《某市宽带IP网络设计方案.docx》由会员分享,可在线阅读,更多相关《某市宽带IP网络设计方案.docx(30页珍藏版)》请在课桌文档上搜索。
1、某市宽带IP网络设计方案2000年9月FOUNDRYNETWORKS前言网捷网络公司非常荣幸能为XX市宽带网提供解决方案O针对XX市的实际情况,我们推出了全面使用FOUNDRY公司产品构成的解决方案,利用屡获大奖的BigIron8000第三层交换机、BigIron4000第三层交换机与FastIron交换路由器,构成一套能够在现有光纤系统上提供高速传输的网络系统。FOUNDRY公司的系列产品在国内外均已大量使用并深获好评,相信也能在XX市的使用中发挥其一贯的稳固可靠、易用易管理、高性能的特点,保障XX市宽带网络的连续运行。本方案使用的骨干设备是FoUNDRYBigIron8000,每台有8个网
2、络模块插槽。接口模块有有多种类型可选,根据实际需要加以配置。本方案使用的边缘设备是BigIron4000,每台有4个网络模块插槽。本方案使用的楼域用户接入设备要紧是FOUNDRYFastIron工作组交换机。骨干节点与边缘节点之间用千兆以太网连接。能够提供高速的TCP/IP,NOVELLIPX,WINDOWSNT,WIND0W9895网络互通。目录第1章项目描述51.1 项目全既况51.2 建设范围51.3 营运级宽带网络5第2章XX市宽带网解决方案72.1 主干技术72.2 设备选型72.2.7网络主干设备的系统结构81.1.1.1 交换结构(SwitchingFabric)81.1.1.2
3、 堵塞与非堵塞配置91.1.1.3 使用何种方式实现第3层与第4层的处理9222系统容量101.1.1.4 部件冗余设计11224缓冲技术111.1.1.5 结构的技术寿命112.3 选型结论132.4 XX市宽带网组网方案14241网络拓扑结构.142A.2骨干节点14243边缘节点15244接入层节点16245用户接入162.5 方案特点182.5.1 全部第三层功能的主干交换网络结构18252完善的接入安全性182.5.3 与业务有关的网络设计182.5.4 良好的网络隔离能力192.5.5 完善的设备安全性20256良好的网络稳固性21257良好的网络扩展性21258良好的可管理性22
4、2.5.9 服务质量保证22第3章业务描述243.1 用户接入Internet243.2 用户局域网高速互连263.2.1 企业用户YLAN组网26322企业用户IPVPN组网283.3 用户建立网站及其访问操纵283.4 用户隔离与基本认证29第4章网络管理304.1网管中心的设置与职责3041.1节点保护管理终端304.2网管中心的功能31第1章项目描述1.1 项目概况XX市电信根据自己的技术与资源优势,决定建立一个高带宽、高速率的信息传输网,为用户提供数据运载服务及信息服务。网络覆盖全市的各个区,能够为用户提供以IP为基础的新的数据业务,如宽带接入、电子商务、视频传输、多点广播、视频点播
5、、协同设计、桌面会议电视、远程医疗、远程教育的各类信息服务。XX市宽带IP城域网可为用户提供下列服务: 利用该项目网络的带宽优势,提供保证质量的多媒体应用。 为分散经营的企业集团建立虚拟专用网,以便统一管理其资产、物资、资金、市场、人事等。 高中、职业高中、初中、小学、幼儿园为服务对象、建立普通教育或者义务教育专用网。 向家庭用户、机关团体提供多媒体形式的信息查询、国际联网、视频点播等后息服务。1.2 建设范围XX市宽带IP城域网由3个骨干节点、15边缘节点与多个接入节点构成,覆盖XX市各区县。1.3 营运级宽带网络根据XX市宽带网的要求,本网定位为营运级的宽带网络。本网络是一个IP网络,以顺
6、应数据网络的进展趋势,提供对绝大部分IP业务的直接支持。本网络又务必是一个宽带网络,以满足网络数据流量的迅速增长,提供大容量高速传输的能力,符合其服务平台的角色。本网络还务必是一个服务性营运级的网络,以区别于供企业自用为主的企业级网络,而在可靠性、服务质量QoS、业务类别方面有较高保障,从而对公众提供丰富、易用、可靠的服务,并对二级服务网络提供可靠连接。由于IP协议与IP数据在网络上会越来越普及,本网络应该能够很好地支持TCP/IP协议,在时机成熟时,能够方便地转成全宽带IP网。因此,本项目将是一个以TCP/IP协议为基础、具有大容量高速传输能力的、可靠稳固保证服务质量的营运级宽带网络。第2章
