某市寬帶IP網(wǎng)絡(luò)設(shè)計方案

1、 .PAGE29 / NUMPAGES29XX市寬帶IP網(wǎng)絡(luò)方案2000年9月前言網(wǎng)捷網(wǎng)絡(luò)公司非常榮幸能為XX市寬帶網(wǎng)提供解決方案。針對XX市的實際情況，我們推出了全面采用FOUNDRY公司產(chǎn)品組成的解決方案，利用屢獲大獎的BigIron 8000第三層交換機、BigIron 4000第三層交換機和FastIron交換路由器，組成一套可以在現(xiàn)有光纖系統(tǒng)上提供高速傳輸?shù)木W(wǎng)絡(luò)系統(tǒng)。FOUNDRY公司的系列產(chǎn)品在國外均已大量使用并深獲好評，相信也能在XX市的使用中發(fā)揮其一貫的穩(wěn)定可靠、易用易管理、高性能的特點，保障XX市寬帶網(wǎng)絡(luò)的連續(xù)運行。 本方案采用的骨干設(shè)備是FOUNDRY BigIron 80

2、00，每臺有8個網(wǎng)絡(luò)模塊插槽。接口模塊有有多種類型可選，根據(jù)實際需要加以配置。本方案采用的邊緣設(shè)備是BigIron 4000，每臺有4個網(wǎng)絡(luò)模塊插槽。本方案采用的樓域用戶接入設(shè)備主要是FOUNDRY FastIron 工作組交換機。骨干節(jié)點和邊緣節(jié)點之間用千兆以太網(wǎng)連接?？梢蕴峁└咚俚腡CP/IP，NOVELL IPX，WINDOWS NT，WINDOW98/95網(wǎng)絡(luò)互通。目錄 TOC o 1-4 第1章 項目描述 PAGEREF _Toc494109850 h 51.1 項目概況 PAGEREF _Toc494109851 h 51.2 建設(shè)圍 PAGEREF _Toc494109852 h

3、 51.3 營運級寬帶網(wǎng)絡(luò) PAGEREF _Toc494109853 h 5第2章 XX市寬帶網(wǎng)解決方案 PAGEREF _Toc494109854 h 72.1 主干技術(shù) PAGEREF _Toc494109855 h 72.2 設(shè)備選型 PAGEREF _Toc494109856 h 72.2.1 網(wǎng)絡(luò)主干設(shè)備的系統(tǒng)結(jié)構(gòu) PAGEREF _Toc494109857 h 7交換結(jié)構(gòu) （Switching Fabric） PAGEREF _Toc494109858 h 8阻塞與非阻塞配置 PAGEREF _Toc494109859 h 8采用何種方式實現(xiàn)第3層和第4層的處理 PAGEREF

4、_Toc494109860 h 92.2.2系統(tǒng)容量 PAGEREF _Toc494109861 h 102.2.3關(guān)鍵部件冗余設(shè)計 PAGEREF _Toc494109862 h 102.2.4緩沖技術(shù) PAGEREF _Toc494109863 h 102.2.5系統(tǒng)結(jié)構(gòu)的技術(shù)壽命 PAGEREF _Toc494109864 h 112.3選型結(jié)論 PAGEREF _Toc494109865 h 122.4XX市寬帶網(wǎng)組網(wǎng)方案 PAGEREF _Toc494109866 h 132.4.1網(wǎng)絡(luò)拓撲結(jié)構(gòu) PAGEREF _Toc494109867 h 132.4.2骨干節(jié)點 PAGEREF

5、_Toc494109868 h 132.4.3邊緣節(jié)點 PAGEREF _Toc494109869 h 132.4.4接入層節(jié)點 PAGEREF _Toc494109870 h 142.4.5用戶接入 PAGEREF _Toc494109871 h 142.5方案特點 PAGEREF _Toc494109872 h 162.5.1 全部第三層功能的主干交換網(wǎng)絡(luò)結(jié)構(gòu) PAGEREF _Toc494109873 h 162.5.2完善的接入安全性 PAGEREF _Toc494109874 h 162.5.3與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc494109875 h 162.5.4 良好

6、的網(wǎng)絡(luò)隔離能力 PAGEREF _Toc494109876 h 172.5.5 完善的設(shè)備安全性 PAGEREF _Toc494109877 h 182.5.6 良好的網(wǎng)絡(luò)穩(wěn)定性 PAGEREF _Toc494109878 h 182.5.7良好的網(wǎng)絡(luò)擴展性 PAGEREF _Toc494109879 h 192.5.8良好的可管理性 PAGEREF _Toc494109880 h 192.5.9服務(wù)質(zhì)量保證 PAGEREF _Toc494109881 h 19第3章 業(yè)務(wù)描述 PAGEREF _Toc494109882 h 213.1 用戶接入Internet PAGEREF _Toc494

7、109883 h 213.2 用戶局域網(wǎng)高速互連 PAGEREF _Toc494109884 h 233.2.1 企業(yè)用戶VLAN組網(wǎng) PAGEREF _Toc494109885 h 233.2.2 企業(yè)用戶IP VPN組網(wǎng) PAGEREF _Toc494109886 h 243.3 用戶建立與其訪問控制 PAGEREF _Toc494109887 h 253.4 用戶隔離與基本認證 PAGEREF _Toc494109888 h 25第4章 網(wǎng)絡(luò)管理 PAGEREF _Toc494109889 h 264.1 網(wǎng)管中心的設(shè)置和職責(zé) PAGEREF _Toc494109890 h 264.1.

8、1 節(jié)點維護管理終端 PAGEREF _Toc494109891 h 264.2 網(wǎng)管中心的功能 PAGEREF _Toc494109892 h 27項目描述項目概況XX市電信根據(jù)自己的技術(shù)和資源優(yōu)勢，決定建立一個高帶寬、高速率的信息傳輸網(wǎng)，為用戶提供數(shù)據(jù)運載服務(wù)與信息服務(wù)。網(wǎng)絡(luò)覆蓋全市的 各個區(qū)，可以為用戶提供以IP為基礎(chǔ)的新的數(shù)據(jù)業(yè)務(wù)，如寬帶接入、電子商務(wù)、視頻傳輸、多點廣播、視頻點播、協(xié)同設(shè)計、桌面會議電視、遠程醫(yī)療、遠程教育的各種信息服務(wù)。XX市寬帶IP城域網(wǎng)可為用戶提供以下服務(wù)：利用該項目網(wǎng)絡(luò)的帶寬優(yōu)勢，提供保證質(zhì)量的多媒體應(yīng)用。為分散經(jīng)營的企業(yè)集團建立虛擬專用網(wǎng)，以便統(tǒng)一管理其資產(chǎn)

