校园网络升级改造设计(精选11篇)
校园网络升级改造设计 篇1
软交换作为一种功能实体, 为下一代网络NGN提供具有实时性要求的业务呼叫控制和连接控制功能, 是下一代网络NGN呼叫和控制的核心。下一代网络NGN是指采用大量新技术, 以IP为中心, 支持语音、数据、多媒体业务的融合网络, 其以软交换为控制层。在软交换技术迅速发展的今天, 软交换核心网络作为软交换网络的核心部分, 其升级改造更加重要。
一、某市软交换核心网现状
某市软交换核心网中总共有7套软交换设备, 其中有4套软交换设备是全市的汇接层设备, 来自同一厂家, 有2套设备是另外一个厂家生产的, 在全市的网络结构中处于端局位置;还有1套设备是长途软交换设备, 是中继网关设备, 负责该市的IP长途话务。在该市的网络中, 存在有大量的端局、长途局、关口局、汇接局等, 机型不一, 极度混乱。
1.1承载网
软交换核心网的承载网设备主要是高端路由交换机、三层交换机, 同时, 该市为保证IP长途话务的顺畅, 满足人们的IP长途话务需求, 开通了往CN2电路。
1.2信令网
信令网的功能是实现No.7信令消息与IP网信令消息之间的互通, 既可以是一个独立的物理设备层, 也可以嵌入到其他设备中。该市的信令网中有一对中高端路由交换机设备、信令交换机, 其中, 信令交换机起到交换信令的作用。而路由交换机是信令网的核心设备, 其与承载网的核心设备之间有IP电路, 并通过防火墙等安全设备防止外界力量对核心设备发出攻击。
二、软交换核心网存在的问题
该市软交换核心网是试验网络之一, 其在建设初期考虑的主要因素是验证软交换网络的某些技术指标, 在近些年来进行了一些升级改造, 但用户的增多和业务种类的增加使得软交换核心网还存在很多问题, 其严重影响了该市网络的安全运行以及新业务的推广。
2.1网络风险高
该市的软交换核心网采用的单一软交换局平台, 无法实现双归属功能, 在发生宕机时就可能出现软交换核心网的崩溃。而用户的不断增加又给单软交换局的网络运行带来了巨大的压力, 其网络运行风险高。为满足该市每年10万软交换终端用户的发展目标, 必须尽快建立一个新的软交换局, 分摊业务和负荷, 实现双归属功能, 提高核心网的安全。
2.2IP地址规划不合理
由于该软交换网络是为验证某些软交换网的技术指标而兴建的, 故而其在建设之初时多采用公网IP地址, 许多承载网设备和软交换设备都采用的是公网IP地址, 无法接入到后来兴建的CN2网络中, 占据了大量的IP地址资源, 不利于网络安全性的提高。为满足大规模互联的需求, 将软交换设备和承载网设备接入到CN2网络中, 实现省内外长途话务的分流, 节约公网IP资源, 必须将该软交换核心网中部分设备的公网IP地址改为私网IP地址。
2.3端汇合一需求大
在软交换核心网的升级改造以及新软交换局的建设过程中, 应将旧软交换局中的部分终端用户分配到新软交换局中, 开展端汇合一改造, 实现智能业务的承载。改造后的新旧软交换网既能直接进行SHLR查询, 还具备SCP触发功能, 能有效缓解当前网络负载过大现状, 为用户提供高质量的网络服务。
三、软交换核心网升级改造思路
通过前文的现状和问题分析可知, 该市软交换核心网升级改造的主要任务是:新建一个软交换局, 旧软交换局的承载网、IP地址等进行改造, 新旧软交换局的端汇合一改造等。虽然说从改造任务上来说是一个很简单的任务, 只需要对物理层的设备进行相应的改造和配对, 进行一些网元改造。但从整个网络结构上来说, 新建一个软交换局会改变整个网络结构, 在设计时也需要充分考虑到新建软交换局对该市网络产生的不良影响, 明确新建软交换局在网络体系中的地位和功能, 要如何实现端汇合一功能等等。
3.1新建软交换局的定位
本升级改造项目中新建的软交换局主要功能提高网络运行安全、实现双归属功能和端汇合一功能。双归属功能的实现很简单, 只要保证2套软交换设备的所有配置都是一模一样的就可以了, 而要实现端汇合一功能就比较复杂。对此, 在定位设计中主要考虑以下几点:第一, 确保2套软交换设备中的SG、TG、MRS等相互配合, 根据双归属功能的实现要求确保部分设备的软硬件版本、板位等的一致性。第二, 双归属使用业务切换到备用软交换承载业务中实现业务的容灾恢复, 这里的切换方式包括部件间的切换、软交换间的切换。媒体网关间的切换、链路切换等, 那么应如何选择切换方式呢, 这是新建软交换局中需要考虑的问题之一。第三, 检测现有网络的SSP功能和业务是通过哪个网元怎样实现的, 在实现SSP功能的同时, 媒体侧和信令侧有什么区别。罗列出无法通过软交换实现的智能业务, 分析如何利用现网实现对这些业务的保留。实现端汇合一后又该怎样管理话务, 尤其是如何管理长途话务;如何查询SHLR和触发SCP。
3.2处理网络瓶颈
新建软交换局带来网络结构的整体变化、话务结构的变化, 虽然说能解决一些问题, 但新的网络结构也会出现新的网络瓶颈, 因此, 必须在设计时分析可能带来的网络瓶颈, 并采取合适措施解决。若是新建软交换局只是带来带宽少、中继不足等问题, 一般可以通过增加带宽、中继等方式来解决。当网络瓶颈更加复杂时, 就需要寻求其他方法来解决。如:更改话务路由和承载方式、适当增加网元设备。
3.3网络改造
媒体承载网改造时需要注意核心路由交换设备的组织处理能力, IP信令承载网改造重在核心设备的安全, 确保核心设备的带宽能满足需求, 采取有力安全措施保证核心设备的运行安全。为实现全网的互联, 先将全国全网的IP地址规划成本地的IP地址, 明确每一个IP地址的具体功能, 这样就实现了IP地址改造, 实现全网的IP互联。在IP改造中还需要注意改造后带来的影响, 并仔细规划, 将影响降到最低。比如说:在AG设备的IP地址改造中, 会对AG设备所带用户通话产生影响, 应仔细规划每一个AG设备的IP地址改造方案。
3.4计费、网管等后台系统的改造
软交换核心网的升级改造必然会对计费、网管等后台系统产生不良影响。在本升级改造项目中, 应注意网管对双归属软交换数据下发形式的改变, 每一次数据的下发都需要经过2套软交换设备, 由网管进行统一的数据检查。新建软交换局后, 是否会产生新的计费采集点也是后台系统改造中需要考虑的问题。
四、结束语
随着软交换技术的快速发展和网络用户的增加, 许多地区的现有软交换核心网已经无法满足日益增长的需求了, 必须对其进行相应的升级改造。本文梳理了某市软交换核心网的现状和存在的问题, 并就升级改造设计中需要注意的问题进行简单的梳理, 提出设计重点, 希望对部分地区的软交换核心网升级改造项目有所助益。
摘要:本文以某市软交换核心网络的升级改造为例, 在阐述其承载网和信令网运行现状的基础上简单分析其软交换核心网络中存在的几点问题, 即:网络风险高、IP地址规划不合理、端汇合一需求大, 然后再提出升级改造的设计思路。
关键词:软交换核心网,端汇合一,IP地址
参考文献
[1]万迪智.软交换核心网络升级改造设计思路[J].广东通信技术, 2008, 28 (12) :2-7
[2]杨超.核心网软交换IP化组网方案的设计研究[D].大连海事大学:2009年
[3]杨士军.基于软交换技术的移动核心网网络方案设计[D].山东大学:2008年
[4]张玉成.GSM核心网软交换技术应用与工程设计[D].哈尔滨工程大学:2009年
校园网络升级改造设计 篇2
宽带网现在是普遍的使用,它是一个以TCP/IP协议为基础,具有大容量高速传输能力,性能比较稳定的营运及宽带网络。不同的地区要根据各自的情况建立一个高宽带、高速度和高质量的信息传输网络,为覆盖内的用户提供相应的网络服务,并且要和上级广电部门链接,保证信息数据的及时传送。
2.2模拟电视向数字电视转化
以前的模拟电视,由于数据传输缓慢,性能不稳定等因素,现在被数字化取代。数字化电视是现如今的主要模式。从满足群众的需求和资源效益的最大化等各个方面来看,模拟电视向数字电视的整体转化是符合我国目前有线电视基本情况的特别有效的发展模式。在未来的几年,要全面完成数字化转换。
2.3技术的双向改造
校园网络升级改造设计 篇3
【关键词】有线电视网络;技术改造要求目标实施
有线电视网络的升级与改造关系到千家万户的切身利益。目前, 我国已建成世界上最庞大的有线电视网络。为了我国的有线电视事业能继续稳定地发展下去,需要对传统网络进行升级改造。
1.网络改造的要求
1.1网络的高可靠性、高稳定性
在进行有线电视网络的双向改造时,应将网络的可靠性、稳定性放在首位。这是因为双向有线电视网络不是单一的、广播形式的网络,而是一个交互式的综合信息网络,其可靠性的优劣直接关系到网络运营的成败。在进行双向网络改造时,首先必须遵循高可靠性、高稳定的原则。主要应该包括以下几个方面的要求:
(1)网络设备、部件的稳定性要有显著的提高。
