數(shù)碼酒店網(wǎng)絡(luò)方案模板

數(shù)碼酒店網(wǎng)絡(luò)方案資料內(nèi)容僅供參考，如有不當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系本人改正或者刪除。希爾頓數(shù)碼酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成目錄TOC\o"1-3"一、概述 11.1計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)背景 11.2計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成方案遵循的原則 11.3計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成方案遵循的標(biāo)準(zhǔn)及協(xié)議 2二、用戶需求分析 3三、方案設(shè)計(jì) 53.1網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) 51、網(wǎng)絡(luò)技術(shù)分析 52.總體方案詳解 63.設(shè)備選型 93.2服務(wù)器系統(tǒng)設(shè)計(jì) 153.3UPS系統(tǒng)設(shè)計(jì) 253.4網(wǎng)絡(luò)操作系統(tǒng)設(shè)計(jì) 27概述1計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)背景在競(jìng)爭(zhēng)激烈的今天,信息就意味著成功;而計(jì)算機(jī)網(wǎng)絡(luò)－將各種個(gè)人電腦、服務(wù)器、工作站和其它硬件經(jīng)過相應(yīng)軟件全部聯(lián)接于一個(gè)共用的系統(tǒng)－在幫助企業(yè)贏得戰(zhàn)略優(yōu)勢(shì)上起著重要作用,讓你跨越辦公室地理位置的限制快速、方便、可靠地傳送數(shù)據(jù)?？墒?今天的網(wǎng)絡(luò)將不能滿足明日的需求。功能日益強(qiáng)大的應(yīng)用系統(tǒng),不斷增加的用戶,以及近來出現(xiàn)的對(duì)聲音、圖像和多媒體信息的支持,使現(xiàn)有網(wǎng)絡(luò)解決方案不堪重負(fù)。為了配合形勢(shì),需要一種從根本上全新的技術(shù)來支持實(shí)時(shí)的信息系統(tǒng),以便在未來數(shù)年內(nèi)保持競(jìng)爭(zhēng)優(yōu)勢(shì)。交換技術(shù)是未來網(wǎng)絡(luò)發(fā)展的方向,是提高網(wǎng)絡(luò)帶寬到1000M的關(guān)鍵,交換技術(shù)主持用戶之間多條專有線路的高速連接,消除帶寬的瓶頸,同時(shí)為大型網(wǎng)絡(luò)提供了一個(gè)強(qiáng)而有力的、大規(guī)模、可伸縮的解決方案。交換式互聯(lián)網(wǎng)絡(luò)提供了使您的業(yè)務(wù)走向未來的虛擬網(wǎng)絡(luò)能力。從今日網(wǎng)絡(luò)的實(shí)際限制中解脫出來,這一體系結(jié)構(gòu)讓您建立一個(gè)可擴(kuò)展的、高性能的、易于使用的企業(yè)信息系統(tǒng)。另外,這項(xiàng)技術(shù)不但支持?jǐn)?shù)據(jù),還支持聲音、影像和多媒體的應(yīng)用,這正滿足了您對(duì)未來的需要。1.2計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成方案遵循的原則根據(jù)當(dāng)前的需求和未來的發(fā)展,我們本著以下的原則,提供網(wǎng)絡(luò)設(shè)計(jì)方案。(1)標(biāo)準(zhǔn)化計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)就是要實(shí)現(xiàn)網(wǎng)絡(luò)信息及設(shè)備資源的共享,實(shí)現(xiàn)方便的信息交流,完成不同廠商的設(shè)備和計(jì)算機(jī)軟件的互連。在一個(gè)復(fù)雜的大型網(wǎng)絡(luò)系統(tǒng)里,必然有多個(gè)廠商的硬件及軟件,為了保證用戶的網(wǎng)絡(luò)系統(tǒng)具有互操作性、可用性、可靠性、可擴(kuò)充性、可管理性,應(yīng)建立一個(gè)開放式,遵循國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)。避免造成用戶在網(wǎng)絡(luò)使用上的局限性。(2)可擴(kuò)展性由于用戶業(yè)務(wù)的不斷擴(kuò)展,網(wǎng)絡(luò)系統(tǒng)必然隨之不斷擴(kuò)大。因此,當(dāng)前的網(wǎng)絡(luò)設(shè)計(jì)必須為今后的擴(kuò)充留有足夠的余地,以保護(hù)投資,使設(shè)計(jì)的計(jì)算機(jī)系統(tǒng)能夠在一定的時(shí)間內(nèi)得以滿足不斷增長(zhǎng)的應(yīng)用需求。(3)先進(jìn)性當(dāng)今世界,通信和計(jì)算機(jī)技術(shù)的發(fā)展日新月異。我們的方案要適應(yīng)新技術(shù)發(fā)展的潮流,滿足用戶對(duì)新應(yīng)用的需求,并保證網(wǎng)絡(luò)系統(tǒng)在若干年內(nèi)不落伍,適應(yīng)飛速發(fā)展的科學(xué)技術(shù)。(4)有效性和可靠性我們的方案要充分考慮用戶的具體情況,不但理論上可行,更重要的是實(shí)際上可用和高效。最好地適應(yīng)用戶需求。為了使網(wǎng)絡(luò)能可靠地運(yùn)行,我們方案中要選用高品質(zhì)的產(chǎn)品,把故障率降到最低,另一方面,我們要使用系統(tǒng)容錯(cuò)技術(shù),從而使停機(jī)損失率降到最低。(5)可管理性隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的增加,管理和故障排除就越來越困難?，F(xiàn)在的工作越來越多地依靠計(jì)算機(jī)系統(tǒng),計(jì)算機(jī)將成為必不可少的辦公設(shè)備,計(jì)算機(jī)系統(tǒng)的故障會(huì)給我們帶來的損失將越來越大。為了減少損失,盡快地排除故障是十分必要的,因此使用的網(wǎng)絡(luò)設(shè)備具備網(wǎng)管的能力,而且擁有一套良好的網(wǎng)絡(luò)管理軟件也就顯得越來越重要。它能夠減少故障排除時(shí)間,優(yōu)化網(wǎng)絡(luò)性能,節(jié)省開支,創(chuàng)造效益。我們的方案將提供先進(jìn)而完善的網(wǎng)絡(luò)管理。同時(shí)保證網(wǎng)絡(luò)易于管理和維護(hù)也是網(wǎng)絡(luò)安全運(yùn)行、可靠有效的重要因素。(6)易用性任何一項(xiàng)高端的科學(xué)技術(shù)(包括計(jì)算機(jī)網(wǎng)絡(luò))開發(fā)的目的是更好的服務(wù)與人類的工作、學(xué)習(xí)、生活,提高人們的辦事效率,降低工作強(qiáng)度,提高工作質(zhì)量。這就要求計(jì)算機(jī)網(wǎng)絡(luò)的開發(fā)具有良好的易用性,成為工作的助手。1.3計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成方案遵循的標(biāo)準(zhǔn)及協(xié)議IEEE802.3:廣播總線網(wǎng)絡(luò)系統(tǒng)IEEE802.3u100Base-TX:快速以太網(wǎng)銅電纜標(biāo)準(zhǔn)IEEE802.3u100Base-FX:快速以太網(wǎng)光纖標(biāo)準(zhǔn)IEEE802.3z1000Base-TX:千兆以太網(wǎng)銅電纜標(biāo)準(zhǔn)IEEE802.3z1000Base-SX:千兆以太網(wǎng)光纖標(biāo)準(zhǔn)IEEEStd802.3:Nway自適應(yīng)IEEE802.3x全雙工流量控制IEEE802.3p優(yōu)先級(jí)隊(duì)列IEEE802.9集成音頻和數(shù)據(jù)局域網(wǎng)標(biāo)準(zhǔn)IEEE802.10局域網(wǎng)內(nèi)的安全性標(biāo)記信息包IEEE802.1QVLAN標(biāo)記對(duì)具有VLAN的802.1的過濾控制TCP/IP協(xié)議:傳輸控制層協(xié)議/Internet協(xié)議CSMA/CD協(xié)議:帶沖突檢測(cè)的載波檢測(cè)多路訪問協(xié)議DHCP協(xié)議:動(dòng)態(tài)主機(jī)配置協(xié)議DLCI協(xié)議:數(shù)據(jù)鏈路連接標(biāo)識(shí)協(xié)議EGP協(xié)議:外部網(wǎng)關(guān)協(xié)議EIGRP協(xié)議:增強(qiáng)內(nèi)部網(wǎng)關(guān)路由協(xié)議ICMP協(xié)議:網(wǎng)間控制報(bào)文協(xié)議IGRP協(xié)議:內(nèi)部網(wǎng)關(guān)路由協(xié)議IPX/SPX協(xié)議:網(wǎng)際包交換/順序包交換網(wǎng)絡(luò)協(xié)議HDLC協(xié)議:高級(jí)數(shù)據(jù)鏈路控制協(xié)議PPP協(xié)議:點(diǎn)對(duì)點(diǎn)協(xié)議QoS協(xié)議:服務(wù)質(zhì)量控制協(xié)議RMON協(xié)議:遠(yuǎn)程網(wǎng)絡(luò)控制協(xié)議SMTP協(xié)議:簡(jiǎn)單郵件傳輸協(xié)議SNAP協(xié)議:標(biāo)準(zhǔn)網(wǎng)絡(luò)訪問協(xié)議SNMP協(xié)議:簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議用戶需求分析希爾頓數(shù)碼酒店將建設(shè)成為一個(gè)五星級(jí)的現(xiàn)代化的國(guó)際酒店,專門為國(guó)際、國(guó)內(nèi)高級(jí)商務(wù)人士提供的住宿、娛樂、休閑的高檔場(chǎng)所,同時(shí)提供大型國(guó)際會(huì)議的全套服務(wù)措施。在當(dāng)今信息社會(huì),電子商務(wù)的興起,正在改變著傳統(tǒng)的商業(yè)操作模式,商務(wù)運(yùn)作更依賴于高速、穩(wěn)定、可靠的信息網(wǎng)絡(luò)平臺(tái),作為國(guó)際現(xiàn)代化酒店為客人提供優(yōu)越的商務(wù)辦公環(huán)境是必不可少的,使客人完全能夠完成在公司辦公室能夠?qū)崿F(xiàn)的功能,不但如此還要保證個(gè)人信息資源的安全性和隱秘性。