灵 动 网 络.docx
《灵 动 网 络.docx》由会员分享,可在线阅读,更多相关《灵 动 网 络.docx(17页珍藏版)》请在冰豆网上搜索。
灵动网络
灵动网络
网
络
策
划
方
案
2014年6月14日
目录
一、需求分析6
A.网络构建背景需求6
B.网络应用需求6
C.网络技术需求7
D.功能需求7
E.网络安全需求8
二、网络规划设计9
A.设计目标9
B.设计原则10
C.设计要求11
D.设备分析12
三、网络结构设计13
A.网络拓扑图13
B.出口区域设计14
C.核心主干设计15
D.汇聚接入层设计16
E.服务器接入设计17
F.无线覆盖设计17
四、网络技术选型18
A.路由技术—静态18
B.端口安全18
C.地址转换技术—NAT19
D.访问控制列表—ACL19
E.链路聚合20
F.VLAN21
G.WLAN22
五、安全施工与文明施工22
A.安全施工22
B.文明施工23
六、技术支持与售后服务24
A.支持及服务体系组织结构24
B.技术支持与服务策略25
C.技术支持与服务内容26
七、工程验收28
A.工程验收程序28
B.提交竣工资料28
附件一:
产品清单…………………………………………………………………………………………………28
附件二:
报价清单…………………………………………………………………………………………….….29
前言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。
而现在,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。
信息化已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。
信息化是企业加快实现现代化的必然选择!
随着信息时代的到来,企业的生存和竞争环境发生了根本性的变化。
对于大型企业而言,信息化无论是作为战略手段还是战术手段,在企业经营中发挥着举足轻重的作用。
随着近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”企业网络已经成为企业信息化建设成功的关键基石。
一、需求分析
A.网络构建背景需求
为了适应业务的发展和国际化的需要,积极参与国家信息化进程,提高管理水平,展现全新的形象,某厂准备建立一个现代化的机构内部网,实现信息的共享、协作和通讯,并和下属各个部门互连,并在此基础上开发建设现代化的企业应用系统,实现智能型、信息化、快节奏、高效率的管理模式。
总体目标是建立该企业的办公业务信息网络交换平台,集成下属各部门信息网络系统,功能齐全、技术先进、集成化的网络系统。
B.网络应用需求
1.实现企业局域网与其他各网络之间的安全、高速数据访问交换。
2.采用Internet代理服务,实现企业所有站点通过电脑网络高速访问Internet。
3.建立FTP服务器,实现企业员工能够快速上传以及下载所需要的文档。
4.建立WEB服务器,实现企业的对外形像展示以及在线商务来往
5.建立全面覆盖的WIFI网络,方便员工移动办公及娱乐。
公司Internet应用是作为我们设计网络一期的依据,因此,我们从公司Internet应用及应用发展入手,分析目前及未来发展的公司Internet应用,并根据这些应用的自身特点,从带宽需求、传输时延、传输的可靠性、传输的安全性等因素来分析,综合考虑并总结出公司Internet应用的发展需求。
C.网络技术需求
6.主干网络采用速率为1000Mbps的交换技术。
作为公司主干的支撑网络,要求安全可靠,并可实现主干网络冗余、链路容错等功能。
7.系统各层网络之间良好互联。
8.千兆交换机与主机服务器之间良好互联。
9.网络骨干设备具有较高的可靠性;核心设备支持热插拔,具有容错设计。
10.网络设备具有较好的扩展性,系统能够平滑升级及扩充。
11.采用国际标准TCP/IP协议。
D.功能需求
设计的网络要达到的功能如下:
12.信息的共享功能
13.公司管理
14.办公自动化
15.高速Internet 冲浪
16.网络的各个桌面用户可共享数据库、共享打印机,实现办公自动化系统中的各功能
17.通信服务功能
18.最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问
19.多媒体功能;
20.FTP服务的快速访问
21.远程VPN拨入访问功能;
22.系统支持远程PPTP接入,外地员工可利用INTERNET远程访问公司资源
E.网络安全需求
