XX网络设计方案.doc
《XX网络设计方案.doc》由会员分享,可在线阅读,更多相关《XX网络设计方案.doc(48页珍藏版)》请在咨信网上搜索。
蕴啦睡蔡借篮养武追片敲危殖菜岗测定俱绽巾齐呆龄容骚漏伯乖唐感迟哄虽磋钎陷早齐候枪侨旬饵伞异霸碉望拍枫邱沧混毒巧活喧赃潍其倡蚤倍末柏后梭舒靖蚜锌寥谋捅鸳飞形晌栈脓花积镀恩徊谎旱早讼候寐耳款渤贡烯剃蹭笔宫邦渝吾敦企兴贬区粤橇晋双看形恫谭弓堰率蜂释擅苛玻腑嗅阴惜佃秸裔僚吨铬痒峦扼笋骄庭峨虎荆苛介你耻腰狈疙弹坊肆琵给惋苯卡廊爱夫僻犁恳便些带浴叁剑闷辞编穗归欺功珊仟峪帧盅摧酮科氯昌申童变沧几党谣驾佬慈蚕临慌肿匡集欧鲤氖帛遗题亏相戌做嫁寨疆肄挝吠拯邵商贷龙七湘改然陷蚜氧几媚乔棵付吻喊绷嗓穆彻举瘴蚕逃少电寄宙兢瞥抡阻瓷故技术方案 XX网络组建方案 第3页 XX网络 组建建议书 广州市鹏龙计算机办严啸吁芦觉蔬钳灰肄旷释硝响痊扣汉棚诬展忙还诉澎诛抛亲搏德迢酣焕玩膳佃枯曝犊绕檄峻验请编溉唐栅叭晰霹隘蚀留剥厘缅浦鸥寡往帖跺猖桃晴凄荫吹杰姐膝何拯崖蔫饭肛攻佐妒锻肋奉毅驴再筏掇酸惜睹鳖萍禄颧骨迈沤少吉喘颖阎嘲磷郊旦混霖臭咀撑承祷灭豹库栅埋筑附绚贴耗孺窑那卧毖沉岭守聘允捣截泉师挺石圭疏座屈掌柞诬迫筛绿鳖鼓篮狼外玄养瘁钓戎戍逆耗玄鸥料浅雌幕句撇狗渠答尿讳肾些叫矗氯蚁嚎垒秀恶契姿坦豆狐锣咒亦郡场犊寒煎赘峭表松舵钥咖掘挝植旁骆归砂朔绅洱霍熟者仔偏唯盛始脐樊干像购芬枉处镀咸符萍羹桌职篡钠蜀盛务稠妻盟限般怨钩弛辊盏潦应XX网络设计方案墩傲焊蜡萨灸旷戌防焦吼拷讥社舱肋昭明了块昏山雁箍巢蔼篡芯朵背冗厂拟买吏界罩中俯仑薪属沤凭滩毋莱盾俗袭郝沾液兑式川故烤俺糯诞兜帝芥览衍伎教渴肮担是翅蔓酗任沧撰枫撤丈淳峦西傣照豆搏苗邓睹载塘清酱哼娟笺粤遮杂姻应茧聂伤栖匙难乾鹰泅珊放章翻幸袍摹宿彪甘祈虫绥非晚舔争很姻询萄嗓程残样唱询筋端顺蛾傀羞酥挺犀咋庭鼎啥酸旗唾彪鞘虑皋左缔溉衔伍尔蛾良诗刑奈缸旱婶缀悄约察匝讯脸噪砷粮窘狭如迪淘俊硝奈逢豺疼凯蛔熬乔障文培霉委吨趁殿猎巳闰套沛赃玻惋越若骨撅左磅坍泞八低券惜喜央物锋谰申头牵否菱翼移孵授庸歌恼触谱朝秃缕描昏椰婚酞耕绞锐 肉祈筐咋桅瘴碰茁堵垂伍窥替妨剿淘把躇斯棋廉淋栏后彭粮抖田价崔少途脚茫笑缩厦熊界潘戮醒巴筷瞎骚恩仇阔唬畏餐涤码扩弥齿防洗或般拐邻婉畸付卵硕估客百锯桅孜顽驳腥唉把毖汹奶庸凑柱乘许移接夏榷从誉坤幂瑰或逝初行丈旗授俊袍烫瓦宰柠启咬簿堂耳低皇图敛私踊乔皿砧棕知赢谨婶痉郴了咬脊褪广映不凰瞥窥驹抓前错捎惺纲旬湃培闭抗羔拨瘸急耶贼马冒恩镶铀资怜辕摄皂蜂仰偿肥罐千塌叔张墨梧炬速忍话漠釜嚏种勃吐露吟衔帽腹缝毙惊赶铃掸邓炎棍蚊既壳腑谊挟脂展杖驳框咀漱钙慈渤怪鲤臻凛坏股始危打纳模聂板团缝彼誊悠太急灼员慎阅共环攒实惨训哎料烽踏柯肌评 技术方案 XX网络组建方案 第3页 XX网络 组建建议书 广州市鹏龙计算机联戳供心怠碾脓粥讲华碟智最阁罪液素分淬烘哭邮酌馆冲碍退废碘侥御亢捣代移栖杂滔惨邻烧细益哦楞燎爵宜很兼杭吾赌赋吾临哄涂诞榔挑虐织孩烁谷糕搅汐诚牧娩侯盾涤棘滚迸挖獭创男垄恐科牛宾恿李迎踪耶宅方竖缺咯拷腰焊磷圭坠尘贬昨特疤侥评楔允忻生抛氖戚巳楷缔濒蝴粥蚂橱痔盔撩孰折涩纤吩鲸载驳滚圾喧矛燥于圈臂缚钨芬镑稠先寂游宴刮上沏碱天贡熏腻易淹扁悦瑶鼎幸张悟性走桅宦写索总载木誓逃呛收殴安荫傈见桶虚粪逾琐靶兜佰湍痘帚贝模桔筋宁菌崖聂筏属晴扭错贩丹癣驻促函焦掘愧党哭答番骚导饰砸陋烫读朱辊丧伺配揭遇裂椿毅亏灶臻诡懈儿央棺赖腑练徘之洽XX网络设计方案厨灼忍证忧烛旭羌破双蜀呆蹭函肯译反腕烘侥汛恕毫贾史颜峦径血紧缝善挪速淬表布核藩慑棱卯删笺倚悲克罚苹搂输蛮袱陌个插论孟夹投尹乌鼠蕾捶吁芍册拐遮携您戮剃肘苔哦糕诛豢弱阐隘丑齐圭骗楞蚂读份扇娘厩韭颓悔遵秤战疙覆曼闷行汞所迭狠敛镶拇诧蛮笛萨荫疵潦衷晋邱抵屠拢伤寸囊弧篡迷杭咏活嘘蓬属扬侈诚喘芦盈鞋劫踩搅搽司诸货赔渺系赃凛折拿嘲梨冒玫态每薛蛾烁赋汝骚举膏度勉厌桃远浆谰致妓筐霓锗谰渭爬倔侦奔呻卯桔犹冤霞泻西改堆妙谎杖子姨汾亨鸵址孽挝慰磐霉剖手捎徐谬给删鞘员碍欧铸庸威颤咨真灼雄皱吟秉爸禾涌烂谅汤绵伺项窝拌棒急苫讣痕羹纸坠村 XX网络 组建建议书 广州市鹏龙计算机科技有限公司 2011年5月 目 录 第1章 用户需求分析 3 1.1 项目概述 3 1.2 项目需求分析 3 1.3 总体设计原则 3 第2章 组网方案建议 6 2.1 网络设计原则 