中国港湾总公司建网方案.doc

30目录第一章.需求分析1.1 项目背景1.2 计算机系统需求1.3 需求分析第二章.网络系统设计2.1 网络系统的特点和用户要求2.2 设计原则2.3 局域网总体设计说明2.3.1 传统网络的局限性和现实网络技术的解决方案2.3.2 采用交换以太技术构建局域网2.3.3 大中型局域网设计中的主要问题2.3.4 网络互连分析2.4 广域网络互联2.4.1 广域网连接方式2.4.2 现实的WAN互联选择2.4.3 Internet接入2.5 中国港湾建设总公司网络技术要求2.5.1 VLAN实现2.5.2 LAN设备的功能要求2.5.3 WAN连接设备功能要求2.6 产品简介2.6.1 局域网设备简介2.7 网络系统实施方案第三章.UPS电源系统设计3.1 设计原则3.2 产品选择3.3 产品特点第四章.Intranet平台系统设计4.1 建立Intranet系统的投资收益4.2服务平台的建立原则4.3 产品选型4.4 平台系统设计第五章.网络安全设计5.1 集成的网络安全策略5.2 “防火墙”技术与结构5.2.1 防火墙的概念5.2.2 防火墙技术的实现5.2.3 建设Firewall的原则5.4 中国港湾建设总公司的网络安全设计5.4.1 防火墙建设第六章.服务器系统选型与配置第七章.工程实施7.1 现场勘测7.2 订货和采购7.3 IP地址和域名规划7.4 设备安装及设置7.5 Intranet平台和软件开发环境建立7.6 应用系统开发7.7 网络系统和Intranet平台试运行7.8 工程验收7.9 培训7.10 质量保证体系7.11 质量担保第八章.服务8.1 系统集成、安装及日常维护服务8.2 常规类服务支持方法8.3 厂商服务内容第九章 设备清单及系统报价第一章.需求分析感谢中国港湾建设总公司对凡喜公司的信任，给予我们为中国港湾建设总公司提供网络规划、Intranet/Extranet平台设计及建议的机会。我公司将本着诚挚、科学的态度，从贵方的业务需求出发，利用国际上先进成熟的技术和我们在网络设计和实施、Intranet/Extranet平台建设以及应用开发方面的经验，力争为中国港湾建设总公司提供最佳的系统解决方案。1.1 项目背景为了适应业务的发展和国际化的需要，积极参与国家信息化进程，提高管理水平，展现全新的形象，中国港湾建设总公司准备建立一个现代化的机构内部网，实现信息的共享、协作和通讯，并和属下三个分公司、二十多个办事处互连，并在此基础上开发建设现代化的企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。中国港湾建设总公司信息系统是中国港湾建设总公司迈向二十一世纪的重要举动之一，是公司业务走向高效率、高效益的必要条件。在当今的信息时代，信息对每个团体、每个行为、决策、收益起着重要的作用，人们对信息的依赖日趋强烈。1.2 计算机系统需求目前公司总部只完成了结构化布线工作。总共200多个信息点分布在总部的三层楼内，其中2楼和 3楼的信息点较密集，约有150个。 所以待建网络系统的目标是： 建立内部网(Intranet)。通过内部网络系统，建立现代化的办公环境，同时提供丰富的信息运行网络平台。 将北京总部与和各个分公司、国内办事处互连，建立整个中国港湾建设总公司系统的互连网络。 上连Internet，通过Internet，中国港湾建设总公司可以将公用信息放在网上，进行机构形象宣传；也可以通过Internet与分公司、国内办事处互连，进行信息交互。1.3 需求分析为实现上述目标，可以把整个系统建设分成两个部分，即：网络平台建设和Internet/Intranet平台建设。 （1）网络平台是建立在结构化布线基础上的最基本的平台。可靠的网络平台是Internet/Intranet系统及应用系统正常运行的基础。网络平台的设计应包括局域网的设计、广域网的设计。（2）Internet/Intranet平台包括Intranet、Internet和Extranet。三者的关系如图：Internet/Intranet系统具有客户端单一界面、易于使用的特点。在中中国港湾建设总公司的平台建设中，Extranet部分对应于与各合作伙伴信息交流的相关部分。第二章.网络系统设计2.1 网络系统的特点和用户要求中国港湾建设总公司网络是中国港湾建设总公司总部内部办公以及与下属各个分公司、国内办事处进行计算机信息交流的平台，是一个跨地区的大型网络系统。总部办公楼将通过专线或者微波的方式连入Internet，进行信息的发布，也可以通过Internet与各分公司、办事处进行信息的交互。在局域网平台建设方面，经过具体需求进行分析之后，我们建议建立一个主干100M、部分重要应用桌面独享10M、普通应用共享10M的三级以太网结构，并能在未来平滑地升级到ATM、千兆以太网。