方案要點概述
在新辦公大樓綜合樓智能化工程計算機網絡系統(tǒng)設計中,我們對用戶的需求進行了詳細的分析���,并就系統(tǒng)進行了深入細致的設計。系統(tǒng)設計主要為:
1.網絡技術選型的考慮以及網絡拓樸的設計
網絡技術選型
網絡系統(tǒng)經過多年的建設�����,目前局域網、城域網主要以千兆為主�����;到省公司廣域網采用ATM155M�����,到各個縣公司目前還以2M專線為主�。隨著企業(yè)內聯(lián)網系統(tǒng)的建設,到各個縣公司將在升級到千兆��,并且在全網采用MPLS/VPN技術架構����。核心設備為Cisco6509及8540交換機為主,接入層交換機主要為Cisco3500系列交換機�。目前的網絡拓撲現(xiàn)狀如下:
新大樓網絡系統(tǒng)主要是在現(xiàn)有局域網系統(tǒng)上進行擴容,在技術及設備上最好延續(xù)現(xiàn)有的網絡系統(tǒng)�,保證系統(tǒng)的平滑互連。并考慮今后網絡系統(tǒng)升級的擴展性����。主干采用千兆以太網技術,為了增加主干系統(tǒng)的帶寬,可以考慮采用GEC(千兆以太網捆綁)技術���。設備考慮延續(xù)采用Cisco設備����。
網絡拓樸的設計
針對本次網絡系統(tǒng)建設范圍主要包括三個獨立的建筑物:主樓���、服務樓����、信息XXXX樓���。網絡主體架構采用環(huán)型+星型結構���,即在三個建筑物內配置三臺Cisco三層交換機,相互間采用雙千兆鏈路互連����,構成核心環(huán)網;在每個建筑物內���,根據樓層信息點的分布����,在樓層配線間采用接入級交換機采用星型拓撲連接到本地的核心三層交換機�。
2.網絡管理系統(tǒng)
網絡中涉及的設備繁多,需要進行狀態(tài)檢測�����、設備配置�����、策略設置等�,在網絡發(fā)生故障時能夠及時發(fā)現(xiàn)問題,這需要一套功能強大的網絡管理軟件�����。方案中選用Ciscoworks2000軟件作為局域網管理平臺����,能夠與方案中設計的網絡設備良好配合。
3.對應用支持的考慮
基于網絡的應用很多�,包括辦公應用、用電營銷����、財務����、視頻監(jiān)控應用等���。有些應用對網絡的要求比較高����。針對新大樓智能化工程計算機網絡系統(tǒng)���,在網絡設計的時候��,我們在設備性能以及協(xié)議等方面作了充分的考慮����。例如網絡主干采用1000M以太網技術��,網絡設備具有良好的擴充性以及擴展性���。對于用電營銷及視頻監(jiān)控應用�,需要網絡具有良好的服務質量(QoS)�。在技術方案中針對這些網絡的具體應用��,我們提出了各自具體的實施方案����。
4.對IP地址���、DNS等網絡基礎資源的規(guī)劃
網絡系統(tǒng)屬于企業(yè)內聯(lián)網的一部分,其IP地址及DNS等均遵循公司的統(tǒng)一規(guī)劃����。在此不需要額外規(guī)劃。
5.對安全的考慮
方案中對系統(tǒng)安全作了建議性的描述��,在對外連接上采用防火墻技術��、DMZ設置保障信息系統(tǒng)的安全�����。在設備和系統(tǒng)設置上采用其他的一些策略包括針對Cisco設備特點采取的網絡設備安全加固手段��、采用虛擬網技術(VLAN)劃分不同的網段�,實現(xiàn)不同子網之間的邏輯隔離及控制、在核心服務器VLAN及主要出口設置入侵檢測系統(tǒng)����;在主干路由設備上以及接入設備上設置訪問控制���,隔離外部入侵。
出于對設備物理安全的考慮��,對機房以及配線間設備考慮防雷和接地����。主要考慮電源防雷和型號防雷,并對設備以及機柜等作良好接地��。而這一部分也是機房設計的重要組成部分���。
總論
系統(tǒng)建設背景
為提高企業(yè)的辦事效率��,為領導和工作人員提供辦公及生產管理����,要不斷完善對信息系統(tǒng)的建設����。以此來滿足對網絡性能、可靠性及安全等方面的不斷增長的需求���。
系統(tǒng)建設需求及設計原則
系統(tǒng)需求分析
本次網絡系統(tǒng)的建設包括省內部網絡及外部網絡�����,重點建設內部網絡系統(tǒng)����。
內網性質為公司內部的生產辦公業(yè)務網絡,其上主要的應用系統(tǒng)有辦公自動化����、用營銷���、財務����、自動化���、勞動人事等�����。今后隨著網絡應用的不斷發(fā)展���,其上還要承載高質量的視頻監(jiān)控系統(tǒng)�、視頻點播系統(tǒng)��。要求網絡運行可靠穩(wěn)定�、數(shù)據傳輸效率高、支持QoS���,從安全角度出發(fā)要與外網從物理上完全隔離��、充分保證系統(tǒng)數(shù)據的安全��。因此在網絡建設方案中內網主干采用千兆以太網技術��、核心三層交換機具有較高的二至三層的交換能力�,并且具備萬兆升級能力��。核心層及接入層交換機均支持不同層次的QoS�����,以及適用于局域網的各種應用需求�。
外網是公司與Internet及其它相關單位(如銀行)間互訪的網絡系統(tǒng),屬于非安全網絡。主要提供專有信息發(fā)布��、電子郵件服務�、Internet瀏覽、資料查詢及下載���。特別需要加強網絡的安全及病毒防范能力���。因此在外網與內網在物理上進行隔離,由于外網承載的業(yè)務相對內網而言對網絡的帶寬及性能要求不是很高���,所以在外網的建設中����,網絡系統(tǒng)對連通性要求較高�,但對網絡的帶寬及時延要求不大����,重點考慮外網系統(tǒng)的安全性。
