基础网络解决方案.doc

.基础网络解决方案2017-11-21目录前 言31.需求总述41.1网络结构描述:41.2客户需求42.网络方案总设计52.1 方案设计的依据52.2 网络方案拓扑图62.3 基础网络边界62.4 网络核心层82.5 网络接入层83.整体解决方案详细设计93.1网络边界接入93.2网络核心层113.3网络接入层134.设备明细表155.设备规格参数165.1 PRO-4100165.2 GSM7324性能参数175.3 FS752TS性能参数20前 言感谢提供一次同北京公司合作的机会，并很荣幸地为贵公司数据业务系统建设提供全面网络解决方案。在贵公司目前的网络现状以及数据综合业务建设需求的基础上，结合当前先进实用的网络技术以及技术选型的基本原则，我们提出了高性能的一体化解决方案。方案中采用了当今业界成熟的、高性能的网络设备，不仅满足了对高先进性、可用性、可靠性、高安全性、高性能、易于扩展等的需求，更降低了用户的风险，保障了用户的利益。作为业界的专业网络安全厂商，北京公司在产品、解决方案和人员等方面的投入是用户成功的保障，不仅如此，北京更以其高性能价格比的全面解决方案而蜚声全国。北京公司将是你的最佳的合作伙伴。有关本方案的任何问题，欢迎您随时与北京公司联系。北京1. 需求总述1.1网络结构描述:基础信息节点共406节点1.2客户需求基础网络: 要求百兆链路接入终端.网络核心交换与网络接入均为千兆链路.对整体网络边界要有一个基础安全防护,如防护DOS攻击和DDOS攻击等四层以下的攻击,支持NAT,路由,并且支持IPsecVPN. 2.网络方案总设计2.1 方案设计的依据根据用户网络工程具体的技术要求，参照典型IP交换网的设计模式及原则，以采用先进成熟性技术手段为设计思路，充分发挥产品技术优势，结合最新网络技术发展，我们设计了以千兆位以太网交换技术为骨干，采用NETGEAR GSM7324新一代三层全千兆交换机产品的网络工程解决方案。（1）设备的先进性与成熟性当今世界，通信技术和计算机技术的发展日新月异。本方案适应新技术发展的潮流，既兼顾了技术上的成熟性，同时也保证了系统的先进性。（2）系统的开放性系统在设计时均采用国际标准协议。网络管理基于SNMP，支持v1/v2c/v3等三个版本，并支持RMON和RMON2。（3）性能可扩展性首先在保障所有设备均可满足用户的目前需求，其次，又能轻松扩展以保障用户的将来升级。（4）高性能采用高性能的Layer2和Layer3交换机以及高性能路由器，提供线速交换和路由。采用线路捆绑和高带宽骨干链路以及负载分担技术，保证整个网络负载均衡，不存在瓶颈。（5）安全性、可靠性设计方案不但要保证理论上可行，更重要的是实际上可用。要充分考虑具体情况，充分满足网络需求。为了使网络可靠地运行，本方案选用了高品质、高性能价格比的产品，把故障率降到最低。同时，我们采用了环状链接系统容错技术，当分支网络系统内某一点出现故障时，整个系统能快速的切换过来，仍然能够继续运行而不会造成停机，从而把损失降到最小，消取网络单点故障。（6）一体化的网络管理随着网络规模的扩大和系统复杂程度的增加，网络管理和故障排除就变得越来越困难。本方案将提供先进而完善的网络管理工具，包括设备级的管理和应用级的管理。（7）从实际出发本着从实际情况出发，采用先进的网络技术，建立一个高速、宽带、扩充性能良好的计算机网络系统。2.2 网络方案拓扑图网络设计思路说明：2.3 基础网络边界在网络的接入部分采用一台SonicWALL-PRO4100-UTM防火墙。SonicWALL-PRO4100拥有10个10/100/1000 Mbps自适应以太网接口 (1 x LAN, 1 x WAN, 和 8x 自定义端口)，支持路由协议，双WAN,多WAN链路备份，NAT等功能，阻挡DOS，四层以下的攻击， VPN支持4000个VPN点到点策略。ISP Failover & Load balancing链路备份及负载均衡随着计算机技术的发展，互联网已经成为最大的公共数据网络，在全球范围内实现并促进了个人通信和商业通信。互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。越来越多的通信都通过电子邮件进行；移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络；而在互联网上通过WWW方式完成的商业贸易现在已经成为企业收入的重要组成部分。随着互联网的应用越来越多，带宽成为互联网应用的瓶颈，很多公司增加连接互联网的带宽，同时为了避免出现单点故障，所以会考虑采用双ISP线路。