网络规划设计方案石盛旭文档格式.docx
- 文档编号:16668373
- 上传时间:2022-11-25
- 格式:DOCX
- 页数:21
- 大小:108.04KB
网络规划设计方案石盛旭文档格式.docx
《网络规划设计方案石盛旭文档格式.docx》由会员分享,可在线阅读,更多相关《网络规划设计方案石盛旭文档格式.docx(21页珍藏版)》请在冰豆网上搜索。
1.先进性:
采用主流网络体系、运行系统和设备产品6
2.安全可靠性:
采用先进可靠的容错技术6
3.实用性:
性能指标能满足各项业务处理能力6
4.可扩展性:
随业务不断发展而扩展7
5.开放性7
(三>
技术规划7
1.网络体系结构:
采用星形拓扑结构,确定了CLIENT/SERVER型结构7
2.网络层次划分8
3.网络IP子网划分:
采用顺序分配,预留地址,向中间扩展相结合8
4.网络流量规划9
5.以太网交换技术10
三、硬件系统结构选择原则11
一)网络会聚层12
1.强大的组播支持能力12
2.QOS服务质量保障12
3.最后是网络核心层,主干可以升级至万兆12
(二>
软件系统结构操作系统13
1.服务器管理软件13
2.网络服务管理13
安全策略14
1.病毒防治14
2.建立防火墙14
3.网络的保密措施14
4.数据安全性和完整性措施15
三、企业局域网方案16
一)企业局域网方案的特点16
1.合理的系统结构16
2.可靠的安全防护16
3.充分的扩充余地16
4.稳定的系统性能16
设备与软件环境16
1.网络布线系统设计方案17
2.设计依据17
3.设计要求17
4.布线系统设计方案描述18
四、工程实施进度安排20
五、工程测试与验收21
六、总体评价方案可行性程度及性价比23
参考文献24
一、企业内部资料、组织架构
本企业是生产通讯设备<
CISCO)的科技技术型企业。
企业由4个生产中心组成。
每个生产中心由办公楼和生产、装配中心大楼组成。
按管理方的要求,一般一个生产中心局域网信息点共有222个。
其中办公楼60个,分别分布在3个楼层、生产、装配中心136个分布于5层楼层,平房的26个信息点用于一层的阶梯教室和企业辅助管理部门。
各楼之间以光缆连接,构成企业局域网。
企业局域网的中心机房设在办公楼的三层西侧。
生产、装配中心的配线间设在三楼东侧的北面。
根据企业安排,信息点的具体分布是:
办公楼
生产、装配中心
平房
合计
一层
二层
三层
四层
22
20
18
30
28
26
204
60
118
为适应企业将来对各种网络应用的需求,另外随着技术和工艺的进步,考虑到目前各类布线材料在价格方面比较接近,因此拟对所有信息点都按超五类UTP标准布线,每个信息点可实现不低于100Mb的带宽,这样不仅可支持一般的企业信息管理应用对网络传输带宽的要求,而且完全支持MPEG-2等格式的多媒体信息传输。
此布线方案只考虑数据信息点布线,不涉及语音信息点及其设备。
一)简化作业管理流程,相对达到无纸办公
本企业是生产通讯设备的科技技术型企业,生产全部使用ERP系统。
输入由电脑和鼠标完成。
输出则基本由联网打印机完成。
基本达到了无纸办公。
二)支持决策,能在短时间内获得信息
高速的内部网各个信息点,及时的传递业务信息,供应信息,生产信息,管理信息,供管理层及时决策。
三)外出人员与公司沟通
WWW应用是Intranet的标志性应用,最核心的应用服务集中在WWW服务器上完成。
因而对于WWW服务器的设计首要考虑的就是服务器性能问题,另外考虑到将来在Intranet平台上做应用开发的可能,对于WWW服务器同数据库互联的问题也应作为重点考虑。
四)接入INTERNET功能
对广域网的连接需求主要表现在:
能够与国际互联网连接,与国际交流信息;
能够与CERNET国内各个单位交流信息。
C11inaNet连接、与国内各个单位交流信息。
满足出差在外的校领导及其它公务人员及时与学校保持联络。
为此应通过DDN、无线网等公用或者专用数据网络与CERNET连接,再连到Internet。
对办公楼的网络布线按照国际有关计算机网络通信的标准进行设计。
申请正式IP和域名,配置路由器,安装Server<
资源共享,Web),完成与Internet的连接,整体网络既可在内部使用,又可与外网互联访问Internet,实现与外界的数据交换。
二、局域网规划与设计
按功能需求要求
根据企业对信息点的安排和网络应用的需求制定合理的企业网总体建设规划和实施方案。
对企业办公楼、生产、装配中心和平房辅助管理部门等几座主要建筑物实施局域网结构化布线。
完成从办公楼的网络中心分别到生产、装配中心和阶梯教室所在平房的2条六芯室外主干网光缆的敷设。