(2)设备内关键部件应有冗余备份,因为部件的冗余备份是提高设备可靠性的重要措施。
(3)必须建立高效的网管系统。真正实现对网络设备的有效监控,充分满足网络可靠性要求。
(4)网络设备的安全性(接地、防雷、抗浪涌)与系统安全性(主机、操作系统、应用系统)也是可靠性改造中的重要内容。
(5)网络建设和施工要做到低故障、易维护、易管理。
1.2网络的开放性、可扩展性
双向有线电视网络的设计要适应技术和市场发展的需求,明确网络改造的目标。应和其他网络有很好的互联互通性。在网络技术日新月异的今天,网络要有能力和将来的技术融合,网络系统中要能随时加入新的设备,有关软件能够顺利升级。大力发展数字电视是有线电视网络发展的方向。因此,网络改造必须做到既满足近期需要,又能满足未来数字电视对于网络的技术要求。所以在网络改造中,我们应合理规划光网络、分配电缆网络,使网络能保证数字电视的发展。
2.网络升级与改造的目标
网络是广播电视的生命线,只有形成全省、全国的网络,才能真正发挥出广播电视系统的优势和规模优势,也才能真正发挥国家信息化的基础设施作用。
纵览CATV的发展史,升级改造伴随其发展的始终。在升级改造时起点越高,所改造的CATV网的服务周期越长,投入产出比也越高。因此在制定网络升级改选目标时应结合国内外有线电视技术的现状和发展,本着高起点、高质量、高要求的指导思想,从建设“信息高速公路”的长远目标出发,立足有线电视,着眼综合信息网,既考虑目前的实用性与经济承受能力,又考虑到长远发展的需要,应确定采用HFC网,干线传输以光纤网络为基础网络建设,这不仅是事业发展的主要基础,而且集先进性、长久性、实用性、经济性、高可靠性和多功能兼容性为一体。只有都建立HFC局域网,才能为日后交互式电视、数字化信息传输、多功能网络的实施以及与互联网接轨预置一个高性能平台。为此,网络升级改造的目标是:
(1)为使有线电视接入网能与省SDH光纤干线传输网相匹配和接口,接入网升级改造后具有双向传输功能,能实现多功能应用。
(2)能适应传输模拟信号向数字信号过渡,包括语言信息传输,在条件成熟时,实现三网合一。
(3)配备先进的网管系统,能实现有条件接收。
3.网络升级改造的形式、模式
3.1网络升级改造的三种形式
(1)原有有线电视网络中电缆干线部分改造成光缆干线(可利用原有杆路路由或做适当改变)。以提高信号的传输质量,增加播出节目套数,仍无法实现多功能交互业务。
(2)重新敷设光缆干线,改变分配形式,将光节点的光接收机配置反向光发射模块与双向放大器、反向光收,网管系统、服务器等一起构成双向交互业务平台。缺点是反向通道中噪声干扰大,电缆屏蔽较难解决,系统瓶颈问题严重,系统设备投资大。
(3)采用ATM技术与有线电视网结合的技术,技术复杂,性能价格比不高,扩展能力差。
3.2升级改造后的几种模式
(1)改造成模拟光纤网。一是AM(调幅)光纤网,这是世界上普遍采用的一种性价比较高的传输方式,其突出的优点在于,频道的安排和调制方式与广播电视系统标准完全兼容,光接收机输出可直接接入电缆网络,便于实现光纤一同轴电缆混合网络(HFC)系统传输,有利于双向传输和交互式业务的开展,为下一步宽带信息网的发展铺平道路。其中1310nm光传输窗口由于受光纤损耗的限制,传输距离有限。1550nm光传输窗口光信号可以用掺饵光纤放大器(EDFA)直接放大,多级EDFA串接可以使传输距离达200KM,可以解决大范围多节点的联网。二是 FM(调频)光纤网。这种模拟网的优点是信噪比高,传输距离远,(可达70KM,加中继达几百公里)缺点是每个频道的带宽较大,传输频道较小,调制方式与广播电视系统标准不兼容。
(2)改造成数字光纤网。一是无压缩数字光纤网。它的优点是传输质量高,对误码率的要求很低,终端设备相对压缩数字低很多,缺点是误码率较高,每个频道用一百多兆比特,多用于专用网。二是压缩数字光纤网。压缩数字电视的质量和压缩率有关,压缩程度越厉害,图像质量越差。压缩数字电视是电视传输的发展方向,将来点播电视必须要用,但目前成本还很高。
(3)改造成CAIP网络。采用CAIP网络技术,即在HFC网络基础上架构宽带IP城域网,这也是信息高速公路的宽带用户接入网最佳传输媒介。该网采用先进技术,高起点、高水平、高质量建网,既满足当前的业务传输需求,也适应将来业务发展的需要。
4.网络升级改造的实施
根据升级改造目标和经济条件,其实施一股有以下三种方案:
(1)全面升级改造方案--争取到一大笔资金,在现有网络维持工作的同时, 另以新的一套设备从前端到用户,取而代之,在一夜之间进行割接,使之“脱胎换骨”。
(2)分期升级改造方案--先规划小区,将光纤节;点建到小区,与原分配网络相“对接”,使信号质量及可靠性来一个大的跳变,然后再改造分配网络。这一方案适宜于干线比较长,放大器级数多的网络。
(3)部分升级改造方案--对于现有干线级数不多的网络,先改造电缆分配网,使之由手动增益控制升级为AGC或ASC控制,由单向网络升级为双向网络,既解决信号稳定问题,又为下一步奠定基础。
经济条件好的可选全面改造方案,经济条件较好的可选分期改造方案,依靠自己力量滚动发展的,可选部分改造方案。即使是部分改造方案,也应当是规划目标下的分步实施方案,所采用的器件应合乎总体改造目标。
有线电视网络的升级改造起点越高,寿命越长,重复投资就越少。经过认真地论证和预算,采用适当的方式引入资金,高起点升级改造,特别是处于经济发达、多功能应用前景广阔的地区,这不失为一种明智的选择。
校园网络升级改造设计 篇4
为提高诊疗效率、提升综合竞争力,随着医院信息化建设水平的不断提高,我院开始实施全院级的影像归档与传输系统(picture archiving and communication systems,PACS)。由于PACS主要传输图像和视频信息,其需要处理和传输的数据量比传统医院信息系统(hospital information system,HIS)中传输的文本信息多出几十甚至数百倍,因此对承载PACS应用的网络系统提出更高要求,即承载网络系统在性能、高可用性、安全性、可扩展能力以及可管理性等方面均要有所加强,以保证PACS顺利实施[1]。
1 医院网络现状
我院的网络系统始建于1996年,为百兆主干网络,于2007年新的住院大楼投入使用时进行了改造升级,网络主干采用千兆以太网技术。当时在网络系统的规划设计过程中,考虑了未来随着应用发展对设备扩展能力的要求,所选用的核心设备采用模块化的体系结构,能够支持10 GE(万兆)技术,现有核心设备采用双机双引擎结构,通过冗余的光纤链路连接分布在各个分配线间的接入交换机,并且采用了多种保证网络系统高可用的技术手段。内网整体采用动态开放式最短路径优先(open shortest path first,OSPF)路由模式,双核心采用HSRP(热备份路由器协议)双机设备保证双链路的冗余稳定。我院网络系统现状如图1所示。
2 PACS 网络带宽计算
PACS主要存储和传输医疗影像数据,包括超声(ultrasonic,US)、电子计算机断层扫描(computed tomography,CT)、磁共振成 像(magnetic resonance imaging ,MRI)、计算机X线成像(computed radiog raphy,CR)、数字化X线摄影(digital radiography,DR)等,这些图像的数据量一般都比较大。表1是这些图像数据的常见大小和分别在快速以太网和千兆以太网上的传输时间,根据实际情况,其中可用带宽均按理论带宽的50%计算(以太网本身的特点决定)。
由于很多设备支持将图像进行无损压缩后的传输,因此大部分设备上传PACS服务器都可以控制在10 s以内,不会产生过多的网络瓶颈[2]。但在阅片时,如果同一时刻内有很多阅片工作站(假定高峰时为20个)从PACS服务器上下载图像数据,线速的百兆端口的包转发率为0.148 8 Mpps,调阅1个40 MB的图像数据时,需要大约6 s,因此在使用百兆带宽时,打开一个图像的时间会超过1 min或更长,这在实际应用时几乎是无法忍受的。因此,通过计算使PACS达到良好的使用效果,千兆的端口带宽需求是必须的。
通过调研,在实际应用环境中已上线的PACS比较普遍的均是使用千兆以太网连接工作站。而在网络设计的参考规范中,主干带宽往往要求比接入带宽大一个数量级[3]。因此,在我院PACS承载网络的结构设计中,计划采用千兆以太网技术连接接入工作站,采用大一个数量级的10 GE以太网作为主干传输技术。
3 PACS 承载网络设计方案
针对PACS对网络系统的要求,结合网络系统的现状,计划采用如下3种具体方法设计PACS承载网络。
3.1 方案 1:PACS 单独构建承载网
