教育城域网技术方案建议书.doc

《教育城域网技术方案建议书.doc》由会员分享，可在线阅读，更多相关《教育城域网技术方案建议书.doc（40页珍藏版）》请在三一办公上搜索。

1、XX 教育城域网网络建设方案建议书目 录1概述11.1网络厂商的选择11.1.1设备应用规模及稳定性、兼容性11.1.2完善的研发体系和全系列的网络产品21.1.3健全的服务支持和培训认证体系21.2教育城域网建设背景31.3XX教育局城域网中心网络校园网建网需求分析41.3.1一般建网需求41.3.2XX教育局城域网中心网络建网需求51.4整体建网原则62总体网络设计72.1网络拓扑设计72.2核心层设计82.3汇聚层设计92.4出口路由设计103网络业务设计103.1路由设计103.1.1路由协议选择及设计建议103.1.2路由协议选择原则103.1.3本网络路由协议的选择113.2VLA

2、N的划分123.2.1划分VLAN的必要性123.2.2划分VLAN的方法133.2.3VLAN规划153.3组播业务163.4QoS设计173.4.1QoS体系结构的选择183.4.2QoS的实现机制193.4.3QoS部署243.4.4关键业务服务质量保证设计381 概述1.1 网络厂商的选择选择H3C公司的依据：1.1.1 设备应用规模及稳定性、兼容性H3C公司的网络产品目前已经广泛应用与全球的各个行业中，截至2007年4季度H3C公司在中国市场交换机的市场份额为41，路由器为30（数据来源于CCID 2008年2月），名列前茅。目前H3C的全系列产品进入英国、德国、香港、俄罗斯、巴西、

3、泰国、墨西哥等六十六个国家和地区，并承建了中国电信、中国移动、英国、泰国、巴西等14个国家级IP骨干网。 H3C目前在国内的校园网建设中已经得到了大规模的应用，包括90以上“211”高校，1500余所高校；80教育城域网。在山东，H3C承建了绝大部分的校园网，包括：l 山东大学万兆校园网l 山东师范大学万兆校园网l 烟台大学万兆校园网l 山东中医药大学万兆校园网l 山东财政学院校园网l 山东经济学院校园网l 山东艺术学院新校区网络l 济南大学校园网l 济南劳动职业技术学院校园网l 山东科技职业学院l 中国海洋大学校园网l 曲阜师范学院校园网l 淄博职业学院校园网l 潍坊医学院校园网l 潍坊职业

4、学院校园网l 日照职业技术学院校园网l 日照劳动技工学院校园网l 莱芜职业技术学院校园网大规模的应用不但大大拉近了用户和H3C公司的距离，使得H3C公司能够更快更好为市场、为用户提供产品，同时也验证了H3C公司产品的稳定性和兼容性。1.1.2 完善的研发体系和全系列的网络产品H3C每年将销售额的15以上用于研发投入，在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构，在北京和杭州设有产品鉴定测试中心。目前，H3C已申请专利超过700件，其中80是发明专利。H3C目前从事IP产品技术研发的研究所有6个，包括北京研究所、杭州研究所、印度研究所、南京研究所、深圳研究所、美国研究所，研发人员超过2

5、000人。印度所、南京所、中央软件部、上海研究所等都通过“软件研发成熟度”最高级的CMM5级国际认证，北京研究所、杭州研究所通过CMM4级国际认证。H3C不但拥有全线路由器和以太网交换机产品，还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前，安全产品中国市场份额位居前三，IP存储亚太市场份额第一，IP监控技术全球领先，H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。因此选择该厂商的网络产品能够有效的保障用户在网络建设方面的延续性和持续性。1.1.3 健全的服务支持和培训认证体系H3C公司建立了遍布全国的服务机构。除公司总部设有

