计算机网络系统方案设计.docx
《计算机网络系统方案设计.docx》由会员分享,可在线阅读,更多相关《计算机网络系统方案设计.docx(12页珍藏版)》请在冰豆网上搜索。
计算机网络系统方案设计
芝罘医院大楼的网络系统建设共包括2套网络-内网与外网,两套网完全物理隔离。
内网主要是完成芝罘医院内部的日常办公网络,外网是为芝罘医院提供访问互联网与接入监控与LED等系统的网络。
内网设计2台核心进展虚拟化配置,接入层交换机通过双千兆光纤链路连接核心交换机。
外网采用单核心设计。
互联网主要是提供日常办公平台并提供访问互联网的服务,在网络的出口设置1台安全网关。
1内网接入接入层交换机配置:
24口接入层交换机3台。
48口接入层交换机5台。
2外网接入接入层交换机配置:
24口接入层交换机2台。
48口接入层交换机3台。
GB/T50314-2006《智能建筑设计标准》
GB/T50339-2003《智能建筑工程质量验收规X》
JGJ16-2008《民用建筑电气设计规X》
GB50045-95《高层民用建筑设计防火规X》〔2005版〕
GB50054-2011《低压配电设计规X》
GB50057-2010《建筑物防雷设计规X》〔2000版〕
GB50343-2004《建筑物电子信息系统防雷技术规X》
GB50303-2002《建筑电气工程施工质量验收规X》
GB50311-2007《建筑与建筑群综合布线系统工程设计规X》
GB50312-2007《建筑与建筑群综合布线系统工程验收规X》
GB50200-94《有线电视系统工程设计规X》
GB50384-2004《安全防X工程技术规X》
GA/T75-94《安全防X工程程序与要求》
GA308-2001《安全防X系统验收规如此》
GB50394-2007《入侵报警系统工程设计规X》
GB10408.1-2000《入侵探测器通用技术条件》
GB/T16572-1996《防盗报警中心控制台》
GB50395-2007《视频安防监控系统工程设计规X》
GB50198-94《民用闭路监视电视系统工程技术规X》
GB50464-2008《视频显示系统工程技术规X》
GB50373-2006《通信管道与通道工程设计规X》
GB50371-2006《厅堂扩声系统设计规X》
GYJ25-86《厅堂扩声系统声学特性指标》
CECS89:
97《工业企业调度和会议工程设计规X》
GB50174-2008《电子信息系统机房设计规X》
GB50462-2008《电子信息系统机房施工与验收规X》
一个计算机信息网络系统的设计,必须有一个好的设计指导思想。
通过合理的选择结构化布线系统、网络结构、网络设备、操作系统以与开发环境,才能构成一个真正完善实用的网络信息系统。
作为一家知名的系统集成商,我们拥有一流的信息管理、网络建设技术和丰富的应用开发经验。
在对越秀区财政局办公大楼计算机网络系统的方案设计中,我们将按照下述原如此进展系统的设计:
充分满足越秀区财政局办公网络现在与未来的各种需求,让结构化布线系统真正为越秀区财政局的计算机网络建设提供强有力的支持。
本系统的设计均遵循国际上现行的标准进展,提高系统的开放性,始终能随着技术的开展进展系统的扩大、升级和提高。
一个实用的系统同时必须是可靠的,本设计通过合理而先进的网络系统设计与软、硬件的优化选型,以保证系统的可靠性与容错性,防止灾难性事故发生。
4.高性能、先进性
本系统同时存在多种应用,数据交换将是大量的,因此要求系统具有很大的带宽。
本设计将充分应用现有成熟的先进技术,选用先进的设备,提供高性能的系统,采用先进的软件技术,为越秀区财政局提供可靠、高效的服务。
在设计中,充分利用网络硬件、网络软件与系统提供的各种安全措施,既保证越秀区财政局各用户不仅能高效、快速地访问权限X围内的系统资源,也能有效地阻止用户之间的非法侵入、非授权访问,保证各部门重要数据的安全性。
系统开通后,维护工作将是一个长期的工作,考虑到管理维护的可视化、层次化与控制的实时性,本设计将充分利用相应的图形化网络管理技术,真正做到系统的所有资源状况一目了然,能充分保证将设备故障控制在有限X围,保证整个大院各系统的正常运行。
同时,通过培训建立、健全用户的系统管理员队伍等相应手段降低维护工作量与难度,从而达到保证运行可靠与节省费用目的。
