江苏省公众多媒体网络扩容升级项目技术建议书.doc

江苏省公众多媒体网络扩容升级项目技术 建议书 目录 第第 1 1 章章 系统设计目标系统设计目标 4 1 1系统背景 4 1 2方案整体结构 4 第第 2 2 章章 网络整体结构设计网络整体结构设计 6 2 1设计思想与设计原则 6 2 2广域网拓扑结构 6 2 3与骨干网的互连 7 2 4路由策略与流量管理 8 2 5地址分配 10 2 6域名系统 13 2 7NTP SERVER 的设置 15 第第 3 3 章章 节点网络结构设计节点网络结构设计 16 3 1省网管中心 16 3 2省中心节点局域网设计 17 3 3南京节点局域网设计 18 3 4苏南节点局域网设计 20 3 5苏中节点局域网设计 22 3 6苏北节点局域网设计 24 第第 4 4 章章 网络管理中心网络管理中心 26 4 1网络管理的具体实现 26 4 2网络管理功能实现 28 4 3系统资源性能管理 29 4 4资产管理功能实现 30 4 5安全管理功能实现 30 4 6故障管理功能实现 31 4 7用户管理功能实现 32 第第 5 章章 CINMS 业务管理体系业务管理体系 33 5 1CINMS 总体介绍 33 5 2江苏业务管理系统结构 34 5 3认证授权 35 5 4用户管理 37 5 5信息源管理 43 5 6认证授权管理 44 5 7计费结算 48 5 8资费系统 50 5 9业务统计 55 第第 6 6 章章 网络安全监测中心网络安全监测中心 57 第第 7 7 章章 多业务互联多业务互联 65 7 1与声讯信息服务系统互联 65 7 2与其他网络互联 69 第第 1 1 章章 系统设计目标系统设计目标 1 11 1 系统背景系统背景 此次系统扩容工程作为 163 网和 169 网的全面的扩容工程 将对省内 163 网和 169 网进行全面的扩容升级 包括 网络拓扑的优化 网络骨干的扩容 节点局域网的升级 主机设备的扩容升级 业务应用系统的扩容 达到优化网 络结构 提高网络访问速度的目的 163 网和 169 网作为省内提供信息服务的两大网络 在省内将增加网络骨 干的带宽 使苏南节点将达到 50M 的带宽 其中使用一条 34M 的 ATM PVC 线路 8 条 2M 线路 并具有将骨干的带宽扩展到 ATM 155M 的能力 苏中 苏北节点 骨干带宽达到 16M 并具有向 ATM 155M 的扩展能力 整个网络的拓扑结构采用 以南京为中心的星型拓扑结构 每个节点采用多条线路与中心相连 保证不会 因单条线路的失效而导致整个节点的服务中断 各节点的局域网局域网骨干采用具有第三层交换功能的以太网交换机 交 换机具有 10 100M 自适应端口 并具有 1000M 以太网端口 各主要服务器以 100M 速率连接到交换机上 提高局域网的性能 扩容后 采用统一的用户管理和计费结算管理系统 使省网与国家 163 网 和国家 169 网有机的结合在一起 可以进行 169 网的全国漫游和进行 163 网的 全国漫游 同时也可进行与其它省份的计费结算 1 21 2 方案整体结构方案整体结构 本建议书针对江苏省公众多媒体网的扩容升级工程 详细阐述了在扩容升 级中需要解决的技术问题和事实策略 并对扩容升级后的业务应用方面提出建 议 在网络平台扩容升级的基础上 为充分发挥新平台的优势 提出更好的管 理网络平台 保证系统的安全运营 提出了两个管理中心 即网络管理中心和 业务管理中心 本建议书共分七章 重点对网络平台建设 网络管理 业务管理 网络安 全 多业务互联 第一章 系统设计目标 概要阐述了扩容升级的实现目标 第二章 系统网络设计 详细叙述了在网络平台的扩容升级中的广域网网 络拓扑结构 域名系统的解决方案 第三章 各节点的局域网设计方案和以及各局域网中虚拟网络的划分问题 第四章 网络管理中心 详细叙述了网络管理的几个重要方面及解决方案 第五章 业务管理中心 主要介绍公司的 CINMS 产品 以及在江苏省公众 多媒体网业务管理功能方面的实现 第六章 网络安全监测中心 网络的安全是网络运营中的重要方面 在本 章中重点介绍了在系统安全和管理方面的解决方案 第七章 多业务网络互联 本章重点介绍了在与现有网络 尤其是与 160 168 网的互联方案 并就互联后提出了新的业务应用 第第 2 2 章章 网络整体结构设计网络整体结构设计 我们借鉴国内外大型 ISP 的成功经验 并结合江苏省网当前状况和未来发 展趋势 我们提出如下设计方案 整个网络设计突出层次化 模型化 高可靠性的原则 2 12 1 设计思想与设计原则设计思想与设计原则 江苏省网作为一个大型的骨干网络 从网络的伸缩及可扩张性 网络的可 管理性等多个方面考虑 我们建议整个江苏省网建设 采用分层设计的原则 我们建议整个省网按二层设计的思路来进行设计 第一层 作为全网的骨干层 负责全网核心路由的交换 及与其它骨干网 络互连的任务 主要包括南京 第二层 作为全网的接入层 负责省内各区域内的路由 并负责本区域层 内的接入用户的互连 主要包括其余各地市节点 模块化设计 便于管理与实施 便于路由策略的制定 具体模型可参考层次化的划分 对骨干层和接入层的拓扑结构分别加以设 计 由于本此工程准备把原 163 和 169 的网络平台完全统一到一个新的信息平 台中去 并完全采用合法的 