济宁教育局电教馆技术交流设计与选型部分.ppt

济宁教育局电教馆技术交流设计与选型部分.ppt

《济宁教育局电教馆技术交流设计与选型部分.ppt》由会员分享，可在线阅读，更多相关《济宁教育局电教馆技术交流设计与选型部分.ppt（54页珍藏版）》请在冰豆网上搜索。

济宁市教育局电教馆技术交流济宁市教育局电教馆技术交流中小学网络设计方案中小学网络设计方案杭州华三通信技术有限公司济南办事处产品经理张全超2汇报提纲汇报提纲pH3CH3C公司概况公司概况p教育城域网整体设计教育城域网整体设计p中小学网络整体设计中小学网络整体设计p交换产品及技术汇报交换产品及技术汇报p路由产品及技术汇报路由产品及技术汇报p无线产品及技术汇报无线产品及技术汇报3H3C201011亿美金2010年，H3C年销售额11亿美金，缴纳各项税费10亿人民币。

4800名员工截至2010年，H3C拥有4800名高素质员工，其中研发人员占55%。

2010年，H3C在中国市场：

以太网交换机市场份额36.4%，中国市场排名第一（IDC，2010Q4）企业级路由器市场份额40.6%，中国市场排名第一（IDC，2010Q4）4汇报提纲汇报提纲pH3CH3C公司概况公司概况p教育城域网整体设计教育城域网整体设计p中小学网络整体设计中小学网络整体设计p交换产品及技术汇报交换产品及技术汇报p路由产品及技术汇报路由产品及技术汇报p无线产品及技术汇报无线产品及技术汇报5教育城域网总体设计模式一教育城域网总体设计模式一市局核心市局核心S12500区县核心区县核心S7500E学校学校学校学校教育网外联区教育网外联区CERNETSecPathACGINTERNETSR6602Internet外联区外联区市局中心市局中心iMC区县核心区县核心S7500E学校学校学校学校区县区县iMC区县区县iMC内部办公接入内部办公接入内部办公接入内部办公接入内部办公接入内部办公接入6教育城域网总体设计模式二教育城域网总体设计模式二7汇报提纲汇报提纲pH3CH3C公司概况公司概况p教育城域网整体设计教育城域网整体设计p中小学网络整体设计中小学网络整体设计p交换产品及技术汇报交换产品及技术汇报p路由产品及技术汇报路由产品及技术汇报p无线产品及技术汇报无线产品及技术汇报8应用服务器区应用服务器区/iMC/iMC核心交换区核心交换区中小学网络建设整体方案示意图核心交换机核心交换机接入交换机接入交换机餐厅餐厅接入交换机接入交换机汇聚交换机汇聚交换机接入交换机接入交换机无线控制器无线控制器出口网关出口网关办公接入交换机办公接入交换机汇聚交换机汇聚交换机出口区出口区数据中心交换机数据中心交换机办公接入交换机办公接入交换机汇聚交换机汇聚交换机接入交换机接入交换机汇聚交换机汇聚交换机接入交换机接入交换机9网络的层次划分网络的层次划分核心层核心层l交换数据包，实现高速的数据流量运转，核心层的设备不但需要容量大，转发快，而且需要具备高稳定性。

但通常对业务的需求不高。

汇聚层汇聚层l隔离拓朴结构变化、控制路由表的大小及控制流量、端口的收敛。

实现丰富的业务特性。

接入层接入层l将终端用户接入到网络中，大量的端口，强大的接入能力。

实现丰富的业务特性。

几点说明几点说明l在小型的网络中，层次不一定这么明显，很可能只有两个甚至一个层次的设备。

l在一些大型网络中，层次可能划分的更细：

例如，增加了边缘接入层、和骨干核心层。

l在某个范围之内的核心层，在上一级网络中很可能只是汇聚层。

10网络拓扑层次设计网络拓扑层次设计接入层接入层汇聚层汇聚层核心层核心层高速数据交换高速数据交换路由汇聚及流量收敛路由汇聚及流量收敛工作组接入和访问控制工作组接入和访问控制网络设计分三层：

核心层、汇聚层、接入层11网络中常用的拓扑结构网络中常用的拓扑结构星形或双星形星形或双星形l常见于下层网络与上层之间的拓扑结构，主要的网络流量都在分支节点与核心节点之间发生，两个分支节点之间不通讯或流量很少。

