X数码酒店网络方案.doc

希尔顿数码酒店希尔顿数码酒店 计算机网络系统集成计算机网络系统集成 目目 录录 一 概述一 概述 1 1 1 计算机网络系统设计背景 1 1 2 计算机网络系统集成方案遵循的原则 1 1 3 计算机网络系统集成方案遵循的标准及协议 2 二 用户需求分析二 用户需求分析 3 三 方案设计三 方案设计 5 3 1 网络系统设计 5 1 网络技术分析 5 2 总体方案详解 6 3 设备选型 9 3 2 服务器系统设计 15 3 3 UPS 系统设计 25 3 4 网络操作系统设计 27 概述 1 1 计算机网络系统设计背景计算机网络系统设计背景 在竞争激烈的今天 信息就意味着成功 而计算机网络 将各种个人电脑 服务器 工作站和其它硬件通过相应软件全部联接于一个共用的系统 在帮助企业赢得战略优势上 起着重要作用 让你跨越办公室地理位置的限制快速 方便 可靠地传送数据 但是 今天的网络将不能满足明日的需求 功能日益强大的应用系统 不断增加的用 户 以及近来出现的对声音 图像和多媒体信息的支持 使现有网络解决方案不堪重负 为了配合形势 需要一种从根本上全新的技术来支持实时的信息系统 以便在未来数年内 保持竞争优势 交换技术是未来网络发展的方向 是提高网络带宽到 1000M 的关键 交换技术主持用 户之间多条专有线路的高速连接 消除带宽的瓶颈 同时为大型网络提供了一个强而有力 的 大规模 可伸缩的解决方案 交换式互联网络提供了使您的业务走向未来的虚拟网络 能力 从今日网络的实际限制中解脱出来 这一体系结构让您建立一个可扩展的 高性能的 易于使用的企业信息系统 另外 这项技术不仅支持数据 还支持声音 影像和多媒体的 应用 这正满足了您对未来的需要 1 2 计算机网络系统集成方案遵循的原则计算机网络系统集成方案遵循的原则 根据目前的需求和未来的发展 我们本着以下的原则 提供网络设计方案 1 标准化标准化 计算机网络系统就是要实现网络信息及设备资源的共享 实现方便的信息交流 完成 不同厂商的设备和计算机软件的互连 在一个复杂的大型网络系统里 必然有多个厂商的 硬件及软件 为了保证用户的网络系统具有互操作性 可用性 可靠性 可扩充性 可管 理性 应建立一个开放式 遵循国际标准的网络系统 避免造成用户在网络使用上的局限 性 2 可扩展性可扩展性 由于用户业务的不断扩展 网络系统必然随之不断扩大 因此 目前的网络设计必须 为今后的扩充留有足够的余地 以保护投资 使设计的计算机系统可以在一定的时间内得 以满足不断增长的应用需求 3 先进性先进性 当今世界 通信和计算机技术的发展日新月异 我们的方案要适应新技术发展的潮流 满足用户对新应用的需求 并保证网络系统在若干年内不落伍 适应飞速发展的科学技术 4 有效性和可靠性有效性和可靠性 我们的方案要充分考虑用户的具体情况 不但理论上可行 更重要的是实际上可用和 高效 最好地适应用户需求 为了使网络能可靠地运行 我们方案中要选用高品质的产品 把故障率降到最低 另一方面 我们要使用系统容错技术 从而使停机损失率降到最低 5 可管理性可管理性 随着网络规模和复杂程度的增加 管理和故障排除就越来越困难 现在的工作越来越 多地依靠计算机系统 计算机将成为必不可少的办公设备 计算机系统的故障会给我们带 来的损失将越来越大 为了减少损失 尽快地排除故障是十分必要的 所以使用的网络设 备具备网管的能力 并且拥有一套良好的网络管理软件也就显得越来越重要 它可以减少 故障排除时间 优化网络性能 节省开支 创造效益 我们的方案将提供先进而完善的网 络管理 同时保证网络易于管理和维护也是网络安全运行 可靠有效的重要因素 6 易用性易用性 任何一项高端的科学技术 包括计算机网络 开发的目的是更好的服务与人类的工作 学习 生活 提高人们的办事效率 降低工作强度 提高工作质量 这就要求计算机网络 的开发具有良好的易用性 成为工作的助手 1 3 计算机网络系统集成方案遵循的标准及协议计算机网络系统集成方案遵循的标准及协议 IEEE 802 3 广播总线网络系统 IEEE 802 3u 100Base TX 快速以太网铜电缆标准 IEEE 802 3u 100Base FX 快速以太网光纤标准 IEEE 802 3z 1000Base TX 千兆以太网铜电缆标准 IEEE 802 3z 1000Base SX 千兆以太网光纤标准 IEEE Std 802 3 Nway 自适应 IEEE 802 3x 全双工流量控制 IEEE 802 3p 优先级队列 IEEE 802 9 集成音频和数据局域网标准 IEEE 802 10 局域网内的安全性标记信息包 IEEE 802 1Q VLAN 标记对具有 VLAN 的 802 1 的过滤控制 TCP IP 协议 协议 传输控制层协议 Internet 协议 CSMA CD 协议协议 带冲突检测的载波检测多路访问协议 DHCP 协议协议 动态主机配置协议 DLCI 协议 协议 数据链路连接标识协议 EGP 协议 协议 外部网关协议 EIGRP 协议 协议 增强内部网关路由协议 ICMP 协议 协议 网间控制报文协议 IGRP 协议 协议 内部网关路由协议 IPX SPX 协议 协议 网际包交换 顺序包交换网络协议 HDLC 协议 协议 高级数据链路控制协议 PPP 协议 