网络分离及岭澳二期厂区计算机网络系统的方案建议书及实施方案.doc

摘要本部分是根据中广核工程有限公司工程公司网络分离/岭澳二期厂区网络设备采购项目招标文件（招标编号：ITTSEC00023）而撰写的工程公司网络分离及岭澳二期厂区计算机网络系统的总体方案建议书。本建议书主要包括用户需求分析、网络设计思想与原则、网络技术应用以及方案特点的介绍，关于网络结构、路由策略、IP地址规划、安全方案、扩展性设计、网管方案、网络QOS方案等方面的详细建议；同时，给出了方案中所使用的全部产品的产品明细表，并详细介绍了方案中所使用的相关产品的功能特性和技术规范；对工程实施与技术服务所做的详尽计划。目 录目 录2一、本项目需求分析71.1工程公司网络分离项目概述71.2工程公司网络现状分析71.3本项目设计要求9网络结构设计9网络技术设计9网络切换设计10具体设计要求111.4岭澳二期厂区网络项目概述121.5岭澳二期网络项目分析121.6岭澳二期网络项目设计要求13网络核心设计要求13网络汇聚层设计要求14网络接入层设计要求14系统点数分布14二、方案设计思想与原则162.1 设计目标162.2 设计原则162.2.1 层次化设计思想162.2.2 高可靠性和可用性原则162.2.3 网络的高效性原则172.2.4 网络的可管理性原则172.2.5 网络的可扩展性原则182.2.6 网络安全性原则182.2.7 先进性、成熟性、稳定性原则182.2.8 开放性原则182.2.9 经济性192.3网络技术192.3.1 千兆以太网192.3.2 10G以太网202.3.3MLT/SMLT212.3.4VRRP技术362.3.5VLAN技术37三、网络总体结构设计393.1 网络拓扑设计的原则393.1.1核心层网络设计原则393.1.2汇聚（分布）层网络设计原则393.1.3接入层网络设计原则403.2 网络拓扑设计403.2.1 核心层网络设计423.2.2 汇聚层网络设计433.2.3接入层网络设计433.3 具体设计说明443.3.1 核心层配置说明443.3.2 服务器汇聚层配置说明473.3.3广域网链路接入层网络493.3.4汇聚层交换机503.3.5接入层配置说明523.3.6 设备清单55四、VLAN的设计和实现61五、IP地址规划设计625.1 IP地址规划原则625.2IP地址规划建议645.3向IPv6过渡655.3.1技术简介655.3.2IP的迁移655.3.3问题66六、路由设计676.1 路由规划原则676.2 常见路由协议比较676.3 岭澳二期厂区信息网络路由设计69七、网络可靠性设计717.1设备可靠性设计717.2节点可靠性设计717.3链路可靠性设计737.4网络层可靠性设计737.5应用层可靠性设计74八、QoS设计758.1QoS定义758.2实现方式758.3北电交换机上Qos的实现77九、网络安全设计809.1环境和硬件809.2网络层安全809.2.1防止对网络设备的非法访问809.2.2安全使用网络设备819.2.3使用VLAN技术隔离数据829.3入侵检测和漏洞扫描829.4防火墙系统839.5病毒防护系统849.6操作系统层安全859.7数据库层安全859.8应用层安全869.9安全管理层86十、优秀的网络升级能力8710.1层次化的结构是网络扩充的基础8710.2设备端口的扩充8810.3网络带宽的扩充8810.4应用种类的增长8810.5网络规划充分考虑系统扩充需求89十一、网络管理设计9011.1 网络管理方案设计9011.2 网络管理90十二、工程公司网络分离方案9312.1 网络现状9312.2 网络分离步骤9412.2.1 准备9412.2.2 分离步骤95十三、设计特点96十四、工程实施建议书9814.1 工程管理9814.1.1 建立工程管理小组9814.1.2 工程组织9814.1.3 工程人员安排9914.2 工程实施细节9914.2.1 系统总体方案论证9914.2.2 设备、材料供应10014.2.3 方案修改10014.2.4 网络设备的安装、调试和开通10014.2.5 工程进度表10114.3 用户测试及验收10114.3.1 测试10114.3.2 验收10214.3.3 测试手册103十五、技术服务计划书10515.1 技术支持10515.2 技术服务10615.3 服务中的职责分工10815.4 用户技术支持服务的联系方法10915.5软件升级服务(不包括第三方软件和可能发生的硬件升级费用)109一、本项目需求分析1.1工程公司网络分离项目概述根据中广核工程公司网络系统建设的要求，遵循网络总体设计原则和总体设计规划，确定采用万兆主干千兆到桌面的企业局域网方案，以满足工程公司网络分离及岭澳二期厂区计算机应用系统对网络带宽的需要，同时为以后的各种应用（图形、图像、视频等多媒体）预留了足够的带宽，保证了网络技术的领先和系统日后扩展的便利性。中广核工程公司经过近几年的快速发展，已形成了以大亚湾为中心，各基地项目部为支点的发展模式，公司规模日益庞大，对网络系统需求日益增加，为配合工程公司业务发展的使用需要，需对工程公司现有网络进行改造形成一套相对独立、功能完善的工程公司网络系统。本次工程公司核心网络改造项目中需达成以下建设目标：l 建立工程公司自有、相对独立、结构清晰、功能完善、承载能力强的基础网络系统；l 将工程公司网络与其他网络进行物理及逻辑上分离，通过网络边界安全设备实现与中广核集团公司、各成员公司、各项目部、承包商的安全无缝连接；l 新建网络核心实现全网联接、升级现有网络设备，提高网络应用系统的稳定性和可靠性。