【正文】 ，約為 則話單量最大的地市交換機(jī)至省中心的連接帶寬需要 =480Kbps，一條 512Kbps 專線就可以滿足需求。云南網(wǎng)通本次工程計劃在營業(yè)廳建設(shè)的同時，還可以依靠網(wǎng)上營業(yè)廳等手段完成營業(yè)系統(tǒng)的建設(shè)，先計算的是網(wǎng)上營業(yè)廳的帶寬，由于網(wǎng)上營業(yè)廳可以采用集中模式，所有的用戶都訪問一個地方，那么就上文中的計算數(shù)據(jù)而言，最多也就需要 的帶寬，一個快速以太連接就可以完成網(wǎng)上營業(yè)廳與核心局域網(wǎng)的接口。 3（秒）=因此一個營業(yè)廳到網(wǎng)絡(luò)中心的帶寬應(yīng)為 15=80Kbps，可見一條128Kbps 的 DDN 線路即可滿足需求。如前文所述，100 萬用戶需要 帶寬，預(yù)計到 2022 年底，云南省綜合業(yè)務(wù)支撐系統(tǒng)容量要求滿足 175 萬用戶的需求。8 / 462. 網(wǎng)絡(luò)總體設(shè)計. 網(wǎng)絡(luò)框架綱要網(wǎng)絡(luò)系統(tǒng)本身具有主次之分，有的部分地位重要，有的則相對要求不高，有的部分突出了性能，而其他部分則可能要求進(jìn)行一些限制。根據(jù)對用戶的需求分析，我們可以用下述層次結(jié)構(gòu)建立云南網(wǎng)通運(yùn)營支撐系統(tǒng)的概念模型： DistributionCoreAces Optimal TrnsportBew SitePolicy Based ConectivyLocal/Remot Wrkgoup Aces186。208。178。214。184。178。206。178。該模型將云南網(wǎng)通運(yùn)營支撐系統(tǒng)分為三個層次：骨干（Core）層、支干（Distribution）層和訪問（Access ）層。. 局域網(wǎng)設(shè)計? 采用高速、高性能的網(wǎng)絡(luò)主干? 網(wǎng)絡(luò)根據(jù)需要劃分不同的虛擬網(wǎng)? 虛擬網(wǎng)之間的數(shù)據(jù)交換通過集中的路由功能實現(xiàn)? 網(wǎng)絡(luò)主干應(yīng)有極強(qiáng)的擴(kuò)充能力，網(wǎng)絡(luò)性能不會因為網(wǎng)絡(luò)的擴(kuò)充而降低? 與廣域的路由器和主機(jī)配合實現(xiàn)廣域上網(wǎng)絡(luò)資源的備份和數(shù)據(jù)分流9 / 46? 保障局域網(wǎng)上的安全性根據(jù)是否劃分虛擬網(wǎng)以及對虛擬網(wǎng)之間數(shù)據(jù)交換的處理方式，可以把現(xiàn)有的局域網(wǎng)劃分為下面的幾種類型：? 不劃分虛擬網(wǎng)的平坦型網(wǎng)絡(luò)在這種網(wǎng)絡(luò)中，所有的主機(jī)都連接在一個子網(wǎng)中。這種網(wǎng)絡(luò)的缺點(diǎn)是：1. 由于不劃分虛擬網(wǎng)，當(dāng)主機(jī)數(shù)量比較多時容易產(chǎn)生廣播風(fēng)暴，引起網(wǎng)絡(luò)性能的下降；2. 因為任何廣播的消息都會轉(zhuǎn)發(fā)到交換機(jī)的所有端口，網(wǎng)絡(luò)的安全性不容易保障；3. IP 地址的規(guī)劃不靈活：舉一個例子，某個單位有 300 臺主機(jī)，申請一個 B類的地址（可容納 65534 臺主機(jī)） 太浪費(fèi)，申請一個 C 類地址（可容納254 臺主機(jī)） 又不夠用，如果申請兩個 C 類地址，不同 C 類地址的主機(jī)之間又不能通信，很不靈活。我們看到，整個局域網(wǎng)中有若干個虛擬網(wǎng)，虛擬網(wǎng)之間的數(shù)據(jù)交換集中由一臺路由器來完成。4. IP 的地址規(guī)劃有一定的靈活性。