大型公司网络规划方案方案

1、旭日集团股份公司网络系统集成方案、前言隹 界团4宗 合信息系统建设目标-3用户具体需求-4隹团”宗 合信息系统建设原则4 TOC o 1-5 h z 先进性 .5标准性 .5兼容性 .5可升级和可扩展性 .5安全性 .6可靠性 .6易操作性 .7可管理性. .7需求分.9综.8合布线系统的结系统总体设合布线方案析构计10述.系统结构设11项.在施工中注12 TOC o 1-5 h z 13网络设计需求 .13总体方案设计策略 14旭日集团园区结构示意图 15网络设备选型 15选型原则 .15核心层交换机 .17汇聚层交换机 .18接入层交换机 .19主干网络技术选型 2025路由交换技术部分设

2、计 TOC o 1-5 h z 网络安全设计 35四.网络系统设计 37系统设计总体需求 .37系统设计原则 .38系统设计方案 .39系统构架设计 .39系统管理设计 .41系统安全设计 .42五Windows 服 务 器 解 决 方 案45服务器 45FTP服务器角色：配置文件服务器 60Exchange Server 2003产品概述 .71六 工 程 实 施 与 项 目 测 试87七项目费用86八技术支持服务 88 售后服务内容 .88保证售后服务质量的措施 -89一.前言“功欲善其事，必先利其器”，旭日集团深刻认识到业务要发展、必须提高企业内部核心竞争力、 而建立一个方便快捷安全的通

3、信 网络综合信息支撑系统，已迫在眉睫，旭日公司作为一个致力于企业 信息化和系统集成的高科技公司非常荣幸参与旭日集团综合网络信息系统的建设，希望能尽自己的全力来施展我们的专长来实现旭日集 团网络信息系统的建设。.集团综合信息系统建设目标旭日集团信息系统主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向集团的日 常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。本期项目的目标是建立如下系统:.构造一个既能覆盖本地又能与外界进行网络互通、 共享信息、 展示企业的计算机企业网。.选用技术先进、具有容错能力的网络产品，在投资和条件允 许的情况下也可采用

4、结构容错的方法.完全符合开放性规范，将业界优秀的产品集成于该综合网络 平台之中；.具有较好的可扩展性，为今后的网络扩容作好准备.采用OA办公，做到集数据、图像、声音三位一体，提高企 业管理效率、降低企业信息传递成本.整个公司计划采用10M光纤接入到运营商提供的Internet 。 集团统一一个出口，便于控制网络安全.设备选型上必须在技术上具有先进性，通用性，且必须便于 管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投 资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的 售后服务具体用户需求：.网络设备配置配备网络

5、交换设备，实现楼宇间的千兆光纤连接，保证未来 各应用系统的实施以及满足集团各种计算机应用系统的大信息量的 传输。.网管系统设计提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。.内、外网隔离过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外 网隔离。集团综合信息系统建设原则多业务网络系统方案以实现以上功能为基本要求，在设计上力 求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实 用性。具体来讲，其设计遵循以下原则：先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用 目前国际上较先进、较成熟的技术，符合国际标准和规范；标准性所采用技

6、术的标准化，可以保证网络发展的一致性，增强网络 的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不 同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须 支持国际标准的网络接口和协议，以提供高度的开放性。全面支持IEEE工业标准：，；支持路由协议：IP 的 RIP V1/2 , OSPF BGP-4;信令标准：，RTP/CRTP.支持：IPsec、L2TR GRE MPLS-VP觑范。支持多址广播协议：IGMP DVMRP PIM-DMPIM-SM网络管理协议：SNMP RMONRMON2兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改 造的分配网有良好的兼容，在

7、采用先进技术的前提下，最大可能地保 护已有投资，并能在已有的网络上扩展多种业务。可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须 可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后， 随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能 作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种 类接口、技术的选择，以方便未来更灵活的扩展。安全性网络的安全性对网络设计是非常重要的， 合理的网络安全控制， 可以使应用环境中的信息资源得到有效的保护可以有效的控制网络 的访问，灵活的实施网络的安全控制策略。在企业园区网络中，关键 应用服务器、核心网络设备，只

8、有系统管理人员才有操作、控制的权 力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、 基于Mac地址、 基于IP地址的包过滤控制功能。在大规模园区网络的设计上，划分 虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力， 使网络可以任意 连接，又可以从第二层、第三层控制网络的访问。可管理性可靠性本系统是7x24小时连续运行系统，从硬件和软件两方面来保证 系统的高可靠性。硬件可靠性系统的主要部件采用冗余结构，如：传输方式的备份，

9、提供备 份组网结构；主要的计算机设备（如数据库服务器），采用CLUSTER 技术，支持双机或多机高可用结构；配备不间断电源等。软件可靠性充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、 错误记录及预警能力并给用户以提示； 并具有进程监控管理功能，保 证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时，不影响网络的整体结构以及整体性 能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制；易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求可管理性

10、络的可管理性要求：网络中的任何设备均可以通过网络管理平 台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行 监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置， 网络拓扑结构表示，网络设备 的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费 等。网管软件的应用可以提高网络管理的效率， 减轻网络管理人员的 负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管 理是通过制定统一的策略，由管理策略服务器进行全局控制的。 基于 Web勺网管界面，是网管软件的发展趋势，灵活的操作方式简

