南京市建筑規(guī)劃設(shè)計研究院設(shè)計方案

CISCO

南京市建筑規(guī)劃設(shè)計研究院方案設(shè)計

技術(shù)方案

目錄

1概述............................................................................5

1.1項目背景................................................................5

1.2建筑規(guī)劃設(shè)計研究院信息化需求與應(yīng)對.....................................5

1.3思科智能化信息網(wǎng)絡(luò)的整體思想...........................................6

2方案總體設(shè)計...................................................................7

2.1技術(shù)方案總體設(shè)計目標(biāo)....................................................7

2.1.1高可用性..........................................................7

2.1.2高安全性..........................................................8

2.1.3可擴(kuò)展性..........................................................8

2.1.4可管理性..........................................................8

2.1.5先進(jìn)性............................................................8

2.2技術(shù)方案設(shè)計原則........................................................9

2.2.1層次化原則........................................................9

2.2.2標(biāo)準(zhǔn)化原則.......................................................10

2.3建筑規(guī)劃設(shè)計研究院網(wǎng)絡(luò)架構(gòu)設(shè)計........................................10

2.3.1整體網(wǎng)絡(luò)拓樸結(jié)構(gòu)設(shè)計.............................................10

2.3.2網(wǎng)絡(luò)系統(tǒng)功能.....................................................12

2.3.3核心層設(shè)計.......................................................13

2.3.4接入層設(shè)計.......................................................15

2.3.5網(wǎng)絡(luò)高可靠性設(shè)計.................................................17

2.3.6數(shù)據(jù)中心設(shè)計.....................................................25

2.3.7IP語音網(wǎng)絡(luò)方案設(shè)計...............................................32

2.3.8IP網(wǎng)絡(luò)視頻方案...................................................36

多接口高清終端.......................................................38

3建筑規(guī)劃設(shè)計研究院安全設(shè)計...................................................43

3.1安全防護(hù)體系設(shè)計思想...................................................43

3.2思科智能安全網(wǎng)絡(luò)平臺概述..............................................44

3.3基礎(chǔ)網(wǎng)絡(luò)平臺的安全.....................................................45

3.3.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施的集成安全防護(hù)......................................45

3.3.2安全域隔離與網(wǎng)絡(luò)出口.............................................50

3.4思科云安全架構(gòu)一企業(yè)新一代的安全數(shù)據(jù)中心.............................53

4企業(yè)商業(yè)的統(tǒng)一通信與協(xié)作解決方案.............................................55

4.1思科統(tǒng)一通信系統(tǒng)概述...................................................55

4.1.1思科統(tǒng)一通信系統(tǒng).................................................55

4.1.2IP電話...........................................................56

4.1.3協(xié)作軟終端(Jabber)設(shè)計............................................59

4.1.4思科統(tǒng)一通信客戶端...............................................68

4.1.5企業(yè)在網(wǎng)狀態(tài)和即時消息...........................................69

4.1.6語音和統(tǒng)一消息...................................................69

4.1.7多媒體會議.......................................................70

4.1.8移動解決方案.....................................................70

4.1.9客戶聯(lián)系解決方案.................................................71

4.1.10管理解決方案.....................................................72

4.2企業(yè)園區(qū)統(tǒng)一通信系統(tǒng)的設(shè)計與部署.......................................72

4.2.1統(tǒng)一通信系統(tǒng)架構(gòu).................................................72

4.2.2撥號方案規(guī)劃.....................................................75

4.2.3內(nèi)網(wǎng)中防火墻穿越的解決...........................................77

4.2.4統(tǒng)一通信系統(tǒng)的管理...............................................77

5思科統(tǒng)一無線網(wǎng)絡(luò)..............................................................80

5.1思科統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)概述..............................................80

5.2實時的射頻自動監(jiān)測（CleanAir）......................................................................................81

5.3ClientLink技術(shù)——更好地保證802.Ha/g終端的高速穩(wěn)定鏈接................84

5.4VideoStream技術(shù)--更好保證高質(zhì)量組播視頻應(yīng)用..........................86

5.5BandSelect技術(shù)一一將雙頻用戶自動引導(dǎo)到干擾更小的5G頻段..............88

5.6無線定位的應(yīng)用.........................................................89

6思科統(tǒng)一計算UCS介紹.........................................................90

6.1思科統(tǒng)一計算系統(tǒng)（UCS）簡介...........................................90

6.2思科統(tǒng)一計算與虛擬化概述..............................................92

6.3思科UCSManager簡介...................................................94

6.4數(shù)據(jù)中心技術(shù)（UCS系統(tǒng)）能力比較.........................................97

6.5思科C系列機(jī)架式服務(wù)器................................................99

7.思科BYOD解決方案.........................................................102

7.1概述..................................................................102

7.1.1ISE簡介.........................................................102

7.1.2ISE功能特性.....................................................103

7.2方案架構(gòu)..............................................................104

7.2.1網(wǎng)絡(luò)拓?fù)?.......................................................104

7.2.2架構(gòu)描述........................................................105

7.3ISE策略服務(wù)引擎.......................................................106

7.3.1身份和訪問策略控制..............................................106

7.3.2認(rèn)證和授權(quán)策略..................................................107

7.3.3終端健康狀態(tài)檢查................................................107

7.3.4訪客服務(wù)和BYOD自助服務(wù)........................................108

7.3.5終端設(shè)備的識別..................................................109

7.3.6集中管理........................................................111

7.4分階段部署.......................................................111

7.4.1監(jiān)控模式........................................................111

7.4.2低影響模式......................................................112

7.4.3高安全模式......................................................113

8.服務(wù)質(zhì)量設(shè)計...............................................................114

8.1QoS基本概念..........................................................114

8.2QoS標(biāo)準(zhǔn)的進(jìn)展........................................................115

8.3QoS架構(gòu)模型..........................................................116

8.4QoS實現(xiàn)技術(shù)..........................................................117

8.5帶寬管理..............................................................119

8.6帶寬高效利用技術(shù)......................................................122

8.7園區(qū)網(wǎng)中的QoS................................................................................................................123

8.8廣域網(wǎng)的QOS....................................................................................................................123

8.9建筑規(guī)劃設(shè)計研究院QoS解決方案......................................124

9結(jié)束語用戶為什么選擇思科...................................................125

1概述

1.1項目背景

1.2建筑規(guī)劃設(shè)計研究院信息化需求與應(yīng)對

應(yīng)對越來越嚴(yán)峻的信息化時代挑戰(zhàn)，企業(yè)需要網(wǎng)絡(luò)的強(qiáng)大支持能力。傳統(tǒng)

的園區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，業(yè)務(wù)控制網(wǎng)絡(luò)一般是分離的。早些時候，控制設(shè)備生產(chǎn)

廠商沒有統(tǒng)一、可靠的標(biāo)準(zhǔn)滿足實時數(shù)據(jù)傳輸?shù)囊螅源蠹腋髯詾殛?，?/p>

成專用的網(wǎng)絡(luò)，導(dǎo)致了生產(chǎn)控制網(wǎng)絡(luò)與數(shù)據(jù)網(wǎng)絡(luò)是不兼容。生產(chǎn)控制網(wǎng)絡(luò)需要

