xx集团企业网络建设解决方案

xx集团企业网络建设解决方案内容摘要：

向千兆位以太网。 (4) 支持千兆以太网的第 3/4层交换机的出现。 这大大地增强了千兆以太网在工作区的地位，原来认 为的以太网的一些不足，如对多媒体应用的支持、灵活的网络拓扑结构和多链路负载均衡、基于标准的虚拟网等，已被新的技术和标准所解决 . 网络设计方案描述 网络总体规划设计 网络规划设计是一个系统建立和优化的过程，建设网络的根本目的是在 Inter上进行资源共享与通信。 要充分发挥投资网络的效益， 解决方案 19 需求设计成了网络规划设计中的重要内容，它提供了网络设计应到达的目标，并有助于设计者更好地理解网络应该具有的性能；结合公司的办公需求和规模、管理需求和各高层人员与员工对商业科研的需要，公司的配套设施（如：机房、配线房、电源系统等）也应确定，确立一个性能较高的网络计算平台。 网络平台中主要有针对公司建筑群而设计出 拓朴图，有联网软件（包括网络安全上的软件及应用软件），还有互联设备（包括主交干换机、 路由器、二级交换机、服务器等 ）。 应用系统中包括 硬件需求和系统需求。 硬件需求主要是对多媒体办公提供，为了更好取得商业效益；系统需求主要是对网络操作系统的选择，目前优先选用 Windows200７ Server 、 Linux 、 Unix 等系列的主流操作系统产品。 还要配备能提供基于浏览器模式操作的应用软件。 网络拓扑结构 公司网络由多种完成不同功能的网络设备组成，包括路由器、交换机、 Inter接入设备、防火墙等以及各种服务器，如：远程技术服务器、网管服务器（包括网管软件）、主服务器（包括 WWW、 Email、DNS等）。 公司内部网络采用共享或交换式以太网，通过 DDN、 ASDL、ISDN／ PSTN等方式，选择中国科技互联网接入到 Inter，内外之间 解决方案 20 通过国际互联网的方式互相联接。 同时采取相应的措施，确保通讯数据的安全、保密。 系统运行要安全、可靠、故障小。 网络拓扑结构设计的要符合以下几点要求： (1） 要适应未来网络的扩展和拓扑结构的变化。 (2） 要能为特定的办公用户或用户组提供访问路径。 (3） 要保证网络能不间断地运行。 (4） 当网络扩大和应用增加时，变化的网络结构要能应付相应的带宽要求。 (5） 使用频率较高的应用能够支持网上大多数的 员工用户。 (6） 能合理地分配用户对网内、网外的信息流量。 (7） 能支持较多的网络协议，扩大网络的应用范围。 支持 IP的单点传送和多点广播数据流。 所以， 要达到以上这些设计要求，分层的设计功能及星型、树型和交叉型的拓扑结构应给予足够的重视，做到应地而异。 根据公司的建筑物的分布，把公司网的主节点放置在行政办公大楼的网络中心，目前的 拓扑结构呈星形，即以 行政 大楼为核心，向其他大楼辐射，建筑物之间使用多模光纤连接。 同时，各建筑物都不大 解决方案 21 （以四至五层为主，宽度也比较适中），所以建筑物内部也将采用星形布局，每幢建筑只需要一个设备 间，统一放置设备。 公司 网 物理位置上分为： 各工作部互通网络； 科研办公网络； 电脑机房及电子阅览室网络。 在逻辑结构上网络又分为： 核心层网络； 汇聚层网络； 接入层网络。 其网络拓扑图如下： 各工作部互通网络传输视频信号，数据流量非常大，电子阅览室和研究机房也会不时有突发流量，为了不影响员工办公网络的稳定性，我们将它的信息点划分到 VLAN10中，员工办公网络划分到 VLAN20中，电子阅览室和研究机房划分到 VLAN30中，每个 VLAN在核心层交换机上 解决方案 22 进行划分，包含各自的接入层和汇聚层设备，在核心层交换机的第三层通过路由将这三个 VLAN连通。 根据公司要求，每个部门在工作时需要进行多媒体互动交流，会导致网络流量剧增。 主要网络设备配置 网络设备配置的情况主要是参考信息点的多少和通讯量的高低来决定相应的设备，公司信息 点分布及统计： 总部公司为 38 层的主楼，四个分部都是 7 层楼。 