实现企业核心交换机与二级交换机的连接、安装、配置和调试。
实施对新购服务器和部分微机网络工作站的连接和入网调试。
二)设计原则
采用主流网络体系、运行系统和设备产品
我们设计的网络方案采用三层分布式结构。
核心层选用包括了锐捷网络高性能的万兆以太网交换机,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。
汇聚层由锐捷网络STAR-S4909/S3550-12G全千兆路由交换机组成,负责接入层汇聚,提供高速无阻塞的链路到核心层,抑制广播风暴和分流核心数据处理压力等,可实施分布式三层,大大提升网络性能。
接入层选用提供上联千兆,10/100M桌面接入,并在全部采用认证和流控等手段进行接入控制,充分满足用户的高速接入等,并可灵活扩展,增加端口密度。
选用STAR-S2100。
采用WINDOWSSERVER2000操作系统
采用先进可靠的容错技术
可靠性:
对工作站、服务器、交换机及其他主要相关设备在厂家、品牌、服务等方面进行充分调研、论证、选择,确保硬件设备的基本品质。
采用WINDOWS2000作为网络操作系统,并以“数据库”的方式建立各种生产、装配中心和管理应用系统,保证网络系统和应用系统的安全稳定。
容错技术采用:
双工磁盘技术
在网络系统上建立起两套同样的且同步工作的文件服务器,如果其中一个出现故障,另一个将立即自动投入系统,接替发生故障的文件服务器的全部工作。
性能指标能满足各项业务处理能力
企业组网的方案在接入交换机将用户账号、MAC地址与端口的捆绑实现高效的用户控制;
采用网络管理系统TCLView,使网络易维护、易管理,可实施性好。
随业务不断发展而扩展
可扩展性:
网络核心层、汇聚层采用模块化交换机,按照需求灵活配置各种模块,做到既满足需求,由留有余地。
整个网络架构采用三层结构,使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展,具有能不断吸收新技术、新方法的功能。
5.开放性
本次设计的中央集成管理系统将是一个完全开放性的系统,通过编制系统的接口软件将解决不同系统和产品间接口协议的“标准化”,以使他们之间具备“互操作性”。
所有接口均基于标准的TCP/IP数据接口协议和内容。
系统的开放性设计完全遵循国际主流标准以及工业标准。
技术规划
采用星形拓扑结构,确定了CLIENT/SERVER型结构
企业网络总体拓扑图
办公楼网络拓扑
2.网络层次划分
核心层:
核心层配置设备承担的任务主要是通过核心层设备与汇聚层间信息的交流、分发与管理,因此核心层设备是整个网络的中心枢纽,应具有强大的交换能力,保证不会发生信息拥塞;
强大的安全防护能力,保证不会因单点故障而影响整个系统的正常运行;
有效的故障恢复能力,保证任何一种单点故障都能在短时间内迅速予以恢复。
汇聚层:
汇聚层设备承担的任务,一是构造本地网络核心,二是通过核心设备实现与其他部分大量信息交换。
汇聚层设备具备较高的吞吐能力和上连带宽,同时还具备强有力的用户访问控制能力<
即三、四层交换能力、虚网功能)。
接入层:
接入层的功能在于将各种媒体、各种速度、任何地方的最终用户接入IP网络。
这一层主要实现各单位终端节点设备的接入,并上连到网络汇聚层。
这一层网络建设可以根据各节点的具体情况分期分批建设。
采用顺序分配,预留地址,向中间扩展相结合
根据企业安排,信息点的具体分布是:
把一个大网缩小为若干小网,叫子网<
作动词),而要把一个或几个小网扩大为一个大网,叫超网,后者一般应用于电信等其它领域,我们不作讨论。
划分IP子网,有利于我们搞好系统维护,合理配置系统资源,减少资源浪费,企业信息点以楼层划分。
根据192.168.0.0的保留地址划分企业内部局域网,属于C类地址,子网掩码255.255.255.0。
根据结构分析,生产、装配中心一层,数量最大,30台,为每个楼层划分单独的网段。
子网掩码255.255.255.224
确定掩码规则以后,就要确认每一个子网的具体地址段。
当前的IP地址192.168.1.0的最后一位是0,二进制表示为00000000;
而我们已经算出的掩码255.255.255.224的最后一位是224,二进制表示为11100000
办公楼一层192.168.1.32
办公楼二层192.168.1.64
办公楼三层192.168.1.96
生产、装配中心一层192.168.1.128
生产、装配中心二层192.168.1.160
生产、装配中心三层192.168.1.192
生产、装配中心四层192.168.1.224
4.网络流量规划
一个设计成功的企业网,其网络流量合理,系统各部分负载均衡。
那么什么是网络流量呢?
