《企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計》畢業(yè)論文
《《企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計》畢業(yè)論文》由會員分享,可在線閱讀,更多相關(guān)《《企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計》畢業(yè)論文(52頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、編號: 本科畢業(yè)論文(設(shè)計)企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計院 系:姓 名:學(xué) 號:專 業(yè):年 級:指導(dǎo)教師:職 稱:完成日期:摘 要由于社會發(fā)展與計算機網(wǎng)絡(luò)系統(tǒng)的應(yīng)用息息相關(guān),傳統(tǒng)的企業(yè)正以前所未有的速度進(jìn)行著變革,其主要特征就是企業(yè)網(wǎng)成為企業(yè)生存與發(fā)展的信息化基礎(chǔ)設(shè)施。為了提高企業(yè)自身的競爭力和工作效率,更好地適應(yīng)信息化建設(shè)的要求,本文通就如何完善企業(yè)網(wǎng)絡(luò)建設(shè),進(jìn)行了分析討論,提出了一種安全可靠的計算機網(wǎng)絡(luò)管理方法。該方案注重網(wǎng)絡(luò)設(shè)備的性價比,采用成熟可靠的網(wǎng)絡(luò)技術(shù),力求簡單易用、性能優(yōu)秀并且具有良好的可升級擴展。在網(wǎng)絡(luò)設(shè)計的標(biāo)準(zhǔn)性、先進(jìn)性、可靠性與穩(wěn)定性、保密性與安全性、可擴展性、冗余性等方面,制定了
2、一系列具有針對性的可行性方案。系統(tǒng)設(shè)計方面充分考慮大中型企業(yè)對網(wǎng)絡(luò)需求的特點,注重為客戶提供www服務(wù)、ftp服務(wù)、Internet對外郵件系統(tǒng)等,更好更快地與外部客戶交流,為中型企業(yè)提供安全可靠、便于管理穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)做出了一些討論。本方案還考慮到企業(yè)的未來的發(fā)展規(guī)劃,在網(wǎng)絡(luò)的結(jié)構(gòu)、應(yīng)用、管理、系統(tǒng)性能等各個方面都能夠適應(yīng)未來的發(fā)展,并最大程度地節(jié)省企業(yè)的投入。從而使其在信息化建設(shè)過程中起到巨大的推動作用,為企業(yè)的辦公提供簡單、有效、便捷的理想環(huán)境,也為企業(yè)在以后的改革提供有效的電子信息。關(guān)鍵詞:局域網(wǎng);大中型企業(yè)網(wǎng)絡(luò);網(wǎng)絡(luò)規(guī)劃IAbstractBecause of the social d
3、evelopment and application of computer network system is closely related, the traditional enterprises are engaged in an unprecedented rate of changes, the main feature is the corporate network as enterprise survival and development of information technology infrastructure. In order to improve the co
4、mpetitiveness of the working efficiency and better adapt to the request, the informatization construction of paper on how to improve enterprise network, general construction, analyzed, and puts forward a kind of safe and reliable network management plan. The solution to network devices, mature and r
5、eliable performance, and easy-to-use network technology, excellent and good performance can be upgraded. In web design standards, advanced, reliability and stability, security and secrecy and expansibility, redundancy, etc., have enacted a series of feasible scheme. System design for a medium-sized
6、enterprise fully consider the characteristics of the needs of the network, provide the www ftp service and Internet services to foreign mail system etc, better with external customers faster and medium-sized enterprises provide safe and reliable, easy to manage stable network system made some discus
7、sions.The plan also considering the future of the companys development plan, the structure, the application in the network management, system performance, etc to be able to adapt to the development of the future, and to maximize the enterprise. Save so in the information construction process has gre
8、at impetus for the enterprise, the office provides a simple and effective, convenient, also the ideal environment for enterprises to provide effective after the reform of electronic information.Key words : Lan;Large and medium-sized enterprise network;Network planning45目 錄1 概述11.1 信息化建設(shè)背景11.2 信息化網(wǎng)絡(luò)平
9、臺12 網(wǎng)絡(luò)需求分析及建設(shè)目標(biāo)22.1 工程項目概況22.2 信息點分布22.2.1 企業(yè)網(wǎng)絡(luò)建設(shè)需求22.3 總體技術(shù)要求22.3.1 網(wǎng)絡(luò)系統(tǒng)技術(shù)要求33 網(wǎng)絡(luò)技術(shù)選型43.1 路由協(xié)議OSPF43.2 端口安全與認(rèn)證(基于802.1X)43.3 VRRP(虛擬路由冗余協(xié)議)原理43.4 MSTP(多生成樹協(xié)議)原理53.5 NAT的描述及策略路由的實現(xiàn)63.6 ACL(訪問控制列表)63.7 鏈路聚合EC(Ethernet Channel)63.8 VLAN(虛擬局域網(wǎng))74 網(wǎng)絡(luò)設(shè)計原則84.1 網(wǎng)絡(luò)資源的實用性84.2 網(wǎng)絡(luò)的可靠性84.3 網(wǎng)絡(luò)的擴展性84.4 網(wǎng)絡(luò)的安全性94.5
