《企业网络规划设计》毕业论文

编号： 本科毕业论文（设计）企业网络规划与设计院 系：姓 名：学 号：专 业：年 级：指导教师：职 称：完成日期：摘 要由于社会发展与计算机网络系统的应用息息相关，传统的企业正以前所未有的速度进行着变革，其主要特征就是企业网成为企业生存与发展的信息化基础设施。为了提高企业自身的竞争力和工作效率，更好地适应信息化建设的要求，本文通就如何完善企业网络建设，进行了分析讨论，提出了一种安全可靠的计算机网络管理方法。该方案注重网络设备的性价比，采用成熟可靠的网络技术，力求简单易用、性能优秀并且具有良好的可升级扩展。在网络设计的标准性、先进性、可靠性与稳定性、保密性与安全性、可扩展性、冗余性等方面，制定了一系列具有针对性的可行性方案。系统设计方面充分考虑大中型企业对网络需求的特点，注重为客户提供www服务、ftp服务、Internet对外邮件系统等，更好更快地与外部客户交流，为中型企业提供安全可靠、便于管理稳定的网络系统做出了一些讨论。本方案还考虑到企业的未来的发展规划，在网络的结构、应用、管理、系统性能等各个方面都能够适应未来的发展，并最大程度地节省企业的投入。从而使其在信息化建设过程中起到巨大的推动作用，为企业的办公提供简单、有效、便捷的理想环境，也为企业在以后的改革提供有效的电子信息。关键词：局域网；大中型企业网络；网络规划IAbstractBecause of the social development and application of computer network system is closely related, the traditional enterprises are engaged in an unprecedented rate of changes, the main feature is the corporate network as enterprise survival and development of information technology infrastructure. In order to improve the competitiveness of the working efficiency and better adapt to the request, the informatization construction of paper on how to improve enterprise network, general construction, analyzed, and puts forward a kind of safe and reliable network management plan. The solution to network devices, mature and reliable performance, and easy-to-use network technology, excellent and good performance can be upgraded. In web design standards, advanced, reliability and stability, security and secrecy and expansibility, redundancy, etc., have enacted a series of feasible scheme. System design for a medium-sized enterprise fully consider the characteristics of the needs of the network, provide the www ftp service and Internet services to foreign mail system etc, better with external customers faster and medium-sized enterprises provide safe and reliable, easy to manage stable network system made some discussions.The plan also considering the future of the companys development plan, the structure, the application in the network management, system performance, etc to be able to adapt to the development of the future, and to maximize the enterprise. Save so in the information construction process has great impetus for the enterprise, the office provides a simple and effective, convenient, also the ideal environment for enterprises to provide effective after the reform of electronic information.Key words : Lan;Large and medium-sized enterprise network;Network planning45目 录1 概述11.1 信息化建设背景11.2 信息化网络平台12 网络需求分析及建设目标22.1 