常德卷烟厂技术中心网络工程(60页)

常德卷烟厂技术中心网络工程 项目建议书 目 录 第一章 网络系统总体设计 .3 1.1 网络系统建设的背景 3 1.2 网络系统设计原则 3 1.3 网络系统总体设计说明 4 1.4 网络系统方案特点 6 第二章 主机系统 .8 2.1 主机系统选型原则 8 2.2 主机系统选型及依据 8 2.3 主机方案特点 10 第三章 网络管理与网络安全 .11 3.1 网络管理 11 3.2 网络安全 13 3.2.1 网络安全的威胁 13 3.2.2 网络安全元素 14 3.2.3 网络安全的实现 15 附 件 .21 附件一：局域网络技术 .21 附件二：网络设备 .33 附件三：IBM RS/6000 系列小型机服务器介绍 .41 附件四：设备清单 .53 常德卷烟厂技术中心网络工程项目建议书 第一章 网络系统总体设计 1.1 网络系统建设的背景 随着信息化的发展，Internet 的迅速膨胀，烟草行业竞争由为 激烈，加上常德卷烟厂技术中心业务量的飞速增长，对内对外信息 交流越来越频繁，同时为响应全国烟草行业网的建设要求，所以常 德卷烟厂技术中心建设高性能的局域网是非常必要的。 1.2 网络系统设计原则 本系统本着如下原则来设计：实用、先进、稳定、开放、扩展、 安全和经济。 实用性： 本系统的建设将始终遵循“面向应用，注重实效”的指导思想。 紧密结合经济运行，为信息服务提供现代化的手段。 先进性： 系统硬件设备和软件平台应最先进，既要反映当今技术的先进 水平，又应具有很强的扩展能力。同时还应注意所选用的技术、设 备和开发工具是最普及通用和成熟的，能与最新技术接轨，对市场 的任何变化具有极强的适应性。 开放性： 考虑到系统中所选用的技术和设备的协同运行能力，保护现有 的资源和系统投资的长期效应以及系统功能不断扩展的需要，所采 用的软硬件平台必须具有开放性，所采用的规范应与生产厂商无关。 扩展性： 由于网络信息技术的飞速发展，变化日新月异，所以在本方案 设计中，所选用的技术和产品具有很强的可增长性和扩展性。 可靠性： 在社会向信息化发展的同时，也存在一种危机，即对信息技术 的依赖程度越高，系统失效所造成的影响也越大。因此，本系统的 设计必须在投资可接受的条件下，从系统结构、技术措施、设备选 型以及厂商的技术服务和维修响应能力等方面综合考虑，确保系统 运行的可靠性。 安全性： 在网络信息时代，大流量的数据传输和管理在整个网络系统中 占很重要的位置，同时有些数据文件是高度秘密，防止外来黑客的 侵入，所以在本系统的设计中有较好的稳定性和安全性。 经济性： 本系统充分考虑性能价格比， “按需集成”的原则，在一定的资 金规模下以达到最好的、先进的性能。 1.3 网络系统总体设计说明 常德卷烟厂技术中心整个网络结构采用技术先进、成熟可靠的 交换式千兆以太网，两层结构，星型连接。在网络核心层，确保连 接可靠性，建议采用两台业界杰出的 Cisco 6509 模块化千兆以太网 常德卷烟厂技术中心网络工程项目建议书 交换机互为备份，作为系统主干交换机。Cisco 6509 主干交换机留 有千兆端口将来和计算机中心及联合工房连接，双网百兆端口连接 内部 IBM RS/6000 核心服务器。在网络分配层，选择带有千兆端口 的 Cisco Catalyst 3548 交换机。为确保网络分配层至网络核心层 连接可靠性，Cisco 3548 交换机两个千兆端口分别连接至两台互为 备份的主干交换机 Cisco 6509，假如一条链路断了，另一条链路仍 可继续工作，网络繁忙时，两条链路可自动达到负载均衡，更平稳 的传输数据，以免网络拥塞。Cisco 3548 交换机百兆下连至各楼层 或各部门桌面计算机。详见下图： 1.4 网络系统方案特点 1、局域网设计先进，实现分层不同容量交换 整个网络建设符合 ISO/IEC11801 标准和中国工程建设规范。技 术中心局域网核心层 Catalyst6509 千兆位以太网交换机支持通道流 量（Fast EtherChannel） ，最大支持 384 个 10/100Mbps 端口或 130 个 1000Mbps 端口，高达 256Gbps 的背板带宽，6509 交换机支持 IP 路由，这样局域网中各桌面计算机划分虚网后，可以直接通过 Catalyst 6509 完成各虚网之间的通讯。Cisco 6509 配置两个 SuperVisor Engineer 网络模块引擎，互为备份 ，两个 8 个端口的千兆 以太网模块，再配置一个 48 个 10/100M 自适应以太网端口模块，这 样完全满足技术中心当前需要，又有富余。局域网分配层 Cisco 3548 快速以太网交换机，具有 48 个 10/100Mbps 端口，带 2 个模块 插槽，支持千兆位端口，背板带宽高达 10 Gbps。 2、全网安全可靠 网络的主干及服务器采用冗余结构，做到无单点故障对网络的 影响。Cisco 6509 千兆位以太网交换机设置冗余电源系统及双引擎， 提高可靠性，机箱式设备支持模块热插拔。Cisco 6509 支持包过滤 级的访问控制，可以限制特定 IP 地址及应用通过。Cisco IOS 软件 可升级为 Plus 版本，支持 56 位 DES 数据加密传输，增强网络安全。 采用先进的虚拟网 VLAN 技术，以减少各种业务、各种应用数据流之 间的通信量，做到各种业务数据流量的隔离，进一步增强网络的安 全性、可管理性和带宽有效利用，优化整个网络。