毕业设计（论文）-基于异构网络设备的企业网络改造升级.doc

i 目录 第一章：绪论1 1.1 研究背景及意义 1 1.2 异构网络前景 1 1.3 章节概述 2 第二章：异构网络平台3 2.1 eigrp 介绍.3 2.2 ospf 介绍4 2.3 异构网络协议的区别及优缺点 6 2.4 异构网络协议融合 8 2.5 异构网络软件管理 9 第三章 需求分析.12 3.1 异构网络需要解决的主要问题 .12 3.2 异构网络应该具备的基本功能 .12 3.2.1 网络平台概述 .12 3.2.2 网络平台的分析12 第四章 异构网络的总体设计.14 4.1 背景 .14 4.1.1 概述 .14 4.1.2 网络现状 .14 4.1.3 建设目标 .15 4.2 网络设计 .15 4.2.1 设计原则 .15 4.2.2 网络设计方案 .15 4.3 核心网络升级 .16 4.3.1 网络核心层 .16 4.3.2 网络接入层设计 .17 4.4 智能网络管理 .17 4.4.1 imc 网络设备管理17 4.4.2 imc 用户接入管理22 4.4.3 ead 端点准入控制25 4.4.4 vlan 分组设计.28 ii 4.5 网络设备升级清单 .30 4.6 设备模拟配置 .33 4.6.1 交换机配置 .33 4.6.2 路由器配置 .37 4.6.3 路由重发布设置 .39 第五章 总结与展望45 5.1 总结 .45 5.2 展望 .45 参考文献.46 致谢.47 附录 网络设备源代码48 1 第一章：绪论 1.1 研究背景及意义 随着以 h3c、juniper 等网络公司的崛起，cisco 在网络公司的地位受到了 巨大的挑战。但 cisco 作为曾经的网络巨人，拥有近 70%巨大的市场份额， cisco 在网络市场拥有这近乎垄断的地位。为了维护自己的巨额利润，cisco 的 网络协议大部分采用的是自己的私有协议，在自己一家独大的时候，通过私有 协议，设立技术/市场壁垒，这样可以保持自己企业在业界的垄断地位。随着市 场的开放和竞争，公有协议必将成为未来网络设备公司的发展道路。在这段交 替时期，私有协议和公有协议将相互共存，相互之间有一定的兼容性。 由于因特网业务的发展超出了人们的想象，同时也由于通信标准的制定也 需要一定时间，有一定的滞后，当时出现了没有合适的通信标准可遵循的局面， 而因为 cisco 的市场优势地位，cisco 采用的通信协议成为业界的事实标准。同 时 cisco 也参加到 ietf 的工作中(该组织是因特网标准的主要制定者)，派出大 量人员参与、影响和控制该组织的活动，并取得了 ietf 中的绝大多数的领导 席位操纵该组织的活动(目前该组织的主席为 cisco 员工，并且 cisco 员工大量 占有 ad 和工作组主席位置)。cisco 往往利用其在市场的垄断地位，强行推广 其私有协议成为事实标准，而后利用其市场优势和在 ietf 中的统治地位将其 私有协议在 ietf 确立为国际标准。曾经在市场中曾出现过 cisco 的设备不符合 ietf 标准，但一段时间后，cisco 将 ietf 标准修改为和其私有协议一致。 随着国际、国内标准的出现，一些企业变换为既有标准，又有其私有协议 的策略应对，在送国家入网检测时，使用标准协议，但在网络实际使用时，由 于网上存在早期使用私有协议的 cisco 设备，为了互通，全网自然又变成了私 有协议在起作用(不排除为了屏蔽其他厂家进入，故意使用非标准协议)。对于 其他后进的企业，为了能够将设备卖进现行网络，也不得不支持这些私有(非标 准)协议。一旦这种情况出现，这些企业就可以使用“侵权大棒“对后进企业诉诸 法律，最终还是表现为排它性。1 1.2 异构网络前景 现阶段 cisco 在网络业界的老大地位将会保持相当长的一段时间，但 cisco 自己生产的设备也兼容公有协议，公有协议与私有协议并存的局面将保持下去， 直到有其他公司可以挑战 cisco 在业界的地位。 网络平台的改造升级从原有的唯一品牌产品cisco，发展为多元化厂家 平台，相互兼容性也是未来的发展方向。 2 网络已经成为企业信息化的基础设施，对于单一的网络设备可以实现简单、 高效的网络管理。但对于用户来说，采购多种网络设备有避免被单一厂商控制、 以及降低采购成本等方面的吸引力，在与厂商的博弈关系中会处于相对有利的 位置。因此，构建一个多种设备的网络基础设施对用户来说是必要的，但由此 带来的问题就是如何有效地进行网管。无疑，多种网络设备的异构环境会带来 相当程度的复杂性，需要化繁为简，根据实际情况做出合理的网络管理方案选 择。1 1.3 章节概述 在本文里第一章主要是对毕业设计课题的一个概述，在第二章主要介绍了 不同网络设备之间使用的不同的网络协议以及不同协议之间的异同点和优缺点， 在第三章里则是主要介绍了异构网络平台搭建的一些要求以及一些设想，到了 第四章则是具体介绍异构企业网络平台搭建的具体实现过程。 3 第二章：异构网络平台 异构网络路由协议主要是由 eigrp 和 ospf 构成。二者分别是私有协议和公 有协议，由不同的组织和厂家制定.下面分别介绍两种网络协议以及两种协议之 间的异同点和优缺点。 2.1 eigrp 介绍 eigrp和早期的igrp协议都是由cisco发明，是基于距离向量算法的动态路 由协议。