您好,欢迎访问三七文档
网络建设建议方案1.需求分析晨光技术开发有限公司是一家专业从事汽车整车和零部件设计的高新技术企业。具有从产品定位、概念策划、到内外造型、结构设计、工程设计、模拟分析、样车制造、逆向工程等方面的汽车产品开发实力。当今社会,信息已成为一种非常关键性的资源,它必须精确、迅速地传输于各种通讯设备、数据处理设备和显示设备之间。晨光设计研发中心作为现代化的综合办公机构,必须要求以最快速度对通讯及信息系统进行调整和改进,并根据需要配置成各种不同的结构,以提高整体的工作效率,而且还应在满足现在应用的基础上适应将来网络进一步发展的要求。随着公司规模不断扩大和业务需求的不断提升,迫切需要建立统一的局域网络和与之相配套的资源服务器,为公司业务的快速展开提供高效的信息平台和交流平台。2.网络拓扑图如下:3.网络设计原则:稳定可靠只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。易扩展系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性:即只有在网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络。容易控制管理因为网中用户很多,如何管理好他们的通信,做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。4.应用的需求1.做到能够晨光技术研发中心的业务系统的信息交换,同时能支持未来的语音和多媒体信息的传输。支持100M到桌面的工作需求。2.做到网络的结构化,层次清淅。同时必须保证系统能长期稳定的运行,使故障的影响局部化,利于故障的分析与排除。3.做到标准化和结构化,提供统一、相同的高性能线缆,配线端子板、相同的插头及摸块插孔,解决传统布线存在的所谓兼容性问题。使数据、语音、图像等信息可以顺利的高速传输,加强系统的灵活性。4.做到安全、可靠的使用。对结构化布线中的各类电气线路采取安全可靠的防雷保护接地,安全可靠的屏蔽密封、防火、防潮措施。保证线路使用的正常寿命。同时采用开放式的设计,模块化的结构和广泛的兼容性来适应未来发展的需要,以减少系统维护、调整、升级、改造的费用。5.做到系统具有足够的强壮度,骨干网络能做到365*24不间断运行,具有足够的可靠性冗余、后援存储能力和容错能力。第二部分:设备选型建议2.1路由器介绍根据项目现有网络规模情况和可能选用的ADSL或专线接入方式,中心节点我们建议采用QuidwayAR28-09模块化业务分支路由器外接Internet网,它具有以下特性:丰富的NAT转换功能除提供了基本的静态/动态地址转换及端口地址转换功能外,又增加了更为丰富的NAT功能。oNAT网段转换实现内部主机地址和公网地址的直接映射关系,允许外部主机对内部主机的访问。转换过程中只对网段地址进行转换,保持主机地址不变。NAT网段转换功能可以实现对原有的私有网络进行改造、实现两个地址重叠的私有网络的融合互通。oNAT私网服o务器可以使私网用户能像公网用户一样,可以通过域名方式来访问私网服务器,而数据流只在内网中传递,减少不必要的通过公网的流量。oNAT连接数控制用于限制每个用户能够建立的最大NAT连接数。例如计算机病毒同一源地址会扫描发起大量的TCP连接,迅速消耗路由器资源,导致路由器整机效率下降,影响其他用户应用。通过此特性可以控制用户对资源的占用。灵活的备份手段在传统拨号备份中心(DCC)功能的基础上,VRP又增加了动态路由备份(又称为DialerWatch)功能。它是基于对路由表中的不同的路由信息进行监控,动态激活拨号链路来实现拨号备份,是一种集成路由特性的链路备份。动态路由备份是传统DCC备份功能的增强,不再是局限于监控本地端口状态,还可以检查到其他可能导致路由丢失的网络故障,从而实现备份链路的切换,主备切换的控制更加灵活。安全的终端接入在典型的金融行业应用中,使用路由器作为终端接入服务器,再通过广域网连接到远程的UNIX前置机,此时可以通过专门的软件加密工具,在路由器和远端的UNIX前置机之间进行数据的加密传输,从而保证终端传至路由器的数据可以安全地被传递至UNIX前置机,减少数据传输过程中的“安全死角”,以有效保证银行业务数据的安全。简单便捷的网络检测工具HWPing是测量网络上运行的各种协议性能的一种工具,它是对ping功能的增强。它可以实现端到端的网络状况监测,包括时延、抖动、丢包率等。不仅能使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间,从而判断目的主机是否可达,还可以探测DLSw、DHCP、FTP、HTTP、SNMP服务器是否打开,以及测试各种服务的响应时间等,提供对网络应用的质量检测。VPN解决方案支持L2TPVPN、GREVPN、IPSecVPN、SSLVPN、MPLSL3VPN,MPLSL2VPN、DVPN等多种VPN业务。AR28系列路由器支持华为公司的动态VPN(DVPN)技术,相比传统IPVPN组网,不仅维护成本低,同时网络应用更加灵活,动态VPN提供完善的认证和加密特性,完全保证用户的网络安全。网络安全登录用户认证、RADIUS/HWTACACS认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持(对接口/时间段/MAC地址的过滤)、CA认证(数字证书)、高性能NAT。互连协议以太网、桥、帧中继、X.25、HDLC、SDLC、LAPB、SLIP、PPP、PPP头压缩、MP、ISDN、PPPoEClient、按需拨号、拨号串循环备份、PPP/ISDN回呼、L2TP建立二层隧道、GRE建立三层隧道、IPSEC建立三层隧道、xDSL宽带接入。网络协议DHCP、VLAN、IPX、DLSw、RIP-1/RIP-2、OSPF、BGP、策略路由、组播、路由负载分担、地址借用、TCP报文头压缩、路由策略。