国图的网络建设包括馆域网以及该网与中国科技网、教育与科研网、Chinanet、北京大学、清华大学、广电网等网络的互联。北图的馆域网以千兆以太网为主干,具有独享10M到桌面带宽的星形拓扑结构。从数字图书馆的要求来看,馆域网不仅要传送文本,还要支持大量的多媒体服务,因此对网络的带宽要求很高。国图从实际出发,要求在馆域网中建立3个逻辑子网:读者服务网分布在大楼的各个地方;业务工作网分布在大楼和行政楼、分馆等地;数字图书馆试验环境在国图东侧的一层和四层。因此,合理地处理3个逻辑网的连接、划分和安全性设计是保障其可靠地工作的关键。
对于主干光纤,从主交换机到主交换机采用的是单模光纤;从主交换机到分支交换机采用的是多模光纤,传输千兆以太网信息。这些光纤将保证北图内部网络的使用期为8~10年,因此对光纤网络的要求非常严格。从分支交换机到终端和分支交换机到分散的服务器采用五类或超五类线,保证10M和100M带宽的独享。
国图馆域网与外部将通过光缆相连,为了将来的拓展和保证现有投入的连续有效,在目前的产品中要求考虑10~20个100M以太网端口的连接,所以对产品的延续性提出了严格的要求。国图共有IP地址128个,除了需要将若干地址用于WWW服务器、E-MAIL服务器和FTP服务器以外,其它地址均用于在内部访问互联网时使用(约有1200个内部节点)。这些服务器设在国图广域网接入防火墙之外,内部网在防火墙的保护之内。
网络物理结构
国图采用两级网络结构。网络主干层采用2台3Com的千兆以太网交换机—CoreBuilder9000,通过双千兆以太链路互联,实现负载平衡和冗余备份。第二层是用户接入层,采用3Com的SuperStackⅡ1100边界交换机组,每4台堆叠成一组,通过一个千兆以太网模块上联至主干,下联至客户工作站。网管工作站、防火墙主机和路由器通过100兆快速以太网端口直接与主干交换机相联。
主干交换机的配置
主干层的2台千兆以太网交换机CoreBuilder9000分别置于两个主设备间。主干交换机各配置1块24Gbps千兆以太网交换引擎、1块20端口10M/100M自适应以太网交换模块、1块12端口10M/100M自适应第三层交换模块、8块2端口1000Base-SX输入输出模块和1块2端口1000Base-LX输出模块。
接入交换机的配置
接入层交换机根据用户的实际情况采用SuperStackⅡ以太网工作组交换机Switch1100,每4台堆叠成一组,共12组,每组配置如下:
SuperStackⅡSwitch1100带24个10Base-T和2个10/100Base-T自适应端口
SuperStackⅡ堆叠模块
SuperStackⅡ堆叠模块
SuperStackⅡ千兆位上联模块
路由器的配置
在主干网上配置一台3Com中心路由器NetBuilderⅡ,通过100M快速以太网模块直接连到CoreBuilder9000交换机上,实现与远地子网以及Internet的连接。
网络管理系统
大型的局域网络必须提供一套完整统一的网管系统,以实现对全网所有设备的监控和操作。
国图馆域网采用3Com的网管软件TranscendEnterpriseManagerforUNIX来监控和管理网络设备,采用Sun的Ultra2工作站作为网管硬件平台,采用HP的Openview作为网管软件平台。
防火墙的设计
为保证国图内部网不受外界的干扰和破坏,必须设立防火墙服务器。由于该服务器同时也用作NAT服务器,所以性能上要求很高,因此采用Sun的E3500服务器,配置4块100M快速以太网卡,联入主干交换机。防火墙软件为Firewall-1。
子网划分
考虑到系统安全设计的需要,整个网络在逻辑上被设置成了4个虚拟子网,其中3个子网分别对应读者服务网、业务工作网和数字图书网,还有一个为隔离子网。3个业务网通过在CoreBuilder9000主干交换机上设置的第三层交换功能来实现网间数据交换,隔离子网则与3个业务网完全隔离。这就是说,4个虚拟逻辑子网在物理上是相互独立的,在不同的子网内,资源访问权限可以根据用户来进行分配。3个业务子网间的跨子网访问网络资源要经过第三层交换机,并可以通过进行IP地址过滤来提高网络的安全性。外部用户必须通过防火墙的身份检查,经授权后才能对资源进行访问。
防火墙主机上配置有4块100M网卡,分别联入上述4个子网,通过该主机将3个业务子网与隔离子网连接起来,路由器在逻辑上被划入了隔离子网中,用以与Internet进行连接,同时起第一级防火墙的作用(主要用来防范网络层的侵扰)。这种配置能够保证内部网具备两级防卫能力,可抵御网络层及应用层的侵扰。
馆内的网络通过3ComNetBuilderII(4槽)路由器配置的4个FlexWAN接口(支持同步、异步通信方式,速度从9.6Kbps到E1)连接到DCE设备接口上,与邮电部门提供的E1/T1相联。另外NetBuilderII路由器配置了一个8口ISDNBRI接口模块,用于与分馆的广域网连接。NetBuilderII的软件包中提供增强的防火墙功能、IP包过滤器以及NAT(地址变换)功能。在系统配置时,路由器全部端口均设置合法的IP地址,同时设备自身的防火墙和IP包过滤功能、地址翻译功能不通过路由器来实现。
CoreBuilder9000在设计上面向新一代的应用和网络发展。考虑到国图今后的网络扩充需求以及支持10~20个千兆以太网的连接、一个622M的ATM连接及10个155MATM连接的具体要求,在现有的交换机机箱内进行模块添加,就可以满足以上的扩充要求。
3ComCoreBuilder9000交换机在设计上可以被用作高端口密度、高性能核心的交换机,它为基于TCP/IP协议的应用提供透明的网络平台,同时还提供QoS策略服务。另一方面,CoreBuilder9000ATM核心交换机支持标准的局域网仿真协议,为基于TCP/IP协议的应用提供了完全兼容的环境。
在以太网上实现多媒体服务不仅要求多媒体应用服务器端对声音、图像和数据的处理性能,还要求网络满足多媒体应用对时延和带宽的要求。采用3Com的以太网交换机,端口可以进行数据优先级输出队列的管理控制,同时在以太网网卡上支持802.1p协议,因此多媒体服务器的声音和图像信息的低时延可以通过标记相应的优先级来加以保证。交换端口输出也可以保证数据传输的高优先级,使多媒体应用可以在以太网上实现端到端的服务质量保证。
国图采用3Com解决方案,并选用其全套网络产品并不是偶然的。正如国图总工程师所说,全面选择3Com的产品,主要是看中了3Com在以太网领域中的技术优势。3Com的方案结构简单、易于管理,且大大提高了网络的平均无故障工作时间,同时还有强大的技术支持力量,正是这些无可挑剔的表现使国图最终选择了3Com。
在提供优秀产品的同时保证这些产品未来的平滑升级,并保护原有投资,这也是国图特别满意的一点。这就是3Com公司获胜的秘密:一流的技术、一流的产品、一流的服务和永远为用户着想的理念。
