《校园网技术方案书23278.pdf》由会员分享,可在线阅读,更多相关《校园网技术方案书23278.pdf(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目 录1 概述.1 1.1 校园网建设背景.1 1.2 旅游职业学院校园网建网需求分析.2 1.2.1 一般建网需求.2 1.2.2 旅游职业学院建网需求.3 1.3 整体建网原则.3 2 总体网络设计.4 2.1 网络拓扑设计.4 2.2 核心层设计.5 2.3 汇聚层设计.6 2.4 接入层设计.7 3 网络业务设计.9 3.1 IP 地址规划.10 3.1.1 IP 地址分配原则.10 3.1.2 IP 地址规划方案.10 3.2 VLAN 的划分.11 3.2.1 划分 VLAN 的必要性.11 3.2.2 划分 VLAN 的方法.12 3.2.3 VLAN 规划.14 4 网络管理方
2、案.15 4.1 网管系统需求.16 4.2 统一网管设计.16 4.3 IMC 智能网管平台.20 1 1.1.1 概述 1.1.1.1 校园网建设背景 我国 互联网事业正在持续快速的发展,并在普及应用上进入崭新的多元化应用阶段!互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。同时,随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键,尤其是校园网建设。在信息化的建设过程中,它的作用体现在如下几个方面:1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生
3、学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息
4、双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑,并将全身心地为之努力。2 1.1.1.2 旅游职业学院校园网建网需求分析 1.1.1.2.1 一般建网需求 旅游职业学院的网络建设本次主要是校区网络新建。在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性,如:校园网内部的服务器的访问,由于学生的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析旅游职业学院网络基础设施建设和网络运营方面相关的内容。旅游职业学院校园网络建设从网络流量模型上看和
5、企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。主要特点如下:1、用户管理的需求:1)使用方便,存在 WEB认证需求。要求能做到基于 WEB的身份认证、多 ISP选择、用户费率查询、带宽动态调整(隐性需求)、多 WEB界面(隐性需求)等。2)需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3)对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为 64K、256K、512K、1M、2M、5M、10M等等级。2、多种教学方式并行的需求:随着校园网的信息化的发展,越来越的多教学方式依托于网络给学生提供多种的特色教学模式 1)多媒体教学
6、。为了更好的为学生提供全方面的教学资料,越来越的多学校在自己的内部局域网上面为学生提供多种教学资料,如:多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。2)VOD点播业务实现,通过建立 VOD视频服务器平台,利用交换机提供的组播功能,为旅游职业学院的用户提供优质的视频效果,同时节省用户带宽。3、安全管理的需求:1)校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻 3 击手段有 DoS,DDoS等 2)上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全 4、组播业务的需求,特别是可控组播的需求将随
