NETGEAR高速交换网解决方案.doc

上传人:仙人指路1688 文档编号:4142824 上传时间:2023-04-07 格式:DOC 页数:51 大小:1.75MB
返回 下载 相关 举报
NETGEAR高速交换网解决方案.doc_第1页
第1页 / 共51页
NETGEAR高速交换网解决方案.doc_第2页
第2页 / 共51页
NETGEAR高速交换网解决方案.doc_第3页
第3页 / 共51页
NETGEAR高速交换网解决方案.doc_第4页
第4页 / 共51页
NETGEAR高速交换网解决方案.doc_第5页
第5页 / 共51页
点击查看更多>>
资源描述

《NETGEAR高速交换网解决方案.doc》由会员分享,可在线阅读,更多相关《NETGEAR高速交换网解决方案.doc(51页珍藏版)》请在三一办公上搜索。

1、NETGEAR高速交换网解决方案陕西XX科技发展有限公司2011年3月目 录第一章 概述3第二章 用户需求32.1、用户概述32.2、用户网络建设需求分析32.3、网络建设设计依据3NETGEAR高速以太网网络方案设计53.1、NETGEAR网络连接拓扑图53.2 NETGEAR网络解决方案63.2、NETGEAR网络解决方案的优势93.3、NETGEAR网络关键技术介绍123.3.1 802.3ad链路聚合控制(LACP)技术133.3.2 VRRP虚拟路由冗余技术143.3.3 QoS策略和控制机制173.3.4 访问控制安全机制213.3.5 万兆(10G)以太网技术273.3.6 IP

2、v6技术313.4、NETGEAR网络方案的主要特点32第四章 技术支持和售后服务保证33第五章 相关产品介绍355.1 ProSafe GSM7328FS 24光纤端口分布式万兆中心交换机355.2 ProSafe 48端口10/100M4千兆端口增强型智能交换机415.3 ProSafe 24端口10/100M4千兆端口增强型智能交换机455.4 ProSafe 网管软件-NMS10050第一章 概述第二章 用户需求2.1、用户概述2.2、用户网络建设需求分析2.3、网络建设设计依据随着网络新技术的不断出现,企业信息化建设的进程也呈现了日新月异的飞速发展,基于网络的各类应用也越来越多,网络

3、的高速传输,高带宽,稳定性和安全性的已被企业所关注.为此,建设一个能满足企业业务的要求,并能切合实际适应企业业务和用户群的需求特点,是我们此次网络方案设计和建设的主要目的.根据用户网络工程具体的技术要求,参照典型企业大楼网的设计模式及原则,以采用先进成熟性技术手段为设计思路,充分发挥NETGEAR公司产品技术优势,结合最新网络技术发展,我们将设计以千兆位以太网交换技术为骨干,百兆到桌面的网络工程解决方案。在总体设计理念上,网络建设的设计应以下要求:(1)、设备的先进性与成熟性当今世界,通信技术和计算机技术的发展日新月异。本方案适应新技术发展的潮流,既兼顾了技术上的成熟性,同时也保证了系统的先进

4、性。(2)、系统的开放性系统在设计时均采用国际标准协议。网络管理基于SNMPv1,SNMPv2c以及SNMPv3,并支持RMON和RMON2。(3)、性能可扩展性所有设备均可满足用户的目前大数据量和性能需求,又能轻易扩展以保障用户将来直接的平滑升级至10G主干和支持IPv6。(4)、高性能采用高性能的Layer2和Layer3交换机以及高性能路由器,提供线速交换和路由。采用线路捆绑和高帶寬骨干链路以及负载分担技术,保证整个网络负载均衡,不存在瓶颈。(5)、能满足多业务处理针对企业多样性和复杂性的网络应用,方案能满足目前和若干年后的应用需求.针对这些需求可实现网络的流量控制、带宽分配、安全控制、

5、语音和视频的应用支持等等,可进行深层次的全局管理和控制。实现线速网络多层交换,特别是对ACL等处理后保持较高转发速率。将来随着业务的发展,可轻易的将网络升级支持至万兆主干和IPv6。(6)、安全性、可靠性设计方案不但要保证理论上可行,更重要的是实际上可用。要充分考虑具体情况,充分满足网络需求。为了使网络可靠地运行,本方案选用了高品质、高性能价格比的产品,把故障率降到最低。同时,我们采用了系统堆叠容错技术,当网络系统内某一点出现故障时,整个系统仍然能够继续运行而不会造成停机,从而把损失降到最小。(7)、一体化的网络管理随着网络规模的扩大和系统复杂程度的增加,网络管理和故障排除就变得越来越困难。本

