《长江商报社网络工程项目实施技术方案含组网图》.docx

1、长江商报社网络工程项目实施技术方案含组网图 长江商报社网络建设工程项目实施技术方案长江商报社网络建设工程项目组2006年8月16日版本历史Revision HistoryRevisionDateDescription1.0（2006-8-16）1. 网络需求分析长江商报社网络建设项目的预期是构建一个以千兆核心为骨干的高性能网络，由于本次网络建设是一个全新的网络的构建，在网络的构建种应该充分考虑到网络以后的可扩展性。2. 总体工程建设目标本项目主要完成网络接入层、核心层集成工程项目，把整个报社办公大楼信息点接入网络，并对上网用户实行灵活安全的访问控制。使得每个信息点上的领导和员工都能够快捷方便的

2、访问办公网络，并通过网络出口访问Internet。网络系统具体容如下：大幅度提高网络运行速度和吞吐能力，核心线路采用1000M（千兆），主干线路采用1000M（千兆），桌面独占100M（百兆），服务器设备独占1000M。按多种方式(区域和部门)进行VALN划分。网络安全系统的建立。实现网络核心交换机的高可靠性。部署局域网安全机制，保证网络安全运行和合理合法使用网络。实现网络稳定运行和动态伸缩，便于以后进行平滑的升级。机房改造和布线调整。网络系统核心骨干为1000M（千兆），主干线路为1000M（千兆），桌面接入带宽为10/100M。这样的带宽需求，对网络设计和规划提出了严格的要求，因此网络首先

3、应该是层次化结构，且核心交换机必须是高性能的、拥有极高吞吐量的企业级交换机，它不仅要满足性能的要求，而且要满足层次化网络设计的要求。为了提高交换机之间级连链路的带宽，未来可能还要用到端口捆绑技术，将两个甚至多个链路集合在一起形成一个逻辑通道，以提升级联带宽。为了提高网络性能和安全性，将一个大的二层网络分隔成若干个小的网段，以避免广播在网络中的四处蔓延以及避免风暴是必须要考虑的又一个重要环节，这样不仅能提高网络的整体性能，而且也是在局域网内实施安全性的一个重要手段，在网络技术里这种技术被称为VLAN，要实现它，必须满足以下一些条件，一个是核心交换机必须是三层交换机能提供路由服务功能，完成VLAN

4、之间的高速路由，另一个是所有参与VLAN划分的成员交换机必须支持802.1Q协议，完成整个网络跨交换机的VLAN的划分。在设计一个安全、可用的网络时，还要采用链路级冗余，在网络中引入冗于的链路后网络会出现环状结构，而当L2层网络出现环状结构后会引起广播风暴，为了避免网络环路的产生而引起的广播风暴，要求网络交换机还要支持IEEE 802.1D、IEEE 802.1S、IEEE 801.1W生成树协议族，将开销较高的链路阻塞掉，将一个物理上的环状结构计算为一个逻辑上的树状结构，当开销较低的链路失效时，重新启用已阻塞的链路，保证既实现了链路冗余又不致产生网络环路而引起广播风暴。为了支持图形、语音、视

5、频、数据等多种信息的传输特别是多媒体信息的传输，要求核心交换及分支交换机支持多种QOS、COS和802.1P优先级，保证实时性强、低延时的信息优先传输，优化网络性能。为提高网络的安全性要求网络交换设备支持多种ACL算法和应用，包括，可以按MAC地址（源和目的）、IP地址（源和目的）、IP协议（TCP/UDP）、TCP端口号（源和目的）、UDP端口号（源和目的）设置访问控制列表，访问控制列表可进行基于端口、不同VLAN之间、同一VLAN内的访问控制。为了网络管理系统的标准需要，要求网络设备支持SNMP V1/2/3版本，这样网络设备能将收集到的网络管理数据发送给网络管理软件处理。为了提高网络系统

