大学校园网建设技术建议.doc

《大学校园网建设技术建议.doc》由会员分享，可在线阅读，更多相关《大学校园网建设技术建议.doc（118页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流大学校园网建设技术建议.精品文档.大学校园网建设技术建议书目录1概述41.1校园网建设背景41.2 XXXXX大学校园网建网需求分析51.2.1 一般建网需求51.2.2 XXXXX大学建网需求6XXXXX大学的用户需求请自行添加。61.3 整体建网原则72总体网络设计92.1核心改造组网描述92.2 网络层次介绍：103网络业务设计133.1地址分配解决方式的选择133.2 S5600汇聚层交换机万兆的支持133.3华为XXXXX大学解决方案特点：143.3.1 完全的分布式的处理方式143.3.2良好的互通性153.3.3 核心交换机先进

2、的体系架构设计153.3.4 基于流攻击的防止。153.3.5 汇聚层强大的IRF扩展性能153.3.6高可靠性汇聚层组网架构：243.3.7 E系列接入层交换机253.3.6 QOS功能263.3.7 广播风暴的抑止273.3.8 组播业务273.4 XXXXX大学IPv6网络设计283.4.1 IPv6的优势283.4.2 整体设计293.4.3 IPv6运行模式设计303.5网管解决方案334XXXXX大学用户管理及安全方案374.1校园网用户认证管理需求分析374.2校园网用户管理认证方案概述384.3业务认证、授权管理描述384.3.1认证选择设计802.1X3844 CAMS对用户

3、上网认证的管理424.4.1 用户需求分析424.4.2 CAMS解决方案424.4.3 业务认证流程554.4 管理方案的坚定执行者：E050、E026智能交换机574.4.1 端口IPMAC地址的绑定：574.4.2 接入层防Proxy的功能574.4.3 MAC地址盗用的防止584.4.4 MAC地址反查，防攻击特性584.5 Guest VLAN 实现用户客户端的安全下载585核心网安全设计605.1校园网BT业务限流量的解决方案605.2多元绑定技术对XXXXX大学安全的应用655.2.1校园网的安全特征：655.2.2绑定技术为XXXXX大学规划高安全的校园网。675.3、防止对D

4、HCP服务器的攻击715.3.1 Private VLAN715.3.2 访问控制列表715.3.3 新的命令725.4、恶意用户追查725.5 防病毒攻击725.6 EAD全网安全联动解决方案735.7 网络管理安全设计755.8组网安全性设计785.9出口运营商线路备份796组网核心设备介绍806.1 Quidway S8500系列万兆核心路由交换机806.2 Quidway S6500系列高端多业务交换机866.3 服务器群万兆汇聚交换机S5600916.4 Quidway E系列教育网以太网交换机956.5 Quidway S3026C-PWR智能型以太网供电交换机1036.6 Qui

5、dway NetEngine 40系列通用交换路由器(USR)1076.7网管系统QuidView1127华为3COM公司售后保障体系1187.1两小时厂家上门服务1187.2服务组织结构1187.3服务及时性保障1207.4服务有效性保障1217.4.1 724小时热线技术支持电话1217.4.2 区域技术支持平台1217.4.3 网上问题处理系统1227.4.4 完善的实验平台1227.4.5 高效快捷的备件系统1227.4.6 技术支持网站与技术支持论坛1237.4.7 完备的技术支持资料开发系统1238.华为3COM认证培训体系介绍1249.部分教育行业用户名单及案例129多业务高带宽

6、解决方案清华大学美术学院131校园网高性能、综合管理解决方案北京邮电大学132深度业务检测解决方案北京外国语大学133高性能、高稳定、多级分层网络解决方案江南大学校园网134两校区大流量互联解决方案安徽大学135高可靠性校园环形网广东工业大学136多业务、新技术融合兰州理工大学数字化校园网137多校区互联、高带宽解决方案山东大学校园网138下一代高性能互联网骨干解决方案Cernet2骨干网建设139高性能、高带宽、高稳定巨型核心网解决方案广州大学城主干网140多校区、环形核心、超大校园网解决方案浙江大学校园网1411概述1.1校园网建设背景2004年7月20日，中国互联网络信息中心(CNNIC

