数码酒店网络方案模板

数码酒店网络方案资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。希尔顿数码酒店计算机网络系统集成目录TOC\o"1-3"一、概述 11.1计算机网络系统设计背景 11.2计算机网络系统集成方案遵循的原则 11.3计算机网络系统集成方案遵循的标准及协议 2二、用户需求分析 3三、方案设计 53.1网络系统设计 51、网络技术分析 52.总体方案详解 63.设备选型 93.2服务器系统设计 153.3UPS系统设计 253.4网络操作系统设计 27概述1计算机网络系统设计背景在竞争激烈的今天,信息就意味着成功;而计算机网络－将各种个人电脑、服务器、工作站和其它硬件经过相应软件全部联接于一个共用的系统－在帮助企业赢得战略优势上起着重要作用,让你跨越办公室地理位置的限制快速、方便、可靠地传送数据。可是,今天的网络将不能满足明日的需求。功能日益强大的应用系统,不断增加的用户,以及近来出现的对声音、图像和多媒体信息的支持,使现有网络解决方案不堪重负。为了配合形势,需要一种从根本上全新的技术来支持实时的信息系统,以便在未来数年内保持竞争优势。交换技术是未来网络发展的方向,是提高网络带宽到1000M的关键,交换技术主持用户之间多条专有线路的高速连接,消除带宽的瓶颈,同时为大型网络提供了一个强而有力的、大规模、可伸缩的解决方案。交换式互联网络提供了使您的业务走向未来的虚拟网络能力。从今日网络的实际限制中解脱出来,这一体系结构让您建立一个可扩展的、高性能的、易于使用的企业信息系统。另外,这项技术不但支持数据,还支持声音、影像和多媒体的应用,这正满足了您对未来的需要。1.2计算机网络系统集成方案遵循的原则根据当前的需求和未来的发展,我们本着以下的原则,提供网络设计方案。(1)标准化计算机网络系统就是要实现网络信息及设备资源的共享,实现方便的信息交流,完成不同厂商的设备和计算机软件的互连。在一个复杂的大型网络系统里,必然有多个厂商的硬件及软件,为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性,应建立一个开放式,遵循国际标准的网络系统。避免造成用户在网络使用上的局限性。(2)可扩展性由于用户业务的不断扩展,网络系统必然随之不断扩大。因此,当前的网络设计必须为今后的扩充留有足够的余地,以保护投资,使设计的计算机系统能够在一定的时间内得以满足不断增长的应用需求。(3)先进性当今世界,通信和计算机技术的发展日新月异。我们的方案要适应新技术发展的潮流,满足用户对新应用的需求,并保证网络系统在若干年内不落伍,适应飞速发展的科学技术。(4)有效性和可靠性我们的方案要充分考虑用户的具体情况,不但理论上可行,更重要的是实际上可用和高效。最好地适应用户需求。为了使网络能可靠地运行,我们方案中要选用高品质的产品,把故障率降到最低,另一方面,我们要使用系统容错技术,从而使停机损失率降到最低。(5)可管理性随着网络规模和复杂程度的增加,管理和故障排除就越来越困难。现在的工作越来越多地依靠计算机系统,计算机将成为必不可少的办公设备,计算机系统的故障会给我们带来的损失将越来越大。为了减少损失,尽快地排除故障是十分必要的,因此使用的网络设备具备网管的能力,而且拥有一套良好的网络管理软件也就显得越来越重要。它能够减少故障排除时间,优化网络性能,节省开支,创造效益。我们的方案将提供先进而完善的网络管理。同时保证网络易于管理和维护也是网络安全运行、可靠有效的重要因素。(6)易用性任何一项高端的科学技术(包括计算机网络)开发的目的是更好的服务与人类的工作、学习、生活,提高人们的办事效率,降低工作强度,提高工作质量。这就要求计算机网络的开发具有良好的易用性,成为工作的助手。1.3计算机网络系统集成方案遵循的标准及协议IEEE802.3:广播总线网络系统IEEE802.3u100Base-TX:快速以太网铜电缆标准IEEE802.3u100Base-FX:快速以太网光纤标准IEEE802.3z1000Base-TX:千兆以太网铜电缆标准IEEE802.3z1000Base-SX:千兆以太网光纤标准IEEEStd802.3:Nway自适应IEEE802.3x全双工流量控制IEEE802.3p优先级队列IEEE802.9集成音频和数据局域网标准IEEE802.10局域网内的安全性标记信息包IEEE802.1QVLAN标记对具有VLAN的802.1的过滤控制TCP/IP协议:传输控制层协议/Internet协议CSMA/CD协议:带冲突检测的载波检测多路访问协议DHCP协议:动态主机配置协议DLCI协议:数据链路连接标识协议EGP协议:外部网关协议EIGRP协议:增强内部网关路由协议ICMP协议:网间控制报文协议IGRP协议:内部网关路由协议IPX/SPX协议:网际包交换/顺序包交换网络协议HDLC协议:高级数据链路控制协议PPP协议:点对点协议QoS协议:服务质量控制协议RMON协议:远程网络控制协议SMTP协议:简单邮件传输协议SNAP协议:标准网络访问协议SNMP协议:简单网络管理协议用户需求分析希尔顿数码酒店将建设成为一个五星级的现代化的国际酒店,专门为国际、国内高级商务人士提供的住宿、娱乐、休闲的高档场所,同时提供大型国际会议的全套服务措施。在当今信息社会,电子商务的兴起,正在改变着传统的商业操作模式,商务运作更依赖于高速、稳定、可靠的信息网络平台,作为国际现代化酒店为客人提供优越的商务办公环境是必不可少的,使客人完全能够完成在公司办公室能够实现的功能,不但如此还要保证个人信息资源的安全性和隐秘性。高速高带宽的信息高速公路网络主干为1000M交换式快速以太网,能够实现多种多样的应用,例如:电视会议、多媒体文件传输、电子商务等等,为应用系统的建设打下良好的物质基础,满足当前与未来网络系统及应用系统对带宽的需要。远程办公智能化入住的客人能够经过酒店的网络平台,在客房里就能够访问到自己公司的网络资源,进行信息资源的调用,而且能够实现诸如电子邮件的收发、网络电话、网络FAX、网络打印、远程管理等现代化手段,与公司保持事实的联系。而且提供严密的安全保护措施,保证客人的商业机密的安全。高效率的办公自动化系统办公及业务处理将走向现代化,形成新的,符合现代业务特点的方式,管理更加科学化,效率更高。领导经过查询系统能够方便、快捷的对信息中心的财务状况、人事材料、公司文档等资料进行查询,信息中心的状况一目了然。全面的统计分析和领导决策支持系统针对某一重大问题,酒店管理层能够在网上展开调查,并对反馈的结果进行分析,作出最后的决策,交领导决策层讨论。