《办公大楼综合楼智能化工程计算机网络系统设计方案.doc》由会员分享,可在线阅读,更多相关《办公大楼综合楼智能化工程计算机网络系统设计方案.doc(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、办公大楼综合楼智能化工程计算机网络系统设计方案1.1 方案要点概述在XXXXXXXXXXXX新办公大楼综合楼智能化工程计算机网络系统设计中,我们对用户的需求进行了详细的分析,并就系统进行了深入细致的设计。系统设计主要为:1. 网络技术选型的考虑以及网络拓朴的设计网络技术选型XXXXXXXXXXXX的网络系统经过多年的建设,目前局域网、城域网主要以千兆为主;到省公司广域网采用ATM155M,到各个县公司目前还以2M专线为主。随着江苏省电力公司企业内联网系统的建设,到各个县公司将在升级到千兆,并且在全网采用MPLS/VPN技术架构。核心设备为Cisco6509及8540交换机为主,接入层交换机主要
2、为Cisco3500系列交换机。目前的网络拓扑现状如下:新大楼网络系统主要是在现有局域网系统上进行扩容,在技术及设备上最好延续现有的网络系统,保证系统的平滑互连。并考虑今后网络系统升级的扩展性。主干采用千兆以太网技术,为了增加主干系统的带宽,可以考虑采用GEC(千兆以太网捆绑)技术。设备考虑延续采用Cisco设备。网络拓朴的设计针对XXXXXXXXXXXX本次网络系统建设范围主要包括三个独立的建筑物:主楼、服务楼、信息XXXX楼。网络主体架构采用环型星型结构,即在三个建筑物内配置三台Cisco三层交换机,相互间采用双千兆链路互连,构成核心环网;在每个建筑物内,根据楼层信息点的分布,在楼层配线间
3、采用接入级交换机采用星型拓扑连接到本地的核心三层交换机。2. 网络管理系统网络中涉及的设备繁多,需要进行状态检测、设备配置、策略设置等,在网络发生故障时能够及时发现问题,这需要一套功能强大的网络管理软件。方案中选用Ciscoworks2000软件作为局域网管理平台,能够与方案中设计的网络设备良好配合。3. 对应用支持的考虑基于网络的应用很多,包括办公应用、用电营销、财务、视频监控应用等。有些应用对网络的要求比较高。针对XXXX市供电公司新大楼智能化工程计算机网络系统,在网络设计的时候,我们在设备性能以及协议等方面作了充分的考虑。例如网络主干采用1000M以太网技术,网络设备具有良好的扩充性以及
4、扩展性。对于用电营销及视频监控应用,需要网络具有良好的服务质量(QoS)。在技术方案中针对这些网络的具体应用,我们提出了各自具体的实施方案。4. 对IP地址、DNS等网络基础资源的规划XXXX市供电公司的网络系统属于江苏电力企业内联网(JSEPNET)的一部分,其IP地址及DNS等均遵循江苏省电力公司的统一规划。在此不需要额外规划。5. 对安全的考虑方案中对系统安全作了建议性的描述,在对外连接上采用防火墙技术、DMZ设置保障信息系统的安全。在设备和系统设置上采用其他的一些策略包括针对Cisco设备特点采取的网络设备安全加固手段、采用虚拟网技术(VLAN)划分不同的网段,实现不同子网之间的逻辑隔
5、离及控制、在核心服务器VLAN及主要出口设置入侵检测系统;在主干路由设备上以及接入设备上设置访问控制,隔离外部入侵。出于对设备物理安全的考虑,对机房以及配线间设备考虑防雷和接地。主要考虑电源防雷和型号防雷,并对设备以及机柜等作良好接地。而这一部分也是机房设计的重要组成部分。1.2 总论1.2.1 系统建设背景XXXX市供电公司作为电力供应部门,更好地为社会提供供电服务,提高企业的办事效率,为领导和工作人员提供办公及生产管理,要不断完善对信息系统的建设。并且随着XXXX市供电公司新大楼的建设,急需对现有的网络进行扩容改造,以此来满足对网络性能、可靠性及安全等方面的不断增长的需求。1.2.2 系统
6、建设需求及设计原则1.2.2.1 系统需求分析XXXX市供电公司本次网络系统的建设包括省内部网络及外部网络,重点建设内部网络系统。XXXX市供电公司的内网性质为供电公司内部的生产办公业务网络,其上主要的应用系统有办公自动化、用电营销、财务、XXXX自动化、劳动人事等。今后随着网络应用的不断发展,其上还要承载高质量的视频监控系统、视频点播系统。要求网络运行可靠稳定、数据传输效率高、支持QoS,从安全角度出发要与外网从物理上完全隔离、充分保证系统数据的安全。因此在网络建设方案中内网主干采用千兆以太网技术、核心三层交换机具有较高的二至三层的交换能力,并且具备万兆升级能力。核心层及接入层交换机均支持不
