H3C工程案例XXX小型局域网组网技术建议书Word文件下载.docx
- 文档编号:1076412
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:16
- 大小:439.57KB
H3C工程案例XXX小型局域网组网技术建议书Word文件下载.docx
《H3C工程案例XXX小型局域网组网技术建议书Word文件下载.docx》由会员分享,可在线阅读,更多相关《H3C工程案例XXX小型局域网组网技术建议书Word文件下载.docx(16页珍藏版)》请在冰点文库上搜索。
XXX网络系统分为内网和外网两部分,内、外网在线路和设备上都物理隔离,形成两个完全独立的网络系统。
XXX的内、外网络系统都是星型拓外结构,采用两层结构模型,即核心层和接入层,也就是由核心交换机和若干边缘交换机组成。
核心交换机设置在中心机房内,边缘交换机则依据布线方式放置在各楼层的配线间。
1、内网需求:
1)配置两台核心交换机以做到双机冗余,要求单机冗余;
2)根据各楼层的信息点数配置边缘交换机,要求百兆交换到桌面;
3)楼层边缘交换机根据实际配置台数采用堆叠技术;
4)各楼层边缘交换机采用千兆多模光纤分别连接2台核心交换机,构成冗余千兆主干;
5)要求高性能的可靠性和网络管理功能。
2、外网需求:
1)配置一台单机冗余的核心交换机;
2)根据各楼层信息点配置边缘交换机,要求百兆交换到桌面;
4)核心交换机和各楼层边缘交换机之间应用端口聚合技术采用双千兆多模光纤线路连接构成千兆主干;
5)互联网接入路由器要以百兆速率接入互联网,提供2兆速度的备份线路,
6)要求高性能的安全性与网络管理功能。
第二章组网方案规划设计
**内网组网方案
按照用户要求(由需求分析可以看出),内网核心采用两台H3CS7506R多业务千兆路由交换机,互为冗余备份,两台设备之间运行VRRP协议保障核心设备之间的冗余热备份,每台S7506R通过千兆光纤与各楼层交换机互联,这样从接入到核心之间就形成了双核心、双链路的冗余备份的网络结构,能够充分保障网络的可靠性,各楼层交换机则根据实际的信息点数以及用户要求配置了H3CS3600-52P-SI以及H3CS3126C快速以太网接入交换机。
具体的配置见表1。
序号
安装地点
内网信息点数量分布
24口交换机配置地点
48口交换机配置地点
提供的接口数量
1
地下一层
24
1台S3126C
2
一层
3
二层
4
三层
48
1台S3652P
5
四层
80
2台S3652P
96
6
五层
62
72
7
六层
8
七层
9
八层
10
九层
11
十层
12
十一层
13
十二层
14
十三层
31
15
十四层
54
16
十五层
43
17
十六层
小计
5台S3126C
22台S3652P
其中四层至十二层以及十四层均采用堆叠的方式满足楼层信息点高密度接入的需求。
组网图如图1示。
图1内网组网方案
每一个楼层接入汇集点通过一组S3100系列交换机来实现,每一组设备通过几台S3100堆叠而成,每一个S3100堆叠组提供两个GE上行端口。
每一分组的具体连接关系如图2所示。
这种组网方可以充分保证接入层的可靠性,即当某个堆叠系统出问题或上行光纤出问题时,网络都能正常的运转,从而保障整个系统的可靠运行。
图2楼层接入交换机的组网结构
在网络的具体的实施方面,千兆骨干可采用链路聚合的方式增加骨干网的带宽,也可以采用MSTP技术,在骨干链路上实现负载均衡,从而充分利用两条光纤骨干。
多生成树协议MSTP(MultipleSpanningTreeProtocol)是IEEE802.1s中定义的一种新型生成树协议,区别于当前使用广泛的STP/RSTP,MSTP具有很好的VLAN认知能力和负载均衡能力,首先来看一下常用的STP在网络中应用时带来的问题:
Ø
采用STP/RSTP,整个内网交换网络只有一棵生成树,内网的规模较大,因此会导致较长的收敛时间,拓扑结构一旦改变其影响面也较大;
由于STP/RSTP的存在,内网中不能存在环路,网络中一旦启用STP/RSTP,骨干的双光纤链路中的一条就会被阻塞,链路被阻塞后将不承载任何流量,这样就造成带宽的浪费。
而MSTP能够很好的解决以上的问题,同时还具有很强的VLAN的认知能力,而且还能很好的向下兼容STP/RSTP,这样使得内网不但获得了良好的可靠性同时也使得内网的资源得到了充分的利用。
