校园网技术方案书

目录1 概述 11.1 校内网建设背景 11.2 旅游职业学院校内网建网需求分析 2 一般建网需求 2 旅游职业学院建网需求 31.3 整体建网原则 32 总体网络设计 42.1 网络拓扑设计 42.2 核心层设计 52.3 汇聚层设计 62.4 接入层设计 73 网络业务设计 103.1 IP地址规划 10 IP地址安排原则 10 IP地址规划方案 113.2 VLAN的划分 11 划分VLAN的必要性 11 划分VLAN的方法 13 VLAN规划 144 网络管理方案 164.1 网管系统需求 164.2 统一网管设计 164.3 iMC智能网管平台 20

概述校内网建设背景我国互联网事业正在持续快速的发展，并在普及应用上进入崭新的多元化应用阶段！互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。同时，随着国家信息化工作的深化开展，提高教化系统信息化水平成为当前工作的重点。而校内网建设则是教化系统信息化建设的关键，尤其是校内网建设。在信息化的建设过程中，它的作用体现在如下几个方面：1、校内网能促进老师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到好用的学问，必需给他们供应一个实践的环境，这个环境离不开校内网。2、校内网为老师供应了一种先进的协助教学工具、供应了丰富的资源库，所以校内网是学校进行教学改革、推行素养教化的一种必不行少的工具。3、校内网是学校现代化管理的基础，深化、全面的学校信息管理系统必需建立在校内网上。4、校内网供应了学校与外界沟通的窗口，学校应将校内网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校内网去了解世界、在互联网上树立学校的形象都是很简洁的。教化即将来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教化界当前最为紧迫的任务之一。信息技术的应用，势必极大地推动教化手段和教化内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。旅游职业学院校内网建网需求分析一般建网需求旅游职业学院的网络建设本次主要是校区网络新建。在实际的建设过程当中，应当充分考虑到学校内部的校内网多业务以及特色业务等扩展性，如：校内网内部的服务器的访问，由于学生的访问的内容多样化确定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析旅游职业学院网络基础设施建设和网络运营方面相关的内容。旅游职业学院校内网络建设从网络流量模型上看和企业网的流量模型相像，用户集中而网络流量大，但实际应用上还存在很多和企业网不同的地方。主要特点如下：1、用户管理的需求：运用便利，存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、用户费率查询、带宽动态调整（隐性需求）、多WEB界面（隐性需求）等。须要解决账号和端口绑定问题。通过此种方式限制账号的运用区域。对用户带宽进行限制的需求，要求设备能对用户的带宽进行限制，譬如限制为64K、256K、512K、1M、2M、5M、10M等等级。2、多种教学方式并行的需求：随着校内网的信息化的发展，越来越的多教学方式依托于网络给学生供应多种的特色教学模式多媒体教学。为了更好的为学生供应全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生供应多种教学资料，如：多媒体教学课件、典型的考试资料等等供应应学生上网下载运用。VOD点播业务实现，通过建立VOD视频服务器平台，利用交换机供应的组播功能，为旅游职业学院的用户供应优质的视频效果，同季节约用户带宽。3、平安管理的需求：校内用户接受簇新事务的实力特别强，因此校内也成为黑客最多的场所之一，如何保障校内网络的平安成为建网时不得不考虑的问题，目前主要攻击手段有DoS，DDoS等上网日志的需求，主要是协作公安机关保证社会的稳定和校内的平安4、组播业务的需求，特殊是可控组播的需求将随着校内信息化的深化而体现出来。对于后期建设的校内监控和电子监考工程也须要网络对组播特性有良好的支持。5、多出口需求：典型的组网有中国教化和科研网（CerNet）出口和公网出口。多出口带来了以下两个需求：多权限ISP需求。用户可通过不同的账号名或采纳相同的账号，不同的域名认证，获得不同的上网权限。多ISP分别计费的需求，对应不同的ISP，计费策略不一样。6、WLAN的需求：随着WLAN技术的成熟，在校内网内（如会议厅、图书馆等）部署WLAN也日益成为热点。因此在规划中须要考虑WLAN的规划。旅游职业学院建网需求旅游职业学院系统分为三级，核心层、汇聚层、接入层。