【文章內容簡介】 便于建立層次結構網絡，符合 ATM 網絡的要求，存在單點失誤；? 全互連拓撲結構（Fully Meshed）：連接配置復雜，冗余度高，可靠性高，廣播環(huán)境的系統(tǒng)開銷大；? 部分互連拓撲結構（partially Meshed）：是前兩種拓撲結構的結合，采15 / 46用雙星（Twin_star）結構來避免單點失誤；較全互連拓撲結構減少了連接復雜度?？紤]到網絡上數據流的具體流向和業(yè)務需求，我們選擇的是部分互連雙星型拓樸結構，在提高了網絡可靠性的同時也可降低了復雜性，并且節(jié)約了投資。16 / 46運 營 支 撐 中 心交交交交交Catalyst 406…服 務 器 族Catalyst 406Cisco 362Cisco 362PIX 525PIX 525省 會 本 地Catalyst 406Catalyst 406Cisco 260營 業(yè) 廳重 慶中 國 網 通 云 南 通 信 公 司 運 營 支 撐 系 統(tǒng) 廣 域 網 絡 拓 樸 圖DCN中 心100MCatalyst 2950Cisco 260營 業(yè) 廳Catalyst 2950DNDN17 / 46從結構上看，此廣域網是一個星形網絡拓樸結構，它以省運營支撐中心作為云南省通信公司業(yè)務運營支撐系統(tǒng)的中心，接入到DCN中心的交換機上，各營業(yè)廳利用廣域網絡通過一條或兩條DDN專線連接到運營支撐中心，這種結構從總體上符合目前網絡上的數據流向──從各營業(yè)廳到運營支撐中心或相反方向，數據傳輸路徑得到優(yōu)化。以后業(yè)務發(fā)展時可以以在幾個地市的營業(yè)廳各建一個匯接中心，由匯接中心再連接到省中心。同時，為了保證省與上級系統(tǒng)之間業(yè)務的互通，云南需要和上級系統(tǒng)之間建立一條通道，在前文的帶寬估算中我們已有相關描述，與上級系統(tǒng)間的帶寬分別需要512Kbps的帶寬，我們建議在云南與上級系統(tǒng)間分別采用兩條相應線路連接。為了保證核心層WAN 通信的高可靠性和負載分擔，在DCN中心配置兩臺高端模塊化路由器和兩臺局域網交換機（可與運營支撐中心交換機共用） ，在運營支撐中心新增兩臺局域網千兆交換機作為核心交換機。各營業(yè)廳分別配置一臺Cisco 2600系列路由器。對于運營支撐中心與地市間的通信線路帶寬，根據前文所述的網絡帶寬估算，和我們在總結了以往建設江蘇、云南、甘肅、寧夏、青海、新疆、黑龍江等省、自治區(qū)的網絡設計的實踐經驗后，在各地市按各自的不同情況配置不等數目的E1 線路，這里的帶寬需求主要來自于計費、營業(yè)和帳務這些應用的需要，在此基礎上留出可擴充的余地和容量。一來保證系統(tǒng)中某一條線路出現故障時能不中斷正常工作，二來還為以后網絡承載客服、OA等系統(tǒng)時有足夠的帶寬，這些應用總得來說數據量很不上很大。而且由于我們采用的是模塊化產品，所以在需要擴充帶寬時很方便。. 與其它系統(tǒng)連接我們在設計中計劃將運營支撐中心置于云南網通，那么就與其它系統(tǒng)處于一幢樓內甚至同一個機房，可以通過樓內的布線利用交換機的端口將運營支撐中心其它系統(tǒng)連接起來。如果距離較遠，則可以采用專線連接的方式連接。在運營支撐系統(tǒng)與其它計算機系統(tǒng)的連接中，可以利用防火墻以如下方式進行隔離：18 / 46運營支撐系統(tǒng)核心 局域網系統(tǒng)應用服務器其它系統(tǒng)一級防火墻二級防火墻 外部的請求只能通過一級防火墻，提交到系統(tǒng)應用服務器，系統(tǒng)應用服務器接受到請求后，判別請求的類別，然后發(fā)起相應的接口服務透過二級防火墻，完成相關的業(yè)務功能。