大楼网络系统设计方案Word文件下载.doc
《大楼网络系统设计方案Word文件下载.doc》由会员分享,可在线阅读,更多相关《大楼网络系统设计方案Word文件下载.doc(35页珍藏版)》请在冰点文库上搜索。
4.5服务器 31
4.5.1IBMSystemx3650M27947I01其具体特点如下:
32
4.5.2惠普ProliantML150G6(AU659A)其具体特点如下:
33
第5章设备清单 34
第1章需求分析
1.1用户组网需求
大楼网络方案设计:
一栋大楼有四层楼,其中第一层133个信息点,第二、四层231个信息点,第三层179个信息点。
全楼要建设一个计算机网络,网络设计指标如下:
(1)每个信息点要求10M/100M自适应,交换到桌面;
(2)主干交换机要求速度为1000M;
(3)能控制网络分段及VLAN的灵活划分;
(4)具有网管特性;
(5)可连入Internet;
(6)可接收零散客户拨号入网。
1.2方案设计原则
设计应立足于先进且成熟的主流技术和产品,在技术开放和高度集成的基础上,进行高层次的应用开发。
在保证高度安全可靠的前提下,做到系统容易使用、可维护性高和可扩展性强。
“技术先进、安全可靠、处理高效、灵活通用”是系统设计的总原则。
具体如下:
1)实用性原则
确保系统具有良好的系统性能、友好的用户界面、较高的处理效率,便于掌握、使用和维护,并采用成熟的技术。
2)先进性原则
采用先进而且成熟的计算机软件技术,使系统具有较高的技术水平和较长的生命周期。
3)安全可靠原则
系统采用基于主机安全、网络安全、数据安全、应用安全等一整套安全解决策略。
系统要有强大的安全保障能力、纠错功能和自动恢复能力。
必须对整个操作系统和数据有计划进行在线备份,在遭到以外破坏时,能有效恢复。
4)可伸缩性原则
系统应当既能处理低负荷,也能处理大容量的操作;
用户只需定义业务逻辑,无需更改程序就能增删功能;
所有界面均可定制,满足用户对界面的个性化要求。
5)标准使用原则
制定编码和接口标准时,依此遵循国际标准、国家标准、行业标准或行业惯例。
6)可扩展性原则
采用模块化、组件化设计原则,满足各项业务拓展需要,保证业务需求更改的适应性。
在进行软件的设计时,应当充分考虑到系统业务特点和政策变化因素,保证具有较强的并发处理能力及开放性、灵活性、可重构性、可扩展性和可维护性。
7)兼容性原则
对于所选软件、硬件系统及平台,一方面能很好地适应开发和使用的需要;
另一方面,能很好地适应将来软硬件和系统的升级以及系统扩展的需要。
8)操作简捷原则
友好的人机界面,统一的页面风格,操作简单快捷。
1.3硬件和结构要求
与Internet网络连接网络部分需要内外网隔离防火墙、WEB网站互联网隔离防火墙,各信息点之间的通信需要二层交换机,各信息点之间的VLAN划分需要三层交换机,中心业务主机及存储、文件通讯、Email服务器、WEB服务器和数据库服务器,其它办公辅助设备:
网管PC,笔记本电脑,扫描仪,复印机,数码摄像机,网管工具,打印机等。
1.4软件要求
1.4.1网络操作系统和数据库系统的安全性
信息系统的安全涉及到技术与管理、网络与应用等诸多问题,其中网络操作系统和数据库系统的安全是整个安全系统的基础。
一.网络操作系统安全措施
1)及时安装补丁程序
网络操作系统开发商提供的最新的补丁程序,不但完善了系统功能,还增强了操作系统安全性,如WindowsServer2003的ServicePack1。
2)开启审计功能
有的网络操作系统提供了审计功能,可以对关键用户、关键数据文件进行审计稽核。
由于审计记录可以由唯一的专门的用户账户进行管理,因此,可以由一个人掌管管理员账户,另外一个人掌管审计。
通过对每个内部工作人员分配独自的账户,可以清楚地记录其操作日志。
3)运行的安全管理
运行的安全管理主要包括用户、口令、权限、登录限制和访问审计等内容。
用户权限的设置必须遵循最小化原则,用户组的权限必须是组成员的最小权限,登录限制必须包括站点限制、登录时间限制和最大连接数,减低非法用户入侵的可能性。
二.数据库系统的安全
1)数据库系统的安全性要求
数据库的完整性;
元素的完整性;
可审计性;
访问控制;
用户认证;
可获性等。
