第一篇:某纪检厅网络建设方案
某纪检厅网络建设方案
随着政府对电子政务网络化推动力度的不断扩大,全国各级政府机关都将电子政务系统的网络建设摆到了信息化建设的首位。这里我们来看看来自广西壮族自治区纪检监察厅的一个成功案例。
在“国家十五”期间,中国国电子政务建设的主要目标:标准统一、功能完善、安全可靠的政务信息网络平台发挥支持作用;重点业务系统建设取得显著成效;基础性、战略性政务信息库建设取得重大进展,信息资源共享程度明显提高;初步形成电子政务网络与信息安全保障体系,建立规范的培训制度,与电子政务相关的法规和标准逐步完善。
[建设目标]
伴随我国政务信息化的深入展开,政务信息化建设与其他行业相比既有共同之处,又有很多独有特征,因此建设一个适合中国国情的、技术先进的电子政务网与应用解决方案,是广西壮族自治区纪检监察厅电子政务网建设切实的目标。该网络必须支撑政府各个组成部门、直属机构、市直单位开展统一、完善、安全的网络政务信息应用,并确保与原有网络的高速互通。在功能要求上,则要求在满足业务需求的同时,提供多媒体通信、OA自动化、安全控制、网络管理等新兴业务服务能力。
[解决方案]
在解决方案中,设计者综合考虑所有网络设备,结合光纤布线的冗余备份,综合分析各单位、各科室的计算机信息流量与工作业务的性质,充分利用现有网络设备, 采用分层设计,将全网络划分为二个层次,避免了设备的重复投资。
同时,在本方案还考虑到整个网络的主干设备部分必须实现冗余连接,构成多通路和多路由的备份主干。此外,网络的主要设备中心交换机能进行双机冗余热备份,当故障发生时可以灵活切换,消除网络的单点故障和瓶颈点,保证电子政务网信息管理系统7×24小时无故障运行。
整个广西壮族自治区纪检监察厅的中心交换机由2台神州数码的高性能交换机DCRS-7604构成,各配置12口千兆以太模块,与服务器群实现千兆高速互联;各楼层单位接入层交换机选用神州数码DCS-3926S堆叠交换机构成,千兆或百兆双绞线上联到骨干DCRS-7604,完全满足现有应用的需要,节约用户投资,将来升级扩展方便。网络结构紧凑、简洁、高性能。系统无论在中心交换机还是边缘交换机方面,均有良好的扩展性,方便今后网络的升级,适应网络的发展潮流。此外,神州数码DCRS-7604作为中心交换机,其背板容量与交换容量为1.2Tbps/640Gbps。中心交换机的所有模块均支持热拔插技术,有4个扩展插槽。同时,该交换机支持城域网的LH技术,方便今后远距离与其他部门的连接。
神州数码网络为广西壮族自治区纪检监察厅所提供的解决方案拓扑图如下:
在该解决方案中,核心层采用2台神州数码网络的DCRS-7604交换机,模块化交换机DCRS-7604作为第3层千兆交换核心,解决了需要高速、无阻塞地交换汇接层汇聚的数据流,还为网络的可扩展性和可控制性,提供了一个集中管理的位置。每个DCRS-7604负责为5个左右的交换区块和服务器区块进行高速数据交换,日后随着网络流量的增长,在增加冗余核心设备时,就可以利用核心层的路由功能实现自动负载均衡,消除路由器对等所造成网络规模扩展问题,以及在核心层设备有故障的发生时,能做到快速收敛。
接入层交换机选用神州数码DCS-3926S交换机构成,通过堆叠的方式,节约用户的光纤资源,方便管理。堆叠组千兆上联到骨干DCRS-7604,完全满足现有应用的需要,节约用户投资,将来升级扩展方便。网络结构紧凑、简洁、高性能,系统无论在中心交换机还是边缘交换机方面,均有良好的扩展性,方便今后网络的升级,适应网络的发展潮。
在服务器群和DCRS-7604进行千兆冗余汇接,保证在流量突发的时候应用系统的服务质量,考虑到信息流量的增大,通过DCRS-7604路由交换机对网络服务进行数据交换和资源的访问控制、流量控制(QoS)。
本网络建设借助神州数码网络高端网络交换设备DCRS-7604交换机构建起骨干网络系统,实现了高速、大容量、高可靠性和高可管理性网络应用需求,同时其也通过了IPv6“IPv6 Ready Phase-2”测试,为未来从IPv4向IPv6过渡,做好了准备。
第二篇:中国电信网络建设方案
中国电信网络建设资费
网络方面
电话语音
IPTV数字电视
