搜索
第1页共28页某学校网络建设技术建议书神州数码有限公司2012年6月第2页共28页目录第一部分需求分析我们从网络设备架构以及安全平台建设角度提出了本次学校网络互联系统建设过程中需要重点关注的几个方面,然后在该设计思路导引的基础上提出了满足用户实际需求,所需要满足的解决方案中涉及的硬件/软件方面的技术要求。具体设计方案请参见后面的详细阐述。1.1思路导引一个设计方案的思路非常重要,把握了设计方案的思路等于把握了该方案的精髓。通过对整个行业的理解,用户最关心的几个问题分别为:(核心)设备性能、(核心)设备的稳定性/可靠性、全网网络出口上网速度、流量管理、ARP病毒防护、用户管理。下面我们将结合上述问题阐述一下在考察这些问题的过程中用户的关注重点应该落在哪些地方。1.1.1设备性能每当提及网络设备性能的时候,很多人总认为背板带宽、背板带宽交换容量、包转发率越高越好,这完全是一个误区!真正评价一台设备性能好的依据为线速转发,或者说在所有端口100%利用率的时候仍然没有任何数据包丢失。背板带宽交换容量、包转发率本身对于一个机箱式核心交换机而言完全是所有模块的一个叠加值,所以这并不能真实地反映设备的实际性能,如果考察设备的性能,那么必须从交换背板、单个模块到背板的带宽、交换架构、芯片等方面考虑。当今网络设备制造领域所涉及的网络芯片技术、网络协议等发展迅速、日新月异,我们认为,规划网络时必须结合用户的实际情况,可以适当考虑一些前瞻性第3页共28页的技术,但更重要的是选择当今的主流技术,尤其在设备性能上没有必要追求最快、最新,好用、够用最好。什么叫好用、够用呢?举例来讲,关于核心交换机的选择,就需要结合项目实际以及用户目前实际需求,同时考虑未来网络存续期间业务拓展对于核心设备的扩展性要求,在此前提下只要该核心交换机能够提供全线速转发即可。实际上我们知道,决定网络交换设备性能的关键在于背板、芯片,设备所具备的一些底层次的功能(如VLAN、LAG等)也是由芯片(包处理器)决定的。下面从网络设备硬件构成的角度向用户阐述一下究竟什么指标是判断设备性能的关键。1.1.1.1背板技术这里所说的背板准确点讲应该是交换架构(SwitchFabric),不仅仅是狭义上的机箱背面竖立的交换机线路板。现在主流的背板技术是采用Crossbar或者Crosspoint架构,从配置上来看主要分为有以下三种:第一种是在机箱内部无源铜背板上集成冗余Fabric芯片实现,如Foundry、神州数码;第二种是通过在背板上插入Fabric子卡,如Avaya、Alcatel等;第三种从表现形式上有分两种,但是共性为背板只是一块线路板其一,管理模块和交换矩阵模块需要插在机箱前面板的不同的专用插槽上,如早期Cisco6500+管理引擎+SFM交换矩阵模块;其二,通过在专用插槽中插入一块集成管理功能和交换矩阵的管理引擎实现,如Cisco720引擎。背板带宽/交换容量主要是由Fabric芯片,也就是我们常说的交换矩阵芯片决定的,除非换掉Fabric芯片否则交换容量无法升级,背板带宽/交换容量对于系统的影响不是很大,它的主要作用就像一条高速公路上有多少车道,但是如果用户只有一辆车仅跑一条车道,这就是浪费。第4页共28页1.1.1.2交换芯片在网络设备制造厂商业界,交换机的芯片要么自主研发,如Foundry/Extreme/Cisco等,要么采用商用芯片,即交换芯片厂商的,如网络芯片领域全球排名第一的Broadcom(E2003年度全球IC厂商前八强”),Cisco/3com/Nortel/神州数码等很多厂商的产品就采用该公司芯片,采用同一个芯片厂商同一型号的芯片生产的网络设备性能肯定是一样的。讲到设备性能,下面先看看衡量网络设备性能的两个关键指标。交换容量简单来讲,交换容量的计算可以认为由每个业务模块上FabricAccessProcessor到背板上的SwitchFabric的带宽总和*2(全双工)得到,所以说交换容量是一个叠加值。