logo资料库

新型智能小区宽带接入网络典型设计.doc

发布时间:2022-06-17 发布人:admin 分类:说明书 资料大小:0.15M 资料格式:doc 举报 版权申诉
第1页 / 共9页
第2页 / 共9页
第3页 / 共9页
第4页 / 共9页
第5页 / 共9页
第6页 / 共9页
第7页 / 共9页
第8页 / 共9页
资料共9页,剩余部分请下载后查看
    网络方案需求性分析 对于传统企业网络来说,网络的安全性更侧重于外网安全问题,网络整体一致对外, 安 装一个功能强大的防火墙来防止外界对网络内部的攻击。对于整个企业网络来说, 外界的 攻击将是网络体系的最大威胁。基于对社区网络内网安全性的特殊需求性,我们推荐采用一 种全新的网络应用模式, 从硬件体系,网络物理平台上就要保证社区每一个用户的绝对个 体私密性,即保证每一个小区用户具有自己安全的网络机制。 一、信息化小区宽带接入系统安全问题分析 社区网络与传统企业网络在安全机制要求方面有很大区别。 1. 传统企业网安全解决模式 对于传统企业网络来说,网络的安全性更侧重于外网安全问题,网络整体一致对外, 安 装一个功能强大的防火墙来防止外界对网络内部的攻击。网络模式如图。对于整个企业网络 来说, 外界的攻击将是网络体系的最大威胁。 然而,社区网络对于安全机制要求将更加全面。社区网络的对象将会把社会上的千家万 户连接到一起。 传统企业网所面对的社会上或者是外界公网里的黑客、骇客等网络危险分 子,将成为社区网络里的用户, 社区网络系统的内部成员。也就是说,社区网络的建设, 将把各形各色的社会用户、网络爱好者连接在自己内部网络中, 这样,社区网络所面对的 安全威胁将不仅仅是外网系统的威胁,更大的隐患将是来自内部系统的直接攻击。 举例来说,如果按照传统企业网络模式来建设社区网络结构的话,我们可以描述结构如 下图:
    按照传统连接模式,用户 B、C 有可能处于同一个广播域中,甚至用户 A、B、C、D 都 处于同一 VLAN 中, A、B、C、D 等用户将处于同一个广播域中。这样用户 B 可以很方便 地探测到用户 C 或者其它用户的网络 IP 地址, 使用社会或者网上很多的公开的黑客软件 便可以做到这一点。如果该用户具有一些很浅显的网络知识或者能熟悉地应用这些黑客软 件, 那么用户 B 就可以很容易地对用户 C 或者其它用户进行攻击,如使用 IPCrack、 Win95/98Nuke 核武器、死亡之 Ping、 特略依木马等等等等许多黑客软件进行攻击,或者 使用一些网络侦听软件进行网络探测、监听,结果造成用户 C 及其他用户系统崩溃、 私人 信息丢失,甚至丢失、泄密自己的私人信用卡等重要信息密码,造成可怕的后果。 可见,采用传统企业网模式来建筑社区网络,对于网络内部体系安全没有得到真正保护, 将给社区用户带来网络安全隐患, 甚至给小区开发运营商带来不必要的因内网泄密问题带 来的法律纠纷。 2. 新型社区宽带接入网理想的安全模式 基于对社区网络内网安全性的特殊需求性,我们推荐采用一种全新的网络应用模式,从 硬件体系, 网络物理平台上就要保证社区每一个用户的绝对个体私密性,即保证每一个小 区用户具有自己安全的网络机制。拓扑示意如图:
    基于这一特殊需求和解决方案原理,3COM 公司推出新一代适合社区网络建设的交换机 VCNSwitch。 二、汇聚交换机、接入交换机选型原则及依据 考虑到应用于社区网络,所以在权衡安全性和灵活性的基础上我们推荐使用 VCN 交换 机。 因为对于社区网络,在社区中的各个用户都需要通过边缘层交换机来完成所需的应用服 务,那么, 对于传统交换机由于所有的用户都在同一个广播域中所以任何一个用户都可以 在该广播域中利用这一特点帧听其他用户的数据, 这样用户的通信安全就会受到威胁。 在今天,电子商务和网上交易正在逐渐的得到大范围的推广,越来越多的人开始认可这 种便捷的商品和货币的流通方式, 所以用户数据的安全性就变得更加重要。 