华为3Com钢铁企业信息化网络解决方案2.1拓扑结构设计华为3Com钢铁企业信息化网络解决方案拓朴图如下:基于网络向未来演进的趋势、宽带网络的投资效益等多种因素,结合钢铁企业的网络现状,华为3Com公司提出了如下解决方案。核心层:在核心层节点采用华为3ComQuidwayNetEngine80/40(以下简称NE80/40)核心路由器,核心路由器之间采用RPR技术,利用两根光纤构成两个2.5G的RPR环,提供了核心节点间连接的高可靠性,既满足了钢铁企业网络高带宽、高可靠性的要求,又由于RPR对光纤资源的高利用率,极大节省了运营成本。汇聚层:在汇聚层节点采用路由交换机QuidwayS8016/6506/5516通过GETRUNK(GE捆绑)的方式上行与相应核心路由器互连,同时采用GE线路实现对相应接入层交换机的千兆接入。接入层:在接入层节点采用华为3Com系列接入以太网交换机QuidwayS3000,实现接入节点到相应汇聚节点的千兆接入。2.2各层次节点设计核心节点设计核心节点的网络设备需要高速运送整个钢铁企业的流量,设备承载的压力较大。因此核心节点的建设,通常必须遵循以下几个原则:1、必须具备高可靠性及高冗余性;2、必须能够提供故障隔离功能;3、必须具有迅速升级能力;4、必须具有较少的时延和好的可管理性。作为钢铁企业网络的最高级节点,负责各种业务数据流量的转发,是整个城域网最核心部分,它的性能、可靠性将极大地影响整个网络的运行情况。华为3ComQuidway®NetEngine80/40(以下简称NE80/40)高速核心路由器,完全满足核心节点高可靠性、高稳定性及高性能等方面的需求。NE80/40基于第五代路由器的设计思想,采用了NP(网络处理器)的分布式硬件转发技术,极大的满足了当前数据、语音、图像综合承载的需求,并大大增强了网络对QOS、组播、MPLSVPN的支持能力。采用网络处理器技术的第五代路由器与基于ASIC的分布式硬件转发的第四代路由器相比具有巨大的优势。第一,采用网络处理器技术实现IP报文处理和转发,可以在保证高速数据转发的同时进行复杂的协议处理,从而实现丰富的业务;第二,采用网络处理器,可以通过升级软件增加新的业务功能,从而可以快速响应用户的业务需求,适应网络的发展;第三,具有强大的VPN、流分类、QOS、MPLS的业务支持能力,提供完善的QOS机制,满足用户的不同需求;第四,第五代路由器的出现,极大的满足了当前数据、语音、图像综合承载的需求,并提供MPLSVPN的支持能力。由于第五代路由器在业务特性上所具有的强大优势,所以已成为当前建设宽带骨干网络、汇聚网络的首选。整网解决方案中,核心节点直接通过2.5G的RPR口进行光纤直连组成环网,环网带宽达2.5G,可靠的实现了由RPR传输技术直接架构在光纤上建设IP环;并且骨干节点的NE80/40分别通过GE接口与骨干汇聚层的POP网络设备或其它的网络进行连接,实现不同业务功能及个性化业务的提供。华为3ComRPR技术采用双环逆向拓朴结构,外环和内环同时可传送数据和控制信息,采用完全分布式的访问控制方法。实现电信级故障自动保护倒换IPS功能,业务倒换时间小于50ms。可完成自动拓朴收集,能自动选择业务最优路径。应用简单,基本无需配置,结合拓朴自动发现和IPS特性,环支持节点动态加入和删除,业务不受影响,真正的节点热插拔。单播流的目的地址剥离,被目的点接收后,无需回到源地址,直接被剥离。采用空间复用技术,极大地提高了环带宽的利用度。利用RPR-Fa公平算法,网络带宽动态调整,无需静态配置节点间带宽,能实现带宽全局公平和局部最优利用。实现流量等级保证QOS,支持带宽预留的业务。继承传统Ethernet概念,支持所有Ethernet上层协议和业务。作到物理层无关,能支持Ethernet、DWDM和SONET/SDH。带宽很容易平滑扩展,155M-10G,甚至40G。支持环网级别的设备互通性。比如ATM、路由器、TDM设备用同一个RPR环网连接,共享环网物理链路和环网带宽。