1、XX 大学大学校园网二期工程方案校园网二期工程方案XX 省省计计算机股份有限公司算机股份有限公司二二XXXX 年年 XX 月月 XX 日日XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司1目目 录录第第 1 章章 前言前言1第第 2 章章 系系统总统总体体结结构构设计设计22.1 系统需求分析22.1.1 系统建设目的.22.1.2 系统建设内容.22.1.3 网络建设的具体要求.22.2 设计依据22.3 设计原则2第第 3 章章 网网络络系系统设计统设计43.1 网络系统的总体设计特点43.2 网络技术选型53.3 网络设计方案63.3.1 网络核心层设
2、计.63.3.2 网络系统汇聚层设计.73.4 关键技术分析93.5 网络方案特点及优势133.6 网络产品性能及详细介绍14第第 4 章章 主机系主机系统设计统设计304.1 方案需求背景304.2 TC1700 及其技术特色304.2.1 混合平台的服务器聚集技术.314.2.2 系统监控、管理技术.314.2.3 负载均衡和高可用技术(High Availability) .314.2.4 大规模并行计算机和超级信息服务器应用的统一.324.2.5 系统支持动态扩展.324.3 系统方案324.3.1 性能指标组成.324.3.2 系统方案拓扑结构和机柜连接图.344.4 系统方案组成各
3、部分说明354.4.1 管理和服务节点.354.4.2 储设存备.36XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司24.4.3 网络.374.4.4 机群软件系统.374.4.5 服务器辅助构件.384.5 曙光服务器系统配置38第第 5 章章 布布线线系系统设计统设计405.1 需求分析405.2 系统设计425.2.1 工作区子系统设计.425.2.2 水平布线子系统的设计.425.2.3 干线子系统.435.2.4 管理子系统设计.435.3 布线部分的实施43第第 6 章章 校园网网校园网网络应络应用用456.1 校园网应用需求456.2 XX
4、大学校园网应用建设456.2.1 CVES 教育管理信息系统.466.2.2 视频点播.466.2.3 网站监控及过滤.476.2.4 多媒体教学资源库.47第第 7 章章 机房防雷系机房防雷系统统497.1 产品选型497.2 防雷方案49第第 8 章章 项项目管理、工程目管理、工程实实施与保障措施施与保障措施508.1 工程组织机构508.2 机构中人员构成职责508.3 工程实施518.4 风险和对策52第第 9 章章 服服务务政策与培政策与培训训支持支持539.1 售前支持与培训539.2 售中技术培训539.3 售后服务与培训539.4 运行维护及技术支持方案53XX 大学校园网络建
5、设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司1 1 前前 言言二十一世纪是一个以计算机和网络通信为技术支撑的信息社会,办公自动化、网络化、信息化已成为一种必不可少必备条件。作为基础教学与科研基地的学校自然走在所有行业的最前列,全国各大、中、小学校都在积极建设和完善校园计算机网络。校园网已成为各学校必备的重要信息基础设施,其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志。由于通过网络传播信息这种无处不在、无时不在的作用,使得知识的获得和传授方式发生了革命性的变化,同时教育的功能和目标、教学的方法和模式也跟着在发生深刻的变化。网络已成为现代教育的一个最佳平台。 为
6、了尽快地改变原来所采用的传统教学方式和模式,以便更好地培养新经济时代下的高素质人才,XX 大学决定利用网络技术建设校园网,满足现代教育的要求。最终达到教学现代化,管理科学化,学习自主化,校园信息资源共享化和信息国际化的目标。通过使用现代化的技术设备及网络软件资源更新教育观念、改变传统的教育教学模式、学习方式,从而最大限度地提高教学管理水平和教学质量。XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司2 2 系系统总统总体体结结构构设计设计2.1 2.1 系系统统需求分析需求分析2.1.12.1.1 系系统统建建设设目的目的XX 大学校园网二期工程是要利用当前先
