3COM计算机网络系统设计及施工方案(常用资料).doc

《3COM计算机网络系统设计及施工方案(常用资料).doc》由会员分享，可在线阅读，更多相关《3COM计算机网络系统设计及施工方案(常用资料).doc（252页珍藏版）》请在咨信网上搜索。

目 录 1 项目概况 — 1 - 1。1 项目背景 - 1 - 1。2 建设目标 — 1 — 1。3 工程范围 - 1 — 1。4 网络信息点位分布与数量表 — 1 — 2 总体设计 — 3 - 2。1 设计依据 - 3 - 2。2 设计原则 — 3 - 3 网络系统 - 5 — 3。1 网络协议的选择 — 5 — 3.2 网络技术选择 - 5 — VLAN（Virtual LANs） - 5 - 3.2。2 三层交换技术 - 6 — 3.2。3 VRRP - 7 — 3.2。4 其它网络技术 — 8 — 3.3 网络设计概要 - 8 - 3。4 网络的分层设计 — 9 - 核心层 - 9 — 汇聚层 - 9 — 3。4.3 接入层 — 10 — 选用华为3COM的网络设备 — 10 - 3。4。5 网络规划 — 11 — 3。5 网络拓扑图 — 24 - 3.6 网络冗余设计 — 26 — 3。7 路由规划 - 26 - 3.8 应用VRRP技术 - 28 - 3。9 选择组播协议 — 31 — 3。10 VLAN规划 - 33 — 3。11 IP地址分配原则 - 33 - 内网IP分配规划 — 34 - 3.11。2 外网IP分配规划 — 34 - 3.12 本设计方案的特点 — 35 - 3。12。1 完全的分布式的处理方式 - 35 - 3。12。2 核心交换机先进的体系架构设计 — 35 - 3。12.3 基于流攻击的防止 - 35 - 3。12.4 QOS功能 - 35 — 广播风暴的抑止 — 36 — 3。12。6 高可用性保障 — 36 - 4 网管管理系统 - 36 - 4.1 网络管理的重要性 - 36 — 4。2 管理系统的总体设计 — 37 - 4。3 华为3Com网络管理解决方案 - 37 — 4。3。1 产品特点 — 37 - 4。3。2 典型组网应用 — 41 — 4.4 用户的安全接入管理 - 41 - 5 网络系统安全特性 - 42 — 5。1 配置IDS — 42 — 5。2 网络病毒的诊断 - 42 - 5。3 协议的安全性 - 42 - 5.3。1 应用服务协议的安全 - 42 - 5。3。2 路由协议的安全 - 43 - 5。3.3 网管SNMP的安全性 — 43 — 5。4 网络设备的安全性 — 43 - 5.4。1 控制口console的控制 - 43 — 远程登录telnet 的控制 — 44 - 5。5 限制外网BT业务流量 - 44 — 5.6 多元绑定技术的应用 — 47 - 5。6。1 网络安全特征 - 48 — 5。6.2 可用绑定技术规划高安全的网络 - 49 — 5。7 防止对DHCP服务器的攻击 - 52 - 5。7.1 Private VLAN - 52 - 5。7.2 访问控制列表 - 53 - 5。7.3 新的命令 — 53 — 5。8 恶意用户追查 - 53 — 5.9 防病毒攻击 — 53 - 5。9.1 防止DOS攻击 — 54 — 5。9.2 防止基于流的攻击特性 - 54 - 5。9.3 防止病毒的广播传递 - 55 - 6 网络入侵检测 - 56 - 6.1 入侵检测系统在外网网络的作用 - 56 — 6.1。1 在外网建设入侵检测系统的必要性 — 56 - 6。2 本系统外网络入侵检测产品选型 — 59 - 6。2.1 网络入侵检测技术简介 - 59 — 6。2。2 网络入侵检测技术分析 - 60 - 6。2。3 网络入侵产品选型 - 62 - 6.3 网络入侵检测产品部署 - 65 - 6.3。1 NetEye IDS部署建议 - 65 — 6.3。2 NetEye IDS的集中管理 — 66 - 6.3。3 NetEye IDS的系统结构 — 67 - 6。3。4 NetEye IDS的配置清单 — 67 - 6.4 网络入侵检测产品扩展及建议 — 68 — 6。4。