苏州市电力培训中心网
建设方案
目 录
51. 引言
. 建设背景
. 网络布线描述
72. 设备的选型
. 总体设计与选型原则
. 核心层分析
. 汇接层分析
. 接入层分析
123. 详细的技术方案设计
. 设计概述及实现的目标
. 标准化
. 先进性
. 安全性
. 容错性
. 网络的设计思想与技术选型
. 对网络交换的设计
. 快速以太网设计
. 总体方案设计
. 综合布线方案设计
. 智能大厦与综合布线
. 综合布线系统发展过程
. 综合布线系统的特点
. 综合布线系统的结构
. 综合布线系统的标准
. 综合布线系统产品的选型标准
. 综合布线系统的经济分析
. 综合布线系统设计要领
. 保证布线工程质量的措施
244. 网络优化的设计
. 虚拟网的优化建议
. VLAN划分的优势
. 虚拟网间的信息传递
. 交换机列表支持方式
. 帧标签方式
. TDM方式
. 虚拟网的标准
. 虚拟工作组模型的实现。
. 虚拟工作组的管理
. 对80/20规范的支持
. 对本地局域网资源的访问
. 对服务器集群的访问
. 减少路由器的使用
. 服务质量QoS的设计
. 什么是QoS(Quality of Service)
. QoS量化指标
. QoS的分类
. QoS的体系结构
. IntServ集成业务体系结构
. DiffServ区分业务体系结构
. 与集成业务模型的互通
. QoS的实现机制
425. 网络安全设计
. 安全性设计
. 网络安全必要性
. 外部网络的安全性
引言
建设背景
21世纪是信息时代,传统经济的信息化已成为经济持续高速增长的重要推动力。信息技术的迅猛发展,特别是互联网技术的普及和应用,使得数字化成为全面推进社会信息化进程的有效途径。如何以信息化带动工业化进而实现现代化,党中央明确指出,我国信息化工作首先从电子政务入手,带动其他领域的信息化,从而使电子政务成为社会信息化的"领头羊"。
苏州电力培训中心的整体构建框架可以按照核心(骨干)层、汇聚层和接入层的三层结构来描述。
骨干(核心)层负责进行数据的快速转发,其网络结构重点考虑可靠性和可扩展性,结合业务分布、机房条件和光纤布放情况等综合考虑骨干层节点的安放位置。
汇聚层负责汇集分散的接入点,扩大骨干层设备的端口密度和种类,扩大核心层节点的业务覆盖范围,汇聚层节点解决接入节点到核心节点之间的光纤资源紧张的问题,实现接入用户的可管理性,汇聚层节点和核心节点间采用星形连接,每个汇聚层节点通过光纤与两个核心节点相连;
接入层负责提供各种类型用户的接入,将不同地理分布的用户快速有效地接入骨干网。
网络布线描述
目前根据苏州电力培训中心的楼宇情况说明如下,因培训中心另有一条内部网络所以各栋楼宇的信息点数要乘以二
综合楼为中心机房,配置2台CISCO3600路由器,1台CISCO6500交换机和1台CISCO4506交换机。
实训楼64个信息点(共128个信息点),需6台24口交换机,配置CISCO2950.
4号楼共四层每层3个教室和2个阶梯教室(14个信息点共28个信息点), 需2台24口交换机,配置CISCO2950.
6号楼共四层每层3个教室和2个阶梯教室(14个信息点共28个信息点), 需2台24口交换机,配置CISCO2950.
公寓楼150个信息点(共300个信息点),需12台24口交换机,配置CISCO2950和二台CISCO3550.
老公寓楼共59个房间(共118个信息点), 需6台24口交换机,配置CISCO2950.
男生宿舍共96个房间(共192个信息点),需8台24口交换机,配置CISCO2950.
2号楼共3层42个信息点(共82个),需4台24口交换机,配置CISCO2950.
行政楼需2台24口交换机,配置CISCO2950.
钳工楼需2台24口交换机,配置CISCO2950
三产需2台24口交换机,配置CISCO2950
由于此次楼宇之间的传输全由光纤来进行连接,所以设备之间需配置千兆多模光模块。而从网络的安全性考虑需配置PIX 网络拓扑图如下:
设备的选型
总体设计与选型原则
对于电力培训中心的网络,我公司提出整体设备选行原则。主要围绕下边几点进行。
首先,根据电力培训中心实际需求结合网络发展与应用进行合理化的设备配置,对电力培训中心整体网络的每一个层面上都进行分析,并有针对的满足网络的实际需求。最后做出合理的设备选行。
在这里我公司凭借对网络的深刻理解与经验,对整个网络建设的思想进行总体分析:
高速核心,为宽带网络提供强大的支撑基础;
易于扩展,便于升级,为将来的发展做好准备;
智能交换,用户与业务的安全,可做到严格控制;
支持多层交换,2/3/4层的网络可控制,使整体网络可灵活规划;
各种广播合理抑制,高效利用网络带宽;
用户的安全识别,精确匹配,策略管理接入用户;
全网保持线速交换,端口间转发做到无延时,体现投资价值;
对网络系统分析满足应用优势,提高合理性设计;
以下我公司将从网络结构的每个层面对设备的选型进行分析。
核心层分析
路由器Cisco 3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。Cisco 3600系列拥有70多个模块化接口选项,提供语音/数据集成、虚拟专网(VPN)、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/传真网络模块,Cisco 3600系列允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资,并将多个设备的功能集成到一个可管理的解决方案之中。3600捆绑还可用于抓住特定的RAS机遇。
Catalyst 6500家族提供了出色的可扩展性和性能/价格比,能够支持广泛的接口密度、性能以及高可用性选项。作为Cisco内容组网体系结构的一个关键组成部分,Catalyst 6500家族提供了前所未有的商业灵活性,使企业能够快速部署新的Internet应用并因而提高自己的收入和降低运营成本。当与应用智能、服务质量(QoS)机制和安全性功能结合在一起时,客户将能够在不牺牲网络性能的情况下更有效地使用自己的网络提供更多的客户机服务,如组播和企业资源规划(ERP)应用。Cisco内容组网通过提供Internet商业应用(这些应用的例子包括电子商务、供应链管理以及劳动力优化)创造了一个Internet商业生态系统,这一系统使企业和自己的客户、供应商和商业合作伙伴更加紧密地结合在一起。通过CiscoAssure,利用象特殊用户、IP地址或应用程序这样的Layer 2、3、4信息,将能够以端对端的形式应用网络策略。
Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。
作为新一代Cisco Catalyst 4000系列平台,Cisco Catalyst 4500系列包括三种新型Cisco Catalyst 机箱:Cisco Catalyst 4507R(七个插槽)、Cisco Catalyst 4506(六个插槽)和Cisco Catalyst 4503(三个插槽),本次采用Cisco Catalyst 4506 Switch。
作为Cisco AVVID(集成语音、视频和融合数据体系结构)的关键组件,Cisco Catalyst 4500能够通过智能网络服务将控制扩展到网络边缘,包括高级服务质量(QoS)、可预测性能、高级安全性、全面管理和集成式弹性。由于Cisco Catalyst 4500系列提供与Cisco Catalyst 4000系列线卡和超级引擎的兼容性,因而能够在融合网络中延长Cisco Catalyst 4000系列的部署窗口。由于这种方式能减少重复运作开支,降低拥有成本,因而能提高投资回报(ROI)。
汇接层分析
在电力培训中心忘的汇接层主要是分布在各个分中心与片区。从网络实际应用的角度看汇接交换机主要用于信息点的接入层交换机的集中并根据业务网络需求快速的送往核心网络交换机。对于大容量的核心设备的责任是处理业务流量,保证个网络的正常运行,汇接层责任就是配合核心设备体现网络价值的一个重要环节。如果在汇接层只作简单的数据交换,使全网的大容量处理、广播抑制、拥塞管理、流控、整体安全等智能功能完全的依赖核心处理,这使核心网络集中实现规模化,这就违反网络设计的基本原则,如果让核心网络变成一个规模化的建设用来集中处理整个网络的业务,对将来网络的扩容与升级都带来很多不利的影响。例如,对分中心内部网络的改造与升级所产生的变化,还要牵扯到核心设备的改造与变化,这显然不合理,使整个网络不利于灵活的规划与扩展。但在汇接层并不适合采用与核心设备的同性能交换机。