6、完备的技术支援平台外，H3C还在全国建立了36个售后服务中心，建有完备的技术支援平台和备件系统，通过先进的通信技术与总部的技术支援平台连接，完成用户信息、故障处理流程、备件库存、产品分布等信息的共享，形成覆盖全国地市级城市，专职人员规模超过200人的技术支援体系。同时还在各省市派遣有售后服务工程师，以提高售后服务的响应速度。H3C技术支持支援平台拥有一批高素质的服务队伍，所有服务人员都具有本科以上学历，且有3年以上大型网络服务经验。为了满足不同客户不同层次的培训需求，H3C服务公司建立了规范、专业的用户培训体系，将总部培训与分部培训、集中培训与现场培训有机结合。目前，在数据通信网络技术领域，H

7、3C培训面向全球，致力于培养专业务实网络人才。考虑客户不同层次需求, 提供全系列的网络产品培训,网络技术认证培训和客户化培训解决方案。同时建立起国际规范的完整的网络技术认证体系。l 在中国建立30余家授权培训中心，海外建立7家授权培训中心；覆盖中国各大中心城市以及拉美、亚太、中东、北非、俄罗斯等地区和国家。l 在中国建立60余家网络学院，海外建立1家网络学院。l 与40余所职业院校建立合作,支持中国职教IT专业课程改革项目。鉴于以上几个主要原因，我们在此次投标中选用了H3C公司的网络产品做为此次投标的网络产品。1.2 教育城域网建设背景我国互联网事业正在持续快速的发展，并在普及应用上进入崭新的

8、多元化应用阶段！互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。 同时，随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而教育城域网建设则是教育系统信息化建设的关键。在信息化的建设过程中，它的作用体现在如下几个方面： 1、教育城域网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。 2、教育城域网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3、教育城域网是学

9、校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。4、教育城域网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。 教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。1.3 XX教育局城域网中心网络校园网建网需求分

10、析1.3.1 一般建网需求XX教育局城域网中心网络的网络建设本次主要是中心网络新建。在实际的建设过程当中，应当充分考虑到中心内部的多业务以及特色业务等扩展性，如：中心网内部的服务器的访问，由于学校汇聚的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析XX教育局城域网中心网络网络基础设施建设和网络运营方面相关的内容。XX教育局城域网中心网络建设从网络流量模型上看和城域网网的流量模型相似，用户分散而网络流量大，但实际应用上还存在许多和企业网不同的地方。主要特点如下：1、用户管理的需求：1) 使用方便，存在WEB认证需求。要求能做到基于WEB的身份认证、多

11、ISP选择、用户费率查询、带宽动态调整（隐性需求）、多WEB界面（隐性需求）等。2) 需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3) 对用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，譬如限制为64K 、256K、512K、1M、2M、5M、10M等等级。2、多种教学方式并行的需求：随着城域网网的信息化的发展，越来越的多业务连接方式依托于中心网络给学校提供多种链接。1) 多媒体教学。为了更好的为学生提供全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。2) VOD点播业务实现，通

12、过建立VOD视频服务器平台，利用交换机提供的组播功能，为XX教育局城域网中心网络的用户提供优质的视频效果，同时节省用户带宽。3、安全管理的需求：1) 校园用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有DoS，DDoS等2) 上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全4、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。对于后期建设的校园监控和电子监考工程也需要网络对组播特性有良好的支持。 5、多出口需求：中心网络出口包括电信网，网通网和教育网。多出口带来了以下两个需求：1

13、) 多权限ISP需求。用户可通过不同的账号名或采用相同的账号，不同的域名认证，获得不同的上网权限。2) 多ISP分别计费的需求，对应不同的ISP，计费策略不一致。6、WLAN的需求：随着WLAN技术的成熟，在校园网内（如会议厅、图书馆等）部署WLAN也日益成为热点。因此在规划中需要考虑WLAN的规划。1.3.2 XX教育局城域网中心网络建网需求XX教育局城域网中心网络系统分为三级，核心层、汇聚层、接入层，根据现实情况，需要将各区县学校网络通过网通网络光纤连接中心网络，部分学校网络通过VPN连接中心网络。1.4 整体建网原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层

