石油化工企业宽带小区解决方案.doc

1、石油化工公司宽带社区解决方案 随着人民生活水平的不断提高，信息化的不断普及，石油化工公司的职工对于信息化的需求也越来越多，大部分石油化工公司选择了自建宽带社区的方式，提高人们的生活质量，丰富广大职工的业余文化生活。目前石油化工公司普遍采用包月收取月租的方式，但由于传统宽带社区网络在安全性以及运营能力上的问题，使得宽带社区投资回收周期很长。重要表现在：无法防止非法用户接入，一个用户可用HUB或者代理的方式接入大量非法用户；不能提供准时长、按带宽、按流量等灵活计费方式满足不同用户的需求，固定费用的包月方式将大量的低上网需求的用户屏蔽在外，减少了公司的应得收入。为解决石油、石化公司宽带社区问题，华为

2、提出了“可管理、可运营、可增值”的宽带网络解决方案。宽带社区网络建设原则：可运营性：社区宽带网络需要向大量用户提供不同类型的服务，网络应提供良好的业务管理能力，支持对宽带用户的接入管理、身份认证、带宽许可、地址管理和服务质量（QOS），并针对不同的业务提供灵活的计费方式，保证网络的可运营特性。可管理性：网络要可以实现统一的网管，接入互换机具有远程维护能力，可实现统一的网络业务调度和管理。开放性与可增值性：组网技术选择必须符合相关国际标准及国内标准，保证网络的开放性和互连互通，同时社区宽带要建设成完整统一、组网灵活、易扩充的弹性网络平台，可以随着需求变化，充足留有扩充余地，能针对不同的用户需求提

3、供丰富的宽带增值业务，使网络可连续赢利。安全可靠性：设计应充足考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。宽带社区网络构建体系：网络的总体构建结构设计为星型分层次结构，采用核心层、汇聚层、接入层的三层网络结构。在核心层采用一台QuidwayS8016做为核心互换机，S8016的核心部件的冗余设计保证网络的可靠性，下行链路采用千兆光纤链路，在各个社区中心则采用MA5200E做为汇聚设备，各个社区内则根据楼栋的数量和各个单元的居民的数量和布线情况采用QuidwayS3026、2026、2403H、2023、2023（以太网）和MA5100ADSL、3026VVDSL（

4、提供电话线接入方式组网，对于较为老的社区较为合用）实现社区居民的接入。中心的Internet的出口则根据业务量的大小和实际的广域网线路选择QuidwayNE05或QuidwayR3680E，对于网络的如DHCP、DNS、mail、视频VOD等服务器群则建议通过千兆的方式和核心互换机进行互联，使得用户在使用网络时可以得到及时的业务响应；对于整个网络设备的管理则在网络中心设立一台网管工作站，安装华为的Quidview网管软件对全网的设备进行统一的管理，而对于网络中用户的认证、授权和计费则可以通过华为的CAMS综合访问管理系统完毕对社区用户的认证、授权和计费。 方案特点：1.高可靠性：做为宽带社区的

5、核心，网络核心的可靠性对于整个网络的可用性和对用户的连续使用的重要性是不言而喻的，华为的QuidwayS8016设备自身提供主控引擎的热备份，接口单元则提供接口和单板的热插拔、电源系统采用4+1的备份方式从供电上保证了设备的动力无忧这些都从设备自身提供了可靠性的保证；2.高性能的互换能力：做为宽带社区网络的核心，为社区内用户提供线速、无阻塞的互换机能力是保障社区用户可以得到良好业务服务的保障，华为的QuidwayS8016采用业界性能最优的网络解决器，提供128G的背板带宽，96Mpps的包转发能力，同时该设备提供基于包的硬件转发特性使得在满配置的情况下，可以实现所有端口无阻塞的线速互换，更加

6、适合宽带社区中流量20/80现象以及流量流向不规则的情况。3.完善的安全管理机制：提供ACL功能，对用户的访问目的地址进行限制，保护网上重要的资源不被非法袭击。对用户进行二层的隔离和三层受控互访，充足保证网络的安全。防止IP地址盗用。做为核心互换机，QuidwayS8016还提供了专用的NAT板，它最大支持并发会话数128k，NAT板的数量可以按NAT容量需求灵活配置；支持基本地址转换、网络地址端标语转换，支持普通TCP、UDP应用，支持FTP、ICMP、ALG应用，支持如OICQ、RealPlay等流行的网上应用，满足网络访问Internet的安全需求。4.灵活的计费方式：通过华为互换机和华