7、进的计算机网络技术,在总体规划的前提下,将 XX 大学校园内的所有网络资源互联起来,进行合理的利用、配置和共享,充分体现计算机网络技术所带来的先进、高效、快捷的特性。实施“XX 大学校园网络建设”的总体目标应定位在:利用现代化网络技术将学校需要建设和改造的各个部门的数据有机地集成起来,综合运用现代管理技术、信息技术、自动化和系统工程技术,以实现 XX 大学的整体优化,显著提高学校的社会效益和经济效益;并联入因特网,和世界信息共享。将学校建设成面向 21 世纪的现代化的高等职业教育学校。2.1.22.1.2 系系统统建建设设内容内容XX 大学校园网二期工程项目主要完成丰湖校区和金山湖校区的校园网
8、工程:丰湖校区现有建筑物 17 栋,信息点 645 个。金山湖校区现有建筑物 18 栋,信息点 2964 个,校园网第二期工程将实现校区校园内的互联互通,并成为校本部校园网的一个组成部分。2.1.32.1.3 网网络络建建设设的具体要求的具体要求XX 大学采用“主干千兆、百兆到桌面”的网络建设原则。XX 大学校园网二期工程主干采用交换式千兆以太网(Gigabit Ethernet)技术,二级网络交换机向桌面各 PC 机提供100Mbps 的传输带宽。我们在进行网络集成方案中,充分考虑了网络系统运行的安全稳定、有效和备份,以及系统的易使用性、易维护性、易管理性和易扩充性。2.2 2.2 设计设计
9、依据依据校园网工程技校园网工程技术术要求要求书书中国教育和科研中国教育和科研计计算机网算机网络络(CERnet)工程技工程技术规术规范范书书中中华华人民共和国人民共和国计计算机信息网算机信息网络络国国际联际联网管理网管理暂暂行行规规定定有关的网有关的网络络技技术术国国际标际标准准2.3 2.3 设计设计原原则则XX 大学计算机网络系统应该是一个灵活的、易于管理的、经济有效的网络系统。这类型网络的建设方案不但要统筹考虑技术的发展趋势、现有的条件和能力而且要保护原有的网络资源,综合、平衡长短期的投资费用和效益,选择最佳的技术方案,使得在规划、费用、管理直到风险等各个方面取得最佳投资点。XX 大学校
10、园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司3为达到以上目标,校园网的设计应遵循以下原则:可靠性与先可靠性与先进实进实用性用性系统可靠性应当是首当其冲的考虑,为确保网络系统的可靠性,选用的网络技术与设备产品必须是先进成熟的,并与网络技术发展主潮流相一致,而且所用产品必须与 XX大学原有的实际情况相吻合。采用先进的技术和设备也为网络今后的扩展留了余地。开放性与开放性与标标准化准化校园网的主网络设备要符合国际标准,园区网不能被昂贵的专有技术约束住,而应能够允许符合国际标准协议的产品互连入网。经济经济性和性和扩扩充性充性校园网的总体设计性价比要高,可用性要好。不仅要能满足
11、将来的网络扩充要求,还应有很强的系统升级能力,以便在系统升级时保护 XX 大学现有投资。所选用的设备必须是能适应新一代网络技术的可扩展的平台。集中化的复集中化的复杂杂性与分散化的性与分散化的简简易性易性针对 XX 大学计算机网络管理信息点较为集中的具体情况,网络设备的配置与维护就具有很好的优越性。为了保障系统安全、高效、可靠及低成本的运行,一方面在网络中心应配备具有大规模数据传输处理能力的中心网络设备,进行统一管理;而另一方面在网络的边缘则希望简化网络的配置,以便于网络用户的使用,降低网络管理维护费用。智能化智能化监监控管理控管理项目一旦建成投入使用,就必须为网络用户提供快捷方便的信息通信服务
12、。网络需求的变化带来网络负荷的变化,为了保证网络提供稳定的通信服务性能,需要网络中心动态地监控网络运行状态,及时发现网络中的设备故障和异常现象,对网络负荷进行动态平衡,及时消除网络瓶颈。XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司4 3 网网络络系系统设计统设计3.1 3.1 网网络络系系统统的的总总体体设计设计特点特点根据 XX 大学目前的需求和未来的发展要求,我们提供的 XX 大学网络建设方案有如下特点:1. 标标准化准化在一个大型的复杂网络系统中,必然共存着多个厂商的计算机设备、通信设备和软件产品。为建立不同厂商的硬件设备和计算机软件的互联,实现信
