局域网升级改造规划设计方案

1 局域网升级改造规划设计方案 1 绪论 题研究背景 众所周知，网络改变了人们的生活，网络在人们的生活中发挥了越来越举足轻重的地位，而在比如政府机关、企业、学校等部门和事业单位，局域网的建立和规划尤其受到重视和相对有了进一步的研究成果。随着二十一世纪的全球信息化、网络化，近几年世界计算机网络通信技术发展的日新月异，电子商务、网络多媒体等新一代应用改变了人们的生活。这一切都预示着网络经济的来临。 但是， 且网络设备已远远不能满足现在的网 络发展的需求 1。 题研究目的和意义 近年的网络发展，以互联网为代表的信息技术的飞速发展，改变着人们的思维、生活和行为方式，也以前所未有的广度和深度对烟草行业产生了意义深远的影响，正在逐渐地改变烟草行业的经营范围、运作模式和管理理念。确实如此，由于信息技术的高速发展，网络带来了前所未有的便利，局域网的应用也逐渐越来越受到各地区、各事业单位和有关部门的高度重视。 随着 机关单位的信息化建设也已经从简单的数据业务应用逐步发展到数据 、语音、视讯等多业务统一承载，而且 以要对 本文关于 合目前比较成熟、安全的局域网设计方案和目前比较优秀、稳定的网络设备，对 外，根据课题本身的需求再附加其他一些结构，从而保证了整个局域网系统的完整性、安全性及实用性。通过运用局域网，可 以把分布在 人们靠网络手段就能够实现信息资源共享，快速取得联系，从而达到烟草专卖局发展和管理模式的高效性、稳定性和长期性 2。这 2 样不仅可以支撑烟草专卖局信息系统的运作，共享各种资源，提高烟草专卖局办公的效率，而且还降低了烟草专卖局局域网网络规划的总体费用开支。 题研究目标 在设计一个单位的局域网的时候，首先要确定用户对网络的真正需求，并在结合现状和未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质服务。还要注意到由于逻辑上业务网和管理网必须分开，所以升级改造后的局域网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应办公环境的调整和变化。 考虑到 密性，为了保证烟草专卖局各项工作的顺利进行，保证网络的不间断运行，网络平台应具有以下一些特点： (1)高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证， 相应地在网络设计时，必须强调网络系统的备份与冗余，要求网络有较好的容错能力，整个网络能够可靠地不间断工作，以确保系统的稳定运作， 在设计中选用高可靠性 网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各个系统的正常运行。 (2)技术先进性和实用性 在保证开放性和实用性原则的基础上，在资金许可的情况下，采用先进并标准化的技术与设备，发挥网络最佳的集成效能，保证在相当长一段时间内系统整体处于先进水准。 在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到 烟草专卖局 网络应用的现状和未来发展趋势。 (3)灵活性及可扩展性 需求是不断变化着的， 根据 现有工作的处理和 未来业务的增长和变化 ，要兼顾目前的办公需求和 今后较长时期的工作发展需要，即设计时必须留有恰如其分的余量，使系统具有良好的可缩放性，确保在今后需求变化时，结构上不做或只做很小的改动 ，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和设备的调整 。 (4)可管理性 对于一个网络系统来讲，网络的管理和维护性是必需的。通过网管系统，能及时方便地了解网络的运行状况，提高网络运行效率，及时发现各种网络故障并迅速排除，以保障网络系统正常、高效地运行。在网络设备的选择上，即要考虑技术性能、市场份额、技术特色，又要权衡与原有系统整合的因素、人员的培训状况。本系统需 要完 3 整、最新而成熟的技术和产品。其各项技术应保证具有开放性、可移植性、兼容性和可扩展性 。 (5)安全性 在网络设计时，需考虑多级安全防范措施，包括路由器过滤、防火墙隔离、加密传输、身份认证等多种方法组合防护，根据不同的需要进行不同的网络安全设计，最大程度地保护整个网络系统的安全。 网络建设需求分析与发展 2 网络建设需求分析与发展 计算机网络是烟草行业电子化的重要基础设施，它是提高烟草部门工作效率，为以后实现各地区烟草部门合作的基础。