资源描述
济宁市中小学网络技术培训济宁市中小学网络技术培训2汇报提纲汇报提纲p中小学网络整体设计中小学网络整体设计p交换产品及技术交换产品及技术p路由产品及技术路由产品及技术p无线产品及技术无线产品及技术3应用服务器区应用服务器区/iMC/iMC核心交换区核心交换区中小学网络建设整体方案示意图核心交换机核心交换机接入交换机接入交换机餐厅餐厅接入交换机接入交换机汇聚交换机汇聚交换机接入交换机接入交换机无线控制器无线控制器出口网关出口网关办公接入交换机办公接入交换机汇聚交换机汇聚交换机出口区出口区数据中心交换机数据中心交换机办公接入交换机办公接入交换机汇聚交换机汇聚交换机接入交换机接入交换机汇聚交换机汇聚交换机接入交换机接入交换机4网络的层次划分网络的层次划分核心层核心层l交换数据包,实现高速的数据流量运转,核心层的设备不但需要容量大,转发快,而且需要具备高稳定性。但通常对业务的需求不高。汇聚层汇聚层l隔离拓朴结构变化、控制路由表的大小及控制流量、端口的收敛。实现丰富的业务特性。接入层接入层l将终端用户接入到网络中,大量的端口,强大的接入能力。实现丰富的业务特性。几点说明几点说明l在小型的网络中,层次不一定这么明显,很可能只有两个甚至一个层次的设备。l在一些大型网络中,层次可能划分的更细:例如,增加了边缘接入层、和骨干核心层。l在某个范围之内的核心层,在上一级网络中很可能只是汇聚层。5网络拓扑层次设计网络拓扑层次设计接入层接入层汇聚层汇聚层核心层核心层高速数据交换高速数据交换路由汇聚及流量收敛路由汇聚及流量收敛工作组接入和访问控制工作组接入和访问控制网络设计分三层:核心层、汇聚层、接入层6网络中常用的拓扑结构网络中常用的拓扑结构星形或双星形星形或双星形l常见于下层网络与上层之间的拓扑结构,主要的网络流量都在分支节点与核心节点之间发生,两个分支节点之间不通讯或流量很少。7网络中常用的拓扑结构网络中常用的拓扑结构网状或部分网状网状或部分网状l常见于同一层次(核心层或汇聚层)之间的设备互联,这些设备之间通常都是对等通信,或者这些设备之间需要确保互联而增加很多的冗余链路。8汇报提纲汇报提纲p中小学网络整体设计中小学网络整体设计p交换产品及技术交换产品及技术p路由产品及技术路由产品及技术p无线产品及技术无线产品及技术9核心交换机核心交换机接入交换机接入交换机H3C S5500SI/EI(PWR)/HIH3C S5120LI/SI/EIH3C S5800/S5810/S5820XH3C S3600SI/EIH3C S3100SI/EIH3C S9500ESMBSMB交换机交换机S1508/16L/ES2100S5024E/S5048ES5016P/24PS1526/S1550/50EH3C S7500E交换机产品图谱千兆交换机千兆交换机H3C E系列H3C S10500H3C S1250010新一代高端核心路由交换机产品新一代高端核心路由交换机产品S12500可靠性最高:多级交换架构,纵向风道设计,全面的可靠性保证性能最强:基于100GE平台,交换容量最高13Tbps,包转发率达到2160Mpps虚拟化最完善:从交换层面到管理层面的全面虚拟化设计调度能力最优:基于分布式调度设计,保证每端口超过200ms缓存能力能耗最低:多项节能设计,能耗只有同类产品的50%70%11新一代园区网核心路由交换机S10500产品S10504S10508S10508-V业界首款支持多级交换架构的园区网多业务核心交换机业界首款支持四框虚拟化的核心交换机业界首款支持线速40GE接口的核心交换机业界最全的一体化业务平台12 交换结构的改进单级交换网多级交换网结构1,单平面交换;2,业务板卡和交换芯片单一链接2,交换矩阵和控制统一,即引擎承担了交换和控制双重功能;1,多块交换网板交换2,业务板卡和所有交换网板都有链接,多块交换网板共同完成数据转发2,控制和交换硬件槽位分离转发能力受限于单个交换芯片的交换能力,目前最大到720G就很难提升。多块交换网板同时分担业务流量,相当于N倍于单级交换的能力升级能力无法升级可以为设备提供持续的交换能力升级fabric13分布式缓存机制512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存512MB缓存缓存Ingress Line cardEgress Line card精确调度!精确调度!