l 整合及调整工程公司现有网络资源，通过调整及新增若干网络设备使改造后的工程公司基础网络能充分满足现在及未来几年的建设使用需求同时可依据变化可实现弹性扩充；1.2工程公司网络现状分析工程公司现有网络依附于运营公司（DNMC）核心网络，无核心交换机，与DNMC内部网络分界不清晰，并且存在各项目部、下属分公司通过广核集团核心网络互联，共享工程公司内部应用系统。（1）大亚湾工地本部现状工程公司大亚湾本部现有网络设备属网络边缘汇聚及接入层设备，主要有北电 ERS-1624/12、ERS5530、ES-470、ES-450等。网络分布区域分散，主要有BM区域、LA区域、LD区域、LH区域、LBX部分区域等，工程公司目前通过DNMC的核心网络实现各区域的连接，无核心交换设备。（2）深圳市内分部及各项目部现状泥岗路设计院、梅华楼设计院分别通过光纤与集团科技大厦实现连接，与工程公司大亚湾本部连接需通过集团网络及DNMC网络中继。各项目部专线通过集团核心网及DNMC网络与本部连接。（3）现有网络拓扑1.3本项目设计要求网络结构设计工程公司网络改造需要按照层次化的结构来设计，如图所示，按核心层、汇聚层、接入层进行设计；网络层次设计需清晰简明，应着重突出各层次的设计使用功能及所采用的关键技术线路；着眼目前的实际网络应用使用情况，提出合理的并切实可行的网络调整计划并兼顾现有实际使用环境；整体网络设计应充分考虑广核全集团未来网络的发展规划，兼顾广核集团的现有使用情况并结合其他成员公司网络现状给予考虑；网络技术设计（1）需参照现有网络结构及充分考虑目前实际使用情况来综合进行设计；（2）所采用的关键网络技术标准不低于现有网络环境中的技术标准，对所采用的关键网络技术均应详细描述并提供详实可靠的可比数据说明；（3）在网络结构设计、设备使用组织、关键网络技术、网络协议应用上应充分考虑系统冗余的使用需求，有效避免单点物理、链路失败保证网络的高可用性及有良好的可自愈性并提供足够的网络使用弹性；（4）网络应可承载目前的主流的网络应用，有效满足与实现三网合一（数据、语音、视频），在复杂应用模式下需考虑如何有效保障服务质量及针对具体应用的策略及配置在广核集团网络上可实施性及可操作便捷性等；为后期便于后期的网络维护，关键网络设备应充分考虑与现有设备的可兼容性及互操作并应可统一网络管理；考虑到网络建设的可持续性，本次网络改造需要为今后的网络扩容及调整留有足够的可升级空间并在技术层面及性能冗余上可给予支持；网络切换设计（1）提供详细的网络切换实施方案，对所涉及到的关键网络设备明确描述出切换所需做的操作方案，提供不限于以下的资料： n 网络切换拓扑设计图纸；n 网络切换实施计划安排；n 网络切换方案模拟测试环境搭建及模拟测试步骤；（2）参照现有网络结构及实际配置进行调整，关键网络切换必须保证无缝切换，网络业务不允许中断；（3）网络切换及调整不允许对集团及DNMC网络造成影响；（4）网络切换必须保证工程公司现有各网络应用均可正常使用，包括（IP电话、视频会议、Internet/服务器访问等）；具体设计要求如图所示，根据工程公司提出的“以项目为中心”的网络架构，工程公司现有网络结构将参照以上网络构架图进行改造：（1）2台核心交换机2台核心交换机放置在01楼中心机房，组建工程公司核心网络，之间通过万兆接口互为备份，通过双千兆光纤接入工程公司防火墙。并通过千兆或万兆连接各汇聚交换机。（2）1台服务器汇聚交换机放置在01楼中心机房，服务器群汇聚交换机作为工程公司专用服务器的汇聚设备，通过双万兆光纤端口接入核心交换机。 （3）1台广域网链路互联交换机放置在01楼中心机房，用于汇接工程公司各基地项目部广域网链路，与总部互联，通过组成内部网络；（4）2台分布式汇聚层交换机工程公司办公用户较为集中的区域 （BM楼、LD办公区域等），为适应现在用户数量的增加对网络系统的负荷、性能方面的提升，配置2台较高性能的分布式汇聚层交换机进行替换，以提高网络应用稳定性及可靠性，其中BM楼1台，LD楼1台。（5）防火墙扩充设备防火墙主机已有，放置在01楼，用于大亚湾工程公司核心网络与集团核心网络互联及现场承包商联网，需增加网络连接光纤模块，用于扩展。1.4岭澳二期厂区网络项目概述根据岭澳二期项目总体进度，生产准备部门将与2009年6月全面入驻岭澳二期厂区办公，为此需尽快建设计算机网络系统，满足项目建设需要。岭澳二期计算机网络系统将覆盖岭澳二期AF、YA、AL、EA、NI等十余处厂房，系统设计有双核心交换机，4台汇聚交换机和50余台接入交换机，构建了万兆和千兆主干，百兆接入的三层网络架构。在网络建设中需要着重考虑网络可靠性和扩展性，以满足核电生产办公需求和核电业务发展需要。1.5岭澳二期网络项目分析整个岭澳二期网络信息点约2000多个信息点，除AF区域较集中外，其它区域比较零散分布。系统图如下： 1.6岭澳二期网络项目设计要求网络核心设计要求岭澳二期网络以AF厂房机房为中心机房。为提高网络核心结点可靠性，AF中心机房内配置2台核心交换机，通过新敷设2根24芯光缆分别上联至LBX120和北区01楼的核心交换机，接入到大亚湾核电基地核心网络。