社區(qū)網(wǎng)絡設(shè)計方案-

1、大型社區(qū)網(wǎng)絡整合解決方案一、設(shè)計背景隨著家用電腦的普及，更多的家庭已不再將電腦作為簡潔、孤立的玩耍工具。人們更愿 意將自己的電腦變成網(wǎng)絡中的一個信息節(jié)點，由此享受網(wǎng)絡供應的豐富、便捷的功能。網(wǎng)上 購物、遠程教育、遠程醫(yī)療、多媒體效勞自然是家庭上網(wǎng)的推動力，但是，全部這一切的前提必需是網(wǎng)絡的高速與穩(wěn)定，如何結(jié)合目前國內(nèi)社區(qū)樓宇的具體狀況，實施合理的布線，成 為問題的關(guān)鍵。二、建立目標適應桌面計算機處理、I/O 力量大幅度提高的現(xiàn)狀，發(fā)揮桌面機的網(wǎng)絡性能，提高桌面機的訪問帶寬；適應聯(lián)網(wǎng)規(guī)模大、總流量大的狀況，合理分流流量，實現(xiàn)流量分流和把握；適應將來對高技術(shù)應用效勞器的特殊支持；能夠向?qū)淼母咚倬W(wǎng)

2、絡技術(shù)和不斷推出新技術(shù)的應用過度；適應數(shù)據(jù)集中型應用的技術(shù)開展趨勢，為Client/Server 數(shù)據(jù)構(gòu)造、Browser/Server 型數(shù)據(jù)構(gòu)造應用環(huán)境供應根底平臺；增加網(wǎng)絡系統(tǒng)運行的牢靠性，降低故障率，提高系統(tǒng)的可升級性、可管理性。三、需求分析環(huán)境描述網(wǎng)絡掩蓋大約 20000 戶，開通用戶大約 2000 戶，全部為小區(qū)用戶，沒有公司用戶，預算盡量把握在 50 萬以內(nèi)。小區(qū)用戶已雙絞線入戶，經(jīng)過各個單元的交換機連接到總點，以樓為單位用光貓傳輸，向上至各個總光節(jié)點通過光纜至機房。拓撲構(gòu)造圖構(gòu)造設(shè)計及設(shè)備選型路由交換機在細致分析大型社區(qū)組網(wǎng)特點和應用需求之后，憑借多年在社區(qū)行業(yè)的深厚積累，華為

3、 3 推出一套完善的大型社區(qū)網(wǎng)解決方案。整個方案接受了標準的三層網(wǎng)絡構(gòu)造，實現(xiàn)了萬兆上連，融合了業(yè)界領(lǐng)先的無線、VoIP 等技術(shù)進展.機敏組網(wǎng)，全面提升了整個網(wǎng)絡體系的品質(zhì)。在網(wǎng)絡核心層，華為 3 選擇最新的高性能的萬兆核心路由交換機H3C-7500 擔當網(wǎng)絡骨干。作為一款核心交換設(shè)備，H3C-7500 交換機具有 352G 的超大背板容量，使得其全部端口均具備全線速交換力量，確保在巨大的網(wǎng)絡負載下始終能夠保持線速的其次層和第三層交換，是大型社區(qū)網(wǎng)骨干級核心路由交換機的抱負選擇。H3C-7500 支持多種路由協(xié)議，如 RIP, OSPF, IPX-RIP, Apple Talk Routing

