机房网络设计方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇机房网络设计方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
机房网络设计方案范文第1篇
【关键词】DAS;NAS;IP-SAN;iSCSI
基于IP技术的存储区域网络架构,决定数据中心存储系统采用IP-SAN架构:IP-SAN无需过多成本、TCP/IP网络技术成熟、统一标准化、较好的高扩展性和管理人性化等特点,比较适合数据中心所需的高速率、高带宽的存储系统组建。下面将通过前期对学院目前数据中心存在的问题以及当前使用要求指标,制定数据中心存储系统解决方案。
1 制定方案
1.1 需求分析
本课题研究以某学院国家骨干示范建设《小型数据中心存储系统》项目为背景,数据中心的设计目标是现有各通信与计算机实训室终端设备和系统对数据中心快速访问并满足大规模数据存储的现实要求。在建设高容量高性能基础上,数据中心对于异构网络的兼容性即高可用性,并且能够以低成本投入高效能应用的要求。
1.2 方案确定
首先确定网络平台:现有的计算机终端基本配备有网络适配器,有的还是千兆网络适配器。IP网络技术成熟,采用iSCSI协议的IP网络存储系统技术起点高。从存储系统的使用要求来看,基于IP技术的存储系统是我们实现低成本高性能的不二选择。以后千、万兆以太网发展起来后,IP网络传输速率将大大提高。
其次确定网络架构:NAS和SAN两种架构形式都能使用IP网络。前者是基于文件的网络存储和文件备份的存储架构,多见于海量存储、高读写吞吐率等。实现文件集中管理、统一存储,它对IP网络环境没有要求。NAS设备可应用于异构网络环境(如FTTX等)而且位置不受限制[1]。网络附加存储的不足在于没有集中备份数据的功能,不能有效支撑数据库应用,最核心的一点是网络附加存储不能支持块级数据传送,它是面向文件级的。IP-SAN把SCSI映射至TCP/IP之上,能够完成SCSI块数据传送于IP网络之中,它采用的是TCP/IP、SCSI协议,利用IP网等,解决了FC-SAN存在的范围扩展问题[2]。IP-SAN有效地解决了当前的存储设备,尽可能地扩展了存储资源,保障了更多的业务应用;较好地解决了困扰DAS与SAN受限地理范围的问题;能够较为有效地利用以太网以及通过网络管理软件解决运维问题[3]。基于上述,本案宜采用IP-SAN存储架构。
IP-SAN协议的确定:存储区域网络技术大体有FCIP、iFCP以及iSCSI三种,FCIP与iFCP主要是存储区域网络技术从FC通道到IP网络的中间临时使用,但是本课题大致应用于数据存储和传输的存储系统和设备,涉及光纤设备和光纤网络较少,三种协议中,只有iSCSI协议与光纤无关,故iSCSI协议在此采用。服务器中的软件,把SCSI数据打包进IP包里面,而后把这个包传送至目标设备,在IP网络上,再由后者将IP包解包还原为SCSI数据。
2 数据中心存储系统的方案设计
依据IP-SAN结构与iSCSI协议相关标准,存储系统结构:软件部分由iSCSl目标器软件、Web管理软件和iSCSI启动器程序(客户端)三部分组成。用户只需安装并启动iSCSl启动器软件,通过TCP网络,就能访问位于Stroage Server上目标资源,也能够使用Web应用程序,管理与配置这些资源。硬件层面,使用IBM服务器相连于吉比特局域网。作为全部IP-SAN中最重要的设备,Stroage Server使用iSCSI协议,支持DATA存储业务于存储用户。结合数据中心应用的服务对象-用户的实际需求,该设备的磁盘容量不能设计太小,还要兼具合适的扩展、容灾能力,适用于千兆局域网络,能够提供热插拔功能。网络层面,采用吉比特网络。
2.1 选择IP-SAN存储服务器
针对存储系统稳定可用方面的需求,我们选用了IBM公司的X3650 M3系列服务器,安装08网络操作系统,采用SATA硬盘接口,8块500G硬盘,这里面使用1个安装操作系统,1个用来做冗余,RAID 5配置在剩余的6块硬盘上。采用Web存储服务管理软件,为用户提供向导式图形化接口,用来申请、注销iSCSI存储服务。
