中小型公司网络设计方案

1 企业网络规划和设计方案 目 录 一 工程概况 2 1 工程详述 2 2 项目工期 2 二 需求分析 3 1 网络要求 3 2 系统要求 4 3 用户要求 4 4 设备要求 5 三 网络系统设计规划 6 1 网络设计指导原则 6 2 网络设计总体目标 6 3 网络通信联网协议 7 4 网络 IP 地址规划 7 5 网络技术方案设计 8 6 网络应用系统选择 12 7 网络安全系统设计 13 8 网络管理维护设计 13 四 网络布线系统设计 14 1 布线系统总体结构设计 14 2 工作区子系统设计 14 3 水平子系统设计 15 4 管理子系统设计 15 5 干线子系统设计 15 6 设备间子系统设计 15 7 建筑群子系统设计 16 2 一 工程概况一 工程概况 1 工程详 工程详述述 集团总部公司有 1000 台 PC 公司共有多个部门 不同部门的 相互访问要有限制 公司有自己的内部网页与外部网站 公司有自 己的 OA 系统 公司中的台机能上互联网 核心技术采用 VPN 集 团包括六家子公司 包括集团总部在内共有 2000 多名员工 集团网 内部覆盖 7 栋建筑物 分别是集团总部和子公司的办公和生产经营 场所 每栋建筑高 7 层 都具有一样的内部物理结构 一层设有本 建筑的机房 少量的信息点 供未来可能的需求使用 目前并不使 用 不包括集团总部所在的楼 二层和三层 每层楼布有 96 个信息 点 四层到七层 每层楼布有 48 个信息点 共 3024 个信息点 每 层楼有一个设备间 楼内综合布线的垂直子系统采用多模光纤 每 层楼到一层机房有两条 12 芯室内多模光纤 每栋建筑和集团总部之 间通过两条 12 芯的室外单模光纤连接 要求将除一层以外的全部信 息点接入网络 但目前不用的信息点关闭 2 项目工期 项目工期 2009 年 5 月 28 日 2009 年 6 月 28 日 3 二 需求分析二 需求分析 1 网络要求 网络要求 满足集团信息化的要求 为各类应用系统提供方便 快捷的信息 通路 具有良好的性能 能够支持大容量和实时性的各类应用 能 够可靠运行 具有较低的故障率和维护要求 提供网络安全机制 满足集团信息安全的要求 具有较高的性价比 未来升级扩展容易 保护用户投资 用户使用简单 维护容易 为用户提供良好的售后 服务 主干网负责各个子网和应用服务的连接 为信息交换提供有效 的高速通道 系统主干采用万兆以太网 10000M 交换 下属子网采 用千兆以太网 网络协议采用 TCP IP 协议 整个网络应考虑语音 视频 数据等的综合应用 交换机要求采用主流 成熟 信誉和售 后服务均佳的产品 核心交换机采用三层交换机 支持 VLAN 等功 能 能较好解决突发数据量和密集服务请求的实时响应问题 在内 部用户终端进行视频信号 数据交换时交换引擎不会出现过载现象 和数据包碰撞 丢失的现象 还要考虑预防瓶颈出现和补救的相应 措施 下属单位接入交换机可采用相对低一档的产品 本系统处理 的信息包括数据 语音和图像等 因此要考虑实时性问题 特别要 考虑包括视频会议在内的信息共享等方面的实时性要求 UPS 电源 的配备 配置要保证网络中所有的服务器 交换机 路由器 集线 器等设备的连续 正常地运转 网络带宽的分配 应根据所属单位 4 网络的信息流量情况合理分配网段 以充分利用网络带宽 提高网 络的运行效率 网络需要需要具有多主机跨平台主机连接能力 数据 集中存放 集中管理 数据有效共享 存储空间共享 统一安全备 份 可实现无人值守 自动实施备份策略 备份 LANFREE SERVERLESS 等功能 为全面集中管理和数据仓库的建设 奠定坚实的基础 2 系统要求 系统要求 配置简单方便 所有的客户端和服务器系统应该是易于配置和 