网络建设建议方案.docx

网络建设建议方案.docx

《网络建设建议方案.docx》由会员分享，可在线阅读，更多相关《网络建设建议方案.docx（18页珍藏版）》请在冰豆网上搜索。

网络建设建议方案

网络建设建议方案

1.需求分析

晨光技术开发有限公司是一家专业从事汽车整车和零部件设计的高新技术企业。

具有从产品定位、概念策划、到内外造型、结构设计、工程设计、模拟分析、样车制造、逆向工程等方面的汽车产品开发实力。

当今社会，信息已成为一种非常关键性的资源，它必须精确、迅速地传输于各种通讯设备、数据处理设备和显示设备之间。

晨光设计研发中心作为现代化的综合办公机构，必须要求以最快速度对通讯及信息系统进行调整和改进，并根据需要配置成各种不同的结构，以提高整体的工作效率，而且还应在满足现在应用的基础上适应将来网络进一步发展的要求。

随着公司规模不断扩大和业务需求的不断提升，迫切需要建立统一的局域网络和与之相配套的资源服务器，为公司业务的快速展开提供高效的信息平台和交流平台。

2.网络拓扑图如下：

3．网络设计原则：

稳定可靠

只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。

要求有物理层、数据链路层和网络层的备份技术。

易扩展

系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。

易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：

即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络。

容易控制管理

因为网中用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。

4.应用的需求

1.做到能够晨光技术研发中心的业务系统的信息交换，同时能支持未来的语音和多媒体信息的传输。

支持100M到桌面的工作需求。

2.做到网络的结构化，层次清淅。

同时必须保证系统能长期稳定的运行，使故障的影响局部化，利于故障的分析与排除。

3.做到标准化和结构化，提供统一、相同的高性能线缆，配线端子板、相同的插头及摸块插孔，解决传统布线存在的所谓兼容性问题。

使数据、语音、图像等信息可以顺利的高速传输，加强系统的灵活性。

4.做到安全、可靠的使用。

对结构化布线中的各类电气线路采取安全可靠的防雷保护接地，安全可靠的屏蔽密封、防火、防潮措施。

保证线路使用的正常寿命。

同时采用开放式的设计，模块化的结构和广泛的兼容性来适应未来发展的需要，以减少系统维护、调整、升级、改造的费用。

5.做到系统具有足够的强壮度，骨干网络能做到365*24不间断运行，具有足够的可靠性冗余、后援存储能力和容错能力。

第二部分：

设备选型建议

2.1路由器介绍

根据项目现有网络规模情况和可能选用的ADSL或专线接入方式，中心节点我们建议采用QuidwayAR28-09 模块化业务分支路由器外接Internet网，它具有以下特性：

丰富的NAT转换功能

除提供了基本的静态/动态地址转换及端口地址转换功能外，又增加了更为丰富的NAT功能。

oNAT网段转换

实现内部主机地址和公网地址的直接映射关系，允许外部主机对内部主机的访问。

转换过程中只对网段地址进行转换，保持主机地址不变。

NAT网段转换功能可以实现对原有的私有网络进行改造、实现两个地址重叠的私有网络的融合互通。

oNAT私网服o务器

可以使私网用户能像公网用户一样，可以通过域名方式来访问私网服务器，而数据流只在内网中传递，减少不必要的通过公网的流量。

oNAT连接数控制

用于限制每个用户能够建立的最大NAT连接数。

例如计算机病毒同一源地址会扫描发起大量的TCP连接，迅速消耗路由器资源，导致路由器整机效率下降，影响其他用户应用。

通过此特性可以控制用户对资源的占用。

灵活的备份手段

在传统拨号备份中心（DCC）功能的基础上，VRP又增加了动态路由备份（又称为DialerWatch）功能。

它是基于对路由表中的不同的路由信息进行监控，动态激活拨号链路来实现拨号备份，是一种集成路由特性的链路备份。

动态路由备份是传统DCC备份功能的增强，不再是局限于监控本地端口状态，还可以检查到其他可能导致路由丢失的网络故障，从而实现备份链路的切换，主备切换的控制更加灵活。

安全的终端接入

在典型的金融行业应用中，使用路由器作为终端接入服务器，再通过广域网连接到远程的UNIX前置机，此时可以通过专门的软件加密工具，在路由器和远端的UNIX前置机之间进行数据的加密传输，从而保证终端传至路由器的数据可以安全地被传递至UNIX前置机，减少数据传输过程中的“安全死角”，以有效保证银行业务数据的安全。