4、，保證了在不同的網(wǎng)絡環(huán)境中機敏傳遞路由信息。H3C-7500 擁有 8 個開放式插槽，供應了豐富的接口類型，用戶可以依據(jù)不同的網(wǎng)絡應用機敏選擇接入方式。H3C-7500 是真正基于分布式交換體系構(gòu)造設(shè)計的，全部接口的傳輸數(shù)據(jù)均在本地進展交換處理，從而加快了數(shù)據(jù)傳輸?shù)乃俾?。DES- 6500 精彩的性能為大型社區(qū)實現(xiàn)高速網(wǎng)絡通信供應了源源不斷的充分動力。功能方面，H3C-7500 供應了豐富的 QoS 策略，不僅能夠?qū)⒏鞣N網(wǎng)絡任務進展分級處理，而且能夠依據(jù)數(shù)據(jù)的不同類別實行不同的傳輸策略，加之基于硬件的 IGMP、GMRP、DVMRP、PIM DM/SM 等組播協(xié)議，為社區(qū)用戶在線教學、VOD

5、視頻點播等多媒體網(wǎng)絡應用供應了充分的網(wǎng)絡空間和最正確的網(wǎng)絡速率。為了愛護社區(qū)網(wǎng)絡安全，保障社區(qū)核心機房重要數(shù)據(jù)免遭非法侵害， H3C-7500 供應了多重的安全策略，包括基于 802.1Q 標準的 VLAN 動態(tài)劃分， 用于把握網(wǎng)絡流量的 IP 過濾功能等等，并全面支持 802.1x 標準，為學校帶來全方位、多層次的安全愛護。由于用戶上網(wǎng)時間相對集中，致使社區(qū)網(wǎng)某些時段網(wǎng)絡流量巨大，對網(wǎng)絡線路而言是一個很大考驗，有鑒于此，H3C-7500 融合了 VRRP、生成樹、端口聚合等標準鏈路冗余功能，而且供應可熱插拔的容錯模塊和用于備份的冗余電源 ， 充 分 保 證 了 社 區(qū) 網(wǎng) 絡 的 穩(wěn) 定 運

6、 行 。LS-7506管理系統(tǒng)、識別：假如用戶自身無法將應用類型進展精細化區(qū)分，便無法對網(wǎng)絡流量進展精細化管理。隨著互聯(lián)網(wǎng)的開展，網(wǎng)絡應用的類型也愈加簡單，尤其是 P2P 技術(shù)的開展，以傳統(tǒng)基于端口的方式來識別應用，已經(jīng)力不從心，QQSG2000 系列產(chǎn)品接受先進的DPI 和 DFI 技術(shù)，可檢測并識別上千種類型的流量，對國內(nèi)軟件的識別率高，目前可以識別 95%以上的 P2P 下載軟件、P2P 視頻流媒體軟件、即時談天軟件、玩耍軟件、v股票軟件、VOIP 軟件、特洛伊木馬以及其它大局部的常用軟件和應用協(xié)議。、分析: 有限帶寬是如何消耗的？為什么關(guān)鍵應用的開展如此緩慢？誰使用的資源最多？這些都是

7、全部網(wǎng)絡管理者關(guān)懷的問題。QQSG 可以對 27 層的網(wǎng)絡流量進展分析統(tǒng)計，可評估帶寬利用，網(wǎng)絡管理者可以了解自己的網(wǎng)絡帶寬使用狀況、用戶活動狀況、網(wǎng)絡上運行的各種應用及其各自占用的網(wǎng)絡帶寬資源，為下一步制定把握策略供應依據(jù)。、把握：在全面把握網(wǎng)絡流量狀況的根底上，對網(wǎng)絡狀況進展管理也需要供應一個精細化的手段， QQSG2000 系列產(chǎn)品可以供應多種多樣的策略手段，以對應用進展把握和愛護。為實現(xiàn)精確的流量整形效果，QQSG 系列產(chǎn)品接受了先進的三色令牌桶流量整形機制，使得流量的把握精度能精確到 1Kbps。、報表：以圖形、表格的形式給出分析報告，可以查看最大1 年的歷史網(wǎng)絡流量狀況，并且可依據(jù)

