网络系统方案Word下载.docx
《网络系统方案Word下载.docx》由会员分享,可在线阅读,更多相关《网络系统方案Word下载.docx(23页珍藏版)》请在冰点文库上搜索。
第二章整体设计原则
作为企业的数据通信平台,在计算机网络系统设计中主要遵循以下原则:
Ø
核心网络的高可靠性
1.网络拓扑结构的高性能、高可用性,采用高性能的三层核心路由交换机
2.网络设备连接线路的高可用度和冗余
网络的层次化设计
系统中层次化设计式的网络任一部分的连接都是灵活的
网络具有良好的可扩展性
1.交换设备的可扩容性
2.端口的可扩容性
3.网络设计的可扩展性
支持业务的多样性
在网络设计上,我们将根据不同的业务特点,采用相应的QoS、CoS机制以满足相应的SLA要求。
网络设备的可管理性
网络访问的安全性
网络建设的实用性和经济性
网络系统应建成实用型工程网络,而不是一个实验性网络。
2.1实用性原则
实用性原则的目的是在保证实用要求和技术可行性的前提下,要选择易于操作和管理,应用见效快的技术方案,以及适当档次和价格的设备。
根据用户的要求,我们在设计阶段将在技术上满足用户要求的同时,保证系统长时间的可用性,并考虑到一定的可扩展性。
我们需要注意的是这是一个非常先进的智能化的综合建筑,现代化的办公环境中计算机上网、电话、移动电话是必不可少的工具,因此我们必须要提供满足这些需要的设备,组成像电信、金融部门的网络系统及服务器系统级别和要求建设一个超高档次的计算机通讯系统。
同时还需要一些电信、金融部门没有的增值服务,例如WEB服务、数据库查询、视频点播服务、网络计费与流量分配等,更好的为各种各样的使用用户服务
2.2安全保密原则
信息系统本身是一个开放的环境,大家都需要通过它交互信息,信息共享和实现人与人的沟通是网络与通讯系统建设的最初目的,因此可以说是每个人都有很多机会进入网络。
可是总有一些别有用心的人唯恐天下不乱,尤其是网络黑客和计算机病毒的存在大大增加了通讯系统的安全风险。
从这个角度考虑加强网络的安全和监控是非常重要的。
我们将在设计上采用适当的技术为系统提供保护、监视、审计等安全手段。
2.3可管理性与易操作性
由于网络系统使用多种网络设备,所以需要全面的网络管理,包括网络设备管理、端口管理、VLAN的灵活划分及管理等。
因此,网络设备和服务器及存储设备必须具有良好的可管理性,以便于管理和维护。
通过利用先进的网络管理软件,网管工作站应能监测和控制整个网络的运行,合理分配网络资源、动态调整网络负载、迅速确定网络故障位置等。
在网络的建设、安装,以及以后的运行和管理中,易操作性问题也是非常值得重视的一项。
网络设备的配置和管理应该有非常友好的界面,并具有一定的智能功能,减少人为因素干预;
一些底层的操作应该由网络设备自动完成;
网络设备应该自动刷新和保存数据,减轻网络安装和管理中的人员工作负担,减少人为失误的发生,提高工作效率,缩短系统修正的响应时间,这样就大大提高了“黄金时间”。
2.4先进性原则
当今社会信息技术的发展变化迅速,各种新技术新应用层出不穷。
不要说Internet浏览、电子商务、网络短信息等新兴的数据应用的爆炸式增长,目前时代发展的趋势是网络和通讯信息系统越来越成为其它各种应用系统的平台,传统的视频、语音、传输控制等应用正不断向数据网络平台移植,提出了三网融合等等概念,例如IP语音通讯、电视会议、楼宇自控、安防监控等等,最新的产品基本上都以数据网络作为平台,这对网络通讯平台的性能提出了更高的要求。
2.5标准化、规范化
灵活性和扩充性是网络和通讯系统的另一个重要考虑因素。
层次型计算机通讯系统总体结构的真正实现依赖于标准化和规范化,各个层次和模块之间只有建立了标准化的通讯接口,才能实现灵活扩充、升级的特点。
本方案所采用的技术和设备材料等,都符合相应的国际标准或国家标准,或者符合系统内部的相应规范,便于系统的升级、扩充,以及与其他系统或厂家的设备的互连、互通。
第三章网络技术及厂商选型
3.1厂商简介
华为3Com公司成立于2003年11月,是华为公司和3Com公司的合资公司,总部设在杭州,在香港、日本成立分公司,在英国、德国、美国、俄罗斯和拉美设立办事机构,在中国30个省市设立分支机构。
