XX广电宽带网络技术建议书（112页）(6)

XX广电宽带网络技术建议书

主要链路继续工作。在设计中，我们充分考虑了链路的备份问题，分布层网络设备实现与核心层网络设备的冗余连接。

4.3.4.3 负载平衡

冗余的主要目的是满足可用性需求，另一个目标就是通过并性链路支持负载平衡来提高性能。Cajun系列产品提供了多种负载平衡的实现方法，如第二层的负载平衡可以通过IEEE802.3ad LAG技术来实现；第三层可以通过支持负载平衡的路由协议（如OSPF等）以及VRRP协议来实现。

4.4 数据链路层、网络层设计

4.4.1 VLAN和IP地址规划

在网络成为必不可少的工具、信息处理成为日常工作的重心后，VLAN技术的运用显得越来越重要。VLAN对于信息系统的意义体现在：

1. VLAN可以改善网络的通信效率。因为通信流量只局限于本子网中，不会对其它子网产生干扰。

2. VLAN可以避免广播风暴。在较大规模的网络中，大量的广播信息很容易引起网络性能的急剧降低，甚至使网络瘫痪。而VLAN使广播只在子网中进行，不会作无意义的扩散，从而消除了广播风暴产生的条件。

3. VLAN大大增强了网络及其信息的安全性。因为子网间无法随意进行访问，信息流通得到相当好的控制。

4. VLAN使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限，也就是说网络规划完全不会受到物理的限制。

VLAN的划分与IP子网的规划存在很大的关系。具体的实施过程建议如下进行：

25

XX广电宽带网络技术建议书

1．对全网的IP地址进行全面的规划，确定各子网内主机的数量，并根据IP子网内主机的数量确定掩码的长度。

2．确定IP子网的聚合点，聚合点以下采用连续的子网划分。使聚合点向核心路由交换机通告最少的路由。

3．选择合适的路由协议进行子网路由。

4．根据IP子网的规划，对交换机进行VLAN的规划和划分。建立VLAN和IP子网的对应关系。

5．网络管理系统采用完全独立的IP子网和VLAN，实现更安全的对所有网络设备进行管理。

6．根据信息流量的走向和分布，确定服务器集群的VLAN和IP子网。 7．在三层路由交换机建立相应的VLAN以及与VLAN绑定的IP子网网关。 8．建立相应的子网间的访问策略，在三层路由交换机配置访问列表。

4.4.2 立体化的网络安全保障

我们知道，交换网络技术与生俱来地具有安全特性，这这还远远不够。我们的设计中还利用了多方位、多层次的安全防护手段以提供立体化的网络安全保障。 首先，利用CAJUN系列产品基于标准、可跨越全网的虚拟网（VLAN）技术对网络实施逻辑划分在提供其它种种便利和优越性的同时，也大大改善了网络的安全性。VLAN的划分隔离了广播，限制了不同工作组之间的随意访问，将可能的发生的安全妨害控制在较小的空间内。

其次，CAJUN系列的全线产品都支持MAC地址过滤功能，在数据链路层屏蔽掉未得到授权的网络访问。

对于那些确实具有网络接入许可，担试图访问未得到授权的网络资源的用户站点，CAJUN系列产品的多层交换引擎能在进行高效的第三层交换的同时，根据用户的IP地址限制其访问不被授权访问的服务器。

本方案提供的安全性是建立在网络的物理端口、虚拟网的逻辑界限和OSI网络模型的数据链路层、网络层的立体交叉的、多维化的安全保障。

26

XX广电宽带网络技术建议书

尤其值得一提的是，传统路由器往往也具有一些安全控制功能，有些也提 供防火墙功能，遗憾的是这些功能很少在实际运行的局域网上被激活运用，原因是路由器的安全控制和它的第三层转发操作一样由软件实现，这些功能的激活将大量占用其有限资源，使本来就是系统瓶颈的路由性能急遽下降，这是绝大部分网络管理员所不愿意看到的。CAJUN系列产品的安全功能完全由硬件ASIC实现，不会对系统性能产生影响，网络管理员不再需要在安全和性能之间作出痛苦的选择。

具体实施建议如下： 1．访问层交换机设置

由于访问层是用户与网络的接入点，因此也是入侵者试图闯入的地方。通过在访问层的接入层交换机上将未使用的端口关闭，根据VLAN和IP地址规划对端口进行VLAN划分，并将端口与MAC地址绑定，禁止未授权的MAC地址接入网络。