7、XX市宽带网解决方案2.1 主干技术在充分研究了目前国际网络界对城域网设计所使用的各类网络主干技术,并充分考虑到技术进展的主流与趋势后,我们建议XX市宽带网络使用以千兆以太网或者POS为核心层链路、以千兆以太网为核心层与边缘层连接而构成的网络主干。2.2 设备选型XX市宽带IP网的要紧用户对象是企业用户与家庭用户。家庭用户接入宽带IP丽要紧用于访问Internet企业用户要紧通过宽带IP网进行不一致营业场所的互联。此外,也可通过宽带IPWKmEnterneto企业用户长期使用电信的租用线路(即电路)连接内部网络,同时通过电信连接INTERNET。他们的使用习惯值得尊重。这类用户关心的是网络的安
8、全性与服务质量。由于用户数众多,为保证全网的安全性与性能,同时保护企业用户在网上传输的性能的安全性,保证他们有承诺的带宽能够利用,对设备选型必需认真比较与分析。如第一章所述,网络设备必需既支持虚拟局域网技术,以提供透明的链路通道;又务必支持大多数网络协议,提供网络服务,开展网络应用。这就决定了所有设备务必是能够工作在第二层或者第三层的,具有每层对应的安全操纵功能,如第二层的MAC过滤功能,第三层的访问列表操纵功能等。为保证给与用户所购买的带宽,除了使用各类服务质量机制与带宽管理机制进行带宽管理外,设备务必提供全线速的交换与路由能力,有足够大的MAC地址表与路由表。为保证网络的安全性,设备本身务
9、必支持各类安全机制,确保设备本身不可能被轻易入侵。下面就骨干节点设备、边缘节点设备与接入设备的选型进行阐述。2.2.1 网络主干设备的系统结构网络主干设备即骨干节点设备的系统结构直接决定了设备的性能与功能水平。这犹如先天很好的一个婴儿与一个先天不足的婴儿,即便后天成长条件完全相同,他们的能力依然有相当大的差别。因此,深入熟悉设备的系统结构设计,客观认知设备的性能与功能,这对正确选择设备极有帮助,下面将从七个方面进行讨论。2.2.1.1 交换结构(SwitchingFabric)随着网络交换技术不断的进展,交换结构在网络设备的体系结构中占据着极为重要的地位。为了便于懂得,这里仅简述三种典型的交换
10、结构的特点:共享总线。由于近年来网络设备的总线技术进展缓慢,因此导致了共享总线带宽低,访问效率不高;而且,它不能用来同时进行多点访问。另外,受CPU频率与总线位数的限制,其性能扩展困难。它适用于大部分流量在模块本地进行交换的网络模式。共享内存。其访问效率高,适合同时进行多点访问(MLTICAST)o共享内存通常为DRAM与SRAM两种,DRAM速度慢,造价低,SRAM速度快,造价高。共享内存方式对内存芯片的性能要求很高,至少为整机所有端口带宽之与的两倍(比如设备支持32个千兆以太网端口,则要求共享内存的性能要达到64Gbps)o交换矩阵(Crossbar)。由于ASlC技术进展迅速,目前ASI
11、C芯片间的转发性能通常可达到1Gbps,甚至更高的性能,因此给交换矩阵提供了极好的物质基础。所有接口模块(包含操纵模块)都连接到一个矩阵式背板上,通过ASlC芯片到ASlC芯片的直接转发,可同时进行多个模块之间的通信;每个模块的缓存只处理本模块上的输入/输出队列,因此对内存芯片性能的要求大大低于共享内存方式。总之,交换矩阵的特点是访问效率高,适合同时进行多点访问,容易提供非常高的带宽,同时性能扩展方便,不易受CPU、总线与内存技术的限制。目前大部分的专业网络厂商在其第三层核心交换设备中都越来越多地使用了这种技术。2.2.1.2 堵塞与非堵塞配置堵塞与非堵塞配置是两种截然不一致的设计思想,它们各
12、有优劣。在选型时,一定要根据实际需求来选择相应的网络设备。堵塞配置。该种设计是指:机箱中所有交换端口的总带宽,超过前述交换结构的转发能力。因此,堵塞配置设计容易导致数据流从接口模块进入交换结构时,发生堵塞;一旦发生堵塞,便会降低系统的交换性能。比如,一个交换接口模块上有8个千兆交换端口,其累加与为8Gbps,而该模块在交换矩阵的带宽只有2Gbps当该模块满负荷工作时,势必发生堵塞。使用堵塞设计容易在千兆/百兆接口模块上提高端口密度,十分适合连接服务器集群(由于服务器本身受到操作系统、输入/输出总线、磁盘吞吐能力,与应用软件等诸多因素的影响,通过其网卡进行交换的数据不可能达到网卡吞吐的标称值)。
