时间:2023-06-08 11:20:06
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇园区网络建设,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
华为举办首届POL产业论坛
华为接入网产品线总裁王正安在开场发言中表示:“随着全光网络在全球的蓬勃发展,园区网络建设也迈入了全光园区时代,全光网络将成为新时代园区通信网建设的最佳解决方案。为了更好地推动POL产业的发展,华为在西安研究所打造了AgilePOL全光园区技术方案体验中心,在西安研究所V5办公楼使用POL方案部署了超2000个光纤到办公桌面,为员工提供高宽带企业办公网络,可以看到POL方案和产品展示厅、传统网络和POL方案的机房和走线对比,给大家呈现一个可视化的真实的POL网络体验。最后希望和大家一起,共同把POL产业做大做强。”
POL网络将成为未来的趋势,如今华为在西安的研究所的员工、研发人员均在使用云终端服务器来进行日常工作。企业园区除了自身的网络互联互通的需求以外,其背后隐藏了更多企业自身的专有服务。华为POL解决方案的目标,是满足企业自身的业务转型,包括ICT的转型,企业ICT的转型背后的驱动力在华为接入网产品线副总裁周军看来包括两方面:一是体现在带宽提速需求上,带宽由原来的几十兆到百兆,到千兆的提速。二是一张网络上承载多种业务,园区包括视频、多媒体、摄象头等。校园有远程教育,老师与学生的实时视频通信。这种业务需求其实推动了、驱动了企业园区、学校所需要考虑更高的带宽。
天津市大学软件学院刘洋表示:“全新部署的POL网络,与传统网络相比,无源的ODN器件极大地提高了施工人员的部署效率,并且降低了后期运维人员的工作量,同时实现了在一张全光网络上进行全业务的承载,包括语音、数据、视频业务和园区的无线覆盖、门禁一卡通等业务。”
中国移动通信设计院高级工程师王海保表示:“当前住宅建筑已有光纤到户的设计施工规范,那么随着未来发展趋势和应用需求的增长,对于企业办公楼、写字楼等类型建筑,将会编写类似的规范以及标准图集,来指导不同场景下光纤网络建设。”
华为一直致力于PON(Passive Optical Network)技术和POL网络部署方案的研究,在帮助企业构建最佳园区接入网络的同时,愿与产业伙伴一起打造开放、健康的全光产业生态圈,实现合作共赢。
华为全光园区技术方案体验中心揭幕
当日,华为的AgilePOL全光园区技术方案体验中心正式揭幕。该体验中心位于华为西安研究所,能够同时展示传统以太局域网方案和全光园区方案,通过实际的部署对比使参观者能够全方位体验两种方案的差异。来自企业、运营商、建设设计、系统集成、建筑装修等相关领域共一百多名嘉宾见证了揭幕仪式并参观了体验中心。
周军在接受《中国信息化周报》记者采访时表示:“POL解决方案,实际上我们认为非常适合有一定规模的园区宽带提速,包括信息化改造、ICT网络升级、建设等场景。POL在网络建设上对酒店和园区有一定区别,园区相当于是办公的,更多关注的是上网语音、业务体验更快,酒店其实更关注的是娱乐,希望用这套东西解决打电话、WiFi、电视等问题,终端是不一样的。”
AgilePOL全光园区解决方案采用基于PON技术的POL组网方式,利用无源光纤替代传统以太网线完成企业局域网建设,构建网络扁平化、易部署、易管理、大带宽多业务、面向未来平滑演进的新型全光园区网络,让用户更便捷地体验云业务。
企业园区对网络解决方案的需求,是一种非常综合化的需求,对于当前像POL这个园区网络来说华为是其中的一部分。华为也可以向园区提供端到端解决方案的设备商,在当前园区网络,现在处在一个升级换代的阶段。这主要来自于企业业务的一些需求,如今中国宽带2020,以及工业4.0的一些需求,那么传统的宽带网络以及传统的宽带网络的带宽,已经不能满足未来企业业务发展的需要。
如今华为推出来的POL解决方案,是面向未来5-10年的企业园区网络的一个应用网络。POL解决方案,狭义上来讲,就是聚焦在园区接入层的这个网络。
只要能建FTTH的条件下基本都会选择PON,因此华为公司在这个时候推出POL解决方案,华为在合适的时间以及在成熟的技术下,提出来的一个解决方案,并且客户包括企业园区,他们有实实在在的网络改造和网络提速要求。
如今企业园区的业务模型已发生了很大的变化,从原来只是简单的宽带上网、互联互通,到如今的“云”化,业务模型变成了从上至下,从下至上的方式,对于POL网络模型非常适合。周军表示:“如今华为在APOLAN做了联盟成员,我们希望和我们行业伙伴共同把POL解决方案做大做强,而且这个市场容量能够做大。这里头包括我们企业园区的一些,包括楼宇综合布线的规范,光线部署规范,包括一些设备部署规范,包括规格,我们都希望和行业的标准组织,包括一些区域的标准组织来共同制定这些规范,这是我们希望能够持续来做的。另外一个层面和我们的系统经营上,过去他们更熟悉的是传统交换机方式的园区网,我们现在也希望跟他们一起把POL解决方案熟悉起来,面向客户植入更好的企业园区网络建设。”
POL解决方案在实施过程中,也会遇到不同程度的挑战,周军在采访时表示了目前的三个阶段挑战。这三个阶段会遇到不同挑战。第一,在网络规划阶段使用了PON技术,PON技术跟传统网络交换机有很大不同,它涉及到光功率一些数据参数规划,这是和传统以太网交换机完全不同。
第二,在工程部署阶段、布线阶段,在现场施工时,要求工作人员如何更快捷地部署POL网络和有源设备,如果没有好的办法去快速解决光纤和分光器部署,包括入大楼、入办公室等问题,是目前需要解决的问题。
第三是在网络运维阶段,在企业网络运维部门运维人员较少的情况下,就能快速去定位网络问题,包括末端设备故障,排障,甚至快速解决问题,这也是目前华为考虑的问题。
背景简介
广州科学城创新基地是广州开发区管委会为进一步推进广州开发区科技创新体系而建设的,基地总建筑面积达8.1万平方米,实行智能化管理,拥有完善的配套设施。该科技创新基地是整合广州开发区社会科技创新服务资源的重要载体;主要吸引国内外具有先进科技水平的项目进行研发、中试及产业化;是集研发、技术成果交易与产品展示等多功能为一体的综合性科技孵化器;是归国留学人员创业及国家863计划、科技攻关项目成果的转化基地,也是优秀科技企业及企业家的培训基地,目前在国内享有很高的声誉。
在现代化信息沟通决定着企业发展命脉的今天,科学城创新基地为了能够吸引海内外优质企业的加盟,并为之创造便利的信息高速公路,在2004年决定全面启动整个园区信息化建设,打造国内一流的信息化园区,为企业的信息化服务提供更加优质的服务支撑。整个园区信息点高达2200个,其中包含了文本、视频、语音等多种数据通信需求,如何既能保证合理的投资规模,同时又保障全网用户高速数据互联的需求,并保证网络面对未来的弹性扩展,成为科技城网络决策者最关心的问题。
系统设计
在系统设计和产品选择上,我们采用锐捷网络公司的系列产品,来建设广州科学城的整个园区网络。
在网络建设中,我们充分结合科学城网络应用的实际情况和特点,定制了适用的个性化解决方案,拓扑图如图2:
采用以万兆核心交换机RG-S6800系列为核心、安全智能交换机RG-S2100系列为接入的整个网络体系架构。由于园区企业用户众多,针对办公楼群的大范围移动数据通信的需求,网络架构中还采用了锐捷网络的高速无线局域网产品RG-WSG108系列,全网形成“有线交换主干、无线辅助高速接入”的多元化架构。
RG-WSG108系列产品以802.11g技术为基础,通过信道带宽加速技术,成功将信道带宽提高到108Mbps,为整个创业园区的科技成果展厅、大型会议区、开放办公区域等场合提供了高速无线接入的手段。同时,为了便于安全管理,该系列产品除了支持传统的WEP加密技术之外,还提供了SSID广播禁止功能和基于802.1X认证的WPA技术,配合成熟的安全认证解决方案,为整个创业园区提供了安全、高效、大面积覆盖的高速无线园区网。
系统优势
该方案在基于高速骨干交换架构的同时,最大的亮点来自于遍布于全网接入层的高速无线局域网产品所产生的多种优势。它具有以下特点:
信道带宽完全保证用户接入速度。方案中接入层采用的高速无线局域网系列产品RG-WSG108R以802.11g技术为基础,通过信道带宽加速技术,将信道带宽提高到108Mbps,使得同一区域多种用户的高密度无线访问成为可能,为整个创业园区的科技成果展厅、大型会议中心、开放办公区域等场合用户提供了高速无线接入的手段。
多向智能天线系统实施超长覆盖能力。RG-WSG108R产品随机可带有多向天线系统,同时配合增强型的射频芯片系统,提供了出色的障碍物穿透和大面积覆盖能力,在该项目实施中建筑楼内型号可穿透两层单墙体仍然保持较强的通信能力,彻底解决了园区内写字楼结构复杂,型号覆盖难的问题;同时,RG-WSG108R产品还可以外接增强天线,对于今后的信号覆盖提供了灵活的扩展能力。
同时,RG-WSG108R产品采用了最新的的动态频道选择技术,当通信信道占用较拥挤时,接入点产品可动态调整到空闲信道持续传输,避免信道干扰带来的通信中断。这对于这种大型园区网络中,存在多种电气干扰或多个AP的信道干扰问题,提供了很好的解决之道。
安全管理
多种安全技术避免非法用户入侵。为了便于安全管理,RG-WSG108R产品通过支持多种安全技术,完全保障了众多企业用户的信息安全。
RG-WSG108R支持传统的WEP加密技术,加密位高达128位,只有所有加密位全部吻合,用户终端才能通过RG-WSG108R进入网络,这对于大多数网络攻击即可完全屏蔽掉;
传统的无线局域网AP产品是通过在空中明文广播其SSID号来通知各种进入覆盖区域的用户终端,这对于那些可以截获SSID的非法入侵者来说是很容易办到的,因此,RG-WSG108R采用了最新的无线通信身份认证SSID的广播禁止,用户可选择不进行SSID广播,只有已知SSID的用户才是合法用户,这样即可锁定合法用户,避免了传统无线产品带来的巨大隐患;
基于802.1X认证的WPA(无线接入保护)技术,采用整体认证的方式,同时配合锐捷网络成熟的安全认证解决方案,可以实现每个用户(用户名、口令)、每台计算机(IP地址、MAC地址等)的准确定位,可以彻底保障用户的安全身份。基于多年在802.1X认证技术方面的成熟研究和大量客户项目实施经验,在这样的大型企业实施高安全的认证网络,不但彻底打消了用户对安全风险的顾虑,也将用户在此方面的投资性价比显著提高;
多种功能保障投资规模。RG-WSG108R产品系列附加提供的网页过滤阻断的防火墙功能、企业级VPN功能、MAC地址过滤功能,以及全中文向导式配置界面和简易的TFTP升级方式,都为客户后期的实用和维护节省了大量的成本。
关键词 MSTP;防火墙多出口;园区网可靠性
中图分类号:TP393.08 文献标识码:B 文章编号:1671-489X(2013)09-0037-03
Reliability Design of Campus Network based on MSTP and Multiple Outlets Firewall//Li Bing
Abstract This paper analyzes the reliability from two aspects of internal and external network of campus network access, proposed a reliable design idea based on MSTP and firewall multiple outlets, discuss MSTP concepts, principles and configuration methods; advantages of firewall multiple outlets technology and the method of configuration, so as to realize the relative reliability of campus network.
