计算机网络系统.docx

1、计算机网络系统计算机网络系统1、需求分析稳定性需求济南市环境监测中心站环境监测中心对网络系统的依赖程度较高。一旦网络系统运行不正常或者出现故障中断将直接导致业务中断，造成的经济损失不可估量。因此网络建设中稳定压倒一切，必须从多个角度确保系统的稳定性。高性能需求从技术角度看，网络带宽提速的进程不断加快，1Gbps到10Gbps的普及时间远少于100Mbps到1Gbps的普及时间，而且40Gbps/100Gbps的国际标准也已经于2010年底定稿。系统存在高峰突发流量，因此济南市环境监测中心站基础网络的带宽提出越来越高的要求。安全性需求可以说，网络技术发展历程总是伴随着病毒、攻击、泄密等不和谐的声

2、音，所以对于资金管理信息系统来讲，在网络设计中对于安全防护尤其需要重点考虑。扩展性需求互联网行业中，唯一不变规则的就是不断的变化。在网络建设中，很难预计到未来会出现何种业务需要，如果无法在硬件、软件方面考虑一定扩展性，将不可避免的出现重新建设、投资浪费等问题。因此，软、硬件方面的扩展性需要加以设计。易管理需求无论如何智能的系统，总是需要人力实现最终的管理。而济南市环境监测中心站不同的人员负责服务器、网络、终端等维护工作。所以，在网络设计中需要尽可能降低维护压力。2、设计原则济南市环境监测中心站本着一体化原则、稳定性原则、可扩展性原则、可管理易维护原则、经济性原则进行设计。稳定性原则为满足各种业

3、务应用特别是门户网站和济南市环境监测中心站业务应用的稳定高效运行的需要，网络设计建设要充分考虑设备运行的高可靠性、高稳定性。通过冗余的设备配置、良好的设备性能指标设计，确保济南市环境监测中心站的高效稳定运行。可扩展性原则为保证满足未来新增、扩建、升级应用系统的需求，网络设备应具有一定的可扩展性，以保证各级节点将来可以平滑的扩容升级。要充分考虑到未来5年内网络升级的平稳衔接，根据需要可以对网络系统进行必要调整和扩充。可管理、易维护原则网络系统要易于管理和维护，通过配备先进的管理平台，能够实时监控每一个核心网络设备，随时了解网络的“健康状态”，能够快速定位故障并进行排除。 经济性原则 网络系统规划

4、设计需考虑经济性，充分考虑对现有网络和设备资源的利用，避免投资浪费。在设备配备方面既要满足当前需要，又要适当超前，考虑进一步的网络应用需求。不仅要考虑建设成本，还要兼顾考虑运行维护成本。3、设计方案本方案共建设弱电控制网、内网和外网三套完全物理隔离的网络。3.1计算机网络系统-弱电控制网弱电控制网承载了多种智能化系统业务，不同业务对应的流量流向、流量大小、网络要求、业务重要性均不相同，因此弱电控制网核心必须具有可靠性和稳定性。核心交换机采用H3C面向融合业务网络的高端多业务路由交换机，配置不同级别的QOS服务质量对各智能化业务进行保障，以确保各业务的有序运行。接入交换机采用为构建高安全、高智能

5、网络需求而专门设计的新一代以太网交换机产品，在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的安全易用接入层交换机。接入交换机通过千兆光纤链路与核心交换机直连，为多种智能化系统业务提供带宽保障。控制网系统架构图3.2计算机网络系统-外网Internet外网采用核心层和接入层两层星型拓扑结构，万兆核心，千兆到楼层的传输速率，满足上网办公、环境监控数据传输的需求。系统根据实际应用需求，通过VLAN划分为互联网、业务网等多个逻辑隔离网段供用户使用。核心交换机设置在一层网络机房，同时设置一台路由器和防火墙，分别作为Internet网络出口设备及安全防护设备。接入交换

6、机分别设置在各楼层配电间内，通过光纤与弱电机房内的核心交换机进行通讯。接入交换机具备VLAN网段划分功能，满足各部门需求。 在一层餐厅、二层多功能厅，十二层电视电话会议室等处设置外网无线AP点，进行无线网络信号的覆盖。弱电间内接入交换机由电气配电箱提供容量不小于1KW的双电源供电回路。核心层负责提供接入设备与核心层设备之间的高速连接和访问控制,核心层设备应具有多层交换的处理能力，并可提供不同VLAN间的路由，该层设备应具有较高的转发速度和处理能力，负责提供各网段间的高速数据转发，并可提供质量控制。路由器主要负责内网用户的地址转换及安全策略的保证。采用H3C高性能路由交换机作为核心交换机，提供不

