网络新技术和税务系统网络发展趋势

1、目 录 TOC o 1-3 h z HYPERLINK l _Toc33269204 第一章 网络新技术与税务系统网络进展的趋势 PAGEREF _Toc33269204 h 3 HYPERLINK l _Toc33269205 1.1 IP协议将成为网络的主导协议CISCO公司是IP网络世界的领导者 PAGEREF _Toc33269205 h 3 HYPERLINK l _Toc33269206 1.2 CISCO的AVVID体系结构：数据网络，电话网络，视频网络三网合一 PAGEREF _Toc33269206 h 4 HYPERLINK l _Toc33269207 1.3 Inter

2、net/Intranet技术的广泛应用 CISCO的IBSG解决方案 PAGEREF _Toc33269207 h 5 HYPERLINK l _Toc33269208 1.4 网络向智能网络方向进展 CISCO公司的Content Networking体系 PAGEREF _Toc33269208 h 6 HYPERLINK l _Toc33269209 1.5 电子商务的进展要求网络具有内容意识CISCO的E-Business 解决方案 PAGEREF _Toc33269209 h 6 HYPERLINK l _Toc33269210 第二章网络建设目标、原则及建网技术分析 PAGEREF

3、 _Toc33269210 h 8 HYPERLINK l _Toc33269211 2.1网络建设目标 PAGEREF _Toc33269211 h 8 HYPERLINK l _Toc33269212 2.2网络建设原则 PAGEREF _Toc33269212 h 8 HYPERLINK l _Toc33269213 2.3 宽带网络技术概述 PAGEREF _Toc33269213 h 9 HYPERLINK l _Toc33269214 2.3.1 宽带网络进展现状及趋势 PAGEREF _Toc33269214 h 9 HYPERLINK l _Toc33269215 2.3.1

4、千兆以太网组网技术优势 PAGEREF _Toc33269215 h 9 HYPERLINK l _Toc33269216 第三章 需求分析 PAGEREF _Toc33269216 h 11 HYPERLINK l _Toc33269217 3.1 数据通信网络现状 PAGEREF _Toc33269217 h 11 HYPERLINK l _Toc33269218 3.2 网络工程需求分析 PAGEREF _Toc33269218 h 11 HYPERLINK l _Toc33269219 3.3 网络设计要求 PAGEREF _Toc33269219 h 11 HYPERLINK l _

5、Toc33269220 3.4 网络结构需求 PAGEREF _Toc33269220 h 12 HYPERLINK l _Toc33269221 3.5 网络功能需求 PAGEREF _Toc33269221 h 12 HYPERLINK l _Toc33269222 第四章 网络解决方案 PAGEREF _Toc33269222 h 14 HYPERLINK l _Toc33269223 4.1网络方案拓扑图 PAGEREF _Toc33269223 h 14 HYPERLINK l _Toc33269224 4.2 网络方案描述 PAGEREF _Toc33269224 h 14 HYP

6、ERLINK l _Toc33269225 4.2.1城域网 PAGEREF _Toc33269225 h 14 HYPERLINK l _Toc33269226 4.2.2 局域网 PAGEREF _Toc33269226 h 16 HYPERLINK l _Toc33269227 4.2.3 外联网/因特网 PAGEREF _Toc33269227 h 18 HYPERLINK l _Toc33269228 4.2.4 网管 PAGEREF _Toc33269228 h 19 HYPERLINK l _Toc33269229 4.3 网络服务质量保证 PAGEREF _Toc3326922

7、9 h 19 HYPERLINK l _Toc33269230 4.4 设备配置清单 PAGEREF _Toc33269230 h 23 HYPERLINK l _Toc33269231 4.5 网络增值应用 PAGEREF _Toc33269231 h 23 HYPERLINK l _Toc33269232 4.5.1 VoIP应用 PAGEREF _Toc33269232 h 23 HYPERLINK l _Toc33269233 4.5.2 IP视频应用 PAGEREF _Toc33269233 h 24 HYPERLINK l _Toc33269234 4.5.3 CALL CENTE

8、R联系中心 PAGEREF _Toc33269234 h 25 HYPERLINK l _Toc33269235 4.5.4 网上办公- Cisco的WEB交换机CSS11000 PAGEREF _Toc33269235 h 27 HYPERLINK l _Toc33269236 第五章.网络治理 PAGEREF _Toc33269236 h 28 HYPERLINK l _Toc33269237 5.1 CiscoWorks2000 LAN治理解决方案 PAGEREF _Toc33269237 h 29 HYPERLINK l _Toc33269238 5.2网络治理建议 PAGEREF _

9、Toc33269238 h 31 HYPERLINK l _Toc33269239 第六章.网络安全策略 PAGEREF _Toc33269239 h 34 HYPERLINK l _Toc33269240 6.1 安全设计目标 PAGEREF _Toc33269240 h 34 HYPERLINK l _Toc33269241 6.2 数据集中网络的安全需求分析 PAGEREF _Toc33269241 h 34 HYPERLINK l _Toc33269242 6.2.1 安全需求分析的范围 PAGEREF _Toc33269242 h 34 HYPERLINK l _Toc3326924