9、、物資、資金、市場、人事等。高中、職業(yè)高中、初中、小學(xué)、幼兒園為服務(wù)對象、建立普通教育或義務(wù)教育專用網(wǎng)。向家庭用戶、機關(guān)團體提供多媒體形式的信息查詢、國際聯(lián)網(wǎng)、視頻點播等信息服務(wù)。建設(shè)圍XX市寬帶IP城域網(wǎng)由3個骨干節(jié)點、15邊緣節(jié)點和多個接入節(jié)點組成，覆蓋XX市各區(qū)縣。營運級寬帶網(wǎng)絡(luò)根據(jù)XX市寬帶網(wǎng)的要求，本網(wǎng)定位為營運級的寬帶網(wǎng)絡(luò)。本網(wǎng)絡(luò)是一個IP網(wǎng)絡(luò)，以順應(yīng)數(shù)據(jù)網(wǎng)絡(luò)的發(fā)展趨勢，提供對絕大部分IP業(yè)務(wù)的直接支持。本網(wǎng)絡(luò)又必須是一個寬帶網(wǎng)絡(luò)，以滿足網(wǎng)絡(luò)數(shù)據(jù)流量的迅速增長，提供大容量高速傳輸?shù)哪芰?，符合其服?wù)平臺的角色。本網(wǎng)絡(luò)還必須是一個服務(wù)性營運級的網(wǎng)絡(luò)，以區(qū)別于供企業(yè)自用為主的企業(yè)級網(wǎng)絡(luò)，

10、而在可靠性、服務(wù)質(zhì)量QoS、業(yè)務(wù)類別方面有較高保障，從而對公眾提供豐富、易用、可靠的服務(wù)，并對二級服務(wù)網(wǎng)絡(luò)提供可靠連接。由于IP協(xié)議和IP數(shù)據(jù)在網(wǎng)絡(luò)上會越來越普與，本網(wǎng)絡(luò)應(yīng)該可以很好地支持TCP/IP協(xié)議，在時機成熟時，可以方便地轉(zhuǎn)成全寬帶IP網(wǎng)。因此，本項目將是一個以TCP/IP協(xié)議為基礎(chǔ)、具有大容量高速傳輸能力的、可靠穩(wěn)定保證服務(wù)質(zhì)量的營運級寬帶網(wǎng)絡(luò)。XX市寬帶網(wǎng)解決方案主干技術(shù)在充分研究了目前國際網(wǎng)絡(luò)界對城域網(wǎng)設(shè)計所采用的各種網(wǎng)絡(luò)主干技術(shù),并充分考慮到技術(shù)發(fā)展的主流和趨勢后,我們建議XX市寬帶網(wǎng)絡(luò)采用以千兆以太網(wǎng)或POS 為核心層鏈路、以千兆以太網(wǎng)為核心層與邊緣層連接而組成的網(wǎng)絡(luò)主干。設(shè)

11、備選型XX市寬帶IP網(wǎng)的主要用戶對象是企業(yè)用戶和家庭用戶。家庭用戶接入寬帶IP網(wǎng)主要用于訪問Internet。企業(yè)用戶主要通過寬帶IP網(wǎng)進行不同營業(yè)場所的互聯(lián)。此外，也可通過寬帶IP網(wǎng)訪問Internet。企業(yè)用戶長期使用電信的租用線路（即電路）連接部網(wǎng)絡(luò)，并且通過電信連接INTERNET。他們的使用習(xí)慣值得尊重。這類用戶關(guān)心的是網(wǎng)絡(luò)的安全性和服務(wù)質(zhì)量。由于用戶數(shù)眾多，為保證全網(wǎng)的安全性和性能，同時保護企業(yè)用戶在網(wǎng)上傳輸?shù)男阅艿陌踩裕ＷC他們有承諾的帶寬可以利用，對設(shè)備選型必需仔細比較和分析。如第一章所述，網(wǎng)絡(luò)設(shè)備必需既支持虛擬局域網(wǎng)技術(shù)，以提供透明的鏈路通道；又必須支持大多數(shù)網(wǎng)絡(luò)協(xié)議，提供

12、網(wǎng)絡(luò)服務(wù)，開展網(wǎng)絡(luò)應(yīng)用。這就決定了所有設(shè)備必須是可以工作在第二層或第三層的，具有每層對應(yīng)的安全控制功能，如第二層的MAC過濾功能，第三層的訪問列表控制功能等。為保證給與用戶所購買的帶寬，除了采用各種服務(wù)質(zhì)量機制和帶寬管理機制進行帶寬管理外，設(shè)備必須提供全線速的交換和路由能力，有足夠大的MAC地址表和路由表。為保證網(wǎng)絡(luò)的安全性，設(shè)備本身必須支持各種安全機制，確保設(shè)備本身不會被輕易入侵。下面就骨干節(jié)點設(shè)備、邊緣節(jié)點設(shè)備和接入設(shè)備的選型進行闡述。網(wǎng)絡(luò)主干設(shè)備的系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)主干設(shè)備即骨干節(jié)點設(shè)備的系統(tǒng)結(jié)構(gòu)直接決定了設(shè)備的性能和功能水平。這猶如先天很好的一個嬰兒和一個先天不足的嬰兒，即便后天成長條件完全

13、一樣，他們的能力依然有相當(dāng)大的差別。因此，深入了解設(shè)備的系統(tǒng)結(jié)構(gòu)設(shè)計，客觀認知設(shè)備的性能和功能，這對正確選擇設(shè)備極有幫助，下面將從七個方面進行討論。交換結(jié)構(gòu)（Switching Fabric） 隨著網(wǎng)絡(luò)交換技術(shù)不斷的發(fā)展，交換結(jié)構(gòu)在網(wǎng)絡(luò)設(shè)備的體系結(jié)構(gòu)中占據(jù)著極為重要的地位。為了便于理解，這里僅簡述三種典型的交換結(jié)構(gòu)的特點：共享總線。由于近年來網(wǎng)絡(luò)設(shè)備的總線技術(shù)發(fā)展緩慢，所以導(dǎo)致了共享總線帶寬低，訪問效率不高；而且，它不能用來同時進行多點訪問。另外，受CPU頻率和總線位數(shù)的限制，其性能擴展困難。它適用于大部分流量在模塊本地進行交換的網(wǎng)絡(luò)模式。共享存。其訪問效率高，適合同時進行多點訪問（MULTI

14、CAST）。共享存通常為DRAM和SRAM兩種，DRAM速度慢，造價低，SRAM速度快，造價高。共享存方式對存芯片的性能要求很高，至少為整機所有端口帶寬之和的兩倍（比如設(shè)備支持32個千兆以太網(wǎng)端口，則要求共享存的性能要達到64Gbps）。交換矩陣（Cross bar）。由于ASIC技術(shù)發(fā)展迅速，目前ASIC芯片間的轉(zhuǎn)發(fā)性能通常可達到1Gbps，甚至更高的性能，于是給交換矩陣提供了極好的物質(zhì)基礎(chǔ)。所有接口模塊（包括控制模塊）都連接到一個矩陣式背板上，通過ASIC芯片到ASIC芯片的直接轉(zhuǎn)發(fā)，可同時進行多個模塊之間的通信；每個模塊的緩存只處理本模塊上的輸入/輸出隊列，因此對存芯片性能的要求大大低于

