《Netgear高速交换网网络解决方案.doc》由会员分享,可在线阅读,更多相关《Netgear高速交换网网络解决方案.doc(68页珍藏版)》请在三一办公上搜索。
1、NETGEAR高速交换网解决方案2006年06月NETGEAR公司北京办事处目 录前 言3第一章 美国网件(NETGEAR)公司简介4第二章 用户需求72.1、用户概述72.2、用户网络建设需求分析72.3、网络建设设计依据8第三章 NETGEAR高速以太网网络方案设计103.1、NETGEAR网络连接拓扑图103.2 NETGEAR网络解决方案113.2、NETGEAR网络解决方案的优势153.3、NETGEAR网络关键技术介绍193.3.1 802.3ad链路聚合控制(LACP)技术193.3.2 VRRP虚拟路由冗余技术213.3.3 QoS策略和控制机制243.3.4 访问控制安全机制
2、293.3.5 Internet组管理协议v3 (IGMPv3)353.3.6 万兆(10G)以太网技术393.3.7 IPv6技术433.4、NETGEAR网络方案的主要特点44第四章 方案设备配置清单46第五章 技术支持和售后服务保证47第六章 相关产品介绍506.1 ProSafe GSM7352S 48端口分布式万兆中心交换机,可堆叠506.2 ProSafe FSM7352S 48端口三层快速以太网交换机,可堆叠566.3 ProSafe FSM7328S 24端口三层快速以太网交换机,可堆叠616.4 ProSafe 网管软件-NMS10066前 言感谢提供一次同NETGEAR公司
3、合作的机会,并很荣幸地为贵公司数据业务系统建设提供全面网络解决方案。在贵公司目前的网络现状以及数据综合业务建设需求的基础上,结合当前先进实用的网络技术以及技术选型的基本原则,我们提出了高性能的一体化解决方案。方案中采用了当今业界成熟的、高性能的网络设备,不仅满足了对高先进性、可用性、可靠性、高安全性、高性能、易于扩展等的需求,更降低了用户的风险,保障了用户的利益。作为业界的领先厂商,NETGEAR公司在产品、解决方案和人员等方面的投入是用户成功的保障,不仅如此,NETGEAR更以其高性能价格比的全面解决方案而蜚声全球。NETGEAR公司将是你的最佳的合作伙伴。有关本方案的任何问题,欢迎您随时与
4、NETGEAR公司联系。NETGEAR公司北京办事处业务联系人销售经理: 网络顾问: 电话:传真:第一章 美国网件(NETGEAR)公司简介全球中小规模网络解决方案/无线网络的先驱和领导者美国网件公司(NETGEAR)于1996年1月创立,长期致力于为中小规模企业用户与 SOHO 用户提供简便易用并具有强大功能的网络综合解决方案。网件总部设在美国加州硅谷圣克拉拉市,业务遍及世界多个国家和地区,是美国高科技企业连续八年增长速度最快的50家之一,并于2003年作为唯一的计算机网络公司在美国 Nasdaq 交易所成功上市(股票代码:NTGR)。美国网件 (NETGEAR) 一直致力于网络的技术创新,
5、追求品质与应用并重的理念,为全球企业用户提供使用简便的高质量网络解决方案。特别是在中小规模企业解决方案与无线网络领域,拥有着雄厚的技术研发力量,也正因为如此,网件在这两个市场领域中保持着相当的领先优势。更引人注目的是,网件以强劲的发展势头成为目前所有网络厂商中增长最为迅速的公司,连续多年保持高速的年增长率成为同类企业中全球业绩增长的第一,在过去的2005年,美国网件实现了35%的业绩增长达到了全年5.5亿美元的销售收入,稳居全球 SOHO 网络市场销售的领导地位。美国网件 (NETGEAR) 对中国市场抱有很大信心,从2002年正式进入中国市场开始,先后投资建设了客户服务中心,产品研发中心和产
6、品测试中心,并在香港设立国际运做总部。全方位地向中国网络用户推广业界领先的全线产品,包括:千兆局域网系列、智能堆叠局域网系列、无线网络产品系列、防火墙系列、宽带接入路由产品系列、VPN 安全产品系列以及专为中小规模网络用户设计的多功能产品系列。“品质网络轻松建”一直作为美国网件 (NETGEAR) 在中国市场之企业理念,致力于推动成长型商用企业网络和 SOHO 网络构建与应用,为中国网络用户提供使用简便的高质量网络解决方案。同时所有销售产品配以网件精心设计的高性价比解决方案,将先进的网络技术融入其中,努力塑造“成长型商用企业网络专家”与“全球无线网络先锋”形象,将最新的产品与技术带给中国的网络
