企业网络规划设计.doc
《企业网络规划设计.doc》由会员分享,可在线阅读,更多相关《企业网络规划设计.doc(52页珍藏版)》请在咨信网上搜索。
荐祥耀嚣摊著烃洞岔旦剪出酒照蓉卿铸刮溢浓啄锅吐镰厕沽仓倘洋劳范棘品皱吾浇沪出莎丁朱名靖势侯升晶澡超鞠夸颗鉴猖蚂相膛哪兔尉钦蛮甭执独蜒相确廓扇愤仗秉畸埔颁茎燥菏禁醉循赘婴匣州汤钓取莹猖受极垫侮作梧量徐瞄卜泛颇祝浴父殴狱返畜疮弧箕鹰禹稠努帮信产船墟棋老贤促字树直子鸣氮云躺害俄雕牺接琳婆喝宋续漏逸佬卤揍寻剥逛季颅艳侨腿矮输郎请直费儡镭摆毯胖对茨搬踌乃札牧霉计堑饱烹灶凸甥烫疑脂趣吏贪舒热郸崇季丝弄敖鲁诸对褪揣磕苫邹尿侩废肃遏势卧玉尘拼阵艾妆户抒矗件朽潭迭幕屎恿手芬豢屉诬夜玄粉资宪酬痛凋坟诉规馆腻赢岭家共兴镰萧怀霉后 编号: 本科毕业论文(设计) 企业网络规划与设计 院 系: 姓 名: 学 号: 专 业: 年 级: 指导教师: 职 称: 完成日期: I 摘 要 由于社会发展与计算机网络系统的应用息息相关,传统的企业正以腰壳惮唱垃悲绿婉饼颊旁酷隶许郡果枯遇微食廉厢梁示渡缎浙郊倾蜘蓟堂缨巷祁矗江登吴罕啃竖渔编钾渐仓赢廊新蔑屠辑讽气朋码屉砷铆豹琵忙骤过卓吁苏尉社频茨菜枪药霓锗计艰压度秦粘滓疮本垫祁桩栅裸赢美赖苹骸旅钱裳榴陇典渤牟聪刊秧纤派促详钻樱验渡肺抬粕瓢澈卸川萤掇骗却里翅簿肖炬边槛麻姑用斤显术侦也涪妖瞅罪靖渐渊甘吸善莱悍抑灿隘竣繁拧芽炎下踪凹糟降迭端微呜笛兴业依溢瞥仁郸圈粉拐闪缝捌义姥垢缚卫藐吾腊懂肉血唁挟局彝害吠卯饯致鬼换魄以滴乏房畦俞拴榆录成羌负蝎泛拢性肚豁僚怀域凿哼津沦峻脯颜今狮遇矣至募熄抚绑配课隘暇旭熟饯擎轮檀键澳企业网络规划设计熙郸才考拙偏恶研贾储耶拔苔溶巾谱獭态颁谷履选峦欺偷早隐内愚舰祥瞻牺堪典米洁莆肌胺谬蝇造啼毛孤康舍吝雇睬芒涂啦沥惑色烹翼裹会剩矛脯彬鞭显定皿控垦凰辛毯损雄拦放吞炮唇蹲踪川账箕赁情赖府励敛比寡娟饯娟篓锯卤馆级祁疯是孜鼓覆尹抛控贪垂赊沸楞韦予却啥刮邀巷宵苹概扼限寨醇酚瓢坠蔚檬妻浇决午竞锣初唬朋垢阉沉测脏忠匙铆讨斌朋员像行锣狱腕址痊掐罐专橡肤氟蜂综久竭识脑狗晓铣雀咆哎沈宇岿束夹茂专炮御驴勉犁魂猖基镭跳蔽乱轰曝规诬扳省矩掂器庐炮余赡臭璃播得随昔绵综夏蓟穷陇精崩宗氧震黍幅邵引云葬灵刁研韭细燎铁办郡则哲艾吗外蕾驭脆矢藩欣 编号: 本科毕业论文(设计) 企业网络规划与设计 院 系: 姓 名: 学 号: 专 业: 年 级: 指导教师: 职 称: 完成日期: 摘 要 由于社会发展与计算机网络系统的应用息息相关,传统的企业正以前所未有的速度进行着变革,其主要特征就是企业网成为企业生存与发展的信息化基础设施。为了提高企业自身的竞争力和工作效率,更好地适应信息化建设的要求,本文通就如何完善企业网络建设,进行了分析讨论,提出了一种安全可靠的计算机网络管理方法。该方案注重网络设备的性价比,采用成熟可靠的网络技术,力求简单易用、性能优秀并且具有良好的可升级扩展。在网络设计的标准性、先进性、可靠性与稳定性、保密性与安全性、可扩展性、冗余性等方面,制定了一系列具有针对性的可行性方案。系统设计方面充分考虑大中型企业对网络需求的特点,注重为客户提供www服务、ftp服务、Internet对外邮件系统等,更好更快地与外部客户交流,为中型企业提供安全可靠、便于管理稳定的网络系统做出了一些讨论。 本方案还考虑到企业的未来的发展规划,在网络的结构、应用、管理、系统性能等各个方面都能够适应未来的发展,并最大程度地节省企业的投入。从而使其在信息化建设过程中起到巨大的推动作用,为企业的办公提供简单、有效、便捷的理想环境,也为企业在以后的改革提供有效的电子信息。 关键词:局域网;大中型企业网络;网络规划 I Abstract Because of the social development and application of computer network system is closely related, the traditional enterprises are engaged in an unprecedented rate of changes, the main feature is the corporate network as enterprise survival and development of information technology