论文部分内容阅读
摘要:参与建设的“天霸”网络项目,是一个高度集成且具有前瞻性的工程,从项目需求分析、设计规划、设备选型、拓扑结构、布线、信息点的设置等各方面进行科学设计和规划。
关键词:CISCO;VLAN;TCP/IP;网络拓扑结构;802.1x
中图分类号:TM727.3
文献标识码:A
文章编号:16723198(2009)20027002
1系统设计的一般原则
考虑到网络的安全问题,本次网络建设实际分为内部网建设和外部网建设两部分。在实际网络设计过程中,着眼于未来,确保网络能够适合今后的发展,网络设计遵循以下几个原则:标准化、可扩展性、先进性、可用可靠性、易管理性、完善的支持服务。
2具体的设计方法
2.1计算机网络系统设计
根据用户的实际情况和网络的发展需求,选用千兆以太网方式实施本次组网方案。与传统的以太网组网方式不同,采用全交换方式,10M/100M到桌面,100M作为主干进行传输,以提供良好的带宽和优异的服务质量(QOS)。本次大楼网络建设,网络主要分为天霸办公网、物业管理网两部分。
网络结构拓扑如图1所示。
网络采用层次化结构,由核心层和接入层两部分构成。核心层由一台核心交换机CISCO WS-3550-24组成,满足核心层的接入;拥有足够的端口数据交换处理能力和稳定性,保证网络的正常运行;能够提供3层交换能力,使得内部网络的划分成为可能,便于网络的管理。接入层由楼层交换机CISCO WS-2950-48组成,可以提供48个10M/100M端口组成,稳定性和端口数据交换能力要求一般,能够满足用户接入,根据实际情况,确定交换机的使用台数。楼层交换机与核心交换机通过超五类屏蔽双绞线互联组成骨干传输网络,租用中国电信光纤,使用光电转换器,提供100M的接口速率,实现INTERNET接入。
2.2VLAN划分和IP地址规划
在本方案中将采用虚拟网技术(VLAN)来划分整个网络系统,确保整个网络的安全和稳定。
IP地址是网络通信的基础,如何对IP地址进行系统的分配,直接关系到网络发展和运行。在本方案中根据用户的实际情况,将整个内部和外部网按照功能和地理位置的不同,划分成不同的VLAN,同时对各区域的IP地址进行分配。
2.3网络设备选型
本次网络方案设计,在网络设备选型按照稳定、可靠、易管理的原则进行网络设备选取,综合考虑本次组网的实际情况,决定选用美国CISCO系列交换机进行组网。选取Cisco WS-C3550-12-G作为网络的核心交换机,选取Cisco WS-C2950-48作为接入层交换机,使用CISCO PIX-515E-R-BUN提供INTERNET接入。
Cisco Catalyst 3550系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列,可以提供高水平的可用性、可扩展性、安全性和控制能力,从而提高网络的运行效率。因为具有多种快速以太网和千兆以太网配置,因此Catalyst 3550系列既可以作为一个功能强大的接入层交换机,用于中型企业的布线室;也可以作为一个骨干网交换机,用于中型网络。
PIX515系列防火墙具有无限软件捆绑:具有无限软件许可证的PIX515-R是为那些正在寻求使用基本防火墙功能来实现高性能安全性的企业而提供的Cisco解决方案。它所提供的能力可以处理50000余个同时连接,吞吐量高达170Mbps。支持多达3个以太网接口的PIX515-R-BUN是一种具有特别高效费比的解决方案,特别适合那些选择在防火墙之外托管自己的网站或者通过Internet服务提供商(ISP)托管网站,并且需要较合理性价比防火墙解决方案的小型公司。另外,也非常适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。
3布线系统设计中的信息点分布
根据实际情况和网络覆盖范围,建议使用结构化布线系统对天霸办公楼实施综合布线。中心机房位于2层。在4层和6层各放置壁挂式机柜各一台。4楼机柜控制3-4楼信息点,6楼机柜控制5-6楼信息点,2楼机柜控制1-2楼信息点。另外根据企业需要,财务另组建一套资金流网络。
考虑到用户目前和未来的使用需要,实施AYAVA公司的开放式布线系统。建议水平线采用超5类非屏蔽双绞线,提供符合ISO 11801标准的D类连接技术要求,可靠地支持100MHz传输带宽,支持155Mbps的网络应用。电话用的语音主干连接采用3类大对数UTP电缆。采用积木式模块化设计思路,使产品结构具有最大的灵活性,以紧凑的适配接口满足用户对数据、语音和图像传输的要求;已安装系统可以自由升级而无需再次端接;提供了一种不依赖线缆类型的超5类传输“开放系统”,所有 5类插入件可以任意交换使用,它是一种面向未来的设计思路,是迄今为止灵活性最大的系统,适应所有系统。
