中小型公司企業(yè)網絡設計方案

企業(yè)網絡規(guī)劃和設計方案一、工程概況1、 工程詳述集團總部公司有1000臺PC；公司共有多個部門，不同部門的相互訪問要有限制，公司有自己的內部網頁與外部網站；公司有自己的OA系統；公司中的臺機能上互聯網；核心技術采用VPN；集團包括六家子公司，包括集團總部在內共有2000多名員工；集團網內部覆蓋7棟建筑物，分別是集團總部和子公司的辦公和生產經營場所，每棟建筑高7層，都具有一樣的內部物理結構。一層設有本建筑的機房，少量的信息點，供未來可能的需求使用，目前并不使用（不包括集團總部所在的樓）。二層和三層，每層樓布有96個信息點。四層到七層，每層樓布有48個信息點，共3024個信息點。。每層樓有一個設備間。樓內綜合布線的垂直子系統采用多模光纖，每層樓到一層機房有兩條12芯室內多模光纖。每棟建筑和集團總部之間通過兩條12芯的室外單模光纖連接。要求將除一層以外的全部信息點接入網絡，但目前不用的信息點關閉。2、 項目工期20XX年5月28日 20XX年6月28日二、需求分析1、網絡要求滿足集團信息化的要求，為各類應用系統提供方便、快捷的信息通路；具有良好的性能，能夠支持大容量和實時性的各類應用；能夠可靠運行，具有較低的故障率和維護要求。提供網絡安全機制，滿足集團信息安全的要求，具有較高的性價比，未來升級擴展容易，保護用戶投資；用戶使用簡單、維護容易，為用戶提供良好的售后服務。主干網負責各個子網和應用服務的連接，為信息交換提供有效的高速通道。系統主干采用萬兆以太網10000M交換，下屬子網采用千兆以太網，網絡協議采用TCP/IP協議，整個網絡應考慮語音、視頻、數據等的綜合應用。交換機要求采用主流、成熟、信譽和售后服務均佳的產品，核心交換機采用三層交換機，支持VLAN等功能，能較好解決突發(fā)數據量和密集服務請求的實時響應問題，在內部用戶終端進行視頻信號、數據交換時交換引擎不會出現過載現象和數據包碰撞、丟失的現象，還要考慮預防瓶頸出現和補救的相應措施。下屬單位接入交換機可采用相對低一檔的產品；本系統處理的信息包括數據、語音和圖像等，因此要考慮實時性問題，特別要考慮包括視頻會議在內的信息共享等方面的實時性要求。；UPS電源的配備，配置要保證網絡中所有的服務器、交換機、路由器、集線器等設備的連續(xù)、正常地運轉；網絡帶寬的分配：應根據所屬單位網絡的信息流量情況合理分配網段，以充分利用網絡帶寬，提高網絡的運行效率。網絡需要需要具有多主機跨平臺主機連接能力，數據集中存放、集中管理、數據有效共享、存儲空間共享、統一安全備份，可實現無人值守、自動實施備份策略，備份LANFREE、SERVERLESS等功能，為全面集中管理和數據倉庫的建設奠定堅實的基礎2、系統要求配置簡單方便：所有的客戶端和服務器系統應該是易于配置和管理的，并保障客戶端的方便使用;廣泛的設備支持：所有操作系統及選擇的服務應盡量廣泛的支持各種硬件設備;穩(wěn)定性及可靠性：系統的運行應具有高穩(wěn)定性，保障7*24的高性能無故障運行?？晒芾硇裕合到y中應提供盡量多的管理方式和管理工具，便于系統管理員在任何位置方便的對整個系統進行管理;更低的成本：系統設計應盡量降低整個系統的成本；安全性：在系統的設計、實現及應用上應采用多種安全手段保障網絡安全；提供良好的售后服務。網絡還應具有開放性、可擴展性及兼容性，全部系統的設計要求采用開放的技術和標準選擇主流的操作系統及應用軟件，保障系統能夠適應未來幾年公司的業(yè)務發(fā)展需求，便于網絡的擴展和集團的結構變更。3、用戶要求要求計算機應用系統能處理大信息量的傳輸和計算；要求易于用戶管理、界面簡單、邏輯清晰；滿足用戶使用網絡系統的運行質量，提高網絡運行速度；要求采用千兆以太網作為主干的網絡技術，提供標準化的高速度主干網連接，并在未來可以升級到IP，可以在同一個網絡中支持多種服務質量，以支持目前和未來的應用和服務為標準。允許網絡集成，使用三層交換來代替路由，能實現與廣域網的集成功能；網絡中使用的設備、技術和協議完全符合國際通用的標準，兼容現有的網絡環(huán)境，提供良好的互聯性；要求網絡提供足夠的帶寬，豐富的接口形式，滿足用戶對應用帶寬的基本要求，并保留一定的余量供擴展使用，最大可能地降低網絡傳輸延遲;要求網絡有很高的可靠性、穩(wěn)定性及冗余，網絡能夠提供良好的安全性策略，能避免內部操作失誤造成的損害和來自外部的惡意攻擊。