Key words MSTP; firewall multiple outlets; campus network reliability
随着网络技术的发展和应用,网络化、信息化成为一种必然的趋势,很多企事业和政府部门都建立了自己的园区网。越来越多的企业的内部管理和外部业务越来越多地依赖于网络运作,以提高工作效率,提升自身形象和社会影响力。然而,一旦网络系统发生问题就将直接影响企业的正常运作,造成经济损失,有损社会声誉。因此,网络的性能特别是网络的可靠性就显得尤为重要。
1 园区网可靠性分析
计算机网络的可靠性,简单说来就是指网络系统在规定的时间和条件下,能够保持正常的信息流通,维持网络应用系统稳定的能力。计算机网络可靠性是一个系统化和科学化的概念。园区网的可靠性从网络范围来说可分为内部网络业务的可靠性和访问外部网络的可靠性两个方面。
1.1 实现园区网可靠性的基本设计思路
在园区网的重要节点采用相同功能的多个设备形成相互备份保护,如果一台设备出故障,则另一台设备能迅速接管故障设备,使对整个网络系统的影响降到最低;同样在园区网的出口,采用2条及以上不同的接入链路(通常是不同的ISP),一条链路中断后,另一条链路则迅速接管中断链路的流量,使对外业务数据受到的影响降到最低。
1.2 提高网络可靠性的技术手段
网络的可靠性是以各种投入为代价而实现的,因而在实际应用中,需要在网络建设费用与网络可靠性之间进行权衡。从性价比的角度来说,并不是可靠性越高越好,而往往采用对网络的关键设备或链路提供备份的办法,保证网络的相对可靠性。保障网络可靠性的技术手段主要有网络拓扑结构的优化、网络分层设计模型、容错与负载均衡技术、路由协议备份技术及选用高可靠性网络产品等。下面主要探讨应用链路负载均衡与冗余设计技术提高网络的可靠性。
2 链路负载均衡技术与网络可靠性
随着网络需求及网络技术的发展,单条链路、单台服务器或单台网络设备无法满足用户业务增长和对网络可靠性的需求。负载均衡(load balance)通过一种廉价、有效、透明的方法,将特定的业务,诸如网络服务、网络流量等通过多台设备或多个链路进行分担,扩展网络设备和链路的能力,满足用户业务不断发展的需求,保证业务的高可靠性。负载均衡具有高性能、可扩展性、可管理性、用户透明性等优点。
负载均衡技术从广义上讲有服务器负载均衡、防火墙负载均衡和链路负载均衡等类型,各种负载均衡技术应用于不同的场合。链路负载均衡指网络设备转发数据流量时,数据流量在满足一定的条件下选择不同的链路走向,从而达到链路流量分担,消除链路瓶颈,实现网络链路服务的可靠性。链路负载均衡技术在园区网的内部和网络出口均有一定的应用价值。
3 应用MSTP技术实现园区网内部负载均衡与链路冗余
3.1 MSTP概述
为了实现链路的冗余与备份,交换机之间往往会形成物理上的环路。但是一旦存在环路就会造成报文在环路内不断循环,造成广播风暴,影响网络的正常通信。802.1协议制订的STP协议,能够有效阻止网络风暴的产生,但是STP协议收敛速度慢,容易出现网络瓶颈。为此随后又推出了RSTP协议,RSTP协议很好地解决了网络收敛速度慢的问题,但是仍不能实现基于VLAN的流量均衡和冗余备份。
MSTP多实例生成树协议继承了STP和RSTP的优点,在不改变网络基本设备和物理拓扑结构的情况下,在不同的VLAN集合间采用不同的生成树逻辑拓扑。在MSTP协议中定义了实例(INSTANCE)的概念,所谓实例就是多个具有同样拓扑结构的VLAN集合。通过将多个具有同样拓扑结构的VLAN映射到同一个实例的方法,节省通信开销和资源占用率。MSTP协议通过控制各不同的VLAN实例使用不同的链路,从而形成不同的生成树拓扑结构,同时又互相提供链路备份,达到链路负载均衡、消除瓶颈、提供冗余的目的,提高网络的可靠性。
3.2 MSTP的配置与实现
为提高网络的可靠性,在汇聚层可采用两台交换机,即分别上联至两台汇聚核心SWA和SWB的交换机,以实现链路冗余,避免单链路故障,配置MSTP实现链路负载均衡。具体的拓扑结构如图1所示。
假设在域中有两个生成树实例,分别为实例1和实例2,并映射到VLAN 10 和VLAN 20。通过配置使不同VLAN的数据按照不同的生成树转发,VLAN 10的数据沿实例1转发,VLAN 20的数据沿实例2转发,实现流量的负载均衡。应当注意的是,在配置时同一个域内设备的MSTP域名及VLAN映射关系都要保持一致。本文以神州数码交换机产品为例,对交换机进行配置,并以sw1交换机节点进行具体配置(sw2交换机的配置与其类似)。
交换机sw1的参考配置如下:
enable
config
hostname sw1
vlan 10
switchport interface ethernet1/1-10
exit
vlan 20
switchport interface ethernet1/11-20
exit
interface ethernet1/21-22
switch mode trunk
exit
spanning-tree
spanning mst config
name mstpa
配置相同的mst域名称为mstpa
Instance 1 vlan 10
instance 2 vlan 20
exit
交换机swA的参考配置如下:
enable
config
host swA
vlan 10
exit
vlan 20
exit
interface ethernet1/21;22
switch mode trunk
exit
spanning-tree
spanning-tree mst config
name mstpa
instance 1 vlan 10
instance 2 vlan 20
exit
span mst 1 pri 4096
span mst 2 pri 8196
swB和swA的配置方法相似,只要改变对mst 1和mst 2两个不同实例的优先级即可。在此网络中,配置了汇聚swA为实例1的根桥,同时也是实例2的备份根桥。汇聚swB为实例2的根桥,同时作为实例1的备份根桥。正常情况下实例1和实例2各自走不同的链路,形成链路的负载均衡。当根桥出现故障时,备份根桥可以取代原根桥进行数据转发,达到了设备与链路的备份与负载均衡,较好地实现了网络的可靠性。
4 防火墙多出口实现访问外网负载均衡与冗余,提高访问外网的可靠性
在传统的园区网,往往只有一个网络出口,这种情况在中小型园区网中尤其突出。随着对外网访问量的增加,园区网对外访问往往成为整个网络的瓶颈。
4.1 传统的单出口园区网络存在的问题
在传统的单出口的情况下,即使内部网络访问是畅通的,但由于出口链路瓶颈仍然存在,对外网的访问将成为园区网主要问题,从而影响对外业务的开展;由于对外的出口链路只有一个,当仅有的一个出口发生故障时,整个网络将不能对外访问,园区网的可靠性大大降低,不利于设备和链路的维护与升级,当要进行必要的维护和升级时,将不得不中断对外网的访问。
4.2 防火墙多出口负载均衡应用与配置
所谓多出口是指为了确保对因特网访问,通常为网络配置多个因特网接入链路,一般情况下接入不同的ISP;也有为了保障和重要业务所在的接入供应商的连接,而采用对同一ISP接入两个链路,这种网络出口的结构称为出口多。
防火墙多出口多能最大限度地利用链路的带宽,并且当某一链路发生中断时,可以自动将其访问量分配到另一正常工作出口链路中,也即达到出口链路的流量负载均衡与备份。
本例以神州数码DCFW-1800系列为例进行配置,通过配置ISP路由方式来实现出口链路的负载均衡与冗余,使不同ISP流量走专有路由,从而提高网络速度。配置步骤大致为:配置ISP信息配置ISP路由上传ISP配置文件查看 ISP 路由配置信息删除已上传的预定义 ISP 配置文件。为保障链路和故障备份,还可以对链路进行相关的监控与备份配置,相关的关键配置及截图如图2所示。
1)配置ISP路由。目前国内的接入骨干网有电信、联通、教育网等,神州数码DCFW-1800系列防火墙系统自带了China-telecom和China-netcom两个ISP路由表,其他的ISP如unicom、cernet通过手工创建。考虑到线路带宽不同,在此设置了等价ISP路由,在转发时根据线路带宽设置转发比例。在图2中两条电信的路由转发比为1:1,在实际配置中也可根据具体的带宽情况配置不同的权值比例。图2中配置了多条ISP路由以供选择。
2)配置链路的监控与备份。当外网接口在up状态下,一旦该ISP运营商的线路出现故障,会影响内网用户通过该链路的对外访问。线路备份就是通过端口监控,当链路发生故障时自动切换到备份链路,保障出口访问的可靠性。下面的命令配置了名为track-for_eth0/3的监控对象和相应的监控地址:
track “track-for_eth0/3”
ip 202.96.218.23 interface ethernet0/3
Exit
interface ethernet0/3
monitor track “track-for_eth0/3”
Exit
如果要对其他线路进行监控,则也要进行相似的配置。
5 结束语
链路冗余与负载均衡是提高网络可靠性的重要技术之一,上述基于MSTP和防火墙多出口链路的设计与配置,实现链路的冗余与负载均衡。MSTP较好地保证了内部网络的可靠性,防火墙多出口链路为园区网对外的访问提供了较好的保障。
参考文献
[1]程庆梅.防火墙系统实训教程[M].北京:机械工业出版社,2012.
[2]雷傲然.企业园区网的可靠性设计思路与实现[J].时代报告,2012(9X):352.
