方案要點概述
在新辦公大樓綜合樓智能化工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計中,我們對用戶的需求進(jìn)行了詳細(xì)的分析�����,并就系統(tǒng)進(jìn)行了深入細(xì)致的設(shè)計����。系統(tǒng)設(shè)計主要為:
1.網(wǎng)絡(luò)技術(shù)選型的考慮以及網(wǎng)絡(luò)拓樸的設(shè)計
網(wǎng)絡(luò)技術(shù)選型
網(wǎng)絡(luò)系統(tǒng)經(jīng)過多年的建設(shè)�����,目前局域網(wǎng)���、城域網(wǎng)主要以千兆為主;到省公司廣域網(wǎng)采用ATM155M����,到各個縣公司目前還以2M專線為主。隨著企業(yè)內(nèi)聯(lián)網(wǎng)系統(tǒng)的建設(shè)���,到各個縣公司將在升級到千兆����,并且在全網(wǎng)采用MPLS/VPN技術(shù)架構(gòu)。核心設(shè)備為Cisco6509及8540交換機(jī)為主��,接入層交換機(jī)主要為Cisco3500系列交換機(jī)�。目前的網(wǎng)絡(luò)拓?fù)洮F(xiàn)狀如下:
新大樓網(wǎng)絡(luò)系統(tǒng)主要是在現(xiàn)有局域網(wǎng)系統(tǒng)上進(jìn)行擴(kuò)容,在技術(shù)及設(shè)備上最好延續(xù)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)��,保證系統(tǒng)的平滑互連�����。并考慮今后網(wǎng)絡(luò)系統(tǒng)升級的擴(kuò)展性���。主干采用千兆以太網(wǎng)技術(shù)����,為了增加主干系統(tǒng)的帶寬�,可以考慮采用GEC(千兆以太網(wǎng)捆綁)技術(shù)。設(shè)備考慮延續(xù)采用Cisco設(shè)備���。
網(wǎng)絡(luò)拓樸的設(shè)計
針對本次網(wǎng)絡(luò)系統(tǒng)建設(shè)范圍主要包括三個獨立的建筑物:主樓���、服務(wù)樓����、信息XXXX樓����。網(wǎng)絡(luò)主體架構(gòu)采用環(huán)型+星型結(jié)構(gòu),即在三個建筑物內(nèi)配置三臺Cisco三層交換機(jī)����,相互間采用雙千兆鏈路互連,構(gòu)成核心環(huán)網(wǎng)�����;在每個建筑物內(nèi)�����,根據(jù)樓層信息點的分布����,在樓層配線間采用接入級交換機(jī)采用星型拓?fù)溥B接到本地的核心三層交換機(jī)。
2.網(wǎng)絡(luò)管理系統(tǒng)
網(wǎng)絡(luò)中涉及的設(shè)備繁多�,需要進(jìn)行狀態(tài)檢測、設(shè)備配置��、策略設(shè)置等�����,在網(wǎng)絡(luò)發(fā)生故障時能夠及時發(fā)現(xiàn)問題�,這需要一套功能強(qiáng)大的網(wǎng)絡(luò)管理軟件。方案中選用Ciscoworks2000軟件作為局域網(wǎng)管理平臺���,能夠與方案中設(shè)計的網(wǎng)絡(luò)設(shè)備良好配合�。
3.對應(yīng)用支持的考慮
基于網(wǎng)絡(luò)的應(yīng)用很多���,包括辦公應(yīng)用����、用電營銷�����、財務(wù)���、視頻監(jiān)控應(yīng)用等����。有些應(yīng)用對網(wǎng)絡(luò)的要求比較高。針對新大樓智能化工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)�,在網(wǎng)絡(luò)設(shè)計的時候,我們在設(shè)備性能以及協(xié)議等方面作了充分的考慮����。例如網(wǎng)絡(luò)主干采用1000M以太網(wǎng)技術(shù),網(wǎng)絡(luò)設(shè)備具有良好的擴(kuò)充性以及擴(kuò)展性����。對于用電營銷及視頻監(jiān)控應(yīng)用,需要網(wǎng)絡(luò)具有良好的服務(wù)質(zhì)量(QoS)�����。在技術(shù)方案中針對這些網(wǎng)絡(luò)的具體應(yīng)用���,我們提出了各自具體的實施方案���。
4.對IP地址、DNS等網(wǎng)絡(luò)基礎(chǔ)資源的規(guī)劃
網(wǎng)絡(luò)系統(tǒng)屬于企業(yè)內(nèi)聯(lián)網(wǎng)的一部分���,其IP地址及DNS等均遵循公司的統(tǒng)一規(guī)劃��。在此不需要額外規(guī)劃�。
5.對安全的考慮
方案中對系統(tǒng)安全作了建議性的描述���,在對外連接上采用防火墻技術(shù)����、DMZ設(shè)置保障信息系統(tǒng)的安全�����。在設(shè)備和系統(tǒng)設(shè)置上采用其他的一些策略包括針對Cisco設(shè)備特點采取的網(wǎng)絡(luò)設(shè)備安全加固手段�、采用虛擬網(wǎng)技術(shù)(VLAN)劃分不同的網(wǎng)段,實現(xiàn)不同子網(wǎng)之間的邏輯隔離及控制����、在核心服務(wù)器VLAN及主要出口設(shè)置入侵檢測系統(tǒng);在主干路由設(shè)備上以及接入設(shè)備上設(shè)置訪問控制���,隔離外部入侵�。
出于對設(shè)備物理安全的考慮��,對機(jī)房以及配線間設(shè)備考慮防雷和接地。主要考慮電源防雷和型號防雷���,并對設(shè)備以及機(jī)柜等作良好接地�����。而這一部分也是機(jī)房設(shè)計的重要組成部分����。
總論
系統(tǒng)建設(shè)背景
為提高企業(yè)的辦事效率���,為領(lǐng)導(dǎo)和工作人員提供辦公及生產(chǎn)管理���,要不斷完善對信息系統(tǒng)的建設(shè)。以此來滿足對網(wǎng)絡(luò)性能�����、可靠性及安全等方面的不斷增長的需求���。
系統(tǒng)建設(shè)需求及設(shè)計原則
系統(tǒng)需求分析
本次網(wǎng)絡(luò)系統(tǒng)的建設(shè)包括省內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)�,重點建設(shè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)����。
內(nèi)網(wǎng)性質(zhì)為公司內(nèi)部的生產(chǎn)辦公業(yè)務(wù)網(wǎng)絡(luò)����,其上主要的應(yīng)用系統(tǒng)有辦公自動化����、用營銷��、財務(wù)�、自動化、勞動人事等�。今后隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展,其上還要承載高質(zhì)量的視頻監(jiān)控系統(tǒng)�����、視頻點播系統(tǒng)�����。要求網(wǎng)絡(luò)運行可靠穩(wěn)定����、數(shù)據(jù)傳輸效率高�����、支持QoS�����,從安全角度出發(fā)要與外網(wǎng)從物理上完全隔離�、充分保證系統(tǒng)數(shù)據(jù)的安全�����。因此在網(wǎng)絡(luò)建設(shè)方案中內(nèi)網(wǎng)主干采用千兆以太網(wǎng)技術(shù)���、核心三層交換機(jī)具有較高的二至三層的交換能力��,并且具備萬兆升級能力�����。核心層及接入層交換機(jī)均支持不同層次的QoS���,以及適用于局域網(wǎng)的各種應(yīng)用需求。
