《企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)》畢業(yè)論文

編號： 本科畢業(yè)論文（設(shè)計(jì)）企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)院 系：姓 名：學(xué) 號：專 業(yè)：年 級：指導(dǎo)教師：職 稱：完成日期：摘 要由于社會發(fā)展與計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用息息相關(guān)，傳統(tǒng)的企業(yè)正以前所未有的速度進(jìn)行著變革，其主要特征就是企業(yè)網(wǎng)成為企業(yè)生存與發(fā)展的信息化基礎(chǔ)設(shè)施。為了提高企業(yè)自身的競爭力和工作效率，更好地適應(yīng)信息化建設(shè)的要求，本文通就如何完善企業(yè)網(wǎng)絡(luò)建設(shè)，進(jìn)行了分析討論，提出了一種安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)管理方法。該方案注重網(wǎng)絡(luò)設(shè)備的性價(jià)比，采用成熟可靠的網(wǎng)絡(luò)技術(shù)，力求簡單易用、性能優(yōu)秀并且具有良好的可升級擴(kuò)展。在網(wǎng)絡(luò)設(shè)計(jì)的標(biāo)準(zhǔn)性、先進(jìn)性、可靠性與穩(wěn)定性、保密性與安全性、可擴(kuò)展性、冗余性等方面，制定了一系列具有針對性的可行性方案。系統(tǒng)設(shè)計(jì)方面充分考慮大中型企業(yè)對網(wǎng)絡(luò)需求的特點(diǎn)，注重為客戶提供www服務(wù)、ftp服務(wù)、Internet對外郵件系統(tǒng)等，更好更快地與外部客戶交流，為中型企業(yè)提供安全可靠、便于管理穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)做出了一些討論。本方案還考慮到企業(yè)的未來的發(fā)展規(guī)劃，在網(wǎng)絡(luò)的結(jié)構(gòu)、應(yīng)用、管理、系統(tǒng)性能等各個(gè)方面都能夠適應(yīng)未來的發(fā)展，并最大程度地節(jié)省企業(yè)的投入。從而使其在信息化建設(shè)過程中起到巨大的推動(dòng)作用，為企業(yè)的辦公提供簡單、有效、便捷的理想環(huán)境，也為企業(yè)在以后的改革提供有效的電子信息。關(guān)鍵詞：局域網(wǎng)；大中型企業(yè)網(wǎng)絡(luò)；網(wǎng)絡(luò)規(guī)劃IAbstractBecause of the social development and application of computer network system is closely related, the traditional enterprises are engaged in an unprecedented rate of changes, the main feature is the corporate network as enterprise survival and development of information technology infrastructure. In order to improve the competitiveness of the working efficiency and better adapt to the request, the informatization construction of paper on how to improve enterprise network, general construction, analyzed, and puts forward a kind of safe and reliable network management plan. The solution to network devices, mature and reliable performance, and easy-to-use network technology, excellent and good performance can be upgraded. In web design standards, advanced, reliability and stability, security and secrecy and expansibility, redundancy, etc., have enacted a series of feasible scheme. System design for a medium-sized enterprise fully consider the characteristics of the needs of the network, provide the www ftp service and Internet services to foreign mail system etc, better with external customers faster and medium-sized enterprises provide safe and reliable, easy to manage stable network system made some discussions.The plan also considering the future of the companys development plan, the structure, the application in the network management, system performance, etc to be able to adapt to the development of the future, and to maximize the enterprise. Save so in the information construction process has great impetus for the enterprise, the office provides a simple and effective, convenient, also the ideal environment for enterprises to provide effective after the reform of electronic information.Key words : Lan;Large and medium-sized enterprise network;Network planning45目 錄1 概述11.1 信息化建設(shè)背景11.2 信息化網(wǎng)絡(luò)平臺12 網(wǎng)絡(luò)需求分析及建設(shè)目標(biāo)22.1 工程項(xiàng)目概況22.2 信息點(diǎn)分布22.2.1 企業(yè)網(wǎng)絡(luò)建設(shè)需求22.3 總體技術(shù)要求22.3.1 網(wǎng)絡(luò)系統(tǒng)技術(shù)要求33 網(wǎng)絡(luò)技術(shù)選型43.1 路由協(xié)議OSPF43.2 端口安全與認(rèn)證（基于802.1X）43.3 VRRP(虛擬路由冗余協(xié)議)原理43.4 MSTP（多生成樹協(xié)議）原理53.5 NAT的描述及策略路由的實(shí)現(xiàn)63.6 ACL(訪問控制列表)63.7 鏈路聚合EC(Ethernet Channel)63.8 VLAN(虛擬局域網(wǎng))74 網(wǎng)絡(luò)設(shè)計(jì)原則84.1 網(wǎng)絡(luò)資源的實(shí)用性84.2 網(wǎng)絡(luò)的可靠性84.3 網(wǎng)絡(luò)的擴(kuò)展性84.4 網(wǎng)絡(luò)的安全性94.5 網(wǎng)絡(luò)的可管理性105 方案涉及產(chǎn)品介紹115.1 主要設(shè)備選型115.2 DCRS-7608 IPv6萬兆核心交換機(jī)115.2.1 產(chǎn)品概述115.2.2 產(chǎn)品特性115.3 CRS-6804萬兆核心路由交換機(jī)145.3.1 產(chǎn)品概述145.3.2 產(chǎn)品特性155.4 DCS-4500-26T智能安全接入交換機(jī)175.4.1 產(chǎn)品概述175.4.2 主要特性185.5 DCFW-1800E-2G多核防火墻205.5.1 產(chǎn)品概述205.5.2 主要特性205.6 LinkManager 網(wǎng)絡(luò)管理系統(tǒng)215.6.1 系統(tǒng)特點(diǎn)215.6.2 要特征226 網(wǎng)絡(luò)方案設(shè)計(jì)266.