7、为CAMS之间的配合，可以根据用户的业务级别实现业务优先级调度，实现业务的QOS功能。可以提供基于时段的流量记录或连接时间记录，提供灵活合理的用户计费方式，用户可在网上自主选择和更改计费方式。MA5200E是华为公司针对以太网商用化而设计的IP接入产品，该产品采用先进的网络解决技术和互换式总线技术，具有强大的硬件转发能力和灵活的协议解决能力。同时为适应运营、管理的规定，MA5200E加强了用户管理、计费等方面的解决，使之既有以太网接入经济、成熟的特色，又有电信级的用户管理和运营能力，合用于宽带社区的网络建设。5.不同业务的精细管理：对于不同业务的带宽需求不同，MA5200E可以对用户的业务流进

8、行有效的流量辨认和控制，同时还可以对每个端口下接入的用户数量进行控制，保证了对业务的有效区分的管理和使用网络者的控制。6.支持多种用户认证方式：MA5200E除了提供802.1X之外，还提供VLAN、VLANWEB和PPPoE多种接入方式，可以充足满足固定用户和便携移动用户的需求。下面对VLAN、VLANWEB和PPPoE接入方式进行简要的介绍。采用PPPOE虚拟拨号的用户接入方式：用户需要在其客户端安装PPPOE软件，使用时从客户端（PC终端）发起PPP连接，PPP连接通过以太网在MA5200E上进行解析后从PPP呼喊中提取相应的用户信息（用户名以及密码），将用户信息传递给华为的CAMS服务

9、器上对用户进行认证鉴权，并依据用户情况为用户动态分派合法的IP地址，实现INTERNET接入。同时CAMS服务器对用户实行计费，计费可采用时长、流量等多种计费方式，满足不同资费政策的需求。采用PPPOE方式解决以太网接入同样需要安装客户端软件，会导致安装、维护难度增强的问题；同时采用PPPOE方式时，在客户端上IP数据会通过PPPOE、PPP层协议解决，增长了相应的协议开销，导致有效的通信流量的减少。 采用VLAN直接用户接入方式：采用这种接入方式时，每个用户分派一个VLAN端口，MA5200E依据此VLAN再加上用户的IP地址以及MAC地址相捆绑，同时配合用户所需的业务制定的用户策略（用户带

10、宽的需求、分派IP地址数目等）实现对用户实现用户的接入管理、带宽分派以及用户的计费等。这种接入认证方式的特点是最终用户“零客户端”，即用户终端不需进行任何操作，只要安装好网卡，插入网线即可使用；同时采用该接入方式，网络中传输的均为标准的以太网数据帧，避免了采用PPPOE方式时的网络传输效率下降等问题。采用VLANWEB认证的用户接入方式：采用VLAN方式减少了客户端的安装、维护的工作量，同时提高了网络的传输效率，采用这种接入方式相对于PPPOE接入方式而言，由于减少了用户名以及密码的验证过程，因此比较适合与终端相对固定的用户，如：政府机关、居民用户等，但对于流动性较多、较强的用户，VLAN方式

11、就显得捉襟见肘了。针对与这个问题，华为提出了VLANWEB的认证方式有效地解决了用户帐号的流动问题，VLANWEB认证指的是通过VLAN接入的用户一方面通过登录门户网站，输入用户名和密码进行身份认证后，从而获得用户访问权限的过程。当用户采用VLAN方式开机时，先通过DHCP过程来获得IP地址，得到IP地址后，MA5200E把用户的权限设为未认证用户，此时用户只能访问免费站点和门户网站。当用户想访问外部站点时，必须先访问门户网站，进行登录。用户在登录过程中，输入用户名和密码，用户信息被发送到CAMS认证服务器进行认证，认证通过后，MA5200E根据认证结果提供用户使用的权限，告知用户并开始计费。