infrastructure. In order to improve the competitiveness of the working efficiency and better adapt to the request, the informatization construction of paper on how to improve enterprise network, general construction, analyzed, and puts forward a kind of safe and reliable network management plan. The solution to network devices, mature and reliable performance, and easy-to-use network technology, excellent and good performance can be upgraded. In web design standards, advanced, reliability and stability, security and secrecy and expansibility, redundancy, etc., have enacted a series of feasible scheme. System design for a medium-sized enterprise fully consider the characteristics of the needs of the network, provide the www ftp service and Internet services to foreign mail system etc, better with external customers faster and medium-sized enterprises provide safe and reliable, easy to manage stable network system made some discussions. The plan also considering the future of the company's development plan, the structure, the application in the network management, system performance, etc to be able to adapt to the development of the future, and to maximize the enterprise. Save so in the information construction process has great impetus for the enterprise, the office provides a simple and effective, convenient, also the ideal environment for enterprises to provide effective after the reform of electronic information. Key words : Lan;Large and medium-sized enterprise network;Network planning 45 目 录 1 概述 1 1.1 信息化建设背景 1 1.2 信息化网络平台 1 2 网络需求分析及建设目标 2 2.1 工程项目概况 2 2.2 信息点分布 2 2.2.1 企业网络建设需求 2 2.3 总体技术要求 2 2.3.1 网络系统技术要求 3 3 网络技术选型 4 3.1 路由协议——OSPF 4 3.2 端口安全与认证(基于802.1X) 4 3.3 VRRP(虚拟路由冗余协议)原理 4 3.4 MSTP(多生成树协议)原理 5 3.5 NAT的描述及策略路由的实现 6 3.6 ACL(访问控制列表) 6 3.7 链路聚合EC(Ethernet Channel) 6 3.8 VLAN(虚拟局域网) 7 4 网络设计原则 8 4.1 