关键词:多媒体通信 校园网建设
随着互联网技术和网络技术的不断成熟,网上实现多媒体教学的技术手段也在不断发展,内容也日臻完善,从现代教育技术的发展方向出发,多媒体教学的校园通信网建设与规划需要考虑哪些问题。是校园网建设者非常关心的问题。
一、多媒体校园通信网络建设的指导思想
根据普通高校电化教育改革的指导思想和发展目标,结合学校教育、教学与学术科研的特点,多媒体校园通信网络的建设,应适应和满足教育现代化的主要需求。(1)利用internet/intranet技术组网,实现intranet网的基本功能和服务,比如,www、ftp、e-mail和数据库服务等;(2)采用web/server或clint/server技术实现视频广播、视频点播、视频会议、实时视频监控、远程实时多媒体教学;(3)建设开发以下网络多媒体制作使用环境:多媒体课件制作管理平台、网络多媒体教室、网络虚拟实验室等等。以满足进行包括视听教育、计算机辅助教学、计算机多媒体技术在内的各种媒体技术的研究与应用的需求;满足为各学科教师、研究人员的科研工作提供国内外有关的各种类型的多媒体资料、学术前沿动态信息的的需求;满足提高各部门办公效率的需求;满足宣传和文化娱乐的需求;满足传播信息的需求;满足教育技术自身建设形成良性循环的需求。
二、多媒体校园通信网络功能概述
多媒体校园通信网络在功能设计上,既要考虑计算机技术、CATV技术和网络技术现有的设备水平,也要考虑今后发展的趋势,具有一定的超前性;既要考虑高校自身教育、教学与科学研究的现状,也要考虑文化、科技发达国家和地区的特点,充分利用网络平台的多媒体功能。
1.可以传送多套高质量广播、电视节目调频广播、数字音频广播、模拟电视、数字电视、高清晰度电视。
2.多媒体应用系统。引进或开发以下应用系统:视频广播、视频点播、视频会议、实时视频监控、远程实时多媒体教学、网络多媒体开发制作使用环境(多媒体课件制作管理平台、网络多媒体教室、网络虚拟实验室)。为开展多媒体教学提供条件;为教师备课和优化教学设计创造良好的环境;为学生自学、复习、开辟第二课堂提供方便。
3.数据通信。计算机联网、Internet、教育科研网及其它专网的互联。
4.信息资源。主要是指支持多媒体应用系统运行的数据源。它主要包括视频点播音像库、多媒体课件、电子教材、电子题库、数据库访问、电子图书资料馆、教学管理、信息咨询服务等。
5.网络服务功能。主要用于开通www服务、ftp服务、e-mail服务和数据库服务。
三、网络建设有关技术问题讨论
多媒体校园通信网络主要由几大部分组成:主干技术、网络布线、系统平台、设备选型。
1.主干技术选择:采用具有高服务质量的网络主干技术。目前,校园网主干主要采用四种技术,FDDI、ATM、交换式快速以太网和千兆以太网。应具备以下主要功能:①保持原有CATV接收卫星电视、播放音像资料及传输模拟电视信号的功能;②配备有双向控制CATV多媒体教学系统或VOD系统节目服务器以及可接收、存储和管理媒体素材的设备及支撑软件;③配备有数据系统的主服务器、相关网络协议支撑软件及前端接口单元,提供局域网的网络支撑协议和运行软件及数据,提供路由器及网桥等网际互联设备的接口,允许本以太网和外部数据网络,以及其它以太网和Internet网互联;④可以配备有程控电话交换中心和电话系统前端接口单元,实现电话子系统交换,并具有和外部电话系统兼容和相配的接口单元;⑤具有优良的可扩充性、兼容性功能;⑥具有高智能化功能,主要设备采用冗余配备,在前端能自动设置、校准、接入和切换,对全系统能自动监测和遥控诊断,实现全网自动管理和维护。
2.网络布线是在园区内建筑物间或建筑群内,布设网络传输线路,在园区网建设中,要求布线系统均采用符合国际标准的综合布线系统,考虑到多媒体信号的传输,在布线系统的设计上,网络主干、分支到用户端有足够的带宽。带宽的计算可以采取由桌面带宽、分支带宽到主干带宽的估算方法,主要拓扑结构应选用有利于双向传输的星型拓扑结构,园区网中采用光纤、双绞线的混合布线方式。传输介质可视校园区域和经费情况选用光缆或同轴电缆。采用光缆的芯数应不少于4芯配置,采用同轴电缆的,应选用屏蔽性能好的。用户分配网可根据用户的不同情况,采用星型与树状型拓扑结构和分配——分支方式。分配网电缆要选用屏蔽系数指标高的四屏蔽电缆。
3.网络系统平台的选择:构建校园网的网络系统平台通常有四种:UNIX、LINUX、NETWARE和WINDOWS NT。
4.设备选型
设备选型主要包括交换设备、服务器、路由器选型。
(1)交换设备:采用高速网络交换设备;选择同一公司的产品集成方案;与已有局域网的交换设备兼容;采用具有二、三层交换功能的系统配套网络设备;有组播功能的灵活配置。
(2)服务器:作为校园网的关键设备,服务器应该具备速度高、存储容量大、吞吐能力强、性能可靠、扩展性强、连网和管理功能强等特点。用于多媒体教学的服务器大多属于专用服务器。
从多媒体服务角度考虑,主要应对www服务器、视频点播服务器、课件库服务器进行合理的选配。
①www服务器:是网络运行的核心服务器,通常兼作域名服务器、FTP服务器。访问量大,根据学院规模大小,采用适合自己规模的服务器。通常,对于综合性大学(3000-5000信息点)应该使用企业级的服务器。对于中型校园网(1000-3000信息点),可以采用部门级服务器和支持多CPU的顶级PC服务器。对于小型校园网(100-1000信息点)用户,可以采用支持多CPU的顶级PC服务器。
②视频点播服务器:是用于网上用户点播视频节目的服务器,这种服务器要求速度快、容量大、可扩充能力强。
关键词:校园网;扁平化;SDN;多业务
中图分类号:TP393 文献标志码:A 文章编号:1673-8454(2015)11-0067-03
中国石油大学(华东)校园网络经过20年的发展,历经了20世纪90年代的校园网从无到有,新世纪的以路由交换为主的千兆以太网两代网络,在校园网信息化发展中做出了巨大贡献。随着校园信息化建设的发展,校园网络作为信息化基础越来越重要,不仅需要为信息系统提供网络支撑,还要为用户提供高速、稳定、安全、便捷的网络接入服务。在新时代下,办公管理信息化、云计算大规模应用、多媒体教学技术不断更新、网络教学逐渐铺开,传统校园网络在新应用、新业务面前显得力不从心,网络无法满足新业务新应用的需求,网络管理越来越复杂,随着网络技术的发展,校园网络需要朝新型的网络发展。
一、设计思路
校园网络面临着复杂的网络管理、复杂的业务需求、复杂的用户群体,故在网络设计中需要采用较为先进的网络技术,合理的网络设计思路,达到简化网络管理的目的,提升网络安全水平,满足不同用户的网络需求。
1.网络结构扁平化
网络结构扁平化分为网络物理结构扁平化和逻辑结构扁平化。高校校园网一般可以分成两部分,即数据中心网络和园区网络,数据中心网络基本上仅限于一个机房内部或直连的两个或多个机房,物理链路简单,可以采取物理链路和逻辑链路扁平化的结构;受物理位置和链路的限制,园区网比较分散,可以采用传统的三层物理结构之上实现逻辑结构的扁平化。
网络扁平化能有效解决单点故障,通过多链路捆绑实现链路带宽成倍增加,减少网络跳数,消除了汇聚层三层转发性能瓶颈,提高网络转发效率。同时,减少汇聚层IP策略,将IP层策略集中到核心控制层,简化网络管理,提高管理效率。
2.用户管理与基础网络分离
传统网络中,基础网络与用户(认证)管理结合紧密,甚至很多网络(认证)管理的控制层位于网络的接入层,如802.1x认证,一方面存在网络管理复杂、设备不兼容等问题;另一方面由于用户认证信息无法漫游导致用户在校园网上需要使用多个账号或网络访问受限等问题。
用户(认证)管理与基础网络分离后,用户管理系统独立于基础网络,由网络接入设备、认证计费系统等组成,只负责所有用户信息的管理,权限管理与分配,通过标准协议和接口实现用户根据自己的权限在不同网络和设备间的漫游,提高网络的移动性,同时可更好地与第三方软硬件平台对接,实现未来应用系统与网络的对接,达到用户权限随行的效果。
3.基于SDN技术的多业务网络
校园网是一套极其复杂的系统,除了正常提供用户接入网络外,校园网需要承载各种类型的专用网络,如一卡通网络、财务专网等专用隔离的网络。新型校园网络需要提供支持多业务网络服务,结合SDN、虚拟化等技术方便快速地开展业务网络服务,提高网络利用率,缩短业务网络部署时间。
SDN将原来网络设备里的控制功能提取出来交由中心控制节点进行集中控制,也就是“控制转发分离”。通过“控制转发分离”,网络设备只需要负责数据包的转发,而将复杂的网络控制功能交由集中的控制器去处理。通过中心的控制节点进行集中控制,也让整网的转发效率更高。“控制转发分离”后,由集中的控制器去对接上层业务系统,控制器可以屏蔽下层复杂的网络协议和技术细节,将下层网络变成端口、带宽等资源提交上层业务系统。上层业务系统也只需要和集中的控制器打交道,而不再需要去向全网所有设备下发指令,或者人工将业务需求变成一条一条网络设备命令行远程登录到设备上进行配置,在开展多业务网络服务中能极大地简化网络配置管理,缩短业务部署时间。
4.网络安全分级
校园网络中接入各种网络设备及终端,如网络设备、服务器、PC、手机、平板电脑等,不同设备及终端保存着不同重要性的数据。根据对数据重要性进行分析,将网络终端和网络数据进行划分不同安全等级,采取不同的安全防护措施,对于学校核心数据进行重点保护,对用户非重要数据进行简单保护或由用户自行安全保护等。
二、设计方案
根据校园网功能和特点,结合设计思路,校园网络拓扑结构如图1所示。
通过拓扑图,校园网络采用双核心交换机设计,通过双链路连接到多出口路由设备、用户认证接入设备、链路汇合交换机和数据中心核心交换机,保障骨干网络的高带宽和网络的稳定性。在校园网园区网络部分,为了节省园区内骨干光缆,在各楼宇继续保留网络汇聚点,取消原有的网络汇聚层,更改成链路汇合交换机,向上与核心交换机采用多链路捆绑技术,满足高带宽、高可靠性的需求,向下提供接入交换机高密度接入能力。园区网络接入交换机根据业务需求,提供普通用户上网接入和专用网络接入服务,在条件允许的情况下,在部分接入机房安装独立的交换机为专网提供服务,同时无线网有线部分完全融入有线网络,PoE交换机直接接入到链路汇合交换机,将无线AP作为网络终端考虑。
园区网络逻辑网络完全按照扁平化大二层网络考虑,每个接入交换机划分不同的VLAN,并做好端口隔离,将VLAN通过链路汇合交换机、核心交换机透传到用户网络接入设备(BRAS),用户通过IPoE+Portal或PPPoE认证后使用路由模式连接到核心交换机,完成对互联网和数据中心的访问。由于用户网络接入设备(BRAS)处于网络核心位置,在网络设计中考虑使用双机热备的部署模式,并与后台计费认证系统双radius服务器对接,保证网络的稳定性。
数据中心网络相对独立,完全采用扁平化的二层网络结构,接入交换机双链路分别直连到两台数据中心核心交换机,并在网内实现大二层网络,满足虚拟化、云计算对网络的需求。由于学校绝大部分数据均在数据中心,且数据重要性比较高,故在数据中心核心交换机上增加防火墙、入侵检测、Web防护等网络安全板卡或设备,根据数据中心应用系统和数据的重要性配置不同的安全策略,满足对应用系统和数据的安全防护。
除了上述网络转发层,网络控制管理层是整个网络的大脑,由传统的网络管理、监控系统和SDN控制器等组成,对下负责对网络硬件设备下发网络参数和策略,对上提供用户管理界面,并开放与第三方系统对接接口。从逻辑上,网络控制管理层从网络设备中独立出来,由计算机性能更高的服务器等硬件进行网络路径和策略的计算,这也符合SDN网络的逻辑。由于新一代校园网络建设有一定的周期,故网络控制管理层中传统的网络管理系统逐步过渡到软件定义网络、软件定义存储等软件定义所有系统的控制器。
借助SDN技术,新型校园网络不在是传统的校园网,不仅只提供用户接入互联网服务,而是一张多业务网络。通过在SDN控制器上少量的操作即可完成一张业务网络的部署。如某业务网需要将校园网内任何地方的两个不同交换机的端口互通,只需在SDN控制中创建一个租户网,并将这两个端口加入该网,SDN控制器自动计算转发路径并将数据下发到相关交换机,交换机即可按照路径转发,如图2所示。
新型校园网络涉及较多的新技术、新理念,在实施过程中会面临到成本较高、网络较难整合等相关问题,同时节省投资、充分利旧的思路,可以考虑总体设计分步实施的方式完成校园网的升级换代。在设备选型过程中,必须考虑设备支持Openflow、Open Daylight等SDN相关协议,支持MPLS VPN、虚拟化等功能,可以与传统网络对接等需求。
三、结论
新型校园网络改变传统网络中架构和理念,总结了传统网络的优缺点,取长补短,并提升了网络的可扩展性、可移动性、可管理性,并提供了多业务支撑,能有效解决当前网络面临的各种问题,同时采用较为先进的网络技术和管理手段,提升网络管理水平,并为未来业务发展提供了足够的空间。
参考文献:
[1]吴旭东,柳炳祥.校园网网络规划的设计与实现[J].电脑开发与应用,2011,24(11):64-65.
