• 解决方案

  SOLUTION CENTER
• IDC方案设计
• 云服务
• 智能化弱电系统集成
• IT外包服务

计算机网络系统

方案要点概述

在新办公大楼综合楼智能化工程计算机网络系统设计中，我们对用户的需求进行了详细的分析，并就系统进行了深入细致的设计。系统设计主要为：

1.网络技术选型的考虑以及网络拓朴的设计

网络技术选型

网络系统经过多年的建设，目前局域网、城域网主要以千兆为主；到省公司广域网采用ATM155M，到各个县公司目前还以2M专线为主。随着企业内联网系统的建设，到各个县公司将在升级到千兆，并且在全网采用MPLS/VPN技术架构。核心设备为Cisco6509及8540交换机为主，接入层交换机主要为Cisco3500系列交换机。目前的网络拓扑现状如下：

新大楼网络系统主要是在现有局域网系统上进行扩容，在技术及设备上最好延续现有的网络系统，保证系统的平滑互连。并考虑今后网络系统升级的扩展性。主干采用千兆以太网技术，为了增加主干系统的带宽，可以考虑采用GEC（千兆以太网捆绑）技术。设备考虑延续采用Cisco设备。

网络拓朴的设计

针对本次网络系统建设范围主要包括三个独立的建筑物：主楼、服务楼、信息XXXX楼。网络主体架构采用环型＋星型结构，即在三个建筑物内配置三台Cisco三层交换机，相互间采用双千兆链路互连，构成核心环网；在每个建筑物内，根据楼层信息点的分布，在楼层配线间采用接入级交换机采用星型拓扑连接到本地的核心三层交换机。

2.网络管理系统

网络中涉及的设备繁多，需要进行状态检测、设备配置、策略设置等，在网络发生故障时能够及时发现问题，这需要一套功能强大的网络管理软件。方案中选用Ciscoworks2000软件作为局域网管理平台，能够与方案中设计的网络设备良好配合。

3.对应用支持的考虑

基于网络的应用很多，包括办公应用、用电营销、财务、视频监控应用等。有些应用对网络的要求比较高。针对新大楼智能化工程计算机网络系统，在网络设计的时候，我们在设备性能以及协议等方面作了充分的考虑。例如网络主干采用1000M以太网技术，网络设备具有良好的扩充性以及扩展性。对于用电营销及视频监控应用，需要网络具有良好的服务质量（QoS）。在技术方案中针对这些网络的具体应用，我们提出了各自具体的实施方案。

4.对IP地址、DNS等网络基础资源的规划

网络系统属于企业内联网的一部分，其IP地址及DNS等均遵循公司的统一规划。在此不需要额外规划。

5.对安全的考虑

方案中对系统安全作了建议性的描述，在对外连接上采用防火墙技术、DMZ设置保障信息系统的安全。在设备和系统设置上采用其他的一些策略包括针对Cisco设备特点采取的网络设备安全加固手段、采用虚拟网技术（VLAN）划分不同的网段，实现不同子网之间的逻辑隔离及控制、在核心服务器VLAN及主要出口设置入侵检测系统；在主干路由设备上以及接入设备上设置访问控制，隔离外部入侵。

出于对设备物理安全的考虑，对机房以及配线间设备考虑防雷和接地。主要考虑电源防雷和型号防雷，并对设备以及机柜等作良好接地。而这一部分也是机房设计的重要组成部分。

总论

系统建设背景

为提高企业的办事效率，为领导和工作人员提供办公及生产管理，要不断完善对信息系统的建设。以此来满足对网络性能、可靠性及安全等方面的不断增长的需求。

系统建设需求及设计原则

系统需求分析

本次网络系统的建设包括省内部网络及外部网络，重点建设内部网络系统。

内网性质为公司内部的生产办公业务网络，其上主要的应用系统有办公自动化、用营销、财务、自动化、劳动人事等。今后随着网络应用的不断发展，其上还要承载高质量的视频监控系统、视频点播系统。要求网络运行可靠稳定、数据传输效率高、支持QoS，从安全角度出发要与外网从物理上完全隔离、充分保证系统数据的安全。因此在网络建设方案中内网主干采用千兆以太网技术、核心三层交换机具有较高的二至三层的交换能力，并且具备万兆升级能力。核心层及接入层交换机均支持不同层次的QoS，以及适用于局域网的各种应用需求。