13、非堵塞配置。该设计的目标为:机箱中全部交换端口的总带宽,低于或者等于交换结构的转发能力,这就使得在任何情况下,数据流进入交换结构时不可能发生堵塞。因此,非堵塞设计的网络设备适用于主干连接。在主干设备选型时,只需注意接口模块的端口密度与交换结构的转发能力相匹配即可。当要构造高性能的网络主干时,务必选用非堵塞配置的主干设备。2.2.1.3 使用何种方式实现第3层与第4层的处理众所周知,每一次网络通信都是在通信的机器之间产生一串数据包。这些数据包构成的数据流可分别在第3、4层进行识别。在第3层(NetWorkLayer,即网络层,下列简称L3),数据流是通过源站点与目的站点的网络地址被识别。因此,操
14、纵数据流的能力仅限于通信的源站点与目的站点的地址对,实现这种功能的设备称之为路由器。路由器在网络中占据着核心的地位。传统路由器是使用软件实现路由功能,其速度慢,且价格昂贵,往往成为网络的瓶颈。随着网络技术的进展,路由器技术发生了革命,路由功能由专用的ASIC集成电路来完成。现在这种设备被称之为第三层交换机或者叫做交换式路由器。第4层(TranSPOrtLayer即传输层,下列简称L4),通过数据包的第4层信息,设备能够懂得所传输的数据包是何种应用。因此,第4层交换提供应用级的操纵,即支持安全过滤与提供对应用流施加特定的QoS策略。传统路由器具有阅读第4层报头信息的能力(通过软件实现),与第三层
15、交换机(或者交换式路由器)使用专用的ASIC集成电路相比,设备的性能几乎相差了两个数量级,因此,传统路由器无法实现第4层交换。值得指出的是:网络主干设备的系统结构在设计上分成两大类:集中式与分布式。即便两者都使用了新的技术,但就其性能而言,仍存在着较大的差异。集中式所谓集中式,顾名思义,L3/L4数据流的转发由一个中央模块操纵处理。因此,L3/L4层转发能力通常为3M-4Mpps,最多达到15MPPs。分布式将L3/L4层数据流的转发策略设置到接口模块上,同时通过专用的ASIC芯片转发L3/L4层数据流,从而实现有关操纵与服务功能。L3/L4层转发能力可达40Mpps至IoOMPPs,甚至18
16、0MPPSo222系统容量由于网络规模越来越大,网络主干设备的系统容量也成为选型中的重要考核指标。建议重点考核下列两个方面:物理容量各类网络协议的端口密度,如千兆以太网、快速以太网,特别是非堵塞配置下的端口密度。逻辑容量路由表、MAC地址表、应用数据流表、访问操纵列表(ACL)大小,反映出设备支持网络规模大小的能力(先进的主干设备务必支持足够大的逻辑容量,与非堵塞配置设计下的高端口密度。)223关键部件冗余设计人们已经普遍认同处于关键部位的网络设备不应存在单点故障。为此,网络主干设备应能实现如下三方面的冗余。电源与机箱风扇冗余操纵模块冗余操纵模块冗余功能应提供对主操纵模块的“自动切换”支持。如
17、:备份操纵模块连续5次没有听到来自主操纵模块的汇报,备份模块将进行初始化并执行硬件恢复。另外,各类模块均可热插拔。交换结构冗余假如网络主干设备忽略交换结构的冗余设计,就无法达到设备冗余的完整性。因此,要充分考虑网络主干设备的可靠性,应该要求该设备支持交换结构冗余。此外,交换结构冗余功能也应具有对主交换结构“自动切换”的特性。1.1.4 缓冲技术缓冲技术在网络交换机的系统结构中使用的越来越多,也越来越复杂。任何技术的使用都有着两面性,如过大的缓冲空间会影响正常通信状态下,数据包的转发速度(由于过大的缓冲空间需要相对多一点的寻址时间),并增加设备的成本。而过小的缓冲空间在发生拥塞时又容易丢包出错。
18、因此,适当的缓冲空间加上先进的缓冲调度算法是解决缓冲问题的合理方式。关于网络主干设备,需要注意几点:每端口是否享有独立的缓冲空间,而且该缓冲空间的工作状态不可能影响其它端口缓冲的状态。模块或者端口是否设计有独立的输入缓冲、独立的输出缓冲,或者是输入/输出缓冲。是否具有一系列的缓冲管理调度算法,如RED、WRED.RR/FQ、WERRWEFQo1.1.5 系统结构的技术寿命所选择的网络主干设备,其系统结构应能满足用户的功能需求,并具有足够长的技术生命周期。换言之,要避免通过硬件补丁的办法(不断增加新的硬件单元对系统结构中存在的不足进行补偿,或者完全更换新设备的方式),才能满足用户1至2年内不断增
