XXXX整体网络改造方案

XXXX整体网络改造方案第一章需求分析与建设原则 4一、需求分析 4二、网络建设原则 41、采用标准、开放的网络技术 42、网络可扩充性 43、网络的可管理性 54、网络的安全性 55、网络的高可靠性 56、网络的高性能 67、服务器适当集中 68、关键系统的备份安全 69、网络设施投资保护 6第二章网络技术选型 7一、万兆以太网(10GE) 71、面向新一代多用途数据高速公路的10Gb以太网 92、10Gb以太网络应用 3、先进的企业网络架构 4、汇聚服务器群中的千兆位以太网流量 5、选择依据 二、千兆以太网到桌面(GTTD) 1、降低成本 2、提高性能和生产率 3、千兆位以太网的部署 4、选择依据 三、容灾备份DWDM光传输网络 1、DWDM技术 2、思科城域DWDM容灾备份的优势 3、选择依据 四、IP语音（IPT/VoIP） 1、IP网关方式的VOIP 3、IP语音系统的功能及增值服务 4、选择依据 五、无线局域网（WLAN） 1、无线局域网的技术定位与应用特点 2、无线局域网的安全性保障 3、选择依据 六、自防御安全网络（SDN） 1、一体化网络安全的基本原则 2、自防御安全网络（SDN）网络安全解决方案的模块化策略 3、自防御安全网络（SDN）安全架构体系 4、自防御安全网络（SDN）安全解决方案架构组成 5、选择依据 第三章网络方案设计 一、数据中心交换平台 1、亦庄主中心 2、东单备份中心 3、广州备份中心 二、广域网路由出口.错误!未定义书签。2、东单备份中心 3、广州备份中心 三、内部办公网络 1、拓扑连接 2、核心层 3、分布/接入层 五、IP语音系统 1、部署方式一：集中式呼叫处理的IP语音+VoIP 2、部署方式二：分布式呼叫处理的IP语音 六、无线局域网络 七、网络安全 1、交换平台网络安全 2、接入认证安全 3、集成式网络安全 4、专用网络安全 八、网络管理 1、网络设备管理 2、网络安全管理 3、IP语音应用管理 4、集成式网络分析管理 第四章CISCO网络解决方案总体分析 一、IP优化的网络 二、骨干网络承载能力 三、可靠性和自愈能力 四、通信协议的支持 五、自防御安全网络安全机制 六、网络的扩展能力 第五章整体网络设计特点与优势 一、技术先进性 二、高可用性 三、投资保护 四、可扩展性 五、良好的兼容性 二、网络建设原则程的设计必须在考虑到满足当前需求的同时，络协议的选择方面，选择广泛应用的标准协议网络设备，根据信息网络临时需要可以对系统储容量和网络规模等方面的扩充。在网络全面较高的安全性。同时，保证网络系统的安全运网络安全是保证系统安全运行的重要基础，因机制。为了保护网络上数据的安全性，必须提通过使用网络用户身份识别、包过滤、及防火普及，其基础作用将越来越大。在网络系统成为络系统必须有良好的可靠性及一定程度的冗余。路的可靠性，网络设备尤其是核心设备的高可靠一、万兆以太网(10GE)展到了它固有的边界以外。它将单模光纤的传更为广泛的范围中思考这个问题，而在这个范接，以便更好地控制流量突增情况（网络边缘），术升级到较新的基于以太网或者基于电缆的链二、千兆以太网到桌面(GTTD)最终用户的响应时间将缩短，服务器性能将提高倍，因此，将千兆位以太网延伸到桌面对企业非常有吸引力。利的第5/5E类电缆。借助当今高密度LAN交换机上的10/100/1000端口，网络管理署GTTD能够获得很大的好处。在诸多应用中，某些应用（例如联机备份和恢用。每个用户都有独特的“计算组合”，即需要计算机处理能力和网络带宽的应的电子邮件、文件传输器、按需备份和恢复、CRM/ERP以及Web和Java工具用10Mbps或100Mbps，最终用户需要等待多长时间才能获得每种应用需要的千兆位以太网可以使用最常用的第5类铜线电缆以及已安装缆。它不需要其它联网技术，可以与其它以太机箱中更换或添加新模块，或者在布线室、分兆位以太网。带光纤和铜线千兆位端口的高密度千吐量，高效迅速地为用户提供全面服务；在接三、容灾备份DWDM光传输网络选择。这样的距离带来的延迟很小，因而能够的，此种方式具有带宽利用率低（没有压缩）、业务单在广域网络上集成话音业务的技术可以概况为将话音信号封用异步时分复用传输、信道利用率较高。采用这种技术早期预测(RED)、加权公平排队(WFQ)常高的性能价格比。目前，PBX与语音网关之间有如下的接口标准：通常可以提供以下几种基本业务类型：语音编码转换、通信协议转换及呼叫建立/拆除功能，另外电话网关还具可在IP网络传输的语音包。由IP网络将语音包传给语音网关B，场”。会议参与者属于被动参加会议的方式，邀请会议参与者，至于会议参与者的通讯联络方式也可以是通电话、EMAIL，传真等。