旭日公司网络规划与设计
的,多层次级交换机系列,可以提高水平的可用性,可扩展性,服务质量(QoS),安全性和可改进网络运营的管理能力,从而提高网络的运行效率。
Catalyst 3550系列包括一系列快速以太网和千兆位以太网配置,可以用全套千兆位界面转换器(GBIC)设备提供强大的千兆位以太网连接;并将CISCO IOS软件中的一套第2-4层功能——IP路由、QoS、限速、访问控制列表(ACL)和多播服务扩展到边缘,堪称一款适用于企业和城域应用的强大选择[9]。用户第一次可以在整个网络中部署智能化的服务,例如先进的服务质量、速度限制、CISCO安全访问控制列表、多播管理和高性能的IP路由,并与引同时保持了传统LAN交换的简便性。通过高性能的IP路由实现了网络的可扩展性,利用基于硬件的IP路由和增强型多层软件镜像,Catalyst 3550系列交换机可以在所有端口上提供高达17Mpps的线速路由;基于CISCO快速转发(CEF)的路由架构有助于提高可扩展性和性能,该体系结构扶持极高速的搜索功能,并可确保必要的稳定性和可扩展性,以满足未来的需求。凭借内置CISCO集群管理套件,Catalyst 3550 系列交换机可简化网络的部署。
WS-C3550-48-EMI交换机,有48个10/100和2个基于GBIC的1000BaseX端口,通过使用多层软件镜像(EMI),可以提供路由和多层交换功能,满足三层交换需求。可以满足服务器群的高密度,高速率的接入需要,也可以满足因特网接入的需求。 2.4.3 接入层交换机
接入层交换机放置于楼层的设备间,用于终端用户的接入。应该能够提供高密度的接入,对环境的适应能力强,运行稳定。
楼层接入设备选择CISCO公司的WS-C2950-48-EI智能以太网交换机。
WS-C2950-48-EI交换机属于Catalyst2950系列智能交换机。Catalyst2950系列是固定的配置,可堆栈的独立设备系列,提供了线速快速以太网和千兆位以太网连接。Catalyst2950系列是有款最廉价的CISCO交换机产品系列,为中型网络和城域接入应用边缘提供了智能服务,可以为局域网提供极佳的性能和功能。这些独立的。10/100自适应交换机能够提供增强的服务质量(QoS)和组播管理特性,所有的这些都由易用,基于WEB的CISCO集群管理套件(CMS),和集成CISCOIOS软件来进行管理。带有100BASE上行链路的Catalyst2950交换机,可为中等规模的公司和企业分支机构办公室提供理想的解决方案,以使他们能够拥有更高性能的千兆以太网主干[9]。
WS-C2950-48-E交换机,有48个10/100端口,2个基于千兆界面转换器(GBIC)的1000BaseX端口,能够为用户提供千兆的光纤骨干和高密度度的接入端口;具有高达13.6Gbps的背板带宽,能够提供10.1Mpps的转发速率;增强型的IOS,能够支持250个VLAN,提供安全,QoS,管理等各方面的智能交换服务。
14
旭日公司网络规划与设计
2.5 网络扩展性需求分析
网络需求分析不仅要分析网络当前的技术性能,还要估计网络未来增长的压力,保证网络的稳定性。网络扩展性需求分析要明确以下内容。 2.5.1 用户业务的扩展性
旭日公司现在涉及到的业务有内部办公、信息传递、资源共享、企业网站搭建等,在未来的发展里,还会扩展到视频会议,VPN专线通信等高网络需求的业务,届时对网络健壮性的要求将增加。
公司的业务规模也在不断扩大中,员工大概以每年150的速度增加,到时对网络端口数量的要求也有所增加。
公司的建筑物群功能基本固定,部门调整通常都会在同一建筑物内变动,所以对网络结构影响不大。 2.5.2 网络性能的扩展性
随着公司将来规模的扩大和业务的增加,带宽的增长对网络性能会造成一定的影响,因此对网络性能提高的扩展性要求比较高,主要网络设备,如核心交换机、服务器主机等的处理性能预留最少为30%。 2.5.3 网络结构的扩展性
