科技产业园区的网络规划与设计

科技产业园区的网络规划与设计摘要本文从彭州工业开发区科技园区的基本需求着手，分析原有网络的缺陷，找出存在的问题，得出解决问题的方法与措施，完成了网络改建与规划方案的详细设计。本方案设计量体而行的从经济、实用、扩展、安全等多方面考虑，详细分析了现有网络的特性和网络的发展趋势，利用当今流行园区网络技术的同时，考虑了将来园区网络业务拓展和网络应用的并行发展与扩充，为彭州工业开发区科技园设计了一套合理可行的网络解决方案。关键词：Intranet；千兆以太网；OSPF；VPNABSTRACTThisarticleintroducesacompletecycleofbuildinganetworkforPENGZHOUScienceTechnologyPark.WeironedouttheexistingproblemsoftheScienceTechnologyParkNetwork,andwehavedesignedanewsystemforsolvingtheseproblemsbasedonnetwork'spresentsituation.Also,wefaceuptotheactualconditionsoftheScienceTechnologyPark,andtakeeconomy,practicalityandattractivenessintoaccountinthecourseofdevelopment.Finally,webuildareallygoodnetworkPENGZHOUScienceTechnologyPark.KEYWORDS:Intranet;GigabitEthernet;OSPF;VPNII 四川理工学院毕业设计（论文） 引言当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流。信息技术作为新技术革命的核心.不仅具有高增值性、成为最具,且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透，使其结构和效益发生根改变。信息化已成为当代经济发展与社会进步的信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择!近年来，在全国各地新建了许多产业园区（开发区，使发展、引进高新技术与科技创新有了肥沃的生存土壤。产业园区的建立与发展，为吸引国内外资金、技术、发展外向型经济、参与国际间的分工协作、进入世界经济舞台，创造了优越的条件和基础。根据城市布局形态的调整和发展目标的变化，将城市中心区向城市边缘区扩展，增加城市的功能，实现城市化发展，已经成为世界高新技术产业区发展的规律和发展趋势。同时随着时代的进步科技的发展，全球正在进入一个崭新的知识经济时代，而无穷无尽的知识和信息基本都通过网络传输，并以空前未有的深度和广度，影响和改变着每一个企业。能否及时获取信息、反馈信息及发布信息，将直接影响到一个企业能否健康地发展，同时这一形式也对企业内部各部门之间、领导与职工之间的协调与配合提出了新的更高要求，传统的工作方式已不能适应当前市场的要求，建立现代管理机制适应市场经济的发展,是摆在对信息资源的占有和充分应用，以及利用现代科技手段建立迅速反馈的机制，高效率、高质量的上传下达指示、命令，是现代企业的必备条件。由于网络、数据（Intranet）技术的广泛应用，世界正在迈入网络中心计算时代。人们传统的交互和工作模式正在改变，处在不同地理位置的人们可以共享数据，能够协同工作等；Intranet是InternetInternetTCP/IP协议，InternetIntranet得以迅速发展。IntranetInternet所固有的可靠性差、无整体设计、网络结构不清晰以及缺乏统一管理和维护等缺点，使企业内部的秘密或敏感信息受到网络防1 匡丹：大型科技产业园区的网络规划与设计 InternetIntranet组织机构加强信息管理与提高工作效率。从各方面分析，采用计算机网络和数据库对信息系统和日常工作进行管理有着充分的可行性。Intranet安全且可靠的园区内部网。2 四川理工学院毕业设计（论文） 第一章设计背景与需求分析设计背景19921998年被省政府以川府发[2001]10号文确认为省级重点开发区，规划面积平方公里；200445.63平方公里（1.271997规划在清理整顿中削减；200595211.9平方公里；20057路以南城市规划区域（包括省级工业开发区以及工业集中发展区）划归工业开发25.2平方公里;20071平方公里。13369户（21户391.8万人；一批国际国内12712了以医药、家具、新型建材、机械和服装为主导的产业发展格局。随着西南交大科技园、四川威亨创业工业港和西星国际企业中心的建设发展，在工业开发区内将形成三个较具特色的工业房地产园区。整个园区各企业已经基本实现了业务的电子化和办公自动化，基本完成了园区范围内的网络覆盖，前期网络采用的单核心的两层网络结构，接入交换机直接与核心交换机互联，随着应用的不断增加，接入用户的不断增多，对核心设备的压力不断增大。网络中一个区域出现安全问题，会影响到全网，使得网络效率下降，甚至造成全网的宕机。另外，园区内各建筑之间均有适当的光纤连接，前期网络中大部分设备为非智能网管设备，不能很好的对整个网络进行有效的管理，使得网络不能充分的利用。伴随着业务多样化，复杂化的今天，五年前建成的原有网络系统已经不能很好的满足企业应用的要求，为了增强企业的凝聚力、提高经济效益，推进企业竞争力，因此该科技园区决定实施园区内部各级网络间的升级改造。3 匡丹：大型科技产业园区的网络规划与设计 需求分析现状分析彭州工业开发区原有网络系统实现了业务电子和办公自动化，基本覆盖全工业园区范围，主要包括相对独立的各大企业，如香港联邦制药、四川制药、亚宝泰柏建材等。原有网络中采用单核心两层网络结构，网络接入交换机直接与核心交换机互联，随着应用的不断增多，接入用户的不断增加，对核心设备的压力不断增大。网络中一个区域出现问题，会影响到全网，使全网应用效率下降。由于网络承载整个园区企业的基础骨干，面对日益突发的信息安全问题，使用的普通非智能网管的交换机，HUB无法进行安全规则设置，网络攻击影响整个网络正常业务以及用户正常上网。随着网络技术的不断发展，网络使用者水平不断提高，业务多样化，复杂化，企业网络承载的应用不断增多。原有网络已不能很好的满足需要，现需对企业整个网络升级改建。500点左右，企业公司各部门业务共同存在网络之上，属于不同区域。必须实现内部网络按企业用户、功能进行VLAN、网段划分，控制用户访问权限。企业下辖多家远端分公司，必须保证远端分公司与企业正常信息互通。企业园区内部各个建200M～～4000M个建筑物内部都有适当的内部布线，以实现现有所需的连接。业务需求彭州工业开发区科技园是一个典型的科技型工业产业园，园区内入住企业较一些小型企业暂时无独立服务器，企业门户网站挂在外边的商业虚拟空间中，没Mail、FTP等服务，另外企业办公软件以主机托管的方式放在当地ISP提供商机房，造成管理相当不便。考虑以上因素，改建后的网络必须能够让入住园区的企业单位能够有足够的网络带宽满足业务需求，不能由网络带宽给企业自己的服务造成瓶颈。另外，在DMZ境的需要。