- 5.39 MB
- 2022-08-30 发布
- 1、本文档由用户上传,淘文库整理发布,可阅读全部内容。
- 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,请立即联系网站客服。
- 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细阅读内容确认后进行付费下载。
- 网站客服QQ:403074932
官渡区第二中学计算机网络方案建议书I\n1安奈特公司简介1.1安奈特公司安奈特是一家全球性的网络通信产品供应商,拥有300多个遍布世界各地的分支机构。公司成立于一九八七年,总部设在美国加利福尼亚,安奈特目前已在遍布全美及欧洲、南美、非洲及亚太地区的四十余个国家设立了上百个分公司及分支机构,是一家世界知名的跨国集团公司。安奈特利用自身长达17年的网络技术研发、设计、生产、销售及服务的经验,根据世界网络技术和用户需求的发展,及时为客户提供最高性价比的产品。作为网络通信领域的知名厂商,安奈特自成立以来就将简便可靠的操作及网络产品的标准化作为基本原则,在此基础上满足用户对当今网络互联所提出的日新月异的要求,并开发了适合从大型企业至中小公司乃至个人需要的一系列产品。安奈特认为在当前国际化趋势日益明显的时代,公司必须开发标准化、兼容性强、高性能且物超所值的网络通讯产品。正是基于这种认识,安奈特一直将研制、开发先进适用的产品放在最重要的地位。公司在美国、日本、英国、加拿大、德国、新西兰、澳大利亚、中国均有技术力量雄厚的研发机构,时刻跟踪最新的科技进步成果,并迅速推出性能优异、极具竞争力的新产品。正因为如此,安奈特自成立以来一直保持高增长的态势,成为美国发展最快的高科技公司之一。安奈特于1997年6月在中国北京成立了安奈特(中国)网络有限公司。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch-9–\n为了进一步开拓亚洲市场并向迅速发展的中国通信市场推荐安奈特最新的网络产品,安奈特中国公司负责中国大陆的市场推广,销售及售前售后技术支持服务。安奈特(中国)网络有限公司成立以来,以自己先进的产品和优秀的技术支持与服务赢得了众多用户的信赖。2002年安奈特对其中国公司追加了投资,大力发展本土化策略,不仅在深圳设立研发中心,还在苏州和东莞设立了全资工厂。这样的策略不仅有助于控制成本,还能够更方便、快捷地服务于中国广大用户。安奈特中国公司在原有香港、深圳分公司和上海办事处的基础上,增设了广州、成都、武汉和苏州办事处,进一步向中国市场全面推广安奈特的全线网络产品,以更好地为客户服务,满足不同客户各种应用的要求。安奈特的一体化互联信息网络是一个全面的、端到端的体系结构。它运用了安奈特自己的研究和开发部门成果,以及通过战略联盟和兼并其它企业获得的成果。安奈特公司提供包括产品、应用服务和网络管理解决方案在内的端到端的网络策略。这种策略既照顾用户利益前提,也包含服务供应商的环境—包括利用信息包和信元技术进行处理的数据、语音和视像应用。公司的策略不仅重视未来的基础设施,同时我们还为网络的设计和实施提供专家服务及技术支持。ATI公司在设计和建设世界级质量的语音、数据网络素负盛名,公司将继续发扬此优良传统,,以及通过公司的战略合作伙伴关系,令数据网络环境更加可靠、更加简单、更易于使用和管理。ATI的一体化互联信息网络,是以其网络产品系列为依托的。它主要包括IP宽带网产品SwitchBlade系列高性能以太网为核心、为接入端构筑的多元融合的千兆网络为高速传输的数据流提供了强大的平台。1.1公司产品系列安奈特拥有接入、汇聚和核心的全线产品,为用户提供在LAN、WAN和MAN上传输高带宽的数据、语音和图像的端到端一体化解决方案。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch-9–\n安奈特的网络解决方案具有以下特点:·高性价比;·更高的安全性能设计;·全面QoS保障;·优质售前技术支持和售后技术服务。除此之外,安奈特还可以根据用户的要求进行产品研发和设计,满足用户对网络平台的特殊需求。1.1公司在国内所获荣誉2003中国IT用户满意度调查,是由全国用户委员会举办,是中国IT安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch-9–\n产业站在用户角度大规模全方位的一次调查。作为全球网络设备与解决方案第一阵营的领导企业,安奈特取得了可喜成绩。安奈特获得诸多奖项是中国用户对安奈特网络产品正面和直接的肯定,对安奈特未来发展打下了坚实的用户基础。在用户满意度调查中,全球著名网络设备与解决方案供应商安奈特,凭借出众的品质与非凡的性能获得“交换机国际品牌用户满意度第一”、“交换机首选品牌”、“交换机产品满意度第一”等诸多奖项。这充分反应了中国用户对安奈特产品与解决方案的广泛认可与肯定,以及安奈特为用户带来的巨大竞争优势。安奈特AT-SwitchBlade4000模块化多层式交换机蝉联《中国计算机报》2002年度和2003年度“编辑选择奖”。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch-9–\n《中国计算机报》2002、2003年度“编辑选择奖”安奈特三层交换机Rapier24获得《网络世界》评测实验室“编辑推荐奖”。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch-9–\n安奈特校园网络方案获得《中国计算机报》“校园网领域”优秀典范奖。“校园网领域”优秀典范奖安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch-9–\n1.1安奈特的主要客户1.1.1主要的国内客户北京电信沈阳工商局深圳工商局成都工商局中山大学广西省人民政府北京公安局北京水利局东莞理工大学四川电信中保人寿保险公司山东广电华南师范大学珠海劳动局上海通用汽车上海东芝电梯海南外贸大学重庆电信湖北省广电山东电信公安部全国卫星网络全国武装警察部队大庆油田福建电信广东工业大学江苏苏果超市西部“天使工程”大庆电信海南国兴中学衡阳电信海军淄博广电交通银行珠海分行哈尔滨电信常德电信鞍山电信柳州十二中郑州电信陕西省宝鸡石油机械厂深大电话湖北电信中国住房改浙江省非典指定医院杭州市中医院湖州市第一人民医院嘉兴市第二医院平阳市人民医院上虞市中医院福建省交通职业技术学院郑州轻工业学院湖北省广水市第一中学东北农业大学哈尔滨师范大学焦作工学院宁夏大学西藏大学新疆宏景集团陕西省宝鸡石油机械厂宁波罗马瓷砖武汉科技会展中心四川省邮政局贵州省邮政局成都卷烟厂四川省自贡市硬质合金有限公司广东省地税局广东省高明市财政局安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch-9–\n湖北省鄂州移动无线枝江电力公司1.1.1北美教育主要客户安奈特在教育市场取得了非常显著的成绩,特别是在高等教育领域,具有十分丰富的校园网络建设经验。斯坦佛大学麻省理工大学STANDFORDUNIVERSITYMIT加州大学洛杉矶分校加州大学戴维斯分校UCLAUCDAVIS密西根州立大学俄亥俄州立大学MICHICANSTATETHEOHIOSTATEUNIVERSITY内华达大学俄亥俄大学NEVADAOHIOUNIVERSITY加州大学圣巴巴拉分校新墨西哥州立大学UCSBNEWMEXICOSTATEUNIVERSITY安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch-9–\n密西根大学纽约法律学院MICHIGANUNIVERSITYNEWYORKLAWSHOOL夏威夷大学曼诺娜分校UNIVERSITYOFHAWAIIATMANOA1.1.1部分日本教育客户名单喜茂别学校池田町池田学校国立大分工工业高等专门学校学园千叶学艺高等学校崎玉县立大宫工业高等学校三乡工业高等学校熊本县立教育中心横滨市立盲学校千叶科技技术大学 1.1.22000年悉尼奥运会在2000年的悉尼奥运会上,安奈特提供了全套的网络解决方案。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch-9–\n1网络建设需求分析1.1网络建设目标官渡区第二中学信息化建设主要实现以下建设目标:l满足将来应用软件需要,达到官渡区第二中学网络系统的性能价格比最优;l满足网络安全稳定需要,结合拓扑、设备和网络应用软件特性,达到后续维护应用的省心;l满足学校效益需要,从设计、实施、培训和服务全面进行细致规划,让学校获得一套物超所值的系统。l建成骨干网1000Mbps光纤、桌面100Mbps铜缆的高性能交换网;l完成覆盖官渡区第二中学综合大楼和教学楼、办公大楼以及食堂的计算机网络互联工作;同时提供远程用户和异地出差用户的VPN安全接入。1.2网络基础设施需求分析官渡区第二中学计算机网络是为了满足官渡区第二中学建立二十一世纪的现代化智能网络系统,建设一个支持数据、语音、视频和多媒体等多种应用以及实现Intranet、Internet的基础网络设施。网络类型与划分:官渡区第二中学计算机网络包括Intranet内联网和Internet互联网络,在网络上实现业务资源信息共享,支持TCP/IP协议和多种应用。主要应用类型:数据传输业务,视频和音频(包括多媒体会议和远程教育)。官渡区第二中学计算机网络平台应满足下列需要:1、建立INTRANET及INTERNET服务。2、多服务集成,能够为数据、语音和视频提供集成服务。3、提供多媒体信息服务。4、划分子网和虚拟网。5、子网及虚拟网间通信的路由及其安全问题。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n6、提供与内部各单位各部门各种不同的接入方式。7、考虑未来扩展能力及多厂商、多协议的支持能力。1.1网络应用需求分析官渡区第二中学创办于1996年。建校以来,学校全面贯彻党的教育方针,坚持“以人为本,以教学为中心,以学生的全面发展为宗旨”的办学思想,面向全体学生,夯实基础,发展个性,培养特长,提高素质,取得了累累硕果并形成特色和风格,教育教学质量全面提高,赢得了社会的赞誉、家长的信赖和学生的喜爱。为了满足广大群众对优质教育的需求,经官渡区人民政府批准,2002年11月官渡二中兼并昆二十五中,实行初、高中分离办学。如今的官渡二中高中部,崭新的教学楼、综合楼为学生提供了优越的学习条件,新建的学生宿舍(带盥洗室、卫生间)为学生提供了良好的生活保障,绿树成荫、鲜花盛开的园林式校园为学生营造了一份自然、和谐的学习和发展空间!更重要的是,教师全部由原官二中招考教师担任,确保了扩大办学规模后教学秩序的正常进行和教学质量的稳步提高。随着现代化教学活动的开展和与国内外教学机构交往的增多,对通过Internet/Intranet网络进行信息交流的需求越来越迫切,为促进教学、方便管理和进一步发挥学生的创造力,校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统,以园区局域网为主,一个基本的校园网具有以下的特点:高速的局域网连接——校园网的核心为面向校园内部师生的网络,因此园区局域网是该系统的建设重点,由于参与网络应用的师生数量众多,而且信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项基本要求;信息结构多样化——校园网应用分为电子教学(多媒体教室、电子图书馆等)、办公管理和远程通讯(远程教学、互联网接入)三大部分内容:电子教学包含大量多媒体信息,办公管理以数据库为主,远程通讯则多为WWW方式,因此数据成分复杂,不同类型数据对网络传输有不同的质量需求;安全可靠——校园网中同样有大量关于教学和档案管理的重要数据,不论是被损坏、丢失还是被窃取,都将带来极大的损失;操作方便,易于管理——安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n校园网面向不同知识层次的教师、学生和办公人员,应用和管理应简便易行,界面友好,不宜太过专业化;经济实用——学校对网络建设的投入有限,因此要求建成的网络应经济实用,具备很高的性能价格比。官渡区第二中学作为典型的基础教育学校,该校校园网建设同样具有上述要求和特点。包括通常教育机构所面临的多媒体教学、MIS(管理信息系统,ManagementInformationSystems)、OA(办公自动化,OfficeAutomation)等应用及Internet信息发布系统等等,而这所有的应用,都需有一个高度集成的网络化运行环境。下面,我们将针对几个主要应用系统,如多媒体教学、MIS(管理信息系统,ManagementInformationSystems)和OA(办公自动化,OfficeAutomation)等应用系统对于网络的需求做简要分析。1.1.1多媒体教学系统随着教育技术手段的发展,传统的“粉笔+黑板”的教学模式越来越不能满足发展的需要。教育的根本出路在于改革,而教育改革的重要途径之一是教育信息化。教育信息化是指在教育领域全面深入地运用现代化信息技术来促进教育改革和教育发展的过程,其结果必然是形成一种全新的教育形态:信息化教育。这种全新的教育模式,对传统教育方式的冲击以及影响是很大的。其中,网络辅助教学是信息化教育的主要应用。在世界各国,教育信息化已经成为其教育发展的一个重点,而且,许多国家以立法的形式对信息技术教育给予相当的地位。在这方面,国外发达国家比我们已经领先了有3—5年的时间。在教育信息化应用方面的开发、实施也早于我国。几年前,美国等国家的很多学校都计划尝试利用网络来辅助教学,一些学校开设了虚拟学校。几年过去了,随着网络泡沫的破灭,很多虚拟学校、远程学校倒闭了;但是,采用网络进行辅助教学的学校却越来越多、发展势头越来越好;在很多学校,网络辅助教学已经成为学校老师、学生不可缺少的手段。采用网络辅助教学具备如下优势:Ø教学资源的占用减少:老师数量减少;教室数量减少安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nØ平均教学效果并没有降低(因为采用了讲课效果最好的老师制作的课程)Ø随着课程种类的增加,网络辅助教学所带来的收益更显著Ø将本校著名老师或其他学校已制作完成的网络课程放在学校的网络教学平台上Ø通过网络课程辅助,少量教师即可开展该热门课程的教学教育信息化使中学教育的各个层面都发生了很大的变化;只有追求创新的教师、学校各部门以及学校,才能抓住这一有利时机,利用机会,走在前列,而不是被发展所淘汰。多媒体教学系统对学校校园网络的高带宽、低时延性能及QoS保障水平都提出了非常苛刻的要求,需要网络设备能够提供高性能而稳定可靠的基础设施平台,同时可以实施完善的端到端的服务质量保证。1.1.1MIS,管理信息系统MIS是管理信息系统(Managementinformationsystems)的简称,是集计算机技术、网络通信技术为一体的信息系统工程。所谓企业管理信息系统建设是指在企业经营管理的诸多方面广泛运用信息技术,深入开发和充分运用信息资源,提高经营决策水平、生产能力和管理效率,促进企业管理现代化的建设,提高企业经济效益的过程。Intranet被用来建设MIS时,MIS就成了浏览器/服务器(Browser/Server)结构。B/S结构使得MIS系统的各用户端计算机上安装运行相同的浏览器软件,在网络另一端的高性能计算机上安装运行WEB服务器软件和数据库管理系统。通过一个浏览器可以访问多个应用服务器,形成点到多点、多点到多点的结构模式。B/S结构的MIS在开发维护上具有许多优势。B/S结构具有很高的集中性,客户端只安装浏览器,所有的应用程序和数据库均放在服务器端。应用从客户端分离出来,使得B/S结构具有集中性,从而使系统更具可控性。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nB/S结构本质上也是一种特殊的C/S结构,只不过它的客户机端简化为只讲单一语言(HTML语言)的客户软件,因而简化了客户端系统的管理和使用,使管理和维护集中在服务器端。B/S结构对用户几乎不须培训,使系统投入使用的时间大大缩短;由于客户端没有应用软件改造和版本更新问题,使系统维护和管理费用降低;用户用浏览器访问系统,无须考虑所访问的数据在那台服务器上,也无须考虑访问的是何种数据库,使MIS异种数据库互访的复杂问题有了一个简单的解决办法,数据的共享水平得到了提高;它还为多媒体技术引入MIS开辟了捷径。但是,Browser/Server技术仍然处于初级阶段,目前它的交互事务处理能力还不能满足MIS的需求,表现在WEB一般用于从服务器获取信息,而浏览器返回给服务器的信息很少。B/S结构的MIS需要网络更大的带宽和更小的延时。B/S结构对MIS所必须的安全保障还缺乏完善的技术措施,据统计世界上每20秒就发生一起攻击Internet主机事件。缺少了专用客户软件这一天然屏障后,如果没有其它安全措施,任何人都可以访问MIS系统。要充分估计系统安全性问题给系统的造价、系统管理的复杂性以及系统开发周期的影响。