网络工程毕业设计——基于HCL的企业网组建-EW帮帮网

设备	VLAN ID	IP地址
HX1	VLAN 10	192.168.10.0/24	业务
HX1	VLAN 20	192.168.20.0/24	业务
HX1	VLAN 30	192.168.30.0/24	业务
HX1	GE1/0/1	10.2.2.2/30	连接IRF
HX2	VLAN 10	192.168.10.0/24	业务
HX2	VLAN 20	192.168.20.0/24	业务
HX2	VLAN 30	192.168.30.0/24	业务
HX2	GE1/0/1	10.3.3.2/30	连接IRF
IRF	GE1/0/1	10.2.2.1/30	连接HX1
IRF	GE2/0/1	10.3.3.1/30	连接HX2
IRF	GE1/0/2	10.0.0.1/30	连接R1
IRF	GE2/0/2	10.1.1.1/30	连接R1
IRF	X-GE1/0/49		堆叠线缆
IRF	X-GE2/0/50		堆叠线缆
R1	GE0/0	10.0.0.2/30	连接IRF
R1	GE0/1	10.1.1.2/30	连接IRF
R1	GE5/0	10.10.10.254/24	连接服务器
R1	GE0/2	自动拨号	连接ISP

2.2.2 IRF技术[7]

IRF

IRF是Intelligent Resilient Framework的简称，即智能弹性架构，是H3C公司专有的设备虚拟化技术，将实际物理设备虚拟化为逻辑设备供用户使用。目前的IRF2.0是一种将多个设备虚拟为单一设备使用的通用虚拟化技术，此技术已经应用于高、中、低端多个系列的交换机设备，通过IRF2.0技术形成的虚拟设备具有更高的扩展性、可靠性及性能。

虚拟化

盒式设备虚拟化形成的IRF相当于一台框式分布式设备，Master相当于IRF的主用主控板，Slave设备相当于备用主控板（同时担任接口板的角色），如图 1所示。

图 1 盒式设备虚拟化效果图

框式分布式设备虚拟化形成的IRF也相当于一台框式分布式设备，只是该虚拟的框式分布式设备拥有更多的备用主控板和接口板。Master的主用主控板相当于IRF的主用主控板，Master的备用主控板以及Slave的主用、备用主控板均相当于IRF的备用主控板（同时担任接口板的角色），如图 2所示。

图 2 框式分布式设备虚拟化效果图

通过IRF连接形成的这台虚拟设备在管理上可以看作是单一实体，用户使用Console口或者Telnet方式登录到IRF中任意一台成员设备，都可以对整个IRF进行管理和配置。虚拟设备中的各种功能也在IRF系统的虚拟化框架下，按照单一的分布式设备的方式运行。

高可靠性

因为IRF通常用于接入层、汇聚层和数据中心，所以对可靠性要求很高。为了尽量缩短因日常维护操作和突发的系统崩溃所导致的停机时间，IRF采用了一系列的冗余备份技术来保证虚拟系统的高可靠性。

IRF采用聚合技术来实现IRF端口的冗余备份。IRF端口的连接可以由多条IRF物理链路聚合而成（如图 3所示），多条IRF物理链路之间可以对流量进行负载分担，这样能够有效提高带宽，增强性能；同时，多条IRF物理链路之间互为备份，保证即使其中一条IRF物理链路出现故障，也不影响IRF功能，从而提高了设备的可靠性。

图 3 IRF端口的冗余备份示意图

IRF形成的虚拟设备采用1:N冗余，即Master负责处理业务，Slave作为Master的备份，随时与Master保持同步。当Master工作异常时，IRF将选择其中一台Slave成为新的Master，由于在IRF系统运行过程中进行了严格的配置同步和数据同步，因此新Master能接替原Master继续管理和运营IRF系统，不会对原有网络功能和业务造成影响，同时，由于有多个Slave设备存在，因此可以进一步提高系统的可靠性。图 4、图 5以路由协议为例，说明协议的备份切换过程。

