《企業(yè)網(wǎng)絡規(guī)劃設計》畢業(yè)論文
《《企業(yè)網(wǎng)絡規(guī)劃設計》畢業(yè)論文》由會員分享,可在線閱讀,更多相關《《企業(yè)網(wǎng)絡規(guī)劃設計》畢業(yè)論文(52頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、編號: 本科畢業(yè)論文(設計)企業(yè)網(wǎng)絡規(guī)劃與設計院 系:姓 名:學 號:專 業(yè):年 級:指導教師:職 稱:完成日期:摘 要由于社會發(fā)展與計算機網(wǎng)絡系統(tǒng)的應用息息相關,傳統(tǒng)的企業(yè)正以前所未有的速度進行著變革,其主要特征就是企業(yè)網(wǎng)成為企業(yè)生存與發(fā)展的信息化基礎設施。為了提高企業(yè)自身的競爭力和工作效率,更好地適應信息化建設的要求,本文通就如何完善企業(yè)網(wǎng)絡建設,進行了分析討論,提出了一種安全可靠的計算機網(wǎng)絡管理方法。該方案注重網(wǎng)絡設備的性價比,采用成熟可靠的網(wǎng)絡技術,力求簡單易用、性能優(yōu)秀并且具有良好的可升級擴展。在網(wǎng)絡設計的標準性、先進性、可靠性與穩(wěn)定性、保密性與安全性、可擴展性、冗余性等方面,制定了
2、一系列具有針對性的可行性方案。系統(tǒng)設計方面充分考慮大中型企業(yè)對網(wǎng)絡需求的特點,注重為客戶提供www服務、ftp服務、Internet對外郵件系統(tǒng)等,更好更快地與外部客戶交流,為中型企業(yè)提供安全可靠、便于管理穩(wěn)定的網(wǎng)絡系統(tǒng)做出了一些討論。本方案還考慮到企業(yè)的未來的發(fā)展規(guī)劃,在網(wǎng)絡的結(jié)構(gòu)、應用、管理、系統(tǒng)性能等各個方面都能夠適應未來的發(fā)展,并最大程度地節(jié)省企業(yè)的投入。從而使其在信息化建設過程中起到巨大的推動作用,為企業(yè)的辦公提供簡單、有效、便捷的理想環(huán)境,也為企業(yè)在以后的改革提供有效的電子信息。關鍵詞:局域網(wǎng);大中型企業(yè)網(wǎng)絡;網(wǎng)絡規(guī)劃IAbstractBecause of the social d
3、evelopment and application of computer network system is closely related, the traditional enterprises are engaged in an unprecedented rate of changes, the main feature is the corporate network as enterprise survival and development of information technology infrastructure. In order to improve the co
4、mpetitiveness of the working efficiency and better adapt to the request, the informatization construction of paper on how to improve enterprise network, general construction, analyzed, and puts forward a kind of safe and reliable network management plan. The solution to network devices, mature and r
5、eliable performance, and easy-to-use network technology, excellent and good performance can be upgraded. In web design standards, advanced, reliability and stability, security and secrecy and expansibility, redundancy, etc., have enacted a series of feasible scheme. System design for a medium-sized
6、enterprise fully consider the characteristics of the needs of the network, provide the www ftp service and Internet services to foreign mail system etc, better with external customers faster and medium-sized enterprises provide safe and reliable, easy to manage stable network system made some discus
7、sions.The plan also considering the future of the companys development plan, the structure, the application in the network management, system performance, etc to be able to adapt to the development of the future, and to maximize the enterprise. Save so in the information construction process has gre
8、at impetus for the enterprise, the office provides a simple and effective, convenient, also the ideal environment for enterprises to provide effective after the reform of electronic information.Key words : Lan;Large and medium-sized enterprise network;Network planning45目 錄1 概述11.1 信息化建設背景11.2 信息化網(wǎng)絡平
9、臺12 網(wǎng)絡需求分析及建設目標22.1 工程項目概況22.2 信息點分布22.2.1 企業(yè)網(wǎng)絡建設需求22.3 總體技術要求22.3.1 網(wǎng)絡系統(tǒng)技術要求33 網(wǎng)絡技術選型43.1 路由協(xié)議OSPF43.2 端口安全與認證(基于802.1X)43.3 VRRP(虛擬路由冗余協(xié)議)原理43.4 MSTP(多生成樹協(xié)議)原理53.5 NAT的描述及策略路由的實現(xiàn)63.6 ACL(訪問控制列表)63.7 鏈路聚合EC(Ethernet Channel)63.8 VLAN(虛擬局域網(wǎng))74 網(wǎng)絡設計原則84.1 網(wǎng)絡資源的實用性84.2 網(wǎng)絡的可靠性84.3 網(wǎng)絡的擴展性84.4 網(wǎng)絡的安全性94.5
