《网络建设项目解决方案汇编》由会员分享,可在线阅读,更多相关《网络建设项目解决方案汇编(34页珍藏版)》请在金锄头文库上搜索。
1、 技术服务部 高恩二标临建项目部办公网络 技术建议书 广广州州市市微微柏柏软软件件股股份份 有有限限公公司司 2 20 01 16 6 年年 8 8 月月 3 3 日日 技术服务部 目录目录 第一章第一章 网络总体设计网络总体设计3 3 1.11.1 网络总体拓扑图网络总体拓扑图 3 3 1.21.2 网络层次化设计网络层次化设计 5 5 1.2.1.1.2.1. 核心层核心层6 6 1.2.21.2.2 汇聚层汇聚层7 7 1.2.31.2.3 接入层接入层8 8 1.31.3 核心层设计核心层设计 9 9 1.41.4 接入层设计接入层设计 1010 1.51.5 内联接入内联接入 101
2、0 第二章第二章 路由设计路由设计1111 2.12.1 路由协议选择路由协议选择 1111 2.22.2 路由规划拓扑图路由规划拓扑图 1111 2.22.2 IPIP 地址规划地址规划 1212 第三章第三章 网络安全解决方案网络安全解决方案1414 3.13.1 网络边界安全威胁分析网络边界安全威胁分析 1414 3.23.2 网络内部安全威胁分析网络内部安全威胁分析 1616 3.33.3 安全产品选型原则安全产品选型原则 1717 3.43.4 网络常用技术介绍网络常用技术介绍 1818 PPPPPP 协议协议 1818 技术服务部 VtpVtp1919 HSRPHSRP 协议协议2
3、020 VLANVLAN 技术技术2020 TrunkTrunk 技术技术2121 SPTSPT 协议协议 2323 OSPFOSPF 协议协议 2424 QosQos 技术技术 2424 第四章第四章 产品简介产品简介2525 二层交换机二层交换机2626 三层交换三层交换2727 工程部专用电脑工程部专用电脑2828 五、打印系统五、打印系统2828 六、文件服务器六、文件服务器3333 系统磁盘管理:系统磁盘管理:3434 第一章第一章 网络总体设计网络总体设计 1.11.1 网络总体拓扑图网络总体拓扑图 由于考虑到总公司的实际需求,我们给贵公司设计的方案是采 用两台路由双线接入负载均衡
4、,都在路由端口上做nat转换节约ip地 址。四台CISCOCISCO WS-C3750G-24TS-SWS-C3750G-24TS-S 做双机热备(两台总部两台分部, 可扩展),根据当前贵公司的人数需求,我们用四台WS-C2960- 48TT-L二层交换机(可扩展)做vlan划分。用Cisco 专有热备份路 技术服务部 由协议技术,根据需求配置成多组HSRP;同时双机还可以做负载 均衡。这样设计不但保证网络的高可用性和稳定性,还能够充分利 用现有设备的资源,以避免单台核心设备的负载太重而导致的网络 性能问题。 如上图所示,这是总部内网的架构,整体网络可以根据功能 划分为总部核心网络、内联接入包
5、括办公网络,各部门相对独立, 通过 核心网络进行数据的交互。各部门可以各自建立相互通讯,各部门 的网络安全体系,可以有独立的安全策略、数据流量控制等个体的 技术服务部 特性,而需要和其他区域的设备进行通讯的时候,则必须遵守核心 网络区的策略。 在这里,我们对总公司的实际情况考虑,在总公司和分公司之 间建立PPP专线连接,让分公司和总司可以进行安全的数据交换,对 于虚拟分部(可扩展),我们根据距离和施工的情况建立PPP专线或 者VPN,来进行对数据的保护和有效传输,对于在外出差员工我们用 easy-VPN的方式来让外部员工进行内部连接 1.2 网络层次化设计 随着网络技术的迅速发展和网络需求量的
6、不断增长,分布式的 技术服务部 网络服务和交换已经移至用户级,由此形成了一个新的、更适应现 代的高速大型网络的分层设计模型。我们将采用层次化网络设计, 构建高效、可靠、安全的网络。 多层网络系统设计能最有效地利用多种业务,包括负载分担和 故障恢复等。在多层网络中运用智能多业务可以大大减少因配置不 当或故障设备引起的一般问题。多层模式使网络的移植更为简单易 行,因为它保留了基于路由器和交换机的网络原有的寻址方案,对 以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进 行很好的隔离。 1.2.1.1.2.1. 核心层核心层 为网络提供骨干组件或高速交换组件,高效速度传输是核心 层的目标。核
