網(wǎng)絡(luò)工程設(shè)計(jì)方案

網(wǎng)絡(luò)工程設(shè)計(jì)方案院系：軟件學(xué)院班級(jí)：網(wǎng)絡(luò)0911班姓名學(xué)號(hào)：楊文健指導(dǎo)老師：徐斌完畢時(shí)間：6目錄一、 網(wǎng)絡(luò)需求分析………41.1 工程項(xiàng)目概況………41.2 信息點(diǎn)分布…………41.3 需求分析……………4二、方案設(shè)計(jì)原則…………..6三、網(wǎng)絡(luò)方案設(shè)計(jì)………….73.1網(wǎng)絡(luò)拓?fù)錁?gòu)造介紹…………………73.2網(wǎng)絡(luò)拓?fù)鋱D…………73.3.1骨干核心層網(wǎng)絡(luò)設(shè)計(jì)…………73.3.2核心層網(wǎng)絡(luò)設(shè)計(jì)………………83.3.3匯聚層網(wǎng)絡(luò)設(shè)計(jì)………………83.3.4接入層網(wǎng)絡(luò)設(shè)計(jì)……………….93.3.5廣域網(wǎng)互聯(lián)設(shè)計(jì)……………….93.3.6冗余/負(fù)載均衡設(shè)計(jì)……………93.3.7線(xiàn)路冗余………93.3.8網(wǎng)絡(luò)設(shè)備冗余/負(fù)載均衡設(shè)計(jì)…………………103.3.9服務(wù)器冗余設(shè)計(jì)……………….113.310IP地址規(guī)劃原則………………11四、網(wǎng)絡(luò)安全及管理機(jī)制…………………….114.1 完善的安全機(jī)制………………….......144.2 解決安全威脅………..144.3 VPN(虛擬專(zhuān)用網(wǎng))…………………….15五、網(wǎng)絡(luò)設(shè)備選型…………….16六、方案的擴(kuò)展性考慮………17前言當(dāng)今社會(huì)已步入信息社會(huì)，信息成為社會(huì)經(jīng)濟(jì)發(fā)展的核心因素，信息化已成為當(dāng)今世界潮流。而現(xiàn)在，信息化程度已成為衡量一種國(guó)家當(dāng)代化水平和綜合國(guó)力強(qiáng)弱的重要標(biāo)志。隨著信息時(shí)代的到來(lái)，公司的生存和競(jìng)爭(zhēng)環(huán)境發(fā)生了根本性的變化。對(duì)于大型公司而言，信息化無(wú)論是作為戰(zhàn)略手段還是戰(zhàn)術(shù)手段，在公司經(jīng)營(yíng)中發(fā)揮著舉足輕重的作用。信息技術(shù)作為新技術(shù)革命的核心.不僅含有高增值性、成為最具經(jīng)濟(jì)活力的經(jīng)濟(jì)增加點(diǎn),并且含有高滲入性,以極強(qiáng)的親和力和擴(kuò)散速度向經(jīng)濟(jì)各部門(mén)滲入，使其構(gòu)造和效益發(fā)生根本性變化。信息化已成為當(dāng)代經(jīng)濟(jì)發(fā)展與社會(huì)進(jìn)步的巨大推力，特別是作為國(guó)民經(jīng)濟(jì)信息化基礎(chǔ)的公司信息化，現(xiàn)在更顯得尤為重要，信息化建設(shè)已成為公司發(fā)展的必由之路。信息化是公司加緊實(shí)現(xiàn)當(dāng)代化的必然選擇!隨著近年來(lái)公司信息化建設(shè)的進(jìn)一步，公司的運(yùn)作越來(lái)越融入計(jì)算機(jī)網(wǎng)絡(luò)，公司的溝通、應(yīng)用、財(cái)務(wù)、決策、會(huì)議等等數(shù)據(jù)流都在公司網(wǎng)絡(luò)上傳輸，構(gòu)建一種“安全可靠、性能卓越、管理方便”的“高品質(zhì)”大型公司網(wǎng)絡(luò)已經(jīng)成為公司信息化建設(shè)成功的核心基石。第一章網(wǎng)絡(luò)需求分析1.1 工程項(xiàng)目概況XX集團(tuán)為了加緊信息化建設(shè)，新的集團(tuán)公司網(wǎng)將建設(shè)一種以集團(tuán)辦公自動(dòng)化、電子商務(wù)、業(yè)務(wù)綜合管理、多媒體視頻會(huì)議、遠(yuǎn)程通訊、信息公布及查詢(xún)?yōu)楹诵模援?dāng)代網(wǎng)絡(luò)技術(shù)為依靠，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)，將集團(tuán)的多個(gè)辦公室、多媒體會(huì)議室、PC終端設(shè)備、應(yīng)用系統(tǒng)通過(guò)網(wǎng)絡(luò)連接起來(lái)，實(shí)現(xiàn)內(nèi)、外溝通的當(dāng)代化計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。