1、第2章计算机网络系统2.1系统概述XXX市国防大厦的中心计算机网络系统的建设目标就是要建立一个技术先 进、扩展性强、能覆盖所有功能区域的主干网络,将XXX市国防大厦中的各种 PC机、工作站、终端设备和局域网连接起来,并与有关广域网相连,形成结构 合理、内外沟通的计算机网络系统,并在此基础上建立能满足国防业务、指挥 协调和管理需要的软硬件环境,开发各类信息库和应用系统,为XXX市国防大 厦内工作的各类工作人员提供充分的网络信息服务。根据XXX市国防大厦的建设目标,中心网需要建设以下一些应用服务系统:基本Internet应用包括 Email. WEB、FTP、BBS、等系统数据库应用软件服务系统包
2、括系统集成、国防专业业务、管理、指挥协调等各类信息数据库远程访问服务系统视频会议系统各种形式(如图像处理、网络监控、刑侦等业务的多媒体信息和应用系统 信息和应用主要涉及这样一些技术:WEB (万维网)技术、数据库技术、 远程访问及拨号接入技术、视频会议技术、多媒体开发和应用技术等等。网络 的设计思想就是要求网络本身可以满足这些技术对网络带宽、时延变化和服务 质量等方面的要求,当然这里面还包含着最为关键的一点一一安全策略。在上面所列的应用服务系统中,可能包含的信息类型主要有以下这些:文本:在这些信息系统中,最主要的信息类型是文本型的,其中包括大量 的文字、数据和表格等,基本涵盖所有应用类型,涉及
3、国防专业信息、管理信 息等方方面面。图像:主要是大量的多媒体信息、网络管理中的图表显示和各类专业业务 信息系统中的图片资料等。视频:涉及电视会议系统,远程视频,和中心专业使用的图像信息等应用。 音频:内部网络电话,独立的声音资料和上面两项中所附带的声音信息。这些信息的流量和流向各不相同:作为管理信息上行的数据流量远远超过 下行的数据流量;而对于大多数应用来说,情况刚好相反,下行的压力较大。 大量的多媒体信息也恰恰是在下行的时候出现。这在网络设计时应予以充分考B利用率测试百兆网35M30M 至 35M30M十兆网N3.5M3M 至 3.5M3M网络带宽利用率测试以24小时为一个周期,分网段采用专
4、用的网络测试设备进行网络带宽利用 率测试抽查,每隔一分钟为一个统计点,并作好记录。要求测试最大利用率、 最小利用率、平均利用率。网络带宽利用率=实际占用带宽/总带宽。平均利用率指标达到良好、一般 为合格。以太网平均利用率指标:0至20%范围内,网络状况良好;20%至40%范 围内,网络状况一般;超过40%,网络状况较差。设备利用率测试以24小时为一个周期,分网段采用专用的网络测试设备和产品管理软件进 行设备利用率测试,每隔一分钟为一个统计点,并作好记录。要求测试最大利 用率、最小利用率、平均利用率。平均利用率指标达到度好、一般为合格。表2设备平均利用率指标设备分类指标名称良好一般差交换机CPU
5、利用率50%50%至 80%280%内存利用率80%路由器CPU利用率50%50%至 80%280%内存利用率80%C吞吐量测试在网络利用率最低和最高的时间段,采用FTP工具从网络中心的FTP SERVER下载和上传文件方法进行测试。文件的脚本分两类。一类为单个容量为100MB至1000MB的大文件,另 一类为同等容量的一批1KB至10KB左右的小文件。在三种不同的环境下进行 测试:第一种、在网络中心的两台工作站上做点到点的FTP测试,测试 同一网段内的吞吐量,并记录FTP的时间。第二种、在不同网段的工作站上做同样的FTP测试,测试跨网段 的吞吐量,并记录FTP的时间。第三种、在广域网的工作站
6、上做同样的FTP测试,并记录FTP的 时间。分析三次的结果是否稳定、正常。并作好记录(着重记录传输时间)。吞吐量=传输文件容量/传输时间。对于以太网,在网络利用率低的情况下, 吞吐量指标大于等于可用带宽的98%为合格。对于IP广域网,以专线(物理、 虚拟)方式组网,吞吐量指标大于等于专线带宽的80%为合格。D数据传输精确度测试应采用专用网络测试设备对网络的骨干层、汇聚层、接入层等各进行数据 传输精确度测试。主要测试以太网冲突率、差错率和丢失率和IP丢包率。冲突 率=冲突帧总数/正确帧数*100%,差错率=错误帧数/正确帧数*100%o以24小时为一个周期,分网段采用专用的网络测试设备进行精确度
