計算機網(wǎng)絡(luò)系統(tǒng)
方案要點概述
在新辦公大樓綜合樓智能化工程計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計中,我們對用戶的需求進行了詳細的分析,并就系統(tǒng)進行了深入細致的設(shè)計。系統(tǒng)設(shè)計主要為:
1.網(wǎng)絡(luò)技術(shù)選型的考慮以及網(wǎng)絡(luò)拓樸的設(shè)計
網(wǎng)絡(luò)技術(shù)選型
網(wǎng)絡(luò)系統(tǒng)經(jīng)過多年的建設(shè),目前局域網(wǎng)、城域網(wǎng)主要以千兆為主;到省公司廣域網(wǎng)采用ATM155M,到各個縣公司目前還以2M專線為主。隨著企業(yè)內(nèi)聯(lián)網(wǎng)系統(tǒng)的建設(shè),到各個縣公司將在升級到千兆,并且在全網(wǎng)采用MPLS/VPN技術(shù)架構(gòu)。核心設(shè)備為Cisco6509及8540交換機為主,接入層交換機主要為Cisco3500系列交換機。目前的網(wǎng)絡(luò)拓撲現(xiàn)狀如下:
新大樓網(wǎng)絡(luò)系統(tǒng)主要是在現(xiàn)有局域網(wǎng)系統(tǒng)上進行擴容,在技術(shù)及設(shè)備上最好延續(xù)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng),保證系統(tǒng)的平滑互連。并考慮今后網(wǎng)絡(luò)系統(tǒng)升級的擴展性。主干采用千兆以太網(wǎng)技術(shù),為了增加主干系統(tǒng)的帶寬,可以考慮采用GEC(千兆以太網(wǎng)捆綁)技術(shù)。設(shè)備考慮延續(xù)采用Cisco設(shè)備。
網(wǎng)絡(luò)拓樸的設(shè)計
針對本次網(wǎng)絡(luò)系統(tǒng)建設(shè)范圍主要包括三個獨立的建筑物:主樓、服務(wù)樓、信息XXXX樓。網(wǎng)絡(luò)主體架構(gòu)采用環(huán)型+星型結(jié)構(gòu),即在三個建筑物內(nèi)配置三臺Cisco三層交換機,相互間采用雙千兆鏈路互連,構(gòu)成核心環(huán)網(wǎng);在每個建筑物內(nèi),根據(jù)樓層信息點的分布,在樓層配線間采用接入級交換機采用星型拓撲連接到本地的核心三層交換機。
2.網(wǎng)絡(luò)管理系統(tǒng)
網(wǎng)絡(luò)中涉及的設(shè)備繁多,需要進行狀態(tài)檢測、設(shè)備配置、策略設(shè)置等,在網(wǎng)絡(luò)發(fā)生故障時能夠及時發(fā)現(xiàn)問題,這需要一套功能強大的網(wǎng)絡(luò)管理軟件。方案中選用Ciscoworks2000軟件作為局域網(wǎng)管理平臺,能夠與方案中設(shè)計的網(wǎng)絡(luò)設(shè)備良好配合。
3.對應(yīng)用支持的考慮
基于網(wǎng)絡(luò)的應(yīng)用很多,包括辦公應(yīng)用、用電營銷、財務(wù)、視頻監(jiān)控應(yīng)用等。有些應(yīng)用對網(wǎng)絡(luò)的要求比較高。針對新大樓智能化工程計算機網(wǎng)絡(luò)系統(tǒng),在網(wǎng)絡(luò)設(shè)計的時候,我們在設(shè)備性能以及協(xié)議等方面作了充分的考慮。例如網(wǎng)絡(luò)主干采用1000M以太網(wǎng)技術(shù),網(wǎng)絡(luò)設(shè)備具有良好的擴充性以及擴展性。對于用電營銷及視頻監(jiān)控應(yīng)用,需要網(wǎng)絡(luò)具有良好的服務(wù)質(zhì)量(QoS)。在技術(shù)方案中針對這些網(wǎng)絡(luò)的具體應(yīng)用,我們提出了各自具體的實施方案。
4.對IP地址、DNS等網(wǎng)絡(luò)基礎(chǔ)資源的規(guī)劃
網(wǎng)絡(luò)系統(tǒng)屬于企業(yè)內(nèi)聯(lián)網(wǎng)的一部分,其IP地址及DNS等均遵循公司的統(tǒng)一規(guī)劃。在此不需要額外規(guī)劃。
5.對安全的考慮
方案中對系統(tǒng)安全作了建議性的描述,在對外連接上采用防火墻技術(shù)、DMZ設(shè)置保障信息系統(tǒng)的安全。在設(shè)備和系統(tǒng)設(shè)置上采用其他的一些策略包括針對Cisco設(shè)備特點采取的網(wǎng)絡(luò)設(shè)備安全加固手段、采用虛擬網(wǎng)技術(shù)(VLAN)劃分不同的網(wǎng)段,實現(xiàn)不同子網(wǎng)之間的邏輯隔離及控制、在核心服務(wù)器VLAN及主要出口設(shè)置入侵檢測系統(tǒng);在主干路由設(shè)備上以及接入設(shè)備上設(shè)置訪問控制,隔離外部入侵。
出于對設(shè)備物理安全的考慮,對機房以及配線間設(shè)備考慮防雷和接地。主要考慮電源防雷和型號防雷,并對設(shè)備以及機柜等作良好接地。而這一部分也是機房設(shè)計的重要組成部分。
總論
系統(tǒng)建設(shè)背景
為提高企業(yè)的辦事效率,為領(lǐng)導(dǎo)和工作人員提供辦公及生產(chǎn)管理,要不斷完善對信息系統(tǒng)的建設(shè)。以此來滿足對網(wǎng)絡(luò)性能、可靠性及安全等方面的不斷增長的需求。
系統(tǒng)建設(shè)需求及設(shè)計原則
系統(tǒng)需求分析
本次網(wǎng)絡(luò)系統(tǒng)的建設(shè)包括省內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò),重點建設(shè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。
內(nèi)網(wǎng)性質(zhì)為公司內(nèi)部的生產(chǎn)辦公業(yè)務(wù)網(wǎng)絡(luò),其上主要的應(yīng)用系統(tǒng)有辦公自動化、用營銷、財務(wù)、自動化、勞動人事等。今后隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展,其上還要承載高質(zhì)量的視頻監(jiān)控系統(tǒng)、視頻點播系統(tǒng)。要求網(wǎng)絡(luò)運行可靠穩(wěn)定、數(shù)據(jù)傳輸效率高、支持QoS,從安全角度出發(fā)要與外網(wǎng)從物理上完全隔離、充分保證系統(tǒng)數(shù)據(jù)的安全。因此在網(wǎng)絡(luò)建設(shè)方案中內(nèi)網(wǎng)主干采用千兆以太網(wǎng)技術(shù)、核心三層交換機具有較高的二至三層的交換能力,并且具備萬兆升級能力。核心層及接入層交換機均支持不同層次的QoS,以及適用于局域網(wǎng)的各種應(yīng)用需求。
