XX智能小区方案D27页.docx

1、XX智能小区方案D27页计算机网络系统一、网络设计原则良好的计算机网络技术和设备是建立计算机网络环境的基础。网络不仅能够提供数据交换、资源共享（例如打印机、数据库）等基本功能，而且具有良好的可扩展性、升级性以及强大的服务功能。在网络设计中我们遵循下列原则：基于开放系统结构的标准；应用与网络结构无关；与现有网络无缝互连；适应未来发展趋势；容易安装；性能价格比高；增长的灵活性；可靠与安全的网络；易于维护、管理和运营支持。基于以上的网络设计原则，我们分别提出以基于1000M 局域网交换机为基础的节点交换式局域网方案，下面我们将会分别详细介绍这个方案的结构和的特点。我们相信，对嘉绿苑住宅小区局域网系统

2、的设计，是一个开放系统的网络结构。不仅能够满足嘉绿苑住宅小区现在及未来一段时间内局域网系统的需求，具有极高的性能价格比和可扩充性。能够适应未来开发应用的需要，保护客户的投资。二、高速网络技术的选择在当今流行的高速网络技术中，先后出现FDDI、ATM、快速以太网和98年最新亮相的千兆以太网。由于速度和成本问题，目前FDDI已几乎退出竞争；快速以太网由于千兆以太网的出现，在速度和技术已让位于千兆以太网，但继续占有廉价经济的市场。在高速以太网的技术选型时，ATM和千兆以太网是两种主要被考虑的技术。以下我们将从速度、技术起源和主流市场、效率对比、IP等协议支持、服务质量保证、组网能力、传输距离和价格等

3、方面来对比。下面我们从以下几个方面讨论千兆网络技术和ATM的比较：1速度千兆以太网 1000M （10千兆以太技术也正在制订标准）OC3/STM1 ATM 155MOC12/STM4 ATM 622MOC48/STM16 ATM 2.4G2. 技术起源和主流市场ATM起源于电信运营网络。以往电路交换的优点是带宽时延稳定，缺点是在只能实现点对点服务，线路利用率低；分级交换的优点是支持一点对多点服务，线路利用率高，缺点是带宽时延不稳定。ATM的出现综合了原有的电路交换和分组交换的优点，被ITU正式作为宽带ISDN的信息传输方式，它能真正实现语音、数据和图象等业务的综合，具有灵活、可变的传达室速率。

4、目前在电信帧中继服务网的主干里，ATM几乎是唯一的选择。它还广泛用于广域和企业网骨干。千兆以太网起源于局域网，由以太网、快速以太网发展而来。它采用载波侦听/碰撞检测的工作方式对网络进行访问。目前在单纯性楼内以太网络占有压倒性优势，而且是经济的考虑。在园区和城域的数据网络同样占有一定优势。基于IP的多媒体应用也正日趋成熟。3效率对比基于IP的数据服务，由于ATM的信元较小，相对而言其ATM帧头所占的比例就比较大，利用率比较低，而千兆最大包长度很大，因此，相对而言帧头所占的比例就小，利用率相对高不少，因此：千兆以太网的效率高于ATM；如果要传输多媒体信息，由于ATM可以直接传输多媒体信息，而千兆以

5、太网必须借助IP等协议封装多媒体信息，所以ATM的效率要高于千兆以太网。且能保证服务质量。4IP等协议支持千兆以太网可以直接支持IP等协议；ATM和以太网互联的技术有IPOA(IP Over ATM)、局域网仿真（LAN Emulation）和MPOA（Multi-Protocol Over ATM）等，其中局域网仿真需要设置仿真服务器（LES）、仿真配置服务器（LECS）和广播服务器（BUS），MPOA需要设置多协议服务器（MPS）。ATM和以太网互联需要帧和信元之间进行转换，即分段和重装（SAR）。5服务质量保证服务质量QOS（Quality of Service）是ATM技术的强项，其固