14、交换为主，很少有三层应用，存在“安全、可管理性较差、无业务增值能力”等方面的问题。现在XX教育局城域网中心网络校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于对XX教育局城域网中心网络校园网业务需求的深入理解，结合自身产品和技术特点，H3C公司推出了了完善的XX教育局城域网中心网络校园网解决方案，为XX教育局城域网中心网络提供“可管理、可增值、可持续

15、发展”的精品网络。XX教育局城域网中心网络网络建设遵循以下基本原则：高带宽为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。可扩充性考虑到XX教育局城域网中心网络用户数量和业务种类的发展，要求对于核心交换机与汇聚交换机具有强大的扩展功能，XX教育局城域网中心网络校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息

16、准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。2 总体网络设计2.1 网络拓扑设计中心网络采用星型结构组网，充分考虑到了网络骨干的高带宽、高可靠性，整网采用S75010E，强大的硬件性能提高了整网可靠性。下行使用万兆或千兆光纤连接到各县区汇聚交换机等，同时本地的3台汇聚通过千兆双绞线接入核心，为汇聚提供高速率的上行带宽，同时部分区县汇聚通过VPN连接中心层。保障多种业务，特别是多媒体、语音等教

17、学课件的高速传输。各个汇聚层的交换机则通过单模千兆光纤或者千兆双绞线连接到接入层的交换机，接入层交换机为百兆到桌面。拓扑图如下：2.2 核心层设计核心层负责整个网络的数据交换，同时也是教育城域网中心网络的路由中心，全网第三层、第四层操作都通过核心节点集中进行。核心交换机提供教育网内用户对服务器群的高速访问。 为了充分保障核心交换平台的高可靠特性，我们提供S7500E作为网络的核心交换设备，该设备采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔；电源系统采用1+1冗余热备份，并支持多路电源输入；支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求

18、，系统可靠性达到：99.999。H3C S7500E交换机是H3C公司面向以业务为核心的企业网络架构而推出的新一代高端多业务路由交换机。该产品基于H3C公司自适应安全网络的技术理念，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，进一步提供了业务流分析、基于策略的QOS、可控组播等智能的业务优化手段，从而为企业IT系统构建面向业务的基础网络平台，实现通信整合，数据整合奠定了基础。在核心交换机中插入防火墙板卡，可以对全网的数据进行安全管理，同时可以实现对办公区，服务器区，以及区县学校汇聚的防火墙区域的划分，这是在线部署独立防火墙所无法达到的防火墙板卡可提供多种防护功能，支持外部攻击防范

19、、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全，更可通过增加高性能防毒卡实现出口防毒墙功能；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持的IPSec VPN，可以构建远程数据加密VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性。2.3 汇聚层设计汇聚层使用根据不同楼群的接入点密度分为两个部分，一部分可以选

20、用H3C S5100EI全千兆智能三层交换机，上行千兆连接核心交换机S7500E上，同时全千兆下行连接服务器区，主要负责XX教育局城域网中心网络服务器区的数据汇聚。为服务器区提供高带宽保证，可以是各种服务在教育网中做到快速响应不会产生带宽的瓶颈，为教育网中用户对各种应用需求的访问提供保证，第二部分选用H3C S3100 EI全千兆智能交换机，主要负责中心区办公区的汇聚要求，强大的ARP入侵检测功能为办公区的接入提供的安全保证。S5100基于最长匹配的路由策略。系统采用逐包转发方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力，有效保证了设备安全。支

21、持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持DUD（Disconnect Unauthorised Device）认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。具有丰富的QoS特性，支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类，充分保障了复杂网络对于QoS规则的要求。在本次组网中

