通信公司综合业务支撑系统网络建议书

81/81中国网通集团云南通信股份有限公司综合业务支撑系统网络建议书南京联创科技股份有限公司地址：南京市中山南路弓箭坊40号电话真服热线址：

目录TOC\o"1-3"\h\z1. 用户需求分析 31.1. 网络设计原则 31.2. 网络总体规划 41.3. 网络系统性能估算 51.1.1. 数据采集流量计算 51.1.2. 营业系统带宽估算 61.1.3. 云南至上级系统带宽估算 72. 网络总体设计 82.1. 网络框架纲要 82.2. 局域网设计 81.1.4. 局域网的设计思想 81.1.5. 几种常见类型的局域网 91.1.6. 我们所建议采纳的局域网技术 101.1.7. 运营支撑中心网络构架 102.3. 与合作单位的网络接口 132.4. 广域网络设计 141.1.8. 广域网的设计思想 141.1.9. 广域网常见拓扑逻辑 142.5. 与其它系统连接 173. 网络优化 193.1. 路由策略 191.1.10. WAN路由策略 191.1.11. LAN路由策略 193.2. 网络地址规划 201.1.12. 关于IP网络地址 201.1.13. 地址分配的几个建议性原则 203.3. 网络时刻的同步 213.4. 队列治理机制 224. 网络安全性及与Internet的连接 244.1. 网络安全问题概述 244.2. 网络安全问题的解决 251.1.14. 明白潜在的入侵者 251.1.15. 操纵机密的扩散 251.1.16. 访问操纵（AccessControl） 254.3. 通过集中的安全操纵机制实现网络的安全性 264.4. 我们对系统安全的建议 274.5. 与Internet的连接 284.6. 拔号的安全 295. 网络治理 305.1. 集中式系统治理 305.2. 联创对网络治理的理解和建议 306. 设备选型 356.1. 设备选型讲明 356.2. Cisco3662 356.3. Catalyst4000 386.4. CiscoWorks2000LAN治理解决方案2.0 397. 网络设计小结 46用户需求分析网络设计原则云南省通信公司是一个年轻的企业，在这一个高速进展的信息社会中，随着中国网通的进展，它在整装待发。信息社会的一个最要紧的产物确实是网络，关于云南网通来讲，在事业蓬勃进展时，建立一个高性能、高可靠性、高可用性、高可扩充性的骨干网络平台是专门有必要的。在网络设计中，我们严格遵循以下原则，并以此逐条分析云南网通运营支撑系统的需求，从而使所得的方案能够最大限度的满足云南网通的需要，建成使用后能够发挥尽可能大的效能。充分利用所配置的网络设备的能力，最大限度地发挥网络平台的效率。在那个地点我们强调如此一个思想：我们是在设计一个大的网络平台，应该考虑到平台的总体效率，不能因片面强调某些性能而牺牲其他方面，造成“一手软、一手硬”。我们应该兼顾可靠性和高效性、广域性能和局域性能、性能和价格、网络当今的表现和今后的扩充能力，等等。为了保证云南网通运营支撑系统的高性能，一方面要采纳符合系统要求的高性能的设备，另一方面要采纳合适的传输线路，保证在传输过程中无瓶颈。保证网络系统的可靠性：用户的网络系统必须具有相当的容错能力，保障在意外情况下不中断用户的正常工作，因为不管系统采取集中模式依旧分散模式，都要求系统能不间断的工作，这就要求在广域和局域上提供对网络设备资源及通信线路的备份，同时能够在系统的某个部分出现故障时迅速地进行主、备份资源的切换，满足用户的需求。在云南网通运营支撑系统的网络中，阻碍系统可靠性的因素要紧是线路和设备，因此在线路上能够采纳“一主一备”或“互为主备”的设计；在设备上，为了消除单点故障，交换机和路由器的双机配置也是专门有必要的。保证网络系统的开放性：随着开放互连标准的制定，只有开放的，符合国际标准的网络系统才能够实现多厂家产品的互连。目前已成型的国际标准包括：以太网、FDDI网、令牌环网、快速以太网、ATM（异步传输模式）等，同时这些网络系统不仅在世界范围内，在国内也被广泛地采纳。这些网络系统的传输速度最低的为10Mbps，最高的为155Mbps，甚至622Mbps。现在，千兆以太网和快速以太网技术差不多特不的成熟，它具有1000M和100M的带宽，具有良好而稳定的性能，因此，我们在那个地点采纳的确实是这一技术。保证网络系统的可扩充性：网络系统要能够灵活地扩充，比如：能够通过扩充支持今后的需要。具有良好扩充性的网络能够让用户以较小的代价，通过产品升级，采纳新的技术，或者是增加模块来扩充现有网络设备的功能，如此，就有效地爱护了用户的投资。在进行网络扩充的同时，网络的效率不应该下降。因此，那个方案的设计必须保证在若干年内正常运转，而在这之后应该能够在原有基础上升级，爱护原有投资。保证网络系统的安全性：网络的运行应该在一种可控方式下，以保证其安全性；应该尽可能地通过集中操纵的机制实现网络的安全性；非授权的人员应该不能进入网络之中，还要实现分层次的安全操纵机制，依照具体用户的级不确定他们的访问权限。系统的安全性是个需要以系统全面考查后的综合设计的问题，因此在方案中，我们提出了对安全操纵的一些建议，在此基础上在贵公司一同设计整个系统的安全保障机制。保证网络系统的可治理性：网络系统应该能够支持SNMP（简单网管协议），如此便于计算机治理人员通过网管软件随时监视网络的运行状况，一旦出现故障，能够自动报告出错位置和出错缘故。网络总体规划本次工程要实现通过多种业务受理渠道（营业厅、代理商、CallCenter、网上营业厅/自助服务和大客户经理等）为用户提供各种基于电信业务（话音、数据、多媒体等）的综合服务（订购、帐务、障碍处理等），同时能够向大客户提供“绿色通道”，保证满足重要客户的要求，体现“以客户为中心”的现代企业的经营治理理念。可能到2005年底，云南省综合业务支撑系统容量要求满足175万用户的需求。集中是大趋式，集中模式不管在系统结构上，依旧在新业务的开展上都具有其它模式所不能替代的好处。我们的网络结构也因为采纳了集中模式而在系统性能和可靠性等方面相应有所考虑。从对云南网通运营支撑系统的分析中能够得出如此几个结论，一、系统应该是一个集中式、层次化的结构，要紧的流量应集中在各地市到省网络中心的骨干网络上，因此那个骨干应该足够宽，保证不出现瓶颈；二、系统应具有较强的扩展性能，以适应云南网通事业的快速进展，但同时考虑到硬件设备的不断更新，性价比随着时刻推移不断提高，对扩展性能的设计应是有限度的；三、系统应具备相当的承载能力，我们建设的是一个骨干网络平台，如客服系统等应用能够通过此网络平台传输，从而节约设备投资和线路花销；四、作为骨干，全省的业务支撑数据都要通过它来传输，因此必须考虑到可靠性设计。本方案将就云南网通运营支撑系统中心局域网和中心-营业厅之间广域网以及省-上级系统间广域网作论述。