7、)在京发布“第十四次中国互联网络发展状况统计报告”。报告显示，截止到2004年6月30日，我国上网用户总数为8700万，比去年同期增长27.9%，上网计算机达到3630万台。网络国际出口带宽增长飞速，总数达到53.9G，比去年同期增长190.3%。CN下注册的域名数、网站数分别达到38万和62.7万。8700万网民当中，教育的用户占有12.5%，教育用户当中绝大部分的网民主体是来自于学生用户，报告中主要数据说明，前十年的发展取得丰硕成果，我国互联网事业正在持续快速的发展，并在普及应用上进入崭新的多元化应用阶段！互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。 同时，随着国家信息化

8、工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。在信息化的建设过程中，它的作用体现在如下几个方面： 1、校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。 2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3、校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界

9、交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。 教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。1.2 XXXXX大学校园网建网需求分析1.2.1 一般建网需求XXXXX大学的网络的建设主要是对于原校园网络的改造，改变原有校园网的带宽较小、性

10、能低等原因。在实际的建设过程当中，应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性，如：校园网内部的服务器的访问，由于学生的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析XXXXX大学网络基础设施建设和网络运营方面相关的内容。XXXXX大学校园网络建设从网络流量模型上看和企业网的流量模型相似，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方。主要特点如下：1、 多出口的需求：典型的组网有中国教育和科研网（CERNET）出口和运营商网络出口。多出口带来了以下两个需求：1) 多权限ISP需求。用户可通过不同的账号名或采用相同的账号

11、，不同的域名认证，获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器，采用“user163”登录，可实现Internet和校园网络自由访问，采用“usercrenet”登录，可访问CERNET和校园网。用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。2) 多ISP分别计费的需求，对应不同的ISP，计费策略不一致。考虑到用户的以上的需求，需要在学校的内部提供不同的路由策略，即用户访问教育网的相关站点，通过CERNET的线路，而访问其他的网站如：新浪网、263等网站则选择运营商的线路作为出口路由，这要求核心的交换机或出口路由器能够提供策略路由以支持该特性

12、。2、用户管理的需求：1) 使用方便，存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整（隐性需求）、多WEB界面（隐性需求）等。2) 需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3) 能够实现全网的安全管理，包括：IP、MAC的盗用问题、防止接入用户的非法DHCP Server、Proxy等用户。4) 对于用户的上网行为能够实现实时的跟踪以及时候的追查。5) 对用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，譬如限制为64K 、256K、512K、1M、2M、5M、10M等等级。3、多种教学方式并行的需求：随着校园网的信息化

13、的发展，越来越的多教学方式依托于网络给学生提供多种的特色教学模式1) 多媒体教学。为了更好的为学生提供全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。2) VOD 点播业务实现，通过建立VOD视频服务器平台，利用交换机提供的组播功能，为XXXXX大学的用户提供优质的视频效果，同时节省用户带宽。4、安全管理的需求：1) 校园用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有DOS，DDOS等2) 上网日志的需求，主要是配合公

14、安机关保证社会的稳定和校园的安全6、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。1.2.2 XXXXX大学建网需求XXXXX大学的用户需求请自行添加。 1.3 整体建网原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在 安全、可管理性较差、无业务增值能力 等方面的问题。现在XXXXX大学校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全

15、性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于对XXXXX大学校园网业务需求的深入理解，结合自身产品和技术特点，华为公司推出了了完善的XXXXX大学校园网解决方案，为XXXXX大学提供“高扩展、多业务、高安全”的精品网络。XXXXX大学网络建设遵循以下基本原则：高带宽XXXXX大学网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性XXXXX大学校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是

16、网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到XXXXX大学用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，XXXXX大学校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功

17、能，实现网络设备的统一管理。 安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。2总体网络设计2.1核心改造组网描述XXXXX大学校园核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。组网图如下所示：如图所示，XXXXX大学的校园网改造主要目的是将整个校园网的性能、带宽进行全网的改造，包括学生宿舍区以及教学区的网络改造，网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联，核心层分别由3个核心节点组成，包括教学区区域、学

