畢業(yè)設計---某大廈網(wǎng)絡的規(guī)劃和實現(xiàn)

1、<p><b>　　畢業(yè)設計（論文）</b></p><p>　　題目： 火炬大廈網(wǎng)絡的規(guī)劃</p><p><b>　　和實現(xiàn)</b></p><p>　　系別： 信息工程系</p><p>　　專業(yè)： 計算機網(wǎng)絡技術</p><p>

2、　　班級： 計網(wǎng)0832</p><p>　　畢業(yè)設計（論文）任務書</p><p><b>　　摘要</b></p><p>　　自從火炬大廈決定建設科研計算機網(wǎng)絡(CERNET)以來,國內(nèi)各大網(wǎng)絡公司紛紛著手建設企業(yè)網(wǎng)。作為火炬大廈網(wǎng)絡建設系統(tǒng)，它面向淄博各個部門、行政管理部門、CERNET、INTERNET?；鹁娲髲B需要的是

3、一個適用的同時可滿足未來技術發(fā)展需求的多媒體廣域網(wǎng)絡系統(tǒng)環(huán)境。故在考慮整個系統(tǒng)建設時，應尋求：</p><p>　　相互協(xié)作能力：即可提供跨國或跨地域解決方案能力。</p><p>　　全面解決方案：即可提供滿足一線工作人員及行政人員需求的全套解決方案能力。</p><p>　　靈活，簡單：即不管大小，可以同樣的可靠性及靈活性支持整個企業(yè)網(wǎng)系統(tǒng)軟硬件的能力。<

4、/p><p>　　投資保障：即系統(tǒng)可隨時增加軟硬件來滿足貴公司目前應用需求變化，及科技發(fā)展。不必為適應新需求而重復投資。</p><p>　　適應性：即系統(tǒng)可快速適用于技術革新或社會需求改變的能力。</p><p>　　可靠而易于維護：即系統(tǒng)可持續(xù)運作的能力和在影響系統(tǒng)運轉前即可預先找出問題的所在。</p><p>　　火炬大廈網(wǎng)絡支持的是一個不

5、斷多元化的網(wǎng)絡應用系統(tǒng)設備組合，用以支持其日常運作和實現(xiàn)其長遠目標。系統(tǒng)設備、管理者及使用者之間的聯(lián)系必須是親密無間的，自覺而透明的，從而具備較強的擴展性。豐富的經(jīng)驗與專業(yè)知識，將與火炬大廈一道，為今天和進入下一世紀信息時代所具備的企業(yè)網(wǎng)絡需求，共同設計建成一個多媒體企業(yè)網(wǎng)絡工作系統(tǒng)打下堅實的基礎。</p><p>　　我們提出的是最先進的技術、最專業(yè)的服務使其滿足現(xiàn)在及將來需要的多媒體網(wǎng)絡通訊技術。有明確的網(wǎng)絡

6、目的和網(wǎng)絡拓撲圖，增加了擴展的網(wǎng)絡空間。采用最近的網(wǎng)絡技術，保證硬件的良好兼容性。</p><p>　　關鍵字：企業(yè)局域網(wǎng)網(wǎng)絡管理系統(tǒng)網(wǎng)絡設計H3C網(wǎng)絡安全</p><p><b>　　目錄</b></p><p><b>　　1引言- 5 -</b></p><p>　　2局域網(wǎng)設計目標和與原則

7、- 6 -</p><p>　　2.1火炬大廈局域網(wǎng)的設計目的：- 6 -</p><p>　　2.2火炬大廈局域網(wǎng)的設計原則：- 6 -</p><p>　　3網(wǎng)絡系統(tǒng)設計及報價- 7 -</p><p>　　3.1 系統(tǒng)設計- 7 -</p><p>　　3.2 1000M千兆以太網(wǎng)- 7 -</

8、p><p>　　3.3主干網(wǎng)絡的選擇- 8 -</p><p>　　3.4 網(wǎng)絡系統(tǒng)產(chǎn)品的選擇- 9 -</p><p>　　3.5方案描述- 9 -</p><p>　　3.6無線接入方案- 11 -</p><p>　　3.7有線無線一體化的網(wǎng)管系統(tǒng)- 13 -</p><p>　　3

9、.8網(wǎng)絡流量分析系統(tǒng)（NTA）- 13 -</p><p>　　4網(wǎng)絡級可靠性設計- 17 -</p><p>　　4.1網(wǎng)絡可靠性設計- 17 -</p><p>　　4.2設備級可靠性設計- 17 -</p><p>　　4.3雙星型的網(wǎng)絡拓撲- 18 -</p><p>　　4.4適當采用鏈路捆綁技術

10、- 18 -</p><p>　　4.5采用VRRP技術- 18 -</p><p>　　4.6系統(tǒng)安全性的實現(xiàn)- 19 -</p><p>　　4.7網(wǎng)絡可靠管理的實現(xiàn)- 19 -</p><p>　　5相關產(chǎn)品簡介- 19 -</p><p>　　5.1 Catalyst5500核心交換機- 19 -&l

11、t;/p><p>　　5.2 建立內(nèi)部網(wǎng)基礎設施- 19 -</p><p>　　5.3 提供成套的綜合內(nèi)部網(wǎng)服務- 20 -</p><p>　　5.4 CiscoWorks網(wǎng)管軟件- 22 -</p><p>　　5.5 在CiscoWorks中的一些應用：- 23 -</p><p>　　6用戶綜合接入管理解

12、決方案- 23 -</p><p>　　6.1系統(tǒng)總體結構- 23 -</p><p>　　6.2系統(tǒng)功能- 23 -</p><p>　　6.3用戶管理- 24 -</p><p>　　6.4系統(tǒng)管理- 24 -</p><p>　　6.5安全管理- 25 -</p><p>　　

13、6.6用戶數(shù)據(jù)查詢與導出- 25 -</p><p>　　6.7最終用戶自助- 25 -</p><p>　　7安全狀態(tài)評估- 26 -</p><p>　　7.1軟件檢測- 26 -</p><p>　　7.2用戶權限管理- 26 -</p><p>　　7.3用戶行為監(jiān)控- 26 -</p>

14、<p>　　7.4網(wǎng)絡流量分析系統(tǒng)- 27 -</p><p>　　7.5傳統(tǒng)網(wǎng)管的局限性- 27 -</p><p>　　8 LAN接入業(yè)務組件提供的功能- 27 -</p><p>　　8.1認證功能- 27 -</p><p>　　8.2授權功能- 28 -</p><p>　　8.3業(yè)務

15、管理- 28 -</p><p>　　8.4系統(tǒng)功能- 28 -</p><p>　　8.5協(xié)議支持- 29 -</p><p>　　8.6認證功能- 29 -</p><p>　　8.7業(yè)務管理- 29 -</p><p>　　9功能系統(tǒng)- 29 -</p><p>　　9.1LD

16、AP業(yè)務組件提供的功能- 29 -</p><p>　　9.2LDAP服務器的管理功能- 29 -</p><p>　　9.3LDAP用戶導出功能- 30 -</p><p>　　9.4LDAP用戶管理功能- 30 -</p><p>　　9.5DHCP業(yè)務組件提供的功能- 30 -</p><p>　　9.