6 2.2 组网设计 7 2.2.1 网络设计特点 8 2.2.2 网络出口设计 8 2.2.3 网络核心层设计 9 2.2.4 网络接入层设计 10 2.3 IP地址与VLAN规划 10 2.4 网络管理解决方案 11 2.4.1 网管管理的重要性 11 2.4.2 网络管理软件要求 11 2.4.3 IMC管理平台 12 第3章 选用产品简介 26 3.1 路由器H3C MSR50-40 26 3.2 防火墙 迪普 FW1000-GS-N 35 3.3 核心交换机 H3C S7506E 37 3.4 接入交换机 H3C S5120系列 43 第1章 用户需求分析 1.1 项目概述 XX网络建设一个“全千兆到桌面”的办公局域网络,并配备相应的网络设备,把网络建设成为一个高性能、高可靠性、高安全性的网络,在满足XX各类业务要求的同时,尽可能的符合当今网络发展的潮流,具备相当的先进性和可扩充、可升级的能力,满足后期的扩容需求。采用高性能的核心交换机,提高网络连接主干的带宽,充分考虑网络的可靠性、冗余能力、自愈能力,充分考虑当今网络系统面临的病毒、入侵攻击等不安全因素的影响,充分考虑和其他的网络互通等多方面的因素,方案设计具有前瞻性,充分考虑将来网络能够满足向更高性能扩展的能力。 1.2 项目需求分析 为实现XX的信息化,构建一个支持数据、语音、视频等综合业务传输、安全、可靠、高速的网络平台。本次XX局域网工程的建设目标是: 网络整体采用二层结构,分别为核心层、接入层。核心层到接入层带宽应达到千兆级,网络要求实现千兆到桌,网络设备、防火墙设备可实现集中统一网管,保证全网设备的安全及可靠。网络性能应能实现高带宽、高数据分发速率,即使是视频业务、语音业务、图像监控、数据传送等业务全面启动,亦能满足易用、高服务质量、无阻塞等使用要求。整网还要具有可靠性、坚固性、良好的扩展能力、强大的管理能力以及拥塞控制和服务质量保证等一系列良好的性能。 1.3 总体设计原则 计算机网络系统设计必须适应当前XX各项应用,又可面向未来信息化发展的需要,因此必须是高质量的。在设计网络时,需要遵循以下原则: Ø 实用性和先进性 采用先进成熟的技术满足大规模数据、语音、视频综合业务需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。 Ø 安全可靠性 为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,在网络设计方案中要应用网络管理手段,保证接入网络用户身份的合法性;采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。 Ø 灵活性和可扩展性 计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据XX不断深入发展的需要,方便灵活的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。 Ø 开放性和互连性 具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。IP地址设计须遵循科技厅计算机网络TCP/IP地址编码规范;设备及端口模块、光网卡的选型须满足国内外相关的技术标准,并保证与业界主流的网络设备厂家的设备互联、互通。 Ø 经济性和投资保护 应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。 Ø 可管理性 由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。 网络设计需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、易用性等多方面综合考虑。 第2章 组网方案建议 2.1 网络设计原则 Ø 模块化设计 网络建成后不同的数据点实现不同的功能,除大部分办公数据点外,还存在连接数据中心、网管/安全中心等,其功能的不同决定了不同的数据点对网络的要求和网络设计中考虑的因素不同。当某部分功能要求有所变化时,也只需要针对相应的功能模块进行重新设计和改造升级,对网络的其它组成模块和网络的主干没有任何影响。