《长江商报社网络工程项目实施技术方案含组网图》.docx

《长江商报社网络工程项目实施技术方案含组网图》.docx

《《长江商报社网络工程项目实施技术方案含组网图》.docx》由会员分享，可在线阅读，更多相关《《长江商报社网络工程项目实施技术方案含组网图》.docx（23页珍藏版）》请在冰豆网上搜索。

《长江商报社网络工程项目实施技术方案含组网图》

长江商报社网络建设

工程项目实施

技术方案

长江商报社网络建设工程项目组

2006年8月16日

版本历史RevisionHistory

Revision

Date

Description

1.0

（2006-8-16）

1.网络需求分析

长江商报社网络建设项目的预期是构建一个以千兆核心为骨干的高性能网络，由于本次网络建设是一个全新的网络的构建，在网络的构建种应该充分考虑到网络以后的可扩展性。

2.总体工程建设目标

本项目主要完成网络接入层、核心层集成工程项目，把整个报社办公大楼信息点接入网络，并对上网用户实行灵活安全的访问控制。

使得每个信息点上的领导和员工都能够快捷方便的访问办公网络，并通过网络出口访问Internet。

网络系统具体容如下：

●大幅度提高网络运行速度和吞吐能力，核心线路采用1000M（千兆），主干线路采用1000M（千兆），桌面独占100M（百兆），服务器设备独占1000M。

●按多种方式（区域和部门）进行VALN划分。

●网络安全系统的建立。

●实现网络核心交换机的高可靠性。

●部署局域网安全机制，保证网络安全运行和合理合法使用网络。

●实现网络稳定运行和动态伸缩，便于以后进行平滑的升级。

●机房改造和布线调整。

网络系统核心骨干为1000M（千兆），主干线路为1000M（千兆），桌面接入带宽为10/100M。

这样的带宽需求，对网络设计和规划提出了严格的要求，因此网络首先应该是层次化结构，且核心交换机必须是高性能的、拥有极高吞吐量的企业级交换机，它不仅要满足性能的要求，而且要满足层次化网络设计的要求。

为了提高交换机之间级连链路的带宽，未来可能还要用到端口捆绑技术，将两个甚至多个链路集合在一起形成一个逻辑通道，以提升级联带宽。

为了提高网络性能和安全性，将一个大的二层网络分隔成若干个小的网段，以避免广播在网络中的四处蔓延以及避免风暴是必须要考虑的又一个重要环节，这样不仅能提高网络的整体性能，而且也是在局域网内实施安全性的一个重要手段，在网络技术里这种技术被称为VLAN，要实现它，必须满足以下一些条件，一个是核心交换机必须是三层交换机能提供路由服务功能，完成VLAN之间的高速路由，另一个是所有参与VLAN划分的成员交换机必须支持802.1Q协议，完成整个网络跨交换机的VLAN的划分。

在设计一个安全、可用的网络时，还要采用链路级冗余，在网络中引入冗于的链路后网络会出现环状结构，而当L2层网络出现环状结构后会引起广播风暴，为了避免网络环路的产生而引起的广播风暴，要求网络交换机还要支持IEEE802.1D、IEEE802.1S、IEEE801.1W生成树协议族，将开销较高的链路阻塞掉，将一个物理上的环状结构计算为一个逻辑上的树状结构，当开销较低的链路失效时，重新启用已阻塞的链路，保证既实现了链路冗余又不致产生网络环路而引起广播风暴。

为了支持图形、语音、视频、数据等多种信息的传输特别是多媒体信息的传输，要求核心交换及分支交换机支持多种QOS、COS和802.1P优先级，保证实时性强、低延时的信息优先传输，优化网络性能。

为提高网络的安全性要求网络交换设备支持多种ACL算法和应用，包括，可以按MAC地址（源和目的）、IP地址（源和目的）、IP协议（TCP/UDP）、TCP端口号（源和目的）、UDP端口号（源和目的）设置访问控制列表，访问控制列表可进行基于端口、不同VLAN之间、同一VLAN内的访问控制。