6、方案将提供先进而完善的网络管理工具,包括设备级的管理和应用级的管理。(8)、从实际出发本着从实际情况出发,采用先进的网络技术,建立一个高速、宽带、扩充性能良好的计算机网络系统。 NETGEAR高速以太网网络方案设计3.1、NETGEAR网络连接拓扑图 如下图示,本方案总体的网络设计,将采用三级层次结构:核心交换机、汇聚层交换机和工作组接入交换。整个网络采用路由热备技术,主干链路采用双链路设计,是企业网络最具投资保护的下一代网络基础架构,是充分支持下一代网络数据,话音以及视频集成的多业务网络。网络中心:网络交换核心共配置二台NETGEAR公司GSM7328FS分布式万兆以太网中心交换机,二台万兆

7、核心交换机采用VRRP路由热备方式工作。向汇聚层交换机提供连接,其也负责连接网络的中心服务器以及对外出口听防火墙设备,总体负责整个网络中所有客户端与应用服务器或互联网之间的数据交换。汇聚层接入交换局机:在配线间配置NETGEAR公司千兆全网管交换机GS7212,向接入层交换机提供1000Mbps二层数据连接 、 ,向上通过双链路千兆连接2台中心交换机。接入层接入交换机:接入层交换机采用FS752TS智能堆叠交换机,接入层交换机采用千兆连接到汇聚层交换机,向最终客户提供10/100M以太网连接。3.2 NETGEAR网络解决方案1)核心交换机根据网络中心的设计原则,以提高核心设备的高速、可靠性、

8、可用性为目标,结合用户的具体要求,中心设计采用二台NETGEAR公司的企业级GSM7328FS分布式万兆中心交换机,向下通过千兆光纤连接汇聚/接入层交换机。本方案中,网络中心采用二台堆叠的GSM7352FS交换机形成高性能高可靠的千兆网络中心。2)汇聚层交换机对于汇聚层的设计,我们以整体网络高速性能、可靠、可扩展、高密度接入为设计目标.我们将采用支持灵活物理连接的设计理念,即同时支持多个光纤及UTP接口的设备GSM7212,同时为了有效的提供网络冗余特性,我们采用双链路上联方式接入到网络核心。有效的提供网络健壮性,提高网络设备利用效率。 3)接入层交换机 接入层交换机直接连接用户,所以接入层交

9、换机应该能支持丰富的安全特性。应该支持MAC地址端口绑定,端口限速,广播风暴控制等功能。在本方案中我们推荐采用Netgear增强型智能交换机FS752TS。4) 链路主干连接说明:网络核心的二台企业级GSM7328FS分布式万兆交换机,通过双链路千兆光纤和汇聚层交换机GSM7212连接,形成冗标准星型拓扑网络。在网络中心的分布式万兆交换机与汇聚层交换机之间的连接,可以采用双链路聚合的方式。汇聚交换机可以采用2条1000M链路并行上联到核心万兆交换机。采用NETGEAR称为路由热备(VRRP)技术,逻辑上交换机视2个万兆核心交换机为一台交换机,2条物理链路分别连接到网络核心,正常工作时候,两个核

10、心交换机各负责网络一半的流量,在任何一台核心交换机出现故障后,另外一台交换机会自动接管全部网络流量。这样就实现了正常工作时,核心交换机负载均衡,在核心交换机出现故障时,能起到备份作用。如下图所示:VRRP将局域网的一组路由器,如图中的SW-1和SW-2 组织成一个虚拟的路由器。这个虚拟的路由器拥有自己的IP地址192.168.0.3,称为路由器的虚拟IP地址。同时,物理路由器SW-1 ,SW-2也有自己的IP地址(如SW-1的IP地址为192.168.0.1,SW-2的IP地址为192.168.0.2)。局域网内的主机仅仅知道这个虚拟路由器的IP地址192.168.0.3,而并不知道备份组内具

11、体路由器的IP地址。在配置时,将局域网主机的默认网关设置为该虚拟路由器的IP地址192.168.0.3。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信,实际的数据处理由备份组内Master路由器执行。如果备份组内的Master路由器出现故障时,备份组内的其它Backup路由器将会接替成为新的Master,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。VRRP通过多台路由器实现冗余,任何时候只有一台路由器为主路由器,其他的为备份路由器。路由器间的切换对用户是完全透明的,用户不必关心具体过程,只要把缺省路由器设为虚拟路由器的IP地址即可。 通过VRR