管理的 并保障客户端的方便使用 广泛的设备支持 所有操作系统 及选择的服务应尽量广泛的支持各种硬件设备 稳定性及可靠性 系 统的运行应具有高稳定性 保障 7 24 的高性能无故障运行 可管理 性 系统中应提供尽量多的管理方式和管理工具 便于系统管理员 在任何位置方便的对整个系统进行管理 更低的成本 系统设计应尽 量降低整个系统的成本 安全性 在系统的设计 实现及应用上应 采用多种安全手段保障网络安全 提供良好的售后服务 网络还应 具有开放性 可扩展性及兼容性 全部系统的设计要求采用开放的 技术和标准选择主流的操作系统及应用软件 保障系统能够适应未 来几年公司的业务发展需求 便于网络的扩展和集团的结构变更 3 用户要求 用户要求 要求计算机应用系统能处理大信息量的传输和计算 要求易于 5 用户管理 界面简单 逻辑清晰 满足用户使用网络系统的运行质 量 提高网络运行速度 要求采用千兆以太网作为主干的网络技术 提供标准化的高速度主干网连接 并在未来可以升级到 IP 可以在 同一个网络中支持多种服务质量 以支持目前和未来的应用和服务 为标准 允许网络集成 使用三层交换来代替路由 能实现与广域 网的集成功能 网络中使用的设备 技术和协议完全符合国际通用 的标准 兼容现有的网络环境 提供良好的互联性 要求网络提供 足够的带宽 丰富的接口形式 满足用户对应用带宽的基本要求 并保留一定的余量供扩展使用 最大可能地降低网络传输延迟 要 求网络有很高的可靠性 稳定性及冗余 网络能够提供良好的安全 性策略 能避免内部操作失误造成的损害和来自外部的恶意攻击 4 设备要求 设备要求 根据集团的网络功能需求和实际的布线系统情况 楼层接入设 备需要选择同一型号的设备 子公司主交换机可以根据需要通过堆叠 方式进行灵活的升级扩容 核心交换机需要具有升级到 720Gbps 可用 背板带宽的能力 网络设备必须在技术上具有先进性 通用性 必 须便于管理 维护 应该满足集团现有计算机设备的高速接入 应 该具备良好的可扩展性 可升级性 保护用户的投资 网络设备在 满足功能与性能的基础上必须具有良好的性价比 网络设备应该选 择拥有足够实力和市场份额的厂商的主流产品 同时设备厂商必须 要有良好的市场形象与售后技术支持 6 三 网络系统设计规划三 网络系统设计规划 1 网络设计指导原则 网络设计指导原则 网络设计应该遵循开放性和标准化原则 实用性与先进性兼顾 原则 可用性原则 高性能原则 经济性原则 可靠性原则 安全第一原则 适度的可扩展性原则 充分利用现有资源原则 易 管理性原则 易维护性原则 最佳的性能价格比原则 QoS 保证 2 网络设计总体目标 网络设计总体目标 先进性 系统具有高速传输的能力 工作站子系统传输速率达到 100Mb S 水平系统传输速率达到 1000Mb s 满足现在和未来数据的信 息传输的需求 主干系统传输速率达到 1000Mb s 同时具有较高的带宽 满足现在和未来的图像 影像传输的需求 灵活性 系统具有较高的适应变化的能力 当用户的物理位置发生 变化时可以在非常简便的调整下重新连接 布线系统适应各种计算机网 络结构 如以太网 高速以太网 令牌环网 ATM 网等 布线系统且具 有一定的扩展能力 实用性 系统具有低成本 使用方便 简单 易扩展的特点 布线 系统应在满足各种需求的情况下尽可能降低材料成本 布线系统具有操 作简单 使用方便 易于扩展的特点 7 3 网络通信联网协议 网络通信联网协议 TCP IP 每种网络协议都有自己的优点 但是只有 TCP IP 允许与 Internet 完全的连接 Telnet 远程登录访问协议 使其他跨省区域的子公司通过远程访 问总部的内外 在远程访问时 会设置相应的 ACL 认证和相对的权 限设置 