网络方案设计思路

1、网络方案设计（ 假想一个大型企业 ）一 . 分析客户需求1. 简要描述企业规模、经营业务2. 当前该企业网络现状分析：3. 企业网络需求分析： 二、网络设计原则1. 实用性2. 先进性3. 可扩展性4. 高可用性1. 选用合适的网络技术局域网：技术广域网：专线 专线 （ 实现业务分离 ） 互连网： 100 M 光纤 联通、电信双线冗余2. 选用合适的网络设备 不同模块采用的产品要满足该模块的功能实现，并留下一定的扩展性，以满足今后网络 扩容的需要。核心层： 6509 2 台汇聚层： 3560 / 3750 2 台接入层： 2960 40 台 广域网路由器： 3845 3 台防火墙： 5520

2、或 天融信千兆防火墙 任一型号 3 台3. 网络拓扑设计 交换拓扑设计17 / 16 路由拓扑设计4. 网络技术分析4.1 全网地址规划郑州总部采用 172.16.0.0/16 网段，划分子网，安排各个部门；西安和上海分支采用172.17.0.0/16 和 172.18.0.0/16 网段，并划分子网。 中转路径 :192.168.1.0 /24192.168.2.0/24192.168.3.0/24192.168.20.0 广域网连接西安192.168.30.0 广域网连接上海园区网用户 :172.16.0.0/16行政部10人事部20财务部30企管部40厂房一区50厂房二区60营销中心70

3、科研楼80172.16.10.0/24172.16.20.0/24172.16.30.0/24172.16.40.0/24172.16.50.0/24172.16.60.1/24172.16.70.0/24172.16.80.0/24服务器群组一 （ / 文件 ）:110 172.16.110.0/24服务器群组二 （ 内部 / ）:120 172.16.120.0/244.2 交换技术分析4.2.1 为优化网络性能，减少广播对网络的影响，及方便对合部门的安全管理，分别 在核心层 65-1和65-2上划分 50-120, 在接入层 35-1和 35-2上划分 10,20,30,40P 安排各个

4、部门。具体划分如下：35-1 和 35-2行政部10人事部20财务部30企管部4065-1 和 65-2厂房一区50厂房二区60营销中心70科研楼804.2.2 的实施 : 简要阐述的作用：略S35-1 作为 10和 20的主网关 , 同时作为 30和 40的备用网关S35-2 作为 30和 40的主网关 , 同时作为 10和 20的备用网关4.2.3 的实施 : 简要阐述的作用：略S35-1 作为 10 和 20 的主根桥 , 同时作为 30和 40 的备用根桥 .S35-2 作为 30 和 40 的主根桥 , 同时作为 10 和 20 的备用根桥 .4.3 路由技术分析总部有 10 个用户

5、网段， 9个中转路径，同时还连接两个分支机构，为优化网络 性能，建议采用多区的协议。设计如下：广域网区域为区域 0, 总部为区域 10, 两个分支机构分别为区域 1 和 2. 在区域边界路由器 R1、R2、R3 上进行路由汇总 ：总部 :172.16.0.0/16分支一：172.17.0.0/16分支二：172.18.0.0/16第四章 远程接入1. 使用专线实现总部与分支机构互连 随着网络的飞速发展，企业总部和各分支机构之间需要实现网络互联，专线可以提供 稳定、可靠、安全的数据传输，非常适合总部与分支间的互连。2. 用 实现总部与移动办公、家庭办公互连特点 不限流量，不限网址，包月使用，费用

6、低廉； 不需额外的设备或软件，无须缴纳初装费； 配置简单，使用方便，可自由访问互联网； 安全性高，接入灵活第五章 方案优势 / 特点按照以上方案建设的该企业大型园区网络，全线使用产品，易管理，安全性高。1. 在园区网的整体规划中，采用了层次化的设计方案，既优化了网络的性能，又 实现网络的可扩展性，方便了今后网络的扩容。2. 在园区网中合理地选择了交换产品，体现了性能卓越而又经济实用的原则；3. 在办公楼采用了和技术 , 既提供了链路冗余 , 又防止了环路 ;4. 在核心层采用了以太网信道和技术 , 同样有效核心层链路的高可用性 ;5. 在广域网方面，采用专线与分支机构相连接，稳定可靠。对于家庭