12、P技术还可以实现核心网络设备负载均衡,例如SW-1在vlan 1,3,5中为主路由,在vlan2,4,6中为备份路由。而SW-2在vlan2,4,6中为主路由,在vlan1,3,5中为备份路由。这样就可以实现正常工作时候SW-1转发vlan1,3,5的数据流量,SW-2转发vlan2,4,6的数据流量。如果任意一台核心交换机发生故障,另外一台交换机会接管它,并继续提供网络服务。这种不间断的网络服务对于大中型网络是至关重要的。5) 网络管理NMS100为了更好的便于集中管理,我们在方案中配置了一套NETGEAR ProSafe NMS100网管平台进行管理.NETGEAR NMS100可管理NE

13、TGEAR所有的可网管以太网交换机,无线AP和防火墙产品,基于标准的网络管理平台可兼容和管理包括第三方网络设备.NETGEAR NMS100可提供基于SNMP V1、V2和V3的网管接口,最大支持1000个网络设备,同时也为整个企业的网络设备提供了统一的支持,支持802.11标准的MIB库。NETGEAR网管软件NMS100提供了整个网络所有的节点的分布图(通过自动发现功能)。从屏幕上,IT管理员可以直接对包括NETGEAR可网管设备在内的网络设备进行参数设置,比如基于整个网络范围,组或单独节点的安全性设置,设备升级,配置保存等等。该屏幕同时提供了快速浏览细节的功能,比如网络设备的健康状态,性

14、能分析,日志记录等。IT管理员也可以点击任意节点并调整管理员模式,比如节点的性能状态,参数设置等等。下图所示为借助NETGEAR网络管理软件NMS100形成的网络结构图.具体的NMS100网管平台的技术特性参见后章节网络产品介绍3.2、NETGEAR网络解决方案的优势1. 高速的万兆的三层交换架构高速的万兆三层交换赋予了你的成长型商业/企业网络所需要的最大的吞吐量和灵活性-这全新及流行趋势的架构设计-有效的提高了网络数据的传输效率。同时高速的万兆三层架构设计,使整个网络更具有管理的智能性,强劲的核心交换机GSM73xxS支持多种由协议,如基于端口和VLAN的路由,静态/动态/等价路由,丰富的管

15、理控制机制等。边缘智能FS752TS交换机具有极高的性能价格比,能够以低廉的价格提供高效的网络服务。另外,全新的基于LPM硬件的路由转发方式不仅适用于大型网络环境,也保障所有数据包的从核心到边缘无阻塞的线速转发性能-分布式架构的第二/三层线速交换; 2先进的堆叠技术,确保最强的网络性能GSM7328FS具有强劲的144Gbps背板,支持双向堆叠,最大支持8台GSM73xxS的交换机融为一体。仅与核心机箱式交换机不同的是,将那些机箱模块变为了固定端口的交换机。堆叠后的交换机之间通过24Gbps的背板堆叠总线进行传输,而具有冗余连接的特性(注:市场上大多支持万兆的机箱式交换机,机箱里的插槽模块之间

16、传输的背板总线带宽为24Gbps)。堆叠后最大可提供192个千兆端口,16个10G端口。GSM73xxS交换机可以单独作为核心或作为万兆汇聚连接核心交换机,多台堆叠后的交换机可通过单一的IP地址,在一个界面里就可以直接配置和升级整个堆叠组的交换机。简单,容易的配置和管理。(GSM73xxS堆叠连接示意图)另外,GSM73xxS系列交换机,堆叠后均可以支持跨堆叠的链路聚合(LACP)和跨堆叠的端口镜象技术;此方案设计中的核心交换机GSM73xxS与汇聚层交换机GSM7212智能交换机之间采用双链路互联,可提供高达4Gbps的连接带宽,并且是冗余备份连接和数据传输负载分担的。另外,从核心交换机到边

17、缘交换机网络结构清晰,简单、可靠、无阻塞和线速。3全局的网络安全控制策略随着近年来局域网络所面临着日益增多的黑客攻击,非法接入,”蠕虫”病毒攻击等等令人头疼的问题和安全隐患.特别是那些没有专门IT网管的成长型的商业/企业网络,不安全的和不稳定的网络将会严重影响整个商业/企业的业务开展. 全新设计的“下一代安全交换机”是迎合未来和现在商业/企业网络所需和所关注的和所面临问题的最佳解决方案的理想产品.那么目前商业/企业主要面临了几个方面安全相关的问题:首先,设备管理安全性-般来讲,许多用户对于网络设备的安全最简单的印象和概念是需要去修改设备的管理员帐号和口令,对于这些管理上的简单常识问题是容易解决