該網(wǎng)絡(luò)系統(tǒng)是支持辦公自動(dòng)化、供應(yīng)鏈管理、ERP以及各應(yīng)用系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施，為了確保這些核心應(yīng)用系統(tǒng)的正常運(yùn)行、安全和發(fā)展，系統(tǒng)必須含有以下的特性：1、采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)完畢集團(tuán)公司網(wǎng)的建設(shè)，實(shí)現(xiàn)各分公司的信息化；2、在整個(gè)公司集團(tuán)內(nèi)實(shí)現(xiàn)全部部門(mén)的辦公自動(dòng)化，提高工作效率和管理服務(wù)水平；3、在整個(gè)公司集團(tuán)內(nèi)實(shí)現(xiàn)資源共享、產(chǎn)品信息共享、實(shí)時(shí)新聞公布；4、在整個(gè)公司集團(tuán)內(nèi)實(shí)現(xiàn)財(cái)務(wù)電算化；5、在整個(gè)公司集團(tuán)內(nèi)實(shí)現(xiàn)集中式的供應(yīng)鏈管理系統(tǒng)和客戶(hù)服務(wù)關(guān)系管理系統(tǒng)；具體規(guī)定： ●WWW服務(wù) ●E-mail、FTP服務(wù) ●網(wǎng)上多媒體教學(xué)，能提供視頻點(diǎn)播服務(wù) ●集團(tuán)內(nèi)行政管理 ●撥號(hào)上網(wǎng)服務(wù)信息點(diǎn)分布重要信息點(diǎn)集中在生產(chǎn)部、賬務(wù)部、網(wǎng)絡(luò)中心、職工宿舍等部門(mén)。具體分布如表1所示。地點(diǎn)信息點(diǎn)備注網(wǎng)絡(luò)中心40需確保速度、流量和可靠性生產(chǎn)部150需確保速度、流量和可靠性賬務(wù)部120需確保速度、流量和安全性職工宿舍1000需確保速度和流量銷(xiāo)售部100需要確保速度和可靠性綜合設(shè)計(jì)30需確保速度和流量表1重要信息點(diǎn)分布1.3 需求分析為適應(yīng)公司信息化的發(fā)展，滿(mǎn)足日益增加的通訊需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，今天的大型公司網(wǎng)絡(luò)建設(shè)比傳統(tǒng)公司網(wǎng)絡(luò)建設(shè)提出更高的規(guī)定，重要體現(xiàn)在以下幾個(gè)方面：1）當(dāng)代大型公司網(wǎng)絡(luò)應(yīng)含有更高的帶寬，支持10GE或?qū)?lái)平滑過(guò)渡到10GE，更強(qiáng)大的性能，以滿(mǎn)足顧客日益增加的通訊需求。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的多個(gè)應(yīng)用日益增多，特別是對(duì)核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出前所未有的規(guī)定。另外，隨著千兆端口的成本持續(xù)下降，千兆到桌面的應(yīng)用會(huì)在很快的將來(lái)成為公司網(wǎng)的主流。因此今天的公司網(wǎng)絡(luò)已經(jīng)不能再用百兆到桌面千兆骨干來(lái)作為建網(wǎng)的原則，它的核心層及骨干層必須含有萬(wàn)兆級(jí)帶寬和解決性能，才干構(gòu)筑一種暢通無(wú)阻的“高品質(zhì)”大型公司網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增加的需要。2）當(dāng)代大型公司網(wǎng)絡(luò)應(yīng)含有更全方面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通訊的實(shí)時(shí)暢通，保障公司生產(chǎn)運(yùn)行的正常進(jìn)行。當(dāng)代大型公司網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面重要應(yīng)從三方面考慮：第一是設(shè)備級(jí)可靠性設(shè)，這規(guī)定購(gòu)置設(shè)備的時(shí)候不能一味的只追求價(jià)格因素而無(wú)視可靠性；另首先是業(yè)務(wù)的可靠性設(shè)計(jì)，這里要注意網(wǎng)絡(luò)設(shè)備在故障倒換過(guò)程中與否對(duì)業(yè)務(wù)的正常運(yùn)行有影響；再次是鏈路的可靠性設(shè)計(jì)，以太網(wǎng)的鏈路安全來(lái)自于它的多途徑選擇，因此在公司網(wǎng)絡(luò)建設(shè)時(shí)要考慮網(wǎng)絡(luò)設(shè)備與否能夠提供有效的鏈路自愈手段和快速重路由合同的支持。3）當(dāng)代大型公司網(wǎng)絡(luò)需要提供完善的端到端QOS保障，以滿(mǎn)足公司網(wǎng)多業(yè)務(wù)承載的需求。大型公司網(wǎng)絡(luò)承載業(yè)務(wù)的不停增多，單純的提高帶寬并不能夠有效的保障數(shù)據(jù)交換的暢通無(wú)阻，而必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能的識(shí)別應(yīng)用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流(MIS、ERP、OA、備份數(shù)據(jù))，同時(shí)能夠調(diào)度網(wǎng)絡(luò)中的資源，確保重要和緊急業(yè)務(wù)的帶寬、時(shí)延、優(yōu)先級(jí)和無(wú)阻塞的傳送，實(shí)現(xiàn)對(duì)業(yè)務(wù)的合理調(diào)度才是一種大型公司網(wǎng)絡(luò)提供“高品質(zhì)”服務(wù)的保障。4）當(dāng)代大型公司網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少公司的經(jīng)濟(jì)損失。