图书馆新馆网络基础架构建设方案(共91页).doc

《图书馆新馆网络基础架构建设方案(共91页).doc》由会员分享，可在线阅读，更多相关《图书馆新馆网络基础架构建设方案(共91页).doc（91页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上河南科技学院图书馆新馆网络基础架构建设项目技术方案文件河南文海商贸有限公司2012年4月目 录1 概述1.1 项目建设背景需求1.1.1 项目背景河南科技学院图书馆新馆项目背景。1.1.2 网络现状新馆现已建有N层办公楼一栋。为了今后新楼内部的办公、实验等等，需要进行相应的网络基础设施的建设，一个好的网络基础架构能够为将来的各种应用提供无瓶颈、安全、稳定、快捷的环境，根据新馆的特点及模式，今后新馆将会具备如下相关应用：1、 用于相关办公的自动化办公系统（OA系统）2、 用于对外宣传的网站系统3、 校内内部Email系统4、 校内内部管理系统5、 校内文件系统6、 校内

2、内部安全系统7、 校内统一通讯系统8、 校内监控系统9、 校内考勤系统10、 校内视频监控系统11、 校内一卡通系统12、 内部需要的其它系统等以上系统均需要工作在网络基础架构平台上，拥有一个稳定、可靠、无瓶颈的网络基础架构将成为河南科技学院图书馆新馆必不可少建设项目。1.2 网络建设目标为了提高整网核心的可靠性，考虑设备冗余（电源、超级引擎采用双配置），在此基础上对核心层交换机进行冗余。网管主机直接与核心交换机相连监控局域网网络状况。在网络的整体出口上，采用一台防火墙，与内网交换机一起实现允许部分计算机的上网需求，并对网络流量进行控制。在内网的交换机选择上，采用千兆电口接入计算机，千兆光口上

3、联至核心交换机，并实施端口捆绑技术，提高上联速度到4G或更高,保障内网关键业务的运行。1.3 网络建设原则我单位针对河南科技学院图书馆新馆网络工程将采用华为先进的高端电信级设备作为构建网络的基础单元，建立一个高带宽、高可用性及高可靠性的数据网络，为河南科技学院图书馆新馆业务系统提供强有力的保证，本次工程基于以下原则进行：综合性：将网络建设成为不仅支撑现有图书馆数据业务，而且支撑未来实时业务的综合业务传送平台。支持QOS：能根据业务的要求提供不同等级的服务并保证服务质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的IP QOS功能。高可靠性：具有很高的容错能力，具有抵御外界环境和人为操作失

4、误的能力，保证任何单点故障都不影响整个网络的正常运作。高性能：在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。安全性：具有保证系统安全，防止系统被人为破坏的能力。扩展性：易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。开放性：符合开放性规范，方便接入不同厂商的设备和网络产品。标准化：通讯协议和接口符合国际标准。实用性：具有良好的性能价格比，经济实用，拓扑结构和技术符合骨干网信息量大、信息流集中的特点。2 整体方案设计2.1 组网方案出于安全性和稳定性的要求，配置一台出口防火墙，与内网核心进行连接，统一外网出口控制。防火墙配置多端口模

5、块，将来用来连接各DMZ区域服务器，对内网的连接通过千兆线路连接在核心交换机上，核心交换机与接入交换机通过现有单模光纤相连，在计算机数量比较多的地方采用链路聚合功能，提供上行数据双工4G的吞吐量。宿舍区域网络由于计算机数量比较多，在正常办公时间需要对其进行限速，并通过汇聚交换级上联到核心设备，生产车间网络以及办公区域网络直接通过接入交换级上联至核心交换，由核心交换、防火墙、汇聚交换设备共同处理相关的访问控制工作。本次设计网络拓扑如下：2.2 方案建议及设备选型依据根据河南科技学院图书馆新馆网络工程的技术规范要求以及华为公司全系列数通产品及解决方案特点，本着满足业务优先、先进实用、平滑演进等原则

