|
五星级酒店弱电智能化设计方案-计算机网络时间:2021-01-26
1.1.前言根据XXX酒店的网络的需求,本着“可靠性、实用性、安全性、先进性、开放性”的设计原则,以系统生命周期长、管理维护方便和保护投资为主要技术特色,以适应XXX酒店当前应用和后续发展的需要目的。 1.2.需求分析1.2.1.概述需求分析是所有工程生命周期的第一个阶段并贯穿于工程的整个生命周期。任何一个工程,实际都要经历需求分析、系统设计、建造实施、质量完善四个阶段。需求分析的目的是确定工程系统的目标。促使目标系统最大地满足用户需求。完整、准确、有效的需求分析结果是工程设计成功的基本依据之一。正确、有效 XXX酒店项目中 基础建筑状况如下 主楼层:8层;附楼地下一层,地上二层,主机房设在附楼二层网络机房,总建筑面积约为66平方米。 综合布线系统采用星型拓扑结构为主,水平布线采用超6类电缆,网络分层采用二层结构,接入交换机必须提供可支持上联的千兆端口,以提供可扩展性,并保证100M到用户桌面,经汇聚后以千兆带宽通过多模光纤上联大楼主干网络。本布线系统约需数据信息点430个,语音信息点508。信息点的分布及接入层交换机情况如下表所示:
1.2.2.应用需求XXX酒店网络中,绝大多数为客户终端机,同时有少量主要针对楼内的网络资源服务,例如FTP、BBS、视频广播等。网络应用的主要类型有:WWW浏览、FTP文件传输、收发电子邮件、在线视频转播和收看、多媒体课件、电子商务客户端、文件共享等。 1.2.3.带宽需求下面为当前一些应用对带宽的需求:
XXX酒店网络的用户,可以根据用户类型分为普通终端用户和服务用户两类。普通终端用户的网络应用又分为实时和非实时两种。实时网络应用中对传输带宽需求最大的是实时视频传输。目前高质量视频流传输的带宽需求为4 Mb/s。而对于低质量的实时视频传输,325Kb/s的就可以达到实用的要求。对于非实时网络应用,尤其是文件传输类的应用,带宽越大越好。而在1 Mb/s带宽下所有非实时网络应用均可顺利进行。然而在网络的实际应用中,用户实际使用的带宽取决于起点对终点传输路径中所有连路的最小带宽处所能分得的带宽和服务器的吞吐量,绝大多数在100~500Kb/s之间。所以,普通终端用户的基本流量为每人1~2 Mb/s。 对于服务用户其所需带宽越大越好,但此时的瓶颈往往是服务器的其它硬件处理能力,如CPU、内存、硬盘、数据库访问速度等,根据统计,通常为每台采用千兆网卡的服务器平均网络流量为200-300Mb/s左右。 通过采用组播技术,也可以大幅度减少多媒体应用对网络带宽的占用。 1.2.4.管理需求分析
一个好的网络管理体统可以让网络人员更加经济高效地管理网络,优化网络资源,降低网络运行维护成本。所以网络管理系统必须具有如下的功能: 拓扑管理
配置管理
轮询方式:周期、超时、重试 故障定义:设备故障、应用故障、服务故障、自定义故障 干预报警 干预报警是指系统显示管理人员正在处理设备故障设备上会显示黄灯以便告诉其它管理人员,故障正在处理中
显示指定网络设备发生故障的情况,包括该设备的名称、地址、故障信息以及发生故障的时间
对收到的各种报警信息入库处理,通过对数据库的统计报表查询可以分析网络的故障原因以及统计网络设备出现故障的频度
管理员可以根据设备的重要程度将被管设备分为不同的组,每个管理员只需看见他所关心的设备,其它拓扑图上的设备对他就不太重要。每当设备出现故障,就能清楚的发现是哪台设备发生的,并能查看详细故障信息。
性能管理 能够通过设备运行情况收集和实时监测网络设备的性能指标实现网络性能管理,包括网络流量、设备吞吐情况,设备IP包差错情况,子网或网段丢包情况等,可以实时报警,并以数据表和实时图形曲线方式显示出来,并且可以拓展性能管理的种类
安全管理 网络管理系统能够提供严格的等级和权限管理,每个管理员只能在其等级和权限范围内操作可分为:用户等级、功能权限、管理权限。
统计报表 历史数据的统计分析对于分析网络性能,寻找网络隐患有十分重要的作用。网管系统产生的大量信息,由于可以存储在关系型数据库中,所以查询、制作报表十分简单,更提供专业的Report工具,该工具与网管系统紧密集成,可以将存储的历史数据以多种图形或数字的形式展现出来,或以ASCII的格式输出。
精确性:什么时间什么地点什么人在访问什么资源。 统一性:在有线和无线接入上,接入层有统一的数据库,方便全网漫游。 当然,认证是精确统一的用户管理的前提和基础。 为了对接入网络用户的有效管理和监控,必须在用户接入网络是使用身份认证技术。目前,业界存在的身份认证技术比较多,例如:基于PPPOE的RADIUS认证、基于LDAP认证技术、基于DHCP认证技术、基于WEB认证技术、IEEE802.1x认证协议等等。 下面着重介绍IEEE802.1x认证协议 802.1x的核心是可扩展认证协议 (Extensible Authorization Protocol,EAP),是思科、微软和其它组织一起向IEEE 802.1x委员会提交的一种IEEE标准,使得无线网卡制造商和RADIUS服务器厂商可以独立地开发出可互操作的客户端和服务器端软件。 在802.1x出现之前,企业网上有线LAN应用都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 802.1x并不只是为了无线LAN,而是计划成为LAN端口的一个普遍的接入控制机制。它的验证机制是基于RADIUS中扩展的验证协议(Extensible Authentication Protocol,EAP)。RADIUS是一个提供验证服务的IETF标准的方法。