网络系统要求能够支持视频会议、视频点播、网上实时交流以及BBS、新闻组等功能。中国港湾建设总公司的网络系统应采用国际、国内应用比较广泛且相对先进的技术和产品，且易于操作、维护：选用TCP/IP协议、UNIX操作系统、SQL数据库。2.2 设计原则根据本网络系统的特点和用户要求，我们的设计原则是：l l 可靠性系统具备网络诊断、测试和在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换。l l 标准化网络技术发展迅速，不能盲目求新，必须以符合国际标准为准则，选择技术已经成熟、标准化的产品，这是保护投资、易于维护的基础。l l 扩展能力充分考虑到目前的业务需求和今后长时间内业务发展的需要，系统可方便地实现升级。当将来采用新技术（如ATM）时原有设备能继续使用，只需增加有限的模块和设备，保护原来的投资。而且，中国港湾建设总公司有些业务部门应用系统的研制开发，可能会安排在本系统之后，将来随着业务的发展，还可能有新的业务部门出现，本系统应该能够适应和容纳这种变化。l l 开放性网络体系结构与系统应用各自独立，与服务器、工作站的操作模式无关，支持各种通讯协议，各种数据库和客户机/服务器以及Internet/Intranet的应用，并能方便地和其它机构、企业的主机和网络互连通讯。l l 灵活性拓扑结构必须灵活，便于进行网络的管理和调整。l l 可维护性网络系统便于管理和维护，配置功能强大的网络管理系统，实现集中维护和检测。l l 严密的安全控制和保密性能系统提供必要的安全保护手段，防止由于操作人员的失误以及系统的意外故障而造成数据丢失或破坏；同时能防止系统外部的侵入和操作人员的非法操作，系统的信息安全性要求达到C2级标准。l l 经济性一次性投资，长年受益，维护费用低，使整体性价比达到最优。l l 先进性支持任务优先级的划分，具有适当的多媒体应用支持。2.3 局域网总体设计说明2.3.1 传统网络的局限性和现实网络技术的解决方案PC机技术和计算机网络技术的广泛应用改变了信息存储和传递的方式，继而改变了人们的生活和工作方式。“网络就是计算机”，已经成为众所周知的时代口号。当今，种类繁多的网络解决方案从技术本质来说是从两个方面对传统网络进行改进，一是改良型的网络解决方案，这种方案的思路是提高网络的总带宽，例如各种高速以太网和FDDI 等，这种方法可以使每个站点分到较高的带宽，是对网络性能提高的一种有效的方法。另一种解决方案是ATM，这是一种革命性的方法，用户可以从未来的ATM 技术中受益，根据ATM所承诺的技术，未来的网络将解决现在网络存在的所有问题。传统网络技术的局限性传统的网络技术通常主要包括：以太网和令牌环网，他们的共同特征是定义对链路共享访问方式，以太网的CSMA/CD 协议和令牌环的令牌传递协议都是一种共享介质的访问方式，这种方式将随着计算机站点数目的增加使网络效率明显降低，因此，传统的网络在满足用户的需要时会产生几个方面的问题：l l无法满足迅速增涨的用户数目；l l无法满足多媒体，工业图象等对网络速度的需求；l l网络互连依赖于路由器，这样的做法提高了成本，同时也降低了效率；l l逻辑网络依赖于物理网络；网络的发展将会使上述问题得到解决，路由器和网桥通过对网络进行分段细化的方法来保证大型网络的效率，这种方法由于其代价的昂贵和解决问题的有限性，已经日益不能为人们所接收。综合看来传统网络技术上有两个主要缺陷，即共享媒体和依赖于路由。当前网络技术的解决方案网络技术的发展是由于两方面作用的结果，其一是为了解决现实中网络的问题，另外的一个重要因素是商品社会的竞争机制所造成的，每个厂家必须有更好更快的产品，实际上最新的技术不一定是用户最迫切需要的技术。我们粗略的看一下当前网络发展概况，当前网络解决问题的方法主要有以下几种：l l 提高速度提高网络速度的主要目的是增加网络的带宽，从而有效的提高网络的效率。l l 划分网段划分网段的主要目的是实现网络的管理和缩小网络中的广播风暴。传统的网络用网桥和路由器来实现对网段的划分，现在取而代之的技术是交换技术，这种方法用最少的花费实现了网络性能的提高，在交换机上数据帧对特定的端口，因此每个端口都不影响其它的端口。l l 解决冲突令牌传递和ATM 交换机等有效的解决了介质访问冲突的问题，在此不必赘言。l l 虚拟网络技术虚拟网络技术是解决物理网络和逻辑网络分离的有效手段，虚拟网技术解决的主要问题是网络管理中的问题。以下几种情况通常要靠虚拟网络的方法解决：u u 不同的物理位置可能组成一个网段，这样以地域为基础划分网段有时无法满足现实的需要；u u 人员或部门的位置调整可能引起网络的变动；u u 网络的使用不平衡可能会造成不同网段的负载差别。