eigrp(enhanced interior gateway routing protocol)是增强版的 igrp协议。它属于动态内部网关路由协议，仍然使用矢量距离算法。但它的 实现比igrp已经有很大改进，其收敛特性和操作效率比igrp有显著的提高。 eigrp的收敛特性是基于dual ( distributed update algorithm ) 算法的。 dual 算法使得路径在路由计算中根本不可能形成环路。它的收敛时间可以与已 存在的其他任何路由协议相匹敌。 eigrp协议主要具有如下特点： 1.精确的路由计算和多路由的支持 eigrp协议继承了igrp协议的最大的优点：矢量路由权。eigrp协议在路由 计算中要对网络带宽，网络时延，信道占用率，信道可信度等因素作全面的综 合考虑，所以eigrp的路由计算更为准确，更能反映网络的实际情况。同时 eigrp协议支持多路由，使路由器可以按照不同的路径进行负载分担。 2.较少的带宽占用 使用eigrp协议的对等路由器之间周期性的发送很小的hello报文，以此来 保证从前发送报文的有效性。路由的发送使用增量发送方法，即每次只发送发 生变化的路由。发送的路由更新报文采用可靠传输，如果没有收到确认信息则 重新发送，直至确认。eigrp还可以对发送的eigrp报文进行控制，减少eigrp报 文对接口带宽的占用率，从而避免连续大量发送路由报文而影响正常数据业务 的事情发生。 3.无环路由和较快的收敛速度 路由计算的无环路和路由的收敛速度是路由计算的重要指标。eigrp协议由 于使用了dual算法，使得eigrp协议在路由计算中不可能有环路路由产生，同时 路由计算的收敛时间也有很好的保证。因为，dual算法使得eigrp在路由计算时， 只会对发生变化的路由进行重新计算；对一条路由，也只有此路由影响的路由 器才会介入路由的重新计算。 4.md5认证 4 为确保路由获得的正确性，运行 eigrp 协议进程的路由器之间可以配置 md5 认证，对不符合认证的报文丢弃不理，从而确保路由获得的安全。 5.任意掩码长度的路由聚合 eigrp协议可以通过配置，对所有的eigrp路由进行任意掩码长度的路由聚 合，从而减少路由信息传输，节省带宽。 6.同一目的但优先级的路由可实现负载分担 去往同一目的的路由表项，可根据接口的速率、连接质量、可靠性等属性， 自动生成路由优先级，报文发送时可根据这些信息自动匹配接口的流量，达到 几个接口负载分担的目的。 7.协议配置简单 使用eigrp协议组建网络，路由器配置非常简单，它没有复杂的区域设置， 也无需针对不同网络接口类型实施不同的配置方法。使用eigrp协议只需使用 router eigrp命令在路由器上启动eigrp 路由进程，然后再使用network 命令 使能网络范围内的接口即可。1 2.2 ospf 介绍 ospf 是 open shortest path first（即“开放最短路由优先协议 “）的 缩写。它是 ietf 组织开发的一个基于链路状态的自治系统内部路由协议。 在 ip 网络上，它通过收集和传递自治系统的链路状态来动态地发现并传播 路由。 每一台运行 ospf 协议的路由器总是将本地网络的连接状态，（如可用 接口信息、可达邻居信息等）用 lsa（链路状态广播）描述，并广播到整个 自治系统中去。这样，每台路由器都收到了自治系统中所有路由器生成的 lsa，这些 lsa 的集合组成了 lsdb（链路状态数据库）。由于每一条lsa 是对一台路由器周边网络拓扑的描述，则整个lsdb 就是对该自治系统网络 拓扑的真实反映。 根据 lsdb，各路由器运行 spf(最短路径优先 )算法。构建一棵以自己 为根的最短路径树，这棵树给出了到自治系统中各节点的路由。在图论中， “树“是一种无环路的连接图。所以 ospf 计算出的路由也是一种无环路的路 由。 ospf 协议为了减少自身的开销，提出了以下概念： （1）.dr：在各类可以多址访问的网络中，如果存在两台或两台以上的 路由器，该网络上要选举出一个 “指定路由器 “(dr)。“指定路由器 “负责与 本网段内所有路由器进行 lsdb 的同步。这样，两台非 dr 路由器之间就不 再进行 lsdb 的同步。大大节省了同一网段内的带宽开销。 5 （2）.area：ospf 可以根据自治系统的拓扑结构划分成不同的区域 （area），这样区域边界路由器（ abr）向其它区域发送路由信息时，以网 段为单位生成摘要 lsa。这样可以减少自治系统中的 lsa 的数量，以及路 由计算的复杂度。 ospf 使用 4 类不同的路由，按优先顺序来说分别是： 区域内路由 区域间路由 第一类外部路由 第二类外部路由 区域内和区域间路由描述的是自治系统内部的网络结构，而外部路由则 描述了应该如何选择到自治系统以外目的地的路由。一般来说，第一类外部 路由对应于 ospf 从其它内部路由协议所引入的信息，这些路由的花费和 ospf 自身路由的花费具有可比性；第二类外部路由对应于ospf 从外部路 由协议所引入的信息，它们的花费远大于ospf 自身的路由花费，因而在计 算时，将只考虑外部的花费。路由器计算最短路径树，以自己为根。这个最 短路径树就生成了路由表。 ospf 协议主要优点： 1、ospf 是真正的 loop- free（无路由自环）路由协议。源自其算法本 身的优点。