1. 方案相关内容
精品网络构筑成功企业
H3C全业务、高安全、高可靠、可管理的钢铁企业网络解决方案
前言
钢铁企业信息化,是指将信息网络技术、计算机、Internet以及电子商务运用到钢铁企业的市场调研、产品研发、技术改造、质量控制、供应链、资金周转、成品物流等全过程,从而实现信息化。钢铁企业信息化的目的是为了提高企业运作效率、降低成本、进一步提升企业竞争力。
钢铁企业信息化,包括三个层次:网络平台、业务平台和企业应用系统。企业应用系统如ERP(企业资源计划)、CRM(客户关系管理)、SCM(供应链管理)等,无不是构建在网络平台之上,所以钢铁企业信息化,首先是网络建设。H3C钢铁企业网络平台解决方案能满足钢铁企业对实现数据、话音、视频、电子商务等多种业务的需求。
钢铁企业网络全业务传送模型
业务融合是网络一体化发展的基本要求,H3C钢铁企业网络解决方案体系结构在基础平台、业务管理、增值业务三个层面提供系统解决方案,构建端到端的可管理、全线速、全业务的钢铁企业网络平台,全面支持Qos、安全、内容分布、MPLS VPN等业务特性及解决方案,通过RPR、集群、堆叠、HGMP、Qos、可控组播、安全技术,提供优良的可管理特性,充分满足语音、数据、视频业务的综合传送。
1. 钢铁企业信息化需求分析
实现信息化是钢铁企业发展的必然要求,特别是由于市场经济的深入及电子商务的发展,钢铁企业的信息化处理更明显地从单一的部门级应用向企业级应用发展,应用深度与广度不断扩展,钢铁企业信息化对硬件系统、软件系统、通信技术会持续不断提出新的需求。
越来越多的钢铁企业已经意识到:改造传统钢铁企业的必由之路是信息化制造(e-Manufacturing),即通过先进的管理软件和网络通信技术,帮助企业走上信息化的大道。
2. H3C钢铁企业信息化网络解决方案
2.1 拓扑结构设计
H3C钢铁企业信息化网络解决方案拓朴图如下:
基于网络向未来演进的趋势、宽带网络的投资效益等多种因素,结合钢铁企业的网络现状,H3C公司提出了如下解决方案。
核心层:在核心层节点采用H3C Quidway NetEngine 80/40(以下简称NE80/40)核心路由器,核心路由器之间采用RPR 技术,利用两根光纤构成两个2.5G的 RPR环,提供了核心节点间连接的高可靠性,既满足了钢铁企业网络高带宽、高可靠性的要求,又由于RPR对光纤资源的高利用率,极大节省了运营成本。
汇聚层:在汇聚层节点采用路由交换机Quidway S8016/6506/5516通过GE TRUNK(GE捆绑)的方式上行与相应核心路由器互连,同时采用GE线路实现对相应接入层交换机的千兆接入。
接入层:在接入层节点采用H3C系列接入以太网交换机Quidway S3000,实现接入节点到相应汇聚节点的千兆接入。
2.2 各层次节点设计
核心节点设计
核心节点的网络设备需要高速运送整个钢铁企业的流量,设备承载的压力较大。因此核心节点的建设,通常必须遵循以下几个原则:
1、必须具备高可靠性及高冗余性;
2、必须能够提供故障隔离功能;
3、必须具有迅速升级能力;
4、必须具有较少的时延和好的可管理性。
作为钢铁企业网络的最高级节点,负责各种业务数据流量的转发,是整个城域网最核心部分,它的性能、可靠性将极大地影响整个网络的运行情况。H3C Quidway? NetEngine80/40(以下简称NE80/40)高速核心路由器,完全满足核心节点高可靠性、高稳定性及高性能等方面的需求。
NE80/40基于第五代路由器的设计思想,采用了NP(网络处理器)的分布式硬件转发技术,极大的满足了当前数据、语音、图像综合承载的需求,并大大增强了网络对QOS、组播、MPLS VPN的支持能力。
采用网络处理器技术的第五代路由器与基于ASIC的分布式硬件转发的第四代路由器相比具有巨大的优势。第一,采用网络处理器技术实现IP报文处理和转发,可以在保证高速数据转发的同时进行复杂的协议处理,从而实现丰富的业务;第二,采用网络处理器,可以通过升级软件增加新的业务功能,从而可以快速响应用户的业务需求,适应网络的发展;第三,具有强大的VPN、流分类、QOS、MPLS的业务支持能力,提供完善的QOS机制,满足用户的不同需求;第四,第五代路由器的出现,极大的满足了当前数据、语音、图像综合承载的需求,并提供MPLS VPN的支持能力。由于第五代路由器在业务特性上所具有的强大优势,所以已成为当前建设宽带骨干网络、汇聚网络的首选。
