談珠海市寬帶IP網絡方案

1、2000年9月網捷網絡公司非常榮幸能為XX市寬帶網提供解決方案。針對XX市的實際情況，我們推出了全面采用FOUNDRY公司產品組成的解決方案，利用屢獲大獎的BigIron 8000第三層交換機、BigIron 4000第三層交換機和FastIron交換路由器，組成一套可以在現有光纖系統(tǒng)上提供高速傳輸的網絡系統(tǒng)。FOUNDRY公司的系列產品在國內外均已大量使用并深獲好評，相信也能在XX市的使用中發(fā)揮其一貫的穩(wěn)定可靠、易用易管理、高性能的特點，保障XX市寬帶網絡的連續(xù)運行。 本方案采用的骨干設備是FOUNDRY BigIron 8000，每臺有8個網絡模塊插槽。接口模塊有有多種類型可選，根據實際需

2、要加以配置。本方案采用的邊緣設備是BigIron 4000，每臺有4個網絡模塊插槽。本方案采用的樓域用戶接入設備主要是FOUNDRY FastIron 工作組交換機。骨干節(jié)點和邊緣節(jié)點之間用千兆以太網連接。可以提供高速的TCP/IP，NOVELL IPX，WINDOWS NT，WINDOW98/95網絡互通。TOC o 1-4第1章 項目描述 PAGEREF _Toc494109850 h 51.1 項目概況 PAGEREF _Toc494109851 h 51.2 建設范圍 PAGEREF _Toc494109852 h 51.3 營運級寬帶網絡 PAGEREF _Toc494109853

3、h 5第2章 XX市寬帶網解決方案 PAGEREF _Toc494109854 h 72.1 主干技術 PAGEREF _Toc494109855 h 72.2 設備選型 PAGEREF _Toc494109856 h 72.2.1 網絡主干設備的系統(tǒng)結構 PAGEREF _Toc494109857 h 交換結構 （Switching Fabric） PAGEREF _Toc494109858 h 阻塞與非阻塞配置 PAGEREF _Toc494109859 h 采用何種方式實現第3層和第4層的處理 PAGEREF _Toc494109860 h 92.2.2系統(tǒng)容量 PAGEREF _Toc

4、494109861 h 102.2.3關鍵部件冗余設計 PAGEREF _Toc494109862 h 102.2.4緩沖技術 PAGEREF _Toc494109863 h 102.2.5系統(tǒng)結構的技術壽命 PAGEREF _Toc494109864 h 112.3選型結論 PAGEREF _Toc494109865 h 122.4XX市寬帶網組網方案 PAGEREF _Toc494109866 h 132.4.1網絡拓撲結構 PAGEREF _Toc494109867 h 132.4.2骨干節(jié)點 PAGEREF _Toc494109868 h 132.4.3邊緣節(jié)點 PAGEREF _To

5、c494109869 h 132.4.4接入層節(jié)點 PAGEREF _Toc494109870 h 142.4.5用戶接入 PAGEREF _Toc494109871 h 142.5方案特點 PAGEREF _Toc494109872 h 162.5.1 全部第三層功能的主干交換網絡結構 PAGEREF _Toc494109873 h 162.5.2完善的接入安全性 PAGEREF _Toc494109874 h 162.5.3與業(yè)務相關的網絡設計 PAGEREF _Toc494109875 h 162.5.4 良好的網絡隔離能力 PAGEREF _Toc494109876 h 172.5.5

6、 完善的設備安全性 PAGEREF _Toc494109877 h 182.5.6 良好的網絡穩(wěn)定性 PAGEREF _Toc494109878 h 182.5.7良好的網絡擴展性 PAGEREF _Toc494109879 h 192.5.8良好的可管理性 PAGEREF _Toc494109880 h 192.5.9服務質量保證 PAGEREF _Toc494109881 h 19第3章 業(yè)務描述 PAGEREF _Toc494109882 h 213.1 用戶接入Internet PAGEREF _Toc494109883 h 213.2 用戶局域網高速互連 PAGEREF _Toc49

7、4109884 h 233.2.1 企業(yè)用戶VLAN組網 PAGEREF _Toc494109885 h 233.2.2 企業(yè)用戶IP VPN組網 PAGEREF _Toc494109886 h 243.3 用戶建立網站及其訪問控制 PAGEREF _Toc494109887 h 253.4 用戶隔離與基本認證 PAGEREF _Toc494109888 h 25第4章 網絡管理 PAGEREF _Toc494109889 h 264.1 網管中心的設置和職責 PAGEREF _Toc494109890 h 264.1.1 節(jié)點維護管理終端 PAGEREF _Toc494109891 h 26

8、4.2 網管中心的功能 PAGEREF _Toc494109892 h 27項目描述項目概況XX市電信根據自己的技術和資源優(yōu)勢，決定建立一個高帶寬、高速率的信息傳輸網，為用戶提供數據運載服務及信息服務。網絡覆蓋全市的 各個區(qū)，可以為用戶提供以IP為基礎的新的數據業(yè)務，如寬帶接入、電子商務、視頻傳輸、多點廣播、視頻點播、協(xié)同設計、桌面會議電視、遠程醫(yī)療、遠程教育的各種信息服務。XX市寬帶IP城域網可為用戶提供以下服務：利用該項目網絡的帶寬優(yōu)勢，提供保證質量的多媒體應用。為分散經營的企業(yè)集團建立虛擬專用網，以便統(tǒng)一管理其資產、物資、資金、市場、人事等。高中、職業(yè)高中、初中、小學、幼兒園為服務對象、