（链路状态及最短路径树算法） 2、ospf 收敛速度快：能够在最短的时间内将路由变化传递到整个自治 系统。 3、提出区域（ area）划分的概念，将自治系统划分为不同区域后，通 过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使 得路由信息不会随网络规模的扩大而急剧膨胀。 4、将协议自身的开销控制到最小。 1）用于发现和维护邻居关系的是定期发送的是不含路由信息的hello 报文，非常短小。包含路由信息的报文时是触发更新的机制。（有路由变化 时才会发送）。但为了增强协议的健壮性，每1800 秒全部重发一次。 2）在广播网络中，使用组播地址（而非广播）发送报文，减少对其它 不运行 ospf 的网络设备的干扰。 3）在各类可以多址访问的网络中（广播， nbma），通过选举 dr，使 同网段的路由器之间的路由交换（同步）次数由 o（n*n）次减少为 o （n）次。 4）提出 stub 区域的概念，使得 stub 区域内不再传播引入的 ase 路由。 6 5）在 abr（区域边界路由器）上支持路由聚合，进一步减少区域间的路 由信息传递。 6）在点到点接口类型中，通过配置按需播号属性（ ospf over on demand circuits），使得 ospf 不再定时发送 hello 报文及定期更新路由 信息。只在网络拓扑真正变化时才发送更新信息。 5、通过严格划分路由的级别（共分四极），提供更可信的路由选择。 6、良好的安全性， ospf 支持基于接口的明文及 md5 验证。 7、ospf 适应各种规模的网络，最多可达数千台。 2 2.3 异构网络协议的区别及优缺点 路由协议有动态路由协议和静态路由协议之分，而根据算法动态路由协议 又分为距离向量路由协议和链路状态路由协议。距离向量路由协议基于 bellnamford 算法，rip 协议就是典型的距离向量路由协议，它算法简单，适合 于网络拓扑结构相对简单、数据链路故障率低的小型网络中，在路径多时收敛 速度慢，占用带宽资源多，rip 协议已不能适应大规模异构网络的互连，而 ospf 是一种链路状态路由协议，它则能够适应大规模的网络，收敛速度快，但 其太复杂，执行时占用了较多的路由器资源和网络带宽。eigrp ( enhancedinterior gateway routing protocol，增强型内部网关路由协议) 结 合 rip 和 ospf 两种协议优点。新协议把 rip 等旧路由协议的简单性和可靠性与 ospf 等新一代路由协议的优点组合起来，使得 eigrp 很容易配置和使用。 ospf 和 eigrp 的比较 eigrp 协议和 ospf 协议相比较主要具有以下优点： 1、路由负载均衡能力 eigrp 那样可以根据优先级不同，自动匹配流量。而 ospf 虽然能根据接口 的速率、连接可靠性等信息，自动生成接口路由优先级，但通往同一目的的不 同优先级路由，ospf 只选择优先级较高的转发，不同优先级的路由，不能实现 负载分担。只有相同优先级的，才能达到负载均衡的目的。 2、配置复杂度 由于网络区域划分和网络属性的复杂性，需要网络分析员有较高的网络知 识水平才能配置和管理 ospf 网络；而使用 eigrp 协议组建网络，路由器配置非 常简单，它没有复杂的区域设置，也无需针对不同网络接口类型实施不同的配 置方法。使用 eigrp 协议只需使用 router eigrp 命令在路由器上启动 eigrp 路由进程，然后再使用 network 命令使能网络范围内的接口即可。 3、占用带宽 路由的发送使用增量发送方法，当路径信息改变以后,dual 只发送那条路由 7 信息改变了的更新,而不是发送整个路由表。发送的路由更新报文采用可靠传输， 如果没有收到确认信息则重新发送，直至确认。eigrp 还可以对发送的 eigrp 报文进行控制，减少 eigrp 报文对接口带宽的占用率，从而避免连续大量发送 路由报文而影响正常数据业务的事情发生。 4、收敛速度 eigrp 协议由于使用了 diffusingupdate(dual)算法，eigrp 在路由计算时， 只会对发生变化的路由进行重新计算。路由器使用 eigrp 来存储所有到达目的 地的备份路由，以便进行快速切换。如果没有合适的或备份路由在本地路由表 中的话，路由器向它的邻居进行查询来选择一条备份路由,使得路由计算的收敛 时间也有很好的保证。 5、支持多种网络层协议 eigrp 协议能支持 ip,ipx 和 appletalk 等多种网络协议。能像 eigrp 那样 支持数种网络层协议的还有 intermediate system-to-intermediate system(is-is)协议,但是这个协议只支持 ip 和 connectionless network service(clns)。eigrp 通过 pdms 来支持不同的网络层协议。每个 eigrp 的 pdm 保持 1 个单独的路由信息表来装载某种协议(比如 ip)的路由信息，也就是有 ip/eigrp 表，ipx/eigrp 的表和 appletalk/eigrp 表。 当然 eigrp 协议也具有一定的的不足： 1、ospf 协议是开放的协议，是 ietf 组织公布的标准，而 eigrp7是 cisco 公司的私有协议。