整网解决方案中,核心节点直接通过2.5G的RPR口进行光纤直连组成环网,环网带宽达2.5G,可靠的实现了由RPR传输技术直接架构在光纤上建设IP环;并且骨干节点的NE80/40分别通过GE接口与骨干汇聚层的POP网络设备或其它的网络进行连接,实现不同业务功能及个性化业务的提供。
H3CRPR技术采用双环逆向拓朴结构,外环和内环同时可传送数据和控制信息,采用完全分布式的访问控制方法。实现电信级故障自动保护倒换IPS功能,业务倒换时间小于50ms。可完成自动拓朴收集,能自动选择业务最优路径。应用简单,基本无需配置,结合拓朴自动发现和IPS特性,环支持节点动态加入和删除,业务不受影响,真正的节点热插拔。单播流的目的地址剥离,被目的点接收后,无需回到源地址,直接被剥离。采用空间复用技术,极大地提高了环带宽的利用度。利用RPR-Fa公平算法,网络带宽动态调整,无需静态配置节点间带宽,能实现带宽全局公平和局部最优利用。实现流量等级保证QOS,支持带宽预留的业务。继承传统Ethernet概念,支持所有Ethernet上层协议和业务。作到物理层无关,能支持Ethernet、DWDM和SONET/SDH。带宽很容易平滑扩展,155M-10G,甚至40G。支持环网级别的设备互通性。比如ATM、路由器、TDM设备用同一个RPR环网连接,共享环网物理链路和环网带宽。且具有完善的操作和维护平台,可运营可管理的能力。
建成后的核心层主要负责核心业务处理、跨区域业务量疏通、及与其它网络互联互通。同时、作为P设备,配合汇聚层PE设备,完成MPLS VPN业务的部署。
汇聚节点设计
汇聚节点采用H3C公司QUIDWAY S8016/6506/5516路由交换机,与核心节点之间采用GE TRUNK的方式相连,两条GE链路之间可以实现负载分担,极大的提高了整个网络的可靠性。
Quidway S8016是H3C公司线速交换网络产品的代表,属千兆交换路由产品,S8016最大可支持64个GE端口,提供全线速的2/3/4层交换及内容交换功能。S8016产品可以被设计作为网络的核心交换、业务控制和冗余控制平台,S8016提供电信级冗余可靠特性,所有关键单元均支持热备份或者多对一负载分担备份,可以构筑理想的核心交换平台。同时,S8000系列支持全光口模块,可以方便的实施远程千兆汇聚。Quidway S6506以太网交换机是H3C公司自主开发的一款大容量、高密度、基于分布式处理采用模块化设计的二/三层线速以太网交换产品,Quidway S6506三层以太网交换机是采用当今最先进的ASIC技术,产品集成度高,是一款全模块化,支持全线速转发(48Mpps)的2/3层以太网交换机,系统交换容量达64Gbit/s。Quidway S5516可以提供16(4*4GE)个千兆接入,同时可捆绑千兆上行,属于三层交换机,可以实现2/3/4层线速转发,三层互通,同时支持线速的多层策略过滤,用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等应用。
接入节点设计
接入层可以选用H3C公司QUIDWAY S3000/2000系列全线速以太网交换机,为钢铁企业用户提供100M到桌面,1000M上行的解决方案。
H3C公司的Quidway S3000E系列以太网交换机支持FQ、CQ、WFQ策略和CAR等QOS功能,可以实现对用户的带宽和流量进行控制,从而保证数据传输的实时、准确,而且可以减轻上层节点的压力,与核心、汇聚节点一起提供端到端的QOS保障。
3. 网络安全设计
3.1 网络设备安全性考虑
钢铁企业信息网络承担着全部数据的承载功能,所选用的设备必须具有极高的设备安全性,H3C公司系列网络设备对网络安全性的考虑主要体现在以下方面:
-
配置安全:对登录用户进行认证,不同级别用户有不同的配置权限;提供两种用户认证方式:本地验证、Radius验证。
-
协议报文认证:支持OSPF,RIP v2的报文明文认证和MD5密文认证。支持SNMPv3的加密和认证。
-
基于用户定义的流分类策略,支持流的统计、采样功能,用户可以定义采样的频率、采样长度、采样时间。
-
端口镜像功能:可以将一个端口的流量自动复制到另一端口,以供网络管理员在判断网络问题时对端口流量进行实时分析。主要用于流量观测、网络故障诊断、数据分析等方面。
-
