亚太东方机房搬迁设计方案V1.1.docx

北京力天创新系统集成有限公司 亚太东方机房搬迁及新办公地点设计方案V1.12012-01-11目 录第一章前言41.1编写目的41.2术语定义41.3参考资料4第二章项目实施总述52.1项目实施背景52.2目标与任务52.3总体规划72.3.1网络拓扑图72.3.2网络拓扑介绍72.3.3设备命名82.3.4物理端口描述规划92.3.5用户名密码规划92.3.6标签规划92.4详细设备清单11第3章详细产品介绍123.1Catalyst 3750-E系列交换机123.1.1产品简介123.1.2主要特性和优势163.2 Cisco Catalyst 2960系列交换机173.2.1产品介绍173.2.2Cisco Catalyst 2960系列提供了以下优势：193.3 Cisco ASA 5520自适应安全设备19第一章 前言1.1 编写目的 为保证项目的顺利实施，本文档将作为项目执行过程中的基准。1.2 术语定义核心交换机：核心层路由交换设备，该设备为设备厂商高端设备，为全网提供数据路由与转发；汇聚交换机：汇聚层路由交换设备，该设备为设备厂商中端设备，为各个安全区域服务器及终端提供接入与数据的汇聚；千兆防火墙：中心端千兆安全接入设备，为各个区域设置安全策略保障各个区域安全；1.3 参考资料IEEE 国际ISO9001质量体系文件第二章 项目实施总述2.1 项目实施背景由于公司业务的特殊性，日常业务无法中断，因此需在新机房重新搭建起一新的网络机房，待通过测试满足业务需求后。在启用新机房进行业务的发送。机房是各类信息数据的处理中心。为保证计算机系统可靠地运行，通讯网络枢纽畅通无阻地传递信息，良好的操作环境是必不可少的。因此，机房建设应为计算机和网络系统的可靠运行提供合乎规范的环境条件和工作条件，以满足计算机等设备对温度、湿度、洁净度、电性能、防火性、防静电能力、抗干扰能力、防雷、接地等各项指标的要求2.2 目标与任务基础软硬件实施主要分为6个进行实施，详情如下： 项目实施前准备阶段目标：1. 机房环境准备，保障机房环境能够满足设备进场及运行；2. 专线接入工作3. 完成设备到货及验收工作；4. 完成设备进场所需材料准备工作；5. 准备设备上架所需辅料包括设备上架工具（螺丝刀、机柜螺丝、偏口钳、扎带）、设备标签、以太网线、光纤等。 PC服务器、网络交换机及工具软件实施阶段目标：1. 完成PC服务器安装与部署，实现PC服务器能够正常运行；2. 完成工具软件安装满足使用需求；3. 实现全网互联互通；4. 实现网络无阻塞进行数据传输；5. 实现网络冗余部署提高网络安全性，保障业务能够安全运行。 网络安全实施阶段目标：1. 实现合理专业安全体系、策略体系、技术体系、管理体系建设；2. 全面实现物理安全、网络安全、系统安全、数据安全、应用安全及终端安全； 项目初验阶段目标：1. 完成项目初验测试及验收。 试运行阶段目标：1. 完成项目试运行工作；2. 完成项目试运行期测试工作；3. 完成项目试运行验收工作；4. 完成项目试运行期需要优化、整改等相关工作。 项目终验阶段目标：1. 完成项目终验测试及验收。 2.3 总体规划2.3.1 网络拓扑图图2-1：北京亚太东方通信网络有限公司网络拓扑2.3.2 网络拓扑介绍本次北丰C1楼网络建设共涉及4个功能区：l 办公网区：为各楼层终端、视频终端提供高速接入。l 机房网络区：为各类生产数据库/应用服务器、存储等提供接入，并提供安全保护和访问控制；l 公司服务器区：为公司企业内部服务器提供接入，并实现高安全性；l 广域网区：提供与互联网接入。