计算机网络系统.docx
《计算机网络系统.docx》由会员分享,可在线阅读,更多相关《计算机网络系统.docx(21页珍藏版)》请在冰豆网上搜索。
计算机网络系统
计算机网络系统
1、需求分析
稳定性需求
济南市环境监测中心站环境监测中心对网络系统的依赖程度较高。
一旦网络系统运行不正常或者出现故障中断将直接导致业务中断,造成的经济损失不可估量。
因此网络建设中稳定压倒一切,必须从多个角度确保系统的稳定性。
高性能需求
从技术角度看,网络带宽提速的进程不断加快,1Gbps到10Gbps的普及时间远少于100Mbps到1Gbps的普及时间,而且40Gbps/100Gbps的国际标准也已经于2010年底定稿。
系统存在高峰突发流量,因此济南市环境监测中心站基础网络的带宽提出越来越高的要求。
安全性需求
可以说,网络技术发展历程总是伴随着病毒、攻击、泄密等不和谐的声音,所以对于资金管理信息系统来讲,在网络设计中对于安全防护尤其需要重点考虑。
扩展性需求
互联网行业中,唯一不变规则的就是不断的变化。
在网络建设中,很难预计到未来会出现何种业务需要,如果无法在硬件、软件方面考虑一定扩展性,将不可避免的出现重新建设、投资浪费等问题。
因此,软、硬件方面的扩展性需要加以设计。
易管理需求
无论如何智能的系统,总是需要人力实现最终的管理。
而济南市环境监测中心站不同的人员负责服务器、网络、终端等维护工作。
所以,在网络设计中需要尽可能降低维护压力。
2、设计原则
济南市环境监测中心站本着一体化原则、稳定性原则、可扩展性原则、可管理易维护原则、经济性原则进行设计。
稳定性原则
为满足各种业务应用特别是门户网站和济南市环境监测中心站业务应用的稳定高效运行的需要,网络设计建设要充分考虑设备运行的高可靠性、高稳定性。
通过冗余的设备配置、良好的设备性能指标设计,确保济南市环境监测中心站的高效稳定运行。
可扩展性原则
为保证满足未来新增、扩建、升级应用系统的需求,网络设备应具有一定的可扩展性,以保证各级节点将来可以平滑的扩容升级。
要充分考虑到未来5年内网络升级的平稳衔接,根据需要可以对网络系统进行必要调整和扩充。
可管理、易维护原则
网络系统要易于管理和维护,通过配备先进的管理平台,能够实时监控每一个核心网络设备,随时了解网络的“健康状态”,能够快速定位故障并进行排除。
经济性原则
网络系统规划设计需考虑经济性,充分考虑对现有网络和设备资源的利用,避免投资浪费。
在设备配备方面既要满足当前需要,又要适当超前,考虑进一步的网络应用需求。
不仅要考虑建设成本,还要兼顾考虑运行维护成本。
3、设计方案
本方案共建设弱电控制网、内网和外网三套完全物理隔离的网络。
3.1计算机网络系统-弱电控制网
弱电控制网承载了多种智能化系统业务,不同业务对应的流量流向、流量大小、网络要求、业务重要性均不相同,因此弱电控制网核心必须具有可靠性和稳定性。
核心交换机采用H3C面向融合业务网络的高端多业务路由交换机,配置不同级别的QOS服务质量对各智能化业务进行保障,以确保各业务的有序运行。
接入交换机采用为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品,在满足高性能接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性,是理想的安全易用接入层交换机。
接入交换机通过千兆光纤链路与核心交换机直连,为多种智能化系统业务提供带宽保障。
控制网系统架构图
3.2计算机网络系统-外网
Internet外网采用核心层和接入层两层星型拓扑结构,万兆核心,千兆到楼层的传输速率,满足上网办公、环境监控数据传输的需求。
系统根据实际应用需求,通过VLAN划分为互联网、业务网等多个逻辑隔离网段供用户使用。
核心交换机设置在一层网络机房,同时设置一台路由器和防火墙,分别作为Internet网络出口设备及安全防护设备。
接入交换机分别设置在各楼层配电间内,通过光纤与弱电机房内的核心交换机进行通讯。
接入交换机具备VLAN网段划分功能,满足各部门需求。
在一层餐厅、二层多功能厅,十二层电视电话会议室等处设置外网无线AP点,进行无线网络信号的覆盖。
弱电间内接入交换机由电气配电箱提供容量不小于1KW的双电源供电回路。
核心层负责提供接入设备与核心层设备之间的高速连接和访问控制,核心层设备应具有多层交换的处理能力,并可提供不同VLAN间的路由,该层设备应具有较高的转发速度和处理能力,负责提供各网段间的高速数据转发,并可提供质量控制。
路由器主要负责内网用户的地址转换及安全策略的保证。