SonicWALL PRO 4100提供并且可自定义多达两个WAN口，支持两条ISP互联网接入线路，并提供线路备份及负载均衡，更大的优化网络接入的安全性，经济、有效的保证企业实时在线。ISP Failover支持“active-passive” 线路备份架构；load balancing支持 “active-active”均衡负载架构。利用SonicWALL PRO 4100多端口特性，更有效地防止重要的企业资源受到威胁，所有接口都支持防火墙拒绝服务和攻击的防御功能，保证不受内部和外来的的威胁。2.4 网络核心层 核心层采用一台GSM7324为高密度的千兆接口接入提供了4个小型的可热插拔（SFP）千兆端口用于光纤连接，24个的自适应10/100/1000 Mbps 端口用于铜缆连接。采用一台核心设备可以实现对整体网络高速流量交换。整个与核心交换机采用千兆电口与接入层相连接，强健的安全特性包括 IEEE 802.1x 基于端口的安全认证和高级访问控制列表ACL等功能特性，确保只有认证过的用户才能访问你的网络。2.5 网络接入层信息节点共406个, 接入层推荐使用FS752TS,FS752TS拥有 48个10/100M 端口自适应, 4个10/100/1000M千兆铜缆RJ45端口自适应, 2个SFP GBIC光纤模块插槽。接入层推荐使用FS752TS（9台）。接入层的交换机也采用千兆电口与核心交换机相连接，FS系列为智能交换机。安特性加入了802.1x安全，端口流量限速（rate limiting），端口和MAC锁定以及第三层优先级别区分等高级安全功能性。这些特性可以为用户提供灵活接入控制方式。3.整体解决方案详细设计3.1网络边界接入防火墙采用SonicWALL-PRO4100-UTM防火墙，SonicWALL-PRO4100拥有10个10/100/1000 Mbps自适应以太网接口 (1 x LAN, 1 x WAN, 和 8x 自定义端口)，支持路由协议，双WAN,多WAN链路备份，NAT等功能，阻挡DOS，四层以下的攻击， VPN支持4000个VPN点到点策略。虚拟专用网(VPN)VPN（Virtual Private Networking 虚拟专用网）就是在公共网络基础上（Internet）利用安全、认证、加密等技术建立企业的专用线路，也就是一个安全的网络隧道（TUNNEL）,在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN 虚拟专网，是一个通过利用公用基础网络为企业各部门提供安全的互联网服务，它可以提供与昂贵的专线（DDN）类似的安全性，可靠性，可管理性和优先级别，可构筑于IP网络，帧中继网络和ATM网络上。通过VPN功能， SonicWALL VPN安全地将公司的各个办公地点、移动和远程办公者、商业伙伴连接在一起。 SonicWALL VPN使用数据加密，使两个或更多的点或LAN之间通过Internet实现安全通信，而无需昂贵的专线。可通过IP地址或动态域名（DDNS）建立VPN。Sonicwall VPN采用IPSec协议标准，可与其他执行IPSec标准的VPN产品共同使用，如AXENT RAPTOR、Check point的Firewall-1、CISCO PIX等。加密方法有56 位的DES、168位的3DES、56位的ARC4和最新的AES-256位加解密。VPN 客户端(软件)VPN 客户端视为用户创建全面的远程、移动用户接入解决方案。SonicWALL的Global VPN Client软件能够帮助移动工作者提高效率，使他们在任何地点、任何IP网络环境中，都可以通过宽带、无线或是拨号上网的方式灵活、安全地接入到公司网络。移动用户只需键入一个主机名或IP地址，VPN的配置信息就会自动地从SonicWALL VPN 网关上下载并进行连接。此外，与目前一些不易安装和管理的VPN客户解决方案相比，Global VPN Client的自动策略提供功能还可以为终端用户提供更清晰的安装过程，从而减轻网管员的负担。自动策略提供功能是SonicWALL的独创技术，IT管理员能够用它维护并更新群组的安全策略，以响应业务变化的需求，而无需对每一个终端用户的安全策略逐一进行手动调节。当用户尝试进入VPN 时，SonicWALL的网关会自动识别每一个用户，然后为他分配一个加密的安全策略。通过认证的用户能够使用最新的安全策略及时、安全地接入VPN，而未被认证的用户则会被阻挡在网络之外，SonicWALL这一独创的系统大大地减轻了管理员的工作量，减少了用户的配置错误，使SonicWALL解决方案成为有效创建群组VPN的首选方案。 