【文章內(nèi)容簡介】 列中，其它的數(shù)據(jù)被放在一般優(yōu)先級的輸出隊列中。這種對重要業(yè)務和對時間敏感數(shù)據(jù)的智能管理特性使本交換機更適合于的各種應用。本交換機提供了端口流量控制特性，如：IGMP Snooping技術，它支持組廣播數(shù)據(jù)流的傳輸。IGMP Snooping 緩沖IP組播信息，且只向參加該組播的交換機端口轉(zhuǎn)發(fā)該數(shù)據(jù)。通過結(jié)合數(shù)據(jù)隊列， Snooping，可使多媒體和實時數(shù)據(jù)優(yōu)先轉(zhuǎn)發(fā)，同時對端口的實時監(jiān)控，有限度限制用戶用BT的下載速度，從而避免了帶寬被某用戶因為用BT而造成小區(qū)帶寬被單獨占有，為其他用戶保證了正常的網(wǎng)絡傳輸速度，這樣既保證了傳輸性能又避免了不要的網(wǎng)絡帶寬損耗，將廣播風暴的影響減少到了最少。 VLAN （虛以局域網(wǎng)）提供了很高級別的安全性，VLAN之間不能直接通信，同時有效地抑制了廣播風暴。VLAN的劃分非常方便，可以將網(wǎng)絡中不同交換機下用戶劃到同一個VLAN中，也可以將一臺交換機下不同用戶劃分到不同的VLAN中，不需要對網(wǎng)絡布局作任何變更。為此，S4108M/S2916F1/s29224F1 提供了一項劃分VLAN的功能，使網(wǎng)絡管理員可以根據(jù)需要將用戶劃分為幾個不同的VLAN。這樣既便于管理，又可以提供安全性。被劃分到相同VLAN的用戶可以內(nèi)部共享網(wǎng)絡資源，并保證各VLAN之間訪問的獨立性。鏈路聚合（Trunk） 也叫端口聚合，交換機多個端口可以聚合一起，用以增加網(wǎng)絡鏈接帶寬，同時提供網(wǎng)絡鏈路備份。端口Trunk可以平衡流經(jīng)每個端口的負載。S4108M/S2916F1/s29224F1 全面支持Trunk協(xié)議，最多可支持4，8，12組Trunk。應用本交換機可以組建一個高性能的網(wǎng)絡，兼顧可用性，可維護性，可擴充性，可適應性，可管理性和VLAN安全性；適應多媒體下需要，具有開放性和互操作性，保護用的已投資。采用S4108M/S2916F1/s29224F1作為整個小區(qū)接入用戶的最終匯聚，在網(wǎng)絡應用中，S4108M/S2916F1/s29224F1在多業(yè)務能力、安全功能、服務創(chuàng)建能力以及可擴展性方面將會有值得稱道的表現(xiàn)。它不僅具備用戶接入管理、身份認證、帶寬許可、MAC地址管理和服務質(zhì)量（QOS）、遠程監(jiān)控等功能，可以針對不同的業(yè)務提供靈活的計費方式，這樣既能夠為用戶提供多種類型的服務，又滿足了運營商對網(wǎng)絡可運營性的要求，從而實現(xiàn)統(tǒng)一的網(wǎng)絡業(yè)務調(diào)度和管理。同時，S4108M/S2916F1/s29224F1采用ACL功能，在保證網(wǎng)絡安全的同時，能夠節(jié)省防火墻的投資，簡化網(wǎng)絡結(jié)構(gòu)，從而實現(xiàn)了以經(jīng)濟的構(gòu)架獲取可運營、可管理、可增值的高性能網(wǎng)絡,為廣州地區(qū)全面實現(xiàn)智能化小區(qū)作出了強而又力的解決方案。2綜合布線系統(tǒng)對于現(xiàn)代化的大樓來說，綜合布線就如體內(nèi)的神經(jīng)，它采用了一系列高質(zhì)量的標準材料，以模塊化的組合方式，把語音、數(shù)據(jù)、圖像和部分控制信號系統(tǒng)用統(tǒng)一的傳輸媒介進行綜合，經(jīng)過統(tǒng)一的規(guī)劃設計，綜合在一套標準的布線系統(tǒng)中，將現(xiàn)代建筑的各個子系統(tǒng)有機地連接起來，為現(xiàn)代建筑的系統(tǒng)集成提供了物理介質(zhì)。