因此，为了赢得更深远而持久的发展，近几年来国内各省市烟草单位纷纷将其网络的升级、改造建设列为企业 发展的一项重要基础工作 3。 公楼分布现状分析 983年 9月 ，限于当时经济发展的状况，当时的办公楼层建设只有一栋办公楼和一个仓库，可以满足当时的各项工作的需求。经过二十多年的社会经济， 以新建了一栋办公楼，并扩建了仓库设施，并将原有各部门分布和新加的办公室分布重新安排。 建筑分布主要有办公楼 1(主办公楼 )、办公楼 2、仓库，办公楼 1分布一些主要职能办公室，共 16个办公室和一个中心机房，其中中心机房和接待处在一楼，其他办公室分布在 第二至五层；办公楼 2分布一些专业部门的办公室，共 9个办公部门。 本方案在原烟草专卖局主办公楼网络规划基础上，将另外新建的办公楼的办公室的网络也接入中心机房中，从而保证 任意一个地点都可以进行信息访问。 各办公楼与仓库分布如图 2 图 2办公楼与仓库分布图 网络建设需求分析与发展 5 草专卖局信息点分布 办公楼 1 为主办公楼，主体共 5 层，其中一楼为接待处和中心机房的分布；二楼为 机关党委 、 办公室 、 财务管理处 、 审计处 办公室的分布； 三 楼 为 综合计划处、专卖监督管理处、政策 法规与体制改革处、科技处 办公室；四 楼 为 人事劳资处、监察处、卷烟销售管理处 办公室、宣传部； 五 楼 为档案室 、思想政治工作处 。 办公楼 1 信息点数和 布统计入表 2示。 表 2公楼 1 信息点数 和 布 统计 楼层 信息点 F 2 0 2F 33 14 3F 28 58 4F 22 92 5F 6 34 办公楼 2 为 业单位其他办公室所在区，主体共 4 层，其中一 楼为 安全保卫处、机关服务中心、烟草质量监督检测站 ；二楼为会议室、 离退休人员管理办公室、物流管理处 、 职业技能鉴定站 ；三楼为 烟草公司机关工会、烟草学会 ；四楼为 教育培训中心 。 另外，由于仓库的网络接入较少，可将仓库的网络接入分布办公楼 2 的一楼。 办公楼 2 信息点数统计入表 2示。 表 2公楼 2 及仓库信息点数 和 布 统计 楼层 信息点 F 22 57 2F 28 92 3F 20 34 4F 16 5 仓库 2 8 能需求分析 在南阳市烟草专卖公司网络建设中存在多用户，多服务的现状，对网络系统要求具有稳定性、高效率等，以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理，这样的分布式处理可以节省主交换引擎的消耗，并在大量的网络建设需求分析与发展 6 数据应用和数据传输的过程中，保证所有硬件设备都可以进行快速的转发，具备高背板带宽 (交换容量 )，所有端口都能保证速度转发 4。这种分布式处理可以极大地提高整体处理能力，保证了网络畅通。 (1) 采用千兆核心及核心设备的冗余，主要骨干链路采用千兆链路，百兆到桌面。 (2) 烟草专卖局局域网应将不同部门划分到不同的 保证网络安全。 (3) 应保证网络能够满足各种业务的需要，如：财务信息系统、日常工作安排系统、工作人员信息管理系统等。 (4) 随着技术的发展和业务的增长，可以通过更换或增加模块，使网络升级，网络规模和容量可以平滑增长。 (5) 要求整个网络具有高可靠性的总体设计，采用的技术是相对成熟的技术；所选用的设备具有高可靠性；采用具有高安全级别的系统软件；可以实现网络自愈。 (6) 系统的性能指标能够完全满足网络内各项业务对处理能力的要求，且便于维护与管理。 (7) 网络和主机应支持符合国际和业界标准的相关结构，能够与相关系统和网络可靠互联；系统软硬件平台应具有良好的移植能力；应选择广泛应用的标准协议，支持局域网内部的其它协议。 技术选择分析 3 技术选择分析 术 拟局域网 )是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个 用 、部门或者根据网络用户所使用的 应用程序 和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。 传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽 ， 而且对 广播风暴 的控制和网络安全只能在第三层的路由器上实现 5。 够将广播风暴控制在一个 分 于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的 网络层 )的路由来实现的，因此使用 合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时 。 