云南通信綜合業(yè)務(wù)支撐系統(tǒng)網(wǎng)絡(luò)系統(tǒng)設(shè)計

中國網(wǎng)通集團云南通信股份有限公司綜合業(yè)務(wù)支撐系統(tǒng)網(wǎng)絡(luò)建議書南京聯(lián)創(chuàng)科技股份有限公司地址：南京市中山南路弓箭坊40號電話：傳真：客服熱線：網(wǎng)址：.com

目錄TOC\o"1-3"\h\z1. 用戶需求分析 31.1. 網(wǎng)絡(luò)設(shè)計原則 31.2. 網(wǎng)絡(luò)總體規(guī)劃 41.3. 網(wǎng)絡(luò)系統(tǒng)性能估算 51.1.1. 數(shù)據(jù)采集流量計算 51.1.2. 營業(yè)系統(tǒng)帶寬估算 61.1.3. 云南至上級系統(tǒng)帶寬估算 72. 網(wǎng)絡(luò)總體設(shè)計 82.1. 網(wǎng)絡(luò)框架綱要 82.2. 局域網(wǎng)設(shè)計 81.1.4. 局域網(wǎng)的設(shè)計思想 81.1.5. 幾種常見類型的局域網(wǎng) 91.1.6. 我們所建議采用的局域網(wǎng)技術(shù) 101.1.7. 運營支撐中心網(wǎng)絡(luò)構(gòu)架 102.3. 與合作單位的網(wǎng)絡(luò)接口 132.4. 廣域網(wǎng)絡(luò)設(shè)計 141.1.8. 廣域網(wǎng)的設(shè)計思想 141.1.9. 廣域網(wǎng)常見拓?fù)溥壿?142.5. 與其它系統(tǒng)連接 173. 網(wǎng)絡(luò)優(yōu)化 193.1. 路由策略 191.1.10. WAN路由策略 191.1.11. LAN路由策略 193.2. 網(wǎng)絡(luò)地址規(guī)劃 201.1.12. 關(guān)于IP網(wǎng)絡(luò)地址 201.1.13. 地址分派的幾個建議性原則 203.3. 網(wǎng)絡(luò)時間的同步 213.4. 隊列管理機制 224. 網(wǎng)絡(luò)安全性及與Internet的連接 244.1. 網(wǎng)絡(luò)安全問題概述 244.2. 網(wǎng)絡(luò)安全問題的解決 251.1.14. 知道潛在的入侵者 251.1.15. 控制機密的擴散 251.1.16. 訪問控制（AccessControl） 254.3. 通過集中的安全控制機制實現(xiàn)網(wǎng)絡(luò)的安全性 264.4. 我們對系統(tǒng)安全的建議 274.5. 與Internet的連接 284.6. 拔號的安全 295. 網(wǎng)絡(luò)管理 305.1. 集中式系統(tǒng)管理 305.2. 聯(lián)創(chuàng)對網(wǎng)絡(luò)管理的理解和建議 306. 設(shè)備選型 356.1. 設(shè)備選型說明 356.2. Cisco3662 356.3. Catalyst4000 386.4. CiscoWorks2023LAN管理解決方案2.0 397. 網(wǎng)絡(luò)設(shè)計小結(jié) 46用戶需求分析網(wǎng)絡(luò)設(shè)計原則云南省通信公司是一個年輕的公司，在這一個高速發(fā)展的信息社會中，隨著中國網(wǎng)通的發(fā)展，它在整裝待發(fā)。信息社會的一個最重要的產(chǎn)物就是網(wǎng)絡(luò)，對于云南網(wǎng)通來說，在事業(yè)蓬勃發(fā)展時，建立一個高性能、高可靠性、高可用性、高可擴充性的骨干網(wǎng)絡(luò)平臺是很有必要的。在網(wǎng)絡(luò)設(shè)計中，我們嚴(yán)格遵循以下原則，并以此逐條分析云南網(wǎng)通運營支撐系統(tǒng)的需求，從而使所得的方案可以最大限度的滿足云南網(wǎng)通的需要，建成使用后可以發(fā)揮盡也許大的效能。充足運用所配置的網(wǎng)絡(luò)設(shè)備的能力，最大限度地發(fā)揮網(wǎng)絡(luò)平臺的效率。在這里我們強調(diào)這樣一個思想：我們是在設(shè)計一個大的網(wǎng)絡(luò)平臺，應(yīng)當(dāng)考慮到平臺的總體效率，不能因片面強調(diào)某些性能而犧牲其他方面，導(dǎo)致“一手軟、一手硬”。我們應(yīng)當(dāng)兼顧可靠性和高效性、廣域性能和局域性能、性能和價格、網(wǎng)絡(luò)當(dāng)今的表現(xiàn)和將來的擴充能力，等等。為了保證云南網(wǎng)通運營支撐系統(tǒng)的高性能，一方面要采用符合系統(tǒng)規(guī)定的高性能的設(shè)備，另一方面要采用合適的傳輸線路，保證在傳輸過程中無瓶頸。保證網(wǎng)絡(luò)系統(tǒng)的可靠性：用戶的網(wǎng)絡(luò)系統(tǒng)必須具有相稱的容錯能力，保障在意外情況下不中斷用戶的正常工作，由于無論系統(tǒng)采用集中模式還是分散模式，都規(guī)定系統(tǒng)能不間斷的工作，這就規(guī)定在廣域和局域上提供對網(wǎng)絡(luò)設(shè)備資源及通信線路的備份，并且可以在系統(tǒng)的某個部分出現(xiàn)故障時迅速地進行主、備份資源的切換，滿足用戶的需求。在云南網(wǎng)通運營支撐系統(tǒng)的網(wǎng)絡(luò)中，影響系統(tǒng)可靠性的因素重要是線路和設(shè)備，因此在線路上可以采用“一主一備”或“互為主備”的設(shè)計；在設(shè)備上，為了消除單點故障，互換機和路由器的雙機配置也是很有必要的。保證網(wǎng)絡(luò)系統(tǒng)的開放性：隨著開放互連標(biāo)準(zhǔn)的制定，只有開放的，符合國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)才可以實現(xiàn)多廠家產(chǎn)品的互連。目前已成型的國際標(biāo)準(zhǔn)涉及：以太網(wǎng)、FDDI網(wǎng)、令牌環(huán)網(wǎng)、快速以太網(wǎng)、ATM（異步傳輸模式）等，并且這些網(wǎng)絡(luò)系統(tǒng)不僅在世界范圍內(nèi)，在國內(nèi)也被廣泛地采用。這些網(wǎng)絡(luò)系統(tǒng)的傳輸速度最低的為10Mbps，最高的為155Mbps，甚至622Mbps?，F(xiàn)在，千兆以太網(wǎng)和快速以太網(wǎng)技術(shù)已經(jīng)非常的成熟，它具有1000M和100M的帶寬，具有良好而穩(wěn)定的性能，因此，我們在這里采用的就是這一技術(shù)。保證網(wǎng)絡(luò)系統(tǒng)的可擴充性：網(wǎng)絡(luò)系統(tǒng)要可以靈活地擴充，比如：可以通過擴充支持將來的需要。具有良好擴充性的網(wǎng)絡(luò)可以讓用戶以較小的代價，通過產(chǎn)品升級，采用新的技術(shù)，或者是增長模塊來擴充現(xiàn)有網(wǎng)絡(luò)設(shè)備的功能，這樣，就有效地保護了用戶的投資。在進行網(wǎng)絡(luò)擴充的同時，網(wǎng)絡(luò)的效率不應(yīng)當(dāng)下降。所以，這個方案的設(shè)計必須保證在若干年內(nèi)正常運轉(zhuǎn)，而在這之后應(yīng)當(dāng)可以在原有基礎(chǔ)上升級，保護原有投資。保證網(wǎng)絡(luò)系統(tǒng)的安全性：網(wǎng)絡(luò)的運營應(yīng)當(dāng)在一種可控方式下，以保證其安全性；應(yīng)當(dāng)盡也許地通過集中控制的機制實現(xiàn)網(wǎng)絡(luò)的安全性；非授權(quán)的人員應(yīng)當(dāng)不能進入網(wǎng)絡(luò)之中，還要實現(xiàn)分層次的安全控制機制，根據(jù)具體用戶的級別擬定他們的訪問權(quán)限。系統(tǒng)的安全性是個需要以系統(tǒng)全面考察后的綜合設(shè)計的問題，因此在方案中，我們提出了對安全控制的一些建議，在此基礎(chǔ)上在貴公司一同設(shè)計整個系統(tǒng)的安全保障機制。保證網(wǎng)絡(luò)系統(tǒng)的可管理性：網(wǎng)絡(luò)系統(tǒng)應(yīng)當(dāng)可以支持SNMP（簡樸網(wǎng)管協(xié)議），這樣便于計算機管理人員通過網(wǎng)管軟件隨時監(jiān)視網(wǎng)絡(luò)的運營狀況，一旦出現(xiàn)故障，可以自動報告犯錯位置和犯錯因素。網(wǎng)絡(luò)總體規(guī)劃本次工程要實現(xiàn)通過多種業(yè)務(wù)受理渠道（營業(yè)廳、代理商、CallCenter、網(wǎng)上營業(yè)廳/自助服務(wù)和大客戶經(jīng)理等）為用戶提供各種基于電信業(yè)務(wù)（話音、數(shù)據(jù)、多媒體等）的綜合服務(wù)（訂購、帳務(wù)、障礙解決等），同時可以向大客戶提供“綠色通道”，保證滿足重要客戶的規(guī)定，體現(xiàn)“以客戶為中心”的現(xiàn)代公司的經(jīng)營管理理念。預(yù)計到2023年終，云南省綜合業(yè)務(wù)支撐系統(tǒng)容量規(guī)定滿足175萬用戶的需求。集中是大趨式，集中模式無論在系統(tǒng)結(jié)構(gòu)上，還是在新業(yè)務(wù)的開展上都具有其它模式所不能替代的好處。我們的網(wǎng)絡(luò)結(jié)構(gòu)也由于采用了集中模式而在系統(tǒng)性能和可靠性等方面相應(yīng)有所考慮。從對云南網(wǎng)通運營支撐系統(tǒng)的分析中可以得出這樣幾個結(jié)論，一、系統(tǒng)應(yīng)當(dāng)是一個集中式、層次化的結(jié)構(gòu)，重要的流量應(yīng)集中在各地市到省網(wǎng)絡(luò)中心的骨干網(wǎng)絡(luò)上，所以這個骨干應(yīng)當(dāng)足夠?qū)?，保證不出現(xiàn)瓶頸；二、系統(tǒng)應(yīng)具有較強的擴展性能，以適應(yīng)云南網(wǎng)通事業(yè)的快速發(fā)展，但同時考慮到硬件設(shè)備的不斷更新，性價比隨著時間推移不斷提高，對擴展性能的設(shè)計應(yīng)是有限度的；三、系統(tǒng)應(yīng)具有相稱的承載能力，我們建設(shè)的是一個骨干網(wǎng)絡(luò)平臺，如客服系統(tǒng)等應(yīng)用可以通過此網(wǎng)絡(luò)平臺傳輸，從而節(jié)約設(shè)備投資和線路花銷；四、作為骨干，全省的業(yè)務(wù)支撐數(shù)據(jù)都要通過它來傳輸，所以必須考慮到可靠性設(shè)計。