傳統(tǒng)公司網(wǎng)絡(luò)的安全方法重要是通過(guò)布署防火墻、IDS、殺毒軟件以及配合交換機(jī)或路由器的ACL來(lái)實(shí)現(xiàn)對(duì)于病毒和黑客攻擊的防御，但實(shí)踐證明這些被動(dòng)的防御方法并不能有效的解決公司網(wǎng)絡(luò)的安全問(wèn)題。5）當(dāng)代大型公司網(wǎng)絡(luò)應(yīng)含有更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。第二章方案設(shè)計(jì)原則本方案的設(shè)計(jì)將在追求性能優(yōu)越、經(jīng)濟(jì)實(shí)用的前提下，本著嚴(yán)謹(jǐn)、謹(jǐn)慎的態(tài)度，從系統(tǒng)構(gòu)造、技術(shù)方法、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實(shí)施過(guò)程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計(jì)，力圖使該系統(tǒng)真正成為符合該中學(xué)的網(wǎng)絡(luò)系統(tǒng)。從技術(shù)方法角度來(lái)講，在網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)現(xiàn)中，本方案嚴(yán)格恪守了下列原則：1、實(shí)用性和集成性系統(tǒng)的軟硬件設(shè)計(jì)、還是集成，均以合用為第一宗旨，在系統(tǒng)充足適應(yīng)公司信息化的需求的基礎(chǔ)上進(jìn)而再來(lái)考慮其它的性能。2、原則性和開(kāi)往性只有支持原則性和開(kāi)放性的系統(tǒng)，才干支持與其它開(kāi)放型系統(tǒng)一起協(xié)同工作，在網(wǎng)絡(luò)中采用的硬件設(shè)備及軟件產(chǎn)品應(yīng)當(dāng)支持國(guó)際工作原則或事實(shí)上的原則，方便能和不同廠(chǎng)家的開(kāi)放性產(chǎn)品在同一網(wǎng)絡(luò)中同時(shí)共存。3、先進(jìn)性和安全性系統(tǒng)全部的構(gòu)成要素均應(yīng)充足地考慮其先進(jìn)性。不能一味地追求實(shí)用而無(wú)視先進(jìn)，只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實(shí)際應(yīng)用規(guī)定緊密結(jié)合，才干獲得最大的系統(tǒng)性能和效益。4、成熟性和高可靠性網(wǎng)絡(luò)硬件體系構(gòu)造在實(shí)際應(yīng)用中能通過(guò)較長(zhǎng)時(shí)間的考驗(yàn)，在運(yùn)行速度和性能上都應(yīng)是穩(wěn)定可靠的、擁有完善的、實(shí)用的解決方案，并通到較多的第三方開(kāi)發(fā)商和顧客在全球的廣泛支持和使用。同時(shí)，應(yīng)從久遠(yuǎn)的技術(shù)發(fā)展來(lái)選擇含有較好前景的、較為先進(jìn)的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)將來(lái)的發(fā)展需要?？煽啃砸彩呛饬恳环N計(jì)算機(jī)應(yīng)用系統(tǒng)的重要原則之一。5、可維護(hù)性和可管理性整個(gè)信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備，應(yīng)是使用方便、操作簡(jiǎn)樸易學(xué)，并便于維護(hù)。管理員能方便進(jìn)行網(wǎng)絡(luò)管理、維護(hù)甚至修復(fù)。在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，必須充足考慮整個(gè)系統(tǒng)的便于維護(hù)性，以使系統(tǒng)萬(wàn)一發(fā)生故障時(shí)能提供有效手段及時(shí)進(jìn)行恢復(fù)，盡量減少損失。6、可擴(kuò)充性和兼容性網(wǎng)絡(luò)的拓?fù)錁?gòu)造應(yīng)含有可擴(kuò)展性即網(wǎng)絡(luò)聯(lián)結(jié)必須在系統(tǒng)構(gòu)造、系統(tǒng)容量與解決能力、物理接連、產(chǎn)品支持等方面含有擴(kuò)充與升級(jí)換代的可能，采用的產(chǎn)品要遵照通用的工業(yè)原則，方便不同的設(shè)備能方便靈活地接連入網(wǎng)并滿(mǎn)足系統(tǒng)規(guī)模擴(kuò)充的規(guī)定。第三章網(wǎng)絡(luò)方案設(shè)計(jì)3.1網(wǎng)絡(luò)拓?fù)錁?gòu)造介紹在本次XX集團(tuán)大型公司網(wǎng)的設(shè)計(jì)中，我們采用層次化模型來(lái)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)錁?gòu)造。所謂“層次化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功效，這樣就能夠使一種復(fù)雜的大問(wèn)題變成許多簡(jiǎn)樸的小問(wèn)題。層次模型既能夠應(yīng)用于局域網(wǎng)的設(shè)計(jì)，也能夠應(yīng)用于廣域網(wǎng)的設(shè)計(jì)。