解决这一问题的有效的方法是将逻辑子网和物理子网分开，即实现所谓虚拟网络（VLan）。2.3.2 采用交换以太技术构建局域网 交换以太是目前发展最快的一种网络技术，交换机取代了传统使用路由器和网桥连接子网的方法，有效的解决了网络瓶颈的问题。交换以太网可以应用于桌面系统的大型工作组，同时也可以构造规模较小的局域网络主干，同时可以实现虚拟网络，另外还可以平滑地过渡到ATM，作为ATM主干的子网。交换以太可以使用户在以下的方面受益：l l 用户数不断增加时，LAN的性能不会受大的影响，因为可以通过增加网段的方法来增大网络的容量；l l 和现有的以太网完全兼容；l l 完成现有多个局域网的互连；l l 虚拟网络技术，可以很方便的调整网络的逻辑结构；l l HUB之间或HUB和服务器之间的连接可以调整带宽，从而消除网络瓶颈； 目前交换以太技术通常在主干到工作组之间采用，例如ATM-交换以太、FDDI-交换以太、100Mbps交换以太-10Mbps交换以太等网络结构。2.3.3 大中型局域网设计中的主要问题连接一个小型的LAN时，可以说几乎没有什么值得讨论的技术问题，当局域网的规模扩大后，网络设计的技术问题就变的比较突出了，其主要的问题体现在：l l 网络规模的扩大使通讯变的复杂起来，服务器和客户端机器数目的增加，直接导致数据访问方式的复杂性。l l 基于管理和降低通讯瓶颈提高通讯需要划分成多个网段。l l 网段的划分具有不同的方式。l l 网段之间的通讯具有不同的解决方案。l l 网络的设计是否具有比较好的延展性和可预见的技术更新和升级的方法。以上所列举的主要问题在大中型的局域网设计中都应该加以考虑，并给出合理的解释。根据我们所知的大中型LAN设计案例中有很多对以上的问题缺乏分析，其结果是造成通讯效率低下、管理困难。以上问题的核心是如何把一个大型的网络化整为零，又如何把这些小的网络有机的连接在一起，即局域网络互连。在局域网的设计中各个厂商提出的解决方案的共同点是：l l 采用路由器结合交换机的解决方案；l l 交换机负责划分网段，既VLAN划分，路由器负责网段间通讯；l l 网段的划分方法目前的交换机从本质上来说有第二层基于数据链路层的交换和第三层基于网络层的交换，二者在划分VLAN表现出来的特点分别为：l l 第二层交换机只能按交换端口划分VLAN。l l 第三层的交换机可以实现的VLAN划分策略有：1. 1. 按交换端口划分VLAN；2. 2. 按协议划分VLAN；3. 3. 按MAC地址划分VLAN；4. 4. 综合以上的划分方法称为按策略划分VLAN。从以上的事实可以看出在网络划分上，第三层的交换机优于第二层的交换机。所以目前各个公司最新纷纷推出自己的第三层交换机，例如Xylan的Pizza 10 Switch，Omini Switch，Bay最新推出的Switch Node，Fore公司的Power HUB, Cabletron的MMAC plus,CISCO的Catalyst5000系列交换机等，都属于第三层的交换。由于第三层的交换机比较复杂，我们认为在第三层交换机中可能存在的主要问题在于：l l 交换机内的路由软件质量问题；l l 路由效率和交换效率；l l 由于公司之间收购造成的网络产品之间的互连问题，以及网管问题；2.3.4 网络互连分析局域网络的互连主要方式有:基于路由器的解决方案 这是传统的组网方法。在这种方案中，所有的LAN均通过路由器接入主干网。整个主干划分成几个网段。跨越主干的通信均通过路由器实现。不存在跨主干的VLAN。图21 路由为中心的网络拓扑图上述方案存在几个问题：1. 1. VLAN划分不灵活。2. 2. 网络传输速率低。3. 3. 价格比较贵。“交换机+路由器”的解决方案大型的局域网通常由中心交换机和边缘交换机组成。在交换以太骨干环境中，中心交换机一般为高端以太交换机，边缘交换机通常为具有快速以太接口的局域网交换机。二者配合使用，为用户提供大中型局域网解决方案。在这种环境当中，为连接不同的VLAN和IP子网，仍然需要路由功能。因此，许多厂家采用“交换机路由器”的混合解决方案。“交换机路由器”的解决方案的主要思路是： 以交换机为主，路由器“顶”在后面作为辅助设备 交换、VLAN划分等均在交换机内实现 子网划分及网络互连、防火墙等在路由器中实现数据帧从局部的交换以太网进入交换机后，如果目的节点和源节点在同一个VLAN中，则由交换机进行数据交换。否则，需经过路由器进行路由后，到达目的网络的交换机。从具体的实现方法上看，“交换机路由器”又有两种模式。第一种：以一个路由器和一个局域网交换机为一组，用比较便宜的快速技术(如：快速以太网 )连接在一起，如图22。图22 交换路由的网络拓扑图这种方案是早期比较多见的一种。它的优点大体有如下几点：1、设想自然， 容易实现交换机和路由器均不用做过多的改变。