由于到贵单位查看房间布线情况得知,贵单位在建设办公楼和职工住宅区时,并未全部房间铺设电脑网线,只是少部分房间铺设了电脑网线,但在全部房间内铺设了电话线,由于我公司了解到贵公司办公楼和住宅楼需要同时使用。因此针对这一情况特设立以下方案供贵公司参考。
一、网络
1、(纯光纤接入)采用光纤直接接入贵公司办公楼机房内,设立光纤收发器。使用我公司网络无忧方式使用,具体网速及收费如下:
接入10M光纤,费用为:月使用费1388元
接入20M光纤,费用为:月使用费2288元
接入30M光纤,费用为: 月使用费3188元
接入50M光纤,费用为: 月使用费4188元
2、(使用手机话补方式光纤接入)此方式为贵公司人员使用我公司手机,可实现将网费转化为电话费进行使用,以降低网络使用费用,甚至于达到免费使用网络的效果。具体资费如下:(1)、贵公司每条专线接入5部手机(每部手机月消费70元,且为自购机,需与专线捆绑交费)可得到如下资费:
接入10M光纤,费用为:月使用1088元
接入20M光纤,费用为:月使用1988元
接入30M光纤,费用为:月使用2888元
接入50M光纤,费用为:月使用为3888元
3、(使用手机话补方式光纤接入免费使用方式)
贵公司自购机入网使用手机达到51-100部时:可免费使用10M光宽一条。入网户达到100户以上时:可免费使用20M光宽一条。
(备注:由于以上连接方式需要网线直接接入,不需要电话线作为承载线,因此需要贵公司自行建设每个房间的网线及购买交换机使用)
二、光纤接入ADSL使用
1、我公司将设备接入到贵公司机房内,采用ONU设备,该设备可使用贵公司原先接入到房间的电话线进行网络数据的传播,但该设备安装时需每个房间内配备网络适配器(猫)且需要开多个账号(可理解为一个房间开一个账号,每个账号单独收费),具体资费需要根据入网开号的多少进行决定.三、电话语音
在为贵公司提供网络建设的同时,可根据贵公司办公楼的需求安装语音通话设备,供贵公司有线电话使用,资费情况如下: 月租:25元每月
市话:前3分钟0.2元,后每分钟0.1元。长途:IP拨打每分钟0.48元
四、IPTV数字电视
IPTV数字电视是中国电信推出的全方面数字网络视。该电视除传统的直播节目外,向用户推出点播、回放等功能,可点播功能中挑选自己喜欢看电影、电视剧等其无广告插播。该电视由于为网络数字电视,所以只能一台电视一个账号,不可共用,收费标准为:300元一年。
以上资费为我公司向单位用户推行的资费套餐,如有不明之处可向我公司南庄支局工作人员咨询以可有我公司人员直接上门向贵公司介绍说明:
支局长:陈锐
电话
:***
第三篇:公司网络建设方案
民 加 科 风 信 息 技 术 有 限 公 司 网 络 建 设 方 案(供参考)
前 言 一 需求分析 新网络应该具有足够的先进性,不仅应该能承载普通的(文件,打印等)网络流量,并且应该支持多样QOS特性,保证有足够的带宽运行基于IP网络,以及未来可能会具有视频会议流量 新网络应该具有足够的强壮性,应该具有足够的灾难恢复措施,包括电源冗余,设备冗余,主机冗余,数据库冗余,线路冗余,拨号链路冗余。新网络应该具有足够的安全性,采取带CBCA特性的路由器,以及防火墙以及设置DMZ区,防杀病毒、入侵检测、和漏洞扫描与修补系统、网络数据完整、网络安全保护保证内网的绝对安全,将来数据在外网以及INTERNET上传输应该采取加密,并且数据传输线路应该采取全屏蔽双绞线,防止信息的流失和泄露.4 新网络应该具有足够的功能性,不仅应该具有普通的网络传输功能,并且应该具有对外发布的平台,实现政务上网工程,内部建立INTERNAT,实现内部信息处理、信息共享、信息发布一体化。
二 系统设计原则
1.在考虑技术先进性的同时,必须保证极高的系统可靠性及容错性,尽可能地减少设备故障并要求网络系统在部分设备出现意外时不受影响或少受影响;
2.网络系统必须具备高度安全性控制能力,防止非法侵入,保证系统资源及敏感信息的安全,不受未授权的篡改或泄露;
3.系统应提供充足的带宽和先进的流量控制及拥塞管理功能,保证多媒体数据传输和可视化计算的需求;
4.采用基于通用标准和技术的统一网络管理平台,提供整个网络全局地的监控和管理能力,具有良好的包容性和扩展性;