协议 点对点协议 QoS 协议 协议 服务质量控制协议 RMON 协议 协议 远程网络控制协议 SMTP 协议 协议 简单邮件传输协议 SNAP 协议 协议 标准网络访问协议 SNMP 协议 协议 简单网络管理协议 一 一 用户需求分析用户需求分析 希尔顿数码酒店将建设成为一个五星级的现代化的国际酒店 专门为国际 国内高 级商务人士提供的住宿 娱乐 休闲的高档场所 同时提供大型国际会议的全套服务措施 在当今信息社会 电子商务的兴起 正在改变着传统的商业操作模式 商务运作更依赖于 高速 稳定 可靠的信息网络平台 作为国际现代化酒店为客人提供优越的商务办公环境 是必不可少的 使客人完全可以完成在公司办公室可以实现的功能 不但如此还要保证个 人信息资源的安全性和隐秘性 高速高带宽的信息高速公路 网络主干为 1000M 交换式快速以太网 可以实现多种多样的应用 例如 电视会 议 多媒体文件传输 电子商务等等 为应用系统的建设打下良好的物质基础 满足当前与未来网络系统及应用系统对带宽的需要 远程办公智能化 入住的客人可以通过酒店的网络平台 在客房里就可以访问到自己公司的网络资 源 进行信息资源的调用 而且可以实现诸如电子邮件的收发 网络电话 网络 FAX 网络打印 远程管理等现代化手段 与公司保持事实的联系 并且提供严 密的安全保护措施 保证客人的商业机密的安全 高效率的办公自动化系统 办公及业务处理将走向现代化 形成新的 符合现代业务特点的方式 管理更加 科学化 效率更高 领导通过查询系统可以方便 快捷的对信息中心的财务状况 人事材料 公司文档等资料进行查询 信息中心的状况一目了然 全面的统计分析和领导决策支持系统 针对某一重大问题 酒店管理层可以在网上展开调查 并对反馈的结果进行分析 作出最后的决策 交领导决策层讨论 对公司内调查时节省了人员集散时间 缩 短了问题反馈时间 对外地还可通过 Internet 对远在千里之外的用户展开调查 提高了对重大问题的快速反应能力 财务管理的计算机化 财务核算实现计算机管理 使管理的过程更加简单 可靠 会计核算更加快速 准确 能够及时的向领导 税务部门 主管部门反应公司的财务 资金状况 各 种分录 帐目更加整齐 易于查询 统计 打印更加美观 迅速 计算机自动化 控制将使财会核算过程更为高效 便捷 可靠 通过 Internet 掌握世界经济 科技动向 网上信息传播的速度较其它煤体更快 更新 酒店管理层可随时查阅世界各地的 经济信息 做到足不出户 就可以纵览天下 随时掌握世界经济动态 随时作出 决策 电子邮件的广泛使用 使得信件的传递更加迅速 以往几天才能到达的信 件 通过网络只需几分钟即可送到 可以随时与上级主管部门汇报工作 与有关 单位进行业务往来 也可以通过网络与员工进行交流 信息电子化 实现无纸化办公 信息的存储及传输大量采用电子化手段 使得信息的查询 传递更加方便 快捷 同时无纸化办公的实现 节省了大量的办公费用 适应了当今信息化时代的需要 信息化酒店管理 客人可以在客房内浏览互联网 可以通过网络预定房间 查询服务项目 价格 可以进行房源管理 房态查询 预订查询 客帐查询 客户登记 消费结算等现 代化管理 电子商场 网络交易 建立自己的网站 发布服务信息 服务报价 电子交易 进行网上拍卖 对外地 的员工进行网上培训 坚固的网络防卫措施 网络建设应具备良好的防卫手段 以防止恶意的侵入和破坏 保护网络的健康 稳定 可靠的运行 防止公司资源和信息 数据的泄漏 二 二 方案设计方案设计 3 1 网络系统设计网络系统设计 1 1 网络技术分析 网络技术分析 1 1 快速以太网交换 快速以太网交换 100BASE TX 100BASE TX 100BASE FX100BASE FX 快速以太网交换是采用高速交换技术 推出的目的就是将带宽密集型资源 如服务器 或台式交换机 的性能提高一个等级 站点数增加会不导致每个站点可用带宽降低 使用标 准的 IEEE 802 3u 协议 是建立在以太网的基础上的 它的与以太网的兼容性 经济有效 性及稳定性已经使其成为应用最广泛的高速网络技术之一 快速以太网的传输介质是 100BASE FX 光纤和 100BASE TX 铜缆 另外它可以支持全双工操作 使网络带宽增加一倍 获得更佳的网络性能 在光纤链路下连接不超过半径 2Km 双绞线不超过 100M 拓扑结构 为星形结构 支持多链路备份 但在较大网络中收敛速度慢 2 2 FDDIFDDI FDDI 是采用共享介质的技术 站点数增加会导致每个站点可用带宽降低 拓扑结构为 双环 最大距离可支持 200Km 双向传输速率最高可达到 200Mbps 不适于多媒体应用 支 持双链路冗余 容错性能较好 标准完备 技术成熟 可构造大型网络 但带宽不可扩展 是上一代的大型网络连接产品 3 3 100VG AnyLAN100VG AnyLAN 物理介质存取方式 Demand Priority Polling 一种新的但未被广泛接受的技术 有一定的实时性 不适于构造大型网络 适用于工作组 支持的厂商很少 4 4 ATMATM 是网络发展的方向 全交换式网络 数据以信元格式定长传输 传输速度快 速率可 增长 155M 622M 目前最高速率 622Mbps 面向连接的技术 实时性强 很好地支持多 媒体应用 站点数增加不会导致每个站点可用带宽降低 