11、化了管 理人员的工作。在设计园区网的设备选择上，要求网络设备支持标准 的网络管理协议SNMP同时支持RMON/RMON协议，核心设备要求 支持RAP （远程分析端口）协议，实施充分的网络管理功能。在设计 园区网的原则上应该要求设备的可管理性， 同时先进的网管软件可以 支持网络维护、监控、配置等功能。二.综合布线方案、需求分析集团公司园区内包括集团总部办公楼和分部及分公司等七幢建 筑，武汉总部和武汉分公司它们之间的距离已超过双绞线布线的技术 要求，因此采用光纤进行布线。由于涉及的建筑物较多，规模较大，应此将其定位为智能化园区 综合布线系统。园区的综合布线系统是一个高标准的布线系统，水平系统和工作

12、区采用超五类元件，主干采用光纤，构成主干千兆以太网。不仅能满 足现有数据、语音、图像等信息传输的要求，也为今后的发展奠定基 础。整个园区一共有5000左右个信息点，即武汉总部有 3200左右， 每分公司各有300左右个。针对以上要求，对计算机内网综合布线系 统提出自己的解决方案。建筑群间的光缆采用上海的 OJT多模光纤系统，大楼内的布线 采用AVAYA勺超五类双绞线结构化布线系统。、综合布线系统的结构综合布线系统部分结构如下图所示：根据综合布线国际标准ISO 11801的定义，综合布线系统可由以 下子系统组成：工作区子系统(Work Area Subsystem)工作区子系统由信息插座延伸至用

13、户终端设备的布线组成，包括信息插座和相应的连接软线。用户能方便地把计算机、电话、传真等 不同的终端设备接入大楼的通信网络系统。水平布线子系统(Horizontal Subsystem)水平布线子系统由楼层配线间延伸至信息插座的布线组成，通常可采用超五类双绞线，我们这里采用的是超五类双绞线， 也可采用光 缆以满足高传输带宽应用或长传输距离的要求。水平布线提供大楼网 络通信系统到用户终端设备的信息传输。建筑物主干子系统(Building Backbone Subsystem)建筑物主干子系统由大楼配线间延伸至各楼层配线间的布线组成。该子系统亦包括各配线间的配线架，跳接线等。采用的线缆是超 五类双绞

14、线。大楼配线间和楼层配线间通常也用于放置网络设备和其 他有源设备。建筑物主干子系统提供大楼内通信网络信息交换的主干 通道。建筑群布线子系统(Campus Cabling Subsystem)建筑群布线子系统由建筑群配线间延伸至各大楼配线间的布线组成。采用的线缆为光纤，。建筑群配线间通常也用于放置电信接入 设备和广域网连接设备。建筑群布线子系统提供了各建筑物间通信网 络连接和信息交换的通道。系统总体设计以上就是布线的国际标准，因此采用高速大容量光纤主干建设集团公司的园区网络主干为了满足集团公司将来灵活组网的需要，在集团总部办公楼、分公司等建筑物内各设有配线间。整个园区设备间机房安置在总部大楼 的

15、10楼，各分公司的设备间机放安置在各分公司的一楼。为充分满足集团公司内部及对外高速高容量信息通信的需要，系 统采用高速高容量的多模光纤作为园区的网络主干建筑物内采用先进的超五类非屏蔽布线系统根据技术规范，选用高性能 UTP非屏蔽系统，传输参数可达到200MHz 通道传输性能在 200 MHz 时 ACR3dB250MHz 时 ACR dB, 通道传输性能不低于招标技术要求所附性能参数表的要求。因此，本方案建议采用AVAYA五类UTP产品，其传输带宽可达200MHz以 上，可靠支持新的千兆以太网、ATM及高达550MHz勺宽带语音应用， 为今后新的高速网络应用留有充足的性能余量。系统结构设计描述

16、整个结构化布线系统由工作区子系统、水平干线子系统、管理子 系统、主干子系统、设备间子系统及建筑群子系统等六个子系统构成， 方案设计时充分考虑了高度的可靠性、先进性、灵活性、可扩充性、 易管理性及性能价格比高等优点。布线系统结构如下：、在施工中注意事项仔细查阅其它专业的施工图纸在施工前，必须仔细查阅其他专业的施工图纸， 尤其是土建结构 施工图、水、电、通风施工图。因为水平路由的长短将会对设计的等 级有一定的影响，而土建结构施工图、水、电、通风施工图对水平布 线子系统管线路由的走向影响最大。 在审图时，建议用比例尺在图纸 上认真测量，为水平布线子系统找出最合理的路由走向， 这样既节省 水平线缆的长

17、度，又避免与其他专业管路发生冲突，由于电气专业管 线不可避免的要与其他各专业管路交叉重叠， 发生矛盾的现象，给土 建专业带来地面超高等问题。综合布线一般由专业公司负责安装调 试，施工方仅做管路预埋、线缆敷设，如果在施工中敷衍了事，不遵 循“管线路由最短”的原则，就会增加水平布线子系统管线的长度， 不利于提高综合布线系统的通信能力、 不利于通信系统的稳定性、不 利于通信传输速率的提高。建议在施工中应满足设计裕量。因为在实际施工中，不可能使水平线缆一直保持直线路由， 所以 实际安装中，需要的线缆总会比图纸上统计的量大的多， 这就需要电 气工程师考虑一定的裕量。裕量的计算方法是将一张平面图纸上离配

