1、某园区网络设计doc版某园区网络设计doc版 某园区网络设计doc版 GDGM-QR-03-077-B/1 Guangdong College of Industry 支持系统日志; 支持分级告警; 支持本地、远程诊断 背板带宽 280Gbps 包转发率 144Mbps MAC地址表 16K VLAN功能 支持 网管支持 可网管型 端口结构 模块化 网络标准 IEEE802.3ae, 802.1D, 802.1p, 802.1Q, 802.1s, 802.1w, 802.1X, 802.3ad, 802.3, 802.3u, 802.3x, 802.3z, 802.3af 模块化插槽 2个 内
2、存 Flash:32MB;SDRAM:256MB 是否支持全双工 全、半双工 堆叠功能 可堆叠 汇聚层交换机:H3C S5510-24P(DC) 设 备 参 数 交换机类型 企业级交换机 应用层级 三层 传输速率 10/100/1000Mpbs 交换机接口 10/100/1000BASE-T,1000Base-X SFP Combo 网管功能 支持命令行接口(CLI)配置,支持Telnet远程配置,支持通过Console口配置,支持SNMP,支持RMON1,2,3,9组MIB,支持华为QuidView网管系统,支持WEB网管,支持系统日志,支持分级告警,支持集群管理HGMP(Huawei Gr
3、oup Management Protocol) V2,支持Modem远端拨号,支持NTP,支持SSH 背板带宽 48Gbps 包转发率 35.71Mpps MAC地址表 12K VLAN功能 支持 网管支持 可网管型 端口结构 固定端口 接口数量 24个 网络标准 IEEE802.3,802.3u,802.3z,802.3ab 模块化插槽 4个 是否支持全双工 全、半双工 堆叠功能 不可堆叠 接入层交换机:H3C SOHO-S1208-CN 设 备 参 数 交换机类型 千兆以太网交换机 应用层级 二层 传输速率 10/100/1000 交换机接口 10/100/1000Base-T,RJ-4
4、5 网管功能 否 背板带宽 16Gbps 包转发率 11.9Mpps MAC地址表 8K VLAN功能 不支持 网管支持 非网管型 端口结构 固定端口 堆叠功能 不可堆叠 接入层交换机:D-Link DES-1250G 设 备 参 数 交换机类型 快速以太网交换机 应用层级 二层 传输速率 10/100/1000 交换机接口 10/100Base-TX, 1000Base-T 网管功能 Web 背板带宽 13.6Gbps 包转发率 10Mbps:14,880pps,100Mbps:148,810pps MAC地址表 4096K VLAN功能 支持 网管支持 可网管型 接口数量 50个 网络标准
5、 IEEE802.3,IEEE802.3u, IEEE802.3ab 模块化插槽 2个 堆叠功能 不可堆叠 服务器:DELL PowerEdge T100 Server (E2220/1G/160G) 设 备 参 数 服务器级别 企业级服务器 服务器类型 塔式 CPU类型 Intel 奔腾双核 E2220 二级缓存 1MB CPU Allendale(双核心) 内存类型 ECC DDR2 内存 1GB 最大内存 8GB 内存带宽/描述 DDR2 800MHz ECC 1R 主板芯片组 Intel 3200 硬盘 160GB SATA II 硬盘描述 7.2K RPM SATA II 存储控制
6、SATA 控制器 网络控制器 Broadcom 5722 千兆以太网集成控制卡 PCI扩展槽 4 显卡/显存 ATI ES1000 controller with 32MB 操作系统 Microsoft Windows Server 2008,标准版 Microsoft Windows Server 2008 64位版 Microsoft Windows Server 2003 R2 SP2标准版 Microsoft Windows Server 2003 R2 SP2 64 位版 Microsoft Windows Small Business Server 2008 x64 Microso
