武漢熱線二期擴容網(wǎng)絡結(jié)構(gòu)實施方案 (２）

1、 武漢熱線二期擴容網(wǎng)絡結(jié)構(gòu)實施方案1 網(wǎng)絡規(guī)劃和設計目的和總體要求： 整個工程中要求網(wǎng)絡技術(shù)與國際同步，在拓撲結(jié)構(gòu)上具有開放性和可擴展性，同時簡明清晰；在穩(wěn)定性方面，要求對關(guān)鍵網(wǎng)絡設備和網(wǎng)絡路由具有冗余，無結(jié)構(gòu)上的單點故障點，骨干上要有較強的承載能力；在功能上應滿足基本的互連互通及漫游。11廣域網(wǎng)設計網(wǎng)絡現(xiàn)狀 “武漢熱線”目前的骨干網(wǎng)是指由洪山、漢口和魯巷三個節(jié)點組成的核心廣域連接。目前這三個節(jié)點分別由兩臺cisco7513和cisco7507骨干路由器組成骨干連接，在三個路由設備上插atm卡并利用oc-3互連，中繼線速率為155mbps（可參看網(wǎng)絡拓撲圖）。此次骨干網(wǎng)擴容將針對目前網(wǎng)絡存在的

2、問題，提供層次化的擴容設計方案，在解決目前網(wǎng)絡瓶頸、提供高質(zhì)量服務和可靠性服務的同時，既能保護現(xiàn)有投資，最大限度地利用現(xiàn)有設備；同時提高骨干傳輸速率并平滑過渡、升級到未來寬帶網(wǎng)絡。112 網(wǎng)絡設計方案 研究了目前武漢熱線網(wǎng)絡所遇到的問題，充分考慮到武漢熱線未來的 發(fā)展，我們認為武漢熱線的骨干網(wǎng)絡必須具備以下特點：1) 骨干網(wǎng)絡的高可靠性 (high availability)2) 骨干網(wǎng)絡的高性能 (high performance)3) 骨干網(wǎng)絡的高可擴展性 (high scalability) 4) 骨干網(wǎng)絡的高品質(zhì)的網(wǎng)絡服務質(zhì)量 (qos)基于上述考慮，我們建議在保護現(xiàn)有投資的前提下，對

3、武漢熱線主干網(wǎng)絡采用較大幅度的網(wǎng)絡重構(gòu)。最終網(wǎng)絡拓撲如下圖所示。 在上圖所描述的網(wǎng)絡結(jié)構(gòu)中 ： 我們建議采用cisco 最新一代第三層大型交換路由器gigabit switch router (gsr) 代替原有的cisco 7513來組成主干核心網(wǎng)絡。建議漢口、武昌各放兩臺gsr12012, 同時漢口、武昌gsr用光纖直接連接。我們在這里建議采用gsr12012是基于分布式路由結(jié)構(gòu)的、提供第三層千兆位交換能力的大型交換路由器。提供12 槽口，背板交換帶寬為15gbps - 60gbps?？梢酝ㄟ^增加背板交換矩陣，使得背板交換能力達到60gbps。 根據(jù)設計，背板的交換能力將來可以擴充到240

4、gbps。 gsr12012 能支持多達44個155mb stm-1 或者11個622mb stm-4的接口同時支持atm和packet over sonet/sdh(pos)技術(shù)。鑒于武漢地區(qū)的地理和網(wǎng)絡用戶分布的特點，結(jié)合具體的網(wǎng)絡硬件和人員條件，我們建議改變原有的三環(huán)核心結(jié)構(gòu)，將武昌洪山和漢口作為兩個核心節(jié)點，在兩點間用gsr高速骨干相連，數(shù)據(jù)中心（網(wǎng)絡中心）仍設在武昌洪山，pop（網(wǎng)絡用戶接入點）分布于漢口和洪山，gsr以下均通過catalyst8500系列三層交換機以千兆方式接入;魯巷作為一個icp（信息制作中心）用catalyst8510以千兆以太網(wǎng)接入洪山catalyst8540

5、主交換機。三、 為保證骨干網(wǎng)絡的可靠性，我們建議所有節(jié)點都采用雙連。兩個核心節(jié)點各采用兩臺gsr避免單點故障。漢口的pop節(jié)點分別連到漢口2 臺gsr 上，武昌各點也分別連到武昌的2臺gsr上，這樣確保網(wǎng)絡的冗余可靠性。cisco 路由器支持hsrp協(xié)議，可以以每個節(jié)點的兩臺交換機互為備份， 當一臺出現(xiàn)故障 時，其支持的應用很快轉(zhuǎn)移到另一臺交換機上；而該交換機恢復工作時，系統(tǒng)又能很快的恢復負載平衡。 四、 以pos技術(shù)代替atm 技術(shù)作為主干網(wǎng)絡連接。四臺gsr之間通過光纖實現(xiàn)pos連接，連接帶寬可以用622mbps oc12鏈路。武漢 online 原來所有的7513和7507均退到邊緣用于