用户需求入住园区的企业大部分在其他各地都有自己的分公司，或公司本身为其他大4 四川理工学院毕业设计（论文） 型企业的分公司。因此，应当充分考虑企业的分公司访问企业内部网的需求，以及总公司与分公司的业务数据信息互通等。因此，必须为各企业内部网络设计VPN通道，方便分公司与总部的互访，以及方便企业员工在外部使用企业内部资源，如：出差，家庭办公等。网络需求1、安全的需求企业网络所受到的安全威胁，既有技术方面的，也有管理方面的；既有来自网络内部的，也有来自网络外部的；既有人为恶意攻击的，也有无意造成的。如果因系统软硬件故障、或黑客恶意攻击、或网络病毒感染的经常出现问题，甚至完全瘫痪，将直接影响企业的正常运行，所带来的经济损失不仅限于企业本身，甚至波及到整个社会。因此，在规划企业网络系统时，必须充分考虑网络系统的安全建设，包括病毒防护、信道传输安全、数据备份与恢复等。2、管理的需求由于企业网络节点众多，因此无法一体化管理众多的设备和用户、出现网络故障无法快速定位、IP地址盗用、IP地址冲突等问题严重，如何利用有限的人力物力对网络进行高效管理也成为企业考虑的重点。3、性能的需求企业网络使用人数多，并且随着网络应用技术的不断丰富，企业网应用也愈发复杂，例如文件传输等大数据量的访问，产生了巨大的网络流量。如何高速进行网络传输，对网络设备提出了很高的要求。3、高智能的考虑VOD务量猛增时，会造成时延、抖动、丢包等现象，而这对于实时的、时延敏感的网络应用，如视频会议、IP电话，便会产生严重的影响。因此保障特殊业务的正常使用，是企业的网络建设中必须要考虑的方面。4、接入方式的考虑企业网中不仅需要有线网络、在某些环境（如会议室、接待厅等等）中还需要无线的接入。无线网络接入方式，可以避免传统网络对用户接入的限制，实现随时随地上网。5、未来网络考虑企业升级改建后的网络必须保持5-10年左右的先进性，并支持未来网络的平5 匡丹：大型科技产业园区的网络规划与设计 滑升级过渡。综合以上信息，我们将结合彭州工业开发区科技园的实际情况，以及园区企业对网络基础平台的需求，充分考虑以上分析的一些关键问题，为该科技园区以及内部企业设计出一套合理可行的网络解决方案。6 四川理工学院毕业设计（论文） 第二章设计目标及原则本次彭州工业开发区科技园区网设计建成的网络系统应当从投资保护及长远性方面考虑，在技术系统能力上要保持5-10年左右的先进性，从用户利益出发，在技术上采用标准、开放、可扩充，能与其他厂商产品配套使用。先进性：总体设计起点高，采用先进的计算机网络技术和管理模式，采用先进的网络设计、网络结构、开发工具，技术上采用市场占有率高、标准化、且技术成熟的目前网络流行的TCP/IP协议和目前最先进的千兆以太网和百兆以太网到桌面技术，保证网络的安全、稳定和容量。实用性：综合考虑未来的扩展与保护投资，制定统一全面的发展规划，充分发挥设备效益，能使用户最方便地实现各种功能。标准性：采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z。RIPIPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM。支持网络管理协议：SNMP，RMON，RMON2。兼容性：跟踪世界科技发展动态，网络规划与现有光纤传输网及现有网络要有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。开放性：系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及外界信息的沟通。灵活性：采用积木式模块组合和结构化设计，使系统配置灵活，满足企业逐步到位的建网原则，使网络具有强大的可增长性和强壮性。可扩展性：网络规划设计既要满足用户发展在配置上的预留，又能满足因技术发展需要而实现低成本扩展和升级的需求。7 匡丹：大型科技产业园区的网络规划与设计 可靠性：服务器具备超强容错功能和先进的备份技术，交换机的模块化、端口冗余和网管功能，使日后的管理和维护更方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠。安全性：提供多层次安全控制手段，建立完善的安全管理体系，防止数据受侵击和破坏，有可靠的防病措施。易用性：中文界面功能完善，界面友好，兼容性强。抗干扰性：能满足电力环境、电磁环境、气候环境等，抗干扰能力。经济性：投资合理，具有最高的性能价格比。突出体现在保护投资方面，系统的开放性，硬件设备的独立性，升级时能保护已有的投资。高传输性：主干网1000兆，快速以太网100兆交换到桌面。可管理性：网络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，灵活的操作方式简化了管理人员的工作。在设计企网络的设备选择上，要求网络设备支持标准的网络管理协议 SNMP，同时支持RMON/RMONII协议，核心设备要求支持RAP(远程分析端口)协议，实施充的网络管理功能。另外，在设计企业网络的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。8 四川理工学院毕业设计（论文） 第三章方案详细设计拓扑详细设计网络拓扑是指用传输媒体互连各种设备的物理布局，特别是计算机分布的位置以及电缆如何通过它们。设计一个网络的时候，应根据自己的实际情况选择正确的拓扑方式。每种拓扑都有自己的优点和缺点，网络拓扑可以根据通信子网的通信信道分为两类，广播通信信道子网的拓扑与点到点通信子网的拓扑。采用广播通信信道子网的基本拓扑结构主要有：总线型，树型，环型，无线树型与网状型拓扑。物理拓扑网络的物理拓扑结构是根据网络数据传输时传输介质的实际布局形式来划分的，物理布局就像是描述办公室、建筑物中如何布线的示意图，通常称为电缆线路，主要作用是解决施工布线的问题。此次彭州工业开发区科技园的主干网示意图3.1是根据科技园内的实际建筑分布14户医药企业、12户机械企业712户建材企业等，主干网示意图中标识了部分企业与单位。9 匡丹：大型科技产业园区的网络规划与设计 图图3.1园区主干拓扑图逻辑拓扑设计经过前面对走势的具体情况。以保护园区原有投资为原则，经过仔细分析计算，我们给出如下彭州工业开发区科技园内部网络的详细分析，结合园区企业分布与已有线路的网络解决方案。3台具备路由功能的三层交换机构成的万兆环网，以解决网络对核心的压力。同时在各核心上面设计冗余线路，即使某一台设备故障将不会影响整个网络的使用，在企业汇聚设备与核心设备之间同样设计冗余线路，以保障企业内部网的稳定可靠，园区网络的详细逻辑拓扑（图3.2）以了解整个园区的网络分布情况。园区内各个企业通过传输介质直接与园区中心机房相连，然后在企业内部构建自己的内部网络，企业内部详细逻辑拓扑（3.3）他各企业可以结合自己的实际情况，根据企业对网络的需要来规划自己的内部网络平台。10 四川理工学院毕业设计（论文） -----------------------I 新加坡亚 iI 东水泥 ！IIII;=.:.-:-.:.-:-二IIIII之;I7.:.7.:.之II ,-----------------------II ,DMZ 乙2 'SAVIIIIIIII;了...:.II