通過專門的網(wǎng)關(guān)與企業(yè)網(wǎng)絡(luò)相連，二者之間交換的數(shù)據(jù)非常少，網(wǎng)絡(luò)的效率低

下。而者，網(wǎng)關(guān)設(shè)備昂貴，花費(fèi)了企業(yè)大量的開支。由于需要專門技能的工程

師維護(hù)，維護(hù)成本也相當(dāng)高。

當(dāng)前，比較明智的做法是，通過IP網(wǎng)絡(luò)統(tǒng)一連接業(yè)務(wù)控制設(shè)備。由于以太

網(wǎng)標(biāo)準(zhǔn)應(yīng)用廣泛，已經(jīng)被生產(chǎn)控制廠商采納，絕大多數(shù)生產(chǎn)控制設(shè)備都支持以

太網(wǎng)。從安全、可靠性的角度考慮，通過虛網(wǎng)(VLAN)技術(shù)，可以在邏輯上將

業(yè)務(wù)控制網(wǎng)絡(luò)系統(tǒng)與辦公、財務(wù)、研究部分等網(wǎng)絡(luò)相對隔離，保證業(yè)務(wù)控制網(wǎng)

絡(luò)安全、可靠運(yùn)行。

這樣，IP網(wǎng)絡(luò)成了園區(qū)企業(yè)網(wǎng)絡(luò)的通用協(xié)議，企業(yè)的ERP、0A、數(shù)據(jù)庫、

虛擬桌面、研究等系統(tǒng)，全部建立在IP網(wǎng)絡(luò)之上。

進(jìn)一步，網(wǎng)絡(luò)的功能向應(yīng)用端擴(kuò)展，不只是提供簡單的數(shù)據(jù)傳輸功能。通

集成一些過通用的共享應(yīng)用和資源服務(wù)、虛擬化的組件，簡化應(yīng)用系統(tǒng)的開發(fā),

優(yōu)化系統(tǒng)設(shè)計。

1.3思科智能化信息網(wǎng)絡(luò)的整體思想

網(wǎng)絡(luò)已經(jīng)成為所有企業(yè)應(yīng)用的基礎(chǔ)。思科公司基于自身在協(xié)議優(yōu)化、路由

交換以及多業(yè)務(wù)集成方面的專業(yè)經(jīng)驗，提出了面向應(yīng)用的網(wǎng)絡(luò)架構(gòu)，將一些普

遍使用的服務(wù)集成至網(wǎng)絡(luò)中，從而更加方便的向應(yīng)用提供這些服務(wù)。

具體地說，在網(wǎng)絡(luò)基礎(chǔ)設(shè)備層的基礎(chǔ)上，可以將安全服務(wù)、移動服務(wù)、存

儲服務(wù)、語音和協(xié)作服務(wù)、計算服務(wù)、身份識別服務(wù)等虛擬化，通過中間件和

應(yīng)用平臺統(tǒng)一提供給應(yīng)用層。方便企業(yè)構(gòu)建及時消息、統(tǒng)一消息、多媒體會議、

IP呼叫中心、IP電話、視頻傳輸?shù)葏f(xié)作應(yīng)用，亦可以將這些服務(wù)集成到0A、

CRM、ERP、SCM、研發(fā)管理、E-Learning等系統(tǒng)當(dāng)中。

辦公桌蛻CRMERP及時消且統(tǒng)一福息多媒體會議

研發(fā)借理系塊ELearningSCMiIP呼叫中心用電話視頰傳愉

中網(wǎng)件和及用平臺

應(yīng)用文村面向授用的網(wǎng)絡(luò)

次

陽

東

務(wù)安全服務(wù)XD語百然IMT朦務(wù)

覆

虛

”移動性服務(wù)基礎(chǔ)設(shè)施服務(wù)計算服務(wù)

飄

?化

存儲小務(wù)身份識別暇務(wù)

同絡(luò)設(shè)能則化

迅

?

密

S國也分支和K中心企業(yè)功編WAN^AN玩程辦公

*

承心善等懷痛客戶法

虞

以上我們看到網(wǎng)絡(luò)在功能方面向高層應(yīng)用擴(kuò)展的路徑。下面，我們從一個

企業(yè)的角度，看看網(wǎng)絡(luò)建設(shè)的發(fā)展過程。思科公司根據(jù)自己對網(wǎng)絡(luò)的深刻理解

和把握，提出了行業(yè)智能化信息網(wǎng)絡(luò)發(fā)展三個階段的藍(lán)圖：第一階段實現(xiàn)網(wǎng)絡(luò)

的整合，將數(shù)據(jù)、語音、視頻、移動、存儲、服務(wù)器統(tǒng)一到一個網(wǎng)絡(luò)平臺，企

業(yè)可以從網(wǎng)絡(luò)基礎(chǔ)設(shè)施獲取更多價值；第二階段服務(wù)的整合，讓資源的虛擬化,

從而更加有效、靈活地利用聯(lián)網(wǎng)的資源；第三階段實現(xiàn)應(yīng)用的優(yōu)化，網(wǎng)絡(luò)以應(yīng)

用為導(dǎo)向，用戶可以隨時以任何方式訪問他們所需要的應(yīng)用和信息。

生產(chǎn)部門營箱部門研發(fā)部門青理都門

應(yīng)用的優(yōu)化

服務(wù)也守上j應(yīng)用導(dǎo)向的網(wǎng)絡(luò)第3階段從底用和服務(wù)中

荻取更多價值

建網(wǎng)絡(luò)的整合，；IE）費(fèi).的虛4牝第瀚鼠

即從基礎(chǔ)設(shè)施和資源

業(yè)中荻取更多價值

X從網(wǎng)絡(luò)基礎(chǔ)中獲

取更多價值

時㈣

2方案總體設(shè)計

2.1技術(shù)方案總體設(shè)計目標(biāo)

2.1.1高可用性

對于園區(qū)網(wǎng)企業(yè)的生產(chǎn)網(wǎng)絡(luò)，高可用性是進(jìn)行網(wǎng)絡(luò)設(shè)計的基本目標(biāo)。高可

用性是指一方面要保證導(dǎo)致網(wǎng)絡(luò)不可用的設(shè)備故障時間極短，另一方面，還要

要保證網(wǎng)絡(luò)能夠滿足各類數(shù)據(jù)傳輸?shù)男枨?，不會因性能下降而?dǎo)致不可接受的

響應(yīng)時間；

在達(dá)到高可用性的目標(biāo)網(wǎng)絡(luò)設(shè)計中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)結(jié)合

起來，充分考慮到生產(chǎn)網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。設(shè)計中將采用高可靠

性的網(wǎng)絡(luò)產(chǎn)品和完備的網(wǎng)絡(luò)備份策略來滿足可靠性的要求，對于不同層次的設(shè)

備和線路進(jìn)行不同級別的可靠性設(shè)計，使網(wǎng)絡(luò)具有故障自愈的能力?？煽啃栽O(shè)