18、生宿舍区、服务器群，每个节点采用一台S8500万兆核心交换机作为核心节点，承担着核心节点下所接入的数据信息，考虑到服务器群相对接入信息点数量较少，主要承担服务器群的接入访问，因此建议采用S8505万兆交换机。三个核心之间采用万兆相连，进而形成坚实的“铁三角”；汇聚层设在每个教学楼上，每个教学楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，建议采用华为3Com S5600作为楼层汇聚交换机；接入层就是每个楼的接入交换机，接入层交换机的选择仍然非常中要，考虑到接入层交换机的对于终端用户接入的控制起着非常重要的作用，因

19、此建议采用安全性、控制性较高的设备，我们在此建议采用华为3Com E050/E026接入交换机作为楼层接入交换机，E050/E026分别为48/24口交换机，用户可以根据接入信息点的数量灵活选择不同的产品，满足实际信息点数量的需求。2.2 网络层次介绍：在核心层，核心层主要采用三个骨干节点，分别为网络中心核心交换机（教学区），服务器群核心交换机，学生宿舍区核心交换机，此次网络的改造主要是为了实现骨干网带宽的提升，由原来的千兆骨干网带宽提升至万兆，网络内部采用动态路由协议OSPF，环网的构成进一步大大提高了网络的可靠性，同时华为S8512万兆交换机其背板容量1.8T，交换容量720G，包转发率4

20、32Mpps，具有14个插槽，包括12个业务插槽，S8505背板容量750G，交换容量300G，包转发率180Mpps，进一步满足大型节点高数据量转发的特点完全满足骨干节点的需求，整个改造后的IP网络与校园网核心交换机之间采用10GE的带宽相连大大扩大的原有的带宽，S8500万兆核心交换机采用Crossbar体系结构所有端口均线速转发。核心层的重点应当中重点考虑如何提高核心的组网架构，因此在实际的应用的过程当中建议采用环形的方式，如上图所示，铁三角的模式进一步提高了核心网的安全性以及稳定性。在汇聚层，由于宿舍区存在密集度高的大量用户，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层

21、。楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性。我们建议楼内汇聚采用Quidway S5600万兆核心交换机。Quidway S5600系列全千兆智能弹性交换机支持华为-3COM创新的IRF（Intelligent Resilient Framework）技术，能够实现用户网络的高度弹性智能扩展。利用IRF技术，用户可以将多台设备通过堆叠接口连接起来组成一个联合设备（Fabric），并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。同时S5600支持万兆上联最大程度的提高了汇聚层与核心交换机之间的带宽扩

22、展需求。在接入层，接入层是直接与用户相连的设备，因此，在实际的应用的过程当中我们建议采用华为3Com E050/E026产品，由于楼内布线采用千兆铜缆布线，所以建议通过在E050/E026上配置千兆电接口与楼内核心交换机S5600进行链接，这样将会进一步扩大带宽。华为3Com E050/E026具有48/24个固定的10/100M自适应以太网接口，2个扩展插槽，背板容量18.5G/12.8G，包转发率6.55Mpps可以实现所有端口的线速转发，支持各种类型的上行接口，支持堆叠。华为E系列接入层交换机具有强大的业务特性，可以支持256个标准的VLAN，VLAN ID均可达4096个并能够提供强大

23、的业务功能：如802.1X认证、动态ACL、动态Vlan、防止Proxy等功能。支持802.1X认证，其高性价比的特性可满足用户对于强业务、高性价比的组网要求用户认证、计费管理：出口处采用华为3Com专业用户认证计费设备MA5200作为全网出口计费设备，MA5200具有强大的认证功能，可以实现按流量计费、支持多种计费策略，同时可以实现监控全网的出口流量，同时其旁挂式的方式大大提高了网络的安全性，避免了在出口产生流量瓶颈的问题，本次组网采用CAMS综合管理软件实行全网的用户认证和计费管理。详细介绍参加第三章。网管平台：为提高网络管理的效率，减轻网络维护的压力，本次组网采用Quidview网管系统

24、进行全网设备的统一管理。Quidview网络管理软件是华为3Com公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品，位于网络解决方案的管理层，能够实现网元管理和网络管理的功能。Quidview网络管理软件基于灵活的组件化结构，包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。3网络业务设计3.1地址分配解决方式的选择根据XXXXX大学的用户特点，考虑到网络中心的维护工作量，这里我们建议采用动态DHCP的方式进行IP地址分配。考虑到IP地址的管理比较繁琐，在实际的应用的过程当中建议可