支持多条链路冗余和备份 容错 性好 带宽高且可增长 提供良好的 QoS 机制 适于构造大型网络甚至广域网 多业务宽带骨干多业务宽带骨干 ATMATM 技术技术 ATM 技术早在 90 年代初就已经被提出 只是由于技术需进一步成熟 市场需求未形成 在当时并没有被投入实用 发展到 90 年代中后期 承载业务技术迅速发展 电信用户对网 络服务种类和服务质量要求不断提高 而当时多数电信运营商采用的是 TDM 网络和 X 25 网 络 无法适应当时的网络情况来满足这些不同的用户需求 因此必须采用一种全新的网络 技术来满足市场需求 ATM 技术此时已经基本成熟 同时由于市场需求的驱动 ATM 技术成 为一种被广大电信运营商采用的宽带骨干技术 仔细分析一下市场情况 据瑞典电信的统计和预测 目前话音业务的发展已经趋于饱 和 业务增长正在趋于平缓 这是由于话音业务的特点是 实时性 单一性 以及业务量 的稳定性 已拥有的电话基础网络已经可以满足话音业务的需求 而数据业务近几年来增 长很快 并将在未来的两年内 2000 年 达到所有业务占有率的 70 80 以上 同时视频 图 象等多媒体的应用需求也有较大增长 主要在公众娱乐方面 与传统电话业务相比较 这 些新出现和增长的业务特点主要为 高突发性 高速率 多种服务质量要求 ATM 采用统计复用技术 以固定长度的信元 53 个字节 传送数据 为用户提供虚拟电 路 VC 即具有 TDM 的特点有兼顾统计复用的优势 同时具有优越的流量管理机制 是满 足以上多种业务用户需求的合适技术 采用采用 ATMATM 技术组建的基础网络的特点技术组建的基础网络的特点 1 多媒体业务 由于 ATM 采用统计复用的技术 可以动态分配带宽 对于具有突发性特 点的数据业务来说极为有利 同时 ATM 以固定长度的信元传送用户业务 又可以保证对 时延敏感的用户的需求 如话音等 另外 对于传送多媒体业务应用的 ATM 网络来说 最 不同于传统网络的方面就是要面对多种不同特点的用户信息 为了满足这样的用户需求 ATM 技术中规定了多种服务质量级别 并且拥有相应的服务质量保证机制 因此 ATM 对于 多媒体业务应用是最理想的网络技术 2 充分利用宝贵的中继带宽以及优越的 QOS 保证机制 ATM 技术的最大特点之一就是具有 优越的流量管理机制 ATM 论坛的 TM4 0 规范规定了一套完整的闭环式 主动 拥塞管理机 制 不仅可以将拥塞发生的可能性降低到最小 还可以在先进的交换机缓存和排队机制配 合下将中继带宽的利用率提高到 95 以上 从而最大限度上利用了宝贵的中继带宽 为网 络运营商带来及其客观的经济效益 同时优越的管理机制也保证了不同用户的 QOS 3 硬件处理速度 ATM 采用固定长度的信元传送数据 使用户业务信息的拥入成为可预见 的 加上先进的硬件芯片技术 使得 ATM 交换机完全采用硬件技术来完成 ATM 信元的交换 因此采用 ATM 技术的网络速度可以提高到硬件处理速度 完全满足现代用户不断增长的传 送速率要求 4 为 IP 业务提供有效的技术传送平台 如本文开头所述 IP 业务已经发生突飞猛进的增 长 并且还将继续这种增长势头 因此 在基础网络平台上传送的用户业务大多数为 IP 业 务应用 采用什么样的网络平台传送 IP 业务就显得尤其重要 ATM 技术平台可以为 IP 业 务提供有效的传送通道 主要的流量管理机制主要的流量管理机制 由于 QOS 以及拥塞控制机制是 ATM 特别突出于其他技术的特点 本文将重点描述 ATM 的流量管理技术 流量管理机制和服务质量保证机制主要包括 流量监管 UPC 输入端 队列管理 中继队列管理 智能帧丢失 闭环式拥塞控制机制以及动态缓存机制 1 流量监管 UPC UPC 位于交换机的入口处 起到数据流量的监视管理作用 当用户数 据进入网络时 首先由 UPC 机制监管 衡量用户数据是否符合合同 符合合同 则顺利送 入网络 若不符合合同 则有两种做法 或者简单丢弃 或者在不符合合同的信元上打标 记 CLP 1 交换机采用双漏筒 DualLeakyBucket 机制进行计算 2 输入端队列管理 Per VC Queuing 在网络输入端 交换机应采用 Per VC Queuing 和 Per VC RateScheduling 的队列管理 见下图 来保证业务的 QOS 和不同用户之间的公正性 每个用户连接有自己的缓冲队列 交换机根据该连接的参数和网络使用情况对该队列进行服务 Service Per VC Queuing 和 Per VC RateSchedduling 机制保证了每个用户连接的带宽分配 同时在用户间提供了防 火墙 防止了用户间的相互影响 若网络接入 VC1 VC2 和 VC3 三个用户 其业务量分别进入各自的队列 交换机根据三 个用户通过 CAC 与网络签订的合同中的业务描述参数 PCR SCR MCR 等 以及 QOS 参数 CLR CTD 等 决定三个用户数据是否前传以及传送多少的动作 由 Per VC RateScheduling 来调整三个用户数据传送速率的大小 这样的操作不仅可以满足不同用户 对 QOS 的不同需求 也保证了用户数据之间传送的公平性 其中任一用户数据的突发都不 会影响其它两个用户 综上所述 Per VC Queuing 