大型网络方案设计书.docx
《大型网络方案设计书.docx》由会员分享,可在线阅读,更多相关《大型网络方案设计书.docx(18页珍藏版)》请在冰豆网上搜索。
大型网络方案设计书
V:
1.0
管理制度精选整理
大型网络方案设计书
2020-4-1
大型网络设计方案书
【需求分析】
需求1:
要能够达到轻载要求:
低负载,高带宽,最简单,最有效;
分析1:
网络核心冗余,核心到汇聚双链路备份。
需求2:
要具有先进的技术性:
支持线速转发,具备高密度的万兆端口,核心设备支持T级以上的背板设计,硬件实现ACL、QoS、组播等功能;
分析2:
核心交换机可选择Catalyst6509系列,以上功能可实现。
需求3、要稳定、可靠:
确保物理层、链路层、网络层、病毒环境下的稳定、可靠;
分析3:
要求各层设备能够有防病毒的功能,项目中所选设备均可通过配置防止病毒泛滥。
需求4:
要有健壮的安全:
不以牺牲网络性能为代价,实现病毒和攻击的防护、用户接入控制、路由协议安全;
分析4:
核心交换机具有的SPOH功能,保证在实现防护病毒和攻击的情况下,核心交换机性能不受影响,接入采用安全智能接入层交换机RG-S2100系列
需求5:
要易于管理:
具备网络拓朴发现、网络设备集中统一管理、性能监视和预警、分类查看管理事件的能力;
分析5:
所有项目中设备均支持SNMP,并通过锐捷star-view网管软件进行整网管理;
系统设计原则:
整个系统的设计必须遵循一定的规则,我们在进行企业网络系统设计时,坚持如下原则:
第一,确保实现技术的标准化。
当今计算机网络技术发展的一个重要特点就是标准化。
只有遵循国际标准,才能确保整个系统的开放性和长久的生命力。
网络建设目前仅仅是一期工程,将来会有二期、三期等,产品的标准化是后续工程的保证。
第二,确保的可靠性。
为了确保计算机系统能够正常地运行,我们在进行设计时,将充分地考虑提高整个系统的高可靠性,为此我们将采取核心设备冗余电源、模块备份、通信线路备份等一系列措施。
第三,确保技术的先进性。
先进性能确保整个系统有一个较长的生命周期,这是对整个投资的最大也是最有效的保护。
网络的先进性还表现在用户能够对其进行较为平滑的升级,平滑的升级就意味着并不会造成前期投资的废弃。
为了确保技术的先进性,我们将从如下几个方面入手:
首先,选用厂家新推出来的设备以及那些推出时间较长并且获得了良好的市场声誉的有生命力的产品;
其次,采用新的技术,如快速以太、千兆网等。
第四,充分重视系统的可扩展性。
可扩展性也即可伸缩性,即网络应能自如地适应规模的变化。
良好的可扩展性表现之一就是当用户的规模增大时,无需增加新的设备,只需要增加相应的设备模块即可,这既能有效地降低用户的投资,又可以降低整体的复杂性。
网络系统建设应着眼于未来,全盘考虑,优先选择高性能、规模扩展性强的产品。
第五,保护用户已有的投资。
网络系统的建设要尽可能地保护用户在主机、网络设备以及通信线路等方面的投资,避免造成不必要的浪费。
第六,实施有效的网络管理。
保证用户能够对整个系统进行有效的管理,确保整个系统能够正常、高效地运行,降低用户系统运行成本。
第七,树立全局观念,作好系统的总体规划。
网络和主机系统的建设是整个信息系统的基础。
它建设的好坏将对整个信息系统的生产和运行产生深远的影响。
由于它是一项基础设施,因此必须确保建好后的系统在不做重大改动的前提下,能够承担起未来五到十年业务发展的重任。
系统建设的第一步就是研究并确定系统的总体规划,如整个的功能组成、方案技术选型、重要设备的选型、系统的拓扑结构、网络地址的编码等。
第八,系统的建设要分阶段、一步一步地实现。
要想确保该项目的成功,系统建设应突出重点,分清主次。
第九,开放性。
建立起来的平台能够互联不同厂商的设备,运行多种网络操作系统、网络协议,遵守国际标准的开放系统。
第十,保证整个系统的安全性。