10、 網(wǎng)絡的可管理性105 方案涉及產(chǎn)品介紹115.1 主要設備選型115.2 DCRS-7608 IPv6萬兆核心交換機115.2.1 產(chǎn)品概述115.2.2 產(chǎn)品特性115.3 CRS-6804萬兆核心路由交換機145.3.1 產(chǎn)品概述145.3.2 產(chǎn)品特性155.4 DCS-4500-26T智能安全接入交換機175.4.1 產(chǎn)品概述175.4.2 主要特性185.5 DCFW-1800E-2G多核防火墻205.5.1 產(chǎn)品概述205.5.2 主要特性205.6 LinkManager 網(wǎng)絡管理系統(tǒng)215.6.1 系統(tǒng)特點215.6.2 要特征226 網(wǎng)絡方案設計266.1 網(wǎng)絡拓撲結(jié)構(gòu)介紹
11、266.2 網(wǎng)絡拓撲圖266.3 網(wǎng)絡設計276.3.1 骨干核心層網(wǎng)絡設計276.3.2 匯聚層網(wǎng)絡設計286.3.3 接入層網(wǎng)絡設計286.3.4 運維中心296.3.5 網(wǎng)絡安全設計306.3.6 網(wǎng)絡QoS設計306.3.7 冗余/負載均衡設計316.3.8 IP地址規(guī)劃346.3.9 VlAN的劃分406.4 方案優(yōu)勢40總結(jié)43參考文獻44致謝45概述1 概述1.1 信息化建設背景當今社會信息化進程迅猛發(fā)展,網(wǎng)絡技術已經(jīng)對社會、經(jīng)濟和文化各方面產(chǎn)生重大影響,并將改變?nèi)藗冋J識世界、思考世界的觀點和方法。作為企業(yè)集團,如何面對網(wǎng)絡時代帶來的沖擊,如何利用網(wǎng)絡技術提高我們行業(yè)的管理水平和
12、服務質(zhì)量,是無法回避的問題。為進一步推進行業(yè)的信息化建設,了解國際信息化發(fā)展動態(tài),吸收新的技術和管理經(jīng)驗,提高系統(tǒng)信息化應用的管理水平,使經(jīng)濟效益和社會效益雙豐收勢在必行。 網(wǎng)絡設計主導:(1) “量身定制”對用戶的需求進行了定量分析。站在用戶的立場上為用戶“量身定制”出這個網(wǎng)絡方案。(2) “采先進成熟技術及產(chǎn)品”當今世界新技術產(chǎn)品層出不窮,組建內(nèi)部網(wǎng)絡應從高技術高起點出發(fā),并留出擴容余量及廣域網(wǎng)接口,盡量避免重復建設及投資。(3) “精打細算”選用產(chǎn)品應具有最佳性價比,在本次設計中采用神州數(shù)碼全線產(chǎn)品。1.2 信息化網(wǎng)絡平臺隨著行業(yè)管理信息化的不斷深入和行業(yè)本身對信息化管理的要求不斷提高,
13、其原來的網(wǎng)絡環(huán)境和技術管理手段逐漸不能適應和滿足新的要求。搭建一個穩(wěn)定、高效、安全、可管理并可持續(xù)發(fā)展的網(wǎng)絡基礎平臺來承載企業(yè)的應用,本設計方案網(wǎng)絡平臺架構(gòu)不僅能夠完全滿足企業(yè)的信息化需求和辦公應用,而且能解決方案的可升級和擴展性也保證了企業(yè)局域網(wǎng)的安全性和運營效率。網(wǎng)絡需求分析及建設目標2 網(wǎng)絡需求分析及建設目標2.1 工程項目概況該企業(yè)為了加快信息化建設,企業(yè)網(wǎng)將建設一個以集團辦公自動化、電子商務、業(yè)務綜合管理、多媒體視頻會議、遠程通訊、信息發(fā)布及查詢?yōu)楹诵?,以現(xiàn)代網(wǎng)絡技術為依托,技術先進、擴展性強,將企業(yè)的各種辦公室、多媒體會議室、PC終端設備、應用系統(tǒng)通過網(wǎng)絡連接起來,實現(xiàn)內(nèi)、外溝通的
14、現(xiàn)代化計算機網(wǎng)絡系統(tǒng)。該網(wǎng)絡系統(tǒng)是支持辦公自動化、供應鏈管理以及各應用系統(tǒng)運行的基礎設施。2.2 信息點分布主要信息點集中在生產(chǎn)部、賬務部、網(wǎng)絡中心、職工宿舍等部門。詳細信息點分布如表2-1所示。表2-1主要信息點分布地點信息點備注網(wǎng)絡中心40需保證速度、流量和可靠性生產(chǎn)部150需保證速度、流量和可靠性賬務部120需保證速度、流量和安全性行政部100需保證速度、流量和安全性銷售部100需要保證速度和可靠性職工宿舍1000需保證速度和流量2.2.1 企業(yè)網(wǎng)絡建設需求企業(yè)計算機網(wǎng)絡系統(tǒng)項目建設,共涉及六棟樓,每棟樓八層,共有信息點數(shù)大約1500個,此次網(wǎng)絡建設的目的是為了實現(xiàn)企業(yè)內(nèi)的辦公自動化,提
15、高辦公效率。2.3 總體技術要求采用三層網(wǎng)絡架構(gòu),萬兆核心交換機,接入層交換機千兆上聯(lián)到核心,千兆接入桌面,關鍵性業(yè)務千兆接入。根據(jù)實際情況進行VLAN劃分,把不同的業(yè)務劃分到不同的VLAN中進行隔離,以保證網(wǎng)絡安全。隨著技術的發(fā)展和業(yè)務的增長,可以通過更換或增加模塊,使網(wǎng)絡升級,網(wǎng)絡規(guī)模和容量可以平滑增長。能夠在所有信息點內(nèi)任意劃分組成虛擬網(wǎng),實現(xiàn)不同業(yè)務的劃分。要求整個網(wǎng)絡具有高可靠性的總體設計,采用的技術是相對成熟的技術;所選用的設備具有高可靠性;采用具有高安全級別的系統(tǒng)軟件;可以實現(xiàn)網(wǎng)絡自愈。系統(tǒng)的性能指標能夠完全滿足網(wǎng)絡內(nèi)各項業(yè)務對處理能力的要求,且便于維護與管理。網(wǎng)絡和主機應支持符
16、合國際和業(yè)界標準的相關結(jié)構(gòu),能夠與相關系統(tǒng)和網(wǎng)絡可靠互聯(lián);系統(tǒng)軟硬件平臺應具有良好的移植能力;應選擇廣泛應用的標準協(xié)議,支持局域網(wǎng)內(nèi)部的其它協(xié)議。2.3.1 網(wǎng)絡系統(tǒng)技術要求網(wǎng)絡設備應盡量選用同一廠家提供的,彼此之間匹配完全一致的產(chǎn)品。提供與設備選型相應的網(wǎng)管軟件,具有網(wǎng)絡配置、管理、監(jiān)控、故障排除等方面的功能。(1) 核心交換機1 核心交換機負責連接所有的接入層交換機、防火墻、服務器;2 支持廣泛的接口類型和密度;3 提供強大的VLAN支持能力;4 要支持第二層或第三層的IP Multicast協(xié)議;5 要支持第二層或第三層的QoS協(xié)議;6 提供第二層或第三層的網(wǎng)絡安全控制能力。(2) 接入