:＿＿＿＿＿_＿＿＿＿＿＿＿勹l网络营理平台

！llDBServer'IIII;-.:.了.:.=IIIII

----------i 服务器群-------------------！图例 ！ 单桯光纤— !l li 多桯光纤一 il 10G环网－ ！l------------------------··------------------· ·-----------------3.2

l l， ll ，，， '.l， '.l，l，*一，!STAR-S2126G技术！l部二二二二二二·二·＝··-一lll'，RG-3lll.,,.....I＿＿＿_＿＿＿＿＿＿＿＿＿_＿＿＿/fRG-\/VALL1200雾广、: RG-6806Elli，l!S生产 i`i 态！一lllllll！ 企业中心机房 ！lllllll，l ll芦二二二二二二：二＿二＿：!TAR-S2160 节 liDM平 BServer芦一二二亡 亡二＿＿＿一二．ll口7，R-3如4i-－ 。＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿l__＿＿＿＿＿＿＿＿＿＿＿＿＿＿ ＿＿＿_ !3例l！l双绞线1!i!ilj. ·----.单桓光纤一，:!STAR-S2126G代STAR-S2126GSTAR-S21展企业S臣服务器－i 多模光展企业S臣服务器－吾器一务－， 吾器一务－lll－－:...---------------___________:________-----------------------------------－－图3.3企业内部网详细逻辑拓扑图11 匡丹：大型科技产业园区的网络规划与设计 综合布线综合布线包括整个园区的结构化布线系统，园区中心机房以及各企业的机房建设，包括机房装修，机房电源配置，防雷措施等。综合布线是否合理将影响着园区将来的规划建设，因此我们综合园区规划建设部的意见来考虑布线系统的详细设计。结构化布线1、工作区子系统工作区子系统指终端设备和信息插座之间的连接部分，包括装配软线，连接器和连接所需要的扩展软线，并在终端设备与I/O之间搭桥。工作区子系统所使用的连接器必须是ISDN标准的8宇自动化系统所有低压信号以及数据网络信息和数码音频信号。2、水平布线子系统水平子系统（图3.4）是从用户工作区连接到垂直主干线子系统的线。水平子系统是整个结构化布线系统的一部分，它与主干线子系统的区别在于：水平子系5类组成，能支持大多数的现代通讯设备。如果需要，可以采用光纤进行传输。从用户工作区的信息插座开始，水平布线子系统在交连处连接，或在小型通讯系统中在任何一处进行互连：远程通讯互连间、干线接线间或设备间。在设备间中，当终端设备处于同一楼层时，水平布线子系统将在干线接线间或通讯接线间的交叉处连接。3、干线子系统干线子系统又称垂直主干线子系统（图3.4干线子系统通常是在两个单元之间，特别是在位于中央点的公共系统设备处提供多个线路设施。该子系统由所有的布线电缆组成，或光纤以及将光纤连到其它专访的相关支撑硬件组合而成。传输介质可能包括一栋多层建筑物之间垂直布线的内部电缆或从主要单元或其它干线间来的电缆。为了与建筑群的其它建筑物进行通讯，干线子系统将中继线交叉连接点和网络接口连接起来。网络接口通常放在设备相邻近的房间。网络接口是为这些设施和建筑物结构化布线系统之间划定界线。4、管理子系统管理子系统由交连、互连以及I/O组成。管理点是为了连接其它子系统提供连 四川理工学院毕业设计（论文） 接的手段。交连和互连允许将通讯线路定位或重定位在建筑物的不同部分，以便能更容易的管理通讯线路。I/O位于用户工作区的其它房间或办公室，使得移动终端设备时能方便的进行插拔。在使用跨接线或插入线时，交叉连接允许将端接在单元一端的电缆上的通讯线路连接到单元另一端的电缆的线路。跨接线是一根很短的单导线，可将交叉连接处的两条电缆端点连接起来；插入线包括几根导线，而且每根导线的末端均有一个连接器，插入线为重新安排线路提供了一种简易的方法，而且不需要象安排跨接线时使用专用工具。插座和适配器。互连和交连也适用于光纤。光纤交叉连接要求使用光纤的插入线在两端带有光纤连接器的短光纤。连接线间，通常已安装好使用插入线的交叉连接硬件。图3.4布线系统示意图图3.4布线系统示意图在远程通讯连接区，如安装在墙上的布线区，交叉连接可以不要插入线，因为线路经常是通过跨接线连接到I/O接处经常是将干线子系统的大型电缆转接到连接I/O线路重新布置时，一般不使用这种方式给式交叉连接。13 匡丹：大型科技产业园区的网络规划与设计 5、设备间子系统设备间子系统由设备间的电缆，连接器和有关支撑硬件组成。它的作用是把公共系统设备的各种不同设备互连起来。该子系统将中继线交叉连接处和布线交这些导线将设备或避雷装置连接到有效建筑物接地点。6、建筑群子系统建筑群子系统将一个建筑物中电缆延伸到建筑群的另一些建筑物中的通讯设备和装置上，建筑群子系统是结构化布线系统的一部分，它支持提供楼群之间通讯所需的硬件，其中包括导线电缆，光纤以及有效防止高压脉冲电压进入建筑物的电气保护装置。机房建设5至10年的发展计划，把中心机房选定于彭州工业开发区园区的中心办公大楼3置配线间或小型分中心机房。1、机房环境建设服务器，也作为数据交换和存储中心，需要重点建设和保护。计规范GB500174-93中心机房位置选择应符合：水、电比较稳定可靠，交通，通讯方便，自然环境清洁物品的工厂、仓库、堆场等远离强振源和强噪声源，避开强电磁场干扰20~35cm耐久、抗震、保湿、隔热、防火、防尘等。恒温空调：做好空气调节系统，保持较好的温、湿度。标准机柜：选用标准机柜摆放服务器及网络设备。电走桥架，用户线缆通过配线架接入并做标签。如图3.514 四川理工学院毕业设计（论文） 3.5 机房建设图3.5 机房建设图2、机房电源系统电源系统将影响到整个机房的重要网络设备，需要重点考虑，参考《国家标准电子计算机机房电源设计规范GB500174-9验收规范GB50169-92UPS两个方面的建设入手。中心机房电气装置的施工主要包括供电电源系统、配电装置、自控系统、照明装置、通信设备、接地装置及其配线的安装。对接入的不同设备按应用种类分UPS备进行双电源双引擎。配电柜的安装要求：配电箱、柜应有短路、过流保护，其紧急断电按钮与火灾报警联锁。操作和检修。配电箱、柜内留有备用电路，作机房设备扩充时用电。彭州工业开发区科技园内大部分企业属于生产制造型，电源的保证是重点，除普通的稳压市电外，通常都配有发电机。而网络中心机房是整个网络平台的核的安装说明如下：UPS再经插座分接计算机电源处，电缆用阻燃电缆，穿金属线槽钢管敷设。市电供电电源：由电源互投柜分别送至空调、照明配电箱和插座配电箱，15 匡丹：大型科技产业园区的网络规划与设计 属线槽及钢管敷设。100%负荷的能力。