设计原则
1、用符合标准、先进、成熟的网络技术组网
采用国际上标准、同时又是成熟的、先进的技术尽量减少技术风险和投资风险,在保障应用和发展的前提下,不必将有限的投资投入到昂贵的新技术中。
2、高度的用户网络安全性
采用VPN 技术提供完备的安全防护策略,防止网络的非法访问。
3、高可靠性的网络设计
网络设计应尽可能避免单点故障发生,关键设备互连时,应充分考虑冗余备份。
4、良好的扩展性
包括网点的扩展、业务量及业务种类的扩展,及将来网络的技术升级,能保护现有的投资。
"政府系统办公业务资源网"解决方案示意图见附图(三)
方案设计
福建省政务信息网络是为省委、省人大、省政府、省政协、省纪委、省直各部门及各市、县(区)建立的统一的计算机信息网络,提供宽带、高速、安全、便捷的多媒体信息交换平台,为福建省宏观决策提供数字化、网络化的信息支持,为加强机关效能建设,提高决策的民主化、科学化水平服务。因此,福建省政务信息网络作为承载IP协议的有效、实用的城域宽带网,在设计时应提供以下特性:
提供线速的路由能力
Cisco通过采用高速ASIC实现路由功能,使网络拥塞的可能性降到最小,大大超过了常规高端路由器的性能。动态多点交换结构,可以在全部功能开启时,提供在每个端口以吉速度线速的对 Unicast和Multicast的数据包进行IP/IPX路由。如 Cisco GSR系列的最高系统带宽达60Gbps,最多可支持11个OC48/STM16的端口,每端口速率可高达5Gbps,交换速率在OC48满载时可以达到4500万个包每秒。以线速对第二层、第三层和第四层信息进行交换路由传送,吉位无拥塞背板速率达60 Gbps。在路由的寻找方式上,此次方案中提供的GSR 12008上,CEF(Cisco Express Forwarding)采用的是Cache方式,并部分以硬件的方式实现,这使得GSR在遇到实时信息流时,不会象其它的路由器那样容易产生性能上的降低;在查找包的方式上GSR12008大量采用了硬件实现;接口卡的速度也大大提高,一个接口卡最高可以达到2.48Gbps。同时,接口模块上的高速芯片,同时还保存了Q0S政策和安全性过滤功能,使在打开Q0S和安全性过滤功能的同时仍能提供线速性能。这将使网络管理者不再在性能和功能之间顾此失彼, Cisco路由交换机能够同时保证这两方面的需求。
提供无阻塞的交换带宽
利用IP包头中的TOS字段区分和识别业务是路由器常用的方法:而WFO和WRED则是路由器目前普遍采用的保障QoS方法,保障QoS要求路由器有两个处理环节:一是发送处理,二是阻塞时的丢包处理。在实际的网络环境中,交换机并不能保证业务以线速通过交换机,复杂的网络业务量模型、动态的流量分布都会造成网路频繁地瞬时阻塞。阻塞一般分为二个等级;轻度阻塞、严重阻塞和完全阻塞。在网络利用率达到一定程度时会产生轻度阻塞,这种状态是网络的最佳状态,因为这时网络在保证服务质量的同时,承载的业务量也达到顶点。所谓严重阻塞就是网络业务量已经达到或超出网络所能承受的范围,而完全阻塞是指业务量完全阻塞了网络,网络已经无法正常工作。
福建省政府政务信息网络系统,分为省直机关宽带网和纵向网两大部分。福建省政府政务信息网络系统的内部网设计从逻辑上分为三个层次。即网络核心层、网络分发层和网络访问层。每一层的基本功能如下:
核心层是一个高速的交换主干,为应用层提供尽可能高的包交换速度,采用1ayer3交换技术来保证核心层的带宽分发层是访问层和核心层的分界点。这一层的目的在于定义核心层的边缘。在这一层处理用户数据包。其主要功能包括以下几个方面:部门和工作组的访问;广播和多点广播域的定义;vlan路由;安全控制。
访问层是最终用户访问网络的访问点,为用户提供网络访问能力其主要功能包括:为用户访问提供共享带宽;为用户访问提供交换带宽;为用户提供地址分配,地址转换等地址服务功能;核心层采用Cisco catalyst6509 layer3路由交换机产品,其背板带宽高达32GB,包交换速度为17Mpps,为可扩充模块结构。其最大可扩充模块数为9个。
利用其高速的路由交换能力,提供线速的、无阻塞的Ip,Ipx以及Multicast的第三层交能力,为核心层提供最高的网络性能。考虑到中心服务器是数据流比较集中的地方,因此为了保证中心服务器的访问速度,将中心服务器接入网络核心层,在核心层Cisco 6509路由交换机的WS-X6428-RJ-45模块,提供若干个10/100Base-tx端口,用于同中心服务器的相连。
在分发层,采用Cisco 550x产品。充分利用其高性能的第二层交换能力以及VLAN,VLAN Trunck802.1p等技术。根据需要将用户划分VLAN到不同的VLAN中。通过Cisco的supervisor提供安全地址过滤,广播流量控制、流量优先级控制、访问控制列表等功能,为网络应用提供基于策略的连接。在分发层,采用Catalyst 550x上扩充ws-x5525R模块连接桌面工作站提供10/100M交换到桌面的能力。
整个Internet接入由三部分组成,即内部网络,Internet以及DMZ区组成。整个系统安全性由三个等级组成,即内部网络、DMZ区以及Internet,高安全级区域可以直接访问低安全级区域,但低安全级区域不能直接访问高安全级区域。内部通过FireWall的NAT/PAT功能提供的地址转换功能实现Internet的访问。
远程拨号采用Cisco AS3640远程访问服务器,Cisco AS3640远程访问服务器支持ISDN PRI/BRI同步串行接口、高密度异步串行接口、集成的数值调制解调器、ATM、Ethernet/FastEthernet、VOIP等多种网络技术。在Cisco 3640上配置一个以太模块,用于连接网络核心路由交换机,配置1个16口异步串行模块共提供16个异步串行接口用于远程拨号接入。
上一篇:Cisco 担纲长沙电业局综合网络工程
下一篇:云南电力应用思科IPCC技术提升企业核心竞力
|
精品推荐