10、 網(wǎng)絡(luò)的可管理性105 方案涉及產(chǎn)品介紹115.1 主要設(shè)備選型115.2 DCRS-7608 IPv6萬兆核心交換機115.2.1 產(chǎn)品概述115.2.2 產(chǎn)品特性115.3 CRS-6804萬兆核心路由交換機145.3.1 產(chǎn)品概述145.3.2 產(chǎn)品特性155.4 DCS-4500-26T智能安全接入交換機175.4.1 產(chǎn)品概述175.4.2 主要特性185.5 DCFW-1800E-2G多核防火墻205.5.1 產(chǎn)品概述205.5.2 主要特性205.6 LinkManager 網(wǎng)絡(luò)管理系統(tǒng)215.6.1 系統(tǒng)特點215.6.2 要特征226 網(wǎng)絡(luò)方案設(shè)計266.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹
11、266.2 網(wǎng)絡(luò)拓?fù)鋱D266.3 網(wǎng)絡(luò)設(shè)計276.3.1 骨干核心層網(wǎng)絡(luò)設(shè)計276.3.2 匯聚層網(wǎng)絡(luò)設(shè)計286.3.3 接入層網(wǎng)絡(luò)設(shè)計286.3.4 運維中心296.3.5 網(wǎng)絡(luò)安全設(shè)計306.3.6 網(wǎng)絡(luò)QoS設(shè)計306.3.7 冗余/負(fù)載均衡設(shè)計316.3.8 IP地址規(guī)劃346.3.9 VlAN的劃分406.4 方案優(yōu)勢40總結(jié)43參考文獻(xiàn)44致謝45概述1 概述1.1 信息化建設(shè)背景當(dāng)今社會信息化進(jìn)程迅猛發(fā)展,網(wǎng)絡(luò)技術(shù)已經(jīng)對社會、經(jīng)濟和文化各方面產(chǎn)生重大影響,并將改變?nèi)藗冋J(rèn)識世界、思考世界的觀點和方法。作為企業(yè)集團,如何面對網(wǎng)絡(luò)時代帶來的沖擊,如何利用網(wǎng)絡(luò)技術(shù)提高我們行業(yè)的管理水平和
12、服務(wù)質(zhì)量,是無法回避的問題。為進(jìn)一步推進(jìn)行業(yè)的信息化建設(shè),了解國際信息化發(fā)展動態(tài),吸收新的技術(shù)和管理經(jīng)驗,提高系統(tǒng)信息化應(yīng)用的管理水平,使經(jīng)濟效益和社會效益雙豐收勢在必行。 網(wǎng)絡(luò)設(shè)計主導(dǎo):(1) “量身定制”對用戶的需求進(jìn)行了定量分析。站在用戶的立場上為用戶“量身定制”出這個網(wǎng)絡(luò)方案。(2) “采先進(jìn)成熟技術(shù)及產(chǎn)品”當(dāng)今世界新技術(shù)產(chǎn)品層出不窮,組建內(nèi)部網(wǎng)絡(luò)應(yīng)從高技術(shù)高起點出發(fā),并留出擴容余量及廣域網(wǎng)接口,盡量避免重復(fù)建設(shè)及投資。(3) “精打細(xì)算”選用產(chǎn)品應(yīng)具有最佳性價比,在本次設(shè)計中采用神州數(shù)碼全線產(chǎn)品。1.2 信息化網(wǎng)絡(luò)平臺隨著行業(yè)管理信息化的不斷深入和行業(yè)本身對信息化管理的要求不斷提高,
13、其原來的網(wǎng)絡(luò)環(huán)境和技術(shù)管理手段逐漸不能適應(yīng)和滿足新的要求。搭建一個穩(wěn)定、高效、安全、可管理并可持續(xù)發(fā)展的網(wǎng)絡(luò)基礎(chǔ)平臺來承載企業(yè)的應(yīng)用,本設(shè)計方案網(wǎng)絡(luò)平臺架構(gòu)不僅能夠完全滿足企業(yè)的信息化需求和辦公應(yīng)用,而且能解決方案的可升級和擴展性也保證了企業(yè)局域網(wǎng)的安全性和運營效率。網(wǎng)絡(luò)需求分析及建設(shè)目標(biāo)2 網(wǎng)絡(luò)需求分析及建設(shè)目標(biāo)2.1 工程項目概況該企業(yè)為了加快信息化建設(shè),企業(yè)網(wǎng)將建設(shè)一個以集團辦公自動化、電子商務(wù)、業(yè)務(wù)綜合管理、多媒體視頻會議、遠(yuǎn)程通訊、信息發(fā)布及查詢?yōu)楹诵模袁F(xiàn)代網(wǎng)絡(luò)技術(shù)為依托,技術(shù)先進(jìn)、擴展性強,將企業(yè)的各種辦公室、多媒體會議室、PC終端設(shè)備、應(yīng)用系統(tǒng)通過網(wǎng)絡(luò)連接起來,實現(xiàn)內(nèi)、外溝通的
14、現(xiàn)代化計算機網(wǎng)絡(luò)系統(tǒng)。該網(wǎng)絡(luò)系統(tǒng)是支持辦公自動化、供應(yīng)鏈管理以及各應(yīng)用系統(tǒng)運行的基礎(chǔ)設(shè)施。2.2 信息點分布主要信息點集中在生產(chǎn)部、賬務(wù)部、網(wǎng)絡(luò)中心、職工宿舍等部門。詳細(xì)信息點分布如表2-1所示。表2-1主要信息點分布地點信息點備注網(wǎng)絡(luò)中心40需保證速度、流量和可靠性生產(chǎn)部150需保證速度、流量和可靠性賬務(wù)部120需保證速度、流量和安全性行政部100需保證速度、流量和安全性銷售部100需要保證速度和可靠性職工宿舍1000需保證速度和流量2.2.1 企業(yè)網(wǎng)絡(luò)建設(shè)需求企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)項目建設(shè),共涉及六棟樓,每棟樓八層,共有信息點數(shù)大約1500個,此次網(wǎng)絡(luò)建設(shè)的目的是為了實現(xiàn)企業(yè)內(nèi)的辦公自動化,提
15、高辦公效率。2.3 總體技術(shù)要求采用三層網(wǎng)絡(luò)架構(gòu),萬兆核心交換機,接入層交換機千兆上聯(lián)到核心,千兆接入桌面,關(guān)鍵性業(yè)務(wù)千兆接入。根據(jù)實際情況進(jìn)行VLAN劃分,把不同的業(yè)務(wù)劃分到不同的VLAN中進(jìn)行隔離,以保證網(wǎng)絡(luò)安全。隨著技術(shù)的發(fā)展和業(yè)務(wù)的增長,可以通過更換或增加模塊,使網(wǎng)絡(luò)升級,網(wǎng)絡(luò)規(guī)模和容量可以平滑增長。能夠在所有信息點內(nèi)任意劃分組成虛擬網(wǎng),實現(xiàn)不同業(yè)務(wù)的劃分。要求整個網(wǎng)絡(luò)具有高可靠性的總體設(shè)計,采用的技術(shù)是相對成熟的技術(shù);所選用的設(shè)備具有高可靠性;采用具有高安全級別的系統(tǒng)軟件;可以實現(xiàn)網(wǎng)絡(luò)自愈。系統(tǒng)的性能指標(biāo)能夠完全滿足網(wǎng)絡(luò)內(nèi)各項業(yè)務(wù)對處理能力的要求,且便于維護與管理。網(wǎng)絡(luò)和主機應(yīng)支持符
16、合國際和業(yè)界標(biāo)準(zhǔn)的相關(guān)結(jié)構(gòu),能夠與相關(guān)系統(tǒng)和網(wǎng)絡(luò)可靠互聯(lián);系統(tǒng)軟硬件平臺應(yīng)具有良好的移植能力;應(yīng)選擇廣泛應(yīng)用的標(biāo)準(zhǔn)協(xié)議,支持局域網(wǎng)內(nèi)部的其它協(xié)議。2.3.1 網(wǎng)絡(luò)系統(tǒng)技術(shù)要求網(wǎng)絡(luò)設(shè)備應(yīng)盡量選用同一廠家提供的,彼此之間匹配完全一致的產(chǎn)品。提供與設(shè)備選型相應(yīng)的網(wǎng)管軟件,具有網(wǎng)絡(luò)配置、管理、監(jiān)控、故障排除等方面的功能。(1) 核心交換機1 核心交換機負(fù)責(zé)連接所有的接入層交換機、防火墻、服務(wù)器;2 支持廣泛的接口類型和密度;3 提供強大的VLAN支持能力;4 要支持第二層或第三層的IP Multicast協(xié)議;5 要支持第二層或第三層的QoS協(xié)議;6 提供第二層或第三層的網(wǎng)絡(luò)安全控制能力。(2) 接入
