網(wǎng)絡(luò)工程設(shè)計方案A

依安縣象嶼公司網(wǎng)絡(luò)工程設(shè)計方案工程單位：依安縣象嶼公司工程名稱：公司綜合網(wǎng)絡(luò)設(shè)計人員：王成文完成時間：2018年6月14日目錄一、 網(wǎng)絡(luò)需求分析……51.1 工程項目概況……51.2 信息點分布………61.3 需求分析…………6二、方案設(shè)計原則……..8三、網(wǎng)絡(luò)方案設(shè)計…….103.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹………………103.2網(wǎng)絡(luò)拓?fù)鋱D………10骨干核心層網(wǎng)絡(luò)設(shè)計………11核心層網(wǎng)絡(luò)設(shè)計……………12匯聚層網(wǎng)絡(luò)設(shè)計……………13接入層網(wǎng)絡(luò)設(shè)計…………….13廣域網(wǎng)互聯(lián)設(shè)計…………….14冗余/負(fù)載均衡設(shè)計…………15線路冗余……15網(wǎng)絡(luò)設(shè)備冗余/負(fù)載均衡設(shè)計………………17服務(wù)器冗余設(shè)計…………….183.310IP地址規(guī)劃原則……………19四、網(wǎng)絡(luò)平安及管理機(jī)制……………….234.1 完善的平安機(jī)制……………….......234.2 解決平安威逼……..254.3 VPN(虛擬專用網(wǎng))………………….25五、網(wǎng)絡(luò)設(shè)備選型………….26六、方案的擴(kuò)展性考慮……27前言在信息化高速發(fā)展的今日，信息成為社會經(jīng)濟(jì)發(fā)展的核心因素，信息化已成為當(dāng)今世界潮流。而現(xiàn)在，信息化程度已成為衡量一個國家現(xiàn)代化水平和綜合國力強(qiáng)弱的重要標(biāo)記。隨著信息時代的到來，企業(yè)的生存和競爭環(huán)境發(fā)生了根本性的變更。對于大型企業(yè)而言，信息化無論是作為戰(zhàn)略手段還是戰(zhàn)術(shù)手段，在企業(yè)經(jīng)營中發(fā)揮著舉足輕重的作用。信息技術(shù)作為新技術(shù)革命的核心.不僅具有高增值性、成為最具經(jīng)濟(jì)活力的經(jīng)濟(jì)增長點,而且具有高滲透性,以極強(qiáng)的親和力和擴(kuò)散速度向經(jīng)濟(jì)各部門滲透，使其結(jié)構(gòu)和效益發(fā)生根本性變更。信息化已成為當(dāng)代經(jīng)濟(jì)發(fā)展與社會進(jìn)步的巨大推力，尤其是作為國民經(jīng)濟(jì)信息化基礎(chǔ)的企業(yè)信息化，當(dāng)前更顯得尤為重要，信息化建設(shè)已成為企業(yè)發(fā)展的必由之路。信息化是企業(yè)加快實現(xiàn)現(xiàn)代化的必定選擇!隨著近年來企業(yè)信息化建設(shè)的深化，企業(yè)的運作越來越融入計算機(jī)網(wǎng)絡(luò)，企業(yè)的溝通、應(yīng)用、財務(wù)、決策、會議等等數(shù)據(jù)流都在企業(yè)網(wǎng)絡(luò)上傳輸，構(gòu)建一個“平安牢靠、性能卓越、管理便利”的“高品質(zhì)”大型企業(yè)網(wǎng)絡(luò)已經(jīng)成為企業(yè)信息化建設(shè)勝利的關(guān)鍵基石。一、網(wǎng)絡(luò)需求分析1.1 工程項目概況依安縣象嶼公司為了加快信息化建設(shè)，將建設(shè)一個以辦公自動化、電子商務(wù)、業(yè)務(wù)綜合管理、多媒體視頻會議、遠(yuǎn)程通訊、信息發(fā)布及查詢?yōu)楹诵?，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)，將公司的各種辦公室、多媒體會議室、PC終端設(shè)備、應(yīng)用系統(tǒng)通過網(wǎng)絡(luò)連接起來，實現(xiàn)內(nèi)、外溝通的現(xiàn)代化計算機(jī)網(wǎng)絡(luò)系統(tǒng)。該網(wǎng)絡(luò)系統(tǒng)是支持辦公自動化、供應(yīng)鏈管理、ERP以及各應(yīng)用系統(tǒng)運行的基礎(chǔ)設(shè)施，為了確保這些關(guān)鍵應(yīng)用系統(tǒng)的正常運行、平安和發(fā)展，系統(tǒng)必需具備如下的特性：1、采納先進(jìn)的網(wǎng)絡(luò)通信技術(shù)完成公司企業(yè)網(wǎng)的建設(shè)，實現(xiàn)各分公司的信息化；2、在整個企業(yè)公司內(nèi)實現(xiàn)全部部門的辦公自動化，提高工作效率和管理服務(wù)水平；3、在整個企業(yè)公司內(nèi)實現(xiàn)資源共享、產(chǎn)品信息共享、實時新聞發(fā)布；4、在整個企業(yè)公司內(nèi)實現(xiàn)財務(wù)電算化；5、在整個企業(yè)公司內(nèi)實現(xiàn)集中式的供應(yīng)鏈管理系統(tǒng)和客戶服務(wù)關(guān)系管理系統(tǒng)；具體要求： ●WWW服務(wù) ●E-mail、FTP服務(wù) ●網(wǎng)上多媒體教學(xué)，能供應(yīng)視頻點播服務(wù) ●公司內(nèi)行政管理 ●上網(wǎng)服務(wù)信息點分布主要信息點集中在生產(chǎn)部、賬務(wù)部、網(wǎng)絡(luò)中心、職工宿舍等部門。