EAP是使客户机与验证服务器协商验证的协议。例如,客户机可以检查服务器是否能够使用某种类型的智能卡,以及不能使用时,是否同意使用竞争握手确认协议(Challenge Handshake Authentication Protocol,CHAP)等。 802.1X标准充分利用了现有的验证协议,即可扩展验证协议(EAP[RFC 2284])。802.1X标准可以利用为PPP编写的可扩展验证协议,并将其与物理介质联系起来,如以太网、令牌网或无线局域网。可扩展验证协议信息被包含在802.1X信息中,并被称为EAPOL,即EAP over LAN。 802.1X无线局域网验证技术拥有三个主要的组件:包括三部分:Supplicant System,客户端(PC/网络设备);Authenticator System,认证系统;Authentication Sever System,认证服务器。(通常是一个远程验证拨号接入用户服务器,不过802.1X并未对此做出具体要求)。 目前802.1X认证技术已经发展到可以基于逻辑端口的身份认证,即基于主机MAC地址的认证。 为了做到对接入用户的精确管理,可以在上述身份认证技术所需的客户端软件上实现多重绑定功能,即可以把IP地址、MAC地址、交换机端口号、VLAN ID等等元素根据需要灵活捆绑在一起,这样,实现对用户的精确定位就非常方便了。 下表是几种常用认证方式的比较:
基于上述比较,可以得出结论:在对用户进行身份认证时推荐采用IEEE802.1X认证协议。
通常,计费系统包括计费字系统和帐务处理子系统。 计费子系统 计费子系统读取Radius服务器生成的用户访问记录,对其进行处理,产生原始的用户计费信息,提供给帐务系统做帐务处理和用户查询使用。此信息是反映用户使用网络情况的最基本的资料,通过进一步的分析统计可以全面了解整个拨号网络的使用情况,为管理和决策提供帮助。 帐务处理子系统 帐务处理子系统根据预先设定进行帐务计算。根据每个用户选择的资费计算方式和网络的使用情况计算出相应的网络访问费用。并且提供出帐、核帐、销帐的功能。系统通常都有专门的资费管理功能,支持多种资费计算方式,包括按实际使用时间(以分钟为单位)固定费率的计费方式,和定额限时的包月制方式,即使用时间在限定时间以内的,只收取固定的费用,若超过了限定的时间,则要按较高的费率收取费用。对于包月制可以设定几个档次供用户选择,如10,20,50,100小时等。 另外系统有些计费系统还支持时段优惠的的计费方式,优惠时段和折扣率时可调的。
自指定付费方式 计费方式有很多种:包月制、按时长计费、按流量计费等等。酒店可以根据实际情况选择不同的计费方式。 优惠计费策略 为了实现优惠计费策略,可以在计费后台数据库平台实行相应的设置来达到目的。 自服务系统的灵活性 自服务系统的个性化应用可以实现:用户自充值,用户费用查询,在线修改密码。 1.2.5.安全需求分析安全问题从来就不是单一的问题,它涉及到许多方方面面。首先,在绝大多数信息系统环境中,风险点或威胁点不是单一的。这些风险点包括物理安全、逻辑安全和安全管理三个层面。物理安全涉及到关键设施设备的安全和资产存放地点的安全等内容。逻辑安全涉及到访问控制和数据完整性等方面。安全管理包括人员安全管理政策、组织安全管理政策等方面。上述任何一个方面出问题,都可能引起安全事故。其次,安全问题是动态的。由于信息技术在不断地变化,信息技术安全问题具有动态性。今天的安全问题到明天也许不再成为安全问题,而今天无关紧要的问题,明天可能成为严重的安全威胁。这种动态性导致不可能存在一劳永逸的解决方案。第三点,安全不是仅仅由安全产品来解决的问题。安全的多面性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外。如果使用一个未经认证的调制解调器把内部网连接到外部网,就可以绕开防火墙对系统安全构成威胁。因此在实际的安全策略中,更有效的方法是制定并严格实施酒店内的安全政策,采用安全产品只不过是安全政策的一个方面。最后要说明的一点就是“没有100%的安全性”。由于安全的多面性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖。其次即使找到这样的方法,一般从资源和成本考虑也不易接受。业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标加以实现。 综上所述,系统安全问题不是仅仅涉及安全技术、产品等方面的片面问题,而是涵盖了技术、人员、管理等多方面的系统问题,必须采取系统化的方法加以解决。 在这里,我们从三个大的方向加以考虑:事前加强网络基础架构、事中快速反应机制、事后安全审计。
“防范于未然”,在安全事故发生以前就做到事先加强安全措施是非常有效的。对一个网络的整体而言,我们可以采取的安全保护措施有很多。 在网络出口处或者在网络的每个安全域的边界我们都可以部署防火墙。防火墙设备在网落中起着非常重要的作用,具有安全防范、访问控制和日志审计等功能,是整个网络的主要安全屏障。 除了防火墙外,入侵检测IDS的部署也是必不可少的。入侵检测系统是防火墙的合理补充,它可扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,帮助管理员洞察网络攻击行为。在网络中合理地部署入侵检测系统,就相当于在各个交通十字路口安装电子监视眼和摄像头一样,可以捕获系统中各种违反正常安全策略的异常行为。针对每个受保护的网络的骨干子网,都应部署入侵检测系统和配置相应的入侵检测规则。