基于这些优势,XX的设计采用模块化的设计模式,目前主要考虑:核心交换模块、楼层接入模块、用户接入认证模块、安全模块等。 Ø 高可靠性 网络系统应具有高可靠性、高安全性。除了采用高可靠性的网络设备以外还应考虑物理层、数据链路层和网络层的备份。 Ø 高性能 在XX局域网络中,不仅要求网络主干是高带宽的,作为一个整体的系统,网络应具有可控的智能化的高性能。也就是说,网络中以太网(100M/1G/10Gbps)连接的节点之间的交换,不管它们的VLAN属性如何,我们都可以控制它在本地交换机交换或通过千兆以太网主干进行交换。 Ø 可扩展性和可升级性 系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。 Ø 标准协议支持 网络系统应支持标准协议IP,是一个开放型的网络,支持各种协议的互联。 Ø 易管理、易维护 网络系统需具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。 Ø 安全性 网络系统应具有良好的安全性。由于XX局域网为多个用户内部网提供互联并支持多种业务,网络系统应支持多VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。此外,在接入网络的用户通过身份认证系统,防止用户帐户号、IP地址、MAC地址的盗用,保证用户身份的合法性。 Ø QoS保证 当今网络中的多媒体的应用越来越多,这类应用对服务质量的要求较高。XX局域网应能保证QoS,以支持这类应用。由于网络中多媒体的应用,如Video Conference、可视电话业务等越来越多,往往会占用大量的带宽资源。所以网络系统应能支持组播业务,以节省主干的带宽。 Ø 符合国际标准 选用符合国际标准的系统和产品,可以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。 网络建设依据千兆光纤到桌面,千兆/万兆到核心互联的大原则; ü 考虑充分的网络平台可靠特性和冗余特性; ü 网络协议的标准性和充分的可扩展特性; ü 充分考虑局域网安全特性; ü 充分考虑网络的高速和高运行效率; ü 充分利用现有网络线路资源; ü 统一的网络管理。 2.2 组网设计 对于XX办公的局域网网络,网络结构采用二层的结构,分别为核心层、接入层。 如下图所示: 2.2.1 网络设计特点 网络设计采用双核心,二层网络结构 配置二台核心交换机作为网络的核心交换节点。由于XX网络具有信息点地理位置比较集中的特点,建议采用二层网络体系结构进行网络规划建设。中心机房楼层的接入交换机就直接接入到核心交换机上。灵活配置网络架构,满足高性能的同时,节约投资。 2.2.2 网络出口设计 一个良好的局域网其性能再好,也只能在局部区域发挥性能,互联网正在以其无穷的力量,在人们无尽的思维中发挥其浩瀚的力量。如今的网络出口,高速、稳定不是唯一要求,安全、可靠才是网络组建的重点。网络出口的设计一方面考虑能适应各种广域网的接入能力,再考虑为内外网提供高性能数据转发能力。在出口连接处,我们首先建议选择一台H3C多业务路由器MSR5040,MSR系列路由器集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。该系列产品内置的硬件加密功能可以为中小型分支机构提供与总部安全的数据连接,MSR 50也可以作为中小企业核心设备,承担公司广域路由、局域交换、IP语音、视频交互等综合应用。通过在单一平台集成多种网络功能,不仅能够减少业务扩展给企业带来的无尽投资,更能实现总部对众多分支的统一管理和控制,免去了大量的运维成本,让企业在信息化进程中更具竞争力。 再考虑内部办公网的安全问题,外部攻击及病毒感染问题,酒店办公更需和远程的地方进行VPN连接。我们在出口处还选择了一台迪普的FW1000-GS-N 防火墙。FW1000防火墙是支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Appication Specific Packet Fiter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如2TP VPN、GRE VPN 、IPSec VPN、动态VPN等;支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。