采用H3C高性能路由交换机作为核心交换机,提供不间断转发、不间断升级、优雅重启等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
核心层是数据信息流动的动脉,同时担负着信息流动的总调度任务。
核心层的功能主要包括以下几方面:
●提供数据帧或数据包的快速交换;
●提供VLAN间路由功能;
●提供VLAN间的访问控制
在核心交换机部署吞吐量为10GE安全防火墙插卡H3CSecBladeFW,采用虚拟防火墙技术保障网络根据不同的业务及用户访问不同权限的资源,同时安全防火墙插卡保障内网用户免受外网的攻击。
H3CSecBladeFW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能,有效的保证网络的安全。
采用H3CASPF(ApplicationSpecificPacketFilter)应用状态检测技术,实时检测应用层连接状态,实现2-7层安全防护。
提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
同时采用H3CSecBladeFW模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
核心交换机采用千兆光纤链路与接入交换机直连,保证链路的利用率和易管理性。
同时在核心交换机旁挂无线控制器设备管理项目中的无线接入点AP,保证无线网络有效的接入和运行。
采用IMC及WSM组件实现有线和无线一体化网络设计方案,便于用户的管理。
外网系统架构图
3.3计算机网络系统-内网
内网核心交换机与外网配置相同,同样设置一台路由器和防火墙,分别作为办公网络出口设备及安全防护设备。
接入交换机分别设置在各楼层配电间内,通过光纤与弱电机房内的核心交换机进行通讯。
接入交换机具备VLAN网段划分功能。
弱电间内接入交换机由电气配电箱提供容量不小于1KW的双电源供电回路。
在环境监控中心计算机内部网络系统采用H3C高性能路由交换机作为网络的核心交换机,保障内部网络的高速稳定的数据转发。
核心层负责提供接入设备与核心层设备之间的高速连接和访问控制,核心层设备应具有多层交换的处理能力,并可提供不同VLAN间的路由,该层设备应具有较高的转发速度和处理能力,负责提供各网段间的高速数据转发,并可提供质量控制。
路由器主要负责内网用户的地址转换及安全策略的保证。
同时核心交换机部署吞吐量为10GE性能的安全防火墙插卡,安全防火墙插卡支持先进的虚拟防火墙技术,通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对用户多个业务独立安全策略部署的需求。
当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题,简化了网络管理的复杂度。
安全防火墙插卡支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ActiveXBlocking和SQL注入攻击等威胁的防范;可以有效的识别和控制网络中的各种P2P应用;支持静态和动态黑名单、MAC绑定、安全区域控制、系统统计等安全功能。
核心交换机采用千兆光纤链路与接入交换机直连,保证链路的利用率和易管理性。
采用IMC便于用户对网络设备的管理。
内网系统架构图
4、设备选型及参数
A、核心交换机
功能及技术指标
参数要求
业务插槽数
业务插槽数6个
整机交换容量
2.52Tbps
整机包转发能力
1920Mpps
接口要求
支持百兆千兆、万兆的以太网电口和光口
支持40G接口,单板密度≥4个
要求所有接口板必须是分布式转发工作模式
IPv4协议
硬件支持分布式IPv4线速处理,其中路由协议必须支持RIP、OSPFV2、IS-IS和BGP,组播协议必须支持IGMPV1/V2/V3Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDP
IPv6协议
硬件支持分布式IPv6线速处理,其中路由协议必须支持RIPng、OSPFV3、IPv6IS-IS和IPv6BGP,隧道协议必须支持IPv6手动隧道、6to4隧道和ISATAP隧道
MPLS
支持MPLS,可由引擎集中处理或者板卡分布式处理模式
虚拟化
支持将两台或者多台物理设备智能堆叠,堆叠后可实现统一的转发表项、统一的管理界面以及跨物理设备的链路聚合
有线无线融合
支持内置无线控制器模块,可管理的AP数量不小于1024个,可支持的无线用户数不小于20k
安全业务扩展