华为3Com公司致力于数据通信产品的研究、开发、生产、销售与服务,为企业、公共机构和家庭用户提供从核心骨干网到桌面终端的全系列IP产品和全业务解决方案。
目前公司拥有员工2500余人。
华为3Com公司的优势:
关注并及时响应客户需求为导向的研发体系
高性价比的、业务特性丰富的全系列IP网络产品和全业务解决方案
覆盖广泛、快速响应的服务支持体系
专业权威的培训认证体系
研发体系
华为3Com在继承华为数据通信研发体系和平台的基础上,融入3Com产品体系。
华为3Com在北京、杭州和深圳均设有研发机构,拥有近3000项在全球范围内已经获得授权和正在申请的相关专利技术,建立以IPD流程为框架、以关注用户和产品为核心的PDT体系。
完整规范的研发体系,高效的管理和运作平台,为快速、优质地满足客户需求提供有力的保障。
公司拥有包括路由器、交换机、安全、无线局域网、语音视讯、SOHO和业务软件等完整产品线。
渠道体系
“公正亲和双赢”是华为3Com渠道建设的原则。
华为3Com在中国保持两级渠道结构,拥有广泛的合作伙伴,覆盖中国所有省市。
同时,华为3Com积极拓展海外渠道,巩固、发展并深化与策略伙伴的合作。
华为3Com提倡建立有亲和力的渠道队伍,持续关注合作伙伴利益,注重提升合作伙伴的服务质量,建立长期合作、共同成长、专业化的增值渠道体系,为客户提供高性价比产品、个性化解决方案和优质服务。
服务体系
华为3Com全球技术服务中心建设面向全球客户的统一问题受理平台,通过免费服务热线、网站、问题自动升级IT系统为用户提供专家在线技术支持,对用户进行远程故障模拟以及分析;
并派驻技术专家到全球各区域,为各行业用户提供专业化、标准化、多元化的完善服务。
仅在中国,华为3Com就拥有30个区域备件库,服务网络覆盖30个省市和200多个地区。
培训体系
华为3Com拥有完善的网络产品技术认证体系,是中国第一个走向国际市场的IT厂商认证,已经在全球建立了40余家授权培训中心,在中国拥有70多家网络学院,与40余所职业院校建立合作,有10多个国家和地区的30000余人接受过培训。
同时,华为3Com培训中心根据用户项目的需求,定期开展有针对性培训项目,为客户提供全方位的培训解决方案。
华为3Com公司秉承全球发展战略,以开放务实的精神积极拓展国际市场,为客户提供全业务解决方案。
凭借强大的产品研发、技术、服务和战略合作,华为3Com的产品将走向世界每一个角落。
华为3Com,就在你身边,提供你心中的好网络。
3.2产品简介
H3CS7500系列以太网交换机产品介绍:
H3CS7500系列业务路由交换机作为面向以业务为核心的新一代IT系统基础网络设备,从产品的形态、系统结构的设计、以及产品的性能、可靠性、安全性、扩展性和业务功能等方面都领先于业界同级别产品。
●全兼容、模块化系列产品
H3CS7500系列交换机目前提供S7502(2槽)、S7503(4槽)、S7506(7槽)、S7506R(8槽)4款模块化产品,可以满足不同规模企业不同网络层次的应用需求,同时这些模块化机架式交换机采用统一的硬件和软件平台,完全兼容的引擎和接口板,以及相同的软件版本,可以适应不断发展的企业网络,充分保护用户的投资。
●
分布式业务处理体系结构
H3CS7500系列交换机采用先进的全分布式体系结构设计,通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发,通过分布式高速业务接口板上内置的高性能CPU与位于主控引擎上的CPU协同工作,实现ACL、流分类、QOS、组播等业务的全分布式处理。
●强大的L2/L3转发性能
H3CS7500系列交换机拥有交换容量分别为96Gbps、384Gbps、768Gbps的三种全兼容的高速引擎,分别提供72Mpps、198Mpps、432Mpps的数据转发能力,最大可以提供292个GE或24个10GE,使大型企业网、校园网络核心层、汇聚层网络全面升级至万兆平台成为可能。
电信级、自适应的可靠性设计
