AFC系统网络设计与实现毕业论文.doc

《AFC系统网络设计与实现毕业论文.doc》由会员分享，可在线阅读，更多相关《AFC系统网络设计与实现毕业论文.doc（51页珍藏版）》请在三一办公上搜索。

1、AFC系统网络设计与实现毕业论文目录目录- 1 -摘要- 3 -第 1 章AFC系统网络的需求分析- 4 -1.1 AFC系统网络的发展- 4 -1.2 AFC系统网络的应用需求分析- 4 -1.3 AFC系统网络性能需求分析- 4 -1.3.1 结构需求分析- 4 -1.3.2 网络链路需求分析- 5 -1.3.3 数据流量需求分析- 5 -1.3.4 扩展性需求分析- 5 -1.4 AFC系统网络技术需求分析- 5 -1.4.1 交换技术- 6 -1.4.2 路由技术- 6 -1.4.3 Vlan技术- 6 -1.4.4 防火墙技术- 7 -1.4.5 链路聚合(PortTrunking)

2、技术- 7 -第 2 章AFC系统网络设计原则和实现目标- 8 -2.1 AFC系统网络设计原则- 8 -2.2 AFC系统网络实现目标- 9 -第 3 章AFC系统网络总体方案设计- 10 -3.1 AFC系统网络拓扑结构设计- 10 -3.1.1 中央计算机系统（CC）- 11 -3.1.2 车站计算机系统（SC）- 13 -3.2 AFC系统网络技术的选型- 13 -3.3 AFC系统传输网络- 14 -3.4 AFC系统网络设备选型- 15 -3.4.1 交换机选型- 15 -3.4.2 路由器的选型- 15 -3.4.3 防火墙选型- 16 -3.4.4 服务器选型- 16 -3.4

3、.5 传输介质选型- 18 -3.5 AFC系统网络冗余设计- 18 -3.6 IP地址与VLAN规划设计- 19 -3.6.1 IP地址的设计- 19 -3.6.2 vlan 规划设计- 19 -3.6.3 IP地址与Vlan规划的具体方案- 19 -第 4 章AFC系统网络的实施- 21 -4.1 网络接入层配置- 21 -4.2 网络核心层配置- 23 -4.3 冗余的配置- 25 -4.4 接入路由器配置- 26 -4.5 防火墙的配置- 27 -4.6 远程访问配置- 30 -第 5 章 AFC系统的检测- 33 -5.1 AFC系统运行前的测试及运行初期的维护- 33 -5.1.1

4、 AFC系统交易数据的准确水平检测- 33 -5.1.2 终端设备的能力检测- 33 -5.1.3 终端设备的临界点检测- 33 -5.1.4终端设备的压力检测- 33 -5.1.5 AFC系统调控- 34 -5.2 AFC系统网络模拟测试- 34 -第 6 章 AFC系统网络安全- 36 -6.1 AFC系统网络的安全问题- 36 -6.1.1 AFC系统安全管理现状- 36 -6.1.2 AFC系统存在的安全隐患- 36 -6.1.3 AFC系统运维管理存在的不足- 38 -6.2 AFC系统网络安全解决方案- 39 -6.2.1 AFC系统安全管理实现- 39 -6.2.2 AFC系统运

5、维管理实现- 45 -6.2.3 方案实施- 48 -毕业设计总结- 49 -致谢- 50 -参考文献- 51 -摘要随着社会的高速发展，目前全国大部分大型城市都也进入了地铁时代。在这个高速发展的社会，信息网络的建设也得到了质的飞跃。然而地铁与信息网络的碰撞时不可避免的。因此，AFC系统网络的技术水平和规模将是体现信息时代，地铁的发展水平。本文首先对AFC系统网络进行简要的需求分析，然后基于AFC系统网络的需求进行设计与实现。根据AFC系统网络各部分的结构和设计等方面进行了详细的分析和描述，并给出了具体的实施方案和设计。本文最后分析了AFC系统安全管理中存在的问题，然后基于这些问题提出了一个具