本方案將就云南網(wǎng)通運營支撐系統(tǒng)中心局域網(wǎng)和中心-營業(yè)廳之間廣域網(wǎng)以及省-上級系統(tǒng)間廣域網(wǎng)作論述。網(wǎng)絡(luò)系統(tǒng)性能估算數(shù)據(jù)采集流量計算對于采集系統(tǒng)來說，數(shù)據(jù)流量重要集中在由各地市互換機下載得到的原始話單，為簡化計算模型，考慮如下計算模型：建設(shè)規(guī)模100萬用戶每用戶天天10張話單每張話單平均200字節(jié)本地網(wǎng)話單量最大所占比例：20%天天通話集中在早八點至晚十點的14小時內(nèi)高峰時為平均值的6倍計算網(wǎng)絡(luò)開銷30%則理論上規(guī)定帶寬總計至少為：100萬（用戶）×10（張/用戶）×200（字節(jié)/次）×8（比特/字節(jié)）×6]÷[14（小時）×3600（秒/小時）×1024（/K）]×1.3，約為2.4Mbit/s則話單量最大的地市互換機至省中心的連接帶寬需要2.4M×0.2=480Kbps，一條512Kbps專線就可以滿足需求。省會城市網(wǎng)絡(luò)建設(shè)可以直接采用局域100/1000M連接。營業(yè)系統(tǒng)帶寬估算云南網(wǎng)通本次工程計劃在營業(yè)廳建設(shè)的同時，還可以依靠網(wǎng)上營業(yè)廳等手段完畢營業(yè)系統(tǒng)的建設(shè)，先計算的是網(wǎng)上營業(yè)廳的帶寬，由于網(wǎng)上營業(yè)廳可以采用集中模式，所有的用戶都訪問一個地方，那么就上文中的計算數(shù)據(jù)而言，最多也就需要2.4Mbps的帶寬，一個快速以太連接就可以完畢網(wǎng)上營業(yè)廳與核心局域網(wǎng)的接口。對于營業(yè)廳的帶寬，一般而言，每個營業(yè)廳的終端在10個左右，我們以15個計，根據(jù)我們的經(jīng)驗，每個終端一天至多500筆業(yè)務(wù)，即每分鐘一筆，其中數(shù)據(jù)傳輸在3秒中完畢，每筆業(yè)務(wù)2K字節(jié)數(shù)據(jù)[2K（字節(jié)/筆）×8（比特/字節(jié)）]÷3（秒）=5.3Kbps因此一個營業(yè)廳到網(wǎng)絡(luò)中心的帶寬應(yīng)為5.3Kbps×15=80Kbps，可見一條128Kbps的DDN線路即可滿足需求。綜上所述，我們建議對于每一個營業(yè)廳采用一至兩條DDN專線完畢廣域網(wǎng)絡(luò)的連接。云南至上級系統(tǒng)帶寬估算如前文所述，100萬用戶需要2.4Mbps帶寬，預(yù)計到2023年終，云南省綜合業(yè)務(wù)支撐系統(tǒng)容量規(guī)定滿足175萬用戶的需求。其中需要向上級系統(tǒng)傳輸?shù)恼?0%，則云南至上級系統(tǒng)的帶寬為420Kbps。網(wǎng)絡(luò)總體設(shè)計網(wǎng)絡(luò)框架綱要網(wǎng)絡(luò)系統(tǒng)自身具有主次之分，有的部分地位重要，有的則相對規(guī)定不高，有的部分突出了性能，而其他部分則也許規(guī)定進行一些限制。采用層次化的設(shè)計模型，有助于突出重點，突出各部分的重要功能，同時便于管理維護，便于擴充，故障容易隔離。根據(jù)對用戶的需求分析，我們可以用下述層次結(jié)構(gòu)建立云南網(wǎng)通運營支撐系統(tǒng)的概念模型：該模型將云南網(wǎng)通運營支撐系統(tǒng)分為三個層次：骨干（Core）層、支干（Distribution）層和訪問（Access）層。在這個方案中，骨干層提供省中心到各地市中心之間的數(shù)據(jù)遠(yuǎn)程傳送服務(wù)；支干層提供各地市下屬的各個部門以及以后將建立的營業(yè)廳與地市中心之間的網(wǎng)絡(luò)連接策略及服務(wù)；訪問層則為本地或遠(yuǎn)程計算機用戶（組）提供上網(wǎng)連接服務(wù)接口，多為局域的連接。局域網(wǎng)設(shè)計局域網(wǎng)的設(shè)計思想采用高速、高性能的網(wǎng)絡(luò)主干網(wǎng)絡(luò)根據(jù)需要劃分不同的虛擬網(wǎng)虛擬網(wǎng)之間的數(shù)據(jù)互換通過集中的路由功能實現(xiàn)網(wǎng)絡(luò)主干應(yīng)有極強的擴充能力，網(wǎng)絡(luò)性能不會由于網(wǎng)絡(luò)的擴充而減少與廣域的路由器和主機配合實現(xiàn)廣域上網(wǎng)絡(luò)資源的備份和數(shù)據(jù)分流保障局域網(wǎng)上的安全性幾種常見類型的局域網(wǎng)根據(jù)是否劃分虛擬網(wǎng)以及對虛擬網(wǎng)之間數(shù)據(jù)互換的解決方式，可以把現(xiàn)有的局域網(wǎng)劃分為下面的幾種類型：不劃分虛擬網(wǎng)的平坦型網(wǎng)絡(luò)在這種網(wǎng)絡(luò)中，所有的主機都連接在一個子網(wǎng)中。這種網(wǎng)絡(luò)的優(yōu)點是：配置比較簡樸，對互換機的規(guī)定比較低。這種網(wǎng)絡(luò)的缺陷是：由于不劃分虛擬網(wǎng)，當(dāng)主機數(shù)量比較多時容易產(chǎn)生廣播風(fēng)暴，引起網(wǎng)絡(luò)性能的下降；由于任何廣播的消息都會轉(zhuǎn)發(fā)到互換機的所有端口，網(wǎng)絡(luò)的安全性不容易保障；IP地址的規(guī)劃不靈活：舉一個例子，某個單位有300臺主機，申請一個B類的地址（可容納65534臺主機）太浪費，申請一個C類地址（可容納254臺主機）又不夠用，假如申請兩個C類地址，不同C類地址的主機之間又不能通信，很不靈活。使用集中的路由功能實現(xiàn)虛擬網(wǎng)之間的數(shù)據(jù)互換這種網(wǎng)絡(luò)中存在著許多的虛擬網(wǎng)，虛擬網(wǎng)之間的數(shù)據(jù)通信通過某臺功能較強的路由器或第三層互換功能來實現(xiàn)。我們看到，整個局域網(wǎng)中有若干個虛擬網(wǎng)，虛擬網(wǎng)之間的數(shù)據(jù)互換集中由一臺路由器來完畢。這種網(wǎng)絡(luò)的優(yōu)點是：縮小了廣播域，使網(wǎng)絡(luò)的工作效率大大提高；克制了廣播風(fēng)暴的產(chǎn)生；可以從IP子網(wǎng)的角度保障網(wǎng)絡(luò)的安全性：可以通過路由器在不同的虛擬子網(wǎng)之間劃分防火墻。IP的地址規(guī)劃有一定的靈活性?？梢耘浜峡缰鞲商摂M網(wǎng)技術(shù)。這種網(wǎng)絡(luò)的缺陷：由于所有的虛擬網(wǎng)之間的互換都要通過一臺路由器來實現(xiàn)，這臺路由器的解決能力和通往路由器的連接線路的帶寬稱為網(wǎng)絡(luò)中的兩個瓶頸。隨著虛擬網(wǎng)的數(shù)量的增多，而網(wǎng)絡(luò)中的路由解決能力并沒有相應(yīng)增強，網(wǎng)絡(luò)的性能將下降。使用分散的路由功能實現(xiàn)虛擬網(wǎng)之間的數(shù)據(jù)互換在這種網(wǎng)絡(luò)中，同樣要劃分虛擬網(wǎng)，虛擬網(wǎng)之間的通信通過度散的路由功能來實現(xiàn)，在這里用品有路由功能的互換機取代了普通的互換機。這種網(wǎng)絡(luò)的優(yōu)點是：具有集中式路由網(wǎng)絡(luò)的大部分優(yōu)點；整個網(wǎng)絡(luò)中沒有瓶頸；整個網(wǎng)絡(luò)具有很強的擴充能力，網(wǎng)絡(luò)的性能不會由于網(wǎng)絡(luò)上主機的增多而下降；支持廣域上網(wǎng)絡(luò)資源的備份和數(shù)據(jù)分流。這種網(wǎng)絡(luò)的缺陷是：互換機的路由功能并不是很強。不能配合跨主干虛擬網(wǎng)技術(shù)。我們所建議采用的局域網(wǎng)技術(shù)綜合以上的分析，結(jié)合實際情況，我們建議采用的局域網(wǎng)的技術(shù)是：使用集中的路由功能的方式實現(xiàn)虛擬網(wǎng)之間的數(shù)據(jù)互換。運營支撐中心網(wǎng)絡(luò)構(gòu)架云南網(wǎng)通運營支撐中心網(wǎng)絡(luò)構(gòu)架如下圖所示。在上圖上，我們提到了DCN的概念，南京聯(lián)創(chuàng)認(rèn)為，隨著電信運營商業(yè)務(wù)的不斷發(fā)展，需要通過網(wǎng)絡(luò)傳輸?shù)臉I(yè)務(wù)量將種類越來越多，數(shù)量越來越大，因此，建立DCN這樣的傳輸平臺只是個時間問題，所以我們在本文中將這個系統(tǒng)“分割”成兩部分，一部分是數(shù)據(jù)解決的運營支持系統(tǒng)，一部分是廣域傳輸DCN系統(tǒng)，實際在本次工程中這兩部分是統(tǒng)一的，涉及互換機這樣的設(shè)備都可以通用，但我們在表述時還是將兩部分分開，使網(wǎng)絡(luò)結(jié)構(gòu)更加清楚。如上所述，我們建議按照DCN的模式建設(shè)由中心到各省、各地市的廣域網(wǎng)絡(luò)。在DCN尚未建設(shè)時，DCN中心的互換機可以運用核心互換機上的VLAN實現(xiàn)，本次工程中的核心路由器可以在DCN建設(shè)時用作DCN中心路由器。從上圖中，在運營支撐中心是以兩臺高性能的千兆局域網(wǎng)互換機為核心構(gòu)架的，這種方法是很節(jié)約并且高效的。保證了高性能：這里的高性能體現(xiàn)在兩方面，一是采用了先進的設(shè)備，由于我們的系統(tǒng)方案采用的是一種集中式的結(jié)構(gòu)，全省的業(yè)務(wù)解決都在省運營支撐中心完畢，所以在運營支撐中心需要高端局域網(wǎng)互換機完畢數(shù)據(jù)的局域互換。此外，這里的局域網(wǎng)采用了千兆以太網(wǎng)技術(shù)連接骨干，即互換機與防火墻之間、互換機與服務(wù)器之間建立1000Mbps數(shù)據(jù)通路，理由如下：1，由于對于集中模式來說，幾乎所有的數(shù)據(jù)解決都在?。ㄊ小^(qū)）運營支撐中心完畢，所以這里的數(shù)據(jù)量的相稱大的，非常有必要采用寬帶技術(shù)；2，從市場投資的角度上看，千兆以太網(wǎng)已經(jīng)是一個相稱成熟的技術(shù)了，在市場的劇烈競爭中，其端口價格也已經(jīng)很合理了；3，作為一個“關(guān)鍵網(wǎng)絡(luò)”，我們設(shè)計中必須具有足夠大的前瞻性，雖然投資也許稍大了一些，但對于以后的系統(tǒng)擴容，我們認(rèn)為應(yīng)把重要目的指向網(wǎng)絡(luò)規(guī)模的延伸，也就是支干層的擴充，對于中心局域網(wǎng)，鑒于它在云南網(wǎng)通業(yè)務(wù)中的關(guān)鍵地位，應(yīng)盡也許地不做大的改動。