网络方案设计思路.doc

网络方案设计（ 假想一个大型企业 ）一. 分析客户需求1. 简要描述企业规模、经营业务2. 当前该企业网络现状分析：3. 企业网络需求分析：二、网络设计原则1. 实用性2. 先进性3. 可扩展性4. 高可用性三、方案设计1. 选用合适的网络技术 局域网：VLAN技术 广域网：DDN专线 SDH专线 MPLS-VPN ( 实现业务分离 ) 互连网：100 M光纤 联通、电信双线冗余2. 选用合适的网络设备 不同模块采用的产品要满足该模块的功能实现，并留下一定的扩展性，以满足今后网络扩容的需要。 核心层： CISCO 6509 2 台 汇聚层： CISCO 3560 / 3750 2 台 接入层： CISCO 2960 40台 广域网路由器：CISCO 3845 3台 防火墙： CISCO ASA 5520 或 天融信千兆防火墙 任一型号3台3. 网络拓扑设计 交换拓扑设计 路由拓扑设计4. 网络技术分析4.1全网IP地址规划郑州总部采用/16网段，划分子网，安排各个部门；西安和上海分支采用/16和/16网段，并划分子网。 中转路径: /24 /24 /24 . 广域网连接西安 广域网连接上海 园区网用户:/16 行政部 VLAN10 /24 人事部 VLAN20 /24财务部 VLAN30 /24企管部 VLAN40 /24厂房一区 VLAN50 /24厂房二区 VLAN60 /24营销中心 VLAN70 /24科研楼 VLAN80 /24服务器群组一 ( OA / 文件): VLAN 110 /24服务器群组二 ( 内部WWW / FTP): VLAN 120 /244.2交换技术分析 4.2.1 为优化网络性能，减少广播对网络的影响，及方便对合部门的安全管理，分别在核心层65-1和65-2上划分VLAN 50-120, 在接入层35-1和35-2上划分VLAN10,20,30,40P安排各个部门。具体划分如下：35-1和35-2行政部 VLAN10 人事部 VLAN20 财务部 VLAN30 企管部 VLAN40 65-1和65-2厂房一区 VLAN50 厂房二区 VLAN60 营销中心 VLAN70 科研楼 VLAN80 4.2.2 HSRP的实施: 简要阐述HSRP的作用：略 S35-1 作为VLAN10和VLAN20的主网关, 同时作为VLAN30和VLAN40的备用网关. S35-2 作为VLAN30和VLAN40的主网关, 同时作为VLAN10和VLAN20的备用网关. 4.2.3 STP的实施: 简要阐述STP的作用：略 S35-1 作为VLAN10和VLAN20的主根桥, 同时作为VLAN30和VLAN40的备用根桥.S35-2 作为VLAN30和VLAN40的主根桥, 同时作为VLAN10和VLAN20的备用根桥. 4.3 路由技术分析 总部有10个用户网段，9个中转路径，同时还连接两个分支机构，为优化网络性能，建议采用多区的OSPF协议。设计如下： 广域网区域为区域0, 总部为区域10, 两个分支机构分别为区域1和2. 在区域边界路由器R1、R2、R3上进行路由汇总 ： 总部: /16 分支一： /16 分支二： /16第四章 远程接入1.使用DDN专线实现总部与分支机构互连 随着网络的飞速发展，企业总部和各分支机构之间需要实现网络互联，DDN专线可以提供稳定、可靠、安全的数据传输，非常适合总部与分支间的互连。2.用IPSEC VPN实现总部与移动办公、家庭办公互连VPN特点 不限流量，不限网址，包月使用，费用低廉； 不需额外的设备或软件，无须缴纳初装费； 配置简单，使用方便，可自由访问互联网； 安全性高，接入灵活 第五章 方案优势/特点按照以上方案建设的该企业大型园区网络，全线使用CISCO产品，易管理，安全性高。1. 在园区网的整体规划中，采用了层次化的设计方案，既优化了网络的性能，又实现网络的可扩展性，方便了今后网络的扩容。2. 在园区网中合理地选择了交换产品，体现了性能卓越而又经济实用的原则；3. 在办公楼采用了HSRP和STP技术, 既提供了链路冗余, 又防止了环路; 4. 在核心层采用了以太网信道和HSRP技术, 同样有效核心层链路的高可用性;5. 在广域网方面，采用DDN专线与分支机构相连接，稳定可靠。对于家庭办公和移到办公用户采用IPSEC VPN接入公司总部，即安全可靠，又经济实用。6. 接在基本功能实现的基础上，还用到了cisco ASA5200防火墙、Cisco Works网管平台等技术和产品来保障网络的可靠性、安全性和易于管理性。