搜索
XX公司网络方案方案1.方案概述本期工程信息点建设为XX公司大楼,共7层,每层分东、西两面。总信息点为841个,不会超过900个。西面:1—3层设备放置在二层楼配线间。4—5层设备放置在五层楼配线间。6—7层设备放置在六层楼配线间。西面总信息点322个,不超过400个。东面:每层都有配线间,东面总信息点519个,不超过550个。本次网络建设包括整栋楼的网络设计、出口的接入、网管系统,为XX公司大楼提供优质的办公网络环境。2.客户要求1、设备为全千兆交换机,接入层交换机要求光纤级联至核心交换机。2、维保:三年3、设备出现故障,必须在24小时内响应(提供备件)4、支持ipv6下一代网络5、交换机网管,必须支持北塔网管软件6、核心交换机扩展性较高,在满足现有需求的情况下,至少还应空余三个扩展槽位。7、接入层交换机必须支持mac与端口绑定,支持端口限速等功能(最好支持arp绑定)2.方案的设计千兆核心,千兆接入2.1、网络平台的选择以太网为目前最为流行的网络结构,能够提供非常好的服务质量,升级也非常方便,所以在XX公司网络建设中我们考虑成本提供千兆核心、千兆桌面以太网用作为XX公司的网络平台。整个系统我们采用三层网络结构来进行设计。整个XX公司网络系统采用千兆核心,千兆桌面的以太网网络,为各信息点提供1000M的交换速率。网络应支持三层交换及VLAN的划分,根据各部分及信息点的分布,网络必须具有灵活的VLAN划分能力。需要为整个企业内部网络提供可靠的防火墙,与数据中心网络进行通讯,设置相应的策略,来保证各部门网络的安全性及可靠性。另外,还要提供电信INTERNET接入线路,综合上述网络系统建设的需求,此次XX公司网络建设目标如下:保证网络的质量和可靠性,网络有充足的带宽,包括主干网的带宽以及与服务器、工作站连接的带宽,显著改善响应时间,使网络能够有效地实现各种应用。网络出口不变,利用原有出口方式设计。加强网络管理工作,根据不同的应用情况,适当划分虚拟局域网(VLAN),并保证其灵活性和安全性。加强网络运行的可靠性和安全性,网络具有良好的可扩展性,建立一体化网络的体系结构,便于维护和好展。2.2、网络总体设计在XX公司网络的设计中,使用接入层、核心层两层体系结构对网络进行设计,我们选用CISCO的支持网络设备,提供各信息点的接入、信息的交换、路由的选择等。核心层为网络的心脏,XX公司的核心层将所有大楼楼层分配线间、数据中心和WAN汇聚全都连接起来。在将来的网络扩展建设中我们可以采用CISCO高端核心交换机配置,本次网络的核心交换机我们部署在中心机房内,在将来的网络改造中我们可以另外部署一台核心交换机放在中心机房内,实现设备级的冗余。本次网络建设中我们在中心机房内部署一台CISCOCatalyst4506三层交换机,以提供尽可能最好的系统性能。Catalyst4506交换机拥有最高的100GR容量背板,以千兆位速度提供基于ASIC的IP路由,通过在核心交换机上配置相应的千兆接口模块来提供接入层、数据中心的连接。本次网络建设中,接入层信息点相对很多,在网络设计中我们选用CISCOCatalyst4506三层交换机CISCOCatalyst2960G交换机实现接入层,在其上配置相应数量的千兆光口模块以提供千兆连接上连。2.3、网络拓扑整个网络的拓扑结构如上所示,在下面章节中我们将分别从WAN接入、网络安全、局域网设计等三个方面进行论述。1.WAN接入使用原来的网络出口设备来保证全网的NAT和安全.2.骨干网络的核心交换机,其安全性尤其重要,必须防范来自网络上的恶意攻击。另外,有时用户无意识但有破坏性的访问也会导致设备的性能下降,甚至无法正常工作。因此,其安全特性有特别重要的地位。Catalyet4506三层交换机支持IP/MAC绑定、端口限速、MAC和端口绑定等安全特性。利用Catalyst4506的Catalyst集成式安全特性,可以轻松地预防这些常见的第二、三层安全威胁。例如常见的MAC地址泛洪、DHCP服务器欺骗和中间人袭击、基本地址解析协议(ARP)的中间人攻击。网络安全我们会在核心设备做ACL等来防止大量病毒的入侵。3.局域网设计选型XX公司是7层结构的建筑,目前网络中心机房位于X楼,一楼、二楼、三楼……七楼均设有网络设备间,每一配线间所管理的信息点如下表所示:设备间功能点数备注一楼设备间(东)具体还不确定72中心机房还未定二楼设备间(东)具体还不确定84三楼设备间(东)具体还不确定88四楼设备间(东)具体还不确定87五楼设备间(东)具体还不确定59六楼设备间(东)具体还不确定94七楼设备间(东)具体还不确定35二楼设备间(西1、2、3层)具体还不确定182五楼设备间(西4、5层)具体还不确定58六楼设备间(西6、7层)具体还不确定82在局域网里的设计,我们要设计核心与接入汇聚可以省去,因为核心可以有强大的功能来代替汇聚,重而节约成本。2.4IPv6网络IPv6的发展是从1992年开始的,经过了12年的发展时间,IPv6的标准体系已经基本完善,在这个过程中,IPv6逐步优化了协议体系结构,为业务发展创造机会,归纳起来IPv6的优势包括如下几个特点:地址充足:IPv6产生的初衷主要是针对IPv4地址短缺问题,,即从IPv4的32bit地址,扩展到了IPv6的128bit地址,充分解决地址匮乏问题。同时IPv6地址是有范围的,包括链路本地地址、站点本地地址和任意播地址,这也进一步增加地址应用的扩展性。简单是美:简化固定的基本报头,采用64比特边界定位,取消IP头的校验和域等措施,以提高网络设备对IP报文的处理效率。扩展为先:引入灵活的扩展报头,按照不同协议要求增加扩展头种类,按照处理顺序合理安排扩展头的顺序,其中网络设备需要处理的扩展头在报文头的前部,而需要宿端处理的扩展头在报文头的尾部。