整体建网原则早期的校内网主要是共用内部教化系统主机资源，共享简洁数据库，多以二层交换为主，很少有三层应用，存在“平安、可管理性较差、无业务增值实力”等方面的问题。现在旅游职业学院校内网建设要实现内部全方位的数据共享，应用三层交换，供应全面的QoS保障服务，使网络平安牢靠，从而实现教化管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，供应可增值可管理的业务，必需具备高性能、高平安性、高牢靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于对旅游职业学院校内网业务需求的深化理解，结合自身产品和技术特点，H3C公司推出了了完善的旅游职业学院校内网解决方案，为旅游职业学院供应“可管理、可增值、可持续发展”的精品网络。旅游职业学院网络建设遵循以下基本原则：高带宽为了保障全网的高速转发，校内网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特性，整网的核心交换要求能够供应无瓶颈的数据交换。可扩充性考虑到旅游职业学院用户数量和业务种类的发展，要求对于核心交换机与汇聚交换机具有强大的扩展功能，旅游职业学院校内网络要建设成完整统一、组网敏捷、易扩充的弹性网络平台，能够随着需求变更，充分留有扩充余地。开放性技术选择必需符合相关国际标准及国内标准，避开个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满意信息精确、平安、牢靠、优良交换传送的须要；开放的接口，支持良好的维护、测量和管理手段，供应网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。平安牢靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路爱护，供应网络平安防范措施。总体网络设计网络拓扑设计网络采纳星型结构组网，充分考虑到了网络骨干的高带宽、高牢靠性，整网采纳高牢靠性设备作为核心交换机，设计运用双引擎，双电源保障核心自身的牢靠性。下行运用光纤连接到各楼宇汇聚，供应高速率的上行带宽，保障多种教学业务，特殊是多媒体、语音等教学课件的高速传输。核心交换机采纳多级交换架构，交换网板和引擎分别设计，这样实现限制和转发的进一步分别，提高设备稳定性和性能。CLOS多级交换架构代表将来的交换技术最先进的技术。各个汇聚层的交换机则通过单模千兆光纤连接到接入层的交换机，接入层交换机为千兆到桌面。拓扑图如下：核心层设计核心层负责整个网络的数据交换，同时也是整网（LAN）的路由中心，全网第三层、第四层操作都通过核心节点集中进行。核心交换机供应局域网内用户对服务器群的高速访问。为了充分保障核心交换平台的高牢靠特性，我们供应的核心交换设备采纳分布式结构，并且为多级交换架构。配置双主控交换板，无源背板设计，全部单板支持热插拔；电源系统采纳1+1冗余热备份，并支持多路电源输入；支持STP/RSTP/MSTP协议和VRRP协议，能够满意苛刻的电信级网络牢靠性要求，系统牢靠性达到：99.999％。本次网络建设举荐的核心交换机是H3C公司面对以业务为核心的企业网络架构而推出的新一代高端多业务路由交换机。该产品基于H3C公司自适应平安网络的技术理念，在供应稳定、牢靠、平安的高性能L2/L3层交换服务基础上，进一步供应了业务流分析、基于策略的QOS、可控组播等智能的业务优化手段，从而为企业IT系统构建面对业务的基础网络平台，实现通信整合，数据整合奠定了基础。网络核心的服务器区域，包括网络管理服务器、数据库服务器、认证计费服务器、一卡通服务器、流媒体服务器等等。该区域在网络建成后主要供应内网服务，远程教学、视频点播等业务都由该区域设备供应。方案通过数据中心接入交换机汇聚后，接入到园区网核心。汇聚层设计汇聚层运用依据不同楼群的接入点密度，可以选用华三公司全千兆智能三层交换机，上行连接核心交换机上，同时全千兆下行连接接入层交换机，主要负责旅游职业学院各大楼的数据汇聚。汇聚交换机具备强大的IRF堆叠实力。基于最长匹配的路由策略。系统采纳逐包转发方式，保证了全部报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防卫实力，有效保证了设备平安。支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还可以通过敏捷的MAC、IP、VLAN、PORT随意组合绑定，有效的防止非法用户访问网络。支持DUD（DisconnectUnauthorisedDevice）认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令爱护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。