在 1 个大型网络中,假如不是所有的设备都是 cisco 的, eigrp 明显就不行,因为它是私有的.所以就可以使用 ospf 协议或者路由 redistribution(路由协议之间的翻译服务).ospf 使用 dijkstra 算法,是 1 种 链路状态协议.ospf 汇聚快速,支持多个耗费相同的路径.和 eigrp 不同的是, ospf 只支持 ip 路由.ospf 也能够设计网络为层次化的,这样就把 1 个大的网络 分割成几个小的网络,叫做区域(area)。 2、ospf 协议引入“分层路由”的概念，将网络分割成一个“主干”连接的 一组相互独立的部分，这些相互独立的部分被称为“区域” (area)， “主干” 的部分称为“主干区域” 。每个区域就如同一个独立的网络，该区域的 ospf 路 由器只保存该区域的链路状态。每个路由器的链路状态数据库都可以保持合理 的大小，路由计算的时间、报文数量都不会过大；而 eigrp 没有区域（area） 的概念，而 ospf 在大规模网络的情况下，可以通过划分区域来规划和限制网络 规模。所以 eigrp 适用于网络规模相对较小的网络。 结论： ospf 协议和 eigrp 协议都是收敛速度较快并且不会形成环路的算法，网络 带宽占用较小，使用灵活，安全性较好的路由协议。但是从以上分析可以看出， 8 eigrp 协议在路由负载均衡能力、配置复杂度、占用带宽、收敛速度等方面优 于 ospf 协议，而在协议开放性和适用网络规模方面 ospf 协议更好一些。1 2.4 异构网络协议融合 eigrp 和 ospf 作为两种不同的协议，想要互相共存，必须能够互相兼容。 也就路由重发布。 路由重分发是指连接到不同路由选择域的边界路由器，在不同路由选择域 （自主系统）之间交换和通告路由选择信息的能力。 路由重发布的使用情况： 1.当我们从一个旧的路由协议向一个新的路由协议迁移的时候，要求系统不 可中断的迁移。 2.总站与各个运行不同路由协议的分支机构之间的连接。 seed metrics 种子度量 种子度量就是其他协议导入到该路由协议的默认度量值。 我们可以在路由进程中使用 defalut-metrics 来修改默认的度量，不够这个设 置是针对所有导入到该协议中的默认度量。 ospf 的种子度量是：20（igp） 、1（bgp） ip、eigrp 的种子度量都是：无穷大，这就意味着其他路由协议如果没有 设置 metric 是无法注入到里面的。所以我们在注入到 rip、eigrp 中要手动指 定 metric 值，你可以在 redistribute 中指定也可以在 defalut-metric 中指定。 is-is 的种子度量协议：0 如何限制路由跟新：被动接口、distribute-list 被动接口：在 rip 协议中使用被动接口时，该接口是只收不发。在 eigrp、ospf 中是不收不发。 注意在使用 distribute-list 进行过滤的时候，rip、eigrp 会影响该路由 器之后的其他路由器，而 ospf 不会只会影响路由器本身不会影响其他路由器， 因为每个跑 ospf 的路由器都有一个 database。而距离向量只会询问邻居。 在路由重发布的时候也能实现路由过滤： 我们在中间路由器上进行过滤。我们限制 eigrp 重发布到 ospf 中的路由 ac 1 deny 172.16.1.0 0.0.0.255 ac 1 deny 172.16.2.0 0.0.0.255 ac 1 permit any router eigrp 100 distribute-list 1 out ospf 100 end clear ip ospf pro ip prefix-list 和 ac 的区别：prefix 比 ac 更精确，它能准确到你后面的 9 子网掩码（ge、le） 基于时间的 ac： 1.先定义一个 time-range 2.在 ac 规则上使用 time-range conf t time-range haha periodic weekdays 9:00 to 12:00 exit ac 100 permit tcp any any eq 80 time-range haha 重发布到 eigrp 中的注意事项 1、和 rip 一样，指定度量值。eigrp 的种子度量值也是无穷大。 2、度量值由带宽(单位 kb/s)、延迟(单位 10ms)、可靠度(255 为最可靠)、负 载(一般为 1)和 mtu(最大传输单元，一般为 1500)组 成。 重发布到 ospf 中的注意事项 1、使用 subnets 属性。如果不适用 subnets 属性，那么只重发布有类路由。 2、metric-type 默认是 2，就是 e2，推荐使用 metric-type 1，即 e1。10 2.5 异构网络软件管理 网元级，还是平台级？ 目前的网管软件根据管理对象来划分，分为两大类，即平台级网络管理软 件 nms（本文讨论的是第三方的通用网管软件）和网元级（设备）管理软件 ems 两大类。 企业首先面临的问题是根据自己目前的情况制定方案：是选择网元级网管 软件还是平台级通用网管软件，或者两者同时使用。 网元级管理软件只管理单独的网元（网络设备） ，优点是能够深入管理到设 备部件，例如背板状况等具体细节。平台级产品管理更全面，功能更多。