6、体的解决方案。通过这个方案的实施，已基本清除了AFC系统中的安全隐患，达到了预期的目标。关键词：AFC系统网络，总体结构，设计实现，安全管理第 1 章AFC系统网络的需求分析1.1 AFC系统网络的发展最早引进AFC系统的国城市是上海。1993年3月1日，上海轨道交通首先在1号线启用了AFC系统，从而实现了城市轨道交通在售票、检票、计费、统计等方面的全过程自动化。城市轨道交通采用AFC系统技术的优越性很快得到全面的体现，2000年，在2号线开通运营的同时，同步启用了AFC系统，并与先前已经启用AFC系统的1号线实行联网操作。AFC系统的使用方便、数据统计准确、及时的特点，已被各城市的轨道交通运

7、营管理部门所公认，因此都将AFC系统的开通启用作为轨道交通线路交付运营的必备条件之一。1.2 AFC系统网络的应用需求分析AFC系统是综合技术性很强的一个专业系统，涉及到机械、电子、微控、传感、计算机、网络、数据库和系统集成等多个方面，整个系统实现具有很大难度。AFC应用系统软件是其中最具有代表性的，它不仅要集成所有售检票设备信息，还要对车票和现金等实物进行管理，涉及车站管理、收益管理和车票管理等各个环节，数据关系较为复杂，需求难以把握，开发具有一定难度，是实现AFC系统集成的关键环节。1.3 AFC系统网络性能需求分析1.3.1 结构需求分析网络采用接入层、核心层。采用2层结构树型结构加网状

8、结构的网络拓扑,在一定程度上实现网络的扩展能力。由于采用大型交换机技术，为了避免广播风暴带来不必要的带宽影响,因此要采用VLAN进行工作组的划分。因为接入层终端设备较多，所以将核心层节点设置和接入层一起。因为接入用户较多，且是部交换网络，因此网络节点设备交换机要采用高性能具备大型交换能力的设备。同时对服务器的处理能力要求也比较高。同时考虑到网用户数据的安全性，要求不高并加大网络建设和管理成本，但是为了改善主干链路数据流量的压力，增强网络性能，所以采用将服务器主机安排在核心层。 具体为把主服务器放在地铁公司，每个站台放一个交换设备，每个站台接入两个信息点。主要的形式是以地铁公司为中心的分散网络。

9、同时各个不同部门也交叉互联形成一个通畅的网络。1.3.2 网络链路需求分析网络主干链路采用光纤传输介质。 网络主干链路重要时可能会通过交通要道，多重障碍物。 网络主干链路主要埋藏地底。1.3.3 数据流量需求分析由于AFC系统网络的网络应用的特殊性,它对整个网络系统的性能要求相对来说比较高。其中网络速率要求主要的信息点100M交换到AFC系统区网中各终端间具有快速交换功能。为了支持数据、话音、视像多媒体的传输能力,在技术上要到满足当前的需求水平。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。为此应选用高带宽的先进技术。1.3.4 扩展

10、性需求分析作为一个在不断发展网络，AFC系统网络使用规模也随着信息化的发展，网络信息点的需求不断的增多。所以我们在设计的时候必须要考虑到系统要有可扩展性和可升级性。因此我们在此设计中采用了树形的拓扑结构设计，此设计易扩展，不仅仅指设备端口的扩展,还指网络结构的易扩展性,即只有在网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络网络协议的易扩展。无论是选择第三层网络中,还是规划第二层vlan的划分,都应注意其扩展能力。对于核心网络设备,要求骨干交换机具备第三层交换能力,要求支持今后的信息交流的一切应用，并要求留有一定的扩充能力。1.4 AFC系统网络技术需求分析在网络的建设中，主干网选