工程项目概况22.2 信息点分布22.2.1 企业网络建设需求22.3 总体技术要求22.3.1 网络系统技术要求33 网络技术选型43.1 路由协议OSPF43.2 端口安全与认证（基于802.1X）43.3 VRRP(虚拟路由冗余协议)原理43.4 MSTP（多生成树协议）原理53.5 NAT的描述及策略路由的实现63.6 ACL(访问控制列表)63.7 链路聚合EC(Ethernet Channel)63.8 VLAN(虚拟局域网)74 网络设计原则84.1 网络资源的实用性84.2 网络的可靠性84.3 网络的扩展性84.4 网络的安全性94.5 网络的可管理性105 方案涉及产品介绍115.1 主要设备选型115.2 DCRS-7608 IPv6万兆核心交换机115.2.1 产品概述115.2.2 产品特性115.3 CRS-6804万兆核心路由交换机145.3.1 产品概述145.3.2 产品特性155.4 DCS-4500-26T智能安全接入交换机175.4.1 产品概述175.4.2 主要特性185.5 DCFW-1800E-2G多核防火墙205.5.1 产品概述205.5.2 主要特性205.6 LinkManager 网络管理系统215.6.1 系统特点215.6.2 要特征226 网络方案设计266.1 网络拓扑结构介绍266.2 网络拓扑图266.3 网络设计276.3.1 骨干核心层网络设计276.3.2 汇聚层网络设计286.3.3 接入层网络设计286.3.4 运维中心296.3.5 网络安全设计306.3.6 网络QoS设计306.3.7 冗余/负载均衡设计316.3.8 IP地址规划346.3.9 VlAN的划分406.4 方案优势40总结43参考文献44致谢45概述1 概述1.1 信息化建设背景当今社会信息化进程迅猛发展，网络技术已经对社会、经济和文化各方面产生重大影响，并将改变人们认识世界、思考世界的观点和方法。作为企业集团，如何面对网络时代带来的冲击，如何利用网络技术提高我们行业的管理水平和服务质量，是无法回避的问题。为进一步推进行业的信息化建设，了解国际信息化发展动态，吸收新的技术和管理经验，提高系统信息化应用的管理水平，使经济效益和社会效益双丰收势在必行。 网络设计主导：(1) “量身定制”对用户的需求进行了定量分析。站在用户的立场上为用户“量身定制”出这个网络方案。(2) “采先进成熟技术及产品”当今世界新技术产品层出不穷，组建内部网络应从高技术高起点出发，并留出扩容余量及广域网接口，尽量避免重复建设及投资。(3) “精打细算”选用产品应具有最佳性价比，在本次设计中采用神州数码全线产品。1.2 信息化网络平台随着行业管理信息化的不断深入和行业本身对信息化管理的要求不断提高，其原来的网络环境和技术管理手段逐渐不能适应和满足新的要求。搭建一个稳定、高效、安全、可管理并可持续发展的网络基础平台来承载企业的应用，本设计方案网络平台架构不仅能够完全满足企业的信息化需求和办公应用，而且能解决方案的可升级和扩展性也保证了企业局域网的安全性和运营效率。网络需求分析及建设目标2 网络需求分析及建设目标2.1 工程项目概况该企业为了加快信息化建设，企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代网络技术为依托，技术先进、扩展性强，将企业的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理以及各应用系统运行的基础设施。2.2 信息点分布主要信息点集中在生产部、账务部、网络中心、职工宿舍等部门。详细信息点分布如表2-1所示。表2-1主要信息点分布地点信息点备注网络中心40需保证速度、流量和可靠性生产部150需保证速度、流量和可靠性账务部120需保证速度、流量和安全性行政部100需保证速度、流量和安全性销售部100需要保证速度和可靠性职工宿舍1000需保证速度和流量2.2.1 企业网络建设需求企业计算机网络系统项目建设，共涉及六栋楼，每栋楼八层，共有信息点数大约1500个，此次网络建设的目的是为了实现企业内的办公自动化，提高办公效率。2.3 总体技术要求采用三层网络架构，万兆核心交换机，接入层交换机千兆上联到核心，千兆接入桌面，关键性业务千兆接入。根据实际情况进行VLAN划分，把不同的业务划分到不同的VLAN中进行隔离，以保证网络安全。随着技术的发展和业务的增长，可以通过更换或增加模块，使网络升级，网络规模和容量可以平滑增长。能够在所有信息点内任意划分组成虚拟网，实现不同业务的划分。要求整个网络具有高可靠性的总体设计，采用的技术是相对成熟的技术；所选用的设备具有高可靠性；采用具有高安全级别的系统软件；可以实现网络自愈。系统的性能指标能够完全满足网络内各项业务对处理能力的要求，且便于维护与管理。网络和主机应支持符合国际和业界标准的相关结构，能够与相关系统和网络可靠互联；系统软硬件平台应具有良好的移植能力；应选择广泛应用的标准协议，支持局域网内部的其它协议。2.3.1 网络系统技术要求网络设备应尽量选用同一厂家提供的，彼此之间匹配完全一致的产品。提供与设备选型相应的网管软件，具有网络配置、管理、监控、故障排除等方面的功能。(1) 核心交换机1 核心交换机负责连接所有的接入层交换机、防火墙、服务器；2 支持广泛的接口类型和密度；3 提供强大的VLAN支持能力；4 要支持第二层或第三层的IP Multicast协议；5 要支持第二层或第三层的QoS协议；6 提供第二层或第三层的网络安全控制能力。(2) 接入交换机提供相应数量的接入交换机，安装在院区各楼相应楼层内。接入交换机提供光纤接口，通过光纤与汇聚交换机相连。