计算机网络系统.pdf
目 录4计算机网络系统.14.1需求分析及设计原则.14.1.1需求分析.14.1.2网络建设基本需求.14.1.3 设计原贝I】.24.2网络设计.64.2.1东郊宾馆有限公司网络架构.74.2.1.1东郊宾馆能源中心.84.2.1.2东郊宾馆客房楼.94.2.1.3东郊宾馆主楼.104.2.1.4东郊宾馆宴会楼.104.1.2.5网络管理.114.2.1.6路由协议规划.124.2.1.7 IP地址规划.134.2.1.8VLAN 的划分.134.2.1.9业务间的安全隔离.134.2.1.10 干链路冗余设计.144.2.1.11 链路捆绑技术.164.2.2网络系统对病毒的全面抑制.174.2.2.1关键业务服务质量保证.204.2.2.2组播应用.224.3华 为3Com网络解决方案的优势.244.3.1提供全线网络产品和解决方案.244.3.2电信级的可靠性设计.254.3.3跟踪最新IP技术,保持技术领先,产品兼容性好.254.3.4具有自主知识产权的软硬件平台,高安全性.264.3.5中文显示界面及操作手册,便于国内用户学习与使用.264.3.6标准软件免费升级.264.3.7遍布全国的厂商售后服务网络.274.3.8全球发展最快的网络设备厂商.274.4产品介绍.284.4.1 Quidway S8500系列核心路由交换机.284.4.1.1产品特点.284.4.1.2产品规格.304.4.2 Quidway S6506/R模块化多层交换机.324.4.2.1产品特点.324.4.2.2产品规格.344.4.3 Quidway S5516千兆路由交换机.354.4.3.1产品特点.354.4.3.2产品规格.364.4.4 Quidway S3050C快速以太网交换机.384.4.4.1产品特性.384.4.5 Quidway S3000系列智能二层交换机.424.4.6 Qu i dway Eudemon 200 防火墙.534.4.6.1产品特点.534.4.6.2产品规格.554.4.7 Quidview 网管系统.574.4.7.1产品特点.574.5设备清单.63东郊宾馆弱电系统设计方案计算机网络系统4计算机网络系统4.1需 求 分 析 及设计原则4.1.1需求分析上海市东郊宾馆目前正在进行较大规模的基础建设,新的东郊宾馆将于近期建成,作为一个现代化的东郊宾馆,建设一个高质量、高带宽、多服务、范围广的综合信息网络势在必行。4.1.2网络建设基本需求 建筑物分布新建东郊宾馆主楼和宴会,能源客房各楼层资源分布如下表所示:主楼地下一楼一主楼一楼主楼二楼主楼合计宴会楼一层宴会楼一夹层宴会楼二楼宴会楼合计能源中心一层能源中心二层能源中心合计客房楼一层客房楼一层客房楼二层客房楼三层客房楼四层客房楼五层清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.东郊宾馆弱电系统设计方案计算机网络系统I客房楼合计 目前的布线系统目前,我司东郊宾馆有限公司的布线系统有了一定了解。依照我们建设现代化东郊宾馆网络系统的经历,我们建议东郊宾馆大楼的垂直布线子系统采用多模光纤,并汇聚到中心机房.其中核心机房到其他大楼之间根据距离长度采用多模光纤或者单模光纤。所有大楼内的的水平布线子系统应采用六类布线系统,从而满足于终端设备之间10/100/1000M之间连接的要求。现有网络线路资源分布如下表所示:楼宇单口双口光纤桌面48 口 P MIDFM DF主楼34711041宴会楼1915721能源中心0704311客房楼一层55120071客房楼二层59124071客房楼三层61126071客房楼四层4394051客房楼五层2448031小计2956682138814.1.3设计原则现在东郊宾馆网络建设要实现东郊宾馆内部全方位的数据共享,保障各种信息系统等的正常开展,因此必须具备高性能、高安全性、高可靠性,可管理以及开放性、兼容性、可扩展性。基于对东郊宾馆网络业务需求的深入理解,结合自身产品和技术特点,华为3com公司推出了了完善的东郊宾馆网络解决方案,为提供“高安全、高可靠、可管理、可扩展、全业务”的精品网络。f 清华同方股份有限公司-2-TSINGHUATONGFANG CO.,LTD.东郊宾馆弱电系统设计方案计算机网络系统东郊宾馆网络建设遵循以下基本原则:实用性和适用性网络设备满足网络中数据交换的要求,到网络主干的通讯链路带宽能够满足应用对网络的性能要求今天的网络普遍采用基于IP的网络平台。