某市西威研发中心网络技术设计方案Word格式.docx
- 文档编号:5177272
- 上传时间:2023-05-04
- 格式:DOCX
- 页数:75
- 大小:1.59MB
某市西威研发中心网络技术设计方案Word格式.docx
《某市西威研发中心网络技术设计方案Word格式.docx》由会员分享,可在线阅读,更多相关《某市西威研发中心网络技术设计方案Word格式.docx(75页珍藏版)》请在冰点文库上搜索。
7.9思科无线安全解决方案39
8.产品选型48
8.1品牌选择48
8.1.1思科品牌的优势48
8.1.2思科交换机的优势49
8.1.3思科一体化无线网络技术优势50
8.2核心交换机WS-C4507R+E51
8.2.1概述51
8.2.2融合52
8.2.3安全的不间断服务52
8.2.4可扩展的架构53
8.2.5产品优势54
8.3接入层交换机WS-C2960-48TC-L57
8.3.1产品概述57
8.3.2重要特性和优势58
8.3.3适用客户58
8.4无线控制器AIR-CT2504-50-K959
8.4.1产品概述59
8.4.2产品特性59
8.4.3Cisco2500系列无线控制器的优势:
60
8.5无线APAIR-LAP1041N-E-K961
8.5.1提供快速、可靠的连接61
8.5.2关键任务接入点62
8.5.3交互式多媒体接入点62
8.5.4入门级802.11n无线63
8.6POE供电交换机WS-C2960-24PC-L64
9.产品参数说明65
9.1核心交换机65
9.2接入层交换机68
9.3无线控制器69
9.4无线AP69
9.5POE供电交换机70
第三部分网络系统
1.网络系统概述
为了实现德赛西威研发大楼信息化办公建设目标,需要在大楼内建立一套先进的计算机网络。
该网络采用层次化园区网设计,实现千兆主干交换,百兆到桌面,为新大楼办公人员提供一个先进、可靠、高速、基于标准的数据传输平台,为客户提供信息传输服务;
同时要对业务数据进行安全保护,为客户创造一个安全的现代化办公平台。
在有线网络基础之上,另外建立一套企业级的无线网络,为大楼无线终端提供无线接入点,对无线接入用户的身份进行认证,控制无线用户的访问权限,有效保护内网数据安全。
2.系统设计依据
Ø
《综合交换机技术规范》(YD/T1123-2001)
《以太网交换机技术要求》(YD/T1099-2005)
《具有路由功能的以太网交换机技术要求》(YD/T1255-2003)
《以太网交换机设备安全技术要求》(YD/T1627-2007)
《具有路由功能的以太网交换机设备安全技术要求》(YD/T1629-2007)
《计算机软件配置管理计划规划》(GB/T12504-90)
《信息技术开放系统互连命名与编址指导》(GB/Z17976-2000)
《TCP/IP路由技术(第一卷)(第二版)》(JeffDoyle(CCIE#1919))
《路由器安全技术要求》(GB/T18018-1999)
《信息技术低层安全模型》(GB/T18231-2000)
《信息技术开放系统互连网络层安全协议》(GB/T17963-2000)
3.系统设计原则
计算机网络系统设计必须适应客户各项办公需求应用,又可面向未来信息化发展的需要,因此必须是高质量的。
在设计网络时,需要遵循以下原则:
1)实用性和先进性
采用先进成熟的技术满足德赛西威研发大楼的大规模数据、语音等综合业务需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。
2)安全可靠性
为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。
要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。
在采用硬件备份、冗余等可靠性技术的基础上,在网络设计方案中要应用网络管理手段,保证接入网络用户身份的合法性以及安全性;
采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。
3)灵活性和可扩展性
计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据德赛西威研发大楼信息化不断深入发展的需要,方便灵活的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。
具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
4)开放性和互连性
具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。
在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。
IP地址设计须遵循客户网络TCP/IP地址编码规范;
设备及端口模块、光网卡的选型须满足国内外相关的技术标准,并保证与业界主流的网络设备厂家的设备互联、互通。
5)经济性和投资保护
应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。
能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。
尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
6)可管理性
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。