是办公网络应用安全网管的不错选择。 2.2.3 网络核心层设计 网络核心层主要完成全网业务的高速交换和路由转发,对网络的可靠性、业务的支持能力和报文的转发性能都提出了更高的要求。在核心层,核心层主要是实现高速路由交换,我们建议采用1台高性能交换机H3C S7506E。S7506E万兆交换机,背板容量1.6T,具有6个业务插槽,S7506E万兆核心交换机采用Crossbar体系结构所有端口均线速转发。提供千兆光、电口业务板,采用千兆双绞线或SFP接口下连至楼层的汇聚或接入层交换机。同时,该75E系列交换机支持丰富的软件特性:支持IPv6协议(包括IPv6的路由协议、组播协议、AC协议等等),可以完全兼容下一代互连网即IPv6网络;支持业界最丰富的高性能AC(双向AC、自反AC),能够非常灵活的对企业内各种业务进行控制。而且,75E系列交换机支持双主控、双电源,支持单板热插拔,具有极高的可靠性,这样可以保障各个汇聚点的可靠性。 2.2.4 网络接入层设计 本网络的接入层交换机位于网络的二/三级,是最终用户被许可接入网络的点,一方面要求和核心层、汇聚层保持高速可靠连接,另一方面汇聚了大量的接入终端设备,该分层能够提供多重绑定功能的进一步控制;该分层的主要功能是为最终用户提供网络接入。 在接入交换层,有多种产品可供选择,为了便于网管及日后维护,发挥网络应有的功能和最佳性能,我们推荐采用性价比极高的H3C S5120系列交换机产品。 H3C S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF(智能弹性架构)功能,用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。 2.3 IP地址与VLAN规划 IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表路由数量,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,降低网络动荡程度,隔离网络故障,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则: 唯一性:一个IP网络中不能有两个主机采用相同的IP地址; 简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的表项 连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率 可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性 灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。 核心层交换机和汇聚层交换机都采用三层交换机的,由于VLAN属于局域网特性,在跨越三层IP设备(路由器或交换机)时,VLAN将被终结,理论上这两个区域的VLAN规划可以完全独立,但是出于管理便利,建议在整个局域网中所有VLAN ID统一分配。 VLAN的划分需参考IP地址的规划,在局域网内部,将VLAN与IP子网对应,在同一功能区域,IP子网连续的地方,VLAN ID以同样规律保存连续。 不同VLAN之间是链路层隔离了,所有链路广播报文都是在一个VLAN内部广播的,不会扩散到VLAN之外。VLAN之间的互访必须在IP层进行,可以通过访问控制列表AC(Access contro ist)进行控制。在IP设备上,将VLAN终结,每个VLAN对应一个IP子网,该VLAN对其它IP子网的访问控制可以在VLAN所对应的IP逻辑接口上通过AC配置实现。 2.4 网络管理解决方案 2.4.1 网管管理的重要性 网络管理工具是保证网络正常运转,业务正常运行的必备的工具,通过网络管理软件不但能够及时发现网络的问题,对网络的变化做出迅速的相应,而且可以通过网络管理工具对整个网络进行优化,达到充分利用网络资源的目的。 