通信公司综合业务支撑系统网络建议书

1、 . 46/46. 中国网通集团通信股份综合业务支撑系统网络建议书联创科技股份地址：市南路弓箭坊40号： ：客服热线： .lianchuang.目 录 TOC o 1-3 h z HYPERLINK l _Toc295482541.用户需求分析 PAGEREF _Toc29548254 h 3HYPERLINK l _Toc295482551.1.网络设计原则 PAGEREF _Toc29548255 h 3HYPERLINK l _Toc295482561.2.网络总体规划 PAGEREF _Toc29548256 h 4HYPERLINK l _Toc295482571.3.网络系统性能估

2、算 PAGEREF _Toc29548257 h 5HYPERLINK l _Toc295482581.1.1.数据采集流量计算 PAGEREF _Toc29548258 h 5HYPERLINK l _Toc295482591.1.2.营业系统带宽估算 PAGEREF _Toc29548259 h 6HYPERLINK l _Toc295482601.1.3.至上级系统带宽估算 PAGEREF _Toc29548260 h 7HYPERLINK l _Toc295482612.网络总体设计 PAGEREF _Toc29548261 h 8HYPERLINK l _Toc295482622.1

3、.网络框架纲要 PAGEREF _Toc29548262 h 8HYPERLINK l _Toc295482632.2.局域网设计 PAGEREF _Toc29548263 h 8HYPERLINK l _Toc295482641.1.4.局域网的设计思想 PAGEREF _Toc29548264 h 8HYPERLINK l _Toc295482651.1.5.几种常见类型的局域网 PAGEREF _Toc29548265 h 9HYPERLINK l _Toc295482661.1.6.我们所建议采用的局域网技术 PAGEREF _Toc29548266 h 10HYPERLINK l _

4、Toc295482671.1.7.运营支撑中心网络构架 PAGEREF _Toc29548267 h 10HYPERLINK l _Toc295482682.3.与合作单位的网络接口 PAGEREF _Toc29548268 h 13HYPERLINK l _Toc295482692.4.广域网络设计 PAGEREF _Toc29548269 h 14HYPERLINK l _Toc295482701.1.8.广域网的设计思想 PAGEREF _Toc29548270 h 14HYPERLINK l _Toc295482711.1.9.广域网常见拓扑逻辑 PAGEREF _Toc2954827

5、1 h 14HYPERLINK l _Toc295482722.5.与其它系统连接 PAGEREF _Toc29548272 h 17HYPERLINK l _Toc295482733.网络优化 PAGEREF _Toc29548273 h 19HYPERLINK l _Toc295482743.1.路由策略 PAGEREF _Toc29548274 h 19HYPERLINK l _Toc295482751.1.10.WAN路由策略 PAGEREF _Toc29548275 h 19HYPERLINK l _Toc295482761.1.11.LAN路由策略 PAGEREF _Toc2954

6、8276 h 19HYPERLINK l _Toc295482773.2.网络地址规划 PAGEREF _Toc29548277 h 20HYPERLINK l _Toc295482781.1.12.关于IP网络地址 PAGEREF _Toc29548278 h 20HYPERLINK l _Toc295482791.1.13.地址分配的几个建议性原则 PAGEREF _Toc29548279 h 20HYPERLINK l _Toc295482803.3.网络时间的同步 PAGEREF _Toc29548280 h 21HYPERLINK l _Toc295482813.4.队列管理机制 P

7、AGEREF _Toc29548281 h 22HYPERLINK l _Toc295482824.网络安全性与与Internet的连接 PAGEREF _Toc29548282 h 24HYPERLINK l _Toc295482834.1.网络安全问题概述 PAGEREF _Toc29548283 h 24HYPERLINK l _Toc295482844.2.网络安全问题的解决 PAGEREF _Toc29548284 h 25HYPERLINK l _Toc295482851.1.14.知道潜在的入侵者 PAGEREF _Toc29548285 h 25HYPERLINK l _Toc

8、295482861.1.15.控制的扩散 PAGEREF _Toc29548286 h 25HYPERLINK l _Toc295482871.1.16.访问控制（Access Control） PAGEREF _Toc29548287 h 25HYPERLINK l _Toc295482884.3.通过集中的安全控制机制实现网络的安全性 PAGEREF _Toc29548288 h 26HYPERLINK l _Toc295482894.4.我们对系统安全的建议 PAGEREF _Toc29548289 h 27HYPERLINK l _Toc295482904.5.与Internet的连接

9、 PAGEREF _Toc29548290 h 28HYPERLINK l _Toc295482914.6.拔号的安全 PAGEREF _Toc29548291 h 29HYPERLINK l _Toc295482925.网络管理 PAGEREF _Toc29548292 h 30HYPERLINK l _Toc295482935.1.集中式系统管理 PAGEREF _Toc29548293 h30HYPERLINK l _Toc295482945.2.联创对网络管理的理解和建议 PAGEREF _Toc29548294 h 30HYPERLINK l _Toc295482956.设备选型 P

10、AGEREF _Toc29548295 h 35HYPERLINK l _Toc295482966.1.设备选型说明 PAGEREF _Toc29548296 h 35HYPERLINK l _Toc295482976.2.Cisco 3662 PAGEREF _Toc29548297 h 35HYPERLINK l _Toc295482986.3.Catalyst 4000 PAGEREF _Toc29548298 h 38HYPERLINK l _Toc295482996.4.CiscoWorks2000 LAN管理解决方案2.0 PAGEREF _Toc29548299 h 39HYPE

