中鴻智業(yè)淄博基地

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案北京華夏誠(chéng)通科技發(fā)展有限公司2003年10月目錄TOC\o"1-5"\h\z第一章局域網(wǎng)絡(luò)需求概況 4局域網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)概述 4\o"CurrentDocument"對(duì)網(wǎng)絡(luò)系統(tǒng)總體要求 5\o"CurrentDocument"2.1功能概述 5\o"CurrentDocument"2.2系統(tǒng)技術(shù)性能 5第二章網(wǎng)絡(luò)設(shè)計(jì)依據(jù) 6\o"CurrentDocument"系統(tǒng)設(shè)計(jì)原則 6\o"CurrentDocument"系統(tǒng)設(shè)計(jì)依據(jù) 6第三章網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) 8\o"CurrentDocument"網(wǎng)絡(luò)設(shè)備部署及技術(shù)要求 8\o"CurrentDocument"設(shè)備選型 8\o"CurrentDocument"網(wǎng)絡(luò)系統(tǒng)的構(gòu)建 9\o"CurrentDocument"3.1分節(jié)點(diǎn)的構(gòu)建 9\o"CurrentDocument"3.2主干網(wǎng)的構(gòu)建 10\o"CurrentDocument"3.3網(wǎng)絡(luò)系統(tǒng)配置及管理 11\o"CurrentDocument"Internet接入及網(wǎng)絡(luò)安全 11\o"CurrentDocument"IP地址劃分策略 12\o"CurrentDocument"系統(tǒng)應(yīng)用平臺(tái)設(shè)計(jì) 12\o"CurrentDocument"4.1系統(tǒng)安全 12第四章網(wǎng)絡(luò)設(shè)備介紹 13\o"CurrentDocument"CiscoCatalyst4506交換機(jī) 13\o"CurrentDocument"5.1主要特點(diǎn) 13\o"CurrentDocument"5.2成熟的Catalyst企業(yè)軟件 15\o"CurrentDocument"5.3可伸縮性和彈性 15\o"CurrentDocument"5.4冗余可靠性 15\o"CurrentDocument"CiscoCatalyst2950系歹U交換機(jī) 15\o"CurrentDocument"6.1優(yōu)異的性能 15\o"CurrentDocument"6.2 QoS 16\o"CurrentDocument"6.3易于使用和易于安裝 16\o"CurrentDocument"6.4集成的CiscoIOS交換解決方案 17\o"CurrentDocument"6.5超級(jí)管理能力 17\o"CurrentDocument"安全性和冗余性 18\o"CurrentDocument"CiscoPIX515E防火墻 18\o"CurrentDocument"7.1有限制的軟件使用許可證 19\o"CurrentDocument"7.2無(wú)限制的軟件使用許可證 19\o"CurrentDocument"7.3故障恢復(fù)軟件使用許可證 19\o"CurrentDocument"7.4性能綜述 19第一章局域網(wǎng)絡(luò)需求概況局域網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)概述中鴻智業(yè)淄博基地大樓共分為1號(hào)樓、2號(hào)樓和3號(hào)樓，3座樓都將要做綜合化布線，為集團(tuán)機(jī)關(guān)、獨(dú)立核算部門通訊上網(wǎng)等服務(wù)。在已完成設(shè)計(jì)的綜合布線中，將1號(hào)樓一層、2號(hào)樓二層、3號(hào)樓一層的配線間作為主配線間，將3號(hào)樓二層、三層和第四層為分配線間，由3號(hào)樓到各主、分配線間采用了兩根4芯多模光纜拓?fù)洌渲?號(hào)樓網(wǎng)絡(luò)主干采用室內(nèi)光纜，由3號(hào)樓主配線間到1、2號(hào)樓主配線間網(wǎng)絡(luò)主干采用室外光纜。水平系統(tǒng)均采用超5類雙絞線，具備100兆到桌面的能力。請(qǐng)見圖1。