03+三门峡水利枢纽局工程方案.docx
《03+三门峡水利枢纽局工程方案.docx》由会员分享,可在线阅读,更多相关《03+三门峡水利枢纽局工程方案.docx(30页珍藏版)》请在冰点文库上搜索。
03+三门峡水利枢纽局工程方案
三门峡水利枢纽局办公网
设计方案
郑州***网络科技有限公司
2007年10月
第一章网络系统结构设计4
公司背景4
现状及需求分析4
第二章网络总体设计6
网络改造方式6
企业主干网分析6
拓扑结构:
6
网络结构7
第三章设备选型8
核心层/分布层设备9
接入层设备9
结论10
第四章网络的规划11
实用性设计11
开放性设计11
可靠性设计11
安全性设计12
先进性设计12
可扩展设计13
IP的地址规划13
路由策略13
企业网络VLAN的实现14
第五章远程接入14
使用DDN专线实现总部与分支机构互连14
用IPSECVPN实现总部与移动办公、家庭办公互连15
VPN特点15
方案优势/特点15
第七章培训15
培训目的15
培训方式16
第八章售后服务与技术支持16
电话支持服务(7*24小时)16
远程拨入分析17
现场支持服务17
系统预防性定期维护服务17
产品介绍19
Catalyst6500系列19
Catalyst3560-48交换机23
Catalyst2950交换机24
CiscoSecurePIX525防火墙26
Cisco3640路由器29
第一章网络系统结构设计
公司背景
三门峡黄河明珠(集团)有限公司是在三门峡水利枢纽管理局的基础上,于1996年5月根据水利部建立现代企业制度试点单位要求整体改制成立的国有独资公司。
主要负责三门峡和故县两座水利枢纽的管理和运行维护,承担着黄河防洪、防凌、灌溉、供水、调水调沙、发电等任务。
目前,集团公司已形成了以电力生产为支撑,融电站运行管理、水电施工、机电检修、金属冶炼、宾馆旅游、监理咨询、国际贸易、房地产开发为一体的大型企业集团。
截止2006年底,集团公司现有职工3522人,离退休职工790人。
集团公司总部设有12个机关部门,下设3个分公司和10个子公司。
截止到2006年底,集团公司总资产达到18.42亿元,年经济总收入近9亿元。
近年来,集团公司先后荥获了“全国厂务公开民主管理先进单位”、“全国农林水利系统和谐企业”“全国农林水利系统五一劳动奖状”等多项省部级以上称号。
目前,集团公司旧的办公网是在2002年建立的,设备老化,已不能适应企业发展的需要.现需要对公司整个办公网进行升级改造,以适合当前网络的需求。
现状及需求分析
旧网网络架构如图所示:
原有的主干网络采用二层设计,设备属于比较早期的产品,Cisco3500以100M端口连接下级交换机及HUB。
用户接入主要采用10M以太网交换机和集线器。
总部与分公司目前没有数据连接。
整个总部网络设备有一条2M专线通过Cisco2511与Internet相连接,另一条专线512K专线与郑州黄委会连接。
WEB服务器、E-mail服务器、FTP服务器,数据库服务器主要集中于中心机房,各子网分别通过100M双绞线访问中心机房的服务器群,通过中心路由器与外界连接。
旧网不足及需求分析如下:
1.中心交换采用CISCO3500,出现故障就会影响网络的应用、带宽有限。
2.原先需要网络的人数少,经过多年的发展员工数量巨增,网络速度也已跟不上实际应用需要的速度,接入层采用集线器设备与中心交换机相连接,集线器是一个半双工的设备。
产生许多广播。
经常出现延时过大、丢包率高的现象。
再加上许多新的应用的逐步引入,对网络的依赖和带宽的需求会越来越高.
3.在旧网络公司中,总部与分公司没有数据连接。
由于业务的扩展,分公司都希望企业总部能够与各分支机构互联互通,更好的与总公司进行信息交流.
