三网合一建设方案 本文关键词:方案,建设,三网合一
三网合一建设方案 本文简介:三网合一建设方案一、概述三网融合是指电信网、广播电视网、互联网在向宽带通信网、数字电视网、下一代互联网演进过程中,三大网络通过技术改造,其技术功能趋于一致,业务范围趋于相同,网络互联互通、资源共享,能为用户提供语音、数据和广播电视等多种服务。三合并不意味着三大网络的物理合一,而主要是指高层业务应用的
三网合一建设方案 本文内容:
三网合一建设方案
一、概述
三网融合是指电信网、广播电视网、互联网在向宽带通信网、数字电视网、下一代互联网演进过程中,三大网络通过技术改造,其技术功能趋于一致,业务范围趋于相同,网络互联互通、资源共享,能为用户提供语音、数据和广播电视等多种服务。三合并不意味着三大网络的物理合一,而主要是指高层业务应用的融合。三网融合应用广泛,遍及智能交通、环境保护、政府工作、公共安全、平安家居等多个领域。手机可以看电视、上网,电视可以打电话、上网,电脑也可以打电话、看电视。三者之间相互交叉,形成你中有我、我中有你的格局。
三网融合打破了此前广电在内容输送、电信在宽带运营领域各自的垄断,明确了互相进入的准则——在符合条件的情况下,广电企业可经营增值电信业务、比照增值电信业务管理的基础电信业务、基于有线电网络提供的互联网接入业务等;而国有电信企业在有关部门的监管下,可从事除时政类节目之外的广播电视节目生产制作、互联网视听节目信号传输、转播时政类新闻视听节目服务,IPTV传输服务、手机电视分发服务等。
二、术语和定义
1)
无源光网络:由光纤、光分路器、光连接器等无源光器件组成的点对多点的
网络,简称PON。
2)
无源光网络系统:由光线路终端OLT、无源光网络PON(或光分配网ODN)、光网路单元ONU
组成的信号传输系统,简称PON
系统。根据采用的信号传输格式可简称xPON,如APON、BPON、EPON
和GPON
等。
3)
光分配网:是无源光网络的另一种称呼,由馈线光缆、光分路器、支线光缆组成的点对多点的光分配网络,简称ODN。
4)
馈线:光分配网中从光线路终端OLT
侧紧靠S/R
接口外侧到第一个分光器主光口入口连接器前的光纤链路。
5)
支线:光分配网中从第一级光分路器的支路口到光网络单元ONU
线路侧R/S接口间的光纤链路。采用多级分光时,也包含除一级光分路器以外的其它光分路器。
6)
冷接子:一种通过机械方式快速实现裸光纤对接的光纤接续器件。
7)
光分路器:一种可以将一路光信号分成多路光信号以及完成相反过程的无源器件,简称OBD。
8)
光分路盒(框):专门为安装光分路器设计制作的盒体或机框,内部包含光纤熔接盘和光纤活动连接器等配件,具有一定的防尘功能。盒式可分成落地安装式或挂墙安装式,机框式可安装在标准19
英寸机架上。
9)
A86
接线盒/A86
面板:一种长和宽均为86mm
的通用墙式出线装置,由接线盒和面板组成。
10)
综合信息盒:安装在最终用户处,具有电话、数据、有线电视等网络综合接线功能的有源信息分配盒。
11)
用户光缆终端盒:提供光缆到达用户做终结的光纤保护盒,通常装有光接插件。
12)
入户光缆:引入到用户建筑物内的光缆。
13)
皮线光缆:是一种采用小弯曲半径光纤,具有低烟无卤阻燃特性外护套的非金属光缆,适用于室内暗管、线槽、钉固等敷设方式。
14)
自承式皮线光缆:由皮线光缆和一根平行金属加强吊线组成的8
字形自承光缆,适用于架空、挂墙方式引入至室内的光缆。
15)
L
型机械快接式光纤插座:具有快速光纤机械接续功能,适应安装在A86
接线盒内的光纤插座。
三、项目需求
随着数字技术、光通信技术和软件技术的发展以及统一的TCP/IP协议的广泛应用,以三大业务来分割三大市场的技术基础已不复存在,市场需求和技术发展促使“三网合一“,限制三网交叉经营的管制也将做出重大调整。业界呈现出技术融合、市场融合、业务融合的大趋势,三种行业、网络以及信息终端的最终融合不可避免,这将对整个信息产业和社会信息化产生重大影响技术进步和市场需求是三网合一的发展动力。技术、市场、业务的三统一(融合)是三网合一的实质,利益冲突的协调是三网合一的主要难点,我国要重点协调好电信广电和联通的关系。要明确信息产业部的行业管理地位,加强政府的宏观调控功能,还要正确认识重复建设的问题。
我国三网合一应坚持“统筹规划、统一标准;立足实地、循序渐进;联合建设、共同发展“的原则。具体实施上,要立足实际,对不同部门采取不同政策;允许具备能力的网络进行适当的业务交叉;先期重点发展接入网,同时加强对信息资源和信息服务的管理。三网合一是大势所趋,也是我国信息产业的机遇和挑战,三网合一的实现,将提高我国信息产业的整体实力,促进信息时代我国社会经济的发展。
四、基于FTTH网络建设方案
4.1总体网络建设建议
参考中国市场对宽带接入网的发展要求,并结合当前GPON产品的特点及现网部署具体操作,建议采有FTTH建设模式,具备为最终用户提供超高带宽的能力,为最终用户带来IP网络+有线电视+固定电话等功能丰富的业务模式和最好的业务体验。
PON
FTTH三网合一整体网络方案
4.2设计规范及引用标准
1)
YD/T1475-2006
接入网技术要求-基于以太网方式的无源光网络(EPON)
2)
YD/T103-2000
接入网名词术语
3)
中国电信集团公司企业标准《中国电信EPON
设备技术要求V2.1》
4)
GB
7611-2001
数字网系列比特率电接口特性
5)
YD/T
1082-2000
接入网设备过电压过电流防护及基本环境适应性技术条件
6)
YD/T
1292-2003
基于H.283
的媒体网关控制协议
7)
IEEE
Std
802-2001
局域网和城域网的IEEE
标准:概况和架构
8)
IEEE
Std
802.3-2005
信息技术-系统间通信和信息交换-局域网和城域网特定要求-第3
部分:CSMA/CD
接入方式和物理层规范-增补文件:用于用户接入网的媒质接入控制参数、物理层和管理参数
9)
IEEE
Std
802.1d(1998)介质访问控制(MAC)桥协议
10)
IEEE
802.1p(1999)局域网二层QoS/CoS
协议
11)
IETF
RFC
3435(2003)媒体网关控制协议(MGCP)
12)DXJS1021-2007中国电信集团企业标准《中国电信光纤到户(FTTH)工程设计规范(暂行)》
13)《民用建筑电气设计规范》JGJ/T1-92
14)《电气装置安装工程施工及验收规范》GBJ232-90/92
15)《建筑及建筑群综合布线系统工程设计规范》GB/T
50312-2000
16)《市内电信网光纤数字传输系统工程设计暂行技术规定》YDJ13-88
17)《智能建筑设计标准》EBD-0310-95
18)《智能建筑设计标准》GB/T50314-2006,
19)《有线电视系统工程技术规范》GB50200-94
20)《综合布线系统工程设计规范》GB/T50311-2007
21)《智能建筑工程质量验收规范》GB50339T
4.3网络规划和建设建议
在FTTH
网络规划过程中应遵循如下一些基本原则:
1)
市场驱动原则
业务市场需求的差异必将导致运营商网络建设的多样性,即使针对同一运营商在不同区域、不同发展阶段,也会有不同的模式和解决方案。因此在开展FTTH网络规划初期,必须明确引入FTTH
的目的、具体业务需求、采用何种网络应用模式、计划采用的业务策略、预计达到何种目标等。
2)
投资有效性原则
FTTH
网络建设应充分考虑投资与效益的均衡,注重投资成本的整体回报。在FTTH
网络的建设成本在某种程度上接近ADSL/LAN
等宽带接入手段时,考虑到FTTH网络在维护成本上要低于ADSL/LAN
接入,可考虑引入FTTH
技术来新建接入网,以及对现有接入网逐步实施“光进铜退”。
3)
可靠性原则