（1） AF 2台核心交换机通过双万兆接口互连形成备份，任一交换机失效不影响网络使用；（2） 两台核心交换机各配置2块万兆模块连接01楼中心机房内双核心交换机及LBX双核心交换机，实现链路之间冗余备份和负载均衡网络流量（01楼中心机房及LBX内核心交换机现为 Nortel ERS-8610）；由于目前01楼和LBX楼交换机万兆模块尚未就位，本次项目中另为AF主机房的每台核心交换机配置4个千兆上联端口用以连接01楼中心机房内双核心交换机及LBX双核心交换机，日后再行切换为万兆。网络汇聚层设计要求（1）AF区域有1200个以上信息点，用户通过11个配线间进行接入，且AF区域作为办公区域，重要性比较高，放置2台汇聚交换机进行双机堆叠热备以避免汇聚设备单点故障，将用户数据汇聚通过双万兆链路接入核心交换机；（2）AF厂房中心机房放置一台分布式汇聚交换机，将常规岛及AL等厂房（见岭澳二期网络拓扑图）交换机汇聚通过双万兆链路接入核心交换机；（3）W601机房内放置一台分布式汇聚交换机，将NI厂房交换机汇聚通过双万兆链路接入AF厂房的中心核心交换机；网络接入层设计要求岭澳二期厂区内各区域机房内根据用户信息点数放置相应数量的接入交换机。（1）NI厂房接入交换机通过单千兆链路上联到W601机房的分布式汇聚交换机；（2）AF区域接入交换机通过双千兆链路上联到2台AF汇聚交换机2；（3）常规岛及AL等厂房接入交换机通过单千兆链路上联到AF中心汇聚交换机1；（4）EA区域接入交换机通过单千兆链路上联到南区活动中心的汇聚交换机；系统点数分布序号建筑机房信息点网络端口48口交换机24口交换机核心交换机汇聚交换机18DTV1017CRAC通信设备室(120)6848202常规岛厂房8DTV0016CR(3MB504)1024013常规岛厂房8DTV0017CR(4MB504)1024014EA区域8DTV1057CR(8EA-362)10848305EA区域8DTV1056CR(8EA-263)8148206UA厂房8DTV1024CR(8UA125)5548207NI厂房8DTV0001AR(W601)13240118NI厂房8DTV0081AR(L856)6648209NI厂房8DTV0080AR(L547)7240110NI厂房8DTV0079AR(L215)20481011NI厂房8DTV0078AR(L709)31481012NI厂房8DTV0076AR(ET-302)4240113NI厂房8DTV0077AR(ET-342)4240114EL厂房8DTV1022CR(综合用房117)3240115EG厂房8DTV1023CR(8EG-106)41481016AL厂房8DTV1020CR(8AL-106)99483017AB冷修仓库8DTV1064CR（8AB109）28481018YA厂房8DTV1061CR(YA110)33481019AF厂房8DTV1063CR（主机房）2320AF厂房配线间1-配线间10120*1048*103*10021AF厂房配线间11162401二、方案设计思想与原则2.1 设计目标按照工程公司及岭澳二期厂区发展规划的要求，以及核电应用的实际情况，需要建设结构合理，统一管理、技术先进、安全可靠、覆盖岭澳二期厂区的计算机信息网络（以下简称网络分离项目、岭澳二期网络）。2.2 设计原则2.2.1 层次化设计思想岭澳二期核电计算机信息网络包括信息节点多，分布广，将来网络还会进一步进行扩张。对于这样一个庞大的网络，为了提高网络运行的效率、简化网络的管理，必须对网络进行层次划分。层次化设计的目标是将一个大的网络中的连接元素分解成几个层次的网络连接。在这样的模型当中，整个网络被分解成几个路由层次，其本质是按照功能或连接区域，将大的网络分成更小的子网，以便使通信流量和节点更容易管理；同时，层次化设计能够使得网络扩充更为容易，因为新的技术或子网很容易被集成到现存的网络之中去，而不会对骨干网络的其余部分产生影响。遵照此原则，并结合现阶段网络建设的实际情况，我们将岭澳二期厂区网络划分成核心层和接入层两个网络层次，以简化网络结构。未来可根据网络应用状况升级为核心层、汇聚层和接入层三个网络层次。2.2.2 高可靠性和可用性原则可靠性指系统中所选用的网络设备的设计和制造满足长时间在各种环境下无故障运行的能力，主要依靠产品及部件本身的制造工艺、路由/交换模块的冗余设计、系统的分布处理、板卡热插拔、软件模块的独立运行、不间断地系统代码升级、机箱和其它公共部件的冗余等等来实现。网络的可用性与可靠性并不相同，可用性主要是指在网络中某个环节发生故障时，由于系统的高冗余设计，而不会导致系统业务的中断。保障系统可用性的主要方法包括网络设备的双机备份、通讯链路的冗余、端口的冗余、使用动态路由协议、应用主机的备份、数据的备份等。在岭澳二期厂区计算机网络的设计中，应充分考虑高可靠和高可用性要求，并体现在设备的选型、网络拓扑设计、路由设计等多个环节中。2.2.3 网络的高效性原则岭澳二期厂区计算机网络拥有庞大的用户群，这些用户通讯流量模型比较单一，绝大部分数据流量是在由用户终端与中心服务器之间发生。加上网络会议、在线视音频接收、海量文件下载等均会占用大量带宽，造成网络中的数据大量汇聚到核心节点。因此核心交换机应当具有足够高处理能力，保证在大流量冲击网络核心的情况下依然保持较高的吞吐能力和较低的传输延迟。我们一方面应通过提高网络设备的处理能力来保障网络的高性能，另外一方面需要通过合理的设计来充分发挥网络各个层次设备的功能，使系统整体达到最优配置。