防止非法用户盗用和破坏,采用多种安全防范措施,确保信息万无一失、系统运行万无一失。
总结
根据企业办公楼使用特点, 为适应迅速的技术变化,需要我们将建筑物进行结构化布线作为一个策略性投资加以考虑。
建筑物综合布线网络,需要满足用户的近期和长期工作需求, 使其在计算机网络、通信系统等方面都达到较高智能化和现代化的水平,满足未来10-20年的发展需求。
本方案旨在建立一个具备开放性、扩充性、经济性及安全性的, 高品质的电脑网络系统。
方案设计不但要为企业当前的需求提供了灵活可靠的设计思想,而且更面向未来高速网络的发展,具有很强的开放性、灵活性、扩展性、可靠性和长远效益。
此外,设计的布线系统的造价相对经济合理并且考虑到安装施工和维护管理的方便以及布线的美观和谐等因素。
* 选用符合最新国际标准 ISO/IS 11801 及 TIA/EIA 568 标准的超五类产品。
充分保证计算机网络高速、可靠的信息传输要求。
* 适应未来10-20年的技术发展,实现数据通信、语音通信和图象传输。
* 除固定于建筑物内的线缆外,其余所有的接插件都应是模块化的标准件,以方便将有更大的发展需求时,将很容易的扩展设备。
* 能满足灵活应用的要求,即任一信息点能够连接不同类型的计算机终端或微机
设备及语音设备。
*具有很高的抗电磁干扰特性,具有高可靠性。
*支持100MHZ 的数据传输,可支持以太网、ATM、FDDI、ISDN等网络应用。
方案要点:
:
1、根据企业办公楼的结构特点来设计安排中央机房的位置
2、主配线架位于中央机房(主电脑室), 兼作配线间(可选择)
3、布线系统考虑采用非屏蔽超五类双绞线(UTP-5),办公楼与公楼之间用光纤连接(埋地)或邻楼直接连接。
(可选择)
4、布线方案按数据信号线布线方式进行。
5、水平和骨干电缆系统均采用相应的拓扑结构。
(目前星型拓扑结构是企业的首选)
6、信息点按用户提出的分布图配置;
7、布线系统硬件考虑采用xxx公司产品.
整个方案考虑到今后技术的发展. 建议使用达到国际标准EIA/TIA 568定义的超五类产品, 适合100-1000Mbps的高速网络设备。
安装设计规范符合:
中国工程建设标准化协会 CECS 72:
《95建筑与建筑群综合布线工程设计规范》及结构化布线系统设计总则等。
本网络所需的局域网技术
千兆以太网技术
GigabitEthernet(千兆以太网)构筑于以太网协议之上,但是其速度比快速以太网增加10倍,达到1000Mbps或1Gbps。
该协议在1998年6月实现标准化,有可能成为高速局域网主干和服务器连接领域的一种主要协议。
由于千兆以太网明显借助于以太网,因此客户能够利用他们现有的知识基础来管理和维护千兆位网络。
为了将速度从快速以太网的100Mbps增加到1Gbps,需要对实际接口进行几个改变。
我们认为,从数据链路层向上,千兆位以太网看起将与以太网完全相同。
加速到1Gbps中所遇到的挑拨已经通过合并IEEEEthernet和ANSIX3T11FiberChannel这两种技术等到了解决。
合并这1、2两种技术意味着标准不仅可以利用现有的FiberChannel高速实际接口技术,同时可以保持IEEE以太网帧格式,安装介质的向后兼容性以及全双工或半双工载波侦听多址访问检测(CSMA/CD)的使用。
这种方案有助于最大限度地降低技术复杂性,从而带来一种能够迅速开发的稳定技术。
快速以太网技术
交换式以太网(交换网)是人们在为通信瓶颈问题为难时诞生的,1990年产品就已面市,是一种成熟的网络技术。
交换式网络是一种融合技术,而不是类似于FDDI专用网络技术。
它提供对现有网络技术的更充分的支持,是一种“继承已有”的技术。
交换网络技术是目前解决网络通信瓶颈问题的切实可行的最佳方案之一,它避免了ETHERNET、FDDI的通信竞争问题。
交换网络具有倍增网络带宽、灵活地划分网段,实现虚拟LAN的特点。
