三种方案的性能分析与比较

1、项目名称：朝阳区教育“校校通”工程子项目名称：网络中心CY-WLZX-BJ-4业务网方案特性分析与比较北控电信通信息技术有限公司二零零六年三月目 录1.项目综述32.需求分析32.1招标文件需求32.2客户需求43.业务网设计方案53.1扁平的二层网络方案53.2典型的三层网络设计方案93.3优化的分层网络设计方案123.4两种方案性能比较16业务网方案的特性分析与比较1. 项目概述根据朝阳区教育“校校通”工程建设的总体规划，建成后的朝阳区教育信息网是一个覆盖全区所有教育单位的，能够实现全区资源共享、互连互通的网络，该网络的基础是一个利用光纤搭建的基于SDH技术的多业务传送平台（MSTP），我

2、们将其称之为底层传送网或者简称为传送网。而业务网（IP网）是承载于传送网基础之上的数据网络，因此业务网的建设与传送网的业务走向和网络结构有密切的关系。在传送网的建设规划中，以教委信息中心为全部网络的业务发起和终结主节点，传送网的骨干层有五个核心节点，利用10G带宽的链路构建核心主干网络，全部的业务在教委信息中心落地。所以在业务网的建设中网络中心就设置在教委的信息中心，这样教委的信息中心便要承担整个朝阳教育信息网的数据分析、业务处理和安全防护的重担。兼具传送网的骨干层核心节点和业务网网络中心为一身的教委信息中心注定成为本次业务网建设中的重中之重。2. 需求分析根据项目招投标技术规范以及项目开展过

3、程中用户明确提出的业务需求总结表述如下：2.1 招标文件需求2.1.1 业务网整体业务需求：n 2个网络出口（市教育信息网及区公共信息平台）n 1个数据中心n 接入249个节点2.1.2 对业务网网络性能要求：（1）核心交换u 万兆级连接u 背板容量>=1.5Tu 包转发率>=400Mpps(2) 网络出口 u 连接市教育信息网1000Mbps接口（2个）1. 连接Internet 100M（高性能NAT）2. 连接市教育信息网内网1000Mu 连接区公共信息平台1000Mbps接口（高性能NAT）（3）数据中心u 数据中心分三部分1. Internet服务器区2. 关键应用服务器

4、区3. 大流量服务器区u 数据中心关键应用服务器区通过千兆级防火墙连接到核心u 数据中心大流量服务器区通过ACL进行3、4层访问控制u 数据中心Internet服务器区通过百兆级防火墙连接到出口u 学校（接入层网络）访问数据中心总带宽不小于6Gbps(4) 接入的学校u 普通学校100Mbps接入网络中心u 示范校500Mbps接入网络中心2.1.3 对原有设备的利旧需求n 已有1台千兆NETEYE防火墙可利旧n 已有2台CISCO6506交换机低速引擎可利旧n 已有1台CISCO6509交换机低速引擎可利旧n 须考虑今后将原有IP网络迁移到本网络中2.2 客户需求一、 到市教委信息网的内网和

5、Internet接口均采用千兆链路，并配置防火墙来保障安全。二、 朝阳教育信息网均分配公有IP地址，因此与市教育信息网之间不必再用NAT设备进行地址转换。三、 利用朝阳教委信息中心的传输设备8930与朝阳区公共信息平台的传输设备相连，在该出口需要用NAT设备进行地址转换，并加防火墙设备保障安全。四、原有网络在工程竣工前不得中断，所有利旧的设备在原有网络完成割接后方能利用，因此需要租借其他设备暂时顶替。五、朝阳教委乔迁新址，要优先考虑从教委铺设一条光纤与教委信息中心相连来保障教委所连接的学校网络不致中断。六、对核心交换机所承受的工作压力有顾虑，要求优化设计。七、对利旧设备进行重新的定位，充分合理

6、的运用。八、大流量服务器区的安全隐患问题，可利用现有的一套磁盘阵列系统作为这部分大流量服务器的存储设备，以便与应用服务系统所提供的磁盘阵列物理隔开。九、接入学校的网络风暴问题，有三层交换机的学校启用三层路由功能，将网络风暴控制在本地，利用静态路由访问网罗中心。没有三层交换机的学校，采用VLAN的方式，通过默认网关访问网络中心。3. 业务网设计方案首先依据招标文件的信息，我们做出了一套原投标方案。在项目正式启动后，我们在逐步了解和明确用户具体需求的过程中又提出了一种业务网优化方案，现对这两种方案的优劣比较分析如下；3.1 扁平的二层网络方案这是原投标方案，该方案将教委信息中心核心网络为核心层、其

