科技产业园区的网络规划与设计

科技产业园区的网络规划与设计摘要本文从彭州工业开发区科技园区的基本需求着手，分析原有网络的缺陷，找出存在的问题，得出解决问题的方法与措施，完成了网络改建与规划方案的详细设计。本方案设计量体而行的从经济、实用、扩展、安全等多方面考虑，详细分析了现有网络的特性和网络的发展趋势，利用当今流行园区网络技术的同时，考虑了将来园区网络业务拓展和网络应用的并行发展与扩充，为彭州工业开发区科技园设计了一套合理可行的网络解决方案。关键词：Intranet；千兆以太网；OSPF；VPN

ABSTRACTThisarticleintroducesacompletecycleofbuildinganetworkforPENGZHOUScienceTechnologyPark.WeironedouttheexistingproblemsoftheScienceTechnologyParkNetwork,andwehavedesignedanewsystemforsolvingtheseproblemsbasedonnetwork'spresentsituation.Also,wefaceuptotheactualconditionsoftheKEYWORDS:Intranet;GigabitEthernet;OSPF;VPN引言当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流。信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透，使其结构和效益发生根改变。信息化已成为当代经济发展与社会进步的巨大推力，尤其是作为国民经济信息化基础的企业信息化，当前更显得尤为重要，信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择!近年来，在全国各地新建了许多产业园区（开发区），使发展、引进高新技术与科技创新有了肥沃的生存土壤。产业园区的建立与发展，为吸引国内外资金、技术、发展外向型经济、参与国际间的分工协作、进入世界经济舞台，创造了优越的条件和基础。根据城市布局形态的调整和发展目标的变化，将城市中心区向城市边缘区扩展，增加城市的功能，实现城市化发展，已经成为世界高新技术产业区发展的规律和发展趋势。同时随着时代的进步科技的发展，全球正在进入一个崭新的知识经济时代，而无穷无尽的知识和信息基本都通过网络传输，并以空前未有的深度和广度，影响和改变着每一个企业。能否及时获取信息、反馈信息及发布信息，将直接影响到一个企业能否健康地发展，同时这一形式也对企业内部各部门之间、领导与职工之间的协调与配合提出了新的更高要求，传统的工作方式已不能适应当前市场的要求，建立现代管理机制适应市场经济的发展,是摆在现代企业面前的一个课题。未来市场经济的竞争必将是人才、科技和信息的竞争。对信息资源的占有和充分应用，以及利用现代科技手段建立迅速反馈的机制，高效率、高质量的上传下达指示、命令，是现代企业的必备条件。由于网络、数据库及与之相关的应用技术不断发展，尤其国际互联网（Internet）和内部网（Intranet）技术的广泛应用，世界正在迈入网络中心计算时代。人们传统的交互和工作模式正在改变，处在不同地理位置的人们可以共享数据，能够协同工作等；Intranet是Internet的延伸和发展，正是由于利用了Internet的先进技术，特别是TCP/IP协议，保留了Internet允许不同计算平台互通及易于上网的特性，使Intranet得以迅速发展。Intranet有效地避免了Internet所固有的可靠性差、无整体设计、网络结构不清晰以及缺乏统一管理和维护等缺点，使企业内部的秘密或敏感信息受到网络防火墙的安全保护。因此，同Internet相比Intranet更安全、更可靠，更适合企业或组织机构加强信息管理与提高工作效率。从各方面分析，采用计算机网络和数据库对信息系统和日常工作进行管理有着充分的可行性。Intranet不仅是内部信息发布系统，而且是机构内部业务运转系统。由此可见，一个高效、安全、可靠的园区内部网络对企业公司的长足发展起着关键性的作用。本次设计就是结合彭州工业开发区科技园的具体情况，为该科技园设计一个高效、安全且可靠的园区内部网。

第一章设计背景与需求分析设计背景彭州工业开发区始建于1992年。1998年经四川省计划委员会批准为省级开发区；2001年被省政府以川府发[2001]10号文确认为省级重点开发区，规划面积6.9平方公里；2004年4月，经过全国开发区清理整顿后，属四川省保留的省级开发区之一，保留面积5.63平方公里（其中1.27平方公里因不符合1997年土地利用规划在清理整顿中削减）；2005年9月，根据成都市政府52号文件确定彭州工业集中发展区规划面积为11.9平方公里；2005年7月，彭州市委市政府确定将天府路以南城市规划区域（包括省级工业开发区以及工业集中发展区）划归工业开发区管理，规划面积25.2平方公里;2007年1月份通过评审的控制性详规面积为12.29平方公里。工业开发区现已有133个项目入驻，其中已投产工业企业69户（规模以上工业企业21户），在建和待建工业企业39户，有产业工人1.8万人；一批国际国内知名企业相继入驻园区，如香港联邦制药、四川制药、亚宝药业、时代制药等14户医药企业；晋林机械、华庆机械、龙科机械等12户机械企业；双虎家具、齐心家具等7户家具企业，有新加坡亚东水泥、泰柏建材等12户建材企业，初步形成了以医药、家具、新型建材、机械和服装为主导的产业发展格局。随着西南交大科技园、四川威亨创业工业港和西星国际企业中心的建设发展，在工业开发区内将形成三个较具特色的工业房地产园区。整个园区各企业已经基本实现了业务的电子化和办公自动化，基本完成了园区范围内的网络覆盖，前期网络采用的单核心的两层网络结构，接入交换机直接与核心交换机互联，随着应用的不断增加，接入用户的不断增多，对核心设备的压力不断增大。网络中一个区域出现安全问题，会影响到全网，使得网络效率下降，甚至造成全网的宕机。另外，园区内各建筑之间均有适当的光纤连接，前期网络中大部分设备为非智能网管设备，不能很好的对整个网络进行有效的管理，使得网络不能充分的利用。伴随着业务多样化，复杂化的今天，五年前建成的原有网络系统已经不能很好的满足企业应用的要求，为了增强企业的凝聚力、提高经济效益，推进企业竞争力，因此该科技园区决定实施园区内部各级网络间的升级改造。