11、择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合AFC网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。1.4.1 交换技术传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了区网数据交换的效率，更大大增强了区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(Virtual LAN，VLAN)的概念。VLAN将广播域限制在单个VLAN部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要

12、通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议(Vlan Trunking Protocol，VTP)简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在区网部数据交换的部署是分层进行的。区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；

13、核心层将各分布层交换机互连起来进行穿越区网骨干的高速数据交换。在本设计中，也将采用这三层进行分开设计、配置。1.4.2 路由技术路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表(Access Control List，ACL)，还可以用来完成以路由器为中心的流量控制和过滤功能。在本设计中，网PC不仅通过路由器接入因特网、网PC之间也通过3层交换机上的路由功能进行数据包交换。1.4.3 Vlan技术即虚拟局域网(Virtual LAN，VLAN)，VLAN将广播域限制在单个

14、VLAN部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议(Vlan Trunking Protocol，VTP)简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。1.4.4 防火墙技术地铁公司要求对数据存储、传输的安全性的性能较高，如运营管理、档案管理、财务管理、物资管理等可以通过分布式、集中式相集合的方法进行管理。防火墙作为网络的第一道防线，

15、应放置在外网和需要保护的AFC系统网络之间。这样，所有流入AFC系统网络的数据流量都将通过防火墙，使AFC系统的所有客户机及服务器都处于防火墙的保护下。针对不同资源提供不同安全级别的保护, 还应构建一个“Demilitarized Zone”(DMZ)的区域，放置一些不含信息的公用服务器，有 Web、 Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在网中的公司或私人信息等。即使DMZ中服务器受到破坏，也不会对网中的信息造成影响。1.4.5 链路聚合(PortTrunking)技术链路聚合(Port Trunking)技术，支持IEEE802.3协议，是一种用

16、在交换机与交换机之间扩大通信吞吐量、提高可靠性的技术，也称为骨干连接。当两台核心层交换机采用聚合链路Port Trunking技术后，该技术可以使交换机之间连接最多4条负载均衡的冗余连接。当某一台核心交换机出现故障或核心交换机与接入层/汇聚层交换机的某一条互联线路出现故障时，系统将通信业务快速自动切换到另一台正常工作的核心层交换机上，以使整个网络具备高容量、无阻塞、高可靠的能力。作为一个较为完整的AFC网络实现，路由、交换与远程访问技术缺一不可。在后面的容中，我们将就每一技术领域的常用技术的实现进行详细的讨论。第 2 章AFC系统网络设计原则和实现目标2.1 AFC系统网络设计原则AFC系统从

17、结构上可划分为中央计算机CC系统和车站计算机SC系统两大部分。CC系统与SC系统间的通信从地铁传输系统的城域网接入实现， 主要有E1接入和100Mb/s以太网接入两种方式现在AFC系统网络建设要实现部全方位的数据共享，提供全面的保障服务，使网络安全可靠。从而提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，高可管理、高可增值特性以及开放性、兼容性和可扩容性。AFC系统网络建设应遵循以下基本原则：1. 先进性原则：适应AFC系统的发展特点及网络通讯设备的发展趋势，在主机选择、网络结构设计、网络设备结构配置、网络管理方式等方面具有一定的先进性。2. 网络冗余设计原则：在中央计算机系统中,

18、 采用双交换机方式提供双路10/ 100Mbps以太网通道。AFC数据中心服务器以及其他关键服务器、工作站均采用双机冗余方式分别接入两路以太网中。CC及SC的城域网接入均采用双路 100Mbps以太网方式,这样充分实现了主干网络的冗余性, 并且提高了网络系统的可靠性。3. 网络可靠性和稳定性原则：AFC系统均选择 国际知名 公司如CISCO、 3COM、EN-TERASYS的网络设备和产品, 保证网络的高可靠性运行能力。同时, 在车站上采用10/ 100Mbps全交换式以太网结构和具有较强交换能力的智能型交换机, 这在总体上提升了网络的传输性能和速度, 保障了数据传输的稳定。4. 网络可扩展性