2.3.3 设备命名2.3.3.1 网络设备命名ZSZX - CORE - S - C6509-1 地点缩写 设备用途- 设备类型- 设备型号 表示第一台6509交换机表示交换机 表示汇聚设备表示展示中心全网设备命名参见IP地址规划2.3.3.2 服务器命名2.3.3.3 安全设备命名ZSZX - AGG - F - P4626-1地点缩写 设备用途- 设备类型- 设备型号 表示第一台P4626防火墙表示防火墙 表示汇聚设备表示展示中心全网设备命名参见IP地址规划2.3.4 物理端口描述规划规则为：TO-对端设备名-对端端口号例如：核心交换机1（ZSZX-CORE-S-C6509-1）的g1/1连接核心交换机2（ZSZX-CORE-S-C6509-2）的G1/1端口，则核心交换机1的该物理端口描述为“to- ZSZX-CORE-S-C6509-2/g1/1”。2.3.5 用户名密码规划网络设备：用户名xxxx ,密码符合高强度要求2.3.6 标签规划标签规划包括设备标签和跳线标签，标签其作用在于方便管理人员维护整个网络系统，规范展示中心工程固定资产标识。不论从美观上还是从使用上对于标签的设计具有很大的作用。标签通常以不干胶标贴形式存在，目前已广泛应用于IT行业，随着客户固定资产规范化需求的不断增加，标签的出现能够为用户带来很多便利。标签设计需按照用户需求进行设计，其中设备标签应包含：“项目名称”、“招标编号”、“所属单位”、“设备编号”、“设备名称”以及“管理IP地址”等信息，跳线标签应包含：“本端端口名称”以及“对端端口名称”等信息。2.3.6.1 物理设备标签设计本次项目物理设备标签设计采用中文设计方式，标签将体现设备名称和编号。2.3.6.2 设备跳线标签设计为了保证安装时的条理化、正确性及后期维护检查时操作方便，对工程中使用的设备跳线标签做如下规定：标签正反两面分别写明本端设备名称、端口号和对端设备名称、端口号，格式如下：正面：LO+:+本地设备名空格本地端口名反面：RE+:+远端设备名空格远端端口名标签粘贴在距线缆插头2厘米处，朝向一致。例如核心交换机1 G1/1端口到核心交换机2 G1/1端口的标签如下：LO： ZSZX-CORE-S-C6509-1 G1/1正面：RE：ZSZX-CORE-S-C6509-2 G1/1反面：北京力天创新系统集成有限公司 21北京力天创新系统集成有限公司 2.4 详细设备清单序号货物名称主要规格数量品牌其它1.防火墙ASA55202Cisco不包含光纤模块2.核心交换机WS-C37502Cisco不包含光纤模块3.接入交换机24口（POE）WS-C29609Cisco不包含光纤模块第3章 详细产品介绍3.1Catalyst 3750-E系列交换机3.1.1产品简介配备了StackWise Plus的Cisco Catalyst 3750-E系列交换机(图1)是一个企业级独立式可堆叠配线间交换机系列，支持安全融合应用的部署，并能根据网络和应用需求的发展，最大限度地保护投资。通过将10/100/1000和以太网供电(PoE)配置与万兆以太网上行链路相结合，Cisco Catalyst 3750-E能够支持IP语音、无线和视频等应用，提高了员工生产率。 主要特性l Cisco TwinGig转换器模块，将上行链路从千兆以太网移植到万兆以太网 l PoE配置，为所有48个端口提供了15.4W PoE l StackWise Plus提供了易用性和永续性，吞吐率高达64 Gbps l 模块化电源，可带外部可用备份电源 l 在硬件中提供IPv6路由、组播路由和访问控制列表(ACL) l 带外以太网管理端口，以及RS-232控制台端口 图 1. Cisco Catalyst 3750-E系列交换机（前视图和后视图）交换机配置表1列出了Cisco Catalyst 3750-E系列交换机配置。特性说明Cisco Catalyst 3750E-24TD24个以太网10/100/1000端口和2个2万兆以太网上行链路 Cisco Catalyst 3750E-24PD24个以太网10/100/1000端口，带PoE，2个2万兆以太网上行链路 Cisco Catalyst 3750E-48TD48个以太网10/100/1000端口和2个X2万兆以太网上行链路 Cisco Catalyst 3750E-48PD48个以太网10/100/1000端口，带PoE，2个2万兆以太网上行链路 Cisco Catalyst 3750E-48PD-F48 个以太网10/100/1000端口，每个端口支持15.4W PoE，2个2万兆以太网上行链路 Cisco Catalyst 3750-E软件Cisco Catalyst 3750-E系列配备IP Base或IP Services特性集。