第一分公司与主楼相距 50 米，第二分公司与主楼相距也是 50 米，第三分公司与主楼相距 5 公里，第四分公司与主楼相距 8 公里，另两个分公司在上海和重庆各自有自己的办公楼。 主要网络设备介绍 华为 S5328CEI核心三层交换机 背板交换容量≥ 256G 转发性能≥ 66Mbps 最大万兆接口数量≥ 2 最大千兆电接口数量≥ 24 最大千兆光接口数量≥ 4 MAC 地址表≥ 32K 解决方案 23 可靠性： 支持 RRPP 环型拓扑和 RRPP 多实例，故障保护切换时间低于 50ms； 支持 SmartLink 树型拓朴和 SmartLink 多实例，提供主备链路的毫秒级保护；支持 BFD For OSPF/ISIS/VRRP/PIM 协议；支持 STP/RSTP/MSTP 协议；支持 BPDU 保护、根保护和环回保护； 电源： 支持双电源冗余供电，用户可灵活选择单电源工作模式或者双电源工作模式，提高了设备可靠性。 路由：静态路由、 RIP V1/ OSPF、 ISIS、 BGP、 ECMP； QOS/ACL： 支持对端口接收和发送报文的速率进行限制；支持报文重定向；支持双速三色 CAR 功能；每端口支持 8 个队列；支持 WRR、DRR、 SP、 WRR＋ SP、 DRR+SP 队列调度算法；支持 L2（ Layer 2） ~L4（ Layer 4）包过滤功能，提供基于源 MAC 地址、目的 MAC 地址、源IP 地址、目的 IP 地址、端口、协议、 VLAN 的非法帧过滤功能； 1安全特性：支持防止 DoS、 ARP 攻击功能；支持 IP、 MAC、端口的组合绑定；支持 MAC 地址黑洞；支持 MAC 地址学习数目限制；支持 IEEE 认证，支持单端口最大用户数限制；支持 AAA 认证，支持 Radius、 TACACS+等多种方式；支持 CPU 保护功能； 1防雷：所有业务端口防雷能力： 4KV；增加额外的防雷设备，所有端口防雷能力 15KV； 1管理和维护： 支持 MFF； 支持虚拟电缆检测 (Virtual Cable Test)；支持以太网 OAM（ 和 ）；支持端口镜像和 RSPAN(远 解决方案 24 程端口镜像 )； 支持 SNMPv1/v2/v3；支持集群管理 HGMP； 支持系统日志、分级告警； 华为 Secoway USG2220防火墙 防火墙吞吐量：支持不低于 600Mbps的防火墙吞吐量 ； 并发连接数：支持不低于 60 万 /秒的并发连接数； 路由： 提供 FE/GE/E11 多种接口，提供 RIP、 OSPF、 BGP 等动态路由协议，适应各种复杂的路由应用场景。 网络接口：提供固定的 2 个千兆光电复用口， 5 个百兆口， 1 个扩展插槽； IPS 功能：除能 高效防范 SYN FLOOD， UDP FLOOD， ICMP FLOOD，DNS FLOOD 等多种网络层攻击外，更能有效检测和阻断来自应用层的攻击，如 RPC 漏洞攻击、溢出攻击等。 结合领先的硬件平台，可以为用户的重要业务系统提供高性能的攻击防护 ； 垃圾邮件过滤： 采用权威、可靠的实时黑名单（ Realtime Blackhole List），结合自定义黑白名单，可以快速有效地清除垃圾和病毒邮件，保护个人计算机安全，提高网络资源利用率，提高工作效率。 上网行为管理： 采用协议深度检测技术，可以对多种网上应用进行精确检测，并按照用户进一步实施细粒度控制，保障核心业务正常进行。 可以实时阻断 MSN、 等 IM应用；可以对 Bittorrent、 FEIDIAN、 解决方案 25 LIVE、 PPSTREAM、 UUSee、 KUGOO 等多种 P2P应用进行阻断或者限速。 可靠性：支持 双电源、温控机箱、自动转速调节风扇等多种硬件可靠性保障技术，同时，还 须 支持双机热备、负载均衡、路由信息 1＋ 1 备份等多种软件可靠性保障技术，为用户提供了全方位的高可靠性的安全防护 ； 流量控制。 