6、的可靠性，核心网络设备必须配备双电源热冗余，保证网络系统不间断的工作。未来还可对核心设备进行升级以满足不断增长的网络需求。3. 网络整体设计方案长江商报社办公大楼网络项目采用分层次设计，本次设计是核心层、访问层的模式，考虑到以后网络的扩展，所有设备均可以满足以后的网络升级的组网需求；此外，在核心设备上配置双引擎以实现系统高可靠性。3.1 网络结构 现在流行的网络结构一般有两种：标准的三层结构设计，或简化的二层结构设计，它们内部都包括有：核心层：核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直

7、被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。汇聚层：汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。一般认为网络的控制功能应该在该层完成。接入层：我们在核心层和汇聚层（二级接入）的设计中主要考虑的是网络性能和功能性要高，那么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题。在贵单位网络系统设计中，考虑到整体系统的实用性和成本，我们按照简化的二层网络结

8、构进行设计。3.2 网络拓扑结构图3.3 设备选型说明核心层设备一台：选用华为3COM S6506R高性能多业务交换机，具体配置为：S6506R交换机交流主机一台，2+1冗余电源，Salience III 96G路由交换引擎两块，8端口千兆电口业务板两块，8端口千兆光口业务板一块，多模SFP模块八块。接入层设备八台：选用华为3COM S3952P-SI智能三层交换机，具体配置为：S3052P-SI标准版交换机八台，48个10/100Mb电口，4个千兆SFP上联口，多模SFP光模块八块。防火墙设备一台： 选用华为3COM SecPath 500F千兆防火墙，具体配置为：SecPath 500F千

9、兆防火墙一台，4个GE千兆口（其中2个电口，2个电口/光口可选）。3.4 输入供电准备目前总电源功率统计表序号设备类型设备型号单电源功率电源个数设备台数功率小计1交换机S6506R800W312400W2S3952P-SI165W16990W3防火墙SecPath 500F70W1170W4. 网络结构改造实施方案4.1 机房平面布置图4.2 设备安装示意图4.3 上架安装装配示意图4.4 VLAN及IP地址规划序号VLAN ID用途VLAN 虚拟网关地址可用地址段范围可用地址数现规划用户数所涉及的交换机端口号11000网络设备192.168.0.254/24192.168.0.1-25325

10、37-21防火墙区192.168.1.253/24192.168.1.1-2522521S6506RGE 5/0/832DMZ区192.168.2.254/24192.168.2.1-253253-43采编服务器192.168.3.254/24192.168.3.1-2532532S6506RGE 4/0/1-254病毒服务器192.168.4.254/24192.168.4.1-2532531S6506RGE 4/0/365前置机192.168.5.254/24192.168.5.1-2532531S6506RGE 4/0/476社领导区192.168.6.254/24192.168.6.1

11、-25325310S3952-710-1987财务区192.168.7.254/24192.168.7.1-2532539S3952-71-998信息中心192.168.8.254/24192.168.8.1-2532536S3952-637-42109人力资源192.168.9.254/24192.168.9.1-2532536S3952-6,S3952-7S3952-6的32-36,S3952-7的421110社委办192.168.10.254/24192.168.10.1-2532536S3952-6,S3952-7S3952-6的27-31,S3952-7的411211广告192.16

12、8.11.254/24192.168.11.1-25325328S3952-6,S3952-7S3952-6的1-26,S3952-7的39-401312发行192.168.12.254/24192.168.12.1-25325329S3952-54-17,21-23,37-481413策划192.168.13.254/24192.168.13.1-2532537S3952-732-381516采编办公192.168.19.254/22192.168.16.1-19.2531015223S3952-1,S3952-2,S3952-3,S3952-4,S3952-7S3952-1到4的所有的以太