2)数据库系统的基本安全架构
用户分类。
一般将权限分为三类:
数据库登录权限类、资源管理权限类和数据库管理员权限类。
数据分类。
建立视图。
审计功能。
监视各用户对数据库施加的动作。
有两种方式的审计,即用户审计和系统审计。
数据库系统的安全主要通过数据库软件(如:
Oracle,SyBase,SQLServer)进行设置。
三.网络防病毒
随着网络时代日新月异的发展,计算机病毒的传播方式也由传统的介质(软盘、光盘等)传播发展成为主要依靠网络途径,面对计算机病毒的这种发展趋势,如何建立一套真正有效的网络防病毒体系是网络环境下反病毒关键。
本系统采用了网络版防病毒软件。
网络版防病毒软件可以提高网络管理员的工作效率,可以实现全网远程安装杀毒软件、全网统一升级、全网统一扫描的功能,而且可以生成全面细致的反病毒报告,让网管员可以快速了解网内的病毒攻防情况,从而调整自己的网络防病毒策略。
第2章本方案主要网络技术介绍
2.1交换技术
传统的局域网交换机是一种二层网络设备,它在操作过程中不断收集信息去建立起它本身的一个MAC地址表。
这个表相当简单,基本上说明了某个MAC地址是在哪个端口上被发现的。
这样当交换机收到一个以太网包时,它便会查看一下该以太网包的目的MAC地址,核对一下自己的地址表以确认该从哪个端口把包发出去。
但当交换机收到一个不认识的包时,也就是说如果目的MAC地址不在MAC地址表中,交换机便会把该包“扩散”出去,即从所有端口发出去,就如同交换机收到一个广播包一样,这就暴露出传统局域网交换机的弱点:
不能有效的解决广播、异种网络互连、安全性控制等问题。
因此,产生了交换机上的VLAN(虚拟局域网)技术。
2.2VLAN技术
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。
一个VLAN可以在一个交换机或者跨交换机实现。
VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。
基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;
而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。
网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。
2.3第3层交换
传统的交换技术是在OSI网络标准模型中的第二层――数据链路层进行操作的,而三层交换技术在网络模型中的第三层实现了分组的高速转发。
简单的说,三层交换技术就是“二层交换技术+三层转发”。
三层交换技术的出现,解决了局域网中网段划分之后网段中的子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。
具有路由功能的第3层交换技术
第3层交换技术是1997年前后才开始出现的一种交换技术,最初是为了解决广播域的问题。
经过多年发展,第3层交换技术已经成为构建多业务融合网络的主要力量。
在大规模局域网中,为了减小广播风暴的危害,必须把大型局域网按功能或地域等因素划分成多个小局域网,这样必然导致不同子网间的大量互访,而单纯使用第2层交换技术,却无法实现子网间的互访。
为了从技术上解决这个问题,网络厂商利用第3层交换技术开发了3层交换机,也叫做路由交换机,它是传统交换机与路由器的智能结合。
简单地说,可以处理网络第3层数据转发的交换技术就是第3层交换技术。
从硬件上看,在第3层交换机中,与路由器有关的第3层路由硬件模块,也插接在高速背板/总线上。
这种方式使得路由模块可以与需要路由的其它模块间,高速交换数据,从而突破了传统的外接路由器接口速率的限制。
3层交换机是为IP设计的,接口类型简单,拥有很强的3层包处理能力,价格又比相同速率的路由器低得多,非常适用于大规模局域网络。
第3层交换技术到今天已经相当成熟,同时,3层交换机也从来没有停止过发展。
第3层交换技术及3层交换设备的发展,必将在更深层次上推动整个社会的信息化变革,并在整个网络中获得越来越重要的地位。
2.4广域网接入方式
目前较常使用的广域网接入方式有:
DDN(DigitalDataNetwork),帧中继,ISDN。