計不僅包括網(wǎng)絡(luò)設(shè)備等物理設(shè)計的可靠性，同時包括路由等邏輯設(shè)計的可靠性。

企業(yè)園區(qū)企業(yè)的骨干網(wǎng)絡(luò)的可用性應(yīng)當(dāng)達(dá)到99.999%的目標(biāo)。

2.1.2高安全性

特殊的生產(chǎn)型業(yè)務(wù)性質(zhì)決定了網(wǎng)絡(luò)安全對于企業(yè)園區(qū)企業(yè)有著極為重要的

意義，在網(wǎng)絡(luò)設(shè)計過程中采用一體化的網(wǎng)絡(luò)安全設(shè)計思想，從而充分保證網(wǎng)核

心骨干、匯聚、邊緣接入多個部分網(wǎng)絡(luò)訪問的高安全性，將來可以實現(xiàn)到自防

御網(wǎng)絡(luò)體系的平滑升級。

2.1.3可擴(kuò)展性

業(yè)務(wù)的發(fā)展對網(wǎng)絡(luò)的需求是不斷變化的，網(wǎng)絡(luò)應(yīng)用系統(tǒng)為了滿足這些需求

也會隨之變化。面對不斷變化的情況和需求，網(wǎng)絡(luò)應(yīng)當(dāng)能夠作出快速和有效的

反應(yīng)。因此，網(wǎng)絡(luò)必須具備良好的可擴(kuò)展性，應(yīng)支持核心業(yè)務(wù)系統(tǒng)的不斷擴(kuò)展,

適應(yīng)未來業(yè)務(wù)的發(fā)展和變化。同時，網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)當(dāng)能夠變化，具有靈活的伸縮

能力，網(wǎng)絡(luò)設(shè)備可以擴(kuò)充和升級。

2.1.4可管理性

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)的不斷復(fù)雜，網(wǎng)絡(luò)的維護(hù)量隨之增加。整

個網(wǎng)絡(luò)的可管理性變得尤為重要。因此，網(wǎng)絡(luò)系統(tǒng)應(yīng)當(dāng)具有統(tǒng)一的可管理性，

建立統(tǒng)一-的網(wǎng)絡(luò)管理平臺。不僅實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，同時實現(xiàn)對網(wǎng)絡(luò)策略

的管理和不同協(xié)議的多級維護(hù)。

2.1.5先進(jìn)性

采用國際領(lǐng)先的網(wǎng)絡(luò)產(chǎn)品和相關(guān)技術(shù)，支持業(yè)界最豐富的網(wǎng)絡(luò)應(yīng)用協(xié)議，

支持現(xiàn)有業(yè)務(wù)和將來增加的新業(yè)務(wù)，保證骨干網(wǎng)上各類業(yè)務(wù)可靠傳輸和服務(wù)質(zhì)

量，滿足企業(yè)園區(qū)企業(yè)未來業(yè)務(wù)快速發(fā)展的需求。

2.2技術(shù)方案設(shè)計原則

2.2.1層次化原則

在園區(qū)和數(shù)據(jù)中心企業(yè)未來網(wǎng)絡(luò)架構(gòu)設(shè)計中，為了實現(xiàn)一個可管理的、可

靠的、高性能網(wǎng)絡(luò)，我們將采用網(wǎng)絡(luò)扁平化的的方法，將網(wǎng)絡(luò)分為核心層、分

布層或接入層三個層次進(jìn)行設(shè)計。這種層次結(jié)構(gòu)劃分方法也是目前國內(nèi)外先進(jìn)

網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在這種結(jié)構(gòu)下，兩個層次的網(wǎng)絡(luò)設(shè)備各

司其職又相互協(xié)同工作，從而有效保證了整個網(wǎng)絡(luò)的高可靠性、高性能、高安

全性和靈活的擴(kuò)展性。

拓?fù)浣Y(jié)構(gòu)如下圖所示：

其每一層的網(wǎng)絡(luò)設(shè)備功能描述如下：

＞核心層：提供高速的三層交換骨干

＞核心層不進(jìn)行終端系統(tǒng)的連接；

>核心層少用或不實施影響高速交換性能的ACL等功能。

>分布層：作為接入層和核心層的分界層，分布層完成以下的功能：

>本功能區(qū)VLAN間的路由；

>IP地址或路由區(qū)域的匯聚；

>接入層：提供Layer2或Layer3的網(wǎng)絡(luò)接入，通過VLAN定義實現(xiàn)接入

的隔離。網(wǎng)絡(luò)接入層具有以下特點：

>接入層接入端口規(guī)劃容量根據(jù)實際使用情況具有一定的擴(kuò)展性；

上述每一個層次結(jié)構(gòu)內(nèi)部需要采用冗余的架構(gòu)來保障該層功能的穩(wěn)定可靠。

2.2.2標(biāo)準(zhǔn)化原則

網(wǎng)絡(luò)設(shè)計中所用的各種管理信令、接口規(guī)程、協(xié)議須符合國際標(biāo)準(zhǔn)，便于

擴(kuò)展和網(wǎng)絡(luò)的互連互通。支持國際上各種通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議和標(biāo)準(zhǔn)等，支持

大型的動態(tài)路由協(xié)議，支持策略路由功能。保證與其它網(wǎng)絡(luò)（如互聯(lián)網(wǎng)等）之

間的平滑連接。

2.3建筑規(guī)劃設(shè)計研究院網(wǎng)絡(luò)架構(gòu)設(shè)計

2.3.1整體網(wǎng)絡(luò)拓樸結(jié)構(gòu)設(shè)計

總體網(wǎng)絡(luò)拓?fù)湓O(shè)計如下圖:

整個網(wǎng)絡(luò)采用層次化設(shè)計原則，全網(wǎng)分為兩套網(wǎng)絡(luò)為園區(qū)、數(shù)據(jù)中心網(wǎng)絡(luò)。

從網(wǎng)絡(luò)的邏輯結(jié)構(gòu)來看，網(wǎng)絡(luò)分為二層，即：核心層、匯聚層或接入層。核心

層由2臺核心交換機(jī)組成，核心交換機(jī)之間通過10G萬兆光纖冗余互聯(lián)形成高

速萬兆核心層。各匯接入交換機(jī)通過萬兆光纖分別冗余上聯(lián)至核心路由交換機(jī)。

網(wǎng)絡(luò)的園區(qū)生產(chǎn)辦公區(qū)域設(shè)計如下圖所示:

園區(qū)網(wǎng)拓?fù)?/p>

z

-

i

r

整個網(wǎng)絡(luò)核心設(shè)備為兩臺catalyst6509交換機(jī)，接入層采用catalyst3850系

列UADP（統(tǒng)一接入數(shù)據(jù)板）POE交換機(jī)。所有區(qū)域進(jìn)行無線信號覆蓋。采用控制器

+AP的模式。配合語音路由器和服務(wù)器在內(nèi)網(wǎng)部署IP電話。網(wǎng)絡(luò)交界處采用2

臺ASA5585防火墻做防火墻集群.

