云南通信綜合業(yè)務支撐系統(tǒng)網絡系統(tǒng)設計

中國網通集團云南通信股份有限公司綜合業(yè)務支撐系統(tǒng)網絡建議書南京聯(lián)創(chuàng)科技股份有限公司地址：南京市中山南路弓箭坊40號電話：傳真：客服熱線：網址：.com

目錄TOC\o"1-3"\h\z1. 用戶需求分析 31.1. 網絡設計原則 31.2. 網絡總體規(guī)劃 41.3. 網絡系統(tǒng)性能估算 51.1.1. 數據采集流量計算 51.1.2. 營業(yè)系統(tǒng)帶寬估算 61.1.3. 云南至上級系統(tǒng)帶寬估算 72. 網絡總體設計 82.1. 網絡框架綱要 82.2. 局域網設計 81.1.4. 局域網的設計思想 81.1.5. 幾種常見類型的局域網 91.1.6. 我們所建議采用的局域網技術 101.1.7. 運營支撐中心網絡構架 102.3. 與合作單位的網絡接口 132.4. 廣域網絡設計 141.1.8. 廣域網的設計思想 141.1.9. 廣域網常見拓撲邏輯 142.5. 與其它系統(tǒng)連接 173. 網絡優(yōu)化 193.1. 路由策略 191.1.10. WAN路由策略 191.1.11. LAN路由策略 193.2. 網絡地址規(guī)劃 201.1.12. 關于IP網絡地址 201.1.13. 地址分派的幾個建議性原則 203.3. 網絡時間的同步 213.4. 隊列管理機制 224. 網絡安全性及與Internet的連接 244.1. 網絡安全問題概述 244.2. 網絡安全問題的解決 251.1.14. 知道潛在的入侵者 251.1.15. 控制機密的擴散 251.1.16. 訪問控制（AccessControl） 254.3. 通過集中的安全控制機制實現網絡的安全性 264.4. 我們對系統(tǒng)安全的建議 274.5. 與Internet的連接 284.6. 拔號的安全 295. 網絡管理 305.1. 集中式系統(tǒng)管理 305.2. 聯(lián)創(chuàng)對網絡管理的理解和建議 306. 設備選型 356.1. 設備選型說明 356.2. Cisco3662 356.3. Catalyst4000 386.4. CiscoWorks2023LAN管理解決方案2.0 397. 網絡設計小結 46用戶需求分析網絡設計原則云南省通信公司是一個年輕的公司，在這一個高速發(fā)展的信息社會中，隨著中國網通的發(fā)展，它在整裝待發(fā)。信息社會的一個最重要的產物就是網絡，對于云南網通來說，在事業(yè)蓬勃發(fā)展時，建立一個高性能、高可靠性、高可用性、高可擴充性的骨干網絡平臺是很有必要的。在網絡設計中，我們嚴格遵循以下原則，并以此逐條分析云南網通運營支撐系統(tǒng)的需求，從而使所得的方案可以最大限度的滿足云南網通的需要，建成使用后可以發(fā)揮盡也許大的效能。充足運用所配置的網絡設備的能力，最大限度地發(fā)揮網絡平臺的效率。在這里我們強調這樣一個思想：我們是在設計一個大的網絡平臺，應當考慮到平臺的總體效率，不能因片面強調某些性能而犧牲其他方面，導致“一手軟、一手硬”。我們應當兼顧可靠性和高效性、廣域性能和局域性能、性能和價格、網絡當今的表現和將來的擴充能力，等等。為了保證云南網通運營支撐系統(tǒng)的高性能，一方面要采用符合系統(tǒng)規(guī)定的高性能的設備，另一方面要采用合適的傳輸線路，保證在傳輸過程中無瓶頸。保證網絡系統(tǒng)的可靠性：用戶的網絡系統(tǒng)必須具有相稱的容錯能力，保障在意外情況下不中斷用戶的正常工作，由于無論系統(tǒng)采用集中模式還是分散模式，都規(guī)定系統(tǒng)能不間斷的工作，這就規(guī)定在廣域和局域上提供對網絡設備資源及通信線路的備份，并且可以在系統(tǒng)的某個部分出現故障時迅速地進行主、備份資源的切換，滿足用戶的需求。在云南網通運營支撐系統(tǒng)的網絡中，影響系統(tǒng)可靠性的因素重要是線路和設備，因此在線路上可以采用“一主一備”或“互為主備”的設計；在設備上，為了消除單點故障，互換機和路由器的雙機配置也是很有必要的。保證網絡系統(tǒng)的開放性：隨著開放互連標準的制定，只有開放的，符合國際標準的網絡系統(tǒng)才可以實現多廠家產品的互連。目前已成型的國際標準涉及：以太網、FDDI網、令牌環(huán)網、快速以太網、ATM（異步傳輸模式）等，并且這些網絡系統(tǒng)不僅在世界范圍內，在國內也被廣泛地采用。這些網絡系統(tǒng)的傳輸速度最低的為10Mbps，最高的為155Mbps，甚至622Mbps?，F在，千兆以太網和快速以太網技術已經非常的成熟，它具有1000M和100M的帶寬，具有良好而穩(wěn)定的性能，因此，我們在這里采用的就是這一技術。保證網絡系統(tǒng)的可擴充性：網絡系統(tǒng)要可以靈活地擴充，比如：可以通過擴充支持將來的需要。具有良好擴充性的網絡可以讓用戶以較小的代價，通過產品升級，采用新的技術，或者是增長模塊來擴充現有網絡設備的功能，這樣，就有效地保護了用戶的投資。在進行網絡擴充的同時，網絡的效率不應當下降。所以，這個方案的設計必須保證在若干年內正常運轉，而在這之后應當可以在原有基礎上升級，保護原有投資。保證網絡系統(tǒng)的安全性：網絡的運營應當在一種可控方式下，以保證其安全性；應當盡也許地通過集中控制的機制實現網絡的安全性；非授權的人員應當不能進入網絡之中，還要實現分層次的安全控制機制，根據具體用戶的級別擬定他們的訪問權限。系統(tǒng)的安全性是個需要以系統(tǒng)全面考察后的綜合設計的問題，因此在方案中，我們提出了對安全控制的一些建議，在此基礎上在貴公司一同設計整個系統(tǒng)的安全保障機制。保證網絡系統(tǒng)的可管理性：網絡系統(tǒng)應當可以支持SNMP（簡樸網管協(xié)議），這樣便于計算機管理人員通過網管軟件隨時監(jiān)視網絡的運營狀況，一旦出現故障，可以自動報告犯錯位置和犯錯因素。網絡總體規(guī)劃本次工程要實現通過多種業(yè)務受理渠道（營業(yè)廳、代理商、CallCenter、網上營業(yè)廳/自助服務和大客戶經理等）為用戶提供各種基于電信業(yè)務（話音、數據、多媒體等）的綜合服務（訂購、帳務、障礙解決等），同時可以向大客戶提供“綠色通道”，保證滿足重要客戶的規(guī)定，體現“以客戶為中心”的現代公司的經營管理理念。預計到2023年終，云南省綜合業(yè)務支撐系統(tǒng)容量規(guī)定滿足175萬用戶的需求。集中是大趨式，集中模式無論在系統(tǒng)結構上，還是在新業(yè)務的開展上都具有其它模式所不能替代的好處。我們的網絡結構也由于采用了集中模式而在系統(tǒng)性能和可靠性等方面相應有所考慮。從對云南網通運營支撐系統(tǒng)的分析中可以得出這樣幾個結論，一、系統(tǒng)應當是一個集中式、層次化的結構，重要的流量應集中在各地市到省網絡中心的骨干網絡上，所以這個骨干應當足夠寬，保證不出現瓶頸；二、系統(tǒng)應具有較強的擴展性能，以適應云南網通事業(yè)的快速發(fā)展，但同時考慮到硬件設備的不斷更新，性價比隨著時間推移不斷提高，對擴展性能的設計應是有限度的；三、系統(tǒng)應具有相稱的承載能力，我們建設的是一個骨干網絡平臺，如客服系統(tǒng)等應用可以通過此網絡平臺傳輸，從而節(jié)約設備投資和線路花銷；四、作為骨干，全省的業(yè)務支撐數據都要通過它來傳輸，所以必須考慮到可靠性設計。本方案將就云南網通運營支撐系統(tǒng)中心局域網和中心-營業(yè)廳之間廣域網以及省-上級系統(tǒng)間廣域網作論述。