1 NetEye IDS平滑扩展 — 68 - NetEye IDS安全联动 — 68 — 6.5 NetEye IDS优势介绍 — 69 — 7 网络防病毒 — 72 - 7。1 计算机病毒发展和入侵途径分析 - 72 — 7。1.1 计算机病毒的发展趋势 - 72 — 病毒入侵渠道分析 — 73 - 7。2 本系统外网网络防病毒技术要求 - 74 - 7.3 网络防病毒需求分析 — 76 — 7。4 防病毒解决方案 - 78 - 7。4。1 设计思想 — 78 — 7.4。2 防病毒规划 — 79 — 7.4。3 部署产品 - 79 — 7。4。4 部署示意 - 79 — 7。4。5 部署防病毒系统实现的效果 — 80 - 7。5 网络版防毒系统介绍 - 81 — 网络版产品简介 - 81 — 7。5.2 网络版系统需求 — 82 - 7。5。3 网络版部署方式 — 83 - 7。5。4 网络版管理方式 — 84 — 网络版升级方式 - 84 — 7。5.6 网络版功能特色 — 84 — 8 设备安装场地及环境要求 - 92 — 8。1 机房的选址建议要求 — 92 — 8。2 机房的建筑建议要求 — 92 - 8。3 网络设备工作环境的要求 - 93 - 温度和湿度要求 - 93 - 8。3。2 洁净度要求 — 94 - 8。3.3 防静电要求 - 94 - 8。3.4 电磁环境要求 - 95 - 8。3.5 防雷击要求 - 95 — 8。3。6 抗干扰要求 — 95 - 8。3。7 照明要求 — 96 - 9 实施方案 — 97 — 9。1 总体实施规划 - 97 - 9.2 工程界面 - 98 - 9.3 工程实施组织结构和分工 — 99 — 9.4 项目实施计划编制和文档修改控制 - 100 - 9.5 工程协调会和工程进度安排 — 102 - 9.6 项目实施 — 107 - 9。6。1 安装准备 — 107 - 9.6。2 到货检查 — 107 - 9.6。3 设备安装检验 - 108 - 9。6.4 连通性和系统完整性测试 — 110 - 系统测试和验收 — 110 - 9。6.6 培训 - 110 — 9。6。7 实施总结 — 111 — 9.6。8 售后维护 — 111 — 9。6。9 过程监控 — 111 — 9.7 项目质量保证计划 — 112 — 9。8 工程文档 — 113 — 10 验收方案 — 115 — 10.1 验收的方法与步骤 — 115 — 10.2 验收测试标准 — 115 — 10.3 验收测试流程 — 115 - 10.4 整体系统验收 - 116 - 10。5 检测方法与目的 - 118 - 10。5.1 设备到货验收 - 118 - 10。5.2 初验收 - 122 - 10。5。3 系统终验 — 123 - 11 培训方案 - 126 - 11。1 培训目的 - 126 - 11。1。1 的培训优势 - 126 - 11.2 华为3COM培训机构简介 — 129 — 培训理念 - 129 - 11.2。2 总体介绍 — 129 — 培训师资 - 130 — 课程设计 — 130 - 中高端路由器产品培训项目 — 133 — 11.3 本项目培训计划 - 134 - 11。3。1 现场培训 - 134 — 11。3。2 国内技术培训 - 134 — 12 质保和售后服务 - 140 - 12。1 公司技术服务的优势 — 140 — 12.2 公司的服务承诺 — 140 — 12.3 华为3COM的服务承诺 — 141 — 12。3。1 技术服务 - 141 — 12。3。2 技术支持 — 142 — 12。3.3 备件以及设备维保 - 143 — 12.4 趋势科技的售后服务 — 143 - 12.4。1 技术支持部分 — 143 - 12。4.2 自动升级服务 — 143 - 12。4。3 新版本更新权利 - 144 - 12。5 服务体系简介 — 144 — 12。5。1 服务架构 - 144 - 12.5。2 服务范围及程度 — 146 - v 1 项目概况 1.1 项目背景 目前,XXX办公大楼改造已进入工程实施阶段，即将建成。届时1#、2＃和3＃楼将通过光纤链路和综合布线系统进行组网，实现的办公内部网络。 