網(wǎng)絡工程規(guī)劃與設計案例教程項目四懷鋼集團有限公司信息化建設項目第一期網(wǎng)絡設備選型方案

1、長勝鋼鐵集團有限公司信息化建設項目一期工程網(wǎng)絡設備選型方案書1. 概述 11.1 網(wǎng)絡設計原則 11.2 網(wǎng)絡建設目標和總體規(guī)劃 12. 主干網(wǎng)絡建設 42.1 主干交換機 42.1.1 CISCOCatalyst 6000系列基本特性 42.1.2 CISCOCatalyst 6000系列擴展特性 52.1.3 第三層交換 62.1.4 本方案選型和主要配置 62.1.5 子網(wǎng)劃分 72.2 二級節(jié)點主交換機 72.2.1 Cisco 3548 XL 交換機介紹 72.2.2 本方案二級節(jié)點主交換機選型和配置 82.3 部門交換機 82.4 網(wǎng)絡連接冗余 81. 概述根據(jù)我們的組網(wǎng)經(jīng)驗，結(jié)合

2、長勝鋼鐵公司企業(yè)網(wǎng)的建設必須要統(tǒng)籌規(guī)劃，全面安排，確保網(wǎng)絡的合理性、先進性、經(jīng)濟性和安全性，并且要為網(wǎng)絡未來的發(fā)展留有足夠的擴充余地。1.1 網(wǎng)絡設計原則（ 1 ）堅持實用性并充分保護用戶的投資（ 2）堅持開放性、兼容性和可互連性，向事實上的工業(yè)標準TCP/IP 協(xié)議靠攏，同時考慮支持 IPX/SPX（ 3）堅持技術(shù)的先進性（ 4）堅持高可管理性（ 5）堅持高可靠性（ 6）提供冗余備份功能（ 7）能有效進行網(wǎng)絡管理（ 8）利于網(wǎng)絡擴展和技術(shù)升級（ 9）充分利用現(xiàn)有的網(wǎng)絡設備（ 10 ）提供嚴格受控的撥號訪問系統(tǒng)（ 11）提供完全的網(wǎng)絡安全控制1.2 網(wǎng)絡建設目標和總體規(guī)劃長勝鋼鐵公司信息系統(tǒng)網(wǎng)

3、絡建設的目標，就是在總部和各分支機構(gòu)局域網(wǎng)建設、及其廣域網(wǎng)聯(lián)接的基礎(chǔ)上，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，從而建立起統(tǒng)一、快捷、高效的 Intranet系統(tǒng)。整個系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟的原則，即實現(xiàn)合理的投入，最大的產(chǎn)出。具體規(guī)劃如下：（ 1 ）以電訊公司為中心，與公司機關(guān)大樓、廠區(qū)內(nèi)生產(chǎn)處、各二級廠等單位通過光纖相連，構(gòu)成一大型分級局域網(wǎng)；（ 2）以千兆以太作為主干網(wǎng)，利用第三層交換技術(shù)實現(xiàn)大型局域網(wǎng)的VLAN 劃分。一期規(guī)劃中十個二級節(jié)點采用千兆，與中心主交換機（主節(jié)點）構(gòu)成千兆網(wǎng)絡主干，各二級單位（三級節(jié)點）采用100M 光纖收發(fā)器通過二級節(jié)點接入主干網(wǎng)；（ 3）考慮到網(wǎng)絡環(huán)

4、路連接可達到冗余效果，增加系統(tǒng)的可靠性，因此，二級節(jié)點之間盡可能互聯(lián)，形成環(huán)路；（ 4） 網(wǎng)絡中心建設撥號訪問服務中心，接受遠程撥號訪問，并由認證和計費系統(tǒng)進行權(quán)限認證和計費；（ 5）網(wǎng)絡通過申請專線或虛擬光纖接入Internet/ChinaNET ，在公網(wǎng)上建立虛擬專用網(wǎng)（VPN）； 通過采用Web 技術(shù)和 Internet-VPN 技術(shù)以及信息加密技術(shù)實現(xiàn)電子商務。這樣， 可以提供遠程撥號訪問和通過Internet 訪問兩種方式，來實現(xiàn)全國各分支機構(gòu)、相關(guān)部門以及公眾對長勝鋼鐵信息的限制性訪問；（ 6）網(wǎng)絡的安全機制：通過對網(wǎng)絡設備的配置，控制訪問列表等方式來加強網(wǎng)絡的安全性措施；更重要的