17、交換機提供相應(yīng)數(shù)量的接入交換機,安裝在院區(qū)各樓相應(yīng)樓層內(nèi)。接入交換機提供光纖接口,通過光纖與匯聚交換機相連。網(wǎng)絡(luò)技術(shù)選型3 網(wǎng)絡(luò)技術(shù)選型3.1 路由協(xié)議OSPF在網(wǎng)絡(luò)骨干核心層和核心層以及匯聚層上需要使用三層設(shè)備為網(wǎng)絡(luò)內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同VLAN間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時,我們采用OSPF協(xié)議作為路由協(xié)議。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個網(wǎng)絡(luò)的鏈路信息,從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu),獨立計算路由。因為RIP路由協(xié)議不能服務(wù)于大型網(wǎng)絡(luò),所以,IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議OSPF。目前廣為使用的是OSPF第二版。OSPF作為一種內(nèi)部網(wǎng)關(guān)
18、協(xié)議(Interior Gateway Protocol,IGP),用于在同一個自治域(AS)中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議(RIP),OSPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點,在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。3.2 端口安全與認(rèn)證(基于802.1X)(1) 端口安全交換設(shè)備定義了對端口保護的功能,我們能定義允許的最大MAC地址訪問數(shù),或者靜態(tài)的定義特定的MAC地址。(2) 基于802.1x的端口認(rèn)證基于端口的認(rèn)證就是將AAA認(rèn)證與端口保護相結(jié)合,默認(rèn)情況下。一個支持802.1x的交換機端口處于未授權(quán)狀態(tài),除了和802.1x有關(guān)的數(shù)據(jù),其他數(shù)據(jù)都不能
19、通過該端口,只有客戶的交換機創(chuàng)建了一個802.1x的會話,客戶被授權(quán)訪問EAPOL:Extensible Authentication Protocol OVER LAN局域網(wǎng)上的可擴展身份認(rèn)證。在端口處于未授權(quán)狀態(tài)下,客戶端只能使用EAPOL與交換機通信。3.3 VRRP(虛擬路由冗余協(xié)議)原理VRRP給路由器組提供了一個冗余網(wǎng)關(guān)地址,它是一種容錯協(xié)議,通過定義不同的組,不同優(yōu)先級的路由器,它保證網(wǎng)絡(luò)的主路由器失效時,可以及時的由備分來實現(xiàn)路由器來替代,從而保持通訊的連續(xù)性和可靠性。并可以在該協(xié)議上實現(xiàn)負(fù)載均衡等高級交換特性。VRRP技術(shù)的實現(xiàn):匯聚到核心冗余連接及VRRP的實現(xiàn)通過VRRP
20、技術(shù)將多個設(shè)備虛擬成為一臺邏輯設(shè)備,實現(xiàn)匯聚/接入鏈路冗余。3.4 MSTP(多生成樹協(xié)議)原理RSTP協(xié)議完全向下兼容802.1D STP協(xié)議,除了和傳統(tǒng)的STP協(xié)議一樣具有避免回路、提供冗余鏈路的功能外,最主要的特點就是“快”。如果一個局域網(wǎng)內(nèi)的網(wǎng)橋都支持RSTP協(xié)議且管理員配置得當(dāng),一旦網(wǎng)絡(luò)拓樸改變而 要重新生成拓樸樹只需要不超過1秒的時間(傳統(tǒng)的STP需要大約50秒)。本交換機支持MSTP,MSTP是在傳統(tǒng)的STP、RSTP的基礎(chǔ)上發(fā)展而來的新的生成樹協(xié)議,本身就包含了RSTP的快速FORWARDING機制。由于傳統(tǒng)的生成樹協(xié)議與VLAN沒有任何聯(lián)系,因此在特定網(wǎng)絡(luò)拓?fù)湎戮蜁a(chǎn)生很多問
21、題:當(dāng)交換機A、B在VLAN1內(nèi),交換機C、D在VLAN2內(nèi),然后連成環(huán)路。描述的拓?fù)鋱D如下,見圖3-1。圖3-1描述的拓?fù)鋱D 在某種情況的配置下,會造成把交換機A和B間的鏈路給DISCARDING由于交換機C、D不包含VLAN1,無法轉(zhuǎn)發(fā)VLAN1的數(shù)據(jù)包,這樣交換機A的VLAN1就無法與交換機B的VLAN1進(jìn)行通訊。在網(wǎng)絡(luò)末梢,連接到單個工作站的時候,是不可能形成橋接環(huán)路的。在接口上啟用了PORTFAST特性,可以使交換機端口立即變?yōu)檗D(zhuǎn)發(fā)狀態(tài),提高了網(wǎng)絡(luò)的響應(yīng)速度及收斂時間?;赗STP的交換機高級特性UPLINKFAST在網(wǎng)絡(luò)中的應(yīng)用??紤]到有冗余上行連接的網(wǎng)絡(luò),使用冗余連接到上層交換機
22、,通常情況下一個上行連接處于轉(zhuǎn)發(fā)狀態(tài),另一個處于阻塞狀態(tài),如果主上行連接斷開,在使用冗余連接之前所經(jīng)歷的時間高達(dá)50S。在使用UPLINKFAS之后,使的具有冗余上行連接的交換機具有根端口失效時,另一個阻塞的上行連接能夠立即使用,這個時間大大縮小到1-5S之間,在企業(yè)網(wǎng)的特殊環(huán)境之下,能大大增強網(wǎng)絡(luò)的穩(wěn)定性,加快網(wǎng)絡(luò)收斂。3.5 NAT的描述及策略路由的實現(xiàn)在組建網(wǎng)絡(luò)時,為了節(jié)約地址,我們在內(nèi)部使用保留的私有地址段中的地址,但是使用私有地址不能訪問Internet,所以必須申請多個公開地址配置在和Internet相連的局域網(wǎng)邊緣設(shè)備上,應(yīng)用NAT進(jìn)行地址轉(zhuǎn)換。NAT是網(wǎng)絡(luò)地址翻譯技術(shù),在路由器
23、上起用NAT之后,可以在部私有地址和外部公網(wǎng)地址之間做轉(zhuǎn)換。比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的IP翻譯成外部公網(wǎng)的IP。配置基于策略的路由選擇時,可使用路由映射表來指定基于IP地址,應(yīng)用程序,協(xié)議或者分組長度的條件?;诓呗缘穆酚蛇x擇命令對中選的路由實現(xiàn)策略?;诓呗缘穆酚珊挽o態(tài)路由有很多共同之處。然而,靜態(tài)路由根據(jù)目標(biāo)網(wǎng)絡(luò)地址來轉(zhuǎn)換分組,而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組。在路由選擇表中使用訪問列表時,可根據(jù)諸如目標(biāo)地址,分組長度,IP協(xié)議字段,優(yōu)先級或端口號來轉(zhuǎn)發(fā)數(shù)據(jù)流。這樣可以指定范圍更廣泛,更細(xì)致的條件,并根據(jù)這些條件來決定下一路由器。3.6 ACL(訪問控制列表)訪問列表為我們提供了一種對網(wǎng)絡(luò)
24、訪問進(jìn)行有效管理的方法,通過訪問列表,我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器,或者允許或者拒絕具體的某些端口進(jìn)行訪問和使用,如果滿足條件則執(zhí)行相應(yīng)的操作,放行這個包或者放棄這個包。我們通過這些設(shè)置來滿足實際網(wǎng)絡(luò)的靈活需求,從而達(dá)到設(shè)置網(wǎng)絡(luò)安全策略,防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問的情況。在具體實現(xiàn)過程中從技術(shù)上來說我們需要了解到ACL分為兩種類型,他們分別是標(biāo)準(zhǔn)訪問列表(Standard access lists)和擴展訪問列表(Extends access lists)前者在過濾網(wǎng)絡(luò)的時候只使用IP數(shù)據(jù)報的源地址,那么在使用這種訪問列表的情況下它做出允許或者拒絕這個決定完全是依賴于源IP地