7、余接入单位统一划入接入层范畴的二层结构。其网络拓扑图如下：在这样的网路结构中，核心层设备负责完成网络各接入节点之间的互联，完成高效的数据传输、交换及路由分发。提供流量控制和用户管理等多项功能，提高整个网络的可靠性和扩展性。接入层设备提供各种标准接口将数据通过MSTP传输网络上传到核心层设备中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功作。3.1.1 方案描述网络核心层由几个功能区块构成，即核心交换区块、关键应用服务器网络区块、大流量数据应用服务器区块、网管网络区块、出口网络区块。核心交换区块：由两台核心交换机S8512组成，两台核心路由交换机之间通过link-aggregation

8、（端口聚合）技术绑定两条10G链路，从而构建了万兆带宽网络核心交换平台。两台核心交换机分别以10条千兆链路与传送网设备OPCITY 8930的业务千兆接口相连，从而将由底层传送网汇聚的所有接入层的数据接收到核心层来。由主核心交换机负责整个业务网的数据交换工作，为了保障网络中心核心设备的正常运行，在两台主核心机双机冗余备份的条件下，每台核心交换机的主要路由交换板卡和电源均采用冗余备份的方式配置，以提高设备的可靠性。关键应用服务器区块：主要由SAN网络存储系统备份系统和关键应用服务器集群系统组成，利用教委已有的CISCO6509充当该区块的主交换机，负责以千兆链路连接这部分服务器，并通过双千兆链路

9、分别上连两台核心交换机，以起到链路冗余备份和负载分担的功能。并在上连的两条千兆链路上配置两台千兆级防火墙，以11备份和负载分担的方式相连，在保证关键应用服务器区块的安全前提下尽可能的消除由防火墙带来的带宽瓶颈问题。大流量数据应用服务器区块：由于要保障这部分服务器的链路畅通和足够的带宽，所以将这部分服务器直接以双千兆链路连接核心交换机。其安全措施将由核心交换机的访问控制列表提供。网管网络区块：我们建立独立的网管网络对教委信息中心的网络设备进行管理。朝阳教育信息网组网设备的网络管理可有带外管理与带内管理两种管理方式。通常带内管理组网比较简单、灵活，但却要占用承载业务流量的带宽。带外管理不占用承载业

10、务的带宽，网管网络和其他网络设备之间独立成网，因此我们建议组建独立的网管网络，结合带内和带外管理的优点，以带外网管方式管理为主，以带内网管为辅的网络管理方式。由于核心骨干交换设备为华为3COM的S8512，防火墙设备也为华为3COM的产品，因此我们建议网络中心的设备采用华为3COM的iManager Quidview网管系统进行网络管理，对于网络中心的其他网管子系统如：传输设备管理、网络设备管理、数字同步网管理、入侵检测子系统、网络防病毒子系统、漏洞扫描子系统、时间同步子系统等，分别采用其各自的管理软件进行全网相应的管理。网络中原有思科设备则通过思科的WORKS2000 网管软件负责管理。网管

11、系统中的网络设备管理子系统将实时监控整个网络中心的设备以及网络状况，可在第一时间检测到故障。并发出报警讯息，便于网管人员快速准确的排除故障。出口网络区块：朝阳区教育信息网的出口设计为两部分，一部分指的是上连到北京市教育信息网（内网）和通过北京教育信息网上连到国际互联网（Internet），另一部分是指连接到朝阳区政府公用信息平台。即朝阳区教育信息网有三个出口，分别为：1、 北京市教育信息网（内网）2、 通过北京教育信息网上连到国际互联网（Internet）3、 朝阳区政府公用信息平台主要出口为北京市教育信息网（内网）和Internet，辅助和备份出口为朝阳区政府公用信息平台出口（即连接到朝阳区

12、信息办的链路）。三个出口均连接到出口网络中的原利旧设备Cisco6506交换机上，在由Cisco6506引出两条千兆链路连接核心交换机。在三个网络出口方向均配置一台防火墙，以保证朝阳教育信息网内网得安全，在朝阳区政府公用信息平台出口配置NAT设备负责地址转换。网络中心网络拓扑图如下：3.1.2 方案特性分析这种扁平化二层的网络结构是最初的投标方案，三台主要利旧设备的部署应用也是在没有同用户进行深入探讨的情况下做出的。所以在方案的深化设计中，尤其是在对用户进行具体的需求了解之后，我们发现该方案确实有需要改进的地方，首先所有的接入单位、大流量的服务器群、和一些内部办公网络都直接接到核心交换机上，由

13、核心交换机负责所有数据的二层交换和三层转发的确对核心交换机的压力过大，尤其是当今后网络规模扩大后压力则更重。其次业务流量分配不科学，有相当一部分的业务流量是学校与学校之间的，不必访问数据中心，而目前这些流量也必须通过核心交换机来路由；最后该种网络结构还具有一定的管理风险，所有的路由策略、访问规则、VLAN划分、优先级制定等等工作都要由核心交换及来配置，一旦配置失误将影响全网的运行。3.2 典型的三层网络设计方案3.2.1 方案描述由于扁平化二层网络结构设计方案存在着部分设计缺憾，经过对用户的需求作了深入和具体的了解后，我们给出了一种优化的三层网络设计方案。网络拓扑示意图如下在这个优化方案中，我