网络系统性能估算数据采集流量计算关于采集系统来讲，数据流量要紧集中在由各地市交换机下载得到的原始话单，为简化计算模型，考虑如下计算模型：建设规模100万用户每用户每天10张话单每张话单平均200字节本地网话单量最大所占比例：20%每天通话集中在早八点至晚十点的14小时内高峰时为平均值的6倍计算网络开销30%则理论上要求带宽总计至少为：100万（用户）×10（张/用户）×200（字节/次）×8（比特/字节）×6]÷[14（小时）×3600（秒/小时）×1024（/K）]×1.3，约为2.4Mbit/s则话单量最大的地市交换机至省中心的连接带宽需要2.4M×0.2=480Kbps，一条512Kbps专线就能够满足需求。省会都市网络建设能够直接采纳局域100/1000M连接。营业系统带宽估算云南网通本次工程打算在营业厅建设的同时，还能够依靠网上营业厅等手段完成营业系统的建设，先计算的是网上营业厅的带宽，由于网上营业厅能够采纳集中模式，所有的用户都访问一个地点，那么就上文中的计算数据而言，最多也就需要2.4Mbps的带宽，一个快速以太连接就能够完成网上营业厅与核心局域网的接口。关于营业厅的带宽，一般而言，每个营业厅的终端在10个左右，我们以15个计，依照我们的经验，每个终端一天至多500笔业务，即每分钟一笔，其中数据传输在3秒中完成，每笔业务2K字节数据[2K（字节/笔）×8（比特/字节）]÷3（秒）=5.3Kbps因此一个营业厅到网络中心的带宽应为5.3Kbps×15=80Kbps，可见一条128Kbps的DDN线路即可满足需求。综上所述，我们建议关于每一个营业厅采纳一至两条DDN专线完成广域网络的连接。云南至上级系统带宽估算如前文所述，100万用户需要2.4Mbps带宽，可能到2005年底，云南省综合业务支撑系统容量要求满足175万用户的需求。其中需要向上级系统传输的占10%，则云南至上级系统的带宽为420Kbps。网络总体设计网络框架纲要网络系统本身具有主次之分，有的部分地位重要，有的则相对要求不高，有的部分突出了性能，而其他部分则可能要求进行一些限制。采纳层次化的设计模型，有利于突出重点，突出各部分的要紧功能，同时便于治理维护，便于扩充，故障容易隔离。依照对用户的需求分析，我们能够用下述层次结构建立云南网通运营支撑系统的概念模型：该模型将云南网通运营支撑系统分为三个层次：骨干（Core）层、支干（Distribution）层和访问（Access）层。在那个方案中，骨干层提供省中心到各地市中心之间的数据远程传送服务；支干层提供各地市下属的各个部门以及以后将建立的营业厅与地市中心之间的网络连接策略及服务；访问层则为本地或远程计算机用户（组）提供上网连接服务接口，多为局域的连接。局域网设计局域网的设计思想采纳高速、高性能的网络主干网络依照需要划分不同的虚拟网虚拟网之间的数据交换通过集中的路由功能实现网络主干应有极强的扩充能力，网络性能可不能因为网络的扩充而降低与广域的路由器和主机配合实现广域上网络资源的备份和数据分流保障局域网上的安全性几种常见类型的局域网依照是否划分虚拟网以及对虚拟网之间数据交换的处理方式，能够把现有的局域网划分为下面的几种类型：不划分虚拟网的平坦型网络在这种网络中，所有的主机都连接在一个子网中。这种网络的优点是：配置比较简单，对交换机的要求比较低。这种网络的缺点是：由于不划分虚拟网，当主机数量比较多时容易产生广播风暴，引起网络性能的下降；因为任何广播的消息都会转发到交换机的所有端口，网络的安全性不容易保障；IP地址的规划不灵活：举一个例子，某个单位有300台主机，申请一个B类的地址（可容纳65534台主机）太白费，申请一个C类地址（可容纳254台主机）又不够用，假如申请两个C类地址，不同C类地址的主机之间又不能通信，专门不灵活。使用集中的路由功能实现虚拟网之间的数据交换这种网络中存在着许多的虚拟网，虚拟网之间的数据通信通过某台功能较强的路由器或第三层交换功能来实现。我们看到，整个局域网中有若干个虚拟网，虚拟网之间的数据交换集中由一台路由器来完成。这种网络的优点是：缩小了广播域，使网络的工作效率大大提高；抑制了广播风暴的产生；能够从IP子网的角度保障网络的安全性：能够通过路由器在不同的虚拟子网之间划分防火墙。IP的地址规划有一定的灵活性。能够配合跨主干虚拟网技术。这种网络的缺点：由于所有的虚拟网之间的交换都要通过一台路由器来实现，这台路由器的处理能力和通往路由器的连接线路的带宽称为网络中的两个瓶颈。随着虚拟网的数量的增多，而网络中的路由处理能力并没有相应增强，网络的性能将下降。使用分散的路由功能实现虚拟网之间的数据交换在这种网络中，同样要划分虚拟网，虚拟网之间的通信通过分散的路由功能来实现，在那个地点用具有路由功能的交换机取代了一般的交换机。这种网络的优点是：具有集中式路由网络的大部分优点；整个网络中没有瓶颈；整个网络具有专门强的扩充能力，网络的性能可不能因为网络上主机的增多而下降；支持广域上网络资源的备份和数据分流。这种网络的缺点是：交换机的路由功能并不是专门强。不能配合跨主干虚拟网技术。我们所建议采纳的局域网技术综合以上的分析，结合实际情况，我们建议采纳的局域网的技术是：使用集中的路由功能的方式实现虚拟网之间的数据交换。运营支撑中心网络构架云南网通运营支撑中心网络构架如下图所示。在上图上，我们提到了DCN的概念，南京联创认为，随着电信运营商业务的不断进展，需要通过网络传输的业务量将种类越来越多，数量越来越大，因此，建立DCN如此的传输平台只是个时刻问题，因此我们在本文中将那个系统“分割”成两部分，一部分是数据处理的运营支持系统，一部分是广域传输DCN系统，实际在本次工程中这两部分是统一的，包括交换机如此的设备都能够通用，但我们在表述时依旧将两部分分开，使网络结构更加清晰。如上所述，我们建议按照DCN的模式建设由中心到各省、各地市的广域网络。在DCN尚未建设时，DCN中心的交换机能够利用核心交换机上的VLAN实现，此次工程中的核心路由器能够在DCN建设时用作DCN中心路由器。从上图中，在运营支撑中心是以两台高性能的千兆局域网交换机为核心构架的，这种方法是专门节约而且高效的。保证了高性能：那个地点的高性能体现在两方面，一是采纳了先进的设备，由于我们的系统方案采纳的是一种集中式的结构，全省的业务处理都在省运营支撑中心完成，因此在运营支撑中心需要高端局域网交换机完成数据的局域交换。另外，那个地点的局域网采纳了千兆以太网技术连接骨干，即交换机与防火墙之间、交换机与服务器之间建立1000Mbps数据通路，理由如下：1，因为关于集中模式来讲，几乎所有的数据处理都在省（市、区）运营支撑中心完成，因此那个地点的数据量的相当大的，特不有必要采纳宽带技术；2，从市场投资的角度上看，千兆以太网差不多是一个相当成熟的技术了，在市场的激烈竞争中，其端口价格也差不多专门合理了；3，作为一个“关键网络”，我们设计中必须具有足够大的前瞻性，尽管投资可能稍大了一些，但关于以后的系统扩容，我们认为应把要紧目标指向网络规模的延伸，也确实是支干层的扩充，关于中心局域网，鉴于它在云南网通业务中的关键地位，应尽可能地不做大的改动。保障了高可靠性：使用两台千兆局域网交换机以保证局域网主干中没有单点失误。局域关键设备，如服务器，都与两台交换机实现冗余配置。当其中的一台交换机发生故障的时候，另一台交换机能够提供高速通路，确保网络畅通。两台路由器之间也采纳HSRP或VRRP技术实现热备份，能够自动切换。