具體分布如表1所示。地點信息點備注網(wǎng)絡(luò)中心40需保證速度、流量和牢靠性生產(chǎn)部150需保證速度、流量和牢靠性賬務(wù)部120需保證速度、流量和平安性職工宿舍1000需保證速度和流量銷售部100須要保證速度和牢靠性綜合設(shè)計30需保證速度和流量表1主要信息點分布1.3 需求分析為適應(yīng)信息化的發(fā)展，滿意日益增長的通訊需求和網(wǎng)絡(luò)的穩(wěn)定運行，今日的大型企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)提出更高的要求，主要表現(xiàn)在如下幾個方面：1）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，支持10GE或?qū)砥交^渡到10GE，更強(qiáng)大的性能，以滿意用戶日益增長的通訊需求。隨著計算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換實力提出前所未有的要求。另外，隨著千兆端口的成本持續(xù)下降，千兆到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。所以今日的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆到桌面千兆骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，它的核心層及骨干層必需具有萬兆級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的“高品質(zhì)”大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增長的須要。2）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更全面的牢靠性設(shè)計，以實現(xiàn)網(wǎng)絡(luò)通訊的實時暢通，保障企業(yè)生產(chǎn)運營的正常進(jìn)行?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在牢靠性設(shè)計方面主要應(yīng)從三方面考慮：第一是設(shè)備級牢靠性設(shè)，這要求購買設(shè)備的時候不能一味的只追求價格因素而忽視牢靠性；其次是業(yè)務(wù)的牢靠性設(shè)計，這里要留意網(wǎng)絡(luò)設(shè)備在故障倒換過程中是否對業(yè)務(wù)的正常運行有影響；再次是鏈路的牢靠性設(shè)計，以太網(wǎng)的鏈路平安來自于它的多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時要考慮網(wǎng)絡(luò)設(shè)備是否能夠供應(yīng)有效的鏈路自愈手段和快速重路由協(xié)議的支持。3）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)須要供應(yīng)完善的端到端QOS保障，以滿意企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載業(yè)務(wù)的不斷增多，單純的提高帶寬并不能夠有效的保障數(shù)據(jù)交換的暢通無阻，而必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能的識別應(yīng)用事務(wù)的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流(MIS、ERP、OA、備份數(shù)據(jù))，同時能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時延、優(yōu)先級和無堵塞的傳送，實現(xiàn)對業(yè)務(wù)的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡(luò)供應(yīng)“高品質(zhì)”服務(wù)的保障。