河源市法院网络升级改造的方案设计--毕业论文.doc

《河源市法院网络升级改造的方案设计--毕业论文.doc》由会员分享，可在线阅读，更多相关《河源市法院网络升级改造的方案设计--毕业论文.doc（45页珍藏版）》请在咨信网上搜索。

湖南商务职业技术学院 毕 业 设 计 题 目 河源市法院网络升级改造的方案设计 姓 名 学 号 201204002030 系 部 理 工 系 专业年级 12级计算机科学与技术 指导教师 2015年 02月28日 摘要 随着政府部门信息化脚步的加快，我国政府已经把加快政府部门信息化放在了国家发展新一个五年计划当中，作为一项长期目标来实现。广东省河源市原有政法网络(法院部分)于2008年建立，已运行多年，随着网络业务的增加，原有网络承载过重，已经无法满足需求，所以网络的升级改造改造势在必行。 本文从河源市法院网络需求出发，提出了完善的解决方案，包括需求分析，设备选型，网络结构设计VLAN规划，路由规划，OSPF路径选择，设备安装调试，现有网络业务割接等内容。 目 录 1 引言 6 1.1项目背景 6 1.2工作内容 6 2 河源市法院网络综合升级改造方案 7 2.1网络设计总体概述和网络需求 7 2.2广东河源市法院现网网络拓扑 8 2.2.1改造后的法院网络拓扑 9 2.3设备端口IP地址、VLAN规划 10 2.3.1 VLAN介绍 10 2.3.2 STP生成树协议简介 11 2.3.3 VLAN划分原则 13 2.3.4河源市原有IP地址表 15 2.3.2河源市新增地址列表 16 2.4 路由协议设计 17 2.4.1 OSPF(Open Shortest Path First开放式最短路径优先)协议 17 2.4.2河源市法院路由器协议规划 17 2.4.3原有县路由器路由协议规划 18 2.4.4新增县路由器路由协议规划 19 2.4.5县原有核心交换机路由协议规划 20 2.5 流量路径规划及其冗余性分析 20 3 端口对应设计 22 3.1市路由器和市电信传输接口配置 22 3.2市路由器和区县新增路由器的接口及VLAN规划 22 4 网管实施方案 23 4.1河源市网管地址 23 4.2新增路由器添加网管命令 23 5 安全策略规划 24 5.1 COPP 控制面板策略 24 5.2二层安全 24 5.3安全策略 25 6 传输实施方案 26 6.1 MSTP传输简介 26 6.2数据链路备份 27 6.3 设备上架 27 6.4设备加电 27 6.5跳纤 28 6.6设备上网管 28 6.7紧急回退 29 7详细割接方案 30 7.1网络割接技术背景 30 7.2 实施前的准备工作 30 7.3市法院二级网对接割接 31 7.3.1紫金县网络割接(例) 33 8 四级网割接 39 8.1镇街四级网割接方案 39 8.1.1第一步：镇级基层单位交换机设备硬件安装 39 8.1.2第二步：原有交换机下联用户端口割接 39 8.1.3第三步：新增镇街交换机配置模式(例) 39 8.2 回退方案 39 9 测试验收 40 9.1 测试内容 40 9.1.1设备基本情况测试 40 9.1.2设备联调测试 40 9.1.3设备试运行测试 40 结 论 41 致 谢 42 参 考 文 献 43 1 引言 本次项目为广东省政法内网三四级网络升级改造方案,河源市方案。 1.1 项目背景 本项目是广东省省政府下辖政法信息内网的改造升级方案，由于此项目已经完成多时(2007年规划)2008年12月份第一期网络工程实施，2010年12月第二期工程完工。本网络运行已经经历了6个年头，期间很多地市县法院已经更换了新机房和新设备，相应的县镇也添加了视频学习设备等等。由于新加入的设备占用了大量的带宽，使得原有的中国移动12M SDH线路开始吃紧，并且备用的电线2M MSTP线路几乎处于只能维持最基本的业务水平能力。 基于以上线路和设备情况，决定对现有网络进行一次较大的升级。 1.2 工作内容 根据原有网络拓扑的情况下，我们将会要新增一条中国联通100M MSTP传输线路，并且在此基础上针对每一个县新增一台Cisco 2951-K9路由器一台，并且根据接下来三期工程的业务带宽要求，县下辖镇接交换机从华为的低端弱网管交换机更换成为Cisoc2960-24TT 高性能交换机，为下一步三期工程做好性能和带宽上准备。 同时，为了最大化的节约政府开支与最大化的利用旧有网络，我们将会完全保留原有网络中移动12M SDH传输与 中国电信 2M MSTP传输，他们将会被用作备用链路来处理，当新加入的联通100M MSTP线路出现暂不可解决的故障时，他们可为县镇提供基本的法律信息服务，这样，不仅可以做到链路3保险，而且也充分利用了OSPF链路协议的特性，同时也最大化程度的节约了开支也符合政府部门的政策要求。 本次改造一共涉及到超过450台设备，设备涵盖司法，政法，法院系统。由于内容和篇幅的原因，这里只涉及河源市法院网络的改造。 