系統(tǒng)建設原則
本工程技術方案為實現(xiàn)前述建設目標�,遵循以下建設原則:
1、安全性和可靠性
網絡系統(tǒng)是信息資源的倉庫����,其安全與否�,直接關系到供電部門的切身利益�����,一旦信息系統(tǒng)因為安全的原因被人為或其它原因破壞���,其損失不可估量��,特別是現(xiàn)階段互聯(lián)網的開放性還缺乏有效的監(jiān)督管理機制���。因此,安全性是網絡信息系統(tǒng)的生命線��,在本建設方案中充分考慮到要保證系統(tǒng)的安全機制���,通過各種手段確保信息系統(tǒng)的資源得到最大的保護�,同時網絡的可靠性是保障網絡建設成功發(fā)揮其功能的關鍵�����。
2�����、成熟性和先進性
在目前存在的多種網絡技術中,選擇一種既成熟又先進的技術是組網的關鍵之一���。成熟性是前提��,它意味著采用這種技術不會由于網絡技術本身的問題而造成損失����,可以很好地滿足應用要求�;同時先進性是為了保證用戶投資興建的網絡能夠跟得上技術的發(fā)展,符合應用的要求����,使用戶的投資得到保護,在相當?shù)臅r間內保持先進性����,不至于過早被淘汰。
3�����、實用性
建網的目的是為了提高工作效率���,因此采用高速度���、低延時的網絡系統(tǒng),建設一個切合應用要求的實用的��、經濟的網絡信息系統(tǒng)是設計指導原則之一�����。只有所建設的網絡信息系統(tǒng)能夠滿足應用的要求,吸引廣大用戶使用��,提高使用網絡人員的操作水平�����,為企業(yè)創(chuàng)造經濟效益,充分發(fā)揮其功用�����,才達到建網的目的����。
4、可管理性
網絡管理關系到系統(tǒng)使用的效率��、維護、監(jiān)控的手段以及網絡資源的再分配����,是一個完整的智能網絡必不可少的組成部分。因此采用具有網管能力的網絡設備是系統(tǒng)設計的重要思想���。系統(tǒng)支持先進有效的管理策略�����,提供良好的管理工具或手段能夠實時監(jiān)視服務器各種設備的工作情況��,并在安全和系統(tǒng)故障方面進行預警�����,提交日志和分析報告�����,及時發(fā)現(xiàn)故障點���,為平衡負載、優(yōu)化服務��、排除故障提供手段和依據��。
5�����、開放性和擴展性
開放性意味著標準化��,在公司的網絡系統(tǒng)建設中����,其各種設備之間的連接均采用國際上通用的成熟標準協(xié)議或接口,不會因為設備的更改而變動基本結構或采用不同廠商的設備導致系統(tǒng)不兼容�����。如內網VLAN的劃分方式���、路由協(xié)議的選擇等��。
開放的體系結構為以后的網絡升級提供了基礎�,隨著江蘇電力信息化建設不斷發(fā)展����,網絡信息系統(tǒng)的應用規(guī)模和水平將會不斷發(fā)展變化�����,這就要求計算機網絡能夠適應這些發(fā)展變化�����,實現(xiàn)向先進技術的平滑過渡����,同時也便于擴大規(guī)模��,從而保護原有投資���。
網絡系統(tǒng)建設方案
網絡技術綜述
計算機技術和通信技術的發(fā)展推動了網絡技術的進步����,也產生了許多新的網絡技術和網絡應用��?���?偟内厔菔窍蛑_放、集成����、高性能和智能化方向發(fā)展���。網絡技術的發(fā)展和應用需求之間是一個不斷的反饋過程����,呈現(xiàn)一種螺旋式上升地趨勢。選擇何種網絡技術組建信息基礎設施��,除了對網絡技術本身的詳盡分析以外����,還要結合具體的應用而定。本章節(jié)將按照這個思路���,首先詳細分析了各種網絡技術的最新發(fā)展狀態(tài)����,然后根據網絡應用現(xiàn)狀及未來幾年的應用規(guī)劃�,在后續(xù)章節(jié)做出相應的網絡技術選型的建議。
局域網技術簡介
本節(jié)對現(xiàn)有的主流的以太網技術特點做了分析���,在1997-1999年����,由于千兆以太網技術標準還不成熟,ATM技術大量在局域網中應用����,當時主要采用局域網仿真方式-LANE來實現(xiàn)以太幀到ATM的信元格式轉換。而在ATM到桌面的環(huán)境中���,由于缺乏能有效利用ATM特性的API標準����,ATM的嚴格的QoS特性也沒有得到充分體現(xiàn)����。而隨著基于IP的應用的大量興起及網絡傳輸帶寬的不斷加大,在局域網應用場合中�����,千兆以太網技術逐漸成為局域網發(fā)展的主流����,未來的10G比特以太網技術也前景光明。下面著重講述一下千兆及10G以太網技術。
千兆位以太網:
千兆以太網技術是極為成功的10Mbps和100MbpsIEEE802.3以太網標準的發(fā)展�����。由于千兆以太網所支持的簡易網絡升級����,以及對新應用和數(shù)據類型處理的靈活性、網絡的可伸縮性���,使得千兆以太網成為高速、高帶寬網絡的戰(zhàn)略性選擇��。千兆以太網提供大致1000Mbps的帶寬��,和現(xiàn)有的數(shù)量極為龐大的以太網節(jié)點完全兼容���。千兆以太網早在1996年7月就已進入標準化軌道�����。經過幾個月的可行性研究�����,IEEE802.3工作組成立了802.3z千兆以太網任務小組�。802.3z千兆以太網任務小組的關鍵目標是開發(fā)可以完成下列功能的千兆以太網標準:
2 ?允許以1000Mbps的速率進行半雙工、全雙工操作
2 ?使用802.3以太網幀格式
2 ?使用CSMA/CD訪問方式
2 ?與10BASE-T���、100BASE-T技術的地址向后兼容性
任務小組定義了連接距離的三個特定目標:最大距離為550米的多模光纖�,最大距離為3公里的單模光纖���,最大距離不小于25米的銅線�。IEEE同時在積極地探索可以支持在5類雙絞線(UTP)上傳輸至少100米的技術����。千兆以太網支持新的全雙工模式,可以在交換機到交換機上���,或交換機到端點工作站上連接上����。半雙工操作模式用于CSMA/CD訪問方式和中繼器的共享連接上���。千兆以太網也將用于5類雙絞線���。
以太網和更高等級的服務:
千兆以太網提供高速連接能力,但本身不提供完整的服務功能如服務質量(QoS),自動冗余容錯��,或是高層路由功能����。這些功能在其它開放標準中定義。如同所有的以太網描述��,千兆以太網定義OSI協(xié)議模型的數(shù)據鏈路層(第二層)���,TCP和IP分別在傳送層(第四層)和網絡層(第三層)部分中定義�����,允許在應用之間的可靠通信服務。QoS等問題在最初的千兆以太網描述中未曾涉及��,但是必須由此類標準的幾種中加以定義����。
在90年代后期出現(xiàn)的應用要求穩(wěn)定的網絡帶寬、延遲和敏感性�。此類的網絡應用包括語音和影像在局域網和廣域網上傳送,組播軟件分發(fā)����。相關的標準化組織針對此類需求已經作出了新的開放標準定義如RSVP�����,IEEE802.1p和IEEE802.1Q標準化小組也正在進行各自的工作�。
作為推薦性的標準���,響應連接質量要求�����、提供網絡連接質量的RSVP已經獲得了業(yè)界的認可��。為了使RSVP能發(fā)揮作用�,為網絡應用提供所要求的持續(xù)質量�����,在客戶和服務器之間的任何一個網絡部件都必須支持RSVP和正常的通信能力��。由于在真正獲得服務質量的顯著效果之前需要如此多的網絡部件支持RSVP��,有些廠商開發(fā)了一些在某種程度上支持QoS的廠家專有方案�。盡管它們可以為用戶提供QoS的效益�,但要求網絡的某些部分是這些廠家所獨有的��。
802.1p和802.1Q靠提供一種所謂的“打標記”的方式實現(xiàn)以太網上的服務質量功能��。打標簽就是在數(shù)據包上做標記����,注明該數(shù)據包所期望的服務類型或是優(yōu)先級別。這種標記使得應用能夠與網絡互聯(lián)設備按不同的優(yōu)先級通信����。RSVP可以由將RSVP映射到802.1p服務級別的方式實現(xiàn)。
不同的千兆以太網設備一般只有上述部分標準���,這樣可以使以太網連接更有效率���,功能較強�����。但千兆以太網的成功不依賴于標準中的任何一個�。模塊化標準的優(yōu)點是標準的任何部分都可以在市場和和產品質量有需求時進行更新。請注意所有這些標準都和快速以太網和10M以太網相匹配����,各個層次的以太網運行性能和質量都可以從標準化的工作中獲益�。
10G以太網:
近兩年隨著傳輸網絡的發(fā)展�����,10G以太網技術漸漸引起了人們的注意��,這種高速以太網技術適用于各種網絡結構�,能夠簡單、經濟地構建各種速率的網絡����,可以滿足骨干網大容量傳輸?shù)男枨螅鉀Q了窄帶接入�、寬帶傳輸?shù)钠款i問題,并與現(xiàn)行以太網技術兼容�����。2000年末已經為通往WAN作好了相應的技術儲備�。此外,由于LAN�、MAN和WAN采用同一種核心技術,網絡易于管理和維護��,同時避免了協(xié)議轉換,實現(xiàn)了LAN���、MAN和WAN的無縫連接�����。10G以太網贏得青睞的真正原因是�����,它比ATM和SONET的價位低��,在MAN和WAN中應用10G以太網技術�����,比采用ATM/SONET技術構建的類似MAN和WAN費用低25%�����。預計10G以太網的每端口價格是單個千兆比端口價格的8.3倍。這就是說�����,買一個10G以太網端口比買10個千兆比端口節(jié)省17%的費用。然而�����,10G以太網缺少SONET的鏈路管理能力�,無法排除鏈路故障。有人建議用數(shù)字封裝法來傳遞以太網幀���,使之具備鏈路管理能力�,但這將增加成本和復雜性�。所以,在長距離傳輸下���,SONET有其優(yōu)勢����,但以太網處理突發(fā)數(shù)據和網狀網的能力比SONET強����。
盡管10G以太網是在以太網技術的基礎上發(fā)展起來的,但是��,由于工作速率的大幅度提升�,適用范圍有了顯著的變化����,與原來的以太網技術相比差異很大����,主要表現(xiàn)在:物理層實現(xiàn)方式、幀格式�、MAC層的工作速率以及適配策略。
由于10G以太網既可以作LAN使用�,也可以當作WAN使用,而LAN和WAN之間由于工作環(huán)境不同�,對于各項指標的要求存在許多的差異,主要表現(xiàn)在時鐘抖動�����、BER(比特誤碼率)����、QoS、速率等的要求不同���。為此���,IEEE802.3HSSG小組制訂了兩種不同的物理介質標準,分別用于以太局域網和以太廣域網���。這兩種物理層的共同點是:共用一個MAC層���;僅支持全雙工操作方式;省略了CSMA/CD�;采用光纖作為物理介質。
