一、数据专线介绍数据专线是中国移动通信基于自身强大的网络,利用自己的接入网和传输网络资源,采用固线方式为招行的各分支机构间提供专线接入,从而实现招行专享各种高质量的通信服务和信息化服务的解决方案方式包括 IP 专线接入、光纤接入等1.1 安徽移动传输网介绍目前,中国移动经过多年的建设,已经拥有一个覆盖全国所有县以上城市,技术先进的光纤传输网络中国移动传输网采用分层的结构,分为核心传送层、汇聚传送层、接入传送层三个层面核心层:由移动交换局﹑移动关口局﹑移动长途汇接局和移动数据中心节点等核心节点组成,即传统意义上的局间中继系统;汇聚层:由部分具有重要意义的基站、BSC 等节点构成,负责一定区域内业务的汇聚和疏导,它由原有意义上的本地网(市到县汇聚层)和城市中心地区的汇聚层网络组成接入层:由基站、数据及其他业务接入点组成实用文档安徽移动传输网结构安徽移动省干传输网于 2000 年起步开始建设,随着安徽移动业务的发展,传输网承载能力也不断扩大至 2005 年 8 月,安徽移动省内干线传输系统已建设形成 A、B二个平面,均为环型网结构,极大地提高了网络的安全性安徽移动省干传输网结构安徽移动传输网主要采用如下两种技术:1、SDH 技术SDH 传输网是由一些 SDH 网络单元组成的,在光纤、微波或卫星上进行同步信息传送,融复接、传输、交换功能于一体,由统一网络管理操作的综合信息网。
可实现网络有效管理、动态网络维护、对业务性能监视等功能,能有效地提高网络资源的利用率,实用文档能满足通信网的信息传输和交换的要求2、DWDM 技术DWDM 技术是 WDM 技术的一种,WDM 分为密集波分 DWDM 和粗波分 CWDM两种,前者广泛应用于省际、省内长途传输网中,后者主要应用于城域网 WDM 技术的实现,主要由波分复用器来完成波分复用器是一个无源光学器件,器件结构简单,体积小,可靠性高,易于和光纤耦合1.2 数据专线业务特点基于 SDH、DWDM 等技术的光纤传输网络,可以满足多种的业务需求,包括高可靠性需求,不同的接口需求,不同的带宽需求的各种业务,均能提供差异化,个性化的服务1、 高可靠性:从网络级和设备级等方面着手加强安全性(1)网络级通道环网保护(单向、双向)复用段环网保护(专向、共享 2F/4F MSP)线形保护(1+1 MSP、1:N MSP)SNCPDNI(符合 G.841、G.842)共享光纤虚拟保护实用文档ET-RingVP-RingRPR(2)设备级电源 1+1;交叉 1+1时钟 1+12、接口多样性:提供各种速率、各种跨距的接口,用于组网;支持多种业务接入、处理和传送;3、带宽需求多样性:大容量接入能力,提供廉价带宽;通信速率可根据需要在 2Mbps 、155Mbps 、622Mbps、2.5Gbps、10Gbps 等速率中任意选择。
安徽移动网传输资源充裕,能满足话音、数据、集团客户等多种业务需求1.3 数据专网方案1.3.1 方案设计原则1、开放性和标准化此次网络设计严格遵循开放性原则,所提供的网络设备支持国际流行的网络协 实用文档议工业准,支持多种交换/路由协议,容易实现动态扩充,具备极好的兼容性,方便与各厂商的网络产品互连、互通、互操作2、稳定可靠性网络的稳定性和可靠性是一个网络能够投入使用的基础,是用户最关心的问题之一中国移动提供给巢湖市第一人民医院的方案设备采用的技术是最新最成熟的技术,完全遵循国际标准、国家标准,在功能的实现上是成熟和稳定的,和其他设备具有完全的兼容性我们提供的设备在国内外众多行业中得到了广泛的应用,在众多的网络中发挥重要作用同时我们提供网络的整套解决方案,提供了路由、交换、传输等所有产品,完全可以保证网络的稳定、可靠、无间断运行3、安全性安全性是设计网络必须要考虑的一个方面,由于网络会存在一些安全隐患,在设计网络的时候就要对此有充足的考虑和相应的应对措施我们提供的方案可以提供多种方式来保证网络的安全性:如包过滤防火墙技术,可以通过路由器/交换机的包过滤功能实现针对原地址、目的地址、TCP 端口、UDP 端口等的访问控制;可以提供 RADIUS 和 TACACS+等认证;同时还可以支持标准的基于 IPSec 的线路加密技术外,实现更高级别的安全性。
4、可管理性实用文档在网络建成后,网络的管理将成为最重要的日常工作移动提供的整网解决方案设备均支持 SNMP 协议,而交换机还支持 WEB 方式管理移动能够提供全面第三方网管软件,可以完成对支持 SNMP 协议的其他厂商网络设备的管理5、科学合理性网络设计要求依据科学规范化的设计要求,保证整个网络结构的科学性我们提供的网络方案严格遵循网络设计规范要求,采用层次化结构化设计,使设计的网络层次分明,结构分明6、可扩展性设计一个网络要考虑到今后的扩展性,包括硬件的扩展性和功能的扩展性,以满足不断发展的网络互联需求移动提供的路由器和交换机均按此用模块化、标准化设计,紧跟技术发展方向,持续推出新的网络模块,模块采用了标准化设计,具有可替换性而网络设备的 IOS 采用国际标准的路由协议,同时也采用了一些事实上的标准协议,具有非常好的兼容性1.3.2 