高速高帶寬的信息高速公路網(wǎng)絡(luò)主干為1000M交換式快速以太網(wǎng),能夠?qū)崿F(xiàn)多種多樣的應(yīng)用,例如:電視會(huì)議、多媒體文件傳輸、電子商務(wù)等等,為應(yīng)用系統(tǒng)的建設(shè)打下良好的物質(zhì)基礎(chǔ),滿足當(dāng)前與未來網(wǎng)絡(luò)系統(tǒng)及應(yīng)用系統(tǒng)對(duì)帶寬的需要。遠(yuǎn)程辦公智能化入住的客人能夠經(jīng)過酒店的網(wǎng)絡(luò)平臺(tái),在客房里就能夠訪問到自己公司的網(wǎng)絡(luò)資源,進(jìn)行信息資源的調(diào)用,而且能夠?qū)崿F(xiàn)諸如電子郵件的收發(fā)、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)FAX、網(wǎng)絡(luò)打印、遠(yuǎn)程管理等現(xiàn)代化手段,與公司保持事實(shí)的聯(lián)系。而且提供嚴(yán)密的安全保護(hù)措施,保證客人的商業(yè)機(jī)密的安全。高效率的辦公自動(dòng)化系統(tǒng)辦公及業(yè)務(wù)處理將走向現(xiàn)代化,形成新的,符合現(xiàn)代業(yè)務(wù)特點(diǎn)的方式,管理更加科學(xué)化,效率更高。領(lǐng)導(dǎo)經(jīng)過查詢系統(tǒng)能夠方便、快捷的對(duì)信息中心的財(cái)務(wù)狀況、人事材料、公司文檔等資料進(jìn)行查詢,信息中心的狀況一目了然。全面的統(tǒng)計(jì)分析和領(lǐng)導(dǎo)決策支持系統(tǒng)針對(duì)某一重大問題,酒店管理層能夠在網(wǎng)上展開調(diào)查,并對(duì)反饋的結(jié)果進(jìn)行分析,作出最后的決策,交領(lǐng)導(dǎo)決策層討論。對(duì)公司內(nèi)調(diào)查時(shí)節(jié)省了人員集散時(shí)間,縮短了問題反饋時(shí)間,對(duì)外地還可經(jīng)過Internet對(duì)遠(yuǎn)在千里之外的用戶展開調(diào)查,提高了對(duì)重大問題的快速反應(yīng)能力。財(cái)務(wù)管理的計(jì)算機(jī)化財(cái)務(wù)核算實(shí)現(xiàn)計(jì)算機(jī)管理,使管理的過程更加簡(jiǎn)單、可靠;會(huì)計(jì)核算更加快速、準(zhǔn)確,能夠及時(shí)的向領(lǐng)導(dǎo)、稅務(wù)部門、主管部門反應(yīng)公司的財(cái)務(wù)、資金狀況;各種分錄、帳目更加整齊,易于查詢、統(tǒng)計(jì),打印更加美觀、迅速。計(jì)算機(jī)自動(dòng)化控制將使財(cái)會(huì)核算過程更為高效、便捷、可靠。經(jīng)過Internet,掌握世界經(jīng)濟(jì)、科技動(dòng)向網(wǎng)上信息傳播的速度較其它煤體更快、更新,酒店管理層可隨時(shí)查閱世界各地的經(jīng)濟(jì)信息,做到足不出戶,就能夠縱覽天下,隨時(shí)掌握世界經(jīng)濟(jì)動(dòng)態(tài),隨時(shí)作出決策。電子郵件的廣泛使用,使得信件的傳遞更加迅速,以往幾天才能到達(dá)的信件,經(jīng)過網(wǎng)絡(luò)只需幾分鐘即可送到。能夠隨時(shí)與上級(jí)主管部門匯報(bào)工作,與有關(guān)單位進(jìn)行業(yè)務(wù)往來。也能夠經(jīng)過網(wǎng)絡(luò)與員工進(jìn)行交流。信息電子化,實(shí)現(xiàn)無紙化辦公信息的存儲(chǔ)及傳輸大量采用電子化手段,使得信息的查詢、傳遞更加方便、快捷,同時(shí)無紙化辦公的實(shí)現(xiàn),節(jié)省了大量的辦公費(fèi)用,適應(yīng)了當(dāng)今信息化時(shí)代的需要。信息化酒店管理客人能夠在客房?jī)?nèi)瀏覽互聯(lián)網(wǎng),能夠經(jīng)過網(wǎng)絡(luò)預(yù)定房間,查詢服務(wù)項(xiàng)目、價(jià)格。能夠進(jìn)行房源管理、房態(tài)查詢、預(yù)訂查詢、客帳查詢、客戶登記、消費(fèi)結(jié)算等現(xiàn)代化管理。電子商場(chǎng),網(wǎng)絡(luò)交易建立自己的網(wǎng)站,發(fā)布服務(wù)信息、服務(wù)報(bào)價(jià)、電子交易、進(jìn)行網(wǎng)上拍賣,對(duì)外地的員工進(jìn)行網(wǎng)上培訓(xùn)。堅(jiān)固的網(wǎng)絡(luò)防衛(wèi)措施網(wǎng)絡(luò)建設(shè)應(yīng)具備良好的防衛(wèi)手段,以防止惡意的侵入和破壞,保護(hù)網(wǎng)絡(luò)的健康、穩(wěn)定、可靠的運(yùn)行。防止公司資源和信息、數(shù)據(jù)的泄漏。方案設(shè)計(jì)3.1網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)1、網(wǎng)絡(luò)技術(shù)分析(1)、快速以太網(wǎng)交換(100BASE-TX,100BASE-FX)快速以太網(wǎng)交換是采用高速交換技術(shù),推出的目的就是將帶寬密集型資源(如服務(wù)器或臺(tái)式交換機(jī))的性能提高一個(gè)等級(jí),站點(diǎn)數(shù)增加會(huì)不導(dǎo)致每個(gè)站點(diǎn)可用帶寬降低。使用標(biāo)準(zhǔn)的IEEE802.3u協(xié)議,是建立在以太網(wǎng)的基礎(chǔ)上的,它的與以太網(wǎng)的兼容性、經(jīng)濟(jì)有效性及穩(wěn)定性已經(jīng)使其成為應(yīng)用最廣泛的高速網(wǎng)絡(luò)技術(shù)之一。快速以太網(wǎng)的傳輸介質(zhì)是100BASE-FX光纖和100BASE-TX銅纜。另外它能夠支持全雙工操作,使網(wǎng)絡(luò)帶寬增加一倍,獲得更佳的網(wǎng)絡(luò)性能。在光纖鏈路下連接不超過半徑2Km,雙絞線不超過100M,拓?fù)浣Y(jié)構(gòu)為星形結(jié)構(gòu),支持多鏈路備份,但在較大網(wǎng)絡(luò)中收斂速度慢。(2)、FDDIFDDI是采用共享介質(zhì)的技術(shù),站點(diǎn)數(shù)增加會(huì)導(dǎo)致每個(gè)站點(diǎn)可用帶寬降低,拓?fù)浣Y(jié)構(gòu)為雙環(huán),最大距離可支持200Km,雙向傳輸速率最高可達(dá)到200Mbps,不適于多媒體應(yīng)用,支持雙鏈路冗余,容錯(cuò)性能較好,標(biāo)準(zhǔn)完備,技術(shù)成熟?？蓸?gòu)造大型網(wǎng)絡(luò),但帶寬不可擴(kuò)展,是上一代的大型網(wǎng)絡(luò)連接產(chǎn)品。(3)、100VG-AnyLAN物理介質(zhì)存取方式:DemandPriorityPolling,一種新的但未被廣泛接受的技術(shù)。有一定的實(shí)時(shí)性,不適于構(gòu)造大型網(wǎng)絡(luò),適用于工作組。支持的廠商很少。(4)、ATM是網(wǎng)絡(luò)發(fā)展的方向,全交換式網(wǎng)絡(luò),數(shù)據(jù)以信元格式定長(zhǎng)傳輸,傳輸速度快,速率可增長(zhǎng),155M-622M(當(dāng)前最高速率622Mbps),面向連接的技術(shù)。實(shí)時(shí)性強(qiáng),很好地支持多媒體應(yīng)用。站點(diǎn)數(shù)增加不會(huì)導(dǎo)致每個(gè)站點(diǎn)可用帶寬降低。支持多條鏈路冗余和備份,容錯(cuò)性好,帶寬高且可增長(zhǎng),提供良好的QoS機(jī)制,適于構(gòu)造大型網(wǎng)絡(luò)甚至廣域網(wǎng)。多業(yè)務(wù)寬帶骨干ATM技術(shù)ATM技術(shù)早在90年代初就已經(jīng)被提出,只是由于技術(shù)需進(jìn)一步成熟,市場(chǎng)需求未形成,在當(dāng)時(shí)并沒有被投入實(shí)用。發(fā)展到90年代中后期,承載業(yè)務(wù)技術(shù)迅速發(fā)展,電信用戶對(duì)網(wǎng)絡(luò)服務(wù)種類和服務(wù)質(zhì)量要求不斷提高,而當(dāng)時(shí)多數(shù)電信運(yùn)營(yíng)商采用的是TDM網(wǎng)絡(luò)和X.25網(wǎng)絡(luò),無法適應(yīng)當(dāng)時(shí)的網(wǎng)絡(luò)情況來滿足這些不同的用戶需求,因此必須采用一種全新的網(wǎng)絡(luò)技術(shù)來滿足市場(chǎng)需求;ATM技術(shù)此時(shí)已經(jīng)基本成熟,同時(shí)由于市場(chǎng)需求的驅(qū)動(dòng),ATM技術(shù)成為一種被廣大電信運(yùn)營(yíng)商采用的寬帶骨干技術(shù)。仔細(xì)分析一下市場(chǎng)情況,據(jù)瑞典電信的統(tǒng)計(jì)和預(yù)測(cè),當(dāng)前話音業(yè)務(wù)的發(fā)展已經(jīng)趨于飽和,業(yè)務(wù)增長(zhǎng)正在趨于平緩,這是由于話音業(yè)務(wù)的特點(diǎn)是:實(shí)時(shí)性,單一性,以及業(yè)務(wù)量的穩(wěn)定性,已擁有的電話基礎(chǔ)網(wǎng)絡(luò)已經(jīng)能夠滿足話音業(yè)務(wù)的需求。而數(shù)據(jù)業(yè)務(wù)近幾年來增長(zhǎng)很快,并將在未來的兩年內(nèi)()達(dá)到所有業(yè)務(wù)占有率的70-80%以上;同時(shí)視頻、圖象等多媒體的應(yīng)用需求也有較大增長(zhǎng),主要在公眾娛樂方面。與傳統(tǒng)電話業(yè)務(wù)相比較,這些新出現(xiàn)和增長(zhǎng)的業(yè)務(wù)特點(diǎn)主要為:高突發(fā)性,高速率,多種服務(wù)質(zhì)量要求。ATM采用統(tǒng)計(jì)復(fù)用技術(shù),以固定長(zhǎng)度的信元(53個(gè)字節(jié))傳送數(shù)據(jù),為用戶提供虛擬電路(VC),即具有TDM的特點(diǎn)有兼顧統(tǒng)計(jì)復(fù)用的優(yōu)勢(shì),同時(shí)具有優(yōu)越的流量管理機(jī)制,是滿足以上多種業(yè)務(wù)用戶需求的合適技術(shù)。采用ATM技術(shù)組建的基礎(chǔ)網(wǎng)絡(luò)的特點(diǎn)(1)多媒體業(yè)務(wù):由于ATM采用統(tǒng)計(jì)復(fù)用的技術(shù),能夠動(dòng)態(tài)分配帶寬,對(duì)于具有突發(fā)性特點(diǎn)的數(shù)據(jù)業(yè)務(wù)來說極為有利;同時(shí),ATM以固定長(zhǎng)度的信元傳送用戶業(yè)務(wù),又能夠保證對(duì)時(shí)延敏感的用戶的需求,如話音等。