3.2网络核心层 主要特性：24个10/100/1000Mbps铜缆RJ-45端口（所有端口支持自协商和MDI/MDIX线缆自适应） 4个SFP插槽端口与最后4个10/100/1000M铜缆RJ-45端共享使用 提供三层路由：线速的IPv4路由，每交换机支持多达512条路由表项，VRRP（虚拟路由冗余协议）ICMP，RIP v1和RIP v2路由信息协议，OSPF v2最短路径优先动态路由协议，并且还具有DHCP / BOOTP的中继能力。 提供了二层交换：端口捆绑（链路聚合），广播风暴控制，广泛的VLAN虚拟局域网支持（基于端口、基于802.1Q Tag、基于第三层协议等），IGMP侦听，快速生成树协议等。 GSM7324三层千兆路由交换机现在你可以用低廉的价格享有千兆的全三层特性了！NETGEAR高性能多功能的千兆路由中心交换机GSM7324是NETGEAR公司针对用户对三层至多层交换的需求而专门设计的一款高性能千兆智能中心交换机。产品具有灵活的端口配置、丰富的二层交换、三层路由、服务质量管理等功能、良好的高可用和高可靠性，为中小规模商业网络用户的中心交换机或大型企业的部门交换机，服务器聚集交换机等需求提供了完整而全面的智能解决方案。结合NETGEAR公司700系列可网管二层千兆交换机、可网管二层10/100M工作组交换机，NETGEAR公司提供为用户提供完整的高性价比交换解决方案。GSM7324可代替昂贵的路由器来分段你的网络，并为基于IP的服务奠定了基础。三层路由结合服务质量、带宽控制以及访问控制等特性，保证了VoIP电话、视频会议和其他节省费用的应用能顺利运用起来。GSM7324千兆路由交换机提供了二层交换、三层路由、服务质量管理等各方面最为完整的软件功能特性。如：路由：线速的IPv4路由，每交换机支持多达512条路由表项，VRRP（虚拟路由冗余协议），ICMP，RIP v1和RIP v2路由信息协议，OSPFv2最短路径优先动态路由协议，并且还具有DHCP / BOOTP的中继能力。 交换：端口捆绑（链路聚合），广播风暴控制，广泛的VLAN虚拟局域网支持（基于端口、基于802.1Q Tag、基于第三层协议等），IGMP侦听，快速生成树协议等。 服务质量(QoS)：DiffServ（区别服务），完整的访问控制列表以及带宽控制等。 强健的GSM7324提供24个10/100/1000Mbps铜缆RJ-45端口（所有端口支持自协商和MDI/MDIX线缆自适应），4个小巧灵活的SFP插槽（需另外购买千兆光纤SFP模块），4个SFP插槽端口与最后4个10/100/1000M铜缆RJ-45端共享使用。灵活的端口配配置为用户组建网络带来了最大的灵活性。方便的网络管理GSM7324提供最为方便和简易的安装配置与使用。提供图形化的基于浏览器（HTTP）的配置管理方式。同时可通过Console或Telnet提供方便易用的命令行配置界面。交换机的配置文件可通过TFTP程序进行上传和下载，极大地方便用户的使用。丰富的SNMP v1/ v2c /v3和RMON（1,2,3和9组）的支持为交换机通过集中的网管软件进行管理带来了方便。灵活性完整的软件特性为用户在任何网络当中使用交换机提供了强大的功能保证。如可通过RIP路由信息协议为中小型的网络，而通过OSPFv2最短路径优先动态路由协议为大型、复杂的网络提供了方便灵活的选择。经济性富有竞争力的价格为你在平衡资金预算的前提下加速你的网络吞吐量提供了好的选择。IU的高度设计的GSM7324完整的产品交换包装中有机架工具套件、Console电缆、和电源线。 3.3网络接入层 FS752TS关键特性 单一IP地址管理，最大可堆叠6台交换机（最多192个10/100M端口） 48个10/100 Mbps端口 4个10/100/1000 Mbps铜缆千兆端口 2个小型可热插拔（SFP） GBIC光纤模块插槽 可网管智能交换机特性加入了802.1x安全，端口流量限速（rate limiting），端口和MAC锁定以及第三层优先级别区分等高级安全功能 SNMP v1，v2c，v3支持，使用NETGEAR NMS100网管软件使网络更优化。 为成长型的商业/企业网络度身定制的堆叠式，可网管安全智能交换机！NETGEAR扩展了它的屡获大奖的 ProSafe 智能交换机产品线，具有了可堆叠的， 10/100M下一代安全智能交换机。