所以,根据合理的设计原则,满足实际的网络应用需求,需要有一个拥有一个容量可扩展的智能交换机来充当汇接层的网络设备。也就是采用可堆叠的多层交换设备,同时提供可与核心配合实现整体的智能功能包括2/3/4层的访问控制,并且可对用户进行安全的认证,可以有策略的透传二层的业务信息。从设备的硬件配置上讲,支持总线的堆叠功能,这样相当于可以增加背板的带宽为电力培训中心分中心内部的扩展提供方便。支持1000M的上联与端口捆绑,以便将更多的接入交换机汇接到高速的核心网络上。
此次采用Cisco Catalyst 3550系列智能以太网交换机是一个可堆叠多层交换机系列,可通过高可用性、服务质量(QoS)和安全性来改进网络运行。凭借一系列快速以太网和千兆位以太网配置,Cisco Catalyst 3550系列堪称一款适用于企业和城域接入应用的强大选择。
主要特性
使您能利用传统LAN交换的简洁性来部署网络智能服务
将Cisco IOS软件中的一套第2-4层功能——IP路由、QoS、限速、访问控制列表(ACL)和多播服务扩展到边缘
凭借内置Cisco集群管理套件来简化接入层和小型骨干网的部署
用全套千兆位接口转换器(GBIC)设备提供强大的千兆位以太网连接
接入层分析
根据区电力培训中心的实际应用与业务需求,接入层交换机主要用于所有的信息点的接入,采用Cisco Catalyst 2950。
主要的优势
在布线室配线间中实现了智能的服务质量(QoS)、限速、访问控制列表(ACL)和多播服务
在多种介质上提供了升级到千兆位以太网的强大路径
凭借内置Cisco集群管理套件可出色地管理并轻松地配置第2-4层服务
与Cisco Catalyst 3550系列集中汇聚交换机相结合,用于IP路由至网络核心
小结
对于设备的选型我公司从技术层面上为电力培训中心做出了系统化的分析。以下是在网络建设中的产品选型:
核心层设备:Cisco Catalyst6509Switch Cisco Catalyst4506 Switch
汇接层设备:Cisco Catalyst3550-24 Switch(分中心)
接入层设备:Cisco Catalyst2950 Switch(合理布置用户端口)
有关产品详细内容,请看产品介绍。
详细的技术方案设计
设计概述及实现的目标
本节是对网络的设计进行一个概述,对于技术方案设计的概述围绕以下几点设计原则展开描述。最后对实现的目标进行简单的陈述。
标准化
计算机管理系统就是要实现网络信息及设备资源的共享,完成不同厂商的设备和计算机软件的互连。在一个复杂的大型网络系统里,必然有多个厂商的硬件及软件,为了保证用户的网络系统具有互操作性,可用性,可靠性,可扩充性,可管理性,应建立一个开放式,遵循国际标准的网络系统。对于所有所用到的网络协议,以及接口的电器标准。都将完全符合在中国所应用的国际标准。为将来的扩展消除任何不必要的产品障碍。
先进性
当今世界,通信和计算机技术发展日新月异。我们的方案要适应新技术发展的潮流。既要保证网络的先进性,同时也要兼顾技术的成熟性。一个大型网络光是能用还不够,必须优化设计才能这真正发挥网络的功能。在主干和楼层交换机的选择上,我们都选用了业界最具竞争力的方案应用在本次电力培训中心网的系统建设上,并且对将来的功能扩展也有考虑的。完全满足一个具有先进性的网络方案建议。
安全性
对于安全性我们将通过对用户的区域划分,和对应用层的划分来逐级实现网络的安全性。对内的安全实施包括用交换机进行VLAN的划分,在路由中创建访问控制列表,如此可对一些网络用户实行可控的安全级别。对于业务主机,例如服务器将通过用户权限的认证,实现用户与业务的隔离,避免非法用户的侵入。对来自网络的外部的攻击我们也提供相应的解决策略,每台主机都有独立的软件防火墙,而且我们将对建成的网络进行漏洞扫描,对所有不安全的服务采取逻辑隔离追加二次认证的过程达到更高的安全,对不必要的服务采用TCP端口关闭的形式减少安全的隐患。对重要数据库采取安全备份的机制,避免突发事件造成重要数据的丢失。通过电力培训中心的防火墙对外部网络的非法访问进行过滤,并时常进行安全扫描防范以未然。
在方案中对于网络的重要应用采用冗余的设计,对于重要中心节点交换机上采取冷备份的方式,而在具体的链路中采取光纤和五类线双备的方式来保障网络通信的正常。
容错性
对于容错性可以说是可靠性的另一个层面。数据网络的可靠性不仅仅表现在网络设备的单方面的物理的高容量特性上,我们会利用有限的物理容量为电力培训中心提供最大限度的容错冗余特性,使用户时刻都工作在交叉的、互为的、多层备份的网络空间中。
网络的设计思想与技术选型
对网络交换的设计
交换以太网是近来发展起来的先进网络技术。本次网络硬件用的都是基于以太网技术构件的。它在保证与以太网协议兼容的前提下,提高络利用率,减少网络资源争夺造成的冲突,使网络性能大幅度提高,以满足各类数据信息传输的要求。
交换以太网在技术上分为两种:静态交换和动态交换。
静态交换:将网络划分为多个网段,网络管理员可以通过网管平台分配各个网段的负载,即网络管理员可以只利用鼠标就可将工作站从资源争夺紧张的网段移到其它冲突较少的网段上。
静态交换使得网络管理员不必到现场接插线路,而是在网管平台面前轻松地改变网络配置,以调整各网段间的负载。静态交换需要网络管理员的监测才能进行被动地调整,而且每个网段上、网段之间的介质访问机制没有改变,网络性能没有根本地提高。
动态交换:动态交换是在高速总线上支持多对传输的同时进行。它不需人工干预实时地将独占带宽分配给一对节点;而其它节点间也可同时进行数据传输。动态交换在总线内部改变了以太网的介质访问机制,使得网上的数据传输以独占的 10Mbps进行,就好像在两个有数据传输的节点之间有独立的传输电缆 一 样, 使网络效率大大提高。
动态交换分为端口交换和网段交换两种。端口交换适用于高速节点如服务器、多媒体工作站的连接,它连接节点个数不多,每个节点都有很高的传输速率;网段交换适用于没有特别速率要求的工作站网段,交换的高性能体现在网段之间、网段与服务器之间的数据传输上。
由此可知,动态交换代表了当今交换技术发展的方向,所以在该方案中接入层、汇聚层、主干层交换以太网采用基于动态交换技术的智能交换机。
快速以太网设计
快速以太网实际上是10Mbps以太网的100Mbps版本,所以它的运行速度要比10Mbps以太网快十倍。在我们已经很熟悉传统以太网的情况下,快速以太网相对其他高速网络技术更容易被掌握和接受,它可以应用在共享式和主干环境下,提供带宽的共享式网络或主干连接,同时也可以应用在交换式环境下,提供优异的服务质量(QOS)。快速以太网与传统的以太网技术相似,毋庸赘言,此外,它还具备以下优点:
快速以太网和普通以太网同样遵循CSMA/CD协议,现有的10BaseT网络设备可以相当简便地升级到快速以太网,保护用户原有的投资,与其它新型网络技术相比,更方便地使现有的10Mbps LAN无缝连接到100MbpsLAN上。100BaseT集线器和网络接口卡,只需要比10BaseT同样的设备多花少量费用就可提供比普通以太网高10倍的性能。因此,100BaseT具备较高的性能价格比。快速以太网(100BaseT)已得到IEEE推荐标准为,并得到了所有的主流网络厂商的支持。
对于电力培训中心的网络结构,电力培训中心办公楼的汇聚层与接入层的连接都采用1000M的连接。
千兆以太网实际上是10Mbps以太网的1000Mbps版本,是100M bps以太网速度的进一步提高,所以它的运行速度要比100Mbps以太网快十倍,但它仍与以太网采用同样的桢结构。在用户已经很熟悉传统以太网的情况下,千兆以太网相对其他高速网络技术更容易被掌握和接受,它可以应用在共享式和主干环境下,提供带宽的共享式网络或主干连接,同时也可以应用在交换式环境下,提供优异的服务质量(QOS)。
千兆以太网与传统的以太网技术相似,同样遵循CSMA/CD协议,现有的以太网、快速以太网设备可以相当简便地升级到快速以太网,保护用户原有的投资,与其它新型网络技术相比,更方便地使现有的10M、100M LAN无缝连接到1000MbpsLAN上。
千兆以太网技术是与ATM技术一样,极具竞争力的高速网络技术,极有可能成为下一代高速网络的首选技术。具备较高的性能价格比。
在千兆的应用上我们将来对需求量大的服务采取千兆的网卡连接,并可以通过优先级队列划分服务的级别。使重要的服务能在高带宽和大访问量下稳定的运行。