所以在网络设计中,必须建立一套全面的网络管理解决方案。
网络设备必须采用智能化,可管理的设备。
通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。
4.系统基本描述
宗旨:
与客户现有网络的融合与优化,与现有的设备进行无缝兼容,包括相关的所有网络协议;
网络设备配件可以与现有网络设备模块通用,减少投资成本。
本网络技术方案采用典型二层组网架构:
核心层,接入层。
核心层采用两台核心交换机,保证其中一台设备发生故障不影响整网运行。
接入层交换机通过双上行链路至核心交换机,实现链路的冗余备份及负载均衡。
接入层交换机具备强大的终端安全特性,有效从设备终端对内网进行安全防护。
核心层与原办公大楼两台核心设备进行全连接,四台设备两两相连,实现出口多条链路的冗余性和可靠性,同时能增加出口带宽。
在有线网络基础之上,另采用一套企业级的无线网络方案,以方便无线终端用户的接入需求;
其中采用一台无线控制器对所有AP进行统一管理控制;
通过设备智能管理方式,提供一套高质量的,高智能的无线网络方案。
新研发大楼的服务器通过双链路分别与两台核心交换机相连,实现服务器链路的冗余备份和负载均衡。
5.网络系统规划
5.1层次化设计
核心层:
核心层的主要功能是尽可能快地交换数据。
提供了高可靠性,并且能够快速的适用路由选择和拓扑的变更。
提供到核心层资源和接入层设备之间的高速传输服务。
接入层:
包括终端用户工作站、IP电话机以及将设备连接到大厦核心层子模块的数据链路层接入交换机。
不仅提供网络接入能力,而且还执行重要服务(例如第2层和第3层广播,多播抑制)、访问控制(例如802.1X、数据包过滤)和QOS等。
5.2冗余性设计
稳定、可靠的高冗余设计,搭建一个完善的网络平台。
核心层高可靠性拓扑设计:
新办公楼两台核心交换机与原办公楼两台核心交换机采用全连接形式(Full-Mesh)。
设备冗余:
双核心设计。
硬件冗余:
双电源1+1冗余设计。
链路聚合:
四台核心交换机互联链路均可采用LACP/PAGP技术。
链路冗余:
蓝色箭头代表业务数据走向;
橘黄色链路为冗余链路;
可以看出当这些冗余链路发生故障时不会影响办公业务的正常运行。
其中冗余链路包括核心出口多链路、服务器双上行链路、接入层交换机双上行链路等。
5.3Vlan设计
VLAN是VirtualLocalAreaNetwork的缩写,中文名是虚拟局域网。
虚拟局域网是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。
Vlan隔离的优点:
●增加了网络的连接灵活性
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。
VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
●控制网络上的安全
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。
使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播。
这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
规划的依据包括:
●基于端口的VLAN
基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法,这实际上是某些交换端口的集合,网络管理员只需要管理和配置交换端口,而不管交换端口连接什么设备。
●基于MAC地址的VLAN
由于只有网卡才分配有MAC地址,因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。
事实上,该VLAN是一些MAC地址的集合。
当设备移动时,VLAN能够自动识别。
网络管理需要管理和配置设备的MAC地址,显然当网络规模很大,设备很多时,会给管理带来难度。
●基于第3层的VLAN
基于第3层的VLAN是采用在路由器中常用的方法:
IP子网和IPX网络号等。
其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。
●基于策略的VLAN
基于策略的VLAN是一种比较灵活有效的VLAN划分方法。
该方法的核心是采用什么样的策略。
目前常用的策略有:
按MAC地址,按IP地址,按以太网协议类型,按网络的应用等。
结合德赛新研发大楼内业务分类,可以根据不同业务、不同部门、不同应用,进行相应的vlan规划。
5.4IP规划
IP地址规划遵从四个原则:
唯一性、可扩展性、连续性、实意性。
IP地址的规划原则,主要考虑其扩展性和连续性这样才能更好的进行地址汇总减少路由条目。
同时扩展性要预留一定量的IP地址这样才能满足企业的后期扩容。
在满足上述情况下可以考虑分配地址的实意性。
在IP地址注意事项中要明确这些地址的作用和需要的个数,例如:
互联地址需要2个地址,使用/30的掩码即可,而如果使用其他范围更大的掩码则会造成IP地址浪费。
重新选取一段私有IP地址规划,不可与原办公大楼地址重叠;
新选取的IP地址段进行系统划分;
近似区域和类似业务注意连续性,以便进行路由汇总,减少路由表条目,缩短路由收敛时间,提高路由协议计算效率;
各个区域及区域下子业务都必须进行IP地址预留;
按照一套准则进行IP地址前期规划,看到IP地址,并参照准则,就能定位此IP地址类型。
按照先地理位置后业务进行规划:
10.0.地区业务.0/255.255.255.0
其中地区占3位,业务占5位。
