A. 广域网接入方式
关于广域网的接入方式介绍
DDN
DDN(Digital Data Network),是以数字交叉连接为核心技术,集合数据通信技术、数
字通信技术、光纤通信技术等技术,利用数字信道传输数据的一种数据接入业务网络。
它主要只完成OSI七层协议中物理层和部分数据链路层协议的功能。用户端设备(主要为
网关路由器)一般通过基带Modem或DTU利用市话双绞线实现网络接入。DDN的主要的优势
如下:
传输质量高、时延短、速率高。
它可为用户提供误码率小于10-6的数字信道。同时,由于不必对所传数据进行协议封装
,也不必进行分组交换式的存储转发,故网络时延很短--端到端的数据传输时延一般不
大于40ms。它提供的接入速率范围也较宽,一般为9.6 Kbps~2.048Mbps。
提供的数字电路为全透明的半永久性连接。
DDN的一个重要技术优势即网络传输的透明性。所谓透明传输是指经过传输通道后数据比
特流没有发生任何协议上的变化。这样,在DDN网上即可传输两端认可的任何通信协议、
各种通信业务。半永久性连接指电路一旦由网管生成后,用户两端之间的连接便是固定
不变的,直到用户提出业务变更时网管才进行相关数据变动。
网络的安全性很高
由于DDN的传输中继采用光纤,自身又为点对点的通信方式,通信的安全性很好。另外安
全性很好也指网络各节点间一般都存在着数条通信路由,当前路由发生故障时,网络节
点会自动倒换到下一条可选路由以保证通信正常。
可以很方便地为用户组建VPN(Virtual Private Network)。
这一点对政府、金融等大用户和集团用户在本地和异地间组建“专网”非常适用。用户
基于公众的DDN,以相对很小的投资组建VPN,即可实现专网应有的所有业务功能,包括
享受同样的安全性、优先级别、可靠性和可管理性等。
网络覆盖范围很大。
至今,全国绝大多数县以上地方以及部分发达地区的乡镇皆已开放了DDN业务。它可广泛
用于跨省市大范围组网。
由于能提供具有以上特点的优质数字电路,DDN常常被用做其它电信业务网,如163网、
169网、帧中继、分组交换网,以及用户专网等的传输中继和接入电路。对于数据业务量
较大、通信时间较长、要求通信实时性很高、需跨市或跨省进行组网互联的广大企事业
单位用户,皆非常适合利用DDN开展各种数据业务。也由此,DDN拥有众多的用户群,在
广大用户中也享有良好的口碑。如北京市的DDN用户数经过几年的发展现已近5000户。
它的不足之处主要为:
对于部分用户而言,费用相对偏高。
虽然DDN具有以上优势,但对于通信时间较短的用户,或者没有充分利用DDN业务特性的
用户,费用相对偏高,如本地网营业区内128Kbps电路的月租费为2540元。这一点是由D
DN的特点所造成的--它提供的数字电路为半永久性连接,即无论用户是否在传输数据,
此数字连接一直存在。
网络灵活性不够高。
由于DDN自身的特点--以数字交叉连接方式提供半永久性连接电路,不提供交换功能,它
只适合为用户建立点对点和多点对点的通信联接。对于一些集团用户,下属部门同公司
总部相联,可以采用多点对点方式的DDN专线组网;但若下属部门间也需时常进行通信,
又该如何呢?若再采取点对点的连接,使公司下属的各个部门间构成网状网,显然,用
户的花费太高。
帧中继
帧中继(Frame Relay)是在分组交换网的基础上,结合数字专线技术而产生的数据业务
网络。在某种程度上它可被认为是一种“快速分组交换网”。它是当前数据通信中一项
重要的业务网络技术。用户的LAN一般通过网关路由器接入帧中继网;若路由器不具有标
准的帧中继UNI接口规程,则在路由器和帧中继网间还需增加帧中继拆/装设备(FRAD)
。其主要优势表现为:
同分组交换网相比,它简化了相关协议,提高了传输速度。
它只完成OSI七层协议中物理层和数据链路层的功能,而将流量控制、纠错等功能留给智
能终端完成。故其数据链路层协议(LAPD协议)在可靠的基础上相对简化,从而减小了
传输时延,提高了传输速度(速率范围一般亦为9.6 Kbps~2.048Mbps)。另外,它所采
用的LAPD链路层协议,能够顺利承载IP、IPX、SNA等常用协议。
它采用了 PVC技术。
帧中继网络可提供的基本业务有两种,即PVC(Permanent Virtual Circuit)和SVC(Sw
itched Virtual Circuit),但目前的帧中继网络只提供PVC业务。所谓PVC是指在网管定
义完成后,通信双方的电路在用户看来是永久连接的,但实际上只有在用户准备发送数
据时网络才真正把传输带宽分配给用户。
采用了统计复用技术。
它使得帧中继的每一条线路和网络端口都可由多个终端用户按信息流(即PVC)实现共享
,即能在单一物理连接上提供多个逻辑连接。显然,它大大地提高了网络资源的利用率
。
用户费用相对经济。
由于网络的信息流基于数据包,采用了PVC技术和统计复用技术,其电路租用费用低廉。
其费率一般仅为同速率DDN电路的40%。且在网络空闲时,它还允许用户突发地超过自己
申请的PVC速率(CIR)占用动态带宽。对于经常传递大量突发性数据的用户,非常经济
合算。
便于向统一的ATM平台过渡。
中国电信于1997年建成了基于ATM平台的全国帧中继骨干网。北京市同年建设的的帧中继
