您的位置: 网界网 > 周报全文 > 正文

[周报全文]北电网络全力打造数字成都

2002年06月17日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:北电网络全力打造数字成都

标签

    四川成都是中国西部开发的重镇。为了配合国家西部开发战略,跟上数字时代的步伐,成都市全面展开数字化城市构建工程。

    作为全球领先的电信和网络设备提供商,北电网络为成都信息港提供了核心交换设备和解决方案,进行IDC/IXC和DWDM Core Ring两期工程的建设。

    北电网络(中国)有限公司副总裁石育智指出:“我们非常高兴能为成都信息港的数字化城市项目提供产品和解决方案。成都信息港在数字化城市的两期项目建设中均选用北电网络的产品和解决方案,这充分显示了北电网络在中国城域网建设中的优势。”

北电网络全力打造数字成都

    方案设计

    为了满足成都市信息港IDC基本业务及增值业务的开展,为IDC网络及业务扩展提供良好的架构;成都市信息港IDC网络系统的方案设计采用层次化的设计思想和模块化的系统体系,整个IDC网络可以分为Internet接入层、核心层、分布层、接入层;此外,将IDC网络通过模块化的设计,相应分为网络管理业务区(含客户服务中心)、Access-Only业务区域、Service Load Banlance业务区域、Firewall & Service Load Banlance业务区域、VPN业务区域、IDC客户远程业务更新与维护业务区域。

    下面分别描述Internet接入层、核心层、分布层、接入层的网络功能划分和方案设计思路。

    Internet接入层

    Internet接入层为成都市信息港各个功能及业务模块实现的Internet接入功能、相应业务及功能需求有:高速的路由交换能力;对诸如BGP等的各种高级路由特性的全面支持;具有丰富的接口类型;完善的QoS支持能力。

    核心层

    核心层是所有数据流经的网络层次,为整个IDC提供Internet接入和与本地ISP的数据交换。核心层的设计应当体现高速、高可用性、高扩充性等特点。

    在核心层网络采用三层网络设备,包含高性能、高可用性的路由器、路由交换机,用于构建高性能的IDC网络基础平台。

    分布层

    分布层是IDC提供主要增值业务的网络层次。分布层不单是作为用户的接入汇聚,更重要的是提供增值业务功能。

    增值功能提供服务器负载分担、高速防火墙安全服务、VPN、QoS、内容加速等网络增值服务,解决IDC的Web Hosting和Colocation客户对网络的各项性能的功能需求,同时节约IDC用户的设备成本和维护成本。

    增值功能业务的技术实现手段有L4/L7设备,包含新兴的内容交换机 (具有带宽管理、全球化服务器负载均衡、服务器负载均衡能力的交换机)、缓存服务器、防火墙、VPN设备等,在网络基础平台之上提供智能化网络服务。

    接入层

    IDC用户接入部分用于实现将IDC的用户接入到IDC的内部网络,根据用户接入方式的不同,满足用户网络应用的需求。

    解决方案

    根据上述网络方案设计思路和网络方案设计总体架构, IDC网络方案设计如下图所示。

    核心层

    由于主干接入路由部分是整个IDC Internet出口处的关键设备,因此应选用具有高性能、高可靠性的路由交换设备,并且为冗余配置。

    分布层

    分布层是IDC提供系统增值服务的关键,在分布层的各功能模块设备配置如下。

    Firewall & Service Load Banlance业务功能区域模块配置如下。

    分布层设备配置及描述

    4台北电网络的Alteon ACE184内容交换机,来实现IDC的防火墙负载分担和带宽管理的功能;

    2台Netscreen的高性能防火墙提供安全服务,通过2台高达700M bps吞吐量的防火墙和ACE 184的防火墙负载分担功能突破了数据传输路径上的瓶颈。同时分别在防火墙内外的两台ACE 184提供服务器负载分担业务和带宽管理业务,防火墙外部的两台ACE184利用其应用重定向功能,实现高速缓存的服务。

    在防火墙外部的两台ACE 184处部署两台高速缓存服务器Alteon iSD-PCC 310,同时采用2台北电网络的Contivity 2600 VPN网关为有VPN业务需求的用户提供VPN服务,这两台VPN网关可以实现负载分担和备份。

    内外2台ACE184智能交换机之间采用GigabitLink连接。ACE184具有9个千兆以太网接口(+微信关注网络世界),每个端口具有4MB内存,用于提供与主干接入路由器以及防火墙负载均衡设备ACE184的连接。Netscreen 500防火墙分别通过两个GigabitLink同内部和外部的ACE184互联。防火墙负载分担的解决方案为全冗余的设计,能够避免链路、设备失效带来的性能降低。处于接入汇聚子层的BPS 2000二层交换机通过2个千兆以太端口分别连接到ACE184,提供链路的冗余。

    分布层各设备之间的连接与拓扑关系,请参见方案总架构图。

    Service Load Banlance业务功能区域模块

    与Firewall & Service Load Banlance业务功能区域模块共享2台北电网络的Alteon ACE184内容交换机,来实现IDC的防火墙负载分担和带宽管理的功能。

    Access-Only业务功能区域模块

    无分布层设备,接入层设备BPS 2000直接接入核心层2台Passport 8600设备。

    VPN业务功能区域模块

    配置Nortel Contivity 2600 VPN网关2台,安全可靠地实现与企业私用业务。

    远程VPN后台业务更新功能区域模块

    配置Nortel Contivity 1600 VPN网关2台,安全可靠地实现IDC客户远程维护与业务更新。

    网络管理与IDC客户中心功能区域模块

    配置Netscreen-100 防火墙1台,保护该功能区域业务。

    接入层

    在接入层的各功能模块区域共配置10台北电网络的可堆叠的二层交换机BPS 2000提供用户主机的接入,BPS 2000具有QoS、PVE功能等,为各功能模块区域提供Private VLAN服务,将同一子网的用户隔离,同时,提供增值的QoS服务。

    各功能模块的设备连接与拓扑结构详情请参见IDC/IXC网络系统架构图。

    网络安全

    建立一套完善的IDC网络安全体系对成都市信息港是非常重要的,在本方案中描述的网络中安全技术保障以及相关安全管理制度、安全组织保障,对非网络的安全保障由系统集成中的安全系统予以保障。

IDC系统安全体系

应用安全认证与权限控制、应用加密、数据备份等安全管理制度安全组织保障
OS病毒防治、访问日志、安全认证、系统权限控制等、灾难恢复、磁盘镜像、Cluster等
传输层ACL、防火墙、VPN、加密传输
网络层安全路由、ACL、防火墙、IP子网、IDS入侵检测
数据链路层交换技术、VLAN、PVLAN
物理层机房环境安全、光纤与STP综合布线系统等
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]