時間:2023-06-08 11:20:06
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇園區網絡建設,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
華為舉辦首屆POL產業論壇
華為接入網產品線總裁王正安在開場發言中表示:“隨著全光網絡在全球的蓬勃發展,園區網絡建設也邁入了全光園區時代,全光網絡將成為新時代園區通信網建設的最佳解決方案。為了更好地推動POL產業的發展,華為在西安研究所打造了AgilePOL全光園區技術方案體驗中心,在西安研究所V5辦公樓使用POL方案部署了超2000個光纖到辦公桌面,為員工提供高寬帶企業辦公網絡,可以看到POL方案和產品展示廳、傳統網絡和POL方案的機房和走線對比,給大家呈現一個可視化的真實的POL網絡體驗。最后希望和大家一起,共同把POL產業做大做強。”
POL網絡將成為未來的趨勢,如今華為在西安的研究所的員工、研發人員均在使用云終端服務器來進行日常工作。企業園區除了自身的網絡互聯互通的需求以外,其背后隱藏了更多企業自身的專有服務。華為POL解決方案的目標,是滿足企業自身的業務轉型,包括ICT的轉型,企業ICT的轉型背后的驅動力在華為接入網產品線副總裁周軍看來包括兩方面:一是體現在帶寬提速需求上,帶寬由原來的幾十兆到百兆,到千兆的提速。二是一張網絡上承載多種業務,園區包括視頻、多媒體、攝象頭等。校園有遠程教育,老師與學生的實時視頻通信。這種業務需求其實推動了、驅動了企業園區、學校所需要考慮更高的帶寬。
天津市大學軟件學院劉洋表示:“全新部署的POL網絡,與傳統網絡相比,無源的ODN器件極大地提高了施工人員的部署效率,并且降低了后期運維人員的工作量,同時實現了在一張全光網絡上進行全業務的承載,包括語音、數據、視頻業務和園區的無線覆蓋、門禁一卡通等業務。”
中國移動通信設計院高級工程師王海保表示:“當前住宅建筑已有光纖到戶的設計施工規范,那么隨著未來發展趨勢和應用需求的增長,對于企業辦公樓、寫字樓等類型建筑,將會編寫類似的規范以及標準圖集,來指導不同場景下光纖網絡建設。”
華為一直致力于PON(Passive Optical Network)技術和POL網絡部署方案的研究,在幫助企業構建最佳園區接入網絡的同時,愿與產業伙伴一起打造開放、健康的全光產業生態圈,實現合作共贏。
華為全光園區技術方案體驗中心揭幕
當日,華為的AgilePOL全光園區技術方案體驗中心正式揭幕。該體驗中心位于華為西安研究所,能夠同時展示傳統以太局域網方案和全光園區方案,通過實際的部署對比使參觀者能夠全方位體驗兩種方案的差異。來自企業、運營商、建設設計、系統集成、建筑裝修等相關領域共一百多名嘉賓見證了揭幕儀式并參觀了體驗中心。
周軍在接受《中國信息化周報》記者采訪時表示:“POL解決方案,實際上我們認為非常適合有一定規模的園區寬帶提速,包括信息化改造、ICT網絡升級、建設等場景。POL在網絡建設上對酒店和園區有一定區別,園區相當于是辦公的,更多關注的是上網語音、業務體驗更快,酒店其實更關注的是娛樂,希望用這套東西解決打電話、WiFi、電視等問題,終端是不一樣的。”
AgilePOL全光園區解決方案采用基于PON技術的POL組網方式,利用無源光纖替代傳統以太網線完成企業局域網建設,構建網絡扁平化、易部署、易管理、大帶寬多業務、面向未來平滑演進的新型全光園區網絡,讓用戶更便捷地體驗云業務。
企業園區對網絡解決方案的需求,是一種非常綜合化的需求,對于當前像POL這個園區網絡來說華為是其中的一部分。華為也可以向園區提供端到端解決方案的設備商,在當前園區網絡,現在處在一個升級換代的階段。這主要來自于企業業務的一些需求,如今中國寬帶2020,以及工業4.0的一些需求,那么傳統的寬帶網絡以及傳統的寬帶網絡的帶寬,已經不能滿足未來企業業務發展的需要。
如今華為推出來的POL解決方案,是面向未來5-10年的企業園區網絡的一個應用網絡。POL解決方案,狹義上來講,就是聚焦在園區接入層的這個網絡。
只要能建FTTH的條件下基本都會選擇PON,因此華為公司在這個時候推出POL解決方案,華為在合適的時間以及在成熟的技術下,提出來的一個解決方案,并且客戶包括企業園區,他們有實實在在的網絡改造和網絡提速要求。
如今企業園區的業務模型已發生了很大的變化,從原來只是簡單的寬帶上網、互聯互通,到如今的“云”化,業務模型變成了從上至下,從下至上的方式,對于POL網絡模型非常適合。周軍表示:“如今華為在APOLAN做了聯盟成員,我們希望和我們行業伙伴共同把POL解決方案做大做強,而且這個市場容量能夠做大。這里頭包括我們企業園區的一些,包括樓宇綜合布線的規范,光線部署規范,包括一些設備部署規范,包括規格,我們都希望和行業的標準組織,包括一些區域的標準組織來共同制定這些規范,這是我們希望能夠持續來做的。另外一個層面和我們的系統經營上,過去他們更熟悉的是傳統交換機方式的園區網,我們現在也希望跟他們一起把POL解決方案熟悉起來,面向客戶植入更好的企業園區網絡建設。”
POL解決方案在實施過程中,也會遇到不同程度的挑戰,周軍在采訪時表示了目前的三個階段挑戰。這三個階段會遇到不同挑戰。第一,在網絡規劃階段使用了PON技術,PON技術跟傳統網絡交換機有很大不同,它涉及到光功率一些數據參數規劃,這是和傳統以太網交換機完全不同。
第二,在工程部署階段、布線階段,在現場施工時,要求工作人員如何更快捷地部署POL網絡和有源設備,如果沒有好的辦法去快速解決光纖和分光器部署,包括入大樓、入辦公室等問題,是目前需要解決的問題。
第三是在網絡運維階段,在企業網絡運維部門運維人員較少的情況下,就能快速去定位網絡問題,包括末端設備故障,排障,甚至快速解決問題,這也是目前華為考慮的問題。
背景簡介
廣州科學城創新基地是廣州開發區管委會為進一步推進廣州開發區科技創新體系而建設的,基地總建筑面積達8.1萬平方米,實行智能化管理,擁有完善的配套設施。該科技創新基地是整合廣州開發區社會科技創新服務資源的重要載體;主要吸引國內外具有先進科技水平的項目進行研發、中試及產業化;是集研發、技術成果交易與產品展示等多功能為一體的綜合性科技孵化器;是歸國留學人員創業及國家863計劃、科技攻關項目成果的轉化基地,也是優秀科技企業及企業家的培訓基地,目前在國內享有很高的聲譽。
在現代化信息溝通決定著企業發展命脈的今天,科學城創新基地為了能夠吸引海內外優質企業的加盟,并為之創造便利的信息高速公路,在2004年決定全面啟動整個園區信息化建設,打造國內一流的信息化園區,為企業的信息化服務提供更加優質的服務支撐。整個園區信息點高達2200個,其中包含了文本、視頻、語音等多種數據通信需求,如何既能保證合理的投資規模,同時又保障全網用戶高速數據互聯的需求,并保證網絡面對未來的彈性擴展,成為科技城網絡決策者最關心的問題。
系統設計
在系統設計和產品選擇上,我們采用銳捷網絡公司的系列產品,來建設廣州科學城的整個園區網絡。
在網絡建設中,我們充分結合科學城網絡應用的實際情況和特點,定制了適用的個性化解決方案,拓撲圖如圖2:
采用以萬兆核心交換機RG-S6800系列為核心、安全智能交換機RG-S2100系列為接入的整個網絡體系架構。由于園區企業用戶眾多,針對辦公樓群的大范圍移動數據通信的需求,網絡架構中還采用了銳捷網絡的高速無線局域網產品RG-WSG108系列,全網形成“有線交換主干、無線輔助高速接入”的多元化架構。
RG-WSG108系列產品以802.11g技術為基礎,通過信道帶寬加速技術,成功將信道帶寬提高到108Mbps,為整個創業園區的科技成果展廳、大型會議區、開放辦公區域等場合提供了高速無線接入的手段。同時,為了便于安全管理,該系列產品除了支持傳統的WEP加密技術之外,還提供了SSID廣播禁止功能和基于802.1X認證的WPA技術,配合成熟的安全認證解決方案,為整個創業園區提供了安全、高效、大面積覆蓋的高速無線園區網。
系統優勢
該方案在基于高速骨干交換架構的同時,最大的亮點來自于遍布于全網接入層的高速無線局域網產品所產生的多種優勢。它具有以下特點:
信道帶寬完全保證用戶接入速度。方案中接入層采用的高速無線局域網系列產品RG-WSG108R以802.11g技術為基礎,通過信道帶寬加速技術,將信道帶寬提高到108Mbps,使得同一區域多種用戶的高密度無線訪問成為可能,為整個創業園區的科技成果展廳、大型會議中心、開放辦公區域等場合用戶提供了高速無線接入的手段。
多向智能天線系統實施超長覆蓋能力。RG-WSG108R產品隨機可帶有多向天線系統,同時配合增強型的射頻芯片系統,提供了出色的障礙物穿透和大面積覆蓋能力,在該項目實施中建筑樓內型號可穿透兩層單墻體仍然保持較強的通信能力,徹底解決了園區內寫字樓結構復雜,型號覆蓋難的問題;同時,RG-WSG108R產品還可以外接增強天線,對于今后的信號覆蓋提供了靈活的擴展能力。
同時,RG-WSG108R產品采用了最新的的動態頻道選擇技術,當通信信道占用較擁擠時,接入點產品可動態調整到空閑信道持續傳輸,避免信道干擾帶來的通信中斷。這對于這種大型園區網絡中,存在多種電氣干擾或多個AP的信道干擾問題,提供了很好的解決之道。
安全管理
多種安全技術避免非法用戶入侵。為了便于安全管理,RG-WSG108R產品通過支持多種安全技術,完全保障了眾多企業用戶的信息安全。
RG-WSG108R支持傳統的WEP加密技術,加密位高達128位,只有所有加密位全部吻合,用戶終端才能通過RG-WSG108R進入網絡,這對于大多數網絡攻擊即可完全屏蔽掉;
傳統的無線局域網AP產品是通過在空中明文廣播其SSID號來通知各種進入覆蓋區域的用戶終端,這對于那些可以截獲SSID的非法入侵者來說是很容易辦到的,因此,RG-WSG108R采用了最新的無線通信身份認證SSID的廣播禁止,用戶可選擇不進行SSID廣播,只有已知SSID的用戶才是合法用戶,這樣即可鎖定合法用戶,避免了傳統無線產品帶來的巨大隱患;
基于802.1X認證的WPA(無線接入保護)技術,采用整體認證的方式,同時配合銳捷網絡成熟的安全認證解決方案,可以實現每個用戶(用戶名、口令)、每臺計算機(IP地址、MAC地址等)的準確定位,可以徹底保障用戶的安全身份。基于多年在802.1X認證技術方面的成熟研究和大量客戶項目實施經驗,在這樣的大型企業實施高安全的認證網絡,不但徹底打消了用戶對安全風險的顧慮,也將用戶在此方面的投資性價比顯著提高;
多種功能保障投資規模。RG-WSG108R產品系列附加提供的網頁過濾阻斷的防火墻功能、企業級VPN功能、MAC地址過濾功能,以及全中文向導式配置界面和簡易的TFTP升級方式,都為客戶后期的實用和維護節省了大量的成本。
關鍵詞 MSTP;防火墻多出口;園區網可靠性
中圖分類號:TP393.08 文獻標識碼:B 文章編號:1671-489X(2013)09-0037-03
Reliability Design of Campus Network based on MSTP and Multiple Outlets Firewall//Li Bing
Abstract This paper analyzes the reliability from two aspects of internal and external network of campus network access, proposed a reliable design idea based on MSTP and firewall multiple outlets, discuss MSTP concepts, principles and configuration methods; advantages of firewall multiple outlets technology and the method of configuration, so as to realize the relative reliability of campus network.