划分虚拟网使性能更加出色：我们利用了千兆局域网交换机所具有的虚拟网技术依照用户的需求在交换机上划分虚拟网，如此一来能够提高网络的总体性能，再者划分了虚拟网之后网络的治理者能够更方便地对用户进行治理，而且能够在不同的虚拟网之间设置防火墙，提高了网络的安全性。虚拟网之间的路由通过其本身的路由功能实现。我们建议能够将运营支撑中心的交换机通过划分VLAN来实现防火墙的内、外网连接。系统安全有充分保证：为了充分的爱护局域网内的主机设备的安全，系统多处采纳了防火墙。在Catalyst4006交换机和连接外网（即远程节点）的路由器之间能够配置了两台高端防火墙，将外网与内网隔开，包括各地市营业和各代理商的接入全部置于防火墙之外，如此能够关于恶意的侵入时刻防范。与外单位的连接也采纳了防火墙技术，接口服务器就放置在DMZ中。银行代收费系统也采纳了防火墙，将此系统连接在外网的交换机上，关于银行来讲可见的只有银行代收费应用服务器（此项仅为建议，设备未考虑）；与Internet的连接也是如此。WEB服务器等设备均放置在两台防火墙之间的DMZ中，依靠WebLogic服务器来向应用服务器发起连接。有了这些防火墙，整个系统的安全就有了充分的保证（此项仅为建议，设备未考虑）。与合作单位的网络接口由于采纳集中的模式，因此如话费代收及银行、邮储、公安之类的接口都可在中心完成，由于这些连接相对而言安全性要弱，因此要采纳如防火墙等安全机制保证网络的互相独立性。下图以银行为例讲明。每家银行现在差不多上都可实现通存通兑，也确实是讲都有一套覆盖全省的网络，而我们采纳的是运营支撑系统的集中模式，因此只要在云南网通与各家银行的省中心作网络连接就能够实现联网了。这种方法接口单一，连接方法简单，易于治理，安全隐患小，投资节约。此部分设计基于我们以往工程经验，作为建议，谨作参考。广域网络设计从网络技术上看，骨干网络和支干网络应属于广域网范畴，因此在设计的时候，我们遵循的是一套广域网的设计思想。广域网的设计思想采纳层次化网络结构模型设计采纳正确的网络拓扑保证网络的高效率和可靠性保证广域网上的网络安全性，防止任何非授权的人员进入网络采纳恰当的方式实现网络资源的备份和数据分流广域网常见拓扑逻辑三种拓扑结构各自具有各自的特征：星型拓扑结构（Star）：简洁，便于建立层次结构网络，符合ATM网络的要求，存在单点失误；全互连拓扑结构（FullyMeshed）：连接配置复杂，冗余度高，可靠性高，广播环境的系统开销大；部分互连拓扑结构（partiallyMeshed）：是前两种拓扑结构的结合，采纳双星（Twin_star）结构来幸免单点失误；较全互连拓扑结构减少了连接复杂度。考虑到网络上数据流的具体流向和业务需求，我们选择的是部分互连双星型拓朴结构，在提高了网络可靠性的同时也可降低了复杂性，同时节约了投资。从结构上看，此广域网是一个星形网络拓朴结构，它以省运营支撑中心作为云南省通信公司业务运营支撑系统的中心，接入到DCN中心的交换机上，各营业厅利用广域网络通过一条或两条DDN专线连接到运营支撑中心，这种结构从总体上符合目前网络上的数据流向──从各营业厅到运营支撑中心或相反方向，数据传输路径得到优化。以后业务进展时能够以在几个地市的营业厅各建一个汇接中心，由汇接中心再连接到省中心。同时，为了保证省与上级系统之间业务的互通，云南需要和上级系统之间建立一条通道，在前文的带宽估算中我们已有相关描述，与上级系统间的带宽分不需要512Kbps的带宽，我们建议在云南与上级系统间分不采纳两条相应线路连接。为了保证核心层WAN通信的高可靠性和负载分担，在DCN中心配置两台高端模块化路由器和两台局域网交换机（可与运营支撑中心交换机共用），在运营支撑中心新增两台局域网千兆交换机作为核心交换机。各营业厅分不配置一台Cisco2600系列路由器。关于运营支撑中心与地市间的通信线路带宽，依照前文所述的网络带宽估算，和我们在总结了以往建设江苏、云南、甘肃、宁夏、青海、新疆、黑龙江等省、自治区的网络设计的实践经验后，在各地市按各自的不同情况配置不等数目的E1线路，那个地点的带宽需求要紧来自于计费、营业和帐务这些应用的需要，在此基础上留出可扩充的余地和容量。一来保证系统中某一条线路出现故障时能不中断正常工作，二来还为以后网络承载客服、OA等系统时有足够的带宽，这些应用总得来讲数据量专门不上专门大。而且由于我们采纳的是模块化产品，因此在需要扩充带宽时专门方便。与其它系统连接我们在设计中打算将运营支撑中心置于云南网通，那么就与其它系统处于一幢楼内甚至同一个机房，能够通过楼内的布线利用交换机的端口将运营支撑中心其它系统连接起来。假如距离较远，则能够采纳专线连接的方式连接。在运营支撑系统与其它计算机系统的连接中，能够利用防火墙以如下方式进行隔离：外部的请求只能通过一级防火墙，提交到系统应用服务器，系统应用服务器同意到请求后，判不请求的类不，然后发起相应的接口服务透过二级防火墙，完成相关的业务功能。网络优化路由策略WAN路由策略云南网通现在在各地市使用的IP地址规划、路由治理等都需要作统一的规划。南京联创几年来在全国承接了多个大型网络，在网络规划方面积存了丰富的经验。实践证明，OSPF和EIGRP是适合于在广域网范围内使用的路由协议，它们收敛速度快，交换的路由信息较少。OSPF利用分层概念，使得网络层次更清晰；而EIGRP采纳路由表自动叠合技术，治理方便，配置容易。EIGRP是CISCO公司的专用协议，因此应用范围收到限制。依照我们以往在如DCN如此的大型计算机网络的建设中积存的经验，建议采纳OSPF协议作为广域路由协议。OSPF支持等路径条件下的负载分流。OSPF能够将一个网络划分成几个区域，对网络治理和减轻路由器的负担均有好处。我们将中心到市的部分作为OSPF骨干，各地市内部网络作为一个小区，其营业网络均处于那个小区中。这种划分与行政区划保持一致，便于理解和治理。LAN路由策略目前UNIX主机要紧采纳RIP路由协议交换路由信息，因此在信息网的LAN部分能够采纳RIP路由协议。由于RIP路由协议不支持子网划分，当需要子网间通信时，RIP无法将信息正确传递到目的地。采纳静态路由能够有效解决那个问题，然而静态路由是指向下一跳的路由器地址，当该路由器失效时，即使存在其他能够到达目的地的路由，该主机也无法利用，除非人为修改将静态路由，这是任何一个网管人员所不能同意的。解决问题的方法是采纳标准的VRRP或CISCO的HSRP协议。VRRP和HSRP的工作原理是一样的，在此以HSRP为例来讲明。HSRP（HotStandbyRoutingProtocol）的原理是如此的：在一个局域网上，假如存在两个以上的路由器，那么能够创建一个虚拟的路由器，而实际存在的数个路由器均能够担负虚拟路由器的工作，当主机以静态路由指向该虚拟路由器时，主机发送的数据包由虚拟路由器接收，实际上由创建该虚拟路由器的实际路由器中优先级最高的路由器来转发，假如那个路由器失效，优先级次之的路由器便自动接替工作，保证主机数据通路。网络地址规划关于IP网络地址在网络层不同的网络协议具有不同的编址方法，那个地点给出的是在使用IP网络协议时的编址方案。下面我们称基于IP协议的网络层编址为IP地址或网间网地址，在不引起二义性的情况下简称为网络地址或地址。IP地址分为五类：A类地址，B类地址，C类地址，D类地址，E类地址。