生產型公(Gong)司網絡系統集成方案設計第一頁，共四十八頁。第1章

環境介(Jie)紹學習內容：4.1公司網絡系統建設概述4.2綜合布線方案4.3網絡設計方案4.4Windows服務器解決方案4.5工程(Cheng)實施方案4.6網絡存儲方案4.7技術支持服務第二頁，共四十八頁。導入案例--某集(Ji)團公司網絡系統設計解決方案1.系統建設的必要性該集團公司是我國1000家大型企業之一，其直屬企業、下屬子公司、合作伙伴、產品銷售網點和維修站遍布全國各地及世界上的許多國家和地區。目前，該集團公司計算機網絡系統應用取得了很大的成績，整個集團公司擁有各類計算機的數量已突破4000臺。各種局域網及其應用系統已在大多數分公司、分廠、科室廣泛采用，尤其是近年來，Internet及其相關技術的出現和高速發展，為企業提供了利用網絡進行信息交流和管理的極好機遇。可以說，Internet/Intranet的發展為國內企業走向世界提供了一個千載難逢的機會。該集團公司企業網的建設及應用，為實現該集團公司在21世紀成為國際性大公司的宏偉目標，在信息化方面奠定了堅(Jian)實的基礎。第三頁，共四十八頁。1)系統設計目標系統設計目標是建設集團公司園區光纖主干網，采用先進的Internet/Intranet技術，建立一個先進的集團公司虛擬企業網，滿足集團公司企業內部信息管理及國內外信息交流。具體設計目標如下。(1)各部門的信息能夠及時準確地傳輸(Shu)到集團公司決策部門和管理部門。(2)其他目標略。第四頁，共四十八頁。2)系統設計原則該集團公司的各分公司、研究所、分廠和科室及各種庫房分布在國內外近百個地方，如果各分公司、研究所、分廠和科室自行建網，勢必會造成(Cheng)重復投資和管理混亂的局面。而總部園區以外的部門，分布在國內外各個不同地方，需要統一規劃，全面考慮。因此該集團公司園區光纖主干網的建設遵循如下原則。(1)采用統一的網絡協議和接口標準，選用TCP/IP標準。(2)其他原則略。第五頁，共四十八頁。2．網絡方案選擇1)采用光纖總部范圍較大，相鄰主干結點之間的距離最長達數千米以上，若采用雙絞線和同軸電纜，則受到距離和帶寬限制，難以滿足高速度、大容量和高可靠性的傳輸要求。2)采用交換式光纖分布式數據接口(FDDI)技術FDDI是世界上第一個高速局域網標準，在眾多的高速網絡產品中，FDDI是當今成熟的技術，有完整的標準，又有眾多廠商的支持，市場份額較高。因此國內外許多大型公(Gong)司都采用FDDI技術來組建自己的Intranet主干網。因為FDDI具有高速度、大容量、高可靠性、安全保密等特點。3)選用智能交換式以太網智能交換式以太網大都具有如下特點:采用基于硬件的分布式“存儲零轉發”交換技術，提供一條獨立于協議的基于信元交換，背板高速總線通常可達1～4Gb/s。第六頁，共四十八頁。3．系統組成該集團公司企業Intranet由總部園區高速光纖主干網、部門局域網、Internet接入網和遠程廣域網組成。(1)總部園區高速光纖主干網。總部園區高速光纖主干網是一個全面支持網絡管理和多媒體通信的全動態交換式網絡。主干選用Cisco公司的Catalyst5000和Catalyst3000，它們之間以光纖為介質，提供全雙工的200Mb/s帶寬連接。(2)部門局域網。較小規模的服務(Wu)器以100Mb/s的速率連至相應結點交換機上的100Mb/s交換機端口。(3)Internet接入系統。(4)遠程廣域網。第七頁，共四十八頁。4．網絡服務(1)域名服務。(2)IP地址分配。(3)代(Dai)理服務。5．應用系統該集團公司Intranet的具體應用主要分為計算機輔助信息管理系統，計算機輔助設計、制造、分析系統(CAD、CAM、CAE系統)和辦公自動化管理系統3個部分，其具體介紹省略。6．實施過程實施過程略。第八頁，共四十八頁。