12网络中常用的拓扑结构网络中常用的拓扑结构网状或部分网状网状或部分网状l常见于同一层次（核心层或汇聚层）之间的设备互联，这些设备之间通常都是对等通信，或者这些设备之间需要确保互联而增加很多的冗余链路。

13汇报提纲汇报提纲pH3CH3C公司概况公司概况p教育城域网整体设计教育城域网整体设计p中小学网络整体设计中小学网络整体设计p交换产品及技术汇报交换产品及技术汇报p路由产品及技术汇报路由产品及技术汇报p无线产品及技术汇报无线产品及技术汇报14核心交换机核心交换机接入交换机接入交换机H3CS5500SI/EI（PWR）/HIH3CS5120LI/SI/EIH3CS5800/S5810/S5820XH3CS3600SI/EIH3CS3100SI/EIH3CS9500ESMBSMB交换机交换机S1508/16L/ES2100S5024E/S5048ES5016P/24PS1526/S1550/50EH3CS7500E交换机产品图谱千兆交换机千兆交换机H3CE系列H3CS10500H3CS15新一代高端核心路由交换机产品新一代高端核心路由交换机产品S12500可靠性最高：

多级交换架构，纵向风道设计，全面的可靠性保证性能最强：

基于100GE平台，交换容量最高13Tbps，包转发率达到2160Mpps虚拟化最完善：

从交换层面到管理层面的全面虚拟化设计调度能力最优：

基于分布式调度设计，保证每端口超过200ms缓存能力能耗最低：

多项节能设计，能耗只有同类产品的50%70%16新一代园区网核心路由交换机S10500产品S10504S10508S10508-V业界首款支持多级交换架构的园区网多业务核心交换机业界首款支持四框虚拟化的核心交换机业界首款支持线速40GE接口的核心交换机业界最全的一体化业务平台17交换结构的改进单级交换网多级交换网结构1，单平面交换；2，业务板卡和交换芯片单一链接2，交换矩阵和控制统一，即引擎承担了交换和控制双重功能；1，多块交换网板交换2，业务板卡和所有交换网板都有链接，多块交换网板共同完成数据转发2，控制和交换硬件槽位分离转发能力受限于单个交换芯片的交换能力，目前最大到720G就很难提升。

多块交换网板同时分担业务流量，相当于N倍于单级交换的能力升级能力无法升级可以为设备提供持续的交换能力升级18分布式缓存机制512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存IngressLinecardEgressLinecard精确调度！

精确调度！

分布式缓存，能缓冲更大的分布式缓存，能缓冲更大的突发业务流量，增强数据中突发业务流量，增强数据中心持续业务能力心持续业务能力19IRF网络虚拟化对比传统MSTP+VRRP带来的优势：

u简化管理：

不需要复杂协议部署；设备数量减少；IP地址减少；u提高稳定性：

50ms设备或者链路的切换速度；u性能翻番：

改变原来1/2的链路闲置，链路双活效率提升1倍；u针对服务器区域的网卡双活机制；IRF2IRF2第二代智能弹性架构第二代智能弹性架构20IRFIRF弹性智能架构弹性智能架构统一的管理界面统一的管理界面一致的转发表项一致的转发表项跨设备链路捆绑跨设备链路捆绑物理上多台设备物理上多台设备逻辑上一台设备逻辑上一台设备IRF2IRF2特性特性21IRFIRFIRF简化网络拓扑简化网络拓扑服务器服务器IRFIRF逻辑图逻辑图IP地址对接入网段4*GE2*GE22基于基于IRFIRF的服的服务器多器多归属接入属接入Eth0：

ActiveEth1：

Standby源源MACEth1=源源MACEth0IP地址地址Eth1=IP地址地址Eth0AFT（AdapterFaultTolerance）Eth0：

ActiveEth1：

Standby源源MACEth1=源源MACEth0IP地址地址Eth1=IP地址地址Eth0SFT（SwitchFaultTolerance）Eth0：

ActiveEth1-x：

ActiveIP地址地址Eth1=IP地址地址Eth0LACPALB（AdaptiveLoadBalancing）23网络和安全的统一融合网络和安全的统一融合效率：

