技术方案最新 - 图文(4)

确保可靠性；对于数据流量大的网段，也可以同时应用链路聚合技术，保证带宽；电缆线选用千兆光纤链路连接到接入层设备。可以在三层交换机上实施路由策略配置，合理规划子网地址，路由协议配置，实施安全访问控制，Qos，流量分类。

核心层应该保证足够的带宽，快速数据传输，与服务器区采用千兆链路连接。上行可采用百兆光纤或者电缆接入Internet。所有汇聚层和核心层设备，以及服务器、网管工作站等放置在一个机房，方便统一管理。

整个综合布线系统设计采用分层星型拓扑结构，共分成6个子系统，即：建筑群子系统、工作区子系统、水平子系统、管理区子系统、垂直子系统和设备间子系统。通过不同的跳线管理可支持一、二、三级网络结构，既易于信息的统一管理又可满足不同区域内所有可能出现的应用需求。

整个系统共划分了4个配线间,各配线间设在各办公区，主配线间设在公司主办公楼中心机房。数据点的水平布线统一采用美国AMP超5类电缆。

中心机房的主配线架至各厂区配线架已配置了多条大芯数室外光缆，保证每一台楼层交换机均可使用一对独立的光纤通道，并留有余量；满足100Mbps交换到桌面、1000Mbps主干的应用要求及未来扩容的要求。整个综合布线系能支持语音(模拟和数字)、数据(计算机)、视频图像(数字)以及综合信息的高质量和高速率传输，能适应不同厂商和不同类型的网络和计算机产品接入，并应符合规范中关于抗干扰的要求。

3.4 优化说明及设计特点

3.4.1优化说明

在XXX钢铁公司的布线设计中，针对厂区的建筑布局、信息点分布及干线铺设位置等实际情况，在分厂配线间的设计上进行了优化配置：既考虑了分厂配线架的安装位置尽量不占用办公区域，便于管理；也考虑了使用上的灵活性及水平线缆≤90米的要求。优化后共设计了n个配线间，这样既满足实际需求，同时又降低成本，便于管理。

3.4.2 设计特点

1) 充分考虑了现在及未来的需求，主干光缆冗余备份；

- 11 -

2) 系统采用国际知名品牌美国AMP超5类布线产品，支持网络≥100Mbps的传输速率(水平长度不超过90m的信息点)，并支持将来千兆以太网的高速应用；

3) 采用分层星型拓扑结构，加合理的配线间划分，使系统更具有更高的可靠性和灵活性；既降低工程成本，同时又方便管理；

4) 按照T568A标准施工，符合未来宽带综合业务数据网的发展要求； 5) 符合布线系统现有的国际及国内标准； 6) 线缆及配线架上均留有冗余便于以后扩充；

7) 所有信息点插座及配线架端口均有编号贴签，便于维护及管理；

8) 所有配线架及网络设备均安装在机柜内，便于维护管理，并保证系统的安全性； 9) 核心层及外部接入设备采用世界著名的CISCO及H3C公司的产品，其强大的技术实力及售后服务支持是企业网络稳定运行的强力保证。

3.5网络系统设计

网络拓扑结构示意图：

- 12 -

FTP服务器生产调度服务器家庭/出差人员/远程管理人员OA服务器综合办公楼楼层接入交换机InternetSi核心交换机路由器防火墙公辅办公楼汇聚设备WEB服务器炼钢办公楼汇聚设备炼铁办公楼汇聚设备千兆双绞线百兆双绞线千兆光纤

3.5.1 VLAN 的设计

VLAN（Virtual Local Area Network）是虚拟局域网的英文缩写，它最简明的描述就是可以实现将连接在同一个物理网络上面的主机分组，使它们看起来就象连接在不同的网络上一样。

VLAN出现之前，人们通过划分网段来提高局域网性能或者限制网上的计算机互访问权限等等。当时每一个网段都必须单独拥有一套网络硬件，各个网段之间不能共享同一套连网设备，而且当计算机从一个网段迁移到另外一个网段的时候，所做的变动相对是比较大的，尤其是计算机的连接必须更换到另外一个网络上面。VLAN出现之后，人们可以通过VLAN为网络分段，各个网段可以共用同一套网络设备，节约了网络硬件的开销，同时在迁移中所需的工作量也大幅度降低了，从而降低了连网成本。