15、共享存方式。總之，交換矩陣的特點是訪問效率高，適合同時進行多點訪問，容易提供非常高的帶寬，并且性能擴展方便，不易受CPU、總線以與存技術(shù)的限制。目前大部分的專業(yè)網(wǎng)絡(luò)廠商在其第三層核心交換設(shè)備中都越來越多地采用了這種技術(shù)。阻塞與非阻塞配置 阻塞與非阻塞配置是兩種截然不同的設(shè)計思想，它們各有優(yōu)劣。在選型時，一定要根據(jù)實際需求來選擇相應(yīng)的網(wǎng)絡(luò)設(shè)備。阻塞配置。該種設(shè)計是指：機箱中所有交換端口的總帶寬，超過前述交換結(jié)構(gòu)的轉(zhuǎn)發(fā)能力。因此，阻塞配置設(shè)計容易導(dǎo)致數(shù)據(jù)流從接口模塊進入交換結(jié)構(gòu)時，發(fā)生阻塞；一旦發(fā)生阻塞，便會降低系統(tǒng)的交換性能。例如，一個交換接口模塊上有8個千兆交換端口，其累加和為8Gbps，而該

16、模塊在交換矩陣的帶寬只有2Gbps。當(dāng)該模塊滿負荷工作時，勢必發(fā)生阻塞。采用阻塞設(shè)計容易在千兆/百兆接口模塊上提高端口密度，十分適合連接服務(wù)器集群（因為服務(wù)器本身受到操作系統(tǒng)、輸入/輸出總線、磁盤吞吐能力，以與應(yīng)用軟件等諸多因素的影響，通過其網(wǎng)卡進行交換的數(shù)據(jù)不可能達到網(wǎng)卡吞吐的標稱值）。非阻塞配置。該設(shè)計的目標為：機箱中全部交換端口的總帶寬，低于或等于交換結(jié)構(gòu)的轉(zhuǎn)發(fā)能力，這就使得在任何情況下，數(shù)據(jù)流進入交換結(jié)構(gòu)時不會發(fā)生阻塞。因此，非阻塞設(shè)計的網(wǎng)絡(luò)設(shè)備適用于主干連接。在主干設(shè)備選型時，只需注意接口模塊的端口密度和交換結(jié)構(gòu)的轉(zhuǎn)發(fā)能力相匹配即可。當(dāng)要構(gòu)造高性能的網(wǎng)絡(luò)主干時，必須選用非阻塞配置的主

17、干設(shè)備。采用何種方式實現(xiàn)第3層和第4層的處理眾所周知，每一次網(wǎng)絡(luò)通信都是在通信的機器之間產(chǎn)生一串?dāng)?shù)據(jù)包。這些數(shù)據(jù)包構(gòu)成的數(shù)據(jù)流可分別在第3、4層進行識別。在第3層（Network Layer，即網(wǎng)絡(luò)層，以下簡稱L3），數(shù)據(jù)流是通過源站點和目的站點的網(wǎng)絡(luò)地址被識別。因此，控制數(shù)據(jù)流的能力僅限于通信的源站點和目的站點的地址對，實現(xiàn)這種功能的設(shè)備稱之為路由器。路由器在網(wǎng)絡(luò)中占據(jù)著核心的地位。傳統(tǒng)路由器是采用軟件實現(xiàn)路由功能，其速度慢，且價格昂貴，往往成為網(wǎng)絡(luò)的瓶頸。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，路由器技術(shù)發(fā)生了革命，路由功能由專用的ASIC集成電路來完成?，F(xiàn)在這種設(shè)備被稱之為第三層交換機或叫做交換式路由器。第

18、4層（Transport Layer即傳輸層，以下簡稱L4），通過數(shù)據(jù)包的第4層信息，設(shè)備能夠懂得所傳輸?shù)臄?shù)據(jù)包是何種應(yīng)用。因此，第4層交換提供應(yīng)用級的控制，即支持安全過濾和提供對應(yīng)用流施加特定的QoS策略。傳統(tǒng)路由器具有閱讀第4層報頭信息的能力（通過軟件實現(xiàn)），與第三層交換機（或交換式路由器）采用專用的ASIC集成電路相比，設(shè)備的性能幾乎相差了兩個數(shù)量級，因此，傳統(tǒng)路由器無法實現(xiàn)第4層交換。值得指出的是：網(wǎng)絡(luò)主干設(shè)備的系統(tǒng)結(jié)構(gòu)在設(shè)計上分成兩大類：集中式和分布式。即便兩者都采用了新的技術(shù)，但就其性能而言，仍存在著較大的差異。集中式所謂集中式，顧名思義，L3/L4數(shù)據(jù)流的轉(zhuǎn)發(fā)由一個中央模塊控制處

19、理。因此，L3/L4層轉(zhuǎn)發(fā)能力通常為3M4Mpps，最多達到15Mpps。分布式將L3/L4層數(shù)據(jù)流的轉(zhuǎn)發(fā)策略設(shè)置到接口模塊上，并且通過專用的ASIC芯片轉(zhuǎn)發(fā)L3/L4層數(shù)據(jù)流，從而實現(xiàn)相關(guān)控制和服務(wù)功能。L3/L4層轉(zhuǎn)發(fā)能力可達 40Mpps 至 100Mpps，甚至180Mpps。2.2.2系統(tǒng)容量由于網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)主干設(shè)備的系統(tǒng)容量也成為選型中的重要考核指標。建議重點考核以下兩個方面：物理容量 各類網(wǎng)絡(luò)協(xié)議的端口密度，如千兆以太網(wǎng)、快速以太網(wǎng)，尤其是非阻塞配置下的端口密度。邏輯容量 路由表、MAC地址表、應(yīng)用數(shù)據(jù)流表、訪問控制列表（ACL）大小，反映出設(shè)備支持網(wǎng)絡(luò)規(guī)模大小的能力（

20、先進的主干設(shè)備必須支持足夠大的邏輯容量，以與非阻塞配置設(shè)計下的高端口密度。）2.2.3關(guān)鍵部件冗余設(shè)計人們已經(jīng)普遍認同處于關(guān)鍵部位的網(wǎng)絡(luò)設(shè)備不應(yīng)存在單點故障。為此，網(wǎng)絡(luò)主干設(shè)備應(yīng)能實現(xiàn)如下三方面的冗余。電源和機箱風(fēng)扇冗余控制模塊冗余 控制模塊冗余功能應(yīng)提供對主控制模塊的“自動切換”支持。如：備份控制模塊連續(xù)5次沒有聽到來自主控制模塊的匯報，備份模塊將進行初始化并執(zhí)行硬件恢復(fù)。另外，各種模塊均可熱插拔。交換結(jié)構(gòu)冗余 如果網(wǎng)絡(luò)主干設(shè)備忽略交換結(jié)構(gòu)的冗余設(shè)計，就無法達到設(shè)備冗余的完整性。因此，要充分考慮網(wǎng)絡(luò)主干設(shè)備的可靠性，應(yīng)該要求該設(shè)備支持交換結(jié)構(gòu)冗余。此外，交換結(jié)構(gòu)冗余功能也應(yīng)具有對主交換結(jié)構(gòu)“