4）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)供應(yīng)更完善的網(wǎng)絡(luò)平安解決方案，以阻擊病毒和黑客的攻擊，削減企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的平安措施主要是通過部署防火墻、IDS、殺毒軟件以及協(xié)作交換機(jī)或路由器的ACL來實現(xiàn)對于病毒和黑客攻擊的防衛(wèi)，但實踐證明這些被動的防衛(wèi)措施并不能有效的解決企業(yè)網(wǎng)絡(luò)的平安問題。5）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加困難的須要。二、方案設(shè)計原則本方案的設(shè)計將在追求性能優(yōu)越、經(jīng)濟(jì)好用的前提下，本著嚴(yán)謹(jǐn)、慎重的看法，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實施過程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計，力圖使該系統(tǒng)真正成為符合該中學(xué)的網(wǎng)絡(luò)系統(tǒng)。從技術(shù)措施角度來講，在網(wǎng)絡(luò)的設(shè)計和實現(xiàn)中，本方案嚴(yán)格遵守了以下原則：1、好用性和集成性系統(tǒng)的軟硬件設(shè)計、還是集成，均以適用為第一宗旨，在系統(tǒng)充分適應(yīng)企業(yè)信息化的需求的基礎(chǔ)上進(jìn)而再來考慮其他的性能。2、標(biāo)準(zhǔn)性和開往性只有支持標(biāo)準(zhǔn)性和開放性的系統(tǒng)，才能支持與其它開放型系統(tǒng)一起協(xié)同工作，在網(wǎng)絡(luò)中采納的硬件設(shè)備及軟件產(chǎn)品應(yīng)當(dāng)支持國際工作標(biāo)準(zhǔn)或事實上的標(biāo)準(zhǔn)，以便能和不同廠家的開放性產(chǎn)品在同一網(wǎng)絡(luò)中同時共存。3、先進(jìn)性和平安性系統(tǒng)全部的組成要素均應(yīng)充分地考慮其先進(jìn)性。不能一味地追求好用而忽視先進(jìn)，只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實際應(yīng)用要求緊密結(jié)合，才能獲得最大的系統(tǒng)性能和效益。4、成熟性和高牢靠性網(wǎng)絡(luò)硬件體系結(jié)構(gòu)在實際應(yīng)用中能經(jīng)過較長時間的考驗，在運行速度和性能上都應(yīng)是穩(wěn)定牢靠的、擁有完善的、好用的解決方案，并通到較多的第三方開發(fā)商和用戶在全球的廣泛支持和運用。同時，應(yīng)從長遠(yuǎn)的技術(shù)發(fā)展來選擇具有很好前景的、較為先進(jìn)的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)將來的發(fā)展須要。牢靠性也是衡量一個計算機(jī)應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。5、可維護(hù)性和可管理性整個信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備，應(yīng)是運用便利、操作簡潔易學(xué)，并便于維護(hù)。管理員能便利進(jìn)行網(wǎng)絡(luò)管理、維護(hù)甚至修復(fù)。在設(shè)計和實現(xiàn)時，必需充分考慮整個系統(tǒng)的便于維護(hù)性，以使系統(tǒng)萬一發(fā)生故障時能供應(yīng)有效手段剛好進(jìn)行復(fù)原，盡量削減損失。6、可擴(kuò)充性和兼容性網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)具有可擴(kuò)展性即網(wǎng)絡(luò)聯(lián)結(jié)必需在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與處理實力、物理接連、產(chǎn)品支持等方面具有擴(kuò)充與升級換代的可能，采納的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn)，以便不同的設(shè)備能便利敏捷地接連入網(wǎng)并滿意系統(tǒng)規(guī)模擴(kuò)充的要求。三、網(wǎng)絡(luò)方案設(shè)計3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹在此次象嶼公司大型企業(yè)網(wǎng)的設(shè)計中，我采納層次化模型來設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次化”模型，就是將困難的網(wǎng)絡(luò)設(shè)計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個困難的大問題變成很多簡潔的小問題。