外網(wǎng)是公司與Internet及其它相關(guān)單位(如銀行)間互訪的網(wǎng)絡(luò)系統(tǒng),屬于非安全網(wǎng)絡(luò)�。主要提供專有信息發(fā)布、電子郵件服務(wù)�����、Internet瀏覽���、資料查詢及下載��。特別需要加強(qiáng)網(wǎng)絡(luò)的安全及病毒防范能力。因此在外網(wǎng)與內(nèi)網(wǎng)在物理上進(jìn)行隔離�����,由于外網(wǎng)承載的業(yè)務(wù)相對內(nèi)網(wǎng)而言對網(wǎng)絡(luò)的帶寬及性能要求不是很高����,所以在外網(wǎng)的建設(shè)中,網(wǎng)絡(luò)系統(tǒng)對連通性要求較高��,但對網(wǎng)絡(luò)的帶寬及時延要求不大�����,重點考慮外網(wǎng)系統(tǒng)的安全性。
系統(tǒng)建設(shè)原則
本工程技術(shù)方案為實現(xiàn)前述建設(shè)目標(biāo)�,遵循以下建設(shè)原則:
1、安全性和可靠性
網(wǎng)絡(luò)系統(tǒng)是信息資源的倉庫�,其安全與否,直接關(guān)系到供電部門的切身利益�����,一旦信息系統(tǒng)因為安全的原因被人為或其它原因破壞�,其損失不可估量,特別是現(xiàn)階段互聯(lián)網(wǎng)的開放性還缺乏有效的監(jiān)督管理機(jī)制����。因此,安全性是網(wǎng)絡(luò)信息系統(tǒng)的生命線�����,在本建設(shè)方案中充分考慮到要保證系統(tǒng)的安全機(jī)制��,通過各種手段確保信息系統(tǒng)的資源得到最大的保護(hù)��,同時網(wǎng)絡(luò)的可靠性是保障網(wǎng)絡(luò)建設(shè)成功發(fā)揮其功能的關(guān)鍵���。
2�、成熟性和先進(jìn)性
在目前存在的多種網(wǎng)絡(luò)技術(shù)中,選擇一種既成熟又先進(jìn)的技術(shù)是組網(wǎng)的關(guān)鍵之一����。成熟性是前提,它意味著采用這種技術(shù)不會由于網(wǎng)絡(luò)技術(shù)本身的問題而造成損失����,可以很好地滿足應(yīng)用要求;同時先進(jìn)性是為了保證用戶投資興建的網(wǎng)絡(luò)能夠跟得上技術(shù)的發(fā)展�,符合應(yīng)用的要求,使用戶的投資得到保護(hù)�,在相當(dāng)?shù)臅r間內(nèi)保持先進(jìn)性,不至于過早被淘汰��。
3��、實用性
建網(wǎng)的目的是為了提高工作效率��,因此采用高速度�����、低延時的網(wǎng)絡(luò)系統(tǒng)�����,建設(shè)一個切合應(yīng)用要求的實用的���、經(jīng)濟(jì)的網(wǎng)絡(luò)信息系統(tǒng)是設(shè)計指導(dǎo)原則之一���。只有所建設(shè)的網(wǎng)絡(luò)信息系統(tǒng)能夠滿足應(yīng)用的要求,吸引廣大用戶使用,提高使用網(wǎng)絡(luò)人員的操作水平��,為企業(yè)創(chuàng)造經(jīng)濟(jì)效益,充分發(fā)揮其功用�,才達(dá)到建網(wǎng)的目的。
4��、可管理性
網(wǎng)絡(luò)管理關(guān)系到系統(tǒng)使用的效率��、維護(hù)����、監(jiān)控的手段以及網(wǎng)絡(luò)資源的再分配,是一個完整的智能網(wǎng)絡(luò)必不可少的組成部分���。因此采用具有網(wǎng)管能力的網(wǎng)絡(luò)設(shè)備是系統(tǒng)設(shè)計的重要思想���。系統(tǒng)支持先進(jìn)有效的管理策略,提供良好的管理工具或手段能夠?qū)崟r監(jiān)視服務(wù)器各種設(shè)備的工作情況���,并在安全和系統(tǒng)故障方面進(jìn)行預(yù)警�,提交日志和分析報告,及時發(fā)現(xiàn)故障點��,為平衡負(fù)載�����、優(yōu)化服務(wù)��、排除故障提供手段和依據(jù)��。
5����、開放性和擴(kuò)展性
開放性意味著標(biāo)準(zhǔn)化,在公司的網(wǎng)絡(luò)系統(tǒng)建設(shè)中���,其各種設(shè)備之間的連接均采用國際上通用的成熟標(biāo)準(zhǔn)協(xié)議或接口,不會因為設(shè)備的更改而變動基本結(jié)構(gòu)或采用不同廠商的設(shè)備導(dǎo)致系統(tǒng)不兼容���。如內(nèi)網(wǎng)VLAN的劃分方式����、路由協(xié)議的選擇等。
開放的體系結(jié)構(gòu)為以后的網(wǎng)絡(luò)升級提供了基礎(chǔ)�,隨著江蘇電力信息化建設(shè)不斷發(fā)展,網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用規(guī)模和水平將會不斷發(fā)展變化���,這就要求計算機(jī)網(wǎng)絡(luò)能夠適應(yīng)這些發(fā)展變化��,實現(xiàn)向先進(jìn)技術(shù)的平滑過渡����,同時也便于擴(kuò)大規(guī)模�,從而保護(hù)原有投資。
網(wǎng)絡(luò)系統(tǒng)建設(shè)方案
網(wǎng)絡(luò)技術(shù)綜述
計算機(jī)技術(shù)和通信技術(shù)的發(fā)展推動了網(wǎng)絡(luò)技術(shù)的進(jìn)步�,也產(chǎn)生了許多新的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用?���?偟内厔菔窍蛑_放、集成���、高性能和智能化方向發(fā)展��。網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用需求之間是一個不斷的反饋過程���,呈現(xiàn)一種螺旋式上升地趨勢��。選擇何種網(wǎng)絡(luò)技術(shù)組建信息基礎(chǔ)設(shè)施���,除了對網(wǎng)絡(luò)技術(shù)本身的詳盡分析以外,還要結(jié)合具體的應(yīng)用而定�����。本章節(jié)將按照這個思路���,首先詳細(xì)分析了各種網(wǎng)絡(luò)技術(shù)的最新發(fā)展?fàn)顟B(tài)��,然后根據(jù)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來幾年的應(yīng)用規(guī)劃���,在后續(xù)章節(jié)做出相應(yīng)的網(wǎng)絡(luò)技術(shù)選型的建議。
局域網(wǎng)技術(shù)簡介
本節(jié)對現(xiàn)有的主流的以太網(wǎng)技術(shù)特點做了分析����,在1997-1999年,由于千兆以太網(wǎng)技術(shù)標(biāo)準(zhǔn)還不成熟����,ATM技術(shù)大量在局域網(wǎng)中應(yīng)用��,當(dāng)時主要采用局域網(wǎng)仿真方式-LANE來實現(xiàn)以太幀到ATM的信元格式轉(zhuǎn)換。而在ATM到桌面的環(huán)境中�����,由于缺乏能有效利用ATM特性的API標(biāo)準(zhǔn)�����,ATM的嚴(yán)格的QoS特性也沒有得到充分體現(xiàn)����。而隨著基于IP的應(yīng)用的大量興起及網(wǎng)絡(luò)傳輸帶寬的不斷加大,在局域網(wǎng)應(yīng)用場合中����,千兆以太網(wǎng)技術(shù)逐漸成為局域網(wǎng)發(fā)展的主流,未來的10G比特以太網(wǎng)技術(shù)也前景光明���。下面著重講述一下千兆及10G以太網(wǎng)技術(shù)��。
