网络安全项目网络建设方案.doc

广发证券网络安全项目网络部分建设方案书20025目 录1简介32网络安全项目网络部分技术要求及说明33设计总体考虑34网络设计原则45解决方案65.1网络解决方案描述65.2广东数据中心的设计75.3分公司（区域中心）网络系统85.4OA总部设计95.5独立营业部设计105.6广域网络的备份105.7IP 语音115.7.1IP语音工作原理115.7.2语音接点的布设及PBX的选择115.7.3带宽要求115.7.4对PBX的要求115.8系统管理125.8.1CISCO 网络设备的管理125.8.2策略的管理125.8.3IP VOICE管理125.8.4CA网管平台136性能分析186.1先进性186.2安全性206.3保证服务质量206.4可扩展性236.5便于向新的技术发展236.6采用工业标准化技术，具有好的互联特性237实施方案247.1技术细节247.1.1IP 地址规划247.1.2路由协议的选择267.1.3IP语音技术细节317.1.4信息流策略-实现QoS368产品简介448.1Cisco 7500系列路由器448.2Cisco 3600 路由器508.4NSM 高级网络模块介绍53广发证券网络安全项目网络部分建设方案书1 简介本方案书是按照广发证券网络安全项目招标文件网络部分简要技术说明、广发证券的现状和实际需求而设计的解决方案。2 网络安全项目网络部分技术要求及说明网络安全项目网络部分综合业务信息平台的建设以广东计算中心和全国12家分公司，87个营业部的广域网连接为主，其中广州、上海等12家分公司作为区域中心供本地营业部的接入，同时考虑建立IP语音的测试平台，为将来在企业范围内的IP语音和视频应用的推广打好基础。需求：广域网络结构整体性规划和设计，包括整体网络拓扑结构的建议，路由算法的选择和优化等工作。网络性能分析和改进建议，包括对广域网和局域网的流量分析和统计，对网络传输性能的优化改进建议。网络管理方案设计和实施，包括对局域网和广域网的网络管理和监控方案的设计和实施。网络重大故障的技术支持策略。3 设计总体考虑当今网络的发展正远远超出了单纯追求基本连通的历史阶段。我们在网络连通基础上需要更高要求的网络服务内容，包括QoS网络服务质量，Security安全性服务，Reliability高可靠性，Scalability可扩展性等增值服务。如图所示Cisco所建议的网络方案总体结构基于三层模型：即网络硬件的互连环境层，网络软件的增值服务层及多层次网络管理层。其中网络硬件互连环境主要指传统意义上的网络互连设备，包括交换机，路由器，拨号访问服务器等设备环境。Cisco公司建议采用端到端的网络方案，即采用主要有一家公司的包括交换机，路由器，拨号访问服务器软硬件产品。因为只有这样才能真正实现端到端的网络性能，端到端的网络安全性，端到端的服务质量以及端到端的网络管理，从而在节省开销的同时，大大提高网络的经济效益。广发证券在综合业务信息平台的总体设计思想和第一期建设正是体现了上述思想。4 网络设计原则先进性作为广发证券的新一代信息系统的承载网络，网络系统处理的信息量是十分庞大的，要求计算机网络有很高的工作效率。而且随着业务的快速发展，系统面临的任务也愈来愈艰巨，所以，我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证处理数据的高效率，技术上的先进性将保证系统工作的灵活性，技术上的先进性将保证网络的可靠性，技术上的先进性也使系统的扩充和维护变得十分简单。我们将在网络构架，硬件设备，传输速率，协议选择，安全控制和虚拟网划分等各个方面充分体现广发证券的宽带广域网网络系统的先进性。可靠性 在广发证券的宽带广域网网络设计中，很重要的一点就是网络的可靠性，即坚固性。在外界环境或内部条件发生突变时，怎样使系统保持正常工作，或者在尽量短的时间内恢复正常工作，在设计时对可靠性的考虑，可以充分减少或消除因意外或事故造成的损失。安全性随着计算机技术的发展，尤其是网络和网络间互联的规模的扩大，信息和网络的安全性日益受到重视。面临十分严肃的安全性挑战。我们在网络设计时，将通过访问控制列表、防火墙、IP隧道等技术来保证广发证券的宽带广域网网络系统的安全。标准化从发展的眼光看，计算机信息系统就是要实现信息的共享，完成不同制造厂商的设备和计算机软、硬件资源的数据交换。为此必须建立一个由开放式、标准化的网络结构体系，满足当前可实现的技术，又能适应今后新技术的引进、开发和推广。我们建议采用的Cisco 系列产品是目前业界支持协议最多、接口介质最广泛的网络产品。可管理性和可维护性网络设计中，对网络主干的有效管理也是必须考虑的主要因素。一个有效的网络管理方案不仅要包括建立各级网管中心的设备及软件，而且要包括配置各种设备的必要顾问服务。尤为重要的是，要能帮助用户制定网管策略和网管中心运作机制。在网络投入运行初期，提供现场顾问服务也是必须的。在满足上述多项原则的基础上，尽可能降低工程造价，追求最优的性能/价格比。