对公司内调查时节省了人员集散时间,缩短了问题反馈时间,对外地还可经过Internet对远在千里之外的用户展开调查,提高了对重大问题的快速反应能力。财务管理的计算机化财务核算实现计算机管理,使管理的过程更加简单、可靠;会计核算更加快速、准确,能够及时的向领导、税务部门、主管部门反应公司的财务、资金状况;各种分录、帐目更加整齐,易于查询、统计,打印更加美观、迅速。计算机自动化控制将使财会核算过程更为高效、便捷、可靠。经过Internet,掌握世界经济、科技动向网上信息传播的速度较其它煤体更快、更新,酒店管理层可随时查阅世界各地的经济信息,做到足不出户,就能够纵览天下,随时掌握世界经济动态,随时作出决策。电子邮件的广泛使用,使得信件的传递更加迅速,以往几天才能到达的信件,经过网络只需几分钟即可送到。能够随时与上级主管部门汇报工作,与有关单位进行业务往来。也能够经过网络与员工进行交流。信息电子化,实现无纸化办公信息的存储及传输大量采用电子化手段,使得信息的查询、传递更加方便、快捷,同时无纸化办公的实现,节省了大量的办公费用,适应了当今信息化时代的需要。信息化酒店管理客人能够在客房内浏览互联网,能够经过网络预定房间,查询服务项目、价格。能够进行房源管理、房态查询、预订查询、客帐查询、客户登记、消费结算等现代化管理。电子商场,网络交易建立自己的网站,发布服务信息、服务报价、电子交易、进行网上拍卖,对外地的员工进行网上培训。坚固的网络防卫措施网络建设应具备良好的防卫手段,以防止恶意的侵入和破坏,保护网络的健康、稳定、可靠的运行。防止公司资源和信息、数据的泄漏。方案设计3.1网络系统设计1、网络技术分析(1)、快速以太网交换(100BASE-TX,100BASE-FX)快速以太网交换是采用高速交换技术,推出的目的就是将带宽密集型资源(如服务器或台式交换机)的性能提高一个等级,站点数增加会不导致每个站点可用带宽降低。使用标准的IEEE802.3u协议,是建立在以太网的基础上的,它的与以太网的兼容性、经济有效性及稳定性已经使其成为应用最广泛的高速网络技术之一。快速以太网的传输介质是100BASE-FX光纤和100BASE-TX铜缆。另外它能够支持全双工操作,使网络带宽增加一倍,获得更佳的网络性能。在光纤链路下连接不超过半径2Km,双绞线不超过100M,拓扑结构为星形结构,支持多链路备份,但在较大网络中收敛速度慢。(2)、FDDIFDDI是采用共享介质的技术,站点数增加会导致每个站点可用带宽降低,拓扑结构为双环,最大距离可支持200Km,双向传输速率最高可达到200Mbps,不适于多媒体应用,支持双链路冗余,容错性能较好,标准完备,技术成熟。可构造大型网络,但带宽不可扩展,是上一代的大型网络连接产品。(3)、100VG-AnyLAN物理介质存取方式:DemandPriorityPolling,一种新的但未被广泛接受的技术。有一定的实时性,不适于构造大型网络,适用于工作组。支持的厂商很少。(4)、ATM是网络发展的方向,全交换式网络,数据以信元格式定长传输,传输速度快,速率可增长,155M-622M(当前最高速率622Mbps),面向连接的技术。实时性强,很好地支持多媒体应用。站点数增加不会导致每个站点可用带宽降低。支持多条链路冗余和备份,容错性好,带宽高且可增长,提供良好的QoS机制,适于构造大型网络甚至广域网。多业务宽带骨干ATM技术ATM技术早在90年代初就已经被提出,只是由于技术需进一步成熟,市场需求未形成,在当时并没有被投入实用。发展到90年代中后期,承载业务技术迅速发展,电信用户对网络服务种类和服务质量要求不断提高,而当时多数电信运营商采用的是TDM网络和X.25网络,无法适应当时的网络情况来满足这些不同的用户需求,因此必须采用一种全新的网络技术来满足市场需求;ATM技术此时已经基本成熟,同时由于市场需求的驱动,ATM技术成为一种被广大电信运营商采用的宽带骨干技术。仔细分析一下市场情况,据瑞典电信的统计和预测,当前话音业务的发展已经趋于饱和,业务增长正在趋于平缓,这是由于话音业务的特点是:实时性,单一性,以及业务量的稳定性,已拥有的电话基础网络已经能够满足话音业务的需求。而数据业务近几年来增长很快,并将在未来的两年内()达到所有业务占有率的70-80%以上;同时视频、图象等多媒体的应用需求也有较大增长,主要在公众娱乐方面。与传统电话业务相比较,这些新出现和增长的业务特点主要为:高突发性,高速率,多种服务质量要求。ATM采用统计复用技术,以固定长度的信元(53个字节)传送数据,为用户提供虚拟电路(VC),即具有TDM的特点有兼顾统计复用的优势,同时具有优越的流量管理机制,是满足以上多种业务用户需求的合适技术。采用ATM技术组建的基础网络的特点(1)多媒体业务:由于ATM采用统计复用的技术,能够动态分配带宽,对于具有突发性特点的数据业务来说极为有利;同时,ATM以固定长度的信元传送用户业务,又能够保证对时延敏感的用户的需求,如话音等。另外,对于传送多媒体业务应用的ATM网络来说,最不同于传统网络的方面就是要面对多种不同特点的用户信息,为了满足这样的用户需求,ATM技术中规定了多种服务质量级别,而且拥有相应的服务质量保证机制。因此,ATM对于多媒体业务应用是最理想的网络技术;(2)充分利用宝贵的中继带宽以及优越的QOS保证机制ATM技术的最大特点之一就是具有优越的流量管理机制。ATM论坛的TM4.0规范规定了一套完整的闭环式(主动)拥塞管理机制,不但能够将拥塞发生的可能性降低到最小,还能够在先进的交换机缓存和排队机制配合下将中继带宽的利用率提高到95%以上,从而最大限度上利用了宝贵的中继带宽,为网络运营商带来及其客观的经济效益。同时优越的管理机制也保证了不同用户的QOS。(3)硬件处理速度ATM采用固定长度的信元传送数据,使用户业务信息的拥入成为可预见的,加上先进的硬件芯片技术,使得ATM交换机完全采用硬件技术来完成ATM信元的交换。因此采用ATM技术的网络速度能够提高到硬件处理速度,完全满足现代用户不断增长的传送速率要求。(4)为IP业务提供有效的技术传送平台如本文开头所述,IP业务已经发生突飞猛进的增长,而且还将继续这种增长势头,因此,在基础网络平台上传送的用户业务大多数为IP业务应用,采用什么样的网络平台传送IP业务就显得特别重要。ATM技术平台能够为IP业务提供有效的传送通道。主要的流量管理机制由于QOS以及拥塞控制机制是ATM特别突出于其它技术的特点,本文将重点描述ATM的流量管理技术。