6、定长度信元和面向连接的技术特点保证了高标准的服务质量，同时，由于其帧长度比较小，因此，在传输对延时及延时抖动比较敏感的数据时，有较大的优势。这也就是ATM被认为是下一代网络领先技术的原因之一。传统的以太网没有服务质量的保证，在网络流量大、阻塞严重的情况下，传输时延会增大，甚至发生数据包丢失的情况。为了适应现代网络高速度、高质量的需求，千兆以太网也在传统的TCP/IP的技术基础上发展了服务质量保证的技术。在IEEE 802.1p标准中，加入了服务级别（Class of Service）的应用保障，在一定程度上保障了服务质量，并为实现QoS奠定的基础。6组网能力ATM通过PNNI路由管理，可实现灵

7、活的连接分担和备份；千兆以太网通常只支持生成树算法（Spanning Tree），某些厂商可提供有限制的连接分担和备份。7传输距离千兆以太网技术与光纤技术紧密相联，使其传输距离受到限制。这对千兆以太网技术向广域网发展产生影响。目前，各有关网络厂商都使用一些光纤技术，使传输距离可达70公里，最大达100公里。ATM相对于千兆以太网，本身传输距离就可以更远。由于ATM可借助传统的SDH分插复用设备来中继，所以在传输距离上基本没有什么限制的。8价格ATM技术需要同时顾全电信和数据网络需求，提供基于连接的有质量保证的服务，因而其价格相对其它技术而言比较昂贵。另一方面，在提供IP数据服务时，由于以太网在

8、楼内局域网，特别是工作站服务器连接占有压倒性的优势，所以ATM骨干网往往需要ATM和以太网的转换，因而又加大了ATM主干的成本。千兆以太网因为其基础技术比较简单和成熟，保证了其在性能价格比上的优势。另一方面，千兆以太网从10M、100M到1000M采用统一的帧格式和网络访问式，在单纯性的以太网内升级容易，从而保持了其在单纯性楼内数据网络的压倒性优势。嘉绿苑住宅小区应用主要为小区管理信息系统，基本上是传统的数据应用，因此，采用千兆以太技术有性能及价格方面的双重优势，同时，从发展的趋势来看，多媒体视频会议系统、视频广播服务以及传统的语音系统都将转移到以IP协议为主的包交换网络上，从以上方面的考虑，

9、我们建议嘉绿苑住宅小区的主干网络技术采用千兆以太技术。三、关键技术问题及解决方法31网络可靠性嘉绿苑住宅小区的网络系统是关键生产业务系统，因此，对系统的可靠性有非常高的要求，同时，对网络的故障恢复能力也有较高的要求，对此，我们从以下几个方面来保证系统的高可靠性：网络设备的冗余配置：对于中心交换机，我们配置了双冗余电源以及冗余交换引擎和冗余的多层交换（MLS）模块，保证不会由于其中一个导致整个网络系统的崩溃。冗余线路：对于关键部门及信息点，我们都采用了冗余线路，保证系统不会由于线路的故障造成网络系统的崩溃。故障的快速恢复：如果网络出现故障时，要求网络拓扑能快速收敛，这样，对于关键业务数据而言，才

10、不至于导致会话的丢失。对此，我们采用快速收敛的路由协议OSPF来保证。采用虚拟路由冗余协议（VRRP），可以保证当一个多层交换模块失效的时候，另一个多层交换模块立即接管。对于路由协议的选择，不需要多说，收敛快的路由协议将迅速恢复正确的路由表，保证关键业务的会话的完整性。32系统的可扩展性对于任何一个系统的设计，可扩充性是非常关键的因数，如果系统的可扩充性不要，可能造成用户的投资很快就被淘汰，因此，系统的设计一定要考虑到未来一段时间内的需求，对于这个问题，我们从以下两个方面来考虑系统的可扩充性：性能和端口密度。性能的可扩充性：对于中心交换机，我们选择了3Com Swith 4007交换机，并配置