2.2 客户端
鉴于数据中心目前大部分主机的操作系统安装使用情况,采用微软2000,该的Internet Explorer指明要5.0或更高版本。安装微软操作的客户端,iSCSI使用微软免费启动器程序。
3 存储服务器的磁盘阵列配置
根据需求分析,本数据中心存储系统解决方案采用RAID 5配置。比RAID0高的数据安全性能,比RAID 1高的数据读写性能,使其成为了存储性能、数据安全和存储成本兼顾的存储解决方案。与RAID 1不同的是RAID 5多了一个奇偶效验信息[5]。
存储服务器管理软件当前基本都采用了图形化窗口式的设计,管理员不用登录设备配置管理,这样设备既方便使用又安全。它的工作过程为:机器上启用一个名为Servlet的服务,管理员使用JSP网页请求任务,然后Servlet通过TELNET运行目标器程序,再执行管理员的操作。已运行的目标器程序信息还能由此管理软件保存在硬盘上,并拥有自我恢复功能[6]。
iSCSI协议在兼容性、可扩展性、安全性方面的特点,决定了IP-SAN这种存储架构的发展必将大规模的应用于现代IP网络中。随着千兆级、万兆级局域网的发展,IP-SAN势必取得不亚于FC-SAN的传输速率和高带宽。而采用iSCSI的IP存储区域网络解决方案投入较少,IP网络技术相对成熟、扩张方便和管理容易,适合数据中心高性能高带宽存储业务的要求。在学院小型数据中心存储系统的解决方案中,存储服务器采用WINDOWS平台,以不多的软、硬件投入完成了IP-SAN存储系统的设计,后期还可以对系统功能进行扩展和优化。
【参考文献】
[1]李兆虎.网络存储系统仿真研究综述[J].计算机研究与发展,2012(49).
[2]陈涛,肖侬,刘芳.大规模网络存储系统的数据布局策略研究[J].计算机研究与发展,2009:46-47.
[3]朱洪斌,程杰.数据中心存储网络架构研究[J].电力信息化,2010:22-26.
[4]Chi-Huang Chiu ;Hsien-Tang Lin ;Shyan-Ming Yuan a content delivery system for storage service in cloud environment [EI SCI]International journal of ad hoc and ubiquitous computing.2010,6-8.
机房网络设计方案范文第2篇
关键词:校园网;网络安全;方案设计
当前网络技术的快速发展,大部分高校已经建立了学校校园网络,为学校师生提供了更好的工作及学习环境,有效实现了资源共享,加快了信息的处理,提高了工作效率【1】。然而校园网网络在使用过程中还存在着安全问题,极易导致学校的网络系统出现问题,因此,要想保证校园网的安全性,首先要对校园网网络安全问题深入了解,并提出有效的网络安全方案设计,合理构建网络安全体系。本文就对校园网网络安全方案设计与工程实践深入探讨。
1.校园网网络安全问题分析
1.1操作系统的漏洞
当前大多数学校的校园网都是采用windows操作系统,这就加大了安全的漏洞,服务器以及个人PC内部都会存在着大量的安全漏洞【2】。随着时间的推移,会导致这些漏洞被人发现并利用,极大的破坏了网络系统的运行,给校园网络的安全带来不利的影响。
1.2网络病毒的破坏
网络病毒是校园网络安全中最为常见的问题,其能够使校园网网络的性能变得较为低下,减慢了上网的速度,使计算机软件出现安全隐患,对其中的重要数据带来破坏,严重的情况下还会造成计算机的网络系统瘫痪。
1.3来自外部网络的入侵和攻击等恶意破坏行为
校园网只有连接到互联网上,才能实现与外界的联系,使校园网发挥出重要的作用。但是,校园网在使用过程中,会遭到外部黑客的入侵和攻击的危险,给校园互联网内部的服务器以及数据库带来不利的影响,使一些重要的数据遭到破坏,给电脑系统造成极大的危害。
1.4来自校园网内部的攻击和破坏