确保了每个连接都有它自己的队列和 缓存区 以保证每个连接的业务特性和 QOS 这保证了较高级别的连接永远也不会受到较 低连接或变化多端的网络情况的影响 3 中继队列管理 业务级别的队列 在交换机的中继上应提供每一个业务级别的排队 与输入端的 per Vc 排队结合在一起能够改善连接 区分业务 以满足不同客户的需求 在一个交换平台上支持多用户业务和在它们之间共享带宽的能力是基于 ATM 的交换结 构最富吸引力的优点之一 当输入端采用 UPCPolicing 以及 Per VC Queuing Per vc Scheduling 将用户数据进行 了优化和整形之后 OptiClass 在中继上为不同用户的服务等级 如 CBR VBR ABR UBR 进 行了 QOS 保证 交换机应有足够的中继队列 不仅可以支持现有的 ATM 业务级别 CBR VBR RT VBR NRT ABR UBR 还为 IP 业务的不同 QOS 奠定基础 有关 IPCOS 描述 见本讲座话题 IPQOS 同时还可以为飞速发展的用户新应用打下从硬件到软件的良好基础 这是网络业务可扩展性的一个重要体现 4 智能丢帧机制 IPD 在 ATM 网络中传送的数据 无论原来数据包的大下 均会被砍成 53 个字节的 ATM 信元 当其中有一个信元丢失时 用户数据通过网络传送到目的端 重新 恢复成原有的数据包才会发现已经有部分数据丢失 由高层协议发出重传请求 显而易见 这种工作方式是非常没有效率的 因为有可能网络中传送着许多目的端用户会丢弃的数据 不仅占用网络珍贵的带宽资源 也有可能造成拥塞 智能早丢包机制正是为了解决这个问 题而出现的 其原理是 一旦发现数据丢失 就将整个数据包丢失 数据包的尾部除外 从而避免网络中继带宽的浪费 并且将拥塞发生的可能性控制在网络外部 IPD 机制包括 两种 早丢包 EPD 机制 以及部分丢包机制 PPD 这种智能机制可以使得信元级的传输 损伤不被扩大 交换机支持这两种机制 EPD 基于缓冲器大小以及阈值 当阈值达到某一确定值时 EDP 机制判断为拥塞会发生 于是预先把将要进入缓冲器的整帧 最后一个带有 EOF 的信元除外 丢弃 以避免拥塞的发 生 提高网络的有效吞吐量 图 EarlyPacketDiscardScheme PPD 的工作方式见下图 PPD 机制不采用阈值判断的方式 而是当网络发生拥塞并开始丢弃信元时 PPD 机制将属于同 一帧的随后所有信元 最后一个带有 EOF 的信元出外 全部丢弃 以避免无效信元占用 网络资源 CEP 端可以依靠最后一个带有 EOF 的信元来确认用户帧 并要求重发 5 ATM 的闭环式拥塞控制 ABRVSVD ATMFROUM 的 TM4 0 采用 RM ResourceManagement 信 元作为反馈信息 反馈网络资源的应用情况 ATMTM4 0 规定了四种方式 ATM TM4 0 规 定 了 四 种 方 式 ABR with EFCI ABR with ER Stamping ABR with Exlicit cell tagging 和 ABR with VS VD Virutal Source Virtual Destination 前三种均采用 RM 信元反馈网络情况 但 RM 信元是反馈到 CPE 设备上 由 CPE 设备来控制用户数据的发送情 况 网络并没有主动权来控制用户数据的发送 而 ABRVS VD 则是将网络交换机虚设成源端 和终端 RM 信元反馈的情况由交换机作出反映 而且可以在每个节点或一个网络段的基础 上灵活地设置网络内的流量控制环 如下图所示 因此采用 ABRVS VD 网络的运营者才可以 主动可根据每个网络的规模 时延和网络的跳数等要求设置网络的 VS VD 控制环 以保证 在网络拥塞时不发生信元的丢失和业务的中断 6 动态缓存管理实现更有效的拥塞管理 交换机应配有大型的缓存区和动态缓存管理方案 用于保证延迟敏感和非敏感业务进入或离开节点 交换机根据所呈现的业务量和业务级别 协议逐个向虚拟电路动态地分配缓存区 既能保证业务量的最低要求 又可以最有效地动 态使用缓存区 充足的缓存区随时能够适应进入节点的大规模业务量 防止网络因发生与 其他竞争对手业务常见的拥塞和缓存区不足而造成的大规模丢弃现象 提高网络的有效吞 吐量 ATM 上所开展的业务 无论是帧中继 ATM 还是 IP 业务都具有很强的突发性 ATM 骨 干网交换机在除了可以建立连接与高速交换信元这些基本的功能之外 也必须具有可以有 效的支持数据突发的机制 这些机制有的在 ATMForum 里已直接有所述 ABRExplcitRate ABRVS VD 有些是间接的要求 PerVCQ 其中一个不在 Forum 的直接规 范范围内 但已是学术界或工业界一致同意的结论就是 网络数据在 ATMVC 上传输的端到端 性能取决于缓冲器的大小 没有足够的缓冲器 将造成在业务时突发时出现严重的数据丢 失现象 当信元流失现象发生时 数据必须重发 这会造成客户应用层的延迟增加 使客户的 吞吐量下降 如果网络拥塞现象仍然存在 重发的包 信元只会使拥塞恶化 重发的包也会 在网络里 拥塞处 被丢弃 综上所述 ATM 技术以其优越的流量管理机制 适应于各种 QOS 的多媒体业务需求等 特点在现有网络中得到很好的验证 5 5 千兆位以太网 千兆位以太网 