9、建立普通教育或義務教育專用網。向家庭用戶、機關團體提供多媒體形式的信息查詢、國際聯網、視頻點播等信息服務。建設范圍XX市寬帶IP城域網由3個骨干節(jié)點、15邊緣節(jié)點和多個接入節(jié)點組成，覆蓋XX市各區(qū)縣。營運級寬帶網絡根據XX市寬帶網的要求，本網定位為營運級的寬帶網絡。本網絡是一個IP網絡，以順應數據網絡的發(fā)展趨勢，提供對絕大部分IP業(yè)務的直接支持。本網絡又必須是一個寬帶網絡，以滿足網絡數據流量的迅速增長，提供大容量高速傳輸的能力，符合其服務平臺的角色。本網絡還必須是一個服務性營運級的網絡，以區(qū)別于供企業(yè)自用為主的企業(yè)級網絡，而在可靠性、服務質量QoS、業(yè)務類別方面有較高保障，從而對公眾提供豐富、

10、易用、可靠的服務，并對二級服務網絡提供可靠連接。由于IP協(xié)議和IP數據在網絡上會越來越普及，本網絡應該可以很好地支持TCP/IP協(xié)議，在時機成熟時，可以方便地轉成全寬帶IP網。因此，本項目將是一個以TCP/IP協(xié)議為基礎、具有大容量高速傳輸能力的、可靠穩(wěn)定保證服務質量的營運級寬帶網絡。XX市寬帶網解決方案主干技術在充分研究了目前國際網絡界對城域網設計所采用的各種網絡主干技術,并充分考慮到技術發(fā)展的主流和趨勢后,我們建議XX市寬帶網絡采用以千兆以太網或POS 為核心層鏈路、以千兆以太網為核心層與邊緣層連接而組成的網絡主干。設備選型XX市寬帶IP網的主要用戶對象是企業(yè)用戶和家庭用戶。家庭用戶接入寬

11、帶IP網主要用于訪問Internet。企業(yè)用戶主要通過寬帶IP網進行不同營業(yè)場所的互聯。此外，也可通過寬帶IP網訪問Internet。企業(yè)用戶長期使用電信的租用線路（即電路）連接內部網絡，并且通過電信連接INTERNET。他們的使用習慣值得尊重。這類用戶關心的是網絡的安全性和服務質量。由于用戶數眾多，為保證全網的安全性和性能，同時保護企業(yè)用戶在網上傳輸的性能的安全性，保證他們有承諾的帶寬可以利用，對設備選型必需仔細比較和分析。如第一章所述，網絡設備必需既支持虛擬局域網技術，以提供透明的鏈路通道；又必須支持大多數網絡協(xié)議，提供網絡服務，開展網絡應用。這就決定了所有設備必須是可以工作在第二層或第三

12、層的，具有每層對應的安全控制功能，如第二層的MAC過濾功能，第三層的訪問列表控制功能等。為保證給與用戶所購買的帶寬，除了采用各種服務質量機制和帶寬管理機制進行帶寬管理外，設備必須提供全線速的交換和路由能力，有足夠大的MAC地址表和路由表。為保證網絡的安全性，設備本身必須支持各種安全機制，確保設備本身不會被輕易入侵。下面就骨干節(jié)點設備、邊緣節(jié)點設備和接入設備的選型進行闡述。網絡主干設備的系統(tǒng)結構網絡主干設備即骨干節(jié)點設備的系統(tǒng)結構直接決定了設備的性能和功能水平。這猶如先天很好的一個嬰兒和一個先天不足的嬰兒，即便后天成長條件完全相同，他們的能力依然有相當大的差別。因此，深入了解設備的系統(tǒng)結構設計，

13、客觀認知設備的性能和功能，這對正確選擇設備極有幫助，下面將從七個方面進行討論。 隨著網絡交換技術不斷的發(fā)展，交換結構在網絡設備的體系結構中占據著極為重要的地位。為了便于理解，這里僅簡述三種典型的交換結構的特點：共享總線。由于近年來網絡設備的總線技術發(fā)展緩慢，所以導致了共享總線帶寬低，訪問效率不高；而且，它不能用來同時進行多點訪問。另外，受CPU頻率和總線位數的限制，其性能擴展困難。它適用于大部分流量在模塊本地進行交換的網絡模式。共享內存。其訪問效率高，適合同時進行多點訪問（MULTICAST）。共享內存通常為DRAM和SRAM兩種，DRAM速度慢，造價低，SRAM速度快，造價高。共享內存方式對

14、內存芯片的性能要求很高，至少為整機所有端口帶寬之和的兩倍（比如設備支持32個千兆以太網端口，則要求共享內存的性能要達到64Gbps）。交換矩陣（Cross bar）。由于ASIC技術發(fā)展迅速，目前ASIC芯片間的轉發(fā)性能通?？蛇_到1Gbps，甚至更高的性能，于是給交換矩陣提供了極好的物質基礎。所有接口模塊（包括控制模塊）都連接到一個矩陣式背板上，通過ASIC芯片到ASIC芯片的直接轉發(fā)，可同時進行多個模塊之間的通信；每個模塊的緩存只處理本模塊上的輸入/輸出隊列，因此對內存芯片性能的要求大大低于共享內存方式。總之，交換矩陣的特點是訪問效率高，適合同時進行多點訪問，容易提供非常高的帶寬，并且性能擴