地区包括000到111,共有8位。
业务包括00000到11111,共有32位。
地区
IP地址
互联地址
网管地址
1
一楼用户
2
二楼用户
3
三楼用户
4
无线
5
……(预留)
互联地址业务划分
业务
核心交换机1-核心交换机2
核心交换机1-接入层交换机1
网管地址业务划分
核心交换机
32
接入层交换机
33
一楼用户业务划分
部门A
64
部门B
65
部门C
66
以此类推……
例如:
IP地址10.0.33.1,从第三位为33可以看出地区代码为1,业务代码为1,属于核心交换机的网管地址。
根据最后一位1,参照IP规划表,可以知道属于哪一台具体的核心交换机网管地址。
5.5路由规划
OSPF(OpenShortestPathFirst开放式最短路径优先)是一个内部网关协议(InteriorGatewayProtocol,简称IGP),用于在单一自治系统(autonomoussystem,AS)内决策路由。
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。
在这里,路由域是指一个自治系统(AutonomousSystem),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。
在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播数据LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。
运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
OSPF的基本规划:
1)选择合适的私有地址段用于Router-id
在每个OSPF路由器上建立环回接口并使用32位掩码的IP地址;
环回接口地址在OSPF网络中的发布应该根据实际情况而定;
一般情况下不要在OSPF网络中发布,以减少路由表项;
如果需要将环回口地址作为管理使用,可以考虑发布;
为保证OSPF运行的稳定性,建议在进行网络规划时应该确定网络中各OSPF路由器RouterID的分配方案,并且在相应路由器上进行手工指定
2)OSPF区域划分
从网络的拓扑结构来看:
如果网络的拓扑结构是树状或星型结构,可以考虑使用缺省路由+静态路由的方式。
如果网络的拓扑结构是网状并且任意两台三层交换机都有互通的需求,则应该使用OSPF动态路由协议。
所以本方案核心区域采用OSPF路由协议。
3)互联vlan
交换机互联启用三层链路,单独引用互联vlan。
不允许业务vlan通过,有效保证业务数据的安全。
4)被动接口
在任何不需要形成OSPF邻居的接口上,配置OSPF被动接口。
5)配置接口bandwidth与物理带宽一致,以确保OSPFCost能反映真实的链路带宽;
6)配置点对点以太网的OSPF网络类型为点对点,以加快收敛速度;
7)将业务网段发布到OSPF进程;
8)缺省路由引入到OSPF进程;
OSPF协议的优点:
1)OSPF是真正的LOOP-FREE(无路由自环)路由协议。
源自其算法本身的优点。
(链路状态及最短路径树算法)
2)OSPF收敛速度快:
能够在最短的时间内将路由变化传递到整个自治系统。
3)提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由信息的摘要,大大减少了需传递的路由信息数量。
也使得路由信息不会随网络规模的扩大而急剧膨胀。
4)将协议自身的开销控制到最小。
●用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文,非常短小。
包含路由信息的报文时是触发更新的机制。
(有路由变化时才会发送)。
但为了增强协议的健壮性,每1800秒全部重发一次。
●在广播网络中,使用组播地址(而非广播)发送报文,减少对其它不运行ospf的网络设备的干扰。
●在各类可以多址访问的网络中(广播,NBMA),通过选举DR,使同网段的路由器之间的路由交换(同步)次数由O(N*N)次减少为O(N)次。
●提出STUB区域的概念,使得STUB区域内不再传播引入的ASE路由。
●在ABR(区域边界路由器)上支持路由聚合,进一步减少区域间的路由信息传递。
●在点到点接口类型中,通过配置按需播号属性(OSPFoverOnDemandCircuits),使得ospf不再定时发送hello报文及定期更新路由信息。
只在网络拓扑真正变化时才发送更新信息。
5)通过严格划分路由的级别(共分四极),提供更可信的路由选择。
6)良好的安全性,ospf支持基于接口的明文及md5验证。
7)OSPF适应各种规模的网络,最多可达数千台。
工程调测当中,可以根据客户意愿,通过调整不同链路开销值,进行不同数据流分流,相同数据流负载均衡等。
自由灵活,贴近客户需求。
5.6双机热备与生成树相结合设计
核心交换机采用HSRP(热备份路由器协议),各个楼层交换机与核心交换机采用MSTP(MultipleSpanningTreeProtocol,多生成树协议),将两者结合在一起,才能建立一套高可靠高稳定的网络架构。
1)HSRP(热备份路由协议)
热备份路由器协议(HSRP)的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。
换句话说,当源主机不能动态知道第一跳路由器的IP地址时,HSRP协议能够保护第一跳路由器不出故障。
HSRP:
热备份路由器协议(HSRP:
HotStandbyRouterProtocol),是cisco平台一种特有的技术,是cisco的私有协议。
