接入交换机、汇聚交换机和核心交换机doc

华为整体网络解决方案精编W O R D版IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】项目编号: 华为网络整体解决方案目录1概述........................................................2企业网络建设设计原则........................................3华为产品解决方案............................................3.1整体架构设计 .........................................3.1.1总体网络架构......................................3.1.2有线网络解决方案..................................核心层网络设计.................................汇聚层网络设计.................................接入层网络设计.................................3.1.3数据中心解决方案..................................3.1.4无线网络解决方案..................................无线网络的建设需求.............................无线网络解决方案...............................3.2高可靠性设计 .........................................3.2.1网络高可靠性设计..................................3.2.2设备高可靠性设计..................................重要部件冗余...................................设备自身安全...................................3.3安全方案设计 .........................................3.3.1园区网安全方案总体设计............................3.3.2园区内网安全设计..................................防IP/MAC地址盗用和ARP中间人攻击..............防IP/MAC地址扫描攻击..........................广播/组播报文抑制..............................3.3.3园区网边界防御....................................3.3.4园区网出口安全....................................3.3.5无线安全设计......................................无线局域网的安全威胁..........................华为无线网络的安全策略.........................4设备介绍....................................................4.1Quidway® S9300系列交换机.............................4.2Quidway® S7700系列交换机.............................4.3Quidway® S5700系列交换机.............................4.4无线控制器WS6603 .....................................1 概述企业园区网络承载企业所有IT基础设施和企业所有上层软件应用，对一个企业的重要性不言而喻。

