機房網(wǎng)絡設計方案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇機房網(wǎng)絡設計方案范文,相信會為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
機房網(wǎng)絡設計方案范文第1篇
【關鍵詞】DAS;NAS;IP-SAN;iSCSI
基于IP技術的存儲區(qū)域網(wǎng)絡架構,決定數(shù)據(jù)中心存儲系統(tǒng)采用IP-SAN架構:IP-SAN無需過多成本、TCP/IP網(wǎng)絡技術成熟、統(tǒng)一標準化、較好的高擴展性和管理人性化等特點,比較適合數(shù)據(jù)中心所需的高速率、高帶寬的存儲系統(tǒng)組建。下面將通過前期對學院目前數(shù)據(jù)中心存在的問題以及當前使用要求指標,制定數(shù)據(jù)中心存儲系統(tǒng)解決方案。
1 制定方案
1.1 需求分析
本課題研究以某學院國家骨干示范建設《小型數(shù)據(jù)中心存儲系統(tǒng)》項目為背景,數(shù)據(jù)中心的設計目標是現(xiàn)有各通信與計算機實訓室終端設備和系統(tǒng)對數(shù)據(jù)中心快速訪問并滿足大規(guī)模數(shù)據(jù)存儲的現(xiàn)實要求。在建設高容量高性能基礎上,數(shù)據(jù)中心對于異構網(wǎng)絡的兼容性即高可用性,并且能夠以低成本投入高效能應用的要求。
1.2 方案確定
首先確定網(wǎng)絡平臺:現(xiàn)有的計算機終端基本配備有網(wǎng)絡適配器,有的還是千兆網(wǎng)絡適配器。IP網(wǎng)絡技術成熟,采用iSCSI協(xié)議的IP網(wǎng)絡存儲系統(tǒng)技術起點高。從存儲系統(tǒng)的使用要求來看,基于IP技術的存儲系統(tǒng)是我們實現(xiàn)低成本高性能的不二選擇。以后千、萬兆以太網(wǎng)發(fā)展起來后,IP網(wǎng)絡傳輸速率將大大提高。
其次確定網(wǎng)絡架構:NAS和SAN兩種架構形式都能使用IP網(wǎng)絡。前者是基于文件的網(wǎng)絡存儲和文件備份的存儲架構,多見于海量存儲、高讀寫吞吐率等。實現(xiàn)文件集中管理、統(tǒng)一存儲,它對IP網(wǎng)絡環(huán)境沒有要求。NAS設備可應用于異構網(wǎng)絡環(huán)境(如FTTX等)而且位置不受限制[1]。網(wǎng)絡附加存儲的不足在于沒有集中備份數(shù)據(jù)的功能,不能有效支撐數(shù)據(jù)庫應用,最核心的一點是網(wǎng)絡附加存儲不能支持塊級數(shù)據(jù)傳送,它是面向文件級的。IP-SAN把SCSI映射至TCP/IP之上,能夠完成SCSI塊數(shù)據(jù)傳送于IP網(wǎng)絡之中,它采用的是TCP/IP、SCSI協(xié)議,利用IP網(wǎng)等,解決了FC-SAN存在的范圍擴展問題[2]。IP-SAN有效地解決了當前的存儲設備,盡可能地擴展了存儲資源,保障了更多的業(yè)務應用;較好地解決了困擾DAS與SAN受限地理范圍的問題;能夠較為有效地利用以太網(wǎng)以及通過網(wǎng)絡管理軟件解決運維問題[3]。基于上述,本案宜采用IP-SAN存儲架構。
IP-SAN協(xié)議的確定:存儲區(qū)域網(wǎng)絡技術大體有FCIP、iFCP以及iSCSI三種,F(xiàn)CIP與iFCP主要是存儲區(qū)域網(wǎng)絡技術從FC通道到IP網(wǎng)絡的中間臨時使用,但是本課題大致應用于數(shù)據(jù)存儲和傳輸?shù)拇鎯ο到y(tǒng)和設備,涉及光纖設備和光纖網(wǎng)絡較少,三種協(xié)議中,只有iSCSI協(xié)議與光纖無關,故iSCSI協(xié)議在此采用。服務器中的軟件,把SCSI數(shù)據(jù)打包進IP包里面,而后把這個包傳送至目標設備,在IP網(wǎng)絡上,再由后者將IP包解包還原為SCSI數(shù)據(jù)。
2 數(shù)據(jù)中心存儲系統(tǒng)的方案設計
依據(jù)IP-SAN結構與iSCSI協(xié)議相關標準,存儲系統(tǒng)結構:軟件部分由iSCSl目標器軟件、Web管理軟件和iSCSI啟動器程序(客戶端)三部分組成。用戶只需安裝并啟動iSCSl啟動器軟件,通過TCP網(wǎng)絡,就能訪問位于Stroage Server上目標資源,也能夠使用Web應用程序,管理與配置這些資源。硬件層面,使用IBM服務器相連于吉比特局域網(wǎng)。作為全部IP-SAN中最重要的設備,Stroage Server使用iSCSI協(xié)議,支持DATA存儲業(yè)務于存儲用戶。結合數(shù)據(jù)中心應用的服務對象-用戶的實際需求,該設備的磁盤容量不能設計太小,還要兼具合適的擴展、容災能力,適用于千兆局域網(wǎng)絡,能夠提供熱插拔功能。網(wǎng)絡層面,采用吉比特網(wǎng)絡。
2.1 選擇IP-SAN存儲服務器
針對存儲系統(tǒng)穩(wěn)定可用方面的需求,我們選用了IBM公司的X3650 M3系列服務器,安裝08網(wǎng)絡操作系統(tǒng),采用SATA硬盤接口,8塊500G硬盤,這里面使用1個安裝操作系統(tǒng),1個用來做冗余,RAID 5配置在剩余的6塊硬盤上。采用Web存儲服務管理軟件,為用戶提供向導式圖形化接口,用來申請、注銷iSCSI存儲服務。
2.2 客戶端
鑒于數(shù)據(jù)中心目前大部分主機的操作系統(tǒng)安裝使用情況,采用微軟2000,該的Internet Explorer指明要5.0或更高版本。安裝微軟操作的客戶端,iSCSI使用微軟免費啟動器程序。
3 存儲服務器的磁盤陣列配置
根據(jù)需求分析,本數(shù)據(jù)中心存儲系統(tǒng)解決方案采用RAID 5配置。比RAID0高的數(shù)據(jù)安全性能,比RAID 1高的數(shù)據(jù)讀寫性能,使其成為了存儲性能、數(shù)據(jù)安全和存儲成本兼顧的存儲解決方案。與RAID 1不同的是RAID 5多了一個奇偶效驗信息[5]。
存儲服務器管理軟件當前基本都采用了圖形化窗口式的設計,管理員不用登錄設備配置管理,這樣設備既方便使用又安全。它的工作過程為:機器上啟用一個名為Servlet的服務,管理員使用JSP網(wǎng)頁請求任務,然后Servlet通過TELNET運行目標器程序,再執(zhí)行管理員的操作。已運行的目標器程序信息還能由此管理軟件保存在硬盤上,并擁有自我恢復功能[6]。
iSCSI協(xié)議在兼容性、可擴展性、安全性方面的特點,決定了IP-SAN這種存儲架構的發(fā)展必將大規(guī)模的應用于現(xiàn)代IP網(wǎng)絡中。隨著千兆級、萬兆級局域網(wǎng)的發(fā)展,IP-SAN勢必取得不亞于FC-SAN的傳輸速率和高帶寬。而采用iSCSI的IP存儲區(qū)域網(wǎng)絡解決方案投入較少,IP網(wǎng)絡技術相對成熟、擴張方便和管理容易,適合數(shù)據(jù)中心高性能高帶寬存儲業(yè)務的要求。在學院小型數(shù)據(jù)中心存儲系統(tǒng)的解決方案中,存儲服務器采用WINDOWS平臺,以不多的軟、硬件投入完成了IP-SAN存儲系統(tǒng)的設計,后期還可以對系統(tǒng)功能進行擴展和優(yōu)化。
【參考文獻】
[1]李兆虎.網(wǎng)絡存儲系統(tǒng)仿真研究綜述[J].計算機研究與發(fā)展,2012(49).