這種網(wǎng)絡(luò)的缺點(diǎn)：10 / 461. 由于所有的虛擬網(wǎng)之間的交換都要通過一臺路由器來實現(xiàn)，這臺路由器的處理能力和通往路由器的連接線路的帶寬稱為網(wǎng)絡(luò)中的兩個瓶頸。? 使用分散的路由功能實現(xiàn)虛擬網(wǎng)之間的數(shù)據(jù)交換在這種網(wǎng)絡(luò)中，同樣要劃分虛擬網(wǎng)，虛擬網(wǎng)之間的通信通過分散的路由功能來實現(xiàn)，在這里用具有路由功能的交換機(jī)取代了普通的交換機(jī)。這種網(wǎng)絡(luò)的缺點(diǎn)是：1. 交換機(jī)的路由功能并不是很強(qiáng)。綜合以上的分析，結(jié)合實際情況，我們建議采用的局域網(wǎng)的技術(shù)是：使用集中的路由功能的方式實現(xiàn)虛擬網(wǎng)之間的數(shù)據(jù)交換。11 / 46云 南 網(wǎng) 通 中 心 局 域 網(wǎng) 拓 樸 圖交交交交交銀 行 等 合 作 單 位InterWEB交交WEB交交…Web Logic交交本 地 各 營 業(yè) 點(diǎn) 及 代 理數(shù) 據(jù) 通 信 網(wǎng) 總 部各 營 業(yè) 點(diǎn) 及 代 理 各 營 業(yè) 點(diǎn) 及 代 理交交交運(yùn) 營 支 撐 中 心DCN中 心交交交交交交交交交交交交交交406交交交交交交 交 交交交交12 / 46在上圖上，我們提到了DCN的概念，南京聯(lián)創(chuàng)認(rèn)為，隨著電信運(yùn)營商業(yè)務(wù)的不斷發(fā)展，需要通過網(wǎng)絡(luò)傳輸?shù)臉I(yè)務(wù)量將種類越來越多，數(shù)量越來越大，因此，建立DCN這樣的傳輸平臺只是個時間問題，所以我們在本文中將這個系統(tǒng)“分割”成兩部分，一部分是數(shù)據(jù)處理的運(yùn)營支持系統(tǒng)，一部分是廣域傳輸DCN系統(tǒng)，實際在本次工程中這兩部分是統(tǒng)一的，包括交換機(jī)這樣的設(shè)備都可以通用，但我們在表述時還是將兩部分分開，使網(wǎng)絡(luò)結(jié)構(gòu)更加清晰。在DCN尚未建設(shè)時，DCN 中心的交換機(jī)可以利用核心交換機(jī)上的VLAN實現(xiàn)，此次工程中的核心路由器可以在DCN建設(shè)時用作DCN中心路由器。保證了高性能：這里的高性能體現(xiàn)在兩方面，一是采用了先進(jìn)的設(shè)備，由于我們的系統(tǒng)方案采用的是一種集中式的結(jié)構(gòu)，全省的業(yè)務(wù)處理都在省運(yùn)營支撐中心完成，所以在運(yùn)營支撐中心需要高端局域網(wǎng)交換機(jī)完成數(shù)據(jù)的局域交換。保障了高可靠性：使用兩臺千兆局域網(wǎng)交換機(jī)以保證局域網(wǎng)主干中沒有單點(diǎn)失誤。當(dāng)其中的一臺交換機(jī)發(fā)生故障的時候，另一臺交換機(jī)可以提供高速通路，確保網(wǎng)絡(luò)暢通。劃分虛擬網(wǎng)使性能更加出色：我們利用了千兆局域網(wǎng)交換機(jī)所具有的虛擬13 / 46網(wǎng)技術(shù)根據(jù)用戶的需求在交換機(jī)上劃分虛擬網(wǎng)，這樣一來可以提高網(wǎng)絡(luò)的總體性能，再者劃分了虛擬網(wǎng)之后網(wǎng)絡(luò)的管理者可以更方便地對用戶進(jìn)行管理，而且可以在不同的虛擬網(wǎng)之間設(shè)置防火墻，提高了網(wǎng)絡(luò)的安全性。我們建議可以將運(yùn)營支撐中心的交換機(jī)通過劃分 VLAN 來實現(xiàn)防火墻的內(nèi)、外網(wǎng)連接。在Catalyst 4006交換機(jī)和連接外網(wǎng)（即遠(yuǎn)程節(jié)點(diǎn)）的路由器之間可以配置了兩臺高端防火墻，將外網(wǎng)與內(nèi)網(wǎng)隔開，包括各地市營業(yè)和各代理商的接入全部置于防火墻之外，這樣可以對于惡意的侵入時刻防范。