XX智能小区方案D(27页).doc

XX智能小区方案D(27页).doc

《XX智能小区方案D(27页).doc》由会员分享，可在线阅读，更多相关《XX智能小区方案D(27页).doc（24页珍藏版）》请在冰豆网上搜索。

智能化系统工程设计文件

计算机网络系统

一、网络设计原则

良好的计算机网络技术和设备是建立计算机网络环境的基础。

网络不仅能够提供数据交换、资源共享（例如打印机、数据库）等基本功能，而且具有良好的可扩展性、升级性以及强大的服务功能。

在网络设计中我们遵循下列原则：

基于开放系统结构的标准；

应用与网络结构无关；

与现有网络无缝互连；

适应未来发展趋势；

容易安装；

性能价格比高；

增长的灵活性；

可靠与安全的网络；

易于维护、管理和运营支持。

基于以上的网络设计原则，我们分别提出以基于1000M局域网交换机为基础的节点交换式局域网方案，下面我们将会分别详细介绍这个方案的结构和的特点。

我们相信，对嘉绿苑住宅小区局域网系统的设计，是一个开放系统的网络结构。

不仅能够满足嘉绿苑住宅小区现在及未来一段时间内局域网系统的需求，具有极高的性能价格比和可扩充性。

能够适应未来开发应用的需要，保护客户的投资。

二、高速网络技术的选择

在当今流行的高速网络技术中，先后出现FDDI、ATM、快速以太网和98年最新亮相的千兆以太网。

由于速度和成本问题，目前FDDI已几乎退出竞争；快速以太网由于千兆以太网的出现，在速度和技术已让位于千兆以太网，但继续占有廉价经济的市场。

在高速以太网的技术选型时，ATM和千兆以太网是两种主要被考虑的技术。

以下我们将从速度、技术起源和主流市场、效率对比、IP等协议支持、服务质量保证、组网能力、传输距离和价格等方面来对比。

下面我们从以下几个方面讨论千兆网络技术和ATM的比较：

1．速度

千兆以太网1000M（10千兆以太技术也正在制订标准）

OC3/STM1ATM155M

OC12/STM4ATM622M

OC48/STM16ATM2.4G

2.技术起源和主流市场

ATM起源于电信运营网络。

以往电路交换的优点是带宽时延稳定，缺点是在只能实现点对点服务，线路利用率低；分级交换的优点是支持一点对多点服务，线路利用率高，缺点是带宽时延不稳定。

ATM的出现综合了原有的电路交换和分组交换的优点，被ITU正式作为宽带ISDN的信息传输方式，它能真正实现语音、数据和图象等业务的综合，具有灵活、可变的传达室速率。

目前在电信帧中继服务网的主干里，ATM几乎是唯一的选择。

它还广泛用于广域和企业网骨干。

千兆以太网起源于局域网，由以太网、快速以太网发展而来。

它采用载波侦听/碰撞检测的工作方式对网络进行访问。

目前在单纯性楼内以太网络占有压倒性优势，而且是经济的考虑。

在园区和城域的数据网络同样占有一定优势。

基于IP的多媒体应用也正日趋成熟。

3．效率对比

基于IP的数据服务，由于ATM的信元较小，相对而言其ATM帧头所占的比例就比较大，利用率比较低，而千兆最大包长度很大，因此，相对而言帧头所占的比例就小，利用率相对高不少，因此：

千兆以太网的效率高于ATM；

如果要传输多媒体信息，由于ATM可以直接传输多媒体信息，而千兆以太网必须借助IP等协议封装多媒体信息，所以ATM的效率要高于千兆以太网。

且能保证服务质量。

4．IP等协议支持

千兆以太网可以直接支持IP等协议；ATM和以太网互联的技术有IPOA（IPOverATM）、局域网仿真（LANEmulation）和MPOA（Multi-ProtocolOverATM）等，其中局域网仿真需要设置仿真服务器（LES）、仿真配置服务器（LECS）和广播服务器（BUS），MPOA需要设置多协议服务器（MPS）。

ATM和以太网互联需要帧和信元之间进行转换，即分段和重装（SAR）。

5．服务质量保证

服务质量QOS（QualityofService）是ATM技术的强项，其固定长度信元和面向连接的技术特点保证了高标准的服务质量，同时，由于其帧长度比较小，因此，在传输对延时及延时抖动比较敏感的数据时，有较大的优势。