IP 地址来规划整个网络 因此本方案准备从广域 网络的结构 与骨干网络互连 全网的路由策略 域名体系的规划 IP 地址的 划分 拨号用户类型的划分这几个需要从原方案进行改动的地方加以着重阐述 2 22 2 广域网拓扑结构广域网拓扑结构 依据以上原则 江苏省公众多媒体网的网络拓扑设计为双星形结构 全省 以南京作为全网核心层节点 建立全省的交换中心 其他各地市节点作为接入 层 各地市节点以多种线路多种速率与省内核心层互联 其中苏州 无锡 常 州节点以一条 34M ATM PVC 线路与南京的核心层 GSR 相连 以 2 条 4 E1 的线 路与南京核心层的 7513 路由器相连 镇江 扬州 南通 泰州节点以 2 条 4 E1 的线路与南京核心层的 7513 路由器相连 苏北节点以两条 4 E1 线路与南 京节点核心层的 7513 路由器相连 南京节点同时也作为本地的接入层节点 具体拓扑如下 CISCO7513 CISCO7507 100M以太网连 接 4 E1传输 CISCO GSR 12000 155M POS 苏州 南京节点 无锡 常州 镇江 扬州 南通泰州 徐州 州 淮阴 盐城 连云港 宿迁 省网络管理中心 34M ATM 省业务中心 为保证网络的高可靠性 排除单故障点 各地市节点均配置两台以上的路 由器用于省网骨干的连接 南京节点配置 1 台 CISCO GSR12000 2 台 CISCO7513 4 台 CISCO7206 路由器 其他节点各配置两台 CISCO 7507 省中心 一台 CISCO7507 网络管理中心一台 CISCO7206 和一台 CISCO4500 并且各市 之间配置多条 多种中继 2 32 3 与骨干网的互连与骨干网的互连 与骨干网的互联指江苏省公众多媒体网与国家 163 骨干网的互联和国家 169 骨干网的互联 由于在江苏省内实行省内完全实施合法 IP 地址的方案 所 以在与骨干网互连时要解决 IP 地址的流向问题 与骨干网的互连如下图所示 V A L N 1 V A L N 2 72067206 7206 7206 Cache Engine 7513 7513 GSR 163 169 江苏省公众多媒体网骨干与 163 骨干网和 169 骨干网的互连在南京节点实 现 省网骨干的 GSR 路由器和两台 7513 路由器通过 4 台 7206 与 163 骨干网和 169 骨干网互连 具体连接方式为 由南京节点的两台路由器 CISCO7513 以快速以太网的方式上连至局域网交 换机的 VLAN1 中 同时负责与 163 骨干网互连的两台 CISCO 7206 路由器也以快速以太网的 连接方式连接到局域网交换机的 VLAN 1 上 负责与 169 骨干网互连的两台 CISCO7206 路由器 通过快速以太网的方式 连接到局域网交换机的 VLAN2 上 在 VLAN1 上设置 8 台 CISCO CACHE ENGINE 作为访问 163 骨干网和 INTERNET 上其它网络时 提高访问速度的网络设备 2 42 4 路由策略与流量管理路由策略与流量管理 2 4 12 4 1域间路由协议域间路由协议 江苏省公众多媒体网江苏省公众多媒体网路由策略实施需考虑对路由策略实施需考虑对 163 和和 169 骨干网的影响骨干网的影响 由于在这次工程中 江苏省公众多媒体网完全采用合法地址 和 169 网络进 行通信时 不通过网关设备 直接和 169 网内具有保留地址的服务器进行通信 因此在路由协议的实施中 江苏省公众多媒体网将把江苏省的合法地址段 广 播到 169 骨干网之上 以保证江苏省公众多媒体网内的用户 可不通过网关设 备直接访问 169 网络平台的信息 由此对整个 169 信息网造成的影响是 169 核心骨干网络的路由器需要重新定义 ACL 控制策略 以允许江苏省的合法地址 可以扩散到 169 网络平台上 同时各省的 169 路由器的 ACL 控制策略也需要重 新定义 各省内的路由器既可采用动态路由协议将江苏省的合法地址散播到本 省内 也可采用静态路由协议江苏省的合法地址段进行静态的路由指向 以保 证外省 169 用户访问江苏省公众多媒体网 是通过 169 骨干网来访问 而不是 通过 163 骨干网来访问 本此工程中 我们建议整个江苏省公众多媒体网作为一个自治域来规划 自治域号采用原有 163 网络分配的自治域号 这样和 163 骨干网互连时的改动 较小 在和 163 骨干网以及 169 骨干网的边缘路由器间 采用 BGP 4 域间路由 协议进行通信 具体实施策略如下 具体实施策略如下 在南京节点的四台核心 7206 路由器上 分别配置 BGP 4 路由协议 其中两台 CISCO 7206 负责与 163 骨干网的边界路由器进行通信 负责接收 163 网络的路由信息 在 CISCO7206 上需设置 ACL 过滤保留地址的路由信息 并将其应用在 BGP 4 的通信过滤机制中 防止保留地址泄露到 163 骨干网上 其中两台 CISCO 7206 负责与 169 骨干网的边界路由器进行通信 负责接 收 169 网络的路由信息 在两台 CISCO 7206 上同样也需要设置不同的 ACL 目 的是过滤非江苏省内的合法地址 并将此过滤机制应用在 BGP 4 的通信过滤机 制中 只允许属于江苏省内的合法地址交换到 