**外网组网方案
按照用户要求(由需求分析可以看出),外网核心采用一台H3CS7506R多业务千兆路由交换机,S7506R通过千兆光纤与各楼层交换机互联,各楼层交换机则根据实际的信息点数配置了华为的H3CS3600-52P-SI以及H3CS3126C快速以太网交换机。
具体的配置见表2。
外网信息点数量分布
78
61
28
52
楼层交换机组网结构与内网一致,由于核心交换机S7506R同样采用双光纤与边缘交换机互联,所以外网同样建议采用MSTP来实现网络的冗余备份和负载分担。
拓扑图如下:
**组网的安全性保障
华为3Com的网络设备为网络提供如下几方面的安全保障:
华为核心路由交换机S7506R提供了基于硬件的逐包转发方式,区别于基于流转发的业界的其它交换机,S7506R能够有效克服红色代码病毒带来的攻击,保障核心设备不会受到网络病毒的侵害,从而保障网络的安全性和健壮性。
除了提供MAC地址绑定、IP+MAC地址绑定等等常用特性以外,华为还在接入交换机上提供了802.1X认证技术,802.1X认证技术是目前比较通行的认证技术,通过802.1X接入认证,不但可以记录用户的MAC地址,还可以记录了用户的IP地址、VLANID等,同时还可以监测网络用户使用网络的时间起止段、时长以及流量的大小,可以有效的对整个网络资源的使用做出统一调度、安排;
同时通过802.1X认证,只要帐号、密码、MAC地址、IP地址和VLANID任何一个与接入设备上保存的信息匹配不上,就不允许此报文通过。
此功能最大程度上保证了上网用户的真实性和方便了事后追查。
在802.1x提供方面,华为的交换机不但可以做为802.1X接入客户端,同时也可以做为802.1x的认证Server,可以提供1024个用户的认证,其接入控制方式可以基于端口,也可以基于MAC地址,极大地提高了安全性和可管理性。
为了完善安全认证方案,华为还提供了综合访问管理服务器(ComprehensiveAcceSManageServer,简称CAMS)解决方案,CAMS是一种低成本、高稳定、可扩展的用户访问管理服务器,CAMS可支持VOIP、802.1x、DHCP+WEB、等多种认证、授权方式及用户管理功能,通过CAMS的WEB的简单易用的配置和管理界面,XXX可以设置用户的使用网络的权限外,可以设置用户使用网络的带宽,还可实现对用户使用网络资源的详细信息,如上网时间、上网时长、流量大小、使用带宽等等多种功能,从用户接入层来保证网络的安全。
华为的所有交换机均提供强大的QoS能力,S3100、3600系列交换机提供基于硬件的功能丰富的QoS能力,可以从接入层对网络的流量、业务类型进行QoS策略的设计和规划以及过滤,对不同的业务提供不同的质量保障,同时也能将一些ping攻击、icmp攻击进行过滤,从而从接入层保证网络的安全。
**组网的可靠性保障
H3CS7506R冗余/热备份
•主控板:
冗余热备份
•交流电源:
•风扇系统:
热备份
•单板支持热插拔而不丢失配置数据
•电信级热备份,单板倒换不影响系统正常运行和业务转发
H3CS7506R设备可靠性
•在线的故障检测,减少故障修复时间
•无源背板,符合电信级设备要求
网络可靠性
•采用了端口捆绑、RSTP/MSTP提供了链路备份和负载均衡。
**网络的可管理性
按照标书的要求,网络的管理软件采用了华为3Com公司的H3CQuidView网络管理系统管理,特点如下:
中文管理操作界面
中文网管界面,方便国内用户操作和使用。
使得网络管理人员可以更加灵活的选择语种进行操作。
网络集中监视
•全网设备的统一拓扑视图
•拓扑自动发现,拓扑结构动态刷新
•可视化操作方式:
拓扑视图节点直接点击进入设备操作面板
•在网络、设备状态改变时,改变节点颜色,提示用户
•对网络设备进行定时(轮询间隔时间可配置)的轮循监视和状态刷新并表现在网络视图上
•支持拓扑过滤,让用户关注所关心的网络设备情况
•支持快速查找拓扑对象,并在导航树和拓扑视图中定位该拓扑对象
故障管理
•告警实时监视,提供告警声光提示,支持外接告警箱
•支持告警过滤,让用户关注重要的告警,查询结果可生成报表
•支持告警基级别重新定义,支持告警转存,保证系统的运行效率和稳定性
•支持告警拓扑定位,将显示的焦点定位到产生选定告警的拓扑对象
•支持告警相关性分析,包括屏蔽重复告警、屏蔽闪断告警、屏蔽root-cause告警等
集群管理
针对大量二层交换机等低端设备的应用环境,Quidview网络管理软件提供集群管理功能,通过一个指定公网IP的设备(称作命令交换机)对网络进行管理。
•实现对一组设备统一、集中、批量配置管理;
•实现设备的集中维护管理;
•网络拓扑信息自动收集、维护,动态更新;
•节省公网IP地址资源;