为充分发挥XXX办公大楼的作用，有必要在楼内进行办公网络联网建设，实现真正意义上的内部网络连接，同时建设于内网完全物理隔离的办公外网,提高办公自动化程度，进一步加速和推进的信息化建设。 通过与工程技术人员进行详细的技术交流并到办公大楼现场考察，在充分理解用户方需求的基础上，提出本设计方案. 1.2 建设目标 在XXX办公大楼综合布线系统的基础上，建立起联系3座办公楼内的所有单位内部办公网络和外部办公网络，集信息收集、传递、发布等多功能为一体，可用图、文、声、像等多媒体方式进行信息交互的专用办公内网。可以实现部属机关内部的互联互通、数据传输,使信息交互的实效性更加增强，提高可靠性和信息化办公程度，从而降低总体办公费用. 1.3 工程范围 本次网络工程范围是1#、2#、3#三栋办公楼,总建筑面积约为6500平米.每栋大楼均有两个独立的弱电竖井，本次改造要求内网、外网之间物理隔离，内网、外网由弱电竖井分别置各层。 本大楼的功能定位对数据通信有较高的要求,因此垂直主干设12芯多模光缆,水平布线全面采用6类线缆.重点部分区域建议光纤到桌面. 内网、外网网络机房均设在3＃楼4层。 1.4 网络信息点位分布与数量表 1#2＃3#楼网络信息点位分布与数量表 楼号楼层 网络信息点数量 光网点 内网点 外网点 1＃ 109 754 854 8F 13 84 87 7F 18 83 86 6F 16 128 131 5F 17 124 127 4F 10 98 143 3F 18 90 108 2F 9 72 92 1F 8 64 68 地下1F 0 4 4 地下2F 0 7 8 2＃ 73 1975 2013 12F 4 37 39 11F 10 185 188 10F 10 207 210 9F 6 173 176 8F 10 207 210 7F 6 173 176 6F 6 173 176 5F 6 173 176 4F 6 183 186 3F 6 183 186 2F 1 129 132 1F 2 96 98 地下1F 0 9 11 地下2F 0 47 49 1＃ 65 483 525 8F 3 51 55 7F 15 86 88 6F 5 122 127 5F 5 13 20 4F 17 52 55 3F 6 18 26 2F 7 96 101 1F 7 14 22 地下1F 0 5 5 地下2F 0 26 26 合计 247 3212 3392 2 总体设计 2.1 设计依据 l 《信息化网络集成项目比选文件》； l 国内国际信息化建设相关标准和规范； l 政府、企业网络建设方面的丰富的经验。 2.2 设计原则 我们在进行总体设计和设备选型时遵循以下设计原则: （1） 可靠性 高可靠性是大楼智能化的重要标准。采用先进的设计思想,提供连续的网络工作环境，系统应具有较强的自动纠错能力，合理的网络链路策略，确保系统7X24小时正常服务。 （2） 扩展性 随着业务发展，需求也会不断增长，因而对大楼网络系统要求有很高的扩展性。设计时应支持多种的系统标准，达到在各个系统上提供一些预留接口，使得在用户需要时，系统可以跨越现有的平台，增加新的功能,实现平滑的扩展。采用的技术和设备遵循相关国际、国内标准，能支持各种相应的接口和标准协议，具有兼容性、灵活性和可移植性. （3） 先进性和成熟性 在对系统进行设计时,要符合当今技术发展方向，系统硬、软件的选择和系统的设计，采用符合当前技术和管理发展方向的先进性技术和思想.同时，确保设备和技术都是有成功应用先例的。使用被证明了是成熟的设备和技术，减少实施风险。 （4） 安全性 XXX办公大楼是国家政策、文件、信息的核心地。承担着极其重要的工作。系统安全性主要体现在防止来自外部对网络的攻击、侵扰、病毒。保证文件信息的不篡改不丢失。中选单位必须有中国信息安全评测认证中心的《信息安全服务资质标准》的信息安全服务资质认证. （5） 可维护性 为确保投资的有效性和大楼的实用性,应针对功能特点选用设备和技术，并尽量简化系统配置步骤，使其容易得到维护和维修。 3 网络系统 本规划将从当前及未来一个时期内应用的实际出发,对信息管理系统的基础设施—网络系统进行规划设计，从而达到一个先进、高效、可靠、实用和便于维护、扩展性能较强的网络,为信息化提供稳定和功能强大的网络平台。 