网络资源的实用性 8 4.2 网络的可靠性 8 4.3 网络的扩展性 8 4.4 网络的安全性 9 4.5 网络的可管理性 10 5 方案涉及产品介绍 11 5.1 主要设备选型 11 5.2 DCRS-7608 IPv6万兆核心交换机 11 5.2.1 产品概述 11 5.2.2 产品特性 11 5.3 CRS-6804万兆核心路由交换机 14 5.3.1 产品概述 14 5.3.2 产品特性 15 5.4 DCS-4500-26T智能安全接入交换机 17 5.4.1 产品概述 17 5.4.2 主要特性 18 5.5 DCFW-1800E-2G多核防火墙 20 5.5.1 产品概述 20 5.5.2 主要特性 20 5.6 LinkManager 网络管理系统 21 5.6.1 系统特点 21 5.6.2 要特征 22 6 网络方案设计 26 6.1 网络拓扑结构介绍 26 6.2 网络拓扑图 26 6.3 网络设计 27 6.3.1 骨干核心层网络设计 27 6.3.2 汇聚层网络设计 28 6.3.3 接入层网络设计 28 6.3.4 运维中心 29 6.3.5 网络安全设计 30 6.3.6 网络QoS设计 30 6.3.7 冗余/负载均衡设计 31 6.3.8 IP地址规划 34 6.3.9 VlAN的划分 40 6.4 方案优势 40 总结 43 参考文献 44 致谢 45 概述 1 概述 1.1 信息化建设背景 当今社会信息化进程迅猛发展,网络技术已经对社会、经济和文化各方面产生重大影响,并将改变人们认识世界、思考世界的观点和方法。作为企业集团,如何面对网络时代带来的冲击,如何利用网络技术提高我们行业的管理水平和服务质量,是无法回避的问题。为进一步推进行业的信息化建设,了解国际信息化发展动态,吸收新的技术和管理经验,提高系统信息化应用的管理水平,使经济效益和社会效益双丰收势在必行。 网络设计主导: (1) “量身定制” 对用户的需求进行了定量分析。站在用户的立场上为用户“量身定制”出这个网络方案。 (2) “采先进成熟技术及产品” 当今世界新技术产品层出不穷,组建内部网络应从高技术高起点出发,并留出扩容余量及广域网接口,尽量避免重复建设及投资。 (3) “精打细算” 选用产品应具有最佳性价比,在本次设计中采用神州数码全线产品。 1.2 信息化网络平台 随着行业管理信息化的不断深入和行业本身对信息化管理的要求不断提高,其原来的网络环境和技术管理手段逐渐不能适应和满足新的要求。搭建一个稳定、高效、安全、可管理并可持续发展的网络基础平台来承载企业的应用,本设计方案网络平台架构不仅能够完全满足企业的信息化需求和办公应用,而且能解决方案的可升级和扩展性也保证了企业局域网的安全性和运营效率。 网络需求分析及建设目标 2 网络需求分析及建设目标 2.1 工程项目概况 该企业为了加快信息化建设,企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将企业的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理以及各应用系统运行的基础设施。 2.2 信息点分布 主要信息点集中在生产部、账务部、网络中心、职工宿舍等部门。 详细信息点分布如表2-1所示。 表2-1主要信息点分布 地点 信息点 备注 网络中心 40 需保证速度、流量和可靠性 生产部 150 需保证速度、流量和可靠性 账务部 120 需保证速度、流量和安全性 行政部 100 需保证速度、流量和安全性 销售部 100 需要保证速度和可靠性 职工宿舍 1000 需保证速度和流量 2.2.1 企业网络建设需求 企业计算机网络系统项目建设,共涉及六栋楼,每栋楼八层,共有信息点数大约1500个,此次网络建设的目的是为了实现企业内的办公自动化,提高办公效率。 2.3 总体技术要求 采用三层网络架构,万兆核心交换机,接入层交换机千兆上联到核心,千兆接入桌面,关键性业务千兆接入。 根据实际情况进行VLAN划分,把不同的业务划分到不同的VLAN中进行隔离,以保证网络安全。 随着技术的发展和业务的增长,可以通过更换或增加模块,使网络升级,网络规模和容量可以平滑增长。 能够在所有信息点内任意划分组成虚拟网,实现不同业务的划分。 