收藏 分享(赏)
下载资源 加入VIP,免费下载

综合信息大楼网络系统设计施工方案.doc

上传人:平平淡淡 文档编号:5771213 上传时间:2019-03-16 格式:DOC 页数:121 大小:4.10MB
下载 相关 举报
综合信息大楼网络系统设计施工方案.doc_第1页
第1页 / 共121页
综合信息大楼网络系统设计施工方案.doc_第2页
第2页 / 共121页
综合信息大楼网络系统设计施工方案.doc_第3页
第3页 / 共121页
综合信息大楼网络系统设计施工方案.doc_第4页
第4页 / 共121页
综合信息大楼网络系统设计施工方案.doc_第5页
第5页 / 共121页
点击查看更多>>
资源描述

1、i目 录1 项目概况 - 1 -1.1 项目背景 - 1 -1.2 建设目标 - 1 -1.3 工程范围 - 1 -1.4 网络信息点位分布与数量表 - 1 -2 总体设计 - 3 -2.1 设计依据 - 3 -2.2 设计原则 - 3 -3 网络系统 - 5 -3.1 网络协议的选择 - 5 -3.2 网络技术选择 - 5 -3.2.1 VLAN( Virtual LANs) .- 5 -3.2.2 三层交换技术 .- 6 -3.2.3 VRRP.- 7 -3.2.4 其它网络技术 .- 8 -3.3 网络设计概要 - 8 -3.4 网络的分层设计 - 9 -3.4.1 核心层 .- 9 -

2、3.4.2 汇聚层 .- 9 -3.4.3 接入层 .- 10 -3.4.4 选用华为 3COM 的网络设备 - 10 -3.4.5 网络规划 .- 11 -3.5 网络拓扑图 - 24 -3.6 网络冗余设计 - 26 -3.7 路由规划 - 26 -3.8 应用 VRRP 技术 .- 28 -3.9 选择组播协议 - 31 -3.10 VLAN 规划 .- 33 -3.11 IP 地址分配原则 .- 33 -3.11.1 内网 IP 分配规划 - 34 -3.11.2 外网 IP 分配规划 - 34 -3.12 本设计方案的特点 - 35 -3.12.1 完全的分布式的处理方式 .- 35

3、 -3.12.2 核心交换机先进的体系架构设计 .- 35 -3.12.3 基于流攻击的防止 .- 35 -3.12.4 QOS 功能 - 35 -3.12.5 广播风暴的抑止 .- 36 -3.12.6 高可用性保障 .- 36 -4 网管管理系统 - 36 -ii4.1 网络管理的重要性 - 36 -4.2 管理系统的总体设计 - 37 -4.3 华为 3COM 网络管理解决方案 - 37 -4.3.1 产品特点 .- 37 -4.3.2 典型组网应用 .- 41 -4.4 用户的安全接入管理 - 41 -5 网络系统安全特性 - 42 -5.1 配置 IDS.- 42 -5.2 网络病毒

4、的诊断 - 42 -5.3 协议的安全性 - 42 -5.3.1 应用服务协议的安全 .- 42 -5.3.2 路由协议的安全 .- 43 -5.3.3 网管 SNMP 的安全性 - 43 -5.4 网络设备的安全性 - 43 -5.4.1 控制口 console 的控制 - 43 -5.4.2 远程登录 telnet 的控制 .- 44 -5.5 限制外网 BT 业务流量 .- 44 -5.6 多元绑定技术的应用 - 47 -5.6.1 网络安全特征 .- 48 -5.6.2 可用绑定技术规划高安全的网络 .- 49 -5.7 防止对 DHCP 服务器的攻击 .- 52 -5.7.1 Pri

5、vate VLAN- 52 -5.7.2 访问控制列表 .- 53 -5.7.3 新的命令 .- 53 -5.8 恶意用户追查 - 53 -5.9 防病毒攻击 - 53 -5.9.1 防止 DOS 攻击 .- 54 -5.9.2 防止基于流的攻击特性 .- 54 -5.9.3 防止病毒的广播传递 .- 55 -6 网络入侵检测 - 56 -6.1 入侵检测系统在外网网络的作用 - 56 -6.1.1 在外网建设入侵检测系统的必要性 .- 56 -6.2 本系统外网络入侵检测产品选型 - 59 -6.2.1 网络入侵检测技术简介 .- 59 -6.2.2 网络入侵检测技术分析 .- 60 -6.