网络安全主要解决访问互联网及中心服务器的安全问题,考虑以下因素:
23.公司网与Internet网相连后,防火墙启用过滤功能,以防止网络黑客入侵网络系统;
24.良好的认证体系可防止假冒合法用户的攻击;
25.良好的备份和恢复机制,可在攻击造成损失时,帮助系统尽快地恢复数据和系统服务;
26.多层防御,攻击者在突破第一道防线后,应有多层防御可以延缓或阻断其到达攻击目标;
27.通过NAT地址转换功能隐藏内部信息,这样可以使攻击者不能了解系统内的基本情况;
28.设立安全监控中心为信息系统提供安全体系管理、监控、保护及紧急情况服务。
二、网络规划设计
F.设计目标
该企业网络系统应是一个以宽带IP网为目标,建立数据、语音、视频三网合一的一体化内部办公网络和外部宽带。
网络系统应实现虚拟局域网(VLAN)的功能,以保证全网的良好性能及网络安全性。
主干网交换机应具有很高的包交换速度,整个网络应具有高速的三层交换功能。
主干网络应该采用成熟的、可靠的千兆以太网技术作为网络系统主干。
同时该网应选用先进的网管软件,建立完善的网络管理体系;在设备方面,应选择有成功案例的网络厂商的设备,同时为Intranet、拨号用户和移动用户提供接口,网络还应具有良好的扩展性。
G.设计原则
29.遵循《中国公众多媒体通信网技术体制》、《中国公众多媒体通信网工程实施技术要求》以及其它国家相关标准和技术体制。
30.采用层次化设计,网络结构的不同部分有不同的功能,使网络具有优良的结构。
31.优化网络和系统结构,并在各个层面考虑冗余和备份,使系统具有较高的容错能力和应变能力,以保证系统的可靠和有效运作。
32.选用的技术确保开放性、可移植性、兼容性和可扩展性。
采用通用的国际标准和协议,不采用有碍网络互通的厂家特有性能。
33.提供有效的安全保密措施,确保整个网络的安全。
重要网络设备应有适当的冗余备份。
34.尽量详细准确,减低工程的复杂程度,使系统建设和改造的工作量减至最少,以保证工程的顺利和有效完成。
H.设计要求
35.实用性:
网络建设从应用实际需求出发,坚持为领导决策服务,为经营管理服务,为生产建设服务。
另外,如果是对现有网络升级改造,还应该充分考虑如何利用现有资源,尽量发挥设备效益。
36.适度先进性:
规划局域网,不但要满足用户当前的需要,还应该有一定技术前瞻性和用户需求预见性,考虑到能够满足未来几年内用户对网络功能和带宽的需要。
采用成熟的先进技术,兼顾未来的发展趋势,即量力而行,又适当超前,留有发展余地。
37.经济性:
要求价格适中,设备及耗材要求采用质量过硬,物美价廉。
38.安全可靠性:
确保网络可靠运行,在网络的关键部分应具有容错能力,提供公共网络连接、通信链路、服务器等全方位的安全管理系统。
39.开放性:
采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备,保证整个系统具有开放特点,增强与异机种、异构网的互联能力。
40.可扩展性:
系统便于扩展,保证前期的投资的有效性与后期投资的连续性
41.安全保密性:
为了保证网上信息的安全和各种应用系统的安全,在规
I.设备分析
根据对网络需求的考察,根据合理性、实用性和节约费用等原则进行设备选择:
42.基于路由器和交换机的局部网间的互联是最好的解决方案。
网络协议方面,以网际协议(IP)作为校园网网络系统的公用网络协议实行标准化,使用IP作为标准传输协议,在以后对网络进行扩充以与其它的网络互连时,可以跨越多个平台自然而然地提供互操作能力和无缝连接功能。
43.在主干网建设时,选择锐捷系统产品,它能够以极具竞争力的价格提供所有技术,为我们提供一个集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案的标准。
44.在局部网建设方面,同样使用锐捷设备作为骨干网基础设施的基础。
锐捷设备提供了可伸缩的结构和高性能的设备,能够高速传输数据,同时通过它们Secure技术保证了安全地接入Internet和一体化的网络解决方案。
45.计算机终端设备的选型既考虑性能、价格比、设备的运行维护费用,也考虑设备的可扩充性,确保系统主要设备的投入在整个系统的生命周期内能得到充分利用并具有强健灵活的体系结构。
同时,也考虑局部子网对硬件和信息流量的要求,必须能够提供专用的高速带宽,以处理日常数据信息和峰值操作,并能够支持各种新技术和新增用户。
46.安全性是另一个关键要求,要保证能够安全地接入Internet。
划时就要为局域网考虑一个周全的安全保密方案。
三、网络结构设计
J.