18、的.而现在,对于一些大/中/小型应用及网络结构复杂的网络中,由于在前期网络建设过程中,从核心到边缘接入层的大多数设备本身就不具备实现安全保护的功能特性.比如在大型企业,园区和校园网络里,这将会是非常的麻烦和辣手的,因为你的网络将要随时面临着恶意/非恶意的人使用从互联网上免费下载的攻击和扫描工具来干扰你的网络设备的正常使用,比如“中间人”攻击,非法进入交换机管理界面,窃取交换机用户名/密码/管理IP地址等等,信息侦听探测,窃取修改管理数据,出厂恢复你交换机的配置等等.其次,设备抗攻击性我们还清晰的记得前两年”蠕虫”猖狂泛滥的季节, 比如Code red worm, My-SQL server w

19、orm, w32/blaster worm 等蠕虫病毒的攻击让你的网络完全处于瘫痪状态,电脑就象被交换机完全屏蔽掉而无法工作.除此之外,还有各种各样的拒绝式DoS和DDoS攻击,这些攻击都能大量消耗网络交换机的CPU资源,堵塞你数据传输的带宽.第三,接入安全性对于大/中型企业/网络, IT网管人员是无法确定哪些是合法使用网络的用户,哪些是非法的PC接入,对于那些没有任何控制能力的有线网络设备,使的商业/企业网络能轻易的让非法享用或盗取网络资源.因此我们在此次方案设计中所推荐的交换机,都是可为成长型的大、中、小型商业/企业构建一套行之有效,而且可靠,实用的安全网络解决方案。当然,也包括那些已建设

20、有内部网络,只需进行简单改造升级即可实现“全面安全”的网络。这两个系列的”下一代安全”交换机都是可以提供全局的访问控制策略的配置,可基于IP地址,源/目的地址,端口,协议等.ACL和QoS的增强特性可以提供基于应用流的流量限制.基于硬件芯片设计的下一代接入层安全工作组交换机, 设计将服务质量(QoS)、速率限制(Rating Limiting)、多层访问控制列表(ACL),防DoS攻击以及用户访问认证(802.1x)等功能都集成到硬件芯片上, 智能特性不会影响到基本二层、三层的线速转发性能 .下一代全网管安全系列交换机强大的交换机硬件体系结构的设计对“红码病毒”和“冲击波病毒”的攻击具有天生的

21、防御能力,有效保证了设备和网络系统的安全。同时,下一代全网管安全交换机GSM73xxS和FS7xxTS系列支持完整的 802.1x + Radius network login 功能,配合NETGEAR在中国的 802.1x 客户端软件及Radius Server 软件,可实现用户名与 客户端IP地址,客户端MAC地址,所接交换机的管理IP地址(NAS IP Address),交换机端口及端口VLAN ID 的灵活绑定.为接入端提供了安全,灵活的身份验证和控制手段.我们在中国的 802.1x 客户端软件及Radius Server 软件是具有完全的计费功能的.另外, 下一代全网管安全系列交换机

22、还具备交换机端口/MAC地址绑定和多种层次(L2/3/4)的ACL安全访问控制功能.GSM73xxS和FS7xxTS系列交换机通过Secure Sockets Layer (SSLv3)来安全WEB GUI图形化界面的配置, 通过Secured Shell (SSH )开安全远程的命令行配置,通过SNMPv3来安全网管系统的安全.这些手段可以防止来自于“中间人”攻击,非法进入交换机管理,窃取交换机用户名/密码/管理IP地址等等,信息侦听探测,窃取修改管理数据,以实现局域网络的安全管理.4. 丰富的QoS策略方案中配置的交换机全都是具有功能强大的DifferServ服务质量控制功能, 可以支持基

23、于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类, 可以提供灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)模式,支持8个优先级队列,支持WRED拥塞避免算法。另外,通过支持CAR(Committed Access Rate)功能,可以实现基于流的速率限制.通过基于物理端口的速率限制,为网络带宽的精细化的管理提供了手段5. 显著的价值具有非常诱惑的方案设计,强大的三层/二层交换机的功能。可靠,安全的预设计,减少了维护和管理的需求,使用NETEGAR交换机的解

24、决方案可为你获得高的投资回报,并且提供了理想的高可靠,安全的、集合语音,视频和数据传输的网络体系。3.3、NETGEAR网络关键技术介绍3.3.1 802.3ad链路聚合控制(LACP)技术一般而言,链路聚合技术也称为主干链路捆绑技术(Trunking),我们可将交换机的几个端口通过设置让它们聚合在一起,就象虚拟成了一个端口一样。这样可以使交换机之间或交换机和服务器之间形成可靠的连接,并且连接带宽Nx2倍(全双工). 从逻辑链路上看,它是一个整体,内部的组成,并且传输的数据对上层服务透明. 聚合内部的几根物理链路可以共同完成数据传输并互为备份。单个传输链路中断不会影响其他链路的传输IEEE 8