19 / 463. 網絡優(yōu)化. 路由策略 路由策略云南網通現在在各地市使用的IP地址規(guī)劃、路由管理等都需要作統(tǒng)一的規(guī)劃。南京聯創(chuàng)幾年來在全國承接了多個大型網絡，在網絡規(guī)劃方面積累了豐富的經驗。實踐證明，OSPF和EIGRP是適合于在廣域網范圍內使用的路由協(xié)議，它們收斂速度快，交換的路由信息較少。OSPF利用分層概念，使得網絡層次更清晰；而EIGRP采用路由表自動疊合技術，管理方便，配置容易。EIGRP是CISCO公司的專用協(xié)議，因此應用范圍收到限制。根據我們以往在如DCN這樣的大型計算機網絡的建設中積累的經驗，建議采用OSPF協(xié)議作為廣域路由協(xié)議。 OSPF支持等路徑條件下的負載分流。 OSPF可以將一個網絡劃分成幾個區(qū)域，對網絡管理和減輕路由器的負擔均有好處。我們將中心到市的部分作為OSPF骨干，各地市內部網絡作為一個小區(qū)，其營業(yè)網絡均處于這個小區(qū)中。這種劃分與行政區(qū)劃保持一致，便于理解和管理。. LAN 路由策略目前UNIX主機主要采用RIP路由協(xié)議交換路由信息，所以在信息網的LAN部分可以采用RIP路由協(xié)議。由于 RIP路由協(xié)議不支持子網劃分，當需要子網間通信時，RIP 無法將信息正確傳遞到目的地。采用靜態(tài)路由可以有效解決這個問題，但是靜態(tài)路由是指向下一跳的路由器地址，當該路由器失效時，即使存在其他能夠到達目的地的路由，該主機也無法利用，除非人為修改將靜態(tài)路由，這是任何一個網管人員所不能接受的。解決問題的方法是采用標準的VRRP 或CISCO 的HSRP協(xié)議。VRRP和HSRP的工作原理是一樣的，在此以HSRP為例來說明。HSRP（ Hot Standby Routing Protocol）的原理是這樣的：在一個局域網上，如果存在兩個以上的路由器，那么可以創(chuàng)建一個虛擬的路由器，而實際存在的20 / 46數個路由器均可以擔負虛擬路由器的工作，當主機以靜態(tài)路由指向該虛擬路由器時，主機發(fā)送的數據包由虛擬路由器接收，實際上由創(chuàng)建該虛擬路由器的實際路由器中優(yōu)先級最高的路由器來轉發(fā)，如果這個路由器失效，優(yōu)先級次之的路由器便自動接替工作，保證主機數據通路。. 網絡地址規(guī)劃 IP 網絡地址在網絡層不同的網絡協(xié)議具有不同的編址方法，這里給出的是在使用IP網絡協(xié)議時的編址方案。下面我們稱基于IP協(xié)議的網絡層編址為IP 地址或網間網地址，在不引起二義性的情況下簡稱為網絡地址或地址。IP地址分為五類：A類地址，B類地址，C 類地址， D類地址，E類地址。其中A類地址、B類地址、C類地址為常用地址；D類地址為多目地址；E 類地址保留。在同一個互聯網絡內網絡地址應該保持其唯一性，即一個地址只能對應一臺主機（Host） ，但是一臺主機（ Host）可以對應多個網絡地址。? 唯一性在同一個互聯網絡內網絡地址應該保持其唯一性? 簡單性地址的分配應該簡單易管理，避免在主干上采用復雜的掩碼方式。? 連續(xù)性為同一個網絡區(qū)域分配連續(xù)的網絡地址，便于縮簡路由表的表項，提高路由器的處理效率，這種技術稱為地址疊合（Summarization） 。? 可擴充性為同一個網絡區(qū)域分配的網絡地址應該具有一定的容量，便于主機數量增加時仍然能夠保持地址的連續(xù)性。? 靈活性21 / 46IP地址的規(guī)劃應考慮不同的路由協(xié)議和不同的通信鏈路技術，合理的使用VLSM（Variable Length Subing Mask）技術，能較好的適應不同的網絡的特點，節(jié)約IP地址空間。