谈珠海市宽带IP网络方案.docx

资源描述

XX市宽带IP网络方案 2000年9月前言网捷网络公司非常荣幸能为XX市宽带网提供解决方案。针对XX市的实际情况，我们推出了全面采用FOUNDRY公司产品组成的解决方案，利用屡获大奖的BigIron 8000第三层交换机、BigIron 4000第三层交换机和FastIron交换路由器，组成一套可以在现有光纤系统上提供高速传输的网络系统。FOUNDRY公司的系列产品在国内外均已大量使用并深获好评，相信也能在XX市的使用中发挥其一贯的稳定可靠、易用易管理、高性能的特点，保障XX市宽带网络的连续运行。本方案采用的骨干设备是FOUNDRY BigIron 8000，每台有8个网络模块插槽。接口模块有有多种类型可选，根据实际需要加以配置。本方案采用的边缘设备是BigIron 4000，每台有4个网络模块插槽。本方案采用的楼域用户接入设备主要是FOUNDRY FastIron 工作组交换机。骨干节点和边缘节点之间用千兆以太网连接。可以提供高速的TCP/IP，NOVELL IPX，WINDOWS NT，WINDOW98/95网络互通。目录第1章项目描述 5 1.1 项目概况 5 1.2 建设范围 5 1.3 营运级宽带网络 5 第2章 XX市宽带网解决方案 7 2.1 主干技术 7 2.2 设备选型 7 2.2.1 网络主干设备的系统结构 7 2.2.1.1交换结构（Switching Fabric） 8 2.2.1.2 阻塞与非阻塞配置 8 2.2.1.3采用何种方式实现第3层和第4层的处理 9 2.2.2系统容量 10 2.2.3关键部件冗余设计 10 2.2.4缓冲技术 10 2.2.5系统结构的技术寿命 11 2.3选型结论 12 2.4XX市宽带网组网方案 13 2.4.1网络拓扑结构 13 2.4.2骨干节点 13 2.4.3边缘节点 13 2.4.4接入层节点 14 2.4.5用户接入 14 2.5方案特点 16 2.5.1 全部第三层功能的主干交换网络结构 16 2.5.2完善的接入安全性 16 2.5.3与业务相关的网络设计 16 2.5.4 良好的网络隔离能力 17 2.5.5 完善的设备安全性 18 2.5.6 良好的网络稳定性 18 2.5.7良好的网络扩展性 19 2.5.8良好的可管理性 19 2.5.9服务质量保证 19 第3章业务描述 21 3.1 用户接入Internet 21 3.2 用户局域网高速互连 23 3.2.1 企业用户VLAN组网 23 3.2.2 企业用户IP VPN组网 24 3.3 用户建立网站及其访问控制 25 3.4 用户隔离与基本认证 25 第4章网络管理 26 4.1 网管中心的设置和职责 26 4.1.1 节点维护管理终端 26 4.2 网管中心的功能 27 第1章项目描述 1.1 项目概况 XX市电信根据自己的技术和资源优势，决定建立一个高带宽、高速率的信息传输网，为用户提供数据运载服务及信息服务。网络覆盖全市的各个区，可以为用户提供以IP为基础的新的数据业务，如宽带接入、电子商务、视频传输、多点广播、视频点播、协同设计、桌面会议电视、远程医疗、远程教育的各种信息服务。 XX市宽带IP城域网可为用户提供以下服务： l 利用该项目网络的带宽优势，提供保证质量的多媒体应用。 l 为分散经营的企业集团建立虚拟专用网，以便统一管理其资产、物资、资金、市场、人事等。 l 高中、职业高中、初中、小学、幼儿园为服务对象、建立普通教育或义务教育专用网。 l 向家庭用户、机关团体提供多媒体形式的信息查询、国际联网、视频点播等信息服务。 1.2 建设范围 XX市宽带IP城域网由3个骨干节点、15边缘节点和多个接入节点组成，覆盖XX市各区县。 1.3 营运级宽带网络根据XX市宽带网的要求，本网定位为营运级的宽带网络。本网络是一个IP网络，以顺应数据网络的发展趋势，提供对绝大部分IP业务的直接支持。本网络又必须是一个宽带网络，以满足网络数据流量的迅速增长，提供大容量高速传输的能力，符合其服务平台的角色。本网络还必须是一个服务性营运级的网络，以区别于供企业自用为主的企业级网络，而在可靠性、服务质量QoS、业务类别方面有较高保障，从而对公众提供丰富、易用、可靠的服务，并对二级服务网络提供可靠连接。