当然，高性能与高可靠性是以高投入为代价的。最终的方案一定是性能与价格折中的产物。可扩展性随着广发证券的各项业务的快速发展，网络系统面临的任务将愈来愈艰巨，愈来愈复杂。为了适应这个变化和日新月异的计算机技术的发展，我们设计的网络十分注重扩充性。无论是网络硬件还是系统软件，都可以方便的扩充和升级，关键设备的扩充和升级时，系统将无需中断正常的工作。上述系统设计的原则将自始自终贯穿整个系统的设计和实现。5 解决方案5.1 网络解决方案描述根据以上网络设计原则，我们对广发证券的宽带广域网部分作如下设计：由上图可见，广发证券的宽带广域网中心位于计算中心，与总部OA中心、Internet等外联系统连接；同时提供区域中心、广东地区营业部等接入。上海、北京等12家分公司作为区域中心供本地营业部的接入；同时，上海、北京等12家区域中心以及广东地区除分中心管理外的其他营业部(直接连接到信息中心)接入。整个系统构成了广发证券的综合信息平台，目前主要为广发证券提供交易、办公提供数据应用的支持，同时提供IP语音平台，为将来在企业范围内的IP语音和视频应用的推广打好基础。系统中的所有区域中心及营业部，主链路均采用中国电信的DDN,按照上述描述连接；首选的备份链路均采用ISDN/PST；第二份备份链路采用现有的卫星系统保持不变。安全问题详见安全解决方案。5.2 广东数据中心的设计信息中心是广发证券宽带广域网的数据中心和通讯中心，采用一台Cisco 7507高端路由器作为主干广域网路由器，与中国电信的长途干线网连接，在本期工程中，与区域中心合OA总部的连接采用1Mbps的DDN链路，与营业部的连接采用256Kbps的DDN链路（建议）。另采用一台Cisco 3662多功能路由器作为PSTN/ISDN访问服务器，提供备份接入，它可以自动识别模拟信号和数字信号，调配相应的模拟modem或数字modem与之握手；同时Cisco 3662路由器还起着VoIP语音网关的作用，通过1个E1模块与上海本地的PBX相连接，提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙，互为热备份，完成安全防卫任务，同时提供IPSec的VPN隧道技术的支持。信息中心的局域网采用原有Cisco Catalyst 6509 Switch不变，实现与各地网络之间的高速数据交换。对于在数据中心的外联系统包括Internet和银行等均包含在统一的接入中心交换平台上，使用高端防火墙作安全隔离，接入中心交易平台使用三层交换技术和网络地址翻译技术来确保连接各个不同的单位。5.3 分公司（区域中心）网络系统分公司是区域数据中心和通讯中心，采用一台Cisco 3662高端路由器作为主干广域网路由器，与数据中心7506主干路由器经DDN连接，同时提供下属营业部主链路接入；另采用一台Cisco 3662多功能路由器作为PSTN/ISDN访问服务器，提供与数据中心备份连接，同时提供下属营业部备份链路接入；同时Cisco 3662路由器还起着VoIP语音网关的作用，通过FXO端口与本地PBX相连接，提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙，互为热备份，完成安全防卫任务，同时提供IPSec的VPN隧道技术的支持。5.4 OA总部设计OA总部是OA等业务系统中心，采用一台Cisco 3662高端路由器作为主干广域网路由器，与数据中心7506主干路由器经DDN连接；另采用一台Cisco 3662多功能路由器作为PSTN/ISDN访问服务器，提供与数据中心备份连接；同时Cisco 3662路由器还起着VoIP语音网关的作用，通过FXO端口与本地PBX相连接，提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙，互为热备份，完成安全防卫任务，同时提供IPSec的VPN隧道技术的支持。5.5 独立营业部设计其他地区的营业部目前在第一期工程时先采用一台Cisco 2651多功能路由器通过1条256Kbps的DDN长途链路与信息中心或区域中心主路由器相连接，通过ISDN/PSTN进行主链路的备份。在广域网路由器与内部局域网之间采用一台防火墙，在完成安全防卫任务。目前这些营业部包括北京、上海、广东地区等，共87个。5.6 广域网络的备份在数据中心配置了一台多功能Cisco 3660路由器作为VoIP语音网关和ISDN/PSTN备份连接网络接入服务器，可同时容纳30条普通MODEM或数字MODEM进行备份连接，满足广发证券总的备份 能力的需求。同时还可兼作移动用户的接入访问控制服务器。另外，我们建议采用原有的卫星线路作为第二条备份链路。5.7 IP 语音5.7.1 IP语音工作原理5.7.2 语音接点的布设及PBX的选择针对IP语音的建立，在上海数据中心的3662路由器上增加一个E1端口的语音模块，用于连接PBX；信息中心的PBX推荐采用数字交换系统，采用该交换机还可为将来的IP Call Center打下基础。