5.网络设备的选择应考虑具有足够的扩展空间以适应不断发展的应用系统的需求;
6.网络设备应兼容包括ATM,千兆以太网在内的等各种网络技术,并为将来的技术发展有所考虑,以保证网络系统可以随着需求的发展和技术的进步不断升级性
第一章 方案概述
1.1可靠性和容错性
计算机应用的普及和计算机系统的日益网络化使我们越来越依赖于计算机网络系统的连续可靠运行,因此,网络系统设计更要充分考虑系统可靠性和容错性。为保证网络系统的不间断连续运行,应该选用经过实践检验证明成熟可靠的产品。数据中心交换机应采用模块化分布式处理技术实现,避免采用一损俱损的中央交换模块方式。各主要部件都应有冗余,所有部件应支持热插拔,主干端口应支持热备份,特别是作为整个计算机网络系统核心的多层交换单元更要具备冗余备份的容错能力。在选用具有多级容错设计的交换机的基础上,网络系统设计仍应注意数据中心交换机、交换机上的模块及各部件、网络中的所有主干链路都要设计有冗余备份。整个网络中不应存在单一故障点-即任何单个设备、部件或链路的故障都不应影响整个网络的正常运行。
1.2网络安全性
网络统对安全保密有着非常高的要求。虽然计算机系统本身或多或少地具有安全防范措施,网络系统的安全防范却是整个系统安全性的第一道防线。然后在局域网上的所有交换机应能灵活地、跨越全网地进行虚拟网划分和管理,将物理上分散而逻辑上紧密相关的各站点划入独立的虚拟网,实现无关系统的逻辑隔离是网络安全性的基本保障。
在此基础上,我们选用的网络产品应该具备包括MAC级、IP层、应用层等多个层次实现安全管理的能力,作为交换网络核心的多层主干交换机应该具备防火墙功能,防止发生在同一虚拟网内或虚拟网之间互联点上的非法侵犯。
1.3虚拟网支持
计算机网络系统全面采用交换技术,使虚拟网技术的全面采用成为可能。按照应用系统的分布对全网实施虚拟网划分是增强网络安全性、提高网络性能、加强网络管理、隔离网络故障的有效手段。
然而如果虚拟网的支持仅限于单一交换机内部或网络局部,划分后整个网络系统将成为支离破碎的一片片盲区。因此大厦选用的网络交换机应具备跨越主干和分支在全网范围内自由划分虚拟网的功能,而且所有设备的虚拟网划分功能应当基于IEEE 802.1Q这一统一标准。
1.4第三层交换技术
Internet/intranet计算方式对市教育城域网计算机网络系统的另一个重要考验是,网络上的大部分流量不再局限在各子网内部,而大多是跨越子网边界访问,这对网络设备处理子网间路由的能力施加了很大压力。传统路由器以软件方式进行路由操作,产生数十倍于交换机的传
输延迟,而且延迟时间随负载变化而变化很大,是多媒体传输的大忌;由于采用昂贵的高性能CPU和大量高速内存而导致性能价格比极低,无法进一步提高吞吐量。
传统路由器的吞吐量已经不能胜任当今局域网主干上大量的路由任务,而过大的延迟又无法适应多媒体视频、语音通信的QoS需求,使用交换机替代路由器实现大容量、低延迟的路由-第三层交换已势在必行。市教育城域网应选用具有硬件实现的第三层交换能力的网络交换机以满足不断增长的子网间通信需求,同时实现多媒体通信所要求的低延迟和延迟量的稳定性。为了更好地支持不同应用的QoS需求,应考虑采用能够根据不同应用区别处理的具有第四层智能的第二代多层交换机作为网络主干设备和具有应用认知功能的缓存设备,更有效地利用宝贵的网络资源。
Internet/Intranet计算作为网络计算的潮流将进一步发展,要能适应应用技术发展的需要,不仅是主干交换机,配线间工作组交换机也应选择具有第三层交换能力的设备,以便在需要时分担主干交换机的负载,更有效地利用有限的主干带宽。
在重视第三层交换能力的同时,最基本的第二层交换技术也不能忽视,主干和分支交换机都应当能够在支持多层交换的同时支持我们可能需要的各种第二层交换技术,如ATM、FDDI、快速以太网、千兆以太网等。
1.5网络管理和流量监控
计算机网络系统作为市教育城域网智能系统的神经中枢,其运行状况应该得到全面的监控和管理。OSI对网络管理提出了配置管理、性能管理、错误管理、安全管理、记帐管理等五大要求,以此为指导,该网络管理系统应选用基于工业标准的SNMP(简单网络管理协议)的开放式管理平台,配合专用的网络管理应用作为网管系统的设计框架。网管系统应支持网络拓扑自动发现、设备的配置和监视、网络故障的监测和报告等功能,并提供简单易用的图形用户接口。