使用此种技术构造网络,网络性能将主要集中在服务器一方,在以后的网络升级中,增加服务器处理能力即可。
交换网络可以平滑地过渡到千兆网络,且有强有力的工业支持,作为信息办公网是一种合适的选择。
为了保证系统的先进性和可扩展性,从保护用户投资的角度考虑,我们建议企业网络系统应1000M(Gigabit)为骨干,100M交换到桌面,一次到位,避免重复投资,高性能的网络将为企业的生产控制自动化、无纸办公、会议电视、IP电话等多媒体应用提供带宽保证。
VLAN技术
虚拟局域网(VLAN)。
虚拟局域网是用基于分包交换机的网络替代基于路由器的一种新的网络基本结构。
其容许以太网、令牌环网和FDDI网段享有与ATM环境中同样的交换性能。
交换机基本上说是一些具有更多功能的多口的高速桥接器,所以交换技术就是将网络扩展开来。
在进行信息交换时,虚拟局域网的功能是“重复生成”的路由。
VLAN的一个明显的优点是具有从VLANs到在ATM中的仿真LANs(ELAN)的转换功能,这样VLAN容易实现向ATM转移,而不需要进行人工处理配置LAN仿真配置服务器。
LAN交换机提供建立VLAN网所需的硬件和软件,使在网上具有传送包的能力。
这种结构的优点是容易改变网络,用户不需改动电缆线便可以逻辑地在工作组之间移动。
也就是用户可以物理地在网上移动到任何地方但仍保留与网络的连接,只要有访问所有权。
由于VLAN基于快速交换技术,因此不论从性能上还是资源的有效利用上都有提高。
VLAN可以逻辑地定义工作组,满足在动态工作组内增加带宽的同时,创建动态工作组以满足开发的需求。
第三层交换技术
第三层交换的实质是路由,类似于IP子网间的数据交换机制。
当网络内数据流量的分布偏离80/20规则,而且流量必须大量跨越子网边界时,传统的路由器就成了交通中的瓶颈,第三层交换技术的提出就是试图消除这个瓶颈。
第三层交换技术的实现可以分成两类:
一类可以归结为“路由一次,交换多次”,这类技术的实现占大多数;另一类是基于高性能硬件的线速路由器。
路由器包含两个基本功能模块,即路由计算和包转发。
“路由一次,交换多次”技术的目标是使子网间数据通信的路由次数降至最低,以增强路由器的转发效率。
它的基本作法是这样的:
路由算法根据(与一个数据流关联的)第一个数据包的地址信息寻径一次,即“路由一次”,然后将与此数据流关联的其它数据包交换至同一路径,即“交换多次”。
线速路由器利用专用的集成电路替代传统的软件计算,消除了基于软件路由器的性能瓶颈。
传统的基于软件路由器的转发率是每秒数十万数据包,而线速路由器的转发率是每秒数百万数据包,即线速路由器的性能比传统的路由器提高了一个数量级。
第三层交换设备可以保证在不改变IP编址方式和网络连接方式的前提下消除网络中的路由瓶径,并且实现第二层交换无法提供的第三层包转发和过滤能力。
本次方案中选择的CiscoCatalyst6509、Catalyst3524/48交换机均支持VLAN技术,而且Catalyst6509具有多层(三层以上)网络交换能力,可以提供Layer3(网络层)的线速路由(三层交换),使系统性能与安全性获得最佳平衡。
系统划分VLAN一方面隔离了广播,从而有效利用系统带宽,另一方面也提高了系统的安全性,但划分了VLAN之后各个子网之间需要路由,用传统的路由器可以解决这一问题,但即使性能再高的路由器也会成为系统性能的瓶颈,而只有三层交换才能最好的解决这一问题,它以二层交换的性能实现三层交换的功能,Cisco6000系列的高端交换机可以最佳的完成这一功能。
设计具体方案:
网络设计方案具体描述
网络的主要结构是以一台高端交换机为中心,安放在办公楼的计算中心,为了保证系统的高可靠性,我们采用主交换机机箱冗余电源,避免了电源单点故障造成的系统瘫痪,因为电源模块故障是设备故障发生率最高的部分。