[2]吴圣洁,夏添.数据中心网络扁平化设计[J].微型电脑应用,2013,29(11):27-30.
[3]刘维,姚锦卫.高校校园网络认证计费系统研究[J].现代计算机,2008(5):93-94.
关键词:NAT;Linux;私有地址;全局地址
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)04-10984-03
1 引言
IP地址的匮乏对于任何一个高校的网络管理员来讲,都应该是一个让人头疼的事情。一方面无论是教学还是后勤对于计算机网络的使用和依赖都有了前所未有的深度和广度,另一方面随之而来的是网络规模的扩张导致的IP资源的紧缺问题。我校是个万人规模的高校,校园网刚起步的时候申请了16个C类地址,基本可以满足教学和实验的需求,但随着学生公寓的建设,每个公寓房间必须建立上网信息点,同时后勤的各部门也开展网上作业,使得IP地址资源很快就用尽,而且远远不能满足我们的需求。这种现象在很多单位也是比较突出的。传统的解决办法是利用动态地址分配(DHCP)或者技术。
利用传统的DHCP技术显然无法实现学校网络应用的需求,因为DHCP技术仅仅是简化了客户端的配置,增加了IP地址分配的灵活性。但对于高校这样的特殊网络环境,并不能起到有效节省IP地址的作用。例如晚上同时上网的客户端很多,DHCP服务器中地址池的IP地址很快就会消耗殆尽。
利用技术可以减少IP地址的使用,但服务器在高校这样的网络应用比较复杂、网络流量比较大的环境很可能就是一个网络瓶颈,同时技术可能也限制了很多网络应用的展开,使得网络管理复杂化。
经过综合比较我们采用NAT技术解决了这个问题。笔者认为该技术能较好的解决高校网络建设中IP地址匮乏的矛盾,而且也可以根据不同的网络环境采用不同的方案来实现NAT。配置比较简单,管理比较方便,对用户是透明的。
2 NAT技术原理
NAT是Network address translation(网络地址转换)的缩写,它其实并不是一种新技术,而是一种解决网络问题(如服务器负载平衡、防火墙、高可靠性系统的容错备份)的成熟技术,说它成熟是因为NAT技术在标准的一致性方面非常出色。自从1994年IETF制定了RFCl631以来,就几乎末再做任何改动。在目前大部分园区网所使用的网关中都支持该技术:有些单位采用的是专业路由器做网关,比如CISCO,有些学校采用服务器做网关,比如LINUX系统。而无论是在CISCO内核或是LINUX内核中均支持了NAT的实现。
我们本篇讨论的是NAT技术的最重要的功能,即通过地址复用来提高对IP地址的有效利用率。在NAT技术中涉及了两种IP地址概念:全局地址和私有地址。全局地址是指合法的IP地址,它是由NIC或者网络服务提供商分配的地址,是全球统一的可寻址的地址(可路由)。私有地址,也称内部地址,是指在内部网络中分配给节点的私有IP地址,这个地址只能在内部网络中使用,不能被路由。虽然内部地址可以随机挑选,但是通常使用的是RFC 1918中定义的专用地址:10.0.0.0~10.255.255.255,172.16.0.0~172.16.255.255,192.168.0.0~192.168.255.255。
NAT一般设置在校园网的网关处,目的是使得在内部专用网络中的主机可以使用私有地址(不可路由)。当内部节点要与外界网络发生联系时,数据包携带的源地址是私有地址,在网关处利用NAT技术将源私有地址替换成全局地址――合法地址(可路由),从而在外部公共网上正常使用。数据包从外部进入园区网时在网关处NAT将目的全局地址替换成园区某一主机的私有地址,再进行转发。具体的实现原理我们可以看下面的一个例子:
如图1所示,Inside虚框所示为校园内部网,每个客户端只配置了私有地址,通过路由器和外网连接。当内网中某客户端,比如10.1.1.1欲访问外网的HOST B,正常情况是无法访问,因为10.1.1.1是私有地址,无法在Internet上路由,但在边界路由上采用NAT技术后,读者可以发现,客户机10.1.1.1发出的IP包源地址(SA)为10.1.1.1,目的地址(DA)为172.20.7.3。经过边界路由后,该Ip包中的源地址已经不是私有地址10.1.1.1了,而是被NAT成了一个全局地址192.168.2.2,同时在路由器中建立一张影射表,把10.1.1.1和192.168.2.2影射起来。所以读者应该不难理解,当目的端HOST B发一个回应包时,应该是发给192.168.2.2,这时路由器中的NAT转换就可以根据影射表,把这个回应包重定向到内部的客户机10.1.1.1,具体做法其实就是根据包中的目的地址,查影射表,得到内部地址,然后修改回应包中的目的地址。在这种情况下,读者可能发现NAT技术很类似于一个地址转换的,但并不能有效的实现节约地址空间的作用。因为私有地址和全局地址还是简单的一一对应。若同时有很多内部机器对外访问,还需要提供等量的全局地址。其实这种实现手段被称为静态地址转换技术。是NAT地址转换的一种,NAT的地址转换技术主要有三种:
图1 NAT原理
(1)静态转换。具体原理已如上所述。静态转换是最简单的一种转换方式,它在NAT表中为每一个需要转换的私有地址创建了固定的转换条目,映射了唯一的全局地址。私有地址与全局地址一一对应。每当内部节点与外界通信时,内部地址就会转化为对应的全局地址。
(2)动态转换。它增加了网络管理的复杂性,但也提供了很大的灵活性。它将可用的全局地址地址集定义成NAT池(NAT pool)。对于要与外界进行通信的内部主机,如果还没有建立转换映射,网关将会动态的从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立,而在连接终止时会被回收。这样,网络的灵活性大大增强了,所需要的全局地址进一步的减少。值得注意的是,当NAT池中的全局地址被全部占用以后,以后的地址转换的申请会被拒绝。这样会造成网络连通性的问题。所以应该使用超时操作选项来回收NAT池的全局地址。
(3)端口地址转换(NAPT―Network address port translatin)。是动态转换的一种变形。它可以使多个内部主机共享一个全局IP地址,而使用源和目的的TCP/UDP的端口号来区分NAT表中的转换条目及内部地址。这样,就更节省了地址空间。在我们的校园网中主要采用该技术来解决IP资源紧张问题。
它实现的基本思想如下表1所示:
表1 端口复用的影射表
该表和图一中的影射表的显著不同是,当内部多个客户机(IP地址分别为:10.1.1.1、10.1.1.2、10.1.1.3、10.1.1.4)对外访问时,NAT给它们都分配了相同的全局地址192.168.2.2。但为了建立一一影射,在全局地址后面加了不同的端口号,这样就可以多个内部私有地址共同被转换成同一个全局地址,从而实现节省地址的作用。
3 以Linux服务器作为网关实现NAT
3.1 Linux中NAT的实现原理
Linux2.4的NAT过程如图2:
图2 Linux中实现NAT
其中:(1)DNAT指目的NAT(Destination NAT ),DNAT能修改数据包的目标地址,改变连接的目的地,并进行Prerouting的动作。端口转发就属于DNAT;(2)SNAT指源NAT(Source NAT),SNAT能修改数据包的源地址,改变连接的来源地址,并作好postrouting的动作。
NAT工作要经过如下的步骤:
(1)DNAT若包是被送往prerouting链的,并且匹配了规则,则执行DNAT或redirect目标。为了使数据包得到正确路由,必须在路由之前进行DNAT;
(2)路由。内核检查信息包的头信息,尤其是信息包的目的地;
(3)处理本地进程产生的包对NAT表Output链中的规则实施规则检查,对匹配的包执行目标动作;
(4)SNAT。若包是被送往postrouting链的,并且匹配了规则,则执行SNAT或masquerade目标。系统在决定了数据包的路由之后才执行该链中的规则。
3.2 NAT在Linux2.4上的实现
使用Linux的NAT实现内部网络的私有地址和外网的全局地址影射,必须在服务器上预装Linux(本文以内核2.4为例),服务器的硬件要求不需很高,但必须是双网卡,假设为eth0和eth1,eth0为服务器网关和外网的接口,该网卡IP地址为全局地址。Eth1为服务器网关和园区内网的接口,该网卡IP地址为内部私有地址。
具备了相关硬件的服务器配置NAT步骤如下:
(1)安装Linux
由于只使用Linux的NAT功能,为提高服务器性能,按最小安装模式安装操作系统,其中必须带gcc开发包和内核源码以及一些常用工具。然后重新配置编译内核,(因为在一般的Linux盘中不直接支持NAT),步骤如下:
a. 进入linux内核的源代码目录
cd/usr/src/linux-2.4
b. 执行配置linux内核命令
make menuconfig
在network options选择NAT以及ip-forwards
c. 编译内核
make dep
make bzlmage
make install
(2)对网卡进行配置
例如:eth0的IP地址设定为210.29.64.254,掩码为255.255.255.0。eth1的IP地址设定为10.1.1.254,掩码为255.255.255.0。
(3)启用内核转发(ip-forword)和NAT在/etc/rc.d/目录下建立脚本文件natscript,执行chmod u+x natscript
编辑/etc/rc.d/rc.local ,在末尾加上/etc/rc.d/natscript使得开机自动运行该脚本。
Natscript的内容为:
#!/bin/sh
modprobe ip-tables
modprobe iptables-nat
echo1 > /roc/sys/net/ipv4/in-forward
iptableCt natCA POSTROUTINGs 10.1.1.0/24Co eth0Cj SNATCto 210.29.64.254
(4)对内网主机只需设置网关为NAT服务器的和内网连接的端口地址,在本例中是10.1.1.254。
4 结束语
NAT技术是一个成熟的技术,有效的使用该技术能很好的解决校园网建设中的很多问题,但它对网络应用也会带来一定的影响,首先,很明显,使用NAT地址转换会使网关(路由器或运行NAT的服务器)处理数据包延迟增大。网关的CPU必须对每个数据包进行检查,对需要改变地址信息的数据包进行操作,因此会加大运行负载。另一方面,NAT隐藏了端到端的IP地址,使得对数据包路径的跟踪变的比较困难。从而使得一些内嵌的IP地址(比如说SNMP、FTP、VPN等)在应用中会产生问题。
但总的来说,在校园网建设中采用NAT技术会带来很大的优越性,它解决了IP地址资源紧缺问题,简化了配置、使网络规划更灵活。
参考文献:
[1]虞和询. 校园网的建设与管理[M]. 南京:东南大学出版社,1997.
