1、第 1 章 网络设备解决方案(Allied Telesis)第 1 节 前言随着 Internet 的快速发展和 Intranet 技术的普及, TCP/IP 协议成为占决定性主导地位的网络协议。以前大多数银行运行和生产网络主要使用 IBM 主机,但是现在在它们的业务网络、办公网络及其它网络中逐渐都采用 TCP/IP 协议。采用了 TCP/IP 技术后,可以充分利用 INTERNET 和 INTRANET 技术的最新成果。因此,无论是从减少投资,提高设备和线路的利用率、还是从降低费用出发,以 IP 作为骨干的传输机制,从传统的层次性体系结构向新兴的 Internet技术逐步过渡是一件很有价值和
2、意义的事情。随着网络通信技术的飞速发展和TCP/IP 协议的普及,通信技术的新近发展,可以提供更高的链路速度、带宽和响应时延。IP 以其兼容性好,成本低等特点成为大多数商业大楼的网络平台。当今的网络,除了承载传统数据交换以外,还要承载商业办公业务(例如公文传送、网络电话、视频会议等应用) 。考虑到今后商业大楼网络支持多业务的趋势,IP 网络平台是最佳选择。安奈特(中国)网络有限公司,身为全球领先的以太网和 IP 网络产品的供应商,致力于用合理的价格、高可靠性的技术和产品、优质的服务帮助用户构建网络世界,完善运营形式,降低成本,提高效率。安奈特公司愿意为广东省新办公楼的网络建设建设提供完善的网络
3、解决方案。第 2 节 项目需求分析1.2.1 广东省新办公楼网络建设需求广东省新办公楼为满足本单位日益增长的对宽带网络通信的需求要求,结合目前的网络资源,拟建立覆盖本地区的 IP 多业务网络系统平台。以实现集数据、语音、视频等多种业务为一体的高效通信网络,提供海南地区承载数字电视的 IP 宽带网络系统,并充分利用新建网络的带宽优势和 QoS 特性,进一步发展多功能的增值业务,包括宽带上网、IP 电话系统等应用系统。根据广东省新办公楼对现有以及即将发展的各种业务应用系统的描述以及所提供的有关数据来分析,不难看出现有宽带数据网的基本功能对网络带宽的需求比较高,而且此类应用系统要求网络具有非常高的可
4、靠性及可用性。而即将发展的各种基于视频和语音的应用系统则不但要求网络具有充足的带宽,更为重要的是新建的网络平台必须能够提供完善的 QoS 保证机制。除此之外,新建的网络系统除了必须具备技术先进性和高性能的优势,还必须拥有一套功能强大的集中化管理系统,并能够提供灵活的管理方式和手段,以充分发挥网络资源优势,保障各种应用系统的顺利运行。而且有如此强大的管理系统支持,使得广东省新办公楼完全有能力对其广泛覆盖的宽带网络资源进行管理。1.2.2 广东省新办公楼信息点需求信息点数量统计表:楼层 信息点数量1 142 03 1044 795 1006 627 528 11.2.3 总体系统设计原则我们将本着
5、量体裁衣、合理规划、技术先进的思路,按照韶关学院图书馆的实际需求,结合当前网络技术发展现状,进行选型和系统集成。系统方案设计遵循下列几条重要原则:(1) 开放性符合标准与规范选择的技术和产品要符合国际、国家的相关行业标准,实现与主流产品互联。设计和施工过程中必须符合相关的国际标准、国家标准和行业标准。(2) 实用性和可维护性必须保证系统适用、实用和方便,系统设计必须科学合理,具有良好的性能价格比,拓扑结构和技术符合整个网络信息量和信息流的特点。充分考虑用户情况,强调实用性、易操作性和易管理维护性。网络管理系统可以让网络维护人员方便地对网络设备进行维护和远程控制。(3) 系统的先进性系统建设既要
6、立足现在成熟的、先进的技术,又要考虑未来几年技术的发展情况和趋势。规划建设必须有技术超前的意识,既要着眼于网络需求,也考虑远期网络发展战略,保证系统所采用的设备网络技术设备和技术指标在 3-5年内不落后。(4) 系统的稳定性和安全性系统建成并投入使用后,将成为整个办公楼管理工作不可缺少的辅助工具,系统瘫痪的后果是难以想象的。因此系统必须在高性价比的条件下,从系统结构、设计方案、设备选型、厂商的技术服务与维护响应能力,备件供应能力等方面考虑,使得系统故障发生的可能性尽可能少,影响尽可能少,对各种可能出现的紧急情况有应急的工作方案和对策。(5) 易扩展和易升级既要考虑兼容原有系统,更要考虑扩展和升