[2]陳濤,肖儂,劉芳.大規(guī)模網(wǎng)絡存儲系統(tǒng)的數(shù)據(jù)布局策略研究[J].計算機研究與發(fā)展,2009:46-47.
[3]朱洪斌,程杰.數(shù)據(jù)中心存儲網(wǎng)絡架構研究[J].電力信息化,2010:22-26.
[4]Chi-Huang Chiu ;Hsien-Tang Lin ;Shyan-Ming Yuan a content delivery system for storage service in cloud environment [EI SCI]International journal of ad hoc and ubiquitous computing.2010,6-8.
機房網(wǎng)絡設計方案范文第2篇
關鍵詞:校園網(wǎng);網(wǎng)絡安全;方案設計
當前網(wǎng)絡技術的快速發(fā)展,大部分高校已經(jīng)建立了學校校園網(wǎng)絡,為學校師生提供了更好的工作及學習環(huán)境,有效實現(xiàn)了資源共享,加快了信息的處理,提高了工作效率【1】。然而校園網(wǎng)網(wǎng)絡在使用過程中還存在著安全問題,極易導致學校的網(wǎng)絡系統(tǒng)出現(xiàn)問題,因此,要想保證校園網(wǎng)的安全性,首先要對校園網(wǎng)網(wǎng)絡安全問題深入了解,并提出有效的網(wǎng)絡安全方案設計,合理構建網(wǎng)絡安全體系。本文就對校園網(wǎng)網(wǎng)絡安全方案設計與工程實踐深入探討。
1.校園網(wǎng)網(wǎng)絡安全問題分析
1.1操作系統(tǒng)的漏洞
當前大多數(shù)學校的校園網(wǎng)都是采用windows操作系統(tǒng),這就加大了安全的漏洞,服務器以及個人PC內部都會存在著大量的安全漏洞【2】。隨著時間的推移,會導致這些漏洞被人發(fā)現(xiàn)并利用,極大的破壞了網(wǎng)絡系統(tǒng)的運行,給校園網(wǎng)絡的安全帶來不利的影響。
1.2網(wǎng)絡病毒的破壞
網(wǎng)絡病毒是校園網(wǎng)絡安全中最為常見的問題,其能夠使校園網(wǎng)網(wǎng)絡的性能變得較為低下,減慢了上網(wǎng)的速度,使計算機軟件出現(xiàn)安全隱患,對其中的重要數(shù)據(jù)帶來破壞,嚴重的情況下還會造成計算機的網(wǎng)絡系統(tǒng)癱瘓。
1.3來自外部網(wǎng)絡的入侵和攻擊等惡意破壞行為
校園網(wǎng)只有連接到互聯(lián)網(wǎng)上,才能實現(xiàn)與外界的聯(lián)系,使校園網(wǎng)發(fā)揮出重要的作用。但是,校園網(wǎng)在使用過程中,會遭到外部黑客的入侵和攻擊的危險,給校園互聯(lián)網(wǎng)內部的服務器以及數(shù)據(jù)庫帶來不利的影響,使一些重要的數(shù)據(jù)遭到破壞,給電腦系統(tǒng)造成極大的危害。
1.4來自校園網(wǎng)內部的攻擊和破壞
由于大多數(shù)高校都開設了計算機專業(yè),一些學生在進行實驗操作的時候,由于缺乏專業(yè)知識,出于對網(wǎng)絡的興趣,不經(jīng)意間會使用一些網(wǎng)絡攻擊工具進行測試,這就給校園網(wǎng)絡系統(tǒng)帶來一定的安全威脅。
2.校園網(wǎng)網(wǎng)絡安全的設計思路
2.1根據(jù)安全需求劃分相關區(qū)域
當前高校校園網(wǎng)都沒有重視到安全的問題,一般都是根據(jù)網(wǎng)絡互通需要為中心進行設計的。以安全為中心的設計思路能夠更好的實現(xiàn)校園網(wǎng)的安全性。將校園網(wǎng)絡分為不同的安全區(qū)域,并對各個區(qū)域進行安全設置。其中可以對高校校園網(wǎng)網(wǎng)絡安全的互聯(lián)網(wǎng)服務區(qū)、廣域網(wǎng)分區(qū)、遠程接入?yún)^(qū)、數(shù)據(jù)中心區(qū)等進行不同的安全區(qū)域。
2.2用防火墻隔離各安全區(qū)域
通過防火墻設備對各安全區(qū)域進行隔離,同時防火墻作為不同網(wǎng)絡或網(wǎng)絡安全區(qū)域之間信息的出入口,配置不同的安全策略監(jiān)督和控制出入網(wǎng)絡的數(shù)據(jù)流,防火墻本身具有一定的抗攻擊能力。防火墻把網(wǎng)絡隔離成兩個區(qū)域,分別為受信任的區(qū)域和不被信任的區(qū)域,其中對信任的區(qū)域將對其進行安全策略的保護,設置有效的安全保護措施,防火墻在接入的網(wǎng)絡間實現(xiàn)接入訪問控制。
3.校園網(wǎng)網(wǎng)絡安全方案設計
3.1主干網(wǎng)設計主干網(wǎng)可采用三層網(wǎng)絡構架,將原本較為復雜的網(wǎng)絡設計分為三個層次,分別為接入層、匯聚層、核心層。每個層次注重特有的功能,這樣就將大問題簡化成多個小問題。
3.2安全技術的應用3.2.1VLAN技術的應用。虛擬網(wǎng)是一項廣泛使用的基礎,將其應用于校園網(wǎng)絡當中,能夠有效的實現(xiàn)虛擬網(wǎng)的劃分,形成一個邏輯網(wǎng)絡。使用這些技術,能夠優(yōu)化校園網(wǎng)網(wǎng)絡的設計、管理以及維護。
3.2.2ACL技術的應用。這項技術不僅具有合理配置的功能,而且還有交換機支持的訪問控制列表功能。應用于校園網(wǎng)絡當中,能夠合理的限制網(wǎng)絡非法流量,從而實現(xiàn)訪問控制。
