东南汽车网络平台方案.docx
《东南汽车网络平台方案.docx》由会员分享,可在线阅读,更多相关《东南汽车网络平台方案.docx(19页珍藏版)》请在冰豆网上搜索。
东南汽车网络平台方案
东南(福建)汽车
网络平台方案建议书(V1.0)
宏智科技系统集成公司
2003年5月
资料版本:
V1.0
日期:
2003年5月
密级:
公开资料内部资料保密资料机密资料
状态:
初稿讨论稿发布
版权声明
宏智科技系统集成公司©2003
2003年版权所有,保留一切权利
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文的部分或全部,并不得以任何形式传播。
Copyright@2003byWholewiseSci.&Tech.Co.,Ltd.
AllRightReserved.
NopartofthisdocumentmaybereproducedortransmittedinanyformorbyanymeanswithoutpriorwrittenconsentofWholewiseSci.&Tech.Co.,Ltd.
文档控制记录
修改记录
日期
作者
版本
修改记录
2003-5-9
胡晓明
1.0
发布稿
审阅
姓名
时间
职位
丁斌
2003/5/9
宏智科技系统集成公司副总经理
分发
拷贝No.
姓名
分发时间
单位
1
郭敏
2003/5/9
宏智科技系统集成公司
目录
东南(福建)汽车
网络平台方案建议书
1网络现状
目前东南(福建)汽车已经初步构建了企业协同商务网站。
东南(福建)汽车总部通过中国电信宽带高速接入互联网,各分支机构及合作伙伴通过各种宽、窄带方式接入互联网,登陆网站。
初步实现动态的交易流、物流信息的流动,提高了与合作伙伴的交易效率,降低交易了成本。
这种组网方式便于建设,能够快速满足企业初期对信息化的需求。
随着企业信息化进程的深化,缺点也非常明显:
●网络的实时性较差。
●网络的可管理性不高。
●网络安全性较差。
●网络传输的速率低,带宽没有保障。
2网络设计原则
东南(福建)汽车在不断适应业务需求对电路带宽升速的同时,迫切需要对网络资源进行整合,在保证各业务质量的前提下,降低成本,增强安全性和可维护性。
整合改造后的的网络应符合下列原则:
2.1先进性原则
网络建设高起点,充分采用先进成熟的网络技术,实现实时数据、非实时数据、语音、视频等多媒体信息的综合应用。
网络设计既要满足当前东南(福建)汽车所传输业务数据的需要,同时又要保证适应今后一段时期内东南(福建)汽车业务发展的要求。
2.2可靠性原则
网络设计必须保证网络中设备、电路均安全可靠,关键设备、电路要有冗余备份,并采用先进的容错技术和故障处理技术,保障数据传输的高可靠性,保证网络可用性达到使用要求。
2.3安全保密性
网络设计时,必须制定出一套完善的网络传输安全和信息安全保证和防范措施,以保证数据在传输和处理过程中的安全性。
2.4可扩展性
随着用户网络规模的扩大、功能的完善,现有网络应能够在不影响网络用户正常使用的情况下,灵活、方便地进行网络扩容。
要考虑到具备未来升级方便、以满足业务的不断发展、业务量的逐渐增加、分支机构的增加以及调整业务流向所需要的网络环境和条件。
2.5开放性和互联性
要能够提供多种网络接口,支持多种通信传输协议,是一个互联性能好、开放型的网络。
2.6经济合理性
通过技术经济比较,性能价格比较,选择优化的网络结构和网络技术,尽可能利用和保护现有设备。
3建设目标
为实现东南(福建)汽车网络平台的建设与应用需求,我们将通过先进、安全的通信与传输技术、计算机网络技术和高性能电信网络设备,统一通信平台、系统平台和开发模式,改善东南(福建)汽车与大型驻外机构的网络联接,构建承载东南(福建)汽车城内主厂和各协力厂间的现代化管理和经营体系的内部宽带基础设施(光纤物理网),逐步有计划地实现与既有业务系统的融合,从而实现整个东南(福建)汽车企业内部财务、分销、服务、办公自动化等信息与应用的共享和交流。