19、长的功能需求。业界有很多设备的系统结构是第2层交换的设计概念,需要通过增加第3层的硬件模块才能实现第3层或者第3/4层交换的功能,而且第3/4层数据包的转发能力远低于第2层交换的转发能力。另外,短期内还可能出现用新产品来替代原有产品的情况,这对用户的投资保护十分不利。2.3 选型结论基于上述考虑,我们为XX市宽带IP网骨干节点了提供业界最先进的FOUNDRYBiglon8000系列交换机。8000使用的三层交换技术基于特殊的交换方式设计,每个模块都能够进行分布式路由与交换,没有其他厂家所必需的超级引擎或者CPU处理模块,每个接口模块都使用共享内存设计,有利于广播与组播性能的提高,同时避免了线头
20、堵塞,提供模块上的本地交换能力,每个模块的吞吐率为32Gbps,是真正的无堵塞设计。8000的背板使用256Gbps交叉矩阵,连接每个模块,能够实现真正的全线速第二层与第三层交换。每个模块能够热插拔,电源能够最多配置四个,所有的交换与路由功能通过ASIC芯片完成,交换能力达96Mppso8000的系统设计技术已经在业界得到了无数大奖,在实验室与实际应用环境中得到了充分的考验,被证明是成熟稳固而先进的。边缘节点的设备选型有两种方案,即FOUNDRYBiglron4000或者FastlronIl交换机。Biglron4000具有128Gbps的交换背板与48Mpps的第三层交换能力。系统设计与80
21、00完全一样。FastlronIl具有32Gbps的交换能力,吞吐量为23MPPs。关于接入层节点的楼域交换机,我们建议使用FOUNDRYFastlron工作组交换机。FaStlron具有4.2G的交换容量。每个端口具有2个优先级队列,每一个都是相互独立配置并由交换矩阵提供服务,这样能够防止低优先级数据的冲击而导致高优先级队列包的延迟或者丢失。FastIron还具备基本的第三层服务功能。2.4 XX市宽带网组网方案2.4.1 网络拓扑结构2.4.2 骨干节点为3个骨干层节点各选用一台FOUNDRYBiglron8000,每台Biglron8000配置两块冗余备分的管理模块,并配置冗余的直流电源
22、。在东城,每个管理模块上配备2个长距千兆以太网端口。在每个管理模块上各选一个千兆端口捆绑在一起,以2Gbps的速率连接西城。然后再各选一个千兆端口进行捆绑,连接广饶。每个管理模块上还有4个100oBaSeLX端口,能够用于连接距离较近的边缘节点,如胜利模块局。另外还配置了一块24口100BaseTx模块与一块IoBaSeFX模块用于连接本地用户。在广饶,每个管理模块上配备3个长距千兆以太网端口。在每个管理模块上各选一个千兆端口捆绑在一起,以2Gbps的速率连接东城。然后再各选一个千兆端口进行捆绑,连接西城。由于大王模块局距离较远,也需要通过长距千兆端口进行连接。每个管理模块上还有4个100OB
23、aSeLX端口,能够用于连接距离较近的边缘节点。另外还配置了一块24WOBaseTx模块模块与一块10BaseFx模块用于连接本地用户。在西城,每个管理模块上配备3个长距千兆以太网端口。在每个管理模块上各选一个千兆端口捆绑在一起,以2Gbps的速率连接东城。然后再各选一个千兆端口进行捆绑,连接广饶。由于河口模块局距离较远,也需要通过长距千兆端口进行连接。每个管理模块上还有4个100oBaSeLX端口,能够用于连接距离较近的边缘节点,包含民营园、黄河口、长安集团、钻井与辛店。另外还配置了一块24WOBaseTx模块与一块2410OBaseFx模块用于本地连接。在Biglron8000上还能够根据
24、需要配置ATM模块与POS模块。2.4.3 边缘节点在每个边缘节点,选用FOUNDRYBiglron4000oBiglron4000配置一个管理模块,并配置冗余的直流电源。在大王模块局、孤岛、仙河,配置一块24IOoBaSeTX与一块24IoOBaSeFX模块,用于用户接入。在管理模块上配置一个长距千兆以太网端口,用于节点之间的互连。河口模块局的Biglron4000管理模块上配置了3个长距千兆以太网端口,用于连接西城、孤岛与仙河。配置一块2410OBaseTx与一块2410OBaseFx模块,用于用户接入。关于胜利、民营园、黄河口、长安集团、钻井与辛店,在管理模块上配置2个10OOBaseL