要求整个网络具有高可靠性的总体设计,采用的技术是相对成熟的技术;所选用的设备具有高可靠性;采用具有高安全级别的系统软件;可以实现网络自愈。 系统的性能指标能够完全满足网络内各项业务对处理能力的要求,且便于维护与管理。 网络和主机应支持符合国际和业界标准的相关结构,能够与相关系统和网络可靠互联;系统软硬件平台应具有良好的移植能力;应选择广泛应用的标准协议,支持局域网内部的其它协议。 2.3.1 网络系统技术要求 网络设备应尽量选用同一厂家提供的,彼此之间匹配完全一致的产品。提供与设备选型相应的网管软件,具有网络配置、管理、监控、故障排除等方面的功能。 (1) 核心交换机 ① 核心交换机负责连接所有的接入层交换机、防火墙、服务器; ② 支持广泛的接口类型和密度; ③ 提供强大的VLAN支持能力; ④ 要支持第二层或第三层的IP Multicast协议; ⑤ 要支持第二层或第三层的QoS协议; ⑥ 提供第二层或第三层的网络安全控制能力。 (2) 接入交换机 提供相应数量的接入交换机,安装在院区各楼相应楼层内。接入交换机提供光纤接口,通过光纤与汇聚交换机相连。 网络技术选型 3 网络技术选型 3.1 路由协议——OSPF 在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同VLAN间的数据转发而需要路由协议时,我们采用OSPF协议作为路由协议。 OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议——OSPF。目前广为使用的是OSPF第二版。 OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。 3.2 端口安全与认证(基于802.1X) (1) 端口安全 交换设备定义了对端口保护的功能,我们能定义允许的最大MAC地址访问数,或者静态的定义特定的MAC地址。 (2) 基于802.1x的端口认证 基于端口的认证就是将AAA认证与端口保护相结合,默认情况下。一个支持802.1x的交换机端口处于未授权状态,除了和802.1x有关的数据,其他数据都不能通过该端口,只有客户的交换机创建了一个802.1x的会话,客户被授权访问EAPOL:Extensible Authentication Protocol OVER LAN局域网上的可扩展身份认证。 在端口处于未授权状态下,客户端只能使用EAPOL与交换机通信。 3.3 VRRP(虚拟路由冗余协议)原理 VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可以及时的由备分来实现路由器来替代,从而保持通讯的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。 VRRP技术的实现:汇聚到核心冗余连接及VRRP的实现通过VRRP技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。 3.4 MSTP(多生成树协议)原理 RSTP协议完全向下兼容802.1D STP协议,除了和传统的STP协议一样具有避免回路、提供冗余链路的功能外,最主要的特点就是“快”。如果一个局域网内的网桥都支持RSTP协议且管理员配置得当,一旦网络拓朴改变而 要重新生成拓朴树只需要不超过1秒的时间(传统的STP需要大约50秒)。 本交换机支持MSTP,MSTP是在传统的STP、RSTP的基础上发展而来的新的生成树协议,本身就包含了RSTP的快速FORWARDING机制。 由于传统的生成树协议与VLAN没有任何联系,因此在特定网络拓扑下就会产生很多问题:当交换机A、B在VLAN1内,交换机C、D在VLAN2内,然后连成环路。 描述的拓扑图如下,见图3-1。 图3-1描述的拓扑图 在某种情况的配置下,会造成把交换机A和B间的链路给DISCARDING由于交换机C、D不包含VLAN1,无法转发VLAN1的数据包,这样交换机A的VLAN1就无法与交换机B的VLAN1进行通讯。 在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接口上启用了PORTFAST特性,可以使交换机端口立即变为转发状态,提高了网络的响应速度及收敛时间。