SNMP 网络管理协议 SNMP 用于在 IP 网络管理网络节点 服务 器 工作站 路由器 交换机及 HUBS 等 的一种标准协议 它 是一种应用层协议 SNMP 使网络管理员能够管理网络效能 发现 并解决网络问题以及规划网络增长 通过 SNMP 接收随机消息 及事件报告 网络管理系统获知网络出现问题 路由协议 RIP IGRP EIGRP IS IS 和 OSPF 4 网络 网络 IP 地址规划地址规划 集团园区网计划使用私有的 A 类 IP 地址 集团园区网的 IP 地 址分配原则如下 集团使用 IPv4 地址方案 集团使用私有 IP 地址 空间 10 0 0 0 8 集团使用 VLSM 变长子网掩码 技术分配 IP 地址 空间 集团 IP 地址分配满足集团的利用 集团 IP 地址分配满足便 于路由汇聚 集团 IP 地址分配满足分类控制等 集团 IP 地址分配 满足未来公司网络扩容的需要 8 5 网络技术方案设计 网络技术方案设计 总体网络采用基于树型的双星型结构 使之具有链路冗余特性 整体网络规划为核心及服务器群区域 内部骨干区域 汇聚链路 接入层上联区域 客户端接入区域 核心交换机位于集团总部机房 并为双核心 使用双主干网络设计 保证主交换机网络的容错 在 一台交换机出现故障的时候保障网络的正常运行 也不用手工切换 和维护 保证网络的可靠性 采用全交换硬件体系结构 可实现全 线速的 IP 交换 网络主干采用先进的千兆位以太交换技术 可最大 限度地提高主干的数据传输速率 使用千兆网络保证网络交易速度 与实时性 使用了 FEC GEC 技术实现网络带宽的扩展 适应网络 不断扩展的要求 根据需求概括 我们选择的是 D Link 企业级的 DES 8503万兆 核心交换机为本次网路建设总部机房的核心交换 DES 8503万兆核 心路由交换机作为新一代大容量 高密度 高性能 模块化核心路 由交换机产品 其背板带宽高达3 2Tbps 包转发速率最大为 952Mpps 具备二到四层线速交换能力 DES 8503万兆路由交换机基 于先进的模块化理念进行设计 并采用了基于多处理器分布式处理 机制和 Crossbar 空分交换结构的体系结构 关键模块均采用1 1冗 余备份 可提供10GE GE FE 等各种丰富的接口模块 并全面支持 IPv4 IPv6 MPLS NAT 组播 QoS 带宽控制等业务功能 整个 系统所具备的高可靠性 高扩展性 强大的业务能力等特点可以满 足各种网络核心层的建设需求 DES 8503 3个插槽 作为 D Link 9 行业产品线核心交换机之一 可广泛的应用在各行业的 IP 网核心 企业数据中心 IP 城域网核心和汇聚 校园网核心等场所 为用户 提供多种业务接入 路由交换一体化的安全融合网络解决方案 ES 8503万兆核心路由交换机具有一下的优点 先进的系统架构 先进的系统架构 采用了分布式 模块化设计理念 并采用了基于 多处理器分布式处理机制和 Crossbar 空分交换结构的体系结构 这 保证了系统优异的转发性能 强大的业务能力和高度的可扩展性 高端口密度和线速路由及交换 高端口密度和线速路由及交换 具有丰富的接口类型 提供 10GE GE FE 等接口 可以真正实现高端口密度和线速路由及交换 大容量 高性能大容量 高性能 支持高达952Mpps 的路由包转发能力 并支持 512K 条第三层路由信息 512K 第二层的 MAC 地址以及 4096组 VLAN 8K 条安全和访问控制策略 保证了数据线速转发的要求 增强的业务功能 增强的业务功能 具有 L2 L3 L4线速交换能力 具备 QoS MPLS NAT 带宽控制 组播等高级性能 是定位于网络核心 层 实现整体网络增值的优选设备 同时 提供基于硬件的流量分 