13、电口,S3952-5的1-3,18-20,24-36，S3952-7的20-314.5 设备连接表本端设备对端设备序号设备名称端口号VLAN IDIP地址设备名称端口号VLAN IDIP地址1 华为3COM S6506RGE 3/0/1Trunk-S3952P-SI-1GE 1/1/4Trunk-2GE 3/0/2Trunk-S3952P-SI-2GE 1/1/4Trunk-3GE 3/0/3Trunk-S3952P-SI-3GE 1/1/4Trunk-4GE 3/0/4Trunk-S3952P-SI-4GE 1/1/4Trunk-5GE 3/0/5Trunk-S3952P-SI-5GE 1/

14、1/4Trunk-6GE 3/0/6Trunk-S3952P-SI-6GE 1/1/4Trunk-7GE 3/0/7Trunk-S3952P-SI-7GE 1/1/4Trunk-8GE 3/0/8Trunk-S3952P-SI-8GE 1/1/4Trunk-9GE 4/0/13192.168.3.254/24采编服务器1本地连接1untaged-10GE 4/0/23192.168.3.254/24采编服务器2本地连接1untaged-11GE 4/0/34192.168.4.254/24病毒服务器本地连接1untaged-12GE 4/0/45192.168.5.254/24前置机本地连接1

15、untaged-13GE 5/0/81192.168.1.253/24SecPath 500FGE 0/11192.168.1.254/244.6 交换机相关配置1.每台交换机上都配置管理网络设备VLAN，设置IP地址网段为192.168.0.0，子网掩码是255.255.255.0。2.通过划分不同的VLAN，实现隔离广播域，控制广播流量在最小范围之内。3.核心S6506R交换机上配置全部的VLAN，并配置GVRP（动态VLAN注册协议），使其下联的接入交换机能学习到VLAN信息。4.每台S3952P-SI接入交换机上配置GVRP（动态VLAN注册协议），使其能学习到上联的核心S6506R交

16、换机上VLAN配置信息。5.核心交换机和接入交换机之间的光纤设置为Trunk类型链路，允许多个VLAN传输。6.服务器设备通过千兆双绞线直接和核心交换机S6506R互连。7.通过配置访问控制列表，实现各用户VLAN之间的访问控制，对采编服务器等重要应用设备的访问管理，如只允许采编人员可以访问采编服务器和前置主机。8.核心交换机和防火墙通过互连VLAN方式连通，缺省路由指向防火墙端口。9.前置机用来和远端的印刷厂主机互连，实现采编数据最后的传送印刷，前置机和采编服务器放置在一个VLAN内。4.7 核心交换机HA冗余引擎部署4.7.1 HA技术介绍S6506R交换机支持 HA（High Avail

17、ability）特性。HA特性实现系统的高可靠性，在主控板发生故障时，可以快速、准确恢复系统的正常运行，从而增强系统的 MTBF（Mean Time Between Failure），即平均故障间隔时间。 HA特性是主控板单板的一个特性。交换机有两块主控板单板，工作在master-slave 备份模式，即一块工作在master模式，为主控板，一块工作在slave 模式，为备用板。当主控板发生故障时，主备倒换将自动进行。备用板将自动连接并控制系统的 BUS，同时原来的主控板将断开和系统 BUS 的连接。主备倒换完成后，备用板将成为主控板，而原来的主控板将重新启动成为备用板。因此，即使主控板故障，

18、备用板也能迅速取代它成为主控板，保证S6506R交换机的正常运行。 S6506R交换机支持主控板和备用板的热拔插。主控板的热拔插将引起交换机的主备倒换。S6506R交换机支持手动的主备倒换。用户可以使用命令来手动的改变主控板和备用板的模式。在S6506R交换机上，备用板上的配置文件是从主控板上拷贝过来的。这样，当备用板取代主控板后备用板可以在和原来系统相同的配置下运行。S6506R交换机支持两个单板上配置文件的自动同步。当系统的配置发生改变时，当前的主控板在保存配置文件时会同时备份配置文件到备用板上，保证二者的配置一致。用户可以使用命令手动的同步主控板和备用板的配置文件。 另外，S6506R交