在区域中心和OA总部的3662则使用8线FXO的两个语音模块连接本地的PBX；可建立VoIP的平台，作广发证券全面实施IP 语音准备。5.7.3 带宽要求 一路语音在传统的TDM电讯系统中传输需占用64K带宽，而利用新的IP技术可将其压缩至1012K。当广域网线路的利用率超过70%的时候，网络性能将会呈线性下降。所以，为保障网络的质量，8路并发语音所需要带宽为：|8K*10/70%|=114K。5.7.4 对PBX的要求 采用本方案需要总部的PBX 支持E1接入。若不支持则根据具体情况需要更改为路由器的语音接口为E&M或FX0接口。5.8 系统管理页：13加入策略管理、IP VOICE 管理5.8.1 CISCO 网络设备的管理在广发证券的语音网络中我们配置了CiscoWorks2000 LAN Management和CiscoWorks2000 Routed WAN Management，为广发证券提供配置、管理、监控和故障诊断工具。其具有基于 Web 的解决方案带有管理交换和路由环境的应用。5.8.2 策略的管理在广发证券的语音网络中我们配置了CiscoWorks2000 Cisco Secure Policy Manager，是一个用于 Cisco 防火墙和虚拟专网(VPN)网关的可伸缩、强大的安全政策管理系统。通过 Cisco Secure Policy Manager，Cisco 客户可以集中定义、分发、执行和审计网络范围的安全政策。该产品使管理复杂网络安全部件的任务流程化，例如周边访问控制、网络地址转换(NAT)和基于 IPSec 的 VPN。通过 Cisco Secure Policy Manager的图形用户界面，管理员可以直观地为多个 Cisco 防火墙和 VPN 网关定义高级安全政策。在创建时，这些政策可以集中分发，从而消除了逐设备实施安全命令的代价高昂、耗费时间的实践。此外，该产品还提供系统审计功能，包括事件通知和一个基于 Web 的报告系统。作为 Cisco 端到端安全产品线的管理基础，Cisco Secure Policy Manager 在 Cisco 网络内简化了安全产品和服务的部署。同时系统还配置了Cisco QoS Policy Manager ，它是一个全特性的政策系统，它简化了为企业网络配置和部署 QoS 政策的复杂性。5.8.3 IP VOICE管理在广发证券的语音网络中我们配置了CiscoWorks2000 Voice Manager 2.0 (CVM)， CVM提供了基于Web的语音管理和报告的解决方案。它具备了配置语音端口以及建立/更改Voice Over IP网络中的拨号计划的能力。它能自动检测网络状况，包含有检测网络故障的工具以及通话的详细资料，如通话质量、历史数据等。Cisco Voice Manager是通过TCP/IP网络与VoIP的设备建立联系。即用户使用通常的web浏览器（Netscape、IE）通过标准的超文本协议（HTTP）与Cisco Voice Manager Server进行通讯。同时，Cisco Voice Manager Server则通过简单网络管理协议（SNMP）与支持语音的设备进行通讯。因此也就实现了用户通过WEB浏览器来管理VoIP网的功能。5.8.4 CA网管平台 系统运行状况和可用性管理概念和范围系统运行状况和可用性监控是确保整个IT系统顺利、高效运作的最基本的功能，他通过监控网络线路、设备、服务器、数据库和应用系统的可用性和运行状况，为其他各种ESM管理功能提供数据来源。我们建议首期广发证券网络系统运行状况和可用性管理的范围是：广发证券网络系统数据中心局域网络/设备管理广发证券网络系统广域网线路/设备管理广发证券网络系统中心关键服务器操作系统广发证券网络系统关键数据库系统（如SQL）对这些对象进行性能管理的目标是实时监控其关键参数的运行状态和故障情况，通过直观简洁的图形用户界面集中表现出来。发生不同严重程度的警告和故障，以直观的发生呈现给管理员，以便及时处理。实现方案为了在上述范围内实现集中的可用性和故障管理，我们建议在网络中心采用一台PC服务器，通过Unicenter的相关管理模块完成可用性和故障管理功能。另外，对操作系统、数据库和应用系统的管理需要这些服务器的参与-在这些计算机上部署CA相关管理软件。我们建议的广发证券网络系统运行状况、可用性和故障管理由如下不同部分组成：Unicenter NSM，负责收集管理范围内所有的网络线路、设备、服务器、数据库系统的运行状况、可用性和故障信息，通过直观用户界面实时展示给客户。广发证券网络系统各个被管理服务器上的NSM模块负责监视本机操作系统，收集可用性和故障数据，通过管理主控台集中反映。监控内容包括网络设备处理器、缓冲区、端口、线路故障和可用性，操作系统CPU、内存、交换区、文件系统、文件、磁盘、进程、日志文件等。Unicenter NSM Advanced Network Operations，该模块安装在管理主控台上，负责对不同网络设备、资源的特性进行进一步监控和管理。