超市网络规划与___设计方案.docx

超市网络规划与___设计方案.docx

《超市网络规划与___设计方案.docx》由会员分享，可在线阅读，更多相关《超市网络规划与___设计方案.docx（35页珍藏版）》请在冰点文库上搜索。

超市网络规划设计方案

成员姓名：

王东 专业：

信息管理与信息系统班级：

B1002

信息技术学院

超市网络规划设计方案

摘 要

随着计算机技术的发展，信息时代正在来临，信息技术的所带来的巨大经济效益使得各行各业都加快脚步进行信息化。

构建一个网上业务平台，利用信息网络和通信技术,高效地帮助集团提高超市的宣传度和知名度。

集团的沟通、应用、财务、库存、决策、会议等数据流都在集团网络上传输。

构建一个"安全可靠、性能卓越、管理方便

"的"高品质"大型网络，已经成为超市信息化建设成功的关键基石。

超市网络不仅像校园网络那样有多栋建筑，而且还有许多省内和省外的分支店面，因此网络拓扑结构较为复杂，对网络的安全性要求也比较高。

本文简要地讨论了超市网络规划设计中涉及到的网络技术、规划设计方法、网络性能及应用分析等问题，为超市网络的规划、设计和升级改造等方面在技术及应用上提供参考，以使在建或规划中的超市网络具备较高的整体性能。