7、测试, 每隔一分钟为一个统计点,并作好记录。表3以太网精确度指标指标名称良好一般差丢失率冲突率9%9% 至 15%215%差错率对广域网测试IP丢包率,指标为:0至1%范围内,网络状况良好;1%至 2%范围内,网络状况一般;超过2%,网络状况较差。E负载测试针对每个网络产品采用专用网络测试仪对其进行流量加载,测试其负荷承 受能力。指标值达到可用带宽的98%以上为合格。F延迟测试主要记录测试数据包往返耗时。要做三项测试,第一是跨骨干的交换机之 间的PING测试,第二是跨骨干的工作站间的PING测试,第三是广域网上的 工作站间的PING测试。这三种测试,对于64Byte、1518Byte、5000
8、 Byte大 小的数据包,各发送100个,测试并记录其平均时间。对于第一、第二种,平均延迟值:小于5ms,网络状况良好,5ms至10ms 之间,网络状况一般,大于10ms网络状况较差。延迟值相对稳定,波动小。第三种:(以2M带宽为例)15ms以下,每跨过一个设备,增加1.5ms。网络容错性测试A设备单点故障测试模拟设备单点故障环境,检测对网络运行的影响。电源容错对于双电源设备,要测试电源的冗余度。在测试时关掉其中一个电源,看 能否正常工作;之后,让关掉的电源重新上电;再关掉另一个电源,看能否正 常工作。同时运行典型应用系统,观察应用系统能否正常提供服务。模块容错多种网络设备的模块有冗余功能,如
9、交换机上可插两块引擎,平时只有一 块处于工作状态,另一块备用,处在监视状态。试用被测产品的相应命令使工 作模块DISBALE (模拟故障),测试另一模块是否立即开始启动工作,记录切 换时间。同时运行典型的应用系统,观察应用系统能否正常提供服务。采用专 用网络测试仪器检测网络能否正常提供服务。B网络单点故障测试模拟设备、链路等故障环境,检测对网络运行的影响。设备故障在有设备冗余并设置好设备热备份的地方,人为使主设备产生模拟故障, 用被测产品的相应命令检查备用设备是否启动,并且记录切换时间;重新正常 启动原主设备,用被测产品的相应命令检查该设备是否启动并切换回来,并且 记录切换时间。同时运行典型的
10、应用系统,观察应用系统能否正常提供服务。 采用专用网络测试仪器检测并记录切换完成后的系统网络能否正常提供服务。链路容错在有链路冗余的网络中,切断当前工作链路(如可直接端口线路),用被 测产品的相应命令检查备用线路是否启动,并且记录切换时间;重新连通被切 断的链路,用被测产品的相应命令检查工作线路是否启动并切换回来,并旦记 录切换时间。同时运行典型的应用系统,观察应用系统能否正常提供服务。采 用专用网络测试仪器检测对性能影响并记录切换完成后的系统网络能否正常提 供服务。2.923网络连通性测试A链路连通性应做两项测试,第一在测试用工作站上运行Telnet程序,连到待测试的设 备上,用设备的相应命
11、令,查看各个实际上物理链路连接的端口是否正常。必 须看到端口正常和协议正常才为链路连接正常。第二,Ping对方端口的IP地 址。PING 1000次以上成功率98%以上为正常。只有上面二项测试都合格,才 算链路正常。B环形链路冗余在测试用工作站上运行Telnet程序登录到相应网络设备上,通过该设备的 相应命令检查环形生成树连接是否完整、准确。切断某个方向的链路,测试连接是否正常。对每个环测一次。C VLAN、DHCP及DNS连通性测试在己配置了 VLAN的网络中的VLAN连通性测试采用PING命令的方法。 应在两种环境测试,一种是同一 VLAN内的工作站,第二对于不同VLAN内的工作站。测试能