支持高性能的内置防火墙模块,防火墙处理能力不低于10G;
支持入侵防御/检测系统插卡;
支持应用控制网关插卡扩展;
支持SSLVPN插卡扩展;
负载均衡
支持专业的插卡实现服务器负载均衡、链路负载均衡;
单块插卡吞吐性能不低于8Gbps;
访问控制
支持基于第二层、第三层和第四层的ACL;
支持VLANACL和IPv6ACL;
支持出方向ACL,以便于灵活实现QoS;
支持IEEE802.1和Portal方式用户认证;
QoS支持
至少具备8个QoS优先级,通过服务质量策略(特别是优先权规则和算法)为关键业务和特定应用预留带宽;支持出方向的流量限速功能(EgressCar);提供广播风暴抑制功能
端口镜像
支持多个物理端口的流量镜像到一个端口;支持跨单板和跨设备的端口镜像;支持流镜像到CPU和端口
管理特性
支持SNMPV1/V2/V3、RMON、SSHV2
支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。
引擎支持并配置外置Flash,便于配置升级和日志存放
B、无线控制器
功能及技术指标
参数要求
接口要求
10/100/1000M接口4个,可复用为光接口
性能
单台控制器最多管理AP数量≥256个
本次配置可管理AP数量≥192个
CAPWAP协议
AP和AC之间支持L2/L3层网络拓朴
AP可以自动发现可接入的AC
AP可以自动从AC更新软件版本
AP可以自动从AC下载配置
安全认证
MAC地址认证
802.1x认证 (EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-SIM、EAP-MD5、EAP-FAST)
Portal认证
支持有线无线用户使用一套认证平台
支持基于苹果IOS、Android系统的认证客户端,提供截图
支持基于AP的用户接入控制
802.11安全和加密
支持多SSID
支持隐藏SSID
支持802.11i标准(含802.1x认证和PSK认证)
支持WPA、WPA2标准
WEP(WEP64/WEP128)
TKIP
支持WAPI
CCMP
AAA
支持本地Radius认证服务器
支持本地Portal认证服务器
支持SSID和用户账号的绑定
WIDS/WIPS
支持白名单
支持静态和动态黑名单
支持对无线非法设备的监测和攻击
支持无线防攻击
增值特性
支持频谱分析
支持频谱导航,引导终端自动接入5G频段
支持远程空口分析
三层特性
支持静态路由、RIP协议
C、接入交换机
48口接入交换机
功能及技术指标
参数要求
交换容量
64G
转发性能
13.2Mpps
接口类型
100兆电口接口数量48个
千兆光电复用接口数量2个,千兆光口4个
MAC地址表
32K
VLAN特性
支持基于端口的VLAN,支持基于协议的VLAN;
支持VoiceVLAN;
支持基于MAC的VLAN;
最大VLAN数≥4094
ACL
支持基于第二层、第三层和第四层的ACL;
支持基于端口和VLAN的ACL;
支持硬件的IPv6ACL;
支持双向ACL;
安全特性
支持IEEE802.1X认证/集中式MAC地址认证
支持二层Portal认证/triple认证
支持ARP欺骗类攻击防护
镜像
支持本地镜像、远程镜像、端口镜像;
路由功能
支持三层路由功能
IPv6
支持IPv6HOST管理;
支持IPv6ACL;
支持IPv6ND
24口接入交换机
功能及技术指标
参数要求
交换容量
32G
转发性能
6.6Mpps
接口类型
100兆电口接口数量24个
千兆光电复用接口数量2个
MAC地址表
8K
VLAN特性
支持基于端口的VLAN,支持基于协议的VLAN;
支持VoiceVLAN;
支持基于MAC的VLAN;
最大VLAN数≥4094
ACL
支持基于第二层、第三层和第四层的ACL;
支持基于端口和VLAN的ACL;
支持硬件的IPv6ACL;
支持双向ACL;
安全特性
支持IEEE802.1X认证/集中式MAC地址认证
支持二层Portal认证/triple认证
支持ARP欺骗类攻击防护
镜像
支持本地镜像、远程镜像、端口镜像;
路由功能
支持三层路由功能
IPv6
支持IPv6HOST管理;
支持IPv6ACL;
支持IPv6ND
D、无线AP
功能及技术指标
参数要求
总体要求
支持802.11b/g
天线
1个RP-SMA型射频接口
工作模式
支持工作于WLAN的2.4GHz频段或5GHz频段之上,支持802.11b/g或802.11a协议;每射频提供最高速率为54Mbps,
支持FitAP/FatAP两种工作模式,通过命令行可以便捷的进行FitAP/FatAP模式转换