7、着校园信息化的深入而体现出来。对于后期建设的校园监控和电子监考工程也需要网络对组播特性有良好的支持。5、多出口需求:典型的组网有中国教育和科研网(CerNet)出口和公网出口。多出口带来了以下两个需求:1)多权限 ISP需求。用户可通过不同的账号名或采用相同的账号,不同的域名认证,获得不同的上网权限。2)多 ISP分别计费的需求,对应不同的 ISP,计费策略不一致。6、WLAN的需求:随着 WLAN技术的成熟,在校园网内(如会议厅、图书馆等)部署 WLAN也日益成为热点。因此在规划中需要考虑 WLAN的规划。1.1.1.2.2 旅游职业学院建网需求 旅游职业学院系统分为三级,核心层、汇聚层、接
8、入层。1.1.1.3 整体建网原则 早期的校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在“安全、可管理性较差、无业务增值能力”等方面的问题。现在旅游职业学院校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的 QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过 Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。4 基于对旅游职业学院校园网业务需求的深入理解,结合自身产品和技术特点,H3C公司推出了了完善的旅游职
9、业学院校园网解决方案,为旅游职业学院提供“可管理、可增值、可持续发展”的精品网络。旅游职业学院网络建设遵循以下基本原则:高带宽 为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特性,整网的核心交换要求能够提供无瓶颈的数据交换。可扩充性 考虑到旅游职业学院用户数量和业务种类的发展,要求对于核心交换机与汇聚交换机具有强大的扩展功能,旅游职业学院校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。开放性 技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确
10、保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。安全可靠性 设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。1.1.2 总体网络设计 1.1.2.1 网络拓扑设计 网络采用星型结构组网,充分考虑到了网络骨干的高带宽、高可靠性,整网采用高可靠性设备作为核心交换机,设计使用双引擎,双电源保障核心自身的可靠性。下 5 行使用光纤连接到各楼宇汇聚,提供高速率的上行带宽,保障多种教学业务,特别是多媒体、语音等教学课件的高速传输。核
11、心交换机采用多级交换架构,交换网板和引擎分离设计,这样实现控制和转发的进一步分离,提高设备稳定性和性能。CLOS 多级交换架构代表未来的交换技术最先进的技术。各个汇聚层的交换机则通过单模千兆光纤连接到接入层的交换机,接入层交换机为千兆到桌面。拓扑图如下:1.1.2.2 核心层设计 核心层负责整个网络的数据交换,同时也是整网(LAN)的路由中心,全网第三层、第四层操作都通过核心节点集中进行。核心交换机提供局域网内用户对服务器群的高速访问。6 为了充分保障核心交换平台的高可靠特性,我们提供的核心交换设备采用分布式结构,并且为多级交换架构。配置双主控交换板,无源背板设计,所有单板支持热插拔;电源系统
12、采用 1+1 冗余热备份,并支持多路电源输入;支持 STP/RSTP/MSTP协议和 VRRP 协议,能够满足苛刻的电信级网络可靠性要求,系统可靠性达到:99.999。本次网络建设推荐的核心交换机是H3C 公司面向以业务为核心的企业网络架构而推出的新一代高端多业务路由交换机。该产品基于 H3C 公司自适应安全网络的技术理念,在提供稳定、可靠、安全的高性能 L2/L3 层交换服务基础上,进一步提供了业务流分析、基于策略的 QOS、可控组播等智能的业务优化手段,从而为企业 IT 系统构建面向业务的基础网络平台,实现通信整合,数据整合奠定了基础。网络核心的服务器区域,包括网络管理服务器、数据库服务器