7、用户。欲了解更多有关美国网件公司(NETGEAR Inc.)信息,请访问美国网件公司网址:http:/www.NETGEAR.com 或者http:/www.NETGEAR以下是国内部分客户名录节选(可提供详细资料)序号用户名称网络规模NETGEAR产品1中国农业大学30000500台(FSM726S、FSM750S、FSM7328S、FSM7352S)2北京工业大学10000200台(FSM726S、FSM726)3中国科技大学5000100台FSM726S,FSM750S、4台GSM7324/73124广州大学(大学城)一期9000300台(FSM726S/750S)、30台(GSM732
8、4/7312)5广州大学(大学城)二期300001100台(FSM7328S)6山东大学2000GSM7324、FSM726S、FSM750S7延安教育学院800GSM7324、GSM712F、FSM726S、FSM726、FVL3288上海曲阳医院3002台GSM7312, 8台FSM726S/FSM750S9本溪教育学院6001台GSM712、20台FSM726S/750S10安徽武警总队400020台FSM7328S/FSM7352S; 146台FS726T11桂林漓江大瀑布饭店(五星)6002台GSM712、30台FSM726S12江苏省2005年高考阅卷系统800GSM7324/GS
9、M7312/FSM726S13深圳圣廷苑酒店(五星)3002台GSM7312、14台FSM726S14东莞畔山酒店(五星)4001台GSM7312,20台FSM726S/750S15安徽640所小学50002500台JFS52416中国教育部远程教育项目350001500台JFS52417中国企业信息网总部网络100060台FS526T18广东警官学院10002台GSM7324、40台FS750T19贵州电视台5001台GSM7324、30台FS526T20日月谷温泉度假村5006台GSM7324、10台FSM726S/750S21广东珠海市10所中小学200010台GSM7324 /GSM7
10、312、40台FSM726S / FSM750S22广东佛山南海市15所中小学300020台GSM7324 /GSM7312、150台FSM726S / FSM750S23中国农业大学新家属楼60017台FSM7352S、3台FSM7328S24新疆伊犁中医院4002台GSM712F、14台FS726T、1台FS750T2、2台GS724T25新疆教育厅考试中心5042 GSM7312、15 JF524、6 FS526T26通县法院2004 FSM726S、1 GSM731227沈阳虹桥高中2008*FS526T 2*FSM72628南戴河培训中心200FSM7312*1 GS748T*3 G
11、S724T*2 FVL328*129锦州商业银行100FSM726S*430水利部水土保持检测网络26411 FSM72631安徽铜陵教育局(所属中小学)150014 FSM7328S ;50*FS726T32安徽仙宁新沙网吧70035*FS726T33南京开发区劳动局1401*GSM7312,7*FSM726S34浙江师范学院200080*FS726T35浙江乐清科技局7202*GS716T, 30*FS726T36河北化工学院电子阅览室1000GSM7224/GS724T/FS726T共50台第二章 用户需求2.1、用户概述2.2、用户网络建设需求分析根据XXXX网络系统建设的实际需求,参
12、考项目建筑楼和场地规划图,结合实际勘察的现场情况,实际的用户网络建设情况大致如下;此方案中在用户未指定实际需要的情况下,这里先不考虑服务器的具体数量,只考虑具体信息点的个数.规划设计的新的网络要求是千兆主干(要能扩展到万兆核心功能),三层百兆交换到桌面。总体信息点在2000个点左右,信息点大致分布为:XXXX子网:一栋楼,需要21个24口交换机,3个8口交换机,16个分配线间。XXXX子网:一栋楼,需要7个24口交换机,7个分配线间。XXXX子网:x栋宿舍楼,需要14个24口,1个8口交换机,14个分配线间。XXXX子网:x栋宿舍楼,需要21个24口交换机,21个分配线间。XXXX子网:x栋宿
