好文档 - 专业文书写作范文服务资料分享网站

三通两平台材料三通两平台整体方 - 图文 

天下 分享 时间: 加入收藏 我要投稿 点赞

XX区教育城域网及资源中心规划方案 保密

垃圾邮件防护:可以拦截垃圾邮件,净化邮件系统,解决垃圾邮件对正常工作的干扰问题。

URL过滤:实现基于用户的URL访问控制,防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。

流量管理:能精确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用,提供告警、限速、干扰或阻断等多种方式,保障网络核心业务正常应用。

46

杭州华三通信技术有限公司

XX区教育城域网及资源中心规划方案 保密

行为审计:可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录,实现细粒度的网络行为审计管理。

通过以上管理手段,管理员能够保证学校内部网络的安全性,有效利用学校出口带宽,同时对用户上网行为进行管理和记录,以便于网络安全事件发生后的审计。

3.2.3.2. 核心层网络设计

城域网的核心层部分采用“两网一核心”的建设思路:城域网和数据中心共用一套网络核心,即采用两台S10508核心交换机,通过IRF2技术虚拟成一台设备,作为整个网络的核心。

47

杭州华三通信技术有限公司

XX区教育城域网及资源中心规划方案 保密

H3C S10500系列交换机采用了先进的CLOS架构,每一台交换机都有两个核心的处理平面,即控制平面和业务处理平面。

控制平面主要由主控板、接口板上的控制单元构成,完成协议处理、路由表维护、数据配置和设备管理等控制功能。

业务处理平面主要由接口板上的高速业务处理单元(ASIC芯片)和集成在交换网板板上的交换网构成,具备业务处理、报文交换和报文转发等功能。

控制通道:接口板、网板通过专用通道分别连到主备控制板上的管理模块。实现双主控1+1、多交换网N+1的热备份,提高系统的可靠性。

业务通道:交换网芯片内置于交换网板,接口板通过高速通道分别连到交换网板上的交换网。 控制平面和业务处理平面相互独立,互不影响,如下图所示。

采用这样主控板与交换网板分离的架构,大大提高了设备性能的可扩展性,如果未来需要提高核心交换机的性能,无需更换机箱和引擎,只需升级交换网板即可。同时提高了设备的可靠性,由于主控板和交换板分离,即使在主控板故障的情况下,现有的业务流量仍能通过交换网板继续转发。

采用IRF2虚拟化技术后,网络核心结构变得更简单、更可靠、更高效。 更简单

48

杭州华三通信技术有限公司

XX区教育城域网及资源中心规划方案 保密

网络简化需要解决网络结构的简化,网络业务的简化,以及管理维护的简化这三方面的问题。通过在从核心到接入的整网部署IRF2技术,多台物理设备虚拟成一台统一的逻辑设备,不但网络结构简单清晰,原先需要每台设备逐一配置,现在只需配置一次即可,大大简化了设备的管理维护。此外,相比传统网络生成树+VRRP的部署方式,启用IRF2以后,二层不再需要配置生成树,也不再需要复杂的生成树多实例的规划,三层不再需要配置VRRP,不再需要复杂的路由规划和大量的IP地址消耗,从而简化了网络业务。 更可靠

IRF的高可靠性体现在链路级、协议级和设备级三个方面。

链路级:成员设备之间的物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样,通过多链路备份提高了链路的可靠性。

协议级:IRF系统提供实时的协议热备份功能,负责将协议的配置信息备份到其他所有的成员设备,从而实现1:N的协议可靠性。

设备级:IRF系统由多台成员设备组成,Master设备负责系统的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份。相比传统的二层生成树技术和三层的VRRP技术,其收敛时间从N秒级缩短到毫秒级。

更高效:

对高端交换机而言,性能和端口密度的提升会受到其硬件结构的限制,而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高单台设备的性能。此外传统的生成树等技术为了避免环路的发生,会采用阻断一条链路的方式,而IRF2可以通过跨设备聚合等特性,让原本“Active-standby”的工作模式,转变成为负载分担的模式,从而提高整网的运行效率。

城域网的核心层设计在保证了高性能和高可靠性的基础上,还充分考虑了网络的安全性。本方案中通过在S10508交换机上部署防火墙插卡、IPS插卡和应用控制网卡插卡的方式,对整个城域网的用户和数据中心进行统一安全防护。

49

杭州华三通信技术有限公司

XX区教育城域网及资源中心规划方案 保密

3.2.3.3. 出口区域网络设计

XX区教育城域网采用统一出口的方式组网,在区电教馆申请两条出口链路,一条连接到市教育城域网,一条连接到internet。每个学校或教育单位用户访问教育网或互联网的流量最终都汇总到这两条链路上。该处选用H3C SR6600路由器作为出口路由器。作为教育城域网的出口路由器,需要的不是复杂的路由协议和大规格的路由表项,而是强大的NAT能力。SR6602-X凭借其先进的多核高性能处理技术,提供专门的内核处理NAT转发。当并发200万NAT连接时,256字节以及IMIX互联网混合报文的NAT转发性能超过10Gbps。可以充分满足XX区教育城域网对出口网关设备的性能要求。

除了对NAT性能的高要求外,XX区教育城域网出口面临的另一个问题是出口链路带宽的充分利用问题。教育城域网落成以后将不只拥有一个公网出口,如何充分利用这些出口带宽,从而提高整个城域网用户的上网体验是本次建网必须考虑的问题。这里涉及到两种情况:第一种情况是在几条不同的运营商链路之间,传统的出口设备工作方式是基于目的地址来进行选路。而由于中国运营商发展现状的南北差异,中国电信在南方拥有的网络资源较多,导致南京用户访问公网时大部分流量将从电信的链路流出,中国联通的链路多数情况下处于空闲状态。这样就会使得一方面电信链路拥塞,用户访问网络不畅,一方面联通链路空闲,造成资源浪费。第二种情况是在同一运营商的链路之间,例如XX区教育城域网申请了300M的电信带宽,中国电信以1条200M和1条100M两条出口链路的方式提供了300M带宽。此时由于用户访问的目的地址都是电信地址,出口设备无法判断数据是从链路1走还是从链路2走,此时路由器会在两条链路之间进行负载均衡,而一旦出口流量过大,就会导致一条链路拥塞,进而影响用户上网。这对以上两种情况,本方案采用的出口网关设备SR6602-X路由器拥有链路负载均衡功能,利用加权负载均衡、动态链路检测等多种算法,有效的将流量按需分配到多条链路上,充分利用所有链路的资源,从而提升用户对网络的使用体验。

3.2.3.4. 城域网行为审计设计

XX区教育成语落成后,所属范围内的所有中小学用户都将使用该网络访问教育网和公网的资源。根据《互联网安全保护技术措施规定(公安部令第82号)》规定,互联网服务提供者和联网

50

杭州华三通信技术有限公司

三通两平台材料三通两平台整体方 - 图文 

XX区教育城域网及资源中心规划方案保密垃圾邮件防护:可以拦截垃圾邮件,净化邮件系统,解决垃圾邮件对正常工作的干扰问题。URL过滤:实现基于用户的URL访问控制,防止因浏
推荐度:
点击下载文档文档为doc格式
6v9i50fz0u4vbt01g9pz
领取福利

微信扫码领取福利

微信扫码分享