类和组播以及速率限制和先进的服务质量保证 QoS 机制 可为用 户开展增值业务提供强大的支持 强大的安全功能 强大的安全功能 支持 ACL 安全过滤机制 可提供基于用户 地址 应用以及端口级的安全控制功能 并支持 IPSec MPLS VPN 特性 同时 支持基于端口不同优先级对列的和基于流的入口和出口带宽 10 限制 uRPF 防 DDOS 攻击 SSH2 0安全管理 802 1x 接入认证及 透传 VLAN ID 与 MAC 地址 端口号 IP 地址捆绑等安全功能 此 外 系统还具备完善的抗病毒机制 可以为网络运营提供全面的安 全保证 支持支持 IPv6IPv6 全面实现了各种 IPv6协议技术 包括 IPv4和 IPv6双协 议栈和基于手工配置隧道 自动配置隧道 6to4隧道等 IPv4向 IPv6 的基本过渡技术 同时 实现了 IPv6静态路由 支持 BGP4 BGP4 RIPng OSPFv3等动态路由协议 全面支持二 三层全面支持二 三层 MPLSMPLS VPNVPN 二层 MPLS VPN 支持 Martini 协议 VPWS 和 VPLS 三层 MPLS VPN 采用 RFC2547bis 具有良好的兼 容性 可以与其他主流厂家的设备实现 MPLS VPN 业务的全面互通 电信级可靠性 电信级可靠性 系统的主控单元 电源等等关键模块均可以进行1 1 方式的备份 无中断保护系统 Hitless Protection System HPS 为 DES 8500的高可靠性提供了最重要的保证 在配置冗余控 制模块的情况下 它能满足最苛刻的可靠性要求 同时 DES 8500 的 VRRP STP LACP 等功能为用户提供了进一步的可靠性保证 统一的网管功能 统一的网管功能 支持 RFC 1213 SNMP 简单网络管理协议 带 内网管的形式可采用基于 Telnet 的配置管理 CLI 命令行的形式 或基于 SNMP 的配置管理 图形界面的形式 实现基于 Broad Director 网管平台的统一网管 接入层为楼层的工作组及交换机 核心层与接入层以千兆以太 11 网技术相连 传输速率达1Gbps 采用全双工通信可达2Gbps 其物 理连接采用多模光缆相互连接 以提供物理层 链路层及 IP 层的冗 余连接能力 核心交换 核心交换 三层千兆交换机为整个网络的核心 它对整个网络 的性能 可靠性起决定性作用 它连接各个物理子网 治理网络内 信息交换 包括多媒体信息 控制 VLAN 间访问 保证信息安全 因 此 我们选用的中心交换机除了提供高速的网络连接之外 还具有 多种信息的治理和控制能力 全部的网络设备均支持高效的 Intranet 多媒体和多点广播技术 治理协议 CGMP 等 为多媒体和 多点广播应用如 IPTV 等提供端到端的带宽保证 网络采用分层结构 不仅逻辑结构清楚 治理方便 更重要的是大多数的数据流量 主要 是同一部门或工作组内 的交换在次级节点分布交换机上直接处理 不经中心设备 节省主干带宽 提高利用率 有一定的前瞻性 不 仅满足当前网上应用 也为将来更高性能的升级作好了预备 网络 具有良好的伸缩性 升级和扩展主要只集中在网络中心 添加新的 接口模块 即可实现用户和信息点的扩充 增加光纤连接即可大量 提高主干带宽 中心增配另一台多层交换机 网络结构就能连接成 可靠性的 真正的中心交换机互备份和上联线路冗余 配合热备份 路由协议和热备份双服务器主机系统 在整个系统内消除单点故障 提供高可用性的应用服务系统 汇聚交换及接入交换汇聚交换及接入交换 二级交换机可以每个独立构成一个 VLAN 也可以多个二层交换机构成一个 VLAN VLAN 之间的路由由中 12 心交换机负责 不同的部门 单位可以通过配置不同的 