红铜广电宽带接入系统网络设计方案Word格式.docx
《红铜广电宽带接入系统网络设计方案Word格式.docx》由会员分享,可在线阅读,更多相关《红铜广电宽带接入系统网络设计方案Word格式.docx(63页珍藏版)》请在冰点文库上搜索。
一个计算机系统运行的性能如何,是网络建设首先要考虑的问题。
但是,由于网络规模的庞大和影响网络性能的不定因素太多,加大了运行性能好的大型网络的设计难度。
提高网络性能的一般方法是,先设计并建设网络,在网络的运行过程中,对网络性能进行静态和动态统计分析,根据分析结果,对网络配置和参数进行调整,逐步达到最佳。
安全管理
安全管理的功能涉及一个计算机系统的安全管理政策,根据这一政策设计和实现的网络安全管理系统,可以管理网络结构的不同层次,从基本网络访问功能到网络应用系统功能。
3、系统的超前性
超前性和先进性是每一个计算机网络系统建设期望达到的目标,但是随着计算机及网络技术的发展,先进的、新的网络技术面临着技术和产品上不十分成熟的问题,而原有的成熟的网络技术和产品又势必被新的技术所取代,是采用原有的成熟的网络技术而承担投资保护的风险,还是直接采用最新的技术而冒着产品不成熟、标准不统一的风险是网络设计人员一直所争论的焦点。
所谓网络设计的超前性是将网络系统看成一个系统工程,不但要设计到它的产生还要设计它的发展和未来,将着眼点放在目前的应用系统及现有的技术并考虑以最小的代价来适应网络技术的不断的发展,使现有系统增长,在系统规模急骤扩张中亦不需要重新进行系统规划与设计,并能够顺利、平稳地向更新能够与业务需求同步的技术过渡。
本方案所选设备都是业界知名厂商的主流产品,整个设计充分考虑到了系统的先进性,至少可以保持3-4年的先进性。
4、系统的扩展性
网络的扩展能力包括两方面内容,即网络处理能力的扩展和网络技术向更新的技术的升级。
随着该网络系统的不断发展与完善,应可以随时增加网络设备来扩展整个网络。
例如接入规模的扩大。
另外由于所选所有路由器产品应都能够支持从低到高多种通迅协议,用户可以不增加任何投资通过选择通迅协议和通信速率来提高网络传输速度,降低系统运行费用。
另外,在用户端应选用可堆叠或模块化产品具有很好的开放性,可以十分方便的扩充网络的容量。
在洪桐广电宽带接入系统的设计中,从主机到网络,从硬件到软件,整个系统的可扩展性都是经过了精密的设计。
5、系统的开放性
*支持多种通讯协议
所选择的网络设备应支持多种网络协议,局域网应具备从以太网—交换式以太网—高速以太网(或ATM)顺利过度的途径,在广域网上应具备不增加任何投资实现PSTN、X.25、DDN、FrameRelay、ISDN、E1等通讯协议的转换和提升。
同时,支持多种协议软件功能在网络上的稳定实现。
*支持多种传输介质
本网络系统是一个多传输介质的网络,应能够适应非屏蔽双绞线(UTP)、单多模光纤等多种传输介质,通过这些介质形成一个统一完善的接入网络。
*支持多种主机互连
系统互连应全部采用国际标准的网络层通讯协议TCP/IP,使网络具有良好的开放性。
因为所有的主机系统生产厂商都努力使自己的产品遵循TCP/IP标准,所以可以很方便的实现多种主机的互连。
6、系统的灵活性
考虑到系统将来可能需要提供的更多增值服务,系统的灵活性主要表现在能支持应用的灵活性已经硬件升级扩容等方面,交换机产品与路由器产品支持的最先进的虚拟网络技术,隔离不同用户数据,根本上保证不用用户数据的安全性以及数据传输的性能。
7、系统的安全性
根据本网络的特点,防止外界非法侵入,有效地保护用户数据资料已成为系统设计中十分重要的问题。
在系统中对外来侵入的控制应由路由器配合操作系统及数据库平台来完成,采用多级用户权限管理,具有C2级安全标准或超过C2级标准。
通过网络管理软件有效地利用路由器的“防火墙”功能强化安全管理。
设置必要权限,以提供安全保障。
在应用软件系统中也应提供充分的资格审查与权限控制。
二、采用Intranet技术及设计思想
Intranet是目前计算机应用领域中人们非常关注的热门话题,同时也给各企事业单位的计算机应用提供了新的应用模式和解决方案。
Intranet以其安全、廉价、方便等优点越来越得到了人们的认可,也成为当今企业自动化建设所追求的目标。
Internet实质上是Internet在企业内部的实现,是Internet的Web技术、放火墙技术及基于WWW和数据库的内部信息管理技术等的完美结合。