配置信息传送安全:支持用户使用SSH(安全Shell)登录路由器交换机并进行配置,避免了使用Telnet情况下,远程配置报文明文被第三方监控的可能性。
-
核心路由器路由交换板对网络流量过载的抵抗能力,为避免网络流量过载,如网络风暴、PING DDoS攻击、TCP DDoS攻击等对路由交换板造成影响导致业务控制发生停顿,NE80/40核心路由器实现了在线路板和路由交换板之间的流量控制功能:当路由交换板发现来自接口线路板的总流量超过某个特定阀值的时候,即启动接口线路板上的CAR队列,将送往路由交换板的流量进行限制,从而保护路由交换板在流量过载情况下正常工作。
3.2 网管系统安全措施
网管系统的安全可以分为两个层面,一个是网管系统自身的安全,另一个是网管系统对网络造成的影响。
首先谈谈网管系统自身的安全。在组网设计时,设备的业务网段与网管的管理网段进行隔离,同时做好整个系统的备份,提高系统的容错和自动恢复的机制。在备份方面,H3C公司QUIDVIEW网管系统考虑周全,提供从冷备份、温备份和热备份等各层次的备份手段,使得网管数据不丢失、业务不间断,在地域上可以进行本地备份和异地备份。
下面描述一下网管系统对网络的安全:
首先是网管系统必须提供用户权限控制能力,保证合适的人有合适的权力管理网络。网络管理中有不同的角色,有规划人员、配置人员、监控人员等,另外每个人应该只能管一定范围内的设备。H3C公司QUIDVIEW网管系统支持基于登录用户、授权设备或者单板以及终端访问IP地址的三维安全管理体系。在系统默认的情况下,预置了很多安全级别和操作角色,能够满足一般意义下的维护管理操作需要,当然用户也可以依据自己的需要定制安全级别和角色,具有非常良好的扩展性。H3C公司QUIDVIEW网管系统提供网管用户对可操作对象、可操作应用的细粒度控制。不同权限的用户只能控制相应范围内的操作对象,可操作对象的种类为子网、设备、单板、端口。操作应用支持粒度细化到所有应用和菜单。
其次是登录安全以及监控登录后用户的破坏性操作。H3C公司QUIDVIEW网管系统在这方面考虑周全,除了一般的用户口令比较外,对登录的客户端IP地址可以进行限制,甚至可以做到限制某个用户只能在某个客户端登录。客户端和服务器之间的用户登录口令等敏感信息的加密传送。操作过程均有日志记录,系统管理员可以对登录人员的操作进行实时监控。
最后一点也是非常重要的一点,就是网管管理设备的通道必须是安全的。众所周知,SNMPv1存在着安全隐患,现在H3C公司QUIDVIEW网管系统和设备之间已经采用SNMPv3进行通讯,提高了IP网管的安全性。由于SNMPv3兼容SNMPv1和SNMPv2,所以H3C公司QUIDVIEW网管系统有很好的兼容管理能力。
3.3 网络安全措施
在核心节点之间采用RPR环组网,极大的提高了网络的安全性;汇聚节点和核心节点之间采用GE TRUNK方式相连,可以实现负载分担,提高了网络的可靠性。
设备可设置三级时钟,并提供时钟优先级,当最高优先级时钟失效时,可以立即切换到低优先级时钟,当最高优先级时钟恢复后,又可以立即切换回去,通过这种自动保护既可以保障网络的安全运行,又可以简化用户的管理。
本期网络设计充分考虑了网络的长期、安全、可靠的运行。方案中建议采用比较可靠的RPR环组网技术,同时关键的网络设备、链路和网管通道都考虑了备份措施,提高了整个网络的安全性。
4. 网络管理解决方案
随着用户网络规模的不断扩大,网络设备数量的不断增加,种类的不断增加,必然增加网络管理人员的维护和管理网络的负担,同时也增加了运维的成本和开销,因此网络管理是保持钢铁企业网络高效运行的一个关键,通过H3CHGMP协议和QUIDVIEW网管软件,可以实现对全网设备进行统一的维护管理,大大减轻了维护人员的工作量,也大大减少了运维的成本和开销。
4.1 集中网管
利用H3C公司HGMP协议的集中管理特性,可以在最上层的三层交换机上设置一个管理IP地址就可以将所有的下层交换机进行集中统一的配置和管理,把需要分布安装的二层交换机以及对各设备的配置、管理、维护、升级等全面管理起来。以软件的代价替代物力资源和人力资源的投入,降低网络的综合运行维护成本,提高网络的综合管理能力;三层交换机作为二层交换机的代理,只在三层交换机上配置一个网管IP地址即可,省去了用户侧以太网交换机的网管IP地址,这样就极大的节省了IP地址。
4.2 H3CQuidview网管软件简介