保障了高可靠性：使用兩臺千兆局域網(wǎng)互換機以保證局域網(wǎng)主干中沒有單點失誤。局域關(guān)鍵設(shè)備，如服務(wù)器，都與兩臺互換機實現(xiàn)冗余配置。當(dāng)其中的一臺互換機發(fā)生故障的時候，另一臺互換機可以提供高速通路，保證網(wǎng)絡(luò)暢通。兩臺路由器之間也采用HSRP或VRRP技術(shù)實現(xiàn)熱備份，可以自動切換。劃分虛擬網(wǎng)使性能更加杰出：我們運用了千兆局域網(wǎng)互換機所具有的虛擬網(wǎng)技術(shù)根據(jù)用戶的需求在互換機上劃分虛擬網(wǎng)，這樣一來可以提高網(wǎng)絡(luò)的總體性能，再者劃分了虛擬網(wǎng)之后網(wǎng)絡(luò)的管理者可以更方便地對用戶進行管理，并且可以在不同的虛擬網(wǎng)之間設(shè)立防火墻，提高了網(wǎng)絡(luò)的安全性。虛擬網(wǎng)之間的路由通過其自身的路由功能實現(xiàn)。我們建議可以將運營支撐中心的互換機通過劃分VLAN來實現(xiàn)防火墻的內(nèi)、外網(wǎng)連接。系統(tǒng)安全有充足保證：為了充足的保護局域網(wǎng)內(nèi)的主機設(shè)備的安全，系統(tǒng)多處采用了防火墻。在Catalyst4006互換機和連接外網(wǎng)（即遠(yuǎn)程節(jié)點）的路由器之間可以配置了兩臺高端防火墻，將外網(wǎng)與內(nèi)網(wǎng)隔開，涉及各地市營業(yè)和各代理商的接入所有置于防火墻之外，這樣可以對于惡意的侵入時刻防范。與外單位的連接也采用了防火墻技術(shù)，接口服務(wù)器就放置在DMZ中。銀行代收費系統(tǒng)也采用了防火墻，將此系統(tǒng)連接在外網(wǎng)的互換機上，對于銀行來說可見的只有銀行代收費應(yīng)用服務(wù)器（此項僅為建議，設(shè)備未考慮）；與Internet的連接也是如此。WEB服務(wù)器等設(shè)備均放置在兩臺防火墻之間的DMZ中，依靠WebLogic服務(wù)器來向應(yīng)用服務(wù)器發(fā)起連接。有了這些防火墻，整個系統(tǒng)的安全就有了充足的保證（此項僅為建議，設(shè)備未考慮）。與合作單位的網(wǎng)絡(luò)接口由于采用集中的模式，所以如話費代收及銀行、郵儲、公安之類的接口都可在中心完畢，由于這些連接相對而言安全性要弱，所以要采用如防火墻等安全機制保證網(wǎng)絡(luò)的互相獨立性。下圖以銀行為例說明。每家銀行現(xiàn)在基本上都可實現(xiàn)通存通兌，也就是說都有一套覆蓋全省的網(wǎng)絡(luò)，而我們采用的是運營支撐系統(tǒng)的集中模式，所以只要在云南網(wǎng)通與各家銀行的省中心作網(wǎng)絡(luò)連接就可以實現(xiàn)聯(lián)網(wǎng)了。這種方法接口單一，連接方法簡樸，易于管理，安全隱患小，投資節(jié)約。此部分設(shè)計基于我們以往工程經(jīng)驗，作為建議，謹(jǐn)作參考。廣域網(wǎng)絡(luò)設(shè)計從網(wǎng)絡(luò)技術(shù)上看，骨干網(wǎng)絡(luò)和支干網(wǎng)絡(luò)應(yīng)屬于廣域網(wǎng)范疇，所以在設(shè)計的時候，我們遵循的是一套廣域網(wǎng)的設(shè)計思想。廣域網(wǎng)的設(shè)計思想采用層次化網(wǎng)絡(luò)結(jié)構(gòu)模型設(shè)計采用對的的網(wǎng)絡(luò)拓?fù)浔ＷC網(wǎng)絡(luò)的高效率和可靠性保證廣域網(wǎng)上的網(wǎng)絡(luò)安全性，防止任何非授權(quán)的人員進入網(wǎng)絡(luò)采用恰當(dāng)?shù)姆绞綄崿F(xiàn)網(wǎng)絡(luò)資源的備份和數(shù)據(jù)分流廣域網(wǎng)常見拓?fù)溥壿嬋N拓?fù)浣Y(jié)構(gòu)各自具有各自的特性：星型拓?fù)浣Y(jié)構(gòu)（Star）：簡潔，便于建立層次結(jié)構(gòu)網(wǎng)絡(luò)，符合ATM網(wǎng)絡(luò)的規(guī)定，存在單點失誤；全互連拓?fù)浣Y(jié)構(gòu)（FullyMeshed）：連接配置復(fù)雜，冗余度高，可靠性高，廣播環(huán)境的系統(tǒng)開銷大；部分互連拓?fù)浣Y(jié)構(gòu)（partiallyMeshed）：是前兩種拓?fù)浣Y(jié)構(gòu)的結(jié)合，采用雙星（Twin_star）結(jié)構(gòu)來避免單點失誤；較全互連拓?fù)浣Y(jié)構(gòu)減少了連接復(fù)雜度。考慮到網(wǎng)絡(luò)上數(shù)據(jù)流的具體流向和業(yè)務(wù)需求，我們選擇的是部分互連雙星型拓樸結(jié)構(gòu)，在提高了網(wǎng)絡(luò)可靠性的同時也可減少了復(fù)雜性，并且節(jié)約了投資。從結(jié)構(gòu)上看，此廣域網(wǎng)是一個星形網(wǎng)絡(luò)拓樸結(jié)構(gòu)，它以省運營支撐中心作為云南省通信公司業(yè)務(wù)運營支撐系統(tǒng)的中心，接入到DCN中心的互換機上，各營業(yè)廳運用廣域網(wǎng)絡(luò)通過一條或兩條DDN專線連接到運營支撐中心，這種結(jié)構(gòu)從總體上符合目前網(wǎng)絡(luò)上的數(shù)據(jù)流向──從各營業(yè)廳到運營支撐中心或相反方向，數(shù)據(jù)傳輸途徑得到優(yōu)化。以后業(yè)務(wù)發(fā)展時可以以在幾個地市的營業(yè)廳各建一個匯接中心，由匯接中心再連接到省中心。同時，為了保證省與上級系統(tǒng)之間業(yè)務(wù)的互通，云南需要和上級系統(tǒng)之間建立一條通道，在前文的帶寬估算中我們已有相關(guān)描述，與上級系統(tǒng)間的帶寬分別需要512Kbps的帶寬，我們建議在云南與上級系統(tǒng)間分別采用兩條相應(yīng)線路連接。為了保證核心層WAN通信的高可靠性和負(fù)載分擔(dān)，在DCN中心配置兩臺高端模塊化路由器和兩臺局域網(wǎng)互換機（可與運營支撐中心互換機共用），在運營支撐中心新增兩臺局域網(wǎng)千兆互換機作為核心互換機。各營業(yè)廳分別配置一臺Cisco2600系列路由器。對于運營支撐中心與地市間的通信線路帶寬，根據(jù)前文所述的網(wǎng)絡(luò)帶寬估算，和我們在總結(jié)了以往建設(shè)江蘇、云南、甘肅、寧夏、青海、新疆、黑龍江等省、自治區(qū)的網(wǎng)絡(luò)設(shè)計的實踐經(jīng)驗后，在各地市按各自的不同情況配置不等數(shù)目的E1線路，這里的帶寬需求重要來自于計費、營業(yè)和帳務(wù)這些應(yīng)用的需要，在此基礎(chǔ)上留出可擴充的余地和容量。一來保證系統(tǒng)中某一條線路出現(xiàn)故障時能不中斷正常工作，二來還為以后網(wǎng)絡(luò)承載客服、OA等系統(tǒng)時有足夠的帶寬，這些應(yīng)用總得來說數(shù)據(jù)量很不上很大。并且由于我們采用的是模塊化產(chǎn)品，所以在需要擴充帶寬時很方便。與其它系統(tǒng)連接我們在設(shè)計中計劃將運營支撐中心置于云南網(wǎng)通，那么就與其它系統(tǒng)處在一幢樓內(nèi)甚至同一個機房，可以通過樓內(nèi)的布線運用互換機的端口將運營支撐中心其它系統(tǒng)連接起來。假如距離較遠(yuǎn)，則可以采用專線連接的方式連接。在運營支撐系統(tǒng)與其它計算機系統(tǒng)的連接中，可以運用防火墻以如下方式進行隔離：外部的請求只能通過一級防火墻，提交到系統(tǒng)應(yīng)用服務(wù)器，系統(tǒng)應(yīng)用服務(wù)器接受到請求后，判別請求的類別，然后發(fā)起相應(yīng)的接口服務(wù)透過二級防火墻，完畢相關(guān)的業(yè)務(wù)功能。網(wǎng)絡(luò)優(yōu)化路由策略WAN路由策略云南網(wǎng)通現(xiàn)在在各地市使用的IP地址規(guī)劃、路由管理等都需要作統(tǒng)一的規(guī)劃。南京聯(lián)創(chuàng)幾年來在全國承接了多個大型網(wǎng)絡(luò)，在網(wǎng)絡(luò)規(guī)劃方面積累了豐富的經(jīng)驗。實踐證明，OSPF和EIGRP是適合于在廣域網(wǎng)范圍內(nèi)使用的路由協(xié)議，它們收斂速度快，互換的路由信息較少。OSPF運用分層概念，使得網(wǎng)絡(luò)層次更清楚；而EIGRP采用路由表自動疊合技術(shù)，管理方便，配置容易。EIGRP是CISCO公司的專用協(xié)議，因此應(yīng)用范圍收到限制。根據(jù)我們以往在如DCN這樣的大型計算機網(wǎng)絡(luò)的建設(shè)中積累的經(jīng)驗，建議采用OSPF協(xié)議作為廣域路由協(xié)議。OSPF支持等途徑條件下的負(fù)載分流。OSPF可以將一個網(wǎng)絡(luò)劃提成幾個區(qū)域，對網(wǎng)絡(luò)管理和減輕路由器的承擔(dān)均有好處。我們將中心到市的部分作為OSPF骨干，各地市內(nèi)部網(wǎng)絡(luò)作為一個社區(qū)，其營業(yè)網(wǎng)絡(luò)均處在這個社區(qū)中。這種劃分與行政區(qū)劃保持一致，便于理解和管理。LAN路由策略目前UNIX主機重要采用RIP路由協(xié)議互換路由信息，所以在信息網(wǎng)的LAN部分可以采用RIP路由協(xié)議。由于RIP路由協(xié)議不支持子網(wǎng)劃分，當(dāng)需要子網(wǎng)間通信時，RIP無法將信息對的傳遞到目的地。采用靜態(tài)路由可以有效解決這個問題，但是靜態(tài)路由是指向下一跳的路由器地址，當(dāng)該路由器失效時，即使存在其他可以到達目的地的路由，該主機也無法運用，除非人為修改將靜態(tài)路由，這是任何一個網(wǎng)管人員所不能接受的。解決問題的方法是采用標(biāo)準(zhǔn)的VRRP或CISCO的HSRP協(xié)議。VRRP和HSRP的工作原理是同樣的，在此以HSRP為例來說明。HSRP（HotStandbyRoutingProtocol）的原理是這樣的：在一個局域網(wǎng)上，假如存在兩個以上的路由器，那么可以創(chuàng)建一個虛擬的路由器，而實際存在的數(shù)個路由器均可以擔(dān)負(fù)虛擬路由器的工作，當(dāng)主機以靜態(tài)路由指向該虛擬路由器時，主機發(fā)送的數(shù)據(jù)包由虛擬路由器接受，事實上由創(chuàng)建該虛擬路由器的實際路由器中優(yōu)先級最高的路由器來轉(zhuǎn)發(fā)，假如這個路由器失效，優(yōu)先級次之的路由器便自動接替工作，保證主機數(shù)據(jù)通路。