由于IP协议和IP数据在网络上会越来越普及，本网络应该可以很好地支持TCP/IP协议，在时机成熟时，可以方便地转成全宽带IP网。因此，本项目将是一个以TCP/IP协议为基础、具有大容量高速传输能力的、可靠稳定保证服务质量的营运级宽带网络。第2章 XX市宽带网解决方案 2.1 主干技术在充分研究了目前国际网络界对城域网设计所采用的各种网络主干技术,并充分考虑到技术发展的主流和趋势后,我们建议XX市宽带网络采用以千兆以太网或POS 为核心层链路、以千兆以太网为核心层与边缘层连接而组成的网络主干。 2.2 设备选型 XX市宽带IP网的主要用户对象是企业用户和家庭用户。家庭用户接入宽带IP网主要用于访问Internet。企业用户主要通过宽带IP网进行不同营业场所的互联。此外，也可通过宽带IP网访问Internet。企业用户长期使用电信的租用线路（即电路）连接内部网络，并且通过电信连接INTERNET。他们的使用习惯值得尊重。这类用户关心的是网络的安全性和服务质量。由于用户数众多，为保证全网的安全性和性能，同时保护企业用户在网上传输的性能的安全性，保证他们有承诺的带宽可以利用，对设备选型必需仔细比较和分析。如第一章所述，网络设备必需既支持虚拟局域网技术，以提供透明的链路通道；又必须支持大多数网络协议，提供网络服务，开展网络应用。这就决定了所有设备必须是可以工作在第二层或第三层的，具有每层对应的安全控制功能，如第二层的MAC过滤功能，第三层的访问列表控制功能等。为保证给与用户所购买的带宽，除了采用各种服务质量机制和带宽管理机制进行带宽管理外，设备必须提供全线速的交换和路由能力，有足够大的MAC地址表和路由表。为保证网络的安全性，设备本身必须支持各种安全机制，确保设备本身不会被轻易入侵。下面就骨干节点设备、边缘节点设备和接入设备的选型进行阐述。 2.2.1 网络主干设备的系统结构网络主干设备即骨干节点设备的系统结构直接决定了设备的性能和功能水平。这犹如先天很好的一个婴儿和一个先天不足的婴儿，即便后天成长条件完全相同，他们的能力依然有相当大的差别。因此，深入了解设备的系统结构设计，客观认知设备的性能和功能，这对正确选择设备极有帮助，下面将从七个方面进行讨论。 2.2.1.1交换结构（Switching Fabric）随着网络交换技术不断的发展，交换结构在网络设备的体系结构中占据着极为重要的地位。为了便于理解，这里仅简述三种典型的交换结构的特点：共享总线。由于近年来网络设备的总线技术发展缓慢，所以导致了共享总线带宽低，访问效率不高；而且，它不能用来同时进行多点访问。另外，受CPU频率和总线位数的限制，其性能扩展困难。它适用于大部分流量在模块本地进行交换的网络模式。共享内存。其访问效率高，适合同时进行多点访问（MULTICAST）。共享内存通常为DRAM和SRAM两种，DRAM速度慢，造价低，SRAM速度快，造价高。共享内存方式对内存芯片的性能要求很高，至少为整机所有端口带宽之和的两倍（比如设备支持32个千兆以太网端口，则要求共享内存的性能要达到64Gbps）。交换矩阵（Cross bar）。由于ASIC技术发展迅速，目前ASIC芯片间的转发性能通常可达到1Gbps，甚至更高的性能，于是给交换矩阵提供了极好的物质基础。所有接口模块（包括控制模块）都连接到一个矩阵式背板上，通过ASIC芯片到ASIC芯片的直接转发，可同时进行多个模块之间的通信；每个模块的缓存只处理本模块上的输入/输出队列，因此对内存芯片性能的要求大大低于共享内存方式。总之，交换矩阵的特点是访问效率高，适合同时进行多点访问，容易提供非常高的带宽，并且性能扩展方便，不易受CPU、总线以及内存技术的限制。目前大部分的专业网络厂商在其第三层核心交换设备中都越来越多地采用了这种技术。 2.2.1.2 阻塞与非阻塞配置阻塞与非阻塞配置是两种截然不同的设计思想，它们各有优劣。在选型时，一定要根据实际需求来选择相应的网络设备。阻塞配置。该种设计是指：机箱中所有交换端口的总带宽，超过前述交换结构的转发能力。因此，阻塞配置设计容易导致数据流从接口模块进入交换结构时，发生阻塞；一旦发生阻塞，便会降低系统的交换性能。例如，一个交换接口模块上有8个千兆交换端口，其累加和为8Gbps，而该模块在交换矩阵的带宽只有2Gbps。