基于IIN的大中型网络架构设计探索

摘要：融合网络强调利用一个网络传输多种不同类型的数据流。从IIN设计理念入手，将智能构建于现有网络基础设施之中，保证各种数据流更好地传输，让网络变得更加智能化。在网络规划设计时，利用面向服务的网络架构框架SONA，将网络按照不同的功能需求划分成不同的模块，构建可扩展的三层模型，实现智能信息网络。

关键词：融合网络；IIN；SONA

中图分类号：TP393.01文献标识码：A文章编号：16727800（2011）012012203

作者简介：何天兰（1985- ），女，福建龙岩人，泉州信息职业技术学院助教，研究方向为计算机网络技术。1融合网络

随着IP电话、视频会议、网上业务、客户关系管理、电子办公系统等新应用的逐步开展，网络需要承载各种类型的信息流，融合网络指在同一个网络中同时传输数据、语音和视频数据流。具体主要包括以下几种数据流：①语音和视频数据流：如IP电话，视频广播，视频会议等等；②关键任务数据流：比如金融公司的证券程序生成的信息，网络银行的数据流等；③交易数据流：电子商务应用程序生成的信息；④路由选择协议数据流：路由器路由过程信息；⑤网络管理数据流：网络和设备的状态信息。

利用统一的计算机网络同时开展多种增值业务，网络中各种数据流能够并行、高效、高质的传输，是企业网络架构设计中的发展趋势。将传统业务从专有系统环境移植到计算机网络上来，不仅可通过网络带来更佳的灵活性、兼容性，而且还可扩展服务范围，提高服务质量，降低运营成本。同时网络资源的集中也带来了一系列新的问题，如不同业务系统在同一个网络平台上承载，如何有效地实现逻辑上的安全隔离、实现不同类别业务的区别服务等等都是需要仔细设计的环节。

2IIN设计理念

2.1IIN智能信息网络的功能

IIN智能信息网络是一种基于解决网络业务和业务优先级的策略。它的功能有：

2.1.1集成大量网络资源和信息资产

融合通信是VoIP进化的主要方向，它能够实现各类通信的统一和简化，将常用的多种个人通信设备，以及多个网络（电话网、互联网）结合在一起，用户可以不受时空或设备的影响进行通信，将视频、语音和数据集成到IP网络基础设施中。

2.1.2跨越多项产品和基础设施的智能

根据应用的需要，运用系统集成方法，将各种硬件及软件，网络基础设施及设备等组织成为一体，使之成为能组建一个完整、可靠、经济、安全、高效的计算机网络系统。

2.1.3提供网络管理智能

智能化的网管软件应能自动获得网络中各种设备的技术参数，进而智能分析、诊断，以至预警。传统的网管软件的处理方式是在网络故障或事故发生后，才能被网管人员发现，然后去寻找解决方案。它不具备智能地提前报警的能力，对网络故障或事故的控制也难以达到及时和准确。目前对网管系统的需求最为强烈的用户一般都是网络规模比较大或者核心业务建立在网络上的企业，一旦网络出现了故障，对他们的影响和损失是非常大的。所以，网管系统仅仅达到了“出现问题后及时发现并通知网管员”的程度是远远不够的，智能化的网络管理系统具有强大的预故障处理功能，并且能够自动进行故障恢复，尽一切的可能把故障发生的可能性降至了最低。

2.2iin智能信息网络的发展阶段

2.2.1集成传输阶段

目前三网融合的通信网络将是一个覆盖全球、功能强大、业务齐全的信息服务网络，即以IP协议为基础为全球一体化的综合宽带多媒体通信网。而这一网络结构应是一个统一完整的结合体系，为全球任一地点，采用任何终端的用户提供综合的语音、数字、图像等多种服务。三网融合逐渐形成一个统一的网络系统，由一个全数字化的网络设施来支持包括数据、话音和视像在内的所有业务的通信。构成高速数据传输链路IP主干网，已成为当今信息传输领域的焦点。

2.2.2集成服务阶段

在现行的网络架构殊路由器（也称智能终端）不仅转发路由条目，而且拥有丰富的语音安全特性，可为部署IP通信解决方案的企业提供高水平的安全保护。例如部分路由器支持安全实时传输协议(SRTP)实施的媒体加密技术可加密语音对话，使获得语音域接入权的内部或外部窃听者无法了解其含义，从而提供了保护功能。SRTP可用于端到端地加密网络的语音。

