【正文】 ortBew SitePolicy Based ConectivyLocal/Remot Wrkgoup Aces186。178。184。178。. 局域網設計? 采用高速、高性能的網絡主干? 網絡根據需要劃分不同的虛擬網? 虛擬網之間的數據交換通過集中的路由功能實現(xiàn)? 網絡主干應有極強的擴充能力，網絡性能不會因為網絡的擴充而降低? 與廣域的路由器和主機配合實現(xiàn)廣域上網絡資源的備份和數據分流9 / 46? 保障局域網上的安全性根據是否劃分虛擬網以及對虛擬網之間數據交換的處理方式，可以把現(xiàn)有的局域網劃分為下面的幾種類型：? 不劃分虛擬網的平坦型網絡在這種網絡中，所有的主機都連接在一個子網中。我們看到，整個局域網中有若干個虛擬網，虛擬網之間的數據交換集中由一臺路由器來完成。這種網絡的缺點：10 / 461. 由于所有的虛擬網之間的交換都要通過一臺路由器來實現(xiàn)，這臺路由器的處理能力和通往路由器的連接線路的帶寬稱為網絡中的兩個瓶頸。這種網絡的缺點是：1. 交換機的路由功能并不是很強。11 / 46云 南 網 通 中 心 局 域 網 拓 樸 圖交交交交交銀 行 等 合 作 單 位InterWEB交交WEB交交…Web Logic交交本 地 各 營 業(yè) 點 及 代 理數 據 通 信 網 總 部各 營 業(yè) 點 及 代 理 各 營 業(yè) 點 及 代 理交交交運 營 支 撐 中 心DCN中 心交交交交交交交交交交交交交交406交交交交交交 交 交交交交12 / 46在上圖上，我們提到了DCN的概念，南京聯(lián)創(chuàng)認為，隨著電信運營商業(yè)務的不斷發(fā)展，需要通過網絡傳輸的業(yè)務量將種類越來越多，數量越來越大，因此，建立DCN這樣的傳輸平臺只是個時間問題，所以我們在本文中將這個系統(tǒng)“分割”成兩部分，一部分是數據處理的運營支持系統(tǒng)，一部分是廣域傳輸DCN系統(tǒng)，實際在本次工程中這兩部分是統(tǒng)一的，包括交換機這樣的設備都可以通用，但我們在表述時還是將兩部分分開，使網絡結構更加清晰。保證了高性能：這里的高性能體現(xiàn)在兩方面，一是采用了先進的設備，由于我們的系統(tǒng)方案采用的是一種集中式的結構，全省的業(yè)務處理都在省運營支撐中心完成，所以在運營支撐中心需要高端局域網交換機完成數據的局域交換。當其中的一臺交換機發(fā)生故障的時候，另一臺交換機可以提供高速通路，確保網絡暢通。我們建議可以將運營支撐中心的交換機通過劃分 VLAN 來實現(xiàn)防火墻的內、外網連接。銀行代收費系統(tǒng)也采用了防火墻，將此系統(tǒng)連接在外網的交換機上，對于銀行來說可見的只有銀行代收費應用服務器（此項僅為建議，設備未考慮） ；與Inter的連接也是如此。下圖以銀行為例說明。. 廣域網絡設計從網絡技術上看，骨干網絡和支干網絡應屬于廣域網范疇，所以在設計的時候，我們遵循的是一套廣域網的設計思想。以后業(yè)務發(fā)展時可以以在幾個地市的營業(yè)廳各建一個匯接中心，由匯接中心再連接到省中心。對于運營支撐中心與地市間的通信線路帶寬，根據前文所述的網絡帶寬估算，和我們在總結了以往建設江蘇、云南、甘肅、寧夏、青海、新疆、黑龍江等省、自治區(qū)的網絡設計的實踐經驗后，在各地市按各自的不同情況配置不等數目的E1 線路，這里的帶寬需求主要來自于計費、營業(yè)和帳務這些應用的需要，在此基礎上留出可擴充的余地和容量。如果距離較遠，則可以采用專線連接的方式連接。實踐證明，OSPF和EIGRP是適合于在廣域網范圍內使用的路由協(xié)議，它們收斂速度快，交換的路由信息較少。 