13、、认证计费服务器、一卡通服务器、流媒体服务器等等。该区域在网络建成后主要提供内网服务,远程教学、视频点播等业务都由该区域设备提供。方案通过数据中心接入交换机汇聚后,接入到园区网核心。1.1.2.3 汇聚层设计 汇聚层使用根据不同楼群的接入点密度,可以选用华三公司全千兆智能三层交换机,上行连接核心交换机上,同时全千兆下行连接接入层交换机,主要负责旅游职业学院各大楼的数据汇聚。汇聚交换机具备强大的 IRF 堆叠能力。基于最长匹配的路由策略。系统采用逐包转发方式,保证了所有报文均获得相同的转发性能,对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力,有效保证了设备安全。支持集中式 MAC 地址认
14、证和 802.1x 认证。在用户接入网络时完成必要的身份认证,还可以通过灵活的 MAC、IP、VLAN、PORT 任意组合绑定,有效的防止非法用户访问网络。支持 DUD(Disconnect Unauthorised Device)认证,通过 MAC 地址学习数目限制和 MAC 地址与端口绑定实现。支持用户分级管理和口令保护,支持 MAC 地址学习数目限制、MAC 地址与端 7 口绑定、端口隔离、MAC 地址黑洞;支持防止 DoS 攻击功能。具有丰富的 QoS 特性,支持基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、端口、协议的L2L7 复杂流分类,充分保障了复杂
15、网络对于 QoS 规则的要求。在本次组网中非常适合从事汇聚层面的工作。1.1.2.4 接入层设计 接入层是直接与用户相连的设备,使用数量较多,分布较广,所以接入层交换机应该具备较高的性价比,并可支持远程供电和远程管理。H3C的接入交换机支持强大的二层功能和 ACL功能,可有有效保障局域网的安全。局域网上的一台主机,如果接收到一个 ARP报文,即使该报文不是该主机所发送的 ARP请求的应答报文,该主机也会将 ARP报文中的发送者的 MAC地址和 IP 地址更新或加入到 ARP表中。图 1-1 以太网 ARP协议报文结构 ARP欺骗攻击就利用了这点,攻击者主动发送ARP报文,发送者的 MAC地址为
16、攻击者主机的 MAC地址,发送者的 IP 地址为被攻击主机的IP 地址。通过不断发送这些伪造的 ARP报文,让局域网上所有的主机和网关 ARP表,其对应的 MAC地址均为攻击者的 MAC地址,这样所有的网络流量都会发送给攻击者主机。由于 ARP欺骗攻击导致 8 了主机和网关的 ARP表的不正确,这种情况我们也称为ARP中毒。图 1-2 ARP欺骗攻击是如此简单 由于 ARP中毒后,所有的流量都需要经过攻击者进行转发。如果攻击者具有转发能力,在攻击开始和攻击结束是都会引发一次网络中断,攻击过程中网络速度变慢,网速变慢原因跟发送大量的 ARP流量消耗了带宽以及其本身处理能力有限有很大关系;如果攻击
17、者不具有转发能力,网络出现传输中断,直到攻击停止及 ARP表恢复正常。接入交换机防御 ARP攻击,识别并读取 ARP报文内容,然后根据报文内容判断是否存在欺骗攻击行为,对于 ARP欺骗报文进行丢弃处理。9 图 1-3 接入交换机部署 ARP入侵检测 ARP入侵检测在接入交换机进行部署,接入交换机同时启用DHCP Snooping对DHCP报文进行监测。DHCP Snooping通过监测 DHCP报文记录了用户的 IP/MAC/VLAN/PORT等信息,并形成一个 DHCP Snooping绑定表。交换机端口接收到的 ARP报文后,通过查找 DHCP Snooping建立的绑定关系表,来判断 A
18、RP应答报文的发送者源 IP、源 MAC是否合法。若 ARP报文中的发送者源 MAC、IP 匹配绑定表中的内容,则认为是合法的报文,允许通过;否则认为是欺骗攻击报文,就进行丢弃。ARP入侵检测能够防止接入终端发起任何 ARP欺骗攻击,如果全网部署 AII功能,可有效解决 ARP欺骗攻击问题。另外由于 ARP欺骗攻击,经常伴随者发送大量的 ARP报文,消耗网络带宽资源和交换机 CPU资源,造成网络速度的速度降低。因此接入交换机还需要部署 ARP报文限速,对每个端口单位时间内接收到的 ARP报文进行限制,很好地保障了网络带宽资源和交换机 CPU资源。1.1.3 网络业务设计 10 1.1.3.1