本方案的广域网接入方式选用通过网关路由器接入帧中继网。
帧中继(FrameRelay)是在分组交换网的基础上,结合数字专线技术而产生的数据业务网络。
在某种程度上它可被认为是一种“快速分组交换网”。
它是当前数据通信中一项重要的业务网络技术。
用户的LAN一般通过网关路由器接入帧中继网;
若路由器不具有标准的帧中继UNI接口规程,则在路由器和帧中继网间还需增加帧中继拆/装设备(FRAD)。
其主要优势表现为:
同分组交换网相比,它简化了相关协议,提高了传输速度。
它只完成OSI七层协议中物理层和数据链路层的功能,而将流量控制、纠错等功能留给智
能终端完成。
故其数据链路层协议(LAPD协议)在可靠的基础上相对简化,从而减小了
传输时延,提高了传输速度(速率范围一般亦为9.6Kbps~2.048Mbps)。
另外,它所采
用的LAPD链路层协议,能够顺利承载IP、IPX、SNA等常用协议。
它采用了PVC技术。
帧中继网络可提供的基本业务有两种,即PVC(PermanentVirtualCircuit)和SVC(SwitchedVirtualCircuit),但目前的帧中继网络只提供PVC业务。
所谓PVC是指在网管定义完成后,通信双方的电路在用户看来是永久连接的,但实际上只有在用户准备发送数据时网络才真正把传输带宽分配给用户。
采用了统计复用技术。
它使得帧中继的每一条线路和网络端口都可由多个终端用户按信息流(即PVC)实现共享,即能在单一物理连接上提供多个逻辑连接。
显然,它大大地提高了网络资源的利用率。
用户费用相对经济。
由于网络的信息流基于数据包,采用了PVC技术和统计复用技术,其电路租用费用低廉。
其费率一般仅为同速率DDN电路的40%。
且在网络空闲时,它还允许用户突发地超过自己申请的PVC速率(CIR)占用动态带宽。
对于经常传递大量突发性数据的用户,非常经济合算。
便于向统一的ATM平台过渡。
中国电信于1997年建成了基于ATM平台的全国帧中继骨干网。
北京市同年建设的的帧中继网也基于ATM平台,核心层采用了Cisco公司的BPX系列ATM交换机,接入层为IGX系列帧中继交换机。
帧中继利用ATM提供的高速透明传输通道为用户提供通信业务。
这种结构便于帧中继融合到统一的ATM网络之中。
缺点:
但它自身没有足够的流量控制功能,当同一网络端口的各PVC同时数据流量很大时,可能造成拥塞。
技术上缺乏对SVC的支持也使它丧失了部分应用上的优势,影响了业务的进一步推广。
采用PVC和统计复用技术可以提高网络的利用率,但同时,一旦物理线路或物理端口出现故障,将会有多条PVC同时受到影响。
另外,它的网络规模在我国普遍比DDN小。
不难看出,帧中继适合于突发性较强、速率较高、时延较短且要求经济性较好的数据传输业务,如公司间进行网络互联、开放远程医疗等多媒体业务、进行电子商务以及VPN组网等。
第3章本方案系统设计
三层核心交换机
接入路由器
四楼网络拓扑结构
231个信息点5台交换机堆叠
三楼网络拓扑结构
179个信息点4台交换机堆叠
二楼网络拓扑结构
一楼网络拓扑结构
133个信息点3台交换机堆叠
web服务器(解决拨号入网)
文件服务器
网管工作站
数据库服务器
防火墙
Internet
1000M
100M
3.1网络拓扑结构图
3.2系统结构和特点介绍
3.2.1网络主干选型
本方案采用了千兆位以太网网络作为网络的主干,理由如下:
千兆位以太网是最为普及的网络体系结构,由于以太网在上个世纪80年代初出现,并迅速地得到发展。
千兆位以太网在利用用户熟悉性的同时,由于其与以太网的匹配性,使之能保留在管理员专业技能方面和支持培训方面的投资,而没有必要购买新的协议或投资新的中继设备。
3.2.2内网结构选型
本系统在市局内网采用了二级网络结构,主干核心交换机采用模块化的千兆第三层交换机,二级交换机为3台带扩展模块的48口百兆交换机,二级交换机通过千兆模块和线路上联到主干交换机,所有内网用服务器也通过千兆网卡和线路连接到主干交换机,市局内网的客户机通过百兆网卡和线路连接到二级交换机,通过交换机的相关配置(如:
VLAN的设置和端口的优化),形成千兆主干,百兆交换到桌面架构,此外,数据库服务器通过光纤通道与存储子系统相连,这样,构成了高性能的网络。