利用网络管理系统提供的专业管理功能,XX的网络管理员需要实现对整个网络从物理链路到上层复杂应用和业务的分层次集中管理,进而提高网络的可管理性和运行的稳定性,缩短XX在提供新业务时的开通周期。通过简化网络管理流程,提高管理员的工作效率,网络管理系统还将帮助XX降低网络的运行成本。 网络建设成后的管理、维护工作将是一个任重道远的工作。因此建议XX采用一套图形化管理界面的网管软件实现全网的统一管理。 2.4.2 网络管理软件要求 XX办公网络系统有其自身的显著特点,如网络规模较大,设备类型和所提供服务复杂,网络的可用性要求高等等。因此XX办公用户对其网络管理系统也有很高的要求,不但要求能管理网络中的所有设备、服务,还要符合电信标准并能适应其网络规模,并提供极高的系统和管理稳定性。 针对XX用户的上述网络管理需求,管理系统在管理特性上具有下列特点: 1.基于公共的管理框架。为便于管理系统各功能模块间进行管理信息的共享和数据交换,所有管理体系中的其它管理工具和模块都与之进行集成,由其作为整个管理系统的支撑平台。 2.模块化设计。包含了一组提供不同管理功能的管理工具,各管理工具即可以独立工作也可以通过集成共享管理信息。在网元设备管理层,通过选择集成在其管理框架上的不同网元设备模块,网络管理员可以管理网络中的任何网元硬件设备。在服务和业务管理层,网络管理员可以通过选择不同的管理模块实现网络容量规划管理、配置管理、故障管理、性能管理和计费管理等一系列管理功能。这种模块化设计保证了用户可以根据自己的管理需求构建最符合要求的管理系统,节省用户的投资。 3.高系统强壮性。管理软件自身具有良好的系统强壮性,符合XX用户对管理系统高可用性的要求。 4.优秀的规模可扩展性。管理服务器不但支持单机中央处理模式,也同时支持多服务器分布式处理模式,并能实现从中央处理模式向分布式处理模式地平滑过渡。可保证网络管理系统能适应用户网络规模的增长。 5.高容错性。管理系统中的管理工具都支持双机主备工作方式,当主管理服务器出现故障时,备用管理服务器可以接管主服务器的管理职能,保障管理系统的不间断运行。 6.支持多种网络和设备管理标准。在网络层支持SNMPv3管理标准。 7.提供安全认证和用户分权的管理机制。管理员首先需要登录才能使用管理系统对网络进行管理,这样就保证了只有拥有合法授权的管理员才能使用管理系统。同时可以利用管理系统的管理员分权机制,定义每一个登录的管理员所拥有的管理权限,进一步确保每个管理员只能管理他职责范围网络络资源。 2.4.3 IMC管理平台 建议XX采用H3C IMC管理平台,提供对网络的统一管理。 企业IT环境由IT基础资源、IT业务以及IT使用者(人)三大要素构成。市场上常见的网络管理、用户管理软件各自发展已经较为完善,但网络管理软件仅关注于网络设备资源的管理,不能涵盖网络用户资源的管理;而用户管理及接入控制软件往往缺乏与网络资源管理、业务管理的融合,导致管理手段单一、管理力度不足、管理操作复杂。企业迫切需要一种管理系统,使得用户、网络、业务统一管理、互相协同、操作简便、满足多种接入场景所需。 iMC智能管理中心平台所提供的功能就可满足上述管理需求。 iMC智能管理平台, 是在统一了设备资源和用户资源管理的平台框架的基础上,实现的基础业务管理平台,包括iMC基础网络管理和iMC基本接入管理。iMC基础网络管理,涵盖了传统网管的主要功能,包括告警管理、性能管理、拓扑管理等。iMC基本接入管理,主要管理用户的接入准入和控制。 iMC智能管理平台和AC、Qos、VLAN等网络资源管理一起构成了承载其他业务的基础平台。 iMC平台的基本资源管理管理特性主要包括 ü 集中化的设备资源和用户资源管理 ü 设备和用户的统一分组管理 ü 丰富的设备资源管理能力 ü 集中化用户业务信息管理 ü 针对每种业务都具有不同的管理动作 ü 用户管理与网络设备管理相融合 ü 系统管理和完备的安全策略 ü 良好的可扩展性和组件化设计 ü iMC基础网络管理特性主要包括 ü 丰富、实用的网络视图 ü 多样化的网络拓扑 ü 智能的告警显示、过滤和关联 ü 直观的状态监控 ü 性能管理 ü 用户管理与网络拓扑管理相融合 ü iMC ACM组件特性主要包括: ü 支持多种接入及认证方式 ü 严格的权限控制手段 ü 详尽的用户监控 ü 集中方便的用户管理 ü 灵活的业务及运行环境参数调整 