2.2.4 网络的可管理性原则网络管理不仅涉及到对设备管理，还应包括对用户业务的管理。设备管理的主要对象是网络结点，如交换机，路由器，集线器和服务器，其功能包括对设备的配置管理、故障管理、安全性管理、性能管理等。用户业务管理包括用户身份认证、授权、记帐，网络服务质量管理，安全管理，审计管理等。通过网络管理系统对网络进行管理，一方面可以降低网络设备维护的成本，提高工作效率，另外一方面可增加对系统的整体控制能力。岭澳二期厂区计算机网络拥有大量网络设备、分布广泛、网络应用种类众多，并且需要提供对用户灵活、全面的管理手段，因此必须具备完善的网络管理系统。2.2.5 网络的可扩展性原则随着计算机及网络的发展和普及，尤其是Internet上多媒体技术的广泛使用，导致网络上应用种类不断增多，数据流量飞速增长。因此网络建设的同时，应当充分考虑网络的可扩展性。网络的可扩展性应考虑以下几方面的可能性：终端设备的扩充、网络节点数量的增加、网络带宽的提升及网络应用种类的增加。我们设计的网络方案应从设备的配置、链路及端口规划、IP地址规划、路由规划、对未来业务的支持几方面来保障系统具有良好的扩展能力。2.2.6 网络安全性原则全球化的Internet的发展为我们提供了一个开放的公共信息平台，但是也带来了许多问题，如信息的泄密、网络病毒的泛滥、网络黑客的攻击等，这是违背用户接入因特网的初衷的。因此必须采取相应的技术手段和管理手段来保证网络和信息的安全。对于岭澳二期厂区计算机网络来说，安全不是一个扁平的概念，它安全涵盖的范围很广，涉及到物理设备的安全、链路安全、网络安全、应用系统的安全及安全管理等多个方面。只有将严格的管理制度落实到各个环节，各个层次，并协以科学的安全工具的配合，才能真正提供一个相对安全的运行环境。2.2.7 先进性、成熟性、稳定性原则岭澳二期厂区计算机网络应采用目前流行的先进网络通讯技术组建，并且支持向将来的新技术进行升级。设计组网方案时，不仅要考虑技术的先进型，同时还应以实用性及技术的成熟性和简易性为准则。2.2.8 开放性原则2003年春节前夕引发的思科与华为之争，在国内外业界引起了一场轩然大波。且不管这两家公司的孰是孰非，但是以此案为引爆点的一场反私有协议的风暴正在席卷而来。采用私有协议的好处是暧昧的，但坏处却一目了然，它为互连互通设置了人为的障碍，加大了互连互通的难度；另一方面采用国外厂家的专有协议，对网络尤其是政府敏感部门的网络的长久安全也是一个威胁。岭澳二期厂区计算机网络不是一个信息的孤岛，它需要与Internet、省中心信息网进行互连来交换更多的信息。因此在网络中必须尽量标准的开放的网络协议，为将来顺利实现互连做准备，同时也具备了网络扩容时容纳多家产品的可能。即使为了提高网络性能或增加网络功能而使用了私有协议，也应当将此私有协议限制在最小的范围内。2.2.9 经济性在网络完全满足业务需求的前提下，节省各个环节的资金投入。一方面采用成熟的经过广泛使用验证的主流产品，降低设备故障的风险和额外的维修资金投入，另外一方面充分利用网络现有设备，保护用户投资。2.3 网络技术北电在采用以太网技术构建局域网/城域网方面，有多种新的技术和产品推出，比如：北电特有的冗余恢复和链路扩展MLT/SMLT、Lay2-Lay7交换技术的WSM模块等。通过这些新的技术和产品，可以给用户提供更加先进、安全、可靠的网络，代表了未来以太网技术的发展方向。2.3.1 千兆以太网在充分理解了岭澳二期厂区计算机网络的建设目标之后，我们采用了国际领先和成熟的网络技术给出了本网络方案建议。同时，结合岭澳二期厂区计算机网络具体的网络和用户实际情况，进行了网络结构的优化设计，在满足现有需求的同时还充分考虑到网络将来的发展，最大限度地保证网络的先进性、合理性、可靠性、可用性以及可扩充性。千兆以太网远程传输技术是建立在新一代的千兆以太网带有第三层交换功能的路由交换机基础上的一门技术。众所周知，千兆以太网技术自一诞生起，就以它更高的带宽，易于实现，无缝的平滑升级(以太网-快速以 太网-千兆以太网)占据了局域网主干技术中的主导地位。但是当时由于以太网的媒体访问控制技术的限制，千兆以太网只能作为一级主干，它即使使用光纤，也只能传送几百米远，大大限制了它的普及。但是，由于它的优越性致使越来越多的人们投身于对延长千兆以太网传输距离的研究。而在这里，北电网络又站在了这一领域的前列。北电网络的远程千兆以太网模块可以将千兆以太网的距离延展到70公里(如果光纤质量有保证的情况下，可以传至100公里)，这样就大大提高了千兆以太网技术的可用性。甚至可以说，远程传输技术的解决改变了整个网络世界。它带来了一种全新的组网方案。以前，由于布线距离的限制，任何一种局域网技术都被局限在很有限的一个区域。要建立一个跨越多个地域的城域网或广域网，都需要通过路由器来进行组网。这样，局域网的高速就被限制在本地，许多应用也就无法通过2M或更低的速率进行传输。最典型的如视频点播。视频点播在局域网可以很好地得到应用，点播服务器通过千兆以太网端口连接到局域网上，为客户端提供视频服务。一般的，一个局域网大约会有几百个用户，但同时访问的用户数仅为几十个。也就是说，点播服务器和网络可以支持更多的用户数。另一方面，广域网或城域网仅仅通过2M的带宽连接，无法使服务器的性能得到更有效的发挥。而且，如果其它地点也需要视频点播服务的话，仍旧需要一套同等配置的服务器和局域网络，这样，不但重复投资，而且大大浪费了现有的资源。