集团整体网络设计方案.docx

资源描述

集团整体网络设计方案.docx

《集团整体网络设计方案.docx》由会员分享，可在线阅读，更多相关《集团整体网络设计方案.docx（86页珍藏版）》请在冰豆网上搜索。

集团整体网络设计方案.docx

集团整体网络设计方案

1.前言

现今的世界是知识爆炸的时代，传统的经验式经营方式已越来越难以满足现代企业的需要；尤其在今年十一月十五日，中美双方就中国加入世界贸易组织签署了双边协议，这标志着中国已扫除了加入世贸组织的最大障碍，中国加入WTO已指日可待，这将给中国市场和民族企业带来极大的希望和挑战。

顺德市XX企业集团公司作为我国著名的民族企业之一，在此充满机遇与挑战的形势下，公司领导已清楚地意识到，只有充分利用当代计算机信息领域的先进技术，重视信息系统的建设及完善，才能更快更好地追踪当今世界的最新先进技术和管理方法，并且借鉴到企业自身建设当中,为提高企业管理水平和工作效率，使XX集团在同业间日益显示其综合竞争优势。

公司决定建设企业内部网，建立厂部办公和企业销售网络是非常及时和必要的。

本建议书是商之杰工程师根据多年的网络工程系统安装、调试、开发经验，以及走访贵公司有关负责人的调研基础上，经过初步的论证编制，特此递交贵公司参考，敬请指正。

2.系统设计目标和原则

2.1XX公司网络系统需求

根据多次走访贵公司相关负责人及网络技术人员的调查情况，网络系统的需求大致可归纳为以下几个方面：

1.实现办公大楼、厂部各车间、老厂房仓库和销售部门内部各职能部门、各应用系统（ERP）的高可用互连。

2.网络安全性及层次性好，外地各省会大城市销售网络可以与集团网络资源良好通讯，而集团其它分公司网络之间能较好隔离，在对集团资源及本地资源的访问上，内部网络具有良好的优先层次关系，级别高的访问范围大，级别低的访问范围小。

3.网络可管理性强，针对不同应用可进行合理的网络及带宽划分，对整个网络的监控能力高，控制方法简单方便。

3.网络系统具有良好的带宽及设计前瞻性，以满足系统未来的扩展需求。

4.整合度高，销售公司在较好地满足本身需求的同时与集团现有网络系统具有良好的协调能力，以便集团网络中心更好地进行网络整体规划、管理。

2.2系统设计目标

顺德市XX企业集团公司整体网络设计目标，在确保稳定可靠条件下它具备以下几个方面特点：

提供完整的具有适合各种异构平台相互通信的互联网络。

以保证XX公司网络各种异构网络的良好互联。

实现XX企业集团公司网络的高速信息交换，可靠保障网络的高带宽以保证关键业务的正常运行并且为将来的网络拓展提供足够想象空间。

保证XX企业集团公司网络的办公系统、业务数据在网络上有足够的带宽传输、良好的响应时间。

通过结构化布线，确保通过方便的跳接管理，给XX企业集团公司网络管理提供非常容易的调整办法，如人员变动，办公环境、用途的改变伴随的网络改变。

采用网络的多级数据备份、网络整体防病毒，再考虑到主要网络设备、关键部门配置UPS及接地安全、防雷措施。

建设完整的XX企业集团公司网络。

2.3系统设计原则

标准化原则

遵守国际ISO及IEEE相应的系统工程规范及中国系统工程规范

实用性原则

XX企业集团公司网络是根据实际工作中最迫切需要解决的问题而建立，必须从实用的角度出发，在深入调研的基础上，真正提供办公、管理所需要的帮助，防止任何不切合实际的做法所带来的浪费。