Key words MSTP; firewall multiple outlets; campus network reliability
隨著網絡技術的發展和應用,網絡化、信息化成為一種必然的趨勢,很多企事業和政府部門都建立了自己的園區網。越來越多的企業的內部管理和外部業務越來越多地依賴于網絡運作,以提高工作效率,提升自身形象和社會影響力。然而,一旦網絡系統發生問題就將直接影響企業的正常運作,造成經濟損失,有損社會聲譽。因此,網絡的性能特別是網絡的可靠性就顯得尤為重要。
1 園區網可靠性分析
計算機網絡的可靠性,簡單說來就是指網絡系統在規定的時間和條件下,能夠保持正常的信息流通,維持網絡應用系統穩定的能力。計算機網絡可靠性是一個系統化和科學化的概念。園區網的可靠性從網絡范圍來說可分為內部網絡業務的可靠性和訪問外部網絡的可靠性兩個方面。
1.1 實現園區網可靠性的基本設計思路
在園區網的重要節點采用相同功能的多個設備形成相互備份保護,如果一臺設備出故障,則另一臺設備能迅速接管故障設備,使對整個網絡系統的影響降到最低;同樣在園區網的出口,采用2條及以上不同的接入鏈路(通常是不同的ISP),一條鏈路中斷后,另一條鏈路則迅速接管中斷鏈路的流量,使對外業務數據受到的影響降到最低。
1.2 提高網絡可靠性的技術手段
網絡的可靠性是以各種投入為代價而實現的,因而在實際應用中,需要在網絡建設費用與網絡可靠性之間進行權衡。從性價比的角度來說,并不是可靠性越高越好,而往往采用對網絡的關鍵設備或鏈路提供備份的辦法,保證網絡的相對可靠性。保障網絡可靠性的技術手段主要有網絡拓撲結構的優化、網絡分層設計模型、容錯與負載均衡技術、路由協議備份技術及選用高可靠性網絡產品等。下面主要探討應用鏈路負載均衡與冗余設計技術提高網絡的可靠性。
2 鏈路負載均衡技術與網絡可靠性
隨著網絡需求及網絡技術的發展,單條鏈路、單臺服務器或單臺網絡設備無法滿足用戶業務增長和對網絡可靠性的需求。負載均衡(load balance)通過一種廉價、有效、透明的方法,將特定的業務,諸如網絡服務、網絡流量等通過多臺設備或多個鏈路進行分擔,擴展網絡設備和鏈路的能力,滿足用戶業務不斷發展的需求,保證業務的高可靠性。負載均衡具有高性能、可擴展性、可管理性、用戶透明性等優點。
負載均衡技術從廣義上講有服務器負載均衡、防火墻負載均衡和鏈路負載均衡等類型,各種負載均衡技術應用于不同的場合。鏈路負載均衡指網絡設備轉發數據流量時,數據流量在滿足一定的條件下選擇不同的鏈路走向,從而達到鏈路流量分擔,消除鏈路瓶頸,實現網絡鏈路服務的可靠性。鏈路負載均衡技術在園區網的內部和網絡出口均有一定的應用價值。
3 應用MSTP技術實現園區網內部負載均衡與鏈路冗余
3.1 MSTP概述
為了實現鏈路的冗余與備份,交換機之間往往會形成物理上的環路。但是一旦存在環路就會造成報文在環路內不斷循環,造成廣播風暴,影響網絡的正常通信。802.1協議制訂的STP協議,能夠有效阻止網絡風暴的產生,但是STP協議收斂速度慢,容易出現網絡瓶頸。為此隨后又推出了RSTP協議,RSTP協議很好地解決了網絡收斂速度慢的問題,但是仍不能實現基于VLAN的流量均衡和冗余備份。
MSTP多實例生成樹協議繼承了STP和RSTP的優點,在不改變網絡基本設備和物理拓撲結構的情況下,在不同的VLAN集合間采用不同的生成樹邏輯拓撲。在MSTP協議中定義了實例(INSTANCE)的概念,所謂實例就是多個具有同樣拓撲結構的VLAN集合。通過將多個具有同樣拓撲結構的VLAN映射到同一個實例的方法,節省通信開銷和資源占用率。MSTP協議通過控制各不同的VLAN實例使用不同的鏈路,從而形成不同的生成樹拓撲結構,同時又互相提供鏈路備份,達到鏈路負載均衡、消除瓶頸、提供冗余的目的,提高網絡的可靠性。
3.2 MSTP的配置與實現
為提高網絡的可靠性,在匯聚層可采用兩臺交換機,即分別上聯至兩臺匯聚核心SWA和SWB的交換機,以實現鏈路冗余,避免單鏈路故障,配置MSTP實現鏈路負載均衡。具體的拓撲結構如圖1所示。
假設在域中有兩個生成樹實例,分別為實例1和實例2,并映射到VLAN 10 和VLAN 20。通過配置使不同VLAN的數據按照不同的生成樹轉發,VLAN 10的數據沿實例1轉發,VLAN 20的數據沿實例2轉發,實現流量的負載均衡。應當注意的是,在配置時同一個域內設備的MSTP域名及VLAN映射關系都要保持一致。本文以神州數碼交換機產品為例,對交換機進行配置,并以sw1交換機節點進行具體配置(sw2交換機的配置與其類似)。
交換機sw1的參考配置如下:
enable
config
hostname sw1
vlan 10
switchport interface ethernet1/1-10
exit
vlan 20
switchport interface ethernet1/11-20
exit
interface ethernet1/21-22
switch mode trunk
exit
spanning-tree
spanning mst config
name mstpa
配置相同的mst域名稱為mstpa
Instance 1 vlan 10
instance 2 vlan 20
exit
交換機swA的參考配置如下:
enable
config
host swA
vlan 10
exit
vlan 20
exit
interface ethernet1/21;22
switch mode trunk
exit
spanning-tree
spanning-tree mst config
name mstpa
instance 1 vlan 10
instance 2 vlan 20
exit
span mst 1 pri 4096
span mst 2 pri 8196
swB和swA的配置方法相似,只要改變對mst 1和mst 2兩個不同實例的優先級即可。在此網絡中,配置了匯聚swA為實例1的根橋,同時也是實例2的備份根橋。匯聚swB為實例2的根橋,同時作為實例1的備份根橋。正常情況下實例1和實例2各自走不同的鏈路,形成鏈路的負載均衡。當根橋出現故障時,備份根橋可以取代原根橋進行數據轉發,達到了設備與鏈路的備份與負載均衡,較好地實現了網絡的可靠性。
4 防火墻多出口實現訪問外網負載均衡與冗余,提高訪問外網的可靠性
在傳統的園區網,往往只有一個網絡出口,這種情況在中小型園區網中尤其突出。隨著對外網訪問量的增加,園區網對外訪問往往成為整個網絡的瓶頸。
4.1 傳統的單出口園區網絡存在的問題
在傳統的單出口的情況下,即使內部網絡訪問是暢通的,但由于出口鏈路瓶頸仍然存在,對外網的訪問將成為園區網主要問題,從而影響對外業務的開展;由于對外的出口鏈路只有一個,當僅有的一個出口發生故障時,整個網絡將不能對外訪問,園區網的可靠性大大降低,不利于設備和鏈路的維護與升級,當要進行必要的維護和升級時,將不得不中斷對外網的訪問。
4.2 防火墻多出口負載均衡應用與配置
所謂多出口是指為了確保對因特網訪問,通常為網絡配置多個因特網接入鏈路,一般情況下接入不同的ISP;也有為了保障和重要業務所在的接入供應商的連接,而采用對同一ISP接入兩個鏈路,這種網絡出口的結構稱為出口多。
防火墻多出口多能最大限度地利用鏈路的帶寬,并且當某一鏈路發生中斷時,可以自動將其訪問量分配到另一正常工作出口鏈路中,也即達到出口鏈路的流量負載均衡與備份。
本例以神州數碼DCFW-1800系列為例進行配置,通過配置ISP路由方式來實現出口鏈路的負載均衡與冗余,使不同ISP流量走專有路由,從而提高網絡速度。配置步驟大致為:配置ISP信息配置ISP路由上傳ISP配置文件查看 ISP 路由配置信息刪除已上傳的預定義 ISP 配置文件。為保障鏈路和故障備份,還可以對鏈路進行相關的監控與備份配置,相關的關鍵配置及截圖如圖2所示。
1)配置ISP路由。目前國內的接入骨干網有電信、聯通、教育網等,神州數碼DCFW-1800系列防火墻系統自帶了China-telecom和China-netcom兩個ISP路由表,其他的ISP如unicom、cernet通過手工創建。考慮到線路帶寬不同,在此設置了等價ISP路由,在轉發時根據線路帶寬設置轉發比例。在圖2中兩條電信的路由轉發比為1:1,在實際配置中也可根據具體的帶寬情況配置不同的權值比例。圖2中配置了多條ISP路由以供選擇。
2)配置鏈路的監控與備份。當外網接口在up狀態下,一旦該ISP運營商的線路出現故障,會影響內網用戶通過該鏈路的對外訪問。線路備份就是通過端口監控,當鏈路發生故障時自動切換到備份鏈路,保障出口訪問的可靠性。下面的命令配置了名為track-for_eth0/3的監控對象和相應的監控地址:
track “track-for_eth0/3”
ip 202.96.218.23 interface ethernet0/3
Exit
interface ethernet0/3
monitor track “track-for_eth0/3”
Exit
如果要對其他線路進行監控,則也要進行相似的配置。
5 結束語
鏈路冗余與負載均衡是提高網絡可靠性的重要技術之一,上述基于MSTP和防火墻多出口鏈路的設計與配置,實現鏈路的冗余與負載均衡。MSTP較好地保證了內部網絡的可靠性,防火墻多出口鏈路為園區網對外的訪問提供了較好的保障。
參考文獻
[1]程慶梅.防火墻系統實訓教程[M].北京:機械工業出版社,2012.
[2]雷傲然.企業園區網的可靠性設計思路與實現[J].時代報告,2012(9X):352.