随着LAN的作用已超越了简单的的主机连接、文件和打印服务阶段,而转向围绕着客户/服务机、大工作流量的应用、Intranet Web访问 服务器和实时音像通讯,所以LAN技术需要不断地更新。日益强大的计算机系统促使网络技术以更快的速度发展,而日益庞大及增长的数据目标体又产生了持续增长的网络拥塞负荷。同时,由于基于工作组或部门的服务器的解决方案被企业服务器所替代,促使空前水平的拥塞通过网络主干,网络的拥塞模式也不断地发生变化。
为了适应网络运行中的这些增长,网络技术在两维空间进行发展:速度和网段。 速度简单说来就是提供更高的带宽:以太网已增至1Gbps,10Gbps也已在讨论之中。而网段使得带宽能够被更多地提供给个人用户或主机。网络技术已由网桥技术通过主干路由技术过渡到交换技术。由于交换技术使专用的带宽被经济合理的分配给每一个用户,它就毫无疑问地成为高性能LAN发展未来的依靠。
然而,今天的网络交换技术并没为大规模的网络的建设提供一个完整的、普遍的解决方案。这主要是由于传统的LAN交换技术不是完全可以扩充的,在现今大部分的实际运行的网络中,交换机必须与路由器的相结合。实际上,将交换机及路由器结合在一起所构成的网络结构对一些领域具有重要影响 。因此如下:
从网络用户的角度看,LAN通讯被分成两种等级的性能。数据包直接通过交换机进行传递时,享受着高速公路快速的、稳定的传递性能。但是那些被迫经过路由器的数据包只能使用慢速通路,当流量负荷严重时,会受到更严重的延迟困扰。
交换机和路由器是网络设备中不同的部分,需分别购买、设置和管理,完成这样一个基于多元素的解决方案的花费必然要多于一个基于集成化的单一完整的解决方案。
LAN中路由器的使用需要额外的监控管理手段来处理网络的移动和变化。例如:如果一台PC由一个LAN中的一个路由器端口的网段移至另一LAN中连接模块另一路由器端口的网段,通常需要给该PC机一个新的IP地址,并且在PC机软件中进行重新设置。 多层交换技术正是交换技术和路由技术智能化的组合,它为各种结构的网络提供一个完整的、集成的解决方案以有效地解决上述问题。这就是越来越多的网络设计者将会把视线转到LAN中的多层交换技术的原因。
(图1)
一台多层交换设备具有许多交换端口。网上的站点之间可以通过第二层数据包转发的方法(即传统的LAN交换技术),或采用第三层数据包转发方式(即传统的路由技术进行通讯)进行数据通讯。不同种情况下的数据包转发的类型由站点之间进行内部通讯需要而定。实际中,这由它们是否属于同一子网来决定。如果属于同一子网,则采用第二层转发方式,否则,采用第三层转发方式。
一个多层交换机从逻辑上可以被看成一个附带有一个第三层转发功能的第二层的交换设备,同时它与第三层的数据转发模块采用高速互连。一组网络端口界面的参数直接附属于第二层交换的处理核心. 就像一个传统的路由器的转发应用一样。网络节点为了将数据包转发给不同子网, 首先将IP数据包传给第三层转发功能模块,该模块具有一个或多个IP寻址器和MAC寻址器, 然后再转发给其他子网. 同样的, 如果第三层转发功能模块也支持其它的协议,例如IPX,从网络节点的角度来看,它就是一个IPX的路由器。其工作方式参见图2。
(图2)
通过对用户需求的分析,及我们对目前网络技术的认识,在本方案中,城域网选用了千兆网、快速以太网、交换式以太网、VLAN、三层交换等技术相结合的技术路线,建立一个技术先进成熟、使用维护简单方便的网络。
总体方案设计
从总体设计上来看,我们的从整个系统的层面上去分布考虑。首先我们将对于现有的网络硬件与应用的信息点分布来考虑网络应用拓扑结构和应用类型,对与网络设计根据设计原则满足应用需求。
综合布线方案设计
目前,大厦的建设愈来愈朝着现代化和智能化的方向发展,而对于一座大厦,它是否能够成为一座智能化大厦,最终要取决于建筑物内是否有一套完整高质量和符合国际标准的布线系统。在过去,建筑物内各子系统均独立布线,并采用不同的传输媒介,但随着通信事业和电脑系统的高速发展,传统布线已不适应通信和电脑对传输线路的需求。具体表现为:
协调性差。各子系统专业设计,在线路路由上过多牵制,管线错综复杂。
重复投资。布线时重复施工造成材料和人员的浪费。
兼容性差。各子系统相互独立,互不兼容,造成线路管理和维护的不便。
开放性与灵活性差。设备的移动和改变都会导致系统的变化。
实用性差。最终用户无法改变原有的布线以适应各自的需求。
扩展性差。新的需求或新系统在原有布线上难以得到满足时,需重新布线,因此需要重新投资,并且重复布线对建筑物的装修和美观带来破坏。
采用国际标准的结构化布线系统,可以克服上述传统布线的不足,将所有语音、数据、视讯与监控设备的配线结合在一套标准的布线系统上,它具有众多优点。目前结构化综合布线系统在发达国家已成为建筑业的布线标准。
充分满足信息传输与电脑网络的发展。
综合各个系统统一布线,提高全系统的性能价格比。
具有开放性和灵活性,能满足网络结构变动和电话迁移的需求。
满足发展的需求,能提供用途和数量上的扩展,充分适应通讯和电脑网络的 发展。
维护方便又统一,大大节省维护费用。
实用性好,可根据最终用户的不同需求随时进行改变和调整。
智能大厦与综合布线
随着国际信息潮流和微电子科技的发展, 加上通讯、计算机及自动控制技术的日新月异,工商建筑地产群开始走向高品质、高功能领域,迈入资讯化、自动化的时代,人性化的智能大厦已是明日建筑之标准,也必将成为建筑规范。
所谓智能大厦即对建筑物的结构、系统、服务、管理等四个基本要素以及它们之间的内在联系进行最优化考虑,来提供一个投资合理的但又拥有高安全、高效率的舒适、温馨、便利的环境。它为大厦的主人带来长远的经济效益、低廉的运行花费,并具有全方面的开放性、灵活性及安全性。
智能大厦,是通过装配现代智能信息设备(电脑及网络、话音设备、楼宇自控设备、视频设备等),并运用相应技术手段,依据一定的技术标准,实现该大厦的智能化,即通信自动化、办公室自动化和楼宇管理自动化。
结构化综合布线,是针对建筑内部智能系统 ( 电脑及网络、话音设备、楼宇自控设备、视频设备等)的信号传输线路,通过它可使话音设备、数据设备、交换设备及各种控制设备与信息管理系统连接起来,同时也使这些设备与外部通信网络相连。因而在此基础上进行话音通信、数据图像处理、控制等等,从而建成智能化的大厦。
对于一座大厦,结构化综合布线系统是实现智能化的先决条件和基础,同时也是大厦现代化的重要标志之一.没有结构化综合布线,大厦智能化无从谈起。
综合布线系统发展过程
1984年首座智能大厦在美国出现后,传统布线系统的不足就日益暴露出来,如:电话、有线电视(CATV)、保安监控、局域网及BA系统等,都是各自独立的、各系统分别由不同的厂商设计和安装,布线也采用不同的的线缆和不同的终端插座。应此传统布线存在许多的缺陷:
系统分别设计,互不关联,不能兼容。
分别实施,工程施工难以协调,工程造价高。工程完毕,统一管理难。
缺乏统一的技术标准,统一的传输介质。系统一经确定,难以更改,灵活性差。以至当办公环境改变,需调整办公设备或随着新技术的发展需要更新升级设备时,就需要更换布线系统。随着全球社会信息化与经济国际化的深入发展,人们对信息共享的需求日趋迫切,就需要一个系统化的布线方案 。
综合布线系统的特点
综合布线系统是一套标准的配线系统,综合了所有的语音、图象与控制等设备,并将多种设备终端插头插入标准的信息插座内。即任一插座能连接不同的设备,如:微型计算机、打印机、电话机、传真机等,非常灵活、使用。
综合布线系统对不同厂家的语音、数据设备均可兼容,且使用相同的电缆与配线架、相同的插头和模块插孔。因此,无论布线系统多么复杂、庞大,不再需要与不同的厂商进行协调,也不再为不同的设备准备不同的配线零件,以及复杂的线路标志与管理线路图。
综合布线系统采用模块化设计,布线系统中除固定与建筑物内的水平线缆外,其余的都是积木标准件,易于扩充及更新配置。因此当用户因发展而需要增加配线时,不会因此而影响到整体布线系统,可以保证用户在以前布线上的投资。AVAYA的综合布线系统 为所有语音、数据和图象设备提供了一套实用的、灵活的、可扩充的模块化的介质通道。
综合布线系统能将当前和未来的语音、数据、网络、互连设备以及监控设备很方便地扩张进去,是真正面向未来的先进技术。
可见,综合布线系统较好地解决了传统布线方法的许多问题。其实,随着科学技术的迅猛发展,人们对信息资源共享的要求越来越迫切,尤其以电话业务为主的通讯网逐渐向ISDN 过渡,越来越重视能够同时提供语音、数据和图象传输的集成通信网。因此,综合布线系统取代单一、昂贵、繁杂的传统布线,是“信息时代”的要求,是历史发展的必然。
综合布线系统的结构
结构化综合布线系统Structured Cabling System采用模块化和分层星型拓扑结构,它一般可分为六个子系统,参见下图.
