中国银行福建省分行大楼局域网原使用的是98年配置的2台核心交换机，主干为155MATM，7台楼层交换机通过单链路连接到核心交换机。从目前运行情况看，无法实现双机热备，且核心交换机CPU、Memory占有率很高，处于高负荷运转，无法满足安全生产的要求。省行大楼局域网是连接全省业务的神经中枢，为此，中行福建分行迫切地提出对省行大楼局域网进行改造的需求。

二 具体技术方案

在本次改造项目中，全部选择华为3Com公司具有线速交换能力的系列局域网交换机S8016、S3050组建中行福建省分行局域网。

为了保证网络的可靠性，整个局域网采用两台华为3Com的QuidwayS8016作为核心交换机，来进行整个大楼局域网络的三层交换处理，两台核心交换机双引擎、双交换网板、冗余电源配置，两台S8016之间通过4个GE链路捆绑互联，之间运行VRRP协议进行负载均担和备份保护,实现双机热备。每台S8016配置多个千兆多模光口与接入层交换机、服务器实现互联。S8016具有128G交换容量，交换网络、路由处理系统、内部总线、以及电源风扇系统等所有关键部件均采用冗余热备份设计，满足福建中行核心业务网高可靠的需求。同时，S8016支持DHCP Relay并内置DHCP Server功能，可以为福建中行局域网内的移动用户分配IP地址，移动用户的访问权限可以通过规则来限定，S8016不论是路由处理系统本身，还是分布式的线路接口板都提供包安全过滤/ACL的机制，防止非法侵入和恶意报文攻击，ACL采用硬件实现，对正常业务没有影响，整机可以支持80K条硬件ACL规则。

楼层交换机采用Quidway S3050设备，每台交换机与两台核心交换机组成光纤环路，启用RSTP协议进行链路备份，保证网络的健壮性和自愈性，同时保证主干道实现负载分担，提高网络处理能力。

方案中按照业务和办公、生产和开发测试分离的原则对大楼局域网络VLAN和IP地址进行了规划设计。通过Vlan划分实现了外联业务、开发测试、外来人员等特殊客户群的需求。S8016支持4K个全局VLAN(802.1Q)，整机支持VLAN数目可随端口数倍增，配合接入层设备S3050完成各个工作组VLAN的划分。

为了保证网络的安全性，最大程度减少IP网络可能出现的地址重复、盗用等行为，方案中对局域网络用户进行MAC＋IP＋Port三者的绑定认证，这样就能确保只有合法用户才能够上网。无IP地址的主机用户采用MAC＋Port方式进行认证。S8016、S3050支持对用户MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。

同时，配合华为3Com公司 Quidview网管系统实现大楼局域网的统一网管。

三 解决方案的特点

核心层多业务、高可靠、大容量设计：核心层采用S8016核心交换机具有128G交换容量，所有关键部件均采用冗余热备份设计，采用分布式路由转发处理引擎，支持真正热插拔、热备份。支持VRRP，提供MPLS的快速重路由(FastReroute)功能。

网络拓补采用冗余链路设计，通过运行STP保证链路的负载分担和冗余备份，避免二层环路。

支持完善的DiffServ/QoS保障：实现了简单流分类、复杂流分类、流量监管、真正的拥塞控制、完善的队列调度和输出流整形等功能，使网络成为一个可以同时承载数据、语音和视频业务的综合网络。Quidway® S8016所有QoS功能采用硬件实现，对性能没有影响。

所有设备支持802.1X认证，支持802.1Q VLAN划分，实现用户安全管理和安全隔离。

故障速查功能确保快速定位故障节点和可疑用户，可以链接用户信息；

可选择的HGMP/堆叠管理提供批量、图形化网络管理，更加简单快捷；

该项目实施后将使福建中行省行大楼局域网在性能、可靠性、安全、管理上都有一个质的提高。

转载地址：http://www.net130.com/CMS/Pub/huawei/huawei_proj/2005_07_10_30761.htm