图 4 协议热备份示意图（成员设备故障前）

图 5 协议热备份示意图（成员设备故障后）

IRF采用分布式聚合技术来实现上/下行链路的冗余备份，可以跨设备配置链路备份，用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口，这样即使某些端口所在的设备出现故障，也不会导致聚合链路完全失效，其它正常工作的成员设备会继续管理和维护剩下的聚合端口（如图 6所示）。这对于核心交换系统和要求高质量服务的网络环境意义重大，它不但进一步消除了聚合设备单点失效的问题，还极大提高全网的可用性。

图 6 上/下行链路的冗余备份示意图

IRF的技术优势

简化管理

IRF形成之后，用户通过任意成员设备的任意端口均可以登录IRF系统，对IRF内所有成员设备进行统一管理。而不用物理连接到每台成员设备上分别对它们进行配置和管理。用户对IRF系统作为一个整体的虚拟设备进行管理，因此需要管理的设备数目减少了，网络的规划过程、组建过程、维护过程都将大大的简化，可以有效的节省管理成本。

简化网络运行，提高运营效率

IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算。另外作为单一设备运行后，原来组网中需要通过设备间协议交互完成的功能，将不再需要，例如常见使用MSTP、VRRP等协议来支持链路冗余、网关备份，使用IRF后接入设备直接连接到单一的虚拟设备，不再需要使用MSTP、VRRP协议。总之，IRF技术省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。

低成本

IRF技术是将一些较低端的设备虚拟成为一个相对高端的设备使用，从而具有高端设备的端口密度和带宽，以及低端设备的成本。比直接使用高端设备具有成本优势。

强大的扩展能力，保护用户投资

随着网络和计算机的日益应用广泛，大部分企业、学校、团体、社区使用网络规模都不是一成不变的，网络规模会随着组织规模的不断增长而增长。在最初规划网络的时候，一般都将会预留一定的容量以便于扩充和升级。但是如果预留的容量太大，对于初期紧张的资金将是一种浪费；预留的容量太小，将来升级时不免会捉襟见肘。这一直是困扰网络规划者的一个难题。

有了IRF，网络的扩容和升级将变得简单和快捷。通过增加成员设备，可以轻松自如的扩展IRF系统的端口数、带宽和处理能力。用户在网络建设初期可以只购买当前需要的网络设备，不需要为将来的网络需求预先买单。当用户进行网络升级时，不需要替换掉原有设备，只需要增加新成员设备既可。用户的投资可以得到最大限度的保护。

高可靠性

IRF的高可靠性体现在多个方面，例如：成员设备之间IRF物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了IRF系统的可靠性；IRF系统由多台成员设备组成，采用1:N备份，一台Master设备负责IRF系统的运行、管理和维护，多台Slave设备在作为备份的同时也可以处理业务，一旦Master设备故障，系统会迅速自动选举新的Master，转发流量和大部分业务都不会出现中断。由于Slave设备并不是专门的备份设备，也同时处理业务，因此用户没有为备份而专门花费资金。

在将框式分布式设备进行虚拟化时，IRF中同时保留框式设备内部的1:1备份，与IRF设备间的1:N备份这两种冗余功能，使得单个主控板异常时，此框式设备由于存在另外的主控板，所有板、卡均可以继续正常工作，进一步提高了系统可用性。

总之，IRF是网络可靠性保障的最优解决方案。

高性能

由于IRF设备是由多个支持IRF特性的单机设备虚拟而成的，IRF设备的交换容量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此，IRF技术能够通过多个单机设备的虚拟化，轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。

丰富的功能

IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交换机特性，并且能够高效稳定地运行这些功能，大大扩展了IRF设备的应用范围。

2.2.3 OSPF路由技术[8]

开放式最短路径优先（Open Shortest Path First，OSPF）是广泛使用的一种动态路由协议，它属于链路状态路由协议，具有路由变化收敛速度快、无路由环路、支持变长子网掩码（VLSM）和汇总、层次区域划分等优点。在网络中使用OSPF协议后，大部分路由将由OSPF协议自行计算和生成，无须网络管理员人工配置，当网络拓扑发生变化时，协议可以自动计算、更正路由，极大地方便了网络管理。但如果使用时不结合具体网络应用环境，不做好细致的规划，OSPF协议的使用效果会大打折扣，甚至引发故障。