4设计方案特点
(1)高性能的交换网络结构。核心产品都支持第三层功能。可以从接入交换机开始进行VLAN的划分, VLAN可以根据端口、子网和网络协议进行划分;还可以进行高速的路由转发。对于中心交换机,还支持各种常用的网络协议和路由协议。由于核心设备支持无阻塞的第三层交换,在交换结构中,可以达到非常好的性能。也意味着可以减少繁琐的拥塞管理和服务质量管理工作。
(2)运营级可靠性设计。作为新一代Cisco Catalyst 3550系列平台。Cisco Catalyst 3550系列中提供的集成式冗余可靠性增强包括1+1超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。周到、完善的系统设计可满足苛刻的运营级网络对设备可靠性的要求。
(3)高度的可扩展性。Cisco Catalyst 3550系列的模块化体系结构能够提供很高的扩展能力和灵活性,以便使网络不断发展。利用专用VLAN,电信运营商或大中型企业可以容易地满足网络所需要的安全性。交换机可以配置为利用10Mbps、100Mbps或1000Mbps接口提供高密度接入,或者于非共享千兆位以太网端口提供千兆位汇聚。
(4)完善的设备安全性。思科的设备具有良好的安全性:支持ACL(Access Control List,访问控制列表),支持2、3、4层信息过滤(基于端口、源/目的MAC地址的帧过滤,基于源/目的IP地址和上层协议类型的报文过滤等等);用户分级管理和口令保护;提供多种用户认证方式:本地/Radius/802.1x认证;支持OSPF 、RIP v2 及BGP v4 的报文明文及MD5密文认证;支持SNMPv3的加密和认证;支持MAC地址表锁定及静态设置,实现对MAC的控制过滤。
(5)良好的隔离能力。网络较关心的问题是网络的安全性问题,他们不希望内部数据有被窃取得可能,这就使得网络必须提供类似电路的隔离功能。天霸网络,采用的比较多的应该是VLAN技术,即虚拟局域网技术。
关键词:CISCO;VLAN;TCP/IP;网络拓扑结构;802.1x
中图分类号:TM727.3
文献标识码:A
文章编号:16723198(2009)20027002
1系统设计的一般原则
考虑到网络的安全问题,本次网络建设实际分为内部网建设和外部网建设两部分。在实际网络设计过程中,着眼于未来,确保网络能够适合今后的发展,网络设计遵循以下几个原则:标准化、可扩展性、先进性、可用可靠性、易管理性、完善的支持服务。
2具体的设计方法
2.1计算机网络系统设计
根据用户的实际情况和网络的发展需求,选用千兆以太网方式实施本次组网方案。与传统的以太网组网方式不同,采用全交换方式,10M/100M到桌面,100M作为主干进行传输,以提供良好的带宽和优异的服务质量(QOS)。本次大楼网络建设,网络主要分为天霸办公网、物业管理网两部分。
网络结构拓扑如图1所示。
网络采用层次化结构,由核心层和接入层两部分构成。核心层由一台核心交换机CISCO WS-3550-24组成,满足核心层的接入;拥有足够的端口数据交换处理能力和稳定性,保证网络的正常运行;能够提供3层交换能力,使得内部网络的划分成为可能,便于网络的管理。接入层由楼层交换机CISCO WS-2950-48组成,可以提供48个10M/100M端口组成,稳定性和端口数据交换能力要求一般,能够满足用户接入,根据实际情况,确定交换机的使用台数。楼层交换机与核心交换机通过超五类屏蔽双绞线互联组成骨干传输网络,租用中国电信光纤,使用光电转换器,提供100M的接口速率,实现INTERNET接入。
2.2VLAN划分和IP地址规划
在本方案中将采用虚拟网技术(VLAN)来划分整个网络系统,确保整个网络的安全和稳定。
IP地址是网络通信的基础,如何对IP地址进行系统的分配,直接关系到网络发展和运行。在本方案中根据用户的实际情况,将整个内部和外部网按照功能和地理位置的不同,划分成不同的VLAN,同时对各区域的IP地址进行分配。
2.3网络设备选型