在网络中心设置入侵检测系统的管理中心,统一管理部署在各个骨干子网中的入侵检测系统代理,实现入侵检测系统的集中管理、分布放置。 对于网络基础架构的网络设备路由器和交换机,在网络中存在大量扫描流量以及大量诸如DDOS攻击、冲击波攻击等不安全因素下,如何来保证网络设备本身的安全即正常运行?高效的ACL控制功能是设备本身应该具备的。访问控制表(ACL)策略是一种由 Policy Director 使用的方法,它向安全域中的资源提供了细粒度保护, 是一组规则或许可权,指定对受保护对象执行操作所需的条件。线速ACL特性涵盖MAC层,IP层,应用层,可以从多个层次根据用户需求进行数据控制。用户可以按照源MAC地址和目标MAC地址、IP地址或TCP/UDP端口拒绝包,因而根据需要控制网络的敏感部分。如果所有ACL查询都在硬件上执行,那么,在网络中实施基于ACP的安全性时,就不会降低传送性能。 所以线速ACL技术,具备以下关键特性: 线速扩展访问控制列表(ACL)—提供线速交换和路由功能的同时,线速控制数据转发和限制对系统管理界面的访问 功能丰富的ACL实现方案—基于源或目的MAC地址、以太网帧结构、IP地址、IP协议类型、TCP或UDP端口、IP优先级或ToS值对流量进行识别。 选择性ACL日志记录—收集匹配拒绝或许可条件的数据包的统计数据。 安装能够预先发现网络安全隐患的评估系统也是非常重要的。安全评估系统主要针对用户系统内部的各种安全漏洞实施漏洞扫描,借以检查出系统中主机的安全隐患,例如,各种常见服务端口的情况,各种常见服务的情况,和弱密码的探测等,并提供相应的扫描结果报告,用户可打印和统计有漏洞主机的扫描信息,并查询漏洞的详细信息,使用户全面了解系统的安全状况,提早做好防范措施 为了更好地管理用户,合理利用和优化网络资源,很有必要对有网络需求的用户进行身份认证,包括有线接入用户和无线移动接入用户。 同时,为了实时、准确、快速的定位用户位置,可以考虑采用多属性绑定功能加强对用户的管理。 网络安全体系牵涉网点众多,网络连接比较复杂。要保护这样一个繁杂的网络系统的网络安全,必须有完善的管理保证。安全系统要能够提供统一的集中的灵活的管理机制,一方面要能让网控中心的网管人员监控整体网络安全状况,另外一方面,要能让网管人员灵活处理具体事务
在新的安全形势下的网络建设,我们应该考虑全防卫的网络安全是从网络的各个层面、各个产品类型的角度考虑,是一个全面的安全体系架构。同时,安全网络中的各个设备组成之间不是相互独立的,而是互动式的,通过全新的联动体系,将网络的各个组成部分安全、可靠的互动起来,包括在事先部署的主动防御体系如防火墙、入侵检测IDS、安全评估系统、病毒防护系统、邮件安全系统等,从而为用户提供一个完整的、互动式的安全网络架构。 网络入侵检测系统一旦发现外部黑客对内部网络进行网络入侵、非法访问和越权资源使用等事件,可立即通过协议联动到出口位置的防火墙系统或路由器系统,自动添加相应策略,将入侵者IP地址进行封禁指定时间,使外部入侵者无法通过防火墙或路由器系统。 隐患扫描系统通过安全评估内部网络,一旦发现内部有机器存在较严重的安全隐患和漏洞;可立即通过P协议联动到出口位置的防火墙系统或路由器系统;防火墙系统或路由器系统根据联动信息自动添加策略,禁止外部访问存在安全漏洞的内部机器,从而有效的保护内部网络。 访客通过访问控制网关使用内部网络后(有线或无线连接),访客可能对内部网络进行非法访问和网络入侵;此时网络入侵检测系统可检测到本事件;入侵检测系统通过协议联动相应的访问控制网关;访问控制网关通过ACL禁止正在进行入侵的访客使用内部网络。 通过邮件安全系统可以为用户解决邮件病毒和垃圾邮件的困扰,同时也可以通过安全互动体系更全面的防范邮件病毒和垃圾邮件。邮件安全系统一旦发现内部有用户通过邮件方式传播病毒或发送垃圾邮件(也可能是本机器已经感染过病毒,病毒本身通过邮件进行自动传播);可立即通过互动协议联动到内部相应的交换机或访问控制网关;交换机或访问控制网关根据联动信息通过ACL禁止本用户的邮件发送,从而有效的防范邮件病毒和垃圾邮件传播。 如今的病毒大部分是通过网络进行自动传播,比如Nimda和Red Code病毒等,一旦内部有机器感染上病毒,本机器会大量通过网络服务进行病毒传播,最终使内部网络瘫痪,并导致内部其他机器也感染上本病毒。 网络防病毒系统可以解决病毒的传播,同时也可以通过互动体系更全面防范病毒传播。 防病毒系统一旦发现内部有机器传播病毒;可通过互动体系联动给交换机、防火墙、路由器和访问控制网关;交换机、防火墙、路由器和访问控制网关通过ACL将正在传播病毒的机器进行有效隔离,使之不能访问内部网络,从而更加有效的避免了病毒的传播。
安全审计系统必须实时监测网络上和用户系统中发生的各类与安全有关的事件,如网络入侵、垃圾邮件、内部资料窃取、泄密行为、破坏行为、违规使用等,将这些情况真实记录,并能对于严重的违规行为进行阻断。安全审计系统所做的记录如同飞机上的黑匣子,在发生网络犯罪案件时能够提供宝贵的侦破和取证辅助数据,并具有防销毁和篡改的特性。 安全审计跟踪机制的内容是在安全审计跟踪中记录有关安全的信息,而安全审计管理的内容是分析和报告从安全审计跟踪中得来的信息。安全审计跟踪将考虑要选择记录什么信息以及在什么条件下记录信息。 收集审计跟踪的信息,通过列举被记录的安全事件的类别(例如对安全要求的明显违反或成功操作的完成),能适应各种不同的需要。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威摄作用。所以在网络设计之初,选择网络设备时就必须考虑这些设备是否具备安全日志分析、流量报表分析等功能。 1.2.6.兼容性需求对于新建设的XXX酒店新网络,所采用的各种设备之间必须具有良好的相容性和互操作性。 1.3.网络设计方案1.3.1.网络结构设计原则层次化设计原则:将网络系统划分层次,分清各层主要功能,建立合理的网络结构,是网络系统设计成功的关键。合理清晰的层次划分和设计,可以保证网络系统的骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。 酒店内部局域网外网INTERNET之间使用一台防火墙隔离,主要是核心节点通过防火墙与INTERNET互联。