25、x端口,用于连接网络核心的Biglron8000交换机。配置一块24IOoBaSeTX与一块24IoOBaSeFX模块,用于用户接入2.4.4 接入层节点在接入层节点,楼域交换机使用了Fastlron工作组交换机,有24个10/100M自习惯接口,并配备了2口100BaSeFX上行接口,连接到网络边缘节点。2.4.5 用户接入家庭用户通过楼内的双绞线,以10/100M速率连接到楼域交换机上。企业用户需要高速连接时,能够把企业自己的交换机通过光纤直接连接到最近的边缘节点。关于DDN.ADSL等其他接入方式,其局端汇聚设备能够使用10/100/1OOM端口连接到宽带IP骨干网。2.4.6 网关设备
26、XX市宽带IP网使用私有IP地址为网络设备进行编址。在同Internet进行连接时,需要进行地址转换。地址转换看两种情形:普通用户访问Internet时,对用户的源地址进行动态转换。向Internet提供信息服务的服务器需要保持服务器的私有地址同合法IP地址之间的静态对应关系。提供这类地址转换功能的网关设备在业界比较多,最著名的是CheckPoint公司的FireWaI-1防火墙产品。FireWaI1-1不仅提供简单的地址转换功能,还能为全网提供防火墙安全保护,与详尽的安全状况记录。为了提高网络出口处的吞吐量,避免网关设备成为数据传输的瓶颈,Foundry公司提供了4-7层交换机ServerI
27、ron对防护墙进行负载均衡处理。ServerIron最多能够支持32台防护墙同时工作。因此,XX市宽带IP网能够根据实际的网络流量,平滑地增加网络出口处的吞吐量。城域网2.5 方案特点2.5.1 全部第三层功能的主干交换网络结构所有核心层与边缘层产品都支持第二层与第三层功能。不仅能够进行VLAN的划分,还能够进行高速的路由转发。VLAN能够根据端口、子网与网络协议进行划分。支持各类常用的网络协议与路由协议。由于每个设备都支持无堵塞的第二层或者第三层交换,在交换结构中,能够达到非常好的性能。也意味着能够减少繁琐的拥塞管理与服务质量管理工作。第二层意味着能够支持域网络协议无关的链路服务,用户能够是
28、IP网络、IPX网络或者WINDOWSNT网络,用户不需要改变他们已有的网络协议与网络地址。第三层意味着能够支持以IP为要紧协议的网络应用,特别是需要与其他地域互连时,由于网络链路的复杂性与多样性,要进行网络互连,务必使用高层网络协议。第二层服务能够为本地的企业用户服务。第三层则能够为跨地域连接时提供服务,比如与上级网络的连接,同一企业在全省范围的连接等。252完善的接入安全性由于每个设备都能够支持第二层与第三层交换,因此能够提供第二层与第三层的安全操纵能力。第二层安全操纵能力能够提供端口地址过滤、端口地址锁定等功能。端口地址过滤同意交换机根据预先设定的过滤规则,同意或者禁止某些第二层数据包进
29、出交换机,也就是对上网用户的网卡MAC地址进行检查后才能上网,不符合规则的用户将被拒绝上网。第三层安全操纵能力能够提供访问操纵列表能力,同意交换机根据预先设定的规则,同意或者者禁止某些第三层数据(IP或者IPX包)进出交换机。2.5.3 与业务有关的网络设计网络骨干是业务最集中的地方或者是数据转发的枢纽地,为此,网络设计需要保证骨干的可靠性。网络骨干节点之间使用环形拓扑,两节点之间的光路出现故障时,不可能影响节点间的通讯。此外,由于使用了跨模块的TROUNKGROUP技术,单个端口或者模块的故障不可能影响节点间通讯。冗余备份的管理模块保证了骨干交换机的不间断运行。边缘节点与骨干节点之间的连接同
30、样使用TROUNKGROUP技术,不管出现光路、端口还是模块故障,都不可能造成通讯中断。上述网络核心在IP路由设计中,也有很大的好处。OSPF作为本网的首选路由协议,需要一个AREA0作为核心区域,所与其他的区域需要与核心区域有物理的联系,否则就要用到虚拟连接的技术,虚拟连接关于其中的传输驿站有比较大的性能压力,关于路由的分配与操纵管理都非常不方便。假如选择上述网络核心作为OPSF的核心区域AREA0,把边缘层作为一个个独立的区域,则它们都是直接连接到AREAO上的,不需要使用虚拟连接,整个路由域只有2层,显得比较有层次,软件配置与将来可能的扩充都会比较容易。用户的接入宽带IP网时,务必使用静