7、同层次的QoS,以及适用于局域网的各种应用需求。外网是XXXX市供电公司与Internet及其它相关单位(如银行)间互访的网络系统,属于非安全网络。主要提供专有信息发布、电子邮件服务、Internet浏览、资料查询及下载。特别需要加强网络的安全及病毒防范能力。因此在外网与内网在物理上进行隔离,由于外网承载的业务相对内网而言对网络的带宽及性能要求不是很高,所以在外网的建设中,网络系统对连通性要求较高,但对网络的带宽及时延要求不大,重点考虑外网系统的安全性。1.2.2.2 系统建设原则本工程技术方案为实现前述建设目标,遵循以下建设原则:1、安全性和可靠性网络系统是信息资源的仓库,其安全与否,直接关
8、系到供电部门的切身利益,一旦信息系统因为安全的原因被人为或其它原因破坏,其损失不可估量,特别是现阶段互联网的开放性还缺乏有效的监督管理机制。因此,安全性是网络信息系统的生命线,在本建设方案中充分考虑到要保证系统的安全机制,通过各种手段确保信息系统的资源得到最大的保护,同时网络的可靠性是保障网络建设成功发挥其功能的关键。2、成熟性和先进性在目前存在的多种网络技术中,选择一种既成熟又先进的技术是组网的关键之一。成熟性是前提,它意味着采用这种技术不会由于网络技术本身的问题而造成损失,可以很好地满足应用要求;同时先进性是为了保证用户投资兴建的网络能够跟得上技术的发展,符合应用的要求,使用户的投资得到保
9、护,在相当的时间内保持先进性,不至于过早被淘汰。3、实用性建网的目的是为了提高工作效率,因此采用高速度、低延时的网络系统,建设一个切合应用要求的实用的、经济的网络信息系统是设计指导原则之一。只有所建设的网络信息系统能够满足应用的要求,吸引广大用户使用,提高使用网络人员的操作水平,为企业创造经济效益,充分发挥其功用,才达到建网的目的。4、可管理性网络管理关系到系统使用的效率、维护、监控的手段以及网络资源的再分配,是一个完整的智能网络必不可少的组成部分。因此采用具有网管能力的网络设备是系统设计的重要思想。系统支持先进有效的管理策略,提供良好的管理工具或手段能够实时监视服务器各种设备的工作情况,并在
10、安全和系统故障方面进行预警,提交日志和分析报告,及时发现故障点,为平衡负载、优化服务、排除故障提供手段和依据。5、开放性和扩展性开放性意味着标准化,在XXXX市供电公司的网络系统建设中,其各种设备之间的连接均采用国际上通用的成熟标准协议或接口,不会因为设备的更改而变动基本结构或采用不同厂商的设备导致系统不兼容。如内网VLAN的划分方式、路由协议的选择等。开放的体系结构为以后的网络升级提供了基础,随着江苏电力信息化建设不断发展,网络信息系统的应用规模和水平将会不断发展变化,这就要求计算机网络能够适应这些发展变化,实现向先进技术的平滑过渡,同时也便于扩大规模,从而保护原有投资。1.3 网络系统建设
11、方案1.3.1 网络技术综述计算机技术和通信技术的发展推动了网络技术的进步,也产生了许多新的网络技术和网络应用。总的趋势是向着开放、集成、高性能和智能化方向发展。网络技术的发展和应用需求之间是一个不断的反馈过程,呈现一种螺旋式上升地趋势。选择何种网络技术组建XXXXXXXXXXXX的信息基础设施,除了对网络技术本身的详尽分析以外,还要结合XXXXXXXXXXXX具体的应用而定。本章节将按照这个思路,首先详细分析了各种网络技术的最新发展状态,然后根据XXXXXXXXXXXX的网络应用现状及未来几年的应用规划,在后续章节做出相应的网络技术选型的建议。1.3.1.1 局域网技术简介本节对现有的主流的
12、以太网技术特点做了分析,在19971999年,由于千兆以太网技术标准还不成熟,ATM技术大量在局域网中应用,当时主要采用局域网仿真方式LANE来实现以太帧到ATM的信元格式转换。而在ATM到桌面的环境中,由于缺乏能有效利用ATM特性的API标准,ATM的严格的QoS特性也没有得到充分体现。而随着基于IP的应用的大量兴起及网络传输带宽的不断加大,在局域网应用场合中,千兆以太网技术逐渐成为局域网发展的主流,未来的10G比特以太网技术也前景光明。下面着重讲述一下千兆及10G以太网技术。千兆位以太网:千兆以太网技术是极为成功的10Mbps和100Mbps IEEE 802.3以太网标准的发展。由于千兆