[2]李菁平. Linux大学教材[M]. 清华大学出版社,2005.
关键字:客户导向 产品手册
前言
产品手册的设计在整个企业的研发、生产和营销过程中往往是不被管理者重视的环节,产品手册的价值只是作为产品的附属存在。管理者让营销人员把产品手册派发出去,以期待能让客户通过产品手册了解到企业的产品、品牌和文化,却很少认真考虑过,所设计的产品手册能否符合客户需求,以及给客户带来价值。客户是企业发展的动力,是核心竞争力的保证,企业经营活动都要以客户为导向开展,客户导向是企业与客户建立双向关系的基础。企业不遵循客户导向的理念设计产品手册,是造成产品手册与客户需求相违背的主要原因。本文首先阐述现代企业战略中客户导向的重要性,明确客户导向的定义,其次分析产品手册的作用以及产品手册设计中的常见问题。最后通过借鉴华为集团的成功案例总结以客户为导向的产品手册设计原则。
一、现代企业战略中客户导向的重要性
(1)客户导向的定义
1954年,著名管理学家彼得,德鲁克提出“客户需求是企业活动的中心和出发点,企业的最终目的是促使客户购买、满足客户需求。”,客户导向思想开始萌芽。客户导向(也称顾客导向)是现代企业的重要市场战略,企业以满足客户需求、增加客户价值为出发点,通过创新研发、服务和营销,动态地适应客户需求,避免脱离客户需求进行生产,或对市场进行主观臆断。企业监控自己服务于客户需求的承诺水平和以客户需求为导向的程度,在业务之间交换经验和教训,在理解客户需求的基础上建立竞争战略。
(2)客户导向的重要性
客户导向是建立客户和企业双向关系的基础,其重要性体现在以下方面。在经营方面,客户导向观念使企业明确了把客户放在第一位的经营策略;在创新方面,不断变化和提高的客户需求,迫使企业不断进步;在竞争方面,通过积累忠诚客户数量保证核心竞争力;在定位方面,客户导向帮助企业明确目标客户群体;在发展方面,建立并维系与客户的良好关系对于开发客户的长期价值至关重要。
综上,可见客户导向是指企业以满足客户需求为核心进行商业活动,并从客户身上获得持续不断的商业价值,实现企业与客户双赢的企业战略。客户导向作为企业战略,需要落实在所有的企业行为之中。产品手册是企业与客户的第一接触点,因此客户导向在产品手册设计中的应用非常重要。下面具体分析产品手册的作用以及产品手册设计中的常见问题。
二、产品手册的作用及设计常见问题
(1)信息媒介的作用
产品手册是指对相关产品进行全面解释的文件资料,有别于企业的产品说明书。产品说明书是对产品操作和故障的解答,是客户在购买产品后使用。产品手册是对产品功能、用途和组成的介绍,在客户在购买前使用。产品手册通常包括以下内容:产品的基本信息,如名称、配置、技术参数等;所能具备的功能,如娱乐、学习、社交等;能为客户解决的问题,如环境问题、健康问题等;以及企业的概况和理念。形式上不仅限于纸质资料,也可以通过其它多媒体呈现,基本原则是能够有效传达产品信息的一切材料都是产品手册。当产品小型便携时,营销人员可以直接拿产品与客户进行交流,但如果是工程型、知识型和服务型产品时,产品手册就是与客户面对面沟通的最佳工具。企业通过产品手册传播信息,增加客户对企业的了解。产品手册作为CI的载体,凭借良好的视觉设计改变企业的视觉信息环境,并通过统一性和规范化,强化客户对企业的印象。
(2)与客户沟通工具的作用
在现代市场营销学中,产品由三个层次组成,即核心产品、形式产品和延伸产品。客户对于产品的需求不仅限于产品的物质形式,还对物质形式之外的相关事物存在需求。产品的整体概念就是建立在“需求=产品”的等式基础之上的。
对客户需求的满足是产品手册的价值所在。客户的需求又可以分为显性需求和隐性需求。显性需求是指消费者有清晰认识的需求。客户在接触产品手册时,会明确主动地想要知道该产品能否满足自己的需求、解决面临的问题,以及提供价值的大小。此外,客户求知的需求,会驱使客户主动储备产品手册中有益的信息和知识。隐性需求是指必须经过市场、社会、文化等方式的刺激才能被察觉的需求。产品手册可以帮助客户弥补认知,挖掘更高层次的需求,激起客户潜在的购买欲望。
随着平面媒体技术的不断提升,仅有漂亮的图片而不能有效传达信息的产品手册是不能满足客户需求的。产品手册的设计需要更富创意的形式来展现,并与读者建立情感联系,引导人们接纳其中的观念和内容,并达成持久的信任。
(3)设计中的常见问题
大部分企业设计的产品手册存在的常见问题主要有:1.思路的设计;2.文案的内容:3.版面的设计;4.材料的使用四个方面的缺陷,导致客户无法将产品手册作为知识性资源长期保留。因此,从以上四个方面分析产品手册设计中存在的问题是非常重要的。
1.思路的设计缺少体现对客户的关怀。太多与客户无关的信息占据突出位置,会削弱客户的注意力,并容易引起客户的反感。例如,在传统的产品手册中,首页均以公司情况介绍为主,包括企业概况、发展历程和荣誉表彰等等。企业一味地阐述自己的信息,却忽略了客户的诉求。企业没有以替客户解决问题的思路来设计产品手册,没有帮助客户分析现状、发现问题、提出问题和解决问题。思路的错误,必然无法引起客户的共鸣、获得客户的认可。
2.文案内容使用的词汇过于拔高,不贴近生活。如某热水器产品的理念是“智慧热水,舒适生活”,用词看似考究,但让人感到不够真实。“智慧”和“热水”现实中很少有联系,而“舒适生活”又牵涉到除洗澡这个日常行为外的很多因素。
3.版面的设计缺乏层次区分,不能良好地引导客户进行浏览。特别是在产品手册中,图片未经过精细处理、插图的视觉语言不准确、版面设计的风格与企业形象不统一等等,以上各点均导致信息不能准确传达,有损客户对企业的认知。
4.产品手册的制作材料没有根据设计效果和印刷工艺进行选择,这种情况不仅无法实现预期效果,也因为质感的不当,给人廉价的感觉。
以上现象均普遍存在于多数企业的产品手册设计中。目前,伴随企业竞争激烈和经营手段多样化,少数企业意识到成功的产品手册更具竞争优势和维护企业形象。以下是华为集团的产品手册案例,该案例在思路设计和版面设计两个方面有所突破,做到了以客户为导向的产品手册设计。
三、“One Net Campus华为园区网解决方案”产品手册案例分析
2011年,华为集团为向规模不同的企业园区提供基础网络建设,推出了“One Net Campus华为园区网解决方案”集成服务产品。该产品的产品手册设计思路清晰,以帮助客户解决问题为主线展开,逐步拉近与客户之间的距离。打开手册,首先是对客户行业发展现状的分析,并简要地概述企业园区的定义以及目前的规模层次,表达华为对客户行业的关注;其次是帮助客户发现存在的困难和挑战,陈列出企业园区网络建设存在的瓶颈,让客户感受到华为对其产业的精准洞察;接着,针对客户的问题提出相应的解决办法,通过图解的形式展示解决方案,清晰地罗列技术细节、关系网络以及配置设备,体现出华为为客户服务的专业素质;最后,阐述客户采用该解决方案后可以获得的价值,除了网络系统的提升,还会带来丰富的附加价值,以此打动客户,体现华为对客户无微不至的关怀。版面设计简洁、明朗,突出理智的商务性。封面深蓝色调的插图给人冷静的美感,带有网络象征的视觉语言符号,使客户对产品形象产生联想。将图文信息进行网格划分,使其井然有序。版面注重留白,营造出静美的阅读氛围,并留有想象空间。
综上,该产品手册在思路和版面上的设计都是以客户能够清楚、便捷地获取信息为目标进行,体现了客户导向的理念。
四、以客户为导向的产品手册设计原则分析
通过以上案例分析,可以发现对客户具有吸引力的产品手册所具有的特征,以下归纳产品手册的设计原则。
(1)思路的设计及文案的内容应围绕客户的需求展开。
在进行思路的设计时,应该从客户的立场出发,提供客户想要的信息,逐步取得客户信任,应遵从以下步骤:一、分析客户现状,正确认知客户行业,表达企业对客户的关注。二、寻找客户痛点,罗列客户面临的问题或挑战,体现对客户的精准洞察。三、提出解决办法,使用容易阅读和理解的方式,向客户展示企业的专业性。四、阐述客户价值,对客户能预期取得的成果和价值提供准确的数据支持,要让客户感受具体利益,增强客户信心。五、展示企业实力,让客户意识到企业是可信任的合作伙伴。
(2)版面设计要有效地传达信息,给客户舒适的阅读环境。
版面设计要在图形、文字、色彩三大要素的组合中,融入亲和的、人性化的、自然的力量,唤起客户内心的触动和认同。在信息元素的编辑和组织时,要合理运用人类阅读的视觉习惯,适应人们认识过程的心理顺序和思维过程的逻辑顺序。图片要真实、美观,必须符合内容、风格、主题、适合版面,且具有吸引力。字体不宜过多,内容的重要性可通过字体的大小来区分。材质的选用必须符合设计和工艺的要求,以保证产品手册的最终效果。
(3)产品手册的设计任务应该以项目制的形式工作。
产品手册的设计不单是设计部门或是平面设计师的工作,而是一个需要规划、控制和反馈的系统工程。在进行设计任务时,需要成立跨职能的项目团队,包括设计、研发、营销等部门成员,团队的负责人一定要对产品或是业务非常熟悉,最好具有该产品营销实践经验。产品手册的设计以项目形式进行,需要拟定项目计划书,规范操作流程。初步方案需召开讨论会,由成员讨论通过。文案编辑和视觉设计需要经过不断反馈并修改。设计完成后,需要组织相关人员对产品手册进行学习。
Abstract: In recent years, the construction of intelligent hospital information system has been playing an increasingly important role in improving medical service quality and management level, and the network architecture which the information relies on is attracting more and more attention. Comprehensive planning of the overall architecture of the network in the early stage plays a key role in the efficient operation of hospital information system in the future. Based on practical examples, this paper studies the hospital network architecture requirements analysis and implementation.