流量管理机制和服务质量保证机制主要包括:流量监管UPC,输入端队列管理,中继队列管理,智能帧丢失,闭环式拥塞控制机制以及动态缓存机制(1)流量监管UPCUPC位于交换机的入口处,起到数据流量的监视管理作用。当用户数据进入网络时,首先由UPC机制监管,衡量用户数据是否符合合同,符合合同,则顺利送入网络;若不符合合同,则有两种做法:或者简单丢弃;或者在不符合合同的信元上打标记(CLP=1)。交换机采用双漏筒(DualLeakyBucket)机制进行计算。(2)输入端队列管理Per-VC-Queuing:在网络输入端,交换机应采用Per-VC-Queuing和Per-VC-RateScheduling的队列管理(见下图),来保证业务的QOS和不同用户之间的公正性。每个用户连接有自己的缓冲队列,交换机根据该连接的参数和网络使用情况对该队列进行服务(Service)。Per-VC-Queuing和Per-VC-RateSchedduling机制保证了每个用户连接的带宽分配,同时在用户间提供了防火墙,防止了用户间的相互影响。若网络接入VC1,VC2和VC3三个用户,其业务量分别进入各自的队列,交换机根据三个用户经过CAC与网络签订的合同中的业务描述参数(PCR,SCR,MCR等)以及QOS参数(CLR,CTD等),决定三个用户数据是否前传以及传送多少的动作,由Per-VC-RateScheduling来调整三个用户数据传送速率的大小。这样的操作不但能够满足不同用户对QOS的不同需求,也保证了用户数据之间传送的公平性,其中任一用户数据的突发都不会影响其它两个用户。综上所述,Per-VC-Queuing确保了每个连接都有它自己的队列和缓存区,以保证每个连接的业务特性和QOS。这保证了较高级别的连接永远也不会受到较低连接或变化多端的网络情况的影响。(3)中继队列管理业务级别的队列在交换机的中继上应提供每一个业务级别的排队,与输入端的per-Vc排队结合在一起能够改进连接,区分业务,以满足不同客户的需求。在一个交换平台上支持多用户业务和在它们之间共享带宽的能力是基于ATM的交换结构最富吸引力的优点之一。当输入端采用UPCPolicing以及Per-VC-Queuing/Per-vc-Scheduling将用户数据进行了优化和整形之后,OptiClass在中继上为不同用户的服务等级(如:CBR/VBR/ABR/UBR)进行了QOS保证。交换机应有足够的中继队列,不但能够支持现有的ATM业务级别:CBR、VBR-RT、VBR-NRT、ABR、UBR,还为IP业务的不同QOS奠定基础。(有关IPCOS描述见本讲座话题IPQOS)。同时还能够为飞速发展的用户新应用打下从硬件到软件的良好基础,这是网络业务可扩展性的一个重要体现。(4)智能丢帧机制(IPD)在ATM网络中传送的数据,无论原来数据包的大下,均会被砍成53个字节的ATM信元,当其中有一个信元丢失时,用户数据经过网络传送到目的端,重新恢复成原有的数据包才会发现已经有部分数据丢失,由高层协议发出重传请求。显而易见,这种工作方式是非常没有效率的,因为有可能网络中传送着许多目的端用户会丢弃的数据,不但占用网络珍贵的带宽资源,也有可能造成拥塞。智能早丢包机制正是为了解决这个问题而出现的。其原理是:一旦发现数据丢失,就将整个数据包丢失(数据包的尾部除外),从而避免网络中继带宽的浪费,而且将拥塞发生的可能性控制在网络外部。IPD机制包括两种:早丢包(EPD)机制,以及部分丢包机制(PPD),这种智能机制能够使得信元级的传输损伤不被扩大。交换机支持这两种机制。EPD基于缓冲器大小以及阈值,当阈值达到某一确定值时,EDP机制判断为拥塞会发生,于是预先把将要进入缓冲器的整帧(最后一个带有EOF的信元除外)丢弃,以避免拥塞的发生,提高网络的有效吞吐量图EarlyPacketDiscardSchemePPD的工作方式见下图。PPD机制不采用阈值判断的方式,而是当网络发生拥塞并开始丢弃信元时,PPD机制将属于同一帧的随后所有信元最后一个带有EOF的信元出外,全部丢弃,以避免无效信元占用网络资源。CEP端能够依靠最后一个带有EOF的信元来确认用户帧,并要求重发。(5)ATM的闭环式拥塞控制ABRVSVDATMFROUM的TM4.0采用RM(ResourceManagement)信元作为反馈信息,反馈网络资源的应用情况。ATMTM4.0规定了四种方式:ATMTM4.0规定了四种方式:ABRwithEFCI,ABRwithERStamping,ABRwithExlicitcelltagging和ABRwithVS/VD(VirutalSource/VirtualDestination)。前三种均采用RM信元反馈网络情况,但RM信元是反馈到CPE设备上,由CPE设备来控制用户数据的发送情况,网络并没有主动权来控制用户数据的发送;而ABRVS/VD则是将网络交换机虚设成源端和终端,RM信元反馈的情况由交换机作出反映,而且能够在每个节点或一个网络段的基础上灵活地设置网络内的流量控制环,如下图所示。因此采用ABRVS/VD网络的运营者才能够主动可根据每个网络的规模,时延和网络的跳数等要求设置网络的VS/VD控制环,以保证在网络拥塞时不发生信元的丢失和业务的中断。(6)动态缓存管理实现更有效的拥塞管理交换机应配有大型的缓存区和动态缓存管理方案,用于保证延迟敏感和非敏感业务进入或离开节点。交换机根据所呈现的业务量和业务级别协议逐个向虚拟电路动态地分配缓存区,既能保证业务量的最低要求,又能够最有效地动态使用缓存区。充分的缓存区随时能够适应进入节点的大规模业务量,防止网络因发生与其它竞争对手业务常见的拥塞和缓存区不足而造成的大规模丢弃现象,提高网络的有效吞吐量。ATM上所开展的业务,无论是帧中继,ATM还是IP业务都具有很强的突发性。ATM骨干网交换机在除了能够建立连接与高速交换信元这些基本的功能之外,也必须具有能够有效的支持数据突发的机制。这些机制有的在ATMForum里已直接有所述(ABRExplcitRate,ABRVS/VD),有些是间接的要求(PerVCQ),其中一个不在Forum的直接规范范围内,但已是学术界或工业界一致同意的结论就是-网络数据在ATMVC上传输的端到端性能取决于缓冲器的大小。没有足够的缓冲器,将造成在业务时突发时出现严重的数据丢失现象。当信元流失现象发生时,数据必须重发,这会造成客户应用层的延迟增加,使客户的吞吐量下降。如果网络拥塞现象依然存在,重发的包/信元只会使拥塞恶化。重发的包也会在网络里(拥塞处)被丢弃。综上所述,ATM技术以其优越的流量管理机制、适应于各种QOS的多媒体业务需求等特点在现有网络中得到很好的验证。