甚至在某些厂商(如Cisco)的早期产品中， 每需要互连一个ELAN，VLAN或IP子网，就需要增加一条路由器到交换机的连接。实际上，这时路由器和交换机均未做任何变化。2、结构清晰从网络构架上看， 每一个路由器和一个交换机形成一个“交换-路由”功能组。网络的组成结构非常清晰。3、价格适中这是相对而言的。 因为路由器与交换机之间的连接方式为以太网，端口价格比较便宜。 另外， 路由器不需要参予与ATM有关的功能， 故整机的价格也会相对便宜。但是，这种构架的缺点也是显而易见的。归结起来，大的方面有如下几点：1、转发效率低所有跨不同VLAN和IP子网的通信流量都需要经过路由器，路由器的转发速率要比交换机要慢的多，这样，就把交换网络带来的速度优势都损失了。2、通信流量出现瓶颈大量的不同VLAN之间的通信流量均需要通过路由器。因此，在存在大量VLAN的环境中，交换机与路由器之间的通信量很大。显然，采用“每个VLAN占用一个路由器端口”的策略是不可取的。所以，大量的流量必然挤占一条很有限的带宽。而且，由于所有被路由的数据对路由器均有“一来一回”两个过程，所以路由器到交换机之间的链路的有效带宽的最大值只有其线率的50%。举例来说，如果在主干网上有128个VLAN，同时还有64个IP子网，网络有16组“交换机路由器”，路由器与交换机之间以快速以太网连接，则该链路上平均每个网络获得的有效带宽只有(50M16/192)=4M，整体的网络性能将变得很低。3、非标准的实现方法采用以太网(快速以太网)连接交换机和路由器的实现方法，一定是非标准的。如图23，交换机内的3个VLAN用ATM接入主干网。当它们接入后端路由器时，该链路显然不能仅仅属于任何一个已经定义的VLAN(VLAN1，VLAN2，VLAN3)，也不能属于新的VLAN。为实现不同VLAN的互连，它必须同时属于3个VLAN 但是，没有任何标准可以做到实现的方式依赖厂商。这种情况很类似于VLAN中PortGroup实现方法，在需要跨设备划分或互连时的情况。所有厂商的实现方案一定是非标准的。图23 交换机路由器的非标准化4、价格较高在每一个骨干网边缘的接入点，都需要一台路由器，使整个网络的造价很高。第二种“交换机路由器”的实现方式比前一种有所改进。主要的不同在于，路由器不是直接“顶”在交换机的后面，而是直接接入主干网。它可以属于不同的VLAN，直接参与主干网范围内不同VLAN，不同IP子网之间的互连，见图24。图24 路由器连入主干的交换机路由器的网络拓扑图与第一种“交换机路由器”的方案相比，这种实现方案有明显的改进，主要包括：1、如果没有采用PortGroup的方法来划分VLAN，全部的VLAN都以ELAN(或其它基于标准的方法)来实现的话，所有的网络技术将完全是基于标准的。2、在整个网络范围内来看，路由器和交换机不是一一对应的。路由器的数量可以少于交换机的数量。在极端的情况下，全网可以只有一台路由器，为所有的ELAN进行路由。但是，这种实现方法依然不能克服“交换机+路由器”方式固有的“价格高，效率低”的弱点。具体的分析如下：1、数据流向不合理对于一个跨越主干的数据包，它的理想流向应该是：源局域网-交换机-主干-交换机-目的局域网而在这种实现方法中，只要源和目的节点不属于同一个VLAN且同一个IP子网，那么它的数据流向就是：源局域网交换机主干路由器主干交换机目的局域网显然，数据进入主干两次，造成网络流量的不必要增加和网络延迟的增这是很不合理的。2、路由器的数据瓶颈依然存在所有需要路由的数据在进出路由器的过程中，仍然拥挤在一个带宽相对很窄的链路上，形成网络的瓶颈。特别是，具有快速局域网模块的高端路由器比较昂贵，在一个大型的骨干网中不可能使用很多。这就必然形成少量路由器带大量网络的局面，进一步加剧瓶颈的严重性。有些公司声称他们采用“路由服务器”的技术，在为不同VLAN之间的帧做路由时，只需查看第一帧，以后不必经过路由器。目前还没有任何一个厂商可以做到这一点。3、数据交换对路由器的要求很高4、价格昂贵除主干交换机外，高端路由器的存在，仍使网络价格昂贵。通过上述分析，我们可以看到：以“交换机路由器”为基本特征的解决方案不是真正基于交换技术的方案。它具有很强的传统以路由器为核心的网络结构的痕迹。仅仅是由路由走向交换过程中一种过渡性方案。由于带有传统路由网络固有的局限性，很难摆脱其“价格高，性能低”的致命弱点。基于具有路由功能的交换机的解决方案第三类解决方案是完全基于交换技术的。它直接在网络交换机上加入路由功能，使交换机具有局网交换和路由功能为一体的特征，使得数据的流向趋于合理，消除网络瓶颈，全面提升网络的整体性能。一个数据帧进入交换机后，交换机将判断该帧是需要交换还是需要路由，然后送入相应的引擎中进行处理，或在局部进行交换，或透过骨干网，到达目的节点。