千兆位以太網(wǎng):
千兆以太網(wǎng)技術(shù)是極為成功的10Mbps和100MbpsIEEE802.3以太網(wǎng)標(biāo)準(zhǔn)的發(fā)展���。由于千兆以太網(wǎng)所支持的簡易網(wǎng)絡(luò)升級,以及對新應(yīng)用和數(shù)據(jù)類型處理的靈活性�����、網(wǎng)絡(luò)的可伸縮性,使得千兆以太網(wǎng)成為高速����、高帶寬網(wǎng)絡(luò)的戰(zhàn)略性選擇��。千兆以太網(wǎng)提供大致1000Mbps的帶寬���,和現(xiàn)有的數(shù)量極為龐大的以太網(wǎng)節(jié)點完全兼容���。千兆以太網(wǎng)早在1996年7月就已進(jìn)入標(biāo)準(zhǔn)化軌道�。經(jīng)過幾個月的可行性研究�����,IEEE802.3工作組成立了802.3z千兆以太網(wǎng)任務(wù)小組���。802.3z千兆以太網(wǎng)任務(wù)小組的關(guān)鍵目標(biāo)是開發(fā)可以完成下列功能的千兆以太網(wǎng)標(biāo)準(zhǔn):
2 ?允許以1000Mbps的速率進(jìn)行半雙工�、全雙工操作
2 ?使用802.3以太網(wǎng)幀格式
2 ?使用CSMA/CD訪問方式
2 ?與10BASE-T���、100BASE-T技術(shù)的地址向后兼容性
任務(wù)小組定義了連接距離的三個特定目標(biāo):最大距離為550米的多模光纖��,最大距離為3公里的單模光纖��,最大距離不小于25米的銅線���。IEEE同時在積極地探索可以支持在5類雙絞線(UTP)上傳輸至少100米的技術(shù)。千兆以太網(wǎng)支持新的全雙工模式���,可以在交換機(jī)到交換機(jī)上�����,或交換機(jī)到端點工作站上連接上�����。半雙工操作模式用于CSMA/CD訪問方式和中繼器的共享連接上���。千兆以太網(wǎng)也將用于5類雙絞線。
以太網(wǎng)和更高等級的服務(wù):
千兆以太網(wǎng)提供高速連接能力����,但本身不提供完整的服務(wù)功能如服務(wù)質(zhì)量(QoS),自動冗余容錯,或是高層路由功能��。這些功能在其它開放標(biāo)準(zhǔn)中定義�。如同所有的以太網(wǎng)描述,千兆以太網(wǎng)定義OSI協(xié)議模型的數(shù)據(jù)鏈路層(第二層)����,TCP和IP分別在傳送層(第四層)和網(wǎng)絡(luò)層(第三層)部分中定義,允許在應(yīng)用之間的可靠通信服務(wù)��。QoS等問題在最初的千兆以太網(wǎng)描述中未曾涉及�,但是必須由此類標(biāo)準(zhǔn)的幾種中加以定義。
在90年代后期出現(xiàn)的應(yīng)用要求穩(wěn)定的網(wǎng)絡(luò)帶寬����、延遲和敏感性。此類的網(wǎng)絡(luò)應(yīng)用包括語音和影像在局域網(wǎng)和廣域網(wǎng)上傳送�����,組播軟件分發(fā)�。相關(guān)的標(biāo)準(zhǔn)化組織針對此類需求已經(jīng)作出了新的開放標(biāo)準(zhǔn)定義如RSVP,IEEE802.1p和IEEE802.1Q標(biāo)準(zhǔn)化小組也正在進(jìn)行各自的工作����。
作為推薦性的標(biāo)準(zhǔn)����,響應(yīng)連接質(zhì)量要求�����、提供網(wǎng)絡(luò)連接質(zhì)量的RSVP已經(jīng)獲得了業(yè)界的認(rèn)可��。為了使RSVP能發(fā)揮作用����,為網(wǎng)絡(luò)應(yīng)用提供所要求的持續(xù)質(zhì)量����,在客戶和服務(wù)器之間的任何一個網(wǎng)絡(luò)部件都必須支持RSVP和正常的通信能力。由于在真正獲得服務(wù)質(zhì)量的顯著效果之前需要如此多的網(wǎng)絡(luò)部件支持RSVP�,有些廠商開發(fā)了一些在某種程度上支持QoS的廠家專有方案。盡管它們可以為用戶提供QoS的效益��,但要求網(wǎng)絡(luò)的某些部分是這些廠家所獨有的�。
802.1p和802.1Q靠提供一種所謂的“打標(biāo)記”的方式實現(xiàn)以太網(wǎng)上的服務(wù)質(zhì)量功能。打標(biāo)簽就是在數(shù)據(jù)包上做標(biāo)記����,注明該數(shù)據(jù)包所期望的服務(wù)類型或是優(yōu)先級別。這種標(biāo)記使得應(yīng)用能夠與網(wǎng)絡(luò)互聯(lián)設(shè)備按不同的優(yōu)先級通信。RSVP可以由將RSVP映射到802.1p服務(wù)級別的方式實現(xiàn)���。
不同的千兆以太網(wǎng)設(shè)備一般只有上述部分標(biāo)準(zhǔn)��,這樣可以使以太網(wǎng)連接更有效率��,功能較強(qiáng)��。但千兆以太網(wǎng)的成功不依賴于標(biāo)準(zhǔn)中的任何一個����。模塊化標(biāo)準(zhǔn)的優(yōu)點是標(biāo)準(zhǔn)的任何部分都可以在市場和和產(chǎn)品質(zhì)量有需求時進(jìn)行更新���。請注意所有這些標(biāo)準(zhǔn)都和快速以太網(wǎng)和10M以太網(wǎng)相匹配�,各個層次的以太網(wǎng)運行性能和質(zhì)量都可以從標(biāo)準(zhǔn)化的工作中獲益��。
10G以太網(wǎng):
近兩年隨著傳輸網(wǎng)絡(luò)的發(fā)展��,10G以太網(wǎng)技術(shù)漸漸引起了人們的注意����,這種高速以太網(wǎng)技術(shù)適用于各種網(wǎng)絡(luò)結(jié)構(gòu),能夠簡單�����、經(jīng)濟(jì)地構(gòu)建各種速率的網(wǎng)絡(luò),可以滿足骨干網(wǎng)大容量傳輸?shù)男枨?���,解決了窄帶接入、寬帶傳輸?shù)钠款i問題���,并與現(xiàn)行以太網(wǎng)技術(shù)兼容���。2000年末已經(jīng)為通往WAN作好了相應(yīng)的技術(shù)儲備���。此外�����,由于LAN����、MAN和WAN采用同一種核心技術(shù)����,網(wǎng)絡(luò)易于管理和維護(hù)�����,同時避免了協(xié)議轉(zhuǎn)換�,實現(xiàn)了LAN��、MAN和WAN的無縫連接�����。10G以太網(wǎng)贏得青睞的真正原因是�����,它比ATM和SONET的價位低���,在MAN和WAN中應(yīng)用10G以太網(wǎng)技術(shù)����,比采用ATM/SONET技術(shù)構(gòu)建的類似MAN和WAN費用低25%�����。預(yù)計10G以太網(wǎng)的每端口價格是單個千兆比端口價格的8.3倍����。這就是說���,買一個10G以太網(wǎng)端口比買10個千兆比端口節(jié)省17%的費用。然而���,10G以太網(wǎng)缺少SONET的鏈路管理能力�����,無法排除鏈路故障�。有人建議用數(shù)字封裝法來傳遞以太網(wǎng)幀�,使之具備鏈路管理能力,但這將增加成本和復(fù)雜性�����。所以���,在長距離傳輸下,SONET有其優(yōu)勢���,但以太網(wǎng)處理突發(fā)數(shù)據(jù)和網(wǎng)狀網(wǎng)的能力比SONET強(qiáng)��。