简单便捷的网络检测工具

HWPing是测量网络上运行的各种协议性能的一种工具，它是对ping功能的增强。

它可以实现端到端的网络状况监测，包括时延、抖动、丢包率等。

不仅能使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间，从而判断目的主机是否可达，还可以探测DLSw、DHCP、FTP、HTTP、SNMP服务器是否打开，以及测试各种服务的响应时间等，提供对网络应用的质量检测。

·VPN解决方案

       支持L2TPVPN、GREVPN、IPSecVPN、SSLVPN、MPLSL3VPN，MPLSL2VPN、DVPN等多种VPN业务。

AR28系列路由器支持华为公司的动态VPN（DVPN）技术，相比传统IPVPN组网，不仅维护成本低，同时网络应用更加灵活，动态VPN提供完善的认证和加密特性，完全保证用户的网络安全。

∙网络安全

登录用户认证、RADIUS/HWTACACS认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持（对接口/时间段/MAC地址的过滤）、CA认证（数字证书）、高性能NAT。

∙互连协议

以太网、桥、帧中继、X.25、HDLC、SDLC、LAPB、SLIP、PPP、PPP头压缩、MP、ISDN、PPPoEClient、按需拨号、拨号串循环备份、PPP/ISDN回呼、L2TP建立二层隧道、GRE建立三层隧道、IPSEC建立三层隧道、xDSL宽带接入。

∙网络协议

DHCP、VLAN、IPX、DLSw、RIP-1/RIP-2、OSPF、BGP、策略路由、组播、路由负载分担、地址借用、TCP报文头压缩、路由策略。

∙应用层协议及业务特性

Telnet、SSH、Rlogin、dumbterminal、增强安全特性的终端接入服务器、金融POS接入服务，RTC、LPD、FTP、Ping及NTP应用层协议或业务特性。

∙QOS

流量分类和流量监管CAR/LR、流量整形GTS、拥塞管理PQ/CQ/WFQ/CBQ、拥塞避免WRED。

∙网络可靠性

接口/子接口间的物理层备份，虚链路/虚模板/拨号接口/逻辑接口间的链路层备份，动态路由实现网络层备份、VRRP实现设备层备份。

∙系统可靠性

       支持dualimage，能对image文件进行合法性判别，支持启动成功性自探测，支持装载image文件引导系统，支持从主image文件启动，支持从备份image文件启动。

∙语音特性

静音压缩、舒适噪音、语音防抖动、音量调节、PBX交换机功能模拟、主叫号码识别、自动忙音检测、灵活VOIP选路与备份策略、IP传真、语音RADIUS、GKClient、IPHC、语音QoS。

∙IPV6

从目前的硬件体系结构和软件平台的基础上能够平滑升级到IPV6的软件版本,全面支持IPv4和IPv6双协议栈，提供丰富的IPV6协议，支持多种IPv4向IPv6的过渡技术：

手工配置隧道、自动配置隧道、6to4隧道、GRE隧道、实现NAT-PT等；支持IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPF3、ISISv6等动态路由协议；支持ICMPv6MIB、UDP6MIB、TCP6MIB、IPv6MIB等。

∙配置管理

中英文双语、命令分级保护、tracert/ping/debugging故障诊断功能、RMON、SNMPv1/v2c/v3、系统日志、可通过FTP或TFTP进行系统升级、可通过Console/AUX/X.25PAD/Telnet/反向Telnet等方式进行配置。

通过iManagerN2000DMS网管软件，能够对路由器进行远程配置，并且能够对主机程序通过iManagerN2000DMS进行在线升级。

2.2核心交换机介绍

核心交换机建议采用QuidwayS3928TP-SI-AC千兆智能弹性三层交换机，作为QuidwayS3900系列产品有如下特点：

∙IRF智能弹性架构技术

       S3900系列交换机支持华为创新的IRF（IntelligentResilientFramework）技术，能够实现用户网络的高度弹性智能扩展。

利用IRF技术，用户可以将多台设备连接起来组成一个联合设备（Fabric），并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。

       IRF（IntelligentResilientFramework）技术包括三个方面：

DDM、DRR和DLA。

       1）DDM（分布设备管理）：

在外界看来，整个Fabric是一台整体设备。

用户可以通过Console、SNMP、Telnet、WEB等多种方式来管理整个Fabric。

       2）DRR（分布冗余路由）：

Fabric的多个设备在外界看来是一台单独的三层交换机。

整个Fabric将作为一台设备进行路由功能和二三层转发功能。

单播路由协议和组播路由协议分布式运行并完全支持热备份，在某一个设备发生故障时，路由协议和数据转发都不会中断。

       3）DLA（分布链路聚合）：

支持跨设备的链路聚合，可以在设备之间进行链路的负载分担和互为备份。

∙POE（PoweroverEthernet）远程供电特性

       S3900系列交换机（PWR型号）支持PoE（PowerOverEthernet），即可通过双绞线向远端下挂PD设备（如IPPhone、WLANAP、Security、BluetoothAP等）提供-48V直流电源，实现对下挂PD设备远端供电。

