【正文】 地址進行子網(wǎng)劃分，從地址的主機部分借取若干位作為子網(wǎng)號， 剩余部分仍然表示主機號，另外，為了靈活地在不同規(guī)模的子網(wǎng)中分配不同數(shù)量 IP地址，我們需要采用VLSM技術(shù)，它可根據(jù)需要在任意位劃分子網(wǎng)邊界，對一個主網(wǎng)絡(luò)號，可分出最小只有兩個主機號的子網(wǎng)，亦可劃分出一個較大的子網(wǎng)，因此它很靈活，特別是在廣域在中，只需兩個主機號地址，VLSM非常有用，大大節(jié)約了地址空間，又保證了網(wǎng)絡(luò)設(shè)計的靈活性。 在進行地址分配時，一般先用一個定長的子網(wǎng)掩碼將地址空間分成若干個相同規(guī)模的子網(wǎng)，再在每個子網(wǎng)中根據(jù)所需的子網(wǎng)數(shù)量和規(guī)模采用VLSM進行子網(wǎng)的細分。 采用VLSM時應(yīng)注意下列三點： 216。 事先要有規(guī)劃，使子網(wǎng)以可疊合的塊進行分配 216。 可能會造成對已有網(wǎng)絡(luò)地址的重新設(shè)置 216。 新的網(wǎng)絡(luò)必須仔細規(guī)劃地址分配 為縮減路由表的款項，提高路由的效率，路徑疊合(Route Summarization 或 Route Aggregation) 是一個非常重要而有效的手段。分子網(wǎng)是將網(wǎng)絡(luò)號向主機號部分擴展、即網(wǎng)絡(luò)邊界向右移的過程，而路徑疊合則是劃分子網(wǎng)的逆過程，通過將子網(wǎng)的邊界向左移的過程，可用一個較大的子網(wǎng)來代表一組連續(xù)的子網(wǎng)。 因此，路徑疊合又稱為子網(wǎng)的集結(jié)或超級子網(wǎng)，它可得到縮小路由表，降低路由器內(nèi)存的使用，并減少路由協(xié)議產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)流量。 對于具體IP網(wǎng)段規(guī)劃，要求每個業(yè)務(wù)網(wǎng)絡(luò)內(nèi)部IP網(wǎng)段能夠匯聚，并且每個業(yè)務(wù)網(wǎng)段T3A和T3B能夠分別匯聚，這樣，有利于路由策略控制，如：—，離港T3A —，離港T3B —，這樣，離港T3A和T3B IP網(wǎng)段既能分別匯聚，又能整體匯聚。6. 各業(yè)務(wù)網(wǎng)VLAN規(guī)劃原則各業(yè)務(wù)子網(wǎng)：地面運行、離港、商業(yè)、OA、無線、行李、安防VLAN規(guī)劃原則如下：為了避免VLAN內(nèi)廣播整網(wǎng)影響，因此避免跨業(yè)務(wù)網(wǎng)核心交換機劃分VLAN，各業(yè)務(wù)VLAN終結(jié)到本地匯聚交換機，所有匯聚交換機同核心交換機之間采用三層點對點方式互通。這樣，每個VLAN內(nèi)局部廣播不會對機場網(wǎng)絡(luò)整體產(chǎn)生任何影響，保證整個網(wǎng)絡(luò)的穩(wěn)定。不同匯聚節(jié)點VLAN之間以及不同匯聚節(jié)點和核心節(jié)點之間的VLAN互通時，通過三層單播路由方式實現(xiàn)。VLAN三層網(wǎng)關(guān)沒必要終結(jié)到接入交換機，因為還是有跨接入交換機的VLAN互通，而且如果VLAN終結(jié)到接入交換機，必然要求接入交換機上行鏈路為三層點對點鏈路，并且運行OSPF，這就會導致接入交換機具有全網(wǎng)路由，接入交換機故障業(yè)務(wù)導致整個業(yè)務(wù)網(wǎng)路由收斂，進而影響路由穩(wěn)定。因此，VLAN只需要終結(jié)到本地匯聚交換機即可，如無特殊情況，不要實現(xiàn)跨不同匯聚點的匯聚交換機之間VLAN互通。7. QoS規(guī)劃方案 QoS需求 針對T3航站樓網(wǎng)絡(luò)系統(tǒng)承載應(yīng)用的特點，對應(yīng)用進行分類，以保證各自數(shù)據(jù)傳輸不受影響，對于敏感性的應(yīng)用應(yīng)能提供帶寬保證。如語音通訊、視頻通訊等。