网络系统平台及应用系统设计方案.doc

《网络系统平台及应用系统设计方案.doc》由会员分享，可在线阅读，更多相关《网络系统平台及应用系统设计方案.doc（52页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络系统平台及应用系统设计方案1.1 概述目前，全球已掀起一股信息高速公路规划和建设的高潮，作为其雏形，国际互联网（Internet）上相连的计算机已近达数千万台，全球有数亿人在Internet上进行信息交换和各种业务处理。Internet上积累了大量信息资源，这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息,，成为信息时代全球可共享的最大信息基地。当前由于网络、数据库及与之相关的应用技术不断发展，尤其国际互联网（Internet）和内部网（Intranet）技术的广泛应用，世界正在迈入网络中心计算（Network Centric Computing）时代。人们传统的交互和工作模式

2、正在改变。处在不同地理位置的人们可以共享数据，使用群件技术（GroupWare）进而能够协同工作；多媒体数据的存储、传输、应用技术的不断成熟；以上这些计算机技术的发展对民航传统的计算机业务系统产生影响，使用户能更方便。更直观的使用系统，也使系统的性能更完善、功能更强大。民航云南监管办综合业务楼网络系统平台分为内网、外网及财务专网。内网是“内部局域网”的简称，指民航监管办及其直属单位用于内部业务管理以及内部信息服务等的局域网。内网必须与国际互联网实行物理隔离。外网是“外部局域网”的简称，指民航监管办或其直属单位访问国际互联网、提供民航监管对外信息服务等的局域网。内网与外网的隔离可采用两种方式，一

3、种为逻辑隔离，即使用同一套物理设备，但利用软件的方法实现互相隔离。一般持有特别的权限就可实现不同系统之间的信息交换。最典型的逻辑隔离技术有防火墙、虚拟子网。另外一种为物理隔离，是指两个系统之间没有任何的直接物理连接通路。在网络中指从光缆、设备、计算机都自成一套独立的系统。它们之间的信息交换完全依赖人工用盘或手工输入来实现，必须指出在网络之间用网闸进行隔离也是一种物理隔离，用网闸隔离可实现信息的可信自动交换。对于建设民航云南监管办综合业务楼网络这样一个大的系统工程来说，网络平台是所有系统的基础、关键。综合用户需求，网络技术和设计原则，在对网络方案的设计中，我们重点考虑了下列问题。1.应用的变化传

4、统的应用结构，正在被CLIENT/SERVER的体系结构所取代，越来越多的客户通过网络与中心服务器发生联系，Internet/Intranet结构的兴起，使得传统80/20的原则翻转，大量的流量涌向网络的主干，对主干的要求进一步提高。2.多媒体的需求随着新技术的出现以及硬件成本的较低，在网络上传送视频、音频等多媒体信息越来越成为用户的需求，在网络系统里，从远程视频角度出发，这一需求显得更加重要。这要求我们在网络设计中充分考虑图像及音频信息传输的要求。3.可靠性和安全性网络是各种应用的统一通信平台，平均无故障时间以及故障恢复时间，要保持在一个可容忍的许可范围之内。在这种前提下，主干设备应有一定的

5、冗余度，这种冗余度不单单只是设备级的，也应该考虑物理线路，数据链路层、网络层以及应用层的容错能力。对于网络系统，安全性问题不仅来自外部网络，更主要的威胁还是来自内部网络，如何有效的设计安全方案是一个很重要的问题。4.虚拟网络技术的应用出于各部门分工设置、建筑物的集中布线方式以及一些应用和安全的考虑，虚拟网的划分是必须的，此外，用户需要的不仅仅是简单的划分，更多的是如何有效的，简便的、动态修改和配置他们。1.网络管理网络系统将会分布在业务楼每个楼层的各个角落，日常的的网络维护和操作的工作量大大增加，网络系统需要一个可靠，便捷、功能强大的网络管理系统来充分有效的管理和利用网络资源。以上提出了一些在