在本方案中,在现有核心设备Cisco 7609上配置1块8端口10 GE接口卡。在PACS服务器前端,增加2台PACS专用的核心交换机Catalyst 4506E,在其上配置1块24口千兆光接口板用于连接各个PACS服务器,另外配置1块6口10 GE接口卡用于上联核心Cisco 7609和下联分布在放射科室的接入交换机。在放射科室,用能够支持10 GE上联的Catalyst 3750E或Catalyst 3560E替换现有的Catalyst 2960,通过千兆以太网连接PC终端。本方案的网络结构示意如图2所示。
采用此方案明显的优势在于为PACS构建了单独的承载网络,使PACS相对物理独立于其他应用,能够保证PACS的数据流量单独在网络中传输,不给核心设备增加额外的负荷,而且可用性较高,可以保证即使出现2台核心交换机同时故障的极端情况,PACS也不会受到影响[4]。
采用此方案的缺点在于设备投入较大,因为需要额外增加2台PACS核心网络交换机。
3.2 方案 2:PACS 承载网共用现有的网络平台
在本方案中,在现有核心设备Cisco 7609上配置1块8端口10 GE接口卡。在PACS服务器前端,增加2台PACS专用的核心交换机Catalyst 4506E,在其上配置1块24口千兆光接口板用于连接各个PACS服务器,通过引擎上自带的2个10 GE端口上联核心Cisco 7609。在放射科室,用能够支持10 GE上联的Catalyst 3750E或Catalyst 3560E替换现有的Catalyst 2960,通过10 GE上联端口连接到核心设备,通过千兆以太网连接PC终端。本方案的网络结构示意如图3所示。
采用此方案的优势在于为PACS构建了单独的承载网络,使PACS相对逻辑独立于其他应用,利用核心设备的高性能指标保证PACS对承载网络性能的要求,利用保证核心设备的高可用性的技术手段保证PACS的高可用性[5]。此外,采用本方案可以使网络结构更加清晰,便于以后的应用扩展,而且设备投资相对于方案1能降低一些。
3.3 方案 3:直接在现有网络系统上扩展
在本方案中,在现有核心设备Cisco 7609上配置1块8端口10 GE接口卡用于连接放射科的接入交换机,再配置1块24口千兆光接口板用于连接各个PACS服务器。在放射科室,用能够支持10 GE上联的Catalyst 3750E或Catalyst 3560E替换现有的Catalyst 2960,通过10 GE上联端口连接到核心设备,通过千兆以太网连接PC终端。本方案的网络结构示意如图4所示。
采用此方案的优势在于结构简单,易于部署,且最为经济。缺点在于使PACS对现有网络的依赖性加强,存在一定的风险。
4 PACS 承载网络建设
计算机网络系统的设计是受经费限制的,因此在考虑网络解决方案时必须考虑性能价格的平衡。而不同的网络系统所关注的网络侧重各不相同,如:国家政府、国防部门更侧重于网络安全存取控制强度;金融部门侧重于身份认证、审计、网络容错等[6];而医疗卫生部门侧重于数据传输的稳定和可靠。通过复核,现有2台Cisco 7609核心交换机在上午高峰时期CPU利用率为5%、内存利用率为15%,在性能、高可用性等方面均能满足PACS的扩展要求。因此,此次在建设PACS承载网络时,计划采用在现有网络设备上扩展的方式,以期达到投资相对较小、见效相对较快的目的,保证PACS的顺利上线。计算机网络中心机房到放射科架设1条多模万兆光纤,2台Cisco7609核心交换机都增加万兆模板,为放射科交换机、PACS服务器提供双上连核心交换机万兆接口。通过安装10 GE接口卡,即可实现向10 GE骨干的平滑过渡。汇聚层设备利用千兆链路汇集本区内接入交换设备,同时汇聚交换设备也负责终结本区用户业务VLAN,并进行VLAN间数据报文转发。出于网络高可用性的考虑,汇聚设备之间利用一条独立的千兆链路互联构成环路结构,利用路由协议来控制路由路径和冗余链路,从而保证当本区内汇聚的上行链路发生故障时可路由选择相邻备份路径传输数据[7]。
5 实际效果
通过此次改造,医院网络系统收到了明显的实际效果,实现了PACS的主要科室万兆主干千兆到桌面的访问速度,且核心交换机的CPU、内存等的占用并不是特别高。由于充分考虑到系统的先进性,改造后的“核心+汇聚+接入”3层网络架构和网络设备的配置及带宽在能很好地满足PACS和医疗业务需要的同时,也增强了网络的可扩展性。双核心+双汇聚+双接入的网络设计架构,为我院网络提供了高稳定性和可靠性的数据传输平台,保证了网络能够提供高速稳定的数据传输,可为医院提供健壮的数据传输神经中枢。
6 结语
医院计算机网络改造是一个复杂的系统工程,我院通过对网络改造的精心准备、合理规划、设计方案、分步实施,加之医院领导的大力支持,使得该项目的实施取得了预期的效果[8]。本次网络系统改造使得医院信息系统的带宽、稳定性、安全性、可靠性以及可管理性得到大幅度提高,为HIS、LIS、电子病历等系统提供了稳定运行的网络平台,有效地保证全院级PACS、手术示教系统等的网络应用要求,为我院实现数字化医院奠定了坚实的网络基础,满足了我院未来信息化发展的需要,取得了良好的社会效益和经济效益。
摘要:目的 :为适应影像归档与传输系统(picture archiving and communication systems,PACS)的建设需要,利用万兆以太网组网技术,对医院原有网络进行升级改造。方法:通过对某院网络现状和PACS网络需求的分析,设计了万兆网络升级改造3个方案,通过综合对比分析3个方案的优缺点,并根据实际情况和预算按照第3方案进行了网络改造的实施。结果:满足了PACS万兆网络的需要,从整体上消除了网络的瓶颈,实现了医院网络的可靠性、安全性以及可扩展性。结论:万兆网络升级改造为医院提供了高带宽、高稳定性和高可靠性的数据传输网络平台。
校园网络升级改造设计 篇5
投 标 函
广西电网公司 :
1、根据已收到的 的招标文件,我方经研究上述项目招标文件的投标须知、合同条款、技术文件和其他有关工程文件后,愿意按上述合同条款、技术文件等有关工程文件的条件承包上述工程的初步设计、施工图设计、竣工图编制等全过程勘察设计资料、服务及其他有关工作。
2、我方承诺:
项目勘察设计费用根据工程批准的初步设计审定概算按《工程勘察设计收费标准》(2002年修订版)、《20kV及以下配电网工程建设预算编制及计算标准》(2009年)计算,在经招标人审定后的设计费的基数上,我方的报价为:审定概算勘察设计费的百分之(小写:%)。
3、我方完全理解不保证报价最低的投标人中标,并同意自行承担为投标所发生的一切费用。
4、我方同意所递交的投标文件在“投标须知”规定的投标有效期内有效,在此期间内我方如能中标,我方将受此约束。
5、除非另外达成协议并生效,你方的中标通知书和本投标文件将构成约束我们双方的合同。
6、在投标有效期内,如果我方撤回投标文件、提供虚假的证明文件欺骗你方、中标后拖延或拒签合同,则我方提交的投标保证金,你方有权不予退还。
投标单位:(盖章)单位地址:
法定代表人:(签字、盖章)邮政编码:
电话:传真:
开户银行名称:银行帐号:
开户行地址:
印度铁路宣布升级改造 篇6
中国和印度都是文明古国和发展中大国。1950年4月1日,中印两国建交。当时,印度是非社会主义国家中第一个同中国建交的国家。1954年6月,周恩来总理对印度进行第一次正式访问,两国总理在联合声明中重申了和平共处五项原则。同年10月,印度总理尼赫鲁作为新中国接待的第一位外国政府首脑,对中国进行正式访问。1 97 6年,中印双方恢复互派大使,双方关系逐步改善。中印经贸合作
近年来,中印关系保持良好发展势头。200 5年,中印两国建立面向和平与繁荣的战略合作伙伴关系,两国关系得到全面提升。
1 9 96年11月,时任中国国家主席江泽民对印度进行国事访问,这是中印建交以来中国国家元首首次访印,双方签署了《关于在中印边境实际控制线地区军事领域建立信任措施的协定》。2000年5月,印度总统纳拉亚南访问中国。2 002年,时任中国国务院总理朱镕基访问印度。2 003年6月,印度总理瓦杰帕伊对中国进行正式访问,双方签署了《中华人民共和国和印度共和国关系原则和全面合作的宣言》。2005年4月,时任中国国务院总理温家宝访问印度,双方签署了《中华人民共和国与印度共和国联合声明》,宣布建立面向和平与繁荣的战略合作伙伴关系并就边界问题达成政治指导原则协定,中印关系得到全面提升。2006年11月,时任中国国家主席胡锦涛对印度进行国事访问,两国发表了《联合宣言》。2008年1月,印度总理辛格对中国进行正式访问,两国签署了中印《关于二十一世纪的共同展望》。2010年5月,帕蒂尔总统对中国进行国事访问。2010年1 2月,时任中国国务院总理温家宝对印度进行正式访问,双方共同发表联合公报,宣布建立两国国家元首、政府首脑定期互访机制,开通总理热线。201 3年5月,中国国务院总理李克强对印度进行正式访问,两国发表了《中华人民共和国和印度共和国联合声明》,双方同意保持两国国家元首/政府首脑定期互访,决定将2014年定为“友好交流年”。201 3年10月,印度总理辛格访华,李克强总理与辛格总理会谈后双方签署了交通、能源、文化、教育、地方交往等9项双边合作文件,其中之一就是中印两国政府边防合作协议。中国国家主席习近平会见印度总理辛格,提出中印关系四点建议,两国发表了“中印战略合作伙伴关系未来发展愿景的联合声明》。2014年9月,中国国家主席习近平对印度进行国事访问,发表了题为《携手追寻民族复兴之梦》的重要演讲。201 5年5月,印度总理莫迪中国进行正式访问。