7、办公和移到 办公用户采用 接入公司总部，即安全可靠，又经济实用。6. 接在基本功能实现的基础上，还用到了 5200 防火墙、 网管平台等技术和产品 来保障网络的可靠性、安全性和易于管理性。第六章 培训 （ 后边内容根据自已客户名称自已修改）为保证三门峡水利枢纽局办公网络项目顺利实施和系统更好运行， 让涉及本项目人员能 够完全掌握系统的使用和维护方法， 技术等， 针对本次系统， 提供全面、多样化和针对性的 培训。培训目的系统管理人员是计算机及网络环境正常运行的守护神， 培养自己的系统管理员对于用户 来说是至关重要的。 为了保证企业局域网改造项目能稳定、 高效地运行， 提供全方位的培训， 企业建立

8、一支技术过硬的应用及维护队伍。通过培训，使各级相关人员对系统有充分了解， 熟悉系统的设计原理和工作方式， 掌握系统的工作流程和操作方法。 在系统出现比较小的故 障时，能够进行正确的故障诊断甚至排除故障。培训方式向三门峡水利枢纽局系统管理相关人员提供多种方式的用户培训， 充分满足各个层次培 训对象的需求，根据合同，培训方式包括以下几类：1、初级培训：在当地进行系统应用软件的使用方法与日常系统软件维护的集中培训，使用 户掌握系统基本操作和所需功能的使用方法。适用于所有培训对象。2、中级培训：在当地进行的集中培训，在用户掌握系统基本功能使用方法的前提下，为其 提供高级功能的使用方法、 多项功能组合使

9、用、 常见故障诊断与处理等中级水平的培训内容。3、高级培训：在非本地进行的关于系统维护和性能调整的高级培训。旨在使用户完全彻底掌握系统，为整个系统的长期稳定运行提供有力保证。第七章 售后服务与技术支持服务宗旨：为客户提供高度量、高效率的服务与客户保持良好持久的合作关系。服务范围：包括维护、咨询、诊断、优化等服务，为客户提供的热线咨询服务。 响应速度：为异地客户提供 2 小时响应服务；为本地客户提供 1小时响应服务。公司极其重视三门峡水利枢纽局办公网改造项目的建设，根据用户的要求和具体情况， 提供一流的技术和服务， 并根据用户的具体要求及实际情况， 组织强大的技术力量， 制定完 善的售后服务实施

10、计划， 建立健全的售后服务制度， 提供给客户一整套全面的服务项目， 可 以帮助客户最大限度的减少故障时间，达到系统连续健壮运行的目标。针对上述目标，公司向三门峡水利枢纽局办公网项目提供如下服务： 电话支持服务（ 7*24 小时）没有次数限制：只要您对系统存在问题，请即刻拨打我们的服务热线电话 . 对于我们的 工作人员， 您的电话将享有最高的优先级， 我们将优先处理您的电话求助， 直至得到令您满 意的结果； 专业的技术工程师和完善的电话处理及升级程序能保证快速有效的支持。 电话指 导和远程诊断，普通的问题立即解决，有一定复杂度的问题，在15 分钟内响应，必要时，由专业技术人员到现场解决。 远程拨

11、入分析统计分析表明， 行业的系统失败有不低于 70%的情况属于软件和配置问题， 而远程拨入 方式将大大提高诊断速度与工作效率，节省维护费用。现在的网络发展也使这一手段成为可能。 在用户允许的前提下， 我们的工程师将通过安 全进行远程拨入分析，快速而直接地对系统进行诊断与故障排除。 现场支持服务当您的系统被确诊为硬件故障时， 我们的现场工程师会带同相应的替换备件立即赶赴现 场进行紧急维修。我们的承诺是：搭乘最近的车次（必要时专车前往） ，使您的系统故障时 间被压缩到最小。在服务期限内，所有故障备件 （物理损伤除外）的更换均是免费的， 即已经包含在总体 的服务费用之中，不再另行收取备件费用。 系统