1.2需求分析现状分析彭州工业开发区原有网络系统实现了业务电子和办公自动化，基本覆盖全工业园区范围，主要包括相对独立的各大企业，如香港联邦制药、四川制药、亚宝药业、时代制药、双虎家具、齐心家具、晋林机械、华庆机械、新加坡亚东水泥、泰柏建材等。原有网络中采用单核心两层网络结构，网络接入交换机直接与核心交换机互联，随着应用的不断增多，接入用户的不断增加，对核心设备的压力不断增大。网络中一个区域出现问题，会影响到全网，使全网应用效率下降。由于网络承载整个园区企业的基础骨干，面对日益突发的信息安全问题，使用的普通非智能网管的交换机，HUB无法进行安全规则设置，网络攻击影响整个网络正常业务以及用户正常上网。随着网络技术的不断发展，网络使用者水平不断提高，业务多样化，复杂化，企业网络承载的应用不断增多。原有网络已不能很好的满足需要，现需对企业整个网络升级改建。彭州工业开发区科技园庞大，入住企业众多，各企业均保持在大约500信息点左右，企业公司各部门业务共同存在网络之上，属于不同区域。必须实现内部网络按企业用户、功能进行VLAN、网段划分，控制用户访问权限。企业下辖多家远端分公司，必须保证远端分公司与企业正常信息互通。企业园区内部各个建筑物均有适当的光纤连接，所有建筑物之间的距离约在200M～～4000M之间；每个建筑物内部都有适当的内部布线，以实现现有所需的连接。业务需求彭州工业开发区科技园是一个典型的科技型工业产业园，园区内入住企业较多，各个企业都需要拥有自己的内部网络，某些企业需要有自己独立的服务器群，一些小型企业暂时无独立服务器，企业门户网站挂在外边的商业虚拟空间中，没有企业自己的Mail、FTP等服务，另外企业办公软件以主机托管的方式放在当地ISP提供商机房，造成管理相当不便。考虑以上因素，改建后的网络必须能够让入住园区的企业单位能够有足够的网络带宽满足业务需求，不能由网络带宽给企业自己的服务造成瓶颈。另外，在园区中心机房搭建DMZ非军事化区域，以满足小型企业对服务器，服务器平台环境的需要。用户需求入住园区的企业大部分在其他各地都有自己的分公司，或公司本身为其他大型企业的分公司。因此，应当充分考虑企业的分公司访问企业内部网的需求，以及总公司与分公司的业务数据信息互通等。因此，必须为各企业内部网络设计VPN通道，方便分公司与总部的互访，以及方便企业员工在外部使用企业内部资源，如：出差，家庭办公等。网络需求1、安全的需求企业网络所受到的安全威胁，既有技术方面的，也有管理方面的；既有来自网络内部的，也有来自网络外部的；既有人为恶意攻击的，也有无意造成的。如果因系统软硬件故障、或黑客恶意攻击、或网络病毒感染的经常出现问题，甚至完全瘫痪，将直接影响企业的正常运行，所带来的经济损失不仅限于企业本身，甚至波及到整个社会。因此，在规划企业网络系统时，必须充分考虑网络系统的安全建设，包括病毒防护、信道传输安全、数据备份与恢复等。管理的需求由于企业网络节点众多，因此无法一体化管理众多的设备和用户、出现网络故障无法快速定位、IP地址盗用、IP地址冲突等问题严重，如何利用有限的人力物力对网络进行高效管理也成为企业考虑的重点。

3、性能的需求企业网络使用人数多，并且随着网络应用技术的不断丰富，企业网应用也愈发复杂，例如文件传输等大数据量的访问，产生了巨大的网络流量。如何高速进行网络传输，对网络设备提出了很高的要求。高智能的考虑随着视频会议和VOD等越来越多的多媒体业务在企业网上的运行，尤其当业务量猛增时，会造成时延、抖动、丢包等现象，而这对于实时的、时延敏感的网络应用，如视频会议、IP，便会产生严重的影响。因此保障特殊业务的正常使用，是企业的网络建设中必须要考虑的方面。接入方式的考虑企业网中不仅需要有线网络、在某些环境（如会议室、接待厅等等）中还需要无线的接入。无线网络接入方式，可以避免传统网络对用户接入的限制，实现随时随地上网。未来网络考虑企业升级改建后的网络必须保持5-10年左右的先进性，并支持未来网络的平滑升级过渡。综合以上信息，我们将结合彭州工业开发区科技园的实际情况，以及园区企业对网络基础平台的需求，充分考虑以上分析的一些关键问题，为该科技园区以及内部企业设计出一套合理可行的网络解决方案。

第二章设计目标及原则本次彭州工业开发区科技园区网设计建成的网络系统应当从投资保护及长远性方面考虑，在技术系统能力上要保持5-10年左右的先进性，从用户利益出发，在技术上采用标准、开放、可扩充，能与其他厂商产品配套使用。先进性：总体设计起点高，采用先进的计算机网络技术和管理模式，采用先进的网络设计、网络结构、开发工具，技术上采用市场占有率高、标准化、且技术成熟的目前网络流行的TCP/IP协议和目前最先进的千兆以太网和百兆以太网到桌面技术，保证网络的安全、稳定和容量。实用性：综合考虑未来的扩展与保护投资，制定统一全面的发展规划，充分发挥设备效益，能使用户最方便地实现各种功能。标准性：采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z。支持路由协议：IP的RIPV1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP。支持IPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM。支持网络管理协议：SNMP，RMON，RMON2。兼容性：跟踪世界科技发展动态，网络规划与现有光纤传输网及现有网络要有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。开放性：系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及外界信息的沟通。灵活性：采用积木式模块组合和结构化设计，使系统配置灵活，满足企业逐步到位的建网原则，使网络具有强大的可增长性和强壮性。可扩展性：网络规划设计既要满足用户发展在配置上的预留，又能满足因技术发展需要而实现低成本扩展和升级的需求。可靠性：服务器具备超强容错功能和先进的备份技术，交换机的模块化、端口冗余和网管功能，使日后的管理和维护更方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠。安全性：提供多层次安全控制手段，建立完善的安全管理体系，防止数据受侵击和破坏，有可靠的防病措施。易用性：中文界面功能完善，界面友好，兼容性强。抗干扰性：能满足电力环境、电磁环境、气候环境等，抗干扰能力。经济性：投资合理，具有最高的性能价格比。突出体现在保护投资方面，系统的开放性，硬件设备的独立性，升级时能保护已有的投资。高传输性：主干网1000兆，快速以太网100兆交换到桌面。可管理性：网络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，灵活的操作方式简化了管理人员的工作。在设计企业网络的设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMON/RMONII协议，核心设备要求支持RAP(远程分析端口)协议，实施充分的网络管理功能。另外，在设计企业网络的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。

第三章方案详细设计网络拓扑是指用传输媒体互连各种设备的物理布局，特别是计算机分布的位置以及电缆如何通过它们。设计一个网络的时候，应根据自己的实际情况选择正确的拓扑方式。每种拓扑都有自己的优点和缺点，网络拓扑可以根据通信子网的通信信道分为两类，广播通信信道子网的拓扑与点到点通信子网的拓扑。采用广播通信信道子网的基本拓扑结构主要有：总线型，树型，环型，无线通信与卫星通信型，采用点到点的通信子网的基本拓扑结构主要有：星型，环型，树型与网状型拓扑。物理拓扑网络的物理拓扑结构是根据网络数据传输时传输介质的实际布局形式来划分的，物理布局就像是描述办公室、建筑物中如何布线的示意图，通常称为电缆线路，主要作用是解决施工布线的问题。此次彭州工业开发区科技园的主干网示意图3.1是根据科技园内的实际建筑分布情况来绘制的，园区内主要包括14户医药企业、12户机械企业、7户家具企业、12户建材企业等，主干网示意图中标识了部分企业与单位。图3.1园区主干拓扑图图3.1园区主干拓扑图逻辑拓扑设计经过前面对走势的具体情况。以保护园区原有投资为原则，经过仔细分析计算，我们给出如下彭州工业开发区科技园内部网络的详细分析，结合园区企业分布与已有线路的网络解决方案。园区整个网络的核心我们采用由3台具备路由功能的三层交换机构成的万兆环网，以解决网络对核心的压力。