网络系统集成项目规划设计建议书Word格式.docx
- 文档编号:20612594
- 上传时间:2023-01-24
- 格式:DOCX
- 页数:16
- 大小:178.57KB
网络系统集成项目规划设计建议书Word格式.docx
《网络系统集成项目规划设计建议书Word格式.docx》由会员分享,可在线阅读,更多相关《网络系统集成项目规划设计建议书Word格式.docx(16页珍藏版)》请在冰豆网上搜索。
在分层网络中运用智能第三层业务可以大大减少因配置不当或故障设备引起的一般问题。
针对实际情况我们可以采用三层结构模型。
三层结构模型划分为三个层次,即核心层,分布层,接入层。
每个层次完成不同的功能。
如下图。
核心层:
核心层作为整个网络的系统的核心,其主要功能是高速,可靠的进行数据交换。
分布层:
分布层主要进行接入层的数据流量汇聚,并对数据流量进行访问控制。
包括访问控制列表,vlan路由等等。
接入层:
接入层主要提供最终用户接入网络的途径。
主要是进行vlan的划分与分布层的连接等等。
第二章路由设计
路由协议选择
内部使用OSPF协议,用静态默认路由发布给边界路由器通过NAT转换与外网进行通信。
路由规划拓扑图
IP地址规划
IP地址的规划在网络设计中的作用举足轻重,直接影响整个网络运行的效果,IP地址的设计的总原则是简单,易管理,易扩展。
IP地址是TCP/IP协议族中的网络层逻辑地址,它被用来唯一地标识网络中的一个节点,IP地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。
如下表,我们根据以下几个原则来分配IP地址:
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址
简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项
连续性:
连续地址在层次结构中易于进行路由总结,大大缩减路由表,提高路由算法的效率。
可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性。
灵活性:
地址分配应具有灵活性,可借助可变长子网掩码技术,以满足多种路由策略的优化,充分利用地址空间。
福建工程学院软件学院校园网IP地址划分及VLAN分布
IP网段
网关
VLANID
VLAN说明
综合楼401
综合楼403
综合楼405
综合楼407
综合楼各个教师机
教务部
后勤部
学工部
辅导员办公室
教师办公室
财务部
图书馆
院长办公室
宿舍楼3#1层南
宿舍楼3#1层北
宿舍楼3#2层南
宿舍楼3#2层北
宿舍楼3#3层南
宿舍楼3#3层北
宿舍楼3#4层南
宿舍楼3#4层北
宿舍楼3#5层南
宿舍楼3#5层北
宿舍楼3#6层南
宿舍楼3#6层北
宿舍楼2#1层南
宿舍楼2#1层北
宿舍楼2#2层南
宿舍楼2#2层北
宿舍楼2#3层南
宿舍楼2#3层北
宿舍楼2#4层南
宿舍楼2#4层北
宿舍楼2#5层南
宿舍楼2#5层北
宿舍楼2#6层南
宿舍楼2#6层北
宿舍楼1#2层南
宿舍楼1#2层北
宿舍楼1#3层南
宿舍楼1#3层北
宿舍楼1#4层南
宿舍楼1#4层北
宿舍楼1#5层南
宿舍楼1#5层北
宿舍楼1#6层南
宿舍楼1#6层北
表
第三章网络安全解决方案
网络边界安全威胁分析
网络的边界隔离者不同功能或地域的多个网络区域,由于职责和功能不同,相连网络的密级也不同。
这样的网络直接相连,必然存在着安全风险,我们对ambow总部网络边界问题做脆弱性和风险的分析。
Ambow总部网络主要=存在的边界安全风险包括:
Ambow总部网络与各级单位的连接,可能遭到来自各地的越权访问,恶意攻击和计算机病毒的入侵:
例如一个不满的内部用户,利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点,致使网络局部或整体瘫痪。
内部的各个功能网络通过骨干交换相互连接,这样的话,重要的部门或者专网遭到来自其他部门的越权访问。
这些越权访问可能包括恶意的攻击,误操作等等,但是它们的后果都将导致重要信息的泄露或者是网络的瘫痪。
网络内部安全威胁分析
Ambow总部网络的风险分析主要针对ambow的整个内网的安全风险,主要表现为以下几个方面:
内部用户的非授权访问:
ambow内部的资源也不是对任何的员工都开放的,也需要有相应的访问权限。
内部用户的非授权的访问,更容易造成资源和重要信息的泄露。