12、当用户结束访问时，需要在门户网站上点击注销按钮，发送注销消息。MA5200E根据注销消息改变用户权限，并停止计费。采用VLANWEB的接入方式相对单纯的VLAN接入方式其重要特点：一个用户端口内，不同用户拥有不同的权限：采用VLANWEB的认证方式时，一个用户端口内（一个用户家中），不同的用户可以拥有不同的访问权限，例如：家中父母的访问权限较高，而子女的访问权限较低，避免了各类不良站点对用户侵蚀。用户的帐号可以流动，提高了服务的满意度：用户的帐号可以在同一个WEB服务器的管辖范围内中的任意端口进行上网，大大方便了用户的使用。对于上述两套方案来说，同样都面临这网络的管理的问题，从整个网络的管理上

13、来说，整个社区的管理面临着下述的问题：设备覆盖范围扩大:宽带社区的建设使得部分设备不能放在机房，而是放在的社区中的居民楼中，使得网络的维护范围从本来的机房扩大为网络覆盖的所有社区；设备数量多，并且分布的点多、面广，使得设备维护量急剧增长；为了解决上述管理问题，在整个网络的管理上，华为提供了华为集群管理协议HGMP（HuaweiGroupManagementProtocol）对整个网络进行统一的管理，即通过一个公有的IP地址就可以实现对汇聚层、接入层互换机进行集群管理，有效的节省IP地址资源。通过华为的QuidviewLANManager中提供的QuidviewStackmanager、HGMP

14、Manager可以实现对网络的配置、管理、维护，即在中心就可以完毕对各层次设备的涉及端口、协议等的配置，通过网管对端口进行开放或关闭，通过网管提供的互换机端口的环回测试对互换机进行远程的维护，做到了网管员不出门便可完毕对网络的管理、维护。同时华为提供的网管Quidview、安全管理及计费系统CAMS都提供中文化的管理界面和手册，便于网管员进行学习和操作。管理功能是可运营IP网络的重要组成部分。能否支持完善、有效可靠的用户管理，将是这个网络能否有效运营的关键。华为MA5200E支持完善的管理功能，除了提供传统的网络设备的管理之外，还提供涉及安全管理以及用户业务管理。实例2在一个规模较大的公司中，

15、其下属有多个二级单位，在各单位的孤立网络进行互连时，出于对不同职能部门的管理、安全和整体网络的稳定运营，我们进行了VLAN的划分。第一步 子网分析该网络系统由三部分组成：公司、二级单位1、二级单位2，初始为三部分各自独立，未形成统一的网络环境，故各网络系统的运营采用的是以互换技术为主的方式。三网主干均采用的是千兆以太网技术，起点的高定位为公司的信息应用带来了高速、稳定、符合国际标准的网络平台。公司中心互换机采用的是Cisco的Catalyst 6506，带有三层路由的引擎使得公司网具有将来升级的能力；同时各二级单位的中心互换机采用的亦是Cisco的Catalyst 4006；各二级、三级互换机

16、则采用的是Cisco的Catalyst 3500系列，重要由于Catalyst 3500系列互换机的高性能和可堆叠能力。现三部分应公司的规定联网，网络的互连仍采用千兆带宽，但因三网均采用了千兆以太网技术，为了不在主干形成瓶颈，因此各子网的互连采用Trunk技术，即双千兆技术，使网络带宽达成4G，如此既增长了带宽，又提供了链路的冗余，提高了整体网络的高速、稳定、安全运营性能。但亦由于网络规模的扩大化，信息流量的加大，人员的复杂化等因素，为公司网络的安全性、稳定性、高效率运营带来了新的隐患。由此引发了VLAN的划分。对于VLAN的划分，应公司的需求，我们对各VLAN的IP地址分派为：经理办子网：1

17、92.168.1.0192.168.2.0/22 网关：192.168.1.1；财务子网： 192.168.3.0192.168.5.0/22 网关：192.168.3.1；供销子网： 192.168.6.0192.168.8.0/22 网关：192.168.6.1；信息中心子网：192.168.7.0/24 网关：192.168.7.1；服务器子网：192.168.100.0/24 网关：192.168.100.1其余子网： 192.168.8.0192.168.9.0/22 网关：192.168.8.1；第二步 系统分析对于Cisco的产品划分，VLAN重要是基于两种标准协议：ISL和80