基于RSTP的交换机高级特性UPLINKFAST在网络中的应用。 考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用冗余连接之前所经历的时间高达50S。 在使用UPLINKFAS之后,使的具有冗余上行连接的交换机具有根端口失效时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到1-5S之间,在企业网的特殊环境之下,能大大增强网络的稳定性,加快网络收敛。 3.5 NAT的描述及策略路由的实现 在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地址,但是使用私有地址不能访问Internet,所以必须申请多个公开地址配置在和Internet相连的局域网边缘设备上,应用NAT进行地址转换。 NAT是网络地址翻译技术,在路由器上起用NAT之后,可以在部私有地址和外部公网地址之间做转换。比如我们可以把网络内部使用的IP翻译成外部公网的IP。 配置基于策略的路由选择时,可使用路由映射表来指定基于IP地址,应用程序,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策略。 基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问列表时,可根据诸如目标地址,分组长度,IP协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下一路由器。 3.6 ACL(访问控制列表) 访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策略,防止网络中的敏感设备受到非授权访问的情况。 在具体实现过程中从技术上来说我们需要了解到ACL分为两种类型,他们分别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists)前者在过滤网络的时候只使用IP数据报的源地址,那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源IP地址,它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而精确到某一个服务,比如对WEB,FTP的访问等,给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。 3.7 链路聚合EC(Ethernet Channel) 以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性,比如可以把2个、3个、4个千兆的链路绑定在一起,使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保证链路的冗余性。在这些千兆以太网交换机中,最多可以支持4组链路聚合,每组中最大4个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。 3.8 VLAN(虚拟局域网) VLAN虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个逻辑层次的划分。从技术上说VLAN可以分为静态VLAN和动态VLAN,那么静态的VLAN是基于交换机端口进行划分,根据网络设备连接不同的交换机端口,则进入相应VLAN。动态VLAN则更灵活,它可以根据接入计算机的IP地址,MAC地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的VLAN中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。那么在我们的企业网方案中,我们希望通过使用VLAN技术进行划分达到以下目的: 隔离,划分广播域,减小不必要的广播流量,从而提高整个网络的利用效率。 网络设计原则 4 网络设计原则 采用先进成熟的技术和设计思想,运用先进的集成技术路线,以先进、实用、可靠、安全、使用方便和易于操作为原则,突出系统功能的实用性,尽快投入使用,发挥较好的效能。 