關鍵詞:多媒體通信 校園網建設
隨著互聯網技術和網絡技術的不斷成熟,網上實現多媒體教學的技術手段也在不斷發展,內容也日臻完善,從現代教育技術的發展方向出發,多媒體教學的校園通信網建設與規劃需要考慮哪些問題。是校園網建設者非常關心的問題。
一、多媒體校園通信網絡建設的指導思想
根據普通高校電化教育改革的指導思想和發展目標,結合學校教育、教學與學術科研的特點,多媒體校園通信網絡的建設,應適應和滿足教育現代化的主要需求。(1)利用internet/intranet技術組網,實現intranet網的基本功能和服務,比如,www、ftp、e-mail和數據庫服務等;(2)采用web/server或clint/server技術實現視頻廣播、視頻點播、視頻會議、實時視頻監控、遠程實時多媒體教學;(3)建設開發以下網絡多媒體制作使用環境:多媒體課件制作管理平臺、網絡多媒體教室、網絡虛擬實驗室等等。以滿足進行包括視聽教育、計算機輔助教學、計算機多媒體技術在內的各種媒體技術的研究與應用的需求;滿足為各學科教師、研究人員的科研工作提供國內外有關的各種類型的多媒體資料、學術前沿動態信息的的需求;滿足提高各部門辦公效率的需求;滿足宣傳和文化娛樂的需求;滿足傳播信息的需求;滿足教育技術自身建設形成良性循環的需求。
二、多媒體校園通信網絡功能概述
多媒體校園通信網絡在功能設計上,既要考慮計算機技術、CATV技術和網絡技術現有的設備水平,也要考慮今后發展的趨勢,具有一定的超前性;既要考慮高校自身教育、教學與科學研究的現狀,也要考慮文化、科技發達國家和地區的特點,充分利用網絡平臺的多媒體功能。
1.可以傳送多套高質量廣播、電視節目調頻廣播、數字音頻廣播、模擬電視、數字電視、高清晰度電視。
2.多媒體應用系統。引進或開發以下應用系統:視頻廣播、視頻點播、視頻會議、實時視頻監控、遠程實時多媒體教學、網絡多媒體開發制作使用環境(多媒體課件制作管理平臺、網絡多媒體教室、網絡虛擬實驗室)。為開展多媒體教學提供條件;為教師備課和優化教學設計創造良好的環境;為學生自學、復習、開辟第二課堂提供方便。
3.數據通信。計算機聯網、Internet、教育科研網及其它專網的互聯。
4.信息資源。主要是指支持多媒體應用系統運行的數據源。它主要包括視頻點播音像庫、多媒體課件、電子教材、電子題庫、數據庫訪問、電子圖書資料館、教學管理、信息咨詢服務等。
5.網絡服務功能。主要用于開通www服務、ftp服務、e-mail服務和數據庫服務。
三、網絡建設有關技術問題討論
多媒體校園通信網絡主要由幾大部分組成:主干技術、網絡布線、系統平臺、設備選型。
1.主干技術選擇:采用具有高服務質量的網絡主干技術。目前,校園網主干主要采用四種技術,FDDI、ATM、交換式快速以太網和千兆以太網。應具備以下主要功能:①保持原有CATV接收衛星電視、播放音像資料及傳輸模擬電視信號的功能;②配備有雙向控制CATV多媒體教學系統或VOD系統節目服務器以及可接收、存儲和管理媒體素材的設備及支撐軟件;③配備有數據系統的主服務器、相關網絡協議支撐軟件及前端接口單元,提供局域網的網絡支撐協議和運行軟件及數據,提供路由器及網橋等網際互聯設備的接口,允許本以太網和外部數據網絡,以及其它以太網和Internet網互聯;④可以配備有程控電話交換中心和電話系統前端接口單元,實現電話子系統交換,并具有和外部電話系統兼容和相配的接口單元;⑤具有優良的可擴充性、兼容性功能;⑥具有高智能化功能,主要設備采用冗余配備,在前端能自動設置、校準、接入和切換,對全系統能自動監測和遙控診斷,實現全網自動管理和維護。
2.網絡布線是在園區內建筑物間或建筑群內,布設網絡傳輸線路,在園區網建設中,要求布線系統均采用符合國際標準的綜合布線系統,考慮到多媒體信號的傳輸,在布線系統的設計上,網絡主干、分支到用戶端有足夠的帶寬。帶寬的計算可以采取由桌面帶寬、分支帶寬到主干帶寬的估算方法,主要拓撲結構應選用有利于雙向傳輸的星型拓撲結構,園區網中采用光纖、雙絞線的混合布線方式。傳輸介質可視校園區域和經費情況選用光纜或同軸電纜。采用光纜的芯數應不少于4芯配置,采用同軸電纜的,應選用屏蔽性能好的。用戶分配網可根據用戶的不同情況,采用星型與樹狀型拓撲結構和分配——分支方式。分配網電纜要選用屏蔽系數指標高的四屏蔽電纜。
3.網絡系統平臺的選擇:構建校園網的網絡系統平臺通常有四種:UNIX、LINUX、NETWARE和WINDOWS NT。
4.設備選型
設備選型主要包括交換設備、服務器、路由器選型。
(1)交換設備:采用高速網絡交換設備;選擇同一公司的產品集成方案;與已有局域網的交換設備兼容;采用具有二、三層交換功能的系統配套網絡設備;有組播功能的靈活配置。
(2)服務器:作為校園網的關鍵設備,服務器應該具備速度高、存儲容量大、吞吐能力強、性能可靠、擴展性強、連網和管理功能強等特點。用于多媒體教學的服務器大多屬于專用服務器。
從多媒體服務角度考慮,主要應對www服務器、視頻點播服務器、課件庫服務器進行合理的選配。
①www服務器:是網絡運行的核心服務器,通常兼作域名服務器、FTP服務器。訪問量大,根據學院規模大小,采用適合自己規模的服務器。通常,對于綜合性大學(3000-5000信息點)應該使用企業級的服務器。對于中型校園網(1000-3000信息點),可以采用部門級服務器和支持多CPU的頂級PC服務器。對于小型校園網(100-1000信息點)用戶,可以采用支持多CPU的頂級PC服務器。
②視頻點播服務器:是用于網上用戶點播視頻節目的服務器,這種服務器要求速度快、容量大、可擴充能力強。
關鍵詞:校園網;扁平化;SDN;多業務
中圖分類號:TP393 文獻標志碼:A 文章編號:1673-8454(2015)11-0067-03
中國石油大學(華東)校園網絡經過20年的發展,歷經了20世紀90年代的校園網從無到有,新世紀的以路由交換為主的千兆以太網兩代網絡,在校園網信息化發展中做出了巨大貢獻。隨著校園信息化建設的發展,校園網絡作為信息化基礎越來越重要,不僅需要為信息系統提供網絡支撐,還要為用戶提供高速、穩定、安全、便捷的網絡接入服務。在新時代下,辦公管理信息化、云計算大規模應用、多媒體教學技術不斷更新、網絡教學逐漸鋪開,傳統校園網絡在新應用、新業務面前顯得力不從心,網絡無法滿足新業務新應用的需求,網絡管理越來越復雜,隨著網絡技術的發展,校園網絡需要朝新型的網絡發展。
一、設計思路
校園網絡面臨著復雜的網絡管理、復雜的業務需求、復雜的用戶群體,故在網絡設計中需要采用較為先進的網絡技術,合理的網絡設計思路,達到簡化網絡管理的目的,提升網絡安全水平,滿足不同用戶的網絡需求。
1.網絡結構扁平化
網絡結構扁平化分為網絡物理結構扁平化和邏輯結構扁平化。高校校園網一般可以分成兩部分,即數據中心網絡和園區網絡,數據中心網絡基本上僅限于一個機房內部或直連的兩個或多個機房,物理鏈路簡單,可以采取物理鏈路和邏輯鏈路扁平化的結構;受物理位置和鏈路的限制,園區網比較分散,可以采用傳統的三層物理結構之上實現邏輯結構的扁平化。
網絡扁平化能有效解決單點故障,通過多鏈路捆綁實現鏈路帶寬成倍增加,減少網絡跳數,消除了匯聚層三層轉發性能瓶頸,提高網絡轉發效率。同時,減少匯聚層IP策略,將IP層策略集中到核心控制層,簡化網絡管理,提高管理效率。
2.用戶管理與基礎網絡分離
傳統網絡中,基礎網絡與用戶(認證)管理結合緊密,甚至很多網絡(認證)管理的控制層位于網絡的接入層,如802.1x認證,一方面存在網絡管理復雜、設備不兼容等問題;另一方面由于用戶認證信息無法漫游導致用戶在校園網上需要使用多個賬號或網絡訪問受限等問題。
用戶(認證)管理與基礎網絡分離后,用戶管理系統獨立于基礎網絡,由網絡接入設備、認證計費系統等組成,只負責所有用戶信息的管理,權限管理與分配,通過標準協議和接口實現用戶根據自己的權限在不同網絡和設備間的漫游,提高網絡的移動性,同時可更好地與第三方軟硬件平臺對接,實現未來應用系統與網絡的對接,達到用戶權限隨行的效果。
3.基于SDN技術的多業務網絡
校園網是一套極其復雜的系統,除了正常提供用戶接入網絡外,校園網需要承載各種類型的專用網絡,如一卡通網絡、財務專網等專用隔離的網絡。新型校園網絡需要提供支持多業務網絡服務,結合SDN、虛擬化等技術方便快速地開展業務網絡服務,提高網絡利用率,縮短業務網絡部署時間。
SDN將原來網絡設備里的控制功能提取出來交由中心控制節點進行集中控制,也就是“控制轉發分離”。通過“控制轉發分離”,網絡設備只需要負責數據包的轉發,而將復雜的網絡控制功能交由集中的控制器去處理。通過中心的控制節點進行集中控制,也讓整網的轉發效率更高。“控制轉發分離”后,由集中的控制器去對接上層業務系統,控制器可以屏蔽下層復雜的網絡協議和技術細節,將下層網絡變成端口、帶寬等資源提交上層業務系統。上層業務系統也只需要和集中的控制器打交道,而不再需要去向全網所有設備下發指令,或者人工將業務需求變成一條一條網絡設備命令行遠程登錄到設備上進行配置,在開展多業務網絡服務中能極大地簡化網絡配置管理,縮短業務部署時間。
4.網絡安全分級
校園網絡中接入各種網絡設備及終端,如網絡設備、服務器、PC、手機、平板電腦等,不同設備及終端保存著不同重要性的數據。根據對數據重要性進行分析,將網絡終端和網絡數據進行劃分不同安全等級,采取不同的安全防護措施,對于學校核心數據進行重點保護,對用戶非重要數據進行簡單保護或由用戶自行安全保護等。
二、設計方案
根據校園網功能和特點,結合設計思路,校園網絡拓撲結構如圖1所示。
通過拓撲圖,校園網絡采用雙核心交換機設計,通過雙鏈路連接到多出口路由設備、用戶認證接入設備、鏈路匯合交換機和數據中心核心交換機,保障骨干網絡的高帶寬和網絡的穩定性。在校園網園區網絡部分,為了節省園區內骨干光纜,在各樓宇繼續保留網絡匯聚點,取消原有的網絡匯聚層,更改成鏈路匯合交換機,向上與核心交換機采用多鏈路捆綁技術,滿足高帶寬、高可靠性的需求,向下提供接入交換機高密度接入能力。園區網絡接入交換機根據業務需求,提供普通用戶上網接入和專用網絡接入服務,在條件允許的情況下,在部分接入機房安裝獨立的交換機為專網提供服務,同時無線網有線部分完全融入有線網絡,PoE交換機直接接入到鏈路匯合交換機,將無線AP作為網絡終端考慮。
園區網絡邏輯網絡完全按照扁平化大二層網絡考慮,每個接入交換機劃分不同的VLAN,并做好端口隔離,將VLAN通過鏈路匯合交換機、核心交換機透傳到用戶網絡接入設備(BRAS),用戶通過IPoE+Portal或PPPoE認證后使用路由模式連接到核心交換機,完成對互聯網和數據中心的訪問。由于用戶網絡接入設備(BRAS)處于網絡核心位置,在網絡設計中考慮使用雙機熱備的部署模式,并與后臺計費認證系統雙radius服務器對接,保證網絡的穩定性。
數據中心網絡相對獨立,完全采用扁平化的二層網絡結構,接入交換機雙鏈路分別直連到兩臺數據中心核心交換機,并在網內實現大二層網絡,滿足虛擬化、云計算對網絡的需求。由于學校絕大部分數據均在數據中心,且數據重要性比較高,故在數據中心核心交換機上增加防火墻、入侵檢測、Web防護等網絡安全板卡或設備,根據數據中心應用系統和數據的重要性配置不同的安全策略,滿足對應用系統和數據的安全防護。
除了上述網絡轉發層,網絡控制管理層是整個網絡的大腦,由傳統的網絡管理、監控系統和SDN控制器等組成,對下負責對網絡硬件設備下發網絡參數和策略,對上提供用戶管理界面,并開放與第三方系統對接接口。從邏輯上,網絡控制管理層從網絡設備中獨立出來,由計算機性能更高的服務器等硬件進行網絡路徑和策略的計算,這也符合SDN網絡的邏輯。由于新一代校園網絡建設有一定的周期,故網絡控制管理層中傳統的網絡管理系統逐步過渡到軟件定義網絡、軟件定義存儲等軟件定義所有系統的控制器。
借助SDN技術,新型校園網絡不在是傳統的校園網,不僅只提供用戶接入互聯網服務,而是一張多業務網絡。通過在SDN控制器上少量的操作即可完成一張業務網絡的部署。如某業務網需要將校園網內任何地方的兩個不同交換機的端口互通,只需在SDN控制中創建一個租戶網,并將這兩個端口加入該網,SDN控制器自動計算轉發路徑并將數據下發到相關交換機,交換機即可按照路徑轉發,如圖2所示。
新型校園網絡涉及較多的新技術、新理念,在實施過程中會面臨到成本較高、網絡較難整合等相關問題,同時節省投資、充分利舊的思路,可以考慮總體設計分步實施的方式完成校園網的升級換代。在設備選型過程中,必須考慮設備支持Openflow、Open Daylight等SDN相關協議,支持MPLS VPN、虛擬化等功能,可以與傳統網絡對接等需求。
三、結論
新型校園網絡改變傳統網絡中架構和理念,總結了傳統網絡的優缺點,取長補短,并提升了網絡的可擴展性、可移動性、可管理性,并提供了多業務支撐,能有效解決當前網絡面臨的各種問題,同時采用較為先進的網絡技術和管理手段,提升網絡管理水平,并為未來業務發展提供了足夠的空間。
參考文獻:
[1]吳旭東,柳炳祥.校園網網絡規劃的設計與實現[J].電腦開發與應用,2011,24(11):64-65.