2.3.2網(wǎng)絡(luò)系統(tǒng)功能

本方案選用核心10GE萬兆以太網(wǎng)絡(luò)技術(shù)，同時選用了Cisco公司成熟、穩(wěn)

定、先進(jìn)的企業(yè)級最高端路由交換機(jī)，并對企業(yè)網(wǎng)絡(luò)進(jìn)行優(yōu)化設(shè)計，使園區(qū)網(wǎng)

絡(luò)系統(tǒng)具備豐富的網(wǎng)絡(luò)系統(tǒng)功能，為企業(yè)生產(chǎn)業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行奠定了堅實

的基礎(chǔ)。

企業(yè)智能化信息網(wǎng)絡(luò)系統(tǒng)功能總結(jié)如下：

高速L2/L3層數(shù)據(jù)傳輸：核心層至匯聚層可選10GE或1GE冗余鏈路，

匯聚層至接入層1GE冗余鏈路。

持續(xù)可用性（高可靠性）：核心節(jié)點、匯聚節(jié)點采用冗余雙設(shè)備，核心

節(jié)點之間網(wǎng)狀冗余連接，核心節(jié)點和匯聚節(jié)點之間雙鏈路冗余互連，

接入節(jié)點雙鏈路冗余上聯(lián)至匯聚節(jié)點，使用高度智能的動態(tài)路由協(xié)議,

核心和匯聚設(shè)備均采用雙電源的冗余配備。網(wǎng)絡(luò)系統(tǒng)在設(shè)備級、鏈路

級、系統(tǒng)級均具備極高可靠性。

支持MPLSVPN功能：所有核心節(jié)點路由交換機(jī)及所有板卡具備全部

MPLS功能，可以為企業(yè)園區(qū)企業(yè)園區(qū)網(wǎng)絡(luò)提供完善的MPLSVPN功能。

提供Multicast組功能：本方案中選用的所有Cisco路由交換機(jī)均具備

豐富的組播功能，不僅具備所有其它廠商設(shè)備所有組播功能外，Cisco

還提供其它廠商不具備的更優(yōu)化、更高性能的SSM和IGMPV3功能，同

時Cisco網(wǎng)絡(luò)系統(tǒng)還提供獨有的MPLS-VPN內(nèi)組播功能-----該功能對

企業(yè)園區(qū)企業(yè)網(wǎng)絡(luò)視頻監(jiān)控業(yè)務(wù)非常有用。方案中選用的CISCO路由

交換機(jī)都支持組播管理MIB,可以通過Cisco組播網(wǎng)絡(luò)管理軟件（CMM）

進(jìn)行組播管理，可以打消用戶對組播流像是“黑夜行船"無法控制的顧慮。

提供豐富的Qos功能：本網(wǎng)絡(luò)系統(tǒng)提供DiffServQos機(jī)制，避免了瞬時

擁塞造成關(guān)鍵業(yè)務(wù)、關(guān)鍵數(shù)據(jù)丟失，確保網(wǎng)絡(luò)系統(tǒng)的持續(xù)可用。

提供了豐富的網(wǎng)絡(luò)安全功能：Cisco網(wǎng)絡(luò)設(shè)備本身具備許多豐富的安全

防護(hù)功能，從而使網(wǎng)絡(luò)系統(tǒng)自身具備極高的威脅抵御能力，同時利用

ASA自適應(yīng)安全設(shè)備、IPS/IDS入侵檢測設(shè)備，或采用6500平臺上的安

全服務(wù)模塊，更進(jìn)一步提高了網(wǎng)絡(luò)系統(tǒng)的安全防御能力。

2.3.3核心層設(shè)計

對于企業(yè)生產(chǎn)網(wǎng)絡(luò)的核心層，我們建議采用思科部署在Catalyst6500交換

機(jī)平臺上的虛擬交換系統(tǒng)（VSS）技術(shù)進(jìn)行構(gòu)建。

Catalyst6500交換機(jī)上采用的虛擬交換系統(tǒng)技術(shù)為IT經(jīng)理設(shè)立了一個新標(biāo)

準(zhǔn)，能夠幫助他們在構(gòu)建永續(xù)、高度可用的狀態(tài)化網(wǎng)絡(luò)的同時，優(yōu)化網(wǎng)絡(luò)資源

的使用。VSS將在數(shù)據(jù)中心接入層以及園區(qū)和數(shù)據(jù)中心分布層/核心層設(shè)計中發(fā)

揮重要作用。

CiscoCatalyst6500系列交換機(jī)虛擬交換系統(tǒng)（VSS）

Cisco?Catalyst?6500系列交換機(jī)虛擬交換系統(tǒng)（VSS）是一種網(wǎng)絡(luò)系統(tǒng)虛擬

化技術(shù)，將兩臺采用了VirtualSwitchingSupervisor2T的CiscoCatalyst6500系列

交換機(jī)組合為單一虛擬交換機(jī)。在VSS中，這兩個交換機(jī)中的管理引擎的數(shù)據(jù)

面板和交換陣列能同時激活，因此總系統(tǒng)交換能力可達(dá)4Tbps?

VSS成員通過虛擬交換機(jī)鏈路（VSL）連接。VSL在虛擬交換機(jī)成員之間使

用標(biāo)準(zhǔn)萬兆以太網(wǎng)連接（多達(dá)8條，以提供冗余性）。通過在VirtualSwitching

Supervisor2T或模塊的任意端口上使用萬兆以太網(wǎng)上行鏈路，即能形成VSL。除

在VSS成員間進(jìn)行控制面板通信外，VSL也能傳輸普通用戶流量。

VSS支持所有采用集中或分布式（利用DFC4C或DFC4CXL）轉(zhuǎn)發(fā)模式的

CiscoCatalyst6500系歹U交換機(jī)6800系歹模塊。

VSS有哪些優(yōu)勢？

與傳統(tǒng)的L2/L3網(wǎng)絡(luò)設(shè)計相比，VSS提供了多項顯著優(yōu)勢。大體說來，其優(yōu)

勢可歸納為以下三個主要方面：

VSS能夠提高運(yùn)營效率

-單管理點，包括配置文件和單一網(wǎng)關(guān)IP地址（無需HSRP/VRRP/GLBP）

-多機(jī)箱EtherChannel?（MEC）創(chuàng)建了簡單的無環(huán)路拓?fù)浣Y(jié)構(gòu)，不再依靠

生成樹協(xié)議（STP）

-底層物理交換機(jī)經(jīng)由標(biāo)準(zhǔn)萬兆以太網(wǎng)接口相連，在位置方面提供了靈活的

部署選項

VSS能夠優(yōu)化不間斷通信

-機(jī)箱間狀態(tài)化故障切換不會干擾需要使用網(wǎng)絡(luò)狀態(tài)信息的應(yīng)用。憑借VSS,

在一個虛擬交換機(jī)成員發(fā)生故障時，不再需要進(jìn)行L2/L3重收斂，能在一秒內(nèi)