169 骨干网络上 防止非江苏省 内的合法地址泄露到 169 骨干网上 以免造成江苏省公众多媒体网成为 163 与 169 网络的通道 同时核心路由器 四台 7206 相互做内部邻居指向 核心路由器就可通过 IBGP 的方式进行通信 这样通过 IBGP 的通信 南京节点的 GSR 两台 7513 可 从与 169 骨干网互连的 CISCO 7206 获取从 169 骨干网络路由信息 可从与 163 骨干网互连的 CISCO 7206 获取 163 骨干网络的路由信息 这样一来 核 心路由器内均包含了 163 骨干网和 169 骨干网的路由信息 保证江苏省公众多 媒体网的用户可以对整个信息网外的信息进行正常访问 2 4 22 4 2域内路由协议域内路由协议 在江苏省公众多媒体网内 即整个自治域内 建议采用 OSPF 动态路由协议 来完成域内路由的自动交换 具体配置策略为 整个江苏省公众多媒体网整体采用 OSPF 协议 对应于网络设计的两层结构 将整个路由区域也按两层结构进行划分 核心层和接入层 核心层的骨干路由器包括南京节点的 GSR 路由器 两台 7513 和于骨干互连 的 CISCO7206 路由器 并划分到各地市的两台 CISCO7507 路由器 作为 OSPF 设计中的 AREA 0 内 负责 OSPF 中的路由核心交换 将南京的两台 7513 和每 个地市的两台 CISCO7507 作为负责和各区域通信的边界路由器 ABR OSPF 接入层的区域划分按照节点进行 建议将每个地市节点划分为一个 AREA 包括各节点的第三层交换机 专线接入路由器和各县市的路由器等 采用以上的路由策略出于以下因素 核心路由的稳定 OSPF 中 AREA0 区域作为整个域内路由的核心骨干区域 负责整个域内路由 信息的交换任务 所有的非 AREA 0 区域间若要进行访问均需要通过 AREA0 进 行路由转发 因此为保证 AREA0 内的链路状态稳定 路由器的负载也保持在额 定范围内 建议将核心层的骨干路由器划分到 AREA 0 内 精简路由条目 降低路由器的 CPU 损耗 各区域内的路由器只负责本区域内的路由信息交换 维护本区域内的路由 表和路由信息库 在区域连接处 ABR 上 会保存有它所连接的两个区域的全部 路由信息 在 ABR 上可通过区域间的地址统计 ADDRESS SUMMARAZTION 功能 将符合 CIDR 特性的连续地址段聚合成一个地址块 从而在核心层路由器上减 少了相关的路由条目 降低路由器的 CPU 损耗 提高了网络的总体性能 提高了网络的可扩充性 由于 OSPF 采用链路状态算法进行路由计算 造成每台运行 OSPF 的路由器 都需要维护一个所有邻居的链路状态的数据库 这对路由器的内存 CPU 等均 有极大的损耗 因此 根据大多数网络建设的经验 一个 OSPF 区域最多容纳 的路由器的数目在 40 之内 因此通过 AREA 的划分 确定了网络的核心层 AREA 0 后 所有第二层的区域可任意划分 而每个区域内都可容纳 20 30 台路由器 从而扩展了网络规模 使网络具有良好的可扩充性 若省内仍存在保留地址用户的情况 对于 169 网络的某些原有专线用户 如果他们仍希望采用保留地址的方式访 问 169 网络 对访问 163 网络没有要求 此时可通过在域内路由协议的设置中 把这类相关的保留 IP 地址广播到整 个省内的路由器中 保证全省的其他合法地址用户可以访问这些保留地址的专 线用户 同时在与 169 互联的两台 7206 上 把原江苏省 169 网的保留 IP 地址段 仍 向 169 骨干网发布 以保证省内的保留地址用户可以正常出入 169 信息网 在与 163 互联的两台 7206 上 设置 ACL 严格保证省内的保留地址不会散 布到 163 骨干网络上 2 4 32 4 3流量管理流量管理 ATM PVC 和 E1 链路互为备份 目前采用 OSPF 协议的特性 对相同权值的路 径采用负载均衡的方式进行流量管理 今后在 CISCO IOS 的新版本发布后 可实 现在路由器内采用 FEC 和 对路由器间的多条 E1 链路进行 MultiLink PPP 捆绑 的方式 来实现负载均衡的设置 在各地市节点的局域网环境中 采用局域网交换机的第三层路由交换的能力 和 两台路由器之间采用 OSPF 动态路由协议 来完成对本地用户流量的负载均衡的 能力 2 52 5 地址分配地址分配 2 5 12 5 1具体分配原则如下 具体分配原则如下 全网全部采用合法 IP 地址 IP 地址的规划原则如下 网络主干网络主干 省网核心层由南京和各地市节点的骨干路由器组成 未来的网络建设会以 各个地市节点的骨干层进行扩展 建立各个接入层结构 每个接入层都会连接 一个或多个 POP 点 核心层是网络的高速连接基础结构 核心层是网络的高速连接基础结构 地址规划的基本思想地址规划的基本思想 通常合理的地址规划是使连续的地址尽量集中在一个区域内 因此 核心 层应象一个区域或一个节点一样 被分配一段连续的地址 更进一步 连接进 某一区域的节点的 IP 地址范围应集中在该区域的地址范围附近 地址规划时应充分考虑 CIDR 和 VLSM 的设计思想 保证 IP 地址的最大利 用率 2 5 22 5 2IPIP 地址的具体分配地址的具体分配 