网络技术选型3 网络技术选型3.1 路由协议OSPF在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同VLAN间的数据转发而需要路由协议时，我们采用OSPF协议作为路由协议。OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息，从而掌握全网的拓扑结构，独立计算路由。因为RIP路由协议不能服务于大型网络，所以，IETF的IGP工作组特别开发出链路状态协议OSPF。目前广为使用的是OSPF第二版。OSPF作为一种内部网关协议（Interior Gateway Protocol，IGP），用于在同一个自治域（AS）中的路由器之间发布路由信息。区别于距离矢量协议(RIP)，OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点，在目前应用的路由协议中占有相当重要的地位。3.2 端口安全与认证（基于802.1X）(1) 端口安全交换设备定义了对端口保护的功能，我们能定义允许的最大MAC地址访问数，或者静态的定义特定的MAC地址。(2) 基于802.1x的端口认证基于端口的认证就是将AAA认证与端口保护相结合，默认情况下。一个支持802.1x的交换机端口处于未授权状态，除了和802.1x有关的数据，其他数据都不能通过该端口，只有客户的交换机创建了一个802.1x的会话，客户被授权访问EAPOL：Extensible Authentication Protocol OVER LAN局域网上的可扩展身份认证。在端口处于未授权状态下，客户端只能使用EAPOL与交换机通信。3.3 VRRP（虚拟路由冗余协议）原理VRRP给路由器组提供了一个冗余网关地址，它是一种容错协议，通过定义不同的组，不同优先级的路由器，它保证网络的主路由器失效时，可以及时的由备分来实现路由器来替代，从而保持通讯的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。VRRP技术的实现：汇聚到核心冗余连接及VRRP的实现通过VRRP技术将多个设备虚拟成为一台逻辑设备，实现汇聚/接入链路冗余。3.4 MSTP（多生成树协议）原理RSTP协议完全向下兼容802.1D STP协议，除了和传统的STP协议一样具有避免回路、提供冗余链路的功能外，最主要的特点就是“快”。如果一个局域网内的网桥都支持RSTP协议且管理员配置得当，一旦网络拓朴改变而 要重新生成拓朴树只需要不超过1秒的时间（传统的STP需要大约50秒）。本交换机支持MSTP，MSTP是在传统的STP、RSTP的基础上发展而来的新的生成树协议，本身就包含了RSTP的快速FORWARDING机制。由于传统的生成树协议与VLAN没有任何联系，因此在特定网络拓扑下就会产生很多问题：当交换机A、B在VLAN1内，交换机C、D在VLAN2内，然后连成环路。描述的拓扑图如下，见图3-1。图3-1描述的拓扑图 在某种情况的配置下，会造成把交换机A和B间的链路给DISCARDING由于交换机C、D不包含VLAN1，无法转发VLAN1的数据包，这样交换机A的VLAN1就无法与交换机B的VLAN1进行通讯。在网络末梢，连接到单个工作站的时候，是不可能形成桥接环路的。在接口上启用了PORTFAST特性，可以使交换机端口立即变为转发状态，提高了网络的响应速度及收敛时间。基于RSTP的交换机高级特性UPLINKFAST在网络中的应用。考虑到有冗余上行连接的网络，使用冗余连接到上层交换机，通常情况下一个上行连接处于转发状态，另一个处于阻塞状态，如果主上行连接断开，在使用冗余连接之前所经历的时间高达50S。在使用UPLINKFAS之后，使的具有冗余上行连接的交换机具有根端口失效时，另一个阻塞的上行连接能够立即使用，这个时间大大缩小到1-5S之间，在企业网的特殊环境之下，能大大增强网络的稳定性，加快网络收敛。3.5 NAT的描述及策略路由的实现在组建网络时，为了节约地址，我们在内部使用保留的私有地址段中的地址，但是使用私有地址不能访问Internet,所以必须申请多个公开地址配置在和Internet相连的局域网边缘设备上，应用NAT进行地址转换。NAT是网络地址翻译技术，在路由器上起用NAT之后，可以在部私有地址和外部公网地址之间做转换。比如我们可以把网络内部使用的IP翻译成外部公网的IP。配置基于策略的路由选择时，可使用路由映射表来指定基于IP地址，应用程序，协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策略。基于策略的路由和静态路由有很多共同之处。然而，静态路由根据目标网络地址来转换分组，而策略路由根据源地址来转发分组。在路由选择表中使用访问列表时，可根据诸如目标地址，分组长度，IP协议字段，优先级或端口号来转发数据流。这样可以指定范围更广泛，更细致的条件，并根据这些条件来决定下一路由器。3.6 ACL(访问控制列表)访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某些端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求，从而达到设置网络安全策略，防止网络中的敏感设备受到非授权访问的情况。在具体实现过程中从技术上来说我们需要了解到ACL分为两种类型,他们分别是标准访问列表(Standard access lists)和扩展访问列表（Extends access lists）前者在过滤网络的时候只使用IP数据报的源地址，那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源IP地址，它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定，它可以具体到端口，从而精确到某一个服务，比如对WEB,FTP的访问等，给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。