关键词：

超市网络；规划设计；网络安全

--

超市网络规划设计方案

目 录

-I-

摘 要 I

一、网络需求分析 1

（一）业务需求 1

1.确定组织结构与网络投资规模 1

2.通信量的需求 1

3.确定网络的可靠性和可用性 1

4.确定网络的安全性 1

5.确定远程接入方式 2

（二）用户需求 2

1.收集用户需求 2

2.用户服务表 2

（三）应用需求 2

（四）网络需求 2

1.局域网功能 2

2.数据备份和容灾中心需求 3

二、网络组网技术 4

（一）超市组网分析 4

（二）现有的组网技术 5

1.无线AP技术 5

2.VLAN技术 5

3.虚拟专用网（VPN） 5

4.混合光纤同轴电缆网（HFC网） 6

（三）适用于大型超市的主干网技术 6

1.ATM异步传输模式 6

2.千兆以太网 6

三、网络拓扑图 8

四、网络设计 10

（一）核心层 10

（二）汇聚层 10

（三）接入层 11

（四）VLAN设计方案 12

（五）IP/VLAN规划工作 12

1.确定企业网内网IP地址网段 12

2.规划主交换机端口VLAN 13

3.规划防火墙、路由器、服务器的IP地址 14

4.规划企业网内网用户的IP地址 14

5.内网NAT共享上网 14

（六）VPN设计方案 14

1.端到端的加密 14

2.点到点的网络加密 15

（七）无线网络设计方案 15

1.Ad-hoc模式 16

3.Infrastructure 16

（八）监控系统 16

五、设备选型 17

（一）Catalyst2960系列交换机 17

（二）CISCO3800系列路由器 18

六、网络PDS系统设计 20

（一）水平子系统的设计 21

1.拓扑结构 21

2.布线距离 21

（二）垂直子系统的设计 21

（三）设备间子系统设计 22

（四）工作区子系统 22

（五）管理子系统 23

（六）建筑群子系统 23

七、布线系统的测试 25

（一）双绞线测试内容与标准 25

1.衰减 25

2.近端串扰 25

3.直流电阻 25

4.特性阻抗 26

（二）光缆系统的测试与标准 26

1.光缆链路测试方法 26

2.光缆芯线终接要求 26

八、网络安全设计 27

（一）防火墙 27

（二）入侵检测系统 27

参考文献 29

成绩评定表 30

一、网络需求分析

（一）业务需求

整个网络开发过程中，应尽量保证设计的网络能够满足用户业务的需求。

网络系统是为了一个集体提供服务的，在这个集体中，存在着职能的分工，也存在着不同的业务需求。

1.确定组织结构与网络投资规模

超市系统采用的是集中式和分布式管理相结合的管理方案，即在总部建立

WEB服务，安装相应的管理程序。

在各个分店安装实时传输工具，通过网络连接总部服务器。

实现日常业务单据的录入、查询、核算等。

核心网络、汇聚网络、接入网络、综合布线、机房建设等采取的是一次性投资。

从销售量的增长与越来越多的消费群体，业务需求不断攀升，可能在几个外省开分店。

网络的规模也随之扩大，需要考虑到目前网络的可扩展性。

远程通讯线路的或电信租用线路，培训费和网络维护费，设备维护费等都是超市需要纳入考虑的费用中。

而不仅仅是核心交换机与路由器的费用。

2.通信量的需求

超市的通信量主要来自于两个方面，其一是一般文件的共享或打印共享，这些只需要1Mbit/s的带宽就够了。

通信量要求高的是超市监控系统或多媒体视频服务，这些一般需要10Mbit/s以上的带宽。

考虑到超市可能建设强大的远程采购系统，一些省内与省外骨干线路的带宽要求更高，宜采用单模光纤，能保证长距离布线。

3.确定网络的可靠性和可用性

考虑到一个市内有多家分店，确保网络数据的实时传输，不会存在仓库商品已出库，而系统还未记录现象发生。

当有线路故障后立即完成线路切换。

特别是核心交换机，应采用链路冗余技术。

4.确定网络的安全性

如财务部的信息是不对外公开的，只对内部一部分人员。

在超市内部内部可以采用划分VLAN策略。

既能使各个部门正常地工作，又能做到信息的保密工作。

但大多数网络用户的信息是非涉密的，因此提供普通的安全技术措施就可以了。

对于有特殊业务的网络，就需要对职员进行严格的安全限制。

–0–

5.确定远程接入方式

考虑大型超市可能在全省各市和外省设有店面，实现在任意时间、任意地点都可以访问总部的网络资源，可以借助加密技术和VPN技术，从远程站点来访问内部网络。

（二）用户需求

1.收集用户需求

找出用户需要的重要服务或功能。

这些服务可能需要网络完成，也可能只需要本地计算机完成。

如需要在每个超市内部设置自动拥有查询的系统，如某某用户可在超市中使用计算机查询出所要买物品的方位与价格信息。

2.用户服务表

类似于备忘录，在收集用户需求时应利用用户服务表随时纠正信息收集工作的失误和偏差。

（三）应用需求

大型超市常见的应用需求有因特网访问、电子邮件、图像图像、视频业务、语音业务、办公自动化等

（四）网络需求

1.局域网功能

传统局域网络由二层交换机构成局域网骨干，整个网络是一个广播域。

在这样的网络中，网段由交换机的一个端口下连的共享设备形成，网段内部用户之间通信不需要通过交换设备，而段间通信需要通过交换设备进行存储转发。

现代局域网由三层交换设备构成局域网骨干，这种网络中存在多个广播域，其实就是多个小型局域网，这些小型局域网通过三层设备的路由交换功能互连。

无论是哪种网段，都是计算机节点的一种划分方式。

但目前基于三层交换机技术的网段划分方式逐渐成为主流。

超市在一天的业务中，业务流量的高分一般集中在早上9点，和晚上8点左右。

我们可以对现有网络通过各种测试工具（如HPOpenView、IBMTivoliNetView）来获取网络流量分析，从而获取当前的网络负载，作为网络升级的参照。

–29–

2.数据备份和容灾中心需求

对于一些特定行业来说，数据是至关重要的，数据一旦丢失，将会造成不可挽回的损失。

超市也不例外，财务部，采购部、一天的营业额等数据是重点内容。

采用网络接入存储（NAS）与存储区域网络（SAN），也可采用高级的IPSAN技术。

二、网络组网技术

（一）超市组网分析

对于总部来说，应构建一个局域网。

假设有新旧两幢办公楼、第一会议楼、第二会议楼、职工活动中心、多媒体中心、图书阅览室。

其中除职工活动中心外，每幢楼都有会议视频业务，并在多媒体中心与图书阅览室可以实现无线上网业务。

出差人员可以访问企业内部网。

新旧两幢办公楼大约460米，新办公楼与两个会议楼120米左右。

每幢建筑物之间的直线距离在60—460之间。

其地理分布图2.1

网络环境示意图2.2

（二）现有的组网技术

对于总部来说，宜采用的组网技术有无线AP、VLAN技术、虚拟专用网（VPN）、混合光纤同轴电缆网。

1.无线AP技术

在无线局域网（WLAN）中，无线接入点（AP）主要实现无线网络工作站与WLAN的无缝集成，对无线信号起中继放大的作用，提供无线接入服务。

主要使用扩展频谱通信技术，采用这种技术的优点是将信号散步到更宽的频带上，以减少发生阻塞和干扰的机会。

2.VLAN技术

VLAN技术是交换机技术的重要组成部分，也是交换机的重要进步之一。

它用以把物理上直接相连的网络从逻辑上划分为多个子网。

每一个VLAN对应一个广播域，处于不同VLAN上的主机不能进行通信。

可以用来确保信息的安全。

3.虚拟专用网（VPN）

建立在公用网上的、由某一组织或某一群用户专用的通信网络，其虚拟性表现在任意一对VPN用户之间没有专用的物理连接，而是通过ISP提供的公用网络来实现通信，其专用性表现在VPN之外的用户无法访问VPN内部的网络资源，VPN内部用户