7、间断转发、不间断升级、优雅重启等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。核心层是数据信息流动的动脉，同时担负着信息流动的总调度任务。核心层的功能主要包括以下几方面： 提供数据帧或数据包的快速交换； 提供VLAN间路由功能； 提供VLAN间的访问控制在核心交换机部署吞吐量为10GE安全防火墙插卡H3C SecBlade FW，采用虚拟防火墙技术保障网络根据不同的业务及用户访问不同权限的资源，同时安全防火墙插卡保障内网用户免受外网的攻击。H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等

8、功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技术，实时检测应用层连接状态，实现2-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。同时采用H3C SecBlade FW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。核心交换机采用千兆光纤链路与接入交换机直连，保证链路的利用率和易管理性。同时在核心交换机旁挂无线控制器设备管理项目中的无线接入点AP，保证无线网络有效的接入和运行。采用IMC及WSM组件实现有线和无线一体化网络设计

9、方案，便于用户的管理。外网系统架构图3.3计算机网络系统-内网内网核心交换机与外网配置相同，同样设置一台路由器和防火墙，分别作为办公网络出口设备及安全防护设备。接入交换机分别设置在各楼层配电间内，通过光纤与弱电机房内的核心交换机进行通讯。接入交换机具备VLAN网段划分功能。弱电间内接入交换机由电气配电箱提供容量不小于1KW的双电源供电回路。在环境监控中心计算机内部网络系统采用H3C高性能路由交换机作为网络的核心交换机，保障内部网络的高速稳定的数据转发。核心层负责提供接入设备与核心层设备之间的高速连接和访问控制,核心层设备应具有多层交换的处理能力，并可提供不同VLAN间的路由，该层设备应具有较高

10、的转发速度和处理能力，负责提供各网段间的高速数据转发，并可提供质量控制。路由器主要负责内网用户的地址转换及安全策略的保证。同时核心交换机部署吞吐量为10GE性能的安全防火墙插卡，安全防火墙插卡支持先进的虚拟防火墙技术，通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题，简化了网络管理的复杂度。安全防火墙插卡支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、T

11、racert攻击、带路由记录选项IP报文、Java/ActiveX Blocking和SQL注入攻击等威胁的防范；可以有效的识别和控制网络中的各种P2P应用；支持静态和动态黑名单、MAC绑定、安全区域控制、系统统计等安全功能。核心交换机采用千兆光纤链路与接入交换机直连，保证链路的利用率和易管理性。采用IMC便于用户对网络设备的管理。内网系统架构图4、设备选型及参数A、核心交换机功能及技术指标参数要求业务插槽数业务插槽数6个整机交换容量2.52Tbps整机包转发能力1920Mpps接口要求支持百兆千兆、万兆的以太网电口和光口支持40G接口，单板密度4个要求所有接口板必须是分布式转发工作模式IPv

12、4协议硬件支持分布式IPv4线速处理，其中路由协议必须支持RIP、OSPF V2、IS-IS和BGP,组播协议必须支持IGMP V1/V2/V3 Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDPIPv6协议硬件支持分布式IPv6线速处理，其中路由协议必须支持RIPng、OSPF V3、IPv6 IS-IS和IPv6 BGP,隧道协议必须支持IPv6手动隧道、6to4隧道和ISATAP隧道MPLS支持MPLS，可由引擎集中处理或者板卡分布式处理模式虚拟化支持将两台或者多台物理设备智能堆叠，堆叠后可实现统一的转发表项、统一的管理界面以及跨物理设备的链路聚合有线无线融合支持内置

13、无线控制器模块，可管理的AP数量不小于1024个，可支持的无线用户数不小于20k安全业务扩展支持高性能的内置防火墙模块，防火墙处理能力不低于10G；支持入侵防御/检测系统插卡；支持应用控制网关插卡扩展；支持SSL VPN插卡扩展；负载均衡支持专业的插卡实现服务器负载均衡、链路负载均衡；单块插卡吞吐性能不低于8Gbps；访问控制支持基于第二层、第三层和第四层的ACL；支持VLAN ACL和IPv6 ACL；支持出方向ACL，以便于灵活实现QoS；支持IEEE 802.1和Portal方式用户认证；QoS支持 至少具备8个QoS优先级，通过服务质量策略（特别是优先权规则和算法）为关键业务和特定应用