17、6地址池管理功能- 30 -</p><p>　　9.7地址分配查詢功能- 30 -</p><p>　　9.8地址池統(tǒng)計功能- 30 -</p><p>　　9.9支持自動升級功能：- 30 -</p><p>　　10網(wǎng)絡管理方案- 31 -</p><p>　　10.1網(wǎng)絡管理需求- 31 -<

18、/p><p>　　10.2業(yè)務流程（BusinessProcess）- 31 -</p><p>　　10.3用戶、資源和業(yè)務的融合管理- 31 -</p><p>　　10.4基于SOA的開放架構- 31 -</p><p>　　10.5網(wǎng)絡管理系統(tǒng)的功能- 32 -</p><p><b>　　總結

19、- 33 -</b></p><p><b>　　致謝- 34 -</b></p><p>　　參考文獻- 35 -</p><p><b>　　1引言</b></p><p>　　在信息化社會，尤其是中國加入世貿(mào)組織，要在強手如林的市場占據(jù)一席之地并能有所發(fā)展，就必須提升企業(yè)自身的

20、競爭力和抗風險能力，而擺在面前的惟一出路就是順應潮流，加強企業(yè)內(nèi)部的信息化建設，建設可靠的企業(yè)園區(qū)網(wǎng)絡。通過企業(yè)網(wǎng)絡建設實現(xiàn)計算機網(wǎng)絡之間的安全、高速相互訪問，為企業(yè)實現(xiàn)辦公自動化和運行基于電腦計算機網(wǎng)絡的應用信息管理系統(tǒng)提供良好的硬件平臺，從而達到充分利用各種計算機信息技術使企業(yè)的辦公、管理逐步實現(xiàn)計算機網(wǎng)絡化、信息化、現(xiàn)代化的目的。</p><p>　　企業(yè)信息化的目的在于提高企業(yè)的業(yè)績。從根本上說，這決定于

21、企業(yè)的素質。另一方面，企業(yè)的素質好壞會通過企業(yè)的業(yè)績表現(xiàn)出來。這兩者互相聯(lián)系互為表里。在不同的時代兩者之間有著不同的內(nèi)容。如今我們已經(jīng)步入了信息時代，企業(yè)的素質更多地是看信息和知識的運用程度、創(chuàng)新能力、無形資產(chǎn)的價值、供貨速度、服務質量以及用戶滿意程度等等。企業(yè)的業(yè)績除了利潤以外，還要看市場占有份額、對社會的貢獻與積極影響等等。如果企業(yè)素質與企業(yè)業(yè)績得不到提升，企業(yè)信息化就失去了意義。</p><p>　　企業(yè)信

22、息化的關鍵因素在于兩個方面，一是企業(yè)業(yè)務信息化，二是企業(yè)管理信息化。企業(yè)管理服務于企業(yè)業(yè)務，企業(yè)業(yè)務的進展則取決于企業(yè)管理的好壞?，F(xiàn)代企業(yè)穿梭在海量的信息當中，沒有一個好信息系統(tǒng)作為指引的話，就會徘徊于這些信息，最終淹沒在這些信息中。如果企業(yè)能夠引入創(chuàng)新的知識，將其運用于整個企業(yè)的運作之中，滿足未來競爭需要。這就成為企業(yè)的核心競爭力。在所有的企業(yè)都引入信息系統(tǒng)之后，這種知識創(chuàng)新的因素仍然存在，所以我們要組建完善的信息化局域網(wǎng)絡來實現(xiàn)企業(yè)

23、局域網(wǎng)的管理系統(tǒng)。</p><p>　　因此本課程設計課題將主要以企業(yè)局域網(wǎng)絡建設過程可能用到的各種技術及實施方案為設計方向，為企業(yè)局域網(wǎng)網(wǎng)的建設提供理論依據(jù)和實踐指導。</p><p>　　企業(yè)的網(wǎng)絡化建設必然會對企業(yè)的信息化建設起到巨大的推動作用，同時提供簡單、有效、便捷的理想辦公、工作環(huán)境。企業(yè)網(wǎng)一方面縮短了企業(yè)與外界的距離；另一方面，構建了以Intranet為基礎的管理信息系統(tǒng)，推

24、動了企業(yè)的信息化建設。</p><p>　　隨著Internet不斷的普及愈來越多的企業(yè)已經(jīng)通過各種方式把自己的企業(yè)接入到Internet,方法有很多。但是一個不正的事實是很多企業(yè)還是利用自己公司的內(nèi)部局域網(wǎng)拉入Internet，所以我們必須要和局域網(wǎng)有個親密接觸。</p><p>　　2局域網(wǎng)設計目標和與原則</p><p>　　2.1火炬大廈局域網(wǎng)的設計目的：&

25、lt;/p><p>　　構建大型辦公局域網(wǎng)的總體目標是利用先進的計算機技術和網(wǎng)絡通信技術，建設高質、高效率、統(tǒng)一的辦公網(wǎng)絡。其具體目標如下：一是使系統(tǒng)互通互聯(lián)，最大限度地實現(xiàn)信息資源共享；二是改變傳統(tǒng)的工作方式，用電子信息的傳遞取代紙面文件、材料的傳送，逐步實現(xiàn)“無紙辦公”，進一步提高工作效率；三是利用各種業(yè)務信息的綜合分析，為企事單位的發(fā)展提供決策支持，更好地組織生產(chǎn)和經(jīng)營。構建大型辦公局域網(wǎng)主要遵循以下原則：其一

26、，在企事業(yè)領導小組的領導下，建立統(tǒng)一的規(guī)章制度，進行統(tǒng)一的管理，采用統(tǒng)一的標準；其二，所有軟、硬件產(chǎn)品的選擇都必須堅持標準化的原則，采用全路統(tǒng)一的軟、硬件平臺和基本應用軟件，進行統(tǒng)一的軟件版本升級管理；其三，局域網(wǎng)應具有良好的安性與保密性；其四，做到資源共享與保護，充分合理地利用現(xiàn)有資源，最大限度地與原有系統(tǒng)或在建系統(tǒng)互通互聯(lián)，在盡可能利用已有投資的基礎上，解決好經(jīng)費的補充和配套資金到位問題。</p><p>　

27、　2.2火炬大廈局域網(wǎng)的設計原則：</p><p><b>　　1.高性能</b></p><p>　　1）隨著IP電話、視頻會議、網(wǎng)上業(yè)務、OA辦公系統(tǒng)、電子郵件等系統(tǒng)的應用，該網(wǎng)絡需要承載各種信息流，將對火炬大廈局域網(wǎng)帶寬提出較高的要求。高速網(wǎng)絡是火炬大廈局域網(wǎng)發(fā)展的必然方向，網(wǎng)絡應該運用當今最先進的技術，并且應該滿足今后若干年的性能需求，因此我們要使用千兆網(wǎng)來滿

28、足火炬大廈的帶寬需求。</p><p>　　2）局域網(wǎng)以千兆為核心技術，支持萬兆交換已成為組網(wǎng)的基本要求，千兆骨干、千兆到服務器，千兆到用戶應該成為火炬大廈局域網(wǎng)網(wǎng)絡建設的基本要求。</p><p>　　3）支持多種應用：火炬大廈局域網(wǎng)是融合多種應用如數(shù)據(jù)、IP電話、視頻等的網(wǎng)絡，網(wǎng)絡在建設之初就應該考慮的對多業(yè)務的支持。</p><p>　　4）VLAN的靈活劃分

29、是非常重要的功能，它為限制全網(wǎng)范圍的廣播、減少不必要的流量提供了有效的手段。在網(wǎng)絡設計中應選擇切實可行的技術進行VLAN的靈活劃分。</p><p>　　5）對于廣域網(wǎng)來說，路由規(guī)劃及IPQoS的設計也是非常重要，需要選擇高效率的路由協(xié)議來實現(xiàn)各點的快速互聯(lián)互通，同時廣域網(wǎng)帶寬有限，如何在有限的帶寬上實現(xiàn)語音、視頻和數(shù)據(jù)的分類優(yōu)質傳輸，是網(wǎng)絡規(guī)劃應該詳細考慮的。</p><p><b

