某市寬帶IP網(wǎng)絡(luò)設(shè)計(jì)方案

1、 .PAGE29 / NUMPAGES29XX市寬帶IP網(wǎng)絡(luò)方案2000年9月前言網(wǎng)捷網(wǎng)絡(luò)公司非常榮幸能為XX市寬帶網(wǎng)提供解決方案。針對(duì)XX市的實(shí)際情況，我們推出了全面采用FOUNDRY公司產(chǎn)品組成的解決方案，利用屢獲大獎(jiǎng)的BigIron 8000第三層交換機(jī)、BigIron 4000第三層交換機(jī)和FastIron交換路由器，組成一套可以在現(xiàn)有光纖系統(tǒng)上提供高速傳輸?shù)木W(wǎng)絡(luò)系統(tǒng)。FOUNDRY公司的系列產(chǎn)品在國(guó)外均已大量使用并深獲好評(píng)，相信也能在XX市的使用中發(fā)揮其一貫的穩(wěn)定可靠、易用易管理、高性能的特點(diǎn)，保障XX市寬帶網(wǎng)絡(luò)的連續(xù)運(yùn)行。 本方案采用的骨干設(shè)備是FOUNDRY BigIron 80

2、00，每臺(tái)有8個(gè)網(wǎng)絡(luò)模塊插槽。接口模塊有有多種類型可選，根據(jù)實(shí)際需要加以配置。本方案采用的邊緣設(shè)備是BigIron 4000，每臺(tái)有4個(gè)網(wǎng)絡(luò)模塊插槽。本方案采用的樓域用戶接入設(shè)備主要是FOUNDRY FastIron 工作組交換機(jī)。骨干節(jié)點(diǎn)和邊緣節(jié)點(diǎn)之間用千兆以太網(wǎng)連接。可以提供高速的TCP/IP，NOVELL IPX，WINDOWS NT，WINDOW98/95網(wǎng)絡(luò)互通。目錄 TOC o 1-4 第1章 項(xiàng)目描述 PAGEREF _Toc494109850 h 51.1 項(xiàng)目概況 PAGEREF _Toc494109851 h 51.2 建設(shè)圍 PAGEREF _Toc494109852 h

3、 51.3 營(yíng)運(yùn)級(jí)寬帶網(wǎng)絡(luò) PAGEREF _Toc494109853 h 5第2章 XX市寬帶網(wǎng)解決方案 PAGEREF _Toc494109854 h 72.1 主干技術(shù) PAGEREF _Toc494109855 h 72.2 設(shè)備選型 PAGEREF _Toc494109856 h 72.2.1 網(wǎng)絡(luò)主干設(shè)備的系統(tǒng)結(jié)構(gòu) PAGEREF _Toc494109857 h 7交換結(jié)構(gòu) （Switching Fabric） PAGEREF _Toc494109858 h 8阻塞與非阻塞配置 PAGEREF _Toc494109859 h 8采用何種方式實(shí)現(xiàn)第3層和第4層的處理 PAGEREF

4、_Toc494109860 h 92.2.2系統(tǒng)容量 PAGEREF _Toc494109861 h 102.2.3關(guān)鍵部件冗余設(shè)計(jì) PAGEREF _Toc494109862 h 102.2.4緩沖技術(shù) PAGEREF _Toc494109863 h 102.2.5系統(tǒng)結(jié)構(gòu)的技術(shù)壽命 PAGEREF _Toc494109864 h 112.3選型結(jié)論 PAGEREF _Toc494109865 h 122.4XX市寬帶網(wǎng)組網(wǎng)方案 PAGEREF _Toc494109866 h 132.4.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) PAGEREF _Toc494109867 h 132.4.2骨干節(jié)點(diǎn) PAGEREF

5、_Toc494109868 h 132.4.3邊緣節(jié)點(diǎn) PAGEREF _Toc494109869 h 132.4.4接入層節(jié)點(diǎn) PAGEREF _Toc494109870 h 142.4.5用戶接入 PAGEREF _Toc494109871 h 142.5方案特點(diǎn) PAGEREF _Toc494109872 h 162.5.1 全部第三層功能的主干交換網(wǎng)絡(luò)結(jié)構(gòu) PAGEREF _Toc494109873 h 162.5.2完善的接入安全性 PAGEREF _Toc494109874 h 162.5.3與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)設(shè)計(jì) PAGEREF _Toc494109875 h 162.5.4 良好

6、的網(wǎng)絡(luò)隔離能力 PAGEREF _Toc494109876 h 172.5.5 完善的設(shè)備安全性 PAGEREF _Toc494109877 h 182.5.6 良好的網(wǎng)絡(luò)穩(wěn)定性 PAGEREF _Toc494109878 h 182.5.7良好的網(wǎng)絡(luò)擴(kuò)展性 PAGEREF _Toc494109879 h 192.5.8良好的可管理性 PAGEREF _Toc494109880 h 192.5.9服務(wù)質(zhì)量保證 PAGEREF _Toc494109881 h 19第3章 業(yè)務(wù)描述 PAGEREF _Toc494109882 h 213.1 用戶接入Internet PAGEREF _Toc494

7、109883 h 213.2 用戶局域網(wǎng)高速互連 PAGEREF _Toc494109884 h 233.2.1 企業(yè)用戶VLAN組網(wǎng) PAGEREF _Toc494109885 h 233.2.2 企業(yè)用戶IP VPN組網(wǎng) PAGEREF _Toc494109886 h 243.3 用戶建立與其訪問控制 PAGEREF _Toc494109887 h 253.4 用戶隔離與基本認(rèn)證 PAGEREF _Toc494109888 h 25第4章 網(wǎng)絡(luò)管理 PAGEREF _Toc494109889 h 264.1 網(wǎng)管中心的設(shè)置和職責(zé) PAGEREF _Toc494109890 h 264.1.

8、1 節(jié)點(diǎn)維護(hù)管理終端 PAGEREF _Toc494109891 h 264.2 網(wǎng)管中心的功能 PAGEREF _Toc494109892 h 27項(xiàng)目描述項(xiàng)目概況XX市電信根據(jù)自己的技術(shù)和資源優(yōu)勢(shì)，決定建立一個(gè)高帶寬、高速率的信息傳輸網(wǎng)，為用戶提供數(shù)據(jù)運(yùn)載服務(wù)與信息服務(wù)。網(wǎng)絡(luò)覆蓋全市的 各個(gè)區(qū)，可以為用戶提供以IP為基礎(chǔ)的新的數(shù)據(jù)業(yè)務(wù)，如寬帶接入、電子商務(wù)、視頻傳輸、多點(diǎn)廣播、視頻點(diǎn)播、協(xié)同設(shè)計(jì)、桌面會(huì)議電視、遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育的各種信息服務(wù)。XX市寬帶IP城域網(wǎng)可為用戶提供以下服務(wù)：利用該項(xiàng)目網(wǎng)絡(luò)的帶寬優(yōu)勢(shì)，提供保證質(zhì)量的多媒體應(yīng)用。為分散經(jīng)營(yíng)的企業(yè)集團(tuán)建立虛擬專用網(wǎng)，以便統(tǒng)一管理其資產(chǎn)