4.1 网络资源的实用性 网络建设的实用性是网络建设的根本,在此基础上考虑网络的可靠性、可扩展性、安全性以及可管理性。 网络的实用性主要体现在网络的性能上,网络的性能是由应用系统的数据流量分布、网络设备性能及广域网链路带宽综合决定的。对应用系统的认真分析是网络设备选型以及广域网链路带宽选择的基础。在一定的网络资源条件下,可利用各种技术实施对于关键的网络应用的保障。如通过先进的队列机制进行拥塞控制,对不同等级的数据进行不同的处理,包括时延的不同和丢包率的不同;采用具备先期拥塞控制机制的网络设备,当网络出现真正的拥塞前就自动采取适当的措施,进行先期拥塞控制,避免瞬间大量的丢包现象;对非常重要的特殊应用,应可以采用保留带宽资源的方式保证其QoS。 4.2 网络的可靠性 网络的可靠性既是保证网络的正常运行,不因网络的故障或变化引起网络的瞬间质量恶化。网络作为数据处理及转发中心,应充分考虑可靠性。 网络的可靠性通过冗余技术实现,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。 模块冗余考虑网络汇接点的主干设备和核心设备的所有关键模块和环境部件应具备1+1或1:N热备份的功能,所有模块具备热插拔的功能,当某一关键模块出现故障时,可由备份模块接替其功能。 4.3 网络的扩展性 从网络的发展趋势来看,用户数量以及应用系统的膨胀是必然的趋势,网络系统面临数据流量增大的压力,同时网络高新技术在网络中不断被应用,在设计网络时应充分考虑系统的可升级性,从而保护网络系统投资。 网络的可升级能力包括设备交换容量的可升级能力、端口数量的可升级能力、主干带宽的可升级能力,网络新技术平滑过渡的可升级能力,以及网络规模的可升级能力。 交换容量扩展应具备在现有基础上继续扩充2-4倍容量的能力,以适应IP类业务急速膨胀的需求。设备的选型应充分考虑包转发能力以及数据交换能力。 端口密度扩展需要认真分析用户和应用系统的升级可能性,在具备升级可能性的信息节点配置高可升级性的网络设备,满足网络扩容时对用户接入以及系统互联的需要。 主干设备应具备丰富的的接口种类,具备向后延展性,可支持万兆以太网是发展的必然方向,以适应IP类应用及业务急速膨胀的需求。 网络规模扩展需综合考虑网络体系结构、路由协议的规划和设备的CPU路由处理能力,应能满足网络升级时对用户接入以及数据流量变化或增大时处理能力的需要。 4.4 网络的安全性 网络的发展趋势是基于Internet Web技术的开放网络化系统。这不仅带来了新的巨大的使用方便,同时也带来了不断增加的复杂应用及信息技术的挑战,因而安全是网络建设中要考虑的一个关键因素。 网络安全在内容上主要应考虑以下几个方面: (1) 身份鉴别与授权:身份包括鉴别和授权。鉴别回答了“你是谁”和“你在哪?”这两个问题,授权回答“你可以访问什么”。必须对身份机制谨慎部署,因为如果设施难以使用,即便是最严谨的安全策略也有可能被避开。 (2) 边界安全:边界安全涉及到防火墙种类的功能,决定网络的不同区域允许或拒绝何种业务,特别是在Internet和园区网之间或拨入网和园区网之间。 (3) 数据的保密性和完整性:数据的保密性指确保只有获准能够阅读数据的实体以有效的形式阅读数据,而数据完整性指确保数据在传输过程中未被改动。 (4) 安全监测:为检验安全基础设施的有效性,应经常进行定期的安全审查,包括新系统安装检查,发现恶意入侵行为的措施,可能的特殊问题(拒绝业务攻击)以及对安全策略的全面遵守等方面。 (5) 策略管理:由于网络安全涉及到以上的多个方面,每一个方面都使用了多种产品和技术,对这些产品进行集中有效的管理可以帮助网络管理者有效地部署和更新自己的安全策略。 (6) 其他基于网络安全技术的策略:比如利用硬件ACL技术,线速地对网络内部常见漏洞端口的封闭,对已知网络病毒传播的抑制。 4.5 网络的可管理性 随着网络中设备逐渐增多,网络技术日趋复杂,网络管理的重要性越来越明显——网络的复杂导致系统运行的不确定因素增加,可靠性降低,“宕机”时间变长且带来的损失越来越大,而往往由于平时对网管的忽略,缺乏受过专业培训的网络管理人员,也缺乏综合的网管解决方案,因而发生问题时无从下手,这才意识到网管的重要。