xx林业局网络方案.docx
《xx林业局网络方案.docx》由会员分享,可在线阅读,更多相关《xx林业局网络方案.docx(17页珍藏版)》请在冰点文库上搜索。
xx林业局网络方案
xx林业局网络方案
XXX林业局网络方案
xx信息技术有限公司
2008年12月
网络需求及系统设计方案概述
一、技术解决方案
XXX林业局网络建设解决方案以“高效”和“安全”作为基本构建原则,对网络结构进行合理的优化设计,通过构建xxx林业局内部网络,实现了xxx林业局与省市林业局的网络互联,为三者之间的数据共享和信息交流提供了高效、安全的平台。
XXX林业局拓扑图
从图中可以看出整个网络是个星型连接,分为主干部份和接入部份。
网络中心放置高性能的H3C7506E做核心。
考虑到核心层要保证骨干业务的高带宽提供能力,核心设备需配置1000M的光接口交换业务板和1000M的电接口业务板。
楼层交换和核心交换之间的连接采用光纤连接,这样可以实现千兆到主干,百兆到桌面,将大大提高网络的性能。
服务器区从安全角度考虑未来可能需要配置防火墙,因此配置汇聚交换机实现服务器的汇聚,为了保障数据的安全可靠,推荐在核心设备与服务器之间配置入侵防御设备。
政务网和电子监察等的外部接入均直接接入到外联接入交换机,然后通过光纤线路接入到核心交换机。
楼层设备的配置根据各楼层信息点的数量尽心如下配置
机房位置
管辖楼层信息点数量
设备型号和数量
1层
地下10个点
1层157个点
H3CS3100-26TP-SI
1
H3CS3100-52TP-SI
4
3层
2层77个点
3层79个点
H3CS3100-52TP-SI
4
5层
4层64个点
5层63个点
H3CS3100-52TP-SI
4
7层
6层56个点
7层56个点
H3CS3100-26TP-SI
2
H3CS3100-52TP-SI
2
由于每个楼层机房交换机数量较多,考虑性能和管理的问题,建议采用堆叠模式连接同一楼层的所有交换机,然后通过光纤和核心交换机连接。
二、设备选型原则
XXX林业局内部网络是林业局信息化建设的基础,也是xxx林业局和向上级部门进行联系的平台,骨干网络设备的性能将大大影响到整个网络的性能。
因此,在选用核心路由器的时候应该考虑到以下几点:
设备处理能力
由于xxx林业局数据信息量的数据流量主要是向上的流量为主,对于核心交换机的交换能力要求较高,同时要求能够支持较高转发性能,所有端口要求全部支持线速的转发。
网络的可靠性
设备的可靠性对整个网络的可靠运行具有决定性的作用。
因此,对这些设备自身的安全可靠性就要有很高的要求。
通常对核心路交换机的关键部件,如电源、路由处理板等,都是利用热插拔、主备份等技术来保障。
扩展能力强
建网时必须考虑到网络的可扩展性。
Xxx林业局网络将会随着业务内容的增多、用户运用水平的提高而扩容或升级。
因此,不管在网络升级还是扩容时,都应该确保网络不间断。
在选用设备时,应选择端口密度高、扩容能力强的设备。
未来要求在不改变网络结构的情况下,只增加相应的接口模块就能方便简单地完成扩容。
如果初期工程中采用端口密度低的交换机,在扩容时就需更换成密度高的设备,即使更换的速度很快,也会使网络发生中断。
网络的安全性考虑
Xxx林业局网络的安全性是极其重要的。
要保证整个网络的安全,首先要确保网络设备的安全,如果从网络内部进行攻击,再多的安全措施都是白费。
因此从安全性角度考虑,需要使用安全可靠的网络设备。
高可靠性:
满足网络无中断运行,双电源热备份,接口备份、端口捆绑实现了链路的高可靠性,所有单板支持热插拔。
高性能:
分布式的转发结构,所有端口实现线速转发。
安全性:
核心交换机和接入交换机都支持802.1X和访问控制列表,可以配置用户的访问控制和认证。
三、设备分析
3.1、核心交换机
在本方案中核心交换机采用H3C7500E系列的7506E路由交换机
H3CS7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3C自主知识产权的ComwareV5操作系统,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
H3CS7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
H3CS7500E系列包括S7510E(12槽)、S7506E(8槽)、S7506E-V(垂直8槽)、S7503E(5槽)、7503E-S(3槽)和S7502E(4槽)6款产品,除了7503E-S所有产品均支持冗余主控。
H3CS7500E可广泛应用于城域网汇聚和边缘、园区网核心和汇聚以及配线间等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。
1. 丰富的业务,适应融合业务网络发展趋势
全面的MPLS业务能力
H3CS7500E所有产品均支持Multi-VRF特性,可以作为MCE设备使用;支持三层的MPLSVPN和二层的MPLSVPN(Martini、Kompella),可扩展支持VPLS技术;支持MPLSOAM特性,方便用户的管理和维护;与H3CMPLSVPNManager配合,实现图形化的MPLS部署与维护。
线速的IPv4/IPv6业务能力
H3CS7500E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3CS7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证,是成熟商用的IPv6产品。
有线无线一体化,有源无源一体化