分布式缓存,能缓冲更大的分布式缓存,能缓冲更大的突发业务流量,增强数据中突发业务流量,增强数据中心持续业务能力心持续业务能力14IRF网络虚拟化对比传统MSTP+VRRP带来的优势:u简化管理:不需要复杂协议部署;设备数量减少;IP地址减少;u提高稳定性:50ms设备或者链路的切换速度;u性能翻番:改变原来1/2的链路闲置,链路双活效率提升1倍;u针对服务器区域的网卡双活机制;IRF2IRF2第二代智能弹性架构第二代智能弹性架构15IRFIRF弹性智能架构弹性智能架构统一的管理界面统一的管理界面一致的转发表项一致的转发表项跨设备链路捆绑跨设备链路捆绑物理上多台设备物理上多台设备逻辑上一台设备逻辑上一台设备IRF2IRF2特性特性16IRFIRFIRF简化网络拓扑简化网络拓扑服务器服务器IRFIRF逻辑图逻辑图IP地址对接入网段4*GE2*GE17基于基于IRFIRF的服的服务务器多器多归归属接入属接入Eth0:ActiveEth1:Standby源源MAC Eth1=源源MAC Eth0IP地址地址 Eth1=IP地址地址 Eth0AFT(Adapter Fault Tolerance)Eth0:ActiveEth1:Standby源源MAC Eth1=源源MAC Eth0IP地址地址 Eth1=IP地址地址 Eth0SFT(Switch Fault Tolerance)Eth0:ActiveEth1-x:ActiveIP地址地址 Eth1=IP地址地址 Eth0LACPALB(Adaptive Load Balancing)18网络和安全的统一融合网络和安全的统一融合效率:关注需要过滤的流量维护:安全、网络智能检测,精简维护工作部署:可采用在线、旁挂多种方式扩展:不限类型、不限数量,通过插卡扩容可靠:通过无源背板互联,二层回退,消除单点故障19小型校园网交换设备选型建议设备名称主要要求核心交换机固化盒式万兆三层交换机;支持虚拟化技术提高稳定性同时降低管理难度;支持IPv6;自带24个或者48个千兆接口;满足静态路由、RIP、OSPF等路由协议部署;接入交换机全千兆到桌面,提高接入带宽;支持三层功能,满足特殊区域的独立网段需要;支持IP+MAC+PORT绑定;支持ARP欺骗防御;小型分支机构(小型分支机构(500终端以下)终端以下)固化三层交换机支持虚拟化UTM统一威胁网关三层接入交换机路由器20中型校园网交换设备选型建议中型分支机构(中型分支机构(1000终端以下)终端以下)中端多业务路由器UTM统一威胁网关模块化核心交换机设备名称主要要求核心交换机小型模块化万兆路由交换机;支持虚拟化技术提高稳定性同时降低管理难度;支持IPv6;自带3个业务插槽,支持引擎冗余;满足静态路由、RIP、OSPF等路由协议部署;支持防火墙、入侵防御系统、无线控制等多业务卡扩展;汇聚交换机全千兆接口,具备较多光口,满足光纤连接需要;具备万兆上链扩展能力;支持IPv6技术;支持虚拟化技术提高稳定性;支持丰富路由协议;接入交换机全千兆到桌面,提高接入带宽;支持三层功能,满足特殊区域的独立网段需要;支持IP+MAC+PORT绑定;支持ARP欺骗防御;21大型校园网交换设备选型建议中型分支机构(中型分支机构(1000终端以上)终端以上)高性能路由网关UTM统一威胁网关模块化核心交换机设备名称主要要求核心交换机大型模块化万兆路由交换机;支持虚拟化技术提高稳定性同时降低管理难度;支持IPv6;自带6个以上业务插槽,支持引擎冗余;满足静态路由、RIP、OSPF等路由协议部署;支持防火墙、入侵防御系统、无线控制等多业务卡扩展;汇聚交换机全千兆接口,具备较多光口,满足光纤连接需要;具备万兆上链扩展能力;支持IPv6技术;支持虚拟化技术提高稳定性;支持丰富路由协议;接入交换机全千兆到桌面,提高接入带宽;支持三层功能,满足特殊区域的独立网段需要;支持IP+MAC+PORT绑定;支持ARP欺骗防御;22常用安全控制策略常用安全控制策略VLAN普通二层以太网网络中采用VLAN进行隔离。小区以太网接入应用中在接入层交换机上配置Isolate-user-VLAN,禁止接入用户之间互访。建议在接入交换机接入端口配置广播抑制门限123423采用访问控制列表ACL进行L1层L4层隔离常用安全控制策略常用安全控制策略VLAN24常用安全控制手段安全设备防护常用安全控制手段安全设备防护当内部网络与外部网络相连时,需要对内部网络进行必要的网络防护措施。即使在不需要与外网相连的情况下,也需要对内部网络中异常重要的服务器进行防护。网络防护主要通过防火墙设备来实施。防火墙防火墙DoS攻击攻击黑客黑客Internet25网络安全的补充措施网络安全的补充措施日志记录日志记录日志记录日志记录l日志记录可以准确的记下设备运行过程中发生的各种软件异常信息,链路异常信息,对设备的各种命令操作等。