另外， 便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。 议 开放最短路径优先协议，是一种常用的动态路由协议，区别于距离矢量协议 (在目前应用的路由协议中占有相当重要的地位，主要用在路由器或路由交换机之间发布路由信息 6。 成树协议 多生成树 (用修正的快速生成树 (议，叫做多生成树协议 ( 络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现 且可以弥补 既可以快速收敛，技术选择分析 8 也能使不同 而为冗余链路提供了更好的负载分担机制 7。 用于任意复杂组网，配置相对也比较简单，最简单的情况下只需要将 可以通过设置桥优先级、域信息以及端口路径开销来选择任意 发。 问列表控制 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 访问控制列表 (应用在 路由器 接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据 包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入 网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。 议 虚拟路由器冗余协议 (一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 由器中的一台。控制虚拟路由器 址的 由器称为主路由器，它负责转发数据包到这些虚拟 址。一旦主 路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 址可以作为终端主机的默认第一跳路由器。使用 好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议 ， 封装在 中发送。 议主要用在 2 台核心交换机上，本次方案中核心交换机选型为路由交换机，具备路由器的功能，通过运行 议可以防止单点故障的发生，即使其中一台交换机出现故障，也不会对烟草专卖局业务造成很大的影响，最大化的保护了网络的正常运行。 火墙技 术 防火墙指的是一个由软件和硬件设备组合而成、在 内部网 和外部网之间、专用网与公共网之间的界面上构造的保护屏障 ,是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使 部网 之间建立起一个安全网关，从而保护技术选择分析 9 内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、 包过滤 和应用网关 4个 部分 组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有 网络通信 和数据包均要经过此防火墙 8。 在网络中，所谓 “ 防火墙 ” ，是指一种将内部网和 公众访问网分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种 访问控制 尺度，它能允许你 “ 同意 ” 的人和数据进入你的网络，同时将你 “ 不同意 ” 的人和数据拒之门外，最大限度地阻止网络中的 黑客 来访问你的网络。换句话说，如果不通过防火墙， 专卖局 内部的人就无法访问 卖局 内部的人进行通信。业单位网络设计方案 4 业单位网络设计方案 络总体拓扑图 图 4X 事业单位网络结构拓扑图 在 要分为两个办公区域，分别为办公楼 1办公区和办公楼 2办公区，办公楼 1办公区是一些重要的办公室所在的区域，如财务科，机关党委处等，这些办公室是不允许办公楼 2区域的办公室的未经许可访问，而这两个办公楼区域对外网和服务器的连接是不 受限制的 9。 心层交换设计 核心层的主要目的是尽可能快地交换数据。在整个网络区域中，汇聚层和核心层在某些地方会合二为一。当汇聚层上有两个或更多子网时，就需要设计核心层来连接这些子网。核心层负责传输穿过网络区域的数据流，核心层所处理的数据流比其它层次要大很多，应当能尽可能快地传输数据流 10。核心层主要提供以下功能： (1)连接各交换区段。 (2)尽可能快地交换数据帧或数据包。 