4.各种服务器放置在内网上,没有一点点的安全防护,内部人员、黑客对内部关键数据的非法访问对公司的数据造成极大的危险,网络上的病毒的入侵,也是一大要害。
综上所述所因,就需要对原有网络进行升级改造。
第二章网络总体设计
网络改造方式
企业主干网分析
目前,网络技术发展迅速,用户需求千差万别,厂商产品丰富多彩。
但就其从用户网络的应用需求类型特点,网络技术的发展水平来说,通常目前主干网的技术策略有五种,即:
快速以太网;FDDI;ATM;千兆以太网;万兆以太网。
快速以太网及FDDI主干带宽限于100M,对于企业局域网主干而言已不在考虑之列。
ATM交换骨干(OC-3155Mbps或OC-12622Mbps)网络设备的价格通常比较高,而且采用ATM势必需运用ATM以太网仿真技术,将会增加交换的延时并影响多媒体对服务质量的保证。
千兆以太网的第3层交换骨干技术成熟,千兆以太网在企业网、园区网、城域网和局域网骨干上取代了传统的ATM。
千兆以太网交换骨干技术特点是:
具有高速数据传输带宽(1Gbps),提供高速交换能力;易于网络移植、易于维护;简单易于管理;具有良好的性能价格比。
在选型时考虑到千兆以太网已成为局域网主干技术策略的事实上的标准,为广大用户所选择,在建设企业主干网时将技术策略定位于千兆以太网技术。
拓扑结构:
根据对旧网的调研情况,结合局方本次项目改造需求,我们建议按以下方式进行网络改造:
改造后的骨干网络连接。
改造后网络详细结构示意图为:
网络结构
公司网络采用核心层、汇聚层与接入层三层网络模型,提高网络的扩展性。
1.采用思科系统公司的多层交换机Catalyst6506做为核心,负责全网的信息交换。
2.整个网络分为办公大楼、明珠宾馆和黄河大坝三个办公区,由于每个办公区下辖节点及部门较多,业务应用比较复杂,所以配置一台CatalystS3560(三层)交换机作为骨干平台,上行千兆连接核心层6506,下行采用百兆连接接入层的S2950。
S3560支持Vlan的划分,提供办公区内VLAN间的路由,减少中心交换机的负担。
每个工作区再选用CISCO公司的Catalyst2950(二层)交换机5台。
采用100M的5类UTP连接接入相应的部门。
3.内部大流量服务器通过千兆网卡于核心交换机相连提接高性能。
4.网络安全及管理在安全方面:
配置了一台CiscoSecurePIX525防火墙,有了DMZ区,对外服务器放在DMZ区提高内网的安全性,可以防止黑客对内部关键数据的非法访问和病毒的入侵。
5.外部互联:
(1)将与郑州黄委会512K的DDN专线升级为2M。
(2)新增加2M的DDN专线与故县水库和山西铝厂进行远程连。
6.移动办公用户:
移动办公用户访问公司总部访问量较小,从经济上考虑,采用IPSECVPN技术通过Internet实现移动用户远程接入.
第三章设备选型
对此次的改造,我们提出整体设备选型。
主要围绕以下几点:
***电子改造后的网络具有以下特点:
·高性能,全交换
-1000Mbps连接高流量服务器
-骨干连接采用1000Mbps
-100Mbps连接桌面用户
-线速核心第三层交换,使路由器专注于处理网络流量,灵活,高效,可靠的网络连接
-支持多种广域网链路:
DDN,IPSECVPN等
·可扩展性强
-空余的GBIC插槽提供低成本的千兆连接
-核心采用模块化交换机,具有更强的扩充能力
-分布层及接入层交换机可通过千兆堆叠扩充用户数
-模块化路由器有更多插槽,可更多地扩充新功能,端口种类和数目
·系统安全,保密性高
-专门的软硬件集成防火墙解决方案--CiscoSecurePIX525防火墙
-虚拟专网VPN及支持各种加密算法
-按需划分虚拟网络,管理得心应手
·综合的网络管理
-基于CiscoIOS的统一的人机命令界面
核心层/分布层设备
对于网络的核心层的设备建议采用大容量且具备智能的多层交换功能特性,根据网络技术的发展与产品应用的定位,建议核心设备拥有超过62G的高容量,充分满足目前和未来发展用户的网络需求,同时提供快速的智能处理过程。
在设备的处理结构上,要采用结构化的设计,在高速大容量的总线带宽下,还要提供分布式的处理与结构化的设计,核心不允许有集中式处理机制的存在,这样才避免因个别端口的拥塞而导致整个设备失去控制,对于核心的每个模块要支持热插拔,并且根据将来的扩展要预留扩展槽位。
为了保证核心网络的高可用性不允许满配置的核心设备对网络的负载进行单一的规模化,在网络的扩展时,核心设备应支持分担负载的能力。
这样才能使整个核心网络大大提升工作效率。
从网络的发展角度上考虑,核心设备要支持对用户的安全认证与鉴别的能力与手段,对网络用户的安全鉴别主要包括:
基于VLANID、IP地址、MAC地址来识别宽带用户的网络信息。
所有的其它智能用户管理与流控的功能,在智能的多层交换机中已经可以做到。