(5)、千兆位以太网(GigabitEthernet)千兆以太网的标准已正式颁布。它能够在园区网中提供高达1Gbps的带宽,同时提供对原有的以太网环境自然简便的升级方式。千兆以太网采用同以太网、快速以太网、快速以太网同样的CSMA/CD协议、同样的包格式及同样的包长,简化了对用户原有网络的升级,提供了一定程度上的投资保护。快速以太网FDDIATM千兆以太网传输速率100M100M155M/622M1000M访问方式CSMA/CD,碰撞TOKENPROTOCOL,无碰撞QoS信元交换带优先级的CSMA/CD,碰撞介质类型双绞线多模光纤单模光纤双绞线(CDDI)多模光纤单模光纤双绞线多模光纤单模光纤双绞线多模光纤单模光纤产品标准化程度高程度高实现方案接近标准实现方案标准价格低高高中拓扑结构星型结构双环结构星型结构星型结构适用范围局域网城域网城域网园区网千兆以太网在保持快速以太网CSMA/CD基本结构的同时提供1000M带宽和优先级支持,基本上兼容广泛使用的交换以太网,同时具备一定的服务质量和服务类别(Qos/Cos)能力,具备平滑升级特性和优异传输性能。交换式千兆以太网具有以下特性:(1)成熟性以太网技术发展到今天,各种标准已经逐渐完善,技术驱于成熟,是当前在计算机网络中应用较为广泛的园区主干网技术。(2)扩展性以太网、快速以太网均使用IEEE的802.3标准,能够不用修改而将当前应用平滑过渡,而且千兆位以太网也使用了相同的标准,保证与快速以太网的兼容性。(3)适应性千兆以太网具有很大的应用空间。适合几乎所用的应用。而且能够与多种类型的传输介质连接,具有更强的适应性。综上所述,千兆以太网技术是一种较优的技术选择。园区网络主干的技术选择毫无疑问,目前可行的选择技术只有2种,即622MbpsATM和千兆以太网。下面对这2种技术在与IP相关的多个方面进行了对比:千兆以太网(以帧方式传输)ATM(以信元方式传输)IP包的传输效率采用ASIC芯片进行子网之间的IP包传输,速度快。路由协议如OSPF由软件运行采用全双工操作以提高传输效率采用MPOA在子网之间传输IP包以旁路速度较慢的路由器MPOA客户需要专用硬件支持这是一种捷径式路由技术,旁路了防火墙固定长度的信元导致传送IP包的效率不高服务级别和服务质量新的IEEE802.3帧格式提供了数据包的优先级别(CoS)和标准的VLAN(IEEE802.1p/802.1Q)低延时(一般小于15μs)用户可以对流量进行优先化标识,在网络发生拥挤时保证高优先级的应用的响应时间交换机拥有多个不同级别的输出队列IPTOS(TypesofService)提供IP层的服务级别IPTOS中的CoS位可以映射成ATM的QoS可为每个虚连接分配一个队列为话音、视频和数据提供服务质量(分别为CBR、VBR和UBR)但LANE1.0并未使用CBR和VBR目前直接在VBR上开发的应用几乎没有流量控制全双工操作及不同速率接口要求有流量控制802.3x可用于降低输入数据流的速率需要TCP层的流量控制流控的实现有以下差异:潜在的拥塞问题只能工作在全双工方式消耗带宽基于ABR的端到端流控要求ATM的站点和边缘交换机支持ABR未被普遍采用实现上的难易程度交换机需要高速背板的支持需要新的硬件控制器第三层交换不要求对原网络进行彻底更新需要有系统的方法设计和维护ATM网需要新的硬件以支持MPOA客户用户需重新培训是否能保证网络的平滑升级新的帧格式向后兼容第三层交换不要求对原网络进行彻底更新利用MPOA在IP主机之间建立捷径式路经,MPOA要求硬件支持虚拟网用802.1Q建立基于端口的VLANIntranet要求建立基于子网的VLAN某些交换机支持基于策略的虚拟网ATM的强项VLAN与LANE和MPOA集成在一起每个端口可属于多个VLANIPMulticast第2、3层交换机使用IGMPSnooping技术自动设置IPMulticast小组某些第3层交换机还支持DVMRP路由协议可以建立点到多点的虚连接第4层数据流的控制ASIC硬件可辨认TCP的端口号交换机可将Qos/CoS/ToS参数应用于交换的数据流上对IP应用区分优先级无从以上对比可以看出,建设交换式IP园区骨干网所需的功能用千兆以太网是完全可以实现的。这主要是由于支持千兆以太网的第3/4层交换机的出现大大地增强了千兆以太网在园区的地位,原来认为的以太网的一些不足,如对多媒体应用的支持、灵活的网络拓扑结构和多链路负载分享、基于标准的虚拟网等,已被新的技术和标准所解决。CISCO千兆以太网交换机在单模光纤上传输距离可达75公里,同时还支持IPoverSDH/SONET,使得这种技术能从园区扩展到城域网。ATM技术将继续在一定时期内在广域网领域发挥作用;对于那些要求有严格的服务质量保证(例如利用ATM的线路仿真技术提供高质量的话音通讯)的用户来说,ATM技术仍是值得考虑的选择。但在大厦的网络建设中骨干网络采用ATM网络,桌面采用以太网技术,就要经过ATM信元到以太网数据帧的转换,增加了网络负载,降低了总体性能,而且ATM与以太网的结合必须经过LANE(ATM局域网仿真),这样ATM上的QoS技术就不能完全实现。可是本着发展性的原则,我们在选择设备的时候,还要从技术发展的长远考虑,因此采用的设备完全是模块化设计,能够最大限度满足当前的应用需求,又经济的同时,提供可扩展的插槽,为将来酒店的发展预留空间,能够支持ATM、千兆WAN。当应用需求增长时,在当前的网络平台的基础上,只须添加一些扩展模块即能够平滑的过渡到更高的水准。针对希尔顿数码酒店的具体情况和要求,本方案选择了中心交换机采用千兆级交换机,主干采用千兆以太网技术,与二级交换机连接;二级交换机采用10M/100M自适应交换机,实现到用户交换100M。2.总体方案详解希尔顿数码酒店的计算机应用主要以大量的信息查询、信息检索、资源共享为主,传输的信息有大量的图片、图象、音频、数据,因此需要较大的带宽和传输速率,本方案采用技术先进、并已形成国际标准的千兆以太网作为主干网。以太网标准由IEEELAN-MAN标准委员会的802.3工作组创立并维护。近几年,802.3z工作组致力于光纤和屏蔽跨接电缆集合(”短距离铜线”)的千兆以太网解决方案。1997年春天,新的工作组802.3ab成立,研究基于4对5类缆线的”长距铜线”解决方案,其标准为4对5类UTP、最大长度100米的千兆以太网连接,该标准为以太网MAC层定义了一个接口GMII(GigabitMediaIndependentInterface),还定义了管理、中继器操作、拓扑规则及四种物理层信令系统:1000Base-SX(短波长光纤)、1000Base-LX(长波长光纤)、1000Base-CX(短距离铜线)和1000Base-T(100米4对5类UTP)。