11、了双管理模块和双多层交换（MLS）模块。单交换引擎的背版带宽为18G，采用双交换引擎的方式可以达到36G。端口密度的可扩充性：这个问题比较简单，3Com 4007交换机具有7个可扩充插槽，现阶段加上两个监控引擎和两个9端口千兆交换模块以及一个12端口10/100M自适应模块共计6个插槽，还剩下1个用于将来扩展用。另外，现在配置的千兆端口和10/100M自适应端口也有一部分剩余，用于备用和扩展。33VLAN的划分VLAN（Virtual LAN）基于交换技术，通过不同的划分方法（常用是基于端口和基于MAC地址两种）把原来一个大的广播区的局域网逻辑地划分为若干个“子广播区”，在子广播区的广播包只能

12、在该子广播区传送，而不会送到其他广播区中。网络设备通过VTP协议以及ISL或802.1q协议允许一个VLAN跨越多个交换机，从而提高VLAN划分的灵活性。我们的设计支持两种VLAN划分方式，即基于端口、基于MAC地址，下面先对两种VLAN划分方式的工作流程做一个简单的介绍：基于端口的VLAN划分：这种划分方式比较简单，通过交换机配置命令将交换机端口划分到一个指定的VLAN中，所有连接到这个端口的工作站和服务器（包括通过这个端口级连）都属于这个VLAN。这种方式的特点就是管理比较简单，但是灵活性不高。基于MAC地址的VLAN划分：在这种工作方式中，一个交换被指定为VMPS服务器，其通过TFTP下

13、载一个VLAN与MAC地址的对应关系表，其他交换机作为VMPS客户机向VMPS服务器获取MAC地址和VLAN的对应关系，在基于MAC的VLAN划分中，要求支持基于MAC地址划分VLAN的交换机端口只能连接一个桌面工作站，通过交换机配置命令将一个交换机端口设置为动态成员方式，当一个工作站连接到交换机时，交换机通过窃取其第一个数据包中的源MAC地址，在检查本地Cache数据库，看是否这个地址在本地数据库中，如果在，就将该端口动态划分到指定的VLAN中，然后转发该数据包，如果该MAC地址不在本地Cache数据库中，这个交换机就向VMPS服务器查询，服务器查询到这个MAC地址和VLAN的对应关系后，将

14、这个信息送到该交换机上，然后该交换机动态将该端口划分到指定的VLAN中，然后转发该数据包。这种方式特点在于灵活性很高，桌面工作站的移动变化都不需要对交换机重新配置。缺点在于其管理比较复杂，需要做出每个MAC地址与VLAN的对应表。34VLAN之间的安全控制在嘉绿苑住宅小区网络系统网设计中，所有选择的交换机都支持VLAN功能，这样，可以将具有同一安全级别的用户划分到一个VLAN中，这样，不同VLAN之间的用户不能直接访问，保证了网络系统的安全性。在中心交换机上，我们通过访问控制列表控制VLAN之间的安全，这样就可以允许高优先级的VLAN段访问低优先级的VLAN段，而低优先级的VLAN段不能访问或

15、有限的访问高优先级VLAN段。访问列表包括以下几种类型：标准访问控制列表：通过网络层的源地址来限制指定的站点访问指定的VLAN，从而限制特定的站点访问特定VLAN的能力。扩展访问控制列表：通过网络层的源地址、目的地址、协议号、源端口、目的端口、包大小以及是否是已经建立连接的包等来实现对特定数据流的控制，从而保证限制特定站点访问特定服务的能力。动态访问控制列表：动态访问列表同普通的标准和扩展访问列表类似，设置方法有两个，一个是打开对所有主机的限制，另外一个参数就是只打开对当前连接主机的限制。该主机就可以访问动态访问控制列表允许的服务，当没有数据传输后，空闲时间到达一个指定的门限时，动态访问控制列

16、表自动关闭。从而保证指定的服务只能让授权用户访问。反射访问控制列表：这中访问列表主要用于内部和外部两个区域的情况，路由器通过观测内部访问外部的数据来评估外部回来的数据是否是内部数据的一个连接，这样，保证内部用户可以访问外部用户，而外部用户不可以访问内部用户。35远程接入的安全控制拨号访问安全控制采用CiscoIOS内置安全控制能力结合Cisco-Assure安全访问控制服务器提供用户身份认证、用户授权以及用户记帐/审记功能。具体描述如下：身份认证：采用TACACS+、RADIUS或KerberosV服务器对用户身份进行认证，认证方法为用户/口令方式。用户授权：当用户通过身份认证后，Cisco访