例如， 能进行复杂的事件关联，满足对设备甚至整个网络性能的实时临控，可以进行 设备内部的温度报警、资源利用率报警，并通过预先设置的阈值来控制。平台 级通用网络管理软件的管理目标是提高一个大型网络的整体可用性。 异构网络环境下，规模小、设备不多的企业可考虑通过网元级的网管软件 来构建网管方案。如果企业网络规模大，平台级的网络管理软件是首选，但前 提是企业有足够的财务预算，因为平台级产品与网元级产品的价格差异至少有 两个数量级，在某些情况下，采购网络设备还会得到免费的网元级网管软件。 所以，在使用平台级网管软件前，企业应该积累熟练的网管软件使用经验，免 得一上手就使用功能繁多，而且对客户化要求较高的平台级软件，效果反而不 10 佳。 网络规模大的企业可以单独使用平台级网管软件，条件是所用的网络设备 完全能够被网管软件识别和管理，同时必须十分清楚网管的详细需求。通常， 平台级网管软件可以提供一个第三方的网管平台，支持对所有 snmp（简单网 络管理协议）设备的发现和监控，支持 mib和 mib。并能导入非标准设备 的私有 mib（管理信息库） ，从而实现对多厂商设备进行识别和统一的管理。 但对于一些国内的网络设备厂商而言，他们的产品可能没有被加入平台级网管 软件的 mib 中，因而不能被管理，这种情况值得注意。解决办法之一是联系该 网络厂商，让其提供相应的 mib，与平台级网管软件进行集成。 网管集成 在网络规模大的企业中，另外一个选择是以平台级网管软件为主、网元级 网管软件为辅来构建网管平台，其中最具挑战的是对两种级别的网管软件所进 行的集成。 前面曾经提到平台级和网元级网管软件的特点，两者互有长短，如果能联 合使用可以兼顾多种应用。例如，如果企业想直接控制设备的背板或其他设备 部件，必须要用到网元级网管软件，但这在平台级网管软件中做不到，就需要 对两种软件进行集成。 所以，以平台级为主、网元级为辅来构建网管平台需要对企业内的网络应 用进行分析调查，如果对设备级的故障管理和配置管理有非常高的要求，可以 考虑使用相关设备的网元级产品，将其集成到平台级网管软件中来。因为平台 级和网元级软件的某些功能是重复或相似的，这就需要企业的网管部门有一个 整体的分析，确定哪些功能需要网元级软件为主，哪些功能以平台级软件为主， 最后形成最佳的产品功能配置、分工协作。 当然，网管集成需要大量的二次开发工作，会给用户造成相当的投入，也 对其技术力量提出很高的要求，需要量力而行。 目前，国内的网管软件代理商和技术支持厂商很多，但在集成网元级与平 台级网管软件领域却非常薄弱。这种细分领域的状态会给目前的用户带来困扰， 对服务供应商而言又是一个大好的商机。 规划不可少 多种网络设备的异构环境会增加系统的复杂性，但其中也有化繁为简的方 法，网络规划的目的之一就是让网管有章可循，早在规划阶段就考虑到网管的 问题将减少日后的麻烦。 网络规划可以根据企业内部的不同网络应用区域来采购网络设备，例如， 办公网使用一种设备，业务网使用另一种设备，这样一来虽然是异构网络，但 条块清晰，降低了网管的复杂性。此外，还可以根据地点和功能的不同来采购 11 不同的网络设备。网络规划的原则之一就是减少异构网络设备的互连点，做到 多设备的有序管理。从理论上讲，异构设备之间的互通并不会降低效率，但在 实际环境中可能产生其他问题。例如，两台不同厂商的网络设备之间的链路可 能在网管软件拓扑自动发现时无法显示；交换机、路由器等网络设备端口互连 时，如果采用自适应模式连接有时也会出现互连故障。 流程管理的理想境界 目前，一些业内专家，以及部分网络管理软件厂商、系统管理软件厂商提 出了在网元级、网络级之上网管的更高层次业务级/事件级的网络管理。业 务级网管的提出有其生命力所在，因为网管不是简单的管理设备，而应该从服 务的角度出发，考察它对业务应用的服务水平。业务级网管希望能够结合企业 的具体业务，把应用映射到网络管理的视图上来，实现对业务的支持，但目前 的产品往往还不能真正实现这一目标。可以说，理想境界的网管系统的建设将 需要一个较长的持续优化完善的过程。 对于有心实施业务级网管的企业而言，需要做一个事前功课，那就是分解 业务流程与网管流程，引入流程管理的理念，这远非软件产品能够做到的，客 户化的工作很多，需要从事件管理、配置管理、变更管理、性能管理、安全管 理逐渐上升到网络运维的流程管理，真正实现为业务服务。 表 2-1 不同类型网管软件对比 网元级网管软件平台级网管软件业务级网管软件 适用条件企业的网络规模小，网 络设备不多。 企业网络规模大，预算 资金足，并有一定使用 经验。 企业能够清晰地分解业 务流程和网管流程。 应用特点能够深入管理到设备的 具体部件，但缺乏整体 网管的功能，只能管理 单一设备。 能够进行全面管理和事 件关联，可管理多厂商 网络设备。 把网络应用映射到网管 规图上，符合流程管理 的理念。 12 第三章 需求分析 要实现异构网络平台的搭建，首先应该了解异构网络平台，这样才能令合 理的搭建出新的符合需求的平台。下面就对异构网络平台的存在和操作进行需 求分析。 3.1 异构网络需要解决的主要问题 异构网络平台的搭建主要在于融合两种不同网络协议，使其可以共同存在 的运行。 异构网络融合是下一代网络发展的必然趋势。在异构网络融合架构下，一 个必须要考虑并解决的关键问题是：如何使任何用户在任何时间任何地点都能 获得具有 qos 保证的服务。