在这种解决方案中，通常可在骨干网上定义一个VLAN，上面具有唯一的IP子网，并且连接所有的边缘交换机。这样，如果互连的两个VLAN、IP子网不在同一个交换机上时，通过骨干网的VLAN，经一次转发就可到达目的交换机。即：对于任何需要路由的数据包，局部的主干网络中，最大的转发距离为2跳。所以，总结起来，采用具有路由功能的第三层交换机的解决方案具有以下优点：1、在大型网络中的高性能。 局部转发速度快 无网络瓶颈 不因路由等功能的引入影响骨干的性能 整体性能随网络的扩展线性增加2、所有VLAN方案均为基于标准的实现方法。3、 3、 网络整体造价适中，“性能价格比”高。关于“路由服务器”“路由服务器”是在“交换机路由器”中提高数据传输效率的办法。它的总的设想是尽量减少数据进入路由器的次数。 图25 路由服务器的解决办法如图25，这仍然是“交换机路由器”的模式。当数据进入交换机，发现需要经由路由器进行转发时，交换机不仅仅是把数据送给路由器，在根据返回的数据帧进行交换，而是要经过一次数据包的路由，学到一些路由信息，在下一次遇到相同情况时，交换机可不经过路由器，独立完成数据的转发工作。在这种技术中，交换机被赋予了部分的路由功能。它将保存一张临时路由表，存在高速缓存中，记载从路由器学到的路由信息。在这一过程中，路由器作为“路由服务器”，为交换机提供路由信息，交换机作为客户端学习。如果交换机能够学到路由器全部的路由，则已经很接近第三层交换机了。目前还没有一个厂商能够做到。从技术上看，把“路由服务器”实现到这一步，不如直接实现第三层交换更顺畅。我们认为很多厂家鼓吹的“路由服务器”的性能如何值得考虑。“路由服务器”最大的局限性在于它是非标准的。通常只有同一厂家的路由器和交换机之间才可能有此功能。整体性能上也有局限，是一种过渡技术。综上所述，我们可以得出以下的结论： 第三层的交换机比较适合做比较大型的网络； 第三层交换机具有比较大的灵活性和通讯能力； 网间通讯的VLAN的划分在设计大型网络中比较重要。2.4 广域网络互联中国港湾建设总公司的分支机构遍布全国各地，为了实现信息管理现代化，不可避免地要与外埠机构进行紧密的联系，远程访问局总部的计算机网络是必不可少的。另外，中国港湾建设总公司各个分公司与国内办事处将建立或完善自己的局域网，这些子网与局总部的计算机网络之间要形成一个安全的、可靠的广域网。广域网的连接是将本地网络系统与外部网络互联，以提供本地网络和外部网络系统的通讯。由于技术和费用等其它原因，广域网络互联要根据系统具体需求以及外部环境，采用相应的策略和设备，以获得最佳的性能价格比。广域网的连接主要有几种情况：l l 市内相距较远的相关单位。l l 市外连网。l l 联入公共数据网。l l 远程工作站的PPP接入。l l 少量的ISP接入。我们认为以上的工作内容的实质是: l l 分析广域网应用的模式和流量。l l 选择合理的连网方法和线路。l l 选择合理的网络设备进行连网。2.4.1 广域网连接方式目前我国公共数据通讯服务主要由邮电部垄断，目前的公用数据通信网络以中低速网络为主，主要包括公用数字数据网(CHINADDN)、公用分组交换数据网(CHINAPAC)、公用计算机互联网(CHINANET)，在建的有中国公用帧中继网(CHINAFRN)。下面我们分述一下各种连网方式的特点。l l 中国公用分组交换网(CHINAPAC) 分组交换网是为计算机通讯发展起来的通讯手段，它以CCITT X.25建议为基础，可以满足不同速率、不同型号，终端与终端、终端与计算机、计算机与计算机间以及以及局域网间的通讯。分组交换综合了报文交换和电路交换的优点，是适合数据通讯的新型交换方式。分组交换充分利用统计时分复用的原理，将一条数据链路复用成多个逻辑信道，在建立呼叫时，通过逐段选择逻辑信道，最终构成一条主叫、被叫用户之间的信息传送通路，即虚电路，从而实现数据分组的传送。分组交换网络具有动态路由功能和先进的误码纠错功能。分组交换网是我国建立最早、敷设范围最广的公共通讯网络。从70年代开始，分组交换技术成为数据通讯网的唯一交换方式。1988年邮电部由法国SESA公司引进分组交换设备，组建了我国第一个分组交换公用数据网（CHINAPAC），并于1989年11月投入使用；1993年又从加拿大北方电讯公司（NT）引进更大规模和容量的DPN100设备，组成我国第二个分组交换网的骨干网，并于1994年1月1日投入运营。邮电部于1993年新建的骨干网，由32个交换中心组成，其中北京有两个。建网初期采用不完全网状结构，网中北京、上海、沈阳、武汉、成都、西安、广州、南京等8个城市为汇接中心，北京为国际出入口局，上海为辅助出入口局，广州为港澳地区出入口局。汇接中心之间采用完全网状结构，网内每个交换中心都有两个或两个以上不同汇接方向的中继电路，以确保网路安全。