要求除提供数字传输能力之外,必须可以支持图像等时间敏感性业务的传输能力。各部门用户客户端应用软件,透过网络访问服务器,请求应用,查询数据库。通常,网络的负载流量主要是从边缘设备到核心的数据交换。改善园区网络整体数据交换性能,往往是首先扩充核心交换机的交换性能,增加边缘设备到核心的数据通讯带宽,以减轻整个网络的瓶颈,使得应用软件的性能和效率得到提高。在东郊宾馆网络项目的实际应用中,各职能部门内部的数据流量也非常高。因此在网络设计的原则上,除首先应该考虑满足网络规模所要求的核心设备数据交换处理能力,以及边缘设备到核心的链路带宽外,对楼层交换机也有较高的性能要求。此外在网络设计上应采用先进的QoS策略和技术保证全网的QoS服务质量 高可靠性核心交换机所有关键部件可以实现冗余工作,可以在线更换(插拔),故障的恢复时间在秒级间隔内完成目前,越来越多的业务信息依赖于网络进行传输。网络的可靠性要求是保障企事业单位应用环境正常运行的首要条件,网络要求可靠性的同时,要求网络具有高可用性。网络设备的选择,尤其是网络核心设备,应该可以配置冗余部件,关键部件不存在单一故障点,也就是说,像交换机的电源、风扇、交换引擎、管理模块这些部件可以冗余备份,其中之任何部件的损坏,不会影响设备的正常运行,不会影响网络的连通。提供网络设备的可靠性,容错性的另一个要求是设备损坏部件更换时间,不需要停机,更换部件后不需要重新启动,也就是说部件的更换可以进行在线操作,这样可以使停机的时间降低到最小。在设计园区网的原则上,提高网络的高可靠性、高可用性原则是至关重要的,不仅要求设备的部件冗余,同时要求网络的链路冗余,以保证网络可以在任何时间、任何地点提供信息访问服务。灵活扩充性核心交换机应该具备灵活的端口扩充能力,满足网络规模的扩充.同时提高性能,满足更高性能的要求清华同方股份有限公司-3-TSINGHUATONGFANG CO.,LTD.东郊宾馆弱电系统设计方案计算机网络系统在设计园区网络方案时,首先是满足现有规模的网络用户的需求,同时考虑到业务发展、规模的扩大,应该设计网络具有用户端口灵活的扩充能力。核心设备是整个网络的枢纽,用户端口数的扩充,需要增加配线间边缘工作组的设备,增加边缘设备的同时,要求连接核心骨干设备的端口数相应增加,因此核心设备应该以通过增加模块或增加核心交换机来灵活地增加端口数。核心设备的机箱设计应该具备强大的背板带宽,足够多的负载插槽容量。对于交换机来说,核心交换引擎应该可以满足最大配置下,无阻塞的进行端口数据包交换,模块的扩充不影响交换性能。安全性可以有效的控制网络的访问,灵活的实施网络的安全控制策略网络的安全性对企事业单位网络的设计是非常重要的,合理的网络安全控制可以使应用环境中的信息资源得到有效的保护。在园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。在企业网络设备上应该可以进行基于协议、基于M A C 地址、集 于 I P 地址的包过滤控制功能。在大型园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计网络的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。随 着 I nte rne t的普及,人们对计算机知识的深入,对连接用户身份的认证也是保障网络安全要考虑的重要内容。可管理性网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率在设计园区网络时,选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置,网络拓扑结构表示,网络设备的状态显示,网络设备的故障事件报警,网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率,减轻网络管理人员的负担。网络管理的目标是实现零管理,基于策略的管理方式,网络管理是通过制定统一的策略,由管理策略服务器进行全局控制的。基于W e b的网管界面是网管软件的发展趋势,灵活的操作方式简化了管理人员的工作。在设计网络的设备选择上,要求网络设备支持标准的网络管理协议S N M P,同时支持R M O N /R M O N I I 协议,核心设备要求支持R A P (远程分析端口)协议,实施充分的网络管理功能。在设计企业网络的原则上应该要求设备的可管理性,同时先进的网管软件可以支持网络维护、监控、配置等功能。