同时在各核心上面设计冗余线路，即使某一台设备故障将不会影响整个网络的使用，在企业汇聚设备与核心设备之间同样设计冗余线路，以保障企业内部网的稳定可靠，园区网络的详细逻辑拓扑（图3.2）可以了解整个园区的网络分布情况。园区内各个企业通过传输介质直接与园区中心机房相连，然后在企业内部构建自己的内部网络，企业内部详细逻辑拓扑（图3.3）是园区内一个企业的示意图，其他各企业可以结合自己的实际情况，根据企业对网络的需要来规划自己的内部网络平台。图3.2园区网详细逻辑拓扑图图3.2园区网详细逻辑拓扑图图3.3企业内部网详细逻辑拓扑图图3.3企业内部网详细逻辑拓扑图3.2综合布线综合布线包括整个园区的结构化布线系统，园区中心机房以及各企业的机房建设，包括机房装修，机房电源配置，防雷措施等。综合布线是否合理将影响着园区将来的规划建设，因此我们综合园区规划建设部的意见来考虑布线系统的详细设计。结构化布线1、工作区子系统工作区子系统指终端设备和信息插座之间的连接部分，包括装配软线，连接器和连接所需要的扩展软线，并在终端设备与I/O之间搭桥。工作区子系统所使用的连接器必须是ISDN标准的8位接口。这种接口能接受楼宇自动化系统所有低压信号以及数据网络信息和数码音频信号。2、水平布线子系统水平子系统（图3.4）是从用户工作区连接到垂直主干线子系统的线。水平子系统是整个结构化布线系统的一部分，它与主干线子系统的区别在于：水平子系统总在同一楼层，并与信息插座相连。在结构化布线系统中，水平子系统由5类UTP组成，能支持大多数的现代通讯设备。如果需要，可以采用光纤进行传输。从用户工作区的信息插座开始，水平布线子系统在交连处连接，或在小型通讯系统中在任何一处进行互连：远程通讯互连间、干线接线间或设备间。在设备间中，当终端设备处于同一楼层时，水平布线子系统将在干线接线间或通讯接线间的交叉处连接。3、干线子系统干线子系统又称垂直主干线子系统（图3.4），它提供建筑物干线电缆的路由。干线子系统通常是在两个单元之间，特别是在位于中央点的公共系统设备处提供多个线路设施。该子系统由所有的布线电缆组成，或光纤以及将光纤连到其它专访的相关支撑硬件组合而成。传输介质可能包括一栋多层建筑物之间垂直布线的内部电缆或从主要单元或其它干线间来的电缆。为了与建筑群的其它建筑物进行通讯，干线子系统将中继线交叉连接点和网络接口连接起来。网络接口通常放在设备相邻近的房间。网络接口是为这些设施和建筑物结构化布线系统之间划定界线。4、管理子系统管理子系统由交连、互连以及I/O组成。管理点是为了连接其它子系统提供连接的手段。交连和互连允许将通讯线路定位或重定位在建筑物的不同部分，以便能更容易的管理通讯线路。I/O位于用户工作区的其它房间或办公室，使得移动终端设备时能方便的进行插拔。在使用跨接线或插入线时，交叉连接允许将端接在单元一端的电缆上的通讯线路连接到单元另一端的电缆的线路。跨接线是一根很短的单导线，可将交叉连接处的两条电缆端点连接起来；插入线包括几根导线，而且每根导线的末端均有一个连接器，插入线为重新安排线路提供了一种简易的方法，而且不需要象安排跨接线时使用专用工具。互连与交叉连接目的相同，但不使用跨接线或插入线，只使用带插头的导线，插座和适配器。互连和交连也适用于光纤。光纤交叉连接要求使用光纤的插入线在两端带有光纤连接器的短光纤。根据布线安排和管理通讯线路以适应终端设备的位置变化的需要，在各种不同的交叉连接处可选用插入线。但在中继线交叉连接处，布线交叉连接处和干线连接线间，通常已安装好使用插入线的交叉连接硬件。图3.4布线系统示意图图3.4布线系统示意图在远程通讯连接区，如安装在墙上的布线区，交叉连接可以不要插入线，因为线路经常是通过跨接线连接到I/O上的。在大型布线系统中的上述位置，交叉连接处经常是将干线子系统的大型电缆转接到连接I/O的小型水平电缆的过渡点。在线路重新布置时，一般不使用这种方式给式交叉连接。5、设备间子系统设备间子系统由设备间的电缆，连接器和有关支撑硬件组成。它的作用是把公共系统设备的各种不同设备互连起来。该子系统将中继线交叉连接处和布线交叉连接处与公共系统设备连接起来。该子系统还包括设备间和临近单元中的导线，这些导线将设备或避雷装置连接到有效建筑物接地点。6、建筑群子系统建筑群子系统将一个建筑物中电缆延伸到建筑群的另一些建筑物中的通讯设备和装置上，建筑群子系统是结构化布线系统的一部分，它支持提供楼群之间通讯所需的硬件，其中包括导线电缆，光纤以及有效防止高压脉冲电压进入建筑物的电气保护装置。机房建设根据彭州工业开发区科技园的实际情况，结合未来5至10年的发展计划，把中心机房选定于彭州工业开发区园区的中心办公大楼3楼，其他企业根据实际情况设置配线间或小型分中心机房。1、机房环境建设中心机房作为园区整个网络的统一出口，同时将堆放大量重要的网络设备和服务器，也作为数据交换和存储中心，需要重点建设和保护。结彭州工业开发区科技园区的实际情况，参考《国家标准电子计算机机房设计规范（GB500174-93）》，建议着重从以下几个方面去考虑：中心机房位置选择应符合：水、电比较稳定可靠，交通，通讯方便，自然环境清洁远离产生粉尘、油烟、有害气体以及生产或贮存具有腐蚀性、易燃、易爆物品的工厂、仓库、堆场等远离强振源和强噪声源，避开强电磁场干扰防静电活动地板：离地面20~35cm安装防静电地板，墙面和吊顶材料选型注意耐久、抗震、保湿、隔热、防火、防尘等。恒温空调：做好空气调节系统，保持较好的温、湿度。防火装置：做好消防及防火措施，安装火灾自动报警系统和自动灭火系统。标准机柜：选用标准机柜摆放服务器及网络设备。弱电线缆桥架并安装配线架：机房内的线缆铺设注意强电穿管分流走下，弱电走桥架，用户线缆通过配线架接入并做标签。机房建设图2、机房电源系统电源系统将影响到整个机房的重要网络设备，需要重点考虑，参考《国家标准电子计算机机房电源设计规范（GB500174-93）》和《电气装置安装工程施工及验收规范（GB50169-92）》，主要从电源配电柜及UPS两个方面的建设入手。中心机房电气装置的施工主要包括供电电源系统、配电装置、自控系统、照明装置、通信设备、接地装置及其配线的安装。对接入的不同设备按应用种类分级、分流的安置插座，并统一接入电源配电柜进行管理，同时配以UPS，对重要设备进行双电源双引擎。配电柜的安装要求：配电箱、柜应有短路、过流保护，其紧急断电按钮与火灾报警联锁。配电箱、柜安装完毕后，进行编号，并标明箱、柜内各开关的用途以便于操作和检修。配电箱、柜内留有备用电路，作机房设备扩充时用电。彭州工业开发区科技园内大部分企业属于生产制造型，电源的保证是重点，除普通的稳压市电外，通常都配有发电机。而网络中心机房是整个网络平台的核心，为保证能为整个生产和应用提供不间断服务，建议配备上发电机和UPS，具体的安装说明如下：UPS供电电源：由电源互投柜引至墙面配电箱，分路送到活动地板下插座，再经插座分接计算机电源处，电缆用阻燃电缆，穿金属线槽钢管敷设。市电供电电源：由电源互投柜分别送至空调、照明配电箱和插座配电箱，再分路送至灯具及墙面插座。电缆用阻燃电缆，照明支路用塑铜线，穿金属线槽及钢管敷设。柴油发电机组：是作为特别重要负荷的应急电源，应满足的运行方式为：正常情况下，柴油发电机组应始终处于准备发动状态，当两路市电均终断时，机组应立即启动，并具备带100%负荷的能力。任意市电恢复时，机组应能自动退出运行并延时停机，恢复市电供电。机组与电力系统间应有防止并列运行的连锁装置。柴油发电机组的容量应按照用电负荷的分类来确定，因为有的负荷需要很大的启动功率，如空调电动机，这就需要合理选择发电机组容量，以避免过大的启动电压降，一般根据上述用电负荷总功率的2.5倍来计算。