先进性原则

系统整体上从资源配置（包括硬件设备，系统软件，网络选型）到功能用途等尽量争取在同业间具有先进水准。

技术成熟性原则

系统选型及总体集成应尽量采用先进、成熟的技术，选用已经被市场证明了的配置方式。

避免盲目相信产品参数所导致的失误，使之建成后就能很快地投入实际使用，提高工作效率。

可靠性原则

系统的各项资源包括硬件设备、应用软件等可靠性要高，工作稳定，易于维护。

在出现硬件故障和软件故障时，有可靠的恢复手段。

同时，系统应有足够的容错能力，同时能够自动进行故障检测与隔离，关键设备达到99%不间断工作。

成长性原则

随着系统、办公用途的变更，通过跳线灵活跳接，系统可平滑过渡到新系统，并且网络基础结构能够发挥10-15年效益，使原有的投资得到保护。

安全性原则

系统中涉及到贵司的有关机密，必须要有良好的安全保密措施，一是通过VLAN及第三层路由定义来分割网络，二是要对不同的人员设定不同的权限具有权限控制，口令保护，信息密级制度，通过管理跳线跳接，可使外部网络与集团网络彻底地物理隔离；三是要对关键数据进行及时备份，及时恢复；并对电脑病毒具有较好的防护能力；四是要通过网管中心对网络的使用情况进行监控；尽早发现问题，尽早解决。

3.网络整体设计方案

3.1网络平台设计选型

在种类繁多的网络平台选型中，往往并不是单纯的性能选择，网络的发展历史证明了这一点。

当有经验的IT主管在考虑使用那一种网络平台及网络产品时，除了性能往往会更多地考虑以下几个方面：

易移植性

网络的发展速度是非常惊人的，很难想象一个公司的网络会在几年内在构件及拓扑上与原来保持不变，易移植性是一个非常重要的性能。

一般从以下几个方面考量移植性的好坏：

一电缆布线系统是否良好过渡；二网络用户升级是否容易，是否可以最小的代价即可获得最高的性能；三如何将新增的服务器及网络连接到现有网络上；四如何将旧的网络系统与新系统良好互连；五对被更换设备是否可用到新网络的某一个地方。

新技术的系列性与成熟性

新的高速网络产品新问世，除了价格高昂外，总是伴随着一系列不确定因素，只有到该产品得到普遍应用，该技术的兼容性、互操作性及性能优化才会提到议事日程上来，这与从旧有技术升级是完全不同的。

多厂商支持

多厂商支持有以下几个明显的优点：

一价格充满竞争力，比单一厂商垄断肯定低得多；二技术革新快，更多的竞争意味着更快的技术革新，带来的是更好的价格及更多的改进技术以供选择。

从以上分析可以明显地看到快速以太网络及交换式快速以太网是远较其他竞争对手的极好选择。

3.2网络操作系统的选择

目前国际较为流行的有三大网络操作系统，Novell、UNIX及NT，Novell在80年代较为流行，其特点是作为文件及资源的共享，其速度及性能均十分优异，缺点是其SPX/IPX协议较适合局域网环境且不支持虚拟存储器，文件共享还可以，应用服务则较差，进入九十年代其市场份额基本被WindowsNT所取代。

Unix系统性能完善，造价昂贵，多为大型企业级应用。

且型号版本各异，维护、运行复杂，需经过专门培训。

目前正受到WindowsNT系统的强大挑战。

WindowsNT是著名软件公司Microsoft推出的具有抢占式高度的多线程多进程多任务，内嵌网络的先进操作系统，其特点是与Windows95有着相似的界面。

与各式网络操作系统有着良好的接口，支持任何一种网络协议，且目前大型应用系统均支持NT，从市场份额来看，Microsoft极有可能在该领域也获得较为垄断的地位，所以目前企业MIS平台最好选用WindowsNT。

其综合性能测试已不在UNIX系统之下，价格却低得多。

以下是著名的ZD试验室针对各厂商共同认同的配置说作的测试，环境为服务器配置四个PentiumIII500处理器和2G内存，存储系统是由8个运行RAID5的Seagate公司的10KCheetah硬盘驱动器组成，所有服务器都采用4片INTEL100B网络接口卡，通过ExtremeNetworks公司的Summit48交换机连接60台Pentium桌面PC。