7、级,以保护用户的投资。扩展性要同时考虑设备端口、网络结构和网络协议的扩展。(6) 多协议支持和网络管理网络应该支持多种连接方式和多种通讯协议。要使网络能够支持虚拟网络,按照用户要求逻辑地划分网络,既降低网络的广播流量,又进一步增强系统的安全性。合适的、功能完善的网络管理系统,使得系统管理员能够方便地管理网络,并具备自动进行性数据的分析、历史数据的登记与趋势分析、事件管理;具有计帐管理工具、安全管理、配置管理及其他多种高级功能。第 3 节 安奈特解决方案1.3.1 广东省新办公楼网络总体规划核心网络技术以太网作为一种深受用户欢迎的局域网技术,在高科技不断进步的带动下发展很快。从 10M-100M
8、-1000M 不断发展,目前万兆以太网也已经出现。以太网以低廉的价格提供高速的网络连接,而且升级非常方便。目前,几乎所有的园区网都采用了以太网技术,因此以太网已经成为了园区网的核心。广东省新办公楼网络,也应该基于以太网为核心进行建设。二层交换网络模型,模块化的设计园区网的发展方向是使用分级设计的多层交换网络,这样能够使网络工作在最佳状态,并具有较好的可伸缩性、容错性和可操作性。结合实际需求,建议广东省新办公楼网络采用 2 层交换网络模型,模块化的设计来进行建设。2 层交换网络的模型,就是在功能上将整个网络划分为不同的 2 个层次,分别为核心层和接入层。每个网络层次完成不同的功能,相互配合,构建
9、一个科学合理的网络。核心层提供高带宽无阻塞的数据包转发,完成路由计算,流量分担,广播控制,同时实施网络的一些策略及安全控制,提供一个稳定可靠安全的网络骨干;接入层提供用户的高速接入,流量限制,广播控制,接入认证及基于 2 层的安全控制等。2 层模型的最大优点取决于它的分级设计和模块化。分级是因为各层之间的定义非常分明,非常专业,分层的作用可以让广播数据限制在比较小的范围内,并能通过动态路由协议在主干网上实现链路负载平衡功能。多层交换保持现有的寻址方式,容易升级迁移及扩展,带宽升级可以从以太网到快速以太通道、千兆以太网到千兆以太通道。模块化是因为同一个层中的各个部分起着相同的作用。模块化的另一个
10、突出的优点是每一层中的设备都按照同一个程序运行,所以,设置工作和故障排除也变得相对容易,整个设计着重考虑的是工作性能、路径选择和故障恢复。还有,就是模块化便于网络的扩展。网络扩展基本不会影响到原有的网络。1.3.2 网络拓扑按照分层和模块化的概念,结合广东省新办公楼的实际情况,网络系统分为核心层及接入层。使用星型网络拓扑。网拓扑如下:内网网络拓扑图外网网络拓扑图网络核心层设计核心交换设备采用安奈特 AT-SB4004(SwitchBlade 4004)电信级多层骨干交换机。AT-SB4004 在所有的端口上都提供了基于硬件的第二层到第四层交换能力。核心交换机配置一块 8 口 10/100/10
11、00M,用于连接主配线间接入交换机及服务器;配置一块 8 端口 SX 千兆光纤模块,用于连接配线间的堆叠交换机。AT-SB4004 采用模块化结构,提供 192Gbps 的交换能力和 144Mpps的多层数据包线速转发能力,提供多达 6 个插槽,其中两个是交换引擎插槽,其余 4 个是负载模块插槽,最多可提供多达 128 个全线速、无阻塞的 1000M(双绞线、多模光纤、单模光纤)端口,或最多 192 个10/100M 端口。不仅能满足目前需要,而且能满足未来的扩容需要。此外,AT-SB4008 提供增强功能软件包,支持 IPv6、 BGP4、 OSI(IS-IS)、LoadBalancer,可
12、以将网络平滑升级至新一代 IP 网络。高性能AT-SB4004 交换机是模块化的多层交换机,提供强大的基于硬件的全线速,无阻塞多层交换,在所有类型的端口上无阻塞的转发各种不同长度的 L2,L3 数据。AT-SB4008 提供高达 192G 高吞吐交换矩阵,144M pps 的包转发能力,6 槽机箱,是具有大容量、无阻塞、线速转发特性的运营级以太网交换机,具有业界领先的背板吞吐量和端口密度。采用业界领先的分布式交换设计,每个负载模块拥有独立的 ASIC 芯片,可独立进行线速三层交换,大幅度减少交换引擎工作负担,提高交换能力。万兆以太网系列交换机支持万兆以太网 AT-SB4541 模块,该模块提供
13、了一个 10Gb 的XFP 接口,可以根据用户的需求配置不同规格的万兆光纤接口,传输距离可以支持 500 米、10 公里、40 公里等多种选项。万兆以太网 AT-SB4541 模块的推出,可以帮助用户将他们已有的千兆网络延伸到新一代的万兆骨干网上,进一步提升了 SwitchBlade 的高可扩展性,保护用户的平滑投资。高可靠性在高可用性设计上,AT-SB4000 机箱采用了无源背板,全冗余设计(冗余引擎交换引擎、N+1 电源冗余) ,所有模块支持热插拔,为用户提供高可用性解决方案。功能强大AT-SB4000 交换机支持丰富的 2 层/3 层特性集合,包括静态路由,路由协议集 (RIP/RIPv