1 )工作区子系统(WORK AREA SUBSYSTEM)
工作区子系统由用户终端设备连接至信息插座的器件组成,它包括装配软线、连接器和连接所需的扩展软线,并在终端设备和I/O接口处搭桥,信息插座有墙上、地上、桌上、软基型多种,标准有RJ45/RJ11的单、双、多孔等各种型号。
2 )水平区子系统(HORIZONTAL SUBSYSTEM)
水平布线子系统将电缆从楼层配线架连接到各工作区的信息插座上,一般处在同一楼层。通常采用3类或5类8芯4对双绞线,3类或5类双绞线都是由8根24-AWG()铜线组成,符合或超过EIA/TIA-568标准。
3 )管理子系统(ADMINISTRATION SUBSYSTEM)
管理子系统由楼层配线架组成。其主要功能是将垂直干缆与各楼层水平布线子系统相连接。布线系统的灵活性和优势主要体现在管理子系统上,只要简单的跳一下线就可以完成任何一个结构化布线的信息插座以对任何一类智能系统的连接,极大地方便了线路重新布置和网络终端的调整。光纤连接时,要用光纤接续箱(LIU),箱内可以有多个ST连接器安装孔,箱体箱内的线路弯曲设计应符合
4 )垂直干线子系统(RISER BACKBONE SUBSYSTEM)
主干线子系统提供建筑物的主干电缆的路由,是综合布线系统的神经中枢,实现主配线架和中间配线架的连接。一般建议采用大对数双绞线电缆和光纤作为主干传输介质。
5 )设备室子系统(EQUIPMENT SUBSYSTEM)
设备室子系统把中继线交叉处和布线交叉连接处连到应用系统设备上.由设备室的电缆及连接器和相关支撑硬件组成,把公用系统设备的各种不同设备互连起来.
一般设备室子系统分作两部分考虑:
第一部分为计算机房,放置网络设备,在网络设备上可接服务器、主机等;
第二部分为通信中心,放置PABX及边接PABX与垂直干缆的主配线架等.
6)建筑群室连接子系统(CAMPUS BACKBONE SUBSYSTEM)
该子系统是指主建筑物中的主配线架延伸到另一建筑物中的主配线架上的连接系统。与垂直子系统类似,通常采用光纤或大对数铜缆连接。它是整个布线系统的一部分(包括传输介质)并支持提供楼群之间通信所需的硬件,其中有电缆、光缆和防止电缆的浪涌电压进入建筑物的保护设备。
综合布线系统的标准
智能建筑已逐步发展成为一种产业,如同计算机、建筑一样,也必须有标准规范。目前,已出台的综合布线及其产品、线缆、测试标准主要有:
* ISO/IEC 11801;ISO/IEC CD 14673;
* EIA/TIA 568A;EIA/TIA TSB 67;EIA/TIA TSB 72;EIA/TIA TSB 75;TIA PN 3772 ;TIA PN 2948;TIA PN 3193;EIA/TIA 569A;EIA/TIA 570-B;EIA/TIA 606;EIA/TIA 607;TSB36/TSB40;
* , , , FDDI/CDDI/TPDDI;
* GBJ42-81
*《民用建筑电气设计规范》(JGJ/T16-92)
*《电器设备安装工程施工及验收规范》(GBJ232-90、92)
*《建筑与建筑群综合布线系统工程设计规范 》(CECS72-97)
*《智能建筑设计标准》(EBD-03-95)
*《工业企业程控用户交换机工程设计规范》
*《工业企业通信接地设计规范》
综合布线系统产品的选型标准
选择良好的综合布线产品和科学的设计、精心的施工是智能化建筑的“百年大计”。
就我国现在的情况来看,尚不能生产综合布线产品,应而要靠进口。目前,进入国内的产品很多。在众多的产品当中,大多数都符合标准的外型尺寸等,但电气性能、机构特征以及EIA/TIA 568可靠性指标也是十分重要的,常易被人们忽视。因此在选用产品的时候,要选用其中一家有专业厂家认证和符合标准的产品,不可选用多家产品,否则在可靠性方面达不到要求,会影响布线系统的整个效果,难以保护用户的投资。因为综合性一体化布线正是统一形形色色的弱电系统的纷争和不一致、不灵活而创立的,如果在布线系统中再出现传输性能和电气参数不一致的多家产品,则恰好是与综合布线的初衷背道而驰。因此,选择一致性的、高性能的布线材料是综合布线重要的一环。
综合布线系统的经济分析
综合布线系统越来越被人们认识并且采用,除了因为它有优越的灵活性、兼容性、可靠性、前瞻性以外,同时还因为它具有良好的经济性。
衡量一个建筑产品的经济性,应该从两个方面加以考虑,即初投资和价格性能比。发展商和用户希望建筑所采用的设备在开始使用时应该具有良好的实用特性,而且还应该有一定的技术储备,在今后的若干年内应保护用户最初的投资,不增加新的投资,同时仍保持建筑物的先进性。美国PANDUIT的综合布线系统与传统的布线方式相比,就是一种即具有良好的初期投资特性,又具有极高的性能价格比的高科技产品。
综合布线系统设计要领
总体规划
一般来说,国际信息通信标准是随着科学技术的发展,逐步修订、完善的。综合布线也是随着技术的发展和新产品的问世,逐步的发展和完善的。我们在设计时要提出并研究近期和长远的需要是非常必要的。为了保护建筑物投资的利益,我们可以采用“总体规划,分布实施,水平布线一步到位”。从图中可以看出,主干大部分敷设在建筑物的弱点井内,更换和扩充比较的容易;水平布线是在建筑物的天花板内和管道里,施工费比初始投资的材料高。如果更换水平布线,要损坏建筑物结构,影响整体美观。因此,我们在设计水平布线,尽量选用档次较高的线缆及连接件(如 选用100Mbps的双绞线)缩短布线周期。
系统设计
设计与实现一个合理的综合布线系统一般有六个步骤:
获取建筑物的平面图;
分析用户的需求;
系统结构设计;
布线路由设计;
绘制布线施工图;
编制布线用料表;
典型的综合布线系统采用星型的拓扑结构布线方式,具有多元化的功能,可以使任一子系统单独的布线,每一子系统均为一独立的单元组,更改任一子系统时,均不会影响其它子系统。
一个完善确定设计的布线走线系统,其目标是,在既定的时间以外,允许在有新的集成过程中,不必再去进行水平布线,损坏建筑物装饰而影响审美。
保证布线工程质量的措施
选择技术实力雄厚,综合性能良好的布线材料,进行科学的设计,精心地组织施工,自然是十分重要的。但该公司的规范化管理制度也十分重要。
网络优化的设计
本章主要从网络的运行与技术发展的角度出发做出一些分析,论证采用合理优化的必要性,同时提出对网络优化的几种手段与方法。为电力培训中心良好运行网络业务和将来网络的发展打下坚实的基础。
虚拟网的优化建议
VLAN划分的优势
选择虚拟网的主要原因就是虚拟网能够减少用户的增加、删除、移动等工作产生的隐含开销。在任何一种规模的网络中,这笔开销都是不可低估的。考虑到这一点,客户才对VLAN如此的热衷。
就是虚拟网的应用在很大程度上增强了对动态网络的集中式管理能力并相应的减少了这方面的开支。对于使用IP协议的网络,这点尤为突出。以前,如果一个用户移动到了另一个网段,那么,他所使用的工作站上的IP地址需要手动修改。这种升级过程既浪费时间又消耗精力。现在,VLAN中的用户已经不用再如此了劳神了。IP地址和工作站之间没有永久的必然的联系。用户可以在网络间漫游而不用考虑自己的成员身份。
这种新出现的动态网络结构吸引了许多Internet应用服务投资商。然而,遗憾的是,并不是每一种形式的VLAN都能给您带来意想不到的利润。一个VLAN与另一个VLAN之间的对话首先必须建立在物理连接的基础上。其次还需要一个虚拟连接层。这两个层次之间的对应和管理手段都需要大量的投资。那是不是说,虚拟网不能为使用者节省开支了呢?不是的。如果使用得当,VLAN仍然会做得很好。只不过,公司的决策人千万不要简单的把VLAN扔到网络上去而不管实际的需求和应用情况。虚拟网的建设所带来的投资和虚拟网在网络管理上节省下来的开支,孰轻孰重,是必须考虑的。
虚拟工作组
使用虚拟网的另一个目的是建立虚拟工作组模型。当企业级的虚拟网建成之后,某一部门或分支结构的职员可以在虚拟工作组模式下共享同一个"局域网"。这样,绝大多数的网络流量都限制在VLAN广播域内部了。当部门内的某一个成员移动到另一个网络位置上时,他所使用工作站不需要作任何改动。相反,一个用户根本不用移动他的工作站就可以调整到另一个部门去。管理员只需要在控制台上简单的敲两个键或挪动一下鼠标就可以了