18、线架最远的信息点的线缆图纸长度（图纸上用比例尺量出的长度）， 和最近的信息点的线缆图纸长度相加，除以 2,得出得数值为信息点 的平均图纸长度，取平均长度的30%乍为裕量。否则就会造成不必要 的材料浪费或不足。采用质量可靠的管路和线缆，以避免日后的麻烦在大多数设计中，水平布线子系统是被设计在吊顶、墙体或底板 内的，所以可以认为水平子系统是不可更改、 永久的系统。在安装中， 应尽量使用性能优良、质量可靠的管路和线缆，保证用户日后不破坏 建筑结构。严格遵守综合布线系统规范良好的安装质量，可以使水平布线子系统在其工作周期内， 始终 保证良好工作状态和稳定的工作性能，尤其对于高性能的通信线缆和光纤，安装

19、质量的好坏对系统的开通影响尤其显著， 因此在安装线缆 中，要严格遵守EIA/TIA569规范标准。选材标准必须一致综合布线系统所选用的线缆、信息插座、跳线、连接线等部件，必须 与选择的类型一致，如选用超 5类标准，则线缆、信息插座、跳线、 连接线等部件必须为超5类；如系统采用屏蔽措施，则系统选用的所 有部件均为屏蔽部件，只有这样才能保证系统屏蔽效果，达到整个系 统的设计性能指标。三.网络设计方案网络设计需求六个分公司有四个分公司在武汉旭日工业园内各的建筑物里面，公司为38层的主楼，六个分公司都是 7层楼。第一分公司与主 楼相距50米，第二分公司与主楼相距也是50米，第三分公司与主楼 相距5公里

20、，第四分公司与主楼相距8公里，另两个分公司在北京和 上海各自有自己的办公楼。示意图见园区结构示意图）各子公司部门结构：这六个分公司都有各自的微机室（10人）， 财务部（20人），行政部（20人），生产部（100人），研发部（30人）, 后勤部（10人），业务部（80人），人力资源部（10人）总公司行政 划分也是如此，人数比例大致类似六个分公司体方案设计策略为了实现以上网络设计原则，使旭日集团园区网络具有良好的扩展性能力和灵活的便于管理，易于维护，在网络设计上采用了一下策略因特网接入和园区网分离。将因特网接入部分和园区网主体部分分离，每部分完成其 自身的功能，可以减少两者之间的相互影响。因特网接

21、入 的变化，只影响接入的变化，对园区网络没有影响；而园 区网络的变化对因特网接入部分影响较小。.这样可以增强 网络的扩展能力。保持网络层次结构清晰，便于管理和维 护。降低各个子公司之间的网络关联度。将各个子公司之间的网络的关联度降低到最低的策略，可 以最大限度的减少各个子公司网络之间的相互影响，便于 分别管理，或者在不同子公司扩展网络的新应用。统一标准，统一网络统一的IP应用标准（IP地址，路由协议），安全标准，接 入标准和网络管理平台，才能实现真正的统一管理，便于 集团的管理和网络策略的实施。旭日集团园区结构示意图网络设备选型3.4.1选型原则我们在网络系统设计时考虑如下特点:稳定可靠的网络

22、 只有运行稳定的网络才是可靠的网络， 而网络的 可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个 具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。高带宽 为了支持数据、话音、视像多媒体的传输能力，在技术上 要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量 数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑 未来的发展。为此应选用高带宽的先进技术。易扩展的网络 系统要有可扩展性和可升级性，随着业务的增长和 应用水平的提高，网络中的数据和信息流将按指数增长， 需要网络有 很好的可扩展性，并能随着技术的发展不断升级。易扩

23、展不仅仅指设 备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合 理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划 分，都应注意其扩展能力。 QoS（英文全称为Quality of Service, 中文名为“服务质量。）QoS是网络的一种安全机制，是用来解决网 络延迟和阻塞等问题的一种技术。保证 随着网 络中多媒体的应用越 来越多，这类应用对服务质量的要求较高，本网络系统应能保证 QoS 以支持这类应用。安全性网络系统应具有良好的安全性，由于网络连接园区内部所 有用户，安全管理十分重要。应支持 VLAN勺划分，

24、并能在VLA也间 进行第三层交换时进行有效的安全控制，以保证系统的安全性。容易控制管理 因为上网用户很多，如何管理好他们的通信，做到 既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网 络所面临的首要问题。符合IP发展趋势的网络 在当前任何一个提供服务的网络中，对 IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如 IpV6, IP QoS, IP Over SONET等等新兴的技术不断出现，旭日集团 园区网网络络必须跟紧IP发展的步伐，也就是必须选择处于IP发展 领导地位的网络厂商。核心层设备由于旭日集团园区网网络发展规模较大， 未来需提供多媒体办公、 办公自动化、图书资

25、料检索、远程互联、视频会议等复杂的网络应用， 为便于管理，我们建议选用的交换机作为网络组建交换设备。选用 1 台Cisco6509交换机作为主干交换机实现1000M做主干100M到桌面 的需求。（具体产品介绍见附录二）Cisco6509 系列交换机支持堆叠技术，将来扩充端口极为灵活方 便，不必改变原有网络的任何配置。通过增加堆叠交换机数量或做 Port Trunking（端口干路）两种办法均可扩充网络规模；并且实现了 本地化交换，改善了整个网络，使整个网络的性能发生了质的变化。 选用千兆光纤模块，与主干上联，实现主干的千兆传输。Cisco6509系列交换机支持网管和堆叠，可以很容易地根据需要，