14、们将朝阳区的业务网设计为典型的三层网络拓扑结构，既将业务网分为核心层、汇聚层、和接入层。其中核心层的主要功能是实现数据的高速交换和转发,其选型和设计任务的重点是设备的冗余能力、链路可靠性和高速的交换能力。汇聚层的主要任务是提供对核心层设备的访问，汇总接入层的数据，并负责选择到不同目的地的最佳路径，利用汇聚层设备的路由功能可以将那些学校之间的数据流量直接转发，不必再经由核心层设备处理从而大大减轻了核心层设备的压力。其设计的重点是设备的高密度接入能力和强大的二、三层交换、路由处理能力。由于本次工程中所有数据业务都要经由教委信息中心落地，所以我们将把汇聚层设备和核心层设备都部署在教委的信息中心，信息

15、中心就成为业务网的网络中心。接入层就是具体接入学校，设备的选择主要考虑交换机的三层路由能力。网络中心拓扑示意图： 该方案对原核心网络各功能区块的设计基本没有改变，只是在核心层设备和接入层之间设置了两台汇聚层交换机，两台汇聚层交换机计划利用原有的利旧设备Cisco 6506,而原Cisco 6506在各功能区块中所担当的主交换机角色则由教委信息中心其他可利旧设备如Cisco 4000系列的交换机来替代。将两台CISCO6506交换机配置在网络中心的核心交换区块与接入层之间充当汇聚层设备，利用其高密度千兆光纤连接由传送设备下来的（20）个GE端口，两台Cisco6506之间采用2个GE端口以端口聚

16、合的方式配置成带宽达到2G的链路，每台cisco6506通过两条双千兆绑定链路分别以UPLINK方式上连两台核心交换机QW 8512，这样在核心层与汇聚层之间形成总带宽达到8G的交换链路，以进一步提高网络的性能和增加网络的可靠性，同时满足由接入层访问数据中心的总带宽不得小于6Gbps的招标要求。Cisco 6506交换机主要用于将接入层的数据进行汇聚并负责分发，或是上传到核心层中去，或是转发到其他接入层站点中，以起到承上启下的数据传输作用和路由分发功能。因此它不但要提供高密度高带宽的接口，还要具备高性能的多层交换能力，能够将一些不需要访问核心层的数据流量通过汇聚层设备转发，这样既提高了网络的效

17、能，又减轻了对核心层网络设备的压力。但由此对Cisco 6506交换机的要求将大幅提升，原有的低速引擎已经不能满足新的性能需求，必须对其进行升级改造。 3.2.2 方案特性分析：典型的三层网络逻辑结构，网络层次清晰，分工明确；由汇聚层设备负责选路，分担了核心交换机的工作压力；学校与学校之间的访问直接由汇聚层设备分流而不必再经核心交换机处理，使得业务走向更加科学； 减轻了网络管理的风险，各层网络设备具备各自的功能，负责不同的工作，便于管理维护；然而这种三层的网络结构对原设备性能尤其是对汇聚层设备CISCO6506的性能要求提高，原有的低速引擎已经不能满足需要，必须升级交换引擎和增加相应的模块，导

18、致增加投资。随着日后网络规模的扩充，接入学校的数量增多，对汇聚层设备的压力将进一步增大，而Cisco6506的升级空间已经不大，反而会成为网络的薄弱环节。3.3 优化的分层网络设计方案3.3.1 方案描述将业务网的结构进行简化，即以教委信息中心作为业务网的核心网络、其余接入单位统一划入接入网络的网络结构。采取这样的网络拓扑结构主要基于如下考虑， 现有的朝阳区教育系统的主要业务流向和应用情况；传送平台（mstp）将所有的业务全在教委信息中心落地这一实际情况。这样一来所有接入学校通过底层传送网把数据汇聚到教委信息中心的核心交换机上，减少了各学校数据的传输环节，提高了传输效率和交换时间。网

19、络拓扑图如下：在该方案中，教委信息中心核心网络根据功能不同分为两个部分，一部分设备用来汇聚所有接入学校的数据，负责完成各学校之间的互联，以及对网络中心的访问。实现高效的数据交换及路由分发，提供流量控制和用户管理等多项功能，同时有效的隔离了学校内部的网络风暴。建议采用两台华为S8512高性能路由交换机，充分利用其高性能的二层和三层转发能力，来满足全网对高可靠性和高性能的要求。另一部分设备负责信息中心各功能区块的相互连通，提供各接入学校到数据中心的访问，以及与外网之间的接口。建议采用原有的两台Cisco 6506交换机，并对其进行必要的升级。两部分核心设备之间采用双千兆链路交叉相连，以充足的带宽实