当该模块满负荷工作时，势必发生阻塞。采用阻塞设计容易在千兆/百兆接口模块上提高端口密度，十分适合连接服务器集群（因为服务器本身受到操作系统、输入/输出总线、磁盘吞吐能力，以及应用软件等诸多因素的影响，通过其网卡进行交换的数据不可能达到网卡吞吐的标称值）。非阻塞配置。该设计的目标为：机箱中全部交换端口的总带宽，低于或等于交换结构的转发能力，这就使得在任何情况下，数据流进入交换结构时不会发生阻塞。因此，非阻塞设计的网络设备适用于主干连接。在主干设备选型时，只需注意接口模块的端口密度和交换结构的转发能力相匹配即可。当要构造高性能的网络主干时，必须选用非阻塞配置的主干设备。 2.2.1.3采用何种方式实现第3层和第4层的处理众所周知，每一次网络通信都是在通信的机器之间产生一串数据包。这些数据包构成的数据流可分别在第3、4层进行识别。在第3层（Network Layer，即网络层，以下简称L3），数据流是通过源站点和目的站点的网络地址被识别。因此，控制数据流的能力仅限于通信的源站点和目的站点的地址对，实现这种功能的设备称之为路由器。路由器在网络中占据着核心的地位。传统路由器是采用软件实现路由功能，其速度慢，且价格昂贵，往往成为网络的瓶颈。随着网络技术的发展，路由器技术发生了革命，路由功能由专用的ASIC集成电路来完成。现在这种设备被称之为第三层交换机或叫做交换式路由器。第4层（Transport Layer即传输层，以下简称L4），通过数据包的第4层信息，设备能够懂得所传输的数据包是何种应用。因此，第4层交换提供应用级的控制，即支持安全过滤和提供对应用流施加特定的QoS策略。传统路由器具有阅读第4层报头信息的能力（通过软件实现），与第三层交换机（或交换式路由器）采用专用的ASIC集成电路相比，设备的性能几乎相差了两个数量级，因此，传统路由器无法实现第4层交换。值得指出的是：网络主干设备的系统结构在设计上分成两大类：集中式和分布式。即便两者都采用了新的技术，但就其性能而言，仍存在着较大的差异。集中式所谓集中式，顾名思义，L3/L4数据流的转发由一个中央模块控制处理。因此，L3/L4层转发能力通常为3M－4Mpps，最多达到15Mpps。分布式将L3/L4层数据流的转发策略设置到接口模块上，并且通过专用的ASIC芯片转发L3/L4层数据流，从而实现相关控制和服务功能。L3/L4层转发能力可达 40Mpps 至 100Mpps，甚至180Mpps。 2.2.2系统容量由于网络规模越来越大，网络主干设备的系统容量也成为选型中的重要考核指标。建议重点考核以下两个方面：物理容量各类网络协议的端口密度，如千兆以太网、快速以太网，尤其是非阻塞配置下的端口密度。逻辑容量路由表、MAC地址表、应用数据流表、访问控制列表（ACL）大小，反映出设备支持网络规模大小的能力（先进的主干设备必须支持足够大的逻辑容量，以及非阻塞配置设计下的高端口密度。） 2.2.3关键部件冗余设计人们已经普遍认同处于关键部位的网络设备不应存在单点故障。为此，网络主干设备应能实现如下三方面的冗余。电源和机箱风扇冗余控制模块冗余控制模块冗余功能应提供对主控制模块的“自动切换”支持。如：备份控制模块连续5次没有听到来自主控制模块的汇报，备份模块将进行初始化并执行硬件恢复。另外，各种模块均可热插拔。交换结构冗余如果网络主干设备忽略交换结构的冗余设计，就无法达到设备冗余的完整性。因此，要充分考虑网络主干设备的可靠性，应该要求该设备支持交换结构冗余。此外，交换结构冗余功能也应具有对主交换结构“自动切换”的特性。 2.2.4缓冲技术缓冲技术在网络交换机的系统结构中使用的越来越多，也越来越复杂。任何技术的使用都有着两面性，如过大的缓冲空间会影响正常通信状态下，数据包的转发速度（因为过大的缓冲空间需要相对多一点的寻址时间），并增加设备的成本。而过小的缓冲空间在发生拥塞时又容易丢包出错。所以，适当的缓冲空间加上先进的缓冲调度算法是解决缓冲问题的合理方式。对于网络主干设备，需要注意几点： l 每端口是否享有独立的缓冲空间，而且该缓冲空间的工作状态不会影响其它端口缓冲的状态。 l 模块或端口是否设计有独立的输入缓冲、独立的输出缓冲，或是输入/输出缓冲。 