Cisco網(wǎng)絡解決方案

Cisco網(wǎng)絡解決方案 根據(jù)網(wǎng)絡現(xiàn)狀和以后網(wǎng)絡發(fā)展需求，特提出以下設計原 則： 高可靠性，以保證 24 小時服務的可能性； 良好的響應時間，為客戶提供快捷的服務； 靈活的網(wǎng)絡結構，以利于網(wǎng)絡的擴展及延伸； 完整的安全性管理，維護金融企業(yè)及客戶的利益； 冗余線路備份及在線網(wǎng)絡管理。 1.1 總體設計 1.1.1 設計說明 廣域網(wǎng)聯(lián)接：DDN專線接入 WWW server:訪問管理，選用IBMNetfinitylOOO服務器 1.1.2 網(wǎng)絡配置建議 核心路由器 建議 Cisco7505 路由器為核心的網(wǎng)絡，以滿足對互聯(lián)網(wǎng) 網(wǎng)絡的高可靠性、易擴充性的需求。 7505 采用雙電源，實現(xiàn)電源負載均衡及相互熱備份； 2塊系統(tǒng)處理模塊RSP2提供7505系統(tǒng)處理的相互備份; 配置E1接口卡通過BNC線纜與電信的光端機相連，E1 線路采用時分復用技術可提供 30 個 64K 的 SLOT 使用，這 樣可以將所有的縣行接入并可滿足未來擴展的需要； 1塊8端口高速串口，最高速率可達2Mbps處理模塊， 提供8個串口/模塊，用于串行連接主機AS400； 1 塊 1 端口快速以太網(wǎng)模塊，用來連接服務器或局域網(wǎng) 交換機，可為局域網(wǎng)交換機提供VLAN之間的路由； 1.2 方案特點 本網(wǎng)絡解決方案針對網(wǎng)絡多應用、多協(xié)議的特點，在現(xiàn) 有的DON專線等線路基礎上采用Cisco路由器，建立一個基 于技術的企業(yè)網(wǎng)絡，見附錄一。 采用路由技術構造的網(wǎng)絡可以方便地在實現(xiàn)對 SNA、IP、 X.25 等多種網(wǎng)絡協(xié)議的支持。 Cisco 路由器支持 STUN、 DLSW等多種技術，可以實現(xiàn)令牌環(huán)、以太網(wǎng)和串行線等不 同介質的 SAN 鏈路層協(xié)議轉換，路由器的多路由特性，可 以實現(xiàn)路由迂回以及負載均衡(Load Sharing)功能。此外，路 由器還能提供其他諸如對多種動態(tài)路由協(xié)議的支持，對邏輯 網(wǎng)廣播包的隔離，按需撥號，入網(wǎng)的安全控制，優(yōu)先級控制 以及強大的網(wǎng)管等功能。 我們可以利用 DDN 線路為主干，這樣可以接入辦公自 動化業(yè)務以及未來的其他基于 TCP/IP 的應用。 方案：DLSW方式 特點：這個網(wǎng)絡設計把 Cisco 路由器放在網(wǎng)絡中心，應 用國際標準技術DLSW來傳輸SNA和IP數(shù)據(jù)。通過廣域網(wǎng) 連接（可以是公用DDN或專用幀中繼網(wǎng)絡，或者其他支持IP 數(shù)據(jù)傳輸?shù)母鞣N網(wǎng)絡），遠程路由器與中心路由器相連。在中 心的連接可以是以太網(wǎng)（或SDLC）連接到IBM主機，并以局 域網(wǎng)方式連接到IP應用服務器。 傳輸優(yōu)先級：DLSW可以保證SNA數(shù)據(jù)具有較高的優(yōu) 先級。 網(wǎng)絡運行費用：由于網(wǎng)絡支持多協(xié)議所以上新的業(yè)務時 無需申請新的線路購買新的網(wǎng)絡設備，從而降低網(wǎng)絡的運行 費用。 網(wǎng)絡安全:Cisco路由器支持對IP數(shù)據(jù)的增強濾過功能, 同時為 SNA 數(shù)據(jù)提供相應的安全性能（加密）。 網(wǎng)絡可靠性DLSW是基于TCP/IP的，在線路情況較差 時,可用性比原有的直連要好得多。 