網(wǎng)絡(luò)地址規(guī)劃關(guān)于IP網(wǎng)絡(luò)地址在網(wǎng)絡(luò)層不同的網(wǎng)絡(luò)協(xié)議具有不同的編址方法，這里給出的是在使用IP網(wǎng)絡(luò)協(xié)議時的編址方案。下面我們稱基于IP協(xié)議的網(wǎng)絡(luò)層編址為IP地址或網(wǎng)間網(wǎng)地址，在不引起二義性的情況下簡稱為網(wǎng)絡(luò)地址或地址。IP地址分為五類：A類地址，B類地址，C類地址，D類地址，E類地址。其中A類地址、B類地址、C類地址為常用地址；D類地址為多目地址；E類地址保存。在同一個互聯(lián)網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)地址應(yīng)當(dāng)保持其唯一性，即一個地址只能相應(yīng)一臺主機（Host），但是一臺主機（Host）可以相應(yīng)多個網(wǎng)絡(luò)地址。地址分派的幾個建議性原則唯一性在同一個互聯(lián)網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)地址應(yīng)當(dāng)保持其唯一性 簡樸性地址的分派應(yīng)當(dāng)簡樸易管理，避免在主干上采用復(fù)雜的掩碼方式。 連續(xù)性為同一個網(wǎng)絡(luò)區(qū)域分派連續(xù)的網(wǎng)絡(luò)地址，便于縮簡路由表的表項，提高路由器的解決效率，這種技術(shù)稱為地址疊合（Summarization）。 可擴充性為同一個網(wǎng)絡(luò)區(qū)域分派的網(wǎng)絡(luò)地址應(yīng)當(dāng)具有一定的容量，便于主機數(shù)量增長時仍然可以保持地址的連續(xù)性。 靈活性IP地址的規(guī)劃應(yīng)考慮不同的路由協(xié)議和不同的通信鏈路技術(shù)，合理的使用VLSM（VariableLengthSubnetingMask）技術(shù)，能較好的適應(yīng)不同的網(wǎng)絡(luò)的特點，節(jié)約IP地址空間。所以，地址合理分派將使得系統(tǒng)建設(shè)運營更加富有效率，反之，假如地址分派不夠完備，則會在系統(tǒng)建設(shè)中遇上很多的麻煩，甚至影響到系統(tǒng)的正常運營。根據(jù)中國網(wǎng)通的相關(guān)規(guī)定，全國運營支撐系統(tǒng)采用統(tǒng)一的IP網(wǎng)絡(luò)地址。我們將充足的理解這些規(guī)定，因地制宜地對云南網(wǎng)通的IP地址進行規(guī)劃。南京聯(lián)創(chuàng)系統(tǒng)集成股份有限公司近年來承接了多個大型網(wǎng)絡(luò)工程，在地址分派上有著成功的案例，在國內(nèi)建設(shè)比較早的江蘇省DCN工程中，我們與局方一道對江蘇全省的網(wǎng)絡(luò)地址進行了規(guī)劃，這套規(guī)劃以后又用于甘肅、寧夏DCN等系統(tǒng)中，近年來的多個大型網(wǎng)絡(luò)系統(tǒng)建設(shè)的實踐證明，我公司的IP規(guī)劃技術(shù)是成功和富有效率的，所以我們也有信心與貴公司一道為云南網(wǎng)通的網(wǎng)絡(luò)IP地址作一個高效的規(guī)劃。網(wǎng)絡(luò)時間的同步網(wǎng)絡(luò)時間的同步提成兩個層次，一是在數(shù)據(jù)鏈路層，一是在網(wǎng)絡(luò)層。在數(shù)據(jù)鏈路層，路由器之間通過廣域傳輸線路通信時，必須進行時鐘同步。廣域線路有兩種，一種線路是E1電路，采用G.703標(biāo)準(zhǔn)，另一種線路采用DDN。我們知道，E1電路采用HDB3編碼格式，這種編碼格式內(nèi)含時鐘信號，采用E1傳輸，兩端路由器均從線路提取時鐘，由于傳輸網(wǎng)是一個時鐘源，因此路由器之間可以同步。采用DDN傳輸時，由于要使用模擬專線，通過MODEM，因此時鐘同步由MODEM通過V.35接口提供。網(wǎng)絡(luò)層同步采用RFC1305NetworkTimeProtocol(V3)標(biāo)準(zhǔn)，目前以省中心的路由器作為主、備時間服務(wù)器，網(wǎng)管工作站、局域網(wǎng)互換機、地市中心的路由器和互換機作為下級時間服務(wù)器，同步于省中心的路由器，將來作為本地網(wǎng)內(nèi)的時間服務(wù)器，采用NTP3或SNTP4(RFC2030)向下復(fù)制時間。NTP3可以以很小的網(wǎng)絡(luò)流量，達成很高的時間同步精度，在INTERNET上得到了廣泛的應(yīng)用。隊列管理機制在網(wǎng)絡(luò)發(fā)生擁塞時，路由器必須丟棄一些分組，這個問題的解決一方面必須實行有效的隊列管理機制(或緩沖區(qū)管理策略)。目前，已經(jīng)出現(xiàn)的隊列管理機制有：PPD(PartialPacketDiscard)、EPD(EarlyPacketDiscard)、RED(RandomEarlyDiscard)、FRED(FlowRED)、RIO(REDwithInandOut)、BLUE等算法。比較起來，RED算法具有較低的排隊時延、較高的分組通過度(Goodput)和較好的公平性，其重要思想是：路由器計算平均排隊長度，當(dāng)平均排隊長度超過某一門限時，路由器按照一丟棄概率丟棄到達的分組，而這個丟棄概率是與平均排隊長度成正比的函數(shù)。RED算法允許短時的分組突發(fā)，因而可以避免由于網(wǎng)絡(luò)負(fù)荷變化導(dǎo)致的分組丟棄；RED能避免多個TCP連接同時的超時重傳，從而保持高的帶寬運用率；此外，RED算法還能較好的支持突發(fā)業(yè)務(wù)，且擬定哪些連接使用了更多的帶寬，并可以采用措施予以處罰。FRED和RIO都是在RED上的改善或變種，F(xiàn)RED對每一個業(yè)務(wù)流(或連接)都實行單獨的一個RED算法，這樣能保證更好的公平性；RIO在RED的基礎(chǔ)上又增長了一個門限值，在對DiffServAF業(yè)務(wù)的研究中多采用此算法。BLUE算法是IBM公司的研究人員最近才提出的另一種較新的隊列管理機制，與其他算法不同的是：BLUE算法以“分組丟失率”和“鏈路有效運用率”作為判別擁塞是否發(fā)生的標(biāo)準(zhǔn)，而之前的算法都是以路由器中的“平均分組長度”作為擁塞是否發(fā)生的判別標(biāo)準(zhǔn)。隊列調(diào)度機制(QueueingSchedulingMechanism)不管在IntServ還是在DiffServ里，都涉及到隊列調(diào)度問題。簡言之，隊列調(diào)度的功能就是路由器如何從多個(或一個)隊列中選擇下一個待轉(zhuǎn)發(fā)的分組，這與隊列管理機制有著本質(zhì)的區(qū)別。根據(jù)不同的服務(wù)規(guī)則，隊列調(diào)度算法可以分為以下幾種：先到先服務(wù)(FCFS)、循環(huán)調(diào)度(RoundRobin)、解決機共享(ProcessorSharing)、優(yōu)先級服務(wù)、隨機服務(wù)等。目前已出現(xiàn)的隊列調(diào)度算法重要有：基于循環(huán)調(diào)度的算法、基于GPS(GeneralizedProcessorSharing)的算法兩大類。一個有效的隊列調(diào)度算法應(yīng)達成的性能指標(biāo)重要有：公平性、時延特性、對惡意業(yè)務(wù)流的隔離能力、鏈路帶寬的運用率、復(fù)雜性等，前4個指標(biāo)與QoS密切相關(guān)?；谘h(huán)調(diào)度的算法是輪流地對每個隊列進行服務(wù)，其實現(xiàn)簡樸，但不能對業(yè)務(wù)提供時延保證，目前重要有WeightedRR、DeficitRR等。基于GPS的調(diào)度算法目前重要有：加權(quán)公平排隊(WFQ)、自時鐘公平排隊(SCFQ)、VC(VirtualClock)等，它們(特別是WFQ)能提供較好的公平性、時延特性以及對惡意業(yè)務(wù)流的隔離能力，但當(dāng)隊列數(shù)較多時，其實現(xiàn)復(fù)雜度較大?；诩s束的路由(Constrained-BasedRouting)基于約束的路由(CBR)源自QoSRouting，只是對QoS的限制參數(shù)進行了一定的擴充。CBR的有效實現(xiàn)需要各個路由器之間的互相配合，比如互相告知各自所知道的網(wǎng)絡(luò)的一些狀態(tài)信息(如鏈路的剩余帶寬)。CBR的難點在于：如何在狀態(tài)信息的精確發(fā)布和發(fā)布頻率之間取得一個折衷。由于鏈路的剩余帶寬在不斷的變化，CBR既要避免狀態(tài)信息發(fā)布的滯后性，又要避免不斷地頻繁發(fā)布狀態(tài)信息。CBR的有效實現(xiàn)尚有待進一步的研究。業(yè)務(wù)量工程(TrafficEngineering)業(yè)務(wù)量工程的重要目的在于盡量地避免網(wǎng)絡(luò)擁塞的發(fā)生，以保證QoS。網(wǎng)絡(luò)擁塞發(fā)生的因素也許有：網(wǎng)絡(luò)資源(比如鏈路帶寬、緩沖區(qū))的局限性、以及網(wǎng)絡(luò)中業(yè)務(wù)的不均勻分布。當(dāng)業(yè)務(wù)量不均勻分布時，則有的鏈路處在過載狀態(tài)而有的鏈路也許處在欠載狀態(tài)，此時假如我們可以對網(wǎng)絡(luò)中的業(yè)務(wù)流進行適當(dāng)引導(dǎo)，則不必增長網(wǎng)絡(luò)資源也也許消除擁塞。業(yè)務(wù)量工程的目的就在于：如何有效地引導(dǎo)業(yè)務(wù)流通過網(wǎng)絡(luò)以便消除由于業(yè)務(wù)量不均勻分布而導(dǎo)致的網(wǎng)絡(luò)擁塞。多協(xié)議標(biāo)記互換(MPLS)和基于受限的路由都是業(yè)務(wù)量工程的有用工具，也是目前有待進一步研究的課題。我們將在網(wǎng)絡(luò)工程實行中根據(jù)用戶的實際情況，合理地采用以上介紹的隊列管理機制，以保證關(guān)鍵和對延遲敏感的數(shù)據(jù)能有更高的優(yōu)先級。