【正文】 專用硬件自動實現(xiàn)物理鏈路間的業(yè)務(wù)量平衡，提供線速 (Wirespeed)交換性能。隨著骨干線路業(yè)務(wù)量的持續(xù)增加，Cisco 的快速以太信道技術(shù)，可以使關(guān)鍵骨干中繼的吞吐量擴充至幾百兆位。具體的主要功能涉及到Windows 的 目錄系統(tǒng)， 多媒體動態(tài) 生成樹的支持 及網(wǎng)絡(luò)層廣 播功能(IGMP)以及網(wǎng)絡(luò)層到鏈絡(luò)層的組廣播映射 (CGMP),這些功能能給新一代多媒體網(wǎng)絡(luò)的性能及帶寬利用率帶來很大的提高。 CiscoIOSQoS 服務(wù)由三個關(guān)鍵組件構(gòu)成：一個快速發(fā)展的構(gòu)件和功能集；一個高度靈活、用于執(zhí)行策略的工具，它利用構(gòu)件控制網(wǎng)絡(luò)資源的分配，以支持網(wǎng)絡(luò) xxxx 國稅網(wǎng)絡(luò)改造方案建議書 43 客戶和應(yīng)用程序的要求；一個功能分布組件，它優(yōu)化了網(wǎng)絡(luò)所有者 (企業(yè)或 Inter 服 務(wù)商 )在服務(wù)配 置和帶寬 /容量 方面的可擴 展性要求。 Cisco 不斷推出一系列的工具，開發(fā)新的功能來增強現(xiàn)有的交換機、路由器和防火墻平臺，最終建立一個安全的網(wǎng)絡(luò)以支持和增強企業(yè)的網(wǎng)絡(luò)發(fā)展。 另外，其他輔助的安全手段如 CiscoNetsonar 用于網(wǎng)絡(luò)安全漏洞掃描，幫助網(wǎng)絡(luò)管理員 發(fā)現(xiàn)網(wǎng)絡(luò)中等安全隱患，以便及時采取措施加以彌補； CiscoNetranger 用于網(wǎng)絡(luò)的實時監(jiān)控，可根據(jù)用戶的定義，對網(wǎng)絡(luò)上的各種攻擊行為，非法訪問等作出判斷，將非法進程切斷、記錄并報警。 本方案中的 Cisco 設(shè)備支持 TACACS+、 RADIUS、 IP 允許訪問表、MD5 路由驗證等。安全性的風險也并不僅僅來自外界，調(diào)查表明各種計算機被濫用的情況中大約 80%來自系統(tǒng)內(nèi)部。防火墻為系統(tǒng)設(shè)立了第一道防線，但不能徹底解決安全性問題 ，它只是完整的安全體系的一個組成部分。當一個失效時，從 MSFC 一旦監(jiān)測到主 MSFC 失效，從 MSFC 自動接替它的工作，而用戶的工作不受影響 (不必重新設(shè)置默認網(wǎng)關(guān)等 )；同時對于不同的 VLAN，兩個 MSFC支持負載分擔，即某個 VLAN 的主 MSFC 在另外一個 VLAN 中可以充當備份的 MSFC，而在某個 VLAN 中充當備份的 MSFC，在另一個 VLAN 中可以是主 MSFC，執(zhí)行路由功能。 MSFC 內(nèi)置于引擎，說明引擎已經(jīng)是第三層交換的引擎，無須另外增加路由模塊，消除了單臂路由的局限。MSFC 支持完整 CiscoIOS 多協(xié)議路由功能，包括支持關(guān)鍵應(yīng)用所必需的訪問控制、服務(wù)級別 (ClassofService)、綜合的流控管理等功能，并提供強有力的管理、規(guī)劃、診斷、排錯的工具等。這個問題可以通過在網(wǎng)絡(luò)中設(shè)立 WINS服務(wù)解決，有關(guān) WINS 技術(shù)的詳細介紹請參見 Microsoft 的相關(guān)資料。對于公共的服務(wù)器，盡量設(shè)置在對其訪問數(shù)據(jù)流量最大的 VLAN 中，對于公司級的服務(wù)器，或者為多個 VLAN 用戶所經(jīng)常訪問的服務(wù)器，可以使用虛擬多宿主服 xxxx 國稅網(wǎng)絡(luò)改造方案建議書 40 務(wù)器技術(shù)，該技術(shù)使得一臺服務(wù)器同時存在于多個 VLAN 中。為獲得比較好的性能，一個VLAN 中的用戶數(shù)為 150 左右。 一般的計算機網(wǎng)絡(luò)可能有 Windows95 客戶機、 WindowsNT 服務(wù)器、NOVELL 服務(wù)器、 UNIX 服務(wù)器和工作站。