机房改造设计方案.docx

1、机房改造设计方案机房网络系统技术建议书目录目录第一章 网络设计原则 - 1 -1.1 可靠性原则 - 1 -1.2 安全性原则 - 1 -1.3可扩展原则 - 2 -1.4 开放性、一致性原则 - 2 -第二章 网络设计部分 - 3 -3.1网络设计分析 - 3 -3.1.2 组网技术选择 - 3 -3.2 网络设备选型 - 5 -第三章 设备介绍 - 5 -3.1华为S5700系列交换机 - 5 -第五章 遵循的主要标准和协议 - 11 -5.1 网络标准和协议 - 11 -5.2 网络管理标准 - 12 -5.3 网络安全标准 - 12 -第一章 网络设计原则根据信息部网络建设标准，我们在

2、网络设计中严格遵循网络设计的各项原则。1.1 可靠性原则网络设备要求可靠，关键部件如电源、风扇、主处理卡、背板、某些接口模块冗余设计。设备要适应特定的温度、湿度、电压变化等外部环境的变化；以支持关键线路的备份，保证网络结构的可靠性；充分考虑各部门对信息安全的需求，方案设计中注重考虑保证各类机密信息的安全。整个网络满足业务的实际需求，各部分关键线路，设备及数据均采用相应的容错及安全措施。1.2 安全性原则安全的网络才是可靠的网络，网络的安全性能表现在：（1） 设备管理的安全性：包括设备登陆、远程登陆时的多重身份认证、授权；（2） 数据源的安全性：包括对数据源来访者采用身份认证、地址过滤、隔离子网

3、等技术。网络设计采用的产品及技术具有较高的安全性，同时还考虑到其他方面的安全因素，从各个方面保证网络的安全性。1.3可扩展原则本次网络建设可以独立扩展，以满足未来业务的发展需要：（1） 网络具有良好的扩展性能：设备采取模块化设计，可以在将来业务量较大的时候通过增加模块扩大容量；设备提供足够的交换容量。（2） 设备具有良好的升级性能：设备能支持更高的端口速率、支持新的组网技术。（3） 设备要遵循有关国际标准和论坛标准，以利于多厂商互联。（4） 网络采用先进的图形化界面的网管软件，管理人员可轻松监视和管理所有网络设备。网络结构及设备可根据实际需要平滑地进行调整和扩展。背板带宽及线路带宽完全满足未来

4、扩展、扩容的需要。1.4 开放性、一致性原则在监控系统中存在多种不同的业务，如话音、图像、IP数据流等。这些业务的接入方式各不相同。对用户而言，最理想的组网形式应是建立一个统一的交换平台，能支持多种不同业务。这样能大大减少网络的连接复杂度，人员培训的难度，以及网络管理的压力，并提高网络的可靠性，降低运行成本。简而言之，就是在建网的过程中利用尽可能少的网络设备提供尽可能多的网络业务，努力避免在一个节点上使用多个不同设备简单互连，以堆砌的方式提供多种业务。在建网的具体技术上，下列关键点应予以关注：（1）全网的业务互通性（2）话音、数据、传真等各种业务在整个网络的互通。大小节点的技术要求不同，但要求

5、大小节点的业务必须能完全融合在一起。因此，网络设计所采用的所有网络设备均支持现有的协议、信令及不同厂家的产品。第二章 网络设计部分3.1网络设计分析机房网络系统的设计和建设从战略角度出发，结合本次项目要求及网络需求、网络产品和技术成熟度及网络发展的方向等方面考虑，对网络整体进行统一设计、实施，建设一套完整的、稳定可靠的、可持续发展的机房网络系统。3.1.2 组网技术选择网络层次采用业界成熟的三层架构：接入、汇聚和核心，最后企业局园区通过出口层网络设备（路由器或交换机）连接到外网通过。这种分层的网络架构，可以保证根据的企业局需求，分别对不同层次进行扩容。如下图所示,随着黑客工具的泛滥和使用的方便

6、,使的网络攻击的成本越来越来,但危害越来越大. 黑客工具的危害性这就要求设备具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。交换机提供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。另外，以太网交换机的MAC地址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC

7、地址攻击的时候，攻击者通过不停的发送MAC地址来刷新，填充交换机的MAC地址表，由于MAC地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流量。华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描，并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击（SAI/DAI功能）。华为全系列交换机支持黑洞MAC功能，园区交换机收到报文时比较报文目的MAC地址，若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性