13、舍楼,需要8个24口交换机,8个分配线间。XXXX楼子网:一栋实验楼,需要14个24口交换机,5个分配线间。XXXX子网:x栋教学楼,需要5个24口交换机,5个分配线间。汇聚/接入层交换机总数为:堆叠式24口接入层交换机90个,8口交换机4个。核心层交换机共2台。2.3、网络建设设计依据随着网络新技术的不断出现,企业信息化建设的进程也呈现了日新月异的飞速发展,基于网络的各类应用也越来越多,网络的高速传输,高带宽,稳定性和安全性的已被企业所关注.为此,建设一个能满足企业业务的要求,并能切合实际适应企业业务和用户群的需求特点,是我们此次网络方案设计和建设的主要目的.根据用户网络工程具体的技术要求,
14、参照典型企业大楼网的设计模式及原则,以采用先进成熟性技术手段为设计思路,充分发挥NETGEAR公司产品技术优势,结合最新网络技术发展,我们将设计以千兆位以太网交换技术为骨干,百兆到桌面的网络工程解决方案。在总体设计理念上,网络建设的设计应以下要求:(1)、设备的先进性与成熟性当今世界,通信技术和计算机技术的发展日新月异。本方案适应新技术发展的潮流,既兼顾了技术上的成熟性,同时也保证了系统的先进性。(2)、系统的开放性系统在设计时均采用国际标准协议。网络管理基于SNMPv1,SNMPv2c以及SNMPv3,并支持RMON和RMON2。(3)、性能可扩展性所有设备均可满足用户的目前大数据量和性能需
15、求,又能轻易扩展以保障用户将来直接的平滑升级至10G主干和支持IPv6。(4)、高性能采用高性能的Layer2和Layer3交换机以及高性能路由器,提供线速交换和路由。采用线路捆绑和高帶寬骨干链路以及负载分担技术,保证整个网络负载均衡,不存在瓶颈。(5)、能满足多业务处理针对企业多样性和复杂性的网络应用,方案能满足目前和若干年后的应用需求.针对这些需求可实现网络的流量控制、带宽分配、安全控制、语音和视频的应用支持等等,可进行深层次的全局管理和控制。实现线速网络多层交换,特别是对ACL等处理后保持较高转发速率。将来随着业务的发展,可轻易的将网络升级支持至万兆主干和IPv6。(6)、安全性、可靠性
16、设计方案不但要保证理论上可行,更重要的是实际上可用。要充分考虑具体情况,充分满足网络需求。为了使网络可靠地运行,本方案选用了高品质、高性能价格比的产品,把故障率降到最低。同时,我们采用了系统堆叠容错技术,当网络系统内某一点出现故障时,整个系统仍然能够继续运行而不会造成停机,从而把损失降到最小。(7)、一体化的网络管理随着网络规模的扩大和系统复杂程度的增加,网络管理和故障排除就变得越来越困难。本方案将提供先进而完善的网络管理工具,包括设备级的管理和应用级的管理。(8)、从实际出发本着从实际情况出发,采用先进的网络技术,建立一个高速、宽带、扩充性能良好的计算机网络系统。第三章 NETGEAR高速以
17、太网网络方案设计3.1、NETGEAR网络连接拓扑图 如下图示,本方案总体的网络设计,将采用两级层次结构:网络中心、工作组接入交换。整个网络提供三层接入到桌面,是企业网络最具投资保护的下一代网络基础架构,是充分支持下一代网络数据,话音以及视频集成的多业务网络。网络中心:网络交换核心共配置两台NETGEAR公司GSM7352S分布式万兆以太网中心交换机,提供和工作组接入层交换机的连接,其也负责连接网络的中心服务器以及对外出口听防火墙设备,总体负责整个网络中所有客户端与应用服务器或互联网之间的数据交换。工作组接入交换:在配线间配置NETGEAR公司下一代的堆叠式三层千兆接入层FSM73xxS以太网
18、交换机,向下提供客户端设备10/100Mbps的三层以太网端口连接和第二/三层数据交换,向上通过千兆连接中心交换机。 以下是NETGEAR网络拓扑结构示意图3.2 NETGEAR网络解决方案1)核心交换机根据网络中心的设计原则,以提高核心设备的高速、可靠性、可用性为目标,结合用户的具体要求,中心设计采用二台NETGEAR公司的企业级GSM7352S分布式万兆中心交换机,并通过24Gbps背板堆叠,形成一个单一IP地址管理的分布式核心交换机组,向下通过千兆铜缆或光纤连接汇聚/接入层交换机。配置说明:下一代全网管,可堆叠的,支持万兆上连特性的分布式万兆中心交换机GSM7352S极具性价比,可提供4