之间可以实现安全通信。

以方便企业的VIP用户及出差员工通过公共Internet安全地访问企业内部LAN资源。

4.混合光纤同轴电缆网（HFC网）

应用数字和模拟传输技术，综合接入Internet、电话、模拟和数字广播电视及数字交互业务等多种业务，将计算机网络、有线电视网和电话网合并在一起实现“三网合一”，具有建网快、造价低、传输带宽较大和资源利用率更高等优点。

（三）适用于大型超市的主干网技术

1.ATM异步传输模式

ATM是今年来人们为了满足宽带综合业务数字网的通信需要而产生的，它为宽带综合业务数字信号提供了一种传输、复用和交换的方法，使语言、数据、图形和影视以固定的信元长度在一个网中传输，提高了传输速率。

ATM独占带宽和可预测的性能采用信元（cell）交换技术，具有能够为用户提供独占带宽（可支持1.5Mbps至2.4Gbps之间的传输速率）、带宽可调、网络延迟小等特点。

ATM作为大型超市主干有以下优势：

1）ATM易于扩展至极高的速率；

2）ATM提供VLAN功能，可以提供设备之间极高的通量；

3）ATM提供极强的冗错功能；

4）ATM对实时的语音及图像传输提供了极小的延时；

当前广域网基本采用ATM设备，大型超市主干采用ATM技术易于与广域网实现无缝连接。

ATM由于完善的服务品质而倍受重视。

ATM除提供一般的时通讯服务外，也提供一些先进的服务，如远距离视频会议、实时图像传输等。

但是ATM是一种全新的技术，采用ATM网络的用户必须购置新的测试工具、培训专业人员、而且ATM价格较为昂贵，目前ATM大多只用于要求较高的主干网，到桌面还是以太网。

2.千兆以太网

因为当前大部分局域网均使用以太网方式，而且所有网络操作系统与上层协议均与以太网兼容，这就使以太网仍成为未来的主流。

在许多的快速以太网占有极大的比率，因而从10BASE-T升级至100BASE-TX非常容易，而且可以做到完全无缝式的升级，所以在千兆以太网的标准已经基本制定的今天，千兆以太网已成为各个企业主干的首选。

性能

千兆以太网

快速以太网

ATM

IP相容性

YES

YES

IPOA/LANE/MPOA

以太分组

YES

YES

LANE

多媒体

YES

YES

YES

QoS

YESRSVP/802.P

YESRSVP/802.P

SVC/RSVP

ATM和千兆以太网的高速网络相容性表2.1

3、网络拓扑图

图3.1

图3.2

四、网络设计

根据以上的分析，网络应包括核心层、汇聚层、网络接入层三个层次，网络设备推荐配置如下：

核心层由智能万兆以太网路由交换设备组成，汇聚层采用智能的三层交换机，接入层都使用智能快速的以太网设备。

（一）核心层

核心层是网络互联的最高层次，应具有如下能力：

l核心设备之间应该具有最高速的链路。

l比较粗的QoS控制粒度。

l最高的路由前缀。

l为网络其他模块提供互联。

企业网的核心层是一个数据交换枢纽，提供高速、有效地数据交换。

鉴于其重要性和必要性，核心层的可用性也在设计中得到了充分的体现。

核心节点之间的互联采用千兆以太网或千兆以太网的捆绑技术。

通过在核心层配置动态路由协议，提供数据的路由和路由的迂回。

核心层使用万兆骨干智能路由交换机来完成大型超市总部的各种业务的转发及全网的路由与交换。

该核心交换机应支持10G以太网和10G广域网接口，采用分布式体系结构，可以提供高达1.6T背板带宽、交换容量>500Gbps，包转发率>200Mpps。

并可提供高密度接口板，支持线速转发。

为保证核心层的安全性、稳定性、高带宽、建议使用2台核心层交换机来实现校园网内部的流量分摊。

设备间采用千兆以太网链路作为主用连接，采用千兆以太网链路作为备用链接，两台核心交换机通过千兆链路链接防火墙的千兆端口，实现整个大型超市的地址翻译、VPN、ACL等功能。