整个网络和 Internet 无实质性的物理连接，对于要上 Internet 的计算机暂时 考虑按单机拨号上网的方式，上网前要和内部局域网断开，还有对 常德卷烟厂技术中心网络工程项目建议书 于要上网的计算机由专人来管理，确保安全性。 3、网络管理一体化 整个网络系统在设计时均采用国际标准协议 TCP/IP，所有网络 设备的管理基于 SNMP，支持 RMON 和 RMON2，并由硬件实现，技术中 心设立网络管理中心，运用 CiscoWorks 网管统一管理，达到全网监 控、控制、统计、维护等功能。 4、网络扩展性强、保护投资 技术中心核心层网络设备为高性能模块化设计，Catalyst 6509 千兆位以太网交换机的九个插槽仅用五个，网络结构采用层次化设 计，高层网络设备在不能满足工作要求时，可降级使用。 第二章 主机系统 2.1 主机系统选型原则 代表目前商业计算机系统的先进水平。 具备较强的安全性。 具备优良的 RAS 性能-可靠性、可用性、可维护性。 具备优良的可扩充性和升级能力。 具备优良的性能价格比。 2.2 主机系统选型及依据 1、主机系统选型及选择依据 (1) 机型及处理能力选择及依据 对主机而言，业务服务、数据库服务对应的性能指标为 SPECWeb96 和 TPC-C。根据 IBM 公司的推荐，IBM RS6000 在处理银 行数据库业务时，TPC-C 与业务数的关系为 1：20，即 TPC-C 为 1000 的计算机每天可以处理 20000 笔银行业务。从业务处理的复杂 程度来讲，烟草行业业务相对简单。因此，在我公司建议采用 1：30 的比例计算。以技术中心为例：假如每天处理 40 万次业务， 因此需要 TPC-C 为 13000-14000 的计算机。考虑业务 15%的年增长， 因此我公司推荐如下计算机系统 机型 TPC-C SPECWeb96 常德卷烟厂技术中心网络工程项目建议书 IBM RS/6000 H70(4CPU) 17133(4CPU) 6958(2CPU) 主机系统采用两台 IBM RS/6000 H70 加 IBM 7133 SSA 磁盘阵列， 采用 RAID5 技术，运行 IBM HACMP 双机热备软件。 (2) IBM RS/6000 H70 特点 H70 是 IBM 新推出的高档 64 位 SMP 机型，支持 1-4 CPU，用于 企业级的关键业务。H70 建立在 IBM 第二代 RISC 芯片的基础上，具 有先进的 SMP 结构。IBM 独特的 Data Cross-Bar Switch 技术，避 免了传统 SMP 中内存总线竞争和数据一致性问题，提供 I/O、Memory 及 CPU 之间无阻塞的交换通道。 RS/6000 的所有 SMP 系统上都标准配备有一个名为 Service Guard 的 Service Processor，这个独立的 Processor 可执行许多 功能，增加系统的 RAS 性能。例如，它可以在系统未开机的情况下 执行系统的检测动作，也可以在系统任何一个元件发生问题时自动 将系统重新启动，并将有问题的元件隔离待修，不需人工的处理。 H70 具有优良的扩展能力，支持 4CPU、8GB 内存，根据处理能 力分析，单 CPU 时已经具备了处理烟草业务的能力，只须少加扩展， 便可支持其他多种业务。 2、磁盘阵列IBM 7133 SSA 系统 7133 SSA 磁盘阵列是 IBM 在存储产品领域中的领先产品，打破 了 SCSI 传统的总线结构，独特的环行结构支持 48 个磁盘，80Mb/s 的传输速率。IBM SSA 适配器支持 2 个环路，既支持 160Mb/s 的数 据通讯速率。SSA 的环路结构支持冗余功能，是 SCSI 结构所不具备 的。当 SSA 的环路断开时，并不影响数据的读写，仅仅是速率变为 40Mb/s，而 SCSI 系统总线断开时，整个总线上的硬盘系统便会崩溃。 3、双机热备份软件IBM HACMP HACMP 是 IBM 公司极负盛名的集群多处理软件，可以支持 16 个 节点。不仅支持虚拟 IP 地址、虚拟主机名，可选支持并行数据库， 而且支持 MAC 地址的切换。这意味着当主机发生意外时，备份机不 仅接管主机的 IP 地址、主机名，而且接管主机网卡的 MAC 地址，从 而真正作到无缝接管，即 Client 端不必重新启动计算机或刷新 ARP 表，便可直接与主机（实际为备份机）通讯。这才是真正意义上的 热备份。 4、系统备份设计 配备 IBM 3590 磁带库，存储量为 100GB/300GB（压缩） 。带库 提供 9M/S（非压缩）的数据传输率，可对大量数据进行备份和数据 恢复。尤其对于查询 5 年以前的历史数据，具有很高的优越性。 2.3 主机方案特点 技术中心系统采用 HACMP 双机热备份方式，可以提高系统可靠性。 系统根据业务量需求，采用合适机型，充分考虑性能价格比。 提供合理有效的备份方式，保障数据安全。 常德卷烟厂技术中心网络工程项目建议书 第三章 网络管理与网络安全 3.1 网络管理 网络互联使得管理变得更加困难，同时也更加重要。对于烟草 行业，整个网络系统的管理，形成集中与分散的网络管理结构体系 是非常重要的。目前，网络管理大多基于 SNMP（简单网管协议） 。 