網(wǎng)絡(luò)安全性及與Internet的連接為了提高云南網(wǎng)通運營支撐系統(tǒng)的服務(wù)質(zhì)量，滿足用戶日益擴大的需求，在這次系統(tǒng)設(shè)計中設(shè)計了與Internet的連接，事實上網(wǎng)絡(luò)的連通是很簡樸的，真正要著重考慮的是安全性的設(shè)計，并且對于這樣的一個重要網(wǎng)絡(luò)系統(tǒng)來說，安全是一個相稱重要的問題，所以先簡樸介紹一下安全上的問題是很有必要的。網(wǎng)絡(luò)安全問題概述在我們所設(shè)計的系統(tǒng)中，涉及了三種安全控制，即：網(wǎng)絡(luò)安全性、解決機安全性和用戶安全性。其中每臺解決機的安全性可以通過UNIX的登錄過程實行控制，用戶級的安全性可以通過文獻的所有者和文獻訪問權(quán)限機構(gòu)來控制，這里著重討論網(wǎng)絡(luò)的安全性問題。隨著計算機網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的安全問題日趨嚴(yán)重，我們網(wǎng)絡(luò)中大量存儲和傳輸?shù)臄?shù)據(jù)都有也許被盜用、暴露或者篡改。網(wǎng)絡(luò)中所面臨的安全性威脅重要有下面幾種：信息泄露：當(dāng)通信各方通過網(wǎng)絡(luò)進行交談時，假如不采用任何保密措施，別人就有也許“偷聽”到通信的內(nèi)容，因此必要時可對通信的內(nèi)容進行加密。辨認(rèn)：如何辨認(rèn)進入計算機網(wǎng)絡(luò)系統(tǒng)的用戶是不是合法的呢？因此系統(tǒng)要有身份辨認(rèn)的功能。假冒：當(dāng)網(wǎng)絡(luò)中的某個節(jié)點冒名規(guī)定提供服務(wù)時，系統(tǒng)如何可以知道對方是否冒名呢？我們可以提供一個合法用戶的數(shù)據(jù)庫，采用TACACS或RADIUS協(xié)議對用戶的身份進行鑒別。假如有人用PC機惡意偽造了一條路由信息，系統(tǒng)如何可以鑒別出哪些路由信息是可靠的呢？我們可以采用品有鑒別功能的路由協(xié)議，如“OSPF”；有的路由協(xié)議就不支持“鑒別”功能，如“RIP”。篡改：為了防止報文在轉(zhuǎn)發(fā)過程中被第三者所篡改，可以在應(yīng)用層對用戶的報文進行加密或校驗。惡意程序的襲擊：除了上述用戶之間通信中的信息安全問題之外，網(wǎng)絡(luò)自身也容易遭受到一些惡意程序（rogueprogram）的襲擊，如computervirus,computerworm,Trojanhorse,logicbomb等。根據(jù)網(wǎng)絡(luò)安全性的具體實現(xiàn)方式，可以分為兩種：通過度散式的安全控制機制實現(xiàn)網(wǎng)絡(luò)的安全性和通過集中式的安全控制機制實現(xiàn)網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)安全問題的解決知道潛在的入侵者要了解哪些人會對你在網(wǎng)絡(luò)中的機密感愛好以及他們感愛好的因素，要知道他們也許采用的方法以及也許對網(wǎng)絡(luò)導(dǎo)致的損失。為了了解這些情況你也許會作出一系列假設(shè)，比如：入侵者的水平比網(wǎng)絡(luò)的管理者要低、入侵者只也許使用一些常見的程序、把某些重要文檔（如口令等）鎖在抽屜里是安全的，等等。要驗證這些假設(shè)的可靠限度。我們的目的是保證網(wǎng)絡(luò)對阻止那些也許的入侵者來說是可靠的?？刂茩C密的擴散一些重要的信息，如高級別的口令，其也許的傳播范圍要進行限制。最佳能養(yǎng)成一個周期性更換口令的習(xí)慣。當(dāng)網(wǎng)絡(luò)所有者的領(lǐng)導(dǎo)層作出變動時，應(yīng)盡快地更換口令。養(yǎng)成不用普通傳真機和公用電話傳輸機密消息的習(xí)慣。養(yǎng)成把廢棄的紙張用碎紙機碎掉的習(xí)慣。訪問控制（AccessControl）必須對訪問網(wǎng)絡(luò)的權(quán)限加以控制，并規(guī)定每個用戶的接入權(quán)限。由于網(wǎng)絡(luò)是一個非常復(fù)雜的系統(tǒng)，其訪問控制機制比操作系統(tǒng)的訪問控制更為復(fù)雜，特別是在高安全性級別的多級安全性（multilevelsecurity）的情況之下更是如此。在這里我們使用了一個被廣泛使用的“防火墻”的概念，我們可以把防火墻看作是一個數(shù)據(jù)流的過濾器，只有我們所盼望的數(shù)據(jù)流才可以通過這個過濾器，而其它所有的數(shù)據(jù)流都不能通過，防火墻可以是雙向的。防火墻使用的最典型的例子是：一個局域網(wǎng)為了防止廣域上所連接的其它用戶對本網(wǎng)的訪問，在廣域到局域的入口處設(shè)立防火墻。我們可以在路由器上設(shè)立access-list實現(xiàn)防火墻的功能。通過防火墻，我們可以給不同的用戶提供有區(qū)別的訪問權(quán)限，我們也可以把網(wǎng)絡(luò)中的些重要資源保護起來而開放其它所有的資源。在局域網(wǎng)的內(nèi)部也可以實現(xiàn)防火墻的功能：我們假如需要限制局域網(wǎng)內(nèi)部的某些用戶對一些資源的訪問，可以把這些用戶劃分到一個“虛擬網(wǎng)”中，在這個虛網(wǎng)和其它的資源之間設(shè)立防火墻。通過集中的安全控制機制實現(xiàn)網(wǎng)絡(luò)的安全性我們可以把對用戶身份的鑒別以及對權(quán)限的驗證等功能分散在各個遠(yuǎn)端的路由器和訪問服務(wù)器上實現(xiàn)，如下圖所示：在某些大型網(wǎng)絡(luò)的初期為了安裝調(diào)試的方便我們一般先采用分散式的安全控制機制，在一些小型的網(wǎng)絡(luò)中也可以采用這樣的機制。這種方式的優(yōu)點是配置比較簡樸，但是存在著許多局限性：一方面是各個數(shù)據(jù)庫的管理問題。由于數(shù)據(jù)分散在所有的路由器和撥號訪問服務(wù)器上，對這些數(shù)據(jù)進行管理是一個非常頭痛的問題，管理者要對所有數(shù)據(jù)庫中的數(shù)據(jù)非常清楚，一旦某些口令等數(shù)據(jù)泄漏需要修改，往往是大動干戈。另一方面是安全性的功能受到限制，由于路由器和撥號訪問服務(wù)器畢竟不是專門為安全性設(shè)計的設(shè)備，上面也不也許有安全性功能很強的軟件。在這種情況下，往往需要有一臺專門用于保證安全性的服務(wù)器，連接在這個網(wǎng)絡(luò)的所有用戶，不管它需要以什么樣的方式訪問網(wǎng)絡(luò)設(shè)備，都必須通過服務(wù)器的安全性監(jiān)測。由于服務(wù)器上可以運營功能很強的安全性方面的軟件，可以滿足我們的需求。在路由器、撥號訪問服務(wù)器和安全服務(wù)器之間傳送的可以是通過加密的有關(guān)網(wǎng)絡(luò)安全協(xié)議的數(shù)據(jù)流。通過這種集中式的安全控制機制，我們可以實現(xiàn)鑒別（authentication）、授權(quán)（authorization）和記帳（accounting）的所謂“AAA”功能。當(dāng)網(wǎng)絡(luò)的管理者覺得需要對數(shù)據(jù)庫的數(shù)據(jù)作修改時，可以隨時進行，并且這種修改的過程很簡樸。為了保證安全數(shù)據(jù)庫的可靠性，我們可以在網(wǎng)絡(luò)上設(shè)立不止一臺的安全數(shù)據(jù)庫；即使在所有的安全數(shù)據(jù)庫都發(fā)生故障的情況之下，還可以設(shè)立成運用路由器中的數(shù)據(jù)庫實現(xiàn)分散的安全控制方式。我們對系統(tǒng)安全的建議在廣域網(wǎng)通信的鏈路層，我們采用PPP的CHAP來保證數(shù)據(jù)的安全。在網(wǎng)絡(luò)層，可以選用下列方法增強網(wǎng)絡(luò)的安全性。對網(wǎng)絡(luò)通信數(shù)據(jù)進行監(jiān)測，當(dāng)某些TCP和UDP包的socket與設(shè)定值同樣時，嚴(yán)禁傳送該數(shù)據(jù)包。比如要想嚴(yán)禁遠(yuǎn)程登錄某臺主機，可以監(jiān)測發(fā)到該主機的數(shù)據(jù)包，發(fā)現(xiàn)數(shù)據(jù)包是TCP包，并且socket值等于23，則將該包丟掉。運用路由器的access-list表，只允許某些IP從某些端口輸入或輸出；將路由器口令在配置文獻中加密，不以明碼方式顯示；在系統(tǒng)正式運營時，使用TACACS+服務(wù)器，集中管理所有路由器和互換機的口令；在所有可以登錄到路由器的端口上均設(shè)立口令，涉及console、AUX和異步口。路由表的互換采用認(rèn)證機制，OSPF支持MD5認(rèn)證。與非信任型網(wǎng)絡(luò)連接，比如公眾信息網(wǎng)、外連網(wǎng)等，采用防火墻隔離。對于采用撥號方式訪問網(wǎng)絡(luò)，建議采用一次性口令認(rèn)證方式和回拔技術(shù)?？梢赃\用加密方式，選擇對高度敏感的數(shù)據(jù)進行加密傳輸。以上所有的安全性措施都將在一定限度上影響到系統(tǒng)的性能，并且如加密則更需要IOS軟件的版本支持，在使用時應(yīng)作相應(yīng)的考慮。采用IDS實時監(jiān)控，防止非法和惡意侵入。采用Scanner技術(shù)，搜尋網(wǎng)絡(luò)安全漏洞。與Internet的連接如圖所示，在西南各?。ㄊ?、區(qū)）中心設(shè)立了一臺防火墻，將內(nèi)網(wǎng)與外網(wǎng)隔斷，而作為用戶WEB查詢用的服務(wù)器則置于外網(wǎng)中，用戶訪問時，不會直接進入內(nèi)網(wǎng)，而只和查詢服務(wù)器發(fā)生關(guān)聯(lián)，再由查詢服務(wù)器——也只能由查詢服務(wù)器進入內(nèi)網(wǎng)尋找到用戶所需的數(shù)據(jù)。這樣就可以基本上保證系統(tǒng)的安全性。拔號的安全在有些地方我們也許要用到拔號，也提到了拔號在安全上的隱患，所以我們考慮采用回拔和訪問控制來解決這個問題。回拔技術(shù)，就是在主叫方產(chǎn)生拔號建立連接后，被叫方在一剎那間切斷通路，反過來拔主叫方的電話號碼從而建立連接的技術(shù)。這個回拔的過程是非常短的，對用戶沒有影響。這個拔號進行之前，被叫方已經(jīng)將各允許的主叫方電話號碼人工的記錄在其列表中，回拔中有一個校驗的環(huán)節(jié)，也通過這個環(huán)節(jié)控制了拔叫的地點（號碼）。對于拔號用戶，可以分為兩類，一是營業(yè)廳，二是代理點。對營業(yè)廳，它完畢的業(yè)務(wù)多一些，因此也應(yīng)具有較高的權(quán)限；對代理點，不應(yīng)讓其訪問過多的數(shù)據(jù)。