OSPF协议是一种链路状态协议。每个路由器负责发现、维护与邻居的关系，并将已知的邻居列表和链路费用LSU(Link State Update)报文描述，通过可靠的泛洪与自治系统AS(Autonomous System)内的其他路由器周期性交互，学习到整个自治系统的网络拓扑结构;并通过自治系统边界的路由器注入其他AS的路由信息，从而得到整个Internet的路由信息。每隔一个特定时间或当链路状态发生变化时，重新生成LSA，路由器通过泛洪机制将新LSA通告出去，以便实现路由的实时更新。

2.2.4 MSTP+VRRP技术[9]

VRRP简介

VRRP用来为网关设备提供冗余备份。如图1-1所示，VRRP将可以承担网关功能的一组设备加入到备份组中，形成一台虚拟路由器，局域网内的主机将此虚拟路由器设置为缺省网关。VRRP根据优先级从备份组中选举出一台网关设备作为Master，负责转发局域网内主机与外部通信的流量，其他网关设备作为Backup。当Master出现故障后，VRRP重新选举新的Master，保证流量转发不会中断。

图1-1 虚拟路由器示意图

VRRP可以监视上行接口或链路的状态。当路由器的上行接口或链路出现故障时，该路由器主动降低自己的优先级，使得备份组内其它路由器的优先级高于这个路由器，以避免这个路由器成为Master，导致流量转发失败。

MSTP简介

MSTP是在STP的基础上发展而来的，用于在局域网中消除数据链路层的物理环路。作为一种二层管理协议，MSTP通过选择性地阻塞网络中的冗余链路来消除二层环路，将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免设备由于重复接收相同报文而造成报文处理能力的下降；同时，它还具备链路备份的功能。与STP相比，MSTP可以实现网络拓扑的快速收敛，也能使不同VLAN的流量沿各自的路径转发，从而为冗余链路提供了更好的负载分担机制。

2.2.5 链路聚合技术技术[10]

链路聚合概述

链路聚合（Link Aggregation）由IEEE802.3ad定义，包括链路聚合目标及实现、聚合子层的功能及操作、链路聚合控制及LACP等。链路聚合将多条物理以太链路聚合形成为一个逻辑链路聚合组，这种聚合对于上层协议和应用是透明的，上层协议和应用将同一聚合组内的多条物理链路视为单一链路，无需改变即可在其上运行。

图1 链路聚合示意图

链路聚合的主要优点

增加带宽：聚合链路的带宽最大为聚合组中所有成员链路的带宽和，目前H3C的交换机产品支持最多64条物理链路聚合，极大的拓展了链路带宽；

增加可靠性：聚合组存在多条成员链路的情况下，单条成员链路故障不会引起聚合链路传输失败，故障链路承载的业务流量可自动切换到其他成员链路进行传输；

可负载分担：业务流量按照一定的规则被分配到多条成员链路进行传输，提高了链路使用率；

可动态配置：缺少人工配置的情况下，链路聚合组能够根据对端和本端的信息灵活调整聚合成员端口的选中/非选中状态。正是由于链路聚合所具有的链路冗余性和可分担性，使其在很多

2.2.6 PPPOE拨号技术[11]

PPPoE简介

PPPoE（Point-to-Point Protocol over Ethernet，在以太网上承载PPP协议）是对PPP协议的扩展，它在以太网上建立PPPoE会话，将PPP报文封装在以太网帧之内，在以太网上提供点对点的连接，解决了PPP无法应用于以太网的问题。PPPoE还可以通过远端接入设备对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能，PPPoE被广泛应用于小区接入组网等环境中。

PPPoE组网结构

PPPoE使用Client/Server模型。PPPoE Client向PPPoE Server发起连接请求，两者之间会话协商通过后，就建立PPPoE会话，此后PPPoE Server向PPPoE Client提供接入控制、认证、计费等功能。

2.2.7 NAT技术[12]

NAT简介

NAT（Network Address Translation，网络地址转换）是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式，将有助于减缓可用IP地址空间的枯竭。

2.3设备需求[13]

[14]

图2.1 华三的 MSR36-20路由器[15]

图2.2 华三的S5820 V2系列交换机

表2.1华三的 MSR36-20路由器[16] 参数[17]

基本参数
路由器类型	网络安全路由器
端口结构	模块化
广域网接口	3个
其它端口	2个USB2.0端口 1个CON/AUX 1个CON（Mini-USB Type AB）
扩展模块	4个SIC插槽+2个DSIC+2个HMIM插槽+1个VPM

