网络建设技术方案最新范本模板.docx
《网络建设技术方案最新范本模板.docx》由会员分享,可在线阅读,更多相关《网络建设技术方案最新范本模板.docx(41页珍藏版)》请在冰豆网上搜索。
网络建设技术方案最新范本模板
法士特集团铸造厂区网络建设技术方案
设计公司:
宝鸡中广商贸有限责任公司
地址:
宝鸡市高新开发区火炬路7号
二零一零年十二月十四日
1网络需求分析
1.1系统概述
随着现代化企业制度在我国的普及和深化发展,企业以及各种单位的信息化建设不断深入,各企事业单位特别是大中型机构部门都加快了信息网络平台的建设,正逐步转向利用网络和计算机集中处理管理、安全、教学、信息交流服务等重要环节的大量数据。
在现代综合性的建筑中,随着各种现代化设备的运行,对于建筑物布线的要求越来越高.同时,信息已成为一种关键性的战略资源。
开放、高速的网络是支持各型数据库、高品质音像多媒体传输的基础。
同时由于对信息资源的普遍需求,就必须对网络的基础-—-—综合布线系统提出较高的要求:
既要有良好的开放性,能够支持多厂商的设备,又要造就未来新技术发展的需求;既要能够高速传递资料,满足各部门实时性和多媒体信息量的需求,又要有高度的灵活性,易于重新配置网络的拓扑结构;既要能够支持资料、语音、图像等多种服务,避免各种布线系统互不兼容,重复投资浪费惊人的现象,又要易于管理,降低维护费用。
在法士特集团铸造厂区网络布线设计方案中,我们将采用路由器、交换机产品国内市场占有量第一的杭州华三通讯技术有限公司的开放式结构化综合布线系统设计思想,严格按照《国际商用综合布线标准》(美国电子工业协会TIA/EIA568)和《建筑与建筑群综合布线施工及测试规范》(中国工程建设标准化协会)的设计准则进行设计,力求整个设计方案规范、灵活、实用、可靠、统一。
1.2系统现况
厂区部分网络建设初具规模,使用超五类铜芯双绞线为传输介质,已建设部分涉及3幢建筑物信息点位91个。
其中办公楼56个,在4楼机房配置19U机柜两套;动力辅楼15个,配置机柜1套;机加辅楼20个,配置机柜1套;所有信息点已在信息汇集处配置网络配线架;厂区办公楼到车间办公楼之间已经布设4芯单模光缆,办公楼到动力辅楼之间布设多模6芯光缆,办公楼到图书馆为多模6芯光缆,动力辅楼到机加辅楼为多模6芯光缆。
1.3新增建设需求
根据贵方《铸造厂区综合布线项目说明》的要求,为铸造厂区办公楼3、4层的联合办公区配置信息点120个,为车间办公楼配置信息点40个,合计160个信息点。
为已有信息点91个和新增信息点120个提供配套网络设备,包括机柜、配线架、理线器、跳线等.
各个楼宇的设备配置数量如下:
分布位置
厂区
办公楼
车间
办公楼
机加辅楼
动力辅楼
设备合计
详细位置
1楼
2楼
3楼
4楼
1楼
2楼
3楼
2楼
2楼
已有网点
18
24
7
7
20
15
91
新增网点
64
56
12
24
4
160
新增6U机柜
2
2
4
分中心交换机
1
1
接入交换机
1
2
3
3
2
1
1
13
理线器
3
1
1
5
48配线架
1
1
1
3
24配线架
1
1
1
1
4
单模模块
1
1
2
多模模块
2
1
1
4
垂直部分整个结构大体分为三层星形结构—-数据网络布线的结构中心在铸造厂区办公楼4层;辐射向厂区其它建筑网络机柜,传输介质为单或多模光纤。
水平部分的星形中心在各建筑的网络分中心,由各网络机柜配线架引出水平双绞线到各个信息点。
1.4厂区网络需求
总计4栋楼宇,网络系统总计251个信息点。
可按照一个中心机房和6个分配线机柜计算,即分为办公楼3楼、4楼和其他楼层楼,机加、动力、车间办公楼等6个独立的工作组;也可按照每个联合办公区为一个工作组,分为8个独立工作组。
对网络设备的需求:
Ø主干千兆,前期建设为百兆方式,后期建设为千兆到桌面,高速互联。
网络采用三层星形结构。
Ø出口扩展可采用防火墙和路由器,网络系统对外可同时接驳多种带宽,满足后期网络升级。
Ø网络设备具备信息隔离,过滤机制,保证内部三个单位之间在网络管理上既相对独立,又能资源共享,设备能够统一由中心软件进行网管。
Ø设备需要考虑一定的冗余,在增加接入设备时不需要调整核心层设备。
2网络方案设计思想
2.1指导思想
按照“高标准、高起点”的要求,尽可能吸收各有关成功经验,采用成熟的技术,构建一个可靠、稳定的网络。
在充分满足目前网络实际需求的前提下预留足够的后续网络扩容能力,确保较高的性价比。
在重点解决当前存在的主要问题的同时,结合近几年办公楼信息化发展的需要,全面满足法士特集团铸钢厂区的信息化建设与发展规划的要求。
为进一步提供资源利用率。
有效的节约建设投资,在保证高质量的前提下,应尽量考虑原有资源的利用,避免浪费。