13、息的流通及设备资源的共享,从而保证用户的网络系统具有互操作性和可靠性,易于使用、维护、管理和扩充,应建立开放的、遵循国际标准的网络系统平台。2. 可可扩扩展性展性考虑到 XX 大学相关应用不断发展,今天的网络设计必须为未来的业务发展留出扩充的余地,这样才能有效地保护现有投资。在硬件设备和网络设计上采用两种方式增强整个方案系统的可扩展性:将同类设备堆叠、互联,使多个单体作为一台设备工作,同时可以实现统一的管理;设备提供有多个插槽的、具有可扩展空间的构架,从而可以根据客户的实际需求确定要提供多少处理能力,以及什么类型的物理接口;除单个设备本身的扩展能力之外,在网络系统的设计过程中,还需要考虑整个网
14、络系统结构的易扩展性和网络协议的易扩展性,这样既能既照顾到目前的应用需求,又能满足今后整个计算机系统的发展需要。3. 先先进进性性当今世界,通信技术和计算机技术的发展日新月异。网络系统总体设计方案应采用先进成熟的技术,以适应当今世界通信技术和计算机技术日新月异的发展,保证网络系统的实用性、安全性和高可靠性。因此,在网络产品的选择上既要兼顾技术上的成熟性,同时也要保证系统的先进性,更要保证系统的安全性。另外,网络系统的设计能适应“统一规划,分步实施”的系统建设原则。4.系系统统可靠性可靠性为了使网络能可靠地运行,本方案中选用了高品质、高性能价格比的产品,把故障率降到最低。同时应充分利用现有资源,
15、减少不必要的投资。湘计算机在网络可靠性方面,主要采用一下技术,保障系统可靠性要求:网络结构及技术设计上,保证网络的可靠性;选配高可用性的网络设备;必要的设备和模块备份5. 高性能高性能XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司5一个大型复杂网络系统仅靠设备的高性能并不能保证网络系统整体的高性能,还必须进行合理配置和优化设计才能真正发挥网络设备的功能。VLAN和三和三层层交交换换技技术术, ,在整个网络中,我们做到了端到端的虚拟网的划分和第三层的交换,对网络管理、部门之间进行协调工作、抑制广播风暴、以及对整个网络进行流量的均衡分配等方面可以达到圆满的效果
16、。流量控制及管理流量控制及管理,在网络系统里,大量的客户机常常同时集中访问一台或少数几台服务器,使得连接服务器的网络交换机端口出现拥塞。普通的网络交换机一般使用被动式的拥塞管理策略,即在遇到网络端口拥塞时采用缓冲区暂时缓解矛盾,而如果拥塞持续一小段时间,有限的缓冲区很快被填满,后续的数据包将被交换机删除。由于一个数据包的丢失通常需要七至八个增加的数据包的代价来恢复,而这些重发的数据包必然给已经拥塞的网络增加更重的分担并可能形成滚雪球效应导致网络瘫痪。本方案建议的 HDS系列网络交换机使用专利的主动式拥塞管理技术和标准的流量控制技术,能在网络拥塞的迹象刚出现时即以标准方式通知发送方暂缓或减慢数据
17、发送,保证交换网络在极度超负载状态下绝无数据包丢失,实现网络的高效、可靠运行。真真 正正 的的QOS设设 计计 , ,提供高级的流量管理。硬件的优先级队列,能够保证音频、视频实时应用得质量;支持流的带宽预约和限制。高效的基于硬件的多点广播修剪和适用于大规模的多点广播应用。6. 可管理性可管理性随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控、维护及故障诊断和排除变得越来越困难。网络系统或计算机系统的故障给我们带来的损失将越来越大。为了减少损失,尽快的排除故障十分必要,所以使用的网络设备具备网络管理的能力,并且拥有一套良好的网络管理软件也就显得越来越重要。它可以减少故障排除时间,优化网络
18、性能,节省开支,创造效益。7. 安全性安全性网络的安全机制可以有效地阻止未授权用户的访问,并能提供广播通信量的控制,消除广播风暴;利用防病毒软件,可以有效阻止病毒的传播和破坏。3.2 3.2 网网络络技技术选术选型型桌面局域网技术大致可分为以太网、Token Ring、FDDI、100VG、25M ATM 到桌面。Token Ring、FDDI、100VG 出于经济、技术、支持等多方面考虑,除特殊情况一般不建议在桌面使用。25M ATM 由于支持多媒体应用和与 ATM 主干连接好等优点,十分被人们看好,目前价格较高,所以往往只在有像电话、视频会议等多媒体应用时才作考虑。由于 XX 大学已选定千
19、兆以太网技术作为主干网络技术,同时考虑到部门级/工作组级局域网应具备技术成熟、支持广泛、经济实用、易于升级的特性,我们建议采用快速交XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司6换式以太网来建立访问层网络。提高网络性能,保护网络投资。3.3 3.3 网网络设计络设计方案方案3.3.13.3.1 网网络络核心核心层设计层设计核心层主要核心层是网络高速交换的骨干,被设计成尽可能高速交换包,提供以下功能:具有高可靠性;提供冗余、容错;低延时和良好的可管理性;避免使用减慢包处理的进程,如访问控制列表、包过滤等;具有界定一致的网络路径。XX 大学网络核心层由 2