19、原则：如网络设备以Cisco IOS网络操作系统为核心,其良好的可扩展性和可升级性, 可以满足将来不断发展的新需求。中央计算机系统的中心交换机、路由器、智能交换机等均具有易于升级和改造的特性。在所有的交换机端口配置上, 均有足够的预留容量,以 30%50%为冗余量,以保证运行可靠及扩展需要。5. 网络管理和安全原则：充分利用多种网络管理工具, 如HP Open View网络管理系统软件以及相应网络设备厂家的专用网管软件, 可以实时地测试、管理、自诊断及维护网络系统。虽然 AFC 网络系统是一个完全封闭的部专用网, 但数据传输安全性也要加以重视,采用访问控制、硬件防火墙系统、防杀病毒系统可充分保

20、证中央计算机系统以及各车站网络的系统安全。6. 网络协议原则：符合相关国际标准, 采用TCP/ IP协议,支持最基本应用如SNM P、FT P、SNT P、DNS等,路由协议采用OSPF动态路由加快网络收敛。7. 开放性原则：只有建设一个开放的网络系统，才能有更多公司企业了解我们学校，能同其他网络进行互联，保持与常规网络良好的互通性。8. 高传输性原则：主干网1000兆，快速以太网100兆交换到桌面。2.2 AFC系统网络实现目标AFC系统是一个基于计算机、通信、网络、自动控制等技术，实现轨道交通售票、检票、计费、收费、统计、管理等全过程的自动化系统，实现了轨道交通售票、检票、计费、收费、统计

21、、清分管理等全过程的自动处理，涉及到自动控制、计算机网络通信、模式识别技术、微电子计算、机电一体化、嵌入式系统和大型数据库管理等高新技术的应用。地铁AFC自动售检票系统在整个地铁业务系统中占有非常重要的地位，要求所采用的设备具有很好的可靠性、开放性、稳定性。其次，AFC系统是一个复杂的分布式系统，系统中涉及的各种交易数据、审计数据、状态数据和控制命令等，都需要通过系统网络在各节点之间传输。如果交易数据丢失或者损坏则会造成报表数据的不准确，从而直接影响收益。总而言之，AFC系统网络的建设能促进整个地铁业务系统的发展。AFC系统网络管理是一个不断多元化的网络应用系统设备组合，用以支持其日常运作和实

22、现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的，自觉而透明的，从而具备较强的扩展性。第 3 章AFC系统网络总体方案设计3.1 AFC系统网络拓扑结构设计图3-1 AFC网络拓扑结构图如图3-1是整个AFC系统的网络拓扑结构图。AFC系统主要采用了星型、树型和环型相结合的网络结构。整个图主要分为两个部分，分别是中央计算机系统（CC）和车站计算机系统(SC)。3.1.1 中央计算机系统（CC）图3-3 中央计算机系统1. 概述中央计算机系统又可分为：票务清分中央计算机系统和线路中央计算机系统。如图3-3整个中央计算机系统使用的是星型网络结构，在星型网络结构中各个计算机使用各自的

23、线缆连接到网络中，因此如果一个站点出了问题，不会影响整个网络的运行。星型结构每一个设备都使用一根双绞线一个接口相连,因此，这种结构有易于维护。采用交换电缆或工作站的简单方法可以很容易地确定网络故障点。另外，通道分离，整个网络不会因一个站点的故障而受到影响，网络节点的增删方便，快捷。2. 组成中央计算机系统有若干台服务器、磁盘阵列、磁带机、工作站、千兆交换机和路由器等局域网设备、打印机、不间断电源及编码机等组成。3. 功能(1) 收集及保存车站计算机上传的各类有关票务、帐务、客流、车站设备运行状态等数据。 (2) 监视和控制所有车站设备的运行状态。(3) 设置系统运营参数及系统运行模式，并下达给