31、态路由,保证用户内部网与城域网相对隔离与独立。用户的路由设备不可能参与城域网的路由计算,避免由于用户设备的原因导致全网路由波动频繁,影响路由性能。2.5.4 良好的网络隔离能力企业用户比较关心的问题是网络的安全性问题,他们不希望内部数具有被窃取的可能,这就使得网络务必提供类似电路的隔离功能。在城域网的建设中,使用的比较多的是VLAN技术,即虚拟局域网技术。在VLAN技术出现往常,以太网交换技术属于网络的第二层,所有的端口都属于同一个广播域,也就是每个端口都能够收到广播信息,不管它愿不愿意。在大型的网络环境中,广播包不可避免地会引起带宽的浪费,而在TCP/IP,IPX,WINDOWS环境下,广播
32、包的使用更是不可或者缺。为熟悉决这个问题,VLAN技术应运而生。VLAN把一部分端口模拟成为一个虚拟的广播域,VLAN的所有广播都只会在本域内发送,不可能超出广播域,进一步,VLAN内的所有数据都只能被同一VLAN的成员接收,而不可能被非本VLAN成员接收。不一致的VLAN之间不能相互通信,务必通过路由设备进行转发。假如把每个企业用户划到每个不一致的VLAN内,企业用户之间就不可能相互通信,这就实现了逻辑隔离。企业用户只通过某台设备上的一个特定端访问网络,因此每个企业用户连接到网络的路径都是独立的,相互之间没有任何关系。与第二层的VLAN技术相类似的还有第三层的VPN虚拟专用网技术。VPN适合
33、于在类似于因特网这样的公网上传输私有数据。通过隧道技术与数据加密技术,用户能够操纵自己的数据安全。加密手段能够在用户的路由设备上实现,也能够在专门的设备上实现。隧道技术能够在用户的路由设备上实现。由于XX市城域网属于宽带IP网,完全能够支持VPN功能。我们建议VPN功能由用户自行实现,或者者租用XX电信的设备,但目前网络上尚未配置。2.5.5 完善的设备安全性FOUNDRY的设备具有良好的安全性:多重访问操纵。FoUNDRY产品具有多冲击别的访问操纵,同意系统管理员完成配置管理,同时保护系统面授非法的配置修改。用户分为三种级别:超级用户、只读用户、普通用户。超级用户具有最大权限,普通用户只能配
34、置接口参数,并使用显示参数命令。只读用户只能阅读配置,没有任何更换权利。 通过访问操纵列表,能够禁止或者同意对FOUNDRY设备的远程管理。 本地用户或者RADIUS.TACACS+令认证。 通过身份验证,能够禁止或者同意TELNET访问,必要时,能够关闭TELNET服务。 通过SYSLOG功能,把系统事件纪录并储存下来。2.5.6 良好的网络稳固性网络的稳固性表达在当网络发生链路或者设备失效时,网络能在短时间内恢复正常。关于一个运行级网络来说,稳固性与性能一样重要。设备稳固性除设备的性能指标外,要紧指设备的平均无故障时间(MBTF)0本方案涉及的设备MBTF如下:MTBFforFastlro
35、n:单电源-43,400小时MTBFforBiglron4000:机箱加单电源-36,500J时MTBFforBiglron8000:机箱加4个电源-32,400小时链路稳固性表达在两个层次:第二层稳固性与网络层稳固性。第二层稳固性表示物理链路的收敛时间。FoUNDRY产品在运行第二层交换功能时,使用最小生成树算法来保持每个VLANo通常的最小生成树算法需要至少30秒时间进行生成树的收敛(15秒侦听,15秒学习),而FOUNDRY独有的IRoNSPAN技术能够在4秒内实现生成树。FOUNDRY的第二层功能缺省打开了IRONSPAN功能。第三层稳固性表达在路由的收敛时间。本网络使用C)SPF标准
36、协议,能够在30秒内实现全网路由收敛。实际上,OSPF在监测到路由波动时,缺省只需等5秒钟再进行路由计算,计算工作在5秒内即可完成,因此基本上是在10秒以内完成路由收敛。如有必要,还能够调整时间。2.5.7 良好的网络扩展性本方案使用的Biglron4000与Biglron8000都是机架式设备,目前只用了部分插槽,剩余未用的插槽可供今后网络扩展之用。Fastlron工作组交换机能够堆叠,并能够使用TRUNK技术把多条物理链路当作1条逻辑链路使用,根据业务的进展能够相应地增加端口或者升级上行链路。258良好的可管理性所有FOUNDRY产品都支持三种网络管理方式:命令行、WEB与IRONVlEW