可能需要购买专用防火墙产品、也可能需要编写自已专用的应用级安全控制软件等。根据官渡区第二中学的实际情况,采用基于企业网Intranet结构的Client/Server和Browser/Server相结合的形式较为合理。一方面在某些以查询、浏览为主体的用户应用界面上可以引入B/S结构,而其它大部分用户应用界面仍采用C/S结构,构成Client/Server和Browser/Server两种体系结构紧密结合的管理信息系统。它应具有以下几方面的特点:开放的计算机网络系统、综合的信息资源库、分布式的信息处理、集成的办公自动化环境、面向用户的应用系统、高级共享的信息资源、中心控制而又分级自治的管理层模型、集中——分布的体系结构。因此,适用性与先进性的结合是MIS系统建设的原则。(1)采用先进的网络技术,通过智能化的网络设备及软件,实现对计算机应用系统的有效控制和管理;采用先进的客户机/服务器体系结构,有效减少网络的流通负担,以提高整个系统的运行性能;另一方面,网络系统能够满足B/S结构所需的更大网络带宽和更小的网络延迟。系统应充分体现目前先进的网络软硬件及相关技术、现代网络管理理论和技术的发展方向,同时应该满足当前企业各个层次、各个环节的管理、核算需求。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n(2)满足用户需求的技术是最好的技术。单纯追求先进性而不把技术建立在自己的实际需求之上的技术没有任何实际意义,系统成败的主要因素并不取决于是否采用了最新的计算机网络硬件、软件技术及通信技术。采用了先进的设备,但在系统设计时未能提供完善的用户保护,系统不能良好且安全的运行,将导致系统不仅不能解决应用的实际问题而成为弃之可惜,用之不能的沉重包袱。1.1.1OA,办公自动化系统企业实现办公自动化的程度是衡量其实现信息化的一个重要标准,作为办公自动化的应用平台,企业应该首先搭建Internet/Intranet网络。Intranet是企业内部统一的信息整体,而且可以利用公用基础设施向您的企业的合作伙伴、客户和在外的员工提供多种灵活、便利的信息访问途径,从而提高企业管理和业务效率、客户服务质量。在企业的Intranet/Internet网络部署网络办公系统,从而降低企业成本,提高工作效率,正是企业级用户所期望的办公自动化解决方案。网络办公系统包含的即时信息、手机短信、电子邮件系统、工作流等功能使得信息在企业内部传递效率极大提高,信息传递过程中耗费降到最低。办公人员得以从繁杂的日常办公事务处理中解放出来,参与更多的富于思考性和创造性的工作。办公自动化系统力求突出体系结构简明、功能实用、管理和维护简单易行的特点。办公自动化系统其实现目标在于:Ø全面的资源和信息共享,建立内部通讯和信息发布平台,消除信息孤岛。Ø全新的信息交流方式:企业员工通过电子邮件,论坛、即时信息、手机短信息发送等方式互相交流。Ø各部门之间实现科学、高效、规范的协同工作环境。Ø实现信息集成,将各种业务系统的数据集成到办公自动化系统中。ØIntranet与Internet的平滑对接集成,实现移动办公。Ø将企业所有的信息在办公系统上进行集中管理。Ø高效的决策支持:为管理层随时随地、方便安全的查询掌握全局的业务,为领导者决策调整提供支持。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n办公自动化系统对于网络的需求:n支持OA系统所有的数据、图像、声音等信息的传输通讯,同时也支持其它系统的信息通讯,因此,需要多媒体支持。n对公文、档案的登记、审批、传阅、归档等均设置自动工作流程执行,实现文档一体化、管理自动化。除了应用本身的安全措施,网络系统需要采用多级安全设计、严格的权限控制和密级划分,达到数据安全、保密,设计严谨。n需要考虑移动用户异地远程移动办公。整个计算机网络系统能够提供多种灵活方便经济高效的远程接入方式,诸如VPDN。n保证信息的及时获取,需要网络系统不间断运行,而且能够保证较低的延迟。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1安奈特总体网络设计方案1.1网络系统设计指导思想通过以上的需求分析,我们认为,官渡区第二中学计算机网络是一个以提供服务为主的网络,它主要为官渡区第二中学内部各单位/部门提供网络互连,同时提供外部各关联单位的网络接口,是一个高度自治的服务网络。建设这样一个性质的网络,就要求网络具有下列特点:1、容易控制管理。因为联网用户很多,如何管理好他们的通信,做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。2、稳定可靠的网络。只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。3、高带宽。为了支持数据、语音、视频多媒体的传输能力,在技术上要到达当前的国际先进水平。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。为此应选用高带宽的先进技术。4、易扩展的网络。系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展,还指:网络结构的易扩展性:即只有在网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络;网络协议的易扩展:无论是选择第三层网络路由协议,还是规划第二层虚拟网的划分,都应注意其扩展能力。5、安全性。网络系统应具有良好的安全性,由于官渡区第二中学计算机网络连接内部园区网用户,涉及诸多业务子网,因此安全管理就显得尤其重要。首先保障各业务子网逻辑隔离,然后对于每个业务子网,应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n6、QoS保证。随着网络中多媒体的应用越来越多,这类应用对服务质量的要求较高,本网络系统应能保证QoS,以支持这类应用。7、IPMulticast。由于官渡区第二中学计算机网络中在将来的发展中会包含许多多媒体应用通信,既会存在许多的广播信息,往往会占用大量的带宽资源。所以在本项目中,网络系统应能支持IPMulticast,可以减少网络中不必要的广播,节省主干的带宽。8、符合IP发展趋势的网络。在当前任何一个提供服务的网络中,对IP的支持服务是最普遍的,而IP技术本身又处在发展变化中,如IPv6,IPQoS,IPOverSONET等等新兴的技术不断出现,作为按TCP/IP协议构成企业内部网的官渡区第二中学必须跟紧IP发展的步伐,也就是必须选择处于IP发展领导地位的网络厂商。安奈特公司正是这样一个既经验丰富,又领导IP发展潮流的网络厂商,我们真心希望能通过这次与官渡区第二中学计算机网络项目的合作,与官渡区第二中学达成长期的战略合作伙伴。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1网络的分层设计从逻辑上来讲,大型网络须按照层次化的标准设计方法,将整个网络系统分为核心层、汇聚层和接入层,每层都有其特点。层次化设计的优点为:Ø可扩展性:因为网络可模块化增长而不会遇到问题;Ø简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;Ø设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;Ø可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1网络系统总体设计方案根据官渡区第二中学实际的业务需求,安奈特(中国)网络有限公司将该计算机网络分为两级结构:以位于综合楼网络中心的信息中心机房为核心,教学楼、办公楼和食堂形成园区主干;各建筑物内再扩展面向用户的局域网。园区主干连接为1000Mbps光纤,建筑物内部的用户局域网提供到桌面的10/100Mbps网络带宽。对于远程或异地出差用户通过VPN技术接入学校内部网络。作为全球知名的网络产品和解决方案供应商,安奈特专注于为用户提供高安全性、高可靠性、易于管理、易于维护、易于升级的网络系统,提供满足用户需求的、高性价比的产品和解决方案,我们根据官渡区第二中学的实际情况,设计出了一套以安奈特产品构成的综合传输数据、语音及视频的整体网络解决方案。官渡区第二中学总体网络拓扑示意图安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n由上图可见,安奈特的解决方案将官渡区第二中学计算机网络按照核心层、汇聚层和接入层的逻辑结构来划分设计。1.1.1内部局域网络设计鉴于官渡区第二中学目前的网络规模需求及未来扩展性的要求,在实际局域网络设计中我们推荐采用CollapsedCore设计方式,即在网络中心的核心层交换设备担负了核心层和汇聚层的功能,核心层和汇聚层物理上处于同一设备,但功能保持相对独立。在目前的网络建设中,网络中心核心交换设备先选择一台AT-SwitchBlade4004作为核心交换机,负担整个企业各业务子网网络系统的核心路由交换,在节约投资成本的同时提供高效的网络性能。在随着用户数量增长,应用系统增加等网络规模扩大的情况下,可考虑网络扩容。可以在网络中心再增加一台AT-SwitchBlade4000或者AT-Claymore9800千兆核心多层交换机,提供负载均衡及热备份功能。对于将来网络扩容的情况,各业务子网核心层的两台高性能核心多层交换机AT-SwitchBlade4000,可采用VRRP(虚拟路由协议)来实现对汇聚层及接入层交换机的冗余备份,同时起到流量分担的作用。具体实现方法如下图:VRRP示例安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n如上图所示,一台交换机作为VLAN10的Active路由,同时作为VLAN20的Standby路由,另一台交换机作为VLAN10的Standby路由,同时作为VLAN20的Active路由,然后通过设置VLAN10和VLAN20中的工作站、服务器等的缺省网关为VRRP的虚拟IP地址,这样VLAN10中的HostA实际使用物理路由A,VLAN20中的HostB实际使用物理路由B,当其中一台核心交换机故障时,VLAN10和VLAN20中的工作站均使用未出故障的那台核心交换机。也就是说,当两台核心交换机都正常工作时,两台核心交换机将分担VLAN10和VLAN20的路由工作,当某一台核心交换机出现故障时,VLAN10和VLAN20使用同一核心交换机进行路由,实现核心交换机的负载均衡和自动备份切换。在Internet接入路由设备上,推荐选择安奈特高性能宽带安全路由器AT-AR450S接入Internet,远程或异地出差用户使用VPN技术接入企业内部网络,获取对内部网络资源的授权访问。1.1.1Internet网络设计官渡区第二中学的网络设计除了考虑网络内部节点接入以外,还需要考虑互联网设计。互联网络设计只用于连接互联网,在网络建设时,需要主要考虑互联网络的安全性。官渡区第二中学内部网络系统与互联网的连接可以采用电信、联通或者广电等ISP的专线接入,推荐使用高带宽LAN接入方式。从ISP获取合法公网IP地址以后,我们将其中一个合法IP地址配置于路由器的外部网络接口上,并通过其与ISP的网关网络设备互联。然后在路由器上使用单独一个网络接口连接非军事化区域(DMZ),用以连接对外服务的WEB服务器以及外部网络邮件服务器等等,并通过网络地址转换(NAT)将这些对外提供服务的服务器IP地址转换为固定合法公网IP地址,确保外部互联网用户可以访问官渡区第二中学的这些对外服务器。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n路由器与内部网络的互联采用单独一个网络接口,并将其作为内部网络接口,在Internet路由器上,这个接口具备最高优先级。可以允许由内部网络用户发起的通信流量自由通过,限制外部和DMZ区发起的通信流量进入内部网络。同时,对于外部网络和DMZ区发起的通信流量,可以有条件的制订安全策略,允许指定的网络通信流量进入内部网络系统。为了进一步加强官渡区第二中学互联网的安全性,可以在Internet路由器上设置HTTP及SMTP代理服务器,用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n最后,建议在Internet路由器上使用内置入侵检测系统和状态检测防火墙功能。这是随着网络攻击手段和信息安全技术的发展,出现的新一代功能更强、安全性更高的防火墙,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为第四代防火墙,也称为状态检测防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1网络设备选型1.1核心层设备选择总体原则核心多层网络交换设备是整个网络的核心环节,用以连接日常业务所必须的数据库服务器(教学资源、MIS、OA数据库)、文件服务器、计费服务器、MIS服务器、WWW服务器、OA服务器、PROXY服务器、E-MAIL服务器、边缘接入路由交换设备等。为了使官渡区第二中学的骨干网建设和应用的顺利实施,在核心层的交换设备选型上应遵循以下原则:n骨干连接采用千兆以太网技术,核心交换机应具有足够的带宽、端口和各种宽带接口;n核心网络设备采用完全线速无阻塞型设计,采用分布式交换体系结构,可支持冗余骨干的容错连接;n核心交换机必须是一个模块组合式系统,具有一定数量的插槽,具有较多的可选模块;即必须具有很好的扩充性能,便于今后扩充和升级,满足今后网络规模扩大的需求;n核心网络设备必须具有高可靠性,核心交换机及其各种模块应具有一定的冗余,特别是交换引擎、电源要支持备份;n设备各种模块可带电热插拔,电源可带电热插拔;n支持千兆位以太网技术;可升级至10Gbps以太网;n支持第三、四层硬件交换;n必须具备完善的安全防范措施,以防止非法用户访问;n内部用户可能出于业务需要,必须经常改变工作地点,另外在某些情况下内部网可能需要作某些调整。这就需要主干网交换机具备相应的支持技术,如对动态主机配置协议(DHCP)、域名系统(DNS)以及动态VLAN服务等的支持。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1.1核心层设备选择需要考虑的因素1.1.1.1交换引擎模块化机箱型交换机交换引擎发展史:Ø第一代交换引擎——所有二层数据帧/三层数据包均需要送到交换引擎进行各层交换处理,每一片交换模块只提供收发器接口,不具备本地交换能力。Ø第二代交换引擎——本地交换模块上具有多颗低带宽的独立二层交换芯片,局部二层端口交换可在本地模块进行,所有跨二层芯片交换和所有三层交换均需要传送到交换引擎进行交换。(类似代表产品:Cisco4500)Ø第三代交换引擎——本地交换模块有二层交换芯片,可额外安装三层交换子卡,使本地模块有三层交换能力,但缺乏2/3/4层QoS和安全控制功能,所有QoS和安全控制均需到核心交换引擎。类似代表产品:Cisco6500之ClassicArchitecture,配置MSFC多层交换子卡与PFC策略功能子卡。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nØ第四代交换引擎——本地交换模块有二层交换芯片,可额外安装三层交换子卡和本地QoS策略和安全策略子卡。由于芯片集成度极低,整机系统价钱高昂,难以普遍应用。(类似代表产品:Cisco6500之FabricEnabled,配置MSFC+PFC+DFC)Ø第五代交换引擎——随着芯片技术的提升,单一芯片即可支持二/三/四层交换和QoS及安全策略,高集成度芯片容许大量生产,本地交换模块在不需增加子卡的情况下可有二/三/四层交换和QoS及安全策略功能,以往高昂的系统得以广泛普及。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n安奈特使用第五代核心多层全线速分布式智能交换矩阵技术构建核心多层AT-SwitchBlade系列交换机。交换机采用完全分布式智能交换矩阵,在每片智能交换业务模块均具备本地二/三/四层硬件线速交换/线速包过滤和线速QoS能力。以前需要完全由核心交换引擎完成的智能处理功能,如QoS、ACL、三/四层交换、策略路由等,均被分布到每片业务模块上实现,这样的设计大大减少了背板的带宽消耗,大大减低核心交换引擎上的负荷量,每片业务模块都会分担核心交换引擎的处理工作,大大增加整网的效能。用户可以根据自身的需求选购适宜的业务接口模块,交换机的总体交换能力可以随着加入业务模块而同步提升,有别于采用集中式处理结构的交换机,因核心交换引擎在加入新的业务模块之后,会导致整体的交换效能持续降低。安奈特使用最尖端的高集成度专有芯片技术,能使高智能硬件QoS、ACL、二/三/四层包交换和策略路由达到的线速并行处理,整机最多同时支持960条硬件线速ACL。