且具有完善的操作和维护平台,可运营可管理的能力。建成后的核心层主要负责核心业务处理、跨区域业务量疏通、及与其它网络互联互通。同时、作为P设备,配合汇聚层PE设备,完成MPLSVPN业务的部署。汇聚节点设计汇聚节点采用华为3Com公司QUIDWAYS8016/6506/5516路由交换机,与核心节点之间采用GETRUNK的方式相连,两条GE链路之间可以实现负载分担,极大的提高了整个网络的可靠性。QuidwayS8016是华为3Com公司线速交换网络产品的代表,属千兆交换路由产品,S8016最大可支持64个GE端口,提供全线速的2/3/4层交换及内容交换功能。S8016产品可以被设计作为网络的核心交换、业务控制和冗余控制平台,S8016提供电信级冗余可靠特性,所有关键单元均支持热备份或者多对一负载分担备份,可以构筑理想的核心交换平台。同时,S8000系列支持全光口模块,可以方便的实施远程千兆汇聚。QuidwayS6506以太网交换机是华为3Com公司自主开发的一款大容量、高密度、基于分布式处理采用模块化设计的二/三层线速以太网交换产品,QuidwayS6506三层以太网交换机是采用当今最先进的ASIC技术,产品集成度高,是一款全模块化,支持全线速转发(48Mpps)的2/3层以太网交换机,系统交换容量达64Gbit/s。QuidwayS5516可以提供16(4*4GE)个千兆接入,同时可捆绑千兆上行,属于三层交换机,可以实现2/3/4层线速转发,三层互通,同时支持线速的多层策略过滤,用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等应用。接入节点设计接入层可以选用华为3Com公司QUIDWAYS3000/2000系列全线速以太网交换机,为钢铁企业用户提供100M到桌面,1000M上行的解决方案。华为3Com公司的QuidwayS3000E系列以太网交换机支持FQ、CQ、WFQ策略和CAR等QOS功能,可以实现对用户的带宽和流量进行控制,从而保证数据传输的实时、准确,而且可以减轻上层节点的压力,与核心、汇聚节点一起提供端到端的QOS保障。3.网络安全设计3.1网络设备安全性考虑钢铁企业信息网络承担着全部数据的承载功能,所选用的设备必须具有极高的设备安全性,华为3Com公司系列网络设备对网络安全性的考虑主要体现在以下方面:l配置安全:对登录用户进行认证,不同级别用户有不同的配置权限;提供两种用户认证方式:本地验证、Radius验证。l协议报文认证:支持OSPF,RIPv2的报文明文认证和MD5密文认证。支持SNMPv3的加密和认证。l基于用户定义的流分类策略,支持流的统计、采样功能,用户可以定义采样的频率、采样长度、采样时间。l端口镜像功能:可以将一个端口的流量自动复制到另一端口,以供网络管理员在判断网络问题时对端口流量进行实时分析。主要用于流量观测、网络故障诊断、数据分析等方面。l配置信息传送安全:支持用户使用SSH(安全Shell)登录路由器交换机并进行配置,避免了使用Telnet情况下,远程配置报文明文被第三方监控的可能性。l核心路由器路由交换板对网络流量过载的抵抗能力,为避免网络流量过载,如网络风暴、PINGDDoS攻击、TCPDDoS攻击等对路由交换板造成影响导致业务控制发生停顿,NE80/40核心路由器实现了在线路板和路由交换板之间的流量控制功能:当路由交换板发现来自接口线路板的总流量超过某个特定阀值的时候,即启动接口线路板上的CAR队列,将送往路由交换板的流量进行限制,从而保护路由交换板在流量过载情况下正常工作。3.2网管系统安全措施网管系统的安全可以分为两个层面,一个是网管系统自身的安全,另一个是网管系统对网络造成的影响。首先谈谈网管系统自身的安全。在组网设计时,设备的业务网段与网管的管理网段进行隔离,同时做好整个系统的备份,提高系统的容错和自动恢复的机制。