3.3防火墻的使用防火墻是建立在兩個不同網(wǎng)絡的基礎之間,首先對其設置安全規(guī)則,決定網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包是否允許通過,并對網(wǎng)絡運行狀態(tài)進行監(jiān)視,使得內部的結構與運行狀況都對外屏蔽,從而達到內部網(wǎng)絡的安全防護【3】。如圖一所示。防火墻的作用主要有這幾個方面:一是防火墻能夠把內、外網(wǎng)絡、對外服務器網(wǎng)絡實行分區(qū)域隔離,從而達到與外網(wǎng)相互隔離。二是防火墻能夠將對外服務器、網(wǎng)絡上的主機隔離在一個區(qū)域內,并對其進行安全防護,以此提升網(wǎng)絡系統(tǒng)的安全性。三是防火墻能夠限制用戶的訪問權限,有效杜絕非法用戶的訪問。四是防火墻能夠實現(xiàn)對訪問服務器的請求控制,一旦發(fā)現(xiàn)不良的行為將及時阻止。五是防火墻在各個服務器上具有審計記錄,有助于完善審計體系。
4.結語
總而言之,校園網(wǎng)絡的安全是各大院校所關注的問題,當前校園網(wǎng)網(wǎng)絡安全的主要問題有操作系統(tǒng)的漏洞、網(wǎng)絡病毒的破壞、來自外部網(wǎng)絡的入侵和攻擊等惡意破壞行為、來自校園網(wǎng)內部的攻擊和破壞等【4】。要想保障校園網(wǎng)網(wǎng)絡的安全性,在校園網(wǎng)網(wǎng)絡安全的設計方面,應當根據(jù)安全需求劃分相關區(qū)域,用防火墻隔離各安全區(qū)域。設計一個安全的校園網(wǎng)絡方案,將重點放在主干網(wǎng)設計、安全技術的應用以及防火墻的使用上,不斷更新與改進校園網(wǎng)絡安全技術,從而提升校園網(wǎng)的安全性。
作者:金茂 單位:杭州技師學院
參考文獻:
[1]余思東,黃欣.校園網(wǎng)網(wǎng)絡安全方案設計[J]軟件導刊,2012,06:138-139
[2]張明,姜崢嶸,陳紅麗.基于WLAN的無線校園網(wǎng)的設計與實現(xiàn)[J]現(xiàn)代電子技術,2012,13:63-65+68
機房網(wǎng)絡設計方案范文第3篇
關鍵詞:計算機;網(wǎng)絡安全;解決方案
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)05-1065-02
1概述
對計算機網(wǎng)絡安全產生威脅的因素成千上萬,因此針對這些因素來保護計算機網(wǎng)絡安全的手段也是錯綜復雜。一般來講,對計算機網(wǎng)絡安全起保護作用的技術主要有入侵檢測技術、防火墻技術、防病毒技術、加密技術、安全評估技術以及身份認證技術等。為了充分保障網(wǎng)絡完全,就必須要結合網(wǎng)絡的實際情況以及實際需要,將各種措施進行有效地整合以建立起一個完善的、立體的以及多層次的維護網(wǎng)絡安全的防御體系。有一個全方位多面的網(wǎng)絡完全解決方法才能從各個方面來保障計算機網(wǎng)絡的各種安全問題。
在網(wǎng)絡系統(tǒng)中,依據(jù)網(wǎng)絡拓撲結構以及對各種風險進行的分析,通常采取以下措施來全方位地保障計算機網(wǎng)絡完全:
1)身份鑒定:對具有合法身份的用戶進行鑒定。
2)病毒防護:進行殺毒以防止病毒入侵。
3)安全審計:實時監(jiān)控網(wǎng)絡安全以及時發(fā)現(xiàn)網(wǎng)絡上的異常動態(tài),忠實地記錄網(wǎng)絡所發(fā)生的違規(guī)行為或是網(wǎng)絡入侵行為以為日后提供證據(jù)。
4)信息加密:對信息進行加密以防止傳輸信息線路上的泄漏、竊聽、破壞以及篡改。
5)入侵檢測:通過利用各種方式來對計算機系統(tǒng)或是網(wǎng)絡的信息數(shù)據(jù)進行收集由此來發(fā)現(xiàn)計算機系統(tǒng)或是網(wǎng)絡中是否存在威脅安全的行為或是被攻擊的痕跡。一旦發(fā)現(xiàn)異常情況的存在就回去自動地發(fā)出警報并提示采取相應的解決方式。與此同時,自動記錄了受攻擊的過程,為計算機系統(tǒng)或是網(wǎng)絡的恢復以及追查來源提供依據(jù)。
6)訪問控制:對操作用戶的文件或是數(shù)據(jù)的權限進行控制或是限制,以避免其他用戶越權訪問。
7)安全保密管理措施:這是維護計算機網(wǎng)絡安全的重要組成部分。及時對已經(jīng)有較全面的安全保密措施,仍然需要充分的管理力度以防止出現(xiàn)安全隱患。
8)漏洞掃描:進行漏洞掃描來對計算機網(wǎng)絡所存在的安全隱患進行全面地檢查,協(xié)助管理員發(fā)現(xiàn)安全漏洞。
2計算機網(wǎng)絡安全解決方案
2.1動態(tài)口令式身份認證方案
動態(tài)口令來進行身份認證具備動態(tài)性、隨機性、不可逆性以及一次性的特點。這種方式不僅保留了原有靜態(tài)式方法的方便性特點,同時也很好地對靜態(tài)式口令方式的各種缺陷進行了彌補。動態(tài)口令方式在國際公開密碼的算法基礎上衍生動態(tài)口令,并經(jīng)過幾十次的非線性式的迭代運算完成了密鑰與時間參數(shù)的充分混合與擴散。在這個基礎上,利用解密流程以及先進的身份認證與密鑰管理方法來從整體上保障計算機網(wǎng)絡系統(tǒng)的安全。
2.1.1動態(tài)口令式系統(tǒng)的抗實物解剖力