20、个核心节点组成,其中包括:丰湖校区、金山湖校区。这 2 个核心节点主要包括两个主要功能: 连接骨干网络,构成骨干网络通道; 连接各种汇聚节点,包括高速接入和信息源接入(主机) 。网络中心核心交换机主要是实现骨干网络之间的优化传输, 同时承担与校外Internet,Cernet 的路由传输,我们在网络中心采用 QuidwayS8016 千兆核心多层交换 XX 大学校园网络核心节点都具有如下的特点:XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司7 都具有电信级的全系统冗余,引擎、时钟,电源,风扇等的冗余;从根本上保证了节点的安全可靠性。 都具有良好的性能价格比
21、。 都具有良好的系统扩充性。由千兆路由交换机组成;核心交换机承担的主要工作包括:数据流量的核心交换功能;为服务器提供千兆或百兆(捆绑)高速接口;为接入层提供千兆端口、百兆等下行接口;为接入层提供高速可靠的传输链路3.3.23.3.2 网网络络系系统汇统汇聚聚层设计层设计我们推荐使汇聚层是接入层和核心层的分界点,并且用来分辩和区别骨干。提供基于策略的连接,包括下面几项功能: 安全、服务等各项策略的实现 地址和区域的聚合 部门和工作组的访问 广播域、组播域的建立 VLAN 之间的路由 介质转换 路由域之间的分布在本方案设计中 XX 大学校园网络汇聚层(二级骨干)的设计要点为:提供较高的可靠性和高速
22、上行网络连接,部署网络的控制能力(如分布式三层交换和 Qos 等策略)。对于流量较大的汇聚层交换机建议采用 Quiday S5516 千兆路由交换机,其它数据流量较小的汇聚节点则选用 HDS5524F 二层交换机通过千兆光纤与核心层交换机连接。汇聚层交换机的上行链路 1000M 光纤模块也可根据距离长短选择长波或短波千兆模块。具体为:学生六栋、图书馆、教工五栋、实验楼通过 1000M 光纤接入到田家炳大楼核心交换机;丰湖校区下属各二级节点全部通过星型方式接到该校区网络核心节点。XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司8图 4.9 XX 大学校园网汇聚
23、层拓朴结构图3.3.3 接入接入层节层节点点设计设计接入层节点主要由桌面交换机组成,被部署在各大楼内楼层配线间或机房,我们选择具有高性价比的 HCC 二层交换机作为接入层节点,向下提供 PC 10/100M 上连带宽,向上通过 5 类 UTP 或光纤以 100M、1000M 带宽接入汇聚节点。图 4.10 XX 大学校园网接入层结构图3.3.4 网网络设备络设备具体配置情况具体配置情况序号楼群信息点数(个)设备型号数量一、丰湖校区1书院一栋(到第三教学楼)9HDS451612书院二栋(到第三教学楼)6HDS451613书院三栋(到第三教学楼)9HDS451614书院四栋(到第三教学楼)13HD
24、S451615书院十三栋(到汇接中心)20HDS552416书院十四栋(到汇接中心)10HDS451617书院十五栋(到汇接中心)4HDS451618书院十七栋(到汇接中心)12HDS451619书院十八栋(到汇接中心)16HDS45161Quidway S5516110宿舍二区(到汇接中心)312HDS5524F14Quidway S5516112宿舍四区(到汇接中心)112HDS5524F513办公楼(到汇接中心)39HDS5524F214饭堂(到汇接中心)48HDS5524F215教新楼(到汇接中心)35HDS5524F2XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公
25、司算机股份有限公司916第三教学楼(到汇接中心)0二、金山糊校区Quidway S551611学生一栋(到学生六栋)264HDS5524F12QuidwayS551612学生三栋(到学生六栋)264HDS5524F12QuidwayS551613学生五栋(到学生六栋)264HDS5524F12QuidwayS551614学生六栋(到田家炳大楼)264HDS5524F12QuidwayS551615学生七栋(到学生六栋)264HDS5524F12QuidwayS551616学生八栋(到学生六栋)264HDS5524F12QuidwayS551627学生九栋 A-到学生六栋420HDS5524F1