3.7 链路聚合EC(Ethernet Channel)以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把2个、3个、4个千兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。在这些千兆以太网交换机中，最多可以支持4组链路聚合，每组中最大4个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。而一旦出现故障，启用备份链路。3.8 VLAN(虚拟局域网)VLAN虚拟局域网是一种在二层设备上隔离和划分广播域的技术，通过这种划分，我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域，或者把物理位置上邻近的网络设备划为不同的广播域，从而更方便我们管理和做一个逻辑层次的划分。从技术上说VLAN可以分为静态VLAN和动态VLAN,那么静态的VLAN是基于交换机端口进行划分，根据网络设备连接不同的交换机端口，则进入相应VLAN。动态VLAN则更灵活，它可以根据接入计算机的IP地址，MAC地址，甚至是用户的登陆账号做出相应的处理，把计算机划分进相应的VLAN中，这样就为我们实际的网络管理带来了比较大的方便性和灵活性。那么在我们的企业网方案中，我们希望通过使用VLAN技术进行划分达到以下目的：隔离，划分广播域，减小不必要的广播流量，从而提高整个网络的利用效率。网络设计原则4 网络设计原则采用先进成熟的技术和设计思想，运用先进的集成技术路线，以先进、实用、可靠、安全、使用方便和易于操作为原则，突出系统功能的实用性，尽快投入使用，发挥较好的效能。4.1 网络资源的实用性网络建设的实用性是网络建设的根本，在此基础上考虑网络的可靠性、可扩展性、安全性以及可管理性。网络的实用性主要体现在网络的性能上，网络的性能是由应用系统的数据流量分布、网络设备性能及广域网链路带宽综合决定的。对应用系统的认真分析是网络设备选型以及广域网链路带宽选择的基础。在一定的网络资源条件下，可利用各种技术实施对于关键的网络应用的保障。如通过先进的队列机制进行拥塞控制，对不同等级的数据进行不同的处理，包括时延的不同和丢包率的不同；采用具备先期拥塞控制机制的网络设备，当网络出现真正的拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象；对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS。4.2 网络的可靠性网络的可靠性既是保证网络的正常运行，不因网络的故障或变化引起网络的瞬间质量恶化。网络作为数据处理及转发中心，应充分考虑可靠性。 网络的可靠性通过冗余技术实现，包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。模块冗余考虑网络汇接点的主干设备和核心设备的所有关键模块和环境部件应具备1+1或1：N热备份的功能，所有模块具备热插拔的功能，当某一关键模块出现故障时，可由备份模块接替其功能。4.3 网络的扩展性从网络的发展趋势来看，用户数量以及应用系统的膨胀是必然的趋势，网络系统面临数据流量增大的压力，同时网络高新技术在网络中不断被应用，在设计网络时应充分考虑系统的可升级性，从而保护网络系统投资。网络的可升级能力包括设备交换容量的可升级能力、端口数量的可升级能力、主干带宽的可升级能力，网络新技术平滑过渡的可升级能力，以及网络规模的可升级能力。交换容量扩展应具备在现有基础上继续扩充2-4倍容量的能力，以适应IP类业务急速膨胀的需求。设备的选型应充分考虑包转发能力以及数据交换能力。端口密度扩展需要认真分析用户和应用系统的升级可能性，在具备升级可能性的信息节点配置高可升级性的网络设备，满足网络扩容时对用户接入以及系统互联的需要。主干设备应具备丰富的的接口种类，具备向后延展性，可支持万兆以太网是发展的必然方向，以适应IP类应用及业务急速膨胀的需求。网络规模扩展需综合考虑网络体系结构、路由协议的规划和设备的CPU路由处理能力，应能满足网络升级时对用户接入以及数据流量变化或增大时处理能力的需要。4.4 网络的安全性网络的发展趋势是基于Internet Web技术的开放网络化系统。这不仅带来了新的巨大的使用方便，同时也带来了不断增加的复杂应用及信息技术的挑战，因而安全是网络建设中要考虑的一个关键因素。网络安全在内容上主要应考虑以下几个方面：(1) 身份鉴别与授权：身份包括鉴别和授权。鉴别回答了“你是谁”和“你在哪？”这两个问题，授权回答“你可以访问什么”。必须对身份机制谨慎部署，因为如果设施难以使用，即便是最严谨的安全策略也有可能被避开。(2) 边界安全：边界安全涉及到防火墙种类的功能，决定网络的不同区域允许或拒绝何种业务，特别是在Internet和园区网之间或拨入网和园区网之间。(3) 数据的保密性和完整性：数据的保密性指确保只有获准能够阅读数据的实体以有效的形式阅读数据，而数据完整性指确保数据在传输过程中未被改动。(4) 安全监测：为检验安全基础设施的有效性，应经常进行定期的安全审查，包括新系统安装检查，发现恶意入侵行为的措施，可能的特殊问题(拒绝业务攻击)以及对安全策略的全面遵守等方面。(5) 策略管理：由于网络安全涉及到以上的多个方面，每一个方面都使用了多种产品和技术，对这些产品进行集中有效的管理可以帮助网络管理者有效地部署和更新自己的安全策略。