6、，我单位选择华为公司在本期项目中建议的设备以及相关设备的建网方案优势如下：网络档次高、层次分明：采用最高能力交换机，按照网络层次依次选择合理产品，各层次产品之间系列化程度高，可靠性强。负载分担的网络：以最大化网络资源负载分担为原则，通过设备间链路的分配调整，实现网络资源合理分布，增加可靠性。安全的双平面的设计：本次为网络结构通充分保证网络安全备份及冗余性，整体提高网络的可靠性等级系数。 良好网络兼容性能：在现网大量的应用环境中，华为设备表现出与其他设备厂商良好的互通性，在各大电信运营商网络都有商用。优化的网络性能：建议的部署方案，能够保证网络在故障情况下快速实现业务流量疏导，提高整个网络质量，

7、保证网络能够承载。多业务的IP网络：优化后的网络具备极强的可扩展性能，除了具备大流量承载能力，还可提供IPTV等多种业务。平滑的割接方案：我公司有丰富的网络割接经验，可以保证网络调整到合理的结构，并保证现网业务尽可能的不受影响，保证平滑割接。3 网络设计3.1 IP 地址规划IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。需要在所分配的IP地址网段中尽可能地利用地址空间，充分考虑地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将融高太阳能公司网络改造工程业务工作的可用性、可靠性和

8、有效性以及保密性产生显著影响。通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此，核心层应象一个区域或一个节点一样，被分配一段连续的地址。IP地址规划遵循以下原则：1. IP地址的规划与划分应该考虑到业务飞速发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；2. IP地址的分配需要有足够的灵活性，能够满足各种用户接入；3. IP地址的分配可以采用VLSM技术，以保证IP地址的利用效率；4. 充分合理利用已申请的地址空间，提高地址的利用效率。本次IP地址规划是要解决有效利用地址空间、有利于路由设计、解决公网地址严重不足等问题。首

9、先是骨干设备的地址，由于地址空间实在紧张，所有设备的管理地址可以采用私网地址。企业网内地址规划的一种方式是将所有私有地址限制在一定的区域内，无论私有地址用户访问的目的地是企业网外网络还是企业网内网络，其均要进行地址转换。在企业网内骨干网上将不存在私有IP子网的路由，各片区的私有地址可自行定义使用。其缺点是企业网内私有地址间互访的流量均经地址转换，性能受到影响，NAT设备的压力较大。另一种方式是，无论采用公用还是私有IP地址的用户，可直接进行企业网内互访不需进行地址转换，各边界三层交换机有相应的路由信息，企业网的保留地址进行统一的规划，其路由信息可在全网络内传播。对于访问企业网外的用户，需区分其

10、使用的是私有还是公有IP地址，对于公有IP地址用户也无需进行地址转换，使用私有IP地址用户为访问企业网外的网络时必须进行NAT转换。在企业网出口处应采用源路由方式(策略路由)将流量导向NAT设备。建议采用具有硬件处理能力的线速NAT设备。企业网络中地址分配最主要的因素是公网地址空间的缺口：我们都知道IP网分配了公用IP地址。用户人数在不断增长，将远远超过可用地址数，这将成为一个非常严重的问题。由于大部分的个人用户不需要固定的IP地址，因此对个人用户采用动态的IP地址分配可以节省到的地址资源。而采用NAT/PAT的方式，可以将网络公用地址的需要节省到几十分之一甚至更多的程度。但后一种方式的主要问

11、题是NAT/PAT转换的性能问题，第二个问题是可能会影响某些应用。而实际上，地址缺口的大小不仅取决于可用空间和用户数，并且与采用的用户安全技术和产品有关。如果采用以太网和per user perVLAN的方式，地址消耗太大，使用私网地址+NAT是合理的选择。第二个因素是采用的产品的特性。由于目前单台设备的NAT/PAT的性能不理想，解决的方法是由边缘层交换机分担完成该功能。第三个因素是是否考虑NAT/PAT对应用的影响。可能某个用户需要采用某种应用而该应用不能穿过NAT/PAT设备，如某些多媒体应用和VPN应用。第四个因素是是否考虑可能的政策调整。综合以上多种考虑，对于采用IP网作为企业网主要