19、换机能够监控电源和系统的工作环境，在故障发生时发出告警，避免故障的继续扩大，保证系统安全的运行。4.7.2 配置说明1.HA配置包括内容手动设置备用板重新启动，允许或禁止强制倒换，手动执行主备倒换，打开/关闭系统主备自动同步开关，手动执行配置文件的同步。2.手动设置备用板重新启动当备用板正常运行时候，用户可以使用命令手动重新启动备用板。 请在用户视图下进行下列配置。3.允许或禁止强制倒换用户可以根据需要将S6506R交换机配置为允许手工强制倒换或者禁止手工强制倒换。 请在系统视图下进行下列配置。4.手动执行主备倒换当备用板正常运行，并且主控板进入实时备份状态之后，如果用户希望备用板成为新的主控

20、板来保证系统的运行，可以通过命令手动的进行主备倒换。当主备倒换完成后，备用板将成为新的主控板控制系统的正常运行，原来的主控板将自动重新启动。 请在用户视图下进行下列配置。5.打开/关闭系统主备自动同步开关系统提供自动同步功能，只要同步开关打开，当系统配置改变时，主控板保存配置文件的同时，也将配置文件备份到备用板，以保证主备配置的一致性。 用户可以通过以下的命令来打开/关闭系统主备自动同步开关。 请在系统视图下进行下列配置。6.手动同步配置文件S6506R交换机可以自动同步主控板和备用板的配置文件。如果用户希望手动同步主控板和备用板的配置文件，可以通过命令手动的将主控板上的配置文件备份到备用板上

21、。 请在用户视图下进行下列配置。5. 防火墙设备实施5.1 SecPath 500F防火墙介绍Quidway SecPath 500F防火墙是华为3Com公司面向大型企业用户开发的新一代专业千兆防火墙设备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能，能够有效地保证网络的安全；采用ASPF状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2

22、TP VPN、GRE VPN、IPSec VPN、SSL VPN和华为动态VPN等，可以构建Internet、Intranet、Remote Access等多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略；提供双机状态热备功能，支持Active/Active和Active/Backup两种工作模式，实现负载分担和业务备份。设备类型:专业级防火墙转发速率：1000Mbps3DES性能：250Mbps最大会话连接数：1,000,000条每秒新建会话连接数：20,000条/秒是否支持VPN:支持VP

23、N通道数：1,000条接口配置：4GE5.2 部署说明1.SecPath 500F防火墙作为整个公司访问Internet的路由转换设备。2.防火墙上标准配置4了百兆/千兆自适应电口，这次使用了2个接口，连接分配为：GE 0/0口连接电信ISP提供的10Mb光纤宽带；GE 0/1口连接核心交换机S6506R。3.按照优先级的高低，配置整体访问权限。设置GE 0/0为Untrust区，优先级为默认的5；设置GE 0/1口为Trust区，优先级为默认的85。4.不允许处于低优先级的网络主机直接访问到高优先级的内网区域，对访问管理进行严格的控制监管。5.在防火墙上配置NAT功能，实现内网用户可以正常访

24、问Internet。6.针对常见黑客攻击配置相应的特性功能，阻止这些攻击影响内网。7.在防火墙上配置“关键字过滤”、“网页内容过滤”等，严格过滤非法内容。8.在防火墙上配置端口映射功能，可以把内网的部分服务器主机映射到公网，使Internet外网用户可以正常访问这些主机提供的服务。这个功能可选。9.可以在防火墙上配置L2PT VPN拨号，实现外网授权VPN用户如移动笔记本用户等拨号到商报社内网后，在相应授权的前提下正常访问内网部分应用服务。这个功能可选。6 测试大纲6.1 机箱安装验收验收目的验证网络产品的机箱安装符合要求预置条件无测试过程机箱安装完毕后，在机箱内整体是否牢固。机箱安装完毕后清