网络的结构和性能优化:网络结构的IP优化。网络体系结构以IP为设计基础,体现在网络层的层次化体系结构。 -IP路由协议的优化; -IP包转发的优化。提供高速路由查找和包转发机制; -带宽优化。在合理的QoS控制下,最大限度的利用光纤的带宽; 选择一个开放性、标准化的网络体系结构,以支持各种异构计算机网之间的互连。 网络体系结构要求采用TCP/IP体系结构。 考虑到技术发展的成熟度,以及网络建设要有适度的超前性,因此网络体系需要支持IPv6,建设一个支持IPv4/IPv6的双协议栈网络 IP地址 根据酒店网的发展规模、网络层次结构、路由策略,申请适合的IP地址。可以尽可能申请到IPv6地址。 管理 在CNSec密钥和证书管理系统中,根据安全级别及职责将管理员划分为三类:
负责系统核心密钥与证书管理中心的建立、管理。系统用户在系统安装时产生,通过系统用户控制界面直接与密钥与证书管理中心连接,进行操作,对整个系统负责,但他没有其他类型管理员的一般操作权限。他的职责包括: 系统安装及初始化 系统服务的启动和停止 系统数据库备份 验证数据库有效性和完整性。 系统数据库恢复 恢复超级管理员 更改算法 把密钥移植到硬件 系统配置管理(是否自动启动服务、是否自动备份数据库等) 等等 1.3.2.XXX酒店网络总体设计我公司设计XXX酒店网络系统,采取二层拓扑结构设计。网络层次结构图如下:
根据各楼层信息点的分布情况,设计采用比威网络推出的基于业界成熟的高性能ASIC交换技术的基础上开发出来的新一代,高密度,高性能,全千兆无阻塞智能多层交换机BitStream7505 1台,采用15台具有先进深度感知技术(SFLOW技术),支持IPv6,自带堆叠模块,拥有4个千兆口的24/48口接入交换机BitStream3228TGS/BitStream3252TGS。 由于每台接入交换机BitStream3228TGS和BitStream3252TGS均自带二个高速堆叠模块,均有二个SFP口和二个千兆电口,因此在组网上完全可以实现灵活搭配,混和堆叠。 以上设计采取冗余设计,根据用户需求和综合布线实际情况,可采用优化设计方案进行调整,即根据楼层综合布线的分配线间,将交换机采取混和堆叠的方式,既节约布线的材料,便于布线管理,也便于交换机管理维护,也节约成本。 1.1.1.网络核心层设计
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的网络设备的性能对于整个网络系统来说是至关重要的。
高带宽 核心支持万兆,以满足大型网络以及新应用对带宽的需求 高可靠性和冗余性: 1) 核心设备具有高的可靠性和冗余性 2) 核心层通过冗余协议提供链路冗余 密集用户接入 接入交换机具有堆叠功能,可以满足密集用户的接入,并且提供高的性能:ACL(L2-L4)、堆叠、集群、Private Vlan、802.1x、Sflow、组播、丰富的Qos控制功能、带宽限制、广播风暴抑制等等。
比威网络BitStream7505比威网络推出的基于业界成熟的高性能ASIC交换技术的基础上开发出来的新一代,高密度,高性能,全千兆无阻塞智能多层交换机,作为千兆核心多层交换机,提供了多层交换能力和线速的路由转发能力。它除具有多层路由交换机的容量大、高速转发性能优点外,还进一步将IP网络安全机制等策略融合到整个交换机系统中,设备具有了更多的智能安全特性,充分满足构建电信级宽带IP网络的需求。 1.1.2.接入层设计
网络接入层的拓扑结构主要有星型和堆叠型。如下图:
星型: 要求连接数多,对L2交换机要求低(成本低),不易产生带宽瓶颈; 堆叠型:节省连接数,L2交换机成本高,上联链路处易成为瓶颈。 根据区域分布以及信息点的情况,建议XXX酒店网络接入层结构采用星型,辅以堆叠型。
接入层作为酒店网管理的边界,要求能够很好地支持对用户的接入管理和控制。接入层设备即是提供接入服务,它将最终用户连接到网络上。接入层设备普遍部署在楼宇设备间。由于接入层设备数量多,利用率高,因此要求接入设备具有很高的稳定性和可靠性。
大楼内信息点数较多,考虑采用24/48口可堆叠高性能二层交换机。优先考虑采用48口高性能二层交换机,如有不足24的尾数,采用24口高性能二层交换机。
用户接入 24/48口可堆叠高性能二层交换机可以通过大楼布设的超5类双绞线10/100Mbps自适应端口下联到用户的桌面。可以通过端口或者ACL来控制用户的流量。 接入交换机选择 接入交换机建议选择比威新一代安全智能可堆叠支持千兆上联的二层交换机BitStream3228/3252TGS。在二层交换机上,提供丰富的安全和控制特性,确保系统的可靠性。 1.1.3.网络功能设计