任意市电恢复时，机3、机房防雷系统防雷系统应该本着“”按照《国家标准电子计算机机房防雷设计规范（GB500174-9》实施。根据科技园区的实际情况，对于计算机系统特别是计算机中心机房的保护除UPS过电压保护装置，以消除电网浪涌、雷电感应电压、设备切换等意外事件对设备UPS处理，设备外壳、金属门、窗、管道、静电地板等应进行等电位处理。并在低压配电电源电缆进线输入端加装电源防雷器，防雷接地电阻要求小于10Ω。4、空调系统根据GB2887-82A度=55%±5%，夏季取上限，冬季取下限。气流组织采用下送风、上回风，即抗静度过滤，新风与回风混合后，进入空调设备处理，提高控制精度，节省投资，方便管理。主干技术选型异步传输模式、FDDI、CDDI、万兆以太网、千兆以太网等。其中千兆以太网以其在QoS置。16 四川理工学院毕业设计（论文） 万兆以太网技术CSMA/CD网接口基本应用在点到点线路，不再共享带宽。碰撞检测，载波监听和多重访问已不再重要。千兆以太网与传统低速以太网最大的相似之处在于采用相同的以太网帧结构。万兆以太网技术与千兆以太网类似，仍然保留了以太网帧结构。通过10Gbit/s网仍是以太网的一种类型。10G20027IEEE通过。10G10GBASE－X、10GBASE－R10GBASE－W10GBASE－X1个较WDM器件、441300nm25nm为间隔工作的激光器，每一对发送器/3.125Gbit/s速度（2.5Gbit/s）下工作。10GBASE－R64B/66B编码（不是在千兆以太网中所用的8B/10B）10.000Gbit/s10.3Gbit/s10GBASE－WSONETOC-1929.953Gbit/s9.585Gbit/s。10G以太网实质上是高速以太网，所以为了与传统的以太网兼容必须采10Gbit/sOC-192cOC-192c帧格式的映射功能。同时，由于以太网的原设计是面向局域网的，网络管理功能较弱，传输距离短并且其物理线路没有任何保护措施。当以太网作为广域网进行长距离、高速率传输在接收端实现信号同步比较困难。因此，如果以太网帧要在广域网中传输，需要对以太网帧格式进行修改。10B(Byte)MAC层有数据需要发送时，PCS8B/10BSFD帧起始定界符)EF（帧结束定界符；当PCS子层收10BSFDEFD找到帧的起始和结束SDH中承载的千兆以太网帧定界不同于标准的千兆以太网8BSFDEFD。如果只利用千兆以太网的前导(Preamble)和帧起始定界符（SFD）进行帧定界，由于信息数据中出现与前导和帧起始定界符相同码组的概率较大，采用这样的帧定界策17 匡丹：大型科技产业园区的网络规划与设计 HEC策略。IEEE802.3HSSG小组为此提出了修改千兆以太网帧格式的建议，在以太网帧HEC1518字节，则最少需要11个比特=204，所以在复接MAC帧的过程中用两个字节替换前导头两个字节作为长度字段，然后对这8个字节进行CRC-16HECSFD之后。10GWANMACOC-192c承载。虽然借鉴了OC-192c的块状帧结构、指针、映射以及分层的开销，但是在SDH础上做了大量的简化，使得修改后的以太网对抖动不敏感，对时钟的要求不高。A1A2B1J0S1K1K2Z0，对没有定义或没有使用的字节填充00000000SDH路上实现保护倒换。其次，避免了繁琐的同步复用，信号不是从低速率复用成高OC-192c净负荷中。10G10G（10Gbit/s,10G9.58464GbitsSDHPCS层未编码前的速率MACMAC10Gbit/s10GMII10Gbit/s9.58464Gbit/s10G以太广域10Gbit/s9.58464Gbit/sOC-192c的调整3种：在GMII接口处发送HOLD信号，MAC层在一个时钟周期停止发送；利用“BusyMACIPG期间发送“Busy层收到后，暂停发送数据。物理层向MACIPG期间发送“Normalidle”MAC层收到后，重新发送数据；采用IPG延长机制：MAC帧每次传完一帧，根据平均数据速率动态调整IPG间隔。千兆位以太网技术千兆位以太网技术Ethernet）以简单的以太网技术为基础，为网络主 四川理工学院毕业设计（论文） 1Gbps工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。10Mbps100Mbps快速以太网连接标准的IEEE802.3z，IEEE802.3zIEEE802.3CSMA/CD千兆以太网通过载波扩展CarrierExtensio、采用带中继、交换功能的网络500M3000M。如采用1300nm50um3kmLongHaul(LH)60Km千兆位以太网能够提供更高的带宽，并且成为有强大伸缩性的以太网家族的因为千兆位以太网的帧格式和帧尺寸大小等都与所有以太网技术相同，不需要对在经济和管理性能方面都是较好的选择。在IntranetATM（MPEG－2)RSVP等）和新标准（如802.1Q、802.1p等）的出现使得在局域网中千兆位以太网也可以极好地支持视频和音频等多媒体数据应用。千兆位以太网的设计非常灵活，几乎对网络结构没有限制，可以是交换式、IP术和第三层的交换技术，都与千兆位以太网完全兼容。千兆位以太网可以通过价格便宜的共享集线器、交换机或路由器来实现。千兆位以太网支持新的交换机之间或交换机与工作站之间全双工的连接模式，同时也支持半双工连接模式以便与CSMA/CD存取方式的共享集线器连接。千兆以太网技术的优点：技术简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。便于升级，从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网，并不19 匡丹：大型科技产业园区的网络规划与设计 需要掌握新的配置、管理与排除故障技术；网络投资可以得到保护，无需对用户进行再培训，也无需为额外的网络协议进行投资；千兆以太网有良好的互操作性，并具有向后兼容性；端口价格相对较低；可以提供10倍于快速以太网的传输速度。ATM比较ATM技术的复杂性，标准的制定仍在进行中，需要时间完善。千兆以太STP，UTP5ATM-622M及更高速的只能在ATM千兆以太网与现存的各种数据应用程序及网络的兼容性无需作任何改动。ATM与LANQos保证不同类型应用等新的技术协议以及在IPATMLANESVCsIETFRSVP的复杂映射来解决；其次千兆以太网可以实现多厂家产品的互操作性基于标准的互联高层的互操ATMVLAN的支持与快速以太网一致，但同样的VLAN连接与组成标LANATM的可互操作性是既枯燥又复杂的。总之，千兆以太网络比ATM网络在园区骨干网络的发展更具有生命力，更加的物美价廉。详细设计3.6三层网络结构图根据彭州工业开发区科技园网络现状为适应未来园区企业业务发展需求，以及上面流行技术的比较，我们选择万兆骨干，千兆到企业桌面的网络构架，即骨干交换机（核心层和汇聚层）之间采用万兆连接，接入交换机与桌面系统（包括服务器和工作站）之间的连接采用10/100/1000M自适应端口来实现。