6、网络设计中应考虑的因素，它与我们的设计原则是相符合的。在网络系统方案的设计中，我们必须坚持从民航云南监管办综合业务楼实际需求出发，利用先进的网络技术，为用户构建真正适合自身的网络系统。1.2 系统需求分析1)现监管办综合业务楼共计八层，八楼上还有楼顶平台。根据监管办日常工作，应能满足目前应用。大楼各层之间通过主干光缆相连，主干网光纤带宽1000Mbps。采用星型拓扑结构建设局域网。局域网采用6类双绞线，带宽为交换1000Mbps，工作站为100Mbps或1000Mbps。监管办网布线规模200多个点左右，接入工作站估计100台左右。网络主服务器采用高档配置。主干及接入网络应为千兆接入基于Web

7、/Browser的网管（暂定）。网管中心设在业务楼4楼。在八楼多媒体会议室、五楼和一楼视频会议室以及大楼楼顶等部署802.11n无线网络系统，方便各级人员使用网络资源，形成无网络盲点的办公网络系统。2）具有完善的网络安全机制网络安全是办公局域网应用成败的重要因素。目前各种恶意病毒，木马病毒，黑客工具日益威胁着网络应用，不断挑战网络可靠性及健壮性，一个不安全事件可以导致网络崩溃；各种P2P下载工具也会导致网络资源耗尽，致使正常的办公活动无法通过网络进行；在浏览网页的过程中，也会自觉或不自觉的浏览不良信息，如反动，色情网站。因此建立一个良好的网络安全机制也是网络建设的重点之一。l 通过配置高安全性

8、，高强度的防火墙设备与INTERNET相连，通过制定访问策略，包过滤，QOS策略，流量控制，入侵检测，网关防毒策略等进行网络全方位安全保护。l 通过配置网络防病毒软件系统进行服务器及工作站保护。l 通过划分VLAN方式合理规划局域网，定义VLAN之间的访问规测，使建立起来的网络能够安全，可靠运行。通过建立802.1X，redius等用户户口令认证系统，使合法用户能够安全有效地进行数据共享，业务应用。3）方便维护和使用的网络管理系统本方案全线采用增强网管型交换机，可以通过多种网络管理方式，方便的、有效的管理到最终的每一个端口。通过网管软件的使用，方便进行设备维护及故障查找。检测网络设备性能，把不

9、稳定因素消除掉。4)其它中心服务器采用IBMServer，操作系统为Windows2000Server,数据库为SQLServer其余根据具体情况而定，整体方案设计应该以先进、成熟、经济、实用、扩展性强为特色。1.3内网设计原则为实现办公网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性-网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔，在万一出现局部故障

10、时应不影响网络其他部分的运行，并且故障便于诊断和排除。充分体现计算机网络的高可靠性。 技术先进性和实用性-保证满足办公业务应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。 高性能-骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。 标准开放性-支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。 灵活性及可扩展性-根据

11、未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。 可管理性-对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。 安全性-制订统一的网络安全策略，整体考虑网络平台的安全性。 兼容性和经济性兼容性，能够最大限度地保证民航监管办现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段，保证各种在用计算机系统，包括工作站、服务器和微机等设备的互连入网，充分利用现有计算机资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网

12、络系统的总体投资。有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。 为切实达到以上的网络设计原则，使网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循如下方面技术策略及原则。 统一标准、统一平台 网络的互联及互通关键是对相同标准的遵循，要实现网络业务能融合到一起，实现数据、语音、视频业务的融合，就必须统一标准。从开放性、发展性、成熟性等方面来看，只有IP技术才能成为统一平台网络构建的标准。而在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能

13、保证实现网络的统一，并确保网络的可扩展性。网络分层的原则 为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、接入层等二个层次。 核心层负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。 接入层设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。1.4 方案设计1.4.1 技术选择1.4.1.1 交换以太网技术交换以太网是近年来发展起来的先进网络技术。在保证与以太网协议兼容的前提下，提高网络利用率，减少网络资源争夺造成的冲突，使网络性能大幅度提高，以满足各类数据信息传输的要求。

14、交换以太网从产生发展到今天在技术上分为两种：静态交换和动态交换。静态交换：将网络划分为多个阶段，网络管理员可以通过网管平台分配到各个网段的负载，即网络管理员可以只利用鼠标就可将工作站从资源争夺紧张的网段移到其他冲突较少的网段上。动态交换：动态交换是在高速总线上支持多对传输的同时进行，它不需人工干预实时地将独占带宽分配给一对节点；而其它节点间也可同时进行数据传输以独占的100M进行，就好像在两个有数据优先级的支持等。1.4.1.2 快速以太网技术快速以太网技术实际上是100M版本，所以它的运行速度要比10M以太网快十倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌

15、握和应用在交换环境下，提供高带宽的共享式网络或主干连接，同时也可以应用在交换式环境下，提供优异的服务质量（QOS）。快速以太网与传统的以太网技术相似，此外它还具备以下优点： 快速以太网和普通以太网同样遵循CSMA/CD协议，现有的10BaseT网络设备可以相当简便地升级到快速以太网，保护用户原有的投资，与其他新型网络技术相比，更方便地使现有的10MLAN无缝连接到期100MLAN上。 100BaseT集线器和网络接口卡，只需要比10BaseT同样的设备多花少量费用就可使提供比普通以太网高10倍的性能。因此，100BaseT具备较高的性能价格比。 快速以太网（100BaseT）已得到IEEE任命

16、标准为802.3U，并得到了所有主流网络厂商的支持。1.4.1.3 1000M千兆以太网1998年6月29日，千兆以太网联盟于加利福尼亚PALOALTO正式宣布了千兆以太网标准IEEE802.3Z。这是千兆以太网发展的里程碑。人们对千兆以太网技术给予了充分的重视和信心。简单地说，这是因为“千兆以太网仍然是以太网，只不过速度更快而已”。这一点是问题的关键。由于“千兆以太网仍然是以太网”，因此千兆以太网继承了10M、100M以太网的特征。由此得出了千兆以太网的以下优点：l 与现有大多数网络设施的兼容性权威统计表明大多数网络都是以太网，因此千兆以太网与现有网络具有天然的兼容性。千兆以太网在与10M、

17、100M以太网通信时不存在需要损失性能的转换操作。l 简便的网络升级操作千兆以太网由于完全与以前的10M、100M以太网兼容。因此，自然简便的网络升级使得千兆以太网可以“无缝”融入现存的以太网环境中，解决了网络管理员所面临的如何升级现有网络，但不至于造成网络瘫痪的问题。用户总是倾向简单实用，厌恶烦琐复杂的工作。因为升级的挑战过程和额外的知识学习并不是用户建网的目的。l 技术的成熟性和稳定性以太网技术是十分成熟的技术，它所组成系统的可靠性已经接近一般的电话通讯系统（我们可以体会到，电话是不大出错的）。“千兆以太网仍然是以太网”意味着千兆以太网是可以信赖的技术。l 总体开销较低总体性的开销是评价网

18、络技术重要的因素。总体开销不仅包括购买设备的开销，还应包括培训、维护和纠错的开销。而千兆以太网产品能提供较好的性能价格比。从台式机联网的网卡、集线器、交换机、路由器和其它各种设备，千兆以太网和其它类似速率的通信技术比较价格总是低廉的。并且，由于用户早已熟悉了以太网技术，以太网的维护和纠错手段，因此以太网维护的开销也较少。从技术本身的特征分析，千兆以太网的技术复杂度也较低。网络管理人员不需要记忆很多术语，不需要经过复杂的额外培训。l 灵活的网络互联和网络设计千兆以太网可以支持多种交换、路由和共享式方式。所有当今的网络互联技术，包括第三、四层交换技术和千兆以太网都是兼容的。o 千兆以太网性能很高千

19、兆以太网能以千兆线速运行。由于多数千兆以太网使用无冲突的交换式、全双工的结构，应当认为此时的吞吐率将可以接近全双工的理论上的2Gb/s的最大吞吐量。o 提供更高等级的服务质量千兆以太网提供高速连接能力，但本身不提供完整的服务功能如服务质量（QoS），自动冗余容错，或是高层路由功能。这些功能在其它开放标准中定义。如同所有的以太网描述，千兆以太网定义OSI协议模型的数据链路层（第二层），TCP和IP分别在传送层（第四层）和网络层（第三层）部分中定义，允许在应用之间的可靠通信服务。QoS等问题在最初的千兆以太网描述中未曾涉及，但是必须由此类标准的几种中加以定义。在90年代后期出现的应用要求稳定的网络