l 是否具有一系列的缓冲管理调度算法，如RED、WRED、RR/FQ、WERR/WEFQ。 2.2.5系统结构的技术寿命所选择的网络主干设备，其系统结构应能满足用户的功能需求，并具有足够长的技术生命周期。换言之，要避免通过硬件补丁的办法（不断增加新的硬件单元对系统结构中存在的不足进行补偿，或彻底更换新设备的方式），才能满足用户1至2年内不断增长的功能需求。业界有很多设备的系统结构是第2层交换的设计概念，需要通过增加第3层的硬件模块才能实现第3层或第3/4层交换的功能，而且第3/4层数据包的转发能力远低于第2层交换的转发能力。另外，短期内还可能出现用新产品来替代原有产品的情况，这对用户的投资保护十分不利。 2.3选型结论基于上述考虑，我们为XX市宽带IP网骨干节点了提供业界最先进的FOUNDRY BigIon 8000系列交换机。8000采用的三层交换技术基于特殊的交换方式设计，每个模块都可以进行分布式路由和交换，没有其他厂家所必需的超级引擎或CPU处理模块，每个接口模块都采用共享内存设计，有利于广播和组播性能的提高，同时避免了线头阻塞，提供模块上的本地交换能力，每个模块的吞吐率为32Gbps，是真正的无阻塞设计。8000的背板采用256Gbps交叉矩阵，连接每个模块，可以实现真正的全线速第二层和第三层交换。每个模块可以热插拔，电源可以最多配置四个，所有的交换和路由功能通过ASIC芯片完成，交换能力达96Mpps。8000的系统设计技术已经在业界得到了无数大奖，在实验室和实际应用环境中得到了充分的考验，被证明是成熟稳定而先进的。边缘节点的设备选型有两种方案，即FOUNDRY BigIron 4000或FastIron II交换机。BigIron 4000具有128Gbps的交换背板和48Mpps的第三层交换能力。系统设计与8000完全一样。FastIron II具有32Gbps的交换能力，吞吐量为23Mpps。对于接入层节点的楼域交换机，我们建议采用FOUNDRY FastIron工作组交换机。FastIron具有 4.2 G 的交换容量。每个端口具有2个优先级队列，每一个都是相互独立配置并由交换矩阵提供服务，这样可以防止低优先级数据的冲击而导致高优先级队列包的延迟或丢失。 FastIron 还具备基本的第三层服务功能。 2.4XX市宽带网组网方案 2.4.1网络拓扑结构参见附图。 2.4.2骨干节点为3个骨干层节点各选用一台FOUNDRY BigIron 8000，每台BigIron 8000配置两块冗余备分的管理模块，并配置冗余的直流电源。在东城，每个管理模块上配备2个长距千兆以太网端口。在每个管理模块上各选一个千兆端口捆绑在一起，以2Gbps的速率连接西城。然后再各选一个千兆端口进行捆绑，连接广饶。每个管理模块上还有4个1000BaseLx端口，可以用于连接距离较近的边缘节点，如胜利模块局。另外还配置了一块24口100BaseTx模块和一块10BaseFx模块用于连接本地用户。在广饶，每个管理模块上配备3个长距千兆以太网端口。在每个管理模块上各选一个千兆端口捆绑在一起，以2Gbps的速率连接东城。然后再各选一个千兆端口进行捆绑，连接西城。由于大王模块局距离较远，也需要通过长距千兆端口进行连接。每个管理模块上还有4个1000BaseLx端口，可以用于连接距离较近的边缘节点。另外还配置了一块24口100BaseTx模块模块和一块10BaseFx模块用于连接本地用户。在西城，每个管理模块上配备3个长距千兆以太网端口。在每个管理模块上各选一个千兆端口捆绑在一起，以2Gbps的速率连接东城。然后再各选一个千兆端口进行捆绑，连接广饶。由于河口模块局距离较远，也需要通过长距千兆端口进行连接。每个管理模块上还有4个1000BaseLx端口，可以用于连接距离较近的边缘节点，包括民营园、黄河口、长安集团、钻井和辛店。另外还配置了一块24口100BaseTx模块和一块24口100BaseFx模块用于本地连接。在BigIron 8000上还可以根据需要配置ATM模块和POS模块。 2.4.3边缘节点在每个边缘节点，选用FOUNDRY BigIron 4000。BigIron 4000配置一个管理模块，并配置冗余的直流电源。在大王模块局、孤岛、仙河，配置一块24口100BaseTx和一块24口100BaseFx模块，用于用户接入。