4.1.1公司網絡系統建設目標新網絡應該具有足夠的先進性，不僅能承載普通的(文件、打印等)網絡流量，并且應該支持多樣的QoS特性(如MPLS)，保證有足夠的帶寬運行基于IP網絡的實時語音傳輸，以及視頻會議流量。新網絡應該具有足夠的強壯性，應該具有足夠的災難恢復措施，包括電源冗余、設備冗余、主機冗余、數據庫冗余、線(Xian)路冗余、撥號鏈路冗余。新網絡應該具有足夠的安全性，采取路由器和防火墻，并設置隔離區，采用防殺病毒、入侵檢測和漏洞掃描與修補系統，使網絡數據完整，保證內網的絕對安全，將來數據在外網及Internet上傳輸應該采取加密措施，并且數據傳輸線路應該采取全屏蔽雙絞線，防止信息的流失和泄露。4.1公司網(Wang)絡系統建設概述第九頁，共四十八頁。4.1.2用戶具體需求公司需要構建(Jian)一個綜合的企業網。公司有4個部門(行政部、技術研發部、銷售部和駐外分公司)。公司共3棟樓，1號、2號、3號樓，每棟樓直線相距為100m。1號樓：兩層，為行政辦公樓，有10臺計算機，分散分布，每層5臺。2號樓：3層，為產品研發部、供銷部，有20臺計算機。其中10臺集中在3樓研發部的設計室中，專設一個機房，其他10臺分散分布，每層5臺。3號樓：兩層，為生產車間，每層一個車間，每個車間3臺計算機，共6臺。第十頁，共四十八頁。從內網安全考慮，使用虛擬局域網技術將各部門劃分到不同的虛擬局域網中；為了(Liao)提高公司的業務能力和增強企業知名度，將公司的Web網站及FTP、郵件服務發布到互聯網上；與分公司可采用分組交換(幀中繼)網互聯；并從互聯網服務提供商處申請一段公網IP，16個有效IPv4地址：12～27，掩碼40。其中12和27為網絡地址和廣播地址，不可用。第十一頁，共四十八頁。4.1.3公司系統建設原則1．先進性隨著(Zhuo)計算機應用的不斷普及和發展，計算機系統對網絡性能的要求將繼續不斷提高，高帶寬、低延遲是對交換網絡設備的基本要求。網絡交換設備應該提供從數據中心到樓層配線間直至桌面的高速網絡連接，交換機必須具備無阻塞交換能力。綜合考慮先進性和成熟性，結合實際應用需求，市教育城域網可采用千兆以太網、快速以太網作為主干技術連接數據中心和各學校交換機，用千兆以太網、快速以太網或以太網接口連接服務器和客戶機。第十二頁，共四十八頁。2．標準性在當今流行的Internet/Intranet計算方式下，應用系統將以大量客戶機同時訪問少量服務器為特征，要求網絡交換機必須具有有效的主動式擁塞管理功能，以避免通常出現在服務器網絡接口處的擁塞現象，杜絕數據包的丟失。以硬件交換為特征的三層交換技術已(Yi)經在越來越多的局域網網絡系統中取代傳統路由器成為網絡的主干技術，作為一種成熟的先進技術在市教育城域網網絡中得到應用。第十三頁，共四十八頁。3．兼容性不同廠商的網絡設備應能彼此兼容，以保證企業網絡的正常、高效的運行。為保證網絡系統的開放性，網絡中的主干交換設備應該能夠支持基于國際標準或工(Gong)業界事實標準的ATM、FDDI、快速以太網、千兆以太網等鏈路接口技術，能夠在必要的時候與外部開放系統實現順利互聯。第十四頁，共四十八頁。4．可升級和可擴展性為了將來能順利實現技術升級，選用的設備應有支持千兆以太網、ATMOC-12等前(Qian)沿技術的能力，以便技術成熟時配備。計算機網絡系統的建設不僅要考慮當前的網絡連接需求，還必須考慮到計算機系統不斷擴大而提出的網絡系統擴展和升級的需求，以及網絡通信技術本身的快速進步所提供的提升網絡系統容量和性能的可能性。為了使網絡系統能夠在盡可能地保護現有投資的前提下不斷滾動發展以適應應用需求發展的需要，選用設備時應該盡可能預見到網絡系統近期、中期和遠期的擴展、升級的可能性并預留擴展、升級的能力。第十五頁，共四十八頁。5．安全性在局域網上的所有交換機應能靈活地、跨越全網地進行虛擬網劃分和管理，將物理上分散而邏輯上緊密相關的各站點劃入獨立的虛擬網，實現無關系統的邏輯隔離是網絡安全性的基本保障。