3.1 网络协议的选择 本网络系统以TCP/IP 为主要协议.因为TCP/IP协议簇是目前众多计算机网络最流行的协议，以它为基础组建的Internet网是目前国际上规模最大的计算机网间网,采用TCP/IP为网络主要协议，可保证系统各部分网络保持一致。 3.2 网络技术选择 网络技术发展很快，新技术层出不穷，有的具有旺盛的生命力，如以太网技术；有的很快就被淘汰,如Token Ring、FDDI等。因此，就给用户投资带来一定的风险，如何把握网络发展的方向，选择合适的技术和产品非常重要. 在本项目中，我们采用千兆以太网作为骨干网技术，同时,我们将采用一些其它的先进且成熟的网络技术，如VLAN、三层交换、虚拟路由器冗余协议（VRRP，RFC2338）、入侵检测(IDS)、服务质量（QoS）、组播（MultiCast）等,使整个网络具有优异的性能、良好的安全可靠性及未来的可扩展性.下面重点介绍几种先进实用的网络技术。 3.2.1 VLAN（Virtual LANs） 随着网络技术日新月异，L3,L4交换已经非常成熟。Internet中也越来越广泛地应用了交换技术,全交换网络已经非常普遍.在这些网络中，VLAN的使用是必不可少的。 VLAN是一个根据作用、计划组、应用等进行逻辑划分的交换式网络。与用户的物理位置没有关系。举个例子来说，几个终端可能被组成一个部分，可能包括工程师或财务人员。当终端的实际物理位置比较相近，可以组成一个局域网（LAN）。如果他们在不同的建筑物中,就可以通过VLAN将他们聚合在一起。同一个VLAN中的端口可以接受VLAN中的广播包。但别的VLAN中的端口却接受不到。 VLAN提供以下一些特性 Ø 简化了终端的删除、增加、改动 当一个终端从物理上移动到一个新的位置，它的特征可以从网络管理工作站通过SNMP或用户界面菜单中重新定义.而对于仅在同一个VLAN中移动的终端来说，它会保持以前定义的特征。在不同VLAN中移动的终端来说，终端可以获得新的VLAN定义。 Ø 控制通讯活动 VLAN可以由相同或不同的交换机端口组成。广播信息被限制在VLAN中。这个特征限定了只在VLAN中的端口才有广播、多播通讯.管理域（management domain）是一个仅有单一管理者的多个VLAN的集合。 Ø 工作组和网络安全 将网络划分不同的域可以增加安全性。VLAN可以限制广播域的用户数。控制VLAN的大小和组成可以控制广播域的相应特性. 在VLAN中应用最广的就是GVRP和STP技术。它们是VLAN中优点的集中体现。 3.2.2 三层交换技术 现在，网络业界对“三层交换”这个词已经不感到陌生了，在中大型规模网络建设中，以千兆三层交换机为核心的主流网络模型已不胜枚举。其实,三层交换从其出现到今天的普及应用也不过几年的时间，计算机网络加速度式的迅猛发展势头，实在快得令人吃惊。 “三层交换”概念的出现，与VLAN有着密不可分的联系。事实上,一个虚拟网就是逻辑上的子网。为了避免在大型交换机上进行广播所引起的广播风暴，可将其进一步划分为多个虚拟网.在一个虚拟网内，由一个工作站发出的信息，只能发送到具有相同虚拟网号的其他站点，而其他虚拟网的成员收不到这些信息或广播帧。由于网络变得越来越复杂，性能要求也越来越高,这就要求网管员能够成功地部署VLAN，从而使网络更加灵活而且易于管理。以往，网管员将3/4的时间花费在维护网络的基础结构，确保通信流量的优化,并处理移动和变更等工作.通常情况下，当一名用户转移到网络中另一个物理位置时，需要重新配置网络，甚至还有用户的工作站需要进行大量的管理工作。针对于此,VLAN的部署就是将通过减少管理网络中移动与变更所需的资源，从而实现为用户节约大量宝贵的资源。VLAN 技术还可以在以下关键领域内为用户提供价值： l 比路由器更具有成本效益的广播控制，有效抑制广播风暴。 l 支持多媒体应用与高效组播控制,提高网络带宽的有效利用率。 l 提高网络的安全性,各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制。 l 网络监督与管理的自动化，更多的有效的网络监控。 l 减少路由需要，基于ASIC技术,大幅度提高设备的数据包转发能力。 