网络拓扑图
图1-1灵动网络网络拓扑图
K.出口区域设计
出口我们采用锐捷NBR系列产品,RG-NBR系列网络优化网关是为中小规模网络量身设计的新一代网关产品。
该系列采用MIPS多核硬件平台,数据传输性能相比传统路由器提高数倍。
同时拥有精准流控、智能选路、联动抗攻击等丰富功能,在满足互联网高速访问的基础上,也保证了网络的安全稳定。
它将是网络出口设备的最佳选择。
47.应用精准识别,流量带宽随心管控
RG-NBR系列网关采用自主研发的专利技术进行应用识别,能精准的识别出P2P下载、网络视频、聊天软件等上千种应用特征,将识别率从业界平均水平80%提升至95%以上。
使用RG-NBR系列网关,您可以对不同应用的流量进行灵活管控,让带宽空闲时随意使用,带宽紧张时按需分配,一切按照您的需求来对网络进行优化,保障您的关键业务顺畅开展。
48.智能选路,为数据传输指引导航
当您的网络有多条出口线路时,选路规划不合理就会造成上网慢或带宽资源的浪费。
现在,RG-NBR系列为您提供了一套完善的智能选路体系来解决这一难题。
当转发数据时,设备会进行分析和判断,选择最优的路径传输,避免出现跨运营商访问。
甚至还可以基于某类应用进行路由选择,让关键业务走高质线路,普通应用走一般线路,在充分利用多条外网线路的同时,实现更快速的数据传输和更实惠的成本投入。
49.规范上网行为,提高员工工作效率
可以通过RG-NBR系列网关对内网用户的上网行为进行规范和管理。
禁止使用不符合规定的网络应用,屏蔽各种与工作无关、含病毒木马、黄赌毒等网站,您甚至可以对内网用户登陆的QQ账号,做精细的权限设置,从而提高工作效率,保障网络安全。
50.可视化VPN,业务保障无死角
RG-NBR系列网关将VPN的配置简化到了极致,只需几步鼠标勾选操作即可完成。
此外,您还可以对VPN的连接状况可视化查看,并对VPN隧道内的业务流量进行流控,彻底解决基于VPN的视频会议无法开展的诸多IT难题,为基于VPN的关键业务提供保障。
51.WEB认证,实名上网统一管理
RG-NBR系列通过WEB认证服务功能,可以实现对内网用户的上网行为权限管理,同时还可以做到基于用户的流控和实名的日志记录。
此外,通过内置的portal服务器,可进行页面的推送(页面中可包含重要通知的下发、宣传信息的相关链接都可以通过这种方式进行推广),方便快捷。
L.核心主干设计
网络中心作为全网的心脏,向单位内部的终端系统源源不断的提供安全的信息血液,保证整个业务系统的可靠运行。
因此,作为整个网络平台的神经中枢,网络核心层是全网数据传输的中心,不仅要保证7*24小时的稳定运行,各种应用服务器的数据能够被稳定可靠的传输到终端系统。
核心交换机我们采用锐捷S7806,RG-S7800系列交换机是锐捷网络推出的以业务为核心、面向下一代网络的万兆骨干路由交换机,提供大容量、高密度、模块化体系架构,完全满足城域以太网、下一代IPv6网络、大型企业园区网的各种需求。
M.汇聚接入层设计
汇聚层
汇聚层对于校园网络系统来说非常重要,作为核心和接入设备的中间部分,需要处理大量数据转发或动态路由的连接寻址,高速数据转发的作用和安全访问控制。
考虑到的高速千兆线路的应用,所以建议在大汇聚交换机使用千兆智能多层汇聚交换机。
汇聚交换机提供24个千兆电接口,8个复用的千兆SFP接口,两个万兆接口,支持内置模块化的冗余电源。
网络汇聚交换机,其内置安全机制,不仅阻断了IP扫描和DoS攻击,保证了网络骨干是健全的,还保护了核心层设备的安全。
所有汇聚交换机通过千兆光纤上联到新增核心交换机,通过百兆双绞线下联到接入交换机。
接入层
接入层负责所有信息节点的接入,由高性能设备和高速冗余的链路构成,实现数据的高速转发、路由快速汇聚、负载均衡、流量控制、网络管理等功能。
N.服务器接入设计
服务器区又叫数据中心区域,数据中心是通过网络提供服务的“生产工厂”,随着整个世界对云计算的使用频率正在增加,数据中心的规模变得越来越大,网络也随之成为数据中心和云计算的基础。
本网络服务器均为机架式服务器,均配置四网卡。
服务器均采用浪潮英信NF5140M3。
服务器优点如下:
1.标配4TB大硬盘,提供足够的数据存储空间
2.机架式方便安装,不占用地方,直接装入机架
3.集成系统管理芯片,支持IPMI2.0、KVMoverIP、虚拟媒体等管理功能
4.支持浪潮睿捷V5.0服务器管理、部署软件
5.可选浪潮睿捷LCD管理模块,提供本地可视化系统监控和故障诊断功能
O.无线覆盖设计
考虑到贵公司在一楼大厅有茶餐厅、中餐厅、西餐厅等就餐休闲的区域,以及后续移动办公的需要我们设计了WIFI覆盖,无线AP设备我们采用RG-AP320-I。