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹266.2 網(wǎng)絡(luò)拓?fù)鋱D266.3 網(wǎng)絡(luò)設(shè)計(jì)276.3.1 骨干核心層網(wǎng)絡(luò)設(shè)計(jì)276.3.2 匯聚層網(wǎng)絡(luò)設(shè)計(jì)286.3.3 接入層網(wǎng)絡(luò)設(shè)計(jì)286.3.4 運(yùn)維中心296.3.5 網(wǎng)絡(luò)安全設(shè)計(jì)306.3.6 網(wǎng)絡(luò)QoS設(shè)計(jì)306.3.7 冗余/負(fù)載均衡設(shè)計(jì)316.3.8 IP地址規(guī)劃346.3.9 VlAN的劃分406.4 方案優(yōu)勢40總結(jié)43參考文獻(xiàn)44致謝45概述1 概述1.1 信息化建設(shè)背景當(dāng)今社會信息化進(jìn)程迅猛發(fā)展，網(wǎng)絡(luò)技術(shù)已經(jīng)對社會、經(jīng)濟(jì)和文化各方面產(chǎn)生重大影響，并將改變?nèi)藗冋J(rèn)識世界、思考世界的觀點(diǎn)和方法。作為企業(yè)集團(tuán)，如何面對網(wǎng)絡(luò)時(shí)代帶來的沖擊，如何利用網(wǎng)絡(luò)技術(shù)提高我們行業(yè)的管理水平和服務(wù)質(zhì)量，是無法回避的問題。為進(jìn)一步推進(jìn)行業(yè)的信息化建設(shè)，了解國際信息化發(fā)展動(dòng)態(tài)，吸收新的技術(shù)和管理經(jīng)驗(yàn)，提高系統(tǒng)信息化應(yīng)用的管理水平，使經(jīng)濟(jì)效益和社會效益雙豐收勢在必行。 網(wǎng)絡(luò)設(shè)計(jì)主導(dǎo)：(1) “量身定制”對用戶的需求進(jìn)行了定量分析。站在用戶的立場上為用戶“量身定制”出這個(gè)網(wǎng)絡(luò)方案。(2) “采先進(jìn)成熟技術(shù)及產(chǎn)品”當(dāng)今世界新技術(shù)產(chǎn)品層出不窮，組建內(nèi)部網(wǎng)絡(luò)應(yīng)從高技術(shù)高起點(diǎn)出發(fā)，并留出擴(kuò)容余量及廣域網(wǎng)接口，盡量避免重復(fù)建設(shè)及投資。(3) “精打細(xì)算”選用產(chǎn)品應(yīng)具有最佳性價(jià)比，在本次設(shè)計(jì)中采用神州數(shù)碼全線產(chǎn)品。1.2 信息化網(wǎng)絡(luò)平臺隨著行業(yè)管理信息化的不斷深入和行業(yè)本身對信息化管理的要求不斷提高，其原來的網(wǎng)絡(luò)環(huán)境和技術(shù)管理手段逐漸不能適應(yīng)和滿足新的要求。搭建一個(gè)穩(wěn)定、高效、安全、可管理并可持續(xù)發(fā)展的網(wǎng)絡(luò)基礎(chǔ)平臺來承載企業(yè)的應(yīng)用，本設(shè)計(jì)方案網(wǎng)絡(luò)平臺架構(gòu)不僅能夠完全滿足企業(yè)的信息化需求和辦公應(yīng)用，而且能解決方案的可升級和擴(kuò)展性也保證了企業(yè)局域網(wǎng)的安全性和運(yùn)營效率。網(wǎng)絡(luò)需求分析及建設(shè)目標(biāo)2 網(wǎng)絡(luò)需求分析及建設(shè)目標(biāo)2.1 工程項(xiàng)目概況該企業(yè)為了加快信息化建設(shè)，企業(yè)網(wǎng)將建設(shè)一個(gè)以集團(tuán)辦公自動(dòng)化、電子商務(wù)、業(yè)務(wù)綜合管理、多媒體視頻會議、遠(yuǎn)程通訊、信息發(fā)布及查詢?yōu)楹诵?，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)，將企業(yè)的各種辦公室、多媒體會議室、PC終端設(shè)備、應(yīng)用系統(tǒng)通過網(wǎng)絡(luò)連接起來，實(shí)現(xiàn)內(nèi)、外溝通的現(xiàn)代化計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。該網(wǎng)絡(luò)系統(tǒng)是支持辦公自動(dòng)化、供應(yīng)鏈管理以及各應(yīng)用系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施。2.2 信息點(diǎn)分布主要信息點(diǎn)集中在生產(chǎn)部、賬務(wù)部、網(wǎng)絡(luò)中心、職工宿舍等部門。詳細(xì)信息點(diǎn)分布如表2-1所示。表2-1主要信息點(diǎn)分布地點(diǎn)信息點(diǎn)備注網(wǎng)絡(luò)中心40需保證速度、流量和可靠性生產(chǎn)部150需保證速度、流量和可靠性賬務(wù)部120需保證速度、流量和安全性行政部100需保證速度、流量和安全性銷售部100需要保證速度和可靠性職工宿舍1000需保證速度和流量2.2.1 企業(yè)網(wǎng)絡(luò)建設(shè)需求企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)項(xiàng)目建設(shè)，共涉及六棟樓，每棟樓八層，共有信息點(diǎn)數(shù)大約1500個(gè)，此次網(wǎng)絡(luò)建設(shè)的目的是為了實(shí)現(xiàn)企業(yè)內(nèi)的辦公自動(dòng)化，提高辦公效率。2.3 總體技術(shù)要求采用三層網(wǎng)絡(luò)架構(gòu)，萬兆核心交換機(jī)，接入層交換機(jī)千兆上聯(lián)到核心，千兆接入桌面，關(guān)鍵性業(yè)務(wù)千兆接入。根據(jù)實(shí)際情況進(jìn)行VLAN劃分，把不同的業(yè)務(wù)劃分到不同的VLAN中進(jìn)行隔離，以保證網(wǎng)絡(luò)安全。隨著技術(shù)的發(fā)展和業(yè)務(wù)的增長，可以通過更換或增加模塊，使網(wǎng)絡(luò)升級，網(wǎng)絡(luò)規(guī)模和容量可以平滑增長。能夠在所有信息點(diǎn)內(nèi)任意劃分組成虛擬網(wǎng)，實(shí)現(xiàn)不同業(yè)務(wù)的劃分。要求整個(gè)網(wǎng)絡(luò)具有高可靠性的總體設(shè)計(jì)，采用的技術(shù)是相對成熟的技術(shù)；所選用的設(shè)備具有高可靠性；采用具有高安全級別的系統(tǒng)軟件；可以實(shí)現(xiàn)網(wǎng)絡(luò)自愈。系統(tǒng)的性能指標(biāo)能夠完全滿足網(wǎng)絡(luò)內(nèi)各項(xiàng)業(yè)務(wù)對處理能力的要求，且便于維護(hù)與管理。網(wǎng)絡(luò)和主機(jī)應(yīng)支持符合國際和業(yè)界標(biāo)準(zhǔn)的相關(guān)結(jié)構(gòu)，能夠與相關(guān)系統(tǒng)和網(wǎng)絡(luò)可靠互聯(lián)；系統(tǒng)軟硬件平臺應(yīng)具有良好的移植能力；應(yīng)選擇廣泛應(yīng)用的標(biāo)準(zhǔn)協(xié)議，支持局域網(wǎng)內(nèi)部的其它協(xié)議。2.3.1 網(wǎng)絡(luò)系統(tǒng)技術(shù)要求網(wǎng)絡(luò)設(shè)備應(yīng)盡量選用同一廠家提供的，彼此之間匹配完全一致的產(chǎn)品。提供與設(shè)備選型相應(yīng)的網(wǎng)管軟件，具有網(wǎng)絡(luò)配置、管理、監(jiān)控、故障排除等方面的功能。(1) 核心交換機(jī)1 核心交換機(jī)負(fù)責(zé)連接所有的接入層交換機(jī)、防火墻、服務(wù)器；2 支持廣泛的接口類型和密度；3 提供強(qiáng)大的VLAN支持能力；4 要支持第二層或第三層的IP Multicast協(xié)議；5 要支持第二層或第三層的QoS協(xié)議；6 提供第二層或第三層的網(wǎng)絡(luò)安全控制能力。(2) 接入交換機(jī)提供相應(yīng)數(shù)量的接入交換機(jī)，安裝在院區(qū)各樓相應(yīng)樓層內(nèi)。接入交換機(jī)提供光纖接口，通過光纖與匯聚交換機(jī)相連。