13、以太网所支持的简易网络升级,以及对新应用和数据类型处理的灵活性、网络的可伸缩性,使得千兆以太网成为高速、高带宽网络的战略性选择。千兆以太网提供大致1000Mbps的带宽,和现有的数量极为庞大的以太网节点完全兼容。千兆以太网早在1996年7月就已进入标准化轨道。经过几个月的可行性研究,IEEE 802.3工作组成立了802.3z千兆以太网任务小组。802.3z千兆以太网任务小组的关键目标是开发可以完成下列功能的千兆以太网标准:² 允许以1000Mbps的速率进行半双工、全双工操作 ² 使用802.3以太网帧格式 ² 使用CSMA/CD访问方式 ² 与10B
14、ASE-T、100BASE-T技术的地址向后兼容性 任务小组定义了连接距离的三个特定目标:最大距离为550米的多模光纤,最大距离为3公里的单模光纤,最大距离不小于25米的铜线。IEEE同时在积极地探索可以支持在5类双绞线(UTP)上传输至少100米的技术。千兆以太网支持新的全双工模式,可以在交换机到交换机上,或交换机到端点工作站上连接上。半双工操作模式用于CSMA/CD访问方式和中继器的共享连接上。千兆以太网也将用于5类双绞线。以太网和更高等级的服务:千兆以太网提供高速连接能力,但本身不提供完整的服务功能如服务质量(QoS),自动冗余容错,或是高层路由功能。这些功能在其它开放标准中定义。如同所
15、有的以太网描述,千兆以太网定义OSI协议模型的数据链路层(第二层),TCP和IP分别在传送层(第四层)和网络层(第三层)部分中定义,允许在应用之间的可靠通信服务。QoS等问题在最初的千兆以太网描述中未曾涉及,但是必须由此类标准的几种中加以定义。在90年代后期出现的应用要求稳定的网络带宽、延迟和敏感性。此类的网络应用包括语音和影像在局域网和广域网上传送,组播软件分发。相关的标准化组织针对此类需求已经作出了新的开放标准定义如RSVP,IEEE 802.1p和IEEE 802.1Q标准化小组也正在进行各自的工作。作为推荐性的标准,响应连接质量要求、提供网络连接质量的RSVP已经获得了业界的认可。为了
16、使RSVP能发挥作用,为网络应用提供所要求的持续质量,在客户和服务器之间的任何一个网络部件都必须支持RSVP和正常的通信能力。由于在真正获得服务质量的显著效果之前需要如此多的网络部件支持RSVP,有些厂商开发了一些在某种程度上支持QoS的厂家专有方案。尽管它们可以为用户提供QoS的效益,但要求网络的某些部分是这些厂家所独有的。802.1p和802.1Q靠提供一种所谓的“打标记”的方式实现以太网上的服务质量功能。打标签就是在数据包上做标记,注明该数据包所期望的服务类型或是优先级别。这种标记使得应用能够与网络互联设备按不同的优先级通信。RSVP可以由将RSVP映射到802.1p服务级别的方式实现。
17、不同的千兆以太网设备一般只有上述部分标准,这样可以使以太网连接更有效率,功能较强。但千兆以太网的成功不依赖于标准中的任何一个。模块化标准的优点是标准的任何部分都可以在市场和和产品质量有需求时进行更新。请注意所有这些标准都和快速以太网和10M以太网相匹配,各个层次的以太网运行性能和质量都可以从标准化的工作中获益。10G以太网:近两年随着传输网络的发展,10G以太网技术渐渐引起了人们的注意,这种高速以太网技术适用于各种网络结构,能够简单、经济地构建各种速率的网络,可以满足骨干网大容量传输的需求,解决了窄带接入、宽带传输的瓶颈问题,并与现行以太网技术兼容。2000年末已经为通往WAN作好了相应的技术
18、储备。此外,由于LAN、MAN和WAN采用同一种核心技术,网络易于管理和维护,同时避免了协议转换,实现了LAN、MAN和WAN的无缝连接。10G以太网赢得青睐的真正原因是,它比ATM和SONET的价位低,在MAN和WAN中应用10G以太网技术,比采用ATM/SONET技术构建的类似MAN和WAN费用低25%。预计10G以太网的每端口价格是单个千兆比端口价格的8.3倍。这就是说,买一个10G以太网端口比买10个千兆比端口节省17%的费用。然而,10G以太网缺少SONET的链路管理能力,无法排除链路故障。有人建议用数字封装法来传递以太网帧,使之具备链路管理能力,但这将增加成本和复杂性。所以,在长距