21、自動切換”的特性。2.2.4緩沖技術(shù) 緩沖技術(shù)在網(wǎng)絡(luò)交換機的系統(tǒng)結(jié)構(gòu)中使用的越來越多，也越來越復(fù)雜。任何技術(shù)的使用都有著兩面性，如過大的緩沖空間會影響正常通信狀態(tài)下，數(shù)據(jù)包的轉(zhuǎn)發(fā)速度（因為過大的緩沖空間需要相對多一點的尋址時間），并增加設(shè)備的成本。而過小的緩沖空間在發(fā)生擁塞時又容易丟包出錯。所以，適當(dāng)?shù)木彌_空間加上先進的緩沖調(diào)度算法是解決緩沖問題的合理方式。對于網(wǎng)絡(luò)主干設(shè)備，需要注意幾點：每端口是否享有獨立的緩沖空間，而且該緩沖空間的工作狀態(tài)不會影響其它端口緩沖的狀態(tài)。模塊或端口是否設(shè)計有獨立的輸入緩沖、獨立的輸出緩沖，或是輸入/輸出緩沖。是否具有一系列的緩沖管理調(diào)度算法，如RED、WRED、

22、RR/FQ、WERR/WEFQ。2.2.5系統(tǒng)結(jié)構(gòu)的技術(shù)壽命 所選擇的網(wǎng)絡(luò)主干設(shè)備，其系統(tǒng)結(jié)構(gòu)應(yīng)能滿足用戶的功能需求，并具有足夠長的技術(shù)生命周期。換言之，要避免通過硬件補丁的辦法（不斷增加新的硬件單元對系統(tǒng)結(jié)構(gòu)中存在的不足進行補償，或徹底更換新設(shè)備的方式），才能滿足用戶1至2年不斷增長的功能需求。 業(yè)界有很多設(shè)備的系統(tǒng)結(jié)構(gòu)是第2層交換的設(shè)計概念，需要通過增加第3層的硬件模塊才能實現(xiàn)第3層或第3/4層交換的功能，而且第3/4層數(shù)據(jù)包的轉(zhuǎn)發(fā)能力遠低于第2層交換的轉(zhuǎn)發(fā)能力。另外，短期還可能出現(xiàn)用新產(chǎn)品來替代原有產(chǎn)品的情況，這對用戶的投資保護十分不利。2.3選型結(jié)論基于上述考慮，我們?yōu)閄X市寬帶IP網(wǎng)

23、骨干節(jié)點了提供業(yè)界最先進的FOUNDRY BigIon 8000系列交換機。8000采用的三層交換技術(shù)基于特殊的交換方式設(shè)計，每個模塊都可以進行分布式路由和交換，沒有其他廠家所必需的超級引擎或CPU處理模塊，每個接口模塊都采用共享存設(shè)計，有利于廣播和組播性能的提高，同時避免了線頭阻塞，提供模塊上的本地交換能力，每個模塊的吞吐率為32Gbps，是真正的無阻塞設(shè)計。8000的背板采用256Gbps交叉矩陣，連接每個模塊，可以實現(xiàn)真正的全線速第二層和第三層交換。每個模塊可以熱插拔，電源可以最多配置四個，所有的交換和路由功能通過ASIC芯片完成，交換能力達96Mpps。8000的系統(tǒng)設(shè)計技術(shù)已經(jīng)在業(yè)界

24、得到了無數(shù)大獎，在實驗室和實際應(yīng)用環(huán)境中得到了充分的考驗，被證明是成熟穩(wěn)定而先進的。邊緣節(jié)點的設(shè)備選型有兩種方案，即FOUNDRY BigIron 4000或FastIron II交換機。BigIron 4000具有128Gbps的交換背板和48Mpps的第三層交換能力。系統(tǒng)設(shè)計與8000完全一樣。FastIron II具有32Gbps的交換能力，吞吐量為23Mpps。對于接入層節(jié)點的樓域交換機，我們建議采用FOUNDRY FastIron工作組交換機。FastIron具有 4.2 G 的交換容量。每個端口具有2個優(yōu)先級隊列，每一個都是相互獨立配置并由交換矩陣提供服務(wù)，這樣可以防止低優(yōu)先級數(shù)據(jù)

25、的沖擊而導(dǎo)致高優(yōu)先級隊列包的延遲或丟失。 FastIron 還具備基本的第三層服務(wù)功能。2.4XX市寬帶網(wǎng)組網(wǎng)方案2.4.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)參見附圖。2.4.2骨干節(jié)點為3個骨干層節(jié)點各選用一臺FOUNDRY BigIron 8000，每臺BigIron 8000配置兩塊冗余備分的管理模塊，并配置冗余的直流電源。在東城，每個管理模塊上配備2個長距千兆以太網(wǎng)端口。在每個管理模塊上各選一個千兆端口捆綁在一起，以2Gbps的速率連接西城。然后再各選一個千兆端口進行捆綁，連接廣饒。每個管理模塊上還有4個1000BaseLx端口，可以用于連接距離較近的邊緣節(jié)點，如勝利模塊局。另外還配置了一塊24口100Ba

26、seTx模塊和一塊10BaseFx模塊用于連接本地用戶。在廣饒，每個管理模塊上配備3個長距千兆以太網(wǎng)端口。在每個管理模塊上各選一個千兆端口捆綁在一起，以2Gbps的速率連接?xùn)|城。然后再各選一個千兆端口進行捆綁，連接西城。由于大王模塊局距離較遠，也需要通過長距千兆端口進行連接。每個管理模塊上還有4個1000BaseLx端口，可以用于連接距離較近的邊緣節(jié)點。另外還配置了一塊24口100BaseTx模塊模塊和一塊10BaseFx模塊用于連接本地用戶。在西城，每個管理模塊上配備3個長距千兆以太網(wǎng)端口。在每個管理模塊上各選一個千兆端口捆綁在一起，以2Gbps的速率連接?xùn)|城。然后再各選一個千兆端口進行捆綁

27、，連接廣饒。由于河口模塊局距離較遠，也需要通過長距千兆端口進行連接。每個管理模塊上還有4個1000BaseLx端口，可以用于連接距離較近的邊緣節(jié)點，包括民營園、黃河口、長安集團、鉆井和辛店。另外還配置了一塊24口100BaseTx模塊和一塊24口100BaseFx模塊用于本地連接。 在BigIron 8000上還可以根據(jù)需要配置ATM模塊和POS模塊。2.4.3邊緣節(jié)點在每個邊緣節(jié)點，選用FOUNDRY BigIron 4000。BigIron 4000配置一個管理模塊，并配置冗余的直流電源。在大王模塊局、孤島、仙河，配置一塊24口100BaseTx和一塊24口100BaseFx模塊，用于用戶