20、带宽、延迟和敏感性。此类的网络应用包括语音和影像在局域网和广域网上传送，组播软件分发。相关的标准化组织针对此类需求已经作出了新的开放标准定义如RSVP，IEEE 802.1p和IEEE 802.1Q标准化小组也正在进行各自的工作。作为推荐性的标准，响应连接质量要求、提供网络连接质量的RSVP已经获得了业界的认可。为了使RSVP能发挥作用，为网络应用提供所要求的持续质量，在客户和服务器之间的任何一个网络部件都必须支持RSVP和正常的通信能力。由于在真正获得服务质量的显著效果之前需要如此多的网络部件支持RSVP，有些厂商开发了一些在某种程度上支持QoS的厂家专有方案。尽管它们可以为用户提供QoS的

21、效益，但要求网络的某些部分是这些厂家所独有的。802.1p和802.1Q靠提供一种所谓的“打标记”的方式实现以太网上的服务质量功能。打标签就是在数据包上做标记，注明该数据包所期望的服务类型或是优先级别。这种标记使得应用能够与网络互联设备按不同的优先级通信。RSVP可以由将RSVP映射到802.1p服务级别的方式实现。不同的千兆以太网设备一般只有上述部分标准，这样可以使以太网连接更有效率，功能较强。但千兆以太网的成功不依赖于标准中的任何一个。模块化标准的优点是标准的任何部分都可以在市场和和产品质量有需求时进行更新。请注意所有这些标准都和快速以太网和10M以太网相匹配，各个层次的以太网运行性能和质

22、量都可以从标准化的工作中获益。l 千兆以太网的距离千兆以太网标准定义了传输距离的三个特定目标：最大距离为550米的多模光纤，最大距离为3千米的单模光纤，最大距离不小于25米、理想为100米的铜线。实际上CISCO公司已经突破了这些距离定义的限制，CISCO公司的千兆以太网传输距离已经达到城域网的长度，并且已经利用长距离的千兆以太网的传输手段建设出了长达近百千米的成功城域网范例。这种长距离的千兆位高速传输的解决方案引起了人们的极大兴趣和关注。1.4.2 主干网络的选择办公网络以星形拓扑结构为基础，采用核心到接入二层网络结构。其主干采用千兆以太交换技术，各桌面系统采用快速以太网技术。o 千兆以太网

23、的技术掌握和操作相对简单,ATM需要掌握大量的相关知识，而具备高水平网络人才的中国企业目前还不多，10G网络目前很少商用。千兆以太网因此而独具优势。实际上对于企业网络管理人员来说，他们最关心的是稳定可靠的网络运行。简单实用，避免复杂的培训和网络管理工作，应当是网管人员的目标。以太网从很简单的概念中得到效益：网络越简单就越有用。o 千兆以太网具有价格优势千兆以太网继承了传统以太网的主要技术特征，以太网长期研发和生产线经验使得千兆以太网的产品具有成熟性和大规模生产的价格优势。从构造层次和技术复杂性来说，千兆以太网也应在价格上优于其它主干方式。考虑到倍比于设备开销的维护管理开销，千兆以太网似乎更应胜

24、出一筹。o 网络维护和管理以太网在管理QoS和VLAN等功能时会变得复杂。但这也是循序渐进得学习过程。o 技术的稳定性“稳定性”指技术的成熟标准和众多厂家对该项技术所达成的认识一致性。o “千兆以太网还是以太网”意味着它基本上是使用多年的成熟技术，具有很多成熟标准，拥有很多不同厂家的系列兼容产品支持，它们之间的互操作性早已得到证实。o 可靠性和弹性可靠性和弹性反映了网络的容错能力和对变化流量支持能力。o 性能一些三层交换协议和基于硬件的线速路由器使得千兆以太网似乎更具优越性。目前的千兆位路由交换机的包处理速度已经超过三千五百万PPS，而转发不必考虑网络边缘和核心位置。o 千兆以太网也不是完全没

25、有QoS能力。虽然简单一些，但是以太网也能提供优先级的控制能力。在办公网络建设中，除非有条件，有特殊需求和环境限制，一般在考虑要求较高的主干协议时恐怕千兆以太网应当首先考虑。故在网络方案中，选用千兆以太网更为实际,也更好一些。基于上述技术选择考虑，民航云南监管办综合业务楼的网络建设满足如下要求：o 网络中心设置于业务楼4楼，是监管办的数据交换中心，数据存储中心，其中配置千兆以太网交换机，满足网络高速交换和路由需求。高性能服务器可以通过千兆网卡接入核心交换机，提高对应用系统得高速访问。o 在办公楼各楼层交换机采用具有千兆光纤接口的部门级接入交换机，一方面可以通过交换机千兆光接口连接到网络中心核心

