银联网络方案要点Word下载.docx
- 文档编号:22010451
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:12
- 大小:61.71KB
银联网络方案要点Word下载.docx
《银联网络方案要点Word下载.docx》由会员分享,可在线阅读,更多相关《银联网络方案要点Word下载.docx(12页珍藏版)》请在冰豆网上搜索。
8
二局域网网络系统方案
2.1需求分析
针对以上所述的银联大楼局域网的建设要求,要实现以下功能:
1、向银联大楼局域网中的所有用户提供基本的数据传输服务,并提供物理层、链路层、网络层及各种协议的互联;
2、向所有内网用户提供基于Intranet/Internet的信息服务,及与TCP/IP相关的增值服务,如网络打印等;
3、向用户提供诸如OA办公自动化应用,管理信息系统等;
提供与远程网络、国际网络的互联能力,使远程许可用户能访问网络资源,并严格保证网络资源的安全性和可靠性;
4、网络能支持各项业务应用;
5、支持各种网络应用的逻辑结构;
6、考虑银联大楼局域网IP地址的分配采用静态地址分配方式,这样可以减少每台计算机设置地址的工作量,而且便于日后的维护及统一管理;
7、安全性是网络设计需要重点考虑的,要求对设备的访问,用户的权限等都有不同的安全级别;
8、关于网络管理功能实现要考虑,必须具备对全部所配置设备的管理能力、操作和维护的能力。
尤其是基于VLAN的管理,这可以大大减轻网络维护人员的工作量;
9、流量管理及QOS功能实现上,要保障关键业务的带宽,同时对各项业务也要保证一定的QOS,使得网上的各种应用可以顺利开展。
2.2设计原则
在银联大楼局域网方案设计过程中,为了既保证满足现有业务的实际需要,同时又满足未来3~5年内业务的发展需求,我们提出以下设计原则:
1、高度的安全性:
能防止网络的非法访问,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性;
2、服务质量保证:
提供良好端到端的QOS保证。
3、响应快:
网络要保证TCP/IP数据流的及时传输,网络延时小,消除TCP/IP会话的超时中断;
4、良好的扩展能力:
包括信息点的扩展,与其它远程网络的连接等;
5、可管理性:
整个网络系统的设备、安全性、数据流量、性能等得到很好的监视和控制,并可进行远程管理和故障诊断;
6、降低日常管理维护费用和线路的通讯费用,提高线路的利用率;
7、可升级性:
建设后的网络可向更新的技术升级,保护现有的投资。
2.3总体目标
建成后的银联大楼局域网将是一个高速、可靠、安全、稳定、易管理、可扩展的先进网络,不但能够满足目前信息服务的需要,而且能够满足将来视频、语音等新业务的需要。
2.4局域网方案设计
2.4.1网络设计总体考虑
我们建议采用端到端的网络方案,即全部采用有一致的体系结构与功能的网络产品,提供一致的服务。
因为只有这样才能真正实现端到端的网络性能,端到端的网络安全性,端到端的服务质量以及端到端的网络管理,从而在节省开销的同时,大大提高网络的经济效益。
下面就根据端到端的体系结构结合银联大楼的建设要求介绍一下我们提出的银联大楼局域网解决方案。
网络拓扑结构描述
如上图,我公司设计的银联大楼局域网络拓扑结构,中心交换机采用目前性价比最好的Cat4500系列交换机和Cat3550系列交换机。
中心交换机
配置Cat4507核心交换机一台,采用双引擎、双电源热备冗余设计,保证系统运行的稳定性和安全性。
楼层交换机
配置Cat3550交换机若干台,Cat3550之间采用级联的方式进行连接,每层楼面通过光纤端口,千兆光纤上联至核心交换机。
由于核心交换机在生产区三楼,四楼信息点由三楼核心交换机管理.具体配置如下:
Cat4507和Cat3550配置:
CAT4507配置
说明
数量
单价
WS-C4507R
Catalyst4500Chassis(7-Slot),fan,nop/s,RedSupCapable
1
$19,990
PWR-C45-1000AC
Catalyst45001000WACPowerSupply(DataOnly)
$2,090
PWR-C45-1000AC=
Catalyst45001000WACPowerSupply(Spare)(DataOnly)
WS-X4515
Catalyst4500SupervisorIV(2GE),Console(RJ-45)
$28,340
WS-X4515/2