遵循国家信息化建设的有关标准和要求。
2.2方案设计原则
结合厂区的实际应用和发展要求,我公司在进行网络系统设计时,充分尊重使用方意见以《铸造厂区综合布线项目说明》为依据进行设计并实施,并提出合理意见。
主要应遵循以下原则:
实用性原则:
以现行需求为基础,并充分考虑发展的需要来确定系统规模。
本方案的设计充分满足了系统应用功能和性能的需求,在保证系统安全可靠的情况下,选用性能价格比高的产品。
安全性和可靠性原则:
大楼网络系统服务于办公需要,对安全性能要求很高。
系统应能提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作,保护网络的安全性。
同时,网络设计充分考虑了网络的可靠性,能有效的避免单点故障,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
成熟和先进性原则:
网络结构设计、网络配置、网络管理方式等方面采用国际上先进同时又是成熟、实用的技术。
设备厂商和投标商应有相关领域的丰富经验.计算机及网络技术发展十分迅速,在设计中应顺应主流技术发展,本方案的设计宗旨是“立足今日,着眼未来”,在保证技术成熟的前提下,充分先进技术,满足现有需求,充分考虑潜在扩充。
从而最大限度保护用户投资。
规范性原则:
网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准,为网络的扩展升级、与其他网络的互联提供良好的基础。
开放性和标准化原则:
建立一个可靠、高效、灵活的计算机网络系统平台,不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换,还要考虑同层次网络互连,远程分部的互联,以及与相关信息系统网际互联,以充分共享资源。
这些需求体现在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
可扩充和扩展化原则:
所有网络设备不但满足当前需要,并在扩充模块后满足可预见将来需求,网络的拓扑可以灵活改变,实现如带宽和设备的扩展,应用的扩展和办公地点的扩展等.并保证建设完成后的网络在向新的技术升级时,能保护现有的投资。
可管理性原则:
随着网络规模的不断扩大,网络的管理越来越重要,管理的事务也越来越复杂.整个网络系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,网络在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
如:
可以通过友好的图形化界面,对网络进行Vlan划分,设置各子网的访问权限,实施网络的动态监测、配置,数据流量的分析等,简化网络的管理.
2.3网络总体方案概述
本铸钢厂区网络系统采用分层星型结构,分为核心层、汇聚层和接入层。
核心层位于铸钢厂办公大楼4楼网管中心;汇聚、接入层合并位于车间办公楼2楼、动力车间辅楼2楼、机加车间辅楼2楼、图书馆2楼一起放置并工作。
核心交换机按照要求使用H3CS5500-20TP—SI壹台,汇聚交换机采用H3CS3600—28P—EI肆台,接入交换机采用14台H3CS3100-26TP-SI。
使用贵公司已有的H3C网络管理软件quidview对汇聚层以上进行管理。
3主体设备参数及应用
3.1H3CS5500-20TP—SI以太网交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。
通过H3C特有的集群管理功能,用户能够简化对网络的管理。
S5500—20TP—SI千兆以太网交换机定位为企业网和城域网的汇聚或接入,同时还可以用于数据中心服务器群的连接。
S5500-20TP-SI:
12个SFP千兆端口,8个10/100/1000Base-T以太网端口。
◆高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群10GE链路将是我们的未来发展方向。
S5500—20TP-SI交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
S5500-20TP-SI硬件支持IPv4/IPv6双栈,其中IPv4支持静态路由和RIP协议,IPv6支持静态路由和RIPng协议.同时支持IPv6的ACL和网管,实现IPv4到IPv6的平滑升级。
H3CS5500—20TP-SI交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠,支持不同端口设备的混合堆叠。
具有即插即用、单一IP管理的优点。
同时大大降低系统扩展的成本,保护了用户投资.
