免费文档范文--XX市宽带IP网络方案(四)

sp;第二层安全控制能力可以提供端口地址过滤、端口地址锁定等功能。端口地址过滤允许交换机根据预先设定的过滤规则，允许或禁止某些第二层数据包进出交换机，也就是对上网用户的网卡MAC地址进行检查后才能上网，不符合规则的用户将被拒绝上网。
 第三层安全控制能力可以提供访问控制列表能力，允许交换机根据预先设定的规则，允许或者禁止某些第三层数据（IP或IPX包）进出交换机。
2.5.3与业务相关的网络设计
网络骨干是业务最集中的地方或是数据转发的枢纽地，为此，网络设计需要保证骨干的可靠性。
网络骨干节点之间采用环形拓扑，两节点之间的光路出现故障时，不会影响节点间的通讯。此外，由于采用了跨模块的TROUNK GROUP技术，单个端口或模块的故障不会影响节点间通讯。冗余备份的管理模块保证了骨干交换机的不间断运行。
边缘节点与骨干节点之间的连接同样采用TROUNK GROUP技术，无论出现光路、端口还是模块故障，都不会造成通讯中断。
上述网络核心在IP路由设计中，也有很大的好处。OSPF作为本网的首选路由协议，需要一个AREA 0作为核心区域，所与其他的区域需要和核心区域有物理的联系，否则就要用到虚拟连接的技术，虚拟连接对于其中的传输驿站有比较大的性能压力，对于路由的分配和控制管理都非常不方便。如果选择上述网络核心作为OPSF的核心区域AREA 0，把边缘层作为一个个独立的区域，则它们都是直接连接到AREA 0上的，不需要使用虚拟连接，整个路由域只有2层，显得比较有层次，软件配置和将来可能的扩充都会比较容易。
用户的接入宽带IP网时，必须采用静态路由，保证用户内部网与城域网相对隔离和独立。用户的路由设备不会参与城域网的路由计算，避免因为用户设备的原因导致全网路由波动频繁，影响路由性能。
2.5.4 良好的网络隔离能力
企业用户比较关心的问题是网络的安全性问题，他们不希望内部数具有被窃取的可能，这就使得网络必须提供类似电路的隔离功能。在城域网的建设中，采用的比较多的是VLAN技术，即虚拟局域网技术。
在VLAN技术出现以前，以太网交换技术属于网络的第二层，所有的端口都属于同一个广播域，也就是每个端口都可以收到广播信息，不管它愿不愿意。在大型的网络环境中，广播包不可避免地会引起带宽的浪费，而在TCP/IP，IPX，WINDOWS环境下，广播包的使用更是不可或缺。
为了解决这个问题，VLAN技术应运而生。VLAN把一部分端口模拟成为一个虚拟的广播域，VLAN的所有广播都只会在本域内发送，不会超出广播域，进一步，VLAN内的所有数据都只能被同一VLAN的成员接收，而不会被非本VLAN成员接收。不同的VLAN之间不能相互通信，必须通过路由设备进行转发。如果把每个企业用户划到每个不同的VLAN内，企业用户之间就不可能相互通信，这就实现了逻辑隔离。
企业用户只通过某台设备上的一个特定端口访问网络，因此每个企业用户连接到网络的路径都是独立的，相互之间没有任何关系。
与第二层的VLAN技术相类似的还有第三层的VPN虚拟专用网技术。VPN适合于在类似于因特网这样的公网上传输私有数据。通过隧道技术和数据加密技术，用户可以控制自己的数据安全。加密手段可以在用户的路由设备上实现，也可以在专门的设备上实现。隧道技术可以在用户的路由设备上实现。由于XX市城域网属于宽带IP网，完全可以支持VPN功能。我们建议VPN功能由用户自行实现，或者租用XX电信的设备，但目前网络上尚未配置。
2.5.5 完善的设备安全性
FOUNDRY的设备具有良好的安全性：
· 多重访问控制。FOUNDRY产品具有多冲击别的访问控制，允许系统管理员完成配置管理，同时保护系统面授非法的配置修改。用户分为三种级别：超级用户、只读用户、普通用户。超级用户具有最大权限，普通用户只能配置接口参数，并使用显示参数命令。只读用户只能阅读配置，没有任何更改权利。
· 通过访问控制列表，可以禁止或允许对FOUNDRY设备的远程管理。
· 本地用户或RADIUS、TACACS+口令认证。
· 通过身份验证，可以禁止或允许TELNET访问，必要时，可以关闭TELNET服务。
· 通过SYSLOG功能，把系统事件纪录并保存下来。
2.5.6 良好的网络稳定性
网络的稳定性体现在当网络发生链路或设备失效时，网络能在短时间内恢复正常。对于一个运行级网络来说，稳定性与性能一样重要。
设备稳定性除设备的性能指标外，主要指设备的平均无故障时间（MBTF）。本方案涉及的设备MBTF如下：
MTBF for FastIron：单电源- 43,400 小时
MTBF for BigIron 4000：机箱加单电源 - 36,500 小时
MTBF for BigIron 8000：机箱加4个电源 – 32,400小时
链路稳定性体现在两个层次：第二层稳定性和网络层稳定性。
第二层稳定性表示物理链路的收敛时间。FOUNDRY产品在运行第二层交换功能时，使用最小生成树算法来保持每个VLAN。一般的最小生成树算法需要至少30秒时间进行生成树的收敛（15秒侦听，15秒学习），而FOUNDRY独有的IRONSPAN技术可以在4秒内实现生成树。FOUNDRY的第二层功能缺省打开了IRONSPAN功能。
第三层稳定性体现在路由的收敛时间。本网络采用OSPF标准协议，可以在30秒内实现全网路由收敛。实际上，OSPF在监测到路由波动时，缺省只需等5秒钟再进行路由计算，计算工作在5秒内即可完成，因此基本上是在10秒以内完成路由收敛。如有必要，还可以调整时间。
2.5.7良好的网络扩展性
本方案采用的BigIron 4000和 BigIron 8000都是机架式设备，目前只用了部分插槽，剩余未用的插槽可供今后网络扩展之用。       
FastIron工作组交换机可以堆叠，并可以采用TRUNK技术把多条物理链路当作1条逻辑链路使用，根据业务的发展可以相应地增加端口或升级上行链路。
2.5.8良好的可管理性
        所有FOUNDRY产品都支持三种网络管理方式：命令行、WEB和IRONVIEW网管软件。FOUNDRY的命令行与CISCO的命令行非常类似，都是简单易用，并有帮助功能，可以进行所有的配置工作。WEB浏览器管理则采用图形界面，直观而简洁。IRONVIEW网管软件可以单独运行在WINDOWS NT平台上，也可以与HP OPENVIEW，SUN NETMANAGER配套使用。
    FOUNDRY产品支持标准的网路管理协议：简单网络管理协议（SNMP）和远程监控协议（RMON）。通过SNMP，网管人员可以远程进行设备状态纪录，设备维护，设备告警，设备启动等操作，实现全面管理。RMON可以详细记录每个端口的流量情况，如输入输出的字节数、数据包数。以此为基础，可以实现基于流量的统计和计费。
2.5.9服务质量保证
    IronClad 服务质量是优先级的延伸，可以提供更好的灵活性和流量控制能力。采用F

首页 上一页 1 2 3 4 5 6 7 下一页 尾页 4/7/7

免费文档范文--XX市宽带IP网络方案(四)相关范文