5、是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進的防火墻技術(shù)、代理服務器技術(shù)、以及 Web 服務器的口令驗證、數(shù)據(jù)加密等技術(shù)實現(xiàn)網(wǎng)絡的安全性。（ 7）網(wǎng)絡中心設立WEB 應用服務器、代理服務器、E-MAIL 服務器、DNS 服務器、計費認證服務器和數(shù)據(jù)庫服務器，實現(xiàn)WEB 訪問、 Internet 接入、 E-MAIL 系統(tǒng)、域名解析、計費認證和應用系統(tǒng)等各種功能。主干網(wǎng)絡總體邏輯示意圖如下圖1 ：數(shù)據(jù)庫服務器SUN E450月艮務器磁盤陣列SUN E450E-MAIL服務器 雙機熱備電訊公司網(wǎng)絡中心三級子網(wǎng)三級企W 百.服務器Cisco CatDNS務器 務器計費認近 代理月Cisco匚三Cataly

6、st i_ :換機 Cisco PIX防火墻二Cisco Catalyst一一一al/950父換風二級企業(yè)信心、點千兆接入!Cisco2950 次CatalPCSUN E250SUN E250服嚀6509中心交換機1連接千兆主光纖1 3548交換機連接yst分士1 彳廿一CiscoCatal-撥號訪問PC機 撥號訪問PC機i_ -Internet -用戶-Internet用戶信L、點PC二級企業(yè)CCi atasco千兆WA3548Cisco Catal yst 2950交換機信息點PC 信息點交換機ys二級子網(wǎng) 工作組交換機Cisco Catal 2950交換機信里點PC 信息點PC 信息點P

7、C 信息點圖1長勝鋼鐵集團信息系統(tǒng)一期規(guī)劃網(wǎng)絡邏輯示意圖PCPC2. 主干網(wǎng)絡建設2.1 主干交換機中心交換機選用CISCO Catalyst 6000 系列中的6509 交換機，提供最高的性能價格比。6509 擁用 9 個插槽，支持最多384 個用戶連接。6509 與兩個二級企業(yè)千兆交換機CISCO Catalyst 3548 之間構(gòu)成環(huán)形冗余線路，并構(gòu)成主干網(wǎng)絡核心。2.1.1 CISCO Catalyst 6000 系列基本特性和服務供應商網(wǎng)絡提供高性能多層交換解決方案。Catalyst 6000 家族旨在滿足主干網(wǎng)/分布式和服務器集合環(huán)境中對千兆位可伸縮性、高可用性及多層交換的增加需求

8、，提供卓越的可伸縮性和性價比，支持廣泛的接口密度、性能和高可用性選項。通過結(jié)合卓越的控制平面和數(shù)據(jù)包轉(zhuǎn)發(fā)可伸縮性以及一系列豐富的智能服務，Catalyst6000 系列為新紀元企業(yè)和服務供應商解決方案(例如集成化語音/視頻/數(shù)據(jù)和電子商務服務)提供了基礎(chǔ)。Catalyst 6000 系列目前能使服務供應商和企業(yè)環(huán)境在可伸縮的網(wǎng)絡體系結(jié)構(gòu)方面邁出下一步。 通過集合可伸縮的性能、可伸縮的控制平面及廣泛的智能網(wǎng)絡服務的優(yōu)點，Catalyst6000 系列將為下一代網(wǎng)絡外附提供框架。 Catalyst 6500 系列交換機的交換光纖模塊為當今最先進的網(wǎng)絡提供最佳的帶寬性能，將交換容量擴展到256 Gb

9、/s 。Supervisor Engine 2 與 MSFC2 一起能夠啟動一個基于CEF 的體系結(jié)構(gòu)，并將總體系統(tǒng)性能提高到100+ Mpps 。ISupervisor 2 和 Gigabit Ethernet 模塊上業(yè)界領(lǐng)先的Cisco Express Forwarding(CEF) ：擴展控制平面數(shù)據(jù)包轉(zhuǎn)發(fā)性能以及安全、高可用性和QoS 方面的智能服務，為動態(tài)的服務供應商和企業(yè)網(wǎng)絡提供下一代解決方案。帶有本地或分布式轉(zhuǎn)發(fā)的Catalyst 6500 系列高性能Gigabit Ethernet 交換模塊非常適合千兆位主干網(wǎng)和服務器間配置中的部署或高密度10/100-Mbps 配線間的集合。