11、RLINK l _Toc295483007.网络设计小结 PAGEREF _Toc29548300 h 46用户需求分析网络设计原则省通信公司是一个年轻的企业，在这一个高速发展的信息社会中，随着中国网通的发展，它在整装待发。信息社会的一个最主要的产物就是网络，对于网通来说，在事业蓬勃发展时，建立一个高性能、高可靠性、高可用性、高可扩充性的骨干网络平台是很有必要的。在网络设计中，我们严格遵循以下原则，并以此逐条分析网通运营支撑系统的需求，从而使所得的方案能够最大限度的满足网通的需要，建成使用后能够发挥尽可能大的效能。充分利用所配置的网络设备的能力，最大限度地发挥网络平台的效率。在这里我们强调这样

12、一个思想：我们是在设计一个大的网络平台，应该考虑到平台的总体效率，不能因片面强调某些性能而牺牲其他方面，造成“一手软、一手硬”。我们应该兼顾可靠性和高效性、广域性能和局域性能、性能和价格、网络当今的表现和将来的扩充能力，等等。为了保证网通运营支撑系统的高性能，一方面要采用符合系统要求的高性能的设备，另一方面要采用合适的传输线路，保证在传输过程中无瓶颈。保证网络系统的可靠性：用户的网络系统必须具有相当的容错能力，保障在意外情况下不中断用户的正常工作，因为无论系统采取集中模式还是分散模式，都要求系统能不间断的工作，这就要求在广域和局域上提供对网络设备资源与通信线路的备份，并且能够在系统的某个部分出

13、现故障时迅速地进行主、备份资源的切换，满足用户的需求。在网通运营支撑系统的网络中，影响系统可靠性的因素主要是线路和设备，因此在线路上可以采用“一主一备”或“互为主备”的设计；在设备上，为了消除单点故障，交换机和路由器的双机配置也是很有必要的。保证网络系统的开放性：随着开放互连标准的制定，只有开放的，符合国际标准的网络系统才能够实现多厂家产品的互连。目前已成型的国际标准包括：以太网、FDDI网、令牌环网、快速以太网、ATM（异步传输模式）等，并且这些网络系统不仅在世界围，在国也被广泛地采用。这些网络系统的传输速度最低的为10Mbps，最高的为155Mbps，甚至622Mbps。现在，千兆以太网和

14、快速以太网技术已经非常的成熟，它具有1000M和100M的带宽，具有良好而稳定的性能，因此，我们在这里采用的就是这一技术。保证网络系统的可扩充性：网络系统要能够灵活地扩充，比如：能够通过扩充支持将来的需要。具有良好扩充性的网络能够让用户以较小的代价，通过产品升级，采用新的技术，或者是增加模块来扩充现有网络设备的功能，这样，就有效地保护了用户的投资。在进行网络扩充的同时，网络的效率不应该下降。所以，这个方案的设计必须保证在若干年正常运转，而在这之后应该能够在原有基础上升级，保护原有投资。保证网络系统的安全性：网络的运行应该在一种可控方式下，以保证其安全性；应该尽可能地通过集中控制的机制实现网络的

15、安全性；非授权的人员应该不能进入网络之中，还要实现分层次的安全控制机制，根据具体用户的级别确定他们的访问权限。系统的安全性是个需要以系统全面考查后的综合设计的问题，因此在方案中，我们提出了对安全控制的一些建议，在此基础上在贵公司一同设计整个系统的安全保障机制。保证网络系统的可管理性：网络系统应该能够支持SNMP（简单网管协议），这样便于计算机管理人员通过网管软件随时监视网络的运行状况，一旦出现故障，可以自动报告出错位置和出错原因。网络总体规划本次工程要实现通过多种业务受理渠道（营业厅、代理商、CallCenter、网上营业厅/自助服务和大客户经理等）为用户提供各种基于电信业务（话音、数据、多媒

16、体等）的综合服务（订购、帐务、障碍处理等），同时能够向大客户提供“绿色通道”，保证满足重要客户的要求，体现“以客户为中心”的现代企业的经营管理理念。预计到2005年底，省综合业务支撑系统容量要求满足175万用户的需求。集中是大趋式，集中模式无论在系统结构上，还是在新业务的开展上都具有其它模式所不能替代的好处。我们的网络结构也因为采用了集中模式而在系统性能和可靠性等方面相应有所考虑。从对网通运营支撑系统的分析中可以得出这样几个结论，一、系统应该是一个集中式、层次化的结构，主要的流量应集中在各地市到省网络中心的骨干网络上，所以这个骨干应该足够宽，保证不出现瓶颈；二、系统应具有较强的扩展性能，以适应

17、网通事业的快速发展，但同时考虑到硬件设备的不断更新，性价比随着时间推移不断提高，对扩展性能的设计应是有限度的；三、系统应具备相当的承载能力，我们建设的是一个骨干网络平台，如客服系统等应用可以通过此网络平台传输，从而节约设备投资和线路花销；四、作为骨干，全省的业务支撑数据都要通过它来传输，所以必须考虑到可靠性设计。本方案将就网通运营支撑系统中心局域网和中心-营业厅之间广域网以与省-上级系统间广域网作论述。网络系统性能估算数据采集流量计算对于采集系统来说，数据流量主要集中在由各地市交换机下载得到的原始话单，为简化计算模型，考虑如下计算模型：建设规模100万用户每用户每天10话单每话单平均200字节

