教育城域网技术方案建议书

《教育城域网技术方案建议书》由会员分享，可在线阅读，更多相关《教育城域网技术方案建议书（40页珍藏版）》请在装配图网上搜索。

1、XX 教育城域网 网络建设方案建议书 1 目 录 1 概述 .1 1.1 网络厂商的选择 .1 1.1.1 设备应用规模及稳定性、兼容性 .1 1.1.2 完善的研发体系和全系列的网络产品 .2 1.1.3 健全的服务支持和培训认证体系 .2 1.2 教育城域网建设背景 .3 1.3 XX 教育局城域网中心网络校园网建网需求分析 .4 1.3.1 一般建网需求 .4 1.3.2 XX 教育局城域网中心网络建网需求 .5 1.4 整体建网原则 .6 2 总体网络设计 .7 2.1 网络拓扑设计 .7 2.2 核心层设计 .8 2.3 汇聚层设计 .9 2.4 出口路由设计 .10 3 网络业务设

2、计 .10 3.1 路由设计 .10 3.1.1 路由协议选择及设计建议 .10 3.1.2 路由协议选择原则 .10 3.1.3 本网络路由协议的选择 .11 3.2 VLAN 的划分 .12 3.2.1 划分 VLAN 的必要性 .12 3.2.2 划分 VLAN 的方法 .13 3.2.3 VLAN 规划 .15 3.3 组播业务 .16 3.4 QOS 设计 .17 3.4.1 QoS 体系结构的选择 .18 3.4.2 QoS 的实现机制 .19 3.4.3 QoS 部署 .24 3.4.4 关键业务服务质量保证设计 .38 2 1 概述 1.1 网络厂商的选择 选择 H3C 公司的

3、依据： 1.1.1 设备应用规模及稳定性、兼容性 H3C 公司的网络产品目前已经广泛应用与全球的各个行业中，截至 2007 年 4 季度 H3C 公司在中国市场交换机的市场份额为 41，路由器为 30（数据来源于 CCID 2008 年 2 月） ，名列前茅。 目前 H3C 的全系列产品进入英国、德国、香港、俄罗斯、巴西、泰国、墨西哥 等六十六个国家和地区，并承建了中国电信、中国移动、英国、泰国、巴西等 14 个 国家级 IP 骨干网。 H3C 目前在国内的校园网建设中已经得到了大规模的应用，包 括 90以上“211”高校，1500 余所高校；80 教育城域网。在山东，H3C 承建 了绝大部分

4、的校园网，包括： 山东大学万兆校园网 山东师范大学万兆校园网 烟台大学万兆校园网 山东中医药大学万兆校园网 山东财政学院校园网 山东经济学院校园网 山东艺术学院新校区网络 济南大学校园网 济南劳动职业技术学院校园网 山东科技职业学院 中国海洋大学校园网 曲阜师范学院校园网 3 淄博职业学院校园网 潍坊医学院校园网 潍坊职业学院校园网 日照职业技术学院校园网 日照劳动技工学院校园网 莱芜职业技术学院校园网 大规模的应用不但大大拉近了用户和 H3C 公司的距离，使得 H3C 公司能够更快 更好为市场、为用户提供产品，同时也验证了 H3C 公司产品的稳定性和兼容性。 1.1.2 完善的研发体系和全系

5、列的网络产品 H3C 每年将销售额的 15以上用于研发投入，在中国的北京、杭州、深圳以及 印度的班加罗尔设有研发机构，在北京和杭州设有产品鉴定测试中心。目前，H3C 已申请专利超过 700 件，其中 80是发明专利。 H3C 目前从事 IP 产品技术研发的研究所有 6 个，包括北京研究所、杭州研究所、 印度研究所、南京研究所、深圳研究所、美国研究所，研发人员超过 2000 人。印度 所、南京所、中央软件部、上海研究所等都通过“软件研发成熟度”最高级的 CMM5 级国际认证，北京研究所、杭州研究所通过 CMM4 级国际认证。 H3C 不但拥有全线路由器和以太网交换机产品，还在网络安全、IP 存储

6、、IP 监 控、语音视讯、WLAN、SOHO 及软件管理系统等领域稳健成长。目前，安全产品 中国市场份额位居前三，IP 存储亚太市场份额第一，IP 监控技术全球领先，H3C 已 经从单一网络设备供应商转变为多产品 IToIP 解决方案供应商。 因此选择该厂商的网络产品能够有效的保障用户在网络建设方面的延续性和持续 性。 1.1.3 健全的服务支持和培训认证体系 H3C 公司建立了遍布全国的服务机构。除公司总部设有完备的技术支援平台外， H3C 还在全国建立了 36 个售后服务中心，建有完备的技术支援平台和备件系统， 通过先进的通信技术与总部的技术支援平台连接，完成用户信息、故障处理流程、 备件

7、库存、产品分布等信息的共享，形成覆盖全国地市级城市，专职人员规模超过 4 200 人的技术支援体系。同时还在各省市派遣有售后服务工程师，以提高售后服务 的响应速度。H3C 技术支持支援平台拥有一批高素质的服务队伍，所有服务人员都 具有本科以上学历，且有 3 年以上大型网络服务经验。 为了满足不同客户不同层次的培训需求，H3C 服务公司建立了规范、专业的用 户培训体系，将总部培训与分部培训、集中培训与现场培训有机结合。目前，在数 据通信网络技术领域，H3C 培训面向全球，致力于培养专业务实网络人才。考虑客 户不同层次需求, 提供全系列的网络产品培训,网络技术认证培训和客户化培训解决 方案。同时建