第六章 培训 （ 后边内容根据自已客户名称自已修改）为保证三门峡水利枢纽局办公网络项目顺利实施和系统更好运行，让涉及本项目人员能够完全掌握系统的使用和维护方法，技术等，针对本次系统，提供全面、多样化和针对性的培训。培训目的系统管理人员是计算机及网络环境正常运行的守护神，培养自己的系统管理员对于用户来说是至关重要的。为了保证企业局域网改造项目能稳定、高效地运行，提供全方位的培训，企业建立一支技术过硬的应用及维护队伍。通过培训，使各级相关人员对系统有充分了解，熟悉系统的设计原理和工作方式，掌握系统的工作流程和操作方法。在系统出现比较小的故障时，能够进行正确的故障诊断甚至排除故障。培训方式向三门峡水利枢纽局系统管理相关人员提供多种方式的用户培训，充分满足各个层次培训对象的需求，根据合同，培训方式包括以下几类：1、初级培训：在当地进行系统应用软件的使用方法与日常系统软件维护的集中培训，使用户掌握系统基本操作和所需功能的使用方法。适用于所有培训对象。2、中级培训：在当地进行的集中培训，在用户掌握系统基本功能使用方法的前提下，为其提供高级功能的使用方法、多项功能组合使用、常见故障诊断与处理等中级水平的培训内容。3、高级培训：在非本地进行的关于系统维护和性能调整的高级培训。旨在使用户完全彻底掌握系统，为整个系统的长期稳定运行提供有力保证。第七章 售后服务与技术支持服务宗旨：为客户提供高度量、高效率的服务与客户保持良好持久的合作关系。服务范围：包括维护、咨询、诊断、优化等服务，为客户提供的热线咨询服务。响应速度：为异地客户提供2小时响应服务；为本地客户提供1小时响应服务。公司极其重视三门峡水利枢纽局办公网改造项目的建设，根据用户的要求和具体情况，提供一流的技术和服务，并根据用户的具体要求及实际情况，组织强大的技术力量，制定完善的售后服务实施计划，建立健全的售后服务制度，提供给客户一整套全面的服务项目，可以帮助客户最大限度的减少故障时间，达到系统连续健壮运行的目标。针对上述目标，公司向三门峡水利枢纽局办公网项目提供如下服务： 电话支持服务（7*24小时）没有次数限制：只要您对系统存在问题，请即刻拨打我们的服务热线电话.对于我们的工作人员，您的电话将享有最高的优先级，我们将优先处理您的电话求助，直至得到令您满意的结果；专业的技术工程师和完善的电话处理及升级程序能保证快速有效的支持。电话指导和远程诊断，普通的问题立即解决，有一定复杂度的问题，在15分钟内响应，必要时，由专业技术人员到现场解决。 远程拨入分析统计分析表明，IT行业的系统失败有不低于70%的情况属于软件和配置问题，而远程拨入方式将大大提高诊断速度与工作效率，节省维护费用。现在的网络发展也使这一手段成为可能。在用户允许的前提下，我们的工程师将通过安全VPN进行远程拨入分析，快速而直接地对系统进行诊断与故障排除。 现场支持服务当您的系统被确诊为硬件故障时，我们的现场工程师会带同相应的替换备件立即赶赴现场进行紧急维修。我们的承诺是：搭乘最近的车次（必要时专车前往），使您的系统故障时间被压缩到最小。在服务期限内，所有故障备件（物理损伤除外）的更换均是免费的，即已经包含在总体的服务费用之中，不再另行收取备件费用。 系统预防性定期维护服务公司认为“防患于未然胜于亡羊补牢”。公司系统维护及技术支持服务的核心不仅是“故障维修”，将风险和问题消灭在萌芽阶段的“系统预防性维护”更是公司服务的重要环节。 公司工程师定期对系统进行一次预防性维护。通过对系统的检查、维护、诊断，公司工程师能及时发现问题隐患；通过保养、工程改变、系统调整、安装PTF(修正性软件)等手段，使系统保持稳定高效地运行。不定期对用户的故障进行汇总，经分析总结后，整理成整体故障和解决建议及预防建议，并及时提供给用户。公司工程师对客户服务系统进行定期预防性维护内容简要说明如下： - 机房环境的检测 - 机器硬件的全面诊断 - 检查系统错误的历史记录 - 检查系统性能 - 为用户建立专门用户档案 - 将系统配置及网络环境记录在案 - 将每次服务内容记录在案并汇报 - 公司及用户有关服务信息、联系人员记录在案等第八章 产品介绍 （可参照网上最新的产品说明进行修改）Catalyst 6500系列Catalyst 6500系列具有许多业界领先的功能，获得了许多业界第一称号。它同时支持三代模块，这些模块不但能不断提升Catalyst 6500的用户价值，也同时体现出思科对于创新的关注。思科的新一代Catalyst 6500系列模块和交换引擎Supervisor Engine 720包含思科新开发的11种应用专用集成电路（ASIC），它不但扩展了思科在网络界的领先地位，还能提供无与伦比的投资保护。