而所有这些，随着千兆以太网远程传输技术的出现都已成为过去。在城域网中，我们可以采用千兆以太网带有第三层交换功能的路由交换机来构成整个网络的骨干。当然，在交换机与交换机之间我们通过的就是千兆以太网远程传输端口，这种端口采用的物理媒质是光纤，共需一收一发两根光纤。之所以可以实现远程传输的主要原因是编码技术的提高，通过独特的编码技术，将业务通过同城光纤传送至城市的其它地点。不难看到，这种技术非常适合于城域网的建设。因为同城内铺设光纤要较城间容易得多，因而这种技术的可行性和优势也就更为明显。2.3.2 10G以太网新的IEEE 802.3ae标准定义了新的以太网传输标准10Gbps以太网。10G高速以太网可以满足新的容量需求，解决了低带宽接入、高带宽传输的瓶颈问题，扩大了应用范围，并与以前的所有以太网兼容。一般，全双工的以太网协议并无传输距离的限制，在实际应用中是物理层技术限制了最大传输距离，但是可通过采用高性能的收发器或链路扩展器来延长以太网链路长度，因此，以太网技术也可以应用到MAN和WAN，而且采用以太网技术构建的MAN和WAN的费用比采用ATM/SONET技术构建的类似的系统降低约25%。正是这些因素促使以太网从局域网扩展到MAN、WAN，并建立工作速率为10Gb/s的可靠、高速的数据网。这样网络将基于单一的核心技术，易于管理，费用低廉。在10Gb/s的高速数据速率下，以太网作为WAN技术可避免协议转换，实现WAN与LAN、MAN无缝连接，并与DWDM光网络无缝兼容。通过10Gbps以太网的引入和10Gbps DWDM传输技术的使用，以太网已经扩展到了广域网范围，在不远的将来，我们将可以是实现广域网范围内的端到端以太网交换。北电网络公司目前已经生产出了自己的10Gbps以太网产品，在ERS8600、ERS5000平台上，可以提供10G的局域网接口和广域网接口。在这一领域，北电网络公司又一次远远地走在了竞争对手的前面。2.3.3 MLT/SMLT清华同方还针对这一新的组网方案提出了MLT(多链路通道)技术，使这种组网方案变为更加可行。MLT技术是指在两台交换机之间提供多条连接。在连接处于正常情况下，数据可分别利用多条链路进行数据传送，多条连接之间可以负载均担。这样也就成倍地扩展了交换机之间的连接带宽。当其中一条连接出现故障时，交换机能自动检测到故障并使用未断开的其他连接传送数据，以保障网络设备之间的正常连接。MLT技术有两大优点，一个是可以将多个千兆链路捆绑起来，作为一条通路使用，使用户可以在骨干上得到甚至高于1G的传输带宽，这样可以使用户的主干线路随着业务流量增长的需要非常简单地通过增加端口即可平滑升级；另外一个优点是，当链路组中的某一条千兆链路断掉后(无论是端口坏，还是光纤坏)，网络仍可正常运行，只是原有的业务重新均匀分配在剩余的链路上即可。这样，既保证了主干的可靠性，同时增加了主干的高效性，从而增加了该方案的可用性。除支持MLT外，ERS8600还支持分布式MLT（Distributed Multi Link Trunking，简写为DMLT）。DMLT使得负载均衡的多条链路可以分别位于同一机箱中不同的模块板卡上，从而，当一块I/O卡发生故障时，位于其他I/O板卡上的链路仍正常工作，其可靠性更高于MLT。一般来讲MLT是在两台交换机之间进行配置，但是由于某些原因，当交换机完成MLT功能的板卡或链路出现故障时，交换机只能通过其它方式完成故障恢复。如在二层通过其它链路进行保护，但是这需要网络重新进行Spanning Tree的计算，这大约需要花费几十秒钟的时间；而若在三层进行保护，则所耗费的时间会更长。ERS8600交换机的Split MLT功能将MLT延伸到多台交换机之间。北电对二层链路捆绑技术最突出的技术创新体现在跨交换机的多链路捆绑协议（Split-MLT）及RSMLT上。SMLT(Split MLT)是一项提高2层（以太网）可靠性的技术，可以增强核心节点交换机和骨干层交换机之间的链路可靠性。SMLT技术通过将两台独立的核心交换机在逻辑上，对于分别连接于他们的骨干层交换机而言，视为一台交换机。实现SMLT的两台核心节点交换机之间通过特有的inter switch trunk 连接，用来交换SMLT内部的信息，这样可以快速检测错误信息和交换路径更改信息。虽然设计SMLT的主要目的为提高第二层的可靠性，但同样可以为第三层网络带来好处！ 开发 Split MLT的原因网络发展越来越迅速、规模越来越大，因此需要下层节点到核心节点之间必须存在2条路径，已避免单点故障。而且，用户非常希望在避免单点故障的同时充分利用资源，避免资源浪费(尽可能利用一切可用链路，避免线路浪费)； 并且，用户希望尽可能减少出现链路故障后重路由的时间(1秒之内)。如下图所示，在著名网络产品测试方Tolly Group测试中无论设备、链路等故障出现，在SMLT技术支持下，ERS8600/8300都可以在1秒钟以内完成故障切换。另外一个需求是希望实现上述解决方案时，对已有设备尽可能透明，具有良好的互操作性，这也是SMLT的主要优势。SMLT定义在详细描述SMLT如何工作之前，有必要定义实现SMLT的相应组成部分。Aggregation Switch 核心交换机IST (Inter Switch Trunk) 一条或多条连接两台Aggregation Switch (核心交换机)之间的并行链路。