19、IP 地址规划 IP 地址的合理规划是校园网网络设计中的重要一环,大型计算机网络必须对地址进行统一规划并得到实施。IP 地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。1.1.3.1.1 IP地址分配原则 为保证对于上网学生的可查询性,且考虑到 10.xxx.xxx.xxx私网地址不存在短缺等因素,建议旅游职业学院的 IP 地址采用 10.xxx.xxx.xxx私网 IP 地址接入的方式进行建设。要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求
20、,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器 CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:唯一性:一个 IP 网络中不能有两个主机采用相同的 IP 地址;简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项 连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率 可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性 灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。主流的 IP 地址规划方案分为
21、纯公网地址、纯私网地址和混合网络地址三种。当校园网以私网地址分配或采用混合网络地址接入时,要求校园网提供地址变换功能,过滤掉私网地址。1.1.3.1.2 IP地址规划方案 11 内部地址的分配原则是按建筑物进行的,视用户的数量,1/4、1/2、整个私网的划分。对于相对固定不变的教学区采用静态分配 IP 地址,为防止地址盗用,采用 IP 地址与端口、地址绑定;对于流动性大、用户人数多、用户增长快的学生区采用动态分配 IP 地址,采用 By Port的 Vlan,小范围地限制地址盗用问题。静态 IP 地址对于用户来说可以实现对应物理位置的查询,对全网的 IP 地址与物理位置的对应有全面、可靠的管理
22、。对于服务器、网络设备互连端口地址、设备 Loopback地址建议使用静态 IP 地址,而且各属自不同的 IP 地址段,有利于骨干路由表的简化与路由的快速处理;1.1.3.2 VLAN 的划分 1.1.3.2.1 划分 VLAN的必要性 VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点,它由软件进行管理,所以允许用户利用软件功能灵活地配置资源,管理网络。利用交换设备中的虚网功能,不必改变网络的物理基础,即可重新配置网络。采用虚网功能,网络性能可以获得较大的改善:1.虚网技术能对工作组业务进行过滤,有效地分割通信量,因而能更好地利用带宽,提高网络总的吞吐量。2.采
23、用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线,因为虚网技术是从逻辑角度而非物理角度来划分子网的,所以采用虚网技术能减轻系统的扩容压力,将迁移费用降至最小。3.采用虚网技术能有效隔离网络设备,增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为 IEEE802.1Q,此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。4.虚网技术能对属于同一工作组的用户提供广播服务,但与传统的局域网协议所不同的是,虚拟局域网能限制广播的区域,从而节省网络带宽。12 5.虚拟局域网可以建立在不同的物理网络上,用封装的办法支法支持不同的网络协议络协议,如 SNMP、NMP
