胜利石油综合信息网二期工程方案逻辑设计方案(编辑修改稿)

胜利石油综合信息网二期工程方案逻辑设计方案(编辑修改稿)内容摘要：

要消耗大量 CPU，假定 n个链路状态， CPU 计算的次数正比于 nXlogn。 区域内路由数目越大，性能越不稳定。 通常，一个区域内应小于 50 个路由。 （ 2）一个路由的相邻路由数。 OSPF 将路由器的链路状态向区域内的所有其它路由器扩散。 当链路状态改变时，一个路由的相邻路由越多，该路由所做的工作越多。 通常，一个路由的相邻路由应小于 60 个。 （ 3）任何一个路由支持的区域数目。 当一个路由所在区域内的某个链路状态发生变化时，该路由就必须为该变化运行链路状态算法。 每一个区域边 界路由器至少属于两个区域（主干区域和所属区域）。 通常，为求得最大坚固性，一个路由器不应属于多于三个区域。 （ 4）指定路由器选举。 指定路由器和备份指定路由器需要承担多数 OSPF工作。 因此，应选择负载较轻的路由器作为指定路由器和备份指定路由器。 OSPF 骨干设计 坚固性和冗余性是设计骨干的关键。 保持骨干路由器数目的合理性可以增强可靠性。 OSPF 骨干必须是连续的，虚拟链路可以用来将不与骨干直接连接的区域连接到主干。 一般情况下，不将主机放在 OSPF 骨干区域，这样可以保持骨干的稳定性并有利于网络的扩展。 区域设计 进行 OSPF 分区，必须保证各个独立区域的连续性，对于分离的区域可以通过虚拟链路保持其连续性。 区域设计需要着重考虑的问题是： （ 1） 确定区域如何寻址。 区域应有一个连续的网络或子网地址，以便于实现路由汇总。 （ 2） 确定区域如何划分和连接到骨干。 一个区域可以通过一个或多个边界路由连接到主干。 应根据实际的物理位置划分区域。 3． 1． 4 路由汇聚 对于稳定和可靠的 OSPF 网络要求进行路由汇聚。 实现路由汇聚要求地址空间分配要有层次性。 对于 OSPF 网络，路由汇聚由区域边界路由器完成， OSPF 路由汇 聚不是自动实现的，它要求网管人员干预完成。 4. 网络设备的安全性设计 保证路由器等网络设备的安全可通过下述手段：在网络设备上添加访问控制以限制通过控制台端口、 TELNET、 SNMP 等方式对网络设备的访问；设置防火墙；进行 TACACS 安全审计；在三层等网络设备上添加访问控制列表等等。 4． 1 控制对路由器等网络设备的访问 对于通过控制口或 TELNET 的访问，可以对具有相应权限（读、写）的用户进行 PASSWD 限制。 4． 1． 1 SNMP 方式访问控制 访问路由器可以通过 SNMP方式。 每一个 SNMP信息中都包含一个“ Community String”，它是管理站和路由器间发送包中的一个口令文本串，此文本串用户在管理者和客户间进行鉴定，只有当管理者发送的信息中含有正确的 Community String 时代理才会响应。 由于 Community String 是明文，所以会存在安全问题。 SNMPV2 解决了 SNMPV1 存在的安全隐患， SNMPV2 使用 MD5 算法进行鉴定，使用DES 进行信息加密。 可以通过两种方式控制 SNMP 方式对路由器的访问： （ 1） 非授权模式 将对 SNMP SERVER 的访问权限设置为只读，这样访问者只能得到信息。 其方法是将路由器“ Community String”设置为“ public”和只读方式，同时设置允许通过只读方式访问的 IP 地址控制列表。 （ 2） 授权访问模式 将对 SNMP SERVER 的访问权限设置为读写，同时 设置允许通过读写方式访问的 IP 地址控制列表。 控制台端口访问控制 对通过控制台端口访问路由器，可以通过设置非授权模式（只能进行读操作）和授权模式（读写操作）口令限制通过控制台端口的访问。 tel 方式访问控制 同样可以通过设置 口令、非授权模式（只能进行读操作）和授权模式（读写操作）进行访问控制限制。 TACACS(Terminal Access Controller Access Control System)访问控制方式 当在路由器上使用 TACACS 特性时，用户通过网络访问路由器，此时，路由器会要求用户提供用户名和口令，收到用户名和口令后，路由器向TACACS 服务器请求鉴定用户和口令的合法性，通过鉴定后，方可允许用户访问。 