17、交換機提供相應數(shù)量的接入交換機,安裝在院區(qū)各樓相應樓層內(nèi)。接入交換機提供光纖接口,通過光纖與匯聚交換機相連。網(wǎng)絡技術選型3 網(wǎng)絡技術選型3.1 路由協(xié)議OSPF在網(wǎng)絡骨干核心層和核心層以及匯聚層上需要使用三層設備為網(wǎng)絡內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同VLAN間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時,我們采用OSPF協(xié)議作為路由協(xié)議。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個網(wǎng)絡的鏈路信息,從而掌握全網(wǎng)的拓撲結(jié)構(gòu),獨立計算路由。因為RIP路由協(xié)議不能服務于大型網(wǎng)絡,所以,IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議OSPF。目前廣為使用的是OSPF第二版。OSPF作為一種內(nèi)部網(wǎng)關
18、協(xié)議(Interior Gateway Protocol,IGP),用于在同一個自治域(AS)中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議(RIP),OSPF具有支持大型網(wǎng)絡、路由收斂快、占用網(wǎng)絡資源少等優(yōu)點,在目前應用的路由協(xié)議中占有相當重要的地位。3.2 端口安全與認證(基于802.1X)(1) 端口安全交換設備定義了對端口保護的功能,我們能定義允許的最大MAC地址訪問數(shù),或者靜態(tài)的定義特定的MAC地址。(2) 基于802.1x的端口認證基于端口的認證就是將AAA認證與端口保護相結(jié)合,默認情況下。一個支持802.1x的交換機端口處于未授權狀態(tài),除了和802.1x有關的數(shù)據(jù),其他數(shù)據(jù)都不能
19、通過該端口,只有客戶的交換機創(chuàng)建了一個802.1x的會話,客戶被授權訪問EAPOL:Extensible Authentication Protocol OVER LAN局域網(wǎng)上的可擴展身份認證。在端口處于未授權狀態(tài)下,客戶端只能使用EAPOL與交換機通信。3.3 VRRP(虛擬路由冗余協(xié)議)原理VRRP給路由器組提供了一個冗余網(wǎng)關地址,它是一種容錯協(xié)議,通過定義不同的組,不同優(yōu)先級的路由器,它保證網(wǎng)絡的主路由器失效時,可以及時的由備分來實現(xiàn)路由器來替代,從而保持通訊的連續(xù)性和可靠性。并可以在該協(xié)議上實現(xiàn)負載均衡等高級交換特性。VRRP技術的實現(xiàn):匯聚到核心冗余連接及VRRP的實現(xiàn)通過VRRP
20、技術將多個設備虛擬成為一臺邏輯設備,實現(xiàn)匯聚/接入鏈路冗余。3.4 MSTP(多生成樹協(xié)議)原理RSTP協(xié)議完全向下兼容802.1D STP協(xié)議,除了和傳統(tǒng)的STP協(xié)議一樣具有避免回路、提供冗余鏈路的功能外,最主要的特點就是“快”。如果一個局域網(wǎng)內(nèi)的網(wǎng)橋都支持RSTP協(xié)議且管理員配置得當,一旦網(wǎng)絡拓樸改變而 要重新生成拓樸樹只需要不超過1秒的時間(傳統(tǒng)的STP需要大約50秒)。本交換機支持MSTP,MSTP是在傳統(tǒng)的STP、RSTP的基礎上發(fā)展而來的新的生成樹協(xié)議,本身就包含了RSTP的快速FORWARDING機制。由于傳統(tǒng)的生成樹協(xié)議與VLAN沒有任何聯(lián)系,因此在特定網(wǎng)絡拓撲下就會產(chǎn)生很多問
21、題:當交換機A、B在VLAN1內(nèi),交換機C、D在VLAN2內(nèi),然后連成環(huán)路。描述的拓撲圖如下,見圖3-1。圖3-1描述的拓撲圖 在某種情況的配置下,會造成把交換機A和B間的鏈路給DISCARDING由于交換機C、D不包含VLAN1,無法轉(zhuǎn)發(fā)VLAN1的數(shù)據(jù)包,這樣交換機A的VLAN1就無法與交換機B的VLAN1進行通訊。在網(wǎng)絡末梢,連接到單個工作站的時候,是不可能形成橋接環(huán)路的。在接口上啟用了PORTFAST特性,可以使交換機端口立即變?yōu)檗D(zhuǎn)發(fā)狀態(tài),提高了網(wǎng)絡的響應速度及收斂時間?;赗STP的交換機高級特性UPLINKFAST在網(wǎng)絡中的應用??紤]到有冗余上行連接的網(wǎng)絡,使用冗余連接到上層交換機
22、,通常情況下一個上行連接處于轉(zhuǎn)發(fā)狀態(tài),另一個處于阻塞狀態(tài),如果主上行連接斷開,在使用冗余連接之前所經(jīng)歷的時間高達50S。在使用UPLINKFAS之后,使的具有冗余上行連接的交換機具有根端口失效時,另一個阻塞的上行連接能夠立即使用,這個時間大大縮小到1-5S之間,在企業(yè)網(wǎng)的特殊環(huán)境之下,能大大增強網(wǎng)絡的穩(wěn)定性,加快網(wǎng)絡收斂。3.5 NAT的描述及策略路由的實現(xiàn)在組建網(wǎng)絡時,為了節(jié)約地址,我們在內(nèi)部使用保留的私有地址段中的地址,但是使用私有地址不能訪問Internet,所以必須申請多個公開地址配置在和Internet相連的局域網(wǎng)邊緣設備上,應用NAT進行地址轉(zhuǎn)換。NAT是網(wǎng)絡地址翻譯技術,在路由器
23、上起用NAT之后,可以在部私有地址和外部公網(wǎng)地址之間做轉(zhuǎn)換。比如我們可以把網(wǎng)絡內(nèi)部使用的IP翻譯成外部公網(wǎng)的IP。配置基于策略的路由選擇時,可使用路由映射表來指定基于IP地址,應用程序,協(xié)議或者分組長度的條件?;诓呗缘穆酚蛇x擇命令對中選的路由實現(xiàn)策略?;诓呗缘穆酚珊挽o態(tài)路由有很多共同之處。然而,靜態(tài)路由根據(jù)目標網(wǎng)絡地址來轉(zhuǎn)換分組,而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組。在路由選擇表中使用訪問列表時,可根據(jù)諸如目標地址,分組長度,IP協(xié)議字段,優(yōu)先級或端口號來轉(zhuǎn)發(fā)數(shù)據(jù)流。這樣可以指定范圍更廣泛,更細致的條件,并根據(jù)這些條件來決定下一路由器。3.6 ACL(訪問控制列表)訪問列表為我們提供了一種對網(wǎng)絡