26、8QuidwayS551628学生九栋 B-到学生六栋392HDS5524F179教工一栋(到教工五栋)24HDS5524F110教工二栋(到教工五栋)24HDS5524F111教工三栋(到教工五栋)24HDS5524F112教工四栋(到教工五栋)24HDS5524F113教工五栋(到田家炳大楼)24HDS5524F114教工六栋(到教工五栋)24HDS5524F115教工七栋(到教工五栋)24HDS5524F1QuidwayS5516116实验楼(到田家炳大楼)120HDS5524F6QuidwayS5516117图书馆(到田家炳大楼)280HDS5524F1218田家炳大楼03.4 3.4
27、 关关键键技技术术分析分析1、新旧网、新旧网络设备络设备的互的互连连通性通性在网络设计中,确保不同厂商之间的设备互操作性是非常重要的。在本次方案中新增加的网络设备必须与原有的互联互通,从而实现平滑升级。本次方案采用以太网技术,通过与现有的 10/100/1000M 以太网标准的向后兼容性能力,千兆以太网将提供快速以太网提供的卓越的投资保护。当升级完成后,原有的网络将保留现有的线缆、操作系统、协议、驱动程序和桌面应用程序,无需专门对用户进行培训,网络管理工具和应用程序将XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司10维持现状。管理人员能保留现有的已经使用和
28、验证过的硬件、软件和管理方法,并以最低的风险和成本提供所需的功能和性能。在本方案中,把原有网络设备和新增网络设备分为两部分。原有网络设备和新增网络设备之间的连接采用千兆多模光纤。千兆位以太网使用了与其前代技术相同的CSMA/CD 协议,相同的帧结构帧长,其国际标准是 IEEE802.3z 及 IEEE802.3ab;而 IEEE802.1D 生成树协议保证了网络的任意节点之间不存在逻辑上的环路。上述协议和标准保证了本方案在 ISO/OSI 七层协议中的第一和第二层上的互操作性。2、 、VLAN 划分划分针对 XX 大学校园,VLAN 的划分主要以物理位置上的区域来划分逻辑上的虚拟网络结构。考虑
29、到校园网计算机设备不会频繁移动,同时从网络安全和方便网络管理的角度出发,结合我们的实际工程经验,建议虚拟网划分法采用基于端口的方法和虚拟网标准802.1Q 国际标准进行 VLAN 的划分,并结合物理位置和部门功能做为进行 VLAN 划分的原则。通过 LAN 方法接入网络中心的 VLAN 划分由网络中心统一指定 VLAN 的范围和 VLAN采用的协议。不通过 LAN 方法接入网控中心的 VLAN 划分不受约束。VLAN 之间只允许必要的通讯,其余的通讯将被阻止。公用的服务器可以单独在一个 VLAN 中。同 IP 地址规划类似,虚拟网也是给网络用户在物理网络的基础上提供一种划分逻辑网络的手段。因此
30、,虚拟网规划的原则也有多种逻辑形式,如以地理区域划分,以网络应用群体划分等。但与 IP 地址规划的不同之处在于,虚拟网划分完后,只是完成了第二层链路层的配置,还必须结合第三层 IP 地址,才能真正实现基于 TCP/IP 协议的网络通信。具体实现是通过网络设备参数设置来完成的。我们以学生区为例:我们按照 VLAN 划分原则,在学生区接入层采用基于端口的划分方法,按照学生宿舍单元为单位、结合 IP 地址的规划,将一个 C 类地址划在一个 VLAN 里面。在汇聚层采用基于 802.1Q 的划分方法,将汇聚层每十台划在一个 VLAN 里面,同时将 VLAN 终止在汇聚层,来配合我们分布式的路由设计,从
31、而减轻核心交换机的工作压力。XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司11图 4.14 汇聚层 VLAN 划分3、 、IP 规规划划两个校区的 IP 由网络中心统一规划。IP 地址规划拟以各个单位、各个部门的职能为单位,学生以宿舍楼(公寓)的楼层或者单元为单位,结合虚拟网的使用情况进行划分。XX 大学校园网建成后,应使新旧系统平稳过渡。建议 IP 地址分配、管理基本不变。同时考虑到公有的 IP 地址数目有限和内外网的安全,故在公有地址不够时内网采用私有 ip 地址。由网络中心分别对二级节点进行地址划分,再将二级节点细分到不同三级节点上。在本方案中,因考
