网络方案设计思路.docx

网络方案设计思路.docx

《网络方案设计思路.docx》由会员分享，可在线阅读，更多相关《网络方案设计思路.docx（19页珍藏版）》请在冰豆网上搜索。

网络方案设计思路

网络方案设计

（假想一个大型企业）

一.分析客户需求

1.简要描述企业规模、经营业务

2.当前该企业网络现状分析：

3.企业网络需求分析：

二、网络设计原则

1.实用性

2.先进性

3.可扩展性

4.高可用性

三、方案设计

1.选用合适的网络技术

局域网：

VLAN技术

广域网：

DDN专线SDH专线MPLS-VPN（实现业务分离）

互连网：

100M光纤联通、电信双线冗余

2.选用合适的网络设备

不同模块采用的产品要满足该模块的功能实现，并留下一定的扩展性，以满足今后网络扩容的需要。

核心层：

CISCO65092台

汇聚层：

CISCO3560/37502台

接入层：

CISCO296040台

广域网路由器：

CISCO38453台

防火墙：

CISCOASA5520或天融信千兆防火墙任一型号3台

3.网络拓扑设计

●交换拓扑设计

●路由拓扑设计

4.网络技术分析

4.1全网IP地址规划

郑州总部采用172.16.0.0/16网段，划分子网，安排各个部门；西安和上海分支采用172.17.0.0/16和172.18.0.0/16网段，并划分子网。

中转路径:

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

…….

192.168.20.0广域网连接西安

192.168.30.0广域网连接上海

园区网用户:

172.16.0.0/16

行政部VLAN10172.16.10.0/24

人事部VLAN20172.16.20.0/24

财务部VLAN30172.16.30.0/24

企管部VLAN40172.16.40.0/24

厂房一区VLAN50172.16.50.0/24

厂房二区VLAN60172.16.60.1/24

营销中心VLAN70172.16.70.0/24

科研楼VLAN80172.16.80.0/24

服务器群组一（OA/文件…）:

VLAN110172.16.110.0/24

服务器群组二（内部WWW/FTP…）:

VLAN120172.16.120.0/24

4.2交换技术分析

4.2.1为优化网络性能，减少广播对网络的影响，及方便对合部门的安全管理，分别在核心层65-1和65-2上划分VLAN50-120,在接入层35-1和35-2上划分VLAN10,20,30,40P安排各个部门。

具体划分如下：

35-1和35-2

行政部VLAN10

人事部VLAN20

财务部VLAN30

企管部VLAN40

65-1和65-2

厂房一区VLAN50

厂房二区VLAN60

营销中心VLAN70

科研楼VLAN80

4.2.2HSRP的实施:

简要阐述HSRP的作用：

略

S35-1作为VLAN10和VLAN20的主网关,同时作为VLAN30和VLAN40的备用网关.

S35-2作为VLAN30和VLAN40的主网关,同时作为VLAN10和VLAN20的备用网关.

4.2.3STP的实施:

简要阐述STP的作用：

略

S35-1作为VLAN10和VLAN20的主根桥,同时作为VLAN30和VLAN40的备用根桥.

S35-2作为VLAN30和VLAN40的主根桥,同时作为VLAN10和VLAN20的备用根桥.

4.3路由技术分析

总部有10个用户网段，9个中转路径，同时还连接两个分支机构，为优化网络性能，建议采用多区的OSPF协议。

设计如下：

广域网区域为区域0,总部为区域10,两个分支机构分别为区域1和2.

在区域边界路由器R1、R2、R3上进行路由汇总：

总部:

172.16.0.0/16

分支一：

172.17.0.0/16

分支二：

172.18.0.0/16

第四章远程接入

1.使用DDN专线实现总部与分支机构互连

随着网络的飞速发展，企业总部和各分支机构之间需要实现网络互联，DDN专线可以提供稳定、可靠、安全的数据传输，非常适合总部与分支间的互连。

2.用IPSECVPN实现总部与移动办公、家庭办公互连

VPN特点

    ●不限流量，不限网址，包月使用，费用低廉；

  ●不需额外的设备或软件，无须缴纳初装费；

 ●配置简单，使用方便，可自由访问互联网；

●安全性高，接入灵活

第五章方案优势/特点

按照以上方案建设的该企业大型园区网络，全线使用CISCO产品，易管理，安全性高。

1.在园区网的整体规划中，采用了层次化的设计方案，既优化了网络的性能，又实现网络的可扩展性，方便了今后网络的扩容。

2.在园区网中合理地选择了交换产品，体现了性能卓越而又经济实用的原则；

3.在办公楼采用了HSRP和STP技术,既提供了链路冗余,又防止了环路;