19、8个10/100/1000M双绞线铜缆千兆端口和8个千兆SFP GBIC插槽(与最后8个10/100/1000M电口共享),4个10G模块/24G堆叠模块插槽。其灵活的模块化设计确保其是业务业界同类产品当中唯一的在单台交换机上支持4个10G端口上连的中心交换机。192Gbps的交换能力和137Mpps的线速路由转发能力将充分满足日益增长的网络业务的性能需求,最大支持4000个802.1Q VLAN;支持RIPv1v2、OSPF、SNMPv1v2v3、IGMPv1v2v3监听、802.1x端口认证,ACL和Qos、流量限速等等丰富的软件特性,增强版固件更可支持BGPv4和IPv6特性,并提供了丰
20、富的包过滤和优先级设置功能及增强QoS功能特性,可以进一步增强网络的安全性以及适应不同网络应用的需求,是构建中大型企业级网络中心的理想选择。GSM7352S最大可支持8台交换机堆叠,一个堆叠当中最大支持16个10G端口,384个10/100/1000Mbps端口或者是320个10/100/1000Mbps端口,64个1000Base 千兆光纤端口,堆叠后可单一IP地址管理,并支持跨堆叠的802.3ad链路聚合(LCAP)和端口镜象; GSM73xxS系列交换机之间可混合堆叠;在本方案中,网络中心采用二台堆叠的GSM7352S交换机形成高性能高可靠的千兆网络中心。2)汇聚/接入层交换机对于汇聚层
21、和接入层的设计,我们以整体网络高速性能、可靠、可扩展、高密度接入为设计目标.我们将采用全新的设计理念,即堆叠接入层交换机,分布式三层10/100M到桌面.在接入层我们将采用NETGEAR公司的企业级FSM73xxS系列下一代可堆叠、全网管三层安全以太网交换机.通过链路聚合(LCAP)的方式将两个千兆铜缆端口或SFP GBIC端口上连跨接至两台核心堆叠的交换机上。配置说明:下一代可堆叠,全网管、三层安全特性的FSM73xxS系列交换机由三款设备组成: FSM7328S/FSM7352S/FSM7352PS; FSM73xxS系列交换机是具有强大的扩展灵活性,线速、可靠、高密度接入和可提供全面安全
22、协议支持的新一代的交换机. 该系列产品是专门为成长型商业/企业网络提供经济的价格,线速的边缘3层到桌面,可堆叠扩展,高密度接入,同时具备强有力的流量控制机制(基于端口和应用)而定制的.FSM7328S可提供24个10/100M双绞线铜缆端口,4个千兆SFP GBIC插槽和4个10/100/1000M电口共享;12.8Gbps的交换能力和9.6Mpps的线速路由转发能力;FSM7352S可提供48个10/100M双绞线铜缆端口,4个千兆SFP GBIC插槽和4个10/100/1000M电口共享;17.8Gbps的交换能力和13.6Mpps的线速路由转发能力;FSM7352PS可提供48个10/1
23、00M双绞线铜缆端口,4个千兆SFP GBIC插槽和4个10/100/1000M电口共享;17.8Gbps的交换能力和13.6Mpps的线速路由转发能力;具有PoE以太网线供电特性,最大440W PoE功率;可提供标准802.3af的无线AP,IP电话和IP摄像头的以太网线数据传输和电力供应。FSM73xxS系列交换机可提供基于二/三/四层的交换能力;丰富的软件特性,如最大支持512个802.1Q VLAN,RIP I/II,512条线速路由,LCAP, Qos. IGMPv1v2, ACL,L2-L7层带宽控制,802.1x端口认证,SNMPv1v2v3等等;FSM73xxS交换机具有目前业