关注需要过滤的流量维护：

安全、网络智能检测，精简维护工作部署：

可采用在线、旁挂多种方式扩展：

不限类型、不限数量，通过插卡扩容可靠：

通过无源背板互联，二层回退，消除单点故障24小型校园网交换设备选型建议设备名称主要要求核心交换机固化盒式万兆三层交换机；支持虚拟化技术提高稳定性同时降低管理难度；支持IPv6；自带24个或者48个千兆接口；满足静态路由、RIP、OSPF等路由协议部署；接入交换机全千兆到桌面，提高接入带宽；支持三层功能，满足特殊区域的独立网段需要；支持IP+MAC+PORT绑定；支持ARP欺骗防御；小型分支机构（小型分支机构（500终端以下）终端以下）固化三层交换机支持虚拟化UTM统一威胁网关三层接入交换机路由器25中型校园网交换设备选型建议中型分支机构（中型分支机构（1000终端以下）终端以下）中端多业务路由器UTM统一威胁网关模块化核心交换机设备名称主要要求核心交换机小型模块化万兆路由交换机；支持虚拟化技术提高稳定性同时降低管理难度；支持IPv6；自带3个业务插槽，支持引擎冗余；满足静态路由、RIP、OSPF等路由协议部署；支持防火墙、入侵防御系统、无线控制等多业务卡扩展；汇聚交换机全千兆接口，具备较多光口，满足光纤连接需要；具备万兆上链扩展能力；支持IPv6技术；支持虚拟化技术提高稳定性；支持丰富路由协议；接入交换机全千兆到桌面，提高接入带宽；支持三层功能，满足特殊区域的独立网段需要；支持IP+MAC+PORT绑定；支持ARP欺骗防御；26大型校园网交换设备选型建议中型分支机构（中型分支机构（1000终端以上）终端以上）高性能路由网关UTM统一威胁网关模块化核心交换机设备名称主要要求核心交换机大型模块化万兆路由交换机；支持虚拟化技术提高稳定性同时降低管理难度；支持IPv6；自带6个以上业务插槽，支持引擎冗余；满足静态路由、RIP、OSPF等路由协议部署；支持防火墙、入侵防御系统、无线控制等多业务卡扩展；汇聚交换机全千兆接口，具备较多光口，满足光纤连接需要；具备万兆上链扩展能力；支持IPv6技术；支持虚拟化技术提高稳定性；支持丰富路由协议；接入交换机全千兆到桌面，提高接入带宽；支持三层功能，满足特殊区域的独立网段需要；支持IP+MAC+PORT绑定；支持ARP欺骗防御；27常用安全控制策略常用安全控制策略VLAN普通二层以太网网络中采用VLAN进行隔离。

小区以太网接入应用中在接入层交换机上配置Isolate-user-VLAN，禁止接入用户之间互访。

建议在接入交换机接入端口配置广播抑制门限28采用访问控制列表ACL进行L1层L4层隔离常用安全控制策略常用安全控制策略VLAN29常用安全控制手段安全设备防护常用安全控制手段安全设备防护当内部网络与外部网络相连时，需要对内部网络进行必要的网络防护措施。

即使在不需要与外网相连的情况下，也需要对内部网络中异常重要的服务器进行防护。

网络防护主要通过防火墙设备来实施。

防火墙防火墙DoS攻击攻击黑客黑客I30网络安全的补充措施网络安全的补充措施日志记录日志记录日志记录日志记录l日志记录可以准确的记下设备运行过程中发生的各种软件异常信息，链路异常信息，对设备的各种命令操作等。

l日志记录可以在事后对各类故障进行分析，便于事后进行追踪，改善网络的安全部署策略。

日志记录的类别日志记录的类别l设备运行时务必设置记录日志，如果条件允许，尽量将需要将日志信息发送到特定的日志主机。

l为了减少日志信息量，应该只记录重要的告警信息。

l务必记录对设备所有的操作信息。

31汇报提纲汇报提纲pH3CH3C公司概况公司概况p教育城域网整体设计教育城域网整体设计p中小学网络整体设计中小学网络整体设计p交换产品及技术汇报交换产品及技术汇报p路由产品及技术汇报路由产品及技术汇报p无线产品及技术汇报无线产品