12、载体的企业，我们建议：对企业内部办公网络及部门工作网络采用私有网络地址分配，由防火墙进行NAT转换，对网络服务器设备以及VPN等设备进行公网地址的分配。3.2 VLAN规划VLAN是基于交换层（即数据链路层）划分的。为上层提供服务，但与上层的协议无关，VLAN能制约数据帧在本VLAN的一切活动，无需关心上层协议下传的分组类型，因此VLAN在具体的应用上将具有优越的实用性。而更吸引人的特点是VLAN的划分可以结合先进的网络管理平台来进行。各终端用户的变动，只需在网管工作站作相应的配置即可，使系统的可管理性、可维护性更好。我们亦可采用虚拟局域网技术将地理位置不同的、同属一个单位的几个局域网划分成一

13、个虚拟网段，以便单位内部的数据共享和管理。VLAN架构的目标是使联网更加容易，从而网络管理人员能够集中精力提供应用程序和服务。VLAN架构帮助各机构大大降低了网络移动与变更的高昂费用。它还增强了对广播与组播通信的管理，提高了网络安全性，实现了网络管理中许多方面的自动化，并减少了局域网中对路由器的需要。最后，VLAN架构使各机构能够在网络管理中实现极高程度的自动化。VLAN架构全面应付解决了VLAN实施的四个关键领域：VLAN成员中如何定义的，VLAN成员信息是如何在多台交换机上交流的，VLAN配置的自动化程度如何，以及通信是如何在不同VLAN之间传输的。1、定义VLAN基本方法：通过交换端口组

14、。2、实现VLAN间通信的方式：采用虚网技术对融高太阳能公司网络进行虚网划分后，可以达到以下目的：降低移动与变更的管理成本比路由器更具成本效益的广播控制支持多媒体应用程序与高效组播控制增强的安全性网络监督与管理的自动化减少路由需要更为有效的网络监控VLAN划分的方法1）按端口划分。将VLAN交换机上的物理端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。这种按网络端口来划分VLAN网络成员的配置过程简单明了，因此，它是最常用的一种方式。其主要缺点在于不允许用户移动，一旦用户移动到一个新的位置，网络管理员必须配置新的VLAN。（2）按MAC地址划分。VLAN工作基于工作站的

15、MAC地址，VLAN交换机跟踪属于VLAN MAC的地址，从某种意义上说，这是一种基于用户的网络划分手段，因为MAC在工作站的网卡（NIC）上。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份，但这种方式要求网络管理员将每个用户都一一划分在某个VLAN中，在一个大规模的VLAN中，这就有些困难。（3）按网络协议划分。VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来

16、说是非常具有吸引力的，而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。这种方式不足之处在于，可使广播域跨越多个VLAN交换机，容易造成某些VLAN站点数目较多，产生大量的广播包，使VLAN交换机的效率降低。（4）按IPIPX划分。基于IP子网的VLAN，可按照IPv4和IPv6方式来划分VLAN。其每个VLAN都是和一段独立的IP网段相对应的，将IP的广播组和VLAN的碰撞域一对一地结合起来。这种方式有利于在VLAN交换机内部实现路由，也有利于将动态主机配置（DHCP）技术结合起来，而且，用户可以移动工作站而不需要重新配置网络地址，便于网络管理。其主要缺点在于效率要比第二层

17、差，因为查看三层IP地址比查看MAC地址所消耗的时间多。基于IPX的VLAN，也是按照OSI（开放系统互连）模型的第三层地址来设计的。（5）按策略划分。基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。（6）按用户定义、非用户授权划分。基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，特别的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，得到VLAN管理的认证后才可以加入一个VLAN。在融高