VLAN 技术可以方便地根据业务需要在同一台交换机上划分出多个逻辑的网络,有效地减少了广播;同时可以实现在不同的物理位置设置为同一个VLAN广播域。由于不同VLAN之间不能直接互访,必须通过路由设置进行,所以又增加了安全性。同时VLAN可以跨过不同的交换机设备,能够在一点进行集中的管理。由于以上优点,VLAN技术被广泛地应用在Intranet的建设中。 VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点,它由软件进行管理,所以允许用户利用软件功能灵活地配置资源,管理网络。利用交换设备中的VLAN功能,不必改变网络的物理基础,即可重新配置网络。采用VLAN功能,网络性能可以获得较大的改善: 1) VLAN技术能对工作组业务进行过滤,有效地分割通信量,因而能更好地利用带宽,提高网络总的吞吐量。 2) 采用VLAN技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线,因为VLAN技术是从逻辑角度而非物理角度来划分子网的,所以采用VLAN技术能减轻系统的扩容压力,将迁移费用降至最小。 3) 采用VLAN技术能有效隔离网络设备,增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为IEEE802.10,此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 4) VLAN技术能对属于同一工作组的用户提供广播服务,但与传统的局域网协议所不同的是,虚拟局域网能限制广播的区域,从而节省网络带宽。 5) VLAN可以建立在不同的物理网络上,用封装的办法支法支持不同的网络协议络协议,如SNMP、NMP、IPX、TCP/IP等,兼容性非常好。 6) VLAN中的主要应用技术为“虚网中继”,VLAN Trunking特有技术的采用也成成为了必然。简而言之,VLAN Trunking主要是通过一条高速全双工通道(200/2000Mbps)来实现将一个LAN Switch端口所划分的不同VLAN与其它LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用,既节省了信道数据量,又提高了可靠性,并便于管理及方便连接,提高了整个网络吞吐量和性能指标。
如果采用VLAN trunking 的技术,则V1、V2、V3均可通过一条全双工的100/1000Mbps,即200/2000Mbps的速率与上级LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接,提高了通道的使用效率,如在V2,V3无数据量的情况下,V1可以独占此100/1000M带宽;并且可以使得线路的连接变得简单,从而大大提高可靠性和网络易维护性。 把不同的部门网络划分到不同的VLAN中,有效的隔离了子网网络间的广播,并且保证了网络间的安全性。由于部门的地理位置可能跨越多个交换机,所以分布在配线间的交换机与核心交换机之间通过VLAN trunking技术互连,既保证了高速的带宽又保证了VLAN之间的快速路由。 VLAN间的访问必须通过路由器或具有路由功能的设备,由于以前的交换设备一般不提供路由功能( 第三层功能) ,故必须有一台路由设备与交换机相连, 来提供VLAN 间的路由。其缺点是外接路由设备增加了投资和故障点,并且传统的路由设备采用软件查询路由表,其性能不如交换设备的第二层的帧转发性能,故限制了系统的整体性能。第三层交换技术正是在这样的背景下出现的。概括来说,第三层交换技术应具有传统路由器的全部或部分功能,如支持IP/IPX路由,支持RIP, OSPF, BGP等路由协议;同时采用新的路由、包转发的算法和专用芯片提高速度,使其达到交换机的性能。一般对IP包的转发速度应在每秒一百万包以上。有了第三层交换技术,在网络中,可以将二、三层网络灵活地、统一地整合在一起,满足业务的不同要求。
QoS(Quality of Service,服务质量)指的是报文传送的吞吐量、时延、时延抖动、丢失率等性能。从IP网诞生开始,QoS和安全性问题就一直是IP网的软肋。 为了较好地解决IP网络的QoS问题,Internet工程任务组(IETF)专门成立了综合业务(Integrated Services)工作组和差分业务(Differentiated Services)工作组进行研究。这两个工作组分别提出了各自基于IP网络的QoS服务协议模型:综合业务模型和差分业务模型。 综合业务模型由于需要占用较多的网络资源,在现实的网络中几乎不可能实现。而差分业务模型是IETF差分业务工作组提出的一种更具扩展性的实现IP QoS的方法。该模型将重点放在集合的数据流以及适用于全网业务等级的一套“单跳行为(PHB)”上。业务在进入网络时进行分类和调整,并被分配给不同的行为集合,该行为集合由DS编码来标识。在网络核心,报文是根据DS编码所标识的PHB(per-hop behavior)属性来转发的。目前,在现实网络中,主要采用差分业务模型。
比威交换机均提供了完善的QoS机制: 核心交换机支持的QoS特征:
二层接入交换机支持的QoS特征:
基于视频的应用,包括酒店视频点播系统、酒店会议直播系统、酒店课件、远程教学等视频应用的保证 基于语音的应用,包括校长广播系统、IP电话、数字公告系统等。
流量模型是网络性能分析和通信网络规划设计的基础,精确的流量模型对设计高性能网络协议、高效网络拓扑结构、业务量预测与网络规划、高性能价格比的网络设备与服务器、精确的网络性能分析与预测、拥塞管理与流量均衡、出口管理都有重要意义。 目前多数酒店网络使用双出口,流量指标影响着双出口带宽的选择。对流量进行分析有利于网络管理者按需建设带宽,节约投资。流量情况也是网络性能的重要指标,通过对流量的监控和分析,有利于酒店对网络设备进行分析比较,为未来的网络建设提供基础分析数据。流量情况还是网络健康状况的晴雨表,分析流量状况可以对网络攻击行为、病毒等网络安全事件进行预防和处理,甚至可以防患于未然。