依據(jù)經(jīng)驗值，對于只使用 TCP/IP協(xié)議的網(wǎng)絡(luò)，單個網(wǎng)段最多可以支持 1000 個節(jié)點， IPX 協(xié)議的網(wǎng)絡(luò)為 500 個節(jié)點，使用 NETBEUI 協(xié)議的網(wǎng)絡(luò)則規(guī)模為 300 個節(jié)點 。 ISL技術(shù)得到了 Intel 等廠商的大力支持。其中 ISL 是 Cisco 專有的協(xié)議用于多個交換機的連接和維護 VLAN 信息當交通流量發(fā)生在交換機之間，只在快速以太網(wǎng)中定義。 虛擬網(wǎng)的實現(xiàn) xxxx 國稅網(wǎng)絡(luò)改造方案建議書 39 目前 VLAN 實現(xiàn)的技術(shù)主要有： 和 ； InterSwitchLink(ISL)； LANEmulation。 虛擬網(wǎng)絡(luò)劃分可以根據(jù)實際情況通過使用專門的管理設(shè)置 軟件，對交換機所連接的網(wǎng)絡(luò)進行虛擬分組，使幾個不同端口所連接的網(wǎng)絡(luò)成為一組。虛擬網(wǎng)技術(shù)是將網(wǎng)絡(luò)的物理基礎(chǔ)設(shè)施與網(wǎng)絡(luò)的邏輯基礎(chǔ)設(shè)施相分離，使得網(wǎng)管人員能方便而動態(tài)地建立和重構(gòu)虛擬網(wǎng)絡(luò)結(jié)構(gòu)，以適應(yīng)今天部門機構(gòu)的協(xié)作與變動，方便網(wǎng)絡(luò)管理，降低網(wǎng)絡(luò)管理的成本。 VLAN 劃分的靈活性 本方案的重要特點之一為可實現(xiàn)全網(wǎng)的 VLAN 的統(tǒng)一管理劃分，可通過 網(wǎng)管的圖形界面進行統(tǒng)一的在線 VLAN拖拉 劃分。所有這些都包含在 IOS 中，使 Cisco 的產(chǎn)品具有高性能、最全面的功能、高度的穩(wěn)定性 。這一點對用戶非常重要，保證用戶在網(wǎng)絡(luò)擴展和技術(shù)更新時能夠最大限度地保護原有投資。 ? 統(tǒng)一的產(chǎn)品系列：在網(wǎng)絡(luò)集成或網(wǎng)絡(luò)維護時，避免了多廠家產(chǎn)品互連所可能產(chǎn)生的復(fù)雜狀態(tài)，在網(wǎng)絡(luò)故障情況時能夠有較快的恢復(fù)時間。 ? 統(tǒng)一的體系結(jié)構(gòu)：使用戶在整個網(wǎng)絡(luò)中享有 CiscoIOS 提供的各種特性：可靠、適合的路由選擇服務(wù)， WAN 優(yōu)化服務(wù)，管理和安全服務(wù)，擴充性服務(wù)等。它的好處是由統(tǒng)一的平臺來綜合多種技術(shù) (如路由、交換、遠程接入、廣域網(wǎng)、話音處理等等 )，統(tǒng)一的操作界面使用戶降低運營成本和改善系統(tǒng)的可管理性。 xxxx 國稅網(wǎng)絡(luò)改造方案建議書 37 第四章 方案的主要技術(shù)特點 端到端的解決方案 網(wǎng) 絡(luò)設(shè)計的一個重要特點是提供端到端的解決方案。每個 VLAN 分配一個唯一的 IP 網(wǎng)段。 在 xxxx 國稅網(wǎng)絡(luò)系統(tǒng)對 VLAN 統(tǒng)一進行管理和配置，其中市局網(wǎng)絡(luò)中心的服務(wù)器系統(tǒng)劃分一個獨立的 VLAN，市局領(lǐng)導(dǎo)一個獨立的 VLAN，其他用戶根據(jù)部門劃分 VLAN。 也可以按照機構(gòu)的設(shè)置來劃分 VLAN，如將領(lǐng)導(dǎo)所在的網(wǎng)絡(luò)單獨作為一個Leader VLAN(LVLAN), 其他處室（或下級機構(gòu)）分別作為一個 VLAN,并且控制LVLAN 與其他 VLAN 之間的單向信息流向，即允許 LVLAN 查看其他 VLAN 的相關(guān)信息，其他 VLAN 不能訪問 LVLAN 的信息。因此，可以按照系統(tǒng)的安全性來劃分 VLAN。 以上這樣劃分的主要好處就是 IP 地址范圍明確，從 IP 地址就可以知道設(shè)備的類型，方便管理。假設(shè)我們選擇 為子網(wǎng)，子網(wǎng)掩碼為 。 