这也就是ATM被认为是下一代网络领先技术的原因之一。

传统的以太网没有服务质量的保证，在网络流量大、阻塞严重的情况下，传输时延会增大，甚至发生数据包丢失的情况。

为了适应现代网络高速度、高质量的需求，千兆以太网也在传统的TCP/IP的技术基础上发展了服务质量保证的技术。

在IEEE802.1p标准中，加入了服务级别（ClassofService）的应用保障，在一定程度上保障了服务质量，并为实现QoS奠定的基础。

6．组网能力

ATM通过PNNI路由管理，可实现灵活的连接分担和备份；

千兆以太网通常只支持生成树算法（SpanningTree），某些厂商可提供有限制的连接分担和备份。

7．传输距离

千兆以太网技术与光纤技术紧密相联，使其传输距离受到限制。

这对千兆以太网技术向广域网发展产生影响。

目前，各有关网络厂商都使用一些光纤技术，使传输距离可达70公里，最大达100公里。

ATM相对于千兆以太网，本身传输距离就可以更远。

由于ATM可借助传统的SDH分插复用设备来中继，所以在传输距离上基本没有什么限制的。

8．价格

ATM技术需要同时顾全电信和数据网络需求，提供基于连接的有质量保证的服务，因而其价格相对其它技术而言比较昂贵。

另一方面，在提供IP数据服务时，由于以太网在楼内局域网，特别是工作站服务器连接占有压倒性的优势，所以ATM骨干网往往需要ATM和以太网的转换，因而又加大了ATM主干的成本。

千兆以太网因为其基础技术比较简单和成熟，保证了其在性能价格比上的优势。

另一方面，千兆以太网从10M、100M到1000M采用统一的帧格式和网络访问式，在单纯性的以太网内升级容易，从而保持了其在单纯性楼内数据网络的压倒性优势。

嘉绿苑住宅小区应用主要为小区管理信息系统，基本上是传统的数据应用，因此，采用千兆以太技术有性能及价格方面的双重优势，同时，从发展的趋势来看，多媒体视频会议系统、视频广播服务以及传统的语音系统都将转移到以IP协议为主的包交换网络上，从以上方面的考虑，我们建议嘉绿苑住宅小区的主干网络技术采用千兆以太技术。

三、关键技术问题及解决方法

3．1网络可靠性

嘉绿苑住宅小区的网络系统是关键生产业务系统，因此，对系统的可靠性有非常高的要求，同时，对网络的故障恢复能力也有较高的要求，对此，我们从以下几个方面来保证系统的高可靠性：

网络设备的冗余配置：

对于中心交换机，我们配置了双冗余电源以及冗余交换引擎和冗余的多层交换（MLS）模块，保证不会由于其中一个导致整个网络系统的崩溃。

冗余线路：

对于关键部门及信息点，我们都采用了冗余线路，保证系统不会由于线路的故障造成网络系统的崩溃。

故障的快速恢复：

如果网络出现故障时，要求网络拓扑能快速收敛，这样，对于关键业务数据而言，才不至于导致会话的丢失。

对此，我们采用快速收敛的路由协议OSPF来保证。

采用虚拟路由冗余协议（VRRP），可以保证当一个多层交换模块失效的时候，另一个多层交换模块立即接管。

对于路由协议的选择，不需要多说，收敛快的路由协议将迅速恢复正确的路由表，保证关键业务的会话的完整性。

3．2系统的可扩展性

对于任何一个系统的设计，可扩充性是非常关键的因数，如果系统的可扩充性不要，可能造成用户的投资很快就被淘汰，因此，系统的设计一定要考虑到未来一段时间内的需求，对于这个问题，我们从以下两个方面来考虑系统的可扩充性：

性能和端口密度。

性能的可扩充性：

对于中心交换机，我们选择了3ComSwith4007交换机，并配置了双管理模块和双多层交换（MLS）模块。

单交换引擎的背版带宽为18G，采用双交换引擎的方式可以达到36G。

端口密度的可扩充性：

这个问题比较简单，3Com4007交换机具有7个可扩充插槽，现阶段加上两个监控引擎和两个9端口千兆交换模块以及一个12端口10/100M自适应模块共计6个插槽，还剩下1个用于将来扩展用。