如监控、控制局域网VLAN划分、监控网络路径可用性、基于PVC监控帧中继线路可用性和故障等等本方案建议的系统管理功能从各种不同的来源采集数据：广域网络内的各地分公司安装一套Unicenter NSM，负责采集本网络内的有关系统信息，同时受信息中心的Unicenter NSM Console统一管理；网络线路和设备可用性和故障管理通过SNMP协议，采集网络设备的MIB II以及设备专用的MIB信息库完成；同时通过ICMP协议定期Ping各个节点，探测设备可用性；系统、数据库和应用系统故障和可用性管理由安装在被管机上的模块监视系统，收集数据。利用Unicenter的Agent技术透过SNMP向管理主控台传递数据。 性能管理和容量规划概念和范围性能管理主要是针对IT系统中网络线路和设备、操作系统和数据库系统的性能情况进行监控和分析的。与系统可用性和故障不同，系统性能降低虽然不会立刻导致系统瘫痪，但延长了业务的响应时间，浪费了系统软件的投资和业务人员的时间，降低了工作效率。如果系统性能问题长时间得不到解决，还可能积累起来，形成严重的故障。因此，系统性能管理也是确保整个IT系统可靠、稳定、高效运作的关键，是网络正常运行的重要的部分之一。为了实现有效的性能管理策略，广发证券网络系统的技术支持人员应该从两个基本方面进行工作：日常系统性能监控，发现和处理各种性能问题；定期进行长期的性能趋势分析和规划。对这些对象进行性能管理的目标是为每一项性能参数设置门限值，产生实时和历史的性能报表，性能指标超过门限值时产生报警并通知事件管理功能(实现自动响应动作和通过帮助台的人工响应)。该目标也包括端到端的响应时间监控。对性能管理的高级目标是通过性能管理功能提供的专家建议和性能优化工具，帮助管理员更快、更正确地进行性能调整。实现方案为了在上述范围内实现集中的性能管理和容量规划功能，我们建议在中心采用两台PC服务器，通过Unicenter的相关性能管理模块完成性能管理功能。使用两台服务器做事件管理是为了增加冗余度，提高系统可用性和可靠性。建议该服务器与系统运行状况和可用性管理共享硬件设备。另外，对操作系统、数据库和应用系统的性能管理需要这些服务器的参与-在这些计算机上部署CA性能管理软件。我们建议的广发证券网络系统性能管理由以下不同部分组成：Unicenter Performance Management，负责收集管理范围内所有的网络线路和设备的性能数据，集中保存、汇总这些数据，生成实时和历史性能报告，检测和记录性能问题，并通过事件管理功能自动响应，通过帮助台系统人工响应；本方案建议的性能管理功能从各种不同的来源采集数据：网络线路和设备性能管理通过SNMP协议，采集网络设备的MIB II、RMON V1、RMON V2以及设备专用的MIB信息库完成；系统和数据库性能管理由安装在被管机上的模块收集数据，进行性能调整。他们之间通过CA通用服务CAFT数据传送机制传输数据，采集的数据包括CPU Utilization、Disk Info、File Access info、Buffer Activity、System Call Statistics、Memory Freeing Activity、Message & Semaphore Activity、Paging Activity、Queue length、Memory Usage、Swapping Activity、Terminal Activity、Total Logged in Users、File store usage、Process information等等 角色和责任广发证券网络系统ESM性能管理功能主要有三种业务人员：技术支持、日常操作和管理。技术支持人员负责性能管理策略的制定和实施过程；日常操作人员通过性能管理工具进行日常的性能监控、和性能问题处理；管理人员通过性能分析报表完成性能趋势分析和容量规划。技术支持人员定制性能管理策略并通过性能管理软件部署这些策略，操作人员监视日常性能状况，出现性能问题后调用自动处理过程进行调整，或者通过事件管理或帮助台系统通知技术支持人员，技术支持人员人工优化解决性能问题。历史性能报表提交管理人员，作为趋势分析和容量规划的依据。 业务流程性能问题处理流程 该流程定义日常工作中性能参数超过定义的门限值时采取的步骤和动作。性能管理软件监测到性能超过定义门限，把问题自动报告到事件管理。事件管理根据问题性质在三种处理方式中选择：执行预定义的调整和修复动作通知技术支持人员手工处理自动在帮助台系统生成问题定义，由帮助台系统分派、跟踪问题的处理。日常操作流程 该流程定义操作人员日常对网络、系统和应用性能管理的监控和处理过程。 性能报表处理流程 该流程定义历史性能报表的产生和处理过程。对网络、性能和应用的性能数据采集器定期把数据上送到管理主控台，管理主控台自动存储汇总这些数据。技术支持人员定期生成性能月报，并提交给规划管理人员，管理人员审查性能报报告，进行容量规划。 