网络信息系统项目规划实施方案.docx
《网络信息系统项目规划实施方案.docx》由会员分享,可在线阅读,更多相关《网络信息系统项目规划实施方案.docx(45页珍藏版)》请在冰豆网上搜索。
网络信息系统项目规划实施方案
网络信息系统项目规划实施方案(样本)
来源:
作者:
发布时间:
2007-01-29
一、XXX公司网络信息系统一期规划实施方案——主干网络系统建设8
(一)概述8
1、网络设计原则8
2、网络建设目标和总体规划8
(二)主干网络建设11
1、主干交换机11
1.1CISCOCatalyst6000系列基本特性11
1.2CISCOCatalyst6000系列扩展特性12
1.3第三层交换14
1.4本方案选型和主要配置15
1.5子网划分15
2、二级节点主交换机16
2.1CISCO3548XL交换机介绍16
2.2本方案二级节点主交换机选型和配置16
3、部门交换机17
4、网络连接冗余17
(三)访问服务中心18
1、ISP访问服务器配置和选型18
2、ISP计费系统软件19
//文章出处:
网络技术论坛()作者:
xj_rick
(四)Internet连接21
1、Internet连接概述21
2、CISCO3640路由器介绍21
3、本方案路由器选型和配置22
(五)服务器系统23
1、E-mail服务器23
1.1E-MAIL服务器选型原则23
1.2SUNE450优点与特性24
1.3E450ClusterHA双机热备25
1.4本方案E-MAIL服务器主要配置26
2、数据库服务器27
2.1数据库服务器选型原则27
2.2本方案数据库选型和配置27
3、WEB应用服务器28
3.1WEB服务器的功能概述28
3.1本方案WEB服务器的选型和配置29
3.2SUNE250优点与特性详述29
4、代理服务器31
5、计费和认证服务器31
6、DNS(域名)服务器31
//文章出处:
网络技术论坛()作者:
xj_rick
7、开发平台32
(六)系统软件的选择33
1、操作系统的选择33
2、数据库的选择33
3、WEB应用服务器软件的选择36
4、E-mail软件系统的选择37
(七)主干网实施和综合布线子系统40
1、设计原则40
2、总体设计思路40
3、布线系统详细设计41
3.1设计依据41
3.2设计要素42
3.3布线系统设计42
3.4线路铺设47
(八)数据备份48
1、数据备份概述48
2、推荐采用的备份软件和存储设备49
2.1备份软件49
2.2存储设备49
2.3备份方案结构图50
//文章出处:
网络技术论坛()作者:
xj_rick
3、备份方案选择50
(九)网络管理51
1、XXX公司网络系统对网络管理需求51
2、XXX信息系统网络管理选型和配置52
3、SolsticeSunNetManager2.3介绍52
4、Sun网管系统的工作原理及特点54
4.1分布式管理54
4.2协同管理55
4.3SNMP的支持56
4.4安全性56
4.5用户工具57
4.6应用接口58
5、CiscoWorksforSUNNetManager介绍58
6、CiscoWorksforSUNNetManager功能描述59
6.1查错管理59
6.2运行管理60
6.3帐户管理61
6.4配置管理61
6.5安全管理62
(十)IP地址分配和域名管理62
1、IP地址管理概述62
2、内部网络IP地址分配63
2、外部网络IP地址分配64
3、ISP网络IP地址分配65
4、域名管理65
(十一)网络安全66
1、安全技术介绍66
1.1系统安全66
1.2信息安全66
1.3应用安全67
1.4网络安全——防火墙67
2、软件防火墙介绍68
3、CISCOPIX防火墙介绍69
4、本方案网络安全配置概述69
5、内部的合法用户在外地从不同路径入网的安全性70
5、CISCOSECUREPIX525配置和实施71
一、XXX公司网络信息系统一期规划实施方案——主干网络系统建设
(一)概述
根据我们的组网经验,结合XXX公司企业网的建设必须要统筹规划,全面安排,确保网络的合理性、先进性、经济性和安全性,并且要为网络未来的发展留有足够的扩充余地。
//文章出处:
网络技术论坛()作者:
xj_rick
1、网络设计原则
l坚持实用性并充分保护用户的投资
l坚持开放性、兼容性和可互连性,向事实上的工业标准TCP/IP协议靠拢,同时考虑支持IPX/SPX