30、>　　2.高安全性</b></p><p>　　隨著火炬大廈信息化建設的不斷深入，在火炬大廈局域網(wǎng)迅速壯大并推動業(yè)務快速發(fā)展的同時，也使火炬大廈面臨著更加嚴峻的挑戰(zhàn)：網(wǎng)絡安全與網(wǎng)絡管理日益成為關系到火炬大廈業(yè)務處理的重大因素。目前常見的網(wǎng)絡安全隱患主要來自以下一些方面：</p><p>　　網(wǎng)絡級攻擊：竊聽報文，IP地址欺騙、源路由攻擊、端口掃描、拒絕服務攻擊。</

31、p><p>　　應用層攻擊：有多種形式，包括探測應用軟件的漏洞、"特洛依木馬"等；</p><p>　　系統(tǒng)級攻擊：不法分子利用操作系統(tǒng)的安全漏洞對內(nèi)部網(wǎng)構成安全威脅。</p><p>　　另外，網(wǎng)絡本身的可靠性與線路安全也是值得關注的問題。</p><p>　　所以，建成的火炬大廈局域網(wǎng)系統(tǒng)應具有良好的安全性。能夠對使用者進

32、行驗證、授權、審核，以保障系統(tǒng)的安全性。同時提供靈活的用戶接入控制策略：及分布式控制和集中式控制。</p><p><b>　　3.高可靠性</b></p><p>　　火炬大廈局域網(wǎng)系統(tǒng)承載著火炬大廈各種重要數(shù)據(jù)，整個網(wǎng)絡系統(tǒng)應具有高可靠性。除了采用高可靠性的網(wǎng)絡設備以外還應考慮鏈路層和網(wǎng)絡層的備份。</p><p>　　4.可擴展性和可升級

33、性</p><p>　　系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網(wǎng)絡中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。</p><p><b>　　5.易管理、易維護</b></p><p>　　火炬大廈局域網(wǎng)系統(tǒng)規(guī)模大，需要網(wǎng)絡系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、

34、過濾設置等功能，以便于系統(tǒng)的管理和維護。</p><p>　　3網(wǎng)絡系統(tǒng)設計及報價</p><p><b>　　3.1 系統(tǒng)設計</b></p><p>　　3.11網(wǎng)絡協(xié)議選擇</p><p>　　我們在火炬大廈企業(yè)局域網(wǎng)的設計中主要采用了以下標準：</p><p><b>　　IEE

35、E802.3</b></p><p>　　IEEE工作組為CSMA/CDLAN制定了被稱作IEEE802.3的標準，它為CSMA/CDLAN制定了如下的規(guī)范：</p><p><b>　　1.線纜</b></p><p><b>　　2.編碼</b></p><p><b>　

36、　曼切斯特編碼</b></p><p><b>　　3.介質子層控制</b></p><p>　　定義與了幀格式及載波監(jiān)聽多路訪問/碰撞訪問(CSMA/CD)控制方法。</p><p>　　3.2 1000M千兆以太網(wǎng)</p><p>　　1998年6月29日，千兆以太網(wǎng)聯(lián)盟于加利福尼亞PALOALTO正式宣

37、布了千兆以太網(wǎng)標準IEEE802.3Z。這是千兆以太網(wǎng)發(fā)展的里程碑。</p><p>　　人們對千兆以太網(wǎng)技術給予了充分的重視和信心。簡單地說，這是因為“千兆以太網(wǎng)仍然是以太網(wǎng)，只不過速度更快而已”。</p><p>　　這一點是問題的關鍵。由于“千兆以太網(wǎng)仍然是以太網(wǎng)”，因此千兆以太網(wǎng)繼承了10M、100M以太網(wǎng)的特征。由此得出了千兆以太網(wǎng)的以下優(yōu)點：</p><p&

38、gt;　　與現(xiàn)有大多數(shù)網(wǎng)絡設施的兼容性　權威統(tǒng)計表明大多數(shù)網(wǎng)絡都是以太網(wǎng)，因此千兆以太網(wǎng)與現(xiàn)有網(wǎng)絡具有天然的兼容性。千兆以太網(wǎng)在與10M、100M以太網(wǎng)通信時不存在需要損失性能的轉換操作。</p><p>　　簡便的網(wǎng)絡升級操作　千兆以太網(wǎng)由于完全與以前的10M、100M以太網(wǎng)兼容。因此，自然簡便的網(wǎng)絡升級使得千兆以太網(wǎng)可以“無縫”融入現(xiàn)存的以太網(wǎng)環(huán)境中，解決了網(wǎng)絡管理員所面臨的如何升級現(xiàn)有網(wǎng)絡，但不至于造成網(wǎng)絡

39、癱瘓的問題。用戶總是傾向簡單實用，厭惡煩瑣復雜的工作。因為升級的挑戰(zhàn)過程和額外的知識學習并不是用戶建網(wǎng)的目的。</p><p>　　技術的成熟性和穩(wěn)定性　以太網(wǎng)技術是十分成熟的技術，它所組成系統(tǒng)的可靠性已經(jīng)接近一般的電話通信系統(tǒng)（我們可以體會到，電話是不大出錯的）?！扒д滓蕴W(wǎng)仍然是以太網(wǎng)”意味著千兆以太網(wǎng)是可以信賴的技術。</p><p>　　總體開銷較低　總體性的開銷是評價網(wǎng)絡技術的重

40、要的因素?？傮w開銷不僅包括購買設備的開銷，還應包括培訓、維護和糾錯的開銷。而千兆以太網(wǎng)產(chǎn)品能提供較好的性能價格比。</p><p>　　從臺式機聯(lián)網(wǎng)的網(wǎng)卡、集線器、交換機、路由器和其它各種設備，千兆以太網(wǎng)和其它類似速率的通信技術比較價格總是低廉的。并且，由于用戶早已熟悉了以太網(wǎng)技術，以太網(wǎng)的維護和糾錯手段，因此以太網(wǎng)維護的開銷也較少。從技術本身的特征分析，千兆以太網(wǎng)的技術復雜度也較低。網(wǎng)絡管理人員不需要記憶很多術

41、語，不需要經(jīng)過復雜的額外培訓。</p><p>　　靈活的網(wǎng)絡互聯(lián)和網(wǎng)絡設計　千兆以太網(wǎng)可以支持多種交換、路由和共享式方式。所有當今的網(wǎng)絡互聯(lián)技術，包括第三、四層交換技術和千兆以太網(wǎng)都是兼容的。</p><p>　　千兆以太網(wǎng)性能很高　千兆以太網(wǎng)能以千兆線速運行。由于多數(shù)千兆以太網(wǎng)使用無沖突的交換式、全雙工的結構，應當認為此時的吞吐率將可以接近全雙工的理論上的2Gb/s的最大吞吐量。<

42、;/p><p>　　千兆以太網(wǎng)的距離　千兆以太網(wǎng)標準定義了傳輸距離的三個特定目標：最大距離為550米的多模光纖，最大距離為3千米的單模光纖，最大距離不小于25米、理想為100米的銅線。實際上CISCO公司已經(jīng)突破了這些距離定義的限制，CISCO公司的千兆以太網(wǎng)傳輸距離已經(jīng)達到城域網(wǎng)的長度，并且已經(jīng)利用長距離的千兆以太網(wǎng)的傳輸手段建設出了長達近百千米的成功城域網(wǎng)范例。這種長距離的千兆位高速傳輸?shù)慕鉀Q方案引起了人們的極大

43、興趣和關注。</p><p>　　3.3主干網(wǎng)絡的選擇</p><p>　　企業(yè)網(wǎng)絡主干采用千兆以太交換技術，各大樓內(nèi)采用以太網(wǎng)、快速以太網(wǎng)技術。</p><p>　　千兆以太網(wǎng)的技術掌握和操作相對簡單,ATM需要掌握大量的相關知識，而具備高水平網(wǎng)絡人才的中國企業(yè)目前還不多。千兆以太網(wǎng)因此而獨具優(yōu)勢。實際上對于企業(yè)網(wǎng)絡管理人員來說，他們最關心的是穩(wěn)定可靠的網(wǎng)絡運行。