網(wǎng)絡(luò)技術(shù)選型3 網(wǎng)絡(luò)技術(shù)選型3.1 路由協(xié)議OSPF在網(wǎng)絡(luò)骨干核心層和核心層以及匯聚層上需要使用三層設(shè)備為網(wǎng)絡(luò)內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同VLAN間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時(shí)，我們采用OSPF協(xié)議作為路由協(xié)議。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個(gè)網(wǎng)絡(luò)的鏈路信息，從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，獨(dú)立計(jì)算路由。因?yàn)镽IP路由協(xié)議不能服務(wù)于大型網(wǎng)絡(luò)，所以，IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議OSPF。目前廣為使用的是OSPF第二版。OSPF作為一種內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol，IGP），用于在同一個(gè)自治域（AS）中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議(RIP)，OSPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn)，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。3.2 端口安全與認(rèn)證（基于802.1X）(1) 端口安全交換設(shè)備定義了對端口保護(hù)的功能，我們能定義允許的最大MAC地址訪問數(shù)，或者靜態(tài)的定義特定的MAC地址。(2) 基于802.1x的端口認(rèn)證基于端口的認(rèn)證就是將AAA認(rèn)證與端口保護(hù)相結(jié)合，默認(rèn)情況下。一個(gè)支持802.1x的交換機(jī)端口處于未授權(quán)狀態(tài)，除了和802.1x有關(guān)的數(shù)據(jù)，其他數(shù)據(jù)都不能通過該端口，只有客戶的交換機(jī)創(chuàng)建了一個(gè)802.1x的會話，客戶被授權(quán)訪問EAPOL：Extensible Authentication Protocol OVER LAN局域網(wǎng)上的可擴(kuò)展身份認(rèn)證。在端口處于未授權(quán)狀態(tài)下，客戶端只能使用EAPOL與交換機(jī)通信。3.3 VRRP（虛擬路由冗余協(xié)議）原理VRRP給路由器組提供了一個(gè)冗余網(wǎng)關(guān)地址，它是一種容錯(cuò)協(xié)議，通過定義不同的組，不同優(yōu)先級的路由器，它保證網(wǎng)絡(luò)的主路由器失效時(shí)，可以及時(shí)的由備分來實(shí)現(xiàn)路由器來替代，從而保持通訊的連續(xù)性和可靠性。并可以在該協(xié)議上實(shí)現(xiàn)負(fù)載均衡等高級交換特性。VRRP技術(shù)的實(shí)現(xiàn)：匯聚到核心冗余連接及VRRP的實(shí)現(xiàn)通過VRRP技術(shù)將多個(gè)設(shè)備虛擬成為一臺邏輯設(shè)備，實(shí)現(xiàn)匯聚/接入鏈路冗余。3.4 MSTP（多生成樹協(xié)議）原理RSTP協(xié)議完全向下兼容802.1D STP協(xié)議，除了和傳統(tǒng)的STP協(xié)議一樣具有避免回路、提供冗余鏈路的功能外，最主要的特點(diǎn)就是“快”。如果一個(gè)局域網(wǎng)內(nèi)的網(wǎng)橋都支持RSTP協(xié)議且管理員配置得當(dāng)，一旦網(wǎng)絡(luò)拓樸改變而 要重新生成拓樸樹只需要不超過1秒的時(shí)間（傳統(tǒng)的STP需要大約50秒）。本交換機(jī)支持MSTP，MSTP是在傳統(tǒng)的STP、RSTP的基礎(chǔ)上發(fā)展而來的新的生成樹協(xié)議，本身就包含了RSTP的快速FORWARDING機(jī)制。由于傳統(tǒng)的生成樹協(xié)議與VLAN沒有任何聯(lián)系，因此在特定網(wǎng)絡(luò)拓?fù)湎戮蜁a(chǎn)生很多問題：當(dāng)交換機(jī)A、B在VLAN1內(nèi)，交換機(jī)C、D在VLAN2內(nèi)，然后連成環(huán)路。描述的拓?fù)鋱D如下，見圖3-1。圖3-1描述的拓?fù)鋱D 在某種情況的配置下，會造成把交換機(jī)A和B間的鏈路給DISCARDING由于交換機(jī)C、D不包含VLAN1，無法轉(zhuǎn)發(fā)VLAN1的數(shù)據(jù)包，這樣交換機(jī)A的VLAN1就無法與交換機(jī)B的VLAN1進(jìn)行通訊。在網(wǎng)絡(luò)末梢，連接到單個(gè)工作站的時(shí)候，是不可能形成橋接環(huán)路的。在接口上啟用了PORTFAST特性，可以使交換機(jī)端口立即變?yōu)檗D(zhuǎn)發(fā)狀態(tài)，提高了網(wǎng)絡(luò)的響應(yīng)速度及收斂時(shí)間?；赗STP的交換機(jī)高級特性UPLINKFAST在網(wǎng)絡(luò)中的應(yīng)用?？紤]到有冗余上行連接的網(wǎng)絡(luò)，使用冗余連接到上層交換機(jī)，通常情況下一個(gè)上行連接處于轉(zhuǎn)發(fā)狀態(tài)，另一個(gè)處于阻塞狀態(tài)，如果主上行連接斷開，在使用冗余連接之前所經(jīng)歷的時(shí)間高達(dá)50S。在使用UPLINKFAS之后，使的具有冗余上行連接的交換機(jī)具有根端口失效時(shí)，另一個(gè)阻塞的上行連接能夠立即使用，這個(gè)時(shí)間大大縮小到1-5S之間，在企業(yè)網(wǎng)的特殊環(huán)境之下，能大大增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性，加快網(wǎng)絡(luò)收斂。3.5 NAT的描述及策略路由的實(shí)現(xiàn)在組建網(wǎng)絡(luò)時(shí)，為了節(jié)約地址，我們在內(nèi)部使用保留的私有地址段中的地址，但是使用私有地址不能訪問Internet,所以必須申請多個(gè)公開地址配置在和Internet相連的局域網(wǎng)邊緣設(shè)備上，應(yīng)用NAT進(jìn)行地址轉(zhuǎn)換。NAT是網(wǎng)絡(luò)地址翻譯技術(shù)，在路由器上起用NAT之后，可以在部私有地址和外部公網(wǎng)地址之間做轉(zhuǎn)換。比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的IP翻譯成外部公網(wǎng)的IP。配置基于策略的路由選擇時(shí)，可使用路由映射表來指定基于IP地址，應(yīng)用程序，協(xié)議或者分組長度的條件。基于策略的路由選擇命令對中選的路由實(shí)現(xiàn)策略?；诓呗缘穆酚珊挽o態(tài)路由有很多共同之處。然而，靜態(tài)路由根據(jù)目標(biāo)網(wǎng)絡(luò)地址來轉(zhuǎn)換分組，而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組。在路由選擇表中使用訪問列表時(shí)，可根據(jù)諸如目標(biāo)地址，分組長度，IP協(xié)議字段，優(yōu)先級或端口號來轉(zhuǎn)發(fā)數(shù)據(jù)流。這樣可以指定范圍更廣泛，更細(xì)致的條件，并根據(jù)這些條件來決定下一路由器。3.6 ACL(訪問控制列表)訪問列表為我們提供了一種對網(wǎng)絡(luò)訪問進(jìn)行有效管理的方法，通過訪問列表，我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器，或者允許或者拒絕具體的某些端口進(jìn)行訪問和使用，如果滿足條件則執(zhí)行相應(yīng)的操作，放行這個(gè)包或者放棄這個(gè)包。我們通過這些設(shè)置來滿足實(shí)際網(wǎng)絡(luò)的靈活需求，從而達(dá)到設(shè)置網(wǎng)絡(luò)安全策略，防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問的情況。