Catalyst4507RRedundantSupervisorIV,(2GE),Console(RJ-45)
WS-X4148-RJ
Catalyst450010/100AutoModule,48-Ports(RJ-45)
3
$6,743
$20,229
WS-X4306-GB
Catalyst4500GigabitEthernetModule,6-Ports(GBIC)
2
$4,493
$8,986
CAT3550配置
WS-C3550-48-SMI
48-10/100and2GBICports:
StdMultilayerSWImage
6
$7,493
利用原有设备
光纤模块配置
WS-G5484
1000BASE-SXShortWavelengthGBIC(Multimodeonly)
10
$750
$7,500
美金总价
$117,565
优惠价(37%)
¥469,790
2.4.2技术说明
对于上海市民主党派大厦所采用的局域网设备,我们采用Cat4500系列交换机作为核心接入设备,各楼层采用CAT3550,并充分利用原有的8台Cat3550交换机。
每台交换机采取划分VLAN的方式,将银联局域网按不同的需求功能划分。
还可根据需要在核心交换机内设置基于第三层的路由功能,以实现VLAN间的通信。
3.4.3关于网络设备的选型考虑
1)设备性能:
对于网络核心接入设备,必须具备高性能,不仅满足目前业务需求,而且支持将来高带宽应用,例如“DVD品质图像传输”等在网上的实施。
Catalyst4500系列交换机可以支持10/100/1000Mbps接口模块,其模块化设计非常便于将来网络的扩展,适用作为大型网络的中心交换机。
2)IP多层交换支持:
中心交换机必须支持IP协议的多层(2/3)交换,并且采用硬件结构实施部署,可以支持高性能的IP数据包交换。
3)设备扩展性:
Catalyst4507交换机共有7个插槽可以用于扩展。
3.4.4局域网内部的安全机制
3.4.4.1通过VLAN的划分和访问控制来保护数据。
采用CISCOCatalyst局域网交换机建立了交换体系局域网,完全可以利用产品本身特性来建立基于用户的策略性网络:
基于Cisco先进的IOS及安全管理工具,可以建立一套基于与用户行政部门、业务应用模式相适应的一套安全机制,具体实现如下:
根据业务运作和应用模式,划分整个企业的工作组(虚拟局域网—VLAN),VLAN可根据交换机端口、主机MAC地址等进行划分;
为每个VLAN分配IP子网地址,并相应地为每个VLAN中的服务器和客户机分配IP地址;
在Cat4500和Cat3550交换机配备的引擎上,实施基于访问控制(accesslist)的安全策略,accesslist可基于源地址、目标地址、源端口号、目标端口号;
这样限制不同工作组人员之间及对重要系统资源的方向;
在重要的交换机端口进行过滤设备(基于MAC地址),限制对重要的主机或系统的访问;
应用在银联大楼不同科室或业务流向来划分VLAN,由于不同的VLAN之间的通讯必须通过Cat4500的引擎,这样就可以通过其路由功能来控制数据的访问,实现数据的保护。
3.4.4.2关于网络设计的地址分配及VLAN划分
1)VLAN划分
银联大楼基本以处/科为单位,下设各个科室,因此我们考虑VLAN的划分以处或科室为单位,按以下原则来划分:
(1)对于同一处内不同科室之间,如果计算机之间需要经常相互通信,而且科室内部没有非常保密的信息,或者允许其他科室访问我的保密信息,则可以将几个科室划分成一个VLAN。
(2)对于同一处内不同科室间,如果计算机之间不需要经常相互通信或者不需要通信,或者科室内部有非常保密的信息,不希望其他科室来访问,则可以将单个科室划分成一个VLAN。
(3)如果同一处内有各个科室需要公用的服务器,则建议将该类型的服务器单独划分为一个VLAN,通过VLAN之间的路由功能使得各个科室都可以访问公用的服务器。
(4)如果不同处之间或者不同处下属科室之间有需要公用的服务器,则建议将该类型的服务器单独划分为一个VLAN,通过VLAN之间的路由功能使得不同的处或者不同处下属的科室都可以访问公用的服务器。
(5)其他的同一处内科室之间或者不同处内科室之间的互访也都可以通过VLAN之间的路由功能得以实现。
2)地址分配
IP地址的划分:
IP地址的划分与VLAN的划分相对应,每一个VLAN分配一个IP地址的子网,不同VLAN之间的互访通过路由器路由功能得以实现,通过“子接口技术”就可以在一个物理接口上实现多个逻辑接口,从而就能分配多个IP地址,每一个IP地址属于一个VLAN。