外網(wǎng)是公司與Internet及其它相關(guān)單位(如銀行)間互訪的網(wǎng)絡(luò)系統(tǒng),屬于非安全網(wǎng)絡(luò)。主要提供專有信息發(fā)布、電子郵件服務(wù)、Internet瀏覽、資料查詢及下載。特別需要加強網(wǎng)絡(luò)的安全及病毒防范能力。因此在外網(wǎng)與內(nèi)網(wǎng)在物理上進行隔離,由于外網(wǎng)承載的業(yè)務(wù)相對內(nèi)網(wǎng)而言對網(wǎng)絡(luò)的帶寬及性能要求不是很高,所以在外網(wǎng)的建設(shè)中,網(wǎng)絡(luò)系統(tǒng)對連通性要求較高,但對網(wǎng)絡(luò)的帶寬及時延要求不大,重點考慮外網(wǎng)系統(tǒng)的安全性。
系統(tǒng)建設(shè)原則
本工程技術(shù)方案為實現(xiàn)前述建設(shè)目標(biāo),遵循以下建設(shè)原則:
1、安全性和可靠性
網(wǎng)絡(luò)系統(tǒng)是信息資源的倉庫,其安全與否,直接關(guān)系到供電部門的切身利益,一旦信息系統(tǒng)因為安全的原因被人為或其它原因破壞,其損失不可估量,特別是現(xiàn)階段互聯(lián)網(wǎng)的開放性還缺乏有效的監(jiān)督管理機制。因此,安全性是網(wǎng)絡(luò)信息系統(tǒng)的生命線,在本建設(shè)方案中充分考慮到要保證系統(tǒng)的安全機制,通過各種手段確保信息系統(tǒng)的資源得到最大的保護,同時網(wǎng)絡(luò)的可靠性是保障網(wǎng)絡(luò)建設(shè)成功發(fā)揮其功能的關(guān)鍵。
2、成熟性和先進性
在目前存在的多種網(wǎng)絡(luò)技術(shù)中,選擇一種既成熟又先進的技術(shù)是組網(wǎng)的關(guān)鍵之一。成熟性是前提,它意味著采用這種技術(shù)不會由于網(wǎng)絡(luò)技術(shù)本身的問題而造成損失,可以很好地滿足應(yīng)用要求;同時先進性是為了保證用戶投資興建的網(wǎng)絡(luò)能夠跟得上技術(shù)的發(fā)展,符合應(yīng)用的要求,使用戶的投資得到保護,在相當(dāng)?shù)臅r間內(nèi)保持先進性,不至于過早被淘汰。
3、實用性
建網(wǎng)的目的是為了提高工作效率,因此采用高速度、低延時的網(wǎng)絡(luò)系統(tǒng),建設(shè)一個切合應(yīng)用要求的實用的、經(jīng)濟的網(wǎng)絡(luò)信息系統(tǒng)是設(shè)計指導(dǎo)原則之一。只有所建設(shè)的網(wǎng)絡(luò)信息系統(tǒng)能夠滿足應(yīng)用的要求,吸引廣大用戶使用,提高使用網(wǎng)絡(luò)人員的操作水平,為企業(yè)創(chuàng)造經(jīng)濟效益,充分發(fā)揮其功用,才達到建網(wǎng)的目的。
4、可管理性
網(wǎng)絡(luò)管理關(guān)系到系統(tǒng)使用的效率、維護、監(jiān)控的手段以及網(wǎng)絡(luò)資源的再分配,是一個完整的智能網(wǎng)絡(luò)必不可少的組成部分。因此采用具有網(wǎng)管能力的網(wǎng)絡(luò)設(shè)備是系統(tǒng)設(shè)計的重要思想。系統(tǒng)支持先進有效的管理策略,提供良好的管理工具或手段能夠?qū)崟r監(jiān)視服務(wù)器各種設(shè)備的工作情況,并在安全和系統(tǒng)故障方面進行預(yù)警,提交日志和分析報告,及時發(fā)現(xiàn)故障點,為平衡負載、優(yōu)化服務(wù)、排除故障提供手段和依據(jù)。
5、開放性和擴展性
開放性意味著標(biāo)準(zhǔn)化,在公司的網(wǎng)絡(luò)系統(tǒng)建設(shè)中,其各種設(shè)備之間的連接均采用國際上通用的成熟標(biāo)準(zhǔn)協(xié)議或接口,不會因為設(shè)備的更改而變動基本結(jié)構(gòu)或采用不同廠商的設(shè)備導(dǎo)致系統(tǒng)不兼容。如內(nèi)網(wǎng)VLAN的劃分方式、路由協(xié)議的選擇等。
開放的體系結(jié)構(gòu)為以后的網(wǎng)絡(luò)升級提供了基礎(chǔ),隨著江蘇電力信息化建設(shè)不斷發(fā)展,網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用規(guī)模和水平將會不斷發(fā)展變化,這就要求計算機網(wǎng)絡(luò)能夠適應(yīng)這些發(fā)展變化,實現(xiàn)向先進技術(shù)的平滑過渡,同時也便于擴大規(guī)模,從而保護原有投資。
網(wǎng)絡(luò)系統(tǒng)建設(shè)方案
網(wǎng)絡(luò)技術(shù)綜述
計算機技術(shù)和通信技術(shù)的發(fā)展推動了網(wǎng)絡(luò)技術(shù)的進步,也產(chǎn)生了許多新的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用??偟内厔菔窍蛑_放、集成、高性能和智能化方向發(fā)展。網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用需求之間是一個不斷的反饋過程,呈現(xiàn)一種螺旋式上升地趨勢。選擇何種網(wǎng)絡(luò)技術(shù)組建信息基礎(chǔ)設(shè)施,除了對網(wǎng)絡(luò)技術(shù)本身的詳盡分析以外,還要結(jié)合具體的應(yīng)用而定。本章節(jié)將按照這個思路,首先詳細分析了各種網(wǎng)絡(luò)技術(shù)的最新發(fā)展?fàn)顟B(tài),然后根據(jù)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來幾年的應(yīng)用規(guī)劃,在后續(xù)章節(jié)做出相應(yīng)的網(wǎng)絡(luò)技術(shù)選型的建議。
局域網(wǎng)技術(shù)簡介
本節(jié)對現(xiàn)有的主流的以太網(wǎng)技術(shù)特點做了分析,在1997-1999年,由于千兆以太網(wǎng)技術(shù)標(biāo)準(zhǔn)還不成熟,ATM技術(shù)大量在局域網(wǎng)中應(yīng)用,當(dāng)時主要采用局域網(wǎng)仿真方式-LANE來實現(xiàn)以太幀到ATM的信元格式轉(zhuǎn)換。而在ATM到桌面的環(huán)境中,由于缺乏能有效利用ATM特性的API標(biāo)準(zhǔn),ATM的嚴(yán)格的QoS特性也沒有得到充分體現(xiàn)。而隨著基于IP的應(yīng)用的大量興起及網(wǎng)絡(luò)傳輸帶寬的不斷加大,在局域網(wǎng)應(yīng)用場合中,千兆以太網(wǎng)技術(shù)逐漸成為局域網(wǎng)發(fā)展的主流,未來的10G比特以太網(wǎng)技術(shù)也前景光明。下面著重講述一下千兆及10G以太網(wǎng)技術(shù)。
