【正文】 ortBew SitePolicy Based ConectivyLocal/Remot Wrkgoup Aces186。178。184。178。. 局域網(wǎng)設(shè)計? 采用高速、高性能的網(wǎng)絡(luò)主干? 網(wǎng)絡(luò)根據(jù)需要劃分不同的虛擬網(wǎng)? 虛擬網(wǎng)之間的數(shù)據(jù)交換通過集中的路由功能實現(xiàn)? 網(wǎng)絡(luò)主干應(yīng)有極強的擴充能力，網(wǎng)絡(luò)性能不會因為網(wǎng)絡(luò)的擴充而降低? 與廣域的路由器和主機配合實現(xiàn)廣域上網(wǎng)絡(luò)資源的備份和數(shù)據(jù)分流9 / 46? 保障局域網(wǎng)上的安全性根據(jù)是否劃分虛擬網(wǎng)以及對虛擬網(wǎng)之間數(shù)據(jù)交換的處理方式，可以把現(xiàn)有的局域網(wǎng)劃分為下面的幾種類型：? 不劃分虛擬網(wǎng)的平坦型網(wǎng)絡(luò)在這種網(wǎng)絡(luò)中，所有的主機都連接在一個子網(wǎng)中。我們看到，整個局域網(wǎng)中有若干個虛擬網(wǎng)，虛擬網(wǎng)之間的數(shù)據(jù)交換集中由一臺路由器來完成。這種網(wǎng)絡(luò)的缺點：10 / 461. 由于所有的虛擬網(wǎng)之間的交換都要通過一臺路由器來實現(xiàn)，這臺路由器的處理能力和通往路由器的連接線路的帶寬稱為網(wǎng)絡(luò)中的兩個瓶頸。這種網(wǎng)絡(luò)的缺點是：1. 交換機的路由功能并不是很強。11 / 46云 南 網(wǎng) 通 中 心 局 域 網(wǎng) 拓 樸 圖交交交交交銀 行 等 合 作 單 位InterWEB交交WEB交交…Web Logic交交本 地 各 營 業(yè) 點 及 代 理數(shù) 據(jù) 通 信 網(wǎng) 總 部各 營 業(yè) 點 及 代 理 各 營 業(yè) 點 及 代 理交交交運 營 支 撐 中 心DCN中 心交交交交交交交交交交交交交交406交交交交交交 交 交交交交12 / 46在上圖上，我們提到了DCN的概念，南京聯(lián)創(chuàng)認為，隨著電信運營商業(yè)務(wù)的不斷發(fā)展，需要通過網(wǎng)絡(luò)傳輸?shù)臉I(yè)務(wù)量將種類越來越多，數(shù)量越來越大，因此，建立DCN這樣的傳輸平臺只是個時間問題，所以我們在本文中將這個系統(tǒng)“分割”成兩部分，一部分是數(shù)據(jù)處理的運營支持系統(tǒng)，一部分是廣域傳輸DCN系統(tǒng)，實際在本次工程中這兩部分是統(tǒng)一的，包括交換機這樣的設(shè)備都可以通用，但我們在表述時還是將兩部分分開，使網(wǎng)絡(luò)結(jié)構(gòu)更加清晰。保證了高性能：這里的高性能體現(xiàn)在兩方面，一是采用了先進的設(shè)備，由于我們的系統(tǒng)方案采用的是一種集中式的結(jié)構(gòu)，全省的業(yè)務(wù)處理都在省運營支撐中心完成，所以在運營支撐中心需要高端局域網(wǎng)交換機完成數(shù)據(jù)的局域交換。當(dāng)其中的一臺交換機發(fā)生故障的時候，另一臺交換機可以提供高速通路，確保網(wǎng)絡(luò)暢通。我們建議可以將運營支撐中心的交換機通過劃分 VLAN 來實現(xiàn)防火墻的內(nèi)、外網(wǎng)連接。銀行代收費系統(tǒng)也采用了防火墻，將此系統(tǒng)連接在外網(wǎng)的交換機上，對于銀行來說可見的只有銀行代收費應(yīng)用服務(wù)器（此項僅為建議，設(shè)備未考慮） ；與Inter的連接也是如此。下圖以銀行為例說明。. 