24、訪問進行有效管理的方法,通過訪問列表,我們可以設置允許或拒絕數(shù)據(jù)包通過路由器,或者允許或者拒絕具體的某些端口進行訪問和使用,如果滿足條件則執(zhí)行相應的操作,放行這個包或者放棄這個包。我們通過這些設置來滿足實際網(wǎng)絡的靈活需求,從而達到設置網(wǎng)絡安全策略,防止網(wǎng)絡中的敏感設備受到非授權訪問的情況。在具體實現(xiàn)過程中從技術上來說我們需要了解到ACL分為兩種類型,他們分別是標準訪問列表(Standard access lists)和擴展訪問列表(Extends access lists)前者在過濾網(wǎng)絡的時候只使用IP數(shù)據(jù)報的源地址,那么在使用這種訪問列表的情況下它做出允許或者拒絕這個決定完全是依賴于源IP地
25、址,它無法區(qū)分具體的流量類型。而擴展訪問列表則可以提供更細的決定,它可以具體到端口,從而精確到某一個服務,比如對WEB,FTP的訪問等,給我們網(wǎng)絡的策略提供了更細的控制手段。我們利用這種訪問列表進行協(xié)議級的控制以達到對網(wǎng)絡一個有效的管理。標準訪問控制列表一般放在靠近目標的路由器上,而擴展訪問控制列表一般放于近源端的路由器上。3.7 鏈路聚合EC(Ethernet Channel)以太網(wǎng)信道鏈路聚合可以讓交換機之間和交換機與服務器之間的鏈路帶寬有非常好的伸縮性,比如可以把2個、3個、4個千兆的鏈路綁定在一起,使鏈路的帶寬成倍增長。鏈路聚合技術可以實現(xiàn)不同端口的負載均衡,同時也能夠互為備份,保證鏈
26、路的冗余性。在這些千兆以太網(wǎng)交換機中,最多可以支持4組鏈路聚合,每組中最大4個端口。鏈路聚合一般是不允許跨芯片設置的。生成樹協(xié)議和鏈路聚合都可以保證一個網(wǎng)絡的冗余性。在一個網(wǎng)絡中設置冗余鏈路,并用生成樹協(xié)議讓備份鏈路阻塞,在邏輯上不形成環(huán)路。而一旦出現(xiàn)故障,啟用備份鏈路。3.8 VLAN(虛擬局域網(wǎng))VLAN虛擬局域網(wǎng)是一種在二層設備上隔離和劃分廣播域的技術,通過這種劃分,我們可以把物理位置上分離的網(wǎng)絡設備在邏輯上劃為同一個廣播域,或者把物理位置上鄰近的網(wǎng)絡設備劃為不同的廣播域,從而更方便我們管理和做一個邏輯層次的劃分。從技術上說VLAN可以分為靜態(tài)VLAN和動態(tài)VLAN,那么靜態(tài)的VLAN是
27、基于交換機端口進行劃分,根據(jù)網(wǎng)絡設備連接不同的交換機端口,則進入相應VLAN。動態(tài)VLAN則更靈活,它可以根據(jù)接入計算機的IP地址,MAC地址,甚至是用戶的登陸賬號做出相應的處理,把計算機劃分進相應的VLAN中,這樣就為我們實際的網(wǎng)絡管理帶來了比較大的方便性和靈活性。那么在我們的企業(yè)網(wǎng)方案中,我們希望通過使用VLAN技術進行劃分達到以下目的:隔離,劃分廣播域,減小不必要的廣播流量,從而提高整個網(wǎng)絡的利用效率。網(wǎng)絡設計原則4 網(wǎng)絡設計原則采用先進成熟的技術和設計思想,運用先進的集成技術路線,以先進、實用、可靠、安全、使用方便和易于操作為原則,突出系統(tǒng)功能的實用性,盡快投入使用,發(fā)揮較好的效能。4
28、.1 網(wǎng)絡資源的實用性網(wǎng)絡建設的實用性是網(wǎng)絡建設的根本,在此基礎上考慮網(wǎng)絡的可靠性、可擴展性、安全性以及可管理性。網(wǎng)絡的實用性主要體現(xiàn)在網(wǎng)絡的性能上,網(wǎng)絡的性能是由應用系統(tǒng)的數(shù)據(jù)流量分布、網(wǎng)絡設備性能及廣域網(wǎng)鏈路帶寬綜合決定的。對應用系統(tǒng)的認真分析是網(wǎng)絡設備選型以及廣域網(wǎng)鏈路帶寬選擇的基礎。在一定的網(wǎng)絡資源條件下,可利用各種技術實施對于關鍵的網(wǎng)絡應用的保障。如通過先進的隊列機制進行擁塞控制,對不同等級的數(shù)據(jù)進行不同的處理,包括時延的不同和丟包率的不同;采用具備先期擁塞控制機制的網(wǎng)絡設備,當網(wǎng)絡出現(xiàn)真正的擁塞前就自動采取適當?shù)拇胧?,進行先期擁塞控制,避免瞬間大量的丟包現(xiàn)象;對非常重要的特殊應用,
29、應可以采用保留帶寬資源的方式保證其QoS。4.2 網(wǎng)絡的可靠性網(wǎng)絡的可靠性既是保證網(wǎng)絡的正常運行,不因網(wǎng)絡的故障或變化引起網(wǎng)絡的瞬間質(zhì)量惡化。網(wǎng)絡作為數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心,應充分考慮可靠性。 網(wǎng)絡的可靠性通過冗余技術實現(xiàn),包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。模塊冗余考慮網(wǎng)絡匯接點的主干設備和核心設備的所有關鍵模塊和環(huán)境部件應具備1+1或1:N熱備份的功能,所有模塊具備熱插拔的功能,當某一關鍵模塊出現(xiàn)故障時,可由備份模塊接替其功能。4.3 網(wǎng)絡的擴展性從網(wǎng)絡的發(fā)展趨勢來看,用戶數(shù)量以及應用系統(tǒng)的膨脹是必然的趨勢,網(wǎng)絡系統(tǒng)面臨數(shù)據(jù)流量增大的壓力,同時網(wǎng)絡高新技術在網(wǎng)絡中不斷
30、被應用,在設計網(wǎng)絡時應充分考慮系統(tǒng)的可升級性,從而保護網(wǎng)絡系統(tǒng)投資。網(wǎng)絡的可升級能力包括設備交換容量的可升級能力、端口數(shù)量的可升級能力、主干帶寬的可升級能力,網(wǎng)絡新技術平滑過渡的可升級能力,以及網(wǎng)絡規(guī)模的可升級能力。交換容量擴展應具備在現(xiàn)有基礎上繼續(xù)擴充2-4倍容量的能力,以適應IP類業(yè)務急速膨脹的需求。設備的選型應充分考慮包轉(zhuǎn)發(fā)能力以及數(shù)據(jù)交換能力。端口密度擴展需要認真分析用戶和應用系統(tǒng)的升級可能性,在具備升級可能性的信息節(jié)點配置高可升級性的網(wǎng)絡設備,滿足網(wǎng)絡擴容時對用戶接入以及系統(tǒng)互聯(lián)的需要。主干設備應具備豐富的的接口種類,具備向后延展性,可支持萬兆以太網(wǎng)是發(fā)展的必然方向,以適應IP類應用
31、及業(yè)務急速膨脹的需求。網(wǎng)絡規(guī)模擴展需綜合考慮網(wǎng)絡體系結(jié)構(gòu)、路由協(xié)議的規(guī)劃和設備的CPU路由處理能力,應能滿足網(wǎng)絡升級時對用戶接入以及數(shù)據(jù)流量變化或增大時處理能力的需要。4.4 網(wǎng)絡的安全性網(wǎng)絡的發(fā)展趨勢是基于Internet Web技術的開放網(wǎng)絡化系統(tǒng)。這不僅帶來了新的巨大的使用方便,同時也帶來了不斷增加的復雜應用及信息技術的挑戰(zhàn),因而安全是網(wǎng)絡建設中要考慮的一個關鍵因素。網(wǎng)絡安全在內(nèi)容上主要應考慮以下幾個方面:(1) 身份鑒別與授權:身份包括鑒別和授權。鑒別回答了“你是誰”和“你在哪?”這兩個問題,授權回答“你可以訪問什么”。必須對身份機制謹慎部署,因為如果設施難以使用,即便是最嚴謹?shù)陌踩?/p>