业单位网络设计 方案 11 同时，本方案要求今后的网络均按百兆到桌面的要求设计的，所以在实际运行的网络流量由于网络应用类型、网络结构、主干链 路速率、网络投资等多种因素将远不能达到这种情况下计算出来的数值，但在工程上，以上估算数值可作为网络主干或中心的交换容量的参考指标。 聚层网络设计 汇聚层位于接入层和核心层之间，汇聚层是接入层和核心层之间的分界点和通信点。这一层进行一些复杂的、消耗系统资源较大的数据包操作。接入层设备汇接到一台或者多台汇聚层设备上。汇聚层设备在接入层交换机之间提供第二层连接，同时提供第三层功能，支持路由选择和网络层服务。如果需要的话，在汇聚层还可以定义以怎样的方式对核心层进行访问 11。汇聚层必须决定用最快的方 式来处理网络服务请求。 汇聚层实现的主要功能包括： (1) (2)定义广播域和组播域。 (3)访问列表、包过滤和排序、 入层交换设计 接入层是三层模型中的最下面一层，也是和用户距离最近第一层。接入层控制用户和工作组对互联网资源的访问。接入层有时也称桌面层，大多数用户需要的资源将在本地获得，其余的远程访问数据流将由汇聚层处理。可以在这一层通过过滤或访问控制列表提供对用户流量的进一步控制 12。接入层主要实现的功能包括： (1)提供到用户的接口。 (2)提供数据链路层服务。 (3)隔离冲突域 (即 。 (4)访问控制。 由于到用户需要较多的物理接口所以接入层主要由接入交换机实现。在交换机上进行简单的配置即可完成接入层的功能。 网、 址及 划 网规划 根据第二章的需求分析，由于 业单位根据办公楼分布和办公室职能不同，将整个烟草专卖局划分为 2 个子网 13。 业单位网络设计 方案 12 (1)办公楼 1 职能办公区域子网：主要是办公楼 1 内的重要职能办公室的接入。 (2)办公楼 2 专业部门办公区域子网：主要是办公楼 2 内的专业部门办公室和 仓库的接入。 P 地址及 分 职能办公室主要位于办公楼 1中，办公楼 1共有 91个内网信息点，每一个层楼分配一个交换机，每一个办公室划分为一个 一个楼层上的 由于办公楼 1的接待处的 将一楼的办公室连接到二楼的交换机，一楼可不分配交换机，为 14。办公楼 1的 表 4公楼 1址及 分 办公部门 分配的 址 所属 属交换机 接待区 4 0 办公楼 1 二楼交换机 机关党委 4 1 办公楼 1 二楼交换机 办公室 4 2 办公楼 1 二楼交换机 财务管理处 4 3 办公楼 1 二楼交换机 审计处 办公室 4 4 办公楼 1 二楼交换机 综合计划处 4 5 办公楼 1 三楼交换机 专卖监督管理处 4 6 办公楼 1 三楼交换机 政策法规与体制改革处 4 7 办公楼 1 三楼交换机 科技处 办公室 4 8 办公楼 1 三楼交换机 人事劳资处 4 9 办公楼 1 四楼交换机 监察处 4 0 办公楼 1 四楼交换机 卷烟销售管理处 办公室 4 1 办公楼 1 四楼交换机 宣传部 4 2 办公楼 1 四楼交换机 档案室 4 3 办公楼 1 五楼交换机 思想政治工作处 4 4 办公楼 1 五楼交换机 专业部门办公室主要位于办公楼 2中，办公楼 2共有 88个内网信息点，每一个层楼分配一个交换机，每一个办公部门划分为一个 一个楼层上的 公楼 2的 表 4公楼 2址及 分 办公部门 分配的 址 所属 属交换机 安全保卫处 4 5 办公楼 2 一楼交换机 机关服务中心 4 6 办公楼 2 一楼交换机 烟草质量监督检测站 4 7 办公楼 2 一楼交换机 仓库 4 8 办公楼 2 一楼交换机 会议室 4 9 办公楼 2 二楼交换机 离退休人员管理办公室 4 0 办公楼 2 二楼交换机 物流管理处 4 1 办公楼 2 二楼交换机 职业技能鉴定站 4 2 办公楼 2 二楼交换机 业单位网络设计 方案 13 续表 4公部门 分配的 址 所属 属交换机 烟草公司机关工会 4 3 办公楼 2 三楼交换机 烟草学会 4 4 办公楼 2 三楼交换机 教育培新中心 4 5 办公楼 2 四楼交换机 服务器 址及 分如表 4示。 表 4务器 址及 分 办公部门 分配的 址 所属 务器 4 案设计特点 (1) 具备三层功能的交换网络结构 所有产品都支持第二层或第三层 (或基本 换 )功能。不仅可以进行 划分，还可以进行高速的路由转发 15。 以根据端口、子网和网络协议进行划分。支持各种常用的网络协议和路由协议。 由于每个设备都支持无阻塞的第二层或第三层交换，在交换结构中，可以达到非常好的性能，也意味着可以减少繁琐的拥塞管 理工作。 