10、Catalyst 6000 系列入侵檢測系統(tǒng)模塊在同一機箱中集成了交換和安全功能性，提供針對未經(jīng)授權(quán)和惡意活動的全面攻擊保護。QoS 、高可用性和安全領(lǐng)域業(yè)界領(lǐng)先的新智能服務能夠跨服務供應商和企業(yè)網(wǎng)絡啟動多個部署選項。由于 1000BASE-T 模塊的推出，Cisco System 能夠通過Category 5 電纜在長達100米的距離啟動千兆位速度傳輸。16 端口 Gigabit Ethernet 模塊為高速服務器連接提供一個高度可靠和經(jīng)濟有效的解決方案。FlexWAN 模塊Catalyst 6000 系列提供一個智能交換體系結(jié)構(gòu)，在整個企業(yè)和服務供應商網(wǎng)絡擴展了帶寬和智能服務，提供智能配線

11、間、主干、服務器間及集成化語音/視頻/數(shù)據(jù)解決方案。6509 交換機具備強大的劃分VLAN 能力和高速第三層交換能力。利用多端口千兆模塊實現(xiàn)與其他分支機構(gòu)主交換機（選用Catalyst 3548交換機）的主干連接。主干交換機均支持FEC技術(shù)（快速以太網(wǎng)的多鏈路捆綁）、ISL技術(shù)（支持跨設備的VLAN劃分）。部門交換機 和工作組交換機選用Catalyst 2950交換機實現(xiàn)快速以太網(wǎng)分支，全面支持 SNMP協(xié)議。2.1.2 CISCO Catalyst 6000 系列擴展特性Catalyst6000家族由Catalyst6000系列、Catalyst6500系列組成。這兩個系列均支持 6 和9個

12、插槽的版本，提供廣泛的配置和價格/性能比選擇。Catalyst6000和Catalyst6500系 列交換機還支持廣泛的接口類型和密度，包括支持高達384個10/100以太網(wǎng)、192個100FX快速以太網(wǎng)端口和 130個千兆比特以太網(wǎng)端口一一業(yè)界最高的端口數(shù)量?？蛻暨€可使用 FastEtherChannel或GigabitEtherChannel ,集合八個物理快速以太網(wǎng)或千兆以太網(wǎng)鏈路， 實現(xiàn)高達16Gbps的邏輯連接。Catalyst6000系列提供業(yè)界領(lǐng)先的千兆以太網(wǎng)骨干網(wǎng)解決方 案，以滿足當今要求最高的、快速增長的企業(yè)Intranet的需求。表1 Catalyst6000 家族的密度和

13、容量結(jié)構(gòu)Catalyst6000 系歹 UCatalyst6500 系歹 U底板帶寬32Gbps32 至 256Gbps千兆比特以太網(wǎng)端口數(shù)量130130100FX以太網(wǎng)端口數(shù)量13213210/100以太網(wǎng)端口數(shù)量384384多層交換能力可擴展至15Mpps可擴展至150MppsCatalyst6500系列結(jié)構(gòu)支持可擴展到256Gbps的交換帶寬和可擴展到150Mpps的多層 交換能力，可以支持最苛刻的網(wǎng)絡流量需求。Catalyst6000家族支持與 Catalyst5000家族相同的軟件結(jié)構(gòu)，提供業(yè)界領(lǐng)先的基于 CiscoIOS的服務。CiscoIOS提供整套軟件業(yè)務，負責管理網(wǎng)絡安全性，

14、分配并實施QoS,提供增值的、實現(xiàn)高網(wǎng)絡彈性的業(yè)務。CiscoIOS還為CiscoWorks2000與Cisco資源管理器 兩者的集成、整個Catalyst產(chǎn)品系列均支持的基于 Web的管理工具提供管理架構(gòu)。PIM、Internet組管理協(xié)議（IGMP）、Cisco組管理協(xié)議（CGMP）、GARP多點發(fā)送注冊協(xié) 議實現(xiàn)的高效的Intranet多媒體和多點廣播支持為多媒體和多點廣播應用提供端到端的可擴 展帶寬。這些服務將數(shù)據(jù)只傳送給加入多點廣播組的用戶，而不會影響其他用戶。QoS策略利用2、3、4層信息（如IP、CiscoISL、802.1p幀的優(yōu)先比特位或4層端口號） 來執(zhí)行。在Catalys