网也基于ATM平台,核心层采用了Cisco公司的BPX系列ATM交换机,接入层为IGX系列帧中
继交换机。帧中继利用ATM提供的高速透明传输通道为用户提供通信业务。这种结构便于
帧中继融合到统一的ATM网络之中。
但它自身没有足够的流量控制功能,当同一网络端口的各PVC 同时数据流量很大时,可
能造成拥塞。技术上缺乏对SVC的支持也使它丧失了部分应用上的优势,影响了业务的进
一步推广。采用PVC和统计复用技术可以提高网络的利用率,但同时,一旦物理线路或物
理端口出现故障,将会有多条PVC同时受到影响。另外,它的网络规模在我国普遍比DDN
小。
不难看出,帧中继适合于突发性较强、速率较高、时延较短且要求经济性较好的数据传
输业务,如公司间进行网络互联、开放远程医疗等多媒体业务、进行电子商务以及VPN组
网等。
ISDN
ISDN(Integrated Service Digital Network),即综合业务数字网。它利用公众电话
网向用户提供了端对端的数字信道连接,用来承载包括话音和非话音在内的各种电信业
务。现在普遍开放的ISDN业务为N-ISDN,即窄带ISDN,故我们只分析N-ISDN(下面的
ISDN 即指N-ISDN)。
ISDN业务俗称“一线通",它有两种速率接入方式:BRI(Basic Rate Interface),即2
B+D;PRI(Primary Rate Interface),即30B+D。BRI接口包括两个能独立工作的B信
道(64Kbps)和一个D信道(16Kbps),其中B信道一般用来传输话音、数据和图像,D信
道用来传输信令或分组信息(现尚未开放业务)。PRI接口的B和D皆为64Kbps的数字信道
。2B+D方式的用户设备通过NT1或NTI Plus设备实现联网;30B+D方式的用户设备则通
过HDSL设备(利用市话双绞线)或光Modem及光端机(利用光纤)实现网络接入。
同DDN和帧中继相比,它主要优势如下:
1.业务实现方便,提供的业务种类丰富。
ISDN基于现有的公众电话网,凡是普通电话覆盖到的地方,只要电话交换机有ISDN功能
模块,即可为用户提供ISDN业务。而对于DDN和帧中继,则需自己的系统节点机。ISDN业
务的种类繁多,包括普通电话、联网、可视电话等基本业务及主叫号码显示等许多补充
业务。
2.用户使用非常灵活便捷。
对于2B+D,用户既可以作为两部电话同时使用,又可以64Kbps联网,另一64Kbps用于普
通电话;还可根据需要以128Kbps速率联网。而30B+D可使用户灵活、高速联网。
适宜的性价比。
因为ISDN按使用的B信道进行通信计费,而1B信道的国内通信费率等同于普通电话通信费
率(按应用最为广泛的电路交换方式),不难发现,对于通信量较少、通信时间较短的
用户,选用ISDN的费用远低于租用DDN专线或帧中继电路的费用。
对于电信运营商,也可以较小的投资对现有的模拟用户外线进行数字化改造。
由于ISDN具有以上优势,今年中国电信在全国范围内开展了“ISDN飓风行动”。目前,
全国各地电信部门都在如火如荼地向市场推广这一早应推出的新业务。到现在为止,发
展效果之良好,远超出了原来的预期。另外,我国现已完成了25个省份的长途ISDN联网
,且同十几个国家和地区实现了ISDN网络互联,这又为ISDN业务的进一步发展奠定了基
础。
从其自身特点分析,ISDN适合于个人家庭用户或SOHO用户接入因特网、中小企事业单位
LAN联网、连锁店的销售联网以及在公网开放可视电话、会议电视等增值业务,或被各中
小企事业单位用为DDN、帧中继等专线电路的备用方式。
因ISDN基于现有的电话交换网而产生,而传统电话网主要是为话音业务设计的,即按普
通电话呼叫平均时长3~5分钟,忙时9分钟设计的;但利用ISDN进行数据通信的时间显然
较长,如用它上网的平均时长可达30-50分钟。故在大力发展ISDN业务的同时,必须及
时考虑对现有电话网进行系统改造,如在ISDN接入网络的局端处实行话音数据业务分流
等。
B. 公司新增5家分公司,分别在不同城市,如何组建公司广域网满足分支机构访问总部私有云服务
在新公司处在不同城市的情况下,组建公司广域网满足分支机构访问总部私有云服务,需要进行SD-WAN组网。目前, SD-WAN组网是跨区域组网的最优解决方案。
现在用的比较多的SD-WAN是光联集团的SD-WAN组网方案。我们集团是做金融理财的,现在在全国多省市,甚至一些偏远地区都有分公司。在组网时,一是考虑到跨省跨区的网络资源整合问题,二是考虑到金融行业网络使用的安全问题。就这两点,光联集团是都满足了集团的要求的。一是光联集团是国内最早开始接触组网行业的企业,在跨省资源甚至跨境资源方面都是非常有优势的,即使面对比较偏远的地方也完全没有问题。二是光联集团是基于华为的技术,然后光联提供解决方案与运维服务。机器与线路都有备用,一旦出现故障,可以进行切换。金融机构的,如果需要防火墙方面的工作,也可以统一配置到。企业的私有组网也可以达到第三方互融。所以,非常符合你的要求。
C. 多分支机构企业用什么组网技术方案使分支机构数据和总部ERP实时同步
连锁机构亟待通过一个易于跨区域集中管理,可以简易开局操作的组网解决方案。