•实现方便的软件升级、配置数据备份、配置数据恢复;
堆叠管理
堆叠是由一组交换机组成的一个管理域,其中包括一个主交换机和若干个堆叠成员交换机(从交换机),利用一个公有IP地址可以实现堆叠内所有交换机的管理。
Quidview网络管理软件通过堆叠管理,可以集中管理较大量的低端设备,并且为用户提供统一的网管界面,方便用户对大量设备的统一管理维护。
其中,主交换机提供了对整个堆叠的管理接口:
主交换机在从交换机加入堆叠时,自动给从交换机分配可用的IP地址,网管站通过此IP地址实现对从交换机的管理和维护。
流量性能监控
Quidview网络管理软件可以统计不同线路的利用情况,不同资源的利用情况,为优化或扩充网络提供依据。
Quidview提出了层次化性能监控的概念,针对不同的侧重点,提供不同的性能监控工具。
Quidview网络管理软件提供TrafficView工具,能够检测网络设备端口流量变化,它使得网络管理者能够直观地观测设备流量的变化,从而对网络设备进行有效的管理。
故障定位与地址反查
针对最为常见的端口故障,Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试;
当用户报告网络端口使用异常时,网络管理员可以通过网管对指定用户端口做环回测试,直接定位端口故障。
端口反查功能支持两种方式的查找定位功能:
MAC地址端口反查和IP地址端口反查,使用时分别输入终端用户的MAC地址或IP地址,能够定位该终端用户连接的交换机及交换机的端口,帮助网络管理员及早定位非法报文接入网络的原始端口,及时关闭端口,防止一些违规用户进行非法操作比如滥发报文、访问非法站点等,危害网络安全。
第四章同类组网应用介绍
中共中央组织部政务内网
中共中央组织部于2003年对政务内网进行建设,网络建设全部采用光纤布线,在政务内网的组网上采用了核心、楼层的二层网络结构,核心采用了两台核心交换机H3CS8016通过8GE光纤互为备份,通过N*GE光纤连接楼层交换机S7506/S7503,楼层采用25台H3CS7506/S7503高端交换机,通过百兆光纤接入到用户桌面,是中央部委第一个全光纤大规模的政务内网。
该网络开通以来,运行效果良好,华为公司积极有效的服务也得到了用户的好评。
中共中央宣传部政务内网
中共中央宣传部于2003年对政务内网进行建设,网络建设全部采用光纤布线,在政务内网的组网上采用了核心、楼层接入的二层网络结构,核心采用了两台核心交换机H3CS8016通过2*GE光纤互为备份,通过N*GE光纤连接楼层交换机S3652PC-48/S3026,楼层采用40台H3CS3652PC-48/S3026线速智能交换机,通过百兆接入到用户桌面,该网络运行状况良好。
中共中央纪律检查委员会监察部政务内网、外网
中共中央纪律委员会监察部的15层新办公大楼核心采用华为的高端骨干交换机S7506做为核心交换机,通过千兆多模光纤与楼层的华为48口的H3CS3652PC-48相连,提供桌面用户100M的接入。
同时还通过GE与10Km外的纪委办公区的华为H3CS5516相连,提供两边办公局域网的互联。
外网同样采用同系列的华为的以太网交换机提供互联网服务,运行效果良好。
国家工商总局政务网
国家工商总局于2002年对原有的三栋大楼的局域网进行改造,网络改造对原有的布线全部更新工作,同时对原有局域网设备进行了更新,在网络的组网上采用了核心、汇聚和接入的三层网络结构,核心采用了两台H3CS8016通过GE互为备份,汇聚层则采用3台H3CS7506交换机通过千兆光纤接入各个楼层的交换机S3026,提供百兆桌面的接入。
运行效果良好。
国家审计局“金审工程”一期
中华人民共和国审计署“金审工程”一期是国家十二金工程之一,一期网络建设覆盖全国18个省市的审计署特派办,全部采用华为公司的网络产品,产品包括H3CS8016核心交换机、H3CS3652PC-48、S3126C以太网交换机以及H3CR2600系列路由器等网络设备共约260台。
国家财政部政务外网
国家财政部局域网采用华为的两台H3CS7506做为核心设备互为冗余备份,各个楼层交换机则采用3526/3050C-48/3026通过桌面的百兆接入。
互联网出口路由器则通过3台华为的中端路由器联入互联网。
在安全管理上,则通过802.1x对使用外网的用户通过华为的CAMS进行认证和带宽管理。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C 工程 案例 XXX 小型 局域网 组网 技术 建议书