XXX智能大厦网络信息系统解决方案

目录1、概述...............................................................-2-1.1、需求分析........................................................-2-1.2、主要引用的技术规范.............................................-2-1.3、总体设计........................................................-2-2、子系统设计.........................................................-3-2.1网络子系统.......................................................-3-2.2网络管理子系统...................................................-17-3、设备说明...........................................................-26-3.1、路由器.........................................................-26-3.2、防火墙.........................................................-29-3.3核心/骨干交换机(内、外网)........................................-30-3.4接入交换机.......................................................-32-3.5无线交换机.......................................................-34-3.6无线接入AP......................................................-38-XXX大厦信息网络系统-2-1、概述1.1、需求分析XXXX区社保大厦坐落于XXXX区XXX南小街XXX号。地上X层，主要是用对外办公；地下X层，主要是用于本单位员工停车及食堂就餐。由于原办公楼建设无法满足现有办公需求，所以对办公楼除主体外进行改造，包括网络系统。社保大厦面向社会公众办公，网络不仅要将办公网络与上级网络相连，进行数据录入到上级数据库；而且要对外公布主要的数据，满足群众对业务办理的查询需求。本次网络建设外网与内网的同时，还应将现有的无线网络热点接入，满足未来办公需求。大楼内网络机房建于九层，电话机房建于一层，楼内贯通通过楼内弱电井。1.2、主要引用的技术规范1、GB50169-92《电气装置安装工程接地装置施工及验收规范》；2、GB50174-93《电子计算机机房设计规范》；3、IEEE802.1Q《虚拟桥接局域网标准》；4、IEEE802.3《基于CSMA/CD访问方式的局域网标准》；5、IEEE802.1D《媒体访问控制桥标准》；6、RFC821《SMTP：简单邮件传输协议》；7、RFC1661《PPP：点到点协议》；8、RFC1583、RFC2178《OSPFv2：OSPF动态路由协议版本2》；9、RFC2236IGMP：互联网组管理协议版本2》；10、RFC1157《SNMP：简单网络管理协议》；11、RFC1213《MIB-II：基于TCP/IP协议互联网网络管理的管理信息库》；JGJ/T16-92《民用建筑电气设计规范》。1.3、总体设计XXX大厦信息网络系统-3-根据对智能大厦网络部分的分析，为了明晰整个网络各系统、设备间的逻辑关系，我们在需求分析时引入了模块化设计的设计思想，将网络系统进行结构细化，分为四个子系统，其逻辑关系如下图所示：网络系统组成该四个子系统的有机组合，组成完整的智能大厦网络系统。下面我们针对每个子系统设计进行详细讨论。2、子系统设计2.1网络子系统网络子系统是智能大厦网络的基础，是各种网络业务的承载平台。网络子系统体系结构上遵循标准宽带通信网结构，可分为核心层、汇聚层和接入层三个部分，考虑到网络的特点及本次设计的实际需求，我们采用紧缩核心设计，即将汇聚层和核心层合并。汇聚层/核心层由接入路由器、以太网骨干交换机构成；接入层包括楼层接入交换机等构成。XXXX区社保大厦属政府职能单位，网络架构分成外网、内网及无线AP热点接入；内外网络通过物理隔离，不进行交差设计。汇聚层/核心层为整个网络提供宽带INTERNET接入。汇聚层/核心层的以太网骨干交换机为各个子网系统提供了骨干连接。该交换机为光千兆交换路由交换机，通过VLAN的划分，将各个子网系统隔离，为系统提供基本的安全保障；同时通过路由路路由功能，为各子网间的访问提供路由。为了对系统提供相应的服务，汇聚层/核心层设置接入交换机，以实现服务器群子网以及INTERNET的接入。XXX大厦信息网络系统-4-各子网系统，都是通过其对应楼层的接入交换机连接，并接入骨干交换机。根据接入点的数量，各楼层应配置足够端口数量的接入交换机；接入交换机使用光网络与核心交换机连接。2.1.1网络拓扑结构示意图网络系统拓扑结构示意图如下图：2.1.2设计实现本网络系统设计采用紧缩核心方式，即汇聚层与核心层合并，以简化整个网络系统结构。为了提供整个网络的可靠性，保证网络运行的连续性，本方案的骨干交换机电源采用冗余设备，同时骨干交换机各种模块都支持热插拔，以此实现网络高的可用性。INTERNET接入端通过路由器内接防火墙连接到骨干交换机，实现网络对外连接。各服务器直接连接到骨干交XXX大厦信息网络系统-5-换机，并通过防火墙接入骨干交换机骨干VLAN，实现对外网的网络业务服务。