在具體實(shí)現(xiàn)過程中從技術(shù)上來說我們需要了解到ACL分為兩種類型,他們分別是標(biāo)準(zhǔn)訪問列表(Standard access lists)和擴(kuò)展訪問列表（Extends access lists）前者在過濾網(wǎng)絡(luò)的時(shí)候只使用IP數(shù)據(jù)報(bào)的源地址，那么在使用這種訪問列表的情況下它做出允許或者拒絕這個(gè)決定完全是依賴于源IP地址，它無法區(qū)分具體的流量類型。而擴(kuò)展訪問列表則可以提供更細(xì)的決定，它可以具體到端口，從而精確到某一個(gè)服務(wù)，比如對WEB,FTP的訪問等，給我們網(wǎng)絡(luò)的策略提供了更細(xì)的控制手段。我們利用這種訪問列表進(jìn)行協(xié)議級的控制以達(dá)到對網(wǎng)絡(luò)一個(gè)有效的管理。標(biāo)準(zhǔn)訪問控制列表一般放在靠近目標(biāo)的路由器上,而擴(kuò)展訪問控制列表一般放于近源端的路由器上。3.7 鏈路聚合EC(Ethernet Channel)以太網(wǎng)信道鏈路聚合可以讓交換機(jī)之間和交換機(jī)與服務(wù)器之間的鏈路帶寬有非常好的伸縮性，比如可以把2個(gè)、3個(gè)、4個(gè)千兆的鏈路綁定在一起，使鏈路的帶寬成倍增長。鏈路聚合技術(shù)可以實(shí)現(xiàn)不同端口的負(fù)載均衡，同時(shí)也能夠互為備份，保證鏈路的冗余性。在這些千兆以太網(wǎng)交換機(jī)中，最多可以支持4組鏈路聚合，每組中最大4個(gè)端口。鏈路聚合一般是不允許跨芯片設(shè)置的。生成樹協(xié)議和鏈路聚合都可以保證一個(gè)網(wǎng)絡(luò)的冗余性。在一個(gè)網(wǎng)絡(luò)中設(shè)置冗余鏈路，并用生成樹協(xié)議讓備份鏈路阻塞，在邏輯上不形成環(huán)路。而一旦出現(xiàn)故障，啟用備份鏈路。3.8 VLAN(虛擬局域網(wǎng))VLAN虛擬局域網(wǎng)是一種在二層設(shè)備上隔離和劃分廣播域的技術(shù)，通過這種劃分，我們可以把物理位置上分離的網(wǎng)絡(luò)設(shè)備在邏輯上劃為同一個(gè)廣播域，或者把物理位置上鄰近的網(wǎng)絡(luò)設(shè)備劃為不同的廣播域，從而更方便我們管理和做一個(gè)邏輯層次的劃分。從技術(shù)上說VLAN可以分為靜態(tài)VLAN和動(dòng)態(tài)VLAN,那么靜態(tài)的VLAN是基于交換機(jī)端口進(jìn)行劃分，根據(jù)網(wǎng)絡(luò)設(shè)備連接不同的交換機(jī)端口，則進(jìn)入相應(yīng)VLAN。動(dòng)態(tài)VLAN則更靈活，它可以根據(jù)接入計(jì)算機(jī)的IP地址，MAC地址，甚至是用戶的登陸賬號做出相應(yīng)的處理，把計(jì)算機(jī)劃分進(jìn)相應(yīng)的VLAN中，這樣就為我們實(shí)際的網(wǎng)絡(luò)管理帶來了比較大的方便性和靈活性。那么在我們的企業(yè)網(wǎng)方案中，我們希望通過使用VLAN技術(shù)進(jìn)行劃分達(dá)到以下目的：隔離，劃分廣播域，減小不必要的廣播流量，從而提高整個(gè)網(wǎng)絡(luò)的利用效率。網(wǎng)絡(luò)設(shè)計(jì)原則4 網(wǎng)絡(luò)設(shè)計(jì)原則采用先進(jìn)成熟的技術(shù)和設(shè)計(jì)思想，運(yùn)用先進(jìn)的集成技術(shù)路線，以先進(jìn)、實(shí)用、可靠、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實(shí)用性，盡快投入使用，發(fā)揮較好的效能。4.1 網(wǎng)絡(luò)資源的實(shí)用性網(wǎng)絡(luò)建設(shè)的實(shí)用性是網(wǎng)絡(luò)建設(shè)的根本，在此基礎(chǔ)上考慮網(wǎng)絡(luò)的可靠性、可擴(kuò)展性、安全性以及可管理性。網(wǎng)絡(luò)的實(shí)用性主要體現(xiàn)在網(wǎng)絡(luò)的性能上，網(wǎng)絡(luò)的性能是由應(yīng)用系統(tǒng)的數(shù)據(jù)流量分布、網(wǎng)絡(luò)設(shè)備性能及廣域網(wǎng)鏈路帶寬綜合決定的。對應(yīng)用系統(tǒng)的認(rèn)真分析是網(wǎng)絡(luò)設(shè)備選型以及廣域網(wǎng)鏈路帶寬選擇的基礎(chǔ)。在一定的網(wǎng)絡(luò)資源條件下，可利用各種技術(shù)實(shí)施對于關(guān)鍵的網(wǎng)絡(luò)應(yīng)用的保障。如通過先進(jìn)的隊(duì)列機(jī)制進(jìn)行擁塞控制，對不同等級的數(shù)據(jù)進(jìn)行不同的處理，包括時(shí)延的不同和丟包率的不同；采用具備先期擁塞控制機(jī)制的網(wǎng)絡(luò)設(shè)備，當(dāng)網(wǎng)絡(luò)出現(xiàn)真正的擁塞前就自動(dòng)采取適當(dāng)?shù)拇胧?，進(jìn)行先期擁塞控制，避免瞬間大量的丟包現(xiàn)象；對非常重要的特殊應(yīng)用，應(yīng)可以采用保留帶寬資源的方式保證其QoS。4.2 網(wǎng)絡(luò)的可靠性網(wǎng)絡(luò)的可靠性既是保證網(wǎng)絡(luò)的正常運(yùn)行，不因網(wǎng)絡(luò)的故障或變化引起網(wǎng)絡(luò)的瞬間質(zhì)量惡化。網(wǎng)絡(luò)作為數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心，應(yīng)充分考慮可靠性。 網(wǎng)絡(luò)的可靠性通過冗余技術(shù)實(shí)現(xiàn)，包括電源冗余、處理器冗余、模塊冗余、設(shè)備冗余、鏈路冗余等技術(shù)。模塊冗余考慮網(wǎng)絡(luò)匯接點(diǎn)的主干設(shè)備和核心設(shè)備的所有關(guān)鍵模塊和環(huán)境部件應(yīng)具備1+1或1：N熱備份的功能，所有模塊具備熱插拔的功能，當(dāng)某一關(guān)鍵模塊出現(xiàn)故障時(shí)，可由備份模塊接替其功能。4.3 網(wǎng)絡(luò)的擴(kuò)展性從網(wǎng)絡(luò)的發(fā)展趨勢來看，用戶數(shù)量以及應(yīng)用系統(tǒng)的膨脹是必然的趨勢，網(wǎng)絡(luò)系統(tǒng)面臨數(shù)據(jù)流量增大的壓力，同時(shí)網(wǎng)絡(luò)高新技術(shù)在網(wǎng)絡(luò)中不斷被應(yīng)用，在設(shè)計(jì)網(wǎng)絡(luò)時(shí)應(yīng)充分考慮系統(tǒng)的可升級性，從而保護(hù)網(wǎng)絡(luò)系統(tǒng)投資。網(wǎng)絡(luò)的可升級能力包括設(shè)備交換容量的可升級能力、端口數(shù)量的可升級能力、主干帶寬的可升級能力，網(wǎng)絡(luò)新技術(shù)平滑過渡的可升級能力，以及網(wǎng)絡(luò)規(guī)模的可升級能力。交換容量擴(kuò)展應(yīng)具備在現(xiàn)有基礎(chǔ)上繼續(xù)擴(kuò)充2-4倍容量的能力，以適應(yīng)IP類業(yè)務(wù)急速膨脹的需求。設(shè)備的選型應(yīng)充分考慮包轉(zhuǎn)發(fā)能力以及數(shù)據(jù)交換能力。端口密度擴(kuò)展需要認(rèn)真分析用戶和應(yīng)用系統(tǒng)的升級可能性，在具備升級可能性的信息節(jié)點(diǎn)配置高可升級性的網(wǎng)絡(luò)設(shè)備，滿足網(wǎng)絡(luò)擴(kuò)容時(shí)對用戶接入以及系統(tǒng)互聯(lián)的需要。主干設(shè)備應(yīng)具備豐富的的接口種類，具備向后延展性，可支持萬兆以太網(wǎng)是發(fā)展的必然方向，以適應(yīng)IP類應(yīng)用及業(yè)務(wù)急速膨脹的需求。網(wǎng)絡(luò)規(guī)模擴(kuò)展需綜合考慮網(wǎng)絡(luò)體系結(jié)構(gòu)、路由協(xié)議的規(guī)劃和設(shè)備的CPU路由處理能力，應(yīng)能滿足網(wǎng)絡(luò)升級時(shí)對用戶接入以及數(shù)據(jù)流量變化或增大時(shí)處理能力的需要。4.4 網(wǎng)絡(luò)的安全性網(wǎng)絡(luò)的發(fā)展趨勢是基于Internet Web技術(shù)的開放網(wǎng)絡(luò)化系統(tǒng)。