管理方案前一章按照不同的管理功能和流程描述理CA推荐广发证券网络系统应该部署的功能、范围以及实现方案。本章从软硬件方案的角度描述CA实现这些功能所采取的方案。硬件要求在我们的管理方案中，ESM的管理利用广发证券网络系统现有的网络设施实现ESM相关功能，同时需要增加下列服务器资源：(1)网络系统主控台一台（位于广域网中心）建议采用高档PC服务器作为系统管理机，分别担任不同管理功能的服务器和主控台。oIntel Pentium III 666 MHz or highero1024 MB RAMoEthernet NICoColor 1024x768 SVGAoCD-ROM driveoMinimum 40GB SCSI hard diskoWindows NT Server 4.0 with Service Pack 4 or windows2000 serveroMS-SQL Server v6.5 or higheroMicrosoft ExceloMicrosoft Internet Information Server 4.0oTCP/IP connectivityoSNMP service enabled（2）各地分公司建议采用高档的PC机做本地管理中心oIntel Pentium II 266MHz MMX minimum or highero256 MB RAMoEthernet NICoColor 1024x768 SVGAoCD-ROM driveoMinimum 20GB hard diskoWindows NT Server 4.0 with Service Pack 4 or windows2000 serveroMS-SQL Server v6.5 or higheroMicrosoft ExceloMicrosoft Internet Information Server 4.0oTCP/IP connectivityoSNMP service enabled（2）各营业部建议采用废弃的PC机做本地信息收集机软件配置1）主控台上部署如下产品，完成系统运行状况和可用性管理、性能管理和容量规划、事件管理功能。Unicenter NSM，网络、服务器、数据库的运行状况、可用性和故障管理模块；并结合安装在各分公司的子模块和客户端上的Agent统一进行日志管理和事件管理。Unicenter Advanced Network Operations，该模块安装在管理主控台上，负责对不同网络设备、资源的特性进行进一步监控和管理。如监控、控制局域网VLAN划分、监控网络路径可用性、基于PVC监控帧中继线路可用性和故障等等Unicenter Perofrmance Management，对网络、服务器性能进行管理的模块。2）在各地分公司的本地管理中心上：Unicenter NSM，作为广域网中心的子模块，负责本地分公司和营业部的网络、服务器、数据库的运行状况、可用性和故障管理模块；并结合安装在各客户端上的Agent统一进行日志管理和事件管理。6 性能分析6.1 先进性我们在广发证券宽带广域网系统中所采用的Cisco 7500系列，Cisco 3662系列等都是Cisco公司的高档高性能产品。它们功能强大，性能卓越，提供了高性能，高可靠性，高扩充性和灵活简易的管理功能。传统的网络层交换中，每个数据包要顺序经过多次任务处理，因而会影响网络性能，并且不保留网络的连接状态，如下图所示：NetFlow Switching 旨在优化Cisco IOS网络层的交换性能，NetFlow Switching可以确定互联网中端到端的数据流，仅仅对于数据流中的第一个数据包进行处理，然后基于端到端的连接进行数据包的交换，如下图所示。利用Cisco在其整个产品系列中实现的NetFlow功能，当网络节点大量增加时，我们仍然可以得到高的包吞吐量。NetFlow Switching 旨在优化Cisco IOS网络层的交换性能。IP Mulicast支持大量的多媒体的应用，是指针对特定的用户组传输相同的数据，例如电视会议和MPEG-2标准的视频传播。对于此类多媒体的应用，有一种刚刚起步就已经被广泛采用的技术：多路广播（MultiCast）。和一般的Unicast，Broadcast相比，MultiCast在主干上只传输一份拷贝，大大节省了带宽。对于MultiCast，较成熟的协议有IGMP。但是传统的IGMP只定义到路由器的端口，在交换机构成的网络中仍然以广播方式传输。Cisco在IGMP基础上设计了CGMP，使MultiCast在交换机构成的网络中仍然为MultiCast。对于多媒体应用，一方面可以利用IP的RSVP，千兆以太网的QoS来保证多媒体信息传输的质量，另一方面，可以通过多路广播来减轻骨干网数据的流量。在微软提出Net Show和Net Cast之后，将来网络中必将有大量的多媒体应用，采用一般的网络技术极易产生网络流量的瓶颈，网络会不堪重负，MultiCast的技术的重要性将日益突出。