18、本地网话单量最大所占比例：20%每天通话集中在早八点至晚十点的14小时高峰时为平均值的6倍计算网络开销30%则理论上要求带宽总计至少为：100万（用户）10（/用户）200（字节/次）8（比特/字节）614（小时）3600（秒/小时）1024（/K） 1.3，约为2.4Mbit/s则话单量最大的地市交换机至省中心的连接带宽需要2.4M0.2=480Kbps，一条512Kbps专线就可以满足需求。省会城市网络建设可以直接采用局域100/1000M连接。营业系统带宽估算网通本次工程计划在营业厅建设的同时，还可以依靠网上营业厅等手段完成营业系统的建设，先计算的是网上营业厅的带宽，由于网上营业厅可以采

19、用集中模式，所有的用户都访问一个地方，那么就上文中的计算数据而言，最多也就需要2.4Mbps的带宽，一个快速以太连接就可以完成网上营业厅与核心局域网的接口。对于营业厅的带宽，一般而言，每个营业厅的终端在10个左右，我们以15个计，根据我们的经验，每个终端一天至多500笔业务，即每分钟一笔，其中数据传输在3秒中完成，每笔业务2K字节数据2K（字节/笔）8（比特/字节） 3（秒）=5.3Kbps因此一个营业厅到网络中心的带宽应为5.3Kbps15=80Kbps，可见一条128Kbps的DDN线路即可满足需求。综上所述，我们建议对于每一个营业厅采用一至两条DDN专线完成广域网络的连接。至上级系统带宽

20、估算如前文所述，100万用户需要2.4Mbps带宽，预计到2005年底，省综合业务支撑系统容量要求满足175万用户的需求。其中需要向上级系统传输的占10%，则至上级系统的带宽为420Kbps。网络总体设计网络框架纲要网络系统本身具有主次之分，有的部分地位重要，有的则相对要求不高，有的部分突出了性能，而其他部分则可能要求进行一些限制。采用层次化的设计模型，有利于突出重点，突出各部分的主要功能，同时便于管理维护，便于扩充，故障容易隔离。根据对用户的需求分析，我们可以用下述层次结构建立网通运营支撑系统的概念模型：该模型将网通运营支撑系统分为三个层次：骨干（Core）层、支干（Distribution

21、）层和访问（Access）层。在这个方案中，骨干层提供省中心到各地市中心之间的数据远程传送服务；支干层提供各地市下属的各个部门以与以后将建立的营业厅与地市中心之间的网络连接策略与服务；访问层则为本地或远程计算机用户（组）提供上网连接服务接口，多为局域的连接。局域网设计局域网的设计思想采用高速、高性能的网络主干网络根据需要划分不同的虚拟网虚拟网之间的数据交换通过集中的路由功能实现网络主干应有极强的扩充能力，网络性能不会因为网络的扩充而降低与广域的路由器和主机配合实现广域上网络资源的备份和数据分流保障局域网上的安全性几种常见类型的局域网根据是否划分虚拟网以与对虚拟网之间数据交换的处理方式，可以把现

22、有的局域网划分为下面的几种类型：不划分虚拟网的平坦型网络在这种网络中，所有的主机都连接在一个子网中。这种网络的优点是：配置比较简单，对交换机的要求比较低。这种网络的缺点是：由于不划分虚拟网，当主机数量比较多时容易产生广播风暴，引起网络性能的下降；因为任何广播的消息都会转发到交换机的所有端口，网络的安全性不容易保障；IP地址的规划不灵活：举一个例子，某个单位有300台主机，申请一个B类的地址（可容纳65534台主机） 太浪费，申请一个C类地址（可容纳254台主机） 又不够用，如果申请两个C类地址，不同C类地址的主机之间又不能通信，很不灵活。使用集中的路由功能实现虚拟网之间的数据交换这种网络中存在

23、着许多的虚拟网，虚拟网之间的数据通信通过某台功能较强的路由器或第三层交换功能来实现。我们看到，整个局域网中有若干个虚拟网，虚拟网之间的数据交换集中由一台路由器来完成。这种网络的优点是：缩小了广播域，使网络的工作效率大大提高；抑制了广播风暴的产生；可以从IP子网的角度保障网络的安全性：可以通过路由器在不同的虚拟子网之间划分防火墙。IP的地址规划有一定的灵活性。能够配合跨主干虚拟网技术。这种网络的缺点：由于所有的虚拟网之间的交换都要通过一台路由器来实现，这台路由器的处理能力和通往路由器的连接线路的带宽称为网络中的两个瓶颈。随着虚拟网的数量的增多，而网络中的路由处理能力并没有相应增强，网络的性能将下

24、降。使用分散的路由功能实现虚拟网之间的数据交换在这种网络中，同样要划分虚拟网，虚拟网之间的通信通过分散的路由功能来实现，在这里用具有路由功能的交换机取代了普通的交换机。这种网络的优点是：具有集中式路由网络的大部分优点；整个网络中没有瓶颈；整个网络具有很强的扩充能力，网络的性能不会因为网络上主机的增多而下降；支持广域上网络资源的备份和数据分流。这种网络的缺点是：交换机的路由功能并不是很强。不能配合跨主干虚拟网技术。我们所建议采用的局域网技术综合以上的分析，结合实际情况，我们建议采用的局域网的技术是：使用集中的路由功能的方式实现虚拟网之间的数据交换。运营支撑中心网络构架网通运营支撑中心网络构架如下