对于核心智能的交换设备支持802.1x\DHCPRelay与分中心的边缘设备配合进行用户的识别可对整个网络用户的认证,体现智能网络带来的整体应用价值。
这样既保证网络的兼容性与开放性也能保证网络的安全性与高可用性。
接入层设备
接入层设备是接入用户终端的产品,结点相对来说较多。
因此要选择一些端口密度大,
从设备的硬件配置上讲,支持总线的堆叠功能,这样相当于可以增加背板的带宽,大楼的各个汇聚的扩展提供方便。
支持1000M的上联与端口捆绑,以便将更多的接入交换机汇聚到高速的核心网络上。
结论
CISCO公司网络产品的卓越的性能价格比、高可用性、兼容性以及CISCO公司为各行各业提供的成功网络解决方案早已为全球IT用户所知,网络建设首选CISCO产品已经成为业界主流。
通过以上分析,结合局方设备现状和需求,同时考虑设备统一管理的原则,我们建议此次改造建设新增设备选择CISCO公司产品。
骨干层设备选择CISCOcatalyst6506多层千兆交换机,分布层大流量的采用CISCO3560(三层)交换机,接入层采用cisco2950(二层)做为接入层设备,以满足改造后网络性能需要。
详细配置情况为:
设备名称
数量
单台配置情况
CICSO6500引擎III多层千兆交换模块
1台(多层)
机箱:
CiscoCatalyst6506;
1个引擎III多层千兆模块
冗余电源;32端口10/100自适应以太网模块和8端口千兆位以太网模块(GBIC插槽)
CISCO3560-48
3台(三层)
冗余电源;48个10/100自适应端口/2个GBIC端口
CICSO2950
15台(二层)
48个10/100自适应端口/2个GBIC端口
CiscoSecurePIX525防火墙
1台
CISCO3640
1台
高密度的异步接口插槽
两个异步/同步串行接口
两个以太网口
详细产品资料见附件。
第四章网络的规划
实用性设计
服务器设备和网络设备在技术性能逐步提升的同时,其价格却在逐年的下降,不可能也没必要实现所谓“一步到位”。
所以网络方案设计中把握“够用”和“实用”原则。
在这个方案设计中根据客户的需求,把旧有的网络升级,旧有网络设备,比如HUB可以用于员工宿舍内组建局域网使用。
接入层使用CICSO32950,端口密度大,支持vlan的划分,性价比好。
目前,使用千兆以太网技术已经可以满足企业的需求。
采用的设备是CISCO公司的产品,拥有可靠性,性价比也较好,达到实用、经济和有效的结果。
开放性设计
网络系统采用开放的标准和技术,IEEE802.1Q,TCP/IP协议,OSPF,其有利于未来网络的系统扩充;有利于与外部网络互通。
可靠性设计
在网络的可靠性设计中,核心层6500设备之间通过多模千兆光纤连接,共同形成的捆绑链路,来扩充核心层设备之间的中继带宽,冗余电源,达到4G。
重要地点办公大楼,科研楼与核心层设备之间通过两条千兆光纤连接形成双链路,当一条链路出线故障时,另一条链路可以启用,这就保证业务不会中断。
因为办公大楼的楼层多,接入的端口数多,流量大,采用三层网络设计,通过一台三层的交换机VLAN间路由,减少核心层交换机的负担,通过多种负载平衡技术实现网络链路的冗余连接和故障的快速恢复功能。
本方案设计选用CISCO三层交换设备,采用OSPF的等值路由平衡技术来保障汇聚层与核心层设备之间数据的可靠传送,为两层之间数据流量提供合理、安全的负载均衡机制,以提高网络性能。
安全性设计
网络安全主要是指防止黑客对内部关键数据的非法访问和病毒的入侵。
在三门峡水利枢纽局办公网工程中配置了CiscoSecurePIX525防火墙,它是世界领先的CiscoSecurePIX防火墙系列的组成部分,能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。
它所提供的完全防火墙保护以及IP安全(IPsec)虚拟专网(VPN)能力使特别适合于保护企业总部的边界。
Internet的发展为企业和专用网络带来了更大的安全风险。
把外网的WWW服务服务器放在DMZ区增加了内网的安全。
CiscoSecurePIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。
静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。
ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。
只有存在已确定连接关系的正确的连接时,访问才被允许通过CiscoSecurePIX防火墙。
这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。
现在公司总部提供了通过因特网建立廉价的VPN让合作伙伴互连。