核心层地址分配核心层地址分配 所有属于核心层的路由设备 南京等所有地市的骨干层路由器 包括其 中的广域网络 IP 地址互连 路由设备的端口 均按一段连续的 IP 地址规划 将其看作是一个单独的节点 根据实际需求和未来网络发展状况 分配分配 4 4 个个 24 24 地址地址 可提供 248 段网 络互连的需求 接入层地址分配接入层地址分配 南京节点 南京节点 包括网管中心和省业务中心节点 接入层地址分配分配 2828 个个 24 24 即 1 个 20 1 个 21 1 个 22 局域网分配 1 个 24 根据具体 VLAN 划分不同的子网 拨号用户分配 15 个 24 可满足 3600 并发拨号用户需求 并可发展 到 3810 个并发用户需求 专线用户分配 8 个 24 可满足 112 个专线用户需求 具体为 2 个 24 用于 6 个 26 用户 2 个 24 用于 14 个 27 用户 2 个 24 用于 30 个 28 用户 2 个 24 用于 62 个 29 用户 广域网络互连分配2 个 24 可满足 124 段广域网络互连需求 机动地址 2 个 24 留待未来发展 苏州节点 苏州节点接入层地址分配 2424 个个 24 24 地址段地址段 1 个 20 1 个 21 局域网分配 1 个 25 根据具体 VLAN 划分不同的子网 拨号用户分配 11 个 24 可满足目前 2730 并发拨号用户需求 并可 发展到 2794 个并发用户需求 专线用户分配 8 个 24 可满足 112 个专线用户需求 具体为 2 个 24 用于 6 个 26 用户 2 个 24 用于 14 个 27 用户 2 个 24 用于 30 个 28 用户 2 个 24 用于 62 个 29 用户 广域网络互连分配2 个 24 可满足 124 段广域网络互连需求 机动地址 2 个 24 和 1 个 25 留待未来发展 无锡 常州节点 无锡 常州接入层地址分配 18 个 24 共为 18 2 36 个 24 地址 局域网分配 1 个 25 根据具体 VLAN 划分不同的子网 拨号用户分配 8 个 24 可满足目前 2730 并发拨号用户需求 并可 发展到 2794 个并发用户需求 专线用户分配 6 个 24 可满足 102 个专线用户需求 具体为 1 个 24 用于 3 个 26 用户 1 个 24 用于 7 个 27 用户 2 个 24 用于 30 个 28 用户 2 个 24 用于 62 个 29 用户 广域网络互连分配2 个 24 可满足 124 段广域网络互连需求 机动地址 1 个 24 和 1 个 25 留待未来发展 苏中节点 镇江 扬州 南通接入层地址分配 11 个 24 共需 3 11 33 个 24 局域网分配 1 个 25 根据具体 VLAN 划分不同的子网 拨号用户分配 3 个 24 可满足目前 510 并发拨号用户需求 并可 发展到 762 个并发用户需求 专线用户分配 4 个 24 可满足 51 240 个专线用户需求 具体为 1 个 24 用于 3 个 26 用户 1 个 24 用于 7 个 27 用户 1 个 24 用于 15 个 28 用户 1 个 24 用于 31 个 29 用户 广域网络互连分配2 个 24 可满足 124 段广域网络互连需求 机动地址 1 个 24 和 1 个 25 留待未来发展 苏北节点苏北节点 泰州 徐州 淮阴 盐城 连云港 宿迁 接入层地址分配分配 1010 个个 24 24 共需要共需要 6 10 606 10 60 个个 24 24 地址 地址 局域网分配 1 个 25 根据具体 VLAN 划分不同的子网 拨号用户分配 2 个 24 可满足目前 180 480 并发拨号用户需求 并 可发展到 508 个并发用户需求 专线用户分配 4 个 24 可满足 51 240 个专线用户需求 具体为 1 个 24 用于 3 个 26 用户 1 个 24 用于 7 个 27 用户 1 个 24 用于 15 个 28 用户 1 个 24 用于 31 个 29 用户 广域网络互连分配2 个 24 可满足 124 段广域网络互连需求 机动地址 1 个 24 和 1 个 25 留待未来发展 按上述原则规划地址 全省 IP 地址共需要 4 28 24 18 2 11 3 10 6 185 个 24 地址 考虑到未来业务的发展需求 可适当增加各地市的机动地址分配 这样至 少还需要增加 14 至 30 个 24 C 类地址 这样 全网需要 IP 地址数目为 200 到 220 个 C 类合法地址 即大约 1 个 B 类地址的空间 2 5 32 5 3网络网络 IPIP 地址实际规划地址实际规划 以上地址分配原则为全网对合法地址的需求分析 也是在全网的 IP 地址完 全进行重新分配的前提下进行的地址规划 由上面的计算结果可看出 江苏省网对合法地址的需求量为将近一个 B 类 的合法地址 而目前江苏省内已经分配的合法地址数目为 128 个 C 类地址 因 此还需要申请 128 个合法的连续 C 类地址来满足本期扩容工程的需要 对于已有的 IP 地址分配 在新的网络建设中采用以下原则 对于原合法地址的分配 保留专线用户的地址分配不变 把原各地市的合 法地址网段 拨号用户地址网段等的 IP 地址分配 完全回收 分配给新的 IP 地址 