在此基礎上，我們選用的網絡產品應該具備包括MAC層、IP層、應用層等層次實現安全管理的能力，作為交換網絡核心的多層主干交換機應該具備防火墻功能，防止發生在同一虛擬網內或虛擬網之間互聯點上的非法侵(Qin)犯。第十六頁，共四十八頁。6．可靠性為保證網絡系統的不間斷連續運行，應該選用經過實踐檢驗證明成熟可靠的產品。數據中心交換機應采用模塊化分布式處理技術實現，避免采用一損俱損的中央交換模塊方式。各主要部件都應有冗余，所有部件應支持熱插拔，主干端口應支持熱備份，特別是作為整個計算機網絡系統核心的多層交換單元更要具備冗余備份的容錯能力。7．易操作性有利于在網絡中心完成企業網絡的全局管理并(Bing)配置相應的軟件協助管理。第十七頁，共四十八頁。8．可管理性計算機網絡系統作為市教育城域網智能系統的神經中樞，其運行狀況應該得到全面的監控和管理。OSI對網絡管理提出了配置管理、性能管理、錯誤管理、安全管理、記賬管理五大要求，以此為指導，該網絡管理系統應選用基于工業標準的SNMP的開放式管理平臺，配合專用的網絡管理應用作為網絡管理系統的設計框架。網絡管理系統應支持網絡拓撲自動發現(Xian)、設備的配置和監視、網絡故障的監測和報告等功能，并提供簡單易用的圖形用戶接口。第十八頁，共四十八頁。8．可管理性計算機網絡系統作為市教育城域網智能系統的神經中樞，其運行狀況應該得到全面的監控和管理。OSI對網絡管理提出了配置管理、性能管理、錯誤管理、安全管理、記賬管理五大要求，以此為指導，該網絡管理系統應選用基于工業標準的SNMP的開放式管理平臺，配合專用的網絡管理應用作為網絡管理系統的設計框架。網絡管理系統應支持網絡拓撲自動發現、設備的配置和監視、網絡故障的監測和報告(Gao)等功能，并提供簡單易用的圖形用戶接口。第十九頁，共四十八頁。4.2.1需求分析企業綜合布線系統應滿足以下幾個需求。1．開放性結構化布線系統由于采用開放式體系結構，符合各種國際上主流的標準，對所有符合通信標準的計算機設備和網絡交換設備廠商是開放的，也就是說，結構化布線系統的應用與所用設備的廠商無關，而且對所有通信協議也是開放的。2．靈活性物理上為星形拓撲結構。因此所有設備的開通、增加或更改無須改變布線系統，只需變動相應的網絡設備及必要的跳線管理即可。系統組網也可靈活多樣，各部門既可以獨立組網，又可以方便地互聯，為合理地進(Jin)行信息共享和信息交流創造了必要的條件。4.2綜合布(Bu)線方案第二十頁，共四十八頁。3．可靠性結構化布線系統采用高品質材料和組合壓接技術，構成一個高標準的信息通道。所有器件經過UL、CAS、ISO認證。經過專用儀器設備測試的每條信息通道可以保證其電氣性能，可以支持100Base-T及ATM的應用。星形(Xing)拓撲結構實現了點到點端接，任何一條線路故障不會影響其他線路的運行，從而保證了系統的可靠運行。采用相同的傳輸介質可互為備用，提高了系統的冗余。第二十一頁，共四十八頁。4．先進性建筑物綜合布線系統采用光纖與雙絞線混合布線，并且符合國際通信標準，形成一套完整的、極為合理的結構化布線系統。超五類或超五類屏蔽雙絞線布線系統使數(Shu)據的傳輸速率達到155Mb/s、622Mb/s、1000Mb/s，對于特殊用戶的需求，光纖可到桌面。干線子系統和建筑群子系統中光纖的應用，使傳輸距離達2km以上，為今后計算機網絡和通信的發展奠定了基礎。同時物理星形的布線方式使交換式網絡的應用成為可能。第二十二頁，共四十八頁。4.2.2綜合布線系統的結構企業綜合布線系統的結構一般采用星形拓撲結構。星形拓撲結構由一個中心主結點向外輻射延伸到各從結點。由于每一條鏈路從主結點到從結點的線路均與其他(Ta)線路相對獨立，所以布線系統設計是一種模塊化設計。主結點可與從結點直接相連，而從結點之間的通信只有經過主結點的交換才能完成。