机房改造设计方案.docx
《机房改造设计方案.docx》由会员分享,可在线阅读,更多相关《机房改造设计方案.docx(13页珍藏版)》请在冰点文库上搜索。
机房改造设计方案
机房网络系统
技
术
建
议
书
目录
目录
第一章网络设计原则-1-
1.1可靠性原则-1-
1.2安全性原则-1-
1.3可扩展原则-2-
1.4开放性、一致性原则-2-
第二章网络设计部分-3-
3.1网络设计分析-3-
3.1.2组网技术选择-3-
3.2网络设备选型-5-
第三章设备介绍-5-
3.1华为S5700系列交换机-5-
第五章遵循的主要标准和协议-11-
5.1网络标准和协议-11-
5.2网络管理标准-12-
5.3网络安全标准-12-
第一章网络设计原则
根据信息部网络建设标准,我们在网络设计中严格遵循网络设计的各项原则。
1.1可靠性原则
网络设备要求可靠,关键部件如电源、风扇、主处理卡、背板、某些接口模块冗余设计。
设备要适应特定的温度、湿度、电压变化等外部环境的变化;
以支持关键线路的备份,保证网络结构的可靠性;
充分考虑各部门对信息安全的需求,方案设计中注重考虑保证各类机密信息的安全。
整个网络满足业务的实际需求,各部分关键线路,设备及数据均采用相应的容错及安全措施。
1.2安全性原则
安全的网络才是可靠的网络,网络的安全性能表现在:
(1)设备管理的安全性:
包括设备登陆、远程登陆时的多重身份认证、授权;
(2)数据源的安全性:
包括对数据源来访者采用身份认证、地址过滤、隔离子网等技术。
网络设计采用的产品及技术具有较高的安全性,同时还考虑到其他方面的安全因素,从各个方面保证网络的安全性。
1.3可扩展原则
本次网络建设可以独立扩展,以满足未来业务的发展需要:
(1)网络具有良好的扩展性能:
设备采取模块化设计,可以在将来业务量较大的时候通过增加模块扩大容量;设备提供足够的交换容量。
(2)设备具有良好的升级性能:
设备能支持更高的端口速率、支持新的组网技术。
(3)设备要遵循有关国际标准和论坛标准,以利于多厂商互联。
(4)网络采用先进的图形化界面的网管软件,管理人员可轻松监视和管理所有网络设备。
网络结构及设备可根据实际需要平滑地进行调整和扩展。
背板带宽及线路带宽完全满足未来扩展、扩容的需要。
1.4开放性、一致性原则
在监控系统中存在多种不同的业务,如话音、图像、IP数据流等。
这些业务的接入方式各不相同。
对用户而言,最理想的组网形式应是建立一个统一的交换平台,能支持多种不同业务。
这样能大大减少网络的连接复杂度,人员培训的难度,以及网络管理的压力,并提高网络的可靠性,降低运行成本。
简而言之,就是在建网的过程中利用尽可能少的网络设备提供尽可能多的网络业务,努力避免在一个节点上使用多个不同设备简单互连,以堆砌的方式提供多种业务。
在建网的具体技术上,下列关键点应予以关注:
(1)全网的业务互通性
(2)话音、数据、传真等各种业务在整个网络的互通。
大小节点的技术要求不同,但要求大小节点的业务必须能完全融合在一起。
因此,网络设计所采用的所有网络设备均支持现有的协议、信令及不同厂家的产品。
第二章网络设计部分
3.1网络设计分析
机房网络系统的设计和建设从战略角度出发,结合本次项目要求及网络需求、网络产品和技术成熟度及网络发展的方向等方面考虑,对网络整体进行统一设计、实施,建设一套完整的、稳定可靠的、可持续发展的机房网络系统。
3.1.2组网技术选择
网络层次采用业界成熟的三层架构:
接入、汇聚和核心,最后企业局园区通过出口层网络设备(路由器或交换机)连接到外网通过。
这种分层的网络架构,可以保证根据的企业局需求,分别对不同层次进行扩容。
如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大.