[2]吳圣潔,夏添.數據中心網絡扁平化設計[J].微型電腦應用,2013,29(11):27-30.
[3]劉維,姚錦衛.高校校園網絡認證計費系統研究[J].現代計算機,2008(5):93-94.
關鍵詞:NAT;Linux;私有地址;全局地址
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2007)04-10984-03
1 引言
IP地址的匱乏對于任何一個高校的網絡管理員來講,都應該是一個讓人頭疼的事情。一方面無論是教學還是后勤對于計算機網絡的使用和依賴都有了前所未有的深度和廣度,另一方面隨之而來的是網絡規模的擴張導致的IP資源的緊缺問題。我校是個萬人規模的高校,校園網剛起步的時候申請了16個C類地址,基本可以滿足教學和實驗的需求,但隨著學生公寓的建設,每個公寓房間必須建立上網信息點,同時后勤的各部門也開展網上作業,使得IP地址資源很快就用盡,而且遠遠不能滿足我們的需求。這種現象在很多單位也是比較突出的。傳統的解決辦法是利用動態地址分配(DHCP)或者技術。
利用傳統的DHCP技術顯然無法實現學校網絡應用的需求,因為DHCP技術僅僅是簡化了客戶端的配置,增加了IP地址分配的靈活性。但對于高校這樣的特殊網絡環境,并不能起到有效節省IP地址的作用。例如晚上同時上網的客戶端很多,DHCP服務器中地址池的IP地址很快就會消耗殆盡。
利用技術可以減少IP地址的使用,但服務器在高校這樣的網絡應用比較復雜、網絡流量比較大的環境很可能就是一個網絡瓶頸,同時技術可能也限制了很多網絡應用的展開,使得網絡管理復雜化。
經過綜合比較我們采用NAT技術解決了這個問題。筆者認為該技術能較好的解決高校網絡建設中IP地址匱乏的矛盾,而且也可以根據不同的網絡環境采用不同的方案來實現NAT。配置比較簡單,管理比較方便,對用戶是透明的。
2 NAT技術原理
NAT是Network address translation(網絡地址轉換)的縮寫,它其實并不是一種新技術,而是一種解決網絡問題(如服務器負載平衡、防火墻、高可靠性系統的容錯備份)的成熟技術,說它成熟是因為NAT技術在標準的一致性方面非常出色。自從1994年IETF制定了RFCl631以來,就幾乎末再做任何改動。在目前大部分園區網所使用的網關中都支持該技術:有些單位采用的是專業路由器做網關,比如CISCO,有些學校采用服務器做網關,比如LINUX系統。而無論是在CISCO內核或是LINUX內核中均支持了NAT的實現。
我們本篇討論的是NAT技術的最重要的功能,即通過地址復用來提高對IP地址的有效利用率。在NAT技術中涉及了兩種IP地址概念:全局地址和私有地址。全局地址是指合法的IP地址,它是由NIC或者網絡服務提供商分配的地址,是全球統一的可尋址的地址(可路由)。私有地址,也稱內部地址,是指在內部網絡中分配給節點的私有IP地址,這個地址只能在內部網絡中使用,不能被路由。雖然內部地址可以隨機挑選,但是通常使用的是RFC 1918中定義的專用地址:10.0.0.0~10.255.255.255,172.16.0.0~172.16.255.255,192.168.0.0~192.168.255.255。
NAT一般設置在校園網的網關處,目的是使得在內部專用網絡中的主機可以使用私有地址(不可路由)。當內部節點要與外界網絡發生聯系時,數據包攜帶的源地址是私有地址,在網關處利用NAT技術將源私有地址替換成全局地址――合法地址(可路由),從而在外部公共網上正常使用。數據包從外部進入園區網時在網關處NAT將目的全局地址替換成園區某一主機的私有地址,再進行轉發。具體的實現原理我們可以看下面的一個例子:
如圖1所示,Inside虛框所示為校園內部網,每個客戶端只配置了私有地址,通過路由器和外網連接。當內網中某客戶端,比如10.1.1.1欲訪問外網的HOST B,正常情況是無法訪問,因為10.1.1.1是私有地址,無法在Internet上路由,但在邊界路由上采用NAT技術后,讀者可以發現,客戶機10.1.1.1發出的IP包源地址(SA)為10.1.1.1,目的地址(DA)為172.20.7.3。經過邊界路由后,該Ip包中的源地址已經不是私有地址10.1.1.1了,而是被NAT成了一個全局地址192.168.2.2,同時在路由器中建立一張影射表,把10.1.1.1和192.168.2.2影射起來。所以讀者應該不難理解,當目的端HOST B發一個回應包時,應該是發給192.168.2.2,這時路由器中的NAT轉換就可以根據影射表,把這個回應包重定向到內部的客戶機10.1.1.1,具體做法其實就是根據包中的目的地址,查影射表,得到內部地址,然后修改回應包中的目的地址。在這種情況下,讀者可能發現NAT技術很類似于一個地址轉換的,但并不能有效的實現節約地址空間的作用。因為私有地址和全局地址還是簡單的一一對應。若同時有很多內部機器對外訪問,還需要提供等量的全局地址。其實這種實現手段被稱為靜態地址轉換技術。是NAT地址轉換的一種,NAT的地址轉換技術主要有三種:
圖1 NAT原理
(1)靜態轉換。具體原理已如上所述。靜態轉換是最簡單的一種轉換方式,它在NAT表中為每一個需要轉換的私有地址創建了固定的轉換條目,映射了唯一的全局地址。私有地址與全局地址一一對應。每當內部節點與外界通信時,內部地址就會轉化為對應的全局地址。
(2)動態轉換。它增加了網絡管理的復雜性,但也提供了很大的靈活性。它將可用的全局地址地址集定義成NAT池(NAT pool)。對于要與外界進行通信的內部主機,如果還沒有建立轉換映射,網關將會動態的從NAT池中選擇全局地址對內部地址進行轉化。每個轉換條目在連接建立時動態建立,而在連接終止時會被回收。這樣,網絡的靈活性大大增強了,所需要的全局地址進一步的減少。值得注意的是,當NAT池中的全局地址被全部占用以后,以后的地址轉換的申請會被拒絕。這樣會造成網絡連通性的問題。所以應該使用超時操作選項來回收NAT池的全局地址。
(3)端口地址轉換(NAPT―Network address port translatin)。是動態轉換的一種變形。它可以使多個內部主機共享一個全局IP地址,而使用源和目的的TCP/UDP的端口號來區分NAT表中的轉換條目及內部地址。這樣,就更節省了地址空間。在我們的校園網中主要采用該技術來解決IP資源緊張問題。
它實現的基本思想如下表1所示:
表1 端口復用的影射表
該表和圖一中的影射表的顯著不同是,當內部多個客戶機(IP地址分別為:10.1.1.1、10.1.1.2、10.1.1.3、10.1.1.4)對外訪問時,NAT給它們都分配了相同的全局地址192.168.2.2。但為了建立一一影射,在全局地址后面加了不同的端口號,這樣就可以多個內部私有地址共同被轉換成同一個全局地址,從而實現節省地址的作用。
3 以Linux服務器作為網關實現NAT
3.1 Linux中NAT的實現原理
Linux2.4的NAT過程如圖2:
圖2 Linux中實現NAT
其中:(1)DNAT指目的NAT(Destination NAT ),DNAT能修改數據包的目標地址,改變連接的目的地,并進行Prerouting的動作。端口轉發就屬于DNAT;(2)SNAT指源NAT(Source NAT),SNAT能修改數據包的源地址,改變連接的來源地址,并作好postrouting的動作。
NAT工作要經過如下的步驟:
(1)DNAT若包是被送往prerouting鏈的,并且匹配了規則,則執行DNAT或redirect目標。為了使數據包得到正確路由,必須在路由之前進行DNAT;
(2)路由。內核檢查信息包的頭信息,尤其是信息包的目的地;
(3)處理本地進程產生的包對NAT表Output鏈中的規則實施規則檢查,對匹配的包執行目標動作;
(4)SNAT。若包是被送往postrouting鏈的,并且匹配了規則,則執行SNAT或masquerade目標。系統在決定了數據包的路由之后才執行該鏈中的規則。
3.2 NAT在Linux2.4上的實現
使用Linux的NAT實現內部網絡的私有地址和外網的全局地址影射,必須在服務器上預裝Linux(本文以內核2.4為例),服務器的硬件要求不需很高,但必須是雙網卡,假設為eth0和eth1,eth0為服務器網關和外網的接口,該網卡IP地址為全局地址。Eth1為服務器網關和園區內網的接口,該網卡IP地址為內部私有地址。
具備了相關硬件的服務器配置NAT步驟如下:
(1)安裝Linux
由于只使用Linux的NAT功能,為提高服務器性能,按最小安裝模式安裝操作系統,其中必須帶gcc開發包和內核源碼以及一些常用工具。然后重新配置編譯內核,(因為在一般的Linux盤中不直接支持NAT),步驟如下:
a. 進入linux內核的源代碼目錄
cd/usr/src/linux-2.4
b. 執行配置linux內核命令
make menuconfig
在network options選擇NAT以及ip-forwards
c. 編譯內核
make dep
make bzlmage
make install
(2)對網卡進行配置
例如:eth0的IP地址設定為210.29.64.254,掩碼為255.255.255.0。eth1的IP地址設定為10.1.1.254,掩碼為255.255.255.0。
(3)啟用內核轉發(ip-forword)和NAT在/etc/rc.d/目錄下建立腳本文件natscript,執行chmod u+x natscript
編輯/etc/rc.d/rc.local ,在末尾加上/etc/rc.d/natscript使得開機自動運行該腳本。
Natscript的內容為:
#!/bin/sh
modprobe ip-tables
modprobe iptables-nat
echo1 > /roc/sys/net/ipv4/in-forward
iptableCt natCA POSTROUTINGs 10.1.1.0/24Co eth0Cj SNATCto 210.29.64.254
(4)對內網主機只需設置網關為NAT服務器的和內網連接的端口地址,在本例中是10.1.1.254。
4 結束語
NAT技術是一個成熟的技術,有效的使用該技術能很好的解決校園網建設中的很多問題,但它對網絡應用也會帶來一定的影響,首先,很明顯,使用NAT地址轉換會使網關(路由器或運行NAT的服務器)處理數據包延遲增大。網關的CPU必須對每個數據包進行檢查,對需要改變地址信息的數據包進行操作,因此會加大運行負載。另一方面,NAT隱藏了端到端的IP地址,使得對數據包路徑的跟蹤變的比較困難。從而使得一些內嵌的IP地址(比如說SNMP、FTP、VPN等)在應用中會產生問題。
但總的來說,在校園網建設中采用NAT技術會帶來很大的優越性,它解決了IP地址資源緊缺問題,簡化了配置、使網絡規劃更靈活。
參考文獻:
[1]虞和詢. 校園網的建設與管理[M]. 南京:東南大學出版社,1997.
[2]李菁平. Linux大學教材[M]. 清華大學出版社,2005.