近期,《网络世界》的评测试验室对SwitchBlade交换机进行了严格的全面测试,这次测评共测试了SwitchBlade交换机多层转发性能、冗余性、路由、QoS等方面的性能和功能各项指标。在所有这些测试中,SwitchBlade全部通过并取得了出色的成绩。尤其是在性能测试中,除了正常的二/三层交换性能测试全部达到线速,更值得一提的是在每个模块配置了62条ACL之后,仍然达到二层板内、二层板间、三层板内、三层板间全线速的优异性能。完美体现了“实用化与高质量的结合”。详情请查看安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nhttp://www.cnw.com.cn/issues/article.asp?filename=n33943.asp分布式交换矩阵的优点:n带宽高,全冗余,低延时;n对更多短时数据流(如HTTP,DNS的要求报文)有更好的处理能力;n本地交换模块有更快更敏感的拓扑转变能力,每分每秒都可保持在线;n把智能交换能力从核心交换引擎分布到每个本地交换模块上,提供更快的包过滤,更细致的QoS和本地路由决策;n整体的交换能力可以在增加新的业务模块之后同步提升。1.1.1.1背板技术机箱式交换机背板可分为有源和无源两种。有源背板代表机箱内的背板是需要供电才可以进行工作,有源背板技术大多把负责板间交换的交换矩阵芯片放在背板上。因此,含有源组件的背板成为机箱内一个重要的故障点,并且存在单点故障隐患,该故障点在发生故障时可以导致整机停止工作,所以需要为此在背板设计和供电部分增加冗余措施,但是这样会带来较大幅度成本提高。在有后备机箱的情况下,一旦有交换矩阵损坏,整机恢复时间为数小时之久,设计老化。安奈特的AT-SwitchBlade系列交换机采用最新的无源背板技术,整个背板系统没有任何有源组件,无需供电,板间交换矩阵设计完全放在交换引擎上实现,而核心交换矩阵都具备完善的冗余机制,完全避免了单点故障和数据丢失的可能,而且主备引擎之切换时间极低。1.1.1.2交换矩阵技术目前使用的交换矩阵技术主要有SharedMemory、SingBus、CrossBar。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nSharedMemory主要应用于中、低端产品:Ø交换架构内部的缓冲区;Ø交换输入到内存由高速ASIC芯片控制;Ø交换核心执行查表,解析目标地址和内存指针,交换数据报;Ø共享内存可以是固定的或者是动态的;Ø实现无阻塞交换架构所需的内存较少。采用总线方式实现的交换矩阵:Ø单一中央交换架构部件;Ø每个端口存取总线需要仲裁机制;Ø广播/组播容易实现,且性能表现较好;Ø其可提供带宽吞吐能力较差;Ø非常容易造成拥塞,而且在扩展性上会较大的约束。采用Crossbar技术实现的矩阵Ø多个输入总线,构成网状架构;Ø可以提供很高的带宽吞吐能力,通常为非阻塞;安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nØ实现广播/组播功能复杂,数据报需要数次复制,性能较低,在进行广播/组播功能时,CrossBar必须处于Quiet状态;Ø转发表的查找实现复杂。SwitchBlade采用创新的交换矩阵技术,并针对Crossbar技术在广播和组播方面存在的缺点进行改进。SwitchBlade的双交换引擎矩阵以网状方式相连(如图),该矩阵技术结合了Crossbar技术和共享总线技术的优点,在高带宽吞吐和良好的广播/组播效能之间取得了平衡,既可拥有高带宽又具备极高的组播/广播效能,有别于单纯采用总线或Crossbar技术设计所带来的问题。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n安奈特创新矩阵交换技术1.1.1.1完全线速无阻塞交换结构SwitchBlade系列交换机针对高性能的应用,使用了双重非阻塞设计,无论本地交换业务模块在板内还是业务模块到业务模块的板间,都能达到全部非阻塞,并在64Bytes最小包时达到完全线速。SwitchBlade系列交换机AT-SB4008可以提供384Gbps的并行交换能力和288Mpps整机的并行吞吐能力,AT-SB4004可以提供192Gbps的并行交换能力和144Mpps整机的并行吞吐能力。在安奈特最新推出的高密度智能千兆交换模块AT-SB4412上,可以提供多达24个千兆接口。由于安奈特一向以高性能交换机为定位,这片高密度智能千兆业务模块可以提供完全线速的板内二/三/四层数据交换能力,单片业务模块交换性能即可达到惊人的48Gbps的多层线速包处理能力。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1.1.1分布式交换体系安奈特AT-SwitchBlade4000还采用了业界领先的分布式交换方式,以解决传统的集中式三层交换技术在接口卡数目较多、或者数据流量大时引起的交换控制引擎性能下降的问题。本方案配置的核心交换机AT-SwitchBlade4000采用分布式三层交换技术实现的全线速无阻塞的数据交换和转发。安奈特AT-SwitchBlade4000系列交换机的所有线卡均具备完全三层交换功能,并且随时与交换控制引擎的三层交换信息保持同步。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n由于每块线卡均内置有三层包转发的功能,所以不同VLAN之间的路由就可以完全由各个线卡完成,而不需要每次三层数据转发都去查询交换引擎,从而可以大大地减少交换控制引擎的负担。和传统的集中式三层交换技术相比,采用分布式三层交换具有更好的可扩展能力,因为整个交换机的三层交换性能不随着线卡的增加而减低,相反,随着线卡的增加,整个系统的性能在扩充。安奈特的交换机更采用了基于硬件ASIC的三层交换,以保证全线速的包转发。所以安奈特AT-SwitchBlade4000(384Gbps/192Gbps交换矩阵和288Mpps/144Mpps交换容量)实际上是在满配置(插满所有的千兆端口线卡)时,仍能提供100%无阻塞率。这对于需要高速数据交换和承载多媒体应用系统的官渡区第二中学,尤显重要。1.1.1.1丰富多样的协议支持SwitchBlade拥有多种用户界面可供配置,可以支持Telnet、命令行界面、控制台管理、Web图形化界面和基于SSH2.0的命令行界面。还支持SNMPV1、V2c、V3版本,完全遵循安全化管理。安奈特AT-SwitchBlade系列交换机拥有丰富的标准协议集支持,支持IP、IPX、AppleTalk、CLNS等协议集,可以完全线速的处理IP和IPX协议、支持完整的路由协议集(RIPv1/v2、OSPFv2、OSIIS-IS、EGPRFC904、BGP、RIPv6[RIPng]和OSPFv3)和组播协议集(IGMPv1/v2、IGMPSnooping、DVMRP、PIM-SM/DMv2、PIM6、MLDv2),具有极高的可用性。组播和广播限制可以基于不同VLAN进行控制,进一步满足用户实际应用需求。1.1.1.2服务器负载均衡功能负载均衡功能可以帮助用户更合理的部署访问公共资源组的网络流量,从而大幅提升网络的利用率。在这里,公共资源组指的是一组具有相同资源或功能的设备群组,例如防火墙,服务器,或其他网络设备。通过选择算法,网络管理员可对网络流量负载如何分布进行控制,例如负载均衡功能可以监视进入网络的HTTP需求流量,将其平均的,或是进行优先级加权后分发给多台服务器进行处理。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n安奈特核心多层交换机AT-SwitchBlade4000能够提供如下负载功能:◆TCP负载均衡◆基于路由的负载均衡◆HTTP负载均衡◆SSL负载均衡1.1.1.1强大的QoS服务质量控制SwitchBlade系列交换机拥有极强的QoS功能,完全同時实现了多层线速交换与QoS,无需添加任何子卡。SwitchBlade系列交换机是以分布式的智能芯片组来实现基于硬件的QoS,有别采用软件在核心交换引擎上实现方式。SwitchBlade系列交换机可以在每个端口上能提供8级硬件队列和64级的软件队列,每模块最多支持3072个队列,每台交换机支持队列数可达24576,并可根据二三四层的细微条件对个别数据流作QoS调整。在带宽控制管理方面,SwitchBlade系列交换机可以64K为增量,从64K到16G的范围内,来调整数据流与每个物理端口上的带宽,除了可作带宽限制之外亦可提供带宽保证服务,确保在出现拥塞的情况下,特定数据流依然可以得到良好的服务质量保障。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nSwitchBlade系列交换机出色的QoS功能,为网络中同时运行的多种应用与服务提供了强有力的服务质量保障,各类数据传输的延时,抖动,带宽和稳定性都能更好的配合网络的资源分配。SwitchBlade系列交换机能够基于多种分类标准实现端口速率限制功能。同时,SwitchBlade系列交换机能够提供完善的拥塞控制机制。在拥塞控制机制中分为主动拥塞控制机制和被动拥塞控制机制。主动拥塞控制具有前瞻性,自动预测拥塞的数据流,并在拥塞发生之前把预期会产生拥塞的包丢弃,防止拥塞的发生。被动拥塞控制是在拥塞发生之后呼叫上一跳的设备并停止该设备的发包动作。SwitchBlade系列交换机的QoS功能带有具前瞻性的随机早检测(RED)功能。也带有被动的IEEE802.3x标准流控,背压和Jamming流控功能。主动的拥塞控制比被动的拥塞控制为好,更可以按数据流作带宽限制的特性。随机早检测(RED)模型如下图所示:安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n能够通过随机早检测曲线实现差异性的QoS效果。如图所示,随机早期检测曲线0,从虚拟队列被占满15%时开始丢包,丢包机率按虚拟队列的长度增加而按正比例增加,并在队列容量的30%被占满时,将50%的进入包丢弃,如果队列被占超过30%时把所有的进入包完全丢弃。随机早期检测曲线3,从虚拟队列被占满45%时开始丢包,丢包机率按虚拟队列的长度增加而按正比例增加,并在队列容量的80%被占满时,将90%的进入包丢弃,如队列被占超于80%时把所有的进入包完全丢弃。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nSwitchBlade系列交换机上有五个默认的随机早检测曲线,并可手工配置48个RED曲线,不同重要性的数据流可以按需求分配不同的随机早检测曲线,并有不同的丢包机率,从而达到差异性的QoS效果。虚拟队列是以以前的队列长短作经验统计出来的平均值,所以随机早检测是一个可以累积经验的机制,如果该数据流是一个比较汹涌的数据流并对带宽有较高的渴求,RED曲线就会预先把多余的数据包丢弃并有效预测并防止拥塞的发生。包调度机制对网络资源分配起了关键性的作用,SwitchBlade系列交换机独有WeightedFairHashedBandwidthDistributor加权公平散列带宽分配机制,保证各类数据流按重量公平分配带宽并作最小带宽保证和最大带宽限制。支持严格优先级包队列,严格保障不同服务使用网络的先后次序。SwitchBlade系列交换机包头阻塞及其防止机制。包头阻塞的发生可参照上图。用户A和B使用同一个交换机端口,而服务器A和B使用两个不同的端口。当用户A有大量数据不停地传到服务器A,在交换机上AB用户的进口队列全塞满了A用户的包,使B用户到B服务器的数据包要排在A用户到A服务器的数据包之后。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nSwitchBlade系列交换机使用了VOQ(VirtualOutputQueue)技术来防止包头阻塞。在每个物理的进口上有不同的虚拟队列为每个出口提供独立的排队方案,每个虚拟队列以轮选的方式处理,保证每个出口队列不会因进口队列给个别的出口占着而收不到所需的数据包。1.1.1.1全面支持IPv6全中国只获得约二千七百万个IP地址,但人口却达13亿,电子应用快速增长,IPv6势在必行。在亚太区,中国和日本是两个潜力极大的IPv6市场,中国信息产业部(MII)和中国IPv6应用演示中心(BIIIPv6)以及日本通信部门已建立IPv6实验网,专注于IPv6应用研究。作为一家国际性的知名网络公司,安奈特对网络技术发展的前瞻性居市场领先地位。虽然IPv6现在在国内尚未开始被广泛使用,但安奈特早在多年前已经开始对IPv6技术进行深入研究与探讨,并研发、销售相关成熟产品。自2000年安奈特发布第一款IPv6路由器以来,现在安奈特的系列路由器与多层交换机系列产品已全面支持IPv6。作为安奈特著名的AlliedWare™网络操作系统的一个高级功能模块,已在市场上发售。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nIPv6并非是单一协议,它包括多个不同的新协议配合功能应用,例如ICMPv6、Pingv6、IPv6DNSlookup、PIM6组播路由、MLDv2组播路由、DHCPv6、OSPFv3路由、RIPv6(RIPng)路由、SNMPMIB(RFC2465/RFC2466)和IPv6防火墙等等。安奈特在对IPv6的支持功能中,全面支持完整的IPv6协议簇,具备良好的高可用性,在日本电信运行的过程中,以其良好的高稳定性获得了用户的认可。为配合IPv6的大趋势,安奈特的网络处理器(NPU)技术已由2.5Gbps的进程提升至10Gbps的进程,更在未来支持IPv6ASIC专有芯片技术,为现有的IPv6加速方案提升至全线速方案。安奈特提供从软件IPv6到10GIPv6网络处理器以至IPv6ASIC专有芯片的平滑过渡方案,让用户可以根据自身实际需求逐步进行升级。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1.1.1良好的可扩展性,保障投资,照顾未来SwitchBlade系列交换机可对交换引擎和业务模块的CAM交换地址表储存器进行扩展,用户亦可进一步获得更大的内存、闪存和处理性能。在软件模块方面,亦有丰富的高级功能模块和安全模块供用户选择,用户可以根据自身需求进行选购,保障用户的投资和扩展需求。安全功能升级特性。安奈特交换机自带802.1x认证功能,能为接入用户依据MAC地址进行认证,保障网络避免非法入侵。支持SSHV2和SNMPv3作加密管理,并对非法的数据流做出线速过滤。还可提供附加状态检测防火墙升级选件,SMTP/HTTP代理,HTTP过滤器,为用户提供铜墙铁壁的安全防护能力。SwitchBlade系列交换机提供负载均衡升级选项,为TCP数据流,HTTP数据流,路由的数据流和SSL的数据流作负载均衡的增值功能。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nSwitchBlade系列交换机可升级为IPv6交换机,BGPv4和IS-IS级的路由交换机,为您的网络注入无穷动力。SwitchBlade系列交换机的机箱背板有可升级的技术,分布式的矩阵技术可为用户对自身的需求,按未来的需要插入更多的业务模块作整体的背板效能提升。可升级的背板技术使客户可以按其所需逐步升级,保障投资之如又不需大量的前期资金投入,有更高的性能价格比。SwitchBlade系列交换机支持10GbpsIEEE802.3ae技术标准的业务模块。安奈特的10Gbps基于IEEE802.3ae技术为标准,可组成最大160Gbps的城域网环,符合电信级的需求。模块上配备单个XFP热插拔接口,并有500m,10Km,40Km与80Km的XFP10GE模块可选择。XFP10GE模块1.1.1.1触发式的网络管理安奈特核心多层交换机AT-SB4000支持触发式的网络管理机制。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n这种强大的机制可以自动对多类特殊事件进行相应的操作响应。每个触发器都可以触发多个脚本,同样,任意一个脚本亦可用于多个触发器。当事件发生时,使用这种特性,AT-SB4000可以做大量灵活的操作,例如出现错误时可以向管理员发EMAIL报警,或是自动关闭某个接口以防御可疑的攻击。脚本中包含了一系列的命令,可以在任意时间内被重新调用,使用脚本可以非常简易地实现对核心交换机的重配置。对应配置复杂的环境,部署这种特性可以为管理员带来很大的帮助。管理员可以编写一个脚本运行在多个路由器、多层交换机或是安全设备上,也可以在某些特殊事件发生时进行调用以确保网络的运行。脚本可以在PC机上创建后上传到核心交换机中,也可以直接在核心交换机的文本编辑器中编写。脚本即可以从命令行进行调用,亦可以通过触发器调用。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1.1.1分布式的全网安全管理根据统计数据表明,超过85%的网络威胁来自网络的内部,因此,需要在整个网络内部实施分布式安全管理策略。