H3CS7500系列交换机支持无源背板,支持双路电源供电,支持引擎、电源、风扇的冗余,支持单板热插拔,并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余,同时S7500系列交换机支持基于硬件的RPR弹性分组环和基于软件的快速环网保护技术,分别可以提供50ms和亚秒级别的链路故障业务快速恢复手段,这些使得以S7500系列交换机为核心的骨干网络可靠性大大提高,保障了业务的永续性。
完善的自适应网络安全特性
H3CS7500系列交换机遵从最小服务原则,所有可能遭受到攻击的网络服务在默认情况下均关闭。
支持安全的SSH登陆、基于用户安全策略的SNMPV3、MAC+IP+VLAN绑定、802.1X认证等安全策略。
支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。
支持H3CEAD端点安全防御解决方案。
支持内置的防火墙安全模块。
●丰富的多业务支持
H3CS7500系列交换机支持强大的组播功能、灵活QinQ、802.1x、内置DHCP-SERVER、NAT、PBR、POE+VoiceVlan、EPON等多种业务特性,这些业务特性极大的提高了企业网络业务部署的简便性和灵活性,同时增强了对IP语音、视频、WLAN的支持能力,为企业IT系统实现通信整合提供了便利。
基于“ASIC+NP”的体系结构,可以灵活的支持业务功能的不断扩展,通过多功能网络处理器模块,可以进一步支持NAT、PBR等多种高级业务特性。
支持CWDM和单纤双向光模块,可以在1对光纤上承载8个千兆收发业务或在1根光纤上同时承载收发业务,有效节省光纤资源。
特色的网络流量分析功能
H3CS7500系列交换机可以支持NetStream(网流分析)功能,通过NetStream与H3CXLOG网络分析器相互配合,可帮助网络管理员轻松的获得详细的网络应用信息,使网络系统变得透明、可见。
例如查看Web、文件传输协议(FTP)、Telnet和其它著名的TCP/IP应用所占通信资源的百分比,以及用户利用网络和应用资源的详细情况,进而用于高效地规划和分配资源,并保障网络的安全运营。
人性化的运营维护管理特性
H3CS7500系列交换机支持集群管理,可以对网元进行批量配置和批量升级,实现ACL/VLAN的动态策略下发,同时H3C网络管理平台可以实现拓扑管理、可视化图形界面、智能化性能监控、告警管理等功能,这些有助于提高网络管理人员的效率、缩短网络故障及维护扩容的时间。
H3CS3600-EI系列以太网交换机产品介绍:
H3CS3600系列交换机是H3C公司基于IToIP理念设计和开发的智能弹性以太网交换机。
系统采用创新的IRF技术,在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案,是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。
产品特点
弹性扩展技术--IRF
H3CS3600系列交换机采用H3C公司创新的IRF(IntelligentResilientFramework)智能弹性技术,与传统组网技术相比,在扩展性、可靠性、整体架构的性能方面具有强大的优势:
扩展性—IRF技术允许交换机利用互联电缆实现多台设备的扩展,最大扩展至384个10/100M端口;
具有即插即用、单一IP管理,同步升级的优点,同时大大降低系统扩展的成本。
可靠性—通过专利的路由热备份技术,在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发,极大的增强了堆叠架构的可靠性和性能,同时消除了单点故障,避免了业务中断。
分布性--通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。
完备的安全策略
当前的园区网面临着越来越多的安全威胁和挑战,如何实现安全的接入控制,防止病从口入?
如何对攻击源进行定位和反查?
如何监控网络中的各种流量并进行分析控制?