4.在核心层采用了以太网信道和HSRP技术,同样有效核心层链路的高可用性;

5.在广域网方面，采用DDN专线与分支机构相连接，稳定可靠。

对于家庭办公和移到办公用户采用IPSECVPN接入公司总部，即安全可靠，又经济实用。

6.接在基本功能实现的基础上，还用到了ciscoASA5200防火墙、CiscoWorks网管平台等技术和产品来保障网络的可靠性、安全性和易于管理性。

第六章培训（后边内容根据自已客户名称自已修改）

为保证三门峡水利枢纽局办公网络项目顺利实施和系统更好运行，让涉及本项目人员能够完全掌握系统的使用和维护方法，技术等，针对本次系统，提供全面、多样化和针对性的培训。

培训目的

系统管理人员是计算机及网络环境正常运行的守护神，培养自己的系统管理员对于用户来说是至关重要的。

为了保证企业局域网改造项目能稳定、高效地运行，提供全方位的培训，企业建立一支技术过硬的应用及维护队伍。

通过培训，使各级相关人员对系统有充分了解，熟悉系统的设计原理和工作方式，掌握系统的工作流程和操作方法。

在系统出现比较小的故障时，能够进行正确的故障诊断甚至排除故障。

培训方式

向三门峡水利枢纽局系统管理相关人员提供多种方式的用户培训，充分满足各个层次培训对象的需求，根据合同，培训方式包括以下几类：

1、初级培训：

在当地进行系统应用软件的使用方法与日常系统软件维护的集中培训，使用户掌握系统基本操作和所需功能的使用方法。

适用于所有培训对象。

2、中级培训：

在当地进行的集中培训，在用户掌握系统基本功能使用方法的前提下，为其提供高级功能的使用方法、多项功能组合使用、常见故障诊断与处理等中级水平的培训内容。

3、高级培训：

在非本地进行的关于系统维护和性能调整的高级培训。

旨在使用户完全彻底掌握系统，为整个系统的长期稳定运行提供有力保证。

第七章售后服务与技术支持

服务宗旨：

为客户提供高度量、高效率的服务与客户保持良好持久的合作关系。

服务范围：

包括维护、咨询、诊断、优化等服务，为客户提供的热线咨询服务。

响应速度：

为异地客户提供2小时响应服务；为本地客户提供1小时响应服务。

公司极其重视三门峡水利枢纽局办公网改造项目的建设，根据用户的要求和具体情况，提供一流的技术和服务，并根据用户的具体要求及实际情况，组织强大的技术力量，制定完善的售后服务实施计划，建立健全的售后服务制度，提供给客户一整套全面的服务项目，可以帮助客户最大限度的减少故障时间，达到系统连续健壮运行的目标。

针对上述目标，公司向三门峡水利枢纽局办公网项目提供如下服务：

●电话支持服务（7*24小时）

没有次数限制：

只要您对系统存在问题，请即刻拨打我们的服务热线电话.对于我们的工作人员，您的电话将享有最高的优先级，我们将优先处理您的电话求助，直至得到令您满意的结果；专业的技术工程师和完善的电话处理及升级程序能保证快速有效的支持。