9、、物資、資金、市場(chǎng)、人事等。高中、職業(yè)高中、初中、小學(xué)、幼兒園為服務(wù)對(duì)象、建立普通教育或義務(wù)教育專用網(wǎng)。向家庭用戶、機(jī)關(guān)團(tuán)體提供多媒體形式的信息查詢、國(guó)際聯(lián)網(wǎng)、視頻點(diǎn)播等信息服務(wù)。建設(shè)圍XX市寬帶IP城域網(wǎng)由3個(gè)骨干節(jié)點(diǎn)、15邊緣節(jié)點(diǎn)和多個(gè)接入節(jié)點(diǎn)組成，覆蓋XX市各區(qū)縣。營(yíng)運(yùn)級(jí)寬帶網(wǎng)絡(luò)根據(jù)XX市寬帶網(wǎng)的要求，本網(wǎng)定位為營(yíng)運(yùn)級(jí)的寬帶網(wǎng)絡(luò)。本網(wǎng)絡(luò)是一個(gè)IP網(wǎng)絡(luò)，以順應(yīng)數(shù)據(jù)網(wǎng)絡(luò)的發(fā)展趨勢(shì)，提供對(duì)絕大部分IP業(yè)務(wù)的直接支持。本網(wǎng)絡(luò)又必須是一個(gè)寬帶網(wǎng)絡(luò)，以滿足網(wǎng)絡(luò)數(shù)據(jù)流量的迅速增長(zhǎng)，提供大容量高速傳輸?shù)哪芰Γ掀浞?wù)平臺(tái)的角色。本網(wǎng)絡(luò)還必須是一個(gè)服務(wù)性營(yíng)運(yùn)級(jí)的網(wǎng)絡(luò)，以區(qū)別于供企業(yè)自用為主的企業(yè)級(jí)網(wǎng)絡(luò)，

10、而在可靠性、服務(wù)質(zhì)量QoS、業(yè)務(wù)類別方面有較高保障，從而對(duì)公眾提供豐富、易用、可靠的服務(wù)，并對(duì)二級(jí)服務(wù)網(wǎng)絡(luò)提供可靠連接。由于IP協(xié)議和IP數(shù)據(jù)在網(wǎng)絡(luò)上會(huì)越來越普與，本網(wǎng)絡(luò)應(yīng)該可以很好地支持TCP/IP協(xié)議，在時(shí)機(jī)成熟時(shí)，可以方便地轉(zhuǎn)成全寬帶IP網(wǎng)。因此，本項(xiàng)目將是一個(gè)以TCP/IP協(xié)議為基礎(chǔ)、具有大容量高速傳輸能力的、可靠穩(wěn)定保證服務(wù)質(zhì)量的營(yíng)運(yùn)級(jí)寬帶網(wǎng)絡(luò)。XX市寬帶網(wǎng)解決方案主干技術(shù)在充分研究了目前國(guó)際網(wǎng)絡(luò)界對(duì)城域網(wǎng)設(shè)計(jì)所采用的各種網(wǎng)絡(luò)主干技術(shù),并充分考慮到技術(shù)發(fā)展的主流和趨勢(shì)后,我們建議XX市寬帶網(wǎng)絡(luò)采用以千兆以太網(wǎng)或POS 為核心層鏈路、以千兆以太網(wǎng)為核心層與邊緣層連接而組成的網(wǎng)絡(luò)主干。設(shè)

11、備選型XX市寬帶IP網(wǎng)的主要用戶對(duì)象是企業(yè)用戶和家庭用戶。家庭用戶接入寬帶IP網(wǎng)主要用于訪問Internet。企業(yè)用戶主要通過寬帶IP網(wǎng)進(jìn)行不同營(yíng)業(yè)場(chǎng)所的互聯(lián)。此外，也可通過寬帶IP網(wǎng)訪問Internet。企業(yè)用戶長(zhǎng)期使用電信的租用線路（即電路）連接部網(wǎng)絡(luò)，并且通過電信連接INTERNET。他們的使用習(xí)慣值得尊重。這類用戶關(guān)心的是網(wǎng)絡(luò)的安全性和服務(wù)質(zhì)量。由于用戶數(shù)眾多，為保證全網(wǎng)的安全性和性能，同時(shí)保護(hù)企業(yè)用戶在網(wǎng)上傳輸?shù)男阅艿陌踩?，保證他們有承諾的帶寬可以利用，對(duì)設(shè)備選型必需仔細(xì)比較和分析。如第一章所述，網(wǎng)絡(luò)設(shè)備必需既支持虛擬局域網(wǎng)技術(shù)，以提供透明的鏈路通道；又必須支持大多數(shù)網(wǎng)絡(luò)協(xié)議，提供

12、網(wǎng)絡(luò)服務(wù)，開展網(wǎng)絡(luò)應(yīng)用。這就決定了所有設(shè)備必須是可以工作在第二層或第三層的，具有每層對(duì)應(yīng)的安全控制功能，如第二層的MAC過濾功能，第三層的訪問列表控制功能等。為保證給與用戶所購(gòu)買的帶寬，除了采用各種服務(wù)質(zhì)量機(jī)制和帶寬管理機(jī)制進(jìn)行帶寬管理外，設(shè)備必須提供全線速的交換和路由能力，有足夠大的MAC地址表和路由表。為保證網(wǎng)絡(luò)的安全性，設(shè)備本身必須支持各種安全機(jī)制，確保設(shè)備本身不會(huì)被輕易入侵。下面就骨干節(jié)點(diǎn)設(shè)備、邊緣節(jié)點(diǎn)設(shè)備和接入設(shè)備的選型進(jìn)行闡述。網(wǎng)絡(luò)主干設(shè)備的系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)主干設(shè)備即骨干節(jié)點(diǎn)設(shè)備的系統(tǒng)結(jié)構(gòu)直接決定了設(shè)備的性能和功能水平。這猶如先天很好的一個(gè)嬰兒和一個(gè)先天不足的嬰兒，即便后天成長(zhǎng)條件完全

13、一樣，他們的能力依然有相當(dāng)大的差別。因此，深入了解設(shè)備的系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，客觀認(rèn)知設(shè)備的性能和功能，這對(duì)正確選擇設(shè)備極有幫助，下面將從七個(gè)方面進(jìn)行討論。交換結(jié)構(gòu)（Switching Fabric） 隨著網(wǎng)絡(luò)交換技術(shù)不斷的發(fā)展，交換結(jié)構(gòu)在網(wǎng)絡(luò)設(shè)備的體系結(jié)構(gòu)中占據(jù)著極為重要的地位。為了便于理解，這里僅簡(jiǎn)述三種典型的交換結(jié)構(gòu)的特點(diǎn)：共享總線。由于近年來網(wǎng)絡(luò)設(shè)備的總線技術(shù)發(fā)展緩慢，所以導(dǎo)致了共享總線帶寬低，訪問效率不高；而且，它不能用來同時(shí)進(jìn)行多點(diǎn)訪問。另外，受CPU頻率和總線位數(shù)的限制，其性能擴(kuò)展困難。它適用于大部分流量在模塊本地進(jìn)行交換的網(wǎng)絡(luò)模式。共享存。其訪問效率高，適合同時(shí)進(jìn)行多點(diǎn)訪問（MULTI

14、CAST）。共享存通常為DRAM和SRAM兩種，DRAM速度慢，造價(jià)低，SRAM速度快，造價(jià)高。共享存方式對(duì)存芯片的性能要求很高，至少為整機(jī)所有端口帶寬之和的兩倍（比如設(shè)備支持32個(gè)千兆以太網(wǎng)端口，則要求共享存的性能要達(dá)到64Gbps）。交換矩陣（Cross bar）。由于ASIC技術(shù)發(fā)展迅速，目前ASIC芯片間的轉(zhuǎn)發(fā)性能通?？蛇_(dá)到1Gbps，甚至更高的性能，于是給交換矩陣提供了極好的物質(zhì)基礎(chǔ)。所有接口模塊（包括控制模塊）都連接到一個(gè)矩陣式背板上，通過ASIC芯片到ASIC芯片的直接轉(zhuǎn)發(fā)，可同時(shí)進(jìn)行多個(gè)模塊之間的通信；每個(gè)模塊的緩存只處理本模塊上的輸入/輸出隊(duì)列，因此對(duì)存芯片性能的要求大大低于