我們采用的布線方式是：在小區(qū)與城域網(wǎng)之間鋪設光纖主干, 包括核心主干和二級主干, 根據(jù)距離可以選擇不同類型及型號的光纖及其他相關設備, 并依據(jù)各區(qū)相距的距離, 選擇光纖鋪設, 結(jié)構(gòu)為環(huán)型或網(wǎng)狀星形。 各樓宇內(nèi)部鋪設五類以上雙絞線, 在住戶家中預留RJ45 信息插座。 圖32 小區(qū)綜合網(wǎng)絡圖3邏輯傳輸網(wǎng)絡的設計邏輯傳輸網(wǎng)絡的設計主要包括策略路由、流量平衡及控制、IP劃分等方面的內(nèi)容。1策略路由策略路由是一種比基于目標網(wǎng)絡進行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。應用了策略路由，路由器將通過路由圖決定如何對需要路由的數(shù)據(jù)包進行處理，路由圖決定了一個數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。 應用策略路由，必須要指定策略路由使用的路由圖，并且要創(chuàng)建路由圖。一個路由圖由很多條策略組成，每個策略都定義了1個或多個的匹配規(guī)則和對應操作。一個接口應用策略路由后，將對該接口接收到的所有包進行檢查，不符合路由圖任何策略的數(shù)據(jù)包將按照通常的路由轉(zhuǎn)發(fā)進行處理，符合路由圖中某個策略的數(shù)據(jù)包就按照該策略中定義的操作進行處理。 策略路由可以使數(shù)據(jù)包按照用戶指定的策略進行轉(zhuǎn)發(fā)。對于某些管理目的，如QoS需求或VPN拓撲結(jié)構(gòu)，要求某些路由必須經(jīng)過特定的路徑，就可以使用策略路由，一個策略可以指定從某個網(wǎng)絡發(fā)出的數(shù)據(jù)包只能轉(zhuǎn)發(fā)到某個特定的接口。2 流量控制網(wǎng)絡結(jié)構(gòu)中包括骨干和接入兩部分。網(wǎng)絡骨干指小區(qū)中心機房與各樓宇間連線部分，采用高速核心級以太網(wǎng)骨干交換機，網(wǎng)絡接入指各個樓宇內(nèi)到各用戶部分，采用自適應速率工作組級以太網(wǎng)交換機，可以根據(jù)用戶數(shù)量，確定交換機端口密度及級連結(jié)構(gòu)。網(wǎng)絡布線結(jié)構(gòu)和線纜的選擇設計應嚴格遵從以太網(wǎng)設計要求，如采用10／100／1000Mbit／s以太網(wǎng)時，應考慮骨干光纖的種類及允許傳輸?shù)木嚯x等，對相關網(wǎng)絡布線參數(shù)嚴格把關，如：遠端串擾、回波損耗等。骨干網(wǎng)采用千兆或百兆以太網(wǎng)技術，每個用戶端采用10／100 Mbit／s以太網(wǎng)技術，并且與出口帶寬相結(jié)合，進行流量控制和帶寬調(diào)整，可以采用VLAN技術縮小用戶的廣播域，提高帶寬使用效率。網(wǎng)絡設備的選擇，骨干交換機擔負著全網(wǎng)運營的重擔，應具備高性能（如大吞吐能力），高可擴展性（如具有堆疊能力），可配置高端口密度及大吞吐量擴展卡，高可靠性，具有冗余設計，部件可以帶電插拔，易于更換，良好的服務質(zhì)量及網(wǎng)絡控制能力和可管理性，支持通用的網(wǎng)管協(xié)議，如SNMP、RMON等。接入交換機構(gòu)成的用戶接入網(wǎng)絡，應保持靈活性，可以在樓宇內(nèi)任意擴展接入端口數(shù)量。支持高速上行和多個接入端口，具有一定的網(wǎng)絡服務質(zhì)量和控制能力。