在管理模块上配置一个长距千兆以太网端口，用于节点之间的互连。河口模块局的BigIron 4000管理模块上配置了3个长距千兆以太网端口，用于连接西城、孤岛和仙河。配置一块24口100BaseTx和一块24口100BaseFx模块，用于用户接入。对于胜利、民营园、黄河口、长安集团、钻井和辛店，在管理模块上配置2个1000BaseLx端口，用于连接网络核心的BigIron 8000交换机。配置一块24口100BaseTx和一块24口100BaseFx模块，用于用户接入 2.4.4接入层节点在接入层节点，楼域交换机采用了FastIron工作组交换机，有24个10/100M自适应接口，并配备了2口100BaseFX上行接口，连接到网络边缘节点。 2.4.5用户接入家庭用户通过楼内的双绞线，以10/100M速率连接到楼域交换机上。企业用户需要高速连接时，可以把企业自己的交换机通过光纤直接连接到最近的边缘节点。对于DDN、ADSL等其他接入方式，其局端汇聚设备可以采用10/100/100M端口连接到宽带IP骨干网。 2.4.6网关设备 XX市宽带IP网采用私有IP地址为网络设备进行编址。在同Internet进行连接时，需要进行地址转换。地址转换有两种情形：普通用户访问Internet时，对用户的源地址进行动态转换。向Internet提供信息服务的服务器需要保持服务器的私有地址同合法IP地址之间的静态对应关系。提供这类地址转换功能的网关设备在业界比较多，最著名的是CheckPoint公司的FireWall-1防火墙产品。FireWall-1不仅提供简单的地址转换功能，还能为全网提供防火墙安全保护，以及详尽的安全状况记录。为了提高网络出口处的吞吐量，避免网关设备成为数据传输的瓶颈，Foundry公司提供了4-7层交换机ServerIron对防护墙进行负载均衡处理。ServerIron最多可以支持32台防护墙同时工作。因此，XX市宽带IP网可以根据实际的网络流量，平滑地增加网络出口处的吞吐量。 The Internet The Intranet Internet 城域网 2.5方案特点 2.5.1 全部第三层功能的主干交换网络结构所有核心层和边缘层产品都支持第二层和第三层功能。不仅可以进行VLAN的划分，还可以进行高速的路由转发。VLAN可以根据端口、子网和网络协议进行划分。支持各种常用的网络协议和路由协议。由于每个设备都支持无阻塞的第二层或第三层交换，在交换结构中，可以达到非常好的性能。也意味着可以减少繁琐的拥塞管理和服务质量管理工作。第二层意味着可以支持域网络协议无关的链路服务，用户可以是IP网络、IPX网络或WINDOWS NT 网络，用户不需要改变他们已有的网络协议和网络地址。第三层意味着可以支持以IP为主要协议的网络应用，尤其是需要与其他地域互连时，由于网络链路的复杂性和多样性，要进行网络互连，必须采用高层网络协议。第二层服务可以为本地的企业用户服务。第三层则可以为跨地域连接时提供服务，例如与上级网络的连接，同一企业在全省范围的连接等。 2.5.2完善的接入安全性由于每个设备都可以支持第二层和第三层交换，因此可以提供第二层和第三层的安全控制能力。第二层安全控制能力可以提供端口地址过滤、端口地址锁定等功能。端口地址过滤允许交换机根据预先设定的过滤规则，允许或禁止某些第二层数据包进出交换机，也就是对上网用户的网卡MAC地址进行检查后才能上网，不符合规则的用户将被拒绝上网。第三层安全控制能力可以提供访问控制列表能力，允许交换机根据预先设定的规则，允许或者禁止某些第三层数据（IP或IPX包）进出交换机。 2.5.3与业务相关的网络设计网络骨干是业务最集中的地方或是数据转发的枢纽地，为此，网络设计需要保证骨干的可靠性。网络骨干节点之间采用环形拓扑，两节点之间的光路出现故障时，不会影响节点间的通讯。此外，由于采用了跨模块的TROUNK GROUP技术，单个端口或模块的故障不会影响节点间通讯。冗余备份的管理模块保证了骨干交换机的不间断运行。边缘节点与骨干节点之间的连接同样采用TROUNK GROUP技术，无论出现光路、端口还是模块故障，都不会造成通讯中断。上述网络核心在IP路由设计中，也有很大的好处。