26、通过堆叠扩充 端口数量。另外，Cisco6509系列交换机建立在一个功能强大且绝对无阻塞的32G交换背板上，可以保证堆叠中的所有端口间实现无阻塞 的线速交换。此外，Cisco6509交换机，在安装千兆光纤模块的同时，还可以安装百兆光纤模块，完全可以适应现在或将来的楼内光纤布线，灵活性很强。汇聚层设备考虑到集团要求没个子公司的网络自成体系，单个子公司的局域网广播数据流不能扩展到全网，单个子公司的网络故障不应该扩展到 全网，汇聚层交换机也应该采用具有路由功能的多层交换机，以达到网络隔离和分段的目的。子公司的主交换机负责子公司内部的网络数 据交换和旭日集团园区网的其他路由。汇聚层设备选择 CISCO

27、S司的Catalyst3550系列的交换机，每 个子公司的主交换机选择 WS-C3550-48-EMI交换机。Catalyst3550 交换机智能以太网交换机是一个新型的可堆叠的， 多层次级交换机系 列，可以提高水平的可用性，可扩展性，服务质量（QoS，安全性和 可改进网络运营的管理能力，从而提高网络的运行效率。Catalyst 3550 系列包括一系列快速以太网和千兆位以太网配 置，可以用全套千兆位接口转换器（GBIQ设备提供强大的千兆位以 太网连接；并将CISCO IOSa件中的一套第2-4层功能一一IP路由、 QoS限速、访问控制列表（ACL和多播服务扩展到边缘，堪称一款 适用于企业和城

28、域应用的强大选择。用户第一次可以在整个网络中部 署智能化的服务，例如先进的服务质量、速度限制、CISCO安全访问控制列表、多播管理和高性能的IP路由，并与引同时保持了传统LAN 交换的简便性。通过高性能的IP路由实现了网络的可扩展性，利用 基于硬件的IP路由和增强型多层软件镜像，Catalyst 3550系列交 换机可以在所有端口上提供高达 17Mpps的线速路由；基于CISCO快 速转发（CEF3的路由架构有助于提高可扩展性和性能，该体系结构 扶持极高速的搜索功能，并可确保必要的稳定性和可扩展性，以满足未来的需求。凭借内置CISCO1群管理套件，Catalyst 3550系列交 换机可简化网

29、络的部署。WS-C3550-48-EMI交换机，有48个10/100和2个基于GBIC的 1000BaseX端口，通过使用多层软件镜像（EMI）,可以提供路由和多 层交换功能，满足三层交换需求。可以满足服务器群的高密度，高速 率的接入需要，也可以满足因特网接入的需求。接入层交换机接入层交换机放置于楼层的设备间，用于终端用户的接入。应 该能够提供高密度的接入，对环境的适应能力强，运行稳定。楼层接入设备选择CISCO公司的WS-C2950-48-EI智能以太网交 换机。WS-C2950-48-EI交换机属于Catalyst2950 系列智能交换机。Catalyst2950系列是固定的配置，可堆叠的

30、独立设备系列，提供了 线速快速以太网和千兆位以太网连接。Catalyst2950系列是有款最 廉价的CISCO交换机产品系列，为中型网络和城域接入应用边缘提供 了智能服务，可以为局域网提供极佳的性能和功能。这些独立的。10/100自适应交换机能够提供增强的服务质量（QoS和组播管理特 性，所有的这些都由易用，基于 WEB CISCO#群管理套件（CMS, 和集成 CISCOIOS软件来进行管理。带有100BASE上行链路的Catalyst2950交换机，可为中等规模的公司和企业分支机构办公室提供理想的解决方案，以使他们能够拥有更高性能的千兆以太网主 干。WS-C2950-48-E交换机，有48

31、个10/100端口，2个基于千兆接 口转换器（GBI。的1000BaseX端口，能够为用户提供千兆的光纤骨 干和高密度度的接入端口；具有高达的背板带宽，能够提供的转发速 率；增强型的IOS,能够支持250个VLAN提供安全，QoS管理等 各方面的智能交换服务。主干网络技术选型在旭日集团园区网网络的建设中，主干网选择何种网络技术对网 络建设的成功与否起着决定性的作用。选择适合旭日集团园区网 网络需求特点的主流网络技术，不但能保证网络的高性能，还能 保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡， 保护用户的投资。根据招用户要求，我们主干网络可选用千兆以太网技术目前流行的局域网、城域网技术

32、主要包括以太网、快速以太网、ATM（异步传输模式）、FDDk CDDI千兆以太网等。在这些 技术中，千兆以太网以其在局域网领域中支持高带宽、多传输介 质、多种服务、保证QoS?特点正逐渐占据主流位置。现有网络技术介绍以太网（Ethernet ）以太网是应用最为广泛的网络技术，它基于 CSMA/C D冲突 检测媒体访问/载波侦听）机制，采用共享介质的方式实现计算机 之间的通讯，带宽为100MbpsCSMA/C豉术采用总线控制技术及退避算法。当一个站点要发送 时，首先需监听总线以决定介质上是否存在其它站的发送信号。 如果介质是空闲的，则可以发送，如果介质是繁忙的，则隔一次 间隔后重发，即采用某种退