IP地址的分配可采用静态分配方式,便于日后的维护及统一管理。
附录主要产品介绍
CiscoCatalyst4500系列智能化以太网交换机
CiscoCatalyst4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制。
可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。
作为新一代CiscoCatalyst4000系列平台,CiscoCatalyst4500系列包括三种新型CiscoCatalyst机箱:
CiscoCatalyst4507R(七个插槽)、CiscoCatalyst4506(六个插槽)和CiscoCatalyst4503(三个插槽)。
CiscoCatalyst4500系列中提供的集成式弹性增强包括1+1超级引擎冗余(只对CiscoCatalyst4507R)、集成式IP电话电源、基于软件的容错以及1+1电源冗余。
硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。
图1.CiscoCatalyst4503,4506和4507R系列
作为CiscoAVVID(集成语音、视频和融合数据体系结构)的关键组件,CiscoCatalyst4500能够通过智能网络服务将控制扩展到网络边缘,包括高级服务质量(QoS)、可预测性能、高级安全性、全面管理和集成式弹性。
由于CiscoCatalyst4500系列提供与CiscoCatalyst4000系列线卡和超级引擎的兼容性,因而能够在融合网络中延长CiscoCatalyst4000系列的部署窗口。
由于这种方式能减少重复运作开支,降低拥有成本,因而能提高投资回报(ROI)。
CiscoCatalyst3550-24与3550-48智能化以太网交换机
产品概述
CiscoCatalyst3550系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列,可以提供高水平的可用性、可扩展性、安全性和控制能力,从而提高网络的运行效率。
因为具有多种快速以太网和千兆以太网配置,因此Catalyst3550系列既可以作为一个功能强大的接入层交换机,用于中型企业的布线室;
也可以作为一个骨干网交换机,用于中型网络。
客户有史以来第一次可以在整个网络中部署智能化的服务,例如先进的服务质量(QoS),速度限制,Cisco安全访问控制列表,多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。
Catalyst3550系列中内嵌了Cisco集群管理套件(CMS)软件,该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。
CiscoCMS软件提供了新的配置向导,它可以大幅度简化整合式应用和网络级服务的部署。
Catalyst3550系列智能以太网交换机具有下面两种快速以太网配置:
∙Catalyst3550-24交换机24个10/100端口和两个基于千兆接口转换器(GBIC)的千兆以太网接口;
∙Catalyst3550-48交换机48个10/100端口和两个基于GBIC的千兆以太网接口;
两个内置的千兆以太网端口可以支持多种GBIC收发器,包括CiscoGigaStack?
GBIC、1000BaseT、1000BaseSX、1000BaseLX/LH和1000BaseZXGBIC。
基于双GBIC的千兆以太网实施方案可以为客户提供高度的部署灵活性使客户可以在目前先部署一种堆栈和上行链路配置,然后可以在将来移植这种配置。
高水平的堆栈弹性还可以通过下列技术实现:
两个冗余千兆以太网上行链路,一条冗余的GagaStackTMGBIC回送线路,用于高速上行链路和堆栈互联故障恢复的UplinkFast和CrossStackUplinkFast技术,用于上行链路负载均衡的PerVLAN生成树+(PVST+)。
这样的千兆以太网灵活性使Catalyst3550系列成为针对以太网优化的CiscoCatalyst6500系列核心LAN交换机最理想的LAN边缘补充产品。
Catalyst3550-24和3550-48中含有标准多层软件镜像(SMI)或者增强型多层软件镜像(EMI)。
EMI提供了一组更加丰富的企业级功能,包括基于硬件的IP单播和多播路由,虚拟LAN(VLAN)间的路由,路由访问控制列表(RACL)和热备用路由器协议(HSRP)。