以下简单介绍 SNMP 管理的基础， 1 . ISO 管理框架 国际标准化组织 ISO 把网络管理任务分成以下五个部分： 配置管理 大多数智能设备需要某种形式的配置信息，配置管理功能允许 某种形式的的友好界面在 NMS（网管工作站）中输入配置信息，并 把这个信息传递到被管理的设备上。增强的功能还包括对大多数的 远程设备的配置信息进行检查的能力。这保证了对软件版本的严格 控制。 性能管理 NMS 是在网络上收集性能数据的好地方。在理论上，这个数据 可以放在相同的模型软件包中，该软件包首先用于设计网络。这将 允许为指定的系统改进和定制模型。 故障管理 这是网络管理最成功的一个方面，目标是在用户抱怨网络问题 之前让网络管理员找出它们。 安全管理 当网间网的规模变得很大，并开始彼此互联时，安全就成了一 个主要的问题。安全屏蔽和自陷（触发警报）可以配置在网络上。 如果这些设备受到入侵，被管理的设备或 NMS 的安全管理功能负 责触发警报。安全管理的一个更为广阔的形式是保证安全策略在整 个网络上是一致的。实际上，如果我们把网间网看作一个扩展的计 算机系统，安全系统就代替了操作系统的安全功能。 记帐管理 网间网耗费资金。它们存在的理由是它们可以使公司的效率更 高。最终的费用决定于网间网服务的使用。对于 TCP/IP 管理，记帐 管理是所有管理中功能最不完善的。 经过了几年的时间，这五个管理概念以不同程度作为管理系统 的核心功能而相继被采用。在 TCP/IP 领域中，唯一具有商业重要性 的管理结构是 SNMP。 2 . 网络管理方案 本网络设置网络管理系统，实现对整个网络实现统一的管理。 在中心机房的网络管理员可以通过远程登录和图形化界面的网络管 理系统管理整个局域网，包括局域网的 VLAN 设置等。 本方案设计中，网管工作站采用一台 HP 工作站作为网络管理系 统，网络管理软件采用 CiscoWorks 2000。 本网络的安全需求要在常德卷烟厂信息系统安全的统一规划下 来指定具体的规则来实施。 常德卷烟厂技术中心网络工程项目建议书 3.2 网络安全 网络互联融入到社会的各个方面，网络的安全，包括网上信息 数据安全和网络设备服务的运行安全，日益成为与国家、政府、企 业、个人的利益休戚相关的大事。 烟草行业网要防止因信息泄密、数据丢失等，给国家和行业造 成无法估量的损失。 在行业网安全和信息保密管理上必须做到： （1）严格遵照执行国家有关部委的要求和规定，各级信息中心 或计算机主管部门要协助同级保密委（办）的工作，设专人 负责网络安全和信息保密工作。 （2）严格执行国家局有关部门下发的烟草行业计算机通信信 息网络安全保护规定 （国烟办1998305 号文）和烟草行 业计算机信息系统保密管理暂行规定 （国烟保1999373 号 文） 。 （3）上网信息要建立逐级审核机制，建立保密安全责任制。 3.2.1 网络安全的威胁 网络面临的安全威胁大体可分为两种：一是对网络数据的威胁； 二是对网络设备的威胁。总结起来，大致有下面几种主要威胁： 非人为、自然力造成的数据丢失、设备失效、线路阻断 人为但属于操作人员无意的失误造成的数据丢失 来自外部和内部人员的恶意攻击和入侵 前面两种的预防与传统电信网络基本相同。 最后一种是当前互 联网络所面临的最大威胁，是电子商务、政府上网工程等顺利发展 的最大障碍，也是企业网络安全策略最需要解决的问题。 3.2.2 网络安全元素 物理安全的目的是保护路由器、交换机、工作站、各种网络服 务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭 线窃听攻击；验证用户的身份和使用权限，防止用户越权操作；确 保网络设备有一个良好的电磁兼容工作环境；建立完备的机房安全 管理制度；妥善保管备份磁带和文档资料；防止非法人员进入机房 进行偷窃和破坏活动。 抑制和防止电磁泄漏是物理安全的一个主要问题。目前主要防 护措施有两类：一类是对传导发射的防护，主要采取对电源线和信 号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。 另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采 用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽， 同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干 扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一 种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的 工作频率和信息特征。 常德卷烟厂技术中心网络工程项目建议书 3.2.3 网络安全的实现 1 .网络隔离 根据功能、保密水平、安全水平等要求的差异将网络进行分段 隔离，对整个网络的安全性有很多好处。可以实现更为细化的安全 控制体系，将攻击和入侵造成的威胁分别限制在较小的子网内，提 高网络整体的安全水平。路由器、虚拟网（VLAN） 、防火墙是当前主 要的网络分段手段。前面两种的配置较为直观，下面主要分析防火 墙技术。 虚拟网络(VLAN)技术 VLAN 是建立在各种交换技术基础之上的。所谓交换实质上只是 物理网络上的一个控制点，它由软件进行管理，所以允许用户利用 软件功能灵活地配置资源，管理网络。