网络建设方案（修）.doc

聚友网络重庆地区网络建设方案一、重庆地区目前网络状况聚友网络重庆分公司目前各个小区的出口分别直接接入当地的isp，所获得的真ip都是isp提供给的为数不多的真ip，用户拥有的ip都是我司统一分配的私有ip，为用户提供上网时要经过nat 转换成真ip，用户才能够访问internet。重庆目前开通了16个小区：4个小区接至电信，4个小区接至网通，8个小区接至联通。每个小区都有一台router 作nat 转换。日前应信息产业部的要求，作为isp要做好用户访问网站的日志纪录，要求各ISP的日志服务器须保留三个月日志备份，以便检查用户在互联网上是否有非法行为。假如按照重庆目前的网络结构实现用户认证和记录功能就需要在每个小区内放置服务器，这样投入的成本就会大大增加。所以目前网络的主要缺点表现为：用户没有公网地址、不能实现NetMeeting等功能、没有认证功能、没有日志记录功能。为了降低网络运营成本同时更好的向用户提供更好的服务，计划在重庆建立中心机房。中心机房建成后，所有小区机房通过区间链路桥接到中心机房，在中心机房汇接后统一连到internet。采用这种方式有以下几个好处：1、节省设备建立中心机房后，各小区机房以网桥取代路由器就可以实现既定功能。这样可以节约出10多台路由设备以支援其他需要此设备的分公司。2、提升网络质量建立中心机房以后，就可以在中心机房放置服务器对所有的用户进行认证、日志备份，还可以向用户统一提供其他增值服务。为了保证网络质量和网络安全，需要增加防火墙，选用性能和可靠性更高的中心路由器和中心交换机。二、中心机房建设方案1、出口及区间链路中心机房建成后，考虑到线路的稳定情况出口采用电信10M；区间链路采用联通sdhip方式，带宽2M。拓扑图如下：2、设备选型及应用考虑到实用性、网络的发展状况和经营成本，中心机房的设备选型如下：设备名称数量备注CISCO36621台中心路由器（标配）PIX5251台防火墙CATALYST35481台中心交换机PPPOE4台调用兼容机2台网管工作站兼容机2台Radius server兼容机1台Sniffer server网管工作站配置：显示器： 三星743DF机箱电源： 技展6054C9+P4电源键盘鼠标： 罗技套装CPU： P4 1.7G（盒）主板： DFI845E内存： 金士顿DDR256M（盒）硬盘： 金钻40G/7200（盒）显卡： 艾尔莎MX400/32M光驱： 三星金将军52X软驱： 三星1.44Msniffer配置：显示器： HPC15机箱电源： 技展6054C9+P4电源键盘鼠标： 罗技套装CPU： P4 1.7G（盒）主板： 磐英845G内存： 金士顿DDR256M（盒）硬盘： 金钻80G（盒） 光驱： 三星金将军52X软驱： 三星1.44M网卡： 3COM 10M/100Mradius配置：显示器： HPC15机箱电源： 技展6054C9+P4电源键盘鼠标： 罗技套装CPU： P4 1.7G（盒）主板： 磐英845G内存： 金士顿DDR512M（盒）硬盘： IBM 36.4G（SCSI） 4 光驱： 三星金将军52X软驱： 三星1.44M 网卡： 3COM 10M/100MCisco 3662适合于向大中型企业Internet服务供应商提供模块化、多功能的访问平台，拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。通过利用Cisco的语音/传真网络模块，允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。适用于超高密度广域网、拨号连接、密度局域网连接、数据上的中度语音、中密度ATM连接。Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的一个产品，能够为当今的网络客户提供强大的安全性和可靠性。Pix525 支持h.232 、realaudio等多媒体应用，通过pix转换的用户可以使用netmeting 应用；没有静态映射的ip 只能拨出（主动发起连接），外界不能拨入。 若要允许外界拨入，则设静态ip map 即可；可以解决用路由器做nat存在的一些问题，例如用户不能用netmeeting、不能使用语音视频等功能；解决了路由器由于作nat而产生的负载过重，进而致使网络瘫痪的情况。Cisco Systems Catalyst 3548是一个可扩展、可堆叠的10/100和Gigabit Ethernet交换机，性能优异、管理灵活、提供下一代可堆叠的交换。允许从一个IP地址管理所有交换端口，提供一个独立的保护桌面端口的高速堆叠总线。增值服务问题的解决：因为深圳的 pix 是 pat 转换， 可能会因port 冲突而致使某些应用不能使用。而将pix作成nat 转换则会避免此类现状，但占用真ip。若有3-5个c的真ip 放置在pix作为nat pool用，可以给用户动态分配真ip，就可以解决用户使用nat转换带来的一些问题。例如，用户可以使用netmeeting,使用ip电话，不存在因为有防火墙而不能使用一些ineternet资源。用户认证和日志：在中心机房采用radius及pppoe集中认证的方式，这种方式可以将用户的访问纪录统计下来，以便备案。在中心机房用4台pppoe server、2台radius server（一台用作备份）、1台sniffer server，将pppoe作为一个pppoe集群，动态给用户分配真ip使用，而且用户可以查到自己使用的真ip为多少。用几个c类做动态分配，当真ip 耗尽时，可以用假ip作nat转换处理。采用此种方式时，追查用户非常方便。只要察看radius认证服务器的认证纪录既可以查到那个用户何时使用被追查的真ip。为了防止所有的小区都处在一个广播域中，在中心交换机上为每个小区单独划分vlan。3、ip规划根据总部文件,重庆地区IP范围为10.150.0.010.154.255.255 (5B)，10.155.0.010.156.255.255 作为保留地址备用。根据重庆小区情况，分类如下：小区名IP地址渝中区万吉广场10.150.2.0/23桂花园10.150.4.0/23临华大厦10.150.6.0/23王家坡10.150.8.0/23南岸区桥东10.151.2.0/23信园10.151.4.0/23江北区鲤鱼池10.152.2.0/23沙坪坝区千秋10.153.2.0/23都市花园10.153.4.0/23九龙坡区怡明园10.154.2.0/23南方花园A区10.154.4.0/23南方花园D区10.154.6.0/23南方花园E区10.154.8.0/23巴南区渔洞化龙10.151.6.0/23大渡口区三木花园10.154.10.0/23渝北区两路城南10.152.4.0/23三、施工周期我们先做好中心机房的框架以便随时更换小区，因重庆开通的小区有1