8、立起国际规范的完整的网络技术认证体系。 在中国建立 30 余家授权培训中心，海外建立 7 家授权培训中心；覆盖中国各大中心城 市以及拉美、亚太、中东、北非、俄罗斯等地区和国家。 在中国建立 60 余家网络学院，海外建立 1 家网络学院。 与 40 余所职业院校建立合作, 支持中国职教 IT 专业课程改革项目。 鉴于以上几个主要原因，我们在此次投标中选用了 H3C 公司的网络产品做为此 次投标的网络产品。 1.2 教育城域网建设背景 我国互联网事业正在持续快速的发展，并在普及应用上进入崭新的多元化应用阶 段！互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。 同时， 随着国家信息化工

9、作的深入开展，提高教育系统信息化水平成为当前工作的重点。 而教育城域网建设则是教育系统信息化建设的关键。在信息化的建设过程中，它的 作用体现在如下几个方面： 1、教育城域网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科 的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识， 必须给他们提供一个实践的环境，这个环境离不开校园网。 2、教育城域网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库， 所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。 3、教育城域网是学校现代化管理的基础，深入、全面的学校信息管理系统必须 5 建立在校园网上。 4、教育城域网

10、提供了学校与外界交流的窗口，学校应将校园网与互联网联接， 这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联 网上树立学校的形象都是很容易的。 教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教 学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时 具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信 息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信 不疑，并将全身心地为之努力。 1.3 XX 教育局城域网中心网络校园网建网需求分析 1.3.1 一般建网需求 XX 教育局城域网中心网络的网络建设

11、本次主要是中心网络新建。在实际的建设 过程当中，应当充分考虑到中心内部的多业务以及特色业务等扩展性，如：中心网 内部的服务器的访问，由于学校汇聚的访问的内容多样化决定，涉及到基础网络设 施的建设和业务应用平台建设两个不同的层面。此处主要分析 XX 教育局城域网中心 网络网络基础设施建设和网络运营方面相关的内容。XX 教育局城域网中心网络建设 从网络流量模型上看和城域网网的流量模型相似，用户分散而网络流量大，但实际 应用上还存在许多和企业网不同的地方。主要特点如下： 1、用户管理的需求： 1) 使用方便，存在 WEB 认证需求。要求能做到基于 WEB 的身份认证、多 ISP 选择、用户费率查询、

12、带宽动态调整（隐性需求） 、多 WEB 界面（隐性需 求）等。 2) 需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。 3) 对用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，譬如限 制为 64K 、256K、512K、1M、2M、5M、10M 等等级。 2、多种教学方式并行的需求： 6 随着城域网网的信息化的发展，越来越的多业务连接方式依托于中心网络给 学校提供多种链接。 1) 多媒体教学。为了更好的为学生提供全方面的教学资料，越来越的多学校 在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、 典型的考试资料等等提供给学生上网下载使用。 2) VOD 点播

13、业务实现，通过建立 VOD 视频服务器平台，利用交换机提供的组 播功能，为 XX 教育局城域网中心网络的用户提供优质的视频效果，同时 节省用户带宽。 3、安全管理的需求： 1) 校园用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之 一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻 击手段有 DoS，DDoS 等 2) 上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全 4、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出 来。对于后期建设的校园监控和电子监考工程也需要网络对组播特性有良好 的支持。 5、多出口需求： 中心网络出口包括电信网

14、，网通网和教育网。多出口带来了以下两个需求： 1)多权限 ISP 需求。用户可通过不同的账号名或采用相同的账号，不同的域名 认证，获得不同的上网权限。 2)多 ISP 分别计费的需求，对应不同的 ISP，计费策略不一致。 6、WLAN 的需求： 随着 WLAN 技术的成熟，在校园网内（如会议厅、图书馆等）部署 WLAN 也日益 成为热点。因此在规划中需要考虑 WLAN 的规划。 1.3.2 XX教育局城域网中心网络建网需求 XX 教育局城域网中心网络系统分为三级，核心层、汇聚层、接入层，根据现实 情况，需要将各区县学校网络通过网通网络光纤连接中心网络，部分学校网络通过 7 VPN 连接中心网络

15、。 1.4 整体建网原则 早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以 二层交换为主，很少有三层应用，存在“安全、可管理性较差、无业务增值能力” 等方面的问题。 现在 XX 教育局城域网中心网络校园网建设要实现内部全方位的数据共享，应用 三层交换，提供全面的 QoS 保障服务，使网络安全可靠，从而实现教育管理、多媒 体教学、图书馆管理自动化，而且还要通过 Internet 实现远程教学，提供可增值可 管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开 放性、兼容性、可扩展性。 基于对 XX 教育局城域网中心网络校园网业务需求的深入理解，结合自身产品

16、和 技术特点，H3C 公司推出了了完善的 XX 教育局城域网中心网络校园网解决方案，为 XX 教育局城域网中心网络提供“可管理、可增值、可持续发展”的精品网络。 XX 教育局城域网中心网络网络建设遵循以下基本原则： 高带宽 为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计 的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特性，整网的 核心交换要求能够提供无瓶颈的数据交换。 可扩充性 考虑到 XX 教育局城域网中心网络用户数量和业务种类的发展，要求对于核心交 换机与汇聚交换机具有强大的扩展功能，XX 教育局城域网中心网络校园网络要建设 成完整统一、组网灵活、易扩充

17、的弹性网络平台，能够随着需求变化，充分留有扩 充余地。 开放性 技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部 8 协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送 的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控 的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网 络安全防范措施。 2 总体网络设计 2.1 网络拓扑设计 中心网络采用星型结构组网，充分考虑到了网络骨干的高带宽、高可靠性，整网 采用 S75010E，强大的硬件性能提高了整网可