這不僅帶來了新的巨大的使用方便，同時(shí)也帶來了不斷增加的復(fù)雜應(yīng)用及信息技術(shù)的挑戰(zhàn)，因而安全是網(wǎng)絡(luò)建設(shè)中要考慮的一個(gè)關(guān)鍵因素。網(wǎng)絡(luò)安全在內(nèi)容上主要應(yīng)考慮以下幾個(gè)方面：(1) 身份鑒別與授權(quán)：身份包括鑒別和授權(quán)。鑒別回答了“你是誰”和“你在哪？”這兩個(gè)問題，授權(quán)回答“你可以訪問什么”。必須對身份機(jī)制謹(jǐn)慎部署，因?yàn)槿绻O(shè)施難以使用，即便是最嚴(yán)謹(jǐn)?shù)陌踩呗砸灿锌赡鼙槐荛_。(2) 邊界安全：邊界安全涉及到防火墻種類的功能，決定網(wǎng)絡(luò)的不同區(qū)域允許或拒絕何種業(yè)務(wù)，特別是在Internet和園區(qū)網(wǎng)之間或撥入網(wǎng)和園區(qū)網(wǎng)之間。(3) 數(shù)據(jù)的保密性和完整性：數(shù)據(jù)的保密性指確保只有獲準(zhǔn)能夠閱讀數(shù)據(jù)的實(shí)體以有效的形式閱讀數(shù)據(jù)，而數(shù)據(jù)完整性指確保數(shù)據(jù)在傳輸過程中未被改動(dòng)。(4) 安全監(jiān)測：為檢驗(yàn)安全基礎(chǔ)設(shè)施的有效性，應(yīng)經(jīng)常進(jìn)行定期的安全審查，包括新系統(tǒng)安裝檢查，發(fā)現(xiàn)惡意入侵行為的措施，可能的特殊問題(拒絕業(yè)務(wù)攻擊)以及對安全策略的全面遵守等方面。(5) 策略管理：由于網(wǎng)絡(luò)安全涉及到以上的多個(gè)方面，每一個(gè)方面都使用了多種產(chǎn)品和技術(shù)，對這些產(chǎn)品進(jìn)行集中有效的管理可以幫助網(wǎng)絡(luò)管理者有效地部署和更新自己的安全策略。(6) 其他基于網(wǎng)絡(luò)安全技術(shù)的策略：比如利用硬件ACL技術(shù)，線速地對網(wǎng)絡(luò)內(nèi)部常見漏洞端口的封閉，對已知網(wǎng)絡(luò)病毒傳播的抑制。4.5 網(wǎng)絡(luò)的可管理性隨著網(wǎng)絡(luò)中設(shè)備逐漸增多，網(wǎng)絡(luò)技術(shù)日趨復(fù)雜，網(wǎng)絡(luò)管理的重要性越來越明顯網(wǎng)絡(luò)的復(fù)雜導(dǎo)致系統(tǒng)運(yùn)行的不確定因素增加，可靠性降低，“宕機(jī)”時(shí)間變長且?guī)淼膿p失越來越大，而往往由于平時(shí)對網(wǎng)管的忽略，缺乏受過專業(yè)培訓(xùn)的網(wǎng)絡(luò)管理人員，也缺乏綜合的網(wǎng)管解決方案，因而發(fā)生問題時(shí)無從下手，這才意識到網(wǎng)管的重要。作為一套考慮完善、可靠性要求極高的系統(tǒng)，當(dāng)然不希望有“亡羊補(bǔ)牢”的情況發(fā)生，因此網(wǎng)絡(luò)管理是網(wǎng)絡(luò)設(shè)計(jì)必不可少的考慮因素之一，從設(shè)備本身操作系統(tǒng)所具備的一些網(wǎng)管功能，到簡單的網(wǎng)絡(luò)管理工具，甚而功能強(qiáng)大的大型管理系統(tǒng)，用戶可根據(jù)自身的實(shí)際網(wǎng)絡(luò)應(yīng)用和資金安排，循序漸進(jìn)，逐步實(shí)現(xiàn)全面網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)從承載單一的數(shù)據(jù)到多種不同的應(yīng)用，如何合理利用帶寬資源，保障關(guān)鍵性業(yè)務(wù)QoS等管理要求成為網(wǎng)絡(luò)規(guī)劃管理人員不能回避的問題，網(wǎng)絡(luò)管理系統(tǒng)必須提供有效的性能監(jiān)控與流量收集分析的網(wǎng)絡(luò)工具幫助網(wǎng)絡(luò)管理人員優(yōu)化網(wǎng)絡(luò)性能，準(zhǔn)確地進(jìn)行網(wǎng)絡(luò)規(guī)劃。多種業(yè)務(wù)的集成要求勢必帶來網(wǎng)絡(luò)硬件環(huán)境的變化。從單一的路由器與交換機(jī)的互連到集合了路由器，交換機(jī)，IP PHONE，語音網(wǎng)關(guān)，視頻設(shè)備等多樣設(shè)備的互連，設(shè)備管理和配置的直觀性，靈活性對網(wǎng)絡(luò)管理的效率至關(guān)重要。方案涉及產(chǎn)品介紹5 方案涉及產(chǎn)品介紹5.1 主要設(shè)備選型神州數(shù)碼（中國）有限公司具有業(yè)界最長最豐富的交換機(jī)產(chǎn)品線，其中新一代的大容量萬兆核心交換機(jī)DCRS-7600系列，可以提供豐富的IPv6實(shí)現(xiàn)技術(shù)，出色的體系結(jié)構(gòu)，完整的攻擊和病毒防范功能線速萬兆和節(jié)能技術(shù)。而DCRS-6800系列可以提供大容量無阻塞的高性能業(yè)務(wù)交換，具備不斷擴(kuò)展和升級的能力；提供大容量的二、三層線速交換，提供多種豐富的業(yè)務(wù)板卡，不斷滿足客戶對網(wǎng)絡(luò)的需求，并極大的保護(hù)用戶的投資。智能接入的DCS-4500-24T交換機(jī)，支持豐富的協(xié)議類型，用戶行為的管理控制、安全可靠，充分滿足客戶對網(wǎng)絡(luò)易管理、高性能、多業(yè)務(wù)承載的需求。5.2 DCRS-7608 IPv6萬兆核心交換機(jī)圖5-1 DCRS-7608 IPv6萬兆核心交換機(jī)5.2.1產(chǎn)品概述神州數(shù)碼DCRS-7608，豐富的IPv6實(shí)現(xiàn)技術(shù)，出色的體系結(jié)構(gòu)，完整的攻擊和病毒防范功能，穩(wěn)定的核心保障機(jī)制，智能靈活的性能資源調(diào)度機(jī)制Flex Resource，便捷安全的網(wǎng)絡(luò)管理，運(yùn)營商級的可靠性，線速萬兆和節(jié)能技術(shù)。5.2.2產(chǎn)品特性(1) 豐富的業(yè)務(wù)支持支持全線速的MPLS VPN業(yè)務(wù)：DCRS-7600系列支持全面的LDP功能和BGP/MPLS VPN功能的同時(shí)，還支。持MPLS VPN訪問公網(wǎng)功能，實(shí)現(xiàn)專網(wǎng)通信的同時(shí)，可以無阻隔地訪問公網(wǎng)，保障了業(yè)務(wù)的多樣性，可同時(shí)作為PE路由器、P路由器，還可根據(jù)需要支持版本升級擴(kuò)展功能。支持領(lǐng)先的IPv6業(yè)務(wù)：DCRS-7600系列支持豐富的IPv6實(shí)現(xiàn)技術(shù)，完全基于ASIC的分布式全線速硬件方式進(jìn)行轉(zhuǎn)發(fā)，能夠滿足高性能的IPv6應(yīng)用。分布式硬件IPv6轉(zhuǎn)發(fā)方式，可以在本地實(shí)現(xiàn)IPv6報(bào)文的處理，并可在接口模塊內(nèi)部及模塊與背板間實(shí)現(xiàn)IPv6報(bào)文的線速轉(zhuǎn)發(fā)，避免了集中式轉(zhuǎn)發(fā)、NP轉(zhuǎn)發(fā)等模式存在的瓶頸和時(shí)延問題；同時(shí)，作為國內(nèi)和國際最先通過IPv6 Ready第二階段增強(qiáng)版認(rèn)證和IPv6 Ready Dhcpv6認(rèn)證的路由交換機(jī)，新增加了更安全的鄰居發(fā)現(xiàn)（ND）信息、認(rèn)證封裝安全負(fù)載、避免了受到路由頭RH0攻擊的影響、避免了使用IPv6任播地址的限制、完善了無狀態(tài)地址分配的協(xié)議交互過程，為IPv6能真正在大規(guī)模商用環(huán)境中應(yīng)用提供了安全方面的保障。支持強(qiáng)大復(fù)雜的組播業(yè)務(wù)：DCRS-7600系列支持強(qiáng)大的組播實(shí)現(xiàn)技術(shù)，不僅支持IPv4組播，還支持領(lǐng)先的IPv6組播，完全基于ASIC的分布式全線速硬件方式進(jìn)行IPv4/IPv6組播轉(zhuǎn)發(fā)，能夠滿足高性能的多媒體應(yīng)用。在IPv4方面，提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等為主，配以MSDP、anycast-RP、靜態(tài)組播路由、邊界組播、Multcast VLAN、IGMP Proxy、IGMP Snooping等為輔的多套IPv4組播解決方案；在神州數(shù)碼網(wǎng)絡(luò)的傳統(tǒng)強(qiáng)項(xiàng)IPv6方面，提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2為主，配以IPv6 anycast(泛播)-RP、IPv6靜態(tài)組播路由、IPv6邊界組播、IPv6 Multcast VLAN、IPv6組播隧道等為輔的多套IPv6組播解決方案，滿足了業(yè)務(wù)復(fù)雜的電信級IPv4/IPv6組播業(yè)務(wù)需求。