6、專線接入; 各pop服務網(wǎng)絡通過兩臺catalyst8500系列的交換機以千兆于gsr 相連。這樣,整個武漢online 的骨干網(wǎng)就形成了以gsr為中心的基于pos的骨干網(wǎng)。pos 技術(shù)將ip報直接封裝于sdh 幀中，是更加適合于isp 提供高速ip 服務的一種新的寬帶技術(shù)。對于ip業(yè)務來說 ，pos 相對于atm技術(shù)有如下幾個優(yōu)點：(1) 實施簡單快捷，總體擁有成本低，收回投資周期短；(2)節(jié)省信頭開銷，線路利用率高；(3) 網(wǎng)絡結(jié)構(gòu)簡單，減少設備重復投資；(4)進一步提高帶寬的潛力很大；(5)符合internet 的業(yè)務特征，減輕網(wǎng)絡設備的額外負擔。同時，pos技術(shù)提供高的qos和高可靠性

7、。 五 、 在主干網(wǎng)絡中，建議結(jié)合使用ospf和bgp4 路由協(xié)議，使得網(wǎng)絡路由迅速收斂，也保證一條網(wǎng)絡鏈路斷掉后，會迅速找到另外一條網(wǎng)絡鏈路，使網(wǎng)絡中斷時間最少。稍后將詳細論述主干網(wǎng)的路由協(xié)議規(guī)劃。 骨 干 網(wǎng) 絡 性 能 分 析 l 整個網(wǎng)絡的qos 上述建議的網(wǎng)絡能很好地滿足qos的要求，因為從網(wǎng)絡中心講，gsr 的帶寬將是足夠的。可以從目前的622mb ，上升到oc48 2.4gb , oc192的9.6gb這樣大的backbone 帶寬 ，足以滿足各種突發(fā)的傳輸要求 ，從而確保 qos 。 從分中心端點看，7513和7507 能通過ciscocommited access rate(

8、car)軟件 機 制 很好地確保網(wǎng)絡的qos,car可以完成 qos的方式是帶寬管理機制 ，即可以限制通過路由器某一端口的流量，當某些流量在設定之內(nèi)，就可以被傳輸 ，否則被拋棄。這樣，無論從網(wǎng)絡中心到各分中心，都能提供良好的qos 保障。l 高的網(wǎng)絡性能 整個網(wǎng)絡采用packet over sonet/sdh 技術(shù)，使網(wǎng)絡性能從設計角度較大的提高。正如大家所知道，atm 在傳輸大容量數(shù)據(jù)方面是有一定缺陷的，因為atm采用的是定長cell的傳輸模式，而數(shù)據(jù)傳輸通常是變長的packets ，atm在每次傳輸packet的時候，都先將packets sar 成cells 。且每一個cells 都要附

9、加一個header，這樣 使的網(wǎng)絡帶寬實際利用率降低，從而也浪費了一些 寶貴的網(wǎng)絡帶寬資源 。而packet over sonet，則完全克服了atm 傳輸數(shù)據(jù)傳輸弊端，不需將packets sar 成cells ，也無需將傳統(tǒng)的ip packets 進行封裝，這樣既有效地利用了網(wǎng)絡帶寬 ，又增加了網(wǎng)絡傳輸?shù)乃俣?，一般統(tǒng)計，155mb atm傳輸帶寬，真正有效的數(shù)據(jù)傳輸只有20mb 120mb，而 155mb oc-3/stm-1的packet over sonet/sdh ,真正有效的數(shù)據(jù)傳輸在120mb-148mb之間，因為packet over sonet/sdh是直接將數(shù)據(jù)的packe

10、ts 在光纖上傳輸。可見，packet over sonet/sdh ，在傳輸數(shù)據(jù)方面要優(yōu)于atm。所以，采用上述以packet over sonet/sdh的網(wǎng)絡結(jié)構(gòu)一定會比現(xiàn)存的網(wǎng)絡結(jié)構(gòu)性能快很多。l 網(wǎng)絡的可擴展性 在中心采用gsr12012，對武漢online講，網(wǎng)絡擴展性將非?？捎^。因為gsr12012 ，提供12個槽口，最多可提供44個155mb pos/atm，或11個622mb posip/atm，完全可以滿足主干網(wǎng)絡將來的進一步擴展。將來，pos技術(shù)將支持在wdm光纖網(wǎng)上傳輸，將光纖的傳輸能力提高幾十倍。 區(qū)域級網(wǎng)絡結(jié)構(gòu) 在每一個pop節(jié)點，都有兩臺交換機以千兆以太網(wǎng)與主干網(wǎng)

11、gsr連接。邏輯上武昌與漢口兩個核心節(jié)點也是區(qū)域網(wǎng)pop節(jié)點之一，所以一共有兩個pop節(jié)點與主干網(wǎng)相連。為了避免太大的路由表以及路由廣播信息地擴散，在路由協(xié)議的設計上要仔細考慮。 在除了核心節(jié)點外的每一個pop節(jié)點，都設計用兩臺局域網(wǎng)交換機catalyst8510 作為本地交換機，以快速以太網(wǎng)提供足夠的帶寬。交換機與路由器和接入服務器分別進行交叉連接，保證性能且避免單點故障。兩臺交換機的性能還可以滿足未來企業(yè)用戶接入的需求。將中心機房已有的catalyst5000移至防火墻后， 來 構(gòu) 筑 武 漢 熱 線 自 己 內(nèi) 部 的， 安 全 性 要 求 較 高 的 局 域 網(wǎng) 絡 ， 例 如 計 費