接入交换机和汇聚交换机的综合配置方案接入交换机和汇聚交换机是网络中两个重要的组件，它们在构建企业网络架构中发挥着关键的作用。

本文将介绍接入交换机和汇聚交换机的综合配置方案，帮助读者了解如何正确配置这两种交换机，以提高网络性能和安全性。

一、接入交换机的配置方案接入交换机是连接终端设备（如电脑、打印机等）与网络核心交换机之间的桥梁。

它主要负责将终端设备接入企业网络，并提供基本的网络访问功能。

以下是接入交换机的配置方案：1. VLAN划分：根据不同的部门或功能需求，将接入交换机端口划分为不同的VLAN，实现不同VLAN之间的隔离和安全性控制。

2. 端口安全：对接入交换机的端口进行安全配置，限制MAC地址学习数量、设置端口安全阈值，防止未授权设备接入网络。

3. 802.1X认证：通过802.1X认证，限制只有通过认证的设备才能接入网络，提高网络的安全性。

4. 静态路由：为接入交换机配置静态路由，实现与核心交换机之间的互通，确保终端设备能够正常访问其他网络。

5. 高可用性：通过配置端口聚合（例如LACP）和冗余链路（例如STP）等技术，提高接入交换机的可用性，避免单点故障。

二、汇聚交换机的配置方案汇聚交换机是连接接入交换机和核心交换机之间的核心设备，它主要负责实现不同接入交换机之间的流量聚合和分发。

以下是汇聚交换机的配置方案：1. VLAN划分：根据不同的网络需求，将汇聚交换机端口划分为不同的VLAN，实现不同VLAN之间的隔离和安全性控制。

2. 路由配置：为汇聚交换机配置动态路由协议（如OSPF或BGP），实现与其他网络之间的互通。

3. QoS配置：通过配置QoS策略，对不同类型的流量进行优先级控制和带宽限制，保证关键业务的网络性能。

4. STP配置：通过配置STP（Spanning Tree Protocol）或RSTP （Rapid Spanning Tree Protocol）等技术，避免环路造成的数据包洪泛问题，确保网络的稳定性。

二层汇聚交换机和三层核心交换机的区别
核心交换机并不是交换机的一种类型，放在核心层（网络主干部分）的交换机叫核心交换机。

汇聚层交换机，是多台接入层交换机的汇聚地点。

汇聚层交换机和核心交换机在功能、特性、参数、场景等都是有所区别。

1．功能区别
核心交换机的主要功能是用于路由选择及高速转发的，提供优化、可靠的骨干传输结构，因此核心层交换机应用有更高的可靠性、性能和吞吐量。

汇聚层交换机是多台接入层交换机的汇聚点，作用是将接入节点统一出口，同样也做转发及选路。

它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路。

2．性能区别
核心交换机首先应该是三层交换机，高速转发，有大容量接口带宽（比如万兆接口），大的背板处理能力。

汇聚层交换机需要具备高转发性能，通常也是三层交换机。

在进行网络规划设计时，核心层设备对于冗余能力、可靠性和传输速度方面要求较高，因此核心层的设备通常要占大部分投资。

3．使用场景区别
对于核心交换机或者汇聚交换机并没有固定要求，取决于网络环境的大小及设备的转发能力，也不是每个网络都必须有这三个结构。

接入交换机到汇聚交换机连接方法一、概述在网络架构中，交换机是连接不同设备的关键组件之一。

接入交换机和汇聚交换机是网络架构中两个重要的交换机类型。

本文将介绍接入交换机到汇聚交换机的连接方法，以帮助读者了解如何正确地配置这两种交换机的连接。

二、选择合适的连接介质在接入交换机到汇聚交换机的连接中，需要选择合适的连接介质。

常用的连接介质有光纤和铜缆两种。

对于较长距离的连接，通常会选择光纤作为连接介质，而对于较短距离的连接，可以选择铜缆。

三、确定连接类型根据网络架构的需要，可以采用不同的连接类型。

常见的连接类型有直连连接和间接连接两种。

1. 直连连接直连连接是指将接入交换机和汇聚交换机直接通过一根连接线连接起来。

这种连接方式简单直接，适用于小型网络环境。

需要注意的是，在直连连接时需要确保连接线的质量和长度符合要求，以避免信号衰减和干扰。

2. 间接连接间接连接是指通过其他设备进行连接，如路由器或其他中间设备。

这种连接方式适用于大型网络环境，可以提高网络的可扩展性和可靠性。

在间接连接时，需要配置路由器或其他中间设备的端口和VLAN信息，以实现接入交换机到汇聚交换机的连接。

四、配置接口参数在进行接入交换机到汇聚交换机的连接时，需要配置接口参数以确保连接的正常运行。

主要包括以下几个方面：1. VLAN配置VLAN可以将网络划分为不同的虚拟网络，可以提高网络的安全性和管理性。

在接入交换机和汇聚交换机的连接中，需要配置相同的VLAN信息，以实现两个交换机之间的通信。

2. 端口配置接入交换机和汇聚交换机的连接端口需要进行相应的配置。

主要包括速率、双工模式和带宽限制等参数的设置。

这些参数的配置应根据实际网络需求进行调整，以保证连接的性能和稳定性。

3. STP配置STP（Spanning Tree Protocol）是一种用于构建冗余拓扑的协议，可以防止网络中的环路。

在接入交换机到汇聚交换机的连接中，可以配置STP以实现冗余路径的选择和环路的屏蔽。

网络分级设计模型：核心层、汇聚层和接入层上面是一个分级网络设计模型图，一个分级的网络设计包括以下3层：■核心层——提供最优的区间传输■汇聚层——提供基于策略的连接■接入层——为多业务应用和其他的网络应用提供用户到网络的接入下面介绍各层的功能1、核心层的功能核心层是一个高速的交换式骨干。

他的设计目标是使得交换分组所耗费的时间演示最小。

同开放最短路径优先协议（OSPF）中的区域0一样，核心（Core）和骨干（backbone）是同义词。

园区网的这一层不应该对数据包/帧进行任何的处理，比如处理访问列表和进行过滤，因为这会降低包交换的速度。

目前常见的做法是在核心层完全采用第3层交换环境，这就意味着VLAN和VLAN trunks不会出现在核心层中。

这也意味着在核心层中生成树环路通常也可以避免。

核心层的主要功能是在园区网的各个汇聚层设备之间提供高速的连接。

2、汇聚层的功能在园区网中，汇聚层是核心层和接入层之间的分界点。

它能帮助定义和区分核心层。

汇聚层的功能是对网络的边界进行定义。

对数据包/帧的处理应该在这一层完成。

在园区网络环境中，汇聚层可以包含下列一些功能：■地址或区域的汇聚；■将部门或工作组的访问连接到骨干；■广播/组播域的定义；■ VLAN间（Inter-VLAN）路由选择；■介质转换；■安全策略。

在非园区网环境中，汇聚层负责处理路由选择域之间的信息重分配，并且通常是静态和动态路由选择协议之间的分界点。

汇聚层也可以是远程站点访问企业网络的接入点。

可以将汇聚层汇总为提供基于策略连接的层。

数据包的处理、过滤、路由总结、路由过滤、路由重新分配、VLAN间路由选择、策略路由和安全策略是汇聚层的一些主要功能。

3、接入层等功能接入层是本地终端用户被许可接入网络的点。

该层同样可能使用访问列表或者过滤器来满足一组特定用户的需要，比如满足那些经常参加视频会议的用户的需求。

通常，2层交换机在接入层中起非常重要的作用。

在接入层中，交换机被称为边缘设备（edge devices），因为它们位于网络的边界上。

交换机功能概述（核心和接入）（1）1.1.1.1 锐捷核心交换机产品概述RG-S5750-H系列交换机是锐捷网络新推出的高性能、强安全、集成多业务的新一代以太网交换机，该系列交换机采用业界超前硬件架构设计，搭载锐捷网络新的RGOS11.X模块化操作系统，提供更大的表项规格、更快的硬件处理性能、更便捷的操作使用体验。