25、图所示。在上图上，我们提到了DCN的概念，联创认为，随着电信运营商业务的不断发展，需要通过网络传输的业务量将种类越来越多，数量越来越大，因此，建立DCN这样的传输平台只是个时间问题，所以我们在本文中将这个系统“分割”成两部分，一部分是数据处理的运营支持系统，一部分是广域传输DCN系统，实际在本次工程中这两部分是统一的，包括交换机这样的设备都可以通用，但我们在表述时还是将两部分分开，使网络结构更加清晰。如上所述，我们建议按照DCN的模式建设由中心到各省、各地市的广域网络。在DCN尚未建设时，DCN中心的交换机可以利用核心交换机上的VLAN实现，此次工程中的核心路由器可以在DCN建设时用作DCN中

26、心路由器。从上图中，在运营支撑中心是以两台高性能的千兆局域网交换机为核心构架的，这种方法是很节约而且高效的。保证了高性能：这里的高性能体现在两方面，一是采用了先进的设备，由于我们的系统方案采用的是一种集中式的结构，全省的业务处理都在省运营支撑中心完成，所以在运营支撑中心需要高端局域网交换机完成数据的局域交换。另外，这里的局域网采用了千兆以太网技术连接骨干，即交换机与防火墙之间、交换机与服务器之间建立1000Mbps数据通路，理由如下：1，因为对于集中模式来说，几乎所有的数据处理都在省（市、区）运营支撑中心完成，所以这里的数据量的相当大的，非常有必要采用宽带技术；2，从市场投资的角度上看，千兆以

27、太网已经是一个相当成熟的技术了，在市场的激烈竞争中，其端口价格也已经很合理了；3，作为一个“关键网络”，我们设计中必须具有足够大的前瞻性，虽然投资可能稍大了一些，但对于以后的系统扩容，我们认为应把主要目标指向网络规模的延伸，也就是支干层的扩充，对于中心局域网，鉴于它在网通业务中的关键地位，应尽可能地不做大的改动。保障了高可靠性：使用两台千兆局域网交换机以保证局域网主干中没有单点失误。局域关键设备，如服务器，都与两台交换机实现冗余配置。当其中的一台交换机发生故障的时候，另一台交换机可以提供高速通路，确保网络畅通。两台路由器之间也采用HSRP或VRRP技术实现热备份，可以自动切换。划分虚拟网使性能

28、更加出色：我们利用了千兆局域网交换机所具有的虚拟网技术根据用户的需求在交换机上划分虚拟网，这样一来可以提高网络的总体性能，再者划分了虚拟网之后网络的管理者可以更方便地对用户进行管理，而且可以在不同的虚拟网之间设置防火墙，提高了网络的安全性。虚拟网之间的路由通过其本身的路由功能实现。我们建议可以将运营支撑中心的交换机通过划分VLAN来实现防火墙的、外网连接。系统安全有充分保证：为了充分的保护局域网的主机设备的安全，系统多处采用了防火墙。在Catalyst 4006交换机和连接外网（即远程节点）的路由器之间可以配置了两台高端防火墙，将外网与网隔开，包括各地市营业和各代理商的接入全部置于防火墙之外，

29、这样可以对于恶意的侵入时刻防。与外单位的连接也采用了防火墙技术，接口服务器就放置在DMZ中。银行代收费系统也采用了防火墙，将此系统连接在外网的交换机上，对于银行来说可见的只有银行代收费应用服务器（此项仅为建议，设备未考虑）；与Internet的连接也是如此。WEB服务器等设备均放置在两台防火墙之间的DMZ中，依靠Web Logic服务器来向应用服务器发起连接。有了这些防火墙，整个系统的安全就有了充分的保证（此项仅为建议，设备未考虑）。与合作单位的网络接口由于采用集中的模式，所以如话费代收与银行、邮储、公安之类的接口都可在中心完成，由于这些连接相对而言安全性要弱，所以要采用如防火墙等安全机制保证

30、网络的互相独立性。下图以银行为例说明。每家银行现在基本上都可实现通存通兑，也就是说都有一套覆盖全省的网络，而我们采用的是运营支撑系统的集中模式，所以只要在网通与各家银行的省中心作网络连接就可以实现联网了。这种方法接口单一，连接方法简单，易于管理，安全隐患小，投资节约。此部分设计基于我们以往工程经验，作为建议，谨作参考。广域网络设计从网络技术上看，骨干网络和支干网络应属于广域网畴，所以在设计的时候，我们遵循的是一套广域网的设计思想。广域网的设计思想采用层次化网络结构模型设计采用正确的网络拓扑保证网络的高效率和可靠性保证广域网上的网络安全性，防止任何非授权的人员进入网络采用恰当的方式实现网络资源的

31、备份和数据分流广域网常见拓扑逻辑三种拓扑结构各自具有各自的特征：星型拓扑结构（Star）：简洁，便于建立层次结构网络，符合ATM网络的要求，存在单点失误；全互连拓扑结构（Fully Meshed）：连接配置复杂，冗余度高，可靠性高，广播环境的系统开销大；部分互连拓扑结构（partially Meshed）：是前两种拓扑结构的结合，采用双星（Twin_star）结构来避免单点失误；较全互连拓扑结构减少了连接复杂度。考虑到网络上数据流的具体流向和业务需求，我们选择的是部分互连双星型拓朴结构，在提高了网络可靠性的同时也可降低了复杂性，并且节约了投资。从结构上看，此广域网是一个星形网络拓朴结构，它以省