19、离传输下,SONET有其优势,但以太网处理突发数据和网状网的能力比SONET强。尽管10G以太网是在以太网技术的基础上发展起来的,但是,由于工作速率的大幅度提升,适用范围有了显著的变化,与原来的以太网技术相比差异很大,主要表现在:物理层实现方式、帧格式、MAC层的工作速率以及适配策略。由于10G以太网既可以作LAN使用,也可以当作WAN使用,而LAN和WAN之间由于工作环境不同,对于各项指标的要求存在许多的差异,主要表现在时钟抖动、BER(比特误码率)、QoS、速率等的要求不同。为此,IEEE802.3 HSSG小组制订了两种不同的物理介质标准,分别用于以太局域网和以太广域网。这两种物理层的共
20、同点是:共用一个MAC层;仅支持全双工操作方式;省略了CSMA/CD;采用光纤作为物理介质。根据当前的局域网技术发展趋势,针对XXXX市供电公司局域网的应用需求。应采用千兆以太交换技术构筑内部局域网,并保证今后可向10G以太网平滑升级。1.3.2 内网建设方案1.3.2.1 组网方案1.3.2.1.1 现状分析XXXX市供电公司局域网网络系统于1996年开始大规模建设,局域网覆盖XXXX市供电公司本部主要办公大楼,城域网连接城区范围内的主要变电所、配电工区、总公司,网络主干为千兆以太网。广域网主要采用155M ATM接入江苏电力企业内联网,采用2M专线连接各个县公司。联网计算机达七百多台,采用
21、10/100M交换到桌面。目前对外部网络的访问主要提供省公司的代理服务器连接Internet,没有自己的本地出口。对于银行的互连,目前正在现有系统上添加防火墙及入侵检测设备。现有网络拓扑图如下:系统采用的主要网络设备如下:主干交换机:采用Cisco公司的Catalyst 6509为主干交换机,该交换机配置256G交换矩阵,路由能力为15Mpps。接口模块主要有千兆以太网接口板,主要用于局域网及城域网的千兆主干接入,ATM 622M接口与8540互连,通过XXXX三级网接入江苏电力企业内联网。分支主干交换机:采用Cisco4000系列交换机,主要分布在配电工区、总公司等节点,作为分支节点的核心交
22、换机,采用千兆连接6509。楼层交换机:主要为Cisco3500系列交换机。采用千兆连接到核心6509交换机,10/100M交换到桌面。拨号路由器:采用IBM8235 作为拨号访问服务器,实现远程用户和移动办公用户通过电话拨号接入局域网。该拨号访问服务器采用10M以太网接入局域网。广域网接入交换机:采用Cisco8540 MSR,采用155M ATM接口通过XXXX三级网接入江苏电力企业内联网,通过622M ATM接口连接核心交换机6509。接入路由器:采用IBM2210作为县公司接入路由器,通过2M专线连接各个县供电公司。1.3.2.1.2 内网建设目标² 实现主楼、服务楼、信息X
23、XXX楼的互连。² 网络技术采用千兆以太网,主干网是以数据传输速率为1000Mbps,并采取资源保留协议、保证关键业务的通畅。² 提供楼层用户的10/100M接入。² 与现有网络系统兼容,并可以平滑升级。² 通过设备对策选择及拓扑结构设计,保证系统的高可靠性² 实现内网与外网的物理隔离。1.3.2.1.3 内网建设方案核心设计:内网主要包括三个主要节点:新大楼主楼、服务楼、信息XXXX楼,为保证网络系统的高可靠性,设计三个节点各放置一台三层交换机,相互间采用双千兆进行互连,构成核心环网。在互连协议方式上可以有两种方式:采用路由方式互连,在局域网
24、内部运行OSPF协议,通过路由协议实现链路的最佳选择及备份切换,通过调整OSPF协议的参数,可以将链路的切换时间控制在4秒以内,但此种方式应用在局域网内有一定的局限性,例如不能构建跨越三大节点的全局VLAN。通过数据链路层的IEEE802.1s及IEEE802.1w协议实现链路冗余及切换,IEEE802.1s协议是对IEEE802.1d(生成树协议)的改进,通过改进的BPDU传输链路及端口状态,可以保证将系统的切换时间控制在1秒以内,IEEE802.1w是多生成树协议,即可以在一个传统的生成树域内,通过分级控制的方式划分出多个生成树,在链路发生故障时,提高系统的收敛时间。根据局域网的特点及系统