网络技术是不停开展的,用户的应用需求也是开展和变化的。
在设计中,我们将充分考虑网络应用系统扩展升级的潜在要求,以与对各种不同结构、不同协议、不同标准的网络与设备的支持,保证本系统能适应网络系统与应用系统的扩展和升级。
在满足功能要求的前提下,尽可能做到少花钱,多办事,充分利用现有资源,尽可能提高系统性能价格比。
针对医院办公大楼计算机网络系统的具体要求,我们提出如下的总体解决方案。
1网络通信联网协议
TCP/IP:
每种网络协议都有自己的优点,但是只有TCP/IP允许与Internet完全的连接。
Telnet:
远程登录访问协议,使其他跨省区域的子公司通过远程访问总部的内外,在远程访问时,会设置相应的ACL认证和相对的权限设置。
SNMP网络管理协议:
SNMP用于在IP网络管理网络节点〔服务器、工作站、路由器、交换机与HUBS等〕的一种标准协议,它是一种应用层协议。
SNMP使网络管理员能够管理网络效能,发现并解决网络问题以与规划网络增长。
通过SNMP接收随机消息〔与事件报告〕网络管理系统获知网络出现问题。
路由协议:
RIP、IGRP、EIGRP、IS-IS和OSPF。
2网络IP地址规划
医院内网计划使用私有的A类IP地址。
医院内的IP地址分配原如此如下:
医院使用IPv4地址方案。
医院使用私有IP地址空间:
10.0.0.0/8。
医院使用VLSM(变长子网掩码)技术分配IP地址空间。
医院IP地址分配满足集团的利用。
医院IP地址分配满足便于路由会聚。
医院IP地址分配满足分类控制等。
医院IP地址分配满足未来公司网络扩容的需要。
3网络技术方案设计
总体网络采用基于树型的双星型结构,使之具有链路冗余特性;整体网络规划为核心与服务器群区域,内部骨干区域〔会聚链路〕,接入层上联区域,客户端接入区域;核心交换机位于集团总部机房,并为双核心,使用双主干网络设计,保证主交换机网络的容错。
在一台交换机出现故障的时候保障网络的正常运行,也不用手工切换和维护,保证网络的可靠性。
采用全交换硬件体系结构,可实现全线速的IP交换;网络主干采用先进的千兆位以太交换技术,可最大限度地提高主干的数据传输速率。
使用千兆网络保证网络交易速度与实时性,使用了FEC/GEC技术实现网络带宽的扩展,适应网络不断扩展的要求。
根据需求概括,我们选择的是D-Link企业级的DES-8503万兆核心交换机为本次网路建设总部机房的核心交换;DES-8503万兆核心路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品,其背板带宽高达3.2Tbps,包转发速率最大为952Mpps,具备二到四层线速交换能力。
DES-8503万兆路由交换机基于先进的模块化理念进展设计,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构,关键模块均采用1:
1冗余备份。
可提供10GE、GE、FE等各种丰富的接口模块,并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。
整个系统所具备的高可靠性、高扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。
DES-8503〔3个插槽〕作为D-Link行业产品线核心交换机之一,可广泛的应用在各行业的IP网核心、企业数据中心、IP城域网核心和会聚、校园网核心等场所,为用户提供多种业务接入、路由交换一体化的安全融合网络解决方案。
ES-8503万兆核心路由交换机具有一下的优点:
先进的系统架构:
采用了分布式、模块化设计理念,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构。
这保证了系统优异的转发性能、强大的业务能力和高度的可扩展性。
高端口密度和线速路由与交换:
具有丰富的接口类型,提供10GE、GE、FE等接口。
可以真正实现高端口密度和线速路由与交换。
大容量、高性能:
支持高达952Mpps的路由包转发能力,并支持512K条第三层路由信息、512K第二层的MAC地址以与 4096组VLAN、 8K条安全和访问控制策略,保证了数据线速转发的要求。