15、t6000系列交換機內(nèi)，可配置門限的多種隊列采用 WRED、WRR、業(yè)務 類型/業(yè)務級別（ToS/CoS）映射機制，以確保數(shù)據(jù)包在第2層和3層邊界傳輸時，QoS得到維 護。資源預留協(xié)議（RSVP）優(yōu)先映射亦可使用，以確保及時提供時間敏感的 Intranet應用。Intranet的安全性通過安全端口過濾功能受到支持，使個別的端口僅允許某些指定工作站 的接入。TACACS+和IP允許清單防止對安全管理環(huán)境中的交換機進行非法訪問。訪問控制 表（ACL）防止非法用戶闖入網(wǎng)絡。MD5路由鑒別還用于防止欺詐路由選擇更新。移動性轉(zhuǎn)移、增加、更換使用動態(tài)主機配置協(xié)議（DHCP）和域名系統(tǒng)（DNS）受到支持，并

16、與動態(tài)VLAN 功能一起實現(xiàn)最佳的、可擴展性能，而無需考慮地點。話音還可在傳統(tǒng)數(shù)據(jù)端口，即以太網(wǎng)上受到支持。如同“雙-網(wǎng)絡”的設計原理一個用于數(shù)據(jù)，另一個用于話音如今開辟了一種將話音和數(shù)據(jù)合并到一個網(wǎng)絡中的方法。Catalyst6000 系列可采用相同的策略機制來保證話音數(shù)據(jù)業(yè)務穿過網(wǎng)絡。它還有另一個優(yōu)勢網(wǎng)絡管理者可更高效的利用現(xiàn)有資源，同時通過簡化網(wǎng)絡結(jié)構(gòu)，降低了運營費用。Catalyst6000 家族支持多級別網(wǎng)絡彈性和可服務性，旨在處理關(guān)鍵任務應用。為確保系統(tǒng)高可靠性，Catalyst6000 家族支持設備級容錯，包括以下選項：（ 1 ）冗余 Supervisor（ 2）冗余、負載分擔電

17、源（AC 和 DC）（ 3）冗余共享風扇（ 4）冗余系統(tǒng)時鐘（ 5）冗余上行鏈路（ 6）冗余交換光纖（僅用于 Catalyst6500 系列 ）包括電源、風扇、Superviros 、線路板模塊在內(nèi)的所有系統(tǒng)單元都可熱插拔，如元件可增加、轉(zhuǎn)移或替換，而不會導致無關(guān)數(shù)據(jù)流的業(yè)務中斷。在雙重Supervisor 配置中，CiscoFastSwitchover 為了保護關(guān)鍵應用，可在幾秒鐘內(nèi)將交換機控制轉(zhuǎn)換到冗余Supervisor上。所有系統(tǒng)單元都可現(xiàn)場替換，從而實現(xiàn)了最大服務性和最少的網(wǎng)絡停機時間。6509 交換機具備強大的劃分VLAN 能力和高速第三層交換能力。利用多端口千兆模塊實現(xiàn)與其他分支

18、機構(gòu)主交換機（選用Catalyst 3548 交換機）的主干連接。主干交換機均支持FEC 技術(shù)（快速以太網(wǎng)的多鏈路捆綁）、 ISL 技術(shù)（支持跨設備的VLAN 劃分） 。部門交換機和工作組交換機選用Catalyst 2950 交換機實現(xiàn)快速以太網(wǎng)分支，全面支持SNMP 協(xié)議。2.1.3 第 三層交換借助 Catalyst 6000 的第三層交換的功能，給局域網(wǎng)劃分了若干個虛網(wǎng)（VLAN ） ，保證局域網(wǎng)內(nèi)的各業(yè)務主機群、工作站機群、路由器機群等各種設備進行有序的連接，只有本VLAN 內(nèi)部的站點能夠接收到此VLAN 中其它站點所發(fā)送的點到點消息、廣播消息或組播消息。通過對交換機中的數(shù)據(jù)流進行這樣