18、靠性。下行使用万兆或千兆光纤连接 到各县区汇聚交换机等，同时本地的 3 台汇聚通过千兆双绞线接入核心，为汇聚提 供高速率的上行带宽，同时部分区县汇聚通过 VPN 连接中心层。保障多种业务，特 别是多媒体、语音等教学课件的高速传输。各个汇聚层的交换机则通过单模千兆光 纤或者千兆双绞线连接到接入层的交换机，接入层交换机为百兆到桌面。拓扑图如 下： 9 2.2 核心层设计 核心层负责整个网络的数据交换，同时也是教育城域网中心网络的路由中心， 全网第三层、第四层操作都通过核心节点集中进行。核心交换机提供教育网内用户 对服务器群的高速访问。 为了充分保障核心交换平台的高可靠特性，我们提供 S7500E

19、作为网络的核心 交换设备，该设备采用分布式结构，支持双主控交换板，无源背板设计，所有单板 支持热插拔；电源系统采用 1+1 冗余热备份，并支持多路电源输入；支持 STP/RSTP/MSTP 协议和 VRRP 协议，能够满足苛刻的电信级网络可靠性要求，系统 可靠性达到：99.999。 H3C S7500E 交换机是 H3C 公司面向以业务为核心的企业网络架构而推出的新 一代高端多业务路由交换机。该产品基于 H3C 公司自适应安全网络的技术理念，在 提供稳定、可靠、安全的高性能 L2/L3 层交换服务基础上，进一步提供了业务流分 10 析、基于策略的 QOS、可控组播等智能的业务优化手段，从而为企

20、业 IT 系统构建面 向业务的基础网络平台，实现通信整合，数据整合奠定了基础。 在核心交换机中插入防火墙板卡，可以对全网的数据进行安全管理，同时可以 实现对办公区，服务器区，以及区县学校汇聚的防火墙区域的划分，这是在线部署 独立防火墙所无法达到的 防火墙板卡可提供多种防护功能，支持外部攻击防范、内网安全、流量监控、 邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全，更可通过 增加高性能防毒卡实现出口防毒墙功能；采用 ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能 分析和管理手段，支

21、持邮件告警，支持多种日志，提供网络管理监控，协助网络管 理员完成网络的安全管理；支持的 IPSec VPN，可以构建远程数据加密 VPN；提供 基本的路由能力，支持 RIP/OSPF/BGP/路由策略及策略路由；支持丰富的 QoS 特性。 2.3 汇聚层设计 汇聚层使用根据不同楼群的接入点密度分为两个部分，一部分可以选用 H3C S5100EI 全千兆智能三层交换机，上行千兆连接核心交换机 S7500E 上，同时全千兆 下行连接服务器区，主要负责 XX 教育局城域网中心网络服务器区的数据汇聚。为 服务器区提供高带宽保证，可以是各种服务在教育网中做到快速响应不会产生带宽 的瓶颈，为教育网中用户对

22、各种应用需求的访问提供保证，第二部分选用 H3C S3100 EI 全千兆智能交换机，主要负责中心区办公区的汇聚要求，强大的 ARP 入侵 检测功能为办公区的接入提供的安全保证。 S5100 基于最长匹配的路由策略。系统采用逐包转发方式，保证了所有报文均 获得相同的转发性能，对“红码病毒 ”和“冲击波病毒”的攻击具有天生的防御能 力，有效保证了设备安全。支持集中式 MAC 地址认证和 802.1x 认证。在用户接入 网络时完成必要的身份认证，还可以通过灵活的 MAC、 IP、VLAN、PORT 任意组 11 合绑定，有效的防止非法用户访问网络。支持 DUD（Disconnect Unautho

23、rised Device）认证，通过 MAC 地址学习数目限制和 MAC 地址与端口绑定实现。支持用 户分级管理和口令保护，支持 MAC 地址学习数目限制、MAC 地址与端口绑定、端 口隔离、MAC 地址黑洞；支持防止 DoS 攻击功能。具有丰富的 QoS 特性，支持基 于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、端口、协议的 L2L7 复杂流分类，充分保障了复杂网络对于 QoS 规则的要求。在本次组网中非常适合从 事汇聚层面的工作。 2.4 出口路由设计 出口路由采用 MSR50-40，由于部分区县汇聚需要使用 VPN 连接中心区网络， 我们为 MSR50-40

24、 配置了高性能的数据加密插卡，为 VPN 网络提供了更高的安全性 能，同时 MSR 系列路由器独有的多业务扩展能力为教育城域网用户今后的语音扩展 等业务提供支持，最大程度的保护用户的投资，此外，MSR50-40 还具备防毒卡的扩 展能力，可以为教育网中心网络的病毒防护提供更多的选择。 3 网络业务设计 3.1 路由设计 3.1.1 路由协议选择及设计建议 选择何种路由协议，对于最大程度的发挥网络的效能具有重要意义，因此本次 XX 教育局城域网中心网络网络建设的路由协议的选择也就十分重要。 3.1.2 路由协议选择原则 在大型网络中，选择适当的路由协议是非常重要的。目前常用的路由协议有多种， 1

25、2 如 RIP、OSPF、IS-IS、BGP、PIM 等等。不同的路由协议有各自的特点，分别适用于 不同的条件之下。 选择适当的路由协议需要考虑以下因素： 1）路由协议的开放性：开放性的路由协议保证了不同厂商都能对本路由协议进 行支持，这不仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和 选择空间。 2）网络的拓扑结构 ：网络拓扑结构直接影响协议的选择。例如 RIP 这样比较简 单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。路由协 议还必须支持网络拓扑的变化，在拓扑发生变化时，无论是对网络中的路由本身， 还是网络设备的管理都要使影响最小。 3）网络节点数量：不同

26、的协议对于网络规模的支持能力有所不同，需要按需求 适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。 对于本网络，在选择路由协议时不能只看眼前，还要充分考虑今后的扩展性 4）与其他网络的互连要求：通过划分成相对独立管理的网络区域，可以减少网 络间的相关性，有利于网络的扩展，路由协议要能支持减少网络间的相关性，是通 常划分为一个自治系统（AS） ，在 AS 之间需要采用适当的区域间路由协议。必要时 还要考虑路由信息安全因素和对路由交换的限制管理。 5）管理和安全上的要求：通常要求在可以满足功能需求的情况下尽可能简化管 理。但有时为了实现比较完善的管理功能或为了满足安全的需要，