3.2網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。圖1網(wǎng)絡(luò)拓?fù)鋱D3.3網(wǎng)絡(luò)設(shè)計(jì)3.3.1骨干核心層網(wǎng)絡(luò)設(shè)計(jì)大型公司生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)重要完畢整個(gè)公司集團(tuán)內(nèi)部不同地區(qū)公司之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計(jì)算。鑒于大型集團(tuán)公司的顧客數(shù)量眾多，業(yè)務(wù)復(fù)雜，QOS規(guī)定較高的特點(diǎn)，在本方案中采用H3CS7506-AC高密度多業(yè)務(wù)核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺(tái)。H3CS7506-AC系列交換機(jī)是含有運(yùn)行商級(jí)容錯(cuò)能力的高性能大型網(wǎng)絡(luò)核心交換機(jī)，可為高校和運(yùn)行商提供基于領(lǐng)先技術(shù)的卓越性能和可靠性。H3CS7506-AC系列交換機(jī)專(zhuān)為發(fā)揮萬(wàn)兆、千兆以太網(wǎng)潛在的強(qiáng)大交換能力而設(shè)計(jì)，超大容量的交換背板使得涉及萬(wàn)兆端口在內(nèi)的每個(gè)端口含有全線(xiàn)速交換能力，確保在巨大的網(wǎng)絡(luò)通信負(fù)載下始終能夠輕松實(shí)現(xiàn)線(xiàn)速的第二層和第三層交換，是城域網(wǎng)、數(shù)據(jù)中心、智能大廈及公司網(wǎng)絡(luò)骨干級(jí)核心路由交換機(jī)的抱負(fù)選擇。該系列交換機(jī)的全部管理模塊、交換模塊以及電源模塊都可交換使用，并且管理模塊、電源模塊、電扇等還可實(shí)現(xiàn)冗余備份，溫度傳感器能夠隨時(shí)監(jiān)控各個(gè)部件的工作溫度，從而提供運(yùn)行商級(jí)的可靠性。H3CS7506-AC交換機(jī)的一大特色是管理模塊均帶有業(yè)務(wù)接口，使得全部的插槽均為有效的業(yè)務(wù)插槽，從而大大提高了端口密度和插槽運(yùn)用率。在骨干核心層中，我們采用三臺(tái)H3CS7506-AC核心路由交換機(jī)構(gòu)成一種環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的強(qiáng)健性，實(shí)現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中能夠采用VRRP（虛擬路由器冗余合同）。對(duì)于各個(gè)業(yè)務(wù)VLAN能夠指向這個(gè)虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用VRRP技術(shù)為核心交換機(jī)提供一種可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余，一主兩備，共用一種虛擬的IP地址和MAC地址，通過(guò)內(nèi)部的合同傳輸機(jī)制能夠自動(dòng)進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效解決大集中數(shù)據(jù)提供了可靠的保障。3.3.2核心層網(wǎng)絡(luò)設(shè)大型公司生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)重要完畢園區(qū)內(nèi)各匯聚層設(shè)備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。傳統(tǒng)解決方案普通采用骨干路由器＋核心交換機(jī)來(lái)組建，但這種方式受限于交換機(jī)的性能，在提供MPLSVPN的業(yè)務(wù)能力方面較弱，不適合大型公司網(wǎng)絡(luò)的建設(shè)需求，同時(shí)現(xiàn)在的大型公司辦公網(wǎng)絡(luò)含有城域網(wǎng)的特點(diǎn)，網(wǎng)絡(luò)發(fā)展含有網(wǎng)絡(luò)扁平化的發(fā)展方向，因此本方案骨干層網(wǎng)絡(luò)設(shè)備采用H3CS7506-AC核心路由交換機(jī)作為大型公司生產(chǎn)辦公網(wǎng)絡(luò)的園區(qū)核心路由交換設(shè)備，H3CS7506-AC含有強(qiáng)大的業(yè)務(wù)和路由處交換理能力，能提供如MPLSVPN、QOS、方略路由、NAT、PPPoE/Web/802.1x/L2TP認(rèn)證等豐富業(yè)務(wù)能力，并可通過(guò)內(nèi)置防火墻模塊實(shí)現(xiàn)多個(gè)強(qiáng)大的網(wǎng)絡(luò)安全方略，能夠充足滿(mǎn)足大型公司不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和支持多業(yè)務(wù)功效的規(guī)定，并能夠提供完善的安全防御方略，保障公司園區(qū)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。