安奈特核心多层交换机AT-SB4000支持内置状态检测防火墙选件。状态多层检测(statefulmulti-layerinspection)防火墙技术由CheckPoint提出,状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。状态多层检测最后一个优点就是允许检查OSI七层模型的所有层以决定是否过滤,而不仅仅是网络层。目前主流网络安全设备提供商在它们的包过滤防火墙中都使用状态多层检测。现在一些流行的包过滤产品有:CheckPoint防火墙(www.checkpoint.com)CiscoPIX防火墙(www.cisco.com)AlliedTelesis防火墙(www.alliedtelesyn.com)安奈特高性能的状态检测防火墙可以被广泛应用于所有的路由器和多层交换机上,该防火墙从各个安全级别上为商务核心应用提供防护。安奈特公司的基于状态检测防火墙通过了ICSA认证,可以为用户提供完全面向应用的高级安全防护,并且完全对客户机/服务器业务模式透明。通过对数据包内容的检测和连接状态的检测,可以为内网提供有效的保护。它可以防御比较广泛的防DoS攻击,包括:死亡之Ping、SYN/FIN泛洪、Smurf攻击、端口扫描、碎片攻击和IP欺骗。当一旦受到攻击后,路由器可以自动通过E-mail报警。安奈特所有路由器和多层交换机还提供事件触发,防火墙事件日志和信息统计,最终生成一个全面的安全日志。安奈特的防火墙技术使用策略机制,可以非常灵活的使用任意两个三层接口可以划分为内网和外网,还可以建立DMZ区。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n安奈特状态检测动态防火墙技术的特点:·安奈特的基于状态检测的防火墙用以替代传统的静态防火墙;·状态检测防火墙是根据数据流动态地设立过滤原则;·对于流经防火墙的所有流量进行逐包的动态访问控制(状态检测);·有效防御种类繁多的拒绝服务攻击(DoS、DDoS),包括PingofDeath,Smurfattacks,端口扫描,Fragmentattacks和IPSpoofing等;·自动发送警报信息,启动对应的防御措施;·只有授权的用户才可以通过防火墙;·端口数的开放是根据需要而开放,并且一旦需要终止时,防火墙会立即关闭该端口;·所有没有特定指明的用户数据流均被过滤。安奈特所有路由器和多层交换机可以在各个VLAN间设立防火墙进行过滤,这样就可以在企业网络之间有效防御发生在内部的攻击。安奈特的状态防火墙已通过了ICSA认证,当某些特定事件发生时,触发器会立刻依次启动执行设定好的一系列脚本和设置命令。安奈特的状态防火墙已通过了ICSA认证,可以为用户提供完全面向应用的高级安全防护,并且完全对客户机/服务器业务模式透明。1.1.1.1符合NEBS标准安奈特核心多层交换机AT-SB4000通过了NEBS3级认证,符合NEBS标准,意味着设备能在最恶劣的条件(如地震、火灾、闪电)下继续正常工作。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nNEBS是网络设备构建系统(NetworkEquipment-BuildingSystem,NEBS),是由Bellcore制订的一整套有关性能、质量、环境和安全方面的严格要求,它通常用于评估网络环境下设备的兼容性和安全性需求。由于在设计过程中遵循了NEBS标准,ATI生产的设备和系统在不利条件下也能正常运转,使客户避免了由于设备失效或故障而导致的停工。在AT&T、GTE、地区Bell运营公司(RBOC)以及其他电信公司遍布美国的交换机房中,所有中央办公环境下的设备都是经过NEBS认证的。NEBS对ISP和电信公司之所以重要,有以下几个原因:·对电信公司和ISP来说,系统停机是不允许的。要达到这一点,所有的系统组件都必须符合最苛刻的要求。即使在高温、低温、地震和火灾等极度恶劣的条件下,NEBS也能确保设备正常、连续运转。·对电话公司来说,安全性在很长一段时间内都是主要问题。·ISP和电话公司所用的设备种类繁多且数量巨大,必须确保不同类型的设备不会互相干扰,以免引起通信故障。另外,如果有干扰,应保护好设备,确保它仍能保持良好的工作状态。如果你购买的是符合NEBS标准的设备,由于设备更可靠、更安全,您将受益非浅。符合NEBS标准意味着设备能在最恶劣的条件(如地震、火灾、闪电)下继续正常工作。ATI最初设计时就遵从NEBS标准。最初的电气设计、机械设计、冗余和散热设计等各方面都考虑到了安全性和灵活性。ATI在识别到极恶劣情况时能自动关机。ATI的专有机械设计能承受里氏8级地震,并不会中断设备的连续运转。ATI还使用了专门的防火塑料,在火灾情况下不会产生毒烟。ATI还非常重视人身安全,包括用于连续和瞬时电压的通信布线、良好的接头和接地,以避免任何电气事故。ESD(系统级静电释放)是引起设备故障的一个主要原因。ATI考虑到了这个因素,它能承受高级别的ESD,因此在安装或维修时,它不会产生任何故障。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1.1核心层网络设备选择在核心层交换设备选择方面,本方案选用了全球著名网络通讯厂商安奈特(ATI)公司的核心多层千兆位交换路由器AT-SwitchBlade4004作为整个企业内部网络的核心交换机,拟建立具有二、三、四层交换的快速以太交换1000BaseSX/T为核心的先进而可靠的网络系统。整个计算机网络系统为星型网络拓扑结构。AT-SwitchBlade40041.1.2核心层交换设备特点安奈特的SwitchBlade4004交换机是一款6槽机箱式的骨干核心路由交换机,该交换机针对当前市场上宽带接入运营商/电子商务/企业园区网/教育园区网等领域对核心交换机的需求而设计。采用先进的ASIC技术,具备高达192Gbps的交换矩阵,提供超过每秒144Mpps的L2/L3/L4数据交换能力。支持最多96个千兆以太网端口,192个快速以太网/以太网端口,32个广泛的WAN端口。未来支持DWDM、10G安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n以太网、POS等高容量接口及更高端口密度负载模块。在此硬件平台基础上,提供广泛的多层协议支持,强大QoS控制能力可以为用户提供基于端口及基于应用的带宽精确控制能力。先进的安全性设计支持线速的L2/L3/L4安全访问控制能力,支持GRE、L2TP、IPSEC等安全协议。该机箱在设计上充分考虑到当今网络应用环境的需求,提供无单点故障的全冗余设计,并且提供48VDC规格的直流电源机箱供用户选择。考虑到整个计算机网络的中心交换能力和足够的稳定可靠性,我们建议网络中心交换机AT-SwitchBlade4004采用双交换控制引擎。双交换控制引擎可以保证在主引擎故障时,Slave引擎可以迅速接管主引擎的所有数据和工作,防止由于核心网络故障而引起整个网络的全面瘫痪。对于供电的可靠性,安奈特也同样重视,我们推荐给官渡区第二中学的核心多层交换机AT-SwitchBlade4004支持1+1的交流电源备份。安奈特的方案也正是通过以上诸多措施来保证本网络最大可能地避免出现单点故障。安奈特核心多层交换机AT-SwitchBlade4004在所有的端口上都提供了基于硬件的第二层和第三、四层交换能力,它的192Gbps安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n交换矩阵能够适应源自教育、电信、企业和金融的各种需求。SwitchBlade4000强大的、业界领先的QoS机制为用户提供了规划和保证从物理层到传输层数据流的能力。提供128个流量分类队列,采用基于策略的QoS和以64kbps为基准的最大/最小带宽控制。利用IEEE802.1Q/p、DiffServ和RSVP等技术,SwitchBlade4000为提供宽带运营服务和管理的需求找到了一个再合适不过的解决方案。AT-SwitchBlade4000交换机提供强大的从L2/L3/L4QoS控制能力,128级的流量分类使得用户可以根据自身的应用策略灵活的对服务级别不同的流量进行延迟控制,可以对不同应用的最大/最小带宽保障以64kbps带宽增量进行灵活的控制。安奈特AT-SwitchBlade4000交换机高速的硬件交换技术以及对IEEE802.1Q/p、DiffServ和RSVP等标准的广泛支持,可以为用户提供丰富的QoS能力,适用于大多数对QoS有明确需求的多业务网络系统,例如,在教育行业中,大多学校的基础网络上同时存在语音/视频流量,多区域组播应用流量,行政管理应用流量,学生上网流量。同样,在城域网汇聚节点,安奈特AT-SwitchBlade4000交换机可以为大量的用户接入提供不同QoS流量等级传输服务。安奈特核心多层交换机AT-SwitchBlade4000采用了第五代交换引擎、创新的交换矩阵技术、无源背板以及分布式交换体系结构设计,给AT-SB4000带来了无与伦比的高性能。本方案配置的核心交换机AT-SwitchBlade4004采用分布式三层交换技术实现的全线速无阻塞的数据交换和转发。安奈特核心多层交换机AT-SwitchBlade4004能够提供如下负载功能:◆TCP负载均衡◆基于路由的负载均衡◆HTTP负载均衡◆SSL负载均衡安奈特核心多层交换机AT-SB4004全面支持IPv6。安奈特核心多层交换机AT-SB4004支持10GE高速网络接口模块。安奈特核心多层交换机AT-SB4004安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n易用性设计目标是帮助用户实现简单友好的控制管理,并且不牺牲任何控制功能及灵活性。为做到这点,安奈特在AT-SB4000交换机中集成了与控制管理相关的丰富特性:内置DHCPServer,支持TFTP,可以帮助用户灵活的备份/上传配置文件;即可以作为NTP(NetworkTimeProtocol)客户端,也可以作为NTP的服务器;先进的预警触发功能结合Email客户端软件可以帮助网络管理人员对系统进行实时,严格的监控和管理。AT-SB4000支持标准的CLI管理接口和基于简单直观的图形界面管理,通过Console端口和以太网端口可以实现安全灵活的带内/带外网络管理。安奈特核心多层交换机可以提供先进的流量整形特性,例如RSVP(ResourcereservationProtocol)和BACP(BandwidthAllocationControlProtocol)确保多媒体的应用。策略路由可以基于流量类型(如WWW和FTP),WAN链路类型,源、目的地址进行路由。安奈特核心多层交换机AT-SB4004支持内置状态检测防火墙选件。除了传统的基于CPU的ACL以外,安奈特提供了独具特色的基于硬件芯片的包过滤技术——HWF(HardWareFilter),能够快速高效执行线速包过滤操作。相对于传统基于CPU的ACL处理,能够提高核心交换机30%~50%的综合性能。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n安奈特核心多层交换机AT-SB4004通过了NEBS3级认证,符合NEBS标准。拥有了安奈特的分布式三层交换功能,使得官渡区第二中学办公业务网络的核心交换机在大数据流量下仍然可以“轻松驾驭”。安奈特核心多层交换机AT-SwitchBlade4004的性能特点如下:AT-SB4004性能特点:ØSwitchBlade4004提供无阻塞192Gbps交换矩阵吞吐能力ØSwitchBlade4004提供144Mpps并行转发能力Ø提供全线速2层交换能力Ø提供全线速3层IP,IPX路由转发能力Ø提供全线速数据流服务质量控制能力Ø提供基于策略的QoS机制Ø支持4096个VLANØ支持IEEE802.1Q/p安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nØ支持最大带宽限制和最小带宽保障Ø支持独立的带宽控制/延迟控制Ø支持128级流量分类Ø支持最大232,000条地址存储记录Ø支持AppletalkØ支持RIPv1/v2Ø支持OSPFØ支持BGP4,IS-IS,IPv6,负载均衡功能选件Ø支持状态监测防火墙,HTTP/SMTP代理选件Ø支持VRRP,EVRRPØ支持IGMPv1/v2,IGMPSnoopingØ支持RSVP/DiffservØ支持DVMRP,PIM-DM/SMØ支持8条硬件优先级队列Ø支持802.1D,802.1W,802.1SØ支持802.3ad链路汇聚组Ø支持DHCPserverØ支持802.1xØ支持RADIUS,TACACSØ支持SSH2.0Ø支持GVRP,GARP电源特性:Ø100-240Vac,50or60Hz,支持-48vDC环境需求:Ø操作温度:0°C-40°C(32°Fto104°F)Ø储藏温度:-25°C-75°C(13°Fto158°F)Ø湿度:5%to95%noncondensing安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n尺寸:ØAT-SB4004Ø高:400mm(9RU)Ø宽:440mmØ深:343mmØ重量:45kg(含电源)电气/机械许可:ØEMC:Emissions:EN55022classA,FCCclassA,VCCIclass1ØImmunity:ØEN55024:ØEN61000-4levelsØ2(ESD),3(susceptibility),Ø4(fasttransients),Ø5(powersurge),Ø6(RFimmunity),Ø11(Voltagedipsandsags)ØØEN61000-3levelsØ2(Harmonics),Ø3(Flicker)ØØSafety:UL60950,CAN/CSA-C22.2NO.60950-00,No.950-M25AS/NZ3260EN60950,ACATS001,IEC60950安奈特AT-SwitchBlade4000模块化多层式交换机蝉联《中国计算机报》2002年度和2003年度“编辑选择奖”。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n《中国计算机报》2002、2003年度“编辑选择奖”在核心层的路由设备选择方面,针对官渡区第二中学的目前应用需求出发,同时兼顾将来扩充性要求,官渡区第二中学校园网络中的Internet核心路由器推荐采用安奈特高性能安全宽带企业级路由器AT-AR450S,以提供整个办公网络Internet接入及远程VPN接入的LNS(如果采用L2TP接入)服务器功能。安奈特的AT-AR450S是一款企业级安全路由设备,用以为大中型商用网络或企业网络提供集高性能,安全,灵活与一身的解决方案。AT-AR450S路由器提供了更高性价比,综合多业务的路由器平台,专门为大、中型企业,分支办公机构设计。这些企业都需要较高灵活性,管理性,可扩展性以及较高性能的路由器。AT-AR450S路由器拥有高性能RISC处理器,CPU主频高达400MHz,可升级的SDRAM。因此,AT-AR450S系列路由器可以提供出色的路由功能,VPN功能以及防火墙服务。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nAT-AR450S安奈特的安全路由器AT-AR450S机身仅1U高,提供7个10/100Mbps快速以太网接口和2个异步(RS-232)端口。其中包含1个专用于连接宽带广域网的10/100Mbps快速以太网接口(Eth0),1个专用于连接非军事化区域(DMZ)的10/100Mbps快速以太网接口(Eth1),为来自Internet上的合法用户提供公共服务。AT-AR450S同时还会提供5个二层局域网交换端口和两个可用于拨号的异步端口,两个异步口可以支持最高115kbps的外部调制解调器,即可用于做专线的按需备份链路,亦可用在多链路PPP连接中,用以扩展带宽。安奈特高性能的状态检测防火墙可以被广泛应用于所有的路由器和多层交换机上,该防火墙从各个安全级别上为商务核心应用提供防护。安全路由器AT-AR450S可以提供高达100Mbps的防火墙吞吐性能,能够支持的并行会话数高达18,000条。使用内置的硬件加速功能,AT-AR450S可以实现硬件级DES-3DES和AES加密,密钥编码可高达256bit。使用硬件VPN加速器,可以提供性能高达65Mbps的3DESVPN+NAT和防火墙吞吐,或是40Mbps的AES-256VPN+NAT和防火墙吞吐。安奈特公司AT-AR450S系列路由器的基于状态检测防火墙通过了ICSA认证,可以为用户提供完全面向应用的高级安全防护,并且完全对客户机/服务器业务模式透明。通过对数据包内容的检测和连接状态的检测,可以为内网提供有效的保护。它可以防御比较广泛的防DoS攻击,包括:死亡之Ping、SYN/FIN泛洪、Smurf攻击、端口扫描、碎片攻击和IP欺骗。当一旦受到攻击后,路由器可以自动通过E-mail报警。