VLAN的这种功能使人们以前曾设想过的动态网络组织结构成为了可能,并在一定程度上大大推动了交叉工作组的形成。那么,究竟什么是虚拟工作组呢?对一个公司而言,经常会针对某一个具体的开发项目临时组建一个由各个部门的技术人员组成的工作小组。他们可能来自经营部网络部,技术服务部等等。有了虚拟网,小组内的成员不用再集中到一个办公室里了。他们只要坐在自己的计算机旁就可以了解到其他伙伴们的开放情况。另外,虚拟网为我们带来了巨大的灵活性。当有实际需要时,一个虚拟工作组可以应运而生。当项目结束后,虚拟工作组又可以随这消失。这样,无论是对用户还是对网络管理员来说,VLAN都是再诱人不过了。
虚拟网技术的出现是和局域网交换技术分不开的。局域网交换技术使用户抛弃了传统的路由器,并在很大程度上代替了人们早已熟知的共享型介质。随着以太网和令牌网交换设备平均端口价格的降低。一些有远见的厂商开始将目光投向大型局域网交换体系。这种网络工作方式非常适合虚拟网技术的应用,并迅速成为降低成本、增加带宽的一种有效手段。然而,早期的交换机是不具备路由功能的。从某种程度上说,它只是一个高速网桥。因此,在这种以交换为主的网络里,路由器在定义广播域的过程中发挥了主要作用。路由器可以很容易的跨越不同网段,支持多达500用户的广播域。但是,交换技术的应用也产生了其它一些问题。大量的广播信息所带来的带宽消耗和网络延迟对于很多用户来讲是不容忽视的。
VLAN为路由器提供了一种可供选择的解决方案。VLAN中仍然需要路由器,仍然存在着广播流量。不同的是,在我们将交换技术和虚拟网技术相结合后,网段中的用户可以尽可能的少,甚至可以只有一个User;而广播域则能大到包含1000以上的用户。另外,如果使用得当,VLAN中的工作站可以移动到新的物理位置而不需要重新配置任何参数。
用最简单的方式来说,从网络管理的角度,VLAN是一组可以互换单一播送和广播数据包的局域网交换机上的端口。当一个数据包从一个属于某一VLAN的端口进行广播时,交换机收到数据包然后拷贝到这一VLAN所包括的所有端口上。目前国际上已对VLAN标记进行了标准化的定义,即
网络系统的安装中都需用VLAN的原因:
许多现存的网络依赖第三层转发功能(如传统的路由器)来提供一定程度的安全性和存取控制。即使一个多层交换机的第三层转发模块具有能提供完好的安全性和存取控制,如果不采用VLAN技术,对一个用户来说,很容易通过重构他(她)的工作站的IP地址从而对与他(她)的子网内的网络资源进行利用或破坏,因为在这种情况下用户是能够由第二层交换核心实现数据交换而不是通过第三层交换模块。所以无法进行安全性检查。
如果不定义VLAN,一个基于多层交换技术的局域网将是一个单独的、庞大的广播域。局域网中站点的数量及采用的协议类型会造成巨大的广播风暴。一些局域网交换机采用智能广播控制技术来解决这个问题。但如果没有这类设计,就必须采用VLAN把网络划分成一定数量的广播域来控制广播风暴。
现在让我们看一下实践中是如何将多层次交换技术与VLAN技术相结合的。为简便起见,我们假设每一个IP子网都可以拥有自己的VLAN,但每一个VLAN只能有一个IP子网。
我们要做的就是决定哪一个多层交换机上的哪一个端口属于哪一个IP子网。对一个传统的以路由器为中心的局域网来说,这一点很容易实现。因为每一个与路由器相连的局域网网段已拥有自己的子网标识。当我们连接一个局域网网段到一个多层交换机上时,主要目的是想通过把网段分成若干个更小的网段来提高性能,那么就会有一定数量的属于同一子网的端口连接在的同一个多层交换机上。我们只需简单地将在每一组属于同一子网的端口定义为一个VLAN,然后将这个VLAN“连接”到一个在多层交换机中的第三层转发模块中的逻辑“路由器端口”上。所有这些工作只需要经过网络管理控制平台的操作即可。
采用这种方式来定义VLAN意味着我们解决了安全性的问题。因为用户不通过第三层交换设备,就不可能访问与它们不在同一个VLAN上的资源,同时也涉及到了广播问题 ,这是由于划分后的广播域要小于我们采用传统路由器连接共享的网段所形成的广播域。
虚拟网间的信息传递
交换机必须有一种方式来了解VLAN的成员关系,即哪一个工作站属于哪一个虚拟网。否则,虚拟网就只能局限在单交换机的应用环境里了。一般来说,基于数据链路层的虚拟网(即按端口和MAC地址划分的VLAN),其成员是以直接的形式与其它成员联系的。而基于IP的虚拟网成员之间是利用IP地址以间接的方式相互联系的。绝大多数利用网络层划分虚拟网的网络产品,其工作方式均属于后一种。
现在,对于本次网络的建设主要采用以太网技术,因此可以抛开ATM不谈,已经有三种方式被用来实现VLAN之间的通讯:
列表支持方式(TableMaintenance);
帧标签方式(FrameTagging);
TDM(Time-DivisionMultiplexing,时分复用)方式
交换机列表支持方式
这种方式是按如下步骤工作的:当工作站第一次在网络上广播其存在时,交换机就在自己内置的地址列表中将工作站的MAC地址或交换机的端口号与所属虚拟网一一对应起来。并不断的向其它交换机广播。如果工作站的虚拟网成员身分改变了,交换机中的地址列表将由网络管理员在控制台上手动修改。随着网络规模的扩充,大量用来升级交换机地址列表的广播信息将导致主干网路上的拥塞。因此,这种方式并不太普及。
帧标签方式
在这种形式下,每个数据包都在包头位置上插入了一个标签以显示该数据帧属于哪个虚拟网。不同厂家的标签长度是不一样的。有时,一个数据包加上标签后的长度甚至超过了网络设备所能处理的极限。另一个问题是,由于标签的存在,网络负载加重了。
TDM方式
TDM在虚拟网上的实现方式与它在广域网上的实现方式非常类似。在这里,每个虚拟网都将拥有自己的网络通路。这样,在一定程度上避免了前两种方式中所遇到的问题。但另一方面,属于某一个虚拟网的时间片断只能被该虚拟网的成员使用。所以,仍然有很多带宽被浪费了。
现在, ATM网络也允许内部的两个交换机之间交换虚拟网信息。与上述三种方式都不同的是,ATM使用一种被称作LANE(LANEmula-tion,局域网仿真)的技术来实现这项功能
虚拟网的标准
从上述内容看来,虚拟网的定义方式以及交换机的通讯方式是多种多样的。每个厂家都有自己独特的虚拟网解决方案。然而,残酷的事实告诉我们,3COM的交换机是不可能与DEC的交换机一起在虚拟网上亲密合作的。这就意味着,用户在购买硬件设备时不得不从头到尾依赖单一的网络厂商。(当然,一个例外就是ATM上的VLAN)因此,在最近的一段时间内,VLAN仍然是与厂商紧密相关的技术产物。
迄今为止,业界已经通过了两种VLAN标准。
标准
在1995年,Cisco公司提倡使用协议。在此之前,曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而,大多数802委员会的成员都反对推广。因为,该协议是基于FrameTagging方式的。这样将导致不定常的数据帧,使A-SIC字符的传输变得非常困难。
VLAN标准
在1996年3月,委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构,统一了Fram-eTagging方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向。被称为的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。
虚拟工作组模型的实现。
虚拟工作组的管理
网络管理一直都是令人头疼的问题。对于网络管理员来说,虚拟工作组频繁的变更会给他们带来许多意想不到的工作量。其繁冗程度不亚于手动修改路由列表。而且,从传统意义上讲,人们总还是在心理上希望能和同在一个工作组的其它成员在一起面对面的工作、交谈,而不是待在各自的屋子里通过没有生命力的网络间接的对话。
对80/20规范的支持