25、址,它無法區(qū)分具體的流量類型。而擴展訪問列表則可以提供更細(xì)的決定,它可以具體到端口,從而精確到某一個服務(wù),比如對WEB,FTP的訪問等,給我們網(wǎng)絡(luò)的策略提供了更細(xì)的控制手段。我們利用這種訪問列表進(jìn)行協(xié)議級的控制以達(dá)到對網(wǎng)絡(luò)一個有效的管理。標(biāo)準(zhǔn)訪問控制列表一般放在靠近目標(biāo)的路由器上,而擴展訪問控制列表一般放于近源端的路由器上。3.7 鏈路聚合EC(Ethernet Channel)以太網(wǎng)信道鏈路聚合可以讓交換機之間和交換機與服務(wù)器之間的鏈路帶寬有非常好的伸縮性,比如可以把2個、3個、4個千兆的鏈路綁定在一起,使鏈路的帶寬成倍增長。鏈路聚合技術(shù)可以實現(xiàn)不同端口的負(fù)載均衡,同時也能夠互為備份,保證鏈
26、路的冗余性。在這些千兆以太網(wǎng)交換機中,最多可以支持4組鏈路聚合,每組中最大4個端口。鏈路聚合一般是不允許跨芯片設(shè)置的。生成樹協(xié)議和鏈路聚合都可以保證一個網(wǎng)絡(luò)的冗余性。在一個網(wǎng)絡(luò)中設(shè)置冗余鏈路,并用生成樹協(xié)議讓備份鏈路阻塞,在邏輯上不形成環(huán)路。而一旦出現(xiàn)故障,啟用備份鏈路。3.8 VLAN(虛擬局域網(wǎng))VLAN虛擬局域網(wǎng)是一種在二層設(shè)備上隔離和劃分廣播域的技術(shù),通過這種劃分,我們可以把物理位置上分離的網(wǎng)絡(luò)設(shè)備在邏輯上劃為同一個廣播域,或者把物理位置上鄰近的網(wǎng)絡(luò)設(shè)備劃為不同的廣播域,從而更方便我們管理和做一個邏輯層次的劃分。從技術(shù)上說VLAN可以分為靜態(tài)VLAN和動態(tài)VLAN,那么靜態(tài)的VLAN是
27、基于交換機端口進(jìn)行劃分,根據(jù)網(wǎng)絡(luò)設(shè)備連接不同的交換機端口,則進(jìn)入相應(yīng)VLAN。動態(tài)VLAN則更靈活,它可以根據(jù)接入計算機的IP地址,MAC地址,甚至是用戶的登陸賬號做出相應(yīng)的處理,把計算機劃分進(jìn)相應(yīng)的VLAN中,這樣就為我們實際的網(wǎng)絡(luò)管理帶來了比較大的方便性和靈活性。那么在我們的企業(yè)網(wǎng)方案中,我們希望通過使用VLAN技術(shù)進(jìn)行劃分達(dá)到以下目的:隔離,劃分廣播域,減小不必要的廣播流量,從而提高整個網(wǎng)絡(luò)的利用效率。網(wǎng)絡(luò)設(shè)計原則4 網(wǎng)絡(luò)設(shè)計原則采用先進(jìn)成熟的技術(shù)和設(shè)計思想,運用先進(jìn)的集成技術(shù)路線,以先進(jìn)、實用、可靠、安全、使用方便和易于操作為原則,突出系統(tǒng)功能的實用性,盡快投入使用,發(fā)揮較好的效能。4
28、.1 網(wǎng)絡(luò)資源的實用性網(wǎng)絡(luò)建設(shè)的實用性是網(wǎng)絡(luò)建設(shè)的根本,在此基礎(chǔ)上考慮網(wǎng)絡(luò)的可靠性、可擴展性、安全性以及可管理性。網(wǎng)絡(luò)的實用性主要體現(xiàn)在網(wǎng)絡(luò)的性能上,網(wǎng)絡(luò)的性能是由應(yīng)用系統(tǒng)的數(shù)據(jù)流量分布、網(wǎng)絡(luò)設(shè)備性能及廣域網(wǎng)鏈路帶寬綜合決定的。對應(yīng)用系統(tǒng)的認(rèn)真分析是網(wǎng)絡(luò)設(shè)備選型以及廣域網(wǎng)鏈路帶寬選擇的基礎(chǔ)。在一定的網(wǎng)絡(luò)資源條件下,可利用各種技術(shù)實施對于關(guān)鍵的網(wǎng)絡(luò)應(yīng)用的保障。如通過先進(jìn)的隊列機制進(jìn)行擁塞控制,對不同等級的數(shù)據(jù)進(jìn)行不同的處理,包括時延的不同和丟包率的不同;采用具備先期擁塞控制機制的網(wǎng)絡(luò)設(shè)備,當(dāng)網(wǎng)絡(luò)出現(xiàn)真正的擁塞前就自動采取適當(dāng)?shù)拇胧M(jìn)行先期擁塞控制,避免瞬間大量的丟包現(xiàn)象;對非常重要的特殊應(yīng)用,
29、應(yīng)可以采用保留帶寬資源的方式保證其QoS。4.2 網(wǎng)絡(luò)的可靠性網(wǎng)絡(luò)的可靠性既是保證網(wǎng)絡(luò)的正常運行,不因網(wǎng)絡(luò)的故障或變化引起網(wǎng)絡(luò)的瞬間質(zhì)量惡化。網(wǎng)絡(luò)作為數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心,應(yīng)充分考慮可靠性。 網(wǎng)絡(luò)的可靠性通過冗余技術(shù)實現(xiàn),包括電源冗余、處理器冗余、模塊冗余、設(shè)備冗余、鏈路冗余等技術(shù)。模塊冗余考慮網(wǎng)絡(luò)匯接點的主干設(shè)備和核心設(shè)備的所有關(guān)鍵模塊和環(huán)境部件應(yīng)具備1+1或1:N熱備份的功能,所有模塊具備熱插拔的功能,當(dāng)某一關(guān)鍵模塊出現(xiàn)故障時,可由備份模塊接替其功能。4.3 網(wǎng)絡(luò)的擴展性從網(wǎng)絡(luò)的發(fā)展趨勢來看,用戶數(shù)量以及應(yīng)用系統(tǒng)的膨脹是必然的趨勢,網(wǎng)絡(luò)系統(tǒng)面臨數(shù)據(jù)流量增大的壓力,同時網(wǎng)絡(luò)高新技術(shù)在網(wǎng)絡(luò)中不斷
30、被應(yīng)用,在設(shè)計網(wǎng)絡(luò)時應(yīng)充分考慮系統(tǒng)的可升級性,從而保護網(wǎng)絡(luò)系統(tǒng)投資。網(wǎng)絡(luò)的可升級能力包括設(shè)備交換容量的可升級能力、端口數(shù)量的可升級能力、主干帶寬的可升級能力,網(wǎng)絡(luò)新技術(shù)平滑過渡的可升級能力,以及網(wǎng)絡(luò)規(guī)模的可升級能力。交換容量擴展應(yīng)具備在現(xiàn)有基礎(chǔ)上繼續(xù)擴充2-4倍容量的能力,以適應(yīng)IP類業(yè)務(wù)急速膨脹的需求。設(shè)備的選型應(yīng)充分考慮包轉(zhuǎn)發(fā)能力以及數(shù)據(jù)交換能力。端口密度擴展需要認(rèn)真分析用戶和應(yīng)用系統(tǒng)的升級可能性,在具備升級可能性的信息節(jié)點配置高可升級性的網(wǎng)絡(luò)設(shè)備,滿足網(wǎng)絡(luò)擴容時對用戶接入以及系統(tǒng)互聯(lián)的需要。主干設(shè)備應(yīng)具備豐富的的接口種類,具備向后延展性,可支持萬兆以太網(wǎng)是發(fā)展的必然方向,以適應(yīng)IP類應(yīng)用
31、及業(yè)務(wù)急速膨脹的需求。網(wǎng)絡(luò)規(guī)模擴展需綜合考慮網(wǎng)絡(luò)體系結(jié)構(gòu)、路由協(xié)議的規(guī)劃和設(shè)備的CPU路由處理能力,應(yīng)能滿足網(wǎng)絡(luò)升級時對用戶接入以及數(shù)據(jù)流量變化或增大時處理能力的需要。4.4 網(wǎng)絡(luò)的安全性網(wǎng)絡(luò)的發(fā)展趨勢是基于Internet Web技術(shù)的開放網(wǎng)絡(luò)化系統(tǒng)。這不僅帶來了新的巨大的使用方便,同時也帶來了不斷增加的復(fù)雜應(yīng)用及信息技術(shù)的挑戰(zhàn),因而安全是網(wǎng)絡(luò)建設(shè)中要考慮的一個關(guān)鍵因素。網(wǎng)絡(luò)安全在內(nèi)容上主要應(yīng)考慮以下幾個方面:(1) 身份鑒別與授權(quán):身份包括鑒別和授權(quán)。鑒別回答了“你是誰”和“你在哪?”這兩個問題,授權(quán)回答“你可以訪問什么”。必須對身份機制謹(jǐn)慎部署,因為如果設(shè)施難以使用,即便是最嚴(yán)謹(jǐn)?shù)陌踩?/p>