支持AP零配置,本地不保存任何配置信息,从无线控制器获取配置信息,防盗防入侵。
FAT模式下支持TR069特性,方便网管人员从网络测对未知分散的无线接入设备进行集中管理
节能减排
可基于时间段定时开启或关闭射频
支持虚拟AP
单个AP可支持不小于16个可广播SSID。
支持中文SSID
加密
支持64、128位WEP加密,WPA,802.11i和WAPI
支持WPA和802.11i的多种密钥更新触发条件
认证
支持802.1X认证、MAC地址认证、PPPoE认证
支持WAPI认证
支持预认证、重认证
QoS
支持802.11e,根据各种应用要求提供流量;
支持不同SSID/VLAN映射不同的QOS策略
可实现基于用户数和流量的负载均衡
以太网口支持802.1p,优先级队列,支持流量限制(CAR)和流分类
漫游
支持在多个AP之间漫游
支持跨越3层网络实现漫游
漫游切换时间小于50ms
管理维护
支持SNMP(V1、V2、V3),Trap,TR069(FATAP时),基于Windows平台上的配置工具:
Telnet、TFTP、FTP、HTTP、Web
支持IPv6管理,支持Telnetv6,Pingv6、DNSv6、Tracertv6
接口
配置百兆电口≥1个
供电
无线AP支持PoE供电,支持802.3af协议且可支持交流电源方式供电
F、出口路由器
功能及技术指标
参数要求
交换容量
80Gbps
包转发率
15Mpps
接口及扩展
固定千兆光电复用接口4个
扩展母板1个,支持最大4个扩展插卡
管理
支持并配置1个带外网管接口
组播
支持VPN组播、支持跨域的VPN组播(Option1/2/3)
IPSec加密
内置硬件加密引擎
业务内置
支持L2TP、GRE,为保证性能,L2TP、GRE功能要求由业务板卡实现,做到分布式处理
NAT
硬件支持NAT功能,为保证性能,NAT功能要求由业务板卡实现,做到分布式处理
支持EasyIP、静态NAT转换、动态NAT转换等多种方式;支持NAT多实例、VPNNAT、丰富的NATALG、NAT日志与用户行为审计等功能
Netstream
硬件支持Netstream功能,为保证性能,Netstream功能要求由业务板卡实现,做到分布式处理
接口类型
支持10GE、2.5GPOS、155M/622MPOS、155MATM、E3/T3、8端口E1/E1-F接口、1/2端口CPOS、T1/T1-F、同步串口等广域网接口
QOS
支持优先级Mark/Remark,支持FIFO、PQ、CQ、WFQ、RTPQ、CBWFQ各种队列调度机制,支持拥塞避免算法:
Tail-Drop、WRED,支持层次化Qos(H-Qos)
要求此参数官网可查
G、网管平台
功能及技术指标
参数
本次配置
配置管理100节点授权(内、外网各50节点)
分布式部署
资源拓扑、告警、性能等功能模块支持多服务器分布式虚拟化部署,可实现负载分担。
用户分权管理
可以为不同的管理员设置不同的用户名、密码,并限制管理员的管理权限和管理范围,实现用户分权管理。
多平台支持
支持Windows、Linux平台及MSSQL、Oracle数据库,支持B/S架构。
支持自定义用户主页
管理员可以首页中通过拖拽,自定义需要在首页展示页面。
拓扑管理
支持IP拓扑、二层拓扑、邻居拓扑、业务拓扑;二层拓扑支持多协议;拓扑可融合链路状态、设备告警等多种信息。
支持数据中心拓扑,包括机房拓扑、机架拓扑等。
支持设备与用户统一管理
支持网络管理与用户管理联动,如通过点击拓扑楼层接入交换机图标,可查看该设备所有接入用户帐户信息,查询在线用户列表、强制用户下线、下发消息、总在线用户数统计、不安全用户数统计等。
告警智能分析
包括告警分类关联分析、告警多源关联分析、告警拓扑根源分析、告警网络影响度分析。
性能管理
支持基于任务的性能监控,可定制监控任务,长期监控网络性能,可以形成日报、周报、月报等报表。
提供直观的设备的面板视图
支持设备面板的显示、定时刷新、面板缩放功能,通过面板管理,网络管理人员可以直观地看到设备、板卡、端口的工作状态;支持对第三方设备的面板级管理
IPv6管理
支持IPv6环境下的资源、性能、告警、拓扑、面板管理,包括纯IPv6组网和双栈组网。
支持设备配置集中管理
配置库包括配置文件和配置片断,配置内容可带有参数,在部署时根据设备的差异设置不同的值;配置文件可部署到设备的启动配置或者运行配置;配置片断只能部署到设备的运行配置。
多厂商设备配置及软件管理
支持H3C/HUAWEI/3COM/CISCO/HP设备的批量配置和软件管理,包括的软件版本和软件库中最新可用的软件,更新设备的软件。
