网络系统集成项目规划设计建议书.docx

网络系统集成项目规划设计建议书.docx

《网络系统集成项目规划设计建议书.docx》由会员分享，可在线阅读，更多相关《网络系统集成项目规划设计建议书.docx（16页珍藏版）》请在冰豆网上搜索。

网络系统集成项目规划设计建议书

网络系统集成

校园网项目规划设计建议书

第一项目组

2013年7月1日

第一章网络总体设计

我院校园网络建设的基础

福建工程学院软件学院创办于2004年，是经福建省教育厅批准、是福建工程学院的二级学院。

软件学院办学地点在福建工程学院铜盘校区，该校区位于风景秀丽、空气清新的国家级软件开发基地——福州软件园内，，距福建工程学院本部车程约8公里左右。

学院占地面积万平方米，校舍总面积万平方米，仪器设备总值2000万元。

校区建有教学楼、行政办公楼、图书馆、学生活动中心、学生公寓、学生食堂、体育场。

拥有先进的多功能教室，完备的多媒体语音及网络实验室等。

学院馆藏图书万册（含电子图书25万册）。

学生公寓均安装有空调并配备了独立卫生间、洗漱间、阳台、电话、无线和有线网络，生活设施配套齐全。

园内有专门公交线路，交通非常便利。

现有全日制在校生3820人，其中本科生732人。

出于教学、科研、信息共享和办公的需要，学院于2004年就已经建设校园内部局域网系统。

随着用户不断的增加和网络需求的提升，原有的校园网无论是规模、性能或功能都已经无法满足当今现代化教学和办公的需要了。

因此必须重新设计一个新的校园网络系统。

新的校园网建设不仅要考虑技术的成熟度，更须考虑网络的业务承载能力和扩展性，从而满足日益增加的网络需求。

项目建设目标与内容

项目建设目标

该项目建设实施后，完成教学大楼的网络信息点建设、楼内光纤工程、办公自动化系统及其配套工程、楼内有线电视系统、智能查询系统和监控系统等。

以促进学院教学、科研、办公、管理的网络应用，提高工作效率和办学能力与办学水平。

项目建设内容

网络总体拓扑

图

网络层次化设计

对网络进行层次化设计，既保证了网络的安全，方便人们更好的地去管理网络，也使得对网络故障查找和排除的工作变得非常简单。

多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。

多层网络有很大的确定性，多层网络系统设计最有效利用多种第三层业务，包括分段，负载分担和故障恢复等。

在分层网络中运用智能第三层业务可以大大减少因配置不当或故障设备引起的一般问题。

针对实际情况我们可以采用三层结构模型。

三层结构模型划分为三个层次，即核心层，分布层，接入层。

每个层次完成不同的功能。

如下图。

核心层：

核心层作为整个网络的系统的核心，其主要功能是高速，可靠的进行数据交换。

分布层：

分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。

包括访问控制列表，vlan路由等等。

接入层：

接入层主要提供最终用户接入网络的途径。

主要是进行vlan的划分与分布层的连接等等。

图

第二章路由设计

路由协议选择

内部使用OSPF协议，用静态默认路由发布给边界路由器通过NAT转换与外网进行通信。

路由规划拓扑图

图

IP地址规划

IP地址的规划在网络设计中的作用举足轻重，直接影响整个网络运行的效果，IP地址的设计的总原则是简单，易管理，易扩展。

IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点，IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。