网络操作系统测试报告：

Linux2.2

WindowsNT4.0

Netware5.0

Solaris7

文件服务器性能

Web服务器性能

性能优化的简易性

支持对称多处理

应用系统支持

磁盘阵列支持

文件服务器性能：

网络操作系统能够以多快的速度向服务器信息块（SMB）客户提供文件服务

WEB服务器性能：

在一定时间间隔内，网络操作系统能够提交的静态WEB页面的数目

性能优化的简易性：

网络操作系统有多大的潜力进行性能优化，以及执行这种性能优化时的难易程度

支持对称多处理：

在对称多处理的配置中，网络操作系统能够在多个处理器之间有效进行扩展的能力

应用系统支持：

为网络操作系统而编写的企业应用系统所涉及的范围，以及它们的质量

磁盘阵列支持：

网络操作系统能够支持硬件磁盘阵列控制器的能力

从以上测试报告可以看出，NT在应用系统支持能力及文件共享能力等几个关键的性能指标上几乎达到了最高的标准。

对于INTERNET的支持，NT极为理想，除了微软的BACKOFFICE套件外，NETSCAPE及LOTUS的NOTESDOMINO均有一流的应用系统支持。

结合XX网络基于ERP系统的应用实际，我们选用WINDOWSNT4.0，TERMINALSERVEREDITION作为服务器操作系统。

TERMINALSERVER版是WINDOWSNTSERVER4.0产品系列的一个扩展，它能够让MICROSOFTWINDOWSNTSERVER操作系统支持基于WINDOWS的终端，也能够把WINDOWS操作系统系列扩展到超级瘦客户端上，这一新技术带给了企业用户一个基于WINDOWS计算环境的全新扩展，其中包括更低的总拥有成本，熟悉的32位WINDOWS用户界面，强大而多样的WINDOWS操作系统系列产品。

该产品在国际市场上推出之后，获得了极大的成功，国内在四通利方等中文平台厂家支持下，越来越多的用户开始认识和部署WINDOWSNT4.0,TERMINALSERVEREDITION这个产品。

3.3网络服务器选型

因为贵公司的生产作业系统关系重大，对基于在WINDOWSNT4.0，TERMINALSERVEREDITION上部署ERP应用来说，适宜选用高性能、高可靠性的HPLH3专用服务器作为系统主服务器。

在工业标准的PC服务器系统中，HP公司的LH3系列以超强的速度、极高的性价比获得广泛的赞誉，配合微软公司的Cluster容错系统使得用户可以得到超强的企业级运算能力及完善的系统容错功能。