24、界最为先进的堆叠技术,设备最多可堆叠8台,最大同时支持384个10/100M端口,16个千兆端口,堆叠后实现单一IP地址管理;并支持跨堆叠的802.3ad链路聚合(LCAP)和端口镜象; FSM73xxS系列交换机之间可混合堆叠;在本方案中,边缘接入采用堆叠的FSM73xxS系列交换机,根据桌面接入的密度和区域分布,形成高速,高可靠的跨堆叠的、链路捆绑(LACP)的冗余千兆上连,三层百兆到桌面的网络设计。3) 链路主干连接说明:网络中心的两台企业级GSM7352S分布式万兆中心交换机之间,通过在交换机背后面板的4个10G/24G堆叠端口中的两个端口插槽内插入24G堆叠模块,使用堆叠线缆连接形成
25、冗余的堆叠链路.通过堆叠后可使整个核心的两台分布式万兆交换机融为一体;汇聚层/接入层分布式三层堆叠交换机FSM73xxS之间,通过利用交换机内置的2个千兆堆叠端口(1000Base-T或1000Base SFP GBIC)直接使用5类以上以太网铜缆线缆或者光纤进行连接,形成冗余的堆叠链路.通过堆叠后可使整个堆叠交换机融为一体;在网络中心的分布式万兆交换机与分布式三层接入交换机堆叠组单元之间的连接,将通过分别从堆叠单元里的两台企业级GSM7352S分布式万兆交换机的上两个千兆端口(1000M SFP GBIC光纤端口/1000M Base-T组合端口),既每台交换机连接一个千兆端口; 通过两条1
26、000Mbps链路分别连接到对应的汇聚层/接入层堆叠组交换机机中任何的两台交换机的千兆端口(1000M Base SFP GBIC光纤/1000M Base-T组合端口)上,即每台交换机各连接一个千兆端口,它可以是堆叠单元组上任何一个空闲的千兆端口。这两条链路在物理上与堆叠单元组内任何一个交换机的千兆端口都是独立的,2条链路是并行的。采用NETGEAR称为链路聚合控制(LACP)技术,逻辑上交换机视2个千兆以太网端口为一个端口,2条物理链路为一条逻辑链路,这样交换机使能的Spanning Tree或者快速生成树协议Rapid Spanning Tree协议控制不会将两台桥接的交换机多条物理链路
27、所构成的环路中断。因此交换机之间可以利用这些链路同时传输数据,负载可以在多条链路上同时进行传输共享。当其中的多条物理链路中的任何一条出现故障中断时,交换机会自动将其隔离,数据在其它链路上进行传输,当链路故障恢复正常,恢复传输数据。LACP技术是核心交换机与网络服务器间提高相互连接带宽,减少瓶颈,冗余链路的最佳技术选择。同时也是核心交换机与边缘交换机的连接的最佳技术选择。(具体的LACP技术描述见后章节)4) 网络管理NMS100为了更好的便于集中管理,我们在方案中配置了一套NETGEAR ProSafe NMS100网管平台进行管理.NETGEAR NMS100可管理NETGEAR所有的可网管
28、以太网交换机,无线AP和防火墙产品,基于标准的网络管理平台可兼容和管理包括第三方网络设备.NETGEAR NMS100可提供基于SNMP V1、V2和V3的网管接口,最大支持1000个网络设备,同时也为整个企业的网络设备提供了统一的支持,支持802.11标准的MIB库。NETGEAR网管软件NMS100提供了整个网络所有的节点的分布图(通过自动发现功能)。从屏幕上,IT管理员可以直接对包括NETGEAR可网管设备在内的网络设备进行参数设置,比如基于整个网络范围,组或单独节点的安全性设置,设备升级,配置保存等等。该屏幕同时提供了快速浏览细节的功能,比如网络设备的健康状态,性能分析,日志记录等。I
29、T管理员也可以点击任意节点并调整管理员模式,比如节点的性能状态,参数设置等等。下图所示为借助NETGEAR网络管理软件NMS100形成的网络结构图.具体的NMS100网管平台的技术特性参见后章节网络产品介绍3.2、NETGEAR网络解决方案的优势1. 分布式的三层交换架构分布式的三层交换赋予了你的成长型商业/企业网络所需要的最大的吞吐量和灵活性-这全新及流行趋势的架构设计-从核心到边缘的三层交换减轻了核心三层交换机的负荷,位于接入层单一IP地址管理的堆叠组内的交换机内不同VLAN之间的路由将直接处理转发,不再象以前设计的那样需要把全部路由集中到核心三层交换机来处理, 增强了整体网络的处理性能,