作为供电方PSE（PowerSourcingEquipment）设备，支持IEEE802.3af线路供电标准，同时也可以兼容不符合802.3af标准的PD（PoweredDevice）设备。

交换机远端供电时每个以太网口向下挂设备提供的最大功率分别为12.5W（使用交流电源）和15.4W（使用直流电源）。

       通过支持POE和VoiceVLAN技术，S3900系列交换机能够提供完美的数据和语音融合解决方案。

∙大容量全线速的多层交换

       S3900系列交换机具有19.2G的交换容量，支持所有端口线速转发。

系统能够提供4个GE，有效解决了在单台设备上多条千兆链路上行，同时接入千兆服务器的需求，极大的节省了用户对设备的投资。

硬件支持二/三层线速交换，能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。

       支持丰富的接入形式，百兆可以提供24电口/24光口/48电口三种方式。

满足各种形式接入组网的需求。

∙完备∙的安全控制策略

       S3900系列交换机基于最长匹配的路由策略。

系统采用逐包转发方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力，有效保证了设备安全。

       支持集中式MAC地址认证和802.1x认证。

在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。

       支持DUD（DisconnectUnauthorisedDevice）认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。

支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。

       支持QoSProfile功能。

和802.1x认证功能相结合，可以动态的为通过认证的用户提供预先配置的一套QoS功能。

用户在经过802.1x认证后，交换机根据AAA服务器上配置的用户名和Profile的对应关系，将相应的Profile动态的下发到用户登录的端口上，为该用户提供量身定做的一系列服务质量保证。

       支持SSH特性。

用户通过一个不能保证安全的网络环境远程登录到以太网交换机时，可以提供安全的信息保障和强大的认证功能，以保护交换机不受诸如IP地址欺诈、明文密码截取等等攻击。

∙高可靠性

       S3900系列交换机采用IRF技术组网后，能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大的增强了设备和网络的可靠性，消除了单点故障，避免了业务中断。

       同时S3900系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。

       支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。

构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。

       支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一条备份路由，实现上行路由的多级备份。

       首次实现交流/直流双输入，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份。

∙丰富的QOS策略

       S3900系列交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类；支持1K个流规则。

       提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、WFQ（WeightedFairQueue）、SP+WRR、SP+WFQ五种模式；支持8个优先级队列，2个丢弃优先级；支持WRED拥塞避免算法。

       支持CAR（CommittedAccessRate）功能，可以实现基于端口和基于流的速率限制，限制的粒度可以精确至64Kbps，为网络带宽的精细化管理提供了手段。

∙多样的管理方式

       S3900系列交换机支持SNMPV1/V2/V3，可支持OpenView等通用网管平台，以及iManager网管系统。

支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。

通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。

2.3接入层交换机介绍

接入层交换机建议选用QuidwayS2403H-EI系列智能接入交换机，作为QuidwayS2000-EI系列智能接入交换机有如下特点：

◆       全线速的二层交换：

6.4G/6.4G/9.6Gbps的总线带宽为交换机所有的端口提供二层线速交换能力，保证所有端口无阻塞的进行报文转发。

◆       完备的安全智能控制策略：

S2000-EI系列交换机支持802.1x认证，还可以做认证Server，在用户接入网络时完成必要的身份认证，同时动态的配置VLAN，有效的控制用户访问网络资源。

该系列具备端口限速功能，可以64Kbps的精细粒度进行端口带宽分配，控制用户的接入速率，防止恶意侵占网络带宽。

交换机提供512个802.1QVLAN，支持MAC地址和端口绑定、广播风暴抑制和端口锁定功能，还可以对属于同一个802.1QVLAN的端口之间设置隔离或互通。

◆       高可靠性：

S2000-EI交换机支持STP/RSTP生成树协议，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。

◆       低功耗静音设计：

S2000-EI交换机具备低功耗和工作环境温度适应强的特点，采用无风扇设计，彻底免除噪音，还具有免机械风扇维护和更好的防尘效果。

◆       灵活的扩展能力和远程维护：

S2016-EI/S2403H-EI提供百兆光/电扩展能力，允许交换机通过光纤或铜缆上联网络。

通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统和故障诊断，实现了设备的集中管理和维护。

◆       丰富的管理方式：

S2000-EI交换机支持SNMPV1/V2/V3，可以接受OpenView等通用网管平台以及Quidview®、iManager®网管系统配置和管理。

支持CLI命令行，Web网管，TELNET，HGMP集群管理等多种方式，便于设备维护。

2.3网络安全

网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。

也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。

利用防火墙，可以实现内部网（信任网络）与外部不可信任网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。