(6) 其他基于网络安全技术的策略：比如利用硬件ACL技术，线速地对网络内部常见漏洞端口的封闭，对已知网络病毒传播的抑制。4.5 网络的可管理性随着网络中设备逐渐增多，网络技术日趋复杂，网络管理的重要性越来越明显网络的复杂导致系统运行的不确定因素增加，可靠性降低，“宕机”时间变长且带来的损失越来越大，而往往由于平时对网管的忽略，缺乏受过专业培训的网络管理人员，也缺乏综合的网管解决方案，因而发生问题时无从下手，这才意识到网管的重要。作为一套考虑完善、可靠性要求极高的系统，当然不希望有“亡羊补牢”的情况发生，因此网络管理是网络设计必不可少的考虑因素之一，从设备本身操作系统所具备的一些网管功能，到简单的网络管理工具，甚而功能强大的大型管理系统，用户可根据自身的实际网络应用和资金安排，循序渐进，逐步实现全面网络管理功能。网络从承载单一的数据到多种不同的应用，如何合理利用带宽资源，保障关键性业务QoS等管理要求成为网络规划管理人员不能回避的问题，网络管理系统必须提供有效的性能监控与流量收集分析的网络工具帮助网络管理人员优化网络性能，准确地进行网络规划。多种业务的集成要求势必带来网络硬件环境的变化。从单一的路由器与交换机的互连到集合了路由器，交换机，IP PHONE，语音网关，视频设备等多样设备的互连，设备管理和配置的直观性，灵活性对网络管理的效率至关重要。方案涉及产品介绍5 方案涉及产品介绍5.1 主要设备选型神州数码（中国）有限公司具有业界最长最丰富的交换机产品线，其中新一代的大容量万兆核心交换机DCRS-7600系列，可以提供丰富的IPv6实现技术，出色的体系结构，完整的攻击和病毒防范功能线速万兆和节能技术。而DCRS-6800系列可以提供大容量无阻塞的高性能业务交换，具备不断扩展和升级的能力；提供大容量的二、三层线速交换，提供多种丰富的业务板卡，不断满足客户对网络的需求，并极大的保护用户的投资。智能接入的DCS-4500-24T交换机，支持丰富的协议类型，用户行为的管理控制、安全可靠，充分满足客户对网络易管理、高性能、多业务承载的需求。5.2 DCRS-7608 IPv6万兆核心交换机图5-1 DCRS-7608 IPv6万兆核心交换机5.2.1产品概述神州数码DCRS-7608，丰富的IPv6实现技术，出色的体系结构，完整的攻击和病毒防范功能，稳定的核心保障机制，智能灵活的性能资源调度机制Flex Resource，便捷安全的网络管理，运营商级的可靠性，线速万兆和节能技术。5.2.2产品特性(1) 丰富的业务支持支持全线速的MPLS VPN业务：DCRS-7600系列支持全面的LDP功能和BGP/MPLS VPN功能的同时，还支。持MPLS VPN访问公网功能，实现专网通信的同时，可以无阻隔地访问公网，保障了业务的多样性，可同时作为PE路由器、P路由器，还可根据需要支持版本升级扩展功能。支持领先的IPv6业务：DCRS-7600系列支持丰富的IPv6实现技术，完全基于ASIC的分布式全线速硬件方式进行转发，能够满足高性能的IPv6应用。分布式硬件IPv6转发方式，可以在本地实现IPv6报文的处理，并可在接口模块内部及模块与背板间实现IPv6报文的线速转发，避免了集中式转发、NP转发等模式存在的瓶颈和时延问题；同时，作为国内和国际最先通过IPv6 Ready第二阶段增强版认证和IPv6 Ready Dhcpv6认证的路由交换机，新增加了更安全的邻居发现（ND）信息、认证封装安全负载、避免了受到路由头RH0攻击的影响、避免了使用IPv6任播地址的限制、完善了无状态地址分配的协议交互过程，为IPv6能真正在大规模商用环境中应用提供了安全方面的保障。支持强大复杂的组播业务：DCRS-7600系列支持强大的组播实现技术，不仅支持IPv4组播，还支持领先的IPv6组播，完全基于ASIC的分布式全线速硬件方式进行IPv4/IPv6组播转发，能够满足高性能的多媒体应用。在IPv4方面，提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等为主，配以MSDP、anycast-RP、静态组播路由、边界组播、Multcast VLAN、IGMP Proxy、IGMP Snooping等为辅的多套IPv4组播解决方案；在神州数码网络的传统强项IPv6方面，提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2为主，配以IPv6 anycast(泛播)-RP、IPv6静态组播路由、IPv6边界组播、IPv6 Multcast VLAN、IPv6组播隧道等为辅的多套IPv6组播解决方案，满足了业务复杂的电信级IPv4/IPv6组播业务需求。(2) 出色的体系结构DCRS-7608提供了10个插槽，DCRS-7604提供了4个插槽，同时DCRS-7604管理引擎模块支持高密度千兆端口，业界独特，极大地保护了用户的投资。 DCRS-7600系列产品采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，采用最长匹配、逐包转发的方式进行数据转发，从而大大提升了路由交换机的转发性能和扩充能力。