由于大多数高校都开设了计算机专业,一些学生在进行实验操作的时候,由于缺乏专业知识,出于对网络的兴趣,不经意间会使用一些网络攻击工具进行测试,这就给校园网络系统带来一定的安全威胁。
2.校园网网络安全的设计思路
2.1根据安全需求划分相关区域
当前高校校园网都没有重视到安全的问题,一般都是根据网络互通需要为中心进行设计的。以安全为中心的设计思路能够更好的实现校园网的安全性。将校园网络分为不同的安全区域,并对各个区域进行安全设置。其中可以对高校校园网网络安全的互联网服务区、广域网分区、远程接入区、数据中心区等进行不同的安全区域。
2.2用防火墙隔离各安全区域
通过防火墙设备对各安全区域进行隔离,同时防火墙作为不同网络或网络安全区域之间信息的出入口,配置不同的安全策略监督和控制出入网络的数据流,防火墙本身具有一定的抗攻击能力。防火墙把网络隔离成两个区域,分别为受信任的区域和不被信任的区域,其中对信任的区域将对其进行安全策略的保护,设置有效的安全保护措施,防火墙在接入的网络间实现接入访问控制。
3.校园网网络安全方案设计
3.1主干网设计主干网可采用三层网络构架,将原本较为复杂的网络设计分为三个层次,分别为接入层、汇聚层、核心层。每个层次注重特有的功能,这样就将大问题简化成多个小问题。
3.2安全技术的应用3.2.1VLAN技术的应用。虚拟网是一项广泛使用的基础,将其应用于校园网络当中,能够有效的实现虚拟网的划分,形成一个逻辑网络。使用这些技术,能够优化校园网网络的设计、管理以及维护。
3.2.2ACL技术的应用。这项技术不仅具有合理配置的功能,而且还有交换机支持的访问控制列表功能。应用于校园网络当中,能够合理的限制网络非法流量,从而实现访问控制。
3.3防火墙的使用防火墙是建立在两个不同网络的基础之间,首先对其设置安全规则,决定网络中传输的数据包是否允许通过,并对网络运行状态进行监视,使得内部的结构与运行状况都对外屏蔽,从而达到内部网络的安全防护【3】。如图一所示。防火墙的作用主要有这几个方面:一是防火墙能够把内、外网络、对外服务器网络实行分区域隔离,从而达到与外网相互隔离。二是防火墙能够将对外服务器、网络上的主机隔离在一个区域内,并对其进行安全防护,以此提升网络系统的安全性。三是防火墙能够限制用户的访问权限,有效杜绝非法用户的访问。四是防火墙能够实现对访问服务器的请求控制,一旦发现不良的行为将及时阻止。五是防火墙在各个服务器上具有审计记录,有助于完善审计体系。
4.结语
总而言之,校园网络的安全是各大院校所关注的问题,当前校园网网络安全的主要问题有操作系统的漏洞、网络病毒的破坏、来自外部网络的入侵和攻击等恶意破坏行为、来自校园网内部的攻击和破坏等【4】。要想保障校园网网络的安全性,在校园网网络安全的设计方面,应当根据安全需求划分相关区域,用防火墙隔离各安全区域。设计一个安全的校园网络方案,将重点放在主干网设计、安全技术的应用以及防火墙的使用上,不断更新与改进校园网络安全技术,从而提升校园网的安全性。
作者:金茂 单位:杭州技师学院
参考文献:
[1]余思东,黄欣.校园网网络安全方案设计[J]软件导刊,2012,06:138-139
[2]张明,姜峥嵘,陈红丽.基于WLAN的无线校园网的设计与实现[J]现代电子技术,2012,13:63-65+68
机房网络设计方案范文第3篇
[关键词] 网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating System)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
SJW-22网络密码机系统组成
网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。
①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:在用户指定的时间段内,截获Host Sensor Program用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP, UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案,应建立在对网络风险分析的基础上,结合系统的实际应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固化为一个模式,用这个模子去套所有的信息系统。