28、接入。在管理模塊上配置一個長距千兆以太網(wǎng)端口，用于節(jié)點之間的互連。河口模塊局的BigIron 4000管理模塊上配置了3個長距千兆以太網(wǎng)端口，用于連接西城、孤島和仙河。配置一塊24口100BaseTx和一塊24口100BaseFx模塊，用于用戶接入。對于勝利、民營園、黃河口、長安集團、鉆井和辛店，在管理模塊上配置2個1000BaseLx端口，用于連接網(wǎng)絡(luò)核心的BigIron 8000交換機。配置一塊24口100BaseTx和一塊24口100BaseFx模塊，用于用戶接入2.4.4接入層節(jié)點在接入層節(jié)點，樓域交換機采用了FastIron工作組交換機，有24個10/100M自適應(yīng)接口，并配備了2口

29、100BaseFX上行接口，連接到網(wǎng)絡(luò)邊緣節(jié)點。2.4.5用戶接入家庭用戶通過樓的雙絞線，以10/100M速率連接到樓域交換機上。企業(yè)用戶需要高速連接時，可以把企業(yè)自己的交換機通過光纖直接連接到最近的邊緣節(jié)點。對于DDN、ADSL等其他接入方式，其局端匯聚設(shè)備可以采用10/100/100M端口連接到寬帶IP骨干網(wǎng)。2.4.6網(wǎng)關(guān)設(shè)備XX市寬帶IP網(wǎng)采用私有IP地址為網(wǎng)絡(luò)設(shè)備進行編址。在同Internet進行連接時，需要進行地址轉(zhuǎn)換。地址轉(zhuǎn)換有兩種情形：普通用戶訪問Internet時，對用戶的源地址進行動態(tài)轉(zhuǎn)換。向Internet提供信息服務(wù)的服務(wù)器需要保持服務(wù)器的私有地址同合法IP地址之間的靜

30、態(tài)對應(yīng)關(guān)系。提供這類地址轉(zhuǎn)換功能的網(wǎng)關(guān)設(shè)備在業(yè)界比較多，最著名的是CheckPoint公司的FireWall-1防火墻產(chǎn)品。FireWall-1不僅提供簡單的地址轉(zhuǎn)換功能，還能為全網(wǎng)提供防火墻安全保護，以與詳盡的安全狀況記錄。為了提高網(wǎng)絡(luò)出口處的吞吐量，避免網(wǎng)關(guān)設(shè)備成為數(shù)據(jù)傳輸?shù)钠款i，F(xiàn)oundry公司提供了4-7層交換機ServerIron對防護墻進行負載均衡處理。ServerIron最多可以支持32臺防護墻同時工作。因此，XX市寬帶IP網(wǎng)可以根據(jù)實際的網(wǎng)絡(luò)流量，平滑地增加網(wǎng)絡(luò)出口處的吞吐量。The InternetThe IntranetInternet城域網(wǎng)2.5方案特點2.5.1 全部

31、第三層功能的主干交換網(wǎng)絡(luò)結(jié)構(gòu)所有核心層和邊緣層產(chǎn)品都支持第二層和第三層功能。不僅可以進行VLAN的劃分，還可以進行高速的路由轉(zhuǎn)發(fā)。VLAN可以根據(jù)端口、子網(wǎng)和網(wǎng)絡(luò)協(xié)議進行劃分。支持各種常用的網(wǎng)絡(luò)協(xié)議和路由協(xié)議。由于每個設(shè)備都支持無阻塞的第二層或第三層交換，在交換結(jié)構(gòu)中，可以達到非常好的性能。也意味著可以減少繁瑣的擁塞管理和服務(wù)質(zhì)量管理工作。第二層意味著可以支持域網(wǎng)絡(luò)協(xié)議無關(guān)的鏈路服務(wù)，用戶可以是IP網(wǎng)絡(luò)、IPX網(wǎng)絡(luò)或WINDOWS NT 網(wǎng)絡(luò)，用戶不需要改變他們已有的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)地址。第三層意味著可以支持以IP為主要協(xié)議的網(wǎng)絡(luò)應(yīng)用，尤其是需要與其他地域互連時，由于網(wǎng)絡(luò)鏈路的復(fù)雜性和多樣性，要

32、進行網(wǎng)絡(luò)互連，必須采用高層網(wǎng)絡(luò)協(xié)議。第二層服務(wù)可以為本地的企業(yè)用戶服務(wù)。第三層則可以為跨地域連接時提供服務(wù)，例如與上級網(wǎng)絡(luò)的連接，同一企業(yè)在全省圍的連接等。2.5.2完善的接入安全性由于每個設(shè)備都可以支持第二層和第三層交換，因此可以提供第二層和第三層的安全控制能力。第二層安全控制能力可以提供端口地址過濾、端口地址鎖定等功能。端口地址過濾允許交換機根據(jù)預(yù)先設(shè)定的過濾規(guī)則，允許或禁止某些第二層數(shù)據(jù)包進出交換機，也就是對上網(wǎng)用戶的網(wǎng)卡MAC地址進行檢查后才能上網(wǎng)，不符合規(guī)則的用戶將被拒絕上網(wǎng)。第三層安全控制能力可以提供訪問控制列表能力，允許交換機根據(jù)預(yù)先設(shè)定的規(guī)則，允許或者禁止某些第三層數(shù)據(jù)（IP或

33、IPX包）進出交換機。2.5.3與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)設(shè)計網(wǎng)絡(luò)骨干是業(yè)務(wù)最集中的地方或是數(shù)據(jù)轉(zhuǎn)發(fā)的樞紐地，為此，網(wǎng)絡(luò)設(shè)計需要保證骨干的可靠性。網(wǎng)絡(luò)骨干節(jié)點之間采用環(huán)形拓撲，兩節(jié)點之間的光路出現(xiàn)故障時，不會影響節(jié)點間的通訊。此外，由于采用了跨模塊的TROUNK GROUP技術(shù)，單個端口或模塊的故障不會影響節(jié)點間通訊。冗余備份的管理模塊保證了骨干交換機的不間斷運行。邊緣節(jié)點與骨干節(jié)點之間的連接同樣采用TROUNK GROUP技術(shù)，無論出現(xiàn)光路、端口還是模塊故障，都不會造成通訊中斷。上述網(wǎng)絡(luò)核心在IP路由設(shè)計中，也有很大的好處。OSPF作為本網(wǎng)的首選路由協(xié)議，需要一個AREA 0作為核心區(qū)域，所與其他的區(qū)

34、域需要和核心區(qū)域有物理的聯(lián)系，否則就要用到虛擬連接的技術(shù)，虛擬連接對于其中的傳輸驛站有比較大的性能壓力，對于路由的分配和控制管理都非常不方便。如果選擇上述網(wǎng)絡(luò)核心作為OPSF的核心區(qū)域AREA 0，把邊緣層作為一個個獨立的區(qū)域，則它們都是直接連接到AREA 0上的，不需要使用虛擬連接，整個路由域只有2層，顯得比較有層次，軟件配置和將來可能的擴充都會比較容易。用戶的接入寬帶IP網(wǎng)時，必須采用靜態(tài)路由，保證用戶部網(wǎng)與城域網(wǎng)相對隔離和獨立。用戶的路由設(shè)備不會參與城域網(wǎng)的路由計算，避免因為用戶設(shè)備的原因?qū)е氯W(wǎng)路由波動頻繁，影響路由性能。2.5.4 良好的網(wǎng)絡(luò)隔離能力企業(yè)用戶比較關(guān)心的問題是網(wǎng)絡(luò)的安全