但所有的信息通讯都是分门别类，各自为政，如何以），的存储和访问都是以语音方式进行，相对于传统信箱和EMAIL信箱，电话语话自动将来电转至电话语音信箱，同时，提供用户可以根据语音提示信息，进行不同等级的本期XXXX整体网络改造包括建设新大楼的内部办公网络，IP语音系统五、无线局域网（WLAN）无线局域网（WLAN）正如其名称所说的那样,可以提供传统LAN技术(如以这一角度来看待WLAN则是没有抓住其本质:WLAN使我们重新定义对LAN的WLAN使用的传输手段与有线LAN不一样,WLAN不是使用双绞线或光纤,络的自由性和灵活性既可用于建筑物内部也可用于建筑物之间.WLAN技术可以替代传统的有线网络,还可以对其可达范围和功能进行扩拓扑的中心,还可以将其作为与以太网连接的桥接设备.在建筑物内部,无线功能既司支持移动计算,也可支持连接计算。通过安装在将无线LAN技术应用于桌面系统可以为一个组织提供传统LAN所不能提供WLAN的主要优点是移动性,但目前在其管理信息库(MIB)中还没有针对移动设备的跟踪和管理的产业标准,这一遗漏使用户个台站(客户机和接人点)最多可以有4个密钥。密钥用于在使用无线电波对数据进行传输之前对其进行加密。如果一个台站的管理结构,大型网络的最佳方式是集中的密钥管理,这做为XXXX本期项目改造中亦庄内部办公网移动办公需求的提出，无线六、自防御安全网络（SDN）熟可靠的安全性惯例和单一平台管理与客户轻威胁的方法，而不是单纯地“将防火墙放在这里，将入侵检测系统放在那里”权n•定义——依赖于网络设备配置在办公地点间建立虚拟专用电路的网络连a)定义——拨号技术允许拨号网络中的成员连接至其他成c)安全策略提示——有大量出色的管理实践。应认真考虑进程加密、强大•风险——这类连接对公司的威胁最大。尤其采用T1或帧中•安全策略提示——当今企业中的一个主要考虑就是符合法律法规。要想•整个基础设施（而非仅是专门安全设备上）的安全实施“如果您要记录，就要阅读”，这如此简单，以致于几乎每个熟悉网络安全性别的安全性，但此处不建议使用，这是因为我议和不安全管理协议的安全替代品来尽可能实现记录设备。设备记录数据必须在分析软件中积极的识别。实现它的标准技术包括验证协议，如RADIUS和TACACS＋、Kerberos和一次性密码工具。数字证书、智能卡和目录入的方法，以便只有合法用户和信息可通过网络。体的、可扩展的、高性能的、灵活的安全解决方案采用模块化的方法根据用户需求制定安全的设三、内部办公网络庄办公楼部署万兆骨干、千兆到桌面的全交换网络。核心层选用一（例如平稳重起）。这些协议一起工作时可确潜在安全漏洞或生成树配置错误的影响。在分Management）功能，用户可以很新办公楼汇聚交换机新办公楼汇聚交换机1WS-C6509-EEnhC6509Chassis,9slot,15RU,NoPowSupply,NoFanTray1S222AK9-12218SXDCiscoCAT6000-SUP2/MSFC2IOSENTW/IPV6/SSH/3DES1WS-SUP720-3BCatalyst6500/Cisco7600Supervisor720FabricMSFC3PFC3B2WS-CAC-3000WCatalyst65003000WACpowersupply2MEM-C6K-CPTFL128MCat6500Sup720CompactFlashMem128MB2WS-SVC-NAM-2Catalyst6500NetworkAnalysisModule-20WS-X6704-10GECat65004-port10GigabitEthernetModule(req.XENPAKs)4WS-F6700-DFC3BCatalyst6500DistFwdCard,256KRoutesforWS-X67xx4WS-C6509-E-FANCatalyst6509-EChassisFanTray1X2-10GB-LR10GBASE-LRX2Module13楼层接入交换机-7台18FWS-C4510RCatalyst4500Chassis(10-Slot),fan,nop/s,RedSupCapable1PWR-C45-2800ACVCatalyst45002800WACPowerSupply(DataandPoE)1PWR-C45-2800ACV/2Catalyst45002800WACPowerSupply(DataandPoE)1WS-X4516-10GECatalyst4500SupervisorV-10GE,2x10GE(X2)or4x1GE(SFP)1X2