6、2.3 网络入侵产品选型 .- 62 -6.3 网络入侵检测产品部署 - 65 -6.3.1 NetEye IDS 部署建议 - 65 -6.3.2 NetEye IDS 的集中管理 - 66 -6.3.3 NetEye IDS 的系统结构 - 67 -6.3.4 NetEye IDS 的配置清单 - 67 -6.4 网络入侵检测产品扩展及建议 - 68 -6.4.1 NetEye IDS 平滑扩展 - 68 -iii6.4.2 NetEye IDS 安全联动 - 68 -6.5 NETEYE IDS 优势介绍 - 69 -7 网络防病毒 - 72 -7.1 计算机病毒发展和入侵途径分析 -

7、72 -7.1.1 计算机病毒的发展趋势 .- 72 -7.1.2 病毒入侵渠道分析 .- 73 -7.2 本系统外网网络防病毒技术要求 - 74 -7.3 网络防病毒需求分析 - 76 -7.4 防病毒解决方案 - 78 -7.4.1 设计思想 .- 78 -7.4.2 防病毒规划 .- 79 -7.4.3 部署产品 .- 79 -7.4.4 部署示意 .- 79 -7.4.5 部署防病毒系统实现的效果 .- 80 -7.5 网络版防毒系统介绍 - 81 -7.5.1 网络版产品简介 .- 81 -7.5.2 网络版系统需求 .- 82 -7.5.3 网络版部署方式 .- 83 -7.5.4

8、 网络版管理方式 .- 84 -7.5.5 网络版升级方式 .- 84 -7.5.6 网络版功能特色 .- 84 -8 设备安装场地及环境要求 - 92 -8.1 机房的选址建议要求 - 92 -8.2 机房的建筑建议要求 - 92 -8.3 网络设备工作环境的要求 - 93 -8.3.1 温度和湿度要求 .- 93 -8.3.2 洁净度要求 .- 94 -8.3.3 防静电要求 .- 94 -8.3.4 电磁环境要求 .- 95 -8.3.5 防雷击要求 .- 95 -8.3.6 抗干扰要求 .- 95 -8.3.7 照明要求 .- 96 -9 实施方案 - 97 -9.1 总体实施规划 -

9、 97 -9.2 工程界面 - 98 -9.3 工程实施组织结构和分工 - 99 -9.4 项目实施计划编制和文档修改控制 - 100 -9.5 工程协调会和工程进度安排 - 102 -9.6 项目实施 - 107 -9.6.1 安装准备 .- 107 -9.6.2 到货检查 .- 107 -9.6.3 设备安装检验 .- 108 -iv9.6.4 连通性和系统完整性测试 .- 110 -9.6.5 系统测试和验收 .- 110 -9.6.6 培训 .- 110 -9.6.7 实施总结 .- 111 -9.6.8 售后维护 .- 111 -9.6.9 过程监控 .- 111 -9.7 项目质量

10、保证计划 - 112 -9.8 工程文档 - 113 -10 验收方案 - 115 -10.1 验收的方法与步骤 - 115 -10.2 验收测试标准 - 115 -10.3 验收测试流程 - 115 -10.4 整体系统验收 - 116 -10.5 检测方法与目的 - 118 -10.5.1 设备到货验收 .- 118 -10.5.2 初验收 .- 122 -10.5.3 系统终验 .- 123 -11 培训方案 - 126 -11.1 培训目的 - 126 -11.1.1 的培训优势 .- 126 -11.2 华为 3COM 培训机构简介 .- 129 -11.2.1 培训理念 .- 12

11、9 -11.2.2 总体介绍 .- 129 -11.2.3 培训师资 .- 130 -11.2.4 课程设计 .- 130 -11.2.5 中高端路由器产品培训项目 .- 133 -11.3 本项目培训计划 - 134 -11.3.1 现场培训 .- 134 -11.3.2 国内技术培训 .- 134 -12 质保和售后服务 - 140 -12.1 公司技术服务的优势 - 140 -12.2 公司的服务承诺 - 140 -12.3 华为 3COM 的服务承诺 .- 141 -12.3.1 技术服务 .- 141 -12.3.2 技术支持 .- 142 -12.3.3 备件以及设备维保 .- 1

12、43 -12.4 趋势科技的售后服务 - 143 -12.4.1 技术支持部分 .- 143 -12.4.2 自动升级服务 .- 143 -12.4.3 新版本更新权利 .- 144 -12.5 服务体系简介 - 144 -12.5.1 服务架构 .- 144 -v12.5.2 服务范围及程度 .- 146 - 1 -1 项目概况1.1 项目背景目前,XXX 办公大楼改造已进入工程实施阶段,即将建成。届时 1#、2#和 3#楼将通过光纤链路和综合布线系统进行组网,实现的办公内部网络。为充分发挥 XXX 办公大楼的作用,有必要在楼内进行办公网络联网建设,实现真正意义上的内部网络连接,同时建设于内