通常， TACACS 服务器安装在 UNIX 系统上。 5. 容错 IP 路由技术 路由容错技 术可以实现路由器的自动备份。 对于 IP 网，路由容错技术允许在第二个路由器失败的情况下，第一个路由器自动接替第二个路由器工作。 使用路由器容错技术时，将若干个容错路由器设置使用同一个虚拟路由器的 MAC 地址和 IP 地址。 物理上，此虚拟路由器并不存在。 每一个相互容错的路由器都有一个优先权，优先权高的路由器成为当前 ACTIVE 路由器，其他路由器则为 STANDBY 路由器，当 ACTIVE 路由器不能正常发送 hello 包时，具有较高优先级的 STANDBY 路由器自动接替其工作。 也可通过路由器容错技术实现路由负载平衡，方法是将两 个或多个容错路由器的优先级设置为等同值。 6. RIP 和 OSPF 的混合操作 RIP 适合于建设小规模网络系统， OSPF 适合于建设有层次的较大规模的网络系统。 有时需要在一个网络环境下同时使用 RIP 和 OSPF 协议。 这就要求RIP 路由器和 OSPF 路由器之间能够相互交换路由信息。 混合操作一般使用在边缘使用 RIP 协议，网络骨干（中心）使用 OSPF 协议。 进行 RIP 和 OSPF 混合操作一般要完成以下步骤： （ 1） 在边缘路由器设置使用 RIP 协议，对连接到主干的接口对 RIP 进行抑制； （ 2） 将 RIP 路由重新发送给 OSPF； （ 3） 将 OSPF 路由重新发送给 RIP； （ 4） 可以对网络接口加适当的访问控制，例如，允许某些子网的 RIP 信息发送给 OSPF；禁止某些子网的 RIP 信息发送给 OSPF。 7. 网络缓存系统设计 网络缓存技术可以有效地提高网络特别是 INTERNET 网的访问速度。 目前，油田网络的瓶颈之一是 INTERNET 出口。 在网络高峰访问期， INTERNET 出口有时可以近乎瘫痪。 网络缓存技术的关键是在网络出口点接入一高速缓存系统设备。 路由器将网络用户的 HTTP 请求重新定向到网络高速缓存系统，高速缓存代理用户执行 WEB请求，并把取回的内容保存到自己的磁盘中。 当下一个用户提出 HTTP 请求时，如果高速缓存系统中存有用户请求的内容，则相关内容从高速缓存中返回给用户，如果没有，则请求提交给 INTERNET，在 INTERNET 上查找到的内容在返回给用户的同时，也自动存储到高速缓存系统中。 通过网络高速缓存系统，用户访问INTERNET 的速度可以大大加快。 使用高速缓存系统在加快网络访问速度的同时，还可以进行过滤、分析和统计，实现网络的优化管理和控制。 根据油田网络系统实际，要求高速缓存系统能满足 5000 人同时上 INTERNET网访 问要求。 8. 负载平衡技术 随着网络覆盖范围的不断扩大和上网用户的不断增多，用户对于服务器的访问要求越来越高。 因此，有可能出现一台服务器不能满足用户要求的情况。 当服务提供者要求用多台服务器为客户端提供服务时，就要求路由器具有自动负载均衡能力。 负载均衡技术实现的基本原理是，管理员通过网管系统设置服务器群的 IP地址或 MAC 地址，服务器群通过路由器和 DNS 服务器对外表现为一个服务器名和一个虚拟 IP 地址，当客户请求服务器服务时，客户首先与路由器建立同步和连接，路由器根据相应算法（根据连接数或加权算法）选择一服 务器并将相应的请求重定向到该服务器。 路由器为用户的每一个请求和连接建立一行列表，直到用户请求和服务完毕并撤消连接。 是否支持负载平衡技术可以作为选择三、四层交换机的参考依据。 （二） 网络交换设备性能评价 交换机的性能主要取决于交换机的内部结构。 目前，广泛采用的交换机结构主要有五种种。 1． 1 共享总线结构 网络各部件依赖一条总线完成数据的交换。 显然，总线成为制约其性能的关键因素。 对于高性能核心交换机一般不采用这种结构。 1． 2 共享内存结构 依赖中心交换引擎提供高性能连接。 由 核心交换引擎检查每个输入包以决定路由。 这种结构交换机内核成为性能实现的瓶颈。 1． 3 交叉总线结构 交叉总线结构在端口间建立直接的点对点连接。 这种结构对于单点（ UNICAST）传输来讲性能很好，对于多点传输（多播或广播）对目标端口的性能影响较大，它会消耗大量的带宽，从而影响交换机的性能。 这种结构的成本也会随端口数的增加急剧上升。 1． 