FTTH网络应通过系统和网络两个层面保证高可靠性。
4)
易扩展原则
FTTH
网络的发展是一个逐步将接入光缆向终端用户延伸的过程,在进行ODN
网络规划时,必须充分考虑向FTTH
接入的演进,保证FTTH
网络的易扩展性。
5)
标准支持原则
FTTH
系统应支持所有相关的ITU、IEEE、CCSA标准,同时还应支持国内行业标准和中国电信、联通、移动企业标准。
4.4网络区域划分
4.2.1
FTTH网络区域划分
FTTH
网络属于接入网范畴,应与接入网规划思路保持一致,通过区域划分,以分区域为单位进行规划,一般以接入网服务区为一个规划分区域。接入网服务区是由接入网的一个主干网服务所覆盖的区域。一般以端局为服务区中心,可以有单局覆盖的服务区,也可以有双局覆盖的服务区。在各接入网服务区FTTH
网元和ODN
网络等内容的规划完成之后,再在整个本地网范畴内进行综合考虑,并进行网络资源等内容的规划、经济评价等。
4.2.2
FTTH网络提供的主要业务
FTTH系统可以作为一种综合接入手段,提供高带宽和QoS
保证能力,可以承载包括以太网/IP
业务、语音业务、视频监控等多种业务,满足Triple-play
的需要。可以提供语音、数据、视频、监控业务的接入和承载:
l
数据业务:FTTH
可以提供30M
以上的带宽,能够在相当长的时期内满足基于以太网/IP
的数据业务的需要,如互联网接入、P2P、文件下载、网络游戏等各种业务和应用。
l
语音业务:FTTH
系统可以提供语音业务,包括采用VOIP
的软交换电话语(及各项增值业务)和采用64kbit/s
电路仿真方式的传统电话。从技术发展趋势来看,软交换方式将成为FTTH必须支持的实现方式。
l
CATV业务:包括数字有线电视和高清有线电视,GPON带宽有效占用率可以极大的提高视频图像上行带宽的占用率,也同时提供更高的视频图像终端的下行带宽。
l
对于公众客户,主要提供语音、数据和视频业务;
l
对于大客户、商业客户,主要提供语音、数据和监控业务。
4.5网络区域划分
4.5.1网元规划
1)OLT设备
OLT
设备一方面将承载各种业务的信号进行汇聚,按照一定的信号格式送入接入部分以便向终端用户传输,另一方面将来自终端用户的信号按照业务类型分别送入各业务网中。
OLT
设备应能灵活地对其所带用户的同类业务进行汇聚;对于所有以太网/IP
类业务,应支持通过不同的上联端口区分,以及通过相同的上联端口以不同的VLAN
等方式区分。
l
OLT设置方式
OLT
集中设置在端局便于设备的集中管理,节约网络上联所需传输资源。光进铜退的实施,管道资源可以满足未来大量光缆的敷设。光缆材料成本占管线造价的比例较小,随着光器件成本的进一步下降,大芯数光缆的建设成本与小芯数光缆相差将会越来越不明显。集中设置在端局可以大大减少接入点的投资。集中维护管理可以降低维护成本。本次建议采用集中设置端局模式。
2)
ONU/ONT设备
ONU负责与OLT
之间的信息互通,并可通过内置或外挂用户网络接口设备的方式提供用户接入。
l
ONU设备性能要求
ONU设备应符合相应的技术体制。ONU
可根据不同的应用场合配置不同的用户接口。
l
ONU设置与供电
ONU应根据FTTH网络的应用模式、业务需求进行设置:
可选择将ONU
设置在大楼楼道或竖井内机柜、室外光交接箱等不同位置。ONU
原则上采用本地供电方式,尽量不采用远端供电方式。为保证断电时语音业务的正常开展,可以根据需要提供ONU
断电保护:
4.5.2
ODN
网络规划
1)
ODN框架结构
无源光分配网络(ODN)将OLT和ONU连接起来,提供了传输的手段;ODN
包括OLT
至ONT
之间的所有光缆、无源器件和线路辅助设施
ODN网络以树型结构为主,包括馈线段,配线段,入户段3个段落,中间的光分支点为光分配点,光用户接入点。ODN的馈线段从OLT局端延伸到各分配点,配线段从分配点延伸到各接入点,入户段则从接入点处延伸到各个用户,端接在用户室内,或直接将入户光缆连接到ONU上。
对于FTTH的应用,ODN
网的配线光缆段可以是2~3
级配线,有时可以是4
级配线;对于FTTB/C
应用,光分配点可以兼作光用户接入点,入户光缆段可以缺省。
ODN
网络涉及的无源光配线设施主要有:
1)局端配线设施:光配线架等。
2)光分配点设施:光配线架、光交接箱、光分线盒、光分路器、光分歧接头盒等。
3)光用户接入点设施:光分路器、光分线盒、光终端盒、光分歧接头盒等。
4)用户端接设施:用户终端智能盒、光纤信息面板。
2)
ODN光配线设施
各种光配线设施功能与设置原则如下:
a)
光配线架、光交接箱
光配线架(ODF)是用于局端光通信设备与光缆的配线连接设备,也是用于室内光分配点馈线光缆与配线光缆、或配线光缆与配线光缆的配线连接设备。光交接箱一般用于室外的配线连接,对于大型楼宇,也可设置用于楼内配线的光交接箱。
室外光交接箱应尽量靠近永久性建筑物设置。
b)
光分线盒、光终端盒
光分线盒、光终端盒是用于室内的配线连接设备,光分线盒可以提供光纤的熔接、端接、配线及分线功能,光终端盒则可提供除分线功能之外的其他功能。当用户暂不开通光纤业务时,可使用具有光纤端接功能的光分线盒/终端盒,将配线光缆端接在盒内,待用户申请业务时再将入户光缆连接到用户端。
c)
光分歧接头盒
光分歧接头盒一般用于室外的配线连接(直熔方式的固定连接)。一般来说,每个分歧接头盒可以提供2~8
根光缆的保护性连接、光纤分配。
b)
用户终端智能盒、光纤信息面板
用户终端智能盒主要提供ONU
及用户附属终端的安装、供电、入户线光缆成端及光/电缆储存和保护的功能。光纤信息面板为入户光缆提供保护端接功能,但光纤接头容易因外界因素受损。
家用ONU
尽量安装在用户终端智能盒内,入户光缆直接终端在盒内以加强对光纤接头的保护。对于实施FTTO
的写字楼,或竞争需要的楼宇,可以设置光纤信息面板进行入户光缆终端,需要开通业务时再通过尾纤跳至ONU。
e)
光分路器
光分路器(光纤分路器),也称为“非波长选择性光分支器件”,用于实现特定波段光信号的功率分路及再分配功能的光纤器件。
光分路器可以作为独立的器件在OLT
节点、光分配点、用户接入点使用,也可以置于其他局端配线设施、光分配点和用户接入点设施内(一体化设计或可插拔式)使用。
3)光分路器部署
光分路器分类
光分路器主要分为两大类:一种是传统光无源器件厂家利用传统的拉锥耦合器工艺生产的熔融拉锥式(FBT)光分路器。另一种是基于光学集成技术生产的平面光波导(PLC)分路器。熔融拉锥型分路器和平面光波导分路器的比较如下所示。
熔融拉锥型分路器FBT
平面光波导分路器PLC
制造工艺
传统的拉锥耦合器工艺,工艺简单
半导体工艺,工艺复杂
工作波长
1310(1550)±40nm
1260~1650nm
波长敏感度
插损对波长敏感
插损对波长不敏感
功率分配比例
均分、不等分
均分
插损均匀一致性
较差
较好
温度相关损耗(TDL)
插入损耗随温度变化量大
插入损耗随温度变化量小
外形体积
多通道分路器体积大
结构紧凑,体积小
价格
低分路价格低,高分路价格高
低分路价格高,分路数越多成本优势越明显
光分路器宜选用平面光波导型器件,在低分路比(1×4及以下)情况下可以考虑选用熔融拉锥型器件。
低温工作环境下推荐使用平面波导型光分路器,不推荐使用熔融拉锥型光分路器。
当由于ONU传输距离不同而对光功率分配有特殊需求时,ODN中可采用非均分光的光分路器,此时应选用熔融拉锥型光分路器。
分光器部署和分光方式比较
PON网络宜采用一级分光,尽量不超过两级分光。光分路器可适当分散设置,以便尽量靠近用户。分光点应进一步靠近用户,设于楼宇交接箱内
一次分光集中放置
一次分光分散放置
二次分光
网络结构与维护管理
每条链路只有一个分光点;
链路衰耗较小;
分光一致性上更容易控制;
一级分光在物理链路上相对简单,更为可靠;