14、2, OSPF,BGP-4,IS-IS),组播协议 (IGMP,IGMP Snooping,DVMRP,PIM-SM,PIM-DM),支持 IP 路由,IPX 路由和 Appletalk 路由,4096 VLANs,和灵活的链路汇聚功能(LAG)等。AT-SB4000 系列交换机提供市场领先的 QoS 机制,精细的控制能力,帮助用户实现从物理层到第 4 层以上的带宽流量控制,128 级流量分类,以 64k 为增量的最大/最小带宽保障,让用户可以灵活的部署基于策略和服务品质协议(Service Level Agreements)的 Qos 流量管理, AT-SB4000 在高速,灵活,基于硬件交
15、换的平台上,结合 IEEE 802.1Q/p ,DiffServ,RSVP 等协议,实现了强大的 QoS 控制功能。当前各个行业的用户基于自身的应用对网络平台有着不同的需求,例如: 教育行业用户希望能在同一个网络平台上区分教职员工和学生的不同应用数据流,提供相应的带宽保障策略,并部署多个各自独立的组播组。城域网运营商希望能不断的扩展他们的网络运营平台,为不同类型的接入用户提供灵活,丰富的带宽保障选择. AT-SB4000 系列交换机正是根据用户对流量控制的不同期望而设计,可以广泛的适用于教育,企业,政府,电信等各个行业。AT-SB4000 系列的易用性设计目标是帮助用户实现简单友好的控制管理,
16、并且不牺牲任何控制功能及灵活性。为做到这点,安奈特在 AT-SB4000 交换机中集成了与控制管理相关的丰富特性:内置 DHCP Server,支持 TFTP,可以帮助用户灵活的备份/上传配置文件; 既可以做为 NTP(Network Time Protocol)客户端,也可以作为 NTP 的服务器; 先进的预警触发功能结合 Email 客户端软件可以帮助网络管理人员对系统进行实时,严格的监控和管理。AT-SB4000支持标准的 CLI 管理接口和基于简单直观的图形界面管理, 通过 Console 端口和以太网端口可以实现安全灵活的带内/带外网络管理。负载均衡功能可以帮助用户更合理的部署访问公
17、共资源组的网络流量,从而大幅提升网络的利用率。在这里,公共资源组指的是一组具有相同资源或功能的设备群组,例如防火墙,服务器,或其他网络设备。通过选择算法,网络管理员可对网络流量负载如何分布进行控制,例如负载均衡功能可以监视进入网络的 HTTP 需求流量,将其平均的,或是进行优先级加权后分发给多台服务器进行处理。AT-SB4000 系列交换机非常适合用于构建企业/园区核心。模块化设计可以让用户灵活组合广泛的接口类型模块以满足不同需求。AT-SB4000 提供众多优秀的特性,灵活部署基于策略的 QoS 机制,丰富的组播特性,简单高效控制功能方便用户的管理与维护. 可扩展AT-SB4000 系列交换
18、机机箱提供了非常灵活广泛的模块接入能力.以 SB4004 构建的局域网核心还具有很好的扩展性,6 槽机箱最大支持 128个 GE 端口,并且支持 4 个万兆以太网接口。全面支持 IPv6IPv6 协议被称为“下一代“协议,是 IETF 专为解决当前使用第 4 版 IP 协议导致的相关问题而设计的。今天,正在被使用的 Internet 网络基本都是构建在IPv4 之上的, 人们使用 IPv4 地址已有近 20 年的历史,目前面临的最大问题就是地址资源日渐枯竭。IPv6 解决了很多 IPv4 带来的问题,地址资源不会再受到限制,并且 IPv6 对 IPv4 做了多项改进,例如路由和网络的自动配置等
19、。IPv6 将会逐渐取代 IPv4,在这个迁移的过程中,用户的网络会出现 IPv6 与IPv4 并存的局面,这种局面可能会持续几年之久,与安奈特其他的多层交换设备和路由器一样, AT-SB4008 交换机同时支持 IPv6 和 IPv4, 并可以为用户提供平滑的 IPv6 迁移解决方案。楼层网络接入网络接入层提供高带宽的用户终端物理接入;网络接入层提供用户接入,对用户做带宽限制;对广播做适当地控制,减少广播流量到达汇聚层,避免汇聚层设备因处理大量的广播而降低性能;可管理性,可以通过多种方式进行接入层的管理,支持堆叠,可以用一个IP 地址管理多台交换机,简化网络的维护,灵活的进行网络配置;根据各
