某报社办公网系统设计方案

1目录第一章网络设计要求.................................................................................................................................2方案设计要求.......................................................................................................................................2第二章方案设计.........................................................................................................................................52.1设计原则........................................................................................................................................52.2整体设计........................................................................................................................................62.3动态IP地址分配方案................................................................................................................122.4网络管理......................................................................................................................................132.6方案特点......................................................................................................................................14第三章产品说明.......................................................................................................................................153.1Quidway®S6500千兆路由交换机.............................................................................................153.2Quidway®S3000系列快速以太网交换机产品简介..................................................................172第一章网络设计要求企业网络的建立正在经历着越来越激烈的，革命性的变化，从前纯粹的文件及打印服务提供者的角色已经逐步为企业用户所遗忘，网络正在逐步成为企业数据交换、业务运营、产品开发、管理流程等等实施的重要媒介，现代企业对网络的依存度越来越高，同时，网络也为现代企业带来了更高效、低成本更具竞争力的运作模式。面对WTO，提高客户满意度、开拓新客户群体同时压缩运营成本以提高企业核心竞争力已经成为企业关注的重点。正是面向核心竞争力的需要，企业信息化建设应运而生。方案设计要求新办公大楼局域网目前最主要的作用是承载其内部办公系统，其信息点主要分布在在新办公楼的2、3、4层，总共约300个节点，其中大部分节点分布在3楼（200多），主要是新闻采编业务节点；四楼分布的主要是领导办公室，约有50个节点；2楼是其子刊、子报。中心机房设在三楼，除此之外，还有用于采编的服务器(4台)和资料室的服务器（2台）也放在中心机房，整个网络的建设主要是满足报社内部办公业务的需要，根据这种情况，我们的网络设计方案将充分体现在以下几个方面：*可靠性设备的可靠性——网络中所涉及的网络设备，采用了电信级的高可靠设计。同时，在网络结构设计中，采取多项冗余措施，例如骨干连接相互冗余、负载分担等等。*可扩展网络带宽的可扩展性：华为交换机产品支持百兆、千兆端口的带宽汇聚（TRUNK），在投资和光缆资源允许的情况下，现有建议的网络设备平台可以提供核心节点及二级节点间的带宽分别至4Gbps和2Gbps。网络互连的可扩展性：由于IP交换技术为非面向连接的技术，网络的扩展表现为IP子网或VLAN的增加，华为太网产品支持国际标准的IEEE802.1Q以及相关的VLAN光明日报社网络设计规划3动态注册协议，如GVRP、VTP等等，可以实现在边缘增加VLAN后，中心以及其他交换机不需任何配置就可以自动学习到新的VLAN。*灵活本项目网络平台采用华为公司VRP（通用路由平台）网络操作系统，该系统平台是华为公司数据产品的通用操作系统。VRP支持丰富的协议和特性，具有很强的伸缩性、可配置性、可裁减性、可移植性，并且接口完全开放，支持包括转发和接入模型在内的多种转发模式，是一个可不断丰富和持续发展的综合网络系统平台。*安全华为Quidway提供多种安全策略：1)网络路由信息交换安全策略：包含路由器的认证，路由信息过滤，多种动态路由协议信息交换控制等。