32、略也有可能被避開。(2) 邊界安全:邊界安全涉及到防火墻種類的功能,決定網(wǎng)絡(luò)的不同區(qū)域允許或拒絕何種業(yè)務(wù),特別是在Internet和園區(qū)網(wǎng)之間或撥入網(wǎng)和園區(qū)網(wǎng)之間。(3) 數(shù)據(jù)的保密性和完整性:數(shù)據(jù)的保密性指確保只有獲準(zhǔn)能夠閱讀數(shù)據(jù)的實體以有效的形式閱讀數(shù)據(jù),而數(shù)據(jù)完整性指確保數(shù)據(jù)在傳輸過程中未被改動。(4) 安全監(jiān)測:為檢驗安全基礎(chǔ)設(shè)施的有效性,應(yīng)經(jīng)常進(jìn)行定期的安全審查,包括新系統(tǒng)安裝檢查,發(fā)現(xiàn)惡意入侵行為的措施,可能的特殊問題(拒絕業(yè)務(wù)攻擊)以及對安全策略的全面遵守等方面。(5) 策略管理:由于網(wǎng)絡(luò)安全涉及到以上的多個方面,每一個方面都使用了多種產(chǎn)品和技術(shù),對這些產(chǎn)品進(jìn)行集中有效的管理可以
33、幫助網(wǎng)絡(luò)管理者有效地部署和更新自己的安全策略。(6) 其他基于網(wǎng)絡(luò)安全技術(shù)的策略:比如利用硬件ACL技術(shù),線速地對網(wǎng)絡(luò)內(nèi)部常見漏洞端口的封閉,對已知網(wǎng)絡(luò)病毒傳播的抑制。4.5 網(wǎng)絡(luò)的可管理性隨著網(wǎng)絡(luò)中設(shè)備逐漸增多,網(wǎng)絡(luò)技術(shù)日趨復(fù)雜,網(wǎng)絡(luò)管理的重要性越來越明顯網(wǎng)絡(luò)的復(fù)雜導(dǎo)致系統(tǒng)運行的不確定因素增加,可靠性降低,“宕機”時間變長且?guī)淼膿p失越來越大,而往往由于平時對網(wǎng)管的忽略,缺乏受過專業(yè)培訓(xùn)的網(wǎng)絡(luò)管理人員,也缺乏綜合的網(wǎng)管解決方案,因而發(fā)生問題時無從下手,這才意識到網(wǎng)管的重要。作為一套考慮完善、可靠性要求極高的系統(tǒng),當(dāng)然不希望有“亡羊補牢”的情況發(fā)生,因此網(wǎng)絡(luò)管理是網(wǎng)絡(luò)設(shè)計必不可少的考慮因素之一
34、,從設(shè)備本身操作系統(tǒng)所具備的一些網(wǎng)管功能,到簡單的網(wǎng)絡(luò)管理工具,甚而功能強大的大型管理系統(tǒng),用戶可根據(jù)自身的實際網(wǎng)絡(luò)應(yīng)用和資金安排,循序漸進(jìn),逐步實現(xiàn)全面網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)從承載單一的數(shù)據(jù)到多種不同的應(yīng)用,如何合理利用帶寬資源,保障關(guān)鍵性業(yè)務(wù)QoS等管理要求成為網(wǎng)絡(luò)規(guī)劃管理人員不能回避的問題,網(wǎng)絡(luò)管理系統(tǒng)必須提供有效的性能監(jiān)控與流量收集分析的網(wǎng)絡(luò)工具幫助網(wǎng)絡(luò)管理人員優(yōu)化網(wǎng)絡(luò)性能,準(zhǔn)確地進(jìn)行網(wǎng)絡(luò)規(guī)劃。多種業(yè)務(wù)的集成要求勢必帶來網(wǎng)絡(luò)硬件環(huán)境的變化。從單一的路由器與交換機的互連到集合了路由器,交換機,IP PHONE,語音網(wǎng)關(guān),視頻設(shè)備等多樣設(shè)備的互連,設(shè)備管理和配置的直觀性,靈活性對網(wǎng)絡(luò)管理的效率
35、至關(guān)重要。方案涉及產(chǎn)品介紹5 方案涉及產(chǎn)品介紹5.1 主要設(shè)備選型神州數(shù)碼(中國)有限公司具有業(yè)界最長最豐富的交換機產(chǎn)品線,其中新一代的大容量萬兆核心交換機DCRS-7600系列,可以提供豐富的IPv6實現(xiàn)技術(shù),出色的體系結(jié)構(gòu),完整的攻擊和病毒防范功能線速萬兆和節(jié)能技術(shù)。而DCRS-6800系列可以提供大容量無阻塞的高性能業(yè)務(wù)交換,具備不斷擴展和升級的能力;提供大容量的二、三層線速交換,提供多種豐富的業(yè)務(wù)板卡,不斷滿足客戶對網(wǎng)絡(luò)的需求,并極大的保護用戶的投資。智能接入的DCS-4500-24T交換機,支持豐富的協(xié)議類型,用戶行為的管理控制、安全可靠,充分滿足客戶對網(wǎng)絡(luò)易管理、高性能、多業(yè)務(wù)承載
36、的需求。5.2 DCRS-7608 IPv6萬兆核心交換機圖5-1 DCRS-7608 IPv6萬兆核心交換機5.2.1產(chǎn)品概述神州數(shù)碼DCRS-7608,豐富的IPv6實現(xiàn)技術(shù),出色的體系結(jié)構(gòu),完整的攻擊和病毒防范功能,穩(wěn)定的核心保障機制,智能靈活的性能資源調(diào)度機制Flex Resource,便捷安全的網(wǎng)絡(luò)管理,運營商級的可靠性,線速萬兆和節(jié)能技術(shù)。5.2.2產(chǎn)品特性(1) 豐富的業(yè)務(wù)支持支持全線速的MPLS VPN業(yè)務(wù):DCRS-7600系列支持全面的LDP功能和BGP/MPLS VPN功能的同時,還支。持MPLS VPN訪問公網(wǎng)功能,實現(xiàn)專網(wǎng)通信的同時,可以無阻隔地訪問公網(wǎng),保障了業(yè)務(wù)的
37、多樣性,可同時作為PE路由器、P路由器,還可根據(jù)需要支持版本升級擴展功能。支持領(lǐng)先的IPv6業(yè)務(wù):DCRS-7600系列支持豐富的IPv6實現(xiàn)技術(shù),完全基于ASIC的分布式全線速硬件方式進(jìn)行轉(zhuǎn)發(fā),能夠滿足高性能的IPv6應(yīng)用。分布式硬件IPv6轉(zhuǎn)發(fā)方式,可以在本地實現(xiàn)IPv6報文的處理,并可在接口模塊內(nèi)部及模塊與背板間實現(xiàn)IPv6報文的線速轉(zhuǎn)發(fā),避免了集中式轉(zhuǎn)發(fā)、NP轉(zhuǎn)發(fā)等模式存在的瓶頸和時延問題;同時,作為國內(nèi)和國際最先通過IPv6 Ready第二階段增強版認(rèn)證和IPv6 Ready Dhcpv6認(rèn)證的路由交換機,新增加了更安全的鄰居發(fā)現(xiàn)(ND)信息、認(rèn)證封裝安全負(fù)載、避免了受到路由頭RH0
38、攻擊的影響、避免了使用IPv6任播地址的限制、完善了無狀態(tài)地址分配的協(xié)議交互過程,為IPv6能真正在大規(guī)模商用環(huán)境中應(yīng)用提供了安全方面的保障。支持強大復(fù)雜的組播業(yè)務(wù):DCRS-7600系列支持強大的組播實現(xiàn)技術(shù),不僅支持IPv4組播,還支持領(lǐng)先的IPv6組播,完全基于ASIC的分布式全線速硬件方式進(jìn)行IPv4/IPv6組播轉(zhuǎn)發(fā),能夠滿足高性能的多媒體應(yīng)用。在IPv4方面,提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等為主,配以MSDP、anycast-RP、靜態(tài)組播路由、邊界組播、Multcast VLAN、IGMP Proxy、IGMP Snooping等為輔的