GigabitGigabit EthernetEthernet 千兆以太网的标准已正式颁布 它能够在园区网中提供高达 1Gbps 的带宽 同时提供 对原有的以太网环境自然简便的升级方式 千兆以太网采用同以太网 快速以太网 快速 以太网同样的 CSMA CD 协议 同样的包格式及同样的包长 简化了对用户原有网络的升级 提供了一定程度上的投资保护 快速以太网FDDIATM千兆以太网 传输速率100M100M155M 622M1000M 访问方式CSMA CD 碰撞 TOKEN PROTOCOL 无 碰撞 QoS 信元交 换 带优先级的 CSMA CD 碰撞 介质类型双绞线 多模光纤 单模光纤 双绞线 CDDI 多模光纤 单模光纤 双绞线 多模光纤 单模光纤 双绞线 多模光纤 单模光纤 产品标准化程度高程度高实现方案接近 标准 实现方案 标准 价格低高高中 拓扑结构星型结构双环结构星型结构星型结构 适用范围局域网城域网城域网园区网 千兆以太网在保持快速以太网 CSMA CD 基本结构的同时提供 1000M 带宽和优先级 支持 基本上兼容广泛使用的交换以太网 同时具备一定的服务质量和服务类别 Qos Cos 能力 具备平滑升级特性和优异传输性能 交换式千兆以太网具有以下特性 1 成熟性 以太网技术发展到今天 各种标准已经逐渐完善 技术驱于成熟 是目前在计算机网 络中应用较为广泛的园区主干网技术 2 扩展性 以太网 快速以太网均使用IEEE的802 3标准 可以不用修改而将目前应用平滑过渡 而且千兆位以太网也使用了相同的标准 保证与快速以太网的兼容性 3 适应性 千兆以太网具有很大的应用空间 适合几乎所用的应用 并且可以与多种类型的传输 介质连接 具有更强的适应性 综上所述 千兆以太网技术是一种较优的技术选择 园园 区区 网网 络络 主主 干干 的的 技技 术术 选选 择择 毫 无疑 问 目 前 可 行 的 选 择 技 术 只 有 2 种 即 622Mbps ATM 和 千 兆 以 太 网 下 面 对 这 2 种 技 术 在 与 IP 相 关 的 多 个 方 面 进 行 了 对 比 千 兆 以 太 网 以 帧 方 式 传 输 ATM 以 信 元 方 式 传 输 IP 包 的 传 输 效 率 采 用 ASIC 芯 片 进 行 子 网 之 间 的 IP 包 传 输 速 度 快 路 由 协 议 如 OSPF 由 软 件 运 行 采 用 全 双 工 操 作 以 提 高 传 输 效 率 采 用 MPOA 在 子 网 之 间 传 输 IP 包 以 旁 路 速 度 较 慢 的 路 由 器 MPOA 客 户 需 要 专 用 硬 件 支 持 这 是 一 种 捷 径 式 路 由 技 术 旁 路 了 防 火 墙 固 定 长 度 的 信 元 导 致 传 送 IP 包 的 效 率 不 高 服 务 级 别 和 服 务 质 量 新 的 IEEE 802 3 帧 格 式 提 供 了 数 据 包 的 优 先 级 别 CoS 和 标 准 的 VLAN IEEE 802 1p 802 1Q 低 延 时 一 般 小 于 15 s 用 户 可 以 对 流 量 进 行 优 先 化 标 识 在 网 络 发 生 拥 挤 时 保 证 高 优 先 级 的 应 用 的 响 应 时 间 交 换 机 拥 有 多 个 不 同 级 别 的 输 出 队 列 IP TOS Types of Service 提 供 IP 层 的 服 务 级 别 IP TOS 中 的 CoS 位 可 以 映 射 成 ATM 的 QoS 可 为 每 个 虚 连 接 分 配 一 个 队 列 为 话 音 视 频 和 数 据 提 供 服 务 质 量 分 别 为 CBR VBR 和 UBR 但 LANE1 0 并 未 使 用 CBR 和 VBR 目 前 直 接 在 VBR 上 开 发 的 应 用 几 乎 没 有 流 量 控 制 全 双 工 操 作 及 不 同 速 率 接 口 要 求 有 流 量 控 制 802 3x 可 用 于 降 低 输 入 数 据 流 的 速 率 需 要 TCP 层 的 流 量 控 制 流 控 的 实 现 有 以 下 差 异 潜 在 的 拥 塞 问 题 只 能 工 作 在 全 双 工 方 式 消 耗 带 宽 基 于 ABR 的 端 到 端 流 控 要 求 ATM 的 站 点 和 边 缘 交 换 机 支 持 ABR 未 被 普 遍 采 用 实 现 上 的 难 易 程 度 交 换 机 需 要 高 速 背 板 的 支 持 需 要 新 的 硬 件 控 制 器 第 三 层 交 换 不 要 求 对 原 网 络 进 行 彻 底 更 新 需 要 有 系 统 的 方 法 设 计 和 维 护 ATM 网 需 要 新 的 硬 件 以 支 持 MPOA 客 户 用 户 需 重 新 培 训 是 否 新 的 帧 格 式 向 后 兼 容 利 用 MPOA 在 IP 主 机 之 间 建 立 捷 能 保 证 网 络 的 平 滑 升 级 第 三 层 交 换 不 要 求 对 原 网 络 进 行 彻 底 更 新 径 式 路 经 MPOA 要 求 硬 件 支 持 虚 拟 网 用 802 1Q 建 立 基 于 端 口 的 VLAN Intranet 要 求 建 立 基 于 子 网 的 VLAN 某 些 交 换 机 支 持 基 于 策 略 的 