15、共享存方式?？傊粨Q矩陣的特點(diǎn)是訪問效率高，適合同時(shí)進(jìn)行多點(diǎn)訪問，容易提供非常高的帶寬，并且性能擴(kuò)展方便，不易受CPU、總線以與存技術(shù)的限制。目前大部分的專業(yè)網(wǎng)絡(luò)廠商在其第三層核心交換設(shè)備中都越來越多地采用了這種技術(shù)。阻塞與非阻塞配置 阻塞與非阻塞配置是兩種截然不同的設(shè)計(jì)思想，它們各有優(yōu)劣。在選型時(shí)，一定要根據(jù)實(shí)際需求來選擇相應(yīng)的網(wǎng)絡(luò)設(shè)備。阻塞配置。該種設(shè)計(jì)是指：機(jī)箱中所有交換端口的總帶寬，超過前述交換結(jié)構(gòu)的轉(zhuǎn)發(fā)能力。因此，阻塞配置設(shè)計(jì)容易導(dǎo)致數(shù)據(jù)流從接口模塊進(jìn)入交換結(jié)構(gòu)時(shí)，發(fā)生阻塞；一旦發(fā)生阻塞，便會(huì)降低系統(tǒng)的交換性能。例如，一個(gè)交換接口模塊上有8個(gè)千兆交換端口，其累加和為8Gbps，而該

16、模塊在交換矩陣的帶寬只有2Gbps。當(dāng)該模塊滿負(fù)荷工作時(shí)，勢(shì)必發(fā)生阻塞。采用阻塞設(shè)計(jì)容易在千兆/百兆接口模塊上提高端口密度，十分適合連接服務(wù)器集群（因?yàn)榉?wù)器本身受到操作系統(tǒng)、輸入/輸出總線、磁盤吞吐能力，以與應(yīng)用軟件等諸多因素的影響，通過其網(wǎng)卡進(jìn)行交換的數(shù)據(jù)不可能達(dá)到網(wǎng)卡吞吐的標(biāo)稱值）。非阻塞配置。該設(shè)計(jì)的目標(biāo)為：機(jī)箱中全部交換端口的總帶寬，低于或等于交換結(jié)構(gòu)的轉(zhuǎn)發(fā)能力，這就使得在任何情況下，數(shù)據(jù)流進(jìn)入交換結(jié)構(gòu)時(shí)不會(huì)發(fā)生阻塞。因此，非阻塞設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備適用于主干連接。在主干設(shè)備選型時(shí)，只需注意接口模塊的端口密度和交換結(jié)構(gòu)的轉(zhuǎn)發(fā)能力相匹配即可。當(dāng)要構(gòu)造高性能的網(wǎng)絡(luò)主干時(shí)，必須選用非阻塞配置的主

17、干設(shè)備。采用何種方式實(shí)現(xiàn)第3層和第4層的處理眾所周知，每一次網(wǎng)絡(luò)通信都是在通信的機(jī)器之間產(chǎn)生一串?dāng)?shù)據(jù)包。這些數(shù)據(jù)包構(gòu)成的數(shù)據(jù)流可分別在第3、4層進(jìn)行識(shí)別。在第3層（Network Layer，即網(wǎng)絡(luò)層，以下簡(jiǎn)稱L3），數(shù)據(jù)流是通過源站點(diǎn)和目的站點(diǎn)的網(wǎng)絡(luò)地址被識(shí)別。因此，控制數(shù)據(jù)流的能力僅限于通信的源站點(diǎn)和目的站點(diǎn)的地址對(duì)，實(shí)現(xiàn)這種功能的設(shè)備稱之為路由器。路由器在網(wǎng)絡(luò)中占據(jù)著核心的地位。傳統(tǒng)路由器是采用軟件實(shí)現(xiàn)路由功能，其速度慢，且價(jià)格昂貴，往往成為網(wǎng)絡(luò)的瓶頸。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，路由器技術(shù)發(fā)生了革命，路由功能由專用的ASIC集成電路來完成?，F(xiàn)在這種設(shè)備被稱之為第三層交換機(jī)或叫做交換式路由器。第

18、4層（Transport Layer即傳輸層，以下簡(jiǎn)稱L4），通過數(shù)據(jù)包的第4層信息，設(shè)備能夠懂得所傳輸?shù)臄?shù)據(jù)包是何種應(yīng)用。因此，第4層交換提供應(yīng)用級(jí)的控制，即支持安全過濾和提供對(duì)應(yīng)用流施加特定的QoS策略。傳統(tǒng)路由器具有閱讀第4層報(bào)頭信息的能力（通過軟件實(shí)現(xiàn)），與第三層交換機(jī)（或交換式路由器）采用專用的ASIC集成電路相比，設(shè)備的性能幾乎相差了兩個(gè)數(shù)量級(jí)，因此，傳統(tǒng)路由器無法實(shí)現(xiàn)第4層交換。值得指出的是：網(wǎng)絡(luò)主干設(shè)備的系統(tǒng)結(jié)構(gòu)在設(shè)計(jì)上分成兩大類：集中式和分布式。即便兩者都采用了新的技術(shù)，但就其性能而言，仍存在著較大的差異。集中式所謂集中式，顧名思義，L3/L4數(shù)據(jù)流的轉(zhuǎn)發(fā)由一個(gè)中央模塊控制處

19、理。因此，L3/L4層轉(zhuǎn)發(fā)能力通常為3M4Mpps，最多達(dá)到15Mpps。分布式將L3/L4層數(shù)據(jù)流的轉(zhuǎn)發(fā)策略設(shè)置到接口模塊上，并且通過專用的ASIC芯片轉(zhuǎn)發(fā)L3/L4層數(shù)據(jù)流，從而實(shí)現(xiàn)相關(guān)控制和服務(wù)功能。L3/L4層轉(zhuǎn)發(fā)能力可達(dá) 40Mpps 至 100Mpps，甚至180Mpps。2.2.2系統(tǒng)容量由于網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)主干設(shè)備的系統(tǒng)容量也成為選型中的重要考核指標(biāo)。建議重點(diǎn)考核以下兩個(gè)方面：物理容量 各類網(wǎng)絡(luò)協(xié)議的端口密度，如千兆以太網(wǎng)、快速以太網(wǎng)，尤其是非阻塞配置下的端口密度。邏輯容量 路由表、MAC地址表、應(yīng)用數(shù)據(jù)流表、訪問控制列表（ACL）大小，反映出設(shè)備支持網(wǎng)絡(luò)規(guī)模大小的能力（

20、先進(jìn)的主干設(shè)備必須支持足夠大的邏輯容量，以與非阻塞配置設(shè)計(jì)下的高端口密度。）2.2.3關(guān)鍵部件冗余設(shè)計(jì)人們已經(jīng)普遍認(rèn)同處于關(guān)鍵部位的網(wǎng)絡(luò)設(shè)備不應(yīng)存在單點(diǎn)故障。為此，網(wǎng)絡(luò)主干設(shè)備應(yīng)能實(shí)現(xiàn)如下三方面的冗余。電源和機(jī)箱風(fēng)扇冗余控制模塊冗余 控制模塊冗余功能應(yīng)提供對(duì)主控制模塊的“自動(dòng)切換”支持。如：備份控制模塊連續(xù)5次沒有聽到來自主控制模塊的匯報(bào)，備份模塊將進(jìn)行初始化并執(zhí)行硬件恢復(fù)。另外，各種模塊均可熱插拔。交換結(jié)構(gòu)冗余 如果網(wǎng)絡(luò)主干設(shè)備忽略交換結(jié)構(gòu)的冗余設(shè)計(jì)，就無法達(dá)到設(shè)備冗余的完整性。因此，要充分考慮網(wǎng)絡(luò)主干設(shè)備的可靠性，應(yīng)該要求該設(shè)備支持交換結(jié)構(gòu)冗余。此外，交換結(jié)構(gòu)冗余功能也應(yīng)具有對(duì)主交換結(jié)構(gòu)“