具有丰富的QoS特性，支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7困难流分类，充分保障了困难网络对于QoS规则的要求。在本次组网中特别适合从事汇聚层面的工作。接入层设计接入层是干脆与用户相连的设备，运用数量较多，分布较广，所以接入层交换机应当具备较高的性价比，并可支持远程供电和远程管理。H3C的接入交换机支持强大的二层功能和ACL功能，可有有效保障局域网的平安。局域网上的一台主机，假如接收到一个ARP报文，即使该报文不是该主机所发送的ARP恳求的应答报文，该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。图1-1以太网ARP协议报文结构ARP欺瞒攻击就利用了这点，攻击者主动发送ARP报文，发送者的MAC地址为攻击者主机的MAC地址，发送者的IP地址为被攻击主机的IP地址。通过不断发送这些伪造的ARP报文，让局域网上全部的主机和网关ARP表，其对应的MAC地址均为攻击者的MAC地址，这样全部的网络流量都会发送给攻击者主机。由于ARP欺瞒攻击导致了主机和网关的ARP表的不正确，这种状况我们也称为ARP中毒。图1-2ARP欺瞒攻击是如此简洁由于ARP中毒后，全部的流量都须要经过攻击者进行转发。假如攻击者具有转发实力，在攻击起先和攻击结束是都会引发一次网络中断，攻击过程中网络速度变慢，网速变慢缘由跟发送大量的ARP流量消耗了带宽以及其本身处理实力有限有很大关系；假如攻击者不具有转发实力，网络出现传输中断，直到攻击停止及ARP表复原正常。接入交换机防卫ARP攻击，识别并读取ARP报文内容，然后依据报文内容推断是否存在欺瞒攻击行为，对于ARP欺瞒报文进行丢弃处理。图1-3接入交换机部署ARP入侵检测ARP入侵检测在接入交换机进行部署，接入交换机同时启用DHCPSnooping对DHCP报文进行监测。DHCPSnooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息，并形成一个DHCPSnooping绑定表。交换机端口接收到的ARP报文后，通过查找DHCPSnooping建立的绑定关系表，来推断ARP应答报文的发送者源IP、源MAC是否合法。若ARP报文中的发送者源MAC、IP匹配绑定表中的内容，则认为是合法的报文，允许通过；否则认为是欺瞒攻击报文，就进行丢弃。ARP入侵检测能够防止接入终端发起任何ARP欺瞒攻击，假如全网部署AII功能，可有效解决ARP欺瞒攻击问题。另外由于ARP欺瞒攻击，常常伴随者发送大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度的速度降低。因此接入交换机还须要部署ARP报文限速，对每个端口单位时间内接收到的ARP报文进行限制，很好地保障了网络带宽资源和交换机CPU资源。网络业务设计IP地址规划IP地址的合理规划是校内网网络设计中的重要一环，大型计算机网络必需对ＩＰ地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将干脆影响到网络应用的进一步发展。IP地址安排原则为保证对于上网学生的可查询性，且考虑到10.xxx.xxx.xxx私网地址不存在短缺等因素，建议旅游职业学院的IP地址采纳10私网IP地址接入的方式进行建设。要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和敏捷性，同时能满意路由协议的要求，以便于网络中的路由聚类，削减路由器中路由表的长度，削减对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变更的收敛速度，同时还要考虑到网络地址的可管理性。具体安排时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采纳相同的IP地址；简洁性：地址安排应简洁易于管理，降低网络扩展的困难性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址安排在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性敏捷性：地址安排应具有敏捷性，以满意多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当校内网以私网地址安排或采纳混合网络地址接入时，要求校内网供应地址变换功能，过滤掉私网地址。IP地址规划方案内部地址的安排原则是按建筑物进行的，视用户的数量，1/4、1/2、整个私网的划分。