第三章 网络方案设计 3.1宽带接入方案概述 假设一个小区有三幢大楼,有500用户,要求局域网内部能实现视频点播等带宽占用较大的网络服务,各用户能快速的连接Internet。并且该网络能便于将来扩展升级。 根据社区网的特点和应用以及VCN交换机的特性我们提出如下示意图说明: 图3.1 智能小区宽带接入示意图 在小区网络中心放置中心交换机4007,并根据需要配置相应足够的100M以太网口和千兆模块。3Com Switch 4007适用于较大规模社区的园区主干核心,适用于大中型企业局域网络的核心交换机(48Gbps无阻塞交换能力)。它采用模块化机架结构,即可作为局域网络高密度千兆网络骨干(提供54个千兆端口),又可以作为高密度10/100M接入交换机(提供216个100M端口)。在其高性能和高可靠性的基础之上,还为用户提供丰富的流量控制、优先级访问和服务质量控制、网络安全控制等多种功能手段,及其良好的可扩展性,可充分适应现代企业和园区接入网络的商务应用需求 在会聚层我配置VCN Switch 10/100M交换机。VCN Switch主要优点:通过采用基于硬件的安全转发机制实现社区宽带以太接入的安全,保证社区宽带接入网的性能和安全的同时, 最大程度的简化社区网络的设计和管理,轻松实现高安全、高性能的宽带社区接入网。 在终端用户接入层配置VCN Switch 10/100M交换机。为小区用户提供10M或100M到桌面。 为了保证每个用户数据通信的安全性,需要将每个客户端口连接到每个用户的PC上,或者在每个端口下通过二层交换机连接一组可以相互信任的用户群,这样在每个VCN交换机下的客户端口数据通信将是安全的,不必担心该端口数据通信会广播到其他端口而被窃听。此外也可利用客户端口的特性来建立多个相对独立的网络而不用去通过划分VLAN来实现。 为了更好的服务于小区宽带接入系统,我提出了完整的系统解决方案。 3.2网络设计重点考虑的问题 以下将对上文提到的在本方案中应予以重点考虑的问题作详细阐述: 3.2.1安全问题 由于社区网络是提供公共接入服务的运营管理平台,所以在为用户提供了高速接入的同时,用户数据通信的安全性将是一个需要迫切解决的问题。由于传统以太网技术本身的一些弱点,如:广播、SPT等,对整个网的的服务可靠性造成威胁。同时如果不采取措施,以太网内的用户,将面临本地黑客从网络第二层次的直接窃听甚至攻击。 对于以上问题,传统以太网络采用虚拟网络技术从用户端口到网络出口建立专用逻辑通路。但由于一般网络将承载数以百计的用户,网络管理员通过静态设置,管理同样数量的虚拟网和路由,其繁杂度和不灵活性可想而知。与此同时还要考虑此种设置方案下,网络设备的承载能力。 假如一台边缘交换机提供24个以太网接口,要做到完全软件隔离,就需要软件设置24个VLAN,这24个VLAN需要通过边缘交换机的上联端口的802.1Q技术连接到中心交换机,然后经过三层转发实现设备互通。如果一台中心交换机连接20个边缘交换机,就需要提供480个VLAN的路由。从目前的交换机处理能力来看,还远远达不到这种需求;更何况随着网络规模的扩大,每台中心交换机的下联设备回大幅度增加。 另外,对于大数目VLAN的引入,势必增加网络操作、管理、维护的难度。从长远眼光来看,对于边缘交换机应该是越简单越好。减轻网络管理、配置负担。 所以在本方案中我使用宽带以太网VCN交换机,利用VCN交换机端口的硬件特性从网络二层上完全隔离了每个端口的用户数据流而实现用户数据的安全性,同时由于通过硬件提供网络安全,因此不会降低网络的整体性能。 由于VCN交换机从物理上解决了安全问题,因此在该种交换机中不存在VLAN问题,从而大幅度减少整个网络的VLAN数目,使得整个网络更容易实现。 另外对于一个完整的社区网络来说,不仅仅要考虑到内部用户在社区内数据通信的安全性,同时也要考虑到内部用户在社区外访问社区内网络的数据通信的安全性,所以对于一个移动用户通过公网来访问社区网络的安全性问题,一般通过虚拟私有网络(VPN)来实现,即通过PPTP或L2TP在公网与社区网络之间建立一条VPN隧道,在该隧道中的通过IPSec进行数据加密的封装以保证数据通信的安全性。这些对于处于网络二层上的VCN交换机而言也是完全透明的。 传统的用户在实现内网安全时,往往采用划分VLAN、IP地址和MAC地址的绑定等等。但针对成千上万的小区用户来说是非常不现实的,因为: 大量的VLAN会严重
首页 上一页 2 3 4 5 6 7 下一页 尾页 5/7/7
WORD格式全文下载链接(充值:元)