本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、立体的、多层次的网络安全防御体系。
参考文献:
[1]吴若松:新的网络威胁无处不在[J].信息安全与通信保密,2005年12期
[2]唐朝京张权张森强:有组织的网络攻击行为结果的建模[J].信息与电子工程,2003年2期
机房网络设计方案范文第4篇
关键词:WCDMA;TD-SCDMA;混合组网
中图分类号:TN929文献标识码:A文章编号:1009-2374(2009)21-0038-03
ITU针对3G规定了五种无线通信技术,其中WCDMA、cdma2000和TD-SCDMA是三种主流技术。其中WCDMA和cdma2000采用频分双工方式,需要成对的频率规划;WCDMA扩频码速率为3.84Mchip/s,载波带宽为5MHz。TD-SCDMA采用时分双工、TDMA/CDMA多址方式工作,扩频码速率为1.28Mchip/s,载波带宽为1.6MHz,其基站间同步是必须的。TD-SCDMA采用了智能天线、联合检测、上行同步控制及动态信道分配、接力切换等技术,适合非对称数据业务。WCDMA采用了HSDPA技术,其下行数据速率超过了普通WCDMA和TD-SCDMA,是目前3G技术中发展最快的技术,也是商用化最快的技术。WCDMA与TD-SCDMA的标准制订都由3GPP来完成的,二者在业务层和核心网层的协议是一致的,主要区别是使用了不同的无线接入技术。因此,WCDMA与TD-SCDMA系统在网络结构上具有一定的共性,既可以实现独立组网,也可以实现混合组网。
一、WCDMA与TD网络混合组网网络结构
3GPP的网络结构分为核心网和无线接入网两大子系统。WCDMA及TD-SCDMA是3GPP的两种无线接入技术,具有相同的网络架构,在系统最初设计时两种技术都是按照可以独立组网的能力进行设计的。TD-SCDMA的特点主要反映在空中接口上,TD-SCDMA的基站(NodeB)、终端和WCDMA的基站、终端是不同的,基站控制器RNC有少量的不同点,而在核心网方面没有任何差别。WCDMA网络与TD-SCDMA混合组网时通过共用核心网、共用RNC及核心网两种方式。
(一)共用核心网方式
在核心网与UTRAN的Iu接口上,从目前3GPP的规范来看,是不区分FDD和TDD的,因此TD-SCDMA与WCDMA的Iu接口也是一致的。从核心网的角度看,TD-SCDMA、WCDMA是两种不同的接入方式,不同的接入方式的差别已经在RNC得到处理,核心网所见的是一个统一的Iu接口。对核心网来讲,唯一可见两种接入方式的是在无线接口层三协议(由TS24.008规定),在TS 24.008中,有两个bit示出TD-SCDMA与WCDMA的区别,具体如下:
1.Mobile Station Classmark 3信息单元(TS24.008中10.5.1.7)。此信息单元指示一般的移动台特征,其内容将会影响网络对移动台的操作。Mobile Station Classmark 3中有两个bit(UMTS FDD Radio Access Technology Capability和UMTS 1.28 Mcps TDD Radio Access Technology Capability),用于在重定位请求时分别指示移动台对WCDMA和TD-SCDMA RAT的支持能力。
2.MS Radio Access capability信息单元(TS24.008中10.5.5.12a)。MS Radio Access capability是一个GPRS移动性管理的信息单元,用于向网络的无线部分提供移动台无线特征的信息,其内容将会影响网络对移动台的操作。MS Radio Access capability中有两个bit(UMTS FDD Radio Access Technology Capability和UMTS 1.28 Mcps TDD Radio Access Technology Capability),用于路由区更新及附着请求时分别指示移动台对WCDMA和TD-SCDMA RAT的支持能力。