开放性清华同方股份有限公司-4-TSINGHUATONGFANG CO.,LTD.东郊宾馆弱电系统设计方案计算机网络系统网络设备应采用开放技术、支持标准协议,从而保护用户的投资,提高设备互操作性网络设备要求采用主流技术、开放的标准协议,具有良好的互操作性,能够支持同一厂家的不同系列产品,不同厂家的产品之间的无缝相互连接与通讯。在设计企业网络的原则上,发挥不同厂商产品的专用先进技术同时,必须强调考察设备的技术、协议的标准性,减少设备互连的问题以及网络维护的费用,使用户的投资得到有效保护。清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.5东郊宾馆弱电系统设计方案计算机网络系统4.2网络设计本次上海市东郊宾馆网络系统建设的重点是用于局域网系统的交换机等设备。这也是东郊宾馆有限公司日常工作得以顺利进行的关键平台。从功能方式看,它必须能满足业务数据流量的实时性传输要求。此外,考虑到东郊宾馆网络应用的特殊性,在网络的设计和网络设备的选择上,必须充分考虑到网络的可靠性、安全性以及用户的认证功能。根据网络设计思想及其应用需求,在总体建设上采用网络分层构建、逐层保护的指导原则,利用I P 技术,保证网络的互联互通性。同时必须要考虑东郊宾馆内部业务网与外网一 I n t e r n e t 接入网之间进行隔离的要求。目前进行隔离的方式有两种:1,物理隔离方式物理隔离指完全从物理链路上将网络分为内网(业务网)和外网,两套网络之间不存在联系,完全隔离开来;同时通过东郊宾馆行政管理手段的配合,取消光驱、软驱及U S B 端口,避免内网受到黑客及病毒的攻击;优点是:可以很大程度上保证东郊宾馆内部的业务系统的正常运行,排除了因黑客和病毒攻击造成的网络瘫痪,保障了网络的稳定性;缺点是:由于内网与外网的完全隔离,因此建设网络时需要建设两套网络系统,终端电脑的数量也需要增加,分别使用于内网和外网,这样造成成本增加;增加终端用户使用的麻烦。2、逻辑隔离逻辑隔离是指通过技术手段,采用网络隔离相关的技术将网络隔离为两套功能不一样的网络系统一内网和外网,其中内网部分负责东郊宾馆业务系统的传输,外网负责东郊宾馆访问外网的传输;优点是:统一的建设网络,网络设备的投入只有一套;终端设备也比较单一,因此在投资成本上要远低于物理隔离方式:缺点是:随着技术的发展,不排除黑客能够攻击东郊宾馆的系统;也有可能因为某个电脑的使用不当,导致病毒入侵到网络系统中,从而造成整个网络的瘫痪,严重影响东郊宾馆的正常业务的运行。清华同方股份有限公司-6-TSINGHUATONGFANG CO.,LTD.东郊宾馆弱电系统设计方案计算机网络系统4.2.1东郊宾馆有限公司网络架构整个东郊宾馆有限公司网络系统可使用目前业界普遍采用的三层结构模型:核心层、汇聚层、接入层。根据东郊宾馆有限公司网络系统的实际应用需求:东郊宾馆大楼的接入交换机与核心交换机的主干连接使用1 0 0 0 M 的光纤线路,并能满足未来升级到更高速率的要求。在各楼区域设置独立的汇聚交换机。汇聚交换机与核心层交换机之间的主干连接使用1 0 0 0 B a se-S X 的光纤线路,向下与接入层交换机的连接同样使用1 0 0 0 B a se-S X 的端口。接入层交换机通过1 0/1 0 0 M 端口连接终端用户。交换机支持堆叠的功能,满足未来节点数量扩展的需要。清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.7东郊宾馆弱电系统设计方案计算机网络系统整个东郊宾馆有限公司网络结构如下图所示:东郊宾馆网络图4.2.1.1东郊宾馆能源中心核心机房根据东郊宾馆网络系统的实际应用需求,在东郊宾馆能源中心大楼二楼配置有中心机房,是整个东郊宾馆网络系统的核心。我们建议采用两台模块化多层路由交换机S6506作为整网的核心交换机。两台S6506之间采取由多个GE端口组成的汇聚链路进行连接,并且运行VRRP路由热备份协议,互为备份。如一台S6506当机的情况下,其下联的主机的下一跳指向另一台S6506上,保证网络的正常运行。清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.-8-东郊宾馆弱电系统设计方案计算机网络系统Qu i d w a y S 6 5 0 0 系列千兆兆核心多业务路由交换机是由华为3 C om公司自主开发的新一代高性能千兆核心路由交换机产品,可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商I P城域网核心层、汇聚层。