18、太阳能公司中，网络的主干部分（及核心层与汇聚层之间）运行动态路由协议，每个汇聚层交换机作为第三层设备将会成为广播流量的边界，从而也中断了VLAN跨过主干网络，可以说每个汇聚点都是一个VLAN管理的域，不同的VLAN 管理域之间的VLAN从命名上或VLAN ID号的分配上都没有任何关系。而在每个VTP域中，VLAN1专门用于交换机之间控制面板流量的传输，而不承载用户数据，也不作为管理VLAN，并在Trunk上清除了VLAN1的用户流量以减小VLAN1生成树的直径。VLAN为各个VTP域的管理VLAN，专用于校园网所有交换机的telnet和SNMP远程管理。VLAN的划分有许多的方法，考虑到终端用

19、户位置的相对固定性，全网VLAN的划分的方法采用按网络端口来划分VLAN的方法，这样的方法使得配置过程简单明了，而且这也是最常用的一种方式。考虑到VLAN之间的数据通讯，本网络上VLAN的划分还必须结合IP子网的划分，即一个VLAN同时就是一个IP子网的网段。VLAN的划分从理论上来说是可以跨地域范围的，但还是建议基于一定的地理位置来划分VLAN，这不仅可以把广播限制在一定的区域，而且为VLAN到网络中心的访问提供了确定的访问路径，便于troubleshooting，也为交换机式网络升级到路由网络提供了便利。PVLAN当接入用户比较多时而又要保证相互之间的安全，一般所采用的方法就是采用VLAN

20、进行共同工作组的划分。可以将每个以太网接入的客户放置于独立的VLAN中，这样客户彼此之间是完全从L2层隔离的。但当接入的用户数量多时，如果为每一个需要隔离的用户都分配一个VLAN，则网络设备所能够支持的最大VLAN（通常为256 4096个）的数量就会不够用，同时IP地址网段的需求量也会非常大，因此，传统的做法实现很困难甚至不能使用。因此针对该问题，提出了Private VLAN技术，正好可以解决这些问题。 Private VLAN能够提供端口之间的第二层的隔绝，同时又使这些端口具有标准VLAN的特性。Private VLAN可以把一个大的IP地址域划分成多个地址组，各个地址组之间不能互访，既

21、实现了安全隔离又省却了地址划分及重规划的复杂，节约了IP地址。 在Private VLAN的概念中，交换机端口有三种类型：Promiscuous port（混杂端口），Isolated port（隔离端口），Community port（共有端口）；它们分别对应不同的VLAN类型：Isolated port属于Secondary VLAN，Community port属于Additional Secondary VLAN，而代表一个Private VLAN整体的是Primary VLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuous port。在Secondary V

22、LAN中，Isolated port只能和Promiscuous port通讯，彼此不能交换流量；在Additional Secondary VLAN中，Community port不仅可以和Promiscuous port通信，而且彼此也可以交换流量。建设网络的目的是为了应用。无论网络硬件平台多么先进，没有与之配套的先进应用系统，网络的价值就无法得到真正的体现。而本期项目中以基于端口和基于路由的VLAN划分方法为主，除了公共VLAN，网管VLAN，关键领导VLAN等特殊网段，按照部门和单位进行其他VLAN网段的划分。3.3 路由规划3.3.1 无类别的路由协议和VLSM由于第一代路由协议Cl

23、assful Routing将造成IP地址的不能有效使用，因为它要求同一主类网络（A、B、C）的IP编址在所有的路由器接口上必须使用相同的子网掩码，所以在路由规划时应该采用第二代的路由协议即无类别的路由协议，与此相配合的IP地址规划也采用VLSM，且在路由更新传播中交换子网掩码信息。3.3.2 体系化的设计和路由总结减少路由表项是大型路由型网络中的一个巨大的挑战，一些策略如确省路由、路由过滤、体系化IP地址编码、路由总结都可以减少路由器中路由表的条目的多少。在校园网络中应该实现层次化的IP地址规划，以便路由总结到相应的路由前缀位。与此同时，在OSPF网络规划中，还应尽量地划分区域，把一定的路由

24、和路由信息限制在一定的区域内。3.3.3 企业网骨干路由设计企业网骨干路由使用OSPF路由协议。 OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由交换信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA（Link State Adver