13、网完全物理隔离的办公外网,提高办公自动化程度,进一步加速和推进的信息化建设。通过与工程技术人员进行详细的技术交流并到办公大楼现场考察,在充分理解用户方需求的基础上,提出本设计方案。1.2 建设目标在 XXX 办公大楼综合布线系统的基础上,建立起联系 3 座办公楼内的所有单位内部办公网络和外部办公网络,集信息收集、传递、发布等多功能为一体,可用图、文、声、像等多媒体方式进行信息交互的专用办公内网。可以实现部属机关内部的互联互通、数据传输,使信息交互的实效性更加增强,提高可靠性和信息化办公程度,从而降低总体办公费用。1.3 工程范围本次网络工程范围是 1#、2#、3#三栋办公楼,总建筑面积约为 6

14、500 平米。每栋大楼均有两个独立的弱电竖井,本次改造要求内网、外网之间物理隔离,内网、外网由弱电竖井分别置各层。本大楼的功能定位对数据通信有较高的要求,因此垂直主干设 12 芯多模光缆,水平布线全面采用 6 类线缆。重点部分区域建议光纤到桌面。内网、外网网络机房均设在 3#楼 4 层。1.4 网络信息点位分布与数量表1#2#3#楼网络信息点位分布与数量表网络信息点数量楼号楼层光网点 内网点 外网点1# 109 754 8548F 13 84 87- 2 -1#2#3#楼网络信息点位分布与数量表楼号楼层 网络信息点数量光网点 内网点 外网点7F 18 83 866F 16 128 1315F

15、17 124 1274F 10 98 1433F 18 90 1082F 9 72 921F 8 64 68地下 1F 0 4 4地下 2F 0 7 82# 73 1975 201312F 4 37 3911F 10 185 18810F 10 207 2109F 6 173 1768F 10 207 2107F 6 173 1766F 6 173 1765F 6 173 1764F 6 183 1863F 6 183 1862F 1 129 1321F 2 96 98地下 1F 0 9 11地下 2F 0 47 491# 65 483 5258F 3 51 557F 15 86 886F 5

16、 122 1275F 5 13 204F 17 52 553F 6 18 262F 7 96 1011F 7 14 22地下 1F 0 5 5地下 2F 0 26 26合计 247 3212 3392- 3 -2 总体设计1 总体设计1.1 设计依据 信息化网络集成项目比选文件 ; 国内国际信息化建设相关标准和规范; 政府、企业网络建设方面的丰富的经验。1.2 设计原则我们在进行总体设计和设备选型时遵循以下设计原则:(1) 可靠性高可靠性是大楼智能化的重要标准。采用先进的设计思想,提供连续的网络工作环境,系统应具有较强的自动纠错能力,合理的网络链路策略,确保系统 7X24 小时正常服务。(2)

17、 扩展性随着业务发展,需求也会不断增长,因而对大楼网络系统要求有很高的扩展性。设计时应支持多种的系统标准,达到在各个系统上提供一些预留接口,使得在用户需要时,系统可以跨越现有的平台,增加新的功能,实现平滑的扩展。采用的技术和设备遵循相关国际、国内标准,能支持各种相应的接口和标准协议,具有兼容性、灵活性和可移植性。(3) 先进性和成熟性在对系统进行设计时,要符合当今技术发展方向,系统硬、软件的选择和系统的设计,采用符合当前技术和管理发展方向的先进性技术和思想。同时,确保设备和技术都是有成功应用先例的。使用被证明了是成熟的设备和技术,减少实施风险。(4) 安全性XXX 办公大楼是国家政策、文件、信

18、息的核心地。承担着极其重要的工作。系统安全性主要体现在防止来自外部对网络的攻击、侵扰、病毒。保证文件信息的不篡改不丢失。中选单位必须有中国信息安全评测认证中心的信息安全服务资质标准的信息安全服务资质认证。(5) 可维护性为确保投资的有效性和大楼的实用性,应针对功能特点选用设备和技术,并尽量简化系统配置步骤,使其容易得到维护和维修。2 网络系统本规划将从当前及未来一个时期内应用的实际出发,对信息管理系统的基础设施网络系统进行规划设计,从而达到一个先进、高效、可靠、实用和便于维护、扩展性能较强的网络,为信息化提供稳定和功能强大的网络平台。2.1 网络协议的选择本网络系统以 TCP/IP 为主要协议