利用交换设备中的虚网功能， 不必改变网络的物理基础，即可重新配置网络。采用虚网功能，网 络性能可以获得较大的改善： 1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而 能更好地利用带宽，提高网络总的吞吐量。 2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段 而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分 子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降 至至最小。 3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密 性。虚拟网络的安全策略采用的主要主要协议为 I 议为 IEEE802.10，此协议结合有鉴别和加密技术以确保整个网络内部数 据据的保密性和完整性。 4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统 的局域网协议所不同的是，虚拟局域网能限制广播的区域域，从而 节省网络带宽。 5.虚拟局域网可以建立在不同的物理网络上，用封装的办法支法 支持不不同的网络协议络协议，如 SNMP、NMP、IPX、TCP/IP、IEEE802.33 等，兼容性非常好性非常 好。 6.虚拟网络中的主要应用技用技术为“虚网中继” ，VLAN Trunking 特有技术特有技术的采用也成成为了必然。必然。简而言 之，VLAN Trunking 主主要是通过一条高速全双工通道(200Mbps)来)来 实现将将一个 LAN Switch 端口所划分的不同 VLAN 与其它 LAN Switch 中各自相应的 VLAN 成员进行线路复用连接的技术。VLAN Trunking 技术的采用，既节省了信道数据量，又提高了可靠性，并 便于管理及方便连接，提高了整个网络吞吐量和性能指标。 其原理如下图所示： 常德卷烟厂技术中心网络工程项目建议书 V1V2V3 V4V1V2V4 V1V1V2V3 20MbpsBandwith 20MbpsBandwith VLAN 1to VLAN 4 VLAN 2to VLAN 2 VLAN Trunkig 技 如果采用 VLAN trunking 的技术，则 V1、V2、V3 均可通过一 条全双工的 100Mbps，即 200Mbps 的速率与上级 LAN Switch 进行互 通并经过位于树根部的路由器进行路由与其它的 VLAN 进行通讯。 VLAN trunking 技术的优点在于采用一条高速通道连接，提高了通 道的使用效率，如在，如在 V2，V3 无数据量的情况下，V1 可以独 占此 100M 带宽；并且可以使得线路的连接变得简单，从而大大提高 可靠性与易维护性。 2 .防火墙 防火墙在网络中的地位与它的名字非常相似，它根据网络安全 水平和可信任关系将网络划分成一些相对独立的子网，两侧间的通 信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的 用户和数据包穿过，同时将安全策略不允许的用户和数据包隔断， 达到保护高安全等级的子网、阻止墙外黑客的攻击、限制入侵的蔓 延等目的。根据防火墙的位置，可以分为外部防火墙和内部防火墙。 外部防火墙将企业网与外部网隔离开来，而内部防火墙的任务经常 是在各个部门子网之间进行通信检查控制。网络安全体系不应该提 供外部系统跨越安全系统直接到达受保护的内部网络系统的途径。 安全体系在任何情况下都不应该被旁路。 防火墙并不是万能的，它 在很多方面存在弱点。它无法防止来自防火墙内侧的攻击。对各种 已识别类型的攻击的防御有赖于正确的配置，对各种最新的攻击类 型的防御取决于防火墙知识库更新的速度和相应的配置更新的速度。 一般来说，防火墙擅长于保护设备服务，而不擅长保护数据。并且， 防火墙可能会导致内部网络安全管理的松懈。 3 .防火墙的基本类型 实现防火墙的技术包括两大类型：包过滤（PF） 、应用级防火墙。 它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需 要。 （1）. 包过滤型防火墙 检查的范围涉及网络层、传输层和会话层，过滤匹配的原则可以包 括源地址、目的地址、传输协议、目的端口等。还可以根据 TCP 序 列号、TCP 连接的握手序列（如 SYN、ACK）的逻辑分析等进行判断， 较为有效地抵御类似 IP Spoofing、Sync flooding 等类型的攻击。 路由器通过配置其中的访问控制列表（Access-list）可以作为包过 滤防火墙使用，但是过多的控制列表会严重降低路由器的性能。所 以在业务量较大的场合需要将路由和包过滤两种功能分开，也就是 常德卷烟厂技术中心网络工程项目建议书 说有必要单独购买专门的防火墙。 访问控制表（ACL）定义了各种规则来表明是否同意或拒绝包的通过， 包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。 如果规则都不符合，则缺省操作为丢弃该包。包过滤型防火墙 配置 简洁、速度快、费用较低，并且对用户透明，但是对应用层的信息 无法控制，对内网的保护有限。 Cisco 公司的 PIX 就属于该类型的防火墙产品。