RG-AP320-I是锐捷网络推出的搭载“X-sense”灵动天线的802.11n无线接入点(AP)产品。
业界领先的“X-sense”灵动天线,跨越式的提升了AP的覆盖性能,保障了移动智能终端最优的接入效果。
不仅如此,高达600Mbps的最大传输速率也使得RG-AP320-I能够轻松满足各种无线业务的承载使用。
四、网络技术选型
P.路由技术—静态
在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同VLAN间的数据转发而需要路由协议时,我们采用静态作为路由协议。
使用静态路由的另一个好处是网络安全保密性高。
动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。
因此,网络出于安全方面的考虑采用静态路由。
不占用网络带宽,因为静态路由不会产生更新流量。
在该套网络设计方案中,采用汇聚使用默认指向核心,核心使用默认指向出口,出口以及核心添加全网的静态路由。
Q.端口安全
交换设备定义了对端口保护的功能,我们能定义允许的最大MAC地址访问数,或者静态的定义特定的MAC地址。
端口安全主要应用于财务部,以便遭到不法分子的侵入,造成没必要的损失。
R.地址转换技术—NAT
在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地址,但是使用私有地址不能访问Internet,所以必须申请多个公开地址配置在和Internet相连的局域网边缘设备上。
应用NAT进行地址转换。
NAT是网络地址翻译技术,在路由器上起用NAT之后,可以在部私有地址和外部公网地址之间做转换。
比如我们可以把网络内部使用的IP翻译成外部公网的IP。
配置基于策略的路由选择时,可使用路由映射表来指定基于IP地址,应用程序,协议或者分组长度的条件。
基于策略的路由选择命令对中选的路由实现策略。
基于策略的路由和静态路由有很多共同之处。
然而,静态路由根据目标网络地址来转换分组,而策略路由根据源地址来转发分组。
在路由选择表中使用访问列表时,可根据诸如目标地址,分组长度,IP协议字段,优先级或端口号来转发数据流。
这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下一路由器。
S.访问控制列表—ACL
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这个包。
我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策略,防止网络中的敏感设备受到非授权访问的情况。
在具体实现过程中从技术上来说我们需要了解到ACL分为两种类型,他们分别是标准访问列表(Standardaccesslists)和扩展访问列表(Extendsaccesslists)前者在过滤网络的时候只使用IP数据报的源地址,那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源IP地址,它无法区分具体的流量类型。
而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而精确到某一个服务,比如对WEB,FTP的访问等,给我们网络的策略提供了更细的控制手段。
我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。
标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。
T.链路聚合
以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性,比如可以把2个、3个、4个千兆的链路绑定在一起,使链路的带宽成倍增长。
链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保证链路的冗余性。
在这些千兆以太网交换机中,最多可以支持4组链路聚合,每组中最大4个端口。
链路聚合一般是不允许跨芯片设置的。
生成树协议和链路聚合都可以保证一个网络的冗余性。
在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。
而一旦出现故障,启用备份链路。
链路聚合主要用于视频会议中心的链路上,因为视频语音等流量需要大带宽,我们采用链路聚合解决这一问题。
U.VLAN
VLAN虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个逻辑层次的划分。