1.6可扩展性及系统升级能力
由于计算机技术和应用范围的不断进步和发展,而网络技术又是其中进步最快的一个分支,计算机网络系统的建设不仅要考虑当前的网络连接需求,还必须考虑到计算机系统不断扩大而提出的网络系统扩展和升级的需求和网络通信技术本身的快速进步所提供的提升网络系统容量和性能的可能性。为了使网络系统能够在尽可能的保护现有投资的前提下不断滚动发展以适应应用需求发展的需要,选用设备时应该尽可能预见到网络系统近期、中期和远期的扩展、升级的可能性并预留扩展、升级的能力。
网络设备应兼有可扩展性和投资保护能力,主干交换设备应选用大型模块化多协议层、多技术支持的交换机,不低于几十Gbps的设计容量、有足够的空余槽位、能同时支持最先进的网络技术如622兆ATM和千兆以太网以便成熟时采用、也能支持如以太网、令牌环、FDDI等传统网络技术以便同时支持用户的遗留应用系统。主干交换机的设计应采用分布式处理,以便在不可预见的新技术出现时在空余槽位上插入的采用全新技术模块可以与现有模块共
存。
分支交换机应选用模块化、无阻塞交换机以便在需要时随时增加端口数目实现系统扩展。另外,分支交换机所支持的上连端口的灵活性直接决定了该交换机的生存周期,对应于主干交换机应该支持的主要连接技术,分支交换机应能通过增加相应具备以ATM、千兆以太网等技术上连的选项才能在技术进步中保持可升级能力,避免因主干链路升级而不得不被丢弃。
网络厂商对自己传统产品一贯的处理风格也是考察系统可升级性和生命周期的重要参考因素。选择那些在产品初始设计时充分考虑长远发展,多年来始终注重产品的投资保护,在技术发展的过程中坚持为传统产品提供技术升级手段并在新产品的开发中尽可能实现向前兼容的厂商,则可以期望产品的生命周期尽可能地得到延长,具有加强的升级能力。而选择那些经常放弃原有产品的开发,不断重起炉灶,不在新产品中兼容原有产品的厂商,则可能成为厂商不负责任的产品和市场策略的牺牲品。
第二章 方案总体设计
2.1设计原则
整个局域网络采用多层数据交换原则设计,这样的设计方案使得整个局域网的运维管理,以及网络故障排除变的更加简单,减少了网络管理员的工作负责性,并且使未来的升级变的更简单且迅速。
2.2核心层设计
核心区块主要负责以下几个工作: 提供交换区块间的连接;
提供到其他区块(比如广域网区块)的访问; 尽可能快的交换数据桢或数据包;
将主交换机设备间设在主楼7楼网络中心。由于核心层设备处于整个网络中是最关键的地位,任何故障都可能造成整个系统的瘫痪,因此设备的选型十分重要。从可靠性和安全性出发,结合价格因素的考虑。
2.3汇聚层设计
汇聚层主要负责以下几个工作 实现安全以及路由策略 实现核心层的流量重分布 实现QOS服务质量控制
处于在汇聚层需要实现诸多的策略控制,对于交换机的应用要求较高。
结构化综合布线系统简介
1.1 综合布线系统的设计等级
综合布线系统的设计等级有三种,应根据需要选择适当等级的综合布线系统,其分级应符合以下要求:
⒈基本型
适用综合布线系统中配置标准较低的场合,传输介质为铜芯电缆,基本型综合布线系统配置为:
每个工作区有一个电话插座,网口;
每个工作区的配线电缆为一条4对屏蔽双绞线; 完全采用夹接式交接硬件;
每个工作区的干线电缆至少有2对双绞线。
⒉增强型
适用综合布线系统中等配置标准的场合,传输介质为铜芯电缆,增强型综合布线系统配置为: 每个工作区有两个以上信息插座;
每个工作区的配线电缆为一条4对屏蔽双绞线; 采用夹接式或插接式交接硬件;
每个工作区的干线电缆至少有3对双绞线。
⒊综合型
适用综合布线系统配置标准较高的场合,传输介质为光缆和铜芯电缆混合组网,综合型综合布线系统配置为:
在基本型和综合型综合布线系统的基础上增设光缆系统; 在每个基本型工作区的干线电缆中至少配有2对双绞线。在每个增强型工作区的干线电缆中至少有3对双绞线。
结构化布线系统设计
结构化布线系统包括工作区子系统、水平干线子系统、管理子系统、垂直干线子系统、设备间子系统和建筑群子系统六个子系统。下面分别对各子系统进行说明。
设备间系统