另外，采用先进的分层网络设计原则，如图3.63.6三层网络结构图20 四川理工学院毕业设计（论文） 分布式三层网络构架的优点1、主干采用三层构架，充分利用三层交换的高性能管理，满足大容量、高速率的数据传输。2、基于三层的管理，对网络的各种信息数据处理游刃有余。3、分布式的三层提供强大的系统张力，有利于今后网络的扩充、维护和管理。4、三层交换技术实现网络路由管理。不但有效地控制了网络风暴，又能实现跨VLAN的网络连接，为网络安全提供了强有力的保障。5、分布式三层结构使管理智能化，提高了管理效率。三层与二层网络构架的比较1、与二层交换网络的区别分布式三层网络提供基于二层交换技术的智能网管和支持流行的路由协议，把二层交换与路由器的优点有机结合起来，从而满足各种高级的网络应用需求。2、与中心式三层核心交换网络的区别分布式三层网络可管理到每一个基层网络，大大减少了骨干网的负担。分布式三层网络的管理能力是均衡的，避免了中心式三层核心交换网络存在的头大身子小的堆叠式、大容量、高背板带宽、价格昂贵的不足。三层网络的功能1、采用三层交换机负责网络管理，通过VLAN划分有效抑制广播风暴，同时保证了不同子网间的正常访问。2、分布式三层交换支持流行的路由协议，实现各交换机间跨网段访问。3、实现网络安全控制。三层交换机不但能提供对MAC地址的分析，还能对IP包进行监测分析，提高网络的安全性。4、分布式三层交换使网络从主干到支干全面智能化，能支持IGMP、DVMRP、SNMP以及多种数据包监测等高级应用，可以提供电视会议、影像互动、视频点播等多种视频网络服务。因此，采用分布式三层网络的构架是必须的。主干路由设计主干路由的选择是否适合将影响到整体网络的性能，根据彭州工业开发区科技园的实际情况，生产型企业与事业单位众多，造成内部小型LAN多，接入点数据量大。因此，我们选择OSPF(OpenShortestPathFirst开放式最短路径优先)路由协议作为主干路由。21 匡丹：大型科技产业园区的网络规划与设计 OSPFOSPF交换并保存整个网络的链路信息，从而掌握全网的拓扑结构，独立计算路由。因为RIP路由协议不能服务于大型网络，所以，IETF的IGP工作组特别开发出链路状态协议——OSPF。目前广为使用的是OSPF第二版，最新标准为RFC2328。OSPF作为一种内部网关协议（InteriorGatewayProtocol，IG个自治域具有支持大型网络、路由收敛快、占用网络资源少等优点，在目前应用的路由协议中占有相当重要的地位。关于OSPF路由协议的几个关键性概念：1、链路状态OSPF路由器收集其所在网络区域上各路由器的连接状态信息，即链路状态信息Link-Stat(Link-StateDatabase上所有路由器的链路状态信息，也就等于了解了整个网络的拓扑状况。OSPF器利用“最短路径优先算法(ShortestPathFirstSPF)”，独立地计算出到达任意目的地的路由。2、区域OSPF协议引入“分层路由”的概念，将网络分割成一个“主干”连接的一组相互独立的部分，这些相互独立的部分被称为“区域”(Area)，“主干”的部分称为“主干区域”OSPF路由器只保存该区域的链报文数量都不会过大。3、OSPF网络类型根据路由器所连接的物理网络不同，OSPF将网络划分为四种类型：广播多路BroadcastMulti-Acces（NoneBroadcastNBM、点到点型（Point-to-Point、点到多点型Point-to-Multipoint。4、指派路由器（DR）和备份指派路由器（BDR）在多路访问网络上可能存在多个路由器，为了避免路由器之间建立完全相邻要求在区域中选举一个DRDR的同时也选举出一个BDR，在DR失效的时候，BDR担负起DR的职责。点对点型网络不需要 四川理工学院毕业设计（论文） OSPF协议由Hello协议、交换协议、扩散协议组成。当路由器开启一个端口的OSPF路由时，将会从这个端口发出一个Hello以后它也将以一定的间隔周期性地发送HelloOSPF路由器用Hello报文来初始化新的相邻关系以及确认相邻的路由器邻居之间的通信状态。对广播型网络和非广播型多路访问网络，路由器使用Hello协议选举出一个DR。在广播型网络里，Hello报文使用多播地址过程自动发现路由器邻居。策略路由规划传统的路由策略都是使用从路由协议派生出来的路由表，根据目的地址进行报文的转发。在这种机制下，路由器只能根据报文的目的地址为用户提供比较单基于策略的路由比传统路由控制能力更强，使用更灵活，它使网络管理者不仅能源地址或者其它的策略来选择转发路径。策略可以根据实际应用的需要进行定义来控制多个路由器QoSIP源地址中的一个或者多个的组合。当数据包经过路由器转发时，路由器根据预先设定的策略对数据包进行匹配，如果匹配到一条策略，就根据该条策略指定的路由进行转发；如果没有匹配到任何策略，就使用路由表中的各项根据目的地址对报文进行路由。安全网关提供灵活的策略路由能力，不仅能够根据源地址、协议类型、应用、报文大小、链路流量进行路由，而且可以根据报文数据流的发起方向来确定以后的路由，在使用时更加灵活，能够满足各种应用环境的需要。常见的应用模式有以下几种：1、上网负载均衡：对于多条ISP线路，网络管理员可以在不同的路径之间根据带宽分配内网上网流量，实现负载平衡。2、基于源地址选路：例如一个网络通过两条速度不同的线路接入互联网，管理员可以指定内网中一些特定的用户使用快速线路，而普通用户使用慢速线路。3、根据服务级别选路：对于不同服务要求（如：传送速率、吞吐量以及可靠性等）的数据，根据网络的状况进行不同的路由。如：指定语音与视频等应用走带宽大的线路，数据应用走带宽小的线路。23 匡丹：大型科技产业园区的网络规划与设计 4VPNVPNVPNVPN接入线路的相互备份。核心层设计核心层是互联网络的高速主干网，用以连接服务器群、建筑群到网络中心，或在一个大型建筑物内连接多个交换机管理间到网络中心设备间，这样核心层便成为网络间数据包交换的至关重要的一层。为了保证核心层具有高可靠性，并且具有快速适应能力，不会因为某条路径故障导致网络瘫痪，必须采用冗余组件设（快速以太网的FEC等）来解决冗余连接链路的负载。在核心层的设备主要为路由器、三层交换机等，在配置这些设备的时候，应该考虑优化分组吞吐量的路由特性，应避免使用分组过滤或其他可能会降低处理使核心层设备之间既相互独立又相互关联。对于需要通过外部网或经过Internet连接的其他企业网络来说，核心层拓扑结构应当有多条连接到外部网络的通道。由于核心层处于主干网络，而主干网技术的选择要根据需求分析中的数据来定，主干网络一般用来连接建筑群和服务器群，因而核心层可能承担网络上40%~60%主要技术为万兆、千兆以太网等。