三种方案的性能分析与比较

1、CY-WLZX-BJ-4项目名称：朝阳区教育“校校通”工程 子项目名称：网络中心For pers onal use only in study and research; notfor commercial use业务网方案特性分析与比较北控电信通信息技术有限公司-Aprk D一零零八年二月目录1. 项目综述2. 需求分析2.1 招标文件需求2.2 客户需求错误!未定义书签。 错误!未定义书签。错误!未定义书签错误!未定义书签3. 业务网设计方案错误!未定义书签3.1扁平的二层网络方案错误!未定义书签3.2典型的三层网络设计方案错误!未定义书签3.3优化的分层网络设计方案错误!未定义书签3.4

2、两种方案性能比较错误!未定义书签业务网方案的特性分析与比较1. 项目概述 根据朝阳区教育“校校通”工程建设的总体规划，建成后的朝阳区教育信 息网是一个覆盖全区所有教育单位的，能够实现全区资源共享、互连互通的网 络，该网络的基础是一个利用光纤搭建的基于 SDH 技术的多业务传送平台（MSTP,我们将其称之为底层传送网或者简称为传送网。而业务网（ IP网） 是承载于传送网基础之上的数据网络，因此业务网的建设与传送网的业务走向 和网络结构有密切的关系。在传送网的建设规划中,以教委信息中心为全部网 络的业务发起和终结主节点，传送网的骨干层有五个核心节点，利用10G带宽的链路构建核心主干网络,全部的业务

3、在教委信息中心落地。所以在业务网的 建设中网络中心就设置在教委的信息中心，这样教委的信息中心便要承担整个 朝阳教育信息网的数据分析、业务处理和安全防护的重担。兼具传送网的骨干 层核心节点和业务网网络中心为一身的教委信息中心注定成为本次业务网建设 中的重中之重。2. 需求分析 根据项目招投标技术规范以及项目开展过程中用户明确提出的业务需求总 结表述如下：2.1 招标文件需求2.1.1 业务网整体业务需求：2 个网络出口（市教育信息网及区公共信息平台）1 个数据中心接入 249 个节点2.1.2 对业务网网络性能要求：（1）核心交换万兆级连接背板容量 >=1.5T包转发率 >=400M

4、pps（2） 网络出口连接市教育信息网1000Mbps接口（ 2个）1. 连接 In ternet 100M （高性能 NAT）2. 连接市教育信息网内网 1000M连接区公共信息平台1000Mbps接口（高性能NAT）（ 3）数据中心数据中心分三部分1. Internet 服务器区2. 关键应用服务器区3. 大流量服务器区 数据中心关键应用服务器区通过千兆级防火墙连接到核心 数据中心大流量服务器区通过 ACL 进行 3、4 层访问控制 数据中心In ternet服务器区通过百兆级防火墙连接到出口 学校（接入层网络）访问数据中心总带宽不小于 6Gbps（4） 接入的学校普通学校100Mbps接

5、入网络中心示范校500Mbps接入网络中心2.1.3 对原有设备的利旧需求 已有 1 台千兆 NETEYE 防火墙可利旧 已有2台CISCO6506交换机低速引擎可利旧 已有 1 台 CISCO6509 交换机低速引擎可利旧 须考虑今后将原有 IP 网络迁移到本网络中2.2 客户需求一、到市教委信息网的内网和 Internet 接口均采用千兆链路，并配置防火 墙来保障安全。二、朝阳教育信息网均分配公有 IP 地址，因此与市教育信息网之间不必 再用 NAT 设备进行地址转换。三、利用朝阳教委信息中心的传输设备 8930 与朝阳区公共信息平台的传 输设备相连，在该出口需要用NAT设备进行地址转换，

6、并加防火墙设备保障安 全。四、原有网络在工程竣工前不得中断，所有利旧的设备在原有网络完成割 接后方能利用，因此需要租借其他设备暂时顶替。五、朝阳教委乔迁新址，要优先考虑从教委铺设一条光纤与教委信息中心 相连来保障教委所连接的学校网络不致中断。六、对核心交换机所承受的工作压力有顾虑，要求优化设计。七、对利旧设备进行重新的定位，充分合理的运用。八、大流量服务器区的安全隐患问题，可利用现有的一套磁盘阵列系统作 为这部分大流量服务器的存储设备，以便与应用服务系统所提供的磁盘阵列物 理隔开。九、接入学校的网络风暴问题，有三层交换机的学校启用三层路由功能， 将网络风暴控制在本地， 利用静态路由访问网罗中心