（二）汇聚层

汇聚层是核心层和接入层的连接模块，主要功能如下：

l细到粗QoS粒度的转换。

l提供到核心的路由合并。

l提供到访问层的路由过滤。

汇聚层网络主要提供了用户的汇聚功能和服务质量保证的功能。

在汇聚层能够真正做到通过识别用户及应用提供不同的服务质量保证。

汇聚层设备使用可扩展千兆多层路由交换机，在保证网络的安全性和稳定性的前提下，可以支持将汇聚节点分别以双归属性上联到核心设备，设备互联采用1000M以太网接口。

（三）接入层

接入层是面向最终用户的设备，主要功能如下：

l提供高密度的用户端口。

l提供许可控制，包括：

（安全控制、QoS控制）。

接入层网络是纯二层交换网络，提供用户的网络接入。

由于接入层设备需要部署在楼层，因此要求这些设备容易管理并且投资成本少。

在接入层用户较为集中的楼层，使用具备链路捆绑功能的交换机或堆叠式的交换机，便于今后上联链路带宽的扩展以及链路的冗余。

楼宇接入设备推荐选择智能快速以太网交换机，支持良好的带宽线速，代理防范、广播风暴抑制等功能。

本方案接入设备的布置灵活多变，只要根据用户数量配置接入设备即可。

对于核心路由器可以选用模块化接入，固定的广域网接口+可选广域网接口，固定的局域网接口：

100/1000Base-T/TX。

各个楼宇间物理层布线说明表如下：

标准

传输介质

最大段

长

说明

TX

1000Base-

4对5类UTP

100m

使用阻抗为

100∏（或超5类或6类）UTP

LX

1000Base-

62.5微米或50微米

多模光纤

550m

使用长波激光信号源，

波长为1270~1355nm

SX

1000Base-

62.5微米多模光纤

550m

使用短波激光信号源，

波长为770~860nm

50微米多模光纤

525m

1000Base-

CX

两对STP和9芯D

形连接器

25m

适用于交换机之间段

距离的连接，如千兆主干交换机和服务器之间的连接

表4.1

（四）VLAN设计方案

虚拟网络（VLAN）是将局域网内广播域逻辑地划分为若干子网。

在一个交换局域网中，所有局域网段通过交换机连接在一起，路由器连在交换机上（如果是三层交换机，则不需路由器），可以按网段和站点的逻辑分组形成广播域，通过在局域网交换机内过滤广播包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。

虚网之间的寻径由路由器完成，本方案采用的就是具有路由寻址功能的路由交换机。

虚网建立以后，能有效地控制网络的广播风暴，减少不必要的资源带宽浪费，并能随着企业规模的发展和调整改变通信流的模式。

在主流的交换机产品中提供多种虚网组织方法：

1）基于端口的虚网划分。

2）基于网络安全要求，可采用MAC地址方法或用户自定义方法组织虚网，其它用户即使接入到网络交换机的端口中，也无法进入该虚网。

3）可对每个端口设置相应的安全控制策略，防止非法用户的侵入。

4）可借助三层交换机，实现基于IP子网的虚网。

5）利用VLAN 国际标准802.1Q，可实现跨交换机的VLAN，通过VLAN生成树技术

（PerVLANSpanningTree），可实现各VLAN 之间的负载均衡，并且当网络拓扑发生变化时，只影响到相关的VLAN的生成树重新计算，使网络的收敛时间最短。

6）采用VLANPruning 技术来优化交换网络中广播对网络性能的影响，使VLAN 内部的广播包不会扩散到没有该VLAN成员的中继和交换机上去。

（五）IP/VLAN规划工作

1.确定企业网内网IP地址网段

我们对大型超市网的IP分配一般以RFC1918中定义的非Internet连接的网络地址，也称为私有地址。

由Internet地址授权机构（IANA）控制的IP地址分配方案中，留出了三类网络地址，给不连到Internet上的专用网使用。

它分别是：

A类：

10.0.0.0

~ 10.255.255.255；B 类：

172.16.0.0 ~ 172.31.255.255；C 类：

192.168.0.0 ~

192.168.255.255。

其中的一个私有地址网段是：

192.168.0.0是我们在内网IP 分配中最常用的网段。

IANA保证这些网络号不会分配给连到Internet上的任何网络，因此任何人都可以自由地选择这些网络地址作为自己的私有网络地址。

在申请的合法IP不足的情况下，企业网内网可以采用私有IP地址的网络地址分配方案；企业网外网接入、

DMZ区使用合法IP地址。

我们确定了要使用的私有网段以后，进一步还要划分子网段，并与VLAN号部门相关联，把这做成一个对照表。

部门名

VLAN号

子网段

子网网关（VLAN

IP）

经理办

VLAN1

192.168.1.0

/24

192.168.1.1

行政办

VLAN2

192.168.2.0

/24

192.168.2.1

市场办

VLAN3

192.168.3.0

/24

192.168.3.1

财务办

VLAN4

192.168.4.0

/24

192.168.4.1

服务器组

VLAN5

192.168.5.0

/24

192.168.5.1

其它未定用

户

VLAN6

192.168.6.0

/24

192.168.6.1

网络中心

VLAN10

192.168.10.