Cisco Catalyst 6500系列的优点Cisco Catalyst 6500系列不但能为企业和电信运营商提供市场领先的服务、性能、端口密度和可用性，还能提供无与伦比的投资保护能力，包括： 最长的网络正常运行时间-利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供13秒的状态故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。 全面的网络安全性-将切实可行的数千兆位级思科安全解决方案集成到现有网络中，包括入侵检测、防火墙、VPN和SSL。 可扩展性能-利用分布式转发体系结构提供高达400Mpps的转发性能。 能够适应未来发展并保护投资的体系结构-在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT基础设施利用率，增大投资回报，并降低总体拥有成本； 操作一致性-3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、Cisco IOS Software、Cisco Catalyst Operating System Software以及可以部署在网络任意地方的网络管理工具。 卓越的服务集成和灵活性-将安全和内容等高级服务与融合网络集成在一起，提供从10/100和10/100/1000以太网到万兆以太网，从DS0到OC-48的各种接口和密度，并能够在任何部署项目中端到端地执行。 在端到端Cisco Catalyst6500系列部署中的操作一致性 3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、软件和网络管理工具 可部署在网络的任意地方-从布线室到核心、数据中心和广域网边缘 为降低备件和培训成本，与Cisco 7xxx路由器系统使用相同的广域网端口适配器(PA) 用户可以自行选择所有控制引擎上支持的Cisco IOS Software和Cisco Catalyst Operating System，确保顺利地从Cisco Catalyst 5000系列、Cisco 7500系列移植到Cisco Catalyst 6500系列。 提高网络正常运行时间，提高网络弹性 提供数据包丢失保护，能够从网络故障中快速恢复 能够在冗余控制引擎间实现快速的13秒状态故障切换 提供可选的高性能Cisco Catalyst 6500系列Supervisor Engine 720、无源背板、多引擎的冗余；并可利用Cisco EtherChannel技术、IEEE 802.3ad链路汇聚、IEEE 802.1s/w和热备份路由器协议/虚拟路由器冗余协议（HSRP/VRRP）达到高可用性 集成式高性能的网络安全性和网络管理不需要部署外部设备，直接在6500机箱内部署集成式的千兆位的网络服务模块，以简化网络管理，降低网络的总体成本。这些网络服务模块包括： 数千兆位防火墙模块-提供接入保护 高性能入侵检测系统（IDS）模块-提供入侵检测保护 千兆位网络分析模块-提供可管理性更高的基础设施和全面的远程超级（RMON）支持 高性能SSL模块-提供安全的高性能电子商务流量终结 千兆位VPN和基于标准的IP Security（IPSec）模块-降低的互联网和内部专网的连接成本。 能感知网络内容和网络应用的第27层交换服务 集成式内容交换模块（CSM）能够为Cisco Catalyst 6500系列提供功能丰富的高性能的服务器和防火墙网络负载平衡连接，以提高网络基础设施的安全性、可管理性和强大控制 集成式数千兆位的SSL加速模块与CSM结合在一起，能提供高性能的电子商务解决方案 集成式数千兆位的防火墙和CSM能提供安全的高性能数据中心解决方案 基于网络的应用识别（NBAR）等软件特性可提供增强网络管理和QoS控制机制。 可扩展的性能 利用分布式Cisco Express Forwarding dCEF720平台提供业界最高的交换机性能-400Mpps 支持多种Cisco Express Forwarding（CEF）实现方式和交换矩阵速率。在布线室、核心、数据中心、广域网边缘部署以及电信运营商网络均可提供最优配置。 丰富的第3层网络服务 多协议第3层路由支持满足了传统的网络要求，并能够为企业网络提供平滑的过渡机制 硬件支持的从企业级到电信运营商级的大规模路由表 硬件支持IPv6，并提供高性能的IPv6服务 在硬件中提供MPLS及MPLS/VPN的支持，可应用在高速电信运营商的网络核心和城域以太网，提供丰富的MPLS服务。 