2．分布层交换机设置

分布层交换机应选用支持三层交换的路由交换机，通过配置相应的访问列表，实现对VLAN之间，IP子网之间进行策略的控制。

3．核心层交换机设置

不在核心层交换机执行过多的策略，保证核心交换机进行高速的数据传递。

4.4.3 网络带宽和性能

在网络系统里，大量的客户机常常同时集中访问一台或少数几台服务器，使得连接服务器的网络交换机端口出现拥塞。普通的网络交换机一般使用被动式的拥塞管理策略，即在遇到网络端口拥塞时采用缓冲区暂时缓解矛盾，而如果拥塞持续一小段时间，有限的缓冲区很快被填满，后续的数据包将被交换机删除。由于一个数据包的丢失通常需要七至八个增加的数据包的代价来恢复，而这些重发的数据包必然给已经拥塞的网络增加更重的分担并可能形成滚雪球效应导致网络瘫痪。本方案建议的CAJUN系列网络交换机使用专利的主动式拥塞管理技术和标准的流量控制技术，能在网络拥塞的迹相刚出现时即以标准方式通知发送方暂缓或减慢数据发

27

XX广电宽带网络技术建议书

送，保证交换网络在极度超负载状态下绝无数据包丢失，实现网络的高效、可靠运行。

流量控制技术简介：

在不同的节点相互之间以不同速度通信的所有通信技术中，流量控制就是一个问题。信息流控制是为了防止网络拥挤及死锁的出现而采取的一种措施。当发至某一接收节点的信息速出了该接收节点的处理或转换文件报文的能力时，就会出现拥挤现象。

试问如果一台高速服务器将数据发送给一个低速客户机，会发生什么事情呢？在经典的共享以太网中，有几种方法可以确保该客户机能跟上来自服务器的数据流量。首先，由于客户机一般都能接收10Mbps数据，通常其共享介质才是真正的瓶颈；其次，如果客户机的数据已超过其处理能力和要求服务器停止发送数据，它可以通过产生一次冲突或假装要发送数据而仅仅访问信道本身，这样就可自动地阻止服务器进一步发送数据。

利用这种方法，共享以太网就具有一种内部的流量控制方法。同样，如果有多个站试图通过一个共享局域网发送数据，该局域网就会非常繁忙，网络将会饱和，这里，以太网本身就会表现出所谓的拥塞控制。最后一种措施是如果在服务器和客户机之间丢失了数据，协议就会采取相应措施，以确保重发。

半双工流量控制

桥接式或交换式以太网利用一种内部的方法去处理速度不同的站之间的传输问题，它采用一种所谓的\背压（bockpressure）\概念。例如，如果一台高速100Mbps服务器通过交换机将数据发送给一个10Mbps的客户机，该交换机将尽可能多地缓冲其帧，一旦交换机的缓冲器装满，它就通知服务器停止发送。

有两种方法可以达到这一目的：交换机可以强行制造一次与服务器的冲突，使得服务器退避；或者，交换机通过插入一次\载波检测\使得服务器的端口保持繁忙，这样就能使服务器感觉到好象开关要发送数据一样。利用这两种方法，服务器都会在一段时间内停止发送，从而允许交换机去处理积聚在它的缓冲器中的数据。

28

XX广电宽带网络技术建议书

Avaya公司的交换机采用了独特的背压流量控制技术防止网络的拥塞和数据包的丢失。这种类型的拥塞控制是具体针对半双工端口的。

全双工流量控制

在全双工环境中，服务器和交换机之间的连接是一个无碰撞的发送和接收通道，没有碰撞检测不允许交换机去产生一次冲突而使得服务器停止发送，服务器将一直发送到交换机的帧缓冲器溢出，因此，IEEE制定了一个组合的全双工流量控制标准802.3x。

IEEE802.3x标准定义了一种新方法，在全双工环境中去实现流量控制。交换机产生一个PAUSE帧，将它发送给正在发送的站，只要该帧从接收站发出，发送站就会暂停或中断其发送。该PAUSE帧利用一个众所周知的组播地址，它是不会被网桥和交换机转发的（与IEEE802.1d桥接标准一致），这就意味着PAUSE帧不会产生附加信息量。这是一种非常灵巧而功能很强的技术，具有一些其它的未来好处，例如，利用新的MAC控制层可以发送优先帧。前面讨论的自动协商模式也作了修改，增加了1位，表示该站具有流量控制功能。让我们再次看一看前面的例子，以了解802.3x标准作了那些修改：

1. 加电时，服务器NIC和交换机检查它们是否都具有全双工能力，并将发送方式调整为全双工。

2. 自动协商脉冲也会告诉这两个设备，它们都具有全双工能力。 3. 服务器利用它的发送通道（也是交换机的接收通道）开始发送。 4. 交换机接收帧，并转发到10Mbps客户机，但速度慢得多。

5. 当交换机的内部缓冲器快装满时，它就通过其发送通道（服务器的接收通道）开始将PAUSE帧发送到服务器NCI，从而停止服务器的发送。 6. 交换机将其缓冲器中的数据传送到较慢的客户机，直到其内部缓冲器可以再次接收数据为止。

7. 一旦缓冲器腾空，交换机就停止发送PAUSE帧，服务器就重新开始发送。

29

百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，70教育网，提供经典综合文库XX广电宽带网络技术建议书（112页）(6)在线全文阅读。