黑客工具的危害性
这就要求设备具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。
交换机提供攻击防范功能,能够检测出多种类型的网络攻击,并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运行。
华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、PingofDeath攻击、Teardrop攻击、ICMPFlood攻击、SYNFLOOD攻击等。
另外,以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。
发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷新,填充交换机的MAC地址表,由于MAC地址表的规格有限,导致正常流量由于没有正确的转发表项而无法正常转发。
ARP攻击与此类似,通过攻击报文来更改MAC与IP地址的绑定,从而重新定向流量。
华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描,并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击(SAI/DAI功能)。
华为全系列交换机支持黑洞MAC功能,园区交换机收到报文时比较报文目的MAC地址,若与黑洞MAC表项相同则丢弃该报文。
当用户察觉到某MAC地址的报文具有一定攻击性,则可以在园区交换机上配置黑洞MAC,从而将具有该MAC地址的报文过滤掉,避免遭受攻击。
3.2网络设备选型
根据机房网络系统的需求,在保证各项业务正常实现的情况下,做出了本次选型。
华为交换机
S5700-52C-SI48千兆电口(1台)
华为交换机
S57700-52C-EI48千兆电口(2台)
第三章设备介绍
3.1华为S5700系列交换机
华为S5700系列交换机是华为公司为满足大带宽接入和以太多业务汇聚而推出的新一代绿色节能的全千兆以太网交换机。
它基于高性能硬件芯片和华为公司统一的VRP软件平台,具备大容量、高密度千兆端口,可提供万兆上行,充分满足企业用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景。
产品特点:
成熟的IPv6特性
S5700基于成熟稳定的VRP平台,支持IPv4/IPv6双协议栈、IPv6路由协议(RIPng/OSPFv3/BGP4+/ISISforIPv6)、IPv6overIPv4隧道(手工隧道/6to4隧道/ISATAP隧道)。
S5700既可以部署在纯IPv4或IPv6网络,也可以部署在IPv4到IPv6共存的网络,充分满足网络从IPv4向IPv6过渡的需求。
智能iStack堆叠
S5700智能iStack堆叠,将多台支持堆叠特性的交换机组合在一起,从逻辑上组合成一台虚拟交换机。
iStack堆叠系统通过多台成员设备之间冗余备份,提高了设备级的可靠性;通过跨设备的链路聚合功能,提高了链路级的可靠性。
iStack提供了强大的网络扩展能力,通过增加成员设备,可以轻松地扩展堆叠系统的端口数、带宽和处理能力。
iStack简化了配置和管理,堆叠形成后,多台物理设备虚拟成为一台设备,用户可以通过任何一台成员设备登录堆叠系统,对堆叠系统所有成员设备进行统一配置和管理。
创新AHM节能
S5700-LI系列智能低功耗交换机,本着“性能优先,节能不牺牲用户体验”的原则,通过匹配链路Down/Up、光模块在位/不在位、端口ShutDown/UndoShutDown、设备空闲时段/繁忙时段等不同的使用场景,创造性地应用能效以太网(EEE)、端口能量检测、CPU动态调频、设备休眠等技术,达到节省设备耗电量的目的。
针对不同用户的应用需求,提供了灵活可配的标准节能、基本节能、深度节能三种节能模式,是业界首家支持整机休眠的交换机设备。
完善的VPN隧道
S5700支持Multi-VPN-InstanceCE(MCE)功能。
S5700支持下接不同的VPN用户,通过路由多实例,实现了不同用户的隔离;上行通过一个共用的物理接口连接到PE设备,减少单个VPN用户对网络部署的投资。
S5710-EI/S5700-HI支持MPLSL3VPN、MPLSL2VPN(VPWS/VPLS)、MPLS-TE、MPLSQoS等功能,可作为高质量企业专线接入设备,是业界为数不多的高性价比盒式MPLS交换机。
轻松的运行维护
支持自动配置、即插即用、USB开局、批量远程升级等功能,便于安装、升级、业务发放和其他管理维护工作,大大降低了运维成本。
S5700支持SNMPV1/V2/V3、CLI(命令行)、Web网管、TELNET、SSHv2.0等多样化的管理和维护方式;支持RMON、多日志主机、端口流量统计和网络质量分析,便于网络优化和改造。
支持GVRP,实现VLAN的动态分发、注册和属性传播,减少手工配置量,保证配置正确性。
S5700还支持MUXVLAN功能,MUXVLAN分为主VLAN和从VLAN,从VLAN又分为互通型从VLAN和隔离型从VLAN。
主VLAN与从VLAN之间可以相互通信;互通型从VLAN内的端口之间互相通信;隔离型从VLAN内的端口只能与主VLAN内的端口通信。
杰出的网流分析
支持Netstream网络流量分析功能。
作为网络流量输出器,S5700根据用户配置,实时采集指定的数据流量,通过标准的V5/V8/V9报文格式,将数据上送给网络流量收集器,这些数据被进一步处理,可以实现动态报表生成、属性分析、流量异常告警等功能,帮助用户及时优化网络结构、调整资源部署。
支持sFlow功能。
S5700按照标准定义的方式,对转发的流量按需采样,并实时地将采样流量上送到收集器,用于生成统计信息图表,为企业用户的日常维护提供了极大的方便。
灵活的以太组网
S5700不仅支持传统的STP/RSTP/MSTP生成树协议,还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标准ERPS。