另外,對(duì)于傳送多媒體業(yè)務(wù)應(yīng)用的ATM網(wǎng)絡(luò)來說,最不同于傳統(tǒng)網(wǎng)絡(luò)的方面就是要面對(duì)多種不同特點(diǎn)的用戶信息,為了滿足這樣的用戶需求,ATM技術(shù)中規(guī)定了多種服務(wù)質(zhì)量級(jí)別,而且擁有相應(yīng)的服務(wù)質(zhì)量保證機(jī)制。因此,ATM對(duì)于多媒體業(yè)務(wù)應(yīng)用是最理想的網(wǎng)絡(luò)技術(shù);(2)充分利用寶貴的中繼帶寬以及優(yōu)越的QOS保證機(jī)制ATM技術(shù)的最大特點(diǎn)之一就是具有優(yōu)越的流量管理機(jī)制。ATM論壇的TM4.0規(guī)范規(guī)定了一套完整的閉環(huán)式(主動(dòng))擁塞管理機(jī)制,不但能夠?qū)砣l(fā)生的可能性降低到最小,還能夠在先進(jìn)的交換機(jī)緩存和排隊(duì)機(jī)制配合下將中繼帶寬的利用率提高到95%以上,從而最大限度上利用了寶貴的中繼帶寬,為網(wǎng)絡(luò)運(yùn)營(yíng)商帶來及其客觀的經(jīng)濟(jì)效益。同時(shí)優(yōu)越的管理機(jī)制也保證了不同用戶的QOS。(3)硬件處理速度ATM采用固定長(zhǎng)度的信元傳送數(shù)據(jù),使用戶業(yè)務(wù)信息的擁入成為可預(yù)見的,加上先進(jìn)的硬件芯片技術(shù),使得ATM交換機(jī)完全采用硬件技術(shù)來完成ATM信元的交換。因此采用ATM技術(shù)的網(wǎng)絡(luò)速度能夠提高到硬件處理速度,完全滿足現(xiàn)代用戶不斷增長(zhǎng)的傳送速率要求。(4)為IP業(yè)務(wù)提供有效的技術(shù)傳送平臺(tái)如本文開頭所述,IP業(yè)務(wù)已經(jīng)發(fā)生突飛猛進(jìn)的增長(zhǎng),而且還將繼續(xù)這種增長(zhǎng)勢(shì)頭,因此,在基礎(chǔ)網(wǎng)絡(luò)平臺(tái)上傳送的用戶業(yè)務(wù)大多數(shù)為IP業(yè)務(wù)應(yīng)用,采用什么樣的網(wǎng)絡(luò)平臺(tái)傳送IP業(yè)務(wù)就顯得特別重要。ATM技術(shù)平臺(tái)能夠?yàn)镮P業(yè)務(wù)提供有效的傳送通道。主要的流量管理機(jī)制由于QOS以及擁塞控制機(jī)制是ATM特別突出于其它技術(shù)的特點(diǎn),本文將重點(diǎn)描述ATM的流量管理技術(shù)。流量管理機(jī)制和服務(wù)質(zhì)量保證機(jī)制主要包括:流量監(jiān)管UPC,輸入端隊(duì)列管理,中繼隊(duì)列管理,智能幀丟失,閉環(huán)式擁塞控制機(jī)制以及動(dòng)態(tài)緩存機(jī)制(1)流量監(jiān)管UPCUPC位于交換機(jī)的入口處,起到數(shù)據(jù)流量的監(jiān)視管理作用。當(dāng)用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時(shí),首先由UPC機(jī)制監(jiān)管,衡量用戶數(shù)據(jù)是否符合合同,符合合同,則順利送入網(wǎng)絡(luò);若不符合合同,則有兩種做法:或者簡(jiǎn)單丟棄;或者在不符合合同的信元上打標(biāo)記(CLP=1)。交換機(jī)采用雙漏筒(DualLeakyBucket)機(jī)制進(jìn)行計(jì)算。(2)輸入端隊(duì)列管理Per-VC-Queuing:在網(wǎng)絡(luò)輸入端,交換機(jī)應(yīng)采用Per-VC-Queuing和Per-VC-RateScheduling的隊(duì)列管理(見下圖),來保證業(yè)務(wù)的QOS和不同用戶之間的公正性。每個(gè)用戶連接有自己的緩沖隊(duì)列,交換機(jī)根據(jù)該連接的參數(shù)和網(wǎng)絡(luò)使用情況對(duì)該隊(duì)列進(jìn)行服務(wù)(Service)。Per-VC-Queuing和Per-VC-RateSchedduling機(jī)制保證了每個(gè)用戶連接的帶寬分配,同時(shí)在用戶間提供了防火墻,防止了用戶間的相互影響。若網(wǎng)絡(luò)接入VC1,VC2和VC3三個(gè)用戶,其業(yè)務(wù)量分別進(jìn)入各自的隊(duì)列,交換機(jī)根據(jù)三個(gè)用戶經(jīng)過CAC與網(wǎng)絡(luò)簽訂的合同中的業(yè)務(wù)描述參數(shù)(PCR,SCR,MCR等)以及QOS參數(shù)(CLR,CTD等),決定三個(gè)用戶數(shù)據(jù)是否前傳以及傳送多少的動(dòng)作,由Per-VC-RateScheduling來調(diào)整三個(gè)用戶數(shù)據(jù)傳送速率的大小。這樣的操作不但能夠滿足不同用戶對(duì)QOS的不同需求,也保證了用戶數(shù)據(jù)之間傳送的公平性,其中任一用戶數(shù)據(jù)的突發(fā)都不會(huì)影響其它兩個(gè)用戶。綜上所述,Per-VC-Queuing確保了每個(gè)連接都有它自己的隊(duì)列和緩存區(qū),以保證每個(gè)連接的業(yè)務(wù)特性和QOS。這保證了較高級(jí)別的連接永遠(yuǎn)也不會(huì)受到較低連接或變化多端的網(wǎng)絡(luò)情況的影響。(3)中繼隊(duì)列管理業(yè)務(wù)級(jí)別的隊(duì)列在交換機(jī)的中繼上應(yīng)提供每一個(gè)業(yè)務(wù)級(jí)別的排隊(duì),與輸入端的per-Vc排隊(duì)結(jié)合在一起能夠改進(jìn)連接,區(qū)分業(yè)務(wù),以滿足不同客戶的需求。在一個(gè)交換平臺(tái)上支持多用戶業(yè)務(wù)和在它們之間共享帶寬的能力是基于ATM的交換結(jié)構(gòu)最富吸引力的優(yōu)點(diǎn)之一。當(dāng)輸入端采用UPCPolicing以及Per-VC-Queuing/Per-vc-Scheduling將用戶數(shù)據(jù)進(jìn)行了優(yōu)化和整形之后,OptiClass在中繼上為不同用戶的服務(wù)等級(jí)(如:CBR/VBR/ABR/UBR)進(jìn)行了QOS保證。交換機(jī)應(yīng)有足夠的中繼隊(duì)列,不但能夠支持現(xiàn)有的ATM業(yè)務(wù)級(jí)別:CBR、VBR-RT、VBR-NRT、ABR、UBR,還為IP業(yè)務(wù)的不同QOS奠定基礎(chǔ)。(有關(guān)IPCOS描述見本講座話題IPQOS)。同時(shí)還能夠?yàn)轱w速發(fā)展的用戶新應(yīng)用打下從硬件到軟件的良好基礎(chǔ),這是網(wǎng)絡(luò)業(yè)務(wù)可擴(kuò)展性的一個(gè)重要體現(xiàn)。(4)智能丟幀機(jī)制(IPD)在ATM網(wǎng)絡(luò)中傳送的數(shù)據(jù),無論原來數(shù)據(jù)包的大下,均會(huì)被砍成53個(gè)字節(jié)的ATM信元,當(dāng)其中有一個(gè)信元丟失時(shí),用戶數(shù)據(jù)經(jīng)過網(wǎng)絡(luò)傳送到目的端,重新恢復(fù)成原有的數(shù)據(jù)包才會(huì)發(fā)現(xiàn)已經(jīng)有部分?jǐn)?shù)據(jù)丟失,由高層協(xié)議發(fā)出重傳請(qǐng)求。顯而易見,這種工作方式是非常沒有效率的,因?yàn)橛锌赡芫W(wǎng)絡(luò)中傳送著許多目的端用戶會(huì)丟棄的數(shù)據(jù),不但占用網(wǎng)絡(luò)珍貴的帶寬資源,也有可能造成擁塞。智能早丟包機(jī)制正是為了解決這個(gè)問題而出現(xiàn)的。其原理是:一旦發(fā)現(xiàn)數(shù)據(jù)丟失,就將整個(gè)數(shù)據(jù)包丟失(數(shù)據(jù)包的尾部除外),從而避免網(wǎng)絡(luò)中繼帶寬的浪費(fèi),而且將擁塞發(fā)生的可能性控制在網(wǎng)絡(luò)外部。IPD機(jī)制包括兩種:早丟包(EPD)機(jī)制,以及部分丟包機(jī)制(PPD),這種智能機(jī)制能夠使得信元級(jí)的傳輸損傷不被擴(kuò)大。交換機(jī)支持這兩種機(jī)制。EPD基于緩沖器大小以及閾值,當(dāng)閾值達(dá)到某一確定值時(shí),EDP機(jī)制判斷為擁塞會(huì)發(fā)生,于是預(yù)先把將要進(jìn)入緩沖器的整幀(最后一個(gè)帶有EOF的信元除外)丟棄,以避免擁塞的發(fā)生,提高網(wǎng)絡(luò)的有效吞吐量圖EarlyPacketDiscardSchemePPD的工作方式見下圖。PPD機(jī)制不采用閾值判斷的方式,而是當(dāng)網(wǎng)絡(luò)發(fā)生擁塞并開始丟棄信元時(shí),PPD機(jī)制將屬于同一幀的隨后所有信元最后一個(gè)帶有EOF的信元出外,全部丟棄,以避免無效信元占用網(wǎng)絡(luò)資源。CEP端能夠依靠最后一個(gè)帶有EOF的信元來確認(rèn)用戶幀,并要求重發(fā)。(5)ATM的閉環(huán)式擁塞控制ABRVSVDATMFROUM的TM4.0采用RM(ResourceManagement)信元作為反饋信息,反饋網(wǎng)絡(luò)資源的應(yīng)用情況。ATMTM4.0規(guī)定了四種方式:ATMTM4.0規(guī)定了四種方式:ABRwithEFCI,ABRwithERStamping,ABRwithExlicitcelltagging和ABRwithVS/VD(VirutalSource/VirtualDestination)。前三種均采用RM信元反饋網(wǎng)絡(luò)情況,但RM信元是反饋到CPE設(shè)備上,由CPE設(shè)備來控制用戶數(shù)據(jù)的發(fā)送情況,網(wǎng)絡(luò)并沒有主動(dòng)權(quán)來控制用戶數(shù)據(jù)的發(fā)送;而ABRVS/VD則是將網(wǎng)絡(luò)交換機(jī)虛設(shè)成源端和終端,RM信元反饋的情況由交換機(jī)作出反映,而且能夠在每個(gè)節(jié)點(diǎn)或一個(gè)網(wǎng)絡(luò)段的基礎(chǔ)上靈活地設(shè)置網(wǎng)絡(luò)內(nèi)的流量控制環(huán),如下圖所示。因此采用ABRVS/VD網(wǎng)絡(luò)的運(yùn)營(yíng)者才能夠主動(dòng)可根據(jù)每個(gè)網(wǎng)絡(luò)的規(guī)模,時(shí)延和網(wǎng)絡(luò)的跳數(shù)等要求設(shè)置網(wǎng)絡(luò)的VS/VD控制環(huán),以保證在網(wǎng)絡(luò)擁塞時(shí)不發(fā)生信元的丟失和業(yè)務(wù)的中斷。(6)動(dòng)態(tài)緩存管理實(shí)現(xiàn)更有效的擁塞管理交換機(jī)應(yīng)配有大型的緩存區(qū)和動(dòng)態(tài)緩存管理方案,用于保證延遲敏感和非敏感業(yè)務(wù)進(jìn)入或離開節(jié)點(diǎn)。