根據當前的局域網技術發(fā)展趨勢���,針對XXXX市供電公司局域網的應用需求����。應采用千兆以太交換技術構筑內部局域網����,并保證今后可向10G以太網平滑升級。
內網建設方案
組網方案
現(xiàn)狀分析
廣域網主要采用155MATM接入企業(yè)內聯(lián)網���,采用2M專線連接各個縣公司��。聯(lián)網計算機達七百多臺��,采用10/100M
交換到桌面���。
目前對外部網絡的訪問主要提供省公司的代理服務器連接Internet���,沒有自己的本地出口。對于銀行的互連����,目前正在現(xiàn)有系統(tǒng)上添加防火墻及入侵檢測設備。
系統(tǒng)采用的主要網絡設備如下:
主干交換機:采用Cisco公司的Catalyst6509為主干交換機���,該交換機配置256G交換矩陣����,路由能力為15Mpps����。接口模塊主要有千兆以太網接口板,主要用于局域網及城域網的千兆主干接入�����,ATM622M接口與8540互連����,通過三級網接入企業(yè)內聯(lián)網�����。
分支主干交換機:采用Cisco4000系列交換機,作為分支節(jié)點的核心交換機�����,采用千兆連接6509�����。
樓層交換機:主要為Cisco3500系列交換機���。采用千兆連接到核心6509交換機��,10/100M交換到桌面�����。
撥號路由器:采用IBM8235作為撥號訪問服務器����,實現(xiàn)遠程用戶和移動辦公用戶通過電話撥號接入局域網。該撥號訪問服務器采用10M以太網接入局域網���。
廣域網接入交換機:采用Cisco8540MSR���,采用155MATM接口通過三級網接入江蘇電力企業(yè)內聯(lián)網,通過622MATM接口連接核心交換機6509�����。
接入路由器:采用IBM2210作為縣公司接入路由器���,通過2M專線連接各個縣公司���。
內網建設目標
2 ?實現(xiàn)主樓、服務樓�、信息XXXX樓的互連。
2 ?網絡技術采用千兆以太網��,主干網是以數(shù)據傳輸速率為1000Mbps�����,并采取資源保留協(xié)議����、保證關鍵業(yè)務的通暢��。
2 ?提供樓層用戶的10/100M接入����。
2 ?與現(xiàn)有網絡系統(tǒng)兼容�����,并可以平滑升級�。
2 ?通過設備對策選擇及拓撲結構設計�����,保證系統(tǒng)的高可靠性
2 ?實現(xiàn)內網與外網的物理隔離�����。
內網建設方案
核心設計:
內網主要包括三個主要節(jié)點:新大樓主樓���、服務樓�����、信息樓��,為保證網絡系統(tǒng)的高可靠性����,設計三個節(jié)點各放置一臺三層交換機,相互間采用雙千兆進行互連����,構成核心環(huán)網。在互連協(xié)議方式上可以有兩種方式:
采用路由方式互連��,在局域網內部運行OSPF協(xié)議����,通過路由協(xié)議實現(xiàn)鏈路的最佳選擇及備份切換,通過調整OSPF協(xié)議的參數(shù)����,可以將鏈路的切換時間控制在4秒以內,但此種方式應用在局域網內有一定的局限性��,例如不能構建跨越三大節(jié)點的全局VLAN��。
通過數(shù)據鏈路層的IEEE802.1s及IEEE802.1w協(xié)議實現(xiàn)鏈路冗余及切換����,IEEE802.1s協(xié)議是對IEEE802.1d(生成樹協(xié)議)的改進�����,通過改進的BPDU傳輸鏈路及端口狀態(tài)����,可以保證將系統(tǒng)的切換時間控制在1秒以內�����,IEEE802.1w是多生成樹協(xié)議����,即可以在一個傳統(tǒng)的生成樹域內�����,通過分級控制的方式劃分出多個生成樹���,在鏈路發(fā)生故障時����,提高系統(tǒng)的收斂時間。
根據局域網的特點及系統(tǒng)可靠性的保證���,建議核心環(huán)網選擇第二種互連方式����。
根據接入節(jié)點的數(shù)量及投資規(guī)模�,核心節(jié)點的交換機可以有兩種選擇。
主樓采用核心交換機采用Cisco6509����,信息樓核心交換機采用現(xiàn)有的Cisco6513,配置720G引擎��,最大路由能力為400Mpps��;服務樓配置Cisco4507R�,交換能力為64G,路由能力為48Mpps�����;��。
主樓核心交換機采用Cisco4507R,采用全冗余配置��;信息XXXX樓核心交換機采用Cisco6509���;服務樓核心交換機采用Cisco3550-12G����,交換能力為17G�,路由能力為6Mpps。
(1)主交換機
主交換機是整個網絡系統(tǒng)的核心設備����,承擔網絡主干的絕大部分流量,由于服務器包括應用服務器�����、數(shù)據庫服務器�、網管工作站等重要設備都連接在主交換機上�,并且客戶機與服務器的通信都必須經過主交換機,因此主交換機的故障會造成通信中斷���,導致整個網絡系統(tǒng)癱瘓���;同時主交換機的性能�����、穩(wěn)定性�����、可靠性也密切影響著整個網絡系統(tǒng)的性能�����。對主交換機的設計如下:
2 ?設備配置冗余電源���,冗余管理模塊,冗余三層交換模塊及冗余端口�,同時保證提供足夠數(shù)量的千兆端口用于連接內網骨干網(主交換機與樓層交換機之間的鏈路)和連接各類服務器;