19、。因为 TCP/IP 协议簇是目前众多计算机网络最流行的协议,以它为基础组建的 Internet 网是目前国际上规模最大的计算机网间网,采用 TCP/IP 为网络主要协议,可保证系统各部分网络保持一致。2.2 网络技术选择网络技术发展很快,新技术层出不穷,有的具有旺盛的生命力,如以太网技术;有的很快就被淘汰,如 Token Ring、FDDI 等。因此,就给用户投资带来一定的风险,如何把握网络发展的方向,选择合适的技术和产品非常重要。- 4 -在本项目中,我们采用千兆以太网作为骨干网技术,同时,我们将采用一些其它的先进且成熟的网络技术,如 VLAN、三层交换、虚拟路由器冗余协议(VRRP,RF

20、C2338) 、入侵检测(IDS ) 、服务质量(QoS) 、组播(MultiCast)等,使整个网络具有优异的性能、良好的安全可靠性及未来的可扩展性。下面重点介绍几种先进实用的网络技术。2.2.1VLAN(Virtual LANs)随着网络技术日新月异,L3,L4 交换已经非常成熟。Internet 中也越来越广泛地应用了交换技术,全交换网络已经非常普遍。在这些网络中,VLAN 的使用是必不可少的。 VLAN 是一个根据作用、计划组、应用等进行逻辑划分的交换式网络。与用户的物理位置没有关系。举个例子来说,几个终端可能被组成一个部分,可能包括工程师或财务人员。当终端的实际物理位置比较相近,可以

21、组成一个局域网(LAN) 。如果他们在不同的建筑物中,就可以通过 VLAN 将他们聚合在一起。同一个 VLAN 中的端口可以接受 VLAN 中的广播包。但别的 VLAN 中的端口却接受不到。VLAN 提供以下一些特性 简化了终端的删除、增加、改动 当一个终端从物理上移动到一个新的位置,它的特征可以从网络管理工作站通过 SNMP 或用户界面菜单中重新定义。而对于仅在同一个 VLAN 中移动的终端来说,它会保持以前定义的特征。在不同VLAN 中移动的终端来说,终端可以获得新的 VLAN 定义。 控制通讯活动 VLAN 可以由相同或不同的交换机端口组成。广播信息被限制在 VLAN 中。这个特征限定了

22、只在VLAN 中的端口才有广播、多播通讯。管理域(management domain)是一个仅有单一管理者的多个VLAN 的集合。 工作组和网络安全将网络划分不同的域可以增加安全性。VLAN 可以限制广播域的用户数。控制 VLAN 的大小和组成可以控制广播域的相应特性。在 VLAN 中应用最广的就是 GVRP 和 STP 技术。它们是 VLAN 中优点的集中体现。2.2.2三层交换技术现在,网络业界对“三层交换”这个词已经不感到陌生了,在中大型规模网络建设中,以千兆三层交换机为核心的主流网络模型已不胜枚举。其实,三层交换从其出现到今天的普及应用也不过几年的时间,计算机网络加速度式的迅猛发展势头

23、,实在快得令人吃惊。“三层交换”概念的出现,与 VLAN 有着密不可分的联系。事实上,一个虚拟网就是逻辑上的子网。为了避免在大型交换机上进行广播所引起的广播风暴,可将其进一步划分为多个虚拟网。在一个虚拟网内,由一个工作站发出的信息,只能发送到具有相同虚拟网号的其他站点,而其他虚拟网的成员收不到这些信息或广播帧。由于网络变得越来越复杂,性能要求也越来越高,这就要求网管员能够成功地部署 VLAN,从而使网络更加灵活而且易于管理。以往,网管员将 3/4 的时间花费在维护网络的基础结构,确保通信流量的优化,并处理移动和变更等工作。通常情况下,当一名用户转移到网络中另一个物理位置时,需要重新配置网络,甚

24、至还有用户的工作站需要进行大量的管理工作。针对于此,VLAN 的部署就是将通过减少管理网络中移动与变更所需的资源,从而实现为用户节约大量宝贵的资源。VLAN 技术还可以在以下关键领域内为用户提供价值: 比路由器更具有成本效益的广播控制,有效抑制广播风暴。 支持多媒体应用与高效组播控制,提高网络带宽的有效利用率。 提高网络的安全性,各种显式或隐式的 VLAN 划分方法提供基于策略的安全访问机制。 网络监督与管理的自动化,更多的有效的网络监控。 减少路由需要,基于 ASIC 技术,大幅度提高设备的数据包转发能力。VLAN 之间如何通信?简单回答就是“通过路由” 。因此,这种技术也引发出一些新的问题