如下表，我们根据以下几个原则来分配IP地址：

唯一性：

一个IP网络中不能有两个主机采用相同的IP地址

简单性：

地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项

连续性：

连续地址在层次结构中易于进行路由总结，大大缩减路由表，提高路由算法的效率。

可扩展性：

地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。

灵活性：

地址分配应具有灵活性，可借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。

福建工程学院软件学院校园网IP地址划分及VLAN分布

IP网段

网关

VLANID

VLAN说明

综合楼401

综合楼403

综合楼405

综合楼407

综合楼各个教师机

教务部

后勤部

学工部

辅导员办公室

教师办公室

财务部

图书馆

院长办公室

宿舍楼3＃1层南

宿舍楼3＃1层北

宿舍楼3＃2层南

宿舍楼3＃2层北

宿舍楼3＃3层南

宿舍楼3＃3层北

宿舍楼3＃4层南

宿舍楼3＃4层北

宿舍楼3＃5层南

宿舍楼3＃5层北

宿舍楼3＃6层南

宿舍楼3＃6层北

宿舍楼2＃1层南

宿舍楼2＃1层北

宿舍楼2＃2层南

宿舍楼2＃2层北

宿舍楼2＃3层南

宿舍楼2＃3层北

宿舍楼2＃4层南

宿舍楼2＃4层北

宿舍楼2＃5层南

宿舍楼2＃5层北

宿舍楼2＃6层南

宿舍楼2＃6层北

宿舍楼1＃2层南

宿舍楼1＃2层北

宿舍楼1＃3层南

宿舍楼1＃3层北

宿舍楼1＃4层南

宿舍楼1＃4层北

宿舍楼1＃5层南

宿舍楼1＃5层北

宿舍楼1＃6层南

宿舍楼1＃6层北

表

第三章网络安全解决方案

网络边界安全威胁分析

网络的边界隔离者不同功能或地域的多个网络区域，由于职责和功能不同，相连网络的密级也不同。

这样的网络直接相连，必然存在着安全风险，我们对ambow总部网络边界问题做脆弱性和风险的分析。

Ambow总部网络主要=存在的边界安全风险包括：

Ambow总部网络与各级单位的连接，可能遭到来自各地的越权访问，恶意攻击和计算机病毒的入侵：

例如一个不满的内部用户，利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪。

内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网遭到来自其他部门的越权访问。

这些越权访问可能包括恶意的攻击，误操作等等，但是它们的后果都将导致重要信息的泄露或者是网络的瘫痪。

网络内部安全威胁分析

Ambow总部网络的风险分析主要针对ambow的整个内网的安全风险，主要表现为以下几个方面：

内部用户的非授权访问：

ambow内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。

内部用户的非授权的访问，更容易造成资源和重要信息的泄露。

内部用户的误操作:

由于内部用户的计算机造成的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。

内部用户的恶意攻击：

就网络安全来说，据统计约有70%左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。

设备的自身安全性也会直接关系到ambow网络系统和各种网络应用的正常运行。

例如：

路由设备存在路由信息泄露，交换机和路由器设备配置风险等。

重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时发现并且进行修复，将会为网络的安全带来很多不安定的因素。

重要服务器的当机或者重要数据的丢失，都将会造成ambow公司内部的业务无法正常运行。

安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。

安全产品选型原则

Ambow网络属于一个行业的专用网络，因此在安全产品的选型上，必须慎重，选型的原则包括：

安全保密产品的接入应不明显影响系统运行效率，并且满足工作要求，不影响正常的业务。

安全保密产品必须满足上面提出的安全需求，保证整个ambow网络的安全性。

安全保密产品必须通过国家主管部门指定的测评机构的检测。

安全保密产品必须具备自我保护能力。

安全保密产品必须符合国家和国际上的相关标准。

安全产品必须操作简单易用，便于简单部署和集中管理。

网络常用技术介绍

Vlan技术

（VirtuallocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用标准化Vlan实现方案的协议标准草案。

VLAN技术允许网络管理者将一个物理地LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包括一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。

一个VLAN内部的广播域个单播流量都不会转发到其他VLAN中，从而有助于控制流量，减少设备投资，简化网络管理，提高网络的安全性。

Trunk技术

一般的交换机端口只能属于一个VLAN，对于对个VLAN需要跨过多台交换机，就需要用到Trunk技术。

Trunk是指交换机之间或交换机与路由器之间VLAN之间的连接，VLAN信息通过Trunk在交换机之间或路由器之间传递，从而可以将VLAN跨越整个网络，而不仅仅是局限在一台交换机上。

Cisco支持，ISL技术得到了Inrel等厂商的大力支持，TagSwitching被3Com及LucentCajun支持。

对于CISCO交换机的Trunk端口，既可以指定它的封装协议为或TSL，也可以通过DTP协议自动协商。

DTP协议主要用于处理Trunk端口的和ISL封装协议的自动协商，对于不同厂家的交换机互连时很有帮助。

对Trunk的定义只能在快速以太网端口和千兆以太端口上进行，它既可以是单个的快速以太端口或千兆以太网端口，也可以是快速以太网通道（FEC）或千兆以太网通道（GEC）。