3.3.3匯聚層網(wǎng)絡(luò)設(shè)計(jì)匯聚層網(wǎng)絡(luò)重要完畢公司各園區(qū)內(nèi)辦公樓宇和有關(guān)單位的內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和VLAN終止，在本方案中采用H3CS7502E交換機(jī)多層交換機(jī)作為匯聚層面的交換機(jī)。H3CS7502E交換機(jī)在提供高密度千兆端口接入的同時(shí)還能夠滿(mǎn)足匯聚層智能高速解決的需要,并能夠加靈活的布署在網(wǎng)絡(luò)邊沿的各個(gè)位置。能夠同時(shí)提供多個(gè)高速專(zhuān)用堆疊端口和百兆、千兆光口/電口。這些交換機(jī)都含有較強(qiáng)的多業(yè)務(wù)提供能力，可支持涉及智能的CCL、MPLS、等業(yè)務(wù)。3.3.4接入層網(wǎng)絡(luò)設(shè)計(jì)以往傳統(tǒng)公司網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供能力，而將網(wǎng)絡(luò)的安全防御方法和QOS保障依賴(lài)于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來(lái)了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后造成骨干層設(shè)備癱機(jī)，使網(wǎng)絡(luò)沒(méi)有QOS服務(wù)質(zhì)量保障。H3CS1024智能寬帶接入交換機(jī)是能滿(mǎn)足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境智能交換機(jī)，含有傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn)，同時(shí)還含有領(lǐng)先的安全特性，進(jìn)一步加強(qiáng)了公司網(wǎng)絡(luò)對(duì)邊沿接入層面的安全控制能力。顧客能夠根據(jù)需要來(lái)訂制本身的安全方略并布署在此交換機(jī)上。該產(chǎn)品含有的端口帶寬限制、端口鏡像、QOS、端口安全、廣播風(fēng)暴克制等功效能夠較好的協(xié)助顧客實(shí)現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)。除此之外，此交換機(jī)還含有多個(gè)專(zhuān)用堆疊接口，能夠滿(mǎn)足樓層，樓宇內(nèi)多個(gè)交換機(jī)高性能匯聚的需要。3.3.5廣域網(wǎng)互聯(lián)設(shè)計(jì)針對(duì)于大型公司需要良好的出口網(wǎng)關(guān)設(shè)備，我們建議顧客選用H3CSecPathU200-CS-AC。H3CSecPathU200-CS-AC防火墻專(zhuān)為千兆位流量的網(wǎng)絡(luò)服務(wù)運(yùn)行商，大型數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計(jì),采用2U專(zhuān)用千兆安全平臺(tái)，完全模塊化可擴(kuò)展構(gòu)造，含有熱插拔特性的冗余部件為您提供最大的不間斷運(yùn)行時(shí)間。H3CSecPathU200-CS-AC防火墻內(nèi)置1個(gè)10/100/1000M自適應(yīng)以太網(wǎng)電口，含有6個(gè)SFP擴(kuò)展插槽，接口模塊類(lèi)型支持單模、多模光纖，千兆電口，充足滿(mǎn)足您的定制需最多可擴(kuò)展至8個(gè)千兆接口。3.3.6冗余/負(fù)載均衡設(shè)計(jì)冗余設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的重要部分，是確保網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分公司園區(qū)網(wǎng)在早期的建設(shè)中由于成本的因素并未在設(shè)計(jì)中考慮冗余問(wèn)題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余設(shè)計(jì)能夠貫穿整個(gè)層次化構(gòu)造，每個(gè)冗余設(shè)計(jì)都有針對(duì)性，能夠選擇其中一部分或幾部分應(yīng)用到網(wǎng)絡(luò)中以針對(duì)重要的應(yīng)用。萬(wàn)一網(wǎng)絡(luò)中某條途徑失效時(shí)，冗余鏈路能夠提供另一條物理途徑?？刹捎肎EC鏈路聚合（IEEE802.3ad）實(shí)現(xiàn)端口級(jí)冗余，以克服某個(gè)端口或線(xiàn)路引發(fā)的故障。也可采用生成樹(shù)合同（IEEE802.1d）提供設(shè)備級(jí)的冗余連接。另外，我們?cè)谠O(shè)計(jì)中提供不同物理方向的雙歸屬、雙路由保護(hù)。3.3.7線(xiàn)路冗余在公司網(wǎng)骨干核心層，公司網(wǎng)絡(luò)邊界拓?fù)錁?gòu)造由于采用了環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案，因此在線(xiàn)路冗余方面的規(guī)定較高，對(duì)于線(xiàn)路的冗余規(guī)定，我們采用10GE線(xiàn)路對(duì)三臺(tái)公司網(wǎng)骨干核心層設(shè)備進(jìn)行環(huán)行雙向備份，并使用業(yè)界領(lǐng)先的VRRP（虛擬路由器冗余合同）來(lái)對(duì)其作為冗余線(xiàn)路的合同保障。