(2) 出色的體系結(jié)構(gòu)DCRS-7608提供了10個(gè)插槽，DCRS-7604提供了4個(gè)插槽，同時(shí)DCRS-7604管理引擎模塊支持高密度千兆端口，業(yè)界獨(dú)特，極大地保護(hù)了用戶的投資。 DCRS-7600系列產(chǎn)品采用全分布式體系結(jié)構(gòu)設(shè)計(jì)，采用功能強(qiáng)大的ASIC芯片進(jìn)行高速路由查找，采用最長匹配、逐包轉(zhuǎn)發(fā)的方式進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，從而大大提升了路由交換機(jī)的轉(zhuǎn)發(fā)性能和擴(kuò)充能力。(3) 完整的攻擊和病毒防范功能DCRS-7600系列具有多層的IPv4和IPv6安全防范設(shè)計(jì)，堪稱業(yè)界最全面，極有效地保障了超大規(guī)模、多業(yè)務(wù)、復(fù)雜流量訪問網(wǎng)絡(luò)的安全穩(wěn)定性：1 S-MAC技術(shù)可有效地基于MAC層防范各種攻擊；2 S-ARP (安全ARP) 技術(shù)可有效防止ARP的各種攻擊和欺騙；3 S-NDP (安全NDP) 技術(shù)可有效防止IPv6 NDP的各種攻擊和欺騙；4 S-ICMP（安全I(xiàn)CMP）技術(shù)可有效防止PING-DOS攻擊，靈活防止黑客利用ICMP；5 Unreachable攻擊第三方的行為；6 BPDU-GUARD技術(shù)可有效防止非法BPDU報(bào)文的攻擊；7 IPv4 DHCP Snooping/IPv6 DHCP Snooping技術(shù)可有效防止DHCP報(bào)文的攻擊；8 IPv4 URPF/IPv6 URPF技術(shù)可有效防止基于源IPv4地址IPv6欺騙的網(wǎng)絡(luò)攻擊；9 IPv4/IPv6 DCSCM可有效防止組播源和組播客戶端的攻擊；10 黑洞路由技術(shù)可有效防止路由環(huán)路、路由黑洞。(4) DCRS-7600系列的諸多設(shè)計(jì)可充分保障核心穩(wěn)定1 交換引擎CPU核心保護(hù)：可有效防止各類非法協(xié)議攻擊導(dǎo)致核心設(shè)備交換引擎癱瘓；2 關(guān)鍵協(xié)議綠色通道功能：可保障正常、合法、速度合理的關(guān)鍵控制報(bào)文（VRRP、STP、MSTP、RIP、OSPF、BGP、組播協(xié)議、雙引擎板間心跳等）在大流量業(yè)務(wù)下不被淹沒，快速處理不中斷；3 先進(jìn)的FLASH ECC的自動(dòng)糾錯(cuò)：避免了版本升級過程中出錯(cuò)的可能性；4 先進(jìn)的內(nèi)存ECC的自動(dòng)糾錯(cuò)：保障了設(shè)備運(yùn)行的穩(wěn)定性。(5) 智能靈活的性能資源調(diào)度機(jī)制Flex Resource影響交換機(jī)性能的因素有很多：CPU、內(nèi)存、MAC表、IP地址表、路由表、ACL表等等。這些資源都是有代價(jià)的，它們是交換機(jī)成本的重要組成部分。所以說，能不能在有限的成本范圍內(nèi)，最大限度地提高交換機(jī)資源的利用率，就成為提升性能的有效之道！針對這個(gè)用戶需求，神州數(shù)碼網(wǎng)絡(luò)的Flex-Resource（柔性資源調(diào)度）可利用多項(xiàng)技術(shù)，動(dòng)態(tài)調(diào)整、回收和再分配交換機(jī)資源,從而成倍地提高了核心交換機(jī)資源的利用率，支撐起更大規(guī)模的網(wǎng)絡(luò)。Flex-Resource目前支持Flex-LPM,Flex-L3,Flex-ARP等細(xì)分技術(shù)。(6) 便捷安全的網(wǎng)絡(luò)管理優(yōu)秀的網(wǎng)絡(luò)設(shè)備除了強(qiáng)大的性能和功能外還應(yīng)具備完善的管理功能。DCRS-7600系列具有豐富的監(jiān)測網(wǎng)管功能，可實(shí)現(xiàn)任務(wù)異常、內(nèi)存異常、交換芯片異常、CPU利用率、堆棧異常等方面的監(jiān)測，而SYSLOG功能可方便地記錄事件，便于事后查找和定位。DCRS-7600系列具備便捷安全的配置管理手段，支持標(biāo)準(zhǔn)SSH、SNMP v1/v2c/v3；Security IP功能可拒絕非法配置員，只有從合法的IP才能對交換機(jī)進(jìn)行配置管理，防止非法用戶登陸交換機(jī)。(7) 運(yùn)營商級的可靠性DCRS-7600系列路由交換機(jī)對所有關(guān)鍵部件都采用了冗余備份的設(shè)計(jì)方案：電源冗余、管理模塊冗余、鏈路冗余等，并且DCRS-7600系列路由交換機(jī)的交流電源采取多路(2-3路)電網(wǎng)供電電源工作時(shí)負(fù)載均衡，大大提高了電源的穩(wěn)定和可靠。雙引擎HA技術(shù)，保證在主引擎出現(xiàn)故障時(shí)，備份引擎自動(dòng)接管交換機(jī)設(shè)備變成主引擎，從而保證交換機(jī)的穩(wěn)定可靠運(yùn)行。同時(shí)所有單板、電源模塊、風(fēng)扇盤等都支持熱插拔，提高了網(wǎng)絡(luò)運(yùn)行的連續(xù)性。(8) 線速萬兆和節(jié)能技術(shù)DCRS-7600系列交換機(jī)擁有著先進(jìn)的萬兆以太網(wǎng)支持，最高可提供Tbps級的交換容量和Mbps級的包轉(zhuǎn)發(fā)能力。在保持線速轉(zhuǎn)發(fā)性能的基礎(chǔ)上，支持各種高密度接口板，滿足核心層設(shè)備高密度、高吞吐量的要求，為城域和廣域的應(yīng)用提供了針對性的解決措施，可以簡化網(wǎng)絡(luò)結(jié)構(gòu)、降低網(wǎng)絡(luò)建設(shè)成本。DCRS-7600系列交換機(jī)還采取了最新的節(jié)能技術(shù)，擁有著業(yè)界同級別產(chǎn)品中最低的功耗，在當(dāng)前這個(gè)能源緊張的時(shí)代節(jié)能的意義可想而知。并且，低功率意味著低散熱，可讓長期運(yùn)行的核心網(wǎng)絡(luò)設(shè)備的系統(tǒng)穩(wěn)定性大大增強(qiáng)。5.3 CRS-6804萬兆核心路由交換機(jī)圖5-2 CRS-6804萬兆核心路由交換機(jī)5.3.1 產(chǎn)品概述DCRS-6804路由交換機(jī)為企業(yè)和電信網(wǎng)絡(luò)提供了優(yōu)秀的安全性、可靠性、業(yè)務(wù)多樣性和擴(kuò)展能力。DCRS-6804可作為中小型校園網(wǎng)、企業(yè)網(wǎng)的核心層設(shè)備或作為大型校園網(wǎng)、IP城域網(wǎng)的匯聚層設(shè)備，它們不僅能夠降低用戶構(gòu)建下一代網(wǎng)絡(luò)的復(fù)雜性，而且提供了很好的投資保護(hù)。DCRS-6804路由交換機(jī)率先通過最為苛刻的國際IPv6 Ready第二階段增強(qiáng)版認(rèn)證，神州數(shù)碼網(wǎng)絡(luò)是國內(nèi)第一家通過該認(rèn)證的廠商。同時(shí)DCRS-6804路由交換機(jī)通過IPv6 Ready Dhcpv6認(rèn)證，神州數(shù)碼是全球第一家通過該認(rèn)證的廠商。借助芯片級的轉(zhuǎn)發(fā)能力和多樣化的業(yè)務(wù)支持，以及較高的性價(jià)比，DCRS-6804成為企業(yè)級網(wǎng)絡(luò)和電信城域匯聚層部署IPv6的最佳解決方案的一部分。該系列目前包括DCRS-6804, DCRS-6808等交換機(jī)。DCRS-6808提供10個(gè)槽位，具備強(qiáng)大的交換容量和轉(zhuǎn)發(fā)能力，可全線速地進(jìn)行L2/L3數(shù)據(jù)轉(zhuǎn)發(fā)，能夠滿足用戶對于網(wǎng)絡(luò)規(guī)模的擴(kuò)展要求。DCRS-6804提供了4個(gè)插槽，其管理模塊均帶有業(yè)務(wù)接口。DCRS-6804L是一種高性價(jià)比的組合：在配予專用電源模塊之后，利用L型專用管理模塊，DCRS-6804L則成為一臺滿足中小型網(wǎng)絡(luò)核心需求的高性價(jià)比機(jī)箱交換機(jī)。