所以，地址合理分配將使得系統(tǒng)建設運行更加富有效率，反之，如果地址分配不夠完備，則會在系統(tǒng)建設中遇上很多的麻煩，甚至影響到系統(tǒng)的正常運行。根據中國網通的相關規(guī)定，全國運營支撐系統(tǒng)采用統(tǒng)一的IP網絡地址。我們將充分的理解這些規(guī)定，因地制宜地對云南網通的IP地址進行規(guī)劃。南京聯創(chuàng)系統(tǒng)集成股份有限公司近年來承接了多個大型網絡工程，在地址分配上有著成功的案例，在國內建設比較早的江蘇省DCN工程中，我們與局方一道對江蘇全省的網絡地址進行了規(guī)劃，這套規(guī)劃以后又用于甘肅、寧夏DCN等系統(tǒng)中，近年來的多個大型網絡系統(tǒng)建設的實踐證明，我公司的IP規(guī)劃技術是成功和富有效率的，所以我們也有信心與貴公司一道為云南網通的網絡IP地址作一個高效的規(guī)劃。. 網絡時間的同步網絡時間的同步分成兩個層次，一是在數據鏈路層，一是在網絡層。在數據鏈路層，路由器之間通過廣域傳輸線路通信時，必須進行時鐘同步。廣域線路有兩種，一種線路是 E1 電路，采用 標準，另一種線路采用 DDN。我們知道，E1 電路采用 HDB3 編碼格式，這種編碼格式內含時鐘信號，采用 E1傳輸，兩端路由器均從線路提取時鐘，因為傳輸網是一個時鐘源，因此路由器之間能夠同步。采用 DDN 傳輸時，由于要使用模擬專線，通過 MODEM，因此時鐘同步由 MODEM 通過 接口提供。網絡層同步采用 RFC1305 Network Time Protocol (V3)標準，目前以省中心的路由器作為主、備時間服務器，網管工作站、局域網交換機、地市中心的路由器和交換機作為下級時間服務器，同步于省中心的路由器，將來作為本地網內的時間服務器，采用 NTP3 或 SNTP4(RFC2030)向下復制時間。NTP3 能夠以很小的網絡流量，達到很高的時間同步精度，在 INTERNET上得到了廣泛的應用。22 / 46. 隊列管理機制在網絡發(fā)生擁塞時，路由器必須丟棄一些分組，這個問題的解決首先必須實施有效的隊列管理機制(或緩沖區(qū)管理策略)。目前，已經出現的隊列管理機制有：PPD(PartialPacketDiscard)、EPD(EarlyPacketDiscard)、RED(RandomEarlyDiscard)、FRED(FlowRED)、RIO(REDwithInandOut)、 BLUE等算法。比較起來， RED算法具有較低的排隊時延、較高的分組通過度(Goodput)和較好的公平性，其主要思想是：路由器計算平均排隊長度，當平均排隊長度超過某一門限時，路由器按照一丟棄概率丟棄到達的分組，而這個丟棄概率是與平均排隊長度成正比的函數。RED算法允許短時的分組突發(fā)，因而可以避免因為網絡負荷變化造成的分組丟棄；RED能避免多個TCP連接同時的超時重傳，從而保持高的帶寬利用率；此外，RED算法還能較好的支持突發(fā)業(yè)務，且確定哪些連接使用了更多的帶寬，并可以采取措施予以懲罰。FRED和RIO都是在RED上的改進或變種，FRED 對每一個業(yè)務流(或連接)都實施單獨的一個RED算法，這樣能保證更好的公平性；RIO在RED的基礎上又增加了一個門限值，在對DiffServAF業(yè)務的研究中多采用此算法。BLUE算法是IBM公司的研究人員最近才提出的另一種較新的隊列管理機制，與其他算法不同的是：BLUE算法以 “分組丟失率” 和“ 鏈路有效利用率”作為判別擁塞是否發(fā)生的標準，而之前的算法都是以路由器中的“平均分組長度” 作為擁塞是否發(fā)生的判別標準。