某大型连锁商业企业网络系统规划与设计文档格式.docx

某大型连锁商业企业网络系统规划与设计文档格式.docx

《某大型连锁商业企业网络系统规划与设计文档格式.docx》由会员分享，可在线阅读，更多相关《某大型连锁商业企业网络系统规划与设计文档格式.docx（26页珍藏版）》请在冰豆网上搜索。

20

其他部门用户信息点数量为15个左右。

各商场的电脑用户信息点包括售货终端电脑、办公电脑和服务器，售货终端电脑不超过20台，办公电脑15台左右，服务器5台左右。

整个企业的数据中心设于企业总部信息网络中心，包括数据库、邮件、WEB、DNS、办公自动化等各类服务器8台

为保证企业业务的正常进行，须建设企业专网，实现企业总部与各商场网点安全、可靠的互连互通。

二、某大型连锁商业企业网络的设计原则

1.采用适当的的网络技术，构建先进成熟的企业专网。

2.充分考虑企业发展的需求，在拓扑设计和设备选型等方面确保网络具有较高的可扩展性。

3.充分考虑网络高可靠性的要求，对网络重要环节、重要部分进行冗余设计，不能存在单点故障。

4.充分考虑网络对安全性的要求，根据企业用户性质和业务特点，对网络的安全措施进行统筹规划，综合应用各类安全技术对网络的安全进行设计。

5.在技术选择、设备选型方面，考虑性价比最大化。

第2章企业网络设计方案

1、方案设计目标

1.采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备。

2.合标准的设备在城域网上能将OA、ERP集成在同一个网络中。

充分利用所申请的专线带宽，是利益最大化，保护用户的投资。

3.安全可靠性，确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。

核心设备选型性能相对较高，适应后期网络扩展升级。

4.具有相对完善的网管系统，对计算机网络进行进行有效的监控管理。

优化网络流量，提高网络运行安全性，通过日志文件等多种手段，保证网络的高效运行。

通过以上几个目标的努力，是连锁商场的企业网络系统具有更好的先进性、可靠性、安全性和可扩展性。

2、方案说明

1.网络中心规划设计

总部网络拓扑图

总部网络分成三层，分别是接入层、汇聚层和核心层。

商场百货企业总部设办公室、人力资源部、计划财务部、市场营销部、客户服务中心、资金运营中心、会计结算部、资产评估部、资产管理中心、信息网络中心、党群工作部、安全保卫部、物业管理部等十三个部门，各部门信息点都连接到接入层交换机。