20、楼层的接入信息点数,分配线间分别使用多台 AT-8000 系列可堆叠高性能 2 层以太网交换机。每配线间楼层交换机通过多模 1000M 光纤连接到核心交换机,提供了到网络核心的冗余链路,通过 100M UTP 连接到信息点终端接入设备。AT-8326GB 有 24 个 10/100TX 端口、两个千兆 GBIC 插槽; 优异的性能AT-8300 系列快速网管可堆叠交换机能提供优异的性能,简单易用,适用于复杂的环境,极高的性能价格比。它具有 17.3Gbps(8326GB)/34.6 Gbps(8350GB)无拥塞的交换结构、线速转发数据包、重要队列优先技术等优异的性能。自动 MDI/MDIX
21、切换以太网端口。最大包转发率:6.5Mpps (8326GB)/ 13Mpps bps(8350GB)。安全控制AT-8300 系列交换机提供基于 2 层的安全控制。支持多达 256 个 VLAN,可以通过将不同组的用户分在不同的 VLAN 里,隔绝不同 VLAN 用户的第二层通讯和广播。同时,AT-8300 可限制每个端口接入的 MAC 地址数量,也可将目前动态学习到的 MAC 地址自动记录在交换机的配置中,避免了其它交换机对 MAC 地址做限制时要手工将 MAC 地址输入配置的烦杂操作。对于非法 MAC 地址的试图接入,AT-8300 将会在丢弃数据包的同时,发出报警。可堆叠AT-8300
22、 系列交换机提供了高性价比的可堆叠方案,可以通过固定集成的堆叠模块(不需另外购买) ,将多至 6 台交换机进行堆叠,扩展交换机端口密度,其背板堆叠的速度达到 2.66Gbps。同时,堆叠的多台交换机可以作为一个逻辑设备,只要一个 IP 地址,就可以对同一堆叠内的所有交换机进行管理,简化了网络的维护工作。冗余性 基于 IEEE 802.1d 的生成树协议(STP)能够实现快速收敛、最小化网络故障时间和最少的数据包丢失。8350GB 还提供了冗余的备份电源,保证设备在主电源失效的时候还能正常工作。 。方便的管理性尽管 AT-8300 系列交换机设计成为即插即用设备,但是它也提供了广泛的、无需额外费
23、用的管理功能,包括基于 Console、CLI、WEB、SNMP 的管理和TELNET。丰富的特性集AT-8300 系列丰富的特征包括 802.1Q VLAN 标记 和 802.1p 队列优先技术。AT-8300 系列支持大型网络的微分和区分传输的优先次序。当网络管理者带宽资源紧张或者有必须优先发送的数据时,AT-8300 系列能为这些数据流配置优先传输的优先级。AT-8300 系列同时也支持 IEEE802.3ad,提供了最多达到 4 个 10/100M 端口或 2 个 1000M 端口的聚合。AT-8300 系列提供每端口的自适应和广播风暴控制能力。自动 MDI/MDIX 功能支持轻松地连
24、接到其他交换机的任何端口。支持支持 IGMP v1 和 IGMP v2可扩展性AT-8350GB 除了 2 个 GBIC 插槽(或 2 个固定的千兆 UTP)外,还在机箱背部提供了一个扩展插槽,可以选用 2 口 100FX 模块或 2 口 10/100/1000T 扩展模块。提供了司法局楼层高速服务器的接入。1.3.3 路由协议选用目前 IP 网络路由协议可以分为静态和动态协议两种。静态协议适用于网络结构简单,网络稳定后变化不大的情况,而且配置简单,对网络设备开销小;动态协议适用于网络结构复杂,网络经常改变得环境,但配置复杂,对网络设备开销较大。广东省新办公楼网络使用两层网络结构,结构合理简单
25、,同一网内路由设备不多,因此建议选择静态路由协议。但是考虑到网络将来的发展,建议广东省新办公楼网络核心交换机选择支持静态及 OSPF 动态路由协议的产品。安奈特 4004 支持丰富的路由协议,除了静态路由和 OSPF 外,还支持RIP、RIPv2、IS-SI、BGP 等路由协议,并且有很好的兼容性,可以兼容其它符合国际标准的产品1.3.4 三层路由与 VLAN 技术根据局域网信息系统网络的总体结构,作为信息存贮与处理中心,在网络系统集成的技术中,直接面向用户的第一层接口和第二层交换技术方面已得到令人满意的答案。交换式局域网技术使专用的带宽为用户所独享,极大提高了局域网传输的效率。接入系统的工作