實現(xiàn)確定性虛擬交換機(jī)的恢復(fù)。

-與基于生成樹協(xié)議的收斂不同，使用EtherChannel(802.3ad或PAgP)能

在一秒內(nèi)完成確定性L2鏈路恢復(fù)。

VSS能夠?qū)⑾到y(tǒng)帶寬容量擴(kuò)展到4Tbps

-在冗余CiscoCatalyst6500系列交換機(jī)上激活所有可用的L2帶寬，在

EtherChannel基礎(chǔ)上進(jìn)行精確的負(fù)載均衡。

-為冗余數(shù)據(jù)中心交換機(jī)上的服務(wù)器網(wǎng)絡(luò)接口卡(NIC)提供基于標(biāo)準(zhǔn)的鏈

路匯聚，實現(xiàn)最高服務(wù)器帶寬吞吐率。

消除了因非對稱路由引起的單播洪泛，減少了園區(qū)內(nèi)流量的跳數(shù)，從而

節(jié)省了帶寬。

2.3.4接入層設(shè)計

接入層建議配置思科UADPASIC的全新思科統(tǒng)一接入網(wǎng)絡(luò)產(chǎn)品：CiiscoCatalyst3850

統(tǒng)一接入交換機(jī)，內(nèi)建有無線局域網(wǎng)(WLAN)控制器功能業(yè)級的堆疊式交換機(jī)

Catalyst3850系列。

思科統(tǒng)一接入網(wǎng)絡(luò)架構(gòu)在全新思科統(tǒng)一接入數(shù)據(jù)板(UnifiedAccessDataPlane,UADP)

專用集成電路（ASIC）基礎(chǔ)之上，將有線和無線流量的處理工作整合到統(tǒng)一的數(shù)據(jù)板中。

這一全新的ASIC能夠高性能、大規(guī)模的處理有線和無線流量，并可為有線和無線網(wǎng)絡(luò)提供

一致的服務(wù)，有效簡化網(wǎng)絡(luò)管理員的工作。無線AP的流量可以直接在3850交換機(jī)上終結(jié),

這就意味著終結(jié)CAPWAP數(shù)據(jù)和管理隧道，本地轉(zhuǎn)換無線（802.11）數(shù)據(jù)流量到有線（802.3）流

量，反之亦然。該融合同時進(jìn)一步加強(qiáng)了新交換機(jī)的容量，以支持更強(qiáng)大的無線吞吐帶寬,

在3850交換機(jī)上高達(dá)40Gbps,對于5760控制器則高達(dá)60Gbps,從而確保網(wǎng)絡(luò)容量應(yīng)對

不斷擴(kuò)張的移動數(shù)據(jù)。思科UADPASIC采用了可編程的數(shù)據(jù)板，支持部署軟件定義的網(wǎng)絡(luò)

服務(wù)。Catalyst3850系列為有線和無線網(wǎng)絡(luò)提供了統(tǒng)一物理基礎(chǔ)設(shè)施。Catalyst

3850交換機(jī)具備集成的有線和無線局域網(wǎng)控制器功能。同時它還具備通用、一

致的網(wǎng)絡(luò)智能，有助于加快故障排除速度的全網(wǎng)絡(luò)可視性與分析功能，以及覆

蓋整個有線-無線基礎(chǔ)設(shè)施的精細(xì)分層服務(wù)質(zhì)量（QoS）功能。這一通用、一致

的智能通過使用統(tǒng)一I0S和統(tǒng)一有線/無線ASIC（思科全新的UADPASIC）實現(xiàn)。

可利用思科StackWisePlus技術(shù)創(chuàng)建一個堆疊帶寬達(dá)到480G（四臺堆疊）

的統(tǒng)一堆疊系統(tǒng)，有很強(qiáng)的恢復(fù)能力，它使用單個IP地址、單個Telnet會話、

單個命令行界面（CLI）、自動版本檢查、自動配置等提供簡化的管理。StackWise

Plus也支持CiscoCatalyst3850系列交換機(jī)中的本地交換功能。如果本地交換數(shù)

據(jù)包進(jìn)入CiscoCatalyst3850系列的某個端口，而其目的地是同一交換機(jī)中的另

一個端口，則數(shù)據(jù)包不必遍歷整個堆疊環(huán)，從而提高交換機(jī)的轉(zhuǎn)發(fā)容量。

此外，CiscoCatalyst3850系列在業(yè)界率先引入了CiscoStackPower技術(shù),這

個創(chuàng)新的電源互連系統(tǒng)能讓堆疊中的電源作為公共資源，在所有的交換機(jī)之間

進(jìn)行共享。使用StackPower電纜（，通過交換機(jī)背面的特殊連接器，可以在

StackPower堆疊中配置多達(dá)四臺交換機(jī)。

位于接入層的Catalyst3850堆疊交換機(jī)可以通過萬兆光纖主干上連核心交

換機(jī)的萬兆端口。該系列交換機(jī)支持三種4端口的上行鏈路網(wǎng)絡(luò)模塊。

用戶可以靈活選擇2或者4個lOGbE端口（C3850-NM-2-10G）或4個lOGbE

端口（C3850-NM-4-10G）的網(wǎng)絡(luò)模塊。lOGbE上行鏈路模塊提供4個物理端口，各

包括2個SFP+和常規(guī)SFP端口。SFP+接口支持lOGbE和GbE端口，能讓客戶利

用在GbESFP中的投資，并隨業(yè)務(wù)需求的變化升級到lOGbE,而不必進(jìn)行訪問

交換機(jī)的全面升級。上行鏈路模塊可熱插拔。

所有接入交換機(jī)采用2條\4條萬兆光纖線路雙上聯(lián)至核心交換機(jī)。

2.3.5網(wǎng)絡(luò)高可靠性設(shè)計

網(wǎng)絡(luò)的可靠性是為了避免單點故障的出現(xiàn)。主要體現(xiàn)在兩個方面：一方面

在于網(wǎng)絡(luò)拓?fù)涞脑O(shè)計，盡量使網(wǎng)絡(luò)上不存在單點故障；另一方面，網(wǎng)絡(luò)設(shè)備必

須支持插卡、接口、電源等部件的冗余與熱插拔能力以及支持例如

VRRP/HSRP/GLBP等冗余協(xié)議。但是網(wǎng)絡(luò)的可靠性并不是單一設(shè)備可靠性的簡單

疊加，它主要包括：

設(shè)備級別的可靠性

鏈路級別的可靠性

下面將詳細(xì)介紹思科公司是如何使用獨特的可靠性機(jī)制和技術(shù)創(chuàng)新來保障

企業(yè)用戶關(guān)鍵信息的可靠傳遞。

設(shè)備級別的可靠性

思科模塊化交換機(jī)集成的硬件冗余設(shè)計

設(shè)備級別的高可靠性設(shè)計是網(wǎng)絡(luò)核心設(shè)備選型時最關(guān)鍵因素。此時我們往

往只考慮設(shè)備硬件的冗余，忽略了運(yùn)行和存儲于硬件上的軟件、網(wǎng)絡(luò)信息和管

理信息。

一般情況下，設(shè)備級別的可靠性主要包括：

1.物理冗余：提供雙電源、雙引擎、雙交換矩陣和雙時鐘，甚至雙核心設(shè)

備。思科的模塊化交換機(jī)，包括Catalyst6500的體系架構(gòu)都是專為保證企業(yè)業(yè)

務(wù)彈性而設(shè)計的，所有關(guān)鍵部件如路由交換引擎、電源、風(fēng)扇均支持1+1或

N+1冗余備份，所有的板卡都支持熱插拔，并且采用隔離的無源背板連接各個

部件，避免了某些廠商使用有源背板帶來的單點故障問題。

2.邏輯冗余：利用EthernetChannel、FastEthernetChannel和Gigabit

EthernetChannel技術(shù)為設(shè)備間鏈路提供負(fù)載的分擔(dān)和鏈路的冗余；利用

VRRP/HSRP/GLBP技術(shù)為第三層路由提供冗余，并利用所形成的虛擬路由器實現(xiàn)