Qu i d w a y S 6 5 0 6 基于千兆平台设计,能够为城域网、园区网、数据中心提供超高速链路,构建端到端以太网络,打造低成本、高性能、具有丰富业务支持能力的高性能网络。Qu i d w a yS 6 5 0 6 支Qu i d w a y S 6 5 0 6持7个扩展插槽(包括:1 个引擎插槽和6 个高速接口模块插槽),交换容量高达2 4 0 G b ps,可实现7 2 M pps的三层转发能力,提供大容量、高密度、模块化的二、三层线速转发性能,同时具有丰富的业务功能、强大的Q oS保障、完善的安全管理机制和电信级的高可靠设计,完全满足高端用户对多业务、高可靠、大容量、高带宽的需求。在 S6 5 0 6 交换机中的电源实行1+1 冗错配置,确保设备自身的高可靠性。配 置 1 块 8端口 G E 模块,用以满足与汇聚、接入交换机的千兆连网要求:1 块 2 4 端口 1 0/1 0 0/1 0 0 0 B a se-T模块,一块8 端口 1 0/1 0 0/1 0 0 0 B a se-T模块,用于连接服务器、网管工作站等设备。4.2.1.2东郊宾馆客房楼东郊宾馆客房大楼拥有5 个楼层,由于客房楼接入点较多,因此需要在客房楼配线间内放置汇聚交换机,在楼层放置二层接入交换机,以经济的方式实现客房信息点的接入。根据网络的建设需要,接入层交换机需要有较高密度的1 0/1 0 0 M 端口、支持堆叠功能:能划分多个V LA N,以满足不同的应用。为保证网络的兼容及标准性,接入层的交换机需要支持8 0 2.1 Q 协议,支持基于端口的V LA N 划分。在核心交换机S6 5 0 6 上对V LA N 进行终结。此外,接入层交换机必须有Q oS功能,从而为将来的语音、视频等实时性应用提供保证;有强大的安全认证功能,支持8 0 2.1 X 功能,能实现对接入的用户实行身份认证、防 I P 地址盗用等功能。综合以上的考虑,我们推荐华为3 c om三层光交换机机S5 5 1 6 做为客房楼的汇聚交换机。Q u i d w a y S5 5 1 6千兆智能三层交换机是华为3 c om公司面向I P 城域网的汇聚层和大型企业或园区网的汇聚层推出的盒式高密度可堆叠二、三层全线速以太网交换机产品。通过提供高密度的G E 端口,为 I P 城域网或者园区网提供G E 接口的汇聚和收敛功能,是组建园区网中心和I P 城清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.-9-东郊宾馆弱电系统设计方案计算机网络系统域网汇聚层的理想产品。我们推荐华为3 C om公司二层交换机S3 0 5 0 C 作为东郊宾馆大楼的接入层交换机。S3 0 5 0 C 拥有4 8 个1 0/1 0 0 M 端口和二个扩展槽。扩展槽中可配合使用百兆光纤、千兆、堆叠等多种模块。同时支持线速交换、提供最多2 5 6 个 V L A N 划分、支持802.1X 功能、完善的Q o S 功能以及端口限速功能,能控制用户的接入速率,防止恶意侵占网络带宽。东郊宾馆客房大楼每层根据可视连接的信息点数量配置2或 3台 S 3 05 0C o 每 台 3 05 0C 配置两个1000B a s e-S X 端口通过多模光纤线路双归属连接到两台汇聚交换机S 5 5 16,东郊宾馆大楼内包含了众多部分百兆光桌面节点。并且通过多模光纤接入。因此,根据布线情况,我们推荐使用S 3 02 6 E-F M,提 供 12 个固定以太100M 光接口。Q u id w a y S 3 02 6 E-F S/S 3 02 6 E-F M 以太网交换机为2 U 高的盒式设备,支 持 19英寸机架安装,可不依赖于其他设备独立运行。系统提供固定的12个 10O B a s e-F X 单模/多模百兆光口、1 个 G o n s o I e 口,2个 6 端口百兆模块前扩展槽和2 个单端口后扩展 槽(可支持千兆和百兆),提供灵活的上行端口配置。4.2.1.3东郊宾馆主楼主楼三层,地下一层信息点合并到一楼。可以分别在1 楼和二楼各安放一台S 3 05 0C东郊宾馆主楼内包含了部分百兆光桌面节点。并且通过多模光纤接入。因此,根据布线情况,我们推荐使用S 3 02 6 E-F M,提供12 个固定以太100M 光接口。