33、避算法。早期的以太网由于它介质共享的特性，当网络中站点增加时， 网络的性能会迅速下降，另外缺乏对多种服务和 QoS的支持。随 着网络技术的发展，现在的以太网技术已经从共享技术发展到交 换技术，交换以太网的出现使传统的共享式以太网技术得到极大 改进。共享式局域网上的所有节点（如主机、工作站）共同分享 同一带宽，当网上两个任意节点交换数据时，其他节点只能等待。 交换以太网则利用网络交换机在不同网段之间建立多个独享连接 （就像电话交换机可同时为众多的用户建立对话通道一样），采用按目的地址的定向传输，为每个单独的网段提供专用的频带（即带宽独享），增大了网络的传输吞吐量， 提高了传输速率，其主干网上无碰

34、撞问题。虚拟网技术与交换技 术相结合，有效地解决了广播问题，使网络设计更加灵活，网络 的管理和维护更加方便。交换式以太网克服了共享式以太网的缺点，并借助于IP技术的新发展，如IP Multicast 、IP QoS等技 术的推出使得交换以太网可以支持多媒体技术等多种业务服务。快速以太网(FastEthernet)快速以太网技术仍然是以太网，也是总线或星型结构的网络， 快速以太网仍支持共享模式，在共享模式下仍采用的是广播模式(CSMA/C境争方式访问，IEEE ),所以在共享模式下的快速以 太网继承了传统共享以太网的所有特点，但是带宽增大了10倍。快速以太网的应用主要是基于它的交换模式。在交换模

35、式下，快速以太网完全没有CSMA/C这种机制的缺陷，除了上面谈到的交换以 太网的优点以外，交换模式下的快速以太网可以工作在全双工的状态 下，使得网络带宽可以达到200Mbps因此快速以太网是一种在局域 网技术中性能价格比非常好的网络技术，在支持多媒体技术的应用上 可以提供很好的网络质量和服务。千兆位以太网技术(Gigabit Ethernet )千兆位以太网技术以简单的以太网技术为基础，为网络主干提供 1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网 络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度 相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网 的帧

36、格式、管理工具和对网络概念上的认识。千兆以太网是相当成功的10Mbp太网和100Mbps快速以太网连 接标准的扩展。现在千兆位以太网成熟的标准为IEEE , IEEE的目标是:使用IEEE帧格式；可以使用全双工和半双工；共享模式下仍使用CSMA/C D对安装介质的向后兼容；传输速度比快速以太网提高十倍，比以太网提高一百倍。千兆以太网通过载波扩展(Carrier Extension )、采用带中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500米至3000米。如采用1300nm激光器和50um的多模光纤传输距离可 以达到3kmi现在，某些厂家的交换机上的千兆以太网接口还支持 Lo

37、ng Haul(LH)的标准，采用光纤可以支持高达 60Km勺传输距离。千兆位以太网能够提供更高的带宽，并且成为有强大伸缩性的以太网家族的第三个成员。利用交换机或路由器可以与现有低速的以太 网用户和设备连接起来，因为千兆位以太网的帧格式和帧尺寸大小等 都与所有以太网技术相同，不需要对网络做任何改变。这种升级方法 使得千兆位以太网相对于其他高速网络技术而言，在经济和管理性能方面都是较好的选择。千兆位以太网的设计非常灵活，几乎对网络结构没有限制，可以 是交换式、共享式的或基于路由器的。现在正在应用的网络互连技术， 例如，特定IP交换技术和第三层的交换技术，都与千兆位以太网完 全兼容。千兆位以太网可

38、以通过价格便宜的共享集线器、交换机或路 由器来实现。千兆位以太网支持新的交换机之间或交换机-工作站之间全双工的连接模式，同时也支持半双工连接模式以便与基于CSMA/C赤取方式的共享集线器连接。千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线（UTP）或 同轴电缆。目前，千兆以太网支持多模光纤、多模光纤和同轴电缆， 支持5类非屏蔽双绞线（UTP）的标准正在制定中。下表列出了千兆以太网现在支持的距离标准。标准名称媒质传输距离1000Base-SX波长850nm微米多模光纤50微米多模光纤275米550 米1000Base-LX波长1300nm微米多模光纤50微米多模光纤9微米或10微米多模光纤2

39、75米550米5公里1000Base-CX同轴电缆对25米1000Base-T 4对5类双绞线100米千兆位以太网的管理与以前使用和了解的以太网相同，使用千兆 以太网，主干和各网段及桌面已实现了无缝结合，网络管理变得容易了。千兆以太网技术的优点：技术简单，例如保留以太网的帧格式、管理工具和对网络概念上 的认识.便于升级，从现有的传统以太网和快速以太网可以平滑地过 渡到千兆以太网，并不需要掌握新的配置、管理与排除故障技术；网 络投资可以得到保护，无需对用户进行再培训，也无需为额外的网络 协议进行投资；千兆以太网有良好的互操作性，并具有向后兼容性；端口价格相对较低；可以提供10倍于快速以太网的传输