39、多套IPv4組播解決方案;在神州數(shù)碼網(wǎng)絡(luò)的傳統(tǒng)強項IPv6方面,提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2為主,配以IPv6 anycast(泛播)-RP、IPv6靜態(tài)組播路由、IPv6邊界組播、IPv6 Multcast VLAN、IPv6組播隧道等為輔的多套IPv6組播解決方案,滿足了業(yè)務(wù)復(fù)雜的電信級IPv4/IPv6組播業(yè)務(wù)需求。(2) 出色的體系結(jié)構(gòu)DCRS-7608提供了10個插槽,DCRS-7604提供了4個插槽,同時DCRS-7604管理引擎模塊支持高密度千兆端口,業(yè)界獨特,極大地保護了用戶的投資。 DCRS-7600系列產(chǎn)品采用全分布式體系結(jié)
40、構(gòu)設(shè)計,采用功能強大的ASIC芯片進(jìn)行高速路由查找,采用最長匹配、逐包轉(zhuǎn)發(fā)的方式進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),從而大大提升了路由交換機的轉(zhuǎn)發(fā)性能和擴充能力。(3) 完整的攻擊和病毒防范功能DCRS-7600系列具有多層的IPv4和IPv6安全防范設(shè)計,堪稱業(yè)界最全面,極有效地保障了超大規(guī)模、多業(yè)務(wù)、復(fù)雜流量訪問網(wǎng)絡(luò)的安全穩(wěn)定性:1 S-MAC技術(shù)可有效地基于MAC層防范各種攻擊;2 S-ARP (安全ARP) 技術(shù)可有效防止ARP的各種攻擊和欺騙;3 S-NDP (安全NDP) 技術(shù)可有效防止IPv6 NDP的各種攻擊和欺騙;4 S-ICMP(安全I(xiàn)CMP)技術(shù)可有效防止PING-DOS攻擊,靈活防止黑客利用
41、ICMP;5 Unreachable攻擊第三方的行為;6 BPDU-GUARD技術(shù)可有效防止非法BPDU報文的攻擊;7 IPv4 DHCP Snooping/IPv6 DHCP Snooping技術(shù)可有效防止DHCP報文的攻擊;8 IPv4 URPF/IPv6 URPF技術(shù)可有效防止基于源IPv4地址IPv6欺騙的網(wǎng)絡(luò)攻擊;9 IPv4/IPv6 DCSCM可有效防止組播源和組播客戶端的攻擊;10 黑洞路由技術(shù)可有效防止路由環(huán)路、路由黑洞。(4) DCRS-7600系列的諸多設(shè)計可充分保障核心穩(wěn)定1 交換引擎CPU核心保護:可有效防止各類非法協(xié)議攻擊導(dǎo)致核心設(shè)備交換引擎癱瘓;2 關(guān)鍵協(xié)議綠色通
42、道功能:可保障正常、合法、速度合理的關(guān)鍵控制報文(VRRP、STP、MSTP、RIP、OSPF、BGP、組播協(xié)議、雙引擎板間心跳等)在大流量業(yè)務(wù)下不被淹沒,快速處理不中斷;3 先進(jìn)的FLASH ECC的自動糾錯:避免了版本升級過程中出錯的可能性;4 先進(jìn)的內(nèi)存ECC的自動糾錯:保障了設(shè)備運行的穩(wěn)定性。(5) 智能靈活的性能資源調(diào)度機制Flex Resource影響交換機性能的因素有很多:CPU、內(nèi)存、MAC表、IP地址表、路由表、ACL表等等。這些資源都是有代價的,它們是交換機成本的重要組成部分。所以說,能不能在有限的成本范圍內(nèi),最大限度地提高交換機資源的利用率,就成為提升性能的有效之道!針對
43、這個用戶需求,神州數(shù)碼網(wǎng)絡(luò)的Flex-Resource(柔性資源調(diào)度)可利用多項技術(shù),動態(tài)調(diào)整、回收和再分配交換機資源,從而成倍地提高了核心交換機資源的利用率,支撐起更大規(guī)模的網(wǎng)絡(luò)。Flex-Resource目前支持Flex-LPM,Flex-L3,Flex-ARP等細(xì)分技術(shù)。(6) 便捷安全的網(wǎng)絡(luò)管理優(yōu)秀的網(wǎng)絡(luò)設(shè)備除了強大的性能和功能外還應(yīng)具備完善的管理功能。DCRS-7600系列具有豐富的監(jiān)測網(wǎng)管功能,可實現(xiàn)任務(wù)異常、內(nèi)存異常、交換芯片異常、CPU利用率、堆棧異常等方面的監(jiān)測,而SYSLOG功能可方便地記錄事件,便于事后查找和定位。DCRS-7600系列具備便捷安全的配置管理手段,支持標(biāo)準(zhǔn)
44、SSH、SNMP v1/v2c/v3;Security IP功能可拒絕非法配置員,只有從合法的IP才能對交換機進(jìn)行配置管理,防止非法用戶登陸交換機。(7) 運營商級的可靠性DCRS-7600系列路由交換機對所有關(guān)鍵部件都采用了冗余備份的設(shè)計方案:電源冗余、管理模塊冗余、鏈路冗余等,并且DCRS-7600系列路由交換機的交流電源采取多路(2-3路)電網(wǎng)供電電源工作時負(fù)載均衡,大大提高了電源的穩(wěn)定和可靠。雙引擎HA技術(shù),保證在主引擎出現(xiàn)故障時,備份引擎自動接管交換機設(shè)備變成主引擎,從而保證交換機的穩(wěn)定可靠運行。同時所有單板、電源模塊、風(fēng)扇盤等都支持熱插拔,提高了網(wǎng)絡(luò)運行的連續(xù)性。(8) 線速萬兆和
45、節(jié)能技術(shù)DCRS-7600系列交換機擁有著先進(jìn)的萬兆以太網(wǎng)支持,最高可提供Tbps級的交換容量和Mbps級的包轉(zhuǎn)發(fā)能力。在保持線速轉(zhuǎn)發(fā)性能的基礎(chǔ)上,支持各種高密度接口板,滿足核心層設(shè)備高密度、高吞吐量的要求,為城域和廣域的應(yīng)用提供了針對性的解決措施,可以簡化網(wǎng)絡(luò)結(jié)構(gòu)、降低網(wǎng)絡(luò)建設(shè)成本。DCRS-7600系列交換機還采取了最新的節(jié)能技術(shù),擁有著業(yè)界同級別產(chǎn)品中最低的功耗,在當(dāng)前這個能源緊張的時代節(jié)能的意義可想而知。并且,低功率意味著低散熱,可讓長期運行的核心網(wǎng)絡(luò)設(shè)備的系統(tǒng)穩(wěn)定性大大增強。5.3 CRS-6804萬兆核心路由交換機圖5-2 CRS-6804萬兆核心路由交換機5.3.1 產(chǎn)品概述DC
46、RS-6804路由交換機為企業(yè)和電信網(wǎng)絡(luò)提供了優(yōu)秀的安全性、可靠性、業(yè)務(wù)多樣性和擴展能力。DCRS-6804可作為中小型校園網(wǎng)、企業(yè)網(wǎng)的核心層設(shè)備或作為大型校園網(wǎng)、IP城域網(wǎng)的匯聚層設(shè)備,它們不僅能夠降低用戶構(gòu)建下一代網(wǎng)絡(luò)的復(fù)雜性,而且提供了很好的投資保護。DCRS-6804路由交換機率先通過最為苛刻的國際IPv6 Ready第二階段增強版認(rèn)證,神州數(shù)碼網(wǎng)絡(luò)是國內(nèi)第一家通過該認(rèn)證的廠商。同時DCRS-6804路由交換機通過IPv6 Ready Dhcpv6認(rèn)證,神州數(shù)碼是全球第一家通過該認(rèn)證的廠商。借助芯片級的轉(zhuǎn)發(fā)能力和多樣化的業(yè)務(wù)支持,以及較高的性價比,DCRS-6804成為企業(yè)級網(wǎng)絡(luò)和電信
47、城域匯聚層部署IPv6的最佳解決方案的一部分。該系列目前包括DCRS-6804, DCRS-6808等交換機。DCRS-6808提供10個槽位,具備強大的交換容量和轉(zhuǎn)發(fā)能力,可全線速地進(jìn)行L2/L3數(shù)據(jù)轉(zhuǎn)發(fā),能夠滿足用戶對于網(wǎng)絡(luò)規(guī)模的擴展要求。DCRS-6804提供了4個插槽,其管理模塊均帶有業(yè)務(wù)接口。DCRS-6804L是一種高性價比的組合:在配予專用電源模塊之后,利用L型專用管理模塊,DCRS-6804L則成為一臺滿足中小型網(wǎng)絡(luò)核心需求的高性價比機箱交換機。DCRS-6804交換機的管理模塊、電源模塊支持冗余備份和負(fù)載均衡,板卡、電源、風(fēng)扇均支持熱插拔,為DCRS-6804提供了電信運營商