26、站数量较多时,使用 TCP/IP 协议容易产生“广播风暴”而造成网络拥塞甚至瘫痪。选择具有 VLAN 划分功能的交换机,可设置抑制“广播风暴” 。VLAN 是一组最终用户的集合。这些用户可以处在不同的物理 LAN 上,但他们之间可以象在同一个 LAN 上那样自收通信而不受物理位置的限制。在这里,网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要,通过相应的网络软件灵活的建立和配置虚拟网,并为每个虚拟网分配它所需要的带宽。虚拟网(VLAN)技术已经逐渐被人们所接收。增加带宽:虚拟网技术的出现是和局域网交换技术分不开的。局域网交换技术使用户抛弃了传统的路由器,并
27、在很大程度上代替了人们早已熟知的共享型介质。随着以太网和令牌网交换设备平均端口价格的降低。一些有远见的厂商开始将目光投向大型局域网交换体系。这种网络工作方式非常适合虚拟网技术的应用,并迅速成为降低成本、增加带宽的一种有效手段。管理灵活:人们选择虚拟网的主要原因就是虚拟网能够减少用户的增加、删除、移动等工作产生的隐含开销。在任何一种规模的网络中,这笔开销都是不可低估的。安全:使用虚拟网的另一个目的是建立虚拟工作组模型。当企业级的虚拟网建成之后,某一部门或分支结构的职员可以在虚拟工作组模式下共享同一个“局域网” 。这样,绝大多数的网络流量都限制在 VLAN 广播域内部了。这样,能够有效的提高共享网
28、络中的安全问题。VLAN 的划分同时也提高了用户的安全和网络的可管理性,VLAN 之间的通讯可以通过管理策略加以管理,增加了网络的可用性。第三层交换技术是相对于传统交换概念而提出的。传统的交换技术是在OSI 网络标准模型中的第二层数据链路层进行操作的,而第三层交换技术是在网络模型中的第三层实现了数据包的高速转发。第三层交换具有以下突出特点:(1)有机的硬件结合使得数据交换加速;(2)优化的路由软件使得路由过程效率提高;(3)除了必要的路由决定过程外,大部分数据转发过程由第二层交换处理;韶关图书馆项目当中,可以根据终端的不同功能或不同的物理位置,划分VLAN,将网络广播限制在相对较小的范围。不同
29、的 VLAN 间通讯,可以通过核心交换机提供的线速三层交换功能实现。1.3.5 IP 地址规划目前,网络应用基本是基于 IP/TCP 协议进行通讯。也就是说网络上的所有设备都需要有 IP 地址。因此,对大型网络中 IP 地址的使用规划相当重要。合法 IP 地址需要进行申请,而且数量不多,不能满足网内的需求。有两种方法解决,一种是 IPV6,另外一种是合法和保留 IP 地址混用。目前 IPV6 尚未正是推广,而且很多应用还不支持,因此建议使用第二种方法来解决。除了合法地址外,还有一些保留地址提供给私有网络使用,这些地址不会在 INTERNET 上出现。可以采取合法 IP 和私有 IP 混合使用的
30、模式,私有 IP 通过代理服务器或者网关对地址进行转换。使用合法 IP 地址时,需要根据 VLAN 及 VLAN 上主机数目,使用 VLSM 技术进行地址分配,尽量节省合法地址。同时在私有地址的使用时,要合理分配,在一个网络内尽可能使用连续的地址断,这样便于路由进行有效的汇总。由于一般用户对计算机网络的配置不熟悉,为了简化用户 IP 的管理,避免用户错误配置 IP 地址造成地址冲突的情况,建议使用 DHCP 服务,让用户自动获得 IP 地址。而且通过自动获取 IP 地址,就算是 PC 机更换了上网的位置和VLAN,也不需要更改 PC 的网络设置。安奈特 SB4004 多层交换机支持 DHCP
31、SERVER 功能,本身可以作为一个DHCP 服务器,设定不同的地址段 IP POOL,根据不同 VLAN 上终端的请求,分配给终端相应的 IP 地址和网关地址;同时也支持 BootP/DHCP 中继,可以将终端的请求转发到中心的 DHCP 服务器。支持 VLSM 和 CDIR,可以划分子网及做地址汇总聚合。因此在网络发展初期,建议使用交换机内置的 DHCP SERVER 来分配用户地址,这样可以节省一台专用的 DHCP 服务器。同时 SB4004 多层交换机现在已经支持 IPV6,以后将 IPV4 迁移到 IPV6 时不用进行升级。1.3.6 统一的网络管理过去对于中大型网络,网络的配置管理