近几年来,中印经贸关系发展迅速。201 0年12月,中印两国建立战略经济对话机制,确立201 5年双边贸易额达到1 000亿美元。目前,中国是印度第一大贸易伙伴,印度是中国在南亚的最大贸易伙伴。2 01 3年中印贸易额达654.71亿美元。设备老化待改变
日前,印度铁道部部长苏雷什·普拉布表示,印度将在未来5年投资1200亿美元,用于发展和升级印度的铁路交通。普拉布说:“尽管存在困难,我们必须迎难而上。”
“火车这类大型交通工具代表的是一个国家的经济能力以及社会形象。印度的火车交通问题由来已久,如果再不改变,对于国家形象和旅游产业都会产生极大的影响。”和略咨询合伙人林白在接受《国际金融报》记者采访时指出。
800 0列客运、4000列货运每天运行在11.5万公里的铁路上。根据印度铁道部的数据,约有1 30万人就职于铁道系统这个世界上拥有最多雇员的企业之一。
然而,如此重要的铁道系统却极为落后。超过半数印度铁路网仍始建于1 947年英国殖民期间。火车、控制系统、电子系统、站台,所有的已经老化不堪士。
除了火车环境脏乱差,印度铁路系统常发生大事件,虽然这不完全是铁路本身的原因,但印度铁路事故频繁发生,甚至到了让人“见怪不怪”的地步却是事实。据统计,每年印度铁路大小事故至少300起。印度从未对其铁路系统进行过全面彻底的改造。
超载是印度客车习以为常的事情。尽管印度全国每天发出1.1万列客车,但仍然无法满足众多乘客的需要,几乎每列低档次火车都严重超载。印度铁路史上很多严重的事故,也都是因为严重超载。升级改造投巨资
一直以来,改善印度铁路系统就被认为是一项艰巨的任务,在政治上颇为敏感。前几任政府对于铁路现代化以及提高客运票价一直持小心翼翼的态度,担心触怒了每天依赖这种相对廉价的交通方式出行的数百万选民。据预计,印度每天搭乘火车的人次约为2300万。
今年2月下旬,印度政府宣布,计划在未来5年投资8.5万亿卢比,用于铁路扩建及现代化等项目建设,并表示本财年不会提升火车票价。不过,货运列车收费将增加10%,其中煤炭运输费用将上涨6 .3%。印度一直通过相对较高的货运收费来补贴客运服务。政府称,下一财年客运和货运收入都将上升15%至184万亿卢比,并计划将货运量从现在的每年100万吨提升至150万吨,
预算显示,新财年内,铁路系统的开支将增加52%至l亿卢比。新增的部分将通过节省开支、提高铁路部门预算、政府财政支持以及贷款来筹措。
普拉布还表示,新增开支将集中用于改善和扩建现有铁路,其中许多目前都处于超额运行状态,最快铁路的平均时速也只有每小时70公里。
不可否认,印度的铁路交通面临着许多挑战。由于建设铁路需要大量的资源,印度政府已经决定引进外商投资铁路交通的部分业务,如车厢制造、火车站修建、城际铁路和高铁线路建设。
在印度官员看来,无票乘车是印度铁路运输目前面临的重要问题,尤其是地方和城际铁路线上的问题尤为严重。为此,铁路部门将招聘更多具有创新理念的年轻人来为改善公共交通状况出谋献策。
由于印度铁路部门一直面临严重的財政危机,政府每年对铁路的补贴高达2600亿卢比。虽然印度政府保证这个财年不会上涨票价,但未来印度的火车票价必然要出现阶段性上升。经
校园网络升级改造设计 篇7
1存在问题
网络设备均已投入运行使用超过10年,全面进入老化期,多数关键设备都更换过板卡或电源等模块,对系统的稳定运行造成极大隐患。在网络链路方面,原来系统只有单链路,容易出现单点故障而造成整个网络瘫痪。再者,经过10多年的业务网络变化和设备的升级和改造,业务系统比较分散,核心业务网络的配置也因为业务需求及各附属单位的业务需求调整而发生巨大的变化,各个设备位置分散,且机房环境无法控制与管理,给系统日常维护和管理带来不便,也不利于及时处理故障和应急响应事件及某些事故的责任划分。这样的多系统网络连接已不适应业务发展,功能区域不明显,加上广东省气象局高清视频会商系统和广东省突发事件预警发布系统落地县级局的投入使用,对网络带宽和数据转发能力、传输网络带宽、稳定性及安全性提出了更高的要求。
2网络升级设计改造原则
网络系统的构造提供了信息传输的载体,它的目的是使应用系统上的数据可靠、有效地在各客户机及服务器之间传输,也就是说,应根据应用系统的需要来规划一个可持续发展的核心网络架构,其中可靠性和可管理性是首要考虑征。广东省信宜市气象局网络升级的建设是一项可持续使用的工程,所以要长远规划,在保证网络可靠性的前提下,要充分利用先进技术,兼顾系统过渡满足现有的需求,并考虑未来潜在的扩充,使之在一定时期内保持较先进的水平。气象业务骨干网络系统的可靠性也十分必要,在网络系统中不仅要求网络能安全运转,同时要求网络设备具有容错能力。由于信宜气象局网络平台将有多业务系统在同时运行,所以在整体网络的设计上,充分考虑内部计算机网与其他网络系统的融合,并考虑有效的、多重的安全措施,使其能够与其他网络进行有效的信息传输的同时,又能防止不法分子的攻击,另外还要考虑到将来的扩充和升级,避免设备的重复投资,造成人力、物力的大量浪费。
3方案设计
简化网络架构,支撑应用层面虚拟化,降低网络运维复杂度,提高网络的灵活性。各设备厂商都能提供对网络虚拟化的支持,已在大小规模的,网络环境中得到很好的应用。其中交换机虚拟化是实现网络虚拟化的关键,一个物理交换机可被分为多个虚拟交换机,每个都拥有独立的管理员登录界面的管理进程。系统架构方面,沿用现有的三层架构,核心层、汇集层及接入层。汇集层根据不同网络功能、业务相关性或所在位置划分区域。核心层主要连接新、旧局大院所有单位的公共资源,汇集层适当划分的归并,由一组设备提供各区域接入,接入层适当归并的整合,提高可靠性和稳定性。外联区采用一台多业务路由和防火墙实现骨干网的接入。该区域主要承担政务网用户系统的入网的数据传输。
4改造目标
支持全局现有的计算机和终端,连接气象局的新、旧局办公楼、在建的雷达站和新站址观测场,将本局现有的以及将来要配置的各种PC、工作站和终端通过高性能的网络设备连接起来,组成分布式、开放式的网络环境以提高业务服务水平。在改造过程中在充分利用原有的主干光纤布线系统的同时,新增设部分光纤将目前的百兆主干快速以太网升级到千兆主干、千兆到桌面的高速交换式以太网,以达到保护原有网络投资的目的。通过升级核心网络设备来完善统一的县级局气象信息处理中心共享平台,为各种业务提供高可靠、高性能、可扩充的基础网络平台;并将各个接入单位的带宽提升到千兆,消除信息交换的瓶颈;通过高性能的交换机搭建数据中心,同时对数据和文件服务器提供负载均衡功能;通过重新的统一规划,完善现有网络系统,利用防火墙接入地方政务信息网,实现突发事件预警发布系统和地方政府三防、应急等部门联动共享、共用。
5总体实施方案
网络重新规划布局。新业务楼建设完成布线规范的的局域网,独立机房、标准网络机柜和服务器机柜。为了保障带宽和可靠性,中心交换控制区采用两台H3C-5500全千兆三层交换机作冗余,通过在交换机上划分相应的VLAN隔离气象探测仪器业务数据、普通业务数据、高清视频会商系统、突发事件预警发布中心数据区等各种不同的业务。其中重要业务接入层交换机使用标准的链路聚合控制协议(LACP)捆绑两条上行链路,从而提高上行带宽和可靠性。在天融信NGFW4000-UF(TG-430A)硬件防火墙上设置不同的路由,以实现对地方政务信息网的访问和部分数据资源共享,为突发事件预警发布系统实现突发事件预警发布系统和地方政府三防、应急等部门联动共用。
结束语
广东省信宜市气象局骨干网升级后,达到预期的设计效果。为气象事业的各项发展提供了良好的网络空间和网络环境。
摘要:随着计算机信息技术和气象现代化业务建设的快速发展,气象业务数据流量迅速增加,使得业务网络设备不断增加,原有的百兆网络系统的各种问题逐渐呈现出来。为适应信宜市气象局的发展需求,必须对现有的网络进行千兆升级改造,本文主要介绍信宜市气象局局域网千兆升级的设计思路和实施方案。
关键词:计算机网络,视频会商,局域网,虚拟化
参考文献
[1]朱璇,孙鹏,吴兆雄,黄劲灿.广东省气象局骨干网万兆升级设计与实施方案.
[2]刘仕琪.企业骨干网升级设计及实施方案[J].长江大学学报:自然科学版,2009,6(1):232-234.