32、运营支撑中心作为省通信公司业务运营支撑系统的中心，接入到DCN中心的交换机上，各营业厅利用广域网络通过一条或两条DDN专线连接到运营支撑中心，这种结构从总体上符合目前网络上的数据流向从各营业厅到运营支撑中心或相反方向，数据传输路径得到优化。以后业务发展时可以以在几个地市的营业厅各建一个汇接中心，由汇接中心再连接到省中心。同时，为了保证省与上级系统之间业务的互通，需要和上级系统之间建立一条通道，在前文的带宽估算中我们已有相关描述，与上级系统间的带宽分别需要512Kbps的带宽，我们建议在与上级系统间分别采用两条相应线路连接。为了保证核心层WAN通信的高可靠性和负载分担，在DCN中心配置两台高端模

33、块化路由器和两台局域网交换机（可与运营支撑中心交换机共用），在运营支撑中心新增两台局域网千兆交换机作为核心交换机。各营业厅分别配置一台Cisco 2600系列路由器。对于运营支撑中心与地市间的通信线路带宽，根据前文所述的网络带宽估算，和我们在总结了以往建设、等省、自治区的网络设计的实践经验后，在各地市按各自的不同情况配置不等数目的E1线路，这里的带宽需求主要来自于计费、营业和帐务这些应用的需要，在此基础上留出可扩充的余地和容量。一来保证系统中某一条线路出现故障时能不中断正常工作，二来还为以后网络承载客服、OA等系统时有足够的带宽，这些应用总得来说数据量很不上很大。而且由于我们采用的是模块化产品

34、，所以在需要扩充带宽时很方便。与其它系统连接我们在设计中计划将运营支撑中心置于网通，那么就与其它系统处于一幢楼甚至同一个机房，可以通过楼的布线利用交换机的端口将运营支撑中心其它系统连接起来。如果距离较远，则可以采用专线连接的方式连接。在运营支撑系统与其它计算机系统的连接中，可以利用防火墙以如下方式进行隔离： 外部的请求只能通过一级防火墙，提交到系统应用服务器，系统应用服务器接受到请求后，判别请求的类别，然后发起相应的接口服务透过二级防火墙，完成相关的业务功能。网络优化路由策略WAN路由策略网通现在在各地市使用的IP地址规划、路由管理等都需要作统一的规划。联创几年来在全国承接了多个大型网络，在网

35、络规划方面积累了丰富的经验。实践证明，OSPF和EIGRP是适合于在广域网围使用的路由协议，它们收敛速度快，交换的路由信息较少。OSPF利用分层概念，使得网络层次更清晰；而EIGRP采用路由表自动叠合技术，管理方便，配置容易。EIGRP是CISCO公司的专用协议，因此应用围收到限制。根据我们以往在如DCN这样的大型计算机网络的建设中积累的经验，建议采用OSPF协议作为广域路由协议。OSPF支持等路径条件下的负载分流。 OSPF可以将一个网络划分成几个区域，对网络管理和减轻路由器的负担均有好处。我们将中心到市的部分作为OSPF骨干，各地市部网络作为一个小区，其营业网络均处于这个小区中。这种划分与

36、行政区划保持一致，便于理解和管理。LAN路由策略目前UNIX主机主要采用RIP路由协议交换路由信息，所以在信息网的LAN部分可以采用RIP路由协议。由于RIP路由协议不支持子网划分，当需要子网间通信时，RIP无法将信息正确传递到目的地。采用静态路由可以有效解决这个问题，但是静态路由是指向下一跳的路由器地址，当该路由器失效时，即使存在其他能够到达目的地的路由，该主机也无法利用，除非人为修改将静态路由，这是任何一个网管人员所不能接受的。解决问题的方法是采用标准的VRRP或CISCO的HSRP协议。VRRP和HSRP的工作原理是一样的，在此以HSRP为例来说明。HSRP（Hot Standby Ro

37、uting Protocol）的原理是这样的：在一个局域网上，如果存在两个以上的路由器，那么可以创建一个虚拟的路由器，而实际存在的数个路由器均可以担负虚拟路由器的工作，当主机以静态路由指向该虚拟路由器时，主机发送的数据包由虚拟路由器接收，实际上由创建该虚拟路由器的实际路由器中优先级最高的路由器来转发，如果这个路由器失效，优先级次之的路由器便自动接替工作，保证主机数据通路。网络地址规划关于IP网络地址在网络层不同的网络协议具有不同的编址方法，这里给出的是在使用IP网络协议时的编址方案。下面我们称基于IP协议的网络层编址为IP地址或网间网地址，在不引起二义性的情况下简称为网络地址或地址。IP地址分

38、为五类：A类地址，B类地址，C类地址，D类地址，E类地址。其中A类地址、B类地址、C类地址为常用地址；D类地址为多目地址；E类地址保留。在同一个互联网络网络地址应该保持其唯一性，即一个地址只能对应一台主机（Host），但是一台主机（Host）可以对应多个网络地址。地址分配的几个建议性原则唯一性在同一个互联网络网络地址应该保持其唯一性简单性地址的分配应该简单易管理，避免在主干上采用复杂的掩码方式。连续性为同一个网络区域分配连续的网络地址，便于缩简路由表的表项，提高路由器的处理效率，这种技术称为地址叠合（Summarization）。可扩充性为同一个网络区域分配的网络地址应该具有一定的容量，便于主