其中A类地址、B类地址、C类地址为常用地址；D类地址为多目地址；E类地址保留。在同一个互联网络内网络地址应该保持其唯一性，即一个地址只能对应一台主机（Host），然而一台主机（Host）能够对应多个网络地址。地址分配的几个建议性原则唯一性在同一个互联网络内网络地址应该保持其唯一性 简单性地址的分配应该简单易治理，幸免在主干上采纳复杂的掩码方式。 连续性为同一个网络区域分配连续的网络地址，便于缩简路由表的表项，提高路由器的处理效率，这种技术称为地址叠合（Summarization）。 可扩充性为同一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性。 灵活性IP地址的规划应考虑不同的路由协议和不同的通信链路技术，合理的使用VLSM（VariableLengthSubnetingMask）技术，能较好的适应不同的网络的特点，节约IP地址空间。因此，地址合理分配将使得系统建设运行更加富有效率，反之，假如地址分配不够完备，则会在系统建设中遇上专门多的苦恼，甚至阻碍到系统的正常运行。依照中国网通的相关规定，全国运营支撑系统采纳统一的IP网络地址。我们将充分的理解这些规定，因地制宜地对云南网通的IP地址进行规划。南京联创系统集成股份有限公司近年来承接了多个大型网络工程，在地址分配上有着成功的案例，在国内建设比较早的江苏省DCN工程中，我们与局方一道对江苏全省的网络地址进行了规划，这套规划以后又用于甘肃、宁夏DCN等系统中，近年来的多个大型网络系统建设的实践证明，我公司的IP规划技术是成功和富有效率的，因此我们也有信心与贵公司一道为云南网通的网络IP地址作一个高效的规划。网络时刻的同步网络时刻的同步分成两个层次，一是在数据链路层，一是在网络层。在数据链路层，路由器之间通过广域传输线路通信时，必须进行时钟同步。广域线路有两种，一种线路是E1电路，采纳G.703标准，另一种线路采纳DDN。我们明白，E1电路采纳HDB3编码格式，这种编码格式内含时钟信号，采纳E1传输，两端路由器均从线路提取时钟，因为传输网是一个时钟源，因此路由器之间能够同步。采纳DDN传输时，由于要使用模拟专线，通过MODEM，因现在钟同步由MODEM通过V.35接口提供。网络层同步采纳RFC1305NetworkTimeProtocol(V3)标准，目前以省中心的路由器作为主、备时刻服务器，网管工作站、局域网交换机、地市中心的路由器和交换机作为下级时刻服务器，同步于省中心的路由器，今后作为本地网内的时刻服务器，采纳NTP3或SNTP4(RFC2030)向下复制时刻。NTP3能够以专门小的网络流量，达到专门高的时刻同步精度，在INTERNET上得到了广泛的应用。队列治理机制在网络发生拥塞时，路由器必须丢弃一些分组，那个问题的解决首先必须实施有效的队列治理机制(或缓冲区治理策略)。目前，差不多出现的队列治理机制有：PPD(PartialPacketDiscard)、EPD(EarlyPacketDiscard)、RED(RandomEarlyDiscard)、FRED(FlowRED)、RIO(REDwithInandOut)、BLUE等算法。比较起来，RED算法具有较低的排队时延、较高的分组通过度(Goodput)和较好的公平性，其要紧思想是：路由器计算平均排队长度，当平均排队长度超过某一门限时，路由器按照一丢弃概率丢弃到达的分组，而那个丢弃概率是与平均排队长度成正比的函数。RED算法同意短时的分组突发，因而能够幸免因为网络负荷变化造成的分组丢弃；RED能幸免多个TCP连接同时的超时重传，从而保持高的带宽利用率；此外，RED算法还能较好的支持突发业务，且确定哪些连接使用了更多的带宽，并能够采取措施予以惩处。FRED和RIO差不多上在RED上的改进或变种，FRED对每一个业务流(或连接)都实施单独的一个RED算法，如此能保证更好的公平性；RIO在RED的基础上又增加了一个门限值，在对DiffServAF业务的研究中多采纳此算法。BLUE算法是IBM公司的研究人员最近才提出的另一种较新的队列治理机制，与其他算法不同的是：BLUE算法以“分组丢失率”和“链路有效利用率”作为判不拥塞是否发生的标准，而之前的算法差不多上以路由器中的“平均分组长度”作为拥塞是否发生的判不标准。队列调度机制(QueueingSchedulingMechanism)不论在IntServ依旧在DiffServ里，都涉及到队列调度问题。简言之，队列调度的功能确实是路由器如何从多个(或一个)队列中选择下一个待转发的分组，这与队列治理机制有着本质的区不。依照不同的服务规则，队列调度算法能够分为以下几种：先到先服务(FCFS)、循环调度(RoundRobin)、处理机共享(ProcessorSharing)、优先级服务、随机服务等。目前已出现的队列调度算法要紧有：基于循环调度的算法、基于GPS(GeneralizedProcessorSharing)的算法两大类。一个有效的队列调度算法应达到的性能指标要紧有：公平性、时延特性、对恶意业务流的隔离能力、链路带宽的利用率、复杂性等，前4个指标与QoS紧密相关。基于循环调度的算法是轮流地对每个队列进行服务，事实上现简单，但不能对业务提供时延保证，目前要紧有WeightedRR、DeficitRR等。基于GPS的调度算法目前要紧有：加权公平排队(WFQ)、自时钟公平排队(SCFQ)、VC(VirtualClock)等，它们(尤其是WFQ)能提供较好的公平性、时延特性以及对恶意业务流的隔离能力，但当队列数较多时，事实上现复杂度较大。基于约束的路由(Constrained-BasedRouting)基于约束的路由(CBR)源自QoSRouting，只是对QoS的限制参数进行了一定的扩充。CBR的有效实现需要各个路由器之间的相互配合，比如相互通知各自所明白的网络的一些状态信息(如链路的剩余带宽)。CBR的难点在于：如何在状态信息的精确公布和公布频率之间取得一个折衷。因为链路的剩余带宽在不断的变化，CBR既要幸免状态信息公布的滞后性，又要幸免不停地频繁公布状态信息。CBR的有效实现还有待进一步的研究。业务量工程(TrafficEngineering)业务量工程的要紧目的在于尽量地幸免网络拥塞的发生，以保证QoS。网络拥塞发生的缘故可能有：网络资源(比如链路带宽、缓冲区)的不足、以及网络中业务的不均匀分布。当业务量不均匀分布时，则有的链路处于过载状态而有的链路可能处于欠载状态，现在假如我们能够对网络中的业务流进行适当引导，则不必增加网络资源也可能消除拥塞。业务量工程的目的就在于：如何有效地引导业务流通过网络以便消除由于业务量不均匀分布而造成的网络拥塞。多协议标记交换(MPLS)和基于受限的路由差不多上业务量工程的有用工具，也是目前有待进一步研究的课题。我们将在网络工程实施中依照用户的实际情况，合理地采纳以上介绍的队列治理机制，以保证关键和对延迟敏感的数据能有更高的优先级。网络安全性及与Internet的连接为了提高云南网通运营支撑系统的服务质量，满足用户日益扩大的需求，在这次系统设计中设计了与Internet的连接，实际上网络的连通是专门简单的，真刚要着重考虑的是安全性的设计，而且关于如此的一个重要网络系统来讲，安全是一个相当重要的问题，因此先简单介绍一下安全上的问题是专门有必要的。