在刚开始部署时,增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。
Catalyst3550-48智能化以太网交换机
网络的智能特性
当今的网络需要在网络边缘满足下面四种新的需求:
∙提高桌面计算能力
∙推出需要占用大量带宽的应用
∙在网络上扩展高度敏感的数据
∙提供多种设备,例如IP电话和无线LAN接入点
这些新的需求将与很多现有的关键任务型应用争夺资源。
因此,IT人士必须认识到,网络边缘对于有效管理信息和应用的提供至关重要。
因为越来越多的企业将网络作为战略性的业务基础设施,所以确保它们的高可用性、安全性、可扩展性和控制能力变得比以往任何时候都重要。
通过为布线室添加Cisco的智能化功能,客户现在可以在整个网络中部署智能化的服务,从桌面、核心到整个WAN,这些服务可以通过统一的方式满足这些需求。
利用CiscoCatalyst智能化以太网交换机,Cisco使企业可以通过为它们的网络添加智能化服务获得充分的帮助。
企业需要部署可以让网络基础设施具有高度可用性的功能,以满足对时间要求很高的需求;
部署可以提供高度可扩展性的功能,以支持规模的增长;
部署可以确保足够安全性的功能(以保护机密信息),以及能够区分和控制流量的功能,这些对于进一步优化网络运作至关重要。
通过先进的服务质量和速度限制对网络进行控制
CiscoCatalyst3550可以提供先进的第三层详细QoS功能,以确保对网络通信量进行详细的分类,划分优先级,以及尽可能地避免发生拥塞。
Catalyst3550可以在输入的包进入共享缓存之前对包进行分类、重新分类、修正和标记。
包分类使网络要素可以区分不同的通信流量,在第二层和第三层QoS领域中实施策略。
要实施QoS,首先,Catalyst3550交换机需要确定通信流量,或者包组合,利用特色服务代码点字段(DSCP)和/或802.1p服务类别(CoS)对这些组合进行分类或者重新分类。
分类和重新分类可以基于源/目的地IP地址、源/目的地介质访问控制(MAC)地址或者第四层传输控制协议(TCP)/用户数据报协议(UDP)端口所指定的标准。
在入口处,Catalyst3550还将进行实施策略和标记包的工作。
所有端口都支持控制面板和数据面板访问控制列表(ACL),以确保每个包都被修正和标记。
包在经过分类、修正、标记以后,将在退出交换机之前被分配到适当的序列。
Catalyst3550的每个端口支持四个输出序列,从而使网络管理员可以更加详细地为LAN中的不同应用指定优先级。
在出口处,交换机进行时序和拥塞控制。
时序是一种确定队列被处理的时间顺序的算法/流程。
该交换机支持加权轮循均衡(WRR)时序和严格的优先级序列。
WW序列算法确保了优先级较低的包不会没有带宽可用,而且在受处理时没有损害网络管理人员的优先级设置。
严格的优先级序列确保了优先级最高的包永远可以先于所有其他通信流量获得服务,而其他三个序列将通过WRR时序获得服务。
通过采用时序设置,Catalyst3550的千兆以太网接口可以通过加权随机早期检测(WRED)支持拥塞控制。
WRED通过设置各个包在拥塞发生之前发生丢失情况的阀值避免了拥塞。
这些特性使网络管理员可以设置关键任务型和/或需要占有大量带宽的通信流量的优先级,例如ERP(Oracle、SAP等等),语音(IP电话通信量)和CAD/CAM,将它们与那些对时延不太敏感的应用(例如FTP和电子邮件(SMTP))区分开。
例如,如果将下载一个大型文件的任务设置到布线室的一段端口,而在该交换机的另外一个端口导致质量上的下降,例如语音通信时延的增加,那将是非常不合乎需求的。
要避免这种情况,可以确保在整个网络中对语音通信量进行正确的分类和优先级划分。
其他应用,例如Web浏览,可以作为低优先级对待,或者“尽力而为”地进行处理。
CiscoCatalyst3550能够通过对Cisco承诺信息速率(CIR)功能的支持进行速率控制。
通过CIR,带宽能够以8Kbps的增幅获得保障。
带宽可以基于多种标准进行划分,例如MAC源地址、MAC目的地址、IP源地址、IP目的地址,以及TCP/UDP端口编号。
带宽分配对于需要服务水平协议的网络环境至关重要,或者必要时需要网络管理人员控制指定用户所获得的带宽的网络环境。
Catalyst3550-24和Catalyst3550-48的每个端口均支持8个集中或者单独的入口策略和8个集中的出口策略。