具体 IP 地址分配 需要根据实际申请到的连续 IP 地址来划分 原则为 首先从新分配的 IP 地址段中 按各地市 核心层网络等相关的因素划分地址 在新申请的 IP 地址分配完后 再分配原有的合法 C 类地址给剩余的地市 各 地市仅保留原有的 163 专线用户的合法地址 原 169 网的专线用户若不想更改 为合法地址 可继续采用保留地址的方式 具体地址的数量需求参见 2 5 2 中 所述 2 62 6 域名系统域名系统 江苏省公众多媒体网扩容工程在全省网内全部采用合法 IP 地址 同时又与 163 骨干网和 169 骨干网互联 为用户提供 163 和 169 的信息服务 这就对域 名系统提出以下要求 省内的服务器域名 163 和 169 域名体系 全部为合法地址 外省 163 服务器的域名解析为合法地址 外省 169 服务器的域名解析为保留地址 根据以上需求 江苏省公众多媒体网在南京节点的一台 E2 服务器为全省设 置一套域名系统 为省内用户提供 163 网和 169 网的域名解析服务 同时再用 一台 E2 服务器做上一台服务器的 SECONDRAY 服务器 两台服务器在全网的作 用起主从备份的功能 全省设两级域名服务器 省中心 DNS 服务器和各节点 DNS 服务器 南京节点的省顶级 DNS 服务器负责解析全省 163 和 169 的域名 南京节点 省顶级 DNS 服务器作为全省 163 的 PrimaryDNS 服务器 配置有全省服务器的 解析 包括 163 的域名和 169 的域名 并作为 169 顶级 DNS 服务器 CNINFO NET 的 Secondary DNS 服务器 在南京节点的顶级 DNS 服务器上 具有全省服务器 的域名解析和外省 169 网顶级 DNS 服务器的地址 各节点 DNS 服务器作为省中心 DNS 服务器的 Secondary DNS 服务器 以提 高响应用户解析请求的速度 用户端将第一 DNS 服务器设置为本节点的 DNS 服务器 第二 DNS 服务器设 置为省中心的 DNS 服务器 用户解析流程 省内用户访问省内 163 信息 省内用户发出解析请求到本节点 DNS 服务器 本节点 DNS 服务器负责解 析地址 本节点 DNS 服务器将结果返回给省内用户 省内用户访问省内 169 信息 省内用户发出解析请求到本节点 DNS 服务器 本节点 DNS 服务器负责解 析出合法地址 本节点 DNS 服务器将结果返回给省内用户 省内用户访问省外 169 信息 省内用户发出解析请求到本节点 DNS 服务器 由于本节点 DNS 服务器保 留有其他省 169 顶级 DNS 服务器的地址 所以可将请求转发到外省 169 顶级 DNS 服务器上 外省 169 网顶级 DNS 服务器负责将请求转发到最终解析地点 并获取最后的解析结果 外省 169 网顶级 DNS 服务器把解析结果 保留地 址 返回给省内 DNS 服务器 省内 DNS 服务器将结果返回给省内用户 省内用户访问省外 163 或 Internet 信息 省内用户发出解析请求到本节点 DNS 服务器 本节点 DNS 服务器负责将 请求转发到 163 骨干网的顶级 DNS 服务器上 163 骨干网顶级 DNS 服务器负 责将请求转发到最终解析地点 并获取最后的解析结果 163 骨干网顶级 DNS 服务器把解析结果 合法地址 返回给本节点 DNS 服务器 本节点 DNS 服务器将结果返回给省内用户 省外 169 用户访问省内 169 信息 省外 169 用户发出解析请求到本地的 169DNS 服务器 此 169DNS 服务器 把请求转发至 169 骨干网顶级 DNS 服务器 169 骨干网顶级 DNS 服务器把请 求转发至省中心 DNS 服务器上 省中心 DNS 服务器解析出合法地址并把结果 返回 最终外省 169 用户获取到合法地址的解析结果 省外 169 用户访问省内 163 信息 省外 169 用户发出解析请求到本地的 169DNS 服务器 此 169DNS 服务器 把请求转发至 169 骨干网顶级 DNS 服务器 169 骨干网顶级 DNS 服务器把请 求转发至 163 骨干网顶级 DNS 服务器上 163 顶级 DNS 服务器转发请求到省 中心 DNS 服务器上 省中心 DNS 服务器解析出地址并把结果返回 最终 外省 169 用户获取到正确地址的解析结果 省外 163 用户访问省内 169 信息 省外 163 用户发出解析请求到本地的 163DNS 服务器 此 163DNS 服务器 把请求转发到 163 骨干网的顶级 DNS 服务器上 163 顶级 DNS 服务器转发请 求到省中心 DNS 服务器上 省中心 DNS 服务器解析出地址并把结果返回 最终外省 169 用户获取到正确地址的解析结果 2 72 7 NTPNTP SERVERSERVER 的设置的设置 在本期工程中 我们在南京节点设立一台 NTP SERVER 来作为全省的时钟 源服务器 各地市节点的网络设备都通过 NTP 的通信方式 从南京节点的 NTP SERVER 获取到时钟同步信息 以保证全网的网络设备保持时钟同步 从而保 证了接入层的计费认证信息 服务器的 LOG 日志等信息的统一性和正确性 具体的 NTP SERVER 的设置 采用一台 NT 服务器运行 NTP SERVER 