網絡系統(tǒng)性能估算數據采集流量計算對于采集系統(tǒng)來說，數據流量重要集中在由各地市互換機下載得到的原始話單，為簡化計算模型，考慮如下計算模型：建設規(guī)模100萬用戶每用戶天天10張話單每張話單平均200字節(jié)本地網話單量最大所占比例：20%天天通話集中在早八點至晚十點的14小時內高峰時為平均值的6倍計算網絡開銷30%則理論上規(guī)定帶寬總計至少為：100萬（用戶）×10（張/用戶）×200（字節(jié)/次）×8（比特/字節(jié)）×6]÷[14（小時）×3600（秒/小時）×1024（/K）]×1.3，約為2.4Mbit/s則話單量最大的地市互換機至省中心的連接帶寬需要2.4M×0.2=480Kbps，一條512Kbps專線就可以滿足需求。省會城市網絡建設可以直接采用局域100/1000M連接。營業(yè)系統(tǒng)帶寬估算云南網通本次工程計劃在營業(yè)廳建設的同時，還可以依靠網上營業(yè)廳等手段完畢營業(yè)系統(tǒng)的建設，先計算的是網上營業(yè)廳的帶寬，由于網上營業(yè)廳可以采用集中模式，所有的用戶都訪問一個地方，那么就上文中的計算數據而言，最多也就需要2.4Mbps的帶寬，一個快速以太連接就可以完畢網上營業(yè)廳與核心局域網的接口。對于營業(yè)廳的帶寬，一般而言，每個營業(yè)廳的終端在10個左右，我們以15個計，根據我們的經驗，每個終端一天至多500筆業(yè)務，即每分鐘一筆，其中數據傳輸在3秒中完畢，每筆業(yè)務2K字節(jié)數據[2K（字節(jié)/筆）×8（比特/字節(jié)）]÷3（秒）=5.3Kbps因此一個營業(yè)廳到網絡中心的帶寬應為5.3Kbps×15=80Kbps，可見一條128Kbps的DDN線路即可滿足需求。綜上所述，我們建議對于每一個營業(yè)廳采用一至兩條DDN專線完畢廣域網絡的連接。云南至上級系統(tǒng)帶寬估算如前文所述，100萬用戶需要2.4Mbps帶寬，預計到2023年終，云南省綜合業(yè)務支撐系統(tǒng)容量規(guī)定滿足175萬用戶的需求。其中需要向上級系統(tǒng)傳輸的占10%，則云南至上級系統(tǒng)的帶寬為420Kbps。網絡總體設計網絡框架綱要網絡系統(tǒng)自身具有主次之分，有的部分地位重要，有的則相對規(guī)定不高，有的部分突出了性能，而其他部分則也許規(guī)定進行一些限制。采用層次化的設計模型，有助于突出重點，突出各部分的重要功能，同時便于管理維護，便于擴充，故障容易隔離。根據對用戶的需求分析，我們可以用下述層次結構建立云南網通運營支撐系統(tǒng)的概念模型：該模型將云南網通運營支撐系統(tǒng)分為三個層次：骨干（Core）層、支干（Distribution）層和訪問（Access）層。在這個方案中，骨干層提供省中心到各地市中心之間的數據遠程傳送服務；支干層提供各地市下屬的各個部門以及以后將建立的營業(yè)廳與地市中心之間的網絡連接策略及服務；訪問層則為本地或遠程計算機用戶（組）提供上網連接服務接口，多為局域的連接。局域網設計局域網的設計思想采用高速、高性能的網絡主干網絡根據需要劃分不同的虛擬網虛擬網之間的數據互換通過集中的路由功能實現網絡主干應有極強的擴充能力，網絡性能不會由于網絡的擴充而減少與廣域的路由器和主機配合實現廣域上網絡資源的備份和數據分流保障局域網上的安全性幾種常見類型的局域網根據是否劃分虛擬網以及對虛擬網之間數據互換的解決方式，可以把現有的局域網劃分為下面的幾種類型：不劃分虛擬網的平坦型網絡在這種網絡中，所有的主機都連接在一個子網中。這種網絡的優(yōu)點是：配置比較簡樸，對互換機的規(guī)定比較低。這種網絡的缺陷是：由于不劃分虛擬網，當主機數量比較多時容易產生廣播風暴，引起網絡性能的下降；由于任何廣播的消息都會轉發(fā)到互換機的所有端口，網絡的安全性不容易保障；IP地址的規(guī)劃不靈活：舉一個例子，某個單位有300臺主機，申請一個B類的地址（可容納65534臺主機）太浪費，申請一個C類地址（可容納254臺主機）又不夠用，假如申請兩個C類地址，不同C類地址的主機之間又不能通信，很不靈活。使用集中的路由功能實現虛擬網之間的數據互換這種網絡中存在著許多的虛擬網，虛擬網之間的數據通信通過某臺功能較強的路由器或第三層互換功能來實現。我們看到，整個局域網中有若干個虛擬網，虛擬網之間的數據互換集中由一臺路由器來完畢。這種網絡的優(yōu)點是：縮小了廣播域，使網絡的工作效率大大提高；克制了廣播風暴的產生；可以從IP子網的角度保障網絡的安全性：可以通過路由器在不同的虛擬子網之間劃分防火墻。IP的地址規(guī)劃有一定的靈活性?？梢耘浜峡缰鞲商摂M網技術。這種網絡的缺陷：由于所有的虛擬網之間的互換都要通過一臺路由器來實現，這臺路由器的解決能力和通往路由器的連接線路的帶寬稱為網絡中的兩個瓶頸。隨著虛擬網的數量的增多，而網絡中的路由解決能力并沒有相應增強，網絡的性能將下降。使用分散的路由功能實現虛擬網之間的數據互換在這種網絡中，同樣要劃分虛擬網，虛擬網之間的通信通過度散的路由功能來實現，在這里用品有路由功能的互換機取代了普通的互換機。這種網絡的優(yōu)點是：具有集中式路由網絡的大部分優(yōu)點；整個網絡中沒有瓶頸；整個網絡具有很強的擴充能力，網絡的性能不會由于網絡上主機的增多而下降；支持廣域上網絡資源的備份和數據分流。這種網絡的缺陷是：互換機的路由功能并不是很強。不能配合跨主干虛擬網技術。我們所建議采用的局域網技術綜合以上的分析，結合實際情況，我們建議采用的局域網的技術是：使用集中的路由功能的方式實現虛擬網之間的數據互換。運營支撐中心網絡構架云南網通運營支撐中心網絡構架如下圖所示。在上圖上，我們提到了DCN的概念，南京聯(lián)創(chuàng)認為，隨著電信運營商業(yè)務的不斷發(fā)展，需要通過網絡傳輸的業(yè)務量將種類越來越多，數量越來越大，因此，建立DCN這樣的傳輸平臺只是個時間問題，所以我們在本文中將這個系統(tǒng)“分割”成兩部分，一部分是數據解決的運營支持系統(tǒng)，一部分是廣域傳輸DCN系統(tǒng)，實際在本次工程中這兩部分是統(tǒng)一的，涉及互換機這樣的設備都可以通用，但我們在表述時還是將兩部分分開，使網絡結構更加清楚。如上所述，我們建議按照DCN的模式建設由中心到各省、各地市的廣域網絡。在DCN尚未建設時，DCN中心的互換機可以運用核心互換機上的VLAN實現，本次工程中的核心路由器可以在DCN建設時用作DCN中心路由器。從上圖中，在運營支撐中心是以兩臺高性能的千兆局域網互換機為核心構架的，這種方法是很節(jié)約并且高效的。保證了高性能：這里的高性能體現在兩方面，一是采用了先進的設備，由于我們的系統(tǒng)方案采用的是一種集中式的結構，全省的業(yè)務解決都在省運營支撐中心完畢，所以在運營支撐中心需要高端局域網互換機完畢數據的局域互換。此外，這里的局域網采用了千兆以太網技術連接骨干，即互換機與防火墻之間、互換機與服務器之間建立1000Mbps數據通路，理由如下：1，由于對于集中模式來說，幾乎所有的數據解決都在省（市、區(qū)）運營支撐中心完畢，所以這里的數據量的相稱大的，非常有必要采用寬帶技術；2，從市場投資的角度上看，千兆以太網已經是一個相稱成熟的技術了，在市場的劇烈競爭中，其端口價格也已經很合理了；3，作為一個“關鍵網絡”，我們設計中必須具有足夠大的前瞻性，雖然投資也許稍大了一些，但對于以后的系統(tǒng)擴容，我們認為應把重要目的指向網絡規(guī)模的延伸，也就是支干層的擴充，對于中心局域網，鑒于它在云南網通業(yè)務中的關鍵地位，應盡也許地不做大的改動。保障了高可靠性：使用兩臺千兆局域網互換機以保證局域網主干中沒有單點失誤。局域關鍵設備，如服務器，都與兩臺互換機實現冗余配置。當其中的一臺互換機發(fā)生故障的時候，另一臺互換機可以提供高速通路，保證網絡暢通。