1. 传统交换机数据转发机制及安全实现模式 传统交换机的广播机制使得在社区内用户的数据安全性变得更为脆弱, 为了弥补机制 的缺陷使用传统交换机的社区网不得不通过在用户端进行繁琐的安全设置并且 通过在交换 机上通过划分 VLAN 来隔离各个互不信任的用户区域,但是使用 VLAN 将会带来以下几种副 面影响: 1).由于传统交换机的 VLAN 功能是基于软件来实现的,所以大量的 VLAN 设置将会 增加用户数据的负荷,由于每一个数据帧在进出交换机的时候都要经过交换机引擎的处理, 从而导致交换机性能的急剧下降和网络带宽的开销增加。 2).由于大量的 VLAN 设置工作要做,所以给社区网络管理人员带了了大量的维护和设 置的工作。 3).随着社区用户的急剧增加,社区网络的 VLAN 需求也将大量的增加,由于 VLAN
    标记自身结构的限制不可能超过 4095 个, 所以仅就 VLAN 数目来说传统的交换机是不可 能支持这种规模的 VLAN 的。 设想一下,如果社区中每个用户都需要相互隔离的话那么将需要划分上千个 VLAN。在 这种情况下, 当整个网络处在使用的高峰期时,交换机将很可能因为大量的加上了 VLAN 标记的用户数据处理而无法正常工作, 整个网络也会因为出现拥塞而导致瘫痪。 2. 3com VCN 交换机数据转发机制和安全实现模式 如果使用 VCN 交换机来代替传统的交换机的话,那么情况将会变得大不相同。VCN 交 换机与传统的交换机不同之处在于: VCN 交换机的每个端口默认情况下是相对独立的,每 个 VCN 交换机在默认情况下提供了 23-25 个客户端口和一个服务器端口, 对于 23-25 个 客户端口和一个服务器端口之间的通信,VCN 交换机遵守如下规则: 1).服务器端口的广播包可以被所有客户端收到。 2).服务器端口可以将 Unicast 包发送给适合的客户端。 3).来自客户端的 Unicast 被指派到指定服务器端口。 4).来自客户端的广播只能被发送到所有服务器端口。 5).客户端口之间默认情况下不存在交流。 这样的规则充分的考虑到了每个用户通信的安全性,并且由于每个端口在默认情况下都 是相对独立的所以不会再需要去划分 VLAN, 那么由于划分 VLAN 产生的副作用将得以消 除。值得一提的是,VCN 交换机真正做到了从硬件上实现端口与端口之间的隔离, 也就是 利用硬件实现了传统交换机利用软件实现的 VLAN 功能,由于 VCN 交换机做到了这一点, 所以不再需要对不同客户端口的数据附加额外的 VLAN 标记,也不需要交换机的引擎对其 做任何识别处理。 由于 VCN 交换机面向的应用环境以及所处的竞争地位,我们称这种技术为宽带以太网接 入技术。 网络方案设计 一、宽带接入方案概述 根据社区网的特点和应用以及 VCN 交换机的特性我们提出如下示意图说明: 智能小区 宽带接入示意图
    如上图所示: 我们在小区网络中心放置中心交换机 4007,并根据需要配置相应足够的 100M 以太网 口和千兆模块。 在会聚层我们配置 VCN Switch 10/100M 交换机。 在终端用户接入层我们配置 VCN Switch 10/100M 交换机。为小区用户提供 10M 或 100M 到桌面。 需要注明的是:VCN 交换机具有一个扩展槽,可支持光纤模块、千兆模块和双口上联 模块; 但由于目前 VCN 交换机的版本不支持,在下一个版本里将完全支持, 因此在本方 案中我们建议用户采用光收发器上联 VCN10/100 M 交换机。事实上采用这样的方式性价比 是较高的。 为了保证每个用户数据通信的安全性,需要将每个客户端口连接到每个用户的 PC 上, 或者在每个端口下通过二层交换机连接一组可以相互信任的用户群,这样在每个 VCN 交换 机下的客户端口数据通信将是安全的, 不必担心该端口数据通信会广播到其他端口而被窃 听。 此外也可利用客户端口的特性来建立多个相对独立的网络而不用去通过划分 VLAN 来实 现。 