25、以与CAMS配合，实现IP地址分配至用户的方式进行IP地址的管理。3.2 S5600汇聚层交换机万兆的支持 从网络的整体结构上我们可以看出整个网络的设计是采用核心万兆环网，核心与汇聚、汇聚与接入之间均采用千兆的方式，接入与最终用户之间采用百兆的方式进行互通，整个网络的瓶颈在核心与汇聚之间的连接存在瓶颈，随着网络接入用户的不断扩大，汇聚与接入之间可以采用万兆的方式进行互联。华为3com S5600汇聚层交换机，交换容量192/240G，包转发率66/102Mpps可支持2个万兆接口上行，用户无需任何投资，可以直接购买10GE模块，可直接插到汇聚层S5600交换机上就可以实现万兆带宽的升级，原上联

26、GE接口可以作为下联接口用。整体组网如下所示：核心与汇聚层之间直接采用万兆的带宽将汇聚层存在的带宽瓶颈问题彻底解决，S5600汇聚层万兆交换机可为用户提前做好万兆升级的准备，减少用户投资。3.3华为XXXXX大学解决方案特点：华为XXXXX大学教育网组网解决方案的优点有以下几点：3.3.1 完全的分布式的处理方式S8500为用户提供完全的分布式的处理方式，XXXXX大学的校园网内部的数据量是非常大的，因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞。华为S8512背板交换容量1.8T够做到所有GE接口的双向的线速，华为公司的S8512的性能指标是经过完整的测试，而业界厂家在指标宣称上

27、面往往与给最终提供给用户的不一致。而用户又由于测试仪器的限制无法确认实际配置的性能，这一点在华为公司是绝对不会出现的。再次,分布式的转发，对于S8500路由查找是非常有益的补充。因为S8500的路由查找模式为最长匹配。这样就可以避免校园网内外的非法用户利用专门的攻击软件来攻击中心交换机，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CPU处理能力，直到彻底使主控处理板的CPU丧失处理能力，整个机器瘫掉。但是S8500是根据最长匹配来查找路由的，是针对网断进行路由的。所以当攻击者进行攻击时，S8512只能造成该接口板的业务能力处理下降，但是对于整机没有多大影响。这是我

28、们选则S8500的作为核心交换的非常重要的原因。3.3.2良好的互通性S8500 具有良好的互通性，S8500支持标准的路由协议，包括OSPF、BGP4、ISIS、RIP等路由协议，在实际的开局中与Foundry、思科、Exreme等多种厂家均能够实现互通，在华南理工大学、山东大学等用户都得到实际的应用验证。3.3.3 核心交换机先进的体系架构设计网络的背板技术经历了共享式、缓存式等发展，Crossbar技术被公认为最为完美的一种设计方式，华为3Com公司S8505交换机采用背板采用分布式Crossbar的技术，整机的转发不存在任何的瓶颈问题，同时， S8505可实现背板容量的平滑升级，除背板

29、采用Crossbar的方式，在接口板上，华为3Com公司S8505万兆核心交换机采用分布式Crossbar的技术，即在每个业务单板上面也同样采用Crossbar的技术，端口与端口之间的转发均有可直达的端到端转发通道，使得端口之间的转发不存在在任何瓶颈，大大提高了核心交换机的整机转发性能。3.3.4 基于流攻击的防止。华为3com所采用产品S8500、S5600等三层转发模式均为最长路由匹配技术。这样就可以避免校园网内外的非法用户利用专门的攻击软件进行的一些基于流的共计，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CPU处理能力，直到彻底使主控处理板的CPU丧失处理

30、能力，整个机器瘫掉。S8500是根据最长匹配来查找路由的，是针对网断进行路由的。所以当攻击者进行攻击时，不会造成S8500业务能力处理下降，对于整机没有影响影响。这是我们选则S8500的作为核心交换的非常重要的原因。3.3.5 汇聚层强大的IRF扩展性能S5600可以支持强大的IRF特性，可以扩大汇聚层与核心层之间的带宽以及可靠性，其相关技术如下：路由的热备份相对于传统的设备组网，IRF提供了真正的单播路由协议和组播路由协议的热备份。并且用户不需要花一半的投资专门用在备份设备上面，IRF中所有的设备都实际参与业务运行。IRF是在提供业务的同时进行备份。DRR实现了路由协议热备份的技术，做到了同