兩臺路由器之間也采用HSRP或VRRP技術實現熱備份，可以自動切換。劃分虛擬網使性能更加杰出：我們運用了千兆局域網互換機所具有的虛擬網技術根據用戶的需求在互換機上劃分虛擬網，這樣一來可以提高網絡的總體性能，再者劃分了虛擬網之后網絡的管理者可以更方便地對用戶進行管理，并且可以在不同的虛擬網之間設立防火墻，提高了網絡的安全性。虛擬網之間的路由通過其自身的路由功能實現。我們建議可以將運營支撐中心的互換機通過劃分VLAN來實現防火墻的內、外網連接。系統(tǒng)安全有充足保證：為了充足的保護局域網內的主機設備的安全，系統(tǒng)多處采用了防火墻。在Catalyst4006互換機和連接外網（即遠程節(jié)點）的路由器之間可以配置了兩臺高端防火墻，將外網與內網隔開，涉及各地市營業(yè)和各代理商的接入所有置于防火墻之外，這樣可以對于惡意的侵入時刻防范。與外單位的連接也采用了防火墻技術，接口服務器就放置在DMZ中。銀行代收費系統(tǒng)也采用了防火墻，將此系統(tǒng)連接在外網的互換機上，對于銀行來說可見的只有銀行代收費應用服務器（此項僅為建議，設備未考慮）；與Internet的連接也是如此。WEB服務器等設備均放置在兩臺防火墻之間的DMZ中，依靠WebLogic服務器來向應用服務器發(fā)起連接。有了這些防火墻，整個系統(tǒng)的安全就有了充足的保證（此項僅為建議，設備未考慮）。與合作單位的網絡接口由于采用集中的模式，所以如話費代收及銀行、郵儲、公安之類的接口都可在中心完畢，由于這些連接相對而言安全性要弱，所以要采用如防火墻等安全機制保證網絡的互相獨立性。下圖以銀行為例說明。每家銀行現在基本上都可實現通存通兌，也就是說都有一套覆蓋全省的網絡，而我們采用的是運營支撐系統(tǒng)的集中模式，所以只要在云南網通與各家銀行的省中心作網絡連接就可以實現聯(lián)網了。這種方法接口單一，連接方法簡樸，易于管理，安全隱患小，投資節(jié)約。此部分設計基于我們以往工程經驗，作為建議，謹作參考。廣域網絡設計從網絡技術上看，骨干網絡和支干網絡應屬于廣域網范疇，所以在設計的時候，我們遵循的是一套廣域網的設計思想。廣域網的設計思想采用層次化網絡結構模型設計采用對的的網絡拓撲保證網絡的高效率和可靠性保證廣域網上的網絡安全性，防止任何非授權的人員進入網絡采用恰當的方式實現網絡資源的備份和數據分流廣域網常見拓撲邏輯三種拓撲結構各自具有各自的特性：星型拓撲結構（Star）：簡潔，便于建立層次結構網絡，符合ATM網絡的規(guī)定，存在單點失誤；全互連拓撲結構（FullyMeshed）：連接配置復雜，冗余度高，可靠性高，廣播環(huán)境的系統(tǒng)開銷大；部分互連拓撲結構（partiallyMeshed）：是前兩種拓撲結構的結合，采用雙星（Twin_star）結構來避免單點失誤；較全互連拓撲結構減少了連接復雜度。考慮到網絡上數據流的具體流向和業(yè)務需求，我們選擇的是部分互連雙星型拓樸結構，在提高了網絡可靠性的同時也可減少了復雜性，并且節(jié)約了投資。從結構上看，此廣域網是一個星形網絡拓樸結構，它以省運營支撐中心作為云南省通信公司業(yè)務運營支撐系統(tǒng)的中心，接入到DCN中心的互換機上，各營業(yè)廳運用廣域網絡通過一條或兩條DDN專線連接到運營支撐中心，這種結構從總體上符合目前網絡上的數據流向──從各營業(yè)廳到運營支撐中心或相反方向，數據傳輸途徑得到優(yōu)化。以后業(yè)務發(fā)展時可以以在幾個地市的營業(yè)廳各建一個匯接中心，由匯接中心再連接到省中心。同時，為了保證省與上級系統(tǒng)之間業(yè)務的互通，云南需要和上級系統(tǒng)之間建立一條通道，在前文的帶寬估算中我們已有相關描述，與上級系統(tǒng)間的帶寬分別需要512Kbps的帶寬，我們建議在云南與上級系統(tǒng)間分別采用兩條相應線路連接。為了保證核心層WAN通信的高可靠性和負載分擔，在DCN中心配置兩臺高端模塊化路由器和兩臺局域網互換機（可與運營支撐中心互換機共用），在運營支撐中心新增兩臺局域網千兆互換機作為核心互換機。各營業(yè)廳分別配置一臺Cisco2600系列路由器。對于運營支撐中心與地市間的通信線路帶寬，根據前文所述的網絡帶寬估算，和我們在總結了以往建設江蘇、云南、甘肅、寧夏、青海、新疆、黑龍江等省、自治區(qū)的網絡設計的實踐經驗后，在各地市按各自的不同情況配置不等數目的E1線路，這里的帶寬需求重要來自于計費、營業(yè)和帳務這些應用的需要，在此基礎上留出可擴充的余地和容量。一來保證系統(tǒng)中某一條線路出現故障時能不中斷正常工作，二來還為以后網絡承載客服、OA等系統(tǒng)時有足夠的帶寬，這些應用總得來說數據量很不上很大。并且由于我們采用的是模塊化產品，所以在需要擴充帶寬時很方便。與其它系統(tǒng)連接我們在設計中計劃將運營支撐中心置于云南網通，那么就與其它系統(tǒng)處在一幢樓內甚至同一個機房，可以通過樓內的布線運用互換機的端口將運營支撐中心其它系統(tǒng)連接起來。假如距離較遠，則可以采用專線連接的方式連接。在運營支撐系統(tǒng)與其它計算機系統(tǒng)的連接中，可以運用防火墻以如下方式進行隔離：外部的請求只能通過一級防火墻，提交到系統(tǒng)應用服務器，系統(tǒng)應用服務器接受到請求后，判別請求的類別，然后發(fā)起相應的接口服務透過二級防火墻，完畢相關的業(yè)務功能。網絡優(yōu)化路由策略WAN路由策略云南網通現在在各地市使用的IP地址規(guī)劃、路由管理等都需要作統(tǒng)一的規(guī)劃。南京聯(lián)創(chuàng)幾年來在全國承接了多個大型網絡，在網絡規(guī)劃方面積累了豐富的經驗。實踐證明，OSPF和EIGRP是適合于在廣域網范圍內使用的路由協(xié)議，它們收斂速度快，互換的路由信息較少。OSPF運用分層概念，使得網絡層次更清楚；而EIGRP采用路由表自動疊合技術，管理方便，配置容易。EIGRP是CISCO公司的專用協(xié)議，因此應用范圍收到限制。根據我們以往在如DCN這樣的大型計算機網絡的建設中積累的經驗，建議采用OSPF協(xié)議作為廣域路由協(xié)議。OSPF支持等途徑條件下的負載分流。OSPF可以將一個網絡劃提成幾個區(qū)域，對網絡管理和減輕路由器的承擔均有好處。我們將中心到市的部分作為OSPF骨干，各地市內部網絡作為一個社區(qū)，其營業(yè)網絡均處在這個社區(qū)中。這種劃分與行政區(qū)劃保持一致，便于理解和管理。LAN路由策略目前UNIX主機重要采用RIP路由協(xié)議互換路由信息，所以在信息網的LAN部分可以采用RIP路由協(xié)議。由于RIP路由協(xié)議不支持子網劃分，當需要子網間通信時，RIP無法將信息對的傳遞到目的地。采用靜態(tài)路由可以有效解決這個問題，但是靜態(tài)路由是指向下一跳的路由器地址，當該路由器失效時，即使存在其他可以到達目的地的路由，該主機也無法運用，除非人為修改將靜態(tài)路由，這是任何一個網管人員所不能接受的。解決問題的方法是采用標準的VRRP或CISCO的HSRP協(xié)議。VRRP和HSRP的工作原理是同樣的，在此以HSRP為例來說明。HSRP（HotStandbyRoutingProtocol）的原理是這樣的：在一個局域網上，假如存在兩個以上的路由器，那么可以創(chuàng)建一個虛擬的路由器，而實際存在的數個路由器均可以擔負虛擬路由器的工作，當主機以靜態(tài)路由指向該虛擬路由器時，主機發(fā)送的數據包由虛擬路由器接受，事實上由創(chuàng)建該虛擬路由器的實際路由器中優(yōu)先級最高的路由器來轉發(fā)，假如這個路由器失效，優(yōu)先級次之的路由器便自動接替工作，保證主機數據通路。