32、、故障排查、性能分析是网络管理员的一项极为重要的却艰难的工作。网络管理员要花费大量的时间用于故障的分析、处理、及报告,硬性的故障可能最终解决了,而一些软性的故障发生后,管理员往往会不得要领,最后或者不了了之,或者静待故障的再次发生。因此,作为网络管理员,都非常期待自己的网络具有很强的管理性。可网管的网络产品和网络管理软件的出现,使得这一问题有了一个完美的答案。安奈特网络系统解决方案中提供的网络管理方案,能够实现对大型网络复杂、庞大的网络系统实现集中管理、监控,方便网络设备的统一维护,系统故障的集中监控,以及网络系统使用的集中监视,利于分析整个网络系统的使用状况,为将来的系统改造升级提供量化的理
33、论依据。可管理性是安奈特网络产品的最突出的特点。无论是高档还是中低档设备,无论是交换机还是路由器,都可以集中在一个统一的网络管理系 AT-SMNPC 进行控制管理和设置调整。AT-SNMPc 是一个通用的网络管理软件,可以结合了完整的网管特性,强大的扩展能力,无与伦比的易用性的优秀网管平台。 自动网络查找,拓扑生成自动地发现和轮询 SNMP 和 ICMP(Ping)设备。AT-SNMPc 支持多级层次映射,每一个层可以表示城市、建筑或子网。导入地图或建筑平面图的位图图片,通过手工或自动网络布置,你可以创建一个和实际网络十分接近的布局。AT-SNMPc 能自动地布局每一个网络映射,可以是树型、环
34、型或曲折的总线型拓扑。每个映射对象使用专门的设备图标或用户选择的图标来表示,并且用对象的颜色来表示设备的状态。 报告生成曲线图、柱状图、分布图和汇兑表。打印和 WEB 方式输出。通常的网络报告往往存在难以建立,难以管理维护的问题。AT-SNMPc 可以让网管人员仅通过单击接口即可生成报告。AT-SNMPc 可以按每天、每周或每月自动生成统计报表。报表格式包括图形、柱状图、分布图和汇总表,并且可以输出到打印机、文件等不同的目标。 灵活性灵活定制表格,表达式和菜单。提供非编程接口,通过定制表达式、数据表和菜单来简化任务。用 BitView 脚本工具和多种编程接口可以开发图形设备视图。通过在映射图中
35、双击执行应用程序。也提供编程接口:专门为 C/C+应用程序的面向对象接口、AT-SNMPc 4.0 DDE 接口、WinSNMP 标准接口。 易用性AT-SNMPc 中文版安装简单,几分钟即可完成。提供全面的中文操作,对系统、交换机、路由器等网络设备提供专门的菜单项,直观易用。 通用性多厂商支持在今天复杂的网络环境中,存在着来自很多厂商的各类网络产品。为了能够高效的管理所有厂商的设备,AT-SNMPc 支持包括安奈特在内的 80 多个网络厂商,可以管理任何厂商的 Hub,交换机、路由器和其他设备上的标准或私有信息。AT-SNMPc 还提供 MIB 编译功能,这样就可以对任何提供了厂商 MIB
36、的设备进行管理。同时 AT-SNMPc 还提供了一个自动面板生成器。这个生成器可以自动的创建任何支持标准 SNMP 的网络设备的图标,并显示其端口数量和类型。通过菜单,用户可以方便的对设备的图标进行自定义修改。 前瞻性-监控和告警 监控 LAN/MAN/WAN 的性能和服务的可用性。通过预定的 WEB 报告来有效地计划升级和降低带宽浪费。能迅速捕获问题,通过 Email 或寻呼事件通知,转发等将事件通知给相应的管理者。AT-SNMPc 自动发现和轮询SNMP/ICMP、WEB、FTP、SMTP 和 TELNET 服务,还有 4 个用户可选的 TCP 端口。随同实时服务状态,AT-SNMPc 企
37、业版也提供基于 WEB 的可用性报告。一旦趋势报告被设立,轮询代理就会在学习期间监控所有的报表变量并且针对所采集的数据进行自动的分析和整理,以一周内每个小时为典型模式计算出一个基准线。然后,轮询代理会将实际轮询的数据与基准线相比较,当变量较明显地偏离基线时就产生告警。当流量模型发生改变时轮询代理会自动调整基线。也可以为任何轮询参数手动地配置告警阈值。任何数值异于基准线的事件均会通过警报通告个网络管理人员,这意味着一旦 AT-SNMPc 企业版安装设定好以后,网络管理人员就可以从繁杂的网络数据分析整理工作中解放出来。1.3.7 分布式的网络安全随着网络规模的不断扩大,应用的增加,网络安全的问题也