OSPF支持等路徑條件下的負載分流。. LAN 路由策略目前UNIX主機主要采用RIP路由協(xié)議交換路由信息，所以在信息網的LAN部分可以采用RIP路由協(xié)議。VRRP和HSRP的工作原理是一樣的，在此以HSRP為例來說明。IP地址分為五類：A類地址，B類地址，C 類地址， D類地址，E類地址。? 連續(xù)性為同一個網絡區(qū)域分配連續(xù)的網絡地址，便于縮簡路由表的表項，提高路由器的處理效率，這種技術稱為地址疊合（Summarization） 。根據中國網通的相關規(guī)定，全國運營支撐系統(tǒng)采用統(tǒng)一的IP網絡地址。在數據鏈路層，路由器之間通過廣域傳輸線路通信時，必須進行時鐘同步。網絡層同步采用 RFC1305 Network Time Protocol (V3)標準，目前以省中心的路由器作為主、備時間服務器，網管工作站、局域網交換機、地市中心的路由器和交換機作為下級時間服務器，同步于省中心的路由器，將來作為本地網內的時間服務器，采用 NTP3 或 SNTP4(RFC2030)向下復制時間。比較起來， RED算法具有較低的排隊時延、較高的分組通過度(Goodput)和較好的公平性，其主要思想是：路由器計算平均排隊長度，當平均排隊長度超過某一門限時，路由器按照一丟棄概率丟棄到達的分組，而這個丟棄概率是與平均排隊長度成正比的函數。隊列調度機制(QueueingSchedulingMechanism)不論在IntServ 還是在DiffServ里，都涉及到隊列調度問題。一個有效的隊列調度算法應達到的性能指標主要有：公平性、時延特性、對惡意業(yè)務流的隔離能力、鏈路帶23 / 46寬的利用率、復雜性等，前4個指標與QoS密切相關。CBR 的有效實現(xiàn)需要各個路由器之間的相互配合，比如相互通知各自所知道的網絡的一些狀態(tài)信息(如鏈路的剩余帶寬)。業(yè)務量工程(TrafficEngineering)業(yè)務量工程的主要目的在于盡量地避免網絡擁塞的發(fā)生，以保證QoS。多協(xié)議標記交換(MPLS) 和基于受限的路由都是業(yè)務量工程的有用工具，也是目前有待進一步研究的課題。其中每臺處理機的安全性可以通過UNIX的登錄過程實施控制，用戶級的安全性可以通過文件的所有者和文件訪問權限機構來控制，這里著重討論網絡的安全性問題。假冒：當網絡中的某個節(jié)點冒名要求提供服務時，系統(tǒng)如何能夠知道對方是否冒名呢？我們可以提供一個合法用戶的數據庫，采用TACACS 或RADIUS 協(xié)議對用戶的身份進行鑒別。25 / 46根據網絡安全性的具體實現(xiàn)方式，可以分為兩種：通過分散式的安全控制機制實現(xiàn)網絡的安全性和通過集中式的安全控制機制實現(xiàn)網絡的安全性。我們的目的是確保網絡對阻止那些可能的入侵者來說是可靠的。養(yǎng)成不用普通傳真機和公用電話傳輸機密消息的習慣。在這里我們使用了一個被廣泛使用的“防火墻”的概念，我們可以把防火墻看作是一個數據流的過濾器，只有我們所期望的數據流才能夠通過這個過濾器，而其它所有的數據流都不能通過，防火墻可以是雙向的。在局域網的內部也可以實現(xiàn)防火墻的功能：我們如果需要限制局域網內部的某些用戶對一些資源的訪問，可以把這些用戶劃分到一個“虛擬網”中，在這個虛網和其它的資源之間設立防火墻。231。202。241。208。211。212。195。247。194。198。211。181。 200。189。203。212。167。237。205。222。186。