公司计算机网络设计方案

****公司计算机网络设计方案目录第一章 前言 41.1 系统建设目标 41.2 信息系统建设原则 4第二章 网络规划 82.1 综合布线系统 82.2 系统总体设计 9第三章 网络设计方案 103.1 设计依据 103.2 设计策略 103.3 设备选型 113.3.1 选型原则 113.3.2 路由器 123.3.3 交换机 123.3.4 服务器 133.3.5 防火墙（ＵＴＭ） 133.3.6VPN 143.3.7 机架 153.3.8 UPS 163.3.9 监控 173.3.10 容灾 173.4 方案拓补图 20第一章 前言1.1 系统建设目标****集团信息系统主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向集团的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。本项目的目标是建立如下系统：①构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。②选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法。③完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中。④具有较好的可扩展性，为今后的网络扩容作好准备⑤设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后服务。1.2 信息系统建设原则多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；支持路由协议：IP的RIPV1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP。支持：IPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM；网络管理协议：SNMP，RMON，RMON2；兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。可靠性本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。硬件可靠性系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备（如数据库服务器），采用CLUSTER技术,支持双机或多机高可用结构；配备不间断电源等。软件可靠性充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制。易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。可管理性网络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMON/RMONII协议，核心设备要求支持RAP(远程分析端口)协议，实施充分的网络管理功能。在设计园区网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。第二章 网络规划2.1 综合布线系统综合布线系统是一个高标准的布线系统，水平系统和工作区采用超五类元件，主干采用光纤，构成主干千兆以太网。不仅能满足现有数据、语音、图像等信息传输的要求，也为今后的发展奠定基础。根据综合布线国际标准ISO11801的定义，综合布线系统可由以下子系统组成：工作区子系统(WorkAreaSubsystem)工作区子系统由信息插座延伸至用户终端设备的布线组成，包括信息插座和相应的连接软线。用户能方便地把计算机、电话、传真等不同的终端设备接入大楼的通信网络系统。水平布线子系统(HorizontalSubsystem)水平布线子系统由楼层配线间延伸至信息插座的布线组成，通常可采用超五类双绞线，我们这里采用的是超五类双绞线，也可采用光缆以满足高传输带宽应用或长传输距离的要求。水平布线提供大楼网络通信系统到用户终端设备的信息传输。建筑物主干子系统(BuildingBackboneSubsystem)建筑物主干子系统由大楼配线间延伸至各楼层配线间的布线组成。该子系统亦包括各配线间的配线架，跳接线等。采用的线缆是超五类双绞线。大楼配线间和楼层配线间通常也用于放置网络设备和其他有源设备。建筑物主干子系统提供大楼内通信网络信息交换的主干通道。建筑群布线子系统(CampusCablingSubsystem)建筑群布线子系统由建筑群配线间延伸至各大楼配线间的布线组成。采用的线缆为光纤，。建筑群配线间通常也用于放置电信接入设备和广域网连接设备。建筑群布线子系统提供了各建筑物间通信网络连接和信息交换的通道。2.2 系统总体设计采用高速大容量光纤主干建设公司网络主干为充分满足集团公司内部及对外高速高容量信息通信的需要，系统采用高速高容量的多模光纤作为园区的网络主干。