14、预留带宽；支持出方向的流量限速功能（Egress Car）；提供广播风暴抑制功能端口镜像支持多个物理端口的流量镜像到一个端口；支持跨单板和跨设备的端口镜像；支持流镜像到CPU和端口管理特性支持SNMP V1/V2/V3、RMON、SSHV2支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。引擎支持并配置外置Flash，便于配置升级和日志存放B、无线控制器功能及技术指标参数要求接口要求10/100/1000M接口4个，可复用为光接口性能单台控制器最多管理AP数量256个本次配置可管理AP数量192个CAPWAP协议AP和AC之间支持L2/L3层网络拓朴AP可以自动发现可接入的ACA

15、P可以自动从AC更新软件版本AP可以自动从AC下载配置安全认证MAC 地址认证802.1x认证（EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-SIM、EAP-MD5、EAP-FAST）Portal认证支持有线无线用户使用一套认证平台支持基于苹果IOS、Android系统的认证客户端，提供截图支持基于AP的用户接入控制802.11安全和加密支持多SSID支持隐藏SSID支持802.11i标准(含802.1x认证和PSK认证)支持WPA、WPA2标准WEP(WEP64/WEP128)TKIP支持WAPICCMPAAA支持本地Radius认证服务器支持本地Portal认证服务器支持SS

16、ID和用户账号的绑定WIDS/WIPS支持白名单支持静态和动态黑名单支持对无线非法设备的监测和攻击支持无线防攻击增值特性支持频谱分析支持频谱导航，引导终端自动接入5G频段支持远程空口分析三层特性支持静态路由、RIP协议C、接入交换机48口接入交换机功能及技术指标参数要求交换容量64G转发性能13.2Mpps接口类型100兆电口接口数量48个千兆光电复用接口数量2个,千兆光口4个MAC地址表32KVLAN特性支持基于端口的VLAN，支持基于协议的VLAN；支持Voice VLAN；支持基于MAC的VLAN；最大VLAN数4094ACL支持基于第二层、第三层和第四层的ACL；支持基于端口和VLAN

17、的 ACL；支持硬件的IPv6 ACL；支持双向ACL；安全特性支持IEEE 802.1X认证/集中式MAC地址认证支持二层 Portal认证/triple认证支持ARP欺骗类攻击防护镜像支持本地镜像、远程镜像、端口镜像；路由功能支持三层路由功能IPv6支持IPv6 HOST管理；支持IPv6 ACL；支持IPv6 ND24口接入交换机功能及技术指标参数要求交换容量32G转发性能6.6Mpps接口类型100兆电口接口数量24个千兆光电复用接口数量2个MAC地址表8KVLAN特性支持基于端口的VLAN，支持基于协议的VLAN；支持Voice VLAN；支持基于MAC的VLAN；最大VLAN数40

18、94ACL支持基于第二层、第三层和第四层的ACL；支持基于端口和VLAN的 ACL；支持硬件的IPv6 ACL；支持双向ACL；安全特性支持IEEE 802.1X认证/集中式MAC地址认证支持二层 Portal认证/triple认证支持ARP欺骗类攻击防护镜像支持本地镜像、远程镜像、端口镜像；路由功能支持三层路由功能IPv6支持IPv6 HOST管理；支持IPv6 ACL；支持IPv6 NDD、无线AP功能及技术指标参数要求总体要求支持802.11b/g天线1个RP-SMA型射频接口工作模式支持工作于WLAN的2.4GHz频段或5GHz频段之上，支持802.11b/g或802.11a协议；每射

19、频提供最高速率为54Mbps，支持Fit AP/Fat AP 两种工作模式，通过命令行可以便捷的进行Fit AP/Fat AP 模式转换支持AP零配置，本地不保存任何配置信息，从无线控制器获取配置信息，防盗防入侵。FAT模式下支持TR069特性，方便网管人员从网络测对未知分散的无线接入设备进行集中管理节能减排可基于时间段定时开启或关闭射频支持虚拟AP单个AP可支持不小于16个可广播SSID。支持中文SSID加密支持64、128位WEP加密，WPA，802.11i和WAPI支持WPA和802.11i的多种密钥更新触发条件认证支持802.1X认证、MAC地址认证、PPPoE认证支持WAPI认证支持