本公司的計算機網絡在主結點配置一臺主交換機，在每個樓層配線間配置交換機或集線器，樓層配線間交換機或集線器與主交換機連接。第二十三頁，共四十八頁。星形拓撲結構的優點：所有信息通信都要經過中心結點，所以比較容易維護與管理。利用樓層配線間配線架的跳線，可以移動、增加或減少終端設備，操作容易、適應性強。每一條鏈路的相對獨立性，使某一線路故障不影響其他工作站的運行，并且有利于故障的排除。星形拓撲結構的缺點：布線工作量大，線纜長度的增加使布線工程預算提(Ti)高。隨著計算機網絡交換技術的發展，綜合布線系統應用星形拓撲結構。第二十四頁，共四十八頁。4.2.3系統總(Zong)體設計系統總體設計如p102圖4.1所示。第二十五頁，共四十八頁。4.2.4系統結構設計描述Internet連接企業總部路由器，從路由器連接一條線路到PIX防火墻，PIX防火墻之后就是一個3層交換機。在3層交換機上連接有企業的服務器群，以及之后的匯聚層交換機。整個局域網絡采用多層數據交換原則設計，這樣的設計方案使得整個局域網的運(Yun)行、維護管理，以及網絡故障排除變得更加簡單，減少了網絡管理員的工作負責性，并且使未來的升級變得更簡單、更迅速。核心區塊主要負責以下幾項工作：提供交換區塊間的連接；提供到其他區塊(如廣域網區塊)的訪問；盡可能快地交換數據幀或數據包。建議將主設備間設在主樓網絡中心。第二十六頁，共四十八頁。由于核心層設備在整個網絡中處于最關鍵的地位，任何故障(Zhang)都可能造成整個系統的癱瘓，因此設備的選型十分重要。從可靠性和安全性出發，結合價格因素進行考慮。匯聚層主要負責以下幾項工作：實現安全及路由策略；實現核心層的流量重分布；實現QoS服務質量控制。由于在匯聚層需要實現很多策略控制，因此對于交換機的應用要求較高。第二十七頁，共四十八頁。4.3.1網絡設計需求網絡在日常辦公環境中起著至關重要的作用，企業網的運作模式會帶來大量動態的WWW應用數據傳輸，這就要求網絡有足夠的主干帶寬和擴展能力。同時，一些新的應用類型，如網絡教學、視頻直播/廣播等，也對網絡提出了支持多點廣播和寬帶高速接入的要求。中心機房到匯聚層結點采用四芯光纖(多模)連接，匯聚層到接入層采用百兆的五(Wu)類線(或者超五類)連接。整個方案設計的目的是建設一個集數據傳輸和備份、語音傳輸、Internet訪問等于一體的高可靠、高性能的寬帶多媒體企業網。4.3網絡設計方(Fang)案第二十八頁，共四十八頁。4.3.2公(Gong)司園區結構示意圖公司園區結構示意圖如圖4.2所示。第二十九頁，共四十八頁。4.3.3總體方案設計策略公司與分部之間，采用幀中繼的廣域網技術。企業內部網絡中，采用OSPF路由協議。為了使(Shi)企業內部部分虛擬局域網之間能夠訪問，將在核心層交換機上配置單臂路由。需要在接入Internet的路由器上使用網絡地址轉換地址，以此來達到節約公網地址的目的。同時在PIX防火墻上設置企業接入Internet的規則，并在匯聚層來配置ACL訪問控制列表以保證員工對企業網絡的正常使用。第三十頁，共四十八頁。4.3.4網絡設備選型1．選型原則企業網絡建設應該以應用為核心，在設計中充分(Fen)考慮到教育管理和多媒體教學的要求，并且網絡技術上應該具有一定的先進性，同時還要為以后的擴展留有一定的空間。2．核心層交換機核心層交換機采用神州數碼DCRS-5950-28T-L(R3)，其配置要求如表4-1所示。第三十一頁，共四十八頁。核心層交換(Huan)機的配置要求第三十二頁，共四十八頁。3．接入層交換機接入層交換機采用神州數碼DCS-3600-26C(R3)，配置(Zhi)要求如圖所示。第三十三頁，共四十八頁。4.3.5路由(You)交換技術部分設計1．單臂路由的配置路由器的配置交換機的配置計算機的配置網絡測試第三十四頁，共四十八頁。