从易用性、先进性和扩展性的角度考虑，采用千兆以太网技术为最常见。综上所述，在核心层采用3台RG-S6806E构成万兆光纤环网。使用OSPF作为主干交换技术。以解决多用户，高设备压力的问题。RG-S6806E系列多业务万兆核心路由交换机提供2.4T/1.2T来扩展到4.8T/2.4T的能力，高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。RG-S6806E交换机通过扩展高性能的多业务卡支持策略路由、IPV6、MPLSloadbalancingVPNFirewallwebcacheredirect等业务功能，满足企业环境灵活而复杂的不同应用需求。具有强大数据处理设计设计）其交换、路QoS等复杂功能通过硬件实现，避免了软件实现同样功能对数据高速处 四川理工学院毕业设计（论文） 理的影响。强大的扩展能力提供2.4T/1.2T背板带宽，在不更换机箱的情况下，未来仅通过更换管理模块可以支持背板带宽扩展到4.8T/2.4T。汇聚层设计汇聚层对下将接入层交换机的数据进行汇聚，对上通过高速接口将数据传输到核心交换机，起着承上启下的作用。设计汇聚层的时候，根据汇聚层的主要功能，应充分考虑以下几点：汇聚层设备要有足够的带宽具有三层和多层交换特性具有灵活多样的业务能力须具有冗余和负载均衡能力汇聚交换机起着中间桥梁的作用，要选择既能满足现在网络的需要，又要在基于以上分析和彭州工业开发区科技园的实际情况，为保护企业原有投资将原有核心设备作为汇聚层设备使用，并添加多台高性能、高安全、多智能、易用性的锐捷RG-S3750-24实现冗余链路。并在汇聚中使用ACL控制用户访问权限。RG-S3750换机。该系列交换机硬件支持多层线速交换，并提供了丰富而完善的路由协议，以适合大型网络多种路由和高性能的需要。RG-S3750系列交换机提供二到七层的智能的业务流分类、完善的服务质量能、多智能的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理使用网络资源，充分保障网络安全、网络合理化使用和运营，并可以根据网络实际使用环境，实施灵活多样的安全控制策略。接入层设计接入层为用户提供对网络中本地网段的访问，它的主要作用是将工作组与汇聚层连接起来，主要完成逻辑网络分段、基于工作组或LAN隔离广播通信以及在多个CPU之间分布服务。它有以下一些特点：提供各种不同数量的100Mbps端口到用户，提供100Mbps或1Gbps（光口）上行端口到上层交换机25 匡丹：大型科技产业园区的网络规划与设计 高性能，低成本，所有端口支持全线速二层交换施网络设备可扩展性好，可平滑升级支持丰富的业务特性方便使用的网管STAR-S2126G作为接入层设备.该设备为可堆叠的安全智能交换机，能提供智能的流分类、完善的服务质量和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。各部门之间使用虚拟局域网入到汇聚层。STAR-S2126G可通过SNMP、、和Console口等多种配置方式提供丰富的管理。STAR-S2126G以极高的性价比为各类型网络提供完善的端到端的QoS智能的企业网新需求。安全设计RG-WALL1200防火墙,RG-WALL1200防火墙是锐捷采用独创（ClassificationInspection）端口应用程序(如等)时，可提供强有力的安全通道。网络管理平台在本设计中管理系统使用StarViewStarView网络管理系统是一套基于Windows络级网络管理系统。它是由锐捷网络自主开发的软件产品。远端分公司解决方案远端分公司以VPN方式通过Internet建立连接，可以高效率、高可靠性、高性价比进行网络互通。设计经济实用，采用高性价比产品配置，支持系统平滑升级过度。VPN即虚拟专用网(VirtualPrivateNetwork)，是一条穿过混乱的公用网络的安 四川理工学院毕业设计（论文） 全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到VPN用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。目前，用于企业内部自建VPN的主要有两种技术——IPSec和SSLIPSecVPN和SSL主要解决的是基于互联网的远程接入和互联，虽然在技术上(如专线它们更适用于商业客户等对价格特别敏感的客户。但针对IPSec和SSL企业应用最广泛的是IPSecVPN，然而InformaticsResearch研究表明，在未来的几年中IPSec的市场份额将下降，而SSLVPN将逐渐上升。用户在考虑采用哪种技术时经常会遇到两难的选择，即安全性与使用便利的冲突。而事实上没有哪一种技IPSecVPNVPN隧道进行站点之间IT建设、管理和维护方面拥有一定经验的员工。企业的数据比较敏感，要求安全级别较高。企业员工不能随便通过任意一台电脑就访问企业内部信息，移动办公员工的笔记本或电脑要SSL维护水平较低，员工对技术了解甚少，并且方面的投资不多。因此，选用VPN技术解决与远端分公司通信的方案是必须的，同时也是合理的，既能满足企业需求，又能为企业网络节约成本。27 匡丹：大型科技产业园区的网络规划与设计 第四章设备选型设备选型原则在网络设备的选择中将根据彭州工业开发区科技园的具体情况，对网络的需求以及园区内各企业的需求，设备选型将根据以下几点原则进行实施：稳定可靠性：只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经高带宽：为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。易扩展性：系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚QoS(英文全称为"QualityofService"为服务质量")QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。保证随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证QoS，以支持这类应用。安全性：网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。易控制管理性：因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。符合IP发展趋势遍的，而技术本身又处在发展变化中，如IpV6，IPQoS，IPOverSONET须选择处于发展领导地位的网络厂商。28 四川理工学院毕业设计（论文） 设备清单单（4-，以供参考。表4.1设备清单设备名称 设备基本参数24口10/100M交换机，两个扩展槽