24、、IPX、TCP/IP、IEEE802.33等,兼容性非常好性非常好。6.虚拟网络中的主要应用技术为“虚网中继”,VLAN Trunking特有技术的采用也成成为了必然。必然。简而言之,VLAN Trunking主要是通过一条高速全双工通道来实现将将一个 LAN Switch端口所划分的不同 VLAN与其它 LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用,既节省了信道数据量,又提高了可靠性,并便于管理及方便连接,提高了整个网络吞吐量和性能指标。其原理如下图所示:V1V2V3V4V1V2V4V1V1V2V3200MbpsBandwidth
25、200MbpsBandwidthVLAN 1 to VLAN 4VLAN 2 to VLAN 2 VLAN Trunking 技 术 如果采用 VLAN trunking 的技术,则 V1、V2、V3 均可通过一条全双工的100Mbps,即 200Mbps的速率与上级 LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的 VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接,提高了通道的使用效率,如在,如在 V2,V3 无数据量的情况下,V1 可以独占此 100M带宽;并且可以使得线路的连接变得简单,从而大大提高可靠性与易维护性。1.1.3.2.2 划
26、分 VLAN的方法 13 H3C公司的 E系列接入交换机不仅能够支持标准的 802.1Q VLAN,还能实现端口之间的隔离。我们可以使用 E 系列支持的 P-VLAN(primary-vlan)这个特性,一方面实现用户之间的隔离,另一方面可以为三层交换机节省 VLAN资源。E 系列可以屏蔽下面的 VLAN划分,仅向三层交换机提供一个 VLAN信息,在边缘交换机实现了端口可以同时属于多个 Vlan;如图所示:其中端口 1 为 uplink端口,端口 2,3,4 为接入端口;Vlan 1:包含端口:1,2,3,4,5 Vlan 2:包含端口:1,2 Vlan 3:包含端口:1,3,4 Vlan 4
27、:包含端口:1,5 2451vlan 1vlan 3vlan 2vlan 43 设计中采用了几个 secondary vlan包含在一个 primary VLAN中的方式,给用户提供了灵活的配置方式。如果用户希望实现二层报文的隔离,可以采用了为每个用户分配一个 secondary vlan的方式,每个 vlan中只包含用户连接的 port和 uplink port;如果希望实现用户之间二层报文的互通,可以将用户连接的端口划入同一个VLAN中;同时创建primary vlan,该 vlan包含所有 secondary vlan中包含的端口和 uplink端口,这样对上层交换机来说,可以认为下层交
28、换机中只有一个primary vlan,用来标识设备,而不必关心primary VLAN中的端口实际所属的VLAN,简化了配置,节省了VLAN资源。14 primary vlan中的所有端口都不是 802.1Q的 trunk端口,包括与其它交换机相连的 uplink口。每个 port的 PVID就是它所属 secondary vlan的 ID;uplink端口的 PVID是 primary vlan的 ID;我们建议在接入交换机上根据各个部门之间的逻辑关系进行灵活的 VLAN划分。可以让一个楼层对应于一个 PVLAN,楼层内的不同部门分属不同的 Sencondary VLAN。这种划分方式中,
29、可以对用户能实现动态的 VLAN+MAC+IP绑定,可对用户发动的伪造攻击报文进行合法性检查和过滤,具有一定的网络安全性保障。不同 VLAN间的互访,必须经过三层交换机进行转发。1.1.3.2.3 VLAN规划 我们建议按不同的业务使用主体来规划整个旅游职业学院的 VLAN资源。如:学生宿舍 1、学生宿舍 2、教师、校管理人员等。为了减小广播域,建议 VLAN终结在汇聚层的三层交换机上,每个 VLAN内的主机数量原则上不要超过 250台,建议每个 VLAN内的 PC 机数量控制在 50 台以内。VLAN的划分可以依据不同的业务部门进行也可以依据用户所处网络的物理结构进行,后者主要是从网络性能角
