【文章內(nèi)容簡介】 地址分配，其中北京WAN 的 IP 地址用于連接總部到各省及北京本地區(qū) WAN的連接。 LAN的 IP地址只用于北京本地區(qū)使用。 Site WAN/LAN IP Address First Second Third Fourth Mask XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 18 byte byte byte byte 北京 WAN 10 1 0 0 16 LAN 10 2 0 0 16 上海 WAN 10 3 0 0 16 LAN 10 4 0 0 16 山西 WAN 10 9 0 0 16 LAN 10 10 0 0 16 Site WAN IP Address First byte Second byte Third byte Fourth byte Mask 山西至 臨汾 WAN 10 9 0 4 30 臨汾至 鄉(xiāng)寧 WAN 10 9 1 4 30 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 19 Site LAN IP Address First byte Second byte Third byte Fourth byte Mask 臨汾 LAN 10 10 10~14 0 24 鄉(xiāng)寧 LAN 10 10 10 32 28 此表格是體現(xiàn) IP地址分配的思想，不代表最終設(shè)計結(jié)果。 QoS實施 可選擇的工具 在 XX 保險公司網(wǎng)內(nèi)對 traffic 進行prioritization 和 rate control 有多種方法。 CoS只能提供差分服務(wù)：在網(wǎng)絡(luò)邊緣對每個 packet進行分類，骨干網(wǎng)對分類 過的 packet提供有區(qū)別的服務(wù)。 QoS則能夠提供更好和更可預(yù)測的網(wǎng)絡(luò)服務(wù)，包括： 支持獨占的帶寬 減少丟包率 避免或解決網(wǎng)絡(luò)擁塞 設(shè)置 traffic在全網(wǎng) 的優(yōu)先級 要在 XX保險公司網(wǎng)上建立端到端的 CoS服務(wù)結(jié)構(gòu)， XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 20 主要可以采用的技術(shù)手段有： IP precedence classification Committed Access Rate Weighted Random Early Detection IP Precedence for Traffic Classification IP precedence Classification在網(wǎng)絡(luò)邊緣進行，利用 IPv4包頭的 TypeofService 3個比特對每一個IP 包依據(jù)其地址進行優(yōu)先級分類。最多可以將traffic 分為 6 個等級。在核心利用不同的 Queuing技術(shù)對不同等級的 traffic 進行不同的處理，使得不同的服務(wù)級別得到體現(xiàn)。 用 CAR限制接入的帶寬 Committed Access Rate 提供一種手段來提供承諾的帶寬和限制帶寬使用，在此同時，提供處理超出承諾帶寬以外流量的策略。 CAR 可以 配置在 二級 網(wǎng) 以下的 路由器 ，可以基于接入的 端口、 IP地址以及傳輸層的端口號進行分類。 CAR采用令牌桶的算法進行流量整形。對于超出的 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 21 流量， CAR利用 extended burst定義閾值，超過閾值的流量降低優(yōu)先級或丟掉。 CAR的策略選項包括： Firm CAR – 超出的流量被丟棄 CAR + Premium – 超出的流量被標(biāo)為更低的優(yōu)先級 CAR + Best Effort – 超出的流量有一個突發(fā)的閾值，再超出該閾值的流量被丟棄 Per Application CAR – 不同的 CAR 策略作用于不同的應(yīng)用。比如，重要的應(yīng)用采用 CAR + Premium 策略，多媒體應(yīng)用采用 CAR + Best Effort 策略。 用 WRED進行擁塞管理 采用 WRED進行擁塞管理。 WRED在網(wǎng)絡(luò)的瓶頸處監(jiān)視并緩解網(wǎng)絡(luò)的擁塞。 XX保險公司的網(wǎng)絡(luò) 瓶頸可能出現(xiàn)的地方主要是 各級網(wǎng)絡(luò)中心 WAN 連接的地方。 WRED監(jiān)視網(wǎng)絡(luò)的負(fù)載，當(dāng)擁塞開始剛出現(xiàn)時，它就開始有選擇的丟棄一些包以降低流量。其結(jié)果是，數(shù)據(jù)源覺察到丟包，就開始降低發(fā)包的速率，從而避免了擁塞。 