20、预认证、重认证QoS支持802.11e，根据各种应用要求提供流量；支持不同SSID/VLAN映射不同的QOS策略可实现基于用户数和流量的负载均衡以太网口支持802.1p，优先级队列，支持流量限制（CAR）和流分类漫游支持在多个AP之间漫游支持跨越3层网络实现漫游漫游切换时间小于50ms管理维护支持SNMP（V1、V2、V3），Trap，TR069（FAT AP时），基于Windows平台上的配置工具：Telnet、TFTP、FTP、HTTP、Web支持IPv6管理，支持Telnetv6，Pingv6、DNSv6、Tracertv6接口配置百兆电口1个供电无线AP支持PoE供电，支持802.3a

21、f协议且可支持交流电源方式供电 F、出口路由器功能及技术指标参数要求交换容量80Gbps包转发率15Mpps接口及扩展固定千兆光电复用接口4个扩展母板1个，支持最大4个扩展插卡管理支持并配置1个带外网管接口组播支持VPN组播、支持跨域的VPN组播（Option1/2/3） IPSec加密内置硬件加密引擎业务内置支持L2TP、GRE，为保证性能，L2TP、GRE功能要求由业务板卡实现，做到分布式处理NAT硬件支持NAT功能，为保证性能，NAT功能要求由业务板卡实现，做到分布式处理支持Easy IP、静态NAT转换、动态NAT转换等多种方式；支持NAT多实例、VPN NAT、丰富的NAT ALG、

22、NAT日志与用户行为审计等功能Netstream硬件支持Netstream功能，为保证性能，Netstream功能要求由业务板卡实现，做到分布式处理接口类型支持10GE、2.5G POS、155M/622M POS、155M ATM、E3/T3、 8端口E1/E1-F接口、1/2端口CPOS、T1/T1-F、同步串口等广域网接口QOS支持优先级Mark/Remark，支持FIFO、PQ、CQ、WFQ、RTPQ、CBWFQ各种队列调度机制 ，支持拥塞避免算法：Tail-Drop、WRED ，支持层次化Qos（H-Qos）要求此参数官网可查G、网管平台功能及技术指标参数本次配置 配置管理100节点

23、授权（内、外网各50节点）分布式部署资源拓扑、告警、性能等功能模块支持多服务器分布式虚拟化部署，可实现负载分担。用户分权管理可以为不同的管理员设置不同的用户名、密码，并限制管理员的管理权限和管理范围，实现用户分权管理。多平台支持支持Windows、Linux平台及MSSQL、Oracle数据库，支持B/S架构。支持自定义用户主页管理员可以首页中通过拖拽，自定义需要在首页展示页面。拓扑管理支持IP拓扑、二层拓扑、邻居拓扑、业务拓扑；二层拓扑支持多协议；拓扑可融合链路状态、设备告警等多种信息。支持数据中心拓扑，包括机房拓扑、机架拓扑等。支持设备与用户统一管理支持网络管理与用户管理联动，如通过点击拓

24、扑楼层接入交换机图标，可查看该设备所有接入用户帐户信息，查询在线用户列表、强制用户下线、下发消息、总在线用户数统计、不安全用户数统计等。告警智能分析包括告警分类关联分析、告警多源关联分析、告警拓扑根源分析、告警网络影响度分析。性能管理支持基于任务的性能监控，可定制监控任务，长期监控网络性能，可以形成日报、周报、月报等报表。提供直观的设备的面板视图支持设备面板的显示、定时刷新、面板缩放功能，通过面板管理，网络管理人员可以直观地看到设备、板卡、端口的工作状态；支持对第三方设备的面板级管理IPv6管理支持IPv6环境下的资源、性能、告警、拓扑、面板管理，包括纯IPv6组网和双栈组网。支持设备配置集中

25、管理配置库包括配置文件和配置片断，配置内容可带有参数，在部署时根据设备的差异设置不同的值；配置文件可部署到设备的启动配置或者运行配置；配置片断只能部署到设备的运行配置。多厂商设备配置及软件管理支持H3C/HUAWEI/3COM/CISCO/HP设备的批量配置和软件管理，包括的软件版本和软件库中最新可用的软件，更新设备的软件。基线化的设备配置变更审计提供设备运行配置和启动配置的基线化版本管理。通过备份、恢复手段，以及备份历史、升级历史管理，使配置文件管理和软件升级管理具有了可回溯性。支持设备软件智能升级支持网络运行设备的软件版本查询功能，支持先备份后升级，保证一旦升级失败后可以恢复到原有设备软件

