国图千兆位以太网设计与实施

2004-6-12　发布方：3com　网友评论 0 条　点击进入论坛

随着计算机技术、通信技术和网络技术的迅速发展，数字图书馆日益成为各国竞相研究、开发的重要课题。作为集数字化处理技术、网络信息管理技术和数字式信息资源建设于一体的数字图书馆，是21世纪信息产业的主要发展方向之一。国家计委于1997年批准了以中国国家图书馆（原北京图书馆）为首、国内多家著名图书馆参与的国家重点科研项目中国试验性数字图书馆，这就对国家图书馆的网络建设提出了很高的要求。

设计指导思想
由于对网络工程要求很高，所以采用什么类型的网络至关重要。经过周密的考虑，结合国家图书馆的特点，确定网络必须采用先进的技术和产品，并且能适应未来需求的增长，易于平滑升级，保护现有的投资。通过对技术和市场的广泛调研，最终决定骨干网采用千兆位以太网技术。

千兆位以太网技术使主干网的速率得以大大提高，它是改善交换机与交换机之间和交换机与服务器之间连接的可靠、经济的途径。网络设计人员能够利用它建立有效使用高速、任务关键的应用程序和文件备份的高速基础设施。网络管理人员可以为用户提供对服务器区、Intranet/Intranet与广域网的更快速的访问。千兆位以太网具有性能价格比好、易于升级和管理、保护投资等特点，这些正是国图网络所需要的。

网络系统选用了3Com公司的CoreBuilder 9000做骨干交换机。CB 9000千兆以太网交换机遵从标准的网络协议，为基于TCP/IP协议的应用提供透明的网络平台，同时提供服务质量（QoS）策略服务，不需要对应用进行特别的修改，在以太网上实现多媒体等实时应用。另一方面，CB9000支持标准的局域网仿真协议，为基于以太网TCP/IP协议的应用提供完全兼容的环境。同时基于ATM的多媒体应用，可以在ATM环境下实现高品质的服务质量保证。

设计方案
国家图书馆的网络建设包括图书馆本身的馆域网以及实现与中国科技网、中国教育与科研网、Chinanet、广电网、北京大学、清华大学等网络的互联。

国家图书馆的馆域网采用了千兆以太网为主干，独享10M到桌面的星形结构。从数字图书馆的实际出发，馆域网不仅要传送文本，还要支持大量的多媒体服务，因此对网络的带宽要求很高。国家图书馆从实际出发，要求在馆域网中建立3个逻辑子网；一个是读者服务网，分在大楼的各个地方；一个是业务工作网，分布在大楼和行政楼、分馆的各个地方；第三个是数字图书馆试验环境，分布在国家图书馆东侧1、4等层。合理地处理3个逻辑网的连接、划分、安全性设计是保障它们可靠工作的关健。

国家图书馆铺设主干光纤，从主交换机到主交换机采用单模光纤，从主交换机到分支交换机采用多模光纤，传输1000M以太网信息。这些光纤将保证国家图书馆内部网络在8～10年内使用，所以，对于光纤网络的要求非常严格。从分支交换机到终端和分支交换机到分散的服务器采用五类或超五类线，保证10M独享和100M独享。

国家图书馆馆域网将与外部使用光缆相连，考虑到将来的拓展和保证现有投入的连续有效，在目前的产品中要求考虑10～20个100M以太网端的连接，所以对产品的延续性提出严格要求。可以增加新的设备，但是必须保证现有的设备可以与新的设备相连，新的设备在连接到终端时不要新的线路和更多的冗余，只考虑如何与老设备沟通和增加高速接口用于信息服务器和数据仓库等。

国家图书馆共有互联网IP地址128个，除了在国家图书馆互联网服务器需要若干IP用于WWW服务器、E-mail服务器、FTP服务器等以外，其他地址用于国家图书馆内部访问互联网时使用(约为1200个内部节点)。这些互联网服务器设在国家图书馆广域网接入防火墙之外，内部网在防火墙之内。