25、tisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。 随着Internet技术在全球范围的飞速发展，OSPF已成为目前Internet广域网和Intranet企业网采用最多、应用最广泛的路由协议之一。OSPF（Open Shortest Path First）路由协议是由IETF（Internet Engineering Task Force）IGP工作小组提出的，是一种基于SPF算法的路由协议，目前使用的OSPF协议是其第二版，定义于RFC1247和RFC1583。SPF算法是OSPF路由协

26、议的基础。SPF算法有时也被称为Dijkstra算法，这是因为最短路径优先算法SPF是Dijkstra发明的。SPF算法将每一个路由器作为根（ROOT）来计算其到每一个目的地路由器的距离，每一个路由器根据一个统一的数据库会计算出路由域的拓扑结构图，该结构图类似于一棵树，在SPF算法中，被称为最短路径树。在OSPF路由协议中，最短路径树的树干长度，即OSPF路由器至每一个目的地路由器的距离，称为OSPF的Cost，缺省算法为：Cost = 100106/链路带宽。 在这里，链路带宽以bps来表示。也就是说，OSPF的Cost 与链路的带宽成反比，带宽越高，Cost越小，表示OSPF到目的地的距离

27、越近。举例来说，在参考带宽为100Mbps时，FDDI或快速以太网的Cost为1，2M串行链路的Cost为48，10M以太网的Cost为10等。 作为一种典型的链路状态的路由协议，OSPF还得遵循链路状态路由协议的统一算法。链路状态的算法非常简单，在这里将链路状态算法概括为以下四个步骤： 当路由器初始化或当网络结构发生变化（例如增减路由器，链路状态发生变化等）时，路由器会产生链路状态广播数据包LSA（Link-State Advertisement），该数据包里包含路由器上所有相连链路，也即为所有端口的状态信息。 所有路由器会通过一种被称为刷新（Flooding）的方法来交换链路状态数据。Fl

28、ooding是指路由器将其LSA数据包传送给所有与其相邻的OSPF路由器，相邻路由器根据其接收到的链路状态信息更新自己的数据库，并将该链路状态信息转送给与其相邻的路由器，直至稳定的一个过程。 当网络重新稳定下来，也可以说OSPF路由协议收敛下来时，所有的路由器会根据其各自的链路状态信息数据库计算出各自的路由表。该路由表中包含路由器到每一个可到达目的地的Cost以及到达该目的地所要转发的下一个路由器（next-hop）。 第4个步骤实际上是指OSPF路由协议的一个特性。当网络状态比较稳定时，网络中传递的链路状态信息是比较少的，或者可以说，当网络稳定时，网络中是比较安静的。这也正是链路状态路由协议

29、区别与距离矢量路由协议的一大特点。 OSPF路由协议 vs. RIP 前文已经说明了OSPF路由协议是一种链路状态的路由协议，为了更好地说明OSPF路由协议的基本特征，我们将OSPF路由协议与距离矢量路由协议之一的RIP（Routing Information Protocol）作一比较，归纳为如下几点： RIP路由协议中用于表示目的网络远近的唯一参数为跳（HOP），也即到达目的网络所要经过的路由器个数。在RIP路由协议中，该参数被限制为最大15，也就是说RIP路由信息最多能传递至第16个路由器；对于OSPF路由协议，路由表中表示目的网络的参数为Cost，该参数为一虚拟值，与网络中链路的带宽等

30、相关，也就是说OSPF路由信息不受物理跳数的限制。并且，OSPF路由协议还支持TOS（Type of Service）路由，因此，OSPF比较适合应用于大型网络中。 RIP路由协议不支持变长子网掩码（VLSM），这被认为是RIP路由协议不适用于大型网络的又一重大原因。采用变长子网屏蔽码可以在最大限度上节约IP地址。OSPF路由协议对VLSM有良好的支持性。 RIP路由协议路由收敛较慢。RIP路由协议周期性地将整个路由表作为路由信息广播至网络中，该广播周期为30秒。在一个较为大型的网络中，RIP协议会产生很大的广播信息，占用较多的网络带宽资源；并且由于RIP协议30秒的广播周期，影响了RIP路由

