网络集成试训方案44文档格式.docx

网络集成试训方案44文档格式.docx

《网络集成试训方案44文档格式.docx》由会员分享，可在线阅读，更多相关《网络集成试训方案44文档格式.docx（25页珍藏版）》请在冰豆网上搜索。

1．网络设备配置

配备网络交换设备，实现区域间的千兆光纤连接，保证未来各应用系统的实施以及满足企业各种计算机应用系统的大信息量的传输。

2．网管系统设计

提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。

1.3某大型连锁商企业网络建设原则

多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。

具体来讲，其设计遵循以下原则：

可靠性：

本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。

硬件可靠性

系统的主要部件采用冗余结构，如：

传输方式的备份，提供备份组网结构；

主要的计算机设备（如数据库服务器），配备不间断电源等。

软件可靠性

充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；

并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。

网络结构稳定性

当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。

先进性：

网络技术应为当期国际同业中先进的，并能支持未来网络技术的高性能需求，并且在业界表现出较高的网络性能；

实用性：

整个网络系统要按照实用、好用的原则，使网络具有较高的实用性；

时效性：

网络要保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确证业务交易的实时高效完成。

完整性：

网络系统应实现端到端的，能整合数据、语音和图象的多业务应用，需要在全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络；

可实施性：

整个网络解决方案的实施要便于实际的实施，并在实施过程中要保证现有网络和切换的完整性和一致性，确保实施工作的正常、顺利。

可扩展性：

随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。

在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。

设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。

兼容性：

跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。

安全性：

网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。

在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。

应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。

在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。

在大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。

在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。

可管理性：

网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。

在进行网络设计时，选择先进的网络管理软件是必不可少的。

网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。

网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。

网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。

二网络设计方案

2.1系统设计总体需求

本项目的实施目的是在企业内部建立稳定，高效的办公自动化网络，通过项目的实施，使所有员工能够通过总部网络进入internet，从而提高所有员工的工作效率和加快企业内部信息的传递。

在福田区和其他区域均设立专用服务器，使企业内所有员工能够利用服务器方便的访问公共文件资源，并能够完成企业内部邮件的收发。

2.2系统设计原则

随着商场的高速发展，企业的业务已经涉及到各个商业领域，各个区域内部的组织结构也日益复杂，在本项目的设计实施过程中，要求工程实施方案在规划系统设计时充分考虑到企业管理的需求，设计合理的系统管理结构，能够很大程度的降低企业在系统管理上的成本，并能满足各种商务工作的需求，具体设计应依据以下原则：