VLAN之间如何通信？简单回答就是“通过路由”.因此，这种技术也引发出一些新的问题：虚拟网之间通信是不允许的，这也包括地址解析(ARP）封包。要想通信，就需要用路由器桥接这些虚拟网，这就是虚拟网的问题：用交换机速度快但不能解决广播风暴问题，在交换机中采用虚拟网技术可以解决广播风暴问题，但又必须放置路由器来实现虚拟网之间的互通.在这种网络系统集成模式中，路由器是核心。 过去的网络在一般情况下按“80/20分配”规则，即只有20％的流量是通过骨干路由器与中央服务器或企业网的其他部分进行通信,而80%的网络流量主要仍集中在不同的部门子网内。 而今天，这个比例已经提高到了50％(“平分秋色"）甚至80%（倒二八，20/80），这是因为今天的网络正在经历着诸多应用的集合影响。网络应用已经超越了组件和电子邮件，新型应用已经如此迅速和深刻地冲击着网络，比如，任何人通过任何一个浏览器便可进行访问设定的Web网页,支持诸如销售、服务和财务之类商业功能的数据仓库。这种变化对传统路由器产生了直接的冲击。因为传统的路由器更注重对多种介质类型和多种传输速度的支持，而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。路由器的高费用、低性能,使其成为网络的瓶颈.但由于网络间互连的需求，它又是不可缺少的并处于网络的核心位置，虽然也开发了高速路由器，但是由于其成本太高，仅用于Internet主干部分。 在这种情况下,提出了三层交换技术.三层交换机是采用Intranet应用的关键,它将二层交换机和三层路由器两者的优势有机而智能化地结合成一个灵活的解决方案，可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性，不仅使二层与三层相互关联起来，而且还提供流量优先化处理、安全访问机制以及多种其它的灵活功能。三层交换机分为LAN接口层、二层交换矩阵层和三层交换矩阵（路由控制）层三部分。 三层交换机的应用其实很简单，主要用途是代替传统路由器作为网络的核心。因此，凡是没有广域网连接需求，同时需要路由器的地方，都可以用三层交换机代替。 在企业网中，一般会将三层交换机用在网络的核心层，用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。因为其网络结构相对简单，节点数相对较少。另外，其不需要较多的控制功能，并且要求成本较低。 简单地说，三层交换技术就是：二层交换技术＋三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。 3.2.3 VRRP 当路由器功能出现故障时,VRRP（虚拟路由器冗余协议，RFC2338)通过同一个局域网中的另一台路由器来保障网络的正常运行。通过设置虚拟路由器为缺省路由器，终端用户在路由器发生故障时可以继续通信，而不必考虑转换到另一台路由器上。 利用同一个以太网中的两台路由器设置一台虚拟路由器。在实际运行中，两台路由器中的任一台成为主路由器，该主路由器模拟虚拟路由器。备份路由器监控主由器状态。一旦主路由器出现故障影响网络运行，备份路由器立即进入主路由器状态以模拟虚拟路由器。 IP地址被分配给虚拟路由器. 指定虚拟路由器IP地址为缺省路由器的服务器将不会觉察主路由器的切换而继续进行正常通信. 关于VRRP的详细设计和部署情况请参见后续章节。 3.2.4 其它网络技术 在本网络中,除了采用三层交换和VRRP技术，根据应用情况，还可采用组播(Multicast）、QoS和负载均衡等先进网络技术。 q 全面支持MultiCast：选择设备全部支持MultiCast，主干设备支持DVMRP、PIM、IGMP、GARP组管理协议和多点发送、多点广播协议，充分适应网络特殊网络传输要求。 q 一定的QoS保证：核心设备支持RSVP 、CAR(Committed Access Rate)以及可配置门限的多种队列采用WAED、WRR、业务类型/业务级别（ToS/CoS）映射机制，在满足基本要求前提下保持高性价比,也为多媒体应用提供了坚实地网络基础. q 负载均衡实现：在核心设备上通过设置不同的VLAN的优先级，可将所有的VLAN流量分担在各楼的两台汇聚设备上,通过两台汇聚设备的VRRP功能,实现网络层的负载均衡。