3、机房防雷系统防雷系统应该本着“安全可靠、技术先进、经济合理”的指导思想进行规划，并按照《国家标准电子计算机机房防雷设计规范（GB500174-93）》实施。根据科技园区的实际情况，对于计算机系统特别是计算机中心机房的保护除了做好常规的防雷设施和处理好接地问题外，还应在中心机房和UPS内加装相应的过电压保护装置，以消除电网浪涌、雷电感应电压、设备切换等意外事件对设备的冲击和毁坏。要求进入UPS和中心机房内的电源线、信号线应通过防雷、防过压处理，设备外壳、金属门、窗、管道、静电地板等应进行等电位处理。并在低压配电电源电缆进线输入端加装电源防雷器，防雷接地电阻要求小于10Ω。4、空调系统根据GB2887-82计算机场地技术要求，按A级设计，温度T=23℃±2℃，相对湿度=55%±5%，夏季取上限，冬季取下限。气流组织采用下送风、上回风，即抗静电活动地板静压箱送风，吊顶天花微孔板回风。新风量设计取总风量的10%，中低度过滤，新风与回风混合后，进入空调设备处理，提高控制精度，节省投资，方便管理。3.3主干技术选型目前流行的局域网、城域网技术主要包括以太网、快速以太网、ATM（异步传输模式）、FDDI、CDDI、万兆以太网、千兆以太网等。其中千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点占据主流位置。万兆以太网技术以太网采用CSMA/CD机制，即带碰撞检测的载波监听多重访问。千兆以太网接口基本应用在点到点线路，不再共享带宽。碰撞检测，载波监听和多重访问已不再重要。千兆以太网与传统低速以太网最大的相似之处在于采用相同的以太网帧结构。万兆以太网技术与千兆以太网类似，仍然保留了以太网帧结构。通过不同的编码方式或波分复用提供10Gbit/s传输速度。所以就其本质而言，10G以太网仍是以太网的一种类型。10G以太网于2002年7月在IEEE通过。10G以太网包括10GBASE－X、10GBASE－R和10GBASE－W。10GBASE－X使用一种特紧凑包装，含有1个较简单的WDM器件、4个接收器和4个在1300nm波长附近以大约25nm为间隔工作的激光器，每一对发送器/接收器在3.125Gbit/s速度（数据流速度为2.5Gbit/s）下工作。10GBASE－R是一种使用64B/66B编码（不是在千兆以太网中所用的8B/10B）的串行接口，数据流为10.000Gbit/s，因而产生的时钟速率为10.3Gbit/s。10GBASE－W是广域网接口，与SONETOC-192兼容，其时钟为9.953Gbit/s数据流为9.585Gbit/s。由于10G以太网实质上是高速以太网，所以为了与传统的以太网兼容必须采用传统以太网的帧格式承载业务。为了达到10Gbit/s的高速率可以采用OC-192c帧格式传输。这就需要在物理子层实现从以太网帧到OC-192c帧格式的映射功能。同时，由于以太网的原设计是面向局域网的，网络管理功能较弱，传输距离短并且其物理线路没有任何保护措施。当以太网作为广域网进行长距离、高速率传输时必然会导致线路信号频率和相位产生较大的抖动，而且以太网的传输是异步的，在接收端实现信号同步比较困难。因此，如果以太网帧要在广域网中传输，需要对以太网帧格式进行修改。以太网一般利用物理层中特殊的10B(Byte)代码实现帧定界的。当MAC层有数据需要发送时，PCS子层对这些数据进行8B/10B编码，当发现帧头和帧尾时，自动添加特殊的码组SFD(帧起始定界符)和EFD（帧结束定界符）；当PCS子层收到来自底层的10B编码数据时，可很容易地根据SFD和EFD找到帧的起始和结束从而完成帧定界。但是SDH中承载的千兆以太网帧定界不同于标准的千兆以太网帧定界，因为复用的数据已经恢复成8B编码的码组，去掉了SFD和EFD。如果只利用千兆以太网的前导(Preamble)和帧起始定界符（SFD）进行帧定界，由于信息数据中出现与前导和帧起始定界符相同码组的概率较大，采用这样的帧定界策略可能会造成接收端始终无法进行正确的以太网帧定界。为了避免上述情况，10G以太网采用了HEC策略。IEEE802.3HSSG小组为此提出了修改千兆以太网帧格式的建议，在以太网帧中添加了长度域和HEC域。为了在定帧过程中方便查找下一个帧位置，同时由于最大帧长为1518字节，则最少需要11个比特（=2048），所以在复接MAC帧的过程中用两个字节替换前导头两个字节作为长度字段，然后对这8个字节进行CRC-16校验，将最后得到的两个字节作为HEC插入SFD之后。10GWAN物理层并不是简单的将以太网MAC帧用OC-192c承载。虽然借鉴了OC-192c的块状帧结构、指针、映射以及分层的开销，但是在SDH帧结构的基础上做了大量的简化，使得修改后的以太网对抖动不敏感，对时钟的要求不高。具体表现在：减少了许多开销字节，仅采用了帧定位字节A1和A2段层误码监视B1、踪迹字节J0、同步状态字节S1、保护倒换字节K1和K2以及备用字节Z0，对没有定义或没有使用的字节填充00000000。减少了许多不必要的开销，简化了SDH帧结构，与千兆以太网相比，增强了物理层的网络管理和维护，可在物理线路上实现保护倒换。其次，避免了繁琐的同步复用，信号不是从低速率复用成高速率流，而是直接映射到OC-192c净负荷中。10G以太局域网和10G以太广域网（采用OC-192c）物理层的速率不同，10G以太局域网的数据率为10Gbit/s,而10G以太广域网的数据率为9.58464Gbit/s（SDHOC-192c，是PCS层未编码前的速率），但是两种速率的物理层共用一个MAC层，MAC层的工作速率为10Gbit/s。采用什么样的调整策略将10GMII接口的10Gbit/s传输速率降低，使之与物理层的传输速率9.58464Gbit/s相匹配，是10G-192c在GMII接口处发送HOLD信号，MAC层在一个时钟周期停止发送；利用“Busyidle”，物理层向MAC层在IPG期间发送“Busyidle”，MAC层收到后，暂停发送数据。物理层向MAC层在IPG期间发送“Normalidle”,MAC层收到后，重新发送数据；采用IPG延长机制：MAC帧每次传完一帧，根据平均数据速率动态调整IPG间隔。千兆位以太网技术千兆位以太网技术（GigabitEthernet）以简单的以太网技术为基础，为网络主干提供1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。现在千兆位以太网成熟的标准为IEEE802.3z，IEEE802.3z的目标是：使用IEEE802.3帧格式；可以使用全双工和半双工；共享模式下仍使用CSMA/CD；对安装介质的向后兼容；传输速度比快速以太网提高十倍，比以太网提高一百倍。千兆以太网通过载波扩展（CarrierExtension）、采用带中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500M至3000M。如采用1300nm激光器和50um的多模光纤传输距离可以达到3km。现在，一些交换机上的千兆以太网接口还支持LongHaul(LH)的标准，采用光纤可以支持高达60Km的传输距离。千兆位以太网能够提供更高的带宽，并且成为有强大伸缩性的以太网家族的第三个成员。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来，因为千兆位以太网的帧格式和帧尺寸大小等都与所有以太网技术相同，不需要对网络做任何改变。这种升级方法使得千兆位以太网相对于其他高速网络技术而言，在经济和管理性能方面都是较好的选择。