31、一个fabric中各个unit上路由信息的严格同步，并且在其中一个或多个unit出现故障的时候，其它unit可以照常运行并迅速接管故障unit的功能，此时，域内路由协议不会随之出现中断，二/三层转发流量和业务也不会出现中断，从而实现了真正意义上的不中断路由协议、不中断业务的故障保护和设备切换功能。IRF的分布式弹性路由链路的备份分布式的聚合技术进一步消除了聚合设备单点失效的问题，提高了聚合链路的可用性。由于聚合成员可以位于系统的不同设备上，这样即使某些成员所在的设备整个出现故障，也不会导致聚合链路完全失效，其它正常工作的unit会继续管理和维护剩下的聚合端口的状态。这对于核心交换系统和要求高质

32、量服务的网络环境意义重大。IRFIRF数据报文数据报文链路故障 分布式链路聚合（DLA）DLA技术允许IRF网络核心外的其他交换机等设备以多宿主的方式接入IRF网络核心，极大提高了全网的可用性。通过多条聚合链路流向IRF网络核心的流量将均匀分布在聚合链路上，当某一条聚合链路失效时，DLA能够将流量自动重新分布到其余聚合链路以实现链路的弹性备份和提高网络可靠性。高性能由于IRF设备是由多个支持IRF特性的单机设备堆叠而成的，IRF设备的交换容量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此，IRF技术能够通过多个单机设备的堆叠，轻易的将设备的核心交换能力、用户端口的密度扩大数

33、倍，从而大幅度提高了设备的性能。扩展性IRF技术最大支持八台设备的堆叠，用户可以按照自身的需要购买IRF交换机。由于业务的需要，如果用户需要扩展网络的容量，只需要堆叠更多的IRF交换机，就可以达到扩容的目的。IRF技术极大的保护了用户以前的投资，提高用户的投资效率。分布式设备管理1234IRF支持IRF技术的多台设备可以被看成是一台统一的设备来管理。用户将一个fabric当成一台整体设备进行管理高效的配置管理IRF技术最多可以连接8台设备组成一个fabric，无论是管理特性、还是转发特性，在用户看来，fabric就像是一台设备在运行。组成fabric的每台设备具有相同的桥MAC地址，单一管理I

34、P地址和三层转发地址。用户无论通过何种方式（console口、telnet、snmp）连接到fabric内的一台设备上，对fabric的配置只需要执行一次，fabric内的所有设备都将得到配置。软件版本升级相对于以前的简单堆叠，对堆叠体内多台单机进行软件升级的操作将要执行多次，而IRF交换机，通过WEB网管，用户只需要执行一次操作，就可以实现fabric内所有unit的软件的自动升级。设备的热插拔组成fabric的设备可以任意的插入和拔出，而不会影响当前fabric的正常运行。当一台设备通过堆叠线接入到一个正在运行的fabric内，原有的fabric就会检测到新的设备，同时验证新设备是否可以加

35、入到fabric，如果验证通过，新加入的设备将会得到原有的全局配置信息和转发信息，同时将自己设备特有的配置和转发信息散发到fabric内，经过短暂的信息交互后，新加入的设备就可以参与转发了。而这个过程丝毫没有影响原有设备转发过程。当然，这个过程也可以是两个现有的fabric进行合并，现有的转发不会受到影响。当从fabric断开一台或者多台unit，和该设备相关的配置、转发信息将被从剩余的设备内删除，从而不会造成转发失败。同时，分离出去的unit可能会自己形成一个新的fabric，由于fabric内所有的配置都是相同的，如果原来配置有三层接口，分离出去的fabric可能会和原来的fabric发生