增强的数据、语音和视频服务 在所有Cisco Catalyst 6500系列平台上提供集成式IP通信 提供10/100和10/100/1000接口模块，借助在接口模块内增加电源子卡就可让这些接口模块提供在线的电源，提供IEEE 802.3af的支持，保护今天的投资 提供高密度的T1/E1和FXS的VoIP语音网关接口，可与公共电话网（PSTN）、传统的电话、传真和PBX连接，提供VoIP服务。 支持高性能的IP组播视频和音频应用 提供一个统一管理的、经济的、可灵活扩展的网络。 最高的接口灵活性、可扩展性和端口密度 满足大型关键业务布线室、企业核心层和分布层需要的端口密度和接口类型 每台设备可提供576个支持语音的，具有在线电源的10/100/1000M铜线接口 提供192个GBIC千兆位以太网接口 率先推出业界第一个万兆以太网接口，和可提供高密度的OC-3 POS接口的通道化的OC-48接口。 通过系列FlexWAN模块上使用Cisco 7xxx系列端口适配器(PA)，Cisco Catalyst 6500可支持T1/E1OC-48 广域网接口，具有很高的投资保护能力 机箱从3插槽（6503）、6插槽（6506）、9插槽（6509）到13插槽（6513）。 高速广域网接口 提供与其它核心路由器兼容的高速广域网、ATM和SONET接口 单一平台实现广域网汇聚以及园区网和城域连接管理 最高投资保护 高度灵活的模块化体系结构，在同一机箱内支持多代模块互操作 所有引擎上都支持Cisco IOS Software和Cisco Catalyst Operating System Software 10/100Mbps和10/100/1000Mbps以太网模块可现场升级为随线供电的模块，可让用户在需要时升级实现IP电话技术和无线局域网连接 可在各种应用场合中添加的不断推出的网络服务模块 包括Cisco Catalyst 6500系列网络安全性、内容交换和语音功能 未来的模块将进一步提高性能、端口密度，并推出其它服务 适用于城域以太网广域网服务 802.1Q和802.1Q隧道（QinQ）提供点到点和点到多点以太网服务 EoMPLS的功能提供了VLAN的透传功能，大幅提升MPLS骨干网中的以太网服务扩展能力 通过在第2层和第3层QoS功能中提供速率限制和流量整形，可在城域以太网服务中提供分级的带宽服务 增强的生成树协议、IEEE 802.1s、IEEE 802.1w和Cisco EtherChannel IEEE 802.3ad链路汇聚功能提供了网络超高的可用性。Catalyst 3560-48交换机Catalyst 3560-48智能化以太网交换机产品概述Cisco Catalyst 3560系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列，可以提供高水平的可用性、可扩展性、安全性和控制能力，从而提高网络的运行效率。因为具有多种快速以太网和千兆以太网配置，因此Catalyst 3560系列既可以作为一个功能强大的接入层交换机，用于中型企业的布线室；也可以作为一个骨干网交换机，用于中型网络。客户有史以来第一次可以在整个网络中部署智能化的服务，例如先进的服务质量（QoS），速度限制，Cisco安全访问控制列表，多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。Catalyst 3560系列中内嵌了Cisco集群管理套件（CMS）软件，该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。Cisco CMS软件提供了新的配置向导，它可以大幅度简化整合式应用和网络级服务的部署。两个内置的千兆以太网端口可以支持多种GBIC收发器，包括Cisco GigaStack、GBIC、1000BaseT、1000BaseSX、1000BaseLX/LH 和 1000BaseZX GBIC。基于双GBIC的千兆以太网实施方案可以为客户提供高度的部署灵活性使客户可以在目前先部署一种堆栈和上行链路配置，然后可以在将来移植这种配置。高水平的堆栈弹性还可以通过下列技术实现：两个冗余千兆以太网上行链路，一条冗余的GagaStackTMGBIC 回送线路，用于高速上行链路和堆栈互联故障恢复的UplinkFast 和 CrossStack UplinkFast技术，用于上行链路负载均衡的Per VLAN生成树+（PVST+）。这样的千兆以太网灵活性使Catalyst 3550系列成为针对以太网优化的Cisco Catalyst 6500系列核心LAN交换机最理想的LAN边缘补充产品。3560-48中含有标准多层软件镜像（SMI）或者增强型多层软件镜像（EMI）。