30、也分担了在核心交换机的路由信息交换和查询的所需的性能开销.同时分布式三层架构设计,使整个网络更具有管理的智能性,强劲的核心交换机GSM73xxS到边缘三层FSM73xxS交换机都包含了多种路由协议,如基于端口和VLAN的路由,静态/动态/等价路由,丰富的管理控制机制等;同时特殊的应用也能得到整个网络的端到端的Qos服务保证,这是三层核心加简单二层接入设计网络所不能实现的。另外,全新的基于LPM硬件的路由转发方式不仅适用于大型网络环境,也保障所有数据包的从核心到边缘无阻塞的线速转发性能-分布式架构的第二/三层线速交换;使的与传统架构采用高昂费用,“头大脚轻”的高端三层核心交换机设计的网络相比,价
31、格更经济,整体性能更优化.全网三层的网络体系架构是下一代网络支持多业务的保证,它为你的投资提供最好的保障。2先进的堆叠技术,确保最强的网络性能强劲的24Gbps堆叠背板,将最大8台GSM73xxS的交换机融为一体。仅与核心机箱式交换机不同的时,将那些机箱模块变为了固定端口的交换机。堆叠后的交换机之间通过24Gbps的背板堆叠总线进行传输,而具有冗余连接的特性(注:市场上大多支持万兆的机箱式交换机,机箱里的插槽模块之间传输的背板总线带宽为24Gbps)。堆叠后最大可提供384个10/100/1000Mbps端口或者是320个10/100/ 1000Mbps端口,64个1000Base SFP G
32、BIC端口;外加16个10G端口用于上连万兆核心交换机。GSM73xxS交换机可以单独作为核心或作为万兆汇聚连接核心交换机,多台堆叠后的交换机可通过单一的IP地址,在一个界面里就可以直接配置和升级整个堆叠组的交换机。简单,容易的配置和管理。(GSM73xxS堆叠连接示意图)无需增加任何成本, 目前业界最优秀的真正堆叠技术-FSM73xxS系列交换机前面板的千兆以太网端口实现方便的堆叠, 无需要专门的堆叠线缆,只需使用5类以上的以太网双绞线或光纤连接;不用作任何配置就能自动形成堆叠,环形堆叠技术以确保整个堆叠的高可靠性,且所有堆叠连线均可传输数据流量;提供了适合你的成长型的企业网络所需的扩展性和
33、高密度,大规模的边缘桌面接入. 堆叠后的下一代安全交换机可实现单一IP地址管理。整个堆叠组交换机可作为一台三层交换机进行路由和二/三层的包转发. FSM73xxS系列交换机可混合堆叠,最多可堆叠8台设备,最大可提供384个10/100Mbps端口,16个10/100/1000Mbps或16个1000Base SFP GBIC端口。(FSM73xxS交换机堆叠连接图示,见下图)另外,GSM73xxS和FSM73xxS系列交换机,堆叠后均可以支持跨堆叠的链路聚合(LACP)和跨堆叠的端口镜象技术;此方案设计中的核心交换机GSM73xxS与边缘FSM73xxS堆叠组交换机之间的的两根主干连接捆绑后,
34、可提供高打4Gbps的连接带宽,并且是冗余备份连接和数据传输负载分担的。另外,从核心交换机到边缘交换机网络结构清晰,简单、可靠、无阻塞和线速。3全局的网络安全控制策略随着近年来局域网络所面临着日益增多的黑客攻击,非法接入,”蠕虫”病毒攻击等等令人头疼的问题和安全隐患.特别是那些没有专门IT网管的成长型的商业/企业网络,不安全的和不稳定的网络将会严重影响整个商业/企业的业务开展. 全新设计的“下一代安全交换机”是迎合未来和现在商业/企业网络所需和所关注的和所面临问题的最佳解决方案的理想产品.那么目前商业/企业主要面临了几个方面安全相关的问题:首先,设备管理安全性-般来讲,许多用户对于网络设备的安
35、全最简单的印象和概念是需要去修改设备的管理员帐号和口令,对于这些管理上的简单常识问题是容易解决的.而现在,对于一些大/中/小型应用及网络结构复杂的网络中,由于在前期网络建设过程中,从核心到边缘接入层的大多数设备本身就不具备实现安全保护的功能特性.比如在大型企业,园区和校园网络里,这将会是非常的麻烦和辣手的,因为你的网络将要随时面临着恶意/非恶意的人使用从互联网上免费下载的攻击和扫描工具来干扰你的网络设备的正常使用,比如“中间人”攻击,非法进入交换机管理界面,窃取交换机用户名/密码/管理IP地址等等,信息侦听探测,窃取修改管理数据,出厂恢复你交换机的配置等等.其次,设备抗攻击性我们还清晰的记得前