38、变得日益严重。网络安全是一个很大的范畴,要想很好的保证网络的安全,不仅仅是技术设备问题,还包括了一系列的政策、制度、监督、管理的内容。如果从技术方面来考虑,网络安全主要分两部分:主机(包括用户的 PC 和提供各种应用的服务器)的安全和网络的安全。在制定网络安全策略时,不仅要充分考虑来自外部的网络攻击,更应该充分考虑来自内部的由数量众多的终端机发起的攻击。必须制定多方位、多层次的网络安全系统。安奈特的端到端网络解决方案中,提供多种技术,对网络中数据实现全方位安全防护。VLAN 隔离由于用户多,网内数据流通量大,这使得 VLAN 的应用成为必要。VLAN 依靠用户的逻辑设定将原来物理上互连的一个局
39、域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的 MAC 地址等。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成,可以在 VLAN 内设定一定的安全控制策略,对进出的数据进行过滤。划分VLAN 具备以下好处:提高安全性、隔离第二层的广播信息提高带宽利用率、增强网络应用的灵活性。通过 VLAN 划分,直接可以缩小网络中广播型病毒和黑客工具的危害范围,使得网络中出现该种安全问题时,控制在最小范围内。安奈特的端到端网络解决方案中,所以可网管设备都支持 VLAN 技术。支持 802.1q VLAN 和 port-based VLAN支持基于端
40、口、MAC 地址、协议等的 VLAN 划分。基于硬件的访问控制安奈特的所有 3 层设备,采用先进的 ASIC 芯片设计,都支持线速的访问控制。基于 MAC 地址的访问控制基于源 IP 地址、目的 IP 地址的访问控制基于源 TCP 或 UDP、目的 TCP 或 UDP 端口的访问控制交换机端口安全安奈特交换机的端口提供 3 种状态,用于实施端口安全策略。Normal:具有 MAC 地址学习能力,无安全能力。Security:不具有 MAC 地址学习能力,实现了 IP 和 MAC 地址绑定。如果其他 MAC 地址连接此端口,可以设置该端口为端口报警、Block、Disable 状态。Intrus
41、ion:具有 MAC 地址学习能力。可以设置该端口最多学习的 MAC 地址数量。如果超出,可以设置该端口为端口报警、Block、Disable 状态。防火墙技术安奈特的所有核心交换机、三层交换机和路由器都可以提供内置的状态检测防火墙选件,通过周全的安全策略的制定,可以为全网提供分布式的安全策略。每台交换机负责本区域的网络安全,不会形成常见的由网络防火墙导致的网络瓶颈。因此我们可以为用户量身定制一个安全、高效的网络,实现对内、对外的全方位的安全防护。基于状态检测的防火墙:AlliedWare中内置的状态检测防火墙功能经过了业界著名的 ICSA 实验室的测试和认证,具备了在应用层提供网络安全保证的
42、能力。基于状态检测的防火墙能够搜集网络应用层的应用状态信息,并根据连接的状态动态地管理和控制网络的流量,其功能和安全性远远高于基于数据包过滤和代理机制的传统防火墙。AlliedWare中内置的状态检测防火墙能够保护网络免于大量的 Denial of Service (DoS) 攻击,比如 Ping of Death、SYN/FIN flooding、Smurf attacks、port scans、fragment attacks 和 IP spoofing。而且,通过设定特有的“Trigger”触发器功能,AlliedWare中内置的状态检测防火墙能够在网络受到攻击的时候及时向网络管理人员发
43、出 E-mail 告警,从而减少因攻击带来的损失。应用网关(SMTP PROXY, HTTP PROXY)SMTP Proxy 在 SMTP 相关数据包通过防火墙对它们进行检查。依据指定的源和目的地址规则,SMTP Proxy 能够接受或拒绝相关请求,从而实现对 Email服务器的保护,典型的 Email 垃圾形式包括未经许可的网络广告、非索要信息以及非法的转发邮件等。HTTP proxy 对向外发出的 HTTP 请求实现检查和过滤,这种控制包括对 URL 的管理和对 cookie 的限制。对网络广播进行控制有相当的网络攻击是通过广播进行的,广播数量大的时候,会消耗大量的链路带宽,增加网络设备
44、负担甚至导致网络的瘫痪。安奈特的交换机支持广播风暴的过滤,可以根据网络的正常情况设定交换机一秒内最大转发的广播包数量,当交换机对转发的广播包数目超过这个阀值后,交换机停止对广播包进行转发,但是不影响单播包的转发。综合这些技术,制定合理的安全策略,可以有效的抵御来自网络内外的攻击。第 4 节 相关资料介绍1.4.1 安奈特简介安奈特(Allied Telesis)总部位于美国的芝加哥,1987 年以来它一直是以太网产品研发和生产领域的领导者,在市场上以提供高质量低成本的解决方案著称。在安奈特公司刚成立时,市场上的网络产品存在标准各异、成本昂贵、管理复杂等问题,用户迫切需要易于管理、可靠性强、基于