39、机数量增加时仍然能够保持地址的连续性。灵活性IP地址的规划应考虑不同的路由协议和不同的通信链路技术，合理的使用VLSM（Variable Length Subneting Mask）技术，能较好的适应不同的网络的特点，节约IP地址空间。所以，地址合理分配将使得系统建设运行更加富有效率，反之，如果地址分配不够完备，则会在系统建设中遇上很多的麻烦，甚至影响到系统的正常运行。根据中国网通的相关规定，全国运营支撑系统采用统一的IP网络地址。我们将充分的理解这些规定，因地制宜地对网通的IP地址进行规划。联创系统集成股份近年来承接了多个大型网络工程，在地址分配上有着成功的案例，在国建设比较早的省DCN工程

40、中，我们与局方一道对全省的网络地址进行了规划，这套规划以后又用于、DCN等系统中，近年来的多个大型网络系统建设的实践证明，我公司的IP规划技术是成功和富有效率的，所以我们也有信心与贵公司一道为网通的网络IP地址作一个高效的规划。网络时间的同步网络时间的同步分成两个层次，一是在数据链路层，一是在网络层。在数据链路层，路由器之间通过广域传输线路通信时，必须进行时钟同步。广域线路有两种，一种线路是E1电路，采用G.703标准，另一种线路采用DDN。我们知道，E1电路采用HDB3编码格式，这种编码格式含时钟信号，采用E1传输，两端路由器均从线路提取时钟，因为传输网是一个时钟源，因此路由器之间能够同步。

41、采用DDN传输时，由于要使用模拟专线，通过MODEM，因此时钟同步由MODEM通过V.35接口提供。网络层同步采用RFC1305 Network Time Protocol (V3)标准，目前以省中心的路由器作为主、备时间服务器，网管工作站、局域网交换机、地市中心的路由器和交换机作为下级时间服务器，同步于省中心的路由器，将来作为本地网的时间服务器，采用NTP3 或SNTP4(RFC2030)向下复制时间。NTP3能够以很小的网络流量，达到很高的时间同步精度，在INTERNET上得到了广泛的应用。队列管理机制在网络发生拥塞时，路由器必须丢弃一些分组，这个问题的解决首先必须实施有效的队列管理机制(

42、或缓冲区管理策略)。目前，已经出现的队列管理机制有：PPD(PartialPacketDiscard)、EPD(EarlyPacketDiscard)、RED(RandomEarlyDiscard)、FRED(FlowRED)、RIO(REDwithInandOut)、BLUE等算法。比较起来，RED算法具有较低的排队时延、较高的分组通过度(Goodput)和较好的公平性，其主要思想是：路由器计算平均排队长度，当平均排队长度超过某一门限时，路由器按照一丢弃概率丢弃到达的分组，而这个丢弃概率是与平均排队长度成正比的函数。RED算法允许短时的分组突发，因而可以避免因为网络负荷变化造成的分组丢弃；R

43、ED能避免多个TCP连接同时的超时重传，从而保持高的带宽利用率；此外，RED算法还能较好的支持突发业务，且确定哪些连接使用了更多的带宽，并可以采取措施予以惩罚。FRED和RIO都是在RED上的改进或变种，FRED对每一个业务流(或连接)都实施单独的一个RED算法，这样能保证更好的公平性；RIO在RED的基础上又增加了一个门限值，在对DiffServAF业务的研究中多采用此算法。BLUE算法是IBM公司的研究人员最近才提出的另一种较新的队列管理机制，与其他算法不同的是：BLUE算法以“分组丢失率”和“链路有效利用率”作为判别拥塞是否发生的标准，而之前的算法都是以路由器中的“平均分组长度”作为拥塞

44、是否发生的判别标准。队列调度机制(QueueingSchedulingMechanism)不论在IntServ还是在DiffServ里，都涉与到队列调度问题。简言之，队列调度的功能就是路由器如何从多个(或一个)队列中选择下一个待转发的分组，这与队列管理机制有着本质的区别。根据不同的服务规则，队列调度算法可以分为以下几种：先到先服务(FCFS)、循环调度(RoundRobin)、处理机共享(ProcessorSharing)、优先级服务、随机服务等。目前已出现的队列调度算法主要有：基于循环调度的算法、基于GPS(GeneralizedProcessorSharing)的算法两大类。一个有效的队列

45、调度算法应达到的性能指标主要有：公平性、时延特性、对恶意业务流的隔离能力、链路带宽的利用率、复杂性等，前4个指标与QoS密切相关。基于循环调度的算法是轮流地对每个队列进行服务，其实现简单，但不能对业务提供时延保证，目前主要有WeightedRR、DeficitRR等。基于GPS的调度算法目前主要有：加权公平排队(WFQ)、自时钟公平排队(SCFQ)、VC(VirtualClock)等，它们(尤其是WFQ)能提供较好的公平性、时延特性以与对恶意业务流的隔离能力，但当队列数较多时，其实现复杂度较大。基于约束的路由(Constrained-BasedRouting)基于约束的路由(CBR)源自QoS

46、Routing，只是对QoS的限制参数进行了一定的扩充。CBR的有效实现需要各个路由器之间的相互配合，比如相互通知各自所知道的网络的一些状态信息(如链路的剩余带宽)。CBR的难点在于：如何在状态信息的精确发布和发布频率之间取得一个折衷。因为链路的剩余带宽在不断的变化，CBR既要避免状态信息发布的滞后性，又要避免不停地频繁发布状态信息。CBR的有效实现还有待进一步的研究。业务量工程(TrafficEngineering)业务量工程的主要目的在于尽量地避免网络拥塞的发生，以保证QoS。网络拥塞发生的原因可能有：网络资源(比如链路带宽、缓冲区)的不足、以与网络中业务的不均匀分布。当业务量不均匀分布时