建筑物内采用先进的超五类非屏蔽布线系统根据技术规范，选用高性能UTP非屏蔽系统，传输参数可达到200MHz，通道传输性能在200MHz时ACR>3dB,250MHz时ACR>0dB，通道传输性能不低于招标技术要求所附性能参数表的要求。因此，本方案建议采用AVAYA超五类UTP产品，其传输带宽可达200MHZ以上，可靠支持新的千兆以太网、2.4GbpsATM及高达550MHZ的宽带语音应用，为今后新的高速网络应用留有充足的性能余量。第三章 网络设计方案3.1 设计依据□国家标准《电子计算机机房设计规范》(GB50174-93)□国家标准《计算站场地技术要求》(GB2887-89)□国家标准《电子计算机机房施工及验收规范》(SJ/T30003-93)□国家标准《计算机机房活动地板的技术要求》(GB6650-86)□国家标准《计算站场地安全技术》(GB9361-88)□国家标准《电气装置安装工程接地装置施工及验收规范》(GB50169-92)□中华人民共和国公共安全行业标准GA/T75-94《安全防范工程程序与要求》□《中华人民共和国计算机信息系统安全保护条例》3.2 设计策略为使公司网络具有良好的扩展性能力和灵活的便于管理，易于维护，在网络设计上采用以下策略。统一标准，统一网络统一的IP应用标准（IP地址，路由协议），安全标准，接入标准和网络管理平台，才能实现真正的统一管理，便于集团的管理和网络策略的实施。安全可靠包括物理安全与网络安全。引入不间断电源系统保证供电安全；通过防火墙、上网管理设备保证内网的安全可控；对文件进行备份、存储，应用系统进行容灾确保应用连续；机房进行温度控制、防雷、防火等措施。整齐规范机房整体整齐规范美观。通过机架合理安排服务器、交换机、各类硬件设备的摆放；合理排布网线、电话线等。（效果参看图）3.3 设备选型3.3.1 选型原则我们在网络系统设计时考虑如下特点：稳定可靠的网络只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。适应带宽为了支持数据、话音、视像多媒体的传输能力，要采用最合适的网络设备，既要满足目前的业务需求，又要充分考虑未来的发展。易扩展的网络系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。保证随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证QoS，以支持这类应用。安全性网络系统应具有良好的安全性，安全管理十分重要。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。容易控制管理因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。符合IP发展趋势的网络在当前任何一个提供服务的网络中，对IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如IpV6，IPQoS，IPOverSONET等等新兴的技术不断出现，网络必须跟紧IP发展的步伐，也就是必须选择处于IP发展领导地位的网络厂商。3.3.2 路由器路由器（Router）是互联网的主要结点设备。路由器通过路由决定数据的转发。作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP的国际互联网络Internet的主体脉络，路由器构成了Internet的骨架。它的处理速度是网络通信的主要瓶颈之一，它的可靠性则直接影响着网络互连的质量。在选择路由器是，应根据公司具体接入带宽选择合适的路由器，在保证带宽不受影响的前提下，充分考虑扩容的需求。根据企业的具体规划，选择接入路由器或是企业级路由器。3.3.3 交换机交换机工作在数据链路层，交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部MAC地址表中。通过交换机的过滤和转发，可以有效的减少冲突域。交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段，连接在其上的网络设备独自享有全部的带宽，无须同其他设备竞争使用。当节点A向节点D发送数据时，节点B可同时向节点C发送数据，而且这两个传输都享有网络的全部带宽，都有着自己的虚拟连接。交换机是一种基于MAC地址识别，能完成封装转发数据帧功能的网络设备。交换机选购时。性能方面除了要满足RFC2544建议的基本标准，即吞吐量、时延、丢包率外，随着用户业务的增加和应用的深入，还要满足了一些额外的指标，如MAC地址数、路由表容量(三层交换机)、ACL数目、LSP容量、支持VPN数量等。3.3.4 服务器服务器分文件服务器、应用服务器、域服务器、FTP服务器等。服务器可根据高可用原则，决定某些应用或类型公用一台物理服务器；也可以通过虚拟化技术采购高性能服务器同时满足多项需求。