7、。 没有三层交换机的学校， 采用 VLAN 的方式，通过默认网关访问网络中心。3. 业务网设计方案首先依据招标文件的信息，我们做出了一套原投标方案。在项目正式启动 后，我们在逐步了解和明确用户具体需求的过程中又提出了一种业务网优化方 案，现对这两种方案的优劣比较分析如下；3.1 扁平的二层网络方案这是原投标方案，该方案将教委信息中心核心网络为核心层、其余接入单 位统一划入接入层范畴的二层结构。其网络拓扑图如下：在这样的网路结构中，核心层设备负责完成网络各接入节点之间的互联， 完成高效的数据传输、交换及路由分发。提供流量控制和用户管理等多项功能, 提高整个网络的可靠性和扩展性。接入层设备提供各种

8、标准接口将数据通过 MSTP传输网络上传到核心层设备中，完成基本的业务系统之间的隔离和安全 性控制、认证管理等功作。3.1.1 方案描述网络核心层由几个功能区块构成，即核心交换区块、关键应用服务器网络区块、大流量数据应用服务器区块、网管网络区块、出口网络区块。核心交换区块：由两台核心交换机 S8512 组成，两台核心路由交换机之间 通过link-aggregation （端口聚合）技术绑定两条10G链路，从而构建了万兆带 宽网络核心交换平台。两台核心交换机分别以 10 条千兆链路与传送网设备 OPCITY 8930 的业务千兆接口相连，从而将由底层传送网汇聚的所有接入层的 数据接收到核心层来。

9、由主核心交换机负责整个业务网的数据交换工作，为了 保障网络中心核心设备的正常运行，在两台主核心机双机冗余备份的条件下， 每台核心交换机的主要路由交换板卡和电源均采用冗余备份的方式配置，以提 高设备的可靠性。关键应用服务器区块：主要由 SAN 网络存储系统备份系统和关键应用服务 器集群系统组成，利用教委已有的 CISCO6509 充当该区块的主交换机，负责以 千兆链路连接这部分服务器， 并通过双千兆链路分别上连两台核心交换机， 以起 到链路冗余备份和负载分担的功能。 并在上连的两条千兆链路上配置两台千兆级 防火墙，以 11 备份和负载分担的方式相连，在保证关键应用服务器区块的安 全前提下尽可能的

10、消除由防火墙带来的带宽瓶颈问题。大流量数据应用服务器区块： 由于要保障这部分服务器的链路畅通和足够的 带宽，所以将这部分服务器直接以双千兆链路连接核心交换机。 其安全措施将由 核心交换机的访问控制列表提供。网管网络区块：我们建立独立的网管网络对教委信息中心的网络设备进行 管理。朝阳教育信息网组网设备的网络管理可有带外管理与带内管理两种管理 方式。通常带内管理组网比较简单、灵活，但却要占用承载业务流量的带宽。 带外管理不占用承载业务的带宽，网管网络和其他网络设备之间独立成网，因 此我们建议组建独立的网管网络，结合带内和带外管理的优点，以带外网管方 式管理为主，以带内网管为辅的网络管理方式。由于核

11、心骨干交换设备为华为3COM的S8512,防火墙设备也为华为3COM 的产品，因此我们建议网络中心的设备采用华为 3COM 的 iManager Quidview 网管系统进行网络管理，对于网络中心的其他网管子系统如：传输设 备管理、网络设备管理、数字同步网管理、入侵检测子系统、网络防病毒子系 统、漏洞扫描子系统、时间同步子系统等，分别采用其各自的管理软件进行全 网相应的管理。 网络中原有思科设备则通过思科的 WORKS2000 网管软件负责 管理。网管系统中的网络设备管理子系统将实时监控整个网络中心的设备以及 网络状况，可在第一时间检测到故障。并发出报警讯息，便于网管人员快速准 确的排除故障

12、。出口网络区块：朝阳区教育信息网的出口设计为两部分，一部分指的是上 连到北京市教育信息网（内网）和通过北京教育信息网上连到国际互联网（In ternet）,另一部分是指连接到朝阳区政府公用信息平台。即朝阳区教育信息网有三个出口，分别为：1、北京市教育信息网（内网）2、通过北京教育信息网上连到国际互联网（ Internet）3、朝阳区政府公用信息平台主要出口为北京市教育信息网（内网）和In ternet，辅助和备份出口为朝阳 区政府公用信息平台出口（即连接到朝阳区信息办的链路） 。三个出口均连接到出口网络中的原利旧设备 Cisco6506 交换机上，在由Cisco6506 引出两条千兆链路连接核