各交换中心之间根据业务量和网路可靠性要求可设置直达高效路由。骨干网32个主节点机共有5800个端口，同步与异步端口之比约为2:1。每个节点的处理能力为30006000分组/s（每个分组为128字节），呼叫处理能力为250次/s。用户速率为1200bps64kbps; 中继线速率为64kbps2.048Mbps。北京国际出入口局以X.75规程与20多个国家和地区的41个公用分组交换网互连，国际间的中继线速率为9600bps64kbps。网路提供交换型虚电路（SVC）和永久型虚电路（PVC），并按照CCITT X.21建议，用户任选业务常用的有速率、分组长度、流量控制等参数的协商和选用、各种闭合用户群、呼叫封阻、被叫付费等等。新业务有虚拟专用网、广播业务、SNA（IBM主机）环境、令牌环局域网、异步轮询接口、中继线带宽动态分配等。骨干网路不可检误码率小于4x10-16，网路时延，国内通讯约为500ms ，国际的约为270ms。随着 CHINAPAC 的建成，我国各地区纷纷建立本地的分组交换数据网。地区分组网是由省、市、自治区交换中心组成，骨干网与地区网各交换中心之间采用辐射连接，但地区内的每个交换机应具有两个或两个以上不同方向的中继电路。全网已有3万个端口，覆盖500多个城市。业务功能CHINAPAC提供两种基本业务类型：u u 交换虚电路（SVC）用户通讯时通过呼叫建立虚电路，通讯结束后释放虚电路。交换型虚电路使用灵活，每次可以与不同的用户进行通讯。通讯费与通讯量有关。u u 永久型虚电路类似固定专线，用户申请时提出，电信部门固定作好，用户一开机即建立起电路，不需要每次通讯时临时建立和释放，适用与点对点固定连接的用户使用。支持的主要协议CCITT X.25、C.28、X.29、X.32、X.75、帧中继、TCP/IP用户的入网方式和通讯速率u u 电话拨号进网可以分为X.28异步拨号入网或X.32同步拨号入网。u u 专线进网分为X.28异步专线入网或小X.25/SDLC同步专线进网，进网专线分为模拟专线和DDN数据专线。l l 中国公用数字数据网(CHINADDN)数字数据网（DDN）是利用数字信道来传输数据信号的数据传输网。它为用户提供话音、数据、图象信号的半永久性连接电路的传输网，它必须建立在光缆、数字微波和数字卫星通道的基础上，以数字交叉连接技术为核心，为用户提供1200bps直到N64kbps甚至2Mbps， N2Mbps的电路。DDN为专用数据网和分组交换数据网提供高速、高质量的通讯环境，并逐步拓展到支持多种业务和增值业务的公用网路。DDN区别于传统模拟电话专线的显著特点是数字电路，传输质量高，时延小，通讯速率可根据需要选择；电路可以自动迂回，可靠性高；一线可以多用，既可以通话、传真、传输数据，还可以组建会议电视会议系统，开放帧中继业务，做多媒体服务，或组建自己的虚拟专网，建立网管中心，自己管理自己的网络。目前DDN专线已经覆盖到全国所有的省会城市和部分县城，DDN是我国的中高速信息国道。我国数字数据网（CHINADDN）也是由国家骨干网和各省、市、自治区的地区网组成。我国DDN骨干网一期工程由全国21个省、市、自治区的节点机和连接它们的数字电路组成。全网设3个国际出入口局，北京、上海和广州，负责与国际数据网的连接。全国设8个枢纽局，即北京、上海、沈阳、广州、武汉、成都、南京和西安。CHINADDN骨干网主要由干线传输层，用户接入层以及用户层组成。干线传输层采用美国数字交叉连接设备DACSI，用户接入层采用加拿大新桥公司的3600 Mainstreet机，其速率为64kbps和nx64kbps (n=131) 的数字交叉能力，对子速率也具有交叉连接和复用功能，包括X.50复用，即1200bps64kbps均可。我国DDN公用骨干网，除提供点对点、点对多点的数据、图象和话音电路，还提供帧中继业务传输，虚拟专用网（VPN）业务和半固定交叉连接电路。全国各地的DDN网几年来也发展迅速，已有几十个城市建设本省、市、自治区的骨干DDN网为金融、证券交易、机关、企事业单位提供高质量、高速率的数字数据专用电路。业务功能u u 租用专线业务点对点专线，一点对多点轮询、广播、多点会议。DDN的多点业务使用于金融证券等用户组建总部于分支机构的业务网。利用多点会议功能还可以组建会议电视系统。u u 帧中继业务用户以一条专线接入DDN，可以同时与多点建立帧中继电路（PVC）。帧中继业务特别适合局域网(LAN)间的互联。u u 虚拟专网功能用户的入网方式和通讯速率u u 通过模拟专线（用户环路）和调制解调器入网使用于大部分用户（光纤未到户的用户），通讯速率最高可到E1(2.048M)。u u 通过光纤电路入网，适用于光纤到户的用户，通讯速率可灵活选择。具体的连网方式选择，取决于业务类型和业务量，以及当地的线路条件等。