关键词:三级医院;信息需求;网络架构;实例;实现
Key words: tertiary hospitals;information requirements;network architecture;example;implementation
中图分类号:C931.6 文献标识码:A 文章编号:1006-4311(2016)14-0126-03
0 引言
某医院位于中级城市的市中心,目前属二级甲等医院,现有床位500张,按三级医院建设标准进行扩大建设,以达到1000张床位规模。对新建内科楼(14层)、门诊楼(5层)、中心机房进行网络方面的建设,并且需要与现有旧网络进行融合。本文结合某二级医院以三级医院为准备进行扩大建设,谈谈应从哪些方面长远考虑医院信息化建设中的网络架构,并在应用中得以实现。
1 医院信息系统需求分析
医院需求首先应与实际相结合,各级医院对信息系统需求有所不同,本例是以三级医院标准建设,其需求主要从以下四个方面着手分析:
1.1 医院信息智能化系统需求 目前,三级医院信息智能化系统主要包括医院管理信息系统(HIS)、医学影像管理信息系统(PACS)、检验信息管理系统(LIS)、电子病历(EMR)、办公自动化信息(OA)等多种系统。随着卫生信息化的内涵与外延不断扩展,HIS除了与LIS、PACS、EMR、OA不断融合外,还与医保、银行系统的业务及数据交互越来越频繁;目前掌上系统不断推进,内部无线系统成为必然;未来的卫生信息共享的云架构更是对医院信息智能化要求越来越高。医院间的技术集中化处理和交流、各种信息上报下传,连接INTERNET外网也必不可少。门诊多点远距离设置也让网络架构必须考虑各种接入方式。
1.2 患者的需求 为患者提供严密的安全防范措施和舒适、迅速、便捷、明了的就医环境,就需要通过监控系统、门禁控制、候诊排队、窗口对讲及LED电子信息公告及引导、信息触摸查询等智能化技术手段对人员进行合理有效的疏导、分流、管理,保证医院工作安全有序高效的运行;为长时间等待患者提供外连INTERNET的免费WIFI。
1.3 医院管理的需求 提供对医院的整体环境进行实时的监控管理和安全防范,需要严密的监控系统;提供对医院的各类信息实行统计,实现能源管理和收费管理,达到经济、实用、方便,财务及设备等管理系统;提供满足医院的各类日常试验、教学需要的条件和要求;加强对医院安防、服务、信息的管理体制,需要中心机房建设及信息容灾系统;加强医院内外信息沟通,需要外网及程控电话网络布局。
1.4 与旧楼在网络上的衔接 目前核心交换机无法满足扩容后接入需求,需重新建设核心交换机;新建大楼需要重新进行新的网络架构;原有网络设备、服务器等陈旧,新建大楼终端设备的增加,后续业务对网络设备的要求越来越高;网络百兆接入千兆骨干的网络平台无法满足业务应用高速、稳定的要求。
2 医院网络架构的建设原则
2.1 高性能 网络作为企业信息运行的承载平台,涉及到众多不同的应用及众多用户,一些实时性强的交互业务应用(如语音、图像等),势必对网络性能提出更高的要求。因此,设计时首先要考虑有足够的骨干带宽、合理的网络拓扑结构、先进实用的技术,同时还要努力实现网络的无阻塞性,而不能使网络成为业务应用的瓶颈。
2.2 高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证。在网络设计时,应选用高可靠性的网络产品、合理的网络架构,制订可靠的网络备份策略,保证网络具有较好的故障自愈能力,以减少网络中断时间。为了保证较高的可靠性,新的应具有链路容错和核心节点热备份。
2.3 安全性 解决安全性问题需制定统一的网络安全策略和过滤机制,充分使用各种不同的网络技术,如虚拟局域网络(VLAN)、、防火墙等。划分网络安全体系层次,控制信息系统与管理信息系统分离,关键系统用防火墙保护,通过划分VLAN,隔离不同系统用户,加强系统的安全性。架构入侵检测系统和安全评估系统,加强对重点系统的防范。从数据安全的角度来讲,重要的数据服务器集中放置,构成服务器群,以方便采取措施集中保护,并对重要数据进行备份。
2.4 可管理性 企业网络作为一种地理范围,分布较大的园区网(甚至是一种多个园区网连接而成的广域网),日常管理及维护的工作量较大。为了尽可能提高工作效率,减少网络停顿时间,同时为未来网络的发展打下基础,必须使企业网络具有良好的可管理性。选择方案时应考虑以下几个方面:①对网络实行集中监测,分权管理,并统一分配资源;②选用先进的网络管理平台,可以集中对全网设备(路由器,以太网交换机等)实施具体到端口的管理能力,并可提供及时的故障报警和日志;③选用的网络设备及其他连接在网络上的重要设备都应支持远程管理;④设计时需充分考虑运行维护的问题,在工程结束时,应有设计及实施文档。
2.5 技术先进性 先进合理的技术是投资保护的重要方面。网络核心设备应考虑使用国内外主流厂家生产的设备,同时要把先进的技术与国际公认的标准结合起来,使网络支持国际上通用的标准网络协议。
2.6 可扩展性 新建设的网络应支持各种高速网络技术,应用全系列的交换产品,拓展网络带宽。在工作组结构中采用组合技术,可灵活地构成不同系统,并可方便的扩展。对以后需进行网络扩展时,前期的投资应能继续能用。
2.7 实用性 在总体设计要一步到位,保证未来10年,满足医院对信息智能化的需求。架构网络到位的情况下,可根据技术的发展改造升级现有的智能化系统,以提升技术应用水平。实施的网络系统符合医院实际需要和投资的合理性,防止片面追求系统的先进性和超前性造成投资的浪费。
3 网络架构的具体技术分析及实施方案
网络架构的具体需要技术分析包括HIS、LIS、PACS、视频等对网络带宽和速度的要求。①HIS、LIS业务对网络性能的要求。HIS主要应用在局域网中,以文字、图形信息为主;LIS主要是一些技术数据和文字为主。HIS、LIS最集中的时间段在上午8:00-12:00并发连接,但因其数据量多为文字,对带宽要求不算很高;②PACS业务网络设计需求。PACS医疗应用数据包含大量影像、文字等信息,对带宽和网速要求非常高;③视频类业务网络设计需求。视频类业务包含大量音、视频信息,对带宽和网速要求也非常高。
假设50个客户端,5秒内分别读取约30MB影像,则核心网络流量=(50×30×8)÷5=2.4Gb/s。千兆网络最大流量仅为0.7Gb/s,万兆网络的流量为7Gb/s,因此建议选择万兆核心,以及到影像中心的万兆汇聚。并且视频类单独设立网络。
综合医院的需求分析和网络架构的建设原则,医院网络主要采取内网、外网、监控网络完全分离的架构,具体实现如下:
3.1 内网建设 内网采用“千兆接入万兆主干”的思路进行建设。内外网完全物理隔理。无线网络只作基本铺设和测试。(图1)
医院内网建设在网络结构的设置上采用核心接入的二层网络架构,保证网络架构的稳定性。全网核心交换机采用双机运行。接入层采用千兆链路上联至核心交换机。同时双核心之间万兆链路互联,实现虚拟化冗余备份,逻辑上将两台核心虚拟为一台,进而提高网络的高可靠和高稳定性,两台核心交换机之间万兆链路互联,实现虚拟化堆叠。
网络带宽规划为接入层全部采用千兆交换机,以六类双绞线千兆到桌面。满足医院更新后的HIS、PACS等运行。
医院后期业务系统的上线,内部服务器区域网络设备要求极高的链路带宽、可靠性。数据中心链路设计全部采用支持下一代数据中心特性的网络设备。两台支持下一代数据中心特性的机房汇聚交换机采用万兆双链路上联至双核心交换机,实现万兆平台数据转发。
医院内网通过综合网关出入,经防火墙与医保网络、区域卫生平台、其它网络进行互联,实现与外部的数据交换以及安全过滤和安全保护;能够实现上网行为管理功能,对医院医护人员的上网行为进行管理审计;能够实现VPN功能,满足移动办公时内网资源的访问需求。
中心机房配备2台核心交换机,双机热备,各楼层布8芯光纤各一条(内网、外网、视频共用)到各楼层弱电井光模交换机;从核心交换机连接接入交换机;从核心交换机布光纤到旧楼,将原有系统并入网络,远程门诊通过移动公司的专线接入网络。
3.2 外网建设
医院在外网网络结构的设置上采用核心-接入的三层网络架构,接入层采用千兆光纤上联至核心交换机。配置一台核心交换机、一台路由器、一台安全网关、二台接入交换机,如果接入交换机不够部分利用现有网络部分交换机,接入层全部采用全千兆交换机,以六类双绞线千兆到桌面。
3.3 监控系统网络建设
医院在网络结构的设置上采用核心接入的二层网络架构,接入层采用千兆光纤上联至核心交换机。核心交换机采用支持万兆扩展的千兆光交换机进行数据转发。接入层全部采用全千兆交换机,以六类双绞线千兆连接监控摄像头。
各楼层摄像头机位相对不多,从摄像头前端通过计算机双绞线集中到相对楼层,再从此汇集的交换机通过光纤集中到中心机房的监控核心交换机上。机房的核心交换机通过光纤与监控中心的核心交换机相连,在监控中心进行存储和前端电视墙进行显示。
无线架构因耗资过大,现目前只作预留双绞线及测试AP一个,这里就不谈及无线架构。
至此,总体网络架构成功实现并投入使用。2年多来,运行良好。具体情况如下:
①内网已实现千兆到桌面,PASC图像因上传下载量大,只有保证千兆桌面万兆主干才能正常开展工作。②目前接入信息系统工作站点500多个,属中等规模,满足现有信息系统需求,也为后期扩展留有带宽空间。③智能化的网络设备通过各种远程控制软件对中心机房及网络设备实现远程调控,提高工作效率,节约人力。④监控系统因点位不算很多,数据量主要为上传量大,下行量少,对网络未形成压力,运行正常。⑤排队叫号系统、LED大屏、监控系统等前期网络架构在保证医院工作有序安全开展中起到非常大的作用。⑥随着网络的正常运行,对服务器要求反而越来越高,服务器面临需求全面升级。
4 结论
综上实例,实现三级医院管理网络架构,千兆桌面万兆主干、使用高智能化网络设备已成现代网络架构必须,实现医院工作安全有序前期必须考虑LED大屏、叫号系统、网络化监控系统等网络规划,楼宇异地容灾也应该考虑其中。近年无线网络的大力推行也让前期无线规划能在后期得以扩展。前期网络架构周全考虑才能满足三级医院智能管理需求,保证医院未来十年可持续发展。
参考文献:
[1]宋磊.医院信息化建设中的网络架构规划与设计[J].医学信息学杂志,2014(11).
