廈新商業(yè)集團公司需求分析說明書

1、 密級絕密 廈新商業(yè)集團網絡設計及改造項目 需求分析說明書dx1101xxwxfx01 v1.01丹斯互聯科技網絡有限公司2011年12月目 錄1引言41.1編寫目的41.2背景42項目任務概述42.1該項目的應用范圍42.2該項目所需實現的目標53項目需求規(guī)定53.1網絡設計基本原則53.1.1可用性53.1.2可靠性53.1.3可擴展性63.1.4可管理性63.1.5標準性63.1.6安全性63.2網絡設計策略63.2.1模塊化設計63.2.2采用高性能的網絡設備73.2.3網絡提供對服務質量的控制73.2.4采用業(yè)界主流產品73.3網絡設計規(guī)定73.3.1應用框架73.3.2模塊化、層次

2、化設計73.3.3層次結構83.3.4拓撲結構83.3.5ip地址設計93.3.6路由協(xié)議設計93.3.7設備可靠性93.3.8服務器設計93.3.9線路可靠性103.3.10qos設計103.3.11網絡管理設計103.3.12網絡安全設計101 引言1.1 編寫目的編寫本文檔的目的是：明確福建省廈新商業(yè)集團公司項目的目標；明確福建省廈新商業(yè)集團公司項目網絡需求的詳細內容；本文檔將服務于項目的管理者和系統(tǒng)集成商，指導項目管理者與系統(tǒng)集成商根據該文檔進行項目的實施。1.2 背景新組建的福建省廈新商業(yè)集團公司成立于公元2006年8月。注冊資金8000萬人民幣。公司現有在職員工500人左右。福建省

3、廈新商業(yè)集團總公司設在福州市，。公司主要涉及零售業(yè)，以現代物流為支撐，以現代農業(yè)和食品工業(yè)為兩翼，以實業(yè)開發(fā)為基礎的大型集團企業(yè)。堅持“融合共享”、“競合發(fā)展”的理念開創(chuàng)藍海，與國際零售巨頭共同繁榮中國零售市場。 根據福建省廈新商業(yè)集團公司的建網需求，新建網絡應為基于tcp/ip協(xié)議的網絡平臺，應具有較高的網絡帶寬，較強的可靠性及較好的可擴展性。新網絡系統(tǒng)應能夠滿足福建省xx商業(yè)集團未來五年中各種業(yè)務的需求，向廈新商業(yè)集團公司的客戶提供安全、高效、便捷的服務；同時該網絡還應滿足分公司內部的業(yè)務、voip、電子商務、視頻等應用的高效運行。2 項目任務概述2.1 該項目的應用范圍福建省廈新商業(yè)集團

4、總公司是企業(yè)的核心，運行著大量的應用系統(tǒng)和各種服務器。每一個分公司都必須要與總公司時時網絡通訊。因此總公司與分公司之間必須采用冗余的鏈路設計。2.2 該項目所需實現的目標福建省廈新商業(yè)集團公司的目標是規(guī)范網絡接入方式，加強網絡安全控制，提高網絡擴展能力。1、 中心機房建設，新增管理類路由器，實現新增xx個分公司的網絡；2、 進一步調整骨干的冗余備份結構和核心路由結構，優(yōu)化網絡核心性能和備份能力，避免重大故障；3、 公司內部隔離成不同的網絡，從而增加了安全性和可管理性。4、 各服務器能夠正常工作，可靠性有怕考慮。5、 安全方面目標：關閉一些不必要的服務；設置各種口令各公司要禁止任何網絡訪問財務網

5、絡；總部和分公司均采用vlan的設計；。3 項目需求規(guī)定3.1 網絡設計基本原則3.1.1 可用性網絡設計首先應本著可用性的原則。一方面要能為用戶提供網絡傳輸服務，滿足各類數據傳輸的需求，達到用戶所需要的網絡傳輸質量；另一方面，所采用的技術應當是確保網絡的正常運行的。在網絡設計中要把先進的技術與現有的成熟技術結合起來，充分考慮到xx商業(yè)集團公司應用的現狀和未來發(fā)展趨勢。3.1.2 可靠性網絡系統(tǒng)的穩(wěn)定可靠是系統(tǒng)正常運行的保證也是網絡設計基本的原則。應采用高可靠性的網絡產品和完備的網絡備份策略來滿足可靠性的要求，對于不同層次的設備和線路進行不同級別的可靠性設計，使網絡具有故障自愈的能力?？煽啃栽O