另外，现在配置的千兆端口和10/100M自适应端口也有一部分剩余，用于备用和扩展。

3．3VLAN的划分

VLAN（VirtualLAN）基于交换技术，通过不同的划分方法（常用是基于端口和基于MAC地址两种）把原来一个大的广播区的局域网逻辑地划分为若干个“子广播区”，在子广播区的广播包只能在该子广播区传送，而不会送到其他广播区中。

网络设备通过VTP协议以及ISL或802.1q协议允许一个VLAN跨越多个交换机，从而提高VLAN划分的灵活性。

我们的设计支持两种VLAN划分方式，即基于端口、基于MAC地址，下面先对两种VLAN划分方式的工作流程做一个简单的介绍：

基于端口的VLAN划分：

这种划分方式比较简单，通过交换机配置命令将交换机端口划分到一个指定的VLAN中，所有连接到这个端口的工作站和服务器（包括通过这个端口级连）都属于这个VLAN。

这种方式的特点就是管理比较简单，但是灵活性不高。

基于MAC地址的VLAN划分：

在这种工作方式中，一个交换被指定为VMPS服务器，其通过TFTP下载一个VLAN与MAC地址的对应关系表，其他交换机作为VMPS客户机向VMPS服务器获取MAC地址和VLAN的对应关系，在基于MAC的VLAN划分中，要求支持基于MAC地址划分VLAN的交换机端口只能连接一个桌面工作站，通过交换机配置命令将一个交换机端口设置为动态成员方式，当一个工作站连接到交换机时，交换机通过窃取其第一个数据包中的源MAC地址，在检查本地Cache数据库，看是否这个地址在本地数据库中，如果在，就将该端口动态划分到指定的VLAN中，然后转发该数据包，如果该MAC地址不在本地Cache数据库中，这个交换机就向VMPS服务器查询，服务器查询到这个MAC地址和VLAN的对应关系后，将这个信息送到该交换机上，然后该交换机动态将该端口划分到指定的VLAN中，然后转发该数据包。

这种方式特点在于灵活性很高，桌面工作站的移动变化都不需要对交换机重新配置。

缺点在于其管理比较复杂，需要做出每个MAC地址与VLAN的对应表。

3．4VLAN之间的安全控制

在嘉绿苑住宅小区网络系统网设计中，所有选择的交换机都支持VLAN功能，这样，可以将具有同一安全级别的用户划分到一个VLAN中，这样，不同VLAN之间的用户不能直接访问，保证了网络系统的安全性。

在中心交换机上，我们通过访问控制列表控制VLAN之间的安全，这样就可以允许高优先级的VLAN段访问低优先级的VLAN段，而低优先级的VLAN段不能访问或有限的访问高优先级VLAN段。

访问列表包括以下几种类型：

标准访问控制列表：

通过网络层的源地址来限制指定的站点访问指定的VLAN，从而限制特定的站点访问特定VLAN的能力。

扩展访问控制列表：

通过网络层的源地址、目的地址、协议号、源端口、目的端口、包大小以及是否是已经建立连接的包等来实现对特定数据流的控制，从而保证限制特定站点访问特定服务的能力。

动态访问控制列表：

动态访问列表同普通的标准和扩展访问列表类似，设置方法有两个，一个是打开对所有主机的限制，另外一个参数就是只打开对当前连接主机的限制。

该主机就可以访问动态访问控制列表允许的服务，当没有数据传输后，空闲时间到达一个指定的门限时，动态访问控制列表自动关闭。

从而保证指定的服务只能让授权用户访问。

反射访问控制列表：

这中访问列表主要用于内部和外部两个区域的情况，路由器通过观测内部访问外部的数据来评估外部回来的数据是否是内部数据的一个连接，这样，保证内部用户可以访问外部用户，而外部用户不可以访问内部用户。

3．5远程接入的安全控制

拨号访问安全控制采用CiscoIOS内置安全控制能力结合Cisco-Assure安全访问控制服务器提供用户身份认证、用户授权以及用户记帐/审记功能。

具体描述如下：

身份认证：

采用TACACS+、RADIUS或KerberosV服务器对用户身份进行认证