21、自動(dòng)切換”的特性。2.2.4緩沖技術(shù) 緩沖技術(shù)在網(wǎng)絡(luò)交換機(jī)的系統(tǒng)結(jié)構(gòu)中使用的越來越多，也越來越復(fù)雜。任何技術(shù)的使用都有著兩面性，如過大的緩沖空間會(huì)影響正常通信狀態(tài)下，數(shù)據(jù)包的轉(zhuǎn)發(fā)速度（因?yàn)檫^大的緩沖空間需要相對(duì)多一點(diǎn)的尋址時(shí)間），并增加設(shè)備的成本。而過小的緩沖空間在發(fā)生擁塞時(shí)又容易丟包出錯(cuò)。所以，適當(dāng)?shù)木彌_空間加上先進(jìn)的緩沖調(diào)度算法是解決緩沖問題的合理方式。對(duì)于網(wǎng)絡(luò)主干設(shè)備，需要注意幾點(diǎn)：每端口是否享有獨(dú)立的緩沖空間，而且該緩沖空間的工作狀態(tài)不會(huì)影響其它端口緩沖的狀態(tài)。模塊或端口是否設(shè)計(jì)有獨(dú)立的輸入緩沖、獨(dú)立的輸出緩沖，或是輸入/輸出緩沖。是否具有一系列的緩沖管理調(diào)度算法，如RED、WRED、

22、RR/FQ、WERR/WEFQ。2.2.5系統(tǒng)結(jié)構(gòu)的技術(shù)壽命 所選擇的網(wǎng)絡(luò)主干設(shè)備，其系統(tǒng)結(jié)構(gòu)應(yīng)能滿足用戶的功能需求，并具有足夠長(zhǎng)的技術(shù)生命周期。換言之，要避免通過硬件補(bǔ)丁的辦法（不斷增加新的硬件單元對(duì)系統(tǒng)結(jié)構(gòu)中存在的不足進(jìn)行補(bǔ)償，或徹底更換新設(shè)備的方式），才能滿足用戶1至2年不斷增長(zhǎng)的功能需求。 業(yè)界有很多設(shè)備的系統(tǒng)結(jié)構(gòu)是第2層交換的設(shè)計(jì)概念，需要通過增加第3層的硬件模塊才能實(shí)現(xiàn)第3層或第3/4層交換的功能，而且第3/4層數(shù)據(jù)包的轉(zhuǎn)發(fā)能力遠(yuǎn)低于第2層交換的轉(zhuǎn)發(fā)能力。另外，短期還可能出現(xiàn)用新產(chǎn)品來替代原有產(chǎn)品的情況，這對(duì)用戶的投資保護(hù)十分不利。2.3選型結(jié)論基于上述考慮，我們?yōu)閄X市寬帶IP網(wǎng)

23、骨干節(jié)點(diǎn)了提供業(yè)界最先進(jìn)的FOUNDRY BigIon 8000系列交換機(jī)。8000采用的三層交換技術(shù)基于特殊的交換方式設(shè)計(jì)，每個(gè)模塊都可以進(jìn)行分布式路由和交換，沒有其他廠家所必需的超級(jí)引擎或CPU處理模塊，每個(gè)接口模塊都采用共享存設(shè)計(jì)，有利于廣播和組播性能的提高，同時(shí)避免了線頭阻塞，提供模塊上的本地交換能力，每個(gè)模塊的吞吐率為32Gbps，是真正的無阻塞設(shè)計(jì)。8000的背板采用256Gbps交叉矩陣，連接每個(gè)模塊，可以實(shí)現(xiàn)真正的全線速第二層和第三層交換。每個(gè)模塊可以熱插拔，電源可以最多配置四個(gè)，所有的交換和路由功能通過ASIC芯片完成，交換能力達(dá)96Mpps。8000的系統(tǒng)設(shè)計(jì)技術(shù)已經(jīng)在業(yè)界

24、得到了無數(shù)大獎(jiǎng)，在實(shí)驗(yàn)室和實(shí)際應(yīng)用環(huán)境中得到了充分的考驗(yàn)，被證明是成熟穩(wěn)定而先進(jìn)的。邊緣節(jié)點(diǎn)的設(shè)備選型有兩種方案，即FOUNDRY BigIron 4000或FastIron II交換機(jī)。BigIron 4000具有128Gbps的交換背板和48Mpps的第三層交換能力。系統(tǒng)設(shè)計(jì)與8000完全一樣。FastIron II具有32Gbps的交換能力，吞吐量為23Mpps。對(duì)于接入層節(jié)點(diǎn)的樓域交換機(jī)，我們建議采用FOUNDRY FastIron工作組交換機(jī)。FastIron具有 4.2 G 的交換容量。每個(gè)端口具有2個(gè)優(yōu)先級(jí)隊(duì)列，每一個(gè)都是相互獨(dú)立配置并由交換矩陣提供服務(wù)，這樣可以防止低優(yōu)先級(jí)數(shù)據(jù)

25、的沖擊而導(dǎo)致高優(yōu)先級(jí)隊(duì)列包的延遲或丟失。 FastIron 還具備基本的第三層服務(wù)功能。2.4XX市寬帶網(wǎng)組網(wǎng)方案2.4.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)參見附圖。2.4.2骨干節(jié)點(diǎn)為3個(gè)骨干層節(jié)點(diǎn)各選用一臺(tái)FOUNDRY BigIron 8000，每臺(tái)BigIron 8000配置兩塊冗余備分的管理模塊，并配置冗余的直流電源。在東城，每個(gè)管理模塊上配備2個(gè)長(zhǎng)距千兆以太網(wǎng)端口。在每個(gè)管理模塊上各選一個(gè)千兆端口捆綁在一起，以2Gbps的速率連接西城。然后再各選一個(gè)千兆端口進(jìn)行捆綁，連接廣饒。每個(gè)管理模塊上還有4個(gè)1000BaseLx端口，可以用于連接距離較近的邊緣節(jié)點(diǎn)，如勝利模塊局。另外還配置了一塊24口100Ba

26、seTx模塊和一塊10BaseFx模塊用于連接本地用戶。在廣饒，每個(gè)管理模塊上配備3個(gè)長(zhǎng)距千兆以太網(wǎng)端口。在每個(gè)管理模塊上各選一個(gè)千兆端口捆綁在一起，以2Gbps的速率連接?xùn)|城。然后再各選一個(gè)千兆端口進(jìn)行捆綁，連接西城。由于大王模塊局距離較遠(yuǎn)，也需要通過長(zhǎng)距千兆端口進(jìn)行連接。每個(gè)管理模塊上還有4個(gè)1000BaseLx端口，可以用于連接距離較近的邊緣節(jié)點(diǎn)。另外還配置了一塊24口100BaseTx模塊模塊和一塊10BaseFx模塊用于連接本地用戶。在西城，每個(gè)管理模塊上配備3個(gè)長(zhǎng)距千兆以太網(wǎng)端口。在每個(gè)管理模塊上各選一個(gè)千兆端口捆綁在一起，以2Gbps的速率連接?xùn)|城。然后再各選一個(gè)千兆端口進(jìn)行捆綁

27、，連接廣饒。由于河口模塊局距離較遠(yuǎn)，也需要通過長(zhǎng)距千兆端口進(jìn)行連接。每個(gè)管理模塊上還有4個(gè)1000BaseLx端口，可以用于連接距離較近的邊緣節(jié)點(diǎn)，包括民營(yíng)園、黃河口、長(zhǎng)安集團(tuán)、鉆井和辛店。另外還配置了一塊24口100BaseTx模塊和一塊24口100BaseFx模塊用于本地連接。 在BigIron 8000上還可以根據(jù)需要配置ATM模塊和POS模塊。2.4.3邊緣節(jié)點(diǎn)在每個(gè)邊緣節(jié)點(diǎn)，選用FOUNDRY BigIron 4000。BigIron 4000配置一個(gè)管理模塊，并配置冗余的直流電源。在大王模塊局、孤島、仙河，配置一塊24口100BaseTx和一塊24口100BaseFx模塊，用于用戶