22、非常适合从事汇聚层面的工作。2.4 出口路由设计出口路由采用MSR50-40，由于部分区县汇聚需要使用VPN连接中心区网络，我们为MSR50-40配置了高性能的数据加密插卡，为VPN网络提供了更高的安全性能，同时MSR系列路由器独有的多业务扩展能力为教育城域网用户今后的语音扩展等业务提供支持，最大程度的保护用户的投资，此外，MSR50-40还具备防毒卡的扩展能力，可以为教育网中心网络的病毒防护提供更多的选择。3 网络业务设计3.1 路由设计3.1.1 路由协议选择及设计建议选择何种路由协议，对于最大程度的发挥网络的效能具有重要意义，因此本次XX教育局城域网中心网络网络建设的路由协议的选择也就十

23、分重要。3.1.2 路由协议选择原则在大型网络中，选择适当的路由协议是非常重要的。目前常用的路由协议有多种，如RIP、OSPF、IS-IS、BGP、PIM等等。不同的路由协议有各自的特点，分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素：1）路由协议的开放性：开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和选择空间。2）网络的拓扑结构 ：网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。路由协议还必须支持网络拓扑的变化，在拓扑发生变化时，无论是

24、对网络中的路由本身，还是网络设备的管理都要使影响最小。3）网络节点数量：不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。对于本网络，在选择路由协议时不能只看眼前，还要充分考虑今后的扩展性4）与其他网络的互连要求：通过划分成相对独立管理的网络区域，可以减少网络间的相关性，有利于网络的扩展，路由协议要能支持减少网络间的相关性，是通常划分为一个自治系统（AS），在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。5）管理和安全上的要求：通常要求在可以满足功能需求的情况下尽可能简化管理。

25、但有时为了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的支持。3.1.3 本网络路由协议的选择考虑到协议的通用性、标准性以XX教育局城域网中心网络网络系统的网络规模，建议在本次网络建设中选择OSPF作为未来网络动态路由协议，选择OSPF主要有以下几个原因：1标准开放性及成熟性OSPF是开放的标准协议，受到广大厂家设备及组织的支持，也是目前网络构建中用得最多的协议，也是在企业网中应用最广泛的IGP协议；因此其性能是经受过考验及验证的。2. 扩展能力分域功能非常适合网络扩展OSPF提供分域功能一方面保证路由转发效率，另一方面要提供很好的

26、网络扩展能力。当然路由协议的选择也必须考虑本系统的整体规划，本次方案选择的S7500E产品具有丰富的路由协议支持能力，单播、多播路由协议包括OSPF、RIP、PIM等都提供很好的支持，因此可以适应本系统的路由协议的选择。3.2 VLAN的划分3.2.1 划分VLAN的必要性VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源，管理网络。利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。采用虚网功能，网络性能可以获得较大的改善： 1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好

27、地利用带宽，提高网络总的吞吐量。 2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。 3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为IEEE802.1Q，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。5.虚拟局域网可以建立在不同的物理网络上，用封装的办法支法支持不同的

28、网络协议络协议，如SNMP、NMP、IPX、TCP/IP、IEEE802.33等，兼容性非常好性非常好。6.虚拟网络中的主要应用技术为“虚网中继”，VLAN Trunking特有技术的采用也成成为了必然。必然。简而言之，VLAN Trunking主要是通过一条高速全双工通道来实现将将一个LAN Switch端口所划分的不同VLAN与其它LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。其原理如下图所示：如果采用VLAN trunking 的技术，则V

29、1、V2、V3均可通过一条全双工的100Mbps，即200Mbps的速率与上级LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在V2，V3无数据量的情况下，V1可以独占此100M带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维护性。3.2.2 划分VLAN的方法H3C公司的E系列接入交换机不仅能够支持标准的802.1Q VLAN，还能实现端口之间的隔离。我们可以使用E系列支持的P-VLAN（primary-vlan）这个特性，一方面实现用户之间的隔离，

30、另一方面可以为三层交换机节省VLAN资源。E系列可以屏蔽下面的VLAN划分，仅向三层交换机提供一个VLAN信息，在边缘交换机实现了端口可以同时属于多个Vlan；如图所示：其中端口1为uplink端口，端口2，3，4为接入端口；Vlan 1：包含端口：1，2，3，4，5Vlan 2：包含端口：1，2Vlan 3：包含端口：1，3，4Vlan 4：包含端口：1，5设计中采用了几个secondary vlan包含在一个primary VLAN中的方式，给用户提供了灵活的配置方式。如果用户希望实现二层报文的隔离，可以采用了为每个用户分配一个secondary vlan的方式，每个vlan中只包含用户连