12、预防性定期维护服务公司认为“防患于未然胜于亡羊补牢”。公司系统维护及技术支持服务的核心不仅是 “故障维修”， 将风险和问题消灭在萌芽阶段的“系统预防性维护”更是公司服务的重要环 节。公司工程师定期对系统进行一次预防性维护。通过对系统的检查、维护、诊断，公司工 程师能及时发现问题隐患；通过保养、工程改变、系统调整、安装 （ 修正性软件 ） 等手段，使 系统保持稳定高效地运行。 不定期对用户的故障进行汇总， 经分析总结后， 整理成整体故障 和解决建议及预防建议，并及时提供给用户。公司工程师对客户服务系统进行定期预防性维护内容简要说明如下：-机房环境的检测-机器硬件的全面诊断-检查系统错误的历史记录

13、-检查系统性能-为用户建立专门用户档案-将系统配置及网络环境记录在案-将每次服务内容记录在案并汇报-公司及用户有关服务信息、联系人员记录在案等第八章 产品介绍 （可参照网上最新的产品说明进行修改）6500 系列6500 系列具有许多业界领先的功能， 获得了许多 "业界第一 "称号。 它同时支持三代模 块，这些模块不但能不断提升 6500 的用户价值，也同时体现出思科对于创新的关注。思科 的新一代 6500 系列模块和交换引擎 720 包含思科新开发的 11 种应用专用集成电路（）， 它不但扩展了思科在网络界的领先地位，还能提供无与伦比的投资保护。6500 系列的优点6500

14、 系列不但能为企业和电信运营商提供市场领先的服务、性能、端口密度和可用 性，还能提供无与伦比的投资保护能力，包括：最长的网络正常运行时间利用平台、电源、控制引擎、交换矩阵和集成网络服务冗 余性提供 13 秒的状态故障切换， 提供应用和服务连续性统一在一起的融合网络环 境，减少关键业务数据和服务的中断。全面的网络安全性将切实可行的数千兆位级思科安全解决方案集成到现有网络中， 包括入侵检测、防火墙、和。可扩展性能利用分布式转发体系结构提供高达 400 的转发性能。 能够适应未来发展并保护投资的体系结构在同一种机箱中支持三代可互换、可热插 拔的模块，以提高基础设施利用率，增大投资回报，并降低总体拥有

15、成本； 操作一致性 3 插槽、6 插槽、 9插槽和 13插槽机箱配置使用相同的模块、 、 以 及可以部署在网络任意地方的网络管理工具。卓越的服务集成和灵活性将安全和内容等高级服务与融合网络集成在一起，提供从10/100 和 10/100/1000 以太网到万兆以太网，从 0 到 48 的各种接口和密度，并能够在任何部署项目中端到端地执行。在端到端 6500 系列部署中的操作一致性3插槽、 6插槽、 9 插槽和 13 插槽机箱配置使用相同的模块、软件和网络管理工具 可部署在网络的任意地方从布线室到核心、数据中心和广域网边缘 为降低备件和培训成本，与 7 路由器系统使用相同的广域网端口适配器 （）

16、 用户可以自行选择所有控制引擎上支持的 和 ，确保顺利地从 5000 系列、 7500 系列移植到 6500 系列。提高网络正常运行时间，提高网络弹性提供数据包丢失保护，能够从网络故障中快速恢复能够在冗余控制引擎间实现快速的 13 秒状态故障切换提供可选的高性能 6500 系列 720 、无源背板、多引擎的冗余；并可利用 技术、802.3 链路汇聚、 802.1 和热备份路由器协议 / 虚拟路由器冗余协议 （）达到高可用 性集成式高性能的网络安全性和网络管理不需要部署外部设备，直接在 6500 机箱内部署集成式的千兆位的网络服务模块，以简 化网络管理，降低网络的总体成本。这些网络服务模块包括：

17、数千兆位防火墙模块提供接入保护高性能入侵检测系统（）模块提供入侵检测保护 千兆位网络分析模块提供可管理性更高的基础设施和全面的远程超级（）支持 高性能模块提供安全的高性能电子商务流量终结千兆位和基于标准的 （）模块降低的互联网和内部专网的连接成本。能感知网络内容和网络应用的第 27 层交换服务集成式内容交换模块（）能够为 6500 系列提供功能丰富的高性能的服务器和防火 墙网络负载平衡连接，以提高网络基础设施的安全性、可管理性和强大控制 集成式数千兆位的加速模块与结合在一起，能提供高性能的电子商务解决方案 集成式数千兆位的防火墙和能提供安全的高性能数据中心解决方案 基于网络的应用识别（）等软件