Q u id w a y S 3 02 6 E-F S/S 3 02 6 E-F M 以太网交换机为 2 U 高的盒式设备,支 持 1 9 英寸机架安装,可不依赖于其他设备独立运行。系统提供固定的1 2 个100B a s e-F X 单模/多模百兆光口、1 个 C o n s o le 口,2个 6端口百兆模块前扩展槽和2个单端口后扩展槽(可支持千兆和百兆),提供灵活的上行端口配置。4.2.1.4东郊宾馆宴会楼宴会楼信息点较少,根据信息点情况,安放一台S 3 5 5 0和一台S 3 02 6 E-F M 即可。清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.-10-东郊宾馆弱电系统设计方案计算机网络系统4.1.2.5 网络管理为了提高东郊宾馆有限公司网络系统的运行管理水平,本方案还配置了两套网络管理软件,其中包括用于设备管理的Q u id V iew 网络管理软件和用于用户及应用管理的综合访问服务管理系统C A M S。4.2.1.5.1 Q u id V iewQ u id v iew 是华为3 c o m公司自主开发的针对数据通信设备如路由器、交换机、接入服务器、视频设备等进行统一管理和维护的网管产品,位于网络解决方案的管理层次,能够实现网元管理和网络管理的功能。它和华为3c om公司的数据通信设备产品一起提供全网解决方案,对数据通信设备的维护和网络管理提供支持,并能够提供对电信网0 S S 运营系统的支撑和接口。Q u i d v i ew 为用户提供了灵活的组件化结构:系统在兼容Q u i d v i ew 以前版本全部功能的基础上,增加了对交换机设备管理、集群管理、堆叠管理、视频设备和R M 0 N 的支持,并包含E a sy C onfi g、N S C&N D A等工具组件。系统使用的网络管理协议是通用的标准网管协议简单网络管理协议(S N M P),同时支持 V 1/V 2 c/V 3 版本。Q u i d v i ew 支持W i nd ow s N T/2 0 0 0、S U N S ola ri s、H P U X、I BM AI X 等多种操作系统平台,以适应不同级别用户、不同网络规模。支持与多种网管平台集成,如H P O penV i ew、I BM N etV i ew、W h a tsU pG old、S N M P c以 及 i M a na ger N 2 0 0 0 V 2 0 0 E M F 等,以提供统一的网络管理解决方案。清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.-11-东郊宾馆弱电系统设计方案计算机网络系统设备管理Quidview其它厂商设备管理软件SNMPcWhatsloGoldiManager N2000网管平台4.2.1.6路由协议规划在东郊宾馆有限公司网络中,汇聚层交换机都配置为作为普通二层交换机使用或启动三层功能参与路由转发;核心交换机和出口防火墙则启动三层功能进行路由转发。Q u i d w a y S 6 5 0 6 核心交换机支持R I P、O S P F、I S-I S、BG P 4和静态路由。E u d emon 2 0 0 防火墙支持R I P、O S P F 和静态路由。根据东郊宾馆网络应用的情况,我们建议可以使用O S P F 动态路由协议。将两台8 5 和两台5 5 1 6 规戈 I 为 O S P F 的 Area 0,O S P F 是一个基于链路状态的动态路由协议,协议的基本思路如下:在自治系统中每一台运行O S P F的路由器收集各自的接口/邻接信息称为链路状态,通 过 F lood i ng算法在整个系统广播自己的链路状态,使得在整个系统内部维护一个同步的链路状态数据库,根据这一数据库,路由器计算出以自己为根,其它网络节点为叶的一根最短的路径树,从而计算出自己到达系统内部各可定的最佳路由。O S P F 是一类 I n t e r i o r G a t e w a y P r o t o c o l (内部网关协议I G P),它处理在一个自治系统中,路由器的网络的路由表信息。O S P F 把整个网络(I n t e r n e t 上的子网或其他类型的网)看成一个自治系统(A S),每一个A S 内若干个物理上相邻的路由器(R o u t e r),网络(N e t w o r k)组 成 A r e a,这 些 A r e a 内部一般是不相交的,它们划分了整个A S。