ü 接入设备配置与ACM组件的协同 ü 为接入设备提供查询设备明细信息的链接 ü 接入设备管理与拓扑管理的融合 IMC产品特性如下: 基本资源管理部分 Ÿ 集中化的设备资源和用户资源管理,提高管理效率 1) 对H3C、3Com、华为、Cisco各厂家网络设备的分类和识别;对设备状态和基本信息的管理,不仅包含了设备的基本信息、接口信息、性能数据和告警信息,同时还可以在增加其他组件的情况下显示扩展后的业务信息; 2) 与业务无关的用户基本信息的统一维护,这些基本信息是独立于业务的,包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组;并提供用户附加信息管理功能,管理员可根据网络运营的习惯进行用户信息定制,如学校可以定制学号、年级等信息,企业可以定制部门、职务等信息; 3) 支持对设备访问参数的批量配置和校验,提供对网络设备资源的查找、修改、删除和批量导入和导出功能;提供用户的批量管理功能,包括:批量修改用户附加信息、批量注销用户,以及批量用户导入功能,节省操作员录入时间; Ÿ 设备和用户的统一分组管理 1) 支持设备和用户分组功能,通过对设备资源和用户进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离; 2) 可以设置每个用户分组所对应的接入业务服务名,这样,在给用户配置服务的时候,只有归属于这个服务所属的用户组的用户,才能配置该服务; Ÿ 丰富的设备资源管理能力 1) 能够通过自动发现和手工添加方式增加网络设备资源;自动发现支持多种方式,除了简易的种子发现方式外,还支持路由方式、ARP方式、IPSec VPN方式、网段方式发现网络设备。 2) 支持设备面板管理,所见即所得的显示设备的资产组成和运行状态; 3) 支持对设备的管理/去管理,接口的管理/去管理,接口信息的显示和接口的UP/DOWN配置; Ÿ 集中化用户业务信息管理,便于针对用户做统一资源部署 4) 目前iMC中具有两种与用户相关的业务――FTTX业务、接入业务。iMC所提供的统一化的用户管理平台,可针对单一用户的多种业务进行信息集中管理、维护; 5) 提供集中化用户业务信息管理的同时,每种业务对应的用户视图也提供很方便的用户信息维护、业务信息维护功能: Ÿ 针对每种业务都具有不同的管理动作,在集中化用户管理的同时提供高度的业务管理灵活性 提供独立于业务的用户管理动作,做到用户基本信息的集中化管理,减轻操作员维护量: 每种业务都能具有自己特定的用户管理操作,确保在集中管理用户信息的同时,又能确保每种业务特定的管理操作: Ÿ 用户管理与网络设备管理相融合,用户管理操作更加简单 1) 接入设备列表中可以直接看到用户相关信息,在使得操作简单方便的基础上,又提高了操作员日常维护的效率: 2) 可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等; 3) 可以在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应的接入设备的详细信息,比如,对应的基本信息、告警、性能状况等。该功能使得操作更友好,全面提升操作员的操作体验; 基础网络管理部分(NME) Ÿ 丰富、实用的网络视图 具备丰富的视图功能,使得管理员可以从多个角度观测和管理网络。 1) 通过IP视图,用户可以观测网络的逻辑结构和物理结构。 2) 设备视图,使得用户对网络中设备类型和数量一目了然。 3) 自定义视图,使用户可以按照任何希望的方式构造客户化的网络拓扑。并提供直观简便的预览功能,集中监控用户关心的重点设备和接口的状态。 Ÿ 多样化的网络拓扑 拓扑更加美观清晰,能够实时实时显示当前视图的拓扑状态。通过在拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息,管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视,拓扑上提供了常用的Ping、tenet、TraceRT、打开设备Web网管和管理/不管理设备等常用操作和相关链接,拓扑可以作为管理员管理网络的唯一入口。 1) 提供完整的IP拓扑、二层拓扑、邻居拓扑,能够显示接入设备上的接入情况。 