也可根据未来网络扩展的需求，增加相关的专用负载均衡设备实现3-7层的负载均衡功能。 3.3 网络设计概要 XXX办公大楼内、外网网络系统项目的总体设计目标以高可靠性、高安全性、高性能、极好的可扩展性和有效的可管理性为原则,同时兼顾考虑到技术的成熟性、先进性和可扩充性,网络系统设计采用层次化、结构化的设计方法。 根据对本系统网络需求的初步分析，确定办公内、外网网络采用多千兆链路捆绑，百兆到桌面的方案，本方案具有较好的性能价格比，整个网络采用分层设计技术，骨干为网络中心与1#、2＃和3#楼之间的多千兆光纤线路,接入网为各终端节点的10/100M以太网接入线路。核心设备使用高端路由交换机，接入设备选用具备三层交换功能的接入交换机。各楼内采用虚拟网VLAN技术实现功能群的划分，VLAN可在汇聚设备上创建。利用统一的标准调整网络规划，避免可能的不兼容性,保证整个网络的统一架构。 根据我们对网络系统需求的初步分析并结合本系统的特点，我公司提出一套基于华为3COM网络设备的解决方案，本方案具有较好的性能价格比，内网和外网全部采用分层设计，利用统一的标准调整网络扩容规划，避免可能的不兼容性，保证整个内、外网络的统一架构. 3.4 网络的分层设计 XXX办公大楼内、外网网络系统设计为两级网络，三级设备节点： 以网络中心（中心节点）为中心，边界至1＃、2＃和3#楼(汇聚节点）的骨干网； 以1#、2#和3#楼(汇聚节点）为中心，边界至同各配线间(接入节点）的接入网； 本系统的办公内、外网拓扑为冗余树型结构,无汇聚与汇聚和接入与接入节点之间有物理直联的需求。因此所有汇聚节点之间的通信全部经过网络中心的核心路由交换机实现数据交换，比较容易对各楼之间的流量和访问控制进行有效控制. 层次化设计的优点为： 可扩展性：因为网络可模块化增长而不会遇到问题; 简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题; 设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其它层次造成影响，无需改变整个环境； 可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。 3.4.1 核心层 核心层为汇聚和接入层提供优化的数据输运功能,它是一个高速的路由交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL，过滤等），否则会降低数据包的交换速度。 内外网核心层设备各包括两台核心交换机. 3.4.2 汇聚层 汇聚层提供基于统一策略的互连性，它是核心层和接入层的分界点，定义了网络的边界，对数据包进行复杂的运算.汇聚层主要提供地址的聚集、部门和工作组的接入、广播域/多目传输域的定义、InterVLAN路由、任何介质的转换和安全控制等功能。 在内、外网中，1#、2#和3＃办公楼各有2个汇聚层交换机,通过OSPF和VRRP实现设备和链路的冗余备份。 3.4.3 接入层 接入层直接为各接入用户提供的网络访问接入。本系统的接入设备选用支持802。1x功能的接入交换机. 3.4.4 选用华为3COM的网络设备 本项目中涉及的网络设备种类不多,但各设备类别具体需求各不相同,因此在选择设备厂商时，应考虑选择技术先进，产品线丰富，售后服务周到，且具有良好信誉的网络设备厂家。 网络设备的选择原则如下: 1．必须支持本系统目前以及未来涉及到的网络技术,如Trunking、VLAN/PVLAN、Routing Switch、ACL、QoS、Multicast及多种路由协议等； 2．必须支持多协议下的局域网络互连； 3．必须支持国际/国内网络技术标准，与不同厂商的网络安全产品有较好的互连性； 4．必须支持SNMP网络管理协议； 5．所选产品必须具有良好的发展前景，能适应未来网络技术的发展；支持向未来网络新技术的平滑过渡。 6．所选网络设备必须能够在不影响性能的情况下实现平滑升级. 7．所选网络设备必须要能够在网络中心利用网管软件进行统一网管。 在当今网络设备的市场上，比较著名的厂商有华为3COM、Cisco、NORTEL Networks等。