在辦公自動化網(wǎng)絡(luò)上要提供語音、視頻的傳輸；數(shù)據(jù)可以根據(jù)重要級別進行分類，進而提供不同的優(yōu)先級保證。各業(yè)務(wù)子網(wǎng)QoS規(guī)劃一、業(yè)務(wù)流區(qū)分，對不同的業(yè)務(wù)進行標記從而達到區(qū)分不同業(yè)務(wù)流的目的在各業(yè)務(wù)子網(wǎng)核心交換機上，根據(jù)相應(yīng)的流分類策略，區(qū)分不同業(yè)務(wù)，標記DSCP：實時業(yè)務(wù)(如視頻):DSCP標記為EF需要帶寬保障的業(yè)務(wù)(如生產(chǎn)數(shù)據(jù)):DSCP標記為AF4異地備份數(shù)據(jù):IP DSCP標記為AF3管理信息:IP DSCP標記為AF2二、流量管理，可以根據(jù)情況采用CAR的策略，對部分業(yè)務(wù)限制帶寬，從而減少非關(guān)鍵業(yè)務(wù)對帶寬的沖擊。三、帶寬保障，對關(guān)鍵性的業(yè)務(wù)進行帶寬分配。在核心交換機上設(shè)置相應(yīng)的業(yè)務(wù)隊列（EF、AFAF3以及AF2隊列）并為每個隊列設(shè)置相應(yīng)的帶寬保證。分類著色策略在各業(yè)務(wù)子網(wǎng)中，在匯聚交換機上著色，對業(yè)務(wù)流進行分類：預(yù)留、語音（保證每路30K）、視頻（保證768K～2M）、加密公文（中等）、其他業(yè)務(wù)（最低保證）。在路由器/交換機上對不同的業(yè)務(wù)流打上不同的IP優(yōu)先級，對應(yīng)的優(yōu)先級如下：IP優(yōu)先級： 預(yù)留：6,7 語音：5 視頻：4 辦公公文： 31 其他業(yè)務(wù)：0 利用CAR 在設(shè)備連接的接口上標記分類。調(diào)度策略 不同業(yè)務(wù)子網(wǎng)核心交換機上根據(jù)優(yōu)先級區(qū)分流，并配置基于流的加權(quán)公平隊列CBQ，并配置基于流的DifferServ。CBQ以及Differserv根據(jù)報文的流分類報文提供不同的轉(zhuǎn)發(fā)策略，對于EF類業(yè)務(wù)將分別保證帶寬和時延，對于AF類業(yè)務(wù)將保證業(yè)務(wù)帶寬，其它類業(yè)務(wù)將只保證可達性。丟棄策略做CAR的時候，超過預(yù)定流量的直接丟棄。各業(yè)務(wù)子網(wǎng)具體業(yè)務(wù)的QOS保障和應(yīng)用在核心骨干網(wǎng)和安防、OA、商業(yè)網(wǎng)絡(luò)上肯定會有語音、視頻等流量在網(wǎng)絡(luò)上傳送，在網(wǎng)絡(luò)設(shè)備的QOS保障是必不可少。下面以視頻會議的QOS保障為例，來說明H3C系列設(shè)備的QOS在業(yè)務(wù)網(wǎng)上的應(yīng)用。一、在匯聚交換機設(shè)備上對視頻流進行分流和著色。在不同業(yè)務(wù)子網(wǎng)匯聚交換機上，運用ACL 策略對視頻流進行分流，把關(guān)鍵業(yè)務(wù)流同其他流量區(qū)分開來，在交換機上用QOS CAR對視頻流進行著色處理，使其IP precedence值設(shè)置為緊急隊列EF。二、在匯聚交換機配置策略，使DSCP匹配EF的視頻流進入緊急優(yōu)先發(fā)送隊列LLQ，同時在上行鏈路上應(yīng)用該策略，保障關(guān)鍵業(yè)務(wù)流得到交換機的優(yōu)先發(fā)送。三、同樣在業(yè)務(wù)網(wǎng)核心交換機上，可以設(shè)置同樣的策略，使DSCP匹配EF的關(guān)鍵業(yè)務(wù)流進入各自的緊急優(yōu)先發(fā)送隊列，同時在各個流出口的接口上應(yīng)用該策略，關(guān)鍵業(yè)務(wù)流均能得到優(yōu)先發(fā)送。四、通過在全網(wǎng)配置的策略一致，保障了關(guān)鍵業(yè)務(wù)流在各級交換機的優(yōu)先發(fā)送級別，從而在全網(wǎng)范圍內(nèi)保障視頻的低延時、低抖動，實現(xiàn)對關(guān)鍵業(yè)務(wù)流在整網(wǎng)的端到端的QOS保障。