27、例如对路由的传 播和选用提出一些人为的要求，就需要路由协议对策略的支持。 3.1.3 本网络路由协议的选择 考虑到协议的通用性、标准性以 XX 教育局城域网中心网络网络系统的网络规模， 建议在本次网络建设中选择 OSPF 作为未来网络动态路由协议，选择 OSPF 主要有以 下几个原因： 1标准开放性及成熟性 OSPF 是开放的标准协议，受到广大厂家设备及组织的支持，也是目前网络构建 中用得最多的协议，也是在企业网中应用最广泛的 IGP 协议；因此其性能是经受过 13 考验及验证的。 2. 扩展能力分域功能非常适合网络扩展 OSPF 提供分域功能一方面保证路由转发效率，另一方面要提供很好的网络扩

28、展 能力。 当然路由协议的选择也必须考虑本系统的整体规划，本次方案选择的 S7500E 产 品具有丰富的路由协议支持能力，单播、多播路由协议包括 OSPF、RIP、PIM 等都提 供很好的支持，因此可以适应本系统的路由协议的选择。 3.2 VLAN 的划分 3.2.1 划分VLAN的必要性 VLAN 是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一 个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源，管理 网络。利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。 采用虚网功能，网络性能可以获得较大的改善： 1.虚网技术能对工作组业务进行过滤，有

29、效地分割通信量，因而能更好地利 用带宽，提高网络总的吞吐量。 2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改 布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术 能减轻系统的扩容压力，将迁移费用降至最小。 3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟网 络的安全策略采用的主要协议为 IEEE802.1Q，此协议结合有鉴别和加密技术以确保 整个网络内部数据的保密性和完整性。 4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协 议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。 5.虚拟局域网可以建立在不

30、同的物理网络上，用封装的办法支法支持不同的网 络协议络协议，如 SNMP、NMP、IPX、TCP/IP、IEEE802.33 等，兼容性非常好性非 14 常好。 6.虚拟网络中的主要应用技术为“虚网中继” ，VLAN Trunking 特有技术的采用 也成成为了必然。必然。简而言之，VLAN Trunking 主要是通过一条高速全双工通道 来实现将将一个 LAN Switch 端口所划分的不同 VLAN 与其它 LAN Switch 中各自相应 的 VLAN 成员进行线路复用连接的技术。VLAN Trunking 技术的采用，既节省了信道 数据量，又提高了可靠性，并便于管理及方便连接，提高了整

31、个网络吞吐量和性能 指标。其原理如下图所示： V1V2V3 V4V1V2V4 V1V1V2V3 20MbpsBandwith 20MbpsBandwith VLAN 1to VLAN 4 VLAN 2to VLAN 2 VLAN Trunkig 技 如果采用 VLAN trunking 的技术，则 V1、V2、V3 均可通过一条全双工的 100Mbps，即 200Mbps 的速率与上级 LAN Switch 进行互通并经过位于树根部的路由 器进行路由与其它的 VLAN 进行通讯。VLAN trunking 技术的优点在于采用一条高速 通道连接，提高了通道的使用效率，如在，如在 V2，V3 无数

32、据量的情况下，V1 可以 独占此 100M 带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维 护性。 3.2.2 划分VLAN的方法 15 H3C 公司的 E 系列接入交换机不仅能够支持标准的 802.1Q VLAN，还能实现端口 之间的隔离。 我们可以使用 E 系列支持的 P-VLAN（primary-vlan）这个特性，一方面实现用 户之间的隔离，另一方面可以为三层交换机节省 VLAN 资源。E 系列可以屏蔽下面的 VLAN 划分，仅向三层交换机提供一个 VLAN 信息，在边缘交换机实现了端口可以同时 属于多个 Vlan； 如图所示：其中端口 1 为 uplink 端口，端口

33、 2，3，4 为接入端口； Vlan 1：包含端口：1，2，3，4，5 Vlan 2：包含端口：1，2 Vlan 3：包含端口：1，3，4 Vlan 4：包含端口：1，5 2451vlan 1vlan 3vlan 2 43 设计中采用了几个 secondary vlan 包含在一个 primary VLAN 中的方式，给用 户提供了灵活的配置方式。如果用户希望实现二层报文的隔离，可以采用了为每个 用户分配一个 secondary vlan 的方式，每个 vlan 中只包含用户连接的 port 和 uplink port；如果希望实现用户之间二层报文的互通，可以将用户连接的端口划入 同一个 VL

34、AN 中；同时创建 primary vlan，该 vlan 包含所有 secondary vlan 中包含 的端口和 uplink 端口，这样对上层交换机来说，可以认为下层交换机中只有一个 primary vlan，用来标识设备，而不必关心 primary VLAN 中的端口实际所属的 VLAN，简化了配置，节省了 VLAN 资源。 16 primary vlan 中的所有端口都不是 802.1Q 的 trunk 端口，包括与其它交换机相 连的 uplink 口。每个 port 的 PVID 就是它所属 secondary vlan 的 ID；uplink 端口 的 PVID 是 primar

35、y vlan 的 ID； 我们建议在接入交换机上根据各个部门之间的逻辑关系进行灵活的 VLAN 划分。 可以让一个楼层对应于一个 PVLAN，楼层内的不同部门分属不同的 Sencondary VLAN。这种划分方式中，可以对用户能实现动态的 VLAN+MAC+IP 绑定，可对用户发 动的伪造攻击报文进行合法性检查和过滤，具有一定的网络安全性保障。不同 VLAN 间的互访，必须经过三层交换机进行转发。 3.2.3 VLAN规划 我们建议按不同的业务使用主体来规划整个 XX 教育局城域网中心网络的 VLAN 资源。如：学生宿舍 1、学生宿舍 2、教师、校管理人员等。 为了减小广播域，建议 VLAN

