XX网络设计方案Word下载.docx
- 文档编号:22730031
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:53
- 大小:1.08MB
XX网络设计方案Word下载.docx
《XX网络设计方案Word下载.docx》由会员分享,可在线阅读,更多相关《XX网络设计方案Word下载.docx(53页珍藏版)》请在冰豆网上搜索。
采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。
灵活性和可扩展性
计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据XX不断深入发展的需要,方便灵活的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。
具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
开放性和互连性
具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。
在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。
IP地址设计须遵循科技厅计算机网络TCP/IP地址编码规范;
设备及端口模块、光网卡的选型须满足国内外相关的技术标准,并保证与业界主流的网络设备厂家的设备互联、互通。
经济性和投资保护
应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。
能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。
尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
可管理性
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。
所以在网络设计中,必须建立一套全面的网络管理解决方案。
网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的分布式管理。
最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。
通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。
网络设计需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、易用性等多方面综合考虑。
第2章组网方案建议
2.1网络设计原则
模块化设计
网络建成后不同的数据点实现不同的功能,除大部分办公数据点外,还存在连接数据中心、网管/安全中心等,其功能的不同决定了不同的数据点对网络的要求和网络设计中考虑的因素不同。
当某部分功能要求有所变化时,也只需要针对相应的功能模块进行重新设计和改造升级,对网络的其它组成模块和网络的主干没有任何影响。
基于这些优势,XX的设计采用模块化的设计模式,目前主要考虑:
核心交换模块、楼层接入模块、用户接入认证模块、安全模块等。
高可靠性
网络系统应具有高可靠性、高安全性。
除了采用高可靠性的网络设备以外还应考虑物理层、数据链路层和网络层的备份。
高性能
在XX局域网络中,不仅要求网络主干是高带宽的,作为一个整体的系统,网络应具有可控的智能化的高性能。
也就是说,网络中以太网(100M/1G/10Gbps)连接的节点之间的交换,不管它们的VLAN属性如何,我们都可以控制它在本地交换机交换或通过千兆以太网主干进行交换。
可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
标准协议支持
网络系统应支持标准协议IP,是一个开放型的网络,支持各种协议的互联。
易管理、易维护
网络系统需具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。
同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。
安全性
网络系统应具有良好的安全性。
由于XX局域网为多个用户内部网提供互联并支持多种业务,网络系统应支持多VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。
此外,在接入网络的用户通过身份认证系统,防止用户帐户号、IP地址、MAC地址的盗用,保证用户身份的合法性。
QoS保证
当今网络中的多媒体的应用越来越多,这类应用对服务质量的要求较高。
XX局域网应能保证QoS,以支持这类应用。
由于网络中多媒体的应用,如VideoConference、可视电话业务等越来越多,往往会占用大量的带宽资源。
所以网络系统应能支持组播业务,以节省主干的带宽。
符合国际标准
选用符合国际标准的系统和产品,可以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
网络建设依据千兆光纤到桌面,千兆/万兆到核心互联的大原则;
✓考虑充分的网络平台可靠特性和冗余特性;
✓网络协议的标准性和充分的可扩展特性;
✓充分考虑局域网安全特性;
✓充分考虑网络的高速和高运行效率;
✓充分利用现有网络线路资源;
✓统一的网络管理。
2.2组网设计
对于XX办公的局域网网络,网络结构采用二层的结构,分别为核心层、接入层。
如下图所示:
2.2.1网络设计特点
网络设计采用双核心,二层网络结构