32、虑到 XX 大学目前的状况和将来五年的发展,以及学生使用网络的特点,故将学生区单独考虑。对学生采用以网络中心对各个学生宿舍(公寓)划分 IP 段,再以学生宿舍(公寓)的单元或楼层为单位,细分 IP 段。最后对合法用户采用动态分配IP 和身份验证相结合。这样,既保护了合法用户,又使其他的用户可以在内部网互相交流。私有 IP 在访问 Internet 或 CERNET 网络时,通过 NAT 服务器,来实现私有 IP 到公用 IP 的转换。需要提供外部访问的服务器地址使用公用 IP 地址。网络的网关可以使用网控中心的网关。4、路由、路由方式方式A、分布式路由方式路由方式有二种,既分布式和集中式。整个
33、校园网通过强大的路由来支持 vlan 间的通讯,采取中心集中路由方式不仅会导致路由的瓶颈,而且会降低系统的可用性,骨干网上的路由流量也将成倍上涨。因此,本方案采用了核心层和汇聚层路由分担的设计,使核心层交换机和汇聚层三层交换机都承担路由的功能。整个网络按照网络的层次和组织机构划分为不同的路由区域,各汇聚层的交换机负责各自区域的路由,只有跨区域的路由才会通过骨干路由器实现。B、核心层路由设计网络的骨干交换机之间采用 OSPF 路由协议。OSPF 作为一种链路状态路由协议,具有快速收敛,支持变长网络掩码,支持 cidr 以及地址 summary,具有层次化的网络结构,支持路由信息验证等优点。OSP
34、F 的种种特性使其非常适合于应用在大型的、复杂的网络环境中。OSPF 路由能很好地支持负载分担。OSPF 路由协议支持等代价的多条链路的负载分担。我们在核心层交换机之间采用第三层的路径选择,可在并行的链路之间进行负载均XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司12衡。C、汇聚层路由设计汇聚层路由可采用 OSPF 和静态路由相结合的方式实现。汇聚层交换机和汇聚层交换机划分统一的 vlan。在汇聚层交换机上划分基于端口的 vlan,并通过 802.1q,即 IEEE 定义的以太网 vlan 协议,将 vlan 上行至汇聚交换机。在汇聚层交换机上划分统一的
35、vlan,并终结 vlan。二级交换机管理自己的 vlan 域,只有跨区域的数据流量才会流入骨干,降低了核心层网络的流量负担,二级交换机维护自己的路由表,自己进行管辖范围内的数据转发工作,降低了核心层网络的计算负担。D、边界路由边界路由是由校园网出口经由 CERNET 节点上的路由器之间的路由交换,作为一个as 自治系统和闭合的用户群体,对 CERNET 隐藏其网络拓扑结构,对于校园网的安全性具有重要的意义。本方案中的边界路由拟采用静态路由。E、策略路由在本方案中我们采用了基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力。传统上,路由器用从路由协议派生出来的路由表
36、,根据目的地址进行报文的转发。基于策略的路由比传统路由强,使用更灵活,它使网络管理者不能够根据目的地址而且能够根据报文大小,应用或 IP 源地址来选择转发路径。策略可以定义为通过多路由器的负载平衡或根据总流量在各链路上进行转发的服务质量(QOS)。策略路由使网络管理者能根据它提供的一个报文,采取具体路径。而在当今高性能的网络中,这种选择的自由性是很需要的。策略路由提供了这样一种机制:根据网络管理者制定的标准来进行报文的转发。5、 、QOS 服服务质务质量保量保证证由于 XX 大学校园网络用户的剧增及语音、视频等新业务、新应用的出现,在网络中一个迫切需要解决的问题就是网络服务质量的保证。QoS
37、是指当 IP 数据包流经一个或多个网络时,其所表现的性能属性。它通常由以下一组可测量的参数来表示:业务有效性、延迟、抖动、吞吐量和包丢失率等。 IETF 目前正在研究两种 QoS 保证模形:综合业务模型(Int-Serv)和分类业务模型(Diff-Serv)。Int-Serv 使 IP 网络能够提供具有 QoS 的传输,以用于对 QoS 要求较为严格的实时业务(视频/声频)等。Int-Serv 旨在定义一个最小的对于全网的要求集合,使网络转变为一个固定的综合业务通信基础设施。它的实施需要对全网路由器,支持 VLAN的交换机进行升级,加入有关的软件和硬件。Int-Serv 所采用的技术主要包括先