以GEC作為N*1000M主干鏈路，通過(guò)這個(gè)鏈路連接骨干網(wǎng)交換機(jī)，含有萬(wàn)兆擴(kuò)展能力；接入交換機(jī)采用10/100M自適應(yīng)端口連接桌面系統(tǒng)，多千兆鏈路連接到匯聚層。GEC路含有鏈路聚合和冗余確保兩大特性，下面我們將對(duì)它們依次進(jìn)行介紹。鏈路聚合：可使用一條物理鏈路在不同品牌交換機(jī)之間、交換機(jī)和服務(wù)器間提供聚合的高速通道，在不增加投資的狀況下，擴(kuò)大交換帶寬，使核心連接的傳輸效率更高冗余確保：鏈路聚合中，組員互相動(dòng)態(tài)備份。當(dāng)某一鏈路中斷時(shí)，其它組員能夠快速接替其工作。與生成樹(shù)合同不同，鏈路聚合啟用備份的過(guò)程對(duì)聚合之外是不可見(jiàn)的，并且啟用備份過(guò)程只在聚合鏈路內(nèi)，與其它鏈路無(wú)關(guān)，切換可在數(shù)毫秒內(nèi)完畢。綜合分析以上各主流方案的優(yōu)缺點(diǎn)，從性能與成本及拓展性等方面的綜合考慮出發(fā)，我們決定采用GEC骨干核心網(wǎng)絡(luò)10GE拓展的方式作為其鏈路選擇及備份選擇。在公司網(wǎng)匯聚層及接入層出于成本及性?xún)r(jià)比的考慮，我們決定采用千兆匯聚，萬(wàn)兆拓展；百兆到桌面的鏈路選擇。3.3.8網(wǎng)絡(luò)設(shè)備冗余/負(fù)載均衡設(shè)計(jì)負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)構(gòu)造之上，它提供了一種便宜有效的辦法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)解決能力，提高網(wǎng)絡(luò)的靈活性和可用性。它重要完畢下列任務(wù):解決網(wǎng)絡(luò)擁塞問(wèn)題，服務(wù)就近提供，實(shí)現(xiàn)地理位置無(wú)關(guān)性;為顧客提供更加好的訪(fǎng)問(wèn)質(zhì)量;提高服務(wù)器響應(yīng)速度;提高服務(wù)器及其它資源的運(yùn)用效率;避免了網(wǎng)絡(luò)核心部位出現(xiàn)單點(diǎn)失效。在此方案中，在網(wǎng)絡(luò)的每個(gè)核心結(jié)點(diǎn)，我們?cè)谠O(shè)計(jì)時(shí)都做到了對(duì)其有效的冗余備份和負(fù)載均衡。在網(wǎng)絡(luò)的骨干核心層上。我們采用了三臺(tái)銳捷網(wǎng)絡(luò)的RG-S8610高密度多業(yè)務(wù)IPV6核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺(tái)，在對(duì)骨干核心層提供足夠的網(wǎng)絡(luò)接點(diǎn)和接入需求的同時(shí)最大程度的為網(wǎng)絡(luò)提供了有效的冗余保障和負(fù)載均衡。在核心層的每個(gè)區(qū)塊，我們都采用了兩臺(tái)銳捷網(wǎng)絡(luò)的RG-S8606度多業(yè)務(wù)IPV6核心路由交換機(jī)做到冗余與負(fù)載均衡。在匯聚層的每個(gè)區(qū)塊，我采用了兩臺(tái)銳捷網(wǎng)絡(luò)的RG-S5750交換機(jī)多層交換機(jī)做到冗余與負(fù)載均衡。在本方案的設(shè)計(jì)中，出現(xiàn)了兩個(gè)以上的交換區(qū)塊和需要提供冗余連接的時(shí)候，我們采用了雙核心配備。以下圖，我們給出了從接入層到匯聚層再到核心層的雙核心配備。雙核心拓?fù)錁?gòu)造提供了兩條等代價(jià)途徑和雙倍的帶寬。每個(gè)核心交換機(jī)連接著數(shù)目相似的子網(wǎng)到第三層匯聚設(shè)備上。每個(gè)交換區(qū)塊都有冗余的連接到核心交換機(jī)上，因此形成兩條不同的，但是等代價(jià)的連接。如果一條核心設(shè)備發(fā)生故障，還是能夠收斂，由于匯聚層設(shè)備的路由選擇表中尚有另一條到核心設(shè)備的路由。第3層路由選擇合同在核心中起鏈路選擇的作用，VRRP提供快速錯(cuò)誤恢復(fù)。核心層不需要STP，由于在核心交換機(jī)間沒(méi)有冗余的第2層連接。3.3.9服務(wù)器冗余設(shè)計(jì)公司網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲(chǔ)服務(wù)器，SQLServer服務(wù)器，其存儲(chǔ)的數(shù)據(jù)對(duì)于公司來(lái)說(shuō)致關(guān)重要，某些核心數(shù)據(jù)被視為公司的生命。首先它對(duì)公司的公司的重要性毋庸質(zhì)疑，另首先，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪(fǎng)問(wèn)量，這個(gè)對(duì)服務(wù)器提出了穩(wěn)定和快速的規(guī)定。如果宕機(jī),后果是技術(shù)是保障計(jì)算機(jī)系統(tǒng)的可靠性是重中之重。為此，我們采用的是雙機(jī)熱備技術(shù)，此技術(shù)能夠有效的滿(mǎn)足核心服務(wù)器高效，穩(wěn)定的高規(guī)定。