36、 终结在汇聚层的三层交换机上，每个 VLAN 内的主 机数量原则上不要超过 250 台，建议每个 VLAN 内的 PC 机数量控制在 50 台以内。 VLAN 的划分可以依据不同的业务部门进行也可以依据用户所处网络的物理结构 进行，后者主要是从网络性能角度出发，而前者还兼顾了网络安全性可控性的需要。 根据实际业务部门办公环境的分布情况来看，在大部分情况下，两者实现了重合， 而对于少数由于办公地点不同，隔离在不同汇集点的相同业务部门，我们则推荐第 一种方式。 将端口分配给 VLAN 的方式有两种，分别是静态的和动态的。 静态 VLAN： 形成静态 VLAN 过程是将端口强制性地分配给 VLAN

37、的过程。确定哪些端口属于 哪些特定的 VLAN，然后将 VLAN 静态映射到端口。这是将端口映射到 VLAN 的一种最 通用的方法。对于学生宿舍，教师办公等用户相对集中的区域，建议采用这种部署 方式，将 VLAN 部署在用户对应的汇聚交换机端口上。 动态 VLAN： 17 我们知道，VLAN 常常被规划用于对“资源访问权限”的分组，不同的 VLAN 具有 不同的访问权限，每个 VLAN 内有一个 IP 地址网段，不同的 VLAN/IP 地址段的用户， 具有不同的访问资源的权限。用户权限数据一般存储在 CAMS 或接入认证系统 UAM（后台综合访问管理服务器）中，CAMS 根据用户端的权限归类，

38、在认证通过之后 向二层交换机作动态的 VLAN ID 下发配置。此时，二层交换机要支持 VLAN 的动态配 置功能（H3C 全系列交换机支持） 。 从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体 VLAN 规划时，同一个广播域内（一个 VLAN）的通信主机不要超过 250 台，最好控制 在 50 台以内，对于主机数量超过 50 的业务部门，我们通过二层隔离，三层交换的 方式来解决。 管理 VLAN： 作为特殊 VLAN 的典型，建议保留 VLAN1 作为管理 VLAN，管理 VLAN 覆盖到全网 的每一台交换机，但在第三层接口上，需要与其他业务 VLAN 进行有效的隔离。

39、网管 工作站建议另外设置一个 VLAN，例如 VLAN ID=4000,VLAN4000 与 VLAN1 在第三层上 相通，同时，部分业务 VLAN 可以访问 VLAN4000，从而实现网管的分布式监控布局。 VLAN1 和 VLAN4000 的第三层路由接口处设置访问控制列表，只有特定的主机或者只 有网管 VLAN 可以直接访问每一台设备，其他均在过滤之列。 对于服务器建议单独设置在一个 VLAN 中。 业务 VLAN 可以按照部门的类别进行划分，每个部门划分一个 VLAN，部门人数超 过 50 名的应该划分为两个 VLAN，以保证交换的性能，业务 VLAN 的命名建议采用 VLAN100

40、作为第一个业务 VLAN，然后按照数字序列进行划分，一直到 VLAN123。 本次建议在 XX 教育局城域网中心网络网络中采用静态 VLAN 划分方案来部署。 3.3 组播业务 H3C S7500E 、S7510、S5500 SI、S5100 EI 系列通过标准的组播协议完成用户 的组播管理，上述产品均可以支持丰富的组播协议，包括 18 ICMP、PIMSM、PIMDM、MSDP 等组播协议，可支持丰富的业务，包括视频点播、 流媒体点播，可支持各种流媒体终端以及组播源的种类。并可以并通过 HGMP 协议将 各楼道交换机也纳入到组播实现中。完成对其下挂的汇聚交换机以及楼道交换机的 组播用户进行报

41、文复制和发送。通过这种机制，使得整个网络的流量做到最优，有 效的保证了视频监控、视频教学、会议电视、视频点播等视频业务的开展，通过组 播实现的视频业务有： 视频监控：通过 IP 线路将前端采集的视频监控信息传递到中心的存储设备和监 控显示平面。 视频教学：使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教 学，实现学生和教师的实时交流，学生还可随时进行学习点播和查询。 会议电视：利用网络和数字视像技术实现异地会议的交互传输和控制。 视频点播：交互式电视的一部分，它使用户可以随意选择所需的视讯节目，并 可随意地控制节目播出（如快进、快倒、暂停等） 。 3.4 QoS 设计 为保证 XX

42、教育局城域网中心网络校园网各种业务的正常及时处理，需要对不同 业务实施不同的 QoS 策略。对于关键的核心业务的部分，需要优先保证这些业务的 时延和带宽；而对于其它业务来说，也应当有相应的 QoS 策略来提供不同的服务质 量保证。 针对 XX 教育局城域网中心网络校园网的应用环境，在边缘设备可以采用 IP QoS 复杂流分类技术对不同业务数据报文设置不同的 DSCP/TOS 标记，并根据需 要采用流量监管技术（CAR）对带宽进行限制；携带 DSCP/TOS 标记的业务报文在 核心层网络的广域网路由器上，根据 DSCP/TOS 标识进行简单流分类，并根据不同 业务设置的 DSCP/TOS 标记，

43、配置相应的队列以及队列带宽保证，由广域网路由器 根据数据流情况采用高效的队列管理技术（WRED/SARED ）以及队列调度技术 （PQ/LLQ）对用户的需求做保证。 19 建议在规划校园网系统网络 QoS 设计时，遵循以下的原则： 正常情况下 QoS 是通过带宽来保证的，带宽利用率达到 60可考虑扩容 网络设备的容量不成为瓶颈 网络故障或突发流量情况下 QoS 策略生效 任何时候都优先保证关键的实时业务 3.4.1 QoS体系结构的选择 为了在 IP 网上提供 QoS，IETF 提出了许多服务模型和协议，其中比较突出的 有 IntServ (Integrated Services)模型和 Di

