银联网络方案

第1页共16页银联大楼局域网设计方案二○○三年九月第2页共16页一项目综述银联大楼内部办公局域网信息点分布如下：办公区楼层数据信息点光纤信息点一层380二层70三层704生产区楼层数据信息点光纤信息点一层480二层480三层00四层484动力区楼层数据信息点光纤信息点二层190总计3418第3页共16页二局域网网络系统方案2.1需求分析针对以上所述的银联大楼局域网的建设要求，要实现以下功能：1、向银联大楼局域网中的所有用户提供基本的数据传输服务，并提供物理层、链路层、网络层及各种协议的互联；2、向所有内网用户提供基于Intranet/Internet的信息服务，及与TCP/IP相关的增值服务，如网络打印等；3、向用户提供诸如OA办公自动化应用，管理信息系统等；提供与远程网络、国际网络的互联能力，使远程许可用户能访问网络资源，并严格保证网络资源的安全性和可靠性；4、网络能支持各项业务应用；5、支持各种网络应用的逻辑结构；6、考虑银联大楼局域网IP地址的分配采用静态地址分配方式，这样可以减少每台计算机设置地址的工作量，而且便于日后的维护及统一管理；7、安全性是网络设计需要重点考虑的，要求对设备的访问，用户的权限等都有不同的安全级别；8、关于网络管理功能实现要考虑，必须具备对全部所配置设备的管理能力、操作和维护的能力。尤其是基于VLAN的管理，这可以大大减轻网络维护人员的工作量；9、流量管理及QOS功能实现上，要保障关键业务的带宽，同时对各项业务也要保证一定的QOS，使得网上的各种应用可以顺利开展。2.2设计原则在银联大楼局域网方案设计过程中，为了既保证满足现有业务的实际需要，同时又满足未来3~5年内业务的发展需求，我们提出以下设计第4页共16页原则：1、高度的安全性：能防止网络的非法访问，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性；2、服务质量保证：提供良好端到端的QOS保证。3、响应快：网络要保证TCP/IP数据流的及时传输，网络延时小，消除TCP/IP会话的超时中断；4、良好的扩展能力：包括信息点的扩展，与其它远程网络的连接等；5、可管理性：整个网络系统的设备、安全性、数据流量、性能等得到很好的监视和控制，并可进行远程管理和故障诊断；6、降低日常管理维护费用和线路的通讯费用，提高线路的利用率；7、可升级性：建设后的网络可向更新的技术升级，保护现有的投资。2.3总体目标建成后的银联大楼局域网将是一个高速、可靠、安全、稳定、易管理、可扩展的先进网络，不但能够满足目前信息服务的需要，而且能够满足将来视频、语音等新业务的需要。第5页共16页2.4局域网方案设计2.4.1网络设计总体考虑我们建议采用端到端的网络方案，即全部采用有一致的体系结构与功能的网络产品，提供一致的服务。因为只有这样才能真正实现端到端的网络性能，端到端的网络安全性，端到端的服务质量以及端到端的网络管理，从而在节省开销的同时，大大提高网络的经济效益。下面就根据端到端的体系结构结合银联大楼的建设要求介绍一下我们提出的银联大楼局域网解决方案。网络拓扑结构描述SiSi楼层交换机楼层交换机楼层交换机楼层交换机楼层交换机楼层交换机千兆核心交换机如上图，我公司设计的银联大楼局域网络拓扑结构，中心交换机采用目前性价比最好的Cat4500系列交换机和Cat3550系列交换机。中心交换机配置Cat4507核心交换机一台，采用双引擎、双电源热备冗余设计，保证系统运行的稳定性和安全性。楼层交换机配置Cat3550交换机若干台，Cat3550之间采用级联的方式进行连接，每层楼面通过光纤端口，千兆光纤上联至核心交换机。由于核心交换机在生产区三楼,四楼信息点由三楼核心交换机管理.具体配置如下：第6页共16页Cat4507和Cat3550配置：CAT4507配置说明数量单价WS-C4507RCatalyst4500Chassis(7-Slot),fan,nop/s,RedSupCapable1$19,990$19,990PWR-C45-1000ACCatalyst45001000WACPowerSupply(DataOnly)1$2,090$2,090PWR-C45-1000AC=Catalyst45001000WACPowerSupply(Spare)(DataOnly)1$2,090$2,090WS-X4515Catalyst4500SupervisorIV(2GE),Console(RJ-45)1$28,340$28,340WS-X4515/2Catalyst4507RRedundantSupervisorIV,(2GE),Console(RJ-45)1$28,340$28,340WS-X4148-RJCatalyst450010/100AutoModule,48-Ports(RJ-45)3$6,743$20,229WS-X4306-GBCatalyst4500GigabitEthernetModule,6-Ports(GBIC)2$4,493$8,986CAT3550配置WS-C3550-48-SMI48-10/100and2GBICports:StdMultilayerSWImage6$7,493利用原有设备光纤模块配置WS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)10$750$7,500美金总价$117,565优惠价（37％）￥469,7902.4.2技术说明对于上海市民主党派大厦所采用的局域网设备，我们采用Cat4500系列交换机作为核心接入设备，各楼层采用CAT3550，并充分利用原有的8台Cat3550交换机。每台交换机采取划分VLAN的方式，将银联局域网按不同的需求功能划分。还可根据需要在核心交换机内设置基于第三层的路由功能，以实现VLAN间的通信。3.4.3关于网络设备的选型考虑1）设备性能：对于网络核心接入设备，必须具备高性能，不仅满足目前业务需求，而且支持将来高带宽应用，例如“DVD品质图像传输”等在网上的实施。