关键词:三层交换,汇聚技术,数据冗余
随着通信业的发展以及国民经济信息化的推进,三层交换机在比较大型的局域网中应用越来越广泛。三层交换技术实质就是二层交换技术+三层转发技术,传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。应用第三层交换技术即可实现网络路由的功能,又可以根据不同的网络状况做到最优的网络性能。
我们所说的三层交换机就是核心核心层交换机、汇聚层交换机、接入层交换机。同样作为交换机,核心层,汇聚层,接入层这三层交换机在网络中扮演的角色是不一样的。
网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供优化,可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,性能和吞吐量。接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机,它直接与外网联系,使用也最广泛。汇聚层交换机和核心层交换机的作用与接入交换机不同,在网络体系中,汇聚交换机它们承担了网关和三层路由转发功能的重担。
在我校网络建设初期,采用二层交换技术的网络架构,如图
从图中我们可以看到,核心交换机采用二层交换技术,在原先只有100多台工作站的情况下,网络性能较理想。后来随着学校规模的加大,网络规模也在不断扩大,工作站增加到500多台时,网络性能明显下降,在高峰期网络整体速度缓慢,用网管软件分析,发现网络中广播包所占比例很大。另外,对于这种网络,很容易发生诸如网卡故障等原因引起的网络广播风暴,而且一旦发生广播风暴,很难查找故障点,网络维护工作量很大。
在学校领导的支持下,我们进行了网络改造和设备升级,建立了三层交换机技术的网络架构。如图
从图中我们可以看到,在整个校园网中,形成了一个三层交换的网络:接入层,汇聚层和核心层。是以s8505做核心交换机,三台s6502做汇聚交换机,(底层)下面是三层交换机做楼宇接入,最下面是的二层交换机用来做楼层或单元的接入,这样搭建的三层交换体系能够最大限度的充分利用交换机的背板带宽,以及应对突发性网络节点故障,通过各个Vlan的划分,较好的解决网络中的可管理性。
接入层是直接面向用户连接或访问网络的部分,也是我们最常见到的交换机,一般用在办公室,在网口不够的情况下接入多台计算机。在这张图中,就是我们各个计算机终端。。。
在汇聚层,考虑到我校的实际情况,在整个学校得局域网内部,以楼层或者单元为单位,分成三个基于MAC地址的VLAN:信息大楼(包含机房)、办公教学区、教工宿舍区,通过各自的汇聚交换机对VLAN进行划分,汇聚交换机处理来自接入层设备的所有通信量,然后通过光纤接入核心交换机,并提供到核心层的上行链路,这样将本地数据交换机流量在本地的汇聚交换机上交换,减少核心层的工作负担。在实际工作中,各个VLAN之间相互独立,杜绝了广播信息的不安全性。
核心相当于一个出口或总汇总,主要目的在于通过高速转发通信,提供可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,性能和吞吐量。
对比原有的网络,我们会发现,通过交换机汇聚,我们技术改造后的网络有了更大的优势,变现在
1 大幅度提高了网络速度。
通过将多个低带宽端口捆绑成一条高带宽链路,带宽相当于组内的端口的带宽总和,增加了网络带宽;同时增加了数据冗余,只要组内不是所有的端口都down掉,两个交换机之间仍然可以继续通信,实现链路负载平衡,可以在组内的端口上配置,使流量可以在这些端口上自动进行负载均衡,避免链路出现拥塞现象,也防止单条链路转发速率过低而出现丢包的现象。
2 灵活的管理。
划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境没有任何改变。3 增加了网络的安全性
通过VLAN的划分,不同VLAN的数据不能自由交流,需要接受第三层的检验,提高了网络安全性,在一定程度上加强了虚网间的隔离,使学校办公区和家属区互不干涉。
三层交换机也具有访问列表的功能,可以实现不同VLAN间的单向或双向通讯。可以通过列表中进行设置,限制用户访问特定的IP地址,这样学校就可以禁止学生访问不健康的站点。。
访问列表不仅可以用于禁止内部用户访问某些站点,也可以用于防止校园网、城域教育网外部的非法用户访问校园网、城域教育网内部的网络资源,从而提高网络的安全。
4可扩充性
三层交换机设置在连接多个子网时,子网只是与第三层交换模块建立逻辑连接,不像传统外接路由器那样需要增加端口,并且也能够满足学校3~5年网络应用快速增长的需要。
经过网络改造和设备升级,通过建立VLAN,使用汇聚交换机技术,实现了“ 一次路由,多次交换”,更大限度的利用了网络资源,实现了负载平衡,减少了网络广播信息,从而提高了网络运行速度,同时为我校以后的长且网络建设预留了端口。
参考文献:二层交换机在园区网中的应用 黄津津 福建电脑, Fujian Computer, 编辑部邮箱 2006年 11期
关键词:校园网;IPv6;实施方案
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013) 30-6735-02
IPv6 [1]是一种新的IP协议,它的主要作用是替代现有的IPv4协议。IPv6与IPv4不同之处在于,前者 除了弥补了后者不足的同时,还增加了很多新的特性。这些特性包括:简洁灵活的基本和扩展报头、层次分明的地址结构、特殊的网络配置方式、高效的路由寻址能力和服务质量、加密机制和网络层的认证,等等[2] [3]。
针对IPv6的发展趋势以及校园网络现状,提出了校园网IPv6综合网络分析方案,其目的是利用现有IPv4网络设备和平台以及所必需的自行构建的系统,设计一个具有一定讨论、参考价值的针对校园网环境的IPv4/v6综合网络方案,并基于目前国内较少采用的Solaris+quagga平台加以实现。依托此综合网络,研究、分析IPv4/IPv6网络共存和互操作技术,为迎接下一代校园网的到来提供借鉴和技术准备。
1 综合网络方案设计与分析
1.1 校园网网络现状
校园网建于1997年,并通过IPv4接入CERNET。在教育网拓扑结构中处于末端,申请到的IPv4地址为202.194.48.XXX~202.194.63.XXX,共16个c类地址。网络以三层交换机Cisco6509为核心,下连多台三层交换机作为汇聚层设备,各三层交换机之间采用静态路由。校园网用户通过本楼二层交换机,分别接入核心交换机或汇聚层交换机,最终通过核心交换机6509接入CERNET。目前的校园网仅覆盖学校的教学区,规模有限。今后几年校园网规模将有较大发展,将覆盖学生宿舍区、家属区以及一些新建设的教学科研楼宇,预期信息节点数目将超过10000个。
1.2设计思路
本文的主要设计思路是对于已有的网络部署IPv4/v6,要求是不能对现有的网络造成影响,能保证其正常运行。现在已经有具备的网络设备包括:6509核心路由交换机和3550三层交换机。因为在购买的时候不能支持IPv6协议的执行,因此需要对其进行软件和硬件的升级。但是这样做的问题很多,并且不一定能够保证现有IPv4网络的稳定运行,尤其是在已有网络中,6509是唯一的核心路由,它本身的负载很繁重。如果强行对其升级,那么极有可能导致整个网络瘫痪。因此我们在进行设计的时候,借助于IPv6协议栈的设备。另外受到成本因素等其他方面的考虑,设计时选用软件路由支持IPv6。未来的计划包括,新加入校园网部分,能够保证直接升级选择支持双栈的三层设备,同时还能够保证支持IPv4和IPv6的多种应用。另外,为了方便研究IPv4和IPv6互操作技术,需要建立一个只支持IPv6的小型试验网络,从而保证新建的IPv6网内部之间可以通过二层交换机 [4]。
1.3综合网络拓扑结构设计
根据设计思路,结合XX大学校园网现状,该文设计了如图1的IPv4/v6综合网络拓扑结构,简要介绍如下:
本文的设计方案能够保持原有的IPv4设备和网络拓扑结构不变,从而使得原来的IPv4网络能够正常运行。该文设计的新网络可以支持IPv4/v6双栈协议的三层交换机,而且内网中的用户能够在纯IPv4、纯IPv6和IPv4/v6双栈主机之间灵活的更换。
IPv4/v6是一种基于Solaris平台的软件路由器,从某种程度上说,它可以称为综合网络中的核心设备。它不仅承担了所有IPv6子网之间的路由的功能,还承担了向上链接的重任。
总而言之,实现IPv6主机与IPv4主机的互操作是综合网络的一个关键部分,在设计时通常需要考虑到NAT-PT的设计,因为它很容易成为网络性能瓶颈。为了避免这个问题,该文设计如下:如果没有升级为IPv4/v6双栈主机,一般的IPv6纯IPv4主机是不能访问IPv6的资源。如果主机进行了升级,可以通过NAT-PT设备访问IPv4主机。在本文之前的元网络是没有直接的IPv6链路的,因此为了让它们接入IPv4/v6软件路由器,必须向他们提供ISATAP隧道接入服务和隧道服务。
2 关键技术的分析与实现
IPv6的地址结构相对IPv4更为复杂,这主要是因为对IPv6地址进行有效规划是IPv4/v6综合网络建设中急需解决的一个关键问题[5]。校园网规模扩张速度很快,为了能够保证其正常运行,就必须要对网络进行升级。因此,保证地址分配的层次性与可扩展性是IPv6地址规划的重要原则 [6]。
本单位通过CERNIC(中国教育科研网网络信息中心)申请到的地址块为2001:250:5809/48,前缀是48位,因此在地址规划时,只需要考虑剩余的16位子网标识符(SLA ID)部分即可。地址规划需要满足层次性与扩展性原则,该文实现的地址规划方案如表1所示。
3 结束语
本文深入研究了IPv6的技术理论和工作机制,并与IPv4进行对比分析;对IPv4/v6共存和互操作技术进行分析研究;以此为理论基础,就下一代IPv4/v6综合网络校园网的实施策略、部署模式进行了探讨;设计了一套符合本单位实际情况的IPv4/v6综合网络方案;最后针对方案中涉及到的几点综合网络关键技术进行了详细分析,并基于Solaris操作系统平台和quagga软路由平台,在本单位IPv4/v6综合网络的建设中加以实现。
参考文献:
[1] [美]戴维斯(Davies,J).理解IPv6[M].北京:电子工业出版社,2004.
[2] 周逊. IPv6—下一代互连网的核心[M].北京:电子工业出版社,2003.
[3] [美]Pete Loshin. IPv6详解[M].北京:机械工业出版社,2000.
[4] 王海燕,任儆,徐建东.校园网接入CERNET2的技术实现[J].中国电化教育,2005,17(5):96-99.
