计算机系统集成设计技术方案.docx
《计算机系统集成设计技术方案.docx》由会员分享,可在线阅读,更多相关《计算机系统集成设计技术方案.docx(10页珍藏版)》请在冰豆网上搜索。
计算机系统集成设计技术方案
计算机系统集成设计技术方案
1.1、用户需求
XX生物是以研究、开发及生产现代医药制品为主的高科技企业,地处深圳市高新区中区,总占地面积12,000平方米,总部位于深圳市深南中路国际文化大厦。
XX园分为办公研发楼和生产制济楼。
办公研发楼共6层,有数据信息点约423个;生产制济楼有信息点约27个,合计信息点450个,采用超五类综合布线系统,网络主干采用千兆以太网技术,采用百兆以太网技术到桌面的同时并安装部份无线网访问点,以方便移动用户和学术交流。
局域网按部门划分VLAN,以增强网络系统的安全性能的同时隔离广播风瀑,以增强网络的性能。
建成后的局域网要能与公司总部以及宝安高新区XX园进行联网,以实现数据的实时交换。
建成后的局域网将通过高新区信息网接入Internet,以方便员工上网查询资料,同时要能通过VPN与一些关联合作伙伴进行数据交换。
由于XX生物是以研究、开发及生产各种多肽产品为主的高新技术企业,因此对网络安全性能的要求非常高。
1.2、网络系统设计原则
1.设备的先进性与成熟性
采取目前已经在业界经过考验、证明成熟、可靠的设备,既有技术的先进性,又有很高的性能价格比;
2.网络的开放性和兼容性的原则
选择符合国际标准的网络软硬件产品,有很好的互换、扩展和升级能力,并能与现有的网络设备兼容;
3.网络的灵活性和可升级的原则
网络系统能够适应各种网络应用系统,易于今后向更先进的技术升级
4.网络的可管理性和易维护性原则
可配置网管软件,采用具有可管理的网络设备,以便合理规划网络资源和控制网络运行。
整个网络应结构合理,层次划分清楚且具有相对独立性,便于管理和维护。
5.网络系统的安全性
充分考虑网络系统的安全性能,即要满足内部员工上INTERNET查询资料,通过VPN实现与总部和其它办事处数据的可靠传输,外部用户通过INTERNET访问公司网站,又要防止重要数据被窃取和网络黑客的攻击。
6.网络的可靠性与稳定性原则
充分考虑系统设备的容余备份,在主设备故障时,系统能迅速切换到备份设备上,从而保证系统安全、稳定、可靠的运行;
7.经济、实用的原则
方案应具有良好的性能价格比,在条件满足系统需求的条件下,尽量减少投资。
1.3、网络系统设计方案
1.3.1、网络拓朴图
1.3.2、网络设计说明及产品选型
1.3.2.1、园区局域网设计说明
本方案选用两台Catalyst4006交换机作为主干交换机,配置三层交换模块以完成局域网内VLAN间的数据交换。
两台Catalyst4006主干交换机通过两条千兆链路捆绑相连,形成4G吞吐量的TRUNK,实现主干交换机间的千兆级无阻塞数据交换。
通过对SPANTREE的设置,使交换机F1:
C4006-1为F4、F5和F6楼用户的主交换机,同时作为F1、F2和F3楼用户的热备份交换机;使交换机F1:
C4006-2为F1、F2和F3楼用户的主交换机,同时作为F4、F5和F6楼用户的热备份交换机。
当主用交换机故障时,系统将在很短的时间内自动切换至备用交换机上,这样有效地避免了由于设备单点故障而导至的系统瘫痪,保证系统安全、可靠的运行。
接入层交换机选用Catalyst2950,通过两条千兆链路分别与两台主备用交换机相联。
由于XX园数据信息大约有450个,是一个比较大型的计算机网络,为了保证建成后的网络的可靠性能和数据传输的安全性,建议将XX园局域网划分成若干个虚拟局域网即VLAN,各个VLAN相对独立,有效地隔离了广播风瀑,提高了网络的性能。
VLAN间的数据交换可通过Catalyst4006交换机的三层交换功能来实现,并以包过滤的形式仅允许特权用户可以进行VLAN间的访问,普通用户只能进行VLAN内的数据交换,增强了网络的安全性能。
VLAN的规划可以按部门划分为:
财务VLAN、管理VLAN、科研VLAN、生产VLAN、销售VLAN、无线用户VLAN等,即按用户的需求任意划分,Catalyst2950交换机支持1024个VLAN。
划分VLAN有如下优点:
(1)增加了网络连接的灵活性
网络管理员对网络上工作站可以按业务功能,而不必按地理位置分组。
VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用VLAN后,这部分管理费用大大降低。
实现VLAN的一个更具重要意义的目标是实现虚拟工作组模型。
这个模型的概念即如果在园区网环境中完全实现VLAN的话,同一个部门的成员看上去是共享同一个网段,他们绝大多数的网络流量分布于同一个VLAN广播域。
一个成员移动到了新的物理位置,他可以不改变工作站的配置而保留原来的工作组关系。
相反,如果一个成员需要改变他的工作组关系时,他并不需要改变他的物理位置。
网络管理工作可以简化到只需改变用户的VLAN成员关系。
(2)控制网络上的广播风暴
随着网络向交换结构转变,人们失去了路由器提供的防火墙功能。
这样广播风暴将发送到每一个交换端口,这就是常说的整个网络是一个广播域。
使用交换网络的优势是可以提供低延时和高吞吐量。
缺点是增加了整个交换网络的广播风暴。
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴。
使用VLAN可以将某个交换端口或用户赋予某一个特定的VLAN组,该VLAN组可以在一个交换网中,也可以跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播风暴。
这样可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。
(3)增加网络的安全性
人们在LAN上经常传送一些保密的、关键性的数据。
保密的数据应提供访问控制等安全手段。