◆多业务支持能力
支持PoE(PoweroverEthernet)技术,通过以太网对所连接的设备(如IPPhone,WirelessAP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。
支持VoiceVLAN技术,交换机通过识别端口的语音流,将对应的接入端口加入VoiceVLAN(专用语音VLAN)中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。
同时通过设置VoiceVLAN安全特性,只允许语音流量通过,可以有效防止突发数据流量对VoiceVLAN内的语音流量的冲击。
S5500—20TP—SI交换机通过支持POE和VoiceVlan技术结合可以提供完整的语音设备管理方案,很好地解决了大量的IPPHONE的智能检测、供电和优先级的调整问题。
◆完备的安全控制策略
H3CS5500—20TP-SI交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3CS5500-20TP-SI交换机支持对试图接入网络的用户进行802。
1x认证。
可以在交换机上对802。
1x客户端的版本和有效性进行验证,防止非法用户登录网络。
支持集中式MAC地址认证,可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,而且可以同时运行802。
1x认证和基于MAC地址认证。
提供GuestVlan功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相应的策略,例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。
支持SecureShellV2(SSHV2)特性可以提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。
◆丰富的QoS策略
H3CS5500-20TP—SI交换机支持支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。
提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP(StrictPriority)、WRR(WeightedRoundRobin)、SP+WRR三种模式。
支持CAR(CommittedAccessRate)功能,粒度最小达64Kbps。
支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。
◆出色的管理性
H3CS5500-20TP—SI交换机支持SNMPv1/v2/v3(SimpleNetworkManagementProtocol),可支持OpenView等通用网管平台以及iMC智能管理中心。
支持CLI命令行,Web网管,TELNET,HGMPv2集群管理,使设备管理更方便,并且支持SSH2。
0等加密方式,使得管理更加安全。
H3CS5500-20TP-SI交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。
支持特性
S5500—20TP-SI
交换容量(全双工)
192Gbps
包转发率(整机)
30Mpps
外形尺寸(长×宽×高)(单位:
mm)
440×360×43。
6
重量
5。
5kg
管理端口
1个Console口
业务端口描述
12个1000Base—X千兆SFP端口
8个10/100/1000Base—T以太网端口
扩展插槽
不支持
可选接口模块
不支持
不支持
端口聚合
支持LACP
支持手工聚合
支持最多12/24个聚合组,每组支持最多8个GE或2个10GE端口(10GE机型)
端口特性
支持IEEE802。
3x流量控制(全双工)
支持基于端口速率百分比的风暴抑制
支持基于PPS的风暴抑制
MAC地址
支持黑洞MAC
支持设置端口MAC地址学习最大个数
堆叠
支持IRFLITE堆叠技术
最大支持16台堆叠
VLAN
支持基于端口的VLAN(4K个)
支持基于MAC的VLAN
基于协议的VLAN
支持QinQ,灵活QinQ
支持VLANMapping
支持VoiceVLAN
支持GVRP
DHCP
支持DHCPClient
支持DHCPSnooping
支持DHCPRelay
支持DHCPSnoopingoption82/DHCPSnoopingoption82
IP路由
支持静态路由
支持RIPv1/v2,RIPng
支持OSPFv1/v2,OSPFv3
支持IS—IS
支持BGP4,BGP4+forIPv6
支持等价路由,策略路由
支持VRRP/VRRPv3
组播
支持IGMPSnoopingv1/v2/v3,MLDSnoopingv1/v2
支持组播VLAN
支持IGMPv1/v2/v3,MLDv1/v2
支持PIM—DM,PIM-SM,PIM—SSM
支持MSDP,MBGP
二层环网协议
支持STP/RSTP/MSTP
支持RRPP
镜像
支持N:
4端口镜像
支持流镜像
ACL
支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口、协议类型、VLAN的流分类
支持时间段(TimeRange)ACL
支持基于VLAN下发ACL
QoS
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
支持CAR(CommittedAccessRate)功能
每个端口支持8个输出队列
支持端口队列调度(SP、WRR、SP+WRR)
支持报文的802.1p和DSCP优先级重新标记
安全特性
支持用户分级管理和口令保护
支持802.1X认证/集中式MAC地址认证
支持GuestVLAN
支持RADIUS认证
支持SSH2。
0
支持端口隔离
支持端口安全
支持EAD
管理与维护
支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI),Telnet,Console口进行配置
支持SNMPv1/v2/v3,WEB网管
支持RMON(RemoteMonitoring)告警、事件、历史记录
支持iMC智能管理中心
支持系统日志,分级告警,调试信息输出
支持HGMPv2
支持NTP
支持电源的告警功能,风扇、温度告警
支持Ping、Tracert
支持VCT(VirtualCableTest)电缆检测功能
支持DLDP(DeviceLinkDetectionProtocol)单向链路检测协议
支持Loopback-detection端口环回检测
输入电压
交流
额定电压范围:
100V~240VAC,50/60Hz
最大电压范围:
90V~264VAC,47/63Hz
直流
不支持
功耗(满负荷时)
65W
工作环境温度
0℃~45℃
工作环境相对湿度(非凝露)
10%~90%
3.2H3CS3600—28TP—SI以太网交换机是华为3COM公司基于IToIP理念设计和开发的智能弹性以太网交换机。
系统采用创新的IRF技术,在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案,是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。
◆弹性扩展技术——IRF
H3CS3600-28P—EI交换机采用华为3COM公司创新的IRF(IntelligentResilientFramework)智能弹性技术,与传统组网技术相比,在扩展性、可靠性、整体架构的性能方面具有强大的优势:
扩展性—IRF技术允许交换机利用互联电缆实现多台设备的扩展,最大扩展至384个10/100M端口;具有即插即用、单一IP管理,同步升级的优点,同时大大降低系统扩展的成本。
可靠性—通过专利的路由热备份技术,在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发,极大的增强了堆叠架构的可靠性和性能,同时消除了单点故障,避免了业务中断。
分布性--通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率.