層次模型既能夠應(yīng)用于局域網(wǎng)的設(shè)計，也能夠應(yīng)用于廣域網(wǎng)的設(shè)計。3.2網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。圖1網(wǎng)絡(luò)拓?fù)鋱D3.3網(wǎng)絡(luò)設(shè)計骨干核心層網(wǎng)絡(luò)設(shè)計大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)主要完成整個企業(yè)公司內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計算。鑒于大型公司企業(yè)的用戶數(shù)量眾多，業(yè)務(wù)困難，QOS要求較高的特點，在本方案中采納H3CS7506-AC高密度多業(yè)務(wù)核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺。H3CS7506-AC系列交換機(jī)是具有運營商級容錯實力的高性能大型網(wǎng)絡(luò)核心交換機(jī)，可為高校和運營商供應(yīng)基于領(lǐng)先技術(shù)的卓越性能和牢靠性。H3CS7506-AC系列交換機(jī)專為發(fā)揮萬兆、千兆以太網(wǎng)潛在的強(qiáng)大交換實力而設(shè)計，超大容量的交換背板使得包括萬兆端口在內(nèi)的每個端口具備全線速交換實力，確保在巨大的網(wǎng)絡(luò)通信負(fù)載下始終能夠輕松實現(xiàn)線速的其次層和第三層交換，是城域網(wǎng)、數(shù)據(jù)中心、智能大廈及企業(yè)網(wǎng)絡(luò)骨干級核心路由交換機(jī)的志向選擇。該系列交換機(jī)的全部管理模塊、交換模塊以及電源模塊都可互換運用，而且管理模塊、電源模塊、風(fēng)扇等還可實現(xiàn)冗余備份，溫度傳感器可以隨時監(jiān)控各個部件的工作溫度，從而供應(yīng)運營商級的牢靠性。H3CS7506-AC交換機(jī)的一大特色是管理模塊均帶有業(yè)務(wù)接口，使得全部的插槽均為有效的業(yè)務(wù)插槽，從而大大提高了端口密度和插槽利用率。在骨干核心層中，我們采納三臺H3CS7506-AC核心路由交換機(jī)組成一個環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性，實現(xiàn)鏈路的平安保障，本方案骨干核心層環(huán)網(wǎng)中可以采納VRRP（虛擬路由器冗余協(xié)議）。對于各個業(yè)務(wù)VLAN可以指向這個虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用VRRP技術(shù)為核心交換機(jī)供應(yīng)一個牢靠的網(wǎng)關(guān)地址，以實現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余，一主兩備，共用一個虛擬的IP地址和MAC地址，通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)供應(yīng)了牢靠的保障。核心層網(wǎng)絡(luò)設(shè)大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各匯聚層設(shè)備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。傳統(tǒng)解決方案一般采納骨干路由器＋核心交換機(jī)來組建，但這種方式受限于交換機(jī)的性能，在供應(yīng)MPLSVPN的業(yè)務(wù)實力方面較弱，不適合大型企業(yè)網(wǎng)絡(luò)的建設(shè)需求，同時現(xiàn)在的大型企業(yè)辦公網(wǎng)絡(luò)具有城域網(wǎng)的特點，網(wǎng)絡(luò)發(fā)展具有網(wǎng)絡(luò)扁平化的發(fā)展方向，因此本方案骨干層網(wǎng)絡(luò)設(shè)備采納H3CS7506-AC核心路由交換機(jī)作為大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的園區(qū)核心路由交換設(shè)備，H3CS7506-AC具有強(qiáng)大的業(yè)務(wù)和路由處交換理實力，能供應(yīng)如MPLSVPN、QOS、策略路由、NAT、PPPoE/Web/802.1x/L2TP認(rèn)證等豐富業(yè)務(wù)實力，并可通過內(nèi)置防火墻模塊實現(xiàn)各種強(qiáng)大的網(wǎng)絡(luò)平安策略，可以充分滿意大型企業(yè)不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和支持多業(yè)務(wù)功能的要求，并能夠供應(yīng)完善的平安防衛(wèi)策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運行。