外网是公司与Internet及其它相关单位（如银行）间互访的网络系统，属于非安全网络。主要提供专有信息发布、电子邮件服务、Internet浏览、资料查询及下载。特别需要加强网络的安全及病毒防范能力。因此在外网与内网在物理上进行隔离，由于外网承载的业务相对内网而言对网络的带宽及性能要求不是很高，所以在外网的建设中，网络系统对连通性要求较高，但对网络的带宽及时延要求不大，重点考虑外网系统的安全性。

系统建设原则

本工程技术方案为实现前述建设目标，遵循以下建设原则：

1、安全性和可靠性

网络系统是信息资源的仓库，其安全与否，直接关系到供电部门的切身利益，一旦信息系统因为安全的原因被人为或其它原因破坏，其损失不可估量，特别是现阶段互联网的开放性还缺乏有效的监督管理机制。因此，安全性是网络信息系统的生命线，在本建设方案中充分考虑到要保证系统的安全机制，通过各种手段确保信息系统的资源得到最大的保护，同时网络的可靠性是保障网络建设成功发挥其功能的关键。

2、成熟性和先进性

在目前存在的多种网络技术中，选择一种既成熟又先进的技术是组网的关键之一。成熟性是前提，它意味着采用这种技术不会由于网络技术本身的问题而造成损失，可以很好地满足应用要求；同时先进性是为了保证用户投资兴建的网络能够跟得上技术的发展，符合应用的要求，使用户的投资得到保护，在相当的时间内保持先进性，不至于过早被淘汰。

3、实用性

建网的目的是为了提高工作效率，因此采用高速度、低延时的网络系统，建设一个切合应用要求的实用的、经济的网络信息系统是设计指导原则之一。只有所建设的网络信息系统能够满足应用的要求,吸引广大用户使用，提高使用网络人员的操作水平，为企业创造经济效益,充分发挥其功用，才达到建网的目的。

4、可管理性

网络管理关系到系统使用的效率、维护、监控的手段以及网络资源的再分配，是一个完整的智能网络必不可少的组成部分。因此采用具有网管能力的网络设备是系统设计的重要思想。系统支持先进有效的管理策略，提供良好的管理工具或手段能够实时监视服务器各种设备的工作情况，并在安全和系统故障方面进行预警，提交日志和分析报告，及时发现故障点，为平衡负载、优化服务、排除故障提供手段和依据。

5、开放性和扩展性

开放性意味着标准化，在公司的网络系统建设中，其各种设备之间的连接均采用国际上通用的成熟标准协议或接口，不会因为设备的更改而变动基本结构或采用不同厂商的设备导致系统不兼容。如内网VLAN的划分方式、路由协议的选择等。

开放的体系结构为以后的网络升级提供了基础，随着江苏电力信息化建设不断发展，网络信息系统的应用规模和水平将会不断发展变化，这就要求计算机网络能够适应这些发展变化，实现向先进技术的平滑过渡，同时也便于扩大规模，从而保护原有投资。

网络系统建设方案

网络技术综述

计算机技术和通信技术的发展推动了网络技术的进步，也产生了许多新的网络技术和网络应用。总的趋势是向着开放、集成、高性能和智能化方向发展。网络技术的发展和应用需求之间是一个不断的反馈过程，呈现一种螺旋式上升地趋势。选择何种网络技术组建信息基础设施，除了对网络技术本身的详尽分析以外，还要结合具体的应用而定。本章节将按照这个思路，首先详细分析了各种网络技术的最新发展状态，然后根据网络应用现状及未来几年的应用规划，在后续章节做出相应的网络技术选型的建议。

局域网技术简介

本节对现有的主流的以太网技术特点做了分析，在1997－1999年，由于千兆以太网技术标准还不成熟，ATM技术大量在局域网中应用，当时主要采用局域网仿真方式－LANE来实现以太帧到ATM的信元格式转换。而在ATM到桌面的环境中，由于缺乏能有效利用ATM特性的API标准，ATM的严格的QoS特性也没有得到充分体现。而随着基于IP的应用的大量兴起及网络传输带宽的不断加大，在局域网应用场合中，千兆以太网技术逐渐成为局域网发展的主流，未来的10G比特以太网技术也前景光明。下面着重讲述一下千兆及10G以太网技术。

千兆位以太网：

千兆以太网技术是极为成功的10Mbps和100MbpsIEEE802.3以太网标准的发展。由于千兆以太网所支持的简易网络升级，以及对新应用和数据类型处理的灵活性、网络的可伸缩性，使得千兆以太网成为高速、高带宽网络的战略性选择。千兆以太网提供大致1000Mbps的带宽，和现有的数量极为庞大的以太网节点完全兼容。千兆以太网早在1996年7月就已进入标准化轨道。经过几个月的可行性研究，IEEE802.3工作组成立了802.3z千兆以太网任务小组。802.3z千兆以太网任务小组的关键目标是开发可以完成下列功能的千兆以太网标准：