并且相對(duì)于其它成本技術(shù)來(lái)說(shuō)，這是比較有經(jīng)濟(jì)價(jià)成效的技術(shù)。Server1Server2服務(wù)器雙機(jī)熱備技術(shù)具體技術(shù)實(shí)現(xiàn)：每個(gè)核心服務(wù)器均含有兩個(gè)以太網(wǎng)接口（能夠通過(guò)安裝雙網(wǎng)卡實(shí)現(xiàn)），在此基礎(chǔ)上，以上圖為例，DB服務(wù)器A與DB服務(wù)器B先分別運(yùn)用自己的一種以太網(wǎng)接口實(shí)現(xiàn)兩個(gè)服務(wù)器之間的直連，每個(gè)服務(wù)器另外的一種接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實(shí)現(xiàn)互連，以達(dá)成雙機(jī)熱備的目的。因此增加服務(wù)器的穩(wěn)定性與高效性。本網(wǎng)絡(luò)中應(yīng)含有多臺(tái)服務(wù)器設(shè)備，涉及DBSERVER數(shù)據(jù)庫(kù)服務(wù)器，WEB,CATALOG等應(yīng)用服務(wù)器，NEWS,MAIL等通訊服務(wù)器及多媒體服務(wù)器等。3.310IP地址規(guī)劃原則IP地址構(gòu)成了整個(gè)Internet的基礎(chǔ)，IP地址資源是整個(gè)Internet的基本核心資源，IP地址資源的合理分派和有效運(yùn)用是整個(gè)Internet發(fā)展過(guò)程中持續(xù)有效的一種極具分量的研究課題。我們?cè)趯?duì)公司園區(qū)網(wǎng)IP地址編址設(shè)計(jì)和分派運(yùn)用時(shí)，遵照了下列幾個(gè)原則：1）、自治：整個(gè)園區(qū)網(wǎng)絡(luò)網(wǎng)絡(luò)被劃分成幾個(gè)大的自治區(qū)域，每個(gè)大自治區(qū)域中又被劃分成幾個(gè)小的自治區(qū)域。2）、有序：我們按照自治原則將網(wǎng)絡(luò)進(jìn)行邏輯劃分后，就根據(jù)地區(qū)、設(shè)備分布及區(qū)域內(nèi)顧客數(shù)量來(lái)進(jìn)行子網(wǎng)規(guī)劃。同時(shí)，我們將IP地址規(guī)劃和網(wǎng)絡(luò)層次規(guī)劃、路由合同規(guī)劃、流量規(guī)劃等結(jié)合起來(lái)考慮。在進(jìn)行地址分派時(shí)，為了提高地址分派效率和地址運(yùn)用率，我們?cè)诰幹吩O(shè)計(jì)時(shí)按照了一定的次序進(jìn)行。選擇的次序是自上而下的次序，即采用了業(yè)界領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計(jì)（Top-DownNetworkDesign）辦法。3）、可持續(xù)性：考慮到園區(qū)內(nèi)網(wǎng)絡(luò)顧客數(shù)將持續(xù)高速增加，網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類(lèi)越來(lái)越多，這使得網(wǎng)絡(luò)需要屢屢進(jìn)行技術(shù)升級(jí)、改造和擴(kuò)容。4）、可聚合：在路由表急劇膨脹狀況下，可聚合原則是網(wǎng)絡(luò)地址分派時(shí)所必須恪守的最高原則，可聚合原則規(guī)定在進(jìn)行地址規(guī)劃時(shí)，應(yīng)提供足夠的路由冗余功效。5）、盡量節(jié)省IPv4地址：由于IPv4地址越來(lái)越少，因此對(duì)于IPv4地址的使用需要格外節(jié)省。IPv4地址的節(jié)省能夠通過(guò)動(dòng)態(tài)編址技術(shù)和NAT技術(shù)等來(lái)實(shí)現(xiàn)。6）、閑置IP地址回收運(yùn)用：對(duì)于已分派出去的靜態(tài)IP地址進(jìn)行定時(shí)追蹤管理，對(duì)長(zhǎng)時(shí)間閑置的IP地址可通過(guò)確認(rèn)后回收重復(fù)運(yùn)用。本次方案的設(shè)計(jì)，我們決定采用一種內(nèi)部私有A類(lèi)地址（）對(duì)公司園區(qū)的網(wǎng)絡(luò)設(shè)備編址。由于從方案本身的網(wǎng)絡(luò)拓?fù)鋱D采用了典型的層次化設(shè)計(jì)，因此對(duì)IP地址的編址設(shè)計(jì)也應(yīng)采用層次化的設(shè)計(jì)來(lái)完畢，并采用VLSM來(lái)拓展有限的IP地址。網(wǎng)段描述所需的IP地址數(shù)骨干核心層鏈路5（2個(gè)用于拓展備份）集團(tuán)總部1000生產(chǎn)部500客戶(hù)部500機(jī)械廠(chǎng)1000大型機(jī)/服務(wù)器群500公司VOIP語(yǔ)音系統(tǒng)VLSM是可變長(zhǎng)子網(wǎng)掩碼的英文縮寫(xiě)，它提供了一種主類(lèi)（A類(lèi)、B類(lèi)、C類(lèi)）網(wǎng)絡(luò)內(nèi)包含多個(gè)子網(wǎng)掩碼的能力，能夠?qū)σ环N子網(wǎng)再進(jìn)行子網(wǎng)劃分。VLSM的優(yōu)點(diǎn)1、對(duì)IP地址更為有效的使用2、應(yīng)用路由歸納的能力更強(qiáng)因此我們采用VLSM對(duì)網(wǎng)絡(luò)進(jìn)行編址，以達(dá)成節(jié)省IP地址，能夠使用路由匯總的目的。