连锁机构店面数据与总部ERP实时同步需要门店与总部信息系统组建广域度网通信,SD-WAN是目前普遍采用的组网解决方案,也是最适用于连锁机构的组网解决方案。
在实际运用中,云杰SD-WAN组网解决方案的云中控平台可以收集所有的故障点,覆盖跨地区、跨省,甚至跨国的所有站点。总部人员可以通过云中控集中管理,且操作人员可以快速确定故障位置,及时排除。在建立组网站点时,亦不需要特别的IT人员在场,只需要按照云杰技术人员的指令实现站点链接即可开通业务。
集中管理、操作简便,数据与故障实时对接,云杰的SD-WAN解决方案恰好迎合了连锁机构的组网需求。
D. 公网异地组网该用什么方案实现
一些公司总部的网络拓扑结构非常复杂,部署有各类服务器,替换网关不但会耗费大量的时间和精力,还可能影响公司的正常运营。面对此类情况,组网时该用什么方案实现?建议可以使用SD-WAN异地组网方案,只需将SD-WAN路由器接入公司网络,不用对其他的网络设备及结构再做调整,即可实现多分支异地安全组网。
SD-WAN异地组网品质基于传输专网,近乎零丢包,延时小,效果理想,媲美专线。SD-WAN异地组网方案不受同网客户影响,开通速度快,快速开通,即插即用。
借助SD-WAN异地组网,公司将获得下列优势:
传输独立性:灵活地通过任何类型的连接(例如 MPLS、互联网或 4G LTE)部署广域网。
网络服务:可以按需部署丰富的网络和安全服务,如广域网优化、防火墙和入侵防御系统 (IPS)。
终端灵活性:无论小型还是大型分支机构,物理还是虚拟平台,软件定义广域网都能实现跨分支机构、园区、数据中心或云的部署。
SD-WAN的智能化和自适应的网络结构,通过链路优化、内容优化、协议优化和路径优化等几个维度对传输内容进行加速处理,实现内容高效传输,提高企业应用性能的同时提升员工工作效率。一方面降低了企业架设广域网的运营成本,另一方面也为网络服务的升级、搬迁和需求更改增加了灵活性和机动性,特别是对于那些跨地域性的企业而言,是一个降本增效的方法;对于小企业或个人而言,其易用性也使得它独具特色。
总体而言,SD-WAN异地组网不仅适合在网络结构复杂的总部,或者网络部署困难的环境,而且具有成本低、技术要求低、数据传输安全、灵活性高等优势。对于中小企业来说无疑是个高效、可靠的方法,轻松搞定远程访问难题,实现各类项目的异地管理及同步。
E. 中小型企业网络组网
IP协议是网络发展的一个重要推动力,它已经有很长的历史,是与Internet同步成长起来的网络协议。在过去,IP协议并非主导的网络协议。但是进入八十年代末和九十年代,特别是进入九十年代,随着Internet的爆炸性增长,IP协议得到了广泛的应用。越来越多的应用程序,例如万维网技术,电子邮件,文件传输,等等。所以,IP协议成为主导协议已经不可能逆转,这是市场的选择,也是用户的选择。以IP技术为核心的金融网络,将为基于数据、语音、视频业务的广泛应用提供坚实的基础。
同时随着IP网络发展越来越庞大、IP应用越来越多样化,在银行交换机也由以前的单纯的局域网应用逐渐向城域及广域发展,导致其应用也越来越复杂化。目前,单靠产品已经不能很好的满足银行的实际需求,更重要的是提出完善的解决方案。迈普公司具有多年来从事数据通信和网络技术的开发和服务经验,基于银行的实际应用环境,开发了一系列贴近于用户的产品,同样,我们的宗旨是贴近客户、贴近应用。
本方案书从技术层面就如何为金融企业构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络做一阐述。本方案内容组织如下:
第一部分银行网络发展趋势及需求分析,对银行发展趋势及网络需求进行分析;
第二部分提出金融行业以太网建设总体方案设计,介绍各个技术层面的设计原则;
第三部分金融行业以太网建设的详细设计,针对银行的特点和实际情况对详细解决方案进行剖析。
1.银行网络发展趋势及需求分析
在这里,我们根据迈普公司多年来的经验,对银行网络的发展趋势进行分析。
1.1.银行网络发展中设备以及通信带宽的发展
追溯根源,银行从最初的电子化到现在,都是由业务拉动网络的发展,随着网络的发展,网络对带宽、设备的要求越来越高,可以从以下发展图示中看到银行网络发展的轨道:
银行互联网络的发展大致经过了三个阶段,目前正处在由串行通信互联到IP网络化阶段过渡的时期,目前大多的广域网通信带宽在64K到2M之间,网络的互联以传统路由器和低性能交换机、HUB为主。
可以看到,下一代网络将向交换机发展,目前在东南沿海等经济相对发达、应用相对多样的地区已经有少数银行开始采用基于宽带的广域网互联,从储蓄所到中心全部采用光纤接入。在该网络上可以方便的实现宽带的视频应用,但这种方案的推广需要完善解决交换机的安全以及QoS策略。
1.2.目前银行网络发展趋势纵向划分
前面已经提到,银行网络是由业务的发展来带动的。目前的网络早已不仅仅为传统的储蓄和对公业务提供支撑,网上银行、电话银行、中间业务等等不同业务共用一个企业网络。细化起来,可以将银行目前的发展方向细化为几个方面
可以看到,主要有5个方面的发展:
管理集中
管理集中是网络规模扩大的必要管理手段,先进的网络管理平台、设备的集中管理、集群管理成为网络设备的重要功能指标。