因为业内人士经常通过交换容量的数值判断该核心交换机能否达到全线速转发,所以也有不规范的大致计算方法如下:能够反映交换机最大交换容量指标的所有业务模块上端口数*端口速率*2得到,厂家的指标一般都是这个理论值。实际上,用户无法通过该指标判断设备是否可以达到全线速转发,而应该看“每个业务模块上FabricAccessProcessor到背板上的SwitchFabric的带宽”和这个模块上支持的端口数的对应关系,例如:一个8口的千兆模块,如果该模块的FabricAccessProcessor到背板上的SwitchFabric的带宽单向带宽为8Gbps,那么基本可以认为该模块可以达到线速转发(实际上这些带宽中还包括管理带宽)。而有些厂商为了一些特殊考虑可能把一个到背板单向带宽为8Gbps的模块上作到48个千兆口,那么这样的话,这个模块就有一个6:1的阻塞率,当然这种模块在连结一些数据流量不是非常大的服务器集群时是可以是用的,但是如果连结的服务器流量非常大,或者连结的为另外一台千兆交换机,建议还是采用那种尽管端口密度没有这么大但是可以达到线速的模块。包转发率包转发率的定义是测试通过64字节的数据包时候的最大吞吐量,该指标是反映实际数据包L2交换/L3路由性能的指标,可能比起交换容量更现实些,线速的交换容量是基础,但是包转发率和交换容量之间没有必然的正比关系,因为从交换容量上看已经达到线第5页共28页速了,但是那只是数据在比特流层面,或者认为在二层上达到线速,但是三层上就不一定,这就需要每个业务模块具备本地转发功能。最大包转发速率的计算也是由能够最大反映该指标的所有业务模块上的端口数*相对于该端口类型的达到线速包转发速率。对于物理端口来讲,达到理论上标称的速率可以达到的包转发速率依次如下:10Mbps端口:14880pps(packetpersecond,注意这里的包为64字节的包)100Mbps端口:148800pps1000Mbps端口:1.488Mpps关于交换容量和包转发率,举例如下:如某台核心设备所有插槽全部插满最多支持120个千兆口,那么理论上达到线速的交换容量为120*1G*2=240Gbps,L2/3包转发速率为120*1.488Mpps=179Mpps,考虑到业界的实际情况,可以考虑采购256Gbps/180Mpps的网络设备,当然如果用户目前仅仅需要20个千兆口,以后最多需要扩展到32个千兆口,那么采购一台64Gbps/48Mpps的设备即可。注意:上述都是理论计算值,交换容量以及包转发速率都必须通过严格的测试得到,不是厂家宣称多少就是多少的,必要的时候可以让厂商出具权威第三方测试结果。1.1.1.3结论厂家宣称的设备性能指标只是作为用户选择不同档次设备的一个依据,具体应该考虑用户的实际需求,在满足用户需求的基础上适当考虑未来扩展性才是对用户投资的合理利用。1.1.2系统稳定性系统稳定性的稳定性从一定程度上需要依赖设备的稳定性,但是设备的稳定性/可靠性并不是厂家文字描述出来的,而是必须经过时间/实践检验过的。尤其是对于网络中的核心交换机,必须具备非常高的稳定性。下面列举部分判断核心设备稳定性的依据如下:设备有稳定运行1年以上成功案例,这个可以说是最直接的证据;设备采用自己开发ASIC芯片或者采用业界主流芯片设计;对于前者,说明网络设备制造厂商研发能力非常强,除了网络设备本身的设计能力以外,完全可以自主开发芯片;对于后者,采用业界主流芯片可以有效地降低网络设备制造厂商网络产品在芯片层面的缺陷风险,因为这些主流芯片采用的厂家比较多,如果存在第6页共28页缺陷的话必须加大研发力度解决,时间长了问题相对于二流芯片厂商bug问题较少。1.1.4系统扩展性扩展性涉及到网络系统的各个层次设备,包括出口设备、汇聚层、接入层设备。汇聚层设备如果采用模块化架构考虑方面基本同,如果采用固定配置端口设备就需根据考虑未来应用留出一定的端口。接入层设备主要考虑可以支持的千兆端口数量,光纤链路的支持。