7、ft Windows Server 2008 x64 Small Business Standard Edition,支持OpenManage 5.5 Microsoft Windows Server 2008 HyperV Novell SUSE Linux Enterprise Server 10 x86-64;Red Hat Linux Enterprise v5 Red Hat Linux Enterprise v5.2,ES和ES x86 Red Hat Linux Enterprise v5.2,ES 保修服务 1年下一工作日上门服务 无线路由器:TP-LINK TL-WR1043
8、N 设 备 参 数 无线路由类型 SOHO无线路由器 最高传输 300Mbps 认证标准 IEEE802.11b/g/n 无线频率 2.4-2.4835 广域网接口 110/100M 局域网接口 410/100/1000M 天线 3根固定全向天线, 2dBi 安全标准 提供64/ 128/ 152位WEP加密, 支持WPA/ . 网管功能 全中文WEB管理界面 VPN功能 支持 Qos功能 支持 传输速率 270,243,216,162,108,81,54,27,135,12. 天线接口 TNC接口 防火墙功能 支持 三、网络规划 (一)、设计原则 根据本网络系统的特点和用户要求,我们的设计原
9、则是: 1、可靠性原则 采用高可靠性的设备和必要的容错措施,加强网络管理,以确保网络系统有很高的可靠性,网络易于维护。 2、先进实用性原则 采用的技术应代表目前计算机网络的先进水平。 基于Intranet 网络技术,选用与网络技术发展潮流相适应的产品,保持技术的先进性,同时也注重应用的实际需求和设备的性能价格比,并充分利用现有的资源和设备,充分保护原有投资。 3.、可扩充性原则 充分考虑采用开放的技术和产品,以保证今后进行有效的扩充和升级,这也是充分保护投资的有效办法。 4、安全性原则 认真、周全选用系统硬、软件,采取多种手段确保系统安全性。 5、可维护性和可管理性 整个信息网络系统中的互连设
10、备,应是使用方便、操作简单易学,并便于维护。 对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行。 因此,网络所选网络设备应支持SNMP协议,管理员通过网管工作站就能方便地进行网络管理、维护甚至修复。 在设计和实现计算机应用系统时,必须充分考虑整个系统的便于维护性,以使系统在万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。 6、分步实施原则 考虑到在整个公司网建设中,可以采取分期投入、分步建设和逐步投用的原则,在进行总体设计时,设计方案必须保证公司网的每一个子系统可独立建设和应用者有条件的使用,同时保证在总体系统完成建设后,各子系统可平
11、滑接入公司网主干系统,满足相关应用点无限制的使用; (二)、IP地址规划 (1)外网的IP地址段为:137.502.10137.50.2.15/24 (2)WWW服务器IP为:137.50.2.11/24 (3)MAIL服务器IP为:137.50.2.12/24 (4)打印/文件服务器IP为:192.168.2.11/24 (5)FTP服务器IP为:192.168.2.12/24 (6)数据库服务器IP为:192.168.2.13/24 (7)内网的IP地址段为:1)192.168.5.0/24 IT部 2)192.168.6.0/24 人事部 3)192.168.7.0/24 财务部 4)1
12、92.168.8.0/24 客服部 5)192.168.9.0/24 无线区 6)192.168.10.0/24研发部 7)192.168.11.0/24质控部 8)192.168.12.0/24无线区 具体的IP地址规划如下表: 设备名称 管理IP地址 IP段 管辖范围 主 楼 CISCO ASA5505-UL-BUN-K8 192.168.1.1 192.168.1.0/24 中心机房 H3C S7502 192.168.1.10 H3C SOHO-S1208-CN 192.168.2.0/24 H3C S5510-24P(DC) 192.168.3.10 192.168.3.0/24 H