44、ffServ (Differentiated Services)模型。 IntServ 模型要求网络中的所有节点（包括核心节点）都记录每个经过的应用流 的资源预留状态，需要通过 IP 包头识别出所有的用户应用流（进行 MF 分类） ，同 时为每个经过的应用流设置单独的内部队列以分别进行监管（Policing） 、调度 （Scheduling ） 、整形（Shaping）等操作。对于现在大型运营网络中的节点，这种 应用流（活动的）的数量非常庞大，会远远超出节点设备所能够处理的能力，而且 可扩展性差，仅适合在小规模网络中使用。 DiffServ 模型的基本原理是将网络中的流量分成多个类，每个类接受

45、不同的处理， 尤其是网络出现拥塞时不同的类会享受不同的优先处理，从而得到不同的丢弃率、 时延以及时延抖动。在 DiffServ 的体系结构下，IETF 已经定义了 EF（Expedite Forwarding） 、AF1-AF4（Assured Forwarding） 、BE （Best Effort）等六种标准 PHB（Per-hop Behavior）及业务。 此外，有些厂商实现了基于 TOS 的分类服务（COS） ，并且这类设备已经应用 在一些现有的运营网络。COS 和 DiffServ 类似，不过比 DiffServ 更简单，并且不象 DiffServ 那样定义了一组标准的业务。 Di

46、ffServ 对聚合的业务类提供 QoS 保证，可扩展性好，便于在大规模网络中使 用。本次工程推荐使用 DeffServ 机制实现 QoS。 DiffServ 域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较多的 20 工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单 一设备全部处理，开销较大，容易形成网络瓶颈，因此需要将这些功能分布到不同 的设备上去，如流分类功尽量在边缘实现。 DiffServ 模型： 基于 DiffServ 的 QoS 模型如图所示： DifServ网 络用 户 网 络 流 量 控 制SLA/TC边 界 节 点内 部 节 点边 界 节 点

47、内 部 节 点在 网 络 边 缘 进 行 业务 分 类 和 流 量 调 整 。- 业 务 分 类 . 基 于 DS域 . 基 于 其 他 特 征- 流 量 调 整 . 测 量 . 标 记 . 丢 弃 . 整 形 用 户 网 络DS区 域 的 服 务 提 供策 略 由 PHB决 定 。节 点 根 据 属 性转 发 。 对 不 同 需 求 的 用 户 提 供 不 同 的 服 务 策 略 ， 最 终 实 现 端 到 端 的 SLA/TC：. SLA： 服 务 等 级 协 定 ， 关 于 业 务 流 在 网 络 中 传 递 时 所 应 当 获 得 的 待 遇 。. TC： 流 量 调 整 协 定 ，

48、关 于 业 务 分 类 准 则 、 业 务 模 型 及 相 应 处 理 的 协 定 。 采用 Diffserv/CoS 的方法需要对所有的 IP 包在网络边缘或用户侧进行流分类， 打上 Diffserv 或 CoS 标识。 DS 域内的路由器根据优先级进行转发，保证高优先级 业务的 QoS 要求。骨干网络实施 Diffserv/CoS，需要所有相关设备支持，特别对边 沿节点有很强 QOS 能力需求。 3.4.2 QoS的实现机制 XX 教育局城域网中心网络能够实现承载包括实时业务在内的综合业务的 QoS 特性，尤其对 DiffServ 提供了基于标准的完善支持，包括流分类、流量监管 （Poli

49、cing） 、流量整形（Shaping） 、队列管理、队列调度（Scheduling）等，完整 实现了标准中定义的 EF、AF1-AF4 、BE 等六组 PHB 及业务。 内部处理流程如下图所示： 21 接 收 报 文 分 类 Que0ue1Que2QueNREDW拥 塞 检 测 /避 免 队 列FIOPQCFBWQ 令 牌流 量 整 形丢 弃 丢 弃 继 续 发 送入队 出队 令 牌 筒 出 接 口入 接 口 GTS 源 地 址 目 的 地 址 源 端 口 目 的 端 口 协 议 类 型 TOSACLCA流量监管 流分类 总的来说，允许根据报文头中的最多 192 比特的控制域信息进行流分类，

50、具体 可以包括下面描述的报文 2、3 、4 层的控制信息域。 首先输入端口号可以作为重要的分类依据，它可以单独使用，也可以结合报文 的其他信息对流分类。 二层的重要控制域就是源 MAC 地址。允许通过配置将报文的源 MAC 汇聚为 MAC 地址组，最大允许 64 源 MAC 地址组，源 MAC 地址组可以单独或同其他域组 合对用户流进行分类。此外 VLAN ID 也是参与流分类的重要属性，只不过是以子接 口的形式隐式参与。 三层可以参与分类的控制域包括：源和目的 IP 地址、TOS/DSCP 字节、 Protocol（协议 ID） 、分段标志、ICMP 报文类型。 四层的源和目的端口号、TCP

51、 SYN 标志也是允许参与流分类的重要信息域。 流量监管 流量监管也就是我们通常所说的 CAR，是流分类之后的动作之一。 通过 CAR，运营商可以限制从网络边沿进入的各类业务的最大流量，控制网络整体资源 的使用，从而保证网络整体的 QoS。运营商合用之间都签有服务水平协议（SLA） ，其中包含每种业务流的承诺速率、峰值速率、承诺突发流量、峰值突发流量等流 22 量参数，对超出 SLA 约定的流量报文可指定给予 pass（通过） 、drop（直接丢弃） 或 markdown（降级）等处理，此处降级是指提高丢弃的可能性（标记为丢弃优先 级降低） ，降级报文在网络拥塞时将被优先丢弃，从而保证在 SL

