《济宁中小学网络技术培训-设计与选型部分课件》由会员分享,可在线阅读,更多相关《济宁中小学网络技术培训-设计与选型部分课件(49页珍藏版)》请在金锄头文库上搜索。
1、济宁市中小学网络技术培训,汇报提纲,中小学网络整体设计 交换产品及技术 路由产品及技术 无线产品及技术,应用服务器区/iMC,核心交换区,中小学网络建设整体方案示意图,核心交换机,接入交换机,餐厅,接入交换机,汇聚交换机,接入交换机,无线控制器,出口网关,办公接入交换机,汇聚交换机,出口区,数据中心交换机,办公接入交换机,汇聚交换机,接入交换机,汇聚交换机,接入交换机,网络的层次划分,核心层 交换数据包,实现高速的数据流量运转,核心层的设备不但需要容量大,转发快,而且需要具备高稳定性。但通常对业务的需求不高。 汇聚层 隔离拓朴结构变化、控制路由表的大小及控制流量、端口的收敛。实现丰富的业务特性
2、。 接入层 将终端用户接入到网络中,大量的端口,强大的接入能力。实现丰富的业务特性。 几点说明 在小型的网络中,层次不一定这么明显,很可能只有两个甚至一个层次的设备。 在一些大型网络中,层次可能划分的更细:例如,增加了边缘接入层、和骨干核心层。 在某个范围之内的核心层,在上一级网络中很可能只是汇聚层。,网络拓扑层次设计,接入层,汇聚层,核心层,高速数据交换,路由汇聚及流量收敛,工作组接入和访问控制,网络设计分三层:核心层、汇聚层、接入层,网络中常用的拓扑结构,星形或双星形 常见于下层网络与上层之间的拓扑结构,主要的网络流量都在分支节点与核心节点之间发生,两个分支节点之间不通讯或流量很少。,网络
3、中常用的拓扑结构,网状或部分网状 常见于同一层次(核心层或汇聚层)之间的设备互联,这些设备之间通常都是对等通信,或者这些设备之间需要确保互联而增加很多的冗余链路。,汇报提纲,中小学网络整体设计 交换产品及技术 路由产品及技术 无线产品及技术,核心交换机,接入交换机,H3C S5500SI/EI(PWR)/HI,H3C S5120LI/SI/EI,H3C S5800/S5810/S5820X,H3C S3600SI/EI,H3C S3100SI/EI,H3C S9500E,SMB交换机,S1508/16L/E,S2100,S5024E/S5048E,S5016P/24P,S1526/S1550/
4、50E,H3C S7500E,交换机产品图谱,千兆交换机,H3C E系列,H3C S10500,H3C S12500,新一代高端核心路由交换机产品,S12500,可靠性最高: 多级交换架构,纵向风道设计,全面的可靠性保证 性能最强: 基于100GE平台,交换容量最高13Tbps,包转发率达到2160Mpps 虚拟化最完善: 从交换层面到管理层面的全面虚拟化设计,调度能力最优: 基于分布式调度设计,保证每端口超过200ms缓存能力 能耗最低: 多项节能设计,能耗只有同类产品的50%70%,新一代园区网核心路由交换机S10500产品,业界首款支持多级交换架构的园区网多业务核心交换机 业界首款支持四
5、框虚拟化的核心交换机 业界首款支持线速40GE接口的核心交换机 业界最全的一体化业务平台,交换结构的改进,fabric,分布式缓存机制,Ingress Line card,Egress Line card,精确调度!,IRF网络虚拟化对比传统MSTP+VRRP带来的优势: 简化管理:不需要复杂协议部署;设备数量减少;IP地址减少; 提高稳定性:50ms设备或者链路的切换速度; 性能翻番:改变原来1/2的链路闲置,链路双活效率提升1倍; 针对服务器区域的网卡双活机制;,IRF2第二代智能弹性架构,IRF弹性智能架构,物理上多台设备,逻辑上一台设备,IRF2特性,IRF,IRF简化网络拓扑,服务器
6、,IRF,IRF,逻辑图,IP地址对,接入网段,4*GE,2*GE,基于IRF的服务器多归属接入,Eth0:Active,Eth1:Standby,源MAC Eth1=源MAC Eth0 IP地址 Eth1=IP地址 Eth0,AFT (Adapter Fault Tolerance),Eth0:Active,Eth1:Standby,源MAC Eth1=源MAC Eth0 IP地址 Eth1=IP地址 Eth0,SFT (Switch Fault Tolerance),Eth0:Active,Eth1-x:Active,IP地址 Eth1=IP地址 Eth0 LACP,ALB (Adapti
7、ve Load Balancing),网络和安全的统一融合,效率:关注需要过滤的流量 维护:安全、网络智能检测,精简维护工作 部署:可采用在线、旁挂多种方式 扩展:不限类型、不限数量,通过插卡扩容 可靠:通过无源背板互联,二层回退,消除单点故障,小型校园网交换设备选型建议,小型分支机构(500终端以下),固化三层交换机 支持虚拟化,UTM统一威胁网关,三层接入交换机,路由器,中型校园网交换设备选型建议,中型分支机构(1000终端以下),中端多业务路由器,UTM统一威胁网关,模块化核心交换机,大型校园网交换设备选型建议,中型分支机构(1000终端以上),高性能路由网关,UTM统一威胁网关,模块化
8、核心交换机,常用安全控制策略VLAN,普通二层以太网网络中采用VLAN进行隔离。 小区以太网接入应用中在接入层交换机上配置Isolate-user-VLAN,禁止接入用户之间互访。 建议在接入交换机接入端口配置广播抑制门限,1,2,3,4,采用访问控制列表ACL进行L1层L4层隔离,常用安全控制策略VLAN,常用安全控制手段安全设备防护,当内部网络与外部网络相连时,需要对内部网络进行必要的网络 防护措施。 即使在不需要与外网相连的情况下,也需要对内部网络中异常重 要的服务器进行防护。 网络防护主要通过防火墙设备来实施。,网络安全的补充措施日志记录,日志记录 日志记录可以准确的记下设备运行过程中