20、现核心交换设备之间的数据交换。接入层就是指具体的接入学校，接入学校的交换机可根据校园网建设的实际情况绝大部分为三层交换机极少部分为二层交换机，对于有三层交换机的学校可以根据学校的应用情况启动三层路由功能，将网络风暴控制在学校内部，而通过静态路由的方式访问核心层，对于拥有二层交换机的学校，据我们调研学校并不多，可考虑更换三层设备作为接入交换机，或者每个学校作为一个VLAN通过默认网关访问核心层。 网络中心拓扑图：如图所示：网络中心的一些功能区块的连接位置有了变化，具体描述如下：核心交换区块分为两部分，一部分是面向接入学校的核心交换设备，由两台核心交换机S8512组成，两台核心交换机之间通过lin

21、k-aggregation（端口聚合）技术绑定两条10G链路，从而构建了万兆带宽网络核心交换平台。两台核心交换机分别以10条千兆链路与底层传送网设备OPCITY 8930的业务网千兆接口相连，负责所有接入学校的数据交换和路由转发工作，为了保障接入学校访问大流量服务器的链路畅通，将大流量服务器直接与两台S8512相连。同时为了保证这两台核心设备的安全可靠运行，我们将主要的路由交换板卡、电源模块均采用冗余备份的方式配置，以提高设备的可靠性。接入学校的业务流量经由底层传送网汇聚成20条GE链路，分别连接到两台8512上。华为S8512是一款高端的交换设备，交换容量720G，三层路由转发能力为428M

22、pps，支持vlan4K个，acl条目数4k条，在性能上可以满足实际需求。另一部分是面向信息中心内部的核心交换设备，建议由两台利旧的Cisco 6506组成，负责连接内网各功能区块以及与外部网络的连通，如网管网络、关键应用服务器区、内部办公网络和出口网络。两台Cisco6506之间利用Chunnel（通道）技术绑定4条千兆链路连接，互为冗余备份。每台Cisco6506通过双千兆绑定链路与另外两台核心交换机S8512交叉连接，四台核心交换机之间组成总带宽为8G的交换链路，以保障接入学校访问关键应用服务器区和外部网络有充足的带宽资源。根据上述对设备的应用方式和性能需求分析，目前两台利旧设备Cisc

23、o 6506采用的低速引擎已不能满足需要，建议对两台Cisco 6506进行必要的升级。关键应用服务器区块：主要由SAN网络存储系统、备份系统和服务器集群系统组成，由利旧的原C isco6509交换机充当该区块的主交换机，关键应用服务器区块通过本区块的主交换机利用两条千兆链路上连两台面向内网的核心交换Cisco 6506，以起到链路冗余备份和负载分担的功能，提高网络的可靠性。该区块的功能和配置将在服务器存储设备的实施章节有详细描述。网管网络区块主要负责整个网络的管理和监护，它采用带外管理与带内管理混合的模式，通常带内管理组网比较简单、灵活，但却要占用承载业务流量的带宽。带外管理不占用承载业务的

24、带宽，网管网络和其他网络设备之间独立成网，该区块的主交换机由教委现有的CISCO4006担当，而主要网管软件采用华为3COM的iManager Quidview网管系统进行网络管理，对于网络中心的其他网管子系统如：传输设备管理、网络设备管理、时间同步网管理、入侵检测子系统、网络防病毒子系统、漏洞扫描子系统、时间同步子系统等，分别采用其各自的管理软件进行全网相应的管理。非华为公司的设备如CISCO6509等设备可由CISCO自带的WORKS2000网管软件管理，对于整个业务网的状态监控、流量分析可采用一些不区分设备类型的基础网管软件，如Sniffer等来监控。网管系统中的网络设备管理子系统将实时

25、监控整个网络中心的设备以及网络状况，可在第一时间检测到故障。并发出报警讯息，便于网管人员快速准确的排除故障。大流量应用服务器负责提供应用教学资源，包括一些如视频点播服务器、视频会议服务器等等对带宽资源要求较高应用服务，为了保障接入学校访问这些应用服务器的联络畅通，我们设计将这些服务器分别通过两条千兆光纤或者电口链路直接与核心交换机S8512相连。以满足链路冗余备份和提高网络的性能的需求。3.3.2 方案特性分析该方案兼具了前两种方案的优点，首先利用华为S8512强大的路由和交换能力汇聚所有接入学校的数据，负责最佳的路由分发。即保证了接入学校访问大流量服务器区的链路畅通，又使学校之间的流量不必再经由信息中心内部核心网络转发。其次利用原思科Cisco6506经适当升级后负责信息中心内部各功能区块的