汇聚层交换机由两台二层交换机组成，两台交换机用两根1000Base-T进行链路聚合，实现数据的快速交换和设备冗余。

汇聚层交换机跟接入层交换机之间用100Base-T进行连接。

在汇聚层交换机上将各部门划入相应VLAN。

核心层交换机与汇聚层交换机也用1000Base-T链路进行连接，并与汇聚层交换机实现双线连接，实现链路冗余和链路聚合，保证网络的可靠和高效。

总部申请10M的ADSL接入Internet，实现访问Internet与网上商城百货企业等业务的接入。

总部访问外网时要经过一台路由器和一台防火墙，路由器提供访问互联网的功能。

防火墙则保护内部网络，以防黑客的攻击。

总部还设有数据中心，共有5台服务器，并与接入层交换机相连。

3.分部网络规划与设计

分部主要由一台边界路由器和一台二层交换作为主体，路由器通过帧中继网络进行连接。

交换机与路由器进行双线连接，实现链路冗余。

各信息点和服务器通过10/100Base-T以太网线与交换机连接。

4.IP地址规划与VLAN划分

总部IP划分（掩码均为24）

部门

信息数量

IP范围

VLAN

网关

企业总部办公室

15

10.1.1.1-10.1.1.15

2

10.1.1.254

人力资源部

10.1.2.1-10.1.2.15

3

10.1.2.254

10.1.3.1-10.1.3.30

4

10.1.3.254

10.1.4.1-10.1.4.60

5

10.1.4.254

10.1.5.1-10.1.5.40

6

10.1.5.254

采购部

10.1.6.1-10.1.6.40

7

10.1.6.254

仓储物流部

10.1.7.1-10.1.7.38

8

10.1.7.254

业务管理部

10.1.8.1-10.1.8.35

9

10.1.8.254

设备技术部

10.1.9.1-10.1.9.15

10

10.1.9.254

10.1.10.1-10.1.10.20

11

10.1.10.254

党群工作部

10.1.11.1-10.1.11.15

12

10.1.11.254

安全保卫部

10.1.12.1-10.1.12.15

13

10.1.12.254

物业管理部

10.1.13.1-10.1.13.15

14

10.1.13.254

网管中心IP划分（掩码均为24）

网管中心

10.1.14.1-10.1.14.15

10.1.14.254

数据中心

10.1.15.1-10.1.15.5

10.1.15.254

各分部IP划分（掩码均为24）

营业点

福田区

10.2.0.1-10.2.0.20

10.2.0.254

罗湖区1

10.2.1.1-10.2.1.20

10.2.1.254

罗湖区2

10.2.2.1-10.2.2.20

10.2.2.254

南山区

10.2.3.1-10.2.3.20

10.2.3.254

龙岗区

10.2.4.1-10.2.4.20

10.2.4.254

宝安区

10.2.5.1-10.2.5.20

10.2.5.254

盐田区1

10.2.6.1-10.2.6.20

10.2.6.254

盐田区2

10.2.7.1-10.2.7.20

10.2.7.254

5.网络设备选型

1.设备选型

产品

型号

数量（台）

价格（元）

核心层交换机

H3CLSQM1GV48SA0S7500E

35000

汇聚层交换机

汇聚层交换机H3CLS-3600-52P-SI

13650

接入层交换机

H3CSMB-S5024PV2-EI

29

1250

防火墙

H3CSecPathF100-S-AC

1

9900

总部路由器

H3CER8300G2

7580

分部路由器

H3CER5200

3600

总计

154630

1.设备参数

核心交换机H3CLSQM1GV48SA0S7500E

详细参数

基本参数

用手机客户端查配置更方便

产品型号

LS-7506E

产品类型

企业级

应用层级

三层

背板带宽

2.56Tbps

包转发率

1920Mpps

传输方式

存储转发方式

硬件参数

接口类型

10Base-T,100Base-T,1000BASE-X,1000BaseT

传输速率

10M/100M/1000Mbps

端口结构

模块化

扩展插槽

堆叠支持

可堆叠

网络与软件

网络标准

IEEE802.1P,IEEE802.1Q,IEEE802.1d,802.1w,802.1s,IEEE802.1ad,IEEE802.3x,IEEE802.3ad,IEEE802.3,802.3u,IEEE802.3z,802.3ab,IEEE802.3ae,IEEE802.3af802.3ad,802.3,802.3u,802.3x,802.3z,802.3af

VLAN支持

支持VLAN功能

双工传输

支持全双工

MAC地址表

128K

网管功能

持网管功能,支持FTP,TFTP,Xmodem,SNMPV1/V2/V3,RMON,NTP时钟,HGMP,多种配置方式

其他性能

槽位数量：

业务槽位数量：

其它参数

电源电压

100V-240V

最大功率

1400/2800W

外形尺寸

436×

575×

420mm

重量

≤77Kg

LS-3600-52P-SI

13.2Mpps

10/100Base-T端口,1000Base-XSFP端口,（48个10/100Base-T以太网端口,4个1000Base-XSFP千兆以太网端口）

接口数目

48口

10M/100Mbps,1000Mbps,10M/100M/1000Mbps

4个1000Base-XSFP千兆以太网端口

管理端口

1个Console口

支持VLAN功能,支持4K个符合IEEE802.1Q标准的VLAN,支持基于端口的VLAN和基于协议的VLAN,支持GuestVlan,支持GVRP

支持全双工,支持IEEE802.3x流控（全双工）,支持背压式流控（半双工）

16K,地址自学习,IEEE802.1D标准,支持静态MAC地址1K

命令行接口（CLI）配置,支持Telnet远程配置,通过Console口配置,WEB网管,支持SNMPV1/V2/V3,支持RMON1,2,3,9组MIB,支持QuidView网管系统,支持HGMPv2集群管理,支持系统日志,支持分级告警