40、速度。网络技术选型结论 综上所述，在选择旭日集团园区网网络技术时应该考虑如下：、长远来看如何保护现有投资。保护现有投资的有效途径就是在将 来网络技术升级时还能使用现有的网络技术和产品。 如同计算机的发 展速度一样，网络技术的发展也是非常迅速的。如果在现有技术不能 合理保证在将来网络升级后还能够使用，那么将会带来极大的资金浪 费。从目前的趋势来看，采用千兆以太网技术是最适宜的。 性能价格比。以太网，快速以太网，千兆以太网和 ATM网三者性 能状况由低到高，但是价格也是由低到高的。在建设旭日集团园区网 网络时要充分考虑到办公的资金有效使用， 选择适用的网络技术是关 键，因此选择华为网络产品实现是最

41、佳选择。 目前满眼看到的是国外 的技术和产品，无形中增加了网络造价成本，这也给网络的普及带来 一定障碍。 售后服务：旭日集团园区网网络的使用，从以往经验来看，售后 服务问题比较突出。有很大部分国内外产品目前无法实现良好的售 前、售后服务的支持，换修时间一般在 3个月至U 6个月。思科网络强 大的售后服务体系可保证全国范围内 72小时响应，武汉等一级城市 可实现24小时响应；在旭日集团园区网网络建设中，在主干以及接入层的交换设备选择 上，我们采用思科支持千兆以太网技术的交换机充当 路由交换部分的设计为了使旭日集团园区网高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设

42、计，包括VTRVLAIN STR TRUNK ETHERCHANNELSRP VPNO 每一台者B连接所 有的汇聚层交换机，但相互之间并不连接（提高网络的故障收敛速 度）。作为二层的核心，只保证数据的高速转发。网络的可靠性由汇 聚层的路由协议提供保证。.V LAN设计规范旭日集团内的局域网进行 VLAN1分，可以减少网络内的广播数据包， 提高网络运行效率；可以区分不同的应用和用户，方便集团的管理与 维护.建议每栋建筑物内的局域网划分 8个VLAN应用类1指旭日集团的OA 类应用.VLANffl途如表1VLAN划分用途表VLAN用途VLAN1计划财务部工作人员VLAN2市场营销部工作人员VLAN

43、3客户服务中心工作人员VLAN4采购部工作人员VLAN5仓储物流部工作人员VLAN6业务管理部工作人员VLAN7信息网络中心工作人员.IP地址分配方案IPv4的地址结构，各个位的使用规划如图:0-78-1011-1516-181葭31企业标识分部标识预留类别标识用户空间地址其中各个部分的取值如表:位取值含义备注0-7000001010某某企业私有地址8-110000保留0001福田总部主楼的用户标识0010龙岗分部龙岗分部的用户标识0011宝安分部宝安分部的用户标识0100盐田分部盐田分部的用户标识0101罗湖罗湖的用户标识0110南山南山的用户标识1000-1111保留12-1300缺省00

44、-11保留14-17000保留001网管类交换机设备地址，路由器环回地址，网管工作站地址010互联类交换机，路由器等设备之间互相连接用011应用类1企业OA类用111因特网类企业的因特网连接，因特网应用。100-110保留18-31任意用户地址其中，1618取值011的时候，对1A23位的使用进行了重新的定义。如图：0-78-1112-1314-1718-2122 31企业标识分部标识预留应用类1VLAN 识用户地址空间IP地址分配表：根据以上的规定，具体的地址分配表如下图:机构地址空间用途福田总部/8企业的全部地址空间/13总部全部地址空间总部网管类全部地址总部互联类全部地址总部应用类全部地

45、址/17总部因特网全部地址/21总部应用类1计划财务部工作人员地址空间总部应用类1市场营销部工作人员地址空间总部应用类1客户服务中心工作人员地址空间总部应用类1采购部部工作人员地址空间总部应用类1仓储物流部工作人员地址空间总部应用类1业务管理部工作人员地址空间总部应用类1信息物流部工作人员地址空间龙岗分部/13龙岗分部全部地址空间龙岗分部网管类全部地址空间龙岗分部互联类全部地址空间龙岗分部应用类全部地址空间/17龙岗分部因特网全部地址龙岗分部的应用类1计划财务部工作人员地址空间龙岗分部的应用类1市场营销部工作人员地址空间龙岗分部的应用类1客户服务中心工作人员地址空间龙岗分部的应用类1采购部部工

46、作人员地址空间龙岗分部的应用类1仓储物流部工作人员地址空间龙岗分部的应用类1业务管理部工作人员地址空间龙岗分部的应用类1信息物流部工作人员地址空间宝安分部/13宝安分部全部地址空间宝安分部网管类全部地址空间宝安分部互联类全部地址空间宝安分部应用类全部地址空间/17宝安分部因特网全部地址宝安分部的应用类1计划财务部工作人员地址空间.21宝安分部的应用类1市场营销部工作人员地址空间宝安分部的应用类1客户服务中心工作人员地址空间宝安分部的应用类1采购部部工作人员地址空间宝安分部的应用类1仓储物流部工作人员地址空间宝安分部的应用类1业务管理部工作人员地址空间宝安分部的应用类1信息物流部工作人员地址空间

