精彩网络生活 架设小区宽带方案详解

网络设计原则

　　现如今，越来越多的人已经离不开网络，无论是工作、学习、休闲娱乐，都已经和网络息息相关：出行前不熟悉交通的上网查路线、外出吃饭会前去查哪家餐馆受好评、买书去当当网、想看新闻去新浪、买IT产品必上中关村在线查报价、网上购物去淘宝等等，我们发现生活的每个角落似乎都是在这个网络当中。

　　现在，这些新兴的现代化小区中已普遍做到了宽带接入，房地产商们为的就是增加物业的附加值。可是小区既要向宽带网络接入商缴纳租用线路的费用，同时又是住户的宽带网络提供商，需要向住户收取网络的使用费用，因此怎样方便的管理这些住户的网络是小区宽带运营商的非常关心的问题。

　　小区宽带除了我们的网络浏览和下载之外，还承载着很多其他的附加服务，复杂程度可想而知。通过对小区用户的上网需求分析，制作出下面这一套完整的小区宽带方案。

网络设计原则

模块化设计

　　小区内部局域网建设，除住宅楼的接入数据点外，还存在连接视频点播服务器区域、资源共享区域等等，其功能的不同决定了不同的数据点对网络的要求和网络设计中考虑的因素不同。当某部分功能要求有所变化时，也只需要针对相应的功能模块进行重新设计和改造升级，对网络的其它组成模块和网络的主干没有任何影响。基于这些优势，小区内部局域网采用模块化的设计模式，目前主要考虑：核心交换模块、楼层接入模块、互联网访问模块等3大模块进行设计。

高可靠性

　　网络系统应具有高可靠性、高安全性。除了采用高可靠性的网络设备以外还应考虑物理层、数据链路层和网络层的备份。

高性能

　　在小区内部局域网中，不仅要求网络主干是高带宽的，作为一个网络的基础，接入层设备也应该达到高速（1Gbps）。也就是说，交换机的接入速率应该达到千兆才能满足未来的发展趋势。

技术先进性

　　随着IPv4的地址日趋耗尽，IPv6已经提升到议事日程上来。中国目前已经建立了世界上最大的IPv6试验网。为了保证设备投资的有效性，网络设备的建设必须支持IPv4/IPv6双协议栈，在未来的若干年内都保证技术的先进性。

可扩展性和可升级性

　　系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。

标准协议支持

　　网络系统应支持标准协议IP，是一个开放型的网络，支持各种协议的互联。

安全性

　　网络系统应具有良好的安全性。为了保证小区内的业主使用安全，避免互相干扰，网络系统应支持多VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。此外，在接入网络的用户通过身份认证系统，防止用户帐户号、IP地址、MAC地址的盗用，保证用户身份的合法性。

QoS保证

　　当今网络中的多媒体的应用越来越多，这类应用对服务质量的要求较高。小区的业主越来越多的使用IP电话、IP视讯会议等等，小区内部局域网应能保证QoS，以支持这类应用。

符合国际标准
　　
　　选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。

　　网络建设依据百兆/千兆光纤到桌面，千兆/万兆到楼层，万兆核心互联的大原则；

　　考虑充分的网络平台可靠特性和冗余特性；

　　网络协议的标准性和充分的可扩展特性；

　　充分考虑局域网安全特性；

　　充分考虑网络的高速和高运行效率；

　　充分利用现有网络线路资源；

　　统一的网络管理。

小区内部局域网总体设计

一、网络设计思路

1、 小区局域网采用双核心、二层扁平结构

　　在整网配置两台核心交换机作为整个网络的核心交换节点，避免了单点故障对整网的影响范围，从而提高了整个网络的安全性。

　　小区内部局域网信息点少，同时又具有信息点地址位置集中的特点，为此建议采用两层扁平化网络体系结构进行网络规划建设。所谓两层扁平化体系结构是相对业务标准的三层网络体系结构而言，去掉中间的汇聚层只保留核心层与接入层两个层次来进行网络体系构建。扁平化体系结构具有多、快、好、省的优点，“多”是指可以接入较多用户、提供多种业务的特点，“快”是指由于去掉了汇聚层从而网络建设与业务部署更快速，“好”是指网络层次简单明了，便于管理和维护，今后在网络规模扩大时直接把现有的核心层下移或者在两层体系中间插入汇聚层就可以实现网络的平滑扩容，同时由于网络层次的简单，网络稳定性增强，单点故障减少，能够提供一个稳定高效的局域网络，“省”是指去掉汇聚层之后网络投资得到明显减少，既能够满足用户业务需求，又减少了用户的投资。