-10GB-LR10GBASE-LRX2Module1S4KL3EK9-12225EWACiscoIOSENHNCDL3C4500SUP4/5,3DES(OSPF,EIGRP,IS-IS)1WS-X4524-GB-RJ45VCatalyst4500PoE802.3af10/100/100024-ports(RJ45)1WS-X4548-GB-RJ45VCatalyst4500PoE802.3af10/100/1000,48-Ports(RJ45)27FWS-C4510RCatalyst4500Chassis(10-Slot),fan,nop/s,RedSupCapable1PWR-C45-2800ACVCatalyst45002800WACPowerSupply(DataandPoE)1PWR-C45-2800ACV/2Catalyst45002800WACPowerSupply(DataandPoE)1WS-X4516-10GECatalyst4500SupervisorV-10GE,2x10GE(X2)or4x1GE(SFP)1X2-10GB-LR10GBASE-LRX2Module1S4KL3EK9-12225EWACiscoIOSENHNCDL3C4500SUP4/5,3DES(OSPF,EIGRP,IS-IS)1WS-X4524-GB-RJ45VCatalyst4500PoE802.3af10/100/100024-ports(RJ45)1WS-X4548-GB-RJ45VCatalyst4500PoE802.3af10/100/1000,48-Ports(RJ45)56FWS-C4510RCatalyst4500Chassis(10-Slot),fan,nop/s,RedSupCapable1PWR-C45-2800ACVCatalyst45002800WACPowerSupply(DataandPoE)1PWR-C45-2800ACV/2Catalyst45002800WACPowerSupply(DataandPoE)1WS-X4516-10GECatalyst4500SupervisorV-10GE,2x10GE(X2)or4x1GE(SFP)1X2-10GB-LR10GBASE-LRX2Module1S4KL3EK9-12225EWACiscoIOSENHNCDL3C4500SUP4/5,3DES(OSPF,EIGRP,IS-IS)1WS-X4524-GB-RJ45VCatalyst4500PoE802.3af10/100/100024-ports(RJ45)1WS-X4548-GB-RJ45VCatalyst4500PoE802.3af10/100/1000,48-Ports(RJ45)55F1WS-C4510RCatalyst4500Chassis(10-Slot),fan,nop/s,RedSupCapable1PWR-C45-2800ACVCatalyst45002800WACPowerSupply(DataandPoE)1PWR-C45-2800ACV/2Catalyst45002800WACPowerSupply(DataandPoE)1WS-X4516-10GECatalyst4500SupervisorV-10GE,2x10GE(X2)or4x1GE(SFP)1X2-10GB-LR10GBASE-LRX2Module1S4KL3EK9-12225EWACiscoIOSENHNCDL3C4500SUP4/5,3DES(OSPF,EIGRP,IS-IS)1WS-X4548-GB-RJ45VCatalyst4500PoE802.3af10/100/1000,48-Ports(RJ45)54F(IDC)2WS-C4506Catalyst4500Chassis(6-Slot),fan,nop/s1PWR-C45-1400ACCatalyst45001400WACPowerSupply(DataOnly)1PWR-C45-1400AC/2Catalyst45001400WACPowerSupplyRedundant(DataOnly)1WS-X4516-10GECatalyst4500SupervisorV-10GE,2x10GE(X2)or4x1GE(SFP)1X2-10GB-LR10GBASE-LRX2Module1S4KL3EK9-12225EWACiscoIOSENHNCDL3C4500SUP4/5,3DES(OSPF,EIGRP,IS-IS)1WS-X4548-GB-RJ45Catalyst4500Enhanced48-Port10