15、展方便，不易受CPU、總線以及內存技術的限制。目前大部分的專業(yè)網絡廠商在其第三層核心交換設備中都越來越多地采用了這種技術。 阻塞與非阻塞配置是兩種截然不同的設計思想，它們各有優(yōu)劣。在選型時，一定要根據實際需求來選擇相應的網絡設備。阻塞配置。該種設計是指：機箱中所有交換端口的總帶寬，超過前述交換結構的轉發(fā)能力。因此，阻塞配置設計容易導致數據流從接口模塊進入交換結構時，發(fā)生阻塞；一旦發(fā)生阻塞，便會降低系統(tǒng)的交換性能。例如，一個交換接口模塊上有8個千兆交換端口，其累加和為8Gbps，而該模塊在交換矩陣的帶寬只有2Gbps。當該模塊滿負荷工作時，勢必發(fā)生阻塞。采用阻塞設計容易在千兆/百兆接口模塊上提高

16、端口密度，十分適合連接服務器集群（因為服務器本身受到操作系統(tǒng)、輸入/輸出總線、磁盤吞吐能力，以及應用軟件等諸多因素的影響，通過其網卡進行交換的數據不可能達到網卡吞吐的標稱值）。非阻塞配置。該設計的目標為：機箱中全部交換端口的總帶寬，低于或等于交換結構的轉發(fā)能力，這就使得在任何情況下，數據流進入交換結構時不會發(fā)生阻塞。因此，非阻塞設計的網絡設備適用于主干連接。在主干設備選型時，只需注意接口模塊的端口密度和交換結構的轉發(fā)能力相匹配即可。當要構造高性能的網絡主干時，必須選用非阻塞配置的主干設備。眾所周知，每一次網絡通信都是在通信的機器之間產生一串數據包。這些數據包構成的數據流可分別在第3、4層進行識

17、別。在第3層（Network Layer，即網絡層，以下簡稱L3），數據流是通過源站點和目的站點的網絡地址被識別。因此，控制數據流的能力僅限于通信的源站點和目的站點的地址對，實現這種功能的設備稱之為路由器。路由器在網絡中占據著核心的地位。傳統(tǒng)路由器是采用軟件實現路由功能，其速度慢，且價格昂貴，往往成為網絡的瓶頸。隨著網絡技術的發(fā)展，路由器技術發(fā)生了革命，路由功能由專用的ASIC集成電路來完成?，F在這種設備被稱之為第三層交換機或叫做交換式路由器。第4層（Transport Layer即傳輸層，以下簡稱L4），通過數據包的第4層信息，設備能夠懂得所傳輸的數據包是何種應用。因此，第4層交換提供應用級

18、的控制，即支持安全過濾和提供對應用流施加特定的QoS策略。傳統(tǒng)路由器具有閱讀第4層報頭信息的能力（通過軟件實現），與第三層交換機（或交換式路由器）采用專用的ASIC集成電路相比，設備的性能幾乎相差了兩個數量級，因此，傳統(tǒng)路由器無法實現第4層交換。值得指出的是：網絡主干設備的系統(tǒng)結構在設計上分成兩大類：集中式和分布式。即便兩者都采用了新的技術，但就其性能而言，仍存在著較大的差異。集中式所謂集中式，顧名思義，L3/L4數據流的轉發(fā)由一個中央模塊控制處理。因此，L3/L4層轉發(fā)能力通常為3M4Mpps，最多達到15Mpps。分布式將L3/L4層數據流的轉發(fā)策略設置到接口模塊上，并且通過專用的ASIC

19、芯片轉發(fā)L3/L4層數據流，從而實現相關控制和服務功能。L3/L4層轉發(fā)能力可達 40Mpps 至 100Mpps，甚至180Mpps。由于網絡規(guī)模越來越大，網絡主干設備的系統(tǒng)容量也成為選型中的重要考核指標。建議重點考核以下兩個方面：物理容量 各類網絡協(xié)議的端口密度，如千兆以太網、快速以太網，尤其是非阻塞配置下的端口密度。邏輯容量 路由表、MAC地址表、應用數據流表、訪問控制列表（ACL）大小，反映出設備支持網絡規(guī)模大小的能力（先進的主干設備必須支持足夠大的邏輯容量，以及非阻塞配置設計下的高端口密度。）人們已經普遍認同處于關鍵部位的網絡設備不應存在單點故障。為此，網絡主干設備應能實現如下三方面

20、的冗余。電源和機箱風扇冗余控制模塊冗余 控制模塊冗余功能應提供對主控制模塊的“自動切換”支持。如：備份控制模塊連續(xù)5次沒有聽到來自主控制模塊的匯報，備份模塊將進行初始化并執(zhí)行硬件恢復。另外，各種模塊均可熱插拔。交換結構冗余 如果網絡主干設備忽略交換結構的冗余設計，就無法達到設備冗余的完整性。因此，要充分考慮網絡主干設備的可靠性，應該要求該設備支持交換結構冗余。此外，交換結構冗余功能也應具有對主交換結構“自動切換”的特性。 緩沖技術在網絡交換機的系統(tǒng)結構中使用的越來越多，也越來越復雜。任何技術的使用都有著兩面性，如過大的緩沖空間會影響正常通信狀態(tài)下，數據包的轉發(fā)速度（因為過大的緩沖空間需要相對多