在Intranet应用中，有很多新的应用需求不断出现，包括视频和音频。以前人们认为这些对时延要求高的应用只有在ATM这样的网络上才能实现，然而现在一些新技术（交换技术、视频压缩技术，如MPEG－2)、新协议（RTP、RTCP、RSVP等）和新标准（如802.1Q、802.1p等）的出现使得在局域网中千兆位以太网也可以极好地支持视频和音频等多媒体数据应用。千兆位以太网的设计非常灵活，几乎对网络结构没有限制，可以是交换式、共享式的或基于路由器的。现在正在应用的网络互连技术，例如，特定IP交换技术和第三层的交换技术，都与千兆位以太网完全兼容。千兆位以太网可以通过价格便宜的共享集线器、交换机或路由器来实现。千兆位以太网支持新的交换机之间或交换机与工作站之间全双工的连接模式，同时也支持半双工连接模式以便与基于CSMA/CD存取方式的共享集线器连接。千兆以太网技术的优点：技术简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。便于升级，从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网，并不需要掌握新的配置、管理与排除故障技术；网络投资可以得到保护，无需对用户进行再培训，也无需为额外的网络协议进行投资；千兆以太网有良好的互操作性，并具有向后兼容性；端口价格相对较低；可以提供10倍于快速以太网的传输速度。千兆位以太网与ATM比较由于ATM技术的复杂性，标准的制定仍在进行中，需要时间完善。千兆以太网媒质支持STP，UTP5，单模光纤，多模光纤；ATM-622M及更高速的只能在光纤上运行；从学习曲线技术的复杂性角度，千兆以太网容易学习ATM较难学习；千兆以太网与现存的各种数据应用程序及网络的兼容性无需作任何改动。ATM与现有LAN协同工作技术复杂且效率低；另外，千兆以太网Qos保证不同类型应用RSVP，RTP，RTCP，802.1p等新的技术协议以及在IP优先级方面的一系列技术，ATM在LANE的情况下，需要SVCs或IETF正在制定的RSVP的复杂映射来解决；其次千兆以太网可以实现多厂家产品的互操作性基于标准的互联高层的互操作性，如交换机到交换机信令，而经过ATM的多协议则无保证，标准还在改进中。千兆以太网VLAN的支持与快速以太网一致，但同样的VLAN连接与组成标准能容易地覆盖以太网快速以太网及千兆位以太网能映像基于LAN的发布领域，而与ATM的可互操作性是既枯燥又复杂的。总之，千兆以太网络比ATM网络在园区骨干网络的发展更具有生命力，更加的物美价廉。3.4详细设计根据彭州工业开发区科技园网络现状为适应未来园区企业业务发展需求，以及上面流行技术的比较，我们选择万兆骨干，千兆到企业桌面的网络构架，即骨干交换机（核心层和汇聚层）之间采用万兆连接，接入交换机与桌面系统（包括服务器和工作站）之间的连接采用10/100/1000M自适应端口来实现。另外，采用先进的分层网络设计原则，如图3.6所示，整个网络采用经典的三层网络构架。图3.6三层网络结构图分布式三层网络构架的优点1、主干采用三层构架，充分利用三层交换的高性能管理，满足大容量、高速率的数据传输。2、基于三层的管理，对网络的各种信息数据处理游刃有余。3、分布式的三层提供强大的系统张力，有利于今后网络的扩充、维护和管理。4、三层交换技术实现网络路由管理。不但有效地控制了网络风暴，又能实现跨VLAN的网络连接，为网络安全提供了强有力的保障。5、分布式三层结构使管理智能化，提高了管理效率。三层与二层网络构架的比较1、与二层交换网络的区别分布式三层网络提供基于二层交换技术的智能网管和支持流行的路由协议，把二层交换与路由器的优点有机结合起来，从而满足各种高级的网络应用需求。2、与中心式三层核心交换网络的区别分布式三层网络可管理到每一个基层网络，大大减少了骨干网的负担。分布式三层网络的管理能力是均衡的，避免了中心式三层核心交换网络存在的头大身子小的堆叠式、大容量、高背板带宽、价格昂贵的不足。三层网络的功能1、采用三层交换机负责网络管理，通过VLAN划分有效抑制广播风暴，同时保证了不同子网间的正常访问。2、分布式三层交换支持流行的路由协议，实现各交换机间跨网段访问。3、实现网络安全控制。三层交换机不但能提供对MAC地址的分析，还能对IP包进行监测分析，提高网络的安全性。4、分布式三层交换使网络从主干到支干全面智能化，能支持IGMP、DVMRP、SNMP以及多种数据包监测等高级应用，可以提供电视会议、影像互动、视频点播等多种视频网络服务。因此，采用分布式三层网络的构架是必须的。主干路由设计主干路由的选择是否适合将影响到整体网络的性能，根据彭州工业开发区科技园的实际情况，生产型企业与事业单位众多，造成内部小型LAN多，接入点数据量大。因此，我们选择OSPF(OpenShortestPathFirst开放式最短路径优先)路由协议作为主干路由。OSPF是一种典型的链路状态路由协议。采用OSPF的路由器或三层交换机彼此交换并保存整个网络的链路信息，从而掌握全网的拓扑结构，独立计算路由。因为RIP路由协议不能服务于大型网络，所以，IETF的IGP工作组特别开发出链路状态协议——OSPF。目前广为使用的是OSPF第二版，最新标准为RFC2328。OSPF作为一种内部网关协议（InteriorGatewayProtocol，IGP），用于在同一个自治域（AS）中的路由器之间发布路由信息。区别于距离矢量协议(RIP)，OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点，在目前应用的路由协议中占有相当重要的地位。关于OSPF路由协议的几个关键性概念：1、链路状态OSPF路由器收集其所在网络区域上各路由器的连接状态信息，即链路状态信息（Link-State），生成链路状态数据库(Link-StateDatabase)。路由器掌握了该区域上所有路由器的链路状态信息，也就等于了解了整个网络的拓扑状况。OSPF路由器利用“最短路径优先算法(ShortestPathFirst,SPF)”，独立地计算出到达任意目的地的路由。2、区域OSPF协议引入“分层路由”的概念，将网络分割成一个“主干”连接的一组相互独立的部分，这些相互独立的部分被称为“区域”(Area)，“主干”的部分称为“主干区域”。每个区域就如同一个独立的网络，该区域的OSPF路由器只保存该区域的链路状态。每个路由器的链路状态数据库都可以保持合理的大小，路由计算的时间、报文数量都不会过大。3、OSPF网络类型根据路由器所连接的物理网络不同，OSPF将网络划分为四种类型：广播多路访问型（BroadcastMulti-Access）、非广播多路访问型（NoneBroadcastMulti-Access，NBMA）、点到点型（Point-to-Point）、点到多点型（Point-to-Multipoint）。4、指派路由器（DR）和备份指派路由器（BDR）在多路访问网络上可能存在多个路由器，为了避免路由器之间建立完全相邻关系而引起的大量开销，OSPF要求在区域中选举一个DR。每个路由器都与之建立完全相邻关系。DR负责收集所有的链路状态信息，并发布给其他路由器。选举DR的同时也选举出一个BDR，在DR失效的时候，BDR担负起DR的职责。点对点型网络不需要DR，因为只存在两个节点，彼此间完全相邻。协议组成OSPF协议由Hello协议、交换协议、扩散协议组成。当路由器开启一个端口的OSPF路由时，将会从这个端口发出一个Hello报文，以后它也将以一定的间隔周期性地发送Hello报文。