31、接的port和uplink port；如果希望实现用户之间二层报文的互通，可以将用户连接的端口划入同一个VLAN中；同时创建primary vlan，该vlan包含所有secondary vlan中包含的端口和uplink端口，这样对上层交换机来说，可以认为下层交换机中只有一个primary vlan，用来标识设备，而不必关心primary VLAN中的端口实际所属的VLAN，简化了配置，节省了VLAN资源。primary vlan中的所有端口都不是802.1Q的trunk端口，包括与其它交换机相连的uplink口。每个 port的PVID就是它所属secondary vlan的ID；upli

32、nk端口的PVID是primary vlan的ID；我们建议在接入交换机上根据各个部门之间的逻辑关系进行灵活的VLAN划分。可以让一个楼层对应于一个PVLAN，楼层内的不同部门分属不同的Sencondary VLAN。这种划分方式中，可以对用户能实现动态的VLAN+MAC+IP绑定，可对用户发动的伪造攻击报文进行合法性检查和过滤，具有一定的网络安全性保障。不同VLAN间的互访，必须经过三层交换机进行转发。3.2.3 VLAN规划我们建议按不同的业务使用主体来规划整个XX教育局城域网中心网络的VLAN资源。如：学生宿舍1、学生宿舍2、教师、校管理人员等。为了减小广播域，建议VLAN终结在汇聚层的

33、三层交换机上，每个VLAN内的主机数量原则上不要超过250台，建议每个VLAN内的PC机数量控制在50台以内。VLAN的划分可以依据不同的业务部门进行也可以依据用户所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还兼顾了网络安全性可控性的需要。根据实际业务部门办公环境的分布情况来看，在大部分情况下，两者实现了重合，而对于少数由于办公地点不同，隔离在不同汇集点的相同业务部门，我们则推荐第一种方式。将端口分配给VLAN的方式有两种，分别是静态的和动态的。静态VLAN：形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端

34、口。这是将端口映射到VLAN的一种最通用的方法。对于学生宿舍，教师办公等用户相对集中的区域，建议采用这种部署方式，将VLAN部署在用户对应的汇聚交换机端口上。动态VLAN：我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。用户权限数据一般存储在CAMS或接入认证系统UAM（后台综合访问管理服务器）中，CAMS根据用户端的权限归类，在认证通过之后向二层交换机作动态的VLAN ID下发配置。此时，二层交换机要支持VLAN的动态配置功能（H3C 全系列交换机支持）。

35、从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过250台，最好控制在50台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。管理VLAN：作为特殊VLAN 的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID=4000,VLAN4000与VLAN1在第三层上相通，同时，部分业务VLAN可以访问VLAN4000，从而实现网管的分布式监控布局。VLA

36、N1和VLAN4000的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。对于服务器建议单独设置在一个VLAN中。业务VLAN可以按照部门的类别进行划分，每个部门划分一个VLAN，部门人数超过50名的应该划分为两个VLAN，以保证交换的性能，业务VLAN的命名建议采用VLAN100作为第一个业务VLAN，然后按照数字序列进行划分，一直到VLAN123。本次建议在XX教育局城域网中心网络网络中采用静态VLAN划分方案来部署。3.3 组播业务H3C S7500E 、S7510、S5500 SI、S5100 EI系列通过标准的组播协议完成用

37、户的组播管理，上述产品均可以支持丰富的组播协议，包括ICMP、PIMSM、PIMDM、MSDP等组播协议，可支持丰富的业务，包括视频点播、流媒体点播，可支持各种流媒体终端以及组播源的种类。并可以并通过HGMP协议将各楼道交换机也纳入到组播实现中。完成对其下挂的汇聚交换机以及楼道交换机的组播用户进行报文复制和发送。通过这种机制，使得整个网络的流量做到最优，有效的保证了视频监控、视频教学、会议电视、视频点播等视频业务的开展，通过组播实现的视频业务有：视频监控：通过IP线路将前端采集的视频监控信息传递到中心的存储设备和监控显示平面。视频教学：使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教