44、簡單實用，避免復雜的培訓和網(wǎng)絡管理工作，應當是網(wǎng)管人員的目標。　　</p><p>　　以太網(wǎng)從很簡單的概念中得到效益：網(wǎng)絡越簡單就越有用。</p><p>　　千兆以太網(wǎng)具有價格優(yōu)勢　千兆以太網(wǎng)繼承了傳統(tǒng)以太網(wǎng)的主要技術特征，以太網(wǎng)長期研發(fā)和生產(chǎn)線經(jīng)驗使得千兆以太網(wǎng)的產(chǎn)品具有成熟性和大規(guī)模生產(chǎn)的價格優(yōu)勢。從構造層次和技術復雜性來說，千兆以太網(wǎng)也應在價格上優(yōu)于其它主干方式?？紤]到倍比于設備

45、開銷的維護管理開銷，千兆以太網(wǎng)似乎更應勝出一籌。</p><p>　　網(wǎng)絡維護和管理以太網(wǎng)在管理QoS和VLAN等功能時會變得復雜。但這也是循序漸進得學習過程。</p><p>　　技術的穩(wěn)定性　“穩(wěn)定性”指技術的成熟標準和眾多廠家對該項技術所達成的認識一致性。</p><p>　　“千兆以太網(wǎng)還是以太網(wǎng)”意味著它基本上是使用多年的成熟技術，具有很多成熟標準，擁有很

46、多不同廠家的系列兼容產(chǎn)品支持，它們之間的互操作性早已得到證實。</p><p>　　千兆以太網(wǎng)也不是完全沒有QoS能力。雖然簡單一些，但是以太網(wǎng)也能提供優(yōu)先級的控制能力。</p><p>　　在火炬大廈企業(yè)網(wǎng)絡建設中，除非有條件，有特殊需求和環(huán)境限制，一般在考慮要求較高的主干協(xié)議時恐怕千兆以太網(wǎng)應當首先考慮。故在火炬大廈企業(yè)網(wǎng)絡建設方案中，選用千兆以太網(wǎng)更為實際,也更好一些。</p&

47、gt;<p>　　3.4 網(wǎng)絡系統(tǒng)產(chǎn)品的選擇</p><p>　　火炬科技根據(jù)用戶的要求，綜合火炬大廈的網(wǎng)絡集成經(jīng)驗，為用戶選擇在網(wǎng)絡領域具有領先水平的Cisco公司的網(wǎng)絡產(chǎn)品。</p><p>　　Cisco公司是全球最大的網(wǎng)絡產(chǎn)品供應商，其產(chǎn)品在全球有超過50％以上的市場占有率，其中在全球骨干網(wǎng)上超過80％的路由器是Cisco公司提供的。Cisco公司的產(chǎn)品系列包括多協(xié)議

48、路由器，局域網(wǎng)交換機和ATM交換機，可為用戶提供全方位的網(wǎng)絡互連服務。Cisco公司同時是ATM論壇，幀中繼論壇及其他網(wǎng)絡技術的發(fā)起者和組織者之一，Cisco歷來堅持協(xié)議的標準化、技術的先進性和產(chǎn)品的互連性，這使Cisco公司始終處于網(wǎng)絡界領先地位。</p><p>　　火炬科技考慮到上述因素，因此在火炬大廈企業(yè)網(wǎng)絡建設方案中，推薦Cisco產(chǎn)品。</p><p><b>　　3

49、.5方案描述</b></p><p>　　火炬大廈計算機網(wǎng)絡包括火炬大廈內(nèi)網(wǎng)和外網(wǎng)2個部分，2個網(wǎng)絡物理隔離。本次采用模塊化、層次化的設計思想，火炬大廈專網(wǎng)對可靠性要求更高，因此采用雙星形的拓撲結構，互聯(lián)網(wǎng)則采用單星形的拓撲結構，將整個計算機網(wǎng)絡分為：核心層、匯聚層、接入層和服務器區(qū)3個部分，如圖3.51和圖3.52所示：</p><p>　　圖3.51火炬大廈內(nèi)網(wǎng)拓撲圖<

50、;/p><p>　　圖3.52火炬大廈外網(wǎng)拓撲圖</p><p><b>　　3.51核心層</b></p><p>　　作為整個局域網(wǎng)數(shù)據(jù)交換的中心，核心交換機將承擔整個網(wǎng)絡的數(shù)據(jù)轉發(fā)功能，這就要求核心交換機具有較高的性能和可靠性。</p><p>　　核心設備建議采用H3C的S9500系列高端萬兆路由交換機。</p

51、><p>　　火炬大廈內(nèi)網(wǎng)采用雙核心結構，選用12個業(yè)務插槽的S9512，2臺交換機之間采用1000M雙絞線連接，2臺核心交換機可以運行在主備模式或者負載分擔模式。</p><p>　　火炬大廈互聯(lián)網(wǎng)則采用單核心結構，考慮到擴展性，選用12個業(yè)務插槽的S9512，配置雙處理引擎，核心交換機與匯聚層交換機之間通過1000M多模光纖連接。</p><p>　　在內(nèi)網(wǎng)核心層交

52、換機上配置高性能的流量分析業(yè)務板卡，可以對流經(jīng)核心交換機的流量進行收集并聚合，配合Xlog分析軟件可以對基于應用層信息對流量進行分析，形成報表，以便網(wǎng)管人員對整個網(wǎng)絡進行可視化管理，詳細設計請見流量分析章節(jié)。</p><p><b>　　3.52匯聚層</b></p><p>　　考慮到火炬大廈樓層的分布，在內(nèi)外網(wǎng)分別部署6臺12臺匯聚交換機。匯聚層的作用主要有3個方

53、面：第一，將數(shù)量眾多的接入層設備匯接起來，可以按照電井位置或部門位置萊進行匯接，方便布線；第二，作為本區(qū)域終端的VLAN終結點，將部分本地流量控制在匯聚交換機上，減輕核心交換機的流量壓力；第三，匯聚交換機與核心交換機之間采用三層連接，可以在匯聚交換機上設置本區(qū)域的路由及訪問控制策略，便于管理。</p><p>　　在匯聚層建議采用H3C的S7506R多業(yè)務路由交換機，通過配置相應的千兆接口連接核心交換機和接入交換

54、機，S7506R本身具備萬兆升級能力，支持雙引擎。</p><p><b>　　3.53接入層</b></p><p>　　接入層分為2個部分，一部分為樓層普通PC終端的接入，接入交換機選用H3C的S3600SI系列，采用100M到桌面，上行1000M光纖連接核心交換機。</p><p>　　S3600SI交換機提供高密度的24或48個10/1

55、00Base-T以太網(wǎng)端口，支持千兆上行，并且支持智能堆疊堆疊；多樣的隊列調度滿足高級QoS、更為精細的流分類、限速粒度和組播服務，實現(xiàn)網(wǎng)絡控制和帶寬優(yōu)化；為網(wǎng)絡提供了更多的智能特性，如基于策略的VLAN、支持基于端口／流／MAC／VLAN鏡像、增強的ACL和端口安全功能等；更加多樣化的管理和豐富的特性。</p><p>　　S3600SI還支持ARP入侵檢測功能，通過與DHCPSnooping功能配合，可以動態(tài)