37、网管软件。FoUNDRY的命令行与CISCO的命令行非常类似,都是简单易用,并有帮助功能,能够进行所有的配置工作。WEB浏览器管理则使用图形界面,直观而简洁。IRe)NVlEW网管软件能够单独运行在WINDOWSNT平台上,也能够与HPOPENVIEW,SUNNETMANAGER配套彳吏用。FOUNDRY产品支持标准的网路管理协议:简单网络管理协议(SNMP)与远程监控协议(RMe(N)。通过SNMP,网管人员能够远程进行设备状态纪录,设备保护,设备告警,设备启动等操作,实现全面管理。RMON能够全面记录每个端口的流量情况,如输入输出的字节数、数据包数。以此为基础,能够实现基于流量的统计与计费
38、。2.5.9 服务质量保证IronCIad服务质量是优先级的延伸,能够提供更好的灵活性与流量操纵能力。使用FoUNDRYlroneIadQoS,能够配置四种服务质量队列:O-尽力传递,1-低优先级,2-高优先级,3最高优先级。能够对数据包进行分类,分类后分配到对应的队列。分类的方法有: 输入端口IP源与目的地址 第四层源与目的信息静态MAC内容 APPIeTaIk端口号基于VLAN802.1pq标记IPTOS映射可选的队列模式IronCIadQoS同意选择下列队列模式之一: 限制-高级别队列优于低级别队列 可调的加权平均队列一加权平均队列将被用来进行在四个队列间轮番提供服务。 承诺的带宽(CA
39、R)-在满负荷情况下,提供已承诺的带宽。可配置的带宽比例关于加权平均队列,能够指定每个队列可接收的最小带宽使用比例。第3章业务描述3.1 用户接入InternetXX市宽带IP网建成之后,能够实现10Mbps以太网到户,住宅用户不但能够访问XX市宽带网上的网站,还能够访问Internet。用户之间还能够共享文件与资源,或者者联网玩游戏,充分享受在信息高速公路上遨游的乐趣。用户接入通过楼内的单元交换机FastIrono单元交换机再通过IoOMbPS以太网汇接到最近的接入节点。接入节点的网络设备是BiglrOn4000交换机。为了实现用户隔离,使用一户一个VLAN的方式。每个VLAN从单元交换机F
40、aStlrOn上的用户接入端口开始,终止在接入节点的Biglron4000上。FastIron交换机的上联端口同Birlron4000上的100M端口都运行802.1Q协议。这样,在BigIrOn4000的一个100M端口上,能够终结楼内所有用户的VLAN。如下图所示。VLAN VLANVIAN VLAN在BiglrOn4000的IooM端口上,为每一个VLAN建立一个虚拟的逻辑子接口(称之VirtilalEthernet接口,简称VE),用于完成IP路由功能。在通常情况下,每个VLAN上的VE接口与用户的联网设备需要占用一个IP子网,用户的缺省网关指向VE上的IP地址。为了节约网络地址空间,
41、简化网络设备配置,BigIrOn4000支持多个VE接口使用同一个IP地址,而所有的楼内用户都位于同一个IP子网内。如下图所示。如今,这些用户由于分处不一致的VLAN而实现了物理隔离,同时又保留了IP层的互通性。VLANlVlANVlaANNI.U41.14JIXU为了进一步减少使用的VLAN数量与配置的工作量,并节约IP地址,FOUNDRY在Biglron与Fastlron上实现了一个特殊的功能,称之上联交换端口(UPlinkSwitchPort,检查USP)O参见下图:所有连接在Fastlron上的用户都属于同一个VLAN与同一个IP子网。为了实现用户间的相互隔绝,将Fastlron的上联
42、端口(在本方案中,即两个IooBaSeFX端口)的USP功能打开。这时,来自一个用户的广播数据包与未知单址数据包都只送网上联端口,而不可能分发到其他端口上面。用户尽管属于同一VLAN与IP子网,但不能直接进行通讯。使用USP技术时,能够大大减少所需VLAN的数量。比如,能够把同一幢楼内的用户都划入同一个VLAN。同时还减少了所需IP子网的数目,减少了网络配置的工作量。通过使用DHCP技术,住宅用户能够自动获得IP地址、缺省网关地址,简化用户设备的配置。FoUNDY交换机支持DHCPAssistant技术,能够根据用户所在的不一致VLAN,通知DHCP服务器为用户分配相应的IP子网地址。3.2