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 22 WRED 丟包的策略為：低優(yōu)先級的流先丟，以保證高優(yōu)先級的流可以順暢通過。 在可能發(fā)生擁塞的端口運行 WRED 和 DRR 是避免擁塞的較好的選擇。 實現(xiàn) 在具體實現(xiàn)中，為了達到最好的效率，需要對任務(wù)進行分工。因為 CoS 是一個需要消耗很多處理器資源的應(yīng)用，所以這一任務(wù)分配在 各級中心 路由器上運行，以減少對單獨路由器的壓力。 實現(xiàn)基于 CoS的差分服務(wù)結(jié)構(gòu)需要 4個步驟： 入口的帶寬限制在 二級以下的 路由器和 各級 LAN核心交換機 上實現(xiàn)，同時完成入口 traffic 的Classification。針對不同的用戶策略進行分類。 對需要提供帶寬保證的流量，如 多媒體 Traffic，在各級路由器 和 LAN 核心交換機 上按 IP 地址進行Classification，將這類流量的 IP Precendence值置為高，其它流量置為低。 各級 WAN設(shè)備也需要 做 帶寬管理的工作 ，采用 CAR， XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 23 對各種業(yè)務(wù)以及應(yīng)用 按照一定的 比例 對其進行帶寬限制。 二級以上的 路由器完成 CoS的管理工作，進行有差別的服務(wù)質(zhì)量保證。 出口設(shè)備， 作 WRED 設(shè)置，預(yù)告丟棄可能造成擁塞的非重要 IP包 。入口、出口設(shè)備對帶寬的限制保護了網(wǎng)絡(luò)免于擁塞，使得網(wǎng)絡(luò)具有很高的可擴展性。 CAR采用了一個令牌桶的算法進行流量整形，原理示意圖如下： 當(dāng)數(shù)據(jù)流出時， token 從桶中相應(yīng)流出。 Token 以恒定速率補充到桶中，這個速率就是承諾的帶寬。桶中可以有的最多 token 數(shù)目就是一般突發(fā)數(shù)據(jù)長度。當(dāng)數(shù)據(jù)到達時，如果桶中的 token 數(shù)目不夠數(shù)據(jù)的長度，這時， Extended 突發(fā)容量就起作用了。 (burst capability 可以通過設(shè)置 extended burst value 大于 normal burst value來達到 )。 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 24 Extended突發(fā)可以讓突發(fā)的數(shù)據(jù)借用一些 token，這樣可以以一種類似 RED的方式丟棄 packet，而不是直接丟棄掉。 在端口上配置的策略作用于 traffic，可能的動作包 括： Transmit：發(fā)送出去這些包。 Set precendence andTransimt：設(shè)置 IP 包頭中ToS域的值，以對 traffic進行分類。這種分類分為 2種， color和 recolor，后者指對 traffic進行重新分類。 Drop：丟棄數(shù)據(jù)包。 Continue：繼續(xù)測試 CAR的下一條語句。 Set precendence and continue：設(shè)置 IP 包頭的ToS的值，然后繼續(xù)測試下一條語句。 下面是設(shè)置 normal burst(NB) 和 extended burst(EB)值的公式： NB = rate * time / 8 EB = 2 * NB XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 25 這里 rate 是 Committed bandwidth， time 一般設(shè)為 。 配置 WRED 在城域網(wǎng)可能發(fā)生瓶頸的地方配置 WRED，從 整個XX人壽網(wǎng)絡(luò) 來看，可能發(fā)生瓶頸的地方是 WAN的匯聚接口 。 RED(隨機早期丟棄 )是利用 TCP 窗口機制而采用的擁塞避免技術(shù)，通過在擁塞發(fā)生前隨機丟棄一些包，RED通知數(shù)據(jù)源，可能要發(fā)生擁塞，請降低速率。 WRED依據(jù) IP precendence來丟棄數(shù)據(jù)包，以保證優(yōu)先級高的 traffic得到服務(wù)保證。 WRED一般配置在核心路由器上，而不是接入路由器。 在本網(wǎng)絡(luò)中 WRED配置在二級以上的 WAN路由器上。 WRED的處理流程如下： 計算平均的隊列長度 如果平均隊列長度小于域值下限，將到來的包放入隊列中 如果平均隊列長度在域值的下限和上限之間，是否 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 26 丟棄該包取決于這個包的優(yōu)先級 如果平均隊列長度大于域值的上限，則丟棄該包。 