多业务集成
多种不同的业务共用同一个物理的网络平台,对网络设备的服务质量、安全控制提出的更高的要求。
宽带化
银行业务的特殊性导致宽带化的进程受安全性要求的限制,但宽带化仍然是必然的趋势。
数据和应用集中
这与管理集中是相辅相成的,是企业网络向系统性整体性发展的体现。
网络化
这里所说的网络化,指的是网络逐渐向边缘延伸,同时与外部网络的联系越来越紧密。
在这五个方面发展的同时,网络的安全性、可靠性等性能指标也成为网络的重要一环。
1.3.需求分析
金融网络最原始的需求来自于业务的开展和资源共享的需要,随着金融企业业务范围的扩大和业务产品的增多,更高速、更可靠、更安全以及更方便的网络和业务管理已经成为新时期金融企业网络的关注重点。
银行联网应用分为:业务应用和办公应用。业务应用包括零售、会计、信用卡、国际结算、电子联行、收付清算等对银行至关重要的核心应用系统;办公应用主要是基于邮件系统、办公自动化系统、依赖此种机制的各种报表系统和管理系统,以及未来可能发展的数字电话、视频网络、以及其它新型的满足办公管理需求的联网应用。
局域网络的建设主要涉及到不同业务之间的VLAN划分、VLAN之间的互通需求,以及与广域网络的无缝连接。
本方案考虑了以上的网络情况,并采用了迈普以太网交换机,实现千兆到楼层、百兆到桌面的全网解决方案。并增加了如MAC地址绑定、端口镜像、包过滤等内网安全技术,支持802.1x内部网络管理认证、用户分级管理的管理功能。
2.总体方案设计
2.1.总体设计原则
省级分行数据中心局域网,一方面作为整个银行网络系统一级网上的一个节点,另一方面又是省内网络系统的中心汇聚点,从全国银行网络系统的角度来看起到承上启下的作用。针对金融企业业务数据通信量和办公数据通信量大的情况,采用适当的经济型的迈普网络通信产品实现完善的网络接入解决方案,在网络设计构建中,应始终坚持以下建网原则:
高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力和备份,同时合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔,在万一出现局部故障时应不影响网络其它部分的运行,并且故障便于诊断和排除。充分体现计算机网络的高可靠性。
技术先进性和实用性
保证满足金融核心业务应用系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。
高性能
骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为业务开展的瓶颈。
标准开放性
支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于以保证与其它网络(如Internet、友商企业等其它网络)之间的平滑连接互通,以及将来网络的扩展。
灵活性及可扩展性
根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。
可管理性
对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
安全性
制订统一的网络安全策略,整体考虑网络平台的安全性。
兼容性和经济性
兼容性,能够最大限度地保证金融企业现有各种计算机软、硬件资源的可用性和连续性,为不同的现存网络提供互联和升级的手段,保证各种在用计算机系统,包括工作站、服务器和微机等设备的互连入网,充分利用现有计算机资源,发挥主干网的优势。经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资。有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级。
2.2.技术策略及原则
为切实达到以上的网络设计原则,使金融网络系统具有良好的扩展性和灵活的接入能力,并易于管理,易于维护,在网络设计及构建中始终应遵循如下方面技术策略及原则:
统一标准
网络的互联及互通关键是对相同标准的遵循,要实现网络业务能融合到一起,实现数据、语音、视频业务的融合,就必须统一标准。
统一平台
从开放性、发展性、成熟性等方面来看,只有IP技术才能成为统一平台网络构建的标准。而在具体实施中,必须统一规划IP地址及各种应用,采用开放的技术及国际标准,如路由协议、安全标准、接入标准和网络管理平台等,才能保证实现网络的统一,并确保网络的可扩展性。
2.3.网络分层的原则
为减少网络中各部分的相关性,便于网络的实施及管理,在网络的构建中,从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。
1、核心层
负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。
2、汇聚层
负责将各种接入业务集中起来,除了进行局部数据的交换、转发以外,通过高速接口将数据输送到核心层去,在更大的范围内进行数据的路由以及处理。
3、接入层
设备提供各种标准接口将数据接入到网络中,完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。