廣域網(wǎng)絡(luò)設(shè)計從網(wǎng)絡(luò)技術(shù)上看，骨干網(wǎng)絡(luò)和支干網(wǎng)絡(luò)應(yīng)屬于廣域網(wǎng)范疇，所以在設(shè)計的時候，我們遵循的是一套廣域網(wǎng)的設(shè)計思想。以后業(yè)務(wù)發(fā)展時可以以在幾個地市的營業(yè)廳各建一個匯接中心，由匯接中心再連接到省中心。對于運營支撐中心與地市間的通信線路帶寬，根據(jù)前文所述的網(wǎng)絡(luò)帶寬估算，和我們在總結(jié)了以往建設(shè)江蘇、云南、甘肅、寧夏、青海、新疆、黑龍江等省、自治區(qū)的網(wǎng)絡(luò)設(shè)計的實踐經(jīng)驗后，在各地市按各自的不同情況配置不等數(shù)目的E1 線路，這里的帶寬需求主要來自于計費、營業(yè)和帳務(wù)這些應(yīng)用的需要，在此基礎(chǔ)上留出可擴充的余地和容量。如果距離較遠，則可以采用專線連接的方式連接。實踐證明，OSPF和EIGRP是適合于在廣域網(wǎng)范圍內(nèi)使用的路由協(xié)議，它們收斂速度快，交換的路由信息較少。 OSPF支持等路徑條件下的負載分流。. LAN 路由策略目前UNIX主機主要采用RIP路由協(xié)議交換路由信息，所以在信息網(wǎng)的LAN部分可以采用RIP路由協(xié)議。VRRP和HSRP的工作原理是一樣的，在此以HSRP為例來說明。IP地址分為五類：A類地址，B類地址，C 類地址， D類地址，E類地址。? 連續(xù)性為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于縮簡路由表的表項，提高路由器的處理效率，這種技術(shù)稱為地址疊合（Summarization） 。根據(jù)中國網(wǎng)通的相關(guān)規(guī)定，全國運營支撐系統(tǒng)采用統(tǒng)一的IP網(wǎng)絡(luò)地址。在數(shù)據(jù)鏈路層，路由器之間通過廣域傳輸線路通信時，必須進行時鐘同步。網(wǎng)絡(luò)層同步采用 RFC1305 Network Time Protocol (V3)標(biāo)準(zhǔn)，目前以省中心的路由器作為主、備時間服務(wù)器，網(wǎng)管工作站、局域網(wǎng)交換機、地市中心的路由器和交換機作為下級時間服務(wù)器，同步于省中心的路由器，將來作為本地網(wǎng)內(nèi)的時間服務(wù)器，采用 NTP3 或 SNTP4(RFC2030)向下復(fù)制時間。比較起來， RED算法具有較低的排隊時延、較高的分組通過度(Goodput)和較好的公平性，其主要思想是：路由器計算平均排隊長度，當(dāng)平均排隊長度超過某一門限時，路由器按照一丟棄概率丟棄到達的分組，而這個丟棄概率是與平均排隊長度成正比的函數(shù)。隊列調(diào)度機制(QueueingSchedulingMechanism)不論在IntServ 還是在DiffServ里，都涉及到隊列調(diào)度問題。一個有效的隊列調(diào)度算法應(yīng)達到的性能指標(biāo)主要有：公平性、時延特性、對惡意業(yè)務(wù)流的隔離能力、鏈路帶23 / 46寬的利用率、復(fù)雜性等，前4個指標(biāo)與QoS密切相關(guān)。CBR 的有效實現(xiàn)需要各個路由器之間的相互配合，比如相互通知各自所知道的網(wǎng)絡(luò)的一些狀態(tài)信息(如鏈路的剩余帶寬)。業(yè)務(wù)量工程(TrafficEngineering)業(yè)務(wù)量工程的主要目的在于盡量地避免網(wǎng)絡(luò)擁塞的發(fā)生，以保證QoS。多協(xié)議標(biāo)記交換(MPLS) 和基于受限的路由都是業(yè)務(wù)量工程的有用工具，也是目前有待進一步研究的課題。