Intranet给企业带来很多好处,首先是安全,Internet是不安全的,而大多网络系统需要保护内部的重要数据和资源,防止外来的非法访问和破坏,Intranet利用防火墙来达到这个目的,对于Intranet用户来讲它可以访问Internet,但Internet上的用户看不到它,这种单向性确保了内部网络的信息安全。
其次是廉价性,Intranet利用Internet已有的技术和应用,吸收了Internet的优点和长处,如应用的丰富和互连时的强大功能,及基于Client/Server的计算和TCP/IP协议的标准性等。
其中很多资源和技术都是免费或廉价的,对于企业来讲节省了大量大型应用软件的投资,比如工作组软件所需的开销。
Intranet还具有易于管理的特点,网上的所有活动均有详细的记录和日志文件,便于进行分析和检查;
此外Intranet的大部分应用均基于Web进行,用户界面统一和简单,使用方便。
基于上述分析,该宽带接入系统无论在设计和实施过程中都应体现Intranet的实现思想,采用Intranet技术,将该网络系统建设成一个安全、廉价、方便的宽带接入网络。
第二章洪桐广电宽带接入系统网络设计
网络拓扑结构在采用星型拓扑。
在接入网中,我们可以将整个网络划分为核心、汇聚和接入3层。
核心层、分布层
考虑的用户投资以及工程本身特点,核心层与分布层合为一层。
完成IP包的快速交换。
接入层
接入层完成最终用户的IP接入,向用户提供独享的10/100BaseT接入,同时能够将不同用户数据相互隔离,达到最大的安全性。
一、拓扑结构
主干网采用星形拓扑结构,层次结构清晰,具有较强的灵活性和可扩充能力,同时,这种集中式连接方式有利于系统及网络管理人员对整个系统进行管理和维护。
二、网络设备配置
1、中心交换机配置
在网络中心选用一台Quidway®
S8016千兆核心多层交换机作为高档主干网络交换机设备。
骨干层的Quidway®
S8016配置1块16路百兆以太网单模光接口线路板模块和1块4路千兆以太网多模500mMTRJ光接口线路板,通过百兆模块设置实现与接入层建立百兆连接,通过千兆模块建立与应用服务器的高速无阻塞连接,形成高速主干网。
配置16路百兆以太网电接口线路板以连接网络中心网管主机等设备。
配置双电源,实现电源冗余。
配置交换网板,通过多层路由引擎实现三层功能。
核心以太网交换机S8016
1
路由交换机总装机柜
RS-B-8016
2
核心路由器母板插框组件
CR-K08011
3
主控处理单元
RS-MPUB
4
交换网板
RS-SFCB
5
配电插框-W1451ZB/X1-NE80AC电源系统配电插框
W1451ZB/X1
6
电源模块-220VAC-48V/15A
S2W4M2Z
7
监控模块-M3451Z-PSM-B2A-NE80AC电源系统监控模块
M3451Z
8
4路千兆以太网多模500mMTRJ光接口线路板
RS-E4GP
9
16路百兆以太网单模光接口线路板(15km,MTRJ)
RS-EGFS
10
16路百兆以太网电接口线路板(100m,RJ45)
RS-EGFE
11
主机软件
SWP-RS-S8016
12
成套资料
DOC-RS-S8016
2、出口路由器配置
连接INTERNET的出口路由器可以选用路由器设备Quidway®
NetEngine05同内部主干交换机建立100M高速连接,在Quidway®
NetEngine05设置NAT,可方实现内部保留IP地址访问外网。
骨干路由器NE05
NE05机箱-双交流电源模块配置
RT-NE05CHASSIS/2AC
系统监控管理单元
RT-NE-ALUA
路由交换单元前处理板-128M内存
RT-NE-RSUA
路由交换热插拔控制单元
RT-NE-RSHC
通用接口单元前处理板-128M内存
RT-NE-VIUA
1端口百兆以太网接口前处理卡
RT-NE-ETPA
3、接入交换机
接入交换机建议选用华为2403H交换机,该交换机每个端口提供独享10/100M带宽,可以形成完全的10/100M到桌面。
同时可以同汇接层交换机建立100M的连接。
每个端口间互相通过vlan隔离,它可以保证用户之间不可互相访问,提高安全性。
4、汇接交换机
在某些小区中,因楼宇多,一个小区需要放置多台接入交换机,如果直接将接入交换机通过光纤连接至中心核心交换机,则浪费了宝贵的端口资源和线路资源,此时需要设置汇接交换机,将地理上相邻的接入交换机汇接起来,通过一条光纤链路连接至中心交换机。
在本方案的汇接交换机中,我们建议选用华为3026FM或者3026FS.