8、分析報告修改把握策略。、 透亮串接到網(wǎng)絡中，系統(tǒng)本身不存在漏洞，能夠抵擋常見安全攻擊； 對網(wǎng)絡中應用流量的識別率到達 90%以上；支持靜態(tài)和動態(tài)兩種帶寬預留機制，動態(tài)帶寬預留模式下，在沒有到達預留帶寬大小時，帶寬可以被搶占；對網(wǎng)絡流量把握粒度能精確到 1K； 每秒最大可以新建 70 萬連接數(shù)。路由器獨特高效的雙總線構(gòu)造H3C AR 46 系列路由器接受了獨特的雙總線體系構(gòu)造，兩條獨立的PCI 總線以及高性能的CPU，協(xié)作自主學問產(chǎn)權(quán)的IP Turbo EngineTM 技術(shù)，極大的提高了系統(tǒng)轉(zhuǎn)發(fā)性能。本著貼近客戶需求的原那么，繼AR 46 推出了雙總線、單內(nèi)核引擎的350kpps轉(zhuǎn)發(fā)力量的主板

9、之后，為了進一步提升寬帶業(yè)務性能而推出了雙總線、雙內(nèi)核引擎的 1Mpps 轉(zhuǎn)發(fā)力量的主板，轉(zhuǎn)發(fā)性能遠遠高于業(yè)界同等檔次的產(chǎn)品。AR 46 系列路由器的高性能是業(yè)務的高性能，在處理各種業(yè)務時轉(zhuǎn)發(fā)性能不會消滅明顯下降。考慮到用戶將來的開展，AR 46 供應彈性極強的硬件平臺，通過對主板的升級， H3CAR 46 系列路由器可供應高達 1Mpps 的業(yè)務性能，系統(tǒng)總線帶寬為 2Gbps， 不斷提升企業(yè)中心及大型行業(yè)應用環(huán)境的業(yè)務性能。增加的安全特性虛擬路由器VRF功能VRF 可以把一臺路由器在規(guī)律上劃分為多臺虛擬的路由器，每臺虛擬的路由器就象單獨的一臺路由器一樣工作，有自己獨立的路由表和相應的參與數(shù)

10、據(jù)轉(zhuǎn)發(fā)的接口，并且彼此業(yè)務隔離。這從根本上解決了多種業(yè)務并存于一臺物理設(shè)備且又需要隔離的問題，能夠節(jié)省用戶在設(shè)備及通信資源方面的投資。uRPF 單播反向路徑查找Unicast Reverse Path ForwardinguRPF單播反向路徑查找，主要功能是防范基于源地址哄騙的網(wǎng)絡攻擊行為。SSHv2SSH 彌補了Telnet 協(xié)議的缺乏，支持Password、RSA 驗證方式，支持數(shù)據(jù)加密。SSH 客戶端與效勞器端通訊時，加密用戶名和口令，有效防范口令被竊聽。同時SSH 效勞對傳輸?shù)臄?shù)據(jù)進展加密，保證了數(shù)據(jù)傳輸?shù)陌踩院屠慰啃?，使在不安全的網(wǎng)絡上實現(xiàn)安全的遠程訪問成為可能。尤其是對 RSA

11、驗證方式的支持，實現(xiàn)密鑰的安全交換，最終實現(xiàn)了安全會話的全過程。DHCP 安全增加供應授權(quán)ARP 功能，確保只有DHCP server 安排的客戶端上網(wǎng)。同時授權(quán)ARP 功能本身供應ARP 探測機制?？梢源_認用戶是否在線并通知DHCP server。性能更高的硬件加密扣卡ENDE 加密扣卡是專用于AR 46 ERPU 上的主板內(nèi)置扣卡，不占用路由器的接口模塊插槽，加密性能比HNDE 加密卡更強。支持 VPE 功能VPEVPN PE是一種特殊的 PE，它和 CE 之間的連接方式不是接受傳統(tǒng)的DDN/E1/ POS/ETH/PVC 等專線技術(shù)，而是接受IPSEC/L2TP/GRE/UDP VPN