交換機(jī)根據(jù)所呈現(xiàn)的業(yè)務(wù)量和業(yè)務(wù)級(jí)別協(xié)議逐個(gè)向虛擬電路動(dòng)態(tài)地分配緩存區(qū),既能保證業(yè)務(wù)量的最低要求,又能夠最有效地動(dòng)態(tài)使用緩存區(qū)。充分的緩存區(qū)隨時(shí)能夠適應(yīng)進(jìn)入節(jié)點(diǎn)的大規(guī)模業(yè)務(wù)量,防止網(wǎng)絡(luò)因發(fā)生與其它競(jìng)爭(zhēng)對(duì)手業(yè)務(wù)常見的擁塞和緩存區(qū)不足而造成的大規(guī)模丟棄現(xiàn)象,提高網(wǎng)絡(luò)的有效吞吐量。ATM上所開展的業(yè)務(wù),無論是幀中繼,ATM還是IP業(yè)務(wù)都具有很強(qiáng)的突發(fā)性。ATM骨干網(wǎng)交換機(jī)在除了能夠建立連接與高速交換信元這些基本的功能之外,也必須具有能夠有效的支持?jǐn)?shù)據(jù)突發(fā)的機(jī)制。這些機(jī)制有的在ATMForum里已直接有所述(ABRExplcitRate,ABRVS/VD),有些是間接的要求(PerVCQ),其中一個(gè)不在Forum的直接規(guī)范范圍內(nèi),但已是學(xué)術(shù)界或工業(yè)界一致同意的結(jié)論就是-網(wǎng)絡(luò)數(shù)據(jù)在ATMVC上傳輸?shù)亩说蕉诵阅苋Q于緩沖器的大小。沒有足夠的緩沖器,將造成在業(yè)務(wù)時(shí)突發(fā)時(shí)出現(xiàn)嚴(yán)重的數(shù)據(jù)丟失現(xiàn)象。當(dāng)信元流失現(xiàn)象發(fā)生時(shí),數(shù)據(jù)必須重發(fā),這會(huì)造成客戶應(yīng)用層的延遲增加,使客戶的吞吐量下降。如果網(wǎng)絡(luò)擁塞現(xiàn)象依然存在,重發(fā)的包/信元只會(huì)使擁塞惡化。重發(fā)的包也會(huì)在網(wǎng)絡(luò)里(擁塞處)被丟棄。綜上所述,ATM技術(shù)以其優(yōu)越的流量管理機(jī)制、適應(yīng)于各種QOS的多媒體業(yè)務(wù)需求等特點(diǎn)在現(xiàn)有網(wǎng)絡(luò)中得到很好的驗(yàn)證。(5)、千兆位以太網(wǎng)(GigabitEthernet)千兆以太網(wǎng)的標(biāo)準(zhǔn)已正式頒布。它能夠在園區(qū)網(wǎng)中提供高達(dá)1Gbps的帶寬,同時(shí)提供對(duì)原有的以太網(wǎng)環(huán)境自然簡(jiǎn)便的升級(jí)方式。千兆以太網(wǎng)采用同以太網(wǎng)、快速以太網(wǎng)、快速以太網(wǎng)同樣的CSMA/CD協(xié)議、同樣的包格式及同樣的包長(zhǎng),簡(jiǎn)化了對(duì)用戶原有網(wǎng)絡(luò)的升級(jí),提供了一定程度上的投資保護(hù)?？焖僖蕴W(wǎng)FDDIATM千兆以太網(wǎng)傳輸速率100M100M155M/622M1000M訪問方式CSMA/CD,碰撞TOKENPROTOCOL,無碰撞QoS信元交換帶優(yōu)先級(jí)的CSMA/CD,碰撞介質(zhì)類型雙絞線多模光纖單模光纖雙絞線(CDDI)多模光纖單模光纖雙絞線多模光纖單模光纖雙絞線多模光纖單模光纖產(chǎn)品標(biāo)準(zhǔn)化程度高程度高實(shí)現(xiàn)方案接近標(biāo)準(zhǔn)實(shí)現(xiàn)方案標(biāo)準(zhǔn)價(jià)格低高高中拓?fù)浣Y(jié)構(gòu)星型結(jié)構(gòu)雙環(huán)結(jié)構(gòu)星型結(jié)構(gòu)星型結(jié)構(gòu)適用范圍局域網(wǎng)城域網(wǎng)城域網(wǎng)園區(qū)網(wǎng)千兆以太網(wǎng)在保持快速以太網(wǎng)CSMA/CD基本結(jié)構(gòu)的同時(shí)提供1000M帶寬和優(yōu)先級(jí)支持,基本上兼容廣泛使用的交換以太網(wǎng),同時(shí)具備一定的服務(wù)質(zhì)量和服務(wù)類別(Qos/Cos)能力,具備平滑升級(jí)特性和優(yōu)異傳輸性能。交換式千兆以太網(wǎng)具有以下特性:(1)成熟性以太網(wǎng)技術(shù)發(fā)展到今天,各種標(biāo)準(zhǔn)已經(jīng)逐漸完善,技術(shù)驅(qū)于成熟,是當(dāng)前在計(jì)算機(jī)網(wǎng)絡(luò)中應(yīng)用較為廣泛的園區(qū)主干網(wǎng)技術(shù)。(2)擴(kuò)展性以太網(wǎng)、快速以太網(wǎng)均使用IEEE的802.3標(biāo)準(zhǔn),能夠不用修改而將當(dāng)前應(yīng)用平滑過渡,而且千兆位以太網(wǎng)也使用了相同的標(biāo)準(zhǔn),保證與快速以太網(wǎng)的兼容性。(3)適應(yīng)性千兆以太網(wǎng)具有很大的應(yīng)用空間。適合幾乎所用的應(yīng)用。而且能夠與多種類型的傳輸介質(zhì)連接,具有更強(qiáng)的適應(yīng)性。綜上所述,千兆以太網(wǎng)技術(shù)是一種較優(yōu)的技術(shù)選擇。園區(qū)網(wǎng)絡(luò)主干的技術(shù)選擇毫無疑問,目前可行的選擇技術(shù)只有2種,即622MbpsATM和千兆以太網(wǎng)。下面對(duì)這2種技術(shù)在與IP相關(guān)的多個(gè)方面進(jìn)行了對(duì)比:千兆以太網(wǎng)(以幀方式傳輸)ATM(以信元方式傳輸)IP包的傳輸效率采用ASIC芯片進(jìn)行子網(wǎng)之間的IP包傳輸,速度快。路由協(xié)議如OSPF由軟件運(yùn)行采用全雙工操作以提高傳輸效率采用MPOA在子網(wǎng)之間傳輸IP包以旁路速度較慢的路由器MPOA客戶需要專用硬件支持這是一種捷徑式路由技術(shù),旁路了防火墻固定長(zhǎng)度的信元導(dǎo)致傳送IP包的效率不高服務(wù)級(jí)別和服務(wù)質(zhì)量新的IEEE802.3幀格式提供了數(shù)據(jù)包的優(yōu)先級(jí)別(CoS)和標(biāo)準(zhǔn)的VLAN(IEEE802.1p/802.1Q)低延時(shí)(一般小于15μs)用戶可以對(duì)流量進(jìn)行優(yōu)先化標(biāo)識(shí),在網(wǎng)絡(luò)發(fā)生擁擠時(shí)保證高優(yōu)先級(jí)的應(yīng)用的響應(yīng)時(shí)間交換機(jī)擁有多個(gè)不同級(jí)別的輸出隊(duì)列IPTOS(TypesofService)提供IP層的服務(wù)級(jí)別IPTOS中的CoS位可以映射成ATM的QoS可為每個(gè)虛連接分配一個(gè)隊(duì)列為話音、視頻和數(shù)據(jù)提供服務(wù)質(zhì)量(分別為CBR、VBR和UBR)但LANE1.0并未使用CBR和VBR目前直接在VBR上開發(fā)的應(yīng)用幾乎沒有流量控制全雙工操作及不同速率接口要求有流量控制802.3x可用于降低輸入數(shù)據(jù)流的速率需要TCP層的流量控制流控的實(shí)現(xiàn)有以下差異:潛在的擁塞問題只能工作在全雙工方式消耗帶寬基于ABR的端到端流控要求ATM的站點(diǎn)和邊緣交換機(jī)支持ABR未被普遍采用實(shí)現(xiàn)上的難易程度交換機(jī)需要高速背板的支持需要新的硬件控制器第三層交換不要求對(duì)原網(wǎng)絡(luò)進(jìn)行徹底更新需要有系統(tǒng)的方法設(shè)計(jì)和維護(hù)ATM網(wǎng)需要新的硬件以支持MPOA客戶用戶需重新培訓(xùn)是否能保證網(wǎng)絡(luò)的平滑升級(jí)新的幀格式向后兼容第三層交換不要求對(duì)原網(wǎng)絡(luò)進(jìn)行徹底更新利用MPOA在IP主機(jī)之間建立捷徑式路經(jīng),MPOA要求硬件支持虛擬網(wǎng)用802.1Q建立基于端口的VLANIntranet要求建立基于子網(wǎng)的VLAN某些交換機(jī)支持基于策略的虛擬網(wǎng)ATM的強(qiáng)項(xiàng)VLAN與LANE和MPOA集成在一起每個(gè)端口可屬于多個(gè)VLANIPMulticast第2、3層交換機(jī)使用IGMPSnooping技術(shù)自動(dòng)設(shè)置IPMulticast小組某些第3層交換機(jī)還支持DVMRP路由協(xié)議可以建立點(diǎn)到多點(diǎn)的虛連接第4層數(shù)據(jù)流的控制ASIC硬件可辨認(rèn)TCP的端口號(hào)交換機(jī)可將Qos/CoS/ToS參數(shù)應(yīng)用于交換的數(shù)據(jù)流上對(duì)IP應(yīng)用區(qū)分優(yōu)先級(jí)無從以上對(duì)比可以看出,建設(shè)交換式IP園區(qū)骨干網(wǎng)所需的功能用千兆以太網(wǎng)是完全可以實(shí)現(xiàn)的。這主要是由于支持千兆以太網(wǎng)的第3/4層交換機(jī)的出現(xiàn)大大地增強(qiáng)了千兆以太網(wǎng)在園區(qū)的地位,原來認(rèn)為的以太網(wǎng)的一些不足,如對(duì)多媒體應(yīng)用的支持、靈活的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和多鏈路負(fù)載分享、基于標(biāo)準(zhǔn)的虛擬網(wǎng)等,已被新的技術(shù)和標(biāo)準(zhǔn)所解決。CISCO千兆以太網(wǎng)交換機(jī)在單模光纖上傳輸距離可達(dá)75公里,同時(shí)還支持IPoverSDH/SONET,使得這種技術(shù)能從園區(qū)擴(kuò)展到城域網(wǎng)。ATM技術(shù)將繼續(xù)在一定時(shí)期內(nèi)在廣域網(wǎng)領(lǐng)域發(fā)揮作用;對(duì)于那些要求有嚴(yán)格的服務(wù)質(zhì)量保證(例如利用ATM的線路仿真技術(shù)提供高質(zhì)量的話音通訊)的用戶來說,ATM技術(shù)仍是值得考慮的選擇。但在大廈的網(wǎng)絡(luò)建設(shè)中骨干網(wǎng)絡(luò)采用ATM網(wǎng)絡(luò),桌面采用以太網(wǎng)技術(shù),就要經(jīng)過ATM信元到以太網(wǎng)數(shù)據(jù)幀的轉(zhuǎn)換,增加了網(wǎng)絡(luò)負(fù)載,降低了總體性能,而且ATM與以太網(wǎng)的結(jié)合必須經(jīng)過LANE(ATM局域網(wǎng)仿真),這樣ATM上的QoS技術(shù)就不能完全實(shí)現(xiàn)。可是本著發(fā)展性的原則,我們?cè)谶x擇設(shè)備的時(shí)候,還要從技術(shù)發(fā)展的長(zhǎng)遠(yuǎn)考慮,因此采用的設(shè)備完全是模塊化設(shè)計(jì),能夠最大限度滿足當(dāng)前的應(yīng)用需求,又經(jīng)濟(jì)的同時(shí),提供可擴(kuò)展的插槽,為將來酒店的發(fā)展預(yù)留空間,能夠支持ATM、千兆WAN。