网络安全问题概述在我们所设计的系统中，涉及了三种安全操纵，即：网络安全性、处理机安全性和用户安全性。其中每台处理机的安全性能够通过UNIX的登录过程实施操纵，用户级的安全性能够通过文件的所有者和文件访问权限机构来操纵，那个地点着重讨论网络的安全性问题。随着计算机网络的进展，网络中的安全问题日趋严峻，我们网络中大量存储和传输的数据都有可能被盗用、暴露或者篡改。网络中所面临的安全性威胁要紧有下面几种：信息泄露：当通信各方通过网络进行交谈时，假如不采纳任何保密措施，不人就有可能“偷听”到通信的内容，因此必要时可对通信的内容进行加密。识不：如何识不进入计算机网络系统的用户是不是合法的呢？因此系统要有身份识不的功能。假冒：当网络中的某个节点冒名要求提供服务时，系统如何能够明白对方是否冒名呢？我们能够提供一个合法用户的数据库，采纳TACACS或RADIUS协议对用户的身份进行鉴不。假如有人用PC机恶意伪造了一条路由信息，系统如何能够鉴不出哪些路由信息是可靠的呢？我们能够采纳具有鉴不功能的路由协议，如“OSPF”；有的路由协议就不支持“鉴不”功能，如“RIP”。篡改：为了防止报文在转发过程中被第三者所篡改，能够在应用层对用户的报文进行加密或校验。恶意程序的攻击：除了上述用户之间通信中的信息安全问题之外，网络本身也容易遭受到一些恶意程序（rogueprogram）的攻击，如computervirus,computerworm,Trojanhorse,logicbomb等。依照网络安全性的具体实现方式，能够分为两种：通过分散式的安全操纵机制实现网络的安全性和通过集中式的安全操纵机制实现网络的安全性。网络安全问题的解决明白潜在的入侵者要了解哪些人会对你在网络中的机密感兴趣以及他们感兴趣的缘故，要明白他们可能采纳的方法以及可能对网络造成的损失。为了了解这些情况你可能会作出一系列假设，比如：入侵者的水平比网络的治理者要低、入侵者只可能使用一些常见的程序、把某些重要文档（如口令等）锁在抽屉里是安全的，等等。要验证这些假设的可靠程度。我们的目的是确保网络对阻止那些可能的入侵者来讲是可靠的。操纵机密的扩散一些重要的信息，如高级不的口令，其可能的传播范围要进行限制。最好能养成一个周期性更换口令的适应。当网络所有者的领导层作出变动时，应尽快地更换口令。养成不用一般传真机和公用电话传输机密消息的适应。养成把废弃的纸张用碎纸机碎掉的适应。访问操纵（AccessControl）必须对访问网络的权限加以操纵，并规定每个用户的接入权限。由于网络是一个特不复杂的系统，其访问操纵机制比操作系统的访问操纵更为复杂，尤其是在高安全性级不的多级安全性（multilevelsecurity）的情况之下更是如此。在那个地点我们使用了一个被广泛使用的“防火墙”的概念，我们能够把防火墙看作是一个数据流的过滤器，只有我们所期望的数据流才能够通过那个过滤器，而其它所有的数据流都不能通过，防火墙能够是双向的。防火墙使用的最典型的例子是：一个局域网为了防止广域上所连接的其它用户对本网的访问，在广域到局域的入口处设立防火墙。我们能够在路由器上设立access-list实现防火墙的功能。通过防火墙，我们能够给不同的用户提供有区不的访问权限，我们也能够把网络中的些重要资源爱护起来而开放其它所有的资源。在局域网的内部也能够实现防火墙的功能：我们假如需要限制局域网内部的某些用户对一些资源的访问，能够把这些用户划分到一个“虚拟网”中，在那个虚网和其它的资源之间设立防火墙。通过集中的安全操纵机制实现网络的安全性我们能够把对用户身份的鉴不以及对权限的验证等功能分散在各个远端的路由器和访问服务器上实现，如下图所示：在某些大型网络的初期为了安装调试的方便我们一般先采纳分散式的安全操纵机制，在一些小型的网络中也能够采纳如此的机制。这种方式的优点是配置比较简单，然而存在着许多不足：首先是各个数据库的治理问题。由于数据分散在所有的路由器和拨号访问服务器上，对这些数据进行治理是一个特不头痛的问题，治理者要对所有数据库中的数据特不清晰，一旦某些口令等数据泄漏需要修改，往往是大动干戈。其次是安全性的功能受到限制，因为路由器和拨号访问服务器怎么讲不是专门为安全性设计的设备，上面也不可能有安全性功能专门强的软件。在这种情况下，往往需要有一台专门用于保证安全性的服务器，连接在那个网络的所有用户，不管它需要以什么样的方式访问网络设备，都必须通过服务器的安全性监测。由于服务器上能够运行功能专门强的安全性方面的软件，能够满足我们的需求。在路由器、拨号访问服务器和安全服务器之间传送的能够是通过加密的有关网络安全协议的数据流。通过这种集中式的安全操纵机制，我们能够实现鉴不（authentication）、授权（authorization）和记帐（accounting）的所谓“AAA”功能。当网络的治理者觉得需要对数据库的数据作修改时，能够随时进行，而且这种修改的过程专门简单。为了保证安全数据库的可靠性，我们能够在网络上设置不止一台的安全数据库；即使在所有的安全数据库都发生故障的情况之下，还能够设置成利用路由器中的数据库实现分散的安全操纵方式。我们对系统安全的建议在广域网通信的链路层，我们采纳PPP的CHAP来保证数据的安全。在网络层，能够选用下列方法增强网络的安全性。对网络通信数据进行监测，当某些TCP和UDP包的socket与设定值一样时，禁止传送该数据包。比如要想禁止远程登录某台主机，能够监测发到该主机的数据包，发觉数据包是TCP包，而且socket值等于23，则将该包丢掉。利用路由器的access-list表，只同意某些IP从某些端口输入或输出；将路由器口令在配置文件中加密，不以明码方式显示；在系统正式运行时，使用TACACS+服务器，集中治理所有路由器和交换机的口令；在所有能够登录到路由器的端口上均设置口令，包括console、AUX和异步口。路由表的交换采纳认证机制，OSPF支持MD5认证。与非信任型网络连接，比如公众信息网、外连网等，采纳防火墙隔离。关于采纳拨号方式访问网络，建议采纳一次性口令认证方式和回拔技术。能够利用加密方式，选择对高度敏感的数据进行加密传输。以上所有的安全性措施都将在一定程度上阻碍到系统的性能，而且如加密则更需要IOS软件的版本支持，在使用时应作相应的考虑。采纳IDS实时监控，防止非法和恶意侵入。采纳Scanner技术，搜寻网络安全漏洞。与Internet的连接如图所示，在西南各省（市、区）中心设置了一台防火墙，将内网与外网隔断，而作为用户WEB查询用的服务器则置于外网中，用户访问时，可不能直接进入内网，而只和查询服务器发生关联，再由查询服务器——也只能由查询服务器进入内网查找到用户所需的数据。如此就能够差不多上保证系统的安全性。拔号的安全在有些地点我们可能要用到拔号，也提到了拔号在安全上的隐患，因此我们考虑采纳回拔和访问操纵来解决那个问题。回拔技术，确实是在主叫方产生拔号建立连接后，被叫方在一刹那间切断通路，反过来拔主叫方的电话号码从而建立连接的技术。那个回拔的过程是特不短的，对用户没有阻碍。