苏通大桥计算机网络系统解决方案ver14.docx
- 文档编号:12387772
- 上传时间:2023-04-18
- 格式:DOCX
- 页数:14
- 大小:105.44KB
苏通大桥计算机网络系统解决方案ver14.docx
《苏通大桥计算机网络系统解决方案ver14.docx》由会员分享,可在线阅读,更多相关《苏通大桥计算机网络系统解决方案ver14.docx(14页珍藏版)》请在冰豆网上搜索。
苏通大桥计算机网络系统解决方案ver14
苏通大桥计算机网络系统
解决方案
江苏智运科技发展有限公司
2003.5.8
目录
1网络平台解决方案2
1.1需求分析2
1.1.1现状2
1.1.2应用需求分析3
1.1.3性能需求分析4
1.1.4安全需求分析4
1.2产品选型4
1.3局域网的设计思想5
1.3.1设计思想5
1.3.2几种常见类型的局域网6
1.3.3Vlan简介7
1.4苏通大桥计算机网络平台解决方案8
1.4.1网络拓扑图8
1.4.2网络拓扑描述8
1.4.3网络设计说明9
1.4.4网络VLAN划分说明10
1.4.5网络ip地址规划说明10
2苏通大桥计算机网络系统安全解决方案11
3数据备份解决方案12
4苏通大桥计算机网络平台设备清单及报价13
1网络平台解决方案
1.1需求分析
1.1.1现状
苏通大桥已经建成简单的计算机网络平台。
主要提供以下应用:
企业内部资源共享;网络打印服务;企业内部用户访问internet。
苏通大桥目前的计算机网络平台拓扑如下:
两台AVAYAP134G2通过100M的超五类非屏蔽线缆级连。
末端设备(打印机、pc机)以100M接入两台交换机。
IBM服务器和代理服务器以100M接入其中一台交换机。
计算机网络平台以10M接入internet。
目前计算机网络平台存在以下不便之处:
使用代理服务器实现企业上网,系统的维护量很大,而且性能不高。
另外由于服务器上安装了软件操作系统,很容易遭受病毒侵袭。
整个计算机网络平台没有采取网络防病毒措施。
所有的计算机
在一个广播域中,会降低网络性能,而且不利于网络的安全。
1.1.2应用需求分析
苏通大桥的计算机网络平台改造后将实现以下应用:
(1)保留旧有系统的应用,即企业内部资源共享;网络打印服务;企业内部用户访问internet。
(2)视频的传输和调用。
摄像机拍摄的实时图像经编码器转换为视频数据(mpeg-2),视频数据通过无线网桥传至中心交换机,再由中心交换机传至解码器,解码器将视频数据还原为图像;硬盘录像机采集还原的图象,保存在硬盘上(mpeg-4),供领导的pc机实时调用。
1.1.3性能需求分析
低反应时,如企业内部用户访问internet。
高精确性,数据流量在网络上传输其发生的错误率应符合标准,如CRC错误率,若过高的CRC数据错误率会导致终端设备的数据重传,从而降低了访问性能。
高输出率。
内部用户在访问网络资源时要达到100兆的网络速度,对硬盘录像机访问不能产生瓶颈。
低延时。
这对视频服务特别重要。
高可用性。
整个网络出现故障的概率要求很低,则要求整个网络不存在任何单点故障,最好采用冗余设计。
1.1.4安全需求分析
在计算机网络平台中存在许多安全问题,比如说病毒、来自互联网的恶意入侵、来自内部的非法入侵和无意识的破坏等。
为了保障苏通大桥计算机网络平台的高效、可靠、安全运行,采取严格的安全策略很有必要。
1.2产品选型
随着开放式的系统体系结构的发展和广泛应用,使得我们拥有更多的选择自由,能够降低成本,但众多可供选择的产品也给我们带来选择的难度。
在选择网络设备时,除了考虑产品的性能价格比、功能、特性外,还应考虑到生产厂商的市场地位、技术后续开发能力、售后服务能力等各方面因素。
美国Cisco系统公司是世界上占领先地位的网间网互连技术和产品(包括多协议路由器、ATM交换机、局域网交换机、访问服务器、网际网管理软件)的供应商。
年营业收入超过80亿美元。
尤其是在路由器方面,Cisco公司在技术上和市场上都居于优势地位。