25、:虚拟网- 5 -之间通信是不允许的,这也包括地址解析(ARP)封包。要想通信,就需要用路由器桥接这些虚拟网,这就是虚拟网的问题:用交换机速度快但不能解决广播风暴问题,在交换机中采用虚拟网技术可以解决广播风暴问题,但又必须放置路由器来实现虚拟网之间的互通。在这种网络系统集成模式中,路由器是核心。过去的网络在一般情况下按“80/20 分配”规则,即只有 20%的流量是通过骨干路由器与中央服务器或企业网的其他部分进行通信,而 80%的网络流量主要仍集中在不同的部门子网内。 而今天,这个比例已经提高到了 50%(“平分秋色 ”)甚至 80%(倒二八, 20/80) ,这是因为今天的网络正在经历着诸多

26、应用的集合影响。网络应用已经超越了组件和电子邮件,新型应用已经如此迅速和深刻地冲击着网络,比如,任何人通过任何一个浏览器便可进行访问设定的 Web 网页,支持诸如销售、服务和财务之类商业功能的数据仓库。这种变化对传统路由器产生了直接的冲击。因为传统的路由器更注重对多种介质类型和多种传输速度的支持,而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。路由器的高费用、低性能,使其成为网络的瓶颈。但由于网络间互连的需求,它又是不可缺少的并处于网络的核心位置,虽然也开发了高速路由器,但是由于其成本太高,仅用于 Internet主干部分。在这种情况下,提出了三层交换技术。三层交换机是采用 Intra

27、net 应用的关键,它将二层交换机和三层路由器两者的优势有机而智能化地结合成一个灵活的解决方案,可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性,不仅使二层与三层相互关联起来,而且还提供流量优先化处理、安全访问机制以及多种其它的灵活功能。三层交换机分为 LAN 接口层、二层交换矩阵层和三层交换矩阵(路由控制)层三部分。三层交换机的应用其实很简单,主要用途是代替传统路由器作为网络的核心。因此,凡是没有广域网连接需求,同时需要路由器的地方,都可以用三层交换机代替。 在企业网中,一般会将三层交换机用在网络的核心层,用三层交换机上的千兆端口或百兆端口连接不同的子网或 VLAN。因为其网络

28、结构相对简单,节点数相对较少。另外,其不需要较多的控制功能,并且要求成本较低。简单地说,三层交换技术就是:二层交换技术三层转发技术。它解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。2.2.3VRRP当路由器功能出现故障时,VRRP(虚拟路由器冗余协议, RFC2338)通过同一个局域网中的另一台路由器来保障网络的正常运行。通过设置虚拟路由器为缺省路由器,终端用户在路由器发生故障时可以继续通信,而不必考虑转换到另一台路由器上。利用同一个以太网中的两台路由器设置一台虚拟路由器。在实际运行中,两台路由器中的任一台成为主路由器,该主

29、路由器模拟虚拟路由器。备份路由器监控主由器状态。一旦主路由器出现故障影响网络运行,备份路由器立即进入主路由器状态以模拟虚拟路由器。IP 地址被分配给虚拟路由器。 指定虚拟路由器 IP 地址为缺省路由器的服务器将不会觉察主路由器的切换而继续进行正常通信。关于 VRRP 的详细设计和部署情况请参见后续章节。2.2.4其它网络技术在本网络中,除了采用三层交换和 VRRP 技术,根据应用情况,还可采用组播( Multicast) 、QoS 和负载均衡等先进网络技术。 全面支持 MultiCast:选择设备全部支持 MultiCast,主干设备支持 DVMRP、PIM、IGMP、GARP组管理协议和多点

30、发送、多点广播协议,充分适应网络特殊网络传输要求。 一定的 QoS 保证:核心设备支持 RSVP 、CAR(Committed Access Rate)以及可配置门限的多种队列采用 WAED、WRR、业务类型/业务级别(ToS/CoS) 映射机制,在满足基本要求前提下保持高性价- 6 -比,也为多媒体应用提供了坚实地网络基础。 负载均衡实现:在核心设备上通过设置不同的 VLAN 的优先级,可将所有的 VLAN 流量分担在各楼的两台汇聚设备上,通过两台汇聚设备的 VRRP 功能,实现网络层的负载均衡。也可根据未来网络扩展的需求,增加相关的专用负载均衡设备实现 3-7 层的负载均衡功能。2.3 网