32、略也有可能被避開。(2) 邊界安全:邊界安全涉及到防火墻種類的功能,決定網(wǎng)絡的不同區(qū)域允許或拒絕何種業(yè)務,特別是在Internet和園區(qū)網(wǎng)之間或撥入網(wǎng)和園區(qū)網(wǎng)之間。(3) 數(shù)據(jù)的保密性和完整性:數(shù)據(jù)的保密性指確保只有獲準能夠閱讀數(shù)據(jù)的實體以有效的形式閱讀數(shù)據(jù),而數(shù)據(jù)完整性指確保數(shù)據(jù)在傳輸過程中未被改動。(4) 安全監(jiān)測:為檢驗安全基礎設施的有效性,應經(jīng)常進行定期的安全審查,包括新系統(tǒng)安裝檢查,發(fā)現(xiàn)惡意入侵行為的措施,可能的特殊問題(拒絕業(yè)務攻擊)以及對安全策略的全面遵守等方面。(5) 策略管理:由于網(wǎng)絡安全涉及到以上的多個方面,每一個方面都使用了多種產(chǎn)品和技術,對這些產(chǎn)品進行集中有效的管理可以
33、幫助網(wǎng)絡管理者有效地部署和更新自己的安全策略。(6) 其他基于網(wǎng)絡安全技術的策略:比如利用硬件ACL技術,線速地對網(wǎng)絡內(nèi)部常見漏洞端口的封閉,對已知網(wǎng)絡病毒傳播的抑制。4.5 網(wǎng)絡的可管理性隨著網(wǎng)絡中設備逐漸增多,網(wǎng)絡技術日趨復雜,網(wǎng)絡管理的重要性越來越明顯網(wǎng)絡的復雜導致系統(tǒng)運行的不確定因素增加,可靠性降低,“宕機”時間變長且?guī)淼膿p失越來越大,而往往由于平時對網(wǎng)管的忽略,缺乏受過專業(yè)培訓的網(wǎng)絡管理人員,也缺乏綜合的網(wǎng)管解決方案,因而發(fā)生問題時無從下手,這才意識到網(wǎng)管的重要。作為一套考慮完善、可靠性要求極高的系統(tǒng),當然不希望有“亡羊補牢”的情況發(fā)生,因此網(wǎng)絡管理是網(wǎng)絡設計必不可少的考慮因素之一
34、,從設備本身操作系統(tǒng)所具備的一些網(wǎng)管功能,到簡單的網(wǎng)絡管理工具,甚而功能強大的大型管理系統(tǒng),用戶可根據(jù)自身的實際網(wǎng)絡應用和資金安排,循序漸進,逐步實現(xiàn)全面網(wǎng)絡管理功能。網(wǎng)絡從承載單一的數(shù)據(jù)到多種不同的應用,如何合理利用帶寬資源,保障關鍵性業(yè)務QoS等管理要求成為網(wǎng)絡規(guī)劃管理人員不能回避的問題,網(wǎng)絡管理系統(tǒng)必須提供有效的性能監(jiān)控與流量收集分析的網(wǎng)絡工具幫助網(wǎng)絡管理人員優(yōu)化網(wǎng)絡性能,準確地進行網(wǎng)絡規(guī)劃。多種業(yè)務的集成要求勢必帶來網(wǎng)絡硬件環(huán)境的變化。從單一的路由器與交換機的互連到集合了路由器,交換機,IP PHONE,語音網(wǎng)關,視頻設備等多樣設備的互連,設備管理和配置的直觀性,靈活性對網(wǎng)絡管理的效率
35、至關重要。方案涉及產(chǎn)品介紹5 方案涉及產(chǎn)品介紹5.1 主要設備選型神州數(shù)碼(中國)有限公司具有業(yè)界最長最豐富的交換機產(chǎn)品線,其中新一代的大容量萬兆核心交換機DCRS-7600系列,可以提供豐富的IPv6實現(xiàn)技術,出色的體系結(jié)構(gòu),完整的攻擊和病毒防范功能線速萬兆和節(jié)能技術。而DCRS-6800系列可以提供大容量無阻塞的高性能業(yè)務交換,具備不斷擴展和升級的能力;提供大容量的二、三層線速交換,提供多種豐富的業(yè)務板卡,不斷滿足客戶對網(wǎng)絡的需求,并極大的保護用戶的投資。智能接入的DCS-4500-24T交換機,支持豐富的協(xié)議類型,用戶行為的管理控制、安全可靠,充分滿足客戶對網(wǎng)絡易管理、高性能、多業(yè)務承載
36、的需求。5.2 DCRS-7608 IPv6萬兆核心交換機圖5-1 DCRS-7608 IPv6萬兆核心交換機5.2.1產(chǎn)品概述神州數(shù)碼DCRS-7608,豐富的IPv6實現(xiàn)技術,出色的體系結(jié)構(gòu),完整的攻擊和病毒防范功能,穩(wěn)定的核心保障機制,智能靈活的性能資源調(diào)度機制Flex Resource,便捷安全的網(wǎng)絡管理,運營商級的可靠性,線速萬兆和節(jié)能技術。5.2.2產(chǎn)品特性(1) 豐富的業(yè)務支持支持全線速的MPLS VPN業(yè)務:DCRS-7600系列支持全面的LDP功能和BGP/MPLS VPN功能的同時,還支。持MPLS VPN訪問公網(wǎng)功能,實現(xiàn)專網(wǎng)通信的同時,可以無阻隔地訪問公網(wǎng),保障了業(yè)務的
37、多樣性,可同時作為PE路由器、P路由器,還可根據(jù)需要支持版本升級擴展功能。支持領先的IPv6業(yè)務:DCRS-7600系列支持豐富的IPv6實現(xiàn)技術,完全基于ASIC的分布式全線速硬件方式進行轉(zhuǎn)發(fā),能夠滿足高性能的IPv6應用。分布式硬件IPv6轉(zhuǎn)發(fā)方式,可以在本地實現(xiàn)IPv6報文的處理,并可在接口模塊內(nèi)部及模塊與背板間實現(xiàn)IPv6報文的線速轉(zhuǎn)發(fā),避免了集中式轉(zhuǎn)發(fā)、NP轉(zhuǎn)發(fā)等模式存在的瓶頸和時延問題;同時,作為國內(nèi)和國際最先通過IPv6 Ready第二階段增強版認證和IPv6 Ready Dhcpv6認證的路由交換機,新增加了更安全的鄰居發(fā)現(xiàn)(ND)信息、認證封裝安全負載、避免了受到路由頭RH0
38、攻擊的影響、避免了使用IPv6任播地址的限制、完善了無狀態(tài)地址分配的協(xié)議交互過程,為IPv6能真正在大規(guī)模商用環(huán)境中應用提供了安全方面的保障。支持強大復雜的組播業(yè)務:DCRS-7600系列支持強大的組播實現(xiàn)技術,不僅支持IPv4組播,還支持領先的IPv6組播,完全基于ASIC的分布式全線速硬件方式進行IPv4/IPv6組播轉(zhuǎn)發(fā),能夠滿足高性能的多媒體應用。在IPv4方面,提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等為主,配以MSDP、anycast-RP、靜態(tài)組播路由、邊界組播、Multcast VLAN、IGMP Proxy、IGMP Snooping等為輔的
39、多套IPv4組播解決方案;在神州數(shù)碼網(wǎng)絡的傳統(tǒng)強項IPv6方面,提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2為主,配以IPv6 anycast(泛播)-RP、IPv6靜態(tài)組播路由、IPv6邊界組播、IPv6 Multcast VLAN、IPv6組播隧道等為輔的多套IPv6組播解決方案,滿足了業(yè)務復雜的電信級IPv4/IPv6組播業(yè)務需求。(2) 出色的體系結(jié)構(gòu)DCRS-7608提供了10個插槽,DCRS-7604提供了4個插槽,同時DCRS-7604管理引擎模塊支持高密度千兆端口,業(yè)界獨特,極大地保護了用戶的投資。 DCRS-7600系列產(chǎn)品采用全分布式體系結(jié)