从光网络管理的角度上来讲,集中的分光点对维护和故障检测较简单。
每条链路只有一个分光点;
链路衰耗较小;
分光一致性上更容易控制;
一级分光在物理链路上相对简单,更为可靠;
从光网络管理的角度上来讲,分光点分散对维护和故障检测较困难。
第二级分光,链路上需要维护的点较多
链路衰耗较大;
分光一致性上不容易控制;
物理链路上更多的连接点,故障点多;
从光网络管理的角度上来讲,分光点分散对维护和故障检测较困难。
OLT
PON口利用率
入户光纤直接集中于光纤分配点;
一个PON
端口可覆盖的范围最大,PON端口可以根据接入用户数增加而逐步扩容。
分光点位于楼道内或外线光纤分配点;
PON
端口覆盖范围最小,利用率最低
二级分光位于楼道内入户光纤分配点;
PON
端口覆盖范围较大(第一级),
但第二级分光器覆盖范围小,因此利用率相对较低。
PON口及分光器利用率与用户实装率关系
关系不大,最经济
关系最高,最浪费
关系居中
光缆投资
稍大
馈线、入户光缆与其它方式相当
配线光缆投资稍大,但配线长度较短
小
配线光缆投资小
小
根据实际情况,合理设置分光比,降低光缆投资
4.5.3光缆规划
(1)核心层光缆可采用环形、网状网结构,尽量利旧现有光缆资源,GE及以上IP业务颗粒原则上采用IP
over
WDM方式承载。新建系统时一对光纤承载带宽不应低于10GE。
(2)汇聚层光缆应采用环形结构,尽量利旧现有光缆资源,可根据光缆长度、纤芯资源情况和业务需求等因素,原则上采用光纤方式承载,随着城域数据设备下沉至汇聚层,也可采用IP
over
WDM方式承载。新建系统时一对光纤承载带宽不应低于10GE。
(3)汇聚节点至基站光缆为主干接入光缆,应以环形结构为主,在地理条件和光纤资源受限的情况下也可采用链形结构。主干接入光缆应根据用户规模合理设置芯数,原则上新建系统一对芯光纤承载带宽不应低于1G。
(4)基站至各类客户段光缆为末端接入光缆,可灵活采用环形、链形、星形,根据客户分布及业务需求,按需规划光缆芯数。
4.5.4综合业务接入区规划
(1)节点规划
综合业务接入区内应合理设置一到两个综合业务接入点,若干分纤点。
1)综合业务接入点:作为综合业务接入区内业务汇聚中心点,应尽量与城域传送网汇聚节点合设,并优先选择自有产权或长期租用机房。
综合业务接入点是主干光缆与配线光缆的交汇点,是光纤物理网的基础,也是全业务接入区的中心。通过设置的ODF进行主干和配线的跳接
2)分纤点:大楼、小区、配线间、无线基站等用户端ODF架(盒)的位置称为全业务接入区的分纤点。根据需求合理设置分纤点,原则上应设在基站内,进行基站室内分纤,综合考虑网络安全性、建设成本及维护便利性等因素,也可在基站附近进行室内、室外分纤。
4.5.5光缆选型与光缆连接
1)光缆选型
光缆选型在FTTH
网络中,新建的光缆应全部采用G.652
单模光缆,在FTTH
系统ODN
网络中的光缆,按工作环境分为室外光缆、室内光缆和室内室外两用光缆:
在室外环境下宜选用室外光缆。
在室内环境下除了可以采用YD/T
1258
定义的各种结构的室内光缆之外,可以按需求选用悬挂式布线光缆(“8”字形光缆)、骨架槽式光纤带光缆等
当需要光缆从室外跨入室内时,可选用室内室外两用光缆直接进入室内
2)光缆连接
光缆连接包括两种方式:固定连接和活动连接。
固定连接可以采用两种技术:熔接和机械接续(冷接)。固定连接可以减少ODN
的跳接点,减少光通道损耗;活动连接则更有利于光缆灵活配线。
图:光纤熔接机
图:光纤冷接子
ODN
的光缆段间也可采用活动连接,但要严格控制活接头数量,从OLT
至单个ONU
之间的活接头不应超过7
个。
3)光纤接头的分类:
按结构不同分为:FC(圆头螺口)、SC(方头插拔)、ST(圆头卡口)、LC(小型长方头插拔)等等
按插针端面分类:APC(8°角斜面形状物理接触)、
UPC(超抛光物理接触)、PC(球面状物理接触)、EUPC(增强超抛光物理接触)
等
活动连接器的光纤端面一般采用UPC
型;如FTTx
网络承载CATV
模拟电视信号,则所有光纤连接器要求采用APC
型端面。
4.6网管整体方案介绍
4.6.1PON网管功能定位
引入PON系统后,网络管理维护面临新的问题:
l
由于接入点下移导致接入点数量增加,大量宽带设备设置在楼道、有源交接箱等位置;
l
业务从单一业务向多业务转变,业务管理更加精细化;
l
光缆网络的维护量增加等等
因此,在建设PON光接入网时需要同步集中建设新建PON设备的EMS
网管系统,实现对PON
网络的集中监控、集中操作,对PON
系统的OLT,并对内置在ONU
中的话音处理模块和数据业务处理模块进行集中统一管理;同时提供告警、性能等信息的收敛功能。PON
EMS
还应通过北向接口与BOSS
和其它业务网管(如软交换网管、IP城域网网管等)相连,FTTB
ONU
同时作为管理实体,也应支持其它业务网管理系统(如IP城域网网管)对其进行VLAN
等基本业务信息的远程配置管理。
PON网管在整个网络中的定位如下:
通过PON
网管(EMS)系统,应该对整个PON接入网络,包括OLT及各种ONU实现全面的管理。其功能定位主要为:
业务管理方面:
对PON网络和设备层面进行管理,对物理通道进行配置,并具备批量预配置能力,在PON网管上把与业务相关的公共配置属性在网络部署阶段一次性完成。在用户业务开通时,对PON网络相关的用户设备和末梢设备实现自动配置或零配置,以缩短开通时间。对于业务的开通和控制可以由各专业网管进行(比如宽带业务的认证和速率限制通过BRAS实现,语音业务的开通和激活在软交换及SHLR等设备上进行等)。
网络管理方面:
PON网管负责对PON接入网络的数据配置,操作管理及有缘设备引起的各类故障进行辨别。同时可以对无源光接入网络(ODN)进行管理,对光纤,光缆,分录其等无源设备引起的各类故障可以进行快速,有效的定位和测量。
IAD管理:
对于内置于ONU的IAD,PON网管负责相关硬件的管理,对终端PON部分及局端设备由PON网管实现统一管理。对于语音业务部分的管理,可以由PON网管进行管理,也可以由VoIP网管进行管理,对于FTTH应用场景,也可以由家庭网管管理平台进行管理。在具体项目中,可以根据用户实际网络情况及规划来选择合适的管理方式。
实现GPON及EPON的统一网管方案,可以充分满足PON网络的管理要求,
对全网设备的全面管理,包括网络拓扑,故障管理,性能管理,配置管理,系统管理等功能。另外通过统一的北向接口实现与运营商现有BOSS系统的对接,将PON网络的管理及运营融入到现有的管理流程。
4.7机房规划设计要求
4.7.1机房位置规划
OLT机房应和其他通信网络设备统一规划、统一设计,尽量利用现有机房(原有机楼或接入点)集中设置,尽量不为OLT单独新建机房。
当受到各种条件限制OLT设备必须安装在远端时,其机房位置选择应满足如下原则:
l
机房应远离易燃、易爆、强电磁干扰(大型雷达站、发射电台、变电站)等场所;机房不应与水泵房及水池相毗邻,机房的正上方不应有卫生间、厨房等易积水建筑。
l
机房宜设置在用户线路中心位置,并且应满足通信管线进出方便的要求。
l
机房应选择在条件良好、环境安全、便于维护的位置,尽量避免设在地势低洼地区及化学腐蚀严重地区。机房应满足相关温湿度、通风条件。
4.7.2机房设计要求
设计机房时应遵循以下原则:
l
OLT所需的机房面积应根据设备终期容量及网络规划情况来综合考虑,一般不宜小于10m2(宽度不小于3m),机房梁下净高应不低于2.6m。
l
机房门宽度不宜小于1.2m,门高不宜小于2.1m。机房的门应向外开启。
l
机房温度和湿度应能满足设备对工作环境要求。
l
设备的工作环境要求一般为:温度:0~40℃
湿度:10%~90%(非凝结)
l
机房内应洁净、防尘、防静电。防静电措施应符合YD/T