25、可靠性的保证,建议核心环网选择第二种互连方式。根据接入节点的数量及投资规模,核心节点的交换机可以有两种选择。主楼采用核心交换机采用Cisco6509,信息XXXX楼核心交换机采用现有的Cisco6513,配置720G引擎,最大路由能力为400Mpps;服务楼配置Cisco4507R,交换能力为64G,路由能力为48Mpps;。主楼核心交换机采用Cisco4507R,采用全冗余配置;信息XXXX楼核心交换机采用Cisco6509;服务楼核心交换机采用Cisco3550-12G,交换能力为17G,路由能力为6Mpps。新大楼主楼设计:新大楼主楼共13层(地下1层),1-12层为办公场所,在每层均有
26、一个配线间。在1楼设置有网络分支中心。在主楼内部的网络拓扑结构为星型拓扑,在每个楼层的配线间根据本楼层接入用户的数量放置48端口或24端口交换机,采用千兆多模光缆上连到主楼核心交换机。到终端用户的桌面连接带宽为10/100M。(1)主交换机主交换机是整个网络系统的核心设备,承担网络主干的绝大部分流量,由于服务器包括应用服务器、数据库服务器、网管工作站等重要设备都连接在主交换机上,并且客户机与服务器的通信都必须经过主交换机,因此主交换机的故障会造成通信中断,导致整个网络系统瘫痪;同时主交换机的性能、稳定性、可靠性也密切影响着整个网络系统的性能。对主交换机的设计如下:² 设备配置冗余电源
27、,冗余管理模块,冗余三层交换模块及冗余端口,同时保证提供足够数量的千兆端口用于连接内网骨干网(主交换机与楼层交换机之间的链路)和连接各类服务器;² 集成LAN/WAN/MAN,集成不同的网络、电信端口;² 提供智能IP服务,如提供对组播等协议的支持;² 提供对IP语音的支持;² 支持各种QoS方式;² 支持强大的网络管理功能;根据以上要求,主楼核心设备根据投资规模的不同,可以有两种选择,第一种选择Cisco6509;第二种选择为Cisco4507R交换机。具体配置详见建议设备配置清单。(2)楼层交换机作为用户终端与交换机之间的连接,楼层交换机在
28、整个网络中处于重要的地位。楼层交换机的选择应做到尽可能的高速交换和传递数据,不致成为整个网络的瓶颈。因此,根据网络系统的设计原则以及内网的业务特点,对楼层交换机设计如下:² 端口密度满足每一楼层40多个信息点百兆交换到桌面的要求;² 提供至少一个千兆端口作为与主交换机的相连;² 提供第二层上虚网划分,满足主交换机的第三层交换;² 支持802.1q及802.1p,支持802.1x用户接入认证。根据以上要求,接入层交换机建议选择Cisco355048及Cisco3550-24交换机。信息XXXX楼:信息XXXX楼内主要是信息中心及XXXX自动化部门,这两个部
29、门均为XXXXXXXXXXXX的核心业务部门,对网络的要求较高,并且也是网络中心的所在地。因此在信息XXXX楼内的核心交换机选择Cisco6513承担,配置双720G交换引擎,楼层内的配线间配置Cisco3550-48交换机,为了保证网络系统的可靠性及带宽,3550与6513间采用双千兆GEC(千兆以太网捆绑)。网络中心Cisco6513与本部老大楼的6509采用双路单模光缆千兆互连,互连方式也采用GEC。具体配置详见建议设备配置清单。服务楼:服务楼内主要是就餐及休闲活动区域,主要应用为一卡通消费。同时服务楼作为核心节点之一,虽然其本地的数据流量并不会很大,但由于其在XXXXXXXXXXXX新
30、大楼局域网系统中起着重要的核心连接作用,因此服务楼交换机选择稍低一档的Cisco三层交换机。由于在服务楼内的节点数量总计为46个,可以只设置一个分支中心,不需要每层楼设置独立的配线间。根据投资规模,设备可以有两种选择,第一种选择Cisco4507R交换机,配置如下:² 6端口千兆模块² 48端口10/100M交换模块,² 双引擎及双电源具体配置详见建议设备配置清单。网络拓扑:根据三个核心节点设备选择的不同,存在两种网络系统设计方案,各自的拓扑结构分别如下:1、 方案一拓扑:2、方案二拓扑:1.3.3 外网建设方案1.3.3.1 外网建设目标l 建立独立于内网的网络
31、系统,实现内外网物理隔离;l 建立外网信息服务平台,提供丰富的信息服务;l 提供Internet接入,为XXXXXXXXXXXX职工安全上网提供便利条件;l 提供对社会公众的服务窗口。1.3.3.2 外网构建方案XXXXXXXXXXXX的外网主要用于连接非江苏电力系统的网络,如Internet、银行等。采取与内网物理隔离的方式来保证内网系统的安全性。为实现内外网物理隔离目标,建立独立的外网系统,在每个办公室里设置一个到两个独立的信息点,这些信息点的机器不与内网有任何连接,通过这种方式实现与外网的连接。由于外网系统的数据流量不大,只要保证连通性,最为主要的是安全性,因此交换设备可以选择抵档一些的