5、网络管理
在本系统中,由于接入和汇接交换机等设备不在网络中心,如果没有一套网络管理软件对这些设备进行远程监测的话,网络出现故障的处理会变得十分复杂,在这种情况下,需要配置一套网络设备厂商特定的网络设备管理软件,在本系统中,我们采用华为iManagerQuidviewIP网管应用软件.
三、网络系统的其他设置
1、IP地址分配
Internet的地址分为三大类:
A类、B类、C类,每个IP地址的长度为32位,IP把它的32位地址分成两个部分,即网络数和节点数,因为是有限数目的网络地址,并且每个网络必须作唯一标识,则最终会产生组织结构使用它们的网络中发觉缺少的问题。
在这种情况下子网掩码(SubnetMask)就可以起到作用。
通过改变子网掩码我们可以扩展网络的地址。
对于内部网来说,子网掩码的作用主要不是节省地址空间,而是为了保证IP地址分配的层次性和扩展性,并有效地减少路由表,减轻路由器的负荷,同时有利于维护和管理网络系统。
针对本系统,建议采用:
内部网系统使用私有IP地址,可划分为一个子网或多个子网。
在系统运行初期,系统内的工作站点不是很多的情况下,可采用此方法。
但随着工作站点越来越多,整个系统处于这种平面结构,将导致系统性能和管理上的很多问题。
通过上述子网掩码技术将系统分成多个子网,每个子网对应一个小区或楼宇。
这样使整个系统构成有层次的结构,便于进行系统管理,提高系统性能。
这时子网之间的通讯可采用路由技术。
内部网私有IP地址的划分应作到留有余地,并利于地址聚合。
2、路由协议
路由协议用来完成在一个互联网上进行通信时的路由选择。
它确定数据包在网内或网间传输所经的路径,路由协议总的分为静态和动态两大类。
静态路由唯一确定地选择一条路径,不能自动去适应网络的变化。
而动态路由则根据算法来确定选择路径,并维持着一个定期刷新的路由表。
动态路由协议适用于比较复杂的大型网络。
动态路由协议又分为两大类,一类是内部网关协议,如RIP,IGRP,OSPF,ISIS等,适用于域内路由;
另一类是外部网关协议,如BGP,EGP等,适用于域间路由。
各种动态路由协议之间的一个主要不同之处在于算法不同。
路由算法使用不同因素作参数来决定最佳路由。
这些因素叫metric,常用的有:
步长(PathLength)
可靠性(Reliability)
对延(Delay)
带宽(Bandwidth)
负载(Load)
通信开销(CommunicationCost)
路由的决定是由综合以上某些项参数进行计算后作出的。
由于本系统涉及的三层设备不多,总体层次比较单一,在满足实际需要的情况下,考虑路由的安全性和更好优化带宽,建议采用静态路由协议;
如果增加一定数目的网络节点后,达到比较大数目的时候,可以考虑采用动态路由协议,本宽带接入网的设计中使用静态路由和默认路由达到节省带宽的目的。
3、虚拟网(VLAN)和三层交换技术
一个站点很多的网络系统,不能只设一个网段,否则会引起严重的网络问题:
网络通信量太大、网络冲突、网络资源占用多、各户之间数据不安全等等。
划分子网的好处是将通信量限制在各自的子网内,并保证网络的安全。
按照这个原则,对于规模较大的网络,必须按需要划分成多个子网。
如每个小区或楼宇自成一个子网,这样就把大量不必要的广播信息限制在本地,大大减少骨干网上的信息流量,提高骨干网的带宽利用率,并且能保证各用户数据的安全性。
在规模较大的网络系统中需要采用虚拟网(VLAN)技术,针对本系统本身特点,接入交换机的每个端口划分到不同vlan,可以使各个独立用户之间互相不可见,从根本上保证用户数据的安全。
虚拟网技术实现是最近一两年的事情。
虚拟网其具有以下特征:
虚拟网是一个有限范围的广播域,一个虚拟网的成员只能收到同一虚拟网的成员发出的广播报文,其它虚拟网的广播报文是收不到的。
此特征提高了网络带宽的利用率。
一个虚拟网的所有成员逻辑的组成一个广播域,跟它们的物理位置无关。
在一个虚拟网里增加、移动和改变一个成员可通过软件实现,减少网络管理的时间及费用。
在同一个虚拟网里是不需要路由的。