動態(tài)口令方式采用了加密式的數(shù)據(jù)處理器,對企圖利用結算法程序從網(wǎng)絡中讀出的行為能進行有效地防止,具備較高的抗實物解剖能力。除此之外,在初始化中隨時生成的每個用戶的密鑰也是不相同的,密鑰與口令生成有關的信息同時存儲在動態(tài)RAM中。一旦有人對其進行分析處理,處理過程一旦掉電,密鑰就會消失。就算有人破解了其中的程序也因不知道客戶的密鑰而無法計算出客戶的實時口令。
2.1.2動態(tài)口令式的抗截獲能力
在動態(tài)口令系統(tǒng)中,每個正確的口令都只能使用一次。因此客戶不用擔心口令會在認證期間被第三方知道。所以正確的口令一旦在認證服務器上被認證后就會在數(shù)據(jù)庫中留下記錄。
2.1.3系統(tǒng)的安全數(shù)據(jù)庫加密與密鑰管理
用戶的信息以及用戶密鑰都存在安全數(shù)據(jù)庫。安全數(shù)據(jù)庫的信息一旦被泄漏,將會使得第三者有合法的身份進行操作,因此 這里的數(shù)據(jù)是要求絕對保密的。通常我們隊安全數(shù)據(jù)庫進行加密后在放在服務器上,不能以明碼的形式出現(xiàn)。安全數(shù)據(jù)庫的主密鑰存儲在計算機網(wǎng)絡系統(tǒng)維護員的IC卡上,因此只有掌握了系統(tǒng)維護員IC卡的人才能對安全數(shù)據(jù)庫的數(shù)據(jù)進行操作。。如果沒有數(shù)據(jù)安全庫的密鑰,即使接觸到了服務器,也不能獲得用戶的密鑰。
2.1.4動態(tài)口令式的抗窮舉攻擊力
破解口令的常用的攻擊手段是窮舉攻擊。窮舉攻擊手段能夠大量地頻繁地對每一個用戶的口令進行反復的認證。正對這一攻擊手段,動態(tài)口令身份認證系統(tǒng)在每個用戶每個時段的認證結構都進行日志記錄。一旦發(fā)現(xiàn)用戶的認證信息多次驗證失敗時系統(tǒng)就會自動鎖住該用戶的認證行為。這樣就能很好地防止窮舉攻擊的攻擊可能性。
2.2信息加密方案
加密手段是維護網(wǎng)絡安全的一個極其重要的手段。它的設計理念就是網(wǎng)絡既然本身就是不安全的,那么就應該對所有重要的信息進行加密處理。對信息進行加密是為了達到保護網(wǎng)絡內的文件、數(shù)據(jù)、口令以及控制信息的目的,以保證網(wǎng)絡安全的全面性與完整性。
網(wǎng)絡加密可以在應用級、鏈路級以及網(wǎng)絡級等進行。對信息加密要通過各式各樣的加密算法來進行。據(jù)初步統(tǒng)計,到目前為止,已開發(fā)出來的加密算有已經(jīng)有幾百種了。通常加密算法可以分為不對稱即公鑰密碼算法與對稱即私鑰密碼算法。
網(wǎng)絡密碼機是在VPN技術的基礎上所出現(xiàn)的一種網(wǎng)絡安全設施。VPN即虛擬專用網(wǎng)是指以公用網(wǎng)絡作為傳輸媒體,通過驗證網(wǎng)絡流量以及加密的方式來保證公用網(wǎng)絡上所傳輸?shù)男畔⒌陌踩裕WC私人信息不被篡改與竊取。網(wǎng)絡密碼機采用專門的的硬件來加密與保護局域網(wǎng)數(shù)據(jù)的安全性。所以具有極高的網(wǎng)絡性能與安全強度。
2.3防火墻系統(tǒng)對訪問的控制能力
目前最為廣泛使用與流行的計算機網(wǎng)絡安全技術是防火墻技術。它的中心思想是就算是在安全性較低的網(wǎng)絡環(huán)境中也要構建出安全性相對較高的子網(wǎng)環(huán)境出來。防火墻技術用于執(zhí)行兩個網(wǎng)絡中的訪問控制,它能夠對保護對象的網(wǎng)絡與互聯(lián)網(wǎng)或是其它網(wǎng)絡之間的傳遞操作、信息存取進行限制。它是一種隔離式的控制技術,可以用作網(wǎng)絡安全域或是不同網(wǎng)絡之間的信息出入口,能依據(jù)企業(yè)的安全方法對進出網(wǎng)絡的信息數(shù)據(jù)進行控制。防火墻本身就具有強大的抗攻擊能力。
防火墻技術包括:服務器型、包過濾型以及全狀態(tài)包過濾型。防火墻的使用范圍非常靈活,可以在以太網(wǎng)上的任何部位進行分割,以構建出安全網(wǎng)絡單位,也可以在單位的內網(wǎng)與外界的廣域網(wǎng)從出口上進行劃分,以保護單位內網(wǎng),構建局部的安全網(wǎng)絡范圍。
利用防火墻設置安全策略來加強保護服務器,必要時還要啟用防火墻的NAT功能來隱藏網(wǎng)絡的拓撲結構,利用日志記錄來監(jiān)控非法訪問。采用防火墻和入侵檢測聯(lián)合功能來形成動態(tài)的相適應的安全保護平臺。
防火墻依據(jù)系統(tǒng)管理者的設置安全選項來保護內部網(wǎng)絡,通過高效能的網(wǎng)絡核心來進行訪問控制,與此同時,提供信息過濾、網(wǎng)絡地址轉換、內容過濾、帶寬管理、服務、用戶身份認證、流量控制等功能。
3結束語
隨著現(xiàn)代網(wǎng)絡信息技術的不斷普及以及在各個領域的廣泛使用,計算機網(wǎng)絡安全也成為了影響網(wǎng)絡效能的重要因素。人們對計算機的使用程度也使得網(wǎng)絡安全問題變得格外重要。面對目前所存在的大量網(wǎng)絡安全問題,為了廣大用戶的隱私保護與安全著想。我們有必要加強對網(wǎng)絡安全措施的研究。
參考文獻:
[1]林廷劈.網(wǎng)絡安全策略[J].三明高等專科學校學報,2002,15(4).
[2]劉遠生.計算機網(wǎng)絡安全[M].北京:清華大學出版社,2006.
[3]仇劍鋒,蔡自興.信息網(wǎng)絡安全設計策略[J].中國科技,2003,16(8).