56、綁定接入用戶的IP-MAC對應表，以防止非法ARP報文的攻擊。</p><p><b>　　3.6無線接入方案</b></p><p>　　火炬大廈無線覆蓋存在接入點眾多，分布零散的特點，在部署AP時，需要考慮大規(guī)模AP的管理問題，因此，我們建議采用FitAP的組網(wǎng)模式：在外網(wǎng)核心交換機上增加1塊無線控制器板卡，充分利用核心交換機的高可靠設計。在熱點覆蓋區(qū)部署WLAN

57、接入點APWA2110，根據(jù)覆蓋區(qū)域的特點，可以靈活選用不同類型的天線，以適應吸頂或壁掛等需求。</p><p>　　采用H3CFitAP覆蓋方案具有以下特點：</p><p><b>　　1）方便部署</b></p><p>　　一般而言，對網(wǎng)絡的改造和升級是一個大工程，不但在網(wǎng)絡升級期間，網(wǎng)絡無法使用，甚至需要對原有的有線網(wǎng)絡重新規(guī)劃和部署

58、。H3C公司FITAP解決方案，采用集中式架構，在原有網(wǎng)絡增加無線功能時，可以輕松地把原來有線企業(yè)網(wǎng)絡，在不改變其網(wǎng)絡的原有規(guī)劃和部署的情況下，甚至不需要中斷原有網(wǎng)絡就可以輕松疊加一個無線網(wǎng)絡，該無線網(wǎng)絡和原有的有線網(wǎng)絡可以形成有線無線一體化的接入方案，這種保護客戶已有投資的升級方法，可以大大減少網(wǎng)絡升級和部署的成本。</p><p>　　2）易于管理、AP“零配置”</p><p>　　

59、傳統(tǒng)無線網(wǎng)絡的部署需要網(wǎng)絡管理員對網(wǎng)絡中的每一個AP進行逐一配置，當無線網(wǎng)絡規(guī)模較大時網(wǎng)絡管理員往往要配置上百個AP，工作量巨大，且容易出錯。而采用無線控制器和FITAP配合組網(wǎng)時，只需要在無線控制器上對一類相同屬性的AP建立配置模板，AP在啟動時可以自動從無線控制器上下載最新的配置文件。另外，由于AP本身不保存任何配置，萬一設備丟失，也可以保證網(wǎng)絡配置不被竊取。AP支持啟動后自動獲取IP地址、自動獲取AC的工作列表并自動和AC建立關聯(lián)

60、，真正做到了零配置，免維護，即插即用，極大地減輕了網(wǎng)絡管理員在部署網(wǎng)絡階段的維護工作量。當網(wǎng)絡正常運行以后，無線控制器對所管理的AP以及AP所接入的用戶進行實時監(jiān)控，并能將這些信息實時上報給網(wǎng)管。維護人員可以指定AP或用戶進行在線服務策略設定和安全策略設定，使網(wǎng)絡配置策略更加靈活。</p><p><b>　　3）方便升級</b></p><p>　　WA2110-A

61、G還支持軟件自動更新功能，在其每次重新啟動時會自動比較當前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，WA2110-AG會自動更新本地的軟件映像，軟件升級不再需要網(wǎng)管人員的干預。</p><p><b>　　4）三層漫游</b></p><p>　　H3CWX5002系列無線控制器支持三層漫游，并支持快速漫游，漫游切換時間小于50ms，滿足對切

62、換時間要求最苛刻的語音業(yè)務。</p><p><b>　　5）支持虛擬AP</b></p><p>　　WA2110-AG支持多SSID實現(xiàn)虛擬AP特性，每個SSID可對應不同的VLAN、從而對于每一個SSID可以實現(xiàn)不同的網(wǎng)絡服務及認證方式。該特性使管理員可以方便的為不同用戶群、不同的業(yè)務制定區(qū)分的服務策略。</p><p>　　6）豐富的R

63、F管理和安全</p><p>　　RF管理功能，可以使得無線網(wǎng)絡的布網(wǎng)靈活性大大增強，網(wǎng)絡的可維護性得到很大的提高。AP的功率調整和信道切換是網(wǎng)絡部署和調試時不可缺少的重要手段，信道和功率還需要按照國家代碼自動設置，H3CWX5002系列無線控制器的RF管理功能使得網(wǎng)絡部署非常簡單。RSSI/SNR的不斷更新，更是讓系統(tǒng)可以適時了解每一個無線用戶所處電磁環(huán)境的好壞、離AP的距離，從而可以采取相應的策略來提升網(wǎng)絡可

64、用性。</p><p>　　7）支持智能的負載均衡</p><p>　　支持按接入用戶數(shù)量和流量的復雜均衡方式，當無線控制器發(fā)現(xiàn)AP的負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關聯(lián)請求，用戶會轉而接入其他負載較輕的AP，但如果無線用戶不在AP的重疊覆蓋區(qū)內(nèi)，傳統(tǒng)的負載均衡方式往往會導致連接不上網(wǎng)絡，造

65、成誤均衡。H3C公司創(chuàng)新性地支持智能負載均衡技術，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡容量。</p><p><b>　　8）IPv6</b></p><p>　　WX5002實現(xiàn)了IPv4/IPv6雙協(xié)議棧。AP和無線控制器之間可以穿過IPv6網(wǎng)絡互聯(lián)，從而使組網(wǎng)方式更加靈活，可以滿足今后網(wǎng)

66、絡發(fā)展的需要，保護用戶投資。</p><p><b>　　9）完善的QoS</b></p><p>　　WX5002系列無線控制器基于H3C公司最新的ComwareV5平臺開發(fā)，不但對Diff-Serv標準進行了完善，同時還增加了對IPv6協(xié)議的QoS支持。QoSDiff-Serv模型中主要包括流分類、流量監(jiān)管（Policing）、隊列管理、隊列調度（Scheduli

67、ng）等，完整實現(xiàn)了標準中定義的EF、AF1～AF4、BE等六組PHB及業(yè)務，可為用戶提供具有不同服務質量等級的服務保證，真正成為同時承載數(shù)據(jù)、語音和視頻業(yè)務的綜合網(wǎng)絡。</p><p>　　3.7有線無線一體化的網(wǎng)管系統(tǒng)</p><p>　　Quidview是H3C公司自主研發(fā)的新一代網(wǎng)絡管理系統(tǒng)。Quidview采用組件化結構設計，通過安裝不同的業(yè)務組件實現(xiàn)了設備管理、軟件升級管理、配

68、置文件管理、告警管理、性能管理等功能。無論對于企業(yè)網(wǎng)、校園網(wǎng)、園區(qū)網(wǎng)用戶還是各大運營商，Quidview都可以提供完善的解決方案，方便用戶監(jiān)控、維護、管理各自的網(wǎng)絡。H3CWX5002系列無線控制器提供本地維護、遠程維護、集中維護等多種維護手段，并提供完備的告警、測試、診斷、跟蹤、日志等功能，方便用戶的日常維護管理。</p><p>　　在局域網(wǎng)與廣域網(wǎng)的連接部分，建議部署安全設備，可以采用防火墻實現(xiàn)訪問控制和安

69、全保護。根據(jù)內(nèi)外網(wǎng)數(shù)據(jù)流量及功能的不同，建議使用不同檔次的防火墻設備。</p><p>　　內(nèi)網(wǎng)防火墻建議采用H3C的SecPathF1000-A，外網(wǎng)使用H3C的SecPathF1800-A，F(xiàn)1000/F1800支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應用層過濾等功能，能夠有效的保證網(wǎng)絡的安全；采用ASPF（ApplicationSpecificPacketFilter）應用狀態(tài)檢測技術，可