本次传输及网络平台建设项目,整体系统涉及范围广、站点多、地理范围分散,这些都给网络的规划与建设提出挑战。
我们以极大的信心和饱满的热情参与东南(福建)汽车网络系统的项目,本着服务于实际应用、保护客户投资、着眼未来发展的原则,为东南(福建)汽车提供包括网络设计、设备选型、工程实施、技术支持与售后服务在内的个性化一站式解决方案。
我们有决心积极参与此次东南(福建)汽车网络平台建设的各项活动,有信心圆满完成东南(福建)汽车网络建设工程。
4广域网
广域网设计思想
Ø采用层次化网络结构模型设计
Ø采用正确的网络拓扑保证网络的高效率和可靠性
Ø采用合适的路由协议保证网络的可扩展性
Ø保证广域网上的网络安全性,防止任何非授权的人员进入网络
Ø采用恰当的方式实现网络资源的备份和数据分流
4.1广域网连接方案设计
根据东南汽车的需求,在广域网络上,为了将来能够通过多种方式与分布在全国各地的分销点和维修中心连接,为了广域网上可以采用ATM/FrameRelay专线,MPLSVPN,VPDN,IPSecVPN等几种主要的组网方案,同时出于保护客户投资的目的,设计的广域网络平台方案如下图所示:
4.1.1方案一:
ATM/FR(台湾名称为hiLink)专线组网;
4.1.1.1ATM数据业务介绍
ATM(异步转移模式)数据业务,是一种依托ATM宽带骨干网建立的进行快速数据交换的业务。
它采用快速信元交换技术,使用固定长度的信元,支持包括数据、语音、图像在内的各种业务的传送,并支持虚拟专用网等应用。
4.1.1.2帧中继业务介绍
帧中继技术是在分组技术充分发展,数字与光纤传输线路替代模拟线路,用户终端日益智能化的条件下发展起来的。
帧中继仅完成OSI物理层和链路层核心层的功能,将流量控制、纠错等留给智能终端去完成,大大简化节点机之间的协议;同时,帧中继采用虚电路技术,能充分利用网路资源。
帧中继技术主要应用在广域网中,支持多种数据型业务。
其主要特点有:
高效性:
帧中继使用统计时分复用技术,共享传输线路和网路端口,提高了网路资源的利用率;用户还可在有空余带宽时,超过预定值“偷占”更多的带宽,而只付预定带宽的费用,非常适合于出现突发性大数据量业务的用户。
经济性:
目前中国的帧中继网只提供PVC业务,每条帧中继PVC的月租要比同样速率的DDN费用的低,而且用户还可在有空余带宽时突发业务,更加经济划算。
可靠性和灵活性:
帧中继虽然利用端到端机制实现错误恢复,但网路本身也是可靠的,有PVC管理和拥塞管理机制,以保证网路充分运行;帧中继网在组建和用户接入上方便灵活,对高层协议保持透明,无兼容性问题。
4.1.1.3ATM/FR网主要业务特点:
●高带宽
ATM交换机采用硬件交换,是区分传统的IP网和分组交换网的重要特点。
由于采用了定长的信元作为交换单元,使得硬件高速交换得以实现。
目前ATMPVC提供给用户通信速率最高达到2.5G比特每秒,并且正在随着技术进步而发展。
●高质量
ATM网络是高起点的通信网,它基于高质量的传输信道,误码率优于10的负9次方;它采用硬件交换、流量控制等机制,实现低时延,高吞吐量。
●高可靠性
ATMPVC/PVP实现自动化的用户电路保护技术,在网络内故障情况下路由自动迂回,切换时间很短,对用户几乎无影响。
●全功能
ATM网作为宽带综合业务数字网(B-ISDN)的解决方案,它可以在同一网络平台上同时传送话音、图像、数据等多种业务,实现宽带化的一网多能。
●伸缩性
ATMPVC在技术上能够支持的通信速率从424比特每秒平滑递增到2.5G比特每秒,那些目前通信速率不高,但未来有升级需要的用户可以很方便地升级到所希望的通信速率。