²  允许以1000Mbps的速率进行半双工、全双工操作

²  使用802.3以太网帧格式

²  使用CSMA/CD访问方式

²  与10BASE-T、100BASE-T技术的地址向后兼容性

任务小组定义了连接距离的三个特定目标：最大距离为550米的多模光纤，最大距离为3公里的单模光纤，最大距离不小于25米的铜线。IEEE同时在积极地探索可以支持在5类双绞线（UTP）上传输至少100米的技术。千兆以太网支持新的全双工模式，可以在交换机到交换机上，或交换机到端点工作站上连接上。半双工操作模式用于CSMA/CD访问方式和中继器的共享连接上。千兆以太网也将用于5类双绞线。

以太网和更高等级的服务：

千兆以太网提供高速连接能力，但本身不提供完整的服务功能如服务质量（QoS），自动冗余容错，或是高层路由功能。这些功能在其它开放标准中定义。如同所有的以太网描述，千兆以太网定义OSI协议模型的数据链路层（第二层），TCP和IP分别在传送层（第四层）和网络层（第三层）部分中定义，允许在应用之间的可靠通信服务。QoS等问题在最初的千兆以太网描述中未曾涉及，但是必须由此类标准的几种中加以定义。

在90年代后期出现的应用要求稳定的网络带宽、延迟和敏感性。此类的网络应用包括语音和影像在局域网和广域网上传送，组播软件分发。相关的标准化组织针对此类需求已经作出了新的开放标准定义如RSVP，IEEE802.1p和IEEE802.1Q标准化小组也正在进行各自的工作。

作为推荐性的标准，响应连接质量要求、提供网络连接质量的RSVP已经获得了业界的认可。为了使RSVP能发挥作用，为网络应用提供所要求的持续质量，在客户和服务器之间的任何一个网络部件都必须支持RSVP和正常的通信能力。由于在真正获得服务质量的显著效果之前需要如此多的网络部件支持RSVP，有些厂商开发了一些在某种程度上支持QoS的厂家专有方案。尽管它们可以为用户提供QoS的效益，但要求网络的某些部分是这些厂家所独有的。

802.1p和802.1Q靠提供一种所谓的“打标记”的方式实现以太网上的服务质量功能。打标签就是在数据包上做标记，注明该数据包所期望的服务类型或是优先级别。这种标记使得应用能够与网络互联设备按不同的优先级通信。RSVP可以由将RSVP映射到802.1p服务级别的方式实现。

不同的千兆以太网设备一般只有上述部分标准，这样可以使以太网连接更有效率，功能较强。但千兆以太网的成功不依赖于标准中的任何一个。模块化标准的优点是标准的任何部分都可以在市场和和产品质量有需求时进行更新。请注意所有这些标准都和快速以太网和10M以太网相匹配，各个层次的以太网运行性能和质量都可以从标准化的工作中获益。

10G以太网：

近两年随着传输网络的发展，10G以太网技术渐渐引起了人们的注意，这种高速以太网技术适用于各种网络结构，能够简单、经济地构建各种速率的网络，可以满足骨干网大容量传输的需求，解决了窄带接入、宽带传输的瓶颈问题，并与现行以太网技术兼容。2000年末已经为通往WAN作好了相应的技术储备。此外，由于LAN、MAN和WAN采用同一种核心技术，网络易于管理和维护，同时避免了协议转换，实现了LAN、MAN和WAN的无缝连接。10G以太网赢得青睐的真正原因是，它比ATM和SONET的价位低，在MAN和WAN中应用10G以太网技术，比采用ATM/SONET技术构建的类似MAN和WAN费用低25%。预计10G以太网的每端口价格是单个千兆比端口价格的8.3倍。这就是说，买一个10G以太网端口比买10个千兆比端口节省17%的费用。然而，10G以太网缺少SONET的链路管理能力，无法排除链路故障。有人建议用数字封装法来传递以太网帧，使之具备链路管理能力，但这将增加成本和复杂性。所以，在长距离传输下，SONET有其优势，但以太网处理突发数据和网状网的能力比SONET强。

尽管10G以太网是在以太网技术的基础上发展起来的，但是，由于工作速率的大幅度提升，适用范围有了显著的变化，与原来的以太网技术相比差异很大，主要表现在：物理层实现方式、帧格式、MAC层的工作速率以及适配策略。