考虑到公司将来还有可能扩建,会有建筑物的增加,因为主干道采用的是地埋的手段,到时还需增加支路,从下水管道之类拉线,对现有网络结构可能会有一定影响。在设计的时候应选好方案,避免一些不必要的麻烦,尽量将影响降到最低。
由于以后用户数量会增加,占用的带宽也会增加,所以扩展网络端口采用堆栈的方式。利用堆栈不仅可以增加用户端口,而且还能提供简化的本地管理,将所有交换机视为一个整体的交换机来管理。
用户以后可能增加新的子网,如SAN网络,SAN是与传统网络不同的一种网络,它可以绕过传统网络的瓶颈,实现高速数据访问和平滑简单的扩容要求,使服务器与存储设备之间的直接高速数据传输。对现有网络的影响不会太大[17]。 2.5.4 网络设备的扩展性
由于对企业网服务器的性能要求比较高,所以采用刀片式服务器。网络交换机不能采用固定式交换机,因为网络用户在不断增加。网络设备扩展时,设备电源功率和外部电源功率UPS基本能满足要求。在网卡升级中有存在兼容的性的问题,所以这类设备,尽量选取兼容性较强的设备[15]。
15
旭日公司网络规划与设计
2.5.5 网络软件的扩展性
对于企业来说,日常使用的主要是一些办公软件、财务软件、服务器软件(Web、FTP、E-mail)等,对软件扩展性要求不高。购买的时候可以挑选一些主流先进的产品,软件升级时对服务器主机性能影响不大,同时对操作系统的兼容性也较好。
2.6 网络性能需求分析
网络性能与带宽、流量、QoS(服务质量)、拥塞、实时性、突发性和数据流向等诸多因素有关,其中核心参数是网络带宽。对于企业用户来说,由于网络性能与投资成本呈比例增加,因此用户希望得到一种既能满足用户业务需求,又有较好性能价格比的网络设计方案[16]。
提供最终用户的平均接入带宽为256kbit/s。256kbit/s的最低带宽虽然只能满足基本网络业务需求,但是应当看到,一是随着网络技术(如10GE、DWDM等)的发展,网络带宽会不断增加;二是随着编码技术(如H.323)的发展,传输业务信息需要的带宽越来越小。
对于一些P2P档下载类业务(如BT),由于下载档大,或使用一些工具软件后,将会无限制的枪战带宽资源。因此,为了保证公司日常办公的网络需求,对这类业务应该进行带宽控制。公司的网络管理人员可以利用一些网络监控管理软件对那些比较占用宽带的程序进行限制。
另外,不同的网络服务需要的带宽不同,取决于三方面的因素:一是提供给用户服务的类型(如Web、FTP、E-mail、OA等),二是接入层用户的访问速度;三是用户和服务器之间的连接质量。网络管理员可以根据不同区域的不同功能进行流量的分配,比如可以给综合办公楼、宿舍区、综合服务楼分配更多的流量,而车间、食堂和仓库可以分配较少的流量。
2.7 网络可靠性需求分析
在一个大型网络系统中,系统每个时刻都要采集大量的数据并进行处理。因此,网络系统的故障有可能给用户带来不可估量的损失,这就要求系统具有高度的可靠性。提高网络可靠性可以做到以下几个方面:
部分用户网络系统采用RAID 进行数据自动备份;部分用户网络系统进行数据远程异地备份:部分网络系统要采用系统备份和快速恢复功能;对重要服务器采用双机热备功能;主要网络设备需要考虑可离线应急操作,相同设备之间应当可相互替代;进行网络可靠性设计时,关键在于网络不能因出现单点故障而引起全网瘫痪,所以要重点考虑到设备,软件,链路的冗余备份[15]。
16
旭日公司网络规划与设计
2.8 网络安全性需求分析
网络安全的目标是使用户的网络财产和资源损失最小化。安全需求分析包括以下几个方面。
2.8.1 系统软件和硬件的安全需求
对于路由器、交换机此类网络设备的安全功能需求不是很高,但对于服务器,特别的内外网共享式服务器对其安全性要求就比较高了,因为其承载了企业网信息系统的安全保障,所以在服务器与路由器之间添加防火墙很有必要。