28、接入。在管理模塊上配置一個(gè)長(zhǎng)距千兆以太網(wǎng)端口，用于節(jié)點(diǎn)之間的互連。河口模塊局的BigIron 4000管理模塊上配置了3個(gè)長(zhǎng)距千兆以太網(wǎng)端口，用于連接西城、孤島和仙河。配置一塊24口100BaseTx和一塊24口100BaseFx模塊，用于用戶接入。對(duì)于勝利、民營(yíng)園、黃河口、長(zhǎng)安集團(tuán)、鉆井和辛店，在管理模塊上配置2個(gè)1000BaseLx端口，用于連接網(wǎng)絡(luò)核心的BigIron 8000交換機(jī)。配置一塊24口100BaseTx和一塊24口100BaseFx模塊，用于用戶接入2.4.4接入層節(jié)點(diǎn)在接入層節(jié)點(diǎn)，樓域交換機(jī)采用了FastIron工作組交換機(jī)，有24個(gè)10/100M自適應(yīng)接口，并配備了2口

29、100BaseFX上行接口，連接到網(wǎng)絡(luò)邊緣節(jié)點(diǎn)。2.4.5用戶接入家庭用戶通過樓的雙絞線，以10/100M速率連接到樓域交換機(jī)上。企業(yè)用戶需要高速連接時(shí)，可以把企業(yè)自己的交換機(jī)通過光纖直接連接到最近的邊緣節(jié)點(diǎn)。對(duì)于DDN、ADSL等其他接入方式，其局端匯聚設(shè)備可以采用10/100/100M端口連接到寬帶IP骨干網(wǎng)。2.4.6網(wǎng)關(guān)設(shè)備XX市寬帶IP網(wǎng)采用私有IP地址為網(wǎng)絡(luò)設(shè)備進(jìn)行編址。在同Internet進(jìn)行連接時(shí)，需要進(jìn)行地址轉(zhuǎn)換。地址轉(zhuǎn)換有兩種情形：普通用戶訪問Internet時(shí)，對(duì)用戶的源地址進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。向Internet提供信息服務(wù)的服務(wù)器需要保持服務(wù)器的私有地址同合法IP地址之間的靜

30、態(tài)對(duì)應(yīng)關(guān)系。提供這類地址轉(zhuǎn)換功能的網(wǎng)關(guān)設(shè)備在業(yè)界比較多，最著名的是CheckPoint公司的FireWall-1防火墻產(chǎn)品。FireWall-1不僅提供簡(jiǎn)單的地址轉(zhuǎn)換功能，還能為全網(wǎng)提供防火墻安全保護(hù)，以與詳盡的安全狀況記錄。為了提高網(wǎng)絡(luò)出口處的吞吐量，避免網(wǎng)關(guān)設(shè)備成為數(shù)據(jù)傳輸?shù)钠款i，F(xiàn)oundry公司提供了4-7層交換機(jī)ServerIron對(duì)防護(hù)墻進(jìn)行負(fù)載均衡處理。ServerIron最多可以支持32臺(tái)防護(hù)墻同時(shí)工作。因此，XX市寬帶IP網(wǎng)可以根據(jù)實(shí)際的網(wǎng)絡(luò)流量，平滑地增加網(wǎng)絡(luò)出口處的吞吐量。The InternetThe IntranetInternet城域網(wǎng)2.5方案特點(diǎn)2.5.1 全部

31、第三層功能的主干交換網(wǎng)絡(luò)結(jié)構(gòu)所有核心層和邊緣層產(chǎn)品都支持第二層和第三層功能。不僅可以進(jìn)行VLAN的劃分，還可以進(jìn)行高速的路由轉(zhuǎn)發(fā)。VLAN可以根據(jù)端口、子網(wǎng)和網(wǎng)絡(luò)協(xié)議進(jìn)行劃分。支持各種常用的網(wǎng)絡(luò)協(xié)議和路由協(xié)議。由于每個(gè)設(shè)備都支持無阻塞的第二層或第三層交換，在交換結(jié)構(gòu)中，可以達(dá)到非常好的性能。也意味著可以減少繁瑣的擁塞管理和服務(wù)質(zhì)量管理工作。第二層意味著可以支持域網(wǎng)絡(luò)協(xié)議無關(guān)的鏈路服務(wù)，用戶可以是IP網(wǎng)絡(luò)、IPX網(wǎng)絡(luò)或WINDOWS NT 網(wǎng)絡(luò)，用戶不需要改變他們已有的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)地址。第三層意味著可以支持以IP為主要協(xié)議的網(wǎng)絡(luò)應(yīng)用，尤其是需要與其他地域互連時(shí)，由于網(wǎng)絡(luò)鏈路的復(fù)雜性和多樣性，要

32、進(jìn)行網(wǎng)絡(luò)互連，必須采用高層網(wǎng)絡(luò)協(xié)議。第二層服務(wù)可以為本地的企業(yè)用戶服務(wù)。第三層則可以為跨地域連接時(shí)提供服務(wù)，例如與上級(jí)網(wǎng)絡(luò)的連接，同一企業(yè)在全省圍的連接等。2.5.2完善的接入安全性由于每個(gè)設(shè)備都可以支持第二層和第三層交換，因此可以提供第二層和第三層的安全控制能力。第二層安全控制能力可以提供端口地址過濾、端口地址鎖定等功能。端口地址過濾允許交換機(jī)根據(jù)預(yù)先設(shè)定的過濾規(guī)則，允許或禁止某些第二層數(shù)據(jù)包進(jìn)出交換機(jī)，也就是對(duì)上網(wǎng)用戶的網(wǎng)卡MAC地址進(jìn)行檢查后才能上網(wǎng)，不符合規(guī)則的用戶將被拒絕上網(wǎng)。第三層安全控制能力可以提供訪問控制列表能力，允許交換機(jī)根據(jù)預(yù)先設(shè)定的規(guī)則，允許或者禁止某些第三層數(shù)據(jù)（IP或

33、IPX包）進(jìn)出交換機(jī)。2.5.3與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)骨干是業(yè)務(wù)最集中的地方或是數(shù)據(jù)轉(zhuǎn)發(fā)的樞紐地，為此，網(wǎng)絡(luò)設(shè)計(jì)需要保證骨干的可靠性。網(wǎng)絡(luò)骨干節(jié)點(diǎn)之間采用環(huán)形拓?fù)洌瑑晒?jié)點(diǎn)之間的光路出現(xiàn)故障時(shí)，不會(huì)影響節(jié)點(diǎn)間的通訊。此外，由于采用了跨模塊的TROUNK GROUP技術(shù)，單個(gè)端口或模塊的故障不會(huì)影響節(jié)點(diǎn)間通訊。冗余備份的管理模塊保證了骨干交換機(jī)的不間斷運(yùn)行。邊緣節(jié)點(diǎn)與骨干節(jié)點(diǎn)之間的連接同樣采用TROUNK GROUP技術(shù)，無論出現(xiàn)光路、端口還是模塊故障，都不會(huì)造成通訊中斷。上述網(wǎng)絡(luò)核心在IP路由設(shè)計(jì)中，也有很大的好處。OSPF作為本網(wǎng)的首選路由協(xié)議，需要一個(gè)AREA 0作為核心區(qū)域，所與其他的區(qū)

34、域需要和核心區(qū)域有物理的聯(lián)系，否則就要用到虛擬連接的技術(shù)，虛擬連接對(duì)于其中的傳輸驛站有比較大的性能壓力，對(duì)于路由的分配和控制管理都非常不方便。如果選擇上述網(wǎng)絡(luò)核心作為OPSF的核心區(qū)域AREA 0，把邊緣層作為一個(gè)個(gè)獨(dú)立的區(qū)域，則它們都是直接連接到AREA 0上的，不需要使用虛擬連接，整個(gè)路由域只有2層，顯得比較有層次，軟件配置和將來可能的擴(kuò)充都會(huì)比較容易。用戶的接入寬帶IP網(wǎng)時(shí)，必須采用靜態(tài)路由，保證用戶部網(wǎng)與城域網(wǎng)相對(duì)隔離和獨(dú)立。用戶的路由設(shè)備不會(huì)參與城域網(wǎng)的路由計(jì)算，避免因?yàn)橛脩粼O(shè)備的原因?qū)е氯W(wǎng)路由波動(dòng)頻繁，影響路由性能。2.5.4 良好的網(wǎng)絡(luò)隔離能力企業(yè)用戶比較關(guān)心的問題是網(wǎng)絡(luò)的安全