25、理现场，是否遗留工具或杂物。机箱安装完毕后，机箱内是否清洁，是否遗留杂物。机箱表面是否干净整洁，外部漆饰完好，各种标志正确、清晰、齐全。机箱安装完成时，机箱及各单板是否有多余或非正规的标签。各空挡板及各空单板条是否安装完整。机箱及空挡板的固定螺钉是否紧固，符合安装要求。各单板的面板螺钉是否松紧适度，弹簧钢丝是否完好。机箱的承重托盘是否水平，与机箱的固定螺钉是否配合良好。走线挡板安装是否稳妥。暂时闲置的光口是否加有护套。所占用端口是否规则有序，是否便于将来扩容。6.2 系统上电验收目的验证网络产品系统上电正常预置条件网络设备电源、各单板及机箱连接正确测试过程确认插座连接无误，打开电源开关。预期结

26、果各单板指示灯正常显示。风扇正常运转。电源开关正常。测试说明在操作终端与网络设备连接正常的情况下，在操作终端上执行display device命令可以查看各单板、风扇、电源等的运行情况是否为Normal状态。6.3 串口登录验收验收目的验证网络产品Console口功能正常预置条件网络设备主控板的Console口与终端计算机串口连接正确。启动计算机的Windows操作系统，进入超级终端，设置连接参数：波特率为9600bps，无奇偶校验，8位数据位，1位停止位，无流控。终端仿真类型设为VT100或自动检测。功能键、箭头键和Ctrl键的类型设置为终端键类型。ASCII码设置中的ASCII码接收选项选

27、为：将超过终端宽度的行自动换行。网络设备正常启动。测试过程在连接网络设备主控板Console口的计算机的超级终端中键入回车字符。预期结果回车后超级终端应出现命令提示符，可进行命令操作及网络设备配置。测试说明无6.4 Telnet登录功能验收验收目的验证网络产品Telnet功能正常预置条件正确连接网络设备和PC机的以太网口。通过超级终端正确配置网络设备以太网接口的IP地址。配置各PC机的IP地址，使各PC能够正常Ping通网络设备上各个相应接口的IP地址。在网络设备上正确配置Telnet参数。测试过程PC1上启动Telnet客户端程序，从网络设备主控板上的以太网接口登录网络设备，执行配置命令。P

28、C2上启动Telnet客户端程序，从网络设备接口板上的以太网接口登录网络设备，执行配置命令。预期结果步骤1、2的Telnet均执行成功，可以配置网络设备。测试说明无6.5 以太网帧格式验收验收目的验证网络产品支持三种以太网帧格式封装的功能预置条件网络设备与终端计算机连接正确。将两网络设备接口板的以太网口使用交叉网线直接相连。配置网络设备，使以太网口正常工作。测试过程在网络设备接口视图下将接口板的以太网口的帧格式依此更改为：ethernet_II、ethernet_SAP、ethernet_SNAP，期间使用display interface interface-name命令进行查看。在两网络设

29、备上互相ping对方的相应端口地址。预期结果可以看到与配置对应的封装类型的显示。互ping均能够正常ping通对端。测试说明本测试用例的封装为发送报文的封装，对于接受报文不进行限制。即任意封装类型的以太网帧都能够被网络设备识别。6.6 静态路由的基本功能验收目的验证网络产品静态路由的基本功能预置条件两网络设备通背靠背连接正确。RTA、RTB网络设备的相连端口配置正常的IP地址，互相正常ping通。测试过程在RTA上配置一个loopback接口。在RTB网络设备上通过display ip route命令查看路由；在RTB上ping RTA的loopback地址。在RTB网络设备上配置目的地址为RTA的loopback地址的静态路由，重复步骤2。预期结果步骤2中，看到没有到RTA的loopback地址的路由，且无法正常ping通RTA的loopback地址。步骤4