同樣，對于語音這類對丟包非常敏感的報文，H3C系列網(wǎng)絡(luò)設(shè)備有RTP實時傳輸協(xié)議來對語音流進行可靠的低延時、低丟包的端到端的QOS保證。對于其他對延時沒有具體要求的業(yè)務(wù)數(shù)據(jù)流，一般都是要求有一定的帶寬保障。同樣的按照前述QOS的實施思路，通過分流、著色、應(yīng)用策略使此類業(yè)務(wù)進入AF隊列，從而也能達到對特定的業(yè)務(wù)數(shù)據(jù)流的帶寬保證。華為3Com網(wǎng)絡(luò)設(shè)備DiffServ/QoS功能特點 支持多種流分類規(guī)則：基于入端口、源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號、是否是IP分段報文、ICMP報文類型、IP優(yōu)先級、DSCP優(yōu)先級、TOS優(yōu)先級、VLAN ID號、源MAC地址、目的MAC地址等，提供多種規(guī)則組合條件下的流分類；支持流量監(jiān)管（CAR），粒度為8Kbps；支持擁塞避免，算法包括WRED和TailDrop；支持三種丟棄優(yōu)先級WRED；支持優(yōu)先級標記Mark/Remark；支持端口鏡像和流鏡像；支持隊列調(diào)度機制WRR、SP，SP+WRR；支持輸出流整形（Traffic Shaping），流量整形（Traffic shaping）粒度為650K；支持每個端口8個優(yōu)先級隊列；支持VOQ、支持交換網(wǎng)級反壓以及系統(tǒng)級反壓；；完全做到業(yè)務(wù)區(qū)分并保證帶寬/時延/抖動，可以為用戶提供具有不同服務(wù)質(zhì)量等級的服務(wù)保證，使IP網(wǎng)絡(luò)真正成為同時承載數(shù)據(jù)、語音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。8. 整體網(wǎng)絡(luò)技術(shù)性能說明 核心層網(wǎng)絡(luò)交換容量和可靠性分析 l 核心層網(wǎng)絡(luò)設(shè)備為華為3Com核心萬兆路由交換機S9512，S9512配置所有板卡支持全分布式線速轉(zhuǎn)發(fā)，整機交換容量720G，包轉(zhuǎn)發(fā)率428Mpps。l 設(shè)備單個電源失效不會影響設(shè)備正常運行。l 單臺S9500轉(zhuǎn)發(fā)延時在10微秒之內(nèi)。各業(yè)務(wù)網(wǎng)性能指標詳細描述 各業(yè)務(wù)網(wǎng)核心交換機一律采用S9512。l 對于地面運行網(wǎng)絡(luò)，匯聚層交換機采用了二代主控S9505，二代主控S9505交換容量600Gbps，包轉(zhuǎn)發(fā)率357Mpps，所有配置板卡支持全線速分布式轉(zhuǎn)發(fā)，二代主控S9505其他各項性能指標完全同S9512。l 對于離港、商業(yè)、無線、OA網(wǎng)絡(luò)，匯聚交換機采用S7506R或S7506,S7506R/7506交換機采用全分布式轉(zhuǎn)發(fā)，交換容量384Gbps，整機包轉(zhuǎn)發(fā)198Mpps。各業(yè)務(wù)網(wǎng)二層鏈路自愈時間 對于各業(yè)務(wù)網(wǎng)以下的二層SpanningTree收斂，所有選擇交換機支持RSTP和MSTP，RSTP可以實現(xiàn)1秒二層收斂，MSTP可以實現(xiàn)接入交換機不同上聯(lián)二層鏈路實現(xiàn)負載分擔和備份，考慮到維護多個實例SpanningTree管理復(fù)雜性，以及實際流量需求，不建議采用MSTP。9. 