配置二台核心交换机作为网络的核心交换节点。
由于XX网络具有信息点地理位置比较集中的特点,建议采用二层网络体系结构进行网络规划建设。
中心机房楼层的接入交换机就直接接入到核心交换机上。
灵活配置网络架构,满足高性能的同时,节约投资。
2.2.2网络出口设计
一个良好的局域网其性能再好,也只能在局部区域发挥性能,互联网正在以其无穷的力量,在人们无尽的思维中发挥其浩瀚的力量。
如今的网络出口,高速、稳定不是唯一要求,安全、可靠才是网络组建的重点。
网络出口的设计一方面考虑能适应各种广域网的接入能力,再考虑为内外网提供高性能数据转发能力。
在出口连接处,我们首先建议选择一台H3C多业务路由器MSR5040,MSR系列路由器集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。
该系列产品内置的硬件加密功能可以为中小型分支机构提供与总部安全的数据连接,MSR50也可以作为中小企业核心设备,承担公司广域路由、局域交换、IP语音、视频交互等综合应用。
通过在单一平台集成多种网络功能,不仅能够减少业务扩展给企业带来的无尽投资,更能实现总部对众多分支的统一管理和控制,免去了大量的运维成本,让企业在信息化进程中更具竞争力。
再考虑内部办公网的安全问题,外部攻击及病毒感染问题,酒店办公更需和远程的地方进行VPN连接。
我们在出口处还选择了一台迪普的FW1000-GS-N防火墙。
FW1000防火墙是支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;
采用ASPF(AppicationSpecificPacketFiter)应用状态检测技术,可对连接状态过程和异常命令进行检测;
提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;
支持多种VPN业务,如2TPVPN、GREVPN、IPSecVPN、动态VPN等;
支持RIP/OSPF/BGP/路由策略及策略路由;
支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
是办公网络应用安全网管的不错选择。
2.2.3网络核心层设计
网络核心层主要完成全网业务的高速交换和路由转发,对网络的可靠性、业务的支持能力和报文的转发性能都提出了更高的要求。
在核心层,核心层主要是实现高速路由交换,我们建议采用1台高性能交换机H3CS7506E。
S7506E万兆交换机,背板容量1.6T,具有6个业务插槽,S7506E万兆核心交换机采用Crossbar体系结构所有端口均线速转发。
提供千兆光、电口业务板,采用千兆双绞线或SFP接口下连至楼层的汇聚或接入层交换机。
同时,该75E系列交换机支持丰富的软件特性:
支持IPv6协议(包括IPv6的路由协议、组播协议、AC协议等等),可以完全兼容下一代互连网即IPv6网络;
支持业界最丰富的高性能AC(双向AC、自反AC),能够非常灵活的对企业内各种业务进行控制。
而且,75E系列交换机支持双主控、双电源,支持单板热插拔,具有极高的可靠性,这样可以保障各个汇聚点的可靠性。
2.2.4网络接入层设计
本网络的接入层交换机位于网络的二/三级,是最终用户被许可接入网络的点,一方面要求和核心层、汇聚层保持高速可靠连接,另一方面汇聚了大量的接入终端设备,该分层能够提供多重绑定功能的进一步控制;
该分层的主要功能是为最终用户提供网络接入。
在接入交换层,有多种产品可供选择,为了便于网管及日后维护,发挥网络应有的功能和最佳性能,我们推荐采用性价比极高的H3CS5120系列交换机产品。
H3CS5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。
通过H3C特有的IRF(智能弹性架构)功能,用户能够简化对网络的管理。
S5120-EI系列千兆以太网交换机定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。
2.3IP地址与VLAN规划
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表路由数量,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,降低网络动荡程度,隔离网络故障,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。
具体分配时要遵循以下原则:
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址;
简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的表项
连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
灵活性:
地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
核心层交换机和汇聚层交换机都采用三层交换机的,由于VLAN属于局域网特性,在跨越三层IP设备(路由器或交换机)时,VLAN将被终结,理论上这两个区域的VLAN规划可以完全独立,但是出于管理便利,建议在整个局域网中所有VLANID统一分配。
VLAN的划分需参考IP地址的规划,在局域网内部,将VLAN与IP子网对应,在同一功能区域,IP子网连续的地方,VLANID以同样规律保存连续。
不同VLAN之间是链路层隔离了,所有链路广播报文都是在一个VLAN内部广播的,不会扩散到VLAN之外。