17、问服务器从TACACS + /RADIUS/KerberosV服务器上获取该用户的授权信息，动态改变路由器的安全访问控制列表，从而控制该用户的访问权限。用户记帐：当用户成功登录到网络中后，Cisco路由器将对网络流量进行监控，执行安全策略，并产生详细的审记记录到TACACS/RADIUS/ KerberosV服务器，可以对用户行为进行事后跟踪。36 Qos技术的实现在3Com交换机产品中支持802.1p信令来实现网络数据的优先级控制，在3Com交换机中，每个端口可以设置为信任端口和非信任端口，信任端口接收端口数据包中的优先级参数，对于非信任端口，Cisco对接收到的数据包，采用端口设置的确省优

18、先级参数。同时，每个交换机端口有一个接收队列和两个传输队列，传输队列有四个丢弃门槛，用户可以设置这四个丢弃门槛和8个优先级对应的丢弃门槛，在队列达到指定的门槛时，交换机就开始丢弃指定优先级的数据包。对于传输队列，每个传输队列有两个丢弃门槛，用户可以将指定的优先级赋予指定队列的丢弃门槛上，在该队列到达指定的门槛时，交换机就开始丢弃指定优先级的数据包。最后用户可以设置两个队列分享输出端口带宽的权值，从而让每个队列获得指定的输出端口的带宽，从而保证高优先级数据包获得高带宽和低的丢包率。37多点广播协议的支持多点广播就是将数据包将数据包发送到一个指定的组的组成员中，多点广播数据包的目的地址是一个224

19、239地址段的多点广播地址，表示一个组的所有成员，而多点广播数据包的目的数据链路层地址是将IP网络层的多点广播地址按位的方式嵌入到MAC地址中的，由于多点广播地址表示了一个组的所有成员，所以不会有任何站点以其作为源地址发送数据包，因此，对于一个交换局域网环境，目的地址是多点广播地址的数据包都按广播方式处理，向所有端口转发。这样，导致非组成员的站点也接收到多点广播数据包，导致网络带宽的浪费。在3Com交换机上，可使用IGMP监听以及GMRP来实现将多点广播数据包转发到组成员端口上。在多VLAN环境下，由于路由器隔离广播包，因此，多点广播不会转发到其他的VLAN中的，对此，需要多点广播路由协议来实

20、现多点广播数据包的转发，Cisco路由器/3Com交换机支持PIM多点广播路由协议，IP PIM多点广播协议支持Dense模式和Sparseness模式，下面我们就几种解决方案做一个解释：IGMP监听：在多点广播环境中，如果一个站点想加入一个指定的多点广播组，他就会发送IGMP组报告协议包，交换机通过监听IGMP消息来学习站点加入指定组的事件，从而将一个站点同一个多点广播地址关联起来，交换机接收到该组的多点广播数据包时，交换机就将该数据包转发到加入了该组站点的端口上，从而提高网络的利用率。GMRP：GMRP（通用广播注册协议）是GARP（通用属性协议）的一部分，提供了一种多点广播成员向交换机注

21、册指定组的机制，其功能同IGMP类似，交换机接收到注册信息后，将来的多点广播数据包就会转发到用GMRP注册了该组的站点交换机端口。IP PIM 路由协议：IP PIM路由协议支持两种模式，一种模式就是稠密模式，在这种模式下，认为所有结点都会加入一个组，一个路由器接收到一个多点广播路由包以后，向其他所有端口转发，如果一个路由器没有下级路由器以及没有成员加入该组，他就发送一个PIM裁减信息给上级路由器。这就是所谓的Reverse Path Forword技术，这种过程将30秒重复一次。另外一种模式就是稀疏模式，在这种模式下，路由器认为只有很少的站点会加入一个组，因此，在叶子结点（有多点广播源或多点