这一通道供两个Aggregation Switch (核心交换机)之间进行通信，以便两台Aggregation Switch (核心交换机)可以对低层交换机而言可以为一台逻辑交换机。SMLT (Split MLT) MLT的一种实现方式，一端连接低层交换机，一端连接Aggregation Switch (核心交换机)。连接Aggregation Switch (核心交换机)的一端是分裂的(分别连接两台Aggregation Switch (核心交换机)。Distributed Switch 分布层（骨干层）交换机，上连到Aggregation Switch (核心交换机)的低层交换机。RSMLT/SMLT解决的问题1、第二/三层负载均衡的问题Distributed Switch (分布层交换机)通过RSMLT/SMLT路径选择算法(通常采用源/目的MAC地址)，选择SMLT中链路，实现负载均衡。 2、避免Spanning Tree汇聚时间长的问题。配置Split MLT 的Aggregation Switch (核心交换机) 广播一致的BPDUs ，这就意味着任何1台交换机或链路出现故障， 另外1台交换机和其他链路将继续广播一致的 BPDU，这样使网络节点和链路故障对于spanning tree是完全透明的。事实上，如上图所示，在网络核心中，两端的节点都配置成SMLT的Aggregation Switch (核心交换机) ，因为广播的BPDU一致，所以两端的节点都以为对端为单一节点。这样的好处是，核心网络中任何一个节点交换机或链路出现故障，都不会导致广播的BPDU发生改变，因此spanning tree不需进行重计算。3、无单点故障如上述分析，任何一个交换机节点或链路出现故障，网络都不会出现故障。4、第三层负载均衡第二层负载均衡的实现是完全自动的，为了实现第三层网络的负载均衡，只需要Aggregation Switch (核心交换机) 配置VRRP。 5、服务器链路可靠性问题只要服务器的网卡支持MLT技术（经过测试，常用厂商的NIC网卡都可以和北电网络交换机的MLT技术互通），就可以通过2个局域网端口连接2台核心交换机ERS8610实现SMLT，数据在2条链路上以负载均衡的方式转发，即保证了可靠性，又提高了性能。 6、有效利用资源避免因spanning tree导致的部分链路不可用的情况，保证用户的资源可以得到充分的利用！结论如上分析，RSMLT/SMLT使网络的可靠性和性能得到了极大的提高，避免了核心交换机之间大流量的问题，结合北电网络产品PP8600自身的设备级的高可靠性保证，使得数据网络的整体可靠性的达到了电信运营级的提高使 99.999% ！并且，在RSMLT/SMLT选路算法的支持下，网络所有链路均得到使用，同时取得负载均衡的转发效果。SMLT解决核心交换机之间带宽瓶颈问题SMLT技术除了解决上述可靠性问题，提高网络传输带宽之外，还可以解决核心交换机之间的带宽瓶颈，从而提高网络性能。主要体现在：l 避免用户数据在核心交换机之间转发，从而解决核心交换机之间的带宽瓶颈；l 由于避免了用户数据在核心交换机之间转发，减少了数据在网络中的转发次数，从而即减少了网络扩容的成本和复杂度，又提高了网络性能。l 采用10G端口互连为保证可靠性需要2个10G端口处于不同板卡，价格昂贵。传统组网方案中核心交换机之间的带宽瓶颈在说明SMLT为什么具有如此优势之前，先分析一下传统网络的流量模型，如下图所示：首先，由于Spanningtree的原因所有接入交换机、服务器与核心交换机的连接都只有一条链路处于Active状态（可以转发数据，如图中实线所示），另外一根只能处于Block状态（不可以转发数据，如图中虚线所示）。因此，必然会有近似50的数据会经过两台核心交换机之间的链路进行转发，导致瓶颈出现，且由于处理次数增多性能下降；其次，传统网络中VRRP（虚拟冗余路由器协议）中，两台核心路由交换机在实现上必然为一主一备，但只有作为主的核心交换机会进行数据包的路由转发。所以，导致从接入交换机转发到作为VRRP备的核心交换机后，数据不得不从VRRP备再转发到VRRP主的核心交换机，从而导致带宽瓶颈和性能问题。还有，即使通过多个Spanningtree Group和多个VRRP Group技术来进行人为的静态流量分配，也无法解决对服务器访问的数据流和跨越不通VLAN的数据流经过两台核心交换机之间的链路进行转发，并且这部分数据流在网络中是主要数据流，因此上述问题依然存在。而且，多个Spanningtree Group技术会带来诸多网络隐患，如：设计复杂，网络容易出现环路和断路，且维护、纠错困难。SMLT解决带宽瓶颈、提高网络性能采用SMLT技术后，传统网络网络的带宽瓶颈和性能问题得到解决，从下图所示的流量模型中可以清楚的得到愿意：首先，在RSMLT/SMLT技术下所有服务器和接入交换机与2台核心交换机之间的2条冗余链路同时工作，负载均衡，在逻辑上为1条，无Spanningtree中Block一条的问题；其次，在北电网络SMLT/RSMLT网络中2台核心交换机ERS8310同时作为VRRP协议的主路由器，所以任何一个ERS8310都可以对接收到的数据包进行路由转发，减少了数据包的转发次数，提高了网络性能。因此，在北电网络RSMLT/SMLT网络中，2台核心交换机ERS8310之间正常情况下没有用户数据流，只有少量IST协议用来维持2台RSMLT/SMLT节点（ERS8310）的信息交换,从而避免了2台核心交换机之间的用户数据的转发，解决了带宽瓶颈问题，所以在SMLT网络中，2台核心交换机之间无需配置10G大容量端口；并且SMLT可以提高了网络处理性能。