由于10G以太网既可以作LAN使用，也可以当作WAN使用，而LAN和WAN之间由于工作环境不同，对于各项指标的要求存在许多的差异，主要表现在时钟抖动、BER（比特误码率）、QoS、速率等的要求不同。为此，IEEE802.3HSSG小组制订了两种不同的物理介质标准，分别用于以太局域网和以太广域网。这两种物理层的共同点是：共用一个MAC层；仅支持全双工操作方式；省略了CSMA/CD；采用光纤作为物理介质。

根据当前的局域网技术发展趋势，针对XXXX市供电公司局域网的应用需求。应采用千兆以太交换技术构筑内部局域网，并保证今后可向10G以太网平滑升级。

内网建设方案

组网方案

现状分析

广域网主要采用155MATM接入企业内联网，采用2M专线连接各个县公司。联网计算机达七百多台，采用10/100M

交换到桌面。

目前对外部网络的访问主要提供省公司的代理服务器连接Internet，没有自己的本地出口。对于银行的互连，目前正在现有系统上添加防火墙及入侵检测设备。

系统采用的主要网络设备如下：

主干交换机：采用Cisco公司的Catalyst6509为主干交换机，该交换机配置256G交换矩阵，路由能力为15Mpps。接口模块主要有千兆以太网接口板，主要用于局域网及城域网的千兆主干接入，ATM622M接口与8540互连，通过三级网接入企业内联网。

分支主干交换机：采用Cisco4000系列交换机，作为分支节点的核心交换机，采用千兆连接6509。

楼层交换机：主要为Cisco3500系列交换机。采用千兆连接到核心6509交换机，10/100M交换到桌面。

拨号路由器：采用IBM8235作为拨号访问服务器，实现远程用户和移动办公用户通过电话拨号接入局域网。该拨号访问服务器采用10M以太网接入局域网。

广域网接入交换机：采用Cisco8540MSR，采用155MATM接口通过三级网接入江苏电力企业内联网，通过622MATM接口连接核心交换机6509。

接入路由器：采用IBM2210作为县公司接入路由器，通过2M专线连接各个县公司。

内网建设目标

²  实现主楼、服务楼、信息XXXX楼的互连。

²  网络技术采用千兆以太网，主干网是以数据传输速率为1000Mbps，并采取资源保留协议、保证关键业务的通畅。

²  提供楼层用户的10/100M接入。

²  与现有网络系统兼容，并可以平滑升级。

²  通过设备对策选择及拓扑结构设计，保证系统的高可靠性

²  实现内网与外网的物理隔离。

内网建设方案

核心设计：

内网主要包括三个主要节点：新大楼主楼、服务楼、信息楼，为保证网络系统的高可靠性，设计三个节点各放置一台三层交换机，相互间采用双千兆进行互连，构成核心环网。在互连协议方式上可以有两种方式：

采用路由方式互连，在局域网内部运行OSPF协议，通过路由协议实现链路的最佳选择及备份切换，通过调整OSPF协议的参数，可以将链路的切换时间控制在4秒以内，但此种方式应用在局域网内有一定的局限性，例如不能构建跨越三大节点的全局VLAN。

通过数据链路层的IEEE802.1s及IEEE802.1w协议实现链路冗余及切换，IEEE802.1s协议是对IEEE802.1d（生成树协议）的改进，通过改进的BPDU传输链路及端口状态，可以保证将系统的切换时间控制在1秒以内，IEEE802.1w是多生成树协议，即可以在一个传统的生成树域内，通过分级控制的方式划分出多个生成树，在链路发生故障时，提高系统的收敛时间。

根据局域网的特点及系统可靠性的保证，建议核心环网选择第二种互连方式。

根据接入节点的数量及投资规模，核心节点的交换机可以有两种选择。

主楼采用核心交换机采用Cisco6509，信息楼核心交换机采用现有的Cisco6513，配置720G引擎，最大路由能力为400Mpps；服务楼配置Cisco4507R，交换能力为64G，路由能力为48Mpps；。

主楼核心交换机采用Cisco4507R，采用全冗余配置；信息XXXX楼核心交换机采用Cisco6509；服务楼核心交换机采用Cisco3550-12G，交换能力为17G，路由能力为6Mpps。

（1）主交换机

主交换机是整个网络系统的核心设备，承担网络主干的绝大部分流量，由于服务器包括应用服务器、数据库服务器、网管工作站等重要设备都连接在主交换机上，并且客户机与服务器的通信都必须经过主交换机，因此主交换机的故障会造成通信中断，导致整个网络系统瘫痪；同时主交换机的性能、稳定性、可靠性也密切影响着整个网络系统的性能。对主交换机的设计如下：