虚 拟 网 ATM 的 强 项 VLAN 与 LANE 和 MPOA 集 成 在 一 起 每 个 端 口 可 属 于 多 个 VLAN IP Multica st 第 2 3 层 交 换 机 使 用 IGMP Snooping 技 术 自 动 设 置 IP Multicast 小 组 某 些 第 3 层 交 换 机 还 支 持 DVMRP 路 由 协 议 可 以 建 立 点 到 多 点 的 虚 连 接 第 4 层 数 据 流 的 控 制 ASIC 硬 件 可 辨 认 TCP 的 端 口 号 交 换 机 可 将 Qos CoS ToS 参 数 应 用 于 交 换 的 数 据 流 上 对 IP 应 用 区 分 优 先 级 无 从 以 上 对 比 可 以 看 出 建 设 交 换 式 IP 园 区 骨 干 网 所 需 的 功 能 用 千 兆 以 太 网 是 完 全 可 以 实 现 的 这 主 要 是 由 于 支 持 千 兆 以 太 网 的 第 3 4 层 交 换 机 的 出 现 大 大 地 增 强 了 千 兆 以 太 网 在 园 区 的 地 位 原 来 认 为 的 以 太 网 的 一 些 不 足 如 对 多 媒 体 应 用 的 支 持 灵 活 的 网 络 拓 扑 结 构 和 多 链 路 负 载 分 享 基 于 标 准 的 虚 拟 网 等 已 被 新 的 技 术 和 标 准 所 解 决 CISCO 千 兆 以 太 网 交 换 机在 单 模 光 纤 上 传 输 距 离 可 达 75 公 里 同 时 还 支 持 IP over SDH SONET 使 得 这 种 技 术 能 从 园 区 扩 展 到 城 域 网 ATM 技 术 将 继 续 在 一 定 时 期 内 在 广 域 网 领 域 发 挥 作 用 对 于 那 些 要 求 有 严 格 的 服 务 质 量 保 证 例 如 利 用 ATM 的 线 路 仿 真 技 术 提 供 高 质 量 的 话 音 通 讯 的 用 户 来 说 ATM 技 术 仍 是 值 得 考 虑 的 选 择 但在大厦的网络建设中骨干网络采用 ATM 网络 桌面采用以太网技术 就要经 过 ATM 信元到以太网数据帧的转换 增加了网络负载 降低了总体性能 而且 ATM 与以太 网的结合必须通过 LANE ATM 局域网仿真 这样 ATM 上的 QoS 技术就不能完全实现 但是本着发展性的原则 我们在选择设备的时候 还要从技术发展的长远考虑 所 以采用的设备完全是模块化设计 可以最大限度满足当前的应用需求 又经济的同时 提 供可扩展的插槽 为将来酒店的发展预留空间 可以支持 ATM 千兆 WAN 当应用需求 增长时 在目前的网络平台的基础上 只须添加一些扩展模块即可以平滑的过渡到更高的 水准 针对希尔顿数码酒店的具体情况和要求 本方案选择了中心交换机采用千兆级交换机 主干采用千兆以太网技术 与二级交换机连接 二级交换机采用 10M 100M 自适应交换机 实现到用户交换 100M 2 2 总体方案详解总体方案详解 希尔顿数码酒店的计算机应用主要以大量的信息查询 信息检索 资源共享为主 传输 的信息有大量的图片 图象 音频 数据 因此需要较大的带宽和传输速率 本方案采用 技术先进 并已形成国际标准的千兆以太网作为主干网 以太网标准由 IEEE LAN MAN 标准委员会的 802 3 工作组创建并维护 近几年 802 3z 工作组致力于光纤和屏蔽跨接电缆集合 短距离铜线 的千兆以太网解决方案 1997 年春天 新的工作组 802 3ab 成立 研究基于 4 对 5 类缆线的 长距铜线 解决方案 其标准为 4 对 5 类 UTP 最大长度 100 米的千兆以太网连接 该标准为以太网 MAC 层定 义了一个接口 GMII Gigabit Media Independent Interface 还定义了管理 中继器操作 拓扑规则及四种物理层信令系统 1000Base SX 短波长光纤 1000Base LX 长波长光 纤 1000Base CX 短距离铜线 和 1000Base T 100 米 4 对 5 类 UTP 注 1000Base CX 为 150 欧姆 平衡屏蔽的特殊电缆集合 线速 1 25Gbps 使用基于 光通道的 8B 10B 编码方式 其时间帧与光纤连接相同 千兆以太网也是以太网 可以保证产品向前兼容 主要有 交换机 上连 下连模块 网卡 千兆以太网路由器 以及一种新设备 叫缓存式分配机 buffered distributor 缓存式分配机是一种全双工 多端口的类似集线器的设备 将两个或工作在 1Gbps 以 上的 802 3 链路连接起来 缓存式分配机把分组转发到除源链路外其它所有链路上 提供 共享带宽域 与 802 3 的冲突域相对 也被称为 盒子中的 CSMA CD 它与 802 3 的中 继器 repeater 不同 允许在转发到达各链路的帧之前先加以缓冲 作为共享带宽设备 缓存式分配器应与路由器和交换机区分开 配有千兆以太网接口 的路由器可以有支持高于或低于千兆速率的背板 而连到千兆以太网缓存式分配器背板的 端口共享一千兆的带宽 对于多端口的千兆以太网交换机而言 其高性能背板可支持数千 兆的带宽 本方案的主干核心级交换机采用 CISCO 6000 千兆交换机 各楼层设置二台 CISCO 3548XL 