10、3 6.2.2 按内容进行网络安全需求分析： PAGEREF _Toc33269243 h 34 HYPERLINK l _Toc33269244 6.3 安全性设计指导思想 PAGEREF _Toc33269244 h 36 HYPERLINK l _Toc33269245 6.4 网络安全解决方案 PAGEREF _Toc33269245 h 37 HYPERLINK l _Toc33269246 6.4.1数据中心的核心交换平台的安全隐患及其解决方案 PAGEREF _Toc33269246 h 37 HYPERLINK l _Toc33269247 6.4.2实时入侵检测 PAGERE

11、F _Toc33269247 h 37 HYPERLINK l _Toc33269248 6.4.3安全漏洞检查 PAGEREF _Toc33269248 h 38 HYPERLINK l _Toc33269249 6.4.4 Cisco 安全策略治理器 PAGEREF _Toc33269249 h 38 HYPERLINK l _Toc33269250 6.4.5 整体安全策略制定和治理 PAGEREF _Toc33269250 h 41 HYPERLINK l _Toc33269251 6.4.6整体安全策略的实施 PAGEREF _Toc33269251 h 44 HYPERLINK l

12、 _Toc33269252 6.5从网络结构实施安全策略 PAGEREF _Toc33269252 h 54 HYPERLINK l _Toc33269253 6.5.1设备级安全 PAGEREF _Toc33269253 h 54 HYPERLINK l _Toc33269254 6.5.2网络级安全 PAGEREF _Toc33269254 h 55 HYPERLINK l _Toc33269255 第七章.技术支持及服务 PAGEREF _Toc33269255 h 59 HYPERLINK l _Toc33269256 7.1售后服务的差不多理念 PAGEREF _Toc3326925

13、6 h 59 HYPERLINK l _Toc33269257 7.2.公司技术支持力量 PAGEREF _Toc33269257 h 59 HYPERLINK l _Toc33269258 7.2.17x24小时全天热线技术支持和远程故障诊断的具体操作方式 PAGEREF _Toc33269258 h 60 HYPERLINK l _Toc33269259 7.3.Cisco公司在中国的备件供应 PAGEREF _Toc33269259 h 62 HYPERLINK l _Toc33269260 7.4软件更新及升级 PAGEREF _Toc33269260 h 64 HYPERLINK l

14、 _Toc33269261 7.4.1软件补丁 PAGEREF _Toc33269261 h 64 HYPERLINK l _Toc33269262 7.4.2维护版软件 PAGEREF _Toc33269262 h 64 HYPERLINK l _Toc33269263 7.4.3具备新功能的新版系统软件 PAGEREF _Toc33269263 h 65第一章 网络新技术与税务系统网络进展的趋势1.1 IP协议将成为网络的主导协议CISCO公司是IP网络世界的领导者IP协议差不多有专门长的历史，它是与Internet同步成长起来的网络协议。在过去，IP协议并非主导的网络协议。例如讲，在七十

15、年代，IBM的SNA占主导地位；八十年代，又出现了专门多新的决议，例如，Novell公司的IPX协议，苹果公司的AppleTalk协议，DEC公司的DECnet协议，Banyan公司的Vines协议等等。然而进入八十年代末和九十年代，特不是进入九十年代，随着Internet的爆炸性增长，IP协议得到了广泛的应用。越来越多的应用程序，例如万维网技术，电子邮件，文件传输，等等。因此，IP协议成为主导协议差不多不可能逆转，这是市场的选择，是用户的选择。因此，Novell公司也宣布支持IP协议，他们的NetWare 5网络操作系统完全支持IP协议。另外，IBM公司的SNA网络系统也在向IP网络过渡。I

16、P协议具有许多方面的优势：a. IP协议是开放的网络协议，它也是事实上的工业标准，因为众多的生产厂商都支持该标准。因此，IP协议比IPX，SNA等专用协议具有更大的优势。b. IP协议是一个特不完善的协议集。IP协议本身运行在网络层，因此它的扩展性特不行。在这一点上，公司的SNA协议以及微软公司使用NetBUEI协议是无法与之比拟的。c. 基于IP协议开发的应用程序极为丰富。特不是九十年代以后，随着Internet的爆炸性增长，在Internet上的应用程序如雨后春笋般涌现出来。其中包括了IP电话，图像传输，视频点播，电视会议系统，等等多媒体应用程序。d. IP协议是网络层协议，它不依靠于任何

17、第二层的传输技术。例如ATM，帧中继，时分复用网络，以太网等等。因此特不灵活，能够通过不同的第二层网络技术来构造复杂网络，IP运行在它们之上，使应用程序不必关怀第二层的具体的网络技术。同时，IP协议又比其他的第三层网络技术，例如，Novell公司的IPX协议，具有更大的优越性。随着技术的进展和应用的丰富，IP的服务质量（QoS）也在不断的改善。与ATM网络相比，IP网络的QoS技术进展得更快，应用支持更加丰富。尽管IP技术和ATM技术不是完全可比的两种技术，然而，他们都具有一定的服务质量，目前来讲，在基于I技术开发的多媒体应用程序远远多于基于ATM技术开发的多媒体应用程序。在以后几年内，IP协