31、协议的收敛，甚至出现不收敛的现象。而OSPF是一种链路状态的路由协议，当网络比较稳定时，网络中的路由信息是比较少的，并且其广播也不是周期性的，因此OSPF路由协议即使是在大型网络中也能够较快地收敛。在RIP协议中，网络是一个平面的概念，并无区域及边界等的定义。随着无级路由CIDR概念的出现，RIP协议就明显落伍了。在OSPF路由协议中，一个网络，或者说是一个路由域可以划分为很多个区域area，每一个区域通过OSPF边界路由器相连，区域间可以通过路由总结（Summary）来减少路由信息，减小路由表，提高路由器的运算速度。OSPF路由协议支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信

32、息。并且OSPF可以对不同的区域定义不同的验证方式，提高网络的安全性。 OSPF路由协议对负载分担的支持性能较好。OSPF路由协议支持多条Cost相同的链路上的负载分担，目前基本上每个厂家的路由器支持6条链路的负载分担，最多的已经支持8条链路的ECP。出口策略路由器也是一台ASBR，需要发布到Internet上的缺省路由。3.3.4 多Internet出口的策略路由Internet出口防火墙应提供了基于IP策略的路由转发机制，可以配置按照定义的IP策略来路由分组，来充份利用网络资源。IP策略是复杂的静态路由，它能够基于第3层、第4层头信息来转发分组。可以定义IP定义一个IP策略让一个路由分组到

33、一系列指定的下一跳IP地址，可以基于以下组合来制定IP策略。 IP协议 源IP地址 目的IP地址 源套接口 目的套接口 服务类型融高太阳能公司具有多个广域网出口，为充分利用这些网络资源，在路由策略上可以进行灵活地选择。此外，还可根据应用的类型进行出口路由选择。在高性能的互联网络中，各个公司/组织机构都希望网络具有一定的灵活性，以便可以根据自己定义的、在传统路由选择协议考虑之外的策略来实施数据包的转发和路由。通过使用基于策略的路由可以实施有选择地让数据包采用不同的路径的策略。基于策略的路由也提供了一种用不同的服务类型(TOS)来标志数据包的机制。这个特性可以与排队技术一起使用以使特定类型的数据流

34、得到优先的服务。在网络中实施基于策略的路由可以得到以下的利益：基于源IP地址的路由选择：Internet服务提供商和其他组织可以采用基于策略的路由经过不同的Internet连接和策略路由器来转发起源于不同用户组的数据流；服务质量（QoS）服务提供商和组织可以通过在网络边缘路由器商设置IP数据包包头中的优先级或TOS值，并利用排队机制在网络核心或主干中为数据流划分不同的优先级来提供QoS以区分数据流；节省开销：服务提供商和组织可以让与特定的具体活动相关的大量数据流在短期内使用一条更高带宽的和高成本的链路，而为交互式数据流继续提供低带宽、低开销链路商的基本连接。例如，为了应付到财务服务器的、由策略

35、路由所选择文件传输的数据流，按需拨号ISDN线路可能被启用；负载均衡：除了软件所支持的基于目的地路由所提供的动态负载均衡能力以外，网络管理员可以实施策略路由以根据数据流的特性在多条路径上分发数据流。基于策略的路由被应用于进入的数据包，启用了基于策略的路由的接口所接收的所有数据包都被考虑执行基于策略的路由。路由器用路由映象过滤数据包，根据路由映象中所定义的规则，数据包被转发到适当的下一跳。路由器通常根据其路由表中的信息将数据包转发到目的地址，与根据目的地址进行的路由不同，基于策略的路由使网络管理员能够决定和实施路由策略以根据下面几点容许或拒绝路由：源系统的身份；运行的应用；所用的协议；数据包的大