EMI提供了一组更加丰富的企业级功能，包括基于硬件的IP单播和多播路由，虚拟LAN（VLAN）间的路由，路由访问控制列表（RACL）和热备用路由器协议（HSRP）。在刚开始部署时，增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。Catalyst 2950交换机 Cisco Catalyst 2950Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，Catalyst 2950系列在网络或城域接入边缘实现了智能服务。Catalyst 2950 拥有48个10/100端口以及2个基于GBIC的千兆比特以太网端口。内置的千兆比特以太网端口适合插入多种GBIC收发器，包括Cisco GigaStack(tm) GBIC，1000Base SX,1000Base LX/LH和1000Base ZX GBIC。基于GBIC的双千兆比特以太网的实现为客户提供了巨大的配置灵活性，它允许客户实现当今典型的堆叠和上行链路配置，同时保留将来对这一配置进行修改的选项。 Catalyst 2950 交换机是多种网络应用中实现桌面连接的理想选择。Catalyst 2950交换机能够以较低的每端口价格向个人用户和服务器提供专用的10Mbps或100Mbps带宽。这三种桌面交换机都拥有基于GBIC的双千兆比特以太网端口，能够为千兆比特以太网上行链路或GigaStack GBIC堆叠解决方案提供一个极为灵活的、可扩展的解决方案。无论在桌面上还是在配线室里，这些交换机都很容易配置，并且能够得到Cisco IOS软件的支持。利用Cisco交换机集群多设备管理技术，对Catalyst交换机的管理能够变得更加方便。 主要特性和优点 杰出的性能： 48个10BaseT/100BaseTX自适应端口，每个端口可以为个人用户、服务器或工作组提供最高200Mbps的带宽，用来支持带宽密集应用。 两个内置的、基于GBIC的千兆比特以太网端口能够为千兆比特以太网骨干、千兆比特以太网服务器或交换机之间提供高达4Gbps的集合带宽。 10.8-Gbps交换网和高达8.0-Mpps的转发速度，能够保证数据包到每个10BaseT/100BaseTX端口和千兆比特以太网端口的高性能转发。 4-Mb共享内存结构通过去除头部信息阻塞现象、最大地减少数据包丢失以及降低多点传送和广播传输的拥挤现象，保证了最高的吞吐量。 所有端口采用全双工运行模式，10/100端口能够提供最高200Mbps的带宽，1000BaseX端口能够提供最高2Gbps的带宽。 每个10/100和千兆比特以太网端口上的双重优先转发队列，支持网络流量顺序的优先安排，并通过IEEE 802.1p协议支持数据、话音和视频之间的无缝集成。 使用快速以太通道和千兆比特以太通道技术实现的带宽集合提高了容错能力，为交换机、路由器、个体服务器之间的连接提供了400-Mbps到4-Gbps的集合带宽。 基于GBIC的千兆比特以太网端口使客户能够在1000BaseSX，1000BaseLX/LH，1000BaseZX或Cisco GigaStack堆叠GBIC之间进行选择，以满足自己的连接需要。 对端口广播扰动的控制能够防止故障终端通过广播扰动来降低整个系统的性能 安全和冗余 Cisco Uplink Fast技术确保了快速的故障恢复能力，提高了整个网络的稳定性和可靠性。 支持TACACS+身份鉴别，可以保证对交换机的集中控制，限制未授权用户修改配置。 基于MAC的端口级安全保护能力可以防止未授权终端访问交换机。 用户可以选择的地址学习模式简化了配置，增强了安全性。 控制台对访问的多级安全控制特性能够防止未被授权用户对交换机配置进行修改。 IEEE 802.1D生成树协议支持冗余骨干连接和无环网络，简化了网络配置，提高了容错能力。 支持GigaStack堆栈中顶部交换机和底部交换机之间的冗余回环线连接。 可选Cisco 600W冗余交流电源系统来为多达4个单元提供备份电源，这样提高了容错能力，增加了网络正常工作时间。 Cisco 3640路由器Cisco 3640路由器Cisco 3640产品是为了适应拨号分支机构和需要拨号访问公司Intranet及公共Internet的远程办公室用户数量的增加而设计的。 不论是ISDN，还是异步媒体Cisco3640的拨号访问服务器均能提供前所未有的灵活性。 Cisco 3640产品也支持同步串行通信并安全为Cisco IOS软件所支持。 模块化体系结构，可以根据需求灵活配置。可以通过网络模块在一个箱体内达到多功能。LAN网络模块：1和4端口10BaseT Ethernet、1端口100B