²  设备配置冗余电源，冗余管理模块，冗余三层交换模块及冗余端口，同时保证提供足够数量的千兆端口用于连接内网骨干网（主交换机与楼层交换机之间的链路）和连接各类服务器；

²  集成LAN/WAN/MAN，集成不同的网络、电信端口；

²  提供智能IP服务，如提供对组播等协议的支持；

²  提供对IP语音的支持；

²  支持各种QoS方式；

²  支持强大的网络管理功能；

根据以上要求，主楼核心设备根据投资规模的不同，可以有两种选择，第一种选择Cisco6509；第二种选择为Cisco4507R交换机。具体配置详见建议设备配置清单。

（2）楼层交换机

作为用户终端与交换机之间的连接，楼层交换机在整个网络中处于重要的地位。楼层交换机的选择应做到尽可能的高速交换和传递数据，不致成为整个网络的瓶颈。因此，根据网络系统的设计原则以及内网的业务特点，对楼层交换机设计如下：

²  端口密度满足每一楼层40多个信息点百兆交换到桌面的要求；

²  提供至少一个千兆端口作为与主交换机的相连；

²  提供第二层上虚网划分，满足主交换机的第三层交换；

²  支持802.1q及802.1p，支持802.1x用户接入认证。

外网建设方案

外网建设目标

l  建立独立于内网的网络系统，实现内外网物理隔离；

l  建立外网信息服务平台，提供丰富的信息服务；

l  提供Internet接入，为职工安全上网提供便利条件；

l  提供对社会公众的服务窗口。

外网构建方案

外网主要用于连接Internet、银行等。采取与内网物理隔离的方式来保证内网系统的安全性。为实现内外网物理隔离目标，建立独立的外网系统，在每个办公室里设置一个到两个独立的信息点，这些信息点的机器不与内网有任何连接，通过这种方式实现与外网的连接。

由于外网系统的数据流量不大，只要保证连通性，最为主要的是安全性，因此交换设备可以选择抵档一些的设备，如国产设备或不适用于原有网络的设备。新增配置一台核心三层交换机，关键要设计好外网出口的安全，建议在外网的Internet及银行互连端口处设置防火墙及入侵检测装置。防火墙要设置DMZ区域，用于放置WWW、外部Email、DNS等服务器，将来可提供对社会公众的信息查询服务以及企业自我宣传的窗口。

由于外网不是本次网络系统建设的重点，本设计方案只给出一些建设意见，不涉及具体的设备配置。

内网及外网的IP地址分配方式

网络内部主机的IP地址的分配方式有以下几种：

²  手工静态配置

²  通过DHCP动态分配，即通过DHCP服务器获得的IP地址有可能每次都不一样。

²  在DHCP服务器上进行IP及MAC的绑定，实行绑定分配，在这种方式下，只要网卡没有更换，每次获得的IP地址均相同。根据主机及设备的属性，应采取不同的IP导致分配方式：

²  对于服务器及网络设备，由于相对稳定，建议采用手工静态配置IP地址。对于固定的办公PC机，由于手工配置IP地址，要人工记录已经分配的IP地址，以避免同一个IP地址分配给多台机器，导致网络冲突。这些机器平

²  时的接入的子网相对固定，同时为了便于对上网机器统一管理及监控，建议内网及外网的内部的PC机采用DHCP方式，并且将IP与MAC地址绑定分配，保证每次获得的IP地址均相同。

²  对于移动上网的笔记本电脑，由于每次所连接的子网可能不同，建议采用DHCP动态分配方式，建议每个子网的动态分配的IP地址空间为最后20个。即：X.X.X.234-X.X.X.253。对于内网及外网的DHCP服务器，有以下两种选择：

²  采用PC服务器，安装WindowsNT或Windows2000Server操作系统，操作系统内置有DHCP服务功能。

²  由CiscoIOS提供，内网的核心由于为6509，配置有MSFC3路由模块，可以在IOS中启用DHCP服务器功能，由6509作为DHCP服务器。今后可以考虑采用CiscoURT（用户注册管理工具）根据用户输入的用户名及口令，通过IEEE802.1x认证后接入网络，就可以将用户分配到相应的子网并获得正确的IP地址。

服务质量(QoS)的实施

局域网服务质量的实施

随着视频监控、IP电话以及重要的电力企业应用（如营销）等各种在某段时间内持续高带宽低延时的应用的开展，网络流量的复杂化，IP交换技术的发展，二层、三层交换技术在保障网络应用的服务质量QoS，避免网络拥塞上可以起到不可缺少的作用。