當(dāng)應(yīng)用需求增長(zhǎng)時(shí),在當(dāng)前的網(wǎng)絡(luò)平臺(tái)的基礎(chǔ)上,只須添加一些擴(kuò)展模塊即能夠平滑的過渡到更高的水準(zhǔn)。針對(duì)希爾頓數(shù)碼酒店的具體情況和要求,本方案選擇了中心交換機(jī)采用千兆級(jí)交換機(jī),主干采用千兆以太網(wǎng)技術(shù),與二級(jí)交換機(jī)連接;二級(jí)交換機(jī)采用10M/100M自適應(yīng)交換機(jī),實(shí)現(xiàn)到用戶交換100M。2.總體方案詳解希爾頓數(shù)碼酒店的計(jì)算機(jī)應(yīng)用主要以大量的信息查詢、信息檢索、資源共享為主,傳輸?shù)男畔⒂写罅康膱D片、圖象、音頻、數(shù)據(jù),因此需要較大的帶寬和傳輸速率,本方案采用技術(shù)先進(jìn)、并已形成國(guó)際標(biāo)準(zhǔn)的千兆以太網(wǎng)作為主干網(wǎng)。以太網(wǎng)標(biāo)準(zhǔn)由IEEELAN-MAN標(biāo)準(zhǔn)委員會(huì)的802.3工作組創(chuàng)立并維護(hù)。近幾年,802.3z工作組致力于光纖和屏蔽跨接電纜集合(”短距離銅線”)的千兆以太網(wǎng)解決方案。1997年春天,新的工作組802.3ab成立,研究基于4對(duì)5類纜線的”長(zhǎng)距銅線”解決方案,其標(biāo)準(zhǔn)為4對(duì)5類UTP、最大長(zhǎng)度100米的千兆以太網(wǎng)連接,該標(biāo)準(zhǔn)為以太網(wǎng)MAC層定義了一個(gè)接口GMII(GigabitMediaIndependentInterface),還定義了管理、中繼器操作、拓?fù)湟?guī)則及四種物理層信令系統(tǒng):1000Base-SX(短波長(zhǎng)光纖)、1000Base-LX(長(zhǎng)波長(zhǎng)光纖)、1000Base-CX(短距離銅線)和1000Base-T(100米4對(duì)5類UTP)。注:1000Base-CX為150歐姆、平衡屏蔽的特殊電纜集合,線速1.25Gbps,使用基于光通道的8B/10B編碼方式,其時(shí)間幀與光纖連接相同。千兆以太網(wǎng)也是以太網(wǎng),能夠保證產(chǎn)品向前兼容,主要有:交換機(jī)、上連/下連模塊、網(wǎng)卡、千兆以太網(wǎng)路由器,以及一種新設(shè)備,叫緩存式分配機(jī)(buffereddistributor)。緩存式分配機(jī)是一種全雙工、多端口的類似集線器的設(shè)備,將兩個(gè)或工作在1Gbps以上的802.3鏈路連接起來。緩存式分配機(jī)把分組轉(zhuǎn)發(fā)到除源鏈路外其它所有鏈路上,提供共享帶寬域(與802.3的沖突域相對(duì)),也被稱為”盒子中的CSMA/CD”。它與802.3的中繼器(repeater)不同,允許在轉(zhuǎn)發(fā)到達(dá)各鏈路的幀之前先加以緩沖。作為共享帶寬設(shè)備,緩存式分配器應(yīng)與路由器和交換機(jī)區(qū)分開。配有千兆以太網(wǎng)接口的路由器能夠有支持高于或低于千兆速率的背板,而連到千兆以太網(wǎng)緩存式分配器背板的端口共享一千兆的帶寬,對(duì)于多端口的千兆以太網(wǎng)交換機(jī)而言,其高性能背板可支持?jǐn)?shù)千兆的帶寬。本方案的主干核心級(jí)交換機(jī)采用CISCO6000千兆交換機(jī),各樓層設(shè)置二臺(tái)CISCO3548XL提供48個(gè)10/100M快速以太網(wǎng)接口,兩個(gè)擴(kuò)展模塊,可插接一個(gè)千兆GBIC光纖模塊,進(jìn)行鏈路上聯(lián)至3508XL。另一個(gè)插槽插接一個(gè)千兆GBIC堆疊模塊,堆疊分設(shè)備間的3548XL。CISCO3548XL提供100M到桌面的速率?？紤]到千兆以太網(wǎng)卡的價(jià)格比較昂貴,可是網(wǎng)絡(luò)服務(wù)器往往是一個(gè)網(wǎng)絡(luò)的瓶頸,因此能夠采用CISCO先進(jìn)的快速以太網(wǎng)通道的技術(shù),實(shí)現(xiàn)交換機(jī)到服務(wù)器200M的速率。CISCO6000千兆交換機(jī)預(yù)留的插槽,能夠滿足希爾頓數(shù)碼酒店信息中心網(wǎng)絡(luò)的擴(kuò)充,以及與其它辦公樓、開發(fā)樓的光纖連接。分配線間設(shè)置比較多,因?yàn)榭紤]到大廈今后需要外租,外租單位不需作太大的變動(dòng)就能夠與大廈的網(wǎng)絡(luò)系統(tǒng)獨(dú)立出來,如果外租單位不具備管理的能力,仍能夠由大廈信息管理中心管理,而且同樣具備良好的安全性。并經(jīng)過ciscowork對(duì)網(wǎng)絡(luò)進(jìn)行全面的管理。交換技術(shù)VLAN技術(shù)應(yīng)用為了加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性,防止廣播風(fēng)暴,有效的利用網(wǎng)絡(luò)帶寬,減少網(wǎng)絡(luò)負(fù)載,提高網(wǎng)絡(luò)傳輸速率,采用VLAN(虛擬局域網(wǎng))技術(shù),根據(jù)交換機(jī)的端口將網(wǎng)絡(luò)劃分為客房(VLAN1)、賓館(VLAN2)、服務(wù)(VLAN3)、管理層(VLAN4)四個(gè)VLAN,VLAN之間經(jīng)過ISL形成網(wǎng)絡(luò)主干,使廣播包限制于VLAN內(nèi)。每個(gè)VLAN必須設(shè)置自己的安全屬性、訪問級(jí)別、QoS(服務(wù)質(zhì)量)、CoS(服務(wù)等級(jí))。VLAN安全屬性訪問級(jí)別QoS應(yīng)用管理最高專有權(quán)限中級(jí)酒店辦公中樞系統(tǒng)客房高設(shè)定私有帳號(hào)高級(jí)客人遠(yuǎn)程訪問賓館中內(nèi)部設(shè)置權(quán)限低級(jí)日常辦公服務(wù)中GUEST高級(jí)Web服務(wù)VLANs允許網(wǎng)絡(luò)管理人員使用相應(yīng)的虛擬網(wǎng)絡(luò)軟件設(shè)計(jì)、修改和管理網(wǎng)絡(luò)而無需改變網(wǎng)絡(luò)的物理結(jié)構(gòu)。一個(gè)虛擬網(wǎng)是一個(gè)廣播域,它不受路由器的限制。實(shí)現(xiàn)虛擬網(wǎng)后,網(wǎng)管人員無需改變網(wǎng)絡(luò)物理結(jié)構(gòu),就可根據(jù)部門的性質(zhì)和企業(yè)的需求建立和配置”虛擬網(wǎng)絡(luò)”。使用VLAN管理軟件創(chuàng)立虛擬網(wǎng)具有很多優(yōu)點(diǎn):·快速組成VLAN而無需改變其網(wǎng)絡(luò)物理結(jié)構(gòu);·為每個(gè)VLAN分配它所需要的帶寬;·在網(wǎng)絡(luò)環(huán)境中增加安全性;·優(yōu)化VLANs以適應(yīng)某種特殊應(yīng)用的需要;虛擬網(wǎng)設(shè)計(jì)中主要考慮了下面的因素:·定義:虛擬網(wǎng)的定義決定了實(shí)現(xiàn)虛擬網(wǎng)的方案。1)根據(jù)交換機(jī)的端口定義:能夠設(shè)定一系列端口,使它們?cè)谕粋€(gè)廣播域中。2)根據(jù)MAC地址定義:將特定MAC地址集合聚集成虛擬網(wǎng)。3)根據(jù)IP定義:根據(jù)計(jì)算機(jī)IP地址的子網(wǎng)號(hào)劃分虛擬網(wǎng)。4)根據(jù)應(yīng)用定義:考慮到應(yīng)用對(duì)帶寬和服務(wù)級(jí)別的不同要求,綜合上面1-3種定義?！けO(jiān)控:能夠監(jiān)視虛擬網(wǎng)的運(yùn)行狀態(tài)、阻塞情況、安全狀況等。傳統(tǒng)的LAN一般是以廣播方式工作的,而網(wǎng)絡(luò)監(jiān)控是經(jīng)過一臺(tái)相連的網(wǎng)控設(shè)備收集并處理的。交換機(jī)由于有專門的連接而改變了這種網(wǎng)絡(luò)監(jiān)控追蹤的技術(shù),主要方式有:嵌入式監(jiān)控2)外部監(jiān)控3)內(nèi)置智能代理·路由:虛擬網(wǎng)之間如何互連,包括虛擬網(wǎng)互連的路由算法及實(shí)現(xiàn)方式。使用傳統(tǒng)的路由器分布式/集中式虛擬路由·基于策略的管理:基于策略的管理,是虛擬網(wǎng)中的最高境界。用戶都要經(jīng)過某種技術(shù)來達(dá)到其應(yīng)用目的,基于策略的管理正是將規(guī)則和限制嵌入整個(gè)網(wǎng)絡(luò)管理系統(tǒng)種。NetFlow技術(shù)

NetFlow的主要功能在于它能夠?yàn)榉?wù)供應(yīng)商和企業(yè)提供網(wǎng)絡(luò)的容量規(guī)劃、趨勢(shì)分析以及數(shù)據(jù)的優(yōu)先級(jí)方面的信息。這項(xiàng)技術(shù)也能夠用于基于IP的計(jì)費(fèi)應(yīng)用和服務(wù)級(jí)別保證(SLA)的校驗(yàn)服務(wù)。

NetFlow的工作原理主要是:NetFlow先記錄下初始化IP包的數(shù)據(jù),如IP協(xié)議類型、服務(wù)種類(ToS)、接口標(biāo)識(shí)等,然后,為了更有效對(duì)數(shù)據(jù)進(jìn)行匹配和計(jì)數(shù),NetFlow讓隨后的數(shù)據(jù)在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸,同時(shí),對(duì)它們使用各自相應(yīng)的服務(wù),如安全性過濾、QoS策略、流量策劃等。實(shí)時(shí)數(shù)據(jù)被存儲(chǔ)在NetFlow的緩存中,經(jīng)過讀取的操作指令就能夠重新找回。是為酒店客戶提供高優(yōu)先級(jí)別的QoS的保證。

在NetFlow的基礎(chǔ)上,Cisco公司又提出了NetFlow策略路由(NPR)技術(shù)。這個(gè)基于CiscoIOS服務(wù)的技術(shù),提供了流量規(guī)劃、IP預(yù)先分類的功能,為策略路由提供了高效、高性能的NetFlow機(jī)制。由于NPR也支持CEF體系結(jié)構(gòu),因此能夠用于分布式的平臺(tái)上。