25、02.3ad 是执行链路聚合的标准方法.而IEEE 802.3ad的使用需要交换机或服务器网卡的支持。链路聚合的工作方式在不同厂商的技术中有多种实现方式,包括了象比如常见的Trunking 协议,Cisco Fast Ethernet Channel(FEC)协议等等,都是可以让该交换机通过配置来哪些端口是属于同一个聚合内。链路聚合控制协议(Link Aggregation Control Protocol)是IEEE 802.3ad标准的主要内容之一,它定义了一种标准的聚合控制方式。使用 IEEE 802.3ad“链路聚合控制”(LACP)的优势在于它在交换机中自动创建链路聚合,而且它允许您

26、使用支持 IEEE 802.3ad 标准的其他厂商的链路聚合技术.在IEEE 802.3ad 标准中,“链路聚合控制协议”(LACP)自动通知交换机应该聚集哪些端口。IEEE 802.3ad 聚合配置之后,链路聚合控制协议数据单元(LACPDU)就会在服务器和交换机或者是交换机与交换机之间进行交换。聚合的双方设备通过协议交互聚合信息,根据双方的参数和状态,自动将匹配的链路聚合在一起收发数据。聚合形成后,交换设备维护聚合链路状态,当双方配置变化时,自动调整或解散聚合链路。LACP协议报文中的聚合信息包括本设备的配置参数和聚合状态等,报文发送方式分为事件触发和周期发送。当聚合状态或配置变化事件发生

27、时,本系统通过发送协议报文通知对端自身的变化。聚合链路稳定工作时,系统定时交换当前状态以维护链路。协议报文不携带序列号,因此双方不检测和重发丢失的协议报文。需要指出的是,LACP协议并不等于链路聚合技术,而是IEEE802.3ad提供的一种链路聚合控制方式,具体实现中也可采用其它的聚合控制方式。另外值得关心的是,在做链路聚合的时候,建议聚合内的链路的线路速度最好相同(例如,全都为 100 Mbps 或 1 Gbps),最好都是全双工的。我们建议本项目中接入层交换机和汇聚层交换机采用双链路聚合技术,提供高带宽及链路冗余功能。3.3.2 VRRP虚拟路由冗余技术在TCP/IP网络中,为了保证一个主

28、机能与其他子网内的网络设备(比如服务器)不间断的访问和传输,首先需要为该主机指定一个默认网关。而在网络中的路由设备上会设置各自不同的IP子网,并通过广播路由表的方式交换路由信息,常用的方式有两种:一种是使用最短路径优先(Open Shortest-Path First,简称OSPF)协议和路由信息协议(Routing Information Protocol,简称RIP)。动态路由协议能够绕过任意网络中的故障点来选择到达目的子网网关的最佳路径,但动态路由协议对于网络设备的处理开销较大,且路由表收敛工程慢。另外一种是采用静态配置的默认网关来减少处理开销。但是,使用默认网关的风险是使用缺省网络的路

29、由器成了单一的故障点,即如果该路由器发生故障,所有使用该网关作为下一跳主机的通信必然要中断。为此,Internet工程任务组(Internet Engineering Task Force,简称IETF)制定了虚拟路由器冗余协议(VRRP, RFC2338),应用于作为静态配置默认网关上的第三层交换机和路由器,为依赖于默认网关进行广域网接入或访问其他局域网的终端系统提供更快、更有效的冗余容错能力。 VRRP协议将系统中多台三层交换机或者路由器组成VRRP组,该组中拥有一个虚拟默认网关地址。但在任何时刻,一个组内只有控制虚拟网关地址的路由器是活动路由器(Master),由它来转发数据包。如果活动

30、路由器发生了故障,它将选择一个优先权最高的冗余备份路由器(Backup)来替代活动路由器。由于网络内的主机配置了VRRP虚拟网关地址,发生故障时,虚拟路由器没有改变,主机仍然保持连接,网络将不会受到单点故障的影响,这样就较好地解决了网络中路由器切换的问题。那么,对于一个虚拟路由器,我们还需要确定如何选举主虚拟路由器。1根据路由器配置的优先级的大小,优先级最大的为主虚拟路由器,指定状态为Master,若优先级相同,则比较路由器接口的IP地址,IP地址大的就成为主虚拟路由器,由主虚拟路由器为主机提供实际的路由转发服务。 2在一个虚拟路由器中的其它路由器(除主虚拟路由器之外)作为备份虚拟路由器,随时