校园网络升级改造设计 篇8
1 农村有线电视网络发展现状
广播电视事业的快速发展让我国农村的有线电视网络得到很大程度的普及。但是,将其与快速发展的城市数字化相比,农村有线网络的节目数量、质量及服务还存在很大差距。
1.1 干线传输电缆出现老化,故障发生频繁
70%以上农村有线电视传输干线采用电缆,很少用光缆,网络改造时间颇长。出现电缆严重老化现象,大大影响信号的传输质量。长期以来,用户都处于故障频繁状态中。
1.2 系统配置过低束缚有线电视发展
在规划设计有线电视网络时,大多数农村采用550MHz系统。有线电视网络向数字化和双向化的发展进程在很大程度上受到制约。
1.3 施工与管理存在漏洞
建设农村有线电视老网络时,缺少严格的施工质量控制,施工标准不统一,施工质量达不到规定标准。器材存在品种众多,器材间技术指标差距大的问题,严重影响网络的安全性。由于受到以下因素影响,以致资金回笼慢:农村用户分散性强、管理方法和措施落后、较低收费、很难收到费用。这样一来,网络升级改造难以实施,不断出现恶性循环。
2 有线电视网络改造方案
2.1 网络改造技术标准
迈向数字电视网络方向是有线电视网络的发展与改造方向。网络改造除了满足当前的使用需要外,还要符合未来数字电视对HFC网络技术的要求。对光网络与分配电缆网络进行合理规划,除保证数字电视传输外,HFC网络还要能够较好处理发展所产生的增值业务,以更好地应对市场。
2.2 执行网络的开放性、拓展性、可管性的标准
科学技术快速发展推动网络技术迅猛发展。规划网络既要考虑当前用户的使用需求,又要结合未来的技术,以在原有基础上,不断更新、升级及扩充原规划。规划设计HFC网络时,要保持其能够拥有不错的开放性、互联互通性,推动网络的不断扩展,不同程度上增加网络的规模和容量,以保障HFC网络的构架达到运营级别。以便业务平台可以良好运营,网络处于可管可控的范围之内。
3 有线电视光缆网络结构类型
以拓扑结构作为参考标准的话,有线电视光缆网络可以被分成以下几个类型:树型网络结构类型、星型网络结构类型和多级星型网络结构类型。
3.1 树型网络
树型网络的特点就是把光发射机或光放大器当作原点,通过众多分支构成分叉支路,连接光节点。
结构好处:1.光缆芯数大大减少,光缆价格上涨时,可以让建网成本大幅度下降;2.分级增加光分路器级数,建设网络开始阶段、用户数量上升时,使用较为适合。
结构缺点:1.网络中需要运用大量光分路器,网络的故障点数量大大增加,降低网络稳定性;2.网络中存在不同类型的分路器,难以备份光分路器,这就在很大程度上增加网络维护难度;3.若某个光分路器发生故障,会让此分路器所连的众多光节点全都丢失信号,降低网络服务质量。
3.2 星型网络
星型网络的特点就是所有光节点从同一光分路器出来,与光发射机或光放大器直接相连。
网络结构优势:1.网络结构简单,只有一个光分路器于网络内,大大降低了网络中故障点数量,增强网络稳定性;2.存在数量较少的光分路器,易于备份光分路器;3.网络结构简单,有助于网络维护。
网络结构缺点:1.需要光缆数量最多,网络建设成本最大;2.增加光节点,就必不可少要更换中心光分路器,必然造成资金浪费;3.中心光分路器一旦出现问题,就会导致所有光节点都丢失信号。中心光分路器的质量务必要选择高质量的。
3.3 多级星型网络
多级星型网络结构的特点就是光节点与分光分路器之间设计成星型结构,把各分光分路器与总光分路器也设计成星型结构。
结构优点:1相对而言,结构简单,利于网络维护;2.可以依赖最少投资获取最高性能。今后若有需要,被充少许光缆就可构成星型结构。
网络结构缺陷:1.有众多光分路器,以致存在较多故障点,稳定性也变差;2.存在种类繁多的光分路器,不利于备份光分路器。
4 有线电视光缆网络升级改造工程案例
4.1 建设星型网络
每一个光节点与中心光分路器直接连接是星型网络结构的特点。建设星型网络首要就是扩大光缆数量,遵循每个光节点至少需要保证一芯光缆与光放大器连接的标准。改造过程中所需光缆数量,需要新增加的光设备,见表1。
由表1得出:改造所需材料费用为每km 47556.5元,增加挂光缆的施工费6138.6元(以《有线广播电视系统安装工程预算定额》为参照标准),改造总费用53695.1元。
4.2 建设多级星型网络
构建多级星型网络需要把分光分路器与对应的光节点相互连接,之后再将各级分光分路器与总光分路器连接。要把树型网络改造成多级星型网络,仅仅增添少许光缆,将光分路器换成新的即可。连接光节点的末级光分路器易应用均分型光分路器,易于设备可以通用,对光路路器进行备份,大幅度降低网络维持成本。挑选正确的光分路器位置,以降低光缆补充数量。改造所需增添光缆和新增加光设备,见表2。
由表2可知:改造所需材料费用17522.6元,增加挂光缆的施工费2315.4元(以《有线广播电视系统安装工程预算定额》为参照标准),网络改造费用部计为19838元。
4.3 结论
以上方案对比得出:星型网络高稳定性以高投资作为基石。与星型网络相比,多级星型网络的稳定性相对较弱,但其投资少,效益高,远胜于树型网络。有线电视网络升级改造的首选结构为多级星型网络结构。
5 结语
为了更好满足农村对有线电视的需求,让农民群众物质文化需求得以实现,推动农村有线电视的发展,我们需要把握良好契机,扩大农村信息网络覆盖率,促进农村广播电视产业的发展。
参考文献
浅谈CMTS双向网络的升级改造 篇9
关键词:NGB,FTTC+CMTS技术,EPON+EoC技术,双向升级改造
1 概况
有线电视技术发展日新月异,中国下一代广播电视网(NGB)是以有线电视数字化和移动多媒体广播(CMMB)的成果为基础、以自主创新的“高性能宽带信息网”核心技术为支撑构建的适合我国国情的、“三网融合”的、有线无线相结合的、全程全网的广播电视网络。光纤到小区、同轴电缆调制入户(FTTC+CMTS)方案曾是各地广电运营商双向网改造的一个方向。奉化的几个小区在几年前采用FTTC+CMTS方式开展了互动电视业务,小区大约有用户8000户,目前机房使用了一台CMTS覆盖2000户,约200户开展了互动电视业务,目前主要存在以下几个方面缺陷,已不能满足下一代广电网络的要求:
(1) CMTS+双向HFC网络模式对网络的要求比较高,需要使用人员对CMTS工作原理、数据交换原理、双向HFC网络都比较熟悉才能应用好。维护人员必须保证施工规范,网络的设计合理、调试方法正确,了解日常设备维护中设备接头、上行增益对网络的影响。
(2) 广电网络结构为树型结构,实际使用中CMTS都是多个光节点的汇聚,一个用户可能会影响一大片用户。如果要使用好cmts业务,需要每个分前端机房配置一台上行噪声监测仪器,一旦出现故障时能快速的排查业务。在目前用户对服务质量要求越来越高的情况下, 大面积的用户业务中断是很可怕的事情。
(3) 目前Cable Modem只有一个端口,如果一个用户需要开展两种业务,需要两个Modem。
(4) 成本高,带宽低。如果考虑开展两种业务,这8000用户的网络至少再增加8台CMTS才能满足要求,而且上下行带宽只有300M。8台CMTS加一台上行噪声监测仪器,需要100万。
2 双向HFC网络的EoC改造
随着EPON+EoC技术的发展,很多地方都开始用EPON+EoC技术实现网络双向化改造。考虑到这几个小区的房子都已经过装修,从双向网络改造的成本及下一步要开展的业务出发,我台决定不继续采用FTTC+CMTS方式,而是采用EPON+EoC方式对原有网络进行升级改造。
(1)光纤熔接、ONU安装
经测算,每个光节点到用户的链损在60dB内,不需要实现数据光纤下移,避免了增加光节点的选址和施工困难问题。在现有的12个光节点处光纤都为4芯,不需要另外布光缆。光节点处需要找出机房对应的光纤跳线,进行光纤熔接、进行ONU安装。
(2)安装EoC局端
局端内部示意图见图1。
a、将原有线电视信号输入电缆连接EoC局端侧面输入接口;
b、相对应的EoC局端输出接口连接用户,此时输出信号为电视信号与数据信号之混合信号;
c、将EM90模块输出电缆连接到对应的插入器接口;
d、如需要一个EM90模块同时为两个输出口提供数据,则先使用分配器分配后再接入插入器。
(3)放大器的处理
单向放大器,需增加EoC桥接器进行桥接。
a、桥接器上标识
IN为上级混合信号输入口;
H接口连接原放大器输入接口;
H1接口连接原放大器输出接口;
OUT1接口连接用户;
H1与OUT1、H2与OUT2须成组使用。
b、桥接器连接原理图:
见图1。
预留双向放大器的处理:
a、不加桥接器的处理方法如下: (1) .加上双工滤波器; (2) .回传通道的放大、衰减、均衡等位置短接导通;
b、加桥接器的处理方法: (1) .按照单向放大器的处理方法增加桥接器; (2) .取掉上行衰减插片。
双向放大器的处理:
a、不加桥接器的处理方法如下: (1) .保留双工滤波器; (2) .取掉回传通道的放大模块、衰减器更换为0dB、均衡器位置用短接片短接;
b、加桥接器的处理方法: (1) .按照单向放大器的处理方法增加桥接器; (2) .取掉上行衰减插片。
(4)集线器的处理:
a、单向集线器的处理
采用单向集线器的网络需要加集线器桥接器组成上行通道。集线器的原来的输入线接桥接器in, H接集线器输入,集线器原有的输出线分别接H1-H6, C1-C6分别接6个用户家线路。
b、预留双向集线器的处理:
不加桥接器的处理方法如下: (1) .加上双工滤波器; (2) .回传通道的放大模块位置用短接片短接、衰减器位置使用0dB衰减器。
加桥接器处理方法:同单向集线器的处理。
c、双向集线器的处理:
不加桥接器的处理方法如下: (1) .保留双工滤波器; (2) .取掉回传通道的放大模块用短接片短接、衰减器更换为0dB。
加桥接器处理方法:同单向集线器的处理,取掉上行衰减插片。
3 结束语
FTTC+CMTS方案可充分利用现有同轴电缆资源,入户施工难度小,可实现快速改造,但对HFC网络要求高,整改难度较大,回传噪声大,后期带宽升级空间小且改造成本高,已不能满足互动电视和下一代广电网络的要求。奉化广电利用有限的资金对CMTS方式进行了升级改造,并开展了数字电视互动点播和宽带业务。因为广电技术发展是循序渐进的,相信全国还有不少的广电运营商会遇到类似的问题,希望拙作能给各位同仁有所帮助。
参考文献
[1]王学, 张瑜, 徐万彪.光发TB系列楼道交换机助力三网融合[J].中国有线电视, 2010, (12) :1363-1366.
[2]聂克庆.浅谈HFC双向网络中CMTS与CM系统工作原理[J].有线电视技术, 2006, 13 (1) :12-13.