下图为HP、COMPAQ、IBM三家公司同类产品比较表

特性

COMPAQ

ProLiant3000

IBM

NetFinity5500

LH3

处理器

PII400/450或

PIII/500

PII400/450或

PIII/500

PII400/450或

PIII/500

双处理器

是

二级缓存

512KB

ECC内存

128

最大内存

1GB

SCSI控制器

双Wide-Ultra

网络接口控制器

10/100TX

10Base-T（标准）

10/100TX

最大内部硬盘存储容量

144GB

54GB

218.4GB

恢复服务器选件支持

标准

自动服务器恢复

标准

远程管理

集成的远程助理（标准）

IBMPC服务器高级系统管理适配卡（可选）

HP远程助理（可选）

服务器管理

康柏Insight

Manager4.21

TME10NetFinity

NetServerAssistant

智能集成

SmartStart4.21

ServerGuide

NetServerNovigstor

HPLH3服务器的主要特点是：

Ø支持二路100M总线的INTELPII、PIII处理器，可直接升级到四路处理器

Ø集成的双通道NETRAID控制器，支持智能IO技术

ØECCSDRAM内存容量高达1G，带内存清理

Ø选用业界领先的DAT或DLT技术。

选用HPSureStoreDat24X6I自动加载磁带机自动完成网络备份

Ø集成的HPREMOTEASSISTANT和可选的HPTOPTOOLS远程控制卡提供了方便的远程访问、先进的安全性和诊断能力

ØWEB界面的HPTOPTOOLSFORSERVERS用于设备管理；HPOPENVIEWMANAGEX/SE用于网络操作系统和应用程序管理。

Ø热插拔硬盘和热插拔冗余电源、冗余系统风扇、冗余NIC，消除因元件故障而导致的停机风险

根据美国微软公司提供的TerminalService技术白皮书，并结合贵公司的业务处理量及所配工作站数量、网络速度等实际情况，我们应考虑到应用程序的兼容性和性能表现问题。

TerminalServer的每一个客户端会话需占用4—8M的服务器内存，一台双PII350CPU、512M内存的服务器就能支持50人的日常办公。

因此，我们采用两台HPLH3服务器，分别用于DatabaseServer和TerminalServer，同时兼为FileServer。

这两台服务器都扩充为双PIII500CPU，内存至少为512M，其中TerminalServer的内存扩充为1G，以保证应用程序的高性能。

这样的服务器配置，至少可以支持到至少50个并发用户的使用。

另外选择HP服务器的最重要原因是HP公司无可比拟的售后服务体系，可以保障用户在使用HP服务器时享受到最低的总拥有成本。

3.4网络具体的实施设计

带宽

带宽是网络设计的基础，因以太网络本身的设计缺陷，我们实际使用的网络带宽与线路带宽是有很大差别的，以太网络的效率与许多因素有关，其中主要的因素有包的大小、节点数、线路利用率等等，以下表为以太网络的效率随包的大小而产生的改变。

数据长度

包长度

开销

最大效率

1492字节

1518字节（最大）

2.5%

97.5%

974字节

1000字节

3.8%

96.2%

474字节

500字节

7.4%

92.6%

38字节

64字节（最小）

50.0%

1字节

64字节（最小）

98.7%

1.3%

表1：

以太网络效率与数据包长度对应表

共享型以太/快速以太网络的更致命问题是网络饱和，在200节点的共享型网络中，在线路利用率超过50%时效率只有30%多一点，在利用率达到70%时效率已经低于8%。

交换式与共享式

交换机与共享式HUB的网络传输方式是完全不同的，它不再是使用我们所熟知的CDMD/CD介质存取模式，它的每个端口都有专用连接，不用载波，消除了冲突的根源，对于以太网络数据包，交换机与HUB的处理方式是完全不同的，共享式HUB是将数据包传送到所有端口，而交换机可以解析数据包的终点地址，并在两者之间直接建立连接，一般的以太网交换机通过以下三种方式转发以太网络数据包：

A存储转发型：

前文

TP/LN

协议标题

数据

CRC

将发来的帧在发送到另外一个端口之前全部存储在内部缓冲区内，在此期间网络交换的延时时间是整个包的时间，存储转发型交换机以CRC方式提供优异的包错误校验，可滤除不健全的帧和有冲突的帧，多采用在骨干交换机上，如：

3COM公司的3300及3800交换机即是该种交换机。

B切入型：

前文

TP/LN

协议标题

数据

CRC

在读取DA（源地址）后立即转发，不进行如何错误检查

C改进切入型：

前文

TP/LN

协议标题

数据

CRC

在受到64个字节后进行转发，可滤除不健全的包

XX公司网络具有点数多，分布散、传输距离远、电脑使用频繁等特点，使用交换机将可以获得极好的饱和传输性能，这是共享式HUB无法实现的。

分布式与分裂式

在网络的具体拓扑结构中，一般的设计方法有：

一分布式；二分裂式；

分布式的特点是各交换机通过极连相通，布线费用低，远端节点必须经过多个网络交换机的延时，性能较差。

分裂式即任何一个工作组交换机都直接与主交换机或第三层路由器相连，性能得到充分优化，但布线费用相对较高。

VLAN

整个XX公司网络节点较多，功能各异，安全性及应用带宽划分意义重大，我公司推荐方案中3COM公司的SUPERSTACKII3300系列的3C16981交换机具有完整的VLAN功能，可基于端口、服务、协议来定义虚拟网络，而且可定义不同的安全级别，允许高安全级别的部门对低安全级别部门的访问，反之则不行，这样不仅可以使信息按部门、类型流转，流量控制得以实现，还可以起到很好的安全隔离作用。

