某大型连锁商业企业网络系统规划与设计文档格式.docx

1、20其他部门用户信息点数量为15个左右。各商场的电脑用户信息点包括售货终端电脑、办公电脑和服务器，售货终端电脑不超过20台，办公电脑15台左右，服务器5台左右。整个企业的数据中心设于企业总部信息网络中心，包括数据库、邮件、WEB、DNS、办公自动化等各类服务器8台为保证企业业务的正常进行，须建设企业专网，实现企业总部与各商场网点安全、可靠的互连互通。二、某大型连锁商业企业网络的设计原则1. 采用适当的的网络技术，构建先进成熟的企业专网。2. 充分考虑企业发展的需求，在拓扑设计和设备选型等方面确保网络具有较高的可扩展性。3. 充分考虑网络高可靠性的要求，对网络重要环节、重要部分进行冗余设计，不能

2、存在单点故障。4. 充分考虑网络对安全性的要求，根据企业用户性质和业务特点，对网络的安全措施进行统筹规划，综合应用各类安全技术对网络的安全进行设计。5. 在技术选择、设备选型方面，考虑性价比最大化。第2章 企业网络设计方案1、方案设计目标1. 采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备。2. 合标准的设备在城域网上能将OA、ERP集成在同一个网络中。充分利用所申请的专线带宽，是利益最大化，保护用户的投资。3. 安全可靠性，确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。核心设备选型性能相对较高，适应后期网络扩

3、展升级。4. 具有相对完善的网管系统，对计算机网络进行进行有效的监控管理。优化网络流量，提高网络运行安全性，通过日志文件等多种手段，保证网络的高效运行。通过以上几个目标的努力，是连锁商场的企业网络系统具有更好的先进性、可靠性、安全性和可扩展性。2、方案说明1.网络中心规划设计总部网络拓扑图总部网络分成三层，分别是接入层、汇聚层和核心层。商场百货企业总部设办公室、人力资源部、计划财务部、市场营销部、客户服务中心、资金运营中心、会计结算部、资产评估部、资产管理中心、信息网络中心、党群工作部、安全保卫部、物业管理部等十三个部门，各部门信息点都连接到接入层交换机。汇聚层交换机由两台二层交换机组成，两台

4、交换机用两根1000Base-T进行链路聚合，实现数据的快速交换和设备冗余。汇聚层交换机跟接入层交换机之间用100Base-T进行连接。在汇聚层交换机上将各部门划入相应VLAN。核心层交换机与汇聚层交换机也用1000Base-T链路进行连接，并与汇聚层交换机实现双线连接，实现链路冗余和链路聚合，保证网络的可靠和高效。总部申请10M的ADSL接入Internet，实现访问Internet与网上商城百货企业等业务的接入。总部访问外网时要经过一台路由器和一台防火墙，路由器提供访问互联网的功能。防火墙则保护内部网络，以防黑客的攻击。总部还设有数据中心，共有5台服务器，并与接入层交换机相连。3.分部网络

5、规划与设计分部主要由一台边界路由器和一台二层交换作为主体，路由器通过帧中继网络进行连接。交换机与路由器进行双线连接，实现链路冗余。各信息点和服务器通过10/100Base-T以太网线与交换机连接。4.IP地址规划与VLAN划分总部IP划分（掩码均为24）部门信息数量IP范围VLAN网关企业总部办公室1510.1.1.1-10.1.1.15210.1.1.254人力资源部10.1.2.1-10.1.2.15310.1.2.25410.1.3.1-10.1.3.30410.1.3.25410.1.4.1-10.1.4.60510.1.4.25410.1.5.1-10.1.5.40610.1.5.2

6、54采购部10.1.6.1-10.1.6.40710.1.6.254仓储物流部10.1.7.1-10.1.7.38810.1.7.254业务管理部10.1.8.1-10.1.8.35910.1.8.254设备技术部10.1.9.1-10.1.9.151010.1.9.25410.1.10.1-10.1.10.201110.1.10.254党群工作部10.1.11.1-10.1.11.151210.1.11.254安全保卫部10.1.12.1-10.1.12.151310.1.12.254物业管理部10.1.13.1-10.1.13.151410.1.13.254网管中心IP划分（掩码均为24）

7、网管中心10.1.14.1-10.1.14.1510.1.14.254数据中心10.1.15.1-10.1.15.510.1.15.254各分部IP划分（掩码均为24）营业点福田区10.2.0.1-10.2.0.2010.2.0.254罗湖区110.2.1.1-10.2.1.2010.2.1.254罗湖区210.2.2.1-10.2.2.2010.2.2.254南山区10.2.3.1-10.2.3.2010.2.3.254龙岗区10.2.4.1-10.2.4.2010.2.4.254宝安区10.2.5.1-10.2.5.2010.2.5.254盐田区110.2.6.1-10.2.6.2010.