3.3.3匯聚層網(wǎng)絡(luò)設(shè)計匯聚層網(wǎng)絡(luò)主要完成企業(yè)各園區(qū)內(nèi)辦公樓宇和相關(guān)單位的內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，在本方案中采納H3CS7502E交換機(jī)多層交換機(jī)作為匯聚層面的交換機(jī)。H3CS7502E交換機(jī)在供應(yīng)高密度千兆端口接入的同時還能夠滿意匯聚層智能高速處理的須要,并能夠加敏捷的部署在網(wǎng)絡(luò)邊緣的各個位置。能夠同時供應(yīng)多個高速專用堆疊端口和百兆、千兆光口/電口。這些交換機(jī)都具備較強(qiáng)的多業(yè)務(wù)供應(yīng)實力，可支持包括智能的CCL、MPLS、等業(yè)務(wù)。接入層網(wǎng)絡(luò)設(shè)計以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于平安限制和QOS供應(yīng)實力，而將網(wǎng)絡(luò)的平安防衛(wèi)措施和QOS保障依靠于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱機(jī)，使網(wǎng)絡(luò)沒有QOS服務(wù)質(zhì)量保障。H3CS1024智能寬帶接入交換機(jī)是能滿意高平安、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境智能交換機(jī)，具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點，同時還具有領(lǐng)先的平安特性，進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對邊緣接入層面的平安限制實力。用戶可以依據(jù)須要來訂制自身的平安策略并部署在此交換機(jī)上。該產(chǎn)品具備的端口帶寬限制、端口鏡像、QOS、端口平安、廣播風(fēng)暴抑制等功能可以很好的幫助用戶實現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)。除此之外，此交換機(jī)還具備多個專用堆疊接口，可以滿意樓層，樓宇內(nèi)多個交換機(jī)高性能匯聚的須要。3.3.5廣域網(wǎng)互聯(lián)設(shè)計針對于大型企業(yè)須要良好的出口網(wǎng)關(guān)設(shè)備，我們建議用戶選用H3CSecPathU200-CS-AC。H3CSecPathU200-CS-AC防火墻專為千兆位流量的網(wǎng)絡(luò)服務(wù)運營商，大型數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計,采納2U專用千兆平安平臺，完全模塊化可擴(kuò)展結(jié)構(gòu)，具有熱插拔特性的冗余部件為您供應(yīng)最大的不間斷運行時間。H3CSecPathU200-CS-AC防火墻內(nèi)置1個10/100/1000M自適應(yīng)以太網(wǎng)電口，具備6個SFP擴(kuò)展插槽，接口模塊類型支持單模、多模光纖，千兆電口，充分滿意您的定制需最多可擴(kuò)展至8個千兆接口。冗余/負(fù)載均衡設(shè)計冗余設(shè)計是網(wǎng)絡(luò)設(shè)計的重要部分，是保證網(wǎng)絡(luò)整體牢靠性能的重要手段。但是投資也將增加。部分企業(yè)園區(qū)網(wǎng)在早期的建設(shè)中由于成本的緣由并未在設(shè)計中考慮冗余問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余設(shè)計可以貫穿整個層次化結(jié)構(gòu)，每個冗余設(shè)計都有針對性，可以選擇其中一部分或幾部分應(yīng)用到網(wǎng)絡(luò)中以針對重要的應(yīng)用。萬一網(wǎng)絡(luò)中某條路徑失效時，冗余鏈路可以供應(yīng)另一條物理路徑?？刹杉{GEC鏈路聚合（IEEE802.3ad）實現(xiàn)端口級冗余，以克服某個端口或線路引起的故障。也可采納生成樹協(xié)議（IEEE802.1d）供應(yīng)設(shè)備級的冗余連接。此外，我們在設(shè)計中供應(yīng)不同物理方向的雙歸屬、雙路由愛護(hù)。