H3CS7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3CS7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;H3CS7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
支持Portal认证
H3CS7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
2. 灵活的配置,适应各种应用场景
配线间融合业务网络的最佳选择
H3CS7500E针对配线间的需求定制开发了SA板卡,单台设备可以提供480个千兆线速接口和4个万兆线速接口。
H3CS7500E支持端点准入防御解决方案,解决终端安全问题;内置2800W电源直接提供PoE功能,对IP语音和无线接入提供良好的支持。
政府电力城域网边缘和汇聚的最佳选择
H3CS7500E支持Multi-VRF特性,为用户提供高可靠高性能的MCE设备;通过配置SalienceVI-Turbo引擎,可以提供集中式MPLS业务功能,适合在城域网边缘作为高性价PE设备使用;通过配置EA类板卡,可以提供分布式线速的MPLS业务功能,适合在城域网汇聚层作为高性能的PE使用。
IPv6网络的最佳选择
H3CS7500E所有SalienceVI引擎都可以提供集中式IPv6功能,H3CS7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡,在整机满配置状态下实现线速无收敛,为高校用户提供了高性能低成本的双栈汇聚核心设备,同时也满足其他行业用户IPv6Ready的需求。
3. 全方位的安全保障,抵御多种网络安全威胁
三平面安全保障机制
H3CS7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:
在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSHV2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。
H3CS7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。
有线无线全面支持EAD
H3CS7500E是EAD端点准入防御解决方案的重要组成部分,S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。
H3CS7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。
增强的ACL特性
H3CS7500E系列产品支持强大的ACL能力:
支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,每板最大可支持9K条ACL,满足金融等行业访问权限严格控制的需求。
4. 电信级的高可靠性,保障用户业务长期稳定运行
电信级高可靠性设计
H3CS7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3CS7500E系列可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性。
多业务高可靠性运行
H3CS7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议,提供小于200ms的环网故障保护;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。
通过上述技术,H3CS7500E可以在承载多业务的情况下不间断运行,实现业务的永续。
支持热补丁技术
H3CS7500E能够在不重启设备的前提下,通过热补丁技术,在线修改软件BUG,增加新的业务特性。
H3CS7500E提供控制补丁单元状态切换的用户命令,使用户能够方便的加载、激活、去激活、运行或删除补丁单元。
通过热补丁技术,降低了设备需要重启的次数,为客户提供更长的网络正常工作时间。
3.2、服务器汇聚交换机
在本方案中服务器汇聚交换机采用H3CS5100EI系列的S5100-48P-EI(48个10/100/1000Base-T以太网端口和4个1000Base-XSFP千兆以太网端口(Combo))
该产品是全千兆智能以太网交换机,所有的端口提供二层线速交换能力,硬件识别和处理各种应用业务流,所有端口都具有单独的数据包过滤和区分不同应用流的能力,并根据不同的流进行不同的管理和控制。
高密的24或48个10/100/1000M自适应电口,支持万兆上行,并且支持万兆堆叠。
完备的安全智能控制策略
S5100EI支持H3C端点准入防御(EAD)方案,从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。
通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
传统交换机对端口的镜像功能都是基于本地实现,镜像数据流无法穿越网络在核心实现统一采集、监控和分析;H3CS5100支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机上,在核心上启动网流分析(Netstream)功能,对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。
支持自动下发ACL、自动下发VLAN和自动下发QoSProfile功能,可以和802.1x认证功能相结合,可以动态的为通过认证的用户提供预先配置的一套QoS功能。