这ProSafe可堆叠的安全智能交换机增加了经济的，具有更强劲管理特性的、模块化可扩展的灵活性，给予你容易的使用，为你的商业/企业的无线 AP，VoIP 电话，摄像头和其他应用提供高速的数据传输，基于以太网线的供电的高性能智能交换机。两个千兆以太网端口通过小型可热插拔（SFP）GBIC插槽为远距离高速连接提供了可选的光纤连接性。一个 4Gbps、双环、弹性的冗余堆叠体系结构，提供了高可靠性。最大可混合堆叠六台单元设备，最大192个10/100M端口并通过单一IP地址管理！基于 WEB 浏览器的配置界面的智能交换机管理相当方便，可监测瞬间的堆叠性能，端口配置，甚至能更容易的设置端口聚合，VLAN 和传输优先级。另外，这 ProSafe 可堆叠的安全智能交换机通过增加 802.1x 安全，SNMPv2/v3 支持，日志，流量限速（rate limiting）和第三层优先级别区分，扩展了目前ProSafe可网管智能交换机的功能特性。什么是适合企业购买的可堆叠网络交换机的设计和价格呢？ NETGEAR ProSafe 可堆叠，安全智能交换机是款超值的交换机，是专门为成长型商业/企业所设计它们是容易使用和可购买的，具备你所需的所有特性。灵活的伴随你商业/企业的成长扩展你的网络，通过堆叠他们来增加你的交换机。使用 PoE 网线供电端口可简单地部署无线访问点 AP，VoIP电话和 IP 摄像头。强大的当你增加了更多的服务器，或大数据量的用户，千兆端口提供了高速的连接性。使用铜缆，或两个 SFP GBIC 光纤插槽提供了为远距离连接提供了可选的光纤连接。这无阻塞的交换机设计为所有端口提供了并发的，全线速的，低延迟的吞吐量。先进的特性单元为成长型商业/企业提供了安全，可靠性，优先级，和监控性能。可靠的所有 Prosafe 可堆叠安全智能交换机都具有1年的产品保修。冗余的堆叠特性设计提供了最大的可用性。容易使用的能容易的从一个单元设备的 Web 管理配置界面来配置所有堆叠组中的可堆叠智能安全交换机。也可选择使用 ProSafe 网管软件（NMS100）和其他基于SNMP的管理软件来进行管理。拆箱后直接堆叠它们，无需额外的管理配置。4.设备明细表产品名称描述数量单价合计PRO4100UTM防火墙提供网络接入，双链路负载均衡，阻挡来自外部网络的攻击。10个10/100/1000 Mbps 以太网接口，同时带有NAT，路由器,VPN多种功能。1台GSM7324网络三层核心交换24个10/100/1000M铜缆RJ-45端口 4个1000Base-X SFP插槽 1台FS752TS接入层的交换机48个10/100M 端口（MDI / MDIX 自适应） 4个10/100/1000M千兆铜缆RJ45端口（MDI / MDIX 自适应） 2个SFP GBIC光纤模块插槽9台5.设备规格参数5.1 PRO-4100PRO 4100适合大型企业，网站、大型行业用户和需要高速VPN的企业，它有10个千兆以太网口，可以应用在复杂的网络中，目标是400以上用户的公司和需要大流量VPN的公司 。 重要性能指标 带加密处理器的Intel处理器 512MB 内存 64MB 闪存 10个 10/100/1000 Mbps自适应以太网接口 (1 x LAN, 1 x WAN, 和 8x 自定义端口) 无用户限制 600,000个TCP/IP并发连接数 状态检测防火墙吞吐量800 Mbps（双向） 3DES and AES 吞吐量300Mbps 3DES 和 AES 加密 / 解密采用ASIC处理器 3,500 个site-to-site VPN 隧道 5,000 个client-to-site VPN 隧道 赠送 1500 个 Global VPN Client 支持 H.323 v1-5 and SIP VoIP 协议 支持802.1Q Vlan协议和动态路由协议（RIP、OSPF）5.2 GSM7324性能参数GSM7324 交换机主要技术规范如下表：产品名 ProSafe 24口三层全网管千兆交换机订货号 GSM7324 网络协议和标准兼容 IEEE 802.3 10BASE-T IEEE 802.3u 100BASE-TX IEEE 802.3z 1000Base-SX IEEE 802.3ab 1000BASE-T IEEE 802.3x流量控制 IEEE 802.3ad（LACP）链路聚合控制协议 IEEE 802.1v Protocol VLAN及Port VLAN IEEE 802.1d STP生成树协议 IEEE 802.1w快速生成树协议 IEEE 802.1s Multiple Spanning Tree多域生成树协议 IEEE 802.1x基于端口的安全访问控制管理规范 