盡管10G以太網(wǎng)是在以太網(wǎng)技術(shù)的基礎(chǔ)上發(fā)展起來的�,但是,由于工作速率的大幅度提升�����,適用范圍有了顯著的變化�,與原來的以太網(wǎng)技術(shù)相比差異很大,主要表現(xiàn)在:物理層實現(xiàn)方式���、幀格式����、MAC層的工作速率以及適配策略���。
由于10G以太網(wǎng)既可以作LAN使用�,也可以當(dāng)作WAN使用�,而LAN和WAN之間由于工作環(huán)境不同,對于各項指標(biāo)的要求存在許多的差異��,主要表現(xiàn)在時鐘抖動�、BER(比特誤碼率)、QoS���、速率等的要求不同�。為此,IEEE802.3HSSG小組制訂了兩種不同的物理介質(zhì)標(biāo)準(zhǔn)���,分別用于以太局域網(wǎng)和以太廣域網(wǎng)����。這兩種物理層的共同點是:共用一個MAC層��;僅支持全雙工操作方式���;省略了CSMA/CD�;采用光纖作為物理介質(zhì)��。
根據(jù)當(dāng)前的局域網(wǎng)技術(shù)發(fā)展趨勢����,針對XXXX市供電公司局域網(wǎng)的應(yīng)用需求�����。應(yīng)采用千兆以太交換技術(shù)構(gòu)筑內(nèi)部局域網(wǎng)���,并保證今后可向10G以太網(wǎng)平滑升級�����。
內(nèi)網(wǎng)建設(shè)方案
組網(wǎng)方案
現(xiàn)狀分析
廣域網(wǎng)主要采用155MATM接入企業(yè)內(nèi)聯(lián)網(wǎng)�,采用2M專線連接各個縣公司。聯(lián)網(wǎng)計算機(jī)達(dá)七百多臺�����,采用10/100M
交換到桌面�。
目前對外部網(wǎng)絡(luò)的訪問主要提供省公司的代理服務(wù)器連接Internet,沒有自己的本地出口�����。對于銀行的互連����,目前正在現(xiàn)有系統(tǒng)上添加防火墻及入侵檢測設(shè)備。
系統(tǒng)采用的主要網(wǎng)絡(luò)設(shè)備如下:
主干交換機(jī):采用Cisco公司的Catalyst6509為主干交換機(jī)����,該交換機(jī)配置256G交換矩陣,路由能力為15Mpps。接口模塊主要有千兆以太網(wǎng)接口板���,主要用于局域網(wǎng)及城域網(wǎng)的千兆主干接入��,ATM622M接口與8540互連����,通過三級網(wǎng)接入企業(yè)內(nèi)聯(lián)網(wǎng)��。
分支主干交換機(jī):采用Cisco4000系列交換機(jī)�����,作為分支節(jié)點的核心交換機(jī)���,采用千兆連接6509�����。
樓層交換機(jī):主要為Cisco3500系列交換機(jī)����。采用千兆連接到核心6509交換機(jī)�����,10/100M交換到桌面�����。
撥號路由器:采用IBM8235作為撥號訪問服務(wù)器���,實現(xiàn)遠(yuǎn)程用戶和移動辦公用戶通過電話撥號接入局域網(wǎng)��。該撥號訪問服務(wù)器采用10M以太網(wǎng)接入局域網(wǎng)�。
廣域網(wǎng)接入交換機(jī):采用Cisco8540MSR�����,采用155MATM接口通過三級網(wǎng)接入江蘇電力企業(yè)內(nèi)聯(lián)網(wǎng)���,通過622MATM接口連接核心交換機(jī)6509�����。
接入路由器:采用IBM2210作為縣公司接入路由器�����,通過2M專線連接各個縣公司��。
內(nèi)網(wǎng)建設(shè)目標(biāo)
2 ?實現(xiàn)主樓�����、服務(wù)樓����、信息XXXX樓的互連。
2 ?網(wǎng)絡(luò)技術(shù)采用千兆以太網(wǎng)�����,主干網(wǎng)是以數(shù)據(jù)傳輸速率為1000Mbps���,并采取資源保留協(xié)議�����、保證關(guān)鍵業(yè)務(wù)的通暢����。
2 ?提供樓層用戶的10/100M接入�。
2 ?與現(xiàn)有網(wǎng)絡(luò)系統(tǒng)兼容��,并可以平滑升級��。
2 ?通過設(shè)備對策選擇及拓?fù)浣Y(jié)構(gòu)設(shè)計,保證系統(tǒng)的高可靠性
2 ?實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的物理隔離����。
內(nèi)網(wǎng)建設(shè)方案
核心設(shè)計:
內(nèi)網(wǎng)主要包括三個主要節(jié)點:新大樓主樓、服務(wù)樓�、信息樓,為保證網(wǎng)絡(luò)系統(tǒng)的高可靠性�,設(shè)計三個節(jié)點各放置一臺三層交換機(jī),相互間采用雙千兆進(jìn)行互連�����,構(gòu)成核心環(huán)網(wǎng)����。在互連協(xié)議方式上可以有兩種方式:
采用路由方式互連,在局域網(wǎng)內(nèi)部運行OSPF協(xié)議�,通過路由協(xié)議實現(xiàn)鏈路的最佳選擇及備份切換,通過調(diào)整OSPF協(xié)議的參數(shù)���,可以將鏈路的切換時間控制在4秒以內(nèi)�����,但此種方式應(yīng)用在局域網(wǎng)內(nèi)有一定的局限性�,例如不能構(gòu)建跨越三大節(jié)點的全局VLAN。
通過數(shù)據(jù)鏈路層的IEEE802.1s及IEEE802.1w協(xié)議實現(xiàn)鏈路冗余及切換���,IEEE802.1s協(xié)議是對IEEE802.1d(生成樹協(xié)議)的改進(jìn)��,通過改進(jìn)的BPDU傳輸鏈路及端口狀態(tài)����,可以保證將系統(tǒng)的切換時間控制在1秒以內(nèi)���,IEEE802.1w是多生成樹協(xié)議����,即可以在一個傳統(tǒng)的生成樹域內(nèi)�,通過分級控制的方式劃分出多個生成樹,在鏈路發(fā)生故障時��,提高系統(tǒng)的收斂時間�����。
根據(jù)局域網(wǎng)的特點及系統(tǒng)可靠性的保證,建議核心環(huán)網(wǎng)選擇第二種互連方式�����。
根據(jù)接入節(jié)點的數(shù)量及投資規(guī)模�,核心節(jié)點的交換機(jī)可以有兩種選擇。
主樓采用核心交換機(jī)采用Cisco6509�����,信息樓核心交換機(jī)采用現(xiàn)有的Cisco6513����,配置720G引擎�����,最大路由能力為400Mpps���;服務(wù)樓配置Cisco4507R�����,交換能力為64G�����,路由能力為48Mpps�����;�����。
主樓核心交換機(jī)采用Cisco4507R��,采用全冗余配置�����;信息XXXX樓核心交換機(jī)采用Cisco6509��;服務(wù)樓核心交換機(jī)采用Cisco3550-12G����,交換能力為17G,路由能力為6Mpps��。
(1)主交換機(jī)
主交換機(jī)是整個網(wǎng)絡(luò)系統(tǒng)的核心設(shè)備,承擔(dān)網(wǎng)絡(luò)主干的絕大部分流量����,由于服務(wù)器包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器�、網(wǎng)管工作站等重要設(shè)備都連接在主交換機(jī)上,并且客戶機(jī)與服務(wù)器的通信都必須經(jīng)過主交換機(jī)���,因此主交換機(jī)的故障會造成通信中斷�,導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓�;同時主交換機(jī)的性能、穩(wěn)定性�、可靠性也密切影響著整個網(wǎng)絡(luò)系統(tǒng)的性能�。對主交換機(jī)的設(shè)計如下:
2 ?設(shè)備配置冗余電源,冗余管理模塊�����,冗余三層交換模塊及冗余端口�����,同時保證提供足夠數(shù)量的千兆端口用于連接內(nèi)網(wǎng)骨干網(wǎng)(主交換機(jī)與樓層交換機(jī)之間的鏈路)和連接各類服務(wù)器���;
2 ?集成LAN/WAN/MAN����,集成不同的網(wǎng)絡(luò)、電信端口�;
2 ?提供智能IP服務(wù),如提供對組播等協(xié)議的支持�����;
2 ?提供對IP語音的支持����;
2 ?支持各種QoS方式;
2 ?支持強(qiáng)大的網(wǎng)絡(luò)管理功能��;
根據(jù)以上要求�,主樓核心設(shè)備根據(jù)投資規(guī)模的不同,可以有兩種選擇�����,第一種選擇Cisco6509�;第二種選擇為Cisco4507R交換機(jī)。具體配置詳見建議設(shè)備配置清單�。
(2)樓層交換機(jī)
作為用戶終端與交換機(jī)之間的連接,樓層交換機(jī)在整個網(wǎng)絡(luò)中處于重要的地位。樓層交換機(jī)的選擇應(yīng)做到盡可能的高速交換和傳遞數(shù)據(jù)�����,不致成為整個網(wǎng)絡(luò)的瓶頸�。因此,根據(jù)網(wǎng)絡(luò)系統(tǒng)的設(shè)計原則以及內(nèi)網(wǎng)的業(yè)務(wù)特點��,對樓層交換機(jī)設(shè)計如下:
2 ?端口密度滿足每一樓層40多個信息點百兆交換到桌面的要求����;
2 ?提供至少一個千兆端口作為與主交換機(jī)的相連;
2 ?提供第二層上虛網(wǎng)劃分�����,滿足主交換機(jī)的第三層交換�����;
2 ?支持802.1q及802.1p��,支持802.1x用戶接入認(rèn)證�。
外網(wǎng)建設(shè)方案
外網(wǎng)建設(shè)目標(biāo)
l ?建立獨立于內(nèi)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)���,實現(xiàn)內(nèi)外網(wǎng)物理隔離��;
l ?建立外網(wǎng)信息服務(wù)平臺�,提供豐富的信息服務(wù);
l ?提供Internet接入����,為職工安全上網(wǎng)提供便利條件;
l ?提供對社會公眾的服務(wù)窗口���。
外網(wǎng)構(gòu)建方案
外網(wǎng)主要用于連接Internet���、銀行等。采取與內(nèi)網(wǎng)物理隔離的方式來保證內(nèi)網(wǎng)系統(tǒng)的安全性���。為實現(xiàn)內(nèi)外網(wǎng)物理隔離目標(biāo)�,建立獨立的外網(wǎng)系統(tǒng)�,在每個辦公室里設(shè)置一個到兩個獨立的信息點,這些信息點的機(jī)器不與內(nèi)網(wǎng)有任何連接�,通過這種方式實現(xiàn)與外網(wǎng)的連接。
由于外網(wǎng)系統(tǒng)的數(shù)據(jù)流量不大����,只要保證連通性��,最為主要的是安全性�����,因此交換設(shè)備可以選擇抵檔一些的設(shè)備�����,如國產(chǎn)設(shè)備或不適用于原有網(wǎng)絡(luò)的設(shè)備�。新增配置一臺核心三層交換機(jī)��,關(guān)鍵要設(shè)計好外網(wǎng)出口的安全�,建議在外網(wǎng)的Internet及銀行互連端口處設(shè)置防火墻及入侵檢測裝置。防火墻要設(shè)置DMZ區(qū)域��,用于放置WWW�、外部Email、DNS等服務(wù)器���,將來可提供對社會公眾的信息查詢服務(wù)以及企業(yè)自我宣傳的窗口�����。
由于外網(wǎng)不是本次網(wǎng)絡(luò)系統(tǒng)建設(shè)的重點���,本設(shè)計方案只給出一些建設(shè)意見,不涉及具體的設(shè)備配置����。
內(nèi)網(wǎng)及外網(wǎng)的IP地址分配方式
網(wǎng)絡(luò)內(nèi)部主機(jī)的IP地址的分配方式有以下幾種:
2 ?手工靜態(tài)配置
2 ?通過DHCP動態(tài)分配,即通過DHCP服務(wù)器獲得的IP地址有可能每次都不一樣�����。
2 ?在DHCP服務(wù)器上進(jìn)行IP及MAC的綁定�����,實行綁定分配��,在這種方式下���,只要網(wǎng)卡沒有更換��,每次獲得的IP地址均相同�����。根據(jù)主機(jī)及設(shè)備的屬性��,應(yīng)采取不同的IP導(dǎo)致分配方式:
2 ?對于服務(wù)器及網(wǎng)絡(luò)設(shè)備�����,由于相對穩(wěn)定�����,建議采用手工靜態(tài)配置IP地址�。對于固定的辦公PC機(jī),由于手工配置IP地址����,要人工記錄已經(jīng)分配的IP地址,以避免同一個IP地址分配給多臺機(jī)器�,導(dǎo)致網(wǎng)絡(luò)沖突。這些機(jī)器平
2 ?時的接入的子網(wǎng)相對固定����,同時為了便于對上網(wǎng)機(jī)器統(tǒng)一管理及監(jiān)控,建議內(nèi)網(wǎng)及外網(wǎng)的內(nèi)部的PC機(jī)采用DHCP方式�����,并且將IP與MAC地址綁定分配�����,保證每次獲得的IP地址均相同��。
2 ?對于移動上網(wǎng)的筆記本電腦����,由于每次所連接的子網(wǎng)可能不同,建議采用DHCP動態(tài)分配方式�����,建議每個子網(wǎng)的動態(tài)分配的IP地址空間為最后20個��。即:X.X.X.234-X.X.X.253�����。對于內(nèi)網(wǎng)及外網(wǎng)的DHCP服務(wù)器���,有以下兩種選擇:
2 ?采用PC服務(wù)器�,安裝WindowsNT或Windows2000Server操作系統(tǒng)�,操作系統(tǒng)內(nèi)置有DHCP服務(wù)功能。
2 ?由CiscoIOS提供�,內(nèi)網(wǎng)的核心由于為6509�����,配置有MSFC3路由模塊��,可以在IOS中啟用DHCP服務(wù)器功能����,由6509作為DHCP服務(wù)器��。今后可以考慮采用CiscoURT(用戶注冊管理工具)根據(jù)用戶輸入的用戶名及口令��,通過IEEE802.1x認(rèn)證后接入網(wǎng)絡(luò)�,就可以將用戶分配到相應(yīng)的子網(wǎng)并獲得正確的IP地址。
服務(wù)質(zhì)量(QoS)的實施
局域網(wǎng)服務(wù)質(zhì)量的實施
隨著視頻監(jiān)控�����、IP電話以及重要的電力企業(yè)應(yīng)用(如營銷)等各種在某段時間內(nèi)持續(xù)高帶寬低延時的應(yīng)用的開展�,網(wǎng)絡(luò)流量的復(fù)雜化,IP交換技術(shù)的發(fā)展���,二層���、三層交換技術(shù)在保障網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量QoS����,避免網(wǎng)絡(luò)擁塞上可以起到不可缺少的作用�����。
概括而言�,QoS主要包括數(shù)據(jù)智能分類技術(shù)�,擁塞控制技術(shù)兩大方面,一般在園區(qū)網(wǎng)絡(luò)中采用以下步驟實現(xiàn)服務(wù)質(zhì)量:
在接入層交換機(jī)中對進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)的基本分類或根據(jù)交換機(jī)設(shè)定來進(jìn)行重分類(Reclassify)��,同時對網(wǎng)絡(luò)的流量采用監(jiān)控(Policing)���,避免由于客戶設(shè)備故障或病毒產(chǎn)生的過度流量����,然后根據(jù)監(jiān)控決策結(jié)果來將這些流量放入相應(yīng)的上聯(lián)端口的隊列�,然后在此端口上采用加權(quán)算法來對該端口出去的流量進(jìn)行擁塞控制(SchedulingCongestionControl),確保在接入層上關(guān)鍵數(shù)據(jù)流量的服務(wù)質(zhì)量��,在這些數(shù)據(jù)的處理過程中�����,同時完成了第二層以太網(wǎng)幀中CoS值和IP包中的TOS值或DSCP值的映射,TOS或DSCP值決定了IP報文的優(yōu)先級別�,而TOS或DSCP值在經(jīng)過IP路由器默認(rèn)情況下其值不會改變,從而能夠提供跨全網(wǎng)的端到端的QoS����。核心三層交換機(jī)在收到了從接入層交換機(jī)上傳來的數(shù)據(jù)包,它開始正式對其第三層IP數(shù)據(jù)包進(jìn)行分析�����,首先根據(jù)IP地址信息可以選擇不同的轉(zhuǎn)發(fā)鏈路��,在選擇了相應(yīng)的鏈路后���,這時候核心三層交換機(jī)在這些鏈路上對流量的擁塞不再是依據(jù)以太網(wǎng)幀中的CoS�,而是依據(jù)在接入層交換中以及完成賦值的TOS或DSCP���,分布層交換機(jī)可以根據(jù)這些值可以對網(wǎng)絡(luò)中的流量進(jìn)行更細(xì)致的劃分�����,保證關(guān)鍵流量將根據(jù)其各自的優(yōu)先權(quán)進(jìn)入網(wǎng)絡(luò)核心��。
從上述技術(shù)分析來看���,實施時技術(shù)要求較高��,要求在實施前對網(wǎng)絡(luò)應(yīng)用模式和具體需要進(jìn)行詳細(xì)分析��,然后合理的規(guī)劃采用連接協(xié)議及QoS控制方式���,使網(wǎng)絡(luò)在滿足需求的前提下趨于最高性能和可靠性�����。
具體實現(xiàn)的技術(shù)方案:
在企業(yè)內(nèi)網(wǎng)中接入層交換機(jī)采用Cisco3550交換機(jī)����,能夠提供完善的LAN邊緣QoS,在業(yè)內(nèi)此類產(chǎn)品中無以匹敵�����。所有的Cisco3550交換機(jī)支持兩種模式的重新分類方法���。一種模式基于IEEE802.1p標(biāo)準(zhǔn)�,遵從接入點的服務(wù)等級(CoS)值并把數(shù)據(jù)包分配到合適的隊列中。第二種模式�����,數(shù)據(jù)包根據(jù)由網(wǎng)絡(luò)管理員分配給接入端口的缺省CoS值來進(jìn)行重新分類���。如果到達(dá)的幀沒有CoS值(如未做標(biāo)記的幀)���,Cisco3550交換機(jī)就根據(jù)網(wǎng)絡(luò)管理員分配給每個端口的缺省CoS值來進(jìn)行分類。
一旦數(shù)據(jù)幀使用上面所說的兩種模式分類或重新分類后���,即被分配到最合適的輸出隊列中去����。Cisco3550交換機(jī)支持四種輸出隊列��,使網(wǎng)絡(luò)管理員在為LAN流量的各種應(yīng)用指定優(yōu)先權(quán)時更加容易區(qū)分和有針對性���。嚴(yán)格的優(yōu)先權(quán)分配可以保證諸如語音等時間敏感的應(yīng)用在通過交換結(jié)構(gòu)時一直使用高速路徑�����。另外�����,另一種重要的增強(qiáng)措施即加權(quán)循環(huán)(WRR)策略也能保證低優(yōu)先級的負(fù)載在沒有被網(wǎng)絡(luò)管理員進(jìn)行優(yōu)先級配置的情況下���,能夠得到重視����。
這些特性使網(wǎng)絡(luò)管理員可以把關(guān)鍵任務(wù)和時間敏感的流量���,如視頻(視頻會議���,視頻監(jiān)控等)�����、語音(IP電話流量)和CAD/CAM���,優(yōu)于低時間敏感的應(yīng)用如FTP或e-mail(SMTP)等來設(shè)置更高級別的優(yōu)先權(quán)����。
Cisco3550交換機(jī)每個端口可以工作在兩種模式下:Trust和Untrust�����。Trust狀態(tài)下交換機(jī)將相信從端口進(jìn)入交換機(jī)的以太網(wǎng)幀中CoS值,這種狀態(tài)下必須依賴于客戶端程序或系統(tǒng)能夠?qū)ζ洚a(chǎn)生的流量能夠正確的賦予CoS值�;在Untrust模式下交換機(jī)可以設(shè)定改寫所有進(jìn)入該交換機(jī)端口的以太網(wǎng)幀中的CoS值,無論其現(xiàn)有的CoS值為多少�����,可以根據(jù)端口的直接設(shè)定����。
對于智能型的Cisco3550也可以通過ACL來對網(wǎng)絡(luò)流量分類來重新設(shè)定。為了同時也對第三層IP數(shù)據(jù)中的ToS或DSCP賦值����,交換機(jī)也對應(yīng)一些相應(yīng)的規(guī)則,由于CoS和ToS均為0-7�����,可以直接對應(yīng)�,CoS和DSCP直接采用DSCP=CoSx8的公式進(jìn)行轉(zhuǎn)換。在網(wǎng)絡(luò)流量的監(jiān)控上����,Cisco3550采用了以前只有在6500交換機(jī)上才采用的ratelimit技術(shù)�,可以以8Kbps為單位來定義10/100兆端口上實際數(shù)據(jù)傳輸速率�,當(dāng)速率超過預(yù)先定義的值可以采用丟棄或降低DSCP的方法來處理。
在上聯(lián)端口的擁塞處理中Cisco3550交換機(jī)采用4條隊列的方式����,其中一條為嚴(yán)格優(yōu)先隊列(StrictPriority),其余3條隊為加權(quán)輪詢隊列����,這樣的話為了保證要求服務(wù)質(zhì)量保證的系統(tǒng)最高優(yōu)先級,可以將所有的有服務(wù)質(zhì)量要求的數(shù)據(jù)設(shè)定分類后放入嚴(yán)格優(yōu)先隊列中��,其余的應(yīng)用根據(jù)其各自的情況分類���,賦予不同的DSCP值�。
各個VLAN通過核心的6513或6509實現(xiàn)三層互聯(lián)����,對于不同的應(yīng)用��,采用策略訪問控制列表(PolicyACL)對有服務(wù)質(zhì)量要求的報文(如視頻及語音報文)設(shè)定IP優(yōu)先級�,根據(jù)優(yōu)先級采用加權(quán)公平隊列(WFQ)進(jìn)行報文端到端的QoS傳輸;在路由端口上缺省的隊列為公平隊列(FQ)����,6509MSFC2路由模塊可以根據(jù)IP優(yōu)先級計算一個權(quán)重�,權(quán)重=4096/(優(yōu)先級+1)�,根據(jù)到達(dá)路由端口的報文不同的IP優(yōu)先級計算出各自的權(quán)重,將報文放進(jìn)不同的轉(zhuǎn)發(fā)隊列�����,根據(jù)權(quán)重的比例進(jìn)行報文的排放���,保證在網(wǎng)絡(luò)擁塞時優(yōu)先級高的報文優(yōu)先通過���。
網(wǎng)絡(luò)管理系統(tǒng)