OSPF路由器用Hello报文来初始化新的相邻关系以及确认相邻的路由器邻居之间的通信状态。对广播型网络和非广播型多路访问网络，路由器使用Hello协议选举出一个DR。在广播型网络里，Hello报文使用多播地址周期性广播，并通过这个过程自动发现路由器邻居。策略路由规划传统的路由策略都是使用从路由协议派生出来的路由表，根据目的地址进行报文的转发。在这种机制下，路由器只能根据报文的目的地址为用户提供比较单一的路由方式，它更多的是解决网络数据的转发问题，而不能提供有差别的服务。基于策略的路由比传统路由控制能力更强，使用更灵活，它使网络管理者不仅能够根据目的地址，而且能够根据协议类型、报文大小、应用、IP源地址或者其它的策略来选择转发路径。策略可以根据实际应用的需要进行定义来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS或者满足某种特定需求。策略路由提供了这样一种机制：根据网络管理者制定的标准来进行报文的转发。这种标准根据实际的应用需求来指定，它的依据可以是协议类型、应用、报文大小、或者IP源地址中的一个或者多个的组合。当数据包经过路由器转发时，路由器根据预先设定的策略对数据包进行匹配，如果匹配到一条策略，就根据该条策略指定的路由进行转发；如果没有匹配到任何策略，就使用路由表中的各项根据目的地址对报文进行路由。安全网关提供灵活的策略路由能力，不仅能够根据源地址、协议类型、应用、报文大小、链路流量进行路由，而且可以根据报文数据流的发起方向来确定以后的路由，在使用时更加灵活，能够满足各种应用环境的需要。常见的应用模式有以下几种：1、上网负载均衡：对于多条ISP线路，网络管理员可以在不同的路径之间根据带宽分配内网上网流量，实现负载平衡。2、基于源地址选路：例如一个网络通过两条速度不同的线路接入互联网，管理员可以指定内网中一些特定的用户使用快速线路，而普通用户使用慢速线路。3、根据服务级别选路：对于不同服务要求（如：传送速率、吞吐量以及可靠性等）的数据，根据网络的状况进行不同的路由。如：指定语音与视频等应用走带宽大的线路，数据应用走带宽小的线路。4、VPN线路备份：安全网关的几条接入线路都可以作为VPN接入的端点，移动用户可以从任何一个接入点通过VPN隧道安全接入内网，从而实现VPN接入线路的相互备份。核心层设计核心层是互联网络的高速主干网，用以连接服务器群、建筑群到网络中心，或在一个大型建筑物内连接多个交换机管理间到网络中心设备间，这样核心层便成为网络间数据包交换的至关重要的一层。为了保证核心层具有高可靠性，并且具有快速适应能力，不会因为某条路径故障导致网络瘫痪，必须采用冗余组件设计核心层，如采用最新的链路聚合技术（快速以太网的FEC、万兆以太网的10GEC等）来解决冗余连接链路的负载。在核心层的设备主要为路由器、三层交换机等，在配置这些设备的时候，应该考虑优化分组吞吐量的路由特性，应避免使用分组过滤或其他可能会降低处理器效率的功能。为了降低网络时延和获得良好的可管理性，必须精心设计核心层，使核心层设备之间既相互独立又相互关联。对于需要通过外部网或经过Internet连接的其他企业网络来说，核心层拓扑结构应当有多条连接到外部网络的通道。由于核心层处于主干网络，而主干网技术的选择要根据需求分析中的数据来定，主干网络一般用来连接建筑群和服务器群，因而核心层可能承担网络上40%~60%的信息流。因此，在实现主干网的时候，传输介质应选用光缆，采用的主要技术为万兆、千兆以太网等。从易用性、先进性和扩展性的角度考虑，采用千兆以太网技术为最常见。综上所述，在核心层采用3台RG-S6806E构成万兆光纤环网。使用OSPF作为主干交换技术。以解决多用户，高设备压力的问题。RG-S6806E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽，并支持将来扩展到4.8T/2.4T的能力，高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。RG-S6806E交换机通过扩展高性能的多业务卡支持策略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等业务功能，满足企业环境灵活而复杂的不同应用需求。具有强大数据处理设计（SPOH设计）其交换、路由、ACL、QoS等复杂功能通过硬件实现，避免了软件实现同样功能对数据高速处理的影响。强大的扩展能力提供2.4T/1.2T背板带宽，在不更换机箱的情况下，未来仅通过更换管理模块可以支持背板带宽扩展到4.8T/2.4T。汇聚层设计汇聚层对下将接入层交换机的数据进行汇聚，对上通过高速接口将数据传输到核心交换机，起着承上启下的作用。设计汇聚层的时候，根据汇聚层的主要功能，应充分考虑以下几点：汇聚层设备要有足够的带宽具有三层和多层交换特性具有灵活多样的业务能力须具有冗余和负载均衡能力汇聚交换机起着中间桥梁的作用，要选择既能满足现在网络的需要，又要在将来网络升级时不被淘汰掉，在满足需要的前提下，尽可能的节约网络建设投入。基于以上分析和彭州工业开发区科技园的实际情况，为保护企业原有投资将原有核心设备作为汇聚层设备使用，并添加多台高性能、高安全、多智能、易用性的锐捷RG-S3750-24在汇聚层使用。汇聚与核心之间使用千兆多模光纤连接，并实现冗余链路。并在汇聚中使用ACL控制用户访问权限。RG-S3750系列交换机充分融合了高性能、高安全、多智能、易用性的多层交换机。该系列交换机硬件支持多层线速交换，并提供了丰富而完善的路由协议，以适合大型网络多种路由和高性能的需要。RG-S3750系列交换机提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理使用网络资源，充分保障网络安全、网络合理化使用和运营，并可以根据网络实际使用环境，实施灵活多样的安全控制策略。接入层设计接入层为用户提供对网络中本地网段的访问，它的主要作用是将工作组与汇聚层连接起来，主要完成逻辑网络分段、基于工作组或LAN隔离广播通信以及在多个CPU之间分布服务。它有以下一些特点：提供各种不同数量的100Mbps端口到用户，提供100Mbps或1Gbps（电口、光口）上行端口到上层交换机高性能，低成本，所有端口支持全线速二层交换支持标准的以太网协议，支持丰富的业界标准，充分考虑兼容现有网络设施网络设备可扩展性好，可平滑升级支持丰富的业务特性方便使用的网管考虑以上分析，在接入层使用STAR-S2126G作为接入层设备.该设备为可堆叠的安全智能交换机，能提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。各部门之间使用虚拟局域网（VLAN）策略，提高局域网络内部安全与性能。使用千兆单模光纤接入到汇聚层。STAR-S2126G可通过SNMP、Telnet、Web和Console口等多种配置方式提供丰富的管理。STAR-S2126G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。安全设计安全设备采用RG-WALL1200防火墙,RG-WALL1200防火墙是锐捷采用独创的分类算法（ClassificationAlgorithm）设计的新一代安全产品，支持扩展的状态检测（StatefulInspection）技术，具备高性能的数据过滤传输功能；同时在启用动态端口应用程序(如VoIP,H323等)时，可提供强有力的安全通道。网络管理平台在本设计中管理系统使用StarView系统，StarView网络管理系统是一套基于Windows平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统。