千兆位以太網(wǎng):
千兆以太網(wǎng)技術(shù)是極為成功的10Mbps和100MbpsIEEE802.3以太網(wǎng)標(biāo)準(zhǔn)的發(fā)展。由于千兆以太網(wǎng)所支持的簡易網(wǎng)絡(luò)升級,以及對新應(yīng)用和數(shù)據(jù)類型處理的靈活性、網(wǎng)絡(luò)的可伸縮性,使得千兆以太網(wǎng)成為高速、高帶寬網(wǎng)絡(luò)的戰(zhàn)略性選擇。千兆以太網(wǎng)提供大致1000Mbps的帶寬,和現(xiàn)有的數(shù)量極為龐大的以太網(wǎng)節(jié)點完全兼容。千兆以太網(wǎng)早在1996年7月就已進入標(biāo)準(zhǔn)化軌道。經(jīng)過幾個月的可行性研究,IEEE802.3工作組成立了802.3z千兆以太網(wǎng)任務(wù)小組。802.3z千兆以太網(wǎng)任務(wù)小組的關(guān)鍵目標(biāo)是開發(fā)可以完成下列功能的千兆以太網(wǎng)標(biāo)準(zhǔn):
2 ?允許以1000Mbps的速率進行半雙工、全雙工操作
2 ?使用802.3以太網(wǎng)幀格式
2 ?使用CSMA/CD訪問方式
2 ?與10BASE-T、100BASE-T技術(shù)的地址向后兼容性
任務(wù)小組定義了連接距離的三個特定目標(biāo):最大距離為550米的多模光纖,最大距離為3公里的單模光纖,最大距離不小于25米的銅線。IEEE同時在積極地探索可以支持在5類雙絞線(UTP)上傳輸至少100米的技術(shù)。千兆以太網(wǎng)支持新的全雙工模式,可以在交換機到交換機上,或交換機到端點工作站上連接上。半雙工操作模式用于CSMA/CD訪問方式和中繼器的共享連接上。千兆以太網(wǎng)也將用于5類雙絞線。
以太網(wǎng)和更高等級的服務(wù):
千兆以太網(wǎng)提供高速連接能力,但本身不提供完整的服務(wù)功能如服務(wù)質(zhì)量(QoS),自動冗余容錯,或是高層路由功能。這些功能在其它開放標(biāo)準(zhǔn)中定義。如同所有的以太網(wǎng)描述,千兆以太網(wǎng)定義OSI協(xié)議模型的數(shù)據(jù)鏈路層(第二層),TCP和IP分別在傳送層(第四層)和網(wǎng)絡(luò)層(第三層)部分中定義,允許在應(yīng)用之間的可靠通信服務(wù)。QoS等問題在最初的千兆以太網(wǎng)描述中未曾涉及,但是必須由此類標(biāo)準(zhǔn)的幾種中加以定義。
在90年代后期出現(xiàn)的應(yīng)用要求穩(wěn)定的網(wǎng)絡(luò)帶寬、延遲和敏感性。此類的網(wǎng)絡(luò)應(yīng)用包括語音和影像在局域網(wǎng)和廣域網(wǎng)上傳送,組播軟件分發(fā)。相關(guān)的標(biāo)準(zhǔn)化組織針對此類需求已經(jīng)作出了新的開放標(biāo)準(zhǔn)定義如RSVP,IEEE802.1p和IEEE802.1Q標(biāo)準(zhǔn)化小組也正在進行各自的工作。
作為推薦性的標(biāo)準(zhǔn),響應(yīng)連接質(zhì)量要求、提供網(wǎng)絡(luò)連接質(zhì)量的RSVP已經(jīng)獲得了業(yè)界的認可。為了使RSVP能發(fā)揮作用,為網(wǎng)絡(luò)應(yīng)用提供所要求的持續(xù)質(zhì)量,在客戶和服務(wù)器之間的任何一個網(wǎng)絡(luò)部件都必須支持RSVP和正常的通信能力。由于在真正獲得服務(wù)質(zhì)量的顯著效果之前需要如此多的網(wǎng)絡(luò)部件支持RSVP,有些廠商開發(fā)了一些在某種程度上支持QoS的廠家專有方案。盡管它們可以為用戶提供QoS的效益,但要求網(wǎng)絡(luò)的某些部分是這些廠家所獨有的。
802.1p和802.1Q靠提供一種所謂的“打標(biāo)記”的方式實現(xiàn)以太網(wǎng)上的服務(wù)質(zhì)量功能。打標(biāo)簽就是在數(shù)據(jù)包上做標(biāo)記,注明該數(shù)據(jù)包所期望的服務(wù)類型或是優(yōu)先級別。這種標(biāo)記使得應(yīng)用能夠與網(wǎng)絡(luò)互聯(lián)設(shè)備按不同的優(yōu)先級通信。RSVP可以由將RSVP映射到802.1p服務(wù)級別的方式實現(xiàn)。
不同的千兆以太網(wǎng)設(shè)備一般只有上述部分標(biāo)準(zhǔn),這樣可以使以太網(wǎng)連接更有效率,功能較強。但千兆以太網(wǎng)的成功不依賴于標(biāo)準(zhǔn)中的任何一個。模塊化標(biāo)準(zhǔn)的優(yōu)點是標(biāo)準(zhǔn)的任何部分都可以在市場和和產(chǎn)品質(zhì)量有需求時進行更新。請注意所有這些標(biāo)準(zhǔn)都和快速以太網(wǎng)和10M以太網(wǎng)相匹配,各個層次的以太網(wǎng)運行性能和質(zhì)量都可以從標(biāo)準(zhǔn)化的工作中獲益。
10G以太網(wǎng):
近兩年隨著傳輸網(wǎng)絡(luò)的發(fā)展,10G以太網(wǎng)技術(shù)漸漸引起了人們的注意,這種高速以太網(wǎng)技術(shù)適用于各種網(wǎng)絡(luò)結(jié)構(gòu),能夠簡單、經(jīng)濟地構(gòu)建各種速率的網(wǎng)絡(luò),可以滿足骨干網(wǎng)大容量傳輸?shù)男枨?,解決了窄帶接入、寬帶傳輸?shù)钠款i問題,并與現(xiàn)行以太網(wǎng)技術(shù)兼容。2000年末已經(jīng)為通往WAN作好了相應(yīng)的技術(shù)儲備。此外,由于LAN、MAN和WAN采用同一種核心技術(shù),網(wǎng)絡(luò)易于管理和維護,同時避免了協(xié)議轉(zhuǎn)換,實現(xiàn)了LAN、MAN和WAN的無縫連接。10G以太網(wǎng)贏得青睞的真正原因是,它比ATM和SONET的價位低,在MAN和WAN中應(yīng)用10G以太網(wǎng)技術(shù),比采用ATM/SONET技術(shù)構(gòu)建的類似MAN和WAN費用低25%。預(yù)計10G以太網(wǎng)的每端口價格是單個千兆比端口價格的8.3倍。這就是說,買一個10G以太網(wǎng)端口比買10個千兆比端口節(jié)省17%的費用。然而,10G以太網(wǎng)缺少SONET的鏈路管理能力,無法排除鏈路故障。有人建議用數(shù)字封裝法來傳遞以太網(wǎng)幀,使之具備鏈路管理能力,但這將增加成本和復(fù)雜性。所以,在長距離傳輸下,SONET有其優(yōu)勢,但以太網(wǎng)處理突發(fā)數(shù)據(jù)和網(wǎng)狀網(wǎng)的能力比SONET強。