13、3C S5510-24P(DC) 192.168.4.10 192.168.4.0/24 D-Link DES-1250G(1) 192.168.5.2 192.168.5.0/24 IT部 D-Link DES-1250G(2) 192.168.5.51 D-Link DES-1250G(3) 192.168.6.2 192.168.6.0/24 人事部 D-Link DES-1250G(4) 192.168.6.51 D-Link DES-1250G(5) 192.168.7.2 192.168.7.0/24 财务部 D-Link DES-1250G(6) 192.168.7.51 D-L
14、ink DES-1250G(7) 192.168.8.2 192.168.8.0/24 客服部 D-Link DES-1250G(8) 192.168.8.51 TP-LINK TL-WR1043N 192.168.9.10 192.168.9.0/24 主楼区域 科 研 楼 D-Link DES-1250G(9) 192.168.10.2 192.168.10.0/24 研发部 D-Link DES-1250G(10) 192.168.10.51 D-Link DES-1250G(11) 192.168.11.2 192.168.11.0/24 质控部 D-Link DES-1250G(12
15、) 192.168.11.51 TP-LINK TL-WR1043N 192.168.12.10 192.168.12.0/24 科研楼区域 四、Intranet平台系统设计 (一)、服务平台的建立原则 心悦园区网络有限公司信息系统服务平台根据下列原则来建立: 1、 开放性 本方案中所用的产品以及所构建的应用系统都是基于国际标准,所以可以吸收各厂家的优点,同时随着技术的进步和标准的延伸,不断吸收新的技术和新的标准。 2、可伸缩性 本方案采用的设计和产品均基于模块化设计,可根据不同需求灵活配置,并且在平台上的修改和扩充不用手工修改客户端设置。 所选的Internet/Intranet服务器产品提
16、供了很好的服务性能。 本方案支持集中和分布计算的灵活分配。 3、互操作性 本服务平台所选产品可以和其他厂家的产品通过开放标准实现互连。 4、跨数据库 数据库连接支持INFORMIX,ORACLE,SYBASE,SQLServer,DB2,以及通过ODBC支持十多种其他厂商的数据库。 5、 扩展性 由于基于标准和模块化设计,服务平台从功能、性能和服务内容上都具有扩展性。 6、 高性价比 方案中所采用的产品都是业界成熟和先进的产品,同时具有很高的性价比;各种平台服务器支持大容量用户访问,灵活的模块化设计,因而显著地提高其性能价格比。 7、 统一性 本方案在很多方面体现出统一性,包括平台管理的统一性
17、、用户管理的统一性、资源管理的统一性。 产品选择时,考虑到各种产品有机集成; 8、可靠性 服务平台具有很高的可靠性。 在方案设计时,考虑到每层的可靠性以及系统的可靠性。 包括网络层的可靠性、服务平台的可靠性、主机的可靠性;采用了HA技术、负载平衡和冗余技术、分布技术等来实现高的可靠性; 9、可管理性 本方案采用多种标准技术来完成心悦园区网络有限公司信息系统的管理。 如关系数据库技术、Java、SNMP、http、LDAP等。 支持心悦园区网络有限公司信息系统主机管理、IP和域名管理、网络服务管理、应用服务管理、应用系统管理及客户端管理。 10、可维护性 服务平台提供了系统维护工具,供系统维护人
18、员来维护和保证系统的正常运行。 五、网络安全设计 网络系统使计算机资源在广泛的地理区域内共享,具有分布广域性、体系结构开放性、资源共享性、通信信道的共同性等特点。 这些特点增强了系统的实用性,同时也带来了系统的脆弱性,网络上的许多敏感信息和保密数据难免受到各种主动的或被动的人为攻击,如信息泄露、窃取、数据篡改及计算机病毒感染等。 因此,在网络上构筑一系列完善的安全策略是必不可少的。 安全,通常是指这样一种机制,即只有那些被授权的人才能使用其相应的资源。 网络的安全性主要包括网络路由的安全性和网络信息的安全性。 对应的,网络系统安全保障的方法可以分为二大类:即以“防火墙”技术为代表的防卫型和建立
19、在数据加密、用户授权确认机制上的主动型网络安全保障系统。 前者的特征是通过在网络路由上建立相应的网络通讯监控系统(即”防火墙”)来达到安全控制的目的;而后者的特征是通过对网络数据(包括用户数据和保证网络正常运行所需的数据)的可靠加密和用户确认,实现对网络的安全保护。 公司拓扑如下: (一)、 安全需求 可用性: 授权实体有权访问数据 机密性: 信息不暴露给未授权实体或进程 完整性: 保证数据不被未授权修改 可控性: 控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段 访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交