在我们建设的网络中，所有的Cisco的网络设备包括路由器和交换机均支持IP Multicast功能，为视频点播，远程教学和视频会议应用系统的实施铺平了道路，更加提高了带宽的利用率，这一点Cisco远远走在业界的前列。对于不支持多点广播的应用，为了提高质量，可以利用VLAN技术，把需要联系的节点定义成一个虚拟网，在此虚拟网内的数据通信不受外部的影响也不会影响无关节点。Cisco的设备支持RSVP标准，而且可以通过在路由器或交换机内设置不同的优先级队列来满足实时数据对带宽的要求。即使应用是基于UDP或TCP等协议，Cisco的设备也可以通过优先级队列来设置此应用可以得到的服务质量。Cisco产品有比较好的QOS服务质量的保证:对应用数据流设定队列优先级可以通过IP Precedence (IP予留和抢先技术)支持每个流量队列技术per-flow queuing (PFQ)，来保障对延时敏感 的业务；可以针对IP source(原地址)/IP destination(目标地址)-based flows and TCP/UDP port-(端口号)based flows，设定队列优先级； 通过对IP Traffic classification，shaping，保障关键业务的带宽； 通过将资源保留协议(RSVP)映射到Catalyst 6000/4000/2900优先级序列的方法支持为每台台式机设定的服务级别，以保证及时提供时间敏感型内部网应用软件。6.2 安全性从管理和技术角度，通过制定不同的安全策略来实施建设一个性能优越、安全可靠、技术先进、可扩展性好的综合业务网络系统。6.3 保证服务质量服务质量（QoS）介绍企业互联网络已经从提供局域网组之间的简单连接发展到成为企业数据通信基础机构的一个有机组成部分。一般来说，企业的目标是部署和维护一个单一的企业网络，但是他们希望网络支持不同的应用程序、组织、技术和用户期望。因此，网络管理人员需要给所有用户提供一个适当的水准，并继续支持关键任务应用程序，与此同时还得有能力集成新技术。或者，这种挑战可以被描述成为企业网络提供某种级别的集中控制和网络决定性，这种级别更加适应传统的基于主机的企业网络的要求，例如IBM的系统网络体系结构（SNA）。此外，运行一个网络的主要成本在于广域网线路收费，因此网络管理人员必须在带宽和广域网线路的成本以及提供给用户的服务级别之间进行适当的折衷。为了满足这些挑战，管理人员必须在不增加必要成本的情况下，有线排队、保留和管理网络资源，并确保不同技术的集成和迁移。能够改进服务质量的特定IOS特性包括优先权排队、定制排队、策略路由以及加权合理排队。此外，通过资源保留协议（RSVP），网络管理人员还能够支持需要动态但有保障服务级的应用程序。这些特性的简要介绍如下：优先权排队优先权排队确保一个特定协议或流量类型的及时交付，因为该流量总是在其他流量类型前传输。优先权排队的工作方式是将一系列过滤器或访问列表记录用于路由器转发的每一条消息。这些过滤器检查数据包的属性，例如来源和目的地标识、传输协议或应用程序，然后根据预先约定的网络要求排定消息的优先顺序。排队算法根据优先权将数据包放在一个队列中，并在传输中优先对待高优先权队列。在IOS 11.0版本中，优先权排队经过了优化，如果接口没有阻塞，数据包可以立即转发。否则，数据包被放在队列中的适当地方，直至依次被转发。这种排队以一种优化的方式进行，降低了路由器CPU开销。定制排队定制排队通过给不同类别的数据包分配不同数量的队列空间，然后以一种循环方式服务于队列，来处理流量。因而，可以给一个特定的协议、用户或应用程序分配更多的队列空间，尽管它永远不能独占整个带宽。与优先权排队相似，定制排队将一系列访问列表条目用于它所转发的每一条消息。这些访问列表条目检查属性，对消息进行分类，例如源和目的系统的标识、传输协议或应用程序。然后，路由器将以循环方式服务于这些队列。每一次传递从一个队列移走的数量根据配置而变化。这种特性确保在线路吃紧时，没有任何数据包能够超过预先规定的容量比例。定制排队已经通过Cisco IOS 11.0进行了优化，若接口没有阻塞，数据包可以立即转发。否则，数据包被放在队列中的适当地方，直至依次被转发。这种排队以一种优化的方式进行，降低了路由器CPU开销。对于某些类型的流量需要保证带宽或者最高的服务级（例如SNA密封），并允许服务于其他流量，在这种环境中定制排队非常理想。加权合理排队加权合理排队确保队列不会急缺带宽，是用于流量可预测的服务。低容量通信流可获得优先服务，从而及时传送他们的整个负荷。高容量通信流共享剩下的容量，获得均等或比例带宽。加权合理排队有助于给轻重用户提供一致的应答时间。加权合理排队还可将不一致应答时间的主要原因分成不同的流或对话，并迫使他们交叉。算法还解决往返延迟变化的问题。如果多个高容量对话都有效，那么他们的传输速率和时间间隔可以预测。加权合理排队增强了算法（例如SNA的逻辑链路控制-LLC）以及传输控制协议（TCP）的拥塞控制和慢启动。政策路由网络管理人员可以根据预配置的政策而不是预定义的路径发送网络包，以实现政策路由。