47、盐田分部盐田分部全部地址空间盐田分部网管类全部地址空间盐田分部互联类全部地址空间盐田分部应用类全部地址空间盐田分部因特网全部地址盐田分部的应用类1计划财务部工作人员地址空间盐田分部的应用类1市场营销部工作人员地址空间盐田分部的应用类1客户服务中心工作人员地址空间盐田分部的应用类1采购部部工作人员地址空间盐田分部的应用类1仓储物流部工作人员地址空间盐田分部的应用类1业务管理部工作人员地址空间盐田分部的应用类1信息物流部工作人员地址空间罗湖分部罗湖分部全部地址空间罗湖分部网管类全部地址空间罗湖分部互联类全部地址空间罗湖分部应用类全部地址空间罗湖分部因特网全部地址罗湖分部的应用类1计划财务部工作人员

48、地址空间罗湖分部的应用类1市场营销部工作人员地址空间罗湖分部的应用类1客户服务中心工作人员地址空间罗湖分部的应用类1采购部部工作人员地址空间罗湖分部的应用类1仓储物流部工作人员地址空间罗湖分部的应用类1业务管理部工作人员地址空间罗湖分部的应用类1信息物流部工作人员地址空间南山分部南山分部全部地址空间南山分部网管类全部地址空间南山分部互联类全部地址空间南山分部应用类全部地址空间南山分部因特网全部地址南山分部的应用类1计划财务部工作人员地址空间南山分部的应用类1市场营销部工作人员地址空间南山分部的应用类1客户服务中心工作人员地址空间南山分部的应用类1采购部部工作人员地址空间南山分部的应用类1仓储物

49、流部工作人员地址空间南山分部的应用类1业务管理部工作人员地址空间南山分部的应用类1信息物流部工作人员地址空间其中，在项目实施的时候，接入层交换机的IP地址建议使用网管类地址空间10.*.24 ,多层交换机的IP地址的LOOPBACK口的IP 地址建议使用网管类地址10.*.35.*/32 ;所有汇聚层设备互联IP 地址使建议使用互联类空间和，相互备份的2台汇聚层设备的IP地址建议使用互联类地址空间10.*.29 。冗余电源Cisco6509系列以太网交换机提供了 RPS电源备份接口，可以 对设备提供一对一的电源备份和保护，也可以以一路直流电源对 多台支持RPSS口的设备进行备份和保护。生成树(

50、STP/RSTP/MST)PCisco6509系列以太网交换机支持STP/RSTP/MST隹成树协议生成树协议主要用来建立和维护局域网的拓扑，消除循环连接导 致的网络广播风暴，并且提供网络的拓扑的冗余备份功能，平时 作为备份的路径被阻塞，当主用路径网络设备出现故障时，能够 及时调整端口状态，调整网络拓扑。生成树协议的工作原理：网络中的桥接设备根据设定的优先值 和MACfe址，确定最优先的设备为网络的根桥，根桥向外定时发 送Config BPDU报文，每个收到该报文的交换机将报文内容根据 自身的配置和所掌握的网络拓扑结构进行更新下发到其他端口， 当一个交换机从两个或两个以上端口接收到Config

51、 BPDU的时候就表明网络中存在循环，保留其中一个端口为转发状态，设置其 余端口为阻塞状态。除了支持传统的生成树协议外，Cisco6509系列以太网交换机 还支持IEEE快速生成树协议（RSTP）,以及多生成树协议（MSTPc 快速生成树协议是生成树协议的改进，在原有功能的基础上提高 了网络保护的性能。传统生成树倒换时间为42s,从发现链路断裂、 数据中断到数据恢复至少需要三十多秒的时间，而快速生成树协 议只需68秒的时间就可以将数据流切换到备份链路上。多生成树协议（MSTP可以通过支持一个网络内的多个生成树， 这使管理员可以把VLANKf量分配给唯一的通路。网络管理员只要 为VLA明配独立的

52、生成树拓扑，就可以确保两个 VLAN都能在网 上顺畅传输。这就可以起到均衡网络流量，提高可靠性的作用。Cisco6509系列以太网交换机最大可以支持 17个或者33个STP实例。 链路聚合（Link Aggregation ）为了在以太网上获得更高的数据传输带宽，Cisco6509系列以太 网交换机提供了二层的端口链路聚合功能（基于标准IEEE ）。这样在生成树协议（STP和其他二层协议上看，作了链路聚合的所 有物理端口被视为同一个端口。在作了链路聚合的端口之间可以 做冗余备份和负载分担。在实际应用中，进行聚合处理的端口等同于一个端口，任何转 发到聚合的端口上的报文会通过对源、目的地址的逻辑运

53、算来分 布到聚合的不同端口上。即使是多播和广播报文也不会被复制多 份，也要通过对地址的逻辑计算，将流量平衡分配到不同的端口 上。Cisco6509系列以太网交换机系统在二层和三层对硬件查表未 命中的新地址进行监控。如果新地址是在聚合的端口上时，根据 二层和三层的不同，使用MACfe址或IP地址进行逻辑计算，根据 逻辑的结果选择相应端口为转发端口，发往该目的地址的帧将按 照计算负载均衡后的结果进行转发，实现端口之间负载均衡和冗 余保护，保证数据流不出现乱序现象。 HSRPHSRP是CISCO公司是所特有的。HSR晌主机提供了缺省网关的 冗余性，减少了主机维护路由表的任务。当网络边缘设备或接入 电