關鍵字:客戶導向 產品手冊
前言
產品手冊的設計在整個企業的研發、生產和營銷過程中往往是不被管理者重視的環節,產品手冊的價值只是作為產品的附屬存在。管理者讓營銷人員把產品手冊派發出去,以期待能讓客戶通過產品手冊了解到企業的產品、品牌和文化,卻很少認真考慮過,所設計的產品手冊能否符合客戶需求,以及給客戶帶來價值。客戶是企業發展的動力,是核心競爭力的保證,企業經營活動都要以客戶為導向開展,客戶導向是企業與客戶建立雙向關系的基礎。企業不遵循客戶導向的理念設計產品手冊,是造成產品手冊與客戶需求相違背的主要原因。本文首先闡述現代企業戰略中客戶導向的重要性,明確客戶導向的定義,其次分析產品手冊的作用以及產品手冊設計中的常見問題。最后通過借鑒華為集團的成功案例總結以客戶為導向的產品手冊設計原則。
一、現代企業戰略中客戶導向的重要性
(1)客戶導向的定義
1954年,著名管理學家彼得,德魯克提出“客戶需求是企業活動的中心和出發點,企業的最終目的是促使客戶購買、滿足客戶需求。”,客戶導向思想開始萌芽。客戶導向(也稱顧客導向)是現代企業的重要市場戰略,企業以滿足客戶需求、增加客戶價值為出發點,通過創新研發、服務和營銷,動態地適應客戶需求,避免脫離客戶需求進行生產,或對市場進行主觀臆斷。企業監控自己服務于客戶需求的承諾水平和以客戶需求為導向的程度,在業務之間交換經驗和教訓,在理解客戶需求的基礎上建立競爭戰略。
(2)客戶導向的重要性
客戶導向是建立客戶和企業雙向關系的基礎,其重要性體現在以下方面。在經營方面,客戶導向觀念使企業明確了把客戶放在第一位的經營策略;在創新方面,不斷變化和提高的客戶需求,迫使企業不斷進步;在競爭方面,通過積累忠誠客戶數量保證核心競爭力;在定位方面,客戶導向幫助企業明確目標客戶群體;在發展方面,建立并維系與客戶的良好關系對于開發客戶的長期價值至關重要。
綜上,可見客戶導向是指企業以滿足客戶需求為核心進行商業活動,并從客戶身上獲得持續不斷的商業價值,實現企業與客戶雙贏的企業戰略。客戶導向作為企業戰略,需要落實在所有的企業行為之中。產品手冊是企業與客戶的第一接觸點,因此客戶導向在產品手冊設計中的應用非常重要。下面具體分析產品手冊的作用以及產品手冊設計中的常見問題。
二、產品手冊的作用及設計常見問題
(1)信息媒介的作用
產品手冊是指對相關產品進行全面解釋的文件資料,有別于企業的產品說明書。產品說明書是對產品操作和故障的解答,是客戶在購買產品后使用。產品手冊是對產品功能、用途和組成的介紹,在客戶在購買前使用。產品手冊通常包括以下內容:產品的基本信息,如名稱、配置、技術參數等;所能具備的功能,如娛樂、學習、社交等;能為客戶解決的問題,如環境問題、健康問題等;以及企業的概況和理念。形式上不僅限于紙質資料,也可以通過其它多媒體呈現,基本原則是能夠有效傳達產品信息的一切材料都是產品手冊。當產品小型便攜時,營銷人員可以直接拿產品與客戶進行交流,但如果是工程型、知識型和服務型產品時,產品手冊就是與客戶面對面溝通的最佳工具。企業通過產品手冊傳播信息,增加客戶對企業的了解。產品手冊作為CI的載體,憑借良好的視覺設計改變企業的視覺信息環境,并通過統一性和規范化,強化客戶對企業的印象。
(2)與客戶溝通工具的作用
在現代市場營銷學中,產品由三個層次組成,即核心產品、形式產品和延伸產品。客戶對于產品的需求不僅限于產品的物質形式,還對物質形式之外的相關事物存在需求。產品的整體概念就是建立在“需求=產品”的等式基礎之上的。
對客戶需求的滿足是產品手冊的價值所在。客戶的需求又可以分為顯性需求和隱性需求。顯性需求是指消費者有清晰認識的需求。客戶在接觸產品手冊時,會明確主動地想要知道該產品能否滿足自己的需求、解決面臨的問題,以及提供價值的大小。此外,客戶求知的需求,會驅使客戶主動儲備產品手冊中有益的信息和知識。隱性需求是指必須經過市場、社會、文化等方式的刺激才能被察覺的需求。產品手冊可以幫助客戶彌補認知,挖掘更高層次的需求,激起客戶潛在的購買欲望。
隨著平面媒體技術的不斷提升,僅有漂亮的圖片而不能有效傳達信息的產品手冊是不能滿足客戶需求的。產品手冊的設計需要更富創意的形式來展現,并與讀者建立情感聯系,引導人們接納其中的觀念和內容,并達成持久的信任。
(3)設計中的常見問題
大部分企業設計的產品手冊存在的常見問題主要有:1.思路的設計;2.文案的內容:3.版面的設計;4.材料的使用四個方面的缺陷,導致客戶無法將產品手冊作為知識性資源長期保留。因此,從以上四個方面分析產品手冊設計中存在的問題是非常重要的。
1.思路的設計缺少體現對客戶的關懷。太多與客戶無關的信息占據突出位置,會削弱客戶的注意力,并容易引起客戶的反感。例如,在傳統的產品手冊中,首頁均以公司情況介紹為主,包括企業概況、發展歷程和榮譽表彰等等。企業一味地闡述自己的信息,卻忽略了客戶的訴求。企業沒有以替客戶解決問題的思路來設計產品手冊,沒有幫助客戶分析現狀、發現問題、提出問題和解決問題。思路的錯誤,必然無法引起客戶的共鳴、獲得客戶的認可。
2.文案內容使用的詞匯過于拔高,不貼近生活。如某熱水器產品的理念是“智慧熱水,舒適生活”,用詞看似考究,但讓人感到不夠真實。“智慧”和“熱水”現實中很少有聯系,而“舒適生活”又牽涉到除洗澡這個日常行為外的很多因素。
3.版面的設計缺乏層次區分,不能良好地引導客戶進行瀏覽。特別是在產品手冊中,圖片未經過精細處理、插圖的視覺語言不準確、版面設計的風格與企業形象不統一等等,以上各點均導致信息不能準確傳達,有損客戶對企業的認知。
4.產品手冊的制作材料沒有根據設計效果和印刷工藝進行選擇,這種情況不僅無法實現預期效果,也因為質感的不當,給人廉價的感覺。
以上現象均普遍存在于多數企業的產品手冊設計中。目前,伴隨企業競爭激烈和經營手段多樣化,少數企業意識到成功的產品手冊更具競爭優勢和維護企業形象。以下是華為集團的產品手冊案例,該案例在思路設計和版面設計兩個方面有所突破,做到了以客戶為導向的產品手冊設計。
三、“One Net Campus華為園區網解決方案”產品手冊案例分析
2011年,華為集團為向規模不同的企業園區提供基礎網絡建設,推出了“One Net Campus華為園區網解決方案”集成服務產品。該產品的產品手冊設計思路清晰,以幫助客戶解決問題為主線展開,逐步拉近與客戶之間的距離。打開手冊,首先是對客戶行業發展現狀的分析,并簡要地概述企業園區的定義以及目前的規模層次,表達華為對客戶行業的關注;其次是幫助客戶發現存在的困難和挑戰,陳列出企業園區網絡建設存在的瓶頸,讓客戶感受到華為對其產業的精準洞察;接著,針對客戶的問題提出相應的解決辦法,通過圖解的形式展示解決方案,清晰地羅列技術細節、關系網絡以及配置設備,體現出華為為客戶服務的專業素質;最后,闡述客戶采用該解決方案后可以獲得的價值,除了網絡系統的提升,還會帶來豐富的附加價值,以此打動客戶,體現華為對客戶無微不至的關懷。版面設計簡潔、明朗,突出理智的商務性。封面深藍色調的插圖給人冷靜的美感,帶有網絡象征的視覺語言符號,使客戶對產品形象產生聯想。將圖文信息進行網格劃分,使其井然有序。版面注重留白,營造出靜美的閱讀氛圍,并留有想象空間。
綜上,該產品手冊在思路和版面上的設計都是以客戶能夠清楚、便捷地獲取信息為目標進行,體現了客戶導向的理念。
四、以客戶為導向的產品手冊設計原則分析
通過以上案例分析,可以發現對客戶具有吸引力的產品手冊所具有的特征,以下歸納產品手冊的設計原則。
(1)思路的設計及文案的內容應圍繞客戶的需求展開。
在進行思路的設計時,應該從客戶的立場出發,提供客戶想要的信息,逐步取得客戶信任,應遵從以下步驟:一、分析客戶現狀,正確認知客戶行業,表達企業對客戶的關注。二、尋找客戶痛點,羅列客戶面臨的問題或挑戰,體現對客戶的精準洞察。三、提出解決辦法,使用容易閱讀和理解的方式,向客戶展示企業的專業性。四、闡述客戶價值,對客戶能預期取得的成果和價值提供準確的數據支持,要讓客戶感受具體利益,增強客戶信心。五、展示企業實力,讓客戶意識到企業是可信任的合作伙伴。
(2)版面設計要有效地傳達信息,給客戶舒適的閱讀環境。
版面設計要在圖形、文字、色彩三大要素的組合中,融入親和的、人性化的、自然的力量,喚起客戶內心的觸動和認同。在信息元素的編輯和組織時,要合理運用人類閱讀的視覺習慣,適應人們認識過程的心理順序和思維過程的邏輯順序。圖片要真實、美觀,必須符合內容、風格、主題、適合版面,且具有吸引力。字體不宜過多,內容的重要性可通過字體的大小來區分。材質的選用必須符合設計和工藝的要求,以保證產品手冊的最終效果。
(3)產品手冊的設計任務應該以項目制的形式工作。
產品手冊的設計不單是設計部門或是平面設計師的工作,而是一個需要規劃、控制和反饋的系統工程。在進行設計任務時,需要成立跨職能的項目團隊,包括設計、研發、營銷等部門成員,團隊的負責人一定要對產品或是業務非常熟悉,最好具有該產品營銷實踐經驗。產品手冊的設計以項目形式進行,需要擬定項目計劃書,規范操作流程。初步方案需召開討論會,由成員討論通過。文案編輯和視覺設計需要經過不斷反饋并修改。設計完成后,需要組織相關人員對產品手冊進行學習。
Abstract: In recent years, the construction of intelligent hospital information system has been playing an increasingly important role in improving medical service quality and management level, and the network architecture which the information relies on is attracting more and more attention. Comprehensive planning of the overall architecture of the network in the early stage plays a key role in the efficient operation of hospital information system in the future. Based on practical examples, this paper studies the hospital network architecture requirements analysis and implementation.