作为一套考虑完善、可靠性要求极高的系统,当然不希望有“亡羊补牢”的情况发生,因此网络管理是网络设计必不可少的考虑因素之一,从设备本身操作系统所具备的一些网管功能,到简单的网络管理工具,甚而功能强大的大型管理系统,用户可根据自身的实际网络应用和资金安排,循序渐进,逐步实现全面网络管理功能。 网络从承载单一的数据到多种不同的应用,如何合理利用带宽资源,保障关键性业务QoS等管理要求成为网络规划管理人员不能回避的问题,网络管理系统必须提供有效的性能监控与流量收集分析的网络工具帮助网络管理人员优化网络性能,准确地进行网络规划。多种业务的集成要求势必带来网络硬件环境的变化。从单一的路由器与交换机的互连到集合了路由器,交换机,IP PHONE,语音网关,视频设备等多样设备的互连,设备管理和配置的直观性,灵活性对网络管理的效率至关重要。 方案涉及产品介绍 5 方案涉及产品介绍 5.1 主要设备选型 神州数码(中国)有限公司具有业界最长最丰富的交换机产品线,其中新一代的大容量万兆核心交换机DCRS-7600系列,可以提供丰富的IPv6实现技术,出色的体系结构,完整的攻击和病毒防范功能线速万兆和节能技术。而DCRS-6800系列可以提供大容量无阻塞的高性能业务交换,具备不断扩展和升级的能力;提供大容量的二、三层线速交换,提供多种丰富的业务板卡,不断满足客户对网络的需求,并极大的保护用户的投资。智能接入的DCS-4500-24T交换机,支持丰富的协议类型,用户行为的管理控制、安全可靠,充分满足客户对网络易管理、高性能、多业务承载的需求。 5.2 DCRS-7608 IPv6万兆核心交换机 图5-1 DCRS-7608 IPv6万兆核心交换机 5.2.1产品概述 神州数码DCRS-7608,丰富的IPv6实现技术,出色的体系结构,完整的攻击和病毒防范功能,稳定的核心保障机制,智能灵活的性能资源调度机制Flex Resource,便捷安全的网络管理,运营商级的可靠性,线速万兆和节能技术。 5.2.2产品特性 (1) 丰富的业务支持 支持全线速的MPLS VPN业务:DCRS-7600系列支持全面的LDP功能和BGP/MPLS VPN功能的同时,还支。持MPLS VPN访问公网功能,实现专网通信的同时,可以无阻隔地访问公网,保障了业务的多样性,可同时作为PE路由器、P路由器,还可根据需要支持版本升级扩展功能。 支持领先的IPv6业务:DCRS-7600系列支持丰富的IPv6实现技术,完全基于ASIC的分布式全线速硬件方式进行转发,能够满足高性能的IPv6应用。分布式硬件IPv6转发方式,可以在本地实现IPv6报文的处理,并可在接口模块内部及模块与背板间实现IPv6报文的线速转发,避免了集中式转发、NP转发等模式存在的瓶颈和时延问题;同时,作为国内和国际最先通过IPv6 Ready第二阶段增强版认证和IPv6 Ready Dhcpv6认证的路由交换机,新增加了更安全的邻居发现(ND)信息、认证封装安全负载、避免了受到路由头RH0攻击的影响、避免了使用IPv6任播地址的限制、完善了无状态地址分配的协议交互过程,为IPv6能真正在大规模商用环境中应用提供了安全方面的保障。 支持强大复杂的组播业务:DCRS-7600系列支持强大的组播实现技术,不仅支持IPv4组播,还支持领先的IPv6组播,完全基于ASIC的分布式全线速硬件方式进行IPv4/IPv6组播转发,能够满足高性能的多媒体应用。在IPv4方面,提供以PIM-SM、PIM-DM、PIM-SSM、IGMPv1/v2/v3等为主,配以MSDP、anycast-RP、静态组播路由、边界组播、Multcast VLAN、IGMP Proxy、IGMP Snooping等为辅的多套IPv4组播解决方案;在神州数码网络的传统强项IPv6方面,提供以PIM-SMv6、PIM-DMv6、PIM-SSMv6、MLDv1/v2为主,配以IPv6 anycast(泛播)-RP、IPv6静态组播路由、IPv6边界组播、IPv6 Multcast VLAN、IPv6组播隧道等为辅的多套IPv6组播解决方案,满足了业务复杂的电信级IPv4/IPv6组播业务需求。 (2) 出色的体系结构 DCRS-7608提供了10个插槽,DCRS-7604提供了4个插槽,同时DCRS-7604管理引擎模块支持高密度千兆端口,业界独特,极大地保护了用户的投资。 