12、等隧道技術(shù)。VPE 完成 IP VPN 與 MPLS VPN 的融合，在網(wǎng)絡邊緣實現(xiàn)網(wǎng)絡資源的規(guī)律劃分及安全隔離，核心網(wǎng)與邊緣網(wǎng)絡形成了一個整體，實現(xiàn)了端到端的VPN 功能。支持 H3C 動態(tài)VPN 功能DVPN 動態(tài)虛擬私有網(wǎng)絡技術(shù)，通過動態(tài)獵取對端的信息建立VPN 連接，接受了Client 和 Server 的方式解決了網(wǎng)狀網(wǎng)絡模型中傳統(tǒng)VPN 配置的N2 問題和動態(tài)IP 地址接入的問題。NAT 網(wǎng)段轉(zhuǎn)換特性通過 NAT 網(wǎng)段轉(zhuǎn)換功能，可以實現(xiàn)內(nèi)部主機地址和公網(wǎng)地址的直接映射關(guān)系，允許外部主機對內(nèi)部主機的訪問。轉(zhuǎn)換過程中只對網(wǎng)段地址進展轉(zhuǎn)換，保持主機地址不變。NAT 網(wǎng)段轉(zhuǎn)換功能可以對原有

13、的私有網(wǎng)絡進展改造，實現(xiàn)兩個地址重疊的私有網(wǎng)絡的融合互通。雙向 NAT 特性常規(guī)地址轉(zhuǎn)換技術(shù)只轉(zhuǎn)換報文的源地址或目的地址，而雙向地址轉(zhuǎn)換技術(shù)可以將報文的源地址和目的地址同時轉(zhuǎn)換，該技術(shù)應用于內(nèi)部網(wǎng)絡主機地址重疊的情 況。雙向 NAT 技術(shù)通過配置重疊地址池到臨時地址的映射關(guān)系，將重疊地址轉(zhuǎn)換為唯一的臨時地址，來保證報文的正確轉(zhuǎn)發(fā)。NAT 私網(wǎng)效勞器常規(guī)的NAT 隱蔽了內(nèi)部網(wǎng)絡的構(gòu)造，具有“屏蔽內(nèi)部主機的作用，但是在實際應用中，可能需要供應應外部一個訪問內(nèi)部主機的時機H3C 系列路由器的NAT 功能供應了內(nèi)部效勞器功能供外部網(wǎng)絡訪問，公網(wǎng)和私網(wǎng)用戶都能通過域名方式來 訪問私網(wǎng)效勞器。NAT 連接

14、數(shù)把握在實際應用中，需要能夠限制每個用戶能夠建立的最大NAT 連接數(shù)。例如計算機病毒同一源地址會掃描發(fā)起大量的TCP 連接，快速消耗路由器資源，導致路由器整機效率下降，影響其他用戶應用。通過此特性可以把握用戶對資源的占用狀況。支持 Auto-detect 自動偵測特性可以檢測到網(wǎng)絡應用的目的地可達性，檢測結(jié)果目的地 ICMP 可達或者不行達反應到與其聯(lián)動的模塊，如靜態(tài)路由浮動備份、備份中心、VRRP，觸發(fā)其相應的 主備切換動作。IPSec DPD實現(xiàn) IPSec 與 VRRP 虛地址建立隧道的功能，當VRRP 備份組的MASTER 發(fā)生切換時，借助DPD 的快速檢測，能使安全隧道快速恢復，擴展