Quidview(以下简称Quidview)是H3C公司自行设计开发的网管软件,是H3C公司提供的针对路由器、以太网交换机全系列产品、视频产品进行统一管理和维护的网管产品。
产品特点:
低成本、跨平台:Quidview对运行平台的硬件环境要求不高,不论是在工作站上还是在PC机上都能正常地安装运行,最大限度地节省、保护了用户的投资;支持windows9x/NT/2000、SUN Solaris、HP UNIX、IBM AIX等多种操作系统平台;可与HP OpenView、IBM NetView、SNMPc、What's up Gold、iManager N2000 V2平台(EMF)、CISCO网管集成运用的特性,保护用户的已有投资;低成本、跨平台的解决方案满足不同层次、不同规模网络用户的需要。
组件化结构:提供多种组件,图形化配置工具EasyConfig,强大的性能监测工具MRTG,强大的集群、堆叠管理等组件,组件化特性可以使用户根据需要选择不同的组件特性,可以节省用户的投资。
图形化界面:图形化的操作界面(GUI),操作简单、显示直观;全仿真、完整的设备视面板图;接口颜色的变化直观地反映设备各接口的运行状况。
配置功能强大:提供两种配置方式,命令行方式(Telnet)和图形化界面配置(面板)。
全中文操作界面:提供双语支持,可以根据用户的需要在中、英文界面之间灵活切换。
全线产品支持:支持H3C全系列路由器、以太网交换机、视频、IP语音和接入服务器产品。
5. QOS设计
“三网合一”是IP骨干网络今后发展的一个趋势,而QOS则是其中一个重要的关键技术。在钢铁企业网络运行中,将会存在不同的数据流,如话音、图象、数据报文等,这些业务对网络的服务质量有不同的要求。为体现差异性服务,更好的满足钢铁企业的需求,本次网络设计时在提供充足带宽的前提下,还需要实施端到端的QoS机制。
我们可以用丢弃率、时延、时延抖动等几个关键参数来描述一个业务的QoS,当一个网络提供某类QoS的服务时,就是在网络中的结点设备上设置该类业务的带宽、发送优先级、丢弃优先级等业务参数在承诺的范围内。
5.1 QOS设计原则
钢铁企业网络的QoS设计应符合下面的原则:
端到端的解决方案:包括钢铁企业信息网、专线和IP VPN中的解决方案,而且相互衔接;
差异性:为不同用户,不同业务提供不同的QoS保证;
可管理:灵活的带宽控制,体现QoS的计费策略;
经济性:有效利用网络资源,包括带宽、VLAN、端口等;
高可用性:设计备份路径,采用具备热备份、热插拔能力的设备,并对关键的网络节点进行冗余备份;
可扩展性:采用能够在带宽、业务种类增加时平滑扩容、升级的设备。
5.2 DiffServ模型体系结构的选择
为了在Internet上提供QoS,IETF提出了许多服务模型和协议,其中比较突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。
IntServ模型要求网络中的所有节点(包括核心节点)都记录每个经过的应用流的资源预留状态,需要通过IP包头识别出所有的用户应用流(进行MF分类),同时为每个经过的应用流设置单独的内部队列以分别进行监管(Policing)、调度(Scheduling)、整形(Shaping)等操作。对于现在大型网络中的节点,这种应用流(活动的)的数量非常庞大,会远远超出节点设备所能够处理的能力,而且可扩展性差,仅适合在小规模网络中使用。
DiffServ模型的基本原理是将网络中的流量分成多个类,每个类接受不同的处理,尤其是网络出现拥塞时不同的类会享受不同的优先处理,从而得到不同的丢弃率、时延以及时延抖动。在DiffServ的体系结构下,IETF已经定义了EF(Expedite Forwarding)、AF1-AF4(Assured Forwarding)、BE(Best Effort)等六种标准PHB(Per-hop Behavior)及业务。
DiffServ对聚合的业务类提供QoS保证,可扩展性好,便于在大规模网络中使用。在钢铁企业网络设计中推荐使用DeffServ机制实现QOS。
DiffServ域将设备分为两类,边缘设备和核心设备,其中边缘设备承担了较多的工作,如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理,开销较大,容易形成网络瓶颈,因此需要将这些功能分布到不同的设备上去,如流分类功尽量在边缘实现。在现有网络中,建议在Access Network中进行流分类,并通过VLAN、802.1p等进行标记,在POP点进行带宽限制(CAR)和拥塞避免(RED),在所有节点上基于优先级采用优先级队列调度,实现拥塞管理。