该协议中含有多种路由器,对应一个虚拟路由器。
HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。
终端主机将它们各自的数据包转发到该虚拟路由器上。
负责转发数据包的路由器称之为活动路由器(ActiveRouter)。
一旦主动路由器出现故障,HSRP将激活备份路由器(StandbyRouters)取代主动路由器。
HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。
如果主动路由器出现故障,备份路由器(StandbyRouters)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
HSRP运行在UDP上,采用端口号1985。
路由器转发协议数据包的源地址使用的是实际IP地址,而并非虚拟地址,正是基于这一点,HSRP路由器间能相互识别。
随着Internet的日益普及,人们对网络的依赖性也越来越强。
这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样。
路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大,所造成的损失也是难以估计的。
因此,对路由器采用热备份是提高网络可靠性的必然选择。
在一个路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(HotStandbyRouterProtocol),HSRP-RFC2281技术要解决的问题。
实现HSRP的条件是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。
在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。
所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。
为了减少网络的数据流量,在设置完活动路由器和备份路由器之后,只有活动路由器和备份路由器定时发送HSRP报文。
如果活动路由器失效,备份路由器将接管成为活动路由器。
如果备份路由器失效或者变成了活跃路由器,将由另外的路由器被选为备份路由器。
在实际的一个特定的局域网中,可能有多个热备份组并存或重叠。
每个热备份组模仿一个虚拟路由器工作,它有一个Well-known-MAC地址和一个IP地址。
该IP地址、组内路由器的接口地址、主机在同一个子网内,但是不能一样。
当在一个局域网上有多个热备份组存在时,把主机分布到不同的热备份组,可以使负载得到分担。
HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。
如果一个路由器的优先级设置的比所有其他路由器的优先级高,则该路由器成为主动路由器。
路由器的缺省优先级是100,所以如果只设置一个路由器的优先级高于100,则该路由器将成为主动路由器。
通过在设置了HSRP协议的路由器之间广播HSRP优先级,HSRP协议选出当前的主动路由器。
当在预先设定的一段时间内主动路由器不能发送hello消息时,优先级最高的备用路由器变为主动路由器。
路由器之间的包传输对网络上的所有主机来说都是透明的。
配置了HSRP协议的路由器交换以下三种多点广播消息:
Hello———hello消息通知其他路由器发送路由器的HSRP优先级和状态信息,HSRP路由器默认为每3秒钟发送一个hello消息;
Coup———当一个备用路由器变为一个主动路由器时发送一个coup消息;
Resign———当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时,主动路由器发送一个resign消息。
在任一时刻,配置了HSRP协议的路由器都将处于以下五种状态之一:
Initial———HSRP启动时的状态,HSRP还没有运行,一般是在改变配置或端口刚刚启动时进入该状态。
Listen———路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。
它一直监听从活动路由器和等待路由器发来的HELLO报文。
Speak———在该状态下,路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。
Standby———当主动路由器失效时路由器准备接管包传输功能。
Active———路由器执行包传输功能。
2)MSTP(多生成树协议)
多生成树(MST)使用修正的快速生成树(RSTP)协议,叫做多生成树协议(MSTP)
MSTP(MultipleSpanningTreeProtocol,多生成树协议)将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。
MSTP兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。
它既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。
当网络正常运行,业务数据流大致走向如下图所示。
但是由于设备和链路的备份冗余使得网络中出现了物理环路;
根据交换机的数据转发原理,那么就会导致数据转发的循环;
从而引起广
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 某市 研发 中心 网络技术 设计方案