迄今为止,Cisco已为40多个国家的25,000多个用户安装了超过300,000台网间网互连设备。
众多的用户构成了广泛的纵向市场范围,包括电信业、金融业、工业、零售业、交通业、政府部门以及教育机构等市场部分。
在采用路由器互连的Internet网上,85%是Cisco的产品。
Cisco的所有产品均是基于最常用的数据接入(如10/100兆以太网、令牌环网、FDDI/CDDI、ATM、X.25、SDH、VSAT、公用电话网、帧中继、ISDN等)之上而建成,且要比其他网络厂家的产品支持更多更全面的通讯协议(其中包括TCP/IP、NovellIPX、DECnet、IBMSNA、OSI、SDLC、BanyanVINES、XNS、桥接等)。
CISCO的路由器及交换机相对于其它厂商有着一定优势,因此建议选择CISCO的路由器产品和交换机产品。
1.3局域网的设计思想
1.3.1设计思想
采用高速、高性能的网络主干
网络根据需要划分不同的虚拟网
虚拟网之间的数据交换通过集中的路由功能实现
网络主干应有极强的扩充能力,网络性能不会因为网络的扩充而降低
保障局域网上的安全性
1.3.2几种常见类型的局域网
根据是否划分虚拟网以及对虚拟网之间数据交换的处理方式,可以把现有的局域网划分为下面的几种类型:
(1)平坦型网络
在这种网络中,所有的主机都连接在一个子网中。
这种网络的优点是:
配置比较简单,对交换机的要求比较低。
网络的缺点:
由于不划分虚拟网,当主机数量比较多时容易产生广播风暴,引起网络性能的下降;因为任何广播的消息都会转发到交换机的所有端口,网络的安全性不容易保障;IP地址的规划不灵活:
举一个例子,某个单位有300台主机,申请一个B类的地址(可容纳65534台主机)太浪费,申请一个C类地址(可容纳254台主机)又不够用,如果申请两个C类地址,不同C类地址的主机之间又不能通信,很不灵活。
(2)使用集中的路由功能实现虚拟网之间的数据交换
这种网络中存在着许多的虚拟网,虚拟网之间的数据通信通过某台功能较强的路由器或第三层交换功能来实现。
网络的缺点:
由于所有的虚拟网之间的交换都要通过一台路由器来实现,这台路由器的处理能力和通往路由器的连接线路的带宽成为网络中的两个瓶颈。
随着虚拟网的数量的增多,而网络中的路由处理能力并没有相应增强,网络的性能将下降。
网络的优点:
缩小了广播域,使网络的工作效率大大提高;抑制了广播风暴的产生;可以从IP子网的角度保障网络的安全性:
可以通过路由器在不同的虚拟子网之间划分防火墙;IP地址的规划有一定的灵活性;能够配合跨主干虚拟网技术。
(3)使用分散的路由功能实现虚拟网之间的数据交换
在这种网络中,同样要划分虚拟网,虚拟网之间的通信通过分散的路由功能来实现,在这里用具有路由功能的交换机取代了普通的交换机。
网络的优点:
具有集中式路由网络的大部分优点;整个网络中没有瓶颈;整个网络具有很强的扩充能力,网络的性能不会因为网络上主机的增多而下降;支持广域上网络资源的备份和数据分流。
这种网络的缺点是:
交换机的路由功能并不是很强;不能配合跨主干虚拟网技术。
1.3.3Vlan简介
将整个计算机网络系统用VLAN隔离成多个广播域有以下意义:
(1)有效地利用网络带宽
当交换机之间没有路由器时,广播数据流就要被送到每一个交换机端口。
通常称这种网络为平面网络,在整个网络中只有一个广播域。
平面网络的优势在于它可以提供低时延、高吞吐量的传输性能,它的缺点在于广播包流量要发送到所有交换机、端口、干线连接和用户。
通过将网络分成小的广播域或子网,大部分数据流,尤其是广播和多点广播,都被限制在子网中。
这对于该VLAN的组来说,意味着该组内之间最频繁的通信流不会影响到网络中的其他通信,从而有效地减少了带宽占用。
(2)提高了安全性
为了使信息能够在不同的VLAN之间传递,必须通过第三层(网络层)进行路由选择,意即需要路由器来完成VLAN间的路由功能。
与此同时,也能充分地利用路由器传统的安全和过滤功能。
(3)对故障组件的隔离
实施VLAN的一个重要原因之一是可以减少网络故障的影响。