6509具有9个模块插槽,其中1个槽用来插千兆引擎模块(WS-X6K-SUP1A-MSFC),用来管理整个交换机,并作数据包的路由和转发,该模块可以实现冗余热备份(支持HSRP),实现系统更高的可靠性。
1个槽用来插8口千兆光纤模块(WS-X6408-GBIC),用于连接各个部门交换机,短距离多模光纤模块(WS-G5484)最大传速距离275米,可用于连接到集团和服务器千兆网卡;中等距离单模光纤模块(WS-G5486)最大传速距离10公里,对于厂区间距离比较远的部门(销售、物资)必须采用中等距离的光纤模块才能保证数据的正确传输。
WS-X6248-RJ-45模块为信息中心机房提供48个10/100自适应端口,用于连接网管工作站,认证服务器、防火墙、路由器、拨号访问服务器以及Internet服务器,同时为了保护投资,股份办公楼内的所有工作站一期都可以接到6509上,并在6509上划分若干个VLAN,如计算中心机房、WEB站点、股份财务、所有服务器等各划分一个VLAN。
6509机箱上的其余5个插槽用于将来网络扩展。
Catalyst6509交换机具有背板带宽高(32G,6500系列可扩至256G)、高速三层交换(15M,6500系列可扩至150M)、端口密度大(130个千兆端口)、扩展能力强等优势。
在其他各个联网部门,我们采用CiscoCatalyst3524或3548千兆网交换机作为交换平台,它有24或48个10/100M自适应端口,两个千兆模块插槽,具有10GB备板交换能力,是典型的高性能桌面交换解决方案。
二期、三期网络扩建时,各部门内部根据信息点数的要求,利用WS-X3500-XL堆叠模块及电缆,采用菊花链式的方法可以将3524/48交换机堆叠(最多支持9个),可以提供更多的端口连接而不需改变网络拓扑结构,达到网络规模扩展的目的。
为了制止网络中的大量广播信息包产生广播风暴,同时也为了系统管理的需求,我们根据需要对核心交换机划分若干VLAN,制定交换机的各个端口属于那些VLAN,然后根据需要制定相应的VLAN之间的路由策略,在Catalyst6509的MSM上配置路由,既要满足性能的要求,又要满足安全性的要求。
网络的对外出口(Internet)接入设备采用Cisco2610路由器,1个以太端口用来连接6509外网段(Internet网段),1个WAN接口利用专线连接ISP接入Internet。
对于各个部门,采用2610拨号服务器提供电话拨号服务,在2610上插1个16口Modem模块,该模块已经集成了16个Modem,不需再增加外接Modem,即目前无法联网的用户和移动用户可以通过公用电话网拨号到计算中心,经过身份认证服务器的合法验证之后,可以和本地用户一样访问相关系统资源。
一、网络安全
计算机信息系统(包含操作系统、网络、数据库以及各种应用的综合系统)在给人们带来巨大效益的同时,由于其自身的脆弱性,也带来了许多的安全问题,如机密信息被泄露,文件被篡改,系统拒绝提供正常服务等等。
对于贵单位这样的一个网络系统,如果没有行之有效的安全控制措施,后果是不堪设想的。
如果没有安全措施,攻击者可以很容易地对该网施行各种破坏行为。
确保网络的安全性,是发挥信息网巨大作用的根本保证。
我们必须综合应用技术、行政管理、法律以及教育等多种措施和手段,切实保障网的安全可靠。
对于集团网络系统我们通过以下几种途径实现网络安全:
划分多个VLAN
在企业集团网络系统中,为了保证整个网络系统的安全性,实现财务子系统、销售子系统、办公子系统以及Internet服务子系统的隔离,我们运用了VLAN技术。
即在核心交换机上将属于以上几个子系统的计算机分别划分到不同的VLAN中去。
这样各个子系统就形成了自己独自的广播域。
交换机是通过VLAN标记来识别报文是属于哪一个VLAN的。
在交换机内部,到达接口的所有报文都打上该接口的VLANID。
在交换机内部,就用该VLANID解决报文与VLAN之间的有关问题。
VLAN可将流量、局部冲突分成几段,以及控制广播的能力。