设备间子系统是在每一栋大楼的适当位置安装进出线设备和主配线架,是进行布线系统管理和维护的场所。设备间子系统应由综合布线系统的建筑物进线设备、配线设备和主配线架等有关的支撑硬件构成。设备间的位置及面积大小应根据进出线设备的数量、规模、管理等诸因素综合考虑,一般应遵循以下条件:
尽量建在建筑物平面及其综合布线系统干线综合体的中间位置; 尽量靠近电梯,以便装运笨重设备;
尽量避免设在建筑物的高层或地下室,以及用水设备的下层; 尽量远离强震动源和强噪声源; 尽量避开强电磁场的干扰源;
远离有害气体源以及存放腐蚀、易燃、易爆物。 设备间的使用面积一般不应小于20M。(注:所有设备放一个网络机房)
设备间的主要设备,如数字程控交换机、网络设备、计算机主机,在较大型的综合布线系统中,一般将数字程控交换机、网络设备、计算机主机等设备分别设置机房,把有关综合布线系统的硬件及设备放在设备间,如计算机网络系统中的路由器、交换机等设备。它的作用是把整个网络系统的各种设备互连起来,即将不同的系统主机连接到相应的网络上,从而对整个建筑物内的信息网络系统进行统一的配置管理。
建筑群系统
建筑群子系统是指两个以上的建筑物的电话、数据、电视等系统组成的建筑群综合布线系统,建筑群子系统由连接各建筑物之间的线缆组成。建筑群子系统的布线方式可以采用架空电缆、直埋电缆、地下管道电缆,或三种敷设方式的任意组合。具体采取何种方式要根据用户要求及施工现场而定。1.架空布线法
由电线杆支撑的电缆于建筑物之间悬空架设。这种方法的保密性、安全性和灵活性较差,并影响整个建筑群的美观。因而它不是理想的布线方式。这种布线方式要服从电信电缆架空敷设的有关规定。2.地下管道法
在建筑群环境中,建筑物之间通常有地下巷道。利用这些巷道来敷设电缆,不仅造价低,而且可利用原有的安全设施。如:楼宇之间的热水管道经过的巷道。为了防止热气或热水泄露损坏电缆,电缆的安装位置应与热水管保持足够的距离。电缆应安装在巷道内近可能高的地方,以免巷道内积水淹没电缆使其损坏。采取地下管道法要遵循当地法规的具体要求。这种方法的优点是:施工成本较低,而且比较安全。3.直埋布线法 在直埋布线法中,电缆的大部分没有管道保护。直埋电缆通常应埋在距地面60CM以下的地方,或以当地的有关法规的规定为准。这种方法的优点是:对电缆有一定的机械保护作用,并且能保持建筑物环境的原貌。但成本较高。
当综合布线系统需要在建筑物和超高层建筑物之间进行长距离线路传输,特别是与强电电缆一起敷设时,由于产生干扰或周围环境有电磁干扰时,应采用光纤作为传输介质
建筑群子系统提供建筑物之间的通信所需的硬件,根据该工程的实际情况,采用架空光纤连接.光纤传输具有传输距离长、带宽宽、抗干扰能力强等优点,利用多模光纤,即可满足数
据传输的要求。
布线系统设计详述 信息点统计
信息点表:
公司大楼的主要情况如下:
7楼
主机房、总配线间、网络核心交换机 7楼
面积 1200M;点数 165个语音点150个数据点
6楼
面积 1713M 点数 310个语音点302个数据点
工作区系统
(1)工作区子系统及涉及器件:
工作区布线子系统由终端设备连接到信息插座的连线(或软线)组成,它包括装配软线、适配器和连接所需的扩展软线,并在终端设备和I/O之间搭桥。
在进行终端设备和I/O连接时,可能需要某种传输电子装置,但是这种装置并不是工作区子系统的一部分。例如,有限距离调制解调器能为终端与其它设备之间的兼容性和传输距离的延长提供所需的转换信号。有限距离调制解调器不需要内部的保护线路,但一般的调制解调器都有内部的保护线路。
8601/8602朗讯单孔、双孔面板,此面板为英制86型面板,带语音/数据标识条,带弹簧门以防尘。
MPS100BH-262超五类模块,配合面板使用,此模块为标准的RJ-45接口,兼容RJ-11接口,用于接插计算机网络线或电话线。
网络拓扑图
1.6楼网络拓扑图
2.7楼网络拓扑图
6楼网络价格及产品型号
三层核心交换机
Cisco WS-3560X-48T-E
28988 二层交换机
华为48口普通交换机
用公司现有的 无线AP区域
华为胖AP
用公司现有的
注:因普通交换机及AP覆盖面不够,普通交换机需要增加2个,AP需要增加4个
第四篇:数据中心网络建设方案