這可以通過給予不同的用戶名和口令，再對這些用戶名和口令作不同訪問限制的方法來實現(xiàn)，也可以能過對地址的訪問控制實現(xiàn)，具體選用哪一種還要看實際情況加以選擇。也許看到，為了實現(xiàn)這些功能，使用集中的訪問控制是必要的，它不僅可以保證網(wǎng)絡(luò)不受侵犯，也可以記錄下對于網(wǎng)絡(luò)的操作，監(jiān)測各種用戶的訪問。安全沒有絕對的，但根據(jù)我公司數(shù)年的實踐經(jīng)驗，我們認(rèn)為這些方法的實行后，網(wǎng)絡(luò)系統(tǒng)的安全是基本上可以保證的。網(wǎng)絡(luò)管理集中式系統(tǒng)管理集中是大趨勢，根據(jù)我們對云南網(wǎng)通運營支撐系統(tǒng)的分析，我們采用了分?。▍^(qū)、市）集中的管理模式，運營支撐中心負(fù)責(zé)對全網(wǎng)節(jié)點進行網(wǎng)絡(luò)監(jiān)控，故障管理、網(wǎng)絡(luò)業(yè)務(wù)等記錄，網(wǎng)絡(luò)性能監(jiān)測，路由管理及設(shè)立，安全管理等。為了在網(wǎng)管系統(tǒng)中更進一步地管理網(wǎng)絡(luò)設(shè)備，實現(xiàn)對所有端口的配置、監(jiān)控和維護，我們認(rèn)為本網(wǎng)絡(luò)中選用同一家原廠商網(wǎng)絡(luò)設(shè)備，同時選擇其網(wǎng)絡(luò)管理軟件對網(wǎng)絡(luò)設(shè)備進行管理是最為合理的。聯(lián)創(chuàng)系統(tǒng)集成股份有限公司可以向用戶提供高質(zhì)量的技術(shù)支持和服務(wù)，重要涉及：簡便、易學(xué)的產(chǎn)品配套技術(shù)手冊和文獻、高水平的技術(shù)培訓(xùn)教材與授課教師，以及迅速、有效的客戶響應(yīng)，聯(lián)創(chuàng)公司先后參與了多個大型網(wǎng)絡(luò)工程，在工程中積累了豐富的工程經(jīng)驗。聯(lián)創(chuàng)對網(wǎng)絡(luò)管理的理解和建議進入90年代，“網(wǎng)絡(luò)就是計算機”已不再是一個計算機技術(shù)發(fā)展的標(biāo)語，而是成為活生生的現(xiàn)實。特別是網(wǎng)絡(luò)科技的迅猛發(fā)展，不斷使全球的信息產(chǎn)業(yè)高潮迭起。今天，世界各地區(qū)的Internet熱潮還在連續(xù)，而Intranet（公司內(nèi)部網(wǎng)）又再掀波瀾。網(wǎng)絡(luò)，網(wǎng)絡(luò)，還是網(wǎng)絡(luò)!到處都在建立網(wǎng)絡(luò)、使用網(wǎng)絡(luò)。各行各業(yè)要想與信息時代的步伐合拍，也實實在在離不開計算機網(wǎng)絡(luò)?，F(xiàn)在，無論從美國、西歐和日本等發(fā)達國家的網(wǎng)絡(luò)來看，還是縱觀我國的網(wǎng)絡(luò)發(fā)展現(xiàn)狀，我們可以得到這樣一個結(jié)論：隨著計算機網(wǎng)絡(luò)廣泛進一步地發(fā)展與應(yīng)用，網(wǎng)絡(luò)規(guī)模越來越大，其功能越來越強。與此同時，網(wǎng)絡(luò)的管理工作也愈來愈復(fù)雜。因此，網(wǎng)絡(luò)管理軟件上升到了極為重要的地位，成為計算機網(wǎng)絡(luò)系統(tǒng)的靈魂。網(wǎng)絡(luò)管理技術(shù)也成為業(yè)界各大專業(yè)公司重點發(fā)展的關(guān)鍵技術(shù)之一。我國計算機網(wǎng)絡(luò)的發(fā)展進程同國際上發(fā)達國家相比有一個極為顯著的區(qū)別，即發(fā)達國家的網(wǎng)絡(luò)有一個相對漫長而漸進的發(fā)展過程（這事實上是一個非常寶貴的實踐和經(jīng)驗積累的過程）；而我國計算機網(wǎng)絡(luò)的發(fā)展是用了較短的時間就達成了相稱高的水平，仿佛像脈沖從零到一的階躍。目前，除了要看到我國在網(wǎng)絡(luò)建設(shè)方面所取得的成就之外，還應(yīng)清醒地結(jié)識到：我們在網(wǎng)絡(luò)的應(yīng)用和管理水平方面（特別是在經(jīng)驗上）與發(fā)達國家之間尚存在著較大的差距。特別是在網(wǎng)絡(luò)建成之后，如何有效地管理網(wǎng)絡(luò)和應(yīng)用網(wǎng)絡(luò)，充足發(fā)揮網(wǎng)絡(luò)投資的經(jīng)濟效益，這是所有網(wǎng)絡(luò)建設(shè)的決策者和管理者面臨的一個十分嚴(yán)峻和亟待解決的問題。那么，有效地應(yīng)用網(wǎng)絡(luò)的保障是什么？回答很簡樸：“現(xiàn)代管理”。進而言之，要有一套完整的管理策略、辦法和有效地管理與控制網(wǎng)絡(luò)的具體技術(shù)手段。如同有了現(xiàn)代化的公路設(shè)施（好比網(wǎng)絡(luò)）和各種大小不一的車輛（好比信息源）同樣，如何使公路交通順暢，各種車輛行駛安全，這全在于管理。可以設(shè)想，若沒有完善的管理策略和辦法，以及有效管理與控制的具體手段，現(xiàn)代化的公路交通會是一種如何的混亂狀況。對于具有一定規(guī)模的公司網(wǎng)絡(luò)而言，它已是公司的神經(jīng)系統(tǒng)。哪怕是很短暫的網(wǎng)絡(luò)系統(tǒng)故障時間，都也許對公司導(dǎo)致重大的經(jīng)濟損失。因此，現(xiàn)代網(wǎng)絡(luò)管理需要技術(shù)先進和功能強大的網(wǎng)絡(luò)管理軟件。管理規(guī)模的擴展能力分布式客戶/服務(wù)器結(jié)構(gòu)一方面，網(wǎng)絡(luò)管理軟件的運營機制應(yīng)能滿足分布式客戶/服務(wù)器結(jié)構(gòu)。這重要基于如下幾點考慮：分布式客戶/服務(wù)器結(jié)構(gòu)已為廣大用戶普遍采用。大規(guī)模的公司網(wǎng)絡(luò)采用這種運營機制，可使管理任務(wù)分散至公司機構(gòu)各處，以實行對各個子網(wǎng)乃至整個公司網(wǎng)絡(luò)的管理。這除了減少集中式管理容易導(dǎo)致的工作壓力，提高對網(wǎng)絡(luò)管理的反映速度外，同時還可為關(guān)鍵性的管理系統(tǒng)提供完全的冗余保障。由于在許多應(yīng)用領(lǐng)域中不允許網(wǎng)絡(luò)管理軟件因有故障而停止工作，故此在同一網(wǎng)絡(luò)中規(guī)定有多臺服務(wù)器運營網(wǎng)絡(luò)管理軟件以備不測?？梢詼p少對公司網(wǎng)絡(luò)中遠(yuǎn)程節(jié)點的訪問次數(shù)，即將管理工作授權(quán)給一個或多個本地的網(wǎng)管工作站，通過它們?nèi)ザㄆ谳喸儽镜氐木W(wǎng)絡(luò)設(shè)備。這樣不僅減少了廣域網(wǎng)頻寬使用所帶來的費用，并且提高或改善了服務(wù)器和網(wǎng)絡(luò)的總體性能。支持大規(guī)模網(wǎng)絡(luò)的能力所謂支持大規(guī)模網(wǎng)絡(luò)的能力是指：在一個“域”（Domain）中，可以管理5000個以上節(jié)點的能力。這一點事實上標(biāo)志著網(wǎng)絡(luò)管理軟件對網(wǎng)絡(luò)管理的可擴展能力。同時，也是該軟件對用戶投資保護能力的一種體現(xiàn)。根據(jù)我國“九五”計劃和2023年所要實現(xiàn)的遠(yuǎn)景目的，公司信息化和城市信息化的建設(shè)必然使得計算機網(wǎng)絡(luò)節(jié)點的數(shù)量大幅度增長。因此選擇網(wǎng)絡(luò)管理軟件時，要充足考慮到未來的發(fā)展需要。支持多個網(wǎng)絡(luò)系統(tǒng)操作員的能力這點是從分布式管理的角度，對客戶端提出的規(guī)定。即允許多個網(wǎng)絡(luò)系統(tǒng)操作員能方便地從客戶端獲取多個服務(wù)器的信息，其中涉及不同邏輯域的管理服務(wù)器。這為大規(guī)模的公司網(wǎng)絡(luò)管理提供了靈活的管理手段（目前，業(yè)界對這方面能力的規(guī)定為：25個以上的專業(yè)網(wǎng)絡(luò)系統(tǒng)操作員可以按照系統(tǒng)事前設(shè)定的數(shù)據(jù)通路，訪問不同邏輯域的網(wǎng)管服務(wù)器）。智能化監(jiān)視能力應(yīng)具有了解網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備之間互相關(guān)系的能力現(xiàn)在，網(wǎng)絡(luò)管理軟件已經(jīng)普遍向用戶提供自動發(fā)現(xiàn)（AutoDiscovery）網(wǎng)絡(luò)節(jié)點及其配置的功能。值得注意的是：網(wǎng)絡(luò)管理軟件是否具有了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備之間互相關(guān)系的能力。這是其智能化水平高低最重要的標(biāo)志。有效信息過濾篩選功能在龐雜的網(wǎng)絡(luò)監(jiān)控信息中，網(wǎng)絡(luò)管理軟件要能對其進行有效的過濾篩選，以便網(wǎng)絡(luò)系統(tǒng)操作員能掌握準(zhǔn)確的網(wǎng)絡(luò)運營狀態(tài)。自動分析并報告網(wǎng)絡(luò)事件成因的能力當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時，網(wǎng)絡(luò)管理軟件應(yīng)能自動對事件狀態(tài)信息進行分析并得出事件的成因，從而精擬定位犯錯設(shè)備，克制不必要的偽警報。當(dāng)網(wǎng)絡(luò)不斷擴大體使設(shè)備越來越多的時候，這種能力尤為重要。智能化監(jiān)視功能的強大與否，與其所采用的技術(shù)直接相關(guān)。當(dāng)前業(yè)界最高水平是采用人工智能和面向?qū)ο髷?shù)據(jù)庫技術(shù)?；谟脩艄芾聿呗缘目刂颇芰τ诰W(wǎng)絡(luò)管理人員而言，根據(jù)實際需要通過網(wǎng)絡(luò)管理軟件靈活地實現(xiàn)自己的管理策略，這是網(wǎng)絡(luò)系統(tǒng)安全可靠地運營的重要保障。具體表現(xiàn)在對用戶或用戶群訪問權(quán)限的定義和對網(wǎng)絡(luò)各層次流量的有效控制。如：對不同的用戶或用戶群設(shè)立不同的訪問級別，用戶只能訪問網(wǎng)絡(luò)管理者為其設(shè)定的那一部分網(wǎng)絡(luò)資源。