3.详细方案设计
3.1.大型金融机构办公大楼局域网解决方案
3.1.1.网络拓扑图
3.1.2.方案分析
本解决方案把网络分为三级网络:核心层、汇聚层、接入层。
对于规模大的大型金融机构办公大楼局域网络,需要建立一个核心的交换平台,使用两台MyPower S4196B三层交换机作为网络的中心核心层,通过千兆链路汇聚来自楼层的MyPower S4196B上行数据。两台MyPower S4196B通过多个千兆GE链路TRUNK互相作为冗余备份,共同作为网络的核心交换。
在汇聚层选择MyPower S4196B产品进行楼层汇聚,最大可提供96个100M端口接入,作为相邻3个楼层的楼层汇聚,使用2路千兆上行连接到核心交换的两台MyPower S4196B上。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入,实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.1.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备,MyPower S4196B支持802.1x、用户分级管理,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
性价比高
在大楼核心采用高性价比的MyPower S4196B路由交换机,最大提供96个100M以太口,提供全线速三层交换,是组建大型金融机构办公网络的最佳网络设备。
可靠性好
MyPower S4196B和MyPower S3026G采用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
易维护
MyPower S4196B和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
3.2.中型金融机构办公大楼局域网解决方案
3.2.2.方案分析
本解决方案把网络分为三级网络:核心层、汇聚层、接入层。
对于中小型金融机构办公大楼局域网络,也需要建立一个核心的交换平台,使用一台MyPower S4196B系列产品作为网络的中心核心层,通过千兆链路集中来自MyPower S4126G汇聚的上行数据。MyPower S4196B系列产品是迈普线速交换网络产品系列定位于中型核心节点的代表产品系列,属千兆交换路由产品,当前的MyPower S4196B提供全线速的二三层交换。在中型规模金融企业网中,两台通过TRUNK连接的MyPower S4196B产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在汇聚层选择MyPower S4126G产品进行楼层汇聚,提供24个100M接入,同时2路千兆上行。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入,实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.2.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S4126G、MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPower S4126G进行对工作组群之间的交互控制和路由。
安全性高
目前作为应用在局域网中的设备,MyPower S4196B、MyPower S4126G支持802.1x、用户分级管理,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
可靠性好
MyPower S4196B、MyPower S4126G、MyPower S3026G采用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4196B和MyPower S4126G路由交换机,提供全线速三层交换,是组建中型金融机构办公网络的最佳网络设备。
易维护
MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
3.3.小型金融机构办公大楼局域网解决方案
3.3.2.方案分析
对于小型金融机构办公大楼局域网络,也需要建立一个核心的交换平台,使用一台MyPower S4126G系列产品作为网络的中心核心层,通过百兆链路汇聚来自各楼层MyPower S3026G的上行数据。在小规模金融企业网中,单台MyPower S4126G产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入,实现100兆到桌面,可划分VLAN对业务进行隔离。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为整个大楼构建一个便于管理的、可控的、高性能的智能网络。