其中，华为3COM公司在政府、企业网络、住宅宽带产品、基于Internet协议的电话、以太网连接、网络服务供应商的远程接入与无线解决方案等领域都可提供高性价比的解决方案。因此我们在本项目网络设计中选用华为3COM公司的网络设备. l 核心设备:华为3COM Quidway® S8512 S8512具有720Gbps的交换容量，背板为1.8Tbps(可扩展至3.6T），多层硬件转发能力为428Mpps，完全满足本网络对核心路由交换的需求。 另外，S8512未来还可顺利增加防火墙模板和IDS模板，以保证核心交换机的安全功能平滑升级，从而在网络核心层为提高内、外网络的安全性提供更丰富的解决方案. l 汇聚设备：华为3COM Quidway® S6506 S6506具有384Gbps的交换容量,背板为1。6Tbps，完全满足本网络对汇聚路由交换的需求. l 接入设备:华为3COM Quidway® LS-3952-P/LS—3928—P LS—3952-P和LS—3928-P 具有32Gbps的交换背板，多层硬件转发能力分别为13。2和9.6Mpps，完全满足本网络对接入交换机的需求. 上述华为3COM的交换机都是具有较高性价比的产品,并且具有较大的扩展性。 3.4.5 网络规划 由于内外网的重要性，本次项目必须能够为用户提供不间断的网络服务，因此建议全网络采用全冗余结构（设备冗余、线路冗余)互连。 3.4.5.1 网络设备统计 内网设备统计见下表： 内网 楼号 楼层 数据点 接入交换机（48口） 接入交换机（24口） 汇聚交换机 核心交换机 1号楼 8F 84 2 　 2 　 7F 83 2 　 6F 128 3 　 5F 124 3 　 4F 98 2 1 3F 90 2 　 2F 72 1 1 1F 64 2 　 B1F 4 B2F 7 1号楼小计 　 754 17 2 2 0 2号楼 12F 37 1 　 2 　 11F 185 4 　 10F 207 4 1 9F 173 4 　 8F 207 4 1 7F 173 4 　 6F 173 4 　 5F 173 4 　 4F 183 4 　 3F 183 4 　 2F 129 3 　 1F 96 3 1 B1F 9 B2F 47 2号楼小计 　 1975 43 3 2 0 3号楼 8F 51 1 1 2 2 7F 86 2 　 6F 122 3 　 5F 13 　 1 4F 52 1 1 3F 18 　 1 2F 96 2 　 1F 14 1 　 B1F 5 B2F 26 3号楼小计 　 483 10 4 2 2 合计　 　 3212 70 9 6 2 由于每接入交换机具备48或24个端口,因此接入层交换机数量可根据内网的每层设备间管理的信息点数计算得出，内网需配置70台48口和9台24口交换机。其中多余的端口作为备用端口。 内网在1#、2#和3＃楼各需配置2台单引擎的汇聚交换机。内网的2台核心交换机位于3＃楼的4层，为了保证核心设备的高效稳定运行，减少核心设备宕机对网络产生重要影响，需配置冗余引擎. 外网设备统计见下表： 外网 楼号 楼层 光网 数据点 接入交换机（48口） 接入交换机（24口） 汇聚交换机 核心交换机 1号楼 8F 13 87 2 　 2 　 7F 18 86 2 　 6F 16 131 3 　 5F 17 127 3 　 4F 10 143 3 　 3F 18 108 2 1 2F 9 92 2 　 1F 8 68 2 　 B1F 　 4 B2F 　 8 1号楼小计 　 109 854 19 1 2 0 2号楼 12F 4 39 1 　 2 　 11F 10 188 4 　 10F 10 210 4 1 9F 6 176 4 　 8F 10 210 4 1 7F 6 176 4 　 6F 6 176 4 　 5F 6 176 4 　 4F 6 186 4 　 3F 6 186 4 　 2F 1 132 3 　 1F 2 98 3 1 B1F 　 11 B2F 　 49 2号楼小计 　 73 2013 43 3 2 0 3号楼 8F 3 55 1 1 2 2 7F 15 88 2 　 6F 5 127 3 　 5F 5 20 　 1 4F 17 55 1 1 3F 6 26 1 　 2F 7 101 2 1 1F 7 22 1 1 B1F 　 5 B2F 　 26 3号楼小计 　 65 525 11 5 2 2 合计　 　 247 3392 73 9 6 2 由于每接入交换机具备48或24个端口，因此接入层交换机数量可根据外网的每层设备间管理的信息点数计算得出，外网需配置73台48口和9台24口交换机.