在企业网络系统中,可以根据业务或者应用部门的需求划分VLAN,更好的保证安全性和提高网络使用效率。
在本系统中提供的个系列网络产品均支持VLAN,优化网络带宽。
同时也可以加强网络信息的安全性。
4、服务质量(QOS)
华为通用路由平台软件是一个提供网络服务,使网络应用满足连接性、安全性、可靠性、可扩展性、可管理性的要求的平台,并支持先进的应用程序,如IBM、多媒体、语音和QoS服务等。
QoS服务由三个关键组件构成:
一个快速发展的构件和功能集;
一个高度灵活、用于执行策略的工具,它利用构件控制网络资源的分配,以支持网络客户和应用程序的要求;
一个功能分布组件,它优化了网络所有者(企业或Internet服务商)在服务配置和带宽/容量方面的可扩展性要求。
用于业务分类的IP优先权:
优先权提供了将业务划分为多个服务类的功能。
网络管理员可以定义多达六个服务类,并利用扩展访问控制列表(扩展ACL),为每个服务类定义拥塞处理和带宽分配策略。
IP优先权功能利用在IP头上用于标识服务类型(Type-of-Service)的三个比特位,确定每个分组的服务类。
IP优先权功能为预定分配提供了相当的灵活性,包括客户分配(如根据应用程序和访问服务器)和基于IP或MAC地址、物理端口或应用程序的网络分配。
IP优先权功能既可采用被动模式(接收客户分配的优先权),也可采用主动模式,此时,网络根据预先定义的策略设置优先权或超越客户分配的优先权。
IP优先权可被映射到邻接技术(如标记交换、帧中继或ATM),在非均匀网络环境下提供端到端的QoS策略。
在不改变现有应用程序,不需要复杂化网络信令的前提下,仅利用IP优先权功能就可建立服务类。
允许访问速率(CAR):
用允许访问速率(CommittedAccessRate-CAR)管理访问带宽CAR为网络管理员提供了一个为业务目的地分配带宽,并制定超过带宽分配额度时的业务处理策略的工具。
CAR既可以用于网络入口也可以用于网络出口。
CAR阈值可根据访问端口、IP地址和应用程序设定。
CAR测量业务负载,限制带宽资源分配,能适应IP业务固有的流量突增特点。
CAR利用扩展ACL对超出分配带宽的业务制定处理策略,包括重新定义带宽可用阈值、修改分组的优先级、制定分组丢弃原则等。
CAR策略的选择包括:
FirmCAR-丢弃超过分配带宽的分组
CAR+Premium-为分组重新定义更高或更低的优先级
CAR+BestEffort-丢弃之前先为其分配一个极大的阈值
PerApplicationCAR-为不同的应用程序制定不同的策略
用于拥塞管理的随机早期预测(RED):
RED为网络管理员提供了灵活制定流量控制策略的能力,使其能在拥塞情况下保持尽可能大的吞吐量。
RED与抗干扰的传输协议(如TCP)协同工作,可根据如下的实现算法智能化地避免网络拥塞:
区分网络可适应的临时性流量爆炸和将耗尽网络资源的极度超载。
提供公平的带宽递减策略,按比例减少带宽的可用额度。
RED和TCP协同工作,在大流量出现时,能预先控制拥塞,并用丢弃分组的方式,保持大吞吐量。
同时,RED也为网络管理员提供了相当灵活的参数设置手段,包括调整队列长度阈值的最大值和最小值、分组丢弃几率和MIB,分组交换和分组丢弃的管理策略等。
加权RED,基于服务类的拥塞管理:
WRED结合了IP优先权和RED功能,为不同类别的服务提供不同的性能--对优先权较高的分组优先处理。
WRED在拥塞情况下仍能进行优先处理,而且不会加剧拥塞。
网络管理员可以灵活地为不同的服务类定义排队长度最大和最小阈值以及分组丢弃率。
系统还为每个服务级别提供MIB,以实现网络管理的可见性。
根据服务类别加权公平排队(WFQ):
WFQ提供了这样一种能力,在为较低优先级业务公平分配现有带宽的同时,保证要求低延时的高优先级和低优先级流。
高优先级流立即得到处理,低优先级流则插入队列,按比例共享现存带宽。
在出现拥塞时,低优先级流的分组可能被丢弃。
QoS服务提供了基于服务类型的分布式WFQ,从而提高了性能和可扩展性。
由此可见,通过Qos服务的提供,网络在提高队多媒体,视频等先进的应用程序的同时,并不牺牲网络的性能。