70、對連接狀態(tài)過程和異常命令進行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡管理監(jiān)控，協(xié)助網(wǎng)絡管理員完成網(wǎng)絡的安全管理。</p><p>　　對于應用層（七層）威脅的防御，建議在出口增加防病毒網(wǎng)關，在互聯(lián)網(wǎng)的連接出對通過SMTP、HTTP、POP3、FTP等協(xié)議傳播的病毒進行過濾，保證內(nèi)網(wǎng)不受這些病毒的影響。</p><p><b>　　H3C方案特點<

71、;/b></p><p>　　H3C提供全面的網(wǎng)絡解決方案，為火炬大廈內(nèi)外網(wǎng)提供高性能、可擴展、可管理、高安全的網(wǎng)絡，H3C網(wǎng)絡解決方案有如下特點：</p><p>　　集成安全：網(wǎng)絡設備具備豐富的安全特性，并可擴展防火墻、VPN等插卡，實現(xiàn)網(wǎng)絡和安全融合。</p><p>　　深度安全：防火墻集成病毒防護功能，可提供應用層（L7）的威脅抵御。</p&g

72、t;<p>　　智能管理：網(wǎng)絡管理采用業(yè)界創(chuàng)新設計，使用智能管理中心將設備資源（路由器、交換機、防火墻）、用戶（PC、服務器）和網(wǎng)絡業(yè)務（安全接入業(yè)務、ACL管理、MPLSVPN）整合，實現(xiàn)了真正的智能性。</p><p>　　3.8網(wǎng)絡流量分析系統(tǒng)（NTA）</p><p>　　為克服現(xiàn)有網(wǎng)管系統(tǒng)對網(wǎng)絡流量和流向分析功能的技術局限性，火炬大廈IT管理部門迫切需要尋找一種功能

73、豐富，成熟穩(wěn)定的新技術對現(xiàn)有管理系統(tǒng)中管理信息的采集和分析方式進行改造和升級。新的信息采集和分析技術還需要對火炬大廈的運行網(wǎng)絡影響小，無需對網(wǎng)絡拓撲進行改變就能平滑升級。而且新的信息采集和分析技術應該即可以對網(wǎng)絡中各個鏈路的帶寬使用率進行統(tǒng)計，也可以對每條鏈路上傳輸不同類型業(yè)務的流量和流向進行分析和統(tǒng)計。</p><p>　　作為IT業(yè)界的網(wǎng)絡解決方案提供商，H3C公司不但提供了性能卓越的網(wǎng)絡設備，還同步配套研發(fā)

74、了專門針對客戶對網(wǎng)絡流量和流向分析需求的NetStream技術，NetStream技術是一種基于網(wǎng)絡流信息的統(tǒng)計與發(fā)布技術，它可以對網(wǎng)絡中的通信量和資源使用情況進行分類和統(tǒng)計，基于各種業(yè)務和不同的應用進行分析。</p><p>　　在理解H3C公司的網(wǎng)絡流量分析（NetworkTrafficAnalysis）解決方案之前，首先需要了解NetStream的一些基本概念，它們是該解決方案的基礎。</p>

75、<p>　　3.81 NetStream技術</p><p>　　為對火炬大廈網(wǎng)絡中不同類型的業(yè)務流進行準確的流量和流向分析與計量，首先需要對網(wǎng)絡中傳輸?shù)母鞣N類型數(shù)據(jù)包進行區(qū)分。由于IP網(wǎng)絡的非面向連接特性，網(wǎng)絡中不同類型業(yè)務的通信可能是任意一臺終端設備向另一臺終端設備發(fā)送的一組IP數(shù)據(jù)包，這組數(shù)據(jù)包實際上就構成火炬大廈網(wǎng)絡中某種業(yè)務的一個數(shù)據(jù)流（stream）。H3C公司的NetStream正是基

76、于這種“流”概念，定義了路由器/交換機輸出網(wǎng)絡流量的統(tǒng)計數(shù)據(jù)的方法，路由器/交換機對通過其的IP數(shù)據(jù)包進行統(tǒng)計和分析，并上報給數(shù)據(jù)采集器，采集器經(jīng)過一定的聚合策略后，把統(tǒng)計數(shù)據(jù)傳送到中心服務器，經(jīng)合并處理后存入數(shù)據(jù)庫，并進行進一步的分析處理。通過對上述原始、詳細的基本IP數(shù)據(jù)流進行分析，準確把握網(wǎng)絡運行狀態(tài)，準實時發(fā)現(xiàn)網(wǎng)絡異常情況并進行處理，也能支持面對業(yè)務應用的精細管理和計費。NetStream技術可利用網(wǎng)絡中數(shù)據(jù)流創(chuàng)造價值，并可在最

77、大限度減小對路由器/交換機性能的影響的前提下提供詳細的數(shù)據(jù)流統(tǒng)計信息。</p><p>　　圖3.81 NetStream處理流程</p><p>　　NetStream的流定義為在源、目的端點間的一系列單方向的數(shù)據(jù)包，端點由IP地址和傳輸層的端口號決定，此外，NetStream還使用了IP協(xié)議類型、ToS和輸入接口來唯一地標識一個流，即如下的七元組：</p><p&g

78、t;　　源IP地址（SourceIPaddress）</p><p>　　目的IP地址（DestinationIPaddress）</p><p>　　源端口號（Sourceportnumber）</p><p>　　目的端口號（Destinationportnumber）</p><p>　　協(xié)議類型（Protocoltype）</p

79、><p>　　服務類型（Typeofservice）</p><p>　　輸入接口/輸出接口（Inputinterface/Outputinterface）</p><p>　　如果不同的包中的七元組中各域都匹配，那么所有這些包都將被視為屬于同一股流量。</p><p>　　3.82 NTA的邏輯組成</p><p>　　

80、NTA解決方案包括：網(wǎng)流采樣設備（NetTrafficExporter）、網(wǎng)流采集設備（NetTrafficCollector）、數(shù)據(jù)分析處理設備（NetTrafficProcessor），三個設備之間的關系如下圖所示：</p><p>　　NTE負責流量的采集和發(fā)送，NTC設備負責收集和存儲NTE發(fā)來的流量統(tǒng)計數(shù)據(jù)信息；NTP從數(shù)據(jù)庫中獲取收集到的數(shù)據(jù)，經(jīng)分析加工后以直觀的圖表、報表等方式為網(wǎng)絡規(guī)劃、網(wǎng)絡優(yōu)化、

81、網(wǎng)絡監(jiān)控、應用監(jiān)控等提供直接的數(shù)據(jù)依據(jù)。</p><p>　　NetTrafficExporter</p><p>　　提供NetStream技術接口的網(wǎng)絡設備（H3C的S9500/S7500系列交換機等），負責對設備各個端口進出的網(wǎng)絡報文進行流分類統(tǒng)計，然后打包輸出。</p><p>　　NetTrafficCollector</p><p&g

82、t;　　NTC可以采集多個NTE設備輸出的數(shù)據(jù)，對數(shù)據(jù)進行過濾和聚合，并將數(shù)據(jù)存儲在數(shù)據(jù)庫中供分析處理。</p><p>　　NetTrafficProcessor</p><p>　　NTP是一個網(wǎng)絡流量的分析工具，對采集來的流量數(shù)據(jù)，根據(jù)不用的應用進行詳細的分析處理。使用SQL數(shù)據(jù)庫為中心的分布式數(shù)據(jù)集中和分析的方法，可以獲得更好的分析樣本以及統(tǒng)計粒度。為便于網(wǎng)絡管理人員的操作，采用基

83、于Web的直觀的、圖形化的管理界面，所有數(shù)據(jù)輸出都以腳本語言（XML）的形式，直接在Web頁面中顯示。</p><p>　　3.83 NTA系統(tǒng)功能</p><p>　　NTE設備提供以下的功能：</p><p>　　支持按七元組（源IP、目的IP、源端口號、目的端口號、IP協(xié)議類型、IPTOS、接口信息）建立NetStream流</p><p&