1.清晰的逻辑结构：

要求企业范围内的系统管理结构清晰，层次分明，能够充分的与企业的管理结构相吻合。

福田总部和各个区域应是相互独立的管理单元，各个单位在自己区域范围内实现用户账户及网络安全的管理。

总部管理员有权管理各个分区域的系统

2.便于管理：

整个系统设计要便于网络管理员的管理，在系统中提供便于管理员管理的各种有效方式。

使管理员在任何一个位置均能对服务器进行维护和管理。

福田总部及分区域都有专职系统管理员，应保障管理员只对本公司具有管理权限。

总部管理员对企业所有系统有管理权限。

3.简单的设计：

在保障满足需求的前提下，设计方案应简单为佳，避免由于复杂的设计增加工程实施难度和增加企业系统管理的复杂性。

4.合理的用户管理：

所有的用户采用统一的命名规则，每个单位对本单位员工帐户进行独立的管理，并按不同部门管理账号。

2.3方案设计的目标

1.在全市范围内建设一个商场专用网,一个多协议的数据网络，并在所有的通讯子网接入节点上支持TCP/IP计算机网络协议。

2.具备接入所有业务系统的能力，支持各业务系统所要求的计算机网络协议，而且具有多种常用网络协议的支持，保证在有新的业务应用时，可以提供有力的支持。

3.在城区网上能够将业务、办公自动化集成在同一个网络中，以充分利用信道带宽。

在保证目前应用的情况下，使网络具有一定的先进性，保护用户的投资。

4.具有相对完善的网管系统，能对计算机网络进行有效的监控管理，优化网络流量，提高网络运行的安全性，通过日志文件等多种手段，保证网络的高效运行。

2.4总体方案设计策略

为了实现以上网络设计原则，使各个区网络具有良好的扩展性能力和灵活的便于管理，易于维护，在网络设计上采用了一下策略。

1降低各个区之间的网络关联度

将各个区之间的网络的关联度降低到最低的策略，可以最大限度的减少各区网络之间的相互影响，便于分别管理。

。

2统一标准，统一网络

统一的IP应用标准（IP地址，路由协议），安全标准，接入标准和网络管理平台，才能实现真正的统一管理，便于集团的管理和网络策略的实施。

2.5企业总体设计结构示意图

总部网络分成三层，分别是核心层、汇聚层和接入层。

商场百货企业总部设办公室、计划财务部、市场营销部、客户服务中心、采购部、仓库物流、业务管理、信息网络中心等九个部门，各部门信息点都连接到接入层交换机。

汇聚层由两台二层交换机组成，两台交换机用两根1000M光纤进行链路聚合，实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力，可靠性和高速的传输。

核心层交换机与汇聚层交换机也用1000Base-T链路进行连接，并与汇聚层交换机实现双线连接，实现链路冗余和链路聚合，保证网络的可靠和高效。

汇聚层交换机跟接入层交换机之间用100Base-T进行连接。

在汇聚层交换机上将各部门划入相应VLAN。

总部申请10M的ADSL接入Internet，实现访问Internet与网上商城百货企业等业务的接入。

总部访问外网时要经过一台路由器和一台防火墙，路由器提供访问互联网的功能。

防火墙则保护内部网络，以防黑客的攻击。

总部还设有数据中心，共有5台服务器，并与接入层交换机相连。

2.5分部网络规划与设计

分部主要由一台边界路由器和一台二层交换作为主体，路由器通过DDN线路与总部连接，通过ISDN线路作为备份。

交换机与路由器进行双线连接，实现链路冗余。

各信息点和服务器通过10/100Base-T以太网线与交换机连接。

2.6路由交换规划

为了使连锁商场各个区的网高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设计，包括VTP、VLAN、TRUNK、VPN等。

每一台都连接所有的汇聚层交换机，但相互之间并不连接（提高网络的故障收敛速度）。

作为二层的核心，只保证数据的高速转发。

网络的可靠性由汇聚层的路由协议提供保证。

2.6.1VLAN设计规范

商场局域网进行VLAN划分,可以减少网络内的广播数据包,提高网络运行效率;