层次区划:IPv6极大的地址空间使层次性的地址规划成为可能,同时国际标准中已经规定了各个类型地址的层次结构,这样既便于路由快速查找址格式更具层次性,也有利于路由聚合,缩减IPv6路由表大小,降低网络地址规划的难度。即插即用:IPv6引入自动配置以及重配置技术,对于IP地址等信息实现自动增删更新配置,提高IPv6的易管理性。贴身安全:IPv6集成了IPSec,用于网络层的认证与加密,为用户提供端到端安全,使用起来比IPv4简单、方便,可以在迁移到IPv6时同步发展IPSec。Qos考虑:新增流标记域,为源宿端快速处理实时业务提供可能,有利于低性能的业务终端支持IPv6的语音、视频等应用。移动便捷:MobileIPv6增强了移动终端的移动特性、安全特性、路由特性,降低了网络部署的难度和投资,为用户提供了永久在线的服务。IPv6的上述特点充分迎合了未来网络向IP融合统一的发展方向,并提升IP网络的可运营可管理性。注:由于现在网络绝大部门都是IPV4的,所以现有的CISCOCatalyst4506交换机的IOS版本是最基本的,要支持IPV6需要购买新的IOS版本即可,不需要另外投资购买设备。2.5、访问控制列表(ACL)我们在核心交换机上配置访问控制列表(ACL)来过滤通过网络设备的数据包,根据实际的需求配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。由ACL定义的数据包匹配规则,还可以在其它需要对流量进行区分的场合引用,如定义QoS中的流分类规则时。2.6、vlan设计为了解决用交换机做LAN互联无法限制广播的问题,出现了VLAN(VirtualLocalAreaNetwork)技术。把一个LAN划分成多个逻辑的“LAN”-VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,我们可以根据每个不同的部门划分不同的VLAN.来对东风设计院全网的广播风暴进行抑制.VLANAVLANBVLAN的组成不受物理位置的限制,一个VLAN可以在一个交换机内,也可以跨越交换机,甚至可以跨越路由器。使用vlan的好处:限制广播报文(广播风暴),节省带宽,提高了网络处理能力。广播域限制在一个VLAN内,交换机不会从一个VLAN向另外一个VLAN直接发送帧,除非它是一个三层交换机。2.7、QOS设计传统的分组网络对所有报文都无区别的等同对待。每个交换机/路由器对所有的报文采用先入先出的策略(FIFO)处理,尽最大的努力(Best-Effort)将报文送到目的地,但对报文传送的延时、延时抖动等传输性能不提供任何承诺和保证。随着计算机网络的高速发展,对带宽、延迟、抖动敏感的语音、图像、重要数据越来越多地在网上传输。这样一方面使得网上的业务资源极大地丰富,另一方面则由于经常遭遇网络拥塞,人们对网络传输的服务质量QoS(QualityofService)提出了更高的要求。以太网技术是当今被广泛使用的网络技术。目前,以太网不仅成为各种独立的局域网中的主导技术,许多以太网形式的局域网也成为了Internet的组成部分。而且随着以太网技术的不断发展,以太网接入方式也将成为广大普通Internet用户的主要接入方式之一。因此要实现端到端的全网QoS解决方案,不可避免地要考虑以太网上的QoS业务保证的问题。这就需要以太网交换设备应用以太网QoS技术,对不同类型的业务流提供不同等级的QoS保证,尤其是能够支持那些对延时和抖动要求较高的业务流。H3CLS9505交换机支持QOS技术,我们可在其上配置QOS来实现包过滤、流量监管、端口限速、带宽保证、报文重定向、RED操作、优先级标记及流量统计等,来提高网络的服务质量。3.产品选型3.1、核心交换机选型网络的核心层是整个网络的核心,必须有足够的交换背板,可靠的稳定性以及足够的端口密度,基于以上原因,核心交换机我们选择cisco的catalyst4506交换机作为全网的核心数据交换,CiscoCatalyst4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。作为新一代CiscoCatalyst4000系列平台,CiscoCatalyst4500系列包括三种新型CiscoCatalyst机箱:CiscoCatalyst4507R(七个插槽)、CiscoCatalyst4506(六个插槽)和CiscoCatalyst4503(三个插槽)。CiscoCatalyst4500系列中提供的集成式弹性增强包括1+1超级引擎冗余(只对CiscoCatalyst4507R)、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。作为CiscoAVVID(集成语音、视频和融合数据体系结构)的关键组件,CiscoCatalyst4500能够通过智能网络服务将控制扩展到网络边缘,包括高级服务质量(QoS)、可预测性能、高级安全性、全面管理和集成式弹性。由于CiscoCatalyst4500系列提供与CiscoCatalyst4000系列线卡和超级引擎的兼容性,因而能够在融合网络中延长CiscoCatalyst4000系列的部署窗口。由于这种方式能减少重复运作开支,降低拥有成本,因而能提高投资回报(ROI)。此款设备交换背板高达100Gbps,catalyst4506交换机支持分布式的IPv6业务,用户通过升级操作系统可实现基于ASIC的全线速IPv6转发,极大保护用户投资,适应网络业务不断发展的需求可以满足XX公司现在和将来五年来的扩展应用。3.2、接入交换机选型对于接入,我