35、性問題，他們不希望部數(shù)具有被竊取的可能，這就使得網(wǎng)絡(luò)必須提供類似電路的隔離功能。在城域網(wǎng)的建設(shè)中，采用的比較多的是VLAN技術(shù)，即虛擬局域網(wǎng)技術(shù)。在VLAN技術(shù)出現(xiàn)以前，以太網(wǎng)交換技術(shù)屬于網(wǎng)絡(luò)的第二層，所有的端口都屬于同一個廣播域，也就是每個端口都可以收到廣播信息，不管它愿不愿意。在大型的網(wǎng)絡(luò)環(huán)境中，廣播包不可避免地會引起帶寬的浪費，而在TCP/IP，IPX，WINDOWS環(huán)境下，廣播包的使用更是不可或缺。為了解決這個問題，VLAN技術(shù)應(yīng)運而生。VLAN把一部分端口模擬成為一個虛擬的廣播域，VLAN的所有廣播都只會在本域發(fā)送，不會超出廣播域，進一步，VLAN的所有數(shù)據(jù)都只能被同一VLAN的成員

36、接收，而不會被非本VLAN成員接收。不同的VLAN之間不能相互通信，必須通過路由設(shè)備進行轉(zhuǎn)發(fā)。如果把每個企業(yè)用戶劃到每個不同的VLAN，企業(yè)用戶之間就不可能相互通信，這就實現(xiàn)了邏輯隔離。企業(yè)用戶只通過某臺設(shè)備上的一個特定端口訪問網(wǎng)絡(luò)，因此每個企業(yè)用戶連接到網(wǎng)絡(luò)的路徑都是獨立的，相互之間沒有任何關(guān)系。與第二層的VLAN技術(shù)相類似的還有第三層的VPN虛擬專用網(wǎng)技術(shù)。VPN適合于在類似于因特網(wǎng)這樣的公網(wǎng)上傳輸私有數(shù)據(jù)。通過隧道技術(shù)和數(shù)據(jù)加密技術(shù)，用戶可以控制自己的數(shù)據(jù)安全。加密手段可以在用戶的路由設(shè)備上實現(xiàn)，也可以在專門的設(shè)備上實現(xiàn)。隧道技術(shù)可以在用戶的路由設(shè)備上實現(xiàn)。由于XX市城域網(wǎng)屬于寬帶IP網(wǎng)

37、，完全可以支持VPN功能。我們建議VPN功能由用戶自行實現(xiàn)，或者租用XX電信的設(shè)備，但目前網(wǎng)絡(luò)上尚未配置。2.5.5 完善的設(shè)備安全性FOUNDRY的設(shè)備具有良好的安全性： 多重訪問控制。FOUNDRY產(chǎn)品具有多沖擊別的訪問控制，允許系統(tǒng)管理員完成配置管理，同時保護系統(tǒng)面授非法的配置修改。用戶分為三種級別：超級用戶、只讀用戶、普通用戶。超級用戶具有最大權(quán)限，普通用戶只能配置接口參數(shù)，并使用顯示參數(shù)命令。只讀用戶只能閱讀配置，沒有任何更改權(quán)利。 通過訪問控制列表，可以禁止或允許對FOUNDRY設(shè)備的遠程管理。 本地用戶或RADIUS、TACACS+口令認證。 通過身份驗證，可以禁止或允許TELN

38、ET訪問，必要時，可以關(guān)閉TELNET服務(wù)。 通過SYSLOG功能，把系統(tǒng)事件紀錄并保存下來。2.5.6 良好的網(wǎng)絡(luò)穩(wěn)定性網(wǎng)絡(luò)的穩(wěn)定性體現(xiàn)在當(dāng)網(wǎng)絡(luò)發(fā)生鏈路或設(shè)備失效時，網(wǎng)絡(luò)能在短時間恢復(fù)正常。對于一個運行級網(wǎng)絡(luò)來說，穩(wěn)定性與性能一樣重要。設(shè)備穩(wěn)定性除設(shè)備的性能指標外，主要指設(shè)備的平均無故障時間（MBTF）。本方案涉與的設(shè)備MBTF如下：MTBF for FastIron：單電源- 43,400 小時MTBF for BigIron 4000：機箱加單電源 - 36,500 小時MTBF for BigIron 8000：機箱加4個電源 32,400小時鏈路穩(wěn)定性體現(xiàn)在兩個層次：第二層穩(wěn)定性和網(wǎng)

39、絡(luò)層穩(wěn)定性。第二層穩(wěn)定性表示物理鏈路的收斂時間。FOUNDRY產(chǎn)品在運行第二層交換功能時，使用最小生成樹算法來保持每個VLAN。一般的最小生成樹算法需要至少30秒時間進行生成樹的收斂（15秒偵聽，15秒學(xué)習(xí)），而FOUNDRY獨有的IRONSPAN技術(shù)可以在4秒實現(xiàn)生成樹。FOUNDRY的第二層功能缺省打開了IRONSPAN功能。第三層穩(wěn)定性體現(xiàn)在路由的收斂時間。本網(wǎng)絡(luò)采用OSPF標準協(xié)議，可以在30秒實現(xiàn)全網(wǎng)路由收斂。實際上，OSPF在監(jiān)測到路由波動時，缺省只需等5秒鐘再進行路由計算，計算工作在5秒即可完成，因此基本上是在10秒以完成路由收斂。如有必要，還可以調(diào)整時間。2.5.7良好的網(wǎng)絡(luò)擴

40、展性本方案采用的BigIron 4000和 BigIron 8000都是機架式設(shè)備，目前只用了部分插槽，剩余未用的插槽可供今后網(wǎng)絡(luò)擴展之用。 FastIron工作組交換機可以堆疊，并可以采用TRUNK技術(shù)把多條物理鏈路當(dāng)作1條邏輯鏈路使用，根據(jù)業(yè)務(wù)的發(fā)展可以相應(yīng)地增加端口或升級上行鏈路。2.5.8良好的可管理性 所有FOUNDRY產(chǎn)品都支持三種網(wǎng)絡(luò)管理方式：命令行、WEB和IRONVIEW網(wǎng)管軟件。FOUNDRY的命令行與CISCO的命令行非常類似，都是簡單易用，并有幫助功能，可以進行所有的配置工作。WEB瀏覽器管理則采用圖形界面，直觀而簡潔。IRONVIEW網(wǎng)管軟件可以單獨運行在WINDOW