H3CS3600系列交换机在安全策略方面为用户提供全新的技术特性和解决方案。
传统的802.1X认证方式只解决了用户的权限问题,对用户终端的安全状态无能为力,病毒可以通过合法用户的感染终端进入网络系统和应用系统。
H3CS3600系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
传统交换机对端口的镜像功能都是基于本地实现,镜像数据流无法穿越网络在核心实现统一采集集、监控和分析;
H3CS3600支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机(例如S9500/7500)上,在核心上启动网流分析(Netstream)功能,配合XLOG系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。
传统行业和园区网采用DHCP技术后极大简化了网络地址的分配和管理。
但同时,在一个不安全的园区网中(如校园网),存在恶意地址欺骗、擅自修改IP地址、私设DHCPServer等安全事件和隐患。
H3CS3600系列交换机提供DHCPSnooping(侦听)功能,通过建立和维护DHCPSnooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID接口等信息,解决了DHCP用户的IP和端口跟踪定位问题。
同时对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址的报文)直接丢弃,保证DHCP环境的真实性和一致性。
同时利用DHCPSnooping的信任端口特性可以保证DHCPServer的合法性。
多业务融合能力
按业务类型大致分成数据、语音、视频、多媒体等,不同的业务对基础网络的要求,比如带宽、优先级、延时、端到端的QOS保证等,如果这些都需要手工进行设置和调整,那么网络的适应能力无从谈起,因此IToIP的基础网络应该是对业务变化自动感知和自动适应的系统,对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。
例如对于语音业务来说,大量的IPPHONE的部署需要配置和远程供电,H3CS3600系列交换机通过支持VoiceVLAN技术和智能POE技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。
VoiceVLAN技术是指交换机通过识别端口的语音流,将对应的接入端口加入VoiceVLAN(专用语音VLAN)中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。
同时通过设置VoiceVLAN安全特性,只允许语音流量通过,可以有效防止突发数据流量对VoiceVLAN内的语音流量的冲击。
PoE(PoweroverEthernet)技术是指通过以太网对所连接的设备(如IPPhone,WirelessAP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。
PoE技术符合802.3af标准,通过以太网电口对外供电,采用数据线提供-48V直流电源。
当PD设备插到端口上后,交换机将自动对PD设备进行检测,进行功率分类,并根据当前剩余电源、端口供电优先级的配置、端口最小功率配置等参数,决定是否对此设备供电以及分配功率。
通过PoE技术和VoiceVLAN技术的结合可以提供完整的语音设备管理方案。
高可靠性设计
H3CS3600系列交换机除了支持高可靠性的IRF技术以外,还支持传统的STP/RSTP/MSTP二层链路保护技术,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。
支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。
构建故障时的冗余路由拓扑结构,保持通讯的连续性和可靠性,有效保障网络稳定。
支持ECMP(等价路由),通过配置多条等值路径实现上行路由的冗余备份和负载分担。
采用交流/直流双输入设计,设备既可以采用交流电源输入,也可以直流电源输入,二者之间热备份。
简单易用的管理维护
H3CS3600系列交换机支持VCT(VirtualCableTest)电缆检测功能,便于快速定位网络故障点。
支持DLDP(DeviceLinkDetectionProtocol,设备连接检测协议),可以监控光纤的链路状态。
如果发现单向链路存在,DLDP协议会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。
支持SNMPV1/V2/V3,可支持OpenView等通用网管平台,以及Quidview®
网管系统。