DCRS-6804交換機(jī)的管理模塊、電源模塊支持冗余備份和負(fù)載均衡，板卡、電源、風(fēng)扇均支持熱插拔，為DCRS-6804提供了電信運(yùn)營商級的可靠性。5.3.2 產(chǎn)品特性(1) 豐富的業(yè)務(wù)支持1 支持全線速的MPLS VPN業(yè)務(wù)；DCRS-6800系列支持全面的LDP功能和BGP/MPLS VPN功能的同時(shí)，還支持MPLS VPN訪問公網(wǎng)功能，實(shí)現(xiàn)專網(wǎng)通信的同時(shí)，可以無阻隔地訪問公網(wǎng)，保障了業(yè)務(wù)的多樣性，可同時(shí)作為PE、P，還可根據(jù)需要支持版本升級擴(kuò)展功能，極大地保護(hù)了用戶的投資。2 支持領(lǐng)先的IPv6業(yè)務(wù)；DCRS-6800系列支持豐富的IPv6實(shí)現(xiàn)技術(shù)，完全基于ASIC的分布式全線速硬件方式進(jìn)行轉(zhuǎn)發(fā)，能夠滿足高性能的IPv6應(yīng)用。分布式硬件IPv6轉(zhuǎn)發(fā)方式，可以在本地實(shí)現(xiàn)IPv6報(bào)文的處理，并可在接口模塊內(nèi)部及模塊與背板間實(shí)現(xiàn)IPv6報(bào)文的線速轉(zhuǎn)發(fā)，避免了集中式轉(zhuǎn)發(fā)、NP轉(zhuǎn)發(fā)等模式存在的瓶頸和時(shí)延問題；同時(shí)，作為國內(nèi)和國際最先通過IPv6 Ready第二階段增強(qiáng)版認(rèn)證和IPv6 Ready Dhcpv6認(rèn)證的路由交換機(jī)，新增加了更安全的鄰居發(fā)現(xiàn)（ND）信息、認(rèn)證封裝安全負(fù)載、避免了受到路由頭RH0攻擊的影響、避免了使用IPv6任播地址的限制、完善了無狀態(tài)地址分配的協(xié)議交互過程，為IPv6能真正在大規(guī)模商用環(huán)境中應(yīng)用提供了安全方面的保障。3 支持強(qiáng)大復(fù)雜的組播業(yè)務(wù)。DCRS-6800系列支持強(qiáng)大的組播實(shí)現(xiàn)技術(shù)，不僅支持IPv4組播，還支持領(lǐng)先的IPv6組播，完全基于ASIC的分布式全線速硬件方式進(jìn)行IPv4/IPv6組播轉(zhuǎn)發(fā)，能夠滿足高性能的多媒體應(yīng)用。在IPv4方面，提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等為主，配以MSDP、anycast-RP、靜態(tài)組播路由、邊界組播、Multcast Vlan、IGMP Proxy、IGMP Snooping等為輔的多套IPv4組播解決方案；在神州數(shù)碼網(wǎng)絡(luò)的傳統(tǒng)強(qiáng)項(xiàng)IPv6方面，提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2為主，配以IPv6 anycast(泛播)-RP、IPv6靜態(tài)組播路由、IPv6邊界組播、IPv6 Multcast Vlan、IPv6組播隧道等為輔的多套IPv6組播解決方案，滿足了業(yè)務(wù)復(fù)雜的電信級IPv4/IPv6組播業(yè)務(wù)需求。(2) 運(yùn)營商級的可靠性為了滿足苛刻的運(yùn)營商級網(wǎng)絡(luò)對設(shè)備可靠性的要求，DCRS-6800系列交換機(jī)對所有關(guān)鍵部件都采用了冗余備份的設(shè)計(jì)方案，并且可隨時(shí)監(jiān)控各個(gè)部件的工作溫度并在出現(xiàn)溫度異常時(shí)自動(dòng)報(bào)警。(3) 強(qiáng)大的ACL功能支持標(biāo)準(zhǔn)和擴(kuò)展ACL，支持IP ACL、基于IP子網(wǎng)的ACL、MAC ACL、IP-MAC ACL，支持基于源/目的IP、三層IP協(xié)議類型、TCP/UDP四層端口號、IP優(yōu)先級、ToS，并且以上功能完全依靠硬件線速實(shí)現(xiàn)，不影響轉(zhuǎn)發(fā)性能。(4) 增強(qiáng)的安全特色1 全面的受控組播方案DCSCM，可以對源和目的進(jìn)行安全控制，完整實(shí)現(xiàn)了在接入層網(wǎng)絡(luò)中應(yīng)用了基于IGMP源端口和目的端口檢查技術(shù)，可完全限制合法組播在網(wǎng)絡(luò)中的穩(wěn)定傳輸，有效控制組播建立的整個(gè)過程，保障了正常合法的組播應(yīng)用的穩(wěn)定運(yùn)行。 2 支持ACL-X可基于時(shí)間段設(shè)置安全策略，安全設(shè)置隨時(shí)間而動(dòng)，在不同的時(shí)間段自動(dòng)切換為不同的策略；智能化流量控制，可基于ACL進(jìn)行流量分類，更加精細(xì)和貼近業(yè)務(wù)分類。 3 交換引擎CPU核心保護(hù)：可有效防止各類非法協(xié)議攻擊導(dǎo)致核心設(shè)備交換引擎癱瘓。 4 “關(guān)鍵協(xié)議綠色通道” 功能：可保障正常、合法、速度合理的關(guān)鍵控制報(bào)文（STP、MSTP、RIP、OSFP、BGP、組播協(xié)議、雙引擎板間心跳等）在大流量業(yè)務(wù)下不被淹沒，快速處理不中斷。5 先進(jìn)的LPM技術(shù)：可抵抗“沖擊波”病毒、“zero day”病毒、“SQL slammer warm”病毒等。6 端口信任模式：則可檢測非法DHCP Server等，只在信任端口才能接入這些設(shè)備，從而保障網(wǎng)絡(luò)的安全。7 智能靈活的性能資源調(diào)度機(jī)制Flex Resource。影響交換機(jī)性能的因素有很多：CPU、內(nèi)存、MAC表、IP地址表、路由表、ACL表等等。這些資源都是有代價(jià)的，它們是交換機(jī)成本的重要組成部分。所以說，能不能在有限的成本范圍內(nèi)，最大限度地提高交換機(jī)資源的利用率，就成為提升性能的有效之道！針對這個(gè)用戶需求，神州數(shù)碼網(wǎng)絡(luò)的Flex Resource（柔性資源調(diào)度）可利用多項(xiàng)技術(shù)，動(dòng)態(tài)調(diào)整、回收和再分配交換機(jī)資源,從而成倍地提高了核心交換機(jī)資源的利用率，支撐起更大規(guī)模的網(wǎng)絡(luò)。(5) 豐富靈活的QoSDCRS-6800系列交換機(jī)為每個(gè)端口提供了8個(gè)優(yōu)先級隊(duì)列，完全硬件實(shí)現(xiàn)，不影響性能。每端口8個(gè)隊(duì)列，支持基于802.1p、TOS、端口、DiffServ進(jìn)行流量分類還可以根據(jù)ACL-X的80個(gè)字節(jié)高層內(nèi)容進(jìn)行流量分類，同時(shí)支持WRR、SP、SWRR等隊(duì)列算法，還支持入口流量整形。為語音/數(shù)據(jù)/視頻在同一網(wǎng)絡(luò)中傳輸提供所要求的不同服務(wù)質(zhì)量。5.4 DCS-4500-26T智能安全接入交換機(jī)圖 5-3 DCS-4500-26T智能安全接入交換機(jī)5.4.1 產(chǎn)品概述DCS-4500-26T是千兆交換機(jī)，固化端口組合更加豐富，最大限度的滿足網(wǎng)絡(luò)流量擴(kuò)展及多媒體業(yè)務(wù)迅速增長的需要，提高投資的性價(jià)比。它支持豐富的協(xié)議命令，如基于流的mirror及數(shù)據(jù)統(tǒng)計(jì)、端口環(huán)路檢測、BPDU/Root Guard、Auto VLAN、Guest VLAN、Voice VLAN、支持最大32組LAG的端口聚合組數(shù)等等。這還是一款高安全性交換機(jī)，可全面防范ARP欺騙，具體可支持防ARP掃描、ARP Guard，同時(shí)還支持非法組播源檢測，基于芯片的防DOS攻擊等。DCS-4500-26T全面支持IPv6主機(jī)配置，具備SNMP v6、HTTP v6等，更靈活的適應(yīng)網(wǎng)絡(luò)環(huán)境的需要，可在IPv4、IPv6網(wǎng)絡(luò)部署中收放自如。同時(shí)在機(jī)器性能上，它支持接入SFP百兆光模塊，支持ECC糾錯(cuò)功能，具備集群批量升級功能，降低了用戶的投資及維護(hù)成本。