18、特性可提供增强网络管理和控制机制。可扩展的性能利用分布式 720 平台提供业界最高的交换机性能 400支持多种 （）实现方式和交换矩阵速率。在布线室、核心、数据中心、广域网边 缘部署以及电信运营商网络均可提供最优配置。丰富的第 3 层网络服务多协议第 3 层路由支持满足了传统的网络要求，并能够为企业网络提供平滑的过渡 机制硬件支持的从企业级到电信运营商级的大规模路由表硬件支持 6，并提供高性能的 6 服务 在硬件中提供及的支持，可应用在高速电信运营商的网络核心和城域以太网，提供 丰富的服务。增强的数据、语音和视频服务在所有 6500 系列平台上提供集成式通信提供 10/100 和 10/100

19、/1000 接口模块， 借助在接口模块内增加电源子卡就可让这些 接口模块提供在线的电源，提供 802.3 的支持，保护今天的投资 提供高密度的 T11 和的语音网关接口，可与公共电话网（） 、传统的电话、传真和连 接，提供服务。支持高性能的组播视频和音频应用 提供一个统一管理的、经济的、可灵活扩展的网络。最高的接口灵活性、可扩展性和端口密度 满足大型关键业务布线室、企业核心层和分布层需要的端口密度和接口类型 每台设备可提供 576 个支持语音的，具有在线电源的 10/100/1000M 铜线接口 提供 192 个千兆位以太网接口 率先推出业界第一个万兆以太网接口，和可提供高密度的 3 接口的通

20、道化的 48 接 口。通过系列模块上使用 7 系列端口适配器 （） ， 6500 可支持 T11 48 广域网接口， 具有很高的投资保护能力机箱从 3插槽（6503）、6插槽（6506）、9插槽（6509）到 13插槽（ 6513）。 高速广域网接口提供与其它核心路由器兼容的高速广域网、和接口 单一平台实现广域网汇聚以及园区网和城域连接管理 最高投资保护高度灵活的模块化体系结构，在同一机箱内支持多代模块互操作 所有引擎上都支持 和10/100 和 10/100/1000 以太网模块可现场升级为随线供电的模块， 可让用户在需要时升级实现电话技术和无线局域网连接可在各种应用场合中添加的不断推出的网

21、络服务模块包括 6500 系列网络安全性、内容交换和语音功能 未来的模块将进一步提高性能、端口密度，并推出其它服务 适用于城域以太网广域网服务802.1Q 和 802.1Q 隧道（）提供点到点和点到多点以太网服务 的功能提供了的透传功能，大幅提升骨干网中的以太网服务扩展能力 通过在第 2 层和第 3 层功能中提供速率限制和流量整形，可在城域以太网服务中提 供分级的带宽服务增强的生成树协议、 802.1s 、 802.1w 和 802.3 链路汇聚功能提供了网络超高的 可用性。3560-48 交换机3560-48 智能化以太网交换机产品概述3560 系列智能化以太网交换机是一个新型的、 可堆叠的

22、、 多层企业级交换机系列， 可 以提供高水平的可用性、 可扩展性、 安全性和控制能力， 从而提高网络的运行效率。因为具 有多种快速以太网和千兆以太网配置， 因此 3560 系列既可以作为一个功能强大的接入层交 换机， 用于中型企业的布线室； 也可以作为一个骨干网交换机，用于中型网络。客户有史以 来第一次可以在整个网络中部署智能化的服务，例如先进的服务质量（），速度限制，安全 访问控制列表，多播管理和高性能的路由同时保持了传统交换的简便性。 3560 系列中内嵌 了集群管理套件 （）软件， 该软件使用户可以利用一个标准的浏览器同时配置和诊断多个桌 面交换机并为其排除故障。 软件提供了新的配置向导

23、，它可以大幅度简化整合式应用和网 络级服务的部署。两个内置的千兆以太网端口可以支持多种收发器， 包括 、1000、1000、1000 和 1000 基于双的千兆以太网实施方案可以为客户提供高度的部署灵活性使客户可以在目前先部署 一种堆栈和上行链路配置， 然后可以在将来移植这种配置。 高水平的堆栈弹性还可以通过下 列技术实现：两个冗余千兆以太网上行链路，一条冗余的 回送线路，用于高速上行链路和 堆栈互联故障恢复的 和 技术，用于上行链路负载均衡的生成树 +（）。这样的千兆以太网灵活性使 3550 系列成为针对以太网优化的 6500 系列核心交换机最理想的边缘补充产 品。3560-48 中含有标准