26、交换机，满足网络带宽需求，连接方式建议采用冗余链路，保证链路的可靠性；另一方面通过100M电接口与桌面应用系统连接，保证数据高速有效的访问。o 采用802.1X认证手段，提高网络安全性。o 在接入层交换机采用具有广播报文抑制、端口反查等安全手段的二层交换机。o 采用网管平台和可网管交换机，满足网络设备管理需求。o 网络结构采用IP优化的星形光纤网络结构。o 骨干层链路应具备电信级运营网络所具有的自愈保护功能，具有提供多层次（物理层、数据链路层、网络层）恢复机制的能力；o 带宽管理支持公平算法、自动拥塞避免技术、负载均衡技术。o 物理网络本身支持组播功能。1.4.3 网络实现1.4.3.1 主干

27、网主干网由核心交换机和接入交换机组成，考虑到在目前通信条件的成熟和对性能要求的提高，采用千兆以太网技术和快速以太网技术相结合，网络的主干建议采用高性能、高可靠性核心交换机与分布于各楼层的接入交换机相连，交换机之间采用1000M光纤连接。提供多种模块接口，实现千兆光纤或千兆以太网电口接入。接入交换机则选用高性能，通过一块千兆光纤模块实现网络上联，通过24/48口快速以太网接口连接工作站，实现到桌面的百兆连接。考虑网络可靠性要求，我们在核心交换机上配置有双主控引擎，双电源，保证一旦主控引擎失效或设备升级，系统快速切换到备用引擎上，实现业务不间断运行网络中心机房配置一台千兆接入交换机，用于数据库服务

28、器、Internet服务器等服务器连接，可以通过千兆光接口卡接入核心交换机的千兆光接口模块上，这样可以提供足够的带宽，减少由于用户对服务的集中要求所产生的瓶颈。1.4.3.2 接入网接入网由接入交换机和面向终端用户的工作站组成，即将建成的民航云南监管办综合楼的用户终端通过100M UTP与接入交换机相连形成接入网络，各接入网络可采用千兆以太网技术，通过光纤布线接入位于业务楼4楼的网络中心核心交换机上，从而实现数据快速交换及数据共享。本设计方案具有如下特点：n 实用性接入交换机的端口配置根据本期工程的工作站接入数量确定，将来随着管理和业务系统的应用模块的增加和PC工作站数量的增加，再增加接入交换

29、机的数量，避免了按信息点数量配置交换机端口造成的设备闲置和浪费。而且网络产品的价格一直呈下降趋势，逐步增加交换机的数量可以节省投资。n 高速交换局域网主干整个网络主干采用千兆以太网交换技术，保证了主干的高带宽，避免了传统共享网络的碰撞问题，提高了整个网络系统的性能。n 可管理性整个网络系统均选用可网管的交换机，采用统一的网管软件进行统一管理。网管应用软件可运行在当今所有流行的网管平台上，支持全部相关的SNMP标准，可使用方便直观的图形界面进行本地和远程的网络管理和监控，故障诊断及排除，网络的配置及调整，VLAN的划分和管理等，为整个网络系统提供一个功能强大但又简单易用的管理手段。n 高灵活性和

30、高安全性由于使用了VLAN的划分技术，使得网络系统的划分不再受物理连接的限制。并且，在需要变动节点连接时，不必改变物理线路，而只要通过在网管软件上的鼠标拖动即可完成。同时，任意两个VLAN之间是完全隔离的，如果需要互连则必须通过三层交换机进行，可以控制对某些重要资源的访问，大大提高了网络系统的内部安全性。n 对虚拟网（VLAN）标准的支持所有交换机均能提供虚拟网（VLAN）功能，可以跨越主干网建立虚拟网，支持IEEE802.10虚拟网标准和交换机间连接协议（InterSwitchLink-ISL）。虚拟网通过路由交换模块连接，实现第三层交换功能。同时支持动态VLAN和静态VLAN。n 多协议支