24、车站计算机和车站设备。(4) 按照设定的周期处理和统计收集到的各类数据，生成相应的各类报表并打印(5)时钟同步功能1.票务清分中央计算机系统图3-4 清分计算机系统如图3-4票务清分中央计算机系统主要负责对各线路上送的AFC数据进行汇总、分析、处理和传送，确保实现各运营线路的独立核算；对运营网络各线路中央计算机系统下传清分数据、黑、费率表等；能根据预置的程序对各类优惠政策的数据和与其他城市公共交通工具接驳的相关数据进行统计分析和传输。2.线路中央计算机系统图3-4线路中央计算机系统如图3-5线路中央计算机系统是线路自动售检票系统的管理控制中心。线路中央计算机系统与各车站计算机系统进行通信；可自

25、动采集全线路自动售检票系统的交易数据和设备运营状态信息，进行财务和客流统计；线路中央计算机系统能向车站计算机系统下传费率表、优惠表、黑及其他参数和控制命令至各相关终端设备。线路中央计算机系统将需要清分的信息上传给清分系统，接受清分系统下传的清分数据、黑、费率表等数据。实现系统数据的集中采集、统计及管理，实现系统运营、收益及设备维护集中管理，实现对本线路自动售检票系统所有设备的监控。3.1.2 车站计算机系统（SC）图3-2 车站计算机系统1. 概述如图3-2车站计算机系统是AFC系统中的重要组成部分，我们采用环形结构连接各设备，并使用了FRP环技术，它提供以太网断开后自恢复功能，其恢复时间小于

26、20毫秒。用户可以通过管理界面指定任意端口（包括普通端口和聚合端口）进行组环，以提供更快的恢复速度和更高的通信带宽。2. 设备组成车站级计算机系统设备主要包括:车站计算机、监控管理工作站，票务工作站、打印机、终端售检票设备和车站交换机。 3. 功能收集车站设备的交易、审计寄存器数据，以及财务、故障状态和维修数据等，并传送到CC系统；储存由CC系统下载的运营和设置参数；设置车站运作参数；接收CC系统下传的系统参数；经授权后，对应用在本线的密钥进行管理和认证；管理车站设备网络及与CC系统的通信等。3.2 AFC系统网络技术的选型目前在局域网络上应用最广泛的技术有以太网、快速以太网、ATM（异步传输

27、模式）以及最新崛起的千兆以太网等。在这些技术中，千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。千兆位以太网技术以简单以太网技术为基础，为网络主干提供1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。传输速度比快速以太网提高十倍，比以太网提高一百倍。千兆以太网通过载波扩展（CarrierExt

28、ension）、采用带中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500米至3000米。如采用1300nm激光器和50um的单膜光钎传输距离可以达到3km。千兆位以太网能够提供更高的带宽，并且成为有强大伸缩性的以太网家族的第三个成员。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来，因为千兆位以太网的帧格式和帧尺寸大小等都与所有以太网技术相同，不需要对网络做任何改变。这种升级方法使得千兆位以太网相对于其他高速网络技术而言，在经济和管理性能方面都是较好的选择。3.3 AFC系统传输网络AFC系统数据通讯传输系统，是AFC系统通信系统最要的子系统，是连接行车调度指挥中心

29、和车站、车站和车站之间信息传输的主要手段，是组建轨道交通通信网的基础和骨干，支持当前业界SDH、MSTP、RPR等先进技术。AFC系统对通信系统信息传输的可靠性要求很高同时对主备通道切换要求在50ms之，所以系统采用通道自愈环网结构，提高可靠性；系统业务区分为实时和非实时业务，系统同时支持实时业务和非实时业务，因此系统采用OTN的传输模式，可完全满足地铁的业务需求。OTN是以波分复用技术为基础、在光层组织网络的传送网，是下一代的骨干传送网。OTN是通过G.872、G.709、G.798等一系列ITU-T的建议所规的新一代“数字传送体系”和“光传送体系”，将解决传统WDM网络无波长/子波长业务调