2 ?集成LAN/WAN/MAN�����,集成不同的網絡���、電信端口�����;
2 ?提供智能IP服務���,如提供對組播等協(xié)議的支持���;
2 ?提供對IP語音的支持;
2 ?支持各種QoS方式����;
2 ?支持強大的網絡管理功能;
根據以上要求����,主樓核心設備根據投資規(guī)模的不同,可以有兩種選擇�,第一種選擇Cisco6509;第二種選擇為Cisco4507R交換機����。具體配置詳見建議設備配置清單。
(2)樓層交換機
作為用戶終端與交換機之間的連接�,樓層交換機在整個網絡中處于重要的地位��。樓層交換機的選擇應做到盡可能的高速交換和傳遞數(shù)據,不致成為整個網絡的瓶頸����。因此,根據網絡系統(tǒng)的設計原則以及內網的業(yè)務特點����,對樓層交換機設計如下:
2 ?端口密度滿足每一樓層40多個信息點百兆交換到桌面的要求;
2 ?提供至少一個千兆端口作為與主交換機的相連�;
2 ?提供第二層上虛網劃分,滿足主交換機的第三層交換�����;
2 ?支持802.1q及802.1p�,支持802.1x用戶接入認證。
外網建設方案
外網建設目標
l ?建立獨立于內網的網絡系統(tǒng)����,實現(xiàn)內外網物理隔離;
l ?建立外網信息服務平臺���,提供豐富的信息服務�;
l ?提供Internet接入����,為職工安全上網提供便利條件����;
l ?提供對社會公眾的服務窗口��。
外網構建方案
外網主要用于連接Internet���、銀行等����。采取與內網物理隔離的方式來保證內網系統(tǒng)的安全性�。為實現(xiàn)內外網物理隔離目標,建立獨立的外網系統(tǒng)�,在每個辦公室里設置一個到兩個獨立的信息點,這些信息點的機器不與內網有任何連接�����,通過這種方式實現(xiàn)與外網的連接��。
由于外網系統(tǒng)的數(shù)據流量不大�����,只要保證連通性,最為主要的是安全性����,因此交換設備可以選擇抵檔一些的設備����,如國產設備或不適用于原有網絡的設備。新增配置一臺核心三層交換機��,關鍵要設計好外網出口的安全��,建議在外網的Internet及銀行互連端口處設置防火墻及入侵檢測裝置���。防火墻要設置DMZ區(qū)域���,用于放置WWW、外部Email�、DNS等服務器,將來可提供對社會公眾的信息查詢服務以及企業(yè)自我宣傳的窗口��。
由于外網不是本次網絡系統(tǒng)建設的重點���,本設計方案只給出一些建設意見��,不涉及具體的設備配置�。
內網及外網的IP地址分配方式
網絡內部主機的IP地址的分配方式有以下幾種:
2 ?手工靜態(tài)配置
2 ?通過DHCP動態(tài)分配,即通過DHCP服務器獲得的IP地址有可能每次都不一樣���。
2 ?在DHCP服務器上進行IP及MAC的綁定�����,實行綁定分配��,在這種方式下����,只要網卡沒有更換��,每次獲得的IP地址均相同��。根據主機及設備的屬性�,應采取不同的IP導致分配方式:
2 ?對于服務器及網絡設備,由于相對穩(wěn)定����,建議采用手工靜態(tài)配置IP地址。對于固定的辦公PC機����,由于手工配置IP地址�����,要人工記錄已經分配的IP地址,以避免同一個IP地址分配給多臺機器���,導致網絡沖突�。這些機器平
2 ?時的接入的子網相對固定�,同時為了便于對上網機器統(tǒng)一管理及監(jiān)控,建議內網及外網的內部的PC機采用DHCP方式���,并且將IP與MAC地址綁定分配���,保證每次獲得的IP地址均相同。
2 ?對于移動上網的筆記本電腦�,由于每次所連接的子網可能不同,建議采用DHCP動態(tài)分配方式����,建議每個子網的動態(tài)分配的IP地址空間為最后20個。即:X.X.X.234-X.X.X.253�。對于內網及外網的DHCP服務器���,有以下兩種選擇:
2 ?采用PC服務器,安裝WindowsNT或Windows2000Server操作系統(tǒng)��,操作系統(tǒng)內置有DHCP服務功能��。
2 ?由CiscoIOS提供�,內網的核心由于為6509,配置有MSFC3路由模塊��,可以在IOS中啟用DHCP服務器功能��,由6509作為DHCP服務器�����。今后可以考慮采用CiscoURT(用戶注冊管理工具)根據用戶輸入的用戶名及口令�,通過IEEE802.1x認證后接入網絡,就可以將用戶分配到相應的子網并獲得正確的IP地址�。
服務質量(QoS)的實施
局域網服務質量的實施
隨著視頻監(jiān)控、IP電話以及重要的電力企業(yè)應用(如營銷)等各種在某段時間內持續(xù)高帶寬低延時的應用的開展�����,網絡流量的復雜化,IP交換技術的發(fā)展�����,二層�����、三層交換技術在保障網絡應用的服務質量QoS��,避免網絡擁塞上可以起到不可缺少的作用�����。
概括而言��,QoS主要包括數(shù)據智能分類技術���,擁塞控制技術兩大方面,一般在園區(qū)網絡中采用以下步驟實現(xiàn)服務質量:
在接入層交換機中對進入網絡的數(shù)據包進行網絡的基本分類或根據交換機設定來進行重分類(Reclassify)���,同時對網絡的流量采用監(jiān)控(Policing)�,避免由于客戶設備故障或病毒產生的過度流量����,然后根據監(jiān)控決策結果來將這些流量放入相應的上聯(lián)端口的隊列�����,然后在此端口上采用加權算法來對該端口出去的流量進行擁塞控制(SchedulingCongestionControl)�����,確保在接入層上關鍵數(shù)據流量的服務質量�����,在這些數(shù)據的處理過程中�,同時完成了第二層以太網幀中CoS值和IP包中的TOS值或DSCP值的映射����,TOS或DSCP值決定了IP報文的優(yōu)先級別,而TOS或DSCP值在經過IP路由器默認情況下其值不會改變����,從而能夠提供跨全網的端到端的QoS。核心三層交換機在收到了從接入層交換機上傳來的數(shù)據包����,它開始正式對其第三層IP數(shù)據包進行分析,首先根據IP地址信息可以選擇不同的轉發(fā)鏈路,在選擇了相應的鏈路后���,這時候核心三層交換機在這些鏈路上對流量的擁塞不再是依據以太網幀中的CoS�����,而是依據在接入層交換中以及完成賦值的TOS或DSCP����,分布層交換機可以根據這些值可以對網絡中的流量進行更細致的劃分�,保證關鍵流量將根據其各自的優(yōu)先權進入網絡核心。
從上述技術分析來看�,實施時技術要求較高,要求在實施前對網絡應用模式和具體需要進行詳細分析���,然后合理的規(guī)劃采用連接協(xié)議及QoS控制方式,使網絡在滿足需求的前提下趨于最高性能和可靠性����。
具體實現(xiàn)的技術方案:
在企業(yè)內網中接入層交換機采用Cisco3550交換機,能夠提供完善的LAN邊緣QoS���,在業(yè)內此類產品中無以匹敵�。所有的Cisco3550交換機支持兩種模式的重新分類方法。一種模式基于IEEE802.1p標準�����,遵從接入點的服務等級(CoS)值并把數(shù)據包分配到合適的隊列中��。第二種模式���,數(shù)據包根據由網絡管理員分配給接入端口的缺省CoS值來進行重新分類����。如果到達的幀沒有CoS值(如未做標記的幀)��,Cisco3550交換機就根據網絡管理員分配給每個端口的缺省CoS值來進行分類���。
一旦數(shù)據幀使用上面所說的兩種模式分類或重新分類后��,即被分配到最合適的輸出隊列中去�。Cisco3550交換機支持四種輸出隊列����,使網絡管理員在為LAN流量的各種應用指定優(yōu)先權時更加容易區(qū)分和有針對性。嚴格的優(yōu)先權分配可以保證諸如語音等時間敏感的應用在通過交換結構時一直使用高速路徑�����。另外,另一種重要的增強措施即加權循環(huán)(WRR)策略也能保證低優(yōu)先級的負載在沒有被網絡管理員進行優(yōu)先級配置的情況下����,能夠得到重視。
這些特性使網絡管理員可以把關鍵任務和時間敏感的流量�����,如視頻(視頻會議���,視頻監(jiān)控等)�、語音(IP電話流量)和CAD/CAM�,優(yōu)于低時間敏感的應用如FTP或e-mail(SMTP)等來設置更高級別的優(yōu)先權。
Cisco3550交換機每個端口可以工作在兩種模式下:Trust和Untrust�。Trust狀態(tài)下交換機將相信從端口進入交換機的以太網幀中CoS值,這種狀態(tài)下必須依賴于客戶端程序或系統(tǒng)能夠對其產生的流量能夠正確的賦予CoS值����;在Untrust模式下交換機可以設定改寫所有進入該交換機端口的以太網幀中的CoS值���,無論其現(xiàn)有的CoS值為多少��,可以根據端口的直接設定�����。
對于智能型的Cisco3550也可以通過ACL來對網絡流量分類來重新設定���。為了同時也對第三層IP數(shù)據中的ToS或DSCP賦值���,交換機也對應一些相應的規(guī)則,由于CoS和ToS均為0-7����,可以直接對應,CoS和DSCP直接采用DSCP=CoSx8的公式進行轉換����。在網絡流量的監(jiān)控上,Cisco3550采用了以前只有在6500交換機上才采用的ratelimit技術�,可以以8Kbps為單位來定義10/100兆端口上實際數(shù)據傳輸速率,當速率超過預先定義的值可以采用丟棄或降低DSCP的方法來處理���。
在上聯(lián)端口的擁塞處理中Cisco3550交換機采用4條隊列的方式�����,其中一條為嚴格優(yōu)先隊列(StrictPriority)��,其余3條隊為加權輪詢隊列��,這樣的話為了保證要求服務質量保證的系統(tǒng)最高優(yōu)先級��,可以將所有的有服務質量要求的數(shù)據設定分類后放入嚴格優(yōu)先隊列中����,其余的應用根據其各自的情況分類,賦予不同的DSCP值�。
各個VLAN通過核心的6513或6509實現(xiàn)三層互聯(lián),對于不同的應用���,采用策略訪問控制列表(PolicyACL)對有服務質量要求的報文(如視頻及語音報文)設定IP優(yōu)先級�,根據優(yōu)先級采用加權公平隊列(WFQ)進行報文端到端的QoS傳輸��;在路由端口上缺省的隊列為公平隊列(FQ)���,6509MSFC2路由模塊可以根據IP優(yōu)先級計算一個權重���,權重=4096/(優(yōu)先級+1),根據到達路由端口的報文不同的IP優(yōu)先級計算出各自的權重�����,將報文放進不同的轉發(fā)隊列���,根據權重的比例進行報文的排放�,保證在網絡擁塞時優(yōu)先級高的報文優(yōu)先通過�����。
網絡管理系統(tǒng)