网络级可靠性保障网络是分层的，链路层的可靠只说明在交换机与交换机之间的连接具有可靠性保障。但是，目前我们所有基于网络的应用都是以IP协议为传输载体的，所以网络的可靠与否IP的互通保障性起着决定作用。也就是说，要保障网络的可靠，还必须保障IP的不间断连通性。毫无疑问，为加强网络的管理，减少广播对网络性能的影响，增加网络内部的相对安全性，我们必须对网络进行细分为不同的IP子网。IP子网之间的互通依赖于IP路由协议，从设备上讲就是IP路由节点设备，而对于局域网个人用户而言就是缺省网关（Default Gateway）。所以，要保障网络的可靠性，必须要保障路由节点（缺省网关）的冗余和可靠。缺省网关的冗余可以采用“冷备份”和“热备份”两种方式。“冷备份”对网络的可靠性意义不大，因为一旦网络缺省网关出现故障，需要对所有用户PC的缺省网关进行手工修改或改变网络节点设备的配置，这样做工作量大且复杂，网络无法在短时间完全恢复，对于关键应用是无法忍受的，因此不可取。理想的情况是：网络路由节点（缺省网关）一旦出现故障，网络自身具有自愈功能，能够短时间快速自动进行设备之间的切换，而对终端用户是透明的。VRRP（虚拟路由器冗余协议）可以满足用户的这一需求。本方案中，2台核心交换机ERS8310作为全网的路由节点，负责所有IP子网之间以及内部网和外部网的之间的路由转发。为保证IP路由的不间断，在两台ERS8310之间配置VRRP协议，形成冗余备份、负载均衡工作模式，任何一台ERS8310出现故障，都不会影响整个网络IP路由的转发，保证了网络的可靠性。RSMLT介绍RSMLT主要应用在网络核心，是对SMLT的三层扩展。n 对IP和IPX协议来讲，RSMLT提供了无以伦比的弹性设计n 对路由的core VLAN提供了子秒级的收敛n 避免了: Tuning of IGP VRRP ECMPn 支持的核心拓扑: 三角形 方形 Full-meshn 每台交换机支持多个RSMLT core VLANRSMLT的操作过程：n RSMLT聚合交换机对: 交换彼此的路由和参与路由的MAC 地址n RSMLT 交换机也彼此维护其它交换机参与路由的MAC地址.n RSMLT 路由器能够代替彼此转发/路由流量 Similar to VRRP Backup Mastern SMLT/RSMLT确保没有环路n 路由协议对RSMLT是没有感知的. All routing protocol timers are unchanged.n 快速收敛 即使在12台路由器失败的情况下，依旧可以保持路由的MAC地址激活 类似 VRRPn 对核心VLAN实施一个扩展的VRRP BackupMaster RSMLT的实施要点n 下层需要 配置SMLT VLAN n 需要路由协议 “on top”n 路由器正常的交换路由信息n SMLT聚合对作为RSMLT路由器冗余pair进行工作n 如果一个路由器失败了，其它的路由器将替代这个”down”的路由器进行路由转发. n 要配置Hold-up timer： 定义RSMLT 路由交换机可以代替它的peer MAC地址进行转发数据的时间长度 缺省是180秒 可以配置的范围：09999 如果设置9999，它将一直代替它的peer的MAC进行转发，即使 peer恢复也不会切换回去n 要配置Hold-down timer 定义RSMLT交换机在将转发权移交给它的peer之间要等待的时间 类似 VRRP hold-down timer 缺省是 60 seconds 可以配置的范围: 0 to 3600 RSMLT的工作过程下面举例来说明RSMLT核心的工作流程。正常的工作状态例如: 数据包从 subnet 30 流向 subnet 10.在正常的操作过程中, R3 and R4 选择R1作为到 subnet 10的下一跳 R1/R1 都同时拥有. MAC_R1 & MAC_R2的转发权，也就是说，这两个交换机都可以回应 MAC_R1 & MAC_R2的ARP请求 当数据包到达R3/R4时，MLT算法将任意选择一跳将数据包转发到MAC_R1,然后由选择的设备将其发给subnet 10. R1/R2都转发MAC_R1 and MAC_R2的数据包请求当R1出现故障，路由表恢复前R1失效OSPF 开始收敛, 需要一个较长的时间.R2上的Hold-up timer 被触发 (因此，R2将继续转发MAC_R1) 缺省是 180 seconds 可以配置的范围: 0 to 9999 如果设置9999，R2将一直代替MAC-R1进行转发，即使R1恢复也不会切换回去流量通过和R2互连的link进行转发.R2 继续转发MAC_R1 & MAC_R2 ，直到hold-up timer过期，到这时，OSPF应该已经收敛了。当R1出现故障，路由表恢复后OSPF收敛后, 在R3/R4上的路由表将更新：到subnet 10的下一跳现在变成MAC_R2当 Hold-up timer 过期后, R2 不再替代 MAC_R1 Note: 如果设置 9999, R2将一直替代 MAC_R1流量通过active links 经过R2转发R2 只转发 MAC_R2 当R1恢复后，路由收敛前Switch R1 恢复OSPF 开始收敛R1上的Hold-down timer 被触发 缺省是 60 秒 可配置范围: 0 to 3600 R3 & R4 继续通过 R2转发流量.R2 继续只转发 MAC_R2.