12、 系 統(tǒng) ， 網(wǎng) 管 系 統(tǒng) 等 等 。結(jié)構(gòu)圖參見下節(jié)中核心節(jié)點論述。 在這里，主要論述企業(yè)網(wǎng)絡接入的解決方案。為了充分利用現(xiàn)有的atm 模塊 和現(xiàn)有的atm 網(wǎng)絡，可以利用atm 網(wǎng)絡較大的覆蓋性，提供企業(yè)網(wǎng)絡的接入。 atm接入形式保證了用戶可以充分利用將來武漢熱線提供的多媒體業(yè)務，使用戶真正享受到武漢熱線豐富的網(wǎng)絡資源。 利用上述現(xiàn)有的網(wǎng)絡結(jié)構(gòu)，我們可以擴大用戶的網(wǎng)絡接入形式，同時可以大量減少ddn 專線用戶，使得 pop 內(nèi)的路由器的可擴展性大大增強，另一方面，用frame relay 替代ddn可以降低用戶的接入費用，從而吸引更多的商業(yè)用戶。路由協(xié)議規(guī)劃 對武漢online 這樣大i

13、sp 網(wǎng)絡來說，合理地規(guī)劃網(wǎng)絡自治域，選擇恰當?shù)穆酚蓞f(xié)議，是一件艱苦但非常重要的工作。隨著網(wǎng)絡規(guī)模的逐步擴大，及早給出一個長遠而合理的規(guī)劃，可以避免積累的問題給網(wǎng)絡的性能帶來影響。 cisco路由器支持非常豐富的路由協(xié)議，因而可以靈活的按照網(wǎng)絡結(jié)構(gòu)和實際需求對路由器協(xié)議進行設置，有效的對網(wǎng)絡進行優(yōu)化。 首先，對于域內(nèi)的內(nèi)部網(wǎng)關(guān)路由協(xié)議的選擇來說，開放式最短路徑路由協(xié)議ospf的分層體系是一個合理的結(jié)構(gòu)。ospf是一個具有高度擴展性的路由協(xié)議，目前武漢熱線已經(jīng)采用了ospf 協(xié)議，因而繼續(xù)采用ospf 協(xié)議有利于網(wǎng)絡的平滑升級。但現(xiàn)行網(wǎng)絡的ospf 規(guī)劃中，所有設備處于一個自治域內(nèi)，不利于網(wǎng)絡的

14、擴展。我們建議將主干4 個gsr 路由器設為area 0 ，而武昌部分和漢口部分的pop 路由器則分別設為area1和area 2 ，形成真正的分層結(jié)構(gòu) 。隨著將來pop節(jié)點的進一步發(fā)展，可以劃出新的ospf自治域。這種分層構(gòu)架的ospf體系結(jié)構(gòu)為網(wǎng)絡的擴展提供了較高的能力。 對外部網(wǎng)關(guān)路由協(xié)議的規(guī)劃來說，接入chinanet的兩臺路由器端口可以沿用現(xiàn)在的default gateway 方式，也可采用bgp4協(xié)議。核心節(jié)點局域網(wǎng)設計：121 局域網(wǎng)絡現(xiàn)狀： 現(xiàn)有“武漢熱線”網(wǎng)絡結(jié)構(gòu)中，局域網(wǎng)交換機catalyst5000成為網(wǎng)絡核心設備。既與cisco7513上連作為全網(wǎng)絡流量出口，又連接局域

15、網(wǎng)內(nèi)各種服務器設備，同時又與169網(wǎng)關(guān)設備連接，另外提供專線用戶的路由器也連接其上。在大用戶量的情況下，其流量交換的負荷相當大，同時無法保證其可靠性，如果這臺設備出現(xiàn)故障，全網(wǎng)即可癱瘓。本次擴容工程設計方案將考慮采用包交換能力（pps）大的局域網(wǎng)交換機設備，以提高數(shù)據(jù)交換能力；同時采用雙交換機結(jié)構(gòu)，減輕單臺設備的負荷，同時提供網(wǎng)絡內(nèi)部部分重要設備的路由備份；保證網(wǎng)絡的高可靠性連接，一旦一臺局域網(wǎng)交換機出現(xiàn)故障，各種業(yè)務服務器仍可通過運行正常的交換機進行數(shù)據(jù)交換。調(diào)整各子網(wǎng)內(nèi)部設備組成，以減少vlan之間的互通流量。具體實施方案中，考慮到網(wǎng)絡將來向?qū)拵Х较虻陌l(fā)展，確保網(wǎng)絡數(shù)據(jù)的高速傳輸，同時又兼

16、顧到現(xiàn)有設備的利舊因素,而性能與安全常常成為互相矛盾的一對要求 。本期工程將采用綜合性的方案來解決安全性問題而保證網(wǎng)絡的總體性能。武漢熱線在武昌設數(shù)據(jù)中心點。在網(wǎng)絡中心要解決以下問題 ：）高可靠性局域網(wǎng)）高可靠性服務)接入模塊）中心網(wǎng)絡結(jié)構(gòu)和安全1） 高可靠性局域網(wǎng)： 鑒于目前局域網(wǎng)設備的非可靠性狀況，本次擴容建議做可靠性設計方案，對洪山和漢口合作路兩個網(wǎng)絡數(shù)據(jù)中心及pop接入點作較為完善的規(guī)劃，同時考慮現(xiàn)有設備的利用：由于catalyst5000設備的總線帶寬為1.2gb，包交換能力只有1mpps，而其插槽數(shù)量較少（4個slot），不利于將來網(wǎng)絡的進一步擴展。建議將此設備用做撥號用戶的接入設