/100/1000Base-T(RJ-45)23F3F(IDC)2WS-C4506Catalyst4500Chassis(6-Slot),fan,nop/s1PWR-C45-1400ACCatalyst45001400WACPowerSupply(DataOnly)1PWR-C45-1400AC/2Catalyst45001400WACPowerSupplyRedundant(DataOnly)1WS-X4516-10GECatalyst4500SupervisorV-10GE,2x10GE(X2)or4x1GE(SFP)1X2-10GB-LR10GBASE-LRX2Module1S4KL3EK9-12225EWACiscoIOSENHNCDL3C4500SUP4/5,3DES(OSPF,EIGRP,IS-IS)1WS-X4548-GB-RJ45Catalyst4500Enhanced48-Port10/100/1000Base-T(RJ-45)2WS-C4510RCatalyst4500Chassis(10-Slot),fan,nop/s,RedSupCapable1PWR-C45-2800ACVCatalyst45002800WACPowerSupply(DataandPoE)1PWR-C45-2800ACV/2Catalyst45002800WACPowerSupply(DataandPoE)1WS-X4516-10GECatalyst4500SupervisorV-10GE,2x10GE(X2)or4x1GE(SFP)1X2-10GB-LR10GBASE-LRX2Module1S4KL3EK9-12225EWACiscoIOSENHNCDL3C4500SUP4/5,3DES(OSPF,EIGRP,IS-IS)1WS-X4524-GB-RJ45VCatalyst4500PoE802.3af10/100/100024-ports(RJ45)1WS-X4548-GB-RJ45VCatalyst4500PoE802.3af10/100/1000,48-Ports(RJ45)3WS-C4510RCatalyst4500Chassis(10-Slot),fan,nop/s,RedSupCapable1PWR-C45-2800ACVCatalyst45002800WACPowerSupply(DataandPoE)1PWR-C45-2800ACV/2Catalyst45002800WACPowerSupply(DataandPoE)1WS-X4516-10GECatalyst4500SupervisorV-10GE,2x10GE(X2)or4x1GE(SFP)1X2-10GB-LR10GBASE-LRX2Module1S4KL3EK9-12225EWACiscoIOSENHNCDL3C4500SUP4/5,3DES(OSPF,EIGRP,IS-IS)1WS-X4548-GB-RJ45VCatalyst4500PoE802.3af10/100/1000,48-Ports(RJ45)1WS-C4510RCatalyst4500Chassis(10-Slot),fan,nop/s,RedSupCapable1PWR-C45-2800ACVCatalyst45002800WACPowerSupply(DataandPoE)1PWR-C45-2800ACV/2Catalyst45002800WACPowerSupply(DataandPoE)1WS-X4516-10GECatalyst4500SupervisorV-10GE,2x10GE(X2)or4x1GE(SFP)1X2-10GB-LR10GBASE-LRX2Module1S4KL3EK9-12225EWACiscoIOSENHNCDL3C4500SUP4/5,3DES(OSPF,EIGRP,IS-IS)1WS-X4548-GB-RJ45VCatalyst4500PoE802.3af10/100/1000,48-Ports(RJ45)2新办公网核心交换机新办公网核心交换机Catalyst65091WS-C6509-EEnhC6509Chassis,9slot,15RU,NoPowSupply,NoFanTray1S222AK9-12218SXDCiscoCAT6000-SUP2/MSFC2IOSENTW/IPV6/SSH/3DES1WSWS-SUP720-3BCatalyst6500/Cisco7600Supervisor720FabricMSFC3PFC3BWS-CAC-3000WCatalyst65003000WACpowersupplyMEM-C6K-CPTFL128MCat6500Sup720CompactFlashMem128MBWS-X6704-10GECat65004-port10GigabitEthernetModule(req.XENPAKs)WS-C6509-E-FANCatalyst6509-EChassisFanTrayXENPAK-10GB-SR10GBASE-SRXENPAKModuleXENPAK-10GB-LR10GBASE-LRXENPAKModule楼层接入交换机，暂时考虑3个楼层Catalyst4510RWS-C4510RCatalyst4500Chassis(10-Slot),fan,nop/s,RedSupCapablePWR-C45-1400ACCatalyst45001400WACPowerSupply(DataOnly)PWR-C45-1400AC/2Catalyst45001400WACPowerSupplyRedundant(DataOnly)WS-X4516-10GECatalyst4500SupervisorV-10GE,2x10GE(X2)or4x1GE(SFP)X2-10GB-LR10GBASE-LRX2ModuleS4KL3EK9-12225EWACiscoIOSENHNCDL3C4500SUP4/5,3DES(OSPF,EIGRP,IS-IS)WS-X4548-GB-RJ45VCatalyst4500PoE802.3af10/100/1000,48-Ports(RJ45)WS-X4548-GB-RJ45Catalyst4500Enhanced48-Port10/100/1000Base-T(RJ-45)保护方式主要是保证主干光纤的故障或切断不会先进的体系结构:SOSO15C-12112EVCiscoONS15540SeriesIOSIP215540X-P-8CH-SKIT15540ESPx8CHSKIT:Chas,2xCPU,2xMMMB,CSD(add2x8CHMUX)215454-SFP-GEFC-SX=SFP-GE/1G-FC/2G-FC-850nm-MM-LC815540-ACPS-N-E15540NEBsETSIACPowerRectifier215500-CAB-MTP-01=86in.MTPtoMTPcable-2.5GLCMB(Blue)815540-MDXD-08A0ONS15540ESPx-8Ch.Mux/DemuxBandABw/OSC415540-LCMB-1100=ONS15540ESPx-Supports4TypeIandIITSPw/Splitter415540-TSP2-0300Type2TSPCh3/4WithSelectableClientXVRA415540-TSP2-0500Type2TSPCh5/6WithSelectableClientXVRA415454-SFP-GEFC-SX=SFP-GE/1G-FC/2G-FC-850nm-MM-LC415540-TSP2-0100Type2TSPCh1/2WithSelectableClientXVRA4采用集中式呼叫处理的模式包括一个可以为语音用户比较多的分支机构也部署呼叫管理器，不同集群关守路由器来控制。这种分布式架构的优势在于提高了系和可扩展性。呼叫准入控制（CAC）确保了语音服务质量（QoS）在受限基于以上分析，我们建议在总部配置CallManager（语音网关之间的沟通，同时可以使整个网络具插到局域网交换机，由于目前的局域网交换机如果没有或暂时无法配置此类交换机，则选择思科思科CallManager4.1版本CM4.1-K9-7845SWCallMgr4.1,MCS-78452Hardware硬件平台MCS-7845-H1-IPC1HWOnlyMCS-7845-H1with4096MBRAMandFour72GBSCSIHD2CP-7970GCiscoIPPhone7970G,Global20CP-PWR-CORD-AP=7900SeriesAsiaPacificPowerCord20SW-CCM-UL-7970CallManagerLicenseforsingle7970phone20CP-PWR-CUBE-2IPPhonepowertransformerforthe7900phoneseries20CP-7960GCiscoIPPhone7960G,Global200SW-CCM-UL-7960CallManagerUnitlicenseforsingle7960IPphone200CP-PWR-CUBE-2IPPhonepowertransformerforthe7900phoneseries200CP-PWR-CORD-AP=7900SeriesAsiaPacificPowerCord200IPCommunicator软话机SW-IPCOMM-E1CiscoIPCommunicator-CommunicationsClient100SWSW-CCM-UL-IPCOMM-ESingleCallManagerUnitLicenseforIPCommunicator100IP语音网关CISCO38453845w/ACPWR,2GE,1SFP,4NME,4HWIC,IPBase,64F/256D1S384ESK9-12401Cisco3845SeriesIOSENTERPRISESERVICES1NM-HDV2-2T1/E1IPCommunicationsHigh-DensityDigitalVoiceNMwith2T1/E11VWIC2-2MFT-G7032-Port2ndGenMultiflexTrunkVoice/WANInt.Card-G.7031PVDM2-6464-ChannelPacketVoice/FaxDSPModule1PWR-3845-AC/2Cisco3845redundantACpowersupply1六、无线局域网络），），（RADIUS例如思科安全访问控制服务器（ACS就可以获得一有线网络相同的管理工具和技术。该系列支持利用简单网络管理协议APAP1200AIR-AP1231G-A-K9802.11gIOSAPw/AvailCBusSlot,FCCCnfg8AIR-ANT32132.4GHz,5.2dBiDivers.PillarOmniAnt.w/RP-TNCCon.8100ft.ULTRALOWLOSSCABLEASSEMBLYW/RP-TNCAIR-CAB100ULL-RCONNECTORS8PCMCIAWLANAdapterAIR-CB21AG-A-K9802.11a/b/gCardbusAdapter;FCCCnfg100七、网络安全本次XXXX整体网络改造，目的在于重新整合XXXX服务业务平台，同时建立新的XXXX网络系统。对于整体网络而言，网络安全则是在本次••拒绝服务或蠕虫攻击会导致网络链路的泛洪，间的以太网链路。随之又会严重破坏话音质量并极大降低应用“有效吞吐率”（“有效吞吐率”一词系指所实现的真正应用这会产生大量的网络数据。导致这一问题的并尽力服务流量而言，存在一个隐含的善意承诺的。然而，在这种模式中，不能采取善意的处为防止这种攻击，Catalyst提供了端口安全特性，即限制某个给定端口所能学置入限制模式，以保护网络免受攻击。这可确保），初设计用来提高网络针对路由振荡的弹性的这件的特性。更不可能出现这些攻击中所使用的那器，因此能限制攻击所产生的分组等“坏流量”络产生影响的攻击，很多针对用户和服务器的为“中间人”攻击的攻击采用的是可从互联网用多种不同的机制，可以帮助恶意用户侦察其导致机密信息的失窃以及违反保密政策。思科信/不可信状态，因此可使网络管理员能确定应允许哪些端口的某个具体端口，为网络提供很强的智能性，谁或什么设备正在访问网络、设备的状态是什为进入网络的门户，任何可影响用户行为的安近用户的地方。多数企业的员工必须先登录网邮件和其他资源；基于身份的网络也都采用相份的网络类似于一个既拿着护照又持有航空公对该人身份的验证（通常是出于安保考虑而的物理访问。这个设备作为客户机与身份验证请求端那里请求身份信息、与身份验证服务器验的子网、工作组和LAN。））做为数据中心，特别是XXXX这种提供对内对外服务，接入互联网应用的运营平台，防火墙的安全隔离和深入保护必照出口数量和关键区域进行部署，则必然会导负载，运维复杂，响应迟缓。因此，选择思科在核心交换机内部直接配备防火墙模块，结构理快捷，响应迅速，真正实现了XXXX数据中心所要求的高效、全面、深入、对于本次XXXX的网络，建议在三个数据中心的核心交换机），保护，又能够对内保护园区网自身网络安全，同时建立外网服集成式硬件防火墙的引入，在确保网络性能不受影响的情况下火墙本身的端口连接数量，增加了其应用的灵活性。同时，配身具备的强大的路由转发能力，也确保了对应双出口的策略路传统的外接防火墙设备和出口路由器设计，这种集成式安全具术优势，从网络拓扑图中，完全没有单一故障点，没有任何瓶SW1/SW2/SW6/SW7/SW10/SW11WSWS-SVC-FWM-1-K9Firewallbladefor6500and7600,VFWLicenseSeparate6这种异常行为可能来自攻击，然后按照用户的喜托管