该案例为小冰曾为某SOHO用户网络升级作的一简约型设计,仅供参考.另外,从用户网络安全角度考虑,本案例中凡涉及到其内部信息内容已经省略.
另外,小冰提供本案例的写作时间较早,有些思路和设计方面存在问题,尤其是在设备的设备选型方面,希望大家提出更好的建议和意见,以便大家共同学习.
******************************************
一、公司简介(略)
二、项目需求:(用户不要求冗余设备,强调节约成本,但同时强调安全)
在高速发展的网络信息化时代,北京甲方科技有限公司致力于********等项目,利用自主创新的先进技术一度成为国内真正具有系统设计、设备成套、施工、安装、调试和管理综合服务能力的高科技企业之一。
自甲方入住N区写字楼,一直作为我公司重要客户,享受我公司为其提供的优质、快捷、高效的信息化服务,并随着甲方公司规模不断的扩大和业务也不断的增长,对公司网络信息化建设也提出了更高的要求,以适应公司快速健康的发展。
主要需求有三大部分:
1、对甲方所在N区写字楼办公网络进行优化升级和改造:
随着数据业务量的增加,现有网络拓扑及网络设备已经不能满足公司发展的需求,也渐渐暴露出许多问题,主要有以下两点:
(1)、核心网络设备(Cisco3550-24-EMI)资源紧缺,接口不够用,设备负载较重。
(2)、网络流量增大,许多诸如广播风暴、病毒攻击、P2P传输等异常流量急增,网络资源占用较大,导致网络速度慢、不稳定现象发生。
(3)、对各种数据传输业务的需求增大,网络设备和拓扑结构需及时改造。
2、对甲方所在S区大厦办公网络进行建设:
甲方所在S区大厦6层为其部分部门新入住的办公区域,尚未铺设网络,现对办公网络的建设提出了如下要求
(1)、新建设网络需满足至少200工作人员的办公需要,采购相关设备和资源。
(2)、对机房建设有严格要求,如防静电地板、防雷击等,必须符合国际弱电工程标准。
3、将甲方所在N区写字楼办公网络与S区大厦办公网络进行互联:
3、将甲方所在N区写字楼办公网络与S区大厦办公网络进行互联:
(1)、S区大厦办公网络接入Internet必须通过其所在N区写字楼办公网络,即其所在S区大厦的办公网络作为所在N区写字楼办公网络的子网络运行,并统一由N区写字楼网络进行控制和管理。
(2)、其N区写字楼办公网络与S区大厦办公网络需要进行点对点互联,要求实现高速网络资源共享。
(3)、其所在N区写字楼办公网络带宽扩容至10M ,以满足两个网络的需求。
三、网络现状
1、如拓扑所示(略):
2、拓扑描述:
核心层以Cisco3550-24-EMI设备为主,通过光缆和双绞线分别与汇聚层设备Cisco2950G-24、Quidway3050互联,再由汇聚层设备与接入层交换机Cisco2950-24/QuidwayS2026相连构成。
ISP接入层分别由两条ISP线路接入,一条直接通过一台Cisco2600系列路由器、Netscreen 50防火墙与核心交换网络相连。另一条则直接由Netscreen 50防火墙接入总经理终端设备。
另外,办公网络中有部分人员通过Wlan方式上网,在其中网络中有无线路由器及无线AP设备。同时有各类内外部网络服务器十几台直接接入核心交换机。
思科设备、华为设备、Juniper Netscreen设备并存于该网络中。
四、设计思路:
根据该项目需求以及网络现状,再结合现阶段的各类网络技术特点,综合地理、时间、经济、制度、技术标准等因素,对项目需求中所列的要求进行设计,具体设计思路分以下几部分:
(1)第一阶段:对甲方所在N区写字楼办公网络进行优化升级和改造,该阶段主要是解决网络设备资源紧缺、网络流量优化控制方面的问题。
设计思路:
a、增加网络设备,更改网络拓扑架构,以解决网络资源不足问题。
b、通过改变网络拓扑架构,利用VLAN、Qos、FEC/GEC等技术缓解网络拥塞、减少广播风暴、限制P2P异常流量等,以达到实现网络流量优化控制的目的。
c、通过交换机SPAN技术、SNMP技术、RMON技术等,借助第三方网络监控管理分析软件如Sniffer、Ciscoworks、HpOpenView、Solarwinds等以架设网络监控管理服务器,并建议架设网络防病毒服务器进行统一防毒及病毒库升级等。