其中涉及：定義用戶的訪問時間、訪問途徑以及讀/寫權(quán)限等等。在設(shè)立合理的情況下，可以建立網(wǎng)絡(luò)的多級安全保護體系。這不僅保證了重要數(shù)據(jù)的安全，并且可以控制網(wǎng)絡(luò)上的流量，提高網(wǎng)絡(luò)帶寬的運用率。網(wǎng)絡(luò)管理軟件的開放性多協(xié)議支持當(dāng)今不同公司的網(wǎng)絡(luò)涉及了多種多樣的網(wǎng)絡(luò)設(shè)備，并且它們運營不同標(biāo)準(zhǔn)和不同性質(zhì)的管理協(xié)議。針對這一特點，網(wǎng)絡(luò)管理軟件應(yīng)能管理來自不同廠家的網(wǎng)絡(luò)設(shè)備，無需用戶重新進行這方面的開發(fā)工作。支持開放系統(tǒng)和流行操作系統(tǒng)的能力網(wǎng)絡(luò)管理軟件是否具有生命力，其中非常重要的一點就是要看它是否支持開放系統(tǒng)（如Unix操作系統(tǒng)）和流行操作系統(tǒng)（如WindowsNT）。從另一個角度來說，網(wǎng)絡(luò)管理軟件應(yīng)能運營在各種RISC體系結(jié)構(gòu)的工作站和服務(wù)器上，以保護用戶原有的設(shè)備投資。與第三方網(wǎng)絡(luò)管理軟件以及其它管理系統(tǒng)的連接能力由于種種因素，用戶也許需要使用不同廠家的網(wǎng)絡(luò)管理軟件或是其它的管理系統(tǒng)（涉及數(shù)據(jù)庫系統(tǒng)）。為此，網(wǎng)絡(luò)管理軟件應(yīng)具有與之連接、共享管理信息的能力，以支持用戶各種管理需求和對專用設(shè)備的特殊監(jiān)控。用戶界面當(dāng)網(wǎng)絡(luò)存在成千個不同模型之間的連接時，網(wǎng)絡(luò)的拓?fù)鋱D形會變得十分復(fù)雜以致人們難以理解。因此，網(wǎng)絡(luò)管理軟件應(yīng)當(dāng)具有簡樸、明了表現(xiàn)復(fù)雜網(wǎng)絡(luò)“地形”的能力（有的叫做“網(wǎng)絡(luò)導(dǎo)航能力”），特別在表達整個網(wǎng)絡(luò)的實際拓?fù)浣Y(jié)構(gòu)的時候，更應(yīng)如此。其圖形用戶界面的設(shè)計應(yīng)趨于人性化；可以允許用戶方便地剪裁自己的應(yīng)用環(huán)境，以及創(chuàng)建、修改和刪除被管理的節(jié)點上的模型；對各種圖表和不同層次的視窗有一整套的簡便管理手段等等。由于Intranet市場發(fā)展前景被業(yè)界普遍看好，因此有的產(chǎn)品已經(jīng)將網(wǎng)絡(luò)管理信息送到WWW服務(wù)器上，用戶可通過瀏覽器界面獲取各種網(wǎng)絡(luò)信息。開發(fā)工具網(wǎng)絡(luò)管理軟件必須備有簡樸、無需編程的開發(fā)工具。它可以幫助用戶裁剪應(yīng)用環(huán)境，制作圖標(biāo)、圖形視窗或建立全新的模型等，而使用者無需任何編程知識。隨著技術(shù)的發(fā)展，計算機系統(tǒng)和網(wǎng)絡(luò)的管理越來越互相滲透與融合。因此，開發(fā)工具還應(yīng)提供完整的應(yīng)用編程接口（ApplicationProgrammingInterface），使用戶能方便、靈活地對網(wǎng)絡(luò)管理軟件進行擴充，以開發(fā)出功能更加強大的系統(tǒng)或網(wǎng)絡(luò)管理軟件。價格價格是每個用戶都十分重視的問題，任何時候用戶均應(yīng)在有保障的技術(shù)服務(wù)的前提下，拿到產(chǎn)品合理的優(yōu)惠價格。未來幾年的網(wǎng)絡(luò)發(fā)展，必然使網(wǎng)絡(luò)管理軟件或遲或早成為計算機網(wǎng)絡(luò)系統(tǒng)的核心管理軟件。從長遠(yuǎn)的觀點看問題，凡具有一定規(guī)模的網(wǎng)絡(luò)投資，均應(yīng)將網(wǎng)絡(luò)管理軟件擺在重要的地位給予考慮。此外，對網(wǎng)絡(luò)管理軟件的投資，除了購買軟件的費用外，用戶最大的投資是要付出相稱可觀的時間和人力在實踐中取得經(jīng)驗，即“實踐和經(jīng)驗的積累”。軟件供應(yīng)商與系統(tǒng)集成商的服務(wù)成功的系統(tǒng)管理必須廠商、集成商、用戶一起，進行客戶化的工作。我們?yōu)樵颇暇W(wǎng)通各?。ㄊ?、區(qū)）配置了CiscoWorks2023的網(wǎng)管工作站，實現(xiàn)對全網(wǎng)的系統(tǒng)化管理。設(shè)備選型設(shè)備選型說明設(shè)備配置應(yīng)基于當(dāng)前的需求，并留有一定的富裕量，同時應(yīng)考慮此后逐步向多業(yè)務(wù)平臺的遷移。新增設(shè)備型號接口模塊用途兩臺Cisco3662路由器2端口CE1模塊2端口以太模塊連接各營業(yè)廳連接上級系統(tǒng)兩臺Catalyst4006互換機48端口10/100M以太模塊16端口1000M以太模塊構(gòu)架省中心高速解決局域網(wǎng)兩臺PIX525防火墻2塊千兆以太網(wǎng)卡3端口百兆以太網(wǎng)接口隔離內(nèi)外網(wǎng)CiscoWorks2023NMS(forwindows/saloris)-網(wǎng)絡(luò)管理軟件Cisco2651路由器2端口100M固化接口1端口廣域接口每營業(yè)廳一臺，連接廣域設(shè)備Catalyst2950互換機24端口10/100M接口每營業(yè)廳一臺，連接局域設(shè)備Cisco3662Cisco3660系列平臺在非常成功的Cisco2600和3600系列產(chǎn)品的基礎(chǔ)上，在密度、性能、穩(wěn)固性和可服務(wù)性等方面進行了大量改善，使其可作為客戶設(shè)備（CPE）用于大型分支機構(gòu)應(yīng)用或完畢電話服務(wù)。Cisco3600的通用性保證了它遠(yuǎn)全滿足目前分支機構(gòu)和公司對數(shù)據(jù)、話音、視頻和混合撥號訪問應(yīng)用的需求，為多服務(wù)應(yīng)用不斷增長的帶寬需求提供了必要的高速連接。Cisco3660系列平臺的主板上集成了10/100自適應(yīng)以太網(wǎng)端口，釋放了所有6個網(wǎng)絡(luò)模塊插槽，從而可以支持更高密度的LAN/WAN或多服務(wù)集合。此外，主板上的2個高級集成模塊（AIM）插槽可以支持更強的解決能力。Cisco3660系列產(chǎn)品插槽多的優(yōu)勢和新網(wǎng)絡(luò)模塊的增強性能結(jié)合在一起，可以支持新的商業(yè)應(yīng)用，如更高密度的分組話音集合和分支機構(gòu)異步傳輸模式（ATM）訪問，后者的范圍可以從T1/E1ATM反向多路復(fù)用技術(shù)（IMA）一直到OC-3接口。Cisco3660系列產(chǎn)品到目前為止已有70多個不同的接口可供使用，為客戶特定應(yīng)用提供了大量的配置選項，從而具有了空前的通用性、無可匹敵的性能和廣泛的靈活性。Cisco3660系列產(chǎn)品可以與Cisco1600，1700，2600和3600系列多服務(wù)平臺共享模塊接口，因而保護了客戶投資，減少了與備件有關(guān)的運營成本，并簡化了培訓(xùn)過程。Cisco3660系列產(chǎn)品模塊化機箱的設(shè)計充足考慮到了高可用性和可服務(wù)性，使其成為網(wǎng)絡(luò)中一個非常堅實又高效經(jīng)濟的單元，關(guān)鍵任務(wù)應(yīng)用可以放心地配置在這樣的網(wǎng)絡(luò)中。Cisco3660系列產(chǎn)品的獨到之處還涉及綜合的電源冗余選項和模塊熱互換能力，它們?yōu)殛P(guān)鍵功能提供了更高的產(chǎn)品可用性。Cisco3660系列產(chǎn)品可按照一些不同的配置訂購?；鞠到y(tǒng)由以下部分組成：1或2個集成10/100端口6個用來支持網(wǎng)絡(luò)模塊的擴展槽2個用于硬件加速和提高解決能力的高級集成模塊（AIM）插槽支持冗余交流或直流電源的機箱1個輔助端口1個控制臺端口2個用于備份軟件和配置的PCMCIA卡插槽Cisco3660系列產(chǎn)品提供了同類網(wǎng)絡(luò)模塊以及冗余電源的熱互換能力，從而保證了產(chǎn)品的高可用性。后部接入分布線使連接更為容易，模塊化設(shè)計使現(xiàn)場可更換單元（FRU）的維修更加方便。通過使用CiscoWorks、CiscoView和CiscoViewStack管理接口應(yīng)用程序，Cisco3660系列產(chǎn)品的網(wǎng)絡(luò)管理能力更加強大。上述這些應(yīng)用程序早已被用于管理現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中安裝的大量Cisco產(chǎn)品，因此，這為網(wǎng)絡(luò)技術(shù)支持人員提供了較為熟悉的網(wǎng)絡(luò)管理環(huán)境。Cisco3660系列產(chǎn)品的一個重要優(yōu)點是它運營CiscoIOS軟件，該操作系統(tǒng)在世界各地大部分的Internet骨干設(shè)備都得到了應(yīng)用。安裝使用Cisco3660的客戶立即可以擁有CiscoIOS的豐富功能，它支持大量的應(yīng)用程序，可以滿足客戶日益增長的業(yè)務(wù)需要。Cisco3660系列產(chǎn)品的重要功能和優(yōu)點涉及：密度和性能——Cisco3660系列多服務(wù)平臺配置了集成端口以及6個擴展槽，可以支持新的業(yè)務(wù)應(yīng)用，如更高密度的分組話音集合和使用T1/E1IMA或OC-3接口的分支機構(gòu)ATM訪問。Cisco3660系列產(chǎn)品增長了70％以上的解決能力，并且在很多配置中，在更加緊湊的機箱中，配置密度比Cisco3640提高了一倍。高可用性設(shè)計－－Cisco3660系列產(chǎn)品的冗余交流和直流電源選項為關(guān)鍵任務(wù)應(yīng)用提供了一個堅實的平臺。此外，同類網(wǎng)絡(luò)模塊（NM）的熱互換和電源供應(yīng)使高可用性環(huán)境的正常工作時間更長。數(shù)據(jù)、話音、視頻和混合撥號訪問的集成－－Cisco3660系列產(chǎn)品使用戶可以支持最多種類的應(yīng)用，涉及在單一平臺上實現(xiàn)數(shù)據(jù)、話音、視頻和混合撥號訪問的集成。單一平臺上用程序的集合通過簡化分支機構(gòu)網(wǎng)絡(luò)環(huán)境的配置、備份、支持、管理，提高了系統(tǒng)運營效率，減少了網(wǎng)絡(luò)成本。