關鍵詞:三級醫院;信息需求;網絡架構;實例;實現
Key words: tertiary hospitals;information requirements;network architecture;example;implementation
中圖分類號:C931.6 文獻標識碼:A 文章編號:1006-4311(2016)14-0126-03
0 引言
某醫院位于中級城市的市中心,目前屬二級甲等醫院,現有床位500張,按三級醫院建設標準進行擴大建設,以達到1000張床位規模。對新建內科樓(14層)、門診樓(5層)、中心機房進行網絡方面的建設,并且需要與現有舊網絡進行融合。本文結合某二級醫院以三級醫院為準備進行擴大建設,談談應從哪些方面長遠考慮醫院信息化建設中的網絡架構,并在應用中得以實現。
1 醫院信息系統需求分析
醫院需求首先應與實際相結合,各級醫院對信息系統需求有所不同,本例是以三級醫院標準建設,其需求主要從以下四個方面著手分析:
1.1 醫院信息智能化系統需求 目前,三級醫院信息智能化系統主要包括醫院管理信息系統(HIS)、醫學影像管理信息系統(PACS)、檢驗信息管理系統(LIS)、電子病歷(EMR)、辦公自動化信息(OA)等多種系統。隨著衛生信息化的內涵與外延不斷擴展,HIS除了與LIS、PACS、EMR、OA不斷融合外,還與醫保、銀行系統的業務及數據交互越來越頻繁;目前掌上系統不斷推進,內部無線系統成為必然;未來的衛生信息共享的云架構更是對醫院信息智能化要求越來越高。醫院間的技術集中化處理和交流、各種信息上報下傳,連接INTERNET外網也必不可少。門診多點遠距離設置也讓網絡架構必須考慮各種接入方式。
1.2 患者的需求 為患者提供嚴密的安全防范措施和舒適、迅速、便捷、明了的就醫環境,就需要通過監控系統、門禁控制、候診排隊、窗口對講及LED電子信息公告及引導、信息觸摸查詢等智能化技術手段對人員進行合理有效的疏導、分流、管理,保證醫院工作安全有序高效的運行;為長時間等待患者提供外連INTERNET的免費WIFI。
1.3 醫院管理的需求 提供對醫院的整體環境進行實時的監控管理和安全防范,需要嚴密的監控系統;提供對醫院的各類信息實行統計,實現能源管理和收費管理,達到經濟、實用、方便,財務及設備等管理系統;提供滿足醫院的各類日常試驗、教學需要的條件和要求;加強對醫院安防、服務、信息的管理體制,需要中心機房建設及信息容災系統;加強醫院內外信息溝通,需要外網及程控電話網絡布局。
1.4 與舊樓在網絡上的銜接 目前核心交換機無法滿足擴容后接入需求,需重新建設核心交換機;新建大樓需要重新進行新的網絡架構;原有網絡設備、服務器等陳舊,新建大樓終端設備的增加,后續業務對網絡設備的要求越來越高;網絡百兆接入千兆骨干的網絡平臺無法滿足業務應用高速、穩定的要求。
2 醫院網絡架構的建設原則
2.1 高性能 網絡作為企業信息運行的承載平臺,涉及到眾多不同的應用及眾多用戶,一些實時性強的交互業務應用(如語音、圖像等),勢必對網絡性能提出更高的要求。因此,設計時首先要考慮有足夠的骨干帶寬、合理的網絡拓撲結構、先進實用的技術,同時還要努力實現網絡的無阻塞性,而不能使網絡成為業務應用的瓶頸。
2.2 高可靠性 網絡系統的穩定可靠是應用系統正常運行的關鍵保證。在網絡設計時,應選用高可靠性的網絡產品、合理的網絡架構,制訂可靠的網絡備份策略,保證網絡具有較好的故障自愈能力,以減少網絡中斷時間。為了保證較高的可靠性,新的應具有鏈路容錯和核心節點熱備份。
2.3 安全性 解決安全性問題需制定統一的網絡安全策略和過濾機制,充分使用各種不同的網絡技術,如虛擬局域網絡(VLAN)、、防火墻等。劃分網絡安全體系層次,控制信息系統與管理信息系統分離,關鍵系統用防火墻保護,通過劃分VLAN,隔離不同系統用戶,加強系統的安全性。架構入侵檢測系統和安全評估系統,加強對重點系統的防范。從數據安全的角度來講,重要的數據服務器集中放置,構成服務器群,以方便采取措施集中保護,并對重要數據進行備份。
2.4 可管理性 企業網絡作為一種地理范圍,分布較大的園區網(甚至是一種多個園區網連接而成的廣域網),日常管理及維護的工作量較大。為了盡可能提高工作效率,減少網絡停頓時間,同時為未來網絡的發展打下基礎,必須使企業網絡具有良好的可管理性。選擇方案時應考慮以下幾個方面:①對網絡實行集中監測,分權管理,并統一分配資源;②選用先進的網絡管理平臺,可以集中對全網設備(路由器,以太網交換機等)實施具體到端口的管理能力,并可提供及時的故障報警和日志;③選用的網絡設備及其他連接在網絡上的重要設備都應支持遠程管理;④設計時需充分考慮運行維護的問題,在工程結束時,應有設計及實施文檔。
2.5 技術先進性 先進合理的技術是投資保護的重要方面。網絡核心設備應考慮使用國內外主流廠家生產的設備,同時要把先進的技術與國際公認的標準結合起來,使網絡支持國際上通用的標準網絡協議。
2.6 可擴展性 新建設的網絡應支持各種高速網絡技術,應用全系列的交換產品,拓展網絡帶寬。在工作組結構中采用組合技術,可靈活地構成不同系統,并可方便的擴展。對以后需進行網絡擴展時,前期的投資應能繼續能用。
2.7 實用性 在總體設計要一步到位,保證未來10年,滿足醫院對信息智能化的需求。架構網絡到位的情況下,可根據技術的發展改造升級現有的智能化系統,以提升技術應用水平。實施的網絡系統符合醫院實際需要和投資的合理性,防止片面追求系統的先進性和超前性造成投資的浪費。
3 網絡架構的具體技術分析及實施方案
網絡架構的具體需要技術分析包括HIS、LIS、PACS、視頻等對網絡帶寬和速度的要求。①HIS、LIS業務對網絡性能的要求。HIS主要應用在局域網中,以文字、圖形信息為主;LIS主要是一些技術數據和文字為主。HIS、LIS最集中的時間段在上午8:00-12:00并發連接,但因其數據量多為文字,對帶寬要求不算很高;②PACS業務網絡設計需求。PACS醫療應用數據包含大量影像、文字等信息,對帶寬和網速要求非常高;③視頻類業務網絡設計需求。視頻類業務包含大量音、視頻信息,對帶寬和網速要求也非常高。
假設50個客戶端,5秒內分別讀取約30MB影像,則核心網絡流量=(50×30×8)÷5=2.4Gb/s。千兆網絡最大流量僅為0.7Gb/s,萬兆網絡的流量為7Gb/s,因此建議選擇萬兆核心,以及到影像中心的萬兆匯聚。并且視頻類單獨設立網絡。
綜合醫院的需求分析和網絡架構的建設原則,醫院網絡主要采取內網、外網、監控網絡完全分離的架構,具體實現如下:
3.1 內網建設 內網采用“千兆接入萬兆主干”的思路進行建設。內外網完全物理隔理。無線網絡只作基本鋪設和測試。(圖1)
醫院內網建設在網絡結構的設置上采用核心接入的二層網絡架構,保證網絡架構的穩定性。全網核心交換機采用雙機運行。接入層采用千兆鏈路上聯至核心交換機。同時雙核心之間萬兆鏈路互聯,實現虛擬化冗余備份,邏輯上將兩臺核心虛擬為一臺,進而提高網絡的高可靠和高穩定性,兩臺核心交換機之間萬兆鏈路互聯,實現虛擬化堆疊。
網絡帶寬規劃為接入層全部采用千兆交換機,以六類雙絞線千兆到桌面。滿足醫院更新后的HIS、PACS等運行。
醫院后期業務系統的上線,內部服務器區域網絡設備要求極高的鏈路帶寬、可靠性。數據中心鏈路設計全部采用支持下一代數據中心特性的網絡設備。兩臺支持下一代數據中心特性的機房匯聚交換機采用萬兆雙鏈路上聯至雙核心交換機,實現萬兆平臺數據轉發。
醫院內網通過綜合網關出入,經防火墻與醫保網絡、區域衛生平臺、其它網絡進行互聯,實現與外部的數據交換以及安全過濾和安全保護;能夠實現上網行為管理功能,對醫院醫護人員的上網行為進行管理審計;能夠實現VPN功能,滿足移動辦公時內網資源的訪問需求。
中心機房配備2臺核心交換機,雙機熱備,各樓層布8芯光纖各一條(內網、外網、視頻共用)到各樓層弱電井光模交換機;從核心交換機連接接入交換機;從核心交換機布光纖到舊樓,將原有系統并入網絡,遠程門診通過移動公司的專線接入網絡。
3.2 外網建設
醫院在外網網絡結構的設置上采用核心-接入的三層網絡架構,接入層采用千兆光纖上聯至核心交換機。配置一臺核心交換機、一臺路由器、一臺安全網關、二臺接入交換機,如果接入交換機不夠部分利用現有網絡部分交換機,接入層全部采用全千兆交換機,以六類雙絞線千兆到桌面。
3.3 監控系統網絡建設
醫院在網絡結構的設置上采用核心接入的二層網絡架構,接入層采用千兆光纖上聯至核心交換機。核心交換機采用支持萬兆擴展的千兆光交換機進行數據轉發。接入層全部采用全千兆交換機,以六類雙絞線千兆連接監控攝像頭。
各樓層攝像頭機位相對不多,從攝像頭前端通過計算機雙絞線集中到相對樓層,再從此匯集的交換機通過光纖集中到中心機房的監控核心交換機上。機房的核心交換機通過光纖與監控中心的核心交換機相連,在監控中心進行存儲和前端電視墻進行顯示。
無線架構因耗資過大,現目前只作預留雙絞線及測試AP一個,這里就不談及無線架構。
至此,總體網絡架構成功實現并投入使用。2年多來,運行良好。具體情況如下:
①內網已實現千兆到桌面,PASC圖像因上傳下載量大,只有保證千兆桌面萬兆主干才能正常開展工作。②目前接入信息系統工作站點500多個,屬中等規模,滿足現有信息系統需求,也為后期擴展留有帶寬空間。③智能化的網絡設備通過各種遠程控制軟件對中心機房及網絡設備實現遠程調控,提高工作效率,節約人力。④監控系統因點位不算很多,數據量主要為上傳量大,下行量少,對網絡未形成壓力,運行正常。⑤排隊叫號系統、LED大屏、監控系統等前期網絡架構在保證醫院工作有序安全開展中起到非常大的作用。⑥隨著網絡的正常運行,對服務器要求反而越來越高,服務器面臨需求全面升級。
4 結論
綜上實例,實現三級醫院管理網絡架構,千兆桌面萬兆主干、使用高智能化網絡設備已成現代網絡架構必須,實現醫院工作安全有序前期必須考慮LED大屏、叫號系統、網絡化監控系統等網絡規劃,樓宇異地容災也應該考慮其中。近年無線網絡的大力推行也讓前期無線規劃能在后期得以擴展。前期網絡架構周全考慮才能滿足三級醫院智能管理需求,保證醫院未來十年可持續發展。
參考文獻:
[1]宋磊.醫院信息化建設中的網絡架構規劃與設計[J].醫學信息學雜志,2014(11).