(2)、第二阶段:对甲方所在S区大厦办公网络进行建设,该阶段主要是设计新网络拓扑、采购相关设备资源、铺设新办公网络。
设计思路:
a、根据图纸所设计工作点位,设计新网络拓扑。
b、确定所需相关设备,采购新设备。
c、组建新办公网络。
c、组建新办公网络。
(3)、第三阶段:将甲方所在N区写字楼办公网络与S区大厦办公网络进行互联,该阶段主要是解决两地互联及资源共享问题,并对出口带宽进行扩容。
设计思路:
a、无线互联方式:两区域空间相距约200米 ,可以采用Wlan方式互联,也可以采用微波方式互联,但微波方式成本较高。
优点:互联方便,无需铺设电缆或光缆,与有线互联方式相比成本相对较低,一次性投入。
缺点:但个别设备成本较高,传输速度慢,无法满足高速访问共享资源,另外,无线互联受外界环境影响较大,传输距离受到限制,相关无线设备架设难度较大。
b、有线互联方式:可以采用光缆方式、点对点透明链路(DDN、FR、HDSL等)等方式。
优点:数据传输速度快,传输距离远,不易受外界干挠,可以租用现有ISP运营商线路,无需自行铺设。
缺点:租用线路成本较高,工程施工较为复杂。
优点:数据传输速度快,传输距离远,不易受外界干挠,可以租用现有ISP运营商线路,无需自行铺设。
缺点:租用线路成本较高,工程施工较为复杂。
c、带宽扩容:出口带宽扩容为10M 独享线路,以缓解带宽紧张问题。
综述,以上设计思路只是针对项目的需求来进行设计的,除此之外,还要考虑到网络后期扩展、网络拓扑结构及设备的兼容性、网络管理、网络安全等具体实现问题,具体实现详见“六、总体设计”章节。
五、设计原则:
网络工程项目的设计实施一般都会遵循以下设计原则:
(1)、实用性原则:网络设计方案中应把握“够用”和“实用” 原则,网络系统应采用成熟可靠的技术和设备,做到实用、经济和有效。
(2)、开放性原则:网络系统采用开放的标准和技术,如TCP/IP协议、IEEE802系列标准等,以满足未来网络系统的扩充和与其他网络的互相通信等需求。
(3)、高可用性/可靠性原则:应确保很高的平均无故障时间和尽可能低的平均故障率。
(4)、安全性原则:确保网络可以抵挡住常见及一般性的攻击,并辅之实时监控和分析等手段,对特殊的网络攻击和入侵进行相应处理。
(5)、先进性原则: 构建一个现代化的网络系统,应尽可能采用先进而成熟的技术,在一段时间内保证其主流地位。
(6)、易用性原则:整个系统易于安装、管理和使用。网络系统应该具有良好的可管理性和很高的资源利用率。此外,在满足现有网络应用的同时,还应为以后的应用升级奠定基础。
(7)、可扩展性原则:网络总体设计不仅要考虑到近期目标,也要为网络的进一步发展留有扩展余地,因此需要统一规划和设计。
(1)、实用性原则:网络设计方案中应把握“够用”和“实用” 原则,网络系统应采用成熟可靠的技术和设备,做到实用、经济和有效。
(2)、开放性原则:网络系统采用开放的标准和技术,如TCP/IP协议、IEEE802系列标准等,以满足未来网络系统的扩充和与其他网络的互相通信等需求。
(3)、高可用性/可靠性原则:应确保很高的平均无故障时间和尽可能低的平均故障率。
(4)、安全性原则:确保网络可以抵挡住常见及一般性的攻击,并辅之实时监控和分析等手段,对特殊的网络攻击和入侵进行相应处理。
(5)、先进性原则: 构建一个现代化的网络系统,应尽可能采用先进而成熟的技术,在一段时间内保证其主流地位。
(6)、易用性原则:整个系统易于安装、管理和使用。网络系统应该具有良好的可管理性和很高的资源利用率。此外,在满足现有网络应用的同时,还应为以后的应用升级奠定基础。
(7)、可扩展性原则:网络总体设计不仅要考虑到近期目标,也要为网络的进一步发展留有扩展余地,因此需要统一规划和设计。
六、总体设计:
除了根据以上设计思路和设计原则,还要从项目整体角度去考虑,整合现有资源,节约及控制成本,按需引入相关资源原则进行设计。
(1)总体设计拓扑图:
(2)、拓扑详解:
核心层:仍然以原Cisco3550-24-EMI设备为主,原十几台服务器不再直接接入到核心交换机,以减轻核心设备负载,节约核心设备物理接口等资源。由该设备担任Vlan Server,执行VTP的发布、更新、通知等,开启三层路由交换功能,划分VLAN子接口及开启Trunk通道,配置VLAN网关,封装802.1q协议等,还可以通过ACL实现对内部网络的管理。