網(wǎng)絡靈活f生 應用DLSW方案，網(wǎng)絡可以在將來容納多 數(shù)的新應用面不需要改變這個網(wǎng)絡的架構。例如,我們需要 增加新的IP應用，而這種應用是在兩個遠程端之間實現(xiàn)的。 使用DLSW方案，用戶不需要增強廣域網(wǎng)上的連接而使用中 心路由器來傳輸兩個遠程終端之間的數(shù)據(jù)。 網(wǎng)絡高效f生Cisco路由器軟件可以對IP包頭進行壓縮。 經(jīng)驗告訴我們，經(jīng)過壓縮后，包頭小于 15 個字節(jié)這樣可以 減少部分的廣域網(wǎng)帶寬的開銷；DLSw是基于IP的，支持目 前幾乎所有的第二層網(wǎng)絡連接技術，而且我們相信IP也會支 持將來的，更快，更便宜的第二層網(wǎng)絡技術。 DLSw 方案是 經(jīng)過用戶廣泛使用并接受的方案。 Cisco 公司在全球范圍的 SNA 和 IP 集成網(wǎng)絡市場中占有 80%的份額。大多數(shù)網(wǎng)絡使 用DLSw技術，全球大約有3，000，000個Cisco路由器使 用這種技術。 所以我們向您推薦這種方案，并且我們將根據(jù)貴公司需 求和CISCO IOS所提供的特性對以上方案加以完善，并將對 大家所關心的擴展性、安全性以及設備2000 問題加以闡述。 1. 動態(tài)路由： 靜態(tài)路由的目的是直接提供優(yōu)先路由，減少路由器的廣 播量，動態(tài)路由協(xié)議有 RIP、OSPF、和 EIGRP(Enhanced Interior Gateway Routing Protocol).EIGRP 是 Cisco 九十年代 開發(fā)的基于 DUAL(Diffusing Update Algorithm)技術的一種更 有效的動態(tài)路由協(xié)議。EIGRP集鏈路狀態(tài)協(xié)議和距離矢量協(xié) 議的優(yōu)點為一體，提供更快的尋徑收斂，更有效的更新路徑 廣播，以及根據(jù)帶寬(Bandwidth)、負載(Load)、跳數(shù)(Hop Count)、時延(Delay)、開銷(Cost)等對不同路徑評價。EIGRP 支持 VLSM(variable-length subnet masks)， EIGRP 還是多路 徑協(xié)議，支持多條到達同一個目的的路徑之間的負載均衡 (Load Balance)，提供更大的吞吐量及可靠性。由于整個網(wǎng)絡 結構比較清晰，簡單，所以建議主干采用動態(tài)路由。 2. 網(wǎng)絡可靠性： 線路備份對于銀行的實時業(yè)務非常重要，所以通過不同 的電信節(jié)點的 DDN 線路作為相互備份和負載均衡，可靠性 很高。 3. 網(wǎng)絡帶寬優(yōu)化： 廣域線路性能優(yōu)化：當專線數(shù)據(jù)流量超過用戶規(guī)定的上 限時，網(wǎng)絡系統(tǒng)將自動啟動備份線路，以便提高整體網(wǎng)絡數(shù) 據(jù)吞吐能力，當專線數(shù)據(jù)流量低于用戶規(guī)定的下限時，網(wǎng)絡 系統(tǒng)將自動切斷備份線路，節(jié)約用戶通訊成本，達到動態(tài)調 整網(wǎng)絡性能;應用級網(wǎng)絡服務質量（QoS）的保證；因此Cisco 公司路由器具備各類用戶進行儔級劃分；保證業(yè)務應用的性 能； Priority Queuing（優(yōu)先級隊列技術）---保證高優(yōu)先級應用 可儔獲得廣域寬。 Custom Queuing（定制帶寬排隊）---保證不同應用可獲得 不同的廣域帶寬。 Weighted Fair Queuing（排隊技術）---保證實時要求較高或 會話量較小的應用。(如telnet)獲得足夠的帶寬，其余會話量 較大的應用如(FTP )能共享所余帶寬，保證這些運用的可靠運 行。 