17、備，可提供較為充裕的以太網(wǎng)端口，以減少占用骨干局域網(wǎng)交換機的端口，對魯巷的catalyst5000建議加上一塊rsm交換模塊，增加第三層交換功能,同時于catalyst8510相結(jié)合,增加其接入以太網(wǎng)端口。采用較強的包交換能力（pps）和具有第三層交換能力的局域網(wǎng)交換機： 在洪山、漢口兩節(jié)點pop及洪山數(shù)據(jù)中心分別采用兩臺具有第三層交換功能的局域網(wǎng)交換機，建議用cisco 公司的 catalyst8510核心交換機，其可利用插槽數(shù)量為5個，提供pos和atm的接入，將來還可提供gigabit以太網(wǎng)連接能力，直接連入核心gsr。采用上述設備可做到： . 部分設備負載分擔，可減輕局域網(wǎng)核心交換機的

18、負荷； . 交換機的冗余性，同時支持硬件和網(wǎng)絡冗余。電源和線路模塊均可帶電熱插拔。另外cisco ios提供軟件冗余性能結(jié)合server和核心路由的備份冗余保證全網(wǎng)無單點故障。 . 可保證每個子網(wǎng)vlan有高速上行鏈路，能夠提供大型網(wǎng)絡所需的帶寬和擴展性。做到高可靠性、容錯設計； . 提供第三層交換功能，減輕核心路由器的路由負擔； . 提供多種連接方式，如fastethernet、fastetherchannel、千兆以太網(wǎng)、atm、pos(packet over sonet); 原cisco7513退下作為pop節(jié)點的接入設備，提供豐富的專線接入手段。2）高可靠性服務：2.1 用戶管理、計費

19、服務器和www/db服務器是全網(wǎng)重要的設備，需采用高可靠性設計方案如ha，以確保所提供服務的高可靠性； -建議用戶管理、計費服務器采用原方案設計，即兩臺sun e3000帶磁盤陣列， 采用ha的方式，保證在一臺設備出故障的情況下能自動切換到另一臺； -www/db仍采用上述ha方式；-原設備sun e3000均為單cpu、167mhz，建議本次工程增加cpu的數(shù)量和主頻，建議主頻升為336mhz，cpu暫升為四個； 為保證用戶快速訪問www信息，減少出口中繼流量，設置cache server； -數(shù)據(jù)中心（洪山節(jié)點）設置cache server，并采用主備方式，以滿足大用戶量下用戶訪問www站

20、點，節(jié)省出口帶寬；-配置性能相對較高的硬件設備以更好的實現(xiàn)proxy或cache server功能要求；2.2 cacheengine cacheengine 在 局 部 的 網(wǎng) 絡 上 或 pop 處 實 現(xiàn) 了 web 內(nèi) 容 的 網(wǎng) 絡 緩 存 共 享 ， 從 而 消 除 了 同 一 內(nèi) 容 在 廣 域 網(wǎng) 上 的 重 復 傳 輸 ， 有 效 利 用 帶 寬 并 減 少 web 服 務 器 的 負 載 。 在 cisco 提 供 該 產(chǎn) 品 之 前 ， isp 早 就 注 意 到 了 網(wǎng) 絡 緩 存 的 重 要 性 并 通 常 采 用 proxy server 來 用 作 頁 面 的 緩

21、 存 ， 這 種 方 法 為 internet帶 來 了 很 大 的 好 處 ， 但 也 給 用 戶 帶 來 了 一 些 不 便 ， 因 為 用 戶 必 須 知 道 、 記 住 這 些 proxy server 的 名 字 和 有 關(guān) 的 端 口 號 ， 對 于 不 同 的 網(wǎng) 址 ，也 許 還 需 要 重 新 配 置 不 同 的 proxy server， 非 常 麻 煩 。 這 種 緩 存 方 式 在 可 靠 性 方 面 也 存 在 不 少 缺 陷 。 cacheengine 則 作 為 專 門 的 網(wǎng) 絡 緩 存 ， 具 有 許 多 的 技 術(shù) 優(yōu) 勢 。 cacheengine 通 過

22、 快 速 以 太 網(wǎng) 與 路 由 器 連 接 。 在 運 行 過 程 中 ， 當 用 戶 訪 問 某 一 頁 面 時 ， 路 由 器 根 據(jù) 緩 存 控 制 協(xié) 議 ， 將 web 請 求 重 定 向 到 cacheengine 上 ， 如 果 cacheengine中 有 該 頁 面 內(nèi) 容 ， 則 直 接 將 該 頁 面 送 給 用 戶 ， 若 沒 有 ， 路 由 器 再 將 請 求 傳 給 相 應 的 web 服 務 器 ， 并 在 web 服 務 器 返 回 頁 面 給 用 戶 時 ， 同 時 將 該 頁 面 傳 給 cacheengine 以 備 下 一 次 或 下 一 位 用 戶

23、同 樣 請 求 時 使 用 。 cacheengine 支 持 三 種 數(shù) 據(jù) 刷 新 方 式 ： 強 行 刷 新 、 定 時 刷 新 、 和 相 對 時 間 刷 新 。 web 服 務 器 對 于 實 時 數(shù) 據(jù) (如 股 票 信 息 )可 以 規(guī) 定 不 準 進 行 緩 存 而 強 行 刷 新 每 次 數(shù) 據(jù) 。 在 定 時 刷 新 模 式 下 ， 服 務 器 對 準 實 時 數(shù) 據(jù) (如 氣 象 消 息 )則 規(guī) 定 刷 新 時 間 ， cacheengine將 根 據(jù) 該 時 間 要 求 刷 新 數(shù) 據(jù) 。 若 web 頁 面 沒 有 對 次 作 出 任 何 規(guī) 定 ， 則 進 入 相