功能参数
防火墙	内置防火墙
Qos支持	支持
VPN支持	支持
网络安全	PPPoE Client&Server，PORTAL，802.1x Local认证，RBAC、Radius，Tacacs ASPF，ACL，FILTER、连接数限制 IKE，IPSec L2TP，NAT/NAPT，PKI，RSA，SSH v1.5/2.0，URPF，GRE 支持ARP防攻击支持EAD端点准入防御功能
网络管理	支持SNMP V1/V2c/V3，MIB，SYSLOG，RMON 支持BiMS远程管理方案，支持U盘开局支持命令行管理，文件系统管理， Dual Image 支持DHCP，FTP，HTTP，ICMP，UDP public，UDP private，TCP public，TCP private，SNMP等协议测试支持console口登录，支持telnet（VTY）登录，支持SSH登录，支持FTP登录

其他参数
产品内存	内存（缺省/最大）：2GB/4GB FLASH：256MB
电源电压	AC/POE 100-240V，50Hz/60Hz DC -48--60V
电源功率	125W
产品尺寸	440×480×44.2mm
环境标准	环境温度：0-45℃ 相对湿度：5%-95%（不结露）
其它特点	支持3G
其它性能	IPv4转发性能：5Mpps IPv6转发性能：4Mpps 带业务转发性能（IMIX）：1.5Gbps CF卡（外置）：支持
单价	8000（单位：元）[18]

表2.2华三的S5820 V2系列交换机参数[19]

主要参数
产品类型	万兆以太网交换机
应用层级	三层
传输速率	10/100/1000/10000Mbps
交换方式	存储-转发
背板带宽	1.28Tbps/11.52Tbps
包转发率	960Mpps

端口参数
端口结构	非模块化
端口数量	52个
端口描述	48个SFP Plus/FCoE接口，4个QSFP+口
控制端口	1个Console口，1个管理用以太网口，1个USB口
传输模式	全双工/半双工自适应

功能特性
堆叠功能	可堆叠
VLAN	支持基于端口的VLAN（4094个），支持Default VLAN、Super VLAN、PVLAN，支持QINQ，支持灵活QINQ，支持VLAN Mapping
QOS	支持对端口接收报文的速率和发送报文的速率进行限制，支持CAR功能，每个端口支持8个输出队列，支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WDRR、WRR、WFQ、SP+WDRR等多种模式，支持buffer可配置，支持报文的802.1p和DSCP优先级重新标记，支持L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、端口、协议、VLAN的流分类，支持时间段（Time Range），支持WRED
组播管理	支持IGMP Snooping v2/v3，支持IGMP v1/v2/v3，支持PIM-DM/SM，支持IPv6 PIM-DM/SM/SSM，支持双向PIM、MSDP，支持MLD Snooping，支持组播策略
网络管理	支持命令行接口（CLI）配置，支持Telnet远程配置，支持通过Console口配置，支持schedule job，支持ISSU，支持SNMPv1/2/3，支持IMC网管系统，支持系统日志，支持分级告警，支持NTP，支持电源的告警功能，支持风扇、温度告警，支持调试信息输出，支持Ping、Tracert，支持Track，支持Telnet远程维护，支持USB进行文件上传和下载
安全管理	支持用户分级管理和口令保护，支持集中MAC认证，支持802.1X，支持storm constrain，支持AAA认证，支持RADIUS认证，支持Portal认证，支持HWTACACS，支持SSH 2.0，支持端口隔离，支持IP+MAC+端口绑定，支持IP Source Guard，支持HTTPs，支持SSL，支持PKI(Public Key Infrastructure，公钥基础设施)

其它参数
电源电压	交流额定电压范围：100V～240V AC，50/60Hz 最大电压范围：90V～264V AC，47/63Hz 直流额定电压范围：-48V～-60V DC
电源功率	功耗（静态，短机箱） AC：106W DC：105W 功耗（满负荷，短机箱） AC：196W DC：190W
产品尺寸	440×660×43.6mm 440×440×43.6mm
产品重量	≤13kg
环境标准	工作环境温度：0oC～45oC 工作环境湿度（非凝露）：10%～90%