(3) 完整的攻击和病毒防范功能DCRS-7600系列具有多层的IPv4和IPv6安全防范设计，堪称业界最全面，极有效地保障了超大规模、多业务、复杂流量访问网络的安全稳定性：1 S-MAC技术可有效地基于MAC层防范各种攻击；2 S-ARP (安全ARP) 技术可有效防止ARP的各种攻击和欺骗；3 S-NDP (安全NDP) 技术可有效防止IPv6 NDP的各种攻击和欺骗；4 S-ICMP（安全ICMP）技术可有效防止PING-DOS攻击，灵活防止黑客利用ICMP；5 Unreachable攻击第三方的行为；6 BPDU-GUARD技术可有效防止非法BPDU报文的攻击；7 IPv4 DHCP Snooping/IPv6 DHCP Snooping技术可有效防止DHCP报文的攻击；8 IPv4 URPF/IPv6 URPF技术可有效防止基于源IPv4地址IPv6欺骗的网络攻击；9 IPv4/IPv6 DCSCM可有效防止组播源和组播客户端的攻击；10 黑洞路由技术可有效防止路由环路、路由黑洞。(4) DCRS-7600系列的诸多设计可充分保障核心稳定1 交换引擎CPU核心保护：可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪；2 关键协议绿色通道功能：可保障正常、合法、速度合理的关键控制报文（VRRP、STP、MSTP、RIP、OSPF、BGP、组播协议、双引擎板间心跳等）在大流量业务下不被淹没，快速处理不中断；3 先进的FLASH ECC的自动纠错：避免了版本升级过程中出错的可能性；4 先进的内存ECC的自动纠错：保障了设备运行的稳定性。(5) 智能灵活的性能资源调度机制Flex Resource影响交换机性能的因素有很多：CPU、内存、MAC表、IP地址表、路由表、ACL表等等。这些资源都是有代价的，它们是交换机成本的重要组成部分。所以说，能不能在有限的成本范围内，最大限度地提高交换机资源的利用率，就成为提升性能的有效之道！针对这个用户需求，神州数码网络的Flex-Resource（柔性资源调度）可利用多项技术，动态调整、回收和再分配交换机资源,从而成倍地提高了核心交换机资源的利用率，支撑起更大规模的网络。Flex-Resource目前支持Flex-LPM,Flex-L3,Flex-ARP等细分技术。(6) 便捷安全的网络管理优秀的网络设备除了强大的性能和功能外还应具备完善的管理功能。DCRS-7600系列具有丰富的监测网管功能，可实现任务异常、内存异常、交换芯片异常、CPU利用率、堆栈异常等方面的监测，而SYSLOG功能可方便地记录事件，便于事后查找和定位。DCRS-7600系列具备便捷安全的配置管理手段，支持标准SSH、SNMP v1/v2c/v3；Security IP功能可拒绝非法配置员，只有从合法的IP才能对交换机进行配置管理，防止非法用户登陆交换机。(7) 运营商级的可靠性DCRS-7600系列路由交换机对所有关键部件都采用了冗余备份的设计方案：电源冗余、管理模块冗余、链路冗余等，并且DCRS-7600系列路由交换机的交流电源采取多路(2-3路)电网供电电源工作时负载均衡，大大提高了电源的稳定和可靠。双引擎HA技术，保证在主引擎出现故障时，备份引擎自动接管交换机设备变成主引擎，从而保证交换机的稳定可靠运行。同时所有单板、电源模块、风扇盘等都支持热插拔，提高了网络运行的连续性。(8) 线速万兆和节能技术DCRS-7600系列交换机拥有着先进的万兆以太网支持，最高可提供Tbps级的交换容量和Mbps级的包转发能力。在保持线速转发性能的基础上，支持各种高密度接口板，满足核心层设备高密度、高吞吐量的要求，为城域和广域的应用提供了针对性的解决措施，可以简化网络结构、降低网络建设成本。DCRS-7600系列交换机还采取了最新的节能技术，拥有着业界同级别产品中最低的功耗，在当前这个能源紧张的时代节能的意义可想而知。并且，低功率意味着低散热，可让长期运行的核心网络设备的系统稳定性大大增强。5.3 CRS-6804万兆核心路由交换机图5-2 CRS-6804万兆核心路由交换机5.3.1 产品概述DCRS-6804路由交换机为企业和电信网络提供了优秀的安全性、可靠性、业务多样性和扩展能力。DCRS-6804可作为中小型校园网、企业网的核心层设备或作为大型校园网、IP城域网的汇聚层设备，它们不仅能够降低用户构建下一代网络的复杂性，而且提供了很好的投资保护。DCRS-6804路由交换机率先通过最为苛刻的国际IPv6 Ready第二阶段增强版认证，神州数码网络是国内第一家通过该认证的厂商。同时DCRS-6804路由交换机通过IPv6 Ready Dhcpv6认证，神州数码是全球第一家通过该认证的厂商。借助芯片级的转发能力和多样化的业务支持，以及较高的性价比，DCRS-6804成为企业级网络和电信城域汇聚层部署IPv6的最佳解决方案的一部分。该系列目前包括DCRS-6804, DCRS-6808等交换机。DCRS-6808提供10个槽位，具备强大的交换容量和转发能力，可全线速地进行L2/L3数据转发，能够满足用户对于网络规模的扩展要求。DCRS-6804提供了4个插槽，其管理模块均带有业务接口。DCRS-6804L是一种高性价比的组合：在配予专用电源模块之后，利用L型专用管理模块，DCRS-6804L则成为一台满足中小型网络核心需求的高性价比机箱交换机。DCRS-6804交换机的管理模块、电源模块支持冗余备份和负载均衡，板卡、电源、风扇均支持热插拔，为DCRS-6804提供了电信运营商级的可靠性。5.3.2 产品特性(1) 丰富的业务支持1 支持全线速的MPLS VPN业务；DCRS-6800系列支持全面的LDP功能和BGP/MPLS VPN功能的同时，还支持MPLS VPN访问公网功能，实现专网通信的同时，可以无阻隔地访问公网，保障了业务的多样性，可同时作为PE、P，还可根据需要支持版本升级扩展功能，极大地保护了用户的投资。2 支持领先的IPv6业务；DCRS-6800系列支持丰富的IPv6实现技术，完全基于ASIC的分布式全线速硬件方式进行转发，能够满足高性能的IPv6应用。