网络设计方案

网络系统设计规划1、网络设计指导原则网络设计应当遵照开放性和原则化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充足运用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS确保2、网络设计总体目的先进性：系统含有高速传输的能力。工作站子系统传输速率达成100Mb/S，水平系统传输速率达成1000Mb/s,满足现在和将来数据的信息传输的需求；主干系统传输速率达成1000Mb/s,同时含有较高的带宽，满足现在和将来的图像、影像传输的需求。灵活性：系统含有较高的适应变化的能力。当顾客的物理位置发生变化时能够在非常简便的调节下重新连接；布线系统适应多个计算机网络构造，如以太网、高速以太网、令牌环网、ATM网等。布线系统且含有一定的扩展能力。实用性：系统含有低成本、使用方便、简朴、易扩展的特点。布线系统应在满足多个需求的状况下尽量减少材料成本；布线系统含有操作简朴、使用方便、易于扩展的特点。3、网络通信联网合同TCP/IP：每种网络合同都有自己的优点，但是只有TCP/IP允许与Internet完全的连接。Telnet：远程登录访问合同，使其它跨省区域的子公司通过远程访问总部的内外，在远程访问时，会设立对应的ACL认证和相对的权限设立。SNMP网络管理合同：SNMP用于在IP网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种原则合同，它是一种应用层合同。SNMP使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增加。通过SNMP接受随机消息（及事件报告）网络管理系统获知网络出现问题。路由合同：RIP、IGRP、EIGRP、IS-IS和OSPF。4、网络IP地址规划集团园区网计划使用私有的A类IP地址。集团园区网的IP地址分派原则以下：集团使用IPv4地址方案。集团使用私有IP地址空间：/8。集团使用VLSM(变长子网掩码)技术分派IP地址空间。集团IP地址分派满足集团的运用。集团IP地址分派满足便于路由汇聚。集团IP地址分派满足分类控制等。集团IP地址分派满足将来公司网络扩容的需要。5、网络技术方案设计总体网络采用基于树型的双星型构造，使之含有链路冗余特性；整体网络规划为核心及服务器群区域，内部骨干区域（汇聚链路），接入层上联区域，客户端接入区域；核心交换机位于集团总部机房，并为双核心，使用双主干网络设计，确保主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运行，也不用手工切换和维护，确保网络的可靠性。采用全交换硬件体系构造，可实现全线速的IP交换；网络主干采用先进的千兆位以太交换技术，可最大程度地提高主干的数据传输速率。使用千兆网络确保网络交易速度与实时性，使用了FEC/GEC技术实现网络带宽的扩展，适应网络不停扩展的规定。根据需求概括，我们选择的是D-Link公司级的DES-8503万兆核心交换机为本次网路建设总部机房的核心交换；DES-8503万兆核心路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品，其背板带宽高达3.2Tbps，包转发速率最大为952Mpps，含有二到四层线速交换能力。DES-8503万兆路由交换机基于先进的模块化理念进行设计，并采用了基于多解决器分布式解决机制和Crossbar空分交换构造的体系构造，核心模块均采用1:1冗余备份。可提供10GE、GE、FE等多个丰富的接口模块，并全方面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功效。整个系统所含有的高可靠性、高扩展性、强大的业务能力等特点能够满足多个网络核心层的建设需求。DES-8503（3个插槽）作为D-Link行业产品线核心交换机之一，可广泛的应用在各行业的IP网核心、公司数据中心、IP城域网核心和汇聚、校园网核心等场合，为顾客提供多个业务接入、路由交换一体化的安全融合网络解决方案。ES-8503万兆核心路由交换机含有一下的优点：

先进的系统架构：采用了分布式、模块化设计理念，并采用了基于多解决器分布式解决机制和Crossbar空分交换构造的体系构造。这确保了系统优秀的转发性能、强大的业务能力和高度的可扩展性。高端口密度和线速路由及交换：含有丰富的接口类型，提供10GE、GE、FE等接口。能够真正实现高端口密度和线速路由及交换。