15、和提高了IPSec 的備份方式，加強了強健性。強大的備份功能支持接口/子接口間的物理層備份，虛鏈路/虛模板/撥號接口/規(guī)律接口間的鏈路層備份，動態(tài)路由實現(xiàn)網(wǎng)絡層備份、VRRP 實現(xiàn)設(shè)備層備份。模塊熱插拔接口模塊支持熱插拔，保證在接口模塊升級/維護的過程中主機持續(xù)運行，大大縮短由于升級/維護造成的網(wǎng)絡中斷時間，供應業(yè)務永續(xù)的效勞。數(shù)據(jù)分析工具NetStreamNetStream 供應報文統(tǒng)計功能，它依據(jù)報文的目的IP 地址、源IP 地址、目的端口號、源端口號、協(xié)議號、ToS、輸入/輸出接口來區(qū)分流，并針對不同的流進展獨立的數(shù)據(jù)統(tǒng)計。NetStream 的統(tǒng)計信息定期發(fā)送給NSCNetStream

16、 Collector，網(wǎng)絡流數(shù)據(jù)收集器，由NSC 進一步處理后，交給NDANetStream Data Analyzer，網(wǎng)絡流數(shù)據(jù)分析器進展數(shù)據(jù)分析、計費、網(wǎng)絡規(guī)劃等多種應用。協(xié)議性能測試工具HWPingHWPing 做為測量網(wǎng)絡上運行的各種協(xié)議性能的一種工具，是對 ping 功能的增加。ping 功能只能使用ICMP 協(xié)議來測試數(shù)據(jù)包在本端和指定的目的端之間的來回時間，從而推斷目的主機是否可達；然而HWPing 不但可以完成上面的功能，還可以探測DLSw、dhcp、FTP、HTTP、SNMP 效勞器是否翻開以及測試各種效勞的響應時間等。防火墻擴展性最強基于 H3C 先進的OAA 開放應用架

17、構(gòu)，SecPath 防火墻能機敏擴展病毒防范、網(wǎng)絡流量監(jiān)控和SSL VPN 等硬件業(yè)務模塊，實現(xiàn) 2-7 層的全面安全。強大的攻擊防范力量能防備DoS/DDoS 攻擊如 CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood 等、ARP 哄騙攻擊、TCP 報文標志位不合法攻擊、Large ICMP 報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時支持黑、MAC 綁定、內(nèi)容過濾等先進功能。增加型狀態(tài)安全過濾支持根底、擴展和基于接口的狀態(tài)檢測包過濾技術(shù)；支持H3C 特有ASPF 應用層報文過濾協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數(shù)據(jù)

18、包，支持對應用層協(xié)議的狀態(tài)監(jiān)控。豐富的 VPN 特性集成 IPSec、L2TP、GRE 和 SSL 等多種成熟VPN 接入技術(shù)，保證移動用戶、合作伙伴和分支機構(gòu)安全、便捷的接入。應用層內(nèi)容過濾可以有效的識別網(wǎng)絡中各種P2P 模式的應用，并且對這些應用實行限流的把握措施，有效愛護網(wǎng)絡帶寬；支持過濾，供應SMTP 地址、標題、附件和內(nèi)容過濾； 支持網(wǎng)頁過濾，供應HTTP URL 和內(nèi)容過濾。全面 NAT 應用支持供應多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、Easy IP 和 DNS 映射等NAT 應用方式；支持多種應用協(xié)議正確穿越NAT，供應DNS、FTP、H.323、NBT 等 NAT ALG 功能。全面的認證效勞支持本地用戶、RADIUS、TACACS 等認證方式，支持基于 PKI/CA 體系的數(shù)字證書X.509 格式認證功能。支持基于用戶身份的管理，實現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，并且支持用戶視圖分級，對于不同級別的用戶賜予不同的管理配置權(quán)限。集中管理與審計供應各種日志功能、流量統(tǒng)計和分析功能、各種大事監(jiān)控和統(tǒng)計功能、告警功能。四方案特點本系統(tǒng)完成后，可按樓宇號劃分地址段，例如：1 號樓對應一個地址段，組成一個微 LAN，2 號樓對應一個地址段以此類推。核心交換機組成的雙機熱備，在系統(tǒng)故障時備機可以準時的恢復工作，保障社區(qū)網(wǎng)絡的暢通。系統(tǒng)建成后，