30、度出发,而前者还兼顾了网络安全性可控性的需要。根据实际业务部门办公环境的分布情况来看,在大部分情况下,两者实现了重合,而对于少数由于办公地点不同,隔离在不同汇集点的相同业务部门,我们则推荐第一种方式。将端口分配给 VLAN的方式有两种,分别是静态的和动态的。静态 VLAN:形成静态 VLAN过程是将端口强制性地分配给 VLAN的过程。确定哪些端口属于哪些特定的 VLAN,然后将 VLAN静态映射到端口。这是将端口映射到 VLAN的一种最通用的方法。对于学生宿舍,教师办公等用户相对集中的区域,建议采用这种部署方式,将 VLAN部署在用户对应的汇聚交换机端口上。动态 VLAN:15 我们知道,VL
31、AN常常被规划用于对“资源访问权限”的分组,不同的 VLAN具有不同的访问权限,每个 VLAN内有一个 IP 地址网段,不同的 VLAN/IP地址段的用户,具有不同的访问资源的权限。用户权限数据一般存储在 CAMS或接入认证系统 UAM(后台综合访问管理服务器)中,CAMS根据用户端的权限归类,在认证通过之后向二层交换机作动态的 VLAN ID 下发配置。此时,二层交换机要支持 VLAN的动态配置功能(H3C 全系列交换机支持)。从广播控制角度出发,为了保障网络的高可用和高性能,我们建议在进行具体VLAN规划时,同一个广播域内(一个VLAN)的通信主机不要超过250台,最好控制在 50 台以内
32、,对于主机数量超过 50 的业务部门,我们通过二层隔离,三层交换的方式来解决。管理 VLAN:作为特殊 VLAN 的典型,建议保留 VLAN1作为管理 VLAN,管理 VLAN覆盖到全网的每一台交换机,但在第三层接口上,需要与其他业务 VLAN进行有效的隔离。网管工作站建议另外设置一个 VLAN,例如 VLAN ID=4000,VLAN4000与 VLAN1在第三层上相通,同时,部分业务 VLAN可以访问 VLAN4000,从而实现网管的分布式监控布局。VLAN1和 VLAN4000的第三层路由接口处设置访问控制列表,只有特定的主机或者只有网管VLAN可以直接访问每一台设备,其他均在过滤之列。
33、对于服务器建议单独设置在一个 VLAN中。业务 VLAN可以按照部门的类别进行划分,每个部门划分一个 VLAN,部门人数超过 50 名的应该划分为两个 VLAN,以保证交换的性能,业务 VLAN的命名建议采用VLAN100作为第一个业务VLAN,然后按照数字序列进行划分,一直到VLAN123。本次建议在旅游职业学院网络中采用静态 VLAN划分方案来部署。1.1.4 网络管理方案 16 1.1.4.1 网管系统需求 网络管理包括有三个部分:网管平台、设备管理系统、业务网管。网管平台则需要对全网进行管理,要有拓扑发现功能等,它力求全面地覆盖企业IT业务的各个方面。网元管理系统一般均由设备原厂商提供
34、,实现对网络设备的故障管理、配置管理和性能管理、故障管理等。另外,对于复杂业务,如 MPLS VPN和 QOS 管理等业务,一些领先厂商提供了专业的业务网管系统,如 VPN Manager和 QoS Manager。1.1.4.2 统一网管设计 通过在网络中心安装集中网管系统,通过带内的方式实现对整网设备的统一管理,提供集中、统一、分级、分权的网元管理、网络管理功能,并实现部分业务供给功能。网管系统采用先进的组件化结构,可以对全网设备集中管理。在新老校园网中提供分级的网管中心,提供不同的管理权限,每个校园网的网管仅能管理本园区的网络设备。对于全网设备可以设置一个中心一级的网管中心,对所有网络设
35、备进行管理。网管系统对所有设备的管理采用带内方式,通过 SNMP协议由网管中心服务器发出管理信息报文,各宽带网络设备上的网管代理进行本设备运行状态,数据信息的收集,然后通过 SNMP协议将本网络设备的网管信息上报给网管中心服务器,由网管中心服务器统一对上报的网管信息进行处理和分析,然后通过 SNMP协议下发控制命令,由各设备网管代理接收控制命令后,完成对本设备的管理和控制。分级网管的设置可根据要求灵活设置,可将分级网管服务器放置于各园区一个局域网内(最好各园区选择一个网络管理中心同时作为本园区网络的信息资源共享中心),也可采用 UNIX远程客户端的方式将网管终端放置在远程,此时网管终端与网管服