線路冗余在企業(yè)網(wǎng)骨干核心層，企業(yè)網(wǎng)絡(luò)邊界拓?fù)浣Y(jié)構(gòu)由于采納了環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案，所以在線路冗余方面的要求較高，對于線路的冗余要求，我們采納10GE線路對三臺企業(yè)網(wǎng)骨干核心層設(shè)備進(jìn)行環(huán)行雙向備份，并運用業(yè)界領(lǐng)先的VRRP（虛擬路由器冗余協(xié)議）來對其作為冗余線路的協(xié)議保障。以GEC作為N*1000M主干鏈路，通過這個鏈路連接骨干網(wǎng)交換機(jī)，具備萬兆擴(kuò)展實力；接入交換機(jī)采納10/100M自適應(yīng)端口連接桌面系統(tǒng)，多千兆鏈路連接到匯聚層。GEC路具有鏈路聚合和冗余保證兩大特性，下面我們將對它們依次進(jìn)行介紹。鏈路聚合：可運用一條物理鏈路在不同品牌交換機(jī)之間、交換機(jī)和服務(wù)器間供應(yīng)聚合的高速通道，在不增加投資的狀況下，擴(kuò)大交換帶寬，使關(guān)鍵連接的傳輸效率更高冗余保證：鏈路聚合中，成員相互動態(tài)備份。當(dāng)某一鏈路中斷時，其它成員能夠快速接替其工作。與生成樹協(xié)議不同，鏈路聚合啟用備份的過程對聚合之外是不行見的，而且啟用備份過程只在聚合鏈路內(nèi)，與其它鏈路無關(guān)，切換可在數(shù)毫秒內(nèi)完成。綜合分析以上各主流方案的優(yōu)缺點，從性能與成本及拓展性等方面的綜合考慮動身，我們確定采納GEC骨干核心網(wǎng)絡(luò)10GE拓展的方式作為其鏈路選擇及備份選擇。在企業(yè)網(wǎng)匯聚層及接入層出于成本及性價比的考慮，我們確定采納千兆匯聚，萬兆拓展；百兆到桌面的鏈路選擇。3.3.8網(wǎng)絡(luò)設(shè)備冗余/負(fù)載均衡設(shè)計負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它供應(yīng)了一種廉價有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理實力，提高網(wǎng)絡(luò)的敏捷性和可用性。它主要完成以下任務(wù):解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近供應(yīng)，實現(xiàn)地理位置無關(guān)性;為用戶供應(yīng)更好的訪問質(zhì)量;提高服務(wù)器響應(yīng)速度;提高服務(wù)器及其他資源的利用效率;避開了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點失效。在此方案中，在網(wǎng)絡(luò)的每個關(guān)鍵結(jié)點，我們在設(shè)計時都做到了對其有效的冗余備份和負(fù)載均衡。在網(wǎng)絡(luò)的骨干核心層上。我們采納了三臺銳捷網(wǎng)絡(luò)的RG-S8610高密度多業(yè)務(wù)IPV6核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺，在對骨干核心層供應(yīng)足夠的網(wǎng)絡(luò)接點和接入需求的同時最大限度的為網(wǎng)絡(luò)供應(yīng)了有效的冗余保障和負(fù)載均衡。在核心層的每個區(qū)塊，我們都采納了兩臺銳捷網(wǎng)絡(luò)的RG-S8606度多業(yè)務(wù)IPV6核心路由交換機(jī)做到冗余與負(fù)載均衡。在匯聚層的每個區(qū)塊，我采納了兩臺銳捷網(wǎng)絡(luò)的RG-S5750交換機(jī)多層交換機(jī)做到冗余與負(fù)載均衡。在本方案的設(shè)計中，出現(xiàn)了兩個以上的交換區(qū)塊和須要供應(yīng)冗余連接的時候，我們采納了雙核心配置。如下圖，我們給出了從接入層到匯聚層再到核心層的雙核心配置。雙核心拓?fù)浣Y(jié)構(gòu)供應(yīng)了兩條等代價路徑和雙倍的帶寬。每個核心交換機(jī)連接著數(shù)目相同的子網(wǎng)到第三層匯聚設(shè)備上。每個交換區(qū)塊都有冗余的連接到核心交換機(jī)上，因此形成兩條不同的，但是等代價的連接。假如一條核心設(shè)備發(fā)生故障，還是能夠收斂，因為匯聚層設(shè)備的路由選擇表中還有另一條到核心設(shè)備的路由。第3層路由選擇協(xié)議在核心中起鏈路選擇的作用，VRRP供應(yīng)快速錯誤復(fù)原。核心層不須要STP，因為在核心交換機(jī)間沒有冗余的第2層連接。3.3.9服務(wù)器冗余設(shè)計企業(yè)網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲服務(wù)器，SQLServer服務(wù)器，其存儲的數(shù)據(jù)對于企業(yè)來說致關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對企業(yè)的企業(yè)的重要性毋庸質(zhì)疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)確定了其較大的被訪問量，這個對服務(wù)器提出了穩(wěn)定和快速的要求。