另外，各种路由器 和 UNIX 主机都可以经过配置作为简单的防火墙使用，来满足一般的 需要。 （2）. 应用级防火墙 应用级防火墙能够检查进出的数据包，透视应用层协议，与既定的 安全策略进行比较。该类型防火墙能够进行更加细化复杂的安全访 问控制，并做精细的注册和稽核。根据是否允许两侧通信主机直接 建立链路，又可以分为网关和代理两种。前者允许两侧建立直接连 接，而是依靠某种算法来识别进出的应用层数据，这些算法通过已 知合法数据包的模式来比较进出数据包。而后者通过特定的代理程 序在两侧主机间复制传递数据，不允许建立直接连接。每一种应用 需要相应的代理软件，使用时防火墙负载较大，效率不如前者。目 前在市场上流行的防火墙大多属于应用级防火墙。 4 .防火墙的安全功能 各种防火墙的安全性能不尽相同。一般来说，防火墙采取以下 几种安全措施。 （1）内容检查 （2）用户认证 （3）负载分担 （4）网络地址翻译 （5）开放式结构设计 （6）图形化的实时监视 在本方案网络安全设计中，选择防火墙隔离内部局域网与外部网， 采用国产的能士防火墙，具有防止黑客的侵入等等功能。通过防火 墙来保护内部数据信息的安全。 常德卷烟厂技术中心网络工程项目建议书 附 件 附件一：局域网络技术 11 概述 计算机局域网指的是在较小范围内（一般在 10 公里之内） ，速 度较高（一般在 5M 以上）的计算机网络。 目前，在国内的局域网市场中以太网（Ethernet）以安装方便、 灵活易用等优点占据着主导地位。但是随着网络应用的大量增加， 标准的 10M 共享式以太网的缺点逐渐暴露出来。尤其是多媒体技术 对实时传送声音与视频的要求，使其愈发显得力不从心，不堪重负， 网络性能下降，网络传输速率成为网络应用的瓶颈。 为消除网络瓶颈，各种新的网络传输技术不断涌现。这些技术 主要依靠提高带宽和采用交换技术，改变共享式结构的方法。100M 共享式以太网 100BASE-X 的出现，缓解了以太网带宽不够的问题， 它将以太网的带宽提高至 100M，从而满足了大多数应用系统包括部 分多媒体信息传输的要求。 12 局域网的拓扑结构 拓扑结构描述了网络设备之间的连接和信息流动关系。 目前，局域网广泛使用的网络拓扑结构有星型、总线型、环型 和混合型等。 1星型拓扑结构 所谓星型网络结构就是点对点形式，将网络各站点连接到一个 中心站点的网络结构。由于集线器、交换机等设备大量的应用，采 用星型拓扑结构的局域网越来越普遍。其特点有： 可靠性高，任何一个站点的故障都不会影响整个网络的运行； 连接简单，安装方便； 维护管理简单，故障的检测和隔离方便； 升级扩展容易，只需扩充中心设备的容量和更换新设备即可。 尽管，星型网络结构也存在着投资较多，中心设备要求较高的 缺点。当前，大多数局域网都采用星型网络拓扑结构。 2总线型拓扑结构 总线型拓扑结构就是采用单根电缆作为网络传输介质，所有网 络点都串接到该电缆上，该传输电缆称为总线。 因为所有的信号都在总线上传播，在某一时刻可能有两个或两 个以上站点传播信号，而造成信息碰撞。因此需要介质访问控制策 略来决定哪个站点传输信号。总线拓扑结构主要优点是所需电缆少， 易于布线和维护，扩充性好等。缺点是传输速度慢、容易产生信息 拥塞等。 3环型拓扑结构 环型拓扑结构，各工作站连接到一个中继器上，中继器通过电 缆连成一个闭合的环，所有工作站共享该环路。环型拓扑结构优点 是所需电缆长度短，布线简单，特别适合于光纤媒体。其缺点是重 常德卷烟厂技术中心网络工程项目建议书 新配置网络、故障诊断和隔离比较困难。 4树型拓扑结构 树型拓扑结构结合了总线型和星型拓扑结构的优点，易于扩展 和故障隔离。 13 10M 以太网 本技术遵循的标准是 IEEE802.3。本技术使用 CSMA/CD（载波监 听多路访问/碰撞检测）的技术。CSMA/CD 上的每一个站点都能随时 访问网络上的任何资源。在数据传输之前，每个工作站监听网络是 否正在被使用，如果网络正在被使用，当前站点处于等待状态，如 果没被使用，当前站点开始传送数据。当两个工作站同时监听到网 络空闲时，则同时开始传送数据，这样就出现了碰撞。在这种情况 下，同时发送的数据都是无效的。两个工作站会在随后的某个时刻 各自重新发送数据。由于使用了 CSMA/CD 的技术，两台工作站知道 何时重发数据。本技术的优点是造价便宜，但其缺点是网络的利用 率极低，不适应应用发展对网络带宽的要求。 14 100M 以太网 本技术遵循的标准是 IEEE802.3u。100M 以太网是一种高速局域 网，它为工作站和服务器提供了更高的带宽。它和 10M 的技术一样 采用了相同的 IEEE802.3 介质访问控制和冲突检测方法。100M 技术 是对 10M 技术的重大改进，缓解了网络应用对带宽的需求。100M 的 以太网由于其高带宽、技术成熟、简单易用，同时又与 10M 以太网 兼容，所以是中小企业建设自己的局域网的首选技术。 快速以太网与以太网的比较 性能 快速以太网 以太网 传输速度 100Mbit/s 10Mbit/s 标准 IEEE802.3u IEEE802.3 介质访问 控制 CSMA/CD CSMA/CD 拓扑结构 星型 总线或星型 传输介质 UTP、STP、光纤 电缆、UTP、光纤 最大长度 双绞线 100 米，光纤 2000 米 双绞线 100 米，光纤 2000 米全双工支 持 支持 支持 厂商支持 广泛 广泛 15 FDDI 光纤分布式数据接口(FDDI)规定了采用光纤的 100M 双令牌环局 域网。