機房網(wǎng)絡設計方案范文第4篇
關鍵詞:WCDMA;TD-SCDMA;混合組網(wǎng)
中圖分類號:TN929文獻標識碼:A文章編號:1009-2374(2009)21-0038-03
ITU針對3G規(guī)定了五種無線通信技術,其中WCDMA、cdma2000和TD-SCDMA是三種主流技術。其中WCDMA和cdma2000采用頻分雙工方式,需要成對的頻率規(guī)劃;WCDMA擴頻碼速率為3.84Mchip/s,載波帶寬為5MHz。TD-SCDMA采用時分雙工、TDMA/CDMA多址方式工作,擴頻碼速率為1.28Mchip/s,載波帶寬為1.6MHz,其基站間同步是必須的。TD-SCDMA采用了智能天線、聯(lián)合檢測、上行同步控制及動態(tài)信道分配、接力切換等技術,適合非對稱數(shù)據(jù)業(yè)務。WCDMA采用了HSDPA技術,其下行數(shù)據(jù)速率超過了普通WCDMA和TD-SCDMA,是目前3G技術中發(fā)展最快的技術,也是商用化最快的技術。WCDMA與TD-SCDMA的標準制訂都由3GPP來完成的,二者在業(yè)務層和核心網(wǎng)層的協(xié)議是一致的,主要區(qū)別是使用了不同的無線接入技術。因此,WCDMA與TD-SCDMA系統(tǒng)在網(wǎng)絡結構上具有一定的共性,既可以實現(xiàn)獨立組網(wǎng),也可以實現(xiàn)混合組網(wǎng)。
一、WCDMA與TD網(wǎng)絡混合組網(wǎng)網(wǎng)絡結構
3GPP的網(wǎng)絡結構分為核心網(wǎng)和無線接入網(wǎng)兩大子系統(tǒng)。WCDMA及TD-SCDMA是3GPP的兩種無線接入技術,具有相同的網(wǎng)絡架構,在系統(tǒng)最初設計時兩種技術都是按照可以獨立組網(wǎng)的能力進行設計的。TD-SCDMA的特點主要反映在空中接口上,TD-SCDMA的基站(NodeB)、終端和WCDMA的基站、終端是不同的,基站控制器RNC有少量的不同點,而在核心網(wǎng)方面沒有任何差別。WCDMA網(wǎng)絡與TD-SCDMA混合組網(wǎng)時通過共用核心網(wǎng)、共用RNC及核心網(wǎng)兩種方式。
(一)共用核心網(wǎng)方式
在核心網(wǎng)與UTRAN的Iu接口上,從目前3GPP的規(guī)范來看,是不區(qū)分FDD和TDD的,因此TD-SCDMA與WCDMA的Iu接口也是一致的。從核心網(wǎng)的角度看,TD-SCDMA、WCDMA是兩種不同的接入方式,不同的接入方式的差別已經(jīng)在RNC得到處理,核心網(wǎng)所見的是一個統(tǒng)一的Iu接口。對核心網(wǎng)來講,唯一可見兩種接入方式的是在無線接口層三協(xié)議(由TS24.008規(guī)定),在TS 24.008中,有兩個bit示出TD-SCDMA與WCDMA的區(qū)別,具體如下:
1.Mobile Station Classmark 3信息單元(TS24.008中10.5.1.7)。此信息單元指示一般的移動臺特征,其內容將會影響網(wǎng)絡對移動臺的操作。Mobile Station Classmark 3中有兩個bit(UMTS FDD Radio Access Technology Capability和UMTS 1.28 Mcps TDD Radio Access Technology Capability),用于在重定位請求時分別指示移動臺對WCDMA和TD-SCDMA RAT的支持能力。
2.MS Radio Access capability信息單元(TS24.008中10.5.5.12a)。MS Radio Access capability是一個GPRS移動性管理的信息單元,用于向網(wǎng)絡的無線部分提供移動臺無線特征的信息,其內容將會影響網(wǎng)絡對移動臺的操作。MS Radio Access capability中有兩個bit(UMTS FDD Radio Access Technology Capability和UMTS 1.28 Mcps TDD Radio Access Technology Capability),用于路由區(qū)更新及附著請求時分別指示移動臺對WCDMA和TD-SCDMA RAT的支持能力。
此兩項只是移動臺在接入或區(qū)域發(fā)生變化時用來向網(wǎng)絡指示其是否支持TD-SCDMA和WCDMA,其實現(xiàn)的操作過程相同,對于流程及底層的傳輸并不產生大的影響,且并不影響接口和流程。
(二)共用RNC及核心網(wǎng)方式
在3GPP的協(xié)議標準中,TD-SCDMA的RNC與WCDMA的RNC 在高層協(xié)議處理過程上大部分是相同的,只有幾個協(xié)議過程有區(qū)別,但在無線資源管理上TD-SCDMA的RNC與WCDMA的RNC區(qū)別比較大。在RNC二、三層協(xié)議MAC、RLC、PDCP、BMC、RRC中,TD-SCDMA與WCDMA僅在MAC與RRC方面有些差別,主要是隨機接入過程、物理信道配置、上行同步及其參數(shù)的不同以及在功率控制方面的一些差別,在其余的協(xié)議中無差別。在RNC第三層協(xié)議方面,TD-SCDMA與WCDMA在Iu接口上無差別,在Iub和Iur接口上有一些差別(協(xié)議棧相同,消息及IE、某些數(shù)據(jù)幀結構不同),主要是因為有些過程、功能(Iub和Iur中的 NBAP/RNSAP)和某些數(shù)據(jù)幀(Iub/Iur UP)與TD-SCDMA特有的或與WCDMA不同的物理層有關。
1.RRM。WCDMA系統(tǒng)和TD-SCDMA系統(tǒng)的無線資源管理差別比較大,主要原因是TD-SCDMA和WCDMA在物理層上差別比較大,這是由于物理層幀結構、資源單元使用、同步方式以及智能天線等不同所造成的。差別最主要體現(xiàn)在DCA(動態(tài)信道分配)上,包括快速DCA 以及慢速DCA,是TD-SCDMA系統(tǒng)特有的功能;另外,在切換控制功能方面,TD-SCDMA沒有軟切換,有接力切換,而WCDMA有軟切換沒有接力切換;在其他功率控制、接入控制、小區(qū)選擇等方面,由于考慮了智能天線的應用,在算法和策略上也有一定程度的不同。