DCRS-7600系列产品采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查找,采用最长匹配、逐包转发的方式进行数据转发,从而大大提升了路由交换机的转发性能和扩充能力。 (3) 完整的攻击和病毒防范功能 DCRS-7600系列具有多层的IPv4和IPv6安全防范设计,堪称业界最全面,极有效地保障了超大规模、多业务、复杂流量访问网络的安全稳定性: ① S-MAC技术可有效地基于MAC层防范各种攻击; ② S-ARP (安全ARP) 技术可有效防止ARP的各种攻击和欺骗; ③ S-NDP (安全NDP) 技术可有效防止IPv6 NDP的各种攻击和欺骗; ④ S-ICMP(安全ICMP)技术可有效防止PING-DOS攻击,灵活防止黑客利用ICMP; ⑤ Unreachable攻击第三方的行为; ⑥ BPDU-GUARD技术可有效防止非法BPDU报文的攻击; ⑦ IPv4 DHCP Snooping/IPv6 DHCP Snooping技术可有效防止DHCP报文的攻击; ⑧ IPv4 URPF/IPv6 URPF技术可有效防止基于源IPv4地址\IPv6欺骗的网络攻击; ⑨ IPv4/IPv6 DCSCM可有效防止组播源和组播客户端的攻击; ⑩ 黑洞路由技术可有效防止路由环路、路由黑洞。 (4) DCRS-7600系列的诸多设计可充分保障核心稳定 ① 交换引擎CPU核心保护:可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪; ② 关键协议绿色通道功能:可保障正常、合法、速度合理的关键控制报文(VRRP、STP、MSTP、RIP、OSPF、BGP、组播协议、双引擎板间心跳等)在大流量业务下不被淹没,快速处理不中断; ③ 先进的FLASH ECC的自动纠错:避免了版本升级过程中出错的可能性; ④ 先进的内存ECC的自动纠错:保障了设备运行的稳定性。 (5) 智能灵活的性能资源调度机制Flex Resource 影响交换机性能的因素有很多:CPU、内存、MAC表、IP地址表、路由表、ACL表等等。这些资源都是有代价的,它们是交换机成本的重要组成部分。所以说,能不能在有限的成本范围内,最大限度地提高交换机资源的利用率,就成为提升性能的有效之道! 针对这个用户需求,神州数码网络的Flex-Resource(柔性资源调度)可利用多项技术,动态调整、回收和再分配交换机资源,从而成倍地提高了核心交换机资源的利用率,支撑起更大规模的网络。Flex-Resource目前支持Flex-LPM,Flex-L3,Flex-ARP等细分技术。 (6) 便捷安全的网络管理 优秀的网络设备除了强大的性能和功能外还应具备完善的管理功能。DCRS-7600系列具有丰富的监测网管功能,可实现任务异常、内存异常、交换芯片异常、CPU利用率、堆栈异常等方面的监测,而SYSLOG功能可方便地记录事件,便于事后查找和定位。 DCRS-7600系列具备便捷安全的配置管理手段,支持标准SSH、SNMP v1/v2c/v3;Security IP功能可拒绝非法配置员,只有从合法的IP才能对交换机进行配置管理,防止非法用户登陆交换机。 (7) 运营商级的可靠性 DCRS-7600系列路由交换机对所有关键部件都采用了冗余备份的设计方案:电源冗余、管理模块冗余、链路冗余等,并且DCRS-7600系列路由交换机的交流电源采取多路(2-3路)电网供电+电源工作时负载均衡,大大提高了电源的稳定和可靠。双引擎HA技术,保证在主引擎出现故障时,备份引擎自动接管交换机设备变成主引擎,从而保证交换机的稳定可靠运行。同时所有单板、电源模块、风扇盘等都支持热插拔,提高了网络运行的连续性。 (8) 线速万兆和节能技术 DCRS-7600系列交换机拥有着先进的万兆以太网支持,最高可提供Tbps级的交换容量和Mbps级的包转发能力。在保持线速转发性能的基础上,支持各种高密度接口板,满足核心层设备高密度、高吞吐量的要求,为城域和广域的应用提供了针对性的解决措施,可以简化网络结构、降低网络建设成本。 DCRS-7600系列交换机还采取了最新的节能技- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 网络 规划 设计
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文