12、否PING通,如不能PING通,则VLAN间隔离正常。在有DHCP服务并正常运行的网络中进行DHCP连通性测试。以一台未设 置IP地址的工作站连入网络后正常启动,检测该工作站是否已获得IP地址, 检查该IP地址是否是网络中DHCP服务器所能分配的IP地址,如是并能PING 通,则DHCP连通性正常。在有DNS服务并正常运行的网络中进行DNS连通性测试。以一台工作站 连入网络,设置DNS服务器的名字、IP地址并启用之。然后PING DNS列表 中的任一服务器IP地址,确认能PING通后,再PING该服务器的名字,如能 PING通,则DNS服务正常。要求选用不同网段的信息点对DNS列表中的任 一服
13、务器进行测试。2.924网络可用性和稳定性测试A网络可用性测试运行可用率以试运行期间运行日志的数据进行计算。设备可用率=(设备实际运行时间/网络总运行时间)*100%,应达到产品 设计指标。网络可用率=(网络实际运行时间/网络总运行时间)*100%,应达到网络 设计要求。网络可用率计算公式的说明:网络实际运行时间指网络无故障运行时间。设备故障和链路故障均计入 故障时间;当分支系统出现故障时,系统的故障时间按1/(分支数+1) 计;由于传输网络而出现的故障时间不计入。网络总运行时间指网络构建完成至测试时的自然时间。B网络稳定性测试以试运行期间的运行数据进行评判。应给出连续试运行无故障时间和故障
14、时间及次数。在测试期间,网络系统必须连续试运行240小时以上无故障情况的发生, 特别是不会出现网络中断的情况。在测试过程中,网络系统上必须运行相应的 应用或者模拟的应用,必须有相当的负荷量。2.925网络基本安全性测试从VLAN、设备配置保护、产品安全等方面进行测试。A设备配置保护。根据网络产品的说明书,准备相应的软硬件平台,进行网络设备的配置保 护测试,应测试配置的完整保存(异地保存)和产品的配置恢复,并完整记录 结果。如能否异地保存,保存介质要求,恢复情况如何等。B访问控制和过滤。根据产品说明书,检查网络产品是否支持访问控制列表的使用。如支持, 则测试若干访问列表项,如该产品根据测试要求进
15、行了访问控制,则为正常。 二测试是否支持基于TCP port、UDP port、ICMP的过滤。C网络产品的安全性。根据网络产品的说明书,准备相应的软硬件平台,检测是否有多层口令系 统对产品的配置进行不同层次的保护;并且从其他网络设备中对被测设备进行 “登录”并试图修改配置。详细记录所发生的情况,并分析该产品本身是否安全。2.10网络拓扑图(见附图)2.11网络设备配置清单序号设备名称设备说明品牌产地单位数量2中心交换机Quidway S6506华为中国3LS-B-6506-总装机柜-Quidway-S6506-LS8B1220-华为中国台1AC220以太网交换机交流总装机箱4LS-PS-AC
16、220交流电源模块华为中国个35SWP-6506Quidway-S6506 主机软件华为中国套16SRU-S6506交换路由板-Salience I华为中国个17LS-6506-GT8U8端口千兆以太网电接口华为中国个1交换板(RJ45)8LS-6506-GB8U8端口千兆以太网光接口华为中国个1交换板(GBIC, SC)9GBIC-SX光收发一体模块华为中国个4-GBIC-850nm-1.25Gb/s-单模 C-0.55km10LS-DOC成套资料-Quidway-S6506-以太网交换机华为中国台111接入层交换机Quidway S3206E华为中国12LS-3026EQuidway S3
17、206E 以太网华为中国台3交换机主机(220V) , 2 X Slot13LS-GMIU1端口千兆以太网单模口华为中国个4模块(850nm, 550m, SC)14出口路由器AR-4640华为中国15AR-4640AR 46-40 路由器主机(100-240VAC)华为中国个1(2 固定 FE、4FIC SLOTS)16防火墙(部队、NGFW2000-T3华为中国台2普通分网各1)17服务器X345-8670-31X台1虑。2.2系统总体设计XXX国防大厦计算机网络系统的总体设计主要包括以下几大部分:设计思想分层次的设计冗余设计多协议处理及路由能力设计网络安全设计网络管理设计对Interne