异构环境下具备 qos 保证的关键技术研究无论是对 于最优化异构网络的资源，还是对于接入网络之间协同工作方式的设计，都是 非常必要的，已成为异构网络融合的一个重要研究方面。 3.2 异构网络应该具备的基本功能 3.2.1 网络平台概述 网络平台在企业内部实现资源高度共享，为生产、办公、管理提供服务； 实现办公自动化，提供总部与分部、分部与分部间通讯的出入口，提供电子函 件、公告牌和办公信息查询等服务，提高工作效率和管理水平；及时、准确、 可靠地收集、处理、存储、传输企业的办公、管理信息，完成与因特网的通讯 和资源共享，实现企业资源和社会资源的有机结合；实现音频数字化资源共享、 集中管理；建立企业网管理应用系统。以顺应时代的发展趋势，充分利用现代 化技术来进一步提高管理质量和办公效率。 3.2.2 网络平台的分析 本方案设计的企业网系统结合企业现有的应用软件即可提供如下功能： 1网络具备性能优越的硬件、软件、信息等资源共享功能，可实现：网络 办公、管理、信息发布、数据库服务等功能； 2提供 intranet 网络服务功能：如网站访问、电子邮件、文件传输、远 程登录、新闻组讨论、电子公告牌、域名服务等。 3提供办公自动化网络平台： a、提供受存取权控制的文件、档案查询服务。 b、提供贵重设备仪器及其它设备信息的管理服务。 c、提供专业资料数据库服务。 13 d、提供各企业专业资料数据库服务。 e、提供企业自己的管理信息系统（mis） 。 4提供资料的查询与检索服务功能，增强档案信息管理的自动化能力。 5可结合网络、多媒体、智能监控等技术，提供完善的智能服务。 6支持视频会议系统。 7支持交互式多媒体及信息点播（vod）等功能，采用的交换机支持优先 级队列及 ip 组播（igmp） ，服务质量（qos）可有效防止视频会议及 ip 电话时 的抖动延迟。 8支持标准 radius 协议，同时提供 radius+功能；支持 tacas+协议；保 证对用户的精确认证。支持 ssh v1/2。基于最长匹配的路由方式，保证所有报 文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生 的防御能力。 9系统采用 vlan 技术隔离广播风暴，提高网络性能。同时通过 vlan 限制 外来用户对企业网的访问，甚至能锁定某台设备的 mac 地址，因此能确保网络 的安全性。 14 第四章 异构网络的总体设计 4.1 背景 4.1.1 概述 在企业的信息化建设中，基础是网络，离开了网络，企业的智能化建设只 能纸上谈兵。而网络的建设又与应用密不可分，网络必须结合应用的需求及特 点，确保应用的顺利开展，为应用提供可靠的、安全的、智能化的传输通路。 根据企业的规划和设计规模，在原有的网络基础上改造升级，在设计该企 业的网络信息系统时，使所设计的网络系统具有技术先进、高效快捷、安全可 靠、易于维护、方便升级等特点。 4.1.2 网络现状 原有网络已经建起一定规模；随着发展需要，企业网络需覆盖新的地段， 现有的网络已经无法满足环境的需要。 cisco3550 现有网络 图 4-1 原有企业网络拓扑图 企业信息化网络平台建设起步较早。目前的现状总结为如下几个方面： 1全网同处于一个广播域中，对全网的安全性存在很大的隐患。 2网络内的核心交换机为一台 cisco3550 交换机，设备老化严重。 3全网无核心层，汇聚层，接入层之分，故障的排错存在很大的因难。 4全网没有做任何安全的措施，包括防 arp 等病毒的设置 5接入层的交换机是二层不可网管的交换机，不能划分 vlan，无法对接 入用户进行管理。 15 6网内所有 pc 的 ip 地址均属于同一个网段，后期无法扩展。 4.1.3 建设目标 通过建设一个高速、安全、可靠、可扩充的网络系统，实现企业信息的高 度共享、传递，及管理信息化，领导能及时、全面、准确地掌握企业的科研、 生产、管理、财务、人事等各方面情况，建立出口信道，实现与 internet 互联， 实现领导和职员远程 vpn 的安全接入，进行移动办公和资料查询。 所以采用 h3c 的网络设备代替原有 cisco 的网络设备，达到设计目的。 4.2 网络设计 4.2.1 设计原则 办公网建设应该遵循以下原则： 简单易用性： 由于企业的人员组成复杂，员工素质差异较大，所以设计的方案必须简单， 易于操作，使各种层次的员工都能逐步熟悉，在使用过程中再对各种功能进行 完善。 可扩展性： 由于企业受市场的影响较大，会出现经常性的人员调整和机构调整，因此 办公网必须易于修改和扩充。但这个功能必须由网络管理员根据单位授权来完 成。 能有效解决移动办公： 企业人员出差频繁，甚至一些部门常驻外地。很多事情需要立即办理，办 公网应该尽量保证每个人能够随时随地进行办公。使用户可以通过互联网安全 受控的进入办公网进行日常办公。 友好的界面设置： 现在的技术能够很好地实现界面设置。能通过图形管理软件对系统进行管 理和设置。 关于系统的安全性： 系统中必须采用鉴权技术，对使用者身份进行确认。对用户进行分组，制 定详尽的分组策略，做到那些资源允许那些组访问的明确，对超级用户比如领 导的授权，对外来人员也就是我们常说的访客都要严格加于区别。3 4.2.2 网络设计方案 基于企业目前现状考虑，网络采用二层结构核心层、接入层，采用双核心 交换机 s75010e 相互备份冗余、双网络主干链路冗余、服务器群防护、网络地 址重新规划、网络设备与用户智能管理的方式，实施高可用性、高可扩展性和 16 高可靠性、易管理的网络平台。 