IP Base特性集包括高级服务质量（QoS）、一套安全特性、限速、访问控制列表以及基本的静态和路由信息协议（RIP）路由功能。IP Services特性集则提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由EIGRP、OSPF、BGP、PIM等。此外，它还提供了一个Advanced IP Services特性集支持IPv6路由。 通过Cisco IOS软件激活功能，客户能够透明地升级Cisco Catalyst 3750-E系列交换机中的软件特性集。软件激活能够授权和支持Cisco IOS软件特性集。交换机中包含一个特殊的文件，称之为许可证文件，当交换机启动时Cisco IOS软件将对其进行检查。Cisco IOS软件能根据许可证的类型，激活相应的特性集。许可证类型能够改变或升级，以激活不同的特性集。 投资保护Catalyst 3750-E系列交换机与Cisco Catalyst 3750系列交换机兼容，客户能通过堆叠它们，来保护Cisco Catalyst 3750系列交换机的现有投资。Cisco TwinGig小型可插拔(SFP)转换器模块使客户能够根据业务需要从千兆以太网移植到万兆以太网上行链路，无需升级交换机，从而进一步保护了客户的Cisco Catalyst 3750-E系列交换机投资。 Cisco StackWise Plus技术Cisco StackWise Plus技术是在获得了极大成功的StackWise技术的基础上构建的，后者是一种针对千兆以太网设计的出色堆叠架构。StackWise技术适用于设备的添加、卸载和重新部署，并能保持稳定的性能。堆叠就像是一台交换设备，由从其成员交换机中挑选出的一台主交换机进行管理。主交换机能够自动创建和更新所有交换列表和可选的路由列表。处于工作状态的堆叠能接纳新的成员或卸载旧设备，不会中断服务。StackWise创建了一个由多达9台交换机构成的高度永续的统一系统，利用单一IP地址、单一Telnet进程、单一命令行接口(CLI)、自动版本检查、自动配置等特性简化了管理。StackWise Plus支持StackWise的所有特性，能够向后兼容现有Cisco Catalyst 3750系列交换机，并将系统吞吐率提高至64 Gbps。StackWise Plus还能支持Cisco Catalyst 3750-E系列交换机的本地交换功能。从Cisco Catalyst 3750-E系列交换机某个端口进入并将从该交换机另一端口输出的本地交换数据包，不必再经过堆叠环，从而提高了交换机的转发性能。 万兆以太网上行链路和Cisco TwinGig SFP转换器Cisco Catalyst 3750-E为高带宽应用提供了线速万兆以太网上行链路端口，能够消除拥塞，确保数据的顺利分发。TwinGig SFP转换器(见图2)能将1个万兆以太网X2接口转换成2个千兆以太网小型可插拔(SFP)端口。因此，客户能够在开始时使用配备千兆以太网上行链路的交换机，然后，随着业务需求的发展再部署万兆以太网上行链路，无需升级接入层。图 2. Cisco TwinGig适配器能将1个万兆以太网X2接口转换成2个千兆以太网SFP接口模块化电源Cisco Catalyst 3750-E系列交换机拥有一个电源插槽，能够支持下列电源。PoE交换机需要一个PoE电源。仅处理数据的交换机能够利用下列任一种电源：l C3K-PWR-1150WAC: 12WAC电源，带740W PoE l C3K-PWR-750WAC: 750WAC电源，用于24端口交换机，带370W PoE l C3K-PWR-265WAC: 265WAC电源，用于48或24端口交换机，无PoE l C3K-PWR-265WDC: 265WDC电源，用于48或24端口交换机，无PoE Cisco Catalyst 3750-E系列交换机和Cisco RPS 2300冗余电源系统相结合，能够透明地防范内部电源故障，与不间断电源(UPS)系统相结合，则能够防止断电，因此，语音和数据融合网络可获得最高的电源可用性。