8、2.6.254盐田区210.2.7.1-10.2.7.2010.2.7.2545.网络设备选型1.设备选型产品型号数量（台）价格（元）核心层交换机H3C LSQM1GV48SA0 S7500E35000汇聚层交换机汇聚层交换机H3C LS-3600-52P-SI13650接入层交换机H3C SMB-S5024PV2-EI291250防火墙H3C SecPath F100-S-AC19900总部路由器H3C ER8300G27580分部路由器H3C ER52003600总计1546301.设备参数核心交换机 H3C LSQM1GV48SA0 S7500E详细参数基本参数用手机客户端查配置更方便产

9、品型号LS-7506E产品类型企业级应用层级三层背板带宽2.56Tbps包转发率1920Mpps传输方式存储转发方式硬件参数接口类型10Base-T, 100Base-T, 1000BASE-X, 1000BaseT传输速率10M/100M/1000Mbps端口结构模块化扩展插槽堆叠支持可堆叠网络与软件网络标准IEEE 802.1P, IEEE 802.1Q, IEEE 802.1d, 802.1w, 802.1s, IEEE 802.1ad, IEEE 802.3x, IEEE 802.3ad, IEEE 802.3, 802.3u, IEEE 802.3z, 802.3ab, IEEE 8

10、02.3ae, IEEE 802.3af 802.3ad, 802.3, 802.3u, 802.3x, 802.3z, 802.3afVLAN支持支持VLAN功能双工传输支持全双工MAC地址表128K网管功能持网管功能,支持FTP,TFTP,Xmodem,SNMP V1/V2/V3,RMON,NTP时钟,HGMP,多种配置方式其他性能槽位数量：业务槽位数量：其它参数电源电压100V-240V最大功率1400/ 2800W外形尺寸436575420 mm重量77KgLS-3600-52P-SI13.2Mpps10/100Base-T端口,1000Base-X SFP端口,（48个10/100B

11、ase-T以太网端口,4个1000Base-X SFP千兆以太网端口）接口数目48口10M/100Mbps,1000Mbps,10M/100M/1000Mbps4个1000Base-X SFP千兆以太网端口管理端口1个Console口支持VLAN功能,支持4K个符合IEEE 802.1Q标准的VLAN,支持基于端口的VLAN和基于协议的VLAN,支持GuestVlan,支持GVRP支持全双工,支持IEEE 802.3x流控（全双工）,支持背压式流控（半双工）16K,地址自学习,IEEE 802.1D标准,支持静态MAC地址1K命令行接口（CLI）配置,支持Telnet远程配置,通过Consol

12、e口配置,WEB网管,支持SNMPV1/V2/V3, 支持RMON 1,2,3,9组MIB, 支持QuidView网管系统,支持HGMPv2集群管理,支持系统日志,支持分级告警认证标准FCC Class A,CISPR 22 Class A,EN 55022 Class A,ICES -003 Class A,VCCI Class A,AS/NZS 3548 Class A,EN 61000-3-2,EN 61000-3-3支持流量控制（Flow Control）,支持服务质量（QoS）,生成树协议支持,广播风暴控制,802.1x认证支持,支持端口汇聚,镜像支持额定电压:100-240V AC

13、 50/60Hz, 最大电压:90-264V AC 50/60Hz50W44026043.6mm4Kg接入层交换机H3C SMB-S5024PV2-EISMB-S5024PV2-EI千兆以太网2404224个10/100/1000Base-T以太网端口 4个1000Base-X以太网端口QoS支持支持QoS端口聚合支持端口聚合功能支持网管功能AC：100V240V AC，50/60Hz= 19W17344mm纠错= 2.2Kg华为USG6308参数防火墙类型下一代防火墙USG6308企业级,VPN防火墙最大吞吐量防火墙吞吐量:800Mbit/s,IPSec吞吐量:400Mbit/s442421

14、10Kg产品形态:1U机架,HDD:选配,300GB单硬盘,可热插拔SDRAM内存4G固定接口4GE+2Combo2WSIC用户数限制400每秒连接数25000新建连接数并发连接数FW最大并发:1000000,IPSec最大连接数:2000并发连接数策略数15000个策略数VPN支持VPN功能防火墙性能入侵防御（IPS）防病毒（AV）数据防泄漏（DLP）上网行为管理&审计基于应用的QoS优化负载均衡智能策略管理Anti-DDoSAC100V-240V170W其它工作环境:温度:0-45（不含硬盘）/5-40（包含硬盘）湿度:10-90%一体化防护应用识别与管控入侵防御与Web防护防病毒数据防泄

15、漏带宽管理与QoS优化URL过滤行为和内容审计业务智能选路VPN加密SSL加密流量检测基于用户的防护安全虚拟化智能管理丰富的报表路由特性部署及可靠性总部路由器H3C ER8300G2ER8300G2企业网吧路由10/100/1000Mbps广域网接口2个10/100/1000M WAN口局域网接口8个10/100/1000M LAN口处理器专业的网络处理器（四核1.2GHz）DRAM内存1024MB1个USB接口散热方式:风扇散热软件参数PPP,CHAP,PAP,MS-CHAP,PPPoE,DHCP客户端,DHCP服务器,NAPT,NTP,DDNS网络管理组策略管理（支持基于IP/MAC/时间