32、设备,如国产设备或不适用于原有网络的设备。新增配置一台核心三层交换机,关键要设计好外网出口的安全,建议在外网的Internet及银行互连端口处设置防火墙及入侵检测装置。防火墙要设置DMZ区域,用于放置WWW、外部Email、DNS等服务器,将来可提供对社会公众的信息查询服务以及企业自我宣传的窗口。外网拓扑结构大致如下:由于外网不是本次网络系统建设的重点,本设计方案只给出一些建设意见,不涉及具体的设备配置。 1.3.4 内网及外网的IP地址分配方式网络内部主机的IP地址的分配方式有以下几种:² 手工静态配置² 通过DHCP动态分配,即通过DHCP服务器获得的IP地址有可能每次
33、都不一样。² 在DHCP服务器上进行IP及MAC的绑定,实行绑定分配,在这种方式下,只要网卡没有更换,每次获得的IP地址均相同。根据主机及设备的属性,应采取不同的IP导致分配方式:² 对于服务器及网络设备,由于相对稳定,建议采用手工静态配置IP地址。对于固定的办公PC机,由于手工配置IP地址,要人工记录已经分配的IP地址,以避免同一个IP地址分配给多台机器,导致网络冲突。这些机器平² 时的接入的子网相对固定,同时为了便于对上网机器统一管理及监控,建议内网及外网的内部的PC机采用DHCP方式,并且将IP与MAC地址绑定分配,保证每次获得的IP地址均相同。²
34、 对于移动上网的笔记本电脑,由于每次所连接的子网可能不同,建议采用DHCP动态分配方式,建议每个子网的动态分配的IP地址空间为最后20个。即:X.X.X.234-X.X.X.253。对于内网及外网的DHCP服务器,有以下两种选择:² 采用PC服务器,安装Windows NT或Windows2000 Server操作系统,操作系统内置有DHCP服务功能。² 由Cisco IOS提供,内网的核心由于为6509,配置有MSFC3路由模块,可以在IOS中启用DHCP服务器功能,由6509作为DHCP服务器。今后可以考虑采用Cisco URT(用户注册管理工具)根据用户输入的用户名及
35、口令,通过IEEE802.1x认证后接入网络,就可以将用户分配到相应的子网并获得正确的IP地址。1.3.5 服务质量(QoS)的实施1.3.5.1 局域网服务质量的实施随着视频监控、IP电话以及重要的电力企业应用(如营销)等各种在某段时间内持续高带宽低延时的应用的开展,网络流量的复杂化,IP交换技术的发展,二层、三层交换技术在保障网络应用的服务质量QoS,避免网络拥塞上可以起到不可缺少的作用。概括而言,QoS主要包括数据智能分类技术,拥塞控制技术两大方面,一般在园区网络中采用以下步骤实现服务质量:在接入层交换机中对进入网络的数据包进行网络的基本分类或根据交换机设定来进行重分类(Reclassi
36、fy),同时对网络的流量采用监控(Policing),避免由于客户设备故障或病毒产生的过度流量,然后根据监控决策结果来将这些流量放入相应的上联端口的队列,然后在此端口上采用加权XXXX算法来对该端口出去的流量进行拥塞控制(Scheduling Congestion Control),确保在接入层上关键数据流量的服务质量,在这些数据的处理过程中,同时完成了第二层以太网帧中CoS值和IP包中的TOS值或DSCP值的映射,TOS或DSCP值决定了IP报文的优先级别,而TOS或DSCP值在经过IP路由器默认情况下其值不会改变,从而能够提供跨全网的端到端的QoS。核心三层交换机在收到了从接入层交换机上传
37、来的数据包,它开始正式对其第三层IP数据包进行分析,首先根据IP地址信息可以选择不同的转发链路,在选择了相应的链路后,这时候核心三层交换机在这些链路上对流量的拥塞XXXX不再是依据以太网帧中的CoS,而是依据在接入层交换中以及完成赋值的TOS或DSCP,分布层交换机可以根据这些值可以对网络中的流量进行更细致的划分,保证关键流量将根据其各自的优先权进入网络核心。从上述技术分析来看,实施时技术要求较高,要求在实施前对网络应用模式和具体需要进行详细分析,然后合理的规划采用连接协议及QoS控制方式,使网络在满足需求的前提下趋于最高性能和可靠性。具体实现的技术方案:在XXXXXXXXXXXX的企业内网中