24、 對 時 間 刷 新 狀 態(tài)，cacheengine 將 根 據(jù) 文 件 最 后 修 改 時 間 的 長 短 決 定 何 時 對 數(shù) 據(jù) 進 行 刷 新 。 cacheengine 利 用 一 個 專 門 為 緩 存 系 統(tǒng) 設 計 的 高 性 能 文 件 系 統(tǒng) ， 避 免 產(chǎn) 生 文 件 碎 片 和 通 用 文 件 系 統(tǒng) 造 成 的 長 時 間 目 錄 搜 索 。 cacheengine安 全 、 實 時 的 內(nèi) 嵌 操 作 系 統(tǒng) 還 免 除 了 通 用 文 件 系 統(tǒng) 相 對 較 高 的 上 下 處 理 負 擔 。 cacheengine 支 持 基 于 對 象 文 件 的 緩 存

25、， 即 可 以 在 頁 面 數(shù) 據(jù) 更 新 的 情 況 下 ， 緩 存 部 分 不 變 的 內(nèi) 容 ， 如 一 些 固 定 的 圖 標 。多 個 cacheengine 可 以 組 成 緩 存 場 ， 每 個 新 增 的 cacheengine 將 增 加 24gb的 存 儲 量 。 一 個 緩 存 場 至 多 能 包 括 32 個 cacheengine， 存 儲 768gb的 信 息 并 同 時 支 持 28800個 會 話 。 結(jié) 合 上 述 原 理 ， 不 難 理 解 cacheengine 具 有 如 下 特 點 ： 對 web 瀏 覽器透明：ciscoios路由器將與cacheen

26、gine配 合 完 成 全 部 工 作 ， 而 用 戶 的 web 瀏 覽 器 無 需 做 任 何 配 置 ， 可 以 關(guān) 閉 任 何 proxy server 功 能 。 盡 管 網(wǎng) 絡 中 可 能 有 多 個 cacheengine ， 它 們 也 可 能 負 責 不 同 的 內(nèi) 容 ， 但 用 戶 完 全 不 用 關(guān) 心 它 們 的 存 在 ， 更 不 用 去 記 住 portnumber 之 類 的 參 數(shù) 。 可 伸 縮 和 高 性 能：可 以 根 據(jù) 需 要 增 加 緩 存 空 間 ， 線 性 提 高 性 能 。 專 門 的 緩 存 文 件 系 統(tǒng) 也 提 供 了 高 性 能 的

27、操 作 。 容 錯 性：一 個 緩 存 場 的 所 有 cacheengine 之 間 可 以 作 負 載 均 衡 與 相 互 備 份 。 即 使 所 有 cacheengine 都 失 效 ， 路 由 器 也 能 自 動 識 別 并 取 消 緩 存 功 能 但 繼 續(xù) 提 供 web 訪 問 服 務 ， 避 免 了 從 前 proxy server 死 機 導 致 配 置 了 該 proxy server 的 用 戶 不 可 訪 問 網(wǎng) 絡 的 問 題 。 為 了 進 一 步 減 少 昂 貴 的 國 際 線 路 的 壓 力 ， 以 及 考 慮 到 核 心 節(jié) 點 接 入 的 icp較 多 ，

28、 建 議 在 洪山節(jié) 點配 置 兩 臺 cacheengine。 兩 臺 緩 存 還 可 以 互 為 備 份 。 兩 臺 緩 存 處 于 同 一 網(wǎng) 段 中 ， 與 路 由 器 的 一 個 端 口 相 連 ， 節(jié) 點 網(wǎng) 絡 圖 如 下 。 目 前 武 漢 熱 線 到 chinanet的 出 口 已 出 現(xiàn) 嚴 重 阻 塞 ，忙 時 出 現(xiàn) 丟 包 。 除 了 增 加 帶 寬 的 解 決 方 案 外 ， cacheengine 也 將 很 好 的 幫 助 解 決 問 題 。 cacheengine 的 擴 展 非 常 靈 活 。 當 發(fā) 現(xiàn) 其 容 量 不 夠 時 ，增 加 cacheengi

29、ne十非 常 容 易 ， 不 會 影 響 網(wǎng) 絡 的 正 常 運 行 狀 態(tài) 。 2.3 大用戶量radius數(shù)據(jù)備份和負載分擔 如何提高大用戶量下用戶上網(wǎng)的身份驗證速度、確保用戶接入的負載分擔，同時能做到用戶數(shù)據(jù)的可靠性備份，也是影響網(wǎng)絡運營服務質(zhì)量的關(guān)鍵因素。本期擴容工程建議采用下述設計方案：-全網(wǎng)設置兩個radius服務器e3000（設在洪山數(shù)據(jù)中心），采用互為主備工作方式。radius1主要負責洪山節(jié)點的pstn用戶接入驗證，radius2主要負責漢口節(jié)點的接入驗證，radius1和radius2間采用雙機冗余，互為彼此的備份；-在洪山節(jié)點內(nèi)部采用負載分擔的工作方式，即分別設置radi