隊列調度機制(QueueingSchedulingMechanism)不論在IntServ 還是在DiffServ里，都涉及到隊列調度問題。簡言之，隊列調度的功能就是路由器如何從多個(或一個)隊列中選擇下一個待轉發(fā)的分組，這與隊列管理機制有著本質的區(qū)別。根據不同的服務規(guī)則，隊列調度算法可以分為以下幾種：先到先服務(FCFS)、循環(huán)調度(RoundRobin) 、處理機共享(ProcessorSharing)、優(yōu)先級服務、隨機服務等。目前已出現的隊列調度算法主要有：基于循環(huán)調度的算法、基于GPS(GeneralizedProcessorSharing)的算法兩大類。一個有效的隊列調度算法應達到的性能指標主要有：公平性、時延特性、對惡意業(yè)務流的隔離能力、鏈路帶23 / 46寬的利用率、復雜性等，前4個指標與QoS密切相關?；谘h(huán)調度的算法是輪流地對每個隊列進行服務，其實現簡單，但不能對業(yè)務提供時延保證，目前主要有WeightedRR 、DeficitRR 等?；贕PS的調度算法目前主要有：加權公平排隊(WFQ) 、自時鐘公平排隊 (SCFQ)、VC(VirtualClock)等，它們(尤其是WFQ)能提供較好的公平性、時延特性以及對惡意業(yè)務流的隔離能力，但當隊列數較多時，其實現復雜度較大?；诩s束的路由(ConstrainedBasedRouting)基于約束的路由(CBR)源自QoSRouting ，只是對QoS 的限制參數進行了一定的擴充。CBR 的有效實現需要各個路由器之間的相互配合，比如相互通知各自所知道的網絡的一些狀態(tài)信息(如鏈路的剩余帶寬)。CBR的難點在于：如何在狀態(tài)信息的精確發(fā)布和發(fā)布頻率之間取得一個折衷。因為鏈路的剩余帶寬在不斷的變化，CBR既要避免狀態(tài)信息發(fā)布的滯后性，又要避免不停地頻繁發(fā)布狀態(tài)信息。CBR 的有效實現還有待進一步的研究。業(yè)務量工程(TrafficEngineering)業(yè)務量工程的主要目的在于盡量地避免網絡擁塞的發(fā)生，以保證QoS。網絡擁塞發(fā)生的原因可能有：網絡資源(比如鏈路帶寬、緩沖區(qū))的不足、以及網絡中業(yè)務的不均勻分布。當業(yè)務量不均勻分布時，則有的鏈路處于過載狀態(tài)而有的鏈路可能處于欠載狀態(tài)，此時如果我們能夠對網絡中的業(yè)務流進行適當引導，則不必增加網絡資源也可能消除擁塞。業(yè)務量工程的目的就在于：如何有效地引導業(yè)務流通過網絡以便消除由于業(yè)務量不均勻分布而造成的網絡擁塞。多協(xié)議標記交換(MPLS) 和基于受限的路由都是業(yè)務量工程的有用工具，也是目前有待進一步研究的課題。我們將在網絡工程實施中根據用戶的實際情況，合理地采用以上介紹的隊列管理機制，以保證關鍵和對延遲敏感的數據能有更高的優(yōu)先級。24 / 464. 網絡安全性及與 Inter 的連接為了提高云南網通運營支撐系統(tǒng)的服務質量，滿足用戶日益擴大的需求，在這次系統(tǒng)設計中設計了與Inter 的連接，實際上網絡的連通是很簡單的，真正要著重考慮的是安全性的設計，而且對于這樣的一個重要網絡系統(tǒng)來說，安全是一個相當重要的問題，所以先簡單介紹一下安全上的問題是很有必要的。. 網絡安全問題概述在我們所設計的系統(tǒng)中，涉及了三種安全控制，即：網絡安全性、處理機安全性和用戶安全性。其中每臺處理機的安全性可以通過UNIX的登錄過程實施控制，用戶級的安全性可以通過文件的所有者和文件訪