经过必要的业务手续,用户不仅可以根据自己的需求升将通信速率、可以改变业务类型,甚至可以更改PVC的电路方向来实现用户网络结构的重组。
因为ATMPVC是逻辑连接,大部分的修改工作是由ATM网管中心通过操作命令实现,这要比传统的PDH、SDH网络快速高效得多。
●低成本
ATM网本质上是分组交换,它继承了分组网统计时分复用的特点,有效提高传输链路带宽的利用率,降低网络租费。
同时,ATMPVC支持多种通信速率和通信方式,用户可根据需要灵活选择,最大限度地降低组网成本。
●一点对多点
用户的网络结构一般是单星形、双星型或具有几个核心的不完全网状结构。
ATMPVC具有这样的特点:
在一条物理接入线路上可以开放上千条以上ATMPVC,这些PVC可以到达各不相同的方向。
那些出于核心位置的用户节点只需要一条或少数几条接入电路,就可以通过成百上千条PVC连接到成百上千个远端用户节点。
同传统的DDN、PDH、SDH等点对点电路相比,可以大量地节约用户设备端口,还可以降低维护的成本难度,保障通信的高可靠性。
4.1.1.4ATM/FR组网方案设计
该方案组网拓扑结构如上图所示,鉴于东南(福建)汽车全国有400多个销售、维修网点,如果完全采用星型结构,直接与总部相联,需要花费较多的长途线路费用。
因此,建议各省市帧中继网络通过区内、区间线路先汇接在当地的中心网络,然后通过长途线路连接总部网络。
总部端口可以根据实际使用情况,选择N*2M或者155MATM接入进行会聚。
同时考虑到将来发展,各分支点的端口建议选择到256K以上,这样在保持良好的突发性的同时接入设备可以支持升级到2M,具有良好的拓展性。
4.1.2方案二:
MPLSVPN组网;
4.1.2.1MPLS-VPN业务的优势
MPLS-VPN综合了传统数据网络的性能优点(安全和服务质量保证)和共享数据网络结构的优点(简单和低成本),是能够提供当今商业发展所需网络功能的理想途径。
它可以使公司获得使用公共通信网络基础结构所带来的便利和经济效益,同时获得使用专用的点到点连接所带来的安全。
●安全性高
MPLS-VPN的安全性不是通过加密技术达到的,而是通过对不同用户间、用户与公网间的路由信息进行隔离实现的。
MPLS-VPN借助MPLS技术,利用两层标记(label),自动为不同用户的节点间建立不同的隧道,使用户的流量分别穿行在不同的“虚通道”中,实现了用户流量的隔离。
MPLS-VPN能够为用户节点间提供安全的纯IP通信通道。
路由隔离技术有效的解决了加密技术无法完成高速用户流量处理的问题,并有效的降低了加密导致的时延。
MPLS-VPN业务对用户透明,用户还可以通过设置防火墙,采用数据安全加密等方法,进一步提高安全性。
●可靠性高
多路由的冗余传输资源是网络可靠性的保证。
MPLS-VPN可以自动、充分地迂回用户节点间访问的流量,因而在广域网上不存在单故障点,具备很高的可靠性。
MPLS-VPN保证网络级的可靠性,其作用范围从用户接入网络开始,直到用户流量离开网络。
当网络内部中继中断时,MPLS-VPN的流量与普通流量一起依据路由协议迂回到其他电路上,这一过程完全依靠路由协议的收敛自动完成,对用户完全透明。
●扩展性好
MPLS-VPN支持快速建立新兴的商业机遇和商业关系,使企业迅速且安全的扩展网络,不必在已有的网络基础设施上进行昂贵、耗时的功能添加。
如果企业想扩大MPLS-VPN的容量和覆盖范围,只需到当地运营商办理即可。
MPLSVPN在增加节点和用户数量方面有很强的可扩展性,可以在用户的节点建创建星形、全网状或任意的逻辑拓扑,拓扑改变十分灵活。
●维护简单
用户端路由器只与运营商本地POP点的路由器相连,并只接收保持与其直接相连的MPLS-VPN的路由信息。
用户在管理自己的MPLS-VPN时,会发现使用MPLS模式的路由配置非常简单,不涉及复杂的、包括了大量第二层PVC或第三层路由表的网络。
通过网络侧参数的调整。