虚拟网对虚拟工作组的支持必须严格遵守80/20规范,即80%的网络流量限制在本地而另外20%的流量参与其它工作组之间的联系。理论上,如果划分得当,只有20%的非本地数据会通过路由器到达远程节点。这样,既节省了宝贵的网络带宽又减少了网络延迟。但是,80/20规范在某些情况下会限制某些网络软件的使用。对于像LotusNotes这样的群件系统尤其如此。因为,整个网络上所有用户对应用软件的访问概率几乎是一样的。
对本地局域网资源的访问
这是虚拟工作组模式带来的一个小小的问题。用户经常和某些网络共享资源,如打印机在物理上离的很近。一旦使用起来那可就要费点事了。打个比方说,会计组的一名成员和许多经营组的成员同在一间办公室里。在她本地的计算机上就连接着一台计算机。但遗憾的是,这台打印机被划给经营虚拟组了。这样,所有对本地打印机发出的打印请求都必须首先通过连接两个虚拟网的路由器。您不觉得累了点么?当然,某些情况下,我们可以让两个虚拟网共享同一个网络资源,包括打印机。但如果实际情况不允许我们这么做,那么我们只能在主干网交换机上内置路由功能。虽然这样做会降低交换机的性能,但总比使用外部路由强。
对服务器集群的访问
服务器集群是指公司将所有的服务器都集中在数据中心。这样做可以实现冗余备份,充分利用良好的外部环境和不间断电源。目前,服务器集群已经成为减少网管开支的主要途径之一。然而,如果网络设备不支持交叉虚拟网的话,服务器集群的使用将使虚拟网络陷入尴尬局面。在这种情况下,中心服务器和处在不同虚拟网段的客户端之间的数据交换必须通过路由器。也许我们可以为每个工作组都提供一系列的本地服务器,但在绝大多数情况下这是不太可能的。另外,在某些网络环境中,MIS系统的工作人员总习惯性在服务器集群和其它网络设备之间放一个路由器。目的是通过对路由器访问扩展列表的管理加强网络的安全性。而对于绝大多数厂商来说,他们的交换机产品是不支持跨越路由器的虚拟网划分的。更糟糕的是,想想吧,我们为什么选择了交换机和虚拟网。其主要原因是为了减少路由器带来的网络延迟。而现在,服务器集群和MIS系统的存在使我们不得不又重新操起了传统的网络拓扑结构。这与虚拟网络的原本意图是格格不入的。
减少路由器的使用
现在,交换机的出现大大动摇了路由器在网络中的地位。新型的交换机集高速网桥和高性能路由于一身。其增长势头远远超过了传统的路由器。人们不禁惊呼"交换机的时代来临了。"即使是路由器生产厂商现在也开始抱有这样一种观点:"Switchwhenyoucan,routcan,routerwhenyoumust。"但另一方面,虽然交换机能够在网络层的基础上为观点用户提供卓越的功能,但在短时间内,交换机仍然和网桥一样,无法过滤局域网内的广播信息。它只是简单的将广播信息进行复制,然后分发给各个端口。这样做经常会导致网络上的"交通"拥挤不堪,使交换机所带来的高带宽大打折扣。因此,用户们不得不使用路由器将本网段和其它网段隔离开。路由器的作用就象是一个针对广播信息的防火墙。顺便插一句,由此看来,交换机本身是不会让用户抛弃路由器的。
使用虚拟网的一个优势就是支持虚拟网的交换机可以在没有路由器的情况下很好的控制广播流量。在VLAN中,从服务器到客户端的广播信息只会在连接本虚拟网客户机的交换机端口上被复制,而在其它端口上,广播信息终止了。只有那些需要跨越虚拟网的数据包才会穿过路由器。在这种工作方式下,交换机事实上扮演的是路由器的角色。
那么,路由器在虚拟网中究竟处在什么样的地位上呢?就是在VLAN中,路由器业仍然有着存在的理由:路由器可用于连接不同的VLAN,同时,还要为局域网和广域网之间的连接提供有效的广播过滤功能。因为虚拟网在广域网上是不适用的。
服务质量QoS的设计
Internet近年来以惊人的速度蓬勃发展,同时伴随多媒体技术的飞速发展,Internet上多媒体应用层出不穷,多媒体信息的数量与日俱增。Internet已逐步由单一的数据传送网向数据、语音、图像等多媒体信息的综合传输网演化。但Internet中现有的传输模式仍为单一的尽量做好(best-effort)服务,无法满足多媒体应用和各种用户对网络应用服务质量的不同要求。所以关于如何提供满意的网络应用服务质量,已经成为Internet发展的重要方向。
什么是QoS(Quality of Service)
所谓服务质量QoS,是指服务性能的聚集效应,它决定用户对特定服务的满意程度。需要指出两点: 这种主观性的定义把服务质量与用户所感知的服务联系在一起。 从网络提供的角度来说, 可以通过控制一些具体的、可度量的、可量化的参数来提供服务质量,如传输延迟、抖动、丢失率、带宽要求、吞吐量等指标。
服务质量不单单是网络的事情,而是应用程序、用户终端、网络、服务器各部分的综合效应。例如,一个用于远程视频播放的端到端活动,就可能由以下几部分组成:从媒体服务器获得视频,在源地进行压缩,通过Internet将其传送到目的地,在目的地进行解压缩,并根据播放窗口的大小对视频按比例进行调整,最后在视频窗口播放。在端到端路径上,任何一个环节不符合QoS的要求,都会影响播放的完整性。
QoS量化指标
QoS的量化指标主要有两个方面:
1、呼叫与连接建立的速度
用户感知到的服务质量的一个重要方面, 是其服务流量(分组)所经历的延迟。 延迟主要从以下方面对不同服务产生不同的影响: 端到端延迟(End-to-end delay);延迟变化(即抖动,jitter)。
交互式的实时应用程序(如语音通信等)对端到端延迟和抖动很敏感。 如果延迟大, 则对通信的交互性有所削弱。
非交互式的实时应用程序(如单向广播等)对端到端延迟不敏感,但对抖动敏感。 抖动往往是由于接收端用缓冲区来存放分组,并在适当的时间后“回放”而带来的。非实时应用程序往往对延迟不敏感。不过, 由于这些应用可能采用延迟指标来控制其流量速率(如TCP), 或在应用得到响应前需要对数据进行缓存(如FTP), 所以数值或变动大的延迟也可能影响这些应用的质量。
2、网络数据的传送速度吞吐量
吞吐量的主要指标是应用可用的带宽大小。吞吐量决定应用可以在网络传输的流量速率。吞吐量取决于以下因素: 链路特性: 带宽, 出错率;节点特性: 缓冲区容量, 处理机能力。
因而, 终端/主机、链路、交换机/路由器等网络元素的特性,通过延迟和吞吐量的尺度, 共同决定了提供给应用的服务质量。
QoS的分类
从QoS的严格程度来分类:
1、确定型(deterministic)QoS承诺
在通信过程中,提供QoS “ 硬”保证,确保通信各方协商好的各QoS参数值,不允许有任何违背,否则可能会造成严重后果。这类服务一般用于硬实时应用。例如,远程医疗诊断这样的分布式多媒体应用,就需要这类服务来支持诸如患者的X 射线影像数据的实时无差错传送。
2、统计型(statistical)QoS承诺
在通信过程中,提供QoS “ 软”保证,允许对通信各方协商好的各QoS参数值有一定比例的违约,适合于软实时应用。例如,对于分布式多媒体信息点播服务中的影片点播来说,用户通常可以容忍一定数量的比特错和帧丢失。
3、尽全力型(best_effort)QoS承诺
与数据报服务同义,不提供任何QoS保证。目前由于带宽的限制,广域网(如Internet)中的分布式多媒体服务多属于这类服务。
从服务质量的实现层次来分类:整个Internet从实现服务的角度可分成三个主要层面:
1、物理网络层
物理网络如:Ethernet、ATM,负责实现自己内部网络传输的QoS。
2、IP层
IP网络通过建立同样的QoS服务模型,屏蔽物理网络的细节,实现面向应用的QoS服务。
3、应用层
应用层则根据需要,选择不同的IP服务类型, 实现面向用户的QoS。
QoS的体系结构
到目前为止,业界的不同组织或单位已提出了一些QoS的体系结构,这包括IBM公司的HeidelbergQoS模型、美国哥伦比亚大学COMET研究组提出的XRM模型、美国宾夕法尼亚大学的OMEGA体系结构、加利福尼亚大学伯克利分校的Tenet模型等。但对于IPQoS则主要有以下两种体系结构。
IntServ集成业务体系结构