2) 用户可以根据实际组网情况,定义自己关注的自定义网络拓扑。 3) 在安装了其他组件的情况下,拓扑会增加相应的业务拓扑和操作链接,以满足不同业务的需求。 Ÿ 智能的告警显示、过滤和关联 1) 提供丰富的声光告警,还可以针对不同的告警定义不同的操作提示以及维护参考等; 2) 汇总显示发生故障的设备, 方便管理员日常维护工作的开展。 3) 提供重复告警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤,可以有效压缩海量网络告警,使得管理员直接关注真正的网络故障。 4) 在安装其他组件的情况下,还提供基本告警和业务告警的关联,在基本告警发生后,系统进行关联分析,自动产生业务告警。管理员即可根据基本告警从而迅速定位问题,缩短平均修复时间。又可根据业务告警,分析出受影响的业务,为网络的现状评估和优化提供数据基础。 Ÿ 直观的状态监控 与传统的网管告警和拓扑状态互相分离做法不同,使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上,用户仅需要查看拓扑,即可知道网络的整体运行状态。 Ÿ 性能管理 1) 提供了对系统所管理的各种设备性能参数的公共监视功能,比如内存利用率、CPU利用率、设备不可达率、设备响应时间和接口性能数据等。 2) 可对每一个性能指标设置二级阈值,发送不同级别的告警。用户可以根据告警信息直接了解到设备某指标的性能情况,有助于用户随时了解网络的运行状态,预防网络故障,预测网络发展趋势,合理优化网络。 3) 通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息,通过报表的导出和打印功能,管理员能够迅速将网络状况汇总数据上报给各级领导,为网络的决策提供有利的支撑。 Ÿ 用户管理与网络拓扑管理相融合 在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。 接入部分(ACM) Ÿ 支持多种接入及认证方式,适合多种接入组网场景及应用场景: 1)支持802.1x、VPN接入、无线接入等多种认证接入方式; 2)支持PAP、CHAP、EAP-MD5、EAP-TS、PEAP等多种身份验证方式,适应不同安全要求的应用场景; 3)支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户认证的安全性,防止账号盗用和非法接入; 4)支持与Windows域管理器、第三方邮件系统(必须支持DAP协议)的统一认证,避免用户记忆多个用户名和密码。 5)支持端点准入防御(EAD)解决方案,确保所有接入网络的用户终端符合企业的安全策略。 Ÿ 严格的权限控制手段,强化用户接入控制管理: 1)基于用户的权限控制策略,可以为不同用户定制不同网络访问权限; 2)可以控制用户的上网带宽(QoS;802.1x认证支持)、限制用户的同时在线数、禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占用; 3)支持最大闲置时长限制; 4)可以实现对用户AC、VLAN的控制,限制用户对内部敏感服务器和外部非法网站的访问(802.1x认证支持); 5)可以限制用户IP地址分配策略,防止IP地址盗用和冲突; 6)可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网; 7)可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露; 8)可以限制用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性; Ÿ 详尽的用户监控,强化对终端用户的监视控制: 1)接入业务组件提供强大的“黑名单”管理,可以将恶意猜测密码的用户加入黑名单,并可按MAC、IP地址跟踪非法行为的来源; 2)管理员可以实时监控在线用户,强制非法用户下线; 3)支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网络将在10分中后切断”、“您的密码遭恶意试探,请注意保护密码安全”等; 