18、t访问的连接方式及安全2.2.1 “自顶向下”的设计思想自顶向下的设计方法适用于从OSI参考模型的高层开始再向较低的层次推 进的网络设计,它着重于在选择运行于较低层次上的路由器、交换机和介质之 前,将重点放在应用、会话、数据的传输上。另外,我们还认为:“好的网络设 计必需清楚客户的需求蕴涵着许多商业和技术的目标,包括可用性、可伸缩性、 可购买性、安全性和可管理性等。”所以我们在设计XXX国防大厦计算机网络 系统的时候,尽量站在用户的角度考虑问题,以满足用户的应用需求和技术需 求为指南。2.2.2 分层次的设计由于XXX国防大厦网络的规模较大,普通的平面网络结构设计模型难以满 足大型网络设计的需
19、求;层次性网络设计模型,由于其良好的伸缩能力、易于 实现、易于排除故障、可预测性、协议支持、易于管理等特点,可充分满足XXX 国防大厦网络的长期需求。因此,我们在设计XXX国防大厦网络的时候,采用 了经典的“三层层次模型”和二层设计相结合的设计方法。层次性网络设计的指导原则选择最适合需求的分级模型,一般情况下二、三层层次模型就可以充 分满足用户的需求。不要使网络的各层总是完全的网状的,访问层通常不必考虑为网状; 汇聚层可以考虑部分的冗余;核心层连接最好是网状,其目的是考虑 电路冗余和网络收敛速度的原因。 不要把终端工作站安装在主干网上,如果主干网上没有工作站,可以 提高主干网的可靠性,使通信量
20、管理和增大带宽的设计更为简单。在适当的层次级别使用具体的特征,这主要通过把不同的控制功能部 署在不同的层次级别来实现。2.3内网设计(部队专网)系统设计支持视需拨号路由选择(DDR)和拨号备份,以及协议欺骗和瞬象路由选 择,能够减少不必要的WAN流量。支持ATM、帧中继、专线和拨号网络。支持服务质量(QOS),包括资源预定协议(RSVP)、协议独立多点传送 (PIM)、一般传输整形、承诺访问速度(CAR)、常规和优先排队、加权公平 排队(WFQ)等功能,能够确保新应用的服务质量(QOS),如通过WAN进 行的电话会议。支持全部访问协议集,包括:点对点协议(PPP)、多链路PPP(MLPPP)、
21、 集成模拟和数字调制解调器、56Kbps/V.9O、拨出和传真输出、基本速率接口 (RBI)调制解调器、信道关联信令(CAS)。支持符合数据加密标准(DES)的IPDEC、3DES数据加密、隧道传输、 扩展访问列表、违规记录、远程访问拨入用户服务(RADIUS)、Kerberos V以 及包括身份鉴定、授权和帐目清算(AAA)三项内容的的TACACS+o具备防火墙功能;具备一定的扩展性。配置要求采用模块化插槽路由器,至少剩有两个空余插槽;根据XXX市国防大厦的特点配置相应的接曰模块,配备至少2个10/100M 以太网RJ-45端口;处理器速率不低于200MHz,不少于32MB的闪存和不少于12
22、8MB的内存。外网路由器技术要求能够支持当今不断发展的网络中所需的高级服务质量(QoS)、安全和网络 集成特性。支持Internet、内部网访问、多服务语音/数据集成、模拟和数字拨号访问 服务、VPN访问、ATM访问集中、VLAN以及路由带宽管理等;支持CSU/DSU、复用器、调制解调器、语音/数据网关、ISDNNT1、防火 墙、VPN、加密和压缩;能支持丰富的图形化网络管理;强大的路由功能;具备一定的扩展性;具备防火墙功能。配置要求采用模块化插槽路由器;2.4大楼总网络设计2.4.1 局域网设计2.4.1.1网络结构XXX国防大厦的网络主要为工作人员提供信息、网络服务。作为政府机关 的网络对
23、安全有特别的要求,所以,本局域网和部队内网之间采用完全的物理 隔离,不共用交换机设备,而且在网络通信线路布线时也分别单独布线。2.4.1.2网络中心在满足XXX国防大厦计算机网络系统应用需求的基础上,考虑到整体系统 性价比,我们建议选用华为的S6506千兆多层骨干交换机作为整个网络的核心 交换机。2.4.1.3分配线间同内网的接入交换机一样,局域网接入交换机也安装在每个楼层分配线间。 接入交换机选用高性能的可堆叠的固定端口交换机,为外网用户提高100Mbps 的接入带宽,并在用户数量较大时经济地扩展交换端口数,满足用户增长的需 求。接入层为用户提供了接入网络的能力,将用户连接到LAN中。XXX