40、構(gòu)設計,采用功能強大的ASIC芯片進行高速路由查找,采用最長匹配、逐包轉(zhuǎn)發(fā)的方式進行數(shù)據(jù)轉(zhuǎn)發(fā),從而大大提升了路由交換機的轉(zhuǎn)發(fā)性能和擴充能力。(3) 完整的攻擊和病毒防范功能DCRS-7600系列具有多層的IPv4和IPv6安全防范設計,堪稱業(yè)界最全面,極有效地保障了超大規(guī)模、多業(yè)務、復雜流量訪問網(wǎng)絡的安全穩(wěn)定性:1 S-MAC技術可有效地基于MAC層防范各種攻擊;2 S-ARP (安全ARP) 技術可有效防止ARP的各種攻擊和欺騙;3 S-NDP (安全NDP) 技術可有效防止IPv6 NDP的各種攻擊和欺騙;4 S-ICMP(安全ICMP)技術可有效防止PING-DOS攻擊,靈活防止黑客利用
41、ICMP;5 Unreachable攻擊第三方的行為;6 BPDU-GUARD技術可有效防止非法BPDU報文的攻擊;7 IPv4 DHCP Snooping/IPv6 DHCP Snooping技術可有效防止DHCP報文的攻擊;8 IPv4 URPF/IPv6 URPF技術可有效防止基于源IPv4地址IPv6欺騙的網(wǎng)絡攻擊;9 IPv4/IPv6 DCSCM可有效防止組播源和組播客戶端的攻擊;10 黑洞路由技術可有效防止路由環(huán)路、路由黑洞。(4) DCRS-7600系列的諸多設計可充分保障核心穩(wěn)定1 交換引擎CPU核心保護:可有效防止各類非法協(xié)議攻擊導致核心設備交換引擎癱瘓;2 關鍵協(xié)議綠色通
42、道功能:可保障正常、合法、速度合理的關鍵控制報文(VRRP、STP、MSTP、RIP、OSPF、BGP、組播協(xié)議、雙引擎板間心跳等)在大流量業(yè)務下不被淹沒,快速處理不中斷;3 先進的FLASH ECC的自動糾錯:避免了版本升級過程中出錯的可能性;4 先進的內(nèi)存ECC的自動糾錯:保障了設備運行的穩(wěn)定性。(5) 智能靈活的性能資源調(diào)度機制Flex Resource影響交換機性能的因素有很多:CPU、內(nèi)存、MAC表、IP地址表、路由表、ACL表等等。這些資源都是有代價的,它們是交換機成本的重要組成部分。所以說,能不能在有限的成本范圍內(nèi),最大限度地提高交換機資源的利用率,就成為提升性能的有效之道!針對
43、這個用戶需求,神州數(shù)碼網(wǎng)絡的Flex-Resource(柔性資源調(diào)度)可利用多項技術,動態(tài)調(diào)整、回收和再分配交換機資源,從而成倍地提高了核心交換機資源的利用率,支撐起更大規(guī)模的網(wǎng)絡。Flex-Resource目前支持Flex-LPM,Flex-L3,Flex-ARP等細分技術。(6) 便捷安全的網(wǎng)絡管理優(yōu)秀的網(wǎng)絡設備除了強大的性能和功能外還應具備完善的管理功能。DCRS-7600系列具有豐富的監(jiān)測網(wǎng)管功能,可實現(xiàn)任務異常、內(nèi)存異常、交換芯片異常、CPU利用率、堆棧異常等方面的監(jiān)測,而SYSLOG功能可方便地記錄事件,便于事后查找和定位。DCRS-7600系列具備便捷安全的配置管理手段,支持標準
44、SSH、SNMP v1/v2c/v3;Security IP功能可拒絕非法配置員,只有從合法的IP才能對交換機進行配置管理,防止非法用戶登陸交換機。(7) 運營商級的可靠性DCRS-7600系列路由交換機對所有關鍵部件都采用了冗余備份的設計方案:電源冗余、管理模塊冗余、鏈路冗余等,并且DCRS-7600系列路由交換機的交流電源采取多路(2-3路)電網(wǎng)供電電源工作時負載均衡,大大提高了電源的穩(wěn)定和可靠。雙引擎HA技術,保證在主引擎出現(xiàn)故障時,備份引擎自動接管交換機設備變成主引擎,從而保證交換機的穩(wěn)定可靠運行。同時所有單板、電源模塊、風扇盤等都支持熱插拔,提高了網(wǎng)絡運行的連續(xù)性。(8) 線速萬兆和
45、節(jié)能技術DCRS-7600系列交換機擁有著先進的萬兆以太網(wǎng)支持,最高可提供Tbps級的交換容量和Mbps級的包轉(zhuǎn)發(fā)能力。在保持線速轉(zhuǎn)發(fā)性能的基礎上,支持各種高密度接口板,滿足核心層設備高密度、高吞吐量的要求,為城域和廣域的應用提供了針對性的解決措施,可以簡化網(wǎng)絡結(jié)構(gòu)、降低網(wǎng)絡建設成本。DCRS-7600系列交換機還采取了最新的節(jié)能技術,擁有著業(yè)界同級別產(chǎn)品中最低的功耗,在當前這個能源緊張的時代節(jié)能的意義可想而知。并且,低功率意味著低散熱,可讓長期運行的核心網(wǎng)絡設備的系統(tǒng)穩(wěn)定性大大增強。5.3 CRS-6804萬兆核心路由交換機圖5-2 CRS-6804萬兆核心路由交換機5.3.1 產(chǎn)品概述DC
46、RS-6804路由交換機為企業(yè)和電信網(wǎng)絡提供了優(yōu)秀的安全性、可靠性、業(yè)務多樣性和擴展能力。DCRS-6804可作為中小型校園網(wǎng)、企業(yè)網(wǎng)的核心層設備或作為大型校園網(wǎng)、IP城域網(wǎng)的匯聚層設備,它們不僅能夠降低用戶構(gòu)建下一代網(wǎng)絡的復雜性,而且提供了很好的投資保護。DCRS-6804路由交換機率先通過最為苛刻的國際IPv6 Ready第二階段增強版認證,神州數(shù)碼網(wǎng)絡是國內(nèi)第一家通過該認證的廠商。同時DCRS-6804路由交換機通過IPv6 Ready Dhcpv6認證,神州數(shù)碼是全球第一家通過該認證的廠商。借助芯片級的轉(zhuǎn)發(fā)能力和多樣化的業(yè)務支持,以及較高的性價比,DCRS-6804成為企業(yè)級網(wǎng)絡和電信
47、城域匯聚層部署IPv6的最佳解決方案的一部分。該系列目前包括DCRS-6804, DCRS-6808等交換機。DCRS-6808提供10個槽位,具備強大的交換容量和轉(zhuǎn)發(fā)能力,可全線速地進行L2/L3數(shù)據(jù)轉(zhuǎn)發(fā),能夠滿足用戶對于網(wǎng)絡規(guī)模的擴展要求。DCRS-6804提供了4個插槽,其管理模塊均帶有業(yè)務接口。DCRS-6804L是一種高性價比的組合:在配予專用電源模塊之后,利用L型專用管理模塊,DCRS-6804L則成為一臺滿足中小型網(wǎng)絡核心需求的高性價比機箱交換機。DCRS-6804交換機的管理模塊、電源模塊支持冗余備份和負載均衡,板卡、電源、風扇均支持熱插拔,為DCRS-6804提供了電信運營商