数据中心网络建设方案
7.6.2.1、网络设计原则
根据数据中心的需求和将来的发展,在网络设计中遵循下面的原则:
(1)安全性、可靠性和容错性
由于数据中心向用户提供数据类服务的性质,决定了其网络设计首要的原则就是,保证用户的设备或内容在一个安全、可靠的网络环境下进行信息安全可靠的传输和处理。
网络设计从安全可靠的角度讲,就是将核心网络设备互为冗余备份;网络连接采用双链路连接;网络设备的选型要考虑模块的冗余等。目的是使整个网络尽可能减少单点故障而引起的系统无法运行。
(2)开放式、标准化
无论是从现在、还是从发展的眼光看,数据中心是一个集中了各类至关重要的设备、软件和应用系统,集成了当今最先进的计算机类产品的地方。数据中心的网络平台的目的在互连不同制造厂商的设备,实现计算机软、硬件资源的数据交换。一个不标准、不开放的网络平台将极大的阻碍数据中心业务运作和发展。
为此必须建立一个由开放式、标准化的网络系统组成的平台来满足当前可实现的应用要求,又能适应今后系统扩展的需要。
(3)可扩展性
网络结构分层次设计,网络设备采用模块化、堆栈式的系统结构,为今后随着数据中心业务的发展完善、各种特色增值业务的部署,提供一个灵活方便的升级和扩充的途径。
(4)实用性、先进性、成熟性
我们所处的时代是信息时代,通信和计算机技术的发展日新月异。因而,方案不仅适应新技术发展方向,保证计算机网络的先进性,同时也兼顾成熟的网络技术和经济实用性。
(5)可管理性
网络运维平台可以提供24*7不间断的网络监控、技术服务与支持,标准监控程序每隔5分钟会检测网络联接状况,出现问题立即告警并及时通知用户。控制中心同时提供恒温、恒湿的机房环境,自动防火告警等服务。
第五篇:小型企业网络建设方案
小型企业网络建设方案
摘要:随着网络的逐步普及,中小型企业的建设是企业向信息化发展的必然选择,企业网络系统是一个非常庞大而复杂的系统,它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本文主要以中小型局域网络建设过程可能用到的各种技术及实施方案为设计方向,为中小型企业的建设提供理论依据和实践指导。
关键词:网络设计 网络逻辑 安全
一、网络设计需求分析
公司共有两层楼,一楼主要为营销部、人事部、技术部和网络中心,二楼是会议室、总经理办公室、秘书部、企划部、科研部和财务部。要求企业内部主机和部分局域网用户能同时上INTERNET,并要求财务部和研发部只有总经理有权访问,其它部门可以相互访问,企划部和人事部上班时间不能访问外网,各部门均有流量限制,楼内有OA办公系统、财务管理系统、FTP服务器、DNS服务器、WEB服务器,故要有路由,防火墙,核心交换,二层交换,服务器等。为了方便用户接入和扩展,路由、三层、汇聚层设备都安置在网络中心,接入层设备安置在办公室。为了使网络通信时安全可以使用划分VLAN并在三层交换上做访问控制列表以使不同VLAN之间不能互相访问,为了做到上网时间的控制,在三层交换上会使用到访问控制列表。网络需求:(1)信息的共享;
(2)公司管理;
(3)办公自动化;
(4)高速Internet 冲浪。网络功能:
(1)建立公司自己的网站,可向外界发布信息,并进行网络上的业务。
(2)要求供销部可以连接Internet,与各企业保持联络,接受订单及发布本公司产品信息。其他部门都不能连接Internet,但要求公司内部由网络连接。
(3)公司内部网络实现资源共享,以提高工作效率。
(4)建立网络时应注意网络的扩展性,以方便日后的网络升级和增加计算机。
(5)在公司内部建立公司的数据库,如员工档案,业务计划,会议日程等。
二、网络逻辑设计
网络拓扑结构设计:对于用户即将建设的网络系统来说,想要建设成为一个覆盖范围广、网络性能优良、具有很强扩展能力和升级能力的网络,在起初的设计中就必须采用层次化的网络设计原则。采用这样的结构所建设的网络具有良好的扩充性、管理性,因为新的子网模块和新的网络技术能被更容易集成到整个系统中,而不破坏已存在的骨干网。大多数的网络都可以被层次性划分为三个逻辑服务单元:核心骨干网(Backbone)、汇聚网(Distribute)和接入网(Local-access),模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。整个网络由核心层、汇聚层和接入层两大部分组成。核心层是由CISCO WS-C3560-48TS-S企业级核心路由交换机组成。汇聚层由CISCO WS-C3560-24TS-S路由交换机组成。接入层是由接入层楼层交换机CISCO WS-C2918-24TC-C组成。
