国图千兆位以太网设计与实施.doc

国图千兆位以太网设计与实施国图千兆位以太网设计与实施----随着计算机技术、通信技术和网络技术的迅速发展，数字图书馆日益成为 各国竞相研究、开发的重要课题作为集数字化处理技术、网络信息管理技术 和数字式信息资源建设于一体的数字图书馆，是 21 世纪信息产业的主要发展方 向之一国家计委于 1997 年批准了以中国国家图书馆（原北京图书馆）为首、 国内多家著名图书馆参与的国家重点科研项目中国试验性数字图书馆，这就对 国家图书馆的网络建设提出了很高的要求设计指导思想设计指导思想----由于对网络工程要求很高，所以采用什么类型的网络至关重要经过周密的考虑，结合 国家图书馆的特点，确定网络必须采用先进的技术和产品，并且能适应未来需求的增长， 易于平滑升级，保护现有的投资通过对技术和市场的广泛调研，最终决定骨干网采用千 兆位以太网技术千兆位以太网技术使主干网的速率得以大大提高，它是改善交换机与交换 机之间和交换机与服务器之间连接的可靠、经济的途径网络设计人员能够利 用它建立有效使用高速、任务关键的应用程序和文件备份的高速基础设施网 络管理人员可以为用户提供对服务器区、Intranet/Intranet 与广域网的更快 速的访问。

千兆位以太网具有性能价格比好、易于升级和管理、保护投资等特 点，这些正是国图网络所需要的网络系统选用了 3Com 公司的 CoreBuilder 9000 做骨干交换机CB 9000 千兆以太网交换机遵从标准的网络协议，为基于 TCP/IP 协议的应用提供透明的 网络平台，同时提供服务质量（QoS）策略服务，不需要对应用进行特别的修改， 在以太网上实现多媒体等实时应用另一方面，CB9000 支持标准的局域网仿真 协议，为基于以太网 TCP/IP 协议的应用提供完全兼容的环境同时基于 ATM 的 多媒体应用，可以在 ATM 环境下实现高品质的服务质量保证设计方案设计方案----国家图书馆的网络建设包括图书馆本身的馆域网以及实现与中国科技网、中国教育与科 研网、Chinanet、广电网、北京大学、清华大学等网络的互联国家图书馆的馆域网采用了千兆以太网为主干，独享 10M 到桌面的星形结 构从数字图书馆的实际出发，馆域网不仅要传送文本，还要支持大量的多媒 体服务，因此对网络的带宽要求很高国家图书馆从实际出发，要求在馆域网 中建立 3 个逻辑子网；一个是读者服务网，分在大楼的各个地方；一个是业务 工作网，分布在大楼和行政楼、分馆的各个地方；第三个是数字图书馆试验环 境，分布在国家图书馆东侧 1、4 等层。

合理地处理 3 个逻辑网的连接、划分、 安全性设计是保障它们可靠工作的关健国家图书馆铺设主干光纤，从主交换机到主交换机采用单模光纤，从主交 换机到分支交换机采用多模光纤，传输 1000M 以太网信息这些光纤将保证国家图书馆内部网络在 8～10 年内使用，所以，对于光纤网络的要求非常严格 从分支交换机到终端和分支交换机到分散的服务器采用五类或超五类线，保证 10M 独享和 100M 独享国家图书馆馆域网将与外部使用光缆相连，考虑到将来的拓展和保证现有 投入的连续有效，在目前的产品中要求考虑 10～20 个 100M 以太网端的连接， 所以对产品的延续性提出严格要求可以增加新的设备，但是必须保证现有的 设备可以与新的设备相连，新的设备在连接到终端时不要新的线路和更多的冗 余，只考虑如何与老设备沟通和增加高速接口用于信息服务器和数据仓库等国家图书馆共有互联网 IP 地址 128 个，除了在国家图书馆互联网服务器需 要若干 IP 用于 WWW 服务器、E-mail 服务器、FTP 服务器等以外，其他地址用于 国家图书馆内部访问互联网时使用(约为 1200 个内部节点)这些互联网服务器 设在国家图书馆广域网接入防火墙之外，内部网在防火墙之内。