大容量、高性能：支持高达952Mpps的路由包转发能力，并支持512K条第三层路由信息、512K第二层的MAC地址以及

4096组VLAN、

8K条安全和访问控制方略，确保了数据线速转发的规定。

增强的业务功效：含有L2/L3/L4线速交换能力、含有QoS、MPLS、NAT、带宽控制、组播等高级性能，是定位于网络核心层、实现整体网络增值的优选设备。同时，提供基于硬件的流量分类和组播以及速率限制和先进的服务质量确保（QoS）机制，可为顾客开展增值业务提供强大的支持。

强大的安全功效：支持ACL安全过滤机制，可提供基于顾客、地址、应用以及端口级的安全控制功效，并支持IPSec、MPLS

VPN特性。同时，支持基于端口不同优先级对列的和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传，VLAN

ID与MAC地址、端标语、IP地址捆绑等安全功效。另外，系统还含有完善的抗病毒机制，可觉得网络运行提供全方面的安全确保。

支持IPv6：全方面实现了多个IPv6合同技术，涉及IPv4和IPv6双合同栈和基于手工配备隧道、自动配备隧道、6to4隧道等IPv4向IPv6的基本过渡技术。同时，实现了IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPFv3等动态路由合同。

全方面支持二、三层MPLS

VPN：二层MPLS

VPN支持Martini合同（VPWS）和VPLS、三层MPLS

VPN采用RFC2547bis，含有良好的兼容性，能够与其它主流厂家的设备实现MPLS

VPN业务的全方面互通。

电信级可靠性：系统的主控单元、电源等等核心模块均能够进行1:1方式的备份，无中断保护系统（Hitless

Protection

System

-

HPS）为DES-8500的高可靠性提供了最重要的确保，在配备冗余控制模块的状况下，它能满足最苛刻的可靠性规定。同时，DES-8500的VRRP、STP、LACP等功效为顾客提供了进一步的可靠性确保。

统一的网管功效：支持RFC

1213

SNMP（简朴网络管理合同），带内网管的形式可采用基于Telnet的配备管理（CLI命令行的形式）或基于SNMP的配备管理

（图形界面的形式），实现基于Broad

Director网管平台的统一网管。

接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连，传输速率达1Gbps，采用全双工通信可达2Gbps。其物理连接采用多模光缆互相连接，以提供物理层、链路层及IP层的冗余连接能力。核心交换：三层千兆交换机为整个网络的核心，它对整个网络的性能，可靠性起决定性作用，它连接各个物理子网，治理网络内信息交换(涉及多媒体信息)，控制VLAN间访问，确保信息安全。因此，我们选用的中心交换机除了提供高速的网络连接之外，还含有多个信息的治理和控制能力。全部的网络设备均支持高效的Intranet多媒体和多点广播技术、治理合同(CGMP)等，为多媒体和多点广播应用如IPTV等提供端到端的带宽确保。网络采用分层构造，不仅逻辑构造清晰，治理方便；更重要的是大多数的数据流量(重要是同一部门或工作组内)的交换在次级节点分布交换机上直接解决，不经中心设备，节省主干带宽，提高运用率。有一定的前瞻性，不仅满足现在网上应用，也为将来更高性能的升级作好了预备：网络含有良好的伸缩性，升级和扩展重要只集中在网络中心，添加新的接口模块，即可实现顾客和信息点的扩充；增加光纤连接即可大量提高主干带宽；中心增配另一台多层交换机，网络构造就能连接成可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由合同和热备份双服务器主机系统，在整个系统内消除单点故障，提供高可用性的应用服务系统。汇聚交换及接入交换：二级交换机能够每个独立构成一种VLAN，也能够多个二层交换机构成一种VLAN。VLAN之间的路由由中心交换机负责。不同的部门/单位能够通过配备不同的VLAN等方式来隔离广播和信息流，不仅能够提高网络效率，并且能够增强网络安全。而每台交换机上的10/100自适应端口又能够与下层100M到10M交换式集线器相连接。心交换机与二层交换机以1000M全双工的方式相连接。这样的连接构造可确保网络带宽的最大程度的合理应用。集团由总部机房采用一处连接Internet中，设立防火墙等安全软件，并对外网的远程登录设立权限及对应的安全认证！6、网络应用系统选择根据集团顾客对操作系统的规定：操作系统规定选择最新版本，所选操作系统需要提供方便的更新与升级办法，服务器操作系统需要能够提供目录服务功效，服务器及客户机操作系统都需要支持TCP/IP合同，所选操作系统应能够方便的实现顾客和权限的管理，秘选操作系统应能够运行大多数应用软件，例如办公软件、图像解决软件、CAD财等，我们选择Linux，它含有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少量费用、有强大的网络功效、在有关软件的支持下，可实现WWW、FTP、DNS、DHCP、E-mail等服务。建立WWW服务器，实现Internet上浏览和查询；建立FTP服务器，结合学校实际和需要逐步建立远程FTP服务；建立Ｗｅｂ服务器把图文信息组织成分布式的超文本，并用信息指针指向存有有关信息的服务器，使顾客能够方便地访问这些信息。当网上顾客增多时，网络访问很频繁，通信量很大，随机性强。作为全校的通讯枢纽，需要配备高性能的服务器设备，重要的需求是高性能的ＣＰＵ、ＳＭＰ体系构造、高速Ｉ／Ｏ通道和网络通道。