本次网络方案设计,在网络设备选型按照稳定、可靠、易管理的原则进行网络设备选取,综合考虑本次组网的实际情况,决定选用美国CISCO系列交换机进行组网。选取Cisco WS-C3550-12-G作为网络的核心交换机,选取Cisco WS-C2950-48作为接入层交换机,使用CISCO PIX-515E-R-BUN提供INTERNET接入。
Cisco Catalyst 3550系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列,可以提供高水平的可用性、可扩展性、安全性和控制能力,从而提高网络的运行效率。因为具有多种快速以太网和千兆以太网配置,因此Catalyst 3550系列既可以作为一个功能强大的接入层交换机,用于中型企业的布线室;也可以作为一个骨干网交换机,用于中型网络。
PIX515系列防火墙具有无限软件捆绑:具有无限软件许可证的PIX515-R是为那些正在寻求使用基本防火墙功能来实现高性能安全性的企业而提供的Cisco解决方案。它所提供的能力可以处理50000余个同时连接,吞吐量高达170Mbps。支持多达3个以太网接口的PIX515-R-BUN是一种具有特别高效费比的解决方案,特别适合那些选择在防火墙之外托管自己的网站或者通过Internet服务提供商(ISP)托管网站,并且需要较合理性价比防火墙解决方案的小型公司。另外,也非常适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。
3布线系统设计中的信息点分布
根据实际情况和网络覆盖范围,建议使用结构化布线系统对天霸办公楼实施综合布线。中心机房位于2层。在4层和6层各放置壁挂式机柜各一台。4楼机柜控制3-4楼信息点,6楼机柜控制5-6楼信息点,2楼机柜控制1-2楼信息点。另外根据企业需要,财务另组建一套资金流网络。
考虑到用户目前和未来的使用需要,实施AYAVA公司的开放式布线系统。建议水平线采用超5类非屏蔽双绞线,提供符合ISO 11801标准的D类连接技术要求,可靠地支持100MHz传输带宽,支持155Mbps的网络应用。电话用的语音主干连接采用3类大对数UTP电缆。采用积木式模块化设计思路,使产品结构具有最大的灵活性,以紧凑的适配接口满足用户对数据、语音和图像传输的要求;已安装系统可以自由升级而无需再次端接;提供了一种不依赖线缆类型的超5类传输“开放系统”,所有 5类插入件可以任意交换使用,它是一种面向未来的设计思路,是迄今为止灵活性最大的系统,适应所有系统。
4设计方案特点
(1)高性能的交换网络结构。核心产品都支持第三层功能。可以从接入交换机开始进行VLAN的划分, VLAN可以根据端口、子网和网络协议进行划分;还可以进行高速的路由转发。对于中心交换机,还支持各种常用的网络协议和路由协议。由于核心设备支持无阻塞的第三层交换,在交换结构中,可以达到非常好的性能。也意味着可以减少繁琐的拥塞管理和服务质量管理工作。
(2)运营级可靠性设计。作为新一代Cisco Catalyst 3550系列平台。Cisco Catalyst 3550系列中提供的集成式冗余可靠性增强包括1+1超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。周到、完善的系统设计可满足苛刻的运营级网络对设备可靠性的要求。
(3)高度的可扩展性。Cisco Catalyst 3550系列的模块化体系结构能够提供很高的扩展能力和灵活性,以便使网络不断发展。利用专用VLAN,电信运营商或大中型企业可以容易地满足网络所需要的安全性。交换机可以配置为利用10Mbps、100Mbps或1000Mbps接口提供高密度接入,或者于非共享千兆位以太网端口提供千兆位汇聚。
(4)完善的设备安全性。思科的设备具有良好的安全性:支持ACL(Access Control List,访问控制列表),支持2、3、4层信息过滤(基于端口、源/目的MAC地址的帧过滤,基于源/目的IP地址和上层协议类型的报文过滤等等);用户分级管理和口令保护;提供多种用户认证方式:本地/Radius/802.1x认证;支持OSPF 、RIP v2 及BGP v4 的报文明文及MD5密文认证;支持SNMPv3的加密和认证;支持MAC地址表锁定及静态设置,实现对MAC的控制过滤。
(5)良好的隔离能力。网络较关心的问题是网络的安全性问题,他们不希望内部数据有被窃取得可能,这就使得网络必须提供类似电路的隔离功能。天霸网络,采用的比较多的应该是VLAN技术,即虚拟局域网技术。