對(duì)Internet的訪問采用穩(wěn)定、可靠、高速率的DDN專線連接(具體收費(fèi)情況與當(dāng)?shù)仉娦挪块T聯(lián)系),能夠進(jìn)行64K/128K/2M的連接,考慮希爾頓數(shù)碼酒店信息中心的應(yīng)用需求及經(jīng)濟(jì)性的原則,建議采用2M的方式。經(jīng)過CISCO路由器及DTU與當(dāng)?shù)財(cái)?shù)據(jù)局進(jìn)行點(diǎn)對(duì)點(diǎn)的連接,CISCO路由器有很好的擴(kuò)展性,能夠滿足用戶將來對(duì)ISDN、幀中繼的需求,保護(hù)用戶的投資。而且能夠經(jīng)過路由器自代的IOS操作系統(tǒng),設(shè)置包過濾機(jī)制,實(shí)現(xiàn)防火墻的功能,加強(qiáng)企業(yè)網(wǎng)的安全機(jī)制,防止網(wǎng)絡(luò)攻擊。為了保證酒店網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,應(yīng)該提供廣域網(wǎng)的線路冗余,建議采用價(jià)格低廉、穩(wěn)定的ISDN線路作為備份,防止DDN專線出現(xiàn)意外故障時(shí),網(wǎng)絡(luò)仍能夠正常工作。為了給酒店的客人提供完善的辦公環(huán)境,建議采用VPN遠(yuǎn)程連接服務(wù)。VPN遠(yuǎn)程連接服務(wù)與電話撥號(hào)的比較:帶寬:電話撥號(hào)的網(wǎng)絡(luò)傳輸速率受電話線路的限制只能達(dá)到14kbps,而VPN的連接能夠保證在56kbps的速率,消除了客人上網(wǎng)的瓶頸,上網(wǎng)速率更加快捷。費(fèi)用:免除了遠(yuǎn)程電話撥號(hào)的長(zhǎng)途電話的通信費(fèi)用,只收取本地市話費(fèi)用。安全:采用VPN標(biāo)準(zhǔn)協(xié)議(L2TP)和ciscoIpsec隧道加密協(xié)議,使客人在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)經(jīng)過56位的加密保護(hù),保證了客人的利益。應(yīng)用:客人經(jīng)過INTERNET只能遠(yuǎn)程訪問公司的網(wǎng)頁、及進(jìn)行郵件的收發(fā)等簡(jiǎn)單應(yīng)用,而經(jīng)過VPN,客人能夠經(jīng)過自己在公司的帳號(hào)、密碼建立與公司網(wǎng)絡(luò)的專線,直接訪問公司的資源,如同在公司的局域網(wǎng)上一樣,實(shí)現(xiàn)真正的遠(yuǎn)程辦公。在現(xiàn)代社會(huì)中,國(guó)家、組織或其它團(tuán)體的強(qiáng)大與否很大程度依賴于其信息流。信息流必須要以安全可靠的方式從源端傳送到目的端,這樣接受者才能確定所接受的信息與發(fā)送的信息是一致的,而且某種類型的信息不應(yīng)該被網(wǎng)絡(luò)上的其它主機(jī)所識(shí)別。在安全方面,路由器是保證網(wǎng)絡(luò)安全的第一關(guān),其保護(hù)策略是以訪問表的形式進(jìn)行的,被創(chuàng)立的訪問表能夠被用來允許或拒絕信息流經(jīng)過一個(gè)或多個(gè)路由器接口。訪問表對(duì)CISCO安全是至關(guān)重要的。保證安全有很多因素,其中最為重要的是控制報(bào)文流進(jìn)入網(wǎng)絡(luò),經(jīng)過檢測(cè)報(bào)文頭部的信息來防止特定的報(bào)文進(jìn)入一個(gè)網(wǎng)絡(luò),稱為”報(bào)文過濾”,”報(bào)文過濾”讓用戶能夠基于報(bào)文的源IP地址、目的IP地址和應(yīng)用類型控制流入網(wǎng)絡(luò)的數(shù)據(jù)流。在很多情況下,路由器是管理的邊界,管理域表示網(wǎng)絡(luò)設(shè)備的一般分組,網(wǎng)絡(luò)設(shè)備能夠是被單個(gè)管理組織所維護(hù)的如工作站、服務(wù)器、路由器等。不同的管理域有不同的安全策略,路由器所承擔(dān)的一項(xiàng)功能是將這些分離的管理域連接起來。路由器作為一個(gè)園區(qū)LAN與Internet或多個(gè)園區(qū)網(wǎng)之間的連接點(diǎn)來承擔(dān)這項(xiàng)任務(wù)的。在這種情況下,因?yàn)閮蓚€(gè)管理域之間互通的報(bào)文都要經(jīng)過路由器,因此路由器是唯一適合于過濾報(bào)文的設(shè)備。而且對(duì)于地理上分離的組織,路由器對(duì)數(shù)據(jù)網(wǎng)絡(luò)的連接是必須的,因此不再需要其它的附加設(shè)備和軟件就能夠?qū)崿F(xiàn)報(bào)文過濾的安全功能。盡管在許多服務(wù)器平臺(tái)上能夠安裝特別的硬件來提供分離組織之間的WAN連接,但這種方案的擴(kuò)展性并不好。服務(wù)器一般不能提供CISCO路由器中這樣齊備的協(xié)議和物理接口。因此大型的組織樂于選擇這種成熟的解決方案。CISCOIOS操作系統(tǒng)中包含了創(chuàng)立一個(gè)復(fù)雜的邊界安全解決方案的所有功能。對(duì)于希爾頓酒店的網(wǎng)絡(luò)系統(tǒng)還要需要更高的安全保護(hù)措施,因此建議采用CISCOPIX防火墻作為酒店網(wǎng)絡(luò)的堅(jiān)固防御系統(tǒng)。CISCOPIX防火墻面向固定連接線路的安全性防護(hù)裝置提供了極高的安全性,采用基于自適應(yīng)安全性算法(ASA)的防護(hù)方案,可有效的防止網(wǎng)絡(luò)黑客的入侵。所有進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包都將與基于ASA算法建立起的包括源地址,目的地址,端口號(hào)碼及TCP序列號(hào)等數(shù)據(jù)的列表項(xiàng)目相比較,只有列表項(xiàng)目中存在相應(yīng)的連接線路,才能夠經(jīng)過防火墻訪問。網(wǎng)絡(luò)安全防范技術(shù)當(dāng)前,網(wǎng)絡(luò)安全防范技術(shù)主要從網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)協(xié)議入手,有下面一些具體的技術(shù)。1.密碼學(xué)技術(shù)密碼學(xué)技術(shù)不只局限于對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的加密處理,而是包括加密、消息摘要、數(shù)字簽名及密鑰管理在內(nèi)的所有涉及到密碼學(xué)知識(shí)的技術(shù)。網(wǎng)絡(luò)安全服務(wù)的實(shí)現(xiàn)離不開加密技術(shù)的支持,應(yīng)用加密技術(shù)不但能夠提供信息的保密性和數(shù)據(jù)完整性,而且能夠保證通信雙方身份的真實(shí)性。2.訪問控制訪問控制是根據(jù)網(wǎng)絡(luò)中主體和客體之間的訪問授權(quán)關(guān)系,對(duì)訪問過程做出限制,可分為自主訪問控制和強(qiáng)制訪問控制。自主訪問控制主要基于主體及其身份來控制主體的活動(dòng),能夠?qū)嵤┯脩魴?quán)限管理、訪問屬性(讀、寫、執(zhí)行)管理等。強(qiáng)制訪問控制則強(qiáng)調(diào)對(duì)每一主、客體進(jìn)行密級(jí)劃分,并采用敏感標(biāo)識(shí)來標(biāo)識(shí)主、客體的密級(jí)。3.身份認(rèn)證身份認(rèn)證主要是經(jīng)過標(biāo)識(shí)和鑒別用戶的身份,防止攻擊者假冒合法用戶獲取訪問權(quán)限。對(duì)于一般的計(jì)算機(jī)網(wǎng)絡(luò)而言,主要考慮主機(jī)和節(jié)點(diǎn)的身份認(rèn)證,至于用戶的身份認(rèn)證能夠由應(yīng)用系統(tǒng)來實(shí)現(xiàn)。4.安全審計(jì)安全審計(jì)經(jīng)過對(duì)網(wǎng)絡(luò)上發(fā)生的各種訪問情況記錄日志,并對(duì)日志進(jìn)行統(tǒng)計(jì)分析,從而對(duì)資源使用情況進(jìn)行事后分析。審計(jì)也是發(fā)現(xiàn)和追蹤事件的常見措施。5.安全監(jiān)控安全監(jiān)控技術(shù)主要是對(duì)入侵行為的及時(shí)發(fā)現(xiàn)和反應(yīng),利用入侵者留下的痕跡(試圖登錄的失敗記錄、異常網(wǎng)絡(luò)流量)來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵;同時(shí)能夠?qū)θ肭肿龀黾皶r(shí)的響應(yīng),包括斷開非法連接、報(bào)警等措施。安全監(jiān)控技術(shù)以探測(cè)與控制為主,起主動(dòng)防御的作用。6.安全漏洞檢測(cè)安全漏洞檢測(cè)技術(shù)是指利用已知的攻擊手段對(duì)系統(tǒng)進(jìn)行主動(dòng)的弱點(diǎn)掃描,以求及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞,同時(shí)給出漏洞報(bào)告,指導(dǎo)系統(tǒng)管理員采用系統(tǒng)軟件升級(jí)或關(guān)閉相關(guān)服務(wù)等手段避免受到這些攻擊。以上是最基本的網(wǎng)絡(luò)安全技術(shù),其它還有例如SSL、SHTTP、SOCKS、IPSec和SET等多種安全協(xié)議和安全技術(shù),均是對(duì)這些技術(shù)的不同應(yīng)用和擴(kuò)展。當(dāng)前網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)上的主流產(chǎn)品有防火墻、VPN和入侵檢測(cè)系統(tǒng)等,它們的功能、對(duì)相關(guān)攻擊的防范措施各不相同。防火墻防火墻是當(dāng)前使用最廣泛的一種網(wǎng)絡(luò)安全產(chǎn)品。從技術(shù)角度來講,防火墻有3種體系結(jié)構(gòu):代理型防火墻、包過濾型防火墻和電路型防火墻。但當(dāng)前市場(chǎng)上的防火墻產(chǎn)品主要以應(yīng)用代理和狀態(tài)包過濾(StatefulPacketFiltering)防火墻為主。狀態(tài)包過濾是一種經(jīng)過跟蹤網(wǎng)絡(luò)連接狀態(tài)并根據(jù)狀態(tài)信息動(dòng)態(tài)進(jìn)行包過濾的機(jī)制。以FTP協(xié)議為例,FTP協(xié)議指令經(jīng)過20號(hào)端口,而數(shù)據(jù)經(jīng)過21號(hào)端口進(jìn)行傳輸。狀態(tài)包過濾防火墻對(duì)其處理過程如下:當(dāng)防火墻收到FTP客戶端向合法FTP服務(wù)器20號(hào)端口發(fā)來的連接請(qǐng)求,會(huì)在連接狀態(tài)表中記錄本次連接的相關(guān)信息,包括源地址和目的地址、端口號(hào)、TCP序列號(hào)以及其它標(biāo)志等,之后防火墻只允許從該FTP服務(wù)器的20號(hào)和21號(hào)端口向客戶端請(qǐng)求端口傳輸合法的命令和數(shù)據(jù)。