防火墙系统：

网络防火墙的主要作用是堵塞已经知道的网络安全漏洞，根据安全策略限制对内部网络和数据交换区网络的访问，以及与入侵检测设备联动，当内部网检测到新的攻击类型时防火墙自动采取响应措施关闭响应端口。

网络防火墙一般部署在网络出口部位，作为网络安全的第一道闸门，可以实现内部网（信任网络）与外部不可信任网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。

。

应指出的是，在网络安全问题日益突出的今天，防火墙技术发展迅速，目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有：

VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。

设备建议选用天融信网络卫士防火墙NGFW4000-V&G，产品特性：

产品功能

功能类别

功能项

功能细项

网络安全性

工作模式

路由、透明、混合

内容过滤

支持基于流、数据包、透明代理的过滤方式。

支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。

支持URL过滤

支持对移动代码如Javaapplet、Active-X、VBScript、Jscript、Javascript的过滤

支持对邮件的收发邮件地址、文件名、文件类型过滤

支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤

动态端口支持协议：

FTP、RTSP、SQL*NET、MMS、RPC（msrpc,dcerpc）、H.323、TFTP。

包过滤

基于状态检测的动态包过滤

实现基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间等数据包快速过滤

支持报文合法性检查

可实现IP/MAC绑定

防御攻击

非法报文攻击：

land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof

统计型报文攻击：

Synflood、Icmpflood、Udpflood、Portscan、ipsweep

Topsec联动：

可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率。

端口阻断：

可以根据数据包的来源和数据包的特征进行阻断设置

SYN代理：

对来自定义区域的SynFlood攻击行为进行阻断过滤

AAA服务

支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方式

支持使用第三方认证如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式

支持Session认证、HTTP会话认证

支持认证保活功能

可将认证用户信息加密存放在本地数据库

支持动态地址转换和静态地址转换

支持多对一、一对多和一对一等多种方式的地址转换

支持虚拟服务器功能

网络适应性

路由

支持静态路由、动态路由

支持基于源/目的地址、接口、Metric的策略路由

支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。

支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。

支持RIP、OSPF等路由协议。

组播

支持IGMP组播协议

支持IGMPSNOOPING

可有效地实现视频会议等多媒体应用

VLAN

支持与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由

支持802.1Q，能进行802.1Q的封装和解封

支持ISL，能进行ISL的封装和解封

在同一个Vlan内能进行二层交换

生成树

支持802.1D生成树协议，包括PVST+及CST等协议。

ARP

支持ARP代理、ARP学习

可设置静态ARP

非IP协议

支持对非IP协议IPX/NetBEUI的传输与控制。

DHCP

支持DHCPClient、DHCPRelay、DHCPServer

接入

支持ADSL接入功能，可满足中小企业的多种接入需求。

支持PPPOE拨号接入

其它

支持网络时钟协议SNTP，可以自动根据NTP服务器的时钟调整本机时间

支持IPX、NetBEUI等非IP协议。

*VPN

IKE

支持基于标准IKE协商的VPN通信隧道

支持多种IKE认证方式，如预共享密钥，数字证书等

支持IKE扩展认证，如Radius认证等。

解决方案

支持网关到网关、远程移动用户到网关的VPN隧道

在具有SCM的解决方案中，支持灵活的移动用户到移动用户的隧道。

可以和密码机产品，远程客户端产品及VPN安全管理系统（SCM）共同组成完整的VPN解决方案。

算法

支持3DES、DES、国密办等加密算法

支持标准MD5、SHA-1认证算法

支持加密卡提供的MD5、SHA-1认证算法

工作模式

支持HUB-SPOKE方式

支持网状连接方式

支持分级的树状连接方式

其它功能

支持网络邻居（利用WINS）

支持隧道的NAT穿越

支持对隧道内明文的访问控制

可同时支持明密传输

安全管理

日志

支持Welf、Syslog等多种日志格式的输出

支持通过第三方软件来查看日志

支持日志分级

支持对接收到的日志进行缓冲存储

通过安全审计系统（TA-L），可获得更详尽的日志分析和审计功能,并能提供员工上网行为管理功能。

可选高级日志审计功能模块，除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。

监控

支持网络接口监测、CPU利用率监测、内存使用率监测、操作系统状况监测、网络状况监测、硬件系统监测、进程监测、进程内存监测、加密