路由器之間的負(fù)載分擔(dān)和冗余操作。后面的章節(jié)會詳細(xì)介紹思科冗余網(wǎng)關(guān)協(xié)議

的選擇。

3.不間斷轉(zhuǎn)發(fā)(NonstopForwarding,NSF)和狀態(tài)化切換(Stateful

Switchover,SSO)功能：用于維護(hù)路由器中兩個交換引擎之間路由狀態(tài)信息，

使主備引擎可以在不中斷網(wǎng)絡(luò)運(yùn)行或丟棄包的情況下進(jìn)行切換；在切換期間，

CiscoSSO提供零中斷的第二層連接，而CiscoNSF保證轉(zhuǎn)發(fā)第三層數(shù)據(jù)包時保證

不丟失分組，或丟失量最小。分組連續(xù)轉(zhuǎn)發(fā)可以重新建立對等關(guān)系，而無需在

整個網(wǎng)絡(luò)中再次收斂路由協(xié)議。

必不可少的第二層和第三層彈性

SSO用于L2接入層交換機(jī)

NSF/SSO使得L3不會出現(xiàn)路由震蕩

IP電話通話不會摞線(在L2范圍內(nèi)和跨L3)

小于3秒鐘的切換時E

，13

certified

“安全和可靠”

Catalyst6500支持NSF/SSO特性。

不間斷的應(yīng)用轉(zhuǎn)發(fā)

?無縫的交搜引整切投

?自動熨手動切換

?不中斷敷據(jù)包轉(zhuǎn)發(fā)

?免殳現(xiàn)件/軟件故障

?笫二層=狀態(tài)化切換(SSO)

?第三層=不叵斷轉(zhuǎn)發(fā)(NSF/SSO)

SSO同步

按口權(quán)卡PortSecurity802.1x

按礴點GMPSnoopingAPPOCP

裝口㈱卡.VLANs/Trunks/PortsSUWTWDTP

搓口板卡PAgplACP80210

接口板卡ACUQoSVoiceVLANw?hPoE

NSF/SSO是制造企業(yè)未來多業(yè)務(wù)融合網(wǎng)絡(luò)必不可少的關(guān)鍵特性，第三方權(quán)

威測試機(jī)構(gòu)OPUS實驗室對思科模塊化交換機(jī)的NSF/SSO特性作了嚴(yán)格測試。

測試網(wǎng)絡(luò)中部署了思科IP電話系統(tǒng)和無線局域網(wǎng)接入點。測試結(jié)果表明思科

NSF/SSO特性充分保證了第二層和第三層的彈性，L2的狀態(tài)在引擎切換過程中

保持，L3的路由也不會發(fā)生震蕩。網(wǎng)絡(luò)上的關(guān)鍵業(yè)務(wù)，尤其象IP語音通信這樣

的時延敏感應(yīng)用也不會受影響，正在通話的IP電話通話不會掉線，無論此通話

是保持在L2范圍內(nèi)還是跨過了L3的網(wǎng)絡(luò)。進(jìn)一步的測試還表明NSF/SSO特性

不會降低用戶網(wǎng)絡(luò)的安全性，即在主備引擎切換過程中，所有設(shè)置的安全機(jī)制

ACL策略等等都保持工作，不會給外來黑客有可趁之機(jī)。

4.在線軟件升級(ISSU)：此功能指的是在升級系統(tǒng)的軟件或軟件模塊不會

中斷或影響系統(tǒng)的操作。在線軟件升級功能是

在線軟件升級(ISSU)

?完整鏡像文件升我?選擇性維護(hù)?部件升級

?新功能和補(bǔ)丁?給鏡像某個部件打補(bǔ)丁?在原有鏡像基礎(chǔ)上加入

新功能

思科Catalyst6500系列中的IOS軟件模塊化特性主要有簡化軟件變更、最

小化計劃外宕機(jī)時間和實現(xiàn)自動化策略控制三個方面的好處：

首先，IOS模塊化簡化了軟件變更。通常，企業(yè)IT部門部署新軟件之前

都要經(jīng)過驗證，規(guī)劃宕機(jī)時間表，最終部署。而模塊化的IOS軟件大大加快了

驗證速度，減小了軟件兼容風(fēng)險，另外，通過不間斷軟件升級(ISSU)子系統(tǒng),

可以在其他組件正常運(yùn)行的同時更改代碼，從而實現(xiàn)零宕機(jī)時間。根據(jù)客戶調(diào)

查的結(jié)果，企業(yè)可以將驗證和部署新軟件的時間從幾個月縮短到幾周，這對于

保障關(guān)鍵業(yè)務(wù)，諸如交易平臺、醫(yī)療應(yīng)用、支持音頻和視頻的實時網(wǎng)絡(luò)服務(wù)等

業(yè)務(wù)都非常重要。簡化的軟件變更還大大加強(qiáng)了企業(yè)的網(wǎng)絡(luò)安全水平。

其次，通過可自行恢復(fù)的獨立進(jìn)程，IOS模塊化可以最小化計劃外宕機(jī)

時間。IOS模塊化將不同的進(jìn)程限制在獨立的受保護(hù)的存儲空間中，這項創(chuàng)新

使系統(tǒng)可以單獨重啟某項進(jìn)程，并提供不同進(jìn)程的狀態(tài)檢測，這樣，出錯的進(jìn)

程就可以重新啟動并恢復(fù)到上一個已知的狀態(tài)和配置，而不必重新啟動整個系

統(tǒng)。重啟恢復(fù)時間也從數(shù)分鐘縮短到數(shù)毫秒。

第三，通過整合內(nèi)置事件管理器（EEM）提供進(jìn)程級別的自動化策略控

制。自動化策略控制將耗時的任務(wù)下放給網(wǎng)絡(luò)，讓IT部門可以專注于更有價值

的工作。這就幫助企業(yè)減小了"運(yùn)營鴻溝"的不利影響。網(wǎng)絡(luò)管理員可以用思科

命令行界面（CLI）或工具通用語言（TCL）代碼來制定策略，這些策略可用于

不同方面，包括檢測服務(wù)器上可用的升級補(bǔ)丁，下載補(bǔ)丁，并在預(yù)先指定的時

間安裝等。

Catalyst6500軟件模塊化

Catalyst6500的在線軟件升級功能極大地增強(qiáng)了網(wǎng)絡(luò)的整體可靠性，從硬

件/軟件一體化可靠性的角度幫助客戶提升了整個業(yè)務(wù)的永續(xù)性，是在過去硬件

冗余性基礎(chǔ)上的一大進(jìn)步。近一步來說，NSF/SSO、ISSU和Catalyst6500現(xiàn)在擁

有的模塊化IOS互相配合工作，可以大大減少用戶計劃外和計劃內(nèi)的宕機(jī)時間,

并且可以非常方便地進(jìn)行軟件升級、功能升級和Bug修復(fù)等維護(hù)工作。

高可靠性HA+減少計劃內(nèi)的宕機(jī)時間

鏈路級別的可靠性

網(wǎng)絡(luò)鏈路級可靠性可以分為2層路由鏈路和3層路由鏈路兩個方面：

1.更快的鏈路災(zāi)備

快速生成樹：為了解決了物理線路中斷所造成的網(wǎng)絡(luò)終端，我們往往會設(shè)