FDDI 通常被用作高速骨干网络技术。因为它比同轴电缆支持 更高的的带宽和更远的传输距离。FDDI 采用双环的体系结构，两环 上的信息反向流动。双环中一环成为主环，另一环称为次环。在正 常情况下，主环传输数据，次环处于空闲状态。双环可以提高网络 的稳定性和可靠性。 FDDI 主要优点为带宽高、稳定性高、可靠性高，缺点是建设造 价高。FDDI 可以作为高速局域网在小范围内互联高速计算机系统， 或作为城域网互联较小的网络，或作为主干网用于互联分布在较大 范围的计算机。 151 FDDI 的主要技术指标 数据传输速率为 100Mbit/s 常德卷烟厂技术中心网络工程项目建议书 单点间最大距离可达 2 公里 最多可连接的站点数 1000 个 传输介质为光纤 网络覆盖范围可达 100 公里 介质访问控制协议为定时令牌传递 网络拓扑结构为双向环 152 FDDI 的优点与缺点 FDDI 作为一种高速、高可靠的网络技术，具有以下优点： 提供 100Mbit/s 传输速度，适用于高速业务传送； 采用双环结构，提供容错和故障隔离，具有故障自动愈合功能， 因此，网络可靠性极高； 使用光纤介质，具有抗干扰、不产生电磁辐射和光隔离等优点； 传输距离远，覆盖范围大，适合作为大型企业级主干网。 FDDI 也存在如下缺点： 设备较贵，灵活性较差。 153 FDDI 技术特点 FDDI 作为一种局域主干网技术，广泛用于连接各类速率为 100Mbit/s 的局域网，FDDI 具有如下技术特点： FDDI 采用多模光纤，无需使用昂贵的单模光纤；采用发光二极 管 LED 作为光源，无需使用昂贵的激光二极管。 FDDI 包括两个光环，一个顺时针方向传输，另一个逆时针方向 传输，任意一个发生故障，另一个作为备份。如果两个环同一点发 生故障，则两个环可合成为一个单环，可靠性极高。 FDDI 定义了 A 和 B 两类站点，A 类站点可连接到两个环上，因 此，具有故障自动愈合功能。由于两条链路连接到 FDDI 网络上，当 主环出现故障时，它可以使用备份环来传递数据。B 类站点只能连 接到其中一个环上，因此无故障愈合功能，但价格较底。 物理层 FDDI 使用 4B/5B 编码技术来提高传输效率。 FDDI 使用定时令牌传递介质访问控制。为了发送数据，站点必 须取得令牌控制权后才能发送数据。 16 千兆以太网 161 千兆以太网简介 千兆以太网继续延用其他种类的以太网帧格式，延用网管员现 在的应用、管理工具、配置、安装和故障排除手段，从而使得企业 在已有硬件和应用的配置和培训上进行很小投资即可获得性能的大 幅度提高。 162 千兆以太网技术 以太网是目前使用最广泛的网络技术，千兆以太网是以太网技 术的最新发展。它在速度上比传统以太网快 100 倍，而技术上却与 以太网兼容，同样使用 CSMA/CD 和 MAC 协议，使得升级费用大大低 于向 ATM 升级的费用。随着有关千兆网标准的逐一制定和完善，各 种设备也将大量推出。因此，如何平稳地升级到千兆网将是广大网 络管理人员面临的一大课题。 常德卷烟厂技术中心网络工程项目建议书 千兆网采用与以太网和快速以太网同样的标准，保留了以太网 的帧格式、流量控制及链路层管理，因此千兆网与传统以太网互相 兼容，IP 子网的结构及地址都可以用在千兆交换设备上而无需任何 修改。此外，千兆网采用同样的管理协议及管理工具，使用同样的 MIB（管理系统库）结构及 RMONAgent，使得升级后的网络管理可以 很方便地掌握。按 IEEE802.3z 标准，千兆以太网与快速以太网及 FDDI 一样，采用 FIBERCHANNEL 光纤传送标准及 8B/10B 编码方式， 使得原有的光纤及短距离铜轴线缆可继续使用。根据即将正式采用 的 IEEE802.3ab，5 类 UTP 也可以用于 25100 米内的千兆网信号传 输。但由于千兆网的传输速率达 1000Mbps，所以有两个问题必须注 意，一是所有与千兆网直接相连的设备接口必须是千兆接口，或者 采用千兆接口板(NIC);第二，信号传输距离将比原来的短，即整个 网络的直径将会减小，需要增加中继器来克服这一问题。千兆以太 网能够继续延用其他种类的以太网帧格式，延用网管员现在的应用、 管理工具、配置、安装和故障排除手段，从而使得企业在已有硬件 和应用的配置和培训上进行很小投资即可获得性能的大幅度提高。 千兆以太网规范确定:使用 62.5 微米光纤的传送距离要达到 260 米，使用 50 微米光纤的多模光纤链路要支持 550 米。此外，规 范还确立了使用更高成本部件对更长距离的支持，例如使用 62.5 微 米光纤达到 440 米，使用单模光纤传输达 3 公里。802.3z 还包括 1000BASE-CX 收发机的技术规范，此种技术支持屏蔽铜线的跨距是 25 米。 千兆以太网规范还采用了许多 ANSI 光纤通道的标准技术。事实 上，它们使用的是同一种代码集。除更大带宽外，千兆以太网标准 还对一系列新产品提供支持，其中包括能在不同种网络中，以千兆 位线路速度或者比传统的、基于软件的路由器快 100 倍的速度选路 的路由器。换句话说，今天所有的互连网络技术都与千兆以太网兼 容，这正如它们与传统以太网和快速以太网兼容的情形一样。 