概括而言，QoS主要包括数据智能分类技术，拥塞控制技术两大方面，一般在园区网络中采用以下步骤实现服务质量：

在接入层交换机中对进入网络的数据包进行网络的基本分类或根据交换机设定来进行重分类（Reclassify），同时对网络的流量采用监控(Policing)，避免由于客户设备故障或病毒产生的过度流量，然后根据监控决策结果来将这些流量放入相应的上联端口的队列，然后在此端口上采用加权算法来对该端口出去的流量进行拥塞控制(SchedulingCongestionControl)，确保在接入层上关键数据流量的服务质量，在这些数据的处理过程中，同时完成了第二层以太网帧中CoS值和IP包中的TOS值或DSCP值的映射，TOS或DSCP值决定了IP报文的优先级别，而TOS或DSCP值在经过IP路由器默认情况下其值不会改变，从而能够提供跨全网的端到端的QoS。核心三层交换机在收到了从接入层交换机上传来的数据包，它开始正式对其第三层IP数据包进行分析，首先根据IP地址信息可以选择不同的转发链路，在选择了相应的链路后，这时候核心三层交换机在这些链路上对流量的拥塞不再是依据以太网帧中的CoS，而是依据在接入层交换中以及完成赋值的TOS或DSCP，分布层交换机可以根据这些值可以对网络中的流量进行更细致的划分，保证关键流量将根据其各自的优先权进入网络核心。

从上述技术分析来看，实施时技术要求较高，要求在实施前对网络应用模式和具体需要进行详细分析，然后合理的规划采用连接协议及QoS控制方式，使网络在满足需求的前提下趋于最高性能和可靠性。

具体实现的技术方案：

在企业内网中接入层交换机采用Cisco3550交换机，能够提供完善的LAN边缘QoS，在业内此类产品中无以匹敌。所有的Cisco3550交换机支持两种模式的重新分类方法。一种模式基于IEEE802.1p标准，遵从接入点的服务等级（CoS）值并把数据包分配到合适的队列中。第二种模式，数据包根据由网络管理员分配给接入端口的缺省CoS值来进行重新分类。如果到达的帧没有CoS值(如未做标记的帧)，Cisco3550交换机就根据网络管理员分配给每个端口的缺省CoS值来进行分类。

一旦数据帧使用上面所说的两种模式分类或重新分类后，即被分配到最合适的输出队列中去。Cisco3550交换机支持四种输出队列，使网络管理员在为LAN流量的各种应用指定优先权时更加容易区分和有针对性。严格的优先权分配可以保证诸如语音等时间敏感的应用在通过交换结构时一直使用高速路径。另外，另一种重要的增强措施即加权循环（WRR）策略也能保证低优先级的负载在没有被网络管理员进行优先级配置的情况下，能够得到重视。

这些特性使网络管理员可以把关键任务和时间敏感的流量，如视频（视频会议，视频监控等）、语音（IP电话流量）和CAD/CAM，优于低时间敏感的应用如FTP或e-mail（SMTP）等来设置更高级别的优先权。

Cisco3550交换机每个端口可以工作在两种模式下：Trust和Untrust。Trust状态下交换机将相信从端口进入交换机的以太网帧中CoS值，这种状态下必须依赖于客户端程序或系统能够对其产生的流量能够正确的赋予CoS值；在Untrust模式下交换机可以设定改写所有进入该交换机端口的以太网帧中的CoS值，无论其现有的CoS值为多少，可以根据端口的直接设定。

对于智能型的Cisco3550也可以通过ACL来对网络流量分类来重新设定。为了同时也对第三层IP数据中的ToS或DSCP赋值，交换机也对应一些相应的规则，由于CoS和ToS均为0-7，可以直接对应，CoS和DSCP直接采用DSCP=CoSx8的公式进行转换。在网络流量的监控上，Cisco3550采用了以前只有在6500交换机上才采用的ratelimit技术，可以以8Kbps为单位来定义10/100兆端口上实际数据传输速率，当速率超过预先定义的值可以采用丢弃或降低DSCP的方法来处理。

在上联端口的拥塞处理中Cisco3550交换机采用4条队列的方式，其中一条为严格优先队列（StrictPriority），其余3条队为加权轮询队列，这样的话为了保证要求服务质量保证的系统最高优先级，可以将所有的有服务质量要求的数据设定分类后放入严格优先队列中，其余的应用根据其各自的情况分类，赋予不同的DSCP值。