在一个“平”式的网络中,一台出故障的设备、网间环路,或者广播密集型应用有可能潜在地影响整个网络直至完全失效。
解决这种网络失效的最有效措施之一是正确地对网络进行分段并在网段间设置路由器。
路由器可以有效地防止故障扩散到其他分段或VLAN,而将故障隔离在一个VLAN上的有限几台设备内。
(4)易于增加、移动或改变用户的位置
网络用户的流动、增加和改变是管理网络的最大开销之一,而VLAN为控制这些改变提供了一个有效的方法。
当VLAN的用户从一个位置移到另一个位置时,只要他们还在同一个VLAN中并且仍可以连接到交换机端口,则他们的网络地址就无须改变,只需简单地将用户的终端插接到另一个VLAN交换机端口并对该端口进行配置即可,在此过程中,路由器的配置被完整保留了下来而无需改变。
1.4苏通大桥计算机网络平台解决方案
1.4.1网络拓扑图
1.4.2网络拓扑描述
改造后的计算机网络平台以cisco交换机catalyst4006-01和catalyst4006-02为中心,两台中心交换机通过1000M的光纤跳线相连;两台cisco交换机catalyst3550-48以1000M接入中心交换机catalyst4006-01和catalyst4006-02,构建千兆以太网主干;监控室3只无线网桥分别以100M接入中心交换机catalyst4006-01,硬盘录像机以100M接入中心交换机catalyst4006-01;文件服务器、网络反病毒服务器以100M接入中心交换机catalyst4006-02;末端设备(包括PC机、网络打印机等)以100M接入两台catalyst3550-48;pix525防火墙以100M接入中心交换机catalyst4006-02,以10M宽带接入INTERNET。
改造后的计算机网络平台将能够高性能、高可靠、高安全运行,并且管理
成本很低。
1.4.3网络设计说明
为了保证苏通大桥计算机网络平台的可靠运行,我们选择两台中心交换机。
正常工作时,监控系统的流量集中在catalyst4006-01,办公系统的流量集中catalyst4006-02。
任何一台中心交换机出现故障,其业务系统都可以切换到另外一台交换机。
具体实现方法如下:
(1)catalyst4006-01失效时,监控系统手工切换到catalyst4006-02,catalyst4006-02已进行对称配置;
(2)catalyst4006-02失效时,办公系统通过生成树协议自动切换到catalyst4006-01,网络反病毒服务器和文件服务器、防火墙手工切换到catalyst4006-01。
(3)任何一台中心交换机的路由模块出现故障,pc机网关都可以通过hsrp协议保持激活。
中心交换机CiscoCatalyst4006的SupervisorEngine运行的是CiscoIOSSupervisor,它的主要功能包括:
基于ASIC的转发引擎,在第2/3/4层上都可达到线速,并在所有端口上都支持ACL和QoS;总转发速率可达48Mpps;64Gbps非阻塞交换结构;CiscoIOS支持路由和桥接VLAN流量、热备用路由协议、入口和出口SPAN,以及所有标准路由协议;在线路卡中集成Cisco以太通道、快速以太通道、千兆位以太网技术;范围广泛的服务质量功能――对IP数据包进行分类、整理、标记、排序和排程;分别设置1024个输入和输出策略;每个端口四个传输队列,可以区分语音、视频、其他数据,以及路由桥接控制数据包。
接入层交换机catalyst3550-48具有13.6Gbps的交换矩阵(Catalyst3550-48),第二层和第三层最大传输带宽6.8Gbps(Catalyst3550-48),64字节的包传输速率可达10.1Mbps(Catalyst3550-48),由所有端口共享2MB内存架构(Catalyst3550-48),32MBDRAM和8MB闪存,可以配置多达8000个MAC地址,可以配置多达16000条单播路径,可以配置多达2000条多播路径,可以配置的最大传输单元(MTU)高达1590字节,用于连接MPLS标记帧。