l坚持技术的先进性
l坚持高可管理性
l坚持高可靠性
l提供冗余备份功能
l能有效进行网络管理
l利于网络扩展和技术升级
l充分利用现有的网络设备
l提供严格受控的拨号访问系统
l提供完全的网络安全控制
2、网络建设目标和总体规划
XXX公司信息系统网络建设的目标,就是在总部和各分支机构局域网建设、及其广域网联接的基础上,将互联网技术引入企业内部网,从而建立起统一、快捷、高效的Intranet系统。
整个系统在安全、可靠、稳定的前提下,符合经济的原则,即实现合理的投入,最大的产出。
具体规划如下:
l以电讯公司为中心,与公司机关大楼、厂区内生产处、各二级厂等单位通过光纤相连,构成一大型分级局域网。
l以千兆以太作为主干网,利用第三层交换技术实现大型局域网的VLAN划分。
一期规划中十个二级节点采用千兆,与中心主交换机(主节点)构成千兆网络主干,各二级单位(三级节点)采用100M光纤收发器通过二级节点接入主干网。
l考虑到网络环路连接可达到冗余效果,增加系统的可靠性,因此,二级节点之间尽可能互联,形成环路。
l网络中心建设拨号访问服务中心,接受远程拨号访问,并由认证和计费系统进行权限认证和计费。
l网络通过申请专线或虚拟光纤接入Internet/ChinaNET,在公网上建立虚拟专用网(VPN);通过采用Web技术和Internet-VPN技术以及信息加密技术实现电子商务。
这样,可以提供远程拨号访问和通过Internet访问两种方式,来实现全国各分支机构、相关部门以及公众对XXX信息的限制性访问。
l网络的安全机制:
(1)通过对网络设备的配置,控制访问列表等方式来加强网络的安全性措施;
(2)更重要的是,在内部网与公众网的结合处,采用先进的防火墙技术、代理服务器技术、以及Web服务器的口令验证、数据加密等技术实现网络的安全性。
网络中心设立WEB应用服务器、代理服务器、E-MAIL服务器、DNS服务器、计费认证服务器和数据库服务器,实现WEB访问、Internet接入、E-MAIL系统、域名解析、计费认证和应用系统等各种功能。
下图是主干网络总体逻辑示意图:
(二)主干网络建设
1、主干交换机
中心交换机选用CISCOCatalyst6000系列中的6509交换机,提供最高的性能价格比。
6509拥用9个插槽,支持最多384个用户连接。
6509与两个二级企业千兆交换机CISCOCatalyst3548之间构成环形冗余线路,并构成主干网络核心。
1.1CISCOCatalyst6000系列基本特性
和服务供应商网络提供高性能多层交换解决方案。
Catalyst6000家族旨在满足主干网/分布式和服务器集合环境中对千兆位可伸缩性、高可用性及多层交换的增加需求,提供卓越的可伸缩性和性价比,支持广泛的接口密度、性能和高可用性选项。
通过结合卓越的控制平面和数据包转发可伸缩性以及一系列丰富的智能服务,Catalyst6000系列为新纪元企业和服务供应商解决方案(例如集成化语音/视频/数据和电子商务服务)提供了基础。
Catalyst6000系列目前能使服务供应商和企业环境在可伸缩的网络体系结构方面迈出下一步。
通过集合可伸缩的性能、可伸缩的控制平面及广泛的智能网络服务的优点,Catalyst6000系列将为下一代网络外附提供框架。
Catalyst6500系列交换机的交换光纤模块为当今最先进的网络提供最佳的带宽性能,将交换容量扩展到256Gb/s。
SupervisorEngine2与MSFC2一起能够启动一个基于CEF的体系结构,并将总体系统性能提高到100+Mpps。
ISupervisor2和GigabitEthernet模块上业界领先的CiscoExpressForwarding(CEF):
扩展控制平面数据包转发性能以及安全、高可用性和QoS方面的智能服务,为动态的服务供应商和企业网络提供下一代解决方案。
带有本地或分布式转发的Catalyst6500系列高性能GigabitEthernet交换模块非常适合千兆位主干网和服务器间配置中的部署或高密度10/100-Mbps配线间的集合。
Catalyst6000系列入侵检测系统模块在同一机箱中集成了交换和安全功能性,提供针对XX和恶意活动的全面攻击保护。
QoS、高可用性和安全领域业界领先的新智能服务能够跨服务供应商和企业网络启动多个部署选项。
//文章出处:
网络技术论坛()作者:
xj_rick
。
。