8、，则可以在园区交换机上配置黑洞MAC，从而将具有该MAC地址的报文过滤掉，避免遭受攻击。3.2 网络设备选型根据机房网络系统的需求，在保证各项业务正常实现的情况下，做出了本次选型。华为交换机S5700-52C-SI 48千兆电口（1台）华为交换机S57700-52C-EI 48千兆电口（2台）第三章 设备介绍3.1华为S5700系列交换机 华为S5700系列交换机是华为公司为满足大带宽接入和以太多业务汇聚而推出的新一代绿色节能的全千兆以太网交换机。它基于高性能硬件芯片和华为公司统一的VRP软件平台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足企业用户的园区网接入、汇聚、IDC千兆接入以

9、及千兆到桌面等多种应用场景。产品特点：成熟的IPv6特性S5700基于成熟稳定的VRP平台，支持IPv4/IPv6双协议栈、IPv6路由协议（RIPng/OSPFv3/BGP4/ISIS for IPv6）、IPv6 over IPv4隧道（手工隧道/6to4隧道/ISATAP隧道）。S5700既可以部署在纯IPv4或IPv6网络，也可以部署在IPv4到IPv6共存的网络，充分满足网络从IPv4向IPv6过渡的需求。智能iStack堆叠S5700智能iStack堆叠，将多台支持堆叠特性的交换机组合在一起，从逻辑上组合成一台虚拟交换机。iStack堆叠系统通过多台成员设备之间冗余备份，提高了设备

10、级的可靠性；通过跨设备的链路聚合功能，提高了链路级的可靠性。iStack提供了强大的网络扩展能力，通过增加成员设备，可以轻松地扩展堆叠系统的端口数、带宽和处理能力。iStack简化了配置和管理，堆叠形成后，多台物理设备虚拟成为一台设备，用户可以通过任何一台成员设备登录堆叠系统，对堆叠系统所有成员设备进行统一配置和管理。 创新AHM节能S5700-LI系列智能低功耗交换机，本着“性能优先，节能不牺牲用户体验”的原则，通过匹配链路Down/Up、光模块在位/不在位、端口Shut Down/Undo Shut Down、设备空闲时段/繁忙时段等不同的使用场景，创造性地应用能效以太网（EEE）、端口能

11、量检测、CPU动态调频、设备休眠等技术，达到节省设备耗电量的目的。针对不同用户的应用需求，提供了灵活可配的标准节能、基本节能、深度节能三种节能模式，是业界首家支持整机休眠的交换机设备。完善的VPN隧道S5700支持Multi-VPN-Instance CE（MCE）功能。S5700支持下接不同的VPN用户，通过路由多实例，实现了不同用户的隔离；上行通过一个共用的物理接口连接到PE设备，减少单个VPN用户对网络部署的投资。S5710-EI/S5700-HI支持MPLS L3VPN、MPLS L2VPN(VPWS/VPLS)、MPLS-TE、MPLS QoS等功能，可作为高质量企业专线接入设备，是

12、业界为数不多的高性价比盒式MPLS交换机。轻松的运行维护支持自动配置、即插即用、USB开局、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700支持SNMPV1/V2/V3、CLI（命令行）、Web网管、TELNET、SSHv2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。支持GVRP，实现VLAN的动态分发、注册和属性传播，减少手工配置量，保证配置正确性。S5700还支持MUX VLAN功能，MUX VLAN分为主VLAN和从VLAN，从VLAN又分为互通型从VLAN和隔离型从VLAN。主VL

13、AN与从VLAN之间可以相互通信；互通型从VLAN内的端口之间互相通信；隔离型从VLAN内的端口只能与主VLAN内的端口通信。杰出的网流分析支持Netstream网络流量分析功能。作为网络流量输出器，S5700根据用户配置，实时采集指定的数据流量，通过标准的V5/V8/V9报文格式，将数据上送给网络流量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。支持sFlow功能。S5700按照标准定义的方式，对转发的流量按需采样，并实时地将采样流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供了极大的方便。灵活的以太

14、组网S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标准ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。ERPS是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现以太环网的毫秒级快速保护倒换。S5700支持SmartLink和VRRP功能。S5700通过多条链路接入到多台汇聚交换机上，SmartLink/VRRP实现了上行链路的备份，极大地提升了接入侧设备的可靠性。S5700支持多种快速连接故障检