網(wǎng)絡(luò)安全方案 首都機場T3信息系統(tǒng)網(wǎng)絡(luò)需求分析 機場網(wǎng)絡(luò)系統(tǒng)在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用模式下，可能存在的主要安全風險： 網(wǎng)絡(luò)系統(tǒng)平臺的可靠性可用性保證：首都機場T3網(wǎng)絡(luò)承載非常復(fù)雜而且非常重要的應(yīng)用系統(tǒng)，必須有效的保證內(nèi)部網(wǎng)絡(luò)平臺的可靠性和可用性，網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計必須提供足夠設(shè)備和線路的冗余，網(wǎng)絡(luò)設(shè)備必須具備足夠強的可靠性和安全性，必須能夠提供豐富Qos特性，保證關(guān)鍵應(yīng)用性能； 外部連接網(wǎng)絡(luò)邊界安全攻擊的風險：首都機場T3系統(tǒng)有多個外部網(wǎng)絡(luò)連接，必須能夠?qū)@些連接的數(shù)據(jù)流進行深度的檢測和嚴格的控制，進行精細化的管理，才能夠真正的保證這些連接不會引入安全攻擊風險，而且也保證醫(yī)院內(nèi)部網(wǎng)絡(luò)風險不會擴散到相連接的其他網(wǎng)絡(luò)中； 首都機場T3內(nèi)部數(shù)據(jù)中心遭受攻擊的風險：首都機場T3網(wǎng)絡(luò)承載多種復(fù)雜應(yīng)用系統(tǒng)，機場業(yè)務(wù)強烈依賴這些應(yīng)用系統(tǒng)，必須能夠有效的保證著這些應(yīng)用系統(tǒng)核心的安全，包括應(yīng)用系統(tǒng)數(shù)據(jù)的保密性、應(yīng)用系統(tǒng)的可靠性、應(yīng)用系統(tǒng)的可用性、應(yīng)用系統(tǒng)訪問控制等多個方面； 首都機場T3多個分支機構(gòu)安全連接的風險：根據(jù)我們在前面的分析，機場網(wǎng)絡(luò)系統(tǒng)涉及非常多的分支機構(gòu)的網(wǎng)絡(luò)連接需求，主要包括本地T1/T2網(wǎng)絡(luò)、各個應(yīng)用系統(tǒng)網(wǎng)絡(luò)、移動以及外出人員等，這些分支機構(gòu)需要一種簡單而且方便的網(wǎng)絡(luò)接入方式，而且必須保證這些接入的安全性； 用戶接入內(nèi)部網(wǎng)絡(luò)安全控制的風險：首都機場T3網(wǎng)絡(luò)接入用戶復(fù)雜，需要對這些用戶的網(wǎng)絡(luò)訪問行為進行多層次的控制，以保證應(yīng)用系統(tǒng)的有效運行，這些層次包括：網(wǎng)絡(luò)接入控制、網(wǎng)絡(luò)層的訪問控制能力、網(wǎng)絡(luò)應(yīng)用的監(jiān)控、用戶主機安全狀態(tài)的監(jiān)控等，以實現(xiàn)對用戶的安全管理；此次首都機場T3項目安全建設(shè)力求做到一下幾個部分： 實現(xiàn)全網(wǎng)的整體安全架構(gòu)設(shè)計，包括在所有網(wǎng)絡(luò)出口處部署防火墻等設(shè)備，對來自外網(wǎng)的訪問進行訪問控制，對內(nèi)網(wǎng)服務(wù)器、外網(wǎng)服務(wù)器實現(xiàn)統(tǒng)一的安全防護，建設(shè)一個完整的區(qū)域防御體系。 實現(xiàn)對網(wǎng)絡(luò)應(yīng)用的全面管理，抵抗針對應(yīng)用層的網(wǎng)絡(luò)攻擊，尤其是防御網(wǎng)絡(luò)蠕蟲；DOS/DDOS攻擊；黑客木馬連接等，尤其需要建立起操作系統(tǒng)虛擬補丁的功能，為提前防御大規(guī)模的安全事件全面爆發(fā)做充分準備。 實現(xiàn)全面的應(yīng)用層預(yù)警機制，實現(xiàn)對于網(wǎng)絡(luò)數(shù)據(jù)的4~7層的數(shù)據(jù)監(jiān)控，對于應(yīng)用層的攻擊，如操作系統(tǒng)若端口的攻擊 80、131313445等安全體系建有全面的監(jiān)督、控制手段，能夠?qū)Σ僮飨到y(tǒng)的補丁及已有漏洞進行有效防護，保證各個區(qū)域之間的數(shù)據(jù)傳輸?shù)陌踩浴?對于有下屬單位的局域網(wǎng)絡(luò)實施VPN網(wǎng)絡(luò)建設(shè)，保證從下屬單位撥號進來的數(shù)據(jù)的安全性和保密性。主要有一下幾個部分組成： 建立全網(wǎng)的安全防護系統(tǒng)(防火墻)；以保證數(shù)據(jù)傳輸?shù)谋Ｃ苄裕?