l l 中国公用帧中继网（CHINAFRN）帧中继技术是在光纤数字线路逐步替代模拟线路、线路质量有了很大提高，局域网、广域网互联和其它大容量的突发性通信需求猛增，用户终端进一步智能化等条件下发展起来的。帧中继带宽的可调性来自于承载信息速率(CIR: Committed Information rate)和接入线路速率的综合利用。承载信息速率体现了平均业务量，而接入速率实质上包含了最大突发速率。这意味着一个运行于T1(1.544Mbps)接入速率，承载信息速率为256Kbps的帧中继连接，可容纳的峰值速率为T1，而用户支付的是256Kbps服务费用。与传统的租用专线相比，帧中继灵活方便且价格便宜，相当于租用专线价格的40%-50%。公用帧中继宽带多业务网将提供帧中继永久虚电路(PVC)业务和帧中继交换虚电路(SVC)业务，具备标准的用户-网络接口(UNI)和网络-网络接口(NNI)功能，同时具备ATM业务功能，用户入网的速率在64Kbps34Mbps之间，以后还可以提供更高的速率。目前，帧中继多以永久虚电路(PVC)方式提供服务，非常类似于租用专线，不能随时建立或释放电路。有了SVC，就可根据需要建立或释放电路，必然产生很大的灵活性。国内公用帧中继业务最初主要是在公用数字数据网(CHINADDN)上配备帧中继模块来实现的。1996年底中国电信开始进行公用帧中继宽带多业务网(CHINAFRN)的工程建设，该网的建设运营标志着我国公用数据通信已由中低速网络向高速网络迈进，整体水平将达到一个新的高度。公用帧中继宽带多业务网骨干网一期工程定于1997年6月建设完成，覆盖21个省会城市，即北京、上海、广州、沈阳、西安、成都、武汉、南京、哈尔滨、长春、天津、石家庄、济南、郑州、合肥、杭州、长沙、南昌、福州、南宁和海口。在北京设立全国网络管理中心。北京、上海和广州为该网国际出入口局。其中北京、上海、广州、沈阳、武汉、南京、成都和西安八个节点为骨干枢纽节点，采用全网状连接。所有节点均配备了ATM和帧中继模块，可以同时提供ATM信元方式的业务和帧中继业务。1997年将进行公用帧中继宽带多业务网的二期工程建设，预计到1997年底公用帧中继网将覆盖到全国所有的省会城市，实现帧中继网与分组网、ISDN和数字数据网的互通，在经济发达、有业务需求的地区建设帧中继本地网。业务功能CHINAFRN提供两种基本业务类型：u u 交换虚电路（SVC）用户通讯时通过呼叫建立虚电路，通讯结束后释放虚电路。交换型虚电路使用灵活，每次可以与不同的用户进行通讯。通讯费与通讯量有关。u u 永久型虚电路类似固定专线，用户申请时提出，电信部门固定作好，用户一开机即建立起电路，不需要每次通讯时临时建立和释放，适用与点对点固定连接的用户使用。用户的入网方式和通讯速率u u 通过模拟专线（用户环路）和调制解调器入网使用于大部分用户（光纤未到户的用户），通讯速率最高可到E1(2.048M)。u u 通过光纤电路入网，适用于光纤到户的用户，通讯速率可灵活选择。具体的连网方式选择，取决于业务类型和业务量，以及当地的线路条件等。2.4.2 现实的WAN互联选择虽然目前市场上出现了多种WAN互联的技术，不同的通信需求广域网互连方式也不同。在通信量较大或者要求瞬时通信速率较高时，一般采用直接铺设专线或者租用公用数据网；在通信量较小并且不要求有很高的瞬时通信速率时，可以采用电话网拨号方式或者通过Chinanet/Internet(Chinanet是中国境内的Internet主干网)互连的方式。中国港湾建设总公司的WAN连接目标是和分公司、国内办事处、海外办事处互连，以及移动用户的访问。在一期工程经费有限，而且网络的实时性要求不高、要求的通信量不大的情况下，可以通过电话拨号或者Internet方式互连。考虑安全因素，可以在总部与分公司各安装一套防火墙，通过Internet建立虚拟专用网（VPN）。在以后具有远程电视会议系统等对网络的实时性、瞬时通信速率要求很高的应用需求时，必需通过中高速数据网络进行（除非ISDN已建立），并且最好选用帧中继网络（在突发信息量频繁的情况下，选用帧中继网络性能/价格比最高）。我们把中国港湾建设总公司的总部WAN设计为一方面通过专线连入Chinanet，另一方面提供拨号访问设备。各分公司、办事处可以通过拨号或者专线连入Chinanet，通过Chinanet与总部及各兄弟单位进行通信，也可以通过电话线直接拨号进入总部网络。2.4.3 Internet接入Internet 是一个巨大的信息海洋，也是不同地区的人们相互之间沟通的重要手段，所以本系统需要具有Internet的接入功能，使得中国港湾建设总公司的每一个管理人员都能够访问Internet的信息、都有自己的电子邮箱，并能实现电子邮件组的功能。