22、广播成员）上需要配置一个聚合点，当一个叶子路由器接收到一个多点广播数据包时，他向会聚点注册该组，并封装该组，发送到聚合点上，如果另外一个叶子路由器有成员加入一个组是，他就是发送一个IP PIM加入信息到聚合点，聚合点就会沿共享路径上将该数据包发送到该叶子路由器上。当接收结点接收到指定组的多点广播时，他通过数据包的源地址判断多点广播源的位置，然后向多点广播源发送PIM假如信息，这样，多点广播源端路由器接收到该加入信息后，会按一个最短路径树转发数据包到接收结点，接收结点叶子路由器收到从多点广播源的数据包后，向聚合点发出PIM裁减信息，停止共享树上的数据转发。38网络地址规划由于嘉绿苑住宅小区的PC

23、用户有678多个，如果每个用户采用固定的IP地址，则至少需要分配678个IP地址（678个信息点）。这对有限的公网地址资源将是个不小的开销。此外，如果考虑今后PC机数目将是不断增长的，给新加网络的用户分配固定的公网地址将是公网地址资源不断增长的负担。我们建议使用保留地址，当住户要访问Internet时，才通过地址转换（NAT）临时被映射到一个合法地址：端口。对于大楼内少数几台需要对外公开的信息服务器，比如WWW和电子邮件服务器等，可以始终被静态映射到合法IP地址。保留地址到合法地址的动态、静态的映射是由Internet接入路由器或防火墙完成的。而采用保留地址还有一个好处是：因为保留地址的路由在

24、Internet上不存在，用户在Internet上是“隐形”的。无法主动从Internet上用户的PC进行访问，这就防止了Internet上的黑客直接对用户的PC发动攻击。我们不主张每个用户为自己的PC手工设置IP地址，可在网络中心放置一台DHCP服务器，当每个PC启动后，会自动从DHCP服务器得到一个“动态的”IP地址和网关地址、DNS地址。说地址是“动态”的，并不是地址在用户上网过程中经常变化，而是用户每次开机， 可能从DHCP得到的IP都不太一样。四、网络结构设计41总体设计参照嘉绿苑住宅小区智能化工程招标书的要求，我们给出下面的网络总体设计图。对图一的说明如下：核心路由器采用cisco

25、 7206；防火墙采用cisco PIX520；中心交换机采用3Com 4007；WEB服务器采用HP D9190A机型和文件处理器服务器采用HP P1178A机型；通过1000M单模光纤从Internet接入到核心路由器；防火墙与核心路由器及中心交换机的连接采用1000M多模光纤接口；通过1000M多模光纤连接到各配线间，10/100M到桌面；文件服务器通过10/100M自适应端口连接到中心交换机。Cisco 7206系列路由器有着六个扩展插槽，支持广泛的适配器/接口卡，如快速以太网FX接口卡、快速以太网TX接口卡、串行V.35接口适配器、串行RS232适配器、ATM适配器、E1适配器、E3

26、适配器、POS适配器等等，可以扩充用来进行DDN、FR、ISDN、PSTN、ATM等远程接入，方便员工出差时远程登录或进行线路备份。图一42接入层网络的接入层是最终用户被许可接入网络的点。该分层能够通过过滤或访问控制列表提供对用户流量的进一步控制；然而，该分层的主要功能是为最终提供网络接入。一般来说，接入层提供的功能如下：共享的带宽；交换的带宽；第二层服务，比如基于广播或MAC地址的VLAN成员资格和数据流过滤。接入层的主要准则是能够通过低成本、高端口密度的设备提供这些功能。421接入层设备配置：接入层的设备主要是指各配线间的交换机配置，我们将根据各配线间所负责的信息点进行设计。在本方案中，推

27、荐采用3Com 的superstack3 3300系列交换机。IDF ：A的配置为：24个10/100M自适应端口，三个堆叠端口；B的配置为：24个10/100M自适应端口，一个堆叠端口，一个1000BASE-SX端口；C的配置为：24个10/100M自适应端口，一个堆叠端口，；D的配置为：24个10/100M自适应端口，一个堆叠端口。A、B、C、D四台交换机通过堆叠，提供96个10/100M自适应端口，满足设计要求。422接入层流量估算由于3Com superstack3 3300系列交换机最多可以堆叠4台，每台最多24个端口，因此堆叠交换机最多支持4*24=96个端口。每个端口的速率为10