2.2.3集成应用阶段

利用UC统一通信，把安全、语音、数据等统一到IP。在统一的IP通信平台上实现语言、消息、数据及视频的通信。集成各种通信应用和企业IT应用服务系统，实现资源整合，实现业务流程改进，提升企业工作效率。

2.3网络SONA架构

根据IIN设计理念，网络SONA架构根据以下三层组建集成系统：①网络基础设施层：主要是网络的基本设施，物理和链路的链接；②交互式服务层：通过网络基础设施，展开数据流的传输；③应用层：业务应用和协同应用，通过数据流交互传输，来满足业务需求并提高效率。

IIN促进软硬件集成方面的发展，这将使机构能够更好地根据业务优先级来调整 IT 资源。通过将智能构建于现有网络基础设施之中，IIN 将帮助机构实现降低基础设施复杂性和成本等优势。

3网络模块架构

3.1企业复合网络模型

3.1.1企业园区

该功能区域包含组建层次园区网络所需的模块。在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络能够阻止任何非法操作。在园区网络设备上可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上，划分虚拟子网，一方面隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。

3.1.2企业边缘

该功能聚合了企业网络边缘上各种网络元件。①IPSec VPN技术实现站点到站点或企业分支架构到总部的VPN；②PPTP/L2TP技术实现个人远程访问；③GRE+IPSEC实现私有网的同时兼顾网络的高安全性；④SSL VPN技术在不改变防火墙及防病毒策略的前提下解决远程用户安全访问公司敏感数据。

3.1.3服务提供商边缘

用于提供到ISP的连接。该部分关注重点是企业内网到外网数据传送安全，涉及的网络协议层次主要是IP层以下。

3.2企业复合网络模型模块设计

网络按照不同的功能需求划分成以下的5个模块：①大楼集散模块：包含多层交换机，把工作组连接到核心模块；②核心模块：也被称为主干，提供高速连接；③边缘集散模块：企业园区和企业边缘的分界点。该模块通过ISP给分支结构和远程工作人员提供连接性；④服务器模块：园区的数据中心；⑤管理模块：提供网络管理。

3.3可扩展的网络三层模型设计

在网络规划设计中采用分层设计的思想，其目的是将一个复杂的网络设计问题分解为多个层次上更小、更容易管理的问题。使用分层的概念，可以简化设计，每一个层次的任务都集中在一些特定的功能上，如图1所示。

图1三层模型设计

①接入层=访问层：直接控制到桌面的网络连接，大多使用低端交换机；②汇聚层=分布层：连接访问层设备，提供访问列表、数据包过滤及排序、安全和网络策略、路由等功能，大多使用路由器和三层交换机；③核心层：作为主干的高带宽、高速度、高可用性、低延迟以及使用收敛时间较短的路由协议，大多使用高端的路由器交换机。核心层可以采用全网状的方式互连，汇集层到核心层采用冗余链路互连，这样可在采用扩大带宽的同时实现线路上的备份，当其中一条线路出现故障，可通过冗余线路实现线路的接替。这样大大提高了网络组网乃至全网的可靠性。

4关键技术实现

4.1高速交换平台构建

高速交换平台提供专用的频带（即带宽独享），增大了网络的传输吞吐量，提高了传输速率，其主干网上无碰撞问题。虚拟网技术与交换技术相结合，有效解决广播问题，使网络设计更加灵活，网络的管理和维护更加方便。交换式以太网克服了共享式以太网的缺点，并借助于IP技术的新发展，如IP Multicast、IP QoS等技术的推出使得交换以太网可支持多媒体技术等多种业务服务。目前千兆以太网技术应用较多，使用千兆以太网，主干和各网段及桌面已实现了无缝结合，网络管理变得容易。从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网，并不需要掌握新的配置、管理与排除故障技术；千兆以太网有良好的互操作性，并具有向后兼容性;端口价格相对较低；可提供10倍于快速以太网的传输速度。