18、议的服务质量技术将会达到一定的水平，目前，在Internet上差不多有了大量多媒体应用程序。综上所述，IP协议在以后几年内成为世界上的主流网络协议差不多不可阻挡。现在，在大多数的企业网络内，IP协议都差不多逐渐成为主流。尽管，在金融企业内，IBM的SNA技术仍在广泛使用，然而，IP技术将逐渐取代其它的网络技术。随着市场的驱动和技术的不断进展，IP协议也将不断的改进和完善。Cisco Systems, Inc.思科系统公司是世界领先的Intranet和全球Internet网络互联厂商。其设备和软件产品要紧用于连接计算机网络系统，思科系统公司的软硬件产品使人们在任何时刻、任何地点，通过任何型号的计

19、算机系统均可实现对信息的访问。思科系统公司的网络互联解决方案已为众多用户提供了更为快捷有效的信息交换的途径，降低了用户开销，提高了工作效率，并进一步拉近了用户与其客户商业伙伴和公司职员之间的距离。1984 年 12 月，思科系统公司正式成立。1986年，Cisco第一台多协议路由器面市，到1993年，建成了世界上第一个由1000台Cisco路由器连接的网络，思科系统公司也从此进入了一个迅猛进展的时期。1998至1999财年销售额达到121.5亿美元，在全球拥有20000多名雇员，其中亚洲地区超过 1200 人，同年Cisco的综合技术领先程度、客户支持度和财政平衡能力等各项 标准荣登美国Net

20、work杂志榜首。目前，思科系统公司差不多成为市值仅次于通用电器的全球第二大公司。思科系统公司已成为公认的网络互联解决方案的领先厂商，其提供的解决方案是世界各地成千上万公司、大学、企业和政府部门建立网间网的基础，用户遍及电信、金融、服务、零售等行业以及政府部门和教育机构等。市场研究公司Dataquest的调查结果显示，思科系统公司在1996年已跻身世界十大电信公司的行列，是全球增长最快的电信产品供应商，年增长率达87。同时，思科系统公司也是建设互联网的中坚力量，目前互联网上80以上的骨干路由器是思科系统的产品。思科系统公司是全球网络化企业的成功范例。通过使用互联以及企业内部网，思科系统公司每年

21、至少节约经营费用5亿美元，同时还提高了客户与合作伙伴的中意度，并在客户支持、产品订购及交货时刻中取得了许多优势。目前，思科系统公司每天通过互联网络实现的销售额超过3000万美元，70以上的客户支持服务差不多上通过互联网来实现的。思科系统公司之因此能够在激烈的竞争中独树一帜，除拥有先进的技术、产品、服务、解决方案外，关键还在于公司高瞻远瞩的企业理念，即遵循客户至上的原则，为客户提供多种全面的解决方案。1.2 CISCO的AVVID体系结构：数据网络，电话网络，视频网络三网合一电话网络的进展差不多有一百多年的历史，目前的电话技术是基于时分复用、电路交换的技术。因此，目前的电话网络对网络带宽的利用率

22、比较低。而且运营成本高。为了提供更加丰富和复杂的附加业务，例如，800号业务等等，电话网络越来越多地利用了计算机技术。而数据网络的进展只有三十年左右的历史，但数据网络进展却特不的快。特不是进入九十年代以来，数据网络的进展速度远远高于电话网络的进展速度。而且目前差不多有专门多方法使得在数据网上能够传输话音信息。通过数据网络传输语音信号具有专门多方面的优点，例如节约带宽，因为在数据网上传输的语音信号是进行压缩之后再进行传输的，而且传统的电话网络的传输方式是电路交换，而数据网络的传输方式通常是包交换。这就大大地提高了线路带宽的利用率。现在，越来越多的语音应用差不多开发出来。IP协议的服务质量也得到了

23、不断的改善，打电话差不多成为现实。这一现实使得原本特不昂贵的长途电话变得特不廉价。随着技术的进展，电话网络和数据网络逐渐合二为一，即话音信号通过数据网络传输差不多成为进展的趋势。电话网络和数据网络的合并将大大降低通讯网络的运营成本，简化网络的治理，关于用户来讲，最大的好处确实是节约了费用。那个合并的过程也许是一个漫长的过程，最早将话音信号在数据网络上面传输的用户应该是企业用户。因为企业差不多拥有了自己的数据网络，而且那个数据网络通讯线路的租费通常是固定的。如此，就能够利用数据传输多余的带宽来传输话音信号。其好处是，第一，能够节约长途电话费，这对一个跨地区或者是跨国的大企业来讲是特不重要。第二，

24、能够保证话音传输的安全，因为那个网络是由企业自己操纵的网络。这对科技园来讲尤其显得重要。第三，电话网络和数据网络合并之后，整个网络的设备投资和运行维护成本将大大降低。另外，随着计算机网络带宽的不断提高和IP服务质量的不断改善，在数据网上传输视频信号已逐渐成为可能。目前差不多有了专门多种视频应用，例如远程监控，视频点播，电视会议，远程教学等等。这些视频应用，有的需要较多的带宽，因此，目前在广域网上传输视频应用可能还不太成熟。伴随着网络传输技术的不断进展，当一个企业拥有一个高带宽的企业网络时，例如一个企业能够在一个都市的范围内，建立一个城域网。利用那个高带宽的城域网（千兆位以太网，或者是ATM网络