比威BAMS系统支持即时流量统计和分析,可以为酒店运营提供科学的分析,为网络的扩容提供历史统计数据。
比威BAMS系统与接入层交换机结合,支持基于IP地址、端口、用户的带宽管理,可以根据用户的实际使用情况分配带宽,如基于视频的用户可以分配多点带宽用于保证用户的正常使用,对于仅仅使用数据传输的用户分配较少带宽,以及对于关键应用的使用用户,能够在网络阻塞的情况下进一步保证其带宽的使用。 并且在限制用户的带宽对用户带宽进行管理的情况下,还能够隔离用户由于病毒造成的网络阻塞,尽量的保证网络的正常使用,降低网络阻塞的几率。
系统故障将会导致酒店网运行的中断,妨碍酒店正常教学等活动的进行。这就要求系统具有高度的可靠性。提高系统可靠性的方法很多,主要有如下三个方面:
关于链路可靠性我们做了如下设计 汇聚-核心交换机之间的多条链路 汇聚的L3交换机分别有2条GE链路上联到核心交换机,当一条链路发生故障时,不会导致连接中断。 接入交换机-汇聚交换机之间的连接 接入交换机具有多个千兆端口,根据需要,接入交换机和汇聚交换机之间可以采用千兆端口聚合技术,通过将两条物理链路整合成一条逻辑链路,实现增大带宽和链路冗余的功能。
酒店网络的路由可靠性我们通过路由层的优化和安全保护来实现。当路由层的网络故障发生时,保证酒店网络运作不停顿。其主要组成技术为ECMP和VRRP。 ECMP(Equal Multi-path Routing)是一种三层协议,可用于不同的网络接口组合,包括:FE、GE、10GE和SONET/SDH等。最多有16条路由表中的等值路径实现网络通讯的负载均衡和冗余。当其中一条路径出现中断时,系统自动分布负载到其他等值路径,不会影响用户的网络通讯。 在链路层进行冗余配置之后,利用动态路由协议OSPF,充分利用多链路的条件,根据情况实行负载均衡或备份。OSPF协议能够在链路发生故障后,及时检测到并进行路由收敛,发现新的路径,及时更新域间的路由表项,从而确保全网互连的可靠性。 虚拟路由器冗余协议(VRRP)提供一种解决方案,能够保证终端用户与网络的联系可靠、稳定、不中断。VRRP是一种容错协议,它保证当主机的下一跳路由器坏掉时,可以及时的由另一台路由器来代替,从而保持通讯的连续性和可靠性。为了使VRRP工作,要在路由器上配置虚拟路由器号和虚拟IP地址,同时产生一个虚拟MAC地址,这样在这个网络中就加入了一个虚拟路由器。而网络上的主机与虚拟路由器通信,无需了解这个网络上物理路由器的任何信息。一个虚拟路由器由一个主路由器和若干个备份路由器组成,主路由器实现真正的转发功能。当主路由器出现故障时,一个备份路由器将成为新的主路由器,接替它的工作。
核心交换机安全考虑:
核心交换机具有关键硬件冗余,同时具有丰富的安全特征和抗拒绝服务的强大功能。 接入交换机安全考虑:
根据需要打开从内部到外部的常用的许可服务,对于从外网到内网的访问,只开放许可的服务,其他服务都禁止应用。 充分应用防火墙及核心交换机网络入口过滤 、单播反向路径转发 、线速ACL 、ACL限速 、IP广播控制 、ICMP控制、SYN攻击保护和会话控制的安全控制策略,进行安全配置,保护内部网,特别是关键服务的安全性。
比威 BitStream3252/28TGS最新型先进交换机可以支持粒度为1K的带宽控制(按照出、入方向分开控制),我们完全可以在学楼内部,对BT下载不作限制,但是由于BT大量做种子,影响了网络带宽,我们完全有理由限制BT种子,做种上传不行,可以设置上行贷款比如100K,手法正常邮件即可
比威 BitStream3252/28TGS最新型先进交换机支持基于用户的接入控制协议802.1x,提供比传统接入控制方式更为有效的用户端口控制能力,端口MAC地址限定功能可以对端口接入的主机数目进行控制。 配合比威网络的客户端软件能够对用户的MAC、IP、帐号等信息进行绑定,精确的对用户进行定位。 SNMP v3、SSH等特性为用户鉴权和数据加密提供了更高的安全性,实现了安全的管理配置。 sFlow功能的支持,可以按比例抽样指定端口的报文形成标准的sFlow格式发送到流量分析服务器或策略管理中心,使用户可以更精确监控网络、分析网络情况。 1.1.4.网络设备选型
比威网络BitStream7505机箱式硬件三层交换机是针对大型网络汇聚、中小型网络核心等情况推出的高性能的机箱式L2/L3/L4交换机。BitStream7505采用全模块化,具有高密度端口,可提供240G的交换容量,5个扩展插槽,可根据用户的需求灵活配置,灵活构建弹性可扩展的网络。BitStream7505交换机产品提供强大的交换和路由功能,可与比威网络各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干交换机的理想选择。
中小型网络的核心 大型网络汇聚 高性能网络交换环境 主要特点
BitStream7505系列交换机提供高密度端口的接入能力,整机最多支持120个SFP千兆端口、8个万兆端。
BitStream7505具有480G的背板带宽,支持240G 的交换容量,为所有的端口提供非阻塞线速转发性能。强大的处理能力是构建可靠、稳定、高速的IP网络平台的重要保障。 BitStream7505交换机硬件支持多层线速交换,能够识别、处理四层以上的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制。 BitStream7505硬件芯片支持IPv6协议,有利于将来进行平滑的网络升级。