　　2、 每栋住宅楼的接入层交换机采用千兆电口接入，可提供万兆上行的三层交换机在住宅楼接入交换机的选择上考虑采用能提供万兆上行口的千兆下行电接口三层交换机，主要是体现高带宽、高安全的优点：

　　千兆三层到桌面一个最直接的优点就是带宽大。用户的接入不在只是百兆带宽，现在可以通过千兆直接接入网络，提供10倍与原来的带宽。有了高带宽，应用业务的开展将更为方便与灵活，数据、语音、视频等多种业务在新的高带宽网络中将得到充裕的带宽保证。

　　千兆到桌面之后，同一个住宅楼内的用户之间可以实现千兆交换，充分发挥网络带宽高的优势，开展多种丰富的IP网络业务，包括数据业务、视频业务等，届时网络带宽问题得到彻底解决，用户业务的开展将不比再为网络带宽不足问题精打细算。

　　网络整体安全性提高。通过三层到桌面的方式，整个网络中将不再有二层报文，二层攻击事件彻底杜绝，设备与设备之间的级连链路上将只有三层报文流通，极大提高了网络带宽的利用率与网络的安全性。

　　高扩展性，在占用带宽较多的业务没有大规模应用时可以采用千兆上行连接核心交换机，在带宽需要扩展时添加万兆模块，形成万兆上行连接核心交换机，提供充足的冗余特性。

3、 局域网内部的服务器通过千兆网卡连接核心交换机

　　随着视频等大带宽占用的应用越来越多。视频点播等内部服务器需要通过千兆网卡直接连接核心交换机，性能可以得到充分发挥。

核心节点设计

总体方案概述

　　本着以用为主的设计理念，利用局域网高带宽的天然优势，结合网络安全第一的设计思路，小区内局域网将采用千兆上行连接核心交换机、千兆三层到桌面的高带宽、高安全性、高稳定性网络设计方案进行网络部署。

设备选用思路

　　根据以上总体设计原则以及网络设计原则来看，可以确定以下设备选用原则：

1、核心节点设计

　　网络中心的核心交换机是整个网络的交换中心，同时也是整网（LAN）的路由中心，全网绝大部分第三层操作(数据转发、服务器访问、视频会议等)都通过核心交换机集中进行，其有效性通过两台核心交换机全线速的多层处理性能以及骨干网的高带宽（10GE）来实现保证。所以核心交换机必须具备以下功能：

　　先进的体系结构：采用全分布式体系结构设计，可进行高速路由查找，并通过Crossbar技术进行高速报文交换，可大大提升了路由交换机的转发性能和扩充能力，并可以通过软件设置工作在主备或负荷分担方式。

　　大容量、高密度线速交换：考虑到核心交换机承载的局域网网络平台，应可提供高密度接口板，支持线速转发。此外在保持线速转发性能的基础上，支持各种高密度接口板和组合接口板，满足核心层设备高密度、高吞吐量（交换容量在720G以上并可扩充，整机转发性能应不低于400Mpps并可扩充）的要求。

　　可管理：能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全等特性。考虑未来的升级，完全支持IPv4/IPv6双协议栈。

　　电信级可靠设计：核心交换机应采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔；电源系统采用1+1冗余热备份，并支持双路电源输入；支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的复杂网络可靠性要求，系统可靠性达到：99.999％。

　　完善的安全机制：核心交换机应支持OSPF 、RIP v2 及BGP v4 报文的明文及MD5密文认证。

　　根据以上原则，新大楼局域网核心交换机采用S7503E，两台S7503E之间采用10GE接口联接，同时与互联网出口路由器通过GE链路连接，两条GE链路之间的备份和负载分担策略通过OSPF、BGP等动态路由协议实现。

　　为了充分保障核心交换平台的高可靠特性，每一台S7503E都配置了双交换引擎和双主控单元以及双电源配置，规格指标达到电信级要求。

产品：S5500-28C-SI H3C 交换机

住宅楼接入节点设计

住宅楼接入节点设计

　　住宅楼接入交换机是每栋住宅楼的交换中心，由于每栋住宅楼用户之间也存在通过划分VLAN实现隔离与互访，而且第三层操作(数据转发、服务器访问等)也都会通过住宅楼接入交换机集中进行，所以住宅楼接入交换机除了具备三层功能之外，还必须具备先进的体系结构、大容量高密度端口线速交换、高可靠性设计、弹性堆叠扩展、精细化用户管理等特性。结合各住宅楼信息点的分布情况，我们推荐采用以下产品，简单介绍如下：