對于管理方便的問題，主要是將網(wǎng)絡(luò)上的設(shè)備（路由器、交換機、 HUB）、服務(wù)器、打印機和一般的客戶機區(qū)別開。 C 類地址范圍較少，適合中、小型網(wǎng)絡(luò)，如果以后子網(wǎng)不多的話，使用 C 類地址在配置動態(tài)路由時只使用簡單的 RIP 路由協(xié)議就可以。但是，即使現(xiàn)在使用了 A 類地址，也不能避免以后網(wǎng)絡(luò) 地址不會被調(diào)整，這是因為大的網(wǎng)絡(luò)的地址劃分需要全局考慮，如果現(xiàn)在沒有規(guī)劃，以后就很有可能要重新調(diào)整。使用這些地址，主要的考慮就是以后網(wǎng)絡(luò)擴展和互聯(lián)的問題。 隨著 Inter 的發(fā)展，以后各個地方的局域網(wǎng)都會同 Inter 進行連接，考慮到這個問題，我們建議在 TCP/IP 協(xié)議中為內(nèi)部 TCP/IP 網(wǎng)絡(luò)保留的 IP 地址范圍內(nèi)選擇網(wǎng)絡(luò)地址，以后局域網(wǎng)與 Inter 連接的話，不用考慮地址調(diào)整的問題。 以后內(nèi)部網(wǎng)絡(luò)擴展的問題。另外，用于業(yè)務(wù)網(wǎng)上的每臺 Catalyst 2924交換機，都要另配置千兆光纖上聯(lián)模塊，用于上聯(lián)中心交換機 Catalyst 6509。這樣的話，既能保證在同一臺機器上同時辦公及上網(wǎng)，又能保證業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)與上網(wǎng)系統(tǒng)在任何時刻都是物理隔離的。每個座位上的兩個信息點端口 A及端口 B，分別對應(yīng)這兩套系統(tǒng)。結(jié)合以上各種信息，并考慮到已有的投資保護，我們建議樓層交換系統(tǒng)及 inter上網(wǎng)系統(tǒng)設(shè)計如下： 以已有的樓層交換機的 Catalyst2912/1924 構(gòu)建成上網(wǎng)系統(tǒng)；樓層交換機的Catalyst2924，加上新購的 CISCO Catalyst 2948G 交換機，構(gòu)成業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)。 根據(jù)我們的了解，市局大樓的布線系統(tǒng)情況如下：在大樓 1 至 16 層建造了相應(yīng)的布 線系統(tǒng)，每個座位上都有兩個信息點；共有 6 個樓層子配線間，每個樓層子配線間預(yù)留了 3 對光纖及 2 對 5 類雙絞線作為備用，各樓層交換機都為CISCO Catalyst2924/2912/1924 交換機。既不方便，也造成了資源的較大浪費。為此，現(xiàn)在許多政府機關(guān)都是兩套布線系統(tǒng)，兩套機器，一套用于業(yè)務(wù)系統(tǒng)，一套用于上網(wǎng)系統(tǒng)。該特點不僅使其與其它 Catalyst 交換機具有互操作性，還提供業(yè)界最豐富的第 三層的特點。如果將來用戶想更改千兆位端口，可以容易地 (并且成本很低 )更換 GBIC。 。 Catalyst 2948GL3 為布線室提供獨享的 48 口 10/100 M 端口 Catalyst 2948GL3 為一固定配置的第三層的以太網(wǎng)交換機，提供 48個 RJ4510/100 M端口和 2個的千兆以太網(wǎng)上聯(lián)端口，帶有模塊化的千兆以太網(wǎng)轉(zhuǎn)換器 (GBIC)端口 。 分局網(wǎng)絡(luò)系統(tǒng)設(shè)計 為了充分利用 IP 寬帶網(wǎng)的性能，并根據(jù)前面的 小節(jié) “主要設(shè)備性能計算” 所述，建議對每個分局都配置一臺高性能的 CISCO 2948GL3 三層交換機作為核心交換機及 IP 寬帶網(wǎng)接入設(shè)備，原有的 CISCO 2924 交換機可作為二級交換機。中心 2臺路由器上作相應(yīng)的配置，防止了單臺路由器的單點故障。在設(shè)計中采用 2 臺對等的核心路由器，在兩臺核心路由器上做相應(yīng)配置，即 使一臺中心路由器發(fā)生故障，整個系統(tǒng)也可以保證正常的使用，消除了系統(tǒng)的單機故障。 