整个网络结构如图1所示，采用两级网络结构，网络主干层采用两台CB 9000，通过双千兆以太链路互联，实现负载平衡和冗余备份；用户接入层采用3Com公司的边界交换机SuperStack Ⅱ 1100组，每4台堆叠成一组，通过一个千兆以太模块上连至主干，下连客户工作站。网管工作站、防火墙主机和路由器通过100M快速以太网端口直接与主干交换机相连。

图1网络结构

网络配置

主干交换机
主干层的2台千兆以太网交换机CB 9000，分别置于两个房间。主干交换机各配置一块24Gbps千兆以太网交换引擎，一块20端口10M/100M自适应以太交换模块，一块12端口10M/100M自适应第三层交换模块，8块2端口1000BaseSX输入输出模块和1块2端口1000BaseLX输出模块。

接入交换机
    接入层交换机根据用户的实际情况采用SuperStackⅡ以太网工作组交换机Switch1100，每4台堆叠成一组，共12组，每组配置如下：
    · SuperStackSwitch1100带24个10Base-T和2个10/100Base-T自适应端口
    · SuperStack Ⅱ堆叠模块
    · SuperStack Ⅱ堆叠电缆
    · SuperStack Ⅱ千兆上联模块

路由器配置

在主干网上配置一台3Com公司中心路由器NetBuilderⅡ，通过100M快速以太网模块直接连到CB 9000交换机上，实现与远地的子网连接和Internet的连接。

中心路由器具体配置如下：
    · 4槽机箱，通信引擎DPE模块
    · 100Mbps快速以太模块(用于与主干网互连)
    · HSS4口V.35模块(用于E1/T1的广域连接)
网络管理系统
    网络采用3Com公司的网管软件Transcend Enterprise Manager for Unix来监控管理网络设备，网管硬件平台为Sun公司的Ultrastation 2工作站，采用HP公司的OpenView作为网管的软件平台。

防火墙设计方案
国家图书馆网络工程是内部网，既要求与国际Internet互联，又必须保证内部网不受外界的干扰和破坏，因此设立防火墙服务器很有必要。由于同时也用该服务器作NAT服务器，性能上要求很高，所以采用Sun公司的E3500服务器。配置4块100M快速以太网卡，连入主干交换机。配置Firewall-I（250用户）软件作为防火墙软件。

虚网划分
根据国家图书馆对网络系统的实际要求，在内部应设置3个虚网。考虑到系统安全设计的需要，整个网络在逻辑上设置成4个虚网，其中3个虚网分别对应用户的读者服务网、业务工作网和数字图书网，还有一个为隔离虚网。3个业务网通过在CB 9000主干交换机上设置第三层交换功能实现网间数据交换，隔离虚网则与3个业务网完全隔离。就是说4个虚拟逻辑子网物理上是相互独立的，在不同的子网内资源访问权限，可以根据用户来进行分配。3个业务子网需要跨子网访问网络资源，要经过第三层交换机，它和路由器一样可以进行IP地址过滤，提高网络的安全性。对于外部用户，透过Internet，必须通过防火墙的身份检查，然后进行授权，才可以对资源进行访问。因此可以根据馆内资源的管理策略，通过防火墙进行更加严格的网络控制，实现网络的安全策略管理。

防火墙主机上配置4块100M网卡，分别连入上述的4个虚网，通过该主机将3个业务虚网与隔离虚网连接起来，路由器在逻辑上划入到隔离虚网中，用以与Internet连接，同时起第一级防火墙的作用(主要防网络级的侵扰)。

这样配置能够保证内部网具备两级防卫，安全级别高，可抵御网络及应用级的侵扰。

网络互联
馆内网络通过3Com NetBuilderⅡ(4槽)路由器配置的4个FlexWAN接口连接到DCE设备接口上，与邮电部门提供的E1/T1相连。另外NetBuilderⅡ路由器配置了一块8口ISDNBRI接口模块，用于与分馆的广域网连接。NetBuilderⅡ的软件包中提供增强的防火墙功能，IP包过滤器以及NAT(地址变换)功能，在系统配置时，路由器全部端口均设置真IP地址，同时设备自身的防火墙和IP包过滤功能，地址翻译功能不通过路由器实现。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	用户名：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表