在某些大型網絡的初期為了安裝調試的方便我們一般先采用分散式的安全控制機制，在一些小型的網絡中也可以采用這樣的機制。27 / 46CiscoSecure UNIXrvr188。202。199。210。194。206。206。 (NAS) 214。247。194。198。203。202。201。173。184。196。171。241。由于服務器上可以運行功能很強的安全性方面的軟件，可以滿足我們的需求。為了保證安全數據庫的可靠性，我們可以在網絡上設置不止一臺的安全數據庫；即使在所有的安全數據庫都發(fā)生故障的情況之下，還可以設置成利用路由器中的數據庫實現(xiàn)分散的安全控制方式。比如要想禁止遠程登錄某臺主機，可以監(jiān)測發(fā)到該主機的數據包，發(fā)現(xiàn)數據包是 TCP 包，而且 socket 值等于 23，則將該包丟掉。8. 對于采用撥號方式訪問網絡，建議采用一次性口令認證方式和回拔技術。11. 采用 Scanner 技術，搜尋網絡安全漏洞。回拔技術，就是在主叫方產生拔號建立連接后，被叫方在一剎那間切斷通路，反過來拔主叫方的電話號碼從而建立連接的技術。對營業(yè)廳，它完成的業(yè)務多一些，因此也應具有較高的權限；對代理點，不應讓其訪問過多的數據。30 / 465. 網絡管理. 集中式系統(tǒng)管理集中是大趨勢，根據我們對云南網通運營支撐系統(tǒng)的分析，我們采取了分省（區(qū)、市）集中的管理模式，運營支撐中心負責對全網節(jié)點進行網絡監(jiān)控，故障管理、網絡業(yè)務等統(tǒng)計，網絡性能監(jiān)測，路由管理及設置，安全管理等。尤其是網絡科技的迅猛發(fā)展，不斷使全球的信息產業(yè)高潮迭起?，F(xiàn)在，無論從美國、西歐和日本等發(fā)達國家的網絡來看，還是縱觀我國的網絡發(fā)展現(xiàn)狀，我們可以得到這樣一個結論：隨著計算機網絡廣泛深入地發(fā)展與應用，網絡規(guī)模越來越大，其功能越來越強。我國計算機網絡的發(fā)展進程同國際上發(fā)達國家相比有一個極為顯著的區(qū)別，即發(fā)達國家的網絡有一個相對漫長而漸進的發(fā)展過程（這實際上是一個非常寶貴的實踐和經驗積累的過程） ；而我國計算機網絡的發(fā)展是用了較短的時間就達31 / 46到了相當高的水平，仿佛像脈沖從零到一的階躍。進而言之，要有一套完整的管理策略、辦法和有效地管理與控制網絡的具體技術手段。哪怕是很短暫的網絡系統(tǒng)故障時間，都可能對企業(yè)造成重大的經濟損失。2. 大規(guī)模的企業(yè)網絡采用這種運行機制，可使管理任務分散至企業(yè)機構各處，以實施對各個子網乃至整個企業(yè)網絡的管理。這樣不僅減少了廣域網頻寬使用所帶來的費用，而且提高或改善了服務器和網絡的總體性能。根據我國“九五”計劃和 2022 年所要實現(xiàn)的遠景目標，企業(yè)信息化和城市信息化的建設必定使得計算機網絡節(jié)點的數量大幅度增長。這為大規(guī)模的企業(yè)網絡管理提供了靈活的管理手段（目前，業(yè)界對這方面能力的要求為：25 個以上的專業(yè)網絡系統(tǒng)操作員可以按照系統(tǒng)事前設定的數據通路，訪問不同邏輯域的網管服務器） 。? 有效信息過濾篩選功能在龐雜的網絡監(jiān)控信息中，網絡管理軟件要能對其進行有效的過濾篩選，以便網絡系統(tǒng)操作員能掌握準確的網絡運行狀態(tài)。當前業(yè)界最高水平是采用人工智能和面向對象數據庫技術。其中包括：定義用戶的訪問時間、訪問路徑以及讀/寫權限等等。針對這一特點，網絡管理軟件應能管理來自不同廠家的網絡設備，無需用戶重新進行這方面的開發(fā)工作。