利用RPS 2300提供备用电源，Cisco Catalyst 3750-E系列交换机电源能够实现热插拔。表3列出了电源兼容性参数。 以太网供电Cisco Catalyst 3750-E系列能为包含思科 IP电话和Cisco Aironet无线局域网（WLAN）接入点、以及任何符合IEEE 802.3af的终端设备提供更低总拥有成本（TCO）的部署。以太网供电免除了为每个PoE设备提供墙壁电源的需要，且节省了IP电话和无线局域网部署中的额外电线成本。Cisco Catalyst 3750-E 24端口PoE配置能同时支持24个15.4W的全功率PoE端口，达到最高设备功率支持。Cisco Catalyst 3750-E 48端口PoE配置能够利用可选的1150W电源，支持48个15.4W同步全功率 PoE端口。对于无需最高电源的部署，可利用较小的电源实施Cisco Catalyst智能电源管理，支持24个15.4W的端口、48个7.7W的端口或两者间的任意组合。 冗余电源系统Cisco Catalyst 3750-E系列交换机支持新一代冗余电源系统(RPS) 2300。 RPS 2300能为6台相连Cisco Catalyst 3750-E系列交换机中的2台同时提供透明的备用电源，提高了数据、语音和视频融合网络的可用性。在交换机由RPS 2300供电时，能拨出故障电源。 3.1.2主要特性和优势易用性：部署处于工作状态的堆叠能够自行管理、自行配置。需要添加或卸载交换机时，主交换机自动将堆叠中运行的Cisco IOS软件装载至新的交换机，加载全局配置参数，根据变更更新所有路由列表。更新内容将统一、同时地提供给堆叠的所有成员。 Cisco Catalyst 3750-E系列能够将9台交换机堆叠成一个逻辑单元，共提供468个以太网10/100/1000端口、432个PoE 10/100/1000端口，或18个万兆以太网端口。各种10/100/1000端口可根据网络发展的需要进行任意组合。其他易用特性包括（但不仅限于）：l Smartports能够利用思科推荐的安全和QoS特性最佳实践进行快速、方便的配置，这些最佳实践蕴含了思科多年的联网经验。 l 利用DHCP，由一个引导服务器对多个交换机进行自动配置，从而简化了交换机的部署。 l 自动的QoS（AutoQoS）能够通过发布用于检测思科IP电话、区分流量类别和配置出口队列的接口和全局交换机命令，简化VoIP网络的QoS设置。 l 当主交换机收到新的软件版本时，主交换机配置管理可确保所有交换机自动更新。自动的软件版本检查和更新能够确保堆叠的所有成员拥有相同的软件版本。 l 所有端口上的自动协商功能可以自动地选择半双工或者全双工传输模式，以优化带宽。 l DTP能够在所有交换机端口上实现动态端口中继设置。 l AgP能够自动创建思科快速EtherChannel群组或者千兆EtherChannel群组，以便连接到另外一个交换机、路由器或者服务器。 l LACP让用户能够利用符合IEEE 802.3ad的设备创建以太网通道。这种功能类似于思科EtherChannel技术和PAgP。 l 如果错误地接上了不正确的电缆类型（交叉或者直通），自动MDIX（依赖于介质的接口交叉）能够自动地调整发送和接收对。 以太网供电Cisco Catalyst 3750-E系列能为包含思科 IP电话和Cisco Aironet无线局域网（WLAN）接入点、以及任何符合IEEE 802.3af的终端设备提供更低总拥有成本（TCO）的部署。以太网供电免除了为每个PoE设备提供墙壁电源的需要，且节省了IP电话和无线局域网部署中的额外电线成本。