4.2网络的高安全技术

目前常见的网络安全隐患来自于网络级攻击如窃听报文、IP地址欺骗、源路由攻击、端口扫描、DOS攻击和应用层攻击如漏洞、特洛依木马等以及系统级攻击如操作系统的安全漏洞。解决这些问题的安全部署如下：

4.2.1局域网安全

①用户严格隔离：可以根据业务需求或部门基于端口划分不同的VLAN，并使其与IP子网相符合，对于与中心多层交换机相连接的端口，我们将其设为VLAN的Trunk， VLAN的Trunking技术可以选择802.1Q；②用户的接入控制：严格控制用户的接入，确保交换机的所有用户端口处于关闭状态，只有用户申请通过批准之后网络管理员才能将端口激活；固定端口用户使用VLAN ID+IP+MAC绑定，流动用户采用用户认证的方式，如Web认证、802.1x；③服务器群安全：该安全军事区，用户对该区域的访问严格受控，可在服务器换机和核心交换机之间放置防火墙设备。并且部署基于主机和基于网络的入侵检测系统，及时处理入侵检测系统的报警，已发现攻击、蠕虫等异常情况。

4.2.2系统安全技术部署

可采取下述措施来保证系统中网络设备本身的安全：①关闭路由器上的不必要的服务，如Finger、BOOTP、DHCP；②远程登录采用SSH加密方式而不用telnet明文方式；③部署日志服务器记录网络设备上LOG；④网络管理协议采用SNMPv3保护MIB数据在网络设备和管理工作站之间的安全传送；⑤配置OSPF路由协议的MD5认证，防止恶意的假路由更新；⑥配置远程登录或Console超时选项，增加访问的安全性；⑦通过Access List来控制访问的来源；⑧通过部署RADIUS认证服务器，统一管理用户信息；⑨因特网的接入安全控制，需要布置防火墙等安全设备，制定严格的安全策略。

4.3QoS与MPLS技术

在网络设计中，在IP网上提供QoS，应针对对不同业务实施不同的QoS策略。对于关键的核心业务的部分，需要优先保证这些业务的时延和带宽；而对于其它业务来说，也应当有相应的QOS策略来提供不同的服务质量保证。边缘设备可以采用IP QoS复杂流分类技术对不同业务数据报文设置不同的DSCP/TOS标记，并根据需要采用流量监管技术（CAR）对带宽进行限制；携带DSCP/TOS标记的业务报文在核心层网络的路由器上，根据DSCP/TOS标识进行简单流分类，并根据不同业务设置的DSCP/TOS标记，配置相应的队列以及队列带宽保证，由广域网路由器根据数据流情况采用高效的队列管理技术（WRED/SARED）以及队列调度技术（PQ/LLQ）对用户的需求做保证。MPLS（多协议标签交换）技术, 引入了标签（Label ）交换概念，介于二层和三层之间，实现一次交换多次路由，MPLS相比ATM增加了IP路由控制功能，具有以下优势：①整合了IP与ATM的优势，快速交换，传输可靠；②解决了Internet骨干网的路由瓶颈；③特有的IP CoS增值服务、RSVP资源预约，流量工程等机制，为用户实现QoS保证；④MPLS VPN技术，提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。

5结束语

本文从融合网络现状出发，阐述IIN智能信息网设计理念，构建面向服务的网络架构框架SONA，进行企业复合模块架构，设计可扩展的网络三层模型，从而解决大中型企业网络规划设计中普遍面对的问题。参考文献：

[1]黄传河.网络规划设计师教程[M].北京:清华大学出版社,2009.

[2]WAYNE LEWIS PH.D.思科网络技术学院教程[M].北京:人民邮电出版社,2009.

[3]陈鸣.网络工程设计教程系统集成方法[M].北京:机械工业出版社,2009.

Designed of the MediumSized Network

Architecture Based on IIN

Abstract: Current status of the network that emphasizes the use of a converged network network many different types of data streams, how to make a variety of data streams according to the needs of users to complete transmission quality and quantity, the paper design to start from the IIN will build on existing intelligent a network infrastructure to ensure better transmission of data streams, make the network more intelligent. In the network planning and design, the use of serviceoriented network architecture framework SONA, the network according to different functional requirements divided into different modules to build scalable threetier model, intelligent information network.

Key Words: Converged Network；IIN；SONA