整个网络结构如图 1 所示，采用两级网络结构，网络主干层采用两台 CB 9000，通过双千兆以太链路互联，实现负载平衡和冗余备份；用户接入层采用 3Com 公司的边界交换机 SuperStack Ⅱ 1100 组，每 4 台堆叠成一组，通过一 个千兆以太模块上连至主干，下连客户工作站网管工作站、防火墙主机和路 由器通过 100M 快速以太网端口直接与主干交换机相连图 1 网络结构网络配置网络配置----主干交换机主干交换机----主干层的 2 台千兆以太网交换机 CB 9000，分别置于两个房间主干交换 机各配置一块 24Gbps 千兆以太网交换引擎，一块 20 端口 10M/100M 自适应以太 交换模块，一块 12 端口 10M/100M 自适应第三层交换模块，8 块 2 端口 1000BaseSX 输入输出模块和 1 块 2 端口 1000BaseLX 输出模块接入交换机接入交换机----接入层交换机根据用户的实际情况采用 SuperStackⅡ以太网工作组交换机 Switch1100，每 4 台堆叠成一组，共 12 组，每组配置如下：SuperStackSwitch1100 带 24 个 10Base-T 和 2 个 10/100Base-T 自适应端口SuperStack Ⅱ堆叠模块SuperStack Ⅱ堆叠电缆SuperStack Ⅱ千兆上联模块----路由器配置路由器配置----在主干网上配置一台 3Com 公司中心路由器 NetBuilderⅡ，通过 100M 快速 以太网模块直接连到 CB 9000 交换机上，实现与远地的子网连接和 Internet 的 连接。

中心路由器具体配置如下：4 槽机箱，通信引擎 DPE 模块100Mbps 快速以太模块(用于与主干网互连)HSS4 口 V.35 模块(用于 E1/T1 的广域连接)----网络管理系统网络管理系统----网络采用 3Com 公司的网管软件 Transcend Enterprise Manager for Unix 来监控管理网络设备，网管硬件平台为 Sun 公司的 Ultrastation 2 工作站，采 用 HP 公司的 OpenView 作为网管的软件平台防火墙设计方案防火墙设计方案----国家图书馆网络工程是内部网，既要求与国际 Internet 互联，又必须保证 内部网不受外界的干扰和破坏，因此设立防火墙服务器很有必要由于同时也 用该服务器作 NAT 服务器，性能上要求很高，所以采用 Sun 公司的 E3500 服务 器配置 4 块 100M 快速以太网卡，连入主干交换机配置 Firewall-I（250 用 户）软件作为防火墙软件虚网划分虚网划分----根据国家图书馆对网络系统的实际要求，在内部应设置 3 个虚网考虑到 系统安全设计的需要，整个网络在逻辑上设置成 4 个虚网，其中 3 个虚网分别 对应用户的读者服务网、业务工作网和数字图书网，还有一个为隔离虚网。

3 个业务网通过在 CB 9000 主干交换机上设置第三层交换功能实现网间数据交换， 隔离虚网则与 3 个业务网完全隔离就是说 4 个虚拟逻辑子网物理上是相互独 立的，在不同的子网内资源访问权限，可以根据用户来进行分配3 个业务子 网需要跨子网访问网络资源，要经过第三层交换机，它和路由器一样可以进行 IP 地址过滤，提高网络的安全性对于外部用户，透过 Internet，必须通过防 火墙的身份检查，然后进行授权，才可以对资源进行访问因此可以根据馆内资源的管理策略，通过防火墙进行更加严格的网络控制，实现网络的安全策略 管理防火墙主机上配置 4 块 100M 网卡，分别连入上述的 4 个虚网，通过该主机 将 3 个业务虚网与隔离虚网连接起来，路由器在逻辑上划入到隔离虚网中，用 以与 Internet 连接，同时起第一级防火墙的作用(主要防网络级的侵扰)这样配置能够保证内部网具备两级防卫，安全级别高，可抵御网络及应用 级的侵扰网络互联网络互联----馆内网络通过 3Com NetBuilderⅡ(4 槽)路由器配置的 4 个 FlexWAN 接口连 接到 DCE 设备接口上，与邮电部门提供的 E1/T1 相连。

另外 NetBuilderⅡ路由 器配置了一块 8 口 ISDNBRI 接口模块，用于与分馆的广域网连接 NetBuilderⅡ的软件包中提供增强的防火墙功能，IP 包过滤器以及 NAT(地址变 换)功能，在系统配置时，路由器全部端口均设置真 IP 地址，同时设备自身的 防火墙和 IP 包过滤功能，地址翻译功能不通过路由器实现。