25、）传输视频信号将特不容易。综上所述，在以后的几年内，数据网络，电话网络，视频网络将逐渐融合在一起，即，融合在数据网络内。CISCO公司AVVID代表着Architecture of Voice and Video Integrated into Data的含义，该体系结构能够关心客户在基于开放 式标准的协议下，建立基于IP的网络应用，并逐步走向三网合一的网络。目前，在AVVID体系结构下，CISCO差不多推出一系统解决方案，具体的介绍可参考以下URL：/warp/public/779/largeent/avvid/solutions/。1.3 Internet/Intranet技术的广泛应用

26、CISCO的IBSG解决方案进入九十年代以来，Internet/Intranet技术得到了广泛的应用。在以后几年内，Internet/Intranet技术在企业的办公自动化，治理信息系统，信息公布，内部信息交流，职员培训，等等应用方面，会起到越来越重要的作用，成为企业内部网的要紧技术手段。以思科公司的企业内部网为例，Web技术和电子邮件已成为思科公司内部网络的要紧工具。在企业内部信息交流方面，电子邮件已成为思科公司的要紧通信手段之一，其他通讯手段还包括，电话系统、语音信箱。在企业内部信息公布方面，Web技术已成为要紧手段。另外，在职员培训方面，基于Web技术的远程教学，已成为辅助手段。所有这些

27、技术已成为思科公司职员日常工作不可缺少的工具。它大大加快了公司内部的信息流淌，极大地增强了公司的竞争力，大大的提高了职员的工作效率和劳动生产率。思科公司的企业内部网是当今世界上最好的企业网络之一。思科公司近几年的飞速进展和成功专门大程度上依靠于以企业内部网络的成功。从人均劳动生产率来看，年，思科公司拥有职员一万五千人，而一年的营业额是八十五亿美元。人均产出率约为56.7万美元。可见成功的企业内部网络对提高企业竞争能力，提高人均生产率起到不可低估的作用。而Internet/Intranet技术差不多成为构造企业内部网的关键。CISCO公司的Internet商业解决方案组（Internet Bus

28、iness Solutions Group IBSG）隶属于CISCO客户支持机构，专门为 CISCO客户提供服务。 CISCO的IBSG与客户、领先的治理顾问、系统集成商和独立软件厂商（ISV）共同合作，关心客户了解并应用CISCO的全球连网商业模式。借助全球连网商业模式，IBSG可关心客户加速采纳Internet商业解决方案，在全球新市场中获得竞争优势。CISCO差不多在专门多具体的行业中，建立了Internet商业解决方案的标本，请参考以下URL：/warp/public/779/ibs/vertical/publicsector。1.4 网络向智能网络方向进展 CISCO公司的Cont

29、ent Networking体系往常的数据网络只是将数据包从一个终端设备传输到另一个终端设备，网络本身不能识不各种不同应用所产生的数据包，因此也就谈不上智能网络。那个地点所讲的智能网络，是指能识不应用程序所提交的不同的数据包，依照不同的应用，按照事先制定好的治理策略，进行处理。例如，关于语音信号，网络将保证其带宽、延迟和抖动。关于企业的关键数据应用，例如企业的业务交易信息，网络将提供优先保障。除了在服务质量方面提供统一的策略之外，智能网络还能够在网络安全方面提供集中的策略操纵。和往常的网络不同，现在的网络越来越复杂，网络上的应用越来越丰富，这就导致了网络的治理越来越困难。假如我们没有统一的集中

30、的治理策略，没有有效的技术手段来实现对整个网络的统一治理和操纵，特不是对不同应用程序采取不同的策略来保证它得到一定的网络资源和服务质量，还有，对不同的用户和不同的应用程序采取不同的安全策略以保证网络的安全性。假如没有这一切操纵手段，以后的复杂网络和复杂应用将难于操纵。思科公司不断的致力于智能网络技术的研究进展，目前提出Cisco Content Networking 体系确实是CISCO在智能网络方面的领先的产品和技术 的体现。Cisco Content Networking提供推动下一代Internet业务模型 所需的智能网络服务。通过Internet业务应用(例如电子商务、供应链治理和工作

31、人员优化)的动态识不，网络服务能够实现端到端的安全、性能及可用性。通过以下URL：/offer/content/etour/L313-166XC，能够了解更多的CCN的信息。1.5 电子商务的进展要求网络具有内容意识CISCO的E-Business 解决方案随着Internet的不断进展，电子商务技术越来越成熟。电子商务技术改变了传统的企业经营方式，极大的方便了企业的客户，特不是对银行业，商业企业，电子商务更为重要。目前世界上差不多由许多利用电子商务取得成功的企业的例子。例如，在1998年，思科公司的客户订单有百分之七十三是通过计算机网络，也确实是电子商务的方式下到思科公司的。1998年，平均

32、每天思科公司两千一百万美元的订单是通过电子商务的方式交易的。另外，其它一些成功的企业，例如，Dell计算机公司，Amazon网络书店，他们的成功也差不多上依靠于电子商务的手段。对科技园讲，利用电子商务手段更是不可幸免的趋势。这将会改办公的传统方式，极大地提高工作效率，降低成本。电子商务是基于Web的交互式应用，需要网络具有内容意识。同时该网络必须高度可用，因为故障停机直接导致丢失客户，损失收入。该网络必须提供最高水平的服务，增强客户中意度和竞争区不。而且，它还必须能使企业具备敏捷性、能够迅速部署新电子商务应用。Cisco Content Networking提供电子商务应用。Cisco Con