SEP是一种专用于以太链路层的环网协议,适用于半环、整环、级连环等各种组网,其协议简单可靠、维护方便,并提供50ms的快速业务倒换。
ERPS是ITU-T发布的G.8032标准,该标准基于传统的以太网MAC和网桥功能,实现以太环网的毫秒级快速保护倒换。
S5700支持SmartLink和VRRP功能。
S5700通过多条链路接入到多台汇聚交换机上,SmartLink/VRRP实现了上行链路的备份,极大地提升了接入侧设备的可靠性。
S5700支持多种快速连接故障检测功能。
S5700支持完善的以太OAM(IEEE802.3ah/802.1ag/ITUY.1731)和BFD功能。
S5700-HI更能提供硬件级3.3ms高精度以太OAM和10msBFD检测。
多样的安全控制
S5700支持MAC地址认证和802.1x认证,实现用户策略(VLAN、QoS、ACL)的动态下发。
S5700支持完善的DoS类防攻击、用户类防攻击。
其中,DoS类防攻击主要针对交换机本身的攻击,包括SYNFlood、Land、Smurf、ICMPFlood;用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC欺骗、DHCPrequestflood、改变DHCPCHADDR值等等。
S5700通过建立和维护DHCPSnooping绑定表,侦听接入用户的IP/MAC地址、租用期、VLAN-ID、接口等信息,解决DHCP用户的IP和端口跟踪定位问题。
利用DHCPSnooping的信任端口特性,S5700还可以保证DHCP服务器的合法性。
S5700通过建立和维护DHCPSnooping绑定表,对不符合绑定表项的非法报文直接丢弃。
利用DHCPSnooping的信任端口特性,S5700还可以保证DHCP服务器的合法性
项目
S5700
固定端口
48个10/100/1000Base-T以太网端口
性能
包转发率:
138Mpps
交换容量:
256Gbps
电源
可扩展双电源
扩展插槽
S5700C系列产品提供两个扩展插槽,支持上行插卡和堆叠卡,上行可扩展4×1000Base-XSFP、
2×10GESFP+、4×10GESFP+插卡
MAC地址表
遵循IEEE802.1d标准
支持MAC地址自动学习和老化
支持静态、动态、黑洞MAC表项
支持源MAC地址过滤
MAC地址容量:
32K
VLAN特性
支持4K个VLAN
支持GuestVLAN、VoiceVLAN
支持GVRP协议
支持MUXVLAN功能
支持SuperVLAN
支持基于MAC/协议/IP子网/策略/端口的VLAN
支持1:
1和N:
1VLANMapping功能
环网保护技术
支持STP/RSTP/MSTP协议
支持RRPP环型拓扑和RRPP多实例
支持SmartLink树型拓朴和SmartLink多实例,提供主备链路的毫秒级保护
支持智能以太保护SEP协议支持RRPP环型拓扑和RRPP多实例
支持ERPS以太环保护协议(G.8032)
支持BPDU保护、根保护和环回保护
支持BPDUTunnel
可靠性
支持以太网OAM802.3ah和802.1ag
支持ITU-Y.1731
支持EnhancedTrunk
支持BFDForOSPF/ISIS/VRRP/PIM协议
支持DLDP
支持LACP
MPLS
S5710-EI支持下列特性:
支持MPLSL3VPN
支持MPLSL2VPN(VPWS/VPLS)
支持MPLS-TE
支持MPLSQoS
IP路由
静态路由
支持三层动态路由
IPv6特性
支持ND(NeighborDiscovery)
支持PMTU
支持IPv6Ping、IPv6Tracert、IPv6Telnet
支持6to4、ISATAP、手动配置tunnel
支持MLDv1/v2snooping(MulticastListenerDiscoverysnooping)
支持基于源IPv6地址、目的IPv6地址、TCP/UDP端口号、协议类型等ACL
组播
支持IGMPv1/v2/v3Snooping和快速离开机制
支持VLAN内组播转发和组播多VLAN复制
支持捆绑端口的组播负载分担
支持可控组播
支持基于端口的组播流量统计
支持IGMPv1/v2/v3、PIM-SM、PIM-DM、PIM-SSM
支持MSDP
QoS/ACL
支持对端口入方向、出方向进行速率限制
支持报文重定向
支持基于端口的流量监管,支持双速三色CAR功能
每端口支持8个队列
支持WRR、DRR、SP、WRR+SP、DRR+SP队列调度算法
支持报文的802.1p和DSCP优先级重新标记
支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、
源IP地址、目的IP地址、TCP/UDP协议源/目的端口号、协议、VLAN的包过滤功能
支持基于队列限速和流量整形的功能
安全特性
用户分级管理和口令保护
支持防止DOS、ARP攻击功能、ICMP防攻击
支持IP、MAC、端口、VLAN的组合绑定
支持端口隔离、端口安全、StickyMAC
支持黑洞MAC地址,支持MFF
支持MAC地址学习数目限制
支持IEEE802.1x认证,支持单端口最大用户数限制
支持AAA认证,支持Radius、HWTACACS等多种方式
支持NAC功能
支持SSHV2.0
支持HTTPS
支持CPU保护功能
支持黑名单和白名单
接入安全
支持DHCPRelay、DHCPServer、DHCPSnooping、DHCPSecurity、SAVI等
管理和维护
支持智能堆叠
支持虚拟电缆检测(VirtualCableTest)
支持SNMPv1/v2/v3
支持eSight网管系统、支持WEB网管
支持自动配置
支持HTTPS
支持系统日志、分级告警
支持RMON
支持sFlow
互通性
VBST基于VLAN生成树协议(和PVST/PVST+/RPVST互通)
LNP链路类型协商协议(和DTP相似功能)
VCMPVLAN集中管理协议(和VTP相似功能)