盡管10G以太網(wǎng)是在以太網(wǎng)技術(shù)的基礎(chǔ)上發(fā)展起來的,但是,由于工作速率的大幅度提升,適用范圍有了顯著的變化,與原來的以太網(wǎng)技術(shù)相比差異很大,主要表現(xiàn)在:物理層實現(xiàn)方式、幀格式、MAC層的工作速率以及適配策略。
由于10G以太網(wǎng)既可以作LAN使用,也可以當(dāng)作WAN使用,而LAN和WAN之間由于工作環(huán)境不同,對于各項指標(biāo)的要求存在許多的差異,主要表現(xiàn)在時鐘抖動、BER(比特誤碼率)、QoS、速率等的要求不同。為此,IEEE802.3HSSG小組制訂了兩種不同的物理介質(zhì)標(biāo)準(zhǔn),分別用于以太局域網(wǎng)和以太廣域網(wǎng)。這兩種物理層的共同點是:共用一個MAC層;僅支持全雙工操作方式;省略了CSMA/CD;采用光纖作為物理介質(zhì)。
根據(jù)當(dāng)前的局域網(wǎng)技術(shù)發(fā)展趨勢,針對XXXX市供電公司局域網(wǎng)的應(yīng)用需求。應(yīng)采用千兆以太交換技術(shù)構(gòu)筑內(nèi)部局域網(wǎng),并保證今后可向10G以太網(wǎng)平滑升級。
內(nèi)網(wǎng)建設(shè)方案
組網(wǎng)方案
現(xiàn)狀分析
廣域網(wǎng)主要采用155MATM接入企業(yè)內(nèi)聯(lián)網(wǎng),采用2M專線連接各個縣公司。聯(lián)網(wǎng)計算機達七百多臺,采用10/100M
交換到桌面。
目前對外部網(wǎng)絡(luò)的訪問主要提供省公司的代理服務(wù)器連接Internet,沒有自己的本地出口。對于銀行的互連,目前正在現(xiàn)有系統(tǒng)上添加防火墻及入侵檢測設(shè)備。
系統(tǒng)采用的主要網(wǎng)絡(luò)設(shè)備如下:
主干交換機:采用Cisco公司的Catalyst6509為主干交換機,該交換機配置256G交換矩陣,路由能力為15Mpps。接口模塊主要有千兆以太網(wǎng)接口板,主要用于局域網(wǎng)及城域網(wǎng)的千兆主干接入,ATM622M接口與8540互連,通過三級網(wǎng)接入企業(yè)內(nèi)聯(lián)網(wǎng)。
分支主干交換機:采用Cisco4000系列交換機,作為分支節(jié)點的核心交換機,采用千兆連接6509。
樓層交換機:主要為Cisco3500系列交換機。采用千兆連接到核心6509交換機,10/100M交換到桌面。
撥號路由器:采用IBM8235作為撥號訪問服務(wù)器,實現(xiàn)遠程用戶和移動辦公用戶通過電話撥號接入局域網(wǎng)。該撥號訪問服務(wù)器采用10M以太網(wǎng)接入局域網(wǎng)。
廣域網(wǎng)接入交換機:采用Cisco8540MSR,采用155MATM接口通過三級網(wǎng)接入江蘇電力企業(yè)內(nèi)聯(lián)網(wǎng),通過622MATM接口連接核心交換機6509。
接入路由器:采用IBM2210作為縣公司接入路由器,通過2M專線連接各個縣公司。
內(nèi)網(wǎng)建設(shè)目標(biāo)
2 ?實現(xiàn)主樓、服務(wù)樓、信息XXXX樓的互連。
2 ?網(wǎng)絡(luò)技術(shù)采用千兆以太網(wǎng),主干網(wǎng)是以數(shù)據(jù)傳輸速率為1000Mbps,并采取資源保留協(xié)議、保證關(guān)鍵業(yè)務(wù)的通暢。
2 ?提供樓層用戶的10/100M接入。
2 ?與現(xiàn)有網(wǎng)絡(luò)系統(tǒng)兼容,并可以平滑升級。
2 ?通過設(shè)備對策選擇及拓撲結(jié)構(gòu)設(shè)計,保證系統(tǒng)的高可靠性
2 ?實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的物理隔離。
內(nèi)網(wǎng)建設(shè)方案
核心設(shè)計:
內(nèi)網(wǎng)主要包括三個主要節(jié)點:新大樓主樓、服務(wù)樓、信息樓,為保證網(wǎng)絡(luò)系統(tǒng)的高可靠性,設(shè)計三個節(jié)點各放置一臺三層交換機,相互間采用雙千兆進行互連,構(gòu)成核心環(huán)網(wǎng)。在互連協(xié)議方式上可以有兩種方式:
采用路由方式互連,在局域網(wǎng)內(nèi)部運行OSPF協(xié)議,通過路由協(xié)議實現(xiàn)鏈路的最佳選擇及備份切換,通過調(diào)整OSPF協(xié)議的參數(shù),可以將鏈路的切換時間控制在4秒以內(nèi),但此種方式應(yīng)用在局域網(wǎng)內(nèi)有一定的局限性,例如不能構(gòu)建跨越三大節(jié)點的全局VLAN。
通過數(shù)據(jù)鏈路層的IEEE802.1s及IEEE802.1w協(xié)議實現(xiàn)鏈路冗余及切換,IEEE802.1s協(xié)議是對IEEE802.1d(生成樹協(xié)議)的改進,通過改進的BPDU傳輸鏈路及端口狀態(tài),可以保證將系統(tǒng)的切換時間控制在1秒以內(nèi),IEEE802.1w是多生成樹協(xié)議,即可以在一個傳統(tǒng)的生成樹域內(nèi),通過分級控制的方式劃分出多個生成樹,在鏈路發(fā)生故障時,提高系統(tǒng)的收斂時間。
根據(jù)局域網(wǎng)的特點及系統(tǒng)可靠性的保證,建議核心環(huán)網(wǎng)選擇第二種互連方式。
根據(jù)接入節(jié)點的數(shù)量及投資規(guī)模,核心節(jié)點的交換機可以有兩種選擇。
主樓采用核心交換機采用Cisco6509,信息樓核心交換機采用現(xiàn)有的Cisco6513,配置720G引擎,最大路由能力為400Mpps;服務(wù)樓配置Cisco4507R,交換能力為64G,路由能力為48Mpps;。
主樓核心交換機采用Cisco4507R,采用全冗余配置;信息XXXX樓核心交換機采用Cisco6509;服務(wù)樓核心交換機采用Cisco3550-12G,交換能力為17G,路由能力為6Mpps。
(1)主交換機
主交換機是整個網(wǎng)絡(luò)系統(tǒng)的核心設(shè)備,承擔(dān)網(wǎng)絡(luò)主干的絕大部分流量,由于服務(wù)器包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、網(wǎng)管工作站等重要設(shè)備都連接在主交換機上,并且客戶機與服務(wù)器的通信都必須經(jīng)過主交換機,因此主交換機的故障會造成通信中斷,導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓;同時主交換機的性能、穩(wěn)定性、可靠性也密切影響著整個網(wǎng)絡(luò)系統(tǒng)的性能。對主交換機的設(shè)計如下:
2 ?設(shè)備配置冗余電源,冗余管理模塊,冗余三層交換模塊及冗余端口,同時保證提供足夠數(shù)量的千兆端口用于連接內(nèi)網(wǎng)骨干網(wǎng)(主交換機與樓層交換機之間的鏈路)和連接各類服務(wù)器;
2 ?集成LAN/WAN/MAN,集成不同的網(wǎng)絡(luò)、電信端口;
2 ?提供智能IP服務(wù),如提供對組播等協(xié)議的支持;
2 ?提供對IP語音的支持;
2 ?支持各種QoS方式;
2 ?支持強大的網(wǎng)絡(luò)管理功能;
根據(jù)以上要求,主樓核心設(shè)備根據(jù)投資規(guī)模的不同,可以有兩種選擇,第一種選擇Cisco6509;第二種選擇為Cisco4507R交換機。具體配置詳見建議設(shè)備配置清單。
(2)樓層交換機
作為用戶終端與交換機之間的連接,樓層交換機在整個網(wǎng)絡(luò)中處于重要的地位。樓層交換機的選擇應(yīng)做到盡可能的高速交換和傳遞數(shù)據(jù),不致成為整個網(wǎng)絡(luò)的瓶頸。因此,根據(jù)網(wǎng)絡(luò)系統(tǒng)的設(shè)計原則以及內(nèi)網(wǎng)的業(yè)務(wù)特點,對樓層交換機設(shè)計如下:
2 ?端口密度滿足每一樓層40多個信息點百兆交換到桌面的要求;
2 ?提供至少一個千兆端口作為與主交換機的相連;
2 ?提供第二層上虛網(wǎng)劃分,滿足主交換機的第三層交換;
2 ?支持802.1q及802.1p,支持802.1x用戶接入認證。
外網(wǎng)建設(shè)方案
外網(wǎng)建設(shè)目標(biāo)
l ?建立獨立于內(nèi)網(wǎng)的網(wǎng)絡(luò)系統(tǒng),實現(xiàn)內(nèi)外網(wǎng)物理隔離;
l ?建立外網(wǎng)信息服務(wù)平臺,提供豐富的信息服務(wù);
l ?提供Internet接入,為職工安全上網(wǎng)提供便利條件;
l ?提供對社會公眾的服務(wù)窗口。
外網(wǎng)構(gòu)建方案
外網(wǎng)主要用于連接Internet、銀行等。采取與內(nèi)網(wǎng)物理隔離的方式來保證內(nèi)網(wǎng)系統(tǒng)的安全性。為實現(xiàn)內(nèi)外網(wǎng)物理隔離目標(biāo),建立獨立的外網(wǎng)系統(tǒng),在每個辦公室里設(shè)置一個到兩個獨立的信息點,這些信息點的機器不與內(nèi)網(wǎng)有任何連接,通過這種方式實現(xiàn)與外網(wǎng)的連接。
由于外網(wǎng)系統(tǒng)的數(shù)據(jù)流量不大,只要保證連通性,最為主要的是安全性,因此交換設(shè)備可以選擇抵檔一些的設(shè)備,如國產(chǎn)設(shè)備或不適用于原有網(wǎng)絡(luò)的設(shè)備。新增配置一臺核心三層交換機,關(guān)鍵要設(shè)計好外網(wǎng)出口的安全,建議在外網(wǎng)的Internet及銀行互連端口處設(shè)置防火墻及入侵檢測裝置。防火墻要設(shè)置DMZ區(qū)域,用于放置WWW、外部Email、DNS等服務(wù)器,將來可提供對社會公眾的信息查詢服務(wù)以及企業(yè)自我宣傳的窗口。
由于外網(wǎng)不是本次網(wǎng)絡(luò)系統(tǒng)建設(shè)的重點,本設(shè)計方案只給出一些建設(shè)意見,不涉及具體的設(shè)備配置。
內(nèi)網(wǎng)及外網(wǎng)的IP地址分配方式
網(wǎng)絡(luò)內(nèi)部主機的IP地址的分配方式有以下幾種:
2 ?手工靜態(tài)配置
2 ?通過DHCP動態(tài)分配,即通過DHCP服務(wù)器獲得的IP地址有可能每次都不一樣。
2 ?在DHCP服務(wù)器上進行IP及MAC的綁定,實行綁定分配,在這種方式下,只要網(wǎng)卡沒有更換,每次獲得的IP地址均相同。根據(jù)主機及設(shè)備的屬性,應(yīng)采取不同的IP導(dǎo)致分配方式:
2 ?對于服務(wù)器及網(wǎng)絡(luò)設(shè)備,由于相對穩(wěn)定,建議采用手工靜態(tài)配置IP地址。對于固定的辦公PC機,由于手工配置IP地址,要人工記錄已經(jīng)分配的IP地址,以避免同一個IP地址分配給多臺機器,導(dǎo)致網(wǎng)絡(luò)沖突。這些機器平
2 ?時的接入的子網(wǎng)相對固定,同時為了便于對上網(wǎng)機器統(tǒng)一管理及監(jiān)控,建議內(nèi)網(wǎng)及外網(wǎng)的內(nèi)部的PC機采用DHCP方式,并且將IP與MAC地址綁定分配,保證每次獲得的IP地址均相同。
2 ?對于移動上網(wǎng)的筆記本電腦,由于每次所連接的子網(wǎng)可能不同,建議采用DHCP動態(tài)分配方式,建議每個子網(wǎng)的動態(tài)分配的IP地址空間為最后20個。即:X.X.X.234-X.X.X.253。對于內(nèi)網(wǎng)及外網(wǎng)的DHCP服務(wù)器,有以下兩種選擇:
2 ?采用PC服務(wù)器,安裝WindowsNT或Windows2000Server操作系統(tǒng),操作系統(tǒng)內(nèi)置有DHCP服務(wù)功能。
2 ?由CiscoIOS提供,內(nèi)網(wǎng)的核心由于為6509,配置有MSFC3路由模塊,可以在IOS中啟用DHCP服務(wù)器功能,由6509作為DHCP服務(wù)器。今后可以考慮采用CiscoURT(用戶注冊管理工具)根據(jù)用戶輸入的用戶名及口令,通過IEEE802.1x認證后接入網(wǎng)絡(luò),就可以將用戶分配到相應(yīng)的子網(wǎng)并獲得正確的IP地址。
服務(wù)質(zhì)量(QoS)的實施
局域網(wǎng)服務(wù)質(zhì)量的實施
隨著視頻監(jiān)控、IP電話以及重要的電力企業(yè)應(yīng)用(如營銷)等各種在某段時間內(nèi)持續(xù)高帶寬低延時的應(yīng)用的開展,網(wǎng)絡(luò)流量的復(fù)雜化,IP交換技術(shù)的發(fā)展,二層、三層交換技術(shù)在保障網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量QoS,避免網(wǎng)絡(luò)擁塞上可以起到不可缺少的作用。
概括而言,QoS主要包括數(shù)據(jù)智能分類技術(shù),擁塞控制技術(shù)兩大方面,一般在園區(qū)網(wǎng)絡(luò)中采用以下步驟實現(xiàn)服務(wù)質(zhì)量:
在接入層交換機中對進入網(wǎng)絡(luò)的數(shù)據(jù)包進行網(wǎng)絡(luò)的基本分類或根據(jù)交換機設(shè)定來進行重分類(Reclassify),同時對網(wǎng)絡(luò)的流量采用監(jiān)控(Policing),避免由于客戶設(shè)備故障或病毒產(chǎn)生的過度流量,然后根據(jù)監(jiān)控決策結(jié)果來將這些流量放入相應(yīng)的上聯(lián)端口的隊列,然后在此端口上采用加權(quán)算法來對該端口出去的流量進行擁塞控制(SchedulingCongestionControl),確保在接入層上關(guān)鍵數(shù)據(jù)流量的服務(wù)質(zhì)量,在這些數(shù)據(jù)的處理過程中,同時完成了第二層以太網(wǎng)幀中CoS值和IP包中的TOS值或DSCP值的映射,TOS或DSCP值決定了IP報文的優(yōu)先級別,而TOS或DSCP值在經(jīng)過IP路由器默認情況下其值不會改變,從而能夠提供跨全網(wǎng)的端到端的QoS。核心三層交換機在收到了從接入層交換機上傳來的數(shù)據(jù)包,它開始正式對其第三層IP數(shù)據(jù)包進行分析,首先根據(jù)IP地址信息可以選擇不同的轉(zhuǎn)發(fā)鏈路,在選擇了相應(yīng)的鏈路后,這時候核心三層交換機在這些鏈路上對流量的擁塞不再是依據(jù)以太網(wǎng)幀中的CoS,而是依據(jù)在接入層交換中以及完成賦值的TOS或DSCP,分布層交換機可以根據(jù)這些值可以對網(wǎng)絡(luò)中的流量進行更細致的劃分,保證關(guān)鍵流量將根據(jù)其各自的優(yōu)先權(quán)進入網(wǎng)絡(luò)核心。
從上述技術(shù)分析來看,實施時技術(shù)要求較高,要求在實施前對網(wǎng)絡(luò)應(yīng)用模式和具體需要進行詳細分析,然后合理的規(guī)劃采用連接協(xié)議及QoS控制方式,使網(wǎng)絡(luò)在滿足需求的前提下趨于最高性能和可靠性。
具體實現(xiàn)的技術(shù)方案:
在企業(yè)內(nèi)網(wǎng)中接入層交換機采用Cisco3550交換機,能夠提供完善的LAN邊緣QoS,在業(yè)內(nèi)此類產(chǎn)品中無以匹敵。所有的Cisco3550交換機支持兩種模式的重新分類方法。一種模式基于IEEE802.1p標(biāo)準(zhǔn),遵從接入點的服務(wù)等級(CoS)值并把數(shù)據(jù)包分配到合適的隊列中。第二種模式,數(shù)據(jù)包根據(jù)由網(wǎng)絡(luò)管理員分配給接入端口的缺省CoS值來進行重新分類。如果到達的幀沒有CoS值(如未做標(biāo)記的幀),Cisco3550交換機就根據(jù)網(wǎng)絡(luò)管理員分配給每個端口的缺省CoS值來進行分類。
一旦數(shù)據(jù)幀使用上面所說的兩種模式分類或重新分類后,即被分配到最合適的輸出隊列中去。Cisco3550交換機支持四種輸出隊列,使網(wǎng)絡(luò)管理員在為LAN流量的各種應(yīng)用指定優(yōu)先權(quán)時更加容易區(qū)分和有針對性。嚴(yán)格的優(yōu)先權(quán)分配可以保證諸如語音等時間敏感的應(yīng)用在通過交換結(jié)構(gòu)時一直使用高速路徑。另外,另一種重要的增強措施即加權(quán)循環(huán)(WRR)策略也能保證低優(yōu)先級的負載在沒有被網(wǎng)絡(luò)管理員進行優(yōu)先級配置的情況下,能夠得到重視。
這些特性使網(wǎng)絡(luò)管理員可以把關(guān)鍵任務(wù)和時間敏感的流量,如視頻(視頻會議,視頻監(jiān)控等)、語音(IP電話流量)和CAD/CAM,優(yōu)于低時間敏感的應(yīng)用如FTP或e-mail(SMTP)等來設(shè)置更高級別的優(yōu)先權(quán)。
Cisco3550交換機每個端口可以工作在兩種模式下:Trust和Untrust。Trust狀態(tài)下交換機將相信從端口進入交換機的以太網(wǎng)幀中CoS值,這種狀態(tài)下必須依賴于客戶端程序或系統(tǒng)能夠?qū)ζ洚a(chǎn)生的流量能夠正確的賦予CoS值;在Untrust模式下交換機可以設(shè)定改寫所有進入該交換機端口的以太網(wǎng)幀中的CoS值,無論其現(xiàn)有的CoS值為多少,可以根據(jù)端口的直接設(shè)定。
對于智能型的Cisco3550也可以通過ACL來對網(wǎng)絡(luò)流量分類來重新設(shè)定。為了同時也對第三層IP數(shù)據(jù)中的ToS或DSCP賦值,交換機也對應(yīng)一些相應(yīng)的規(guī)則,由于CoS和ToS均為0-7,可以直接對應(yīng),CoS和DSCP直接采用DSCP=CoSx8的公式進行轉(zhuǎn)換。在網(wǎng)絡(luò)流量的監(jiān)控上,Cisco3550采用了以前只有在6500交換機上才采用的ratelimit技術(shù),可以以8Kbps為單位來定義10/100兆端口上實際數(shù)據(jù)傳輸速率,當(dāng)速率超過預(yù)先定義的值可以采用丟棄或降低DSCP的方法來處理。
在上聯(lián)端口的擁塞處理中Cisco3550交換機采用4條隊列的方式,其中一條為嚴(yán)格優(yōu)先隊列(StrictPriority),其余3條隊為加權(quán)輪詢隊列,這樣的話為了保證要求服務(wù)質(zhì)量保證的系統(tǒng)最高優(yōu)先級,可以將所有的有服務(wù)質(zhì)量要求的數(shù)據(jù)設(shè)定分類后放入嚴(yán)格優(yōu)先隊列中,其余的應(yīng)用根據(jù)其各自的情況分類,賦予不同的DSCP值。
各個VLAN通過核心的6513或6509實現(xiàn)三層互聯(lián),對于不同的應(yīng)用,采用策略訪問控制列表(PolicyACL)對有服務(wù)質(zhì)量要求的報文(如視頻及語音報文)設(shè)定IP優(yōu)先級,根據(jù)優(yōu)先級采用加權(quán)公平隊列(WFQ)進行報文端到端的QoS傳輸;在路由端口上缺省的隊列為公平隊列(FQ),6509MSFC2路由模塊可以根據(jù)IP優(yōu)先級計算一個權(quán)重,權(quán)重=4096/(優(yōu)先級+1),根據(jù)到達路由端口的報文不同的IP優(yōu)先級計算出各自的權(quán)重,將報文放進不同的轉(zhuǎn)發(fā)隊列,根據(jù)權(quán)重的比例進行報文的排放,保證在網(wǎng)絡(luò)擁塞時優(yōu)先級高的報文優(yōu)先通過。
網(wǎng)絡(luò)管理系統(tǒng)
在當(dāng)今的網(wǎng)絡(luò)系統(tǒng)中,隨著網(wǎng)絡(luò)系統(tǒng)的不斷建設(shè)和完善,網(wǎng)絡(luò)中涉及的設(shè)備將越來越多,如路由器、交換機、防火墻、撥號服務(wù)服務(wù)器等;其次,網(wǎng)絡(luò)技術(shù)也日趨復(fù)雜,從10/100M以太網(wǎng)、千兆以太網(wǎng)、ATM、多媒體技術(shù)、安全策略等等;再有不同的網(wǎng)絡(luò)設(shè)備的配置命令也不盡相同。導(dǎo)致在網(wǎng)絡(luò)系統(tǒng)發(fā)生故障時,使網(wǎng)管人員無從下手,降低了網(wǎng)絡(luò)運行的效率。這就客觀要求要有一套好的網(wǎng)絡(luò)管理系統(tǒng)與之相配套。