48、級的可靠性。5.3.2 產(chǎn)品特性(1) 豐富的業(yè)務(wù)支持1 支持全線速的MPLS VPN業(yè)務(wù);DCRS-6800系列支持全面的LDP功能和BGP/MPLS VPN功能的同時,還支持MPLS VPN訪問公網(wǎng)功能,實現(xiàn)專網(wǎng)通信的同時,可以無阻隔地訪問公網(wǎng),保障了業(yè)務(wù)的多樣性,可同時作為PE、P,還可根據(jù)需要支持版本升級擴展功能,極大地保護了用戶的投資。2 支持領(lǐng)先的IPv6業(yè)務(wù);DCRS-6800系列支持豐富的IPv6實現(xiàn)技術(shù),完全基于ASIC的分布式全線速硬件方式進(jìn)行轉(zhuǎn)發(fā),能夠滿足高性能的IPv6應(yīng)用。分布式硬件IPv6轉(zhuǎn)發(fā)方式,可以在本地實現(xiàn)IPv6報文的處理,并可在接口模塊內(nèi)部及模塊與背板間實
49、現(xiàn)IPv6報文的線速轉(zhuǎn)發(fā),避免了集中式轉(zhuǎn)發(fā)、NP轉(zhuǎn)發(fā)等模式存在的瓶頸和時延問題;同時,作為國內(nèi)和國際最先通過IPv6 Ready第二階段增強版認(rèn)證和IPv6 Ready Dhcpv6認(rèn)證的路由交換機,新增加了更安全的鄰居發(fā)現(xiàn)(ND)信息、認(rèn)證封裝安全負(fù)載、避免了受到路由頭RH0攻擊的影響、避免了使用IPv6任播地址的限制、完善了無狀態(tài)地址分配的協(xié)議交互過程,為IPv6能真正在大規(guī)模商用環(huán)境中應(yīng)用提供了安全方面的保障。3 支持強大復(fù)雜的組播業(yè)務(wù)。DCRS-6800系列支持強大的組播實現(xiàn)技術(shù),不僅支持IPv4組播,還支持領(lǐng)先的IPv6組播,完全基于ASIC的分布式全線速硬件方式進(jìn)行IPv4/IPv
50、6組播轉(zhuǎn)發(fā),能夠滿足高性能的多媒體應(yīng)用。在IPv4方面,提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等為主,配以MSDP、anycast-RP、靜態(tài)組播路由、邊界組播、Multcast Vlan、IGMP Proxy、IGMP Snooping等為輔的多套IPv4組播解決方案;在神州數(shù)碼網(wǎng)絡(luò)的傳統(tǒng)強項IPv6方面,提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2為主,配以IPv6 anycast(泛播)-RP、IPv6靜態(tài)組播路由、IPv6邊界組播、IPv6 Multcast Vlan、IPv6組播隧道等為輔的多套IPv6組播解決方案
51、,滿足了業(yè)務(wù)復(fù)雜的電信級IPv4/IPv6組播業(yè)務(wù)需求。(2) 運營商級的可靠性為了滿足苛刻的運營商級網(wǎng)絡(luò)對設(shè)備可靠性的要求,DCRS-6800系列交換機對所有關(guān)鍵部件都采用了冗余備份的設(shè)計方案,并且可隨時監(jiān)控各個部件的工作溫度并在出現(xiàn)溫度異常時自動報警。(3) 強大的ACL功能支持標(biāo)準(zhǔn)和擴展ACL,支持IP ACL、基于IP子網(wǎng)的ACL、MAC ACL、IP-MAC ACL,支持基于源/目的IP、三層IP協(xié)議類型、TCP/UDP四層端口號、IP優(yōu)先級、ToS,并且以上功能完全依靠硬件線速實現(xiàn),不影響轉(zhuǎn)發(fā)性能。(4) 增強的安全特色1 全面的受控組播方案DCSCM,可以對源和目的進(jìn)行安全控制,
52、完整實現(xiàn)了在接入層網(wǎng)絡(luò)中應(yīng)用了基于IGMP源端口和目的端口檢查技術(shù),可完全限制合法組播在網(wǎng)絡(luò)中的穩(wěn)定傳輸,有效控制組播建立的整個過程,保障了正常合法的組播應(yīng)用的穩(wěn)定運行。 2 支持ACL-X可基于時間段設(shè)置安全策略,安全設(shè)置隨時間而動,在不同的時間段自動切換為不同的策略;智能化流量控制,可基于ACL進(jìn)行流量分類,更加精細(xì)和貼近業(yè)務(wù)分類。 3 交換引擎CPU核心保護:可有效防止各類非法協(xié)議攻擊導(dǎo)致核心設(shè)備交換引擎癱瘓。 4 “關(guān)鍵協(xié)議綠色通道” 功能:可保障正常、合法、速度合理的關(guān)鍵控制報文(STP、MSTP、RIP、OSFP、BGP、組播協(xié)議、雙引擎板間心跳等)在大流量業(yè)務(wù)下不被淹沒,快速處理
53、不中斷。5 先進(jìn)的LPM技術(shù):可抵抗“沖擊波”病毒、“zero day”病毒、“SQL slammer warm”病毒等。6 端口信任模式:則可檢測非法DHCP Server等,只在信任端口才能接入這些設(shè)備,從而保障網(wǎng)絡(luò)的安全。7 智能靈活的性能資源調(diào)度機制Flex Resource。影響交換機性能的因素有很多:CPU、內(nèi)存、MAC表、IP地址表、路由表、ACL表等等。這些資源都是有代價的,它們是交換機成本的重要組成部分。所以說,能不能在有限的成本范圍內(nèi),最大限度地提高交換機資源的利用率,就成為提升性能的有效之道!針對這個用戶需求,神州數(shù)碼網(wǎng)絡(luò)的Flex Resource(柔性資源調(diào)度)可利用
54、多項技術(shù),動態(tài)調(diào)整、回收和再分配交換機資源,從而成倍地提高了核心交換機資源的利用率,支撐起更大規(guī)模的網(wǎng)絡(luò)。(5) 豐富靈活的QoSDCRS-6800系列交換機為每個端口提供了8個優(yōu)先級隊列,完全硬件實現(xiàn),不影響性能。每端口8個隊列,支持基于802.1p、TOS、端口、DiffServ進(jìn)行流量分類還可以根據(jù)ACL-X的80個字節(jié)高層內(nèi)容進(jìn)行流量分類,同時支持WRR、SP、SWRR等隊列算法,還支持入口流量整形。為語音/數(shù)據(jù)/視頻在同一網(wǎng)絡(luò)中傳輸提供所要求的不同服務(wù)質(zhì)量。5.4 DCS-4500-26T智能安全接入交換機圖 5-3 DCS-4500-26T智能安全接入交換機5.4.1 產(chǎn)品概述DC
55、S-4500-26T是千兆交換機,固化端口組合更加豐富,最大限度的滿足網(wǎng)絡(luò)流量擴展及多媒體業(yè)務(wù)迅速增長的需要,提高投資的性價比。它支持豐富的協(xié)議命令,如基于流的mirror及數(shù)據(jù)統(tǒng)計、端口環(huán)路檢測、BPDU/Root Guard、Auto VLAN、Guest VLAN、Voice VLAN、支持最大32組LAG的端口聚合組數(shù)等等。這還是一款高安全性交換機,可全面防范ARP欺騙,具體可支持防ARP掃描、ARP Guard,同時還支持非法組播源檢測,基于芯片的防DOS攻擊等。DCS-4500-26T全面支持IPv6主機配置,具備SNMP v6、HTTP v6等,更靈活的適應(yīng)網(wǎng)絡(luò)環(huán)境的需要,可在I
56、Pv4、IPv6網(wǎng)絡(luò)部署中收放自如。同時在機器性能上,它支持接入SFP百兆光模塊,支持ECC糾錯功能,具備集群批量升級功能,降低了用戶的投資及維護成本。DCS-4500-26T是千兆銅纜的接入,更大限度的釋放了帶寬,實現(xiàn)諸如電子政務(wù)應(yīng)急指揮系統(tǒng)、高校的遠(yuǎn)程視頻教學(xué)及視頻點播、網(wǎng)吧游戲系統(tǒng)、生產(chǎn)制造業(yè)的設(shè)計加工協(xié)助等的高效率運轉(zhuǎn)。神州數(shù)碼網(wǎng)絡(luò)的DCS-4500-26T所具備的高密度端口組合、豐富的協(xié)議支持、全面的安全接入、靈活的網(wǎng)絡(luò)適應(yīng)、容易的網(wǎng)管及維護,是用戶千兆接入的理想選擇。5.4.2 主要特性(1) 高密度千兆端口組合DCS-3950系列交換機提供了3款不同端口組合的產(chǎn)品供用戶選擇:1