4.3.6網絡安全設計網絡中多媒體的應用越來越多，這類應用對服務質量的要求較高，本網絡系統應能保證QoS，以支持這類應用。 網絡系統應具有良好的安全性，由于網絡連接園區內部所有用戶，安全管理十分重要。網絡具有防止及便于捕殺病毒功能，應支持虛擬局域網的劃分，并能在虛擬局域網之間進行第三層(Ceng)交換時得到有效的安全控制，以保證系統的安全性。校區網絡與校園網相連后具有“防火墻”過濾功能，以防止網絡黑客入侵網絡系統，可對接入因特網的各網絡用戶進行權限控制。第三十五頁，共四十八頁。安全性是網絡設計要考慮的重要因素之一，設計中充分考慮了網絡的安全性，具體體現在以下幾個方面。(1)通過虛擬局域網的劃分，限制了不同虛擬局域網之間的互訪，從而保證了不同網絡之間不會發生未經授權的非法訪問。(2)在核心結點可提供基于地址的Access-list，以控制用戶對于關鍵資源的訪問。通過在匯聚層和核心交換機上設置虛擬局域網路由及訪問過濾，保證了在虛擬局域網之間只有被允許的訪問才能發生，而未經授權的訪問都會被禁止。(3)通過對上網人員的安全教育，提高安全意識，特別是增強計算機操作人員的密碼管理意識，以防止由于操作員密碼有意無意地泄露給他人造成的損失。(4)制定嚴格的安全制度，包括人員審查制度、崗位定職定責制度、使用計算機的權限制度及防病毒制度，以保證網絡安全性得(De)以實現。第三十六頁，共四十八頁。(5)可以對所有的重要事件進行記錄，這樣方便網絡管理員進行故障查找。(6)可以對所有的Telnet及SNMP的訪問(Wen)進行限制，從而最大程度地保證匯聚層系統的安全。(7)可以在接入層中通過限制MAC地址的訪問提高網絡安全。第三十七頁，共四十八頁。4.4.1Web服務器(Qi)、郵件服務器(Qi)選型Web服務器采用IBMSystemx3650M3(7945I05)，其配置要求如表4-3所示4.4Windows服務器解決(Jue)方案第三十八頁，共四十八頁。郵件服務器采用IBMSystemx3650M3(7945I01)，其配置(Zhi)要求如表所示第三十九頁，共四十八頁。4.4.2配置文件服務器的操作步(Bu)驟……第四十頁，共四十八頁。4.5工程(Cheng)實施方案工程實施方案如圖4.3所示。需求分析以后進行總體設計，之后進行項目實施計劃。綜合布線設計將持續兩天，在綜合布線設計開始一天后，進行網絡設備選擇(Ze)及服務器選擇(Ze)。之后開始網絡設備的調試，緊接著開始網絡存儲方案的設計，最后完成文檔整理及答辯。第四十一頁，共四十八頁。本案例中關于企業網絡系統數據的存儲，采用由IBM公司研究開發的ISCSI技術方案，它是一個供硬件設備使用的可以在IP協議的上層運行的SCSI指(Zhi)令集，這種指(Zhi)令集合可以實現在IP網絡上運行SCSI協議，使其能夠在諸如高速千兆以太網上進行路由選擇。ISCSI技術是一種新儲存技術，它將現有SCSI接口與以太網技術結合，使服務器可與使用IP網絡的儲存裝置互相交換資料。ISCSI是Internet工程任務組(InternetEngineeringTaskForce，IETF)制定的一種基于互聯網TCP/IP的網絡存儲協議。ISCSI存儲技術則是目前應用最廣、最成熟的SCSI和TCP/IP兩種技術的結合與發展。因此，這兩種技術讓ISCSI存儲系統成為一個開放式架構的存儲平臺，系統組成非常靈活。如果以局域網方式組建ISCSI存儲系統，只需要投入少量資金，就可以方便、快捷地對數據和存儲空間進行傳輸和管理。4.6網(Wang)絡存儲方案第四十二頁，共四十八頁。本案例中關于企業網絡系統數據的存儲，采用由IBM公司研究開發的ISCSI技術方案，它是一個供硬件設備使用的可以在IP協議的上層運行的SCSI指令集，這種指令集合可以實現在IP網絡上運行SCSI協議，使其能夠在諸如高速千兆以太網上進行路由選擇。ISCSI技術是一種