21、一點的尋址時間），并增加設備的成本。而過小的緩沖空間在發(fā)生擁塞時又容易丟包出錯。所以，適當的緩沖空間加上先進的緩沖調度算法是解決緩沖問題的合理方式。對于網絡主干設備，需要注意幾點：每端口是否享有獨立的緩沖空間，而且該緩沖空間的工作狀態(tài)不會影響其它端口緩沖的狀態(tài)。模塊或端口是否設計有獨立的輸入緩沖、獨立的輸出緩沖，或是輸入/輸出緩沖。是否具有一系列的緩沖管理調度算法，如RED、WRED、RR/FQ、WERR/WEFQ。 所選擇的網絡主干設備，其系統(tǒng)結構應能滿足用戶的功能需求，并具有足夠長的技術生命周期。換言之，要避免通過硬件補丁的辦法（不斷增加新的硬件單元對系統(tǒng)結構中存在的不足進行補償，或徹底更

22、換新設備的方式），才能滿足用戶1至2年內不斷增長的功能需求。 業(yè)界有很多設備的系統(tǒng)結構是第2層交換的設計概念，需要通過增加第3層的硬件模塊才能實現第3層或第3/4層交換的功能，而且第3/4層數據包的轉發(fā)能力遠低于第2層交換的轉發(fā)能力。另外，短期內還可能出現用新產品來替代原有產品的情況，這對用戶的投資保護十分不利。2.3選型結論基于上述考慮，我們?yōu)閄X市寬帶IP網骨干節(jié)點了提供業(yè)界最先進的FOUNDRY BigIon 8000系列交換機。8000采用的三層交換技術基于特殊的交換方式設計，每個模塊都可以進行分布式路由和交換，沒有其他廠家所必需的超級引擎或CPU處理模塊，每個接口模塊都采用共享內存設

23、計，有利于廣播和組播性能的提高，同時避免了線頭阻塞，提供模塊上的本地交換能力，每個模塊的吞吐率為32Gbps，是真正的無阻塞設計。8000的背板采用256Gbps交叉矩陣，連接每個模塊，可以實現真正的全線速第二層和第三層交換。每個模塊可以熱插拔，電源可以最多配置四個，所有的交換和路由功能通過ASIC芯片完成，交換能力達96Mpps。8000的系統(tǒng)設計技術已經在業(yè)界得到了無數大獎，在實驗室和實際應用環(huán)境中得到了充分的考驗，被證明是成熟穩(wěn)定而先進的。邊緣節(jié)點的設備選型有兩種方案，即FOUNDRY BigIron 4000或FastIron II交換機。BigIron 4000具有128Gbps的交

24、換背板和48Mpps的第三層交換能力。系統(tǒng)設計與8000完全一樣。FastIron II具有32Gbps的交換能力，吞吐量為23Mpps。對于接入層節(jié)點的樓域交換機，我們建議采用FOUNDRY FastIron工作組交換機。FastIron具有 4.2 G 的交換容量。每個端口具有2個優(yōu)先級隊列，每一個都是相互獨立配置并由交換矩陣提供服務，這樣可以防止低優(yōu)先級數據的沖擊而導致高優(yōu)先級隊列包的延遲或丟失。 FastIron 還具備基本的第三層服務功能。2.4XX市寬帶網組網方案2.4.1網絡拓撲結構參見附圖。2.4.2骨干節(jié)點為3個骨干層節(jié)點各選用一臺FOUNDRY BigIron 8000，每

25、臺BigIron 8000配置兩塊冗余備分的管理模塊，并配置冗余的直流電源。在東城，每個管理模塊上配備2個長距千兆以太網端口。在每個管理模塊上各選一個千兆端口捆綁在一起，以2Gbps的速率連接西城。然后再各選一個千兆端口進行捆綁，連接廣饒。每個管理模塊上還有4個1000BaseLx端口，可以用于連接距離較近的邊緣節(jié)點，如勝利模塊局。另外還配置了一塊24口100BaseTx模塊和一塊10BaseFx模塊用于連接本地用戶。在廣饒，每個管理模塊上配備3個長距千兆以太網端口。在每個管理模塊上各選一個千兆端口捆綁在一起，以2Gbps的速率連接東城。然后再各選一個千兆端口進行捆綁，連接西城。由于大王模塊局

26、距離較遠，也需要通過長距千兆端口進行連接。每個管理模塊上還有4個1000BaseLx端口，可以用于連接距離較近的邊緣節(jié)點。另外還配置了一塊24口100BaseTx模塊模塊和一塊10BaseFx模塊用于連接本地用戶。在西城，每個管理模塊上配備3個長距千兆以太網端口。在每個管理模塊上各選一個千兆端口捆綁在一起，以2Gbps的速率連接東城。然后再各選一個千兆端口進行捆綁，連接廣饒。由于河口模塊局距離較遠，也需要通過長距千兆端口進行連接。每個管理模塊上還有4個1000BaseLx端口，可以用于連接距離較近的邊緣節(jié)點，包括民營園、黃河口、長安集團、鉆井和辛店。另外還配置了一塊24口100BaseTx模塊

27、和一塊24口100BaseFx模塊用于本地連接。 在BigIron 8000上還可以根據需要配置ATM模塊和POS模塊。2.4.3邊緣節(jié)點在每個邊緣節(jié)點，選用FOUNDRY BigIron 4000。BigIron 4000配置一個管理模塊，并配置冗余的直流電源。在大王模塊局、孤島、仙河，配置一塊24口100BaseTx和一塊24口100BaseFx模塊，用于用戶接入。在管理模塊上配置一個長距千兆以太網端口，用于節(jié)點之間的互連。河口模塊局的BigIron 4000管理模塊上配置了3個長距千兆以太網端口，用于連接西城、孤島和仙河。配置一塊24口100BaseTx和一塊24口100BaseFx模塊