此两项只是移动台在接入或区域发生变化时用来向网络指示其是否支持TD-SCDMA和WCDMA,其实现的操作过程相同,对于流程及底层的传输并不产生大的影响,且并不影响接口和流程。
(二)共用RNC及核心网方式
在3GPP的协议标准中,TD-SCDMA的RNC与WCDMA的RNC 在高层协议处理过程上大部分是相同的,只有几个协议过程有区别,但在无线资源管理上TD-SCDMA的RNC与WCDMA的RNC区别比较大。在RNC二、三层协议MAC、RLC、PDCP、BMC、RRC中,TD-SCDMA与WCDMA仅在MAC与RRC方面有些差别,主要是随机接入过程、物理信道配置、上行同步及其参数的不同以及在功率控制方面的一些差别,在其余的协议中无差别。在RNC第三层协议方面,TD-SCDMA与WCDMA在Iu接口上无差别,在Iub和Iur接口上有一些差别(协议栈相同,消息及IE、某些数据帧结构不同),主要是因为有些过程、功能(Iub和Iur中的 NBAP/RNSAP)和某些数据帧(Iub/Iur UP)与TD-SCDMA特有的或与WCDMA不同的物理层有关。
1.RRM。WCDMA系统和TD-SCDMA系统的无线资源管理差别比较大,主要原因是TD-SCDMA和WCDMA在物理层上差别比较大,这是由于物理层帧结构、资源单元使用、同步方式以及智能天线等不同所造成的。差别最主要体现在DCA(动态信道分配)上,包括快速DCA 以及慢速DCA,是TD-SCDMA系统特有的功能;另外,在切换控制功能方面,TD-SCDMA没有软切换,有接力切换,而WCDMA有软切换没有接力切换;在其他功率控制、接入控制、小区选择等方面,由于考虑了智能天线的应用,在算法和策略上也有一定程度的不同。
2.压缩模式控制。压缩模式是WCDMA特有的一种模式,很多过程都与压缩模式相关:如无线链路建立与无线链路增加,同步与非同步无线链路重配,同步无线链路准备取消等。
3.共享信道的管理。FDD与TDD有所不同,WCDMA特有的传输信道:公共分组信道(CPCH);TD-SCDMA特有的传输信道:上行共享信道(USCH),DSCH两者都有但使用上有区别;另外,引入HSDPA技术后,WCDMA中HS-SCCH不同于TD-SCDMA中的HS-SCCH,WCDMA中的HS-SCCH的扩频因子为128,TD-SCDMA中的HS-SCCH扩频因子为16,HS-DSCH两者都有,但使用上也有不同。
4.同步区别。由于WCDMA基站为异步方式,同步为可选方式,TD-SCDMA为GPS同步或主从同步方式,因此WCDMA系统和TD-SCDMA系统在Node B间同步方式和无线接口同步方式方面存在差异。
二、WCDMA与TD网络混合组网网络覆盖
当WCDMA与TD-SCDMA系统混合组网时,考虑到WCDMA与TD-SCDMA两个系统各自在网络规划方面的特点,在网络规划时可充分利用两个系统的优势,做到优势互补。根据覆盖环境需要和业务需求,网络覆盖策略可以分别采用分层覆盖和分区覆盖。
(一)分层覆盖
主要的网络覆盖方案包括:
1.采取WCDMA 进行建网,TD-SCDMA 作为中后期解决WCDMA热点区域容量的一个补充。
这个混合方案的基础是初期采取WCDMA进行单独组网,利用WCDMA完成话音、数据(低速,中速和高速)的覆盖,在规划上不需要考虑TD-SCDMA网络的影响,只需要考虑设备的兼容性和网管的互操作性。随着网络用户的发展,如果现有的WCDMA网络很难解决或无法解决热点地区的容量问题时,可以利用TD-SCDMA与WCDMA 的技术相通性和兼容性,采取TD-SCDMA 来进行补充。这种方案,TD-SCDMA完全作为一个WCDMA FDD的网络的补充功能,类似于WCDMA TDD HCR 承担的功能。这种方案是可行的,前期风险也是最低的。