754-1995《通信机房静电防护通则》的要求。
l
机房的防雷、接地、雷电过电压保护设计应符合YD
5098-2005《通信局(站)防雷与接地工程设计规范》。
l
机房内电磁干扰应满足以下要求:
n
电场强度小于130dB(μv/m)。
n
磁场强度小于800(A/m)。
l
机房内的背景噪声不宜大于60dB。
l
机房的照明为一般照明,水平照度不应低于150Lx;并设置供电时间不低于20min的应急照明,其照度不应低于5Lx。灯具宜采用三基色荧光灯,灯具应布置在机架列间,吸顶安装。
l
机房严禁漏水、渗水。煤气管、给、排水管、电力及等与通信无关的管线不得穿越机房。
五、系统功能设计
广电网络现状:目前广电网络绝大部分是光纤同轴混合网HFC(Hybrid
Fiber
Coaxial
)。该网络主要由前端、分前端、光节点以及同轴接入部分组成,同时采用光纤干线、同轴电缆支线和用户配线混合组网。传统的HFC网络只有下行通道,只能提供单向的广播业务,业务单一,为提供互动业务必须进行双向化改造。
双向化的广电网络,即在原来HFC网单向下行广播通道的基础上增加上行(回传)通道。目前广电双向网的方案主要有两种,基于
CMTS
+
Cable
Modem和基于PON的方案。
5.1
EPON整体解决方案
EPON示意图
本方案为基于PON的双向网设计,为光路延伸,FTTH完美融合。从EPON的结构上看,其关键优点是极大地简化了传统的多层重叠网结构,主要特点有:
●消除了ATM和SDH层,从而降低了初始成本和运行成本;
●下行业务速率可达1Gbit/s,允许支持更多用户和更高带宽;
●硬件简单,无须室外电子设备,使安装部署工作得以简化;
●可以大量采用以太网技术成熟的芯片,实现较简单,成本低;
●改进了电路的灵活指配和业务的提供和重配置能力;
●提供了多层安全机制,诸如VLAN、闭合用户群和支持VPN等。
IEEE802.3ah规范的EPON技术的上下行波长是1310nm和1490nm,上下行速率均为1.25Gbit/s,传输距离是10/20km,分路比是32/16,主要业务是数据和语音,增加一个1550nm电视广播波长后,成为语音、数据和电视三合一的所谓三重业务捆绑服务。对于传送单一以太网业务而言,EPON是一种很好的解决方案。
5.2业务提供能力
5.2.1数据业务
宽带数据业务是EPON系统所能够提供的最基本的业务。系统能够提供高速率的用户接入,所有用户的数据业务在局端采用光口与BAS连接,计费、认证等管理工作程序同传统的宽带接入,以期最大限度地利用现有的网络资源和维护流程。
工程中可以采用的带宽提供方式有两种:固定带宽分配和DBA带宽提供。
固定带宽分配的方式即传统的宽带提供方式,为每个用户设定带宽上限。这种方式的带宽提供欠灵活,但是可以有效利用现有的网络资源和维护方式,引入较为容易。
DBA的方式可以为每个用户按照一定的策略动态提供带宽,示意图如下图所示。
5.2.2
IPTV业务
随着宽带接入的普及,IPTV业务也随之兴起。FTTH的高带宽特性非常适合承载IPTV业务,若需要在FTTH方案中解决IPTV业务,可采用如图所示的方案。
在IPTV业务开展过程中,接入网的核心职能是提供畅通的宽带通道,这个通道的提供不仅仅要求线路速率足够支持视频码流,而且要求接入网设备内部也应实现无瓶颈的数据传递。系统的全GE线卡连接明显区别于业界的其它接入产品,能够很好地支持大规模的IPTV业务流量。系统对于组播和可控组播提供良好的支持,为大规模开展IPTV业务提供良好的支持,并在大量的实际工程中得到充分验证。
5.2.3
CATV业务
有线电视系统(Cable
Antenna
Television-CATV)是利用光纤加同轴电缆的方式进行宽频传输的图像传输,该系统通过光钎分配网络将电视图像信号高质量地传送到楼层各用户终端。
5.2.4
PSTN语音业务
所谓公用电话交换网(PSTN——Public
Switched
Telephone
Network),即我们日常生活中常用的电话网。众所周知,PSTN是一种以模拟技术为基础的电路交换网络。在众多的广域网互连技术中,通过PSTN进行互连所要求的通信费用最低,但其数据传输质量及传输速度也最差,同时PSTN的网络资源利用率也比较低。通过改造三网整合功能,将有效提高资源利用率。最大程度的节约光钎资源。
5.3业务的可靠性和安全性
EPON平台提供可靠的数据安全能力,各ONU之间逻辑上是二层隔离的,不做特殊的设置或借助其他三层设备等,ONU之间是不能相互通信的,即ONU不会遭受来自系统内部的攻击等威胁;且EPON设备属于二层设备,ONU设备的信息终结在局端OLT上,其MAC地址等信息不会发布到网络外部,因此安全性较好。如果需要更高级别的安全性保证,我们系统还支持对业务的加密。
由于EPON的下行数据采用广播的TDM方式实现,因此存在被个别用户全部截取接收的可能。在这种情况下,我们国内的EPON标准强制要求EPON系统对下行数据进行加密。系列EPON产品中灵活选用标准的AES-128或churning加密算法,可以有效保护用户数据不被窃取。
5.4光纤到居民用户场景(FTTH)
l
光纤直接入户,实现三网合一,可开展语音+数据+IPTV+CATV业务。
l
20公里覆盖半径,实现少局所,广覆盖。
l
丰富的ONU类型,满足开展不同业务类型的需要。
篇2:胶南高职校校园网建设方案
胶南高职校校园网建设方案 本文关键词:胶南,校园网,职校,方案,建设
胶南高职校校园网建设方案 本文简介:胶南市高级职业技术学校国家中职示范校建设材料胶南高职校校园网建设方案一、总体方案描述在本方案中采用了“自顶向下”的设计思想。自顶向下的设计方法适用于从OSI参考模型的高层开始再向较低的层次推进的网络设计,它着重于在选择运行于较低层次上的路由器、交换机和介质之前,将重点放在应用、会话、数据的传输上。“
胶南高职校校园网建设方案 本文内容:
胶南市高级职业技术学校
国家中职示范校建设材料
胶南高职校校园网建设方案
一、总体方案描述
在本方案中采用了“自顶向下”的设计思想。自顶向下的设计方法适用于从OSI参考模型的高层开始再向较低的层次推进的网络设计,它着重于在选择运行于较低层次上的路由器、交换机和介质之前,将重点放在应用、会话、数据的传输上。
“好的网络设计必需清楚师生的需求,蕴涵着许多商业和技术的目标,包括可用性、可伸缩性、可购买性、安全性和可管理性等。”所以在设计网络系统的时候,站在师生的角度考虑问题,以满足学校的应用需求和技术需求为指南。
本网络系统是一个大端口密度网络系统,是一个要求带宽较高、要求很高的安全性、支持用户数和应用种类较多的网络。在网络设计中采用先进的万兆位以太网和模块化交换设备作为骨干网络,同时考虑网络核心设备支持IPv6,满足未来升级需求。其总体架构为10G以太网骨干,在网络的汇聚层节点核心节点,设计采用模块化结构万兆位以太网路由交换机,并使用千兆位以太网连接接入层交换机和应用服务器,网络用户使用10/100M交换到桌面的连接;在整个网络中可以根据实际需求划分VLAN,在网络中心的主干结点支持VLAN之间的线速路由。
(一)网络设计说明
根据学校网络状况,规划如下:
学校校园网网络如图所示。网络架构呈星型:网络出口区域放置一台高性能多核安全网关,替换原RG-NBR2500路由器,防火墙采用多核MIPS总线架构,不仅可提供整网NAT转换,而且还可支持AV、IPS、URL、APP特征库等功能,确保校园内部数据的安全,同时,经校区间互联专线实现校本部与西校区的互连。
数据核心区域,采用神州数码DCRS-6804E高性能核心交换机与原RG-7604交换机做双机热备,既保护了前期的投资,又提高了网络接入的安全性和稳定性,两台核心互为备份,有效保障内部数据业务7*24小时不间断工作,校区内各楼层接入交换机通过千兆多模光纤双线路上联至核心交换机,同样实现了链路的双规双活,使得内部网络架构更加健壮。接入交换机全部采用二层全千兆交换机,通过QOS、ACL等策略提升网络安全,千兆的用户接入速率,有效保障了数字化校园网业务的稳定运行。