35、性問題，他們不希望部數(shù)具有被竊取的可能，這就使得網(wǎng)絡(luò)必須提供類似電路的隔離功能。在城域網(wǎng)的建設(shè)中，采用的比較多的是VLAN技術(shù)，即虛擬局域網(wǎng)技術(shù)。在VLAN技術(shù)出現(xiàn)以前，以太網(wǎng)交換技術(shù)屬于網(wǎng)絡(luò)的第二層，所有的端口都屬于同一個(gè)廣播域，也就是每個(gè)端口都可以收到廣播信息，不管它愿不愿意。在大型的網(wǎng)絡(luò)環(huán)境中，廣播包不可避免地會(huì)引起帶寬的浪費(fèi)，而在TCP/IP，IPX，WINDOWS環(huán)境下，廣播包的使用更是不可或缺。為了解決這個(gè)問題，VLAN技術(shù)應(yīng)運(yùn)而生。VLAN把一部分端口模擬成為一個(gè)虛擬的廣播域，VLAN的所有廣播都只會(huì)在本域發(fā)送，不會(huì)超出廣播域，進(jìn)一步，VLAN的所有數(shù)據(jù)都只能被同一VLAN的成員

36、接收，而不會(huì)被非本VLAN成員接收。不同的VLAN之間不能相互通信，必須通過路由設(shè)備進(jìn)行轉(zhuǎn)發(fā)。如果把每個(gè)企業(yè)用戶劃到每個(gè)不同的VLAN，企業(yè)用戶之間就不可能相互通信，這就實(shí)現(xiàn)了邏輯隔離。企業(yè)用戶只通過某臺(tái)設(shè)備上的一個(gè)特定端口訪問網(wǎng)絡(luò)，因此每個(gè)企業(yè)用戶連接到網(wǎng)絡(luò)的路徑都是獨(dú)立的，相互之間沒有任何關(guān)系。與第二層的VLAN技術(shù)相類似的還有第三層的VPN虛擬專用網(wǎng)技術(shù)。VPN適合于在類似于因特網(wǎng)這樣的公網(wǎng)上傳輸私有數(shù)據(jù)。通過隧道技術(shù)和數(shù)據(jù)加密技術(shù)，用戶可以控制自己的數(shù)據(jù)安全。加密手段可以在用戶的路由設(shè)備上實(shí)現(xiàn)，也可以在專門的設(shè)備上實(shí)現(xiàn)。隧道技術(shù)可以在用戶的路由設(shè)備上實(shí)現(xiàn)。由于XX市城域網(wǎng)屬于寬帶IP網(wǎng)

37、，完全可以支持VPN功能。我們建議VPN功能由用戶自行實(shí)現(xiàn)，或者租用XX電信的設(shè)備，但目前網(wǎng)絡(luò)上尚未配置。2.5.5 完善的設(shè)備安全性FOUNDRY的設(shè)備具有良好的安全性： 多重訪問控制。FOUNDRY產(chǎn)品具有多沖擊別的訪問控制，允許系統(tǒng)管理員完成配置管理，同時(shí)保護(hù)系統(tǒng)面授非法的配置修改。用戶分為三種級(jí)別：超級(jí)用戶、只讀用戶、普通用戶。超級(jí)用戶具有最大權(quán)限，普通用戶只能配置接口參數(shù)，并使用顯示參數(shù)命令。只讀用戶只能閱讀配置，沒有任何更改權(quán)利。 通過訪問控制列表，可以禁止或允許對(duì)FOUNDRY設(shè)備的遠(yuǎn)程管理。 本地用戶或RADIUS、TACACS+口令認(rèn)證。 通過身份驗(yàn)證，可以禁止或允許TELN

38、ET訪問，必要時(shí)，可以關(guān)閉TELNET服務(wù)。 通過SYSLOG功能，把系統(tǒng)事件紀(jì)錄并保存下來。2.5.6 良好的網(wǎng)絡(luò)穩(wěn)定性網(wǎng)絡(luò)的穩(wěn)定性體現(xiàn)在當(dāng)網(wǎng)絡(luò)發(fā)生鏈路或設(shè)備失效時(shí)，網(wǎng)絡(luò)能在短時(shí)間恢復(fù)正常。對(duì)于一個(gè)運(yùn)行級(jí)網(wǎng)絡(luò)來說，穩(wěn)定性與性能一樣重要。設(shè)備穩(wěn)定性除設(shè)備的性能指標(biāo)外，主要指設(shè)備的平均無故障時(shí)間（MBTF）。本方案涉與的設(shè)備MBTF如下：MTBF for FastIron：?jiǎn)坞娫? 43,400 小時(shí)MTBF for BigIron 4000：機(jī)箱加單電源 - 36,500 小時(shí)MTBF for BigIron 8000：機(jī)箱加4個(gè)電源 32,400小時(shí)鏈路穩(wěn)定性體現(xiàn)在兩個(gè)層次：第二層穩(wěn)定性和網(wǎng)

39、絡(luò)層穩(wěn)定性。第二層穩(wěn)定性表示物理鏈路的收斂時(shí)間。FOUNDRY產(chǎn)品在運(yùn)行第二層交換功能時(shí)，使用最小生成樹算法來保持每個(gè)VLAN。一般的最小生成樹算法需要至少30秒時(shí)間進(jìn)行生成樹的收斂（15秒偵聽，15秒學(xué)習(xí)），而FOUNDRY獨(dú)有的IRONSPAN技術(shù)可以在4秒實(shí)現(xiàn)生成樹。FOUNDRY的第二層功能缺省打開了IRONSPAN功能。第三層穩(wěn)定性體現(xiàn)在路由的收斂時(shí)間。本網(wǎng)絡(luò)采用OSPF標(biāo)準(zhǔn)協(xié)議，可以在30秒實(shí)現(xiàn)全網(wǎng)路由收斂。實(shí)際上，OSPF在監(jiān)測(cè)到路由波動(dòng)時(shí)，缺省只需等5秒鐘再進(jìn)行路由計(jì)算，計(jì)算工作在5秒即可完成，因此基本上是在10秒以完成路由收斂。如有必要，還可以調(diào)整時(shí)間。2.5.7良好的網(wǎng)絡(luò)擴(kuò)

40、展性本方案采用的BigIron 4000和 BigIron 8000都是機(jī)架式設(shè)備，目前只用了部分插槽，剩余未用的插槽可供今后網(wǎng)絡(luò)擴(kuò)展之用。 FastIron工作組交換機(jī)可以堆疊，并可以采用TRUNK技術(shù)把多條物理鏈路當(dāng)作1條邏輯鏈路使用，根據(jù)業(yè)務(wù)的發(fā)展可以相應(yīng)地增加端口或升級(jí)上行鏈路。2.5.8良好的可管理性 所有FOUNDRY產(chǎn)品都支持三種網(wǎng)絡(luò)管理方式：命令行、WEB和IRONVIEW網(wǎng)管軟件。FOUNDRY的命令行與CISCO的命令行非常類似，都是簡(jiǎn)單易用，并有幫助功能，可以進(jìn)行所有的配置工作。WEB瀏覽器管理則采用圖形界面，直觀而簡(jiǎn)潔。IRONVIEW網(wǎng)管軟件可以單獨(dú)運(yùn)行在WINDOW