各地的服务器和网络设备做好指向 具体的 NTP SERVER 的设置符合总体技术要求和规范 为防止由于 NTP 主 SERVER 的时钟精度出现偏差 造成全网的网络设备的时钟都发生偏差 可 通过对 NTP 主 SERVER 配置一个外部高精度的时钟源设备 保证 NTP 主 SERVER 的时钟的准确性 如果 169 国家骨干网或 163 国家骨干网中的已有 NTP 时钟源服务器 可将 它作为本省 NTP SERVER 的上级服务器 本省 NTP SERVER 定时和上级 NTP SERVER 做时钟同步来实现 本省 NTP SERVER 的时钟的准确性 第第 3 3 章章 节点网络结构设计节点网络结构设计 江苏省公众多媒体通信网有十三个本地局域网 按本地网规模可分为省网 管中心 省业务中心 南京节点 苏南节点 苏中节点和苏北节点五类 其中 苏南节点包括苏州节点 无锡节点 常州节点 苏中节点包括镇江节点 扬州 节点 南通节点 泰州节点 苏北节点包括淮阴节点 连云港节点 盐城节点 徐州节点 宿迁节点 3 13 1 省网管中心省网管中心 省网管中心负责全省的网络管理和系统管理 省网管中心的设备包括全省 网管工作站 网络备份服务器 HP OMINIBACK 全省一次性口令认证服务器 ACE SERVER 安全服务器 ISS SERVER 防火墙服务器和 CONCORD 网管 服务器 TOTAL CONTROL 网管服务器 局域网交换机和两台路由器组成 一台 路由器为 CISCO 7206 采用一条 CE1 的线路与省内各节点的带外网管路由器分 别以 128K 速率相连 另外一台路由器 CISCO4500 通过一条 2M 的 E1 线路与南 京机房的核心层路由器相连 作为网管的备份线路 局域网内的所有服务器与 工作站全部采用单独分配保留 IP 地址 省网管中心的设备全部设置在防火墙的里面 以提高安全性 网管服务器 可通过防火墙服务器的 NAT 功能 以地址转换的方式来访问 INTERNET 在省网管中心设一台全省网管服务器 采用 HP C200 的工作站 安装 HP OPENVIEW IT O IT A 等软件和 CISCO WORKS 3COM TRANSEND 安装在一台 SUN E1 上 CONCORD 安装在一台 SUN E2 服务器上 HP OMINI BACK 备份软件安装在 HP D280 服务器上 ACE 口令认证服务器采用原有的 SUN Enterprise1 提供服务器的一次性口 令认证 安装 AEC SERVER 软件 安全服务器采用 HP NETSERVER 安装 ISS 公司的 INTERNET SCANER 软件 省网管中心的 VLAN 划分为两个 VLAN VLAN1 全省网管服务器 2 台 ACE 口令认证服务器 安全服务器 防火墙内部端口 CONCORD 网管服务器 TOTAL CONTROL 网管服务器 VLAN2 防火墙外部端口 路由器局域网端口 在 CISCO 7206 路由器上 需要在与带外网管网互连的端口上 设置 ACL 禁止其他 163 169 用户从 7206 访问网管网的设备 以保证数据网络的 IP 请求 和数据包不会散播到网管网上 省网管中心局域网结构图见附图 1 3 23 2 省中心节点局域网设计省中心节点局域网设计 省中心节点是全省的信息交换中心 省中心节点担负着全省的省级信息服 务 省信息交换中心包括省 WWW 服务器 DNS 服务器 导航服务器 省级应用 服务器和省应用数据库服务器 担负着向省内和省外用户提供 WWW 服务 DNS 服务 导航服务等重要业务 省中心的 WWW 服务器担负着向省内所有用户进行省级的信息发布业务和省 外进行信息发布的重要作用 负载较大 所以建议负载分担的工作方式 采用 两台 SUN Enterprise 450 和两台 SGI O200 服务器 作为 WWW 服务器 并采用 其中两台 O200 服务器安装 WEB FORCE DIRECTOR 软件提供负载分担 省业务中心作为全省的信息发布中心 在省业务中心利用原有的服务器建 立一个大规模邮件系统 提供企业电子邮件服务和免费电子邮件服务 省中心节点的设备配置如下 WWW 服务器 采用两台 SUN E450 和两台 SGI 公司的 O200 服务器提供 WWW 服务 两台 SGI 公司的 O200 服务器提供 WWW 负载分担服务 安装 NETSCAPE 公司的 Enterprise Server 软件和 SGI 公司的 WEB FORCE DIRECTOR 软件 两台 SUN E450 提供 WWW 服务 安装 NETSCAPE 公司的 Enterprise Server 软件 数据库服务器 采用 SUN E4500 提供 WWW 的数据库服务 数据库服务器 提供 WWW 服务后端的应用数据库 应用数据库保存有本地应用的数据 数据库软件采用 SYBASE 并在此服务器上安装 APPLICATION SERVER 应用服务器 采用 HP NETSERVER WINDOWS NT 操作系统 安装相应的 业务应软件 省中心节点的 VLAN 的划分 VLAN 1 WWW 服务器 导航服务器 应用服务器 VLAN 2 WEB MAIL 邮件系统服务器 VLAN 3 路由器局域网端口 省中心节点 VLAN 