4、設備要求根據集團的網絡功能需求和實際的布線系統情況，樓層接入設備需要選擇同一型號的設備;子公司主交換機可以根據需要通過堆疊方式進行靈活的升級擴容;核心交換機需要具有升級到720Gbps可用背板帶寬的能力。網絡設備必須在技術上具有先進性、通用性，必須便于管理、維護，應該滿足集團現有計算機設備的高速接入，應該具備良好的可擴展性、可升級性，保護用戶的投資。網絡設備在滿足功能與性能的基礎上必須具有良好的性價比。網絡設備應該選擇擁有足夠實力和市場份額的廠商的主流產品，同時設備廠商必須要有良好的市場形象與售后技術支持。三、網絡系統設計規(guī)劃1、網絡設計指導原則網絡設計應該遵循開放性和標準化原則、實用性與先進性兼顧原則、可用性原則、高性能原則、經濟性原則、可靠性原則、安全第一原則、適度的可擴展性原則、充分利用現有資源原則、易管理性原則、易維護性原則、最佳的性能價格比原則、QoS保證2、網絡設計總體目標先進性：系統具有高速傳輸的能力。工作站子系統傳輸速率達到100Mb/S,水平系統傳輸速率達到1000Mb/s,滿足現在和未來數據的信息傳輸的需求;主干系統傳輸速率達到1000Mb/s,同時具有較高的帶寬，滿足現在和未來的圖像、影像傳輸的需求。靈活性：系統具有較高的適應變化的能力。當用戶的物理位置發(fā)生變化時可以在非常簡便的調整下重新連接；布線系統適應各種計算機網絡結構，如以太網、高速以太網、令牌環(huán)網、ATM網等。布線系統且具有一定的擴展能力。實用性：系統具有低成本、使用方便、簡單、易擴展的特點。布線系統應在滿足各種需求的情況下盡可能降低材料成本；布線系統具有操作簡單、使用方便、易于擴展的特點。3、 網絡通信聯網協議TCP/IP:每種網絡協議都有自己的優(yōu)點，但是只有TCP/IP允許與Internet完全的連接。Telnet:遠程登錄訪問協議，使其他跨省區(qū)域的子公司通過遠程訪問總部的內外，在遠程訪問時，會設置相應的ACL認證和相對的權限設置。SNMP網絡管理協議：SNMP用于在IP網絡管理網絡節(jié)點（服務器、工作站、路由器、交換機及HUBS等）的一種標準協議，它是一種應用層協議。SNMP使網絡管理員能夠管理網絡效能，發(fā)現并解決網絡問題以及規(guī)劃網絡增長。通過SNMP接收隨機消息（及事件報告）網絡管理系統獲知網絡出現問題。路由協議：RIP、IGRP、EIGRP、IS-IS和OSPF。4、 網絡IP地址規(guī)劃集團園區(qū)網計劃使用私有的A類IP地址。集團園區(qū)網的IP地址分配原則如下：集團使用IPv4地址方案。集團使用私有IP地址空間：/8。集團使用VLSM（變長子網掩碼）技術分配IP地址空間。集團IP地址分配滿足集團的利用。集團IP地址分配滿足便于路由匯聚。集團IP地址分配滿足分類控制等。集團IP地址分配滿足未來公司網絡擴容的需要。5、網絡技術方案設計總體網絡采用基于樹型的雙星型結構，使之具有鏈路冗余特性；整體網絡規(guī)劃為核心及服務器群區(qū)域，內部骨干區(qū)域（匯聚鏈路），接入層上聯區(qū)域，客戶端接入區(qū)域；核心交換機位于集團總部機房，并為雙核心，使用雙主干網絡設計，保證主交換機網絡的容錯。在一臺交換機出現故障的時候保障網絡的正常運行，也不用手工切換和維護，保證網絡的可靠性。采用全交換硬件體系結構，可實現全線速的IP交換；網絡主干采用先進的千兆位以太交換技術，可最大限度地提高主干的數據傳輸速率。使用千兆網絡保證網絡交易速度與實時性，使用了FEC/GEC技術實現網絡帶寬的擴展，適應網絡不斷擴展的要求。根據需求概括，我們選擇的是D-Link企業(yè)級的DES-8503萬兆核心交換機為本次網路建設總部機房的核心交換；DES-8503萬兆核心路由交換機作為新一代大容量、高密度、高性能、模塊化核心路由交換機產品，其背板帶寬高達3.2Tbps，包轉發(fā)速率最大為952Mpps，具備二到四層線速交換能力。DES-8503萬兆路由交換機基于先進的模塊化理念進行設計，并采用了基于多處理器分布式處理機制和Crossbar空分交換結構的體系結構，關鍵模塊均采用1:1冗余備份?？