31、持全面支持TCP/IP、IPX等不同网络协议。n 安全性支持802.1x认证机制，是接入交换机端口的用户安全有效地使用网络资源。可以通过对数据包源地址和目的地址、TCP端口号等因素进行判断，决定是否转发，这使得用户可以通过配置，屏蔽某些不合法的访问，保证网络资源的安全性。n 可扩展性充分考虑到未来的应用发展需求，能够满足监管办Internet接入、办公自动化系统应用要求。n 可靠性考虑网络可靠性要求，我们在核心交换机上配置有双主控引擎，双电源，保证一旦主控引擎失效或设备升级，系统快速切换到备用引擎上，实现业务不间断运行1.4.4 网络VLAN的划分随着网络系统建设起来后，为了优化网络信息流量的

32、需要，保证网络可靠稳定运行，有必要在局域网范围内划分多个网上工作组，及虚拟局域网（VLAN）。在我们的网络设计中，所有的主干网络设备和工作组交换机均支持VLAN的划分，因此可以实现上述要求。网络VLAN的划分在实际中一般有基于IP或端口、MAC的划分等多种。实际VLAN如何划分在具体实施时我们将同用户共同分析设计。基于MAC地址的VLAN划分的好处是MAC地址是固化在计算机中的，因此基于MAC划分好VLAN以后，这个工作组的成员就固定在对应的计算机上，可以随便移动位置而不能由使用人员或非法人员随意更改或冒充。这种方式安全性好，但由于其配置、实施不灵活而很少在大型网络中应用。基于端口的VLAN划

33、分可以划分到每一个交换机端口。所有连接到同一端口的计算机（如同一部门人员）都被划分到该端口所在的VLAN中，这样，VLAN的成员不容易控制，安全性较差一些。另外，由于同一端口只能划分到一个VLAN中，因此在复杂的网络中灵活性较差，我们建议在本方案中根据实际需要适当采用。基于IP的VLAN划分是很灵活和常用的方式。它将网络中不同IP地址划分到同一VLAN中，同一子网的计算机在同一VLAN中直接交换（不同子网IP的交换通过3层交换机），VLAN间的交换通过3层交换机来实现。由于计算机IP可以更改，就可能有冒充组员的情况发生。这种情况可通过用户的认证和授权等手段来保证安全性。另外，计算机IP的可移动

34、性和同一IP可以被划分到多个VLAN的特点为基于IP的VLAN划分带来了极大的灵活性。这种VLAN的划分在不同的网络中被广泛使用。VLAN的划分可以在网管平台上实现。考虑办公网络规模，应用需求等因素，建议采用IP子网与端口混合方式划分VLAN，各IP子网可以通过核心交换机三层交换引擎进行路由通信，保证数据共享及传输。1.4.5 远程连入办公网设计（VPN接入）根据民航云南监管办的实际情况，为了实现与下级监管部门的信息共享和业务沟通，建议采用性价比较优的VPN连接方式，实现这异地之间的互联。VPN（虚拟专网）是指依靠电信Internet宽带网络建立本单位或SOHO远程接入的技术。VPN没有传统专

35、用网络（如DDN和帧中继）的两个结点间的端到端物理链路，却能实现专用网络的功能。具有明显的优点： 组网设备费用低。 通过宽带上网、拨号上网、ISDN等接入Internet的各地局域网之间实现互联，不需要租用昂贵的专线，如DDN、帧中继。 只需支付Internet上网费用，甚至可以共享现有的Internet上网资源。在相同的通讯带宽下，节省80%的通讯费。 通过宽带上网连接的VPN，带宽能满足多数教师传输数据、声音、图像的要求。 节省网络设备运行和维护费。 连接快速、简便和简化WAN连接管理。 连网方式安全可靠。1.4.6 网络管理网络管理软件是针对数据通信设备如路由器、交换机、视讯等进行统一管

36、理和维护的网管产品，位于网络解决方案的管理层次，能够实现网元管理和网络管理的功能。它与网络设备产品一起提供全网解决方案，对数据通信设备的维护和网络管理提供支持，并提供对设备性能进行适时量化监控。作为数据通信网管整体解决方案之一，网络管理软件为用户提供了灵活的组件化结构，包括网元管理平台、广域网管理系统、局域网管理系统、网络管理工具、多媒体管理系统等，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。网络管理软件使用灵活的组件技术，支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理，支持民航云南监管办网络拓扑和应用系统运行。1.4