为应用,特别使多媒体应用提供了良好的保障。
在本方案中所选用的网络产品,都包括队QOS的支持。
5、NAT技术
随着Internet的飞速发展,网上丰富的资源产生着巨大的吸引力。
接入Internet、访问Internet成为当今信息业最为迫切的需求。
但这受到IP地址的许多限制。
首先,许多局域网在未联入Internet之前,就已经运行许多年了,局域网上有了许多现成的资源和应用程序,但它的IP地址分配不符合Internet的国际标准,因而需要重新分配局域网的IP地址,这无疑是劳神费时的工作;
其二,随着Internet的膨胀式发展,其可用的IP地址越来越少,要想在ISP处申请一个新的IP地址已不是很容易的事了。
这不仅仅是费用的问题,而是IP地址的现行标准IPv4决定的。
当然,随着IPv6的出台,这个问题应当能够得到解决。
但从IPv4到IPv6的升级不是一两天就能完成的。
NAT(网络地址翻译)能解决不少令人头疼的问题。
它解决问题的办法是:
在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Internet上使用。
其具体的做法是把IP包内的地址域用合法的IP地址来替换。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。
NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。
每个包在NAT设备中都被翻译成正确的IP地址发往下一级,这意味着给处理器带来了一定的负担。
但这对于一般的网络来说是微不足道的,除非是有许多主机的大型网络。
需要注意的是,NAT并不是一种有安全保证的方案,它不能提供类似防火墙、包过滤、隧道等技术的安全性,仅仅在包的最外层改变IP地址。
这使得黑客可以很容易地窃取网络信息,危及网络安全。
NAT有三种类型:
静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。
静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。
PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
根据不同的需要,各种NAT方案都是有利有弊。
使用NAT池
使用NAT池,可以从未注册的地址空间中提供被外部访问的服务,也可以从内部网络访问外部网络,而不需要重新配置内部网络中的每台机器的IP地址。
例如,建立在NT+IIS服务器上的内部试验子网192.168.0.0,其网络地址属于C类保留地址。
作为企业网的一个子网,其IP地址不分配给企业网上的设备而仅仅局限在试验子网的设备上。
为了使企业网能访问到这个内部网,在网络上增加一条静态路径,使信息能回传给Cisco4700路由器。
其中的路由器可以把内部网和企业网连接起来,使之能相互访问。
在内部网中不要使用RIP协议,因为使用RIP后,内部网络相对外部来说变得不可见了。
这样,本地信息可以相互访问了,但由于192.168.0.0属于保留地址,故不能直接访问Internet。
所以在路由器中设置一个NAT池,用来翻译来自内部网络的IP包,把它的IP地址映射成地址池(pooledaddresses)中的合法IP地址。
那么,内部网可以访问Internet上的任何服务器,Internet上的任何主机也能通过TCP或UDP访问到内部网。
采用NAT池意味着可以在内部网中定义很多的内部用户,通过动态分配的办法,共享很少的几个外部IP地址。
而静态NAT则只能形成一一对应的固定映射方式。
NAT池提供很大灵活性的同时,也影响到网络原有的一些管理功能。
例如,SNMP管理站利用IP地址来跟踪设备的运行情况。
但使用NAT之后,意味着那些被翻译的地址对应的内部地址是变化的,今天可能对应一台工作站,明天就可能对应一台服务器。
这给SNMP管理带来了麻烦。
一个可行的解决方案就是把划分给NAT池的那部分地址在SNMP管理平台上标记出来,对
升级会员 