在當(dāng)今的網(wǎng)絡(luò)系統(tǒng)中,隨著網(wǎng)絡(luò)系統(tǒng)的不斷建設(shè)和完善����,網(wǎng)絡(luò)中涉及的設(shè)備將越來越多,如路由器�����、交換機(jī)�����、防火墻、撥號服務(wù)服務(wù)器等�;其次,網(wǎng)絡(luò)技術(shù)也日趨復(fù)雜�����,從10/100M以太網(wǎng)��、千兆以太網(wǎng)��、ATM����、多媒體技術(shù)、安全策略等等����;再有不同的網(wǎng)絡(luò)設(shè)備的配置命令也不盡相同。導(dǎo)致在網(wǎng)絡(luò)系統(tǒng)發(fā)生故障時�����,使網(wǎng)管人員無從下手���,降低了網(wǎng)絡(luò)運行的效率�����。這就客觀要求要有一套好的網(wǎng)絡(luò)管理系統(tǒng)與之相配套���。
網(wǎng)絡(luò)管理任務(wù)及策略
網(wǎng)絡(luò)管理是網(wǎng)絡(luò)建設(shè)中不可缺少的重要組成部分。一個良好的網(wǎng)絡(luò)管理系統(tǒng)可以幫助用戶在很大的程度上優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)����,預(yù)防和及時排除故障,減少網(wǎng)絡(luò)的維護(hù)費用�。因此,網(wǎng)絡(luò)管理對保證網(wǎng)絡(luò)安全高效的運行是非常重要的�����。
網(wǎng)絡(luò)管理的任務(wù)主要包括以下方面內(nèi)容:
2 ?網(wǎng)絡(luò)性能管理:收集網(wǎng)絡(luò)運行各種統(tǒng)計信息��,例如設(shè)備和鏈路的負(fù)載���、可用性及可靠性����、網(wǎng)絡(luò)的可用率等,優(yōu)化網(wǎng)絡(luò)性能��,消除網(wǎng)絡(luò)中的瓶頸���,實現(xiàn)網(wǎng)絡(luò)流量分布的均勻性����,實現(xiàn)各種策略管理�����。
2 ?網(wǎng)絡(luò)配置管理:網(wǎng)絡(luò)節(jié)點部件���、端口及路由的配置�����,收集當(dāng)前系統(tǒng)狀態(tài)的有關(guān)信息�,更改系統(tǒng)的配置等�。
2 ?網(wǎng)絡(luò)故障管理:維護(hù)并檢查錯誤日志,接受錯誤檢測報告并作出反應(yīng)����,跟蹤錯誤檢測報告并作出反應(yīng)�,跟蹤及辨認(rèn)錯誤�����,執(zhí)行診斷測試�����,糾正錯誤等�����。
2 ?業(yè)務(wù)量統(tǒng)計:對網(wǎng)絡(luò)節(jié)點��、設(shè)備等的告警產(chǎn)生���、告警內(nèi)容和告警清除的統(tǒng)計;根據(jù)IP地址��,統(tǒng)計業(yè)務(wù)流量和流向��,實現(xiàn)對網(wǎng)管人員操作網(wǎng)管設(shè)備過程的記錄和統(tǒng)計���。
2 ?網(wǎng)絡(luò)安全管理:包括各種級別�、層次的安全防護(hù)措施的管理,對網(wǎng)絡(luò)中各種配置數(shù)據(jù)必須有保護(hù)措施���,當(dāng)網(wǎng)管系統(tǒng)出現(xiàn)故障時����,能自動及人工恢復(fù)正常工作����,不影響網(wǎng)絡(luò)的正常運行。
對于網(wǎng)絡(luò)系統(tǒng)來說����,由于其內(nèi)網(wǎng)、外網(wǎng)網(wǎng)絡(luò)界限劃分明顯�,且隨著網(wǎng)絡(luò)的發(fā)展今后其覆蓋面將越來越廣,涉及的網(wǎng)絡(luò)設(shè)備眾多����,因此如何有效地管理整個網(wǎng)絡(luò),提高網(wǎng)絡(luò)運行效率是網(wǎng)絡(luò)運行管理過程中一件非常重要的工作��。
網(wǎng)絡(luò)的管理不僅僅是配置一套網(wǎng)管系統(tǒng)���,而應(yīng)該是制定一個系統(tǒng)的網(wǎng)管策略�,包括網(wǎng)絡(luò)設(shè)備的管理(配置、監(jiān)控�、性能等方面)、網(wǎng)絡(luò)終端用戶信息管理��、網(wǎng)絡(luò)地址的分配��、網(wǎng)絡(luò)配線(包括光配及線配)的管理�����、網(wǎng)絡(luò)安全的管理��、網(wǎng)絡(luò)認(rèn)證的管理���、網(wǎng)絡(luò)權(quán)限的管理等等。網(wǎng)管軟件只能完成其中部分功能�,其他功能如網(wǎng)絡(luò)終端用戶管理、網(wǎng)絡(luò)配線管理等需要結(jié)合其他根據(jù)軟件或人工來完成���。
網(wǎng)管平臺選擇
網(wǎng)管系統(tǒng)的建立與選擇應(yīng)該根據(jù)以下的幾個原則來進(jìn)行:
2 ?網(wǎng)管軟件應(yīng)能監(jiān)控網(wǎng)絡(luò)設(shè)備���,以圖形方式實時顯示設(shè)備的運行狀態(tài);
2 ?網(wǎng)管軟件能自動尋找并顯示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)��;
2 ?網(wǎng)管軟件能監(jiān)控網(wǎng)絡(luò)的狀態(tài)并在一定的情況下報警;
2 ?網(wǎng)管軟件應(yīng)能監(jiān)控網(wǎng)絡(luò)的性能�,并設(shè)置一定的閥值,在超過閥值的情況下自動報警�����;
2 ?應(yīng)能用圖形方式對虛擬網(wǎng)進(jìn)行設(shè)置與管理����;
2 ?動態(tài)分配網(wǎng)絡(luò)資源;
2 ?記錄與搜索網(wǎng)絡(luò)的歷史性資料�����;
2 ?支持SNMP及RMON網(wǎng)絡(luò)管理協(xié)議�����;
2 ?具有良好的用戶界面�����,方便網(wǎng)絡(luò)管理者的工作����,如有基于XWINDOWS
2 ?圖形用戶界面(GUI)或基于WEB的瀏覽器界面���;
2 ?能對網(wǎng)絡(luò)資源的利用率、趨勢�����、MIB變量進(jìn)行查詢與分析并能用圖表的形式顯示出來�;
2 ?能進(jìn)行安全性管理,控制用戶對網(wǎng)絡(luò)資源的未經(jīng)授權(quán)的訪問���;
2 ?能對設(shè)備的配置文件、軟件進(jìn)行管理���;
目前各主要網(wǎng)絡(luò)廠家都向用戶提供與本廠家設(shè)備相關(guān)的網(wǎng)管軟件�����,都有較全面的管理功能�,且都提供圖形操作界面���,使用直觀方便�。如Cisco的CiscoWorks2000�、IBM的Netview��、HP的Openview等�����。但一個廠家的設(shè)備只有用本廠家的網(wǎng)管軟件才能得到全功能的管理�����。如果一個廠家的網(wǎng)絡(luò)設(shè)備采用另外一家的網(wǎng)管軟件來管理���,則除非網(wǎng)絡(luò)設(shè)備的原廠商能夠提供基于此網(wǎng)管平臺的設(shè)備管理信息庫(MIB),否則將不能直觀的看到網(wǎng)絡(luò)設(shè)備的面板及真實的端口狀態(tài)�����,只能看到一些SNMP的基本信息�����,非常不直觀����,不便于管理。
由于網(wǎng)絡(luò)基本由Cisco設(shè)備構(gòu)建而成��,網(wǎng)絡(luò)管理以局域網(wǎng)系統(tǒng)管理為主,建議采用Cisco公司的局域網(wǎng)網(wǎng)絡(luò)管理軟件LanManagementSolution�,在今后覆蓋全省的MPLS/VPN網(wǎng)絡(luò)系統(tǒng)建成后,其網(wǎng)管中心將放置在省公司����,由省公司統(tǒng)一管理各個VPN的劃分。各個地市供電公司只負(fù)責(zé)本地PE路由器以下的局域網(wǎng)系統(tǒng)管理��,與現(xiàn)在的管理權(quán)限基本相同�����。