31、监测主虚拟路由器的状态。当主路由器正常工作时,它会每隔一段时间发送一个VRRP组播报文,以通知其它的备份路由器,主虚拟路由器处于正常工作状态。如果备份虚拟路由器长时间没有接收到来自主虚拟路由器的报文,则将自己状态转为Master。当在一个虚拟路由器中有多个备份虚拟路由器时,将有可能产生多个主虚拟路由器。这时每一个主虚拟路由器就会比较VRRP报文中的优先级和自己本地的优先级,如果本地的优先级小于VRRP报文中的优先级,则将自己的状态转为Backup,否则保持自己的状态不变。通过这样一个过程,就会将优先级最大的路由器选成新的主虚拟路由器。 虚拟路由器的状态 VRRP 协议定义了虚拟路由器可以处于三

32、种状态的其中一种,这三种状态Initialize、 Master 和 Backup。 1. Initialize 初始状态 :系统启动后进入此状态,当收路由器到端口startup的消息,将转入Backup(优先级不为255时)或Master状态(优先级为255时)。在此状态时,路由器不会对VRRP报文做任何处理。 2Master 主控状态:当主虚拟路由器处于Master状态时,它可以做以下工作: 1) 定期发送VRRP报文给其它备份虚拟路由器; 2) 发送免费(gratuitous)ARP报文,以使网络内各主机知道虚拟IP地址所对应的虚拟MAC地址; 3) 响应对虚拟IP地址的ARP请求,并且

33、响应的是虚拟MAC地址,而不是路由器端口的真实MAC地址; 4) 转发目的MAC地址为虚拟MAC地址的IP报文;同样转发目的IP地址为虚拟IP地址的IP报文。 5) 在Master状态中只有接收到比自己的优先级大的VRRP报文时,才会转为Backup,只有当接收到端口的Shutdown事件时才会转为Initialize。 3Backup 备份状态 备份虚拟路由器就是处于Backup状态,它可以做以下工作: 1) 接受主虚拟路由器(在Master状态下)的VRRP报文,从而了解主虚拟路由器的状态;2) 不会响应虚拟IP地址的ARP请求; 3) 丢弃以虚拟IP地址和虚拟MAC为目的地址的IP报文。

34、 4) 只有当备份虚拟路由器接收到MASTER_DOWN这个定时器到时的事件时,才会转为Master 状态,成为主虚拟路由器;而当接收到比自己的优先级小的VRRP报文时,它只是做丢弃这个报文的处理,从而就不对定时器做重置处理。只有当接收到接口的Shutdown事件时才会转为Initialize。另外,VRRP协议比CISCO的HSRP的一个优势就是支持对VRRP报文的认证方式。在一个安全性要求不高的网络环境中,我们可以不考虑认证方式的配置,路由器不会对发送的VRRP报文做认证处理,而接受VRRP报文的路由器也不会对VRRP做认证比较,就认为是一个合法的VRRP报文。但是,在一个有安全性要求的网

35、络环境中,可以对VRRP报文增加认证方式,路由器对发送VRRP报文增加认证字,而接受VRRP报文的路由器会将收到的VRRP报文的认证字与本地配置的认证字进行比较,若相同,就认为是一个合法的VRRP报文,进行处理;若不相同,则认为是一个不合法VRRP报文,就会丢弃.3.3.3 QoS策略和控制机制3.3.3.1 QoS服务质量队列技术Qos技术是能为网络中不同类型业务的数据流提供服务的能力,主要目的是提供资源带宽的控制,更有效的使用网络资源,控制抖动和传输延迟及丢包率(如实时多媒体应用,IP电话、VOD视频点播等),定制可控的服务和保证关键应用的传输. 如果仅是IP技术本身是只能提供“尽力(be

36、st-effort)”服务模式的,所以缺乏完善的QoS机制,就无法适应计算机及应用系统多样化的要求。如果仅靠增加网络带宽不能彻底解决问题,因为一方面带宽是不可能无限制增加的,另一方面带宽的增加是无法赶上应用系统的变化、用户的增加所给网络带来的巨大流量压力。解决IP网络QoS问题的关键在于网络如何通过各种智能手段参予对不同数据流、应用系统乃至用户对网络使用的管理,充分发挥网络的利用率,使有限的带宽发挥最大的作用。服务质量(QoS)基于端到端的服务级别可提供三个基本的级别:尽力的服务, 区分服务和确保服务.QoS旨在针对各种应用的不同需求,为其提供不同的服务质量,例如:提供专用带宽、减少报文丢失率

