发布于:2015-06-11 14:46:11
来自:电气工程/供配电技术
[复制转发]
1 工程概述
商场位于沈阳市中街路主要地段,是沈阳最早的大商场之一,有20多年的经营历史,由于建成时间较为长久,难以满足现有经营需求,为此对其进行改造。工程建筑高度29.4m,建筑面积约为十万m2,地下二层,地上六层,局部机房八层。功能:地下二层停车场、设备机房;地下一层超市;地上六层为高档商场。
2 网络建设目标及要求
建设内容包括:有线无线网络建设要实现各楼层上网和办公业务系统的联网运行,同时实现部分商场办公区域、会议室以及休息区的WLAN信号覆盖,为用户提供稳定可靠的无线宽带网络接入服务。
3 总体网络设计原则
计算机网络系统设计必须要求按照统一规划、统一标准的原则,总体设计,提供一个技术先进、结构合理、安全可靠的综合网络平台,为网络信息的快速传递和各类应用系统建设提供有力保障。在设计网络时,需要遵循以下原则:
(1)实用性和先进性
采用先进成熟的技术满足各类业务需求,兼顾其它相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。
(2)安全可靠性
为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。
(3)灵活性和可扩展性
计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据商场的不断变化的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
(4)开放性和互连性
具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。
(5)经济性和投资保护
应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
(6)可管理性
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。
4 总体方案概述
商城局域网络带宽设计原则:本着以实用为主的设计理念,利用局域网高带宽的天然优势,结合网络安全第一的设计思路,将采用万兆核心平台的高带宽、高稳定性网络设计方案进行网络部署。为了保障网络安全在出口路由器和核心交换机之间部署带防毒卡的防火墙来进一步保证业务系统的安全性。
根据目前商业城的布线情况,需要采用核心-汇聚-接入三层架构来保证网络的互联互通和健壮性。通过应用
网管平台、万兆核心设备、千兆交换设备,使得整个网络系统具有先进性、稳定性、安全性等众多特点,完全可以满足现在及未来3~5年内的发展需要。
5 网络拓扑结构图
网络拓扑结构图如下图所示。
6 商城网络设计
(1)核心层设计
办公楼核心层设备是商城网络的核心枢纽,应该选择高性能、高可靠、高扩展性的核心路由以太网交换机,本次方案推荐核心采用1台S7503E万兆以太网交换机。高性能的保障了局域网内的高速数据交换。为了提高可靠性,核心交换机配置双电源。
(2)汇聚层设计
由于新大楼垂直系统布线采用光纤,接入层与汇聚层,汇聚层与核心层均采用光纤互联,因此汇聚层交换机选择H3C公司三层光纤汇聚交换机S5500-28F-EI,提供24个SFP千兆端口,8个复用的10/100/1000Base-T以太网端口(Combo),两个扩展槽位,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择。
(3)接入层设计
接入层的作用是完成用户的接入以及边缘策略(如用户接入安全认证、服务质量等)控制的功能。网络设备主要通过二层交换的方式进行数据传送。
由于新大楼中的布线采用六类线,需要千兆上行。因此接入层交换机选择某公司三层千兆上行接入交换机S3100EI,具备丰富的业务特性,提供IPv6转发功能以及最多4个GE扩展接口。通过特有的集群管理功能,用户能够简化对网络的管理。S3100EI系列百兆以太网交换机定位为企业网和城域网的接入,同时还可以用于数据中心服务器群的连接。
在POS收银网络系统中,每层楼的弱电间各部署一台交换机,选择S3100-26TP-EI,可进行IP/MAC/段口绑定和防御ARP病毒。
在办公网络系统中,选择S3100-52P的48口高密度智能安全交换机,可进行IP/MAC/段口绑定和防御ARP病毒,同时支持千兆光口上行,与核心交换机光纤互联。
(4)无线网络设计
关于Wlan无线覆盖,建议对办公楼层的会议室、共享空间等场同样所做无线覆盖。
当前WiFi终端仍多为802.11g此次推荐应用802.11a/b/g技术,无线局域网(WLAN 802.11a/b/g)技术已经是当今应用广泛的无线技术,它的实用化程度高,应用成熟。802.11a/b/g产品可允许用户采用单个PC卡或嵌入式用户端(embedded-client)方案,无缝连接到所有的802.11网络,实现54Mbps的数据传输速度,从而能够满足网络、计算机和多媒体设备制造商们对无线网络提出的高速数据传输需求。选择WA2220无线AP,802.11a/b/g双频解决方案由于能根据网络和用户环境动态的选择传输模式,因此能为用户提供较佳的性能。
(5)出口路由设计
为了保障内部网络不受外部的非法攻击和访问,在广域网出口必须配置一台路由器。网络系统中需要配置路由器接入Internet.