對離港系統(tǒng)、OA系統(tǒng)、無線局域網(wǎng)實施VPN 建立針對4～7層應(yīng)用的應(yīng)用系統(tǒng)防護體系(IPS)；建立全網(wǎng)的區(qū)域防護體系 網(wǎng)絡(luò)邊界安全防護解決方案 所有業(yè)務(wù)網(wǎng)絡(luò)和核心交換機之間設(shè)置防火墻和IPS，避免業(yè)務(wù)網(wǎng)受到來在骨干網(wǎng)的安全威脅，同時避免各業(yè)務(wù)網(wǎng)段安全隱患對整個機場影響。由于不同業(yè)務(wù)網(wǎng)需要同不同外部單位互聯(lián)，如，地面運行系統(tǒng)需要同空管、航空公司、邊檢等單位互聯(lián)，OA需要同INTERNET互聯(lián)，離港需要同中航信、航空公司互聯(lián)，這些需要在同這些網(wǎng)絡(luò)接口處設(shè)置防火墻（或防火墻+IPS），充分保證網(wǎng)絡(luò)安全。VPN產(chǎn)品部署方案 由于無線網(wǎng)絡(luò)為單獨物理網(wǎng)絡(luò)，存在安全隱患，安全問題尤其重要，因此除了無線網(wǎng)絡(luò)同核心骨干網(wǎng)之間設(shè)置防火墻、IPS之外，還要考慮內(nèi)部IPSec VPN方式，IPSec VPN在VPN網(wǎng)關(guān)之間建立IPSec加密隧道，充分保證網(wǎng)絡(luò)安全。內(nèi)部桌面終端安全方案n 對于桌面終端，包括有線用戶和無線用戶，都要充分考慮認證授權(quán)、加密，對于無線用戶，認證服務(wù)器采用Windows Server 2003內(nèi)置IAS，認證服務(wù)器可以集中設(shè)置，也可以每個業(yè)務(wù)系統(tǒng)單獨設(shè)置，視管理維護權(quán)限劃分而定。n 。n 對于沒有經(jīng)過認證授權(quán)的用戶，不能接入網(wǎng)絡(luò)中來。n 同時針對網(wǎng)絡(luò)終端，強化網(wǎng)絡(luò)殺毒。n 所有認證客戶端IP地址采用固定IP地址，方便交換機端口和用戶IP+MAC綁定。10. 網(wǎng)絡(luò)管理方案 網(wǎng)絡(luò)管理需求分析 網(wǎng)管平臺是對整個網(wǎng)絡(luò)性能、網(wǎng)絡(luò)運行狀況和故障進行統(tǒng)一管理的平臺。該平臺能夠提供自動發(fā)現(xiàn)、可視化展現(xiàn)、網(wǎng)絡(luò)故障分析、事件關(guān)聯(lián)等全面細致的網(wǎng)絡(luò)故障管理，同時可對許多高級的操作需要管理，提供故障管理、配置管理、性能管理和安全管理等管理功能（統(tǒng)一網(wǎng)絡(luò)管理平臺由信息系統(tǒng)集成商提供不在本次范圍內(nèi)）。本方案提供的網(wǎng)管主要是針對所提主網(wǎng)絡(luò)產(chǎn)品網(wǎng)元級管理軟件，其功能為：提供配制管理；提供RMON管理；可以監(jiān)控交換機的物理狀態(tài)，實時提供詳細的管理信息，查看端口狀態(tài)；網(wǎng)絡(luò)流量統(tǒng)計等。對于其他網(wǎng)絡(luò)設(shè)備（防火墻、入侵防護設(shè)備、VPN設(shè)備）至少實現(xiàn)設(shè)備狀態(tài)管理。 Quidview各組件功能特點 網(wǎng)管平臺Quidview NMF Quidview網(wǎng)絡(luò)管理框架NMF是華為3Com公司對數(shù)據(jù)通信設(shè)備實現(xiàn)統(tǒng)一管理和維護的網(wǎng)絡(luò)管理平臺，該平臺采用分布式、組件化、跨平臺的開放體系結(jié)構(gòu)，可以實現(xiàn)資源管理、拓撲管理、故障管理、性能管理、安全管理等基于C/S架構(gòu)管理功能，并作為Quidview產(chǎn)品族的統(tǒng)一平臺可以與Quidview VPN管理組件、NCC組件、設(shè)備管理組件等有效集成，形成多種解決方案。Quidview NMF平臺不僅可以實現(xiàn)Huawei3全線數(shù)據(jù)通信產(chǎn)品的管理，也可通過標準