增强的业务功能:
具有L2/L3/L4线速交换能力、具备QoS、MPLS、NAT、带宽控制、组播等高级性能,是定位于网络核心层、实现整体网络增值的优选设备。
同时,提供基于硬件的流量分类和组播以与速率限制和先进的服务质量保证〔QoS〕机制,可为用户开展增值业务提供强大的支持。
强大的安全功能:
支持ACL安全过滤机制,可提供基于用户、地址、应用以与端口级的安全控制功能,并支持IPSec、MPLS VPN特性。
同时,支持基于端口不同优先级对列的和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证与透传,VLAN ID与MAC地址、端口号、IP地址捆绑等安全功能。
此外,系统还具备完善的抗病毒机制,可以为网络运营提供全面的安全保证。
支持IPv6:
全面实现了各种IPv6协议技术,包括IPv4和IPv6双协议栈和基于手工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6的根本过渡技术。
同时,实现了IPv6静态路由,支持BGP4/BGP4+、RIPng、OSPFv3等动态路由协议。
全面支持二、三层MPLS VPN:
二层MPLS VPN支持Martini协议〔VPWS〕和VPLS、三层MPLS VPN采用RFC2547bis,具有良好的兼容性,可以与其他主流厂家的设备实现MPLS VPN业务的全面互通。
电信级可靠性:
系统的主控单元、电源等等关键模块均可以进展1:
1方式的备份,无中断保护系统〔Hitless Protection System - HPS〕为DES-8500的高可靠性提供了最重要的保证,在配置冗余控制模块的情况下,它能满足最苛刻的可靠性要求。
同时,DES-8500的VRRP、STP、LACP等功能为用户提供了进一步的可靠性保证。
统一的网管功能:
支持RFC 1213 SNMP〔简单网络管理协议〕,带内网管的形式可采用基于Telnet的配置管理〔CLI命令行的形式〕或基于SNMP的配置管理 〔图形界面的形式〕,实现基于Broad Director网管平台的统一网管。
接入层为楼层的工作组与交换机。
核心层与接入层以千兆以太网技术相连,传输速率达1Gbps,采用全双工通信可达2Gbps。
其物理连接采用多模光缆相互连接,以提供物理层、链路层与IP层的冗余连接能力。
核心交换:
三层千兆交换机为整个网络的核心,它对整个网络的性能,可靠性起决定性作用,它连接各个物理子网,治理网络内信息交换(包括多媒体信息),控制VLAN间访问,保证信息安全。
因此,我们选用的中心交换机除了提供高速的网络连接之外,还具有多种信息的治理和控制能力。
全部的网络设备均支持高效的Intranet多媒体和多点广播技术、治理协议(CGMP)等,为多媒体和多点广播应用如IPTV等提供端到端的带宽保证。
网络采用分层结构,不仅逻辑结构清楚,治理方便;更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在次级节点分布交换机上直接处理,不经中心设备,节省主干带宽,提高利用率。
有一定的前瞻性,不仅满足当前网上应用,也为将来更高性能的升级作好了预备:
网络具有良好的伸缩性,升级和扩展主要只集中在网络中心,添加新的接口模块,即可实现用户和信息点的扩大;增加光纤连接即可大量提高主干带宽;中心增配另一台多层交换机,网络结构就能连接成可靠性的、真正的中心交换机互备份和上联线路冗余。
配合热备份路由协议和热备份双服务器主机系统,在整个系统内消除单点故障,提供高可用性的应用服务系统。
会聚交换与接入交换:
二级交换机可以每个独立构成一个VLAN,也可以多个二层交换机构成一个VLAN。
VLAN之间的路由由中心交换机负责。
不同的部门/单位可以通过配置不同的VLAN等方式来隔离广播和信息流,不但可以提高网络效率,而且可以增强网络安全。
而每台交换机上的10/100自适应端口又可以与下层100M到10M交换式集线器相连接。
心交换机与二层交换机以1000M全双工的方式相连接。
这样的连接结构可保证网络带宽的最大限度的合理应用。
集团由总部机房采取一处连接Internet中,设置防火墙等安全软件,并对外网的远程登录设置权限与相应的安全认证!