9、发生的各种软件异常信息,链路异常信息,对设备的各种命令操作等。 日志记录可以在事后对各类故障进行分析,便于事后进行追踪,改善网络的安全部署策略。 日志记录的类别 设备运行时务必设置记录日志,如果条件允许,尽量将需要将日志信息发送到特定的日志主机。 为了减少日志信息量,应该只记录重要的告警信息。 务必记录对设备所有的操作信息。,汇报提纲,中小学网络整体设计 交换产品及技术 路由产品及技术 无线产品及技术,路由器产品全家福,高端核心 路由器,固定接口 路由器,MSR20,MSR30,MSR50,多业务模块化路由器,SR8802,SR8805,SR8808,高端多核 路由器,SR6602,SR660
10、8,SR6604,SR8812,SR6616,ER3000系列,ER5000系列,路由器常用功能链路备份,对称性备份 非对称性备份,路由器常用功能NAT,静态NAT 基于IP的动态NAT 基于端口的动态NAT 非TCP、UDP协议的端口转换,如L2TP,Network A,NAT,Network B,网络出口的瓶颈,出口设备的表现成为影响用户体验、业务运行的瓶颈,需要进行有效疏导,出口带宽拥挤,而非关键应用当道; 安全防线薄弱; 政策要求进行上网行为监管;,面临的压力,数字校园的变化,用户数量的增长; 网络应用的发展; 多媒体与高带宽消耗应用的发展;,教育局,学校,学校,学校,普教城域网,分层
11、设计构筑安全高效网络出口,SecPath UTM,SR6602,ACG2000,iNode安全客户端,用户上网行为管理,行为识别,行为控制,ACG识别用户的访问情况和流量信息 路由器进行NAT地址转换,交换机,SecPath ACG,校园网,SR6602,UBAS,EAD,行为审计,ACG根据流控策略和内容过滤策略,对用户行为进行细粒度的控制,ACG发送用户上网行为信息, 路由器发送NAT日志, UBAS进行记录,供事后审计,教育局出口:出口网关+ACG组合,高性能: 转发性能:8.4Mpps 并发连接性能:400万 新建连接数:30万/s 固定接口: 4个GE(光电复用),可扩展 灵活的策略
12、路由,适应多出口应用模式,SR6602多核 紧凑型设计 高性能强业务,教育局出口:出口网关+ACG组合,张三,李四,Radius Server,DHCP Server,H3C ACG,SecCenter ACG Manager,LAN,带宽滥用:P2P、游戏、炒股等 公安部82号令:记录上网行为,保存NAT记录等,便于事后查询,ACG可用于带宽管理控制;分析和记录用户的上网行为,小型校园网路由设备选型建议,小型分支机构(500终端以下),固化三层交换机 支持虚拟化,UTM统一威胁网关,三层接入交换机,路由器,中型校园网路由设备选型建议,中型分支机构(1000终端以下),中端多业务路由器,UTM
13、统一威胁网关,模块化核心交换机,大型校园网路由设备选型建议,中型分支机构(1000终端以上),高性能路由网关,UTM统一威胁网关,模块化核心交换机,多核CPU 硬件架构,传统叠加式出口安全防御,创新的UTM统一安全防御,设备性价比同比提升50%,维护成本降低20% “卡巴斯基”等病毒库/特征库提供业界最佳,收益,垃圾邮件特征库,卡巴斯基病毒库,网页安全特征库,学校边界安全优化:UTM实现学校安全托管,汇报提纲,中小学网络整体设计 交换产品及技术 路由产品及技术 无线产品及技术,网桥,无线控制器,WX6103,WX5004,无线、有线一体化网管,无线客户端、11n网卡,无线入侵检测,无线定位,W
14、X3024,S7500E/S9500E插卡,FIT/FAT 无线接入点,网桥/MESH,WA2110-AG,WA2210-AG WA2220-AG,WA1208E-GP,WA2220E-AG,WA2210X-GE WA2220X-AGP/AGE,WA 2620E-AGN,无线终端 及应用,WX3010,S5800插卡,WA2612-AGN,WA2620-AGN,无线终端准入控制,WX3008,WA2610X-GNP,WA2610E-GNP,WLAN常见产品,WA2620X-AGNP,WB2360X-ANP,802.11n,选择什么技术、产品:802.11n,Internet,Internet,
15、AP,AP,AP,AP,AP,AP,AC,传统Fat AP架构,H3C Fit AP架构,选择什么技术架构,WLAN部署:AP供电,优选PoE交换机供电,相比较PoE供电模块,具有更高的稳定性及可靠性,并且具有可管理性, 并且可以智能控制对AP的供电,一体化无线校园解决方案,无线接入点 WA2110-AG,PoE供电交换机 S3100-8/16/26TP-PWR-EI,无线控制器,网管服务器 iMC-WSM,城域网,FE 双绞线,GE单模光纤,GE 双绞线,UTM,实际网络拓扑,WX3024,有线无线一体化设备;内置无线控制器模块,可管理48个AP,内置WEB 管理、本地Radius Server、Portal Server和DHCP Server,24个10/100/1000交换机,0配置即连即用,PoE供电免除强电线缆敷设,管理系统的选择,小型校园网无线选型建议,小型分支机构(500终端以下),固化三层交换机 支持虚