注:1000Base-CX为150欧姆、平衡屏蔽的特殊电缆集合,线速1.25Gbps,使用基于光通道的8B/10B编码方式,其时间帧与光纤连接相同。千兆以太网也是以太网,能够保证产品向前兼容,主要有:交换机、上连/下连模块、网卡、千兆以太网路由器,以及一种新设备,叫缓存式分配机(buffereddistributor)。缓存式分配机是一种全双工、多端口的类似集线器的设备,将两个或工作在1Gbps以上的802.3链路连接起来。缓存式分配机把分组转发到除源链路外其它所有链路上,提供共享带宽域(与802.3的冲突域相对),也被称为”盒子中的CSMA/CD”。它与802.3的中继器(repeater)不同,允许在转发到达各链路的帧之前先加以缓冲。作为共享带宽设备,缓存式分配器应与路由器和交换机区分开。配有千兆以太网接口的路由器能够有支持高于或低于千兆速率的背板,而连到千兆以太网缓存式分配器背板的端口共享一千兆的带宽,对于多端口的千兆以太网交换机而言,其高性能背板可支持数千兆的带宽。本方案的主干核心级交换机采用CISCO6000千兆交换机,各楼层设置二台CISCO3548XL提供48个10/100M快速以太网接口,两个扩展模块,可插接一个千兆GBIC光纤模块,进行链路上联至3508XL。另一个插槽插接一个千兆GBIC堆叠模块,堆叠分设备间的3548XL。CISCO3548XL提供100M到桌面的速率。考虑到千兆以太网卡的价格比较昂贵,可是网络服务器往往是一个网络的瓶颈,因此能够采用CISCO先进的快速以太网通道的技术,实现交换机到服务器200M的速率。CISCO6000千兆交换机预留的插槽,能够满足希尔顿数码酒店信息中心网络的扩充,以及与其它办公楼、开发楼的光纤连接。分配线间设置比较多,因为考虑到大厦今后需要外租,外租单位不需作太大的变动就能够与大厦的网络系统独立出来,如果外租单位不具备管理的能力,仍能够由大厦信息管理中心管理,而且同样具备良好的安全性。并经过ciscowork对网络进行全面的管理。交换技术VLAN技术应用为了加强网络系统的安全性,防止广播风暴,有效的利用网络带宽,减少网络负载,提高网络传输速率,采用VLAN(虚拟局域网)技术,根据交换机的端口将网络划分为客房(VLAN1)、宾馆(VLAN2)、服务(VLAN3)、管理层(VLAN4)四个VLAN,VLAN之间经过ISL形成网络主干,使广播包限制于VLAN内。每个VLAN必须设置自己的安全属性、访问级别、QoS(服务质量)、CoS(服务等级)。VLAN安全属性访问级别QoS应用管理最高专有权限中级酒店办公中枢系统客房高设定私有帐号高级客人远程访问宾馆中内部设置权限低级日常办公服务中GUEST高级Web服务VLANs允许网络管理人员使用相应的虚拟网络软件设计、修改和管理网络而无需改变网络的物理结构。一个虚拟网是一个广播域,它不受路由器的限制。实现虚拟网后,网管人员无需改变网络物理结构,就可根据部门的性质和企业的需求建立和配置”虚拟网络”。使用VLAN管理软件创立虚拟网具有很多优点:·快速组成VLAN而无需改变其网络物理结构;·为每个VLAN分配它所需要的带宽;·在网络环境中增加安全性;·优化VLANs以适应某种特殊应用的需要;虚拟网设计中主要考虑了下面的因素:·定义:虚拟网的定义决定了实现虚拟网的方案。1)根据交换机的端口定义:能够设定一系列端口,使它们在同一个广播域中。2)根据MAC地址定义:将特定MAC地址集合聚集成虚拟网。3)根据IP定义:根据计算机IP地址的子网号划分虚拟网。4)根据应用定义:考虑到应用对带宽和服务级别的不同要求,综合上面1-3种定义。·监控:能够监视虚拟网的运行状态、阻塞情况、安全状况等。传统的LAN一般是以广播方式工作的,而网络监控是经过一台相连的网控设备收集并处理的。交换机由于有专门的连接而改变了这种网络监控追踪的技术,主要方式有:嵌入式监控2)外部监控3)内置智能代理·路由:虚拟网之间如何互连,包括虚拟网互连的路由算法及实现方式。使用传统的路由器分布式/集中式虚拟路由·基于策略的管理:基于策略的管理,是虚拟网中的最高境界。用户都要经过某种技术来达到其应用目的,基于策略的管理正是将规则和限制嵌入整个网络管理系统种。NetFlow技术

NetFlow的主要功能在于它能够为服务供应商和企业提供网络的容量规划、趋势分析以及数据的优先级方面的信息。这项技术也能够用于基于IP的计费应用和服务级别保证(SLA)的校验服务。

NetFlow的工作原理主要是:NetFlow先记录下初始化IP包的数据,如IP协议类型、服务种类(ToS)、接口标识等,然后,为了更有效对数据进行匹配和计数,NetFlow让随后的数据在同一个数据流中进行传输,同时,对它们使用各自相应的服务,如安全性过滤、QoS策略、流量策划等。实时数据被存储在NetFlow的缓存中,经过读取的操作指令就能够重新找回。是为酒店客户提供高优先级别的QoS的保证。

在NetFlow的基础上,Cisco公司又提出了NetFlow策略路由(NPR)技术。这个基于CiscoIOS服务的技术,提供了流量规划、IP预先分类的功能,为策略路由提供了高效、高性能的NetFlow机制。由于NPR也支持CEF体系结构,因此能够用于分布式的平台上。

对Internet的访问采用稳定、可靠、高速率的DDN专线连接(具体收费情况与当地电信部门联系),能够进行64K/128K/2M的连接,考虑希尔顿数码酒店信息中心的应用需求及经济性的原则,建议采用2M的方式。经过CISCO路由器及DTU与当地数据局进行点对点的连接,CISCO路由器有很好的扩展性,能够满足用户将来对ISDN、帧中继的需求,保护用户的投资。而且能够经过路由器自代的IOS操作系统,设置包过滤机制,实现防火墙的功能,加强企业网的安全机制,防止网络攻击。为了保证酒店网络的稳定运行,应该提供广域网的线路冗余,建议采用价格低廉、稳定的ISDN线路作为备份,防止DDN专线出现意外故障时,网络仍能够正常工作。为了给酒店的客人提供完善的办公环境,建议采用VPN远程连接服务。VPN远程连接服务与电话拨号的比较:带宽:电话拨号的网络传输速率受电话线路的限制只能达到14kbps,而VPN的连接能够保证在56kbps的速率,消除了客人上网的瓶颈,上网速率更加快捷。费用:免除了远程电话拨号的长途电话的通信费用,只收取本地市话费用。