銀行代收費(fèi)系統(tǒng)也采用了防火墻，將此系統(tǒng)連接在外網(wǎng)的交換機(jī)上，對于銀行來說可見的只有銀行代收費(fèi)應(yīng)用服務(wù)器（此項僅為建議，設(shè)備未考慮） ；與Inter的連接也是如此。有了這些防火墻，整個系統(tǒng)的安全就有了充分的保證（此項僅為建議，設(shè)備未考慮） 。下圖以銀行為例說明。這種方法接口單一，連接方法簡單，易于管理，安全隱患小，投資節(jié)約。. 廣域網(wǎng)絡(luò)設(shè)計從網(wǎng)絡(luò)技術(shù)上看，骨干網(wǎng)絡(luò)和支干網(wǎng)絡(luò)應(yīng)屬于廣域網(wǎng)范疇，所以在設(shè)計的時候，我們遵循的是一套廣域網(wǎng)的設(shè)計思想?？紤]到網(wǎng)絡(luò)上數(shù)據(jù)流的具體流向和業(yè)務(wù)需求，我們選擇的是部分互連雙星型拓樸結(jié)構(gòu)，在提高了網(wǎng)絡(luò)可靠性的同時也可降低了復(fù)雜性，并且節(jié)約了投資。以后業(yè)務(wù)發(fā)展時可以以在幾個地市的營業(yè)廳各建一個匯接中心，由匯接中心再連接到省中心。為了保證核心層WAN 通信的高可靠性和負(fù)載分擔(dān)，在DCN中心配置兩臺高端模塊化路由器和兩臺局域網(wǎng)交換機(jī)（可與運(yùn)營支撐中心交換機(jī)共用） ，在運(yùn)營支撐中心新增兩臺局域網(wǎng)千兆交換機(jī)作為核心交換機(jī)。對于運(yùn)營支撐中心與地市間的通信線路帶寬，根據(jù)前文所述的網(wǎng)絡(luò)帶寬估算，和我們在總結(jié)了以往建設(shè)江蘇、云南、甘肅、寧夏、青海、新疆、黑龍江等省、自治區(qū)的網(wǎng)絡(luò)設(shè)計的實踐經(jīng)驗后，在各地市按各自的不同情況配置不等數(shù)目的E1 線路，這里的帶寬需求主要來自于計費(fèi)、營業(yè)和帳務(wù)這些應(yīng)用的需要，在此基礎(chǔ)上留出可擴(kuò)充的余地和容量。而且由于我們采用的是模塊化產(chǎn)品，所以在需要擴(kuò)充帶寬時很方便。如果距離較遠(yuǎn)，則可以采用專線連接的方式連接。19 / 463. 網(wǎng)絡(luò)優(yōu)化. 路由策略 路由策略云南網(wǎng)通現(xiàn)在在各地市使用的IP地址規(guī)劃、路由管理等都需要作統(tǒng)一的規(guī)劃。實踐證明，OSPF和EIGRP是適合于在廣域網(wǎng)范圍內(nèi)使用的路由協(xié)議，它們收斂速度快，交換的路由信息較少。EIGRP是CISCO公司的專用協(xié)議，因此應(yīng)用范圍收到限制。 OSPF支持等路徑條件下的負(fù)載分流。我們將中心到市的部分作為OSPF骨干，各地市內(nèi)部網(wǎng)絡(luò)作為一個小區(qū)，其營業(yè)網(wǎng)絡(luò)均處于這個小區(qū)中。. LAN 路由策略目前UNIX主機(jī)主要采用RIP路由協(xié)議交換路由信息，所以在信息網(wǎng)的LAN部分可以采用RIP路由協(xié)議。采用靜態(tài)路由可以有效解決這個問題，但是靜態(tài)路由是指向下一跳的路由器地址，當(dāng)該路由器失效時，即使存在其他能夠到達(dá)目的地的路由，該主機(jī)也無法利用，除非人為修改將靜態(tài)路由，這是任何一個網(wǎng)管人員所不能接受的。VRRP和HSRP的工作原理是一樣的，在此以HSRP為例來說明。. 網(wǎng)絡(luò)地址規(guī)劃 IP 網(wǎng)絡(luò)地址在網(wǎng)絡(luò)層不同的網(wǎng)絡(luò)協(xié)議具有不同的編址方法，這里給出的是在使用IP網(wǎng)絡(luò)協(xié)議時的編址方案。