45、统一通信标准、价格低廉的网络产品和解决方案,因此安奈特高效地研发了全系列的基于以太网的联网产品。1999 年 1 月公司实施了一项具有积极意义的新举措,用以扩大核心竞争力,从而建立公司在网络服务供应商市场上的领先地位。今天,这个被称为“Ethernet & IP all the way”的举措为公司带来了丰富的产品,组成了一个完整的接入、汇聚和核心传输产品线及解决方案。多年来,安奈特公司一直在以太网解决方案领域占据领先地位,同时它在创建新兴的宽带基础设施方面也始终保持着先进的理念,提供满足用户使用需求的价格合理的、简单但却强大的技术。 “Ethernet & IP all the way” 方
46、案是基于最常用的网络通讯协议组提出的,即以太网和 IP 互联网协议,这是互联网与所有接入万维网的服务器和计算机所使用的标准协议。与目前已全球在部署的光缆系统的高可扩展性一样,作为互联网标准的 IP 能够在全球各种网络系统和各种网络介质中进行传输。作为介质转换的全球领导者,安奈特将协助全安 奈 特 集 团安 奈 特 集 团 上上上上上上AliedTlsynIterationl (ATI)ATI 美 国I 加 拿 大 ATI 澳 大 利 亚ATI 中 国 ATI 马 来 西 亚ATI 英 国 ATI 法 国I 意 大 利 I 德 国 I 新 加 坡I 香 港 I 台 湾 ATI 新 西 兰ATI
47、日 本球高速宽带网络的设计者们将以太网应用于数以万计的不同的布线方案中。安奈特为服务供应商提供的技术和产品可广泛应用于城域网(MAN)、 区域网(RAN)、广域网(WAN)和局域网(LAN)等各种规模的网络,涵盖了包括宽带交换、长途光纤、数字用户线路(DSL)、 动态同步传输模式(DTM)、波分复用(WDM)、电信业务(T1/E1 DS3 E3)和无线网等技术领域。为保证“Ethernet & IP all the way”方案的快速实施,安奈特不断投资用于收购、合作和机构扩建等方面,建立一个能够随时随地满足全球客户技术要求的服务体系。最近的收购活动包括:Teltrend 的路由器部门,现在是
48、安奈特研发中心,位于新西兰的克莱斯特彻奇;还有 RedEye Group,它是一个位于伊利诺斯州芝加哥的服务提供商。机构扩建包括一个在北卡莱罗纳州罗利建成的专业服务供应商研发中心,同时在意大利和日本、中国也建立了研发机构。生产能力也得到了高速的增长,在中国建设的一个新的生产基地则主要是为亚太地区的现有运营提供支持。安奈特研发服务和生产机构在全球迅速扩张使它能够不断的为客户建立领先的网络平台,从安奈特每年不断推出的高价值、低成本的新产品中便可见一斑。目前,安奈特的设计、生产、销售和分配等部门遍布美洲、欧洲和亚洲(包括日本) 。这种战略性部署使安奈特得以快速地在全球任何地方部署解决方案。安奈特将全
49、力针对其主要市场主动出击,四个主要市场包括:网络服务供应商、教育、政府和企业。对于近期以太网产品在边缘接入市场出现的高速增长现象,安奈特公司亦已准备好了完整的产品和解决方案。欲了解更多信息请访问安奈特(中国)公司的网站:http:/ 。无 线 LANW/R241安 奈 特 能 为 您 提 供 全 线 网 络 产 品安 奈 特 能 为 您 提 供 全 线 网 络 产 品接 入 层 汇 聚 层 核 心 层xDSL接 入Telsyn 70系 列8系 列 路 由 器AR70系 列4系 列3系 列核 心 多 层 交 换 机SwitchBlade40系 列Clymor 98系 列WDM传 输 设 备CentrODTM传 输 系 列NM10 N1290 NM129网 络 管 理SNMPc网 管 平 台AT-View lus介 质 转 换 器 系 列 三 层 交 换 机Rapier G系 列i系 列VoIP网 关504RG23-TX二 层 交 换 机80系 列9系 列FS7系 列安奈特拥有范围广泛的接入汇聚和核心传输技术,可为用户提供广泛的接入能力,使它在激烈的竞争中脱颖而出。完整丰富的产品线特性远远领先于其它厂商,也没有任何厂家能够以如此合理的价格来提供技术如此先进的 IP 解决方案。从接入、边缘到核心,安奈特在光纤