网络核心层使用catalyst4006,网络接入层使用catalyst3550-48,保证网络的高性能、可扩展性。
1.4.4网络VLAN划分说明
在苏通大桥计算机网络平台解决方案中,我们计划在中心交换机上划分如下VLAN:
VLAN1-管理用
VLAN2-视频用
VLAN3-办公用
VLAN4-服务器用
1.4.5网络ip地址规划说明
(1)关于IP网络地址
在网络层不同的网络协议具有不同的编址方法,这里给出的是在使用IP网络协议时的编址方案。
下面我们称基于IP协议的网络层编址为IP地址或网间网地址,在不引起岐义的情况下简称为网络地址或地址。
IP地址分为五类:
A类地址,B类地址,C类地址,D类地址,E类地址。
其中A类地址、B类地址、C类地址为常用地址;D类地址为多目地址;E类地址保留。
在同一个互联网络内网络地址应该保持其唯一性,即一个地址只能对应一台主机(Host)。
地址分配的几个建议性原则
唯一性
在同一个互联网络内网络地址应该保持其唯一性
简单性
地址的分配应该简单易管理,避免在主干上采用复杂的掩码方式。
IP协议允许子网掩码(subnetmask)的“0”和“1”不连续,比如子网掩码为:
11111111.11111111.00110011.11001100
这给路由寻径带来困难,所以应该采用连续的子网掩码(subnetmask),比如:
11111111.11111111.11110000.00000000。
连续性
为同一个网络区域分配连续的网络地址,便于缩简路由表的表项,提高路由器的处理效率。
这种技术称为地址叠合(Summarization)。
可扩充性
为同一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性。
灵活性
IP地址的规划应考虑不同的路由协议和不同的通信链路技术,合理的使用VLSM(VariableLengthSubnetingMask)技术,能较好的适应不同的网络的特点,节约IP地址空间。
(2)苏通大桥ip地址划分
关于苏通大桥IP地址的具体划分,需要根据现场的地理、部门、管理等综合因素,采用连续的私有地址块进行IP的划分,并结合支持vlsm的rip2eigrpospf等路由协议进行有效的路由汇总以减小路由表的数目。
2苏通大桥计算机网络系统安全解决方案
实现计算机网络系统安全的手段有很多,如划分子网、路由过滤、访问列表控制、MAC地址绑定、增加控制口令、采用硬件或软件防火墙、服务论证、采用入侵检测系统、主机加固等。
为了保证苏通大桥企业网的安全,我们主要采取以下一些手段:
增加控制口令
在路由器、交换机设置访问模式和特权模式密码;在路由器、交换机console接口、vty接口、aux接口设置登录密码;密码弱加密。
访问控制列表
在苏通大桥的中心交换机catalyst4006-01和catalyst4006-02上划分不同业务等级和不同用户对各种业务的访问权限。
在路由器和交换的vty接口使用访问控制列表,使得只有特定主机可以对其进行管理。
硬件防火墙
在苏通大桥计算机网络平台接入INTERNET时采用pix525硬件防火墙,通过制定严格的防火墙规则来保护苏通大桥企业网的安全。
主机加固
对服务器进行严格授权,打开必须的服务端口,关闭一切不必要的端口。
构建网络防病毒体系
瑞星杀毒软件通过一个系统中心的统一管理,为中小型企业提供灵活、快捷的网络防病毒支持,可确保企业内部网络100%不受病毒侵扰。
瑞星杀毒软件网络版系统中心可以很容易的在整个网络内实现远程管理、智能升级、自动分发、远程报警等多种功能,有效地管理和保护所有的病毒入口。
瑞星管理员控制台使管理员可以在网络中的任意一台计算机上对整个网络进行集中控制管理,清楚地掌握整个网络环境中各个节点的病毒监测状态,既方便了管理员,又最大程度的减少了整个网络中的安全漏洞,真正做到100%的保证整个网络的系统安全,具有其它网络版产品无以比拟的优越性。
瑞星杀毒软件中小企业版主要适用的操作系统平台:
WindowsNT、Windows2000、Windows9X/Me、WindowsXP。