为了网络管理系统的标准需要，要求网络设备支持SNMPV1/2/3版本，这样网络设备能将收集到的网络管理数据发送给网络管理软件处理。

为了提高网络系统的可靠性，核心网络设备必须配备双电源热冗余，保证网络系统不间断的工作。

未来还可对核心设备进行升级以满足不断增长的网络需求。

3.网络整体设计方案

长江商报社办公大楼网络项目采用分层次设计，本次设计是核心层、访问层的模式，考虑到以后网络的扩展，所有设备均可以满足以后的网络升级的组网需求；此外，在核心设备上配置双引擎以实现系统高可靠性。

3.1网络结构

现在流行的网络结构一般有两种：

标准的三层结构设计，或简化的二层结构设计，它们内部都包括有：

核心层：

核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。

网络的控制功能最好尽量少在骨干层上实施。

核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。

核心层设备将占投资的主要部分。

汇聚层：

汇聚层的功能主要是连接接入层节点和核心层中心。

汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。

一般认为网络的控制功能应该在该层完成。

接入层：

我们在核心层和汇聚层（二级接入）的设计中主要考虑的是网络性能和功能性要高，那么我们在接入层设计上主张使用性能价格比高的设备。

接入层是最终用户与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。

当然我们也应该考虑端口密度的问题。

在贵单位网络系统设计中，考虑到整体系统的实用性和成本，我们按照简化的二层网络结构进行设计。

3.2网络拓扑结构图

3.3设备选型说明

核心层设备一台：

选用华为3COMS6506R高性能多业务交换机，具体配置为：

S6506R交换机交流主机一台，2+1冗余电源，SalienceIII96G路由交换引擎两块，8端口千兆电口业务板两块，8端口千兆光口业务板一块，多模SFP模块八块。