安全:采用VPN标准协议(L2TP)和ciscoIpsec隧道加密协议,使客人在网络上传输的数据经过56位的加密保护,保证了客人的利益。应用:客人经过INTERNET只能远程访问公司的网页、及进行邮件的收发等简单应用,而经过VPN,客人能够经过自己在公司的帐号、密码建立与公司网络的专线,直接访问公司的资源,如同在公司的局域网上一样,实现真正的远程办公。在现代社会中,国家、组织或其它团体的强大与否很大程度依赖于其信息流。信息流必须要以安全可靠的方式从源端传送到目的端,这样接受者才能确定所接受的信息与发送的信息是一致的,而且某种类型的信息不应该被网络上的其它主机所识别。在安全方面,路由器是保证网络安全的第一关,其保护策略是以访问表的形式进行的,被创立的访问表能够被用来允许或拒绝信息流经过一个或多个路由器接口。访问表对CISCO安全是至关重要的。保证安全有很多因素,其中最为重要的是控制报文流进入网络,经过检测报文头部的信息来防止特定的报文进入一个网络,称为”报文过滤”,”报文过滤”让用户能够基于报文的源IP地址、目的IP地址和应用类型控制流入网络的数据流。在很多情况下,路由器是管理的边界,管理域表示网络设备的一般分组,网络设备能够是被单个管理组织所维护的如工作站、服务器、路由器等。不同的管理域有不同的安全策略,路由器所承担的一项功能是将这些分离的管理域连接起来。路由器作为一个园区LAN与Internet或多个园区网之间的连接点来承担这项任务的。在这种情况下,因为两个管理域之间互通的报文都要经过路由器,因此路由器是唯一适合于过滤报文的设备。而且对于地理上分离的组织,路由器对数据网络的连接是必须的,因此不再需要其它的附加设备和软件就能够实现报文过滤的安全功能。尽管在许多服务器平台上能够安装特别的硬件来提供分离组织之间的WAN连接,但这种方案的扩展性并不好。服务器一般不能提供CISCO路由器中这样齐备的协议和物理接口。因此大型的组织乐于选择这种成熟的解决方案。CISCOIOS操作系统中包含了创立一个复杂的边界安全解决方案的所有功能。对于希尔顿酒店的网络系统还要需要更高的安全保护措施,因此建议采用CISCOPIX防火墙作为酒店网络的坚固防御系统。CISCOPIX防火墙面向固定连接线路的安全性防护装置提供了极高的安全性,采用基于自适应安全性算法(ASA)的防护方案,可有效的防止网络黑客的入侵。所有进入网络的数据包都将与基于ASA算法建立起的包括源地址,目的地址,端口号码及TCP序列号等数据的列表项目相比较,只有列表项目中存在相应的连接线路,才能够经过防火墙访问。网络安全防范技术当前,网络安全防范技术主要从网络访问和网络协议入手,有下面一些具体的技术。1.密码学技术密码学技术不只局限于对数据进行简单的加密处理,而是包括加密、消息摘要、数字签名及密钥管理在内的所有涉及到密码学知识的技术。网络安全服务的实现离不开加密技术的支持,应用加密技术不但能够提供信息的保密性和数据完整性,而且能够保证通信双方身份的真实性。2.访问控制访问控制是根据网络中主体和客体之间的访问授权关系,对访问过程做出限制,可分为自主访问控制和强制访问控制。自主访问控制主要基于主体及其身份来控制主体的活动,能够实施用户权限管理、访问属性(读、写、执行)管理等。强制访问控制则强调对每一主、客体进行密级划分,并采用敏感标识来标识主、客体的密级。3.身份认证身份认证主要是经过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证能够由应用系统来实现。4.安全审计安全审计经过对网络上发生的各种访问情况记录日志,并对日志进行统计分析,从而对资源使用情况进行事后分析。审计也是发现和追踪事件的常见措施。5.安全监控安全监控技术主要是对入侵行为的及时发现和反应,利用入侵者留下的痕迹(试图登录的失败记录、异常网络流量)来有效地发现来自外部或内部的非法入侵;同时能够对入侵做出及时的响应,包括断开非法连接、报警等措施。安全监控技术以探测与控制为主,起主动防御的作用。6.安全漏洞检测安全漏洞检测技术是指利用已知的攻击手段对系统进行主动的弱点扫描,以求及时发现系统漏洞,同时给出漏洞报告,指导系统管理员采用系统软件升级或关闭相关服务等手段避免受到这些攻击。以上是最基本的网络安全技术,其它还有例如SSL、SHTTP、SOCKS、IPSec和SET等多种安全协议和安全技术,均是对这些技术的不同应用和扩展。当前网络安全产品市场上的主流产品有防火墙、VPN和入侵检测系统等,它们的功能、对相关攻击的防范措施各不相同。防火墙防火墙是当前使用最广泛的一种网络安全产品。从技术角度来讲,防火墙有3种体系结构:代理型防火墙、包过滤型防火墙和电路型防火墙。但当前市场上的防火墙产品主要以应用代理和状态包过滤(StatefulPacketFiltering)防火墙为主。状态包过滤是一种经过跟踪网络连接状态并根据状态信息动态进行包过滤的机制。以FTP协议为例,FTP协议指令经过20号端口,而数据经过21号端口进行传输。状态包过滤防火墙对其处理过程如下:当防火墙收到FTP客户端向合法FTP服务器20号端口发来的连接请求,会在连接状态表中记录本次连接的相关信息,包括源地址和目的地址、端口号、TCP序列号以及其它标志等,之后防火墙只允许从该FTP服务器的20号和21号端口向客户端请求端口传输合法的命令和数据。在这个过程中,防火墙经过记录连接状态,设置了动态存取控制规则,更有效地抵制非法数据包。如果攻击者想穿透该防火墙,需要伪造IP地址、端口号、TCP序列号和其它IP标识,难度很大。经过防火墙的合理配置能够抵制以下多种网络攻击。防火墙带有多块网卡,不同的网卡对应于不同的网段,经过将网卡与对应网段绑定,能够有效抵制地址欺骗攻击;防火墙能够配置阻塞ICMP报文,只允许某些类型(例如回应请求类型)的ICMP数据报文经过,从而抵制”pingofdeath”之类的攻击;使用NAT功能,所有从防火墙流出的IP数据包的源地址均为防火墙上保留的合法IP地址,不但能够使内部主机共享有限的InternetIP地址,而且能够隐藏内部网络信息。可是该功能将会对数据包的处理速度造成一定影响;防火墙能够配置成阻塞ActiveX和JavaApplets,防止恶意的程序对内部主机进行攻击;防火墙除了能够对主机地址、网卡地址和主机名进行认证之外,还能够实现基于用户的身份认证,例如采用口令认证、RADIUS认证以及硬件参与的认证等等,有效地防止地址欺骗、身份冒用等攻击。在选购防火墙的时候主要应该考虑安全性、高效性、可管理性和适用性等因素。1.