电话指导和远程诊断，普通的问题立即解决，有一定复杂度的问题，在15分钟内响应，必要时，由专业技术人员到现场解决。

●远程拨入分析

统计分析表明，IT行业的系统失败有不低于70%的情况属于软件和配置问题，而远程拨入方式将大大提高诊断速度与工作效率，节省维护费用。

现在的网络发展也使这一手段成为可能。

在用户允许的前提下，我们的工程师将通过安全VPN进行远程拨入分析，快速而直接地对系统进行诊断与故障排除。

●现场支持服务

当您的系统被确诊为硬件故障时，我们的现场工程师会带同相应的替换备件立即赶赴现场进行紧急维修。

我们的承诺是：

搭乘最近的车次（必要时专车前往），使您的系统故障时间被压缩到最小。

在服务期限内，所有故障备件（物理损伤除外）的更换均是免费的，即已经包含在总体的服务费用之中，不再另行收取备件费用。

●系统预防性定期维护服务

公司认为“防患于未然胜于亡羊补牢”。

公司系统维护及技术支持服务的核心不仅是“故障维修”，将风险和问题消灭在萌芽阶段的“系统预防性维护”更是公司服务的重要环节。

公司工程师定期对系统进行一次预防性维护。

通过对系统的检查、维护、诊断，公司工程师能及时发现问题隐患；通过保养、工程改变、系统调整、安装PTF（修正性软件）等手段，使系统保持稳定高效地运行。

不定期对用户的故障进行汇总，经分析总结后，整理成整体故障和解决建议及预防建议，并及时提供给用户。

公司工程师对客户服务系统进行定期预防性维护内容简要说明如下：

-机房环境的检测

-机器硬件的全面诊断

-检查系统错误的历史记录

-检查系统性能

-为用户建立专门用户档案

-将系统配置及网络环境记录在案

-将每次服务内容记录在案并汇报

-公司及用户有关服务信息、联系人员记录在案等

第八章产品介绍（可参照网上最新的产品说明进行修改）

Catalyst6500系列

Catalyst6500系列具有许多业界领先的功能，获得了许多"业界第一"称号。

它同时支持三代模块，这些模块不但能不断提升Catalyst6500的用户价值，也同时体现出思科对于创新的关注。

思科的新一代Catalyst6500系列模块和交换引擎SupervisorEngine720包含思科新开发的11种应用专用集成电路（ASIC），它不但扩展了思科在网络界的领先地位，还能提供无与伦比的投资保护。

CiscoCatalyst6500系列的优点

CiscoCatalyst6500系列不但能为企业和电信运营商提供市场领先的服务、性能、端口密度和可用性，还能提供无与伦比的投资保护能力，包括：

∙最长的网络正常运行时间--利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1～3秒的状态故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。

∙全面的网络安全性--将切实可行的数千兆位级思科安全解决方案集成到现有网络中，包括入侵检测、防火墙、VPN和SSL。

∙可扩展性能--利用分布式转发体系结构提供高达400Mpps的转发性能。

∙能够适应未来发展并保护投资的体系结构--在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT基础设施利用率，增大投资回报，并降低总体拥有成本；

∙操作一致性--3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、CiscoIOSSoftware、CiscoCatalystOperatingSystemSoftware以及可以部署在网络任意地方的网络管理工具。

∙卓越的服务集成和灵活性--将安全和内容等高级服务与融合网络集成在一起，提供从10/100和10/100/1000以太网到万兆以太网，从DS0到OC-48的各种接口和密度，并能够在任何部署项目中端到端地执行。

在端到端CiscoCatalyst6500系列部署中的操作一致性

∙3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、软件和网络管理工具

∙可部署在网络的任意地方--从布线室到核心、数据中心和广域网边缘

∙为降低备件和培训成本，与Cisco7xxx路由器系统使用相同的广域网端口适配器（PA）

∙用户可以自行选择所有控制引擎上支持的CiscoIOSSoftware和CiscoCatalystOperatingSystem，确保顺利地从CiscoCatalyst5000系列、Cisco7500系列移植到CiscoCatalyst6500系列。

提高网络正常运行时间，提高网络弹性

∙提供数据包丢失保护，能够从网络故障中快速恢复

∙能够在冗余控制引擎间实现快速的1～3秒状态故障切换

∙提供可选的高性能CiscoCatalyst6500系列SupervisorEngine720、无源背板、多引擎的冗余；并可利用CiscoEtherChannel技术、IEEE802.3ad链路汇聚、IEEE802.1s/w和热备份路由器协议/虚拟路由器冗余协议（HSRP/VRRP）达到高可用性

集成式高性能的网络安全性和网络管理

不需要部署外部设备，直接在6500机箱内部署集成式的千兆位的网络服务模块，以简化网络管理，降低网络的总体成本。

这些网络服务模块包括：

∙数千兆位防火墙模块--提供接入保护

∙高性能入侵检测系统（IDS）模块--提供入侵检测保护

∙千兆位网络分析模块--提供可管理性更高的基础设施和全面的远程超级（RMON）支持

∙高性能SSL模块--提供安全的高性能电子商务流量终结

∙千兆位VPN和基于标准的IPSecurity（IPSec）模块--降低的互联网和内部专网的连接成本。

能感知网络内容和网络应用的第2～7层交换服务

∙集成式内容交换模块（CSM）能够为CiscoCatalyst6500系列提供功能丰富的高性能的服务器和防火墙网络负载平衡连接，以提高网络基础设施的安全性、可管理性和强大控制