31、络设计概要XXX 办公大楼内、外网网络系统项目的总体设计目标以高可靠性、高安全性、高性能、极好的可扩展性和有效的可管理性为原则,同时兼顾考虑到技术的成熟性、先进性和可扩充性,网络系统设计采用层次化、结构化的设计方法。根据对本系统网络需求的初步分析,确定办公内、外网网络采用多千兆链路捆绑,百兆到桌面的方案,本方案具有较好的性能价格比,整个网络采用分层设计技术,骨干为网络中心与 1#、2#和 3#楼之间的多千兆光纤线路,接入网为各终端节点的 10/100M 以太网接入线路。核心设备使用高端路由交换机,接入设备选用具备三层交换功能的接入交换机。各楼内采用虚拟网 VLAN 技术实现功能群的划分,VLA

32、N 可在汇聚设备上创建。利用统一的标准调整网络规划,避免可能的不兼容性,保证整个网络的统一架构。根据我们对网络系统需求的初步分析并结合本系统的特点,我公司提出一套基于华为 3COM 网络设备的解决方案,本方案具有较好的性能价格比,内网和外网全部采用分层设计,利用统一的标准调整网络扩容规划,避免可能的不兼容性,保证整个内、外网络的统一架构。2.4 网络的分层设计XXX 办公大楼内、外网网络系统设计为两级网络,三级设备节点:以网络中心(中心节点)为中心,边界至 1#、2#和 3#楼(汇聚节点)的骨干网;以 1#、2#和 3#楼(汇聚节点)为中心,边界至同各配线间(接入节点)的接入网;本系统的办公内

33、、外网拓扑为冗余树型结构,无汇聚与汇聚和接入与接入节点之间有物理直联的需求。因此所有汇聚节点之间的通信全部经过网络中心的核心路由交换机实现数据交换,比较容易对各楼之间的流量和访问控制进行有效控制。层次化设计的优点为:可扩展性:因为网络可模块化增长而不会遇到问题;简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其它层次造成影响,无需改变整个环境;可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。2.4.1核心层核心层为汇聚和接入层提供优化的数据

34、输运功能,它是一个高速的路由交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL,过滤等) ,否则会降低数据包的交换速度。内外网核心层设备各包括两台核心交换机。2.4.2汇聚层汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。汇聚层主要提供地址的聚集、部门和工作组的接入、广播域/多目传输域的定义、InterVLAN 路由、任何介质的转换和安全控制等功能。在内、外网中,1#、2#和 3#办公楼各有 2 个汇聚层交换机,通过 OSPF 和 VRRP 实现设备和链路的冗余备份。2.4.3接入层 接入层直接为各接入用户提供的

35、网络访问接入。本系统的接入设备选用支持 802.1x 功能的接入交换- 7 -机。2.4.4选用华为 3COM 的网络设备本项目中涉及的网络设备种类不多,但各设备类别具体需求各不相同,因此在选择设备厂商时,应考虑选择技术先进,产品线丰富,售后服务周到,且具有良好信誉的网络设备厂家。网络设备的选择原则如下:1必须支持本系统目前以及未来涉及到的网络技术,如 Trunking、VLAN/PVLAN、Routing Switch、ACL、QoS 、Multicast 及多种路由协议等;2必须支持多协议下的局域网络互连;3必须支持国际/国内网络技术标准,与不同厂商的网络安全产品有较好的互连性;4必须支持

36、 SNMP 网络管理协议;5所选产品必须具有良好的发展前景,能适应未来网络技术的发展;支持向未来网络新技术的平滑过渡。6所选网络设备必须能够在不影响性能的情况下实现平滑升级。7所选网络设备必须要能够在网络中心利用网管软件进行统一网管。在当今网络设备的市场上,比较著名的厂商有华为 3COM、Cisco、NORTEL Networks 等。其中,华为 3COM 公司在政府、企业网络、住宅宽带产品、基于 Internet 协议的电话、以太网连接、网络服务供应商的远程接入与无线解决方案等领域都可提供高性价比的解决方案。因此我们在本项目网络设计中选用华为 3COM 公司的网络设备。 核心设备:华为 3C

37、OM Quidway S8512S8512 具有 720Gbps 的交换容量,背板为 1.8Tbps(可扩展至 3.6T) ,多层硬件转发能力为428Mpps,完全满足本网络对核心路由交换的需求。另外,S8512 未来还可顺利增加防火墙模板和 IDS 模板,以保证核心交换机的安全功能平滑升级,从而在网络核心层为提高内、外网络的安全性提供更丰富的解决方案。 汇聚设备:华为 3COM Quidway S6506S6506 具有 384Gbps 的交换容量,背板为 1.6Tbps,完全满足本网络对汇聚路由交换的需求。 接入设备:华为 3COM Quidway LS-3952-P/LS-3928-PL