中元公司网络升级改造规划与实施 篇10
企业网络信息化改造的首要环节就是对信息化系统进行详细规划, 以便掌握企业网络的网络规模、网络需求、网络结构、网络安全策略以及网络发展需求, 然后, 根据企业自身实际情况规划出合理的升级改造和实施解决方案。
1.1 公司现有网络和信息化系统状况
中元公司网络系统建设于2002年, 主干网络为千兆以太网, 快速以太网络交换到桌面, 布线采用超五类非屏蔽双绞线和6芯多模光纤, Internet网络出口带宽为20M。
核心交换机采用的是凯创8600核心交换机, 拥有32G的背板带宽, 最大32个千兆端口或者128个百兆端口。
接入交换机采用凯创2402, 二层交换机拥有24个百兆端口。
防火墙采用netscreen 204, 拥有4个10M/100M自适应端口, 最大吞吐容量400M。
Active Directory域控制器服务器, DNS服务器和DHCP服务器为HP DL380G3, 运行windows server 2003。
各种专业软件授权服务器和应用系统服务器为HP DL380G3, 运行windows server 2003。
网络端口1500个, 主要分布在公司1号、2号、3号、4号办公楼中。
中元公司原有网络拓扑如图1所示。
1.2 现有网络系统存在的问题
1) 网络性能:百兆端口交换到桌面已经不能满足企业数据传输的需要, 而且服务器的千兆网卡只能接在百兆端口的交换机上, 导致了服务器的带宽瓶颈, 发挥不出应有的性能。
2) 接入带宽:Internet的接入带宽只有20M, 已经不能满足企业办公的需求, 而且只有一条接入线路, 一旦出现故障, 整个企业都将无法访问互联网。
3) 网络端口:网络端口数量不足, 由于网络建设较早, 公司的规模发展又快, 原有的网络端口数量严重不足。
4) 服务器性能:服务器老旧, 性能不足, 运行的操作系统也已经过时。
5) 网络安全:原有防火墙功能单一, 性能不足, 无法应对日新月异的网络安全威胁。
1.3 升级改造的需求
1) 高带宽的需求
随着中元公司企业规模的快速发展和对信息技术应用的日益提高, 公司网络上运行的各种应用也越来越多, 网络不仅要跑日常网上办公自动化系统、网页浏览、电子邮件收发等传统数据业务, 还要承载网络视频会议, 协同办公系统, 统一通信 (即时消息) 等对带宽和延时要求都很高的数据业务, 使得网络处理的数据量大大增加。这就需要加强网络核心交换机处理能力, 核心交换机至少要支持千兆交换, 最好能够支持万兆交换, 接入层交换机也要具备千兆交互能力, 满足千兆交换到桌面, 从而满足今后公司网络发展的需要。
2) 高性能的需求
随着公司规模的不断扩大, 网络节点数不断增多, 网络规模越来越大, 跨部门同时协作应用多来越多, 对网络设备性能提出了很高的要求。要能快速处理网络传输数据, 能够满足跨部门的应用请求, 所以接入交换机最好要支持第三层交换和堆叠技术, 核心交换机支持多种服务模块的扩展, 以满足今后公司发展的需要。
3) 高可靠性需求
随着公司业务的发展, 越来越多业务将利用网络来进行处理, 网络的畅通无中断将成为企业正常运营的保证。所以网络设计要保证通信线路的通畅无中断, 这就要求网络设备的可靠性和链路的可靠性。设备可靠性, 可通过配备冗余电源和引擎来保证;链路可靠性, 可通过增加Internet出口线路、布线配置冗余线路, 采用链路聚合技术来保证。
4) 高安全性需求
随着技术的发展, 网络攻击手段和病毒种类越来越多, 为了保障企业网络安全, 降低安全威胁给企业带来的损失。这就要求建立完善的安全防御体系, 同时也对网络安全设备提出了很高的要求;要求安全设备要同时具备处理防病毒、防网络攻击、入侵检测及网络应用识别的能力。
1.4 升级改造目标
为了保证公司网络数据、语音、视频的安全和高效, 建成集数据、语音、视频为一体的网络, 具体目标如下。
1) 实用性:按照实际需求, 在保证技术可行性的前提下, 选择性价比高、售后服务好, 管理方便的设备;
2) 可靠性:从网络结构、设计方案、设备选择、技术服务、备件供应等方面考虑, 确保网络系统可靠性;
3) 安全性:整体统一规划, 从各个环节入手建立完整的网络系统安全体系;
4) 优化投资:网络系统既能满足将来公司的发展需求, 又能充分利用现有网络系统资源, 使网络系统升级能够平滑过渡, 从而降低改造成本。
2 网络升级改造总体设计方案
2.1 总体设计
中元公司原有网络拓扑为星型拓扑结构。星型网络拓扑与总线型网络相比网络性能高、故障率低, 与环型网络拓扑结构相比易扩展, 与网状拓扑结构相比成本低且易于维护管理, 所以本次改造仍将采用星型网络拓扑, 并将重新对核心层、汇聚层和接入层进行设计优化。改造后的网络拓扑图如图2所示。
在网络边界上部署1台UTM防火墙, 负责链路负载均衡、互联网流量管控、入侵检测、VPN连接、NAT转换和安全策略转发, 以及应用识别和上网行为管理。UTM防火墙通过千兆光纤与核心交换机相连接。
核心层配备1台配置冗余电源和模块的核心交换机, 确保主干网络的稳定可靠, 启用访问控制列表对访问权限进行控制。
接入层堆叠交换机, 通过2条千兆光纤运用端口聚合技术与核心交换机相连接, 既提高了连接带宽, 又实现了线路冗余。
服务器采用千兆网卡用六类双绞线直接与核心交换机相连接, 保证了访问性能和速度, 避免出现访问瓶颈。
升级改造方案运用一系列先进成熟的技术, 基本上满足了公司的需求。
2.2 Internet网络出口设计
中元公司原来只有一条光环新网的Internet网络出口线路, 接口带宽也只有20M, 这样的带宽已经远远不能满足公司日常办公的需要, 导致员工访问互联网, 速度非常缓慢, 严重影响办公效率, 而且一旦这条线路出现故障, 将导致整个公司都无法访问互联网。新的设计将会增加一条电信通的带宽100M的Internet出口线路, 并且原有的光环新网的线路带宽也将增加到100M。这样既能保证在一条线出现路故障时, 另一条线路能够正常访问互联网, 同时也能满足公司网上日常办公的需要。
2.3 核心层设计
中元公司原有核心交换机扩展能力不足, 性能也已落后, 而且只有1个处理引擎和1个电源, 很容易引发单点故障, 导致整个局域网瘫痪。本设计方案将会采购1台新的核心交换机来替换这台老设备, 并给新核心交换机配备双引擎和冗余电源, 提升网络可靠性, 新核心具备扩展万兆交换能力并且支持IPV6协议, 方便以后的扩展和升级。核心层运用链路汇聚技术通过千兆光纤与接入层交换机相连接。
2.4 汇聚层和接入层设计
中元公司原有网络交换机采用级联方式, 即几台接入层将交换机上联到核心交换机, 这种方式的网路性能低下, 而且容易出现单点故障, 网络可靠性非常低。本方案接入层将采用堆叠交换机, 每组堆叠交换机通过链路汇聚技术将千兆光纤直接与核心交换机连接。这样降低了网络的复杂度和布线施工的难度, 同时还提供了线路冗余, 提高了网络的可靠性。新的接入层堆叠交换机具备全端口限速全千兆交互, 并且支持全端口POE供电, 上联模块扩展等功能, 以便今后网络升级和扩展。
2.5 网络安全设计
中元公司原有网络防火墙为ASIC架构, 对网络层威胁处理能力较强, 但是面对如今越来越多的应用层威胁则显得力不从心, 同时缺乏灵活的流量和带宽控制。新的方案将采购1台UTM统一管理设备来替代老的防火墙。新的UTM设备采用多核架构, 具备灵活高效的流量管理和监控, 具备攻击防护和入侵检测, 支持链路负载均衡和多种VPN协议, 设备配有冗余电源, 提高了稳定性和可靠性, 同时配有扩展插槽方便日后升级和扩展。
2.6 服务器方案设计
中元公司原有服务器比较老旧, 一些应用软件还需要在老系统上运行, 这就导致服务器的安全可靠性下降, 一旦旧设备出现故障将导致应用系统无法使用。为了解决上述问题, 改造方案将新购一批双路高性能机架服务器, 替换老旧的服务器, 并利用虚拟化技术, 把一些老服务器系统迁移到虚拟机中运行, 这样既保证了系统的正常运行, 同时减少了机房空间的占用和能源的消耗。
3 网络升级改造的实施
3.1 设备选型
中元公司信息化系统升级改造工程的硬件包括:网络安全设备, 核心交换机, 接入交换机, 服务器等。设备不一定选最先进最好的, 但一定选最适合的, 要本着先进性、可靠性、实用性、安全性、可扩展性及符合国际标准等原则进行选择。
3.1.1网络安全设备
网络安全设备是抵御各种网络攻击的重要武器, 是企业网络防护的不可或缺的组成部分, 其重要功能有:隔离不同网络, 防止内部信息的外泄;强化网络安全策略, 对来自外部、内部的网络违规和入侵行为进行检测和集中监控;防止外部用户对内网的非法访问。
此次改造采用的网络安全设备为山石网科UTM SG-6000-G5150全新一代多核安全网关, 其基于角色、深度应用的安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力, 突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限, 其处理能力高达8~10Gbps, 为网络提供基于角色、深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、入侵防御等安全服务。
3.1.2 核心交换机
核心层是整个系统的中枢, 核心层网络设备要求运行稳定、交换能力强、可靠性高, 能够实现高冗余、高带宽、多层交换, 可提供网络安全控制机制、有扩展升级的能力。本次核心交换机选用思科6506核心交换机。
3.1.3 接入层交换机
接入层采用堆叠交换机, 提供线速全千兆交换, 双链路上行到核心交换机时, 采用链路聚合技术, 不仅提供了线路冗余, 同时还提高了传输带宽, 增强了网络的可靠性。本次接入层交换机采用思科3750X堆叠交换机。
3.1.4 服务器选型
由于要用到虚拟化技术整合老旧服务器, 所以对服务器的体积、CPU、硬盘和内存要求较高, 本次选择惠普2U机架式服务器HP Pro Liant DL380p Gen8。
3.2 局域网IP地址和VLAN划分
3.2.1 局域网IP地址和VLAN划分原则
局域网络的IP地址规划和VLAN划分是非常重要的, 合理的IP地址规划, 不仅可以减少网络压力, 还可为今后网络扩展带来便利;同样VLAN的划分也非常关键, 基于端口划分的VLAN可以有效地抑制局域网的广播风暴。中元公司IP和VLAN采用按照公司部门来划分。
3.2.2 VLAN的具体配置实现
1) 在核心交换机上定义VTP域和服务模式Server
Core6506#vtp mode server