3数据备份解决方案
纵观全球,由于数据备份问题带来的损失比比皆是。
比如我们无法预知的自然灾害、突发事件,就经常成为数据永久丢失的一大原因。
为了避免苏通大桥出现数据永久丢失的情况,目前我们将使用专业大容量的备份设备对苏通大桥关键服务器的数据进行备份;以后可以根据需要对整个计算机网络系统的所有服务器进行备份(需添置专业备份软件)。
数据备份的3个最主要的特点:
(1)备份最大的忌讳就是在备份过程中因介质容量不足而更换介质。
因为这会降低备份数据的可靠性和完整性。
因此,存储介质的容量在备份中具有压倒一切的重要性。
(2)备份的目的是为了防备万一发生的意外事故,如自然灾害、病毒入侵、人为破坏等。
这些以外事故不可能每天都发生,因此我们使用备份数据的频率不是很高。
从这个意义上讲,备份数据的存取速度并不是一个很重要的因数,我们没有必要追求一个并不重要的高速度而成倍地增加对设备的投入。
(3)可管理性是备份中的一个重要因素。
因为可管理性与备份的可靠性紧密相关。
最佳的可管理性就是自动化备份方案,这不仅增加了数据的安全性与可靠性,而且在数据恢复时减少了以往十分繁琐的工作步骤,节省了大量的人力和时间。
如果一种技术不能提供这种自动化备份方案,那么它就不能算是好的备份技术。
我们在苏通大桥的数据备份方案中采取磁带存储技术。
本方案将使用HPStorageWorksUltrium(傲群)460磁带机,磁带机通过scsi连接电缆直接连接到文件服务器上。
通过microsoft或hp的备份软件对整个文件服务器进行备份。
HPStorageWorksUltrium(傲群)460磁带机提供最高的性能和容量,使您可在两个小时内备份400GB。
Ultrium(傲群)460磁带机是HPUltrium(傲群)磁带机家族的第二代产品,其传输率达到60MB/秒(假定数据压缩率2:
1)。
融合了HPUltrium(傲群)230和HPUltrium(傲群)215磁带机的成功经验,该新款磁带机进一步巩固了惠普在磁带机方面的领先地位。
它具有前所未有的性能、容量和可靠性水平-建立了超级磁带机市场的新标准。
Ultrium(傲群)460的传输率达60MB/秒,是企业级数据保护需要的理想选择-尤其是在备份窗口越来越小的情况下。
Ultrium(傲群)460磁带机的读写能够完全兼容第一代Ultrium(傲群)磁带机。
作为四代LTOUltrium(傲群)开放格式的一部分,Ultrium(傲群)460为客户提供最佳的选择和投资保护。
4苏通大桥计算机网络平台设备清单及报价
设备名称
设备型号
描述
设备数量
设备
单价
设备
总价
中心交换机
WS-C4006-S3
Catalyst4000Chassis(6-Slot),SupIIIw/2GE,2ACP/S,Fans
2
163,959
327,918
千兆多模光纤接口卡
WS-G5484
1000BASE-SX
4
3,000
12,000
模块
WS-X4232-GB-RJ
Catalyst4000E/FE/GEModule,2-GE(GBIC),32-10/100(RJ-45)
2
26,972
53,944
接入层交换机
WS-C3550-48-SMI
48个10/100M自适应端口,2个GBIC接口,多层交换映像
2
30,721
61,442
千兆多模光纤接口卡
WS-G5484
千兆多模光纤接口卡,cisco生产
4
2,958
11,832
Pix525
防火墙
PIX-525-R-BUN
PIX525有限捆绑(机箱、有限软件、2个10/100端口)
1
92,996
92,996
3米
光纤跳线
SC-SC
国产
8
60
480
瑞星杀毒软件网络版
中小企业版
3个服务器端,1个管理中心,70个客户端
1
32,800
32,800
Ultrium(傲群)460磁带机
Q1509A
外置磁带机,开放连接
1
92,000
92,058
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大桥 计算机网络 系统 解决方案 ver14