提供 48 个 10 100M 快速以太网接口 两个扩展模块 可插接一个千兆 GBIC 光纤 模块 进行链路上联至 3508XL 另一个插槽插接一个千兆 GBIC 堆叠模块 堆叠分设备间 的 3548XL CISCO 3548XL 提供 100M 到桌面的速率 考虑到千兆以太网卡的价格比较昂 贵 但是网络服务器往往是一个网络的瓶颈 因此可以采用 CISCO 先进的快速以太网通道 的技术 实现交换机到服务器 200M 的速率 CISCO 6000 千兆交换机预留的插槽 可以满 足希尔顿数码酒店信息中心网络的扩充 以及与其他办公楼 开发楼的光纤连接 分配线 间设置比较多 因为考虑到大厦今后需要外租 外租单位不需作太大的变动就可以与大厦 的网络系统独立出来 如果外租单位不具备管理的能力 仍可以由大厦信息管理中心管理 而且同样具备良好的安全性 并通过 ciscowork2000 对网络进行全面的管理 交换技术交换技术 VLAN 技术应用技术应用 为了加强网络系统的安全性 防止广播风暴 有效的利用网络带宽 减少网络负载 提高网络传输速率 采用 VLAN 虚拟局域网 技术 根据交换机的端口将网络划分为客 房 VLAN1 宾馆 VLAN2 服务 VLAN3 管理层 VLAN4 四个 VLAN VLAN 之间通过 ISL 形成网络主干 使广播包限制于 VLAN 内 每个 VLAN 必须设置自己的安全 属性 访问级别 QoS 服务质量 CoS 服务等级 VLAN安全属性访问级别QoS应用 管理最高专有权限中级酒店办公中枢系统 客房高设定私有帐号高级客人远程访问 宾馆中内部设置权限低级日常办公 服务中GUEST高级Web 服务 VLANs 允许网络管理人员使用相应的虚拟网络软件设计 修改和管理网络而无需改 变网络的物理结构 一个虚拟网是一个广播域 它不受路由器的限制 实现虚拟网后 网 管人员无需改变网络物理结构 就可根据部门的性质和企业的需求建立和配置 虚拟网络 使用 VLAN 管理软件创建虚拟网具有很多优点 快速组成 VLAN 而无需改变其网络物理结构 为每个 VLAN 分配它所需要的带宽 在网络环境中增加安全性 优化 VLANs 以适应某种特殊应用的需要 虚拟网设计中主要考虑了下面的因素 定义 虚拟网的定义决定了实现虚拟网的方案 1 根据交换机的端口定义 可以设定一系列端口 使它们在同一个广播域中 2 根据 MAC 地址定义 将特定 MAC 地址集合聚集成虚拟网 3 根据 IP 定义 根据计算机 IP 地址的子网号划分虚拟网 4 根据应用定义 考虑到应用对带宽和服务级别的不同要求 综合上面 1 3 种定义 监控 能够监视虚拟网的运行状态 阻塞情况 安全状况等 传统的 LAN 一般是以广播方式工作的 而网络监控是通过一台相连的网控设备收集 并处理的 交换机由于有专门的连接而改变了这种网络监控追踪的技术 主要方式有 1 嵌入式监控 2 外部监控 3 内置智能代理 路由 虚拟网之间如何互连 包括虚拟网互连的路由算法及实现方式 1 使用传统的路由器 2 分布式 集中式虚拟路由 基于策略的管理 基于策略的管理 是虚拟网中的最高境界 用户都要通过某种技术来 达到其应用目的 基于策略的管理正是将规则和限制嵌入整个网络管理系统种 NetFlow 技术技术 NetFlow 的主要功能在于它能够为服务供应商和企业提供网络的容量规划 趋势分 析以及数据的优先级方面的信息 这项技术也可以用于基于 IP 的计费应用和服务级别 保证 SLA 的校验服务 NetFlow 的工作原理主要是 NetFlow 先记录下初始化 IP 包的数据 如 IP 协议类 型 服务种类 ToS 接口标识等 然后 为了更有效对数据进行匹配和计数 NetFlow 让随后的数据在同一个数据流中进行传输 同时 对它们使用各自相应的服 务 如安全性过滤 QoS 策略 流量策划等 实时数据被存储在 NetFlow 的缓存中 通过读取的操作指令就可以重新找回 是为酒店客户提供高优先级别的 QoS 的保证 在 NetFlow 的基础上 Cisco 公司又提出了 NetFlow 策略路由 NPR 技术 这个 基于 Cisco IOS 服务的技术 提供了流量规划 IP 预先分类的功能 为策略路由提供 了高效 高性能的 NetFlow 机制 由于 NPR 也支持 CEF 体系结构 因此可以用于分布 式的平台上 对 Internet 的访问采用稳定 可靠 高速率的 DDN 专线连接 具体收费情况与当地电 信部门联系 可以进行 64K 128K 2M 的连接 考虑希尔顿数码酒店信息中心的应用需求 及经济性的原则 建议采用 2M 的方式 通过 CISCO 路由器及 DTU 与当地数据局进行点 对点的连接 CISCO 路由器有很好的扩展性 可以满足用户将来对 ISDN 帧中继的需求 保护用户的投资 并且可以通过路由器自代的 IOS 操作系统 设置包过滤机制 实现防火 墙的功能 加强企业网的安全机制 防止网络攻击 为了保证酒店网络的稳定运行 应该提供广域网的线路冗余 建议采用价格低廉 稳 定的 ISDN 线路作为备份 防止 DDN 专线出现意外故障时 网络仍可以正常工作 为了给酒店的客人提供完善的办公环境 建议采用 VPN 远程连接服务 VPN 远程连接服务与电话拨号的比较 带宽 电话拨号的网络传输速率受电话线路的限制只能达到 