接入层设备八台：

选用华为3COMS3952P-SI智能三层交换机，具体配置为：

S3052P-SI标准版交换机八台，48个10/100Mb电口，4个千兆SFP上联口，多模SFP光模块八块。

防火墙设备一台：

选用华为3COMSecPath500F千兆防火墙，具体配置为：

SecPath500F千兆防火墙一台，4个GE千兆口（其中2个电口，2个电口/光口可选）。

3.4输入供电准备

目前总电源功率统计表

序号

设备类型

设备型号

单电源功率

电源个数

设备台数

功率小计

1

交换机

S6506R

800W

3

1

2400W

2

S3952P-SI

165W

1

6

990W

3

防火墙

SecPath500F

70W

1

1

70W

4.网络结构改造实施方案

4.1机房平面布置图

4.2设备安装示意图

4.3上架安装装配示意图

4.4VLAN及IP地址规划

序号

VLANID

用途

VLAN虚拟网关地址

可用地址段范围

可用地址数

现规划用户数

所涉及的交换机

端口号

1

1000

网络设备

192.168.0.254/24

192.168.0.1-253

253

7

---

---

2

1

防火墙区

192.168.1.253/24

192.168.1.1-252

252

1

S6506R

GE5/0/8

3

2

DMZ区

192.168.2.254/24

192.168.2.1-253

253

---

---

---

4

3

采编服务器

192.168.3.254/24

192.168.3.1-253

253

2

S6506R

GE4/0/1-2

5

4

病毒服务器

192.168.4.254/24

192.168.4.1-253

253

1

S6506R

GE4/0/3

6

5

前置机

192.168.5.254/24

192.168.5.1-253

253

1

S6506R

GE4/0/4

7

6

社领导区

192.168.6.254/24

192.168.6.1-253

253

10

S3952-7

10-19

8

7

财务区

192.168.7.254/24

192.168.7.1-253

253

9

S3952-7

1-9

9

8

信息中心

192.168.8.254/24

192.168.8.1-253

253

6

S3952-6

37-42

10

9

人力资源

192.168.9.254/24

192.168.9.1-253

253

6

S3952-6,S3952-7

S3952-6的32-36,S3952-7的42

11

10

社委办

192.168.10.254/24

192.168.10.1-253

253

6

S3952-6,S3952-7

S3952-6的27-31,S3952-7的41

12

11

广告

192.168.11.254/24

192.168.11.1-253

253

28

S3952-6,S3952-7

S3952-6的1-26,S3952-7的39-40

13

12

发行

192.168.12.254/24

192.168.12.1-253

253

29

S3952-5

4-17,21-23,37-48

14

13

策划

192.168.13.254/24

192.168.13.1-253

253

7

S3952-7

32-38

15

16

采编办公

192.168.19.254/22

192.168.16.1-19.253

1015

223

S3952-1,S3952-2,S3952-3,S3952-4,S3952-7

S3952-1到4的所有的以太电口,S3952-5的1-3,18-20,24-36，S3952-7的20-31

4.5设备连接表

本端设备

对端设备

序号

设备名称

端口号

VLANID

IP地址

设备名称

端口号

VLANID

IP地址

1

华为3COMS6506R

GE3/0/1

Trunk

---

S3952P-SI-1

GE1/1/4

Trunk

---

2

GE3/0/2

Trunk

---

S3952P-SI-2

GE1/1/4

Trunk

---

3

GE3/0/3

Trunk

---

S3952P-SI-3

GE1/1/4

Trunk

---

4

GE3/0/4

Trunk

---

S3952P-SI-4

GE1/1/4

Trunk

---

5

GE3/0/5

Trunk

---

S3952P-SI-5

GE1/1/4

Trunk

---

6

GE3/0/6

Trunk

---

S3952P-SI-6

GE1/1/4

Trunk

---

7

GE3/0/7

Trunk

---

S3952P-SI-7

GE1/1/4

Trunk

---

8

GE3/0/8

Trunk

---

S3952P-SI-8

GE1/1/4

Trunk

---

9

GE4/0/1

3

192.168.3.254/24

采编服务器1

本地连接1

untaged

---

10

GE4/0/2

3

192.168.3.254/24

采编服务器2

本地连接1

untaged

---

11

GE4/0/3

4

192.168.4.254/24

病毒服务器

本地连接1

untaged

---

12

GE4/0/4

5

192.168.5.254/24

前置机

本地连接1

untaged

---

13

GE5/0/8

1

192.168.1.253/24

SecPath500F

GE0/1

1

192.168.1.254/24

4.6交换机相关配置

1.每台交换机上都配置管理网络设备VLAN，设置IP地址网段为192.168.0.0，子网掩码是255.255.255.0。

2.通过划分不同的VLAN，实现隔离广播域，控制广播流量在最小范围之内。

3.核心S6506R交换机上配置全部的VLAN，并配置GVRP（动态VLAN注册协议），使其下联的接入交换机能学习到VLAN信息。

4.每台S3952P-SI接入交换机上配置GVRP（动态VLAN注册协议），使其能学习到上联的核心S6506R交换机上VLAN配置信息。

5.核心交换机和接入交换机之间的光纤设置为Trunk类型链路，允许多个VLAN传输。

6.服务器设备通过千兆双绞线直接和核心交换机S6506R互连。

7.通过配置访问控制列表，实现各用户VLAN之间的访问控制，对采编服务器等重要应用设备的访问管理，如只允许采编人员可以访问采编服务器和前置主机。

8.核心交换机和防火墙通过互连VLAN方式连通，缺省路由指向防火墙端口。

9.前置机用来和远端的印刷厂主机互连，实现采编数据最后的传送印刷，前置机和采编服务器放置在一个VLAN内。

4.7核心交换机HA冗余引擎部署

4.7.1HA技术介绍

S6506R交换机支持HA（HighAvailability）特性。

HA特性实现系统的高可靠性，在主控板发生故障时，可以快速、准确恢复系统的正常运行，从而增强系统的MTBF（MeanTimeBetweenFailure），即平均故障间隔时间。

