一 项目需求分析
中国银行福建省分行大楼局域网原使用的是98年配置的2台核心交换机,主干为155MATM,7台楼层交换机通过单链路连接到核心交换机。从目前运行情况看,无法实现双机热备,且核心交换机CPU、Memory占有率很高,处于高负荷运转,无法满足安全生产的要求。省行大楼局域网是连接全省业务的神经中枢,为此,中行福建分行迫切地提出对省行大楼局域网进行改造的需求。
二 具体技术方案
在本次改造项目中,全部选择华为3Com公司具有线速交换能力的系列局域网交换机S8016、S3050组建中行福建省分行局域网。
为了保证网络的可靠性,整个局域网采用两台华为3Com的QuidwayS8016作为核心交换机,来进行整个大楼局域网络的三层交换处理,两台核心交换机双引擎、双交换网板、冗余电源配置,两台S8016之间通过4个GE链路捆绑互联,之间运行VRRP协议进行负载均担和备份保护,实现双机热备。每台S8016配置多个千兆多模光口与接入层交换机、服务器实现互联。S8016具有128G交换容量,交换网络、路由处理系统、内部总线、以及电源风扇系统等所有要害部件均采用冗余热备份设计,满足福建中行核心业务网高可靠的需求。同时,S8016支持DHCP Relay并内置DHCP Server功能,可以为福建中行局域网内的移动用户分配ip地址,移动用户的访问权限可以通过规则来限定,S8016不论是路由处理系统本身,还是分布式的线路接口板都提供包安全过滤/ACL的机制,防止非法侵入和恶意报文攻击,ACL采用硬件实现,对正常业务没有影响,整机可以支持80K条硬件ACL规则。
楼层交换机采用Quidway S3050设备,每台交换机与两台核心交换机组成光纤环路,启用RSTP协议进行链路备份,保证网络的健壮性和自愈性,同时保证主干道实现负载分担,提高网络处理能力。
方案中按照业务和办公、生产和开发测试分离的原则对大楼局域网络VLAN和IP地址进行了规划设计。通过Vlan划分实现了外联业务、开发测试、外来人员等非凡客户群的需求。S8016支持4K个全局VLAN(802.1Q),整机支持VLAN数目可随端口数倍增,配合接入层设备S3050完成各个工作组VLAN的划分。
为了保证网络的安全性,最大程度减少IP网络可能出现的地址重复、盗用等行为,方案中对局域网络用户进行MAC+IP+Port三者的绑定认证,这样就能确保只有合法用户才能够上网。无IP地址的主机用户采用MAC+Port方式进行认证。S8016、S3050支持对用户MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。
同时,配合华为3Com公司 Quidview网管系统实现大楼局域网的统一网管。
三 解决方案的特点
核心层多业务、高可靠、大容量设计:核心层采用S8016核心交换机具有128G交换容量,所有要害部件均采用冗余热备份设计,采用分布式路由转发处理引擎,支持真正热插拔、热备份。支持VRRP,提供MPLS的快速重路由(FastReroute)功能。
网络拓补采用冗余链路设计,通过运行STP保证链路的负载分担和冗余备份,避免二层环路。
支持完善的DiffServ/QoS保障:实现了简单流分类、复杂流分类、流量监管、真正的拥塞控制、完善的队列调度和输出流整形等功能,使网络成为一个可以同时承载数据、语音和视频业务的综合网络。Quidway® S8016所有QoS功能采用硬件实现,对性能没有影响。
所有设备支持802.1X认证,支持802.1Q VLAN划分,实现用户安全治理和安全隔离。
故障速查功能确保快速定位故障节点和可疑用户,可以链接用户信息;
可选择的HGMP/堆叠治理提供批量、图形化网络治理,更加简单快捷;
该项目实施后将使福建中行省行大楼局域网在性能、可靠性、安全、治理上都有一个质的提高。