18、2.1Q。在我们这里，由于所采用的均是Cisco的网络设备，故在进行VLAN间的互连时采用ISL的协议封装，该协议针对Cisco网络设备的硬件平台在信息流的解决、多媒体应用的优化进行了合理有效的优化。对于不同产品的VLAN互连，我们在后面会提到。网络拓扑图由于本案例中关于VLAN的划分扩展了各个互换机，所以互换机之间的连接都必须采用Trunk的方式。经理办和供销子网代表了VLAN划分中的两种问题扩展互换机VLAN的划分和端口VLAN的划分：在经理办虚网中，对于一个互换机扩展多个VLAN的时候，前面提到了该互换机与其上层互换机间必须采用Trunk方式连接，但在供销的虚网划分中，在二级单位1中的供

19、销独立于一个LAN互换机Catalyst3548，所以在这里，Catalyst3548与二级中心互换机Catalyst4006只需采用正常的互换式连接即可，对于此部分供销VLAN的划分，只要在Catalyst4006上针对与Catalyst3548连接的端口进行划分即可。也就是前面提到的基于端口的VLAN的划分。第三步 路由列表做完了VLAN之间的连接后，由于两个Catalyst4006与主中心互换机Catalyst6506间采用的是双光纤通道式连接，屏蔽了Catalyst406与Catalyst6506间的线路故障的产生，所以要对整体网络的路由进行基于Catalyst6506的集中式管理。我

20、们在主中心互换机Catalyst6506上设立了VLAN路由：经理办虚网：192.168.1.1/22；财务虚网： 192.168.3.1/22；供销虚网： 192.168.6.1/22；信息中心虚网：192.168.7.1/24；其余虚网： 192.168.8.1/22；接下来，在中心互换机上设立路由协议RIP或OSPF，并指定网段192.168.0.0。在全局配置模式下执行如下命令：router ripnetwork 192.168.0.0 注意事项1. 在这里需要注意的是：由于整个公司的网络系统的VLAN的划分是作为一个整体结构来设计的，所认为了保持VLAN列表的一致性，例如当二级单位1

21、的VLAN有所变化时，VLAN列表也会有所变化，这时就需要该Catalyst 4006对整体网络的其他部分进行广播，以达成VLAN的列表的一致性。所以在设立VTP（VLAN Trunk Protocol）时要注意，要将VTP的域作为一个整体，即：VTP类型分别为Server和Client。2. 有些公司建网较早，所选用的网络设备为其他的厂商的产品，而后期的产品又不能与前期统一，这样在VLAN的划分中就会碰到些问题。例如：在Cisco产品与3Com产品的混合网络结构中划分VLAN，对于Cisco网络设备的Trunk的封装协议则必须采用802.1Q，以达成与3Com的通讯。虽然两者之间可以建立VL

22、AN的正常划分，和正常的应用，但由于互换机都具有自学习的能力，以致两者之间的协调配合较差。当两者之间的连接发生变化时，必须在Cisco互换机上使用命令（clear counter）进行清除，方可达成两者的重新协调工作。经典实例三某公司有100台计算机左右，重要使用网络的部门有：生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分，如图所示。所连的用户重要分布于四个部分，即：生产部、财务部、信息中心和人事部。重要对这四个部分用户单独划分VLAN，以保证相应部门网络资源不被盗用或破坏。 VLAN的配置过程其实非常简朴，只需两步：（1）为各VLAN组命名；（2）把相应的VLAN相应

23、到相应的互换机端口。现为了公司相应部分网络资源的安全性需要，特别是对于像财务部、人事部这样的敏感部门，其网络上的信息不想让太多人可以随便进出，于是公司采用了VLAN的方法来解决以上问题。通过VLAN的划分，可以把公司重要网络划分为：生产部、财务部、人事部和信息中心四个重要部分，相应的VLAN组名为：Prod、Fina、Huma、Info，各VLAN组所相应的网段如下表所示。VLAN 号 VLAN 名 端标语 2 prod switch1 2-213 fina switch2 2-164 huma switch3 2-95 info switch3 10-21 事业无须惊天动地，有成就行； 爱情无须死去活来，温馨就行； 友谊无须两肋插刀，尽责就行； 金钱无须取之不尽，够用就行； 身体无须长命百岁，健康就行； 老婆无须闭月羞花，象样就行。