划分VLAN后能提高网络的安全性,因为发送到网络上的报文对每个人都不可见。
如果不同VLAN间需要交换数据时,可通过核心Catalyst6509的三层交换即可实现。
访问控制
访问控制是指根据用户自身的特征(如工作性质、职务、级别等)确定用户对各种资源的访问权限,控制用户对系统资源的访问,维护系统的机密性、完整性和可用性。
访问控制分为两大类,自主访问控制和强制访问控制,前者基于授权,后者基于安全等级;在商业应用场合应用较多的是自主访问控制。
基于授权的访问控制通常通过构造访问控制表(ACL)来实现,ACL定义了每一用户对所有系统资源的访问权限。
访问权限规定了用户所能访问的资源,以及允许的访问方式,如对文件的访问方式包括读、读写、添加、执行等。
访问权限的授予由系统管理员或资源的拥有者来完成,例如,文件的创建者可以决定哪些用户可以某种方式访问他的文件。
访问控制是一种基本的安全措施,目前几乎所有的系统都提供有不同程度的访问控制机制,例如,UNIX系统对用户进行分组、对文件设置访问模式,不同类的用户具有不同的文件访问权限。
例如,在Cisco网络设备(第3层交换机和路由器)中,就提供了丰富的访问控制机制。
Cisco的ACL(访问控制表)安全规则可以根据许多因素制定。
这些因素包括:
第一,第3层(网络层)信息,包括网络源地址和目的地址;第二,第4层(传输层)信息,包括所用的传输层协议(TCP、UDP)、源端口号、目的端口号;第三,应用层协议信息,包括电子邮件Email、WWW访问、域名服务DNS、网络管理SNMP、远程登录Telnet文件传送FTP;第四,用户自定义规则。
在CiscoIOSTR中,访问控制表还可以进一步提供更详细的安全策略控制。
比如:
基于物理端口、MAC地址、特定应用和数据类型的过滤控制。
防火墙技术
防火墙是一种网络级的访问控制技术,它通过在内部网与外部网(公共网)之间设立一道屏障,控制进出的交通,达到保护内部网络资源的目的。
基本的防火墙技术包括包过滤(packetfiltering)和应用代理(proxy)。
包过滤是一种基于地址信息的技术,它通过检查进出数据包的源IP地址、目的IP地址、源TCP/UDP口地址及目的TCP/UDP口地址来过滤数据包,控制进出的资源访问。
某些高性能的路由器可以配置为包过滤防火墙。
由于地址易于伪造,包过滤的安全度很有限。
应用代理类似于应用网关,是客户与服务器之间的中间人,客户与服务器只能通过它交换信息,从而实现了对进出资源访问的控制。
包过滤与应用代理一般配合使用,以保证较高的安全性。
状态检测是一种新的防火墙技术,它结合了包过滤和应用代理技术,对IP层之上各层的数据信息均作检查,具有更高的安全性,而且它适用于所有协议,易于配置和管理,是一种非常有前途的防火墙技术。
有的防火墙同时还提供数据加密功能。
二、服务器系统安全
服务器是网络系统核心,服务器故障意味着整个网络的瘫痪,对于实时性要求很强的网络而言,这种事故造成的损失将是不可估量的,因此要求服务器有以下功能:
(1)完善的容错能力:
在电源、硬盘、阵列卡、内存保护、CPU电源模块、PCI总线上实现在线冗余。
(2)带电热插拔技术:
保证易损部件的更换与维护不影响系统的运行。
(3)智能I/O技术:
对重负荷的I/O卡,如100M网卡、高速硬盘卡,采用按最新I20规范设计的智能通道卡,减轻主CPU的压力,优化总线传输,增加I/O吞吐能力。
(4)良好的扩充性:
保证在应用增加时只需扩充服务器计算能力与存储能力便可保证应用的升级,而勿需再增加服务器。
硬件容错技术
所谓硬件容错,是指将服务器上所使用的所有硬件设备均采用相应的容错技术,以保证服务器的某一器件发生故障时,其正在进行处理的任务马上被其他器件接管,使得服务器可以正常工作。
硬件容错技术主要包括以下一些内容:
对称性多处理器(SMP)技术
采用了此种技术的服务器允许有两个以上的处理器(CPU)。