Cisco Catalyst 3750-E 24端口PoE配置能同时支持24个15.4W的全功率PoE端口，达到最高设备功率支持。Cisco Catalyst 3750-E 48端口PoE配置能够利用可选的1150W电源，支持48个15.4W同步全功率 PoE端口。对于无需最高电源的部署，可利用较小的电源实施Cisco Catalyst智能电源管理，支持24个15.4W的端口、48个7.7W的端口或两者间的任意组合。 3.2 Cisco Catalyst 2960系列交换机3.2.1产品介绍思科系统公司非常高兴地推出了新型Cisco Catalyst 2960系列智能以太网交换机，它是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，适用于入门级企业、中型市场和分支机构网络，有助于提供增强LAN服务。Catalyst 2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。该系列还包括一系列针对网络管理员所作的硬件改进，包括双介质（或有线）千兆以太网上行链路配置，允许网络管理员使用铜缆端口或光纤上行链路端口。另外，它包括一款24端口千兆以太网交换机，可加速网络中的桌面千兆位(GTTD)传输。表1提供了Catalyst 2960系列交换机的简要说明。 表1 Cisco Catalyst 2960系列交换机产品编号说明Cisco Catalyst 2960-24TT（WS-C2960-24TT-L） 24个以太网10/100端口和2个10/100/1000 TX上行链路端口 1机架单元（RU）固定配置交换机 提供入门级企业智能服务 安装了LAN基本镜像Cisco Catalyst 2960-24TC（WS-C2960-24TC-L） 24个以太网10/100端口和2个双介质上行链路端口（10/100/1000BASE-T或SFP） 1RU固定配置交换机 提供入门级企业智能服务 安装了LAN基本镜像Cisco Catalyst 2960-48TT（WS-C2960-48TT-L） 48个以太网10/100端口和2个10/100/1000 TX上行链路端口 1RU固定配置交换机 提供入门级企业智能服务 安装了LAN基本镜像Cisco Catalyst 2960-48TC（WS-C2960-48TC-L） 48个以太网10/100端口和2个双介质上行链路端口（10/100/1000BASE-T或SFP） 1RU固定配置交换机 提供入门级企业智能服务 安装了LAN基本镜像Cisco Catalyst 2960G-24TC（WS-C2960G-24TC-L） 20个以太网10/100/1000端口和4个双介质上行链路端口（10/100/1000BASE-T或SFP） 1RU固定配置交换机 提供入门级企业智能服务 安装了LAN基本镜像3.2.2Cisco Catalyst 2960系列提供了以下优势： 为网络边缘提供了智能特性，如先进的访问控制列表 (ACL)和增强安全特性。 双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用铜缆或光纤上行链路端口。每个双介质上行链路端口都有一个10/100/1000以太网端口和一个SFP千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口。 通过高级QoS、精确速率限制、ACL和组播服务，实现了网络控制和带宽优化。 通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制，实现了网络安全性。 通过嵌入式设备管理器和思科网络助理，简化了网络配置、升级和故障排除，可作为中型市场或分支机构解决方案的一部分。 使用Cisco Smartports自动配置特定应用3.3 Cisco ASA 5520自适应安全设备3.3.1产品介绍Cisco ASA 5520 自适应安全设备凭借一个模块化、高性能的设备，为中型企业网络提供了具备主用/主用高可用性和千兆