由于1000BASE-T模块的推出,CiscoSystem能够通过Category5电缆在长达100米的距离启动千兆位速度传输。
16端口GigabitEthernet模块为高速服务器连接提供一个高度可靠和经济有效的解决方案。
FlexWAN模块
。
。
Catalyst6000系列提供一个智能交换体系结构,在整个企业和服务供应商网络扩展了带宽和智能服务,提供智能配线间、主干、服务器间及集成化语音/视频/数据解决方案。
6509交换机具备强大的划分VLAN能力和高速第三层交换能力。
利用多端口千兆模块实现与其他分支机构主交换机(选用Catalyst3548交换机)的主干连接。
主干交换机均支持FEC技术(快速以太网的多链路捆绑)、ISL技术(支持跨设备的VLAN划分)。
部门交换机和工作组交换机选用Catalyst2950交换机实现快速以太网分支,全面支持SNMP协议。
1.2CISCOCatalyst6000系列扩展特性
Catalyst6000家族由Catalyst6000系列、Catalyst6500系列组成。
这两个系列均支持6和9个插槽的版本,提供广泛的配置和价格/性能比选择。
Catalyst6000和Catalyst6500系列交换机还支持广泛的接口类型和密度,包括支持高达384个10/100以太网、192个100FX快速以太网端口和130个千兆比特以太网端口--业界最高的端口数量。
客户还可使用FastEtherChannel或GigabitEtherChannel,集合八个物理快速以太网或千兆以太网链路,实现高达16Gbps的逻辑连接。
Catalyst6000系列提供业界领先的千兆以太网骨干网解决方案,以满足当今要求最高的、快速增长的企业Intranet的需求。
表1Catalyst6000家族的密度和容量
Catalyst6500系列结构支持可扩展到256Gbps的交换带宽和可扩展到150Mpps的多层交换能力,可以支持最苛刻的网络流量需求。
Catalyst6000家族支持与Catalyst5000家族相同的软件结构,提供业界领先的基于CiscoIOSÔ的服务。
CiscoIOS提供整套软件业务,负责管理网络安全性,分配并实施QoS,提供增值的、实现高网络弹性的业务。
CiscoIOS还为CiscoWorks2000与Cisco资源管理器两者的集成、整个Catalyst产品系列均支持的基于Web的管理工具提供管理架构。
PIM、Internet组管理协议(IGMP)、Cisco组管理协议(CGMP)、GARP多点发送注册协议实现的高效的Intranet多媒体和多点广播支持为多媒体和多点广播应用提供端到端的可扩展带宽。
这些服务将数据只传送给加入多点广播组的用户,而不会影响其他用户。
QoS策略利用2、3、4层信息(如IP、CiscoISL、802.1p帧的优先比特位或4层端口号)来执行。
在Catalyst6000系列交换机内,可配置门限的多种队列采用WRED、WRR、业务类型/业务级别(ToS/CoS)映射机制,以确保数据包在第2层和3层边界传输时,QoS得到维护。
资源预留协议(RSVP)优先映射亦可使用,以确保及时提供时间敏感的Intranet应用。
Intranet的安全性通过安全端口过滤功能受到支持,使个别的端口仅允许某些指定工作站的接入。
TACACS+和IP允许清单防止对安全管理环境中的交换机进行非法访问。
访问控制表(ACL)防止非法用户闯入网络。
MD5路由鉴别还用于防止欺诈路由选择更新。
移动性--转移、增加、更换--使用动态主机配置协议(DHCP)和域名系统(DNS)受到支持,并与动态VLAN功能一起实现最佳的、可扩展性能,而无需考虑地点。
话音还可在传统数据端口,即以太网上受到支持。
如同“双-网络”的设计原理--一个用于数据,另一个用于话音--如今开辟了一种将话音和数据合并到一个网络中的方法。
Catalyst6000系列可采用相同的策略机制来保证话音-数据业务穿过网络。
它还有另一个优势--网络管理者可更高效的利用现有资源,同时通过简化网络结构,降低了运营费用。
Catalyst6000家族支持多级别网络弹性和可服务性,旨在处理关键任务应用。
为确保系统高可靠性,Catalyst6000家族支持设备级容错,包括以下选项:
:
网络技术论坛()作者:
xj_rick
l冗余Supervisor
l冗余、负载分担电源(AC和DC)
l冗余共享风扇
l冗余系统时钟