38、学，实现学生和教师的实时交流，学生还可随时进行学习点播和查询。会议电视：利用网络和数字视像技术实现异地会议的交互传输和控制。视频点播：交互式电视的一部分，它使用户可以随意选择所需的视讯节目，并可随意地控制节目播出（如快进、快倒、暂停等）。3.4 QoS设计为保证XX教育局城域网中心网络校园网各种业务的正常及时处理，需要对不同业务实施不同的QoS策略。对于关键的核心业务的部分，需要优先保证这些业务的时延和带宽；而对于其它业务来说，也应当有相应的QoS策略来提供不同的服务质量保证。针对XX教育局城域网中心网络校园网的应用环境，在边缘设备可以采用IP QoS复杂流分类技术对不同业务数据报文设置不同的

39、DSCP/TOS标记，并根据需要采用流量监管技术（CAR）对带宽进行限制；携带DSCP/TOS标记的业务报文在核心层网络的广域网路由器上，根据DSCP/TOS标识进行简单流分类，并根据不同业务设置的DSCP/TOS标记，配置相应的队列以及队列带宽保证，由广域网路由器根据数据流情况采用高效的队列管理技术（WRED/SARED）以及队列调度技术（PQ/LLQ）对用户的需求做保证。建议在规划校园网系统网络QoS设计时，遵循以下的原则：l 正常情况下QoS是通过带宽来保证的，带宽利用率达到60可考虑扩容l 网络设备的容量不成为瓶颈l 网络故障或突发流量情况下QoS策略生效l 任何时候都优先保证关键的实

40、时业务3.4.1 QoS体系结构的选择为了在IP网上提供QoS，IETF提出了许多服务模型和协议，其中比较突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。 IntServ模型要求网络中的所有节点（包括核心节点）都记录每个经过的应用流的资源预留状态，需要通过IP包头识别出所有的用户应用流（进行MF分类），同时为每个经过的应用流设置单独的内部队列以分别进行监管（Policing）、调度（Scheduling）、整形（Shaping）等操作。对于现在大型运营网络中的节点，这种应用流（活动的）的数量非常庞

41、大，会远远超出节点设备所能够处理的能力，而且可扩展性差，仅适合在小规模网络中使用。 DiffServ模型的基本原理是将网络中的流量分成多个类，每个类接受不同的处理，尤其是网络出现拥塞时不同的类会享受不同的优先处理，从而得到不同的丢弃率、时延以及时延抖动。在DiffServ的体系结构下，IETF已经定义了EF（Expedite Forwarding）、AF1-AF4（Assured Forwarding）、BE（Best Effort）等六种标准PHB（Per-hop Behavior）及业务。此外，有些厂商实现了基于TOS的分类服务（COS），并且这类设备已经应用在一些现有的运营网络。COS和

42、DiffServ类似，不过比DiffServ更简单，并且不象DiffServ那样定义了一组标准的业务。DiffServ对聚合的业务类提供QoS保证，可扩展性好，便于在大规模网络中使用。本次工程推荐使用DeffServ机制实现QoS。DiffServ域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理，开销较大，容易形成网络瓶颈，因此需要将这些功能分布到不同的设备上去，如流分类功尽量在边缘实现。DiffServ模型：基于DiffServ的QoS模型如图所示：采用Diffserv/CoS的方法需要对所有