使用政策路由将导致数据包采用不同的路径，而不是源自路由协议的路径。例如，假定一家企业能够配置一个网络，因此，与特定活动相关的通信流量短时间使用一个更高带宽、更高成本的链路，而日常应用程序（例如电子邮件）的基本连接由一个带宽更低、成本更低的链路提供。为了确保更高带宽的链路仅在需要时使用，可以与政策路由结合使用IOS拨号服务。资源保留协议资源保留协议（RSVP）是一个专为集成化的互联网络服务而设计的资源保留准备协议。应用程序调用RSVP为一个数据流请求特定的服务质量。主机和路由器使用RSVP沿数据流的路径将这些请求提供给路由器，并维护路由器和主机状态进而提供所请求的服务。这通常要求在这些节点中保留资源。RSVP允许流（可以是任何流，但主要针对多媒体流）的参加者推荐他们需求的网络，并建议网络配置其本身以满足这些需求。参加者包括发送者、接收者和网络部件。在沿着路径的每一个”节点”（路由器或主机），RSVP向一个许可控制例程发出一个新的资源保留请求，从而决定是否有充足的可用资源。如果有，节点将保留资源并更新其数据包调度程序和分类器控制参数，从而能够提供所请求的服务质量。网络决定带宽保留所需的信息包括平均数据速率、一个路由器能够排队的最大数据量以及最小服务质量。在RSVP和ATM提供的服务质量选项之间有一个紧密的映像，它将促进企业范围的端到端服务质量的实现。RSVP是一个IETF起草的标准，目前正在被Cisco以及其他主机系统和路由器供应商所实现。6.4 可扩展性我们建议采用的产品的扩充性是极强的：Catalyst 7507提供7个插槽，可以配置各种广域网模块。Catalyst 3662提供6个插槽和两个10/100兆端口，可以配置各种广域网模块。6.5 便于向新的技术发展由于大多数网络的设备都采用模块化设计，在新技术出现后，能够方便地进行升级，添加新的网络模块，而不必购买新的设备。使用户的投资得到保护。现有的卫星网络系统也能够作为新的宽带网络系统的一个备份网继续运行。现有的卫星网能直接与新的宽带网络系统连接，而且无需任何网络协议之间的转换，而且在故障发生时，数据能够自动的切换到备份卫星网络系统上。6.6 采用工业标准化技术，具有好的互联特性Cisco公司历来坚持协议的标准化，技术的先进性和产品的互连性，它是帧中继论坛，ATM论坛，Apple Talk连网论坛的发起单位，也是OSPF论坛PLSW工作作组等的参与成员，CISCO的IOS（网际网操作系统）使CISCO产品具有最全面的功能，高度的扩展性和稳定性，它支持现有大多数数据网络（以太网、令牌环FDDI/CDDI、ATM、X.25、VSAT公用电话网、帧中继、ISDN等）且支持几乎所有的通讯（如TCP/IP、IPX、DECnet、SNA、OSI、SDL 、Vines XNS桥接等）所有这些应用中，都会有IOS，IOS是CISCO产品的灵魂，它在成为网络界面实上的标准。Cisco公司提出的Cisco网络体系结构思想采用网段交换技术，减少网段上的共享设备的数量降低了网段上数据包的碰撞几率；采用路由技术，将一个网络限制在一定的规模，将网络广播进行隔离，不同的网络采用路由设备来连接，使网络具有无限的扩展性，采用高速交换技术构造企业主干解决网络主干的瓶颈。7 实施方案7.1 技术细节7.1.1 IP 地址规划 IP地址概念网络地址是网络互联的基础。目前，大多网络系统都使用TCP/IP网络协议，其网络地址使用IP地址的概念。IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点。传统地，IP协议采用分层地址结构，它由4个字节(32位)组成，每个字节用三位十进制数(0255)表示，每个字节之间用圆点号隔开，它包含两个部分：网络号和主机节点号。IP地址分为A、B、C、D、E五类，其中常用的是A、B、C三类：A类地址用前一个字节(8 位)表示主网络号，这个字节的第一位为0，后三个字节(24位)表示主机号，如下所示：0xxxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx A类地址 网 络 号 主 机 号B类地址以前二字节(16 位)表示网络号，以10开头，后二字节(16位)表示主机号，如下所示：10xxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx B类地址 网 络 号 主 机 号C类地址以前三字节(24位)表示网络号，以110开头，后一字节(8位)表示主机号，如下所示：110xxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx C类地址 网 络 号 主 机 号 IP地址的分配应遵循以下几个原则：唯一性一个IP网络中不能有两个主机采用相同的IP地址。简单性地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。