以行政楼中心机房为中心,下属部门为接入点的星型连接方式。现阶段出于用户的应用和先进性考虑,通过千兆光纤连接。各楼层的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后,由汇聚交换机通过千兆接到核心交换机。我们可采用千兆路由交换机与各 LAN 网段的交换机(Switch)连接而组成星型网络,实现千兆核心网络到各楼层,百兆到桌面,满足各种应用的需要。核心层交换机与服务器群的相连是以千兆以太网的方式。
内部网络设计: 核心层主要功能是给下层各业务汇聚节点提供 IP 业务平面高速承载和交换通道,负责进行数据的高速转发,同时核心层是局域网的骨干,是局域网互连的关键。对核心骨干网络设备的部署应为能够提供高带宽、大容量的核心路由交换设备,同时应具备极高的可靠性,能够保证24小时全天候不间断运行,也就必须考虑设备及链路的冗余性、安全性,而且核心骨干设备同时还应拥有非常好的扩展能力,以便随着网络的发展而发展。基于对核心层的功能及作用,根据用户的实际需求,本方案中对网络系统中核心层由CISCO系列的企业级核心交换机WS-C3560-48TS-S组成。其主要任务是提供高性能、高安全性的核心数据交换、QoS 和为接入层提供高密度的上联端口。为整个大楼宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流。同时为数据中心的服务器提供千兆高速连接。
VLAN的设计:根据各个办公室的地理位置来划分VLAN,如果同一栋楼内包含很多部门,而这些部门的职能和工作内容又有很大的区别,我们就可以在楼内按照部门来划分VLAN。另外,如果某个部门需要跨越很多建筑物,分布范围比较广,例如部门A 分布的很散,在很多交换机上都预留了部门 A 的信息点,我们则可以按照交换机的位置来设置 VLAN,这样,部门A就可能对应多个VLAN,如果部门A所对应的VLAN之间需要通信的话,我们可以通过VLAN间的路由来实现。这样做的好处是:可以减少广播数据包对网络主干的影响。因为如果将部门A 全部划分到一个 VLAN 中,而这些 VLAN 又跨越了网络主干,分布在众多不同的交换机上,这样如果有广播包时,这些广播包必然会在网络的主干上传输,然后到达相应的交换机上,也就占用了网络主干的带宽,容易造成其他业务的时延。为了减少传输冲突,提高系统整体性能和网络处理能力,另外,还考虑到网络良好的管理性,易于维护和安全策略的实施,针对用户网络系统的实际情况,可以把功能(应用)相近的设备群组划分到同一VLAN,不同部门的设备划分到不同VLAN 中去,这样就能够通过访问控制列表技术实施安全策略。限制未授权的用户访问重要的服务器和数据库。
外部网络设计:该企业网络用户为对Internet进行访问,而且为了保证其安全性,要求能够访问Internet的用户与不能访问Internet的用户进行完全的物理隔离,则需要另建立一套网络系统(简称为外网)。网络用户(即外网用户)通过外网布线系统接至各楼层的交换机,汇总到外网的主交换机后,接入到防火墙上,防火墙通过 IP 地址转换功能(NAT),将网络用户(即外网用户)的私有 IP 地址转换成Internet公网 IP 地址,通过光电转换器与电信相连的方式访问Internet,以使该企业网络内外网互相独立,达到完全的物理隔离的目的。
网管系统的设计:网络管理系统时对整个网络进行监视、控制和维护管理,以提高网络的有效性、利用率、安全性和可靠性。网络管理系统由网管中心、网管单元、管理信息库和网络管理协议四部分组成。网管中心是网管人员和管理信息系统间的接口,它将网管人员的命令转换为对实际网元的监视和控制。网管单元在每个节点执行各项网络管理任务,采集网络资源信息,存储本地相关数据并响应网管人员命令。管理信息库(MIB)存放各种网络管理信息的特征参数和逻辑结构。网络管理协议按规约执行网管人员与网管单元和管理信息库之间的通信。该企业网络系统设一个网管中心,该中心设在行政楼机房,负责对全网进行管理。