对于相对固定不变的教学区采纳静态安排IP地址，为防止地址盗用，采纳IP地址与端口、地址绑定；对于流淌性大、用户人数多、用户增长快的学生区采纳动态安排IP地址，采纳ByPort的Vlan，小范围地限制地址盗用问题。静态IP地址对于用户来说可以实现对应物理位置的查询，对全网的IP地址与物理位置的对应有全面、牢靠的管理。对于服务器、网络设备互连端口地址、设备Loopback地址建议运用静态IP地址，而且各属自不同的IP地址段，有利于骨干路由表的简化与路由的快速处理；VLAN的划分划分VLAN的必要性VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个限制点，它由软件进行管理，所以允许用户利用软件功能敏捷地配置资源，管理网络。利用交换设备中的虚网功能，不必变更网络的物理基础，即可重新配置网络。采纳虚网功能，网络性能可以获得较大的改善：1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。2.采纳虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采纳虚网技术能减轻系统的扩容压力，将迁移费用降至最小。3.采纳虚网技术能有效隔离网络设备，增加网络的平安性和保密性。虚拟网络的平安策略采纳的主要协议为IEEE802.1Q，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。4.虚网技术能对属于同一工作组的用户供应广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节约网络带宽。5.虚拟局域网可以建立在不同的物理网络上，用封装的方法支法支持不同的网络协议络协议，如SNMP、NMP、IPX、TCP//IP、IEEE802.33等，兼容性特别好性特别好。6.虚拟网络中的主要应用技术为“虚网中继”，VLANTrunking特有技术的采纳也成成为了必定。必定。简而言之，VLANTrunking主要是通过一条高速全双工通道来实现将将一个LANSwitch端口所划分的不同VLAN与其它LANSwitch中各自相应的VLAN成员进行线路复用连接的技术。VLANTrunking技术的采纳，既节约了信道数据量，又提高了牢靠性，并便于管理及便利连接，提高了整个网络吞吐量和性能指标。其原理如下图所示：假如采纳VLANtrunking的技术，则V1、V2、V3均可通过一条全双工的100Mbps，即200Mbps的速率与上级LANSwitch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLANtrunking技术的优点在于采纳一条高速通道连接，提高了通道的运用效率，如在，如在V2，V3多数据量的状况下，V1可以独占此100M带宽；并且可以使得线路的连接变得简洁，从而大大提高牢靠性与易维护性。划分VLAN的方法H3C公司的E系列接入交换机不仅能够支持标准的802.1QVLAN，还能实现端口之间的隔离。我们可以运用E系列支持的P-VLAN（primary-vlan）这个特性，一方面实现用户之间的隔离，另一方面可以为三层交换机节约VLAN资源。E系列可以屏蔽下面的VLAN划分，仅向三层交换机供应一个VLAN信息，在边缘交换机实现了端口可以同时属于多个Vlan；如图所示：其中端口1为uplink端口，端口2，3，4为接入端口；Vlan1：包含端口：1，2，3，4，5Vlan2：包含端口：1，2Vlan3：包含端口：1，3，4Vlan4：包含端口：1，5设计中采纳了几个secondaryvlan包含在一个primaryVLAN中的方式，给用户供应了敏捷的配置方式。假如用户希望实现二层报文的隔离，可以采纳了为每个用户安排一个secondaryvlan的方式，每个vlan中只包含用户连接的port和uplinkport；假如希望实现用户之间二层报文的互通，可以将用户连接的端口划入同一个VLAN中；同时创建primaryvlan，该vlan包含全部secondaryvlan中包含的端口和uplink端口，这样对上层交换机来说，可以认为下层交换机中只有一个primaryvlan，用来标识设备，而不必关切primaryVLAN中的端口实际所属的VLAN，简化了配置，节约了VLAN资源。primaryvlan中的全部端口都不是802.1Q的trunk端口，包括与其它交换机相连的uplink口。每个port的PVID就是它所属secondaryvlan的ID；uplink端口的PVID是primaryvlan的ID；我们建议在接入交换机上依据各个部门之间的逻辑关系进行敏捷的VLAN划分。可以让一个楼层对应于一个PVLAN，楼层内的不同部门分属不同的SencondaryVLAN。