28、，用于用戶接入。對于勝利、民營園、黃河口、長安集團、鉆井和辛店，在管理模塊上配置2個1000BaseLx端口，用于連接網絡核心的BigIron 8000交換機。配置一塊24口100BaseTx和一塊24口100BaseFx模塊，用于用戶接入2.4.4接入層節(jié)點在接入層節(jié)點，樓域交換機采用了FastIron工作組交換機，有24個10/100M自適應接口，并配備了2口100BaseFX上行接口，連接到網絡邊緣節(jié)點。2.4.5用戶接入家庭用戶通過樓內的雙絞線，以10/100M速率連接到樓域交換機上。企業(yè)用戶需要高速連接時，可以把企業(yè)自己的交換機通過光纖直接連接到最近的邊緣節(jié)點。對于DDN、ADSL等

29、其他接入方式，其局端匯聚設備可以采用10/100/100M端口連接到寬帶IP骨干網。2.4.6網關設備XX市寬帶IP網采用私有IP地址為網絡設備進行編址。在同Internet進行連接時，需要進行地址轉換。地址轉換有兩種情形：普通用戶訪問Internet時，對用戶的源地址進行動態(tài)轉換。向Internet提供信息服務的服務器需要保持服務器的私有地址同合法IP地址之間的靜態(tài)對應關系。提供這類地址轉換功能的網關設備在業(yè)界比較多，最著名的是CheckPoint公司的FireWall-1防火墻產品。FireWall-1不僅提供簡單的地址轉換功能，還能為全網提供防火墻安全保護，以及詳盡的安全狀況記錄。為了提

30、高網絡出口處的吞吐量，避免網關設備成為數據傳輸的瓶頸，Foundry公司提供了4-7層交換機ServerIron對防護墻進行負載均衡處理。ServerIron最多可以支持32臺防護墻同時工作。因此，XX市寬帶IP網可以根據實際的網絡流量，平滑地增加網絡出口處的吞吐量。The InternetThe IntranetInternThe InternetThe Intranet城域網2.5方案特點所有核心層和邊緣層產品都支持第二層和第三層功能。不僅可以進行VLAN的劃分，還可以進行高速的路由轉發(fā)。VLAN可以根據端口、子網和網絡協(xié)議進行劃分。支持各種常用的網絡協(xié)議和路由協(xié)議。由于每個設備都支持無阻

31、塞的第二層或第三層交換，在交換結構中，可以達到非常好的性能。也意味著可以減少繁瑣的擁塞管理和服務質量管理工作。第二層意味著可以支持域網絡協(xié)議無關的鏈路服務，用戶可以是IP網絡、IPX網絡或WINDOWS NT 網絡，用戶不需要改變他們已有的網絡協(xié)議和網絡地址。第三層意味著可以支持以IP為主要協(xié)議的網絡應用，尤其是需要與其他地域互連時，由于網絡鏈路的復雜性和多樣性，要進行網絡互連，必須采用高層網絡協(xié)議。第二層服務可以為本地的企業(yè)用戶服務。第三層則可以為跨地域連接時提供服務，例如與上級網絡的連接，同一企業(yè)在全省范圍的連接等。由于每個設備都可以支持第二層和第三層交換，因此可以提供第二層和第三層的安全

32、控制能力。第二層安全控制能力可以提供端口地址過濾、端口地址鎖定等功能。端口地址過濾允許交換機根據預先設定的過濾規(guī)則，允許或禁止某些第二層數據包進出交換機，也就是對上網用戶的網卡MAC地址進行檢查后才能上網，不符合規(guī)則的用戶將被拒絕上網。第三層安全控制能力可以提供訪問控制列表能力，允許交換機根據預先設定的規(guī)則，允許或者禁止某些第三層數據（IP或IPX包）進出交換機。網絡骨干是業(yè)務最集中的地方或是數據轉發(fā)的樞紐地，為此，網絡設計需要保證骨干的可靠性。網絡骨干節(jié)點之間采用環(huán)形拓撲，兩節(jié)點之間的光路出現故障時，不會影響節(jié)點間的通訊。此外，由于采用了跨模塊的TROUNK GROUP技術，單個端口或模塊的

33、故障不會影響節(jié)點間通訊。冗余備份的管理模塊保證了骨干交換機的不間斷運行。邊緣節(jié)點與骨干節(jié)點之間的連接同樣采用TROUNK GROUP技術，無論出現光路、端口還是模塊故障，都不會造成通訊中斷。上述網絡核心在IP路由設計中，也有很大的好處。OSPF作為本網的首選路由協(xié)議，需要一個AREA 0作為核心區(qū)域，所與其他的區(qū)域需要和核心區(qū)域有物理的聯系，否則就要用到虛擬連接的技術，虛擬連接對于其中的傳輸驛站有比較大的性能壓力，對于路由的分配和控制管理都非常不方便。如果選擇上述網絡核心作為OPSF的核心區(qū)域AREA 0，把邊緣層作為一個個獨立的區(qū)域，則它們都是直接連接到AREA 0上的，不需要使用虛擬連接，