4 混合交叉总线结构 这种方式的设计思想是将一体的交叉总线矩阵划分成小的交叉矩阵，中间通过一条高性能总线连接。 这种结构的瓶颈在于连接交叉矩阵的总线。 1． 5 环形总线结构 各网络部件通过环形总线连接，一台交换机可有多个环，环与环通过交换引擎连接。 采用环形结构可以较容易实现带宽聚集，当端口数增加时带宽就相应增加了。 这种结构目前没有被普遍采用。 2．交换机的物理特性 2． 1 器件物理特性 主要涉及交换机的外部直观特性，如交换机端口配置类型（是否支持10/100M 自适应，是否支持全、半双工，支持的接口介质类型，管理端口的类型等），交换机模块配置方式（固定模块，可选择插拔模块或混合类型），交换机的堆叠特性、热插拔特性、配置的各种按钮功能，指示灯等等。 2． 2 交换机的传输管理性能 2． 2． 1 交换机的交换方式 交换机的交换方式一般有两种，存储转发和快速转发。 存储转发具有较高的传输可靠性，但传输速度叫快速转发慢。 2． 2． 2 过滤 过滤的目的是去掉某些特定的桢以提高网络的性能和增强网络的安全性。 典型的过滤提供基于源和（或）目的地址或交换机端口的过滤，包括广播、多播和单播，以及错误桢的过滤。 交换机应支持基于端口和 MAC 地址的过滤及非法桢（ CRC 错、 ALIGNMENT 错、残桢等）的过滤。 过滤还可用于某种类型包的削减，以提高网络利用率和保证正常网络应用带宽。 2． 2． 3 端口聚集 端口聚集 可以为骨干提供更高的带宽。 2． 2． 4 SPANNING TREE 支持 所有交换机都利用桥接技术在端口间转发桢，即具有地址学习功能，自动建立 MAC 和端口对应的转发表，并根据桢的目的 MAC 地址转发桢到相应的端口。 对于网络中出现“环路”时，则有可能出现“广播风暴”。 SPANNING TREE 协议可以自动发现环路，保留并行链路中的一条，而拥塞其它链路，从而达到消除环路的目的。 对于网络环路还可以有另外一种处理方式，即将并行链路分别分配给不同的VLAN，每个 VLAN 设置不同的优先级和路径代价，从而达到负载均衡的目的。 但并不是所有交换机都支持这种方式。 2． 2． 5 流量控制 流量控制的作用是防止在出现拥塞的情况下发生丢桢。 IEEE 规定了一种 64 字节的“ PAUSE”桢，当端口发生拥塞时，交换机向信息源发送“ PAUSE”桢，告诉信息源暂停一端时间再发送信息。 这实际是一种流量“反压”机制。 2． 2． 6 优先级控制 优先级控制是实现 QOS 信令的重要组成部分，是保证 QOS 所必须的。 优先级方式分为基于端口、基于 MAC 地址、基于 IP 地址和应用的优先级控制。 2． 2． 7 VLAN VLAN 用来将交换机划分成多个子网，将站 点之间的通信限定在同一虚网内，一个 VLAN 就是一个独立的广播域。 VLAN 定义的方式有：物理端口、MAC 地址、协议、 IP 地址和用户自定义过滤方式等。 是 VLAN 的标准，它定义将 VLAN ID 封装在桢头，使得桢跨越不同设备，也能保留 VLAN 信息。 不同的生产厂商提供了不同的虚网划分方式。 与虚网划分相关的问题还有，是否允许一个站点同时在多个虚网中，每个交换机支持的虚网数，虚网之间的通讯方式（有的交换机支持虚网之间的通讯机制，即不必借助于路由也可实现虚网之间的通讯）。 3．交换机的性能指标 3． 1 吞吐量 交换机的二层、三层吞吐量是衡量交换机性能的重要指标。 3． 2 延迟 延迟指的是在快速转发和存储转发两种方式下，交换机输入桢的最后一位到达输入端口和输出桢的第一位出现在输出端口的时间间隔。 延迟越大说明交换机处理桢的速度越慢。 3． 3 地址表深度 地址表深度反映了交换机可以学习到的最大 MAC 地址数。 交换机根据目的MAC 地址，查找 MAC 地址和端口对应的转发表进行数据桢转发。 如果 MAC地址表满，如果交换机接收到不明目的的 MAC 地址的后续桢，交换机将采取在所有端口广播的策略；当交换机收到新的源地址后续桢，交换机将根据地 址更新策略，或者替换旧地址或者丢弃新的源地址。 过小的地址表将无法很好地适应网络的变化，造成地址表或转发表动荡，从而影响网络传输性能。 3． 4 线端阻塞 线端（ Headofline）阻塞指外出端口上的拥塞限制了通往非阻塞端口的吞吐量，与过载无关。 线端阻塞通常存在于采用输入排队的交换机，由于队列头有。