参考价 设备数合计（元）格（元）量（台）STAR-S2024E可上100M、1000M光纤/

3750 420 1575000电口模块RG-S3750-2424端口10/100M自适应端口4个SFP接口和4个复用的110004246200010/100/1000M自适应电口Mini-GBIC-LH

1000BASE-LHminiGBIC模块，40km6扩展槽主机箱（硬件版本

12000 42 504000RG-S6806E-BAS V3.xE（V3.x） 含1个交流电源和风扇，56320316896018040563203168960180406108240

66000 3 198000M6806E-CM（V3.x）RG-PA1200M6800E-24SFPM6800E-12SFP/GT

管理引擎模块（V3.x600G交换容量交流电源模块（可以冗余，1200W）24端口MINI-GBIC千兆模块12口10/100/1000M电口/MINI-GBIC复用模块固化4个10/100/1000BaseT+2个千兆SX光口

92400 188000 2

92400176000RGWALL-1200总计

最大并发连接数达 sessions

200000 1 200000348460029 匡丹：大型科技产业园区的网络规划与设计 设备简介核心设备RG-S6806E是锐捷网络推出的基于 NP+ASIC构架的新一代多业务万兆核心路由交换机，RG-S6806E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。详细技术数如下表：产品型号

RG-S6806E

表4.2 RG-S6806E详细参数表模块插槽背板

6个（2个用于管理引擎模块）800G（可扩展1.6T）1.2（可扩展2.4V3.）交换容量 400G600G（V3.x引擎包转发速率 L2/L3：286MppsL2/L3：428M（V3.x引擎）MAC地址路由表项

64K256K802.1qVLAN 4KIEEE802.3IEEE802.3uIEEE802.3zIEEE802.3aeIEEE802.3xIEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1QL2协议L3协议病毒攻击防护管理方式

IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、port mirror、IGMPSNOOPINGAggregateport、GVRP、jumboframe(9Kbytes)、QINQBGP4OSPFRIPV1RIPV2IGMPDVMRPPIM-SM/DM、PIM-SSM、LPMRouting、Policy-basedRouting、ECMP、WCMP全面的ACIPSouceIPSpoofinDOSSmur，防扫描PingSwee）SNMPv1/v2/v3、Telnet、Console、CLI、RMON、SSH30 四川理工学院毕业设计（论文） SNTPSNTP、VRRPBootP/DHCPclientARPPROXYDHCPrelay、IPV6、其它协议MPLS、loadbalancing、VPN、Firewall、webcacheredirectSyslog汇聚设备RG-S3750系列是锐捷网络新推出的充分融合了高性能、高安全、多智能、易用性的新一代多层交换机。RG-S3750系列交换机提供二到七层的智能的业务流分类、完善的服务质量高性能、多智能的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理使用网络资源，充分保障网络安全、网络合理化使用和运营，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，详细技术参数如下表：产品型号

RG-S3750-24

表4.3 RG-S3750-24详细参数表固定端口SFP模块背板包转发速率MAC802.1qACL

24端口10/100M4个SFP接口和4个复用的10/100/1000M自适应端口Mini-GBIC-LH4：1000BASE-LH miniGBIC转换模块LC接口，40km；Mini-GBIC-ZX51000BASE-ZXminiGBICLC接口Mini-GBIC-ZX81000BASE-ZXminiGBICLC接口80km37.6GbpsL：线速（9.6MppL：线速9.616K4KIPACLIP、MACACLACLACLIEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、L2协议 IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1dIEEE802.1wIEEE802.1sIGMPSnoopingLLDPL3协议 OSPECMP/WCMRIPv1/vPIDM/SM/SSDVMRVRR、31 匡丹：大型科技产业园区的网络规划与设计 管理协议其它协议JumboFrame网络介质和最大传输距离

IGMPv1/v2/v3SNMPv1/v2/v3、CLI(TelnetRMON(1,2,3,9)群、SSH、SNTPSyslogDHCPRelay、BootP、DNSClient支持1000BASE-SX：波长850nm，62.5/125um多模光纤线的最大传输距离为220m；50/125um多模光纤线的最大传输距离为500m；1000BASE-LX：波长1310nm，62.5/125um多模光纤线的最大传输距离为550m；50/125um多模光纤线的最大传输距离为550m；接入层设备RG-S2126是锐捷网络专门针对企业级网络安全防范、全局智能管理的广泛需求，量身设计的一款高性能、高安全、可堆叠的网管型以太网交换机。其基于高背板全线速设计，通过提供智能的流分类和完善的服务质量以及组播管理ACL灵活的堆叠功能，可随时智能创建高密度端口的集中管理模式，方便用户在接入SNMP和Console口等多种管理方式。RG-S2126以普通网管交换机的价格提供了高性价比的端到端数据安全访问解决方案，特别适合企业级网络建设、宽带社区、电子政务网等高安全、高效管理需求的应用场合。详细技术参数如下表：表4.4 RG-S2126详细参数表产品型号固定端口扩展模块插槽模块

RG-S212624个10Base-T/100Base-TXRJ45端口2个扩展插槽，可扩展最大2个百兆/千兆接口模块RG-MGSX 单口千兆短波光纤接口模块RG-MGLX 单口千兆长波光纤接口模块RG-MGT 单口千兆铜缆电接口模块RG-M100FX 单口百兆多模光纤接口模RG-M100FX-S 单口百兆单模光纤接口模块RG-MSTACK 堆叠模块32 四川理工学院毕业设计（论文） IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、协议 、IEEE802.3ab、IEEE802.1Q、IEEEE802.1dIEEE802.1w、IEEE802.1s、LLDPSNMPv1/v2/vWeJACL（Telnet/ConsolRMON(1,2,3,9、管理协议其它协议组播协议背板包转发速率MAC地址802.1QVLAN端口镜像端口聚合堆叠广播风暴抑制安全设备1、防火墙