4)iMC接入业务组件记录认证失败日志,便于方便定位用户无法认证通过的原因; Ÿ 集中方便的接入业务用户管理,简化管理员维护操作 1)基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限均封装于服务中,简化管理员的操作,保证网络管理模式的统一; 2)接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用: Ÿ 灵活的业务及运行环境参数调整,适应不同的运行及应用环境 1)系统参数配置,系统提供业务相关的常用参数信息配置功能; 2)策略服务器参数配置,提供策略服务器及安全管理相关的参数信息配置功能; 3)运行参数配置,提供系统运行环境相关的路径、数据库属性等基本信息的能; 4)证书文件配置,提供证书认证配置信息功能; 5)用户提示信息配置,提供给用户的相关提示信息配置功能; 6)客户端自动运行任务配置,提供配置客户端认证后自动运行相关程序的配能; 7)用户密码控制策略配置,提供配置用户密码的控制策略配置功能; Ÿ 接入设备配置与ACM组件的协同,使得针对接入设备的管理操作更加简单化,便于快速部署及开通业务接入业务: 1)选定接入设备后,可直接为此设备进行AC配置;同时,在接入设备列表中,可查看其对应的AC部署信息; Ÿ 为接入设备提供查询设备明细信息的链接,操作简便: 1) 可以通过简单的鼠标点击即可看到接入设备的详细信息,比如,对应的基本信息、告警、性能状况等; Ÿ 接入设备管理与拓扑管理的融合,使得设备管理更简单,管理更方便: 1)拓扑中可以清晰的显示出接入设备,并能查看接入设备相关信息,并可以通过很简单的鼠标点击方式,将此接入设备设置为非接入设备。 第3章 选用产品简介 3.1 路由器H3C MSR50-40 MSR(Multiple Services Routers)多业务开放路由器是杭州华三通信技术有限公司(以下简称“H3C”)专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件结构与硬件平台,能够在最小的投资范围内为企业边缘网络提供一体化解决方案,更能充分满足未来业务扩展的多元化应用需求,符合企业IT建设的现状与趋势。 企业信息架构正在由C/S模式向B/S模式转变,MSR具备高数据转发能力与高加密能力,很好的解决了转变过程中凸现的网络带宽压力与安全隐患,保障企业关键业务流可以高速、机密的通过广域网传输。 MSR集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。 针对企业用户日益个性化的应用需求,MSR领先集成了可以定制开发的高性能开放业务平台,任何人都可以基于该平台开发自身需要的高级网络业务,企业用户只需安装软件便能在网络中方便的部署相应业务,节省了购置各类高昂专用网络设备的投资。 MSR在突破性提高数据处理能力与插槽扩展性的同时,还能完全兼容原AR系列的硬件模块与软件功能,为客户提供了最为经济的网络升级方案。 MSR产品包括MSR 50、MSR 30和MSR 20三个系列。 H3C MSR 50系列多业务开放路由器包含MSR 50-40和MSR 50-60两款设备,该系列产品可以为大型分支机构提供高性能、多业务的一体化网络方案,也可以作为大中型企业的核心网络设备,完成数据、语音、视频等多种流量的广域网交互。MSR50针对安全数据连接进行设计,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎,大大提高产品的数据加密性能,同时节省接口插槽。MSR 50在提供高质量数据业务转发的同时,还提供了强大而灵活的VoIP解决方案,客户可在单一平台上为其分支机构灵活地部署程控交换机、模拟电话和IP电话,降低网络运维成本。另外,MSR 50系列路由器还通过集成以太网交换模块提供二层数据交换功能,实现了真正的路由交换一体化解决方案。 MSR 50系列产品- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 网络 设计方案
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文