LanManagementSolution可基于WindowsNT/2000Server及SUN的Solaris操作系統(tǒng)���,是一種多功能的企業(yè)級網(wǎng)絡(luò)管理軟件。它包括如下網(wǎng)絡(luò)管理模塊:
最基本的模塊CDONE及RME�����,是其他網(wǎng)絡(luò)管理模塊的基礎(chǔ)��,提供了網(wǎng)絡(luò)設(shè)備狀態(tài)采集及遠(yuǎn)程監(jiān)控等功能����?���;谶@兩個模塊還有園區(qū)網(wǎng)管理核心模塊-CM�,提供設(shè)備的配置及信息采集功能、內(nèi)容流管理模塊-CFM�、還有設(shè)備報錯管理模塊-DFM。這些網(wǎng)絡(luò)管理模塊給網(wǎng)絡(luò)管理員提供了一套工具組來輕松地管理整個園區(qū)網(wǎng)絡(luò)����。
系統(tǒng)安全建設(shè)
系統(tǒng)安全分析
網(wǎng)絡(luò)系統(tǒng)安全問題一直為人們所關(guān)注。如何保證網(wǎng)絡(luò)的安全性��,除了需要制訂相應(yīng)的法律法規(guī)加以約束外���,采用什么樣的技術(shù)手段來控制是非常重要的���。一個完整的安全解決方案應(yīng)該是一個系統(tǒng)化、一體化的立體的防御結(jié)構(gòu)��。如下圖所示����,系統(tǒng)安全包括網(wǎng)絡(luò)群體、系統(tǒng)群體、用戶群體��、應(yīng)用群體�、數(shù)據(jù)加密等不同層次多角度的安全控制。
安全體系建立的原則
一個系統(tǒng)的安全體系建設(shè)應(yīng)從兩方面加以建設(shè)��,要采用兩條腿一起走路:
一是網(wǎng)絡(luò)安全的結(jié)構(gòu)設(shè)計�,包括網(wǎng)絡(luò)級、系統(tǒng)級�、用戶級、應(yīng)用級��、數(shù)據(jù)級安全防御體系��;二是網(wǎng)絡(luò)安全管理�,包括建立安全組織、制訂安全策略��、網(wǎng)絡(luò)安全管理規(guī)范����、安全管理工作流程�����、網(wǎng)絡(luò)安全審計等。兩方面的工作要相輔相成�����,貫穿于整個的網(wǎng)絡(luò)生命周期�。
網(wǎng)絡(luò)安全不是某個產(chǎn)品點,它涉及到各種技術(shù)�����,它應(yīng)該是優(yōu)秀的網(wǎng)絡(luò)設(shè)計的一部分����。
各種網(wǎng)絡(luò)安全措施
構(gòu)建一個完整的安全體系應(yīng)包含以下幾個方面:
訪問控制-通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系�,將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。
檢查安全漏洞-通過對安全漏洞的周期檢查�,即使攻擊可到達(dá)攻擊目標(biāo),也可使絕大多數(shù)攻擊無效���。
攻擊監(jiān)控-通過對特定網(wǎng)段����、服務(wù)建立的攻擊監(jiān)控體系��,可實時檢測出絕大多數(shù)攻擊,并采取相應(yīng)的行動(如斷開網(wǎng)絡(luò)連接��、記錄攻擊過程��、跟蹤攻擊源等)�����。
加密通訊-主動的加密通訊����,可使攻擊者不能了解、修改敏感信息����。
認(rèn)證-良好的認(rèn)證體系可防止攻擊者假冒合法用戶。
備份和恢復(fù)-良好的備份和恢復(fù)機(jī)制�,可在攻擊造成損失時,盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)��。
網(wǎng)絡(luò)防病毒-對病毒傳播途徑的有效控制���,包括郵件系統(tǒng)����、網(wǎng)關(guān)����、防火墻等要做到全面防毒;對病毒生存環(huán)境的有效清理�,包括殺毒引擎、病毒庫更新等�����。
多層防御-攻擊者在突破第一道防線后���,延緩或阻斷其到達(dá)攻擊目標(biāo)�。隱藏內(nèi)部信息��,使攻擊者不能了解系統(tǒng)內(nèi)的基本情況�����。
設(shè)立安全監(jiān)控中心-為信息系統(tǒng)提供安全體系管理��、監(jiān)控����,保護(hù)及緊急情況服務(wù)�����。為此��,我們突出地提出如下三個方面的安全理念--安全策略��、管理和技術(shù)����。
安全策略--包括各種策略�、法律法規(guī)、規(guī)章制度�、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)等�����,是信息安全的最核心問題��,是整個信息安全建設(shè)的依據(jù)�����;
安全管理--主要是人員��、組織和流程的管理,是實現(xiàn)信息安全的落實手段��;
安全技術(shù)--包含工具�、產(chǎn)品和服務(wù)等�����,是實現(xiàn)信息安全的有力保證�。
設(shè)備自身的安全措施
網(wǎng)絡(luò)設(shè)備的安全對整個網(wǎng)絡(luò)的安全、正常運行有很大的意義��。網(wǎng)絡(luò)設(shè)備的安全是是許多安全措施能夠順利實施的基礎(chǔ)���。如果網(wǎng)絡(luò)設(shè)備的配置能夠被隨意看到�����,其所配置的路由識別ID���、密碼等都失去意義;VLAN的配置如能被隨意改動���,則VLAN將形同虛設(shè)���。
保護(hù)網(wǎng)絡(luò)設(shè)備應(yīng)注意兩個方面:
l ?設(shè)備的配置需要保護(hù)��,防止非授權(quán)訪問���;
l ?設(shè)備的資源必須有效保護(hù),防止像DOS這樣的資源掠奪式攻擊�����。
網(wǎng)絡(luò)設(shè)備分級登錄驗證
防范對網(wǎng)絡(luò)設(shè)備的非法訪問�����,需要保護(hù)關(guān)鍵的配置信息(如密碼�、ID等),管理員必須經(jīng)過嚴(yán)格身份鑒別和授權(quán)���。在江蘇電力企業(yè)內(nèi)聯(lián)網(wǎng)系統(tǒng)中�����,投標(biāo)方推薦的Cisco所有設(shè)備本身都有相應(yīng)的安全措施�。
針對于單一管理員權(quán)限無限大的問題,可以根據(jù)具體管理員的職能分工進(jìn)行權(quán)限分配�。在Cisco的路由交換設(shè)備上,可以將管理員的權(quán)限劃分為15級權(quán)限檔次�,針對每個權(quán)限可以定制相應(yīng)的命令集,為實現(xiàn)各種管理目的而設(shè)立的不同職能管理員之間可互不侵?jǐn)_的完成各自工作�����。
例如����,普通操作員只能監(jiān)視設(shè)備運行�����,不可進(jìn)行其他操作��;高級的管理員可做故障診斷�����,不可修改設(shè)備配置文件��;系統(tǒng)管理員可具有所有功能權(quán)限等���。
同樣�,對于SNMP服務(wù)也可以通過設(shè)置不同級別的Community,讓不同級別的網(wǎng)管系統(tǒng)獲得不同的操作權(quán)限�。
限制登錄會話數(shù)
Cisco網(wǎng)絡(luò)設(shè)備必須通過嚴(yán)格的認(rèn)證程序才能夠進(jìn)行登錄,這種認(rèn)證既包括對遠(yuǎn)程登錄���,也包括本地的Console登錄��。
Cisco網(wǎng)絡(luò)設(shè)備可以設(shè)定對本身的登錄會話數(shù)��,這種限制包括兩個層次:
并發(fā)遠(yuǎn)程登錄會話總數(shù)的限制