服务器的选购首先要确定选购的服务器级别，包括入门级、工作组级、部门级和企业级，在确定PC服务器的级别后，接着就是权衡即可管理性、可用性、可扩展性、安全性、高性能以及模块化等主要的性能指标。3.3.5 防火墙（ＵＴＭ）防火墙在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在选购防火墙时，一般考虑防火墙的吞吐量、丢包、性能、稳定性等多方面，以选择性价比最适合且可满足扩容要求的防火墙为优。同时UTM设备也是现今较为流行的作法，UTM设备可供选择模块，根据企业需求开通相应的功能，可满足上网行为管理、防火墙、VPN等多项功能。3.3.6VPN在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言，一般通过拨号线路(Internet)进入企业的局域网，而这样必然带来安全上的隐患。虚拟专用网（VPN）的提出就是来解决这些问题：(1)使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。(2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。(3)连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。(4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。VPN具有以下特点：①安全保障VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有和安全性。②服务质量保证（QoS）VPN可以不同要求提供不同等级的服务质量保证。③可扩充性和灵活性VPN支持通过Internet和Extranet的任何类型的数据流。④可管理性VPN可以从用户和运营商角度方便进行管理。3.3.7 机架机架用于固定电信柜内的接插板、外壳和设备。随着计算机与网络技术的发展，数据中心的服务器、网络通信设备等IT设施，正在向着小型化、网络化、机架化的方向发展。这都给数据中心的构建模式带来了新的变化。而机架，正在逐渐成为这个变化中的主角之一。效果如下图：3.3.8 UPSUPS（UninterruptiblePowerSystem），即不间断电源，是一种含有储能装置，以逆变器为主要组成部分的恒压恒频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。当市电输入正常时，UPS将市电稳压后供应给负载使用，此时的UPS就是一台交流市电稳压器，同时它还向机内电池充电；当市电中断（事故停电）时，UPS立即将机内电池的电能，通过逆变转换的方法向负载继续供应220V交流电，使负载维持正常工作并保护负载软、硬件不受损坏。UPS设备通常对电压过大和电压太低都提供保护。根据设备的情况、用电环境以及想达到的电源保护目的，可以选择适合的UPS；例如对内置开关电源的小功率设备一般可选用后备式UPS，在用电环境较恶劣的地方应选用在线互动式或在线式UPS，而对不允许有间断时间或时刻要求正弦波交流电的设备，就只能选用在线式UPS。首先要确定设备是多大功率的，一般来讲普通PC机或工控机的功率在200W左右，苹果机在300W左右，服务器在300W与600W之间，其他设备的功率数值可以参考该设备的说明书其次应了解UPS的额定功率有两种表示方法：视在功率（单位VA）与实际输出功率（单位W），由于无功功率的存在所以造成了这种差别，两者的换算关系为：视在功率*功率因数=实际输出功率。3.3.9 监控监控系统是安防系统中应用最多的系统之一，视频监控现在是主流。公司目前监控系统已经部署完善，但需要在“监控-存储-审计”这一揽子流程中将系统发挥最大的作用，还有需要完善的地方。监控系统存储的影响资料数据量庞大，最好可以有一套存储设备用以支持，存储区别于普通服务器，更安全、存储量更大、弹性更好。其次监控系统的网络应当与办公网络区分，互不影响。3.3.10 容灾容灾分为数据容灾和应用容灾。数据容灾，就是指建立一个异地的数据系统，该系统是本地关键应用数据的一个可用复制。在本地数据及整个应用系统出现灾难时，系统至少在异地保存有一份可用的关键业务的数据。该数据可以是与本地生产数据的完全实时复制，也可以比本地数据略微落后，但一定是可用的。采用的主要技术是数据备份和数据复制技术。数据容灾主要考虑保护关键数据，RTO和RPO是考量的主要指标。应用容灾，是在数据容灾的基础上，在异地建立一套完整的与本地生产系统相当的备份应用系统(可以是互为备份)。建立这样一个系统是相对比较复杂的，不仅需要一份可用的数据复制，还要有包括网络、主机、应用、甚至IP等资源，以及各资源之间的良好协调。主要的技术包括负载均衡、集群技术。应用容灾主要针对各种应用系统，如ERP、OA等企业关键性应用。“存储-备份-容灾”一体化的整合方案具体网络构架如下图3-5所示。图3-5此高可靠性方案可以归纳为“主机双机热备+生产阵列部署+备份+容灾”四个部分。具体分为五个步骤一一说明：①双机热备实现高