为了更好的服务于小区宽带接入系统,我们提出了完整的系统解决方案。 二、针对不同密度的用户网络设计描述 此方案是以局域网以太网技术为基础,建设高密度或低密度智能化社区的社区网络。在 住户的家中添加以太网络 RJ45 信息插座作为接入网络的接口,可提供 10M,甚至 100M 的 网络速率。 在本方案设计中,应着重注意以下几点: 由于本方案采用局域网以太网技术,所以智能小区这样一个提供公共接入服务的运营管 理平台而言, 传统以太网的安全将成为一个重点要考虑的问题。 由于社区网络作为一个公用的提供接入服务的运营网络,将面向用户提供各种网络的服 务,包括 Internet 网际浏览, 社区网络电子商务,社区网上交流园地的服务等等。所以为了 更好的实现运营服务管理、 用户认证与计费等问题也是应该重点考虑的。这在后面我们会 提出解决方案。
    由于整个小区接入网络包含了大量的网络设备,维护起来十分困难,所以也应该考虑网 管问题。这在后面我们会提出解决方案。 1.高密度社区网络结构设计 通常情况下,小区内用户密度很高的情况下,我们推荐如上图所示的解决方案。 方案中小区各楼内采用 10/100M 到户,边缘交换机也同样可采用 VCN10/100M 交换机, 用以联结单个用户或有信任关系的用户群。每个 VCN 10/100M 交换机通过 10/100M 口上 联到上级交换机 VCN10/100M 交换机。 VCN10/100M 交换机提供了 24 个 10/100M 以太 网自适应端口,支持单、双口多模光纤上联模块。 其中定义多个服务器端口用于连接多个 社区应用服务器, 其他端口与下层的 VCN10/100 交换机或者 VCN10/100 交换机的 100M 服务器端口相连。 其特点是,默认情况下 VCN10/100 交换机提供 24 个客户端口一个服务器端口,这些端 口之间遵循以下规则: 这些端口之间遵循以下规则: 1).服务器端口的广播包可以被所有客户端收到。 2).服务器端口可以将 Unicast 包发送给适合的客户端。 3).来自客户端的 Unicast 被指派到指定服务器端口。 4).来自客户端的广播只能被发送到所有服务器端口。 5).客户端口之间默认情况下不存在交流。 6).服务器端口之间默认情况下不存在交流。---- 注:客户端口之间或服务器端口之间可以通过设置使之相互通讯 2. 低密度社区网络结构设计
    对于低密度社区住宅楼,接入层网络交换机可以通过光纤直接连接到网络中心交换机上。 拓扑结构如图所示。 接入层交换机我们配置 3COM VCN Switch10/100,或者配置 VCNSwitch100 为用户提 供 100M 接入, 通过该交换机 100M Server 端口上联到二级网络网络中心交换机。 3.网络设计重点考虑的问题 以下将对上文提到的在本方案中应予以重点考虑的问题作详细阐述: 1)安全问题 由于社区网络是提供公共接入服务的运营管理平台,所以在为用户提供了高速接入的同 时, 用户数据通信的安全性将是一个需要迫切解决的问题。由于传统以太网技术本身的一 些弱点,如:广播、SPT 等, 对整个网的的服务可靠性造成威胁。同时如果不采取措施, 以太网内的用户,将面临本地黑客从网络第二层次的直接窃听甚至攻击。 对于以上问题,传统以太网络采用虚拟网络技术从用户端口到网络出口建立专用逻辑通 路。 但由于一般网络将承载数以百计的用户,网络管理员通过静态设置,管理同样数量的 虚拟网和路由,其繁杂度和不灵活性可想而知。 与此同时还要考虑此种设置方案下,网络 设备的承载能力。 假如一台边缘交换机提供 24 个以太网接口,要做到完全软件隔离,就需要软件设置 24 个 VLAN, 这 24 个 VLAN 需要通过边缘交换机的上联端口的 802.1Q 技术连接到中心交换 机,然后经过三层转发实现设备互通。 如果一台中心交换机连接 20 个边缘交换机,就需 要提供 480 个 VLAN 的路由。从目前的交换机处理能力来看,还远远达不到这种需求; 更 何况随着网络规模的扩大,每台中心交换机的下联设备回大幅度增加。 另外,对于大数目 VLAN 的引入,势必增加网络操作、管理、维护的难度。从长远眼 光来看,对于边缘交换机应该是越简单越好。 减轻网络管理、配置负担。