IntServ(IntegratedServicesArchitecture)由IETF的IntServ工作组于1994年在RFC1633中提出。集成业务体系结构(IntServ)的基本思想是“所有的流相关状态信息应该是在端系统上”。它所使用的资源预留(RSVP)协议是一种预留资源的信令协议。发送端给接收端发送一个PATH消息,以指定通信的特性。沿途的每个中间路由器把PATH消息转发给由路由协议决定的下一跳。当收到一个PATH消息时,接收方做出的反应是用一个RESV消息为该流请求资源。沿途的每个中间路由器可以拒绝或接受RESV消息请求。如果请求被拒绝,路由器将发送一个出错消息给接收方,并且中断信令的处理过程。如果请求被接受,为该流分配链路带宽和缓冲区空间,并且把相关的流状态信息装入路由器中。
Intserv定义了三种服务类型。
GuranteedServices(RFC2212):对带宽、时延、分组丢失率提供定量的质量保证;
Controlled-loadServices(RFC2211):给用户提供一种类似在网络欠载情况下的服务,它是一种定性的指标;
Best-Effort:类似于目前Internet网上提供的服务,是一种尽力而为的工作方式,基本上无任何质量保证。
为了实现上面的服务,IntServ定义了4个功能部件,网络中的每个路由器皆需要实现这4个部件。
RSVP(RFC2205):RSVP即资源预留协议,它是Internet上的信令协议。通过RSVP,用户可以给每个业务流(或连接)申请资源预留,要预留的资源可能包括缓冲区及带宽的大小。这种预留需要在路径上的每一跳都要进行,这样才能提供端到端的QoS保证。RSVP是单向的预留,适用于点到点以及点到多点的通信环境。
访问控制(AdmisionControl):它基于用户和网络达成的服务协议,对用户的访问进行一定的监视和控制,有利于保证双方的共同利益。
分类器(Classifier):根据预置的一些规则,它对进入路由器的每一个分组进行分类。这可能需要查看IP分组里的某些域:IP源地址、IP目的地址、上层协议类型、源端口号、目的端口号;分组经过分类以后被放到不同的队列中等待接收服务。这方面的技术还不很成熟,是一个有待研究的领域。
队伍调度器(Scheduler):它主要是基于一定的调度算法对分类后的分组队列进行调度服务。这方面的技术目前已比较成熟,常见的调度算法有WFQ、WF2Q、SCFQ、VC、MD-SCFQ、WRR等。
集成业务模型的优点是:
* 能够提供绝对有保证的QoS。详细的设计使RSVP用户能够仔细地规定业务种类。因为RSVP运行在从源端到目的端的每个路由器上,因此可以监视每个流,以防止其消耗比它请求、预留和预先购买的要多的资源。
* RSVP在源和目的地间可以使用现有的路由协议决定流的通路。RSVP使用IP包承载,使用“软状态”的概念,通过周期性的重传PATH和RESV消息,协议能够对网络拓扑的变化做出反映。正如PATH和RESV刷新用来更改该预留的流的通路那样,没有了这些消息时,RSVP协议释放与之关联的资源。
*设计集成业务模型开始的目的之一就是使得QoS能够工作在从一个源到一个目的地(unicast)和从一个源到多个目的地(multicast)。RSVP协议能够让PATH消息识别多播流的所有端点,并发送PATH消息给它们。它同样可以把自每个接收端的REVP消息合并到一个网络请求点上,该点可以让一个多播流在分开的连接上发送同样的流。
集成业务模型的缺点是:
* 伸缩性不好。随着流数目的增加,状态信息的数量成比例上升,占用了大量的路由器存储空间和处理开销。因此,在因特网核心中这种结构的伸缩性不好。
* 对路由器的要求较高。由于需要进行端到端的资源预留,必须要求从发送者到接收者之间的所有路由器都支持所实施的信令协议。因此所有路由器必须实现RSVP、许可控制、MF(Multi-Field)分类和包调度。
* 对保障型业务需要网络全部使用集成业务。如果中间有不支持的节点/网络存在,虽然信令可以透明通过,但实际上对于应用来说,已经无法实现真正意义上的资源预留,所希望达到的QoS保证也就打了折扣。
* 该模型不适合于短生存期的流。因为为短生存期包预留资源的开销很可能大于处理流中所有包的开销。但因特网流量绝大多数是由短生存期的流构成的。在短生存期的流需要一定程度的QoS保证时,集成业务模型就显得得不偿失了。
DiffServ区分业务体系结构
由于对集成业务模型利用全程信令将原本面向无连接的因特网,勉为其难地改为向面向连接的网络这种方式的可实施性已经产生了怀疑。因而希冀能够出现一种新的解决问题的思想,既考虑已有网络的现状,又能达到实现服务质量的目的,这就出现了区别型业务(Diffserv)模型。
为了解决IntServ的一些缺点,IETF在RFC2475中提出DiffServ(DifferentiatedServicesArchitecture)体系结构,旨在定义一种实施IPQoS且更容易扩展的方式,以解决IntServ扩展性差的缺点。DiffServ简化了信令,对业务流的分类颗粒度更粗。它通过汇聚(aggregate)和PHB(PerHopBehavior)的方式来提供一定程度上的QoS保证。汇聚的含义在于路由器可以把QoS需求相近的各业务流看成一个大类,以减少调度算法所处理的队列数;PHB的含义在于逐跳的转发方式,每个PHB对应一种转发方式或QoS要求。
在DiffServ里,引入了DiffServ域(Domain)的概念,一个DiffServ域可以认为是一个能提供DiffServ业务的子网,如图所示。DiffServ域主要由一些路由器组成,并对这些路由器进行了区分,把位于DiffServ域边界的称为边界路由器(EdgeRouter),而把DiffServ域内部的称为内部路由器(CoreRouter)。边界路由器需要具有的功能有:对业务流的分类(基于IP分组中一些字段的与IntServ类似的较细分类或者为基于汇聚的较粗分类)、整形(shaping)、标记(marking)和调度(sheduling);内部路由器需要具有的功能有:分类(为基于汇聚的较粗的分类)、调度。DiffServ力图通过对业务流的分类、整形、标记、调度来实现对业务QoS一定程度上的保证。目前在DiffServ上主要提出了下面两种业务:
ExpeditedServices(EF-RFC2598):提供类似于专线或租用线的服务;
AssuredServices(AF-RFC2597):提供比Best-Effort尽量好的QoS;
DiffServ利用了IPv4分组头的TOS字段(或IPv6的COS字段),作为DSCP(DiffServ编码点)使用。每一种DSCP对应一种PHB方式。路由器在转发分组时只需查看每个分组的DSCP值,从而对此分组提供相应的PHB转发方式。目前已定义的DSCP值有:000000为缺省(Best-Effort)、101100为EF及12个AFDSCP。
实际上,DiffServ仅提供了一种在一子网络域内实施QoS的框架结构,而具体的一些策略和相应的实现机制则由不同的厂商来决定。尽管DiffServ比较灵活,但同时提出的一个问题是它能否真正提供QoS保证。
DiffServ业务模型完全不同于集成型业务模型,它的优点是:
*伸缩性较好。DS字段只是规定了有限数量的业务级别,状态信息的数量正比于业务级别,而不是流的数量。
* 便于实现。只在网络的边界上才需要复杂的分类、标记、管制和整形操作。ISP核心路由器只需要实现行为聚集(BA)的分类,因此实现和部署区别型业务都比较容易。
与集成业务模型的互通
很有可能的是,集成业务模型会因为伸缩性的问题而无法在WAN上使用。将来区别型业务模型(配合MPLS),在QoS方面很可能占有主导地位。而事实上,很多ISP期待区别型业务模型能够满足所有他们的QoS需求。而与此相反的是,集成业务模型能够在企业网中实施,很多企业的联网产品中都已经或即将集成某种程度的集成业务能力。如果WAN用的是区别型业务模型,而LAN用的是集成业务和区别业务模型的混合形式,那么当发送者和接收者之间的通路同时需要LAN和WAN时,如何才能够保证端到端的QoS呢?