考虑到数字化校园的特点,在教学楼和实训楼内部署无线AP设备,覆盖两座楼宇内的全部区域,方便教职工和校领导无线上网,使得网络接入方式更加灵活、方便。同时满足教职工移动办公的需求。
在数据中心机房内,同时配置一台无线控制器,对网内所有AP进行统一管理、统一策略下发,无线AC设备本身还具备对无线AP的自动调节功能,例如:AP信道自动调整、AP自身信号功率补偿等功能,在方便了管理人员对AP管理的同时,又充分提供了一个安全、稳定、便捷的无线办公环境。另外,考虑到对内部网络用户的上网行为管理的需求,配置一台上网行为管理系统,为网络管理人员提供网络纠察依据。
(二)网络数据交换区(核心层、接入层)说明
校园网中心新增一台性能稳定的4插槽万兆IPv6核心交换机DCRS-6804E,此设备可进行高性能数据交互作业,运行稳定,可达到电信级别的处理能力和运行能力,有效确保骨干系统的稳定可靠。
核心交换机DCRS-6804E配置双电源双引擎,保证网络主干的稳定和可靠性,并且配置千兆电口、光口实现接入交换机及其服务器等的互联。
DCRS-6804E系列路由交换机完善的IPv6特性、出色的安全体系设计、优良高效的网络管理、先进的万兆功能以及运营商级的可靠性,不仅保证了IPv6/v4复杂网络的安全和稳定,
接入交换机使用神州数码DCS-4500系列,实现用户计算机的接入,通过千兆多模光口模块与核心相连,该系列交换机集成堆叠模块,可方便扩展,满足未来网络需要。接入层交换机神州数码DCS-4500通过ACL、DHCP
Snooping功能,保证在入网出即可防范蠕虫病毒、ARP主机欺骗、网关欺骗、DHCP
Server攻击等病毒的发生。
(三)上网行为监控系统设计
随着信息技术和互联网的深入发展,互联网日益成为人们工作、学习和生活的一部分。在享受互联网带来的巨大便利的时候,由其带来的负面影响和安全威胁也日趋严重。工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等问题日益突出,并由此产生法律、名誉、经济等各方面问题。特别是《互联网安全保护技术措施规定》(公安部第82号令)明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。这对于互联网管理,上网行为规范,提高网络利用率等方面提出了迫切的需要。
学校采用神州数码网络依托多年的研发经验,推出的DCBI-NetLog上网行为管理系统。作为完全拥有自主知识产权的网络行为分析管理系统,集成先进的软硬件体系构架,配以先进的行为分析引擎、灵活多样的管理控制策略,实时分析网络活动,并生成丰富的统计报表。上网行为管理系统是一款专业的互联网出口管理设备,在上网行为监控及内容审计方面追求精细、准确;在管理方面追求精确、适度,为管理员提供了精细的、多维度、多角度的管理手段;在流量整形方面,产品追求高识别率、高准确度、高控制效果,为管理员提供灵活有效的流量管理手段;在操作管理方面,注重用户操作习惯以及管理易用性,并持续进行改进。
DCBI-Netlog部署可以通过接入管理或第三方联动实现身份识别,基于用户的策略控制实现应用管理和流量整形,最终实现用户网络审计和统计,展现网络应用分布、提供准确的审计和统计信息,为网络管理提供准确的参考依据。
(四)胶南高职校园网关键技术及其设备选择说明
由于以太网技术的普及和不断发展,不仅在桌面接入技术中独占鳌头,而且在城域网和园区网的建设中,也逐渐替代了ATM、FDDI等组网技术而成为骨干网首选技术。因此选择以太网技术作为组网技术,完全可以满足校园网的组网需要,也符合当前技术发展的趋势。
千兆以太网技术已经十分成熟,是网络界公认的最佳的园区网、城域网的骨干互联技术。它是对成功的10MBps和100MBps
IEEE802.3以太网标准的扩展,但仍然使用IEEE802.3帧格式,全双工操作和流控制方法。在半双工模式下,千兆以太网使用同样的CSMA/CD访问方法来解决媒体的通信竞争问题。千兆以太网的优点是:
千兆交换式以太网可以为每个端口提供1G的带宽,完全可以满足主干网的需要;经济使用,具有较高的性价比;千兆以太网已经获得广泛支持;从现有的传统以太网可以平滑地过渡到千兆以太网,不需要掌握新的配置、管理等技术;能够平滑地过渡到万兆以太网技术。
千兆以太网技术具有良好的互操作性,并具有向前向后兼容性。而且千兆以太网技术成熟可靠,易于管理,具有可伸缩性。
根据以上描述,建议选择千兆以太网连接核心设备与楼宇接入设备,实现另外对于各类应用服务器,也建议选择千兆以太网技术实现与骨干网络设备的连接。
随着配备了高性能64位PCI总线处理器的服务器的处理能力迅速增强,应用系统和应用程序功能的不断增强,网络用户日益增加,所产生的数据量也越来越大,原来的10Mbps网络在很多环境中已不能满足需求,网络带宽就成为一个瓶颈问题,快速以太网的出现给这一问题带来了一个较好的解答。快速以太网提供了100Mbps的带宽,给工作站和服务器带来的最大好处,就是增大了吞吐量,从而可以安全地增大网络上的负载,同时其结构简单、灵活、便于扩充,易于实现,工作可靠便于维护和故障恢复,并且能和以前的10Mbps以太网进行无缝连接,保护过去的投资。
交换式以太网和共享式以太网相比,具有比共享式以太网更高的使用带宽,更好的传输性能,共享式以太网是网络上所有的设备共享网络带宽,对网络带宽进行争用,这样,当网络上的多个设备同时传输数据时,网络的效率就会明显下降,网络的传输速度会受到明显的制约,据测试,共享式以太网的利用率大约只有36%左右,当网络的利用率达到50%的时候,网络就会出现拥塞,严重时会造成网络运行的停顿,影响数据在网络中的传输。虽然交换式以太网投入成本相对较高,但网络上的所有设备是独享网络带宽,那么一个100Mbps的交换式以太网就不会因为网络设备对资源的争用而影响整个网络的使用效率和传输速度,由于比共享式以太网增加了数倍的网络带宽,从而大大提高整个网络的性能,降低了网络拥塞的发生概率。
根据以上描述,建议选择快速以太网为到桌面,实现可扩展的“千兆到楼宇、千兆、百兆到桌面”的网络结构。
设备的选型是网络设计当中非常关键的部分,严格的选型可以达到最佳的效果,即系统相对独立,升级简便,组网方式灵活,以保护现有投资和未来的发展。所以为了满足贵校目前的需求,立足长远发展,网络设备的选型除了依据提出的需求外,还需遵循上面的设计原则。
建议网络设备选用网络产品系列,作为国内领先的网络设备供应商,其产品具有良好的可靠性和稳定性,可提供高性能、全方位的万兆、千兆网络产品解决方案。其专门为教育行业用户定制和推出的解决方案,胶南高职网络有两个层次节点:1)骨干层设备;
2)接入层设备。这两类设备,对设备的选择有不同的考虑。
网络中心节点及其它核心节点作为校园网络系统的心脏,必须提供全线速的数据交换,当网络流量较大时,对关键业务的服务质量提供保障。另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
骨干交换机的功能应具有较强的扩展性,目前网络正处在IPv4->IPv6过渡期,核心设备必须在一定程度上支持IPv6。同时满足其它功能的扩展。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求:1)高密度端口情况下,还能保持各端口的线速转发;2)关键模块必须冗余,如管理引擎、电源、风扇。考虑到后期校园网建设最终必将采用万兆技术,因此需要考虑到核心设备对万兆的支持能力。
综上所述,骨干核心交换机属于高端系列的产品,所以在本方案中,骨干交换机采用万兆IPv6路由交换机DCRS-6804E。要求路由交换机率先通过最为苛刻的国际IPv6