可以区分不同的应用和用户,方便区域的管理与维护。

划分时主要按照部门划分

VLAN用途划分表

VLAN10

总部办公室

VLAN2

VLAN3

VLAN4

VLAN5

VLAN6

VLAN7

VLAN8

信息管理中心

2.6.2IP地址分配方案

总部的路由器连接Internet网络选用ip地址为58.68.100.9/30

根据每个部门的信息点数量和各分部情况，ip规划如下：

核心层H3CS7506-AC-0和核心层H3CS7506-AC-1之间的ip网段为10.2.10.0/24

核心层H3CS7506-AC-0和汇聚层H3CLS-3600-52P-SI-0之间的ip网段为10.2.11.0/24

核心层H3CS7506-AC-0和汇聚层H3CLS-3600-52P-SI-1之间的ip网段为10.2.12.0/24

核心层H3CS7506-AC-1和汇聚层H3CLS-3600-52P-SI-0之间的ip网段为10.2.13.0/24

核心层H3CS7506-AC-1和汇聚层H3CLS-3600-52P-SI-1之间的ip网段为10.2.14.0/24

总部IP划分（掩码均为24）

部门

信息数量

IP范围

VLAN

网关

15

10.1.1.0

10

10.1.1.254

10.1.2.0

2

10.1.2.254

10.1.3.0

3

10.1.3.254

10.1.4.0

4

10.1.4.254

10.1.5.0

5

10.1.5.254

10.1.6.0

6

10.1.6.254

10.1.7.0

7

10.1.7.254

网管中心IP划分（掩码均为24）

10.1.8.0

8

10.1.8.254

各分部售货点IP划分（掩码均为24）

售货点

福田分区1

20

10.2.1.0

10.2.1.254

福田分区2

10.2.2.0

10.2.2.254

南山区1

10.2.3.0

10.2.3.254

南山区2

10.2.4.0

10.2.4.254

龙岗区

10.2.5.0

10.2.5.254

盐田区

10.2.6.0

10.2.6.254

罗湖区

10.2.7.0

10.2.7.254

宝安区

10.2.8.0

10.2.8.254

2.6关键技术的实现

5.1、核心层的两台H2CS7506-AC交换机实现端口汇聚能够实现链路备份。

5.2、在核心层的两台H2CS7506-AC交换机创建VLAN，启用GVRP协议。

5.3福田总部各部门汇聚层交换机H3CLS-3600-52P-SI划分各部门VLAN，同时启用GVRP协议。

在部门交换机上启用GVRP协议，并把端口划分到相应的VLAN。

5.4、商场售货点与福田总部网络通过DDN专线连接。

5.5、对商场售货网点与福田总部网络用ISDN做备份链路。

5.6、在ISDN接入路由器H3CRTMSR3020-AC-H3上做策略路由；

5.7、在汇聚层的两台LS3600-52P交换机上启用VRRP；

VLAN1至VLAN8的数据在正常情况下网关指向H2CS7506-AC-0，当H2CS7506-AC-0出现异常时VLAN1至VLAN8的网关自动指向H2CS7506-AC-0；

2.7网络安全设计

一个网络的安全，首先要有严格和有效执行的管理制度。

必须具有一定的技术手段来保障网络的安全。

技术和管理手段相结合实施，才能够产生良好的效果。

通过以下几个技术方面的实施，可以在一定程度上保障网络的安全：

1提高设备的物理安全性广域网pppacl

2应用系统的访问控制

提高设备的物理安全性

设备的物理安全性是指运行中的设备，XX的人员不能直接接触到。

提高设备的物理安全性，是最基本的要求。

通过将设备安置在独立的设备间中，并增加门禁系统，确保只有授权的管理和维护人员才能接触到物理设备。

因特网的接入安全控制

因特网的接入安全控制是非常重要的，不仅需要布置防火墙等安全设备，还要指定严格的安全策略。

三产品选型分析

3.1选型原则

我们在网络系统设计时考虑如下特点：

稳定可靠的网络只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。

要求有物理层、数据链路层和网络层的备份技术。

高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。

要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。

为此应选用高带宽的先进技术。

易扩展的网络系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。

易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：

即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；

网络协议的易扩展：

无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。

QoS（英文全称为"

QualityofService"

，中文名为"

服务质量"

）QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。

保证随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证QoS，以支持这类应用。

安全性网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。

应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。

容易控制管理因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。

3.2产品选型分析（文字描述）

产品

命名

数量（台）

价格（元）

核心层交换机

H3CS7506-AC

35000*2=70000

汇聚层交换机

H3CLS-3600-52P-SI

9750*2=195000

接入层交换机

H3CS1224R

1352*8=10816

交换机

H2CS1224R

16

1600*16=25600

防火墙

H3CSecPathF100-S-AC

1

9900

总部路由器

H3CRTMSR3020-AC-H3

7580*2=15160

分部路由器

H3CER5200

3600*8=28800

总价

179776

3.3设备清单

核心层

由于连锁购物商场网络发展规模较大，为便于管理，我们在核心层选用了两台H3CS7506-AC系列高端多业务路由交换机是华3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机。

它的高性能也是我们所看到的，它的背板带宽达到了1600Gbps,可以实现全线速转发。

减少了数据包在核心层的拥塞。

同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。

核心交换机H3CS7506-AC

主要参数

产品类型

路由交换机

应用层级

三层

传输速率

10/100/1000Mbps

交换方式

存储-转发

背板带宽

≥1.6Tbps

包转发率

198Mpps

MAC地址表

64K

端口参数

端口结构

模块化

扩展模块

7插槽数

传输模式

全双工/半双工自适应

功能特性

网络标准

IEEE802.1d，IEEE802.1w，IEEE802.1s，IEEE802.1q，IEEE802.3x，IEEE802.3ad，IEEE802.3af，IEEE802.1p