解决方案1 、2-8M 接入解决方案实用文档此方案针对巢湖市第一人民医院全网 SDH 的三层网络解决方案;在巢湖市第一人民医院中心,我们可以采用 155M CPOS 接入的方式,提供 E1/CPOS 接口与巢湖市第一人民医院核心路由器连接;在每个分支机构,通过 SDH 延伸下延通过 PDH 至分支机构,通过 E1 直连接 入路由器,或者通过 E1-V35 协议转换器连接路由器 V35 接口;在部分分支机构,可以采用协转+交换机的接入方式,在对应的中心路由器CPOS 支路上启用虚拟以太桥接协议,可以直接和分支机构的协转+交换机互通,在 CPOS 支路上启用三层地址作为分支机构应用设备的网关;在一些带宽要求较高的分支机构,采用 2-4 路 E1 捆绑的方式进行提供 2M 以上的带宽接入; 而在两端对应巢湖市第一人民医院的路由器上启用 PPP 多链 实用文档路捆绑协议即可。
2、 10M/100M 接入解决方案此方案给巢湖市第一人民医院提供各分支机构 10M/100M 的带宽接入;在中心,根据用户核心设备是采用路由器或者交换机,由移动提供一条或者多 条汇聚光纤线路连接至用户中心设备;如果巢湖市第一人民医院中心采用路由器模式,则在中心路由器上启用子接口,每个子接口对应一个分支机构,可以在此子接口上作对应的 QOS 策略等;在分支机构端,通过光纤收发器,将 10/100M MSTP 线路延伸至巢湖市第一 人民医院分支机构,通过以太口连接接入路由器实用文档1.3.3 方案关键点1、方案的可靠性设计可靠性包括网络级的可靠性,设备级的可靠性,应用级的可靠性,系统级的可靠性四个方面网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持巢湖市第一人民医院网络各业务系统的正常运行设备级的高端产品提供双主控,双交换,双总线,热插拔,多电源技术保证网络设备的 5 个 9的高可靠性系统的可靠性是由解决方案来个性化的定制构架,策略,产品,方案,技术,综合解决的系统工程问题。
可管理性分为网络级,设备级,用户级三个层次的管理,由他们构成网络的智能性通过提供智能性的网络,降低巢湖市第一人民医院运行成本,提供工作效率,达成电子建设的目标网络管理系统包括网元设备管理系统和业务管理系统,全面保证网络的高可管理性2、 IP 地址规划IP 地址的规划和分配是网络建设的重要内容,它与网络的整体结构、技术体制、连接方式相关,是实现全网互联互通的基础,必须实行统一规划、统一分配、分级编制、分级管理3、 路由规划实用文档对一个大型网络来说,路由协议对网络的稳定高效运行、网络在拓扑变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展具有重要影响;同时对于网络承载业务的控制方面具有重要影响路由协议的选择基本遵循以下原则:1) 管理上层次分明,局部的变动不影响上层路由配置和全局路由配置2) 技术上应尽量简单、灵活,以提高路由器的处理效率3) 能够反映出整个网络的层次结构,并与自治域、各结点子网的 IP 地址分配相结合,做到合理的路由聚合,减少路由表的长度,减轻路由更新给网络带来的负荷4、 网络安全系统规划网络安全核心理念在于七分管理,三分技术中国移动在给巢湖市第一人民医院进行网络规划设计时,充分考虑了巢湖市第一人民医院的网络信息安全。
网络安全建设 7 分靠管理,3 分靠技术即安全管理是信息安全的关键;人员管理是安全管理的核心;安全策略是安全管理的依据;安全工具是安全管理的保证在技术 实用文档层面,提供防御、隔离、认证、授权、策略等多种手段为网络安全提供保证5、网络安全组网建议完整的安全体系结构应覆盖系统的各个层面,由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障网络的安全;应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制,在应用层保证对网络各种应用系统的信息访问合法性;系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控,防止不法分子利用操作系统的安全漏洞对网络构成安全威胁;管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障网的安全6、安全控制策略的分类对于整网而言,拥有一套物理结构、管理结构都很合理的网络并不足够,这套网络要达到高可用性的要求,还需要提供尽可能强的安全控制能力如同在需求分析中提到的,本网络的安全控制需求主要来自于以下几方面:终端访问权限病毒传播抑制服务器数据访问控制分机构的访问控制实用文档控制与隔离策略包括不同逻辑网络 VLAN 之间的隔离等,不同业务之间的网段 ACL 隔离等,保证不同级别和内容的网络之间不会发生非法访问;准入控制策略包括分支机构用户访问权限控制,局域网内部终端 PC 的访问权限控制,端口级设备特征绑定,高级应用准入控制等;保证指定级别或权限。