其中每臺處理機的安全性可以通過UNIX的登錄過程實施控制，用戶級的安全性可以通過文件的所有者和文件訪問權(quán)限機構(gòu)來控制，這里著重討論網(wǎng)絡(luò)的安全性問題。假冒：當(dāng)網(wǎng)絡(luò)中的某個節(jié)點冒名要求提供服務(wù)時，系統(tǒng)如何能夠知道對方是否冒名呢？我們可以提供一個合法用戶的數(shù)據(jù)庫，采用TACACS 或RADIUS 協(xié)議對用戶的身份進行鑒別。25 / 46根據(jù)網(wǎng)絡(luò)安全性的具體實現(xiàn)方式，可以分為兩種：通過分散式的安全控制機制實現(xiàn)網(wǎng)絡(luò)的安全性和通過集中式的安全控制機制實現(xiàn)網(wǎng)絡(luò)的安全性。我們的目的是確保網(wǎng)絡(luò)對阻止那些可能的入侵者來說是可靠的。養(yǎng)成不用普通傳真機和公用電話傳輸機密消息的習(xí)慣。在這里我們使用了一個被廣泛使用的“防火墻”的概念，我們可以把防火墻看作是一個數(shù)據(jù)流的過濾器，只有我們所期望的數(shù)據(jù)流才能夠通過這個過濾器，而其它所有的數(shù)據(jù)流都不能通過，防火墻可以是雙向的。在局域網(wǎng)的內(nèi)部也可以實現(xiàn)防火墻的功能：我們?nèi)绻枰拗凭钟蚓W(wǎng)內(nèi)部的某些用戶對一些資源的訪問，可以把這些用戶劃分到一個“虛擬網(wǎng)”中，在這個虛網(wǎng)和其它的資源之間設(shè)立防火墻。231。202。241。208。211。212。195。247。194。198。211。181。 200。189。203。212。167。237。205。222。186。在某些大型網(wǎng)絡(luò)的初期為了安裝調(diào)試的方便我們一般先采用分散式的安全控制機制，在一些小型的網(wǎng)絡(luò)中也可以采用這樣的機制。27 / 46CiscoSecure UNIXrvr188。202。199。210。194。206。206。 (NAS) 214。247。194。198。203。202。201。173。184。196。171。241。由于服務(wù)器上可以運行功能很強的安全性方面的軟件，可以滿足我們的需求。為了保證安全數(shù)據(jù)庫的可靠性，我們可以在網(wǎng)絡(luò)上設(shè)置不止一臺的安全數(shù)據(jù)庫；即使在所有的安全數(shù)據(jù)庫都發(fā)生故障的情況之下，還可以設(shè)置成利用路由器中的數(shù)據(jù)庫實現(xiàn)分散的安全控制方式。比如要想禁止遠程登錄某臺主機，可以監(jiān)測發(fā)到該主機的數(shù)據(jù)包，發(fā)現(xiàn)數(shù)據(jù)包是 TCP 包，而且 socket 值等于 23，則將該包丟掉。8. 對于采用撥號方式訪問網(wǎng)絡(luò)，建議采用一次性口令認證方式和回拔技術(shù)。11. 采用 Scanner 技術(shù)，搜尋網(wǎng)絡(luò)安全漏洞。回拔技術(shù)，就是在主叫方產(chǎn)生拔號建立連接后，被叫方在一剎那間切斷通路，反過來拔主叫方的電話號碼從而建立連接的技術(shù)。對營業(yè)廳，它完成的業(yè)務(wù)多一些，因此也應(yīng)具有較高的權(quán)限；對代理點，不應(yīng)讓其訪問過多的數(shù)據(jù)。30 / 465. 網(wǎng)絡(luò)管理. 集中式系統(tǒng)管理集中是大趨勢，根據(jù)我們對云南網(wǎng)通運營支撐系統(tǒng)的分析，我們采取了分省（區(qū)、市）集中的管理模式，運營支撐中心負責(zé)對全網(wǎng)節(jié)點進行網(wǎng)絡(luò)監(jiān)控，故障管理、網(wǎng)絡(luò)業(yè)務(wù)等統(tǒng)計，網(wǎng)絡(luò)性能監(jiān)測，路由管理及設(shè)置，安全管理等。