43、的IP包在网络边缘或用户侧进行流分类，打上Diffserv或CoS标识。DS域内的路由器根据优先级进行转发，保证高优先级业务的QoS要求。骨干网络实施Diffserv/CoS，需要所有相关设备支持，特别对边沿节点有很强QOS能力需求。3.4.2 QoS的实现机制XX教育局城域网中心网络能够实现承载包括实时业务在内的综合业务的QoS特性，尤其对DiffServ提供了基于标准的完善支持，包括流分类、流量监管（Policing）、流量整形（Shaping）、队列管理、队列调度（Scheduling）等，完整实现了标准中定义的EF、AF1-AF4、BE等六组PHB及业务。内部处理流程如下图所示：l 流

44、分类总的来说，允许根据报文头中的最多192比特的控制域信息进行流分类，具体可以包括下面描述的报文2、3、4层的控制信息域。首先输入端口号可以作为重要的分类依据，它可以单独使用，也可以结合报文的其他信息对流分类。二层的重要控制域就是源MAC地址。允许通过配置将报文的源MAC汇聚为MAC地址组，最大允许64源MAC地址组，源MAC地址组可以单独或同其他域组合对用户流进行分类。此外VLAN ID也是参与流分类的重要属性，只不过是以子接口的形式隐式参与。三层可以参与分类的控制域包括：源和目的IP地址、TOS/DSCP字节、Protocol（协议ID）、分段标志、ICMP报文类型。四层的源和目的端口号、

45、TCP SYN标志也是允许参与流分类的重要信息域。l 流量监管流量监管也就是我们通常所说的CAR，是流分类之后的动作之一。 通过CAR，运营商可以限制从网络边沿进入的各类业务的最大流量，控制网络整体资源的使用，从而保证网络整体的QoS。运营商合用之间都签有服务水平协议（SLA） ，其中包含每种业务流的承诺速率、峰值速率、承诺突发流量、峰值突发流量等流量参数，对超出SLA约定的流量报文可指定给予pass（通过）、drop（直接丢弃）或markdown（降级）等处理，此处降级是指提高丢弃的可能性（标记为丢弃优先级降低），降级报文在网络拥塞时将被优先丢弃，从而保证在SLA约定范围之内的报文享受到SL

46、A预定的服务。RFC定义了四种标准流量监管算法（Color aware single rate three color 、Color aware two rate three color、Color blind single rate three color 、Color blind two rate three color）。l DSCP标记/重标记标记/重标记是是流分类之后的动作之一。所谓标记就是根据SLA以及流分类的结果对业务流打上类别标记。目前RFC定义了六类标准业务即：EF、AF1-AF4、BE，并且通过定义各类业务的PHB （Per-hop Behavior）明确了这六类业务的服务

47、实现要求，即设备处理各类业务的具体实现要求。从业务的外在表现看，基本上可认为EF流要求低时延、低抖动、低丢包率，对应于实际应用中的Video、语音、会议电视等实时业务；AF流要求较低的延迟、 低丢包率、 高可靠性，对应于数据可靠性要求高的业务如电子商务、企业VPN等；对BE流则不保证最低信息速率和时延，对应于传统Internet业务。在某些情况下需要重标记DSCP。例如在Ingress点业务流量进入以前已经有了DSCP标记（如上游域是DSCP域的情形，或者用户自己进行了DSCP的标记），但是根据SLA，又需要对DSCP进行重新标记。完全支持RFC定义的标准的DSCP DS CODE，还支持现在

48、有些网上可能使用的COS。COS是以TOS的前三比特作为业务区分点，总共可分8个业务等级，对每一种业务等级均有特定的定义。l 队列管理队列管理的主要目的就是通过合理控制Buffer的使用，对可能出现的拥塞进行控制。其常用的方法是采用RED/WRED算法，在Buffer的使用率超过一定门限后对部分级别较低的报文进行早期丢弃，以避免在拥塞时直接进行末尾丢弃引起著名的TCP全局同步问题，同时保护级别较高的业务不受拥塞的影响。WRED算法可支持多达8个优先级4种丢弃级别的业务流类别，对每种优先级的WRED曲线均可单独配置。在算法精度上，不仅能及时“感知”网络的拥塞状况，同时可避免网络的振荡，由此对各种业务流以及同一业务流内部不同的丢弃级别