41、S NT平臺上，也可以與HP OPENVIEW，SUN NETMANAGER配套使用。 FOUNDRY產(chǎn)品支持標準的網(wǎng)路管理協(xié)議：簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）和遠程監(jiān)控協(xié)議（RMON）。通過SNMP，網(wǎng)管人員可以遠程進行設(shè)備狀態(tài)紀錄，設(shè)備維護，設(shè)備告警，設(shè)備啟動等操作，實現(xiàn)全面管理。RMON可以詳細記錄每個端口的流量情況，如輸入輸出的字節(jié)數(shù)、數(shù)據(jù)包數(shù)。以此為基礎(chǔ)，可以實現(xiàn)基于流量的統(tǒng)計和計費。2.5.9服務(wù)質(zhì)量保證IronClad 服務(wù)質(zhì)量是優(yōu)先級的延伸，可以提供更好的靈活性和流量控制能力。采用FOUNDRY IronClad QoS，可以配置四種服務(wù)質(zhì)量隊列：0-盡力傳遞，1-低優(yōu)先級，2-

42、高優(yōu)先級，3-最高優(yōu)先級?？梢詫?shù)據(jù)包進行分類，分類后分配到對應(yīng)的隊列。分類的方法有：輸入端口 IP 源和目的地址 第四層源和目的信息 靜態(tài) MAC容 AppleTalk端口號基于VLAN 802.1p/q 標記 IP TOS 映射可選的隊列模式IronClad QoS 允許選擇下列隊列模式之一： 限制 高級別隊列優(yōu)于低級別隊列 可調(diào)的加權(quán)平均隊列加權(quán)平均隊列將被用來進行在四個隊列間輪流提供服務(wù)。承諾的帶寬（CAR）在滿負荷情況下，提供已承諾的帶寬。可配置的帶寬比例對于加權(quán)平均隊列，可以指定每個隊列可接收的最小帶寬使用比例。業(yè)務(wù)描述用戶接入InternetXX市寬帶IP網(wǎng)建成之后，可以實現(xiàn)10

43、Mbps以太網(wǎng)到戶，住宅用戶不但可以訪問XX市寬帶網(wǎng)上的，還可以訪問Internet。 用戶之間還可以共享文件和資源，或者聯(lián)網(wǎng)玩游戲，充分享受在信息高速公路上遨游的樂趣。用戶接入通過樓的單元交換機FastIron。單元交換機再通過100Mbps以太網(wǎng)匯接到最近的接入節(jié)點。接入節(jié)點的網(wǎng)絡(luò)設(shè)備是BigIron 4000交換機。為了實現(xiàn)用戶隔離，采用一戶一個VLAN的方式。每個VLAN從單元交換機FastIron上的用戶接入端口開始，終止在接入節(jié)點的BigIron 4000上。 FastIron交換機的上聯(lián)端口同BirIron 4000上的100M端口都運行802.1Q協(xié)議。這樣，在BigIron

44、4000的一個100M端口上，可以終結(jié)樓所有用戶的VLAN。如下圖所示。在BigIron 4000的100M端口上，為每一個VLAN建立一個虛擬的邏輯子接口(稱為Virtual Ethernet接口，簡稱VE)，用于完成IP路由功能。在通常情況下，每個VLAN上的VE接口和用戶的聯(lián)網(wǎng)設(shè)備需要占用一個IP子網(wǎng)，用戶的缺省網(wǎng)關(guān)指向VE上的IP地址。為了節(jié)省網(wǎng)絡(luò)地址空間，簡化網(wǎng)絡(luò)設(shè)備配置，BigIron 4000支持多個VE接口使用同一個IP地址，而所有的樓用戶都位于同一個IP子網(wǎng)。如下圖所示。此時，這些用戶由于分處不同的VLAN而實現(xiàn)了物理隔離，同時又保留了IP層的互通性。為了進一步減少使用的VL

45、AN數(shù)量和配置的工作量，并節(jié)省IP地址，F(xiàn)OUNDRY在BigIron和FastIron上實現(xiàn)了一個特殊的功能，稱為上聯(lián)交換端口(Uplink Switch Port,檢查USP)。參見下圖：FastIron SwitchUser 1 (207.95.1.xxx)User 2 (207.95.1.yyy)6BigIron 4000525所有連接在FastIron上的用戶都屬于同一個VLAN和同一個IP子網(wǎng)。為了實現(xiàn)用戶間的相互隔絕，將FastIron的上聯(lián)端口(在本方案中，即兩個100BaseFx端口)的USP功能打開。這時，來自一個用戶的廣播數(shù)據(jù)包和未知單址數(shù)據(jù)包都只送網(wǎng)上聯(lián)端口，而不會分發(fā)

46、到其他端口上面。用戶雖然屬于同一VLAN和IP子網(wǎng)，但不能直接進行通訊。采用USP技術(shù)時，可以大大減少所需VLAN的數(shù)量。例如，可以把同一幢樓的用戶都劃入同一個VLAN。同時還減少了所需IP子網(wǎng)的數(shù)目，減少了網(wǎng)絡(luò)配置的工作量。通過采用DHCP技術(shù)，住宅用戶可以自動獲得IP地址、缺省網(wǎng)關(guān)地址，簡化用戶設(shè)備的配置。FOUNDY交換機支持DHCP Assistant技術(shù)，可以根據(jù)用戶所在的不同VLAN，通知DHCP服務(wù)器為用戶分配相應(yīng)的IP子網(wǎng)地址。用戶局域網(wǎng)高速互連XX寬帶IP網(wǎng)可以為企業(yè)用戶提供局域網(wǎng)互連業(yè)務(wù)，實現(xiàn)企業(yè)中心機構(gòu)同分支機構(gòu)之間的連接。同企業(yè)租用專線相比，費用更低，速率更高， 并且可

47、以保留企業(yè)用戶的原有網(wǎng)絡(luò)結(jié)構(gòu)和IP地址規(guī)劃不變。企業(yè)用戶VLAN組網(wǎng)企業(yè)用戶可以通過VLAN互連。VLAN工作在OSI網(wǎng)絡(luò)參考模型的第二層，不同VLAN之間的數(shù)據(jù)彼此完全隔離，從而保證了用戶數(shù)據(jù)的安全性。采用VLAN技術(shù)進行網(wǎng)絡(luò)互聯(lián)為企業(yè)組網(wǎng)提供了極大的靈活性。企業(yè)可以自行選擇網(wǎng)絡(luò)協(xié)議，自行規(guī)劃使用網(wǎng)絡(luò)地址，無需網(wǎng)絡(luò)運行商的協(xié)助，從而也減少了網(wǎng)管中心對網(wǎng)絡(luò)的維護和配置工作量。FOUNDRY公司的網(wǎng)絡(luò)產(chǎn)品支持集成交換路由(Integrated SwitchRouting)。在同一端口上可以支持多個VLAN，每個VLAN可以根據(jù)實際需要，或者以路由方式工作，或者以交換方式工作。這樣，在一個主要以路