13、心交换机。在三个网络出口方向均配置一 台防火墙，以保证朝阳教育信息网内网得安全，在朝阳区政府公用信息平台出 口配置 NAT 设备负责地址转换。网络中心网络拓扑图如下：町、出口网络也:：；：；.：； ：；】P2E链訪【申 lGESSSS-_朝阳区教委机关（石 «t）Xir屈0J北京靱育营息网 （内网）KxigiH簸觀廳廳灘耀鹼磁廳鹼魁 邈邁隐璽翌漣察鱼望題湮証勤劉： '：；：: -: ：；： ： ?' :：:-d朝阳区氐秆合 叫定宿息平育乂叱亦厂舟世爺3】戲饗瞬幽麟虢；汀;接入网络LR，tiC*IX M3.1.2 方案特性分析这种扁平化二层的网络结构是最初的投标方案，三

14、台主要利旧设备的部署 应用也是在没有同用户进行深入探讨的情况下做出的。所以在方案的深化设计 中，尤其是在对用户进行具体的需求了解之后，我们发现该方案确实有需要改 进的地方，首先所有的接入单位、大流量的服务器群、和一些内部办公网络都 直接接到核心交换机上，由核心交换机负责所有数据的二层交换和三层转发的 确对核心交换机的压力过大，尤其是当今后网络规模扩大后压力则更重。其次 业务流量分配不科学，有相当一部分的业务流量是学校与学校之间的，不必访 不得用于商业用途问数据中心，而目前这些流量也必须通过核心交换机来路由；最后该种网络结构还具有一定的管理风险，所有的路由策略、访问规则、VLAN划分、优先级制定

15、等等工作都要由核心交换及来配置，一旦配置失误将影响全网的运行。3.2 典型的三层网络设计方案321方案描述由于扁平化二层网络结构设计方案存在着部分设计缺憾，经过对用户的需 求作了深入和具体的了解后，我们给出了一种优化的三层网络设计方案。网络 拓扑示意图如下在这个优化方案中，我们将朝阳区的业务网设计为典型的三层网络拓扑结 构，既将业务网分为核心层、汇聚层、和接入层。其中核心层的主要功能是实 现数据的高速交换和转发，其选型和设计任务的重点是设备的冗余能力、链路可 靠性和高速的交换能力。汇聚层的主要任务是提供对核心层设备的访问，汇总 接入层的数据，并负责选择到不同目的地的最佳路径，利用汇聚层设备的路

16、由 不得用于商业用途功能可以将那些学校之间的数据流量直接转发，不必再经由核心层设备处理从 而大大减轻了核心层设备的压力。其设计的重点是设备的高密度接入能力和强 大的二、三层交换、路由处理能力。由于本次工程中所有数据业务都要经由教 委信息中心落地，所以我们将把汇聚层设备和核心层设备都部署在教委的信息 中心，信息中心就成为业务网的网络中心。接入层就是具体接入学校，设备的选择主要考虑交换机的三层路由能力。网络中心拓扑示意图:旬出口岡命内网朝阳运取，讦芒月信息平台朝闭兰教婴机先 f石偉售j北泉朝育悟鼠冈 （肉网|鮒曲】+;ttl+1 MCi fuu 650 (j橙孩心网老此邹!7乞関号1F合Cisct

17、j 4000 二该方案对原核心网络各功能区块的设计基本没有改变，只是在核心层设备OpCtresM和接入层之间设置了两台汇聚层交换机，两台汇聚层交换机计划利用原有的利 旧设备Cisco 6506,而原Cisco 6506在各功能区块中所担当的主交换机角色则由教委信息中心其他可利旧设备如Cisco 4000系列的交换机来替代。将两台CISCO6506交换机配置在网络中心的核心交换区块与接入层之间充当汇聚层 设备，利用其高密度千兆光纤连接由传送设备下来的（20）个GE端口，两台 Cisco6506之间采用2个GE端口以端口聚合的方式配置成带宽达到 2G的链路, 每台cisco6506通过两条双千兆绑

18、定链路分别以 UPLINK方式上连两台核心交 换机QW 8512,这样在核心层与汇聚层之间形成总带宽达到 8G的交换链路， 以进一步提高网络的性能和增加网络的可靠性,同时满足由接入层访问数据中 心的总带宽不得小于6Gbps的招标要求。Cisco 6506交换机主要用于将接入层 的数据进行汇聚并负责分发,或是上传到核心层中去,或是转发到其他接入层 站点中,以起到承上启下的数据传输作用和路由分发功能。因此它不但要提供 高密度高带宽的接口,还要具备高性能的多层交换能力,能够将一些不需要访 问核心层的数据流量通过汇聚层设备转发,这样既提高了网络的效能,又减轻 了对核心层网络设备的压力。但由此对 Cis