3.3.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4126G和MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPowerMyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备,MyPower S4126G支持802.1x、用户分级管理,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
可靠性好
MyPower S4126G、MyPower S3026G采用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4126G路由交换机和MyPower S3026G二层网管型交换机,MyPower S4126G提供全线速三层交换,MyPower S3026G支持二层的所有网管协议,是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
3.4.同城金融机构办公大楼间城域网解决方案
3.4.2.方案分析
上图显示了典型金融企业网的组网应用情况。在该类网络中存在下列需求:大量不同规模工作组的接入;楼层(楼间)宽带互联;分部互联;综合服务环境提供(邮件系统、文件系统、数据库等);对外服务提供以及业务隔离等。
当前,随着企业IT进程的迅速推进,千兆骨干,百兆到桌面已经成为企业LAN建设的标准配置,按照这种思路组建金融企业网络的物理平台架构,在用户接入层可以选用MyPower S3026G系列接入交换机,提供百兆到桌面的同时再以100M/1000M上行到汇聚层;在汇聚层则可以选用MyPower S4196B和MyPower S4126G,向下提供百兆接入,同时向上提供千兆链路上行。MyPower S4196B和MyPower S4126G可以提供2条千兆上行链路,用户可以根据自身需求以及光纤资源情况进行灵活的选择。用MyPower S4196B做大楼中心汇聚,向下提供千兆接入,同时向上提供N×1000M链路上行。
对于远端的办公节点,例如另一栋办公大楼或者一个拥有可达光纤资源的金融分支机构,远端办公节点的MyPower S4196B支持扩展光纤接口模块,可以方便的实施远程光纤互联。在各办公节点间用MyPower S4112A进行各点的核心汇聚,MyPower S4112A最大能提供12个千兆光口。
在业务部门众多,网络用户密集、结构复杂的中型企业,纯二层产品组建的网络往往会出现广播报文急剧增多而导致的网络转发效率降低的现象,同时,不同的部门处在同一个网络中,也可能产生安全漏洞,所以,有必要使用相应的网络技术来控制不同子网的广播范围,使用VLAN(虚拟私有网)技术可以有效的隔离广播,控制不同网络用户的互访,但同时也产生了新的问题:彻底的二层隔离使得原有的公用资源可能不再能同时为各个相互隔离的子网服务了,另外,为了隔离广播造成了部分需要互访的用户的隔离――解决不同VLAN之间的互访需求需使用网络更高逻辑层的支持技术――路由技术(第三层)。在大型企业的部门级网络或者中型企业的分部LAN中心都可以选用MyPower S4100系列产品解决上述问题。MyPower S4100系列可以提供全线速的二三层交换,保证了即使在网络流量子网网间达到流量高峰时,该网络节点处理依然不会成为瓶颈。
在更好的控制广播扩散以及不同部门之间数据流的三层互通的同时,MyPower S4100还能实现线速的多层策略过滤,即:MyPower S4100可以基于硬件的2~7层包过滤等设置安全策略,用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为同城各办公机构间构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.4.3.方案特点
集群管理
可以采用迈普DeviceMaster管理软件对MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4112A、MyPower S4196B和MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备,MyPower S4112A、MyPower S4196B和MyPower S4126G支持802.1x、用户分级管理、基于硬件的2~7层包过滤等安全策略,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
可靠性好
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G采用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4112A和MyPower S4196B路由交换机,最大能提供12个千兆光口,提供全线速三层交换,是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
结束语
无论是金融系统原有的数据网络资源系统、中间业务网络还是OA、金融企业资源系统,在充满竞争和机会的金融市场环境下都需要更加技术先进、开放、安全可靠的网络基础。把这些零散的业务网络有机的整合在一起,这意味着要构筑打造一个高性能、高效、可控、易维护的全新智能信息网络。