商峁?0GE、GE、FE等各種豐富的接口模塊，并全面支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制等業(yè)務功能。整個系統所具備的高可靠性、高擴展性、強大的業(yè)務能力等特點可以滿足各種網絡核心層的建設需求。DES-8503（3個插槽）作為D-Link行業(yè)產品線核心交換機之一，可廣泛的應用在各行業(yè)的IP網核心、企業(yè)數據中心、IP城域網核心和匯聚、校園網核心等場所，為用戶提供多種業(yè)務接入、路由交換一體化的安全融合網絡解決方案。ES-8503萬兆核心路由交換機具有一下的優(yōu)點：先進的系統架構：采用了分布式、模塊化設計理念，并采用了基于多處理器分布式處理機制和Crossbar空分交換結構的體系結構。這保證了系統優(yōu)異的轉發(fā)性能、強大的業(yè)務能力和高度的可擴展性。高端口密度和線速路由及交換：具有豐富的接口類型，提供10GE、GE、FE等接口?？梢哉嬲龑崿F高端口密度和線速路由及交換。 大容量、高性能：支持高達952Mpps的路由包轉發(fā)能力，并支持512K條第三層路由信息、512K第二層的MAC地址以及4096組VLAN、8K條安全和訪問控制策略，保證了數據線速轉發(fā)的要求。 增強的業(yè)務功能：具有L2/L3/L4線速交換能力、具備QoS、MPLS、NAT、帶寬控制、組播等高級性能，是定位于網絡核心層、實現整體網絡增值的優(yōu)選設備。同時，提供基于硬件的流量分類和組播以及速率限制和先進的服務質量保證（QoS）機制，可為用戶開展增值業(yè)務提供強大的支持。強大的安全功能：支持ACL安全過濾機制，可提供基于用戶、地址、應用以及端口級的安全控制功能，并支持IPSec、MPLSVPN特性。同時，支持基于端口不同優(yōu)先級對列的和基于流的入口和出口帶寬限制、uRPF、防DDOS攻擊、SSH2.0安全管理、802.1x接入認證及透傳，VLANID與MAC地址、端口號、IP地址捆綁等安全功能。此外，系統還具備完善的抗病毒機制，可以為網絡運營提供全面的安全保證。 支持IPv6：全面實現了各種IPv6協議技術，包括IPv4和IPv6雙協議棧和基于手工配置隧道、自動配置隧道、6to4隧道等IPv4向IPv6的基本過渡技術。同時，實現了IPv6靜態(tài)路由，支持BGP4/BGP4+、RIPng、OSPFv3等動態(tài)路由協議。全面支持二、三層MPLSVPN：二層MPLSVPN支持Martini協議（VPWS）和VPLS、三層MPLSVPN采用RFC2547bis，具有良好的兼容性，可以與其他主流廠家的設備實現MPLSVPN業(yè)務的全面互通。 電信級可靠性:系統的主控單元、電源等等關鍵模塊均可以進行1:1方式的備份，無中斷保護系統（HitlessProtectionSystem-HPS）為DES-8500的高可靠性提供了最重要的保證，在配置冗余控制模塊的情況下，它能滿足最苛刻的可靠性要求。同時，DES-8500的VRRP、STP、LACP等功能為用戶提供了進一步的可靠性保證。 統一的網管功能：支持RFC1213SNMP（簡單網絡管理協議），帶內網管的形式可采用基于Telnet的配置管理（CLI命令行的形式）或基于SNMP的配置管理（圖形界面的形式），實現基于BroadDirector網管平臺的統一網管。接入層為樓層的工作組及交換機。核心層與接入層以千兆以太網技術相連，傳輸速率達1Gbps，采用全雙工通信可達2Gbps。其物理連接采用多模光纜相互連接，以提供物理層、鏈路層及IP層的冗余連接能力。核心交換：三層千兆交換機為整個網絡的核心，它對整個網絡的10性能，可靠性起決定性作用，它連接各個物理子網，治理網絡內信息交換（包括多媒體信息），控制VLAN間訪問，保證信息安全。因此，我們選用的中心交換機除了提供高速的網絡連接之外，還具有多種信息的治理和控制能力。全部的網絡設備均支持高效的Intranet多媒體和多點廣播技術、治理協議（CGMP）等，為多媒體和多點廣播應用如IPTV等提供端到端的帶寬保證。網絡采用分層結構，不僅邏輯結構清楚，治理方便；更重要的是大多數的數據流量（主要是同一部門或工作組內）的交換在次級節(jié)點分布交換機上直接處理，不經中心設備，節(jié)省主干帶寬，提高利用率。