54、路出现故障时，HSR求供了一个较好的解决方案，它能够确保用户通信迅速并透明地恢复，以此为IP网络提供冗余性、容错和 增强的路由选择功能。通过使用热备份路由份协议（HSRP,可使 网络对最终用户的可用性得到充分的保证。另外，通过多个热备 份组，路由器可以提供冗余备份，并在不同的IP子网上实现负载 分担。旭日集团园区网的IP地址规范中规定：网关的地址统一使 用子网的最后一个可用地址。启用HSR初议之后，这个地址就是 HSRP勺虚拟地址。在成对的两台汇聚层多层交换机上，具体的 HSRPE置规范 如下：.接口的IP地址：在第一台多层交换机上，某个 VLAN 拟接口的IP地址是子网的最后第三个可用地址，

55、在第二台多层交 换机上，某个VLANg拟接口的IP地址是子网的最后第二个可用 地址。.热备份组号：热备份组号与接口的 VLANt相同。.热备份地址：热备份地址是子网的最后一个可用地址。.热备份优先级：在主用白多层交换机了，某个VLAN虚拟接口的热备份优先级是 120。并且主用的汇聚层交换机配置 占先权。等价路由（ECMP除了从设备级支持三层转发容错协议 VRRP外，Cisco6509系列以太网路由交换机还支持等价路由（ECMR等价路由即为到达同一个目的IP或者目的网段存在多条 Cost值相等的不同路由路径，当设 备支持等价路由时，发往该目的IP或者目的网段的三层转发流量就 可以通过不同的路径分

56、担，实现网络的负载均衡，并在其中某些路径 出现故障时，由其它路径代替完成转发处理，实现路由冗余备份功能。不仅从软件上，而且从硬件上也支持等价路由是 Cisco6509系列以 太网路由交换机与业界类似产品相比显著的优点。以前部分路由交换机虽然也宣称支持等价路由，但实际上只是从软件上支持，对软件转 发的报文可以使用等价路由，但对于由硬件直接转发的报文，则只能 从一条固定路径转发。而Cisco6509系列以太网路由交换机从硬件上 也实现了等价路由的支持，真正实现了硬件三层转发流量的负载分担 与路由冗余备份。Cisco6509 系列以太网路由交换机最大支持 4条等价路由，并且 不论RIP、OSP得路由

57、协议产生的路由，还是静态配置路由，不论是 网段路由还是主机路由，甚至缺省路由，都可以支持等价路由。Cisco6509 系列以太网路由交换机在支持等价路由、实现负载均 衡的同时，还能很好地保证报文的有序性。通过数据流的目的IP地址和源IP地址进行计算，Cisco6509系列以太网路由交换机可以保 证同一个IP转发流都从同一个路由路径被转发出去，从而保证了整 个端到端网络的路由报文转发的有序性， 避免了 TCP全局同步等问题 的发生。策略路由（PBRCisco6509 系列以太网路由交换机支持高性能的策略路由。策略路由（Policy-Based Routing ,简称PBR是目前越来越多的路由器或

58、三层交换机设备正在支持的一项路由扩展功能，支持策略路由的设备不仅能以报文的目的IP地址为依据来进行路由选择，还可以以报 文的源IP地址、源MAC%址、报文大小、报文进入的端口、报文类 型、报文的VLAN属性等等其它扩展条件来选择路由。通过合理的路 由策略设计，可以实现网络流量的负载均衡，充分利用路由设备，并 实现路由、交换设备之间的冗余备份功能，同时提供各种可以区分的 服务等级，为不同用户提供不同的QoS服务。策略路由是设置在接收 报文接口而不是发送接口。 Cisco6509系列以太网路由交换机可以很 好地支持策略路由功能，并且可以将路由下一跳重定向到某个物理端 口，或者某个下一跳IP地址。V

59、PNCisco6509系列以太网路由交换机支持 VPN,VPN（虚拟专网）是利用 公共网络资源（如公用电信网）为客户组建专用网的一种技术，它通过 对网络数据进行封包和加密传输， 在公网上传输私有数据，达到私有 网络的安全级别，从而利用公网构筑专网（即 VPN。它是一种逻辑 上的专用网络，向用户提供专用网络所具有的功能， 但本身却不是一 个独立的物理网络。网络安全设计旭日集团园区网有5000用户，网络规模比较大，并且和因特网 存在连接。为了保障网络系统的运行安全，保护集团的信息安全， 必须进行网络安全方面的规划和实施。一个网络的安全，首先要有严格和有效执行的管理制度。建 议旭日集团制定严格的网络

60、安全管理策略，并有效的执行。其次， 必须具有一定的技术手段来保障网络的安全。技术和管理手段相结 合实施，才能够产生良好的效果。通过以下几个技术方面的实施，可以在一定程度上保障网络的安全：提高设备的物理安全性配置设备的口令进行VTPM的认证园区网用户的接入控制应用系统的访问控制因特网的接入安全控制提高设备的物理安全性设备的物理安全性是指运行中的设备，未经授权的人员不能 直接接触到。提高设备的物理安全性，是最基本的要求。通过将设备 安置在独立的设备间中，并增加门禁系统，确保只有授权的管理和维 护人员才能接触到物理设备。配置设备的口令配置设备的口令，是防止非授权的人员更改网络系统的配置的 重要手段。