52、A 约定范围之内的 报文享受到 SLA 预定的服务。 RFC 定义了四种标准流量监管算法（Color aware single rate three color 、Color aware two rate three color、Color blind single rate three color 、Color blind two rate three color） 。 DSCP标记/ 重标记 标记/重标记是是流分类之后的动作之一。所谓标记就是根据 SLA 以及流分类的 结果对业务流打上类别标记。目前 RFC 定义了六类标准业务即： EF、AF1- AF4、BE，并且通过定义各类业务的 PH

53、B （Per-hop Behavior）明确了这六类业 务的服务实现要求，即设备处理各类业务的具体实现要求。从业务的外在表现看， 基本上可认为 EF 流要求低时延、低抖动、低丢包率，对应于实际应用中的 Video、 语音、会议电视等实时业务；AF 流要求较低的延迟、 低丢包率、 高可靠性，对应 于数据可靠性要求高的业务如电子商务、企业 VPN 等；对 BE 流则不保证最低信息 速率和时延，对应于传统 Internet 业务。 在某些情况下需要重标记 DSCP。例如在 Ingress 点业务流量进入以前已经有 了 DSCP 标记（如上游域是 DSCP 域的情形，或者用户自己进行了 DSCP 的标

54、记） ， 但是根据 SLA，又需要对 DSCP 进行重新标记。 完全支持 RFC 定义的标准的 DSCP DS CODE，还支持现在有些网上可能使用 的 COS。COS 是以 TOS 的前三比特作为业务区分点，总共可分 8 个业务等级，对 每一种业务等级均有特定的定义。 队列管理 队列管理的主要目的就是通过合理控制 Buffer 的使用，对可能出现的拥塞进行 控制。其常用的方法是采用 RED/WRED 算法，在 Buffer 的使用率超过一定门限后 对部分级别较低的报文进行早期丢弃，以避免在拥塞时直接进行末尾丢弃引起著名 23 的 TCP 全局同步问题，同时保护级别较高的业务不受拥塞的影响。

55、WRED 算法可支持多达 8 个优先级 4 种丢弃级别的业务流类别，对每种优先级 的 WRED 曲线均可单独配置。在算法精度上，不仅能及时 “感知”网络的拥塞状况， 同时可避免网络的振荡，由此对各种业务流以及同一业务流内部不同的丢弃级别报 文进行不同统计概率的丢弃，可及时有效的避免和控制网络拥塞。 WRED 算法由于仅仅根据当前队列长度计算报文的丢弃率，会导致不适当的丢 弃从而引起网络流量的剧烈波动。由于 WRED 算法的这一局限，在突发度较高的网 络中，仅仅使用 WRED 算法进行的流量控制的效果会不太理想，为此核心骨干路由 器同时实现了先进的 SARED 算法来弥补这一缺陷。SARED 算

56、法基于稳定性理论， 在考虑平均队列长度的基础之上，将流的包到达速率作为一个控制因素进行流控， 可以在网络严重过载时，有效吸收传统的 WRED 带来的网络振荡，使得业务吞吐量 更加平滑理想。 队列调度和流量整形 对于时延要求严格的实时业务等，可以利用内部特有的低时延调度算法满足业 务要求；对于带宽要求的业务，带宽保证算法可以实现严格的带宽保证。应用时用 户不必关心内部抽象的调度算法，只需要描述业务的流量特征，比如保证多少兆的 带宽、峰值最多多少兆的带宽、要占剩余带宽的比例权重等。需要根据配置的流量 参数选用不同的调度算法来严格保证要求的服务质量。 队列调度的构架是一个两级调度模式，第一级是 PQ

57、（Preference Queueing） 模型，严格按优先级进行调度，实时业务作为高优先级可以在处理时通过绝对优先 调度而时延极低；第二级采用基于时间片的调度模型，带宽保证的要求能够严格地 满足。 队列管理包括 FIFO、PQ、CQ、WFQ、CBWFQ、LLQ 等队列技术。 针对 XX 教育局城域网中心网络校园网的具体需求，如实时业务需要严格保证， 建议在所有链路采用 CBWFQ/LLQ 的队列调度算法。 LLQ 介绍：LLQ 技术实际上是在 CBWFQ 的基础上增加了 PQ 队列，可以对关 24 键业务实现严格的优先队列，而其它业务通过 CBWFQ 调度。 如图所示，LLQ 首先根据报文进

58、入网络设备的接口、报文的协议，报文是否匹 配访问控制列表（Access Control List，ACL）来对报文进行分类。然后让不同类别 的报文进入不同的队列。对于不匹配任何类别的报文，报文被送入默认队列，按 WFQ 进行处理，即按照流的方式进行处理。 图中所示 0 号队列是优先队列（一个或多个类的报文可以被设定进入优先队列） ， 不同类别的报文可设定占用不同的带宽。 在调度出队的时候，若优先队列中有报文， 则调度器总是优先发送优先队列中的报文，直到优先队列中没有报文时，才调度发 送其他队列中的报文。 每个队列被分配了一定的带宽，调度器会按照每个队列分配 到的带宽进行报文出队发送。 进入优先

59、队列的报文在接口没有发生拥塞的时候（此时所有队列中都没有报文） ， que 1que 2 que N1. que 0 que 1que 2 que N2. 默 认 队 列 优 先 队 列 分 类 出 队 调 度需 由 此 接 口发 送 的 报 文 离 开 接 口 的 报 文 队 列 紧 急 报 文匹 配 用 户 设 定 的 报 文说 明 ： 不 匹 配 用 户 设 定 的 报 文 25 所有属于优先队列的报文都可以被发送。在接口发生拥塞的时候（队列中有报文时） ， 进入优先队列的报文被限速，超出规定流量的报文将被丢弃。这样，在接口不发生 拥塞的情况下，可以使属于优先队列的报文能获得空闲的带宽，