3）、兩臺交換機之間實現(xiàn) GiGabitChannel 的連接 兩臺交換機之間通過 Supervisor Engine 上的兩個千兆口用光纖互連，實現(xiàn)Cisco 公司獨有的 GigabitChannel 的捆綁方式，兩個千兆的口互連速率可達到四千兆，從而使在兩個主干交換機之間的傳輸速度很快，提供主干的高速傳輸。任何的一路電源都可以擔負整個設(shè)備的電源供給工作，平時兩路電源同時工作，實現(xiàn)負載分擔，一旦一路電源掉電，另外的一路將自動的擔負整個設(shè)備的電源供應(yīng)。 1）、兩臺交換機采用類似的配置，每臺以下面的方式實現(xiàn)可靠性和可用性 ： 配置兩塊 Supervisor Engine 交換處理模塊，兩塊模塊之間互為備份，平時位于第一個槽位的 SupervisorEngine 以 Primary 的方式工作，位于第二個槽位的 SupervisorEngine 以 Slave 的方 式工 作， 隨 時監(jiān) 聽 Primary 的SupervisorEngine 的工作狀態(tài)，一旦 Primay 方式的 SupervisorEngine 發(fā)生故障，工作于 Slave 方式的 SupervisorEngine 自動接管工作。其設(shè)計采用 CEF 改進型路由算法和獨特的路由模塊、交換模塊分離式設(shè)計方法，大大提高了傳統(tǒng)的第三層、第四層交換能力，達到了線速的包處理能力。 設(shè)備選擇及配置： 局域網(wǎng)使用 1 臺 Cisco Catalyst6509 與 1 臺 Catalyst4006組成主干核心交換機，兩臺交換機互為備份。 5）核心路由器分別通過 2 個以太口連接兩臺交換機，利用交換技術(shù)，結(jié)合交換機本身的橋接生成樹（ SPANNING TREE）算法，消除到局域網(wǎng)接入的單點故障。當一臺交換機出現(xiàn)故障時，業(yè)務(wù)流量被轉(zhuǎn)移到另一臺交換機上進行。廣域網(wǎng)的核心采用一臺 Cisco7507（新購）與一臺CISCO3640（已有設(shè)備，購多一塊 10/100M 以太模塊）路由器，構(gòu)成一個冗余、可靠的主干結(jié)構(gòu)。 負載均衡 由于網(wǎng)絡(luò)中心是資源的匯聚中心，在中心進行著多種業(yè)務(wù)和多種應(yīng)用的處理，這些往往是通過多臺網(wǎng)絡(luò)設(shè)備在多臺主機上同時進行的，采用必要的手段將各種匯聚來的負載 分布在幾個處理機上進行，是保證系統(tǒng)的可用性和高效性的一個重要手段。 高速率 網(wǎng)絡(luò)設(shè)備應(yīng)提供高速的背板交換，網(wǎng)絡(luò)的局域網(wǎng)應(yīng)實現(xiàn)高速連接，廣域網(wǎng) xxxx 國稅網(wǎng)絡(luò)改造方案建議書 29 需采用電信的高速連接網(wǎng)絡(luò)實現(xiàn)高速的廣域網(wǎng)互連。 結(jié)論 ：如果網(wǎng)絡(luò)系統(tǒng)的覆蓋面比較廣，我們建議還是 選擇電信局，這樣才能保證日后系統(tǒng)的技術(shù)支持；如果網(wǎng)絡(luò)系統(tǒng)集中在一個大城市范圍內(nèi)，而且該運營商在當?shù)赜钟休^為成功的案例，則可以選擇廣電局或其他新興運營商。具體如何做，需要與運營商好好協(xié)商。安全性與采用的組網(wǎng)方式有很大的關(guān)系，相對而言， MPLS L3 三層交換的組網(wǎng)方式比較安全，問題在于當?shù)剡\營商能否提供這種組網(wǎng)方式，以及對這種技術(shù)的掌握程度（否則回造成線路的不穩(wěn)定）。相對而言，新興運營商的價格較為優(yōu)惠。相對而言，電信局歷史悠久，其技術(shù)力量較為雄厚，尤其在較為偏遠的地方。以下為我們建議的 xxxx 國稅IP 寬帶網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖： xxxx 國稅網(wǎng)絡(luò)改造方案建議書 28 IP 寬帶網(wǎng)運營商選擇 在各地，主要的 IP 寬帶網(wǎng)運營商有電信局和廣電局，另外還有一些新興的運營商如廣東盈 通。用戶使用路由器接口接入電信局端。由局端進行映射，然后將此用戶在各地的局域