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nAT-AR450S系列路由器还提供事件触发,防火墙事件日志和信息统计,最终生成一个全面的安全日志。AT-AR450S支持高级加密标准AES,AES使用的是在FIPS197定义的算法,该算法在美国被政府采用,专为各种敏感数据提供保护。在目前,这是构建VPN安全通道最领先的加密算法。IPSec(InternetProtocolSecurity)是工作在网络层的一组安全协议集。过去,安全往往是在通讯协议模型的应用实现的。IPSec是VPN技术的核心,用于部署远程用户通过拨号连接访问私有网络。IPsec的一个突出的优点是可以在无须改动用户电脑配置的情况下,实现用户数据的安全(加密和认证)。IPsec提供两种安全服务供用户选择:头部认证(AH),安全负荷封装(ESP)。AH提供对数据发送方的身份认证,ESP同时提供对数据发送方的身份认证和对数据的加密,在IP数据包内插入一个特殊的服务信息。可以选择独立的密钥协议,比如ISAKMP协议。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nAT-AR450S安全路由器遵循802.1Q规范,允许用户配置64个VLAN,允许使用的VID范围:1-4094。802.1Q规范定义了在数据帧头部插入VLAN成员信息的标准,这样使得VLAN可以跨越多个交换机。在一个部署了跨骨干VLAN的网络中,每个VLAN都被定义了一个VID,各个交换机里都保存着相同的VID信息,在交换机间传递的数据帧头部都携带有VID标记,这样每个VLAN(或广播域)就可以被部署于整个网络。AT-AR450S可以在各个VLAN间设立防火墙进行过滤,这样就可以在企业网络之间有效防御发生在内部的攻击。安奈特的状态防火墙已通过了ICSA认证,当某些特定事件发生时,触发器会立刻依次启动执行设定好的一系列脚本和路由器命令。安奈特路由器可以提供先进的流量整形特性,例如RSVP(ResourcereservationProtocol)和BACP(BandwidthAllocationControlProtocol)确保多媒体的应用。策略路由可以基于流量类型(如WWW和FTP),WAN链路类型,源、目的地址进行路由。AT-AR450S支持服务器负载均衡功能。AT-AR450S系列路由器提供了多项冗余特征,最大程度的提高了网络的可用性。AlliedWare®是安奈特公司研发的特性丰富的操作系统,被广泛用于安奈特所有的路由器和多层交换机上。AlliedWare®运行稳定可靠,提供丰富的功能满足各类应用。AT-AR450S同样也运行AlliedWare®操作系统,可以和安奈特的其他安全设备,路由器,多层交换机进行平滑无缝的进行互操作。使用通用的操作系统亦可以在技术培训,系统管理,系统监护等方面为用户带来投资保护。该操作系统完全遵循工业标准,可以与业界其他厂商产品进行平滑的互操作AT-AR450S出厂时就已经预置好了AlliedWare®操作系统,完整的特性集和管理功能完全可以满足今天用户对网络的需求。另外还提供更高级的特性集许可证供有特殊需求的用户选择,例如IPv6,BGP4和负载均衡功能。AT-AR450S新颖的图形界面帮助用户进行轻松的配置和管理AT-AR450S的图形界面带来了许多新的特性:²Internet连接向导²PPPoE的配置和监控安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n²DHCP服务器的配置和监控²防火墙的配置和监控,事件,日志和设备状态观察器,²IPsec配置安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1接入层网络设备选择所谓接入网就是具体在每层办公楼内将计算机网络连接到每间办公室,并且还要上联到骨干网,与各区域汇聚层/核心层交换机连接。在各接入区域的网络建设中,与网络中心相比,它从运行环境上、用户的需求上和实际的应用上主要具有以下特点:·运行环境差:由于楼层网络设备配线间的空间十分狭窄,灰尘大,无空调,并且电源系统容易老化,电源接地达不到标准等,设备运行的环境差。·用户设备质量良莠不齐:用户端的设备,包括网卡、5类双绞线跳线、前期投入的HUB或交换机等直接导致了用户端设备的复杂性。由于很多用户过于注重价格因素,使得购买的设备质量良莠不齐。·应用复杂,网络负载重:由于大量应用系统,尤其是多媒体应用系统的运行,使得接入网的应用十分复杂,网络负载很重。·网络管理、网络安全要求高:由于大量应用系统需要传输海量的信息资源,其中包括部分机密信息,需要网管中心对网络的管理要到达交换机的端口,对外部及内部的恶意攻击行为和网络病毒能及早发现,及早处理,避免影响整体网络。官渡区第二中学办公大楼各楼层的边缘交换机构成了整个网络的接入层。接入层网络方案的制定和选择必须要充分考虑到上述的这些特点。当然,方案的选择还要考虑到投资的问题,在充分满足需求的前提下能够得到一个较好的性能价格比。接入层网络和核心层/汇聚层之间采用千兆多模光纤互联。接入层交换机推荐采用安奈特增强型二层快速以太网交换机AT-8024GB/AT-8026T。AT-8024GB安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nAT-8026TAT-8000快速网管可堆叠交换机能提供优异的性能,简单易用,适用于各种复杂的环境,很好的性能价格比。它具有9.6Gbps无拥塞的交换结构、线速转发数据包、重要队列优先技术等优异的性能,是各企业/园区网络的桌面接入设备的理想选择,可用于坐落在多个楼宇中的小型或中型企业、饭店和学校的网络应用。AT-8024GB交换机具有丰富的千兆扩展能力,除了提供24个固定100TX端口,还带有2个GBI插槽,可插入单口1000T、1000SX短波或1000LX长波GBIC模块。通过千兆长波模块可以提供多种距离的10/25/40/70公里的上联,所有的GBIC都支持热插拔。AT-8024GB丰富的千兆远程接入能力,使企业和园区网络的的构建和扩展更宽广、更灵活。AT-8026T提供2个内置固化的10/100/1000T的千兆铜缆端口,用于上行链路或堆叠的铜千兆(10/100/1000T)端口。支持AutoMDI/MDIX,能够根据需要方便地适应到10M、100M、1000M的速度,提供简便的千兆铜介质连接和提高连接的灵活性。另外,利用安奈特独有的“EnhancedStacking”技术,可以通过这两个铜千兆端口最多连接24台AT-8026T的堆叠单元。通过独有的“EnhancedStacking®”技术,AT-8000交换机能够支持多达24台的堆叠,并且可以和所有AT-8000系列交换机相互混合堆叠,只用一个IP地址即可管理所有堆叠内的交换机。它突破了传统堆叠线缆长度和堆叠数量的限制,同一堆叠中的设备不必在同一个物理位置,能使用在网络设备分散放置的场合。堆叠连接可以利用其固定的100TX端口,或配置1000Base-XGBIC模块,或配置专用堆叠套件,最高能提供2.5Gbps的堆叠带宽。基于MAC的端口级安全性可以防止未授权的工作站访问交换机。基于IEEE802.1w的快速生成树协议(STP)能够实现快速收敛、最小化网络故障时间和最少的数据包丢失,同时AT-8000支持TACACS+和RADIUS验证,可集中管理对大量网络设备的访问控制。另外AT-8000还支持IEEE安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n802.1x端口认证,防止非法用户对网络的访问。冗余电源系统RPS3004,最多可支持4个外部网络设备,提高了容错能力和网络正常工作时间。尽管AT-8000交换机设计成为即插即用设备,但是它也提供了广泛的、无需额外费用的管理功能,包括基于Console、CLI、WEB、SNMP的管理和TELNET。AT-8000丰富的特征包括802.1QVLAN标记和802.1p队列优先技术。AT-8000支持大型网络的微分和区分传输的优先次序。当网络管理者带宽资源紧张或者有必须优先发送的数据时,AT-8000能为这些数据流配置优先传输的优先级。AT-8000同时也支持IEEE802.3ad,提供了最多达到4个10/100M端口或2个1000M端口的聚合。AT-8000提供每端口的自适应和广播风暴控制能力。自动MDI/MDIX功能支持轻松地连接到其他交换机的任何端口。接入层采用AT-8000连接到桌面。对于用户数量比较多,单台AT-8000端口数不够的情况,安奈特的增强型堆叠技术可以解决这个问题,并且可以大大减少网络管理的任务。首先,增强型堆叠技术可以扩展配线间交换机的端口数,以满足官渡区第二中学某些办公楼层高密度接入的需求;同时,通过堆叠的两个或者多个交换机形成一个逻辑的交换机。这样的好处在于:·堆叠可以简化网络的管理。堆叠在一起的所有交换机从网络管理的角度来看,是一个管理单元,而不是多个的管理单元;·堆叠可以让你仅仅通过一个管理会话(managementsession)实现对多个交换机的管理。您可以通过对主交换机的管理会话来实现对处在同一个堆叠的所有交换机的管理;·堆叠可以节省管理IP地址空间,因为所有处在同一个堆叠组的交换机只需要分配一个IP地址就可以实现整个堆叠组的网络管理;·安奈特的增强型堆叠技术可以让交换机更加灵活地布置在网络当中的任意地方,从而摆脱物理线缆长度的束缚,使网络设计和规划更加灵活。安奈特的增强型堆叠技术同时可以提供多个主交换机(Master)设置功能,避免由于单个主交换机失效造成整个交换机堆叠组的无法远程访问。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n在有高密度接入需求的配线间所使用的安奈特接入层交换机AT-8000使用增强型堆叠技术,以提供所需的高密度端口数目。采用AT-8000系列交换机,每个堆叠群组最多能够混合堆叠高达24台交换机,最大能够提供576个10/100Mbps以太网接口,能够以低廉的成本满足高密度的接入需求。同时,安奈特AT-8000系列交换机采用菊花链方式堆叠时,堆叠带宽可以达到全双工2Gbps(“M”系列为全双工2.5Gbps),大大优于其他厂商的同类型交换机。如前所述,和核心层、汇聚层的机房相比,接入层交换机通常会被放置在条件相对比较恶劣的配线间,所以接入层设备在恶劣环境中的稳定性要求非常高。安奈特的所有交换机在出厂前均经过了严格的高温测试,以适应气候复杂多变的中国。在高温测试一项当中,安奈特交换机在承受连续不断的24小时50℃的高温烘烤后仍然能够保证数据丢包率为0。安奈特的交换机在高温下的出色表现,非常适合夏季温度较高的配线间。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n安奈特接入层交换机AT-8000系列采用业界优质的元器件和钢材,结合美国精良的制造工艺,MTBF(平均无故障时间)可达90,000小时——10年。在2002年公安部全国卫星通信网络二期工程项目建设中,安奈特交换机以性能价格比的优势在此项目中中标。此项目全部使用安奈特接入层交换机300台。目前,在新疆维吾尔族自治区部分边远地区县公安局就正在使用公安部配发的安奈特交换机组建县级计算机局域网,并通过卫星数据网从公安部集中接入全国公安信息网。该交换机的开箱合格率为100%,接通率为100%,其可靠性高、适应环境变化能力强及高数据流下的高稳定性,适合西部地区的工作环境和使用、管理特点。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1网络安全1.1网络系统安全体系设计原则为了有效的提高官渡区第二中学网络系统的安全性,我们将遵循以下设计原则:u安全但不影响性能:官渡区第二中学网络系统的客户需要提供高性能的服务,所以在采取任何安全措施都需要考虑性能因素。u全方位实现安全性:安全性设计必须从全方位、多层次加以考虑,来确实保证安全。u主动式安全和被动式安全相结合:主动式安全主要是主动对系统中的安全漏洞进行检测,以便及时的消除安全隐患;被动式安全则主要是从被动的实施安全策略,如防火墙措施、ACL措施等等。只有主动与被动安全措施的完美结合,方能切实有效地实现安全性。u切合实际实施安全性:必须紧密切合要进行安全防护的实际对象来实施安全性,以免过于庞大冗杂的安全措施导致性能下降。所以要真正做到有的放矢、行之有效。u易于实施、管理与维护:整套安全工程设计必须具有良好的可实施性与可管理性,同时还要具有尚佳的易维护性。u具有较好的可伸缩性:安全工程设计,必须具有良好的可伸缩性。整个安全系统必须留有接口,以适应将来工程规模拓展的需要。u节约系统投资:在保障安全性的前提下,必须充分考虑投资,将用户的利益始终放在第一位。通过认真规划安全性设计,认真选择安全性产品(包括利用现有设备),达到节约系统投资的目的。安奈特公司作为以太网产品研发和生产领域的领导者,不但能够为用户提供一个完整的接入、汇聚和核心传输产品线及解决方案,而且在计算机网络系统安全性方面也非常注重。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n安奈特能够提供分布式的全网安全管理解决方案。同时,安奈特网络产品的网络安全性能都通过了ICSA实验室的严格认证。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1设备的安全性在网络系统的安全设计中,设备本身管理的安全性是应首先考虑的,却往往又是人们常常疏忽的。·利用设备本身的多个登录等级,控制不同用户的配置权限。·TACACS+、RADIUS安全认证服务器,加强了对网络设备本身的用户管理。·支持网络地址翻译,使内部网用户IP地址受到掩护。·数据加密技术,加密的IP隧道以及IPSec等技术,更能加强数据的安全控制。1.2网络访问的安全性对网络用户访问的授权控制也是很重要的。基于端口的安全性(PortSecurity)可以有效控制本地工作站的接入,限制非法工作站对网络资源的访问。安奈特的多层交换机AT-SB4000、AT-8700XL和二层交换机AT-8000系列,支持IEEE802.1X,可有效控制本地用户对网络资源的访问。核心多层交换机内置的基于状态检测的防火墙,即通常所指的基于上下文的访问列表(CBAC),可对网络数据流进行IP层、TCP层的访问控制。AAA服务器,控制本地及远程用户的登录访问及支持相应的记帐功能。1.3VLAN的安全性uVLAN的建立,可以控制广播和应用的信息流动,从而防止用户非法在网络上截获其它用户或它们的资源。uVLAN之间的通信可通过AccessList机制,提供IP层、TCP层的访问控制。u利用动态VLAN技术,使移动用户无论位于何处,与之相连的交换端口属于该用户特属的VLAN,既User-basedVLAN安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n,由于需经过用户口令的认证,更增强了VLAN的安全性。1.1IEEE802.1x简介IEEE802.1x称为基于端口的访问控制协议(Portbasednetworkaccesscontrolprotocol)。IEEE802.1x协议的体系结构包括三个重要的部分:SupplicantSystem客户端、AuthenticatorSystem认证系统、AuthenticationServerSystem认证服务器。客户端系统:一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE802.1x协议的认证过程。为支持基于端口的接入控制,客户端系统需支持EAPOL(ExtensibleAuthenticationProtocolOverLAN)协议。认证系统:通常为支持IEEE802.1x协议的网络设备。该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)有两个逻辑端口:受控(controlledPort)端口和不受控端口(uncontrolledPort)。不受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。认证服务器:通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。注意的是,IEEE802.1x协议中的“可控端口”与“非可控端口”是逻辑上的理解,设备内部并不存在这样的物理开关。对于每个用户而言,IEEE802.1x协议均为其建立一条逻辑的认证通道,该逻辑通道其他用户无法使用,不存在端口打开后被其他用户利用问题。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nIEEE802.1x认证系统框架如下图所示:IEEE802.1x应用系统认证如下图所示:安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1数据、语音的IP融合安奈特的VoIP产品系列,可以利用现有的电信网络和数据网络,建设用户需要的VoIP通讯服务,无论是企业用户,还是宽带上网用户,安奈特均有适宜的解决方案帮助他们轻松实现IP语音通讯。