33、tent Networking是一个提供对关键任务电子商务应用 至关重要的内容意识网络的新体系结构。Cisco Content Networking体系结构能够满足在基于扫瞄器的电子商务应用，如下在线订单的客户的要求：a. 能够瞬时访问处理在线交易的企业服务器。b. 提供立即的订单确认。c. 订购过程完全可靠而且始终可用。关于更多的CCN的E-business请参考CISCO网站。第二章网络建设目标、原则及建网技术分析2.1网络建设目标在网络方案设计中，依照科技园今后应用情况，网络传输基于TCP/IP协议，整个网络的建设应该将科技园的网络系统建设成为端到端的，以IP协议为基础的整和数据、语音和

34、图象等多业务的一体化网络平台，需要在全网范围建立统一的安全策略、QoS策略、流量治理策略和系统治理策略，使整个网络成为符合业务进展和网络技术进展的优秀平台。2.2网络建设原则a. 先进性：网络技术应为当期国际同业中先进的，并能支持以后网络技术的高性能需求，同时在业界表现出较高的网络性能；b. 安全性：能有效防止网络的非法访问，爱护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性；c. 可靠性：整个网络系统应具有专门高的安全可靠性，必须满足724365小时连续运行的要求。在通信故障发生时，网络设备能够快速自动地切换到备份链路或设备上；d. 可用性：整个网络系统要按照有用、好用的原则，使

35、网络具有较高的有用性；e. 时效性：网络要保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确证业务交易的实时高效完成。f. 完整性：网络系统应实现端到端的，能整合数据、语音和图象的多业务应用，需要在全网范围统一的实施安全策略、QoS策略、流量治理策略和系统治理策略的完整的一体化网络；g. 成熟性：本网络系统需要整合包括TCP/IP，SNA，语音和图象等多种网络技术，只有成熟的平台和解决方案并在国内的企业用户成功使用才能够保证关键业务系统有一个可靠的运行，以有利于业务进展；h. 可扩展性：网络要具有面向以后的良好的伸缩性能，既能满足当前的需求，又能支持以后业务网点、业务量、业务种类的

36、扩展和与其它机构或部门的连接等对网络的扩充性要求；i. 效益性：网络的投资应随网络的伸缩能够持续发挥作用，爱护网络的投资，充分发挥网络投资的最大效益；j. 可治理性：网络要应用统一的网络治理平台实现对整个网络系统、设备、安全性、数据流量、性能等的监控和治理，并可方便直观的进行远程治理和故障诊断。k. 可实施性：整个网络解决方案的实施要便于实际的实施，并在实施过程中要保证现有网络和切换的完整性和一致性，确保实施工作的正常、顺利。2.3 宽带网络技术概述2.3.1 宽带网络进展现状及趋势Internet的网络进展已使通信领域发生了巨大的变化。一方面传统的电信语音业务的进展势头减缓，业务种类单一；另

37、一方面，随着网络应用的不断延伸，宽带数据业务迅猛进展，业务种类层出不穷，给各类电信运营商提供了巨大的机会。因此，数据业务的增长和进展仍将是竞争的焦点。对电信运营商来讲，数据业务的网络基础是宽带网络结构。在国内，各类新型电信运营商都在纷纷建立自己的宽带网络基础设施以抢占宽带数据业务的市场，传统运营商也纷纷构建自己的宽带网络结构。特不是当前宽带信息网络建设已列为国家重点进展方向，宽带网络建设更是如火如荼。带宽始终是宽带网络建设所关怀的重点。一方面宽带接入的迅猛进展要求有高的网络主干带宽，另一方面，随着传输技术的不断演进，高带宽的价格越来越低，使开展宽带接入商业运营成为可能。目前，国内的电信运营商分

38、不有着自己不同的网络基础设施的现状，有的运营商差不多拥有自己的SDH和光纤网络，有的则通过租赁或新建自己的SDH或是光纤网络结构来构建宽带网络基础设施。这些运营商所建的宽带网络大多在 10GB 或更高的带宽以上。从传输技术的进展来看，始终围绕着如何提高网络带宽的利用率和增加网络带宽的承载。光纤传输的技术的进展，使得构筑更高级不的宽带网络成为可能。POS、DPT、DWDM技术的进展为电信运营商的网络建设提供了多种类型的解决方案。特不是DPT和DWDM技术与IP技术的结合，使得宽带传输技术的进展和宽带网络应用有了紧密结合的接口。IP over Optical 和IPOptical的技术将会广泛应用

39、在宽带网络的建设中。2.3.1 千兆以太网组网技术优势选择合理的网络主干技术对科技园宽带网络来讲十分重要，因为它关系到网络的高可用性、高可靠性、高可扩展性以及高的服务质量保证等等特性。网络主干包括主干网络设备之间及其与汇聚点网络设备之间的互联。 我们分析科技园宽带IP骨干网络的技术需求，这些要求也体现了科技园宽带IP网络在实际运行时期的需要，在本方案中，我们建议采纳千兆以太网技术，因其具有如下的特性：1）高传输速率和速率提升潜力：千兆以太网可提供1Gbps的数据传输速率，通过使用Cisco的Gigabit Ethernet Channel技术，可达到最高16 Gbps传输速率。目前标准化组织正