那个拔号进行之前，被叫方差不多将各同意的主叫方电话号码人工的记录在其列表中，回拔中有一个校验的步骤，也通过那个步骤操纵了拔叫的地点（号码）。关于拔号用户，能够分为两类，一是营业厅，二是代理点。对营业厅，它完成的业务多一些，因此也应具有较高的权限；对代理点，不应让其访问过多的数据。这能够通过给予不同的用户名和口令，再对这些用户名和口令作不同访问限制的方法来实现，也能够能过对地址的访问操纵实现，具体选用哪一种还要看实际情况加以选择。可能看到，为了实现这些功能，使用集中的访问操纵是必要的，它不但能够保证网络不受侵犯，也能够记录下关于网络的操作，监测各种用户的访问。安全没有绝对的，但依照我公司多年的实践经验，我们认为这些方法的实施后，网络系统的安全是差不多上能够保证的。网络治理集中式系统治理集中是大趋势，依照我们对云南网通运营支撑系统的分析，我们采取了分省（区、市）集中的治理模式，运营支撑中心负责对全网节点进行网络监控，故障治理、网络业务等统计，网络性能监测，路由治理及设置，安全治理等。为了在网管系统中更进一步地治理网络设备，实现对所有端口的配置、监控和维护，我们认为本网络中选用同一家原厂商网络设备，同时选择其网络治理软件对网络设备进行治理是最为合理的。联创系统集成股份有限公司能够向用户提供高质量的技术支持和服务，要紧包括：简便、易学的产品配套技术手册和文件、高水平的技术培训教材与授课教师，以及迅速、有效的客户响应，联创公司先后参与了多个大型网络工程，在工程中积存了丰富的工程经验。联创对网络治理的理解和建议进入90年代，“网络确实是计算机”已不再是一个计算机技术进展的口号，而是成为活生生的现实。尤其是网络科技的迅猛进展，不断使全球的信息产业高潮迭起。今天，世界各地区的Internet热潮还在持续，而Intranet（企业内部网）又再掀波澜。网络，网络，依旧网络!到处都在建立网络、使用网络。各行各业要想与信息时代的步伐合拍，也实实在在离不开计算机网络。现在，不管从美国、西欧和日本等发达国家的网络来看，依旧纵观我国的网络进展现状，我们能够得到如此一个结论：随着计算机网络广泛深入地进展与应用，网络规模越来越大，其功能越来越强。与此同时，网络的治理工作也愈来愈复杂。因此，网络治理软件上升到了极为重要的地位，成为计算机网络系统的灵魂。网络治理技术也成为业界各大专业公司重点进展的关键技术之一。我国计算机网络的进展进程同国际上发达国家相比有一个极为显著的区不，即发达国家的网络有一个相对漫长而渐进的进展过程（这实际上是一个特不宝贵的实践和经验积存的过程）；而我国计算机网络的进展是用了较短的时刻就达到了相当高的水平，仿佛像脉冲从零到一的阶跃。目前，除了要看到我国在网络建设方面所取得的成就之外，还应清醒地认识到：我们在网络的应用和治理水平方面（尤其是在经验上）与发达国家之间尚存在着较大的差距。特不是在网络建成之后，如何有效地治理网络和应用网络，充分发挥网络投资的经济效益，这是所有网络建设的决策者和治理者面临的一个十分严峻和亟待解决的问题。那么，有效地应用网络的保障是什么？回答专门简单：“现代治理”。进而言之，要有一套完整的治理策略、方法和有效地治理与操纵网络的具体技术手段。犹如有了现代化的公路设施（好比网络）和各种大小不一的车辆（好比信息源）一样，如何样使公路交通顺畅，各种车辆行驶安全，这全在于治理。能够设想，若没有完善的治理策略和方法，以及有效治理与操纵的具体手段，现代化的公路交通会是一种如何样的混乱状况。关于具有一定规模的企业网络而言，它已是企业的神经系统。哪怕是专门短暂的网络系统故障时刻，都可能对企业造成重大的经济损失。因此，现代网络治理需要技术先进和功能强大的网络治理软件。治理规模的扩展能力分布式客户/服务器结构首先，网络治理软件的运行机制应能满足分布式客户/服务器结构。这要紧基于如下几点考虑：分布式客户/服务器结构已为宽敞用户普遍采纳。大规模的企业网络采纳这种运行机制，可使治理任务分散至企业机构各处，以实施对各个子网乃至整个企业网络的治理。这除了减少集中式治理容易造成的工作压力，提高对网络治理的反应速度外，同时还可为关键性的治理系统提供完全的冗余保障。因为在许多应用领域中不容许网络治理软件因有故障而停止工作，故此在同一网络中要求有多台服务器运行网络治理软件以备不测。能够减少对企业网络中远程节点的访问次数，立即治理工作授权给一个或多个本地的网管工作站，通过它们去定时轮询本地的网络设备。如此不仅减少了广域网频宽使用所带来的费用，而且提高或改善了服务器和网络的总体性能。支持大规模网络的能力所谓支持大规模网络的能力是指：在一个“域”（Domain）中，能够治理5000个以上节点的能力。这一点实际上标志着网络治理软件对网络治理的可扩展能力。同时，也是该软件对用户投资爱护能力的一种体现。依照我国“九五”打算和2010年所要实现的远景目标，企业信息化和都市信息化的建设必定使得计算机网络节点的数量大幅度增长。因此选择网络治理软件时，要充分考虑到以后的进展需要。支持多个网络系统操作员的能力这点是从分布式治理的角度，对客户端提出的要求。即容许多个网络系统操作员能方便地从客户端猎取多个服务器的信息，其中包括不同逻辑域的治理服务器。这为大规模的企业网络治理提供了灵活的治理手段（目前，业界对这方面能力的要求为：25个以上的专业网络系统操作员能够按照系统事前设定的数据通路，访问不同逻辑域的网管服务器）。智能化监视能力应具有了解网络结构和网络设备之间相互关系的能力现在，网络治理软件差不多普遍向用户提供自动发觉（AutoDiscovery）网络节点及其配置的功能。值得注意的是：网络治理软件是否具有了解网络拓扑结构和网络设备之间相互关系的能力。这是其智能化水平高低最重要的标志。有效信息过滤筛选功能在庞杂的网络监控信息中，网络治理软件要能对其进行有效的过滤筛选，以便网络系统操作员能掌握准确的网络运行状态。自动分析并报告网络事件成因的能力当网络出现问题时，网络治理软件应能自动对事件状态信息进行分析并得出事件的成因，从而精确定位出错设备，抑制不必要的伪警报。当网络不断扩大致使设备越来越多的时候，这种能力尤为重要。智能化监视功能的强大与否，与其所采纳的技术直接相关。当前业界最高水平是采纳人工智能和面向对象数据库技术。基于用户治理策略的操纵能力关于网络治理人员而言，依照实际需要通过网络治理软件灵活地实现自己的治理策略，这是网络系统安全可靠地运行的重要保障。具体表现在对用户或用户群访问权限的定义和对网络各层次流量的有效操纵。如：对不同的用户或用户群设置不同的访问级不，用户只能访问网络治理者为其设定的那一部分网络资源。其中包括：定义用户的访问时刻、访问路径以及读/写权限等等。在设置合理的情况下，能够建立网络的多级安全爱护体系。这不但保证了重要数据的安全，而且能够操纵网络上的流量，提高网络带宽的利用率。网络治理软件的开放性多协议支持当今不同企业的网络包括了多种多样的网络设备，而且它们运行不同标准和不同性质的治理协议。针对这一特点，网络治理软件应能治理来自不同厂家的网络设备，无需用户重新进行这方面的开发工作。支持开放系统和流行操作系统的能力网络治理软件是否具有生命力，其中特不重要的一点确实是要看它是否支持开放系统（如Unix操作系统）和流行操作系统（如WindowsNT）。