建立域名服务器ＤＮＳ，各地名字服务器管理下属主机和子域，并由高一级名字服务器监管，但每个域最少需要配备一台以上的名字服务器。ＤＮＳ数据量不大，但访问频繁。建立数据库服务器能有高效的解决速度、较大的内存和磁盘空间、快速的Ｉ／Ｏ系统和网络界面，较高的可靠性，完善的系统备份功效和较好的可扩充性能。7、网络安全系统设计内网安全设计：访问控制，通过密码、口令（不定时修改、定时保存密码与口令）等严禁非授权顾客对服务器的访问，以及对办公自动化平台、的访问和管理、顾客身份真实性的验证、内部顾客访问权限设立、ARP病毒的防御、数据完整、审计统计、防病毒入侵。外网安全设计：安装软件、硬件、防火墙，网络防病毒软件，客户端防病毒软件；运用代理服务器提供Internet与Intranet之间的防火墙功效；通过网管实时统计网络的运行状态。设立远程访问身份认证，避免垃圾邮件等。8、网络管理维护设计根据集团和服务器应用模式及全网范畴资源集中管理的原则，在集团总部机房建立中心管理机房，统一网络中的交换设备的管理配备，虚网设计和配备，多个服务建立等。网管工作站对全网全部交换设备和路由设备进行统一管理、配备和维护；进行故障隔离、分析、统计、报警、设立；网管软件采用图形化界面，支持广泛的网管平台。四、网络布线系统设计1、布线系统总体构造设计总体七撞建筑，从总部机房用十二芯单模光纤与其它六撞建筑的设备间|BD|相连，每个设备间也设用十二芯多模光纤与每层的电信间|FD|，并用五类非屏蔽双绞线从电信间与工作站相连接，集团园区网采用10M的光纤以太网接入到因特网服务提供商的网络，然后接入到因特网中，使集团实现与外界的信息交换和网络通信。集团统一由总部机房的一种出口访问Internet，集团能够控制网络的安全。在服务器和核心交换机间：使用UTP电缆来将服务器连接到核心交换机。2、工作区子系统设计工作区子系统由各个单元区域构成，是计算机、电话和信息插座的连接部分，涉及连接跳线和信息插座。信息插座面板含有：通用、超薄、简易、防尘等特点；信息插座的模块采用类RJ-45模块；线缆采用超五类双绞线；水晶头采用RJ-45原则水晶头。为减少成本和结合客户终端的位置多变的特点，跳线可采用原装跳线与自制跳线相结合的方式，中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线，其它采用自制跳线。跳线制作统一采用EIA/TIA568B原则，以使系统含有更加好的兼容性3、水平子系统设计水平子系统重要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中，水平双绞线的最大长度均不超出90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。4、管理子系统设计管理子系统设计由配线间构成。由多个规格的配线架实现水平、垂直主干线缆的端接及分派；由多个规格的跳线实现布线系统与多个网络、通讯设备的连接，并提供灵活方便的线路管理能力。分派线间是各治理子系统的安装场合，可安装配线架和计算机网络通信设备。对于信息点不是诸多，使用功效近似的楼层，为便于治理，仅设立