　　采用S5500-28C-SI作为住宅楼接入三层交换机。

　　H3C S5500SI系列交换机是H3C自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。内部交换容量高达128G bit/s，可以充分满足今后以及后续长期内楼层节点三层交换机的应用需求。

S5500-28C-SI

网络解决方案

网络解决方案

小区内部局域网网络拓扑图如下图所示：

小区内部局域网网络拓扑图

 　　核心层设备是新大楼网络的核心枢纽，应该选择高性能、高可靠、高扩展性的核心以太网交换机，本次方案推荐核心采用两台S7503E万兆以太网交换机进行双核心组网，两台设备之间既冗余备份又负载分担。两台S7503E上配置共配置了2个万兆口，用于两台核心之间级连，并预留了1个万兆口为备份或今后的扩容接口。此外还在两台S7503E上共配置了7个千兆光接口，用于连接住宅楼接入交换机，24个千兆电接口用于连接内部服务器以及出口路由器。

　　在本次方案中采用了双核心路由交换机S7503E承担了核心交换机的功能，而这两台核心交换机并不是简单的一主一备的关系。由于住宅楼接入三层交换机采取负载均衡双接口分别接入到两台核心交换机上，所以两台核心交换机同时在承担整个网络的流量。同时，由于住宅楼接入的三层交换机通过双链路分别接入到两台核心交换机上，所以每台核心交换机在另一台设备故障时，可承担整个网络的流量。避免了单点故障对整网的影响范围，从而提高了整个网络的安全性。

　　为了充分保障核心交换平台的高可靠特性，每一台S7503E都配置了双交换引擎和双主控单元以及双电源配置，规格指标达到电信级要求。

　　为了各住宅楼交换机能更好的满足大接入容量、高接入带宽的配置需求，在本次建设中，我们全部选用了S5500-28C-SI多业务万兆交换机做为接入设备，交换容量高达128Gbps，转发能力高达95.2Mpps的高速引擎，在设备的高性能上保证配合在开展视频、语音等高带宽、低时延、大流量业务时，住宅楼接入交换机能无阻塞的实现用户间互访的线速转发，并通过双上行链路和核心交换机互联，保证应用的不间断，提高整网的高效性、稳定性、安全性。

产品：SecPath F1000-A-DC H3C 防火墙

互联网出口总体设计

　　互联网访问是这次的重点，按照目前的成熟配置，选择H3C MSR50-60多业务路由器产品作为出口转发设备。MSR（Multiple Services Router）多业务开放路由器具有先进的软件结构与硬件平台，能够在最小的投资范围内为内部网络提供一体化解决方案，为用户提供集成数据、安全、语音、视频以及各种上层应用业务的服务。另外值得一提的是MSR 50基于OAA（Open Application Architecture）理念设计，创新性的推出了对外开放的业务平台。该平台提供了一套完整、标准的对外接口（API接口）。厂商与合作伙伴均可以在此平台上直接开发各类高级功能（例如应用层攻击抵御、网络病毒防护、多媒体集合通信、Web优化与加速等），用户只需安装开发出的软件，便可以将上述业务与MSR 50无缝融合，为日渐细分的个性化需求提供完整的解决方案。

小区宽带架设总体方案

　　MSR支持完善的下一代IP协议解决方案（IPv6），并可以提供高达200Mbps的处理能力，完全可以满足小区的要求。

　　面对越来越猖獗的网络攻击，作为基础安全保障的防火墙重要性日益凸显出来。Internet上的现成的攻击工具越来越多，而且可以通过Internet广泛传播，由此导致Internet上的攻击行为也越来越多，而且越来越复杂，防火墙必须可以有效的阻挡来自Internet的各种攻击行为H3C SecPath F1000-S通过将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上，不但能为用户提供广泛和深入的安全防护和安全连接功能，同时可以降低与安全相关的总体拥有成本以及部署的复杂程度，是网络安全解决方案的理想选择。H3C SecPath系列防火墙采用专用嵌入式硬件以及系统。经过多年的大规模商用，已经形成了成熟稳定的平台。

SecPath F1000-S 防火墙产品

　　SecPath F1000-S支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测。