19、co 6506交换机的要求将大幅提升, 原有的低速引擎已经不能满足新的性能需求,必须对其进行升级改造。3.2.2 方案特性分析： 典型的三层网络逻辑结构,网络层次清晰,分工明确；由汇聚层设备负责 选路,分担了核心交换机的工作压力；学校与学校之间的访问直接由汇聚层设 备分流而不必再经核心交换机处理, 使得业务走向更加科学； 减轻了网络管理 的风险,各层网络设备具备各自的功能,负责不同的工作,便于管理维护；然 而这种三层的网络结构对原设备性能尤其是对汇聚层设备 CISCO6506 的性能 要求提高,原有的低速引擎已经不能满足需要,必须升级交换引擎和增加相应 的模块,导致增加投资。随着日后网络规模的

20、扩充,接入学校的数量增多,对 汇聚层设备的压力将进一步增大，而 Cisco6506的升级空间已经不大，反而会 成为网络的薄弱环节。3.3 优化的分层网络设计方案3.3.1 方案描述 将业务网的结构进行简化，即以教委信息中心作为业务网的核心网络、其 余接入单位统一划入接入网络的网络结构。采取这样的网络拓扑结构主要基于如下考虑， 现有的朝阳区教育系统的主 要业务流向和应用情况；传送平台（mstp）将所有的业务全在教委信息中心落 地这一实际情况。这样一来所有接入学校通过底层传送网把数据汇聚到教委信息中心的核心交换机上，减少了各学校数据的传输环节，提高了传输效率和交换时间。网络拓扑图如下：在该方案中，

21、教委信息中心核心网络根据功能不同分为两个部分，一部分 设备用来汇聚所有接入学校的数据，负责完成各学校之间的互联，以及对网络 中心的访问。实现高效的数据交换及路由分发，提供流量控制和用户管理等多 项功能，同时有效的隔离了学校内部的网络风暴。建议采用两台华为S8512高性能路由交换机，充分利用其高性能的二层和三层转发能力，来满足全网对高 可靠性和高性能的要求。另一部分设备负责信息中心各功能区块的相互连通，提供各接入学校到数据中心的访问，以及与外网之间的接口。建议采用原有的两台Cisco 6506交换机，并对其进行必要的升级。两部分核心设备之间采用双千兆链路交叉相连， 以充足的带宽实现核心交换设备之

22、间的数据交换。接入层就是指具体的接入学校，接入学校的交换机可根据校园网建设的实 际情况绝大部分为三层交换机极少部分为二层交换机，对于有三层交换机的学 校可以根据学校的应用情况启动三层路由功能，将网络风暴控制在学校内部， 而通过静态路由的方式访问核心层，对于拥有二层交换机的学校，据我们调研 学校并不多，可考虑更换三层设备作为接入交换机，或者每个学校作为一个 VLAN通过默认网关访问核心层。网络中心拓扑图:外传输网设备OpCity8930朝阳区政府公 用信息平台 区信息办）出口网络内北京教育信息网（内网）匕京教育信息网Internet0核心网络网管平台1 .'uV.!汕几uV.!.W关键应

23、用服务器区网管网络WS8512 r 1 e 1 r i r n r r i r s 大流量服务器区.内部办公接入网络图例说明:10/100M 连接带外管理连接其他用户10*1GE链路 10*1GE链路GE连接GE备份连接10 GE连接入侵检测火墙1+1备份负探测器载分担:B 普通学校网络 示范学校ISCO6506磁盘阵列入侵检测探测器防火墙1+1备份载分担核心交换传输网透传Internet4.4. 匸朝阳区教育 校校通”工程（网络中心）网络拓朴图如图所示： 网络中心的一些功能区块的连接位置有了变化， 具体描述如下： 核心交换区块分为两部分，一部分是面向接入学校的核心交换设备，由两 台核心交换机