各个VLAN通过核心的6513或6509实现三层互联，对于不同的应用，采用策略访问控制列表（PolicyACL）对有服务质量要求的报文（如视频及语音报文）设定IP优先级，根据优先级采用加权公平队列（WFQ）进行报文端到端的QoS传输；在路由端口上缺省的队列为公平队列（FQ），6509MSFC2路由模块可以根据IP优先级计算一个权重，权重＝4096/(优先级＋1)，根据到达路由端口的报文不同的IP优先级计算出各自的权重，将报文放进不同的转发队列，根据权重的比例进行报文的排放，保证在网络拥塞时优先级高的报文优先通过。

网络管理系统

在当今的网络系统中，随着网络系统的不断建设和完善，网络中涉及的设备将越来越多，如路由器、交换机、防火墙、拨号服务服务器等；其次，网络技术也日趋复杂，从10/100M以太网、千兆以太网、ATM、多媒体技术、安全策略等等；再有不同的网络设备的配置命令也不尽相同。导致在网络系统发生故障时，使网管人员无从下手，降低了网络运行的效率。这就客观要求要有一套好的网络管理系统与之相配套。

网络管理任务及策略

网络管理是网络建设中不可缺少的重要组成部分。一个良好的网络管理系统可以帮助用户在很大的程度上优化网络结构，预防和及时排除故障，减少网络的维护费用。因此，网络管理对保证网络安全高效的运行是非常重要的。

网络管理的任务主要包括以下方面内容：

²  网络性能管理：收集网络运行各种统计信息，例如设备和链路的负载、可用性及可靠性、网络的可用率等，优化网络性能，消除网络中的瓶颈，实现网络流量分布的均匀性，实现各种策略管理。

²  网络配置管理：网络节点部件、端口及路由的配置，收集当前系统状态的有关信息，更改系统的配置等。

²  网络故障管理：维护并检查错误日志，接受错误检测报告并作出反应，跟踪错误检测报告并作出反应，跟踪及辨认错误，执行诊断测试，纠正错误等。

²  业务量统计：对网络节点、设备等的告警产生、告警内容和告警清除的统计；根据IP地址，统计业务流量和流向，实现对网管人员操作网管设备过程的记录和统计。

²  网络安全管理：包括各种级别、层次的安全防护措施的管理，对网络中各种配置数据必须有保护措施，当网管系统出现故障时，能自动及人工恢复正常工作，不影响网络的正常运行。

对于网络系统来说，由于其内网、外网网络界限划分明显，且随着网络的发展今后其覆盖面将越来越广，涉及的网络设备众多，因此如何有效地管理整个网络，提高网络运行效率是网络运行管理过程中一件非常重要的工作。

网络的管理不仅仅是配置一套网管系统，而应该是制定一个系统的网管策略，包括网络设备的管理（配置、监控、性能等方面）、网络终端用户信息管理、网络地址的分配、网络配线（包括光配及线配）的管理、网络安全的管理、网络认证的管理、网络权限的管理等等。网管软件只能完成其中部分功能，其他功能如网络终端用户管理、网络配线管理等需要结合其他根据软件或人工来完成。

网管平台选择

网管系统的建立与选择应该根据以下的几个原则来进行：

²  网管软件应能监控网络设备，以图形方式实时显示设备的运行状态；

²  网管软件能自动寻找并显示网络的拓扑结构；

²  网管软件能监控网络的状态并在一定的情况下报警；

²  网管软件应能监控网络的性能，并设置一定的阀值，在超过阀值的情况下自动报警；

²  应能用图形方式对虚拟网进行设置与管理；

²  动态分配网络资源；

²  记录与搜索网络的历史性资料；

²  支持SNMP及RMON网络管理协议；

²  具有良好的用户界面，方便网络管理者的工作，如有基于XWINDOWS

²  图形用户界面（GUI）或基于WEB的浏览器界面；

²  能对网络资源的利用率、趋势、MIB变量进行查询与分析并能用图表的形式显示出来；

²  能进行安全性管理，控制用户对网络资源的未经授权的访问；

²  能对设备的配置文件、软件进行管理；

目前各主要网络厂家都向用户提供与本厂家设备相关的网管软件，都有较全面的管理功能，且都提供图形操作界面，使用直观方便。如Cisco的CiscoWorks2000、IBM的Netview、HP的Openview等。但一个厂家的设备只有用本厂家的网管软件才能得到全功能的管理。如果一个厂家的网络设备采用另外一家的网管软件来管理，则除非网络设备的原厂商能够提供基于此网管平台的设备管理信息库（MIB），否则将不能直观的看到网络设备的面板及真实的端口状态，只能看到一些SNMP的基本信息，非常不直观，不便于管理。