这种划分方式中，可以对用户能实现动态的VLAN+MAC+IP绑定，可对用户发动的伪造攻击报文进行合法性检查和过滤，具有肯定的网络平安性保障。不同VLAN间的互访，必需经过三层交换机进行转发。VLAN规划我们建议按不同的业务运用主体来规划整个旅游职业学院的VLAN资源。如：学生宿舍1、学生宿舍2、老师、校管理人员等。为了减小广播域，建议VLAN终结在汇聚层的三层交换机上，每个VLAN内的主机数量原则上不要超过250台，建议每个VLAN内的PC机数量限制在50台以内。VLAN的划分可以依据不同的业务部门进行也可以依据用户所处网络的物理结构进行，后者主要是从网络性能角度动身，而前者还兼顾了网络平安性可控性的须要。依据实际业务部门办公环境的分布状况来看，在大部分状况下，两者实现了重合，而对于少数由于办公地点不同，隔离在不同汇合点的相同业务部门，我们则举荐第一种方式。将端口安排给VLAN的方式有两种，分别是静态的和动态的。静态VLAN：形成静态VLAN过程是将端口强制性地安排给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。对于学生宿舍，老师办公等用户相对集中的区域，建议采纳这种部署方式，将VLAN部署在用户对应的汇聚交换机端口上。动态VLAN：我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。用户权限数据一般存储在CAMS或接入认证系统UAM（后台综合访问管理服务器）中，CAMS依据用户端的权限归类，在认证通过之后向二层交换机作动态的VLANID下发配置。此时，二层交换机要支持VLAN的动态配置功能（H3C全系列交换机支持）。从广播限制角度动身，为了保障网络的高可用和高性能，我们建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过250台，最好限制在50台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。管理VLAN：作为特殊VLAN的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，须要与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLANID=4000,VLAN4000与VLAN1在第三层上相通，同时，部分业务VLAN可以访问VLAN4000，从而实现网管的分布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置访问限制列表，只有特定的主机或者只有网管VLAN可以干脆访问每一台设备，其他均在过滤之列。对于服务器建议单独设置在一个VLAN中。业务VLAN可以依据部门的类别进行划分，每个部门划分一个VLAN，部门人数超过50名的应当划分为两个VLAN，以保证交换的性能，业务VLAN的命名建议采纳VLAN100作为第一个业务VLAN，然后依据数字序列进行划分，始终到VLAN123。本次建议在旅游职业学院网络中采纳静态VLAN划分方案来部署。网络管理方案网管系统需求网络管理包括有三个部分：网管平台、设备管理系统、业务网管。网管平台则须要对全网进行管理，要有拓扑发觉功能等，它力求全面地覆盖企业IT业务的各个方面。网元管理系统一般均由设备原厂商供应，实现对网络设备的故障管理、配置管理和性能管理、故障管理等。另外，对于困难业务，如MPLSVPN和QOS管理等业务，一些领先厂商供应了专业的业务网管系统，如VPNManager和QoSManager。统一网管设计通过在网络中心安装集中网管系统，通过带内的方式实现对整网设备的统一管理，供应集中、统一、分级、分权的网元管理、网络管理功能，并实现部分业务供应功能。网管系统采纳先进的组件化结构，可以对全网设备集中管理。在新老校内网中供应分级的网管中心，供应不同的管理权限，每个校内网的网管仅能管理本园区的网络设备。对于全网设备可以设置一个中心一级的网管中心，对全部网络设备进行管理。网管系统对全部设备的管理采纳带内方式，通过SNMP协议由网管中心服务器发出管理信息报文，各宽带网络设备上的网管代理进行本设备运行状态，数据信息的收集，然后通过SNMP协议将本网络设备的网管信息上报给网管中心服务器，由网管中心服务器统一对上报的网管信息进行处理和分析，然后通过SNMP协议下发限制吩咐，由各设备网管代理接收限制吩咐后，完成对本设备的管理和限制。分级网管的设置可依据要求敏捷设置，可将分级网管服务器放置于各园区一个局域网内（最好各园区选择一个网络管理中心同时作为本园区网络的信息资源共享中心），也可采纳UNIX远程客户端的方式将网管终端放置在远程，此时网管终端与网管服务器之间的信息沟通也是通过带内通道完成的。