2 河源市法院网络综合升级改造方案 2.1 网络设计总体概述和网络需求 广东政法网的法院的网络建设的总体思想：总体规划，分区域实施。根据法院网对网络总体规划，我们建议网络整体建设分为两个阶段完成： 第一阶段完成三级区县到二级市汇聚层网络的改造 第二阶段完成乡镇接入层交换机更新替换。 河源市网络建设的县级、镇级单位如下所示： 表1河源市所属单位 区县单位 乡镇单位 源城区 　 东源县 灯塔法庭 蓝口法庭 紫金县 古竹法庭 蓝塘法庭 龙窝法庭 柏塘法庭 和平县 彭寨法庭 下车法庭 连平县 忠信法庭 隆街法庭 龙川县 鹤市法庭 龙母法庭 麻布岗法庭 车田法庭 网络需求(硬件需求与链路业务需求): 1. 河源市法院思科交换机新增2700W电源2个 2. 河源市紫金县增加交Cisco 2951交换机1台 3. 镇接交换机由华为低端2层更换为Cisco 2960 4. 要求新增联通100M MSTP县至市链路 5. 要求改造后数据在联通100M链路上进行转发 6. 联通100M链路上行到县公安局，市公安分局，市公安局采用1Gbps链接 7. 要求OSPF协议在联通100M链路Down后30s内切换到移动12M MSTP传输 8. 要求OPSF协议在移动12M链路Down后30s内切换到中国电信2MSHD传输 2.2 广东河源市法院现网网络拓扑 图1 河源市原有网拓扑图 原有拓扑如图1所示，所有县/区级都是由单个路由器分别通过移动12M传输和电信2M传输接到市路由器，所有镇交换机通过移动传输设备连接到县核心交换机，然后再通过县路由器，以及移动传输网络的方式，将数据传到市法院路由器上。 原有网络于2009年12月始建，2010年10月完成验收，当时由于河源市网带宽不足，并且未考虑到法庭视频学习业务扩展，故上联采用中国电信2M备份线路，下联采用中国移动12M MSTP透传，直接接入河源市法院Cisco 7604中心路由器，再由Cisco7604转发数据包透过广东省网办ATM线透传至某部门机房。 完成整个政法信息网内网从法庭办案到审批核实的数据流程。 2.2.1 改造后的法院网络拓扑 图2改造后网络拓扑图 改造后的拓扑如图2所示，在县/区级上增加一台路由器Cisco 2951，新增路由器通过三根链路分别连接到市路由器、县原路由器及县核心交换机。如图上所示，绿色链路就是新增链路。 本次改造涉及添加： 联通100M/1000M MSTP传输设备 每县节点添加一台Cisco 2951路由器 替换原有镇至县移动 12M 透传 替换镇接huawei交换机 新增河源市源城区法院链路 本次改造涉及割接现网业务 本次改造后所有的数据流量都会通过新增路由器流向法院的市路由器。当新增设备出现故障时，数据会按照原有数据流向到市路由器。 当联通100M/1000M MSTP传输稳定可靠时，所有数据将全部经过新增县法院Cisco2951连接联通100M/1000M MSTP传输经过县公安局，再经过河源市公安局，透过电信SDH传输连接至市法院Cisco 7604路由器，再经过省ATM线路进行转发。 当联通100M/1000M MSTP传输不可靠时，OSPF链路将重新收拢聚合到原有县Cisco2851路由器，通过中国移动12M MSTP传输透传至河源市法院Cisco 7604路由器再经过Cisco 7604在省网ATM线进行转发数据。 当联通100M/1000M MSTP传输不可靠时，且中国移动12M MSTP也故障时，OSPF将自动聚合链路至中国电信2M备份线路通过电信SDH透传到河源市Cisco7604路由器再经过省网ATM进行转发。 图3改造后网络拓扑图 2.3 设备端口IP地址、VLAN规划 2.3.1 VLAN介绍 IEEE于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案。 实际应用需求:把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据交换机的端口来划分VLAN。 VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。 VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 2.3.2 STP生成树协议简介 STP协议是一个单生成树协议，所谓单生成树协议，就是在网络中将所有的桥设备放到单个生成树拓扑中，保证网络连接的全联通性和无循环链路。 STP协议首先会为生成树选定一个跟，然后根据每个桥设备到根的距离来确定该桥到根的路径，这样由根、桥设备以及各个桥到根的路径组成了一个全联通且无循环的生成树。 STP协议通过BPDU(桥协议数据单元)进行协议数据的交互。STP BPDU是一种二层报文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP协议的网桥都会接收并处理收到的BPDU报文，BPDU报文不会被转发。 