14kbps 而 VPN 的连接可以 保证在 56kbps 的速率 消除了客人上网的瓶颈 上网速率更加快捷 费用 免除了远程电话拨号的长途电话的通信费用 只收取本地市话费用 安全 采用 VPN 标准协议 L2TP 和 cisco Ipsec 隧道加密协议 使客人在网络上传输的 数据通过 56 位的加密保护 保证了客人的利益 应用 客人通过 INTERNET 只能远程访问公司的网页 及进行邮件的收发等简单应用 而 通过 VPN 客人可以通过自己在公司的帐号 密码建立与公司网络的专线 直接访问公司 的资源 如同在公司的局域网上一样 实现真正的远程办公 在现代社会中 国家 组织或其他团体的强大与否很大程度依赖于其信息流 信息流 必须要以安全可靠的方式从源端传送到目的端 这样接受者才能确定所接受的信息与发送 的信息是一致的 而且某种类型的信息不应该被网络上的其他主机所识别 在安全方面 路由器是保证网络安全的第一关 其保护策略是以访问表的形式进行的 被创建的访问表 可以被用来允许或拒绝信息流通过一个或多个路由器接口 访问表对 CISCO 安全是至关重 要的 保证安全有很多因素 其中最为重要的是控制报文流进入网络 通过检测报文头部 的信息来防止特定的报文进入一个网络 称为 报文过滤 报文过滤 让用户可以基 于报文的源 IP 地址 目的 IP 地址和应用类型控制流入网络的数据流 在很多情况下 路 由器是管理的边界 管理域表示网络设备的一般分组 网络设备可以是被单个管理组织所 维护的如工作站 服务器 路由器等 不同的管理域有不同的安全策略 路由器所承担的 一项功能是将这些分离的管理域连接起来 路由器作为一个园区 LAN 与 Internet 或多个园 区网之间的连接点来承担这项任务的 在这种情况下 因为两个管理域之间互通的报文都 要经过路由器 所以路由器是唯一适合于过滤报文 的设备 而且对于地理上分离的组织 路由器对数据网络的连接是必须的 所以不再需要其他的附加设备和软件就可以实现报文 过滤的安全功能 尽管在许多服务器平台上可以安装特别的硬件来提供分离组织之间的 WAN 连接 但这种方案的扩展性并不好 服务器一般不能提供 CISCO 路由器中这样齐备 的协议和物理接口 所以大型的组织乐于选择这种成熟的解决方案 CISCO IOS 操作系统 中包含了创建一个复杂的边界安全解决方案的所有功能 对于希尔顿酒店的网络系统还要需要更高的安全保护措施 因此建议采用 CISCO PIX 防火墙作为酒店网络的坚固防御系统 CISCO PIX 防火墙面向固定连接线路的安全性防护 装置提供了极高的安全性 采用基于自适应安全性算法 ASA 的防护方案 可有效的防 止网络黑客的入侵 所有进入网络的数据包都将与基于 ASA 算法建立起的包括源地址 目 的地址 端口号码及 TCP 序列号等数据的列表项目相比较 只有列表项目中存在相应的连 接线路 才能够通过防火墙访问 网络安全防范技术网络安全防范技术 目前 网络安全防范技术主要从网络访问和网络协议入手 有下面一些具体的技术 1 密码学技术 密码学技术不只局限于对数据进行简单的加密处理 而是包括加密 消息摘要 数 字签名及密钥管理在内的所有涉及到密码学知识的技术 网络安全服务的实现离不开加密 技术的支持 应用加密技术不仅可以提供信息的保密性和数据完整性 而且能够保证通信 双方身份的真实性 2 访问控制 访问控制是根据网络中主体和客体之间的访问授权关系 对访问过程做出限制 可分 为自主访问控制和强制访问控制 自主访问控制主要基于主体及其身份来控制主体的活动 能够实施用户权限管理 访问属性 读 写 执行 管理等 强制访问控制则强调对每一 主 客体进行密级划分 并采用敏感标识来标识主 客体的密级 3 身份认证 身份认证主要是通过标识和鉴别用户的身份 防止攻击者假冒合法用户获取访问权限 对于一般的计算机网络而言 主要考虑主机和节点的身份认证 至于用户的身份认证可以 由应用系统来实现 4 安全审计 安全审计通过对网络上发生的各种访问情况记录日志 并对日志进行统计分析 从而 对资源使用情况进行事后分析 审计也是发现和追踪事件的常用措施 5 安全监控 安全监控技术主要是对入侵行为的及时发现和反应 利用入侵者留下的痕迹 试图登 录的失败记录 异常网络流量 来有效地发现来自外部或内部的非法入侵 同时能够对入侵做出及时的响应 包括断开非法连接 报警等措施 安全监控技术 以探测与控制为主 起主动防御的作用 6 安全漏洞检测 安全漏洞检测技术是指利用已知的攻击手段对系统进行主动的弱点扫描 以求及时发 现系统漏洞 同时给出漏洞报告 指导系统管理员采用系统软件升级或关闭相关服务等手 段避免受到这些攻击 以上是最基本的网络安全技术 其他还有例如 SSL SHTTP SOCKS IPSec 和 SET 等多种安全协议和安全技术 均是对这些技术的不同应用和扩展 目前网络安全产品市场上的主流产品有防火墙 VPN 和入侵检测系统等 它们的功 能 对相关攻击的防范措施各不相同 防火墙 防火墙是目前使用最广泛的一种网络安全产品 从技术角度来讲 防火墙有 3 种体系 结构 代理型防火墙 包过滤型防火墙和电路型防火墙 但目前市场上的防火墙产品主要 以应用代理和状态包过滤 Stateful Packet Filtering 防火墙为主 状态包过滤是一种通