其中多余的端口作为备用端口. 外网在1#、2#和3＃楼各需配置2台单引擎的汇聚交换机。外网的2台核心交换机位于3＃楼的4层，为了保证核心设备的高效稳定运行，减少核心设备宕机对网络产生重要影响，需配置冗余引擎。 另外，本系统外网在1＃、2＃和3＃还有共247个光纤到桌面的信息点.鉴于光纤到桌面的特殊性和光网络流量集中管理,建议这些光网端口不配置接入层交换设备，而是直接联到汇聚层的千兆光端口交换模板上，由汇聚层交换机直接负责这些光纤到桌面的信息节点的接入和访问控制管理。 3.4.5.2 核心层交换——Quidway® S8512 Quidway® S8500系列核心交换机是由华为3Com公司自主开发的新一代高性能核心路由交换机产品，可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商IP城域网核心层、汇聚层. Quidway® S8500系列基于新一代核心交换机的设计理念，具备大容量高性能、可扩展能力强和业务与性能兼具的特点。Quidway® S8500系列支持新一代高性能接口，能够为城域网、园区网、数据中心提供超高速链路，构建端到端以太网络,打造低成本、高性能、具有丰富业务支持能力的高性能网络。Quidway® S8500提供大容量、高密度、模块化的二、三层线速转发性能，内置强劲的全分布式业务处理引擎，以全线速处理二层、三层、MPLS VPN、组播等各种业务流量，提供完善的QoS保障、安全管理机制和电信级的高可靠设计，满足大型IP网络对多业务、高可靠、大容量、模块化的需求。 1)先进的体系结构 Quidway® S8500系列产品采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板，不单独占用设备槽位，可提供高达720Gbps的交换容量，并可平滑升级到1。44Tbps的交换容量。接口板通过多条高速总线分别连到两块主控板上的Crossbar交换网，从而实现真正的双主控、双交换网的热备份，极大的提高了系统的可靠性。 Quidway® S8500系列产品采用高性能的最长匹配、逐包转发的方式，在保持线速性能和低成本的基础上，革命性的解决了传统交换机流Cache精确匹配转发的致命缺陷，能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务,复杂流量访问的网络. 2)大容量、高密度线速交换 Quidway® S8500系列产品目前最高可以提供720Gbps交换容量/428Mpps包转发能力，并可平滑升级到1。44Tbps交换容量、857Mpps转发能力。支持各种高密度业务板和组合业务板，整机可支持高达576个千兆端口的同时线速转发，满足核心层设备大容量、高密度的要求。 3)强大的业务支撑能力 Quidway® S8500支持MPLS VPN业务；支持丰富的组播协议（IGMP、IGMP SNOOPING，PIM—SM、PIM—DM和MSDP/MBGP等）；支持WebSwitch（硬件支持）、NAT(硬件支持),内置防火墙（硬件支持）、IDS；支持POS/ATM、RPR等接口. 4） MPLS/IPv6分布式线速支持 Quidway® S8500系列产品遵循业务与性能并重的设计理念。一方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升，另一方面业务的发展要求核心交换机更加智能化并具备更强的业务提供能力。Quidway® S8500系列产品采用功能强大的ASIC芯片实现MPLS、IPv6的分布式线速转发，并能够基于高性能NP实现线速NAT、WebSwitch等增值业务，在为用户提供全面的有保障业务的同时，也做到根据需求业务可裁减。 5）完善的QoS机制 Quidway® S8500系列产品提供了灵活