37、、降低报文传送时延及时延抖动等。为实现上述目的,QoS提供了下述功能:报文分类; 网络拥塞管理 ; 网络拥塞避免; 流量控制和流量整形; QoS信令协议等等.服务质量可以通过采用多种队列的管理工具来解决不同数据流的问题,比如:先进先出(FIFO)对列:网络拥塞是存储数据包,拥塞解除后,按数据包到达次序转发数据包优先级别队列(PQ):确保重要数据流得到最快处理,优先级别越高的数据有限处理.优先级队列可以根据网络协议,接口,数据包大小以及源/目的地址来赋予数据包的级别高低. 一般的网络设备PQ都可支持四个优先级别,依次为:高优先级,中等优先级,一般优先级和低优先级,而此方案中使用的交换机都是每端口

38、都可支持8个优先队列(0-7)的, IP优先级值有8个(0-7),0优先级最低,7优先级最高。在默认情况下,IP优先级6和7是用于网络控制通讯使用,不推荐用户使用. 如果交换机使用IPv6增强版本软件的话,可支持16个优先级对列. 16种优先级别中的9种用于非实时传输业务,其余的8种用于实时传输业务。但在IPv6协议中并没有严格规定IPv6路由设备应如何使用这一优先级区域 定制队列(CQ):用于确保一些重要应用的最小带宽或延迟需求.可对一些拥塞点上提供一定固定比例的带宽,其他带宽给其他应用使用. 我们可以设置各个轮选队列的发送的大小。例如:队列1发送1500字节后由队列2发送;队列2发送500

39、字节以后由队列3发送;队列3发送1000字节后由队列4发送。CQ最大可以支持16个轮选队列。当线路带宽比较充裕的时候,通过CQ可以实现动态的带宽分配。加权队列(WFQ):提供智能队列工具,可以确保队列得到带宽, 然后根据加权公平算法对各种业务流量进行公平调度。防止出现某一突发性大数据流将带宽全部占用的现象。这种队列机制配置方便。使数据流得到指定的服务,特别是当在高优先级别的队列中没有数据传输时,WFQ可以将带宽分配给低优先级的数据流使用.WFQ算法使每个传输中的数据流的吞吐量和响应时间变的可预知.3.3.3.2 Qos服务质量带宽控制 基于端口的速率限制 基于IP的速率限制 基于数据流的速率限

40、制 带宽控制技术提供了精确带宽使用策略,可向用户提供访问速度承诺(Committed Access Rate, CAR)。在输入端口,每个IP流都可以进行速度限制,基于数据流进行带宽分配。如果某个流超过了带宽限制,到达的数据包将被丢弃或赋予较低的优先级。流量控制可以基于第2层端口、数据流类以及单个第4层数据流,可以应用于不同的环境,为接入提供不同级别的访问速度控制。保证实时多媒体数据和关键任务数据的传输。3.3.3.3 QoS服务质量-DiffServ区分服务 DiffServ是IETF组织在1998年推出的基于DSCP的QoS解决方案,这是一种基于类的QoS技术,主要用于骨干网。使用Diff

41、Serv,在网络入口处根据服务要求对业务进行分类、流量控制,同时设置报文的DSCP域;在网络中根据实施好的QoS机制来区分每一类通信(依据分组的DSCP值),并为之服务(包括资源分配、队列调度、分组丢弃策略等,统称为PHB),DiffServ域中的所有节点都将根据分组的DSCP字段来遵守PHB。DiffServ通过将业务定义为有限的类,可以很好地解决扩展性的问题,同时,由于DiffServ很好地沿袭了IP本身的技术理念。相对而言,很容易在现有的IP网络及产品中实现。因此,目前商用网络中的QoS实现总体上基本都是基于DiffServ模型的。DiffServ是一个多服务模型,它可以满足不同的QoS

42、需求。与IntServ不同,它不需要使用RSVP(带宽预留技术),即应用程序在发出报文前,不需要通知路由设备为其预留资源。对DiffServ服务模型,网络不需要为每个流维护状态,它根据每个报文指定的QoS,来提供特定的服务。可以用不同的方法来指定报文的QoS,如IP报文的优先级位(IP Precedence),报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和队列调度。 通常在配置DiffServ时,在边界设备上通过报文的源地址和目的地址等对报文进行分类,对不同的报文设置不同的CoS值,而其他设备只需要用CoS值来进行报文的分类。DiffServ一般用来为一些重要