认证标准

FCCClassA,CISPR22ClassA,EN55022ClassA,ICES-003ClassA,VCCIClassA,AS/NZS3548ClassA,EN61000-3-2,EN61000-3-3

支持流量控制（FlowControl）,支持服务质量（QoS）,生成树协议支持,广播风暴控制,802.1x认证支持,支持端口汇聚,镜像支持

额定电压:

100-240VAC50/60Hz,最大电压:

90-264VAC50/60Hz

50W

440×

260×

43.6mm

4Kg 

接入层交换机H3CSMB-S5024PV2-EI

SMB-S5024PV2-EI

千兆以太网

240

42

24个10/100/1000Base-T以太网端口4个1000Base-X以太网端口

QoS支持

支持QoS

端口聚合

支持端口聚合功能

支持网管功能

AC：

100V～240VAC，50/60Hz

=19W

173×

44mm 

纠错

=2.2Kg

华为USG6308参数

防火墙类型

下一代防火墙

USG6308

企业级,VPN防火墙

最大吞吐量

防火墙吞吐量:

800Mbit/s,IPSec吞吐量:

400Mbit/s

442×

421×

10Kg

产品形态:

1U机架,HDD:

选配,300GB单硬盘,可热插拔

SDRAM内存

4G

固定接口

4GE+2Combo

2WSIC

用户数限制

400

每秒连接数

25000新建连接数

并发连接数

FW最大并发:

1000000,IPSec最大连接数:

2000并发连接数

策略数

15000个策略数

VPN

支持VPN功能

防火墙性能

入侵防御（IPS）

防病毒（AV）

数据防泄漏（DLP）

上网行为管理&

审计

基于应用的QoS优化

负载均衡

智能策略管理

Anti-DDoS

AC100V-240V

170W

其它

工作环境:

温度:

0-45℃（不含硬盘）/5-40℃（包含硬盘）湿度:

10-90%

一体化防护

应用识别与管控

入侵防御与Web防护

防病毒

数据防泄漏

带宽管理与QoS优化

URL过滤

行为和内容审计

业务智能选路

VPN加密

SSL加密流量检测

基于用户的防护

安全虚拟化

智能管理

丰富的报表

路由特性

部署及可靠性 

总部路由器H3CER8300G2

ER8300G2

企业网吧路由

10/100/1000Mbps

广域网接口

2个10/100/1000MWAN口

局域网接口

8个10/100/1000MLAN口

处理器

专业的网络处理器（四核1.2GHz）

DRAM内存

1024MB

1个USB接口

散热方式:

风扇散热

软件参数

PPP,CHAP,PAP,MS-CHAP,PPPoE,DHCP客户端,DHCP服务器,NAPT,NTP,DDNS

网络管理

组策略管理（支持基于IP/MAC/时间段的组策略配置）

HTTP下载文件类型过滤

URL过滤（黑白名单）

MAC地址过滤

QQ/MSN访问控制

安全性能

防止Land攻击功能,防止Smurf攻击功能,防止WinNuke攻击功能,防止PingofDeath攻击,防止SYNFlood攻击功能,防止UDPFlood攻击功能,防止ICMPFlood攻击功能,防止IPSpoofing功能,防止碎片包攻击,防止TearDrop攻击,防止Fraggle攻击功能

防止TCPsyn扫描,防止StealthFIN扫描,防止TCPXmasTree扫描,防止TCPNull扫描,防止UDP扫描功能

静态ARP（IP<

->

MAC地址绑定）,DHCP授权ARP（自动绑定DHCP分配的IP）,ARP防攻击/免费ARP,状态数据包检查

防止WAN口的Ping

VPN支持

支持

VPN描述

IPSecVPN

有

NAT支持

电信入网证,3C认证

其它性能

支持64个VLAN

L2TPServer

L2TPClient

ALG

端口触发

UPnP

虚拟服务器

DMZ主机

VPN透传（PPTP,L2TP,IPSec）

尺寸

230×

44mm

电源

100-240V 

功率

<

20W

工作环境

环境温度:

0-40℃

境相对湿度:

5-95%（非冷凝）

分部路由器H3CER5200

ER5200

非模块化

2个

3个

MIPS64位双核500Hz网络处理器

64MDDRII,主频533M

控制端口

1个Console接口

无扩展插槽

10Mbps:

14,880pps,100Mbps:

148,810pps,1000Mbps:

1,488,100pps

支持协议

PPPoE,DHCP客户端,DHCP服务器,静态路由,NAPT,NTP,DDNS（www.3322.org,花生壳）,VPN透传（PPTP,L2TP,IPSec）

基于WEB的用户管理接口,命令行CLI,通过HTTP升级系统软件

支持,通过基于IP或基于NAT表项的网络流量限速机制

CE,FCCClassB,UL

双WAN轻松配置/支持WAN,LAN口的MAC地址修改/支持DDNS/典型带机量:

250-350台 

网管软件：

全中文WEB配置 

内存：

100-240VAC,50/60Hz 

15W

2.设备选型分析

核心层

我们在核心层选用了两台H3CS7506-AC系列高端多业务路由交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机。

它的高性能也是我们所看到的，它的背板带宽达到了1600Gbps,可以实现全线速转发。

减少了数据包在核心层的拥塞。

同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。

极高的性价比，业务可平滑扩展升级，保护用户投资。

汇聚层

在企业总部的汇聚层我们采用了两台H3CLS-3600系列快速智能三层交换机是华为3Com公司为充分满足高QOS保证的需求而推出的智能型以太网交换机，全线速的多层交换。

48接口数目以便与接入层交换机互联，4个1000Base-XSFP千兆以太网端口扩展插槽，方便与核心层进行端口汇聚，提高更大的传输带宽。

更高的性能也是我们看重的，H3CLS-3600系列交换机支持VLAN功能,支持4K个符合IEEE802.1Q标准的VLAN,支持基于端口的VLAN和基于协议的VLAN,支持GuestVlan,支持GVRP命令行接口（CLI）配置,支持Telnet远程配置,通过Console口配置,WEB网管,支持SNMPV1/V2/V3,支持QuidView网管系统,支持HGMPv2集群管理,支持系统日志,支持分级告警。

多种丰富的功能方便网络管理员维护和后期管理。

接入层

在企业总部的接入层我们选用的是H3CS1224R系列二层交换机。

它是24个10/100/1000Mbps自适应以太网端口的交换机，用它来做连接各个信息点的交换机再好不过了，可以满足对整个企业网络的终端互联。

它的高性价比是我们选用它的最佳理由，作为企业最受欢迎的二层交换机，为企业也节省了不少开支，促使了企业的利益最大化。

可最大限度地保护用户的已有投资。

H3CSecPathF100-S是华为3Com公司面向SOHO、小企业或分支机构用户开发的新一代专业接入防火墙设备。

支持外部攻击防范、内网安全、流量监控等功能，能够有效的保证网络的安全；

可对连接状态过程和异常命令进行检测；

支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；

支持多种VPN业务，如L2TPVPN、IPSecVPN、GREVPN、华为动态VPN等，可以构建Internet、Intranet、RemoteAccess等多种形式的VPN。

提高了企业的安全性，方便了企业员工后期的移动办公。

主要功能：

增强型状态安全过滤,抗攻击防范能力,应用层内容过滤,多种安全认证服务,集中管理与审计,全面NAT应用支持,专业灵活的VPN服务,智能网络集成及QoS保证,电信级设备高可靠性,智能图形化的管理。

6.关键技术

2.1VLAN技术

根据各部门职能不同把各部门划入不同的VLAN减少了广播，提高了通信效率。

VLAN（VirtualLocalAreaNetwork）就是虚拟局域网的意思。

VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。

同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。

这样，将整个网络分割成多个不同的广播域（VLAN）。

一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。

如果要将广播发送到其它的VLAN端口，就要用到三层交换机。

2.2三层交换技术

三层交换（也称多层交换技术，