l冗余上行链路
l冗余交换光纤(仅用于Catalyst6500系列)
包括电源、风扇、Superviros、线路板模块在内的所有系统单元都可热插拔,如元件可增加、转移或替换,而不会导致无关数据流的业务中断。
在双重Supervisor配置中,CiscoFastSwitchover为了保护关键应用,可在几秒钟内将交换机控制转换到冗余Supervisor上。
所有系统单元都可现场替换,从而实现了最大服务性和最少的网络停机时间。
6509交换机具备强大的划分VLAN能力和高速第三层交换能力。
利用多端口千兆模块实现与其他分支机构主交换机(选用Catalyst3548交换机)的主干连接。
主干交换机均支持FEC技术(快速以太网的多链路捆绑)、ISL技术(支持跨设备的VLAN划分)。
部门交换机和工作组交换机选用Catalyst2950交换机实现快速以太网分支,全面支持SNMP协议。
1.3第三层交换
借助Catalyst6000的第三层交换的功能,给局域网划分了若干个虚网(VLAN),保证局域网内的各业务主机群、工作站机群、路由器机群等各种设备进行有序的连接,只有本VLAN内部的站点能够接收到此VLAN中其它站点所发送的点到点消息、广播消息或组播消息。
通过对交换机中的数据流进行这样的限制,提高了VLAN内部用户通信的效率,同时在不同VLAN的用户之间提供了安全保护。
既提高了局域网访问速度,又增加了业务系统的安全性。
对企业来说,网络安全总是越高越好,简单地在网络上放几个防火墙,肯定解决不了问题。
因此,将网络接入路由控制、服务器接入路由控制和关键应用的加密等措施结合起来,才能大大提高网络的安全性能。
在防火墙系统的DMZ区单独使用一台交换机,供所有Web主机独立构成一个子网,通过防火墙与内部网络实现隔离。
1.4本方案选型和主要配置
本方案选择CISCO6500系列中的6509作为网络主交换机。
主要配置如下:
lCatalyst65099插槽交换机机箱
lCatalyst60001300W交流电源及冗余电源
l带2个1000MGBIC上联接口,增强QoS及PFC卡和MSFC卡
l1块WS-X6408-GBIC8口千兆以太网卡+10个WS-G5486千兆模块
lCatalyst600048口10/100模块(RJ-45)
//文章出处:
网络技术论坛()作者:
xj_rick
以上配置提供了电源的冗余,充分保证中心交换机的高可用性。
由前述特性可以看出,Catalyst6000系列是业内优秀的千兆级的局域网交换机可提供很强的交换功能,保证了XXX交换式局域网主干的高速、稳定。
本方案配置的CISCOCatalyst6509交换机完全可以满足XXX公司现在和未来(包括视频)应用的需要。
1.5子网划分
利用Catalyst6509强大的VLAN划分功能,建议采用如下方式划分子网:
n子网一:
网络中心,包括数据库服务器,E-MAIL服务器,WWW服务器和DNS服务器,网管工作站,代理服务器,计费服务器和访问服务器等。
n子网二:
机关大楼,包括公司领导和机关各处室
n子网三:
电讯公司
n其它每个联网二级单位均分配一个子网,每一个二级单位属于一个VLAN,以此提高整个网络的可靠性和可用性。
由于Catalyst6509最高可以提供150M的第三层转发,因此这种子网划分方式不但可以提供高可用性,同时还降低网络风暴的可能性,更好地满足了业务的需要。
2、二级节点主交换机
2.1CISCO3548XL交换机介绍
二级节点主交换机选用CISCO3548XL交换机,与中心交换机采用单模千兆连接。
CiscoSystemsCatalyst3500XL系列是一系列可伸缩的堆叠10/100和GigabitEthernet交换机,提供优异的性能、可管理性和灵活性以及无与伦比的投资保护。
Cisco的突破性交换机集群技术将堆叠域扩展到单个配线间之外,能使用户最多互连16个Catalyst3500XL、2900XL和Catalyst1900交换机,组建一个灵活的单一IP地址管理网络,而不受它们的地理位置限制。
该系列低成本高性能交换解决方案非常适合作为大型企业内部网络的分支机构主交换机。
CATALYST3548XL的背板交换能力为10G,最高转发速率每秒钟740万个数据包,最大转发带宽5Gbps,提供了2端口的千兆以太网以及48端口快速以太网,保证了强大的端口数量、以及向千兆网络的延伸能力。