支持CLI命令行,Web网管,Telnet,HGMP集群管理,使设备管理更方便。
通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力
第四章网络拓扑结构
4.1方案描述
网络为二层结构,网络骨干为1000M以太网。
由具有三层交换功能的S7506R交换机作为网络核心层交换机,通过千兆光口与接入层交换机进行连接,建立以太网通道,实现高带宽的网络主干。
在网络运行速度方面,具备96G/384G/768G的交换背板和最大72M/198M/432Mpps的数据吞吐率的交换机S7506R,具有极强的数据处理能力,可以确保在大量应用数据交换时的网络畅通。
本方案的关键特点,为选用的S7506R交换机具备第三层交换特性。
第三层交换特性在保留了传统的第二层交换在各端口间传递数据时的高线速,又集成了原来在第三层路由中才有的完善的控制功能如审计、广播隔离等。
VLAN的划分是在交换机上进行的,但当不同部门(VLAN)之间需要进行数据交换时,就需要借助路由器的路由功能,而现在,在S7506R交换设备中同时支持二层、三层功能,进行广播隔离、全线速网络互联,从而大大提高网络的性能,优化网络管理。
并且S7506R支持双引擎模块和双电源模块,最大限度的保证了系统的冗余性和可靠性。
接入层交换机选用S3600-28P-PWR-EI,可提供24个10/100Base-T以太网端口,4个1000Base-XSFP千兆以太网端口,可以用于设备光纤骨干连接。
从而为网络工作站提供高速主干连接。
网络管理员可以为交换机配置多个虚拟LAN(VLAN),保证数据包只传送到时特定VLAN内的工作站,这样相当于在网络上的各组端口之间建立了一个虚拟防火墙,从而减少了广播传输,获得更高水平的数据安全性和增强的LAN性能。
核心层交换机与接入层之间交换机连接,采用多模光缆。
这样构成的网络可实现千兆主干,百兆交换到桌面的的设计目标。
华为三康交换机能够提供完善的LAN边缘Qos,能够提供增强的服务质量(Qos)和组播管理特性,通过支持IGMP侦听和集群管理套件实现IGMP侦听配置,交换机在控制和管理LAN的组播应用时提供了优异的性能和易用性,可以有效保障网络上的关键应用和多媒体应用。
针对用户的网络应用,上述网络设备及拓扑结构可以在系统的实用性、高效性、安全性、易管理性、可扩展性和经济性等方面充分满足用户需求。
4.2应用技术介绍
本方案中的运用了网络产品多种的增强功能,它们对丰富网络应用、提高网络性能都起到了不可或缺的作用,针对本工程所面临的各项问题,我公司提出相应的解决技术:
不同的虚拟局域网VLAN划分隔离各个部门
各个不同的部门在公司内接入计算机网络,网络管理者就面临着网络安全的重大问题,如何隔离不同部门之间的局域网,让不同部门的局域网有自己的私密性,虚拟局域网络技术解决了这个问题。
虚拟局域网技术与访问控制列表技术结合在一起,能将整个大型网络的不同端口归属于不同的虚拟网络,不同的用户属于不同的虚拟局域网络时,尽管他们使用的同一套物理网络设备,可是不会感觉到其它用户的存在。
VLAN虚网的第一个优点是网络管理员能够轻易控制不同虚网间的互相访问能力。
我们可以将相同的职能部门或属于同一访问功能组的用户划分在同一虚网中,虚网内的用户之间可以通过交换机或路由器相互连通。
网络管理员甚至还可以通过虚网的安全访问列表来控制不同虚网之间的访问。
第二个优点就是一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生对广播信息的有效控制。
广播风暴的蔓延:
广播风暴的影响结果:
这要求机构的域中包含的广播和多信宿组与用户位置无关。
如果不考虑广播组整个大小的话,网络设计者、规划人员和管理员将可能不慎创建大型的平面网络拓扑,而在用户间却只有(甚至没有)广播防火墙。
虚网是控制这些广播信息转发的有效技术。
它们的布置结构最大限度地减少了对最终用户站、网络服务器和处理关键业务数据的骨干部分的性能影响。
虚网的发展趋势是迈向更成熟的跨越网络不同区域的带宽和性能管理。
第三个优点是便于管理的更改,而整个网络范围内与用户增加、移动和物理位置变更相关的对管理工作的要求,也大为减少。
由于网络管理部门精力有限,技术水平也参差不齐,所以这是很关键的要求。
这从很大程度上方便了网络系统的安全访问控制管理。
VLAN的虚拟部分意味着在网络内部动态移动用户的能力和与在网络内的物理位置无关地访问指定的VLAN。
这说明VLAN作为完整的系统解决方案,不仅是单个布线间或一幢大楼的一个段之内,而是对跨地域的VLAN控制且自动配置。
基于VLAN的Spanning-tree协议
同样可以用基于VLAN的Spanning-tree协议来为服务器作负载均衡。
如下图:
高性能的核心第三层交换
仅仅有千兆的链路带宽对于提升网络的速度是远远不够的,现在的计算机以太网都采用星型结构,若干台接入层交换
升级会员 