骨干網(wǎng)壓縮解壓技術：廣域網(wǎng)帶寬通常是有限的，并且 費用也較高，因此，為了整個網(wǎng)絡能充分有效利用廣域網(wǎng)帶 寬的資源，可采用多種網(wǎng)絡優(yōu)化方法，保證提供給網(wǎng)上的各 種應用一個優(yōu)化的網(wǎng)絡平臺。 Cisco 公司具備各種針對不同 廣域網(wǎng)絡協(xié)議的壓縮技術對數(shù)據(jù)進行壓縮，從而充分利用廣 域網(wǎng)帶寬，提高應用系統(tǒng)的性能。 合理分配 IP 地址 充分采用 VLSM(可變長子網(wǎng)掩碼技術)和路由總結 (Route Summarization)技術，減少路由表信息在廣域網(wǎng)上的傳 送。 合理采用壓縮技術 在采用 FrameRelay/X.25 或 DDN PPP 連接時，采用 TCP/IP Header Compression。 提高TCP/IP在 WAN上的通過量。 采用 DDN PPP 或 HDLC 封裝時，可采用 TCP/IP Link Compresson(Per interface Compression). 采 用 FrameRelay/X.25 時 還 可 以 Per Virtual Circuit Compression 局域網(wǎng)線路性能優(yōu)化：通過Cisco公司的VLAN動態(tài)衍 生樹技術，局域網(wǎng)絡交換機能夠充分利用局域網(wǎng)絡每條線路 的帶寬。如果采用 Cisco 快速以太網(wǎng)通道技術，主干的帶寬 最大可擴展到400 兆帶寬，大大提高網(wǎng)絡性能。 網(wǎng)絡設備性能優(yōu)化：無論是中心交換機不是中心路由器， 網(wǎng)絡設備均可牌熱備份的狀態(tài)，相對冷備份來說，網(wǎng)絡設備 性能利用得到成倍提高。 網(wǎng)絡安全性 隨著 Internet 的快速發(fā)展，網(wǎng)絡安全已成為網(wǎng)絡方面最 受關注的問題之一。防火墻為系統(tǒng)設立了第一道防線，但不 能徹底解決安全性問題，它只是完整的安全體系的一個組成 部分。對頻繁傳送重要信息的通信，加密被證明比防火墻更 為有用。安全性的風險也并不僅僅來自外界，調查表明各種 計算機被濫用的情況中大約 80%來自系統(tǒng)內部。因此，網(wǎng)絡 安全是一個集硬件、軟件、策略為一體的綜合體系。 我們可以通過 Cisco IOS 和防火墻技術的完整安全控制 功能來保證網(wǎng)絡的安全性。 通過路由設備對網(wǎng)上用戶作訪問控制 Username/Password—用戶名和口令控制 PAP和CHAP論證一通過論證方可建立PPP連接 AAA—論證，授權和記帳 NAT—網(wǎng)絡地址翻譯，可隱藏內部地址，保證內部安全 并解決 IP 地址不足。 Access List—可以針對網(wǎng)絡節(jié)點，通過IP地址的過濾， 作訪問控制。 Extended Access List一可以針對網(wǎng)絡應用，通過對應用 的源和目的地TCP端口號，對網(wǎng)絡應用作訪問控制。 數(shù)據(jù)加密--Cisco IOS 支持各種數(shù)據(jù)的加密，包括 DES40 和 DES50 。 Lock and key一對網(wǎng)上訪問用戶，首先進行身份論證，再 動態(tài)使用 Access-list 進行資源訪問控制。進一步提高網(wǎng)絡的 安全性。 路由驗證(route authentication)一支持對 OSPF, BGP4, EIGRP進行路由驗證，保證網(wǎng)絡路由表的安全性，防止路由 更新及路由表的非法更改。 1. 