下面是在 北京網(wǎng)絡(luò)中心核心路由器上的 POS 鏈路上的 WRED的 Sample Configuration： interface pos 2/0 ip address randomdetect 雖然可以修改隊列度的域值，但 Cisco不推薦這么做，因為，缺省的 WRED配置是已被證明是高效的了。 舉例說明： 北京網(wǎng)絡(luò)中心的核心業(yè)務(wù)系統(tǒng)服務(wù)器的 IP 地址為 ，上海用于處理核心業(yè)務(wù)系統(tǒng)的 VLAN 為,現(xiàn)在用 QoS 來保證北京與上海之間的核心業(yè)務(wù)系統(tǒng)的優(yōu)先級為最高，帶寬為 500K。 北京中心路由器配置： classmap matchall SHTOBJ match accessgroup 100 classmap matchall BJTOSH XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 27 match accessgroup 101 ! policymap TO_BJ class SHTOBJ bandwidth 500 set ip precedence 5 class classdefault fairqueue policymap TO_SH class BJTOSH bandwidth 500 set ip precedence 5 class classdefault fairqueue ! interface GEther1/0/1 description BJ LAN ip address servicepolicy output TO_BJ XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 28 ! interface POS1/0/ description BJ to SH ip address servicepolicy output TO_SH ! accesslist 100 permit ip host precedence critical accesslist 101 permit ip host precedence critical 上海分公司也做相應(yīng)的配置 網(wǎng)絡(luò)安全 在具體實施公司網(wǎng)絡(luò)的安全保護前，必須詳細(xì)編寫XX人壽公司的網(wǎng)絡(luò)安全策略。公司的安全策略是實施和管理公司網(wǎng)絡(luò)安全的準(zhǔn)則。 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 29 Inter 接入安全解決方案 XX人壽公司在 公司網(wǎng)絡(luò)的 Inter接入點配置兩臺防火墻和兩臺 IDS，防火墻與 IDS 各自之間可以failover。 LAN 安全解決方案 在局域網(wǎng)中的核心交換機上配置防火墻和 IDS 模塊，控制 VLAN間的網(wǎng)絡(luò)安全。 遠程接入解決方案 ? 在公司總部部署 VPN 集中器，并且在客戶端安裝 VPN client軟件，使遠程用戶與公司之間傳輸?shù)臄?shù)據(jù)得到安全的保護。 ? 針對遠程用戶部署訪問控制服務(wù)，對每個遠程接入的用戶進行安全的認(rèn)證。 終端用戶安全解決方案 ? 公司統(tǒng)一部署防病毒軟件，如果資金允許可 以在公司內(nèi)部部署準(zhǔn)入控制系統(tǒng)。 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 30 ? 局域網(wǎng)中的終端用戶 必須經(jīng)過 以訪問網(wǎng)絡(luò)。 WAN 安全解決方案 ? 在路由器之間進行 MD5認(rèn)證； ? 可以在公司總部和省級網(wǎng)絡(luò)中心之間部署 MPLS VPN； ? 在路由器上關(guān)閉不需要的服務(wù)； ? 以適當(dāng)?shù)募墑e登陸路由器。 路由策略 考慮以下幾個方面的原因， XX 人壽公司的網(wǎng)絡(luò)路由協(xié)議采用 OSPF+靜態(tài)路由協(xié)議。 ? OSPF 是開放的 IETF標(biāo)準(zhǔn)協(xié)議； ? OSPF已被證明是可靠的和可擴展的； ? 高效的路由聚合和缺省路由機制在 OSPF中是現(xiàn)存的； ? OSPF和 MPLS的結(jié)合是被證明成功的，而 ISIS和 MPLS的結(jié)合需要對 ISIS進行修改； XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項目建議書 31 ? 靜態(tài)路由具有很強的穩(wěn)定性。 一級和二級中心的路由器運行 OSPF在 Area 0中，二級中心到三級中心路由器以省為單位分別運行OSPF在 Area1~Area31，四級網(wǎng)絡(luò)中心采用靜態(tài)路由協(xié)議與三級網(wǎng)絡(luò)中心互聯(lián)。 第六章 VOIP 系統(tǒng) 概述 XX 保險網(wǎng)絡(luò)的建設(shè)很