第7页共16页Catalyst4500系列交换机可以支持10/100/1000Mbps接口模块，其模块化设计非常便于将来网络的扩展，适用作为大型网络的中心交换机。2）IP多层交换支持：中心交换机必须支持IP协议的多层（2/3）交换，并且采用硬件结构实施部署，可以支持高性能的IP数据包交换。3）设备扩展性：Catalyst4507交换机共有7个插槽可以用于扩展。3.4.4局域网内部的安全机制3.4.4.1通过VLAN的划分和访问控制来保护数据。采用CISCOCatalyst局域网交换机建立了交换体系局域网，完全可以利用产品本身特性来建立基于用户的策略性网络：基于Cisco先进的IOS及安全管理工具，可以建立一套基于与用户行政部门、业务应用模式相适应的一套安全机制，具体实现如下：根据业务运作和应用模式，划分整个企业的工作组(虚拟局域网—VLAN)，VLAN可根据交换机端口、主机MAC地址等进行划分；为每个VLAN分配IP子网地址，并相应地为每个VLAN中的服务器和客户机分配IP地址；在Cat4500和Cat3550交换机配备的引擎上，实施基于访问控制(accesslist)的安全策略，accesslist可基于源地址、目标地址、源端口号、目标端口号；这样限制不同工作组人员之间及对重要系统资源的方向；在重要的交换机端口进行过滤设备(基于MAC地址)，限制对重要的主机或系统的访问；应用在银联大楼不同科室或业务流向来划分VLAN，由于不同的VLAN之间的通讯必须通过Cat4500的引擎，这样就可以通过其路由功能来控制数据的访问，实现数据的保护。第8页共16页3.4.4.2关于网络设计的地址分配及VLAN划分1)VLAN划分银联大楼基本以处/科为单位，下设各个科室，因此我们考虑VLAN的划分以处或科室为单位，按以下原则来划分：(1)对于同一处内不同科室之间，如果计算机之间需要经常相互通信，而且科室内部没有非常保密的信息，或者允许其他科室访问我的保密信息，则可以将几个科室划分成一个VLAN。(2)对于同一处内不同科室间，如果计算机之间不需要经常相互通信或者不需要通信，或者科室内部有非常保密的信息，不希望其他科室来访问，则可以将单个科室划分成一个VLAN。(3)如果同一处内有各个科室需要公用的服务器，则建议将该类型的服务器单独划分为一个VLAN，通过VLAN之间的路由功能使得各个科室都可以访问公用的服务器。(4)如果不同处之间或者不同处下属科室之间有需要公用的服务器，则建议将该类型的服务器单独划分为一个VLAN，通过VLAN之间的路由功能使得不同的处或者不同处下属的科室都可以访问公用的服务器。(5)其他的同一处内科室之间或者不同处内科室之间的互访也都可以通过VLAN之间的路由功能得以实现。2)地址分配IP地址的划分：IP地址的划分与VLAN的划分相对应，每一个VLAN分配一个IP地址的子网，不同VLAN之间的互访通过路由器路由功能得以实现，通过“子接口技术”就可以在一个物理接口上实现多个逻辑接口，从而就能分配多个IP地址，每一个IP地址属于一个VLAN。IP地址的分配可采用静态分配方式，便于日后的维护及统一管理。第9页共16页附录主要产品介绍CiscoCatalyst4500系列智能化以太网交换机CiscoCatalyst4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。作为新一代CiscoCatalyst4000系列平台，CiscoCatalyst4500系列包括三种新型CiscoCatalyst机箱：CiscoCatalyst4507R（七个插槽）、CiscoCatalyst4506（六个插槽）和CiscoCatalyst4503（三个插槽）。CiscoCatalyst4500系列中提供的集成式弹性增强包括1＋1超级引擎冗余（只对CiscoCatalyst4507R）、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。图1.CiscoCatalyst4503,4506和4507R系列作为CiscoAVVID（集成语音、视频和融合数据体系结构）的关键组件，CiscoCatalyst4500能够通过智能网络服务将控制扩展到网络边缘，包括高级服务质量（QoS）、可预测性能、高级安全性、全面管理和集成式弹性。由于CiscoCatalyst4500系列提供与CiscoCatalyst4000系列线卡和超级引擎的兼容性，因而能够在融合网络中延长CiscoCatalyst4000系列的部署窗口。由于这种方式能减少重复运作开支，降低拥有成本，因而能提高投资回报（ROI）。CiscoCatalyst3550-24与3550-48智能化以太网交换机第10页共16页产品概述CiscoCatalyst3550系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列，可以提供高水平的可用性、可扩展性、安全性和控制能力，从而提高网络的运行效率。因为具有多种快速以太网和千兆以太网配置，因此Catalyst3550系列既可以作为一个功能强大的接入层交换机，用于中型企业的布线室；也可以作为一个骨干网交换机，用于中型网络。客户有史以来第一次可以在整个网络中部署智能化的服务，例如先进的服务质量（QoS），速度限制，Cisco安全访问控制列表，多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。Catalyst3550系列中内嵌了Cisco集群管理套件（CMS）软件，该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。CiscoCMS软件提供了新的配置向导，它可以大幅度简化整合式应用和网络级服务的部署。Catalyst3550