網(wǎng)絡擴展性 網(wǎng)絡規(guī)模的擴展方案 Cisco公司的路由器不僅支持RIP, RIPv2等基本的路由 協(xié)議，而且還支持 OSPF，IGRP，EIGRP，BGP4, IS—IS 等 先進的動態(tài)路由協(xié)議，從而可支持企業(yè)網(wǎng)絡的大規(guī)模的擴展 能力。 網(wǎng)絡性能的擴展方案 參見上文的“骨干網(wǎng)絡性能優(yōu)化” 網(wǎng)絡功能的擴展方案 可擴展為ATM/千兆混合網(wǎng)絡 可擴展語音/視訊多媒體網(wǎng)絡 等等。 6.端到端的解決方案 Cisco 公司區(qū)別于其他網(wǎng)絡設備公司的一個重要特點是 提供端到端的解決方案。端到端的解決方案是包括軟、硬件 平臺的一種能用體系，通過Cisco網(wǎng)絡操作系統(tǒng)IOS,為用 戶提供一致的網(wǎng)絡服務。它的好處是由統(tǒng)一的平臺來綜合多 種技術（如路由、交換、遠程接入、廣域網(wǎng)、IBM/SNA），統(tǒng) 一的操作界面用戶降低運營成本和改善系統(tǒng)的可管理性。它 還提高網(wǎng)絡配置的靈活和可擴展性，保護用戶的投資。 統(tǒng)一的體系結構：使用戶在整個網(wǎng)絡中享有Cisco IOS提供 的各種功能，得到一致的網(wǎng)絡服務。 統(tǒng)一的網(wǎng)絡界面：便于操作和維護，使用戶減少培訓費用， 降低了運營成本。 統(tǒng)一的產品系列：在網(wǎng)絡集成或網(wǎng)絡維護時，避免了多廠家 產品互連所可能產生的復雜狀態(tài)，在網(wǎng)絡故障情況時能夠有 較快的恢復時間。 網(wǎng)絡新技術潮流： Cisco 的產品系列覆蓋了網(wǎng)絡技術的各個 領域，并且領導著網(wǎng)絡最新技術的潮流。這一點對用戶非常 重要，保證用戶在網(wǎng)絡擴展和技術更新時能夠最大限度地保 護原有投資。 IOS：事實上的標準，Cisco的所有產品均是基于最常用的數(shù) 據(jù)網(wǎng)絡 （如以太網(wǎng)、令牌環(huán)網(wǎng)、 FDDI/CDDI、ATM、X.25、 VSAT、公用電話網(wǎng)、幀中繼、ISDN等）之上而制成，且要比 其它網(wǎng)絡廠家的產品支持更多更全面的通訊協(xié)議 （其中包括 TCP/IP、Novell IPX、DECnet、IBM SNA、OSI、SDLC、Banyan VINES、XNS、橋接等）。所有這些都包含在IOS中，使Cisco 的產品具有高性能、最全面的功能、高度的穩(wěn)定性。 IO S 是 所有 Cisco 產品的靈魂，同時許多其它廠家在他們的產品中 也采用Cisco的IOS，所以我們說它已成為網(wǎng)絡工業(yè)界的事 實上的標準。 7.QoS 服務質量保證 Cisco IOS 軟件是一個提供網(wǎng)絡服務，使網(wǎng)絡應用滿足連 接性、安全性、可靠性、可擴展性、可管理性的要求的平臺， 并支持先進的應用程序，如IBM、多媒體、語音和QoS服務 等。Cisco IOS QoS服務由三個關鍵組件構成：一個快速發(fā)展 的構件和功能集；一個高度靈活、用于執(zhí)行策略的工具，它 利用構件控制網(wǎng)絡資源的分配，以支持網(wǎng)絡客戶和應用程序 的要求；一個功能分布組件，它優(yōu)化了所有者(企業(yè)或 Internet 服務商)在服務配置和帶寬/容量方面的可擴展性要求。 8. Cisco 千兆以太信道技術(Gigabit Ethernet Channel) Cisco 的千兆以太信道技術是基于已證明的快速以太信 道技術，快速以太信道技術已經(jīng)被許多生產網(wǎng)絡采用。隨著 骨干線路業(yè)務量的持續(xù)增加，Cisco的千兆以太信道技術， 可以使關鍵骨干中繼的吞吐量擴充至幾千兆位。通過將多條 (可達 4 條) 千兆位以太網(wǎng)合成 1 條邏輯鏈路，設備間的吞吐 量可達8Gbps。