∙集成式数千兆位的SSL加速模块与CSM结合在一起，能提供高性能的电子商务解决方案

∙集成式数千兆位的防火墙和CSM能提供安全的高性能数据中心解决方案

∙基于网络的应用识别（NBAR）等软件特性可提供增强网络管理和QoS控制机制。

可扩展的性能

∙利用分布式CiscoExpressForwardingdCEF720平台提供业界最高的交换机性能--400Mpps

∙支持多种CiscoExpressForwarding（CEF）实现方式和交换矩阵速率。

在布线室、核心、数据中心、广域网边缘部署以及电信运营商网络均可提供最优配置。

丰富的第3层网络服务

∙多协议第3层路由支持满足了传统的网络要求，并能够为企业网络提供平滑的过渡机制

∙硬件支持的从企业级到电信运营商级的大规模路由表

∙硬件支持IPv6，并提供高性能的IPv6服务

∙在硬件中提供MPLS及MPLS/VPN的支持，可应用在高速电信运营商的网络核心和城域以太网，提供丰富的MPLS服务。

增强的数据、语音和视频服务

∙在所有CiscoCatalyst6500系列平台上提供集成式IP通信

∙提供10/100和10/100/1000接口模块，借助在接口模块内增加电源子卡就可让这些接口模块提供在线的电源，提供IEEE802.3af的支持，保护今天的投资

∙提供高密度的T1/E1和FXS的VoIP语音网关接口，可与公共电话网（PSTN）、传统的电话、传真和PBX连接，提供VoIP服务。

∙支持高性能的IP组播视频和音频应用

∙提供一个统一管理的、经济的、可灵活扩展的网络。

最高的接口灵活性、可扩展性和端口密度

∙满足大型关键业务布线室、企业核心层和分布层需要的端口密度和接口类型

∙每台设备可提供576个支持语音的，具有在线电源的10/100/1000M铜线接口

∙提供192个GBIC千兆位以太网接口

∙率先推出业界第一个万兆以太网接口，和可提供高密度的OC-3POS接口的通道化的OC-48接口。

∙通过系列FlexWAN模块上使用Cisco7xxx系列端口适配器（PA），CiscoCatalyst6500可支持T1/E1～OC-48广域网接口，具有很高的投资保护能力

∙机箱从3插槽（6503）、6插槽（6506）、9插槽（6509）到13插槽（6513）。

高速广域网接口

∙提供与其它核心路由器兼容的高速广域网、ATM和SONET接口

∙单一平台实现广域网汇聚以及园区网和城域连接管理

最高投资保护

∙高度灵活的模块化体系结构，在同一机箱内支持多代模块互操作

∙所有引擎上都支持CiscoIOSSoftware和CiscoCatalystOperatingSystemSoftware

∙10/100Mbps和10/100/1000Mbps以太网模块可现场升级为随线供电的模块，可让用户在需要时升级实现IP电话技术和无线局域网连接

∙可在各种应用场合中添加的不断推出的网络服务模块

∙包括CiscoCatalyst6500系列网络安全性、内容交换和语音功能

∙未来的模块将进一步提高性能、端口密度，并推出其它服务

适用于城域以太网广域网服务

∙802.1Q和802.1Q隧道（QinQ）提供点到点和点到多点以太网服务

∙EoMPLS的功能提供了VLAN的透传功能，大幅提升MPLS骨干网中的以太网服务扩展能力

∙通过在第2层和第3层QoS功能中提供速率限制和流量整形，可在城域以太网服务中提供分级的带宽服务

∙增强的生成树协议、IEEE802.1s、IEEE802.1w和CiscoEtherChannelIEEE802.3ad链路汇聚功能提供了网络超高的可用性。

Catalyst3560-48交换机

Catalyst3560-48智能化以太网交换机

产品概述

CiscoCatalyst3560系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列，可以提供高水平的可用性、可扩展性、安全性和控制能力，从而提高网络的运行效率。

因为具有多种快速以太网和千兆以太网配置，因此Catalyst3560系列既可以作为一个功能强大的接入层交换机，用于中型企业的布线室；也可以作为一个骨干网交换机，用于中型网络。

客户有史以来第一次可以在整个网络中部署智能化的服务，例如先进的服务质量（QoS），速度限制，Cisco安全访问控制列表，多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。

Catalyst3560系列中内嵌了Cisco集群管理套件（CMS）软件，该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。