尤其是網(wǎng)絡(luò)科技的迅猛發(fā)展，不斷使全球的信息產(chǎn)業(yè)高潮迭起?，F(xiàn)在，無論從美國、西歐和日本等發(fā)達國家的網(wǎng)絡(luò)來看，還是縱觀我國的網(wǎng)絡(luò)發(fā)展現(xiàn)狀，我們可以得到這樣一個結(jié)論：隨著計算機網(wǎng)絡(luò)廣泛深入地發(fā)展與應(yīng)用，網(wǎng)絡(luò)規(guī)模越來越大，其功能越來越強。我國計算機網(wǎng)絡(luò)的發(fā)展進程同國際上發(fā)達國家相比有一個極為顯著的區(qū)別，即發(fā)達國家的網(wǎng)絡(luò)有一個相對漫長而漸進的發(fā)展過程（這實際上是一個非常寶貴的實踐和經(jīng)驗積累的過程） ；而我國計算機網(wǎng)絡(luò)的發(fā)展是用了較短的時間就達31 / 46到了相當(dāng)高的水平，仿佛像脈沖從零到一的階躍。進而言之，要有一套完整的管理策略、辦法和有效地管理與控制網(wǎng)絡(luò)的具體技術(shù)手段。哪怕是很短暫的網(wǎng)絡(luò)系統(tǒng)故障時間，都可能對企業(yè)造成重大的經(jīng)濟損失。2. 大規(guī)模的企業(yè)網(wǎng)絡(luò)采用這種運行機制，可使管理任務(wù)分散至企業(yè)機構(gòu)各處，以實施對各個子網(wǎng)乃至整個企業(yè)網(wǎng)絡(luò)的管理。這樣不僅減少了廣域網(wǎng)頻寬使用所帶來的費用，而且提高或改善了服務(wù)器和網(wǎng)絡(luò)的總體性能。根據(jù)我國“九五”計劃和 2022 年所要實現(xiàn)的遠景目標(biāo)，企業(yè)信息化和城市信息化的建設(shè)必定使得計算機網(wǎng)絡(luò)節(jié)點的數(shù)量大幅度增長。這為大規(guī)模的企業(yè)網(wǎng)絡(luò)管理提供了靈活的管理手段（目前，業(yè)界對這方面能力的要求為：25 個以上的專業(yè)網(wǎng)絡(luò)系統(tǒng)操作員可以按照系統(tǒng)事前設(shè)定的數(shù)據(jù)通路，訪問不同邏輯域的網(wǎng)管服務(wù)器） 。? 有效信息過濾篩選功能在龐雜的網(wǎng)絡(luò)監(jiān)控信息中，網(wǎng)絡(luò)管理軟件要能對其進行有效的過濾篩選，以便網(wǎng)絡(luò)系統(tǒng)操作員能掌握準(zhǔn)確的網(wǎng)絡(luò)運行狀態(tài)。當(dāng)前業(yè)界最高水平是采用人工智能和面向?qū)ο髷?shù)據(jù)庫技術(shù)。其中包括：定義用戶的訪問時間、訪問路徑以及讀/寫權(quán)限等等。針對這一特點，網(wǎng)絡(luò)管理軟件應(yīng)能管理來自不同廠家的網(wǎng)絡(luò)設(shè)備，無需用戶重新進行這方面的開發(fā)工作。為此，網(wǎng)絡(luò)管理軟件應(yīng)具有與之連接、共享管理信息的能力，以支持用戶各種管理需求和對專用設(shè)備的特殊監(jiān)控。由于 Intra 市34 / 46場發(fā)展前景被業(yè)界普遍看好，因此有的產(chǎn)品已經(jīng)將網(wǎng)絡(luò)管理信息送到 WWW 服務(wù)器上，用戶可通過瀏覽器界面獲取各種網(wǎng)絡(luò)信息。因此，開發(fā)工具還應(yīng)提供完整的應(yīng)用編程接口（Application Programming Interface） ，使用戶能方便、靈活地對網(wǎng)絡(luò)管理軟件進行擴充，以開發(fā)出功能更加強大的系統(tǒng)或網(wǎng)絡(luò)管理軟件。