3.5网络整体拓朴结构设计

顺德市XX企业集团公司网络工程分为集团厂部网络和四公里外的销售网络以及全国各大省会销售分部网络。

包括了企业本地网络和厂部与外部销售网络以及各个销售网络互连的广域网络,范围较广。

因此整个网络设计要求具备足够的灵活性和可伸缩性，以较为合理的投资成本达到高性能，并且在企业应用发生变化时产生最大的投资回报和增长。

以下为整体网络的具体设计：

3.5.1本地网络拓朴结构设计

厂部网络主要由办公大楼、厂部车间大楼、老厂房仓库等组成，范围较大，是一个典型的本地局域网。

根据公司需求，整个网络要求能够实现办公自动化，强化和健全生产、财务、销售管理体制，各个部门能快速掌握和执行公司决策，交换信息，包括邮件服务等。

今后各大省会的销售网络都必须频繁地访问集团网络，因此，网络速度要求高，应用范围较大，如采用10M以太网势必对系统造成应用瓶颈，因此主干交换带宽要求达到100M，交换到用户桌面带宽达到10M，将10/100M以太网引入桌面，部署新的带宽应用，以适应现今需要及未来发展。

我公司建议贵公司设计的整体网络系统采用10/100M交换快速以太网的方案。

这主要是基于以下原因：

1.以太网络技术已发展到千兆，是目前最普遍采用的组网技术，也是技术接续性最好的网络系统。

2.贵公司企业网即存在关键业务（主机生产系统）又有文件、MAIL系统等等，如采用10M以太网势必对系统造成应用瓶颈。

3.100M快速以太网技术已非常成熟，其端口性价比为目前所有网络平台的最优选择。

4.可不对布线系统作任何修改直接支持任意端口10M或100M。

5.对于目前的应用及将来的扩展，10/100M都将可以很好地胜任。

XX集团网络采用10/100M的快速以太网结构。

厂区网络主服务器直接与系统核心交换机互连，通过核心交换机级连厂房车间大楼分交换机；老厂房仓库配备一个交换机与办公楼核心交换机连通；培训中心、卡拉OK室通过现有的电话介质，用MODEM拨号与服务器连接。