连续性连续地址在层次结构网络中易于进行路径叠合，大大 缩减路由表，提高路由算法的效率。可扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。灵活性地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。为了有效地利用地址空间，我们可以对IP地址进行子网划分，从地址的主机部分借取若干位作为子网号，剩余部分仍然表示主机号，举例如下：xxxxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx A类地址 网 络 号 子 网 号 主 机 号另外，为了灵活地在不同规模的子网中分配不同数量的IP地址，我们建议广发证券采用VLSM技术，它可根据需要在任意位划分子网边界，对一个主网络号，可分出最小只有2个主机号的子网，亦可划分出一个较大的子网，因此它很灵活，特别是在广域网中，只需2个主机号地址，VLSM非常有用，大大节约了地址空间，又保证了网络设计的灵活性。 地址分配规则由广发证券实际操作经验，建议将为广发证券规划一个A类私有地址10.X.X.X，方便于今后系统发展和管理。具体需商议。7.1.2 路由协议的选择 网络路由协议介绍对一个大网络来说，选择一个合适的路由协议是非常重要的，不恰当的选择有时对网络是致命的，路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。路由包括两个任务：路径选择；信息包的传输。路径的选择取决于metrics,metrics可包括可靠性、延迟、带宽、负载、MTU、通讯费用，不同的路由算法考虑部分或全部的因素。现在通用的路由协议有：静态路由、RIP、OSPF、IGRP、EIGRP、IS-IS/BGP等。所有路由算法都要保证：路由选择的准确性。路由算法的简单、稳定，以减少由算法带来的网络流量。路由算法的迅速收敛。减少由收敛慢可能引起的路由环路。路由算法的灵活性。在选择路由协议时应考虑以下因素：静态路由与动态路由集中式算法与分布式算法单一路径与多条路径平面结构与层次化结构(FlatorHierarchical)域内协议与域间协议LinkStateorDistanceVector1、静态路由与动态路由静态路由是人为编写路由表，要求网络管理员事先了解网络路由。一经设计完成，不可自动修改。静态路由协议仅适用于网络相对简单，网络流量可以预测的环境及拨号备份线路。动态路由通过算法根据网络情况实时修改路由表。每个路由器分析收到的路由更新信息，若网络已发生变化，路由软件将重新计算新的路径并送出新的路由信息。2、集中式算法与分布式算法路由算法可是集中式的或分布式的，集中式算法周期性收集所有路由信息，更新路由表。其优点在于可靠、路由一致；但一旦中心路由器发生故障，路由表将无法更新，同时中心路由器必占据较大带宽和较大的CPU，MEM的利用率，此外随着网络的大小和结构化设计的不同，高层次的路由器将先于低层次的路由器获得路由信息，由此可能造成网络路由的环路。分布式算法是由每个路由器计算路由路径，周期性地与相邻路由器交换路由信息。所以分布式路由算法具有更好的冗错性。目前广泛采用的OSPF，EIGRP等均为分布式路由算法。3、单一路径与多条路径一些路由算法支持多条路径到同一目的地。可提供更好的带宽和冗余性。如：OSPF、EIGRP支持多条路径。4、平面结构与层次化结构(FlatorHierarchical)一些路由算法在拓扑结构上采用平面设计，即所有路由器均为同一等级。而结构化设计的算法不同于此，结构化设计中，一些路由器为路由主干（routingbackbone），信息包从主干路由器经非主干路由器到达目的地。RIP、IGRP为平面结构算法；OSPF、EIGRP为层次化结构算法。5、域内协议与域间协议在结构化设计中，经常将一组节点叫作Domain,或AS(Autonomous system),或Area。路由协议分为intra-domainorinter-domain.如RIP，OSPF，EIGRP为域内路由协议；EGP和BGP为域间路由协议。6、LinkStateorDistanceVectorLinkState算法将所有路由信息送到网络上所有节点，所有路由器将收到的Linkstate信息存于数据库中，并将与本路由器有关的连接状态发送给其他路由器而不是所有路由表。DistanceVector算法是每个路由器发出完整的路由表，但仅发送给本路由器的邻居。 四种主要路由协议比较通用的动态路由协议有：RIP-RoutingInformationProtocolOSPF-OpenShortestPathFirstIGRP-InteriorGatewayRoutingProtocolEIGRP-EnhancedIGRP1、RIPRIP是一distancevector,intra-domain路由协议，有以下特点：简单，广泛使用，技术成熟信息源与目的地间限制在15个hops（或路由器）之内，超过15hops将认为不可及。RI