从另一个角度来讲，网络治理软件应能运行在各种RISC体系结构的工作站和服务器上，以爱护用户原有的设备投资。与第三方网络治理软件以及其它治理系统的连接能力由于种种缘故，用户可能需要使用不同厂家的网络治理软件或是其它的治理系统（包括数据库系统）。为此，网络治理软件应具有与之连接、共享治理信息的能力，以支持用户各种治理需求和对专用设备的专门监控。用户界面当网络存在成千个不同模型之间的连接时，网络的拓扑图形会变得十分复杂以致人们难以理解。因此，网络治理软件应当具有简单、明了表现复杂网络“地形”的能力（有的叫做“网络导航能力”），尤其在表达整个网络的实际拓扑结构的时候，更应如此。其图形用户界面的设计应趋于人性化；能够同意用户方便地剪裁自己的应用环境，以及创建、修改和删除被治理的节点上的模型；对各种图表和不同层次的视窗有一整套的简便治理手段等等。由于Intranet市场进展前景被业界普遍看好，因此有的产品差不多将网络治理信息送到WWW服务器上，用户可通过扫瞄器界面猎取各种网络信息。开发工具网络治理软件必须备有简单、无需编程的开发工具。它能够关心用户裁剪应用环境，制作图标、图形视窗或建立全新的模型等，而使用者无需任何编程知识。随着技术的进展，计算机系统和网络的治理越来越相互渗透与融合。因此，开发工具还应提供完整的应用编程接口（ApplicationProgrammingInterface），使用户能方便、灵活地对网络治理软件进行扩充，以开发出功能更加强大的系统或网络治理软件。价格价格是每个用户都十分重视的问题，任何时候用户均应在有保障的技术服务的前提下，拿到产品合理的优惠价格。以后几年的网络进展，必定使网络治理软件或迟或早成为计算机网络系统的核心治理软件。从长远的观点看问题，凡具有一定规模的网络投资，均应将网络治理软件摆在重要的地位给予考虑。另外，对网络治理软件的投资，除了购买软件的费用外，用户最大的投资是要付出相当可观的时刻和人力在实践中取得经验，即“实践和经验的积存”。软件供应商与系统集成商的服务成功的系统治理必须厂商、集成商、用户一起，进行客户化的工作。我们为云南网通各省（市、区）配置了CiscoWorks2000的网管工作站，实现对全网的系统化治理。设备选型设备选型讲明设备配置应基于当前的需求，并留有一定的富裕量，同时应考虑今后逐步向多业务平台的迁移。新增设备型号接口模块用途两台Cisco3662路由器2端口CE1模块2端口以太模块连接各营业厅连接上级系统两台Catalyst4006交换机48端口10/100M以太模块16端口1000M以太模块构架省中心高速处理局域网两台PIX525防火墙2块千兆以太网卡3端口百兆以太网接口隔离内外网CiscoWorks2000NMS(forwindows/saloris)-网络治理软件Cisco2651路由器2端口100M固化接口1端口广域接口每营业厅一台，连接广域设备Catalyst2950交换机24端口10/100M接口每营业厅一台，连接局域设备Cisco3662Cisco3660系列平台在特不成功的Cisco2600和3600系列产品的基础上，在密度、性能、稳固性和可服务性等方面进行了大量改进，使其可作为客户设备（CPE）用于大型分支机构应用或完成电话服务。Cisco3600的通用性保证了它远全满足目前分支机构和企业对数据、话音、视频和混合拨号访问应用的需求，为多服务应用不断增长的带宽需求提供了必要的高速连接。Cisco3660系列平台的主板上集成了10/100自适应以太网端口，释放了所有6个网络模块插槽，从而能够支持更高密度的LAN/WAN或多服务集合。另外，主板上的2个高级集成模块（AIM）插槽能够支持更强的处理能力。Cisco3660系列产品插槽多的优势和新网络模块的增强性能结合在一起，能够支持新的商业应用，如更高密度的分组话音集合和分支机构异步传输模式（ATM）访问，后者的范围能够从T1/E1ATM反向多路复用技术（IMA）一直到OC-3接口。Cisco3660系列产品到目前为止已有70多个不同的接口可供使用，为客户特定应用提供了大量的配置选项，从而具备了空前的通用性、无可匹敌的性能和广泛的灵活性。Cisco3660系列产品能够与Cisco1600，1700，2600和3600系列多服务平台共享模块接口，因而爱护了客户投资，降低了与备件有关的运营成本，并简化了培训过程。Cisco3660系列产品模块化机箱的设计充分考虑到了高可用性和可服务性，使其成为网络中一个特不坚实又高效经济的单元，关键任务应用能够放心地配置在如此的网络中。Cisco3660系列产品的独到之处还包括综合的电源冗余选项和模块热交换能力，它们为关键功能提供了更高的产品可用性。Cisco3660系列产品可按照一些不同的配置订购。差不多系统由以下部分组成：1或2个集成10/100端口6个用来支持网络模块的扩展槽2个用于硬件加速和提高处理能力的高级集成模块（AIM）插槽支持冗余交流或直流电源的机箱1个辅助端口1个操纵台端口2个用于备份软件和配置的PCMCIA卡插槽Cisco3660系列产品提供了同类网络模块以及冗余电源的热交换能力，从而确保了产品的高可用性。后部接入分布线使连接更为容易，模块化设计使现场可更换单元（FRU）的维修更加方便。通过使用CiscoWorks、CiscoView和CiscoViewStack治理接口应用程序，Cisco3660系列产品的网络治理能力更加强大。上述这些应用程序早已被用于治理现有网络系统中安装的大量Cisco产品，因此，这为网络技术支持人员提供了较为熟悉的网络治理环境。Cisco3660系列产品的一个重要优点是它运行CiscoIOS软件，该操作系统在世界各地大部分的Internet骨干设备都得到了应用。安装使用Cisco3660的客户立即能够拥有CiscoIOS的丰富功能，它支持大量的应用程序，能够满足客户日益增长的业务需要。Cisco3660系列产品的要紧功能和优点包括：密度和性能——Cisco3660系列多服务平台配置了集成端口以及6个扩展槽，能够支持新的业务应用，如更高密度的分组话音集合和使用T1/E1IMA或OC-3接口的分支机构ATM访问。Cisco3660系列产品增加了70％以上的处理能力，同时在专门多配置中，在更加紧凑的机箱中，配置密度比Cisco3640提高了一倍。高可用性设计－－Cisco3660系列产品的冗余交流和直流电源选项为关键任务应用提供了一个坚实的平台。此外，同类网络模块（NM）的热交换和电源供应使高可用性环境的正常工作时刻更长。数据、话音、视频和混合拨号访问的集成－－Cisco3660系列产品使用户能够支持最多种类的应用，包括在单一平台上实现数据、话音、视频和混合拨号访问的集成。单一平台上用程序的集合通过简化分支机构网络环境的配置、备份、支持、治理，提高了系统运营效率，降低了网络成本。目前可用于这些插槽的模块接口有70多个，从而具备了无与伦比的通用性。爱护投资－－Cisco3660系列产品能够与Cisco1600，1700，2600和3600系列平台共享模块接口，如此简化了对网络支持的要求，促进了规模经济，最大程度地降低了培训成本，为满足现在和今后小型、中型和大型分支机构的需要提供了用户特定的各种选项。