在备份方面,华为3Com公司QUIDVIEW网管系统考虑周全,提供从冷备份、温备份和热备份等各层次的备份手段,使得网管数据不丢失、业务不间断,在地域上可以进行本地备份和异地备份。下面描述一下网管系统对网络的安全:首先是网管系统必须提供用户权限控制能力,保证合适的人有合适的权力管理网络。网络管理中有不同的角色,有规划人员、配置人员、监控人员等,另外每个人应该只能管一定范围内的设备。华为3Com公司QUIDVIEW网管系统支持基于登录用户、授权设备或者单板以及终端访问IP地址的三维安全管理体系。在系统默认的情况下,预置了很多安全级别和操作角色,能够满足一般意义下的维护管理操作需要,当然用户也可以依据自己的需要定制安全级别和角色,具有非常良好的扩展性。华为3Com公司QUIDVIEW网管系统提供网管用户对可操作对象、可操作应用的细粒度控制。不同权限的用户只能控制相应范围内的操作对象,可操作对象的种类为子网、设备、单板、端口。操作应用支持粒度细化到所有应用和菜单。其次是登录安全以及监控登录后用户的破坏性操作。华为3Com公司QUIDVIEW网管系统在这方面考虑周全,除了一般的用户口令比较外,对登录的客户端IP地址可以进行限制,甚至可以做到限制某个用户只能在某个客户端登录。客户端和服务器之间的用户登录口令等敏感信息的加密传送。操作过程均有日志记录,系统管理员可以对登录人员的操作进行实时监控。最后一点也是非常重要的一点,就是网管管理设备的通道必须是安全的。众所周知,SNMPv1存在着安全隐患,现在华为3Com公司QUIDVIEW网管系统和设备之间已经采用SNMPv3进行通讯,提高了IP网管的安全性。由于SNMPv3兼容SNMPv1和SNMPv2,所以华为3Com公司QUIDVIEW网管系统有很好的兼容管理能力。3.3网络安全措施在核心节点之间采用RPR环组网,极大的提高了网络的安全性;汇聚节点和核心节点之间采用GETRUNK方式相连,可以实现负载分担,提高了网络的可靠性。设备可设置三级时钟,并提供时钟优先级,当最高优先级时钟失效时,可以立即切换到低优先级时钟,当最高优先级时钟恢复后,又可以立即切换回去,通过这种自动保护既可以保障网络的安全运行,又可以简化用户的管理。本期网络设计充分考虑了网络的长期、安全、可靠的运行。方案中建议采用比较可靠的RPR环组网技术,同时关键的网络设备、链路和网管通道都考虑了备份措施,提高了整个网络的安全性。4.网络管理解决方案随着用户网络规模的不断扩大,网络设备数量的不断增加,种类的不断增加,必然增加网络管理人员的维护和管理网络的负担,同时也增加了运维的成本和开销,因此网络管理是保持钢铁企业网络高效运行的一个关键,通过华为3ComHGMP协议和QUIDVIEW网管软件,可以实现对全网设备进行统一的维护管理,大大减轻了维护人员的工作量,也大大减少了运维的成本和开销。4.1集中网管利用华为3Com公司HGMP协议的集中管理特性,可以在最上层的三层交换机上设置一个管理IP地址就可以将所有的下层交换机进行集中统一的配置和管理,把需要分布安装的二层交换机以及对各设备的配置、管理、维护、升级等全面管理起来。以软件的代价替代物力资源和人力资源的投入,降低网络的综合运行维护成本,提高网络的综合管理能力;三层交换机作为二层交换机的代理,只在三层交换机上配置一个网管IP地址即可,省去了用户侧以太网交换机的网管IP地址,这样就极大的节省了IP地址。4.2华为3ComQuidview网管软件简介Quidview(以下简称Quidview)是华为3Com公司自行设计开发的网管软件,是华为3Com公司提供的针对路由器、以太网交换机全系列产品、视频产品进行统一管理和维护的网管产品。产品特点:低成本、跨平台:Quidview对运行平台的硬件环境要求不高,不论是在工作站上还是在PC机上都能正常地安装运行,最大限度地节省、保护了用户的投资;支持windows9x/NT/2000、SUNSolaris、HPUNIX、IBMAIX等多种操作系统平台