分布式硬件IPv6转发方式，可以在本地实现IPv6报文的处理，并可在接口模块内部及模块与背板间实现IPv6报文的线速转发，避免了集中式转发、NP转发等模式存在的瓶颈和时延问题；同时，作为国内和国际最先通过IPv6 Ready第二阶段增强版认证和IPv6 Ready Dhcpv6认证的路由交换机，新增加了更安全的邻居发现（ND）信息、认证封装安全负载、避免了受到路由头RH0攻击的影响、避免了使用IPv6任播地址的限制、完善了无状态地址分配的协议交互过程，为IPv6能真正在大规模商用环境中应用提供了安全方面的保障。3 支持强大复杂的组播业务。DCRS-6800系列支持强大的组播实现技术，不仅支持IPv4组播，还支持领先的IPv6组播，完全基于ASIC的分布式全线速硬件方式进行IPv4/IPv6组播转发，能够满足高性能的多媒体应用。在IPv4方面，提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等为主，配以MSDP、anycast-RP、静态组播路由、边界组播、Multcast Vlan、IGMP Proxy、IGMP Snooping等为辅的多套IPv4组播解决方案；在神州数码网络的传统强项IPv6方面，提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2为主，配以IPv6 anycast(泛播)-RP、IPv6静态组播路由、IPv6边界组播、IPv6 Multcast Vlan、IPv6组播隧道等为辅的多套IPv6组播解决方案，满足了业务复杂的电信级IPv4/IPv6组播业务需求。(2) 运营商级的可靠性为了满足苛刻的运营商级网络对设备可靠性的要求，DCRS-6800系列交换机对所有关键部件都采用了冗余备份的设计方案，并且可随时监控各个部件的工作温度并在出现温度异常时自动报警。(3) 强大的ACL功能支持标准和扩展ACL，支持IP ACL、基于IP子网的ACL、MAC ACL、IP-MAC ACL，支持基于源/目的IP、三层IP协议类型、TCP/UDP四层端口号、IP优先级、ToS，并且以上功能完全依靠硬件线速实现，不影响转发性能。(4) 增强的安全特色1 全面的受控组播方案DCSCM，可以对源和目的进行安全控制，完整实现了在接入层网络中应用了基于IGMP源端口和目的端口检查技术，可完全限制合法组播在网络中的稳定传输，有效控制组播建立的整个过程，保障了正常合法的组播应用的稳定运行。 2 支持ACL-X可基于时间段设置安全策略，安全设置随时间而动，在不同的时间段自动切换为不同的策略；智能化流量控制，可基于ACL进行流量分类，更加精细和贴近业务分类。 3 交换引擎CPU核心保护：可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪。 4 “关键协议绿色通道” 功能：可保障正常、合法、速度合理的关键控制报文（STP、MSTP、RIP、OSFP、BGP、组播协议、双引擎板间心跳等）在大流量业务下不被淹没，快速处理不中断。5 先进的LPM技术：可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病毒等。6 端口信任模式：则可检测非法DHCP Server等，只在信任端口才能接入这些设备，从而保障网络的安全。7 智能灵活的性能资源调度机制Flex Resource。影响交换机性能的因素有很多：CPU、内存、MAC表、IP地址表、路由表、ACL表等等。这些资源都是有代价的，它们是交换机成本的重要组成部分。所以说，能不能在有限的成本范围内，最大限度地提高交换机资源的利用率，就成为提升性能的有效之道！针对这个用户需求，神州数码网络的Flex Resource（柔性资源调度）可利用多项技术，动态调整、回收和再分配交换机资源,从而成倍地提高了核心交换机资源的利用率，支撑起更大规模的网络。(5) 丰富灵活的QoSDCRS-6800系列交换机为每个端口提供了8个优先级队列，完全硬件实现，不影响性能。每端口8个队列，支持基于802.1p、TOS、端口、DiffServ进行流量分类还可以根据ACL-X的80个字节高层内容进行流量分类，同时支持WRR、SP、SWRR等队列算法，还支持入口流量整形。为语音/数据/视频在同一网络中传输提供所要求的不同服务质量。5.4 DCS-4500-26T智能安全接入交换机图 5-3 DCS-4500-26T智能安全接入交换机5.4.1 产品概述DCS-4500-26T是千兆交换机，固化端口组合更加丰富，最大限度的满足网络流量扩展及多媒体业务迅速增长的需要，提高投资的性价比。它支持丰富的协议命令，如基于流的mirror及数据统计、端口环路检测、BPDU/Root Guard、Auto VLAN、Guest VLAN、Voice VLAN、支持最大32组LAG的端口聚合组数等等。这还是一款高安全性交换机，可全面防范ARP欺骗，具体可支持防ARP扫描、ARP Guard，同时还支持非法组播源检测，基于芯片的防DOS攻击等。DCS-4500-26T全面支持IPv6主机配置，具备SNMP v6、HTTP v6等，更灵活的适应网络环境的需要，可在IPv4、IPv6网络部署中收放自如。同时在机器性能上，它支持接入SFP百兆光模块，支持ECC纠错功能，具备集群批量升级功能，降低了用户的投资及维护成本。DCS-4500-26T是千兆铜缆的接入，更大限度的释放了带宽，实现诸如电子政务应急指挥系统、高校的远程视频教学及视频点播、网吧游戏系统、生产制造业的设计加工协助等的高效率运转。神州数码网络的DCS-4500-26T所具备的高密度端口组合、丰富的协议支持、全面的安全接入、灵活的网络适应、容易的网管及维护，是用户千兆接入的理想选择。