假如宕機(jī),后果是技術(shù)是保障計算機(jī)系統(tǒng)的牢靠性是重中之重。為此，我們采納的是雙機(jī)熱備技術(shù)，此技術(shù)能夠有效的滿意核心服務(wù)器高效，穩(wěn)定的高要求。而且相對于其它成本技術(shù)來說，這是比較有經(jīng)濟(jì)價成效的技術(shù)。Server1Server2服務(wù)器雙機(jī)熱備技術(shù)具體技術(shù)實現(xiàn)：每個核心服務(wù)器均具有兩個以太網(wǎng)接口（可以通過安裝雙網(wǎng)卡實現(xiàn)），在此基礎(chǔ)上，以上圖為例，DB服務(wù)器A與DB服務(wù)器B先分別利用自己的一個以太網(wǎng)接口實現(xiàn)兩個服務(wù)器之間的直連，每個服務(wù)器另外的一個接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實現(xiàn)互連，以達(dá)到雙機(jī)熱備的目的。因此增加服務(wù)器的穩(wěn)定性與高效性。本網(wǎng)絡(luò)中應(yīng)具有多臺服務(wù)器設(shè)備，包括DBSERVER數(shù)據(jù)庫服務(wù)器，WEB,CATALOG等應(yīng)用服務(wù)器，NEWS,MAIL等通訊服務(wù)器及多媒體服務(wù)器等。3.310IP地址規(guī)劃原則IP地址構(gòu)成了整個Internet的基礎(chǔ)，IP地址資源是整個Internet的基本核心資源，IP地址資源的合理安排和有效利用是整個Internet發(fā)展過程中持續(xù)有效的一個極具重量的探討課題。我們在對企業(yè)園區(qū)網(wǎng)IP地址編址設(shè)計和安排利用時，遵循了以下幾個原則：1）、自治：整個園區(qū)網(wǎng)絡(luò)網(wǎng)絡(luò)被劃分成幾個大的自治區(qū)域，每個大自治區(qū)域中又被劃分成幾個小的自治區(qū)域。2）、有序：我們依據(jù)自治原則將網(wǎng)絡(luò)進(jìn)行邏輯劃分后，就依據(jù)地域、設(shè)備分布及區(qū)域內(nèi)用戶數(shù)量來進(jìn)行子網(wǎng)規(guī)劃。同時，我們將IP地址規(guī)劃和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。在進(jìn)行地址安排時，為了提高地址安排效率和地址利用率，我們在編址設(shè)計時依據(jù)了肯定的依次進(jìn)行。選擇的依次是自上而下的依次，即采納了業(yè)界領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計（Top-DownNetworkDesign）方法。3）、可持續(xù)性：考慮到園區(qū)內(nèi)網(wǎng)絡(luò)用戶數(shù)將持續(xù)高速增長，網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來越多，這使得網(wǎng)絡(luò)須要頻頻進(jìn)行技術(shù)升級、改造和擴(kuò)容。4）、可聚合：在路由表急劇膨脹狀況下，可聚合原則是網(wǎng)絡(luò)地址安排時所必需遵守的最高原則，可聚合原則要求在進(jìn)行地址規(guī)劃時，應(yīng)供應(yīng)足夠的路由冗余功能。5）、盡量節(jié)約IPv4地址：由于IPv4地址越來越少，所以對于IPv4地址的運用須要特別節(jié)約。IPv4地址的節(jié)約可以通過動態(tài)編址技術(shù)和NAT技術(shù)等來實現(xiàn)。6）、閑置IP地址回收利用：對于已安排出去的靜態(tài)IP地址進(jìn)行定期追蹤管理，對長時間閑置的IP地址可經(jīng)過確認(rèn)后回收重復(fù)利用。此次方案的設(shè)計，我們確定采納一個內(nèi)部私有A類地址（）對企業(yè)園區(qū)的網(wǎng)絡(luò)設(shè)備編址。由于從方案本身的網(wǎng)絡(luò)拓?fù)鋱D采納了典型的層次化設(shè)計，所以對IP地址的編址設(shè)計也應(yīng)實行層次化的設(shè)計來完成，并采納VLSM來拓展有限的IP地址。網(wǎng)段描述所需的IP地址數(shù)骨干核心層鏈路5（2個用于拓展備份）公司總部1000生產(chǎn)部500客戶部500機(jī)械廠1000大型機(jī)/服務(wù)器群500企業(yè)VOIP語音系統(tǒng)2000VLSM是可變長子網(wǎng)掩碼的英文縮寫，它供應(yīng)了一個主類（A類、B類、C類）網(wǎng)絡(luò)內(nèi)包含多個子網(wǎng)掩碼的實力，可以對一個子網(wǎng)再進(jìn)行子網(wǎng)劃分。