3 IP劃分IP(Internet protocol互聯(lián)網(wǎng)協(xié)議)地址是在Internet上的站點及相關設備的地址，它是由Internet指定數(shù)字委員會(IAAA)確定的，確保了它在世界上的唯一性。在IPv4技術應用于互聯(lián)網(wǎng)的今天，IP地址資源到2010年將近枯竭，在Ipv6技術應用之前，我們要合理使用IP地址資源。當申請到一個建網(wǎng)的IP地址之后，必須合理地劃分子網(wǎng)，每個子網(wǎng)中的IP地址要合理使用，既要滿足當今的需要，也要預留將來網(wǎng)絡擴展時所需，以便有足夠的各類服務器連入Internet。按照小區(qū)現(xiàn)有用戶500戶左右的規(guī)模,結(jié)合以上分配原則,網(wǎng)絡中心將給小區(qū)4公寓分配6個連續(xù)的C類IP地址。其中每個樓層一個C類地址(254個連續(xù)可用IP地址),每個房間預分配5個IP地址。小區(qū)4公寓網(wǎng)絡IP地址分配如表1,。DN S:。每個房間的起始IP的選擇方法如下:以本樓的網(wǎng)絡IP地址為基礎,在其第3段加上本房間所在的樓層號,然后再在其第4段加上本房間所在的房間號5。表1 小區(qū)網(wǎng)絡IP分配表樓層IP范圍網(wǎng)關1層2層3層4層5層6層4網(wǎng)絡管理平臺的實現(xiàn)作為一個公共的網(wǎng)絡服務平臺，網(wǎng)絡的可管理性主要包括用戶的安全認證、計費、管理等方面。對于網(wǎng)絡的配置管理、故障管理和性能管理，以太網(wǎng)的管理是比較簡單的，如出現(xiàn)流量過大，需要進行網(wǎng)絡擴容及網(wǎng)絡優(yōu)化等，主要依靠該平臺保持用戶服務的可用性。1用戶認證與計費與公司內(nèi)部局域網(wǎng)不同，智能小區(qū)網(wǎng)絡主要向用戶提供網(wǎng)絡接入服務，應從網(wǎng)絡通信層次上控制用戶的上網(wǎng)服務，給予用戶認證，并提供全網(wǎng)的計費策略，建立計費服務平臺，目前計費的依據(jù)主要有基于流量或時間兩種方式，關鍵是如何在原始數(shù)據(jù)上建立自己的資費模式。最普遍的模式為固定費率，即我們常說的包月制，存在著不符合用戶真實情況，沒有體現(xiàn)多用多付出的基本原則，只適合于提供服務初期或提供優(yōu)惠政策時；基于時間的資費模式，比較合理，但因為是基于以太網(wǎng)技術，只要開機就會監(jiān)測到相關的IP、MAC地址，如果開機而沒上網(wǎng)，也會計費，對用戶也是一種損失；基于流量的計費模式是目前最合理、最公平的，每一個用戶都有固定的地址，只有在用戶使用網(wǎng)絡服務時才產(chǎn)生流量，依據(jù)此地址的進出流量提供報表作為計費依據(jù)是可行的。但是應該考慮到在以太網(wǎng)廣播域內(nèi)部的廣播、組播部分的流量，大部分是用于地址發(fā)現(xiàn)和網(wǎng)絡正常運營中產(chǎn)生的流量，可以平均分攤給各個用戶。記流量這種模式，對設備硬件及網(wǎng)管系統(tǒng)有一定要求：能夠基于每一個地址統(tǒng)計流量；有足夠的存儲空間存儲計費數(shù)據(jù)；有相關的賬務系統(tǒng)，可以給用戶提供賬單。以上三種方式可以結(jié)合使用或者靈活組合，如時間模式中可以夜間半價，流量模式中可以計算下行流量等。對于多功能系統(tǒng)網(wǎng)絡服務運營平臺,以及管理高效的智能化社區(qū)的網(wǎng)絡建設,僅僅有高速的物理網(wǎng)絡是遠遠不夠的,還需要客戶服務運營管理,用以形成強大的后臺支撐系統(tǒng),推薦采用在城域網(wǎng)中心提供集中的管理計費。