l日志记录可以在事后对各类故障进行分析,便于事后进行追踪,改善网络的安全部署策略。日志记录的类别日志记录的类别l设备运行时务必设置记录日志,如果条件允许,尽量将需要将日志信息发送到特定的日志主机。l为了减少日志信息量,应该只记录重要的告警信息。l务必记录对设备所有的操作信息。26汇报提纲汇报提纲p中小学网络整体设计中小学网络整体设计p交换产品及技术交换产品及技术p路由产品及技术路由产品及技术p无线产品及技术无线产品及技术27路由器产品全家福路由器产品全家福高端核心高端核心路由器路由器固定接口固定接口路由器路由器MSR20MSR30MSR50多业务模块多业务模块化路由器化路由器SR8802SR8805SR8808高端多核高端多核路由器路由器SR6602SR6608SR6604SR8812SR6616ER3000系列ER5000系列28路由器常用功能链路备份路由器常用功能链路备份对称性备份非对称性备份 29路由器常用功能路由器常用功能NAT静态NAT基于IP的动态NAT基于端口的动态NAT非TCP、UDP协议的端口转换,如L2TPNetwork ANATNetwork B30网络出口的瓶颈网络出口的瓶颈出口设备的表现成为影响用户体验、业务运行的瓶颈,需要进行有效疏导出口设备的表现成为影响用户体验、业务运行的瓶颈,需要进行有效疏导n出口带宽拥挤,而非关键应用当道;n安全防线薄弱;n政策要求进行上网行为监管;面临的压力数字校园的变化n用户数量的增长;n网络应用的发展;n多媒体与高带宽消耗应用的发展;31教育局学校学校学校普教城域网普教城域网分层设计构筑安全高效网络出口分层设计构筑安全高效网络出口SecPath UTMSR6602ACG2000iNode安全客户端32用户上网行为管理用户上网行为管理行为识别行为识别行为控制行为控制pACG识别用户的访问情况和流量信息p路由器进行NAT地址转换交换机交换机SecPath ACGSecPath ACG校园网校园网SR6602SR6602UBASUBASEADEAD行为审计行为审计pACG根据流控策略和内容过滤策略,对用户行为进行细粒度的控制pACG发送用户上网行为信息,p路由器发送NAT日志,pUBAS进行记录,供事后审计33教育局出口:出口网关教育局出口:出口网关+ACG+ACG组合组合 高性能:高性能:转发性能:8.4Mpps并发连接性能:400万新建连接数:30万/s 固定接口:固定接口:4个GE(光电复用),可扩展 灵活的策略路由,适应多出口应用灵活的策略路由,适应多出口应用模式模式SR6602SR6602多核多核紧凑型设计紧凑型设计高性能强业务高性能强业务34教育局出口:出口网关教育局出口:出口网关+ACG+ACG组合组合张三李四Radius ServerDHCP ServerH3C ACGSecCenter ACG ManagerLAN带宽滥用:P2P、游戏、炒股等公安部82号令:记录上网行为,保存NAT记录等,便于事后查询ACG可用于带宽管理控制;分析和记录用户的上网行为可用于带宽管理控制;分析和记录用户的上网行为35小型校园网路由设备选型建议设备名称主要要求路由器并发连接不低于5万;每秒新建连接不低于5000;支持IPv6;满足静态路由、RIP、OSPF等路由协议部署;支持多出口应用模式;满足百兆口线速处理要求小型分支机构(小型分支机构(500终端以下)终端以下)固化三层交换机支持虚拟化UTM统一威胁网关三层接入交换机路由器36中型校园网路由设备选型建议中型分支机构(中型分支机构(1000终端以下)终端以下)中端多业务路由器UTM统一威胁网关模块化核心交换机设备名称主要要求路由器并发连接不低于25万;每秒新建连接不低于8000;支持IPv6;满足静态路由、RIP、OSPF等路由协议部署;支持多出口应用模式;满足多条百兆口线速处理要求;37大型校园网路由设备选型建议中型分支机构(中型分支机构(1000终端以上)终端以上)高性能路由网关UTM统一威胁网关模块化核心交换机设备名称主要要求路由器并发连接不低于50万;每秒新建连接不低于10000;支持IPv6;满足静态路由、RIP、OSPF等路由协议部署;支持多出口应用模式;满足多条百兆口线速处理要求;38多核多核CPU 硬件架构硬件架构VPN功能功能 