41、S NT平臺(tái)上，也可以與HP OPENVIEW，SUN NETMANAGER配套使用。 FOUNDRY產(chǎn)品支持標(biāo)準(zhǔn)的網(wǎng)路管理協(xié)議：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）和遠(yuǎn)程監(jiān)控協(xié)議（RMON）。通過SNMP，網(wǎng)管人員可以遠(yuǎn)程進(jìn)行設(shè)備狀態(tài)紀(jì)錄，設(shè)備維護(hù)，設(shè)備告警，設(shè)備啟動(dòng)等操作，實(shí)現(xiàn)全面管理。RMON可以詳細(xì)記錄每個(gè)端口的流量情況，如輸入輸出的字節(jié)數(shù)、數(shù)據(jù)包數(shù)。以此為基礎(chǔ)，可以實(shí)現(xiàn)基于流量的統(tǒng)計(jì)和計(jì)費(fèi)。2.5.9服務(wù)質(zhì)量保證IronClad 服務(wù)質(zhì)量是優(yōu)先級(jí)的延伸，可以提供更好的靈活性和流量控制能力。采用FOUNDRY IronClad QoS，可以配置四種服務(wù)質(zhì)量隊(duì)列：0-盡力傳遞，1-低優(yōu)先級(jí)，2-

42、高優(yōu)先級(jí)，3-最高優(yōu)先級(jí)。可以對(duì)數(shù)據(jù)包進(jìn)行分類，分類后分配到對(duì)應(yīng)的隊(duì)列。分類的方法有：輸入端口 IP 源和目的地址 第四層源和目的信息 靜態(tài) MAC容 AppleTalk端口號(hào)基于VLAN 802.1p/q 標(biāo)記 IP TOS 映射可選的隊(duì)列模式IronClad QoS 允許選擇下列隊(duì)列模式之一： 限制 高級(jí)別隊(duì)列優(yōu)于低級(jí)別隊(duì)列 可調(diào)的加權(quán)平均隊(duì)列加權(quán)平均隊(duì)列將被用來進(jìn)行在四個(gè)隊(duì)列間輪流提供服務(wù)。承諾的帶寬（CAR）在滿負(fù)荷情況下，提供已承諾的帶寬?？膳渲玫膸挶壤龑?duì)于加權(quán)平均隊(duì)列，可以指定每個(gè)隊(duì)列可接收的最小帶寬使用比例。業(yè)務(wù)描述用戶接入InternetXX市寬帶IP網(wǎng)建成之后，可以實(shí)現(xiàn)10

43、Mbps以太網(wǎng)到戶，住宅用戶不但可以訪問XX市寬帶網(wǎng)上的，還可以訪問Internet。 用戶之間還可以共享文件和資源，或者聯(lián)網(wǎng)玩游戲，充分享受在信息高速公路上遨游的樂趣。用戶接入通過樓的單元交換機(jī)FastIron。單元交換機(jī)再通過100Mbps以太網(wǎng)匯接到最近的接入節(jié)點(diǎn)。接入節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備是BigIron 4000交換機(jī)。為了實(shí)現(xiàn)用戶隔離，采用一戶一個(gè)VLAN的方式。每個(gè)VLAN從單元交換機(jī)FastIron上的用戶接入端口開始，終止在接入節(jié)點(diǎn)的BigIron 4000上。 FastIron交換機(jī)的上聯(lián)端口同BirIron 4000上的100M端口都運(yùn)行802.1Q協(xié)議。這樣，在BigIron

44、4000的一個(gè)100M端口上，可以終結(jié)樓所有用戶的VLAN。如下圖所示。在BigIron 4000的100M端口上，為每一個(gè)VLAN建立一個(gè)虛擬的邏輯子接口(稱為Virtual Ethernet接口，簡(jiǎn)稱VE)，用于完成IP路由功能。在通常情況下，每個(gè)VLAN上的VE接口和用戶的聯(lián)網(wǎng)設(shè)備需要占用一個(gè)IP子網(wǎng)，用戶的缺省網(wǎng)關(guān)指向VE上的IP地址。為了節(jié)省網(wǎng)絡(luò)地址空間，簡(jiǎn)化網(wǎng)絡(luò)設(shè)備配置，BigIron 4000支持多個(gè)VE接口使用同一個(gè)IP地址，而所有的樓用戶都位于同一個(gè)IP子網(wǎng)。如下圖所示。此時(shí)，這些用戶由于分處不同的VLAN而實(shí)現(xiàn)了物理隔離，同時(shí)又保留了IP層的互通性。為了進(jìn)一步減少使用的VL

45、AN數(shù)量和配置的工作量，并節(jié)省IP地址，F(xiàn)OUNDRY在BigIron和FastIron上實(shí)現(xiàn)了一個(gè)特殊的功能，稱為上聯(lián)交換端口(Uplink Switch Port,檢查USP)。參見下圖：FastIron SwitchUser 1 (207.95.1.xxx)User 2 (207.95.1.yyy)6BigIron 4000525所有連接在FastIron上的用戶都屬于同一個(gè)VLAN和同一個(gè)IP子網(wǎng)。為了實(shí)現(xiàn)用戶間的相互隔絕，將FastIron的上聯(lián)端口(在本方案中，即兩個(gè)100BaseFx端口)的USP功能打開。這時(shí)，來自一個(gè)用戶的廣播數(shù)據(jù)包和未知單址數(shù)據(jù)包都只送網(wǎng)上聯(lián)端口，而不會(huì)分發(fā)

46、到其他端口上面。用戶雖然屬于同一VLAN和IP子網(wǎng)，但不能直接進(jìn)行通訊。采用USP技術(shù)時(shí)，可以大大減少所需VLAN的數(shù)量。例如，可以把同一幢樓的用戶都劃入同一個(gè)VLAN。同時(shí)還減少了所需IP子網(wǎng)的數(shù)目，減少了網(wǎng)絡(luò)配置的工作量。通過采用DHCP技術(shù)，住宅用戶可以自動(dòng)獲得IP地址、缺省網(wǎng)關(guān)地址，簡(jiǎn)化用戶設(shè)備的配置。FOUNDY交換機(jī)支持DHCP Assistant技術(shù)，可以根據(jù)用戶所在的不同VLAN，通知DHCP服務(wù)器為用戶分配相應(yīng)的IP子網(wǎng)地址。用戶局域網(wǎng)高速互連XX寬帶IP網(wǎng)可以為企業(yè)用戶提供局域網(wǎng)互連業(yè)務(wù)，實(shí)現(xiàn)企業(yè)中心機(jī)構(gòu)同分支機(jī)構(gòu)之間的連接。同企業(yè)租用專線相比，費(fèi)用更低，速率更高， 并且可

47、以保留企業(yè)用戶的原有網(wǎng)絡(luò)結(jié)構(gòu)和IP地址規(guī)劃不變。企業(yè)用戶VLAN組網(wǎng)企業(yè)用戶可以通過VLAN互連。VLAN工作在OSI網(wǎng)絡(luò)參考模型的第二層，不同VLAN之間的數(shù)據(jù)彼此完全隔離，從而保證了用戶數(shù)據(jù)的安全性。采用VLAN技術(shù)進(jìn)行網(wǎng)絡(luò)互聯(lián)為企業(yè)組網(wǎng)提供了極大的靈活性。企業(yè)可以自行選擇網(wǎng)絡(luò)協(xié)議，自行規(guī)劃使用網(wǎng)絡(luò)地址，無需網(wǎng)絡(luò)運(yùn)行商的協(xié)助，從而也減少了網(wǎng)管中心對(duì)網(wǎng)絡(luò)的維護(hù)和配置工作量。FOUNDRY公司的網(wǎng)絡(luò)產(chǎn)品支持集成交換路由(Integrated SwitchRouting)。在同一端口上可以支持多個(gè)VLAN，每個(gè)VLAN可以根據(jù)實(shí)際需要，或者以路由方式工作，或者以交換方式工作。這樣，在一個(gè)主要以路