能够精确识别用户网络中的各种应用流量，如 HTTP、FTP、 P2P、 IM 等；支持包括 FIFO、 PQ、 CQ、 WFQ、 CQC、 CBWFQ、 WRED、LR、 CAR、 GTS 等多种队列传送机制，可以精细化管理用户网络带宽资源，为用户实现多种流量控制方案。 VPN： 支持 L2TP、 GRE 、 IPSec、 MPLS 等多种 VPN 组网方式，既可以单独使用，也可以多种方式组合使用。 采用 硬件加密芯片来处理加密运算，加密运算和数据封装过程通过硬件来实现，支持 DES、 3DES、AES 等多种加密算法。 华硕 Gigax2124X汇聚层交换机 华硕 Gigax2124X汇聚层交换机 融突出的性能、通用的模块性和易于使用的管理于一身。 有 24个千兆端口， 是聚集以太网工作组并向单个用户和服务器提供专用 10/100/1000Mbps连通性的理想解决方案。 Gigax2124X的先进体系结构采用了一个 300万个信息元的交换结构，在所有端口上提供线速性能。 允许客户增加 解决方案 26 端口密度、通过带宽集中提供更高速的上行链路并提供远距离的光纤连通性。 另外，未来的特性模块将提供额外的功能，如：通过一个交换机间链路（ ISL）特性模块来支持虚拟 LAN（ VLAN）。 Gigax2124X交换机具有易于使用的、基于 WEB的管理和先进的安全特性。 用户前用一个基于 WEB的接口通过标准的浏览器 ， 如 Microsoft Explorer或 Netscape Navigator， 在网络的任何地方管理交换机 ， 针对控制台访问的多级安全性可防止未经授权的用户修改交换机的配置。 通过在一个引导服务器上自动配置网络上的多个交换机，自动配置使部署变得更为简单。 Gigax2124X交换机的特征： (1) 24个 10/100/1000BaseTX端口 Gigax2124X交换机 具有 24个固定的 10/100/1000BaseTX端口。 这些端口均支持 Nway标准，可支持 10/100BaseTX自适应及全双工 /半双工。 (2) 通用模块性 Gigax2124X的 2个通用模块插槽具有扩展能力、更高速的连通性和对特性模块的未来支持，从而使用户可灵活地升级他们的网络。 未来的特性模块将提供额外的功能，如：通过一个交换机间链路（ ISL）特性模块来支持虚拟 LAN（ VLAN）。 (3) 管理模块 解决方案 27 Gigax2124X交换机 后面板上端插槽可插管理模块，全面支持SNMP/RMON，可通过 console口或连到串口的 modem，或通过 Tel板上配置，或基于 web方式通过 HTTP协议访问嵌入管理程序。 (4) 虚拟网络（ VLAN） 支持虚拟网络（ VLAN）标准来控制广播域和网段流量，可以提高网络性能、安全性和可管理性。 支持 IEEE VLAN标记，可基于端口或 MAC地址来划分 VLAN，最多可划分 256个 VLAN，并最多支持 2048个动态 VLAN（ GVRP）。 通过控制口或网管工作站可以轻松完成结构和设备的添加、移动和 更换。 可根据最大网络流量和网络安全性来划分虚拟网络。 (5) 端口可与 MAC地址绑定 每台交换机支持端口与 MAC地址绑定，即可以通过手工设置的方式，使每个端口只能与指定的若干 MAC地址相连通，从而提高网络的安全性。 (6) 流量控制（ Flow Control） 在全双工模式下，交换机的嵌入式流量控制（ Flow Control）可以在网络传输中防止用户数据丢失。 在连接支持流量控制的局域网适配器时，如果网络流量过大，交换机会给电脑发出缓冲区超负荷的信号，电脑将推迟传送数据，直到交换机可以重新接收数据为止。 全双工 采用 IEEE。 解决方案 28 (7) 良好的安全性能 Gigax2124X交换机 提供了完整的 ACL策略，可根据源 /目的 MAC、源 /目的 IP、 TCP/UDP端口号对数据进行分类并进行不同的转发策略。 支持 MAC的认证，为网络提供端口级的安全保证。