關鍵詞:三層交換,匯聚技術,數據冗余
隨著通信業的發展以及國民經濟信息化的推進,三層交換機在比較大型的局域網中應用越來越廣泛。三層交換技術實質就是二層交換技術+三層轉發技術,傳統的交換技術是在OSI網絡標準模型中的第二層——數據鏈路層進行操作的,而三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發。應用第三層交換技術即可實現網絡路由的功能,又可以根據不同的網絡狀況做到最優的網絡性能。
我們所說的三層交換機就是核心核心層交換機、匯聚層交換機、接入層交換機。同樣作為交換機,核心層,匯聚層,接入層這三層交換機在網絡中扮演的角色是不一樣的。
網絡主干部分稱為核心層,核心層的主要目的在于通過高速轉發通信,提供優化,可靠的骨干傳輸結構,因此核心層交換機應擁有更高的可靠性,性能和吞吐量。接入層目的是允許終端用戶連接到網絡,因此接入層交換機具有低成本和高端口密度特性。接入交換機是最常見的交換機,它直接與外網聯系,使用也最廣泛。匯聚層交換機和核心層交換機的作用與接入交換機不同,在網絡體系中,匯聚交換機它們承擔了網關和三層路由轉發功能的重擔。
在我校網絡建設初期,采用二層交換技術的網絡架構,如圖
從圖中我們可以看到,核心交換機采用二層交換技術,在原先只有100多臺工作站的情況下,網絡性能較理想。后來隨著學校規模的加大,網絡規模也在不斷擴大,工作站增加到500多臺時,網絡性能明顯下降,在高峰期網絡整體速度緩慢,用網管軟件分析,發現網絡中廣播包所占比例很大。另外,對于這種網絡,很容易發生諸如網卡故障等原因引起的網絡廣播風暴,而且一旦發生廣播風暴,很難查找故障點,網絡維護工作量很大。
在學校領導的支持下,我們進行了網絡改造和設備升級,建立了三層交換機技術的網絡架構。如圖
從圖中我們可以看到,在整個校園網中,形成了一個三層交換的網絡:接入層,匯聚層和核心層。是以s8505做核心交換機,三臺s6502做匯聚交換機,(底層)下面是三層交換機做樓宇接入,最下面是的二層交換機用來做樓層或單元的接入,這樣搭建的三層交換體系能夠最大限度的充分利用交換機的背板帶寬,以及應對突發性網絡節點故障,通過各個Vlan的劃分,較好的解決網絡中的可管理性。
接入層是直接面向用戶連接或訪問網絡的部分,也是我們最常見到的交換機,一般用在辦公室,在網口不夠的情況下接入多臺計算機。在這張圖中,就是我們各個計算機終端。。。
在匯聚層,考慮到我校的實際情況,在整個學校得局域網內部,以樓層或者單元為單位,分成三個基于MAC地址的VLAN:信息大樓(包含機房)、辦公教學區、教工宿舍區,通過各自的匯聚交換機對VLAN進行劃分,匯聚交換機處理來自接入層設備的所有通信量,然后通過光纖接入核心交換機,并提供到核心層的上行鏈路,這樣將本地數據交換機流量在本地的匯聚交換機上交換,減少核心層的工作負擔。在實際工作中,各個VLAN之間相互獨立,杜絕了廣播信息的不安全性。
核心相當于一個出口或總匯總,主要目的在于通過高速轉發通信,提供可靠的骨干傳輸結構,因此核心層交換機應擁有更高的可靠性,性能和吞吐量。
對比原有的網絡,我們會發現,通過交換機匯聚,我們技術改造后的網絡有了更大的優勢,變現在
1 大幅度提高了網絡速度。
通過將多個低帶寬端口捆綁成一條高帶寬鏈路,帶寬相當于組內的端口的帶寬總和,增加了網絡帶寬;同時增加了數據冗余,只要組內不是所有的端口都down掉,兩個交換機之間仍然可以繼續通信,實現鏈路負載平衡,可以在組內的端口上配置,使流量可以在這些端口上自動進行負載均衡,避免鏈路出現擁塞現象,也防止單條鏈路轉發速率過低而出現丟包的現象。
2 靈活的管理。
劃分VLAN后,廣播域縮小,有利于改善網絡性能,能夠將廣播風暴控制在一個VLAN內部,同時使網絡管理趨于簡單。VLAN是在一個有多臺交換機的局域網中統一設定的,這使得用戶可以不受所連交換機的限制,不論用戶節點移動到局域網中哪一臺交換機上,只要仍屬于原來的虛網,則應用環境沒有任何改變。3 增加了網絡的安全性
通過VLAN的劃分,不同VLAN的數據不能自由交流,需要接受第三層的檢驗,提高了網絡安全性,在一定程度上加強了虛網間的隔離,使學校辦公區和家屬區互不干涉。
三層交換機也具有訪問列表的功能,可以實現不同VLAN間的單向或雙向通訊。可以通過列表中進行設置,限制用戶訪問特定的IP地址,這樣學校就可以禁止學生訪問不健康的站點。。
訪問列表不僅可以用于禁止內部用戶訪問某些站點,也可以用于防止校園網、城域教育網外部的非法用戶訪問校園網、城域教育網內部的網絡資源,從而提高網絡的安全。
4可擴充性
三層交換機設置在連接多個子網時,子網只是與第三層交換模塊建立邏輯連接,不像傳統外接路由器那樣需要增加端口,并且也能夠滿足學校3~5年網絡應用快速增長的需要。
經過網絡改造和設備升級,通過建立VLAN,使用匯聚交換機技術,實現了“ 一次路由,多次交換”,更大限度的利用了網絡資源,實現了負載平衡,減少了網絡廣播信息,從而提高了網絡運行速度,同時為我校以后的長且網絡建設預留了端口。
參考文獻:二層交換機在園區網中的應用 黃津津 福建電腦, Fujian Computer, 編輯部郵箱 2006年 11期
關鍵詞:校園網;IPv6;實施方案
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013) 30-6735-02
IPv6 [1]是一種新的IP協議,它的主要作用是替代現有的IPv4協議。IPv6與IPv4不同之處在于,前者 除了彌補了后者不足的同時,還增加了很多新的特性。這些特性包括:簡潔靈活的基本和擴展報頭、層次分明的地址結構、特殊的網絡配置方式、高效的路由尋址能力和服務質量、加密機制和網絡層的認證,等等[2] [3]。
針對IPv6的發展趨勢以及校園網絡現狀,提出了校園網IPv6綜合網絡分析方案,其目的是利用現有IPv4網絡設備和平臺以及所必需的自行構建的系統,設計一個具有一定討論、參考價值的針對校園網環境的IPv4/v6綜合網絡方案,并基于目前國內較少采用的Solaris+quagga平臺加以實現。依托此綜合網絡,研究、分析IPv4/IPv6網絡共存和互操作技術,為迎接下一代校園網的到來提供借鑒和技術準備。
1 綜合網絡方案設計與分析
1.1 校園網網絡現狀
校園網建于1997年,并通過IPv4接入CERNET。在教育網拓撲結構中處于末端,申請到的IPv4地址為202.194.48.XXX~202.194.63.XXX,共16個c類地址。網絡以三層交換機Cisco6509為核心,下連多臺三層交換機作為匯聚層設備,各三層交換機之間采用靜態路由。校園網用戶通過本樓二層交換機,分別接入核心交換機或匯聚層交換機,最終通過核心交換機6509接入CERNET。目前的校園網僅覆蓋學校的教學區,規模有限。今后幾年校園網規模將有較大發展,將覆蓋學生宿舍區、家屬區以及一些新建設的教學科研樓宇,預期信息節點數目將超過10000個。
1.2設計思路
本文的主要設計思路是對于已有的網絡部署IPv4/v6,要求是不能對現有的網絡造成影響,能保證其正常運行。現在已經有具備的網絡設備包括:6509核心路由交換機和3550三層交換機。因為在購買的時候不能支持IPv6協議的執行,因此需要對其進行軟件和硬件的升級。但是這樣做的問題很多,并且不一定能夠保證現有IPv4網絡的穩定運行,尤其是在已有網絡中,6509是唯一的核心路由,它本身的負載很繁重。如果強行對其升級,那么極有可能導致整個網絡癱瘓。因此我們在進行設計的時候,借助于IPv6協議棧的設備。另外受到成本因素等其他方面的考慮,設計時選用軟件路由支持IPv6。未來的計劃包括,新加入校園網部分,能夠保證直接升級選擇支持雙棧的三層設備,同時還能夠保證支持IPv4和IPv6的多種應用。另外,為了方便研究IPv4和IPv6互操作技術,需要建立一個只支持IPv6的小型試驗網絡,從而保證新建的IPv6網內部之間可以通過二層交換機 [4]。
1.3綜合網絡拓撲結構設計
根據設計思路,結合XX大學校園網現狀,該文設計了如圖1的IPv4/v6綜合網絡拓撲結構,簡要介紹如下:
本文的設計方案能夠保持原有的IPv4設備和網絡拓撲結構不變,從而使得原來的IPv4網絡能夠正常運行。該文設計的新網絡可以支持IPv4/v6雙棧協議的三層交換機,而且內網中的用戶能夠在純IPv4、純IPv6和IPv4/v6雙棧主機之間靈活的更換。
IPv4/v6是一種基于Solaris平臺的軟件路由器,從某種程度上說,它可以稱為綜合網絡中的核心設備。它不僅承擔了所有IPv6子網之間的路由的功能,還承擔了向上鏈接的重任。
總而言之,實現IPv6主機與IPv4主機的互操作是綜合網絡的一個關鍵部分,在設計時通常需要考慮到NAT-PT的設計,因為它很容易成為網絡性能瓶頸。為了避免這個問題,該文設計如下:如果沒有升級為IPv4/v6雙棧主機,一般的IPv6純IPv4主機是不能訪問IPv6的資源。如果主機進行了升級,可以通過NAT-PT設備訪問IPv4主機。在本文之前的元網絡是沒有直接的IPv6鏈路的,因此為了讓它們接入IPv4/v6軟件路由器,必須向他們提供ISATAP隧道接入服務和隧道服務。
2 關鍵技術的分析與實現
IPv6的地址結構相對IPv4更為復雜,這主要是因為對IPv6地址進行有效規劃是IPv4/v6綜合網絡建設中急需解決的一個關鍵問題[5]。校園網規模擴張速度很快,為了能夠保證其正常運行,就必須要對網絡進行升級。因此,保證地址分配的層次性與可擴展性是IPv6地址規劃的重要原則 [6]。
本單位通過CERNIC(中國教育科研網網絡信息中心)申請到的地址塊為2001:250:5809/48,前綴是48位,因此在地址規劃時,只需要考慮剩余的16位子網標識符(SLA ID)部分即可。地址規劃需要滿足層次性與擴展性原則,該文實現的地址規劃方案如表1所示。
3 結束語
本文深入研究了IPv6的技術理論和工作機制,并與IPv4進行對比分析;對IPv4/v6共存和互操作技術進行分析研究;以此為理論基礎,就下一代IPv4/v6綜合網絡校園網的實施策略、部署模式進行了探討;設計了一套符合本單位實際情況的IPv4/v6綜合網絡方案;最后針對方案中涉及到的幾點綜合網絡關鍵技術進行了詳細分析,并基于Solaris操作系統平臺和quagga軟路由平臺,在本單位IPv4/v6綜合網絡的建設中加以實現。
參考文獻:
[1] [美]戴維斯(Davies,J).理解IPv6[M].北京:電子工業出版社,2004.
[2] 周遜. IPv6—下一代互連網的核心[M].北京:電子工業出版社,2003.
[3] [美]Pete Loshin. IPv6詳解[M].北京:機械工業出版社,2000.
[4] 王海燕,任儆,徐建東.校園網接入CERNET2的技術實現[J].中國電化教育,2005,17(5):96-99.