内部用户的误操作:
由于内部用户的计算机造成的水平参差不齐,对于应用软件的理解也各不相同,如果一部分软件没有相应的对误操作的防范措施,极容易给服务系统和其他主机造成危害。
内部用户的恶意攻击:
就网络安全来说,据统计约有70%左右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对内部用户攻击的防范也很重要。
设备的自身安全性也会直接关系到ambow网络系统和各种网络应用的正常运行。
例如:
路由设备存在路由信息泄露,交换机和路由器设备配置风险等。
重要服务器或操作系统自身存在安全的漏洞,如果管理员没有及时发现并且进行修复,将会为网络的安全带来很多不安定的因素。
重要服务器的当机或者重要数据的丢失,都将会造成ambow公司内部的业务无法正常运行。
安全管理的困难,对于众多的网络设备和网络安全设备,安全策略的配置和安全事件管理的难度很大。
安全产品选型原则
Ambow网络属于一个行业的专用网络,因此在安全产品的选型上,必须慎重,选型的原则包括:
安全保密产品的接入应不明显影响系统运行效率,并且满足工作要求,不影响正常的业务。
安全保密产品必须满足上面提出的安全需求,保证整个ambow网络的安全性。
安全保密产品必须通过国家主管部门指定的测评机构的检测。
安全保密产品必须具备自我保护能力。
安全保密产品必须符合国家和国际上的相关标准。
安全产品必须操作简单易用,便于简单部署和集中管理。
网络常用技术介绍
Vlan技术
(VirtuallocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用标准化Vlan实现方案的协议标准草案。
VLAN技术允许网络管理者将一个物理地LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包括一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播域个单播流量都不会转发到其他VLAN中,从而有助于控制流量,减少设备投资,简化网络管理,提高网络的安全性。
Trunk技术
一般的交换机端口只能属于一个VLAN,对于对个VLAN需要跨过多台交换机,就需要用到Trunk技术。
Trunk是指交换机之间或交换机与路由器之间VLAN之间的连接,VLAN信息通过Trunk在交换机之间或路由器之间传递,从而可以将VLAN跨越整个网络,而不仅仅是局限在一台交换机上。
Cisco支持,ISL技术得到了Inrel等厂商的大力支持,TagSwitching被3Com及LucentCajun支持。
对于CISCO交换机的Trunk端口,既可以指定它的封装协议为或TSL,也可以通过DTP协议自动协商。
DTP协议主要用于处理Trunk端口的和ISL封装协议的自动协商,对于不同厂家的交换机互连时很有帮助。
对Trunk的定义只能在快速以太网端口和千兆以太端口上进行,它既可以是单个的快速以太端口或千兆以太网端口,也可以是快速以太网通道(FEC)或千兆以太网通道(GEC)。
虽然我们采用的是思科交换机,但是最为一个标准,开放。
先进的网络系统,我们推荐的是用标准协议。
Spanning-Tree协议
在局域网中是不允许出现环路的,而为了实现冗余和负载的均衡,通常会有多条链路的链接,这样就会引入环路。
为了解决这个矛盾,推出了STP协议。
STP算发会将网络网络中的连接生成一个树,通过特定的算法自动将优先权高的链路激活,将优先权低的链路阻塞,保证在网络中任何时候都不会出现环路。
如果网络的连接状况发生了变化,STP算法会造成网络的暂时的不稳定状态,该转换时间在30秒之内,亦即在30秒之内会重新恢复到稳定状态。
STP对于终端是透明的,终端感觉不到STP的操作过程。
在交换机上可以通过修改端口的优先级来改变连接的优先权,使得STP算法将高优先权的连接作为活动的连接。
Cisco交换机的一个非常有用的特征就是可以对每个VLAN设置Spanning-tree,而不是对整个网络只能属于一个Spanning-tree。
这个特征是很多厂商的设备所不具有的。
在交换机上对端口的优先权的设置可以基于VLAN进行,每个端口对于不同的VLAN设置不同的优先权。
对于指定的VLAN,具有该VLAN最高优先权的端口转发该VLAN的信息,其它VLAN的信息阻塞。
通过这种方法,在具有冗余连接的交换机端口上分别针对不同的VLAN设置不同的优先权,既可以实现链路的冗余,又可以实现负载的均衡。