MPLS-VPN可以为用户的节点间实现星形、全网状以及其他任何形式的逻辑拓扑,逻辑拓扑调整不需要用户侧新增任何线路或修改任何配置,完全在网络侧完成,对用户完全透明,有效的减少了用户的维护工作量。
●支持服务质量保证
MPLS-VPN核心层对IP数据包做高速转发,减少了时延和抖动,增加了网络吞吐能力,大大提高了网络的QoS保证。
MPLS-VPN采用多种技术来保证用户的服务质量(QoS)和服务级别(CoS)。
此外,还利用MPLS实施流量工程来对全网流量进行优化。
4.1.2.2MPLSVPN组网方案设计
应用MPLS建立的VPN与采用ATM、帧中继PVC或其他各种隧道技术互连路由器建立的VPN相比,是一个更具吸引力的选择。
应用MPLS的VPN提供了许多基于PVC模式的好处。
用户可自行选择他们自己的寻址方案。
但与PVC模式不同的是,MPLSVPN在增加节点和用户数量方面有较强的可扩展性。
它也支持在VPN上任意节点间的通信,而不必像PVC那样设定完整的路径。
从用户角度来看,MPLSVPN模式的一个重大意义是它相对PVC模式而言极大地简化了路由。
MPLSVPN还能利用一些灵活的规则构建一些Extranet。
根据东南汽车的组网需求,各分支机构分别通过相应的通信线路接入网络,以MPLSVPN的方式组建东南汽车的Internet。
在各个分支机构相应节点放置路由器,通过传输线路与本地的MPLSVPN接入路由器相连,接口根据上连带宽需求可以采用N×64k、2M、10M、100M、155M等。
总部采用光纤通过路由器直接连到运营商的MPLSVPN接入路由器上,带宽为100M或155M。
其他本地有该运营商的MPLSVPN接入路由器的城市,通过本地的数据电路连接到该运营商当地的接入路由器上。
其他节点本地没有接入路由器,则可以通过租用长途电路的方式连到离该地最近的MPLSVPN接入路由器上。
待当地的MPLSVPN接入节点建成后,即可平滑的移植到本地。
如下图所示:
4.1.3方案三:
VPDN组网;
4.1.3.1VPDN简介
VPDN实现过程如下:
用户拨号NSP(网络服务提供商)的网络访问服务器NAS(NetworkAccessServer),发出PPP连接请求,NAS收到呼叫后,在用户和NAS之间建立PPP链路,然后,NAS对用户进行身份验证,确定是合法用户,就启动VPDN功能,与公司总部内部连接,访问其内部资源。
4.1.3.2VPDN组网方案设计
VPDN主要是用在拨号用户上,因此,可以作为移动用户或者小的经销网点,维修网点的数据传送和资源访问上。
如下图所示:
各地办事处和经销网点可以拨打运营商特服号(中国电信全国特服号17979),经过东南汽车的认证服务器进行身份验证后,进入内部网络,访问资源。
用户端能够拨号上网,就能使用上VPDN业务。
主端可以选择配置一套企业端VPDN管理软件,包括用户管理系统、认证管理系统和计费系统。
系统提供专用的管理平台对用户进行管理,操作简单,安全性高;提供企业级的认证、计费管理,支持大用户量的访问。
4.1.4方案四:
IPSecVPN组网
4.1.4.1IPSecVPN介绍
IPSec是IETF(InternetEngineerTaskForce)正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。
通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。
IPSec由IP认证头AH(AuthenticationHeader)、IP安全载荷封载ESP(EncapsulatedSecurityPayload)和密钥管理协议组成。
IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。
