机房改造设计方案

机房网络系统技术建议书目录目录第一章网络设计原则........................................................................-0-1.1可靠性原则..........................................................................-0-1.2安全性原则..........................................................................-0-1.3可扩展原则...........................................................................-0-1.4开放性、一致性原则...........................................................-1-第二章网络设计部分........................................................................-2-3.1网络设计分析........................................................................-2-3.1.2组网技术选择....................................................................-2-3.2网络设备选型.......................................................................-3-第三章设备介绍...............................................................................-4-3.1华为S5700系列交换机.......................................................-4-第五章遵循的主要标准和协议.............................错误!未定义书签。5.1网络标准和协议........................................错误!未定义书签。5.2网络管理标准............................................错误!未定义书签。5.3网络安全标准............................................错误!未定义书签。第一章网络设计原则根据信息部网络建设标准，我们在网络设计中严格遵循网络设计的各项原则。1.1可靠性原则网络设备要求可靠，关键部件如电源、风扇、主处理卡、背板、某些接口模块冗余设计。设备要适应特定的温度、湿度、电压变化等外部环境的变化；以支持关键线路的备份，保证网络结构的可靠性；充分考虑各部门对信息安全的需求，方案设计中注重考虑保证各类机密信息的安全。整个网络满足业务的实际需求，各部分关键线路，设备及数据均采用相应的容错及安全措施。1.2安全性原则安全的网络才是可靠的网络，网络的安全性能表现在：（1）设备管理的安全性：包括设备登陆、远程登陆时的多重身份认证、授权；（2）数据源的安全性：包括对数据源来访者采用身份认证、地址过滤、隔离子网等技术。网络设计采用的产品及技术具有较高的安全性，同时还考虑到其他方面的安全因素，从各个方面保证网络的安全性。1.3可扩展原则本次网络建设可以独立扩展，以满足未来业务的发展需要：（1）网络具有良好的扩展性能：设备采取模块化设计，可以在将来业务量较大的时候通过增加模块扩大容量；设备提供足够的交-1-换容量。（2）设备具有良好的升级性能：设备能支持更高的端口速率、支持新的组网技术。（3）设备要遵循有关国际标准和论坛标准，以利于多厂商互联。（4）网络采用先进的图形化界面的网管软件，管理人员可轻松监视和管理所有网络设备。网络结构及设备可根据实际需要平滑地进行调整和扩展。背板带宽及线路带宽完全满足未来扩展、扩容的需要。1.4开放性、一致性原则在监控系统中存在多种不同的业务，如话音、图像、IP数据流等。这些业务的接入方式各不相同。对用户而言，最理想的组网形式应是建立一个统一的交换平台，能支持多种不同业务。这样能大大减少网络的连接复杂度，人员培训的难度，以及网络管理的压力，并提高网络的可靠性，降低运行成本。简而言之，就是在建网的过程中利用尽可能少的网络设备提供尽可能多的网络业务，努力避免在一个节点上使用多个不同设备简单互连，以堆砌的方式提供多种业务。在建网的具体技术上，下列关键点应予以关注：（1）全网的业务互通性（2）话音、数据、传真等各种业务在整个网络的互通。大小节点的技术要求不同，但要求大小节点的业务必须能完全融合在一起。因此，网络设计所采用的所有网络设备均支持现有的协议、信令及不同厂家的产品。-2-第二章网络设计部分3.1网络设计分析机房网络系统的设计和建设从战略角度出发，结合本次项目要求及网络需求、网络产品和技术成熟度及网络发展的方向等方面考虑，对网络整体进行统一设计、实施，建设一套完整的、稳定可靠的、可持续发展的机房网络系统。3.1.2组网技术选择网络层次采用业界成熟的三层架构：接入、汇聚和核心，最后企业局园区通过出口层网络设备（路由器或交换机）连接到外网通过。这种分层的网络架构，可以保证根据的企业局需求，分别对不同层次进行扩容。如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大.黑客工具的危害性这就要求设备具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。