用户上网行为审计用户上网行为审计应用层流量识别与控制应用层流量识别与控制防入侵防入侵防垃圾邮件防垃圾邮件防病毒防病毒防火墙防火墙网页过滤网页过滤传统叠加式出口安全防御传统叠加式出口安全防御创新的创新的UTMUTM统一安全防御统一安全防御设备性价比同比提升50%,维护成本降低20%“卡巴斯基”等病毒库/特征库提供业界最佳收益收益垃圾邮件特征库卡巴斯基病毒库网页安全特征库学校边界安全优化:学校边界安全优化:UTMUTM实现学校安全托管实现学校安全托管39汇报提纲汇报提纲p中小学网络整体设计中小学网络整体设计p交换产品及技术交换产品及技术p路由产品及技术路由产品及技术p无线产品及技术无线产品及技术40网桥网桥无线控制器无线控制器WX6103WX5004无线、有线一体化网管无线客户端、11n网卡无线入侵检测无线定位WX3024S7500E/S9500E插卡FIT/FAT FIT/FAT 无线接入点无线接入点网桥网桥/MESH/MESHWA2110-AGWA2210-AGWA2220-AGWA1208E-GPWA2220E-AGWA2210X-GEWA2220X-AGP/AGEWA 2620E-AGN无线终端无线终端及应用及应用WX3010S5800插卡WA2612-AGNWA2620-AGN无线终端准入控制WX3008WA2610X-GNPWA2610E-GNPWLANWLAN常见产品常见产品WA2620X-AGNPWB2360X-ANP41802.11n802.11n选择什么技术、产品:选择什么技术、产品:802.11n802.11n高带宽高带宽6-126-12倍倍广覆盖广覆盖30%30%易兼容易兼容兼容兼容11abg11abg高稳定高稳定易扩展易扩展密接入密接入100%100%42InternetInternetAPAPAPAPAPAPAC传统Fat AP架构H3C Fit AP架构配置维护困难配置维护困难不支持不支持3层漫游层漫游IP地址需要扩容地址需要扩容安全性差安全性差不支持负载均衡不支持负载均衡无法自动调节射频无法自动调节射频配置维护困难不支持3层漫游IP地址需要扩容安全性差不支持负载均衡无法自动调节射频零配置、自动升级支持3层漫游两种转发模式支持WIDS支持负载均衡自动调节射频选择什么技术架构选择什么技术架构43普通交换机POE供电盒POE供电盒,不需要取电,但故障点增多,无法网管本地供电,不方便取电,电源线外露不美观普通交换机电源WLANWLAN部署:部署:APAP供电供电优选优选PoEPoE交换机供电,相比较交换机供电,相比较PoEPoE供电模块,具有更高的稳定性及可靠性,并且具有可管理性,供电模块,具有更高的稳定性及可靠性,并且具有可管理性,并且可以智能控制对并且可以智能控制对APAP的供电的供电44一体化无线校园解决方案一体化无线校园解决方案无线接入点WA2110-AGPoE供电交换机S3100-8/16/26TP-PWR-EI无线控制器网管服务器iMC-WSM城域网FE 双绞线GE单模光纤GE 双绞线UTM实际网络拓扑实际网络拓扑实际网络拓扑实际网络拓扑WX3024,有线无线一体化设备;内置无线控制器模块,可管理48个AP内置WEB 管理、本地Radius Server、Portal Server和DHCP Server24个10/100/1000交换机0配置即连即用PoE供电免除强电线缆敷设45管理系统的选择管理系统的选择无线有线无线有线一体化管理一体化管理网络业务网络业务管理管理基础资源基础资源管理管理46小型校园网无线选型建议设备名称主要要求无线控制器支持12-24个AP的管理;支持和有线设备统一化管理;支持IPv6无线接入点802.11n技术,单路单频AP小型分支机构(小型分支机构(500终端以下)终端以下)固化三层交换机支持虚拟化UTM统一威胁网关三层接入交换机路由器47中型校园网无线选型建议设备名称主要要求无线控制器支持24-48个AP的管理;支持和有线设备统一化管理;支持IPv6无线接入点802.11n技术,双路双频技术;中型分支机构(中型分支机构(1000终端以下)终端以下)中端多业务路由器UTM统一威胁网关模块化核心交换机48大型校园网无线选型建议设备名称主要要求无线控制器支持64-256个AP的管理;支持和有线设备统一化管理、部署;支持IPv6无线接入点802.11n技术大型分支机构(大型分支机构(1000终端以上)终端以上)中端多业务路由器UTM统一威胁网关高端模块化核心交换机p经常不断地学习,你就什么都知道。你知道得越多,你就越有力量pStudyConstantly,AndYouWillKnowEverything.TheMoreYouKnow,TheMorePowerfulYouWillBe写在最后谢谢你的到来学习并没有结束,希望大家继续努力Learning Is Not Over.I Hope You Will Continue To Work Hard演讲人:XXXXXX 时 间:XX年XX月XX日
展开阅读全文