面向全新的金融网络,迈普依靠多年来在金融行业积累下的网络建设经验,对省行到网点机构进行详细分析和精心设计,帮助客户提供了面向业务、面向办公自动化网络高性价比的局域网建设综合解决方案,全面满足大集中的背景下产生的业务对网络的众多需求。
F. 企业总部和分支机构组建广域网,对各分支机构的通信运营商有什么统一要求吗
使用SD-WAN组网方案的话,在概念上是没有统一要求的,因为SD-WAN组网方案可以接入任何一家通信运营商的网络。但在实际操作中,要看你所合作的SD-WAN组网服务商有没有各个分支机构的通信运营商资源,在资源较少的情况下,那你可选的空间就比较小。所以,我们讲要找一个通信运营商比较多的SD-WAN服务商也很重要。我们公司是做保险的,合作的SD-WAN组网服务商是光联集团。都知道做保险的在全国的分支那是相当的多,逻辑上这种分支机构组网是一件非常麻烦的事情,因为需要接入不同的通信运营商,且各个通信运营商其实都有它的“地域优势”,就比如这个地方的移动通信更好,那个地方的电信通信更好,如果是资源丰富的SD-WAN组网服务商不仅这些通信运营商都有,而且会帮你筛选更优质的通信运营商。光联集团给我们的SD-WAN组网方案中,几乎是涵盖了中国所有热门通信运营商,即在区域内优先选择优质运营商。
G. 什么是广域网
广域网(WAN,Wide Area Network)也称远程网(long haul network )。通常跨接很大的物理范围,所覆盖的范围从几十公里到几千公里,它能连接多个城市或国家,或横跨几个洲并能提供远距离通信,形成国际性的远程网络。
拓展资料
通常广域网的数据传输速率比局域网高,而信号的传播延迟却比局域网要大得多。广域网的典型速率是从56kbps到155Mbps,已有622Mbps、2.4 Gbps甚至更高速率的广域网;传播延迟可从几毫秒到几百毫秒(使用卫星信道时)。
适应大容量与突发性通信的要求;
适应综合业务服务的要求;
开放的设备接口与规范化的协议;
完善的通信服务与网络管理。
广域网连接相隔较远的设备,这些设备包括:
路由器(routers)——提供诸如局域网互连、广域网接口等多种服务。
交换机(switches)——连接到广域网上,进行语音、数据及视频通信。
调制解调器(modems)——提供话音级服务的接口,信道服务单元是T1/E2服务的接口,终端适配器是综合业务数字网的接口。
通讯服务器(communication server)——汇集用户拨入和拨出的连接。
H. 公司内部电脑联网 一个在上海一个在北京 只想让他们互相访问,怎么解决
采用VPN(虚拟专用网)技术
VPN技术介绍
VPN是 英文 Virtual Private Network缩写,中文译为虚拟专用网,它是一种通过ISP和其他NSP,在公网如Internet中建立用户私有专用的数据通信网络技术,通过私有隧道在公共数据网上仿真一条点到点的专线。它随着Internet在企业领域应用范围的不断扩大与深化,作为一种经济安全的组网方式越来越受到人们的青睐。
主要采用4项核心技术:安全隧道(Secure Tunneling)技术、密钥管理(Key Management)技术、访问控制(Acess Control)技术和用户身份认证(User Authentication)技术。安全隧道技术是VPN的一项基本技术,主要负责将待传输的原始信息经过加密、协议封装和压缩处理以后嵌套在另一种协议的数据包中送人网络,从而实现对公用网络的透明性。隧道技术保证在公网上建立专用的私有通道,它主要遵循以下四种隧道协议:PPTP点到点隧道协议、L2TP第二层隧道协议、IPSec网络层隧道协议以及SOCKS v5协议;而VPN安全技术是用于保证数据的安全性和完整性,由于加密、认证及密钥交换与管理等技术实现。
VPN大致可分为三类:企业内部虚拟网(Intranet VPN)、远程访问虚拟网(Access VPN)和企业扩展虚拟网(Extranet VPN) 。 Intranet VPN是指企业的总部与分支机构间通过公网构筑的虚拟网。它通过一个使用专用连接的共享基础设施来连接;企业拥有与专用网络的相同政策,包括安全、服务质量,可管理性和可靠性等。Access VPN是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。它可以通过拨号、ISDN,XDSL、移动IP等方式实现安全连接,用户随时随地以其所需的方式访问企业资源。Extranet VPN是指不同企业网通过公网来构筑的虚拟网。它通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网、企业拥有与专用网络的相同政策,包括安全、服务质量(QCS)、 可管理性和可靠性等。它适合于提供B2B之间的安全访问服务。通常把Access VPN叫做拨号VPN,即VPDN( V irtual Private-DIAL一UP Networks);将Intranet VPN和Extranet VPN统称为专线VPN。图书馆的VPN宜采用专线VPN的方式。实现VPN主要方式有:一是通过专用软件、购买具有VPN功能的路由器或在现有路由器中增加VPN模块;二是ISP提供;三是ISP和单位共同建设。VPN确实是中心馆与各成员馆之间互联的一个理想方案。特别是基于IP的虚拟专用网技术,采用TCP/IP网络协议,利用现在的Internet网络环境,在公共网络信道上建立逻辑上的专用网络。利用它可以在各成员馆与中心馆内部网之间建立可信的安全连接,并保护数据的安全传输。同时,将数据流转移低成本的IP网络上可大幅度减少图书馆在WAN和远程网络连接上的费用。它对于图书馆网络建设有着高度安全性、降低通信成本和可管理性的技术优势。