图 4-2 改造升级后企业网络拓扑图 4.3 核心网络升级 核心网络升级包括部署华为-3com 特有的 irf 智能弹性架构，结合网络三 层分层体系（核心层、汇聚层、接入层） ，实现双核心交换机冗余、核心交换机 主部件冗余、网络主干链路冗余、服务器群防护、网络地址重新规划。 4.3.1 网络核心层 建议使用 2 台 h3c s7510e 高性能交换机采用 vrrp 协议构成双核心冗余， h3c s7500e 系列产品是杭州华三通信技术有限公司（以下简称 h3c 公司）面 向融合业务网络推出的新一代高端多业务路由交换机，该产品基于 h3c 自主知 识产权的 comware v5 操作系统，融合了 mpls、ipv6、网络安全、无线、无 源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技 术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了 客户的总拥有成本（tco） 。h3c s7500e 符合“限制电子设备有害物质标准 （rohs） ” ，是绿色环保的路由交换机。 s7510e 基于 h3c 公司自适应安全网络的技术理念，在提供稳定、可靠、安 全的高性能 l2/l3 层交换服务基础上，进一步提供了业务流分析、基于策略的 qos、可控组播等智能的业务优化手段，从而为企业 it 系统构建面向业务的网 络平台，实现通信整合，数据整合奠定了基础。 17 h3c s7500e 系列交换机支持无源背板，支持双路电源供电，支持引擎、电 源、风扇的冗余，支持单板热插拔，并可以支持 stp/rstp/mstp/vrrp 等协 议实现链路冗余，实现可靠的核心服务；2 台位于网络中心的核心交换机通过 千兆链路分别与位于新老厂区办公楼配线间的接入交换机 h3c s3600 连接，构 成网络千兆光纤主干双冗余，以消除主干单链路故障，从物理链路级别上实现 千兆主干链路的冗余互备。 4.3.2 网络接入层设计 接入层将采用新增加的 h3c s3600 交换机，实现全面的接入控制， h3c s3600 交换机与 imc 组合实现接入认证，用户如果不进行认证，将无法接入网 内受保护的资源，同时也无法实现网络资源共享以及数据传输。 4.4 智能网络管理 h3c 公司的 imc 智能网络管理系统，采用组件化、模块化设计，随着业务、 设备、用户的扩展，添加需要的组件，能很好适应集团对网络管理不断丰富需 要。 imc 智能管理平台，是在统一了设备资源和用户资源管理的平台框架的基础上， 实现的基础业务管理平台，包括 imc 基本资源管理部分、imc 基础网络管理和 imc 用户接入管理。 图 4-3 h3c imc 解决方案架构 4.4.1 imc 网络设备管理 imc 基础网络管理，涵盖了传统网管的主要功能，包括告警管理、性能管 理、拓扑管理等。丰富、实用的网络视图，多样化的网络拓扑，智能的告警显 示、过滤和关联，直观的状态监控，性能管理，用户管理与网络拓扑管理相融 合具备丰富的视图功能，使得管理员可以从多个角度观测和管理网络。 18 1通过 ip 视图，用户可以观测网络的逻辑结构和物理结构。 2设备视图，使得用户对网络中设备类型和数量一目了然。 3自定义视图，使用户可以按照任何希望的方式构造客户化的网络拓扑。 并提供直观简便的预览功能，集中监控用户关心的重点设备和接口的状态。 图 4-4 imc 网络管理视图 多样化的网络拓扑 拓扑更加美观清晰，能够实时显示当前视图的拓扑状态。通过在拓扑上浮 动显示设备、链路的基本信息和 cpu、链路流量等性能信息，管理员可以在拓 扑界面中方便的对网络中的设备以及相关链路进行监视，拓扑上提供了常用的 ping、telnet、tracert、打开设备 web 网管和管理/不管理设备等常用操作和相 关链接，拓扑可以作为管理员管理网络的唯一入口。 1提供完整的 ip 拓扑、二层拓扑、邻居拓扑，能够显示接入设备上的接入 情况。 19 图 4-5 imc 管理软件 ip 拓扑图 2用户可以根据实际组网情况，定义自己关注的网络拓扑。 3在安装了其他组件的情况下，拓扑会增加相应的业务拓扑和操作链接， 以满足不同业务的需求。 4智能的告警显示、过滤和关联 5提供丰富的声光告警，还可以针对不同的告警定义不同操作提 示以及 维护参考等； 6汇总显示发生故障的设备， 方便管理员日常维护工作展。提供重复告 警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤，可以 有效压缩海量网络告警，使得管理员直接关注真正的网络故障。 7在安装其他组件的情况下，还提供基本告警和业务告警的关联， 8在基本告警发生后，系统进行关联分析，自动产生业务告警。管理员即 可根据基本告警从而迅速定位问题，缩短平均修复时间。又可根据业务告警， 分析出受影响的业务，为网络的现状评估和优化提供数据基础。 直观的状态监控 与传统的网管告警和拓扑状态互相分离做法不同，使用显著的颜色把故障 状态直观的反映在拓扑中的设备和链路图标上，用户仅需要查看拓扑，即可知 道网络的整体运行状态。 