OSPF作为本网的首选路由协议，需要一个AREA 0作为核心区域，所与其他的区域需要和核心区域有物理的联系，否则就要用到虚拟连接的技术，虚拟连接对于其中的传输驿站有比较大的性能压力，对于路由的分配和控制管理都非常不方便。如果选择上述网络核心作为OPSF的核心区域AREA 0，把边缘层作为一个个独立的区域，则它们都是直接连接到AREA 0上的，不需要使用虚拟连接，整个路由域只有2层，显得比较有层次，软件配置和将来可能的扩充都会比较容易。用户的接入宽带IP网时，必须采用静态路由，保证用户内部网与城域网相对隔离和独立。用户的路由设备不会参与城域网的路由计算，避免因为用户设备的原因导致全网路由波动频繁，影响路由性能。 2.5.4 良好的网络隔离能力企业用户比较关心的问题是网络的安全性问题，他们不希望内部数具有被窃取的可能，这就使得网络必须提供类似电路的隔离功能。在城域网的建设中，采用的比较多的是VLAN技术，即虚拟局域网技术。在VLAN技术出现以前，以太网交换技术属于网络的第二层，所有的端口都属于同一个广播域，也就是每个端口都可以收到广播信息，不管它愿不愿意。在大型的网络环境中，广播包不可避免地会引起带宽的浪费，而在TCP/IP，IPX，WINDOWS环境下，广播包的使用更是不可或缺。为了解决这个问题，VLAN技术应运而生。VLAN把一部分端口模拟成为一个虚拟的广播域，VLAN的所有广播都只会在本域内发送，不会超出广播域，进一步，VLAN内的所有数据都只能被同一VLAN的成员接收，而不会被非本VLAN成员接收。不同的VLAN之间不能相互通信，必须通过路由设备进行转发。如果把每个企业用户划到每个不同的VLAN内，企业用户之间就不可能相互通信，这就实现了逻辑隔离。企业用户只通过某台设备上的一个特定端口访问网络，因此每个企业用户连接到网络的路径都是独立的，相互之间没有任何关系。与第二层的VLAN技术相类似的还有第三层的VPN虚拟专用网技术。VPN适合于在类似于因特网这样的公网上传输私有数据。通过隧道技术和数据加密技术，用户可以控制自己的数据安全。加密手段可以在用户的路由设备上实现，也可以在专门的设备上实现。隧道技术可以在用户的路由设备上实现。由于XX市城域网属于宽带IP网，完全可以支持VPN功能。我们建议VPN功能由用户自行实现，或者租用XX电信的设备，但目前网络上尚未配置。 2.5.5 完善的设备安全性 FOUNDRY的设备具有良好的安全性： · 多重访问控制。FOUNDRY产品具有多冲击别的访问控制，允许系统管理员完成配置管理，同时保护系统面授非法的配置修改。用户分为三种级别：超级用户、只读用户、普通用户。超级用户具有最大权限，普通用户只能配置接口参数，并使用显示参数命令。只读用户只能阅读配置，没有任何更改权利。 · 通过访问控制列表，可以禁止或允许对FOUNDRY设备的远程管理。 · 本地用户或RADIUS、TACACS+口令认证。 · 通过身份验证，可以禁止或允许TELNET访问，必要时，可以关闭TELNET服务。 · 通过SYSLOG功能，把系统事件纪录并保存下来。 2.5.6 良好的网络稳定性网络的稳定性体现在当网络发生链路或设备失效时，网络能在短时间内恢复正常。对于一个运行级网络来说，稳定性与性能一样重要。设备稳定性除设备的性能指标外，主要指设备的平均无故障时间（MBTF）。本方案涉及的设备MBTF如下： MTBF for FastIron：单电源- 43,400 小时 MTBF for BigIron 4000：机箱加单电源 - 36,500 小时 MTBF for BigIron 8000：机箱加4个电源 – 32,400小时链路稳定性体现在两个层次：第二层稳定性和网络层稳定性。第二层稳定性表示物理链路的收敛时间。FOUNDRY产品在运行第二层交换功能时，使用最小生成树算法来保持每个VLAN。一般的最小生成树算法需要至少30秒时间进行生成树的收敛（15秒侦听，15秒学习），而FOUNDRY独有的IRONSPAN技术可以在4秒内实现生成树。FOUNDRY的第二层功能缺省打开了IRONSPAN功能。第三层稳定性体现在路由的收敛时间。本网络采用OSPF标准协议，可以在30秒内实现全网路由收敛。实际上，OSPF在监测到路由波动时，缺省只需等5秒钟再进行路由计算，计算工作在5秒内即可完成，因此基本上是在10秒以内完成路由收敛。