有一定的前瞻性，不僅滿足當前網上應用，也為將來更高性能的升級作好了預備：網絡具有良好的伸縮性，升級和擴展主要只集中在網絡中心，添加新的接口模塊，即可實現用戶和信息點的擴充；增加光纖連接即可大量提高主干帶寬；中心增配另一臺多層交換機，網絡結構就能連接成可靠性的、真正的中心交換機互備份和上聯線路冗余。配合熱備份路由協議和熱備份雙服務器主機系統，在整個系統內消除單點故障，提供高可用性的應用服務系統。匯聚交換及接入交換：二級交換機可以每個獨立構成一個VLAN，也可以多個二層交換機構成一個VLAN。VLAN之間的路由由中心交換機負責。不同的部門/單位可以通過配置不同的VLAN等方式來隔離廣播和信息流，不但可以提高網絡效率，而且可以增強網絡安全。而每臺交換機上的10/100自適應端口又可以與下層100M到10M交換式集線器相連接。心交換機與二層交換機以1000M全雙工的方式相連接。這樣的連接結構可保證網絡帶寬的最大限度的合理應用。集團由總部機房采取一處連接Internet中，設置防火墻等安全軟件，并對外網的遠程登錄設置權限及相應的安全認證！6、 網絡應用系統選擇根據集團用戶對操作系統的要求：操作系統要求選擇最新版本，所選操作系統需要提供方便的更新與升級方法，服務器操作系統需要能夠提供目錄服務功能，服務器及客戶機操作系統都需要支持TCP/IP協議，所選操作系統應能夠方便的實現用戶和權限的管理，秘選操作系統應能夠運行大多數應用軟件，例如辦公軟件、圖像處理軟件、CAD財等，我們選擇Linux，它具有極高的穩(wěn)定性、先天的安全性、軟件安裝的便利性、多任務、多使用者、免費或少許費用、有強大的網絡功能、在相關軟件的支持下，可實現WWW、FTP、DNS、DHCP、E-mail等服務。建立WWW服務器，實現Internet上瀏覽和查詢；建立FTP服務器，結合學校實際和需要逐步建立遠程FTP服務；建立Web服務器把圖文信息組織成分布式的超文本，并用信息指針指向存有相關信息的服務器，使用戶可以方便地訪問這些信息。當網上用戶增多時，網絡訪問很頻繁，通信量很大，隨機性強。作為全校的通訊樞紐，需要配備高性能的服務器設備，主要的需求是高性能的CPU.SMP體系結構、高速I/。通道和網絡通道。建立域名服務器DNS，各地名字服務器管理下屬主機和子域，并由高一級名字服務器監(jiān)管，但每個域至少需要配備一臺以上的名字服務器°DNS數據量不大，但訪問頻繁。建立數據庫服務器能有高效的處理速度、較大的內存和磁盤空間、快速的I/。系統和網絡界面，較高的可靠性，完善的系統備份功能和較好的可擴充性能。7、 網絡安全系統設計內網安全設計：訪問控制，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權用戶對服務器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內部用戶訪問權限設置、ARP病毒的防御、數據完整、審計記錄、防病毒入侵。外網安全設計：安裝軟件、硬件、防火墻，網絡防病毒軟件，客戶端防病毒軟件；利用代理服務器提供Internet與Intranet之間的防火墻功能;通過網管實時記錄網絡的運行狀態(tài)。設置遠程訪問身份認證，防止垃圾郵件等。8、網絡管理維護設計根據集團和服務器應用模式及全網范圍資源集中管理的原則，在集團總部機房建立中心管理機房，統一網絡中的交換設備的管理配置，虛網設計和配置，各種服務建立等。網管工作站對全網所有交換設備和路由設備進行統一管理、配置和維護；進行故障隔離、分析、統計、報警、設置；網管軟件采用圖形化界面，支持廣泛的網管平臺。網絡布線系統設計1、 布線系統總體結構設計總體七撞建筑，從總部機房用十二芯單模光纖與其他六撞建筑的設備間|BD|相連，每個設備間也設用十二芯多模光纖與每層的電信間|FD|，并用五類非屏蔽雙絞線從電信間與工作站相連接，集團園區(qū)網采用10M的光纖以太網接入到因特網服務提供商的網絡，然后接入到因特網中，使集團實現與外界的信息交換和網絡通信。集團統一由總部機房的一個出口訪問Internet，集團能夠控制網絡的安全。在服務器和核心交換機間：使用UTP電纜來將服務器連接到核心交換機。2、 工作區(qū)子系統設計工作區(qū)子系統由各個單元區(qū)域構成，是計算機、電話和信息插座的連接部分，包括連接跳線和