CiscoCMS软件提供了新的配置向导，它可以大幅度简化整合式应用和网络级服务的部署。

两个内置的千兆以太网端口可以支持多种GBIC收发器，包括CiscoGigaStack、GBIC、1000BaseT、1000BaseSX、1000BaseLX/LH和1000BaseZXGBIC。

基于双GBIC的千兆以太网实施方案可以为客户提供高度的部署灵活性使客户可以在目前先部署一种堆栈和上行链路配置，然后可以在将来移植这种配置。

高水平的堆栈弹性还可以通过下列技术实现：

两个冗余千兆以太网上行链路，一条冗余的GagaStackTMGBIC回送线路，用于高速上行链路和堆栈互联故障恢复的UplinkFast和CrossStackUplinkFast技术，用于上行链路负载均衡的PerVLAN生成树+（PVST+）。

这样的千兆以太网灵活性使Catalyst3550系列成为针对以太网优化的CiscoCatalyst6500系列核心LAN交换机最理想的LAN边缘补充产品。

3560-48中含有标准多层软件镜像（SMI）或者增强型多层软件镜像（EMI）。

EMI提供了一组更加丰富的企业级功能，包括基于硬件的IP单播和多播路由，虚拟LAN（VLAN）间的路由，路由访问控制列表（RACL）和热备用路由器协议（HSRP）。

在刚开始部署时，增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。

Catalyst2950交换机

CiscoCatalyst2950

CiscoCatalyst2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。

这是一款最廉价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。

作为思科最为廉价的交换产品系列，Catalyst2950系列在网络或城域接入边缘实现了智能服务。

Catalyst2950拥有48个10/100端口以及2个基于GBIC的千兆比特以太网端口。

内置的千兆比特以太网端口适合插入多种GBIC收发器，包括CiscoGigaStack（tm）GBIC，1000BaseSX,1000BaseLX/LH和1000BaseZXGBIC。

基于GBIC的双千兆比特以太网的实现为客户提供了巨大的配置灵活性，它允许客户实现当今典型的堆叠和上行链路配置，同时保留将来对这一配置进行修改的选项。

Catalyst2950交换机是多种网络应用中实现桌面连接的理想选择。

Catalyst2950交换机能够以较低的每端口价格向个人用户和服务器提供专用的10Mbps或100Mbps带宽。

这三种桌面交换机都拥有基于GBIC的双千兆比特以太网端口，能够为千兆比特以太网上行链路或GigaStackGBIC堆叠解决方案提供一个极为灵活的、可扩展的解决方案。

无论在桌面上还是在配线室里，这些交换机都很容易配置，并且能够得到CiscoIOS软件的支持。

利用Cisco交换机集群多设备管理技术，对Catalyst交换机的管理能够变得更加方便。

主要特性和优点

杰出的性能：

∙48个10BaseT/100BaseTX自适应端口，每个端口可以为个人用户、服务器或工作组提供最高200Mbps的带宽，用来支持带宽密集应用。

∙两个内置的、基于GBIC的千兆比特以太网端口能够为千兆比特以太网骨干、千兆比特以太网服务器或交换机之间提供高达4Gbps的集合带宽。

∙10.8-Gbps交换网和高达8.0-Mpps的转发速度，能够保证数据包到每个10BaseT/100BaseTX端口和千兆比特以太网端口的高性能转发。

∙4-Mb共享内存结构通过去除头部信息阻塞现象、最大地减少数据包丢失以及降低多点传送和广播传输的拥挤现象，保证了最高的吞吐量。

∙所有端口采用全双工运行模式，10/100端口能够提供最高200Mbps的带宽，1000BaseX端口能够提供最高2Gbps的带宽。

∙每个10/100和千兆比特以太网端口上的双重优先转发队列，支持网络流量顺序的优先安排，并通过IEEE802.1p协议支持数据、话音和视频之间的无缝集成。

∙使用快速以太通道和千兆比特以太通道技术实现的带宽集合提高了容错能力，为交换机、路由器、个体服务器之间的连接提供了400-Mbps到4-Gbps的集合带宽。

∙基于GBIC的千兆比特以太网端口使客户能够在1000BaseSX，1000BaseLX/LH，1000BaseZX或CiscoGigaStack堆叠GBIC之间进行选择，以满足自己的连接需要。

∙对端口广播扰动的控制能够防止故障终端通过广播扰动来降低整个系统的性能

安全和冗余

∙CiscoUplinkFast技术确保了快速