虽然我们采用的是思科交换机，但是最为一个标准，开放。

先进的网络系统，我们推荐的是用标准协议。

Spanning-Tree协议

在局域网中是不允许出现环路的，而为了实现冗余和负载的均衡，通常会有多条链路的链接，这样就会引入环路。

为了解决这个矛盾，推出了STP协议。

STP算发会将网络网络中的连接生成一个树，通过特定的算法自动将优先权高的链路激活，将优先权低的链路阻塞，保证在网络中任何时候都不会出现环路。

如果网络的连接状况发生了变化，STP算法会造成网络的暂时的不稳定状态，该转换时间在30秒之内，亦即在30秒之内会重新恢复到稳定状态。

STP对于终端是透明的，终端感觉不到STP的操作过程。

在交换机上可以通过修改端口的优先级来改变连接的优先权，使得STP算法将高优先权的连接作为活动的连接。

Cisco交换机的一个非常有用的特征就是可以对每个VLAN设置Spanning-tree，而不是对整个网络只能属于一个Spanning-tree。

这个特征是很多厂商的设备所不具有的。

在交换机上对端口的优先权的设置可以基于VLAN进行，每个端口对于不同的VLAN设置不同的优先权。

对于指定的VLAN，具有该VLAN最高优先权的端口转发该VLAN的信息，其它VLAN的信息阻塞。

通过这种方法，在具有冗余连接的交换机端口上分别针对不同的VLAN设置不同的优先权，既可以实现链路的冗余，又可以实现负载的均衡。

Cisco交换机端口支持每VLAN的生成树协议，每个端口都可设置基于VLAN的cost或priority参数，从而实现在多条路径上的负载均衡能力。

目前多数厂商都支持STP协议，但是不允许多个STP域。

采用多个STP域显然可以获得比单个域高的网络可靠性。

第四章设备选型及产品简介

网络设备概况

网络共有四大部分，分别是财务部和图书馆，教学楼，公寓楼、信息管理中心。

分为三层架构：

核心层、汇聚层、接入层。

根据网络分步的重要作用配置设备如下表：

设备名称

设备类型

设备数量

核心层设备

DCRS-5650-28C

1台

汇聚层设备

DCS-3950-28C

1台

接入层设备

2960-24TT

11台

无线设备

ER-100-3G

1台

服务器设备

SERVER-PT

2台

路由器

DCR-2626

1台

IP电话

CP-3951

6部

表

路由模块：

模式分类和作用：

单模

单模光纤的尺寸为9-10/125microm，并且较之多模光纤具有无限量带宽和更低损耗的特性。

而单模光端机多用于长距离传输，有时可达到150至200公里。

采用LD或光谱线较窄的LED作为光源。

拉环或者体外颜色为蓝色、黄色或者紫色。

模块的选用和放置：

光模块:

SFP封装,百兆155M,单模（1550nm）

接口类型:

LC

传输距离:

80km

价格:

RMB850

设备选用

序号

设备及工具

规格说明

数量

备注

1

路由器

DCR-2626（模块化路由器，2个10/100/1000M广域网电口，1个高速同/异步串口，1个网络模块插槽，1个配置口，1个备份口。

）

1台

2

路由器线缆

CR-V35MT-V35FC。

若干

3

二层交换机

2960-24TT（10Mbps/100Mbps/1000Mbps，端口数量24，10/100Base-T、

10/100/1000Base-Tx，全双工/半双工自适应，带宽16Gbps，VLAN支持，模块化插槽数2）

11

4

二层交换机

DCS-3950-28C（可堆叠智能安全交换机，24口10/100Base-TX，固化4个千兆/百兆Combo（SFP/GT）接口）

1台

5

三层交换机

DCRS-5650-28C（可堆叠智能安全路由交换机，24口10/100Base-TX，固化4个千兆Combo（SFP/GT）接口）。

1台

6

IP电话

CP-3951（1个电源接口、适配器、连接网络通信）

6部

7

服务器

WEB服务器、主服务器（DHCP服务器、DNS服务器等）

2台

8

耗材、工具

网络串口线、排插、楼宇对话机、移动硬盘、工具箱等

若干

表

产品选型介绍

序号

产品

描述

数量

报价

1

DCRS-5650-28

规格：

,,可堆叠智能安全路由交换机

带宽：

接口类型：

口，，，。

双工支持：

1

25560

2

DCS-3950-28CT-POE

产品类型：

运营级接入交换机

传输速率：

10/100Mbps

端口数量：

28个

端口结构：

非模块化

端口描述：

24个10/100M端口（PoE），2个千兆SFP光/电/堆叠复用口，2个千兆电/堆叠复用口

堆叠功能：

QOS：

最大可支持8个端口队列、支持，ToS，DSCP、端口优先级、网络管理：

CLI、WEB、Telnet管理界面。

2

31000

3

2960-24TT

传输速率：

10Mbps/100Mbps/1000Mbps

端口数量：

24

接口介质：

10/100Base-T、

10/100/1000Base-Tx

传输模式：

全双工/半双工自适应

交换方式：

存储-转发

背板带宽：

16Gbps

VLAN支持：

支持

MAC地址表：

8K

模块化插槽数：

2

5

5000

3

2950-24TT（二手）

产品类型：

快速以太网交换机

接口介质：

10/100Base-T

传输速率：

10Mbps/100Mbps

堆叠功能：

：

支持

网管功能：

SNMP管理信息库（MIB）II，SNMPMIB扩展，桥接MIB（RFC1493）

：

纠错

：

16MBDRAM和8MB闪存

：

存储-转发

：

6

2000

4

SERVER-PT

具有独立的双PCI通道和内存扩展板设计，具有高内存、大容量硬盘和热插拔电源、超强的数据处理能力和群集性能等。

这种企业级服务器的机箱就更大了，一般为机柜式的，有的还由几个机柜来组成，像一样。

2

30000

5

神州数码DCR-2626

端口结构：

模块化

局域网接口：

2个

传输速率：

10/100Mbps

：

内置防火墙

：

支持

：

支持

1

25800

6

CP-3951

1个电源接口、适配器、连接网络通信

6

390

7

ER-100-3G

1个10/100Mbps的WAN口，支持VPN，内置防火墙，天线，类型SOHO无线路由器。

1

7500

8

PC（自行配置）

若干

2000

总计

254460

表