三、网络安全设计
外网安全设计:防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。入侵检测系统:采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。病毒防护系统:强化病毒防护系统的应用策略和管理策略,增强病毒防护有效性。
内网安全设计:访问控制,通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。网络管理软件系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。
内外网安全之间设计:VPN系统:对远程办公人员及分支机构提供方便的IPSec VPN接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问。移动用户管理系统:对内部笔记本电脑在外出后,接入内部网进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全访问需求,可以利用三层交换机来划分虚拟子网(VLAN)。同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分,既方便局域网络的互联,又能够实现访问控制。
四、网络备份设计
1、拨号路由备份
使用路由器AUX备份端口建立一条拨号线路,防止专线故障时业务中断。
2、热备份路由协议(HSRP)
如果主路由器发生故障,它就不会广播Hello报文,HSRP一直在监听这个报文,一旦它在Hold Time内未收到Hello报文,就认为主路由器发生故障,将虚拟路由器接收到的数据包交给备份路由器,发生主备份路由器切换。但如果主路由器恢复正常后,它就会重新广播Hello报文,由于它发送的Hello报文具有最高优先级,所以HSRP仍然选择它来完成路由工作,再次发生主备份路由器之间的切换。
五、布线设计
企业综合布线系统由工作区子系统、水平布线子系统、垂直干线子系统、管理子系统和建筑群子系统组成。它的设计原则如下:
(1)开放性
严格按照IEEE802、EIA/TIA 568等工业及建筑布线标准和中国建筑电气设计/工业企业通信设计规范。
(2)实用性
适应企业现在和将来发展的需要,具备数据通信、语音通信和图像通信的功能。
(3)灵活性
布线系统中任一信息点能够很方便地与多种类型设备(如电话、计算机、检测器件以及传真等)进行连接。
(4)可扩展性
布线系统具有较强的可扩展性,在将来需要时可以很容易地将所扩充的设备连接到系统中来,实现各种网络服务与应用。
(5)经济性
综合布线系统是一种既具有良好的初期投资特性,即在今后若干年中不增加新的投资情况下仍能保持建筑物的先进性,又是具有极高的性能价格比的高科技产品。通常情况下,综合布线系统的使用寿命为15年。
(6)可靠性
综合布线系统采用高品质的材料和组合压接的方式构成一套高标准的信息通道。每条通道都采用专用仪器校核线路衰减、串音、信噪比,以保证其电气性能不会造成交叉干扰。所以,北方公司应采用综合布线系统,才能更好的发挥千兆局域网的威力。
六、网络系统管理与维护
(1)更新
WEB页面的版面、样式、内容的更新;公司共享资料的更新;网络教室、软件下载内容的更新;聊天室及电子论坛的维护等工作由管理员进行。各种报表、数据库更新,信息发布由各部门管理员从本地登录服务器进行。
(2)备份
由于考虑最低投资,未采用磁带机备份,而使用磁盘镜像技术容错,这样不但得到完整的数据备份,而且还提高了系统的性能。
(3)诊断
INTRANET采用TCP/IP协议,在网络的调试中主要采用了以下几个诊断程序: Ping;Ipconfig;Nbtstat;Netstat;Hostname
(4)磁盘整理
虽然Windows系统自身包括磁盘碎片整理程序,建议采用第三方的程序Diskeeper定期整理磁盘碎片。