36、IP地址冲突，即在网络中不同的设备上有相同的IP地址配置。为了避免这种情况发生，IRF使用Resilient Arp技术，探测fabric发生分离的unit之间是否存在IP地址冲突，如果存在，则把其中之一的设备降为二层设备使用，避免冲突而引起网络路由的振荡。分布式二层协议组成IRF的多台交换机就像一台设备在运行，当然这也包括很多协议的运行。IRF交换机支持的多数协议，例如RSTP、IGMPSNOOPING、LACP等，这些协议都是分布运行在fabric内的各个设备上，每个设备独立运行协议，与外部协议实体进行交互；同时为了保持IRF作为一个整体运行，unit之间完成必要的信息交互。在外界看来，组

37、成IRF的各个设备好像是一个协议实体在运行，而在内部，各个协议分布运行在IRF的各个设备上，每个设备都独立承担本设备的协议计算，协议在fabric内负载分担运行，这样不仅提高了设备的利用率，同时，由于是分布式运行，每台设备上只需要保留本unit的信息，任何一台设备上不需要fabric完整的协议状态信息，节省了大量的设备间备份操作。另外，fabric内任何unit发生故障，由于协议分别独立运行，相互之间的依赖关系不强，只需要简单操作，就可以恢复设备的正常运转。传统堆叠IGMP报文运行在IRF交换机上的IGMP-snooping，每个unit都只维护本unit上的路由器端口、主机端口，但是并不关心

38、其它unit上的端口号。如果本设备接收到IGMP主机加入报文，表明该设备需要转发多播数据，本unit就向fabric内其它unit发送一份通知消息，告诉fabric内其它unit需要向此unit转发数据，如果该设备以后再次收到相同组播组的主机加入消息，就不会再通知fabric其它unit 了。实现按需转发IGMP报文，在fabric内减少IGMP协议报文的拥塞冲突。IGMP 通用查询报文数据流IRFHost4Host3Host1Host2Unit1Unit3Unit4Unit2IGMP 主机加入报文数据流RouterIRF堆叠设备中IGMP报文分布式转发fabric内的设备通过堆叠口连接在一起

39、，堆叠的连接方式可以是多种多样的：串行连接、环形连接以及星型连接。如果采用环形连接，而且报文需要从fabric内其它unit转发出去，那么收到报文的unit一般会有两条路径选择将报文转发到出端口所在的unit上。IRF在进行转发时，会选择一条距离出端口所在unit最近的路径转发。这种最短路径的转发方式，比起单向的转发，不仅效率高，而且可以起到负载分担的作用。IRF技术完全实现了报文的分布式转发，无论是二层报文交换，还是三层报文的路由，都能够做到分布式转发。分布式的转发最大限度地利用了fabric内unit的带宽。二层转发在fabric内每台unit上，有足够的二层转发表项，指导报文在本地完成交

40、换，而无需再经过第三方的处理。当fabric内一台unit接收到转发报文，通过查找自己的二层转发表，就可以得到转发的出端口，这个端口可以是本地端口，也可以其它unit上的端口。如果出端口是本unit上的端口，则直接交换出去；如果是其它unit上的端口，则通过堆叠口转发到相应的unit上，再交换出去。但是无论端口是在本地，还是在其它unit上，转发过程只需要一次查询二层转发表，就可以被交换出去。在fabric内任何unit接收到转发报文，都会在本unit上进行源MAC地址学习，就像其它任何交换机所作的一样；但是，无论fabric内有多少台设备，IRF交换机必须表现的像一台交换机在工作一样，那么，

41、在一台unit上学习的二层转发表项，fabric内的其它unit也必须有，否则，报文就会在VLAN内广播。为了实现fabric内二层分布式转发，而且IRF内的交换机表现的象一台设备一样，当一台unit新学习到MAC表项以及用户配置的MAC表项，都需要同步到fabric内的其它设备上。当fabric发生变化，例如加入一台新的unit，新的unit需要获取原fabric的转发表项，同时将自己的转发表项同步到原fabric内。如果有unit离开，则需要把和此unit相关的表项从fabric内删除掉。三层转发同二层转发类似，IRF交换机实现了分布式的三层转发，即fabric上任意一个unit都有完整的