安全性是评价防火墙好坏最重要的因素,因为购买防火墙的主要目的是为了保护网络免受攻击。可是安全性不像速度、配置界面那样直观,便于估计,往往被用户所忽视。对于安全性的评估需要配合使用一些攻击手段进行。2.性能主要包括2个方面:最大并发连接数和数据包转发率。最大并发连接数是衡量防火墙可扩展性的一个重要指标。数据包转发率是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。购买防火墙的需求不同,对这2个参数要求也不同。例如一台用于保护电子商务Web站点的防火墙,支持越多的连接意味着能够接受越多的客户和交易,因此防火墙能够同时处理多个用户的请求是最重要的,哪怕每个连接的流量很小。可是对于那些经常需要传输大的文件,对实时性要求比较高的用户,高的包转发率则是关注的重点。3.防火墙的管理简单是对安全性的一个补充。当前很多防火墙被攻破大多数不是因为程序编码的问题,而是管理和配置错误导致的。对管理的评估能够从以下3个方面进行。(1)远程管理允许网络管理员能够远程对防火墙进行干预,而且所有远程通信需要经过严格的认证和加密。例如管理员下班后出现入侵迹象,防火墙能够经过发送电子邮件的方式通知该管理员,管理员能够远程封锁防火墙的对外网卡接口或修改防火墙的配置。(2)访问控制规则的配置界面应该直观、使用简单。大多数防火墙产品都提供了基于Web方式或GUI的配置界面。(3)日志文件不但能够帮助用户追查攻击者的踪迹,还能够记录流量。防火墙的一些功能能够在日志文件中得到体现。防火墙提供灵活、可读性强的审计界面是很重要的,例如用户能够查询从某一固定IP地址发出的流量,访问的服务器列表等等。因为攻击者能够采用不停地添写日志以覆盖原有日志的方法使追踪无法进行,因此防火墙应该提供设定日志大小的功能,同时在日志已满时给予提示。4.适用性是指量力而行,防火墙也有高低端之分,配置不同,价格不同,性能也不同。在购买防火墙的时候应挑选能够满足流量要求即可,并不需要盲目追求高性能。还有,有些防火墙功能非常强大,管理配置需要有网络和安全专业知识,在购买时应该考虑自己是否需要这些复杂的功能。路由器实现的功能DDN数字数据网数字数据网(DigitalDataNetwork)是利用数字信道传输数据信号的数据传输网,它的传输媒介有光缆、数字微波、卫星信道以及用户端可用的普通电缆和双绞线。利用数字信道传输数据信号与传统的模拟信道相比,具有传输质量高、速度快、带宽利用率高等一系列优点。DDN向用户提供的是半永久性的数字连接,沿途不进行复杂的软件处理,因此延时较短,避免了分组网中传输时延大且不固定的缺点;DDN采用交叉连接装置,可根据用户需要,在约定的时间内接通所需带宽的线路,信道容量的分配和接续在计算机控制下进行,具有极大的灵活性,使用户能够开通种类繁多的信息业务,传输任何合适的信息。DDN有四个组成部分:数字通道、DDN节点、网管控制和用户环路。(1)DDN是同步数据传输网,不具备交换功能。但可根据与用户所订协议,定时接通所需路由(这便是半永久性连接概念)。(2)传输速率高,网络时延小。由于DDN采用了同步转移模式的数字时分复用技术,用户数据信息根据事先约定的协议,在固定的时隙以预先设定的通道带宽和速率,顺序传输,这样只需按时隙识别通道就能够准确地将数据信息送到目的终端。由于信息是顺序到达目的终端,免去了目的终端对信息的重组,因此,减小了时延。当前DDN可达到的最高传输速率为155Mbit/s,平均时延≤450us。(3)DDN为全透明网。DDN是任何规程都能够支持,不受约束的全透明网,可支持网络层以及其上的任何协议,从而可满足数据、图像、声音等多种业务的需要。三、节点类型在”中国DDN技术体制”中将DDN节点分成2兆节点、接入节点和用户节点三种类型。1、2兆节点2兆节点是DDN网络的骨干节点,执行网络业务的转换功能。主要提供2048kbit/s(E1)数字通道的接口和交叉连接、对N*64kbit/s电路进行复用和交叉连接以及帧中继业务的转接功能。2、接入节点接入节点主要为DDN各类业务提供接入功能,主要有:1、N*64kbit/s、2048kbit/s数字通道的接口;

2、N*64kbit/s(N=1~31)的复用;

3、小于64kbit/s子速率复用和交叉连接;

4、帧中继业务用户接入和本地帧中继功能;

5、压缩话音/G3传真用户入网。3、用户节点用户节点主要为DDN用户入网提供接口并进行必要的协议转换。它包括小容量时分复用设备;LAN经过帧中继互联的网桥/路由器等。在实际组建各级网络时,能够根据网络规模、业务量等具体情况,酌情变动上述节点类型的划分。例如:把2兆节点和接入节点归并为一类节点,或者把接入节点和用户节点归并为一类节点,以满足具体情况下的需要。ISDN技术ISDN是一种能提供较高带宽和稳定连接的新型的Internet接入方式,在一个B通道的情况下,就能够提供64K的带宽,当使用2B通道时就可提供128K的高速通道,其性能已与DDN十分相近。

特点:快速一条ISDN线的传输速率64kpbs～128kbps,ISDN呼叫建立只需几秒钟。可靠ISDN提供端到端的数字连接,更少重传和误传。经济一条线能够同时上网和打电话,传输能力强,节省通信费用。DDN专线接入资费表带宽类别初装费租用类别月流量费调测费基带Modem19.2-64Kbit/s40009900限流量1G/月,超过部分6元/M4000元包月制7700元/月,不限流量7700元64-128Kbit/s4000

9900限流量1G/月,超过部分6元/M5000元包月制1.3万/月,不限流量13000元128-256Kbit/s400013900限流量1G/月,超过部分6元/M7000元包月制2.1万/月,不限流量21000元256-512Kbit/s400013900

限流量1G/月,超过部分6元/M9000元包月制3.4万/月,不限流量34000元ISDN专线接入资费表带宽类别初装费租用类别月基本费调测费端口占用费64Kbit/s(1B)2450免包月制3千/月,不限流量元/月128Kbit/s(2B)