20、换的数据进行严格的访问控制。 同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。 数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。 具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏 (二)、安全策略 1采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。 2采用各种安全
21、技术,构筑防御系统,主要有: (1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。 (2) NAT技术:隐藏内部网络信息。 (3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。 (4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。 它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。 (5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。 (6) 多层次多级别的防病毒系统:采用多层次多级别的防病毒
22、系统,对病毒实现全面的防护。 (7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。 3实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力 4建立分层管理和各级安全管理中心 (三)、防火墙技术 防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实
23、现上,防火墙是位于网络特殊位置地以组硬件设备路由器、计算机或其他特制地硬件设备。 防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。 六、综合布线 综合布线系统是一项实践性很强的技术,是现代社会信息化的必然产物,是多功能、智能型楼宇的必然要求。 综合布线系统对基于各种系统资源的大楼总体功能的发挥并保持各部门长期、高效率的运转发挥着重要的作用。 (一)、设计标准 1、布线系统标准的比较 智能建筑已经形成一种新的产业,作为其基础的综合布线系统早已制定出相应的标准,目前最具权
24、威性的标准有二个:一个是ISO11801标准,另一个是EIA/TIA568A标准。 ISO11801标准是由国际标准化组织颁布的综合布线系统国际标准,EIA/TIA568A标准是由美国电子工业协会和电气工业协会颁布的综合布线系统国家标准。 这两个标准在规范布线系统设计原理方面是相同的,但在适用的范围和技术指标方面却有所不同,具体介绍如下: 标准规范了布线系统设计的四个方面的要求,这四个方面是: (1)、系统设计所选择的传输介质必需符合标准规定,但两个标准对传输介质的适用范围的定义有所区别。 ISO11801标准既适用于屏蔽系统又适用于非屏蔽系统,也适用于光纤布线系统,而 EIA/TIA-568
25、A标准则只适用于非屏蔽系统和光纤布线系统。 如下表所示: 传输介质 用途 ISO/IEC 11801 EIA/TIA 568A 3类 UTP 语音和小于带宽10MBPS的数据传输 有定义 有定义 5类 UTP 语音和小于带宽155MBPS的数据传输 有定义 有定义 5类 STP 语音和小于带宽155MBPS的数据传输 有定义 有定义 超5类UTP 语音和小于带宽350MBPS的数据传输 无定义 无定义 62.5/125多模光纤 带宽1GMBPS的数据传输 有定义 有定义 一般认为,屏蔽系统在电磁辐射和抗干扰性方面要优于非屏屏蔽系统,它关系到系统的安全和人员的健康.在我国由于屏蔽系统的造价较高,