STP协议基本概念 Bridge identifier(BID)：每个桥有1个identifier，该BID由两部分组成。前两个字节表示优先级，默认为32768可取值范围在0-65535。后6个字节由bridge的MAC地址组成。确保网络中每个bridge的BID具有唯一性。 Root Bridge（跟桥）：网络中作为生成树树根的bridge，该bridge具有最小的BID。 Root identifier（RID）：跟桥具有的identifier。 Path cost：数据包在网络中传输所需的路径开销。该开销根据局域网类型（带宽+双工模式）来确定数据包在网络中的路径开销。该开销是用来确定最优生成树的关键参数。 Port identifier（PID）：每个桥的每个端口具有一个PID，该PID由两部分组成，共16个bits。（前6个bits表示优先级，后10个bit表示端口名称，没看到官方文件说明）。 Root path cost：数据包到达跟桥的路径开销。Root port(根端口)：非跟桥上到达跟桥路径开销最小的端口。Designated port（指定端口）:连接到某局域网中的所有端口中具有最小根路径开销的端口。该端口被称为该局域网的指定端口。Designated bridge：局域网的指定端口所在的bridge被称为该局域网的指定端口。Alternate port：备份端口。 STP协议中端口状态: Blocking（阻塞状态）：该端口处于使能状态，但根据STP算法的计算结果，该端口不属于生成树的有效组成端口。（既有其他路径可以生成生成树结构，同时比该端口所在的路径具有更优的结构）。处于阻塞状态的端口只接受STP BPDU报文，不转发STP BPDU报文；不接收和转发其他业务报文。 表2 STP协议中端口的状态 端口状态 地址学习能力 转发/接收报文能力 接收BPDU报文 发送BPDU报文 Disabled NO NO NO NO Blocking NO NO YES NO Listening NO NO YES YES Learning YES NO YES YES Forwarding YES YES YES YES Listening（监听状态）：该端口处于使能状态，同时该端口已经被选为生成树的有效组成端口，但为了防止网络拓扑结构的动荡变化造成生成树的不稳当，在blocking和forwarding状态之间添加了listening状态，该状态监听网络中的BPDU报文判断是否有更优的路径，同时该端口开始将FDB表中的相关表项进行清除，该状态接受转发STP BPDU报文，不接受和转发普通业务报文。 Learning（学习状态）：该端口处于使能状态，同时该端口已经被选为生成树的有效组成端口。但为了防止网络拓扑结构的动荡变化造成生成树的不稳当，在blocking和forwarding状态之间添加了learning状态，在端口保持在listening状态一定时间（forward timer）之后，若没有发现其他更优路径，则该端口有listening状态转换到learning状态。该状态监听网络中的BPDU报文判断是否有更优的路径，同时端口接受和转发STP BPDU报文，接收普通业务报文，并学习报文MAC地址，不转发普通业务报文。 Forwarding（转发状态）：该端口处于使能状态，同时该端口已经被选为生成树的有效组成端口。在端口处于listening状态一定时间之后(forward timer)，若没有发现其他更优路径，该端口有learning状态转换到forwarding状态。该状态接受和转发STP BPDU报文，同时接受和转发普通业务报文。 Disable（禁用状态）：该状态可以认为是物理上没有联通的端口。 2.3.3 VLAN划分原则 1. IP地址规划原则 l IP地址规划的结果直接影响到网络运行的质量，以下是几点IP地址规划的基本原则： l 唯一性：一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。 l 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。 l 扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。 l 实意性：“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。 对于IP地址的规划，一般可以分为以下几个部分：Loopback地址、设备互联地址、用户地址，下面就对这几个部分进行详细说明。 2. LOOPBACK地址 此次工程新增的每一台设备，均需要一个LOOPBACK地址。 3. 设备互联地址 设备互联IP地址按从核心到汇聚的分配方式逐次分配。掩码统一为30位，网络层次越高的设备接口地址越小，即“高层次，小地址”。