38、接入层交换机采用Cisco3550交换机,能够提供完善的LAN边缘QoS,在业内此类产品中无以匹敌。所有的Cisco3550交换机支持两种模式的重新分类方法。一种模式基于IEEE 802.1p标准,遵从接入点的服务等级(CoS)值并把数据包分配到合适的队列中。第二种模式,数据包根据由网络管理员分配给接入端口的缺省CoS值来进行重新分类。如果到达的帧没有CoS值(如未做标记的帧),Cisco3550交换机就根据网络管理员分配给每个端口的缺省CoS值来进行分类。 一旦数据帧使用上面所说的两种模式分类或重新分类后,即被分配到最合适的输出队列中去。Cisco3550交换机支持四种输出队列,使网络管理员
39、在为LAN流量的各种应用指定优先权时更加容易区分和有针对性。严格的优先权分配可以保证诸如语音等时间敏感的应用在通过交换结构时一直使用高速路径。另外,另一种重要的增强措施即加权循环(WRR)策略也能保证低优先级的负载在没有被网络管理员进行优先级配置的情况下,能够得到重视。 这些特性使网络管理员可以把关键任务和时间敏感的流量,如视频(视频会议,视频监控等)、语音(IP电话流量)和CAD/CAM,优于低时间敏感的应用如FTP或e-mail(SMTP)等来设置更高级别的优先权。Cisco3550交换机每个端口可以工作在两种模式下:Trust和Untrust。Trust状态下交换机将相信从端口进入交换机
40、的以太网帧中CoS值,这种状态下必须依赖于客户端程序或系统能够对其产生的流量能够正确的赋予CoS值;在Untrust模式下交换机可以设定改写所有进入该交换机端口的以太网帧中的CoS值,无论其现有的CoS值为多少,可以根据端口的直接设定。对于智能型的Cisco3550也可以通过ACL来对网络流量分类来重新设定。为了同时也对第三层IP数据中的ToS或DSCP赋值,交换机也对应一些相应的规则,由于CoS和ToS均为0-7,可以直接对应,CoS和DSCP直接采用DSCP=CoSx8的公式进行转换。在网络流量的监控上,Cisco3550采用了以前只有在6500交换机上才采用的rate limit技术,可
41、以以8Kbps为单位来定义10/100兆端口上实际数据传输速率,当速率超过预先定义的值可以采用丢弃或降低DSCP的方法来处理。在上联端口的拥塞处理中Cisco3550交换机采用4条队列的方式,其中一条为严格优先队列(Strict Priority),其余3条队为加权轮询队列,这样的话为了保证要求服务质量保证的系统最高优先级,可以将所有的有服务质量要求的数据设定分类后放入严格优先队列中,其余的应用根据其各自的情况分类,赋予不同的DSCP值。各个VLAN通过核心的6513或6509实现三层互联,对于不同的应用,采用策略访问控制列表(Policy ACL)对有服务质量要求的报文(如视频及语音报文)设
42、定IP优先级,根据优先级采用加权公平队列(WFQ)进行报文端到端的QoS传输;在路由端口上缺省的队列为公平队列(FQ),6509MSFC2路由模块可以根据IP优先级计算一个权重,权重4096/(优先级1),根据到达路由端口的报文不同的IP优先级计算出各自的权重,将报文放进不同的转发队列,根据权重的比例进行报文的排放,保证在网络拥塞时优先级高的报文优先通过。1.3.6 网络管理系统在当今的网络系统中,随着网络系统的不断建设和完善,网络中涉及的设备将越来越多,如路由器、交换机、防火墙、拨号服务服务器等;其次,网络技术也日趋复杂,从10/100M以太网、千兆以太网、ATM、多媒体技术、安全策略等等;
43、再有不同的网络设备的配置命令也不尽相同。导致在网络系统发生故障时,使网管人员无从下手,降低了网络运行的效率。这就客观要求要有一套好的网络管理系统与之相配套。1.3.6.1 网络管理任务及策略网络管理是网络建设中不可缺少的重要组成部分。一个良好的网络管理系统可以帮助用户在很大的程度上优化网络结构,预防和及时排除故障,减少网络的维护费用。因此,网络管理对保证网络安全高效的运行是非常重要的。网络管理的任务主要包括以下方面内容:² 网络性能管理:收集网络运行各种统计信息,例如设备和链路的负载、可用性及可靠性、网络的可用率等,优化网络性能,消除网络中的瓶颈,实现网络流量分布的均匀性,实现各种策