在當今的網絡系統(tǒng)中�����,隨著網絡系統(tǒng)的不斷建設和完善����,網絡中涉及的設備將越來越多,如路由器����、交換機、防火墻�、撥號服務服務器等;其次�����,網絡技術也日趨復雜,從10/100M以太網�、千兆以太網、ATM��、多媒體技術���、安全策略等等�;再有不同的網絡設備的配置命令也不盡相同�。導致在網絡系統(tǒng)發(fā)生故障時,使網管人員無從下手��,降低了網絡運行的效率����。這就客觀要求要有一套好的網絡管理系統(tǒng)與之相配套。
網絡管理任務及策略
網絡管理是網絡建設中不可缺少的重要組成部分�。一個良好的網絡管理系統(tǒng)可以幫助用戶在很大的程度上優(yōu)化網絡結構,預防和及時排除故障�,減少網絡的維護費用。因此���,網絡管理對保證網絡安全高效的運行是非常重要的��。
網絡管理的任務主要包括以下方面內容:
2 ?網絡性能管理:收集網絡運行各種統(tǒng)計信息�,例如設備和鏈路的負載��、可用性及可靠性�、網絡的可用率等,優(yōu)化網絡性能���,消除網絡中的瓶頸�,實現(xiàn)網絡流量分布的均勻性�����,實現(xiàn)各種策略管理��。
2 ?網絡配置管理:網絡節(jié)點部件�、端口及路由的配置,收集當前系統(tǒng)狀態(tài)的有關信息����,更改系統(tǒng)的配置等。
2 ?網絡故障管理:維護并檢查錯誤日志�����,接受錯誤檢測報告并作出反應,跟蹤錯誤檢測報告并作出反應�,跟蹤及辨認錯誤,執(zhí)行診斷測試�,糾正錯誤等。
2 ?業(yè)務量統(tǒng)計:對網絡節(jié)點�、設備等的告警產生、告警內容和告警清除的統(tǒng)計����;根據IP地址,統(tǒng)計業(yè)務流量和流向�,實現(xiàn)對網管人員操作網管設備過程的記錄和統(tǒng)計。
2 ?網絡安全管理:包括各種級別����、層次的安全防護措施的管理,對網絡中各種配置數(shù)據必須有保護措施�����,當網管系統(tǒng)出現(xiàn)故障時���,能自動及人工恢復正常工作�,不影響網絡的正常運行。
對于網絡系統(tǒng)來說��,由于其內網���、外網網絡界限劃分明顯��,且隨著網絡的發(fā)展今后其覆蓋面將越來越廣���,涉及的網絡設備眾多�����,因此如何有效地管理整個網絡�,提高網絡運行效率是網絡運行管理過程中一件非常重要的工作。
網絡的管理不僅僅是配置一套網管系統(tǒng)����,而應該是制定一個系統(tǒng)的網管策略,包括網絡設備的管理(配置���、監(jiān)控���、性能等方面)、網絡終端用戶信息管理、網絡地址的分配����、網絡配線(包括光配及線配)的管理、網絡安全的管理�����、網絡認證的管理�����、網絡權限的管理等等����。網管軟件只能完成其中部分功能,其他功能如網絡終端用戶管理�、網絡配線管理等需要結合其他根據軟件或人工來完成。
網管平臺選擇
網管系統(tǒng)的建立與選擇應該根據以下的幾個原則來進行:
2 ?網管軟件應能監(jiān)控網絡設備�,以圖形方式實時顯示設備的運行狀態(tài);
2 ?網管軟件能自動尋找并顯示網絡的拓撲結構���;
2 ?網管軟件能監(jiān)控網絡的狀態(tài)并在一定的情況下報警�;
2 ?網管軟件應能監(jiān)控網絡的性能���,并設置一定的閥值���,在超過閥值的情況下自動報警����;
2 ?應能用圖形方式對虛擬網進行設置與管理���;
2 ?動態(tài)分配網絡資源�����;
2 ?記錄與搜索網絡的歷史性資料;
2 ?支持SNMP及RMON網絡管理協(xié)議��;
2 ?具有良好的用戶界面�,方便網絡管理者的工作,如有基于XWINDOWS
2 ?圖形用戶界面(GUI)或基于WEB的瀏覽器界面��;
2 ?能對網絡資源的利用率�����、趨勢�����、MIB變量進行查詢與分析并能用圖表的形式顯示出來;
2 ?能進行安全性管理�����,控制用戶對網絡資源的未經授權的訪問�����;
2 ?能對設備的配置文件�����、軟件進行管理�;
目前各主要網絡廠家都向用戶提供與本廠家設備相關的網管軟件,都有較全面的管理功能�,且都提供圖形操作界面,使用直觀方便�����。如Cisco的CiscoWorks2000�、IBM的Netview、HP的Openview等���。但一個廠家的設備只有用本廠家的網管軟件才能得到全功能的管理��。如果一個廠家的網絡設備采用另外一家的網管軟件來管理��,則除非網絡設備的原廠商能夠提供基于此網管平臺的設備管理信息庫(MIB)�,否則將不能直觀的看到網絡設備的面板及真實的端口狀態(tài),只能看到一些SNMP的基本信息���,非常不直觀����,不便于管理��。
由于網絡基本由Cisco設備構建而成�����,網絡管理以局域網系統(tǒng)管理為主�����,建議采用Cisco公司的局域網網絡管理軟件LanManagementSolution��,在今后覆蓋全省的MPLS/VPN網絡系統(tǒng)建成后����,其網管中心將放置在省公司,由省公司統(tǒng)一管理各個VPN的劃分��。各個地市供電公司只負責本地PE路由器以下的局域網系統(tǒng)管理�����,與現(xiàn)在的管理權限基本相同��。
LanManagementSolution可基于WindowsNT/2000Server及SUN的Solaris操作系統(tǒng)����,是一種多功能的企業(yè)級網絡管理軟件。它包括如下網絡管理模塊:
最基本的模塊CDONE及RME��,是其他網絡管理模塊的基礎����,提供了網絡設備狀態(tài)采集及遠程監(jiān)控等功能?��;谶@兩個模塊還有園區(qū)網管理核心模塊-CM����,提供設備的配置及信息采集功能、內容流管理模塊-CFM�、還有設備報錯管理模塊-DFM。這些網絡管理模塊給網絡管理員提供了一套工具組來輕松地管理整個園區(qū)網絡��。
系統(tǒng)安全建設
系統(tǒng)安全分析
網絡系統(tǒng)安全問題一直為人們所關注��。如何保證網絡的安全性���,除了需要制訂相應的法律法規(guī)加以約束外��,采用什么樣的技術手段來控制是非常重要的��。一個完整的安全解決方案應該是一個系統(tǒng)化�����、一體化的立體的防御結構�。如下圖所示�����,系統(tǒng)安全包括網絡群體�����、系統(tǒng)群體�����、用戶群體��、應用群體�、數(shù)據加密等不同層次多角度的安全控制。
安全體系建立的原則
一個系統(tǒng)的安全體系建設應從兩方面加以建設�����,要采用兩條腿一起走路:
一是網絡安全的結構設計����,包括網絡級、系統(tǒng)級����、用戶級、應用級�、數(shù)據級安全防御體系;二是網絡安全管理���,包括建立安全組織���、制訂安全策略�����、網絡安全管理規(guī)范��、安全管理工作流程�����、網絡安全審計等��。兩方面的工作要相輔相成��,貫穿于整個的網絡生命周期��。
網絡安全不是某個產品點��,它涉及到各種技術���,它應該是優(yōu)秀的網絡設計的一部分。
各種網絡安全措施
構建一個完整的安全體系應包含以下幾個方面:
訪問控制-通過對特定網段���、服務建立的訪問控制體系��,將絕大多數(shù)攻擊阻止在到達攻擊目標之前��。
檢查安全漏洞-通過對安全漏洞的周期檢查�����,即使攻擊可到達攻擊目標�,也可使絕大多數(shù)攻擊無效���。
攻擊監(jiān)控-通過對特定網段�����、服務建立的攻擊監(jiān)控體系��,可實時檢測出絕大多數(shù)攻擊���,并采取相應的行動(如斷開網絡連接、記錄攻擊過程���、跟蹤攻擊源等)���。
加密通訊-主動的加密通訊�����,可使攻擊者不能了解����、修改敏感信息�����。
認證-良好的認證體系可防止攻擊者假冒合法用戶��。
備份和恢復-良好的備份和恢復機制�����,可在攻擊造成損失時���,盡快地恢復數(shù)據和系統(tǒng)服務����。
網絡防病毒-對病毒傳播途徑的有效控制����,包括郵件系統(tǒng)����、網關���、防火墻等要做到全面防毒;對病毒生存環(huán)境的有效清理�����,包括殺毒引擎��、病毒庫更新等�����。
多層防御-攻擊者在突破第一道防線后����,延緩或阻斷其到達攻擊目標。隱藏內部信息�����,使攻擊者不能了解系統(tǒng)內的基本情況。
設立安全監(jiān)控中心-為信息系統(tǒng)提供安全體系管理��、監(jiān)控�,保護及緊急情況服務。為此��,我們突出地提出如下三個方面的安全理念--安全策略���、管理和技術�����。
安全策略--包括各種策略����、法律法規(guī)��、規(guī)章制度��、技術標準�����、管理標準等��,是信息安全的最核心問題,是整個信息安全建設的依據�;
安全管理--主要是人員、組織和流程的管理�,是實現(xiàn)信息安全的落實手段;
安全技術--包含工具����、產品和服務等,是實現(xiàn)信息安全的有力保證��。
設備自身的安全措施
網絡設備的安全對整個網絡的安全��、正常運行有很大的意義�����。網絡設備的安全是是許多安全措施能夠順利實施的基礎����。如果網絡設備的配置能夠被隨意看到���,其所配置的路由識別ID�、密碼等都失去意義�;VLAN的配置如能被隨意改動��,則VLAN將形同虛設���。
保護網絡設備應注意兩個方面:
l ?設備的配置需要保護,防止非授權訪問����;
l ?設備的資源必須有效保護,防止像DOS這樣的資源掠奪式攻擊�����。
網絡設備分級登錄驗證
防范對網絡設備的非法訪問�,需要保護關鍵的配置信息(如密碼、ID等)�����,管理員必須經過嚴格身份鑒別和授權�。在江蘇電力企業(yè)內聯(lián)網系統(tǒng)中,投標方推薦的Cisco所有設備本身都有相應的安全措施���。
針對于單一管理員權限無限大的問題����,可以根據具體管理員的職能分工進行權限分配。在Cisco的路由交換設備上�,可以將管理員的權限劃分為15級權限檔次,針對每個權限可以定制相應的命令集�����,為實現(xiàn)各種管理目的而設立的不同職能管理員之間可互不侵擾的完成各自工作����。
例如,普通操作員只能監(jiān)視設備運行��,不可進行其他操作�;高級的管理員可做故障診斷���,不可修改設備配置文件��;系統(tǒng)管理員可具有所有功能權限等��。
同樣����,對于SNMP服務也可以通過設置不同級別的Community���,讓不同級別的網管系統(tǒng)獲得不同的操作權限���。
限制登錄會話數(shù)
Cisco網絡設備必須通過嚴格的認證程序才能夠進行登錄�,這種認證既包括對遠程登錄�����,也包括本地的Console登錄����。
Cisco網絡設備可以設定對本身的登錄會話數(shù),這種限制包括兩個層次:
并發(fā)遠程登錄會話總數(shù)的限制