l BitStream7505提供了完整的ACL支持,除通常的标准ACL以及扩展ALC,BitStream7505还提供基于时间的ACL,使得控制策略非常丰富和灵活。
BitStream7505系列交换机支持冗余备份,支持STP/RSTP/MSTP、VRRP等二、三层冗余协议,系统采用冗余电源模块,从而保证核心设备的高可靠性;主控板和业务接口板等主要模块全部支持热插拔,保证主机更换板卡时业务不会中断。
在接入层交换机选型上,本方案推荐使用网络端口密集的比较高的可堆叠BitStream3228/3252TGS交换机。
BitStream3228TGS: 24个百兆电口、2个千兆10/100/1000Base-TX 端口、2 个千兆COMBO口(2 个1000MTX & 2个SFP) BitStream3252TGS: 48个百兆电口、2个千兆10/100/1000Base-TX 端口、2 个千兆COMBO口(2 个1000MTX & 2个SFP)
比威网络推出的BitStream3228/52TGS是一款可堆叠的高性能工作组或者边缘交换机。本交换机能够提供24/48个固定的10/100Base-TX接口,提供2个千兆10/100/1000Base-T 端口,以及2个Combo端口(2个10/100/1000Base-T和2个SFP插槽),可选用单、多模千兆SFP模块。BitStream3228/52TGS固定端口可以自动识别正反线,可堆叠、可网管,并且拥有完整的功能特性,以及增强的认证功能。与比威网络公司其他产品组合,可以为用户提供完整的网络解决方案。
卓越的性能
先进的堆叠方式,良好的扩展性
完整的QoS策略
强大的安全接入特性
IPv6支持
绿色亮:端口与所连接的设备建立了稳定的连接之后并工作在100M状态 橙色亮:端口与所连接的设备建立了稳定的连接之后并工作在10M状态 闪烁: 该端口正在进行数据发送 暗: 没有连线或该端口连接不正常
power 灯:绿色 亮 :此指示灯应该长亮 暗 :没有加电或电源系统工作不正常
Diag灯: 绿色 闪烁 :系统正常 长暗/长亮 :系统异常
1.1.1.BAMS认证计费
近几年以宽带网为主的应用业务也越来越多,如视频点播、远程教育、远程办公,宽带网业务正日益进入我们的生活。 为了有效地为用户提供各种应用服务,实现可管理网络是非常必要的,对于可管理的网络,如何实现对人的有效管理是重中之重,这包括精确、统一的用户管理,在实现用户管理的基础上,可以通过相应的计费策略实现灵活的计费管理,针对这种需求,比威网络通过BAMS(比威接入管理系统),配合交换机以及客户端软件为客户提供认证、计费解决方案,满足客户对网络安全、用户管理以及计费的需求。
网络面临一个最大的问题就是管理问题,除了对设备的有效管理之外,酒店网络的使用者成为酒店网络问题的多发地,因为,学生群体具有思维活跃的特点,愿意尝试各种新事物,并且酒店网络的历史建设问题,使酒店网络内部缺乏管理,酒店网内部缺乏有效的控制手段。因此,给酒店网带来了以下的问题: 非法应用泛滥:包括私自设立Proxy Server,私自设立DHCP Server等 非法用户存在:包括帐号盗用,IP地址仿冒以及MAC地址仿冒等问题 广播流量泛滥:酒店网络内部充斥了各类广播流量 缺乏接入控制:内部网络对用户没有管理手段 为了解决以上问题,比威提供802 .1x+BAMS解决方案,实现酒店网认证、计费解决方案,限制非法应用,限制非法帐号等,完善接入控制,实现有效的用户管理和灵活的计费管理。
针对这种需求,比威网络提供宽带接入管理系统,并通过网络设备的合理布置,满足客户对于网络应用中的用户管理及计费管理的需要。
完整的宽带接入管理解决方案包括以下几个部分,
认证是实现用户管理的前提,实现用户管理是为了实现可管理的网络,并进而为用户提供宽带服务,802.1x是IEEE的标准,与以太网技术具有天然的集成性,并且控制信息流严格区分于转发数据流,保证转发效率。采用EAP over LAN技术,实现简单、安全,对于认证前端设备要求低。目前多数接入交换机都支持此种认证方式。 首先802.1x客户端发起认证请求; 其次802.1x认证交换机转发认证请求到BAMS系统,BAMS检查认证控制信息,根据Radius认证属性值,判断用户身份的合法性,如果是合法用户,发送Radius授权包给802.1x认证交换机。 第三,认证交换机接到授权信息,打开交换机控制端口,允许用户接入。 然后,用户可以实现正常的网络应用,包括访问Internet。 交换机在认证通过后,用户开始和结束网络访问时,发送计帐信息到Radius计帐服务器,并通过BAMS计费处理子系统,完成需要计费管理。
IEEE 802.1x协议的体系结构包括三个重要的部分:Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。 客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于端口的接入控制,客户端系统需支持EAPOL(Extensible Authentication Protocol Over LAN)协议。 认证系统通常为支持802.1x协议的网络设备。该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址)有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。图中认证系统的受控端口处于未认证状态,因此无法访问认证系统提供的服务。 认证服务器通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。