38、S-3952-P 和 LS-3928-P 具有 32Gbps 的交换背板,多层硬件转发能力分别为 13.2 和 9.6Mpps,完全满足本网络对接入交换机的需求。上述华为 3COM 的交换机都是具有较高性价比的产品,并且具有较大的扩展性。2.4.5网络规划由于内外网的重要性,本次项目必须能够为用户提供不间断的网络服务,因此建议全网络采用全冗余结构(设备冗余、线路冗余)互连。2.1.1.1 网网 络络 设设 备备 统统 计计内网设备统计见下表:内网楼号 楼层 数据点 接入交换机(48 口) 接入交换机 (24 口) 汇聚交换机 核心交换机8F 84 2 7F 83 2 6F 128 3 5F 1

39、24 3 4F 98 2 11 号楼3F 90 2 2 - 8 -内网楼号 楼层 数据点 接入交换机(48 口) 接入交换机 (24 口) 汇聚交换机 核心交换机2F 72 1 11F 64B1F 4B2F 72 1 号楼小计 754 17 2 2 012F 37 1 11F 185 4 10F 207 4 19F 173 4 8F 207 4 17F 173 4 6F 173 4 5F 173 4 4F 183 4 3F 183 4 2F 129 3 1F 96B1F 92 号楼B2F 473 12 2 号楼小计 1975 43 3 2 08F 51 1 17F 86 2 6F 122 3

40、5F 13 14F 52 1 13F 18 12F 96 2 1F 14B1F 53 号楼B2F 261 2 23 号楼小计 483 10 4 2 2合计 3212 70 9 6 2由于每接入交换机具备 48 或 24 个端口,因此接入层交换机数量可根据内网的每层设备间管理的信息点数计算得出,内网需配置 70 台 48 口和 9 台 24 口交换机。其中多余的端口作为备用端口。内网在 1#、2#和 3#楼各需配置 2 台单引擎的汇聚交换机。内网的 2 台核心交换机位于 3#楼的 4层,为了保证核心设备的高效稳定运行,减少核心设备宕机对网络产生重要影响,需配置冗余引擎。外网设备统计见下表:外网楼

41、号 楼层 光网 数据点接入交换机(48 口)接入交换机(24 口)汇聚交换机核心交换机1 号楼 8F 13 87 2 2 - 9 -外网楼号 楼层 光网 数据点接入交换机(48 口)接入交换机(24 口)汇聚交换机核心交换机7F 18 86 2 6F 16 131 3 5F 17 127 3 4F 10 143 3 3F 18 108 2 12F 9 92 2 1F 8 68B1F 4B2F 82 1 号楼小计 109 854 19 1 2 012F 4 39 1 11F 10 188 4 10F 10 210 4 19F 6 176 4 8F 10 210 4 17F 6 176 4 6F

42、6 176 4 5F 6 176 4 4F 6 186 4 3F 6 186 4 2F 1 132 3 1F 2 98B1F 112 号楼B2F 493 12 2 号楼小计 73 2013 43 3 2 08F 3 55 1 17F 15 88 2 6F 5 127 3 5F 5 20 14F 17 55 1 13F 6 26 1 2F 7 101 2 11F 7 22B1F 53 号楼B2F 261 12 23 号楼小计 65 525 11 5 2 2合计 247 3392 73 9 6 2由于每接入交换机具备 48 或 24 个端口,因此接入层交换机数量可根据外网的每层设备间管理的信息点数

43、计算得出,外网需配置 73 台 48 口和 9 台 24 口交换机。其中多余的端口作为备用端口。外网在 1#、2#和 3#楼各需配置 2 台单引擎的汇聚交换机。外网的 2 台核心交换机位于 3#楼的 4层,为了保证核心设备的高效稳定运行,减少核心设备宕机对网络产生重要影响,需配置冗余引擎。- 10 -另外,本系统外网在 1#、2#和 3#还有共 247 个光纤到桌面的信息点。鉴于光纤到桌面的特殊性和光网络流量集中管理,建议这些光网端口不配置接入层交换设备,而是直接联到汇聚层的千兆光端口交换模板上,由汇聚层交换机直接负责这些光纤到桌面的信息节点的接入和访问控制管理。2.1.1.2 核核 心心 层