除此之外，Cisco3600系列产品支持模块组件现场升级的能力使客户不必通过远程分支机构解决方案的全面升级，就能够专门容易地改就网络接口和其它组件。降低拥有成本－－通过将内置数据服务设备/信道服务设备（CSU/DSU）、综合业务数字网（ISDN）终端（NT1）设备、以及分支机构布线室内其它设备的功能集成在一起，Cisco3660系列产品提供了一个节约空间和成本的解决方案，同时该解决方案还能够使用CiscoWorks和CiscoView如此的网络治理软件进行远程治理。Catalyst4000Catalyst4000系列提供了一个高性能的企业级交换解决方案，它在配线室支持96个10/100M端口，在数据中心服务器环境支持36个千兆位端口。Catalyst4000系列提供第二层的多千兆位交换体系结构支持10/100/1000M的交换。模块化的六槽Catalyst4006交换机采纳业界领先的Catalyst5500/5000系列交换机软件提供了用户网络解决方案中配线室所需的丰富的特性集。新的高性能体系结构满足现在和以后的进展96个10/100M以太端口或36个千兆位端口集于一个治理单元，吞吐量能够达到18Mpps，交换背板带宽为24Gbps。Catalyst4000系列提供了足够的带宽和可扩展性以满足客户服务器系统所需的带宽和相应时刻。模块化机架Catalyst4000系列以太网交换机提供了广泛的从10/100M到千兆位的端口密度，它提供了：一个六槽的模块化机架，其中一个槽口用于治理引擎，另外五个槽口用于交换模块。两个电源槽口支持冗余的负载均衡容错的电源供应，电源DC/AC可选。一个热交换的风扇槽口单一IP地址治理端口，电源和链路冗余。配置的灵活性和模块化的优势Catalyst4000支持如下四中交换模块48口10/100M以太网模块32口10/100M+2口千兆位上连模块6口千兆位模块18口千兆位模块Catalyst4000端口密度配置范围Catalyst4003最大支持一个治理模块和两个交换模块，支持从配线室（96个10/100M以太口）到数据中心服务器阵列（36个千兆位服务器连接）。Catalyst4006最大支持一个治理模块和五个交换模块，支持从配线室（240个10/100M以太口）到数据中心服务器阵列（36个千兆位服务器连接）。可扩展性和弹性由于模块化的灵活性和模块速度的多样性能够能够专门容易地在现在或以后上升到千兆位。Catalyst4000系列用来满足客户从一定带宽到多千兆性能（采纳GEC，每个GEC逻辑链路可达8Gbps）的需求。另外，Catalyst4000满足设备冗余，链路弹性和网络可用性，直接提供给个人用户，服务器，打印机和数据中心指定的带宽。冗余能力为了保证可靠性，容错的网络运作，Catalyst4000支持冗余负载均衡的电源供应。采纳UplinkFast和PortFast的端口冗余。采纳FEC和GEC的链路冗余。高速服务器阵列连接Catalyst4006交换系统是一个企业级10/100/1000以太网交换机要紧目标是中密度的第二层交换配线室，另外，Catalyst4000也能够配置成一个千兆位以太网交换机做网络服务器阵列应用。特征Catalyst4006模块槽数6可用模块548口10/100M自适应6口GE模块18口GE模块背板带宽60Gbps可堆叠性无最大VLAN数1024802.1Q有ISL无Catalyst4000系列新推出了三层交换的模块，整个交换机的三层交换能力随三层交换模块的增加而增加，每个三层模块的第三层交换能力为48MPPS。CiscoWorks2000LAN治理解决方案2.0局域网治理解决方案（LMS）是CiscoWorks2000网络治理系列产品之一。它为园区网提供了配置、治理、监控、故障检测与维修工具，同时还包括了用于治理局域网交换和路由环境的应用软件。利用Internet的开放式标准及Cisco设备与操作系统的内在功能，局域网治理解决方案使网络治理员能够有效地治理整个局域网或园区网。Web扫瞄器为关键应用提供了便于使用的接口，如拓扑映象、配置服务以及有关园区交换网的要紧系统、设备、故障和性能等信息情况。由于上述应用是具有Web和扫瞄器访问功能的，因此治理员可从网络的任何地点自由猎取这些网络工具。局域网治理解决方案提供的灵活的安装能力使其能够安装在常用的网络治理系统（NMS）产品之外，或者与之并列安装。鉴于其Web结构，局域网治理解决方案工具可与任何在网络中运行的不同服务器上的常用NMS相集成。局域网治理解决方案与其他CiscoWorks2000解决方案一样，不需要预先配置NMS，并能够随时直接添加到您的网络中。这种多供应商并存与链接能力代表了Cisco一贯追求生态体系的方针：即采纳基于扫瞄器的访问性和集成技术，为您提供一种端到端的Intranet治理形式。局域网治理解决方案为园区网治理工具奠定了坚实的基础，并对CiscoWorks2000的其他产品给予补充。例如，路由WAN治理解决方案体现了广域网的需要。服务治理解决方案则为定义和治理服务级协议提供了一种集中治理方法。而虚拟专网/安全性治理解决方案将web应用集成起来，有助于安装和监控虚拟专网及其安全设备。总之，CiscoWorks2000系列产品为治理Cisco的重要业务网络提供了具有领先技术水平的解决方案。今天，局域网成为商业基础设施的重要组成和关键系统。局域网的治理也差不多从以设备为中心转变为以治理传输数据和语音流的内容感知信息系统为中心。这就要求具备快速、方便地配置与监控网络设备的能力，以便随时能够提供连接和服务。尽早发觉网络状态的变化已成为排除潜在故障的关键。局域网治理解决方案提供了满足上述需要的多种工具，它集成了最先进的侦测技术、端口分配工具、高级连接分析和配置治理工具、设备与网络诊断工具等，其能力包括故障治理、远程监控、流量监控等。而所有的功能都建构在一个便于使用的框架中。局域网治理解决方案集成了多种用于配置、监控和维护园区网的应用与工具。其设计体现了当今Cisco的网络技术，同时也为治理以后的网络需要提供了一种灵活的框架。局域网治理解决方案包括面向操作的多种工具，如故障治理、可扩展的拓扑检查、高级配置、第2层/第3层路径分析、语音支持路径追踪、流量监控、终端工作站跟踪工作流应用服务器治理以及设备故障维修等等。局域网治理解决方案创建在CiscoWorks2000常用服务器基础上。这种设计将数据收集、监控和分析工具链接起来，方便了在应用间运行工作流--所有工作都能够通过一种台式计算机应用来完成。譬如，某个抱怨反应时刻太长的用户能够利用局域网治理解决方案中的第2层路径工具来自动搜集存储在某个数据库中的用户路径信息，并在拓扑映象中找到所使用的设备，从而能够快速地进行诊断。此外，它还能够迅速检查交换机和路由器的配置情况，或者迅速检查远程监视器的数据传输，从而发觉异常情况或可能出现的变化。上述操作能够从一个或多个应用中猎取信息。Web级集成技术提供了创建多供应商治理生态体系的能力。局域网治理解决方案利用Internet标准来将最先进的工具结合起来，并通过数据和任务集成标准来发挥这些工具的功能。通过采纳业