16、段的组策略配置）HTTP下载文件类型过滤URL过滤（黑白名单）MAC地址过滤QQ/MSN访问控制安全性能防止Land 攻击功能,防止Smurf攻击功能,防止WinNuke攻击功能,防止Ping of Death攻击,防止SYN Flood攻击功能,防止UDP Flood攻击功能,防止ICMP Flood攻击功能,防止IP Spoofing功能,防止碎片包攻击,防止TearDrop攻击,防止Fraggle攻击功能防止TCP syn扫描,防止Stealth FIN扫描,防止TCP Xmas Tree扫描,防止TCP Null扫描,防止UDP扫描功能静态ARP（IPMAC地址绑定）,DHCP授权AR

17、P（自动绑定DHCP分配的IP）,ARP防攻击/免费ARP,状态数据包检查防止WAN口的PingVPN支持支持VPN描述IPSec VPN有NAT支持电信入网证,3C认证其它性能支持64个VLANL2TP ServerL2TP ClientALG端口触发UPnP虚拟服务器DMZ 主机VPN透传（PPTP,L2TP,IPSec）尺寸23044mm电源100-240V功率20W工作环境环境温度:0-40境相对湿度:5-95%（非冷凝）分部路由器H3C ER5200ER5200非模块化2个3个MIPS 64位双核500Hz网络处理器64M DDR II,主频533M控制端口1个Console接口无扩

18、展插槽10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100 pps支持协议PPPoE,DHCP 客户端,DHCP服务器,静态路由,NAPT,NTP,DDNS（www.3322.org,花生壳）,VPN透传（PPTP,L2TP,IPSec）基于WEB的用户管理接口,命令行CLI,通过HTTP升级系统软件支持,通过基于IP或基于NAT表项的网络流量限速机制CE, FCC Class B,UL双WAN轻松配置/支持WAN,LAN口的MAC地址修改/支持DDNS/典型带机量:250-350台网管软件：全中文WEB配置内存：100

19、-240V AC,50/60Hz15W2.设备选型分析核心层 我们在核心层选用了两台H3C S7506-AC系列高端多业务路由交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机。它的高性能也是我们所看到的，它的背板带宽达到了1600Gbps,可以实现全线速转发。减少了数据包在核心层的拥塞。同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。极高的性价比，业务可平滑扩展升级，保护用户投资。汇聚层在企业

20、总部的汇聚层我们采用了两台H3C LS-3600系列快速智能三层交换机是华为3Com公司为充分满足高QOS保证的需求而推出的智能型以太网交换机，全线速的多层交换。48接口数目以便与接入层交换机互联，4个1000Base-X SFP千兆以太网端口扩展插槽，方便与核心层进行端口汇聚，提高更大的传输带宽。更高的性能也是我们看重的，H3C LS-3600系列交换机支持VLAN功能,支持4K个符合IEEE 802.1Q标准的VLAN,支持基于端口的VLAN和基于协议的VLAN,支持GuestVlan,支持GVRP命令行接口（CLI）配置,支持Telnet远程配置,通过Console口配置,WEB网管,支

21、持SNMPV1/V2/V3,支持QuidView网管系统,支持HGMPv2集群管理,支持系统日志,支持分级告警。多种丰富的功能方便网络管理员维护和后期管理。接入层在企业总部的接入层我们选用的是H3C S1224R系列二层交换机。它是24个10/100/1000Mbps自适应以太网端口的交换机，用它来做连接各个信息点的交换机再好不过了，可以满足对整个企业网络的终端互联。它的高性价比是我们选用它的最佳理由，作为企业最受欢迎的二层交换机，为企业也节省了不少开支，促使了企业的利益最大化。可最大限度地保护用户的已有投资。H3C SecPath F100-S是华为3Com公司面向SOHO、小企业或分支机构

22、用户开发的新一代专业接入防火墙设备。支持外部攻击防范、内网安全、流量监控等功能，能够有效的保证网络的安全；可对连接状态过程和异常命令进行检测；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN等，可以构建Internet、Intranet、Remote Access等多种形式的VPN。提高了企业的安全性，方便了企业员工后期的移动办公。主要功能：增强型状态安全过滤,抗攻击防范能力,应用层内容过滤, 多种安全认证服务,集中管理与审计,全面NAT应用支持,专业灵活的

23、VPN服务,智能网络集成及QoS保证,电信级设备高可靠性,智能 图形化的管理。6.关键技术2.1 VLAN技术根据各部门职能不同把各部门划入不同的VLAN减少了广播，提高了通信效率。VLAN（Virtual Local Area Network）就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域（VLAN）。 一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口，就要用到三层交换机。2.2 三层交换技术三层交换（也称多层交换技术，