44、层 交交 换换 Quidway S8512Quidway S8500 系列核心交换机是由华为 3Com 公司自主开发的新一代高性能核心路由交换机产品,可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商 IP 城域网核心层、汇聚层。Quidway S8500 系列基于新一代核心交换机的设计理念,具备大容量高性能、可扩展能力强和业务与性能兼具的特点。Quidway S8500 系列支持新一代高性能接口,能够为城域网、园区网、数据中心提供超高速链路,构建端到端以太网络,打造低成本、高性能、具有丰富业务支持能力的高性能网络。Quidway S8500 提供大容量、高

45、密度、模块化的二、三层线速转发性能,内置强劲的全分布式业务处理引擎,以全线速处理二层、三层、MPLS VPN、组播等各种业务流量,提供完善的 QoS 保障、安全管理机制和电信级的高可靠设计,满足大型 IP 网络对多业务、高可靠、大容量、模块化的需求。1)先进的体系结构Quidway S8500 系列产品采用全分布式体系结构设计,采用功能强大的 ASIC 芯片进行高速路由查找,并通过 Crossbar 技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩充能力。Crossbar 交换网芯片内置于主控板,不单独占用设备槽位,可提供高达 720Gbps 的交换容量,并可平滑升级到 1.44T

46、bps 的交换容量。接口板通过多条高速总线分别连到两块主控板上的 Crossbar 交换网,从而实现真正的双主控、双交换网的热备份,极大的提高了系统的可靠性。Quidway S8500 系列产品采用高性能的最长匹配、逐包转发的方式,在保持线速性能和低成本的基础上,革命性的解决了传统交换机流 Cache 精确匹配转发的致命缺陷,能够有效的抗击网络“红色代码” 、 “冲击波”等病毒的攻击,更加适合大规模、多业务,复杂流量访问的网络。2)大容量、高密度线速交换Quidway S8500 系列产品目前最高可以提供 720Gbps 交换容量/428Mpps 包转发能力,并可平滑升级到 1.44Tbps

47、交换容量、857Mpps 转发能力。支持各种高密度业务板和组合业务板,整机可支持高达 576 个千兆端口的同时线速转发,满足核心层设备大容量、高密度的要求。3)强大的业务支撑能力Quidway S8500 支持 MPLS VPN 业务;支持丰富的组播协议(IGMP 、IGMP SNOOPING, PIM-SM、PIM-DM 和 MSDP/MBGP 等) ;支持 WebSwitch(硬件支持) 、NAT(硬件支持) ,内置防火墙(硬件支持) 、IDS ;支持 POS/ATM、RPR 等接口。4) MPLS/IPv6 分布式线速支持Quidway S8500 系列产品遵循业务与性能并重的设计理念。

48、一方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升,另一方面业务的发展要求核心交换机更加智能化并具备更强的业务提供能力。Quidway S8500 系列产品采用功能强大的 ASIC芯片实现 MPLS、IPv6 的分布式线速转发,并能够基于高性能 NP 实现线速NAT、 WebSwitch 等增值业务,在为用户提供全面的有保障业务的同时,也做到根据需求业务可裁减。- 11 -5)完善的 QoS 机制Quidway S8500 系列产品提供了灵活的队列调度算法,可以同时基于端口和队列进行设置,支持 SP、WRR、SP+WRR 三种模式;支持 8 个优先级队列,3 个丢弃优先级;支持 W

49、RED 拥塞避免算法和端口流量整形。支持带宽控制功能,流量限速的粒度为1Kbit/s,满足精品宽带网络的要求。6)电信级可靠性设计:Quidway S8500 系列产品系统采用分布式结构,支持双主控交换板,无源背板设计,所有单板支持热插拔;电源系统交流/直流可选,采用 1+1 冗余热备份,并支持双路电源输入;支持 STP/RSTP/MSTP 协议和 VRRP 协议,能够满足苛刻的电信级网络可靠性要求,系统可靠性达到:99.999。7)完善的安全机制:Quidway S8500 系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备安全,支持 OSPF 、RIP v2 及 BGP v4 报文的明文及 MD5 密文认证;支持 URPF(单播反向路径检查) ;采用 802.1x 方式对接入用户进行认证,支持安全的 SNMPv3 的网管协议、支持配置安全,对登录用户进行认证,不同级别的用户有不同的配置权限,并提供两种用户认证方式:本地认证和 RADIUS 认证。Quidway S8500 系列产品通过灵活的 MAC、IP、VLAN、PORT 任意组合绑定,有效的防止非法用户访问网络。支持多种 ACL 访问控制策略,能够对用户访问网络资源的权限进

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 规范标准 > 系统集成

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报