40、在积极研究和推广10Gbps以太网技术，Cisco差不多能够在Catalyst6500交换机上提供10G以太网模块，2）高性能价格比：千兆以太网体现了快速以太网带给以太网网络的性价比优点，它以2至3倍于当今的快速以太网的成本提供10倍于它的性能；相对与其它一些MAN组网技术，千兆以太网是最经济和快捷的一种组网技术。3）兼容性好：千兆以太网采纳IEEE802.3和以太网标准帧格式以及802.3治理的对象规格，与以太网、快速以太网技术向下兼容。因此，客户能够在保留现有应用程序、操作系统、IP、IPX及AppleTalk等协议以及网络治理平台与工具的同时，方便地升级至千兆以太网。除性能方面的收益之外

41、，采纳千兆以太网技术对用户将是完全透明的。4）网络设计灵活：千兆以太网几乎对网络结构没有限制；现在正在应用的网络互连技术，如IP协议和L3三层交换技术,都与千兆位以太网完全兼容；5）组网方式灵活：千兆以太网组网方式能够通过共享集线器（价格廉价）、交换机或路由器相互连接来实现。千兆以太网支持交换机与交换机或交换机与工作站之间全双工的连接模式，也支持半双工连接模式以便与共享式集线器连接。千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线（UTP）。6）简化的治理：相对与其它一些MAN主干组网技术，千兆位以太网网络的治理将是最简单方便的，对网络治理和应用人员而言，无需学习和采纳新的系统范围的技术或者

42、网络治理方法。 第三章 需求分析3.1 数据通信网络现状科技园包括7个大范模的建筑群组成。广域网部分，网络中心至七个建筑群的线路由帧中继专线改造为以千兆以太网为骨干的新型城域网。中心机房局域网部分，大楼采纳100Base-F以太网为局域网骨干，通过多模光纤与Catalyst6509进行连接。整个网络通过基于软件的防火墙和路由器设备与Internet 互联。3.2 网络工程需求分析依据科技园网络的要求，我们提出网络系统方案，我们认为网络建筑是从目前业务的需求和降低网络运行成本目的动身，力求建设反映目前网络技术先进进展水平的网络。具体需求能够概括为以下几个方面：a. 为新一代综合应用系统提供一个强

43、有力的网络支撑平台。b. 为当前和以后的TCP/IP应用业务提供透明的数据传输。c. 网络设计不仅要体现当今网络多业务服务的进展趋势，同时具有最灵活的适应、扩展能力。d. 为以后宽带IP网络基础设施的改变、以及各种高速网络接入技术的实施奠定基础。3.3 网络设计要求（1）一体化网络平台：建立跨越广东地区的集广域网和局域网为一体的，整合数据、语音和图象等多业务的端到端的，以IP为基础的统一的一体化网络平台，支持多协议，多业务，安全策略，流量治理，服务质量治理，资源治理。整个网络提供伸缩的充足的带宽，维护和治理简单方便，性能优良，具有高可靠性，要满足全网统一治理、局部治理的要求，最大化的节约资源和

44、费用。（2）层次化的网络结构：按照科技园数据通信网络的层次结构（各建筑群到网络中心），要紧体现网络架构的技术方案，主干网络、主干网络备份和远程网点的备份方案。（3）电子办公体系：适应系统的电子化进展趋势，支持电子体系建设，提供支撑平台，如网上办公申报、客户服务中心等。（4）中间业务：依照中间业务的不断进展，要紧体现网络支持以后业务进展带来的各种中间延伸业务系统的接入方式和网络安全防范策略。3.4 网络结构需求科技园综合业务数据通信网络分三级三层结构，具体为各楼层、各建筑群、网络中心。综合业务数据通信网络的网络中心设在在科技园园区内，也是连接科技园网络的枢纽节点，业务网络中心与办公自动化网络中心

45、设在同一机房，并运行在同一个通信网络平台上。综合业务数据通信网络结构为层次化的网络结构，不仅要体现各层次主干网络，而且要体现各层次主干网络的备份及末梢接点的备份方案。3.5 网络功能需求科技园数据通信网络的建设目标，应是为以TCP/IP为通信基础协议的新一代综合应用系统提供一个强有力的网络支撑平台；要体现当今网络多业务服务的进展趋势，同时具有灵活性，以适应今后宽带IP网络基础设施的改变、以及各种高速网络接入技术的实施。从业务的具体需求以及降低网络运行费用目的动身，科技园数据通信网络网应以IP协议为基础，整合数据、语音和图象（H.323协议）多媒体应用，为不同的应用制造一个开放的统一的一体化网络

46、平台。1）建立一个端到端的，以IP为基础的统一的一体化网络平台，支持多协议，多业务，安全策略，流量治理，服务质量治理，资源治理。2）整个网络集广域网和局域网为一体的综合网络，满足全网统一治理、局部治理的要求。3）各级网络设备要以IP协议为基础的各类业务数据为主，同时满足OA业务数据的要求。4）在该数据网络平台上能够整合语音功能，同时能够提供全网的IP语音网关（VoiceGateway）和关守（VoiceGateKeeper）以实施优化的企业级的IP语音网络治理。增加网络的多业务功能，节约网络的运营成本。5）能适应系统电子化进展趋势，支持网上办公体系的建设，提供网络支持平台。6）在该数据网络平台