网络流量简而言之就是网络上传输的数据量。
就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式一样,根据网络流量设计企业网络是十分必要的。
“80/20”规则:
在传统网络中,一般将使用相同应用程序的用户放到同一工作组中,他们经常使用的服务器也放在一起。
工作组位于同一物理网段或VLAN<
虚拟局域网)中。
这样做的目的是将网络上客户机与服务器之间产生的数据流量限制在同一网段中。
在同一网段,可以使用带宽相对高的交换机连接客户机和服务器,而不必使用带宽相对较低的路由器。
将大部分网络流量控制在本地的这种网络设计模式,被称为“80/20规则”,即80%的网络流量是本地流量<
采用交换机交换数据),在同一网段中传输;
只有20%的网络流量才需要通过网络主干<
路由器或三层交换机)。
“20/80”规则:
随着网络应用的逐渐丰富,“80/20”规则已经不能完全满足网络设计的需要。
而一种被称为“集中存储、分布计算”的模式逐渐得到推广。
集中存储,就是数据集中在网络中心存储,如已经得到普遍使用的Web服务、电子邮件系统和逐渐流行的VOD<
视频点播)、多媒体资源库等;
分布计算,就是数据被下载到各个工作站上处理,如使用网络上的多媒体资源库制作多媒体课件等。
在“集中存储、分布计算”的网络应用模式下,对网络流量的要求已经大大偏离了“80/20”规则,一种新的规则应运而生,这就是“20/80”规则。
在符合“20/80”规则的网络中,只有大约20%的网络流量局限在本地工作组,而大约80%网络流量经过网络主干传输。
这种网络流量模式的转变,给企业网主干交换机带来了很大的负荷。
因此理想状态下主干交换机应该能够提供与下面连接的支干交换机相匹配的性能,即提供线速三层交换,也就是说,下面的支干交换机能够跑多快,上面的主干交换机也应该能够跑多快。
同样,如果网络中有许多按功能划分的VLAN,这些VLAN也很难管理。
在以往的“80/20”规则中,服务器往往分布在VLAN中,因此对于各工作组来说,访问起来比较快。
但是在“20/80”规则中,服务器往往集中在网络中心,因此对于各工作组,必须实现跨VLAN的访问。
没有三层交换机,VLAN之间无法通信,VLAN类似于硬盘的逻辑分区,可以简单地理解为把同一硬盘划分成不同的硬盘盘符。
但是与逻辑盘不同的是,VLAN之间通信可不像把文件从一个逻辑盘复制到另一个逻辑盘那样简单,而是必须依靠路由器才能使VLAN之间相互通信。
因此符合“20/80”规则的大中型网络必须使用三层交换机,如神州数码D-Link的DES-6706交换机。
5.以太网交换技术
以太网交换技术具有许多类型,各自宣传其具有不同的优点;
通过简单的鼠标即可增加、移动和改变往来落的结构;
比网桥和路由器更为有效地进行网络分段;
为高性能工作站或服务器提供高宽带。
网络管理者渴望采用这些技术,但是首先他们想了解各种以太网交换技术。
当前有两种以太网交换技术:
静态以太网交换和动态以太网交换。
通过划分VLAN,实现不同子网之间的无阻塞交换与路由的目的。
三、硬件系统结构选择原则
硬件系统结构中的每个层次都要求硬件选择必须具备性能要稳定的原则。
下面分别描述各个层次中硬件的选择。
首先,网络接入层的硬件选择。
STAR-S2100系列交换机具有高安全特性,有效防御病毒和网络攻击,控制用户非法接入;
STAR-S2100系列交换机可提供多种安全机制,如专家级ACL功能<
可以对MAC地址+IP地址+VLAN号+传输端口号+协议类型+时间ACL的任意组合)可以防止红色代码病毒、冲击波病毒;
端口和MAC、IP绑定可以控制Synflood攻击;
支持IGMP源端口检查,有效控制非法组播源,提高多媒体组播业务的正常运行证。
种种安全策略的实施保证了数字图书馆全网的稳定、安全运行。
基于流的带宽限制保证网络发挥的最大效能
STAR-S2100可以基于VLANID、用户ID、IP地址等多种分类方式为不同应用提供不同的接入服务策略。