30、度能力差、组网能力弱、保护能力弱等问题。OTN跨越了传统的电域(数字传送)和光域(模拟传送)，是管理电域和光域的统一标准。OTN处理的基本对象是波长级业务，它将传送网推进到真正的多波长光网络阶段。由于结合了光域和电域处理的优势，OTN可以提供巨大的传送容量、完全透明的端到端波长/子波长连接以及电信级的保护，是传送宽带大颗粒业务的最优技术。3.4 AFC系统网络设备选型3.4.1 交换机选型1.核心层交换机：它是构成网络的重点，承担着数据快速率、大容量交换，大吞吐量等重任，以使整个网络高容量、无阻塞、高可靠的运行，它与接入层层交换机之间应采用新增型单模光纤连接。2.接入交换机：为不同用户提供接入

31、点，接入层的用户比较的多，所以选择CISCO WS-C2960-48TT-L。交换机模块选型见下表3-4所示。表3-4 交换机的选型设备名称核心层交换机接入层交换机型号WS-C3560E-24TD-SWS-C2960-48TT-L厂商CISCOCISCO产品类型工业级交换机智能交换机传输速率10/100/1000 Mbps 10/100/Mbps传输模式全双工全双工/半双工自适应端口数量24个50个交换方式存储-转发存储-转发背板带宽720Gbps6.8Gbps包转发率387Mpps10.1Mpps数量24n+1（n车站数）3.4.2 路由器的选型对于CC网络中的核心路由器而言, 采用Cisc

32、o7206VXR企业级路由器1台, 它具备NPE-G1网络处理引擎模块和6个WAN插槽。该路由器数据包处理能力可达900Kpps, NPE- G1模块上具有3个 10/100/1000M端口, WAN模块种类繁多而提供各种WAN连接。这里我们配置了3块 T1/E1模块, 总共可提供 18个 E1接口。车站路由器采用 Cisco的低端产品 2610xm, 其数据包处理能力可达20Kpps, 配备一个WAN模块支持E1端口。所有路由器均使用OSPF路由协议, 可以很方便地将来 E1通道的扩展。为了有效地控制车站数据流向,通过ACL配置仅允许各车站与CC进行通信。具体参数见下表3-7所示。表3-7

33、路由器的选型端口结构模块化扩展模块6网络管理Cisco ClickStart，SNMP产品存最大512MB网络标准IEEE 802.3处理器225、263或350MHz(MIPS RISC)Qos支持支持其它端口1个RS-232控制端口VPN支持支持环境标准工作温度：0-40C3.4.3 防火墙选型出于安全考虑，有效地防止外来的入侵，控制进出网络的信息流向和信息包；提供使用和流量的日志和审计；隐藏部IP地址及网络结构的细节等，实现记录攻击，阻挡外部攻击，包的透明转发，过滤作用，在次方案中选择CISCO ASA5550-BUN-K9防火墙，其参数见下表3-3所示。表3-3 IP地址的划分设备名称

34、参数CISCO ASA5550-BUN-K9防火墙设备类型企业级防火墙并发连接数650000网络吞吐量1200Mbps网络端口8*10/100/1000,4*SFP光纤端口,1*10/100VPN支持支持安全标准UL 1950，CSA C22.2 NO.950，EN 60950 IEC 60950，AS/NZS3260，TS001其他性能IPS、以及IPSec 和SSL VPN和IPSec VPN软件,支持防垃圾、URL 阻拦和过滤,以及防网络钓鱼管理思科安全管理器(CS-Manager)，Web3.4.4 服务器选型AFC网络围广，对服务器的负荷量要求较高。其间更涉及几十个站之间的信息传输，