例如，路由器之间的互联链路地址为200.0.0.16/30，则路由器A的接口IP地址为200.0.0.17，路由器B的IP地址为200.0.0.18。 2.3.4 河源市原有IP地址表 表3 河源市原有地址列表 2.3.2 河源市新增地址列表 表4河源市新增地址列表 2.4 路由协议设计 2.4.1 OSPF(Open Shortest Path First开放式最短路径优先)协议 OSPF(Open Shortest Path First开放式最短路径优先 )是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(Autonomous System, AS)内决策路由。 链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。 OSPF路由协议是一种典型的链路状态（Lin OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(Autonomous System, AS)内决策路由。 链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。 OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统 （Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个 AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。 2.4.2 河源市法院路由器协议规划 1.法院信息网一般具有独立的自治域编号，运营商可从保留的自治域号中统一分配。 2.本项目是法院信息网三、四级网络建设，因此我们不涉及BGP协议及自治系统号分配问题。 3.综合考虑现网IGP部署情况、业务发展以及工程实施复杂程度，本次优化工程中，路由网关路由器与核心层之间使用OSPF动态路由作为IGP路由协议。可以根据地市进行area划分地址块，实现更快的网络收敛。 表5市法院OSPF路由协议 地市 市设备 OSPF发布区域 OSPF自制系统号 OSPF宣告网段 河源市 Cisco7604 原有路由器 15 100 128.67.254.0/24 2.4.3 原有县路由器路由协议规划 表6 县原有OSPF路由协议规划 地市 县/区 市/县区设备 OSPF发布区域 OSPF自制系统号 OSPF宣告网段 河源市 源城区 原有路由器 15 100 128.67.254.52/30 东源县 原有路由器 15 100 128.67.254.56/30 紫金县 原有路由器 15 100 128.67.254.60/30 和平县 原有路由器 15 100 128.67.254.64/30 连平县 原有路由器 15 100 128.67.254.68/30 龙川县 原有路由器 15 100 128.67.254.72/30 2.4.4 新增县路由器路由协议规划 表7新增县路由器OSPF规划 地市 县/区 市、县区设备 OSPF发布域 OSPF自制系统号 OSPF宣告网段 河源 市 源城区 新增路由器 15 100 128.67.254.28/30 128.67.254.52/30 128.67.254.76/30 东源县 新增路由器 15 100 128.67.254.32/30 128.67.254.56/30 128.67.254.80/30 紫金县 新增路由器 15 100 128.67.254.36/30 128.67.254.60/30 128.67.254.84/30 和平县 新增路由器 15 100 128.67.254.40/30 128.67.254.64/30 128.67.254.88/30 连平县 新增路由器 15 100 128.67.254.44/30 128.67.254.68/30 128.67.254.92/30 龙川县 新增路由器 15 100 128.67.254.48/30 128.67.254.72/30 128.67.254.96/30 2.4.5县原有核心交换机路由协议规划 表8原有县核心交换机OSPF路由规划 市 县/区 市、县区设备 OSPF发布区域 OSPF自制系统号 OSPF宣告网段 河源市 源城区 原有核心交换机 15 100 128.67.254.76/30 东源县 原有核心交换机 15 100 128.67.254.80/30 紫金县 原有核心交换机 15 100 128.67.254.84/30 和平县 原有核心交换机 15 100 128.67.254.88/30 连平县 原有核心交换机 15 100 128.67.254.92/30 龙川县 原有核心交换机 15 100 128.67.254.96/30 2.5流量路径规划及其冗余性分析 目前河源各县区原有路由器Cisco 2851有2条链路，1条是主用的移动的12M，1条是备用的电信2M，通过在备用的电信2M链路接口上配置ip ospf cost 100来提高链路成本，优选移动链路。 