H3C网络技术方案建议书

第1章上饶师范学院网络需求分析1.1项目概述当前，以数字化校园为特征的教育信息化发展更为迅速，各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式，引发了教育行业一场新的革命。学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模，“一卡通”业务在很多学校也开始应用。在校师生的认识水平和技术水平上了一个新台阶，对于信息化工具的使用已变成为一种自觉和自愿的行为，为“十二五”数字化校园的进一步发展打下坚实的基础。数字校园是以IP通信平台为基础,实现环境(特别是重点、敏感区域的视频监控)、资源（网络资源、存储资源、计算资源）、到活动（网络的开放架构对定制业务的支持）的全部数字化，利用标准的ITOIP解决方案，以IP技术为标准技术，利用SOA开放架构实现对整体IT平台的统一集成支撑。1.2需求分析（1）此次上饶师范学院新建一栋大楼，共分为南楼（440个信息点）、北楼（210个信息点）、中楼（150个信息点），每个楼各有一个弱电间接入所有的信息点。网络主要承载一卡通、IP广播、监控等设备，网络工程完成后，要便于信息中心统一进行设备的运行、维护、管理监控。因此网络建设需要满足信息中心对管理和控制功能的要求。设备的选型应与校园网和教育网设备兼容。（2）高稳定性、高可靠性、应能够承载主要网络应用、有足够的满意度，尤其在网络设备故障率、系统维护、恶意攻击、病毒入侵、可扩展行方面达到用2户要求。（3）性价比合理，投入产出比合理，主要性能指标突出，改造方案合理满足学校今后5到8年的需求。根据用户以上提出的工程要求，我们对用户的网络需求理解如下：建设安全可靠的校园网络平台具备网络结构优化能力——校园网的整体架构具备更有效的容灾能力，以应对故障节点、故障链路、路由震荡所带来对业务的影响；而随着万兆校园核心网的普及，应用对带宽新的要求，校园网需要具备万兆到汇聚的升级能力、以及关键业务千兆到桌面的能力。具备网络业务拓展能力——校园业务可平滑向下一代网络迁移，向IPv6迁移兼容现有校园组网环境，IPv6完全由分布式硬件完成，保护投资；校园业务可以随时随地使用，校园业务可以基于移动漫游环境，移动漫游环境无需管理者手工干预。具备安全渗透防御能力——校园网出口具备攻击、非法业务的隔离、控制，具备在线主动抵御的能力；校园核心网络自身集成安全防御能力，缩小攻击、病毒在校园影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击。优化整合现有数据信息资源解决教学、科研、办公业务数据海量增长，数据无法整合管理的问题。解决数据爆炸性增长，成本要求不断降低的问题。解决各种灾难对信息系统影响的问题。实现整个校园网络的集中统一智能化管理数字化校园是建立在一系列IT资源的基础上，诸如校园网带宽资源、教学办公数据的资源、计算资源、网络多媒体通信资源等，针对这些资源需要关联化的管理，资源的整合，才能将利用IT系统服务校园信息化的价值最大化。3第2章网络总体设计2.1设计原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在安全、可管理性较差、无业务增值能力等方面的问题。现在上饶师范学院校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学自动化，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于对上饶师范学院校园网业务需求的深入理解，结合自身产品和技术特点，H3C公司推出了完善的上饶师范学院校园网解决方案，为上饶师范学院提供“高扩展、多业务、高安全”的精品网络。上饶师范学院网络设计遵循以下基本原则：高带宽上饶师范学院网络是一个庞大而且复杂的网络，为了保障全网的高速转发，要求核心交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性上饶师范学院网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到上饶师范学院用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，上饶师范学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性4技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。2.2总体设计上饶师范学院网络结构拓扑图如下：汇聚层采用H3C两台高性能S7506E交换机，利用IRF2技术使汇聚层两台交换机合二为一形成逻辑上的一台交换机。从而不仅简化网络管理，同时大大提高了网络的性能以及可靠性。在两台S7506E交换机上分别使用一个单模光纤上联5至校园网原核心网络设备上，使新建网络能够完全融入到原有校园网中。接入层交换机建议采用H3C专门为教育行业设计的E500系列交换机，每4台交换机形成一组堆叠。然后在堆叠组的第一台交换机和最后一台交换机分别通过一个单模光纤上联至汇聚层的两台S7506E上，实现上行双链路冗余备份，提高网络的可靠性。为了对校园全网进行统一的管理和控制，建议部署一套H3Cimc智能管理系统，IMC不仅支持华三设备同时也支持其它厂商的设备管理。IMC具有灵活的部署方式，根据用户需求选择不同功能组件，完全可满足用户身份认证及计费的需求。第3章网络规划3.1层次化设计在校园园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。