36、务器之间的信息交流也是通过带内通道完成的。综合网管系统应该能提供如下管理能力:拓扑管理 17 拓扑管理用于构造并管理整个通信网络的网络拓扑结构,通过自动上载网络设备的拓扑数据形成与实际网络拓扑结构相同的网络拓扑视图。运行中通过对网络设备进行定时(根据用户设定的每一设备的状态与配置轮询间隔时间)的轮循监视与设备上报 TRAP或告警处理,保证显示网络视图与实际网络拓扑一致,用户可通过浏览网络视图来实时了解整个网络的运行情况。网管系统的拓扑视图是采用分层结构的,其中拓扑顶层显示的子图称为视图,根据被管对象的种类和实际需求抽象出了几种视图显示在拓扑的顶层,目前包含了三个逻辑视图(IP 设备视图、交换设
37、备视图和接入设备视图)和一个物理视图。在这些视图下是子网,它是具有相同属性的设备的集合,在子网下就是具体的网络设备,子网也可以再包含子网。其中逻辑视图中只包含了各自类型的网络设备,它反映了网络设备之间的逻辑关系,而物理视图中的子图和设备是用户自己设定的,用户可以根据地理位置去创建物理子图并定义它们之间的连接关系。IP 视图用于 IP 层网络拓扑的管理,描述整个基于 IP 路由器的 IP 网络的网络层拓扑结构,主要包括路由器、LAN Switch、接入服务器和计算机等 IP 设备。基于 IP路由器的网络拓扑结构分成两层,上层由路由器和 IP 子网组成,IP 子网表示某一传输类型的物理网络,如以太
38、网,Frame Relay网等,在同一 IP 子网下的所有设备具有同样的 IP 子网地址设置;路由器和 IP 子网之间通过路由器端口连接,如以太网口,Frame Relay广域网口等。路由器和路由器之间的连接有两种:一是通过 IP 子网连接,如两路由器通过以太网或 Frame Relay网互连;二是直接的点到点连接,如 PPP连接等。物理视图用于反映网络设备之间的物理关系和连接,用户可以自由创建物理子网,在物理子网中加入逻辑子网中已经存在的设备,建立它们之间的连接关系。拓扑管理主要操作有增删设备或子网,查看节点、链路或子网的状态,通过定时轮询或手动启动对任一设备的状态或配置数据轮询,实时刷新拓
39、扑显示数据。拓扑管理还具有改变背景图象、设置网络对象属性、保存拓扑视图修改、查找网络对象、显示网络对象信息、拓扑视图显示效果设置等功能。用户可对每个子网设置 18 背景图象(gif)格式,背景图象的大小根据窗口大小自动调整。配置管理 网管系统提供全网浏览树和设备面板图对配置进行维护。全网浏览树把网络中的所有设备按不同的分组方式组织在一个树形结构中,操作者可灵活切换要进行配置操作的设备。对所有设备和设备组件的操作都通过右键菜单来完成。用户右键点中待管理的对象,系统将自动弹出该设备或设备组件所对应的管理菜单,所有设备和设备组件(如端口等)的配置、实时性能管理功能都可通过该右键菜单完成。本浏览树可装
40、载并显示所有路由器,以及其它支持 SNMP协议的设备端口数据,在浏览树中的端口显示数据包括:端口状态,端口索引,端口类型,IP 地址,掩码设置(如设置有),用户右键点中该端口即可弹出该端口所对应的配置菜单。通过在拓扑图上双击拓扑设备节点启动设备面板图,在面板视图上对设备进行配置;设备面板图和全网浏览树所提供的配置功能是完全一样的。在面板上进行配置显得更直观,提供设备的机架视图,实时显示各单板的状态和告警信息,对于面板中的每个单板节点,提供右键弹出菜单,该菜单是针对该单板的一系列的应用,包括配置,性能、维护管理等;而全网浏览树则是提供了一种对全网设备进行管理的手段,在配置较多的设备时比较方便。故
41、障管理 故障管理主要包括对全网设备的告警信息和运行信息进行实时监控,查询设备的历史告警信息和运行信息,定义发送过来的SNMP Trap,查询和配置设备的告警表。故障管理系统收集和处理设备告警。设备告警包括 Snmp Trap和 MML格式的告警,前者告警来源为 SNMP设备,大部分数据通信设备支持 SNMP。Trap和 Alarm可以同屏显示也可以分屏显示。(以下叙述中“告警”如无特殊说明包括 Snmp Trap 和 MML Alarm)。故障管理系统包括故障管理后台、实时告警显示、历史告警显示、Trap规则定义 19 工具,故障监视面板和当前故障窗口。故障管理后台接收设备告警、写数据库、发送