IP地址分為五類：A類地址，B類地址，C 類地址， D類地址，E類地址。在同一個互聯(lián)網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)地址應(yīng)該保持其唯一性，即一個地址只能對應(yīng)一臺主機(jī)（Host） ，但是一臺主機(jī)（ Host）可以對應(yīng)多個網(wǎng)絡(luò)地址。? 連續(xù)性為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于縮簡路由表的表項，提高路由器的處理效率，這種技術(shù)稱為地址疊合（Summarization） 。? 靈活性21 / 46IP地址的規(guī)劃應(yīng)考慮不同的路由協(xié)議和不同的通信鏈路技術(shù)，合理的使用VLSM（Variable Length Subing Mask）技術(shù)，能較好的適應(yīng)不同的網(wǎng)絡(luò)的特點(diǎn)，節(jié)約IP地址空間。根據(jù)中國網(wǎng)通的相關(guān)規(guī)定，全國運(yùn)營支撐系統(tǒng)采用統(tǒng)一的IP網(wǎng)絡(luò)地址。南京聯(lián)創(chuàng)系統(tǒng)集成股份有限公司近年來承接了多個大型網(wǎng)絡(luò)工程，在地址分配上有著成功的案例，在國內(nèi)建設(shè)比較早的江蘇省DCN工程中，我們與局方一道對江蘇全省的網(wǎng)絡(luò)地址進(jìn)行了規(guī)劃，這套規(guī)劃以后又用于甘肅、寧夏DCN等系統(tǒng)中，近年來的多個大型網(wǎng)絡(luò)系統(tǒng)建設(shè)的實踐證明，我公司的IP規(guī)劃技術(shù)是成功和富有效率的，所以我們也有信心與貴公司一道為云南網(wǎng)通的網(wǎng)絡(luò)IP地址作一個高效的規(guī)劃。在數(shù)據(jù)鏈路層，路由器之間通過廣域傳輸線路通信時，必須進(jìn)行時鐘同步。我們知道，E1 電路采用 HDB3 編碼格式，這種編碼格式內(nèi)含時鐘信號，采用 E1傳輸，兩端路由器均從線路提取時鐘，因為傳輸網(wǎng)是一個時鐘源，因此路由器之間能夠同步。網(wǎng)絡(luò)層同步采用 RFC1305 Network Time Protocol (V3)標(biāo)準(zhǔn)，目前以省中心的路由器作為主、備時間服務(wù)器，網(wǎng)管工作站、局域網(wǎng)交換機(jī)、地市中心的路由器和交換機(jī)作為下級時間服務(wù)器，同步于省中心的路由器，將來作為本地網(wǎng)內(nèi)的時間服務(wù)器，采用 NTP3 或 SNTP4(RFC2030)向下復(fù)制時間。22 / 46. 隊列管理機(jī)制在網(wǎng)絡(luò)發(fā)生擁塞時，路由器必須丟棄一些分組，這個問題的解決首先必須實施有效的隊列管理機(jī)制(或緩沖區(qū)管理策略)。比較起來， RED算法具有較低的排隊時延、較高的分組通過度(Goodput)和較好的公平性，其主要思想是：路由器計算平均排隊長度，當(dāng)平均排隊長度超過某一門限時，路由器按照一丟棄概率丟棄到達(dá)的分組，而這個丟棄概率是與平均排隊長度成正比的函數(shù)。FRED和RIO都是在RED上的改進(jìn)或變種，F(xiàn)RED 對每一個業(yè)務(wù)流(或連接)都實施單獨(dú)的一個RED算法，這樣能保證更好的公平性；RIO在RED的基礎(chǔ)上又增加了一個門限值，在對DiffServAF業(yè)務(wù)的研究中多采用此算法。隊列調(diào)度機(jī)制(QueueingSchedulingMechanism)不論在IntServ 還是在DiffServ里，都涉及到隊列調(diào)度問題。