    所以我们在本方案中使用宽带以太网 VCN 交换机, 利用 VCN 交换机端口的硬件特性 从网络二层上完全隔离了每个端口的用户数据流而实现用户数据的安全性, 同时由于通过 硬件提供网络安全,因此不会降低网络的整体性能。 由于 VCN 交换机从物理上解决了安全问题,因此在该种交换机中不存在 VLAN 问题, 从而大幅度减少整个网络的 VLAN 数目, 使得整个网络更容易实现。 另外对于一个完整的社区网络来说,不仅仅要考虑到内部用户在社区内数据通信的安全 性, 同时也要考虑到内部用户在社区外访问社区内网络的数据通信的安全性,所以对于一 个移动用户通过公网来访问社区网络的安全性问题, 一般通过虚拟私有网络(VPN)来实 现,即通过 PPTP 或 L2TP 在公网与社区网络之间建立一条 VPN 隧道, 在该隧道中的通 过 IPSec 进行数据加密的封装以保证数据通信的安全性。这些对于处于网络二层上的 VCN 交换机而言也是完全透明的。 传统的用户在实现内网安全时,往往采用划分 VLAN、IP 地址和 MAC 地址的绑定等等。 但针对成千上万的小区用户来说是非常不现实的,因为: 大量的 VLAN 会严重消耗交换机的资源,常常会因为交换机过载而丢包 由于小区用户数量多,组成复杂,如果运营商试图通过绑定 IP 和 PCMAC 的方式来保 证内网的安全, 势必花费大量的人力物力,并且会增加运营成本,因为绑定 IP 和 PC MAC 须增加交换机三层路由模块。 但是采用 3COM VCN 社区专用宽带接入交换机,利用其独有的数据转发机制, 则可以 在节约以上成本的情况下,完全的实现内网安全。 2) 组播实现 网络拓扑结构对组播 Multicast 的支持分两个层次:路由网络和二层交换网络。 路由网络需支持 DVMRP、MOSPF 或 PIM。 对于二层交换式网络,主要是通过标准协议 IGMPSnooping 来实现。 VCNSwitch 支持 IGMPSnooping。 3) 认证与计费 对于多功能系统网络服务运营平台,以及智能化社区的网络建设,仅仅有高速的物理网 络是远远不够的, 还需要客户服务运营管理,用以形成强大的后台支撑系统,我们推荐采 用在城域网中心提供集中的管理计费。 通过采用集中计费管理,就不用在每个小区设置网络中心,从而大大节约管理成本,使 运营商处于有利的竞争地位。 4) 网络管理 对于一个完整的社区网络而言,由于存在着大量的网络设备,所以为了保障整个网络正 常运作, 就需要使用网管软件来对整个网络的运作进行监控。网络安全的正常运行、网络 资源的合理使用,都离不开完善的网管系统。 网管系统通过 SNMP、RMON 等网络管理协 议,对网络中的网络设备进行远程的监控,通过探测每台网络设备的工作状态, 来保证整 个网络的可靠性,一旦网络设备出现问题,则网管系统就会及时准确的发现问题所在,并发 出警告信息。 网管的另一重要的任务是记录网络的运行状态,这将为日后网络资源的合理 调配提供准确的数据, 另外通过监测网络中的数据流量,可计算出各网络使用单位对网络 运行所应承担的费用。 网管系统是由安装在网络设备中的网络管理模块和网络管理工作站组成。 位于设备中
    分享到:
    收藏

    相关推荐

    资料库

    网络技术

    共收录2367份资料,累计7个分类,关注成员有19位,主要包括:综合布线,网管软件,网络监控,网络设备,其它,系统集成,网络基础

    热门标签

    综合布线 网管软件 网络监控 网络设备 其它 系统集成 网络基础

    最新资料