84、gt;　　支持對流進行信息記錄和統(tǒng)計，統(tǒng)計的信息有：</p><p>　　流量信息：包括包數(shù)、字節(jié)數(shù)</p><p>　　時間段信息：流起始時間、流結束時間</p><p>　　QoS信息：ToS、協(xié)議類型、TCP的連接標志</p><p>　　起至信息：源IP、目的IP</p><p>　　應用信息：源端口、目的端口

85、、協(xié)議類型</p><p>　　路由和對等體信息：下一跳地址、源AS號、目的AS號、源地址掩碼、目的地址掩碼</p><p>　　網(wǎng)絡設備支持NetStream有兩種方式，硬件單板和軟件方式。這兩種方式的區(qū)別在于，因為有獨立的硬件單板實現(xiàn)IP數(shù)據(jù)流的NetStream數(shù)據(jù)提取和統(tǒng)計，因此采用此方式對設備的轉發(fā)性能影響小，而采用軟件方式實現(xiàn)對設備的轉發(fā)性能影響較大，因此推薦采用硬件單板的實現(xiàn)

86、方式，對于數(shù)據(jù)流量較大的情況，還可以進行采樣的方式，進一步減輕對設備轉發(fā)性能的影響。</p><p><b>　　NTC功能</b></p><p>　　NTC的主要功能是為一個或多個NTE上報的NetStream數(shù)據(jù)進行采集，用戶在NTE設備上配置NTC的IP地址和端口后，NTC設備就能夠接收NTE設備上報的NetStream數(shù)據(jù)。NTC設備實現(xiàn)的功能包括如下：&l

87、t;/p><p>　　數(shù)據(jù)采集：支持對多個NTE流統(tǒng)計數(shù)據(jù)的收集，同時支持NetStreamV5、V9</p><p>　　數(shù)據(jù)過濾：基于預置的規(guī)則對數(shù)據(jù)進行篩選</p><p>　　數(shù)據(jù)聚合：對過濾后的數(shù)據(jù)進行聚合，將一段時間內(nèi)的一系列記錄聚合為一條記錄，降低入庫數(shù)據(jù)量</p><p>　　數(shù)據(jù)入庫：不同粒度高速批量入庫</p>

88、<p><b>　　NTP功能</b></p><p>　　NTP對NTC生成的所有數(shù)據(jù)進行分析，對數(shù)據(jù)進行二次聚合、統(tǒng)計分析，分析的結果以圖表方式（柱狀圖、餅圖、直方圖、統(tǒng)計信息表格等）展示給用戶，通過這些統(tǒng)計報表用戶可以監(jiān)控網(wǎng)絡使用狀況、應用使用狀況、用戶網(wǎng)絡訪問行為，并可監(jiān)控到流量異常狀況并可以進一步做分析。</p><p><b>　　報表

89、功能</b></p><p>　　用戶可根據(jù)統(tǒng)計分析的需求，自定義報表生成規(guī)則，由報表引擎生成報表，并將統(tǒng)計分析的結果以柱狀圖、餅圖、曲線圖、統(tǒng)計信息表格等直觀的形態(tài)展示出來。</p><p>　　當前實現(xiàn)的報表功能列表和簡要說明如下：</p><p><b>　　表1NTA報表功能</b></p><p>

90、<b>　　4網(wǎng)絡級可靠性設計</b></p><p>　　4.1網(wǎng)絡可靠性設計</p><p>　　網(wǎng)絡的可靠性最終要從設備，鏈路級可靠，網(wǎng)絡，業(yè)務等各層次保證。</p><p>　　4.2設備級可靠性設計</p><p>　　火炬大廈網(wǎng)絡系統(tǒng)的設備級可靠性主要從設備自身可靠性，設備間熱備份幾個個方面考慮：</p

91、><p>　　網(wǎng)絡中的關鍵設備，如各核心交換機等，應該具備電信級可靠性：</p><p>　　可靠性指標必須達到99.999%。</p><p>　　網(wǎng)絡核心設備采用全分布式體系結構，路由與轉發(fā)分離。</p><p>　　所有關鍵器件，如主控板、交換網(wǎng)、電源等都采用冗余設計，業(yè)務模塊支持熱插拔。</p><p>　　網(wǎng)絡核

92、心設備無源背板，采用無源器件的背板，可靠性更高。</p><p>　　網(wǎng)絡核心設備支持不間斷轉發(fā)，主控板熱備份。主備倒換過程不影響業(yè)務轉發(fā)，不丟包。</p><p>　　網(wǎng)絡核心設備支持軟件在線升級，升級過程中業(yè)務不中斷。</p><p>　　網(wǎng)絡核心設備支持軟件熱補丁，打補丁過程中主控板和接口板都不需要重啟動，業(yè)務不中斷。</p><p>

93、　　本次選用的S9500采用分布式體系結構，所有關鍵部件采用冗余設計，包括主控板、交換網(wǎng)、電源和風扇等；采用無源背板設計，避免機箱出現(xiàn)單點故障；所有單板支持熱插拔功能，并且對其它單板上運行的業(yè)務無影響。</p><p>　　S9500還支持OSPF/IS-IS/BGP的優(yōu)雅重啟技術（GracefulRestart），可以實現(xiàn)用戶業(yè)務的不間斷轉發(fā)；支持動態(tài)路由協(xié)議、跨板端口聚合、虛擬路由冗余協(xié)議（VRRP）等保護機

94、制，有效保證全網(wǎng)高速可靠運行。</p><p>　　4.3雙星型的網(wǎng)絡拓撲</p><p>　　火炬大廈內(nèi)網(wǎng)系統(tǒng)實際上采用的是雙星型拓撲，以核心交換機為中心，所有接入設備均采用雙鏈路上行。</p><p>　　4.4適當采用鏈路捆綁技術</p><p>　　對可靠性要求較高的鏈路，如核心交換機之間以及服務器交換機與核心交換機之間，可以考慮采用

95、鏈路捆綁技術：</p><p>　　局域網(wǎng)中，在關鍵鏈路上采用EthernetTrunk技術，即將多個ethernetlink捆綁為一條Trunk鏈路，該Trunk鏈路在設備上對應為一個邏輯接口，在路由表中只有一項，其下一跳是這個邏輯接口，當報文需要經(jīng)這個邏輯接口轉發(fā)時，路由表信息指示這個接口是邏輯接口，轉發(fā)部件選擇一個實際物理出接口，因此當TRUNK中的某一鏈路故障時，只需要更新TRUNK表，而不影響需要更新秒

96、級收斂的路由表，大大提高了故障恢復的能力。</p><p>　　4.5采用VRRP技術</p><p>　　對于現(xiàn)有網(wǎng)絡部分的二層Trunk連接，采用VRRP的備份方案，對于每一個VLAN，都在2臺核心交換機上建立一個VRRP備份組：</p><p>　　如上圖所示，針對VLAN1，建立VRRP組Group1，Group1中包含2個設備上為VLAN1的網(wǎng)關地址，分別

97、為主設備上的192.168.1.2和備用設備S7506E上的192.168.1.3，Group1虛擬出1個VLAN1的IP地址192.168.1.1，對于VLAN1中的PC終端，網(wǎng)關地址設為192.168.1.1。</p><p>　　對于下級設備而言，VLAN1的接口地址為192.168.1.1，備份組將為該地址指定一個對應關系，在Group1中，所有發(fā)往VLAN1接口地址的數(shù)據(jù)包都將發(fā)往Group1指定的Ma