在新增路由器2951和100M链路后，我们将在原有Cisco 2851的12M移动链路接口上配置ip ospf cost 50，将业务流量迁移动新增的路由器2951和100M链路上，原有的12M移动链路作为第一备用链路，原有的2M电信链路作为第二备用链路. 图4河源市法院原有网络数据流量图 A为改造前数据流量 B为改造后数据流量 图5广东省河源市中级人民法院数据冗余流向图 A为故障备用第一链路数据冗余图 B为故障备第二用链路数据冗余图 故障场景冗余说明如下： 1. 新增的100M链路故障，业务由切换后2851，12M移动链路为主用，2M 链路为备用。 2. 新增主用的2951路由器故障，业务切换到备用的2851路由器上，12M移动链路为主用，2M链路为备用。 3. 新增主用的2951路由器与原有路由器2851之间的互联链路故障，对业务流无影响。 4. 原有路由器2851故障，对业务流无影响。 3． 端口对应设计 3.1 市路由器和市电信传输接口配置 表9路由器传输接口配置表 河源市路由器和电信传输设备对接 起始端口1 对接端口2 市路由器Cisco 7604 电信传输设备 端口编号 端口类型 单模/多模 端口编号 端口类型 单模/多模 GigabitEthernet1/3 1000M光口 多模 　 X 　 X 　 X 3.2 市路由器和区县新增路由器的接口及VLAN规划 表10市路由器和区县新增路由器的子接口及VLAN规划表 市路由器和区县新增路由器的子接口及VLAN规划 地市 县/区 本端设备 本端接口 对端设备 对端接口 VLAN及子接口 ID 河源 市 源城区 区县新增路由器 GigabitEthernet0/0.1801 市路由器 GigabitEthernet1/3. 1801 1801 东源县 区县新增路由器 GigabitEthernet0/0.1802 市路由器 GigabitEthernet1/3. 1802 1802 紫金县 区县新增路由器 GigabitEthernet0/0.1803 市路由器 GigabitEthernet1/3. 1803 1803 和平县 区县新增路由器 GigabitEthernet0/0.1804 市路由器 GigabitEthernet1/3. 1804 1804 连平县 区县新增路由器 GigabitEthernet0/0.1805 市路由器 GigabitEthernet1/3. 1805 1805 龙川县 区县新增路由器 GigabitEthernet0/0.1806 市路由器 GigabitEthernet1/3. 1806 1806 4 网管实施方案 4.1河源市网管地址 表11河源市网管地址表 使用单位 原有路由器管理IP地址 新增路由器管理IP地址 网管系统IP地址 源城区 128.254.223.1/24 128.254.223.1/24 128.0.2.103 东源县 128.254.223.33/24 128.254.223.2/24 紫金县 128.254.223.65/24 128.254.223.3/24 和平县 128.254.223.97/24 128.254.223.4/24 连平县 128.254.223.129/24 128.254.223.5/24 龙川县 128.254.223.161/24 128.254.223.6/24 4.2 新增路由器添加网管命令 #snmp-server community gdfy RW #snmp-server community gdfyro RO #snmp-server host 128.0.2.103 gdfyro 命令分析：定义community值为gdfy，即与网管系统对接的密码；RW为定义读写权限。 网管服务器上，需要增加管理设备，只需要将新增路由器的管理IP地址与community值填写上，就可以进行网管。其他县新增路由器按照这个方法配置网管系统。 5 安全策略规划 5.1 COPP(Control Plane Policing) 控制面板策略 Control Plane Policing (CoPP)被称为控制面板策略，控制面板策略这个特性让用户通过配置QOS过滤来管理控制面板中的数据包，从而保护路由器和交换机免受DOS的攻击，控制面板可以无论在流量多大的情况下都能管理数据包交换和协议的状态情况。在控制面板中，只能通过MQC配置常规的QOS，并且out方向的QOS并不是所有IOS都支持，请自行检查，其中配置的QOS策略中，只有drop和policy两个动作可以使用。而且NBAR功能也不能很好的支持。当在控制面板中配置QOS后，不用在接口下应用该策略，因为控制面板下的策略对所有接口生效。 