在大型局域网络组建中，VLAN技术是不可缺少的关键技术，科学的VLAN设计可以为局域网络带来一系列的优点：

1． 在同一个物理网络实现第二层工作组划分，实现不同工作组之间第二层的完全隔

离，同时，组员可以处在物理网络中的任何位置，不受同一台设备限制； 2． 隔离广播，提高效率，避免不相关的广播帧在全网扩散，浪费有效带宽资源； 在VLAN的概念最早出现时，各个厂商纷纷推出自己的解决方案，互不兼容，各个厂商

- 13 -

的交换机互相不能识别其他交换机的VLAN。IEEE 802.1Q是新的虚拟局域网标准，它统一了各个厂商的VLAN实现方案，使不同厂商的设备可以同时在一个网络中使用，各自的VLAN设置可以被其他设备所识别，实现不同厂商之间交换机的互通。同时，802.1Q VLAN通过TAG方式扩展了以太网的帧格式，从而提供了新的QOS、用户认证等业务保障、实现的途径。

在局域网系统中，我们建议基于IEEE 802.1Q标准实现VLAN，在分行VLAN设计中，使用VLAN技术达到两个目的，第一，不同业务部门之间的隔离和通信控制；第二，广播范围抑制。

VLAN的划分可以依据不同的业务部门进行也可以依据用户所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还同时兼顾了网络安全性可控性的需要。根据实际业务部门办公环境的分布情况来看，在大部分情况下，两者实现了重合，而对于少数由于布线结构隔离在不同汇集点的相同业务部门，我们推荐第一种方式，从后面的内容可以了解到，基于华为-3com公司H3C以太网设备平台的方案在性能的支撑上能够很大程度上忽略物理位置所可能带来的性能影响。

从广播控制角度出发，为了保障网络的高可用和高性能，按照惯例原则，我们在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机一般不超过50台，最好控制在30台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。可以放心的是，华为公司提供的H3C S系列路由交换产品提供全线速的二三层交换能力，所以，对于分行的VLAN解决方案来说，第二层和第三层处理性能可以视为完全相同，这样，可以实现两种设计之间的直接融合，从而在同一个物理结构上的逻辑设计可以更加灵活自由。

作为特殊VLAN 的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，需要通过控制列表与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID=4000，VLAN4000与VLAN1在第三层上相通，同时，保证只有部分业务VLAN可以访问VLAN4000，从而实现华为iManager网管的分布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。 值得一提的是，华为-3COM 综合网管系统提供非常快捷的VLAN批量设置和修改工具，只需要通过图形化界面对具体端口标识选取或者非选取，就能轻松设置其VLAN归属。

对于其他的NOTES、DNS、FTP以及业务应用等等服务器建议单独设置在一个VLAN

- 14 -

中，通过S7503全线速的三层交换和四层过滤机制实现可控的用户服务。

另外，如果今后分行开展对外的WWW等服务的话，建议再单独设置VLAN，结合防火墙设备，通过设置DMZ(停火区)的方式实现与外界的安全互联。

3.5.2 Qos设计

在多种业务并存并且存在资源瓶颈的地方，都应该考虑相应的QOS保证机制，确保时间敏感的、关键的业务报文能够被及时、正确、有效的转发。在我们建议的设备解决方案中，所有设备都可以支持相应的QOS/COS策略，核心多层交换机S7503提供完善的Diffserv/QoS支持，提供多种规则组合条件下的流映射和分类、流量监管（CAR）、拥塞控制方法（RED、WRED、SA-RED）、队列调度和输出流整形等功能，做到业务区分并保证带宽/时延/抖动在限定的范围内，使网管中心可以为工作组用户提供具有不同服务质量等级的服务保证，使骨干网真正成为同时承载数据、语音和视频业务的综合。 同时，系统通过WRED、SA-RED队列调度和输出流整形等功能，真正做到业务区分并保证带宽/时延/抖动在限定的范围内，确保网络不出现拥塞，始终保持其高吞吐率和区别服务特性。

3.5.3 网络安全设计

网络安全设计包括两个大方面的内容，设备自身的安全机制和网络安全协议的设计使用，目前常见的网络安全隐患主要来自以下一些方面： 1．网络级攻击

窃听报文 -- 攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。特别是通过Internet的数据传输，存在时间上的延迟，更存在地理位置上的跨越，要避免数据不受窃听，基本是不可能的。

IP地址欺骗 -- 攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。

源路由攻击 -- 报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。

- 15 -

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库技术方案最新 - 图文(4)在线全文阅读。