38、进的碰撞管理、限制延迟、抖动和网络带宽消耗的排队算法,同时 Int-Serv 还使用资源预留协议(RSVP)作为整个模型的端到端信令协议。Diff-Serv 旨在制定一个扩展性较强的方法XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司13来保证 IP 服务质量,其基本思想实际上就是给业务分级。在用户和业务网的接口处分级,业务的分级基于每个数据包的不同标识。同一级别的业务在该网络域内被聚合并统一传送,保持相应的服务质量参数。Diff-Serv 并不提供从发送者到接收者的端到端服务质量保证,而是在一定范围内保证与业务分类的分级,因此它具有较大的可扩展性。在本次方
39、案中我们采用的 Qos 处理技术如下:硬件 Qos 队列处理我们采用的网络设备为多业务网络提供了业内领先的基于硬件的 QoS,专用的 ASIC芯片可以深入地分析数据包的包括第四层在内的内部数据处理结构,因此可以在应用层对数据流量进行识别、分类以及划分优先级。Cajun 全系列交换机都在每个端口上实现了 8 个硬件队列,提供线速队列功能。在 Cajun P580 以上系列交换机中,还提供了硬件的队列管理引擎(Queue Management Engine)以优化组播应用。以硬件实现 Qos 的主要好处是:能提供更高的 Qos 能力,在实现 Qos 的时候不会降低交换机的处理性能。拥塞控制本次方案
40、中采用的交换机提供了很好的拥塞控制功能,支持半双工模式下的背压技术,和全双工模式下的 IEEE802.3x 流量控制技术。在没有拥塞控制的交换机中,丢包将导致“滚雪球效应”及严重的性能下降。带宽预留由于采用的网络设备实现了 Fully integrated RSVP architecture and implementation(全面集成的 RSVP 结构和实施),包括 Peer Protocol Interactions(对等协议互作),Admission Control(接入控制),Policy Control(策略控制),Flow Separation and Policing(业务流分
41、离和警告)等。过滤及多种策略实现 Qos 优先级在输出的负载过重并且缓存已用完的时候,必须创建规则(或策略)来优化数据流的处理以保证数据流的优先级。基于策略的 Qos 使得网络管理员可以对响应时间和吞吐量进行控制以满足高优先级数据流的需要。智能的交换机采用硬件的方式,根据目的和原节点相关的第二、三、四层信息,策略的划分优先级和实施过滤。这些策略可以包括主机ID、第二层 MAC 地址、第三层 IP 或 IPX 地址、第四层协议和端口等内容。基于策略的 Qos提供了极其灵活的强大的数据包识别能力,大到可以识别 VLAN 或 IP 子网,小到可以区分每一个的主机到主机的应用数据流。3.5 3.5 网
42、网络络方案特点及方案特点及优势优势1)高性能)高性能 在访问层接入设备上,用性能价格比极高 Catalyst 4006 和 Catalyst 2950G 交换机提供极佳的用户接入。 XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司142) )QoS/CoS 的支持的支持 领先的且符合国际标准的 802.1p 技术,使得在交换的以太网 络上能够有效地传送实时的多媒体信息,如话音和视频等。3)高安全性)高安全性基于标准化的 802.1Q VLAN 技术,可支持多个 VLAN 划分,从而有效地抑制了广播风暴,增强了网络的安全性,并且提高了网络的灵活性。4)强强大的
43、大的扩扩展能力展能力 Catalyst 4006 交 换机提供 6 个扩展插槽,支持百兆和千兆光纤模块,易于将来网络规模的扩展 。 5) ) 一体化的网一体化的网络络管理管理 可实现网络配置、网络流 数据监测以及 VLAN 管理等管理功能。3.6 3.6 网网络产络产品性能及品性能及详细详细介介绍绍Quidway S8016 千兆核心多千兆核心多层层交交换换机机Quidway S8016 是华为公司面向 IP 城域网、大型企业网及园区网的网络骨干、交换核心、汇聚中心建设而推出的高端千兆路由交换机产品,基于硬件的二到三层线速转发技术,可提供完备的二到七层交换特性,强大的 QOS 保障,完善的安全
44、管理机制,满足高端用户对多业务、高可靠、大容量、模块化的需求。 S8016 多业务千兆路由交换机采用了大容量交换网芯片和高性能网络处理器,提供完备的 Diff-Serv/QoS 保证和业务流量控制机制,同时融合如 NAT(Network Address Translation)、WEB Switch、DHCP(Dynamic Host Configuration Protocol)等业务处理功能,提供了多种网络解决方案,具备电信级的可靠性、高密度和大容量交换能力。XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司15产产品定位:品定位:可作为 IP 城域网的骨