网络传输介质的保护也是很重要的一个部分,应加强防护,防止被损坏和盗窃。 用户的重要数据可能通过电磁辐射泄漏出来,因此对存放机密商务数据的机房应当构建屏蔽室,采用辐射干扰机等,防止电磁辐射泄漏商务机密信息。
在操作系统方面,尽量采用安全性较高的网络操作系统,并进行必要的安全配置,关闭一些不常用,并存在安全隐患的系统服务和端口。
网络操作系统和网络服务器软件可能存在安全漏洞,应当及时对系统进行补丁程序升级,加固系统的安全性。
网络系统应遵循安全规范和达到安全级别,安装安全有效的杀毒软件,避免病毒对系统和数据造成伤害[18]。 2.8.2 数据安全需求
网络数据库的安全运行十分关键,必须保证这些系统不会遭到来自网络的非法访问和恶意破坏。
网络安全系统应当保证内网机密信息在存储与传输时的保密。
允许外部用户访问公共WEB或FTP服务器上的数据,但是不允许访问内部数据,如企业内网的一些商业机密数据。 2.8.3 用户认证需求
当登录一些重要的系统时,要设置可以验证访问者身份的认证系统。 遵循最小授权原则,严格限制登录者的操作权限,并且谨慎授权。 对一些关键档的使用权限进行严格限制。
设置复杂口令,隔期更换,确保用户使用合法性,消除弱口令现象。
利用操作系统的日志功能,对用户访问的信息进行记录,为事后审查提供依据。 保护通过VPN传送到远程站点的数据。在信息传递过程中,采用MD5数据加密认证方式。
2.8.4 入侵防护安全需求分析
企业要做到入侵防护安全,安装防火墙是实现目的最基本,最经济的措施之一。防火墙是一个由软件和硬设备组合而成、在内部网和外部网之间建立起一个安全网关,从
17
旭日公司网络规划与设计
而保护内部网免受非法用户的侵入。但防火墙是静态的,而网络安全是动态的,IDS(入侵检测系统)可以对穿透防火墙的攻击进行检测,并作出相应反应(如记录、报警、阻断等)。入侵检测系统和防火墙的配合使用,可以实现网络的多重防护[18]。
2.9 网络管理需求分析
网络管理,是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,网络管理一般包括性能管理、配置管理、安全管理、故障管理和计费管理等内容。可以通过SNMP、远程网络监控和基于WEB的方式进行。
对于旭日公司来说,大部分都是日常办公用和职工上网娱乐用的上网需求,不需要进行远程管理。对性能管理要求比较高,因为在目前情况下,用户上网的总带宽是有限的,如不加管理,就会造成大部分用户上不了网,不能做最基本的网络任务。同时为了保证用户有一个可靠的计算机网络,对网络故障处理也需要一套很完善的机制来解决。
公司可以考虑安装一些网络管理软件来对网络进行管理,如百络网警、网络管理员、金盾CIS5等,都有较好的性能、较全面的功能和较高的安全性。
2.10 网络服务需求分析
企业网需要的服务主要有三类:
为了展现公司形象、全面详细的介绍公司产品及发展更多潜在客户,以获得更多商机,公司需要建立自己的网站,即搭建Web服务器。由于公司内部各部门之间有较多档需要发布和交流,为了方便档的上传和下载,公司需要建立自己的FTP服务器。另外,计算机网络间的通信首先必须由DNS将域名解析为IP地址,为了公司内部网络之间能够通信,DNS为员工访问内部网络提供域名解析,同时也提高了网络访问的速度和准确度,公司需要搭建DNS服务器。
3. 网络方案设计
根据需求分析制定出详细的网络设计方案,包括主干网络的技术选型、拓扑结构的设计、IP规划方案、路由技术选择、网络设备选择、服务器和软件建设方案及网络冗余方案。
3.1 网络设计原则
1.实用性和经济性
系统的软硬件设计都应以实用性为第一宗旨,在系统充分适合企业信息化要求的基础上再考虑其他性能。使用最经济有效的方案将各种软件和硬设备有效的集成在一起,使系统具有最佳的网络拓扑结构,达到最佳性能价格比。
2.先进性和开放性
18