36、小。用于基于策略的路由的路由映像语句可以被标志为容许或拒绝。如果一条语句标志为拒绝，那么满足匹配标准的数据包将从正常的转发通道被转发出去（换句话说，执行基于目的地的路由）。只有被标记为容许，并且数据包满足所有匹配的标准时，才应用“set”命令。如果在路由映像中没有发现匹配，则数据包将通过正常路由通道转发。基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力，传统上，路由器用从路由协议派生出来的路由表，根据目的地址进行报文的转发。基于策略的路由比传统路由强，使用更灵活，它使网络管理者不能够根据目的地址而且能够根据报文大小、应用或IP源地址来选择转发路径。策略可以定义为通

37、过多路由器的负载平衡或根据总流量在各线上进行转发的服务质量（QOS）。策略路由使网络管理者能根据它提供的机定一个报文采取的具体路径。而在当今高性能的网络中，这种选择的自由性是很需要的。策略路由提供了这样一种机制：根据网络管理者制定的标准来进行报文的转发。策略路由用MATCH和SET语句实现路径的选择。3.3.5 组播路由设计组播能力可以最大程度地节省网络带宽资源，它可以使同样的数据无需在网络中传送多次即可到达终端用户。组播协议包括组管理协议IGMP和组播路由协议（DVMRP、MOSPF、PIM等）。IGMP负责本地路由器到直接与它相连的子网的组播分组的发送，并不关心路由器间或跨越中间网络的组播

38、分组转发。组播路由协议则完成路由器间和跨网络的组播分组的转发任务。终端用户通过IGMP协议通知路由器所希望加入的组播组，路由器确定出 每个组播组内的用户所在的位置。 据网络的实际情况，有两大类组播路由协议：密集模式和稀疏模式。两者之间没有固定的界限。一般说来，可以从两个方面详细区分： 员分布非常广泛或组员占总用户数的比例较小时，建议采用稀疏模式。 集模式适用于小型网络，其假设是全网有非常密集的组员存在，采用广播剪枝的工作策略。密集模式的路由协议包括DVMRP、MOSPF和PIMDM。 稀疏模式默认所有机器都不需要收多播包，只有明确指定需要的才予以转发。稀疏方式的路由协议包括PIMSM和CBT。

39、 由于大量的基于组播技术的网络应用涉及视频和音频的应用，因而如何保证基于组播的服务质量的要求也至关重要。本网络应提供了功能强大的IP Multicast 路由协议：PIM Sparse Mode （Protocol Independent Multicast - Sparse Mode ） (RFC 2362),并提供Multicast BGP( MBGP)/ Multicast Source Discovery Protocol (MSDP)用于跨AS提供IP Multicast服务。3.4 QOS 设计在传统的IP网络中，所有的报文都被无区别的等同对待，每个路由器对所有的报文均采用先入先出

40、（FIFO）的策略进行处理，它尽最大的努力（best-effort）将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。随着IP技术的日趋成熟，IP网络电信化已经成为大势所趋，于是形成了语音、视频、数据等多种业务IP统一承载，由于语音、视频等实时业务自身的特点对承载平台提出了严格的服务质量要求，因此就必须在网络中部署相应的QoS技术，使得网络管理者能够有效地控制网络资源的使用，能够在有限资源的IP平台上综合语音、视频及数据等多种业务，能够区分业务、针对不同的业务提供特色的差分服务。QoS旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提供专用带宽、减少报文丢失率、降

41、低报文传送时延及时延抖动等。为实现上述目的，QoS提供了下述功能：1. 报文分类和着色2. 避免和管理网络拥塞3. 流量监管和流量整形4. QoS信令协议在河南科技学院图书馆新馆网络改造工程网络构建中，将会设计合理的QOS保障方案，利用有限的资源，以获得更好的网络使用效益，是非常必要的。良好的QOS保障方案可以确保一般情况下网络具有最好的使用效率、实时业务具有较小延时，恶劣情况下保证关键业务得到应有的网络服务。衡量QoS的指标包括：带宽/吞吐量 - 指网络的两个节点之间特定应用业务流的平均速率；时延 - 指数据包在网络的两个节点之间传送的平均往返时间；抖动 - 指时延的变化；丢包率 - 指在网