37、.6.1 网络集中监视网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。n 全网设备的统一拓扑视图n 拓扑自动发现，拓扑结构动态刷新n 可视化操作方式：拓扑视图节点直接点击进入设备操作面板n 在网络、设备状态改变时，改变节点颜色，提示用户n 对网络设备进行定时（轮询间隔时间可配置）的轮循监视和状态刷新并表现在网络视图上n 支持拓扑过滤，让用户关注所关心的网络设备情况n 支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象1.4.6.2 故障管理故障管理主要功能是对全网设备

38、的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。n 告警实时监视，提供告警声光提示，支持外接告警箱n 支持告警转到Email、手机短信n 支持告警过滤，让用户关注重要的告警，查询结果可生成报表n 支持告警基级别重新定义，支持告警转存，保证系统的运行效率和稳定性n 支持告警拓扑定位，将显示的焦点定位到产生选定告警的拓扑对象n 支持告警相关性分析，包括屏蔽重复告警、屏蔽闪断告警、屏蔽root-cause告警等1.4.6.3 集群管理针对大量二层交换机等低端设备的应用环境，网络管理软件提供集群管理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。n 实现对一组设备统一、集

39、中、批量配置管理；n 实现设备的集中维护管理；n 网络拓扑信息自动收集、维护，动态更新；n 节省公网IP地址资源；n 实现方便的软件升级、配置数据备份、配置数据恢复；1.4.6.4 堆叠管理堆叠是由一组交换机组成的一个管理域，其中包括一个主交换机和若干个堆叠成员交换机（从交换机），利用一个公有IP地址可以实现堆叠内所有交换机的管理。网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。其中，主交换机提供了对整个堆叠的管理接口：主交换机在从交换机加入堆叠时，自动给从交换机分配可用的IP地址，网管站通过此IP地址实现对从交换机的管理

40、和维护。1.4.6.5 流量性能监控网络管理软件可以统计不同线路的利用情况，不同资源的利用情况，为优化或扩充网络提供依据。网络管理软件提出了层次化性能监控的概念，针对不同的侧重点，提供不同的性能监控工具。网络管理软件提供流量检测工具，能够检测网络设备端口流量变化，它使得网络管理者能够直观地观测设备流量的变化，从而对网络设备进行有效的管理。针对用户关注的业务性能，网络管理软件提供了基于报文流七元组信息的流量工具NSC&NDA，它是网流的收集和分析工具。其中，网流收集器提供快速的网流设备数据收集工具，包含的功能：n 收集多个网流设备输出的网流统计数据；n 通过配置过滤器过滤掉不必要的数据；n 通过

41、聚合减少统计数据的磁盘空间占用量；n 分层次存储数据（便于客户端应用程序获取数据）；网流数据分析器（NDA，NetStreamDataAnalyzer）可以分析由NSC生成的所有数据文件，对数据文件中的数据进行进一步的聚合、排序，并将分析的结果以各种图形方式（如柱状图、饼图和趋势图等）显示出来，提供如下功能：n 详细自治域矩阵数据查询功能n 网流分布的图形化分析n 详细自治域矩阵流量分析功能1.4.6.6 故障定位与地址反查针对最为常见的端口故障，网络管理软件提供了便捷的定位检测工具路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端

42、口故障。为了网管工作自动化，网络设备内嵌智能Agent，对需要经过复杂计算的性能数据主动进行监视，在超出阈值时自动上报告警，并转发到Email、BP、手机短信及时通知网络管理员，让网络管理员随时随地监控网络运行状况。端口反查功能支持两种方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用时分别输入终端用户的MAC地址或IP地址，能够定位该终端用户连接的交换机及交换机的端口，帮助网络管理员及早定位非法报文接入网络的原始端口，及时关闭端口，防止一些违规用户进行非法操作比如滥发报文、访问非法站点等，危害网络安全。1.4.6.7 Web特性提供Web特性，具有完善的安全机制，用户可随时随地管

43、理网络，降低管理网络的难度与强度，使网络运维过程流程化，能够灵活地组织设备集合，快捷地获得设备各类信息。n 提供设备日志分析工具，使用户及时了解网络中设备运行状况。n 通过定期轮询机制，帮助用户及时了解网络关键设备的在线情况。n 提供批量配置功能，将用户从烦琐，重复的配置工作中解脱。n 提供设备配置文件管理功能，帮助用户建立配置文件版本管理机制，减少灾难情况下网络的恢复时间。n 具有完善的报表功能，让用户对网络运行情况一目了然。n 提供统一的任务机制，使用户对网络运维管理能够统一流程。1.4.7 服务质量(QoS)的实施随着办公业务系统使用等各种在某段时间内持续高带宽低延时的应用的开展，网络流