192.168.10.1

0/24

2.规划主交换机端口VLAN

表4.2

我们一般采用较流行的VLAN 划分方式：

基于端口的VLAN 划分。

因此创建

VLAN 号，为主交换机的端口指定VLAN 号是规划整个内部VLAN 的关键。

另外

VLAN 限制了广播域，跨越VLAN 间的通信要经过路由，主交换机是一台三层交换机，需要为它配置路由选择协议，以实现VLAN间的线速路由。

3.规划防火墙、路由器、服务器的IP地址

WWW/MAIL/FTP 服务器、防火墙的DMZ网卡、防火墙的外网卡、路由器以太网口1、路由器广域网口1应该使用从ISP申请到的合法IP。

4.规划企业网内网用户的IP地址

规划完子网与VLAN，接下来就要考虑内网用户IP的分配方式。

针对用户比较集中、信息点位置相对固定的情况，建议使用静态IP。

这对于日后的管理、维护、故障排查非常重要，管理员可以根据IP地址迅速确定主机所在位置。

使用静态IP，用户与联接交换机的端口处于同一VLAN。

为方便新的用户IP地址的分配，应做好现有用户

IP地址的记录。

当用户变动较大，信息点数量无法准确计算时，建议使用动态IP。

动态IP的优势在于方便用户使用，用户只需要将网络属性中的IP地址栏设成自动获取，用户的本机IP、缺省网关、DNS、WINS等关键信息，会自动从DHCP服务器中得到。

5.内网NAT共享上网

当内网的IP/VLAN规划基本完成后，要采用网络地址转换（NAT）技术，即通过1个外部IP地址来实现内网用户访问Internet。

目前支持NAT的硬件

产品有路由器、防火墙，本案是防火墙来实现NAT。

实现VLAN间路由的配置技术说明：

当交换机上的VLAN数量很多时，通常会采用路由器快速以太网子接口及

IEEE802.1Q封装对VLAN间的数据进行路由。

（6）VPN设计方案

1.端到端的加密

网络密码机安置在企业各级局域网到互联网的入口处，通过加装密码机构建安全隧道，使信息经过加密后传输，防止第三方窃取，且密码机之间的机机认证也有效防范了第三方的非法接入，保证访问该网络的远程节点的合法性，从而在网络上构造了

一个封闭的安全传输网络。

应用密码技术实现的密码机间的加解密和身份认证，有效避免了来自传输网的攻击，如图所示：

在建立安全隧道时有以下特性：

透明连接、隧道管理、明密结合、网段分割、用户定制、安全算法的协商。

2.点到点的网络加密

随着互联网的发展，移动办公要求提供更大的灵活性，加密到端用户是唯一的解决方案，对于那种跨区分散式分布且分布点人员相对较少的网络，当要求安全可靠的内部通信时，解决这一矛盾的最佳策略就是利用端到端的VPN解决方案，如图所示：

图4.1

点到点之间采用网络加密卡来进行安全通信，网络加密卡是与网络密码机配合使用的加密设备，适合采用PSTN或DDN等方式联网或系统仅有少量机器传输的信息需要

加密的情况，目前该加密卡支持Windows系统,提供两台主机之间的安全连接。

（7）无线网络设计方案

无线局域网的组网模式大致上可以分为两种，一种是Ad-hoc模式，即点对点无线网络；另一种是Infrastructure模式，即集中控制式网络。

1.Ad-hoc模式

Ad-hoc网络是一种点对点的对等式移动网络，没有有线基础设施的支持，网络中的节点均由移动主机构成。

网络中不存在无线AP，通过多张无线网卡自由的组网实现通信。

要建立对等式网络需要完成以下几个步骤：

1）首选为您的电脑安装无线网卡，并且为您的无线网卡配置好IP地址等网络参数。

注意，要实现互连的主机的IP必须在同一网段，对等网络不存在网关，所以网关可以不用填写。

2）设定无线网卡的工作模式为Ad-hoc模式，并给需要互连的网卡配置相同的

SSID、频段、加密方式、密钥和连接速率。

3.Infrastructure

集中控制式模式网络，是一种整合有线与无线局域网构架的应用模式。

在这种模式中，无线网卡与无线AP进行无