30、us1和radius2服務器，由accessserver 分別指定primary和secondary radius，從而實現(xiàn)大用戶量下用戶身份驗證的負載分擔；-用戶數(shù)據(jù)可做到全網(wǎng)同步，即一次用戶數(shù)據(jù)可同時寫入兩個radius；- radius服務器選型建議采用sun e3000，在硬件上提高用戶驗證處理能力；-對accessserver同樣可做到負載分擔； 圖：radius數(shù)據(jù)同步、備份和分擔 2個radius服務器的用戶數(shù)據(jù)應與user database用戶數(shù)據(jù)持同步。這樣在用戶的接入方面形成備份和負荷分擔，如果radius1出現(xiàn)重大故障，“武漢熱線”的用戶仍然可以通過radius2進行接入

31、驗證2.4 load balance隨著互聯(lián)網(wǎng)絡的發(fā)展，用戶數(shù)量的增多，對網(wǎng)絡中作為信息源的web服務器、用戶的e-mail服務器等的要求也大大提高，流量過大將導致服務器的失效。一種改進方法是提高服務器的性能，增加存儲量，但這種方法僅僅適用較小的網(wǎng)址，不適用于大用戶流量的、提供相對重要服務的的主機。對于這類網(wǎng)址我們希望多臺服務器共同分擔對此站點的請求，如何在幾臺服務器之間進行協(xié)調(diào)呢，最好的解決方案是在網(wǎng)絡上為服務器加裝load balancer。load balancer就是為它所連接的多臺服務器提供流量分配的裝置，同時它還可以對所連接的服務器狀態(tài)進行監(jiān)測。所有連接在load balancer

32、的服務器共同具有一個唯一的ip地址叫作虛（virtual）ip地址，對于訪問此網(wǎng)址的用戶來說，他們所需要知道的只是這個虛（virtual）ip地址，在load balancer的內(nèi)部有一個地址對應表，引導訪問請求到后端的服務器。load balancer對流量進行分配的方法有很多種，包括roundrabin, least connections, weighted roundrabin, weighted least conns, 以及一些更為高級的算法，目的只有一個，就是將為進來的請求找一個合適的服務器cisco 的localdirctor提 供 了 一 種 智 能 的 、 基 于 一 種

33、叫 作 會 話 分 布 算 法 的 機 制 ， 能 夠 發(fā) 現(xiàn) 服 務 器 場 中 各 臺 服 務 器 當 前 的 狀 態(tài) ，從 而 選 擇 一 臺 可 用 資 源 最 高 (最 空 閑 ) 的 服 務 器 接 受 當 前 的 查 詢 。 localdirector 本 身 則 充 當 虛 擬 服 務 器 的 角 色 ， 接 受 所 有 相 關(guān) 的 查 詢 。 localdirector同 時 支 持 700000 個 tcp會 話 ， 完 全 透 明 的 支 持 web、 ftp、 telnet、 smtp等 協(xié) 議 。 并 提 供 待 機 自 動 恢 復 功 能 。 localdirect

34、or支 持 服 務 器 的 動 態(tài) 加 入 。 在 這 種 基 于 最 優(yōu) 化 策 略 的 服 務 器 選 擇 方 法 中 ， 業(yè) 務 流 量 不 會 盲 目 的 輪 流 使 用 服 務 器 而 不 管 此 時 服 務 器 的 實 際 負 載 如 何 。負 載 較 重 的 服 務 器 業(yè) 務 處 理 能 力 相 對 較 差 ， 但 在 輪 流 服 務 方 式 下 ， 高 峰 時 業(yè) 務 流 將 會 仍 仍 然 源 源 不 斷 的 送 來 ， 使 其 處 理 能 力 更 差 ， 形 成 惡 性 循 環(huán) ； 而 負 擔 較 輕 的 服 務 器 則 一 直 處 于 比 較 空 閑 的 狀 態(tài) ， 設

35、 備 不 能 得 到 有 效 的 利 用 。 事 實 上 ， 在 這 種 機 制 中 ， isp很 難 用 不 同 性 能 的 設 備 進 行 負 載 分 擔 ， 在 進 行 網(wǎng) 絡 擴 容 時 ， 舊 的 設 備 往 往 成 了 嚼 之 無 味 棄 之 可 惜 的 雞 肋 。 顯 然 ， localdirector則 避 免 了 這 種 情 況 ， 使 isp 的 擴 容 工 作 輕 松 自 如 。 由于武漢熱線的許多服務器現(xiàn)已趨于飽和，要提供更大規(guī)模的服務，又要保護現(xiàn)有投資 ，勢必在增加新的服務器的同時需要保持原有服務器的功能。如果配以功能強大的localdirector，則可以進一步保護

36、投資，有效利用所有的服務器。 由于現(xiàn)在的dns服務分別有三臺不同用途、不同檔次的服務器負擔，為了便于管理和用戶使用，本期工程考慮在dns配 備 兩 臺localdirector(冗 余 備 份 )，技術(shù)，實現(xiàn)dns服務器的負載分擔和一致性。3）接入模塊 根據(jù)2000年用戶發(fā)展需求，針對“武漢熱線”100，000用戶量，建議擴容工程采用節(jié)點分布接入、本地負載分擔的方式，以滿足大用戶量下對系統(tǒng)的要求： -洪山、漢口分別提供用戶接入（撥號用戶和專線用戶）； -用戶數(shù)量分布按6：4比例，即洪山承擔60，000用戶，漢口接入40，000用戶量； -接入服務器亦按上述比例分節(jié)點提供接入，考慮到接入服務器會