根据官渡区第二中学的实际情况,安奈特(中国)网络有限公司推荐在目前规划中,将要建成的网络可以是一个数据、语音、视频融合的单一集成网络。1.1VoIP应用类型建成以后的综合网络系统能够提供两大类型的IP电话系统应用:网内互打与网外互打。网内互打:安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nVoIP电话通讯的发起端与接受端均位于企业内部网络之内,在这种情况下,所有的VoIP数据流均在企业内部网络中传输,可实现通讯费用的大量节省。网内互打的拓扑示意如下图所示:网外互打:VoIP电话通讯的发起端与接受端两者或其中之一位于企业内部网络之外,在这种情况下,所有的VoIP数据流在企业内部网络中传输以后,最终将传送至PSTN网络,可实现以本地电话的费用拨打长途电话。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1VoIP系统设计在官渡区第二中学办公大楼以及其他办公附属建筑设施,如果没有PBX,建议采用VoIP网关或以太网IP电话实现VoIP应用。因各分支机构分布分散,各节点人数不多,每个节点购置PBX较浪费;几个节点共同配置PBX,布线凌乱且不易。最好的办法是采用VoIP网关设备或者以太网IP电话。安奈特VoIP语音网关设备如下图所示:AT-VP604E-FXSAT-VP604FXS是带有4个FXS端口和1个10/100T以太端口,1个PSTN旁路接口的VoIP访问设备。它可以用于将模拟PSTN线路,或传真机和传统PBX系统,关键系统连入IP电话网络。旁路接口在网络发生故障或电源发生故障时被激活。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nAT-VP604FXS被设计为可安装于桌面或配线间,非常适用于在中小型企业中,作为CPE设备接入已建设好的IP语音网络中。AT-VP604E-FXOAT-VP604FXO是带有4个FXO端口和1个10/100T以太端口的VoIP设备。它可以用于将模拟PSTN线路和传统PBX系统连入IP网络。低密度设计的AT-VP604拥有很好的性价比,非常适用于中小型企业,或是作为CPE设备部署在服务提供商,运营商以及系统集成商建设的IP网络中。如果采用以太网IP电话,每部电话有二个以太网端口,一个连接到以太网交换机,另一个连接到PC机。对于整个网络系统而言,不会要求更多的以太网端口,也不需要另外的布线。同时还带来与网络和计算机相结合的更多应用。唯一的缺点就是费用比较高。1.1VoIP系统网络拓扑建成的VoIP应用系统的网络连接如下图所示。图中展示了已有PBX节点的用户与没有PBX节点的用户两种情况下的系统连接拓扑示意。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n对于语音应用来讲,最小的QoS支持所包括的机制应当能够提供如下保证:Ø可靠性,确保在语音数据包的传送过程中不掉包;Ø可预期性,保证语音数据流在传递过程中不产生过度的延迟。语音数据流的传送通常采用小容量数据包,每个数据包范围在80字节至256字节。全速率的语音呼叫消耗大约84kbps的网络带宽,而使用Codec以后,需要的带宽将显著降低。语音数据流的基本需求:n语音数据流不能忍受数据包的丢失以及过度延迟,因为这将严重降低传送给接收用户的语音质量。n对于语音应用,延迟数值应当大致保持为一个常数。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n对于语音流量,完整的端到端的绝对延迟预算最好控制在150ms以内,最大一般不能超过200ms。要避免数据包的丢失以及过度的延迟,应当做到如下几点:ü网络需要提供处理各类流量的策略;ü语音数据流的带宽必须满足最低需求;ü相对于在同一链路上传输的大容量数据包而言,语音数据流需要更为优先的服务。安奈特的模块化多层核心交换机AT-SwitchBlade4000系列和接入二层交换机AT-8000系列所提供的丰富的QoS功能,能够为语音等实时数据流提供端到端的服务质量保证。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1视频的IP融合官渡区第二中学视频会议系统包括:建立官渡区第二中学VOD系统,综合大楼网络中心至各办公大楼及办公附属建筑设施的H.323电视会议系统,能支持双流、双向交互开会、远程教育。流媒体播放系统支持广播和组播,可以连接H.323电视会议系统和VOD系统,对办公大楼进行MPEG-2品质的媒体单向组播,或者进行MPEG-1品质的流媒体单向组播、远程教育。多套可移动桌面H.323交互式视频系统,实现点对点、点对多点可视信息交互。H.323建议是广泛的,也是灵活的,因为下面几个原因,将占据主流市场:IPLAN正变得更加强大,以太网的带宽已从10MBPS扩展至100MBPS,甚至1000MBPS。H.323为现有的企业基础设施(如IP网)建立了多媒体标准,设计时考虑了弥补质量保证(QoS)机制的不足,H.323使用户能使用多媒体应用而无需改变他们网络的基础结构。许多机构已转向了低价的交换网络技术,使得实际上数量不受限制的视频会议会话可以在网上同时进行,同时不降低其它网络应用的性能。当更多的网络服务-----ATMQoS、RSVP、防火墙等----成为可能时,H.323能够提供更多的好处。通过定义设备---设备、应用----应用、厂商----厂商之间的互操作性原则,H.323使得H.323兼容的产品之间能轻易地进行互操作。作为选择,标准也非常灵活地允许厂家自己的功能增强。网络负载能够通过集中或分布的GATEKEEPER进行管理,根据H.323标准,网络管理员能够限定用于视频会议的网络带宽。对MULTICAST的支持也减少了对带宽的需求。H.323提供的不同级别的网络安全机制,包括集中呼叫控制、防火墙、加密等。H.323得到了许多计算机视频会议厂商及组织的支持,包括INTEL、MICROSOFT和NETSCAPE。这些机构的努力将会在市场上产生较大的影响。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n基于以上原因,我们认为视频会议系统可采用基于H.323标准的视频会议组网方案。H.323视频会议系统是基于目前流行的IP计算机网络,IP网络也是Intranet,Extranet和Internet的基础。官渡区第二中学计算机局域IP网络将充分利用系统宽带网的Intranet,Extranet和Inernet基础设施,建成一个在该网络上的集图像、声音、数据三网合一的多媒体协作平台。安奈特模块化多层核心交换机AT-SwitchBlade4000系列、AT-8700XL系列支持丰富的多播和组播功能,包括IGMP、PIM-SM(IP、IPv6)、PIM-DM(IP、IPv6)、DVMRP(IP、IPv6),充分保障实时视频传输多播路由协议的多样性及特殊性要求。同时,安奈特模块化多层核心交换机AT-SwitchBlade4000系列和接入交换机系列还提供丰富的QoS功能,包括流量整形、数据包优先级及RSVP等,对于传输诸如视频等实时数据流提供强有力的端到端的服务质量保证。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1网络管理安奈特(中国)网络有限公司面向中国国内客户,推出了全新全中文图形化网络管理软件,包括网络管理平台AT-SNMPc和设备管理软件AT-ViewPlus,均提供了形象直观的操作界面。1.1网络管理平台AlliedTelesis®的网管软件可以让管理员轻而易举的进行前瞻性网络监控与分析,通过友好的图形界面监控管理所有网络设备,专为网络管理人员定制的丰富灵活的特性可以大大降低网络系统的总体拥有成本。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n对于网络管理平台,本方案推荐使用AT-SNMPc6.0NetworkDeviceManager。SNMPc6.0是一个安全的企业级网络管理系统,可以帮助用户对网络进行前瞻性网络管理分析,监控网络平台以及关键商务应用。SNMPc企业版(SNMPcEnterpriseEdition)可以将其丰富的特性部署于多台计算机上,采用分布式数据库技术,为用户提供一个高性能的网络管理平台,适用于各种规模的和基于不同技术构建的网络平台。SNMPc工作组版(SNMPcWorkgroupEdition)是一种经济版本的SNMPc,适用于采用单一管理节点进行管理的中小规模网络。SNMPc工作组版是一个适用中小规模网络的单用户版本。所有功能只需安装于一台网管工作站上,仅限于一个用户使用。可管理的网络规模限制在1000节点之内。SNMPc工作组版不包含高级报告功能。·高级事件管理;·自动基准线报警·自动网络查找·定制MIB样式(例如监控LAN/WAN利用率)·支持设备特殊应用Devicespecificapplications安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n·支持基于Email/寻呼机/短信等方式的事件通告·支持完整的RMON-1应用集·提供详尽的网络趋势统计报告·监控设备,服务器,应用程序效能·支持分布式轮询代理选项·支持JAVA控制台选项·支持多控制台登陆选项·支持基于Web/打印模式报告选项。·提供可编程接口·实时表单/图形显示·可运行于WindowsXP/2000/NT/ME/98等平台·支持安全的SNMPversion3构建规模可任意伸缩网管系统——用户可以在网络中同时部署多台企业版服务器,服务器按照层次化结构协同工作,这种模式可以帮助用户管理超过25,000节点的大型网络平台,在实际案例中,AT&TBroadband(USA)采用SNMPc工作在这种模式下,管理着超过190,000节点的网络。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n·灵活的管理方式,可在任一节点实现全网的实时管理——采用SNMPc远程访问扩展许可,用户可以无限制的使用远程访问控制台(需安装于Windows操作系统上),这样用户可以在网络中的任意一台工作站上实时监控管理全网的运行状况,使用JAVA控制台功能,网络管理人员只需在任意工作站上Web浏览器上即可通览全网当前运行状况或深入查看任一局部的详尽数据。·安全管理机制——SNMPc提供安全的访问权限分级功能,包括:supervisor:完全访问控制权限;operator(edit):具备SNMPread/write权限以及更改参数的权限;observor:只读权限。SNMPc6.0还允许超级用户根据网络的实际情况划分不同管理人员负责的管理区域和设备。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nSNMPc自从1987年开发以来,全球范围内共售出超过100,000套,在世界市场有着广泛的应用。用户包括世界财富500强、SMEs、MSPs、OEMs等等。如3Com、AT&T、Cisco、HBO、IBM、Intel、Sun、Sony等知名公司均使用了SNMPc网络管理系统。进入中国以来,SNMPc在各行各业也逐渐有了广泛的应用,如公安部、PLA项目、中国城市规划设计院、福建交通学院、东北农业大学、郑州轻工业学院、焦作工学院、新疆宏景集团公司、四川省邮政局、成都卷烟厂、西安市大唐电信研究所、广水一中、达川公安局等等。SNMPc是分布式的通用网络管理平台,可以管理任何厂商的网络设备。对于其他厂商的网络设备,安奈特的全中文网络管理系统能够针对该厂商提供的MIB信息文件,自动分析编译并添加至MIB资源库中,此时就可以对该厂商网络设备所提供特定的网络管理功能进行操作,以达到支持管理该设备的目的。安奈特AT-SNMPc提供多厂商支持,内置几十家厂商的私有设备MIB库,只需要SNMPc一个网管软件就可以管理整个网络,无论网络规模大小,复杂度和有多少种混合厂商设备。如导入MIB后,可管理无线产品。管理第三方设备/图标/MIB时,需要厂家提供的两个文件:Ø设备图标,也可自己定义Ø设备MIB文件通过此方式,SNMPc可以管理任何厂商的设备。AT-SNMPc还可以集成厂商专用的设备管理软件,如AT-ViewPlus,华为的Quidview、CiscoView、CiscoWorksforWindows等,提供对设备的深入详细管理。将复杂的SNMP变量转换成易于理解的表示方式。并以表格、图形等多种方式实时显示数据统计。AT-SNMPc提供全面的RMON1支持,包的捕获和译码功能。AT-SNMPc提供监控设备或应用的响应时间,判断网络瓶颈所在。利用监控基于TCP/IP的应用响应时间及可用性,以前瞻性地监控关键业务的应用。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n下面举例说明安奈特网络管理平台AT-SNMPc对其他设备的管理:1、用SNMPc管理大唐AirExpress3500A2、华为QuidView与SNMPc集成安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n3、对LinkBuider的监控管理安奈特网络管理系统可以针对各种网络设备及服务器等其他可网管设备进行图形化监控管理。一、对交换机的管理:安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n二、对路由器的管理:三、对服务器的管理:安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1设备管理软件推荐官渡区第二中学采用AT-ViewPlus网络管理软件,管理安奈特的全线产品。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n使用AT-ViewPlus,用户可以通过友好的Windows图形界面查看安奈特所有可网管设备的细节信息:显示设备的外观,通过不同颜色标记的端口可以显示当前状态,模块的配置信息,点击端口可以对端口进行信息统计或更改其配置。所有这些工作,都在图形界面中即可完成。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n通过对RMON的统计、历史、警报、事件组的支持,流量分析图表,基于不同尺寸的包分类,错误包分类,以及丰富的实时网络健康分析优化工具,ATViewplus可以让管理员轻而易举的进行前瞻性网络监控与分析。如果与HPOpenView或CastleRock’sSNMPc网管平台相集成,,当网络中的某个节点被发现存在问题时,网络管理人员可以通过寻呼机或Email或是工作站上的弹出式信息窗口得到实时的通告。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n基于Java开发的AT-ViewPlus可以运行在UNIX和Windows等不同的操作系统平台上,在管理大型网络时,可以紧密的与HPOpenView集成,在管理小型网络时,亦可以独立使用。AT-ViewPlus最大的价值在于可以帮助用户降低对网络总体拥有成本,通过高效的监控,分析和配置工具,可以驱动网络管理成本的大幅降低,通过对问题的快速诊断可减低网络宕机成本。而这一切都可以在完全图形化的界面中轻松实现。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1和其他现有设备的兼容问题如果官渡区第二中学现有的设备中有其他厂商的网络产品,那么新设计的网络必须考虑网络的投资保护和不同厂商设备之间的兼容问题。从兼容的角度来讲,主要有以下几个问题需要注意:1.1网络协议兼容新设计规划的网络将全部采用IEEE国际标准的协议,如VLAN的标记方式采用IEEE802.1q(思科的私有标记方式为ISL),路由协议采用OSPF(思科的私有路由协议为IGRP、EIGRP)、静态路由;如果将来要使用VPN,采用L2TP(思科的私有2层隧道技术为L2TF)等。由于安奈特、思科和北电等知名主流厂商的产品均支持以上各种国际标准,因此,官渡区第二中学的所有设备都可以很好地相互兼容和通信。1.2网络管理的兼容问题在网络管理方面,由于采用了安奈特的SNMPc网络管理平台,而该平台是基于开放的网络管理协议进行设计的。所以,尽管官渡区第二中学可能有不同厂商的设备,利用安奈特的SNMPc同样可以对其他厂商的网络交换机进行一定程度的管理和监视。综上所述,本方案将全部采用通行国际网络协议和标准,可以保证官渡区第二中学的网络做到不同厂商的设备之间仍然能够相互兼容,最大限度保护以往的投资。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1安奈特对多媒体应用的支持安奈特为官渡区第二中学构建的是一个多业务的网络平台,除了普通网络数据以外,安奈特产品对网络多媒体的应用有着出色的支持。