PIX525集成了VPN的主要功能-隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。
525可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。
对于安全数据加密,Cisco的IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法
先进性设计
本方案是建设一个现代化的网络系统,采用先进而成熟的千兆技术,在一段时间内保证其主流地位。
网络系统采用当前较先进的技术和设备,如思科的6506,3560等设备,是符合网络未来的发展潮流。
可扩展设计
本网设计时不仅考虑到近期的需求,同时也为网络的进一步发展留有扩展的余地。
网络核心交换机使用模块化的交换机,最大的特点就是易扩展。
低下采用二、三层模形的混合,以后公司规模的扩展,可以很方便的将混合模型升级为三层的网络设计模型。
IP的地址规划
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。
对于腾飞电子企业网络IP地址的分配,我们将尽可能地利用地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
每个物理地点划分连续的IP地址,这样核心交换机可以使用路由汇聚减少核心路由表的条目。
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由策略有非常密切的关系,将对网络的可用性、可靠性与有效性产生显著影响。
IP地址的分配需要有足够的灵活性,能够满足各种用户的需要;
IP地址的分配采用VLSM技术,保证IP地址的利用效率;
采用CIDR技术,这样可以减小路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
总之,要充分合理利用已申请的地址空间,提高地址的利用效率。
路由策略
内部网关协议采用开放的标准IETF动态路由协议――OSPF(全称为开放最短路径优先)。
“开放”表明它是一个公开的协议,由标准协议组织制定,各厂商都可以得到协议的细节。
“最短路径优先”是该协议在进行路由计算时执行的算法。
OSPF是目前内部网关协议中使用最为广泛、性能最优的一个协议,特别适用于大型网络。
它具有以下特点:
◆可适应大规模的网络;
◆路由变化收敛速度快;
◆无路由自环;
◆支持变长子网掩码(VLSM);
◆支持等值路由;
◆支持区域划分;
◆提供路由分级管理;
◆支持验证;
◆支持以组播地址发送协议报文。
企业网络VLAN的实现
VLAN即VirtualLAN,表示虚拟局域网,简称虚网。
它依靠逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的MAC地址等。
整个网络可以根据管理的要求、地理位置和片区的划分来设置相应的VLAN(虚拟子网),VLAN技术可以将不同VLAN之间的用户隔离,保证安全性。
划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过具有第三层路由功能的设备来完成。
思科公司的Catalyst交换机系列都支持VLAN的设定和ISL、802.1Q两种以太网VLAN标识技术。
本方案设备从核心层交换机CISCOcatalyst6500、访问层交换机,到接入层交换机设备都支持IEEE802.1QVLAN标准,保证了该项技术的顺利实施。
这样,通过在接入层交换机为用户配置不同的VLAN,进行端口隔离,所有的用户端口只能通过核心交换机来实现互连。
办公大楼的访问层采用CISCOcatalyst3550三层交换机,部门之间的VLAN信息可以通过它来转发可以减少核心层交换机的负担,在核心层交换机通过ACL(访问控制列表)进行相应的控制,使得用户的访问得到完全的控制。
第五章远程接入
使用DDN专线实现总部与分支机构互连
随着网络的飞速发展,企业总部和各分支机构之间需要实现网络互联,DDN专线可以提供稳定、可靠、安全的数据传输,非常适合总部与分支间的互连。
用IPSECVPN实现总部与移动办公、家庭办公互连
VPN特点
● 不限流量,不限网址,包月使用,费用低廉;
● 不需额外的设备或软件,无须缴纳初装费;
● 配置简单,使用方便,可自由访问互联网;
●安全性高,接入灵活;
第六章方案优势/特点
按照以上方案建设的三门峡水利枢纽局办公网,全线使用CISCO产品,易管理,安全性高。
在局域网中合理地选择交换产品设计带宽,体现了性能卓越而又经济实用的原则;在广域网方面,采用DDN专线与分支机构相连接,稳定可靠。
对于家庭办公和移到办公用户采用IPSECVPN接入公司总部,即安全可靠,又经济实用。
接在基本功能实现的基础上,还用到了ciscopix525防火墙、CiscoWorksWindows等技术和产品来保障网络的可靠性、安全性和易于管理性。