Cisco交换机端口支持每VLAN的生成树协议,每个端口都可设置基于VLAN的cost或priority参数,从而实现在多条路径上的负载均衡能力。
目前多数厂商都支持STP协议,但是不允许多个STP域。
采用多个STP域显然可以获得比单个域高的网络可靠性。
第四章设备选型及产品简介
网络设备概况
网络共有四大部分,分别是财务部和图书馆,教学楼,公寓楼、信息管理中心。
分为三层架构:
核心层、汇聚层、接入层。
根据网络分步的重要作用配置设备如下表:
设备名称
设备类型
设备数量
核心层设备
DCRS-5650-28C
1台
汇聚层设备
DCS-3950-28C
接入层设备
2960-24TT
11台
无线设备
ER-100-3G
服务器设备
SERVER-PT
2台
路由器
DCR-2626
IP电话
CP-3951
6部
路由模块:
模式分类和作用:
单模
单模光纤的尺寸为9-10/125microm,并且较之多模光纤具有无限量带宽和更低损耗的特性。
而单模光端机多用于长距离传输,有时可达到150至200公里。
采用LD或光谱线较窄的LED作为光源。
拉环或者体外颜色为蓝色、黄色或者紫色。
模块的选用和放置:
光模块:
SFP封装,百兆155M,单模(1550nm)
接口类型:
LC
传输距离:
80km
价格:
RMB850
设备选用
序号
设备及工具
规格说明
数量
备注
1
DCR-2626(模块化路由器,2个10/100/1000M广域网电口,1个高速同/异步串口,1个网络模块插槽,1个配置口,1个备份口。
)
2
路由器线缆
CR-V35MT-V35FC。
若干
3
二层交换机
2960-24TT(10Mbps/100Mbps/1000Mbps,端口数量24,10/100Base-T、
10/100/1000Base-Tx,全双工/半双工自适应,带宽16Gbps,VLAN支持,模块化插槽数2)
11
4
DCS-3950-28C(可堆叠智能安全交换机,24口10/100Base-TX,固化4个千兆/百兆Combo(SFP/GT)接口)
5
三层交换机
DCRS-5650-28C(可堆叠智能安全路由交换机,24口10/100Base-TX,固化4个千兆Combo(SFP/GT)接口)。
6
CP-3951(1个电源接口、适配器、连接网络通信)
7
服务器
WEB服务器、主服务器(DHCP服务器、DNS服务器等)
8
耗材、工具
网络串口线、排插、楼宇对话机、移动硬盘、工具箱等
产品选型介绍
产品
描述
报价
DCRS-5650-28
规格:
,,可堆叠智能安全路由交换机
带宽:
接口类型:
口,,,。
双工支持:
25560
DCS-3950-28CT-POE
产品类型:
运营级接入交换机
传输速率:
10/100Mbps
端口数量:
28个
端口结构:
非模块化
端口描述:
24个10/100M端口(PoE),2个千兆SFP光/电/堆叠复用口,2个千兆电/堆叠复用口
堆叠功能:
QOS:
最大可支持8个端口队列、支持,ToS,DSCP、端口优先级、网络管理:
CLI、WEB、Telnet管理界面。
31000
10Mbps/100Mbps/1000Mbps
24
接口介质:
10/100Base-T、
10/100/1000Base-Tx
传输模式:
全双工/半双工自适应
交换方式:
存储-转发
背板带宽:
16Gbps
VLAN支持:
支持
MAC地址表:
8K
模块化插槽数:
5000
2950-24TT(二手)
快速以太网交换机
10/100Base-T
10Mbps/100Mbps
:
网管功能:
SNMP管理信息库(MIB)II,SNMPMIB扩展,桥接MIB(RFC1493)
纠错
16MBDRAM和8MB闪存
2000
具有独立的双PCI通道和内存扩展板设计,具有高内存、大容量硬盘和热插拔电源、超强的数据处理能力和群集性能等。
这种企业级服务器的机箱就更大了,一般为机柜式的,有的还由几个机柜来组成,像一样。
30000
神州数码DCR-2626
模块化
局域网接口:
2个
内置防火墙
25800
1个电源接口、适配器、连接网络通信
390
1个10/100Mbps的WAN口,支持VPN,内置防火墙,天线,类型SOHO无线路由器。
7500
PC(自行配置)
总计
254460
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 系统集成 项目 规划 设计 建议书