專用硬件自動實現(xiàn)物理鏈路間的業(yè)務量平衡， 提供線速(Wire—speed)交換性能。 1.3 網(wǎng)絡改造的幾點建議 為了保證網(wǎng)絡的性能及穩(wěn)定，特提出以下建議和說明： 1. 關于方域網(wǎng)帶寬。當網(wǎng)絡承載的應用逐漸增多時，建議考 慮全面或部分提高某些線路的帶寬。鑒于電信局 DDN 資 源緊張，應從長遠考慮，提前規(guī)劃 DDN 線路。 2. 關于路由器內存。由于必須支持多協(xié)議，應重視路由器內 存大小，較大的內存有利于路由器內部緩存，提高處理速 度，嗇網(wǎng)絡的穩(wěn)定性。 3. 關于各節(jié)點環(huán)境。好的機房環(huán)境有利于降低設備的損壞 率，提高線路、設備的可靠性。必須配備UPS, —方面可 以穩(wěn)定電源，另一方面可以保證路由器 24 小時開機。如 果做不到 24 小時開機，則每天上班開機后，路由器首先 更新路由表，不僅占用了路由器的CPU,還會引發(fā)網(wǎng)上廣 播，占用寶貴的 DDN 帶寬。 1.3網(wǎng)絡產品介紹 1.3.1廣域網(wǎng)路由器產品介紹—Cisco Router 7500 1. Cisco7513/7507/7505 Cisco 公司的 Cisco 7500 系列路由器是目前市場上最高 檔的多協(xié)議網(wǎng)間路由平臺，它在 7000 系列的基礎上進一步 提高了性能和可靠性，擴大了所能支持的網(wǎng)絡規(guī)模，為企業(yè) 網(wǎng)絡提供了安全性、可靠性、穩(wěn)定性和可擴展性。它與7000 系列的模塊完全兼容，保護了用戶的投資。業(yè)界領先的 Cisco IOS使它支持所有LAN和WAN接口，優(yōu)化WAN服務，控 制網(wǎng)間訪問，進行數(shù)據(jù)的壓縮和加密。它可應用于交換虛擬 網(wǎng)的路由、網(wǎng)絡多媒體和主機互連、Internet網(wǎng)絡主干和訪問 層節(jié)點以及通過高速WAN的客戶機/服務器應用等。 1.1、規(guī)格 Cisco 7513/7507/7505 分別具有 13/7/5 個插槽，用戶可 用的插槽數(shù)分別為 11/5/4； 路由交換處理器模塊(Router Switch Processor Module) 占一槽，7513/7507可用雙RSP做備份； MIPS 100MHz R4000 RISC 處理器； 16M DRAM，每個RSP模塊可擴展到128M； 8MB Flash，每個RSP模塊可擴展到40MB； 128KB NVRAM； 系統(tǒng)總數(shù)為CyBus，其中7505為單CyBus，其帶寬為 1.066Gpbs,7507/7513 為雙CyBus,，其帶寬為2.132Gbps1 個快速以太口，4個以太口的VIP模塊 4 個以太口， 4 個串口的 VIP 模塊 以太接口處理(EIP)模塊 快速以太接口處理(FEIP)模塊 令牌環(huán)接口處理(TRIP)模塊 FDDI接口處理(HIP)模塊 快速串行接口處理(FSIP)模塊 ATM接口處理(AIP)模塊 多通道接口處理(MIP)模塊 通道接口處理(CIP)模塊 1. 2 特點 模塊化結構機箱，支持全部各類的LAN和WAN接口和 協(xié)議； 支持全部功能組的路由軟件(I OS)； 路由和交換功能在一個RSP模塊上實現(xiàn)； 總線帶寬高達 2Gbps ； 所有模塊都可帶電撥插而無需新配置； 在線軟件重配置可不中斷網(wǎng)絡應用和服務； 軟件升級后能快速啟動(典型為 35s)； 7507/7513支持冗余、負載均衡的雙電源系統(tǒng)（AC或DC） 和雙 RSP 備份，消除了單點失效的可能性； 支持與 IBM 主機的信道直連； Flash memory 保證了軟件的快速可靠升級； 環(huán)境監(jiān)控、自診斷和工具保證系統(tǒng)的正常運行； 1.3.2 局域網(wǎng)設備 intel 550T 交換機 intel 550T 系列是工業(yè)界第一個用于網(wǎng)絡集線中心環(huán)境 的模塊組合式交換機平臺。