1.1.5系统管理性为保障整个网络系统的正常高效运作,同时为了提高整个网络系统的性能利用的有效性、安全性、可靠性,整个系统网络必须依赖一套强有力的管理系统来快速地定位设备问题、监控设备应用情况、监控用户接入情况等,同时对于用户来将必须是易于管理的。易于管理一方面体现在管理人员可以快速学习就能管理整个系统;另一方面体现在网络管理系统对整个网络通信系统以及设备、用户的管理控制程度。网络管理应通过SNMP、RMON(Statistics,History,Alarm,Event)等对整个骨干交换网、VLAN、端口、QOS的运行状态、使用情况和技术参数实行统一有效的管理。结合用户网络的规划情况,我们将网络管理区分为两个方面,这两个方面对于用户管理来讲是缺一不可的。1.1.6设备厂商选择的其它依据由于网络建设不仅涉及网络设备硬件以及解决方案,所以在考虑整体解决方案的时候,建议考虑那些在学校用户真正的需要什么样的网络的同时可以提供网络产品硬件和服务的具备丰富咨询经验的厂商。在本方案建议书第三部分的设计中,我们将依据以上原则对整个系统进行规划设计。第二部分总体设计2.1网络设备选型通过和用户沟通我们了解到,目前学校网络网建设还是以学校的信息化建设为契机,首要的还是进行在老的网络基础上进改造。我们采用直观的二层架构模型,即汇聚层+接入层的架构,这种架构设计,基于用户点大多集中在一座建筑楼内,结构非常有效,方便管理、排错。由于学校对网络对管理性和上网要求很高,因此在方案中我们也对网络的管理易用性做了详细的描述。2.1.1汇聚交换机设备选型2.1.1.1需求简述汇聚层路由交换设备主要承担法院的所有信息点的接入任务,实现整个骨干网络的优化传输,同时也承担着Internet接入的重任,所以核心设备选型的好坏至关重要。通过与学校技术人员沟通得知,网信息点数很多,通过上述分析,结合核心设备必须具备适度的性能、可靠性、安全性以及一定的扩展性。所以,综合考虑技术的前瞻性、设备在网络市场应用的成熟及可靠性。2.1.1.2选型依据下面重点讨论内网核心交换机的选型。2.1.1.3产品介绍汇聚层交换机选型略2.1.2接入层设备选型2.1.2.1需求简述接入层设备分布在每个楼层,各信息点通过增加千兆接入交换机实现,通过千兆上联核心交换机,性能要求全线速转发,配置/功能上要求比较高,我们考虑用户的实际情况,建议设备支持堆叠功能(以后扩展需要),支持802.1QVLAN,支持访问控制列表以防止冲击波、震荡波等病毒功能,以及防护ARP攻击的功能,支持802.1X安全接入协议(全网的安全接入控制)。具体技术简介参见下面的描述。略2.1.2.3网络出口的选择(解决网络安全问题,可防止网络受到外界攻击)神州数码多核安全网关DCFW-1800E-N5002DCFW-1800E-N5002多核安全网关是神州数码网络公司面向大中型企业和运营商用户设计开发的新一代多功能安全网关产品,DCFW-1800E-N5002多核安全网关采用了领先的64位多核MIPS体系架构和高速交换总线技术,这让它不但在防火墙性能上实现了全面的跨越,而且在防病毒、IPS、VPN、流量整形及应用层行为管理等方面的处理能力也得到了前所未有的提升,配合神州数码潜心研发的64位并行安全操作系统在多线程并行处理能力上的优势,使得DCFW-1800E-N5002即使在处理多任务并发时也全无性能瓶颈之虞。DCFW-1800E-N5002多核安全网关提供8个GE接口和2个GE/SPF(Combo)接口,可充分满足大中型网络对于不同接口类型及高接口密度的需求。产品特点1.DCFW-1800E-N5002多核安全网关采用64位多核MIPS处理器和128GCrossbar高速交换总线技术,带来多种安全性能的全面突破。神州数码DCFW-1800系列多核安全网关拥有业界领先的工业化设计工艺,硬件上广泛采用高品质的元器件,这让产品不但在可靠性和稳定性上具有了电信级的水平,而强大