如有必要，还可以调整时间。 2.5.7良好的网络扩展性本方案采用的BigIron 4000和 BigIron 8000都是机架式设备，目前只用了部分插槽，剩余未用的插槽可供今后网络扩展之用。 FastIron工作组交换机可以堆叠，并可以采用TRUNK技术把多条物理链路当作1条逻辑链路使用，根据业务的发展可以相应地增加端口或升级上行链路。 2.5.8良好的可管理性所有FOUNDRY产品都支持三种网络管理方式：命令行、WEB和IRONVIEW网管软件。FOUNDRY的命令行与CISCO的命令行非常类似，都是简单易用，并有帮助功能，可以进行所有的配置工作。WEB浏览器管理则采用图形界面，直观而简洁。IRONVIEW网管软件可以单独运行在WINDOWS NT平台上，也可以与HP OPENVIEW，SUN NETMANAGER配套使用。 FOUNDRY产品支持标准的网路管理协议：简单网络管理协议（SNMP）和远程监控协议（RMON）。通过SNMP，网管人员可以远程进行设备状态纪录，设备维护，设备告警，设备启动等操作，实现全面管理。RMON可以详细记录每个端口的流量情况，如输入输出的字节数、数据包数。以此为基础，可以实现基于流量的统计和计费。 2.5.9服务质量保证 IronClad 服务质量是优先级的延伸，可以提供更好的灵活性和流量控制能力。采用FOUNDRY IronClad QoS，可以配置四种服务质量队列：0-尽力传递，1-低优先级，2-高优先级，3-最高优先级。可以对数据包进行分类，分类后分配到对应的队列。分类的方法有： •输入端口 • IP 源和目的地址 • 第四层源和目的信息 • 静态 MAC内容 • AppleTalk端口号 •基于VLAN • 802.1p/q 标记 • IP TOS 映射可选的队列模式 IronClad QoS 允许选择下列队列模式之一： • 限制 – 高级别队列优于低级别队列 • 可调的加权平均队列—加权平均队列将被用来进行在四个队列间轮流提供服务。 •承诺的带宽（CAR）–在满负荷情况下，提供已承诺的带宽。可配置的带宽比例对于加权平均队列，可以指定每个队列可接收的最小带宽使用比例。第3章业务描述 3.1 用户接入Internet XX市宽带IP网建成之后，可以实现10Mbps以太网到户，住宅用户不但可以访问XX市宽带网上的网站，还可以访问Internet。用户之间还可以共享文件和资源，或者联网玩游戏，充分享受在信息高速公路上遨游的乐趣。用户接入通过楼内的单元交换机FastIron。单元交换机再通过100Mbps以太网汇接到最近的接入节点。接入节点的网络设备是BigIron 4000交换机。为了实现用户隔离，采用一户一个VLAN的方式。每个VLAN从单元交换机FastIron上的用户接入端口开始，终止在接入节点的BigIron 4000上。 FastIron交换机的上联端口同BirIron 4000上的100M端口都运行802.1Q协议。这样，在BigIron 4000的一个100M端口上，可以终结楼内所有用户的VLAN。如下图所示。在BigIron 4000的100M端口上，为每一个VLAN建立一个虚拟的逻辑子接口(称为Virtual Ethernet接口，简称VE)，用于完成IP路由功能。在通常情况下，每个VLAN上的VE接口和用户的联网设备需要占用一个IP子网，用户的缺省网关指向VE上的IP地址。为了节省网络地址空间，简化网络设备配置，BigIron 4000支持多个VE接口使用同一个IP地址，而所有的楼内用户都位于同一个IP子网内。如下图所示。此时，这些用户由于分处不同的VLAN而实现了物理隔离，同时又保留了IP层的互通性。为了进一步减少使用的VLAN数量和配置的工作量，并节省IP地址，FOUNDRY在BigIron和FastIron上实现了一个特殊的功能，称为上联交换端口(Uplink Switch Port,检查USP)。参见下图： FastIron Switch User 1 (207.95.1.xxx) User 2 (207.95.1.yyy) 207.95.1.36 BigIron 4000 207.95.1.35 25 所有连接在FastIron上的用户都属于同一个VLAN和同一个IP子网。