◆完备的安全策略
当前的园区网面临着越来越多的安全威胁和挑战,如何实现安全的接入控制,防止病从口入?
如何对攻击源进行定位和反查?
如何监控网络中的各种流量并进行分析控制?
H3CS3600-28P—EI交换机在安全策略方面为用户提供全新的技术特性和解决方案。
传统的802。
1X认证方式只解决了用户的权限问题,对用户终端的安全状态无能为力,病毒可以通过合法用户的感染终端进入网络系统和应用系统。
H3CS3600-28P-EI交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
传统交换机对端口的镜像功能都是基于本地实现,镜像数据流无法穿越网络在核心实现统一采集集、监控和分析;H3CS3600-28P—EI支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机(例如S9500/7500)上,在核心上启动网流分析(Netstream)功能,配合XLOG系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。
传统行业和园区网采用DHCP技术后极大简化了网络地址的分配和管理.但同时,在一个不安全的园区网中(如校园网),存在恶意地址欺骗、擅自修改IP地址、私设DHCPServer等安全事件和隐患。
H3CS3600—28P—EI交换机提供DHCPSnooping(侦听)功能,通过建立和维护DHCPSnooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN—ID接口等信息,解决了DHCP用户的IP和端口跟踪定位问题。
同时对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址的报文)直接丢弃,保证DHCP环境的真实性和一致性.同时利用DHCPSnooping的信任端口特性可以保证DHCPServer的合法性。
◆多业务融合能力
按业务类型大致分成数据、语音、视频、多媒体等,不同的业务对基础网络的要求,比如带宽、优先级、延时、端到端的QOS保证等,如果这些都需要手工进行设置和调整,那么网络的适应能力无从谈起,因此IToIP的基础网络应该是对业务变化自动感知和自动适应的系统,对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。
例如对于语音业务来说,大量的IPPHONE的部署需要配置和远程供电,H3CS3600-28P—EI交换机通过支持VoiceVLAN技术和智能POE技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。
VoiceVLAN技术是指交换机通过识别端口的语音流,将对应的接入端口加入VoiceVLAN(专用语音VLAN)中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量.同时通过设置VoiceVLAN安全特性,只允许语音流量通过,可以有效防止突发数据流量对VoiceVLAN内的语音流量的冲击.
PoE(PoweroverEthernet)技术是指通过以太网对所连接的设备(如IPPhone,WirelessAP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本.PoE技术符合802.3af标准,通过以太网电口对外供电,采用数据线提供—48V直流电源。
当PD设备插到端口上后,交换机将自动对PD设备进行检测,进行功率分类,并根据当前剩余电源、端口供电优先级的配置、端口最小功率配置等参数,决定是否对此设备供电以及分配功率.通过PoE技术和VoiceVLAN技术的结合可以提
供完整的语音设备管理方案。
◆高可靠性设计
H3CS3600-28TP-SI交换机除了支持高可靠性的IRF技术以外,还支持传统的STP/RSTP/MSTP二层链路保护技术,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。
支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。
构建故障时的冗余路由拓扑结构,保持通讯的连续性和可靠性,有效保障网络稳定。
支持ECMP(等价路由),通过配置多条等值路径实现上行路由的冗余备份和负载分担。
采用交流/直流双输入设计,设备既可以采用交流电源输入,也可以直流电源输入,二者之间热备份.
◆简单易用的管理维护
H3CS3600-28TP-SI交换机支持VCT(VirtualCableTest)电缆检测功能,便于快速定位网络故障点.
支持DLDP(DeviceLinkDetectionProtocol,设备连接检测协议),可以监控光纤的链路状态。
如果发现单向链路存在,DLDP协议会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。
支持SNMPV1/V2/V3,可支持OpenView等通用网管平台,以及Quidview网管系统.支持C