第二层意味着可以支持域网络协议无关的链路服务，用户可以是 络、 络或 T 网络，用户不需要改变他们已有的网络协议和网络地址。第三层意味着可以支持以 主要协议的网络应用，尤其是需要与其他地域互连时，由于网络链路的复杂性和多样性，要进行网络互连，必须采用高层网络协议。 第二层服务可以为网络的单个区域服务。第三层则可以为整个网络连接时提供服务。 (2) 完善的接入安全性 由于每个设备都可以支持第二层或第三层交换，因此可以提供第二层或第三层的安全控制能力。 第二层安全控制能力可 以提供端口地址过滤、端口地址锁定等功能。端口地址过滤允许交换机根据预先设定的过滤规则，允许或禁止某些第二层数据包进出交换机，也就是对上网用户的网卡 址进行检查后才能上网，不符合规则的用户将被拒绝上网。第三层安全控制能力可以提供访问控制列表能力，允许交换机根据预先设定的规则，允许或者禁止某些第三层数据 ( )进出交换机。 (3) 良好的网络隔离能力 网络较关心的问题是网络的安全性问题，他们不希望内部数据有被窃取得可能，这就使得网络必须提供类似电路的隔离功能。在本次网络升级改造规划中，采用的比业单位网络设计 方案 14 较 多的应该是 术，即虚拟局域网技术。 在 术出现以前，交换技术域网络的第二层，所有的端口到属于同一个广播域，也就是每个端口都可以收到广播信息，不管它愿不愿意。在大型的网络环境中，广播包不可避免地会引起带宽的浪费，而在 P， 境下，广播包的使用更是不可或缺。 为了解决这个问题， 术应运而生。 一部分端口模拟成为一个虚拟的广播域， 所有广播都只会在本域内发送，不会超出广播域，进一步， 的所有数据都只能被同一 成员接收，而不会被非 本 员接收。不同的 须通过路由设备进行转发 16。如果把每个区域网络划到每个不同的 ，网络之间就不可能相互通信，这就实现了逻辑隔离。由于每个区域网络都可以运行内部约定的网络协议，设定内部约定的网络参数，只要对网络设备的管理和配置严格一些，区域网络之间是绝对不可能互通的。 网络只通过某台设备上的一个特定端口访问网络，因此每个区域网络的节点连接到网络的路径可以是独立的，相互之间没有任何关系。 (4) 完善的设备安全性 华为公司的网络设备具有良好的安全性，主要包括以下几 个方面。 华为网络产品具有多冲击别的访问控制，允许系统管理员完成配置管理，同时保护系统面授非法的配置修改。用户分为三种级别：超级用户、只读用户、普通用户。超级用户具有最大权限，普通用户只能配置接口参数，并使用显示参数命令。只读用户只能阅读配置，没有任何更改权利。 通过访问控制列表，可以禁止或允许对华为网络设备的远程管理。 本地用户 远程用户拨号认证系统 或 ( 终端访问控制器访问控制系统(口令认证。 通过身份验证，可以禁止或允许 问，必要时，可以关闭 务。 通过 能，把系统事件纪录并保存下来。 (5) 良好的网络稳定性 网络的稳定性体现在当网络发生链路或设备失效时，网络能在短时间内恢复正常。对于一个运行级网络来说，稳定性与性能一样重要 16。 设备稳定性除设备的性能指标外，主要指设备的平均无故障时间 (所选用华为多款设备 标优异，优于业内同类产品。 (6) 良好的网络扩展性、先进性 业单位网络设计 方案 15 本方案采用的 C)具有冗余的插槽及接口，完全能够满足未来网络扩展之需。同时， C)支 持万兆端口，未来条件具备，只需添加相应的万兆模块即可实现主干万兆带宽。 并且，方案中三层设备均支持 合技术发展潮流，利于未来 应用和学习。 一方面堆叠带宽比级联带宽要高；另一方面管理也方便，原来要管理多台交换机，堆叠之后只用管理一台就可以了，从而保证了网络的高可扩展性。 (7) 良好的可管理性 所有华为网络产品都支持两种网络管理方式：命令行、 理。华为网络的命令行简单易用，并有帮助功能，可以进行所有的配置工作。 览器管理则采用图形界面，直观而简洁。 华为网络产品支持标准的网路管 理协议：简单网络管理协议 (远程监控协议 ( 设备选型 5 设备选型 为保证 信息系统的稳定性和高效运行，因此，应该采用主流的网络产品，在当今众多的网络设备厂商中，知名大有思科 (华为 (北电(锐捷 ( 3合考虑各家公司的发展状况、技术实力、市场占有率、产品的丰富完整等各方面因素 ，其中华为 公司是全球领先的互联网设备供应商。它的网络设备和应用方案将世界各地的人、计算设备以及网络联结起来， 具有较高的稳定 性和安全性，且使用和维护都很方便 。 所以， 本项目选择 国内知名公司华为 公司的网络设备。 