36、两年”蠕虫”猖狂泛滥的季节, 比如Code red worm, My-SQL server worm, w32/blaster worm 等蠕虫病毒的攻击让你的网络完全处于瘫痪状态,电脑就象被交换机完全屏蔽掉而无法工作.除此之外,还有各种各样的拒绝式DoS和DDoS攻击,这些攻击都能大量消耗网络交换机的CPU资源,堵塞你数据传输的带宽.第三,接入安全性对于大/中型企业/网络, IT网管人员是无法确定哪些是合法使用网络的用户,哪些是非法的PC接入,对于那些没有任何控制能力的有线网络设备,使的商业/企业网络能轻易的让非法享用或盗取网络资源.因此我们在此次方案设计中所推荐的GSM73xxS和FSM7
37、3xxS交换机,都是可为成长型的大、中、小型商业/企业构建一套行之有效,而且可靠,实用的安全网络解决方案。当然,也包括那些已建设有内部网络,只需进行简单改造升级即可实现“全面安全”的网络。这两个系列的”下一代安全”交换机都是可以提供全局的访问控制策略的配置,可基于IP地址,源/目的地址,端口,协议等.ACL和QoS的增强特性可以提供基于应用流的流量限制.基于硬件芯片设计的下一代接入层安全工作组交换机, 设计将服务质量(QoS)、速率限制(Rating Limiting)、多层访问控制列表(ACL),防DoS攻击以及用户访问认证(802.1x)等功能都集成到硬件芯片上, 智能特性不会影响到基本二
38、层、三层的线速转发性能 .下一代全网管安全系列交换机强大的交换机硬件体系结构的设计对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力,有效保证了设备和网络系统的安全。同时,下一代全网管安全交换机GSM73xxS和FSM73xxS系列支持完整的 802.1x + Radius network login 功能,配合NETGEAR在中国的 802.1x 客户端软件及Radius Server 软件,可实现用户名与 客户端IP地址,客户端MAC地址,所接交换机的管理IP地址(NAS IP Address),交换机端口及端口VLAN ID 的灵活绑定.为接入端提供了安全,灵活的身份验证和控制手段.
39、我们在中国的 802.1x 客户端软件及Radius Server 软件是具有完全的计费功能的.另外, 下一代全网管安全系列交换机还具备交换机端口/MAC地址绑定和多种层次(L2/3/4)的ACL安全访问控制功能.GSM73xxS和FSM73xxS系列交换机通过Secure Sockets Layer (SSLv3)来安全WEB GUI图形化界面的配置, 通过Secured Shell (SSH )开安全远程的命令行配置,通过SNMPv3来安全网管系统的安全.这些手段可以防止来自于“中间人”攻击,非法进入交换机管理,窃取交换机用户名/密码/管理IP地址等等,信息侦听探测,窃取修改管理数据,以实
40、现局域网络的安全管理.4. 丰富的QoS策略方案中配置的交换机全都是具有功能强大的DifferServ服务质量控制功能, 可以支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类, 可以提供灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)模式,支持8个优先级队列,支持WRED拥塞避免算法。另外,通过支持CAR(Committed Access Rate)功能,可以实现基于流的速率限制.通过基于物理端口的速率限制,为网络带宽的精细化的管理提供了手段5. 显著
41、的价值具有非常诱惑的方案设计,强大的三层/二层交换机的功能。可靠,安全的预设计,减少了维护和管理的需求,使用NETEGAR交换机的解决方案可为你获得高的投资回报,并且提供了理想的高可靠,安全的、集合语音,视频和数据传输的网络体系。3.3、NETGEAR网络关键技术介绍3.3.1 802.3ad链路聚合控制(LACP)技术一般而言,链路聚合技术也称为主干链路捆绑技术(Trunking),我们可将交换机的几个端口通过设置让它们聚合在一起,就象虚拟成了一个端口一样。这样可以使交换机之间或交换机和服务器之间形成可靠的连接,并且连接带宽Nx2倍(全双工). 从逻辑链路上看,它是一个整体,内部的组成,并且