2.壓縮模式控制。壓縮模式是WCDMA特有的一種模式,很多過程都與壓縮模式相關:如無線鏈路建立與無線鏈路增加,同步與非同步無線鏈路重配,同步無線鏈路準備取消等。
3.共享信道的管理。FDD與TDD有所不同,WCDMA特有的傳輸信道:公共分組信道(CPCH);TD-SCDMA特有的傳輸信道:上行共享信道(USCH),DSCH兩者都有但使用上有區(qū)別;另外,引入HSDPA技術后,WCDMA中HS-SCCH不同于TD-SCDMA中的HS-SCCH,WCDMA中的HS-SCCH的擴頻因子為128,TD-SCDMA中的HS-SCCH擴頻因子為16,HS-DSCH兩者都有,但使用上也有不同。
4.同步區(qū)別。由于WCDMA基站為異步方式,同步為可選方式,TD-SCDMA為GPS同步或主從同步方式,因此WCDMA系統(tǒng)和TD-SCDMA系統(tǒng)在Node B間同步方式和無線接口同步方式方面存在差異。
二、WCDMA與TD網(wǎng)絡混合組網(wǎng)網(wǎng)絡覆蓋
當WCDMA與TD-SCDMA系統(tǒng)混合組網(wǎng)時,考慮到WCDMA與TD-SCDMA兩個系統(tǒng)各自在網(wǎng)絡規(guī)劃方面的特點,在網(wǎng)絡規(guī)劃時可充分利用兩個系統(tǒng)的優(yōu)勢,做到優(yōu)勢互補。根據(jù)覆蓋環(huán)境需要和業(yè)務需求,網(wǎng)絡覆蓋策略可以分別采用分層覆蓋和分區(qū)覆蓋。
(一)分層覆蓋
主要的網(wǎng)絡覆蓋方案包括:
1.采取WCDMA 進行建網(wǎng),TD-SCDMA 作為中后期解決WCDMA熱點區(qū)域容量的一個補充。
這個混合方案的基礎是初期采取WCDMA進行單獨組網(wǎng),利用WCDMA完成話音、數(shù)據(jù)(低速,中速和高速)的覆蓋,在規(guī)劃上不需要考慮TD-SCDMA網(wǎng)絡的影響,只需要考慮設備的兼容性和網(wǎng)管的互操作性。隨著網(wǎng)絡用戶的發(fā)展,如果現(xiàn)有的WCDMA網(wǎng)絡很難解決或無法解決熱點地區(qū)的容量問題時,可以利用TD-SCDMA與WCDMA 的技術相通性和兼容性,采取TD-SCDMA 來進行補充。這種方案,TD-SCDMA完全作為一個WCDMA FDD的網(wǎng)絡的補充功能,類似于WCDMA TDD HCR 承擔的功能。這種方案是可行的,前期風險也是最低的。
2.WCDMA用以解決全國性的覆蓋問題,TD-SCDMA用以解決容量問題這種方案,可以分為如下三種方式:(1)WCDMA完成全網(wǎng)覆蓋,完成話音和低速數(shù)據(jù)業(yè)務(比如Q64kbps的數(shù)據(jù)業(yè)務)的接入,TD-SCDMA解決業(yè)務增長和中高速數(shù)據(jù)業(yè)務的接入;(2)WCDMA完成全網(wǎng)覆蓋,完成話音全覆蓋并吸收大部分話音話務量,TD-SCDMA在某些熱點地區(qū)做話務量補充,TD-SCDMA實現(xiàn)全部數(shù)據(jù)(低速,高速)的覆蓋;(3)WCDMA實現(xiàn)話音全覆蓋,TD-SCDMA用于吸收大部分話務量和數(shù)據(jù)全覆蓋。在TD-SCDMA設備成熟之后,這種混合組網(wǎng)方式具有一定的吸引力,可以充分發(fā)揮TD-SCDMA與WCDMA系統(tǒng)各自的優(yōu)勢。但是,隨著HSDPA技術的引入,WCDMA會首先使用這種技術,TD-SCDMA使用HSDPA技術還需要一段時間。在WCDMA采用HSDPA而TD-SCDMA還沒有采用HSDPA技術的時間段內,TD-SCDMA系統(tǒng)的非對稱數(shù)據(jù)傳輸沒有優(yōu)勢,上述三種方式也就沒有存在的基礎。
對于WCDMA與TD-SCDMA系統(tǒng)混合組網(wǎng),究竟選擇哪種方式, 最終取決于建網(wǎng)的時候TD-SCDMA 產業(yè)的成熟度、國家政府部門對3G制式選擇的制約以及運營商的投資規(guī)模。如果建網(wǎng)時TD-SCDMA 產業(yè)鏈還不很成熟但必須混合組網(wǎng)時,可以選擇A方式,如果TD-SCDMA 產業(yè)非常成熟,可以根據(jù)建網(wǎng)策略, 考慮A或者B或者C。
(二)分區(qū)覆蓋
分區(qū)覆蓋,即WCDMA與TD-SCDMA分別覆蓋不同區(qū)域,各自保持覆蓋的連續(xù)性,分別擁有自己獨立的MGW、MSC Server、SGSN、GGSN、HLR等核心網(wǎng)設備。這種覆蓋方式,可以根據(jù)南、北方通信市場競爭力的差異性,各省之間移動市場的發(fā)展不平衡性,以及WCDMA和TD-SCDMA兩種系統(tǒng)不同的覆蓋特性,針對不同的市場定位和不同的業(yè)務需求,采取不同的覆蓋方案。
對該方案的主要應用建議如下:
1.在主打地區(qū)發(fā)展主打體制網(wǎng)絡(如在北方及南方大城市優(yōu)先發(fā)展WCDMA網(wǎng)絡)。
2.利用TD-SCDMA網(wǎng)絡建設的覆蓋特性,在力量薄弱地區(qū)發(fā)展TD-SCDMA移動網(wǎng)絡。
3.TD-SCDMA與WCDMA可以采用統(tǒng)一的PLMN號。
4.中高端用戶(經(jīng)常性流動的用戶)通過TD-SCDMA 、WCDMA雙模手機實現(xiàn)業(yè)務的全國漫游。
三、結語
采用WCDMA與TD-SCDMA混合組網(wǎng),在技術上沒有障礙,是一個可行的方案;但在用戶看來,必須采用雙模手機是一個心理和經(jīng)濟上的障礙;而且,運營商要同時在兩種接入系統(tǒng)之間統(tǒng)籌規(guī)劃,要同時考慮WCDMA、TD-SCDMA兩種系統(tǒng)的特性給運營帶來的網(wǎng)絡規(guī)劃、管理、成本等各方面的問題,提高了網(wǎng)絡管理的復雜度。
參考文獻
[1]楊偉帆,何方白.TD-SCDMA與WCDMA混合組網(wǎng)的網(wǎng)絡規(guī)劃研究[J].中國無線電,2006,(3).
[2]冷志宇.GSM/GPRS網(wǎng)絡向WCDMA網(wǎng)絡的演進[J].電信工程技術與標準化,2005,(10).
[3]王金城.將用戶從GSM網(wǎng)絡平滑遷移到WCDMA網(wǎng)絡的方法[J].華為技術有限公司,2004.