基本上,多媒体的业务支持主要依赖于以下两个方面:IPQoS和Multicast。1.1QoS1.1.1为什么IPQoS十年前网络技术还处在萌芽阶段之时,Internet上几乎没有什么资源。大多数的人都是利用Gopher来查找需要的信息,然后用FTP下载文件。网络在当时仍然是非常新奇和让人为之激动的事物,所以没有人真正意识到了它的缓慢,也没有人抱怨。然而今天的网络已经发生了天翻地覆的变化,人们不仅仅利用网络和Internet来进行信息共享,而且更多地开始进行网络多媒体应用,例如:VoIP、网上购物、网络游戏、E-learning等等。但是如果没有足够的带宽,一个没有经过QoS保证的网络可能在承载上述多媒体业务时会出现以下问题:Ø某些应用速度太慢;Ø视频广播或者会议可能引起图像的严重停滞、不连贯;ØVoIP语音质量下降或者时延严重;Ø关键的业务处理时间太长(好几十秒);Ø大数据量传输耗时巨大(好几个小时)。为了在有限带宽的前提下,尽可能地为某些时间敏感的业务提供更好的传输保障和服务质量,我们必须在网络中实施QoS,既使现在的网络速度已经可以达到以吉比特(Gigabit)作为带宽单位。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1.1安奈特的完善的QoS机制在对所承载的IP业务的服务质量保证方面,首先,安奈特核心交换机提供了极高的吞吐量和IP路由能力,并且有着极低的转发延迟,从而为诸如声音和图像等传输数据流的应用提供了一条低延迟通道。其次,可以根据统一的策略对不同业务赋予不同的IPCoS(IP服务类别),并且采用基于IETFDifferential-Service规范(IETF规定的在IP骨干上所应采用的第三层服务质量规范,RFC)进行流量标志和分类处理,所有安奈特核心交换机会根据这个流量标志对该流量进行相应服务质量类别的处理,从而保证极佳的IP服务。安奈特核心交换机不仅支持IETFDifferentialService规范,为IP网络业务提供多种服务质量(CoS,ClassofService)等级支持,并且采用8个基于硬件的优先级队列保证传输,因而即使在每秒钟传输上百万数据包时也可以为优先通信提供极低的延迟。另外,它还支持IP多媒体传输的数据流分离排列和优先级,从而提供了一种简单的方法,使你在网络上应用视频多媒体,而且不会发生典型的由于过多通信而造成的性能降低的情况。不仅在核心/骨干节点交换机上安奈特的产品可以保证网络的QoS,在边缘接入节点上,安奈特的汇聚和接入交换机同样具有QoS保障能力。并在硬件基础上实现了对第三层(IP)和第四层(TCP)进行分类和IETFDifferentialService进行标记和标记识别的能力,具有4个硬件优先级队列。同时,安奈特的产品全部支持802.1P(IEEE802.3工作组制定的第二层服务质量支持标准)。802.1P是在以太网交换机上进行第二层优先级服务的最有效的方法,它通过在以太网端口对不同的数据帧打上不同的优先级标识,保证数据帧在第二层的服务质量。1.1.1.1网络接入点的QoS设计如前所述,我们方案中所选用的产品都支持802.1p和DSCP。在数据包进入网络时,可以根据不同情况进行优先级划分和标记。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n可以根据应用设定802.1p优先级标记。如:对VoIP应用设定802.1P最高优先级、对GIS系统设定802.1p中高优先级等,在输出端口保证关键数据的优先通过。同时,可以根据不同的应用(语音、视频等),进行DSCP的识别和标记,以便在数据包到达广域网(带宽较少时)进行QoS控制。还可以根据安奈特设备支持端口限速、线速访问控制、策略路由等特点,依据实际需求进行完善的接入点QoS保障。1.1.1.1骨干网络中的QoS网络中的QoS如何,关键的是能否实现网络中的端到端的QoS,也就是说,必须在网络中的任何一段都有QoS保障。由于安奈特产品间QoS的相互映射能力,使得网络端到端QoS的实现变得简单。具体实现过程如下:安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n如前所述,当数据包进入网络时,由边缘接入交换机根据不同应用在以太网帧头(802.1q包头)标记不同级别的802.1p标记位,同时根据不同应用在IP包头标记不同DSCP标记位。数据帧在接入交换机输出端口输出时,根据802.1p标记进行优先级设定,不同优先级数据进入不同的队列,保证网络关键应用的QoS。当数据帧到达核心交换机后,核心交换机在入口端读取以太网数据帧头的802.1p标记信息,然后根据802.1p信息,对IP数据包进行DSCP的相应优先级标记,然后经交换矩阵送到相应的输出端口;输出端口的ASIC芯片,根据DSCP标记进行分类,保证高优先级数据先输出。此外,安奈特的产品还提供完备的速率限制能力:SwitchBlade4000和安奈特的所有三层交换机都可以在10/100M端口上以64kbps为最小控制粒度,在1000M端口上以2Mbps为最小控制粒度进行端口速率限制。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n所以,利用上述的优先权控制和速率限制,安奈特为多业务网络提供了完美的QoS保证,实现不同业务在同一平台同的“不同对待”。1.1.1.1基于芯片的QoSQoS的实现基础是分类,任何一个数据包在在进行优先级处理时,首先要做的就是对数据包头进行分析,读取标记(分类信息),然后按类分配队列,进行交换/传输处理。传统的分类方法都是基于软件操作系统和CPU进行的。每一个数据包到达后,由CPU读取包头信息、根据配置信息对包头进行重新打标记,然后进行交换。这种实现方式的弊病在于,当交换数据量过大时,CPU负载将急剧上升,从而导致网络性能下降。安奈特的网络产品通过专有ASIC芯片解决了这个问题,都是通过在交换机I/O板卡上加载专有ASIC芯片,由ASIC芯片负责对数据包包头的分析、标记和重组,大大减少了CPU的负载,保证网络的QoS。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1组播1.1.1为什么组播随着网络应用的日益普及和多元化,学校、企业和公司要求能够在网络里进行如视频会议和电子教学等等多媒体的应用。这些应用有着两个相同的特点:非常消耗带宽、数据流具有点对多点性。正由于这两个特征,传统的Unicast和Broadcast都不适合。下图是一个利用Unicast进行视频数据流播放的特点。服务器向每个需要接收视频节目的主机逐一建立会话,假如每个视频流所消耗的带宽为1.5Mbps,那么如果有100个用户需要同时接收视频,那么在骨干网上最大将消耗掉100x1.5Mbps=150Mbps的带宽!因此,若采用Unicast来作为视频节目的播发方式将会重复地、无谓消耗骨干网的带宽。那么,为了避免多次反复地播发数据流,是不是可以利用广播方式来一次分发呢?下图是广播方式的情况。与Unicast不同,广播不会反复多次地消耗骨干网络带宽,因为服务器一次分发数据以后,所有的用户不管是否需要接收该视频节目都可以收到。这样的坏处是占据了非视频接收者的用户端资源和相应交换机端口的带宽。由此看来,广播也不能彻底地解决视频播放这一类的问题。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n因此,只有组播才能够真正解决以上矛盾。在支持组播的网络中,服务器向一个组播IP地址分发出一个视频数据流,客户端决定是否接受该视频信号。IP组播是指一个IP报文向一个“主机组”的传送,这个包含零个或多个主机的主机组由一个单独的IP地址标识。主机组地址也称为“组播地址”,或者D类地址。除了目的地址部分,组播数据包与普通数据包没有区别,网络尽力传送组播报文但是并不保证一定送达。因此,通过组播来实现多媒体业务的开展,有如下优点:·提高效率——由于多在Unicast情况中出现的多条数据被一条数据流而取代,因此可用的网络带宽的利用率更加有效;·提高了性能——这是因为服务器不需要多次重复分发同一数据流,因此服务器的资源也得到了节省;安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n·分布式的应用——因为随着需求和使用率的增加Unicast的扩展性变得非常不好,所以多点应用几乎不可能。1.1.1安奈特的组播解决方案安奈特的交换机和路由器在组播方面有着出色的表现。安奈特提供PIM-DIM/SM、DVMRP、IGMP、IGMPSnooping等多种组播协议,以确保在网络中所有环节都能够得到做到组播支持,向高级企业用户提供端到端的组播支持。组播路由协议的主要任务就是构造组播的分布树,使组播分组能够传送到相应的组播组成员。根据对网络中的组播成员的分布和使用的不同,组播路由协议分为两类:密集模式路由协议(DM)和稀疏模式路由协议(SM)。DM路由协议通常用于组播成员较为集中、数量较多的网络的大部分用户、并且有足够带宽的网路环境,比如公司或园区的局域网。因此,DM路由协议用定期广播组播报文的方法维护组播分布树。DM协议只使用源分布树(SPT),组播流量被广播到网络中所有的组播路由器。安奈特支持的DM路由协议有:ØDVMRP:距离向量组播路由协议。这是一种基于距离向量算法的组播路由协议。ØPIM-DM:协议无关组播协议-密集模式。它不需要单独的组播协议,利用路由器上单播路由协议的路由表作反向路径转发检查,由此获得组播分布树。相比另两种协议,PIM-DM的开销要小很多,它用于组播源和目的非常靠近、接收者数量大于发送者数量并且组播流量比较大的环境中效果很好。在网路中稀疏分布、网络也没有充足带宽的情况,如广域网环境,可以使用SM路由协议。因此,SM路由协议采用选择性的建立和维护分布树的方式,由空生成树开始,仅当成员显式的请求加入分布树才做出修改。安奈特支持的SM路由协议有:·PIM-SM:协议无关组播协议-稀疏模式。工作原理与PIM-DM类似,但专门针对稀疏环境优化。适用于组播组中接收者较少、间歇性组播流量的情况。不同于PIM-DM的广播方式,PIM-SM定义了一个集合点(RP),所有的接收者在RP注册,组播分组由RP转发给接收者。IGMP协议由主机成员关系协议发展而来,目前安奈特支持两个版本的IGMP:IGMPv1(RFC1112),IGMPv2安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n(RFC2326)。主机使用IGMP消息通告本地的组播路由器它想接收组播流量的主机组地址。如果主机支持IGMPv2,它还可以通告组播路由器它退出某主机组。组播路由器通过IGMP协议为其每个端口都维护一张主机组成员表,并定期的探询表中的主机组的成员,以确定该主机组是否存活。此外,对于二层交换机,安奈特支持IGMPSnooping。综上所述,安奈特能够在一个企业网络里提供端到端的组播保证。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1网络设计特点官渡区第二中学准备建设网络应用系统,对建成的系统要求具有实用性与先进性结合、高性能、高可靠性、可灵活部署QoS特性、易维护性、易管理性、良好的可扩充性和兼容性等要求,能够为各种教学应用系统、MIS、OA及多媒体等系统提供强有力的网络支撑体系。具体来讲,官渡区第二中学的计算机网络系统具备如下的技术需求:☆实用性建立官渡区第二中学计算机网络系统的出发点应基于目前各种教学应用系统、MIS、OA及多媒体系统的功能需求和未来发展的需要。这就决定了它应具有很强的实用性。在首先满足官渡区第二中学内部各部门数据通讯需求的基础上,实现各层次信息处理部门及管理部门的信息的无缝连接,并且在业务需求的基础上,能够不断地扩充和完善。局域网系统中最主要的功能实现是划分VLAN且提供VLAN间通信。对于VLAN的划分方式,AT-SB4000除了支持802.1Q及基于端口的VLAN划分标准外,还支持基于协议,基于IP子网,基于MAC地址的VLAN划分方式。AT-8000可非常方便的支持用户定义的VLAN、MultipleVLAN及802.1QMultipleVLAN。AT-SB4000和AT-Rapier可提供多台热备份服务器资源的负载均衡,可以基于TCP、路由、HTTP及SSL实现资源组的负载均衡。AT-SB4000还提供HTTP/SMTP代理服务器的功能,方便用户的资源访问策略设置。☆先进性官渡区第二中学计算机网络必须采用先进成熟的概念、技术、方法和设备,既反映当前最先进的水平,又具有发展潜力,将网络通讯等各项单元技术有机地集成,发挥整体效益。IPv4将逐步演变成IPv6体系,安奈特所有交换机和路由器目前已经全面支持IPv6,提供对IPv6的完整网络配置运行环境。☆高性能安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n网络的性能必须满足应用的需求,项目要求能够实现各种教学应用系统、MIS、OA及多媒体等复杂应用,因此网络性能必须满足甚至超越既定目标,以保护用户投资。各种教学应用系统、MIS、OA服务器保存全校所有业务及管理数据,数据重要性极大。这样的大容量的关键数据对网络设备的性能要求极高。AT-SB4000产品定位对应于CiscoCatalyst6500系列,使用了500MHz主频的PowerPC中央处理器,采用分布式系统设计,除了引擎以外,所有的线卡模块均具有本地的L2/L3/L4层处理能力,线卡模块能够随时保持与引擎的转发信息同步,实现高速的本地L2/L3/L4交换,整机能够提供384/192Gbps的交换矩阵,提供288/144Mpps的二/三/四层交换容量,而且,随着线卡数量的扩充,系统整体的性能也随之线性扩充。同时,AT-SB4000的每一个线卡模块与交换矩阵的全双工连接,确保所有的接口能同时工作在全双工线速的状态,提供完全线速的无阻塞交换。AT-8000背板带宽高达9.6Gbps,确保系统提供高性能。☆高可靠性官渡区第二中学计算机网络投入使用后,将为各级业务部门提供全天候、全过程、全方位的信息服务,这就要求系统必须可靠地连续运行,网络系统须支撑7*24小时的应用。所选设备应充分考虑冗余、容错能力,并配以稳定可靠的备份设备,在万一出现局部故障时应不影响网络其他部分的正常运行。首先,AT-SB4000可以提供引擎、电源的冗余配置,支持核心交换机间虚路由冗余协议(VRRP/EVRRP),提供设备级容错性能;其次,AT-SB4000支持802.3ad链路聚合技术,每个汇聚组能包含最大16个GE接口,28个FE接口,提供链路级冗余设置。这些冗余措施能够确保引擎、电源、线卡或某条物理链路发生故障时不影响网络的正常运行。高可靠性,最大平均无故障时间(MTBF):AT-SB4108>300,000hrsAT-SB4104>300,000hrsAT-SB4211>300,000hrsAT-SB4161>300,000hrsAT-SB4411>300,000hrs安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\nAT-SB4441240,480hrsAT-SB4451/4452462,600hrsAT-SB4461/4462>300,000hrsAT-SB4412357,000hrsAT-SB4311>300,000hrsAT-SB4352987,840hrsAT-SB42612,794,670hrsAT-SB42621,847,040hrsAT-SB4541330,000hrs☆可灵活部署QoS官渡区第二中学计算机网络必须实施完整的QoS策略。首先,在网络的边缘,实施数据流的优先级分类,除了IP优先级标记之外,AT-8800在每个物理端口提供了4条硬件优先级队列,AT-SB4000在每个物理端口提供了高达8条硬件优先级队列,能够提供最大128级流量分类,能够支持以64Kbps为粒度的双向带宽限制;其次,在网络的中央提供拥塞控制,结合ToS、DSCP实现RED,WFHBD算法,确保高优先级的数据流得到传送;最后,在网络的出口,采用不同的调度策略(WRR、StrictPriority),结合带宽控制功能,实现预期的QoS调度机制。☆可扩充性网络设计不但要保证目前网络传输容量的要求,也要考虑今后网络的发展,便于向新技术的升级与衔接。要留有扩充余量,包括端口数量和带宽的升级能力。AT-SB4004能够扩充至双引擎,双电源,整机可支持192Gbps分布式交换矩阵,144Mpps分布式交换容量。对于接入用户数量的增长,可使用接入二层交换机AT-8800系列或者AT-8000系列。AT-8000系列每个堆叠组中可以提供高达2304个100Mpbs以太网接入,提供2.5Gbps全双工的菊花链堆叠带宽。☆安全性充分整合现有的所有资源,构筑最安全的网络结构。必须确保官渡区第二中学计算机网络的安全性。因此,在系统建设中应采取多层次的安全保护措施,信息的共享具有严格的保密级别和用户权限。