四公里之外的销售网络相对独立，距离厂部服务器较远，需在销售部专门设置一台服务器，通过交换机管理整个销售网络。

3.5.2广域网拓朴结构设计

对于一个企业来说，建立企业内部网的目的之一是将分散在各地的分支机构和部门以及流动办公人员通过网络联结起来，使他们可以协同工作。

销售网络在离厂部四公里之外的地方，距离较远，包括各大省会的28个销售网络也都需要经常互相之间或者与集团网络之间交换信息。

对于那些地域分散，却非常需要经常协同工作的企业用户来说，如何通过经济便捷的方式进行各种远程访问成了一个最重要的问题之一。

目前有多种解决方法，其中采用专线不失为一种办法，但其昂贵的费用却使很多预算紧张的用户望而却步。

VPN通过隧道技术和Qos、Cos特性这三件法宝，使用户可以借助Internet来实现远程访问，效果与使用专线一样，但价格却便宜许多。

在本方案中，分散在外地的销售网络用户包括高明基地借助于微软的客户机系统，通过Internet接入方式，在路由器上建立VPN隧道，链接到集团网络。

VPN概述

VPN简介

VPN（VirtualPrivateNetwork）是由特殊设计的硬件和软件直接通过共享的基于IP的网络（比如那些由ISP所提供的网络）所建立的隧道。

我们通常将VPN当作WAN解决方案，但它也可以简单地用于LAN。

VPN类似于点到点直接拨号连接或租用线路连接，尽管它是以交换和路由的方式工作。

许多企业担心在共享的IP网络上传输的敏感数据会被网络黑客或窃贼截获甚至修改。

因此，在大多数情况下，在VPN上的数据流是经过加密处理的。

绝大多数人将VPN和通过互连网承载加密数据流的的隧道连接起来。

这样就可以最低的成本在链路（如远程接入电话呼叫或租用线路）上进行安全、高效的数据传输或对链路进行管理和控制。

（如图一）

图一加密后的数据流

当今的商业发展变化比以往更加全球化、移动化，需要建立比以往更多的连接。

但是网络方面的预算还没能跟上新的关键服务和应用的发展需求。

如果没有经济有效的的解决方案来满足发展的需要，那么一个企业将处于非常危险的境地。

（如图二）

图二网络陷于困境

VPN是能够提供当今商业发展所需网络功能的理想的途径。

它可以使公司获得使用公用通信网络基础结构所带来的便利和经济效益，同时获得使用专用的点到点连接所带来的安全。

另外，它还支持现有的PC加模拟和ISDN调制解调器的网络结构。

同时，它还可以部署在Internet上，在网络服务提供者的IP骨干网上，或在两者的组合网络上。

VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求。

VPN以多种方式增强了网络的智能和安全性。

首先，它在隧道的起点，在现有的企业认证服务器上，提供对分布用户的认证。

另外，VPN支持安全和加密协议，如Secure　IP（IPSec）和Microsoft点对点加密（MPPE）。

IPSec所提供的安全是基于标准和可互操作的。

它应用于网络层，允许IP节点，客户机或服务器协商有效载荷的加密方法并执行双边安全认证。

IPSec使用多种技术来实现其功能，包括公共密钥加密。

Cisco公司、3Com公司的产品都支持这种新的、高可靠度的安全标准。

MPPE使Windows95/98和NT4.0终端可以从全球任何地方进行安全的通信。

MPPE加密确保了数据的安全传输，并具有最小的公共密钥开销。

图三远程访问的VPNs

网络管理者可以使用VPN替代租用线路来实现分支机构的连接。

这样就可以将对远程链路进行安装，配置和管理任务减少到最小，仅此一点就可以极大地简化广域网络的设计。

另外，VPN通过拨号访问来自于ISP或NSP的外部服务减少了调制解调器池，简化了所需的接口，同时简化了与远程用户认证、授权和记账相关的设备和处理。

VPN可以实现扩展以适应不断变化的商业需求。

VPN隧道技术的实现

我们知道，IPSec实际上是一套协议包而不是一个单个的协议，虽然PPTP、L2F、L2TP和GRE各有自己的优点，但是都没有很好地解决隧道加密和数据加密的问题。

而IPSec协议把多种安全技术集合到一起，可以建立一个安全、可靠的隧道。

这些技术包括DiffieHellman密钥交换技术，DES、RC4、IDEA数据加密技术，哈希散列算法HMAC、MD5、SHA，数字签名技术等。

这几年来，IETFIPSec工作组在它的主页上发布了几十个Internet草案文献和12个RFC文件。

其中，比较重要的有RFC2409IKE互连网密钥交换、RFC2401IPSec协议、RFC2402AH难包头、RFC2406ESP加密数据等文件。

IPSec安全结构包括3个基本协议：

AH协议为IP包提供信息源验证和完整性保证；ESP协议提供加密保证；密钥管理协议（ISAKMP）提供双方交流时的共享安全信息。

ESP和AH协议都有相关的一系列支持文件，规定了加密和认证的算法。

最后，解释域（DOI）通过一系列命令、算法、属性、参数来连接所有的IPSec组文件。

安全隧道的建立

IPSec通过上述3个基本协议在IP包头后增加新的字段来实现安全保证。

下面是一个IPSec数据包的格式。

IP包

展开阅读全文