在所有处理器均处于正常工作状态时,每个处理器均处理不同的任务,如果某一个处理器发生故障,那麽其他的处理器将自动接管故障处理器正在处理的任务,这一过程对于网络的用户来说是完全透明的,对他们而言所有的应用均正常进行,不会有任何故障产生。
另外,在无故障发生的情况下,SMP技术还可以提高处理器的利用率。
硬件冗余技术
硬件冗余包括电源冗余、网卡冗余、系统风扇冗余等等。
它主要是指在服务器中设置两套功能相同的器件,在两套器件均处于正常工作状态时,两套设备同时工作以提高整个系统的效率。
当某一套设备故障时,另一套设备将立即接管故障设备正在处理的任务以保证系统的正常运行。
热插拔技术
所谓热插拔技术是指在服务器正常工作的情况下,将故障的部件拔下并更换上好的部件并不损害服务器和影响其工作的技术。
有了热插拔技术使得在不影响正常工作的前提下迅速地排除故障成为可能。
磁盘容错技术
磁盘容错对于整个计算机网络的安全性而言也是一个极为重要的环节。
因为,服务器的磁盘系统存放着整个网络的数据,磁盘容错是必须采用的。
目前,较为成熟并广泛得到使用的磁盘容错技术是廉价磁盘冗余阵列(RAID)技术。
这种技术不仅提供了磁盘容错技术,同时还可以提高磁盘I/O的速度。
常用的RAID技术分为RAID0、1、2、3、4、5几个级别,其中:
RAID0是指磁盘分段(DiskStriping)技术
其实现方法为将数据分段,同时写到多个磁盘上。
其优点是磁盘可以实现并行的输入和输出,提高磁盘读写速度,但是这种技术无容错性能;
RAID1是指磁盘镜像(DiskMirroring)技术
其实现方法是简单地将一个磁盘上的数据简单地拷贝到第二个磁盘上或等价的存储设备上来实现数据的冗余,其优点为实现了数据的完全冗余,容错性能极好,但是这种技术未提高磁盘读写速度同时成本较高;
RAID2-5是指将磁盘分段与磁盘冗余结合起来的技术
其中RAID2指磁盘分段结合HammCode纠错技术,RAID3指磁盘分段加专用奇偶校验盘,RAID4指磁盘分段加专用异步奇偶校验磁盘,RAID5是指磁盘分段加分布在各磁盘的偶校验。
这几种技术均综合了磁盘分段和磁盘镜像这两种技术的优点,这些技术要求磁盘阵列至少有三个磁盘,由于采用了校验码技术进行了数据冗余,故允许一个磁盘故障,同时由于采用了磁盘分段技术亦提高了磁盘读写能力。
目前最被广为采用的是RAID5技术。
为了保证数据的安全性和可靠性,需要对服务器的磁盘阵列采用RAID5的磁盘控制技术。
三、防病毒技术
1.对企业网络中所有工作站的病毒防护
网络工作站的防护位于企业防毒体系中的最底层,对企业计算机用户而言,也是最后一道防、杀病毒的要塞。
考虑到网络中的工作站数量少则几十台,多则数百上千台甚至更多。
如果需要靠网管人员逐一到每台计算机上安装单机防病毒软件,费时费力,同时难以实施统一的防病毒策略,日后的维护和更新工作也十分繁琐。
由此,乐亿阳趋势推出了OfficeScan企业授权版,它们具有如下特点:
(1)通过服务器自动分发客户端工作站防毒软件,大大简化了安装过程。
(2)自动识别客户机操作系统并下载和安装相应的防毒程序,支持包括NT工作站、WIN95/WIN98、、DOS、OS2等多种作业平台的工作站。
(3)通过服务器设置统一的防毒策略,获取完整的病毒活动报表,实施集中的病毒码和程序更新。
(4)设有密码保护功能,防止企业内用户随意卸载病毒监控程序,从而形成企业网络的病毒“后门”。
(5)储存所有工作站硬盘引导区记录,以备工作站引导区遭受病毒破坏后的紧急救援。
2.对企业网络中的所有文件服务器的病毒防护
文件服务器是企业网络中最常见的服务器。
以NT服务器为例,它会遭受大量引导型病毒、DOS病毒、32位Windows病毒以及宏病毒等的攻击,更为常见的是,由于文件服务器为网络中所有工作站提供文件资源共享,因而也成为病毒理想的隐身寄居场所,进而将病毒轻易扩散
升级会员 