網絡地址規(guī)劃關于IP網絡地址在網絡層不同的網絡協(xié)議具有不同的編址方法，這里給出的是在使用IP網絡協(xié)議時的編址方案。下面我們稱基于IP協(xié)議的網絡層編址為IP地址或網間網地址，在不引起二義性的情況下簡稱為網絡地址或地址。IP地址分為五類：A類地址，B類地址，C類地址，D類地址，E類地址。其中A類地址、B類地址、C類地址為常用地址；D類地址為多目地址；E類地址保存。在同一個互聯(lián)網絡內網絡地址應當保持其唯一性，即一個地址只能相應一臺主機（Host），但是一臺主機（Host）可以相應多個網絡地址。地址分派的幾個建議性原則唯一性在同一個互聯(lián)網絡內網絡地址應當保持其唯一性 簡樸性地址的分派應當簡樸易管理，避免在主干上采用復雜的掩碼方式。 連續(xù)性為同一個網絡區(qū)域分派連續(xù)的網絡地址，便于縮簡路由表的表項，提高路由器的解決效率，這種技術稱為地址疊合（Summarization）。 可擴充性為同一個網絡區(qū)域分派的網絡地址應當具有一定的容量，便于主機數量增長時仍然可以保持地址的連續(xù)性。 靈活性IP地址的規(guī)劃應考慮不同的路由協(xié)議和不同的通信鏈路技術，合理的使用VLSM（VariableLengthSubnetingMask）技術，能較好的適應不同的網絡的特點，節(jié)約IP地址空間。所以，地址合理分派將使得系統(tǒng)建設運營更加富有效率，反之，假如地址分派不夠完備，則會在系統(tǒng)建設中遇上很多的麻煩，甚至影響到系統(tǒng)的正常運營。根據中國網通的相關規(guī)定，全國運營支撐系統(tǒng)采用統(tǒng)一的IP網絡地址。我們將充足的理解這些規(guī)定，因地制宜地對云南網通的IP地址進行規(guī)劃。南京聯(lián)創(chuàng)系統(tǒng)集成股份有限公司近年來承接了多個大型網絡工程，在地址分派上有著成功的案例，在國內建設比較早的江蘇省DCN工程中，我們與局方一道對江蘇全省的網絡地址進行了規(guī)劃，這套規(guī)劃以后又用于甘肅、寧夏DCN等系統(tǒng)中，近年來的多個大型網絡系統(tǒng)建設的實踐證明，我公司的IP規(guī)劃技術是成功和富有效率的，所以我們也有信心與貴公司一道為云南網通的網絡IP地址作一個高效的規(guī)劃。網絡時間的同步網絡時間的同步提成兩個層次，一是在數據鏈路層，一是在網絡層。在數據鏈路層，路由器之間通過廣域傳輸線路通信時，必須進行時鐘同步。廣域線路有兩種，一種線路是E1電路，采用G.703標準，另一種線路采用DDN。我們知道，E1電路采用HDB3編碼格式，這種編碼格式內含時鐘信號，采用E1傳輸，兩端路由器均從線路提取時鐘，由于傳輸網是一個時鐘源，因此路由器之間可以同步。采用DDN傳輸時，由于要使用模擬專線，通過MODEM，因此時鐘同步由MODEM通過V.35接口提供。網絡層同步采用RFC1305NetworkTimeProtocol(V3)標準，目前以省中心的路由器作為主、備時間服務器，網管工作站、局域網互換機、地市中心的路由器和互換機作為下級時間服務器，同步于省中心的路由器，將來作為本地網內的時間服務器，采用NTP3或SNTP4(RFC2030)向下復制時間。NTP3可以以很小的網絡流量，達成很高的時間同步精度，在INTERNET上得到了廣泛的應用。隊列管理機制在網絡發(fā)生擁塞時，路由器必須丟棄一些分組，這個問題的解決一方面必須實行有效的隊列管理機制(或緩沖區(qū)管理策略)。目前，已經出現的隊列管理機制有：PPD(PartialPacketDiscard)、EPD(EarlyPacketDiscard)、RED(RandomEarlyDiscard)、FRED(FlowRED)、RIO(REDwithInandOut)、BLUE等算法。比較起來，RED算法具有較低的排隊時延、較高的分組通過度(Goodput)和較好的公平性，其重要思想是：路由器計算平均排隊長度，當平均排隊長度超過某一門限時，路由器按照一丟棄概率丟棄到達的分組，而這個丟棄概率是與平均排隊長度成正比的函數。RED算法允許短時的分組突發(fā)，因而可以避免由于網絡負荷變化導致的分組丟棄；RED能避免多個TCP連接同時的超時重傳，從而保持高的帶寬運用率；此外，RED算法還能較好的支持突發(fā)業(yè)務，且擬定哪些連接使用了更多的帶寬，并可以采用措施予以處罰。FRED和RIO都是在RED上的改善或變種，FRED對每一個業(yè)務流(或連接)都實行單獨的一個RED算法，這樣能保證更好的公平性；RIO在RED的基礎上又增長了一個門限值，在對DiffServAF業(yè)務的研究中多采用此算法。BLUE算法是IBM公司的研究人員最近才提出的另一種較新的隊列管理機制，與其他算法不同的是：BLUE算法以“分組丟失率”和“鏈路有效運用率”作為判別擁塞是否發(fā)生的標準，而之前的算法都是以路由器中的“平均分組長度”作為擁塞是否發(fā)生的判別標準。隊列調度機制(QueueingSchedulingMechanism)不管在IntServ還是在DiffServ里，都涉及到隊列調度問題。簡言之，隊列調度的功能就是路由器如何從多個(或一個)隊列中選擇下一個待轉發(fā)的分組，這與隊列管理機制有著本質的區(qū)別。根據不同的服務規(guī)則，隊列調度算法可以分為以下幾種：先到先服務(FCFS)、循環(huán)調度(RoundRobin)、解決機共享(ProcessorSharing)、優(yōu)先級服務、隨機服務等。目前已出現的隊列調度算法重要有：基于循環(huán)調度的算法、基于GPS(GeneralizedProcessorSharing)的算法兩大類。一個有效的隊列調度算法應達成的性能指標重要有：公平性、時延特性、對惡意業(yè)務流的隔離能力、鏈路帶寬的運用率、復雜性等，前4個指標與QoS密切相關。基于循環(huán)調度的算法是輪流地對每個隊列進行服務，其實現簡樸，但不能對業(yè)務提供時延保證，目前重要有WeightedRR、DeficitRR等?；贕PS的調度算法目前重要有：加權公平排隊(WFQ)、自時鐘公平排隊(SCFQ)、VC(VirtualClock)等，它們(特別是WFQ)能提供較好的公平性、時延特性以及對惡意業(yè)務流的隔離能力，但當隊列數較多時，其實現復雜度較大。基于約束的路由(Constrained-BasedRouting)基于約束的路由(CBR)源自QoSRouting，只是對QoS的限制參數進行了一定的擴充。CBR的有效實現需要各個路由器之間的互相配合，比如互相告知各自所知道的網絡的一些狀態(tài)信息(如鏈路的剩余帶寬)。CBR的難點在于：如何在狀態(tài)信息的精確發(fā)布和發(fā)布頻率之間取得一個折衷。由于鏈路的剩余帶寬在不斷的變化，CBR既要避免狀態(tài)信息發(fā)布的滯后性，又要避免不斷地頻繁發(fā)布狀態(tài)信息。CBR的有效實現尚有待進一步的研究。業(yè)務量工程(TrafficEngineering)業(yè)務量工程的重要目的在于盡量地避免網絡擁塞的發(fā)生，以保證QoS。網絡擁塞發(fā)生的因素也許有：網絡資源(比如鏈路帶寬、緩沖區(qū))的局限性、以及網絡中業(yè)務的不均勻分布。當業(yè)務量不均勻分布時，則有的鏈路處在過載狀態(tài)而有的鏈路也許處在欠載狀態(tài)，此時假如我們可以對網絡中的業(yè)務流進行適當引導，則不必增長網絡資源也也許消除擁塞。業(yè)務量工程的目的就在于：如何有效地引導業(yè)務流通過網絡以便消除由于業(yè)務量不均勻分布而導致的網絡擁塞。多協(xié)議標記互換(MPLS)和基于受限的路由都是業(yè)務量工程的有用工具，也是目前有待進一步研究的課題。我們將在網絡工程實行中根據用戶的實際情況，合理地采用以上介紹的隊列管理機制，以保證關鍵和對延遲敏感的數據能有更高的優(yōu)先級。