47、上能够整合视频功能，同时支持全网的基于H.323的电视会议和远程教育应用，提高职员的工作效率和素养，降低业务的运行成本。7) 应提供完整的网络安全解决方案，即动态和静态的网络安全防范、通信加密、与互联网连接和中间业务系统连接的安全防范功能、入侵检测报警，实施统一的安全策略。8) 该通信平台应支持城域网范围（50公里）通过万兆（10G）以太网有效联接，以支持大通信量的带宽应用需求，如：数据灾难备份。9) 考虑到业务系统对实时性的严格要求，在实施网络带宽治理和质量服务上，优先保证业务系统带宽占用和优先级不。对今后的语音及视频应用，网络能够提供带宽、延时、抖动的品质服务。10) 网络物理链路备份，可

48、采纳现有的帧中继作为备份线路，有条件的情况下也可采纳无线网、卫星网、或有线电视网等非电信网络服务方案。11) 各级网络的设备必须有足够的扩展能力，具有灵活的堆叠方案，要紧依据现有的业务数据量和考虑业务在3到5年内的增长情况，同时必须具备今后扩充OA数据通讯的能力。第四章 网络解决方案依照科技园网络建设需求、目标以及国内外众多先进系统网络的进展经验，我们提出科技园网络建设方案。科技园务数据通信网络分三层结构，具体为连接各建筑群到网络中心的通讯。全网为层次化树形结构。目前，全网的业务系统和OA系统均采纳TCP/IP协议。4.1网络方案拓扑图网络拓扑图参见下面两页。4.2 网络方案描述科技园网络配置

49、分为城域网和局域网两大部分。依照其功能不同，又能够分为城域网、局域网、外联网/因特网、网管几大部分。4.2.1城域网依照科技园主干网络需求，在此次网络建设中：主干网络建设：在网络中心，设置以Catalyst6509组成网络骨干，网络中心与七个建筑群之间以千兆技术通过中国电信提供的单模光纤相连。汇聚层网络建设：在七个建筑群各配置一台汇聚层交换机Catalyst4006，要紧负责连接远程各分支结构的网络流量到网络主干。网络主干与分布交换机的连接用千兆以太网连接实现。考虑到租用中国电信光纤分布和费用的问题，在网络主干层与汇聚层的连接设计方面，我们建议采纳星形单链路连接，以增加系统的高可用性。如此，当

50、任意一台设备或某一条链路中断时，仍然能够保证其他的网络通畅。下面，我们详细描述主干及汇聚层的网络设计。网络主干层设计详述：下面我们将从L2、L3、高可用性等方面分不介绍：1）网络第二层的设计：主干网络采纳千兆以太网技术，建议采纳思科的增值GEC技术，一方面可用获得16Gbps（全双工）的交换机之间连接带宽，另一方面能够在交换机之间提供能够在几秒内由故障链路切换到其余正常链路的高速备份能力；2）网络第三层设计及IP路由协议的选择：通过使用可快速恢复的动态路由协议，如OSPF、 IS-IS等，能够实现路由备份及负载均衡，并保证当网络出现故障时，可快速实现备份路由查找并由备份路由传输数据流量。3）高

51、可用性设计：网络中心配置了两台骨干交换机Catalyst6509，每台交换机均使用冗余及高可靠性配置，再由这两台交换机组成一个高可用性的双机双备份，从而提供稳定可靠的网络传输核心，为整个网络提供不间断的服务。两台交换机间采纳路由器热备份协议(Hot Standby Router Protocol)实现它们对三层IP路由服务的热备份，同时可采纳MHSRP热备份协议实现在这两台交换机之间的负载均衡，而且增加了核心的可用性。4）网络安全：关于网络上核心交换机之间分发的路由，能够采纳MD5认证算法来防止欺骗性路由，Cisco的路由产品都支持MD5认证。有关网络安全的详细资料参见网络安全部分。在主干网络

52、设备的选择上，我们使用业界最好的Cisco Catalyst6500交换机，它具有6槽、9槽和13槽的机箱，下面是对它的一些简要描述：业界最强的QoS和Policing的功能：Catalyst 6x00支持基于MAC地址、IP地址、VLAN的速率限制；它能够限制单个流的带宽和整个流的带宽，所有的这些处理均通过PFC硬件来进行线速处理，具有专门高的处理效率。在网络模块的硬件端口上提供多个输入及输出队列，以提供对QoS的处理，如CoS、DSCP等，并能够实现在它们之间的互相映射。独特的Private VLAN功能：极大的方便了VLAN的划分和治理，减少和简化了IP地址治理和所需的IP子网数量，减少

53、了网络上所需的VLAN的数量。高效率的三层路由交换处理：Catalyst6500支持基于Cisco专有的CEF（Cisco Express Forwarding）的路由交换处理，它比基于Flow的方式具有更高的处理效率，树型路由表查找技术能够更快得到目标出口，CEF较Flow方式更适合应用于在路由交换机中存活时刻较短的数据流，如WEB，E-COMMERCE等。而较早的Catalyst 6000也支持基于Flow的交换，其交换引擎的路由处理能力和Flow的建立能力也是业界功能最强的。Catalyst6500三层交换能力能够达到100Mpps之上。VACL（VLAN ACL）：Catalyst6x