通過采用集中計費管理,就不用在每個小區(qū)設置網(wǎng)絡中心,從而大大節(jié)約管理成本,使運營商處于有利的競爭地位。2網(wǎng)絡設備管理對于一個完整的社區(qū)網(wǎng)絡而言,由于存在著大量的網(wǎng)絡設備,所以為了保障整個網(wǎng)絡正常運作,就需要使用網(wǎng)管軟件來對整個網(wǎng)絡的運作進行監(jiān)控。網(wǎng)絡安全的正常運行、網(wǎng)絡資源的合理使用,都離不開完善的網(wǎng)管系統(tǒng)。網(wǎng)管系統(tǒng)通過SNMP、RMON等網(wǎng)絡管理協(xié)議,對網(wǎng)絡中的網(wǎng)絡設備進行遠程的監(jiān)控,通過探測每臺網(wǎng)絡設備的工作狀態(tài),來保證整個網(wǎng)絡的可靠性,一旦網(wǎng)絡設備出現(xiàn)問題,則網(wǎng)管系統(tǒng)就會及時準確的發(fā)現(xiàn)問題所在,并發(fā)出警告信息。網(wǎng)管的另一重要的任務是記錄網(wǎng)絡的運行狀態(tài),這將為日后網(wǎng)絡資源的合理調(diào)配提供準確的數(shù)據(jù),另外通過監(jiān)測網(wǎng)絡中的數(shù)據(jù)流量,可計算出各網(wǎng)絡使用單位對網(wǎng)絡運行所應承擔的費用。網(wǎng)管系統(tǒng)是由安裝在網(wǎng)絡設備中的網(wǎng)絡管理模塊和網(wǎng)絡管理工作站組成:位于設備中的網(wǎng)管模塊負責收集設備本身運行狀態(tài)的各項指標和參數(shù),然后將其發(fā)送到指定網(wǎng)管工作站上；網(wǎng)管工作站負責接收這些信息,然后對其進行分析和整理,做出必要的反應。3數(shù)據(jù)通信安全管理由于社區(qū)網(wǎng)絡是提供公共接入服務的運營管理平臺,所以在為用戶提供了高速接入的同時,用戶數(shù)據(jù)通信的安全性將是一個需要迫切解決的問題。由于傳統(tǒng)以太網(wǎng)技術本身的一些弱點,如:廣播、SPT等,對整個網(wǎng)的服務可靠性造成威脅。同時如果不采取措施,以太網(wǎng)內(nèi)的用戶,將面臨本地黑客從網(wǎng)絡第二層次的直接竊聽甚至攻擊。本方案中使用寬帶以太網(wǎng)VCN交換機,利用VCN交換機端口的硬件特性從網(wǎng)絡二層上完全隔離了每個端口的用戶數(shù)據(jù)流而實現(xiàn)用戶數(shù)據(jù)的安全性,同時由于通過硬件提供網(wǎng)絡安全,因此不會降低網(wǎng)絡的整體性能。由于VCN交換機從物理上解決了安全問題,因此在該種交換機中不存在VLAN問題,從而大幅度減少整個網(wǎng)絡的VLAN數(shù)目,使得整個網(wǎng)絡更容易實現(xiàn)。另外對于一個完整的社區(qū)網(wǎng)絡來說,不僅僅要考慮到內(nèi)部用戶在社區(qū)內(nèi)數(shù)據(jù)通信的安全性,同時也要考慮到內(nèi)部用戶在社區(qū)外時訪問社區(qū)內(nèi)網(wǎng)絡的數(shù)據(jù)通信的安全性,所以對于一個移動用戶通過公網(wǎng)來訪問社區(qū)網(wǎng)絡的安全性問題,一般通過虛擬私有網(wǎng)絡(VPN)來實現(xiàn),這些對于處于網(wǎng)絡二層上的VCN交換機而言也是完全透明的。采用3COM VCN社區(qū)專用寬帶接入交換機,利用其獨有的數(shù)據(jù)轉(zhuǎn)發(fā)機制,則可以在節(jié)約以上成本的情況下,完全的實現(xiàn)內(nèi)網(wǎng)安全。