在两台主干交换机之间、主干交换机与二级交换机之间、主干交换机与服务器之间都设置了冗余链路,通过STP的设置,可实现网络设备和网络链路的容错,两台主干交换机之间形成热备份,同时,将核心的数据库服务器配置成双机热备方式,避免了单点故障对全网的影响。
在服务器和存储子系统中将磁盘都配置成RAID模式,这样,就可保证数据的不丢失,业务的不停顿,从而形成了高可靠性、高可用性的网络。
3.2.3本系统的可扩展性
由于主干交换机为模块化的交换机,将来因业务发展而需要扩充时,只需在上面添加或更换相应的模块即可,也可以根据具体情况增加新的二级交换机组,将新的交换机组连到现有的交换机上,以扩充信息点的数量。
并根据工作的实际需求增加中心机房的设备,如新增服务器,因此,本系统具有高扩充性。
系统具有优秀的实时响应能力。
具备可扩展的高性能。
支持网络环境下的分布式应用,提供高性能、高可用、高可靠的系统解决方案。
系统具备高安全性,提供完整的、灵活的安全管理机制。
主干采用千兆以太网络技术(GigabitEthernet),为网络的主服务器提供1000M的联网带宽,充分保障了在多媒体的工作环境中由于声音、图形、三维立体以及动画对网络服务器高带宽的需求。
千兆以太网络技术具有投资少、易于维护使用、与10M、100M以太网络兼容等特点,已经成为园区网络首选的网络主干技术。
100Mbps交换到桌面通过100M快速以太网络交换机,为每一台联网的计算机提供100M交换带宽,意味着每台计算机均可独占100M的网络带宽。
这对于有大量数据传输需求的园区网络来说是必要的。
配合交换机先进的网络交换和虚拟局域网(VLAN)技术,整个网络可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络,而无需任何硬件的改变。
同时也可以通过用户及用户组的改变来平衡网络的流量,以提高网络的性能。
第4章主要产品简介
4.1第3层交换机
现代的局域网基础设施需要对通过网络边界进行数据传输的问题提供一个新的解决办法,这就需要提供一种同时具有第二层交换机和局域网路由器的功能,并且其时延小于传统的局域网路由器的全新的设备。
通常我们称之为第三层交换机。
现在市场上的主流第三层交换机主要有Cisco的Catalyst2948G和3Com的CoreBuilder3500等。
我们选用2台Cisco的Catalyst2948G。
CiscoCatalyst2948G-L3交换机是可以支持Internet协议(IP),互联网包交换(IPX)和IP多路传输提供线速交换的固定配置第三层(L3)以太网交换机。
这种Catalyst交换机可以为拥有适当端口密度的中型园区主干提供所需的高性能。
它非常适合于集中到多个配线间或作为其他主干交换机(例如Catalyst2900,Catalyst3500、Catalyst4000或Catalyst5000交换机)的工作组交换机。
Catalyst2948-L3交换机不仅为IP、IPX及IP多路传输提供无阻塞路由和交换,而且为非路由协议提供无阻塞路由和交换,同时也为非路由协议提供线速第二层交换。
例如NetBIOS和DECnet局域传输(LAT)。
这种功能允许网络管理员可以通过Gatalyst2948GO-L3扩展他们的多协议主干网,而无需像仅采用IP交换机那样通常需要建立并行网络。
Catalyst2948G-L3具有以下特性:
*48个专用10/100-Mbps以太网端口以及2个支持千兆位接口转换器(GBIC)的1000BaseX千兆位以太网端口;
所有端口都拥有第三层交换功能。
*高性能——超过IP、IPX交换机及IP多路传输的10Mbps第三层交换及路由。
*22Gbps无阻塞交换光纤。
*带有CiscoIOS系统软件的高性能CPU。
*服务质量(QoS)——带有加权往返(WRR)调动的多个队列。
*基于标准CiscoWorks2000应用程序的全面管理工具。
*可选的冗余外部电源
该款交换机在需要线速第三层性能但是不需要众多10/100Mbps以太网端口的环境下非常理想。
另外也可作为为Catalyst6000和Catalyst8500系列交换机提供千兆位以太网密度而部署中小网络主干。