24、S8512组成，两台核心交换机之间通过link-aggregation （端口聚 合）技术绑定两条10G链路，从而构建了万兆带宽网络核心交换平台。两台核 心交换机分别以 1 0条千兆链路与底层传送网设备 OPCITY 8930的业务网千兆 接口相连，负责所有接入学校的数据交换和路由转发工作，为了保障接入学校 访问大流量服务器的链路畅通，将大流量服务器直接与两台S8512相连。同时为了保证这两台核心设备的安全可靠运行，我们将主要的路由交换板卡、电源 模块均采用冗余备份的方式配置，以提高设备的可靠性。接入学校的业务流量 经由底层传送网汇聚成20条GE链路，分别连接到两台8512上。华为S8512

25、是一款高端的交换设备，交换容量720G,三层路由转发能力为428Mpps,支持 vlan4K 个， acl 条目数 4k 条，在性能上可以满足实际需求。另一部分是面向信息中心内部的核心交换设备，建议由两台利旧的 Cisco 6506 组成，负责连接内网各功能区块以及与外部网络的连通，如网管网络、关 键应用服务器区、内部办公网络和出口网络。两台Cisco6506之间利用Chunnel （通道）技术绑定4条千兆链路连接，互为冗余备份。每台 Cisco6506通过双 千兆绑定链路与另外两台核心交换机 S8512交叉连接，四台核心交换机之间组 成总带宽为 8G 的交换链路，以保障接入学校访问关键应用服

26、务器区和外部网 络有充足的带宽资源。根据上述对设备的应用方式和性能需求分析，目前两台 利旧设备 Cisco 6506采用的低速引擎已不能满足需要，建议对两台 Cisco 6506 进行必要的升级。关键应用服务器区块：主要由 SAN 网络存储系统、备份系统和服务器集群 系统组成，由利旧的原 C isco6509 交换机充当该区块的主交换机，关键应用服 务器区块通过本区块的主交换机利用两条千兆链路上连两台面向内网的核心交 换 Cisco 6506，以起到链路冗余备份和负载分担的功能，提高网络的可靠性。该 区块的功能和配置将在服务器存储设备的实施章节有详细描述。网管网络区块主要负责整个网络的管理和监

27、护，它采用带外管理与带内管 理混合的模式， 通常带内管理组网比较简单、 灵活，但却要占用承载业务流量的 带宽。带外管理不占用承载业务的带宽， 网管网络和其他网络设备之间独立成网， 该区块的主交换机由教委现有的 CISCO4006 担当，而主要网管软件采用华为 3COM 的 iManager Quidview 网管系统进行网络管理，对于网络中心的其他网管 子系统如：传输设备管理、网络设备管理、时间同步网管理、入侵检测子系统、 网络防病毒子系统、 漏洞扫描子系统、 时间同步子系统等， 分别采用其各自的管 理软件进行全网相应的管理。非华为公司的设备如 CISCO6509 等设备可由 CISCO 自带

28、的 WORKS2000 网管软件管理，对于整个业务网的状态监控、流量 分析可采用一些不区分设备类型的基础网管软件，如 Sniffer 等来监控。网管系 统中的网络设备管理子系统将实时监控整个网络中心的设备以及网络状况， 可在 第一时间检测到故障。并发出报警讯息，便于网管人员快速准确的排除故障。大流量应用服务器负责提供应用教学资源，包括一些如视频点播服务器、 视频会议服务器等等对带宽资源要求较高应用服务， 为了保障接入学校访问这些 应用服务器的联络畅通， 我们设计将这些服务器分别通过两条千兆光纤或者电口 链路直接与核心交换机 S8512 相连。以满足链路冗余备份和提高网络的性能的 需求。3.3.

29、2 方案特性分析 该方案兼具了前两种方案的优点，首先利用华为 S8512 强大的路由和交换 能力汇聚所有接入学校的数据，负责最佳的路由分发。即保证了接入学校访问 大流量服务器区的链路畅通，又使学校之间的流量不必再经由信息中心内部核 心网络转发。其次利用原思科 Cisco6506 经适当升级后负责信息中心内部各功 能区块的连通，即分担了核心交换机 S8512 的工作压力，又不必对原设备作彻 底的升级改造。再次两部分核心设备各司其责，有利于对网络设备按照不同层 次、不同权限以及不同的功能来进行管理与配置，减少了网络单点故障，提高 了网络整体可靠性。 最后网络的可扩展性得到了提升， 在今后网络规模扩大时， 可以充分发挥 S8512 的高性能和高可扩展性的优势，通过增加千兆板卡和模块 来满足未来的应用需求。3.4 三种方案性能比较扁平化二层网络方案典型的三层网络方案优化的分层网络方案核心设 备所承 受的工 作压力大。所有接入学校和内部办 公网络以及大量服务器群都 直