6、計不僅包括網絡設備等物理設計的可靠性，同時包括路由等邏輯設計的可靠性。3.1.3 可擴展性業(yè)務的發(fā)展對網絡的需求是不斷變化的，網絡應用系統(tǒng)為了滿足這些需求也會隨之變化。面對不斷變化的情況和需求，網絡應當能夠作出快速和有效的反應。因此，網絡必須具備良好的可擴展性，應支持核心業(yè)務系統(tǒng)的不斷擴展，適應未來業(yè)務的發(fā)展和變化。同時，網絡結構應當能夠變化，具有靈活的伸縮能力，網絡設備可以擴充和升級。3.1.4 可管理性隨著網絡規(guī)模的不斷擴大和網絡的不斷復雜，網絡的維護量隨之增加。整個網絡的可管理性變得尤為重要。因此，廈新商業(yè)集團公司系統(tǒng)應當具有統(tǒng)一的可管理性，建立統(tǒng)一的網絡管理平臺。不僅實現對網絡設備的管

7、理，同時實現對網絡策略的管理和不同協(xié)議的多級維護。3.1.5 標準性網絡設計中所用的各種管理信令、接口規(guī)程、協(xié)議須符合國際標準，便于擴展和網絡的互連互通。3.1.6 安全性各類網絡應用運行嚴格要求網絡的安全性，尤其是業(yè)務類應用。因此x廈新商業(yè)集團公司網絡應該能夠充分保證業(yè)務運行的安全性。3.2 網絡設計策略3.2.1 模塊化設計網絡的穩(wěn)定、可靠、安全運行和維護簡單要求網絡采用模塊化設計。3.2.2 采用高性能的網絡設備越來越多的語音和視頻類應用要求網絡是一個高性能的網絡。3.2.3 網絡提供對服務質量的控制多媒體應用的實時性要求網絡具有服務質量的控制功能。3.2.4 采用業(yè)界主流產品產品的選擇

8、應當選擇在業(yè)界知名企業(yè)的產品，并能夠保持長期的戰(zhàn)略合作關系。3.3 網絡設計規(guī)定3.3.1 應用框架根據廈新商業(yè)集團公司的實際情況，運行在現有網絡的應用系統(tǒng)主要可分為3類：ip數據應用、語音應用和視頻應用。其中數據、語音、視頻大多是基于ip協(xié)議的。這3類應用對網絡有著不同的要求。但他們統(tǒng)一的特點是可以基于ip協(xié)議進行傳輸的。這就要求我們建立的網絡是一個基于ip的網絡傳輸平臺。同時，ip網絡平臺要能夠滿足所有應用對于網絡的不同要求，對不同應同提供不同的網絡服務質量。3.3.2 模塊化、層次化設計大型網絡的網絡結構是層次化的，正確理解網絡層次的劃分和每個層次的主要作用，有助于我們合理選擇網絡拓撲和

9、網絡技術。大型網絡從理論上可以劃分為三個層次，即核心層（core layer）、分布層（distribution layer）和訪問層（access layer）， 經過層次化設計后，網絡的結構和性能得到了進一步優(yōu)化，其主要特點如下所示：可擴展性：利于網絡的模塊化增長；簡單性：通過將網絡分成許多小單元，降低了網絡的整體復雜性，使故障排除更容易，而且能夠隔離廣播風暴的傳播，防止路由循環(huán)等一些潛在的問題；設計的靈活性：易于最新的技術的應用，升級任意層次的網絡不會對其它層次造成影響，無需改變整個環(huán)境；路由的可管理性：層次結構使單個設備的配置的復雜性大大降低，更加易于管理。因此，北京建行網絡必須采用層

10、次化和模塊化的設計。3.3.3 層次結構xx商業(yè)集團公司網絡采用這樣的層次結構有以下優(yōu)點：1 可用性好：網絡的層次劃分將一個大的網絡劃分成了多層、多個小網絡，每個網絡的范圍小，網絡收斂相對快得多，可用性大大提高。2 可靠性高：每個模塊內部的網絡故障不會造成模塊間的相互影響，可靠性大大提高。3 易于管理：各模塊之間相互隔離比較清晰，易于分權管理。管理的網絡范圍相對較小，容易管理。4 易于分析問題和解決問題：每個模塊的網絡范圍小，包含交換機少，網絡出現問題后，容易確定問題的原因和地點。5 層次結構非常清楚：核心和接入采用模塊化設計，結構非常清晰。3.3.4 拓撲結構為實現網絡的高安全性和高可靠性，