BAMS包括认证子系统,前台处理子系统,系统操作维护中心子系统。认证子系统主要由Radius 认证服务器构成,完成对用户控制信息的认证过程,保证合法用户的接入宽带系统,防止非法用户接入城域宽带网系统。 802.1x认证交换机实现接入控制功能,中继802.1x客户端发起的认证请求到BAMS认证子系统,并根据BAMS返回的授权信息执行具体的控制策略,当认证通过时,打开用户接入端口,允许用户通过。对于非授权用户拒绝接入。 另外,BAMS配合比威802.1x客户端软件,可以实现多元素绑定用户接入管理,实现精确的用户接入控制,详见下面章节。 比威认证计费解决方案充分考虑网络管理者的灵活使用要求,在通过7元素绑定进行精确用户管理时,实现自动绑定设置,不需要手动输入绑定元素(如MAC地址),给用户带来极大的灵活性。 前台处理子系统配合Radius计帐服务器,对采集的计帐数据作集中的处理,根据具体需求,形成灵活的计费结算策略,如预付费,后付费,普通用户计费,卡计费(包括充值卡管理)。 通过认证计费管理实现,可以提供以下业务:
通过七元素绑定可以根据需求,对用户进行精确的管理控制,给网络管理者带来易维护性。 而且,比威认证计费解决方案充分考虑网络管理者的灵活使用要求,在通过7元素绑定进行精确用户管理时,不需要手动输入绑定元素(如MAC地址),给用户带来极大的灵活性。 下面介绍比威认证计费系统的七元素绑定实现。
为了实现对用户的精确的用户管理,仅仅依赖于标准的IEEE802.1X认证,并不能满足要求,因此,比威网络发展802.1X认证,通过提供多元素绑定,来满足酒店网络内部精确控制的要求。 比威认证计费解决方案提供7元素绑定,即:
具体来说,可以将这7元素归纳为以下3类:
通过把7元素作不同的组合,可以实现不同的控制策略; 控制策略一:账号/密码 只有经过申请获得开通的用户才可以使用网络 控制策略二:IP和账号绑定 此法可以在静态IP应用中,解决IP冲突问题 控制策略三:MAC和账号绑定 解决账号盗用问题 控制策略四:IP和MAC绑定 公用电脑上网区域 控制策略五:账号、IP和MAC绑定 私有电脑上网区域 控制策略六:账号、IP、MAC、接入交换机、端口绑定 、VLAN、EMAIL帐号,最严格的接入控制,实现最精确的用户管理手段
认证的一个基本的目的就是实现有效的用户管理,对不同的用户设置不同的安全接入控制策略,授予不同接入权限,AAA中授权部分就是针对用户的级别、权限而设置的。 这个管理部分,主要有两个管理阶段,首先,后台软件为用户设置相应的接入权限,并通过Radius发送给前端控制设备(如交换机,BAS等);其次,前端控制设备是具体控制策略的执行者,根据用户接入权限的不同,完成检查任务。
为了减轻管理员的负担,并且方便用户更好地利用网络,BAMS提供用户自服务系统,主要完成以下功能:
网络中具体的计费数据采集点可以是交换机,路由器,或计费网关等,BAMS收到采集数据,进行后续处理。 如上图所示,在用户认证通过后,用户进行正常的网络访问,交换机采集用户访问数据,形成计帐数据,通过Radius 计帐包发送给BAMS。BAMS根据计帐数据形成具体的结算单,完成计费管理。
系统能实现用户的包月、按时计费、按流量、按流量带宽综合计费方式。 系统能提供局方对打折时间的设置和折扣率的设置。 计费系统根据用户信息、用户所选取的计费方式、折扣率参数等实时计算出用户的每一完成(以结束时间为准)的网络费用。
访问详单费用的计算(计费)是计费系统中的重要组成部分,计费不仅要保证准确性和速度,同时也必须能够适应与计费相关的各种参数、规则的变化。方案设计并实现的计费系统中充分体现出这一思想。
表驱动的设计思想贯穿整个计费过程。不仅所有的费率、优惠率、与计费相关的其它参数都以表的形式存储在数据库中,更重要的是计费规则也被形式化地存储在数据库中。而以往或其它的系统中,计费规则大都是固化在程序的代码中。 存储在数据库表中,使得系统更能够适应计费规则的变化。计费规则的改变对于系统管理员或二次开发人员而言,只是将新的计费规则形式化成计费规则表中的一条新的记录。对于原有的计费系统,则需要对计费的部分代码进行修改。 计费规则的形式化是该设计思想的重要部分。在充分了解现有的计费规则,并掌握其它计费规则的基础上,系统对访问详单的计费类型和费用类型进行准确的划分,使得形式化的计费规则尽可能适应未来的变化。
计费按照如下的步骤完成:
良好的计费参数表设计是该系统的另外一个特点,费率表中不再简单存储费率,而且也存储其它可能在未来会发生的变化。例,参数表中不仅仅存储费率,它还保存该条费率的有效期,这便使费率的动态更新成为可能:系统能够根据访问详单中的起止时间判断符合条件的费率或费率组合(在跨费率的时候);不仅如此,费率还与优惠率直接相连,可以对某个特殊的费率给予特殊的优惠。 系统中其它参数表的设计同样采用上述原则,真正体现“表驱动”的设计思想。
按时长计费时,目前系统支持的计费算法包括以下:
每一种计费算法都事先被编译好,在计费系统启动时调入内存中。对于计费规则的改变,可以适当地修改原有的计费算法或增加新的计费算法,同时修改访问类型与计费算法之间的对应关系(该关系存储在数据库中)。
费率的管理包括以下几种:
以上所有的费率都有时间限制,即包含有效起止时间。另外,费率结构的良好设计,使得可以通过修改费率表的内容就可以实现计费规则的变化。系统中的参数比以往的系统考虑的更多,使得许多计费规则的改变也可以直接通过改变计费参数表中的参数就可实现。具体包含在以下几个方面:
|