在计 算 机 技术和网络技术飞迅发展的今天,各成员馆一般都已经接人Internet。但各馆所使用的图书馆管理系统不尽相同,为实现通借通还,中心馆和各成员馆的图书数据应整合在一起。由于选择的图书管理系统是采用C/S方式编制的,工作站延伸到各成员馆,那么各馆的所有数据操作都在同一台服务器上,由于各馆相距很远,自行铺线路是不可能的,租用专线费用太高,为了实现廉价的异地互连,且有较高的数据安全,决定采用动态ADSL + VPN技术实现。由于VPN产品具体实现的手段有很多,有全软件的办法,也有全硬件的办法,还有软硬件兼施的办法,有能够支持公网动态IP的,也有的只能支持静态IP 的。甚至于有的操作系统本身都带有简单的VPN功能,如WIN2000,LINUX等,考虑到由操作系统带的这些VPN功能都较弱,又需要静态的IP,软件的VPN产品需要维护和以及要防止病毒等因素,决定采用ICEFLOW R5000L VPN产品。该设备是一种硬件,属于一种基于IPSEC的第三层VPN路由器,集成了多种安全技术和网络通讯技术,还支持GRE,PPTP等协议,支持3DES,AES,TWOFISH,SE RPENT,BLOWFISH,CAST高强度加密算法,同时还可通过IKE、共享秘钥进行身份认证等方式及VOIP等功能。同时支持ADSL,CABLEMODEN,DDN等,可以在全动态IP的广域网络上(Internet城域网)为客户搭建统一、高效的IP VPN网络。采用 本方案,只需要在各成员馆分别引人一根动态ADSL线路,加装一个VPN路由器,即可实现各馆廉价互连互通。并能在今后经济有效地扩展新业务,如语音、视频监控等,同时集成防火墙、传输和加密等功能。
请查阅相关资料,这样的网络应该最适合你的要求
I. 广域网的几个概念
在回答问题之前,首先笑一下sbwynnss - 经理 五级
到处搜索,在完全不明白的情况下瞎复制粘贴,你的经理就是这样混上来的?
==================================================================
首先要把广域网和接入的概念弄清楚。广域网技术主要的目的是为了让位于不同地理位置的计算机网络连接在一起。比如总公司和分公司,公司和mobile users。
而接入的目的是为了让单一地域的计算机网络连接到互联网上。
(当然通过Internet连接多个分支机构就是VPN)
容易弄混的是,有时候广域网技术和接入技术是相同。例如:ISDN既可以接多个分部又可以接入互联网。区别是总分部互联的话,分部的ISDN要拨总部连接访问服务器的那条ISDN线路,而连互联网则要拨叫当地运营商(例如网通和电信)的号码。
现在广域网技术主要用的是帧中继,偶尔用ISDN进行备份,一旦帧中继挂了就自动拨号ISDN。专线(HDLC和PPP)现在用得应该是比较少了。因为不支持突发。ATM太贵一般用不起。但这三种技术偶尔也用于连接互联网。
至于3里面的技术主要用于各种接入。
最后再提醒一句,几乎所有的广域网技术都可用于连接互联网(接入)。但出于造价等多方面因素,所以通常12是用于连接广域网,3用于连接互联网。例如ADSL不对称,所以用在广域网连接很不合适。
J. 如何利用SD-WAN方案搭建远程办公网络
如今移动化办公已经非常普及,异地组网、远程办公,移动化存储数据不仅在企业,也慢慢让很多个人也有了类似的需求。虽然我们通过一些软件可以实现异地组网或者是云数据存储,但是他们的安全性和稳定性还是存在局限。而像一些比较私人化重要的数据,其实也不适合放在云端。
那么对于企业,或者是个人而言,如何更加简单安全地搭建一个工业级的远程办公网络、一个远程数据存取网络呢?
基于SD-WAN智能组网方案,能快速组建异地虚拟局域网,实现异地局域网内电脑、手机、服务器的互联互通,可自由共享文档、图片、音频、视频、数据库等重要信息。
在传统的企业广域网布局里,分支机构和总部之间需要凭借Internet或者专线建立链接,从而实现共享数据、E-mail和Web应用等服务。在这种方式下,如果数据交互全部通过公开的Internet分发,则会大大影响传输效率,造成响应延迟。如果采用Internet和专线结合的方式,则很容易出现业务分发的不均衡。而如果全部采用专线,又会造成架设成本的指数级上升,这是一般的企业所无法承受的。
SD-WAN的精细化管理不仅体现在流量分配上,还体现在针对不同应用的安全策略配置上,SD-WAN的精细化管理也能解决此种问题。针对不同应用,设置不同的安全策略,可信度高的应用可直接访问,可信度低的应用采取限制策略。