VLSM的優(yōu)點1、對IP地址更為有效的運用2、應(yīng)用路由歸納的實力更強(qiáng)所以我們實行VLSM對網(wǎng)絡(luò)進(jìn)行編址，以達(dá)到節(jié)約IP地址，能夠運用路由匯總的目的。首先采納一個A類網(wǎng)址對園區(qū)網(wǎng)主體結(jié)構(gòu)進(jìn)行編址，至上而下的設(shè)計思路有利于設(shè)計的最終成型和網(wǎng)絡(luò)的健壯性。其次，在語音電話系統(tǒng)中，每一個IP電話須要一個IP地址以及諸如子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等的相關(guān)信息。事實上，這意味著一個組織須要指派兩倍于IP電話的IP地址給當(dāng)前全部的pc用戶，這個由DHCP供應(yīng)。我們運用私有遍址的IP電話作為語音電話遍址方案。私有遍址IP電話：IP電話運用網(wǎng)絡(luò)———————————IP電話+PC在同一交換機(jī)端口上—————————－最終經(jīng)過我的計算，將各部門IP地址安排如下表：IP地址網(wǎng)段VLAN編號默認(rèn)網(wǎng)關(guān)財務(wù)部10生產(chǎn)部20銷售部30行政部40用戶地址與VLAN劃分四、網(wǎng)絡(luò)平安及管理機(jī)制4.1 完善的平安機(jī)制企業(yè)樓宇交換機(jī)通過內(nèi)在的多種平安機(jī)制可有效防止和限制病毒傳播和網(wǎng)絡(luò)流量攻擊，限制非法用戶運用網(wǎng)絡(luò)，保證合法用戶合理化運用網(wǎng)絡(luò)，如端口平安、端口隔離、ACL、端口ARP報文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿意企業(yè)網(wǎng)加強(qiáng)對訪問者進(jìn)行限制、限制非授權(quán)用戶通信的需求；在匯聚、核心交換設(shè)備設(shè)置由硬件實現(xiàn)ACL，對病毒進(jìn)行過濾，我們選用的匯聚、核心交換設(shè)備都支持SPOH，所以在運用ACL時將不會影響整個交換機(jī)的性能。1．硬件實現(xiàn)端口與MAC地址和用戶IP地址的綁定，嚴(yán)格限定端口上用戶接入。2．通過PrivateVLAN可以在交換機(jī)的同一VLAN中供應(yīng)端口之間的通訊或平安隔離，確保數(shù)據(jù)流進(jìn)入有效端口，而不會被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題，同時又無需利用平安規(guī)則資源即能達(dá)到隔離不同用戶以及不同組用戶之間通訊的功能，充分愛護(hù)用戶隱私。3．可實現(xiàn)用戶賬號、MAC地址、IP地址、交換機(jī)IP、交換機(jī)端口等六大元素之間的敏捷隨意綁定，有效確認(rèn)用戶合法性和唯一性。4．支持業(yè)界特有的IGMP源端口檢查，有效杜絕非法組播源播放和大量占用大量網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)平安性。5．供應(yīng)極為有效的PortBlocking功能，避開端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾，有效減輕端口負(fù)載負(fù)擔(dān)，提高端口帶寬，愛護(hù)用戶PC更高效平安地運行。6．基于源IP地址限制的Telnet和Web設(shè)備訪問限制，增加了設(shè)備網(wǎng)管的平安性，避開黑客惡意攻擊和限制設(shè)備。7．供應(yīng)加密傳輸SecureShell（SSH），保證管理設(shè)備信息的平安性，防止黑客攻擊和限制設(shè)備。8．可敏捷限制2-7層數(shù)據(jù)報文，使得任何一個用戶PC上的任何一種應(yīng)用報文通過網(wǎng)絡(luò)都能得到有效限制，充分保障了網(wǎng)絡(luò)的平安和合理化運用。4.2 解決平安威逼在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今日，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入限制，病毒報文識別到主動抑制的一系列平安限制手段，才能有效的保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行。1.防沖擊波病毒隨著蠕蟲病毒等的攻擊手段呈多元化發(fā)展，單一的防護(hù)措施已經(jīng)無能為力保衛(wèi)校內(nèi)網(wǎng)絡(luò)平安。IDS只能依據(jù)預(yù)先定義的策略進(jìn)行檢測，對新的攻擊方式無能為力，或者當(dāng)IDS偵測到某終端用戶感染病毒后，只能將相關(guān)信息形成報告通知網(wǎng)管人員，等待處理。然而，此時受感染的用戶可能已經(jīng)通過網(wǎng)絡(luò)散播到了校內(nèi)網(wǎng)絡(luò)的各