24、多层软件镜像（）或者增强型多层软件镜像（）。提供了一组更加 丰富的企业级功能，包括基于硬件的单播和多播路由，虚拟（）间的路由，路由访问控制列 表（）和热备用路由器协议（）。在刚开始部署时，增强型多层软件镜像升级工具包为用户 提供了升级到的灵活性。2950 交换机29502950 系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速 快速以太网和千兆位以太网连接。 这是一款最廉价的交换产品系列， 为中型网络和城域接入 应用提供了智能服务。作为思科最为廉价的交换产品系列， 2950 系列在网络或城域接入边 缘实现了智能服务。2950 拥有 48个 10/100 端口以及 2 个基于

25、的千兆比特以太网端口。 内置的千兆比特以 太网端口适合插入多种收发器，包括 () ， 1000 ,1000 和 1000 。基于的双千兆比特以太 网的实现为客户提供了巨大的配置灵活性，它允许客户实现当今典型的堆叠和上行链路配 置，同时保留将来对这一配置进行修改的选项。2950 交换机是多种网络应用中实现桌面连接的理想选择。 2950 交换机能够以较低的 每端口价格向个人用户和服务器提供专用的10 或 100 带宽。这三种桌面交换机都拥有基于的双千兆比特以太网端口，能够为千兆比特以太网上行链路或堆叠解决方案提供一个极为灵活的、可扩展的解决方案。无论在桌面上还是在配线室里，这些交换机都很容易配置，

26、并且能够得到 软件的支持。利用交换机集群多设备管理技术，对交换机的管理能够变得更加 方便。主要特性和优点杰出的性能：48 个 10100 自适应端口，每个端口可以为个人用户、服务器或工作组提供最高200的带宽，用来支持带宽密集应用。两个内置的、基于的千兆比特以太网端口能够为千兆比特以太网骨干、千兆比特以 太网服务器或交换机之间提供高达 4 的集合带宽。10.8 交换网和高达 8.0 的转发速度， 能够保证数据包到每个 10100 端口和千兆比特 以太网端口的高性能转发。4 共享内存结构通过去除头部信息阻塞现象、最大地减少数据包丢失以及降低多点 传送和广播传输的拥挤现象，保证了最高的吞吐量。所有

27、端口采用全双工运行模式， 10/100 端口能够提供最高 200 的带宽， 1000 端口能 够提供最高 2 的带宽。每个 10/100 和千兆比特以太网端口上的双重优先转发队列， 支持网络流量顺序的优 先安排，并通过 802.1p 协议支持数据、话音和视频之间的无缝集成。 使用快速以太通道和千兆比特以太通道技术实现的带宽集合提高了容错能力，为交 换机、路由器、个体服务器之间的连接提供了 400 到 4 的集合带宽。 基于的千兆比特以太网端口使客户能够在1000，1000，1000 或 堆叠之间进行选择，以满足自己的连接需要。对端口广播扰动的控制能够防止故障终端通过广播扰动来降低整个系统的性能

28、安全和冗余技术确保了快速的故障恢复能力，提高了整个网络的稳定性和可靠性。 支持身份鉴别，可以保证对交换机的集中控制，限制未授权用户修改配置。 基于的端口级安全保护能力可以防止未授权终端访问交换机。 用户可以选择的地址学习模式简化了配置，增强了安全性。 控制台对访问的多级安全控制特性能够防止未被授权用户对交换机配置进行修改。 802.1D 生成树协议支持冗余骨干连接和无环网络，简化了网络配置，提高了容错 能力。支持堆栈中顶部交换机和底部交换机之间的冗余回环线连接。可选 600W 冗余交流电源系统来为多达 4 个单元提供备份电源，这样提高了容错能 力，增加了网络正常工作时间。3640 路由器3640 路由器3640 产品是为了适应拨号分支机构和需要拨号访问公司及公共的远程办公室用户数 量的增加而设计的。 不论是，还是异步媒体 3640 的拨号访问服务器均能提供前所未有的灵 活性。 3640 产品也支持