為此，網絡管理軟件應具有與之連接、共享管理信息的能力，以支持用戶各種管理需求和對專用設備的特殊監(jiān)控。由于 Intra 市34 / 46場發(fā)展前景被業(yè)界普遍看好，因此有的產品已經將網絡管理信息送到 WWW 服務器上，用戶可通過瀏覽器界面獲取各種網絡信息。因此，開發(fā)工具還應提供完整的應用編程接口（Application Programming Interface） ，使用戶能方便、靈活地對網絡管理軟件進行擴充，以開發(fā)出功能更加強大的系統(tǒng)或網絡管理軟件。另外，對網絡管理軟件的投資，除了購買軟件的費用外，用戶最大的投資是要付出相當可觀的時間和人力在實踐中取得經驗，即“實踐和經驗的積累” 。新增設備型號 接口模塊 用途兩臺 Cisco 3662 路由器 2 端口 CE1 模塊2 端口以太模塊連接各營業(yè)廳連接上級系統(tǒng)兩臺 Catalyst 4006 交換機 48 端口 10/100M 以太模塊16 端口 1000M 以太模塊 構架省中心高速處理局域網兩臺 PIX 525 防火墻 2 塊千兆以太網卡3 端口百兆以太網接口 隔離內外網CiscoWorks2022 NMS(for windows/saloris) 網絡管理軟件Cisco 2651 路由器 2 端口 100M 固化接口1 端口廣域接口 每營業(yè)廳一臺，連接廣域設 備Catalyst 2950 交換機 24 端口 10/100M 接口 每營業(yè)廳一臺，連接局域設 備. Cisco 3662Cisco 3660 系列平臺在非常成功的 Cisco 2600 和 3600 系列產品的基礎上，在密度、性能、穩(wěn)固性和可服務性等方面進行了大量改進，使其可作為客戶設備（CPE）用于大型分支機構應用或完成電話服務。 Cisco 3660 系列產品插槽多的優(yōu)勢和新網絡模塊的增強性能結合在一起，能夠支持新的商業(yè)應用，如更高密度的分組話音集合和分支機構異步傳輸模式（ATM）訪問，后者的范圍可以從 T1/E1 ATM 反向多路復用技術（IMA）一直到 OC3 接口。 Cisco 3660 系列產品的獨到之處還包括綜合的電源冗余選項和模塊熱交換能力，它們?yōu)殛P鍵功能提供了更高的產品可用性。 通過使用 Cisco Works、CiscoView 和 CiscoViewStack 管理接口應用程序，Cisco 3660 系列產品的網絡管理能力更加強大。 Cisco 3660 系列產品的主要功能和優(yōu)點包括： ? 密度和性能——Cisco 3660 系列多服務平臺配置了集成端口以及 6 個擴展槽，能夠支持新的業(yè)務應用，如更高密度的分組話音集合和使用 T1/E1 IMA或 OC3 接口的分支機構 ATM 訪問。 ? 數據、話音、視頻和混合撥號訪問的集成－－Cisco 3660 系列產品使用戶能夠支持最多種類的應用，包括在單一平臺上實現(xiàn)數據、話音、視頻和混合撥號訪問的集成。除此之外，Cisco 3600 系列產品支持模塊組件現(xiàn)場升級的能力使客戶不必通過遠程分支機構解決方案的全面升級，就可以很容易地改就網絡接口和其它組件。模塊化的六槽 Catalyst4006 交換機采用業(yè)界領先的 Catalyst5500/5000 系列交換機軟件提供了用戶網絡解決方案中配線室所需的豐富的特性集。兩個電源槽口支持冗余的負載均衡容錯的電源供應，電源 DC/AC 可選?？蓴U展性和彈性由于模塊化的靈活性和模塊速度的多樣性可以可以很容易地在現(xiàn)在或未來39 / 46上升到千兆位。采用 UplinkF