Core6506#vtp domain zhongyuan
2) 在核心交换机上创建VLAN并配置IP地址和子网掩码
Core6506 (config) #interface vlan 100
Core6506 (config-if) #ip address 172.16.16.1255.255.252.0
其他VLAN的创建和配置类似。
3) 在核心交换机上给VLAN指定DHCP服务器地址。
Core6506 (config) #interface vlan 100
Core6506 (config-if) #ip helper-address 172.16.4.41
Core6506 (config-if) #ip helper-address 172.16.4.42
其他VLAN指定的DHCP服务器地址同上。
4) 在核心交换机上把连接堆叠交换机的端口配置成trunk端口并封装802.1Q
Core6506 (config) #int gi 2/1
Core6506 (config-if) #switchport mode trunk
Core6506 (config-if) #switchport trunk encapsulation dotlq
其他连接堆叠交换机的端口配置类似。
5) 在接入层堆叠交换机上指定VTP域并配置VTP服务模式Client
SW3750X-L1#vtp mode client
SW3750X-L1#vtp domain zhongyuan
其他接入层交换机配置方法同上。
6) 在接入层堆叠交换机上与核心交换机上联端口配置成trunk端口并封装802.1Q
SW3750X-L1 (config) #int gi 1/1/1
SW3750X-L1 (config-if) #switchport mode trunk
SW3750X-L1 (config-if) #switchport trunk encapsulation dotlq
其他接入层交换机的上联端口配置类似。
7) 把接入层堆叠交换机的端口划入VLAN
SW3750X-L1 (config) #int gi 1/0/1
SW3750X-L1 (config) #switchport mode access
SW3750X-L1 (config-if) #switchport mode vlan l00
其他各交换机各VLAN端口的配置类似。
3.3 链路聚合的配置实现
1) 在核心交换机对应接入交换机的端口上配置链路聚合
Core6506 (config) #port-channel load-balance src-dst-ip
Core6506 (config) #interface range gi 2/1-2
Core6506 (config-if-range) #switchport mode trunk
Core6506 (config-if-range) #switchport trunk encapsulation dotlq
Core6506 (config-if-range) #channel-group 1 mode on
其他核心交换机的聚合端口设置类似。
2) 在接入层堆叠交换机对应核心交换机的端口上配置链路聚合
SW3750X-L1 (config) #port-channel load-balance src-dst-ip
SW3750X-L1 (config) #interface range gi 1/1/1-2
SW3750X-L1 (config-if-range) #switchport mode trunk
SW3750X-L1 (config-if-range) #switchport trunkencapsulation dotlq
SW3750X-L1 (config-if-range) #channel-group 1 mode on
其他接入层堆叠交换机的聚合端口设置类似。
3) 显示链路聚合状态信息
Core6506#show etherchannel summary
Core6506#show etherchannel detail
3.4 创建和应用ACL访问控制列表规则
1) 创建ACL访问控制列表规则
Core6506 (config) #ip access-list extended VLAN 100
Core6506 (config-ext-nacl) #permit tcp any any gt 6890
Core6506 (config-ext-nacl) #permit tcp any any lt 6902
Core6506 (config-ext-nacl) #permit ip 172.16.16.00.0.3.255 172.16.4.0 0.0.3.255
Core6506 (config-ext-nacl) #permit ip 172.16.16.00.0.3.255 172.16.108.0 0.0.3.255
Core6506 (config-ext-nacl) #permit ip 172.16.16.00.0.3.255 172.16.0.0 0.0.3.255
Core6506 (config-ext-nacl) #deny ip 172.16.16.0 0.0.3.255172.16.0.0 0.0.255.255
Core6506 (config-ext-nacl) #permit ip any any
其他规则配置类似。
2) 在VLAN端口上应用ACL访问控制列表规则
Core6506 (config) #interface vlan 100
Core6506 (config-if) #ip access-group VLAN 100 in
其他VLAN端口配置类似。
3.5 UTM防火墙配置
3.5.1 Internet接口设置
防火墙使用安全域 (Zone) 来对网络流量的安全需求进行区分和标识, 它内置了常用预定义的安全域, 这里使用设备的Untrust域 (非可信安全域) 和Trust域 (可信安全域) 。ethernet0/0接口用来连接核心交换机, ethernet0/1连接电信通的链路, ethernet0/2连接光环新网的链路, 如图3所示。
3.5.2 网络地址转换NAT
源NAT主要是用于内网用户访问Internet;目的NAT则相反, 常用于Internet用户访问内网服务器。内网用户在上网时, 如果从ethernet0/2接口转发, 则其数据包源地址被转换为ethernet0/2接口的IP地址;类似地, 若从ethernet0/3转发, 则源地址被转换为ethernet0/3接口的IP地址, 如图4所示。
3.5.3 VPN配置
1) 分支机构IPSec VPN设置
需要配置分支机构IP地址、子网掩码、加密方式和预共享密钥, 建立隧道接口和绑定隧道配置如图5所示。
2) SSL移动VPN配置
需要配置SSL VPN名称、接入用户、出接口、服务端口、隧道接口和地址池, 如图6所示。
3.5.4 防火墙策略
本项目启用了已下策略:SSL VPN和IPSec VPN用户可以访问内网所有资源;开启FTP服务器的FTP端口;开启公司网站服务器的HTTP端口;开启邮件服务器的HTTP, SMTP, POP3, IMAP协议端口;普通员工上班时间不能上外网等策略, 具体策略如图7所示。
3.5.5 病毒过滤
配置病毒过滤功能后, 设备能够探测各种病毒威胁, 例如蠕虫、木马、恶意软件、恶意网站等, 并且根据配置对发现的病毒进行处理。
本项目中, 将病毒库配置为每日自动升级, 并针对FTP, HTTP, IMAP4, POP3以及SMTP五种数据包进行病毒扫描过滤, 同时对网络中病毒攻击行为进行了统计, 如图8所示。
3.5.6 入侵防御
入侵防御系统 (Intrusion Prevention System) 简称IPS, 能够实时监控多种网络入侵并根据配置对网络攻击进行入侵防御等操作。本项目中, 开启IPS特征库自动升级, 并对所有支持协议的数据包开启了入侵检测和防御功能。检测出入侵行为后, 按照严重级别不同采取记录日志、重置连接甚至彻底阻断的处理方式。本项目IPS配置策略如图9所示。
3.5.7 攻击防护
本项目中, 分别在内网所在的Trust安全域以及外网所在的Untrust安全域, 开启了全部类型的攻击 (Syn flood攻击/ICMP flood攻击/UDP flood攻击/ARP spoofing攻击/IP spoofing攻击/IP scan攻击/Port scan攻击/Win Nuke攻击/IP fragment攻击/IP option攻击/Ping of death攻击/Smurf/Fraggle攻击/Land attack攻击/大ICMP包攻击等) 防御功能, 并且使用了系统默认的阀值, 如图10所示。
4 结束语
本文围绕中元公司网络升级改造的规划与实施的论题展开论述, 通过分析中元公司原有网络信息化系统情况, 指出了原有网络信息化系统存在的问题, 在明确中元公司对信息化系统升级的需求和目标后, 结合目前先进成熟的网络和信息化技术, 制定出了经济可行的适合中元公司的信息化系统升级规划方案, 该方案包括对网络拓扑的改造, 交换机、防火墙和服务器的选型。
方案的实施过程中, 通过运用虚拟局域网VLAN技术, 消除局域网内网络广播风暴;运用第三层交换技术, 保证不同虚拟局域网VLAN客户端能够通信;运用ACL访问控制列表技术, 保证了局域网中访问的安全性;通过链路聚合技术, 使得网络核心层与接入层的传输带宽翻倍的同时实现了链路冗余, 提高了局域网网络可靠性;通过运用虚拟专用网络VPN技术, 实现了异地协同办公和远程办公;通过部署统一通信软件, 使得协同办公的沟通更加便捷, 提高了办公效率;通过服务器虚拟化技术, 使得服务器的利用率更高, 资源分配更合理, 同时节省机房空间和能源能耗。
参考文献
[1]王达.Cisco/H3C交换机配置与管理完全手册[M].北京:中国水利水电出版社, 2009.
[2]王达.Cisco/H3C交换机高级配置与管理技术手册[M].中国水利水电出版社, 2012.
[3]王春海.宋涛, VPN网络组建案例实录.第2版[M].科学出版社, 2011.
[4]秦柯.Cisco IPSec VPN实战指南[M].人民邮电出版社, 2012.
[5]马春光.郭方方, 防火墙、入侵检测与VPN[M].北京邮电大学出版社, 2008.
[6]史宝会.中小型企业网络组建与管理[M].北京:人民邮电出版社, 2008.