ATM 与千兆以太网比较 差别之一： 布线和传输距离 千兆以太网技术的出现令深受网络拥塞之苦的用户欣喜若狂， 好象盼到了救星一般，特别是它“可由传统以太网平滑升级”和 “最大限度保护传统以太网用户已有投资”的承诺，更使网络用户 倍感亲切。尽管 IEEE802.3 委员会在制定千兆以太网传输标准时把 目标定在基于多模光纤的千兆传输距离不小于 550 米，基于 5 类非 屏蔽双绞线的千兆传输距离不小于 100 米，但事实上，光纤传输距 离的问题已经圆满解决，至于非屏蔽双绞线上进行千兆传输，还要 解决信号反射和畸变等技术问题。 目前，绝大多数以太网用户在局域网布线中都采用 3 类或 5 类 非屏蔽双绞线。由于千兆以太网对传输线路要求的限制，事实上， 传统以太网用户升级到千兆以太网决不是一个“平滑无缝”的过程， 至少在目前，传统以太网的布线系统很难为千兆以太网所沿用。千 兆以太网技术在单模光纤上的传输距离现已达到了 4000 米，显然， 常德卷烟厂技术中心网络工程项目建议书 这个距离对于园区建筑物之间的互连环境已经足够了，但是对于城 域网和广域网，它仍然显得无能为力。 而 ATM 的发展目标就是要建立这样一个广域信息传输系统。它 不受任何物理结构的限制，也和所传输的数字数据类型无关。就是 说，ATM 可以用于在世界上最大的广域网络中传输任何形式的数字 数据信息，相信这样的目标实现以后会使绝大部分用户感到满意。 同步光纤网(SONET)是许多 ATM 光纤通信的标准，以光纤为传输 媒介的 ATM 广域网早已在世界上许多地方投入了商业运行，并发挥 了相当高的效率。目前，传输速度高达 9.6Gbps 的广域 ATM 链路也 正处于试验阶段。至于普通双绞线是否能够用于 ATM 网络的高速主 干链路，目前还存在着激烈的争论，但工作桌面上 25Mbps 的低速连 接在 ATM 网络中已经相当普遍。由于 ATM 在广域网中的出色表现， 再加上 ATM 上新推出的反复用技术可以为用户提供 145M 的带宽， 这些优势将大大增强 ATM 在高速网络中的生命力。 差别之二： 升级的可行性和可用性 由于网络中信息资源的飞速增长，传统的联网技术在新的应用 条件下正面临着严峻的考验。将网络尽快升级为能够承担起新的传 输任务的高速网络是许多网络管理员的迫切要求，而世界上许多知 名的网络设备厂商也瞅准了这一商机，纷纷推出了各具特色的网络 升级解决方案。 在千兆以太网和 ATM 之间，究竟哪种升级方案更具有可行性和 可用性？千兆以太网一经问世，便以“以传统以太网技术为基础， 从以太网和快速以太网升级时方便、快捷，最大限度地保护用户原 有投资”为宣传口号，这种商业渲染迎合了千百万以太网用户的迫 切需求，很是令人心动。由于千兆以太网采用了和传统的以太网相 同的帧长、帧格式和媒体访问层协议，因而在从传统的以太网或是 快速以太网升级的具体操作过程中，只需将传统以太局域网的主干 设备加插千兆以太网适配模块，在新的网络主干之间形成千兆链路， 或是增加千兆以太网，而将原先的网络主干结构移向下级应用即可。 它保护了用户在设备和技术方面的投资，也为园区局域网升级提供 了较为合理的解决方案。 在传统以太局域网所提出的 ATM 技术升级解决方案中，均采用 ATM 交换机形成网络主干，这样做难以保护用户已有的投资和技术。 ATM 局域网升级的投资要比以太网升级的投资高得多。由于近年来 在局域网市场上受到千兆以太网技术的冲击，对于数据传输质量不 是非常在意的用户都会对价格因素进行一番审慎的考虑。此外，区 别于以太网产品的是，不同厂商生产的 ATM 网络产品之间的工作协 调性到目前为止还没有很好地解决，这样，用户在进行 ATM 网络升 级时，为了保证网络的可靠性和高效率，也就不得不选用同一厂商 的网络产品，这在一定程度上也限制了 ATM 技术在桌面系统的应用。 差别之三： 服务质量（QoS） 千兆以太网作为一种新兴的高速网络技术，尽管它将网络主干 常德卷烟厂技术中心网络工程项目建议书 带宽提升到千兆位，但是它仍然和传统的以太网技术一样缺乏拥塞 控制，因此时常会影响到用户对服务器数据库数据的存取。同时， 它也没有解决多媒体数据传输的问题，而这一直是传统以太网技术 的一个弱点。也许，随着千兆以太网技术的不断发展、成熟，千兆 以太网技术论坛也将会考虑制定相应的服务质量标准，以支持千兆 以太网上高质量实时多媒体数据的传输。当千兆以太网技术真正实 现了较高的服务质量，也许就是它在局域网中替代 ATM 的时候了。 相比之下，ATM 技术在这方面要优越得多。ATM 网络由于采用面向连 接的定长信元传输技术，而不是通过检查数据包的包头再依靠路由 表传输到目的地址，因而数据传输速度快、延迟小。另外，它还具 有传统包交换的复用效率。 ATM 是面向连接的，数据传输都是在电路连接以后才进行。它 为 ATM 上的服务质量提供了必要的保证。ATM 网络的 QoS 保证是建 立在资源预留协议的基础上的。由于对服务质量的支持，ATM 可以 用相同的信元格式去整合各种数据和多媒体信息，然后运用多业务 管理对策，对各处不同的业务类型进行流量管理和控制。有了 QoS，网络管理员就可以很方便地管理各种网络资源，严格掌握网络 主干的带宽分配，并且根据实际应用需求，对不同的业务类型划分 优先级，以确保重要或机密业务优先。正是由于 ATM 能够提供优异 的且是目前以太网所无法达到的服务质量，所以，对 QoS 要求非常 高的用户能够忍受 ATM 的昂贵价格也就不足为奇了。 