它包括一個集成的交換硬件結 構，支持交換的10M和100M以太網(wǎng)，可通過快速以太網(wǎng)、 增強的功能包括交換式的 FDDI 和第三層交換處理能力。通 過容錯系統(tǒng)支持獲得最大限度的網(wǎng)絡伸縮性。 基于互連網(wǎng)和Windows*操作系統(tǒng)的直觀的安裝與控制 W性 可擴充的堆疊技術 在堆疊中每增加臺交換機 便可增加 2.1Gbps的背板容量 第二層交換(IP/IPX路由) 允許網(wǎng)絡分段，以增強性能 冗余電源 容錯、可靠 IP數(shù)據(jù)包過濾 通過阻止不必要的Http、Telnet 或FTP訪問來增加安全性 IP多點廣播支持 (I 路 利用互聯(lián)網(wǎng)成組管理協(xié)議 GMP)或遠距離矢量多點廣播 ?由協(xié)議(OVMRP) 提高寬帶利用率 RSVP 通過保留帶寬來改善對等待 時間敏感的應用傳輸質量，如 音頻和視頻 差別服務 劃分通信的優(yōu)先級，使關鍵義 務應用具有優(yōu)先權 鏈路集合 集合多個端口來支持更咼帶 寬的連接，并提供額外的網(wǎng)絡 Intel Express 330T 可堆疊網(wǎng)絡集線器 特性 優(yōu)點 自適應10/100端口 與 10Mbps 或 100Mbps 任一設 備相連每個端口均可傳輸最 高帶寬的信息 可堆疊16端口和24端口模塊 最多可以堆疊5個集線器，達］ 120個端口 ，易于網(wǎng)絡擴展 到 標準機柜尺寸(RU) 端口密度更加緊湊，節(jié)省空間 擴展模塊 擴大網(wǎng)絡覆蓋半徑，提供全雙 工或半雙工轉接 自動調整電源 自動與AC電源相連 端口至多路訪問控制器的地 址映射 有助于提咼安全性 1.4.1 技術支持 本公司在幾年的經(jīng)營發(fā)展中，培養(yǎng)起了一支富于經(jīng)驗的 網(wǎng)絡工程技術隊伍，并形成了整體技術及服務組織。 技術支持的力量和制度主要體現(xiàn)在以下幾個方面： ?公司憑借自己的優(yōu)勢，和供貨廠家建立了牢固的長期合 作關系，在技術上和產品維護上，我們可以得到供貨商 的全力支持和協(xié)助； ?公司的網(wǎng)絡工程師們對于Cisco、IBM、HP、INTEL的 產品在各種應用下的互連，及其與主機和各種終端設備 的集成有著十分豐富的實踐經(jīng)驗和解決問題的能力； ? 公司的客戶部專門負責聽取用戶意見，接收用戶反饋信 息和技術咨詢的協(xié)調，他們會及時找相應領域的資深工 程師為用戶作出最滿意的服務； ?在軟、硬件設備上嚴格遵守原廠家的免費保修期，在保 修期后，公司仍會提供高質量維護服務； ? 隨著技術的進步和通訊狀況的改善，公司會及時主支提 供各種相關新技術資料和網(wǎng)絡系統(tǒng)進一步改進的建議 供用戶參考。 1.4.2 售后維護服務 1.4.2.1 網(wǎng)絡設備維護 網(wǎng)絡設備維護包括： 預防性維護 故障修理維護 現(xiàn)場維護 預防性維護： 為確保網(wǎng)絡高效率、高穩(wěn)定地運行，公司的網(wǎng)絡維護工 程師將按工作需求與實 一起協(xié)商安排設備的定期預防性維 護。 現(xiàn)場維護： 網(wǎng)絡設備免保期間，網(wǎng)絡吞吐量較大或網(wǎng)絡流量變化較 大時，本公司可以應要求派工程師去現(xiàn)場維護網(wǎng)絡，雙方共 保網(wǎng)絡的穩(wěn)定運行。 1.5 附錄 網(wǎng)絡拓撲圖