RG-S5750-H系列提供灵活的千兆接入及高密度的万兆端口扩展能力，全系列交换机均固化4端口万兆光，采用双扩展槽设计，支持高密、高性能端口上行能力。

充分满足用户高密度接入和高性能汇聚的需求。

RG-S5750-H系列交换机以极高的性价比为大型网络汇聚、中小型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置，最大化满足高速、安全、智能的企业网需求。

RG-S5750-H系列交换机具备内置AC功能，实现有线无线一体化集成，最大可管理256个AP，同时支持集群功能，在主AC故障后可以切换到备AC，当主AC故障恢复后可切换回主AC。

产品特性高性能、高扩展性RG-S5750-H系列交换机固化4端口万兆光，可根据用户需要灵活选择不同数量的万兆光口，完全满足大型企业园区网汇聚或中小型网络核心部署需求。

可支持高达64K的MAC地址容量IPv4/IPv6双协议栈多层交换硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，可根据IPv6网络的需求规划网络或者维持网络现状，提供灵活的IPv6网络通信方案。

支持丰富的IPv4路由协议，包括静态路由、RIP、OSPFv2、IS-ISv4、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络。

同时支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络。

第一章华为园区交换机的选型和应用一、华为交换机的用户定位1、数据中心交换机根据数据中心网络规模大小和性能要求的高低，数据中心的核心层可以采用S9700、S9300或S7700系列交换机，接入层可以采用S6700或S5700系列交换机。

2、核心交换机根据数据中心网络规模大小和性能要求的高低，核心层可以采用S9700、S9300、S7700、S6700、S5700和S3700系列交换机。

3、汇聚交换机根据数据中心网络规模大小和性能要求的高低，汇聚层可以分别采用S7700、S6700、S5700、和S3700系列交换机。

4、接入交换机根据数据中心网络规模大小和性能要求的高低，接入层可以分别采用S5700、S3700、S2700和S1700系列交换机。

二、华为园区交换机的命名规则1、S1700系列机型的命名规则S 1700-8-ACA B C IS1700-28 G F R-4P-ACC D E F H IS1700-52 F R -2 T 2 P-ACC E F G H G H I2、S2700系列机型的命名规则S 27 00-26 TP-PWR-EIA B C D E F GS 27 10-52 P-SI-ACA B C D E G HS2700-52 P -EI -ACD E G HS2700-9 TP -SID E G3、S3700系列机型的命名规则S 3700-28 TP-PWR-EIA B C D E FS 3700-52 P-EI-24S -DCC D F G HS3700-28 TP -EI -MC -ACC D F I HS3700-28 TP -SI -ACC D F H4、S5700系列机型的命名规则S 57 10-28 C –EIA B C E F HS 57 00 S-52 P-LI –ACA B C D E F H JS5700-48 TP -PWR -SIE G HS5700-28C-EI -24SIS5700-28C -HIH5、S6700系列交换机命名规则S 6700 -48 –EIA B C D6、S7700/9300/9700系列交换机命名规则S 77 06A B C第二章VRP系统基础及基本使用一、VRP系统基础VRP（Versatile Routing Platform，通用路由平台）是华为公司数据通信产品的通用网络操作系统平台，包括路由器、交换机、防火墙、WLAN等众多系列产品。

1.1.1.1 锐捷核心交换机产品概述RG-S5750-H系列交换机是锐捷网络新推出的高性能、强安全、集成多业务的新一代以太网交换机，该系列交换机采用业界超前硬件架构设计，搭载锐捷网络新的RGOS11.X模块化操作系统，提供更大的表项规格、更快的硬件处理性能、更便捷的操作使用体验。

RG-S5750-H系列提供灵活的千兆接入及高密度的万兆端口扩展能力，全系列交换机均固化4端口万兆光，采用双扩展槽设计，支持高密、高性能端口上行能力。

充分满足用户高密度接入和高性能汇聚的需求。

RG-S5750-H系列交换机以极高的性价比为大型网络汇聚、中小型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置，最大化满足高速、安全、智能的企业网需求。

RG-S5750-H系列交换机具备内置AC功能，实现有线无线一体化集成，最大可管理256个AP，同时支持集群功能，在主AC故障后可以切换到备AC，当主AC故障恢复后可切换回主AC。

产品特性高性能、高扩展性RG-S5750-H系列交换机固化4端口万兆光，可根据用户需要灵活选择不同数量的万兆光口，完全满足大型企业园区网汇聚或中小型网络核心部署需求。

可支持高达64K的MAC地址容量IPv4/IPv6双协议栈多层交换硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，可根据IPv6网络的需求规划网络或者维持网络现状，提供灵活的IPv6网络通信方案。

支持丰富的IPv4路由协议，包括静态路由、RIP、OSPFv2、IS-ISv4、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络。

同时支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络。

虚拟交换单元（VSU，Virtual Switching Unit）支持虚拟交换单元技术（VSU，Virtual Switch Unit）即虚拟交换单元技术。