5.2二层安全  针对二层交换机的威胁有： 1. MAC layer attacks; 2. VLAN attacks; 3. DHCP snooping; 4. Attacks on switch devices。 1.MAC layer attacks 攻击者使用脚本黑客工具，伪造MAC地址攻击交换机CAM表 交换机CAM表只能存放有限数量的MAC地址 交换机CAM表存满上限数量的MAC地址，针对以后正常转发数据流量将会广播查询，查询信息过多，将导致网络数据的延时增加。 解决方法：限制端口MAC地址数量。 2．VLAN attacks 攻击者使用脚本黑客工具，包头多封装就是在入口时带上一个Native VLAN，然后出口时剥掉，这样紧连的switch如果不是从access口进入就会 根据用户帧的VLAN进行转发，从而去了不希望去的端口，实现跨VLAN 的攻击。 解决方案：在每个VLAN口打上TAG，对默认VLAN口也打TAG标签. 3．DHCP snooping DHCP snooping 在全局启用，控制交换机内DHCP广播报文对整个交换环 境影响，最大优化交换机性能。 解决方案：全局开始IP DHCP SNOOPING。 4．Attacks on switch devices 关闭不必要的服务，如cisco的CDP和公有的LLDP协议 为交换机设置密码 设置远程交换机地址段范围 支持SSH的话，使用SSH加密的登入方式。 5.3安全策略 通过路由策略、访问控制策略、MAC地址绑定、认证系统、设备口令等进行安全管理，根据不同部门、业务的需求,实现用户的对路由协议的引入和发布,不同网关之间的访问控制,防止MAC漂移,ARP攻击.对终端客户的AAA分类.以及设备的口令管理,可以大幅度降低来自不明用户的风险。 6．传输实施方案 6.1 MSTP传输简介 MSTP协议是一个多生成树 (Multi Spanning Tree MST)协议，相对RSTP来说，主要是引入了实例和域的概念。域的概念是为了将网络中具有不同配置的网络段进行分割开，在网络段内部实行统一的配置，可以在域内进行独立的生成树构造。而域之间则使用一个单一生成树将所有的域连接起来(该生成树被称为CST，公共生成树)，确保全链接和无环。在域的内部可以构造多个生成树实例，同时可以将不同的VLAN映射到不同的生成树实例上。在每个域的内部都有一个实例ID为0的实例，该实例与CST共同组成了CIST(公共内部生成树)。该生成树将整个网络中的域和域内部的桥设备和网段连成一个全链接无环的树 MST域：是由交换网络中的多台设备以及它们之间的网段所构成。这些设备具有下列特点：都启动了MSTP；具有相同的域名；具有相同的VLAN到生成树实例映射配置；具有相同的MSTP修订级别配置；这些设备之间在物理上有链路连通。 MST Configuration identifier：用来标示一个bridge的 MST配置内容，以确定桥与桥之间是否能够在同一个域内。内容包括Configuration Identifier Format Selector，Configuration Name，Revision Level，Configuration Digest。 CIST Root identifier：CIST跟桥的桥ID。 CIST External root port cost：CIST 外部根路径开销，是指一个桥所在的域到CIST 跟桥所在的域之间的路径开销，在一个域内所有桥的CIST External root port cost都是一样的，在计算的时候CIST指计算域的跟桥的根端口所在LAN的路径开销。 Regional Root Identifier：域的跟桥的桥ID，域的跟桥并不是在域内的所有桥中ID最小的一个，而是域内到CIST跟桥的根路径开销最低的桥。 Internal Root Port Cost：内部路径开销是指将域看做一个独立的局域网，域内的桥设备到域的跟桥的根路径开销。 Master Port：Master port是指一个域中跟桥的根端口。该域通过该端口到达跟桥的路径最小。 VLAN映射表：VLAN映射表是指将VLAN映射到某个具体的MSTI，在同一个域内所有桥设备的VLAN映射表必须保持一致，默认情况所有VLAN映射到实例0。 CST：common spanning tree，用于联通不同域或非MSTP桥设备的生成树. 6.2数据链路备份 在正式实施之前做好相关的数据链路备份是很重要的。一方面，可以把备份的数据链路作为参考对比；另一方面，可以保障当相关的操作失败，工程无法正常实施的情况下，能够把网络倒回原状恢复业务，这样能尽量的减少业务中断时间和损失。 数据链路备份包括： 1.记录原设备与其他设备互连的槽位号、端口号、各端口配置的时隙、VLAN、绑定的带宽，这些可以从网管上导出网元配置信息报表，也可以手动记录下来。 2.把每根与原设备互连的尾纤、双绞线打好标签记录下来。