48、由方式進行工作的寬帶城域網(wǎng)上，可以靈活的為企業(yè)用戶建立起單獨的VLAN，提供透明局域網(wǎng)服務(wù)。以金融證券行業(yè)用戶用戶為例。這些用戶目前基本上都已經(jīng)購買了路由器，通過DDN、幀中繼線路進行了互連。改用寬帶IP網(wǎng)進行互聯(lián)時，用戶可以申請一個VLAN，并將現(xiàn)有的路由器接入此VLAN，就可以實現(xiàn)互連。用戶可能需要修改路由器上接入VLAN的那個以太網(wǎng)端口的IP地址，因為此時所有路由器連接VLAN的端口都在同一個IP子網(wǎng)。不過路由器后面用戶部設(shè)備的IP地址都不用改變。參見下圖。VLAN由于路由器不轉(zhuǎn)發(fā)廣播包，因此進入寬帶IP網(wǎng)的數(shù)據(jù)流都是有用的，這樣就合理利用了帶寬資源，此時路由器之間的維護數(shù)據(jù)為路由協(xié)議信

49、息和VLAN信息。由于傳統(tǒng)路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)性能較低，用戶可以采用高性能的第三層交換機來取代路由器，進行高速網(wǎng)絡(luò)互聯(lián)。如果企業(yè)的網(wǎng)絡(luò)規(guī)模不大，也可以直接將各分支機構(gòu)的第二層交換機或Hub同城域網(wǎng)直接相連。但這種方法存在潛在的隱患，用戶有可能有意無意地在VLAN上引發(fā)廣播風(fēng)暴。為此需要在VLAN上運行Spanning Tree算法來檢測和防止環(huán)路，同時在同用戶連接的交換機端口上對廣播包的速率進行限制。用戶所在VLAN同城域網(wǎng)其他部分是完全隔離的，用戶連接在VLAN上的設(shè)備的IP地址也是由用戶自行規(guī)劃和使用的。如果用戶需要訪問城域網(wǎng)或Internet上的資源，首先需要向XX電信申請能夠訪問城域網(wǎng)I

50、P服務(wù)的網(wǎng)絡(luò)端口(例如，采用前一節(jié)所述的用戶Internet接入端口)，并申請在城域網(wǎng)的IP地址空間的IP地址。然后由支持NAT的網(wǎng)關(guān)設(shè)備將用戶數(shù)據(jù)包的企業(yè)部地址轉(zhuǎn)換成城域網(wǎng)地址，實現(xiàn)對城域網(wǎng)資源的訪問；并進一步經(jīng)由城域網(wǎng)的Internet網(wǎng)關(guān)，訪問Internet上的資源。企業(yè)用戶IP VPN組網(wǎng)企業(yè)用戶也可以采用IP VPN的方式進行局域網(wǎng)互連。用戶在各個分支機構(gòu)放置VPN網(wǎng)關(guān)設(shè)備。該設(shè)備采用前面所述的用戶訪問Internet的方式接入城域網(wǎng)，每臺網(wǎng)關(guān)設(shè)備都被分配一個城域網(wǎng)IP地址空間的IP地址。從城域網(wǎng)的角度看來，每臺網(wǎng)關(guān)設(shè)備同住宅用戶家里的PC機沒有什么區(qū)別。網(wǎng)關(guān)設(shè)備之間通過IP隧道協(xié)

51、議，將用戶網(wǎng)的IP數(shù)據(jù)包封裝在城域網(wǎng)的IP數(shù)據(jù)包送往城域網(wǎng)，由城域網(wǎng)對這些數(shù)據(jù)包進行通常的轉(zhuǎn)發(fā)。從網(wǎng)關(guān)設(shè)備的角度看來，相互之間形成了一條點到點的虛擬通道。網(wǎng)關(guān)設(shè)備采用IP SEC協(xié)議對用戶數(shù)據(jù)包進行加密，放置數(shù)據(jù)被城域網(wǎng)上其他用戶竊取或篡改。IP VPN由企業(yè)用戶在網(wǎng)絡(luò)的邊緣發(fā)起，自行構(gòu)建加密隧道，自己掌握加密口令。用戶建立與其訪問控制如果未做特別的限定，每個申請了Internet接入服務(wù)的用戶都可以在自己的計算機上建立，供其他城域網(wǎng)用戶訪問。對于個人用戶，這是非常方便靈活的一項服務(wù)，用戶可以自由建立自己的Web、FTP服務(wù)器、BBS服務(wù)器，運行CGI程序等，促進XX城域網(wǎng)上網(wǎng)絡(luò)資源的極大豐富

52、。對于比較關(guān)心網(wǎng)絡(luò)安全性的用戶，XX電信可以在其接入端口上設(shè)置ACL，防止對服務(wù)器的非法訪問。如果需要被Internet上的用戶瀏覽，XX電信需要在連接Internet的網(wǎng)關(guān)設(shè)備上，將該的城域網(wǎng)IP地址靜態(tài)地映射為一個合法的IP地址。為了保證網(wǎng)絡(luò)安全，網(wǎng)關(guān)設(shè)備通常還需要對該進行防火墻檢查。用戶隔離與基本認證所有申請Internet接入的用戶都位于單獨一個VLAN，彼此隔離，只能在第三層以上進行互通。申請VLAN服務(wù)的企業(yè)同其他VLAN以與城域網(wǎng)的其他部分是完全隔離的。采用IP VPN方式組網(wǎng)的企業(yè)同城域網(wǎng)其他部分是隔離的。網(wǎng)絡(luò)管理除了命令行以外，F(xiàn)OUNDY 所有產(chǎn)品都含 服務(wù)器功能，支持通過

53、WEB瀏覽器直接管理設(shè)備，這使得管理的復(fù)雜性大大降低，同時又使得遠程管理和維護變得非常方便，我們在外地也可以通過IP網(wǎng)絡(luò)管理到所有的FOUNDRY產(chǎn)品，服務(wù)的響應(yīng)時間和服務(wù)質(zhì)量也因此會令人滿意。FOUNDRY還有一個專門的網(wǎng)管軟件：FOUNDRY IRONVIEW。這是一個專門用于管理FOUNDRY產(chǎn)品的專用軟件，可以圖形化地顯示FOUNDRY產(chǎn)品的前后視圖。IRONVIEW可以直觀地進行IP、IPX和APPLETALK的協(xié)議的配置，路由協(xié)議的配置，VLAN的配置和顯示，服務(wù)質(zhì)量方面的的配置，訪問控制列表的配置，設(shè)備安全性方面的配置等，同時可直觀顯示設(shè)備的運行狀態(tài)，每個端口的流量情況等，設(shè)備運行軟件和配置和保存等。IRONVIEW可以運行在NT或SUN、HP平臺上的HP OPENVIEW之上。網(wǎng)管中心的設(shè)置和職責(zé)節(jié)點維護管理終端 FOUNDRY 設(shè)備維護終端可通過本地和遠端兩種方式接入節(jié)點，以實現(xiàn)對節(jié)點的配置與運行狀態(tài)、業(yè)務(wù)情況的監(jiān)視和控制。兩種接入方式