2)网络服务安全控制：包含标准访问控制列表(ACL)，扩展的访问控制列表(ExtendACL)，动态访问控制列表(RefliexACL)，按数据流的访问统计和监控(Netflow)，网络资源访问用户认证/授权和记帐(lock&key)。这样可以实现对各部门之间信息访问的控制，防止不相关用户对关键资源的访问。基于网络层的加密：网络设备可提供基于标准的网络层加密技术：IPSec，可以提供高可靠的网络访问安全机制。网络攻击防范：可通过对网络访问连接的监控和分析，发现可能出现的网络攻击，如SyncAttack等，并采取相应的的控制手段保护网络资源。防D.O.S攻击；网络系统告警(Syslog)：网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警，提醒网络管理人员及时发现问题并采取相应安全策略。光明日报社网络设计规划4设备安全：网络的各种安全策略的实现均基于网络设备的安全设置，这使得网络设备本身的安全控制显得尤其重要。网络设备本身具有多种访问控制安全策略：1)多级访问控制密码：网络中各设备访问控制可通过15级不同的访问权限，网管人员可设置不同的访问权限。如：普通操作员只能监视设备运行，不可进行其他操作；高级的管理员可做故障诊断，不可修改设备配置文件；系统管理员可具有所有功能权限等。2)网络管理系统的安全控制：由于本网络中网络管理系统采用标准的SNMP网络管理技术，因此网络设备的网管可能出现漏洞。本网络中的网络设备可提供多种保护手段，如：特别的网管访问密码；由设备指定特别的网络管理工作站系统等。*易管理维护由于采用TCP/IP协议这种非面向连接的网络层互连协议，网络的管理重点在于网络的结构化设计。整个网络的服务提供均建立在一层次化方式，也就是当新的用户接入到网络之中不会影响网络的骨干，管理人员只需在相应接入设备做相应的配置即可，因此网络管理简单、高效。*网络对QoS的支持、QudiwayS6506提供丰富的QoS支持，提供多种规则组合条件下的流映射和分类、流量监管（CAR）、拥塞控制方法（RED、WRED、SA-RED）、队列调度和输出流整形等功能，真正做到业务区分并保证带宽/时延/抖动在限定的范围之内，使总行可以为用户提供具有不同服务质量等级的服务保证，使骨干网真正成为同时承载数据、语音和视频业务的综合网络。*网络对IPMulticast的支持S6506支持IGMP的第一版和第二版，并支持PIM协议的松散及密集模式。光明日报社网络设计规划5第二章方案设计2.1设计原则为达到办公网建设的目标要求，在网络设计构建中，我们将始终坚持以下建网原则：高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证，对于办公网络来说，更是如此，在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，并合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证办公系统的高效运行。技术先进性和实用性--保证满足办公应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的需求和未来的发展趋势。高性能—承载网络性能是整个办公系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，力争实现透明网络，网络不能成为实施现代化办公业务的瓶颈。标准开放性--支持国际上通用标准的网络协议，有利于保证与其它网络(如公共数据网、INTERNET)之间的平滑连接和互通，以及将来网络自身的扩展。灵活性及可扩展性--根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性--对网络实行集中监测、分权管理，并统一分配资源。选用先进的网络管理平台，可以集中对全网网络设备（路由器、各层以太网交换机）实施具体到端口的管理能力，并可提供及时的故障报警和日志。安全性--制订统一的骨干网安全策略、VLAN策略和过滤机制，整体考虑网络平台的安全性。光明日报社网络设计规划62.2整体设计2.2.1拓扑结构设计在整体拓扑结构设计中，我们建议采用的树状结构，同时考虑在此基础上扩展冗余特性，通过物理上环形结构但在逻辑上程树型的拓扑结构，最大程度保证办公网络的健壮和自愈特性。整体拓扑结构如图1所示。图1.办公大楼总体线路结构示意图在物理结构和链路上，根据新建大楼的结构，及信息点数量，我们初步确定在三楼划分三个汇集点，每个汇集点的用户接入设备为3-5台24口百兆交换机QuidwayS3026进行堆叠，通过千兆光口，上行到两台核心交换设备上，实现对楼层汇集点到核心交换的冗余备份。而汇集点交换机采用堆叠工作方式，对于核心交换机来说，下面所带的是一台性能是原有接入设备3倍的交换机，而不是三台需要单独管理的二层设GEGEGE楼层交换机QuidwayS3026核心交换机QuidwayS6506GEGEGEGE2层3层4层服务器群GEGEQuidview网管FEGEGEGEinternet光明日报社网络设计规划7备，这样大大的简化了网络管理的工作量，同时减少了千兆上行的数量，在业务量少的时候可以充分利用线路资源而不会造成带宽的浪费，相比之下，堆叠式结构能带来更高的网络效率。考虑到INTERNET网络服务的需要，我们在每个配线间内放置一台48口百兆交换机QuidwayS3050，通过千兆光口，上行到核心交换设备上，核心交换机再与路由器防火墙相连，所有连接到S3050上的PC终端都可享受上网服务。图2我们可以看出，对于三楼来说每一个汇集点实际上具备了一个骨干物理线路上的环状结构，我们正是通过这个环形结构来为每一个通过该汇集点接入骨干网的工作组用户提供链路冗余和骨干自愈功能。图2：在四楼我们设置了两个汇集点，每个汇聚点由1-2台24口百兆交换机QuidwayS3026通过千兆光接口，上行到冗余的两台核心交换设备上，共4台S3026，根据具体情况4台交换机将分别放置在东西两个电井中；在二楼采用和