综合网管系统应当能供应如下管理实力：拓扑管理拓扑管理用于构造并管理整个通信网络的网络拓扑结构，通过自动上载网络设备的拓扑数据形成与实际网络拓扑结构相同的网络拓扑视图。运行中通过对网络设备进行定时（依据用户设定的每一设备的状态与配置轮询间隔时间）的轮循监视与设备上报TRAP或告警处理，保证显示网络视图与实际网络拓扑一样，用户可通过阅读网络视图来实时了解整个网络的运行状况。网管系统的拓扑视图是采纳分层结构的，其中拓扑顶层显示的子图称为视图，依据被管对象的种类和实际需求抽象出了几种视图显示在拓扑的顶层，目前包含了三个逻辑视图（IP设备视图、交换设备视图和接入设备视图）和一个物理视图。在这些视图下是子网，它是具有相同属性的设备的集合，在子网下就是具体的网络设备，子网也可以再包含子网。其中逻辑视图中只包含了各自类型的网络设备，它反映了网络设备之间的逻辑关系，而物理视图中的子图和设备是用户自己设定的，用户可以依据地理位置去创建物理子图并定义它们之间的连接关系。IP视图用于IP层网络拓扑的管理，描述整个基于IP路由器的IP网络的网络层拓扑结构，主要包括路由器、LANSwitch、接入服务器和计算机等IP设备。基于IP路由器的网络拓扑结构分成两层，上层由路由器和IP子网组成，IP子网表示某一传输类型的物理网络，如以太网，FrameRelay网等，在同一IP子网下的全部设备具有同样的IP子网地址设置；路由器和IP子网之间通过路由器端口连接，如以太网口，FrameRelay广域网口等。路由器和路由器之间的连接有两种：一是通过IP子网连接，如两路由器通过以太网或FrameRelay网互连；二是干脆的点到点连接，如PPP连接等。物理视图用于反映网络设备之间的物理关系和连接，用户可以自由创建物理子网，在物理子网中加入逻辑子网中已经存在的设备，建立它们之间的连接关系。拓扑管理主要操作有增删设备或子网，查看节点、链路或子网的状态，通过定时轮询或手动启动对任一设备的状态或配置数据轮询，实时刷新拓扑显示数据。拓扑管理还具有变更背景图象、设置网络对象属性、保存拓扑视图修改、查找网络对象、显示网络对象信息、拓扑视图显示效果设置等功能。用户可对每个子网设置背景图象（gif）格式，背景图象的大小依据窗口大小自动调整。配置管理网管系统供应全网阅读树和设备面板图对配置进行维护。全网阅读树把网络中的全部设备按不同的分组方式组织在一个树形结构中，操作者可敏捷切换要进行配置操作的设备。对全部设备和设备组件的操作都通过右键菜单来完成。用户右键点中待管理的对象，系统将自动弹出该设备或设备组件所对应的管理菜单，全部设备和设备组件（如端口等）的配置、实时性能管理功能都可通过该右键菜单完成。本阅读树可装载并显示全部路由器，以及其它支持SNMP协议的设备端口数据，在阅读树中的端口显示数据包括：端口状态，端口索引，端口类型，IP地址，掩码设置（如设置有），用户右键点中该端口即可弹出该端口所对应的配置菜单。通过在拓扑图上双击拓扑设备节点启动设备面板图，在面板视图上对设备进行配置；设备面板图和全网阅读树所供应的配置功能是完全一样的。在面板上进行配置显得更直观，供应设备的机架视图，实时显示各单板的状态和告警信息，对于面板中的每个单板节点，供应右键弹出菜单，该菜单是针对该单板的一系列的应用，包括配置，性能、维护管理等；而全网阅读树则是供应了一种对全网设备进行管理的手段，在配置较多的设备时比较便利。故障管理故障管理主要包括对全网设备的告警信息和运行信息进行实时监控，查询设备的历史告警信息和运行信息，定义发送过来的SNMPTrap，查询和配置设备的告警表。故障管理系统收集和处理设备告警。设备告警包括SnmpTrap和MML格式的告警，前者告警来源为SNMP设备，大部分数据通信设备支持SNMP。Trap和Alarm可以同屏显示也可以分屏显示。（以下叙述中“告警”如无特殊说明包括SnmpTrap和MMLAlarm）。故障管理系统包括故障管理后台、实时告警显示、历史告警显示、Trap规则定义工具，故障监视面板和当前故障窗口。故障管理后台接收设备告警、写数据库、发送给实时告警前台显示，假如有其他应用关切某些类型的告警，还要上报给该应用。实时告警显示从故障后台实时接收设备告警并显示；历史告警显示从数据库检索告警并显示；实时告警显示和历史告警显示都支持过滤条件，可以检索指定设备（一个或多个）的告警，也可以按类别检索指定类型的告警。Trap规则定义工具主要是定义SnmpTrap的描述信息。因为SnmpTrap是二进制编码，Trap规则定义了该二进制流中各字段的描述信息。故障管理后台接收设备发送的Trap后依据当前的Trap规则定义对Trap进行说明，将说明后得到的告警数据写入历史告警库，并发送给前台程序。MMLAlarm本身是ASCII字符流，故障后台经过适当的字段定位后干脆入库和发送给前台进程。故障监视面板为您供应了一个直观的了解设备故障状况的工具，它可以供应单个设备或全部设备的告警