機房網(wǎng)絡設計方案范文第5篇
1研究背景
1.1油田通信網(wǎng)絡現(xiàn)狀
油田轄區(qū)內共有住戶3萬余戶,住宅小區(qū)近30個。建有3個通信站、9個模塊局,以各個通信站和模塊局為中心,采用以太網(wǎng)技術組建了大部分住宅小區(qū)計算機網(wǎng)絡,采用以太網(wǎng)技術和ADSL技術組建了部分住宅小區(qū)計算機網(wǎng)絡。采用以太網(wǎng)技術組建的計算機網(wǎng)絡始建于2001年,以各個通信站和模塊局為中心,通過光纜到小區(qū),光纜到樓,在小區(qū)和各個住宅樓設置網(wǎng)絡交換機,實現(xiàn)了桌面10/100Mpbs速率,小區(qū)干線百兆速率的接入。小區(qū)的匯聚交換機以百兆速率接入核心交換機,多臺交換機連接時采用級聯(lián)方式,樓棟接入層交換機大多為二層以下的“傻瓜”交換機,用戶隔離功能弱,容易造成廣播風暴,影響網(wǎng)絡速度。油田的ADSL寬帶接入系統(tǒng)是在2002年建成投運,在各個通信站和模塊局設有ADSL接入設備DSLAM,分別通過百兆光纖匯聚到通信大樓的核心交換機上,再接入INTERNET。該系統(tǒng)是基于IP組網(wǎng)方式,并與油田的辦公LAN實現(xiàn)了聯(lián)網(wǎng)。目前住宅小區(qū)建設的計算機網(wǎng)絡信息機房通過2個1G通道與internet連接。在信息機房內配置出口路由器、核心交換機、流量控制系統(tǒng)、日志系統(tǒng)等;其中路由器為華為NE40,NAT板最大轉換速率為千兆級,核心交換機2臺,2臺交換機均為千兆級交換機。整個網(wǎng)絡系統(tǒng)無認證系統(tǒng)和網(wǎng)管系統(tǒng),對用戶和設備的管理均為人工方式,用戶開戶,靠綁定用戶IP地址與MAC地址,人工操作輸入。網(wǎng)絡現(xiàn)狀組網(wǎng)拓撲圖如圖1所示。
1.2存在問題
1)網(wǎng)絡平臺落后,系統(tǒng)配置不完善目前通信公司網(wǎng)絡2臺核心交換機均為千兆級別,且設備老化嚴重,性能較差,數(shù)據(jù)轉發(fā)能力低;2臺核心交換機均為單鏈路上聯(lián)路由器和下聯(lián)匯聚交換機,容易造成網(wǎng)絡單鏈故障,影響大面積用戶使用網(wǎng)絡。系統(tǒng)中無網(wǎng)管系統(tǒng)、認證系統(tǒng)等,設備的管理采用人工本地處理,效率低,發(fā)現(xiàn)故障滯后,且管理人員不能清楚的知道網(wǎng)絡的當前使用狀況,缺乏網(wǎng)絡管理信息;用戶控制采用IP和MAC綁定方式,對用戶身份的合法性無法確認,無法精細的進行網(wǎng)絡隔離,容易造成廣播風暴影響用戶業(yè)務。網(wǎng)絡安全系統(tǒng)配置較弱,抗網(wǎng)絡風險能力較差。流控系統(tǒng)配置單一,對流量限制功能較差,無法完全對用戶上網(wǎng)速率進行動態(tài)分配,造成部分用戶大量搶占帶寬,影響其他用戶正常使用網(wǎng)絡。
2)網(wǎng)絡出口相關設備缺少,出口干線帶寬緊張。目前通信公司的網(wǎng)絡通過2個1G通道與internet連接,而在出口設備配置上僅配了1臺路由器,且NAT板最大也是千兆級,性能低,處理能力差;未配緩存設備,使INTERNET上的信息無法在本地存儲,造成多用戶訪問同一個信息時,均要出局,占用干線帶寬,使干線帶寬利用率減低,造成干線擁擠。
3)匯聚層、接入層網(wǎng)絡交換設備配置低。4)網(wǎng)絡設備不統(tǒng)一,型號繁雜,無法實現(xiàn)統(tǒng)一網(wǎng)管。當前通信公司的網(wǎng)絡設備從核心層到匯聚層、接入層,網(wǎng)絡設備有思科、華為、中興等多個廠商的產品,且同一個廠商的產品有些不具有網(wǎng)管功能,同時網(wǎng)絡中心也未配網(wǎng)管系統(tǒng),無法實現(xiàn)遠程設備和用戶管理、診斷、維護。
2建設目標
更新升級通信公司現(xiàn)有網(wǎng)絡平臺,由千兆平臺升級為萬兆網(wǎng)絡平臺,更新整合路由、防火墻、核心交換設備;新建緩存系統(tǒng);新建認證、網(wǎng)絡管理系統(tǒng)等。升級改造小區(qū)匯聚層、樓棟接入層設備,實現(xiàn)網(wǎng)絡遠程管理,提高網(wǎng)絡管理水平。
3方案設計
根據(jù)計算機網(wǎng)絡技術發(fā)展趨勢和油田計算機網(wǎng)絡的現(xiàn)狀及存在的問題,采用成熟的網(wǎng)絡構架[1],升級改造現(xiàn)有的網(wǎng)絡系統(tǒng),實現(xiàn)網(wǎng)絡平滑對接,系統(tǒng)整體升級。
3.1網(wǎng)絡構架
網(wǎng)絡建設采用分層思想,分接入層、匯聚層、核心層[2]三個層次,新建網(wǎng)絡核心與原有網(wǎng)絡平滑對接,實現(xiàn)網(wǎng)絡整體升級。核心層:主要實現(xiàn)網(wǎng)絡內部之間和與Internet之間的流量高速轉發(fā)和可靠連接;在網(wǎng)絡出口實現(xiàn)從網(wǎng)絡層防護到應用層防護的一體化防護;實現(xiàn)流量的分析和控制,及INTENET數(shù)據(jù)本地化,提高網(wǎng)絡速率;通過認證和網(wǎng)管系統(tǒng),實現(xiàn)用戶授權管理和設備遠程管理、維護。匯聚層:主要實現(xiàn)核心設備和與接入設備之間的流量高速轉發(fā),提供可靠、穩(wěn)定、安全的高速數(shù)據(jù)轉發(fā)。接入層:主要實現(xiàn)接入設備和與匯聚設備之間的流量高速轉發(fā)并提供高密度的用戶端口。
3.2核心層設計
針對油田網(wǎng)絡的現(xiàn)狀和問題,本次網(wǎng)絡核心層的設計主要是更新出口路由器為防火墻[3]、更新核心交換機、新建緩存系統(tǒng)、認證和網(wǎng)管系統(tǒng)等。