用户在经过802.1x认证后,交换机根据AAA服务器上配置的用户名和Profile的对应关系,将相应的Profile动态下发到用户登录的端口上,为该用户提供量身定做的服务质量保证。
高级的QoS
H3CS5100EI系列全千兆智能以太网交换机提供二到四层策略的报文ACL功能,可以对满足特定规则的流量进行过滤。
用户可以根据源/目的MAC地址、源/目的IP地址、源/目的四层端口号和协议类型等信息对策略进行的灵活配置。
H3CS5100EI系列以太网交换机提供基于Diffserv和802.1P的QoS特性,可以对报文的802.1P和DSCP域优先级进行修改等操作,并映射到每端口提供的8个COS队列,队列调度提供了三种各具特色的队列调度算法,严格优先级(SP)和整形加权轮循(SDWRR)调度算法以及SP+SDWRR组合调度算法。
支持流量监管和带宽粒度控制,提供256个CAR(CommittedAccessRate),流量限速的最小粒度为1Kbit/s,确保为进入交换机的特定业务提供带宽保证,即使在网络拥塞时,也能满足一定的丢包、时延及时延抖动等QoS需求。
支持流量整形保证以太网交换机可以对输出报文速率进行控制。
支持基于流的报文重定向。
高可靠性和可扩展性
H3CS5100EI系列全千兆智能以太网交换机不仅支持STP/RSTP生成树协议,还提供了基于多VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。
支持LACP(LinkAggregationControlProtocol,链路聚合控制协议)进行动态链路汇聚。
提供LoopbackDetection功能,实现网络的链路环回检测,避免出现MAC地址学习错误而造成广播风暴。
H3CS5100EI系列交换机支持HGMP集群管理系统并能实现远程升级和故障诊断,实现了设备的集中管理和维护。
H3CS5100C-EI支持万兆堆叠,最多可达16台设备。
实现交流/直流双输入设计,设备既可以采用交流电源输入,也可以直流电源输入,二者之间热备份。
支持可选的冗余电源系统RPS,提高容错能力和网络正常运行时间。
多样的管理方式
H3CS5100EI交换机支持基于物理端口以及基于流/VLAN/MAC的镜像功能,可以进行N:
1镜像,支持远程端口镜像功能,可以实现统一监控检测。
支持基于策略的VLAN,可以对指定流分类特征的报文指定修改VLAN,实现指定特征的报文与VLAN相绑定,方便管理。
支持SNMP,可支持OpenView等通用网管平台,以及Quidview网管系统。
支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便,并且支持SSH2.0等加密方式,使得管理更加安全。
3.3、外联单位汇聚层交换机
在本方案中外联单位汇聚交换机采用H3CS3600系列的S3600-28TP-SI(24个10/100Base-TX以太网端口,2个1000Base-XSFP千兆以太网端口,2个10/100/1000Base-T以太网端口)
H3CS3600系列交换机是H3C公司基于IToIP理念设计和开发的智能弹性以太网交换机。
系统采用创新的IRF技术,在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案,是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。
H3CS3600系列智能弹性交换机目前包含型号为:
S3600-28P-SI:
24个10/100Base-TX以太网端口,4个1000Base-XSFP千兆以太网端口;
S3600-28TP-SI:
24个10/100Base-TX以太网端口,2个1000Base-XSFP千兆以太网端口,2个10/100/1000Base-T以太网端口;
S3600-52P-SI:
48个10/100Base-TX以太网端口,4个1000Base-XSFP千兆以太网端口;
S3600-28P-EI:
24个10/100Base-TX以太网端口,4个1000Base-XSFP千兆以太网端口;
S3600-28F-EI:
24个100Base-XSFP百兆以太网端口,2个1000Base-XSFP千兆以太网端口,2个10/100/1000Base-T以太网端口;
S3600-28P-PWR-EI:
24个10/100Base-TX以太网端口(PoE),4个1000Base-XSFP千兆以太网端口;
S3600-52P-EI:
48个10/100Base-TX以太网端口,4个1000Base-XSFP千兆以太网端口;
S3600-52P-PWR-EI:
48个10/100Base-TX以太网端口(PoE),4个1000Base-XSFP千兆以太网端口。
S3600-28TP-SI
弹性扩展技术--IRF
H3CS3600系列交换机采用H3C公司创新的IRF(IntelligentResilientFramework)智能弹性技术,与传统组网技术相比,在扩展性、可靠性、整体架构的性能方面具有强大的优势:
扩展性—IRF技术允许交换机利用互联电缆实现多台设备的扩展,最大扩展至384个10/100M端口;具有即插即用、单一IP管理,同时大大降低系统扩展的成本。
可靠性—通过专利的路由热备份技术,在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发,极大的增强了堆叠架构的可靠性和性能,同时消除了单点故障,避免了业务中断。
分布性—通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。
完备的安全策略
当前的园区网面临着越来越多的安全威胁和挑战,如何实现安全的接入控制,防止病从口入?