網絡安全性及與Internet的連接為了提高云南網通運營支撐系統(tǒng)的服務質量，滿足用戶日益擴大的需求，在這次系統(tǒng)設計中設計了與Internet的連接，事實上網絡的連通是很簡樸的，真正要著重考慮的是安全性的設計，并且對于這樣的一個重要網絡系統(tǒng)來說，安全是一個相稱重要的問題，所以先簡樸介紹一下安全上的問題是很有必要的。網絡安全問題概述在我們所設計的系統(tǒng)中，涉及了三種安全控制，即：網絡安全性、解決機安全性和用戶安全性。其中每臺解決機的安全性可以通過UNIX的登錄過程實行控制，用戶級的安全性可以通過文獻的所有者和文獻訪問權限機構來控制，這里著重討論網絡的安全性問題。隨著計算機網絡的發(fā)展，網絡中的安全問題日趨嚴重，我們網絡中大量存儲和傳輸的數據都有也許被盜用、暴露或者篡改。網絡中所面臨的安全性威脅重要有下面幾種：信息泄露：當通信各方通過網絡進行交談時，假如不采用任何保密措施，別人就有也許“偷聽”到通信的內容，因此必要時可對通信的內容進行加密。辨認：如何辨認進入計算機網絡系統(tǒng)的用戶是不是合法的呢？因此系統(tǒng)要有身份辨認的功能。假冒：當網絡中的某個節(jié)點冒名規(guī)定提供服務時，系統(tǒng)如何可以知道對方是否冒名呢？我們可以提供一個合法用戶的數據庫，采用TACACS或RADIUS協(xié)議對用戶的身份進行鑒別。假如有人用PC機惡意偽造了一條路由信息，系統(tǒng)如何可以鑒別出哪些路由信息是可靠的呢？我們可以采用品有鑒別功能的路由協(xié)議，如“OSPF”；有的路由協(xié)議就不支持“鑒別”功能，如“RIP”。篡改：為了防止報文在轉發(fā)過程中被第三者所篡改，可以在應用層對用戶的報文進行加密或校驗。惡意程序的襲擊：除了上述用戶之間通信中的信息安全問題之外，網絡自身也容易遭受到一些惡意程序（rogueprogram）的襲擊，如computervirus,computerworm,Trojanhorse,logicbomb等。根據網絡安全性的具體實現方式，可以分為兩種：通過度散式的安全控制機制實現網絡的安全性和通過集中式的安全控制機制實現網絡的安全性。網絡安全問題的解決知道潛在的入侵者要了解哪些人會對你在網絡中的機密感愛好以及他們感愛好的因素，要知道他們也許采用的方法以及也許對網絡導致的損失。為了了解這些情況你也許會作出一系列假設，比如：入侵者的水平比網絡的管理者要低、入侵者只也許使用一些常見的程序、把某些重要文檔（如口令等）鎖在抽屜里是安全的，等等。要驗證這些假設的可靠限度。我們的目的是保證網絡對阻止那些也許的入侵者來說是可靠的?？刂茩C密的擴散一些重要的信息，如高級別的口令，其也許的傳播范圍要進行限制。最佳能養(yǎng)成一個周期性更換口令的習慣。當網絡所有者的領導層作出變動時，應盡快地更換口令。養(yǎng)成不用普通傳真機和公用電話傳輸機密消息的習慣。養(yǎng)成把廢棄的紙張用碎紙機碎掉的習慣。訪問控制（AccessControl）必須對訪問網絡的權限加以控制，并規(guī)定每個用戶的接入權限。由于網絡是一個非常復雜的系統(tǒng)，其訪問控制機制比操作系統(tǒng)的訪問控制更為復雜，特別是在高安全性級別的多級安全性（multilevelsecurity）的情況之下更是如此。在這里我們使用了一個被廣泛使用的“防火墻”的概念，我們可以把防火墻看作是一個數據流的過濾器，只有我們所盼望的數據流才可以通過這個過濾器，而其它所有的數據流都不能通過，防火墻可以是雙向的。防火墻使用的最典型的例子是：一個局域網為了防止廣域上所連接的其它用戶對本網的訪問，在廣域到局域的入口處設立防火墻。我們可以在路由器上設立access-list實現防火墻的功能。通過防火墻，我們可以給不同的用戶提供有區(qū)別的訪問權限，我們也可以把網絡中的些重要資源保護起來而開放其它所有的資源。在局域網的內部也可以實現防火墻的功能：我們假如需要限制局域網內部的某些用戶對一些資源的訪問，可以把這些用戶劃分到一個“虛擬網”中，在這個虛網和其它的資源之間設立防火墻。通過集中的安全控制機制實現網絡的安全性我們可以把對用戶身份的鑒別以及對權限的驗證等功能分散在各個遠端的路由器和訪問服務器上實現，如下圖所示：在某些大型網絡的初期為了安裝調試的方便我們一般先采用分散式的安全控制機制，在一些小型的網絡中也可以采用這樣的機制。這種方式的優(yōu)點是配置比較簡樸，但是存在著許多局限性：一方面是各個數據庫的管理問題。由于數據分散在所有的路由器和撥號訪問服務器上，對這些數據進行管理是一個非常頭痛的問題，管理者要對所有數據庫中的數據非常清楚，一旦某些口令等數據泄漏需要修改，往往是大動干戈。另一方面是安全性的功能受到限制，由于路由器和撥號訪問服務器畢竟不是專門為安全性設計的設備，上面也不也許有安全性功能很強的軟件。在這種情況下，往往需要有一臺專門用于保證安全性的服務器，連接在這個網絡的所有用戶，不管它需要以什么樣的方式訪問網絡設備，都必須通過服務器的安全性監(jiān)測。由于服務器上可以運營功能很強的安全性方面的軟件，可以滿足我們的需求。在路由器、撥號訪問服務器和安全服務器之間傳送的可以是通過加密的有關網絡安全協(xié)議的數據流。通過這種集中式的安全控制機制，我們可以實現鑒別（authentication）、授權（authorization）和記帳（accounting）的所謂“AAA”功能。當網絡的管理者覺得需要對數據庫的數據作修改時，可以隨時進行，并且這種修改的過程很簡樸。為了保證安全數據庫的可靠性，我們可以在網絡上設立不止一臺的安全數據庫；即使在所有的安全數據庫都發(fā)生故障的情況之下，還可以設立成運用路由器中的數據庫實現分散的安全控制方式。我們對系統(tǒng)安全的建議在廣域網通信的鏈路層，我們采用PPP的CHAP來保證數據的安全。在網絡層，可以選用下列方法增強網絡的安全性。對網絡通信數據進行監(jiān)測，當某些TCP和UDP包的socket與設定值同樣時，嚴禁傳送該數據包。比如要想嚴禁遠程登錄某臺主機，可以監(jiān)測發(fā)到該主機的數據包，發(fā)現數據包是TCP包，并且socket值等于23，則將該包丟掉。運用路由器的access-list表，只允許某些IP從某些端口輸入或輸出；將路由器口令在配置文獻中加密，不以明碼方式顯示；在系統(tǒng)正式運營時，使用TACACS+服務器，集中管理所有路由器和互換機的口令；在所有可以登錄到路由器的端口上均設立口令，涉及console、AUX和異步口。路由表的互換采用認證機制，OSPF支持MD5認證。與非信任型網絡連接，比如公眾信息網、外連網等，采用防火墻隔離。對于采用撥號方式訪問網絡，建議采用一次性口令認證方式和回拔技術?？梢赃\用加密方式，選擇對高度敏感的數據進行加密傳輸。以上所有的安全性措施都將在一定限度上影響到系統(tǒng)的性能，并且如加密則更需要IOS軟件的版本支持，在使用時應作相應的考慮。采用IDS實時監(jiān)控，防止非法和惡意侵入。采用Scanner技術，搜尋網絡安全漏洞。與Internet的連接如圖所示，在西南各?。ㄊ?、區(qū)）中心設立了一臺防火墻，將內網與外網隔斷，而作為用戶WEB查詢用的服務器則置于外網中，用戶訪問時，不會直接進入內網，而只和查詢服務器發(fā)生關聯(lián)，再由查詢服務器——也只能由查詢服務器進入內網尋找到用戶所需的數據。這樣就可以基本上保證系統(tǒng)的安全性。拔號的安全在有些地方我們也許要用到拔號，也提到了拔號在安全上的隱患，所以我們考慮采用回拔和訪問控制來解決這個問題?；匕渭夹g，就是在主叫方產生拔號建立連接后，被叫方在一剎那間切斷通路，反過來拔主叫方的電話號碼從而建立連接的技術。這個回拔的過程是非常短的，對用戶沒有影響。