DCS-4500-26T是千兆銅纜的接入，更大限度的釋放了帶寬，實(shí)現(xiàn)諸如電子政務(wù)應(yīng)急指揮系統(tǒng)、高校的遠(yuǎn)程視頻教學(xué)及視頻點(diǎn)播、網(wǎng)吧游戲系統(tǒng)、生產(chǎn)制造業(yè)的設(shè)計(jì)加工協(xié)助等的高效率運(yùn)轉(zhuǎn)。神州數(shù)碼網(wǎng)絡(luò)的DCS-4500-26T所具備的高密度端口組合、豐富的協(xié)議支持、全面的安全接入、靈活的網(wǎng)絡(luò)適應(yīng)、容易的網(wǎng)管及維護(hù)，是用戶千兆接入的理想選擇。5.4.2 主要特性(1) 高密度千兆端口組合DCS-3950系列交換機(jī)提供了3款不同端口組合的產(chǎn)品供用戶選擇：1 DCS-4500-26T提供了26個(gè)10/100/1000 Base-T以太網(wǎng)接口及4個(gè)固化1000Base-T SFP以太網(wǎng)接口（combo），同時(shí)千兆光口可支持百兆光的接入。2 DCS-4500-50T提供了50個(gè)10/100/1000 Base-T以太網(wǎng)接口及4個(gè)固化1000Base-T SFP以太網(wǎng)接口（combo），同時(shí)千兆光口可支持百兆光的接入。3 DCS-4500-26T-PoE提供了26個(gè)10/100/1000 Base-T以太網(wǎng)接口（PoE）及4個(gè)固化1000Base-T SFP以太網(wǎng)接口（combo），同時(shí)千兆光口可支持百兆光的接入。(2) 豐富的協(xié)議支持DCS-4500-26T支持全面的QoS功能，交換機(jī)可根據(jù)端口、VLAN、COS、802.1p、ToS、DSCP、TCP/UDP端口進(jìn)行流量分類，并分配不同的服務(wù)級別，支持SP/WRR/SWRR等隊(duì)列調(diào)度算法，為視頻/數(shù)據(jù)/語音在同一網(wǎng)絡(luò)中傳輸提供所要求的不同服務(wù)質(zhì)量。DCS-4500-26T交換機(jī)支持802.1d/w/s 生成樹協(xié)議，同時(shí)支持BPDU Guard、Root Guard及BPDU報(bào)文透傳，能有效防止黑客針對整個(gè)交換結(jié)構(gòu)發(fā)動(dòng)的BPDU拒絕服務(wù)攻擊，提高了數(shù)據(jù)傳輸?shù)陌踩浴＝粨Q機(jī)還支持802.1Q、802.1p、802.3ad、802.3x、GVRP、DHCP等標(biāo)準(zhǔn)。DCS-4500-26T支持高適應(yīng)性的VLAN特性，系列除了支持傳統(tǒng)的802.1q和基于端口、MAC的Vlan，還具備支持基于用戶的Vlan劃分功能。管理員可根據(jù)當(dāng)前登陸交換機(jī)的用戶信息（基于IP+MAC的識別），來決定該端口屬于哪一個(gè)VLAN組，最大限度的保證了接入用戶的安全，同時(shí)還可以根據(jù)用戶權(quán)限進(jìn)行VLAN設(shè)置。DCS-4500-26T具備Auto VLAN及Guest VLAN功能，可以根據(jù)用戶權(quán)限進(jìn)行VLAN設(shè)置。比如企業(yè)用戶，來訪者接入網(wǎng)絡(luò)后系統(tǒng)把其自動(dòng)加入相應(yīng)的VLAN，使來訪者可以訪問內(nèi)網(wǎng)中指定VLAN的一些開放資源。對于高校用戶，新生第一次入學(xué)只能具備有限訪問權(quán)限，同時(shí)可開放資源給不符合安全管理策略的終端，實(shí)現(xiàn)其自動(dòng)修復(fù)。DCS-4500-26T的Vlan VPN（QinQ）技術(shù)為企業(yè)用戶和運(yùn)營商提供了低成本、簡便易行、易于管理的二層VPN功能。在實(shí)際應(yīng)用環(huán)境中，QinQ技術(shù)實(shí)現(xiàn)了VLAN數(shù)量的擴(kuò)展，增加了VLAN資源。同時(shí)本交換機(jī)還具備Voice VLAN特性，系統(tǒng)通過識別設(shè)備類型，將IP電話等終端加入專用語音vlan（voice vlan），為語音業(yè)務(wù)提供良好的QoS保證。(3) 全面的安全功能DCS-4500-26T提供了完整的ACL策略，可根據(jù)報(bào)文多種字段對數(shù)據(jù)進(jìn)行分類，并使用不同的策略進(jìn)行轉(zhuǎn)發(fā)。它支持基于IP地址、MAC地址的ACL策略，支持基于時(shí)間段的ACL配置，支持ACL配置在VLAN上。通過ACL策略的實(shí)施，用戶可以過濾掉“沖擊波”、“震蕩波”、“紅色代碼”等病毒包，防止擴(kuò)散和沖擊核心設(shè)備。支持IEEE802.1x基于端口的認(rèn)證，為網(wǎng)絡(luò)提供端口級的安全保證。 配合RADIUS等認(rèn)證機(jī)制，可有效防止非法用戶侵入網(wǎng)絡(luò)。DCS-4500-26T可有效防范ARP欺騙，它通過防ARP掃描技術(shù)、ARP Guard技術(shù)等，杜絕攻擊源通過ARP漏洞對網(wǎng)絡(luò)進(jìn)行攻擊，可最大限度的減少網(wǎng)絡(luò)使用過程中的時(shí)斷時(shí)續(xù)、掉線頻繁，增加網(wǎng)絡(luò)的安全可用。(4) 靈活的網(wǎng)絡(luò)融合能力DCS-4500-26T-PoE設(shè)備支持PoE（Power over Ethernet）技術(shù)，可通過以太網(wǎng)對所連接的設(shè)備（包括無線AP、IP電話、網(wǎng)絡(luò)攝像頭等）進(jìn)行供電，從而減少了大量電源連接線的部署，降低了用戶的布線成本。DCS-4500-26T-PoE設(shè)備的24個(gè)千兆電口都能提供PoE供電，每個(gè)端口支持最大PoE供電功耗為15.4W，整機(jī)最大PoE供電功耗為195W，24個(gè)端口可共享195W的功耗。系統(tǒng)可對PoE端口做多項(xiàng)設(shè)置：可設(shè)定每個(gè)端口的最大輸出功率，實(shí)現(xiàn)有效省電；設(shè)定端口的供電優(yōu)先級，在接入供電設(shè)備過多的情況下最大限度的滿足優(yōu)先級高的設(shè)備先得到供電；設(shè)定POE供電功能關(guān)閉，可選擇性的設(shè)定端口PoE供電。DCS-4500-26T可靈活接入IPv6或IPv4主機(jī)，可隨心所欲的應(yīng)用在IPv4或IPv6的網(wǎng)絡(luò)環(huán)境中，同時(shí)，滿足用戶從IPv4到IPv6網(wǎng)絡(luò)的平滑升級過渡，避免了用戶的二次投資。(5) 便捷的網(wǎng)絡(luò)管理界面DCS-4500-26T交換機(jī)支持SNMP，支持帶內(nèi)和帶外管理，支持CLI和WEB界面，支持Security IP功能，可以防止非法用戶登陸和修改交換機(jī)的配置。支持SSH協(xié)議，可以最大限度地保證交換機(jī)的配置管理的安全性?？刹捎蒙裰輸?shù)碼集中網(wǎng)管系統(tǒng)LinkManager統(tǒng)一管理，方便簡捷。(6) 完整的認(rèn)證計(jì)費(fèi)解決方案DCS-4500-26T交換機(jī)支持完整的神州數(shù)碼增強(qiáng)型802.1x認(rèn)證計(jì)費(fèi)解決方案，支持按交換機(jī)端口和MAC地址方式的認(rèn)證。實(shí)施該套方案后，用戶在不通過認(rèn)證的情況下將無法使用網(wǎng)絡(luò)，可以有效避免用戶私自更改IP對網(wǎng)絡(luò)的沖擊。配合神州數(shù)碼的安全接入控制與計(jì)費(fèi)系統(tǒng)DCBI-3000和802.1x客戶端，可以實(shí)現(xiàn)按時(shí)長/流量計(jì)費(fèi)，可以實(shí)現(xiàn)用戶帳號、密碼、IP、MAC、VLAN、端口、交換機(jī)的嚴(yán)格綁定，還可以防止代理軟件對合法客戶發(fā)送通知/廣告，進(jìn)行上網(wǎng)時(shí)段控制，基于用戶動(dòng)態(tài)實(shí)現(xiàn)VLAN授權(quán)和帶寬授權(quán)，可基于組策略實(shí)現(xiàn)動(dòng)態(tài)IP地址分配而不必使用DHCP服務(wù)器等。DCS-4500系列交換機(jī)是實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營的非常理想的接入交換機(jī)。(7) 綠色環(huán)保的多維綠網(wǎng)設(shè)計(jì)理念多維綠網(wǎng)是神州數(shù)碼網(wǎng)絡(luò)多年3D-SMP（動(dòng)態(tài)分布式安全域管理策略）實(shí)施經(jīng)驗(yàn)的集