35、且数据传输、系统安全、性都要求非常高。所以服务器不但要性能优越，更要功能齐全。根据需要，我们将服务器分为2种类型，一种是常规运营所用的服务器见下表3-5所示，另一种是对整个AFC系统管理所需的服务器见下表3-6所示。表3-5 常规服务器选型品牌ThinkServer RD630 S2640 4/300AHROD基本参数产品类别：机架式 产品结构：2U处理器CPU类型：Intel 至强E5-2600 CPU型号：Xeon E5-2640 CPU频率：2.5GHz CPU核心：六核 三级缓存：15MB主板扩展槽：2PCI-E 3.0 x16 3PCI-E 3.0 x8存存类型：DDR3 存容量：4

36、GB 最大存容量：320GB存储硬盘接口类型：SAS 标配硬盘容量：300GB 磁盘控制器：RAID 700卡 光驱：Slim DVD-RW 支持热插拔盘位网络网络控制器：双端口千兆网卡，单端口管理千兆网卡数量8台表3-6 安全管理服务器选型硬件设备数量主要作用及配置要求描述管理服务器1套运行 UniMon 及 UniAccess 服务器端软件，配置要求如下：工业标准 1U 或 2U 两路处理器机柜服务器1 1CPU，Xeon 主频 3.0G Hz 以上2 DRAM : 2GB3 Hard disk 146GB2 SCSI RAID4 10/100/1000Mbps NIC 2，要求支持 80

37、2.1Q5 Display 15”操作管理终端（可选配置）2套普通 PC1 1CPU，P4 以上2 DRAM :512MB3 Hard disk 80GB 以上4 10/100Mbps NIC5 Display 17”GSM Modem1套GSM Modem，用于发送短信3.4.5 传输介质选型按照树型的网络拓扑结构，目前AFC系统的应用情况而言，AFC网络承载的传输信息的传输量将会越来越大。因此主干网传输介质必须具有承载千兆速率的能力。另外，作为户外传输介质，还需具备较好的坑干扰、可靠性、坑老化和高寿命等特点。然后具备上述这些特点的传输介质目前只有光缆可满足要求。因此AFC网络的站外主干传输

38、介质，单模光纤已成为唯一的有效的选择。它不仅具有很好的宽带及其扩展性，而且在坑干扰，可靠性、稳定性和使用后寿命等方面都十分优越，不足的只是施工难度稍大，成本较高。为此，站与站之间用多模光纤连接到网络中心，其他设备连接到网络中心为了满足用户的使用质量全都采用单模光纤，终端设备间互连用超五类双绞线。3.5 AFC系统网络冗余设计由于AFC网络规模巨大、涉及的很多，特别是骨干网络出现任何的问题将导致很大的不良影响，因此对网络的可靠性和可用性要求很高。网络的冗余设计除了选择具有冗余设计的网络设备外，网络的冗余设计也十分重要，可采用两台核心交换机联合接入，AFC系统网交换机分别用两条线路接到这两台核心交

39、换机上，即可实现线路的冗余。网络的冗余实现可以通过多种方式，目前比较流行的是链路聚合技术和生成树技术。在此方案中链路聚合技术可与生成树技术配合使用。ospf路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的ospf路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，ospf路由器正是通过这个数据库计算出其ospf路由表的。ospf通过路由器之间通告网络接口的状

40、态来建立链路状态数据库，生成最短路径树，每个ospf路由器使用这些最短路径构造路由表。MSTP（Multiple Spanning Tree Protocol，多生成树协议）将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN 数据的负载均衡。MSTP 兼容STP 和RSTP，并且可以弥补STP 和RSTP 的缺陷。它既可以快速收敛，也能使不同VLAN 的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。3.6 IP地址与VLAN规划设计3.6.1 IP地址的设计根据地铁规模不断发展的趋势，结合