这使得网络管理员可以非常准确地控制LAN带宽。
通过高性能的IP路由实现网络的可扩展性
利用基于硬件的IP路由和增强型多层软件镜像,Catalyst3550-24和Catalyst3550-48交换机可以在所有端口上提供线速路由。
基于Cisco快速转发(CEF)的路由架构有助于提高可扩展性和性能。
这种架构可以实现高速的搜索,同时还能确保对于满足将来的需求非常重要的稳定性和可扩展性。
除了动态IP单播路由以外,Catalyst3550-24和Catalyst3550-48非常适用于需要多播支持的网络。
硬件中配备的多播路由协议(PIM)和互联网群组管理协议(IGMP)使得Catalyst3550系列交换机非常适用于需要进行大量多播服务的环境。
这些交换机在用作一种可堆叠的布线室交换机时在改进网络性能方面具有多种优势。
例如,从堆栈顶部部署路由上行链路将通过实现迅速的故障恢复保护和简化生成树协议算法提高网络的可用性,生成树协议算法的简化是通过终止集中交换机中的所有生成树协议流程实现的。
如果一条上行链路发生故障,可以通过一个可扩展的路由协议迅速地转换到一条备用的上行链路上,这些协议包括开放最短路径优先协议(OSPF)和增强型内部网关路由协议(EIGRP),而不是仅仅依赖于标准的集中生成树协议。
包在链路发生故障以后,可以通过路由协议重新得到发送,从而实现了比使用第二层生成树协议更快的网络整合。
另外,路由上行链路可以通过在上行链路上实施平等成本路由(ECP)获得更高的带宽利用率,从而进行负载均衡。
这可以对网络中的瓶颈部分进行动态的负载平衡。
而且,路由上行链路可以通过消除不必要的进入骨干网络的广播数据流量在布线室外优化上行链路的使用率。
Catalyst3550作为多播环境中一个可堆叠的布线室交换机时还可以节约大量带宽。
利用指向网络核心的路由上行链路,无需再从上行内容供应商向布线室传输同一个多播的多个信息流。
例如,如果三个用户属于三个不同的虚拟LAN(VLAN),而且它们都需要收看多播ABC,那么需要从上行路由器向布线室交换机传输多播ABC的三个信息流假设布线室交换机不能支持路由上行链路。
利用Catalyst3550交换机向核心部署IP路由可以使用户创建一个可扩展的多播网络。
通过Cisco访问控制列表确保网络安全
CiscoCatalyst3550交换机可以通过使用访问控制列表(ACL)提供更高的数据安全性。
通过拒绝基于源和目的地MAC地址、IP地址或TCP/UDP端口的包,用户将无法使用网络中的一些敏感部分。
而且,因为所有ACL搜索都是通过硬件完成的,所以在网络中部署基于ACL的安全机制时将不会降低转发和路由性能。
网络管理人员还可以通过为每个交换机部署高达1005个虚拟LAN(VLAN)实现更高等级的数据安全,提高LAN的性能。
这确保了数据包只被转发到某个VLAN中的终端站,在网络的不同端口群组之间创建了单独的冲突域,减少了广播传输。
可以利用基于802.1Q或者Cisco交换机间链路(ISL)VLAN中继线路架构在任何端口创建VLAN中继线路。
另外,专用VLAN边缘可以在同一个交换机的不同端口之间提供安全和隔离,从而确保通信量可以直接从入口经过虚拟路径进入集中设备,而不会被发送到其他端口。
本地代理地址解析协议(ARP)与专用VLAN边缘配合可以将广播量降到最低,将可用带宽提高到最大程度。
为了实现先进的安全管理,Catalyst3550在VLAN端口和路由端口支持标准的和扩展的ACL。
利用多层的CiscoCatalyst3550路由器,网络管理人员可以实现高水平的控制台安全。
交换机控制台的多等级访问安全和基于Web的管理接口可以防止XX的用户访问或者更改交换机配置。
终端访问控制器访问控制系统(TACACS+)认证可以实现交换机的集中访问控制,防止XX的用户更改配置。
利用Cisco集群管理套装软件进行网络管理
Cisco集群管理套件(CMS)是嵌入在Catalyst3550、2950、3500XL、2900XL、2900LREXL和1900交换机中的一种基于Web的软件。
利用Cisco交换机集群技术,用户可以利用任何标准的Web浏览器访问CiscoCMS,并同时管理高达16个这样的路由器,而不管它们的实际距离有多远如果需要的话可以为整个集群使用一个IP地址。
随着Catalyst3550交换机的加入,CiscoCMS软件现在可以跨越
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联网 方案 要点