34、整個路由域只有2層，顯得比較有層次，軟件配置和將來可能的擴充都會比較容易。用戶的接入寬帶IP網時，必須采用靜態(tài)路由，保證用戶內部網與城域網相對隔離和獨立。用戶的路由設備不會參與城域網的路由計算，避免因為用戶設備的原因導致全網路由波動頻繁，影響路由性能。企業(yè)用戶比較關心的問題是網絡的安全性問題，他們不希望內部數具有被竊取的可能，這就使得網絡必須提供類似電路的隔離功能。在城域網的建設中，采用的比較多的是VLAN技術，即虛擬局域網技術。在VLAN技術出現以前，以太網交換技術屬于網絡的第二層，所有的端口都屬于同一個廣播域，也就是每個端口都可以收到廣播信息，不管它愿不愿意。在大型的網絡環(huán)境中，廣播包不可

35、避免地會引起帶寬的浪費，而在TCP/IP，IPX，WINDOWS環(huán)境下，廣播包的使用更是不可或缺。為了解決這個問題，VLAN技術應運而生。VLAN把一部分端口模擬成為一個虛擬的廣播域，VLAN的所有廣播都只會在本域內發(fā)送，不會超出廣播域，進一步，VLAN內的所有數據都只能被同一VLAN的成員接收，而不會被非本VLAN成員接收。不同的VLAN之間不能相互通信，必須通過路由設備進行轉發(fā)。如果把每個企業(yè)用戶劃到每個不同的VLAN內，企業(yè)用戶之間就不可能相互通信，這就實現了邏輯隔離。企業(yè)用戶只通過某臺設備上的一個特定端口訪問網絡，因此每個企業(yè)用戶連接到網絡的路徑都是獨立的，相互之間沒有任何關系。與第二

36、層的VLAN技術相類似的還有第三層的VPN虛擬專用網技術。VPN適合于在類似于因特網這樣的公網上傳輸私有數據。通過隧道技術和數據加密技術，用戶可以控制自己的數據安全。加密手段可以在用戶的路由設備上實現，也可以在專門的設備上實現。隧道技術可以在用戶的路由設備上實現。由于XX市城域網屬于寬帶IP網，完全可以支持VPN功能。我們建議VPN功能由用戶自行實現，或者租用XX電信的設備，但目前網絡上尚未配置。FOUNDRY的設備具有良好的安全性： 多重訪問控制。FOUNDRY產品具有多沖擊別的訪問控制，允許系統(tǒng)管理員完成配置管理，同時保護系統(tǒng)面授非法的配置修改。用戶分為三種級別：超級用戶、只讀用戶、普通用

37、戶。超級用戶具有最大權限，普通用戶只能配置接口參數，并使用顯示參數命令。只讀用戶只能閱讀配置，沒有任何更改權利。 通過訪問控制列表，可以禁止或允許對FOUNDRY設備的遠程管理。 本地用戶或RADIUS、TACACS+口令認證。 通過身份驗證，可以禁止或允許TELNET訪問，必要時，可以關閉TELNET服務。 通過SYSLOG功能，把系統(tǒng)事件紀錄并保存下來。網絡的穩(wěn)定性體現在當網絡發(fā)生鏈路或設備失效時，網絡能在短時間內恢復正常。對于一個運行級網絡來說，穩(wěn)定性與性能一樣重要。設備穩(wěn)定性除設備的性能指標外，主要指設備的平均無故障時間（MBTF）。本方案涉及的設備MBTF如下：MTBF for Fa

38、stIron：單電源- 43,400 小時MTBF for BigIron 4000：機箱加單電源 - 36,500 小時MTBF for BigIron 8000：機箱加4個電源 32,400小時鏈路穩(wěn)定性體現在兩個層次：第二層穩(wěn)定性和網絡層穩(wěn)定性。第二層穩(wěn)定性表示物理鏈路的收斂時間。FOUNDRY產品在運行第二層交換功能時，使用最小生成樹算法來保持每個VLAN。一般的最小生成樹算法需要至少30秒時間進行生成樹的收斂（15秒偵聽，15秒學習），而FOUNDRY獨有的IRONSPAN技術可以在4秒內實現生成樹。FOUNDRY的第二層功能缺省打開了IRONSPAN功能。第三層穩(wěn)定性體現在路由的收

39、斂時間。本網絡采用OSPF標準協(xié)議，可以在30秒內實現全網路由收斂。實際上，OSPF在監(jiān)測到路由波動時，缺省只需等5秒鐘再進行路由計算，計算工作在5秒內即可完成，因此基本上是在10秒以內完成路由收斂。如有必要，還可以調整時間。本方案采用的BigIron 4000和 BigIron 8000都是機架式設備，目前只用了部分插槽，剩余未用的插槽可供今后網絡擴展之用。 FastIron工作組交換機可以堆疊，并可以采用TRUNK技術把多條物理鏈路當作1條邏輯鏈路使用，根據業(yè)務的發(fā)展可以相應地增加端口或升級上行鏈路。 所有FOUNDRY產品都支持三種網絡管理方式：命令行、WEB和IRONVIEW網管軟件。

40、FOUNDRY的命令行與CISCO的命令行非常類似，都是簡單易用，并有幫助功能，可以進行所有的配置工作。WEB瀏覽器管理則采用圖形界面，直觀而簡潔。IRONVIEW網管軟件可以單獨運行在WINDOWS NT平臺上，也可以與HP OPENVIEW，SUN NETMANAGER配套使用。 FOUNDRY產品支持標準的網路管理協(xié)議：簡單網絡管理協(xié)議（SNMP）和遠程監(jiān)控協(xié)議（RMON）。通過SNMP，網管人員可以遠程進行設備狀態(tài)紀錄，設備維護，設備告警，設備啟動等操作，實現全面管理。RMON可以詳細記錄每個端口的流量情況，如輸入輸出的字節(jié)數、數據包數。以此為基礎，可以實現基于流量的統(tǒng)計和計費。Iro