换机 设备选型 络核心层设备选型 网络核心层是网络的中心，其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机，可实现高速度的交换传输，以连接服务器等核心设备 ， 并且非常可靠，实现不间断工作。 本方案 为 业单位 办公网络 核心层 选用 两台 华为 C)交换机作为核心交换机来连接各级交换机。华为 C)如图 5示。 图 5心层交换机 华为 C) 华为 C)是专为满足对千兆位密度、数据和语音集成、 扩展性、高可用性、以及主干 /分布、服务器整合和服务供应商环境中智能多层交换的不断增长的需求而设计的。这些 华为 产品共同提供了广泛的智能交换解决方案，使内部网和 够支持多媒体、关键任务数据和语音应用。华为C)提供了出色的可扩展性和性能 /价格比，能支持广泛的接口密度、性能以及高可用性选项。作为 华为 内容组网体系结构的关键组成 部分，华为C)提供了前所未有的商业灵活性，使企业能够快速部署新的 与应用智能和安全性功能结合在一起时，客户将能够在不牺牲网络性能的情况下更有效地使用自己的网络提供更多的客户机服务，如组播和企业资源规划应用 。 设备选型 17 络汇聚层设备选型 汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率 。 本方案为 业单位网络 汇聚层设备选用 两 台华为 C)。华为C)如如图 5示。 图 5聚层交换机华为 C) 华 为 C)产品具有可预测性能、高级安全性、全面管理和集成式弹性，还具有强大的扩展性，支持 音和融合，产品性能稳定强大。 用户 第一次可以在整个网络中部署智能化的服务，例如先进的速度限制、安全访问控制列表、多播管理和高性能的 由，并于此同时保持了传统 换的简便 性。通过高性能的 用基于硬件的 由和增强型多层软件镜像，基于快速转发的路由架构有助于提高可扩展性和性能，该体系结构支持极高速的搜索功能，并可确保必要的稳定性和可扩展性，以满足未来的需求。 而且， 产品支持热插拔，还具有极高的安全性，是目前部署最广泛的模块化交换机 。 该设备通过 1000成网络的高速骨干。 华为 28C)以太网交换机具有很高的性能 和 堆叠能力。通过使用增强多层软件镜像，可以提供路由、多层交换等功能，满足三层交 换的要求。可以满足服务器群的高密度、高速率的接入需要，也可以满足因特网接入的需求。这样的网络系统结构简单，同时融合了可伸缩的网络速率、性能、网络规模。 络接入层设备选型 接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的 交换机 ，它直接与外网联系，使用最广泛，尤其是在一般 办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有 10M/100M/1000 本 方 案 为 业 单 位 办 公 中 心 网 络 的 网 络 接 入 层 选 择 华 为 备选型 18 C)。 华为 2326C)如图 5示。 图 5入层交换机 华为 2326C) 华为 2326C)交换机，可以为局域网提供极佳的性能和功能。这些独立 的自适应交换机能够提供增强的组播管理特性 ， 带有 10/100/1000行链路的华为 2326C)铜线千兆位，可为中等规模的公司和企业分支机构办公室提供理想的解决方案，以使他们能够利用现有的 5 类铜线从快速以太网升级到更高性能的千兆位以太网主干。 络运维中心产品 为了实现对从外网进来的信息的安全过滤，本方案为 业单位在网络核心层选用了一台 华 为 赛门铁克 业级防火墙 。 赛门铁克 火墙如图 5示。 图 5门铁克 火墙 通过 赛门铁克 火墙， 可以实现强大的安全保护， 集强大的安全防护、防病毒、 攻击、 应用层行为管控等功能与一身，结合强劲性能优势为用户的网络安全提供非同寻常的动力。此外， 赛门铁克 火墙 多核安全网关具有的最低总体拥有成本优势及部署简单、容易维护的特点，都使它在网络安全组网方案中具有突出的优势。除此之外， 赛门铁克 火墙还具有很高的网络吞吐量和并发连接数，拥有超过 2000 的特征库，针对 业单位对网络的实际需求情况，推荐选择此款防火墙。 配置方法 6 配 置方法 置及端口划分 17 以下为办公楼 1 的 分的配置，在接入层划分 将接入层交换机端口划入相应 0 1 2 1 3 4 1 no 12 no 14 no 公楼 2 的配置和办公楼 1 的配置基本相同，但是需要注意，根据不同楼