当R1恢复，路由收敛后OSPF 收敛后, R3/R4上的路由表更新; 到 subnet 10的下一跳又恢复到 MAC_R1 .当 Hold-down timer 过期后, R1 又可以转发 MAC_R2 R2 又可以转发 MAC_R1R3 / R4 又可以同时向R1和R2转发数据了。R1和 R2 都可以转发 MAC_R1 和 MAC_R2。恢复正常操作。综上所述，北电的SMLT/RSMLT技术适合园区网实现带宽及链路冗余需要，而要实现SMLT只需在ERS8600上做适当配置，对边缘接入交换机没有特殊要求。对于接入交换机来说它就象通过MLT与另一台交换机相连一样。因此在边缘可以使用各种交换机，如北电的ERS5000、ERS4500/2500、ES470和其他兼容MLT的交换机。我们看到，使用SMLT的网络不存在单点故障。在网络中不论是一根光纤、一个端口、一块卡板甚至是一台交换机损坏，网络连接都可以在一秒钟内恢复。运营商对网络的可用度都有很高的要求。但是我们发现，在网络设备进行软件升级时总要重新启动设备以使其工作在新的软件版本下。这就不可避免的要导致网络重新收敛，使网络在此时间内不可。使用SMLT可以对汇聚交换机分别升级而无需导致STP重新收敛，用户也不会感到网络变化。北电网络的SMLT技术为数据互接提供了前所未有的保障，从而使网络达到运营商级的可靠性（99.999）。2.3.4 VRRP技术ERS 8600路由交换机支持基于标准的VRRP协议（RFC 2338）。VRRP用于消除使用静态缺省路由环境中的单点故障。它使得多台路由器共享一个IP地址作为缺省网关。每台ERS 8600提供256个虚拟路由器ID。VRRP亦可在有IEEE 802.1Q 标识的端口上实现。交换VRRP协议的路由交换机共享一个缺省IP地址和MAC地址(与一个VR ID对应)，这一缺省IP地址被桌面接入PC所使用作为IP缺省网关，以便它们与其它Subnet中的PC通讯。因此当主路由交换机故障时，备份路由交换机接管缺省网关和MAC地址。这样所有PC可以继续与其它Subnet中的PC通讯。VRRP使用Multicast的Hello包进行相互监测，当备份VRRP路由交换机发现主VRRP路由交换机出现故障，将会在3个interval之后根据优先级成为主VRRP路由交换机。然后新的VRRP主路由交换机将立即通过强制ARP刷新二层交换机的传输表(ForwardingTable)。缺省情况下，一个interval为1秒，也就是说，VRRP的切换时间为3秒。下图为VRRP的示意图：北电网络对VRRP的改进为了更好的保障网络的可靠性，缩短网络故障恢复时间；同时充分发挥网络节点的性能，提高网络转发效率，北电网络对VRRP协议进行了相应的改善：北电网络为了提高网络的可靠性，保障关键业务的连续性，对VRRP的interval交互时间进行了优化，一个interval从原有的1妙，变为最短20毫秒，这样最快的切换时间完全可以控制在1秒内；配合北电网络独有的链路负债均衡技术SMLT，北电网络VRRP可以做到Active-Active的双活模式（传统模式为一主一备，只有主在工作），2个ERS8310可以同时进行IP路由转发，真正意义上的实现从链路层到网络层的全方位负载均衡，减少了2台核心交换机之间的流量，并将网络转发效率提高了1倍。2.3.5 VLAN技术VLAN就是在传统的LAN上进行细化，将一个LAN划分成多个LAN，这么做主要是减少以太网LAN上广播包过多的问题。因为以太网的机制决定了LAN的性能好坏很大程度上取决于广播包的多少，当一个平面LAN的广播包数量达到25%时，网络的性能将会下降很多。VLAN技术很好的缩小了广播范围，减少了广播包的数量。由于VLAN在第二层(链路层)的隔离作用，在一定程度上起到了网络隔离的作用，也就是说，在无第三层路由连同的情况下，VLAN之间是无法通讯的。根据VLAN的隔离作用，可以根据不同企业和用户、不同应用等多种情况划分VLAN，以实现不同VLAN之间的安全性和QoS。也可以人为手工设置VLAN之间的过滤，即通过在Passport8600中设置第二层的PacketFilter和第三层的IPFilter来保证。针对网络分离项目及岭澳二期厂区计算机网络的情况，北电网络交换机ERS8600可以根据实际需要，实现在单一交换机上划分VLAN、在多台交换机上划分VLAN(跨交换机VLAN)、根据端口划分VLAN、根据MAC地址划分VLAN、根据IP等协议划分VLAN、根据IP子网划分VLAN。在跨交换机划分VLAN时，北电交换机支持标准的802.1Q(VLANTRUNK协议)。VLAN的划分由网络的边缘开始，终端计算机用户一进入网络，就与其所属VLAN绑定。节点之间的连接通过802.1Qtrunk以1000M以太网连接，允许多个VLAN上连(多个VLAN共用一个物理连接通道)。VLAN之间的连通性，完全由核心路由交换机进行控制。三、网络总体结构设计3.1 网络拓扑设计的原则遵循层次设计的思想，并简化网络的构建，通常网络设计分为三层：核心层、汇聚层（分布层）和接入层。每一层都为网络提供了特定而必要的功能，通过各层功能的配合，从而构建一个功能完善的宽带IP网。3.1.1 核心层网络设计原则核心层的主要功