IEEE 802.1Q静态VLAN IEEE 802.1p Class of Service（CoS） IEEE 802.1D生成树协议 RFC 768 UDP RFC 854-859 Telnet RFC 1057 RIP IGMP Snooping支持 端口镜像 RFC 1157 SNMP RFC 1757 RMON groups 1,2,3, and 9 RFC 1534 DHCP and BootP Interoperation RFC 1583 OSPF v2 - RFC 2131, 2132 DHCP and BootP RFC 2236 IGMP v2 RFC 2328 OSPF v2 RFC 2338, 2787 VRRP RFC 2453 RIP v2 RFC 2998 DiffServ Private Enterprise MIB 广播风暴控制系统参数 VLAN数量 :512 最大VLAN ID: 4069 802.1p流量优先级数量: 8 trunk数量: 6 路由数量：512 可路由VLAN数:128 ACL规则（和条目）: 100条ACL，每条8个规则 DiffServ队列: 8 用户界面 通过控制台端口提供命令行界面 通过嵌入式HTTP服务器提供基于Web的管理 Telnet远程登录接口 24个10/100/1000M铜缆RJ-45端口 4个1000Base-X SFP插槽 RS-232 指示灯 每端口：速度、连接、活动 每交换机：电源、风扇状态性能规范 转发模式：存储和转发 背板带宽：48Gbps 包转发率：71.4Mpps 网络延迟：64字节帧延迟不到20微秒 系统内存：128MB 缓冲区内存：每端口内置的2M缓冲内存 Flash 闪存：16MB 寻址：48 位MAC地址 噪声：（ANSI-S10.12）60 dB 散热：276.53 Btu/hr 平均无故障时间（MTBF）：166,600小时（大约19年） 地址数据库大小：16,128个MAC地址物理规格 尺寸：440 x 385 x 43 毫米（17.3 x 15.16 x 1.7 英寸） 重量：5.5 公斤（12 磅）环境规范 工作温度：0- 40C （32 - 104F） 存放温度：-20- 70C (-4- 158F) 工作湿度：最大相对湿度90% ，无冷凝 存放湿度：最大相对湿度95% ，无冷凝 工作高度：最大10,000 英尺（3,000 米） 存放高度：最大10,000 英尺（3,000 米）电源功耗 最大功耗:81W安全 CE标志，商业 CSA认证（CSA 22.2 #950) UL列表（UL 1950）/CUL IEC950/EN60950 - IEC 950/EN 60950电磁辐射 CE标志，商业 FCC Part 15 Class A VCCI Class A EN 55022 (CISPR 22), Class A C-Tick 电磁免疫 EN 50082 -1 EN 55024 保修 1 年有限保修模块 ProSafe AGM731F 1000BASE-SX SFP模块 ProSafe AGM732F 1000BASE-LX SFP模块 ProSafe AGM733 1000BASE-ZX SFP模块包装内容 ProSafe24层全网管千兆交换机GSM7324 控制电缆 机架套件 安装指南 资源CD 保修/支持信息卡5.3 FS752TS性能参数FS752TS 主要技术规范如下表：产品名48端口堆叠式安全智能交换机订货号 FS752TS网络协议和标准 IEEE 802.3 10BASET IEEE 802.3u 100BASETX IEEE 802.3ab 1000BASET IEEE 802.3z 1000BASEX IEEE 802.3x 流量控制 网络接口 48个10/100M 端口（MDI / MDIX 自适应） 4个10/100/1000M千兆铜缆RJ45端口（MDI / MDIX 自适应） 2个SFP GBIC光纤模块插槽 管理规范 IEEE 802.1Q 静态 VLAN（最高 64个） IEEE 802.1p 服务类别 （CoS） 基于端口 QoS 802.3ad链路聚合 802.1D生成树协议 SNMP v1/v2/v3 RFC1213 MIB II RFC 1643 Ethernet Interface MIB RFC 1493 Bridge MIB RFC 2131 DHCP 客户端 IEEE 802.1x 基于端口的MAC地址绑定 分别针对广播，多播和未知目标地址单播包的流量控制功能 基于端