区域概念的引入是为了隔离和区分自治系统内的各部分,并由此减少路由器必须维护的清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.-12-东郊宾馆弱电系统设计方案 计算机网络系统整个自治系统的信息量,也就意味着减少了路由器间传输和维护的O S P F 路由表的额外信息。4.2.1.7 I P 地址规划I P 地址的规划应遵循以下原则:I P 地址的规划与划分应考虑到业务发展的需求,预留相应的I P 地址段 I P 地址分配需要有足够的灵活性,能满足各种网络用户使用需要 I P 地址分配由业务驱动,按照具体业务需求分配适合的地址资源 I P 地址分配应采用V L S M 技术,保 证 I P 地址的使用率 I P 地址的分配应便于路由设备使用C I D R 技术,以减小路由表大小,加快查找速度 充分合理利用已申请的地址空间,提高地址利用效率。建议尽量遵循以上的I P 地址规划原则,并根据实际使用情况灵活配置。4.2.1.8 V L A N 的划分工作在网络第二层的V L A N 技术能将一组用户归纳到一个广播域当中,从而限制广播流量,提高带宽利用率。同时缺省情况下不同V L A N之间用户是不能相互访问的,如需通讯要通过三层设备转发,这就便于实施访问控制,提高数据的安全性。在网络用户V L A N规划方面,一般可根据用户所属的部门,以及具体的网络应用权限来划分。在具体 V L A N规划中,应合理规划同一 V L A N内网络用户数量。具 体 V L A N分配原则制定后,根 据 V L A N内用户分布情况,在交换机上安排相应的网络端口,在不同交换机之间,如果需要交换同一 V L A N的数据和信息,则在交换机互联的端口上设置其工作在T run k模式下,使其能转发带有8 0 2.1 Q 标签的不同V L A N的数据包。4.2.1.9 业务间的安全隔离为保证各种不同业务间的安全隔离,本方案考虑采用访问控制列表技术实现业务间的安全隔离。清华同方股份有限公司 7 3 -TSINGHUATONGFANG CO.,LTD.东郊宾馆弱电系统设计方案计算机网络系统A C L 访问控制在网络设备配置中,可以利用三层设备的A C L (访问控制列表)功能,保护那些对网络安全要求较高的主机、服务器以及特定的网段。A C L 是手工配置在网络设备上面的一组判断条件,对于满足条件的数据包,设备进行“转发”或 者“丢弃”的处理。A C L 的主要作用有:实施对网段的访问控制通过在网络设备上配置访问控制过滤功能,提供网络管理人员对网络资源,进行有效安全管理的技术。介绍如下:A C L:针对数据包的目的网络地址,通 过 I P 地址的过滤,作访问控制,包括网段和主机地址。E x te n d e d A C L:针对数据包的源地址和目的网络地址的组合,对网络访问进行控制包括网段和主机地址。例如,可以通过在网络设备上设置A C L,允许网络给普通用户访问公共文件服务器所在的网段,但拒绝对财务或者I n te rn e t等的访问。实施对网络应用的安全控制通过网络设备配置的E x te n d e d A C L,针对用户数据包的应用类型,对网络访问进行控制。例如,在同一台主机上,同时运行E m a il 和 W W W 应用,通过在网络设备上设置控制表,可以控制用户只能访问E m a i I 应用,而拒绝他访问W W W 应用。华为3 C o m 公司推荐的网络设备使用硬件方式实现A C L 功能。因此当设置了 A C L 之后,对设备处理数据包的速度没有影响,依然能满足线速转发的要求,确保关键应用的正常开展。4.2.1.1 0干链路冗余设计在本方案中为了提高系统的整体可靠性,在核心层和每个汇聚点都配置了两台以太网交换机,并且在两者之间实现互连。汇聚交换机和核心交换机之间、接入交换机和汇聚交换机之间都通过双归属连清华同方股份有限公司-14-TSINGHUATONGFANG CO.,LTD.东郊宾馆弱电系统设计方案计算机网络系统接,从而实际上构成物理链路上环状结构,我们正是通过这个环状结构为每个通过汇聚点接入骨干的用户提供链路冗余和骨干自愈的功能。基于这个物理结构上,我们首先确定正常情况下(链路、设备正常)之下,数据的流向如下图:利用STP/RSTP协议,将两台核心交换机S6506中的一台设置成最高优先级,即担负“树根ROOT”的角色,另一台其次,随时准备在“树根”出现故障时在新一轮的竞选中被选举成树根。