在這個(gè)過程中,防火墻經(jīng)過記錄連接狀態(tài),設(shè)置了動(dòng)態(tài)存取控制規(guī)則,更有效地抵制非法數(shù)據(jù)包。如果攻擊者想穿透該防火墻,需要偽造IP地址、端口號(hào)、TCP序列號(hào)和其它IP標(biāo)識(shí),難度很大。經(jīng)過防火墻的合理配置能夠抵制以下多種網(wǎng)絡(luò)攻擊。防火墻帶有多塊網(wǎng)卡,不同的網(wǎng)卡對(duì)應(yīng)于不同的網(wǎng)段,經(jīng)過將網(wǎng)卡與對(duì)應(yīng)網(wǎng)段綁定,能夠有效抵制地址欺騙攻擊;防火墻能夠配置阻塞ICMP報(bào)文,只允許某些類型(例如回應(yīng)請(qǐng)求類型)的ICMP數(shù)據(jù)報(bào)文經(jīng)過,從而抵制”pingofdeath”之類的攻擊;使用NAT功能,所有從防火墻流出的IP數(shù)據(jù)包的源地址均為防火墻上保留的合法IP地址,不但能夠使內(nèi)部主機(jī)共享有限的InternetIP地址,而且能夠隱藏內(nèi)部網(wǎng)絡(luò)信息?？墒窃摴δ軐?huì)對(duì)數(shù)據(jù)包的處理速度造成一定影響;防火墻能夠配置成阻塞ActiveX和JavaApplets,防止惡意的程序?qū)?nèi)部主機(jī)進(jìn)行攻擊;防火墻除了能夠?qū)χ鳈C(jī)地址、網(wǎng)卡地址和主機(jī)名進(jìn)行認(rèn)證之外,還能夠?qū)崿F(xiàn)基于用戶的身份認(rèn)證,例如采用口令認(rèn)證、RADIUS認(rèn)證以及硬件參與的認(rèn)證等等,有效地防止地址欺騙、身份冒用等攻擊。在選購防火墻的時(shí)候主要應(yīng)該考慮安全性、高效性、可管理性和適用性等因素。1.安全性是評(píng)價(jià)防火墻好壞最重要的因素,因?yàn)橘徺I防火墻的主要目的是為了保護(hù)網(wǎng)絡(luò)免受攻擊?？墒前踩圆幌袼俣取⑴渲媒缑婺菢又庇^,便于估計(jì),往往被用戶所忽視。對(duì)于安全性的評(píng)估需要配合使用一些攻擊手段進(jìn)行。2.性能主要包括2個(gè)方面:最大并發(fā)連接數(shù)和數(shù)據(jù)包轉(zhuǎn)發(fā)率。最大并發(fā)連接數(shù)是衡量防火墻可擴(kuò)展性的一個(gè)重要指標(biāo)。數(shù)據(jù)包轉(zhuǎn)發(fā)率是指在所有安全規(guī)則配置正確的情況下,防火墻對(duì)數(shù)據(jù)流量的處理速度。購買防火墻的需求不同,對(duì)這2個(gè)參數(shù)要求也不同。例如一臺(tái)用于保護(hù)電子商務(wù)Web站點(diǎn)的防火墻,支持越多的連接意味著能夠接受越多的客戶和交易,因此防火墻能夠同時(shí)處理多個(gè)用戶的請(qǐng)求是最重要的,哪怕每個(gè)連接的流量很小?？墒菍?duì)于那些經(jīng)常需要傳輸大的文件,對(duì)實(shí)時(shí)性要求比較高的用戶,高的包轉(zhuǎn)發(fā)率則是關(guān)注的重點(diǎn)。3.防火墻的管理簡(jiǎn)單是對(duì)安全性的一個(gè)補(bǔ)充。當(dāng)前很多防火墻被攻破大多數(shù)不是因?yàn)槌绦蚓幋a的問題,而是管理和配置錯(cuò)誤導(dǎo)致的。對(duì)管理的評(píng)估能夠從以下3個(gè)方面進(jìn)行。(1)遠(yuǎn)程管理允許網(wǎng)絡(luò)管理員能夠遠(yuǎn)程對(duì)防火墻進(jìn)行干預(yù),而且所有遠(yuǎn)程通信需要經(jīng)過嚴(yán)格的認(rèn)證和加密。例如管理員下班后出現(xiàn)入侵跡象,防火墻能夠經(jīng)過發(fā)送電子郵件的方式通知該管理員,管理員能夠遠(yuǎn)程封鎖防火墻的對(duì)外網(wǎng)卡接口或修改防火墻的配置。(2)訪問控制規(guī)則的配置界面應(yīng)該直觀、使用簡(jiǎn)單。大多數(shù)防火墻產(chǎn)品都提供了基于Web方式或GUI的配置界面。(3)日志文件不但能夠幫助用戶追查攻擊者的蹤跡,還能夠記錄流量。防火墻的一些功能能夠在日志文件中得到體現(xiàn)。防火墻提供靈活、可讀性強(qiáng)的審計(jì)界面是很重要的,例如用戶能夠查詢從某一固定IP地址發(fā)出的流量,訪問的服務(wù)器列表等等。因?yàn)楣粽吣軌虿捎貌煌５靥韺懭罩疽愿采w原有日志的方法使追蹤無法進(jìn)行,因此防火墻應(yīng)該提供設(shè)定日志大小的功能,同時(shí)在日志已滿時(shí)給予提示。4.適用性是指量力而行,防火墻也有高低端之分,配置不同,價(jià)格不同,性能也不同。在購買防火墻的時(shí)候應(yīng)挑選能夠滿足流量要求即可,并不需要盲目追求高性能。還有,有些防火墻功能非常強(qiáng)大,管理配置需要有網(wǎng)絡(luò)和安全專業(yè)知識(shí),在購買時(shí)應(yīng)該考慮自己是否需要這些復(fù)雜的功能。路由器實(shí)現(xiàn)的功能DDN數(shù)字?jǐn)?shù)據(jù)網(wǎng)數(shù)字?jǐn)?shù)據(jù)網(wǎng)(DigitalDataNetwork)是利用數(shù)字信道傳輸數(shù)據(jù)信號(hào)的數(shù)據(jù)傳輸網(wǎng),它的傳輸媒介有光纜、數(shù)字微波、衛(wèi)星信道以及用戶端可用的普通電纜和雙絞線。利用數(shù)字信道傳輸數(shù)據(jù)信號(hào)與傳統(tǒng)的模擬信道相比,具有傳輸質(zhì)量高、速度快、帶寬利用率高等一系列優(yōu)點(diǎn)。DDN向用戶提供的是半永久性的數(shù)字連接,沿途不進(jìn)行復(fù)雜的軟件處理,因此延時(shí)較短,避免了分組網(wǎng)中傳輸時(shí)延大且不固定的缺點(diǎn);DDN采用交叉連接裝置,可根據(jù)用戶需要,在約定的時(shí)間內(nèi)接通所需帶寬的線路,信道容量的分配和接續(xù)在計(jì)算機(jī)控制下進(jìn)行,具有極大的靈活性,使用戶能夠開通種類繁多的信息業(yè)務(wù),傳輸任何合適的信息。DDN有四個(gè)組成部分:數(shù)字通道、DDN節(jié)點(diǎn)、網(wǎng)管控制和用戶環(huán)路。(1)DDN是同步數(shù)據(jù)傳輸網(wǎng),不具備交換功能。但可根據(jù)與用戶所訂協(xié)議,定時(shí)接通所需路由(這便是半永久性連接概念)。(2)傳輸速率高,網(wǎng)絡(luò)時(shí)延小。由于DDN采用了同步轉(zhuǎn)移模式的數(shù)字時(shí)分復(fù)用技術(shù),用戶數(shù)據(jù)信息根據(jù)事先約定的協(xié)議,在固定的時(shí)隙以預(yù)先設(shè)定的通道帶寬和速率,順序傳輸,這樣只需按時(shí)隙識(shí)別通道就能夠準(zhǔn)確地將數(shù)據(jù)信息送到目的終端。由于信息是順序到達(dá)目的終端,免去了目的終端對(duì)信息的重組,因此,減小了時(shí)延。當(dāng)前DDN可達(dá)到的最高傳輸速率為155Mbit/s,平均時(shí)延≤450us。(3)DDN為全透明網(wǎng)。DDN是任何規(guī)程都能夠支持,不受約束的全透明網(wǎng),可支持網(wǎng)絡(luò)層以及其上的任何協(xié)議,從而可滿足數(shù)據(jù)、圖像、聲音等多種業(yè)務(wù)的需要。三、節(jié)點(diǎn)類型在”中國(guó)DDN技術(shù)體制”中將DDN節(jié)點(diǎn)分成2兆節(jié)點(diǎn)、接入節(jié)點(diǎn)和用戶節(jié)點(diǎn)三種類型。1、2兆節(jié)點(diǎn)2兆節(jié)點(diǎn)是DDN網(wǎng)絡(luò)的骨干節(jié)點(diǎn),執(zhí)行網(wǎng)絡(luò)業(yè)務(wù)的轉(zhuǎn)換功能。主要提供2048kbit/s(E1)數(shù)字通道的接口和交叉連接、對(duì)N*64kbit/s電路進(jìn)行復(fù)用和交叉連接以及幀中繼業(yè)務(wù)的轉(zhuǎn)接功能。2、接入節(jié)點(diǎn)接入節(jié)點(diǎn)主要為DDN各類業(yè)務(wù)提供接入功能,主要有:1、N*64kbit/s、2048kbit/s數(shù)字通道的接口;

2、N*64kbit/s(N=1~31)的復(fù)用;

3、小于64kbit/s子速率復(fù)用和交叉連接;

4、幀中繼業(yè)務(wù)用戶接入和本地幀中繼功能;

5、壓縮話音/G3傳真用戶入網(wǎng)。3、用戶節(jié)點(diǎn)用戶節(jié)點(diǎn)主要為DDN用戶入網(wǎng)提供接口并進(jìn)行必要的協(xié)議轉(zhuǎn)換。它包括小容量時(shí)分復(fù)用設(shè)備;LAN經(jīng)過幀中繼互聯(lián)的網(wǎng)橋/路由器等。在實(shí)際組建各級(jí)網(wǎng)絡(luò)時(shí),能夠根據(jù)網(wǎng)絡(luò)規(guī)模、業(yè)務(wù)量等具體情況,酌情變動(dòng)上述節(jié)點(diǎn)類型的劃分。例如:把2兆節(jié)點(diǎn)和接入節(jié)點(diǎn)歸并為一類節(jié)點(diǎn),或者把接入節(jié)點(diǎn)和用戶節(jié)點(diǎn)歸并為一類節(jié)點(diǎn),以滿足具體情況下的需要。ISDN技術(shù)ISDN是一種能提供較高帶寬和穩(wěn)定連接的新型的Internet接入方式,在一個(gè)B通道的情況下,就能夠提供64K的帶寬,當(dāng)使用2B通道時(shí)就可提供128K的高速通道,其性能已與DDN十分相近。

特點(diǎn):快速一條ISDN線的傳輸速率64kpbs～128kbps,ISDN呼叫建立只需幾秒鐘?？煽縄SDN提供端到端的數(shù)字連接,更少重傳和誤傳。經(jīng)濟(jì)一條線能夠同時(shí)上網(wǎng)和打電話,傳輸能力強(qiáng),節(jié)省通信費(fèi)用。DDN專線接入資費(fèi)表帶寬類別初裝費(fèi)租用類別月流量費(fèi)調(diào)測(cè)費(fèi)基帶Modem19.2-64Kbit/s40009900限流量1G/月,超過部分6元/M4000元包月制7700元/月,不限流量7700元64-128Kbit/s4000

9900限流量1G/月,超過部分6元/M5000元包月制1.3萬/月,不限流量13000元128-256Kbit/s400013900限流量1G/月,超過部分6元/M7000元包月制2.1萬/月,不限流量21000元256-512Kbit/s400013900

限流量1G/月,超過部分6元/M9000元包月制3.4萬/月,不限流量34000元ISDN專線接入資費(fèi)表帶寬類別初裝費(fèi)租用類別月基本費(fèi)調(diào)測(cè)費(fèi)端口占用費(fèi)64Kbit/s(1B)2450免包月制3千/月,不限流量元/月128Kbit/s(2B)