43、的应用提供端到端的QoS。它通过下列技术来现:CAR(允许的访问速率):它根据报文的ToS或CoS值(对于IP报文是指IP优先级或者DSCP,对于层MPLS报文是指EXP域等等)、IP报文的五元组等信息进行报文分类,完成报文的标记和流量监管。一般来讲,通过设置允许的访问速率(CAR)可以用于扩展访问分类表的优先级,这样就可以给应用程序和用户或源/目的子网赋予优先等级值,这一功能应尽可能的配置在网络的边缘接入交换机上,以便于后续的网络设备按预定的策略提供服务. 队列技术:通过WRED、PQ、CQ、WFQ、CBWFQ等队列技术对拥塞的报文进行缓存和调度,实现拥塞管理; 在DiffServ的服务中,

44、有拥塞管理和拥塞避免两种策略。拥塞管理策略一般应用于外出接口,根据需要将不同的业务流量按一定的顺序发送出去,来保证某些业务的正常运行。典型的拥塞管理策略有:WFQ(加权公平队列)、PQ(优先级队列)、CQ(可定制队列)等等。拥塞避免工具:WRED(加权公平早期检测):上谈到的几种队列调度机制都是对总数据队列中的数据进行分类,然后再进行调度。但是,当出现网络拥塞的时候,入口带宽往往是高于出口带宽的。在这样的情况下,总数据队列很快就会溢出。这个时候数据设备默认会对进入的数据包实施尾部丢弃,丢弃所有入站数据包直至总数据队列不再溢出为止。这样的尾部丢弃机制同样会对实时性业务产生影响。所以我们需要一种策

45、略来防止总数据队列的溢出,这就是拥塞避免策略。其中最常见的拥塞避免策略是WRED(加权公平早期检测)。WRED可以根据用户的需要,对不同的数据流设置不同的丢弃阀值。例如:当总队列达到50%时,开始丢弃级别最低的数据包;当总队列达到70%时,开始丢弃第二级别的数据包;当总队列达到90%时,开始丢弃第三级别的数据包;以次类推。通过丢弃低级别的数据包来避免总数据队列的溢出,保证高优先级的数据包始终能够进入数据总队列接受调度。从而保证高优先级业务的顺利展开。拥塞避免策略一般用于入站接口,防止因为线路拥塞而使数据中继设备的队列溢出。一般来说,根据实际情况,将拥塞避免策略和拥塞管理策略结合使用可以得到比较

46、好的效果。3.3.4 访问控制安全机制NETGEAR “下一代”安全系列交换机GSM73xxS和FSM73xxS提供了强劲的基于硬件的2/3/4层的访问控制列表,其ACL表项可自定义100条策略,每个策略可自定义22条规则,完全满足整个应用网络的需求,全新设计的,基于硬件处理的ACL功能启用后,不会对影响整个网络的交换的性能,保护路由处理。从已具有的IP包过滤技术来看,完全可以作为局域网内部的防火墙的角色功能。另外,利用ACL技术和Qos机制可有效控制和防止网络病毒的传播和非法的攻击.ProSafe GSM73xxS和FSM73xxS系列可以对用户进行基于用户的认证和授权,可支持完整的 802

47、.1x + Radius network login 功能,配合NETGEAR在中国的 802.1x 客户端软件及Radius Server 软件,可实现用户名与 客户端IP地址,客户端MAC地址,所接交换机的管理IP地址(NAS IP Address),交换机端口及端口VLAN ID 的灵活绑定.为接入端提供了安全,灵活的身份验证和控制手段.我们在中国的 802.1x 客户端软件及Radius Server 软件是具有完全的计费功能的.另外, 下一代全网管安全系列交换机还具备交换机端口/MAC地址绑定和多种层次(L2/3/4)的ACL安全访问控制功能.。其安全访问策略可以有限地抵制多种网络工

48、击,如DDOS、网络扫描等。3.3.4.1 用户端口隔离方法一:用802.1Q Vlan隔离。在边缘接入的以太网交换机上按端口划分Vlan,每个用户或用户组占用一个Vlan,802.1Q 用于标记VLAN公共端口,公共端口上的二层VLAN间相互不能直接通讯o。方法二:利用Port Vlan技术。在边缘接入的交换机上划分Port Vlan,使用户端口之间不能直接通信,用户端口只能和上连公共口通信.公共端口可以直接连接PC或服务器,或连接其他交换机.3.3.4.2 MAC地址与交换机端口绑定MAC地址与交换机端口绑定的功能大多数直接应用配置在网络边缘接入层交换机上. 此方案推荐的NETGEAR的ProSafe 全网管交换机都支持此功能。MAC地址和端口绑定的方式可分为静态绑定

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公文档 > 其他范文


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号