如果在整个Access Network中,通过在业务流经的所有二、三层设备上部署CAR、队列机制,这样能够基于VLAN、802.1p等信息保证每个用户,每个业务的带宽,实际上就实现了一种类似IntServ的机制,只不过这时源还是用户,而目的不是远程用户,而是POP点(干线节点及边沿节点)。在POP点和骨干网中根据/继承802.1p标记进行DiffServ处理,可以看作是IntServ同DiffServ的一种结合。这种机制为用户提供了虚拟专线,其QoS可同真正的专线相媲美。
5.3 QOS实现机制
NE80及NE40系列路由器是H3C公司开发的针对运营商网络骨干及高性能汇聚应用的第五代路由器产品,设计并实现了承载包括实时业务在内的综合业务的QoS特性,尤其对DiffServ提供了基于标准的完善支持,包括流分类、流量监管(Policing)、流量整形(Shaping)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1-AF4、BE等六组PHB及业务。并且实现了在高速接口(如2.5G)进行流分类、队列管理和队列调度时的线速处理性能。
NE80及NE40的内部处理流程如下图所示。
6. 路由协议设计
域内路由协议(IGP)在钢铁企业网络中起着连通骨干、选径和自动迂回的作用。IGP通过计算每条路径的权值来寻找最佳路径。IGP并不承载外界路由,但所有外界路由在BGP-4中都有“下一跳”(next-hop)这个属性,IGP通过对next-hop的选径来控制到外界的数据流。
在目前,可以用于大规模的网络同时又基于标准的IGP的路由协议有OSPF和IS-IS。两种路由协议均是基于链路状态计算的最短路径路由协议,采用同一种最短路径算法 (Dijkstra)。
NE80及NE40路由器对各种常用的路由协议有很好的支持,如OSPF、IS-IS路由表可达100万条以上,BGP路由容量达180万条,能保证在大路由表下的线速转发,且保证时延在微秒级。互通性方面,H3CNE80/40路由器与业界主流数据设备通过了互通测试,完全有能力完成骨干网络核心节点的高速数据转发需求。
7. IP地址规划
IP地址规划对于网络的应用效率、可维护性和可扩展性等方面都有很大影响,因此合理的IP地址分配是网络设计的重要目标之一。通常IP地址分配有要考虑的原则包括原则唯一性、连续性、可扩充性、灵活性、可管理性、安全性等。具体分配时要遵循以下原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项
连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
H3C公司全线以太网交换机支持HGMP协议,利用该协议的集中管理特性,可以在最上层的三层交换机上设置一个管理IP地址就可以将所有的下层交换机进行集中统一的配置和管理,三层交换机作为二层交换机的代理,只在三层交换机上配置一个网管IP地址即可,省去了用户侧以太网交换机的网管IP地址,这样就极大的节省了IP地址。
8. 网络可提供的业务
建成的钢铁企业信息网络是一个多元化的高速宽带网络,能够实现数据、图像、话音综合信息服务。
8.1 基本业务
局域网互连,为总部和分部分散的局域网建立多点之间的高速远程连接。
虚拟专网VPN,为总部和分部“化公为私”借助公网资源建设虚拟专网,并通过网络技术可以起到物理隔绝的效果,安全性好。
高速因特网接入,因特网用户通过信息网络接入设备连入全球的Internet网络,支持WWW、FTP、Telnet、E-mail等各项业务,可以在网上浏览、检索、发布信息。
会议电视,利用网络和数字视像技术实现异地会议声像并茂的交互传输和控制。
8.2 扩展业务
小区智能服务:为物业小区提供信息化服务。
视频点播:交互式电视的一部分,它使用户可以随意选择所需的视讯节目,并可随意地控制节目播出(如快进、快倒、暂停等)。
内部网络购物:利用信息传送网络进行商务交易,用户在家里直接通过网络选物、购物、付款。
IP电话/传真:其特征是以IP数据包格式传送分流长途业务,使用户以比较经济的方式使用长途电话和传真业务。