Ready第二阶段认证。借助芯片级的转发能力和多样化的业务支持,以及较高的性价比,成为企业级网络和电信城域汇聚层部署IPv6的最佳解决方案的一部分。
接入交换机使用神州数码DCS-4500系列,实现用户计算机的接入,通过千兆多模光口模块与核心相连,该系列交换机集成堆叠模块,可方便扩展,满足未来网络需要。接入层交换机神州数码DCS-4500系列交换机通过ACL、DHCP
Snooping功能,保证在入网出即可防范蠕虫病毒、ARP主机欺骗、网关欺骗、DHCP
Server攻击等病毒的发生。技术方案详细设计
(五)校园网出口设计
安全防护和策略路由:
在网络边界部署一台高性能防火,负责网络的安全防御。并且负责内网的NAT转换和策略的转发处理,并且在安全防火墙上启用DMZ区,保证对外服务器的安全。
在边界防火墙启用深度检测功能,高性能防火墙进行路由的设置根据目的地进行出口的走向分配,达到内网访问教育网的地址走中国教育科研网,其余的访问通过运营商出口访问。
为了保证校外带宽的滥用和非法使用,特别是BT等P2P应用,在防火墙上启用流量控制协议,保证校内非法资源的使用。
上网行为审计系统
据国家公安部的规定,网络管理者或者运营者必须保留60天的上网日志备查。都需要对上网者的行为进行监控、管理。校园网需要做到可信、可管理、可查询,做到有突发事件时有据可查,此次建议推荐在方案中部署上网日志管理系统。部署一台上网行为日志系统DCBI-NetLog-High,功能特性:上网行为记录功能,可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了上网行为的安全审记数据源,并实现各种统计功能。缺省启动数据收敛功能。
本次选配的网络日志系统具有以下主要功能:
1)上网行为记录功能,可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了上网行为的安全审记数据源,满足公安部对上网行为进行记录的要求。很容易查询哪些用户是否访问过黄色、法轮功等非法网站。
2)具有各种上网行为的统计功能,以图例的方式显示哪些网站是最近访问次数的Top-10、哪些用户最近发包次数的Top-10等。
要求即使用户通过代理上网(即:用户访问的目的IP是代理的IP),也能解析出用户访问的最终网站的URL。
(六)校园网VLAN设计
VLAN在逻辑上等价于广播域。更具体的说,我们可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理LAN上,但他们之间可以象在同一个LAN上那样自由通信而不受物理位置的限制。在这里,网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要,通过相应的网络软件灵活的建立和配置虚拟网,并为每个虚拟网分配它所需要的带宽。
在胶南高职网络设计中,作为教学和办公的核心网络设备,根据具体需要划分多个VLAN,其中ADMIN作为设备管理用VLAN.这样可以对这些不同VLAN之间的通讯进行控制,这样既可以节约成本,又可以保障重要网段的安全,同时减少广播和冲突,提高系统的可用性。
在接入层交换机与分布层交换机之间采用802.1Q作为VLAN的传输协议。
根据胶南高职目前的应用需求,在网络实施前期按照需求,配置网络的VLAN。将网络划分成办公、多媒体教室、服务区、网管区、教学区等几个相对独立的逻辑区域以方便用户对各个区域实施不同的访问策略。
二、地址规划设计
(一)地址规划的原则
IP地址规划应依据科学性、系统性、完整性及可扩展性原则,采用先进的网络编码技术,保证信息交换的效率和质量,既要在相当时期内保持技术的先进性,同时也充分考虑现期工程的可实施性,为了更加便于记忆和管理,在校园网网络建设中,网络IP地址规划采用统一的IP地址分配方式,保证IP地址的唯一性。具体来说,IP地址规划应该遵循以下原则:
可扩展性:IP地址的规划与划分应该考虑到城域网的业务飞速发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
简单性:地址分配应简单、易于管理,降低网络扩展的复杂性,简化路由表的款项;
灵活性:IP地址的分配需要有足够的灵活性,能够满足用户不同的联网需要;
连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。
高效性:IP地址的分配必须采用VLSM技术,充分合理利用已申请的地址空间,保证IP地址的利用效率,采用CIDR技术,减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
(二)
校园网内部IP地址具体规划
对于校园网来说需要全局IP地址的情况有以下:1)对互联网提供信息服务的服务器,这些服务器一般放置在防火墙的DMZ区;2)内部分配私有IP地址的网络访问互联网时,需要全局IP地址做NAT;3)内部网络中对全局IP
地址有特定需求的网段,比如学生经常会玩一些网络游戏,一些特定的网络游戏一定要求全局的IP
地址,NAT能够兼容常见的应用,但对许多特殊的应用是不兼容。跟CERNET和ChinaNet的互联地址有ISP另外分配。
对于校园网的网络设备互联IP地址,以及没有对全局IP地址有特定需求的网段,采用内部网络私有IP地址空间或者申请教育网地址块。
(三)NAT的全局地址
在互联网出口,都需要分配NAT的全局IP地址。
从ISP分配的全局IP地址中分配一段全局IP地址,作为校园网内部访问互联网的转换地址。基于端口的NAT转换,一个IP地址可以提供6万余个
NAT会话。
(四)IP地址的分配管理
校园网的信息点多,如何对IP地址的分配进行有效的管理,是十分重要的。针对不同的情况,可以对IP地址进行静态或动态的分配方式。
静态分配的情况:
对外提供信息服务的服务器;
校园网内提供信息及管理服务的服务器;
对于一些老师或学生用户,需要对校园网内部或外部提供信息服务的信息点。路由器、交换机等网络设备的IP
地址分配。
动态分配的情况:
不提供信息服务的计算机,只访问校园网内部或互联网的资源。
本方案的接入交换机可以做到以下地址管理:
对于静态分配地址的用户,只有用预先分配的IP地址才可以上网;对于动态分配地址的用户,只有通过DHCP方式获得IP地址才可以上网;
获得有效IP地址上网后,试图修改IP地址,均会自动与网络断线;
以上手段,保证了IP地址不会冲突,因而可以对IP地址资源的使用进行有效的管理和控制。
合理的划分IP地址、尽量使用总结路由、可以有效地减少核心设备的负担,提高核心交换机的效率,减少网络上的路由震荡,同时与交换机专家级ACL功能相结合可以对关键的、敏感的区域实现多重的防护。
三、校园网安全规划设计
网络高速畅通也给黑客们带来更多的便利,端口扫描、非法入侵、拒绝服务、网络嗅探等攻击在高速的网络上如鱼得水。如何有效地阻止网络的攻击行为,保证网络的高安全?
(一)设备访问控制安全
本方案中的所有交换机支持ACL访问控制,可以限制哪些源地址可以访问该设备。
交换机支持的ACLs类型:
IP
ACLs:用于过滤IP报文,包括TCP和UDP。
1.
Standard
IP
access
lists
(标准IP接入控制列表)使用源IP地址作为匹配的条件
2.
Extended
IP
access
lists(扩展IP接入控制列表)使用源IP地址、目的IP地址及可选的协议类型信息作为匹配的条件
Ethernet
ACLs用于过滤二层数据流:
1.
MAC
Extended
access
lists(MAC扩展控制列表)使用源MAC地址、目的MAC地址及可选的以太网类型作为匹配的条件
Expert
ACLS用于过滤二层和三层、二层和四层、二层和三层、四层数据流:
1.