HA特性是主控板单板的一个特性。

交换机有两块主控板单板，工作在master-slave备份模式，即一块工作在master模式，为主控板，一块工作在slave模式，为备用板。

当主控板发生故障时，主备倒换将自动进行。

备用板将自动连接并控制系统的BUS，同时原来的主控板将断开和系统BUS的连接。

主备倒换完成后，备用板将成为主控板，而原来的主控板将重新启动成为备用板。

因此，即使主控板故障，备用板也能迅速取代它成为主控板，保证S6506R交换机的正常运行。

S6506R交换机支持主控板和备用板的热拔插。

主控板的热拔插将引起交换机的主备倒换。

S6506R交换机支持手动的主备倒换。

用户可以使用命令来手动的改变主控板和备用板的模式。

在S6506R交换机上，备用板上的配置文件是从主控板上拷贝过来的。

这样，当备用板取代主控板后备用板可以在和原来系统相同的配置下运行。

S6506R交换机支持两个单板上配置文件的自动同步。

当系统的配置发生改变时，当前的主控板在保存配置文件时会同时备份配置文件到备用板上，保证二者的配置一致。

用户可以使用命令手动的同步主控板和备用板的配置文件。

另外，S6506R交换机能够监控电源和系统的工作环境，在故障发生时发出告警，避免故障的继续扩大，保证系统安全的运行。

4.7.2配置说明

1.HA配置包括内容

手动设置备用板重新启动，允许或禁止强制倒换，手动执行主备倒换，打开/关闭系统主备自动同步开关，手动执行配置文件的同步。

2.手动设置备用板重新启动

当备用板正常运行时候，用户可以使用命令手动重新启动备用板。

请在用户视图下进行下列配置。

3.允许或禁止强制倒换

用户可以根据需要将S6506R交换机配置为允许手工强制倒换或者禁止手工强制倒换。

请在系统视图下进行下列配置。

4.手动执行主备倒换

当备用板正常运行，并且主控板进入实时备份状态之后，如果用户希望备用板成为新的主控板来保证系统的运行，可以通过命令手动的进行主备倒换。

当主备倒换完成后，备用板将成为新的主控板控制系统的正常运行，原来的主控板将自动重新启动。

请在用户视图下进行下列配置。

5.打开/关闭系统主备自动同步开关

系统提供自动同步功能，只要同步开关打开，当系统配置改变时，主控板保存配置文件的同时，也将配置文件备份到备用板，以保证主备配置的一致性。

用户可以通过以下的命令来打开/关闭系统主备自动同步开关。

请在系统视图下进行下列配置。

6.手动同步配置文件

S6506R交换机可以自动同步主控板和备用板的配置文件。

如果用户希望手动同步主控板和备用板的配置文件，可以通过命令手动的将主控板上的配置文件备份到备用板上。

请在用户视图下进行下列配置。

5.防火墙设备实施

5.1SecPath500F防火墙介绍

Quidway®SecPath500F防火墙是华为3Com公司面向大型企业用户开发的新一代专业千兆防火墙设备。

支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能，能够有效地保证网络的安全；采用ASPF状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN、SSLVPN和华为动态VPN等，可以构建Internet、Intranet、RemoteAccess等多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略；提供双机状态热备功能，支持Active/Active和Active/Backup两种工作模式，实现负载分担和业务备份。

设备类型:

专业级防火墙

转发速率：

1000Mbps

3DES性能：

250Mbps

最大会话连接数：

1,000,000条

每秒新建会话连接数：

20,000条/秒

是否支持VPN:

支持

VPN通道数：

1,000条

接口配置：

4GE

5.2部署说明

1.SecPath500F防火墙作为整个公司访问Internet的路由转换设备。

2.防火墙上标准配置4了百兆/千兆自适应电口，这次使用了2个接口，连接分配为：

●GE0/0口连接电信ISP提供的10Mb光纤宽带；

●GE0/1口连接核心交换机S6506R。

3.按照优先级的高低，配置整体访问权限。

●设置GE0/0为Untrust区，优先级为默认的5；

●设置GE0/1口为Trust区，优先级为默认的85。

4.不允许处于低优先级的网络主机直接访问到高优先级的内网区域，对访问管理进行严格的控制监管。

5.在防火墙上配置NAT功能，实现内网用户可以正常访问Internet。

6.针对常见黑客攻击配置相应的特性功能，阻止这些攻击影响内网。

7.在防火墙上配置“关键字过滤”、“网页内容过滤”等，严格过滤非法内容。

8.在防火墙上配置端口映射功能，可以把内网的部分服务器主机映射到公网，使Internet外网用户可以正常访问这些主机提供的服务。

这个功能可选。

9.可以在防火墙上配置L2PTVPN拨号，实现外网授权VPN用户如移动笔记本用户等拨号到商报社内网后，在相应授权的前提下正常访问内网部分应用服务。

这个功能可选。

6测试大纲

6.1机箱安装验收

验收目的

验证网络产品的机箱安装符合要求

预置条件

无

测试过程

机箱安装完毕后，在机箱内整体是否牢固。

机箱安装完毕后清理现场，是否遗留工具或杂物。

机箱安装完毕后，机箱内是否清洁，是否遗留杂物。

机箱表面是否干净整洁，外部漆饰完好，各种标志正确、清晰、齐全。

机箱安装完成时，机箱及各单板是否有多余或非正规的标签。

各空挡板及各空单板条是否安装完整。

机箱及空挡板的固定螺钉是否紧固，符合安装要求。

各单板的面板螺钉是否松紧适度，弹簧钢丝是否完好。

机箱的承重托盘是否水平，与机箱的固定螺钉是否配合良好。

走线挡板安装是否稳妥。

暂时闲置的光口是否加有护套。

所占用端口是否规则有序，是否便于将来扩容。

6.2系统上电

验收目的

验证网络产品系统上电正常

预置条件

网络设备电源、各单板及机箱连接正确

测试过程

确认插座连接无误，打开电源开关。

预期结果

各单板指示灯正常显示。

风扇正常运转。

电源开关正常。

测试说明

在操作终端与网络设备连接正常的情况下，在操作终端上执行displaydevice命令可以查看各单板、风扇、电源等的运行情况是否为Normal状态。

6.3串口登录验收

验收目的

验证网络产品Console口功能正常

预置条件

网络设备主控板的Console口与终端计算机串口连接正确。

启动计算机的Windows操作系统，进入超级终端，设置连接参数：

波特率为9600bps，无奇偶校验，8位数据位，1位停止位，无流控。

终端仿真类型设为VT100或自动检测。

功能键、箭头键和Ctrl键的类型设置为终端键类型。

ASCII码设置中的ASCII码接收选项选为：

将超过终端宽度的行自动换行。

网络设备正常启动。

测试过程

在连接网络设备主控板Console口的计算机的超级终端中键入回车字符。

预期结果

回车后超级终端应出现命令提示符，可进行命令操作及网络设备配置。

测试说明

无

6.4Telnet登录功能验收

验收目的

验证网络产品Telnet功能正常

预置条件

正确连接网络设备和PC机的以太网口。

通过超级终端正确配置网络设备以太网接口的IP地址。

配置各PC机的IP地址，使各PC能够正常Ping通网络设备上各个相应接口的IP地址。

在网络设备上正确配置Telnet参数。

测试过程

PC1上启动Telnet客户端程序，从网络设备主控板上的以太网接口登录网络设备，执行配置命令。

PC2上启动Telnet客户端程序，从网络设备接口板上的以太网接口登录网络设备，执行配置命令。

预期结果

步骤1、2的Telnet均执行成功，可以配置网络设备。

测试说明

无

6.5以太网帧格式验收

验收目的

验证网络产品支持三种以太网帧格式封装的功能

预置条件

网络设备与终端计算机连接正确。

将两网络设备接口板的以太网口使用交叉网线直接相连。

配置网络设备，使以太网口正常工作。

测试过程

在网络设备接口视图下将接口板的以太网口的帧格式依此更改为：

ethernet_II、ethernet_SAP、ethernet_SNAP，期间使用displayinterfaceinterface-name命令进行查看。

在两网络设备上互相ping对方的相应端口地址。

预期结果

可以看到与配置对应的封装类型的显示。

互ping均能够正常ping通对端。

测试说明

本测试用例的封装为发送报文的封装，对于接受报文不进行限制。

即任意封装类型的以太网帧都能够被网络设备识别。

6.6静态路由的基本功能

验收目的

验证网络产品静态路由的基本功能

预置条件

两网络设备通背靠背连接正确。

RTA、RTB网络设备的相连端口配置正常的IP地址，互相正常ping通。

测试过程

在RTA上配置一个loopback接口。

在RTB网络设备上通过displayiproute命令查看路由；在RTB上pingRTA的loopback地址。

在RTB网络设备上配置目的地址为RTA的loopback地址的静态路由，

重复步骤2。

预期结果

步骤2中，看到没有到RTA的loopback地址的路由，且无法正常ping通RTA的loopback地址。

步骤4