2.WCDMA用以解决全国性的覆盖问题,TD-SCDMA用以解决容量问题这种方案,可以分为如下三种方式:(1)WCDMA完成全网覆盖,完成话音和低速数据业务(比如Q64kbps的数据业务)的接入,TD-SCDMA解决业务增长和中高速数据业务的接入;(2)WCDMA完成全网覆盖,完成话音全覆盖并吸收大部分话音话务量,TD-SCDMA在某些热点地区做话务量补充,TD-SCDMA实现全部数据(低速,高速)的覆盖;(3)WCDMA实现话音全覆盖,TD-SCDMA用于吸收大部分话务量和数据全覆盖。在TD-SCDMA设备成熟之后,这种混合组网方式具有一定的吸引力,可以充分发挥TD-SCDMA与WCDMA系统各自的优势。但是,随着HSDPA技术的引入,WCDMA会首先使用这种技术,TD-SCDMA使用HSDPA技术还需要一段时间。在WCDMA采用HSDPA而TD-SCDMA还没有采用HSDPA技术的时间段内,TD-SCDMA系统的非对称数据传输没有优势,上述三种方式也就没有存在的基础。
对于WCDMA与TD-SCDMA系统混合组网,究竟选择哪种方式, 最终取决于建网的时候TD-SCDMA 产业的成熟度、国家政府部门对3G制式选择的制约以及运营商的投资规模。如果建网时TD-SCDMA 产业链还不很成熟但必须混合组网时,可以选择A方式,如果TD-SCDMA 产业非常成熟,可以根据建网策略, 考虑A或者B或者C。
(二)分区覆盖
分区覆盖,即WCDMA与TD-SCDMA分别覆盖不同区域,各自保持覆盖的连续性,分别拥有自己独立的MGW、MSC Server、SGSN、GGSN、HLR等核心网设备。这种覆盖方式,可以根据南、北方通信市场竞争力的差异性,各省之间移动市场的发展不平衡性,以及WCDMA和TD-SCDMA两种系统不同的覆盖特性,针对不同的市场定位和不同的业务需求,采取不同的覆盖方案。
对该方案的主要应用建议如下:
1.在主打地区发展主打体制网络(如在北方及南方大城市优先发展WCDMA网络)。
2.利用TD-SCDMA网络建设的覆盖特性,在力量薄弱地区发展TD-SCDMA移动网络。
3.TD-SCDMA与WCDMA可以采用统一的PLMN号。
4.中高端用户(经常性流动的用户)通过TD-SCDMA 、WCDMA双模手机实现业务的全国漫游。
三、结语
采用WCDMA与TD-SCDMA混合组网,在技术上没有障碍,是一个可行的方案;但在用户看来,必须采用双模手机是一个心理和经济上的障碍;而且,运营商要同时在两种接入系统之间统筹规划,要同时考虑WCDMA、TD-SCDMA两种系统的特性给运营带来的网络规划、管理、成本等各方面的问题,提高了网络管理的复杂度。
参考文献
[1]杨伟帆,何方白.TD-SCDMA与WCDMA混合组网的网络规划研究[J].中国无线电,2006,(3).
[2]冷志宇.GSM/GPRS网络向WCDMA网络的演进[J].电信工程技术与标准化,2005,(10).
[3]王金城.将用户从GSM网络平滑迁移到WCDMA网络的方法[J].华为技术有限公司,2004.
机房网络设计方案范文第5篇
1研究背景
1.1油田通信网络现状
油田辖区内共有住户3万余户,住宅小区近30个。建有3个通信站、9个模块局,以各个通信站和模块局为中心,采用以太网技术组建了大部分住宅小区计算机网络,采用以太网技术和ADSL技术组建了部分住宅小区计算机网络。采用以太网技术组建的计算机网络始建于2001年,以各个通信站和模块局为中心,通过光缆到小区,光缆到楼,在小区和各个住宅楼设置网络交换机,实现了桌面10/100Mpbs速率,小区干线百兆速率的接入。小区的汇聚交换机以百兆速率接入核心交换机,多台交换机连接时采用级联方式,楼栋接入层交换机大多为二层以下的“傻瓜”交换机,用户隔离功能弱,容易造成广播风暴,影响网络速度。油田的ADSL宽带接入系统是在2002年建成投运,在各个通信站和模块局设有ADSL接入设备DSLAM,分别通过百兆光纤汇聚到通信大楼的核心交换机上,再接入INTERNET。该系统是基于IP组网方式,并与油田的办公LAN实现了联网。目前住宅小区建设的计算机网络信息机房通过2个1G通道与internet连接。在信息机房内配置出口路由器、核心交换机、流量控制系统、日志系统等;其中路由器为华为NE40,NAT板最大转换速率为千兆级,核心交换机2台,2台交换机均为千兆级交换机。整个网络系统无认证系统和网管系统,对用户和设备的管理均为人工方式,用户开户,靠绑定用户IP地址与MAC地址,人工操作输入。网络现状组网拓扑图如图1所示。