置備份的物理線路，但是它們往往會形成環(huán)路，回路會產(chǎn)生無休止的數(shù)據(jù)

路徑，導(dǎo)致網(wǎng)絡(luò)服務(wù)的中斷以及額外的系統(tǒng)管理費(fèi)用。IEEE802.1D生成樹

協(xié)議通過從網(wǎng)格化物理拓?fù)浣Y(jié)構(gòu)而構(gòu)建一個無環(huán)路邏輯轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu)，提

供了冗余連接，消除了數(shù)據(jù)流量環(huán)路的威脅、。原始生成樹協(xié)議IEEE802.1D

通常在50秒內(nèi)就可以恢復(fù)一個鏈接故障[融合時間

當(dāng)設(shè)計此協(xié)議時，這種停機(jī)還是可接受的，

=(2xForward_Delay)+Max_Age]0

但是當(dāng)前的關(guān)鍵任務(wù)應(yīng)用(如語音和視頻)卻要求更快速的網(wǎng)絡(luò)融合。為

加速網(wǎng)絡(luò)融合并解決與生成樹和虛擬LAN(VLAN)交互相關(guān)的地址可擴(kuò)展

性限制的問題，IEEE委員會開發(fā)了兩種新標(biāo)準(zhǔn)：在IEEE802.1W中定義的快

速生成樹協(xié)議(RSTP)和在IEEE802.1s中定義的多生成樹協(xié)議(MST)。如

果使用適當(dāng)?shù)脑?，RSTP能將在連接故障和恢復(fù)時所需的重新配置和恢復(fù)服

務(wù)時間，減少到低于秒的量級，并保持同基于STP設(shè)備的兼容性。RSTP可

以保證在一個橋接/交換、橋接端口或LAN發(fā)生故障之后，其連接性的快速

恢復(fù)。一個新的根端口可以快速轉(zhuǎn)換至傳送端口狀態(tài)。在LAN中橋接與轉(zhuǎn)

換之間明確的應(yīng)答，允許指定端口快速轉(zhuǎn)換至傳送端口狀態(tài)，此時，橋接

端口可被配置在橋接/交換重新初始化時直接轉(zhuǎn)換為傳送端口狀態(tài)。當(dāng)特定

的橋接端口連接于LAN邊緣的一個LAN段時，這一點將十分有用，例如在

該LAN段沒有其它的橋接或交換可用的情況時。Catalyst全線交換機(jī)均支持

IEEE802.lw和IEEE802.1s協(xié)議。

PortFast：生成樹協(xié)議會運(yùn)行在交換機(jī)的所有端口上，但接入層交換機(jī)的許

多端口連接著工作站或服務(wù)器，這些點到點連接是不會出現(xiàn)環(huán)路的。

PortFast技術(shù)將這類端口從STP的計算中排除出去。當(dāng)主機(jī)連接到交換機(jī)時,

啟動PortFast的端口將直接成為轉(zhuǎn)發(fā)狀態(tài)，避免了STP計算造成用戶在最初

一段時間不能使用網(wǎng)絡(luò)的情況，將工作站或服務(wù)器連接上網(wǎng)的時間減至最

短。針對Access端口跳過listening-learning階段。

UplinkFast：當(dāng)接入層交換機(jī)有兩條鏈路連接匯聚層設(shè)備時，如果出現(xiàn)環(huán)路

肯定會有一條鏈路在STP計算時被阻斷掉。在主鏈路斷掉時，被生成樹阻

斷的端口需要重新進(jìn)行計算，在經(jīng)過50秒后被打開參與用戶數(shù)據(jù)的轉(zhuǎn)發(fā)。

在訪問層交換機(jī)上啟動UplinkFast功能后，如果交換機(jī)在直連的主鏈路上檢

測到失效，那么交換機(jī)會立即將被阻斷的備份端口打開轉(zhuǎn)發(fā)數(shù)據(jù)，通常情

況下只需要2到4秒鐘的時間。這樣就可以通過UplinkFast提高交換網(wǎng)絡(luò)的

收斂速度。

BackboneFast：匯聚層交換機(jī)與主干交換機(jī)之間為保證鏈路的可靠性，往往

會形成環(huán)形鏈路，環(huán)形鏈路上某個鏈路或接口的故障會引起生成樹的重新

計算。在主鏈路斷掉時，被生成樹阻斷的端口需要重新進(jìn)行計算，在經(jīng)過

20秒的最大等待時間（Max_Age）后進(jìn)入偵聽（listening）狀態(tài)，在經(jīng)過30

秒后被打開參與用戶數(shù)據(jù)的轉(zhuǎn)發(fā)。在匯聚層交換機(jī)上啟動BackboneFast功

能后，如果交換機(jī)在非直連的主鏈路上，即迂回鏈路上檢測到失效，交換

機(jī)快速收斂去掉最大等待時間（Max_Age）20秒，因此可以節(jié)省生成樹的

計算時間至8~30秒。

增強(qiáng)功能：UDLD（線路單向連通問題自動診斷功能），用于檢測光纖或銅

纜以太網(wǎng)鏈路上的故障。由于生成樹具有單向的BPDU流，對這種故障相當(dāng)

敏感。在一個端口突然不能發(fā)送BPDUS的時候，引起鄰居的STP狀態(tài)改變,

導(dǎo)致鄰居的"blocking”端口切換到"forwarding”狀態(tài)。由于原forwarding端口

仍然可以接收包，從而引起環(huán)路。因此，UDLD可以監(jiān)視物理電纜的配置，

并將通過"ErrDisabled"狀態(tài)將配置不正確的端口給down掉。避免出現(xiàn)單向

連接，當(dāng)檢測到一個因為介質(zhì)或端口故障導(dǎo)致的單向連接時，將端口

shutdown并標(biāo)識為"ErrDisabled”狀態(tài)，同時產(chǎn)生一個syslog信息。

2.更全的鏈路捆綁

CiscoPAgP和IEEE802,3ad：PAgP是一個用于在檢查Channel兩端的參數(shù)的

一致性以及在出現(xiàn)增加鏈路或鏈路失效時的重新適配的一個管理協(xié)議，

PAgP協(xié)議控制每個獨立的物理或邏輯端口打成Channel的行為，如果一個

Channel中的某個鏈路失效（撥掉光纖或光纖斷了）了，agport會進(jìn)行更新,

流量會在現(xiàn)有的端口上重新進(jìn)行hash計算，不會有包丟失。源自思科ISL

的802.3ad把兩個或多個Link捆綁成邏輯的虛擬的單一通道，子Link之間

提供自動流量負(fù)載平衡和冗余，很大程度上會簡化系統(tǒng)集成，減少升級骨

干網(wǎng)絡(luò)的投資。

點到點的冗余連接在重新建立的鏈路仍可進(jìn)行負(fù)載均衡，鏈路恢復(fù)時間小

于1秒

3.更強(qiáng)大的路由災(zāi)備

VRRP/HSRP：虛擬路由器冗余協(xié)議/熱備份路由器協(xié)議，實現(xiàn)VRRP/HSRP的

條件是系統(tǒng)中有多臺路由器，它們組成一個"熱備份組"，這個組形成一個虛

擬路由器。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)