網(wǎng)絡(luò)管理任務(wù)及策略
網(wǎng)絡(luò)管理是網(wǎng)絡(luò)建設(shè)中不可缺少的重要組成部分。一個良好的網(wǎng)絡(luò)管理系統(tǒng)可以幫助用戶在很大的程度上優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),預(yù)防和及時排除故障,減少網(wǎng)絡(luò)的維護費用。因此,網(wǎng)絡(luò)管理對保證網(wǎng)絡(luò)安全高效的運行是非常重要的。
網(wǎng)絡(luò)管理的任務(wù)主要包括以下方面內(nèi)容:
2 ?網(wǎng)絡(luò)性能管理:收集網(wǎng)絡(luò)運行各種統(tǒng)計信息,例如設(shè)備和鏈路的負載、可用性及可靠性、網(wǎng)絡(luò)的可用率等,優(yōu)化網(wǎng)絡(luò)性能,消除網(wǎng)絡(luò)中的瓶頸,實現(xiàn)網(wǎng)絡(luò)流量分布的均勻性,實現(xiàn)各種策略管理。
2 ?網(wǎng)絡(luò)配置管理:網(wǎng)絡(luò)節(jié)點部件、端口及路由的配置,收集當(dāng)前系統(tǒng)狀態(tài)的有關(guān)信息,更改系統(tǒng)的配置等。
2 ?網(wǎng)絡(luò)故障管理:維護并檢查錯誤日志,接受錯誤檢測報告并作出反應(yīng),跟蹤錯誤檢測報告并作出反應(yīng),跟蹤及辨認錯誤,執(zhí)行診斷測試,糾正錯誤等。
2 ?業(yè)務(wù)量統(tǒng)計:對網(wǎng)絡(luò)節(jié)點、設(shè)備等的告警產(chǎn)生、告警內(nèi)容和告警清除的統(tǒng)計;根據(jù)IP地址,統(tǒng)計業(yè)務(wù)流量和流向,實現(xiàn)對網(wǎng)管人員操作網(wǎng)管設(shè)備過程的記錄和統(tǒng)計。
2 ?網(wǎng)絡(luò)安全管理:包括各種級別、層次的安全防護措施的管理,對網(wǎng)絡(luò)中各種配置數(shù)據(jù)必須有保護措施,當(dāng)網(wǎng)管系統(tǒng)出現(xiàn)故障時,能自動及人工恢復(fù)正常工作,不影響網(wǎng)絡(luò)的正常運行。
對于網(wǎng)絡(luò)系統(tǒng)來說,由于其內(nèi)網(wǎng)、外網(wǎng)網(wǎng)絡(luò)界限劃分明顯,且隨著網(wǎng)絡(luò)的發(fā)展今后其覆蓋面將越來越廣,涉及的網(wǎng)絡(luò)設(shè)備眾多,因此如何有效地管理整個網(wǎng)絡(luò),提高網(wǎng)絡(luò)運行效率是網(wǎng)絡(luò)運行管理過程中一件非常重要的工作。
網(wǎng)絡(luò)的管理不僅僅是配置一套網(wǎng)管系統(tǒng),而應(yīng)該是制定一個系統(tǒng)的網(wǎng)管策略,包括網(wǎng)絡(luò)設(shè)備的管理(配置、監(jiān)控、性能等方面)、網(wǎng)絡(luò)終端用戶信息管理、網(wǎng)絡(luò)地址的分配、網(wǎng)絡(luò)配線(包括光配及線配)的管理、網(wǎng)絡(luò)安全的管理、網(wǎng)絡(luò)認證的管理、網(wǎng)絡(luò)權(quán)限的管理等等。網(wǎng)管軟件只能完成其中部分功能,其他功能如網(wǎng)絡(luò)終端用戶管理、網(wǎng)絡(luò)配線管理等需要結(jié)合其他根據(jù)軟件或人工來完成。
網(wǎng)管平臺選擇
網(wǎng)管系統(tǒng)的建立與選擇應(yīng)該根據(jù)以下的幾個原則來進行:
2 ?網(wǎng)管軟件應(yīng)能監(jiān)控網(wǎng)絡(luò)設(shè)備,以圖形方式實時顯示設(shè)備的運行狀態(tài);
2 ?網(wǎng)管軟件能自動尋找并顯示網(wǎng)絡(luò)的拓撲結(jié)構(gòu);
2 ?網(wǎng)管軟件能監(jiān)控網(wǎng)絡(luò)的狀態(tài)并在一定的情況下報警;
2 ?網(wǎng)管軟件應(yīng)能監(jiān)控網(wǎng)絡(luò)的性能,并設(shè)置一定的閥值,在超過閥值的情況下自動報警;
2 ?應(yīng)能用圖形方式對虛擬網(wǎng)進行設(shè)置與管理;
2 ?動態(tài)分配網(wǎng)絡(luò)資源;
2 ?記錄與搜索網(wǎng)絡(luò)的歷史性資料;
2 ?支持SNMP及RMON網(wǎng)絡(luò)管理協(xié)議;
2 ?具有良好的用戶界面,方便網(wǎng)絡(luò)管理者的工作,如有基于XWINDOWS
2 ?圖形用戶界面(GUI)或基于WEB的瀏覽器界面;
2 ?能對網(wǎng)絡(luò)資源的利用率、趨勢、MIB變量進行查詢與分析并能用圖表的形式顯示出來;
2 ?能進行安全性管理,控制用戶對網(wǎng)絡(luò)資源的未經(jīng)授權(quán)的訪問;
2 ?能對設(shè)備的配置文件、軟件進行管理;
目前各主要網(wǎng)絡(luò)廠家都向用戶提供與本廠家設(shè)備相關(guān)的網(wǎng)管軟件,都有較全面的管理功能,且都提供圖形操作界面,使用直觀方便。如Cisco的CiscoWorks2000、IBM的Netview、HP的Openview等。但一個廠家的設(shè)備只有用本廠家的網(wǎng)管軟件才能得到全功能的管理。如果一個廠家的網(wǎng)絡(luò)設(shè)備采用另外一家的網(wǎng)管軟件來管理,則除非網(wǎng)絡(luò)設(shè)備的原廠商能夠提供基于此網(wǎng)管平臺的設(shè)備管理信息庫(MIB),否則將不能直觀的看到網(wǎng)絡(luò)設(shè)備的面板及真實的端口狀態(tài),只能看到一些SNMP的基本信息,非常不直觀,不便于管理。
由于網(wǎng)絡(luò)基本由Cisco設(shè)備構(gòu)建而成,網(wǎng)絡(luò)管理以局域網(wǎng)系統(tǒng)管理為主,建議采用Cisco公司的局域網(wǎng)網(wǎng)絡(luò)管理軟件LanManagementSolution,在今后覆蓋全省的MPLS/VPN網(wǎng)絡(luò)系統(tǒng)建成后,其網(wǎng)管中心將放置在省公司,由省公司統(tǒng)一管理各個VPN的劃分。各個地市供電公司只負責(zé)本地PE路由器以下的局域網(wǎng)系統(tǒng)管理,與現(xiàn)在的管理權(quán)限基本相同。
LanManagementSolution可基于WindowsNT/2000Server及SUN的Solaris操作系統(tǒng),是一種多功能的企業(yè)級網(wǎng)絡(luò)管理軟件。它包括如下網(wǎng)絡(luò)管理模塊:
最基本的模塊CDONE及RME,是其他網(wǎng)絡(luò)管理模塊的基礎(chǔ),提供了網(wǎng)絡(luò)設(shè)備狀態(tài)采集及遠程監(jiān)控等功能?;谶@兩個模塊還有園區(qū)網(wǎng)管理核心模塊-CM,提供設(shè)備的配置及信息采集功能、內(nèi)容流管理模塊-CFM、還有設(shè)備報錯管理模塊-DFM。這些網(wǎng)絡(luò)管理模塊給網(wǎng)絡(luò)管理員提供了一套工具組來輕松地管理整個園區(qū)網(wǎng)絡(luò)。
系統(tǒng)安全建設(shè)
系統(tǒng)安全分析
網(wǎng)絡(luò)系統(tǒng)安全問題一直為人們所關(guān)注。如何保證網(wǎng)絡(luò)的安全性,除了需要制訂相應(yīng)的法律法規(guī)加以約束外,采用什么樣的技術(shù)手段來控制是非常重要的。一個完整的安全解決方案應(yīng)該是一個系統(tǒng)化、一體化的立體的防御結(jié)構(gòu)。如下圖所示,系統(tǒng)安全包括網(wǎng)絡(luò)群體、系統(tǒng)群體、用戶群體、應(yīng)用群體、數(shù)據(jù)加密等不同層次多角度的安全控制。
安全體系建立的原則
一個系統(tǒng)的安全體系建設(shè)應(yīng)從兩方面加以建設(shè),要采用兩條腿一起走路:
一是網(wǎng)絡(luò)安全的結(jié)構(gòu)設(shè)計,包括網(wǎng)絡(luò)級、系統(tǒng)級、用戶級、應(yīng)用級、數(shù)據(jù)級安全防御體系;二是網(wǎng)絡(luò)安全管理,包括建立安全組織、制訂安全策略、網(wǎng)絡(luò)安全管理規(guī)范、安全管理工作流程、網(wǎng)絡(luò)安全審計等。兩方面的工作要相輔相成,貫穿于整個的網(wǎng)絡(luò)生命周期。
網(wǎng)絡(luò)安全不是某個產(chǎn)品點,它涉及到各種技術(shù),它應(yīng)該是優(yōu)秀的網(wǎng)絡(luò)設(shè)計的一部分。
各種網(wǎng)絡(luò)安全措施
構(gòu)建一個完整的安全體系應(yīng)包含以下幾個方面:
訪問控制-通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系,將絕大多數(shù)攻擊阻止在到達攻擊目標(biāo)之前。
檢查安全漏洞-通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標(biāo),也可使絕大多數(shù)攻擊無效。
攻擊監(jiān)控-通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系,可實時檢測出絕大多數(shù)攻擊,并采取相應(yīng)的行動(如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等)。
加密通訊-主動的加密通訊,可使攻擊者不能了解、修改敏感信息。
認證-良好的認證體系可防止攻擊者假冒合法用戶。
備份和恢復(fù)-良好的備份和恢復(fù)機制,可在攻擊造成損失時,盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。
網(wǎng)絡(luò)防病毒-對病毒傳播途徑的有效控制,包括郵件系統(tǒng)、網(wǎng)關(guān)、防火墻等要做到全面防毒;對病毒生存環(huán)境的有效清理,包括殺毒引擎、病毒庫更新等。
多層防御-攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標(biāo)。隱藏內(nèi)部信息,使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。
設(shè)立安全監(jiān)控中心-為信息系統(tǒng)提供安全體系管理、監(jiān)控,保護及緊急情況服務(wù)。為此,我們突出地提出如下三個方面的安全理念--安全策略、管理和技術(shù)。
安全策略--包括各種策略、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)等,是信息安全的最核心問題,是整個信息安全建設(shè)的依據(jù);
安全管理--主要是人員、組織和流程的管理,是實現(xiàn)信息安全的落實手段;
安全技術(shù)--包含工具、產(chǎn)品和服務(wù)等,是實現(xiàn)信息安全的有力保證。
設(shè)備自身的安全措施
網(wǎng)絡(luò)設(shè)備的安全對整個網(wǎng)絡(luò)的安全、正常運行有很大的意義。網(wǎng)絡(luò)設(shè)備的安全是是許多安全措施能夠順利實施的基礎(chǔ)。如果網(wǎng)絡(luò)設(shè)備的配置能夠被隨意看到,其所配置的路由識別ID、密碼等都失去意義;VLAN的配置如能被隨意改動,則VLAN將形同虛設(shè)。
保護網(wǎng)絡(luò)設(shè)備應(yīng)注意兩個方面:
l ?設(shè)備的配置需要保護,防止非授權(quán)訪問;
l ?設(shè)備的資源必須有效保護,防止像DOS這樣的資源掠奪式攻擊。
網(wǎng)絡(luò)設(shè)備分級登錄驗證
防范對網(wǎng)絡(luò)設(shè)備的非法訪問,需要保護關(guān)鍵的配置信息(如密碼、ID等),管理員必須經(jīng)過嚴(yán)格身份鑒別和授權(quán)。在江蘇電力企業(yè)內(nèi)聯(lián)網(wǎng)系統(tǒng)中,投標(biāo)方推薦的Cisco所有設(shè)備本身都有相應(yīng)的安全措施。
針對于單一管理員權(quán)限無限大的問題,可以根據(jù)具體管理員的職能分工進行權(quán)限分配。在Cisco的路由交換設(shè)備上,可以將管理員的權(quán)限劃分為15級權(quán)限檔次,針對每個權(quán)限可以定制相應(yīng)的命令集,為實現(xiàn)各種管理目的而設(shè)立的不同職能管理員之間可互不侵?jǐn)_的完成各自工作。
例如,普通操作員只能監(jiān)視設(shè)備運行,不可進行其他操作;高級的管理員可做故障診斷,不可修改設(shè)備配置文件;系統(tǒng)管理員可具有所有功能權(quán)限等。
同樣,對于SNMP服務(wù)也可以通過設(shè)置不同級別的Community,讓不同級別的網(wǎng)管系統(tǒng)獲得不同的操作權(quán)限。
限制登錄會話數(shù)
Cisco網(wǎng)絡(luò)設(shè)備必須通過嚴(yán)格的認證程序才能夠進行登錄,這種認證既包括對遠程登錄,也包括本地的Console登錄。
Cisco網(wǎng)絡(luò)設(shè)備可以設(shè)定對本身的登錄會話數(shù),這種限制包括兩個層次:
并發(fā)遠程登錄會話總數(shù)的限制
Copyright ? 2009 - 2014 Cld , All Rights Reserved 滬ICP備17024886號
Copyright allrights reserved