从技术上说VLAN可以分为静态VLAN和动态VLAN,那么静态的VLAN是基于交换机端口进行划分,根据网络设备连接不同的交换机端口,则进入相应的VLAN。
动态VLAN则更灵活,它可以根据接入计算机的IP地址,MAC地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的VLAN中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。
那么在我们的企业网方案中,我们希望通过使用VLAN技术进行划分达到以下目的:
隔离,划分广播域,减小不必要的广播流量,从而提高整个网络的利用效率。
V.WLAN
无线局域网有4大特点:
移动性:
不受时间限制,空间限制,用户可以在网络中漫游;灵活性:
不受线缆的限制,可以随意增加和配置工作站;低成本:
无线网络不再需要大量的工程布线,同时节省了线路的维护费用;易安装:
对于有线网络来说,无线网络的组建、配置和维护更为容易。
结合以上特点,无线网络非常适合图书馆的环境和要求,我们在图书管布置无线网络,并且采用INFRASTUCTURE这种典型的WLAN工作模式,无线客户端可以通过无线接入器AP(AccessPoint)接入以太网共享网络资源,多个AP分布在相邻的区域可以实现无线客户端的移动漫游。
五、安全施工与文明施工
施工过程中的文明程度和安全措施,反映施工单位的企业文化和管理水平。
启晨网络公司对此极为重视。
在对使工人员不断进行文明与安全教育的同时,制定和完善各项施工制度和操作规程。
职工的文明与安全意识在施工中得到充分的体现。
我们的经验是,根据具体工程项目的不同特点,采取不同的安全措施,是保证工程项目顺利实施的重要保证。
W.安全施工
安全施工计划包括两方面的内容,建设单位建筑物内部的一切设备和设施在施工期间的安全运行以及我公司施工人员的安全施工。
启晨网络得力公司对所有符合工作范围的安全负责。
公司的员工以及工程施工人员,在整个项目工程的执行周期内,都将严格按安全施工规范进行施工。
✧施工中涉及到其他专业的设备(如吊顶内的一切管线和设备件中的各种设备),未经允许不得改变起原状态。
对影响到施工的必须请示甲方,得到批准后方可移动或关闭影响施工的设备。
✧进入办公室施工,必须得到工作人员的允许。
室内施工要避免或减少噪声,工具要轻拿轻放。
对声音比较大的工作,要事先向办公室工作人员打招呼。
工作完毕,立刻恢复工作面原状(如办公家具扳回原位、清理施工造成的灰尘等)。
✧施工人员要着装整齐,礼貌待人。
高空作业要系安全带。
必要时戴安全帽。
X.文明施工
文明施工主要体现在施工期间尽量减少或避免由于施工给甲方正常的工作秩序和工作环境所带来的影响,例如噪音和卫生。
在本网络施工中,由于地理位置的缘故噪音不会给甲方带来不必要的影响,但是施工卫生在这里就显得尤为重要,我们采取的措施是,注意楼道内和室内的墙面和吊顶的卫生,不能因施工将其造成污染。
一旦弄脏必须立即清除干净。
施工期间的遗留物随时清理,施工完毕恢复原状,不留任何施工痕迹。
为了保证文明施工的贯彻执行,工程项目领导小组将有专人负责具体事宜落实。
工程项目领导小组将时刻监督文明施工和安全施工,随时和甲方的工程技术人员解决有关施工中的问题。
消除不安全隐患。
保证整个施工的顺利进行。
六、技术支持与售后服务
Y.支持及服务体系组织结构
启晨网络公司凭借自身的技术实力和长期建立的完善的技术支持服务体系(其中包括技术响应中心等部门)为用户提供卓越的技术支持和服务。
包括售前、售后技术支持和服务,支持及服务体系组织结构包括总经理、项目经理、响应中心、技术部、工程部。
——总经理
总经理负责一切启晨网络公司的业务,同时负责确保启晨网络公司为客户提供高质量的技术支持和服务。
——项目经理
项目经理作为专职代表负责启晨网络公司与项目客户之间保持紧密的联系,同时提供启晨网络公司的各种产品资料,协助客户选择所需的软硬件等,并作为客户日后与启晨网络公司的联络员。
所有参与项目的工程师和其它人员均由他来指派,并负责向高层管理人员汇报项目的进展情况,并为该项目的总体负责人。
启晨网络公司将指派优秀的技术人员作为该项目的总体负责人,将对东海区渔政渔港监督管理局综合布线项目建立客户档案,经常就客户在业务上的问题、产品更新的要求、未来的业务计划同有关公司联系,通过与国内外公司的技术合作保证客户项目顺利进行。
——响应中心
响应中心由一批专业的技术服务顾问组成,以其对产品和服务的深刻认识,和丰富的经验,为现场的工程师和客户提供一周7天,
升级会员 