28、M或100M。一般来说，4M的带宽足够支持多媒体的应用，因此，每台交换机（堆叠交换机）的负荷为96*4=384M。按照目前局域网的流行设计原则，20%的流量为本地，80%的流量为外面，可以计算出每台交换机（堆叠交换机）的出口带宽要求为：384*80=307.2M。我们得知，楼层交换机到中心交换机的的链路带宽应大于307.2M，因此我们选用1000M连接。43核心层和分布层核心层的主要目的是尽可能快地交换数据。网络的这个分层不应该牵涉到费力的数据包操作或者任何减慢数据交换的处理。应该避免在核心层中使用象访问控制列表和数据包过滤这类的功能。核心层主要负责以下几项工作：提供交换区块间的连接；提供到其

29、它区块（比如广域区块）的访问；尽可能快地交换数据帧或者数据包。网络的分布层是网络网络接入层和核心层之间的分界点。分布层也帮助定义和区分网络核心层。该分层提供了边界定义，并在该处对潜在的费力的数据包进行处理。分布层能够进行众多的工作，其中的一些功能如下：VLAN聚合；部门级或工作组接入；广播域或多点广播域定义；VLAN间路由；介质转换；安全。分布层可以被归纳为提供基于策略的连通性的分层。431核心层设备配置在本方案设计中，我们采用紧缩核心的设计方式（既核心层和分布层的功能由一台设备来执行），尽管两层的功能都包含在同一设备中，但功能都保持着很强的独立性。核心层的网络设备有：核心路由器为cisco

30、7206；防火墙为cisco PIX 520；中心交换机为 3Com 4007。432核心层流量估算嘉绿苑住宅小区共计678个信息点，按照前面的假定，每个信息点的有效利用为4M，而其中只有80%通过中心交换机进行交换（其余20%在本子网交换）。因此，为了实现线速转发，中心交换机的背板带宽要求为：678*4*80%=2170M2.2G。我们选用的中心交换机3Com 4007的背板带宽为18G，充分满足设计要求。五、网络安全与管理51网络安全511网络安全的逻辑层次由于嘉绿苑住宅小区信息网是小区网的主体和核心，所以决定了其核心信息安全、网内信息交流频繁和向住户提供公开信息三大特点，必须通过物理和逻

31、辑手段建立安全的网络体系，即分层次建立：一、核心网。对于嘉绿苑住宅小区办公楼信息网的安全保证，是最重要的一部分。，因此，我们将针对中心服务器的信息端口设立单独的VLAN，严格控制外部人员的访问以及限制小区内部普通住户的访问权限。二、内部网。各住户之间既要便于交流又要保证住户本身信息的保密安全和独立，并具有远程办公功能。内部网安全的保证可以从应用软件和网络两部分进行阐述。这里只对在网络上保证内部网的安全进行说明：我们主要的方法是采用前面介绍的划分VLAN的方法，由于一个VLAN是一个单独的广播域，任何广播信息都不可能进入其它的VLAN，因此，通过检测软件是无法截取信息的。通过访问列表，则可以细化

32、VLAN与VLAN之间的访问层次，根据需求，可以做到只有某（些）台主机，或者某个用户，使用特定的端口来访问资源。三、外部网。及时了解外部信息。正如网络总体设计部分所阐明的，外部网和内部网将通过防火墙进行隔离。保证了即使外部网的WWW服务器遭受了攻击与破坏，也不会影响内部网的安全。512网络安全的物理层次从物理上而言，我们可以在路由器、放火墙、中心交换机设立三道关卡，保障网络的安全。路由器的安全设置：第一道关卡，用于基本的internet网络和嘉绿苑住宅小区信息网的隔离。技术上可以使用访问列表、secret口令进行、防止广播风暴等功能阻止外部的非法入侵与攻击。防火墙：不用多介绍，利用防火墙的NAT功能、端口禁止功能、访问列表功能进行内网与外网的第二层隔离。并将WWW服务器放入DMZ区，进一步保证内网安全。中心交换机：第三道关卡，利用交换机