应用层协议及业务特性Telnet、SSH、Rlogin、dumbterminal、增强安全特性的终端接入服务器、金融POS接入服务,RTC、LPD、FTP、Ping及NTP应用层协议或业务特性。QOS流量分类和流量监管CAR/LR、流量整形GTS、拥塞管理PQ/CQ/WFQ/CBQ、拥塞避免WRED。网络可靠性接口/子接口间的物理层备份,虚链路/虚模板/拨号接口/逻辑接口间的链路层备份,动态路由实现网络层备份、VRRP实现设备层备份。系统可靠性支持dualimage,能对image文件进行合法性判别,支持启动成功性自探测,支持装载image文件引导系统,支持从主image文件启动,支持从备份image文件启动。语音特性静音压缩、舒适噪音、语音防抖动、音量调节、PBX交换机功能模拟、主叫号码识别、自动忙音检测、灵活VOIP选路与备份策略、IP传真、语音RADIUS、GKClient、IPHC、语音QoS。IPV6从目前的硬件体系结构和软件平台的基础上能够平滑升级到IPV6的软件版本,全面支持IPv4和IPv6双协议栈,提供丰富的IPV6协议,支持多种IPv4向IPv6的过渡技术:手工配置隧道、自动配置隧道、6to4隧道、GRE隧道、实现NAT-PT等;支持IPv6静态路由,支持BGP4/BGP4+、RIPng、OSPF3、ISISv6等动态路由协议;支持ICMPv6MIB、UDP6MIB、TCP6MIB、IPv6MIB等。配置管理中英文双语、命令分级保护、tracert/ping/debugging故障诊断功能、RMON、SNMPv1/v2c/v3、系统日志、可通过FTP或TFTP进行系统升级、可通过Console/AUX/X.25PAD/Telnet/反向Telnet等方式进行配置。通过iManagerN2000DMS网管软件,能够对路由器进行远程配置,并且能够对主机程序通过iManagerN2000DMS进行在线升级。2.2核心交换机介绍核心交换机建议采用QuidwayS3928TP-SI-AC千兆智能弹性三层交换机,作为QuidwayS3900系列产品有如下特点:IRF智能弹性架构技术S3900系列交换机支持华为创新的IRF(IntelligentResilientFramework)技术,能够实现用户网络的高度弹性智能扩展。利用IRF技术,用户可以将多台设备连接起来组成一个联合设备(Fabric),并将这些设备看作单一设备进行管理和使用,降低了管理成本,同时实现按需购买、平滑扩容,在网络升级时最大限度地保护已有投资。IRF(IntelligentResilientFramework)技术包括三个方面:DDM、DRR和DLA。1)DDM(分布设备管理):在外界看来,整个Fabric是一台整体设备。用户可以通过Console、SNMP、Telnet、WEB等多种方式来管理整个Fabric。2)DRR(分布冗余路由):Fabric的多个设备在外界看来是一台单独的三层交换机。整个Fabric将作为一台设备进行路由功能和二三层转发功能。单播路由协议和组播路由协议分布式运行并完全支持热备份,在某一个设备发生故障时,路由协议和数据转发都不会中断。3)DLA(分布链路聚合):支持跨设备的链路聚合,可以在设备之间进行链路的负载分担和互为备份。POE(PoweroverEthernet)远程供电特性S3900系列交换机(PWR型号)支持PoE(PowerOverEthernet),即可通过双绞线向远端下挂PD设备(如IPPhone、WLANAP、Security、BluetoothAP等)提供-48V直流电源,实现对下挂PD设备远端供电。作为供电方PSE(PowerSourcingEquipment)设备,支持IEEE802.3af线路供电标准,同时也可以兼容不符合802.3af标准的PD(PoweredDevice)设备。交换机远端供电时每个以太网口向下挂设备提供的最大功率分别为12.5W(使用交流电源)和15.4W(使用直流电源)。通过支持POE和VoiceVLAN技术,S3900系列交换机能够提供完美的数据和语音融合解决方案。大容量全线速的多层交换S3900系列交换机具有19.2G的交换容量,支持所有端口线速转发。系统能够提供4个GE,有效解决了在单台设备上多条千兆链路上行,同时接入千兆服务器的需求,极大的节省了用户对设备的投资。硬件支持二/三层线速交换,能够识别、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制。支持丰富的接入形式,百兆可以提供24电口/24光口/48电口三种方式。满足各种形式接入组网的需求。完备的安全控制策略S3900系列交换机基于最长匹配的路由策略。系统采用逐包转发方式,保证了所有报文均获得相同的转发性能,对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力,有效保证了设备安全。支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。支持DUD(DisconnectUnauthorisedDevice)认证,通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护,支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞;支持防止DoS攻击功能。支持QoSProfile功能。和802.1x认证功能相结合,可以动态的为通过认证的用户提供预先配置的一套QoS功能。用户在经过802.1x认证后,交换机根据AAA服务器上配置的用户名和Profile的对应关系,将相应的Profile动态的下发到用户登录的端口上,为该用户提供量身定做的一系列服务质量保证。支持SSH特性。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时,可以提供安全的信息保障和强大的认
本文标题:网络建设建议方案
链接地址:https://www.777doc.com/doc-2142466 .html