24、国防大 厦的接入层交换机选用可堆叠的S3206E系列堆叠交换机。堆叠交换机提供足 够的10/100BASE-T的交换端口,并通过1000兆的光链路上连到中心交换机 上。2.4.2 广域网设计XXX国防大厦的广域网主要连接公共网,在温州地区主要是与温州市的城 市宽带网相连,并由此访问INTERNET。XXX国防大厦外网与广域网连接采用 路由器方式外网的局域网相连。采用了 AR4640路由器。2.5网络管理设计随着信息技术迅速发展更新,计算机网络的结构已经由原来的单一的、以 主机为中心的集中式,发展成为以网络计算为中心的、分布式的多级结构。网 络上存在有多个厂家的产品,多种操作系统,多种硬件平台,
25、多种协议,以及 用户开发的多种应用。管理这些复杂的环境就需要一个完善、有效的管理平台。 我们选用了华为专业网络管理软件作为XXX国防大厦计算机网络的管理平台。网管系统是一种专为大型多业务网络而设计的开放式标准的网络管理系 统。它采用分布式网络管理体系结构,具有高可靠性,高性能以及易于扩展等 特性。可支持图形化的用户接口,有彩色图、菜单、帮助屏幕、在线文档和多 窗口。多窗口允许网络操作者同时运行多个应用。对网络进行有效管理和利用应包括对网络设备的监控,配置和优化,根据 网络实际情况,制定相应的网络管理策略以及确保网络运行的安全性。2.6应用系统设计XXX国防大厦网络系统支持如下的应用: 提供基本
26、的Internet服务和建立内部Intranet系统(Mail、FTP、Web、 BBS、Telnet 等);信息管理系统集成:管理系统、资料检索系统、信息查询系统、财务系 统以及相关的Internet查询系统、其他信息系统;信息管理系统互连集成,做到资源共享;办公管理信息系统; XXX国防大厦的网站;能对Internet访问流量进行统计、控制,及用户审核;建设多媒体(视频)网络会议应用系统;本部分方案只对计算机网络系统中的网络连接设备进行配置,而对各应用 系统的设计在系统集成部分中进行。同时,因以上大多数的应用都已在系统集 成中考虑,相应的主机设备也在系统集成子系统中配置。在此,我们只配置相
27、 应服务器和网管工作站。服务器用作支持各类应用;网管工作站运行网管软件, 管理局域网中的网络连接设备。2.7主机系统设计XXX国防大厦主机系统是在交换机网络交换系统的平台上,提供基本的数 据服务和建立内部信息系统,并需支持信息管理系统集成和办公管理信息系统 的建设。网络服务器的选用主要考虑了速度、容量和可靠性三方面,确保满足 系统的设计要求。数据主服务器采用速度和容量都比较好的小型机系统,同时采用PC服务 器作为WEB、FTP、E-MAIL、办公自动化、物业管理服务器及网管工作站。在 方案中共配置如下的服务器:数据主服务器:旧M X345;2.8设备选型介绍主交换机S6506支持 IEEE80
28、2.1Q, IEEE802.1p, IEEE802.3X 标准网络协议;支持IEEE802.3, 10BaseT以太网标准;支持 IEEE802.3U, 100BaseTX, 1OOBaseFX 快速以太网标准;支持IEEE802.3Z千兆以太网标准;支持热备份路由器协议(HSRP);支持Internet组管理协议(IGMP)第1和第2版本;支持动态主机配置协议(DHCP)中继;支持Internet控制信息协议(ICMP);支持网关发现协议(GIP);支持ICMP路由器发现协议(旧DP);支持Bootstrap协议(BOOTP)中继;支持PIM组播、资源预留协议;支持IEEE802.1Q VL