42、络传输过程中丢失报文的百分比，用来衡量网络正确转发用户数据的能力；可用性 - 指网络可以为用户提供服务的时间的百分比。在河南科技学院图书馆新馆改造工程网络中QOS方案部署如下：接入层交换机接入端口不同业务进行VLAN标记,并可以对报文进行802.1P优先级标记，以便后续的汇聚交换机和核心交换根据相应优先级标记（802.1P、DSCP）进行调度，当然还可以根据策略的需要部署CAR流量监管策略，对用户的接入速率进行控制，保证河南科技学院图书馆新馆改造工程网络始终处于健康（轻载）的运行状态。3.5 可靠性设计本次工程通过如下设计保证网络的可靠性：接入交换机通过两条GE链路上联核心交换机，消除链路的单

43、点故障，保证业务的连续性和可靠性。核心交换机配置冗余电源和引擎，消除了模块和节点的单点故障，保证业务的连续性和可靠性。在服务器与核心交换机的连接方面，可以改进为双上联方式，消除单链路故障，保证业务的连续性和可靠性。通过上述多种设计，有效的提高了河南科技学院图书馆新馆改造工程网络的可靠性，充分保证了承载业务的连续性和可靠性。3.6 华为设备介绍3.6.1 S5700系列交换机系统特性S5700系列全千兆企业交换机（以下简称S5700），是华为公司为满足大带宽接入和以太多业务汇聚而推出的新一代绿色节能的全千兆高性能以太交换机。它基于新一代高性能硬件和华为公司统一的VRP?（Versatile Ro

44、uting Platform）平台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足企业用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景。该系列交换机融合了可靠、安全、绿色环保等先进技术，采用简单便利的安装维护手段，帮助客户减轻网络规划、建设和维护的压力，助力企业搭建面向未来的IT网络。S5700为盒式设备，机箱高度为1U，提供标准型（SI）和增强型（EI）两种产品版本。标准型支持二层和基本的三层功能，增强型支持复杂的路由协议和更为丰富的业务特性。产品特点 强大的多业务支持能力 S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave

45、/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，充分满足IPTV和其他组播业务的需求。S5700支持Multi-VPN-Instance CE（MCE） 功能，实现了不同VPN用户在同一台设备上的隔离，有效解决用户数据安全问题，同时降低用户投资成本。S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP（Rapid Ring Protection Protocol，快速环网保护协议）等增强型以太技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质量。此外，针对Smartlink和 RRPP均提

46、供多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。S5700支持以太Trunk（E-Trunk）功能。在使用E-Trunk之后，CE设备可以通过E-Trunk双归接入到两台PE设备上，实现了跨设备的链路聚合和链路负载分担功能，极大的提升了接入侧设备的可靠性。S5700支持智能以太保护SEP（Smart Ethernet Protection），SEP是一种专用于以太链路层的环网协议，适用于半环组网场景，提供50ms的快速业务倒换性能，保证业务的不中断。SEP协议简单可靠、倒换性能高、维护方便、拓扑灵活，可以大大方便用户进行网络的管理和规划。S5700支持双电源冗余供电，也可以交、直

47、流同时输入。用户可灵活选择单电源工作模式或者双电源工作模式，提高了设备可靠性。S5700 EI系列支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组，构建故障时的冗余路由拓朴结构，保持业务接入的连续性和可靠性。还支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一个备份路由上去，实现上行路由的多级备份。S5700支持BFD链路快速检测功能，能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制，提高了网络可靠性。S5700遵循IEEE 802.3ah和802.1ag提供点到点以太网故障管理功能，可以用于检测用户侧最后一公里以太网直连链路上的故障。 丰富的QoS策略和安全机制S5700能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分类功能。S5700支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRRSP、DRR+SP多种队列调度算法，有效地保证话音、视频和数据业务质量。S5700提供多种安全保护功能。支持DoS（Denial of Service）类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、