基线化的设备配置变更审计
提供设备运行配置和启动配置的基线化版本管理。
通过备份、恢复手段,以及备份历史、升级历史管理,使配置文件管理和软件升级管理具有了可回溯性。
支持设备软件智能升级
支持网络运行设备的软件版本查询功能,支持先备份后升级,保证一旦升级失败后可以恢复到原有设备软件版本,支持对整个升级过程的可靠性检查,如设备软件版本和设备是否配套,flash空间是否足够等,确保用户的整个升级操作万无一失。
非法接入设备监控
对接入设备MAC地址进行监控,如果其它MAC地址接入到该接口,或者该MAC从其它设备接口接入网络,系统会立即发送相关告警,通知管理员发生了MAC接入违规现象,从而管理员能够及时采取措施应对。
通过MAC/接口绑定,能有效的防止网络中非法设备接入的现象。
网络资产自动发现
在设备增加到网络资产管理的同时,系统还会自动发现该设备上可以管理的配件信息,并将这些配件加入到网络资产中进行管理,网管员可以根据不同的查询条件查询网络资产信息,对资产信息进行审计。
支持多种图表展示
提供多种报表样式,包括普通的行列报表、主/子报表、图形摘要报表、交叉表、TopN和BottomN报表。
支持多种图形展示:
包括条形图、饼图、曲线图、甘特图、面积图、圆环图、三维梯形图、三维曲面图、XY散点图、雷达图、气泡图、股票图、漏斗图等。
周期性报表机制
支持天报表、周报表、月报表、季度报表、半年报表、年报表。
可以设定周期性报表的开始时间、失效时间。
可以将自身的组织名称和Logo融入到发布的报表中,可以定时生成后Email到指定邮箱。
双机热备
主备服务器共享存储,公用一个虚拟IP,实时备份,保障系统切换时无数据丢失。
支持管理第三方设备
新设备注册,告警注册,新性能指标注册,新Syslog解析注册,Mib编译,第三方设备配置管理-CLI下发,配置管理-配置备份、软件升级(使用TCL/Expect/Perl模板自定制),第三方设备管理系统集成。
H、无线管理
功能及技术指标
参数
本次配置
配置50无线节点授权
系统可靠性
服务器支持Windows及Linux操作系统,支持双机冷备或双击热备,提高系统可靠性
有线无线一体化管理
支持有线无线一体化管理,可统一管理AC、AP、无线终端、PoE交换机等设备,支持在拓扑上支持展示设备告警、状态,可以十分逼真的展示全网的网络结构
无线设备拓扑
无线设备拓扑,显示AC与FitAP间的逻辑连接关系,显示FitAP当前在线Client,AC拓扑中支持链路显示参数,包括仅显示在线AP、仅显示不在线AP和仅显示RogueAP
无线位置视图拓扑
无线位置视图拓扑,按照设备所在区域,能够在位置视图中查看AP设备的物理位置
查看物理链路
支持查看AC与AP之间真实物理链路连接,对于排查网络故障能提供很大帮助
自定义视图
支持自定义视图并且在视图上显示设备告警和实时状态,可以导入背景图,方便管理员按需进行重点设备的重点管理
覆盖范围显示
显示AP的RF覆盖范围:
支持按信号强度、速率和信道显示RF覆盖范围,支持频段及类型(11a/11b/11g/11an/11gn)的显示
带障碍物的RF覆盖显示
支持带障碍物的RF覆盖显示:
位置视图中可以添加障碍物,通过不同障碍物的衰减情况,绘制不规则的RF覆盖图形
拓扑查看AP详细信息
在拓扑上支持查看AP当前在线Station及详细信息,可以实现设备和用户的统一管理,支持进行Station上线历史记录浏览
无线用户信息管理
无线用户信息管理:
通过第三方Radius系统(或UAM)配合,能够关联移动用户MAC地址和账号的对应关系,并能够维护移动用户的账号信息,帮助管理员从账号的角度管理移动用户。
分权管理
支持FITAP分权管理,可以方便将管理权限下发给各个部门和单位
统一配置
支持无线参数802.11中a\b\g\n各种协议的统一配置,一套系统可以在统一界面解决多种配置需求
分级报表
支持分级报表,分级管理中网管上级可以方便地管理到下级报表
向导化配置管理
提供向导化的配置管理工具,帮助管理员轻松完成下面配置:
Radio策略、服务策略、信噪比参数
RougeAP和RougeStation
支持检测到的RougeAP和RougeStation
非法设备检测
支持进行非法设备的检测策略管理、非法设备的监控、非法设备的告警和非法设备的攻击
设备性能和用户终端性能管理
支持Station流量统计、AP流量统计、AP在线数统计、Station在线数统计、Station关联情况统计等。
可以在一套系统上完成设备性能管理和用户
升级会员 