48、級的可靠性。5.3.2 產(chǎn)品特性(1) 豐富的業(yè)務支持1 支持全線速的MPLS VPN業(yè)務;DCRS-6800系列支持全面的LDP功能和BGP/MPLS VPN功能的同時,還支持MPLS VPN訪問公網(wǎng)功能,實現(xiàn)專網(wǎng)通信的同時,可以無阻隔地訪問公網(wǎng),保障了業(yè)務的多樣性,可同時作為PE、P,還可根據(jù)需要支持版本升級擴展功能,極大地保護了用戶的投資。2 支持領先的IPv6業(yè)務;DCRS-6800系列支持豐富的IPv6實現(xiàn)技術,完全基于ASIC的分布式全線速硬件方式進行轉(zhuǎn)發(fā),能夠滿足高性能的IPv6應用。分布式硬件IPv6轉(zhuǎn)發(fā)方式,可以在本地實現(xiàn)IPv6報文的處理,并可在接口模塊內(nèi)部及模塊與背板間實
49、現(xiàn)IPv6報文的線速轉(zhuǎn)發(fā),避免了集中式轉(zhuǎn)發(fā)、NP轉(zhuǎn)發(fā)等模式存在的瓶頸和時延問題;同時,作為國內(nèi)和國際最先通過IPv6 Ready第二階段增強版認證和IPv6 Ready Dhcpv6認證的路由交換機,新增加了更安全的鄰居發(fā)現(xiàn)(ND)信息、認證封裝安全負載、避免了受到路由頭RH0攻擊的影響、避免了使用IPv6任播地址的限制、完善了無狀態(tài)地址分配的協(xié)議交互過程,為IPv6能真正在大規(guī)模商用環(huán)境中應用提供了安全方面的保障。3 支持強大復雜的組播業(yè)務。DCRS-6800系列支持強大的組播實現(xiàn)技術,不僅支持IPv4組播,還支持領先的IPv6組播,完全基于ASIC的分布式全線速硬件方式進行IPv4/IPv
50、6組播轉(zhuǎn)發(fā),能夠滿足高性能的多媒體應用。在IPv4方面,提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等為主,配以MSDP、anycast-RP、靜態(tài)組播路由、邊界組播、Multcast Vlan、IGMP Proxy、IGMP Snooping等為輔的多套IPv4組播解決方案;在神州數(shù)碼網(wǎng)絡的傳統(tǒng)強項IPv6方面,提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2為主,配以IPv6 anycast(泛播)-RP、IPv6靜態(tài)組播路由、IPv6邊界組播、IPv6 Multcast Vlan、IPv6組播隧道等為輔的多套IPv6組播解決方案
51、,滿足了業(yè)務復雜的電信級IPv4/IPv6組播業(yè)務需求。(2) 運營商級的可靠性為了滿足苛刻的運營商級網(wǎng)絡對設備可靠性的要求,DCRS-6800系列交換機對所有關鍵部件都采用了冗余備份的設計方案,并且可隨時監(jiān)控各個部件的工作溫度并在出現(xiàn)溫度異常時自動報警。(3) 強大的ACL功能支持標準和擴展ACL,支持IP ACL、基于IP子網(wǎng)的ACL、MAC ACL、IP-MAC ACL,支持基于源/目的IP、三層IP協(xié)議類型、TCP/UDP四層端口號、IP優(yōu)先級、ToS,并且以上功能完全依靠硬件線速實現(xiàn),不影響轉(zhuǎn)發(fā)性能。(4) 增強的安全特色1 全面的受控組播方案DCSCM,可以對源和目的進行安全控制,
52、完整實現(xiàn)了在接入層網(wǎng)絡中應用了基于IGMP源端口和目的端口檢查技術,可完全限制合法組播在網(wǎng)絡中的穩(wěn)定傳輸,有效控制組播建立的整個過程,保障了正常合法的組播應用的穩(wěn)定運行。 2 支持ACL-X可基于時間段設置安全策略,安全設置隨時間而動,在不同的時間段自動切換為不同的策略;智能化流量控制,可基于ACL進行流量分類,更加精細和貼近業(yè)務分類。 3 交換引擎CPU核心保護:可有效防止各類非法協(xié)議攻擊導致核心設備交換引擎癱瘓。 4 “關鍵協(xié)議綠色通道” 功能:可保障正常、合法、速度合理的關鍵控制報文(STP、MSTP、RIP、OSFP、BGP、組播協(xié)議、雙引擎板間心跳等)在大流量業(yè)務下不被淹沒,快速處理
53、不中斷。5 先進的LPM技術:可抵抗“沖擊波”病毒、“zero day”病毒、“SQL slammer warm”病毒等。6 端口信任模式:則可檢測非法DHCP Server等,只在信任端口才能接入這些設備,從而保障網(wǎng)絡的安全。7 智能靈活的性能資源調(diào)度機制Flex Resource。影響交換機性能的因素有很多:CPU、內(nèi)存、MAC表、IP地址表、路由表、ACL表等等。這些資源都是有代價的,它們是交換機成本的重要組成部分。所以說,能不能在有限的成本范圍內(nèi),最大限度地提高交換機資源的利用率,就成為提升性能的有效之道!針對這個用戶需求,神州數(shù)碼網(wǎng)絡的Flex Resource(柔性資源調(diào)度)可利用
54、多項技術,動態(tài)調(diào)整、回收和再分配交換機資源,從而成倍地提高了核心交換機資源的利用率,支撐起更大規(guī)模的網(wǎng)絡。(5) 豐富靈活的QoSDCRS-6800系列交換機為每個端口提供了8個優(yōu)先級隊列,完全硬件實現(xiàn),不影響性能。每端口8個隊列,支持基于802.1p、TOS、端口、DiffServ進行流量分類還可以根據(jù)ACL-X的80個字節(jié)高層內(nèi)容進行流量分類,同時支持WRR、SP、SWRR等隊列算法,還支持入口流量整形。為語音/數(shù)據(jù)/視頻在同一網(wǎng)絡中傳輸提供所要求的不同服務質(zhì)量。5.4 DCS-4500-26T智能安全接入交換機圖 5-3 DCS-4500-26T智能安全接入交換機5.4.1 產(chǎn)品概述DC
55、S-4500-26T是千兆交換機,固化端口組合更加豐富,最大限度的滿足網(wǎng)絡流量擴展及多媒體業(yè)務迅速增長的需要,提高投資的性價比。它支持豐富的協(xié)議命令,如基于流的mirror及數(shù)據(jù)統(tǒng)計、端口環(huán)路檢測、BPDU/Root Guard、Auto VLAN、Guest VLAN、Voice VLAN、支持最大32組LAG的端口聚合組數(shù)等等。這還是一款高安全性交換機,可全面防范ARP欺騙,具體可支持防ARP掃描、ARP Guard,同時還支持非法組播源檢測,基于芯片的防DOS攻擊等。DCS-4500-26T全面支持IPv6主機配置,具備SNMP v6、HTTP v6等,更靈活的適應網(wǎng)絡環(huán)境的需要,可在I
56、Pv4、IPv6網(wǎng)絡部署中收放自如。同時在機器性能上,它支持接入SFP百兆光模塊,支持ECC糾錯功能,具備集群批量升級功能,降低了用戶的投資及維護成本。DCS-4500-26T是千兆銅纜的接入,更大限度的釋放了帶寬,實現(xiàn)諸如電子政務應急指揮系統(tǒng)、高校的遠程視頻教學及視頻點播、網(wǎng)吧游戲系統(tǒng)、生產(chǎn)制造業(yè)的設計加工協(xié)助等的高效率運轉(zhuǎn)。神州數(shù)碼網(wǎng)絡的DCS-4500-26T所具備的高密度端口組合、豐富的協(xié)議支持、全面的安全接入、靈活的網(wǎng)絡適應、容易的網(wǎng)管及維護,是用戶千兆接入的理想選擇。5.4.2 主要特性(1) 高密度千兆端口組合DCS-3950系列交換機提供了3款不同端口組合的產(chǎn)品供用戶選擇:1