交换机提供攻击防范功能，能够检测出多种类型的网络攻击，并-3-能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、PingofDeath攻击、Teardrop攻击、ICMPFlood攻击、SYNFLOOD攻击等。另外，以太网交换机的MAC地址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者通过不停的发送MAC地址来刷新，填充交换机的MAC地址表，由于MAC地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流量。华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描，并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击（SAI/DAI功能）。华为全系列交换机支持黑洞MAC功能，园区交换机收到报文时比较报文目的MAC地址，若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞MAC，从而将具有该MAC地址的报文过滤掉，避免遭受攻击。3.2网络设备选型根据机房网络系统的需求，在保证各项业务正常实现的情况下，做出了本次选型。华为交换机S5700-52C-SI48千兆电口（1台）华为交换机S57700-52C-EI48千兆电口（2台）-4-第三章设备介绍3.1华为S5700系列交换机华为S5700系列交换机是华为公司为满足大带宽接入和以太多业务汇聚而推出的新一代绿色节能的全千兆以太网交换机。它基于高性能硬件芯片和华为公司统一的VRP软件平台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足企业用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景。产品特点：成熟的IPv6特性S5700基于成熟稳定的VRP平台，支持IPv4/IPv6双协议栈、IPv6路由协议（RIPng/OSPFv3/BGP4＋/ISISforIPv6）、IPv6overIPv4隧道（手工隧道/6to4隧道/ISATAP隧道）。S5700既可以部署在纯IPv4或IPv6网络，也可以部署在IPv4到IPv6共存的网络，充分满足网络从IPv4向IPv6过渡的需求。智能iStack堆叠S5700智能iStack堆叠，将多台支持堆叠特性的交换机组合在一起，从逻辑上组合成一台虚拟交换机。iStack堆叠系统通过多台成员设备之间冗余备份，提高了设备级的可靠性；通过跨设备的链路聚合功能，提高了链路级的可靠性。iStack提供了强大的网络扩展能力，通过增加成员设备，可以轻松地扩展堆叠系统的端口数、带宽和处理能力。iStack简化了配置和管理，堆叠形成后，多台物理设备虚拟成为一台设备，用户可以通过任何一台成员设备登录堆叠系统，对堆叠系统所有成员设备进行统一配置和管理。创新AHM节能-5-S5700-LI系列智能低功耗交换机，本着“性能优先，节能不牺牲用户体验”的原则，通过匹配链路Down/Up、光模块在位/不在位、端口ShutDown/UndoShutDown、设备空闲时段/繁忙时段等不同的使用场景，创造性地应用能效以太网（EEE）、端口能量检测、CPU动态调频、设备休眠等技术，达到节省设备耗电量的目的。针对不同用户的应用需求，提供了灵活可配的标准节能、基本节能、深度节能三种节能模式，是业界首家支持整机休眠的交换机设备。完善的VPN隧道S5700支持Multi-VPN-InstanceCE（MCE）功能。S5700支持下接不同的VPN用户，通过路由多实例，实现了不同用户的隔离；上行通过一个共用的物理接口连接到PE设备，减少单个VPN用户对网络部署的投资。S5710-EI/S5700-HI支持MPLSL3VPN、MPLSL2VPN(VPWS/VPLS)、MPLS-TE、MPLSQoS等功能，可作为高质量企业专线接入设备，是业界为数不多的高性价比盒式MPLS交换机。轻松的运行维护支持自动配置、即插即用、USB开局、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700支持SNMPV1/V2/V3、CLI（命令行）、Web网管、TELNET、SSHv2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。支持GVRP，实现VLAN的动态分发、注册和属性传播，减少手工配置量，保证配置正确性。S5700还支持MUXVLAN功能，MUXVLAN分为主VLAN和从VLAN，从VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从VLAN之间可以相互通信；互通型从VLAN内的端口之间互相通信；隔离型从VLAN内的端口只能与主VLAN内的端口通信。杰出的网流分析支持Netstream网络流量分析功能。作为网络流量输出器，S5700根据用户配置，实时采集指定的数据流量，通过标准的V5/V8/V9报文格式，将数据上送给网络流量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。支持sFlow功能。S5700按照标准定义的方式，对转发的流量按需采样，并实时地将采样流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供了极大的方便。灵活的以太组网-6-S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标准ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。ERPS是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现以太环网的毫秒级快速保护倒换。S5700支持SmartLink和VRRP功能。S5700通过多条链路接入到