44、略管理。² 网络配置管理:网络节点部件、端口及路由的配置,收集当前系统状态的有关信息,更改系统的配置等。² 网络故障管理:维护并检查错误日志,接受错误检测报告并作出反应,跟踪错误检测报告并作出反应,跟踪及辨认错误,执行诊断测试,纠正错误等。² 业务量统计:对网络节点、设备等的告警产生、告警内容和告警清除的统计;根据IP地址,统计业务流量和流向,实现对网管人员操作网管设备过程的记录和统计。² 网络安全管理:包括各种级别、层次的安全防护措施的管理,对网络中各种配置数据必须有保护措施,当网管系统出现故障时,能自动及人工恢复正常工作,不影响网络的正常运行。对于X
45、XXXXXXXXXXX网络系统来说,由于其内网、外网网络界限划分明显,且随着网络的发展今后其覆盖面将越来越广,涉及的网络设备众多,因此如何有效地管理整个网络,提高网络运行效率是网络运行管理过程中一件非常重要的工作。网络的管理不仅仅是配置一套网管系统,而应该是制定一个系统的网管策略,包括网络设备的管理(配置、监控、性能等方面)、网络终端用户信息管理、网络地址的分配、网络配线(包括光配及线配)的管理、网络安全的管理、网络认证的管理、网络权限的管理等等。网管软件只能完成其中部分功能,其他功能如网络终端用户管理、网络配线管理等需要结合其他根据软件或人工来完成。1.3.6.2 网管平台选择网管系统的建立
46、与选择应该根据以下的几个原则来进行:² 网管软件应能监控网络设备,以图形方式实时显示设备的运行状态;² 网管软件能自动寻找并显示网络的拓扑结构;² 网管软件能监控网络的状态并在一定的情况下报警;² 网管软件应能监控网络的性能,并设置一定的阀值,在超过阀值的情况下自动报警;² 应能用图形方式对虚拟网进行设置与管理;² 动态分配网络资源;² 记录与搜索网络的历史性资料;² 支持SNMP及RMON网络管理协议;² 具有良好的用户界面,方便网络管理者的工作,如有基于XWINDOWS² 图形用户界面(GU
47、I)或基于WEB的浏览器界面;² 能对网络资源的利用率、趋势、MIB变量进行查询与分析并能用图表的形式显示出来;² 能进行安全性管理,控制用户对网络资源的未经授权的访问;² 能对设备的配置文件、软件进行管理;目前各主要网络厂家都向用户提供与本厂家设备相关的网管软件,都有较全面的管理功能,且都提供图形操作界面,使用直观方便。如Cisco的CiscoWorks2000、IBM的Netview、HP的Openview等。但一个厂家的设备只有用本厂家的网管软件才能得到全功能的管理。如果一个厂家的网络设备采用另外一家的网管软件来管理,则除非网络设备的原厂商能够提供基于此网管
48、平台的设备管理信息库(MIB),否则将不能直观的看到网络设备的面板及真实的端口状态,只能看到一些SNMP的基本信息,非常不直观,不便于管理。由于XXXXXXXXXXXX的网络基本由Cisco设备构建而成,网络管理以XXXXXXXXXXXX的局域网系统管理为主,建议采用Cisco公司的局域网网络管理软件Lan Management Solution,在今后覆盖全省的MPLS/VPN网络系统建成后,其网管中心将放置在省公司,由省公司统一管理各个VPN的划分。各个地市供电公司只负责本地PE路由器以下的局域网系统管理,与现在的管理权限基本相同。Lan Management Solution可基于Win
49、dowsNT/2000 Server及SUN的Solaris操作系统,是一种多功能的企业级网络管理软件。它包括如下网络管理模块:最基本的模块CD ONE及RME,是其他网络管理模块的基础,提供了网络设备状态采集及远程监控等功能。基于这两个模块还有园区网管理核心模块CM,提供设备的配置及信息采集功能、内容流管理模块CFM、还有设备报错管理模块DFM。这些网络管理模块给网络管理员提供了一套工具组来轻松地管理整个园区网络。1.3.7 组网设备简介1.3.7.1 Cisco Catalyst6500系列交换机Cisco Catalyst 6500系列交换机为园区网提供了一组高性能、多层交换的解决方案,专为需要千兆扩展、高度适用、多层交换的主从分布而服务器集中的应用环境设计。Catalyst 6500 系列具备强大的网络管理性,用户机动性,安全性,高度实用性和对多媒体的支持。产品特性:² 多