4網(wǎng)絡安全管理網(wǎng)絡安全管理一般涉及兩方面問題，由于以太網(wǎng)技術本身的一些弱點，如：廣播、SPT等，對整網(wǎng)的服務可靠性造成威脅。同時如果不采取措施，以太網(wǎng)內(nèi)的用戶，將面臨本地黑客從網(wǎng)絡第二層次的直接竊聽甚至攻擊。對于以上問題，一般采用虛擬網(wǎng)絡技術從用戶端口到網(wǎng)絡出口專用邏輯通路。但由于一般網(wǎng)絡將承載數(shù)以百計的用戶，網(wǎng)絡管理員通過靜態(tài)設置，管理同樣數(shù)量的虛擬網(wǎng)和路由，其繁雜度和不靈活性可想而知。與此同時還要考慮此種設置方案下，網(wǎng)絡設備的承載能力。由此可見，社區(qū)網(wǎng)絡設計中網(wǎng)絡運營管理平臺的設計建設與接入網(wǎng)相配套是非常關鍵的。根據(jù)本網(wǎng)絡對網(wǎng)絡的安全控制要求,網(wǎng)絡管理系統(tǒng)要求能夠?qū)φ麄€網(wǎng)絡進行網(wǎng)絡的劃分和管理以及交換機配制管理,以保證網(wǎng)絡用戶在各自的職權范圍內(nèi)進行操作,避免對其它用戶造成干擾和侵犯。因此使用3COM公司的Network Supervisor作為網(wǎng)管軟件,提供上述的各種功能。5網(wǎng)絡服務平臺的優(yōu)化網(wǎng)絡服務平臺的優(yōu)化我們主要研究防火墻的建立。防火墻的作用表現(xiàn)在：1）內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻 這是防火墻所處網(wǎng)絡位置特性，同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)部網(wǎng)絡不受侵害。 根據(jù)美國國家安全局制定的《信息保障技術框架》，防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界，屬于用戶網(wǎng)絡邊界的安全保護設備。所謂網(wǎng)絡邊界即是采用不同安全策略的兩個網(wǎng)絡連接處，比如用戶網(wǎng)絡和互聯(lián)網(wǎng)之間連接、和其它業(yè)務往來單位的網(wǎng)絡連接、用戶內(nèi)部網(wǎng)絡不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。 2）只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻最基本的功能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網(wǎng)絡接口，同時擁有兩個網(wǎng)絡層地址。防火墻將網(wǎng)絡上的流量通過相應的網(wǎng)絡接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網(wǎng)絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡接口=2）轉(zhuǎn)發(fā)設備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。3）防火墻自身應具有非常強的抗攻擊免疫力 這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡安全防護重任的先決條件。防火墻處于網(wǎng)絡邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統(tǒng)本身是關鍵，只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。 防火墻產(chǎn)品