47、，则有的链路处于过载状态而有的链路可能处于欠载状态，此时如果我们能够对网络中的业务流进行适当引导，则不必增加网络资源也可能消除拥塞。业务量工程的目的就在于：如何有效地引导业务流通过网络以便消除由于业务量不均匀分布而造成的网络拥塞。多协议标记交换(MPLS)和基于受限的路由都是业务量工程的有用工具，也是目前有待进一步研究的课题。我们将在网络工程实施中根据用户的实际情况，合理地采用以上介绍的队列管理机制，以保证关键和对延迟敏感的数据能有更高的优先级。网络安全性与与Internet的连接为了提高网通运营支撑系统的服务质量，满足用户日益扩大的需求，在这次系统设计中设计了与Internet的连接，实际上

48、网络的连通是很简单的，真正要着重考虑的是安全性的设计，而且对于这样的一个重要网络系统来说，安全是一个相当重要的问题，所以先简单介绍一下安全上的问题是很有必要的。网络安全问题概述在我们所设计的系统中，涉与了三种安全控制，即：网络安全性、处理机安全性和用户安全性。其中每台处理机的安全性可以通过UNIX的登录过程实施控制，用户级的安全性可以通过文件的所有者和文件访问权限机构来控制，这里着重讨论网络的安全性问题。随着计算机网络的发展，网络中的安全问题日趋严重，我们网络量存储和传输的数据都有可能被盗用、暴露或者篡改。网络中所面临的安全性威胁主要有下面几种：信息泄露：当通信各方通过网络进行交谈时，如果不采

49、用任何措施，别人就有可能“偷听”到通信的容，因此必要时可对通信的容进行加密。识别：如何识别进入计算机网络系统的用户是不是合法的呢？因此系统要有身份识别的功能。假冒：当网络中的某个节点冒名要求提供服务时，系统如何能够知道对方是否冒名呢？我们可以提供一个合法用户的数据库，采用TACACS 或RADIUS 协议对用户的身份进行鉴别。如果有人用PC机恶意伪造了一条路由信息，系统如何能够鉴别出哪些路由信息是可靠的呢？我们可以采用具有鉴别功能的路由协议，如“OSPF”；有的路由协议就不支持“鉴别”功能，如“RIP”。篡改：为了防止报文在转发过程中被第三者所篡改，可以在应用层对用户的报文进行加密或校验。恶意

50、程序的攻击：除了上述用户之间通信中的信息安全问题之外，网络本身也容易遭受到一些恶意程序（rogue program）的攻击，如computer virus, computer worm, Trojan horse, logic bomb 等。根据网络安全性的具体实现方式，可以分为两种：通过分散式的安全控制机制实现网络的安全性和通过集中式的安全控制机制实现网络的安全性。网络安全问题的解决知道潜在的入侵者要了解哪些人会对你在网络中的感兴趣以与他们感兴趣的原因，要知道他们可能采用的方法以与可能对网络造成的损失。为了了解这些情况你可能会作出一系列假设，比如：入侵者的水平比网络的管理者要低、入侵者只可能

51、使用一些常见的程序、把某些重要文档（如口令等）锁在抽屉里是安全的，等等。要验证这些假设的可靠程度。我们的目的是确保网络对阻止那些可能的入侵者来说是可靠的。控制的扩散一些重要的信息，如高级别的口令，其可能的传播围要进行限制。最好能养成一个周期性更换口令的习惯。当网络所有者的领导层作出变动时，应尽快地更换口令。养成不用普通 机和公用传输消息的习惯。养成把废弃的纸用碎纸机碎掉的习惯。访问控制（Access Control）必须对访问网络的权限加以控制，并规定每个用户的接入权限。由于网络是一个非常复杂的系统，其访问控制机制比操作系统的访问控制更为复杂，尤其是在高安全性级别的多级安全性（multilev

52、el security）的情况之下更是如此。在这里我们使用了一个被广泛使用的“防火墙”的概念，我们可以把防火墙看作是一个数据流的过滤器，只有我们所期望的数据流才能够通过这个过滤器，而其它所有的数据流都不能通过，防火墙可以是双向的。防火墙使用的最典型的例子是：一个局域网为了防止广域上所连接的其它用户对本网的访问，在广域到局域的入口处设立防火墙。我们可以在路由器上设立access-list 实现防火墙的功能。通过防火墙，我们可以给不同的用户提供有区别的访问权限，我们也可以把网络中的些重要资源保护起来而开放其它所有的资源。在局域网的部也可以实现防火墙的功能：我们如果需要限制局域网部的某些用户对一些资

53、源的访问，可以把这些用户划分到一个“虚拟网”中，在这个虚网和其它的资源之间设立防火墙。通过集中的安全控制机制实现网络的安全性我们可以把对用户身份的鉴别以与对权限的验证等功能分散在各个远端的路由器和访问服务器上实现，如下图所示：在某些大型网络的初期为了安装调试的方便我们一般先采用分散式的安全控制机制，在一些小型的网络中也可以采用这样的机制。这种方式的优点是配置比较简单，但是存在着许多不足：首先是各个数据库的管理问题。由于数据分散在所有的路由器和拨号访问服务器上，对这些数据进行管理是一个非常头痛的问题，管理者要对所有数据库中的数据非常清楚，一旦某些口令等数据泄漏需要修改，往往是大动干戈。其次是安全