4网络应用系统选择
根据集团用户对操作系统的要求:
操作系统要求选择最新版本,所选操作系统需要提供方便的更新与升级方法,服务器操作系统需要能够提供目录服务功能,服务器与客户机操作系统都需要支持TCP/IP协议,所选操作系统应能够方便的实现用户和权限的管理,秘选操作系统应能够运行大多数应用软件,例如办公软件、图像处理软件、CAD财等,我们选择Linux,它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能、在相关软件的支持下,可实现、FTP、DNS、DHCP、等服务。
建立服务器,实现Internet上浏览和查询;建立FTP服务器,结合学校实际和需要逐步建立远程FTP服务;建立Web服务器把图文信息组织成分布式的超文本,并用信息指针指向存有相关信息的服务器,使用户可以方便地访问这些信息。
当网上用户增多时,网络访问很频繁,通信量很大,随机性强。
作为全校的通讯枢纽,需要配备高性能的服务器设备,主要的需求是高性能的CPU、SMP体系结构、高速I/O通道和网络通道。
建立域名服务器DNS,各地名字服务器管理下属主机和子域,并由高一级名字服务器监管,但每个域至少需要配备一台以上的名字服务器。
DNS数据量不大,但访问频繁。
建立数据库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的I/O系统和网络界面,较高的可靠性,完善的系统备份功能和较好的可扩大性能。
5网络安全系统设计
内网安全设计:
访问控制,通过密码、口令〔不定期修改、定期保存密码与口令〕等禁止非授权用户对服务器的访问,以与对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。
外网安全设计:
安装软件、硬件、防火墙,网络防病毒软件,客户端防病毒软件;利用代理服务器提供Internet与Intranet之间的防火墙功能;通过网管实时记录网络的运行状态。
设置远程访问身份认证,防止垃圾等。
6网络管理维护设计
根据集团和服务器应用模式与全网X围资源集中管理的原如此,在集团总部机房建立中心管理机房,统一网络中的交换设备的管理配置,虚网设计和配置,各种服务建立等。
网管工作站对全网所有交换设备和路由设备进展统一管理、配置和维护;进展故障隔离、分析、统计、报警、设置;网管软件采用图形化界面,支持广泛的网管平台。
5设备选型
二、计算机网络系统
序号
设备名称
技术说明
单位
数量
型号
品牌
一、内网
内网核心交换机
1
以太网交换机主机
以太网交换机主机
台
2
ES0Z1B03ACS0
华为
2
交流电源模块,300W
交流电源模块,300W
台
4
800W
华为
3
交换路由引擎,提供24端口千兆/百兆以太网光口(SFP,LC),其中8端口可光电复用
交换路由引擎,提供24端口千兆/百兆以太网光口(SFP,LC),其中8端口可光电复用
台
2
ES0D0S24XA00
华为
4
2端口万兆以太网光接口模块
2端口万兆以太网光接口模块(XFP,LC)
台
2
5
万兆光纤模块
光模块-XFP-10G-多模模块-(850nm,300m,LC)
台
4
OMXD30000
华为
6
多模模块
光模块-SFP-GE-多模模块-(850nm,0.55km,LC),为东楼已有设备配置4个
台
14
eSFP-GE-SX-MM850
华为
内网接入交换机
1
24口百兆接入层交换机
24个10/100Base-TX,2个10/100/1000Base-T与1000Base-XSFPBO,交流供电
台
3
S2700-26TP-EI-AC
华为
2
48口百兆接入层交换机
L2以太网交换机主机(48FE+4SFP+2GEbo),交流供电
台
5
S2700-52P-EI-AC
华为
3
多模模块
光模块-SFP-GE-多模模块-(850nm,0.55km,LC),为东楼已有设备配置4个
台
14
eSFP-GE-SX-MM850
华为
4
堆叠线缆
条
3
LS2MCABLE000
华为
出口安全设备
1
统一威胁管理设备主机
统一威胁管理设备主机,交流电源,国内版
台
1
USG2210E
华为
内网无线设备
1
无线控制器
24端口千兆(4SFPbo+Slot插槽+PoEPlus)有线无线一体化交换机
台
1
AC6605-26-PWR-64AP
华为
3
台
23
AP6010DN-AGN-
华为
4
POE注入模块
单端口POE注入单元(含25W电源,千兆,可并排安装)
台
23
华为
外网
外网核心交换机
1
L3以太网交换机主机
24SFP+8GEbo+2Slots-单交流电源
台
1
S5700-28C-EI-24S
华为
2
多模模块
光模块-SFP-GE-多模模块-(850nm,0.55km,LC)
台
5
eSFP-GE-SX-MM850
华为
外网接入交换机
1
24口百兆接入层交换机
以太网交换机主机,24个10/100Base-TX,2个10/100/1000Base-T与1000Base-XSFPBO,交流供电
台
2
S2700-26TP-EI-AC
华为
2
48口百兆接入层交换机
L2以太网交换机主机(48FE+4SFP+2GEbo),交流供电
台
3
S2700-52P-EI-AC
华为
3
多模模块
光模块-SFP-GE-多模模块-(850nm,0.55km,LC)
台
5
eSFP-GE-SX-MM850
华为
外网安全设备
1
统一威胁管理设备主机
统一威胁管理设备主机,交流电源,国内版
台
1
USG2210E
华为
2
1GBCF卡
1GBCF卡
台
1
1GBCF