由于网络基本由Cisco设备构建而成，网络管理以局域网系统管理为主，建议采用Cisco公司的局域网网络管理软件LanManagementSolution，在今后覆盖全省的MPLS/VPN网络系统建成后，其网管中心将放置在省公司，由省公司统一管理各个VPN的划分。各个地市供电公司只负责本地PE路由器以下的局域网系统管理，与现在的管理权限基本相同。

LanManagementSolution可基于WindowsNT/2000Server及SUN的Solaris操作系统，是一种多功能的企业级网络管理软件。它包括如下网络管理模块：

最基本的模块CDONE及RME，是其他网络管理模块的基础，提供了网络设备状态采集及远程监控等功能。基于这两个模块还有园区网管理核心模块－CM，提供设备的配置及信息采集功能、内容流管理模块－CFM、还有设备报错管理模块－DFM。这些网络管理模块给网络管理员提供了一套工具组来轻松地管理整个园区网络。

系统安全建设

系统安全分析

网络系统安全问题一直为人们所关注。如何保证网络的安全性，除了需要制订相应的法律法规加以约束外，采用什么样的技术手段来控制是非常重要的。一个完整的安全解决方案应该是一个系统化、一体化的立体的防御结构。如下图所示，系统安全包括网络群体、系统群体、用户群体、应用群体、数据加密等不同层次多角度的安全控制。

安全体系建立的原则

一个系统的安全体系建设应从两方面加以建设，要采用两条腿一起走路：

一是网络安全的结构设计，包括网络级、系统级、用户级、应用级、数据级安全防御体系；二是网络安全管理，包括建立安全组织、制订安全策略、网络安全管理规范、安全管理工作流程、网络安全审计等。两方面的工作要相辅相成，贯穿于整个的网络生命周期。

网络安全不是某个产品点，它涉及到各种技术，它应该是优秀的网络设计的一部分。

各种网络安全措施

构建一个完整的安全体系应包含以下几个方面：

访问控制-通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。

检查安全漏洞-通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。

攻击监控-通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。

加密通讯-主动的加密通讯，可使攻击者不能了解、修改敏感信息。

认证-良好的认证体系可防止攻击者假冒合法用户。

备份和恢复-良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。

网络防病毒－对病毒传播途径的有效控制，包括邮件系统、网关、防火墙等要做到全面防毒；对病毒生存环境的有效清理，包括杀毒引擎、病毒库更新等。

多层防御-攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息，使攻击者不能了解系统内的基本情况。

设立安全监控中心-为信息系统提供安全体系管理、监控，保护及紧急情况服务。为此，我们突出地提出如下三个方面的安全理念--安全策略、管理和技术。

安全策略--包括各种策略、法律法规、规章制度、技术标准、管理标准等，是信息安全的最核心问题，是整个信息安全建设的依据；

安全管理--主要是人员、组织和流程的管理，是实现信息安全的落实手段；

安全技术--包含工具、产品和服务等，是实现信息安全的有力保证。

设备自身的安全措施

网络设备的安全对整个网络的安全、正常运行有很大的意义。网络设备的安全是是许多安全措施能够顺利实施的基础。如果网络设备的配置能够被随意看到，其所配置的路由识别ID、密码等都失去意义；VLAN的配置如能被随意改动，则VLAN将形同虚设。

保护网络设备应注意两个方面：

l  设备的配置需要保护，防止非授权访问；

l  设备的资源必须有效保护，防止像DOS这样的资源掠夺式攻击。

网络设备分级登录验证

防范对网络设备的非法访问，需要保护关键的配置信息（如密码、ID等），管理员必须经过严格身份鉴别和授权。在江苏电力企业内联网系统中，投标方推荐的Cisco所有设备本身都有相应的安全措施。

针对于单一管理员权限无限大的问题，可以根据具体管理员的职能分工进行权限分配。在Cisco的路由交换设备上，可以将管理员的权限划分为15级权限档次，针对每个权限可以定制相应的命令集，为实现各种管理目的而设立的不同职能管理员之间可互不侵扰的完成各自工作。

例如，普通操作员只能监视设备运行，不可进行其他操作；高级的管理员可做故障诊断，不可修改设备配置文件；系统管理员可具有所有功能权限等。

同样，对于SNMP服务也可以通过设置不同级别的Community，让不同级别的网管系统获得不同的操作权限。

限制登录会话数

Cisco网络设备必须通过严格的认证程序才能够进行登录，这种认证既包括对远程登录，也包括本地的Console登录。

Cisco网络设备可以设定对本身的登录会话数，这种限制包括两个层次：

并发远程登录会话总数的限制