STAR-S2100的用户带宽控制技术采用了类似ATM的CBR方式,利用大容量的缓存为突发数据流整形,不但可以将带宽控制精确到Kbps级别,而且有效防止了突发数据包的丢失。
STAR-S2100系列交换机均支持基于流的QoS策略,具备MAC流、IP流、应用流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用以及不同应用所需要的服务质量特性提供服务,有效地保障了用户关键业务的高速运行。
接入层采用先进的堆叠技术,弹性扩展网络
Cisco的29系列可以堆叠在一起来使用。
堆叠是通过集线器的背板连接起来的,它是一种建立在芯片级上的连接,如2个24口交换机堆叠起来的效果就像是一个48口的交换机,优点是不会产生瓶颈的问题。
堆叠(Stack>
和级联(Uplink>
是多台交换机或集线器连接在一起的两种方式。
它们的主要目的是增加端口密度。
但它们的实现方法是不同的。
简单地说,级联可通过一根双绞线在任何网络设备厂家的交换机之间,集线器之间,或交换机与集线器之间完成。
而堆叠只有在自己厂家的设备之间,且此设备必须具有堆叠功能才可实现。
级联只需单做一根双绞线(或其他媒介>
,堆叠需要专用的堆叠模块和堆叠线缆,而这些设备可能需要单独购买。
交换机的级联在理论上是没有级联个数限制的(注意:
集线器级联有个数限制,且10M和100M的要求不同>
,而堆叠各个厂家的设备会标明最大堆叠个数。
多个设备级联会产生级联瓶颈。
两个交换机通过堆叠连接在一起,堆叠线缆将能提供高于1G的背板带宽,极大地减低了瓶颈。
在网络接入层选用的是锐捷网络系列千兆智能可堆叠交换机STAR-S2100系列。
这个系列的产品都是全线速可堆叠千兆智能交换机,提供智能的流分类和完善的服务质量<
QoS)以及组播管理特性,并可以实施灵活多样的ACL访问控制。
S2100系列以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网新需求。
一)网络会聚层
1.强大的组播支持能力
组播业务作为未来最具潜力的业务之一,得到了前所未有的重视。
随着宽带技术的不断发展,FTP、HTTP、SMTP等传统数据业务已经难以满足人们对信息业务的需求,视频点播、远程教案、新闻发布、网络电视等业务将成为新一轮运营竞争的焦点。
这类新型业务的特点是,由一个服务器<
媒体流服务器)发布信息,接收端数量很大,可能成千上万个,而且具体数目不固定。
强大的组播支持:
视频组播应用是目前高校多媒体教案和数字化企业的应用重点,企业网络对组播的支持能力是企业网建设要考虑的重点。
汇聚交换机STAR-S4909提供多种组播支持技术,包括IGMPsnooping、IGMP、PIM<
SM、DM),DVMRP,保证了网络中提供组播服务时的带宽合理占用。
2.QOS服务质量保障
端到端的服务质量保证<
Qos):
从核心到汇聚到接入系列智能交换机,能够自动识别数据类型,区别业务重要性,保证关键数据得到更高的网络带宽。
提供多种流分类技术和多种QOS技术,包括SP、WRR、WFQ、WRED、CAR、HOL等,为各种应用的带宽保障提供需要的支持技术。
3.最后是网络核心层,主干可以升级至万兆
万兆以太网采用了IEEE802.3以太网媒体访问控制<
MAC)协议、IEEE802.3以太网帧格式,以及IEEE802.3帧的最大和最小尺寸。
万兆以太网是以太网在速度和距离方面的进步,采用全双工技术,不需要应用低速的、半双工的CSMA/CD协议。
在其他方面,万兆以太网保留了初期以太网模型的精髓,因而可以和现有以太网环境无缝融合,支持客户已有应用。
软件系统结构操作系统
1.服务器管理软件
中文图形化网络管理平台:
StarView网络管理软件可以提供简单、清晰的设备管理图、拓扑状态图和流量分析图,将企业网管理工作量降到最低程度;
网络拓扑查看:
StarView可自动生成图形化网络拓扑结构图,并且识别网络内各种网络设备和IP设备,一目了然查看整个企业网的网络拓扑情况;
网络设备管理:
StarView不仅可以管理锐捷系列网络设备,还可以通过公共接口提供对其他品牌网络设备和服务器的管理;
网络节点监控:
StarView可提供实时的网络各节点的网络性能监控,并通过矢量图的形式进行远程查看,当发生网络故障的时候,系统可以自动向网络管理员发出报警信号。
2.网络服务管理
网络管理是企业网必须考虑的关键技术,这里的网络管理主要指网络设备及其系统的管理,它包括配置、性能、安全、故障管理等,网络管理设计需要在配置每个网络设备时,都选择具有网络管理代理的、驻留有网络管理协议的设备。
网络管理设计的另一方面,是配置一个网络管理中心,配置网络管理平台,在平台上运行管理每个网络设备的应用软件。
网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
FTP是Internet中一种广泛使用的服务,主要用来在两台机器之间<
甚至是一同系统)传输文件。
FTP采用C/S模式,FTP客户软件必须与远程FTP服务器建立连接并登录后才能进行文件传输。
为了实现有效的FTP连接和登录,用户必须在FTP服务器进行注册,建立帐号,拥有合法的用户名和口令。
为了作到Intranet内部Mail系统同公共InternetMail系统的平滑对接,要求采用Internet公共标准的通用MAIL系统,在内部的MAIL系统同外部通信时需要一个Proxy应用作适当的转接服务,进行相应的地址转换工作。
代理服务器是作为内部私有网络和INTERNET之间的一个网关。
通过代理方式,首先可以大大降低网络使用费,另外代理可以保护局域网的安全,起到防火墙的作用。
安全策略
1.病毒防治
1>
禁用没用的服务
2>
打补丁
3>
反病毒监控
2.建立防火墙
网络地址转化—NAT:
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。
它允许具有私有IP地址的内部网络访问因特网。
它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。
系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。
在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。
OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。
当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。
当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。
网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3.网络的保密措施
住服务器操作系统安全漏洞
任何网络操作系统的安全性都是相对的,无论是UNIX还是NT都存在安全漏洞,他们的站点会不定期发布系统补丁,系统管理员应定期下载,及时堵住系统漏洞。
注意保护系统管理员的密码
用户名和密码应当设置合理,口令应大小写混合,最好加上特殊字符和数字,至少不能少于16位,同时应定期修改;
口令不得以明文方式存放在系统中;
建立帐号锁定机制,当同一帐号的密码校验错误若干次时,自动断开连接并锁定该帐号。
关闭不必要的服务端口。
4>
制定完善的安全管理制度
定期使用网络管理软件对整个局域网进行监控,发现问题及时防范。
定期使用黑客软件攻击自己的系统,以便发现漏洞,及时补救。
谨慎利用共享软件,不应随意下载使用共享软件。
做好数据的备份工作,有了完整的数据备份。
5>
注意WEB服务的安全问题
4.数据安全性和完整性措施
数据安全性和完整性就是数据的安全技术,为了解决上述问题,就必须利用另外一种安全技术----数字签名。
认证机构
CA<
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 规划 设计方案 石盛旭