第七章培训
为保证三门峡水利枢纽局办公网络项目顺利实施和系统更好运行,让涉及本项目人员能够完全掌握系统的使用和维护方法,技术等,针对本次系统,提供全面、多样化和针对性的培训。
培训目的
系统管理人员是计算机及网络环境正常运行的守护神,培养自己的系统管理员对于用户来说是至关重要的。
为了保证企业局域网改造项目能稳定、高效地运行,提供全方位的培训,企业建立一支技术过硬的应用及维护队伍。
通过培训,使各级相关人员对系统有充分了解,熟悉系统的设计原理和工作方式,掌握系统的工作流程和操作方法。
在系统出现比较小的故障时,能够进行正确的故障诊断甚至排除故障。
培训方式
向三门峡水利枢纽局系统管理相关人员提供多种方式的用户培训,充分满足各个层次培训对象的需求,根据合同,培训方式包括以下几类:
1、初级培训:
在当地进行系统应用软件的使用方法与日常系统软件维护的集中培训,使用户掌握系统基本操作和所需功能的使用方法。
适用于所有培训对象。
2、中级培训:
在当地进行的集中培训,在用户掌握系统基本功能使用方法的前提下,为其提供高级功能的使用方法、多项功能组合使用、常见故障诊断与处理等中级水平的培训内容。
3、高级培训:
在非本地进行的关于系统维护和性能调整的高级培训。
旨在使用户完全彻底掌握系统,为整个系统的长期稳定运行提供有力保证。
第八章售后服务与技术支持
服务宗旨:
为客户提供高度量、高效率的服务与客户保持良好持久的合作关系。
服务范围:
包括维护、咨询、诊断、优化等服务,为客户提供的热线咨询服务。
响应速度:
为异地客户提供2小时响应服务;为本地客户提供1小时响应服务。
公司极其重视三门峡水利枢纽局办公网改造项目的建设,根据用户的要求和具体情况,提供一流的技术和服务,并根据用户的具体要求及实际情况,组织强大的技术力量,制定完善的售后服务实施计划,建立健全的售后服务制度,提供给客户一整套全面的服务项目,可以帮助客户最大限度的减少故障时间,达到系统连续健壮运行的目标。
针对上述目标,公司向三门峡水利枢纽局办公网项目提供如下服务:
电话支持服务(7*24小时)
没有次数限制:
只要您对系统存在问题,请即刻拨打我们的服务热线电话.对于我们的工作人员,您的电话将享有最高的优先级,我们将优先处理您的电话求助,直至得到令您满意的结果;专业的技术工程师和完善的电话处理及升级程序能保证快速有效的支持。
电话指导和远程诊断,普通的问题立即解决,有一定复杂度的问题,在15分钟内响应,必要时,由专业技术人员到现场解决。
远程拨入分析
统计分析表明,IT行业的系统失败有不低于70%的情况属于软件和配置问题,而远程拨入方式将大大提高诊断速度与工作效率,节省维护费用。
现在的网络发展也使这一手段成为可能。
在用户允许的前提下,我们的工程师将通过安全VPN进行远程拨入分析,快速而直接地对系统进行诊断与故障排除。
现场支持服务
当您的系统被确诊为硬件故障时,我们的现场工程师会带同相应的替换备件立即赶赴现场进行紧急维修。
我们的承诺是:
搭乘最近的车次(必要时专车前往),使您的系统故障时间被压缩到最小。
在服务期限内,所有故障备件(物理损伤除外)的更换均是免费的,即已经包含在总体的服务费用之中,不再另行收取备件费用。
系统预防性定期维护服务
公司认为“防患于未然胜于亡羊补牢”。
公司系统维护及技术支持服务的核心不仅是“故障维修”,将风险和问题消灭在萌芽阶段的“系统预防性维护”更是公司服务的重要环节。
公司工程师定期对系统进行一次预防性维护。
通过对系统的检查、维护、诊断,公司工程师能及时发现问题隐患;通过保养、工程改变、系统调整、安装PTF(修正性软件)等手段,使系统保持稳定高效地运行。
不定期对用户的故障进行汇总,经分析总结后,整理成整体故障和解决建议及预防建议,并及时提供给用户。
公司工程师对客户服务系统进行定期预防性维护内容简要说明如下:
-机房环境的检测
-机器硬件的全面诊断
-检查系统错误的历史记录
-检查系统性能
-为用户建立专门用户档案
-将系统配置及网络环境记录在案
-将每次服务内容记录在案并汇报
-公司及用户有关服务信息、联系人员记录在案等
(详细产品资料见附件)
产品介绍
Catalyst6500系列
Catalyst6500系列具有许多业界领先的功能,获得了许多"业界第一"称号。
它同时支持三代模块,这些模块不但能不断提升Catalyst6500的用户价值,也同时体现出思科对于创新的关注。
思科的新一代Catalyst6500系列模块和交换引擎SupervisorEngine720包含思科新开发的11种应用专用集成电路(ASIC),它不但扩展了思科在网络界的领先地位,还能提供无与伦比的投资保护。
CiscoCatalyst6500系列的优点
CiscoCatalyst6500系列不但能为企业和电信运营商提供市场领先的服务、