29、AN划分功能,支持VTP以及每个VLAN的Spanning Tree算法;支持 GigabitEtherChannel 与 FastEtherChannel 技术;最大交换带宽不少于256Gbps,第三层交换能力不少于150Mpps;交换内存不少于256Mb;支持交换模块和电源的热插拨;具有灵活的端口配置能力;能支持丰富的图形化网络管理;支持 Access Control List 功能;支持SNMP、RMON网络管理协议;完善、灵活、高效的QoS策略。支持路由协议:增强的 IGRP (EIGRP)内部网关路由选择协议(IGRP)开放式最短路径优先(OSPF Open shortest Pat
30、h First)路由选择信息协议(RIP)第1和第2版本静态路由路由重新分配接入层交换机S3206E技术要求:支持以太网:IEEE 802.3, 10BASE-T支持快速以太网:IEEE 802.3U, 100BASE-TX, 100BASE-FX支持千兆位以太网:IEEE 802.3z, 802.3ab支持IEEE 802.1 D生成树协议支持IEEE 802.1p CoS优先级设置支持 IEEE 802.1 Q VLAN支持1000BASE-X (兆位接口转换器GBIC)支持1000BASE-X (小型可插拔SFP)支持 1000BASE-SX支持 1000BASE-LX/LH支持 100
31、0BASE-ZX支持RMON I和II标准最大交换带宽不少于60Gbps,第三层交换能力不少于40Mpps;支持 GigabitEtherChannel 与 FastEtherChannel 技术;支持 Access Control List 功能;具有灵活的端口配置能力;能支持丰富的图形化网络管理;支持交换模块和电源的热插拨;支持PIM组播、资源预留协议;支持SNMP、RMON网络管理协议;完善、灵活、高效的QoS策略。第三层特性:支持静态IP路由支持IP路由协议(内部网关路由协议IGRP、增强型IGRPEIGRP、开 放式最短路径优先OSPF、路由信息协议RIP、RIP2)支持边界网关协议
32、4BGP4和多播边界网关协议MBGP支持热待机路由协议(HSRP)支持 IGMPvl、v2 和 v3支持IP多播路由协议(距离向量多播路由协议DVMRP、PIM、SSM)支持多播源发现协议(MSDP)支持完全支持互联网控制消息协议(ICMP)支持ICMP路由器发现协议配置要求:交换机模块插槽不少于6个,并至少剩有两个空余插槽;交换引擎要求带三层交换功能;提供10/100MB RJ45模块至少128 口;配备冗余交流220V电源(可由UPS提供);按附图所示的拓扑结构配置相应的光纤接口模块;2.9网络系统验收及测试设备测试测试目的是验证设备质量和配置是否合格。对每一台网络设备,均需进行 如下所列
33、的测试项目。2.9.1.1设备启动A 冷启动:对单个设备多次开关电源,观察能否正常启动。B 热启动:单个设备正常启动后,用该产品的热启动命令进行热启动测试, 观察能否正常启动。2.9.1.2设备状态一般设备都有电源和每个物理端口的指示灯,配合相应产品的说明书,检 查设备的指示灯是否正常。一台设备状态正常必须是所有指示灯正常。2.9.1.3配置检查用被测产品的相应命令检查网络设备的硬软件配置,特别注意软件版本。 如显示的信息符合设备合同的要求及与产品说明一致,即为正常。2.9.1.4端口检查用被测产品的相应命令检查网络设备中端口配置,并用网络测试设备对端 口进行速率、校验机制等进行测试。如测试结
34、果符合设备合同的要求及与产品 说明一致,即为正常。2.9.1.5物理检查对设备进行检查,记录网络设备(对模块结构的设备,还包括独立部件) 出厂编号、产地、日期等内容,与合同和产品说明一致为正常。2.9.2 网络测试网络性能指标测试测试目的是获取网络运行基本指标,以评判网络性能指标是否正常和达到 设计要求。应测试带宽、利用率、吞吐量、精确度、延迟等指标。A带宽测试应采用专用网络测试设备对网络的骨干层、汇聚层、接入层等进行可用带 宽测试。测试结果达到良好、一般为合格。以太网指标如表1所示。在双链路 和负载均衡情况下,可用带宽应为单链路的1.8倍以上。表1以太网可用带宽指标以太网类型良好一般差千兆网N350M300M 至 350M5300M