为了实现用户间的相互隔绝，将FastIron的上联端口(在本方案中，即两个100BaseFx端口)的USP功能打开。这时，来自一个用户的广播数据包和未知单址数据包都只送网上联端口，而不会分发到其他端口上面。用户虽然属于同一VLAN和IP子网，但不能直接进行通讯。采用USP技术时，可以大大减少所需VLAN的数量。例如，可以把同一幢楼内的用户都划入同一个VLAN。同时还减少了所需IP子网的数目，减少了网络配置的工作量。通过采用DHCP技术，住宅用户可以自动获得IP地址、缺省网关地址，简化用户设备的配置。FOUNDY交换机支持DHCP Assistant技术，可以根据用户所在的不同VLAN，通知DHCP服务器为用户分配相应的IP子网地址。 3.2 用户局域网高速互连 XX宽带IP网可以为企业用户提供局域网互连业务，实现企业中心机构同分支机构之间的连接。同企业租用专线相比，费用更低，速率更高，并且可以保留企业用户的原有网络结构和IP地址规划不变。 3.2.1 企业用户VLAN组网企业用户可以通过VLAN互连。VLAN工作在OSI网络参考模型的第二层，不同VLAN之间的数据彼此完全隔离，从而保证了用户数据的安全性。采用VLAN技术进行网络互联为企业组网提供了极大的灵活性。企业可以自行选择网络协议，自行规划使用网络地址，无需网络运行商的协助，从而也减少了网管中心对网络的维护和配置工作量。 FOUNDRY公司的网络产品支持集成交换路由(Integrated SwitchRouting)。在同一端口上可以支持多个VLAN，每个VLAN可以根据实际需要，或者以路由方式工作，或者以交换方式工作。这样，在一个主要以路由方式进行工作的宽带城域网上，可以灵活的为企业用户建立起单独的VLAN，提供透明局域网服务。以金融证券行业用户用户为例。这些用户目前基本上都已经购买了路由器，通过DDN、帧中继线路进行了互连。改用宽带IP网进行互联时，用户可以申请一个VLAN，并将现有的路由器接入此VLAN，就可以实现互连。用户可能需要修改路由器上接入VLAN的那个以太网端口的IP地址，因为此时所有路由器连接VLAN的端口都在同一个IP子网内。不过路由器后面用户内部设备的IP地址都不用改变。参见下图。 VLAN 由于路由器不转发广播包，因此进入宽带IP网的数据流都是有用的，这样就合理利用了带宽资源，此时路由器之间的维护数据为路由协议信息和VLAN信息。由于传统路由器的数据包转发性能较低，用户可以采用高性能的第三层交换机来取代路由器，进行高速网络互联。如果企业的网络规模不大，也可以直接将各分支机构内的第二层交换机或Hub同城域网直接相连。但这种方法存在潜在的隐患，用户有可能有意无意地在VLAN上引发广播风暴。为此需要在VLAN上运行Spanning Tree算法来检测和防止环路，同时在同用户连接的交换机端口上对广播包的速率进行限制。用户所在VLAN同城域网其他部分是完全隔离的，用户连接在VLAN上的设备的IP地址也是由用户自行规划和使用的。如果用户需要访问城域网或Internet上的资源，首先需要向XX电信申请能够访问城域网IP服务的网络端口(例如，采用前一节所述的用户Internet接入端口)，并申请在城域网的IP地址空间内的IP地址。然后由支持NAT的网关设备将用户数据包内的企业内部地址转换成城域网地址，实现对城域网内网站资源的访问；并进一步经由城域网的Internet网关，访问Internet上的资源。 3.2.2 企业用户IP VPN组网企业用户也可以采用IP VPN的方式进行局域网互连。用户在各个分支机构放置VPN网关设备。该设备采用前面所述的用户访问Internet的方式接入城域网，每台网关设备都被分配一个城域网IP地址空间内的IP地址。从城域网的角度看来，每台网关设备同住宅用户家里的PC机没有什么区别。网关设备之间通过IP隧道协议，将用户网内的IP数据包封装在城域网的IP数据包内送往城域网，由城域网对这些数据包进行通常的转发。从网关设备的角度看来，相互之间形成了一条点到点的虚拟通道。网关设备采用IP SEC协议对用户数据包进行加密，放置数据被城域网上其他用户窃取或篡改。 IP VPN由企业用户在网络的边缘发起，自行构建加密隧道，自己掌

展开阅读全文