37、占用較多的交換機端口，建議單獨上連至catalyst8510交換機或直連到核心gsr，以較高的可擴展性滿足大用戶量增長需求；根據(jù)用戶發(fā)展的實際變化，局方只需連入接入服務器即可，同時便于擴展； -本地接入服務器亦可做到負載分擔； -專線接入可用從核心退下的cisco7513提供。 -為加強各種寬帶業(yè)務的發(fā)展,可直接在gsr上插atm卡進行atm接入,滿足adsl等多種運用。4）數(shù)據(jù)中心網(wǎng)絡結(jié)構(gòu)和安全4.1 局域網(wǎng)的劃分 根據(jù)網(wǎng)絡大用戶量設計方案，同時考慮現(xiàn)有設備及子網(wǎng)劃分情況，建議局域網(wǎng)的網(wǎng)段重新劃分，各個vlan設備情況如下：vlan1：用戶接入子網(wǎng)，包括用戶接入服務器、用于用戶身份驗證的2臺

38、radius服務器（負載分擔方式），其中由于接入服務器占用較多的交換機端口，同時隨用戶數(shù)量的增加便于擴展（模塊化設計），建議利用現(xiàn)有的catalyst5000接入并上連至局域網(wǎng)交換機；vlan2：用戶e-mail子網(wǎng)，包括smtp服務器、pop3服務器和滿足60，000用戶郵件需求的磁盤陣列（容量120gb）；vlan3：信息子網(wǎng)包括采用ha設計的www服務器和全網(wǎng)主域名服務器dns；vlan4：包括用戶管理、計費服務器，此子網(wǎng)放置在軟件防火墻后；vlan5: 全網(wǎng)網(wǎng)管服務器nms，此子網(wǎng)放置在軟件防火墻后；考慮到服務器的備份路由設置，可采用預留交換機端口的方式，即在兩臺lan 交換機上分別劃

39、分5個valn，如果一臺局域網(wǎng)交換機出現(xiàn)故障，則可方便的切換到另一臺交換機上，從而保證服務的可靠性；同時，vlan4和vlan5的防火墻也互為冗余備份，避免意外事故的發(fā)生。 4.2 網(wǎng)絡安全 在網(wǎng)絡主要服務器網(wǎng)段設置防火墻及相應安全技術(shù)，以確保用戶管理/計費服務器、網(wǎng)管服務器和系統(tǒng)的安全；根據(jù)對安全技術(shù)的研究和實踐經(jīng)驗，我們建議采用如下的基本防范措施： 4.2.1 在用戶管理、計費、網(wǎng)管vlan及重要服務vlan配置防火墻設備 由于防火墻會對網(wǎng)絡的效率造成影響，因此為了提高效率，減小由于增加防火墻結(jié)構(gòu)對系統(tǒng)訪問速度的影響，可以采用效率較高的硬件防火墻（cisco公司的pix firewall、

40、pix10000等），把主要的服務器放在防火墻內(nèi)部，把較次要的服務器放在防火墻外部以提供網(wǎng)絡的運行效率。為了提高防火墻的可靠性，還可以對pix采用冗余備份。 cisco的pix是一種防火墻設備。pix有效地對internet網(wǎng)上“黑客”隱蔽客戶地址。它的核心是基于適應安全算法（asa：adaptive security algorithm）保護模式。狀態(tài)化的面向asa連接的安全方法根據(jù)源和目的地址、tcp包序號、端口號和其它tcp標幟建立會話流。這些信息存儲在一個表中，并且對所有進入的包跟表中相應項進行比較，只有在有效通道上的合適連接的訪問是允許通過pix防火墻的。這種設置讓內(nèi)部用戶和未認證的

41、外部用戶透明地訪問您的內(nèi)部網(wǎng)絡的同時防止對內(nèi)部網(wǎng)絡的非授權(quán)訪問。 基于軟件的防火墻設計 隨著網(wǎng)絡防火墻技術(shù)的不斷發(fā)展，軟件防火墻已成為目前網(wǎng)絡安全戰(zhàn)略的重要技術(shù)。基于軟件的防火墻具有較強的可擴展性，數(shù)據(jù)傳輸效率有很大提高，同時軟件防火墻具有詳盡的記錄和更多的安全控制，可以在限制用戶防問權(quán)限的同時跟蹤異常訪問的源地址，這些優(yōu)點在對web服務及郵件服務的防護上具有特別的意義，而且有于系統(tǒng)管理人員更好地維護。建議采用一些成熟的軟件防火墻產(chǎn)品，如checkpoint、sun firewall-1、tis gauntlet等。上述兩種方案各有優(yōu)劣，基于硬件的防火墻效率較高，操作配置簡單，用戶管理和維護方