19、的限制，提高了VLAN 內(nèi)部用戶通信的效率，同時在不同 VLAN 的用戶之間提供了安全保護。既提高了局域網(wǎng)訪問速度，又增加了業(yè)務系統(tǒng)的安全性。對企業(yè)來說，網(wǎng)絡安全總是越高越好，簡單地在網(wǎng)絡上放幾個防火墻，肯定解決不了問題。因此，將網(wǎng)絡接入路由控制、服務器接入路由控制和關(guān)鍵應用的加密等措施結(jié)合起來，才能大大提高網(wǎng)絡的安全性能。在防火墻系統(tǒng)的DMZ 區(qū)單獨使用一臺交換機，供所有Web主機獨立構(gòu)成一個子網(wǎng)，通過防火墻與內(nèi)部網(wǎng)絡實現(xiàn)隔離。2.1.4 本 方案選型和主要配置本方案選擇CISCO 6500 系列中的6509 作為網(wǎng)絡主交換機。主要配置如下：（ 1 ） Catalyst 6509 9 插槽交

20、換機機箱（ 2） Catalyst 6000 1300W 交流電源及冗余電源（ 3）帶2 個 1000M GBIC 上聯(lián)接口，增強QoS 及 PFC 卡和 MSFC 卡（ 4） 1 塊 WS-X6408-GBIC8 口千兆以太網(wǎng)卡+10 個 WS-G5486 千兆模塊（ 5） Catalyst 6000 48 口 10/100 模塊（ RJ-45）以上配置提供了電源的冗余，充分保證中心交換機的高可用性。由前述特性可以看出，Catalyst 6000 系列是業(yè)內(nèi)優(yōu)秀的千兆級的局域網(wǎng)交換機可提供很強的交換功能，保證了長勝鋼鐵交換式局域網(wǎng)主干的高速、穩(wěn)定。本方案配置的CISCOCatalyst 65

21、09 交換機完全可以滿足長勝鋼鐵公司現(xiàn)在和未來（包括視頻）應用的需要。2.1.5 子 網(wǎng)劃分利用 Catalyst 6509 強大的 VLAN 劃分功能，建議采用如下方式劃分子網(wǎng)：子網(wǎng)一：網(wǎng)絡中心，包括數(shù)據(jù)庫服務器，E-MAIL 服務器， WWW 服務器和DNS 服務器，網(wǎng)管工作站，代理服務器，計費服務器和訪問服務器等。子網(wǎng)二：機關(guān)大樓，包括公司領(lǐng)導和機關(guān)各處室子網(wǎng)三：電訊公司其它每個聯(lián)網(wǎng)二級單位均分配一個子網(wǎng)，每一個二級單位屬于一個VLAN ，以此提高整個網(wǎng)絡的可靠性和可用性。由于Catalyst6509 最高可以提供150M 的第三層轉(zhuǎn)發(fā)，因此這種子網(wǎng)劃分方式不但可以提供高可用性，同時還降

22、低網(wǎng)絡風暴的可能性，更好地滿足了業(yè)務的需要。2.2 二級節(jié)點主交換機2.2.1 Cisco 3548 XL 交換機介紹二級節(jié)點主交換機選用Cisco 3548 XL 交換機，與中心交換機采用單模千兆連接。Cisco Systems Catalyst 3500 XL 系列是一系列可伸縮的堆疊10/100 和 GigabitEthernet 交換機，提供優(yōu)異的性能、可管理性和靈活性以及無與倫比的投資保護。Cisco 的突破性交換機集群技術(shù)將堆疊域擴展到單個配線間之外，能使用戶最多互連16個 Catalyst 3500 XL 、 2900 XL 和 Catalyst 1900 交換機，組建一個靈活的

23、單一IP 地址管理網(wǎng)絡，而不受它們的地理位置限制。該系列低成本高性能交換解決方案非常適合作為大型企業(yè)內(nèi)部網(wǎng)絡的分支機構(gòu)主交換 機。Catalyst 3548XL的背板交換能力為10G ,最高轉(zhuǎn)發(fā)速率每秒鐘740萬個數(shù)據(jù)包，最大 轉(zhuǎn)發(fā)帶寬5 Gbps,提供了 2端口的千兆以太網(wǎng)以及48端口快速以太網(wǎng)，保證了強大的端口 數(shù)量、以及向千兆網(wǎng)絡的延伸能力。Catalyst 3548XL 支持 FEC （ Fast Ethernet Channel ）技術(shù)、ISL（ InterSwitch Link ）技術(shù)。通過ISL 可支持跨設備的VLAN 劃分； FEC 技術(shù)可支持在交換機、路由器和服務器之間捆綁 4 條鏈路共高達800Mbps 的帶寬。2.2.2 本方案二級節(jié)點主交換機選型和配置本方案選擇cisco Cata