1.2存在问题
1)网络平台落后,系统配置不完善目前通信公司网络2台核心交换机均为千兆级别,且设备老化严重,性能较差,数据转发能力低;2台核心交换机均为单链路上联路由器和下联汇聚交换机,容易造成网络单链故障,影响大面积用户使用网络。系统中无网管系统、认证系统等,设备的管理采用人工本地处理,效率低,发现故障滞后,且管理人员不能清楚的知道网络的当前使用状况,缺乏网络管理信息;用户控制采用IP和MAC绑定方式,对用户身份的合法性无法确认,无法精细的进行网络隔离,容易造成广播风暴影响用户业务。网络安全系统配置较弱,抗网络风险能力较差。流控系统配置单一,对流量限制功能较差,无法完全对用户上网速率进行动态分配,造成部分用户大量抢占带宽,影响其他用户正常使用网络。
2)网络出口相关设备缺少,出口干线带宽紧张。目前通信公司的网络通过2个1G通道与internet连接,而在出口设备配置上仅配了1台路由器,且NAT板最大也是千兆级,性能低,处理能力差;未配缓存设备,使INTERNET上的信息无法在本地存储,造成多用户访问同一个信息时,均要出局,占用干线带宽,使干线带宽利用率减低,造成干线拥挤。
3)汇聚层、接入层网络交换设备配置低。4)网络设备不统一,型号繁杂,无法实现统一网管。当前通信公司的网络设备从核心层到汇聚层、接入层,网络设备有思科、华为、中兴等多个厂商的产品,且同一个厂商的产品有些不具有网管功能,同时网络中心也未配网管系统,无法实现远程设备和用户管理、诊断、维护。
2建设目标
更新升级通信公司现有网络平台,由千兆平台升级为万兆网络平台,更新整合路由、防火墙、核心交换设备;新建缓存系统;新建认证、网络管理系统等。升级改造小区汇聚层、楼栋接入层设备,实现网络远程管理,提高网络管理水平。
3方案设计
根据计算机网络技术发展趋势和油田计算机网络的现状及存在的问题,采用成熟的网络构架[1],升级改造现有的网络系统,实现网络平滑对接,系统整体升级。
3.1网络构架
网络建设采用分层思想,分接入层、汇聚层、核心层[2]三个层次,新建网络核心与原有网络平滑对接,实现网络整体升级。核心层:主要实现网络内部之间和与Internet之间的流量高速转发和可靠连接;在网络出口实现从网络层防护到应用层防护的一体化防护;实现流量的分析和控制,及INTENET数据本地化,提高网络速率;通过认证和网管系统,实现用户授权管理和设备远程管理、维护。汇聚层:主要实现核心设备和与接入设备之间的流量高速转发,提供可靠、稳定、安全的高速数据转发。接入层:主要实现接入设备和与汇聚设备之间的流量高速转发并提供高密度的用户端口。
3.2核心层设计
针对油田网络的现状和问题,本次网络核心层的设计主要是更新出口路由器为防火墙[3]、更新核心交换机、新建缓存系统、认证和网管系统等。
1)万兆防火墙系统设计:将现有路由器更换为2台万兆防火墙,作为到Internet的出口,上行方向采用GE与中国电信,中国网通运营商网络相连,使用NAT方式实现企业网用户的Internet接入;下行方向与2台核心交换机之间采用10GE线路相连,保证链路的高可靠性。功能:用于实现与Internet之间的流量高速转发,提供可靠、稳定、安全的高速Internet连接。同时在网络出口实现从网络层防护到应用层防护的一体化防护,对蠕虫木马、间谍程序、病毒、垃圾邮件等数据驱动式攻击进行有效防御,同时也提供防止利用TCP/IP协议漏洞或缺陷发起的攻击,具备将防火墙、防病毒、IDP、反垃圾邮件、VPN、内容过滤等等[4],大量的安全应用功能企业可以使用较低的成本同时拥有多种网络安全模块,大大降低了企业在网络安全方面的总体花费。