57、DCS-4500-26T提供了26個10/100/1000 Base-T以太網(wǎng)接口及4個固化1000Base-T SFP以太網(wǎng)接口(combo),同時千兆光口可支持百兆光的接入。2 DCS-4500-50T提供了50個10/100/1000 Base-T以太網(wǎng)接口及4個固化1000Base-T SFP以太網(wǎng)接口(combo),同時千兆光口可支持百兆光的接入。3 DCS-4500-26T-PoE提供了26個10/100/1000 Base-T以太網(wǎng)接口(PoE)及4個固化1000Base-T SFP以太網(wǎng)接口(combo),同時千兆光口可支持百兆光的接入。(2) 豐富的協(xié)議支持DCS-4500-
58、26T支持全面的QoS功能,交換機可根據(jù)端口、VLAN、COS、802.1p、ToS、DSCP、TCP/UDP端口進行流量分類,并分配不同的服務級別,支持SP/WRR/SWRR等隊列調(diào)度算法,為視頻/數(shù)據(jù)/語音在同一網(wǎng)絡中傳輸提供所要求的不同服務質(zhì)量。DCS-4500-26T交換機支持802.1d/w/s 生成樹協(xié)議,同時支持BPDU Guard、Root Guard及BPDU報文透傳,能有效防止黑客針對整個交換結(jié)構(gòu)發(fā)動的BPDU拒絕服務攻擊,提高了數(shù)據(jù)傳輸?shù)陌踩?。交換機還支持802.1Q、802.1p、802.3ad、802.3x、GVRP、DHCP等標準。DCS-4500-26T支持高適
59、應性的VLAN特性,系列除了支持傳統(tǒng)的802.1q和基于端口、MAC的Vlan,還具備支持基于用戶的Vlan劃分功能。管理員可根據(jù)當前登陸交換機的用戶信息(基于IP+MAC的識別),來決定該端口屬于哪一個VLAN組,最大限度的保證了接入用戶的安全,同時還可以根據(jù)用戶權限進行VLAN設置。DCS-4500-26T具備Auto VLAN及Guest VLAN功能,可以根據(jù)用戶權限進行VLAN設置。比如企業(yè)用戶,來訪者接入網(wǎng)絡后系統(tǒng)把其自動加入相應的VLAN,使來訪者可以訪問內(nèi)網(wǎng)中指定VLAN的一些開放資源。對于高校用戶,新生第一次入學只能具備有限訪問權限,同時可開放資源給不符合安全管理策略的終端,
60、實現(xiàn)其自動修復。DCS-4500-26T的Vlan VPN(QinQ)技術為企業(yè)用戶和運營商提供了低成本、簡便易行、易于管理的二層VPN功能。在實際應用環(huán)境中,QinQ技術實現(xiàn)了VLAN數(shù)量的擴展,增加了VLAN資源。同時本交換機還具備Voice VLAN特性,系統(tǒng)通過識別設備類型,將IP電話等終端加入專用語音vlan(voice vlan),為語音業(yè)務提供良好的QoS保證。(3) 全面的安全功能DCS-4500-26T提供了完整的ACL策略,可根據(jù)報文多種字段對數(shù)據(jù)進行分類,并使用不同的策略進行轉(zhuǎn)發(fā)。它支持基于IP地址、MAC地址的ACL策略,支持基于時間段的ACL配置,支持ACL配置在VL
61、AN上。通過ACL策略的實施,用戶可以過濾掉“沖擊波”、“震蕩波”、“紅色代碼”等病毒包,防止擴散和沖擊核心設備。支持IEEE802.1x基于端口的認證,為網(wǎng)絡提供端口級的安全保證。 配合RADIUS等認證機制,可有效防止非法用戶侵入網(wǎng)絡。DCS-4500-26T可有效防范ARP欺騙,它通過防ARP掃描技術、ARP Guard技術等,杜絕攻擊源通過ARP漏洞對網(wǎng)絡進行攻擊,可最大限度的減少網(wǎng)絡使用過程中的時斷時續(xù)、掉線頻繁,增加網(wǎng)絡的安全可用。(4) 靈活的網(wǎng)絡融合能力DCS-4500-26T-PoE設備支持PoE(Power over Ethernet)技術,可通過以太網(wǎng)對所連接的設備(包括
62、無線AP、IP電話、網(wǎng)絡攝像頭等)進行供電,從而減少了大量電源連接線的部署,降低了用戶的布線成本。DCS-4500-26T-PoE設備的24個千兆電口都能提供PoE供電,每個端口支持最大PoE供電功耗為15.4W,整機最大PoE供電功耗為195W,24個端口可共享195W的功耗。系統(tǒng)可對PoE端口做多項設置:可設定每個端口的最大輸出功率,實現(xiàn)有效省電;設定端口的供電優(yōu)先級,在接入供電設備過多的情況下最大限度的滿足優(yōu)先級高的設備先得到供電;設定POE供電功能關閉,可選擇性的設定端口PoE供電。DCS-4500-26T可靈活接入IPv6或IPv4主機,可隨心所欲的應用在IPv4或IPv6的網(wǎng)絡環(huán)境
63、中,同時,滿足用戶從IPv4到IPv6網(wǎng)絡的平滑升級過渡,避免了用戶的二次投資。(5) 便捷的網(wǎng)絡管理界面DCS-4500-26T交換機支持SNMP,支持帶內(nèi)和帶外管理,支持CLI和WEB界面,支持Security IP功能,可以防止非法用戶登陸和修改交換機的配置。支持SSH協(xié)議,可以最大限度地保證交換機的配置管理的安全性??刹捎蒙裰輸?shù)碼集中網(wǎng)管系統(tǒng)LinkManager統(tǒng)一管理,方便簡捷。(6) 完整的認證計費解決方案DCS-4500-26T交換機支持完整的神州數(shù)碼增強型802.1x認證計費解決方案,支持按交換機端口和MAC地址方式的認證。實施該套方案后,用戶在不通過認證的情況下將無法使用網(wǎng)絡,可以有效避免用戶私自更改IP對網(wǎng)絡的沖擊。配合神州數(shù)碼的安全接入控制與計費系統(tǒng)DCBI-3000和802.1x客戶端,可以實現(xiàn)按時長/流量計費,可以實現(xiàn)用戶帳號、密碼、IP、MAC、VLAN、端口、交換機的嚴格綁定,還可以防止代理軟件對合法客戶發(fā)送通知/廣告,進行上網(wǎng)時段控制,基于用戶動態(tài)實現(xiàn)VLAN授權和帶寬授權,可基于組策略實現(xiàn)動態(tài)IP地址分配而不必使用DHCP服務器等。DCS-4500系列交換機是實現(xiàn)網(wǎng)絡運營的非常理想的接入交換機。(7) 綠色環(huán)保的多維綠網(wǎng)設計理念多維綠網(wǎng)是神州數(shù)碼網(wǎng)絡多年3D-SMP(動態(tài)分布式安全域管理策略)實施經(jīng)驗的集
- 溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。