划分示意图 VLAN3 202 x x x VLAN1 202 x x x APP 1APP 4SMTP4SMTP1MANAGER VLAN5 202 x x x WWW POP1 WWW 1WWW 4SEARCH ROUTER APP DB WWW POP4 3 33 3 南京节点局域网设计南京节点局域网设计 南京节点局域网负责全省的汇接和南京节点的信息服务和用户接入服务 以及南京本地网的网管和用户认证管理 全省的用户认证计费和漫游认证计费 同时也承担与国家 163 骨干网和国家 169 骨干网的互联 具有举足轻重的地位 南京节点局域网内同时有负责南京节点的交换机也负担着极其重要的任务 因 此 放置两台高性能的交换机共同运行 做负载分担 南京节点的路由器数量较多 有一台 GSR 路由器 两台 7513 路由器组成省 核心层 另有一台 7513 路由器作为南京节点的专线用户和信息源的接入 GSR 路由器通过 POS 与核心层 7513 相连 7513 路由器通过 100M 以太网与局域网交 换机相连 南京节点的接入路由器通过 100M 以太网与交换机相连 在省网与国 家 163 骨干网的两个出口出口处分别设置 8 台 163 CACHE ENGINE 提高对 163 网和其他网络的访问速度 由于全省的用户数据集中存放在省中心的数据库中 建议将全省的用户计 费认证服务器放在南京节点 省业务管理中心在省中心节点有全省认证计费服 务器 全省数据库服务器 在省中心节点的数据库服务器中保存有全省的用户 信息 信源信息 全省的计费信息等重要数据 省认证服务器负责漫游拥护的 认证 信息层用户电子身份证的分发等重要工作 业务管理服务器负责全省的 业务管理 包括全省的用户管理和计费结算的管理 省认证服务器和全省的数 据库服务器在整个网络中的地位极其重要 所以全省认证服务器和全省数据库 服务器互为双机热备份 保证不间断的提供服务 在南京节点配置防火墙系统 保护计费认证系统的安全性 由于防火墙的 性能主要与在它之上实施的安全策略的内容密切相关 如果安全策略设置得当 防火墙对通过它的业务流不会造成瓶颈 全省的用户采用集中认证的方式 即在南京节点设置 4 台 RADIUS SERVER 作为全省的用户的认证 授权和计费服务器 4 台服务器按各节点的用户量 分别负责部分地市的用户的认证 授权和计费 各地市的接入服务器指向一台 READIUS SERVER 作为主 RADIUS SERVER 并选择另一台作为备份 READIUS SERVER 整个南京节点的设备配置如下 WWW 服务器 采用两台 SUN E450 和两台 SGI 公司的 O200 服务器提供 WWW 服务 两台 SGI 公司的 O200 服务器提供 WWW 负载分担服务 安装 NETSCAPE 公司的 Enterprise Server 软件和 SGI 公司的 WEB FORCE DIRECTOR 软件 两台 SUN E450 提供 WWW 服务 安装 NETSCAPE 公司的 Enterprise Server 软件 数据库服务器 采用 SUN E4500 提供 WWW 的数据库服务 数据库服务器 提供 WWW 服务后端的应用数据库 应用数据库保存有本地应用的数据 和 160 系统的数据 并在此服务器上安装 POWER DYNAMO DNS 服务器 配置三台 DNS 服务器 一台负责负全省的域名的解析作为 全省的域名解析服务器 设备选用一台 SUN ENTERPRISE 2 一台作为全 省的域名服务器的备份服务器 设备选用一台 SUN ENTERPRISE 2 一 台负责南京本地的域名解析 设备选用一台 SUN SPARC MAIL 服务器 MAIL 服务对服务器的要求是有较大的容量以及较好的连 接处理能力 设备使用一台 SUN Enterprise 4500 承担本地用户的发 送和接收邮件 后台管理服务器 主要功能为本节点内的用户认证和对本节点的用户 信源等的后台管理和统计报表等 设备采用 SUN Enterprise 1 网管工作站 网管工作站选用 HP C200 工作站 高级信息制作工作站 采用 原 169 的高级信息制作工作站 设备为 SGI O2 全省认证计费服务器 采用一台 SUN Enterprise 4500 为保证工作的 高可靠性 与全省数据库服务器互为双机热备份 全省认证服务器负 责用户的认证 信息层的用户电子身份证的分发 全省数据库服务器 采用一台 SUN Enterprise 4500 为保证工作的高 可靠性 与全省认证服务器互为双机热备份 全省数据库服务器负责 保存全省的用户数据 信源数据和计费结算数据等 全省认证服务器 负责全省用户的认证 授权和计费以及漫游用户的认 证 授权和计费 采用 4 台 SUN E450 服务器 安装 RADIUS SERVER 高级信息制作工作站 采用原 169 的高级信息制作工作站 设备为 SGI O2 专线接入路由器 路由器采用原 169 的 1 台 CISCO 7513 路由器 南京节点的 VLAN 划分如下 VLAN1 核心层 7513 1 的局域网端口 核心层 7513 2 的局域网端口 163 Cache Engine 163 骨干互连路由器局域网端口 VLAN2 核心层 7513 1 的局域网端口 核心层 7513 