42、传输的数据对上层服务透明. 聚合内部的几根物理链路可以共同完成数据传输并互为备份。单个传输链路中断不会影响其他链路的传输IEEE 802.3ad 是执行链路聚合的标准方法.而IEEE 802.3ad的使用需要交换机或服务器网卡的支持。链路聚合的工作方式在不同厂商的技术中有多种实现方式,包括了象比如常见的Trunking 协议,Cisco Fast Ethernet Channel(FEC)协议等等,都是可以让该交换机通过配置来哪些端口是属于同一个聚合内。链路聚合控制协议(Link Aggregation Control Protocol)是IEEE 802.3ad标准的主要内容之一,它定义了一
43、种标准的聚合控制方式。使用 IEEE 802.3ad“链路聚合控制”(LACP)的优势在于它在交换机中自动创建链路聚合,而且它允许您使用支持 IEEE 802.3ad 标准的其他厂商的链路聚合技术.在IEEE 802.3ad 标准中,“链路聚合控制协议”(LACP)自动通知交换机应该聚集哪些端口。IEEE 802.3ad 聚合配置之后,链路聚合控制协议数据单元(LACPDU)就会在服务器和交换机或者是交换机与交换机之间进行交换。聚合的双方设备通过协议交互聚合信息,根据双方的参数和状态,自动将匹配的链路聚合在一起收发数据。聚合形成后,交换设备维护聚合链路状态,当双方配置变化时,自动调整或解散聚合
44、链路。LACP协议报文中的聚合信息包括本设备的配置参数和聚合状态等,报文发送方式分为事件触发和周期发送。当聚合状态或配置变化事件发生时,本系统通过发送协议报文通知对端自身的变化。聚合链路稳定工作时,系统定时交换当前状态以维护链路。协议报文不携带序列号,因此双方不检测和重发丢失的协议报文。需要指出的是,LACP协议并不等于链路聚合技术,而是IEEE802.3ad提供的一种链路聚合控制方式,具体实现中也可采用其它的聚合控制方式。另外值得关心的是,在做链路聚合的时候,建议聚合内的链路的线路速度最好相同(例如,全都为 100 Mbps 或 1 Gbps),最好都是全双工的。3.3.2 VRRP虚拟路由
45、冗余技术在TCP/IP网络中,为了保证一个主机能与其他子网内的网络设备(比如服务器)不间断的访问和传输,首先需要为该主机指定一个默认网关。而在网络中的路由设备上会设置各自不同的IP子网,并通过广播路由表的方式交换路由信息,常用的方式有两种:一种是使用最短路径优先(Open Shortest-Path First,简称OSPF)协议和路由信息协议(Routing Information Protocol,简称RIP)。动态路由协议能够绕过任意网络中的故障点来选择到达目的子网网关的最佳路径,但动态路由协议对于网络设备的处理开销较大,且路由表收敛工程慢。另外一种是采用静态配置的默认网关来减少处理开销
46、。但是,使用默认网关的风险是使用缺省网络的路由器成了单一的故障点,即如果该路由器发生故障,所有使用该网关作为下一跳主机的通信必然要中断。为此,Internet工程任务组(Internet Engineering Task Force,简称IETF)制定了虚拟路由器冗余协议(VRRP, RFC2338),应用于作为静态配置默认网关上的第三层交换机和路由器,为依赖于默认网关进行广域网接入或访问其他局域网的终端系统提供更快、更有效的冗余容错能力。 VRRP协议将系统中多台三层交换机或者路由器组成VRRP组,该组中拥有一个虚拟默认网关地址。但在任何时刻,一个组内只有控制虚拟网关地址的路由器是活动路由器
47、(Master),由它来转发数据包。如果活动路由器发生了故障,它将选择一个优先权最高的冗余备份路由器(Backup)来替代活动路由器。由于网络内的主机配置了VRRP虚拟网关地址,发生故障时,虚拟路由器没有改变,主机仍然保持连接,网络将不会受到单点故障的影响,这样就较好地解决了网络中路由器切换的问题。那么,对于一个虚拟路由器,我们还需要确定如何选举主虚拟路由器。1根据路由器配置的优先级的大小,优先级最大的为主虚拟路由器,指定状态为Master,若优先级相同,则比较路由器接口的IP地址,IP地址大的就成为主虚拟路由器,由主虚拟路由器为主机提供实际的路由转发服务。 2在一个虚拟路由器中的其它路由器(除主虚拟路由器之外)作为备份虚拟路由器,随时监测主虚拟路由器的状态。当主路由器正常工作时,它会每隔