這個拔號進行之前，被叫方已經將各允許的主叫方電話號碼人工的記錄在其列表中，回拔中有一個校驗的環(huán)節(jié)，也通過這個環(huán)節(jié)控制了拔叫的地點（號碼）。對于拔號用戶，可以分為兩類，一是營業(yè)廳，二是代理點。對營業(yè)廳，它完畢的業(yè)務多一些，因此也應具有較高的權限；對代理點，不應讓其訪問過多的數據。這可以通過給予不同的用戶名和口令，再對這些用戶名和口令作不同訪問限制的方法來實現，也可以能過對地址的訪問控制實現，具體選用哪一種還要看實際情況加以選擇。也許看到，為了實現這些功能，使用集中的訪問控制是必要的，它不僅可以保證網絡不受侵犯，也可以記錄下對于網絡的操作，監(jiān)測各種用戶的訪問。安全沒有絕對的，但根據我公司數年的實踐經驗，我們認為這些方法的實行后，網絡系統(tǒng)的安全是基本上可以保證的。網絡管理集中式系統(tǒng)管理集中是大趨勢，根據我們對云南網通運營支撐系統(tǒng)的分析，我們采用了分?。▍^(qū)、市）集中的管理模式，運營支撐中心負責對全網節(jié)點進行網絡監(jiān)控，故障管理、網絡業(yè)務等記錄，網絡性能監(jiān)測，路由管理及設立，安全管理等。為了在網管系統(tǒng)中更進一步地管理網絡設備，實現對所有端口的配置、監(jiān)控和維護，我們認為本網絡中選用同一家原廠商網絡設備，同時選擇其網絡管理軟件對網絡設備進行管理是最為合理的。聯(lián)創(chuàng)系統(tǒng)集成股份有限公司可以向用戶提供高質量的技術支持和服務，重要涉及：簡便、易學的產品配套技術手冊和文獻、高水平的技術培訓教材與授課教師，以及迅速、有效的客戶響應，聯(lián)創(chuàng)公司先后參與了多個大型網絡工程，在工程中積累了豐富的工程經驗。聯(lián)創(chuàng)對網絡管理的理解和建議進入90年代，“網絡就是計算機”已不再是一個計算機技術發(fā)展的標語，而是成為活生生的現實。特別是網絡科技的迅猛發(fā)展，不斷使全球的信息產業(yè)高潮迭起。今天，世界各地區(qū)的Internet熱潮還在連續(xù)，而Intranet（公司內部網）又再掀波瀾。網絡，網絡，還是網絡!到處都在建立網絡、使用網絡。各行各業(yè)要想與信息時代的步伐合拍，也實實在在離不開計算機網絡?，F在，無論從美國、西歐和日本等發(fā)達國家的網絡來看，還是縱觀我國的網絡發(fā)展現狀，我們可以得到這樣一個結論：隨著計算機網絡廣泛進一步地發(fā)展與應用，網絡規(guī)模越來越大，其功能越來越強。與此同時，網絡的管理工作也愈來愈復雜。因此，網絡管理軟件上升到了極為重要的地位，成為計算機網絡系統(tǒng)的靈魂。網絡管理技術也成為業(yè)界各大專業(yè)公司重點發(fā)展的關鍵技術之一。我國計算機網絡的發(fā)展進程同國際上發(fā)達國家相比有一個極為顯著的區(qū)別，即發(fā)達國家的網絡有一個相對漫長而漸進的發(fā)展過程（這事實上是一個非常寶貴的實踐和經驗積累的過程）；而我國計算機網絡的發(fā)展是用了較短的時間就達成了相稱高的水平，仿佛像脈沖從零到一的階躍。目前，除了要看到我國在網絡建設方面所取得的成就之外，還應清醒地結識到：我們在網絡的應用和管理水平方面（特別是在經驗上）與發(fā)達國家之間尚存在著較大的差距。特別是在網絡建成之后，如何有效地管理網絡和應用網絡，充足發(fā)揮網絡投資的經濟效益，這是所有網絡建設的決策者和管理者面臨的一個十分嚴峻和亟待解決的問題。那么，有效地應用網絡的保障是什么？回答很簡樸：“現代管理”。進而言之，要有一套完整的管理策略、辦法和有效地管理與控制網絡的具體技術手段。如同有了現代化的公路設施（好比網絡）和各種大小不一的車輛（好比信息源）同樣，如何使公路交通順暢，各種車輛行駛安全，這全在于管理。可以設想，若沒有完善的管理策略和辦法，以及有效管理與控制的具體手段，現代化的公路交通會是一種如何的混亂狀況。對于具有一定規(guī)模的公司網絡而言，它已是公司的神經系統(tǒng)。哪怕是很短暫的網絡系統(tǒng)故障時間，都也許對公司導致重大的經濟損失。因此，現代網絡管理需要技術先進和功能強大的網絡管理軟件。管理規(guī)模的擴展能力分布式客戶/服務器結構一方面，網絡管理軟件的運營機制應能滿足分布式客戶/服務器結構。這重要基于如下幾點考慮：分布式客戶/服務器結構已為廣大用戶普遍采用。大規(guī)模的公司網絡采用這種運營機制，可使管理任務分散至公司機構各處，以實行對各個子網乃至整個公司網絡的管理。這除了減少集中式管理容易導致的工作壓力，提高對網絡管理的反映速度外，同時還可為關鍵性的管理系統(tǒng)提供完全的冗余保障。由于在許多應用領域中不允許網絡管理軟件因有故障而停止工作，故此在同一網絡中規(guī)定有多臺服務器運營網絡管理軟件以備不測?？梢詼p少對公司網絡中遠程節(jié)點的訪問次數，即將管理工作授權給一個或多個本地的網管工作站，通過它們去定期輪詢本地的網絡設備。這樣不僅減少了廣域網頻寬使用所帶來的費用，并且提高或改善了服務器和網絡的總體性能。支持大規(guī)模網絡的能力所謂支持大規(guī)模網絡的能力是指：在一個“域”（Domain）中，可以管理5000個以上節(jié)點的能力。這一點事實上標志著網絡管理軟件對網絡管理的可擴展能力。同時，也是該軟件對用戶投資保護能力的一種體現。根據我國“九五”計劃和2023年所要實現的遠景目的，公司信息化和城市信息化的建設必然使得計算機網絡節(jié)點的數量大幅度增長。因此選擇網絡管理軟件時，要充足考慮到未來的發(fā)展需要。支持多個網絡系統(tǒng)操作員的能力這點是從分布式管理的角度，對客戶端提出的規(guī)定。即允許多個網絡系統(tǒng)操作員能方便地從客戶端獲取多個服務器的信息，其中涉及不同邏輯域的管理服務器。這為大規(guī)模的公司網絡管理提供了靈活的管理手段（目前，業(yè)界對這方面能力的規(guī)定為：25個以上的專業(yè)網絡系統(tǒng)操作員可以按照系統(tǒng)事前設定的數據通路，訪問不同邏輯域的網管服務器）。智能化監(jiān)視能力應具有了解網絡結構和網絡設備之間互相關系的能力現在，網絡管理軟件已經普遍向用戶提供自動發(fā)現（AutoDiscovery）網絡節(jié)點及其配置的功能。值得注意的是：網絡管理軟件是否具有了解網絡拓撲結構和網絡設備之間互相關系的能力。這是其智能化水平高低最重要的標志。有效信息過濾篩選功能在龐雜的網絡監(jiān)控信息中，網絡管理軟件要能對其進行有效的過濾篩選，以便網絡系統(tǒng)操作員能掌握準確的網絡運營狀態(tài)。自動分析并報告網絡事件成因的能力當網絡出現問題時，網絡管理軟件應能自動對事件狀態(tài)信息進行分析并得出事件的成因，從而精擬定位犯錯設備，克制不必要的偽警報。當網絡不斷擴大體使設備越來越多的時候，這種能力尤為重要。智能化監(jiān)視功能的強大與否，與其所采用的技術直接相關。當前業(yè)界最高水平是采用人工智能和面向對象數據庫技術?；谟脩艄芾聿呗缘目刂颇芰τ诰W絡管理人員而言，根據實際需要通過網絡管理軟件靈活地實現自己的管理策略，這是網絡系統(tǒng)安全可靠地運營的重要保障。具體表現在對用戶或用戶群訪問權限的定義和對網絡各層次流量的有效控制。如：對不同的用戶或用戶群設立不同的訪問級別，用戶只能訪問網絡管理者為其設定的那一部分網絡資源。其中涉及：定義用戶的訪問時間、訪問途徑以及讀/寫權限等等。在設立合理的情況下，可以建立網絡的多級安全保護體系。這不僅保證了重要數據的安全，并且可以控制網絡上的流量，提高網絡帶寬的運用率。網絡管理軟件的開放性多協(xié)議支持當今不同公司的網絡涉及了多種多樣的網絡設備，并且它們運營不同標準和不同性質的管理協(xié)議。針對這一特點，網絡管理軟件應能管理來自不同廠家的網絡設備，無需用戶重新進行這方面的開發(fā)工作。