Expert
Extended
access
lists(专家扩展控制列表)使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。
通过设置ACL允许指定网段IP地址访问网络设备,拒绝其它网段IP地址对网络设备的访问,这样即使出现了网络设备登录密码泄露,非管理人员也无法登陆网络设备进行管理。
在登录网络设备过程中,使用安全外壳SSH,密码在传输过程中不会被窃听到。
(二)病毒防御
网络设备,能够提供病毒防御功能,使得某些特定病毒不能任意传播。主要提供以下几个功能:1)预防PC感染类似“冲击波”的病毒;2)如果某台机器感染病毒,能够实现中毒机器隔离,限制同一网段中病毒的传播。
实
例:
比如通过设置ACL防范Blaster(冲击波)病毒的传播和危害
access-list
101
deny
tcp
any
any
eq
135
阻止感染病毒的PC向其它正常PC的135端口发布攻击代码
access-list
101
deny
udp
any
any
eq
tftp
限制目标主机通过tftp下载病毒。
access-list
101
deny
icmp
any
any
阻断感染病毒的PC向外发送大量的ICMP报文,防止其堵塞网络。
然后将其应用在相应网口,例如fa0/1
int
fa0/1
ip
access-group
101
in
这样即可阻断Blaster蠕虫病毒的传播。
(三)地址转换(NAT)
在互联网出实现NAT,NAT除了可以解决全局IP地址不足之外,还对网络的安全起一定的作用,NAT的安全性主要体现在以下两点:1)以统一的IP地址访问互联网,屏蔽内部网络拓扑结构;2)外部网络不可以访问内部网络的资源,除非有策略允许。
(四)ARP病毒攻击防范
ARP
欺骗首先是通过伪造合法IP
进入正常的网络环境,向交换机发送大量的伪造的ARP
申请报文,交换机在学习到这些报文后,可能会覆盖原来学习到的正确的IP、MAC
地址的映射关系,将一些正确的IP、MAC
地址映射关系修改成攻击报文设置的对应关系,导致交换机在转发报文时出错,从而影响整个网络的运行。或者交换机被恶意攻击者利用,利用错误的ARP
表,截获交换机转发的报文或者对其它服务器、主机或者网络设备进行攻击。
1、接入交换机ACL
防止ARP
仿冒网关
假定交换机0/1/1
口用于上联,
0/0/1-24
直接连接计算机终端,
网关地址为192.168.0.1,我们需要在下行口上增加ACL阻止所有仿冒192.168.0.1的ARP通告。
配置命令:
STEP1:编写ACL
(Config)#
access-list
1101
deny
an
an
untagged-eth2
12
2
0806
20
2
0002
28
4
C0A80001
该ACL说明如下:
STEP2:应用ACL
(Config)#
Firewall
enable
(Config)#
int
e
0/0/1-24
(int)#
mac
access-group
1101
in
traffic-statistic
网关不同则相应得16进制数不同,配置的时候需要计算转换。该配置完成后,终端发出的仿冒网关的ARP通告将被deny。
2
ARP
Guard
防止ARP
仿冒网关
我们利用交换机的过滤表项保护重要网络设备的ARP
表项不能被其它设备假冒。基本原理就是利用交换机的过滤表项,检测从端口输入的所有ARP
报文,如果ARP
报文的源IP地址是受到保护的IP
地址,就直接丢弃报文,不再转发。
ARP
GUARD
功能常用于保护网关不被攻击,如果要保护网络内的所有接入PC
不受ARP
欺骗攻击,需要在端口配置大量受保护的ARP
GUARD
地址,这将占用大量芯片FFP表项资源,可能会因此影响到其它应用功能,并不适合。此时推荐采用FREE
RESOURCE相关接入方案,详细请参考相关文档。
举例:在端口Ethernet0/0/1
启动配置ARP
GUARD
地址100.1.1.1
Switch(Config)#interface
Ethernet0/0/1
Switch(Config-
Ethernet
0/0/1)#
arp-guard
ip
100.1.1.1
3接入交换机启用DHCP
Snooping
功能
我们对终端获取IP
地址两种不同的方式:动态获取IP
地址和静态配置IP
地址,分别进行描述:
终端动态获取地址
在全局模式下,启动DHCP
Snooping:
Switch(Config)#ip
dhcp
snooping
enable
全局使能DHCP
SNOOPING
绑定功能,在此基础上配置DHCP
SNOOPING
其它绑定功能参数:
Switch(Config)#ip
dhcp
snooping
binding
enable
在端口上启动DHCP
SNOOPING
绑定USER
功能(这样在这个端口接入的用户获取动态IP地址之后无需认证就可以访问所有资源):
switch(Config)#interface
ethernet
1/1
switch(Config-
Ethernet1/1)#
ip
dhcp
snooping
binding
user-control
在获取合法动态IP
地址之前,用户不能访问任何资源,用户采用私自配置的IP
地址发送的ARP
报文和IP
报文均被接入交换机丢弃;PC
启动DHCP
功能,可以从DHCP
SERVER获取合法IP
地址,这时用户可以所有资源;
这种解决方案支持防ARP
欺骗,可以防止接入主机假冒网关,可以防止接入主机假冒其它用户;管理复杂度低,交换机配置简单并且基本不需要变更;支持用户移动接入,交换机可以自动检测到用户接入位置并正确转发用户数据。
终端静态配置IP
地址
在全局模式下,启动DHCP
Snooping:
Switch(Config)#ip
dhcp
snooping
enable
全局使能DHCP
SNOOPING
绑定功能,在此基础上配置DHCP
SNOOPING
其它绑定功能参数:
Switch(Config)#ip
dhcp
snooping
binding
enable
然后我们需要手动在每个端口添加DHCP
Snooping
静态绑定信息,举例如下:
在交换机端口Ethernet0/0/16
配置静态绑定用户
Switch(Config)#ip
dhcp
snooping
binding
user
00-03-0f-12-34-56
address
192.168.1.16
255.255.255.0
vlan
1
interface
Ethernet0/0/16
这种解决方案支持防ARP
欺骗,可以防止接入主机假冒网关,可以防止接入主机假冒
其它用户;但是管理复杂度高,不支持用户移动接入,当配置静态IP
地址的主机移动,需
要在新的端口下重新配置DHCP
Snooping
绑定信息,所以只适合静态IP
地址使用不多的场
合,如果较多,建议采用认证服务器接入交换机的解决方案。
4汇聚交换机
在我司交换机做汇聚,而接入层是其它品牌的组网环境下,防范ARP
欺骗的方法为在汇聚层交换机上启用DHCP
Snooping,同时在三层交换机上关闭ARP
自动更新功能或学习功能,转换ARP
表为静态,配合认证服务器客户端适用,防范能力更强。
为了保护三层交换机的ARP
表项,我们可以在三层交换机上启动DHCP
SNOOPING
绑定ARP
功能,交换机自动监控接入用户分配的IP
地址和接入端口并配置绑定ARP
表项;用户再次接入获取不同IP
地址或者从不同端口接入时,交换机自动更新绑定ARP
表项。
在全局模式下,启动DHCP
Snooping:
Switch(Config)#ip
dhcp
snooping
enable
全局使能DHCP
SNOOPING
绑定ARP
功能:
Switch(Config)#ip
dhcp
snooping
binding
enable
Switch(Config)#ip
dhcp
snooping
binding
arp
开启后将根据DHCP
SNOOPING
捕获的绑定信息添加静态ARP
表项,这些静态ARP表项直接添加到neighbour
表中,不需要配置保留。
同时还我们配置相关命令,让交换机丢弃带有欺骗性质的ARP
报文。方法有两种,如下:
方法一,通过命令行阻止ARP
的自动更新,然后再根据投诉手动调整ARP
表接近整网。
关闭ARP
自动更新(指定VLAN
或者全局)
Switch(Config-if-Vlan1)#ip
arp-security
updateprotect
Switch(Config)#ip
arp-security
updateprotect
此时网管员可进行监控,若有个别用户投诉(在关闭更新前交换机接收到了非法ARP
信息并把它放进了ARP
表中,导致正确用户无法上网),则根据该用户IP
信息将非法ARP
表项删除。
稳定运行一段时间后,将ARP
表项转为静态(指定VLAN
或者全局)
Switch(Config-if-Vlan1)#
ip
arp
-security
convert
/*指定Vlan*/
Switch(Config)#
ip
arp-security
convert
/*指定全局*/
此时ARP
表项是所有当前在线终端的,而且基本完全正确。新开机的终端ARP
会被继续学习,反复几次,可使静态ARP
表接近整网。
方法二,关闭ARP
自动学习,并进行ARP
动态转换。
找寻一个所有人都在线的时间、且网络运行正常。
关闭ARP
自动学习(指定VLAN
或者全局)
Switch(Config-if-Vlan1)#ip