出口部署一台H3C多业务路由器MSR30-20,连接到Internet.MSR30-20,其性能可以满足未来3~5年的业务数据互联。
MSR路由器具备强大的Nat功能,可满足500个客户端同时上网的需求。同时可灵活扩展E1或者同异步模块,为以后与铁西百货进行专线互联打下基础。
(6)网络管理设计
1)管理:部署一台iMC(智能管理中心)使网络设备实现智能联动,在一个管理服务器上可以实现设备管理、用户管理、用户业务管理,可以根据需要选择定制组件,后续增加任何业务都可以支持平滑升级,统一界面,统一风格,能够迅速的掌握并熟练应用。
①设备管理:有线设备、无线设备、服务器等统一管理;
②用户管理:可以实现用户接入认证,安全状态检测、隔离等。
2)在商场网络中,存在有线无线设备,所以需要配置1套IMC软件,同时配置管理相应数量设备的license和无线管理组件和相应license.
7 IP地址规划
(1)IP地址规划原则
IP地址是被用来唯一地标识网络中主机及设备位置的一个属性,是IP报文转发及寻址的依据。IP地址也是最重要的网络资源之一。
IP地址的分配及规划,直接关系着网络的建设及维护工作量,同时也会影响电子业务应用开展。所以,必须对IP规划给予足够的重视。
IP地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。满足这些要求的IP地址分配技术有:可变长子网掩码技术(VLSM(Variable-LengthSubnetMask)和路径叠合(汇聚)技术(RouteSummarization)。
为了利于整个商场网络的统一管理及各种应用(如不同部门之间共享部分网络资源)的顺利开展。建议对整个网络的IP地址进行统一规划,并在此前提下,兼顾已有网络,以减少规划后对原有各部门网络的影响。
(2)IP地址管理
IP地址的管理和分配采用动态及静态结合的方式。普通用户的IP地址由DHCP服务器动态分配;服务器,设备管理地址等需要固定IP地址,由网络管理部门静态分配。IP地址管理是用户管理的重要内容,也是构建完整的安全架构中不可或缺的一部分,应该在网络设计初期就对网络多种用户的IP地址分配方式进行统一规划。
普通用户建议采用动态获取IP地址的地址分配方式,可以减少IP地址分配的复杂度同时防止IP地址重叠的情况发生。为了防止动态IP地址用户私自配置静态IP地址以及恶意假冒他人IP地址可以启用DHCP+特性,限制用户获取IP地址的方式只能为动态获取,私自配置的静态IP地址将无法正常接入网络。同时为了对用户的身份进行合法性验证可以在网络的接入层对用户的身份进行验证,验证方式可以根据实际情况进行选择,可以采用强制PORTAL认证、802.1x认证等多种认证方式。
重要用户以及特殊用户(比如网管系统)可以配置静态IP地址并在用户接入的网络设备上静态添加用户的IP地址并且实现IP+MAC+端口的绑定,一方面保证了用户IP地址的固定配置,另一方面也防止了其他恶意用户的地址假冒。重要用户及特殊用户可以不用身份验证而直接接入网络。
(3)路由协议规划
在大型网络中,选择适当的路由协议是非常重要的。目前常用的路由协议有多种,如RIP、OSPF、IS-IS、BGP等。