7、心层的功能主要是实现骨干网络之间的优化传输,骨干 层设计任务的重点通常是冗余能力、可靠性和高速的传输。核心层 具有如下几个特性:高可靠性、提供冗余、提供容错、能够迅速适 应网络变化、低延时、可管理性良好、网络直径限定和网络直径一 致。 当网络中使用路由器时,从网络中的一个终端到另一个终端经 过的路由器的数目称为网络的“直径”。在一个层次化网络中,应 该具有一致的网络直径。也就是说,通过网络主干从任意一个终端 到另一个终端经过的路由器的数目是一样的,从网络上任一终端到 主干上的服务器的距离也应该是一样的。限定网络的直径,能够提 供可预见的性能,排除故障也容易一些。分布层路由器和相连接的 技术服务
8、部 局域网可以在不增加网络直径的前提下加入网络,因为它们不影响 原有的站点的通信。 在核心层中,网络的控制功能最好尽量少在骨干层上实施。核 心层一直被认为是所有流量的最终承受者和汇聚者,所以我们对核 心层的设计以及网络设备的要求十分严格。核心层设备将占投资的 主要部分。我们将采用高带宽的千兆级交换机,充当核心层设备。 因为核心层是网络的枢纽部分,网络流量最大,因此需要提供高带 宽。 1.2.2 汇聚层汇聚层 是核心层和终端用户接入层的分界面,访问层的汇接点,用于 分隔访问层的不同网络拓扑,并实现网络的聚合与流量的收敛。汇 聚层完成网络访问的策略控制、广播域的定义、VLAN间的路由、数 据包处理
9、、过滤寻址及其他数据处理的任务。一般采用中端设备。 汇聚层是连接接入层和核心层的网络设备,为接入层提供数据的 汇聚传输管理分发处理.汇聚层为接入层提供基于策略的连接,如 地址合并,协议过滤,路由服务,认证管理等.通过网段划分(如VLAN) 与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同 时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层 的访问,保证核心层的安全和稳定。 汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较 丰富的功能。 汇聚层设备一般采用可管理的三层交换机或堆叠式交 换机以达到带宽和传输性能的要求。其设备性能较好,但价格高于 技术服务部 接入层设备,
10、而且对环境的要求也较高,对电磁辐射、温度、湿度 和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备 与核心层设备之间多采用光纤互联,以提高系统的传输性能和吞吐 量。一般来说,用户访问控制会安排在接入层,但这并非绝对,也 可以安排在汇聚层进行。在汇聚层实现安全控制和身份认证时,采 用的是集中式的管理模式。 当网络规模较大时,可以设计综合安全 管理策略,例如在接入层实现身份认证和MAC地址绑定,在汇聚层实 现流量控制和访问权限约束。 1.2.31.2.3 接入层接入层 向本地网段提供用户接入、主要提供网络分段、广播能力、多 播能力、介质访问的安全性、MAC地址的过滤和路由发现等任务。 接入
11、层通常指网络中直接面向用户连接或访问的部分。接入层 目的是允许终端用户连接到网络,因此在接入层我们将采用具有低 成本和高端口密度特性的交换机。接入交换机是最常见的交换机, 它直接与外网联系,使用最广泛,尤其是在一般办公室、小型机房 和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心 等部门。在传输速度上,现代接入交换机大都提供多个具有 10M/100M/1000M自适应能力的端口。 在接入层是最终用户(员工) 与网络的接口,它应该提供即插即 用的特性,同时应该非常易于使用和维护。当然我们也应该考虑端 口密度的问题接入层由无线网卡、AP和L2Switch组成,按照宽带网 络的定义,接入层