Catalyst2948G-L3可以提供超过10Mbps的集合吞吐量。
这些数据速率是在每一个端口上利用高速应用专用集成化电路(ASIC)技术执行真正第三层交换的结果,不仅适用于IP和IPX流量,而且也适用于IP多路传输和桥接流量。
Catalyst2948G-L3支持一个拥有22Gbps带宽的高性能体系结构。
交换光纤能够同时以线速度支持所有48个10/100端口及2个千兆位上行链路。
Catalyst2948G-L3可以安装在一个1.5RU机箱中,并可以配备一个可选的外部冗余电源。
它支持22Gbps的共享内存,完全无阻塞的交换光纤以及为第三层交换提供路由智能和基于不同端口的ASIC的高性能RISC处理器。
Catalst2948G-L3使用专为Cisco12000系列千兆位交换路由器(GSR),Catalyst500和Cisco7500开发的CiscoExpressForwarding(CEF)。
该技术提供基于整个网络拓扑图(被分布到每一个基于端口的ASIC)的第三层交换,这允许它自主作出交换决策,而无需集中性CPU的参与。
品牌
Cisco的Catalyst2948G-L3
交换机类型
固定配置第三层(L3)以太网交换机
服务质量(QoS)
带有加权往返(WRR)调动的多个队列
网管功能
基于标准CiscoWorks2000应用程序的全面管理工具
背板带宽
22Gbps无阻塞交换光纤
数据转发率
10/100/1000/10000Mbps
端口数量与类型
48个专用10/100-Mbps以太网端口以及2个支持千兆位接口转换器(GBIC)的1000BaseX千兆位以太网端口;
所有端口都拥有第三层交换功能
VLAN功能
支持
应用层级
三层
支持的协议
支持Internet协议(IP),互联网包交换(IPX)和IP多路传输提供线速交换
Catalyst2948G-L3如图:
4.2二级交换机
由于大楼有774个信息接入点,考虑到该系统以后升级或加入信息点,需购买17台48端口的CiscoCatalyst2918-48TT-C交换机,其具体特点如下:
Cisco®
Catalyst®
2918系列交换机是面向中国市场中小规模网络部署的入门级固定配置交换机。
Catalyst2918采用简体中文的设备面板和图形化界面,以特优的性价比,为入门级配线间和小型分支机构提供桌面快速以太网和千兆上行网络连接。
CiscoCatalyst2918系列通过提供完备的入门级安全策略、服务质量(QoS)和可用性功能,降低了企业网络总体拥有成本。
该系列交换机还为中国企业用户提供了从非智能集线器和不可管理的交换机向便于扩展的可管理网络迁移的简便的途径。
CiscoCatalyst2918交换机提供:
两种千兆上行方式:
基于铜缆和光纤双重用途的千兆以太网端口,每个双重用途的上行端口都有一个10/100/1000以太网端口和一个基于SFP的千兆以太网端口,一次激活一个端口;
基于10/100/1000的铜缆以太网端口
根据用户、端口和MAC地址提供安全网络准入控制
基于中文图形界面的快速网络配置
使用Smartports进行自动配置
增强针对链路连接问题的故障排除能力和电缆诊断能力
提供出色服务质量,支持组播服务
有限生命周期硬件保修
免费软件更新
图1.CiscoCatalyst2918交换机
配置:
CiscoCatalyst2918-48TT-C:
48个10/100以太网端口和2个10/100/1000BAST-T上行端口
基于SFP的千兆以太网端口支持Cisco1000BASE-SX,1000BASE-LX和100BASE-FXSFP收发器。
安全:
CiscoCatalyst2918交换机支持的安全特性能帮助企业保护重要信息,使非法人员无法接入网络,确保私密性并保持不间断运行。
使用802.1x标准能实现动态的、基于端口的安全,提供用户身份验证功能。
端口安全能根据设备的MAC地址来限制以太网端口上的访问,并通过控制每一端口的设备连接数,使交换机免遭MAC泛洪攻击,保证接入用户的合法性。
可用性和可扩展性:
CiscoCatalyst2918交换机通过组播过滤和加强的全套生成树协议(SpanningTreeProtocol,STP),实现了网
升级会员 