41、nClad 服務質量是優(yōu)先級的延伸，可以提供更好的靈活性和流量控制能力。采用FOUNDRY IronClad QoS，可以配置四種服務質量隊列：0-盡力傳遞，1-低優(yōu)先級，2-高優(yōu)先級，3-最高優(yōu)先級?？梢詫祿M行分類，分類后分配到對應的隊列。分類的方法有：輸入端口 IP 源和目的地址 第四層源和目的信息 靜態(tài) MAC內容 AppleTalk端口號基于VLAN 802.1p/q 標記 IP TOS 映射可選的隊列模式IronClad QoS 允許選擇下列隊列模式之一： 限制 高級別隊列優(yōu)于低級別隊列 可調的加權平均隊列加權平均隊列將被用來進行在四個隊列間輪流提供服務。承諾的帶寬（CAR）在

42、滿負荷情況下，提供已承諾的帶寬?？膳渲玫膸挶壤龑τ诩訖嗥骄犃校梢灾付總€隊列可接收的最小帶寬使用比例。業(yè)務描述用戶接入InternetXX市寬帶IP網建成之后，可以實現10Mbps以太網到戶，住宅用戶不但可以訪問XX市寬帶網上的網站，還可以訪問Internet。 用戶之間還可以共享文件和資源，或者聯網玩游戲，充分享受在信息高速公路上遨游的樂趣。用戶接入通過樓內的單元交換機FastIron。單元交換機再通過100Mbps以太網匯接到最近的接入節(jié)點。接入節(jié)點的網絡設備是BigIron 4000交換機。為了實現用戶隔離，采用一戶一個VLAN的方式。每個VLAN從單元交換機FastIron上的用

43、戶接入端口開始，終止在接入節(jié)點的BigIron 4000上。 FastIron交換機的上聯端口同BirIron 4000上的100M端口都運行802.1Q協(xié)議。這樣，在BigIron 4000的一個100M端口上，可以終結樓內所有用戶的VLAN。如下圖所示。在BigIron 4000的100M端口上，為每一個VLAN建立一個虛擬的邏輯子接口(稱為Virtual Ethernet接口，簡稱VE)，用于完成IP路由功能。在通常情況下，每個VLAN上的VE接口和用戶的聯網設備需要占用一個IP子網，用戶的缺省網關指向VE上的IP地址。為了節(jié)省網絡地址空間，簡化網絡設備配置，BigIron 4000支持

44、多個VE接口使用同一個IP地址，而所有的樓內用戶都位于同一個IP子網內。如下圖所示。此時，這些用戶由于分處不同的VLAN而實現了物理隔離，同時又保留了IP層的互通性。為了進一步減少使用的VLAN數量和配置的工作量，并節(jié)省IP地址，FOUNDRY在BigIron和FastIron上實現了一個特殊的功能，稱為上聯交換端口(Uplink Switch Port,檢查USP)。參見下圖：FastIron SwitchFastIron SwitchUser 1 (207.95.1.xxx)User 2 (207.95.1.yyy)6BigIron 4000525所有連接在FastIron上的用戶都屬于同

45、一個VLAN和同一個IP子網。為了實現用戶間的相互隔絕，將FastIron的上聯端口(在本方案中，即兩個100BaseFx端口)的USP功能打開。這時，來自一個用戶的廣播數據包和未知單址數據包都只送網上聯端口，而不會分發(fā)到其他端口上面。用戶雖然屬于同一VLAN和IP子網，但不能直接進行通訊。采用USP技術時，可以大大減少所需VLAN的數量。例如，可以把同一幢樓內的用戶都劃入同一個VLAN。同時還減少了所需IP子網的數目，減少了網絡配置的工作量。通過采用DHCP技術，住宅用戶可以自動獲得IP地址、缺省網關地址，簡化用戶設備的配置。FOUNDY交換機支持DHCP Assistant技術，可以根據用

46、戶所在的不同VLAN，通知DHCP服務器為用戶分配相應的IP子網地址。用戶局域網高速互連XX寬帶IP網可以為企業(yè)用戶提供局域網互連業(yè)務，實現企業(yè)中心機構同分支機構之間的連接。同企業(yè)租用專線相比，費用更低，速率更高， 并且可以保留企業(yè)用戶的原有網絡結構和IP地址規(guī)劃不變。企業(yè)用戶VLAN組網企業(yè)用戶可以通過VLAN互連。VLAN工作在OSI網絡參考模型的第二層，不同VLAN之間的數據彼此完全隔離，從而保證了用戶數據的安全性。采用VLAN技術進行網絡互聯為企業(yè)組網提供了極大的靈活性。企業(yè)可以自行選擇網絡協(xié)議，自行規(guī)劃使用網絡地址，無需網絡運行商的協(xié)助，從而也減少了網管中心對網絡的維護和配置工作量。