2)核心交换机系统配置:将现有千兆核心交换机(作为小区汇聚交换机利旧使用)更换为2台万兆核心交换机,分别通过10GE线路与出口防火墙互联,并采用2GE链路捆绑方式与汇聚交换机互联。设备本身采用双主控板及双电源冗余配置,提供设备的可靠性。功能:两台万兆核心交换机作为河南油田网络的数据转发核心;主要实现网络内部之间和与Internet之间的流量高速转发,提供可靠、稳定、安全的高速数据转发;两台核心交换机之间采用CSS集群技术,实现双机热备和负载分担[5];提高链路带宽和链路冗余。
3)缓存系统系统设计:新建1套缓存系统,通过10GE接口与系统连接。功能:缓存加速具备以下功能:P2P缓存加速、在线视频缓存加速、HTPP缓存加速。通过对对出网流量进行分析、调度,引导用户访问本地资源,降低出口流量,减少出口带宽压力,提高用户互联网体验,增加互联网带宽利用率的目的。
4)认证、网管系统系统设计:配置认证系统1套,包括服务器1台、终端设备1台及软件,在网络核心侧挂BRAS设备,利用BRAS和Radius认证方式[6],对接入用户动态分配带宽,实现接入用户的认证、计费和管理。配置网管系统1套,包括服务器1台、终端设备1台及软件,实现对企业资源、业务、用户的统一管理以及智能联动。功能:通过认证系统,对用户的认证信息进行认证,根据认证结果对用户进行相应的授权,并根据计费规则对用户进行计费管理。通过网管系统,提供灵活的开放网管平台,在网络资源管理的基础上实现了拓扑、故障、性能、配置、安全等管理功能,而且还可以作为其他业务管理组件的承载平台,共同实现管理的深入融合联动。软件通过流程向导的方式告诉用户如何使用功能,为用户提供了精细化的管理。同时对网络流量、接入认证角色等进行智能分析,自动调整网络控制策略,全方位保证企业网络安全
5)日志系统系统设计:在通信公司网络机房配置1套网络行为管理系统,包括硬件和软件,通过多路透明桥接部署在防火墙与核心交换之间,对所有的上网行为进行记录和流控,该系统为10G平台,支持万兆流量的穿透、分析和策略管理。支持上行10G、下行10G的处理性能。功能:对于内网宽带用户访问各种网页的行为进行细致的访问控制,有效管理用户上网,同时对P2P软件进行有效管控,并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制。具有完善的访问记录和监控功能能够有效防止信息通过Internet泄漏,对于BBS、论坛发帖,根据关键字进行过滤,能全面记录的内容;内网宽带用户访问的URL地址、网页标题、甚至整个网页内容,能够完全监控和记录等。针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为记录功能,对于宽带用户每天的各种行为日志记录,可满足公安部82号令存储至少60天的要求。
3.3网络汇聚、接入层设计
1)汇聚层设计系统设计:更换小区现有汇聚交换机(利旧作为接入层使用),选用千兆汇聚交换机作为网络的汇聚设备,通过GE链路与接入设备互联,并采用2GE链路捆绑方式与2台核心交换机互联(利用已有光缆资源)。功能:主要实现核心设备和与接入设备之间的流量高速转发,提供可靠、稳定、安全的高速数据转发。支持二层和基本三层功能,通过链路冗余,实现业务负载分担。汇聚设备具备冗余电源、链路聚合等实用功能,并支持丰富路由协议,规划实施负载分担增强了网络的适应性和可靠性,保障了网络的全天候稳定运行。支持核IPv4、IPv6双协议栈,面向下一代网络的平滑过渡;汇聚GE/10G带宽,适应万兆骨干,千兆接入的发展趋势保证核心网络的数据交换带宽。
2)接入层设计系统设计:更换小区现有接入层交换机为网管型交换机,通过已有100M链路接入汇聚层交换机。系统配置:主要实现接入设备和与汇聚设备之间的流量高速转发并提供高密度的用户端口。
3.4辅助系统设计
1)核心层设备放置于通信公司机房,利旧已有机柜空间及供电接地系统。
2)汇聚层、接入层设备为更换,利旧已有机柜空间及供电接地系统。
4结束语