45、干核心设备或边缘汇聚中心设备;可作为大型企业网的骨干、交换核心设备;可作为大容量 NAT 设备;可作为数据中心 IDC(Internet Data Center)的内容交换核心。产产品特性品特性:二二层层功能功能S8016 多业务千兆路由交换机实现了全 GE 接口之间的全线速二层交换,提供整机 96Mpps 的报文处理性能。支持 802.1Q VLAN 协议,支持 4K个 VLAN,并具备如下扩展特性:支持支持 VLAN trunk支持一条 VLAN trunk 可以传输多个 VLAN 的数据流,并允许用户将VLAN 的范围从一台交换机扩展到另一台交换机。支持大容量支持大容量 MAC 地址地址
46、每接口板支持 64K 个 MAC 地址表项,并具有源 MAC 地址学习、静态MAC 地址配置的功能。支持端口捆支持端口捆绑绑支持将多个端口捆绑成一个通道,这样既增加了带宽,又提高了可靠性,当一个端口故障时,业务也不会中断。支持端口支持端口镜镜像像S8016 每个接口板支持一对端口的镜像,一个端口作为被镜像口,一个端口作为监测口,被镜像口的输入和输出可以同时镜像到检测口,也可以选择一个镜像到检测口。三三层层交交换换与路由与路由 S8016 多业务千兆路由交换机除了实现三层交换外,还具备了高端路由器的路由功能。具体的特性有:支持基本的 TCP/IP 及常规应用协议;支持丰富的路由协议:RIP1/R
47、IP2、OSPF、IS-IS 和 BGP4 等,以适应不同的网络环境;支持静态路由,管理员手工配置,简化网络配置,提高网络性能;支持 256K 路由表项,适应城域网/大型企业园区网的复杂环境;支持通过复杂的路由策略决定最佳路由:支持路由映像(Route Map)定义、路由引入和分发定义,以及路由的前缀、自治系统路径、团体属性等;XX 大学校园网络建设二期工程设计方案XX 省省计计算机股份有限公司算机股份有限公司16支持不同子网 VLAN 的三层互通功能。Diff-Serv/QoSS8016 多业务路由交换机作为城域网络的汇聚中心设备和企业网的骨干核心设备除具备强大的二/三层转发能力与性能外,还
48、具备完善的服务保证功能,确保不同业务流享受不同级别的服务。具体特性有:支持支持 Diff-Serv 模型,模型,实现流量监管,支持四种 RFC 定义的标准算法。流量监管在上行支持对 1K 个流的监管,实现 TOS/DSCP 域的重标记(Remark),端口输出队列可以支持带宽保证、流量整形。用户可以通过指定流量参数配置队列,不需用户考虑具体的队列调度方式,系统根据不同的参数内容自动选择合适的调度策略。在一个接口板上最多可以支持 2K 个队列,当支持 2K 个队列时仍能做到线速转发。流控采用 WRED 以及改进的 SA-RED 算法,在上行入端口接口线路板、交换网板入口/出口、下行接口板出端口都
49、采取了有效流控措施,并实现下行对上行的反馈机制使上行能够合理控制上到交换网板的流量,避免在流量突发时造成在下行的拥塞。WRED 支持 8 个等级的丢弃优先级。支持支持强强大的流分大的流分类类功能,功能,提供定义复杂规则的功能,这些规则使用户可以鉴别细粒度的流。基于这些规则,在现实的应用背景下,S8016 能够线速地对流进行分类,分类结果用于实施报文过滤、QoS、策略路由以及报文监控。流分类规则的元素丰富,具体包括:入端口、源 MAC 地址、指定 IP 包的TOS/DSCP 域值或域值的范围、是否是 IP 分段报文、是否是 TCP SYN 报文、ICMP 报文类型和编码、IP 报文的源 IP 地
50、址前缀、目的 IP 地址前缀、TCP/UDP 源端口号或某段范围、TCP/UDP 目的端口号或某段范围、IP 报文承载的协议号以及 VLAN 标识号等。在每个接口板上最多可以实施 5K条规则。安全特性安全特性支持配置安全,对登录用户进行认证,不同级别的用户有不同的配置权限,提供两种用户认证方式-本地认证和 RADIUS 认证;支持受限的 IP 地址的 Telnet 的登录和口令机制;支持协议报文认证,支持 OSPF、RIP2 及 BGP4 的报文明文认证和 MD5 密文认证;支持基于用户定义的策略,可以对报文进行过滤,支持 ACL 包过滤;。支持防火墙具备的一些报文过滤机制支持安全过滤,可以将