根據(jù)不同的服務(wù)規(guī)則，隊列調(diào)度算法可以分為以下幾種：先到先服務(wù)(FCFS)、循環(huán)調(diào)度(RoundRobin) 、處理機(jī)共享(ProcessorSharing)、優(yōu)先級服務(wù)、隨機(jī)服務(wù)等。一個有效的隊列調(diào)度算法應(yīng)達(dá)到的性能指標(biāo)主要有：公平性、時延特性、對惡意業(yè)務(wù)流的隔離能力、鏈路帶23 / 46寬的利用率、復(fù)雜性等，前4個指標(biāo)與QoS密切相關(guān)?；贕PS的調(diào)度算法目前主要有：加權(quán)公平排隊(WFQ) 、自時鐘公平排隊 (SCFQ)、VC(VirtualClock)等，它們(尤其是WFQ)能提供較好的公平性、時延特性以及對惡意業(yè)務(wù)流的隔離能力，但當(dāng)隊列數(shù)較多時，其實現(xiàn)復(fù)雜度較大。CBR 的有效實現(xiàn)需要各個路由器之間的相互配合，比如相互通知各自所知道的網(wǎng)絡(luò)的一些狀態(tài)信息(如鏈路的剩余帶寬)。因為鏈路的剩余帶寬在不斷的變化，CBR既要避免狀態(tài)信息發(fā)布的滯后性，又要避免不停地頻繁發(fā)布狀態(tài)信息。業(yè)務(wù)量工程(TrafficEngineering)業(yè)務(wù)量工程的主要目的在于盡量地避免網(wǎng)絡(luò)擁塞的發(fā)生，以保證QoS。當(dāng)業(yè)務(wù)量不均勻分布時，則有的鏈路處于過載狀態(tài)而有的鏈路可能處于欠載狀態(tài)，此時如果我們能夠?qū)W(wǎng)絡(luò)中的業(yè)務(wù)流進(jìn)行適當(dāng)引導(dǎo)，則不必增加網(wǎng)絡(luò)資源也可能消除擁塞。多協(xié)議標(biāo)記交換(MPLS) 和基于受限的路由都是業(yè)務(wù)量工程的有用工具，也是目前有待進(jìn)一步研究的課題。24 / 464. 網(wǎng)絡(luò)安全性及與 Inter 的連接為了提高云南網(wǎng)通運(yùn)營支撐系統(tǒng)的服務(wù)質(zhì)量，滿足用戶日益擴(kuò)大的需求，在這次系統(tǒng)設(shè)計中設(shè)計了與Inter 的連接，實際上網(wǎng)絡(luò)的連通是很簡單的，真正要著重考慮的是安全性的設(shè)計，而且對于這樣的一個重要網(wǎng)絡(luò)系統(tǒng)來說，安全是一個相當(dāng)重要的問題，所以先簡單介紹一下安全上的問題是很有必要的。其中每臺處理機(jī)的安全性可以通過UNIX的登錄過程實施控制，用戶級的安全性可以通過文件的所有者和文件訪問權(quán)限機(jī)構(gòu)來控制，這里著重討論網(wǎng)絡(luò)的安全性問題。網(wǎng)絡(luò)中所面臨的安全性威脅主要有下面幾種：信息泄露：當(dāng)通信各方通過網(wǎng)絡(luò)進(jìn)行交談時，如果不采用任何保密措施，別人就有可能“偷聽”到通信的內(nèi)容，因此必要時可對通信的內(nèi)容進(jìn)行加密。假冒：當(dāng)網(wǎng)絡(luò)中的某個節(jié)點(diǎn)冒名要求提供服務(wù)時，系統(tǒng)如何能夠知道對方是否冒名呢？我們可以提供一個合法用戶的數(shù)據(jù)庫，采用TACACS 或RADIUS 協(xié)議對用戶的身份進(jìn)行鑒別。篡改：為了防止報文在轉(zhuǎn)發(fā)過程中被第三者所篡改，可以在應(yīng)用層對用戶的報文進(jìn)行加密或校驗。25 / 46根據(jù)網(wǎng)絡(luò)安全性的具體實現(xiàn)方式，可以分為兩種：通過分散式的安全控制機(jī)制實現(xiàn)網(wǎng)絡(luò)的安全性和通過集中式的安全控制機(jī)制實現(xiàn)網(wǎng)絡(luò)的安全性。為了了解這些情況你可能會作出一系列假設(shè)，比如：入侵者的水平比網(wǎng)絡(luò)的管理者要低、入侵者只可能使用一些常見的