2 的局域网端口 169 骨干互连路由器局域网端口 VLAN3 WWW 服务器组 DNS 服务器 MAIL 服务器 应用数据库服务器 视频服务器 防火墙服务器外部端口 VLAN4 高级信息制作工作站 业务开发工作站 信息制作工作站 VLAN5 全省计费服务器 全省数据库服务器 RADIUS 服务器组 防火墙服务器内部端口 南京网管工作站 LAN6 163 接入服务器 LAN7 169 接入服务器 LAN8 专线接入路由器 南京节点南京节点 VLANVLAN 划分示意图 划分示意图 VLAN 3VALN 7VALN 6VLAN 2VALN 5 APP DB AS ROUTER VALN 8VLAN 1 RADIUS4JS DB WWW1 MAIL DNS 75137513 163 NAS169 NAS N M SERVER 7206 CACHE ENGINE 720672067206 FIRE WALL WWW4 ACCOUNT RADIUS1 VIDEO Disk array VALN 4 INFO STATION DNS 3 43 4 苏南节点局域网设计苏南节点局域网设计 苏南节点包括苏州 无锡 常州节点每个节点有两台 CISCO 75 系列路由 器 采用一条 34M PVC 线路与省网的核心层相连 即与南京节点的 GSR 路由器 相连 8 条 2M DDN 线路与南京核心层的两台 7513 相连 另在每个节点配一台 CISCO7206 作为专线用户的接入路由器 在苏州 无锡 常州节点的局域网设计中应充分考虑本地局域网的带宽和 节点内服务器 路由器等设备的配置 综合以上情况 在苏州 无锡 常州节 点的局域网 各配置一台 3COM 公司的 CB9000 局域网交换机 各主要服务器以 100M 速率接入局域网 PC 工作站可以以 10M 或 100M 速率接入局域网 路由器 以 100M 速率接入 苏南节点的 WWW 服务器负载较大 建议负载分担的工作方式 选两台 SUN Enterprise 450 作为 WWW 服务器 并采用 SGI 公司的两台 O200 服务器安装 WEB FORCE DIRECTOR 软件提供负载分担 局域网内的设备或端口按其功能的不同 VLAN 局域网交换机采用具有第三 层交换功能的交换机 采用第三层交换技术来解决 VLAN 之间的通讯 苏州 无锡 常州节点的设备配置 WWW 服务器 采用两台 SUN E450 和两台 SGI 公司的 O200 服务器提供 WWW 服务 两台 SGI 公司的 O200 服务器提供 WWW 负载分担服务 安装 NETSCAPE 公司的 Enterprise Server 软件和 SGI 公司的 WEB FORCE DIRECTOR 软件 两台 SUN E450 提供 WWW 服务 安装 NETSCAPE 公司的 Enterprise Server 软件 数据库服务器 采用 SUN E4500 提供 WWW 的数据库服务 注 常州节点 采用一台 SUN E3500 服务器 数据库服务器提供 WWW 服务后端的应 用数据库 应用数据库保存有本地应用的数据和 160 系统的数据 数 据库分配保留 IP 地址 DNS 服务器 DNS 服务器负责苏州本节点的域名的解析 设备选用一台 SUN SPARC 工作站 MAIL 服务器 MAIL 服务对服务器的要求是有较大的容量以及较好的连 接处理能力 设备使用一台 SUN Enterprise 4500 注 常州节点采用 一台 SUN E3500 服务器 承担本地用户的发送和接收邮件 软件采 用 NETSCAPE 公司的 Messaging Server 软件 网管工作站 网管工作站选用 HP C200 工作站 高级信息制作工作站 采用原 169 的高级信息制作工作站 设备为 SGI O2 路由器 苏南节点的路由器采用原 163 网和 169 的两台 CISCO 7507 路 由器 由于在本次扩容工程中无锡和常州节点有两条 34M PVC 线路与 省核心层路由器相连 故需在每台路由器上加一块 VIP 板和 ATM 155M 的 Port Adapter 一个 如原路由器插槽数不够 可考虑将原有的接口 板换成 VIP 板 并配置相应的 Port Adapter 苏州 无锡 常州节点局域网结构图见附图苏州 无锡 常州节点局域网结构图见附图 4 4 苏州 无锡 常州节点的主机和网络设备按功能可划分为以下几个 VLAN VLAN1 WWW 服务器组 DNS 服务器 MALL 服务器 VLAN2 后台管理工作站 网管工作站 系统维护工作站 VLAN3 高级信息制作工作站 业务开发工作站 信息制作工作站 VLAN4 163 接入服务器 VLAN5 169 接入服务器 VLAN6 路由器 1 的局域网端口 VLAN7 路由器 2 的局域网端口 VLAN8 专线接入路由器局域网端口 苏州 无锡 常州节点苏州 无锡 常州节点 VLANVLAN 划分示意图 划分示意图 VLAN1VALN6VALN7VALN2VALN5VALN4VALN3 WWW 4 MAIL VALN8 WWW 1 163 NAS169 NAS ROUTER 2N M SERVER ROUTER 1WORK STATION DNS AS ROUTER APP DBWORK STA