所有连接至骨干的千兆设置成最高优先级,汇聚点S5516之间互联线路被赋予最低优先级,所以,在正常情况下,汇聚层互联的端口处于“阻塞”状态。当汇聚点的某一条上联链路出现故障时,汇聚层互联的链路以最小的转换到原先阻塞的链路上。具体的组网如下:清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.-15-东郊宾馆弱电系统设计方案计算机网络系统4.2.1.1 1链路捆绑技术多链路捆绑技术的国际标准为I E E E 8 0 2.3 a d。华为3 C o m 公司的Q u i d w a y 系列交换机最多将8条千兆链路捆绑在一起,使其在逻辑上作为一条链路进行工作,即所谓汇聚链路。从而一方面可以获得1 6 G b p s的带宽,同时又因为多链路捆绑技术可以在极短时间内将汇聚链路内故障链路上的流量切换到其他正常链路,保证了链路的正常工作,因此提高了链路的可靠性,消除了单点故障。清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.-16-东郊宾馆弱电系统设计方案计算机网络系统4.2.2网络系统对病毒的全面抑制目前网络病毒盛行,对系统的危害极大。而一个性能优异的网络系统,可以有效遏制病毒的快速传播,避免网络系统的崩溃。网络病毒主要攻击机理是目的IP扫描探测,扫描网络上可以被攻击的目标,因此当网络病毒流行时,将发出大量目的IP地址变化的报文在网上泛滥,这类病毒通过不断的复制在网络中产生了大量的垃圾报文充塞网络设备,占有网络容量,使得网络系统运行缓慢并瘫痪。典型的网络病毒如:冲击波病毒等。网络病毒对网络系统的攻击一般包含以下方面:1、A R P 攻击病毒首先选择受感染系统所在子网的I P,然后再在互联网上选择目标攻击。因此,病毒会在短时间内向所有子网内主机、以及选择的互联网目标发起大量的A R P 解析报文,造 成“A R P 风 暴:由 于 现网一般的L A N S w i tc h.R o ute r,L 3、B A S 等网络设备对接收到的广播A R P 报文都要做解析处理,因此,在短时间内容会大量冲击A R P 解析模块,造成部分网络设备崩溃,以及部分网络设备失效。2、I C M P 攻击和网络流量攻击部分变种病毒会发起I C M P 选择被攻击主机,短时间内会有成千上万个I C M P 报文从连接被感染主机的设备端口涌入,占据大量的带宽。同时,一旦病毒侵入某个网络的一个主机,短时间内就会和这个网络中的其他用户建立连接,然后通过T F T P 大量拷贝自身进行繁殖,数据占据大量带宽。这种数据流量的特点是时间短、带宽大,对网络造成很大的流量攻击。3、D O S S y n f l o o d 攻击病毒感染后,为了防止安全系统跟踪到被感染设备,以及便于多次发起S y n f l o o d 攻击,病毒可以修改源I P 地址,提供的源I P 地址并非本机地址。会一直向特定的网站发动sy n f l o o d 拒绝服务攻击。这种典型的D D 0 S 攻击方式,通过病毒本身的感染,子网内大量的主机都会被感染,一旦触发条件满足,在短时间内还会产生大量的数据包通过网络设备,对网络产生流量攻击。网络病毒的产生源于网络中主机系统中毒,而在网络中主机的使用者并不能很快的进行响应完成清华同方股份有限公司-17-TSINGHUATONGFANG CO.,LTD.东郊宾馆弱电系统设计方案 计算机网络系统杀毒或者使用者根本不知道自己已经中了毒,而对于网络里中毒主机的盘查又是一个极其庞杂的过程,如何才能有效的防御病毒对于网络的侵袭,使得完好的未中毒主机能够正常的工作呢?华为3coM对于设备和网络构建的思想可以帮助您解决这个问题,我们将从网络构建理念、设备处理机制两个方面对此进行论述。一、网络构建理念1、合理利用VLAN隔离用户,避免网络无管理,无隔离,通过合理的VLAN划分限制病毒可以影响的范围,控制ARP风暴:限制单位时间内某用户的ARP报文数目,以及ARP报文总流量,保证设备的正常运转;2、限制单位时间内某用户访问其他用户的次数,以及某用户同时访问其他用户的个数,通过该手段抑止蠕虫的攻击速度,尽可能的保证非感染用户的正常上网;3、对用户源IP地址、MAC地址进行严格匹配,凡是不匹配的,一率丢弃。通过丢弃大量的非法攻击报文,抵消DD0S对整个网络的攻击。通过以上三种方式从网络系统构建角度对于病毒进行抑制。