12、的主要功能是完成用户流量的接入和隔离。对于 技术服务部 无线局域网WLAN用户,用户终端通过无线网卡和无线接入点AP完成 用户接入。 接入层交换机一般用于直接连接电脑,具有低成本和高端口密 度特性。接入层交换机端口的input 指服务器向交换机端口发送的 数据,即是服务器发送出去的数据。接入层交换机端口的output 指 交换机端口向服务器传输的数据,即是服务器收到的数据。 1.3 核心层设计 核心交换区的作用是高效速度传输数据,是所有流量的最终承 受者和汇聚者,推荐使用高端设备。我们推荐使用Cisco Catalyst 3750三台三层交换机为网络提供可靠、高速、安全的服务。 3750系列交
13、换机是一个创新的产品系列,它结合业界领先的易 用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的 工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术, 不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立 交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的 交换系统 - 就好像是一整台交换机一样。这代表了堆叠式交换机 新的工业技术水平和标准。 3750系列最多可以将9个交换机堆叠在一起,构成一个统一的逻 辑单元,其中总共包含468个以太网或以太网供电10/100端口或者 252个以太网10/100/1000端口、或9个10GB以太网端口。各个 10
14、/100、10/100/1000和10Gb以太网单元可以根据网络的需要任意组 合。 技术服务部 3750系列可以使用标准多层软件镜像(SMI)或者增强多层软件 镜像(EMI)。SMI功能集包括先进的服务质量(QoS)、速率限制、 访问控制列表(ACL)和基本的静态和路由信息协议(RIP)路由功 能。EMI可以提供一组更加丰富的企业级功能,包括先进的、基于硬 件的IP单播和组播路由。 1.4 接入层设计 接入层交换机采用思科的 WS-C2960 系列的二层交换机以千兆 以太链路和汇聚交换机相连接,并为员工终端提供 10/100M 自适应 的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。
15、接入层交换机一般用于直接连接办公系统,具有低成本和高端 口密度特性。接入层交换机端口的 input 指服务器向交换机端口发 送的数据,即是服务器发送出去的数据。接入层交换机端口的 output 指交换机端口向服务器传输的数据,即是服务器收到的数据。 我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能 性要高,那么我们在接入层设计上主张使用性能价格比高的设备。 接入层是最终用户(员工) 与网络的接口,它应该提供即插即用的特 性,同时应该非常易于使用和维护。当然我们也考虑端口密度的问 题。 1.5 内联接入 内联接入的作用是用于连接北京总部和北京分部。我们推荐使 用两台Cisco 2821系列
16、路由器完成此项功能。由于总部网络和分部 技术服务部 机房属于公司的内部网络的一部分,因此我们将着重重视数据的安 全性、可靠性。 Cisco 2821系列具有以下功能: 集成语音留言 范围广泛的话音接口 支持 SRST, 分支机构可利用集中呼叫控制, 并通过SRST冗余性 为IP电话经济有效地提供本地 分支机构备份 Cisco 2821还支持QOS,包含网络扩展性,具有内置防火墙功能,提 高内部网络的安全性、可靠性。 第二章第二章 路由设计路由设计 2.1 路由协议选择 OSPF全称为开放式最短路径优先协议(Open Shortest-Path First),OSPF采用链路状态协议算法,每个路由器维护一个相同的 链路状态数据库,保存整个AS的拓扑结构。一旦每个路由器有了完 整的链路状态数据库。对于大型的网络,为了进一步减少路由协议 通信流量,利于管理和计算,OSPF将整个AS划分为若干个区域,区 域内的路由器维护一个相同的链路状态数据库,保存该区域的拓扑 结构。