VLAN之间的互访必须在IP层进行,可以通过访问控制列表AC(Accesscontroist)进行控制。
在IP设备上,将VLAN终结,每个VLAN对应一个IP子网,该VLAN对其它IP子网的访问控制可以在VLAN所对应的IP逻辑接口上通过AC配置实现。
2.4网络管理解决方案
2.4.1网管管理的重要性
网络管理工具是保证网络正常运转,业务正常运行的必备的工具,通过网络管理软件不但能够及时发现网络的问题,对网络的变化做出迅速的相应,而且可以通过网络管理工具对整个网络进行优化,达到充分利用网络资源的目的。
利用网络管理系统提供的专业管理功能,XX的网络管理员需要实现对整个网络从物理链路到上层复杂应用和业务的分层次集中管理,进而提高网络的可管理性和运行的稳定性,缩短XX在提供新业务时的开通周期。
通过简化网络管理流程,提高管理员的工作效率,网络管理系统还将帮助XX降低网络的运行成本。
网络建设成后的管理、维护工作将是一个任重道远的工作。
因此建议XX采用一套图形化管理界面的网管软件实现全网的统一管理。
2.4.2网络管理软件要求
XX办公网络系统有其自身的显著特点,如网络规模较大,设备类型和所提供服务复杂,网络的可用性要求高等等。
因此XX办公用户对其网络管理系统也有很高的要求,不但要求能管理网络中的所有设备、服务,还要符合电信标准并能适应其网络规模,并提供极高的系统和管理稳定性。
针对XX用户的上述网络管理需求,管理系统在管理特性上具有下列特点:
1.基于公共的管理框架。
为便于管理系统各功能模块间进行管理信息的共享和数据交换,所有管理体系中的其它管理工具和模块都与之进行集成,由其作为整个管理系统的支撑平台。
2.模块化设计。
包含了一组提供不同管理功能的管理工具,各管理工具即可以独立工作也可以通过集成共享管理信息。
在网元设备管理层,通过选择集成在其管理框架上的不同网元设备模块,网络管理员可以管理网络中的任何网元硬件设备。
在服务和业务管理层,网络管理员可以通过选择不同的管理模块实现网络容量规划管理、配置管理、故障管理、性能管理和计费管理等一系列管理功能。
这种模块化设计保证了用户可以根据自己的管理需求构建最符合要求的管理系统,节省用户的投资。
3.高系统强壮性。
管理软件自身具有良好的系统强壮性,符合XX用户对管理系统高可用性的要求。
4.优秀的规模可扩展性。
管理服务器不但支持单机中央处理模式,也同时支持多服务器分布式处理模式,并能实现从中央处理模式向分布式处理模式地平滑过渡。
可保证网络管理系统能适应用户网络规模的增长。
5.高容错性。
管理系统中的管理工具都支持双机主备工作方式,当主管理服务器出现故障时,备用管理服务器可以接管主服务器的管理职能,保障管理系统的不间断运行。
6.支持多种网络和设备管理标准。
在网络层支持SNMPv3管理标准。
7.提供安全认证和用户分权的管理机制。
管理员首先需要登录才能使用管理系统对网络进行管理,这样就保证了只有拥有合法授权的管理员才能使用管理系统。
同时可以利用管理系统的管理员分权机制,定义每一个登录的管理员所拥有的管理权限,进一步确保每个管理员只能管理他职责范围网络络资源。
2.4.3IMC管理平台
建议XX采用H3CIMC管理平台,提供对网络的统一管理。
企业IT环境由IT基础资源、IT业务以及IT使用者(人)三大要素构成。
市场上常见的网络管理、用户管理软件各自发展已经较为完善,但网络管理软件仅关注于网络设备资源的管理,不能涵盖网络用户资源的管理;
而用户管理及接入控制软件往往缺乏与网络资源管理、业务管理的融合,导致管理手段单一、管理力度不足、管理操作复杂。
企业迫切需要一种管理系统,使得用户、网络、业务统一管理、互相协同、操作简便、满足多种接入场景所需。
iMC智能管理中心平台所提供的功能就可满足上述管理需求。
iMC智能管理平台,是在统一了设备资源和用户资源管理的平台框架的基础上,实现的基础业务管理平台,包括iMC基础网络管理和iMC基本接入管理。
iMC基础网络管理,涵盖了传统网管的主要功能,包括告警管理、性能管理、拓扑管理等。
iMC基本接入管理,主要管理用户的接入准入和控制。
iMC智能管理平台和AC、Qos、VLAN等网络资源管理一起构成了承载其他业务的基础平台。
iMC平台的基本资源管理管理特性主要包括
✓集中化的设备资源和用户资源管理
✓设备和用户的统一分组管理
✓丰富的设备资源管理能力
✓集中化用户业务信息管理
✓针对每种业务都具有不同的管理动作
✓用户管理与网络设备管理相融合
✓系统管理和完备的安全策略
✓良好的可扩展性和组件化设计
✓iMC基础网络管理特性主要包括
✓丰富、实用的网络视图
✓多样化的网络拓扑
✓智能的告警显示、过滤和关联
✓直观的状态监控
✓性能管理
✓用户管理与网络拓扑管理相融合
✓iMCACM组件特性主要包括:
✓支持多种接入及认证方式
✓严格的权限控制手段
✓详尽的用户监控
✓集中方便的用户管理
✓灵活的业务及运行环境参数调整
✓接入设备配置与ACM组件的协同
✓为接入设备提供查询设备明细信息的链接
✓接入设备管理与拓扑管理的融合
IMC产品特性如下:
基本资源管理部分
Ÿ集中化的设备资源和用户资源管理,提高管理效率
1)对H3C、3Com、华为、Cisco各厂家网络设备的分类和识别;
对设备状态和基本信息的管理,不仅包含了设备的基本信息、接口信息、性能数据和告警信息,同时还可以在增加其他组件的情况下显示扩展后的业务信息;
2)与业务无关的用户基本信息的统一维护,这些基本信息是独立于业务的,包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组;