26、且安装较为复杂,一般只用在比较特殊的场合如:保密性要求比较高的地方或者是电磁环境较为复杂的单位。 (2)、系统的端接配件与所选择的传输介质必需匹配,同时接口必需一致,ISO11801标准和EIA/TIA-568A标准有如下区别: 传输介质 ISO/IEC 11801 EIA/TIA 568A 3类 UTP 3类非屏蔽双绞线RJ11或RJ45 3类非屏蔽双绞线RJ11或RJ45 5类 UTP 5类非屏蔽双绞线RJ45 5类非屏蔽双绞线RJ45 5类 STP 5类屏蔽双绞线 5类屏蔽双绞线 超5类UTP 无定义 无定义 62.5/125多模光纤 ST或SC ST 在接口的定义和要求方面: ISO1
27、1801标准指出3类的双绞线不能与其类型不相符的端接类型相连结,以避免造成阻抗不匹配。 ISO11801标准强调屏蔽系统的优点而EIA/TIA568A标准则没有。 在光纤传输方面,ISO11801推荐SC接口优先于ST接口。 (3)、ISO11801和EIA/TIA568A都对系统结构作了规定,它包括以下七个子系统: 工作区子系统(WORK AREA SUBSYSTEM): 由终端设备到信息插座的连线(或软线)组成,它包括:连接器、连接跳线、信息插座;信息插座有墙上型、地上型、桌上型等多种;标准有:RJ-45、RJ-11及单、双、多口等结构。 水平布线子系统(HORIZONTAL SUBSYS
28、TAM) 水平布线子系统将电缆从楼层配线架连接到各用户工作区的信息插座上,通常处于同一楼层之上,可以采用3类、5类、超5类4对屏蔽/非屏蔽双绞线;3类5类或者超5类双绞线都是由8根24-AWG的铜线组成;3类线在10MBPS应用时无误码传输距离为100米、16MBPS时为50米;5类线在155MBPS时可传输80米,在100MBPS时为100米;超5类线在155MBPS时可传输100米,速率更高时可采用光纤。 垂直干线子系统(RISER BACKONE SUBSYSTEM) 指各搂层配线架与主配线架间的干缆:可以为大对数双绞线、光缆也可以二者混用;其主要功能是将主配线架系统和各楼层配线架连接起
29、来。 布线柜子系统(RACK SUBSYSTEM) 由楼层配线架组成,其主要功能是将垂直干缆与各楼层水平子系统相连接,布线系统的优势和灵活性主要体现在布线柜子系统上,只要简单的跳一下线就可完成任何一个结构化布线系统的信息插座以对任何一个智能系统的连接,极大的方便了线路重新布局和网络终端的重新调整;光纤连接时,要用光纤配线箱,箱内有多个ST或SC连接器安装口;其线路弯曲设计符合62.5/125多模光纤的弯曲要求,光纤接头采用ST或SC型,由陶瓷、塑胶、不锈钢等材料制成,光纤藕合器可做为多模光纤与网络设备或接线装置上的连接,配线架和光纤配线箱通常设在弱电井或设备间内,用来连接其他子系统,并对它们通
30、过跳线进行管理。 设备间子系统(EQUIPMENT SUBSYSTEM) 设备间子系统由主配线架和各公共设备组成,它主要功能是将各种公共设备(如:计算机主机,PABX、各种控制系统、网络交换设备等)与主配线架连接起来,该子系统还包括雷电保护装置。 建筑群室外连接子系统(CAMPUS BACKBONE SUBSYSTEM) 本子系统是指主建筑物中的主配线架延伸到另外一些建筑物的主配线架的连接系统。 与垂直子系统类似,通常采用光纤或大对数电缆连接,它是整个布线系统的一部分(包括传输介质)并支持提供楼群之间通信所需的硬件,其中有电缆、光缆,和防止电缆的浪涌电压进入建筑物的电气保护设备。 管理子系统(
31、ADMINISTRATION SUBSYSTEM) 一个完整的布线系统工程应该包括:工程设计图纸、施工记录、测试报告、使用说明等材料,对这些材料进行整理归档交由用户保存以备系统的使用和维护。 (4)、ISO11801和EIA/TIA-568A标准对布线系统工程测试的参数及其基本要求作出了规定,但对于双绞线测试的具体参数,两个标准有较大的差别,而这些差别对布线系统工程有重要影响。 现对比如下: 参数性能 描 述 ISO11801标准 EIA/TIA-568A标准 最大长度 小于等于90米 小于等于90米 返回损耗 (Return loss) 表征布线系统工程安装后阻抗匹配性能的重要参数 最小值10DB N/A 衰减 ( Attenuation) 一个与线的长度,材质和端接工艺有关的参数。 在100MHZ时的最大值小于22DB 在100MHZ时的最大值小于22DB 近端串扰 (NEXT) 表征线缆中某一对双绞线上信号传输时对相邻线
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 