42、给实时告警前台显示,如果有其他应用关心某些类型的告警,还要上报给该应用。实时告警显示从故障后台实时接收设备告警并显示;历史告警显示从数据库检索告警并显示;实时告警显示和历史告警显示都支持过滤条件,可以检索指定设备(一个或多个)的告警,也可以按类别检索指定类型的告警。Trap规则定义工具主要是定义 Snmp Trap的描述信息。因为 Snmp Trap是二进制编码,Trap规则定义了该二进制流中各字段的描述信息。故障管理后台接收设备发送的 Trap后根据当前的 Trap 规则定义对 Trap 进行解释,将解释后得到的告警数据写入历史告警库,并发送给前台程序。MML Alarm本身是 ASCII字
43、符流,故障后台经过适当的字段定位后直接入库和发送给前台进程。故障监视面板为您提供了一个直观的了解设备故障情况的工具,它可以提供单个设备或所有设备的告警状态数据,实时刷新状态数据,并可以通过激活当前告警窗口为您提供告警的详细数据。它由六个代表不同级别故障的告警灯来显示设备故障状态,当有未恢复且并未被确认的情况下告警灯转亮,在没有该级别告警或所有该级别告警已经被确认的情况下变为灰色。每个告警灯的下方分别列出该级别故障的总数和已经被确认的记录数。当前故障窗口反映了设备的当前故障数据,缺省状态进入时会显示所有设备当前时刻所有未恢复的告警。并随时实时刷新数据。在故障监视面板中选取当前设备告警明细表功能也
44、可以激活当前告警窗口。性能管理 用户可以获得网络的各种当前性能数据,并可以设置性能的门限值,当性能超过门限时,网络以告警的方式通知网管系统。用户也可以收集一定时间段内的性能数据,并保存在数据库中,以做进一步的分析。该应用提供三种方式对采集来的数据进行显示:折线图方式、直方图方式和饼图方式。折线图方式在一个窗口内可显示一定时间范围内的各个对象表达式的值;直方图方式在一个窗口内只显示某一采集时间点的各个对象表达式的值;饼图方式显示的是某一数据采集点各个对象表达式之间的比例值。用户在此应用中还可以设置对性能数据轮循的间隔,采集数据的显示比例和显示颜色。安全管理 20 安全管理完成网管系统本身的安全控
45、制,包括下列内容:用户管理、操作日志管理、用户登录/退出管理。系统安全主要通过网管用户权限进行控制,用户在启动网管客户端后,需用已经建立的网管用户登录,并且只能以用户属性中设定的读写权限执行该用户指定可以执行的网管应用。网管系统各管理应用对用户执行的敏感操作进行记录,管理员可通过浏览用户操作日志取得系统的所有管理操作信息。计费管理 计费系统主要包括计费数据的采集和处理两个方面。目前,计费数据采集包括从设备上采集的基于端口的流量数据和从Radius服务器上采集的接入用户的认证数据,计费系统通过 FTAM或 FTP协议从设备上或 Radius服务器上取得计费数据并进行相应的转换,由帐务系统进行后处
46、理工作。此外,计费系统还可以对网上的相应增值服务进行计费,如 PPV,VOD,电视会议,内容服务等,例如按 PPV影片的部数计费,按影片的类别进行计费等。网管系统一方面对计费系统的设备如计费系统的主机和 Radius服务器设备进行监控和管理,另外方面,对网设备进行配置,如配置要统计的基于流量的计费数据采集内容和计费数据文件的格式。一般,在设备通过 FTAM/FTP协议向计费中心传送计费数据时,设备一般作为客户端,而计费中心的作为服务器,这样,网管系统可以配置设备往那个计费中心发送计费数据。此外,计费系统通常和运营商的运维系统相联,计费系统需要对设备进行操作(如某用户欠费停机,计费系统需要对设备
47、进行操作),此时,计费系统通过和网管系统接口,由网管系统下发对设备操作指令,将操作结果送给计费系统。1.1.4.3 iMC 智能网管平台 随着网络建设的不断深入发展,除了单纯的追求高带宽、高速率外,安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点,网络精细化管理也越来越深入人心,一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。基于多年的积累和对用户网络的深入理解,H3C智能管理中心平台为用户提供了 21 实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。H3C智能管理平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。