另外，對網(wǎng)絡(luò)管理軟件的投資，除了購買軟件的費用外，用戶最大的投資是要付出相當(dāng)可觀的時間和人力在實踐中取得經(jīng)驗，即“實踐和經(jīng)驗的積累” 。新增設(shè)備型號 接口模塊 用途兩臺 Cisco 3662 路由器 2 端口 CE1 模塊2 端口以太模塊連接各營業(yè)廳連接上級系統(tǒng)兩臺 Catalyst 4006 交換機 48 端口 10/100M 以太模塊16 端口 1000M 以太模塊 構(gòu)架省中心高速處理局域網(wǎng)兩臺 PIX 525 防火墻 2 塊千兆以太網(wǎng)卡3 端口百兆以太網(wǎng)接口 隔離內(nèi)外網(wǎng)CiscoWorks2022 NMS(for windows/saloris) 網(wǎng)絡(luò)管理軟件Cisco 2651 路由器 2 端口 100M 固化接口1 端口廣域接口 每營業(yè)廳一臺，連接廣域設(shè) 備Catalyst 2950 交換機 24 端口 10/100M 接口 每營業(yè)廳一臺，連接局域設(shè) 備. Cisco 3662Cisco 3660 系列平臺在非常成功的 Cisco 2600 和 3600 系列產(chǎn)品的基礎(chǔ)上，在密度、性能、穩(wěn)固性和可服務(wù)性等方面進行了大量改進，使其可作為客戶設(shè)備（CPE）用于大型分支機構(gòu)應(yīng)用或完成電話服務(wù)。 Cisco 3660 系列產(chǎn)品插槽多的優(yōu)勢和新網(wǎng)絡(luò)模塊的增強性能結(jié)合在一起，能夠支持新的商業(yè)應(yīng)用，如更高密度的分組話音集合和分支機構(gòu)異步傳輸模式（ATM）訪問，后者的范圍可以從 T1/E1 ATM 反向多路復(fù)用技術(shù)（IMA）一直到 OC3 接口。 Cisco 3660 系列產(chǎn)品的獨到之處還包括綜合的電源冗余選項和模塊熱交換能力，它們?yōu)殛P(guān)鍵功能提供了更高的產(chǎn)品可用性。 通過使用 Cisco Works、CiscoView 和 CiscoViewStack 管理接口應(yīng)用程序，Cisco 3660 系列產(chǎn)品的網(wǎng)絡(luò)管理能力更加強大。 Cisco 3660 系列產(chǎn)品的主要功能和優(yōu)點包括： ? 密度和性能——Cisco 3660 系列多服務(wù)平臺配置了集成端口以及 6 個擴展槽，能夠支持新的業(yè)務(wù)應(yīng)用，如更高密度的分組話音集合和使用 T1/E1 IMA或 OC3 接口的分支機構(gòu) ATM 訪問。 ? 數(shù)據(jù)、話音、視頻和混合撥號訪問的集成－－Cisco 3660 系列產(chǎn)品使用戶能夠支持最多種類的應(yīng)用，包括在單一平臺上實現(xiàn)數(shù)據(jù)、話音、視頻和混合撥號訪問的集成。除此之外，Cisco 3600 系列產(chǎn)品支持模塊組件現(xiàn)場升級的能力使客戶不必通過遠程分支機構(gòu)解決方案的全面升級，就可以很容易地改就網(wǎng)絡(luò)接口和其它組件。模塊化的六槽 Catalyst4006 交換機采用業(yè)界領(lǐng)先的 Catalyst5500/5000 系列交換機軟件提供了用戶網(wǎng)絡(luò)解決方案中配線室所需的豐富的特性集。兩個電源槽口支持冗余的負載均衡容錯的電源供應(yīng)，電源 DC/AC 可選?？蓴U展性和彈性由于模塊化的靈活性和模塊速度的多樣性可以可以很容易地在現(xiàn)在或未來39 / 46上升到千兆位。采用 UplinkF