IPSec适应向IPv6迁移,它提供所有在网络层上的数据保护,提供透明的安全通信。
IPSec用密码技术从三个方面来保证数据的安全。
即:
·认证。
用于对主机和端点进行身份鉴别。
·完整性检查。
用于保证数据在通过网络传输时没有被修改。
·加密。
加密IP地址和数据以保证私有性。
IPSec协议可以设置成在两种模式下运行:
一种是隧道模式,一种是传输模式。
在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中,这样保护从一个防火墙到另一个防火墙时的安全性。
在隧道模式下,信息封装是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。
隧道模式是最安全的,但会带来较大的系统开销。
在1997年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)协议,其中还包括一个密钥分配协议Oakley。
ISAKMP/Oakley支持自动建立加密信道,密钥的自动安全分发和更新。
IPSec也可用于连接其他层已存在的通信协议,如支持安全电子交易(SET:
SecureElectronicTransaction)协议和SSL(SecureSocketlayer)协议。
即使不用SET或SSL,IPSec都能提供认证和加密手段以保证信息的传输。
●优点:
它定义了一套用于认证、保护私有性和完整性的标准协议。
IPSec支持一系列加密算法如DES、三重DES、IDEA。
它检查传输的数据包的完整性,以确保数据没有被修改。
IPSec用来在多个防火墙和服务器之间提供安全性。
IPSec可确保运行在TCP/IP协议上的VPNs之间的互操作性。
●缺点:
IPSec在客户机/服务器模式下实现有一些问题,在实际应用中,需要公钥来完成。
除了TCP/IP协议外,IPSec不支持其他协议。
除了包过滤之外,它没有指定其他访问控制方法。
IPSec最适合可信的LAN到LAN之间的虚拟专用网,即内部网虚拟专用网。
4.1.4.2IPSecVPN组网方案设计
在此方案中,东南汽车总部可以通过Internet连接出口与散布在全国各地的商业伙伴,营销中心,维修中心连接。
总部与各地之间的网络连接通过加密隧道安全地联系起来。
总部中心配置一台VPN专用路由器作为IPSecVPN终结设备,配置一台拨号TACACS+身份验证服务器做身份验证使用。
当各地用户接入的时候,访问服务器通过防火墙向TACACS+身份验证服务器发出认证请求,只有通过验证的用户才允许接入。
同时防火墙对连接的用户进行限制,只允许对相应的服务器进行相关的访问。
东南(福建)汽车主厂目前有一条固定IP的100M宽带线路接入互联网提供接入,同时用于总部IPSec连接中心线路,原有的2M互联网专线可以做为备份。
各销售、维修点根据当地情况选用宽带城域网、ADSL、ISDN、普通电话等接入互联网,目前已经有部分网点已经具有宽带线路接入互联网。
4.1.4.3IPSecVPN设备选型
根据目前东南汽车网络状况,可以在各地配置如下设备以满足IPSecVPN连接的需要:
地点
设备
适合情况
东南汽车总厂
Cisco7400VPN路由器一台
PIX防火墙一台
核心VPN路由器,总部
地区营销中心
Cisco3745(或2620)1台
VPN加速卡
100人以上的大的营销中心
办事处,县级销售中心
Cisco17401台
20~30人的营销点
SOHO
CiscoUBR1台
10人以下
移动用户(个人)
CiscoVPNclient软件
单人
4.1.5方案比较及推荐
4.1.5.1方案综合比较与分析
方案一采用ATM/FRPVC专线线路来组网,优点在于全网的安全可靠性和带宽、QoS性能保障,是性能最好、技术成熟度最高的方式。