并提供用户附加信息管理功能,管理员可根据网络运营的习惯进行用户信息定制,如学校可以定制学号、年级等信息,企业可以定制部门、职务等信息;
3)支持对设备访问参数的批量配置和校验,提供对网络设备资源的查找、修改、删除和批量导入和导出功能;
提供用户的批量管理功能,包括:
批量修改用户附加信息、批量注销用户,以及批量用户导入功能,节省操作员录入时间;
Ÿ设备和用户的统一分组管理
1)支持设备和用户分组功能,通过对设备资源和用户进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离;
2)可以设置每个用户分组所对应的接入业务服务名,这样,在给用户配置服务的时候,只有归属于这个服务所属的用户组的用户,才能配置该服务;
Ÿ丰富的设备资源管理能力
1)能够通过自动发现和手工添加方式增加网络设备资源;
自动发现支持多种方式,除了简易的种子发现方式外,还支持路由方式、ARP方式、IPSecVPN方式、网段方式发现网络设备。
2)支持设备面板管理,所见即所得的显示设备的资产组成和运行状态;
3)支持对设备的管理/去管理,接口的管理/去管理,接口信息的显示和接口的UP/DOWN配置;
Ÿ集中化用户业务信息管理,便于针对用户做统一资源部署
4)目前iMC中具有两种与用户相关的业务――FTTX业务、接入业务。
iMC所提供的统一化的用户管理平台,可针对单一用户的多种业务进行信息集中管理、维护;
5)提供集中化用户业务信息管理的同时,每种业务对应的用户视图也提供很方便的用户信息维护、业务信息维护功能:
Ÿ针对每种业务都具有不同的管理动作,在集中化用户管理的同时提供高度的业务管理灵活性
提供独立于业务的用户管理动作,做到用户基本信息的集中化管理,减轻操作员维护量:
每种业务都能具有自己特定的用户管理操作,确保在集中管理用户信息的同时,又能确保每种业务特定的管理操作:
Ÿ用户管理与网络设备管理相融合,用户管理操作更加简单
6)接入设备列表中可以直接看到用户相关信息,在使得操作简单方便的基础上,又提高了操作员日常维护的效率:
7)可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等;
8)可以在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应的接入设备的详细信息,比如,对应的基本信息、告警、性能状况等。
该功能使得操作更友好,全面提升操作员的操作体验;
基础网络管理部分(NME)
Ÿ丰富、实用的网络视图
具备丰富的视图功能,使得管理员可以从多个角度观测和管理网络。
1)通过IP视图,用户可以观测网络的逻辑结构和物理结构。
2)设备视图,使得用户对网络中设备类型和数量一目了然。
3)自定义视图,使用户可以按照任何希望的方式构造客户化的网络拓扑。
并提供直观简便的预览功能,集中监控用户关心的重点设备和接口的状态。
Ÿ多样化的网络拓扑
拓扑更加美观清晰,能够实时实时显示当前视图的拓扑状态。
通过在拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息,管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视,拓扑上提供了常用的Ping、tenet、TraceRT、打开设备Web网管和管理/不管理设备等常用操作和相关链接,拓扑可以作为管理员管理网络的唯一入口。
1)提供完整的IP拓扑、二层拓扑、邻居拓扑,能够显示接入设备上的接入情况。
2)用户可以根据实际组网情况,定义自己关注的自定义网络拓扑。
3)在安装了其他组件的情况下,拓扑会增加相应的业务拓扑和操作链接,以满足不同业务的需求。
Ÿ智能的告警显示、过滤和关联
1)提供丰富的声光告警,还可以针对不同的告警定义不同的操作提示以及维护参考等;
2)汇总显示发生故障的设备,方便管理员日常维护工作的开展。
3)提供重复告警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤,可以有效压缩海量网络告警,使得管理员直接关注真正的网络故障。
4)在安装其他组件的情况下,还提供基本告警和业务告警的关联,在基本告警发生后,系统进行关联分析,自动产生业务告警。
管理员即可根据基本告警从而迅速定位问题,缩短平均修复时间。
又可根据业务告警,分析出受影响的业务,为网络的现状评估和优化提供数据基础。
Ÿ直观的状态监控
与传统的网管告警和拓扑状态互相分离做法不同,使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上,用户仅需要查看拓扑,即可知道网络的整体运行状态。
Ÿ性能管理
1)提供了对系统所管理的各种设备性能参数的公共监视功能,比如内存利用率、CPU利用率、设备不可达率、设备响应时间和接口性能数据等。
2)可对每一个性能指标设置二级阈值,发送不同级别的告警。
用户可以根据告警信息直接了解到设备某指标的性能情况,有助于用户随时了解网络的运行状态,预防网络故障,预测网络发展趋势,合理优化网络。
3)通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息,通过报表的导出和打印功能,管理员能够迅速将网络状况汇总数据上报给各级领导,为网络的决策提供有利的支撑。
Ÿ用户管理与网络拓扑管理相融合
在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。
比如查看用户信息、强制用户下
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 网络 设计方案