关键词:网络通信内容;干扰性;影响;过滤
中图分类号:TP39 文献标识码:A
在普及互联网的过程中,无论从法律上还是从技术上对网络内容的监管都存在非常大的管理空白,这样缺少监管的结果,导致垃圾性的信息和大量干扰性在网络上传播,比如像飘浮对象、Flash、弹出窗口等形式的页面Web广告,后台自动下载的恶意程序和病毒等有害的脚本嵌入在Web的页面中(流氓软件),以及各种病毒邮件与垃圾邮件等。这些干扰性的垃圾信息不但给网络通信的质量带来明显的负面影响,同时给上网的人们也造成了不良上网体验。当这些负面影响大到一定程度后,既导致网络资源投入的极大浪费,同时影响到网络的通信效率。通过对网络内容的过滤系统能够有效地过滤上文述的干扰性垃圾信息,从而降低网络流量的需求,使网络运行速度大幅度的提升,同时由于有害代码和针对病毒的过滤也在内容过滤的范畴之内,因此内容过滤还能够在一定程度上增强网络的安全性。研究和分析内容过滤对网络通信效率各方面的综合影响,对促进生产效率的提高、改善网络用户的上网体验、提高网络运行效率、部署网络安全、指导网络建设等,都有着非常重要的意义。
一、搭建数据采集平台。
数据采集平台的搭建需要对特定的对象进行考察,采集网络中一定时间段与一定数量以及多种协议和应用中的垃圾性和干扰性数据,才能对网络通信中干扰性信息对其负面影响结果进行分析统计。网络环境的选择:为了确保真实性的采集环境,以达到能够真实性的反映网络垃圾信息和干扰性信息对网络通信的实际影响,例:选择一个用户无明显应用行业特征、数量大概为400台机器的小区网络环境。
1采集数据方法:使用网关(某型综合内容过滤),该网关对各种级别的规则设置都能支持,同时记录与生成非常详细的过程。将网关设备设置成透明模式后接入到采集数据的小区网络的交换机上,用户桌面、交换机均都不能进行任何的额外设置。以这样的方式接入能够确保所有发送、接收网站的网络流量均为100%从网关经过内容过滤系统处理,从而不会出现其他干扰或者旁路。
2采集数据时间:为保证网络协议类型量和访问数有足够多的类型与数量,从而达到需要满足分析统计的准确度,将采集数据总体时间确定为一个月,当中,第一周的前3天(约半周)不额外的设置过波规则,而只使设备停留在最原始保守状态,来观察在未采取过滤手段情况下的响应规则频度,第四天到第二周结束的这段时间内启用最严格的过滤规则,以便考察峰值响应信息的规则,第三周和第四周则启用比较折衷的过滤规则,用二周的连续时间来考察过波规则响应的均匀度。
二、抽样统计web浏览时间
对用户端上网效果的考察。在单位时段相同之内,通过浏览器用户在访问若干相同网页并计时,以从枪入地址后回车到页面状态栏显示“完成”为打开时间,均以相同方法对每个考察对象在浏览器缓存清空的情况下访问5次,取其平均值通过取值曲线可以非常明显的看出,内容过滤是否已进行,对于打开网站的速度的影响极为明显,内容过滤启动时,打开时间平均为2.944,而内容过滤不启用时,打开时间平均为4.455,两者相差1.516。这就说明,内容过滤启用后,打开浏览网页的时间比内容过滤不启用节省113的时间,这样的效率节约已经非常可观。如果内容过滤设备按照记录的HTTP总体扫描请求次数2976583次计算,每次可节省1,5s,则再一个月内该小区的所有用户可以减少的等待时间总计为1240h当然这样得出的只是理论值,实际还要结合特殊情况。
1内容过滤延迟
内容过滤系统自身对网络的通信肯也定存在一定的负面作用,典型的由于应用层过滤的需要,内容过滤系统需要将收到的数据包进行重组后再进行规则匹配,然后再返回某种结果给用户。独立系统的延迟相对容易考察,但针对一定规模的园区网络环境下内容过滤系统对网络的延迟影响是不太容易考察的。不过,综合前面几类数据,可以分析得出内容过滤系统对网络通信延迟的影响情况。
2对于POP3或者SMP应用,由于电子邮件本身并不强调很高的实时性,因此收发电子邮件时内容过涟系统对其进行几秒甚至几十秒钟的扫描,是不会让邮件收发双方感觉到时间的延迟的。
3对于HTTP类型的应用,比如Web浏览等,由于不管是否启用内容过滤系统到测试中,一个典型门户网站首页的打开也在数秒钟内浮动变化,而且启用内容过波后,打开网页的速度节省明显达1/3的时间。这说明低数据量、高频度的HTTP应用中,内容过滤系统导致的延迟能够被因过滤干扰性垃圾信息后节省的时间所抵消,并且进行内容过滤后节省的时间要大于延迟的时间。
结语
综上文所述,通过对一个小区的典型网络通信效率与网络内容过滤的关系来考察分析,得出了当前的网络环境中影响网络安全与通信效率的主要因素是来源于HTTP类型的主流应用,内容过滤在应用层中是起着提高网络通信效率、解决这些负面因素影响的作用,实际应用中的内容过滤,过滤规则的制定直接影响着过滤的效果。研究的结果充分证明了在网络的运行保障以及安全的相关部署中,应用层的控制管理是不能忽视的,内容过滤设备的正确合理部署能够明显提升网络利用率、改善网络用户的使用体验、增强其安全性。
参考文献
[1]焦黎冰,封化民,何文才,李雪龙.一种改进的基于Web的新闻视频内容语义分析方法[J]. 江西师范大学学报(自然科学版),2008(02).
[2]赵宇,池畅,孙妍.互联网各类攻击源的特征与防范方法[A].2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C].2010(05).
[3]张亚魁,魏臻,刘征宇.轻量级嵌入式TCP/IP协议栈的设计与实现[A].全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(下册)[C].2009(09).
关键词:校园网 网络规划 DHCP VLAN
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)09-0024-02
1 引言
IP地址管理是校园网管理中的一个重要内容,管理员要经常受到IP地址分配、地址查询、地址盗用等一系列问题的困扰,所以在校园网建设之初对整个网络进行合理的地址规划,并同时建立一套快捷、高效、简便的管理体制就显得非常必要。我校在新校区校园网建设中根据学校教学、办公等需求,结合目前设备条件,利用DHCP与VLAN技术结合的方法进行网络规划,为日后进行有效地址管理奠定了基础。
2 DHCP与VLAN概述
2.1 DHCP概述
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个简化主机IP地址分配管理的TCP/IP标准协议。它基于C/S工作模式,提供了一种动态指定IP地址和配置参数的机制。可以利用DHCP服务器来管理动态的IP地址分配及其相关的环境配置工作,目前二层以上交换机也可以提供DHCP服务。
DHCP工作原理:当DHCP客户端计算机启动后,会通过网卡向整个子网发出一个广播数据包,询问是否有一个DHCP服务器存在,如果有,就会向该服务器发出请求,要求租用一个可用的IP地址。当网络中的DHCP服务器收到该请求后,就会根据IP地址池中现有地址的情况,采取一定的方式出租一个IP地址给客户计算机,同时将相关信息一起分发给DHCP客户计算机。在实际应用中,需要给DHCP服务器配置一个地址池,让DHCP根据客户请求分配IP地址及参数(子网掩码、网关、DNS服务器地址等)。
DHCP服务器工作的整个过程可以分为以下几个步骤:
(1)客户端发出数据包请求DHCP服务器回应;
(2)DHCP听到广播;
(3)DHCP服务器分配IP地址及相关数据给客户端;
(4)客户端收到后利用这个IP地址连接网络,直至租约到期。
2.2 VLAN技术概述
虚拟局域网(VLAN,Virtual Local Area Network)是在整个网络中通过网络交换设备建立的虚拟工作组,在LAN配置中提供传统上由路由器提供的网络分段服务。它使数据的传送不受网络的物理结构限制,真正实现了网络用户与它们的物理位置无关。
VLAN的划分有四种方式:(1)根据端口划分;(2)根据MAC地址划分;(3)根据网络层划分;(4)根据IP组播划分。不同的划分方法各有优缺点,要根据具体的应用选择相应的实施方案。VLAN技术把传统的广播域按需分割成各个独立的子广播域,能隔离广播风暴,提高有效带宽的使用。它还能确保网络安全和强化网络答理,充分体现了现代网络技术的重要特征:高速、灵活、管理简便和易扩展平台。VLAN之间的通信需要路由,VLAN间路由是通过路由器或具有路由功能的交换机来实现的。
3 学校网络环境现状及需求分析
我校新校区网络规模不大,涉及到网络中心、教学楼、图书馆、机房等场所,拓扑结构如(图1)所示。学校拥有8个C类IP地址段(以192.168.2.X~192.168.9.X为例),其中192.168.3.X、192.168.4.X和192.168.8.X已经分配给老校区的办公区和家属区,重新修改工作量比较大,因此考虑老校区地址不变,将其余的5个C类IP地址段在新校区统一规划。
学校在新校区网络建设中采购了相应的网络设备。如用千兆防火墙作为出口网关、高性能的三层交换机DCRS-7604作为核心、背板带宽及转发率比较高的三层交换机DCRS-5950作为机房的汇聚交换机、各个楼宇的接入交换机均选用DCS-3950二层交换机。
4 利用DHCP与VLAN技术进行网络规划的思路
根据我校的教学、行政和财务等方面的实际情况以及所采购设备的性能指标,并结合校园网建设的实践和经验,提出以下基于DHCP和V LAN技术进行网络规划的实施策略:
4.1 以具有路由功能的核心交换机作为DHCP服务器
核心交换机DCRS-7604是具有路由功能的三层交换机,内置DHCP Server,可以根据地址规划情况,在核心交换机上划分若干个VLAN,同时设置若干个地址池,分别对应各个VLAN,提供DHCP服务。
4.2 核心交换机基于端口划分VLAN
由于我校新校区各个机构地理位置相对比较集中,VLAN划分工作也相对比较简单,大体上根据教学区、办公区、学生区域、机房等几个区域划分VLAN。每个区域对应核心交换机上的一个或多个端口,所以宏观上看主要是以接入楼宇划分VLAN为主,体现在核心交换机上,主要是基于端口进行划分VLAN。
4.3 各楼宇内以交换机端口划分VLAN为主
部分楼宇内部涉及到多个单位,要使大量数据的传输集中在某个VLAN内部,而使VLAN与外界的通信数据流量尽量减少,这对校园网络设备的利用、管理和资源的利用是有利的。因此需要在接入交换机上根据不同单位所上联端口分别划入不同VLAN,这样,各单位内部业务仅在本单位VLAN内进行,不会占用大量公共网络资源。
4.4 根据需要,灵活配置VLAN
根据校园网络运行实际需要,可以灵活地增加、删除、修改、临时关闭VLAN和网关,设置VLAN的访问权限,以保证各项应用的高效率稳定运行。
5 DHCP与VLAN技术在校园网规划中的实施及应用
5.1 整体规划
首先根据学校整体IP地址拥有量、各单位地址需求等情况,并综合考虑老校区网络现状,对IP地址进行整体规划(表1)。
5.2 在核心交换机上实施
因为核心交换机既要作为各个区域的交换核心、路由核心,同时还要作为DHCP SERVER,为各个VLAN提供DHCP服务,所以这些工作都要在核心交换机上实施。
(1)启动DHCP服务,建立地址池:
service dhcp
ip dhcp pool 11
network-address 192.168.2.64 255.255.255.192
default-router 192.168.2.65
dns-server 202.102.224.68 202.102.22768
……
(2)划分VLAN
vlan 10
name WangLuoZhongXin
vlan 11
name 1-4CengBanGong
……
(3)为各个VLAN指定地址
interface Vlan11
ip address 192.168.2.65 255.255.255.192
……
5.3 在接入交换机上实施
接入交换机上主要基于端口进行VLAN划分。有些楼宇内仅有一个单位,只需将该交换机所有端口加入事先规划好的VLAN即可,有些楼宇内涉及到多个单位工作,需要根据规划将相关端口划入不同VLAN。
实施方法:
vlan 11
name 1-4CengBanGong
switchport access interface Ethernet0/0/1-0/0/24
……
6 结语
DHCP和VLAN技术的综合运用为校园网的建设提供了高度的灵活性和可靠的网络安全管理,显示出独特的优点。利用DHCP和VLAN技术,根据不同需要实施不同的策略,统筹规划,可以建设一个稳定性好、可管理性强、安全性高的大型校园网络。因此,本文提出的以DHCP和VLAN技术为基础的校园网的VLAN构建和配置策略,为组建快速、高效、安全的综合性校园网提供了一套可行的解决方案。
参考文献
[1]尹敬齐.局域网组建与管理[M].北京:机械工业出版社,2007:89-92.
[2]IETF.Dynamic Host Configuration Protocol(EB) RFC2131,1997.
[3]W.Richard Stevens.TCP/IP详解(卷1)协议[M].北京:机械工业出版社,2004.
[4]王建玉.实用组网技术教程与实训[M].北京:清华大学出版社,2005:100-105.
[5]黄世权.T rank和V LAN技术在大型校园网中的综合运用[J].安徽大学学报(自然科学版),2006(3):30-32.
[6]顾晓燕.VLAN技术及在校园网中的实现[J].开发应用,2006(8):71-73.
[7]钱爱增.VLAN技术实验教学设计[J].中国教育信息化,2009(15):75-78.
[8]胡同花.VLAN技术在校园网的应用[J].湖南科技学院学报,2009(12):72-73.
[9]杨永斌.VLAN技术在校园网建设中的应[J].计算机科学,2004(12):41-43.
[10]宋洪娟.VLAN与STP在园区网组建中的融合应用[J].电脑知识与技术,2009(11):96-97.
[11]汪双顶,韩立凡.中小型网络构建与管理[M].北京:高等教育出版社,2006-12.