一个有效的容易实现的方法是将网络分段成几个不同的广播组,也就是划分VLAN。
将保密的、关键性的数据放入一个VLAN,网络管理员通过限制VALN中用户的数量,禁止未经允许而访问VLAN中的应用.交换机端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
(4)加了集中化的管理控制
通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换机端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽.这些能力有效地提高了网络管理程序的可控性、灵活性和监视能力,减少了管理的费用。
CiscoCatalyst4006交换机简介
Catalyst4006交换机是具备高性能的、易于管理的、灵活配置的千兆以太网交换机。
其特性如下:
1)Catalyst4000系列提供高性能的企业交换解决方案,它利用多千兆比特结构,为10/100/1000Mbit以太网交换提供智能第二层业务。
2)一个经济有效的模块化6插槽机箱,它为企业或分支机构中的每一个用户提供集成化配线间的好处。
新Catalyst4006功能包括可伸缩的交换、高达240端口的10/100密度以及多协议第三层IP、IPX和IP多路传输交换。
3)Catalyst4006交换机配置了Cisco最新的第三代引擎Catalyst4006SupervisorEngineII,将非阻塞的第2/3/4层交换与增强的控制结合在一起,从而让企业和城域以太网用户在部署基于互联网的应用时具有业务灵活性。
第2层和第3/4层的交换被集成到CatalystSupervisorEngineII上的单一硬件引擎中,CiscoCatalyst4006SupervisorEngineII在硬件上既为第2层也为第3/4层通信提供高达64Gbps的交换矩阵和48Mpps的数据包转发率。
这是一种针对多媒体应用进行优化的平台,并具有先进的多播支持。
4)CiscoCatalyst4006SupervisorEngineII是Catalyst4000系列中第一个自然支持CiscoIOS软件的管理引擎,从而使多层交换可以实现单一的CiscoIOS配置和软件管理维护。
Catalyst4006的主要功能包括:
·完善的QoS:
基于2/3/4层的集成QoS、通信量管理功能分类、根据32,000个QoS策略来区分关键任务和时间敏感业务的优先次序。
系统能够通过其机制(如根据客户、网络和应用信息制订输入输出计划)对带宽密集型话务进行流量整形和速度限制。
·可以预测的性能:
硬件中第2层和第3/4层通信的转发线速高达48Mpps。
交换性能独立于路由表项的数量以及激活的高级第3层服务。
·先进的安全性:
支持32,000条第2/3/4层访问控制表项,以及用户鉴别和客户机安全等其他先进的安全功能。
·全面管理:
基于Web的配置管理和控制所有端口的管理从总体上减少了网络管理单元。
·64Gbps无阻塞交换矩阵。
·48Mpps第2层数据包转发率(硬件)。
·48Mpps第3/4层转发率
CiscoCatalyst2950交换机简介
CiscoSystemsCatalyst2950XL系列是一系列可扩展、可堆叠的10/100和千兆位以太网交换机,提供最佳的性能、可管理性和灵活性以及无与伦比的投资保护。
该系列低成本、高性能的交换解决方案通过一个独立的高速堆叠总线保留珍贵的桌面端口,提供下一代可堆叠的交换。
Cisco的突破性交换机集群技术将堆叠域扩展到单个配线间之外,能使用户最多互连16个Catalyst2900XL和Catalyst1900交换机,组建一个灵活的单一IP地址管理网络,而不受它们的地理位置限制。
关键特性
·8.8Gbps的交换背板,最高转发速率每秒钟660万个数据包,最大转发带宽4.4Gbps,所有10/100端口提供线速性能。
·内置的千兆位以太网端口适合插入各种GBIC收发器,包括CiscoGigaStackGBIC、1000BaseSX和1000BaseLX/LHGBIC。
·低成本的2端口CiscoGigaStackGBIC通过在菊花链连接中提供1Gbps的连接,或者在专用的交换机到交换机连接中提供2Gbps的连接,提供广泛的高度可配置的堆叠和性能选项。
13.3.2.2、园区广域网设计说明
(1)园区广域网拓朴图如下:
(2)XX生物企业网互联
XX生物企业网互联,建议采用DDN或帧中继的方式与公司总部相连,保证与公司总部和各分部间的信息传递,同时也可传递图像数据,实现视频会议;传递语音数据,实现VOIP等。
为了增强广域网的可靠性,可采用ISDN拨号备份技术。
当DDN或帧中继线路故障时,ISDN可迅速自动拨通总部,代替DDN或帧中继线路传递数据,不影响通迅;当帧中继线路故障恢复时,ISDN将自动断开与对方的连接,从而节省了通迅费用。
网络设备建议选用Cisco3640路由器,配置WIC-2T广域网模块和NM-4BS/TISDN模块。
(3)XX生物企业网INTERNET的接入
XX生物园INTERNET的接入可通过高新区信息网以10M共享或独占的形式接入INTERNET。
高新区信息网络是深圳电信IP宽带城域网的一部份,以1G的带宽接接入电信城域网,在深圳市率先实现电信网、电视网、计算机网的三网合一,主要为高新区企业提供高速上网及IPTV等宽带服务。
(4)XX生物与关联企业的VPN互联
由于XX生物及其关联企业局域网都接入了INTERNET,都有公有IP地址,若两端设备都支持VPN。
可以充分利用INTERNET,在XX生物和关联企业局域网间建立一条虚拟数据通道,以IPSEC数据加密的形式进行VPN数据通讯,IPSEC数据加密的形式有DES,3DES等,能保证私有数据在公网上的安全传输。
Cisco3640路由器简介
由于XX生物园接入路由器同时需提供INTERNET接入、
升级会员 