支持開放系統(tǒng)和流行操作系統(tǒng)的能力網絡管理軟件是否具有生命力，其中非常重要的一點就是要看它是否支持開放系統(tǒng)（如Unix操作系統(tǒng)）和流行操作系統(tǒng)（如WindowsNT）。從另一個角度來說，網絡管理軟件應能運營在各種RISC體系結構的工作站和服務器上，以保護用戶原有的設備投資。與第三方網絡管理軟件以及其它管理系統(tǒng)的連接能力由于種種因素，用戶也許需要使用不同廠家的網絡管理軟件或是其它的管理系統(tǒng)（涉及數據庫系統(tǒng)）。為此，網絡管理軟件應具有與之連接、共享管理信息的能力，以支持用戶各種管理需求和對專用設備的特殊監(jiān)控。用戶界面當網絡存在成千個不同模型之間的連接時，網絡的拓撲圖形會變得十分復雜以致人們難以理解。因此，網絡管理軟件應當具有簡樸、明了表現復雜網絡“地形”的能力（有的叫做“網絡導航能力”），特別在表達整個網絡的實際拓撲結構的時候，更應如此。其圖形用戶界面的設計應趨于人性化；可以允許用戶方便地剪裁自己的應用環(huán)境，以及創(chuàng)建、修改和刪除被管理的節(jié)點上的模型；對各種圖表和不同層次的視窗有一整套的簡便管理手段等等。由于Intranet市場發(fā)展前景被業(yè)界普遍看好，因此有的產品已經將網絡管理信息送到WWW服務器上，用戶可通過瀏覽器界面獲取各種網絡信息。開發(fā)工具網絡管理軟件必須備有簡樸、無需編程的開發(fā)工具。它可以幫助用戶裁剪應用環(huán)境，制作圖標、圖形視窗或建立全新的模型等，而使用者無需任何編程知識。隨著技術的發(fā)展，計算機系統(tǒng)和網絡的管理越來越互相滲透與融合。因此，開發(fā)工具還應提供完整的應用編程接口（ApplicationProgrammingInterface），使用戶能方便、靈活地對網絡管理軟件進行擴充，以開發(fā)出功能更加強大的系統(tǒng)或網絡管理軟件。價格價格是每個用戶都十分重視的問題，任何時候用戶均應在有保障的技術服務的前提下，拿到產品合理的優(yōu)惠價格。未來幾年的網絡發(fā)展，必然使網絡管理軟件或遲或早成為計算機網絡系統(tǒng)的核心管理軟件。從長遠的觀點看問題，凡具有一定規(guī)模的網絡投資，均應將網絡管理軟件擺在重要的地位給予考慮。此外，對網絡管理軟件的投資，除了購買軟件的費用外，用戶最大的投資是要付出相稱可觀的時間和人力在實踐中取得經驗，即“實踐和經驗的積累”。軟件供應商與系統(tǒng)集成商的服務成功的系統(tǒng)管理必須廠商、集成商、用戶一起，進行客戶化的工作。我們?yōu)樵颇暇W通各省（市、區(qū)）配置了CiscoWorks2023的網管工作站，實現對全網的系統(tǒng)化管理。設備選型設備選型說明設備配置應基于當前的需求，并留有一定的富裕量，同時應考慮此后逐步向多業(yè)務平臺的遷移。新增設備型號接口模塊用途兩臺Cisco3662路由器2端口CE1模塊2端口以太模塊連接各營業(yè)廳連接上級系統(tǒng)兩臺Catalyst4006互換機48端口10/100M以太模塊16端口1000M以太模塊構架省中心高速解決局域網兩臺PIX525防火墻2塊千兆以太網卡3端口百兆以太網接口隔離內外網CiscoWorks2023NMS(forwindows/saloris)-網絡管理軟件Cisco2651路由器2端口100M固化接口1端口廣域接口每營業(yè)廳一臺，連接廣域設備Catalyst2950互換機24端口10/100M接口每營業(yè)廳一臺，連接局域設備Cisco3662Cisco3660系列平臺在非常成功的Cisco2600和3600系列產品的基礎上，在密度、性能、穩(wěn)固性和可服務性等方面進行了大量改善，使其可作為客戶設備（CPE）用于大型分支機構應用或完畢電話服務。Cisco3600的通用性保證了它遠全滿足目前分支機構和公司對數據、話音、視頻和混合撥號訪問應用的需求，為多服務應用不斷增長的帶寬需求提供了必要的高速連接。Cisco3660系列平臺的主板上集成了10/100自適應以太網端口，釋放了所有6個網絡模塊插槽，從而可以支持更高密度的LAN/WAN或多服務集合。此外，主板上的2個高級集成模塊（AIM）插槽可以支持更強的解決能力。Cisco3660系列產品插槽多的優(yōu)勢和新網絡模塊的增強性能結合在一起，可以支持新的商業(yè)應用，如更高密度的分組話音集合和分支機構異步傳輸模式（ATM）訪問，后者的范圍可以從T1/E1ATM反向多路復用技術（IMA）一直到OC-3接口。Cisco3660系列產品到目前為止已有70多個不同的接口可供使用，為客戶特定應用提供了大量的配置選項，從而具有了空前的通用性、無可匹敵的性能和廣泛的靈活性。Cisco3660系列產品可以與Cisco1600，1700，2600和3600系列多服務平臺共享模塊接口，因而保護了客戶投資，減少了與備件有關的運營成本，并簡化了培訓過程。Cisco3660系列產品模塊化機箱的設計充足考慮到了高可用性和可服務性，使其成為網絡中一個非常堅實又高效經濟的單元，關鍵任務應用可以放心地配置在這樣的網絡中。Cisco3660系列產品的獨到之處還涉及綜合的電源冗余選項和模塊熱互換能力，它們?yōu)殛P鍵功能提供了更高的產品可用性。Cisco3660系列產品可按照一些不同的配置訂購?；鞠到y(tǒng)由以下部分組成：1或2個集成10/100端口6個用來支持網絡模塊的擴展槽2個用于硬件加速和提高解決能力的高級集成模塊（AIM）插槽支持冗余交流或直流電源的機箱1個輔助端口1個控制臺端口2個用于備份軟件和配置的PCMCIA卡插槽Cisco3660系列產品提供了同類網絡模塊以及冗余電源的熱互換能力，從而保證了產品的高可用性。后部接入分布線使連接更為容易，模塊化設計使現場可更換單元（FRU）的維修更加方便。通過使用CiscoWorks、CiscoView和CiscoViewStack管理接口應用程序，Cisco3660系列產品的網絡管理能力更加強大。上述這些應用程序早已被用于管理現有網絡系統(tǒng)中安裝的大量Cisco產品，因此，這為網絡技術支持人員提供了較為熟悉的網絡管理環(huán)境。Cisco3660系列產品的一個重要優(yōu)點是它運營CiscoIOS軟件，該操作系統(tǒng)在世界各地大部分的Internet骨干設備都得到了應用。安裝使用Cisco3660的客戶立即可以擁有CiscoIOS的豐富功能，它支持大量的應用程序，可以滿足客戶日益增長的業(yè)務需要。Cisco3660系列產品的重要功能和優(yōu)點涉及：密度和性能——Cisco3660系列多服務平臺配置了集成端口以及6個擴展槽，可以支持新的業(yè)務應用，如更高密度的分組話音集合和使用T1/E1IMA或OC-3接口的分支機構ATM訪問。Cisco3660系列產品增長了70％以上的解決能力，并且在很多配置中，在更加緊湊的機箱中，配置密度比Cisco3640提高了一倍。高可用性設計－－Cisco3660系列產品的冗余交流和直流電源選項為關鍵任務應用提供了一個堅實的平臺。此外，同類網絡模塊（NM）的熱互換和電源供應使高可用性環(huán)境的正常工作時間更長。數據、話音、視頻和混合撥號訪問的集成－－Cisco3660系列產品使用戶可以支持最多種類的應用，涉及在單一平臺上實現數據、話音、視頻和混合撥號訪問的集成。單一平臺上用程序的集合通過簡化分支機構網絡環(huán)境的配置、備份、支持、管理，提高了系統(tǒng)運營效率，減少了網絡成本。目前可用于這些插槽的模塊接口有70多個，從而具有了無與倫比的通用性。保護投資－－Cisco3660系列產品可以與Cisco1600，1700，2600和3600系列平臺共享模塊接口，這樣簡化了對網絡支持的規(guī)定，促進了規(guī)模經濟，最大限度地減少了培訓成本，為滿足現在和將來小型、中型和大型分支機構的需要提供了用戶特定的各種選項。