44、量的复杂化，IP交换技术的发展，二层、三层交换技术在保障网络应用的服务质量QoS，避免网络拥塞上可以起到不可缺少的作用。概括而言，QoS主要包括数据智能分类技术，拥塞控制技术两大方面，一般在网络中采用以下步骤实现服务质量：在接入层交换机中对进入网络的数据包进行网络的基本分类或根据交换机设定来进行重分类（Reclassify），同时对网络的流量采用监控(Policing)，避免由于客户设备故障或病毒产生的过度流量，然后根据监控决策结果来将这些流量放入相应的上联端口的队列，然后在此端口上采用加权算法来对该端口出去的流量进行拥塞控制(Scheduling Congestion Control)，确保

45、在接入层上关键数据流量的服务质量，在这些数据的处理过程中，同时完成了第二层以太网帧中CoS值和IP包中的TOS值或DSCP值的映射，TOS或DSCP值决定了IP报文的优先级别，而TOS或DSCP值在经过IP路由器默认情况下其值不会改变，从而能够提供跨全网的端到端的QoS。核心三层交换机在收到了从接入层交换机上传来的数据包，它开始正式对其第三层IP数据包进行分析，首先根据IP地址信息可以选择不同的转发链路，在选择了相应的链路后，这时候核心三层交换机在这些链路上对流量的拥塞不再是依据以太网帧中的CoS，而是依据在接入层交换中以及完成赋值的TOS或DSCP，分布层交换机可以根据这些值可以对网络中的流

46、量进行更细致的划分，保证关键流量将根据其各自的优先权进入网络核心。从上述技术分析来看，实施时技术要求较高，要求在实施前对网络应用模式和具体需要进行详细分析，然后合理的规划采用连接协议及QoS控制方式，使网络在满足需求的前提下趋于最高性能和可靠性。具体实现的技术方案：在具有多媒体业务需求的接入层交换机上需要支持提供完善的LAN边缘QoS，即所有的交换机支持两种模式的重新分类方法。一种模式基于IEEE 802.1p标准，遵从接入点的服务等级（CoS）值并把数据包分配到合适的队列中。第二种模式，数据包根据由网络管理员分配给接入端口的缺省CoS值来进行重新分类。如果到达的帧没有CoS值(如未做标记的帧

47、)，接入交换机就根据网络管理员分配给每个端口的缺省CoS值来进行分类。 一旦数据帧使用上面所说的两种模式分类或重新分类后，即被分配到最合适的输出队列中去。交换机支持四种输出队列，使网络管理员在为LAN流量的各种应用指定优先权时更加容易区分和有针对性。严格的优先权分配可以保证诸如语音等时间敏感的应用在通过交换结构时一直使用高速路径。另外，另一种重要的增强措施即加权循环（WRR）策略也能保证低优先级的负载在没有被网络管理员进行优先级配置的情况下，能够得到重视。 这些特性使网络管理员可以把关键任务和时间敏感的流量，如视频（视频会议，视频监控等）、语音（IP电话流量）和CAD/CAM，优于低时间敏感的

48、应用如FTP或e-mail（SMTP）等来设置更高级别的优先权。1.5 网络防病毒系统1.1.1 企业网络防病毒解决方案考虑的几个因素一个实用可行的企业级网络防病毒解决方案应该能够在整个网络中只要有可能感染和传播病毒的地方都应该有相应的解决方案，防止病毒的入侵和传播，确保网络的安全，因此，在选择企业级网络防病毒解决方案时主要应考虑以下几个问题:1、 提供一个多层次、全方位的防病毒体系。而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能，也就是说，在网络的每一个层次包括网关一级、群件服务器一级、服务器一级、客户端一级以及各种平台下都应有相应的解决方案。2、 在这个防病毒体系中应该具有简易的、统一的、集中的、智能的和自动化的管理手段和管理工具。包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护等。尽量使防病毒的管理简单易行。3、 能够有效防范各种混合型的威