據庫內表示整個網絡，這極大地減少了收斂時間，并且支持大型異構網絡的互聯，提供了一個異構網絡間通過同一種協議交換網絡信息的途徑，并且不容易出現錯誤的路由信息。OSPF支持通往相同目的的多重路徑。OSPF使用路由標簽區分不同的外部路由。OSPF支持路由驗證，只有互相通過路由驗證的路由器之間才能交換路由信息；并且可以對不同的區域定義不同的驗證方式，從而提高了網絡的安全性。OSPF支持費用相同的多條鏈路上的負載均衡。OSPF是一個非族類路由協議，路由信息不受跳數的限制，減少了因分級路由帶來的子網分離問題。OSPF支持VLSM和非族類路由查表，有利于網絡地址的有效管理。因此，采用OSPF路由協議，將兩臺核心路由交換機S8512與匯聚層的S6506路由交換機納入整個網絡的OSPF0區域中。如果需要可以在分布和匯聚層增加設置OSPF的其它Area。本系統的核心路由交換與匯聚設備間有多條冗余千兆（或捆綁）鏈路，可利用OSPF支持6條等值路由的負載均衡（Equal-costloadbalancinguptosixpaths）能力實現的鏈路備份和負載均衡。內網路由規劃示意外網路由規劃示意應用VRRP技術 本設計方案中的內、外網系統中1#、2#和3#樓各配置了兩臺匯聚交換機，所有接入交換機全部以千兆鏈路分別上聯各樓的這兩臺匯聚交換機。在這些匯聚交換機上啟用VRRP功能，可實現匯聚交換機之間的冗余備份和接入交換機上聯的負載均衡。"VRRP特性"是路由器冗余備份的協議，該特性由用戶通過命令行進行設置，通過路由器之間的備份功能，為網絡核心層、匯聚層設備提供更強大的安全冗余備份功能。在基于TCP/IP協議的網絡中，為了保證不直接物理連接的設備之間的通信，必須指定路由。目前常用的指定路由的方法有兩種：一種是通過路由協議（比如：內部路由協議RIP和OSPF）動態學習；另一種是靜態配置。在每一個終端都運行動態路由協議是不現實的，大多客戶端操作系統平臺都不支持動態路由協議，即使支持也受到管理開銷、收斂度、安全性等許多問題的限制。因此普遍采用對終端IP設備靜態路由配置，一般是給終端設備指定一個或者多個默認網關(DefaultGateway)。靜態路由的方法簡化了網絡管理的復雜度和減輕了終端設備的通信開銷，但是它仍然有一個缺點：如果作為默認網關的路由器損壞，所有使用該網關為下一跳主機的通信必然要中斷。即便配置了多個默認網關，如不重新啟動終端設備，也不能切換到新的網關。采用虛擬路由冗余協議(VirtualRouterRedundancyProtocol，簡稱VRRP)可以很好的避免靜態指定網關的缺陷。在VRRP協議中，有兩組重要的概念：VRRP路由器和虛擬路由器，主控路由器和備份路由器。VRRP路由器是指運行VRRP的路由器，是物理實體，虛擬路由器是指VRRP協議創建的，是邏輯概念。一組VRRP路由器協同工作，共同構成一臺虛擬路由器。該虛擬路由器對外表現為一個具有唯一固定IP地址和MAC地址的邏輯路由器。處于同一個VRRP組中的路由器具有兩種互斥的角色：主控路由器和備份路由器，一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或者多個處于備份角色的路由器。VRRP協議使用選擇策略從路由器組中選出一臺作為主控，負責ARP相應和轉發IP數據包，組中的其它路由器作為備份的角色處于待命狀態。當由于某種原因主控路由器發生故障時，備份路由器能在幾秒鐘的時延后升級為主路由器。由于此切換非常迅速而且不用改變IP地址和MAC地址，故對終端使用者系統是透明的。上圖為VRRP冗余備份功能的典型組網方式。在主機上配置網關為，真實IP地址為和的兩臺路由器互為備份，一臺作為Master轉發主機的報文，另一臺在原來的Master設備故障的時候轉為Master狀態，保證網絡通信正常。一個VRRP路由器有唯一的標識：VRID，范圍為0—255。該路由器對外表現為唯一的虛擬MAC地址，地址的格式為00-00-5E-00-01-[VRID]。主控路由器負責對ARP請求用該MAC地址做應答。這樣，無論如何切換，保證給終端設備的是唯一一致的IP和MAC地址，減少了切換對終端設備的影響。VRRP控制報文只有一種：VRRP通告(advertisement)。它使用IP多播數據包進行封裝，組地址為8，發布范圍只限于同一局域網內。這保證了VRID在不同網絡中可以重復使用。為了減少網絡帶寬消耗只有主控路由器才可以周期性的發送VRRP通告報文。備份路由器在連續三個通告間隔內收不到VRRP或收到優先級為0的通告后啟動新的一輪VRRP選舉。在VRRP路由器組中，按優先級選舉主控路由器，VRRP協議中優先級范圍是0—255。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則稱該虛擬路由器作VRRP組中的IP地址所有者；IP地址所有者自動具有最高優先級：255。優先級0一般用在IP地址所有者主動放棄主控者角色時使用?？膳渲玫膬炏燃壏秶鸀?—254。優先級的配置原則可以依據鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設定。主控路由器的選舉中，高優先級的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現。對于相同優先級的候選路由器，按照IP地址大小順序選舉。VRRP還提供了優先級搶占策略，如果配置了該策略，高優先級的備份路由器便會剝奪當前低優先級的主控路由器而成為新的主控路由器。為了保證VRRP協議的安全性，提供了兩種安全認證措施：明文認證和IP頭認證。明文認證方式要求：在加入一個VRRP路由器組時，必須同時提供相同的VRID和明文密碼。適合于避免在局域網內的配置錯誤，但不能防止通過網絡監聽方式獲得密碼。IP頭認證的方式提供了更高的安全性，能夠防止報文重放和修改等攻擊。綜上所述采用兩臺S6506匯聚交換機啟用VRRP協議可以對下聯的接入主機實現網關備份功能，各接入主機所屬VLAN的網關地址均可以設置為VRRP組的虛擬網關地址，在任意時刻主機只通過一臺S6506接入網絡，另外一臺S6506作為備份網關。另外，在S6506上可以開啟多組VRRP組，每一組的主設備與備份設備分別在兩臺S6506，同時對主設備、備份設備的選擇進行合理分配，使得一部分主機的主設備在第一臺S6506上而另一部分的主設備在第二臺S8512上，每個S6506既做部分主機的主網關設備同時也做其他主機的備份網關設備，從而既實現了主機接入的網關備份同時也實現了主機接入的負載均衡。VRRP的負載平衡方式如上圖所示，PC1，PC2配置網關為，PC3，PC4配置網關為。同時在RouterA和RouterB上面同時配置兩個備份組，虛擬IP地址分別為兩個網關地址，通過配置優先級保證A和B各為組1，2的Master。在這個組網中，如果一臺路由器設備故障，另一臺可接替工作；同時，兩臺設備平均分配網絡負載。為了實現上述的兩臺匯聚交換機之間既負載分擔，又能做到互為備份的功能，我們建議將接入層用戶以VLAN為單位分為兩個組，一臺S6506相對于組1是Active的，相對于組2是Standby的，另一臺S6506作相反的設置。這樣即可實現兩臺核心交換機之間既互為備份，又能做到負載分擔。另，在二層，由于存在冗余鏈路，通過啟用STP