48、由方式進(jìn)行工作的寬帶城域網(wǎng)上，可以靈活的為企業(yè)用戶建立起單獨(dú)的VLAN，提供透明局域網(wǎng)服務(wù)。以金融證券行業(yè)用戶用戶為例。這些用戶目前基本上都已經(jīng)購(gòu)買了路由器，通過DDN、幀中繼線路進(jìn)行了互連。改用寬帶IP網(wǎng)進(jìn)行互聯(lián)時(shí)，用戶可以申請(qǐng)一個(gè)VLAN，并將現(xiàn)有的路由器接入此VLAN，就可以實(shí)現(xiàn)互連。用戶可能需要修改路由器上接入VLAN的那個(gè)以太網(wǎng)端口的IP地址，因?yàn)榇藭r(shí)所有路由器連接VLAN的端口都在同一個(gè)IP子網(wǎng)。不過路由器后面用戶部設(shè)備的IP地址都不用改變。參見下圖。VLAN由于路由器不轉(zhuǎn)發(fā)廣播包，因此進(jìn)入寬帶IP網(wǎng)的數(shù)據(jù)流都是有用的，這樣就合理利用了帶寬資源，此時(shí)路由器之間的維護(hù)數(shù)據(jù)為路由協(xié)議信

49、息和VLAN信息。由于傳統(tǒng)路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)性能較低，用戶可以采用高性能的第三層交換機(jī)來取代路由器，進(jìn)行高速網(wǎng)絡(luò)互聯(lián)。如果企業(yè)的網(wǎng)絡(luò)規(guī)模不大，也可以直接將各分支機(jī)構(gòu)的第二層交換機(jī)或Hub同城域網(wǎng)直接相連。但這種方法存在潛在的隱患，用戶有可能有意無意地在VLAN上引發(fā)廣播風(fēng)暴。為此需要在VLAN上運(yùn)行Spanning Tree算法來檢測(cè)和防止環(huán)路，同時(shí)在同用戶連接的交換機(jī)端口上對(duì)廣播包的速率進(jìn)行限制。用戶所在VLAN同城域網(wǎng)其他部分是完全隔離的，用戶連接在VLAN上的設(shè)備的IP地址也是由用戶自行規(guī)劃和使用的。如果用戶需要訪問城域網(wǎng)或Internet上的資源，首先需要向XX電信申請(qǐng)能夠訪問城域網(wǎng)I

50、P服務(wù)的網(wǎng)絡(luò)端口(例如，采用前一節(jié)所述的用戶Internet接入端口)，并申請(qǐng)?jiān)诔怯蚓W(wǎng)的IP地址空間的IP地址。然后由支持NAT的網(wǎng)關(guān)設(shè)備將用戶數(shù)據(jù)包的企業(yè)部地址轉(zhuǎn)換成城域網(wǎng)地址，實(shí)現(xiàn)對(duì)城域網(wǎng)資源的訪問；并進(jìn)一步經(jīng)由城域網(wǎng)的Internet網(wǎng)關(guān)，訪問Internet上的資源。企業(yè)用戶IP VPN組網(wǎng)企業(yè)用戶也可以采用IP VPN的方式進(jìn)行局域網(wǎng)互連。用戶在各個(gè)分支機(jī)構(gòu)放置VPN網(wǎng)關(guān)設(shè)備。該設(shè)備采用前面所述的用戶訪問Internet的方式接入城域網(wǎng)，每臺(tái)網(wǎng)關(guān)設(shè)備都被分配一個(gè)城域網(wǎng)IP地址空間的IP地址。從城域網(wǎng)的角度看來，每臺(tái)網(wǎng)關(guān)設(shè)備同住宅用戶家里的PC機(jī)沒有什么區(qū)別。網(wǎng)關(guān)設(shè)備之間通過IP隧道協(xié)

51、議，將用戶網(wǎng)的IP數(shù)據(jù)包封裝在城域網(wǎng)的IP數(shù)據(jù)包送往城域網(wǎng)，由城域網(wǎng)對(duì)這些數(shù)據(jù)包進(jìn)行通常的轉(zhuǎn)發(fā)。從網(wǎng)關(guān)設(shè)備的角度看來，相互之間形成了一條點(diǎn)到點(diǎn)的虛擬通道。網(wǎng)關(guān)設(shè)備采用IP SEC協(xié)議對(duì)用戶數(shù)據(jù)包進(jìn)行加密，放置數(shù)據(jù)被城域網(wǎng)上其他用戶竊取或篡改。IP VPN由企業(yè)用戶在網(wǎng)絡(luò)的邊緣發(fā)起，自行構(gòu)建加密隧道，自己掌握加密口令。用戶建立與其訪問控制如果未做特別的限定，每個(gè)申請(qǐng)了Internet接入服務(wù)的用戶都可以在自己的計(jì)算機(jī)上建立，供其他城域網(wǎng)用戶訪問。對(duì)于個(gè)人用戶，這是非常方便靈活的一項(xiàng)服務(wù)，用戶可以自由建立自己的Web、FTP服務(wù)器、BBS服務(wù)器，運(yùn)行CGI程序等，促進(jìn)XX城域網(wǎng)上網(wǎng)絡(luò)資源的極大豐富

52、。對(duì)于比較關(guān)心網(wǎng)絡(luò)安全性的用戶，XX電信可以在其接入端口上設(shè)置ACL，防止對(duì)服務(wù)器的非法訪問。如果需要被Internet上的用戶瀏覽，XX電信需要在連接Internet的網(wǎng)關(guān)設(shè)備上，將該的城域網(wǎng)IP地址靜態(tài)地映射為一個(gè)合法的IP地址。為了保證網(wǎng)絡(luò)安全，網(wǎng)關(guān)設(shè)備通常還需要對(duì)該進(jìn)行防火墻檢查。用戶隔離與基本認(rèn)證所有申請(qǐng)Internet接入的用戶都位于單獨(dú)一個(gè)VLAN，彼此隔離，只能在第三層以上進(jìn)行互通。申請(qǐng)VLAN服務(wù)的企業(yè)同其他VLAN以與城域網(wǎng)的其他部分是完全隔離的。采用IP VPN方式組網(wǎng)的企業(yè)同城域網(wǎng)其他部分是隔離的。網(wǎng)絡(luò)管理除了命令行以外，F(xiàn)OUNDY 所有產(chǎn)品都含 服務(wù)器功能，支持通過

53、WEB瀏覽器直接管理設(shè)備，這使得管理的復(fù)雜性大大降低，同時(shí)又使得遠(yuǎn)程管理和維護(hù)變得非常方便，我們?cè)谕獾匾部梢酝ㄟ^IP網(wǎng)絡(luò)管理到所有的FOUNDRY產(chǎn)品，服務(wù)的響應(yīng)時(shí)間和服務(wù)質(zhì)量也因此會(huì)令人滿意。FOUNDRY還有一個(gè)專門的網(wǎng)管軟件：FOUNDRY IRONVIEW。這是一個(gè)專門用于管理FOUNDRY產(chǎn)品的專用軟件，可以圖形化地顯示FOUNDRY產(chǎn)品的前后視圖。IRONVIEW可以直觀地進(jìn)行IP、IPX和APPLETALK的協(xié)議的配置，路由協(xié)議的配置，VLAN的配置和顯示，服務(wù)質(zhì)量方面的的配置，訪問控制列表的配置，設(shè)備安全性方面的配置等，同時(shí)可直觀顯示設(shè)備的運(yùn)行狀態(tài)，每個(gè)端口的流量情況等，設(shè)備運(yùn)行軟件和配置和保存等。IRONVIEW可以運(yùn)行在NT或SUN、HP平臺(tái)上的HP OPENVIEW之上。網(wǎng)管中心的設(shè)置和職責(zé)節(jié)點(diǎn)維護(hù)管理終端 FOUNDRY 設(shè)備維護(hù)終端可通過本地和遠(yuǎn)端兩種方式接入節(jié)點(diǎn)，以實(shí)現(xiàn)對(duì)節(jié)點(diǎn)的配置與運(yùn)行狀態(tài)、業(yè)務(wù)情況的監(jiān)視和控制。兩種接入方式