典型的校园园区网络结构可以分成三层：接入层、汇聚层、核心层。1)接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、Qos和POE功能都位于这一层。对于校园园区网的接入层设备，建议采用线速二层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。2)汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关；对于校园园区网的汇聚层设备，应该能够承载校园园区的多种融合业务，能够融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载校园园区融合业务的需求。3)核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。本次网络建设项目主要涉及新建大6楼，原校园核心网络不变。3.2高可靠性设计上饶师范学院网络改造方案建议采用高可靠的双归属接入设计，汇聚交换机通过双千兆链路接入到核心，核心双机做冗余备份，避免单链路故障或者单核心故障对网络造成的影响，充分保证通信网络的高可靠性。汇聚交换机间通过千兆链路做链路聚合，同时部署网络虚拟化技术H3C的IRF2(智能弹性架构2)，将2台汇聚交换机设备虚拟成一台统一的逻辑设备，不但网络结构简单清晰，大大简化了设备的管理维护，另外也提高网络可靠性部署如图所示：IRF2网络虚拟化设计目前的传统网络从接入到核心多采用VRRP+MSTP的技术，这种方式给管理员带来很大麻烦。首先是规划麻烦，要实现VRRP多实例的分担需要详细规划MASTER的归属，而MSTP则需要详细规划VLAN和生产树实例的归属，而二层结构存在网络广播风暴隐患也是很大问题，需要MSTP的介入，这使得网络在故障恢复时常需要达到秒级。这对于对设计者来说，这成了一个两难的境地。一方面，如果减少链路连接，网络的冗余备份受到影响。另一方面增加链路冗余，则容易受到广7播风暴的侵袭。所以网络架构的高可靠需要全新的解决方案，这个方案需要同时满足下面的条件：1）保持设备链路冗余；2）完全消除二层环状链路；3）毫秒级故障切换时间。在一些对可靠性要求奇高的大型网络里，例如金融网络，可以把多个地点的核心设备组成RPR环网，利用RPR的快速收敛特性实现50ms以内的故障恢复时间。但这种方案并不完全适用于绝大多数的学校生产网络，一方面学校生产网络基本为单一局域网络，RPR的优势无法充分体现，且RPR方案实现成本高昂。另一方面只有一些核心网络设备才能支持RPR，这就意味着汇聚层、接入层交换机仍然无法解决快速收敛的问题。为了解决这一问题业内的领先厂家已做了大量的工作，实现在方式也不尽相同，但虚拟化无疑是其中效果最好的方式之一，H3C公司在这一方面是业内的领导者，目前H3C公司的新一代主流交换机产品已经从核心、汇聚到接入交换机都能实现完全的虚拟化，可以将多台交换机完全虚拟为一台逻辑交换机，对外呈现出一个逻辑实体。本次方案设计在上饶师范学院汇聚层交换机就采用了IRF2虚拟化技术：见上图，经过虚拟化后，在网络各个层次之间屏蔽的环路，以前在生成树协议作用下需阻塞的链路都可通过聚合实现负载分担。这些多条网络层次间的链路传统方式IRF虚拟化方式8被简化成为一条逻辑链路。双设备冗余被虚拟化为单台的逻辑设备，在逻辑设备内形成统一高性能实体，高效处理学校业务流量。IRF2网络虚拟化优点对用户及其网络来说，IRF2虚拟化可以带来以下好处：让网络更简单：网络简化需要解决网络结构的简化，网络业务的简化，以及管理维护的简化这三方面的问题。通过在从汇聚到接入的整网部署IRF2技术，多台物理设备虚拟成一台统一的逻辑设备，不但网络结构简单清晰，原先需要每台设备逐一配置，现在只需配置一次即可，大大简化了设备的管理维护。此外，相比传统网络生成树+VRRP的部署方式，启用IRF2以后，二层不再需要配置生成树，也不再需要复杂的生成树多实例的规划，三层不再需要配置VRRP，不再需要复杂的路由规划和大量的IP地址消耗，从而简化了网络业务。让网络更可靠：IRF的高可靠性体现在链路级、协议级和设备级三个方面。链路级：成员设备之间的物理端口支持聚合功能，IRF系统和上、下层设备9之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性。协议级：IRF系统提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现1：N的协议可靠性。设备级：IRF系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份。相比传统的二层生成树技术和三层的VRRP技术，其收敛时间从N秒级缩短到毫秒级。让网络更高效：对高端交换机而言，性能和端口密度的提升会受到其硬件结构的限制，而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而IRF2可以通过跨设备聚合等特性，让原本“Active-standby”的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。3.3IP地址及路由规划IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对ＩＰ地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址规划必须考虑到今后和其他院系互联后的地址冲突问题，建议参考全校的统一地址规划。IP地址分配原则IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又