43、用户局域网高速互连XX宽带IP网能够为企业用户提供局域网互连业务,实现企业中心机构同分支机构之间的连接。同企业租用专线相比,费用更低,速率更高,同时能够保留企业用户的原有网络结构与IP地址规划不变。3.2.1 企业用户VLAN组网企业用户能够通过VLAN互连。VLAN工作在OSl网络参考模型的第二层,不一致VLAN之间的数据彼此完全隔离,从而保证了用户数据的安全性。使用VLAN技术进行网络互联为企业组网提供了极大的灵活性。企业能够自行选择网络协议,自行规划使用网络地址,无需网络运行商的协助,从而也减少了网管中心对网络的保护与配置工作量。FOUNDRY公司的网络产品支持集成交换路由(Integr
44、atedSwitchRouting)0在同一端口上能够支持多人VLAN,每个VLAN能够根据实际需要,或者者以路由方式工作,或者者以交换方式工作。这样,在一个要紧以路由方式进行工作的宽带城域网上,能够灵活的为企业用户建立起单独的VLAN,提供透明局域网服务。以金融证券行业用户用户为例。这些用户目前基本上都已经购买了路由器,通过DDN、帧中继线路进行了互连。改用宽带IP网进行互联时,用户能够申请一个VLAN,并将现有的路由器接入此VLAN,就能够实现互连。用户可能需要修改路由器上接入VLAN的那个以太网端口的IP地址,由于如今所有路由器连接VLAN的端口都在同一个IP子网内。只是路由器后面用户内
45、部设备的IP地址都不用改变。参见下图。由于路由器不转发广播包,因此进入宽带IP网的数据流都是有用的,这样就合理利用了带宽资源,如今路由器之间的保护数据为路由协议信息与VLAN信息。由于传统路由器的数据包转发性能较低,用户能够使用高性能的第三层交换机来取代路由器,进行高速网络互联。假如企业的网络规模不大,也能够直接将各分支机构内的第二层交换机或者Hub同城域网直接相连。但这种方法存在潜在的隐患,用户有可能有意无意地在VLAN上引发广播风暴。为此需要在VLAN上运行SpanningTree算法来检测与防止环路,同时在同用户连接的交换机端口上对广播包的速率进行限制。用户所在VLAN同城域网其他部分是
46、完全隔离的,用户连接在VLAN上的设备的IP地址也是由用户自行规划与使用的。假如用户需要访问城域网或者Internet上的资源,首先需要向XX电信申请能够访问城域网IP服务的网络端口(比如,使用前一节所述的用户Internet接入端口),并申请在城域网的IP地址空间内的IP地址。然后由支持NAT的网关设备将用户数据包内的企业内部地址转换成城域网地址,实现对城域网内网站资源的访问;并进一步经由城域网的Internet丽关,tlInternet的资源。3.2.2 企业用户IPVPN组网企业用户也能够使用IPVPN的方式进行局域网互连。用户在各个分支机构放置VPN网关设备。该设备使用前面所述的用户访
47、问Internet的方式接入城域网,每台网关设备都被分配一个城域网IP地址空间内的IP地址。从城域网的角度看来,每台网关设备同住宅用户家里的PC机没有什么区别。网关设备之间通过IP隧道协议,将用户网内的IP数据包封装在城域网的IP数据包内送往城域网,由城域网对这些数据包进行通常的转发。从网关设备的角度看来,相互之间形成了一条点到点的虚拟通道。网关设备使用IPSEC协议对用户数据包进行加密,放置数据被城域网上其他用户窃取或者篡改。IPVPN由企业用户在网络的边缘发起,自行构建加密隧道,自己掌握加密口令。3.3 用户建立网站及其访问操纵假如未做特别的限定,每个申请了Internet接入服务的用户都能够在自己的计算机上建立网站,供其他城域网用户访问。关于个人用户,这是非常方便灵活的一项服务,用户能够自由建立自己的Web网站、FTP服务器、BBS服务器,运行CGl程序等,促进XX城域网上网络资源的极大丰富。关于比较关心网络安全性的用户,XX电信能够在其接入端口上设置ACL,防止对网站服务器的非法访问。假如网站需要被Irlternet上的用户浏览,XX电信需要在连接Internet的网关设备上,将该网站的城域网IP地址静态地映射为一个合法的IP地址。为了保证网络安全,网关设备通常还需要对该网站进行防火墙检查。3.4 用户隔离与基本认证所有申请Internet接入的用户都位于单独