關鍵詞:網絡通信內容;干擾性;影響;過濾
中圖分類號:TP39 文獻標識碼:A
在普及互聯網的過程中,無論從法律上還是從技術上對網絡內容的監管都存在非常大的管理空白,這樣缺少監管的結果,導致垃圾性的信息和大量干擾性在網絡上傳播,比如像飄浮對象、Flash、彈出窗口等形式的頁面Web廣告,后臺自動下載的惡意程序和病毒等有害的腳本嵌入在Web的頁面中(流氓軟件),以及各種病毒郵件與垃圾郵件等。這些干擾性的垃圾信息不但給網絡通信的質量帶來明顯的負面影響,同時給上網的人們也造成了不良上網體驗。當這些負面影響大到一定程度后,既導致網絡資源投入的極大浪費,同時影響到網絡的通信效率。通過對網絡內容的過濾系統能夠有效地過濾上文述的干擾性垃圾信息,從而降低網絡流量的需求,使網絡運行速度大幅度的提升,同時由于有害代碼和針對病毒的過濾也在內容過濾的范疇之內,因此內容過濾還能夠在一定程度上增強網絡的安全性。研究和分析內容過濾對網絡通信效率各方面的綜合影響,對促進生產效率的提高、改善網絡用戶的上網體驗、提高網絡運行效率、部署網絡安全、指導網絡建設等,都有著非常重要的意義。
一、搭建數據采集平臺。
數據采集平臺的搭建需要對特定的對象進行考察,采集網絡中一定時間段與一定數量以及多種協議和應用中的垃圾性和干擾性數據,才能對網絡通信中干擾性信息對其負面影響結果進行分析統計。網絡環境的選擇:為了確保真實性的采集環境,以達到能夠真實性的反映網絡垃圾信息和干擾性信息對網絡通信的實際影響,例:選擇一個用戶無明顯應用行業特征、數量大概為400臺機器的小區網絡環境。
1采集數據方法:使用網關(某型綜合內容過濾),該網關對各種級別的規則設置都能支持,同時記錄與生成非常詳細的過程。將網關設備設置成透明模式后接入到采集數據的小區網絡的交換機上,用戶桌面、交換機均都不能進行任何的額外設置。以這樣的方式接入能夠確保所有發送、接收網站的網絡流量均為100%從網關經過內容過濾系統處理,從而不會出現其他干擾或者旁路。
2采集數據時間:為保證網絡協議類型量和訪問數有足夠多的類型與數量,從而達到需要滿足分析統計的準確度,將采集數據總體時間確定為一個月,當中,第一周的前3天(約半周)不額外的設置過波規則,而只使設備停留在最原始保守狀態,來觀察在未采取過濾手段情況下的響應規則頻度,第四天到第二周結束的這段時間內啟用最嚴格的過濾規則,以便考察峰值響應信息的規則,第三周和第四周則啟用比較折衷的過濾規則,用二周的連續時間來考察過波規則響應的均勻度。
二、抽樣統計web瀏覽時間
對用戶端上網效果的考察。在單位時段相同之內,通過瀏覽器用戶在訪問若干相同網頁并計時,以從槍入地址后回車到頁面狀態欄顯示“完成”為打開時間,均以相同方法對每個考察對象在瀏覽器緩存清空的情況下訪問5次,取其平均值通過取值曲線可以非常明顯的看出,內容過濾是否已進行,對于打開網站的速度的影響極為明顯,內容過濾啟動時,打開時間平均為2.944,而內容過濾不啟用時,打開時間平均為4.455,兩者相差1.516。這就說明,內容過濾啟用后,打開瀏覽網頁的時間比內容過濾不啟用節省113的時間,這樣的效率節約已經非常可觀。如果內容過濾設備按照記錄的HTTP總體掃描請求次數2976583次計算,每次可節省1,5s,則再一個月內該小區的所有用戶可以減少的等待時間總計為1240h當然這樣得出的只是理論值,實際還要結合特殊情況。
1內容過濾延遲
內容過濾系統自身對網絡的通信肯也定存在一定的負面作用,典型的由于應用層過濾的需要,內容過濾系統需要將收到的數據包進行重組后再進行規則匹配,然后再返回某種結果給用戶。獨立系統的延遲相對容易考察,但針對一定規模的園區網絡環境下內容過濾系統對網絡的延遲影響是不太容易考察的。不過,綜合前面幾類數據,可以分析得出內容過濾系統對網絡通信延遲的影響情況。
2對于POP3或者SMP應用,由于電子郵件本身并不強調很高的實時性,因此收發電子郵件時內容過漣系統對其進行幾秒甚至幾十秒鐘的掃描,是不會讓郵件收發雙方感覺到時間的延遲的。
3對于HTTP類型的應用,比如Web瀏覽等,由于不管是否啟用內容過濾系統到測試中,一個典型門戶網站首頁的打開也在數秒鐘內浮動變化,而且啟用內容過波后,打開網頁的速度節省明顯達1/3的時間。這說明低數據量、高頻度的HTTP應用中,內容過濾系統導致的延遲能夠被因過濾干擾性垃圾信息后節省的時間所抵消,并且進行內容過濾后節省的時間要大于延遲的時間。
結語
綜上文所述,通過對一個小區的典型網絡通信效率與網絡內容過濾的關系來考察分析,得出了當前的網絡環境中影響網絡安全與通信效率的主要因素是來源于HTTP類型的主流應用,內容過濾在應用層中是起著提高網絡通信效率、解決這些負面因素影響的作用,實際應用中的內容過濾,過濾規則的制定直接影響著過濾的效果。研究的結果充分證明了在網絡的運行保障以及安全的相關部署中,應用層的控制管理是不能忽視的,內容過濾設備的正確合理部署能夠明顯提升網絡利用率、改善網絡用戶的使用體驗、增強其安全性。
參考文獻
[1]焦黎冰,封化民,何文才,李雪龍.一種改進的基于Web的新聞視頻內容語義分析方法[J]. 江西師范大學學報(自然科學版),2008(02).
[2]趙宇,池暢,孫妍.互聯網各類攻擊源的特征與防范方法[A].2010通信理論與技術新發展——第十五屆全國青年通信學術會議論文集(上冊)[C].2010(05).
[3]張亞魁,魏臻,劉征宇.輕量級嵌入式TCP/IP協議棧的設計與實現[A].全國第20屆計算機技術與應用學術會議(CACIS·2009)暨全國第1屆安全關鍵技術與應用學術會議論文集(下冊)[C].2009(09).
關鍵詞:校園網 網絡規劃 DHCP VLAN
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2013)09-0024-02
1 引言
IP地址管理是校園網管理中的一個重要內容,管理員要經常受到IP地址分配、地址查詢、地址盜用等一系列問題的困擾,所以在校園網建設之初對整個網絡進行合理的地址規劃,并同時建立一套快捷、高效、簡便的管理體制就顯得非常必要。我校在新校區校園網建設中根據學校教學、辦公等需求,結合目前設備條件,利用DHCP與VLAN技術結合的方法進行網絡規劃,為日后進行有效地址管理奠定了基礎。
2 DHCP與VLAN概述
2.1 DHCP概述
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)是一個簡化主機IP地址分配管理的TCP/IP標準協議。它基于C/S工作模式,提供了一種動態指定IP地址和配置參數的機制。可以利用DHCP服務器來管理動態的IP地址分配及其相關的環境配置工作,目前二層以上交換機也可以提供DHCP服務。
DHCP工作原理:當DHCP客戶端計算機啟動后,會通過網卡向整個子網發出一個廣播數據包,詢問是否有一個DHCP服務器存在,如果有,就會向該服務器發出請求,要求租用一個可用的IP地址。當網絡中的DHCP服務器收到該請求后,就會根據IP地址池中現有地址的情況,采取一定的方式出租一個IP地址給客戶計算機,同時將相關信息一起分發給DHCP客戶計算機。在實際應用中,需要給DHCP服務器配置一個地址池,讓DHCP根據客戶請求分配IP地址及參數(子網掩碼、網關、DNS服務器地址等)。
DHCP服務器工作的整個過程可以分為以下幾個步驟:
(1)客戶端發出數據包請求DHCP服務器回應;
(2)DHCP聽到廣播;
(3)DHCP服務器分配IP地址及相關數據給客戶端;
(4)客戶端收到后利用這個IP地址連接網絡,直至租約到期。
2.2 VLAN技術概述
虛擬局域網(VLAN,Virtual Local Area Network)是在整個網絡中通過網絡交換設備建立的虛擬工作組,在LAN配置中提供傳統上由路由器提供的網絡分段服務。它使數據的傳送不受網絡的物理結構限制,真正實現了網絡用戶與它們的物理位置無關。
VLAN的劃分有四種方式:(1)根據端口劃分;(2)根據MAC地址劃分;(3)根據網絡層劃分;(4)根據IP組播劃分。不同的劃分方法各有優缺點,要根據具體的應用選擇相應的實施方案。VLAN技術把傳統的廣播域按需分割成各個獨立的子廣播域,能隔離廣播風暴,提高有效帶寬的使用。它還能確保網絡安全和強化網絡答理,充分體現了現代網絡技術的重要特征:高速、靈活、管理簡便和易擴展平臺。VLAN之間的通信需要路由,VLAN間路由是通過路由器或具有路由功能的交換機來實現的。
3 學校網絡環境現狀及需求分析
我校新校區網絡規模不大,涉及到網絡中心、教學樓、圖書館、機房等場所,拓撲結構如(圖1)所示。學校擁有8個C類IP地址段(以192.168.2.X~192.168.9.X為例),其中192.168.3.X、192.168.4.X和192.168.8.X已經分配給老校區的辦公區和家屬區,重新修改工作量比較大,因此考慮老校區地址不變,將其余的5個C類IP地址段在新校區統一規劃。
學校在新校區網絡建設中采購了相應的網絡設備。如用千兆防火墻作為出口網關、高性能的三層交換機DCRS-7604作為核心、背板帶寬及轉發率比較高的三層交換機DCRS-5950作為機房的匯聚交換機、各個樓宇的接入交換機均選用DCS-3950二層交換機。
4 利用DHCP與VLAN技術進行網絡規劃的思路
根據我校的教學、行政和財務等方面的實際情況以及所采購設備的性能指標,并結合校園網建設的實踐和經驗,提出以下基于DHCP和V LAN技術進行網絡規劃的實施策略:
4.1 以具有路由功能的核心交換機作為DHCP服務器
核心交換機DCRS-7604是具有路由功能的三層交換機,內置DHCP Server,可以根據地址規劃情況,在核心交換機上劃分若干個VLAN,同時設置若干個地址池,分別對應各個VLAN,提供DHCP服務。
4.2 核心交換機基于端口劃分VLAN
由于我校新校區各個機構地理位置相對比較集中,VLAN劃分工作也相對比較簡單,大體上根據教學區、辦公區、學生區域、機房等幾個區域劃分VLAN。每個區域對應核心交換機上的一個或多個端口,所以宏觀上看主要是以接入樓宇劃分VLAN為主,體現在核心交換機上,主要是基于端口進行劃分VLAN。
4.3 各樓宇內以交換機端口劃分VLAN為主
部分樓宇內部涉及到多個單位,要使大量數據的傳輸集中在某個VLAN內部,而使VLAN與外界的通信數據流量盡量減少,這對校園網絡設備的利用、管理和資源的利用是有利的。因此需要在接入交換機上根據不同單位所上聯端口分別劃入不同VLAN,這樣,各單位內部業務僅在本單位VLAN內進行,不會占用大量公共網絡資源。
4.4 根據需要,靈活配置VLAN
根據校園網絡運行實際需要,可以靈活地增加、刪除、修改、臨時關閉VLAN和網關,設置VLAN的訪問權限,以保證各項應用的高效率穩定運行。
5 DHCP與VLAN技術在校園網規劃中的實施及應用
5.1 整體規劃
首先根據學校整體IP地址擁有量、各單位地址需求等情況,并綜合考慮老校區網絡現狀,對IP地址進行整體規劃(表1)。
5.2 在核心交換機上實施
因為核心交換機既要作為各個區域的交換核心、路由核心,同時還要作為DHCP SERVER,為各個VLAN提供DHCP服務,所以這些工作都要在核心交換機上實施。
(1)啟動DHCP服務,建立地址池:
service dhcp
ip dhcp pool 11
network-address 192.168.2.64 255.255.255.192
default-router 192.168.2.65
dns-server 202.102.224.68 202.102.22768
……
(2)劃分VLAN
vlan 10
name WangLuoZhongXin
vlan 11
name 1-4CengBanGong
……
(3)為各個VLAN指定地址
interface Vlan11
ip address 192.168.2.65 255.255.255.192
……
5.3 在接入交換機上實施
接入交換機上主要基于端口進行VLAN劃分。有些樓宇內僅有一個單位,只需將該交換機所有端口加入事先規劃好的VLAN即可,有些樓宇內涉及到多個單位工作,需要根據規劃將相關端口劃入不同VLAN。
實施方法:
vlan 11
name 1-4CengBanGong
switchport access interface Ethernet0/0/1-0/0/24
……
6 結語
DHCP和VLAN技術的綜合運用為校園網的建設提供了高度的靈活性和可靠的網絡安全管理,顯示出獨特的優點。利用DHCP和VLAN技術,根據不同需要實施不同的策略,統籌規劃,可以建設一個穩定性好、可管理性強、安全性高的大型校園網絡。因此,本文提出的以DHCP和VLAN技術為基礎的校園網的VLAN構建和配置策略,為組建快速、高效、安全的綜合性校園網提供了一套可行的解決方案。
參考文獻
[1]尹敬齊.局域網組建與管理[M].北京:機械工業出版社,2007:89-92.
[2]IETF.Dynamic Host Configuration Protocol(EB) RFC2131,1997.
[3]W.Richard Stevens.TCP/IP詳解(卷1)協議[M].北京:機械工業出版社,2004.
[4]王建玉.實用組網技術教程與實訓[M].北京:清華大學出版社,2005:100-105.
[5]黃世權.T rank和V LAN技術在大型校園網中的綜合運用[J].安徽大學學報(自然科學版),2006(3):30-32.
[6]顧曉燕.VLAN技術及在校園網中的實現[J].開發應用,2006(8):71-73.
[7]錢愛增.VLAN技術實驗教學設計[J].中國教育信息化,2009(15):75-78.
[8]胡同花.VLAN技術在校園網的應用[J].湖南科技學院學報,2009(12):72-73.
[9]楊永斌.VLAN技術在校園網建設中的應[J].計算機科學,2004(12):41-43.
[10]宋洪娟.VLAN與STP在園區網組建中的融合應用[J].電腦知識與技術,2009(11):96-97.
[11]汪雙頂,韓立凡.中小型網絡構建與管理[M].北京:高等教育出版社,2006-12.