47、FOUNDRY公司的網絡產品支持集成交換路由(Integrated SwitchRouting)。在同一端口上可以支持多個VLAN，每個VLAN可以根據實際需要，或者以路由方式工作，或者以交換方式工作。這樣，在一個主要以路由方式進行工作的寬帶城域網上，可以靈活的為企業(yè)用戶建立起單獨的VLAN，提供透明局域網服務。以金融證券行業(yè)用戶用戶為例。這些用戶目前基本上都已經購買了路由器，通過DDN、幀中繼線路進行了互連。改用寬帶IP網進行互聯時，用戶可以申請一個VLAN，并將現有的路由器接入此VLAN，就可以實現互連。用戶可能需要修改路由器上接入VLAN的那個以太網端口的IP地址，因為此時所有路由器連接

48、VLAN的端口都在同一個IP子網內。不過路由器后面用戶內部設備的IP地址都不用改變。參見下圖。VLANVLAN由于路由器不轉發(fā)廣播包，因此進入寬帶IP網的數據流都是有用的，這樣就合理利用了帶寬資源，此時路由器之間的維護數據為路由協(xié)議信息和VLAN信息。由于傳統(tǒng)路由器的數據包轉發(fā)性能較低，用戶可以采用高性能的第三層交換機來取代路由器，進行高速網絡互聯。如果企業(yè)的網絡規(guī)模不大，也可以直接將各分支機構內的第二層交換機或Hub同城域網直接相連。但這種方法存在潛在的隱患，用戶有可能有意無意地在VLAN上引發(fā)廣播風暴。為此需要在VLAN上運行Spanning Tree算法來檢測和防止環(huán)路，同時在同用戶連接

49、的交換機端口上對廣播包的速率進行限制。用戶所在VLAN同城域網其他部分是完全隔離的，用戶連接在VLAN上的設備的IP地址也是由用戶自行規(guī)劃和使用的。如果用戶需要訪問城域網或Internet上的資源，首先需要向XX電信申請能夠訪問城域網IP服務的網絡端口(例如，采用前一節(jié)所述的用戶Internet接入端口)，并申請在城域網的IP地址空間內的IP地址。然后由支持NAT的網關設備將用戶數據包內的企業(yè)內部地址轉換成城域網地址，實現對城域網內網站資源的訪問；并進一步經由城域網的Internet網關，訪問Internet上的資源。企業(yè)用戶IP VPN組網企業(yè)用戶也可以采用IP VPN的方式進行局域網互連。

50、用戶在各個分支機構放置VPN網關設備。該設備采用前面所述的用戶訪問Internet的方式接入城域網，每臺網關設備都被分配一個城域網IP地址空間內的IP地址。從城域網的角度看來，每臺網關設備同住宅用戶家里的PC機沒有什么區(qū)別。網關設備之間通過IP隧道協(xié)議，將用戶網內的IP數據包封裝在城域網的IP數據包內送往城域網，由城域網對這些數據包進行通常的轉發(fā)。從網關設備的角度看來，相互之間形成了一條點到點的虛擬通道。網關設備采用IP SEC協(xié)議對用戶數據包進行加密，放置數據被城域網上其他用戶竊取或篡改。IP VPN由企業(yè)用戶在網絡的邊緣發(fā)起，自行構建加密隧道，自己掌握加密口令。用戶建立網站及其訪問控制如果

51、未做特別的限定，每個申請了Internet接入服務的用戶都可以在自己的計算機上建立網站，供其他城域網用戶訪問。對于個人用戶，這是非常方便靈活的一項服務，用戶可以自由建立自己的Web網站、FTP服務器、BBS服務器，運行CGI程序等，促進XX城域網上網絡資源的極大豐富。對于比較關心網絡安全性的用戶，XX電信可以在其接入端口上設置ACL，防止對網站服務器的非法訪問。如果網站需要被Internet上的用戶瀏覽，XX電信需要在連接Internet的網關設備上，將該網站的城域網IP地址靜態(tài)地映射為一個合法的IP地址。為了保證網絡安全，網關設備通常還需要對該網站進行防火墻檢查。用戶隔離與基本認證所有申請I

52、nternet接入的用戶都位于單獨一個VLAN內，彼此隔離，只能在第三層以上進行互通。申請VLAN服務的企業(yè)同其他VLAN以及城域網的其他部分是完全隔離的。采用IP VPN方式組網的企業(yè)同城域網其他部分是隔離的。網絡管理除了命令行以外，FOUNDY 所有產品都內含HTTP服務器功能，支持通過WEB瀏覽器直接管理設備，這使得管理的復雜性大大降低，同時又使得遠程管理和維護變得非常方便，我們在外地也可以通過IP網絡管理到所有的FOUNDRY產品，服務的響應時間和服務質量也因此會令人滿意。FOUNDRY還有一個專門的網管軟件：FOUNDRY IRONVIEW。這是一個專門用于管理FOUNDRY產品的專

53、用軟件，可以圖形化地顯示FOUNDRY產品的前后視圖。IRONVIEW可以直觀地進行IP、IPX和APPLETALK的協(xié)議的配置，路由協(xié)議的配置，VLAN的配置和顯示，服務質量方面的的配置，訪問控制列表的配置，設備安全性方面的配置等，同時可直觀顯示設備的運行狀態(tài)，每個端口的流量情況等，設備運行軟件和配置和保存等。IRONVIEW可以運行在NT或SUN、HP平臺上的HP OPENVIEW之上。網管中心的設置和職責節(jié)點維護管理終端 FOUNDRY 設備維護終端可通過本地和遠端兩種方式接入節(jié)點，以實現對節(jié)點的配置及運行狀態(tài)、業(yè)務情況的監(jiān)視和控制。兩種接入方式均支持安全認證機制。本地接入 將一個文本接