Internet的接入一是可以通过Cisco2511路由器，用64KDDN专线与CHINA NET相连来实现Internet漫游，DDN专线需向邮电局申请。二是通过微波发射与CERNET无线对接的方式来实现与Internet的连接。这两种解决方案都可以通过建立自己的WEB站向外界以Homepage的形式发布信息或者实现跨地区的局域网之间的互连。这种方案的特点是可以实现与Internet的不间断连接，费用较高。INTERNET接入收费标准如下：（该费用由北京电信及CERNET中心收取）DDN专线费：MODEM费用为7800元，初装费合计10,000元，月租费1270元。（北京电信收费标准）微波接入费：一次性投资费用为10万元。CERNET接入费：一次性接入费2万元。如果用64K DDN，月收费4800元+7元/M（超过100M的国际流量部分，单向收费，国内流量不限）；如果用128K DDN，月收费7200元+7元/M（超过200M的国际流量部分，单向收费，国内流量不限）；如果用微波，月收费4800元+7元/M（超过100M的国际流量部分，单向收费，国内流量不限）。（CERNET中心收费标准）ChinaNet接入费用（不分国内、国际流量，统一双向收费）包月制：64K DDN 4万元/月；128K DDN 7万元/月。 限流量：限400M/月，费用7680元/月，超过部分按 10元/M计算。铺设专线周期：3个月（目前线路紧张，周期可能更长）；微波建设周期：大约一星期。根据中国港湾建设总公司目前的实际情况，我们建议选用DDN接入Chiannet。2.5 中国港湾建设总公司网络技术要求2.5.1 VLAN实现以太网的VLAN工业标准比较模糊，各厂商的VLAN解决方案差别很大，不同厂商的VLAN兼容性比较差，在同一网络系统中只能采用一个厂商的VLAN方案。中国港湾建设总公司的局域网络系统，将运行大量的业务及办公应用，要求：l l 灵活的VLAN划分能力；l l 支持多种协议的网络层交换能力；l l 高可靠性及快速的故障恢复和定位能力；l l 完善的网络管理和监控。VLAN划分由于中国港湾建设总公司业务的复杂性，需要灵活而快速的VLAN划分能力。l l 支持基于端口(分布在不同的Switch上)、MAC地址、网络层协议的VLAN划分。l l 网络节点可同时位于多个VLAN广播域。将主服务器置于多个VLAN中，可降低路由负荷并提高响应时间。特别对不支持路由的网络协议和应用（如NT服务器），可充分利用NT的Computer Browse及安全特性。l l 支持多种网络协议，如IP, IPX, DECNET, APPLETALK等，便于与异种网络互连。l l 可通过GUI快速改变VLAN设置。网络层交换划分VLAN的主要目标是限制广播域及提高网络系统的安全性，但要求在VLAN之间实现高效及可控制的交换。在中国港湾建设总公司的LAN设计中，放弃了传统的中心路由器，使用网络层交换技术实现VLAN间的互联。l l 端口设置广播阀门，隔离广播风暴；l l 支持多种网络协议，如IP, IPX, DECNET, APPLETALK；l l 可通过网管系统实现基于策略的VLAN互连。高可靠性及快速的故障恢复和定位能力由于中国港湾建设总公司局域网络运行了大量关键应用，因此，最大程度地降低网络停顿时间及故障次数，是整个网络系统可行的重要因素。l l 网络骨干无阻塞设计。l l 交换端口可进行优先级设置。l l 骨干交换机（完成交换及VLAN虚拟路由）不存在故障瓶颈。如冗余电源，无源底板及独立路由设计。l l 网络骨干故障冗余设计。l l 网管系统能快速定位故障，并支持一定程度的自动恢复。l l 网络设备自动隔离故障点。VLAN管理和监控VLAN的监控及管理为网络管理人员收集和分析网络运行数据，以调整VLAN结构，修改VLAN策略及快速定位故障提供有力工具。l l 支持到端口的RMON。（嵌入式RMON）l l 完善的运行日志。l l 统计报表和分析。l l 报警处理。l l 实时网络状态显示。2.5.2 LAN设备的功能要求设计LAN通常由三个层次的网络设备组成，为了便于选择产品，我们看一下各个层次的网络设备应该具备的主要功能。1.中心网络设备中心网络设备应该具备的特点为：u u 模块化机箱结构，支持模块热插拔。u u 背板高速交换总线，带宽可升级；具有较强的数据吞吐能力和数据缓存。u u 较大的端口扩展能力，确保今后对网络扩充的需要。u u 支持多速率、多介质，至少提供光纤、双绞线的10M、100M以太网接口。u u 高容错能力，具有电源冗余、线路冗余、关键模块冗余等功能，主干网络设备应该具有很少的停机时间。u u 支持多种协议，尤其是以太、快速以太和ATM交换。u u 较好的数据包的丢失和断帧控制能力。交换以太缺乏流量控制机制，同时受到数据缓冲能力的限制，在通讯量大时会产生丢包