2450免包月制5千/月,不限流量3500元/月VPN技術(shù)VPN技術(shù)力求帶給用戶的是在公網(wǎng)之上為企業(yè)構(gòu)筑安全可靠,方便快捷的企業(yè)私有網(wǎng)絡(luò),并為企業(yè)節(jié)省資金。根據(jù)業(yè)務(wù)類型,VPN業(yè)務(wù)大致可分為三類,引用Cisco的定義方式,將三種用戶需求定義為:IntranetVPN、AccessVPN與ExtranetVPN。所謂IntranetVPN即企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。AccessVPN是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。ExtranetVPN即企業(yè)間發(fā)生收購、兼并或企業(yè)間的戰(zhàn)略聯(lián)盟,使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。其中我們通常把AccessVPN叫做撥號(hào)VPN,即VPDN,將IntranetVPN和ExtranetVPN統(tǒng)稱為專線VPN或場(chǎng)地到場(chǎng)地的VPN。根據(jù)上述分類,作為擁有網(wǎng)絡(luò)資源的大型ISP,推廣VPN業(yè)務(wù)的種類也相應(yīng)分為撥號(hào)VPN業(yè)務(wù)和專線VPN業(yè)務(wù)兩類,下文分別加以討論。撥號(hào)VPN業(yè)務(wù)撥號(hào)VPN是對(duì)ISP最具實(shí)際意義的解決方案。撥號(hào)VPN的隧道發(fā)起又分為由用戶發(fā)起、ISP撥號(hào)服務(wù)器(NAS)發(fā)起或企業(yè)網(wǎng)遠(yuǎn)程路由器發(fā)起三種。真正對(duì)ISP具有實(shí)踐意義的是通過NAS發(fā)起的VPDN。該VPN的核心是通過L2TP(LayerTwoTunnelProtocol)協(xié)議,來實(shí)現(xiàn)第二層的隧道封裝。通過L2TP開展的VPDN,能為用戶帶來這樣的利益:客戶到ISP的各節(jié)點(diǎn)出差或辦公時(shí),可通過當(dāng)?shù)氐氖性捴苯訐芴?hào)上網(wǎng),并訪問企業(yè)網(wǎng)。以中國(guó)電信169為例,若開通了VPDN業(yè)務(wù),公司的員工到各地出差時(shí),只需撥打當(dāng)?shù)氐?69,然后輸入用戶名、口令即可。認(rèn)證結(jié)束后,用戶可以直接登錄到自己公司的NT域服務(wù)器上,與其她員工共享信息。L2TP實(shí)現(xiàn)的根本意義在于:企業(yè)網(wǎng)可以真正用來管理自己的用戶。企業(yè)員工不必在ISP上擁有自己的賬號(hào),員工可以使用自己在企業(yè)網(wǎng)中的賬號(hào)和口令撥號(hào)上網(wǎng)。企業(yè)員工通過上網(wǎng)可以真正得到企業(yè)網(wǎng)中的可用信息,而這些企業(yè)網(wǎng)信息是通過公網(wǎng)上普通的撥號(hào)上網(wǎng)無法得到的。ISP僅針對(duì)企業(yè)收費(fèi),企業(yè)幫助ISP發(fā)展了用戶,提高了ISP撥號(hào)設(shè)備的端口利用率,增加了ISP的收入。企業(yè)員工也因此節(jié)省了遠(yuǎn)程撥號(hào)的費(fèi)用,得到有用的企業(yè)網(wǎng)信息,雙方均可受益。ISP在實(shí)現(xiàn)VPDN業(yè)務(wù)時(shí),急需解決的是下述兩個(gè)問題。1．不同廠商設(shè)備的互操作性VPDN的實(shí)現(xiàn)需要撥號(hào)服務(wù)器和企業(yè)網(wǎng)網(wǎng)關(guān)(通常是企業(yè)網(wǎng)與ISP互聯(lián)的路由器或防火墻)的互通。在L2TP協(xié)議中將ISP的撥號(hào)服務(wù)器定義為L(zhǎng)AC(L2TPAccessConcentrator),將企業(yè)網(wǎng)網(wǎng)關(guān)定義為L(zhǎng)NS(L2TPNetworkServer),鑒于L2TP協(xié)議并沒有最終標(biāo)準(zhǔn)化,因此LAC和LNS的互操作性始終令人放心不下。目前,在國(guó)內(nèi)撥號(hào)服務(wù)器市場(chǎng)中,占有量最大的設(shè)備是CiscoAS5x00、華為的QuidwayA8010等。企業(yè)網(wǎng)的網(wǎng)關(guān)設(shè)備中Cisco路由器占有較大優(yōu)勢(shì),Bay公司和3Com公司的路由器也擁有一定的市場(chǎng)份額。2．對(duì)VPDN的認(rèn)證、計(jì)費(fèi)設(shè)備的互操作性僅僅滿足了ISP業(yè)務(wù)開展的初步要求,而業(yè)務(wù)開展的根本要求是VPDN的認(rèn)證、計(jì)費(fèi)。提到撥號(hào)用戶的認(rèn)證和計(jì)費(fèi),我們必須看到RADIUS(RemoteAuthenticationDialInUserService),RADIUS是實(shí)現(xiàn)撥號(hào)用戶的認(rèn)證和計(jì)費(fèi)的關(guān)鍵所在。ISP需要的運(yùn)營(yíng)模式是建立中心RADIUS服務(wù)器,各節(jié)點(diǎn)的RADIUS服務(wù)器將VPDN的訪問請(qǐng)求包,作為漫游包送到中心RADIUS認(rèn)證,中心RADIUS服務(wù)器,通過撥號(hào)用戶名中的Domain部分(即中的)來認(rèn)證用戶,并返回認(rèn)證通過或認(rèn)證拒絕包。NAS通過本地RADIUS的轉(zhuǎn)發(fā)得到該認(rèn)證包。并發(fā)起與遠(yuǎn)端企業(yè)網(wǎng)網(wǎng)關(guān)的L2TP隧道,真正的用戶名與口令認(rèn)證是在隧道初始化時(shí),在企業(yè)端的RADIUS服務(wù)器上實(shí)現(xiàn)的。值得注意的是:由于L2TP的標(biāo)準(zhǔn)化沒有最終完成,各廠商與L2TP相關(guān)的屬性定義方式可能不同,因此,在RADIUS中定義的L2TP相關(guān)屬性需根據(jù)不同廠商的定義,采用不同的方法予以實(shí)現(xiàn)。VPDN的計(jì)費(fèi)是ISP更為關(guān)心的問題?，F(xiàn)實(shí)的解決方案是:通過ISP端的中心RADIUS對(duì)企業(yè)用戶進(jìn)行統(tǒng)一計(jì)費(fèi),企業(yè)端的RADIUS起到了認(rèn)證和監(jiān)督的作用。為企業(yè)查賬方便,ISP可將企業(yè)中每個(gè)員工的具體使用情況交付企業(yè),但只向企業(yè)發(fā)送一個(gè)賬單。針對(duì)VPDN的企業(yè)用戶,ISP甚至可以在實(shí)際運(yùn)營(yíng)中適當(dāng)調(diào)整資費(fèi),減少上網(wǎng)費(fèi)用,鼓勵(lì)企業(yè)用戶多多上網(wǎng)?？梢怨浪?在VPDN業(yè)務(wù)中,增加一個(gè)中等規(guī)模企業(yè)用戶,相當(dāng)于發(fā)展了至少100個(gè)個(gè)人用戶!專線VPN業(yè)務(wù)專線VPN為用戶提供的應(yīng)是安全可靠,并具有QoS保障的虛擬專網(wǎng)。專線VPN的目標(biāo)市場(chǎng)有三類客戶:第一類是國(guó)家政府機(jī)構(gòu),各大部委;第二類是在國(guó)內(nèi)各地?fù)碛斜姸噢k事處的大型企業(yè);第三類是在華經(jīng)商的外企分支機(jī)構(gòu)。今年是政府上網(wǎng)年,專線VPN技術(shù)又恰恰能夠解決國(guó)家政府機(jī)關(guān)、各大部委的上網(wǎng)、安全及互聯(lián)問題。因此,最有市場(chǎng)發(fā)展前景。政府機(jī)關(guān)通過ISP分布在全國(guó)各地的節(jié)點(diǎn)直接上網(wǎng),IPSEC可以實(shí)現(xiàn)各分支機(jī)構(gòu)的隧道建立和安全通信,為特定政府部委(如海關(guān),稅務(wù)等)的安全需求提供了保障。針對(duì)第二類用戶,ISP可通過批發(fā)VPN端口對(duì)其提供服務(wù)。企業(yè)網(wǎng)的各節(jié)點(diǎn)通過ISP的VPN設(shè)備進(jìn)行接入,完成企業(yè)網(wǎng)內(nèi)部通信的要求。該項(xiàng)業(yè)務(wù)可以同VPDN一起,由ISP為企業(yè)提供全面的VPN解決方案。對(duì)于第三類用戶,客戶群雖然較大,但企業(yè)的總部設(shè)在國(guó)外,只有企業(yè)的IT經(jīng)理才能決定在企業(yè)網(wǎng)上是否應(yīng)用VPN技術(shù)。因?yàn)閷⑼ㄟ^國(guó)際鏈路,跨越多個(gè)ISP,國(guó)內(nèi)的ISP無法保障其應(yīng)用所需的QoS。企業(yè)網(wǎng)的建設(shè)者可以完全不依賴ISP通過公網(wǎng)來實(shí)現(xiàn)VPN。對(duì)ISP而言,企業(yè)通過Internet上網(wǎng)建立其Intranet(企業(yè)節(jié)省了國(guó)際專線費(fèi)用),已為ISP帶來了利潤(rùn)。專線VPN通常是由IPSEC協(xié)議來實(shí)現(xiàn)的。IPSEC是一套完整的協(xié)議,它定義了在公網(wǎng)上安全傳輸數(shù)據(jù)的方式。IPSEC的復(fù)雜性來源于防止網(wǎng)絡(luò)上的竊聽者對(duì)數(shù)據(jù)的篡改,并確保數(shù)據(jù)通信雙方的身份,對(duì)數(shù)據(jù)進(jìn)行安全加密。其中,通信雙方加密密鑰的交換,安全信任關(guān)系的確立(即建立SecurityAssociation)是IPSEC實(shí)現(xiàn)的關(guān)鍵。在Internet密鑰交換(即IKE)的實(shí)現(xiàn)方式上,又有手工配置方式,Pre-ShareKey方式和CA中心方式三種方式。專線VPN對(duì)ISP而言,另一個(gè)重要功能就是為用戶提供QoS保障。在基于ATM或FrameRelay的ISP骨干網(wǎng)上實(shí)現(xiàn)QoS并不是很難的事情,但在基于傳統(tǒng)IP路由的骨干網(wǎng)絡(luò)上實(shí)現(xiàn)QoS,卻非常困難,這是由IPv4先天不足所決定的。盡管從RFC2205到RFC2210,IETF詳細(xì)定義了資源保留協(xié)議RSVP(ResourceReservationProtocol),Cisco也為在IP網(wǎng)上實(shí)現(xiàn)QoS,作了大量努力:WFQ、PriorityQueue、CustomQueue等多種不同的方法均可以對(duì)鏈路實(shí)現(xiàn)QoS保障,但上述QoS的實(shí)現(xiàn)技術(shù)在ISP中并未得到真正的推廣。國(guó)家公眾多媒