汇聚层:原汇聚层设备保持不变,但需要增加两台汇聚层设备Cisco3650-24TS-S的交换机,其中一台直接作为十几台服务器汇聚交换机,主要是因为考虑到服务器占用资源较大,为减轻核心设备负载,需要新增一高性能交换机进行处理。另外该交换机Cisco3650-24TS-S的交换机可与Cisco3550-24-EMI的三层交换机进行端口汇聚(FEC技术),减轻设备单端口单链路负载,起到端口链路的冗余备份功能,增大数据传输通道,缓解服务器网络拥塞状况;而其上行链路与边界防火墙DMZ区互联,起到保护服务器减少外部攻击作用。另外一台交换机Cisco3650-24TS-S则作为甲方所在S区大厦6层办公区网络的汇聚交换机,并与N区写字楼通过有线或者无线方式互联,达到资源共享目的。所有汇聚层交换机(cisco2950G -24/Quidway3050/Cisco3650-24TS-S)上行trunk口与核心交换机互联,下行trunk口与接入层交换机互联。
终端接入层:一般终端用户通过接入层设备cisco2950-24、ciso2950-48、quidways2026等接入,甲方所在S区大厦办公网络需要新增接入层交换设备,如按目前200数据点位计算,需要增加至少10台24×××换机,可以采购cisco2960-24TT-L交换机。
ISP接入层:总经理终端所在网络的ISP接入层无需变动。而核心层所互联的ISP接入层主要是以cisco2600系列路由器作为边界路由器执行互联传输作用,而边界防火墙netscreen50防火墙则执行了路由、NAT、ACL、包过滤、攻击检测等功能,但由于cisco2600系列(具体型号未知)路由器处理能力及物理接口特性所限,一直都是该网络中的一大瓶颈。此方案中将cisco2600系列(具体型号未知)路由器更换为cisco2821路由,以提高处理性能。同时netscreen50防火墙仅能满足200客户端需求,数据处理能力也受到限制,根据甲方发展有望近期超越600人的使用量,所以需要将netscreen-50替换为netscreen-ssg550。另外将此处替换下的防火墙用于S区大厦办公区网络以透明桥方式接入,防止两个网络之间有病毒攻击,增强网络安全性。
服务器架设:为了更好的管理网络,提高网络维护效率,可以考虑架设网络管理监控服务器(SNMP&RMON)、网络版防病毒服务器等辅助性服务器。另外根据内外部网络需求,将服务器进行划分,指定不同网关出口,提高访问速度。
其他设备:由于原来UPS设备已经不能满足对现有设备的供电需求,甲方N区写字楼机房急需增加一台UPS电源,另外甲方S区大厦机房也需要一台UPS电源。
七、方案分析:
该方案综合考虑了现有网络状况和未来网络发展状况,同时也具备了许多独有的特性,尤其是在解决网络的优化控制、设备性能以及网络安全方面突出一些。当然有利必有弊,由于时间过于紧迫,现场没有仔细考察,该方案可能会存在大大小小的细节问题,需要完善。
八、设备选购:
(1)、所需设备列表
|
型 号 |
数 量(台) |
单价(元) |
合计(元) |
备注 |
|
WS-C2960-24TT-L |
10 |
|
|
|
|
WS-C3560-24TS-S |
2 |
|
|
|
|
CISCO2821 |
1 |
|
|
|
|
NetScreen-SSG550 |
1 |
|
|
|
|
网管、防毒服务器 |
2 |
|
|
建议 |
|
UPS电源 |
2 |
|
|
|
(2)、设备性能参数:
A、 CISCO WS-C2960-24TT-L
Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。
Cisco Catalyst 2960-24TT:24个10/100以太网端口和2个10/100/1000固定以太网上行链路端口;1机架单元(RU)
Cisco Catalyst 2960提供:
Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。
Cisco Catalyst 2960-24TT:24个10/100以太网端口和2个10/100/1000固定以太网上行链路端口;1机架单元(RU)
Cisco Catalyst 2960提供:
- 网络边缘提供了智能特性,如先进的访问控制列表 (ACL)和增强安全特性
- 双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆或光纤上行链路端口—每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔(SFP)千兆以太网端口,在使用时其中一个端口激活,但不能同时使用这两个端口
- 通过高级QoS、精确速率限制、ACL和组播服务,实现了网络控制和带宽优化
- 通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制,实现了网络安全性
- 通过思科网络助理,简化了网络配置、升级和故障诊断
- 使用Smartports自动配置特定应用
B、 CISCO WS-C3560-24TS-S
Cisco Catalyst 3560 系列交换机是一个固定配置企业级IEEE 802.3af 和思科预标准以太网供电PoE 交换机系列工作在快速以太网和千兆位以太网配置下Catalyst 3560 是一款理想的接入层交换机适用于小型企业布线室或分支机构环境结合了10/100/1000 和PoE 配置实现最高生产率和投资保护并可部署新应用如IP 电话无线接入视频监视建筑物管理系统和远程视频访问亭客户可在整个网络范围中部署智能服务如高级QoS 速率限制访问控制列表组播管理和高性能IP 路由等且同时保持传统LAN 交换的简洁性思科网络助理(network assistant)在Catalyst 3560 系列中免费提供是一个集中管理应用可简化思科交换机路由器和无线接入点的管理任务思科网络助理提供了配置向导大大简化了融合网络和智能网络服务的实施。
Cisco Catalyst 3560-24TS--24个以太网10/100端口,2个小型SFP千兆位以太网端口;1个机架单元(1RU)。
C、CISCO2821
思科系统公司®推出了一个全新的集成多业务路由器系列,它进行了专门的优化,可安全、线速地同时提供数据、话音和视频服务,重新定义了最佳大型企业和中小型企业路由。模块化Cisco® 2800系列集成多业务路由器(参见图1)建立在思科20年的领先地位及创新技术的基础之上,智能地将数据、安全性和话音服务内嵌于单一永续系统,能快速、可扩展地提供关键任务业务应用。Cisco 2800系列的独特集成系统架构提供了最高业务灵活性和投资保护。
Cisco2821集成多业务路由器,带交流电源, 2GE, 1 NME, 1 EVM, 4 HWIC, 2 AIM, 和Cisco IOS IP Base 软件。
思科系统公司®推出了一个全新的集成多业务路由器系列,它进行了专门的优化,可安全、线速地同时提供数据、话音和视频服务,重新定义了最佳大型企业和中小型企业路由。模块化Cisco® 2800系列集成多业务路由器(参见图1)建立在思科20年的领先地位及创新技术的基础之上,智能地将数据、安全性和话音服务内嵌于单一永续系统,能快速、可扩展地提供关键任务业务应用。Cisco 2800系列的独特集成系统架构提供了最高业务灵活性和投资保护。
Cisco2821集成多业务路由器,带交流电源, 2GE, 1 NME, 1 EVM, 4 HWIC, 2 AIM, 和Cisco IOS IP Base 软件。
D、 Juniper NetScreen-SSG550
|
并发连接数: |
128000 |
|
网络吞吐量: |
1000MB |
|
用户数限制: |
无用户数限制 |
|
安全标准: |
UL,CUL,CSA,CB |
|
管理: |
系统管理,本地管理员数据库,外部的管理员数据库,有限的管理网络,根管理员、管理员和只读用户级别,软件升级,配置回退 |
|
主要功能: |
地址转换,防火墙,统一威胁管理/ 内容安全,VoIP 安全性,vpn,防火墙和××× 用户验证,路由,封装,流量管理(QoS),系统管理,日志记录和监视 |
|
设备类型: |
专用安全设备 |
|
×××: |
支持 |
|
安全过滤带宽: |
500MB |
|
尺寸: |
546.1*44.5* |
|
以太网口数: |
4x 10/100/1000,6个物理接口模块(PIM)扩展插槽,4个增强的PIM扩展插槽 |