1)萬兆防火墻系統(tǒng)設計:將現(xiàn)有路由器更換為2臺萬兆防火墻,作為到Internet的出口,上行方向采用GE與中國電信,中國網(wǎng)通運營商網(wǎng)絡相連,使用NAT方式實現(xiàn)企業(yè)網(wǎng)用戶的Internet接入;下行方向與2臺核心交換機之間采用10GE線路相連,保證鏈路的高可靠性。功能:用于實現(xiàn)與Internet之間的流量高速轉發(fā),提供可靠、穩(wěn)定、安全的高速Internet連接。同時在網(wǎng)絡出口實現(xiàn)從網(wǎng)絡層防護到應用層防護的一體化防護,對蠕蟲木馬、間諜程序、病毒、垃圾郵件等數(shù)據(jù)驅動式攻擊進行有效防御,同時也提供防止利用TCP/IP協(xié)議漏洞或缺陷發(fā)起的攻擊,具備將防火墻、防病毒、IDP、反垃圾郵件、VPN、內容過濾等等[4],大量的安全應用功能企業(yè)可以使用較低的成本同時擁有多種網(wǎng)絡安全模塊,大大降低了企業(yè)在網(wǎng)絡安全方面的總體花費。
2)核心交換機系統(tǒng)配置:將現(xiàn)有千兆核心交換機(作為小區(qū)匯聚交換機利舊使用)更換為2臺萬兆核心交換機,分別通過10GE線路與出口防火墻互聯(lián),并采用2GE鏈路捆綁方式與匯聚交換機互聯(lián)。設備本身采用雙主控板及雙電源冗余配置,提供設備的可靠性。功能:兩臺萬兆核心交換機作為河南油田網(wǎng)絡的數(shù)據(jù)轉發(fā)核心;主要實現(xiàn)網(wǎng)絡內部之間和與Internet之間的流量高速轉發(fā),提供可靠、穩(wěn)定、安全的高速數(shù)據(jù)轉發(fā);兩臺核心交換機之間采用CSS集群技術,實現(xiàn)雙機熱備和負載分擔[5];提高鏈路帶寬和鏈路冗余。
3)緩存系統(tǒng)系統(tǒng)設計:新建1套緩存系統(tǒng),通過10GE接口與系統(tǒng)連接。功能:緩存加速具備以下功能:P2P緩存加速、在線視頻緩存加速、HTPP緩存加速。通過對對出網(wǎng)流量進行分析、調度,引導用戶訪問本地資源,降低出口流量,減少出口帶寬壓力,提高用戶互聯(lián)網(wǎng)體驗,增加互聯(lián)網(wǎng)帶寬利用率的目的。
4)認證、網(wǎng)管系統(tǒng)系統(tǒng)設計:配置認證系統(tǒng)1套,包括服務器1臺、終端設備1臺及軟件,在網(wǎng)絡核心側掛BRAS設備,利用BRAS和Radius認證方式[6],對接入用戶動態(tài)分配帶寬,實現(xiàn)接入用戶的認證、計費和管理。配置網(wǎng)管系統(tǒng)1套,包括服務器1臺、終端設備1臺及軟件,實現(xiàn)對企業(yè)資源、業(yè)務、用戶的統(tǒng)一管理以及智能聯(lián)動。功能:通過認證系統(tǒng),對用戶的認證信息進行認證,根據(jù)認證結果對用戶進行相應的授權,并根據(jù)計費規(guī)則對用戶進行計費管理。通過網(wǎng)管系統(tǒng),提供靈活的開放網(wǎng)管平臺,在網(wǎng)絡資源管理的基礎上實現(xiàn)了拓撲、故障、性能、配置、安全等管理功能,而且還可以作為其他業(yè)務管理組件的承載平臺,共同實現(xiàn)管理的深入融合聯(lián)動。軟件通過流程向導的方式告訴用戶如何使用功能,為用戶提供了精細化的管理。同時對網(wǎng)絡流量、接入認證角色等進行智能分析,自動調整網(wǎng)絡控制策略,全方位保證企業(yè)網(wǎng)絡安全
5)日志系統(tǒng)系統(tǒng)設計:在通信公司網(wǎng)絡機房配置1套網(wǎng)絡行為管理系統(tǒng),包括硬件和軟件,通過多路透明橋接部署在防火墻與核心交換之間,對所有的上網(wǎng)行為進行記錄和流控,該系統(tǒng)為10G平臺,支持萬兆流量的穿透、分析和策略管理。支持上行10G、下行10G的處理性能。功能:對于內網(wǎng)寬帶用戶訪問各種網(wǎng)頁的行為進行細致的訪問控制,有效管理用戶上網(wǎng),同時對P2P軟件進行有效管控,并且對P2P行為嚴重吞噬帶寬資源的問題,提供流量控制功能。網(wǎng)絡訪問控制功能,可以基于用戶/用戶組、基于時間段、基于不同的目標行為進行靈活權限控制。具有完善的訪問記錄和監(jiān)控功能能夠有效防止信息通過Internet泄漏,對于BBS、論壇發(fā)帖,根據(jù)關鍵字進行過濾,能全面記錄的內容;內網(wǎng)寬帶用戶訪問的URL地址、網(wǎng)頁標題、甚至整個網(wǎng)頁內容,能夠完全監(jiān)控和記錄等。針對不同的用戶、用戶組,通過數(shù)據(jù)簡單的勾選,即可完成差異化的行為記錄功能,對于寬帶用戶每天的各種行為日志記錄,可滿足公安部82號令存儲至少60天的要求。
3.3網(wǎng)絡匯聚、接入層設計
1)匯聚層設計系統(tǒng)設計:更換小區(qū)現(xiàn)有匯聚交換機(利舊作為接入層使用),選用千兆匯聚交換機作為網(wǎng)絡的匯聚設備,通過GE鏈路與接入設備互聯(lián),并采用2GE鏈路捆綁方式與2臺核心交換機互聯(lián)(利用已有光纜資源)。功能:主要實現(xiàn)核心設備和與接入設備之間的流量高速轉發(fā),提供可靠、穩(wěn)定、安全的高速數(shù)據(jù)轉發(fā)。支持二層和基本三層功能,通過鏈路冗余,實現(xiàn)業(yè)務負載分擔。匯聚設備具備冗余電源、鏈路聚合等實用功能,并支持豐富路由協(xié)議,規(guī)劃實施負載分擔增強了網(wǎng)絡的適應性和可靠性,保障了網(wǎng)絡的全天候穩(wěn)定運行。支持核IPv4、IPv6雙協(xié)議棧,面向下一代網(wǎng)絡的平滑過渡;匯聚GE/10G帶寬,適應萬兆骨干,千兆接入的發(fā)展趨勢保證核心網(wǎng)絡的數(shù)據(jù)交換帶寬。
2)接入層設計系統(tǒng)設計:更換小區(qū)現(xiàn)有接入層交換機為網(wǎng)管型交換機,通過已有100M鏈路接入?yún)R聚層交換機。系統(tǒng)配置:主要實現(xiàn)接入設備和與匯聚設備之間的流量高速轉發(fā)并提供高密度的用戶端口。
3.4輔助系統(tǒng)設計
1)核心層設備放置于通信公司機房,利舊已有機柜空間及供電接地系統(tǒng)。
2)匯聚層、接入層設備為更換,利舊已有機柜空間及供電接地系統(tǒng)。
4結束語