性能管理 1提供了对系统所管理的各种设备性能参数的公共监视功能，比如内存利 用率、cpu 利用率、设备不可达率、设备响应时间和接口性能数据等。 2可对每一个性能指标设置二级阈值，发送不同级别的告警。用户可以根 据告警信息直接了解到设备某指标的性能情况，有助于用户随时了解网络的运 20 行状态，预防网络故障，预测网络发展趋势，合理优化网络。 3通过历史监控报表和 topn 报表管理员可以快速得到网络中需要关注的 设备的详细信息，通过报表的导出和打印功能，管理员能够迅速将网络状况汇 总数据上报给各级领导，为网络的决策提供有利的支撑。 图 4-6 网络设备的详细信息 用户管理与网络拓扑管理相融合在拓扑上可以直观的操作接入设备、接入 终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查 等。使终端用户的管理更加直观清晰。 21 图 4-7 用户管理功能 用户管理与网络设备管理相融合，用户管理操作更加简单 1接入设备列表中可以直接看到用户相关信息，在使得操作简单方便的基 础上，又提高了操作员日常维护的效率： 图 4-8 用户相关信息 2可针对选定的接入设备进行用户操作，比如，针对某个接入设备，将其 所挂的用户全部下线处理等； 3可以在在线用户列表中通过点击接入设备，直接查看当前在线用户所对 应的接入设备的详细信息，比如，对应的基本信息、告警、性能状况等。该功 能使得操作更友好，全面提升操作员的操作体验。 22 图 4-9 在线用户的设备信息 4.4.2 imc 用户接入管理 imc 基本接入管理，主要管理用户的接入准入和控制。支持多种接入及认 证方式，严格的权限控制手段，详尽的用户监控，集中方便的用户管理，为接 入设备提供查询设备明细信息的链接，接入设备管理与拓扑管理的融合。 支持多种接入及认证方式，适合多种接入组网场景及应用场景： 1支持 802.1x、无线接入等多种认证接入方式； 2支持用户与设备 ip 地址、接入端口、vlan、用户 ip 地址和 mac 地 址等硬件信息的绑定认证，增强用户认证的安全性，防止账号盗用和非法接入； 3支持与 windows 域管理器、第三方邮件系统（必须支持 ldap 协议） 的统一认证，避免用户记忆多个用户名和密码。 4支持端点准入防御（ead）解决方案，确保所有接入网络的用户终端符 合企业的安全策略。 严格的权限控制手段，强化用户接入控制管理： 1用户权限控制策略，可以为不同用户定制不同网络访问权限； 2禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度 占用； 3可限制用户 ip 地址分配策略，防止 ip 地址盗用和冲突； 4可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上 网； 5可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露； 6可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客 户端的安全性； 23 图 4-10 客户端安全设置 详尽的用户监控，强化对终端用户的监视控制： 1接入业务组件提供强大的“黑名单”管理，可以将恶意猜测密码的用户 加入黑名单，并可按 mac、ip 地址跟踪非法行为的来源； 2管理员可以实时监控在线用户，强制非法用户下线； 3支持消息下发，管理员可以向上网用户发布通知消息，如“系统升级， 网络将在 10 分中后切断” 、 “您的密码遭恶意试探，请注意保护密码安全”等； 4imc 接入业务组件记录认证失败日志，便于方便定位用户无法认证通过 的原因； 集中方便的接入业务用户管理，简化管理员维护操作 1基于服务的用户分类管理，用户的认证绑定策略、安全策略、访问权限 均封装于服务中，简化管理员的操作，保证网络管理模式的统一； 2接入用户相关的管理动作集中化，界面对操作员来说更友好、更美观易 用。 24 图 4-11 接入用户管理 为接入设备提供查询设备明细信息的链接，操作简便： 可以通过简单的鼠标点击即可看到接入设备的详细信息，比如，对应的基 本信息、告警、性能状况等； 接入设备管理与拓扑管理的融合，使得设备管理更简单，管理更方便； 拓扑中可以清晰的显示出接入设备，并能查看接入设备相关信息，并可以 通过很简单的鼠标点击方式，将此接入设备设置为非接入设备。 图 4-12 接入设备设置 25 4.4.3 ead 端点准入控制 选择华为 3com 交换机完全支持 802.1x 协议，802.1x 与认证服务器 imc 一起，防止非法用户和设备接入网络，防止不符合安全策略的用户对网络产生 威胁，例如恶意接入点、病毒库未及时升级、操作系统未打补丁等。当用户的 信息通过认证服务器身份验证及网络准入控制，满足防病毒服务器、补丁服务 的检查后，用户获得网络访问许可,根据分组访问权限，用户就可以访问指定的 业务服务器 vpn 通道、互连网等，通过 ead 系统可以防范网络病毒传播，确 保服务器及企业数据安全。 1、原理 ead 解决方案提供企业网络安全管理的平台，通过整合孤立的单点防御系 统，加强对用户的集中管理，统一实施企业网络安全策略，提高网络终端的主 动抵抗能力。其基本原理图如下： 图 4-13 ead 网络安全策略演示 ead 基本原理 ead 系统由四部分组成，具体包括安全策略服