支持

QOS

提供L2/3/4ACL流规则过滤

支持基于端口和VLAN的ACL

支持每端口8个硬件队列

支持IEEE802.1p（COS优先级）和DSCP

支持Diff-serv/QoS

支持流量监管（CAR），粒度为64Kbps

支持流量整形（TrafficShapping）

支持端口双向限速

支持优先级Mark/Remark

支持PQ、SP、WRR、SP＋WRR队列调度机制

组播管理

支持IGMP、IGMPProxy

支持PIM-SM、PM-DM等组播路由协议

支持IGMPSNOOPING

支持组播VLAN

支持组播权限控制

支持组播组快速离开

网络管理

支持SNMPv3：

Quidview网管系统

支持RMON

支持系统日志

支持分级告警

支持本地、远程诊断

提供多语言支持

安全管理

用户分级管理和口令保护

提供多种用户认证方式：

本地/Radius/802.1x/TACAS+认证

支持OSPF、RIPv2、BGPv4及IS-IS的报文明文及MD5密文认证

支持SNMPv3的加密和认证

支持SSHV1.5/V2

支持MAC-PORT、IP-MAC绑定

支持H3CEAD端点安全防御解决方案

汇聚层

商场要求每个区的网络自成体系，单个区的局域网广播数据流不能扩展到全网，单个区域的网络故障不应该扩展到全网，汇聚层交换机也应该采用具有路由功能的三层交换机，以达到网络隔离和分段的目的。

在企业总部的汇聚层我们采用了两台H3CLS-3600系列快速智能三层交换机是华为3Com公司为充分满足高QOS保证的需求而推出的智能型以太网交换机，全线速的多层交换。

48接口数目以便与接入层交换机互联，4个1000Base-XSFP千兆以太网端口扩展插槽，方便与核心层进行端口汇聚，提高更大的传输带宽。

汇聚层交换机H3CLS-3600-52P-SI

H3CLS-3600-52P-SI详细参数

查看：

更多信息|产品图片

基本参数

产品型号

LS-3600-52P-SI

企业级

13.2Mpps

传输方式

存储转发方式

硬件参数

接口类型

10/100Base-T端口,1000Base-XSFP端口,（48个10/100Base-T以太网端口,4个1000Base-XSFP千兆以太网端口）

接口数目

48口

10M/100Mbps,1000Mbps,10M/100M/1000Mbps

扩展插槽

4个1000Base-XSFP千兆以太网端口

管理端口

1个Console口

接入层

接入层交换机放置于每个区楼层的设备间，应该能够提供高密度的接入，对环境的适应能力强，运行稳定。

区域接入设备选择H3CS1224R交换机。

接入层交换机H3CS1224R

区域间交换机

各个区域间的交换机放置于楼层的设备间，用于终端用户的接入,选用H3CS1224R二层交换机.

交换机H3CS1224R

H3CSecPathF100-S是华为3Com公司面向SOHO、小企业或分支机构用户开发的新一代专业接入防火墙设备。

支持外部攻击防范、内网安全、流量监控等功能，能够有效的保证网络的安全；

可对连接状态过程和异常命令进行检测；

提高了企业的安全性，方便了企业员工后期的移动办公。

主要功能：

增强型状态安全过滤,抗攻击防范能力,应用层内容过滤,多种安全认证服务,集中管理与审计,全面NAT应用支持,专业灵活的VPN服务,智能网络集成及QoS保证,电信级设备高可靠性,智能图形化的管理。

防火墙H3CSecPathF100-S-AC

路由器

在企业总部我们选用两台H3CRTMSR3020系列核心路由器，来实现与分部进行广域网互联。

之所以选用H3CRTMSR3020担当核心路由器，是因为它在企业智能业务具有更高的性价比和可扩展能力，它能给大中型企业用户提供全方位的端到端的网络解决方案。

它采用模块化结构，在提供了集成的快速以太网接口、AUX口和同/异步串口的同时，又提供了丰富的可选配的智能接口卡SIC（SmartInterfaceCard，智能接口卡）及多功能接口模块MIM（MultifunctionalInterfaceModule，多功能接口模块）。

为企业的后期扩展，提供了很大的空间。

总部路由器H3CRTMSR3020-AC-H3

H3CRT-MSR3020-AC-H3详细参数

RT-MSR3020-AC-H3

企业级路由器

局域网接口

2个千兆以太电口

处理器

RISC新一代处理器533MHz

DRA