外网的访问路由及控制通过骨干交换机的VLAN间访问路由以及ACL（访问控制列表）实现。各楼层的楼层交换机分别以1000M光纤连接到骨干交换机，实现各子网用户的网络接入。楼层交换机配光模块。2.1.3IP地址规划IP地址是网络系统对某一特定机器的唯一标识，不科学、不合理的IP地址规划可能引起系统、特别是路由规划系统的混乱，并给网络管理带来极大的不便与麻烦。采用IP地址梯形结构的变长子网划分技术，可以提高网络管理的层次性和路由聚合能力，提高整个网络的管理性能和优化能力。下面通过对IP地址划分的阐述说明IP地址的划分规则和方案。IP地址用于在网络上标识唯一一台机器。根据RFC791的定义，IP地址由32位二进制数组成（四个字节），表示为用圆点分成每组3位的12位十进制数字（xxx.xxx.xxx.xxx），每个3位数代表8位二进制数（一个字节）。由于1个字节所能表示的最大数值为255，因此IP地址中每个字节可含有0～255之间的值。但0和255有特殊含义：255代表广播地址，0用于指定网络地址号（若0在地址末端）或结点地址（若0在地址开始）。例如：192.168.32.0指网络192.168.32.0，而0.0.0.62指网络上结点地址为62的计算机。为了给不同规模的网络提供必要的灵活性，IP地址的设计者将IP地址空间花分为五个不同的地址类别，如下表所示，其中A、B、C三类最为常用：IP地址类型第一字节十进制范围二进制固定最高位二进制网络位二进制主机位A类0-12708位24位B类128-1911016位16位C类192-22311024位8位D类224-2391110组播地址XXX大厦信息网络系统-6-E类240-2551111保留试验使用其中A、B、C级别是国际互联网上公共分配的地址，每一种级别网络地址与主机地址占用的位数如下图所示：子网地址划分2.1.4IP地址的总体划分规则从技术方案上讲，采用VLSM变长子网掩码创建分层的子网，利用CIDR减少路由器中路由表中路由数量，提高总体网络性能。要理解在IP城域网中如何利用VLSM等技术，首先看如下两个问题：问题1：基本编址规划适合于计算机的计算方式，但是分配地址给中等规模的团体较难。C类地址空间仅能容纳254个主机，对大多数团体是不够的。B类有65,534个主机，对多数团体太多。分配一个B类网络给团体将造成B类地址消耗过快（只有16,284个B类地址），也可以分配多个C类地址给中等团体，但是这样会造成路由的增长。问题2：所有网络通过中心注册处分配，当分配地址时，没有了服务提供商和订户的关系。这意味着，如果一个ISP有1000个客户，每个客户都分配了一个基本的网络地址，ISP将不得不把这1000个网络地址通告给其他的ISP。更好的方法是利用现有的地址空间。在XXX大厦信息网络系统-7-1985年，RFC定义了一个标准：用子网把一个基本地址空间划分成小的部分。子网划分允许系统管理员更好地利用现有的地址空间。例如：有8个网络，每个网络有30个主机，原来需要8个C类地址，现在用子网划分，一个C类地址就够了。因为子网在公用网上是不可见的，所以：1、路由表会减少。内部网根据需求可以划分多个子网，不需要浪费地址空间和增加公用网路由表。2、子网的震荡不会影响公用网，RIPv1只允许一个子网掩码，RFC1009允许在一个路由域内有多个子网掩码。当有多个子网掩码备用，就称为可变长子网掩码。没有VLSM，一个子网掩码只能提供给一个网络。这样就限制了子网上的主机数。举一个VLSM的例子：假设有一个C类地址：192.214.11.0，需要把它分成3个子网，其中一个子网要求有100台主机。另外两个子网各50台主机。理论上你可以使用256个地址，从192.214.11.0到192.214.11.255。如果没有VLSM，可有两种选择：使用255.255.255.128把地址划分为各有128台主机的两个子网，或者用掩码255.255.255.192把网络划分成有64台主机的4个子网，二者都难以满足上面提出的需求。如果使用VLSM，可以使用掩码128把地址分成128台主机的两个子网，再用掩码192进一步把第二个地址分成各64台主机两个子网。VLSM实现其中，以整个地级市使用一个B类地址10.1.0.0/16子网为例，利用VLSM将网络划分成一个递归的分层网络，出口网络隐藏了地级市中子网的网络细节，不把他们的信息传送到省网或其他的大子网中去。VLSM允许设计者为特定的需求分割地址空间。每个站点传送一个聚合的子网地址到其他的站点。同样，一个Supernet是用一个普通的网络前缀和掩码来表示一组网络。一个Supernet的地址是由一对地址/掩码组成的，前缀指的是相邻网络地址组中的第一个IP地址，掩码要小于自然掩码长度。例如，一组连续的地址：192.32.0.0到192.32.3.0。Supernet的地址是192.32.0.0（第一个IP地址），掩码是255.255.252.0XXX大厦信息网络系统-8-在RFC1517-1520文档中，ClassInterDomainRouting（CIDR）是一种地址规划。CIDR脱离了传统的A/B/C类地址。在CIDR中，一个IP网络由一个前缀表示，这个前缀是一个IP地址中的最左边的相邻有效位的表示。CIDR可以把相邻的具体路由集中在一个通告中，被称为“聚合”（aggregation）。CIDR允许路由器更充分聚合路由选择信息。路由表中的一条记录可以代表许多网络，这大大减小了路由表的规模，并且直接转化为地址空间的可扩展性。根据IP网络不同的应用领域和不同的分级层次，采用不同的IP地址规划策略。根据IP网络的应用类型不同，划分成如下几个部分：1、网间网互连网络；2、带内管理网络；3、指定IP地址用户。于网间网互连网络和带内管理网络是管理级别的网络，所以要和专网用户网络严格区分，以提高网络系统的安全性和可管理性。在地址分配中需要从地址的应用类型上给出以下规则：1、路由器loopback地址，每台路由器需