5.4.2 主要特性(1) 高密度千兆端口组合DCS-3950系列交换机提供了3款不同端口组合的产品供用户选择：1 DCS-4500-26T提供了26个10/100/1000 Base-T以太网接口及4个固化1000Base-T SFP以太网接口（combo），同时千兆光口可支持百兆光的接入。2 DCS-4500-50T提供了50个10/100/1000 Base-T以太网接口及4个固化1000Base-T SFP以太网接口（combo），同时千兆光口可支持百兆光的接入。3 DCS-4500-26T-PoE提供了26个10/100/1000 Base-T以太网接口（PoE）及4个固化1000Base-T SFP以太网接口（combo），同时千兆光口可支持百兆光的接入。(2) 丰富的协议支持DCS-4500-26T支持全面的QoS功能，交换机可根据端口、VLAN、COS、802.1p、ToS、DSCP、TCP/UDP端口进行流量分类，并分配不同的服务级别，支持SP/WRR/SWRR等队列调度算法，为视频/数据/语音在同一网络中传输提供所要求的不同服务质量。DCS-4500-26T交换机支持802.1d/w/s 生成树协议，同时支持BPDU Guard、Root Guard及BPDU报文透传，能有效防止黑客针对整个交换结构发动的BPDU拒绝服务攻击，提高了数据传输的安全性。交换机还支持802.1Q、802.1p、802.3ad、802.3x、GVRP、DHCP等标准。DCS-4500-26T支持高适应性的VLAN特性，系列除了支持传统的802.1q和基于端口、MAC的Vlan，还具备支持基于用户的Vlan划分功能。管理员可根据当前登陆交换机的用户信息（基于IP+MAC的识别），来决定该端口属于哪一个VLAN组，最大限度的保证了接入用户的安全，同时还可以根据用户权限进行VLAN设置。DCS-4500-26T具备Auto VLAN及Guest VLAN功能，可以根据用户权限进行VLAN设置。比如企业用户，来访者接入网络后系统把其自动加入相应的VLAN，使来访者可以访问内网中指定VLAN的一些开放资源。对于高校用户，新生第一次入学只能具备有限访问权限，同时可开放资源给不符合安全管理策略的终端，实现其自动修复。DCS-4500-26T的Vlan VPN（QinQ）技术为企业用户和运营商提供了低成本、简便易行、易于管理的二层VPN功能。在实际应用环境中，QinQ技术实现了VLAN数量的扩展，增加了VLAN资源。同时本交换机还具备Voice VLAN特性，系统通过识别设备类型，将IP电话等终端加入专用语音vlan（voice vlan），为语音业务提供良好的QoS保证。(3) 全面的安全功能DCS-4500-26T提供了完整的ACL策略，可根据报文多种字段对数据进行分类，并使用不同的策略进行转发。它支持基于IP地址、MAC地址的ACL策略，支持基于时间段的ACL配置，支持ACL配置在VLAN上。通过ACL策略的实施，用户可以过滤掉“冲击波”、“震荡波”、“红色代码”等病毒包，防止扩散和冲击核心设备。支持IEEE802.1x基于端口的认证，为网络提供端口级的安全保证。 配合RADIUS等认证机制，可有效防止非法用户侵入网络。DCS-4500-26T可有效防范ARP欺骗，它通过防ARP扫描技术、ARP Guard技术等，杜绝攻击源通过ARP漏洞对网络进行攻击，可最大限度的减少网络使用过程中的时断时续、掉线频繁，增加网络的安全可用。(4) 灵活的网络融合能力DCS-4500-26T-PoE设备支持PoE（Power over Ethernet）技术，可通过以太网对所连接的设备（包括无线AP、IP电话、网络摄像头等）进行供电，从而减少了大量电源连接线的部署，降低了用户的布线成本。DCS-4500-26T-PoE设备的24个千兆电口都能提供PoE供电，每个端口支持最大PoE供电功耗为15.4W，整机最大PoE供电功耗为195W，24个端口可共享195W的功耗。系统可对PoE端口做多项设置：可设定每个端口的最大输出功率，实现有效省电；设定端口的供电优先级，在接入供电设备过多的情况下最大限度的满足优先级高的设备先得到供电；设定POE供电功能关闭，可选择性的设定端口PoE供电。DCS-4500-26T可灵活接入IPv6或IPv4主机，可随心所欲的应用在IPv4或IPv6的网络环境中，同时，满足用户从IPv4到IPv6网络的平滑升级过渡，避免了用户的二次投资。(5) 便捷的网络管理界面DCS-4500-26T交换机支持SNMP，支持带内和带外管理，支持CLI和WEB界面，支持Security IP功能，可以防止非法用户登陆和修改交换机的配置。支持SSH协议，可以最大限度地保证交换机的配置管理的安全性。可采用神州数码集中网管系统LinkManager统一管理，方便简捷。(6) 完整的认证计费解决方案DCS-4500-26T交换机支持完整的神州数码增强型802.1x认证计费解决方案，支持按交换机端口和MAC地址方式的认证。实施该套方案后，用户在不通过认证的情况下将无法使用网络，可以有效避免用户私自更改IP对网络的冲击。配合神州数码的安全接入控制与计费系统DCBI-3000和802.1x客户端，可以实现按时长/流量计费，可以实现用户帐号、密码、IP、MAC、VLAN、端口、交换机的严格绑定，还可以防止代理软件对合法客户发送通知/广告，进行上网时段控制，基于用户动态实现VLAN授权和带宽授权，可基于组策略实现动态IP地址分配而不必使用DHCP服务器等。DCS-4500系列交换机是实现网络运营的非常理想的接入交换机。(7) 绿色环保的多维绿网设计理念多维绿网是神州数码网络多年3D-SMP（动态分布式安全域管理策略）实施经验的集