11、福建總公司和分公司都分別有不同的網絡（如有服務器網、電子商務網、voip網等）。交換核心采用2-6臺3層高可靠和高性能交換機。2臺交換機之間通過多條千兆捆綁互聯。接入層交換機分別通過2條千兆實現和本地核心交換機的連接。辦公網絡的數據將被嚴格限制進入業(yè)務網絡。各網絡的分離，將大大增強業(yè)務網絡的可靠性、可用性和安全性。3.3.5 ip地址設計鑒于專用網絡的可擴展性和今后的發(fā)展，規(guī)范將以合理利用、科學規(guī)范的原則，采用vlsm網絡技術，按照連續(xù)比特（bit）分割法，以一定層次和規(guī)則，將整個地址空間劃分為大小不同、用途各異的規(guī)范化ip地址塊空間。詳見xx項目ip地址分配規(guī)則3.3.6 路由協(xié)議設計內部路

12、由協(xié)議采用動態(tài)路由協(xié)議，選擇ospf協(xié)議。vlan設計vlan可以采用動態(tài)vlan和靜態(tài)vlan 2種方式實現。動態(tài)vlan的好處是方便靈活。但缺點也非常明顯，網絡管理員無法有效控制網絡。無法控制終端用戶是否可以加入網絡。因此，我們采用靜態(tài)劃分vlan的方式，即采用端口方式劃分vlan。3.3.7 設備可靠性網絡系統(tǒng)中的每個單點設備可靠性的提高也意味著網絡系統(tǒng)的可靠性提高。北京建行核心網絡設備全部采用雙電源、雙引擎、雙機的方式實現高可靠性。例如：核心交換機。核心網絡設備全部采用用雙電源、雙引擎的方式實現高可靠性。同時配置冗余熱備份的雙設備提高網絡整體可靠性。最后，配置相應數量的冷備份設備和模塊

13、，保證運行設備出現硬件故障后可以及時更換。3.3.8 服務器設計服務器是每個公司必須具備的。按照公司的需求。我們規(guī)劃如下：總部服務器里有ftp服務器、web服務器、dhcp服務器、email服務器、dns服務器。各分公司有dhcp服務器和dns服務器。3.3.9 線路可靠性線路可靠性的提高將大大提高網絡系統(tǒng)的可靠性。因此線路可靠性的投資是必不可少的。這里采用了真正物理線路迂回的雙環(huán)結構，充分保證了xx商業(yè)集團公司總部到子公司網絡的可靠性。3.3.10 qos設計多媒體應用的基礎是網絡能夠提供qos技術。xx商業(yè)集團公司網絡中存在ip電話、ip tv、基于ip協(xié)議的視頻會議應用，這就要求網絡必須

14、具備qos功能。邊緣交換機能夠根據應用標識數據包的優(yōu)先級。交換機提供不同隊列實現不同數據包不同的服務等級。3.3.11 網絡管理設計隨著改造的網絡上線，網絡的管理和運行將非常重要。需要建立獨立的網絡管理系統(tǒng)，實現vlan的管理、性能的管理、故障的管理、安全的管理。能夠通過圖形化界面實現上述管理功能。3.3.12 網絡安全設計網絡的安全對于安全運行至關重要。業(yè)務網絡和辦公網絡的分離從基礎上保證了業(yè)務網絡的安全。同時必須針對不同的安全漏洞進行安全控制。目前，常見的網絡安全的威脅主要有四類：1、數據包監(jiān)聽：通過對通信鏈路采用技術的手段偵聽數據的傳輸，并獲得傳輸的數據信息；2、數據竊?。焊`取存儲在系統(tǒng)

15、內部的數據；3、偽裝：盜用合法用戶的身份進行非法的操作；4、數據篡改：篡改網絡上傳輸的數據從而造成對系統(tǒng)的破壞。網絡層的安全是全網安全的基礎，因為它負責數據包的傳遞，路徑的選擇，可以想象，如果一個惡意用戶控制了網絡層次，改變了信息的流向，則其他一切安全措施都是徒勞的。而其中的網絡設備安全則是網絡層安全的基礎，在本網絡具體的環(huán)境中主要是支持第三層功能的交換機。針對網絡產品的特點應當采用如下的策略：1、關閉不需要的服務，如http、finger等2、口令加密3、控制登錄的自動斷開時間4、使用訪問列表控制可以對設備進行管理的ip地址5、只允許本地管理ip對設備進行管理。在局域網內部的安全性考慮，主要體現在對內部訪問的權限控制上，如允許哪些下端網點計算機訪問哪些網上節(jié)點及哪些應用等，這可以通過路由器或第三層