除此之外，Cisco3600系列產品支持模塊組件現場升級的能力使客戶不必通過遠程分支機構解決方案的全面升級，就可以很容易地改就網絡接口和其它組件。減少擁有成本－－通過將內置數據服務設備/信道服務設備（CSU/DSU）、綜合業(yè)務數字網（ISDN）終端（NT1）設備、以及分支機構布線室內其它設備的功能集成在一起，Cisco3660系列產品提供了一個節(jié)省空間和成本的解決方案，并且該解決方案還可以使用CiscoWorks和CiscoView這樣的網絡管理軟件進行遠程管理。Catalyst4000Catalyst4000系列提供了一個高性能的公司級互換解決方案，它在配線室支持96個10/100M端口，在數據中心服務器環(huán)境支持36個千兆位端口。Catalyst4000系列提供第二層的多千兆位互換體系結構支持10/100/1000M的互換。模塊化的六槽Catalyst4006互換機采用業(yè)界領先的Catalyst5500/5000系列互換機軟件提供了用戶網絡解決方案中配線室所需的豐富的特性集。新的高性能體系結構滿足現在和未來的發(fā)展96個10/100M以太端口或36個千兆位端口集于一個管理單元，吞吐量可以達成18Mpps，互換背板帶寬為24Gbps。Catalyst4000系列提供了足夠的帶寬和可擴展性以滿足客戶服務器系統(tǒng)所需的帶寬和相應時間。模塊化機架Catalyst4000系列以太網互換機提供了廣泛的從10/100M到千兆位的端口密度，它提供了：一個六槽的模塊化機架，其中一個槽口用于管理引擎，此外五個槽口用于互換模塊。兩個電源槽口支持冗余的負載均衡容錯的電源供應，電源DC/AC可選。一個熱互換的風扇槽口單一IP地址管理端口，電源和鏈路冗余。配置的靈活性和模塊化的優(yōu)勢Catalyst4000支持如下四中互換模塊48口10/100M以太網模塊32口10/100M+2口千兆位上連模塊6口千兆位模塊18口千兆位模塊Catalyst4000端口密度配置范圍Catalyst4003最大支持一個管理模塊和兩個互換模塊，支持從配線室（96個10/100M以太口）到數據中心服務器陣列（36個千兆位服務器連接）。Catalyst4006最大支持一個管理模塊和五個互換模塊，支持從配線室（240個10/100M以太口）到數據中心服務器陣列（36個千兆位服務器連接）?？蓴U展性和彈性由于模塊化的靈活性和模塊速度的多樣性可以可以很容易地在現在或未來上升到千兆位。Catalyst4000系列用來滿足客戶從一定帶寬到多千兆性能（采用GEC，每個GEC邏輯鏈路可達8Gbps）的需求。此外，Catalyst4000滿足設備冗余，鏈路彈性和網絡可用性，直接提供應個人用戶，服務器，打印機和數據中心指定的帶寬。冗余能力為了保證可靠性，容錯的網絡運作，Catalyst4000支持冗余負載均衡的電源供應。采用UplinkFast和PortFast的端口冗余。采用FEC和GEC的鏈路冗余。高速服務器陣列連接Catalyst4006互換系統(tǒng)是一個公司級10/100/1000以太網互換機重要目的是中密度的第二層互換配線室，此外，Catalyst4000也可以配置成一個千兆位以太網互換機做網絡服務器陣列應用。特性Catalyst4006模塊槽數6可用模塊548口10/100M自適應6口GE模塊18口GE模塊背板帶寬60Gbps可堆疊性無最大VLAN數1024802.1Q有ISL無Catalyst4000系列新推出了三層互換的模塊，整個互換機的三層互換能力隨三層互換模塊的增長而增長，每個三層模塊的第三層互換能力為48MPPS。CiscoWorks2023LAN管理解決方案2.0局域網管理解決方案（LMS）是CiscoWorks2023網絡管理系列產品之一。它為園區(qū)網提供了配置、管理、監(jiān)控、故障檢測與維修工具，同時還涉及了用于管理局域網互換和路由環(huán)境的應用軟件。運用Internet的開放式標準及Cisco設備與操作系統(tǒng)的內在功能，局域網管理解決方案使網絡管理員可以有效地管理整個局域網或園區(qū)網。Web瀏覽器為關鍵應用提供了便于使用的接口，如拓撲映象、配置服務以及有關園區(qū)互換網的重要系統(tǒng)、設備、故障和性能等信息情況。由于上述應用是具有Web和瀏覽器訪問功能的，因此管理員可從網絡的任何地方自由獲取這些網絡工具。局域網管理解決方案提供的靈活的安裝能力使其可以安裝在常用的網絡管理系統(tǒng)（NMS）產品之外，或者與之并列安裝。鑒于其Web結構，局域網管理解決方案工具可與任何在網絡中運營的不同服務器上的常用NMS相集成。局域網管理解決方案與其他CiscoWorks2023解決方案同樣，不需要預先配置NMS，并可以隨時直接添加到您的網絡中。這種多供應商并存與鏈接能力代表了Cisco一貫追求生態(tài)體系的方針：即采用基于瀏覽器的訪問性和集成技術，為您提供一種端到端的Intranet管理形式。局域網管理解決方案為園區(qū)網管理工具奠定了堅實的基礎，并對CiscoWorks2023的其他產品給予補充。例如，路由WAN管理解決方案體現了廣域網的需要。服務管理解決方案則為定義和管理服務級協(xié)議提供了一種集中管理方法。而虛擬專網/安全性管理解決方案將web應用集成起來，有助于安裝和監(jiān)控虛擬專網及其安全設備?？傊?，CiscoWorks2023系列產品為管理Cisco的重要業(yè)務網絡提供了具有領先技術水平的解決方案。今天，局域網成為商業(yè)基礎設施的重要組成和關鍵系統(tǒng)。局域網的管理也已經從以設備為中心轉變?yōu)橐怨芾韨鬏敂祿驼Z音流的內容感知信息系統(tǒng)為中心。這就規(guī)定具有快速、方便地配置與監(jiān)控網絡設備的能力，以便隨時可以提供連接和服務。盡早發(fā)現網絡狀態(tài)的變化已成為排除潛在故障的關鍵。局域網管理解決方案提供了滿足上述需要的多種工具，它集成了最先進的偵測技術、端口分派工具、高級連接分析和配置管理工具、設備與網絡診斷工具等，其能力涉及故障管理、遠程監(jiān)控、流量監(jiān)控等。而所有的功能都建構在一個便于使用的框架中。局域網管理解決方案集成了多種用于配置、監(jiān)控和維護園區(qū)網的應用與工具。其設計體現了當今Cisco的網絡技術，同時也為管理未來的網絡需要提供了一種靈活的框架。局域網管理解決方案涉及面向操作的多種工具，如故障管理、可擴展的拓撲檢查、高級配置、第2層/第3層途徑分析、語音支持途徑追蹤、流量監(jiān)控、終端工作站跟蹤工作流應用服務器管理以及設備故障維修等等。局域網管理解決方案創(chuàng)建在CiscoWorks2023常用服務器基礎上。這種設計將數據收集、監(jiān)控和分析工具鏈接起來，方便了在應用間運營工作流--所有工作都可以通過一種臺式計算機應用來完畢。譬如，某個抱怨反映時間太長的用戶可以運用局域網管理解決方案中的第2層途徑工具來自動搜集存儲在某個數據庫中的用戶途徑信息，并在拓撲映象中找到所使用的設備，從而可以快速地進行診斷。此外，它還可以迅速檢查互換機和路由器的配置情況，或者迅速檢查遠程監(jiān)視器的數據傳輸，從而發(fā)現異常情況或也許出現的變化。上述操作可以從一個或多個應用中獲取信息。Web級集成技術提供了創(chuàng)建多供應商管理生態(tài)體系的能力。局域網管理解決方案運用Internet標準來將最先進的工具結合起來，并通過數據和任務集成標準來發(fā)揮這些工具的功能。通過采用業(yè)界數據共享標準--公用信息模型（CIM）和XML，局域網管理解決方案提供了析取數據和與常用網絡管理平臺產品結合使用的工具。與局域網管理解決方案結合，Cisco提供了一系列完整的專用硬件探測器。專用探測器涉及