二、设备处理机制在交换机设备的设计中,考虑各种技术的运用,华为3coM从以下方面在设计制造Quidway系列交换机时对防病毒采取措施:1、交换机Quidway S8050系列产品通过强行禁用端口 135和4444的TCP应用,防 止internet上的冲击波病毒对内网的攻击,同时Quidway系列产品也可以与QuidView网管系统配合,提供业务流分类、端口反查和自动准确关闭端口等功能,阻止病毒在网络的泛滥,并定位可能藏逸在网络的病毒散播者。2、QuidwayS6506交换机采用逐包转发的处理机制清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.-18-东郊宾馆弱电系统设计方案计算机网络系统流Cache 逐包转发模式转发模式逐包转发方式(华 为3Com交换机采用的工作方式),其工作原理是:线路板保存所有的路由转发表项,报文到达线路板时直接查找表项转发报文,而不用向主控模块请求转发表项,主控模块定期或者协议驱动更新线路板表项,这样目标地址反复变化的报文和普通报文的处理机制是一样的。流cache的转发方式(普通的L3普遍采用),存在首包问题,其转发机理如下:在主控模块和线路模块采用主一从配合的转发引擎,主控模块通过路由协议生成路由表项,线路板采用流cache方式,当报文到达线路板时,线路板的转发引擎将检查本地cache中是否存在转发表项,如果有,则直接转发,如果没有则和主控模块联系,主控模块将转发表项发给线路板,线路板引擎更新cache(容量有限),用于后续报文转发,并且转发报文。对于普通的业务流量基本不会存在问题,但是当网上流行网络病毒时,由于报文目的地址不断变化,线路板将不停与主控模块通信,不但造成主控模块和线路模块之间通道阻塞,造成许多协议报文无法正常通信,更严重的是大量占用主控模块CPU,当宏病毒严重时候将造成整机瘫痪。我们通过实验室实验证明,当发送目的IP地址反复变化的报文时,采用流cache方式的交换机转发速率急速下降,无法达到线速转发,而且主控模块CPU大量占用,加大测试力度将导致系统瘫机。而采用逐包转发方式则无问题。这一命题也已通过网上大量的实践得到了证明:在去年的冲击波病毒肆虐期间,华为3coM在网运行的QUIDWAY系列交换机均安然无恙,接受了实践的检验。Quidway系列交换机基于最长匹配的转发策略,系统采用逐包转发方式,保证了所有报文均获得相同的转发性能,对“冲击波”等病毒的攻击具有天生的防御能力,有效保证了设备的安全稳定。清华同方股份有限公司TSINGHUATONGFANG CO.,LTD.-19-东郊宾馆弱电系统设计方案计算机网络系统4.2.2.1关键业务服务质量保证在目前企业园区网中,要求实现数据,语音和视频信息能统一在同一个网络中,实现三网合一。因此网络管理人员需要给所有的应用提供一个适当的服务质量,支持关键任务应用,与此同时还得有能力集成新技术。东郊宾馆的网络应用要求,决定了东郊宾馆有限公司网络架构设计需要能对各种不同的应用分配不同的网络资源。例如:对重要的视频点播应用和办公应用需要保证带宽,优先传输;而对于一般的Internet浏览等应用可以限定带宽,使之不影响网络中视频和办公数据的正常传输。因此QoS服务质量对网络整体运行情况和运行效果起到非常关键的作用。在本方案中所选择的华为3Com公司S6506及 S3050C设备都支持先进的QoS和组播过滤功能。通过这些功能的配置,可以实现完整的多业务应用。Qu idway系列设备提供对如下Q0S策略的支持:IP PREFERENCE 一用于业务分类的IP优先级IP优先级提供了将业务划分为多个服务类的功能。网络管理员可以定义六个服务类,并利用扩展ACL(访问列表)定义每个类别的拥塞管理策略和带宽分配策略。由 于 IP优先级使用IP报文头标识服务类型的字节中的三个比特位表示,分类的结果可以在IP网络中传播。作为骨干网络的入口,这个功能尤其重要。IP优先级的设置非常灵活,可以由网络客户分配,也可以按照网络管理员制定的策略,根据分组的 IP地址、MAC地址、物理端口、服务端口(TCP、UDP端口号)等特性进行再分配。IP优先级可以映射到邻接技术(如标记交换、帧中继、ATM)中,在非均一的网络环境中实现端到端的Q0SCAR(Commi tted Access Rate)一允许访问速率CAR是一种带宽管理机制。通过配置CAR,网络管理员可以为不同的业务分配不同的带宽,定义业f 清华同方股份有限公司-20-TSINGHUATONGFANG CO.,LTD.东郊宾馆