但是这种方式的缺点在于线路费用支出较大,如果东南汽车全网400多个经销点和维修点都使用这种方式组网的话,费用将是巨大的。
建议在一级经销商网络的组建上采用该方式进行组网。
方案二采用MPLSVPN技术组网,使用MPLS方式组网优点在于网络内全网的连通性上能够提供很多便利,可以在较小的代价下,实现全网的点到点连接。
但是由于此次网络是星型拓扑结构,各经销点和维修点只和总部有数据交换的需要,彼此之间并不要求互相连接。
而MPLS比起ATM,FrameRelay等方式,在接入质量上还有一定的差距,不能完全提供带宽保证和QoS性能保障,在费用上,使用MPLS费用在区内、区间(同一城市内的连接)会有所降低,但是由于目前MPLS的建设还主要集中在各大城市及省会城市,无法遍布东南汽车400多个经销、维修网点。
因此,费用上无法有效减轻,便利性上还无法满足此次东南汽车网络建设的需要。
方案三采用VPDN方式组网,由于VPDN方式使用拨号网络,速率上受拨号设备限制,无法满足大数据量传输的需求。
而且VPDN部署目前还没有遍布全国,部分地区需要采用长途拨号进行接入,但由于VPDN不需要终端安装特别的软件,实现容易,所以可以考虑作为备份方式及员工移动办公使用。
方案四通过用户自建IPsecVPN能够提供东南汽车所有经销点,维修点的接入,同时对于出差在外的东南汽车员工,也能够通过VPN方便、安全和快捷的接入内部网络。
这种方案能够保证一定安全,可靠性,但是由于通过公网传输数据,带宽会受到外界因素的影响。
稳定性,可靠性与ATM/FR专线相比,还有一定差距。
但是,使用方案四组网的方式的最大优点是连接方式简便和灵活性强,费用相对低廉,只要IP包在路由上可达,就可以很方便,安全的建立点到点的端端数据通信。
同时,带宽只受端口和接入方式的影响,能够提供很好的灵活性。
4.1.5.2推荐广域网组网方案
综合以上情况,我们推荐使用混合组网模式来组建东南汽车网络系统平台。
使用光纤网络在东南汽车城内实现主厂与各协力厂间的高速连接,建议使用100M带宽,完全消除传输带宽瓶颈。
使用ATM+FrameRelay的方式来构建东南汽车广域网络的骨干部分,即使用专线方式连接东南汽车的一级汇聚点。
东南主厂采用光纤以155MATM接入以N*64KPVC速率与各一级点相联。
在PVC速率的选择上,可以根据实际发展需要,从低到高逐步过渡,最高可以过渡到2M,完全可以满足将来可能的“三网合一”的需求。
对于遍布全国的400多个销售点和维修点,推荐使用IPSecVPN的方式组建跨internet的专网,通过安全可靠的隧道模式,使数据在销售点,经销点和总部之间传送。
另外,可以使用VPDN作为远程拨号的备选方案。
使用普通的拨号方式对一级汇聚点和各销售点和经销点作备份,当总部主干网络全部断开或者一级汇聚点主线路故障时,仍然能够通过拨号方式访问总部内部资源。
如下图所示:
推荐方案的特点:
1、采用ATM/FR组建一级骨干网络,网络具有高效能、低延迟、时延小、数据吞吐量大、突发性能好、安全度高等特点。
ATM/FR技术成熟度很高,目前国内绝大部分的银行等对线路品质特别高的单位都采用了ATM/FR组建自己的专网。
主厂采用光纤以155M接入减少了中间环节,可有效的减少故障发生概率,管理十分方便。
155MATM端口可以满足很长时间内使用要求,具有良好的扩展性能。
同时由于ATM/FR提供1~N*64KPVC的带宽选择,可以按需选择带宽节省费用。
2、IPsecVPN组网方式是目前国际上流行的组网方式,许多大型的跨国公司如Cisco,宝洁等都采用此方式组建全球专用网络。
这种组网方式安全性好、接入灵活、能够有效的降低组网成本。
根据了解目前许多销售点已经实现具有了宽带接入。
3、VPDN作为备份方式,备份成本低、实现容易、安全性好、管理方便。
远端客户只需要能够拨号上网,不需要安装另外的专用软件,同时可以作为移动员工的远程
升级会员 