CATALYST3548XL支持FEC(FASTETHERNETCHANNEL)技术、ISL(INTERSWITCHLINK)技术。
通过ISL可支持跨设备的VLAN划分;FEC技术可支持在交换机、路由器和服务器之间捆绑4条链路共高达800MBPS的带宽。
2.2本方案二级节点主交换机选型和配置
//文章出处:
网络技术论坛()作者:
xj_rick
本方案选择CISCOCATALYST3548XL作为主要二级节点的主交换机。
主要配置如下:
lCISCO3548交换机,2口千兆、48口10/100M自适应,企业版
l1000Base-LX/LHGBICWS-5486(长波/长途,单模)(SC接口)
CATALYST3548XL作为主要二级机构的主交换机完全可以满足高速连接公司内部网络和通过公司内部网络访问INTERNET的需要。
3、部门交换机
部门交换机选用CATALYST2950交换机(WS-C2950-24)实现快速以太网分支。
WS-C2950-24具有24个10/100MBPS自适应交换式端口。
由于CATALYST2950具备8.8GBPS的交换背板和最大4.4GBPS的数据吞吐率,所以在它把终端工作站和用户连接到公司的LAN上时可以在各个端口提供线速连接性能。
CATALYST2950交换机支持性能增强特性,如FASTETHERCHANNEL(快速以太通道)和GIGABITETHERCHANNEL(千兆位以太通道)技术,可在CATALYST2950交换机、路由器和服务器之间提供最大4GBPS的高性能带宽。
在一期规划中,CATALYST2950交换机完全可以承担作为普通三级机构主交换机的责任。
4、网络连接冗余
考虑到主干网络的冗余,避免由于光纤中断而引起的单点失败,在二级节点3548交换机之间冗余连接。
当网络中心和一个3548交换机连接中断时,该交换机所在的二级单位可以通过冗余链路连接到网络中心。
采用这种方式只需要增加一条光纤就可以低成本的实现网络连接冗余。
机关大楼到计控处实现采用千兆模块冗余连接,机关大楼到股份公司采用百兆光纤收发器进行冗余连接。
具体图示如下:
(三)访问服务中心
本系统通过AS5300来实现拨号服务。
AS5300通过提供在同一接口上终接ISDN、56K模拟调制解调器的能力,提供了电信运营级的性能。
单台AS5300可以实现多达240路的接入服务。
1、ISP访问服务器配置和选型
本系统采用一台AS5300作为访问服务器,主要配置如下:
lAS5300机箱
lAS5300IOS软件
l两个120端口MODEM卡
//文章出处:
网络技术论坛()作者:
xj_rick
l冗余电源
在上述配置下可以提供240个用户同时拨入,支持4800(240*20,按较高ISP接入质量计算)个用户的拨号访问,完全能够支持XXX目前的应用需要,而且AS5300可以方便地进行堆叠,从而进行系统扩容。
拨号访问连接示意图如下:
2、ISP计费系统软件
计费系统硬件平台和代理服务器共用SUNE250服务器,具体配置见“服务器选型”。
本方案建议采用3ABM远程访问管理和计费软件系统。
3ABM是Authentication,Authorization,AccountingandBillingManager的缩写,即集用户身份验证、授权、计费和财务管理为一体的网络计费和管理软件,是中网公司研制的网络管理和计费系统客户端软件。
它采用开放式结构设计和基于WEB的信息管理技术,支持TACACS+和RADIUS协议的认证机制。
经过实际应用,该软件系统运行稳定、计费准确、功能齐全、安全性能强、操作简便,运行速度快。
主要特点:
易于管理
3ABM采用基于WEB的信息管理方式,客户端只需在浏览器里点击鼠标或填表式操作即可对拨号帐号进行管理。
功能齐全
新增了管理操作员和操作审核的功能,支持用户自定义计费服务类型,支持多段费率计费和优惠时间段费率自定义,可以满足各种复杂的计费类型定义需求。
运行速度快
采用了高性能的内置数据库,支持多种架构服务器。
支持多人、多地点同时使用
支持操作员通过浏览器界面进行远程管理,并支持多级别的操作员同时在多个客户机上进行安全的并发操作。
可支持几万人以上的拨号帐号,支持TACACS和RADIUS协议,使产品能覆盖90%以上的接入服务器。
//文章出处:
网络技术论坛()作者:
xj_rick
实时性强
3ABM实现了实时的网管功能,开户系统属于即开即用式,
升级会员 