54、性的功能受到限制，因为路由器和拨号访问服务器毕竟不是专门为安全性设计的设备，上面也不可能有安全性功能很强的软件。在这种情况下，往往需要有一台专门用于保证安全性的服务器，连接在这个网络的所有用户，不管它需要以什么样的方式访问网络设备，都必须通过服务器的安全性监测。由于服务器上可以运行功能很强的安全性方面的软件，可以满足我们的需求。在路由器、拨号访问服务器和安全服务器之间传送的可以是经过加密的有关网络安全协议的数据流。通过这种集中式的安全控制机制，我们可以实现鉴别（authentication）、授权（authorization） 和记帐（accounting） 的所谓“AAA”功能。当网络的管理

55、者觉得需要对数据库的数据作修改时，可以随时进行，而且这种修改的过程很简单。为了保证安全数据库的可靠性，我们可以在网络上设置不止一台的安全数据库；即使在所有的安全数据库都发生故障的情况之下，还可以设置成利用路由器中的数据库实现分散的安全控制方式。我们对系统安全的建议在广域网通信的链路层，我们采用PPP的CHAP来保证数据的安全。在网络层，可以选用下列方法增强网络的安全性。对网络通信数据进行监测，当某些TCP和UDP包的socket与设定值一样时，禁止传送该数据包。比如要想禁止远程登录某台主机，可以监测发到该主机的数据包，发现数据包是TCP包，而且socket值等于23，则将该包丢掉。利用路由器的

56、access-list表，只允许某些IP从某些端口输入或输出；将路由器口令在配置文件中加密，不以明码方式显示；在系统正式运行时，使用TACACS+服务器，集中管理所有路由器和交换机的口令；在所有能够登录到路由器的端口上均设置口令，包括console 、AUX和异步口。路由表的交换采用认证机制，OSPF支持MD5认证。与非信任型网络连接，比如公众信息网、外连网等，采用防火墙隔离。对于采用拨号方式访问网络，建议采用一次性口令认证方式和回拔技术。可以利用加密方式，选择对高度敏感的数据进行加密传输。以上所有的安全性措施都将在一定程度上影响到系统的性能，而且如加密则更需要IOS软件的版本支持，在使用时应

57、作相应的考虑。采用IDS实时监控，防止非法和恶意侵入。采用Scanner技术，搜寻网络安全漏洞。与Internet的连接如图所示，在西南各省（市、区）中心设置了一台防火墙，将网与外网隔断，而作为用户WEB查询用的服务器则置于外网中，用户访问时，不会直接进入网，而只和查询服务器发生关联，再由查询服务器也只能由查询服务器进入网寻找到用户所需的数据。这样就可以基本上保证系统的安全性。拔号的安全在有些地方我们可能要用到拔号，也提到了拔号在安全上的隐患，所以我们考虑采用回拔和访问控制来解决这个问题。回拔技术，就是在主叫方产生拔号建立连接后，被叫方在一刹那间切断通路，反过来拔主叫方的从而建立连接的技术。这

58、个回拔的过程是非常短的，对用户没有影响。这个拔号进行之前，被叫方已经将各允许的主叫方人工的记录在其列表中，回拔中有一个校验的步骤，也通过这个步骤控制了拔叫的地点（）。对于拔号用户，可以分为两类，一是营业厅，二是代理点。对营业厅，它完成的业务多一些，因此也应具有较高的权限；对代理点，不应让其访问过多的数据。这可以通过给予不同的用户名和口令，再对这些用户名和口令作不同访问限制的方法来实现，也可以能过对地址的访问控制实现，具体选用哪一种还要看实际情况加以选择。可能看到，为了实现这些功能，使用集中的访问控制是必要的，它不但可以保证网络不受侵犯，也可以记录下对于网络的操作，监测各种用户的访问。安全没有绝

59、对的，但根据我公司多年的实践经验，我们认为这些方法的实施后，网络系统的安全是基本上可以保证的。网络管理集中式系统管理集中是大趋势，根据我们对网通运营支撑系统的分析，我们采取了分省（区、市）集中的管理模式，运营支撑中心负责对全网节点进行网络监控，故障管理、网络业务等统计，网络性能监测，路由管理与设置，安全管理等。为了在网管系统中更进一步地管理网络设备，实现对所有端口的配置、监控和维护，我们认为本网络中选用同一家原厂商网络设备，同时选择其网络管理软件对网络设备进行管理是最为合理的。联创系统集成股份能够向用户提供高质量的技术支持和服务，主要包括：简便、易学的产品配套技术手册和文件、高水平的技术培训教

60、材与授课教师，以与迅速、有效的客户响应，联创公司先后参与了多个大型网络工程，在工程中积累了丰富的工程经验。联创对网络管理的理解和建议 进入90年代，“网络就是计算机”已不再是一个计算机技术发展的口号，而是成为活生生的现实。尤其是网络科技的迅猛发展，不断使全球的信息产业高潮迭起。今天，世界各地区的Internet热潮还在持续，而Intranet（企业部网）又再掀波澜。网络，网络，还是网络!到处都在建立网络、使用网络。各行各业要想与信息时代的步伐合拍，也实实在在离不开计算机网络。现在，无论从美国、西欧和日本等发达国家的网络来看，还是纵观我国的网络发展现状，我们可以得到这样一个结论：随着计算机网络广