差别之四： 来自厂商的支持 由于千兆以太网是一种新兴的连网技术，相应的技术论坛也还 成立不久，因此，基于多种物理媒体的数据传输标准正在制定过程 之中。许多知名网络厂商（如 Cisco、3Com 和 Bay 公司等）已经相 继推出自己的千兆以太网产品，而且做出了“标准发布后将免费升 级到与标准兼容”的承诺。这有利于它们在千兆以太网市场竞争中 占据有利的地位，相信这对许多急需提高网络主干速度的传统以太 网用户具有相当大的吸引力。 ATM 技术的出现比千兆以太网早了三年多，而且目前的 ATM 网 络市场相当繁荣。原先由 Fore、Newbridge 和 BayNetworks 公司主 导的这一市场，已由于 Cisco 和 IBM 等多家实力雄厚的公司的纷纷 介入，打破了本来的格局。如今的 ATM 论坛规模空前，已经制定了 一系列的工业开放标准，以求加强不同厂商的 ATM 产品之间的互操 作。如果不同厂商产品的互操作问题得不到解决，各个厂商 ATM 解 决方案之间没有可协调之处，那么，ATM 的发展必将会受到阻碍。 在高速网络技术解决方案中，能够满足所有需求、适合所有环境的 单一技术还从来没有出现过。千兆以太网基于单模光纤的传输距离 仅仅 4000 米，在广域网方面几乎是无能为力，但它却能够很方便地 提升传统以太网的主干速度。而高速广域网的互连一直是 ATM 的强 项，对于千百万传统以太网用户，改头换面的 ATM 即使能够提供服 务质量保证，也难以打动他们。只有在网络升级过程中切实考虑用 户的特定需求，将千兆以太网技术和 ATM 技术优势互补，才能提供 常德卷烟厂技术中心网络工程项目建议书 比较完美的网络升级解决方案，合理地解决网络升级问题，将用户 带入通畅的高速网络世界。 附件二：网络设备 1CiscoCatalyst6500 高性能交换机 Catalyst6500 系列提供卓越的可扩展性和性能价格比，支持高 接口密度、高性能、高可用性等特性。与应用智能、服务质量(QoS) 机制以及安全性结合在一起，用户可以更高效地利用其网络，增加 终端业务(如多点广播、ERR 应用)，而不会影响网络性能。采用 CiscoAssure，网络策略可根据 2、3、4 层信息(如特定用户、IP 地 址或应用)提供端到端应用。 可扩展的端口密度 Catalyst6000 家族由 Catalyst6000 系列、Catalyst6500 系列 组成。这两个系列均支持 6 和 9 个插槽的版本，提供广泛的配置和 价格/性能比选择。Catalyst6000 和 Catalyst6500 系列交换机还支 持广泛的接口类型和密度，包括支持高达 384 个 10/100 以太网、 192 个 100FX 快速以太网端口和 130 个千兆比特以太网端口业 界最高的端口数量。客户还可使用 FastEtherChannel 或 GigabitEtherChannel，集合八个物理快速以太网或千兆以太网链路， 实现高达 16Gbps 的逻辑连接。Catalyst6000 系列提供业界领先的 千兆以太网骨干网解决方案，以满足当今要求最高的、快速增长的 企业 Intranet 的需求。 Catalyst6000 家族的密度和容量 结构 Catalyst6000 系列 Catalyst6500 系 列 底板带宽 32Gbps 32 至 256Gbps 千兆比特以太网端口数量 130 130 100FX 以太网端口数量 132 132 10/100 以太网端口数量 384 384 多层交换能力 可扩展至 15Mpps 可扩展至 150Mpps 可扩展的交换性能 Catalyst6500 系列结构支持可扩展到 256Gbps 的交换带宽和可 扩展到 150Mpps 的多层交换能力。对于那些不需要 Catalyst6500 系 列的性能的客户来说，Catalyst6000 系列提供更经济高效的解决方 案。它可将底板带宽扩展至 32Gbps，将多层交换能力扩展至 15Mpps。为保护投资，两种交换机均支持同一套 Supervisor、接口 线路板和电源，提供广泛的价格/性能比选择。 CiscoIOS 和 CiscoAssure 提供的 Intranet 服务 Catalyst6000 家族支持与 Catalyst5000 家族相同的软件结构， 提供业界领先的基于 CiscoIOS的服务。CiscoIOS 提供整套软件业 务，负责管理网络安全性，分配并实施 QoS，提供增值的、实现高 网络弹性的业务。CiscoIOS 还为 CiscoWorks2000 与 Cisco 资源管 理器两者的集成、整个 Catalyst 产品系列均支持基于 Web 的管理工 具提供管理架构。 常德卷烟厂技术中心网络工程项目建议书 PIM、Internet 组管理协议(IGMP)、Cisco 组管理协议(CGMP)、 GARP 多点发送注册协议实现的高效的 Intranet 多媒体和多点广播 支持为多媒体和多点广播应用提供端到端的可扩展带宽。这些服务 将数据只传送给加入多点广播组的用户，而不会影响其他用户。 QoS 策略利用 2、3、4 层信息(如 IP、CiscoISL、802.1p 帧的 优先比特位或 4 层端口号)来执行。在 Catalyst6000 系列交换机内， 可配置门限的多种队列采用 WRED、WRR、业务类型/业务级别 (ToS/CoS)映射机制，以确保数据包在第 2 层和 3 层边界传输时， QoS 得到维护。资源预