OSPF是一个基于链路状态的动态路由协议,协议的基本思路如下:在自治系统中每一台运行OSPF的路由器收集各自的接口/邻接信息称为链路状态,通过Flooding算法在整个系统广播自己的链路状态,使得在整个系统内部维护一个同步的链路状态数据库,根据这一数据库,路由器计算出以自己为根,其它网络节点为叶的一根最短的路径树,从而计算出自己到达系统内部各可定的最佳路由。OSPF是一类Interior Gateway Protocol(内部网关协议IGP),它处理在一个自治系统中,路由器的网络的路由表信息。
OSPF把整个网络(Internet上的子网或其它类型的网)看成一个自治系统(AS),每一个AS内若干个物理上相邻的路由器(Router),网络(Network)组成Area,这些Area内部一般是不相交的,它们划分了整个AS。区域概念的引入是为了隔离和区分自治系统内的各部分,并由此减少路由器必须维护的整个自治系统的信息量,也就意味着减少了路由器间传输和维护的OSPF路由表的额外信息。
H3C系列网络上实现的OSPF协议是按照最新的协议标准来实现的,它不仅支持协议规定的所有功能,而且支持在其后的一些扩展,具体如下:
①协议标准的完全实现,可以与其它厂商的标准的OSPF协议实现对通;
②支持各种接口类型,包括在拨号口上的运行;
③各种策略的实现,如ROUTEMAP及路由过滤等;
④支持STUB区域;
⑤标准的网管功能。
基于上面的需求分析及选择考虑原则,建议在一体化网络平台系统中使用OSPF的路由协议进行组网。
(4)VLAN规划
此次系统设计所推荐采用设备均支持VLAN的划分,同时使用MSTP技术,可以提供多条数据的转发路径,从而实现负载均衡。MSTP在改进Spanning Tree的同时,保持了与IEEE 802.1D Spanning Tree的兼容性。MSTP部署在核心交换机和接入层交换机上,就可以有效保证网络的高可靠性。
VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
(5)业务间的安全隔离
为保证各种不同部门、不同业务间的安全隔离,该方案考虑采用访问控制列表技术实现业务间的安全隔离。
ACL访问控制:
在网络设备配置中,可以利用三层设备的ACL(访问控制列表)功能,保护那些对网络安全要求较高的主机、服务器以及特定的网段。ACL是手工配置在网络设备上面的一组判断条件,对于满足条件的数据包,设备进行“转发”或者“丢弃”的处理。ACL的主要作用有:
1)实施对网段的访问控制
通过在网络设备上配置访问控制过滤功能,提供网络管理人员对网络资源,进行有效安全管理的技术。介绍如下:
ACL:针对数据包的目的网络地址,通过IP地址的过滤,作访问控制,包括网段和主机地址。
Extended ACL:针对数据包的源地址和目的网络地址的组合,对网络访问进行控制包括网段和主机地址。
如可以通过在网络设备上设置ACL,允许网络给普通用户访问公共文件服务器所在的网段,但拒绝对财务或者Internet等的访问。
2)实施对网络应用的安全控制
通过网络设备配置的Extended ACL,针对用户数据包的应用类型,对网络访问进行控制。
例如,在同一台主机上,同时运行Email和WWW应用,通过在网络设备上设置控制表,可以控制用户只能访问Email应用,而拒绝他访问WWW应用。
H3C公司推荐的网络设备使用硬件方式实现ACL功能。因此当设置了ACL之后,对设备处理数据包的速度没有影响,依然能满足线速转发的要求,确保关键应用的正常开展。
全部回复(1 )
只看楼主 我来说两句 抢板凳