首先采用一種A類(lèi)網(wǎng)址對(duì)園區(qū)網(wǎng)主體構(gòu)造進(jìn)行編址，至上而下的設(shè)計(jì)思路有助于設(shè)計(jì)的最后成型和網(wǎng)絡(luò)的強(qiáng)健性。另首先，在語(yǔ)音電話(huà)系統(tǒng)中，每一種IP電話(huà)需要一種IP地址以及諸如子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等的有關(guān)信息。事實(shí)上，這意味著一種組織需要指派兩倍于IP電話(huà)的IP地址給現(xiàn)在全部的pc顧客，這個(gè)由DHCP提供。我們使用私有遍址的IP電話(huà)作為語(yǔ)音電話(huà)遍址方案。私有遍址IP電話(huà)：IP電話(huà)使用網(wǎng)絡(luò)———————————IP電話(huà)+PC在同一交換機(jī)端口上—————————－最后通過(guò)我的計(jì)算，將各部門(mén)IP地址分派以下表：IP地址網(wǎng)段VLAN編號(hào)默認(rèn)網(wǎng)關(guān)財(cái)務(wù)部/241054/24生產(chǎn)部/242054/24銷(xiāo)售部/243054/24行政部/244054/24顧客地址與VLAN劃分Web服務(wù)器IP地址：/24FTP服務(wù)器IP地址：/24路由器出口IP地址：/24第四章網(wǎng)絡(luò)安全及管理機(jī)制4.1 完善的安全機(jī)制公司樓宇交換機(jī)通過(guò)內(nèi)在的多個(gè)安全機(jī)制可有效避免和控制病毒傳輸和網(wǎng)絡(luò)流量攻擊，控制非法顧客使用網(wǎng)絡(luò)，確保正當(dāng)顧客合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、ACL、端口A(yíng)RP報(bào)文正當(dāng)性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿(mǎn)足公司網(wǎng)加強(qiáng)對(duì)訪(fǎng)問(wèn)者進(jìn)行控制、限制非授權(quán)顧客通信的需求；在匯聚、核心交換設(shè)備設(shè)立由硬件實(shí)現(xiàn)ACL，對(duì)病毒進(jìn)行過(guò)濾，我們選用的匯聚、核心交換設(shè)備都支持SPOH，因此在使用ACL時(shí)將不會(huì)影響整個(gè)交換機(jī)的性能。1．硬件實(shí)現(xiàn)端口與MAC地址和顧客IP地址的綁定，嚴(yán)格限定端口上顧客接入。2．通過(guò)PrivateVLAN能夠在交換機(jī)的同一VLAN中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口，而不會(huì)被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問(wèn)題，同時(shí)又無(wú)需運(yùn)用安全規(guī)則資源即能達(dá)成隔離不同顧客以及不同組顧客之間通訊的功效，充足保護(hù)顧客隱私。3．可實(shí)現(xiàn)顧客賬號(hào)、MAC地址、IP地址、交換機(jī)IP、交換機(jī)端口等六大元素之間的靈活任意綁定，有效確認(rèn)顧客正當(dāng)性和唯一性。4．支持業(yè)界特有的IGMP源端口檢查，有效杜絕非法組播源播放和大量占用大量網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)安全性。5．提供極為有效的PortBlocking功效，避免端口受到其它端口發(fā)送的廣播包、多播包等報(bào)文的干擾，有效減輕端口負(fù)載負(fù)擔(dān)，提高端口帶寬，保護(hù)顧客PC更高效安全地運(yùn)行。6．基于源IP地址控制的Telnet和Web設(shè)備訪(fǎng)問(wèn)控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備。7．提供加密傳輸SecureShell（SSH），確保管理設(shè)備信息的安全性，避免黑客攻擊和控制設(shè)備。8．可靈活控制2-7層數(shù)據(jù)報(bào)文，使得任何一種顧客PC上的任何一種應(yīng)用報(bào)文通過(guò)網(wǎng)絡(luò)都能得到有效控制，充足保障了網(wǎng)絡(luò)的安全和合理化使用。4.2 解決安全威脅在公司網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)行的重要構(gòu)成部分的今天，當(dāng)代公司網(wǎng)絡(luò)必須要有一整套從顧客接入控制，病毒報(bào)文識(shí)別到主動(dòng)克制的一系列安全控制手段，才干有效的確保公司網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。1.防沖擊波病毒隨著蠕蟲(chóng)病毒等的攻擊手段呈多元化發(fā)展，單一的防護(hù)方法已經(jīng)無(wú)能為力保衛(wèi)校園網(wǎng)絡(luò)安全。IDS只能根據(jù)預(yù)先定義的方略進(jìn)行檢測(cè)，對(duì)新的攻擊方式無(wú)能為力，或者當(dāng)IDS偵測(cè)到某終端顧客感染病毒后，只能將有關(guān)信息形成報(bào)告告知網(wǎng)管人員，等待解