54、00的VACL具有特不强大的处理能力。它能够基于2，3，4层的信息对用户的信息和访问进行操纵。不仅能够作虚网之间的操纵，还能够作一个虚网内部的访问操纵。所有的访问操纵表均由硬件来进行线速处理，有专门高的处理效率。高可用性：Catalyst6x00具有业界领先的高可用性，其冗余引擎的切换能够在3秒种内完成；高的端口密度和丰富的网络模块类型：Catalyst6x00具有目前业界最高的端口密度，384 个10/100端口，128个千兆端口，具有特不多的支持多服务的接口模块，如：8端口语音E1服务模块、24端口FXS模块、FlexWAN模块、内容交换模块、IDS入侵检测模块、多模/单模OC-12 AT

55、M模块，以及可应用于电信领域的各种OSM光纤服务模块等等；同时在两台Catalyst6509骨干交换机上配置IDS入侵检测模块，有关网络安全的详细资料参见网络安全部分。网络汇聚层设计详述：汇聚层要紧用于汇聚接入层的网络流量，并提供各种服务和操纵功能（PPPoE、SSG、CAR/Rate-limit、ACL、QoS、Queuing、TE流量工程等等）Cisco Catalyst 4006能够支持终端访问操纵器访问操纵系统（TACACS+）和远程访问拨号用户服务（RADIUS）等协议。RADIUS和TACACS+能够关心Cisco Catalyst 4006为那些需要验证、授权和记帐（AAA）功能

56、的企业提供巨大的灵活性和选择余地。Cisco Catalyst 4006还能够提供多种类型的网络流量安全功能。 Supervisor Engine III能够依照用于定义安全策略的访问列表，进行基于硬件的过滤。能够依照来源和目的地的IP地址，或者TCP/IP端口对分组进行过滤，从而能够限制用户对网络的一些敏感端口的访问。所有ACL搜索都通过硬件完成；因而，在网络中实现基于ACL的安全性的同时，可不能对传送和路由性能造成任何阻碍。本方案中：我们为七个建筑群的网络中心设置了汇聚点，用于各建筑群的本地局域网，同时能够接入附近的各建筑群收点等远程点。各个远程点均以快速以太网方式接入，通过千兆以太网技术

57、与汇聚层交换机互联。4.2.2 局域网局域网连接的节点包括业务服务器、工作站、路由器、防火墙、入侵检测系统、网管工作站、ACS服务器、OA服务器等。网络中心局域网络作为整个科技园网络的核心，担负着本地用户和业务服务器、OA服务器之间、城域网和核心网之间高速通讯枢纽的重任，园区内数据以及今后的网上办公、OA应用的数据都需通过其进行交换，必须提供高速的传输性能和高可靠的容错支持。由于一期网络建设中差不多配置了一台Cisco公司先进的骨干交换机Catalyst6509，建议在网络中心机房再配置一台具有256G背板带宽的骨干交换机Catalyst6509，形成网络的核心层。Catayst 6509交换

58、机作为新一代具备千兆位处理速度的多层交换平台，可提供高达256G的交换能力和每秒100MPPS以上的传输吞吐量，最多可支持384个100M交换端口或130个1000M交换端口，充分满足科技园业务应用对网络性能的需求，同时提供对IP电话、IP视频会议等日益普及的网络多媒体应用的支持，确保在计算机硬件和网络应用飞速进展的今天网络投资一定时刻内可不能落后。两台交换机之间采纳Cisco尖端的GigbitChannel技术，直接利用交换引擎上的千兆位端口通过两条负载均衡的千兆链路互连。每台6509上各配置千兆以太网，连接两台业务主机和其它服务器；在新增加的Catalyst 6509上配置48口10/10

59、0M交换模板和24口10/100/1000M连接服务器、路由器、PIX防火墙、拨号接入服务器、网管工作站、ACS AAA安全认证服务器等。如要提高网络可靠性，尽可能减少单点故障，服务器、路由器和网络之间能够采纳双网口连接。同时，在新增加的Catalyst 6509上配置16口千兆以太网交换模块，与原有的Catalyst6509上的千兆以太网交换模块一起，负责连接各建筑群各楼层的汇聚层交换机和城域网中七个建筑群的汇聚层交换机。依照科技园各建筑群的网络规模，建议各楼层的汇聚层交换机采纳Catalyst3548，通过大楼已有的多模光纤布线系统以双链路的方式与两台核心交换机Catalyst6509进行

60、连接。Catalyst6509支持静态VLAN和动态VLAN技术，完善的第三层交换和访问操纵ACL功能，同时也支持Private VLAN技术，特不适合多业务环境下严格的安全要求。Private VLAN能够限制同一个VLAN（Primary VLAN）的端口之间的访问。Isolated ports只能和promiscuous ports通信，Community ports能够和同一个团体的端口和promiscuous ports通信，Promiscuous ports能够和Primary VLAN内所有端口通信。Private VLAN也能够有效减轻被侵入的阻碍范围。Private VLAN