[7]张裕生.陈建军, 企业网络搭建及应用[M].北京:北京:高等教育出版社, 2010.
市级电大校园网升级改造的研究 篇11
关键词:校园网,升级改造,技术,方案
0 引言
肇庆电大从建网之初至今已有十五年多的时间,校园网已形成主干千兆,桌面百兆,终端用户600多人的规模,校园网现处于以硬件加软件集成阶段,主要运营在硬件与软件系统平台的建设及应用上。随着学校对信息的需求量加大,令基于校园网的升级改造也在不断地进行;因此,校园网持续发展、更新和扩容到了一定程度与规模,便暴露出了其在高可靠性、高稳定性、高安全性、易管理性等方面的很多问题。同时,随着师生们的认识、需求和实践深入,发现硬件加软件的校园信息化模式不能发挥出校园网的优势,更不能实现学校教育信息化所要求的对传统教学模式的改革和对全新教育模式的建构。因此,急需进行新的升级改造校园网,朝着数字化校园方向发展建设。
1 升级改造的目标
建立一个可扩展的、高速的、充分冗余的、基于标准的网络,网络必须支持融合了话音、视频、图像和数据的应用程序。升级改造的总体要求是,智能化、高性能、高可靠性、高稳定性、高安全性、易管理性的万兆骨干网络平台,网络要“无死角”覆盖校园。
具体的指标性,(1)可靠性与稳定性:立足技术先进性和开放性,要从系统结构、技术措施、设备性能、系统管理、供应商技术及保障能力等方面,确保网络平台系统运行最大的平均无故障时间。(2)实用性与经济性:面向应用,注重实效,实用经济。(3)安全性与保密性:在充分共享信息资源时,要实行信息的安全保护和隔离,采取相应的机制措施。具体技术是端口隔离、路由过滤、防DDo S攻击、防IP扫描、系统安全机制、多种数据访问权限控制等;保护机制有划分VLAN、IP/MAC地址绑定、ACL、路由过滤、802.1x认证机制、SSH加密连接等。(4)先进性与成熟性:采用先进的概念、技术和方法,应用相对成熟的结构、设备、工具;采用万兆以太网技术构建骨干网络平台,网络设备硬件都支持IPV6/IPV4双栈技术功能。(5)灵活性与可扩展性:执行模块化、层次化原则,具备很好的伸缩性,可灵活配置和扩展,具有持续创新功能。(6)易管理性:采用基于SNMP标准的可网管设备,全程网管降低费用,提高易用性、可管理性,同时有很好的可扩充性。(7)骨干网络链路冗余性:万兆模块连接双核心交换机,千兆链路为备份线路;启用路由冗余机制,保障可用性;提供负载平衡、快速收敛和扩展性。
2 升级改造的功能需求
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,实现统一网络管理、统一软件资源系统,为师生提供高速接入网络;并实现网络远程开放教学、在线服务、教育资源共享等应用;利用现代信息网络技术从事管理、教学和科研等工作。功能需求为:(1)在校园骨干网络中,视频、音频、数据等多媒体应用信息交换传输,要保证应用服务高效运营,需要通过端到端的Qo S和智能到边缘的方式来保证。(2)要求网络设备的可扩展性,在复杂多样网络设备及系统应用环境下,能保证网络畅通无阻,预留足够发展的升级空间。(3)骨干网络满足大量用户和服务的并发应用状态,具有高效率的同时保证大数据量吞吐处理能力。(4)网络环境稳定可靠、高效畅通,网络应用与服务要保证7*24小时不间断的运行。(5)提供校园网的安全保障,解决校园网用户分布广、流动性大和随意接入使用的问题;对内网与外网不同应用系统之间实施安全访问控制。
3 升级改造的技术与方案
为了简化交换网络设计、提高交换网络的可扩展性,在校园网内部数据交换的部署是采用分层进行的。校园网数据交换设备划分为三个层次:访问层、分布层、核心层。传统数据交换发生在OSI模型的第2层,现代交换技术实现了第3层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率,更大大增强了校园网数据交换服务质量,满足不同类型网络应用程序的需要。
3.1 路由、交换与远程访问技术
作为一个完整校园网升级改造的实现,路由、交换与远程访问技术缺一不可。
⑴路由技术:路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本校园网中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
⑵交换技术:现代交换网络应用了虚拟局域网(Virtual LAN,VLAN)的功能;访问层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越校园网骨干的高速数据交换。在本校园网升级改造中,就采用这三层进行分开设计、配置。
⑶远程访问技术:远程访问也是校园网络必须提供的服务之一。它可以为家庭办公用户和出差在外的师生提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。在本校园网升级改造中,分别采用专线连接到因特网和电路交换到校园网两种方式实现远程访问需求。
3.2 升级改造方案
为了实现网络设备的统一,本校园网升级改造中完全采用同一厂商的网络产品,全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。要分别对访问层、分布层、核心层实施新的升级改造,同时对校园网络的管理系统、认证计费系统和统一信息门户系统等进行了规划。
⑴核心层:必须保证提供高性能、无阻塞的全线速的数据高速交换,同时必须保证稳定可靠的运行。对核心交换机的要求,高密度端口的线速转发,高密度的万兆端口,关键模块的冗余功能,硬件支持IPV6。据此,安装配备两台万兆核心路由交换机,升级建成一个双核心的网络结构。在双核心骨干节点上,启用万兆以太网环路保护技术,形成环型网络的核心具备了冗余、负载均衡、热交换性能等特性。核心层将各分布层交换机互连起来进行穿越校园网骨干的高速数据交换。
⑵分布层:必须保证校园网内部大量数据的高速转发,同时要高可靠性和稳定性。分布层交换机更换为万兆交换机,全模块化、高密度端口、按需灵活配置,通过双万兆链路分别上联校园网核心层的主从核心交换机而构成了主线路和备份线路,快捷构建弹性可扩展的网络。分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能。
⑶访问层:接入交换机全部替换为全线速可堆叠的安全智能交换机,实施个性化的灵活多样的安全控制策略,有效地防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证了合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。
⑷校园网外接出口:校园网外联接2条光纤物理链路(100M+100M),出口设备采用1台高端千兆防火墙,保证全校用户的NAT地址转换和出口安全实施的高效性。对外服务器置于千兆防火墙之后,受防火墙的安全保护。在出口以旁路方式新安装IDS系统,对网络进行动态实时监控,发现异常网络行为,通过与相应的网络安全策略平台和交换机联动,自动隔离发起异常网络行为的主机,实现自动防御异常网络行为。
⑸应用VLAN技术:路由模式的校园网是指网络中的交换机全部应用于三层,从核心、汇集到接入交换机全部通过静态路由相连。通过在骨干网络划分VLAN,以不同的使用群体作为VLAN范围划分,方便管理和易于实施。接入交换机上划分若干个VLAN,可以把每个用户划分到一个VLAN里。三层结构的校园网,避免了二层广播的安全威胁,主机之间的通信,全部通过三层路由;对于那些基于ARP协议和局域网广播设计的蠕虫病毒也不能传播;由于是三层结构,便于实施QOS、流量控制等安全措施,网络结构相对安全。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
⑹IP地址与路由配置:出口路由器互联采用公网IP地址,对外公共服务器采用公网IP地址,接入用户采用私有保留IP地址相连;采用OSPF路由协议进行网络路由规划配置。
⑺智能化网络管理:采用网络管理平台提供整个网络的拓扑结构,对以太网络中的任何通用IP设备、SNMP管理型设备进行管理,通过对网络的全面监控,网络管理员可以重构网络结构,使网络达到最佳效果。
⑻网络安全及防杀病毒:接入安全,接入交换机采用支持802.1X用户入网认证,核心技术采用802.1X+Radius协议构成;整个认证计费系统由安全交换机,为最终用户提供认证、计费和管理等功能,通过与接入设备配合使用,在交换机上开启802.1X功能,实现对所有用户进行认证和计费。访问安全,多业务万兆核心路由交换机支持802.1Q VLAN,使用VLAN划分隔离用户访问,同时支持VLAN隧道技术。并且万兆核心路由交换机支持完善的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效的防范和控制网络蠕虫病毒的传播和危害。进行全方位网络防杀病毒,以网络为本,多层防御,一定要在服务器层级上防杀病毒,制定严格的安全管理规范和应急人员配备。
⑼建设无线校园网络:建立以有线网络为基础的校园无线网络,实现有线无线一体化的校园网,支持IPV6/IPV4无线双栈协议的校园网络。在不改变原有网络内部主体结构的基础上,做到在网络互联、认证管理、安全防御等方面与有线网络形成良好的兼容与互补,实现全校有线和无线网络统一管理。采用一体化移动校园网络解决方案,充分考虑与现有网络融合,一体化网络硬件设计、一体化网络管理、一体化安全,进行无线网络部署、实施和管理维护。建立统一身份认证系统,学生和教职工使用一个账号进入所有的校园网站和系统,网站系统管理开启一个信息融合的入口。
4 结束语
成功的数字化校园网络升级改造,是围绕着学校的教学、管理、科研服务,是使学校的人力、物力和知识信息资源得以优化整合和充分共享利用,是提高工作水平和提高核心竞争力的手段。
参考文献
[1]舒孝春.校园网升级改造的设计与实现[J].数字技术与应用.2011年07期.
[2]唐灯平.职业技术学院校园网建设的研究[J].网络安全技术与应用,2009(04).
[3]任戎.浅谈高校数字校园建设[J].网络安全技术与应用,2009(05).
【校园网络升级改造设计】推荐阅读:
校园改造竣工典礼的讲话稿08-12
校园设计09-09
校园网络设计思路08-31
大学校园设计09-17
校园绿化设计08-30
校园设计方案09-05
校园网网络安全设计方案06-06
校园网设计方案研究05-17
校园网设计与建设08-20
校园网设计与规划09-01