發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活

動路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來，虛擬路由器沒有改變。所以主機(jī)

仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的

問題。

GLBP：網(wǎng)關(guān)負(fù)載平衡協(xié)議，相對于HSRP與VRRP,GLBP具有很多的優(yōu)點，

在保護(hù)第一個跳動路由器的同時能在所有可用路徑上分配分組負(fù)載，使得

網(wǎng)絡(luò)帶寬的利用率更高。以前，如果主路由器或路徑中出現(xiàn)錯誤，則第一

個跳動冗余功能只能在備份WAN路徑上轉(zhuǎn)發(fā)分組。GLBP可使組中的任一

路由器擔(dān)當(dāng)備份作用，并能簡化配置。最大的區(qū)別是在HSRP和VRRP中同

一個GROUP中只有一個路由器在轉(zhuǎn)發(fā)流量，其余路由器只是起備份作用，

而在GLBP中，同一個GROUP的所有路由器（最多4個）可以同時轉(zhuǎn)發(fā)流

量。這樣就起到了負(fù)載均衡的作用。

系統(tǒng)級可靠性

系統(tǒng)級可靠性是指軟件重新加載或升級時，系統(tǒng)重新啟動對網(wǎng)絡(luò)運(yùn)行所造

成的影響。系統(tǒng)級可靠性在組網(wǎng)的過程中往往容易忽略，但是對于主干網(wǎng)絡(luò)設(shè)

備來說，連接中斷所造成的影響會很快波及整個網(wǎng)絡(luò)。因此，盡可能大的縮短

系統(tǒng)軟件的加載時間才可以有效提供系統(tǒng)級可靠性。

2.3.6數(shù)據(jù)中心設(shè)計

數(shù)據(jù)中心的發(fā)展正在經(jīng)歷從整合，虛擬化到自動化的演變，基于云計算的數(shù)據(jù)中心

是未來的更遠(yuǎn)的目標(biāo)。整合是基礎(chǔ)，虛擬化技術(shù)為自動化、云計算數(shù)據(jù)中心的實現(xiàn)提供支

持。

數(shù)據(jù)中心的虛擬化有很多的技術(shù)優(yōu)點：可以通過整合或者共享物理資產(chǎn)來提高資源利

用率，調(diào)查公司的結(jié)果顯示，全球多數(shù)的數(shù)據(jù)中心的資源利用率在15%?20%之間，通過

整合、虛擬化技術(shù)可以實現(xiàn)50%?60%的利用率;通過虛擬化技術(shù)可以實現(xiàn)節(jié)能高效的綠色

數(shù)據(jù)中心，如可以減少物理設(shè)備、電纜，空間、電力、制冷等的需求;可以實現(xiàn)對資源的快

速部署以及重部署以滿足業(yè)務(wù)發(fā)展需求。

數(shù)據(jù)中心虛擬化的簡單示意圖。

Stand-By

設(shè)務(wù)4

資源池

數(shù)據(jù)中心的資源，包括服務(wù)器資源、I/。資源、存儲資源組成一個資源池，通過上層

的管理、調(diào)度系統(tǒng)在智能的虛擬化的網(wǎng)絡(luò)結(jié)構(gòu)上實現(xiàn)將資源池中的資源根據(jù)應(yīng)用的需求分

配到不同的應(yīng)用處理系統(tǒng)。虛擬化數(shù)據(jù)中心可以實現(xiàn)根據(jù)應(yīng)用的需求讓數(shù)據(jù)中心的物理IT

資源流動起來，更好的為應(yīng)用提供資源調(diào)配與部署。

數(shù)據(jù)中心虛擬化發(fā)展的第一個階段是通過整合實現(xiàn)服務(wù)器和應(yīng)用的虛擬化服務(wù)，這階

段的數(shù)據(jù)中心也是很多公司已經(jīng)做的或正要做的。在這一階段，數(shù)據(jù)中心虛擬化實現(xiàn)的是

區(qū)域內(nèi)的虛擬化，表現(xiàn)為數(shù)據(jù)中心的服務(wù)如網(wǎng)絡(luò)服務(wù)、安全服務(wù)、邏輯服務(wù)還是與物理服

務(wù)器的部署相關(guān)聯(lián);虛擬機(jī)上的VLAN與網(wǎng)絡(luò)交換層上的VLAN對應(yīng);存儲LUN以類似映射到

物理服務(wù)器的方式映射到虛擬機(jī)。如下圖。

數(shù)據(jù)中心虛擬化發(fā)展的第二個階段是通過虛擬主機(jī)遷移技術(shù)(VM，sMobility)實現(xiàn)跨物理

服務(wù)器的虛擬化服務(wù)。如下圖。

通過厭擬：機(jī)遷移技術(shù)(VMSMobility，實現(xiàn)將力六服務(wù)M泊:卜擬化服務(wù)

在這個階段，實現(xiàn)了數(shù)據(jù)中心內(nèi)的跨區(qū)域虛擬化，虛擬機(jī)可以在不同的物理服務(wù)器之

間切換，但是，為滿足虛擬機(jī)的應(yīng)用環(huán)境和應(yīng)用需求，需要網(wǎng)絡(luò)為應(yīng)用提供智能服務(wù)，同

時還需要為虛擬化提供靈活的部署和服務(wù)。

思科在下一代的數(shù)據(jù)中心設(shè)計中采用統(tǒng)一交換的以太網(wǎng)架構(gòu)，思科數(shù)據(jù)中心統(tǒng)一交換

架構(gòu)的愿景圖如下。

改進(jìn)之前的數(shù)據(jù)中心物理上存在幾個不同的網(wǎng)絡(luò)系統(tǒng)，如局域網(wǎng)架構(gòu)、SAN網(wǎng)絡(luò)架構(gòu)、

高層的計算網(wǎng)絡(luò)架構(gòu)、管理控制網(wǎng)絡(luò)架構(gòu)，各個網(wǎng)絡(luò)上采用的技術(shù)不同，如局域網(wǎng)主要采

用以太網(wǎng)技術(shù)，SAN網(wǎng)絡(luò)主要采用FiberChannel技術(shù)。而在思科的下一代統(tǒng)一交換架構(gòu)數(shù)

據(jù)中心中，數(shù)據(jù)中心的服務(wù)器資源、存儲資源、網(wǎng)絡(luò)服務(wù)等都通過統(tǒng)一的交換架構(gòu)連接在

一起，數(shù)據(jù)中心只有一個物理網(wǎng)絡(luò)架構(gòu)，可以實現(xiàn)動態(tài)的資源調(diào)配，提升效率和簡化操作。

統(tǒng)一交換架構(gòu)下數(shù)據(jù)中心的虛擬化如下圖。

AnyToAnyConnectivity