98、ster設備上的192.168.1.2接口地址上，一旦Master設備出現(xiàn)故障，Group1將自動切換Master設備，將指定為Master設備，那么故障發(fā)生后的數(shù)據(jù)包將發(fā)往備用設備上的192.168.1.3接口，從而實現(xiàn)設備的備份。</p><p>　　4.6系統(tǒng)安全性的實現(xiàn)</p><p>　　在系統(tǒng)中,我們根據(jù)用戶網(wǎng)絡安全需求,在與INTERNET外部網(wǎng)連接時采用防火墻軟件及路由器內(nèi)

99、部NAT地址轉換(放火墻可在后期擴展中采用),保證了內(nèi)部網(wǎng)絡的安全,.并根據(jù)用戶需要在網(wǎng)絡中設置必要的訪問控制做到網(wǎng)絡安全的全面控制；并采用VLAN等技術進一步控制內(nèi)部網(wǎng)絡安全，采用撥號用戶的身份驗證控制撥號用戶的安全性，采用雙機備份或冗余連接、網(wǎng)卡容錯、數(shù)據(jù)庫容錯、定期備份等實現(xiàn)安全可靠性。</p><p>　　4.7網(wǎng)絡可靠管理的實現(xiàn)</p><p>　　我們使用的所有設備都是可網(wǎng)管的

100、,而且提供了CISCOWORKS的網(wǎng)管軟件,可提供全方位的網(wǎng)管功能.</p><p><b>　　5相關產(chǎn)品簡介</b></p><p>　　5.1 Catalyst5500核心交換機</p><p>　　CiscoCatalyst5500不但建立在屢獲大獎的Catalyst5000和LightStream1010交換機體系結構基礎上，還在同一

101、個平臺上集成了基于Cisco網(wǎng)間網(wǎng)操作系統(tǒng)（CiscoIOS）的路由技術。</p><p>　　這兩種最佳技術的完美結合不但建立了強有利的平臺，而且還進一步完善了Catalyst交換機系列。Catalyst5500采用了千兆級以太網(wǎng)體系結構，這種結構體系可擴充到50Gbps，吞吐量高達數(shù)千萬PPS，因而可提供建立大型交換式內(nèi)部網(wǎng)所需的擴展性、靈活性和冗余性，并可用于布線室和骨干網(wǎng)應用。</p>&l

102、t;p>　　5.2 建立內(nèi)部網(wǎng)基礎設施</p><p>　　Catalyst5500是Cisco的新型高檔模塊化交換平臺，它能夠滿足今天就需要且發(fā)展很快的企業(yè)內(nèi)部網(wǎng)的需求。同時新的Catalyst5500還能將現(xiàn)有的Catalyst5000和Lightstream1010接口模塊順滑的集成到新的Catalyst5500機柜中，從而保護客戶在當前Cisco產(chǎn)品上的投資。</p><p>

103、;　　不依賴介質的體系結構通過各種以太網(wǎng)、快速以太網(wǎng)、光纖分布式數(shù)據(jù)接口（FDDI）令牌環(huán)網(wǎng)和ATM交換機模塊支持所有遺留的LAN和異步傳輸模塊（ATM）交換技術。根據(jù)所配備模塊的不同，Catalyst5500可作為功能豐富的可伸縮快速以太網(wǎng)或ATM交換機用于骨干網(wǎng)應用中，也可在布線室應用中支持各種交換式以太網(wǎng)或令牌環(huán)網(wǎng)模塊，在同一平臺上提供500個以上的端口密度。</p><p>　　Gb級體系結構支持當前的F

104、astEtherChannel，可在Catalyst5002/5000和5500交換機之間提供高達800Mbps(全雙工)的負載共享的冗余的點到點連接、交換機到路由器的連接以及交換機到服務器的連接。借助為支持Gb級以太網(wǎng)上行鏈路Gb級以太網(wǎng)交換機模塊和Gb級EtherChannel而提供的明確移植路徑，Catalyst5500能夠提供大型園區(qū)網(wǎng)所需的帶寬和擴展性。</p><p>　　Router/Switch模

105、塊上提供對Cisco的IOS多協(xié)議路由選擇的完全集成支持。此模塊在Catalyst5000系列中提供企業(yè)網(wǎng)IOS路由選擇性能。</p><p>　　Catalyst5500的監(jiān)測工具上設有一塊模塊化性能卡，它的用途是支持Cisco的分布式網(wǎng)絡流交換(NetflowSwitching)，從而在監(jiān)測工具上提供高速多層交換。Router/Switching模塊和網(wǎng)絡流交換(NetflowSwitching)性能卡的結合

106、能夠提供CiscoFusion的承諾，即將交換的速度和便捷與路由選擇的智能和擴展性結合到同一個平臺上。</p><p>　　借助其對可熱插拔模塊、電源供應和風扇的支持，Catalyst5500機柜可為生產(chǎn)網(wǎng)絡提供高可用性。雙冗余交換工具、電源供應和被動背板設計可為關鍵任務環(huán)境保證全面系統(tǒng)冗余。</p><p>　　Catalyst5500機柜采用標準的19英寸背板，所有系統(tǒng)部件都可以從機柜

107、的同一側看到。只需一套電源就可以運行完全配置的系統(tǒng)。</p><p>　　5.3 提供成套的綜合內(nèi)部網(wǎng)服務</p><p>　　作為解決方案的一部分，Catalyst5500能夠提供全套內(nèi)部網(wǎng)服務，以便提供大型內(nèi)部網(wǎng)所需的應用程序完整性，因而很適用于建立大型企業(yè)內(nèi)部網(wǎng)。這些服務有助于及時、優(yōu)質的為企業(yè)內(nèi)部網(wǎng)中的臺式機提供應用軟件。</p><p>　　通過PIM、I

108、GMP和Cisco工作組管理協(xié)議（CGMP）實現(xiàn)的有效的內(nèi)部網(wǎng)多媒體和多點廣播支持可為多媒體和多點廣播應用提供可擴展的端到端帶寬。</p><p>　　未來將通過將資源保留協(xié)議（RSVP）映射到Catalyst5500優(yōu)先級序列的方法支持為每臺臺式機設定的服務級別，以保證及時提供時間敏感型內(nèi)部網(wǎng)應用軟件。</p><p>　　網(wǎng)絡冗余通過Catalyst5500系列支持的設備、鏈路和網(wǎng)絡服

109、務冗余的結合實現(xiàn)。設備冗余借助對交換工具、電源供應和Route/Switch模塊的支持提供，鏈路冗余在Cisco的雙物理ATM模塊上實施、在FastEtherChannel中集成冗余并在所有VLAN中級鏈路上支持。網(wǎng)絡服務冗余則通過以每個VLAN為基礎的ATM簡單服務器冗余協(xié)議（SSRP）、HSRP和對生成樹協(xié)議的支持實現(xiàn)。</p><p>　　內(nèi)部網(wǎng)中的安全性借助安全端口篩選支持，以便只允許單個端口訪問某些工作

110、站。終端訪問控制器訪問控制系統(tǒng)(TACACS)可防止對安全環(huán)境中的交換機進行非授權訪問。</p><p>　　內(nèi)部網(wǎng)中的移動或“移動-添加-更改”借助DHCP、DNS以及為實現(xiàn)可伸縮優(yōu)化性能而提供的動態(tài)VLAN服務和分布式網(wǎng)絡流交換支持。</p><p><b>　　5.31內(nèi)部網(wǎng)管理</b></p><p>　　Catalyst5500提供一

111、整套管理工具以便提供網(wǎng)絡中所需的可視性和控制。</p><p>　　可借助CiscoWorksforSwitchedInternetworks(CWSI)對Catalyst5500交換機進行配置和管理。以提供端到端設備、VLAN、流量、ATM和策略管理。</p><p>　　策略管理通過交換機上智能嵌入代理和強有力的網(wǎng)絡管理應用軟件CiscoWorksforSwitchedInternet