它是由锐捷网络自主开发的软件产品。远端分公司解决方案远端分公司以VPN方式通过Internet建立连接，可以高效率、高可靠性、高性价比进行网络互通。设计经济实用，采用高性价比产品配置，支持系统平滑升级过度。VPN即虚拟专用网(VirtualPrivateNetwork)，是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。目前，用于企业内部自建VPN的主要有两种技术——IPSecVPN和SSLVPN，IPSecVPN和SSLVPN主要解决的是基于互联网的远程接入和互联，虽然在技术上来说，它们也可以部署在其它的网络上(如专线)，但那样就失去了其应用的灵活性，它们更适用于商业客户等对价格特别敏感的客户。但针对IPSecVPN和SSLVPN两种技术，目前业内存在着较多争议。虽然目前企业应用最广泛的是IPSecVPN，然而InformaticsResearch研究表明，在未来的几年中IPSec的市场份额将下降，而SSLVPN将逐渐上升。用户在考虑采用哪种技术时经常会遇到两难的选择，即安全性与使用便利的冲突。而事实上没有哪一种技术是完美的，只有用户明确了自己的需求，才能选择到适合自己的解决方案。IPSecVPN比较适合中小企业，其拥有较多的分支机构，并通过VPN隧道进行站点之间的连接，交换大容量的数据。企业有一定的规模，并且在IT建设、管理和维护方面拥有一定经验的员工。企业的数据比较敏感，要求安全级别较高。企业员工不能随便通过任意一台电脑就访问企业内部信息，移动办公员工的笔记本或电脑要配置防火墙和杀毒软件。而SSLVPN更适合那些需要很强灵活性的企业，员工需要在不同地点都可以轻易的访问公司内部资源，并可能通过各种移动终端或设备。企业的IT维护水平较低，员工对IT技术了解甚少，并且IT方面的投资不多。因此，选用VPN技术解决与远端分公司通信的方案是必须的，同时也是合理的，既能满足企业需求，又能为企业网络节约成本。

第四章设备选型4.1设备选型原则在网络设备的选择中将根据彭州工业开发区科技园的具体情况，对网络的需求以及园区内各企业的需求，设备选型将根据以下几点原则进行实施：稳定可靠性：只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。高带宽：为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。易扩展性：系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。QoS(英文全称为"QualityofService"，中文名为"服务质量"。)QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。保证随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证QoS，以支持这类应用。安全性：网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。易控制管理性：因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。符合IP发展趋势：在当前任何一个提供服务的网络中，对IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如IpV6，IPQoS，IPOverSONET等等新兴的技术不断出现，北京飞腾集团园区网网络络必须跟紧IP发展的步伐，也就是必须选择处于IP发展领导地位的网络厂商。4.2设备清单根据以上原则，结合前面详细设计中提及的设备需求，我们给出以下设备清单（表4-1），以供参考。表4.1设备清单设备名称设备基本参数参考价格（元）设备数量（台）合计（元）STAR-S2024E24口10/100M交换机，两个扩展槽可上100M、1000M光纤/电口模块37504201575000RG-S3750-2424端口10/100M自适应端口4个SFP接口和4个复用的10/100/1000M自适应电口1100042462000Mini-GBIC-LH1000BASE-LHminiGBIC转换模块，40km1200042504000RG-S6806E-BASE（V3.x）6扩展槽主机箱（硬件版本V3.x含1个交流电源和风扇，不含管理引擎，含SWP）660003198000M6806E-CM（V3.x）可以冗余，提供600G交换容量）563203168960RG-PA1200交流电源模块（可以冗余，1200W）180406108240M6800E-24SFP24端口MINI-GBIC千兆模块92400192400M6800E-12SFP/GT12口10/100/1000M电口/MINI-GBIC复用模块880002176000RGWALL-1200固化4个10/100/1000BaseT+2个千兆SX光口最大并发连接数达1,500,000sessions2000001200000总计34846004.3设备简介核心设备RG-S6806E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，RG-S6806E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。详细技术参数如下表：表4.2RG-S6806E详细参数表产品型号RG-S6806E模块插槽6个（2个用于管理引擎模块）背板800G（可扩展1.6T）1.2T（可扩展2.4T）（V3.x）交换容量400G600G（V3.x引擎）包转发速率L2/L3：286MppsL2/L3：428M（V3.x引擎）MAC地址64K路由表项256K802.1qVLAN4KL2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ae、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、portmirror、IGMPSNOOPING、Aggregateport、GVRP、jumboframe(9Kbytes)、QINQL3协议BGP4、OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、DVMRP、PIM-SM/DM、PIM-SSM、LPMRouting、Policy-basedRouting、ECMP、WCMP病毒攻击防护全面的ACL、防源IP地址欺骗（SouceIPSpoofing）、防DOS攻击（Synflood，Smurf），防扫描（PingSweep）管理方式SNMPv1/v2/v3、Telnet、Console、CLI、RMON、SSH其它协议SNTP、VRRP、BootP/DHCPclient、ARPPROXY、DHCPrelay、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect、Syslog汇聚设备RG-S3750系列是锐捷网络新推出的充分融合了高性能、高安全、多智能、易用性的新一代多层交换机。