57、DCS-4500-26T提供了26個10/100/1000 Base-T以太網(wǎng)接口及4個固化1000Base-T SFP以太網(wǎng)接口(combo),同時千兆光口可支持百兆光的接入。2 DCS-4500-50T提供了50個10/100/1000 Base-T以太網(wǎng)接口及4個固化1000Base-T SFP以太網(wǎng)接口(combo),同時千兆光口可支持百兆光的接入。3 DCS-4500-26T-PoE提供了26個10/100/1000 Base-T以太網(wǎng)接口(PoE)及4個固化1000Base-T SFP以太網(wǎng)接口(combo),同時千兆光口可支持百兆光的接入。(2) 豐富的協(xié)議支持DCS-4500-
58、26T支持全面的QoS功能,交換機可根據(jù)端口、VLAN、COS、802.1p、ToS、DSCP、TCP/UDP端口進(jìn)行流量分類,并分配不同的服務(wù)級別,支持SP/WRR/SWRR等隊列調(diào)度算法,為視頻/數(shù)據(jù)/語音在同一網(wǎng)絡(luò)中傳輸提供所要求的不同服務(wù)質(zhì)量。DCS-4500-26T交換機支持802.1d/w/s 生成樹協(xié)議,同時支持BPDU Guard、Root Guard及BPDU報文透傳,能有效防止黑客針對整個交換結(jié)構(gòu)發(fā)動的BPDU拒絕服務(wù)攻擊,提高了數(shù)據(jù)傳輸?shù)陌踩?。交換機還支持802.1Q、802.1p、802.3ad、802.3x、GVRP、DHCP等標(biāo)準(zhǔn)。DCS-4500-26T支持高適
59、應(yīng)性的VLAN特性,系列除了支持傳統(tǒng)的802.1q和基于端口、MAC的Vlan,還具備支持基于用戶的Vlan劃分功能。管理員可根據(jù)當(dāng)前登陸交換機的用戶信息(基于IP+MAC的識別),來決定該端口屬于哪一個VLAN組,最大限度的保證了接入用戶的安全,同時還可以根據(jù)用戶權(quán)限進(jìn)行VLAN設(shè)置。DCS-4500-26T具備Auto VLAN及Guest VLAN功能,可以根據(jù)用戶權(quán)限進(jìn)行VLAN設(shè)置。比如企業(yè)用戶,來訪者接入網(wǎng)絡(luò)后系統(tǒng)把其自動加入相應(yīng)的VLAN,使來訪者可以訪問內(nèi)網(wǎng)中指定VLAN的一些開放資源。對于高校用戶,新生第一次入學(xué)只能具備有限訪問權(quán)限,同時可開放資源給不符合安全管理策略的終端,
60、實現(xiàn)其自動修復(fù)。DCS-4500-26T的Vlan VPN(QinQ)技術(shù)為企業(yè)用戶和運營商提供了低成本、簡便易行、易于管理的二層VPN功能。在實際應(yīng)用環(huán)境中,QinQ技術(shù)實現(xiàn)了VLAN數(shù)量的擴展,增加了VLAN資源。同時本交換機還具備Voice VLAN特性,系統(tǒng)通過識別設(shè)備類型,將IP電話等終端加入專用語音vlan(voice vlan),為語音業(yè)務(wù)提供良好的QoS保證。(3) 全面的安全功能DCS-4500-26T提供了完整的ACL策略,可根據(jù)報文多種字段對數(shù)據(jù)進(jìn)行分類,并使用不同的策略進(jìn)行轉(zhuǎn)發(fā)。它支持基于IP地址、MAC地址的ACL策略,支持基于時間段的ACL配置,支持ACL配置在VL
61、AN上。通過ACL策略的實施,用戶可以過濾掉“沖擊波”、“震蕩波”、“紅色代碼”等病毒包,防止擴散和沖擊核心設(shè)備。支持IEEE802.1x基于端口的認(rèn)證,為網(wǎng)絡(luò)提供端口級的安全保證。 配合RADIUS等認(rèn)證機制,可有效防止非法用戶侵入網(wǎng)絡(luò)。DCS-4500-26T可有效防范ARP欺騙,它通過防ARP掃描技術(shù)、ARP Guard技術(shù)等,杜絕攻擊源通過ARP漏洞對網(wǎng)絡(luò)進(jìn)行攻擊,可最大限度的減少網(wǎng)絡(luò)使用過程中的時斷時續(xù)、掉線頻繁,增加網(wǎng)絡(luò)的安全可用。(4) 靈活的網(wǎng)絡(luò)融合能力DCS-4500-26T-PoE設(shè)備支持PoE(Power over Ethernet)技術(shù),可通過以太網(wǎng)對所連接的設(shè)備(包括
62、無線AP、IP電話、網(wǎng)絡(luò)攝像頭等)進(jìn)行供電,從而減少了大量電源連接線的部署,降低了用戶的布線成本。DCS-4500-26T-PoE設(shè)備的24個千兆電口都能提供PoE供電,每個端口支持最大PoE供電功耗為15.4W,整機最大PoE供電功耗為195W,24個端口可共享195W的功耗。系統(tǒng)可對PoE端口做多項設(shè)置:可設(shè)定每個端口的最大輸出功率,實現(xiàn)有效省電;設(shè)定端口的供電優(yōu)先級,在接入供電設(shè)備過多的情況下最大限度的滿足優(yōu)先級高的設(shè)備先得到供電;設(shè)定POE供電功能關(guān)閉,可選擇性的設(shè)定端口PoE供電。DCS-4500-26T可靈活接入IPv6或IPv4主機,可隨心所欲的應(yīng)用在IPv4或IPv6的網(wǎng)絡(luò)環(huán)境
63、中,同時,滿足用戶從IPv4到IPv6網(wǎng)絡(luò)的平滑升級過渡,避免了用戶的二次投資。(5) 便捷的網(wǎng)絡(luò)管理界面DCS-4500-26T交換機支持SNMP,支持帶內(nèi)和帶外管理,支持CLI和WEB界面,支持Security IP功能,可以防止非法用戶登陸和修改交換機的配置。支持SSH協(xié)議,可以最大限度地保證交換機的配置管理的安全性??刹捎蒙裰輸?shù)碼集中網(wǎng)管系統(tǒng)LinkManager統(tǒng)一管理,方便簡捷。(6) 完整的認(rèn)證計費解決方案DCS-4500-26T交換機支持完整的神州數(shù)碼增強型802.1x認(rèn)證計費解決方案,支持按交換機端口和MAC地址方式的認(rèn)證。實施該套方案后,用戶在不通過認(rèn)證的情況下將無法使用網(wǎng)絡(luò),可以有效避免用戶私自更改IP對網(wǎng)絡(luò)的沖擊。配合神州數(shù)碼的安全接入控制與計費系統(tǒng)DCBI-3000和802.1x客戶端,可以實現(xiàn)按時長/流量計費,可以實現(xiàn)用戶帳號、密碼、IP、MAC、VLAN、端口、交換機的嚴(yán)格綁定,還可以防止代理軟件對合法客戶發(fā)送通知/廣告,進(jìn)行上網(wǎng)時段控制,基于用戶動態(tài)實現(xiàn)VLAN授權(quán)和帶寬授權(quán),可基于組策略實現(xiàn)動態(tài)IP地址分配而不必使用DHCP服務(wù)器等。DCS-4500系列交換機是實現(xiàn)網(wǎng)絡(luò)運營的非常理想的接入交換機。(7) 綠色環(huán)保的多維綠網(wǎng)設(shè)計理念多維綠網(wǎng)是神州數(shù)碼網(wǎng)絡(luò)多年3D-SMP(動態(tài)分布式安全域管理策略)實施經(jīng)驗的集
- 溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 鍋爐啟動過程中的安全監(jiān)督
- 煤礦安全規(guī)程練習(xí)題含答案
- 3 燃?xì)獍踩a(chǎn)管理人員企業(yè)主要負(fù)責(zé)人模擬考試題庫試卷含答案
- 火力發(fā)電生產(chǎn)典型作業(yè)潛在風(fēng)險與預(yù)控安全措施之腳手架搭設(shè)與使用
- 消防控制室值班人員18條安全應(yīng)知應(yīng)會內(nèi)容
- 電廠調(diào)試危險源辨識、風(fēng)險評價和控制措施清單
- 化工廠班組長現(xiàn)場安全職責(zé)
- 煤礦資料:維修電工安全技術(shù)操作規(guī)程
- 3.危險化學(xué)品安全氯化工藝作業(yè)模擬考試題庫試卷含答案
- 某煤礦掘進(jìn)鉆眼工安全技術(shù)操作規(guī)程
- 安全培訓(xùn)資料:防火檢查“六查、六結(jié)合”工作法
- 火力發(fā)電生產(chǎn)典型作業(yè)潛在風(fēng)險與安全預(yù)控措施之起重作業(yè)
- 蓄電池機車司機安全操作規(guī)程
- 電廠機械專業(yè)危險源辨識、風(fēng)險評價和風(fēng)險控制措施安全清單
- 某煤礦掘進(jìn)爆破工安全技術(shù)操作規(guī)程