目前可用于這些插槽的模塊接口有70多個，從而具有了無與倫比的通用性。保護投資－－Cisco3660系列產(chǎn)品可以與Cisco1600，1700，2600和3600系列平臺共享模塊接口，這樣簡化了對網(wǎng)絡(luò)支持的規(guī)定，促進了規(guī)模經(jīng)濟，最大限度地減少了培訓(xùn)成本，為滿足現(xiàn)在和將來小型、中型和大型分支機構(gòu)的需要提供了用戶特定的各種選項。除此之外，Cisco3600系列產(chǎn)品支持模塊組件現(xiàn)場升級的能力使客戶不必通過遠(yuǎn)程分支機構(gòu)解決方案的全面升級，就可以很容易地改就網(wǎng)絡(luò)接口和其它組件。減少擁有成本－－通過將內(nèi)置數(shù)據(jù)服務(wù)設(shè)備/信道服務(wù)設(shè)備（CSU/DSU）、綜合業(yè)務(wù)數(shù)字網(wǎng)（ISDN）終端（NT1）設(shè)備、以及分支機構(gòu)布線室內(nèi)其它設(shè)備的功能集成在一起，Cisco3660系列產(chǎn)品提供了一個節(jié)省空間和成本的解決方案，并且該解決方案還可以使用CiscoWorks和CiscoView這樣的網(wǎng)絡(luò)管理軟件進行遠(yuǎn)程管理。Catalyst4000Catalyst4000系列提供了一個高性能的公司級互換解決方案，它在配線室支持96個10/100M端口，在數(shù)據(jù)中心服務(wù)器環(huán)境支持36個千兆位端口。Catalyst4000系列提供第二層的多千兆位互換體系結(jié)構(gòu)支持10/100/1000M的互換。模塊化的六槽Catalyst4006互換機采用業(yè)界領(lǐng)先的Catalyst5500/5000系列互換機軟件提供了用戶網(wǎng)絡(luò)解決方案中配線室所需的豐富的特性集。新的高性能體系結(jié)構(gòu)滿足現(xiàn)在和未來的發(fā)展96個10/100M以太端口或36個千兆位端口集于一個管理單元，吞吐量可以達成18Mpps，互換背板帶寬為24Gbps。Catalyst4000系列提供了足夠的帶寬和可擴展性以滿足客戶服務(wù)器系統(tǒng)所需的帶寬和相應(yīng)時間。模塊化機架Catalyst4000系列以太網(wǎng)互換機提供了廣泛的從10/100M到千兆位的端口密度，它提供了：一個六槽的模塊化機架，其中一個槽口用于管理引擎，此外五個槽口用于互換模塊。兩個電源槽口支持冗余的負(fù)載均衡容錯的電源供應(yīng)，電源DC/AC可選。一個熱互換的風(fēng)扇槽口單一IP地址管理端口，電源和鏈路冗余。配置的靈活性和模塊化的優(yōu)勢Catalyst4000支持如下四中互換模塊48口10/100M以太網(wǎng)模塊32口10/100M+2口千兆位上連模塊6口千兆位模塊18口千兆位模塊Catalyst4000端口密度配置范圍Catalyst4003最大支持一個管理模塊和兩個互換模塊，支持從配線室（96個10/100M以太口）到數(shù)據(jù)中心服務(wù)器陣列（36個千兆位服務(wù)器連接）。Catalyst4006最大支持一個管理模塊和五個互換模塊，支持從配線室（240個10/100M以太口）到數(shù)據(jù)中心服務(wù)器陣列（36個千兆位服務(wù)器連接）?？蓴U展性和彈性由于模塊化的靈活性和模塊速度的多樣性可以可以很容易地在現(xiàn)在或未來上升到千兆位。Catalyst4000系列用來滿足客戶從一定帶寬到多千兆性能（采用GEC，每個GEC邏輯鏈路可達8Gbps）的需求。此外，Catalyst4000滿足設(shè)備冗余，鏈路彈性和網(wǎng)絡(luò)可用性，直接提供應(yīng)個人用戶，服務(wù)器，打印機和數(shù)據(jù)中心指定的帶寬。冗余能力為了保證可靠性，容錯的網(wǎng)絡(luò)運作，Catalyst4000支持冗余負(fù)載均衡的電源供應(yīng)。采用UplinkFast和PortFast的端口冗余。采用FEC和GEC的鏈路冗余。高速服務(wù)器陣列連接Catalyst4006互換系統(tǒng)是一個公司級10/100/1000以太網(wǎng)互換機重要目的是中密度的第二層互換配線室，此外，Catalyst4000也可以配置成一個千兆位以太網(wǎng)互換機做網(wǎng)絡(luò)服務(wù)器陣列應(yīng)用。特性Catalyst4006模塊槽數(shù)6可用模塊548口10/100M自適應(yīng)6口GE模塊18口GE模塊背板帶寬60Gbps可堆疊性無最大VLAN數(shù)1024802.1Q有ISL無Catalyst4000系列新推出了三層互換的模塊，整個互換機的三層互換能力隨三層互換模塊的增長而增長，每個三層模塊的第三層互換能力為48MPPS。CiscoWorks2023LAN管理解決方案2.0局域網(wǎng)管理解決方案（LMS）是CiscoWorks2023網(wǎng)絡(luò)管理系列產(chǎn)品之一。它為園區(qū)網(wǎng)提供了配置、管理、監(jiān)控、故障檢測與維修工具，同時還涉及了用于管理局域網(wǎng)互換和路由環(huán)境的應(yīng)用軟件。運用Internet的開放式標(biāo)準(zhǔn)及Cisco設(shè)備與操作系統(tǒng)的內(nèi)在功能，局域網(wǎng)管理解決方案使網(wǎng)絡(luò)管理員可以有效地管理整個局域網(wǎng)或園區(qū)網(wǎng)。Web瀏覽器為關(guān)鍵應(yīng)用提供了便于使用的接口，如拓?fù)溆诚?、配置服?wù)以及有關(guān)園區(qū)互換網(wǎng)的重要系統(tǒng)、設(shè)備、故障和性能等信息情況。由于上述應(yīng)用是具有Web和瀏覽器訪問功能的，因此管理員可從網(wǎng)絡(luò)的任何地方自由獲取這些網(wǎng)絡(luò)工具。局域網(wǎng)管理解決方案提供的靈活的安裝能力使其可以安裝在常用的網(wǎng)絡(luò)管理系統(tǒng)（NMS）產(chǎn)品之外，或者與之并列安裝。鑒于其Web結(jié)構(gòu)，局域網(wǎng)管理解決方案工具可與任何在網(wǎng)絡(luò)中運營的不同服務(wù)器上的常用NMS相集成。局域網(wǎng)管理解決方案與其他CiscoWorks2023解決方案同樣，不需要預(yù)先配置NMS，并可以隨時直接添加到您的網(wǎng)絡(luò)中。這種多供應(yīng)商并存與鏈接能力代表了Cisco一貫追求生態(tài)體系的方針：即采用基于瀏覽器的訪問性和集成技術(shù)，為您提供一種端到端的Intranet管理形式。局域網(wǎng)管理解決方案為園區(qū)網(wǎng)管理工具奠定了堅實的基礎(chǔ)，并對CiscoWorks2023的其他產(chǎn)品給予補充。例如，路由WAN管理解決方案體現(xiàn)了廣域網(wǎng)的需要。服務(wù)管理解決方案則為定義和管理服務(wù)級協(xié)議提供了一種集中管理方法。而虛擬專網(wǎng)/安全性管理解決方案將web應(yīng)用集成起來，有助于安裝和監(jiān)控虛擬專網(wǎng)及其安全設(shè)備?？傊珻iscoWorks2023系列產(chǎn)品為管理Cisco的重要業(yè)務(wù)網(wǎng)絡(luò)提供了具有領(lǐng)先技術(shù)水平的解決方案。今天，局域網(wǎng)成為商業(yè)基礎(chǔ)設(shè)施的重要組成和關(guān)鍵系統(tǒng)。局域網(wǎng)的管理也已經(jīng)從以設(shè)備為中心轉(zhuǎn)變?yōu)橐怨芾韨鬏敂?shù)據(jù)和語音流的內(nèi)容感知信息系統(tǒng)為中心。這就規(guī)定具有快速、方便地配置與監(jiān)控網(wǎng)絡(luò)設(shè)備的能力，以便隨時可以提供連接和服務(wù)。盡早發(fā)現(xiàn)網(wǎng)絡(luò)狀態(tài)的變化已成為排除潛在故障的關(guān)鍵。局域網(wǎng)管理解決方案提供了滿足上述需要的多種工具，它集成了最先進的偵測技術(shù)、端口分派工具、高級連接分析和配置管理工具、設(shè)備與網(wǎng)絡(luò)診斷工具等，其能力涉及故障管理、遠(yuǎn)程監(jiān)控、流量監(jiān)控等。而所有的功能都建構(gòu)在一個便于使用的框架中。局域網(wǎng)管理解決方案集成了多種用于配置、監(jiān)控和維護園區(qū)網(wǎng)的應(yīng)用與工具。其設(shè)計體現(xiàn)了當(dāng)今Cisco的網(wǎng)絡(luò)技術(shù)，同時也為管理未來的網(wǎng)絡(luò)需要提供了一種靈活的框架。局域網(wǎng)管理解決方案涉及面向操作的多種工具，如故障管理、可擴展的拓?fù)錂z查、高級配置、第2層/第3層途徑分析、語音支持途徑追蹤、流量監(jiān)控、終端工作站跟蹤工作流應(yīng)用服務(wù)器管理以及設(shè)備故障維修等等。局域網(wǎng)管理解決方案創(chuàng)建在CiscoWorks2023常用服務(wù)器基礎(chǔ)上。這種設(shè)計將數(shù)據(jù)收集、監(jiān)控和分析工具鏈接起來，方便了在應(yīng)用間運營工作流--所有工作都可以通過一種臺式計算機應(yīng)用來完畢。譬如，某個抱怨反映時間太長的用戶可以運用局域網(wǎng)管理解決方案中的第2層途徑工具來自動搜集存儲在某個數(shù)據(jù)庫中的用戶途徑信息，并在拓?fù)溆诚笾姓业剿褂玫脑O(shè)備，從而可以快速地進行診斷。此外，它還可以迅速檢查互換機和路由器的配置情況，或者迅速檢查遠(yuǎn)程監(jiān)視器的數(shù)據(jù)傳輸，從而發(fā)現(xiàn)異常情況或也許出現(xiàn)的變化。上述操作可以從一個或多個應(yīng)用中獲取信息。Web級集成技術(shù)提供了創(chuàng)建多供應(yīng)商管理生態(tài)體系的能力。局域網(wǎng)管理解決方案運用Internet標(biāo)準(zhǔn)來將最先進的工具結(jié)合起來，并通過數(shù)據(jù)和任務(wù)集成標(biāo)準(zhǔn)來發(fā)揮這些工具的功能。通過采用業(yè)界數(shù)據(jù)共享標(biāo)準(zhǔn)--公用信息模型（CIM）和XML，局域網(wǎng)管理解決方案提供了析取數(shù)據(jù)和與常用網(wǎng)絡(luò)管理平臺產(chǎn)品結(jié)合使用的工具。與局域網(wǎng)管理解決方案結(jié)合，Cisco提供了一系列完整的專用硬件探測器。專用探測器涉及