RG-S3750系列交换机提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理使用网络资源，充分保障网络安全、网络合理化使用和运营，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，详细技术参数如下表：表4.3RG-S3750-24详细参数表产品型号RG-S3750-24固定端口24端口10/100M自适应端口，4个SFP接口和4个复用的10/100/1000M自适应端口可用SFP模块Mini-GBIC-LH40：1000BASE-LHminiGBIC转换模块（LC接口），40km；Mini-GBIC-ZX50：1000BASE-ZXminiGBIC转换模块（LC接口），50km；Mini-GBIC-ZX80：1000BASE-ZXminiGBIC转换模块（LC接口），80km背板包转发速率L2：线速（9.6Mpps）、L3：线速（9.6Mpps）MAC16K802.1qVLAN4KACL标准IPACL、扩展IPACL、MAC扩展ACL、基于时间ACL、专家级ACLL2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3、LLDPL3协议OSPF、ECMP/WCMP、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3管理协议SNMPv1/v2/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、SNTP、Syslog其它协议DHCPRelay、BootP、DNSClientJumboFrame支持网络介质和最大传输距离1000BASE-SX：波长850nm，220m；50/125um多模光纤线的最大传输距离为500m；1000BASE-LX：波长1310nm，550m；50/125um多模光纤线的最大传输距离为550m；接入层设备RG-S2126是锐捷网络专门针对企业级网络安全防范、全局智能管理的广泛需求，量身设计的一款高性能、高安全、可堆叠的网管型以太网交换机。其基于高背板全线速设计，通过提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，可以根据企业级网络多种应用，实施灵活多样的ACL访问控制和安全防范；灵活的堆叠功能，可随时智能创建高密度端口的集中管理模式，方便用户在接入层的数据集中管理；针对不同的管理手段，分别提供了SNMP、Telnet、Web和Console口等多种管理方式。RG-S2126以普通网管交换机的价格提供了高性价比的端到端数据安全访问解决方案，特别适合企业级网络建设、宽带社区、电子政务网等高安全、高效管理需求的应用场合。详细技术参数如下表：表4.4RG-S2126详细参数表产品型号RG-S2126固定端口24个10Base-T/100Base-TXRJ45端口扩展模块插槽2个扩展插槽，可扩展最大2个百兆/千兆接口模块模块RG-MGSX单口千兆短波光纤接口模块RG-MGLX单口千兆长波光纤接口模块RG-MGT单口千兆铜缆电接口模块RG-M100FX单口百兆多模光纤接口模块RG-M100FX-S单口百兆单模光纤接口模块RG-MSTACK堆叠模块协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q、IEEEE802.1d、IEEE802.1w、IEEE802.1s、LLDP管理协议SNMPv1/v2/v3、Web（JAVA）、CLI（Telnet/Console）、RMON(1,2,3,9)、集群、SSH、Syslog其它协议BOOTP/DHCPRelay组播协议IGMPSnooping，支持IGMP源端口检查背板包转发速率线速（6.6Mpps）MAC地址8K802.1QVLAN最大256个，支持4KVLAN透传，支持PVLAN端口镜像支持一对多镜像，可分别基于输入/输出流的镜像端口聚合最大6组，每组最大聚合8个百兆端口、2个千兆端口堆叠支持，最大8台堆叠，堆叠体各上联端口仍可支持端口聚合广播风暴抑制支持安全设备1、防火墙安全设备采用RG-WALL1200防火墙,RG-WALL1200防火墙是锐捷采用独创的分类算法（ClassificationAlgorithm）设计的新一代安全产品，支持扩展的状态检测（StatefulInspection）技术，具备高性能的数据过滤传输功能；同时在启用动态端口应用程序(如VoIP,H323等)时，可提供强有力的安全通道。该防火墙的高速性能不受策略数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL1200在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL1200具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL1200的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。表4.5RG-WALL1200详细参数表产品型号RG-WALL1200千兆防火墙端口固化4个10/100/1000BaseT+2个千兆SX光口最大并发连接数1,500,000吞吐量（最大）策略数65,535尺寸标准19英寸宽度，2U高度2、网络管理系统在本设计中管理系统使用StarView系统，StarView网络管理系统是一套基于Windows平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统，它是由锐捷网络自主开发的软件产品。StarView管理系统能提供整个网络的拓扑结构，能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理，结合管理设备所支持的SNMP管理、Telnet管理、Web管理、RMON管理等构成一个功能齐全的网络管理解决方案，实现从网络级到设备级的全方位的网络管理。StarView可以对整个网络上的网络设备进行集中式的配置、监视和控制，自动检测网络拓扑结构，监视和控制网段和端口，以及进行网络流量的统计和错误统计，网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。服务器1、服务器需求根据公司业务需求及未来发展需要，将涉及的网络应用和业务应用较多，下表是企业应用的服务以及对应的服务器需求情况对照表：表4.6服务器需求情况应用类型及名称服务器需求情况及补充建议数量WWW部门级服务器（快速网卡）1FTP部门级服务器（磁盘容量、快速网卡）1OA部门级服务器（数据备份）1财务系统企业级服务器（数据备份）1Mail系统企业级服务器（高速处理器、大容量内存、数据备份）1网络管理和监控企业级服务器（高速处理器、大容量内存、数据备份）12、服务器推荐配置综上所述，联系企业的实际情况予以分析，为了很好的满足各服务器的需要，提供完美系统服务平台，我们推荐了企业级服务器和部门级服务器各一套以供选择。表4.7企业级服务器参数设备类型企业级服务器（HPProliantDL580G5）外观结构机架式主板扩展插槽8个支持操作系统MicrosoftWindowsServer2003；RedHatEnterpriseLinux；SuSELinuxEnterpriseServer；NovellNetWare；SunSolarisIntelPlatformEdition；VMware虚拟化软件处理器类型IntelXeonMPX7350标称主频2930MHzCPU核心Tigerton(四核心)标配处理器数量4最大处理