集群、SSH、SyslogBOOTP/DHCPRelayIGMPSnoopingIGMP12.8Gbps线速（6.6Mpps）8K2564KVLANPVLAN/输出流的镜像最大6组，每组最大聚合8个百兆端口、2个千兆端口支持，最大8台堆叠，堆叠体各上联端口仍可支持端口聚合支持RG-WALL1200防火墙,RG-WALL1200防火墙是锐捷采用独创（ClassificationInspection）端口应用程序(H323等)时，可提供强有力的安全通道。该防火墙的高速性能不受策略数多少的影响，产品安装前后丝毫不会影响网具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。的主要功能包括：扩展的状态检测功能、防范入侵及其它（URL过滤、HTTP透明代理、SMTP代理、分离DNS、功能和审计/报告等）附加功能。表4.5 RG-WALL1200详细参数表产品型号产品型号RG-WALL1200千兆防火墙端 口410/100/1000BaseT+2SX光口33 匡丹：大型科技产业园区的网络规划与设计 最大并发连接最大并发连接1,500,000吞吐量2.5G（最大）策略数 65,535尺 寸19英寸宽度，2U高度2、网络管理系统StarView系统，StarViewWindows平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统，它是由锐捷网络自主开发的软件产品。StarView管理系统能提供整个网络的拓扑结构，能对以太网络中的任何通用IPSNMPSNMPTelnet管理、Web管理、RMON管理等构成一个功能齐全的网络管理解决方案，实现从网络级到设备级的全方位的网络管理。StarView可以对整个网络上的网络设备进以及进行网络流量的统计和错误统计，网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。服务器1、服务器需求根据公司业务需求及未来发展需要，将涉及的网络应用和业务应用较多，下表是企业应用的服务以及对应的服务器需求情况对照表：表4.6 服务器需求情况应用类型及名称服务器需求情况及补充建议数量WWW部门级服务器（快速网卡）1FTP部门级服务器（磁盘容量、快速网卡）1OA部门级服务器（数据备份）1财务系统企业级服务器（数据备份）1Mail系统企业级服务器（高速处理器、大容量内存、数据备1网络管理和监控企业级服务器（高速处理器、大容量内存、数据备12、服务器推荐配置34 四川理工学院毕业设计（论文） 提供完美系统服务平台，我们推荐了企业级服务器和部门级服务器各一套以供选择。设备类型外观结构主板扩展插槽支持操作系统标称主频CPU核心处理缓存内存类型硬盘类型热拔插硬盘SCSI控制器IDE控制器网卡类型/数量额定电压额定功率

表4.7（HPProliantDL580机架式8个MicrosoftWindowsServer2003；RedHatEnterpriseLinux；SuSELinuxEnterpriseServer；NovellNetWare；SunSolarisIntelPlatformEdition；VMware虚拟化软件IntelXeonMPX73502930MHzTigerton(四核心)444MB*2266MHzECCPC2-5300DIMMDDR2-6672GB*4128GBSAS/SATA0GB8SFF16SFFSAS/SATAHPP400i/512MB电池支持的高速缓存写入ATA100TCP/IP2NC373iProLiantEssentialsiSCSI100120/2002405060赫兹800/120035 匡丹：大型科技产业园区的网络规划与设计 表4.8部门级服务器参数设备类型设备类型部门级服务器（HPProliantDL380G5）外观结构机架式主板扩展插槽4PCI－ExpressPCI－X/PCI－ExpressWindows2000/2003 Server，Novell NetWare,SCO UnixWare、支持操作系统OpenServer,LINUX (Red Hat, SuSE)，SCO UnixWare、处理器类型OpenServer,VMwareVirtualizationSoftwareIntelXeonE5335标称主频2000MHzCPU核心Clovertown(四核心)标配处理器数量 1最大处理器数量 2处理缓存4MB*2处理器外频333MHz内存类型ECCPC2-5300DDR2667FB-DIMM标准内存容量1GB*4最大内存容量32GB硬盘类型随即硬盘容量0GB热拔插硬盘支持SCSI控制器256MBHP智能阵列P400控制器(RAID0/1/1+0/5)IDE控制器ATA100网卡类/数量 带有TCP/IP卸载引擎的嵌入式双NC373i多功能千兆服务器适配器电源热插拔交流冗余电源电源数1+1额定电压100-132200-240额定功率800上边推荐的两款服务器标准配置中都不包含储存介质，存储介质需要另外配置。在选择存储配置时可以根据企业业务需要的不同来选择不同容量，不同接口的存储介质。36 四川理工学院毕业设计（论文） 第五章VLANIPVLAN划分机制1、基于端口划分的VLAN这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。2、基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLANMAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。37 匡丹：大型科技产业园区的网络规划与设计 3、基于网络层协议划分VLANVLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查实现方法有关。4、根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN这种划分的方法将VLAN5、按策略划分VLAN基于策略组成的VLANVLAN交换机端口、求来决定选择哪种类型的VLAN。6、按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。IP地址分配方案常见的分配、按拓扑结构分配等，几种常见分配方法的比较如表5-1所示。38 四川理工学院毕业设计（论文） 地址分配方案按申请顺序分配

无需规划

表5.1IP地址分配方案比较优 缺 点

缺乏可管理性需要很少的规划便于给机构中的一部分分配地址如果机构组织是按地址域划分的，这种方案比较好，否则网络缺乏扩展性需要规划需要规划在大规模网络中具备可聚合性按拓扑结构分配 能大大减小路由表的大小扩展性好一般比较容易配置与维护根据上表对另一方面有较好的扩展性，较容易配置与维护，这样的分配方案才是最适合应用于企业园区的网络中。39 匡丹：大型科技产业园区的网络规划与设计 第六章网络安全设计网络安全主要体现在以下几个方面：网络设备安全、网络管理系统安全、网络业务安全、数据传输安全、用户网络安全等等。设计通过采用多核心环形网络架构、OSPF路由技术，用以解决局部网络故障影响全网的问题。企业内部多业务共存，各业务属于不同区域采用Vlan技术与ACL进行访问控制。针对不同的用户类型在汇聚层Interface配置标准ACL，禁止其他用户访问诸如财务部VLAN，针对非法DHCP服务器采取在接入层配置扩展ACL，过滤掉外来UDP67，68的流量。在接入层交换中作扩展ACL对常见病毒通常使用的端口进行过滤。在防火墙设置相应策略保护DMZ区应用服务器安全。网络系统安全设计物理安全保证计算机信息系统各种设备的物理安全是整个计算机系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及认为操作失误或错误以及各种计算机犯罪行为导致的破坏过程。主要包括三个方面：1参见GB50173-93GB2887-89GB9361-88）2、设备安全：主要包括设备的防盗、放毁、防电磁信息辐射泄露、防止线路截获、电磁干扰及电源保护等3、媒体安全：包括媒体数据的安全及媒体本身的安全4、机房环境和场地安全方面达到标准5、制定严格的机房管理制度具体讲包括严格利用防火墙与IPS保护内部网络；对所有的服务器、重要部门计算机加装UPS，其中各服务器的UPS能保证使用较长时间；对所有的网络设备、建筑物、布线系统进行防雷与接地处理；对所有的网络设备加装机柜，防治盗窃。对所有的传输介质如光纤、双绞线等加装PVC保护管道，保护传输介质。信道传输安全40 四川理工学院毕业设计（论文） 要求信道提供商通过改造线路质量，对数据库信息的采集和处理进行二次开发注入信道传输方面的安全措施；可采用对应用程序加密、对通信线路加密等。针对锐捷网络设备还有端口安全与认证（基于802.1X）机制，这样可以更有效的保护