60、在接口拥塞的情况 下，又可以保证属于优先队列的报文不会占用超出规定的带宽，保护了其他报文的 应得带宽。另外，由于只要优先队列中有报文，调度器就会发送优先队列中的报文， 所以优先队列中的报文被发送的延迟最多是接口发送一个最大长度报文的时间，无 论是延迟还是延迟抖动，优先队列都可以将之降低为最低限度。这为对延迟敏感的 应用如 VoIP 业务提供了良好的服务质量保证。 图中 1 到 N1 的队列为各类报文的队列。每类报文占一个队列。在调度器调度 报文出队的时候，按用户为各类报文设定的带宽将报文出队发送。属于 1 到 N1 号 队列的报文可以被确保得到用户设定的带宽。当接口中某些类别的报文没有时，属

61、于 1 到 N1 号队列的报文还可以公平地得到空闲的带宽，和时分复用系统相比，大 大提高了线路的利用率。同时，在接口拥塞的时候，仍然能保证各类报文得到用户 设定的最小带宽。 当报文不匹配用户设定的所有类别时，报文被送入默认队列。默认队列在逻辑 上可看作是一个队列，但实际上是个 WFQ 队列，所有进入默认队列的报文再按流 进行分类。 LLQ/CBWFQ 最多允许将报文分为 64 类（其中包括默认类） 。所以 N1 的最大 值为 63。默认队列的个数 N2 可以由用户设定。 对于默认队列和 1 到 N1 的队列，用户可以设定队列的最大长度。当队列的长 度达到队列的最大长度时，默认采用尾丢弃的策略。

62、但用户还可以选择用加权随机 早期检测（Weighted Random Early Detection, WRED）的丢弃策略。加权随机早 期检测的丢弃策略请参见后面加权随机早期检测 WRED 的描述。 对于优先队列，由于在接口拥塞的时候流量限制开始起作用，所以用户不必设 置队列的长度（也就没有了尾丢弃） 。 3.4.3 QoS部署 26 3.4.3.1 QoS 总体部署 H3C 网络设备提供的丰富 QoS 机制完全能够满足 XX 教育局城域网中心网络 校园网的要求，具体策略如下。 对于不同的业务如视频点播和其它关键业务，普通业务分别在接入交换机对其 进行 IP 优先级 /DSCP 进行标记，并

63、且基于 IP 优先级/DSCP 对流量进行分类。保证 视频点播业务和其它关键业务有高的优先级。 这些业务在从 LAN 发送到 WAN 时肯定会在出口处发生拥塞，这时可以采用拥 塞避免措施如通过 WRED/尾丢弃机制对于不同业务区别对待，避免网络内部流量振 荡。减少 TCP 窗口发送的段。 通过 CBWFQ 队列调度算法，保证高优先级的队列数据优先通过，比如综合征 管业务和其它关键业务。从而保证业务数据的带宽、时延、时延抖动等 QoS 性能 最后需要说明的是 QoS 的最佳工作区间是在网络偶尔发生拥塞的情况下，如果 网络经常发生拥塞，最好的 QoS 解决办法就是升级线路带宽。 3.4.3.2 流

64、量分类和标记 流量分类是将数据报文划分为多个优先级或多个服务类，如使用 IP 报文头的 ToS（Type of service，服务类型）字段的前三位（即 IP 优先级）来标记报文，可 以将报文最多分成 8 类；若使用 DSCP（Differentiated Services Codepoint，区分 服务编码点，ToS 域的前 6 位） ，则最多可分成 64 类。在报文分类后，就可以将其 它的 QoS 特性应用到不同的分类，实现基于类的拥塞管理、流量整形等。 网络管理者可以设置报文分类的策略，这个策略除可以包括 IP 报文的 IP 优先 级或 DSCP 值、 MPLS 报文的 EXP 域值、

65、802.1p 的 CoS 值等带内信令，还可以包 括输入接口、源地址、目的地址、MAC 地址、IP 协议或应用程序的端口号等。分类 的结果是没有范围限制的，它可以是一个由五元组（源地址、源端口号、协议号码、 目的地址、目的端口号）确定的流这样狭小的范围，也可以是到某某网段的所有报 27 文。 在核心交换机处对报文进行分类时，同时标记 IP 优先级或 DSCP，这样，在网 络的内部就可以简单的使用 IP 优先级或 DSCP 作为分类的标准。而队列技术如 WFQ， CBWFQ 就可以使用这个优先级来对报文进行不同的处理。下游 （downstream）网络可以选择接收上游（upstream）网络的分

66、类结果，也可以按照 自己的分类标准对数据流量重新进行分类。 在 XX 教育局城域网中心网络校园网中做如下分类和标记： 1、 所有VoIP、视频会议等应用的数据报文聚合为EF 业务类，将报文的IP 优先级标记为5 ，或者将DSCP值标记为EF； 2、 核心征管业务等关键业务，在核心业务服务器接入交换机S5500EI上将 报文的IP优先级标记为4，或者将DSCP 值标记为AF4； 3、 电子邮件、OA等行政办公业务数据报文的IP 优先级标记为3，或者将 DSCP值标记为AF3； 4、 对于其他业务，则将数据报文的IP优先级标记为2 ，或者将DSCP指标 记为AF2。 当报文在网络边界被标记分类之后，在网络的中间节点，就可以根据标记，对 不同类别的流量给予差别服务了。对 EF 业务类保证时延和减少抖动，同时进行流 量监管；对 AF 业务类在网络拥塞时仍然保证一定的带宽，等等。 3.4.3.3 拥塞管理的部署 在 XX 教育局城域网中心网络校园网的核心交换机连接接口上，进行拥塞管理 的部署。 在校园网络中，当局域网中的数据往广域网链路上发送时，到达的速度大于接 口发送分组的速度时，在该接口处就