42、三层转发能力，当它收到待转发的三层报文时，可以通过查询本unit的三层转发表得到报文的出接口以及下一跳，然后将报文从正确的出接口送出去，这个出接口可以在本unit上也可以在其它unit上，因为fabric始终是作为一台设备进行工作的，任何一个unit上的接口都是fabric上的接口，将报文从一个unit送到另外一个unit是一个纯内部实现，对外界是完全屏蔽的，即对于三层报文来说，不管它在fabric内部穿过了多少unit，在跳数上只增加1，即表现为只经过了一个网络设备，在fabric内部的报文传递是不会改变报文的三层属性的。因此对于外界设备来说，fabric始终就是一台设备。Router1Ro

43、uter2Router3Router4IP 报文数据流Unit1Unit3Unit4Unit2IRF分布式三层转发不管转发出端口是在本地，还是在fabric内其它设备上，通过在本地一次查找路由转发表，报文就可以实现三层转发任务。相对于集中式的转发，减少了对单台设备的依赖，同时减轻设备的转发负载。组播转发组播数据转发是影响网络带宽的祸首，如何合理有效的处理组播数据转发是困扰业界的一个难题。同传统的堆叠技术和多台单机互联设备相比，使用IRF技术堆叠的设备，可以做到按需转发组播数据报文，减少设备间组播数据流量。IRF交换机将三层组播转发表和分布式IGMP-snooping有机的结合后，产生了交换上引

44、导组播数据转发的二三层结合的组播数据转发表。该组播转发表只维护本unit上的用户出端口和fabric内其他unit上出端口的unit号，而且只记录出端口所在的unit号，并不关心具体的端口号。这种高效的转发表从根本上解决了组播数据占用带宽的问题，保证了设备间只有一份报文传送。传统堆叠的组播数据转发IRFServerHost5Host4Host3Host1Host2Unit1Unit3Unit4Unit2Unit 4Unit 1Host 5SourceUnit2上的转发表组播数据流Host 5图9 IRF的组播数据转发3.3.6高可靠性汇聚层组网架构：如图所示，在实际的应用过程当中建议采用两台

45、楼层汇聚交换机跨设备捆绑与核心交换机形成带宽、线路上的负荷分担、链路扩展，两台S5600交换机之间采用IRF技术形成一个单一的Unit，同时又实现链路的跨设备捆绑进而实现链路的带宽扩大，再者当任何两台设备之间的链路出现问题，IRF都能构确保整个网络的安全、稳定。3.3.7 E系列接入层交换机1 端口IP地址的绑定：对于学生宿舍区的用户上网的安全性非常重要，华为E050/E026可以实现端口IP地址的绑定关系，一般的802.1X的认证的采用的是MACIP地址的绑定关系，但是由于学校学生毕业流动的缘故，PC机的MAC地址会不断的发生变化，学生的PC机随机的发生变化使得学校无法对整网进行维护，而且无

46、法防止学生IP地址欺骗的攻击，因此建议学校采用IP地址端口的绑定关系，如：每个宿舍分配一个IP地址，当用户通过802.1X 客户端认证通过以后用户便可以实现IP地址端口用户ID的绑定，这种方式具有很强的安全特性：防D.O.S的攻击，防止用户的IP地址的欺骗，对于更改IP地址的用户（IP地址欺骗的用户）可以实现强制下线。2 动态Vlan的功能对于位置移动的用户（有便携机），可以采用动态Vlan的技术来实现，用户的的Vlan是和用户的ID号对应的，用户可以通过不同地理位置的接入点上网，用户认证的过程当中，Raduis服务器会根据用户的ID号对应到用户所属的Vlan当中。这样学校便携机使用者能够方便

47、的使用学校的网络资源，同时学校有能够对移动用户进行管理监控。华为E050接入层交换机可以为用户提供强大的动态VLAN功能切实可行的为用户提供丰富的业务功能。3 接入层防Proxy的功能考虑到大学学生的技术性较强，在实际的应用的过程当中应当充分考虑到学生的Proxy的使用，对于Proxy的防止，华为3com公司E050配合华为3com公司的802.1X的客户端，一旦检测到用户PC机上存在两个活动的IP地址（不论是单网卡还是双网卡），E050将会下发指令将该用户直接踢下线。4 IP地址盗用的防止在校园网的应用当中IP地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自己获取的IP地址进行修改，然后在进行一些非法操作，在XXXXX大学的网络的设计当中我们针对该问题，在接入层交换机上提供防止IP地址盗用的功能，用户在更改IP地址后，802.1