如何对攻击源进行定位和反查?
如何监控网络中的各种流量并进行分析控制?
H3CS3600系列交换机在安全策略方面为用户提供全新的技术特性和解决方案。
传统的802.1X认证方式只解决了用户的权限问题,对用户终端的安全状态无能为力,病毒可以通过合法用户的感染终端进入网络系统和应用系统。
H3CS3600系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
传统交换机对端口的镜像功能都是基于本地实现,镜像数据流无法穿越网络在核心实现统一采集、监控和分析;H3CS3600支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机(例如S9500/7500)上,在核心上启动网流分析(Netstream)功能,配合XLOG系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。
传统行业和园区网采用DHCP技术后极大简化了网络地址的分配和管理。
但同时,在一个不安全的园区网中(如校园网),存在恶意地址欺骗、擅自修改IP地址、私设DHCPServer等安全事件和隐患。
H3CS3600系列交换机提供DHCPSnooping(侦听)功能,通过建立和维护DHCPSnooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID接口等信息,解决了DHCP用户的IP和端口跟踪定位问题。
同时对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址的报文)直接丢弃,保证DHCP环境的真实性和一致性。
同时利用DHCPSnooping的信任端口特性可以保证DHCPServer的合法性。
H3CS3600系列交换机还支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,对不符合DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。
同时支持IPSourceCheck特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS攻击。
多业务融合能力
按业务类型大致分成数据、语音、视频、多媒体等,不同的业务对基础网络的要求,比如带宽、优先级、延时、端到端的QoS保证等,如果这些都需要手工进行设置和调整,那么网络的适应能力无从谈起,因此IToIP的基础网络应该是对业务变化自动感知和自动适应的系统,对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。
例如对于语音业务来说,大量的IPPHONE的部署需要配置和远程供电,H3CS3600系列交换机通过支持VoiceVLAN技术和智能POE技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。
VoiceVLAN技术是指交换机通过识别端口的语音流,将对应的接入端口加入VoiceVLAN(专用语音VLAN)中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。
同时通过设置VoiceVLAN安全特性,只允许语音流量通过,可以有效防止突发数据流量对VoiceVLAN内的语音流量的冲击。
PoE(PoweroverEthernet)技术是指通过以太网对所连接的设备(如IPPhone,WirelessAP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。
PoE技术符合802.3af标准,通过以太网电口对外供电,采用数据线提供-48V直流电源。
当PD设备插到端口上后,交换机将自动对PD设备进行检测,进行功率分类,并根据当前剩余电源、端口供电优先级的配置、端口最小功率配置等参数,决定是否对此设备供电以及分配功率。
通过PoE技术和VoiceVLAN技术的结合可以提供完整的语音设备管理方案。
高可靠性设计
H3CS3600系列交换机除了支持高可靠性的IRF技术以外,还支持传统的STP/RSTP/MSTP和SmartLink二层链路保护技术,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。
支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。
构建故障时的冗余路由拓扑结构,保持通讯的连续性和可靠性,有效保障网络稳定。
支持ECMP(等价路由),通过配置多条等值路径实现上行路由的冗余备份和负载分担。
采用交流/直流双输入设计,设备既可以采用交流电源输入,也可以直流电源输入,二者之间热备份。
简单易用的管理维护
H3CS3600系列交换机支持VCT(VirtualCableTest)电缆检测功能,便于快速定位网络故障点。
支持DLDP(DeviceLinkDetectionProtocol,设备连接检测协议),可以监控光纤的链路状态。
如果发现单向链路存在,DLDP协议会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。
支持SNMPV1/V2/V3,可支持OpenView等通用网管平台,以及iMC智能管理中心。
支持CLI命令行,Web网管,Telnet,HGMP集群管理,使设
升级会员 