IETF建议了两种互操作方式。一种方法是将集成业务覆盖在区别型业务网上,RSVP信令完全透明地通过区别型业务网。位于两种网络边缘的设备处理RSVP消息,并且根据区别型业务网络中合适的资源的可用性提供许可控制。另外一种方法是简单的并行处理。区别型业务网中的每个节点可能也是具有RSVP功能的。采取一些策略决定哪些包用RSVP,哪些用区别行业务处理。这种模型可能适用于小型网络。
QoS的实现机制
队列管理机制(QueueManagementMechanism)
在网络发生拥塞时,路由器必须丢弃一些分组,这个问题的解决首先必须实施有效的队列管理机制(或缓冲区管理策略)。
目前,已经出现的队列管理机制有:PPD(PartialPacketDiscard)、EPD(EarlyPacketDiscard)、RED(RandomEarlyDiscard)、FRED(FlowRED)、RIO(REDwithInandOut)、BLUE等算法。比较起来,RED算法具有较低的排队时延、较高的分组通过度(Goodput)和较好的公平性,其主要思想是:路由器计算平均排队长度,当平均排队长度超过某一门限时,路由器按照一丢弃概率丢弃到达的分组,而这个丢弃概率是与平均排队长度成正比的函数。RED算法允许短时的分组突发,因而可以避免因为网络负荷变化造成的分组丢弃;RED能避免多个TCP连接同时的超时重传,从而保持高的带宽利用率;此外,RED算法还能较好的支持突发业务,且确定哪些连接使用了更多的带宽,并可以采取措施予以惩罚。
FRED和RIO都是在RED上的改进或变种,FRED对每一个业务流(或连接)都实施单独的一个RED算法,这样能保证更好的公平性;RIO在RED的基础上又增加了一个门限值,在对DiffServAF业务的研究中多采用此算法。
BLUE算法是IBM公司的研究人员最近才提出的另一种较新的队列管理机制,与其他算法不同的是:BLUE算法以“分组丢失率”和“链路有效利用率”作为判别拥塞是否发生的标准,而之前的算法都是以路由器中的“平均分组长度”作为拥塞是否发生的判别标准。
队列调度机制(QueueingSchedulingMechanism)
不论在IntServ还是在DiffServ里,都涉及到队列调度问题。简言之,队列调度的功能就是路由器如何从多个(或一个)队列中选择下一个待转发的分组,这与队列管理机制有着本质的区别。根据不同的服务规则,队列调度算法可以分为以下几种:先到先服务(FCFS)、循环调度(RoundRobin)、处理机共享(ProcessorSharing)、优先级服务、随机服务等。
目前已出现的队列调度算法主要有:基于循环调度的算法、基于GPS(GeneralizedProcessorSharing)的算法两大类。一个有效的队列调度算法应达到的性能指标主要有:公平性、时延特性、对恶意业务流的隔离能力、链路带宽的利用率、复杂性等,前4个指标与QoS密切相关。基于循环调度的算法是轮流地对每个队列进行服务,其实现简单,但不能对业务提供时延保证,目前主要有WeightedRR、DeficitRR等。基于GPS的调度算法目前主要有:加权公平排队(WFQ)、自时钟公平排队(SCFQ)、VC(VirtualClock)等,它们(尤其是WFQ)能提供较好的公平性、时延特性以及对恶意业务流的隔离能力,但当队列数较多时,其实现复杂度较大。
基于约束的路由(Constrained-BasedRouting)
基于约束的路由(CBR)源自QoSRouting,只是对QoS的限制参数进行了一定的扩充。CBR的有效实现需要各个路由器之间的相互配合,比如相互通知各自所知道的网络的一些状态信息(如链路的剩余带宽)。CBR的难点在于:如何在状态信息的精确发布和发布频率之间取得一个折衷。因为链路的剩余带宽在不断的变化,CBR既要避免状态信息发布的滞后性,又要避免不停地频繁发布状态信息。CBR的有效实现还有待进一步的研究。
业务量工程(TrafficEngineering)
业务量工程的主要目的在于尽量地避免网络拥塞的发生,以保证QoS。网络拥塞发生的原因可能有:网络资源(比如链路带宽、缓冲区)的不足、以及网络中业务的不均匀分布。当业务量不均匀分布时,则有的链路处于过载状态而有的链路可能处于欠载状态,此时如果我们能够对网络中的业务流进行适当引导,则不必增加网络资源也可能消除拥塞。业务量工程的目的就在于:如何有效地引导业务流通过网络以便消除由于业务量不均匀分布而造成的网络拥塞。多协议标记交换(MPLS)和基于受限的路由都是业务量工程的有用工具,也是目前有待进一步研究的课题。
网络安全设计
安全性设计
对于整个的网络,在网络优化中必须要考虑到整个系统的安全性。为了实现整个网络的整体安全,我们做出以下建议。
网络安全必要性
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
Internet的不安全因素,来自两个方面。一方面,Internet网络作为一种开放的通信基础设施,是面向所有用户提供服务的;另一方面,Internet技术是开放和标准的,任何人都可以取得和进行研究。随着国内互联网的发展,来自国内的黑客攻击也日益频繁,黑客攻击的案例不断增加,而且来自于国内的网络攻击呈指数增长的趋势。例如某公众服务网络遭到一名中学生的攻击,使得整个网络陷于瘫痪,很多计费数据丢失,给国家造成了重大损失。进一步来讲,由于国际互联网络是跨越时空的,所以安全问题也是跨越时空的,虽然我们国家的网络不发达,但是我们遭到的安全危险却是同国外一样的,这是一个很严重的问题。
但是,在实际操作中,保障网络安全与提供高效灵活的网络服务是一对矛盾。从网络服务的可用性、灵活性和网络性能考虑,网络结构和技术实现应该尽可能简捷,不引入额外的控制因素和资源开销。但从网络安全保障考虑,则要求网络对所提供的服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力,实现这些附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用,从而对网络系统的性能、服务的使用方式和范围产生影响。此外,保障网络安全常常还涉及到额外的硬件、软件投入及网络运行管理中的额外投入,由此可见保障网络的安全是有代价的。
根据以上对网路广义的分析,建议在制定网络安全策略时采用以下的原则:
1. 充分比较安全策略的安全性与网络服务的灵活性。
2. 充分比较网络的安全性与性能:安全措施的完成必然要消耗一定的网络资源。或是占用主机CPU和内存,或者是占用网络带宽,或者是增加信息处理的过程。所有这些都可以导致整体性能降低。
3. 充分比较网络的安全性与成本:采用网络安全措施本身会增加建网的成本,包括请安全专家进行安全方面的系统设计和实施的费用,购买硬件和软件的费用,管理和维护的费用等。
优秀的网络安全策略必须是建立在对网络安全需求与环境的客观分析评估基础上,在网络的应用性能及价格和安全保障需求之间确定一个"最佳平衡点",使得网络安全保障引入的额外开销与它所带来的效益相当。
外部网络的安全性
对于Internet出口可配置CISCO525防火墙,结合的访问控制可以实施基于多个内外网之间的访问控制、JAVA阻断、动态端口过滤和入侵检测,有效地保证企业Internet的出口安全。
采用防火墙将功能将整个电力培训中心与一些外部网络划分为内网和外网两个部分,对Firewall内部的校园信息系统的核心部分用军事化区(MZ)的策略来管理,而外网则作为非军事化区(DMZ)来管理,在防火墙上配置一定的安全性策略,有效地保证内部网部分的安全。
采用以上两种保护措施加上组网的策略,避免所有的漏洞,有力地保障网络的整体安全性。
- PAGE 1 -