2450免包月制5千/月,不限流量3500元/月VPN技术VPN技术力求带给用户的是在公网之上为企业构筑安全可靠,方便快捷的企业私有网络,并为企业节省资金。根据业务类型,VPN业务大致可分为三类,引用Cisco的定义方式,将三种用户需求定义为:IntranetVPN、AccessVPN与ExtranetVPN。所谓IntranetVPN即企业的总部与分支机构间通过公网构筑的虚拟网。AccessVPN是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。ExtranetVPN即企业间发生收购、兼并或企业间的战略联盟,使不同企业网通过公网来构筑的虚拟网。其中我们通常把AccessVPN叫做拨号VPN,即VPDN,将IntranetVPN和ExtranetVPN统称为专线VPN或场地到场地的VPN。根据上述分类,作为拥有网络资源的大型ISP,推广VPN业务的种类也相应分为拨号VPN业务和专线VPN业务两类,下文分别加以讨论。拨号VPN业务拨号VPN是对ISP最具实际意义的解决方案。拨号VPN的隧道发起又分为由用户发起、ISP拨号服务器(NAS)发起或企业网远程路由器发起三种。真正对ISP具有实践意义的是通过NAS发起的VPDN。该VPN的核心是通过L2TP(LayerTwoTunnelProtocol)协议,来实现第二层的隧道封装。通过L2TP开展的VPDN,能为用户带来这样的利益:客户到ISP的各节点出差或办公时,可通过当地的市话直接拨号上网,并访问企业网。以中国电信169为例,若开通了VPDN业务,公司的员工到各地出差时,只需拨打当地的169,然后输入用户名、口令即可。认证结束后,用户可以直接登录到自己公司的NT域服务器上,与其她员工共享信息。L2TP实现的根本意义在于:企业网可以真正用来管理自己的用户。企业员工不必在ISP上拥有自己的账号,员工可以使用自己在企业网中的账号和口令拨号上网。企业员工通过上网可以真正得到企业网中的可用信息,而这些企业网信息是通过公网上普通的拨号上网无法得到的。ISP仅针对企业收费,企业帮助ISP发展了用户,提高了ISP拨号设备的端口利用率,增加了ISP的收入。企业员工也因此节省了远程拨号的费用,得到有用的企业网信息,双方均可受益。ISP在实现VPDN业务时,急需解决的是下述两个问题。1．不同厂商设备的互操作性VPDN的实现需要拨号服务器和企业网网关(通常是企业网与ISP互联的路由器或防火墙)的互通。在L2TP协议中将ISP的拨号服务器定义为LAC(L2TPAccessConcentrator),将企业网网关定义为LNS(L2TPNetworkServer),鉴于L2TP协议并没有最终标准化,因此LAC和LNS的互操作性始终令人放心不下。目前,在国内拨号服务器市场中,占有量最大的设备是CiscoAS5x00、华为的QuidwayA8010等。企业网的网关设备中Cisco路由器占有较大优势,Bay公司和3Com公司的路由器也拥有一定的市场份额。2．对VPDN的认证、计费设备的互操作性仅仅满足了ISP业务开展的初步要求,而业务开展的根本要求是VPDN的认证、计费。提到拨号用户的认证和计费,我们必须看到RADIUS(RemoteAuthenticationDialInUserService),RADIUS是实现拨号用户的认证和计费的关键所在。ISP需要的运营模式是建立中心RADIUS服务器,各节点的RADIUS服务器将VPDN的访问请求包,作为漫游包送到中心RADIUS认证,中心RADIUS服务器,通过拨号用户名中的Domain部分(即中的)来认证用户,并返回认证通过或认证拒绝包。NAS通过本地RADIUS的转发得到该认证包。并发起与远端企业网网关的L2TP隧道,真正的用户名与口令认证是在隧道初始化时,在企业端的RADIUS服务器上实现的。值得注意的是:由于L2TP的标准化没有最终完成,各厂商与L2TP相关的属性定义方式可能不同,因此,在RADIUS中定义的L2TP相关属性需根据不同厂商的定义,采用不同的方法予以实现。VPDN的计费是ISP更为关心的问题。现实的解决方案是:通过ISP端的中心RADIUS对企业用户进行统一计费,企业端的RADIUS起到了认证和监督的作用。为企业查账方便,ISP可将企业中每个员工的具体使用情况交付企业,但只向企业发送一个账单。针对VPDN的企业用户,ISP甚至可以在实际运营中适当调整资费,减少上网费用,鼓励企业用户多多上网。可以估算,在VPDN业务中,增加一个中等规模企业用户,相当于发展了至少100个个人用户!专线VPN业务专线VPN为用户提供的应是安全可靠,并具有QoS保障的虚拟专网。专线VPN的目标市场有三类客户:第一类是国家政府机构,各大部委;第二类是在国内各地拥有众多办事处的大型企业;第三类是在华经商的外企分支机构。今年是政府上网年,专线VPN技术又恰恰能够解决国家政府机关、各大部委的上网、安全及互联问题。因此,最有市场发展前景。政府机关通过ISP分布在全国各地的节点直接上网,IPSEC可以实现各分支机构的隧道建立和安全通信,为特定政府部委(如海关,税务等)的安全需求提供了保障。针对第二类用户,ISP可通过批发VPN端口对其提供服务。企业网的各节点通过ISP的VPN设备进行接入,完成企业网内部通信的要求。该项业务可以同VPDN一起,由ISP为企业提供全面的VPN解决方案。对于第三类用户,客户群虽然较大,但企业的总部设在国外,只有企业的IT经理才能决定在企业网上是否应用VPN技术。因为将通过国际链路,跨越多个ISP,国内的ISP无法保障其应用所需的QoS。企业网的建设者可以完全不依赖ISP通过公网来实现VPN。对ISP而言,企业通过Internet上网建立其Intranet(企业节省了国际专线费用),已为ISP带来了利润。专线VPN通常是由IPSEC协议来实现的。IPSEC是一套完整的协议,它定义了在公网上安全传输数据的方式。IPSEC的复杂性来源于防止网络上的窃听者对数据的篡改,并确保数据通信双方的身份,对数据进行安全加密。其中,通信双方加密密钥的交换,安全信任关系的确立(即建立SecurityAssociation)是IPSEC实现的关键。在Internet密钥交换(即IKE)的实现方式上,又有手工配置方式,Pre-ShareKey方式和CA中心方式三种方式。专线VPN对ISP而言,另一个重要功能就是为用户提供QoS保障。在基于ATM或FrameRelay的ISP骨干网上实现QoS并不是很难的事情,但在基于传统IP路由的骨干网络上实现QoS,却非常困难,这是由IPv4先天不足所决定的。尽管从RFC2205到RFC2210,IETF详细定义了资源保留协议RSVP(ResourceReservationProtocol),Cisco也为在IP网上实现QoS,作了大量努力:WFQ、PriorityQueue、CustomQueue等多种不同的方法均可以对链路实现QoS保障,但上述QoS的实现技术在ISP中并未得到真正的推广。国家公众多媒