arp-security
learning
Switch(Config)#
ip
arp-security
learning
将ARP
表项转为静态(指定VLAN
或者全局)
Switch(Config-if-Vlan1)#
ip
arp
-security
convert
Switch(Config)#
ip
arp-security
convert
关闭交换机的自动学习功能以后,交换机不再接收ARP
报文,适合静态配置ARP
表项的场合。
此时ARP
表项是所有终端的,而且完全正确的。
(三)IPv6网络设计
CNGI(中国下一代互联网示范工程)是在2003年由包括信息产业部、国家科技部、国家发改委、教育部、中国工程院、中国科学院、国家自然基金会、国务院信息化办公室在内的8个部委联合发起并经国务院批准启动的。
计划2005年底建成一个覆盖全国的IPv6网。
而CERNET2(下一代中国教育科研网)是CNGI中最大的一个骨干网,也是唯一的学术性主干网。
按照CNGI项目规划,CERNET2将接入各大著名高校,开展科研应用和大规模IPv6网络建设和部署实施的探索。
本次网络建设选用的三层交换机均为双协议栈交换机以及模块化核心路由交换机以及统一威胁系统。
虽然我们校园网络建设所采购的汇聚和核心交换机都是支持IPv6的双协议栈交换机,但是Pv4与IPv6在一定时期之内是同时并存的,所以IPv4向IPv6需要平滑的过渡,IPv4向IPv6的过渡方案有三种方式:1)双协议栈;2)隧道;3)转换。根据本次项目以及原有网络的实际情况,我们建议采用双协议栈UTM直接连接到Cernet2的方式实现校区安全支持IPv6。
在IPv6网络具体部署方式说明:
由于IPv6网络建设,业界现在也接处于试验阶段,所以为了保证胶南高职IPv6网络的顺利实施,我们将IPv6网络的部署分为三个阶段:
第一阶段:IPv6网络试验阶段,在网络中心建立IPv6试验网,在服务器区域建立IPv6服务器,提供DNS/WEB/FTP等服务,在网络中心的模拟每个区域的试验PC客户端,在试验网络模拟,主要是为了保证在大规模实施时出现情况,减少实施的复杂度。
第二阶段:通过出口设备的接口连接到Cernet2,分别通过设置IPv6静态路由进行路径选择,在汇聚交换机上通过双协议栈连接IPv4主机和IPv6主机,校园网内部IPv4主机和IPv6主机都可以访问IPv4服务器和IPv6服务器,保证网络用户的随意访问;
对于只有IPv4网络的区域,可以通过ISATAP
隧道协议保证IPv6/IPv4主机的随意访问。
第三阶段:就是全网实现IPv6,全网运行OSPFv3路由协议。
篇3:销售团队建设方案
销售团队建设方案 本文关键词:团队建设,方案,销售
销售团队建设方案 本文简介:销售队伍的建设和管理一、销售队伍的核心作用把东西卖出去、把钱收回来、确保客户满意、客户维护。二、销售队伍现状及其分析现状:无专业销售队伍发展:半年内--生存期半年到一年半--成长期一年半以后--成熟期三、销售岗位设立销售员―――销售主管―――销售经理―――销售总监四、销售团队建立方案1、销售员来源渠
销售团队建设方案 本文内容:
销售队伍的建设和管理
一、销售队伍的核心作用
把东西卖出去、把钱收回来、确保客户满意、客户维护。
二、销售队伍现状及其分析
现状:无专业销售队伍
发展:半年内--生存期
半年到一年半--成长期
一年半以后--成熟期
三、销售岗位设立
销售员―――销售主管―――销售经理―――销售总监
四、销售团队建立方案
1、
销售员
来源渠道:招聘-通过面试筛选
薪酬体系:1000-2000元补助+40%提成奖励,试训期三个月,
任务:
第1-2个月销售50盒/月,如完成任务,每月可拿到补助1000元+1160元=2160元,多销多得。
第3个月销售80盒/月,如完成任务,每月可拿到补助2000元+1856元=3856元,多销多得。
提成完成任务量,可提前享受对应补助。连续三个月未完成任务的80%,淘汰!
销售分析:
销售满80盒/月,成为正式销售员。正式销售员以80盒/月为任务量,按基本保级计算,每位销售员销售任务约2.6盒/天,18盒/周。按每个客户每次至少购买4盒计算,每个月发展20个客户,每星期发展4.5个客户,就可完成任务。销售员每月保级销售额:80盒*58元/盒=4640元,划分40%的提成,公司剩余2784元,再减去2000元低薪,公司收入784元/人/月。
末达到销售量按1000元补助发放,按季度考核,如季度内有某个月达到销售量,公司补上其它二个月补助。季度内未达到销售量的80%,淘汰!
2、销售主管
来源渠道:销售员晋升
薪酬体系:
个人主管:3500元补助+50%提成奖励
团队主管:3500元补助+50%团队提成奖励-40%销售员提成
任务:个人主管任务200盒/月,团队任务520盒。未达到任务量,公司按销售员薪酬体系发放。按季度考核,如季度内有某个月达到销售量,公司补上其它二个月补助。季度内未达到销售量的80%,降为销售员!可自行发展或公司分配4个销售员,组成一个销售小团队,主管直接管理,公司按团队销售总量给予50%提成奖励,再由销售主管按40%分配给销售员。如完成任务,个人主管每月可拿到补助3500元+奖励5800元=9300元。团队主管每月可拿到补助3500元+奖励7656元=11156元。计算方法:底薪3500元+520盒*58元/盒*50%-320盒*58元/盒*40%
销售员补助由公司直接发放,每发展一位销售员,销售主管的任务量相应增加。
销售分析:
个人销售主管以200盒/月为任务量,按基本保级计算,每位销售主管销售任务约7盒/天,46盒/周。按每个客户每次至少购买4盒计算,每月维护或发展50个客户,每星期维护或发展12个客户,就可完成任务。销售主管每月保级销售额为200盒*58元/盒=11600元,划分50%的提成,公司剩余5800元,再减去3500元低薪,公司收入2300元/主管/月。
团队销售主管以520盒/月为任务量,按基本保级计算,每个小团队销售任务约18盒/天,121盒/周。按每个客户每次至少购买4盒计算,每月维护或发展维护130个客户,每星期维护或发展32个客户,就可完成任务。团队销售每月保级销售额为520盒*58元/盒=30160元,划分50%的提成,公司剩余15080元,再减去11500元低薪,公司收入3580元/团队/月。
公司支持
连续三个月完成销售量,公司给予区域分配(按区或二级市分配),提供活动策划、户外广告、奖品、讲师、市场人员。
3、销售经理
来源渠道:销售主管晋升、直销商申请。
薪酬体系:
个人经理:5000元补助+55%提成奖励+(5-10%)的公司额外团队奖励
团队经理:5000元补助+55%团队提成奖励-50%销售团队提成+(5-10%)的公司额外团队奖励
任务:个人经理任务1000盒/月,市级团队任务3080盒/月。未达到任务量,公司按销售主管薪酬体系发放。按季度考核,如季度内有某个月达到销售量,公司补上其它二个月补助。季度内未达到销售量的80%,降为销售主管!可自行发展或公司分配4个销售主管团队,组成一个市级销售团队,经理直接管理,公司按团队销售总量给予55%提成奖励,再由销售经理按50%分配给销售主管,主管按40%分配给销售员。如完成任务,个人经理每月可拿到补助5000元+奖励31900元+额外奖励2900元=39800元。团队主管每月可拿到补助5000元+奖励37932元+额外奖励8932元=51864元。计算方法:底薪5000元+3080盒*58元/盒*55%-2080盒*58元/盒*50%+3080盒*58元/盒*5%
销售员、销售主管补助由公司直接发放,每发展一个销售员和销售主管,销售经理的任务量相应增加。
销售分析:
个人销售经理以1000盒/月为任务量,销售经理每月保级销售额为1000盒*58元/盒=58000元,划分55%的提成,公司剩余26100元,减去5000元低薪,再减去5%的额外奖励2900元。公司收入18200元/经理/月。
团队销售经理以3080盒/月为任务量,按基本保级计算,团队每月销售额为3080盒*58元/盒=178640元,划分55%的提成,公司剩余80388元,减去51000元低薪,再减去5%的额外奖励8932元。公司收入20456元/市级团队/月。
公司支持
连续三个月完成销售量,公司给予区域分配(按省或一级市分配),提供分公司办公地点及装修等投入、活动策划、户外广告、奖品、讲师、市场人员、宣传资料。
直销商要求:(具体参考直销商合作协议)
公司盈利情况:
跟据上海直销部团队建立方式,一个市级区域需建立6个主管团队,共计30人。跟据保级计算,每个主管团队销售520盒/月,每个团队销售额为30160元/月,6个团队销售额为2171520元/年。每个主管团队营利额为3580元/月,6个主管团队营利额为21480元/月,减去产品成本20280元(520盒/团队*6个团队*6.5元/盒),公司盈利1200元/月,用于宣传资料等补助,公司盈利约为0或略有亏损。超过保级销售任务的为公司的盈利。
直销部分公司建立投入成本:
预计前期投入合计:48万-55万元
五:团队管理
新入职销售员必须在公司接受至少三天的公司、产品、销售技巧的培训。经过公司考核合理后,再开始外出洽谈业务。
每星期需到公司汇报销售情况和工作计划。
正式销售主管和直属销售员每星期需到公司汇报销售情况和工作计划。
销售经理需每月提交销售报告。
六、公司支持
1、
培训
2、
活动策划
3、
户外、网络广告支持
4、
试用品支持
5、
销售激励支持
6、
区域客户分配支持
7、
区域直销部或分公司建设支持
8、
市场人员支持
9、
讲师支持
10、
奖品支持