42、便，但可擴展性不強，不能隨著應用變化而有效可靠地防范；基于軟件的防火墻雖然對網(wǎng)管員要求較高，配置相對復雜，但具有較強的可擴展性，防火墻設計靈活，數(shù)據(jù)傳輸效率也較高，對硬件要求相對不高，建議本期工程采用軟件防火墻結(jié)構(gòu)，通過對現(xiàn)在通用的防火墻產(chǎn)品的比較和選型，我們建議用目前國際上最流行的軟件防火墻產(chǎn)品checkpoint firewall。 checkpoint firewall防火墻所起的主要功能1 定義和強制安全策略，實施常見服務的代理和路由過濾。2 能有效的記錄網(wǎng)絡活動，產(chǎn)生監(jiān)控報警，便于實施對入侵行為的追蹤。3 能有效地屏蔽內(nèi)部網(wǎng)的信息，增加網(wǎng)絡的安全。待添加的隱藏文字內(nèi)容3防火墻配置說明

43、根據(jù)武漢熱線網(wǎng)絡現(xiàn)狀，我們建議在重要服務子網(wǎng)絡配置防火墻，將記費子網(wǎng)絡（主要是認證計費和網(wǎng)管子網(wǎng)絡）通過防火墻與骨干internet隔離。記費子網(wǎng)配置雙防火墻，運行熱切換軟件實現(xiàn)當單機故障時熱切換。防火墻主機硬件平臺建議采用sun 工作站，每臺防火墻均配置四塊網(wǎng)卡，分別用于連接internet、連接熱切換防火墻、連接認證計費網(wǎng)段、連接網(wǎng)管網(wǎng)段。將認證計費網(wǎng)段和網(wǎng)管網(wǎng)段隔離的目的是加強系統(tǒng)的安全，以避免不同級別的系統(tǒng)管理人員對無關(guān)網(wǎng)段主機的操作。我們建議配置的防火墻模塊包括：v esc模塊。用于實現(xiàn)對全網(wǎng)中所有防火墻的集中管理，其中包括策略制定、集中監(jiān)控、集中日志等。建議為市局中心子網(wǎng)配置一個e

44、sc模塊，安裝在中心子網(wǎng)內(nèi)的一臺主機上。其他子網(wǎng)不再安裝此模塊。v fw模塊。此模塊是checkpoint防火墻的核心模塊，包含了安全控制、集中認證、內(nèi)容安全接口等功能。建議為兩臺防火墻均配置此模塊。v em加密模塊。主要實現(xiàn)在fw模塊之間數(shù)據(jù)傳遞時的加密和解密功能。通過此模塊，防火墻間可以安全地在internet上傳遞網(wǎng)管、用戶等數(shù)據(jù)。建議為兩臺防火墻均配置此模塊。v connect control模塊。主要實現(xiàn)多臺主機（如認證服務器）之間的負載均衡。建議兩臺防火墻配置此模塊。v seos安全模塊。主要用于加強作為防火墻的sun工作站的安全。seos安全模塊是checkpoint的伙伴公司產(chǎn)

45、品，作為操作系統(tǒng)的補丁，可以彌補sun solaris中的安全漏洞。建議為兩臺防火墻主機均配置此模塊。v rsc模塊。主要用于通過gui界面實現(xiàn)對網(wǎng)絡中的路由器的訪問控制列表（access list）的統(tǒng)一設置。目前rsc模塊支持的路由器包括cisco和bay等。通過友善的界面，系統(tǒng)管理員可以非常方便的進行統(tǒng)一設置并下載到網(wǎng)絡中的多臺路由器中去。建議在市局中心配置一套此模塊，用于全網(wǎng)集中管理。v stonebeat模塊。這是checkpoint伙伴公司的產(chǎn)品，用于提供兩臺防火墻之間的故障熱切換。當其中一臺（主）防火墻發(fā)生故障時，通過此模塊可以自動切換到另外一臺（從）防火墻，而ip地址、mac地

46、址等均能由其自動接管。4.2.2 基于主機的保護1）iss產(chǎn)品iss是目前業(yè)界領先的安全掃描和實時監(jiān)測產(chǎn)品廠商。我們建議采用iss部分產(chǎn)品模塊實現(xiàn)對武漢熱線主機的安全掃描以及實時攻擊和非法操作監(jiān)測。我們建議的iss模塊包括：v realsecure模塊。用于實時監(jiān)測網(wǎng)絡中的攻擊和非法操作并按照預先設置進行響應。根據(jù)realsecure的運行模式，需要對每個網(wǎng)段配置一套，而且局域網(wǎng)的hub或交換機必須支持監(jiān)控方式（sniffer方式），realsecure可以實時監(jiān)測同網(wǎng)段上的tcp/ip包和各種服務請求，并按安全管理員定義的策略進行審計和告警，同時可與防火墻結(jié)合起來中斷危險的網(wǎng)絡連接。建議配置3套realsecure用于保護3個局域子網(wǎng)（認證計費網(wǎng)段、網(wǎng)管網(wǎng)段，多媒體制作網(wǎng)段）。v sss模塊。用于掃描局域網(wǎng)絡中的主機的安全漏洞，包括不安全的口令、不安全的文件屬性等。建議配置一套50個節(jié)點的模塊，可以對指定50個ip地址對應的主機進行掃描。v fs模塊。用于掃描網(wǎng)絡中的防火墻的設置漏洞，包括防火墻所在主機的漏洞、防火墻策略的漏洞等。建議配置一套3個節(jié)點的模塊，可以對3個指定ip地址的防火墻進行掃描。v ws模塊。用于掃描web服務器的設置漏洞，包括web服務器軟件中的一些設置“backdoor”等。建議配置一套10個節(jié)點的模塊，可以對10個指定ip地址的web服務器進行掃描。