41、目前AFC系统网络真实IP地址的现实情况，不仅要最大的优势就是便于管理，一个IP对于一台设备，局域网的管理人员可以通过某一IP对应的设备。但是也将造成IP地址资源的极大浪费。车站 AFC网络设计的重点在于满足数量众多的售检票终端设备与中心 AFC系统的数据传输。同时,为了方便管理和监控,对各车站终端设备网络地址进行合理分配是十分必要的。一个好的网络分配方案,能大大降低设备维护的工作量提升工作效率。我们建议,IP地址规划遵循如下原则来设计：1. 易管理性: 充分利用地址空间,在按一定逻辑规则分配 I P的基础上最大限度地实现地址连续性,并兼顾今后网络发展,便于业务管理。2. 可扩展性:地址分配在

42、每一层次上都留有余量, 充分考虑未来线路扩展、 车站扩展的需求,坚持统一规划、长远考虑、分片分块分配的原则。3.6.2 vlan 规划设计为了能从根本上解决网络效率与安全性等问题。通过划分vlan可以防止广播风暴，简化项目管理与应用管理。因此在方案中采取静态vlan和动态vlan相结合。静态vlan划分也就是基于端口的vlan。(易于建立于监控，几乎所有交换机都支持这种方式)；动态vlan划分技术又分为基于MAC地址的vlan划分、基于IP地址的vlan划分等。因此在方案中采取静态vlan和动态vlan相结合，每个车站为一个vlan。3.6.3 IP地址与Vlan规划的具体方案AFC网络是企业

43、部专网, 可以使用保留的A类 IP地址(如 10. 0. 0. 0/8)作为专网的 IP地址。一个A类地址包含255个 B类地址,一个B类地址又包含255个C类地址, 因此,该类网络地址空间巨大, 足够满足 AFC系统未来发展的。AFC系统使用A类地址10.0.0.0/8作为整个AFC专网的IP地址，那么中央AFC网络和车站AFC网络在该A类地址中分配为C类地址，剩余200多个B类地址用于未来网络的扩充。Ip地址与Vlan的划分见下表3-1与表3-2所示。表3-1 IP地址的划分地址用户地址中央网络10.1.1.0车站网络10.1.2254.01号车站网络进口闸机10.1.2.149出口闸机1

44、0.1.2.5099补票机10.1.2.100119自动售票机10.1.2.120159半自动售票机10.1.2.160199自动加值机10.1.2. 200219其他设备10.1.2.220253车站服务器10.1.2.254表3-2 Vlan的划分区域Vlan号中央系统Vlan11号车站Vlan22号车站Vlan315号车站Vlan15第 4 章AFC系统网络的实施4.1 网络接入层配置为了方便在配置vlan之前先配置vtp，vtp是用来管理和配置整个vlan交换网络。将核心层的一台交换机配置为服务器，其他的交换机配置为客户机模式。1配置具体步骤：在两台核心层交换机配置：Switchena

45、ble /进入特权模式Switch#configure terminal /进入全局模式Switch(config)#vtp mode server /将交换机设置为透明模式Switch(config)#vtp domain AFC /设置vtp的域名在接入层交换机配置：Switchenable /进入特权模式Switch#configure terminal /进入全局模式Switch(config)#vtp mode client /将交换机设置为客户端模式Switch(config)#vtp domain AFC /设置vtp的域名为AFC2.设置trunk：在核心交换机上设置trunk

46、配置如下：Switch(config)#int range fa0/1-20 /进入端口Switch(config-if)#switchport trunk encapsulation dot1q /封装Switch(config-if)#switchport mode trunk /设置为trunk口在接入交换机连接核心层交换机的接口上设置trunk配置如下(以Switch的fa0/1端口为例)：Switch(config)#int fa0/1 /进入端口Switch(config-if)#switchport mode trunk /设置为trunk口3.创建vlan：在接入层交换机上创建vlan2-20；在核心层交换机1上创建vlan100；在核心层交换机2上创建vlan200。SwitchAenable /进入特权模式Swit