VLAN 等方式 来隔离广播和信息流 不但可以提高网络效率 而且可以增强网络 安全 而每台交换机上的10 100自适应端口又可以与下层100M 到 10M 交换式集线器相连接 心交换机与二层交换机以1000M 全双工的 方式相连接 这样的连接结构可保证网络带宽的最大限度的合理应 用 集团由总部机房采取一处连接 Internet 中 设置防火墙等安全 软件 并对外网的远程登录设置权限及相应的安全认证 6 网络应用系统选择 网络应用系统选择 根据集团用户对操作系统的要求 操作系统要求选择最新版本 所选操作系统需要提供方便的更新与升级方法 服务器操作系统需 要能够提供目录服务功能 服务器及客户机操作系统都需要支持 TCP IP 协议 所选操作系统应能够方便的实现用户和权限的管理 秘选操作系统应能够运行大多数应用软件 例如办公软件 图像处 理软件 CAD 财等 我们选择 Linux 它具有极高的稳定性 先天 的安全性 软件安装的便利性 多任务 多使用者 免费或少许费 用 有强大的网络功能 在相关软件的支持下 可实现 WWW FTP DNS DHCP E mail 等服务 建立 WWW 服务器 实现 Internet 上浏览和查询 建立 FTP 服 务器 结合学校实际和需要逐步建立远程 FTP 服务 建立 服 务器把图文信息组织成分布式的超文本 并用信息指针指向存有相 关信息的服务器 使用户可以方便地访问这些信息 当网上用户增 13 多时 网络访问很频繁 通信量很大 随机性强 作为全校的通讯 枢纽 需要配备高性能的服务器设备 主要的需求是高性能的 体系结构 高速 通道和网络通道 建立域名 服务器 各地名字服务器管理下属主机和子域 并由高一级 名字服务器监管 但每个域至少需要配备一台以上的名字服务器 数据量不大 但访问频繁 建立数据库服务器能有高效的处 理速度 较大的内存和磁盘空间 快速的 系统和网络界面 较高的可靠性 完善的系统备份功能和较好的可扩充性能 7 网络安全系统设计 网络安全系统设计 内网安全设计 内网安全设计 访问控制 通过密码 口令 不定期修改 定期保 存密码与口令 等禁止非授权用户对服务器的访问 以及对办公自 动化平台 的访问和管理 用户身份真实性的验证 内部用户访问 权限设置 ARP 病毒的防御 数据完整 审计记录 防病毒入侵 外网安全设计 外网安全设计 安装软件 硬件 防火墙 网络防病毒软件 客户 端防病毒软件 利用代理服务器提供 Internet 与 Intranet 之间的防火 墙功能 通过网管实时记录网络的运行状态 设置远程访问身份认 证 防止垃圾邮件等 8 网络管理维护设计 网络管理维护设计 根据集团和服务器应用模式及全网范围资源集中管理的原则 在集团总部机房建立中心管理机房 统一网络中的交换设备的管理 14 配置 虚网设计和配置 各种服务建立等 网管工作站对全网所有 交换设备和路由设备进行统一管理 配置和维护 进行故障隔离 分析 统计 报警 设置 网管软件采用图形化界面 支持广泛的 网管平台 四 网络布线系统设计四 网络布线系统设计 1 布线系统总体结构 布线系统总体结构设计设计 总体七撞建筑 从总部机房用十二芯单模光纤与其他六撞建筑 的设备间 BD 相连 每个设备间也设用十二芯多模光纤与每层的电 信间 FD 并用五类非屏蔽双绞线从电信间与工作站相连接 集团 园区网采用 10M 的光纤以太网接入到因特网服务提供商的网络 然 后接入到因特网中 使集团实现与外界的信息交换和网络通信 集 团统一由总部机房的一个出口访问 Internet 集团能够控制网络的 安全 在服务器和核心交换机间 使用 UTP 电缆来将服务器连接到 核心交换机 2 工作区子系统设计 工作区子系统设计 工作区子系统由各个单元区域构成 是计算