15、测功能。S5700支持完善的以太OAM(IEEE 802.3ah/802.1ag /ITU Y.1731 )和BFD功能。S5700-HI更能提供硬件级3.3ms高精度以太OAM和10ms BFD检测。多样的安全控制S5700支持MAC地址认证和802.1x认证，实现用户策略（VLAN、QoS、ACL）的动态下发。S5700支持完善的DoS类防攻击、用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻击，包括SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC 欺骗、DHCP request flood、改变DHCP CHAD

16、DR值等等。S5700通过建立和维护DHCP Snooping绑定表，侦听接入用户的IP/MAC地址、租用期、VLAN-ID、接口等信息，解决DHCP用户的IP和端口跟踪定位问题。利用DHCP Snooping的信任端口特性，S5700还可以保证DHCP服务器的合法性。S5700通过建立和维护DHCP Snooping绑定表，对不符合绑定表项的非法报文直接丢弃。利用DHCP Snooping的信任端口特性，S5700还可以保证DHCP服务器的合法性项目S5700固定端口48个10/100/1000Base-T以太网端口性能包转发率：138Mpps 交换容量：256Gbps 电源可扩展双电源扩展

17、插槽S5700C系列产品提供两个扩展插槽，支持上行插卡和堆叠卡，上行可扩展41000Base-X SFP、210GE SFP+、410GE SFP+插卡MAC地址表遵循IEEE 802.1d标准支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤MAC地址容量：32KVLAN特性支持4K个VLAN支持Guest VLAN、Voice VLAN支持GVRP协议支持MUX VLAN功能支持SuperVLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN Mapping功能环网保护技术支持STP/RSTP/MSTP协议支持RRPP环型拓扑和

18、RRPP多实例支持SmartLink树型拓朴和SmartLink多实例，提供主备链路的毫秒级保护支持智能以太保护SEP协议支持RRPP环型拓扑和RRPP多实例支持ERPS以太环保护协议(G.8032)支持BPDU保护、根保护和环回保护支持BPDU Tunnel可靠性支持以太网OAM 802.3ah和802.1ag支持 ITU-Y.1731支持Enhanced Trunk支持BFD For OSPF/ISIS/VRRP/PIM协议支持DLDP支持LACPMPLSS5710-EI支持下列特性：支持MPLS L3VPN支持MPLS L2VPN(VPWS/VPLS)支持MPLS-TE支持MPLS Qo

19、SIP路由静态路由支持三层动态路由IPv6特性支持ND（Neighbor Discovery）支持PMTU支持IPv6 Ping、IPv6 Tracert、IPv6 Telnet支持6to4、ISATAP、手动配置tunnel支持MLD v1/v2 snooping（Multicast Listener Discovery snooping）支持基于源IPv6地址、目的IPv6地址、TCP/UDP端口号、协议类型等ACL组播支持IGMP v1/v2/v3 Snooping和快速离开机制支持VLAN内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播支持基于端口的组播流量统计支持

20、IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM支持MSDPQoS/ACL支持对端口入方向、出方向进行速率限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRRSP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP协议源/目的端口号、协议、VLAN的包过滤功能支持基于队列限速和流量整形的功能安全特性用户分级管理和口令保护支持防止DOS、ARP攻击功能、IC

21、MP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、Sticky MAC支持黑洞MAC地址，支持MFF支持MAC地址学习数目限制支持IEEE 802.1x认证，支持单端口最大用户数限制支持AAA认证，支持Radius、HWTACACS等多种方式支持NAC功能支持SSH V2.0支持HTTPS支持CPU保护功能支持黑名单和白名单接入安全支持DHCP Relay、 DHCP Server、DHCP Snooping、DHCP Security、SAVI等管理和维护支持智能堆叠支持虚拟电缆检测(Virtual Cable Test)支持SNMPv1/v2/v3支持eSight网管系统、支持WEB网管支持自动配置支持HTTPS支持系统日志、分级告警支持RMON支持sFlow互通性VBST基于VLAN生成树协议（和PVST/PVST+/RPVST 互通）LNP 链路类型协商协议（和DTP相似功能）VCMP VLAN集中管理协议（和VTP相似功能）