通过提供用户名/口令、权限控制、数据加安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n密、备份等安全策略,以满足系统身份鉴别、访问控制、系统可用性、数据完整性、保密性等安全服务要求,保护系统及其硬件、软件、数据等免遭破坏、篡改或泄露。同时还要保证用户能够正常使用系统中的共享资源,提供应有的信息服务。AT-SB4000除了从传统的VLAN安全性、设备级安全性、网络访问控制安全性方面部署防范措施外,还提供内置的状态检测防火墙功能,从而实现分布全网的安全特性。本方案所推荐的所有三层交换机为商用网络或企业网络提供集高性能,安全,灵活于一身的解决方案,内置入侵检测系统和报警系统,对于流经防火墙的所有流量进行逐包的动态访问控制(状态检测),有效防御种类繁多的拒绝服务攻击(DoS),包括PingofDeath,Smurfattacks,端口扫描,fragmentattacks和IPSpoofing等。同时,网络设备自动发送警报信息,启动对应的防御措施。☆规范性安奈特所有网络产品及所采用的技术、协议、接口在保护现有设备投资的基础上,完全符合相关国际标准以及工业标准。☆易管理性一个可靠运行的网络系统,需要有强有力的网络管理手段,从而方便的对网络资源进行集中配置、调整与监控。安奈特所有三层交换机和路由器均可保存多个配置文件,可以方便的进行配置文件的上传下载及本地备份,提供了本地文件编辑工具Edit,可以直接对配置文件的内容进行批量操作。AT-SB4000在机箱的后面板上提供了两个受软件控制的报警器,一个作为主报警器,一个作为从报警器。每个报警器有3路接线,可以连接到共用的(COM),正常打开的(NO)和正常关闭(NC)连接头。用户可以自己配置多种条件来触发报警,包括:电扇停转报警,拔卡报警,插卡报警,PSU故障报警,命令端口激活报警,端口关闭报警,CPU温度过高报警等等,能够非常方便的自定义关键事件告警,简化了网络监控管理工作。☆互连互操作性安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n从网络建设的发展考虑,各种网络设备,以及不同的传输介质,不论是否来自同一厂商,是否属于同一品牌,其产品以及所采用的相关技术,都要有良好的互连性以及互操作性。安奈特作为国际技术支持联合会(TSAnet)的成员,确保向用户提供的都是标准兼容的,可互操作的产品,充分保障现有投资的可用性和连续性,同时提供向未来升级扩展的手段。1.1系统的开放性官渡区第二中学计算机网范围广、用户数众多、涉及的技术和产品众多,因此保证系统的开放性是非常重要的。在这样一个前提下,强调开放性就需要注意以下几个问题:n方案选择的产品是否符合现有的国际标准;n方案选择的产品是否是可升级的,在新的标准出现以后,系统可否升级到新的标准。n系统的整体可管理性和安全性。n厂商在相应产品和技术领域内的地位和参与标准化的能力。1.2可扩展性和战略上的灵活性网络规模和信息应用正以前所未有的速度发展,因此系统扩展性应从两方面考虑:·规模的扩张。用户的增加和速度的提高,要求主干网的带宽有相当大的增长空间;·支持新应用的能力。INTERNET网络的进一步发展,将改变众多我们习以为常的生活方式:IP电话、视频会议、视频点播、虚拟社区、网上购物等等。达到多种应用合一的统一网络的主要条件是带宽、策略、端对端的控制能力和价格。而这些正是我们的优势所在:由于从网络边缘到网络核心的网络产品线最全,我们能够提供端对端的控制能力和网络策略;·多级容错和高可靠性;·中心交换设备的接口模块,电源模块,风扇等都需要支持冗余,中心交换设备应无单点故障;·链路级容错;·机箱式设备支持模块热插拔;·支持冗余电源系统;安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n·路由级容错能力,如支持IP的动态路由等;·应用级容错能力,如采用热备份双机冗余系统等。1.1系统的安全性通过划分VLAN,结合使用核心多层、边缘接入交换机和路由器等的过滤器、防火墙功能、用户认证和VPN技术,加强系统的安全性。根据网管中心、企业级用户和一般用户对安全性的不同需要和连网方式的不同,需要采用不同的安全策略和保护手段。1.2一体化的网络管理随着网络规模的扩大和系统复杂程度的增加,网络管理和故障排除就变得越来越困难。本方案将提供先进而完善的网络管理工具。可以通过友好的Windows中文图形界面查看安奈特所有可网管设备的细节信息:显示设备的外观,通过不同颜色标记的端口可以显示当前状态,模块的配置信息,点击端口可以对端口进行信息统计或更改其配置;可自动查找网络所有的设备并且精确地依据设备间的路径关系绘制出拓扑结构图。在显示设备工作状况的同时,还会显示出设备间连接链路的状态,管理人员可以通过观察整体连接图,即刻掌握所有的网络链路、广域链路、备份链路工作状态;可以监视广域链路、服务器、应用程序的响应时间,往返通讯延迟,一旦这些时间超过了设定的阈值,安奈特网管系统会自动生成警报通告管理人员。通常的网络报告往往存在难以建立、难以管理维护的问题。安奈特网管系统可以针对所采集的数据进行自动的分析和整理,可以让网管人员仅通过单击接口即可生成报告,报告可以自动打印、保存或是在服务器上发布,网络管理人员就可以从繁杂的网络数据分析整理工作中解放出来。这些报告将作为未来网络优化、扩容的依据。在今天复杂的网络环境中,存在着来自很多厂商的各类网络产品。为了能够高效安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n地管理所有厂商的设备,安奈特网管系统支持包括安奈特在内的80多个网络厂商,同时安奈特网管系统还提供了一个自动面板生成器。这个生成器可以自动地创建任何支持标准SNMP的网络设备的图标,并显示其端口数量和类型。通过菜单,用户可以方便地对设备的图标进行自定义修改。1.1设备的先进性与成熟性当今世界,通信技术和计算机技术的发展日新月异。本方案适应新技术发展的潮流,既兼顾了技术上的成熟性,同时也保证了系统的先进性。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1售后服务承诺及培训1.1售后服务面对中国网络市场日新月异的迅猛发展局面,安奈特公司自进入中国市场的第一天开始便敏锐地意识到只有面向用户,给用户可靠、快捷、有效的长期服务和支持,才是进一步发展的关键。ATI安奈特公司在这方面的一贯方针是务实,努力,为客户着想。为此我们从进入中国市场的第一天开始便努力建筑一套全国性完善的服务支持体系,凭着这一体系,安奈特公司给遍布全中国的客户提供了最高品质的服务和支持。此外,安奈特公司还为客户直接提供以下技术支持和服务。我们目前已在北京、上海、广州、成都和武汉等地建立了售前、售后服务支持中心。资深的网络工程师根据客户的具体应用环境,从最近的中心给客户提供各项完善的支持和服务。此外,安奈特(中国)网络有限公司还是国际技术支持联合会(TechnicalsupportAllianceNetwork(TSANet))的网络成员,这一联盟目前由全世界75个主要的计算机公司组成,联盟成员共同解决不同厂商设备之间的互操作问题,以保护用户的投资。作为世界知名的网络公司,安奈特(中国)网络有限公司有严格的选择合作伙伴及代理商的标准,对其技术能力、市场能力、财务状况、客户信誉、客户服务水平等方面都具有严格的审查。安奈特(中国)网络有限公司选择实力雄厚的系统集成商合作,而这种合作不仅限于销售方面,同时亦形成了相互支持的售后服务合作伙伴关系。这些售后服务合作伙伴利用它们在全国各地的分公司和办事处,对安奈特(中国)网络有限公司的产品进行本地支持、系统维护和服务。安奈特(中国)网络有限公司根据它们的资质、技术实力、客户经验等情况颁发特约服务中心资格证书,并每季度对其工作进行考核,并经常举行各类技术培训。目前安奈特(中国)网络有限公司在全国各地有近百名认证工程师,这是安奈特(中国)网络有限公司能迅速进入中国市场的基础所在。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n根据用户的需要,安奈特(中国)网络有限公司的代理商公司及系统集成商向用户提供远程维护(采用Email指导、电话指导或远程登录)和现场故障抢修两种技术支援方式。安奈特(中国)网络有限公司对代理商公司及系统集成商提供直接的技术支持。(1)安奈特(中国)网络有限公司通过网站建立服务支持电子信箱:support@Alliedtelesis.com.cn,代理商及系统集成商如有任何问题,可随时进行咨询并得到答复;安奈特(中国)网络有限公司将根据故障报告内容进行电话指导或远程维护。(2)安奈特(中国)网络有限公司设有网上问题处理数据库FAQ,可由安奈特(中国)网络有限公司的任何一位工程师在接到问题反馈且自身无法直接解答时,将有关问题通报安奈特(中国)网络有限公司网上问题处理中心,将问题升级,最高可升级到该相关模块的研发项目组进行处理,以便提高服务请求的追踪和反应速度。(3)设备出现紧急故障时,需方值班人员应立即通知安奈特(中国)网络有限公司代理商及系统集成商,安奈特(中国)网络有限公司将对代理商及系统集成商提供背对背的技术支持。安奈特(中国)网络有限公司对设备的运行、维护情况进行跟踪记录并建立用户档案。(4)如果安奈特(中国)网络有限公司代理商及系统集成商无法解决用户服务请求,将申请由安奈特(中国)网络有限公司地区或总部进行支援服务。如果确实必要,可以派工程师到现场支持。(5)当出现故障板件时,买方可在安奈特(中国)网络有限公司代理商及系统集成商处更换好的板件。保修期内维修费用由安奈特(中国)网络有限公司负责;在保修期满后,根据双方签定的支持服务协议,安奈特(中国)网络有限公司对板件维修收取费用。1.1.1设备保修安奈特(中国)网络有限公司本着用户至上的原则,凭借雄厚的技术实力及遍布全国的服务网络,承诺给买方提供及时、高效、可靠的售后服务。(1)服务范围安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\na、故障电路及其它损坏设备的修理;b、备板备件的购买;c、对系统问题的咨询服务;d、重大故障或特殊故障的紧急远端或现场抢修;e、其它必须的技术服务(例如定期或专门的软件、硬件的版本升级);f、新版本技术资料、产品手册的提供。(2)产品质量保证A、供方保证在网上运行的设备符合买方的技术规范要求;B、供方保证在网上运行设备软件的一致性;C、供方承诺对软件的完善、升级负责;D、保修期内产品质量保证:在保修期内,需方应安排受过培训的合格人员按照用户手册对设备进行维护操作。由于供方提供的设备或软件有缺陷,供方负责免费更换或升级有缺陷的设备和软件。若由于火灾、水灾、电磁串入、强雷击、强电等不可抗拒原因造成产品设备损坏,供方负责维修,费用由需方承担。E、保修期已满后产品质量保证在保修期满后,供方继续为设备提供修理和维护,对软件的完善、升级负责。F、保修期外服务计划:可以采取两种方式:1)签定追加保修,按年购买保修;服务内容、方式和保修期内一致。2)不购买追加保修,每次服务将单独收取费用。其它服务可由双方协商确定。1.1.1服务种类及相应时间安奈特公司承诺基于下述故障分类及处理要求提供服务。一级故障:主要指设备在运行中出现系统瘫痪或服务中断,导致设备的基本功能不能实现或全面退化的故障。响应时间:0.5小时;(从报告故障到着手解决故障的时间)安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n系统恢复时间:5小时;(从报告故障到系统功能、服务恢复的时间)解决时间:48小时;(从报告故障到完全解决故障根源的时间)二级故障:主要指设备在运行中出现的故障具有潜在的系统瘫痪或服务中断的危险,并可能导致设备的基本功能不能实现或全面退化。响应时间:0.5小时;(从报告故障到着手解决故障的时间)故障恢复时间:8小时;(从报告故障到解除系统潜在危险的时间)解决时间:72小时;(从报告故障到完全解决故障根源的时间)三级故障:主要指设备在运行中出现的直接影响服务的故障,导致系统性能或服务的局部退化。响应时间:1小时;(从报告故障到着手解决故障的时间)系统恢复时间:10小时;(从报告故障到恢复系统性能或服务的时间)解决时间:120小时;(从报告故障到完全解决故障根源的时间)四级故障:主要指设备在运行中出现的,断续或间接地影响系统局部功能和服务的故障。响应时间:2小时;(从报告故障到着手解决故障的时间)系统恢复时间:12小时;(从报告故障到恢复系统功能和服务的时间)解决时间:168小时;(从报告故障到完全解决故障根源的时间)五级故障:主要指设备在运行中出现的故障、告警,具有潜在影响系统局部功能和服务的故障,但系统还可正常运营。响应时间:2小时;(从报告故障到着手解决故障的时间)故障恢复时间:24小时;(从报告故障到解除潜在影响的时间)解决时间:240小时;(从报告故障到完全解决故障根源的时间)1.1.1备件先行计划安奈特公司在国内多处都设有自己的备品备件库,其中包括位于深圳的安奈特(中国)研发中心的备件库。对本项目中由于我公司产品故障而引起的换货,安奈特公司承诺事先提供备品备件服务,以保证系统的最短修复时间及正常运营。安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n1.1.1软件免费补丁及升级条款安奈特公司承诺对局域网交换机和路由器产品提供终生免费提供最新软件和补丁、承诺终生免费提供交换机、路由器产品的系统升级。1.1.2技术支持中心TAC为了向广大的用户提供更有效的维护服务技术支持,安奈特公司在北京成立了技术支持中心(TAC)。该中心目前已经具备近十名工程师,并具备故障模拟实验室。在中国,安奈特为用户提供一周七天,每天二十四小时的技术支持服务。为用户解决售前和售后的技术问题。所有的工程师都已经从事多年网络产品的技术支持工作,并根据用户类型的不同组成不同的用户小组以提高工作效率,缩短反应时间。我们能够提供故障诊断、故障排除、技术咨询等全方位的技术支持服务。当安奈特合作伙伴或者最终用户的技术人员在操作现场遇到无法解决的技术问题时,可以通过安奈特的技术支持中心得到远程技术支持,甚至包括远程诊断和故障排除(RemoteTroubleshooting)。安奈特TAC的7´24小时热线电话是:8008101762。1.2技术培训从对用户负责的角度出发,合同签定后,用户可安排工程师参加由安奈特公司提供的免费培训(国内培训)。我公司提供的培训(国内培训)包括基础培训和设备系统管理培训,使他们掌握整个计算机网络系统管理的概念及具备一定的维护开发技巧。1.2.1系统维护工程师现场培训安奈特公司对本项目的系统维护工程师的培训由安奈特公司的专职培训讲师或者合作伙伴技术工程师现场提供。网络基础知识:安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n·安奈特系列产品SwitchBlade4000、AT-8000、AR450S的安装调试;·ATI路由器的安装调试;·ATI网络产品软件的使用培训;·VPN技术的实现及配置方法;·网络管理的基础知识;·ATViewPlus和SNMPc的安装调试;系统维护技巧,包括内容如下:·网络系统的测试;·网络系统的故障诊断;·网络系统的日常维护。1.1.1ATI认证工程师培训安奈特意识到在中国用户培养出一批安奈特网络产品的技术人才和专家无论对用户本身还是安奈特在中国的长远发展都有非常积极的作用,因此还在中国开展了认证工程师的培训。官渡区第二中学可以根据需要选择安奈特的认证工程师培训:·安奈特认证产品专家(AT-CPS)(AlliedTelesyn-CertifiedProductSpecialist)对象:代理商经销商的销售人员、售前工程师和行业大客户等目标:了解基础网络知识;熟悉安奈特公司的主流产品系列;有能力根据客户要求选择、推荐和使用安奈特产品进行组网设计。时间:1天学费:1000·安奈特认证系统工程师(AT-CSE)培训和认证(AlliedTelesyn-CertifiedSystemEngineer)对象:售后工程师和网络管理员等目标:全面了解各种网络协议及通讯技术;深入了解安奈特产品特性及应用对象;能够独立安装调试安奈特广域网、局域网的网络产品。时间:3天安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–\n学费:3000元(含教材和午餐,外地学员交通食宿自理,安奈特公司提供协助安排)·安奈特认证高级系统工程师(AT-CSSE)(AlliedTelesyn-CertifiedSeniorSystemEngineer)对象:资深系统工程师和具备一定基础希望继续深造的网络工程师等目标:深入理解TCP/IP网络协议和VPN等安全通讯技术;能够熟练使用安奈特主流网络产品设计安装运行大型综合性网络工程。时间:5天学费:5000元(含教材和午餐,外地学员交通食宿自理,安奈特公司提供协助安排)安奈特(中国)网络有限公司成都办事处AlliedTelesis(China)Ltd.ChengduBranch–113–