26、版本，支持对整个升级过程的可靠性检查，如设备软件版本和设备是否配套，flash空间是否足够等，确保用户的整个升级操作万无一失。非法接入设备监控对接入设备MAC地址进行监控，如果其它MAC地址接入到该接口，或者该MAC从其它设备接口接入网络，系统会立即发送相关告警，通知管理员发生了MAC接入违规现象，从而管理员能够及时采取措施应对。通过MAC/接口绑定，能有效的防止网络中非法设备接入的现象。网络资产自动发现在设备增加到网络资产管理的同时，系统还会自动发现该设备上可以管理的配件信息，并将这些配件加入到网络资产中进行管理，网管员可以根据不同的查询条件查询网络资产信息，对资产信息进行审计。支持多种图表

27、展示提供多种报表样式，包括普通的行列报表、主/子报表、图形摘要报表、交叉表、TopN和BottomN报表。支持多种图形展示:包括条形图、饼图、曲线图、甘特图、面积图、圆环图、三维梯形图、三维曲面图、XY散点图、雷达图、气泡图、股票图、漏斗图等。周期性报表机制支持天报表、周报表、月报表、季度报表、半年报表、年报表。可以设定周期性报表的开始时间、失效时间。可以将自身的组织名称和Logo融入到发布的报表中，可以定时生成后Email到指定邮箱。双机热备主备服务器共享存储，公用一个虚拟IP，实时备份，保障系统切换时无数据丢失。支持管理第三方设备新设备注册，告警注册，新性能指标注册，新Syslog解析注册

28、，Mib编译，第三方设备配置管理-CLI下发，配置管理-配置备份、软件升级（使用TCL/Expect/Perl模板自定制），第三方设备管理系统集成。H、无线管理功能及技术指标参数本次配置 配置50无线节点授权系统可靠性服务器支持Windows及Linux操作系统，支持双机冷备或双击热备，提高系统可靠性有线无线一体化管理支持有线无线一体化管理，可统一管理AC、AP、无线终端、PoE交换机等设备，支持在拓扑上支持展示设备告警、状态，可以十分逼真的展示全网的网络结构无线设备拓扑无线设备拓扑，显示AC与Fit AP间的逻辑连接关系，显示Fit AP当前在线Client，AC拓扑中支持链路显示参数，包括

29、仅显示在线AP、仅显示不在线AP和仅显示Rogue AP无线位置视图拓扑无线位置视图拓扑，按照设备所在区域，能够在位置视图中查看AP设备的物理位置查看物理链路支持查看AC与AP之间真实物理链路连接，对于排查网络故障能提供很大帮助自定义视图支持自定义视图并且在视图上显示设备告警和实时状态，可以导入背景图，方便管理员按需进行重点设备的重点管理覆盖范围显示显示AP的RF覆盖范围：支持按信号强度、速率和信道显示RF覆盖范围，支持频段及类型（11a/11b/11g/11an/11gn）的显示带障碍物的RF覆盖显示支持带障碍物的RF覆盖显示：位置视图中可以添加障碍物，通过不同障碍物的衰减情况，绘制不规则的

30、RF覆盖图形拓扑查看AP详细信息在拓扑上支持查看AP当前在线Station及详细信息，可以实现设备和用户的统一管理，支持进行Station上线历史记录浏览无线用户信息管理无线用户信息管理：通过第三方Radius系统（或UAM）配合，能够关联移动用户MAC地址和账号的对应关系，并能够维护移动用户的账号信息，帮助管理员从账号的角度管理移动用户。分权管理支持FIT AP分权管理，可以方便将管理权限下发给各个部门和单位统一配置支持无线参数802.11中abgn各种协议的统一配置，一套系统可以在统一界面解决多种配置需求分级报表支持分级报表，分级管理中网管上级可以方便地管理到下级报表向导化配置管理提供向导化的配置管理工具，帮助管理员轻松完成下面配置：Radio策略、服务策略、信噪比参数Rouge AP和Rouge Station支持检测到的Rouge AP和Rouge Station非法设备检测支持进行非法设备的检测策略管理、非法设备的监控、非法设备的告警和非法设备的攻击设备性能和用户终端性能管理支持Station流量统计、AP流量统计、AP在线数统计、Station在线数统计、Station关联情况统计等。可以在一套系统上完成设备性能管理和用户