根據(jù)網(wǎng)絡(luò)布線設(shè)計(jì)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為典型的二級(jí)星形結(jié)構(gòu)，第一層的中心機(jī)房作為網(wǎng)絡(luò)中心，各配線間到信息點(diǎn)之間均為超五類雙絞線連接，該設(shè)計(jì)完全滿足本方案設(shè)計(jì)要求。整個(gè)網(wǎng)絡(luò)信息點(diǎn)分布如下：1號(hào)樓一層配線間：28個(gè)2號(hào)樓二層配線間：66個(gè)3號(hào)樓一層配線間：79個(gè)3號(hào)樓二層配線間：136個(gè)3號(hào)樓三層配線間：113個(gè)3號(hào)樓四層配線間：98個(gè)網(wǎng)絡(luò)數(shù)據(jù)點(diǎn)總共有520個(gè)，其數(shù)據(jù)點(diǎn)分布密度不均，主要集中在3號(hào)樓一層到四層之間。對(duì)網(wǎng)絡(luò)系統(tǒng)總體要求2.1功能概述?實(shí)用性和先進(jìn)性：選用國(guó)際上技術(shù)先進(jìn)、智能化的網(wǎng)絡(luò)設(shè)備，服務(wù)器產(chǎn)品及其完善的應(yīng)用軟件系統(tǒng)，保證信息系統(tǒng)的通信速度，滿足用戶的工作需要及以后系統(tǒng)擴(kuò)展、升級(jí)的需要。所設(shè)計(jì)的系統(tǒng)須具有很強(qiáng)的實(shí)用性，滿足不同用戶信息服務(wù)的實(shí)際需要，具有很高的性能價(jià)格比。能為多種應(yīng)用系統(tǒng)提供強(qiáng)有力的支持平臺(tái)。?集成性和可擴(kuò)展性：隨著技術(shù)的發(fā)展及應(yīng)用水平的不斷提高，現(xiàn)在的設(shè)計(jì)方案應(yīng)能方便的進(jìn)行升級(jí)、擴(kuò)充，保護(hù)用戶的軟、硬件系統(tǒng)的投資。?標(biāo)準(zhǔn)化和結(jié)構(gòu)化：該系統(tǒng)采用行業(yè)內(nèi)標(biāo)準(zhǔn)的工業(yè)控制系統(tǒng)結(jié)構(gòu)及接口技術(shù)，并且采用結(jié)構(gòu)化的布線方式，可根據(jù)用戶不同要求組織不同系統(tǒng)的配置。?兼容性：在設(shè)計(jì)整個(gè)網(wǎng)絡(luò)系統(tǒng)過程中，充分考慮本系統(tǒng)的設(shè)備，使之與未來(lái)新系統(tǒng)保持兼容，以保證整個(gè)系統(tǒng)的開放性，與不斷發(fā)展的新技術(shù)保持同步。?安全性：系統(tǒng)具備較高的安全性。有較強(qiáng)的過濾能力，防止網(wǎng)上黑客進(jìn)入系統(tǒng)，非法查詢信息，破壞信息數(shù)據(jù)，以保證整個(gè)系統(tǒng)的安全運(yùn)行。?經(jīng)濟(jì)性和便利性：系統(tǒng)運(yùn)行穩(wěn)定可靠，系統(tǒng)資源的不斷增加，網(wǎng)絡(luò)系統(tǒng)有很好的可管理性，可維護(hù)性，使管理人員易于維護(hù)，減少不必要的額外勞動(dòng)，提高工作效率。2.2系統(tǒng)技術(shù)性能?網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)：網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)采用星型以太網(wǎng)結(jié)構(gòu)，二級(jí)網(wǎng)絡(luò)組網(wǎng)模型；垂直主干系統(tǒng)均采用多模光纖，水平系統(tǒng)采用5類雙絞線拓?fù)洹?LAN連接：主十采用主流技術(shù)千兆以太網(wǎng)。樓層交換機(jī)以10/100速率到桌面。?網(wǎng)絡(luò)設(shè)備選用：網(wǎng)絡(luò)設(shè)備選用國(guó)際知名廠家的產(chǎn)品，以保證其技術(shù)的先進(jìn)性、高性價(jià)比、良好的售后服務(wù)支持與其他廠家產(chǎn)品的互操作性及在新技術(shù)到來(lái)時(shí)能使原有產(chǎn)品平滑升級(jí)，保護(hù)用戶投資。?網(wǎng)絡(luò)應(yīng)用：網(wǎng)絡(luò)系統(tǒng)可以提供廣泛的應(yīng)用平臺(tái)，不僅能供滿足目前WWW服務(wù)，電子郵件，NOTES，財(cái)務(wù)、信息管理、辦公系統(tǒng)等的需要，還要能夠滿足未來(lái)的應(yīng)用需求。?網(wǎng)絡(luò)設(shè)備：具有高帶寬、高可靠性，如亢余機(jī)制、可擴(kuò)展性和可升級(jí)性，支持VLAN，支持第三層交換、支持VPN，具有良好地安全性。核心設(shè)備選用模塊式機(jī)箱，工作組級(jí)選用可堆疊設(shè)備。?網(wǎng)絡(luò)安全產(chǎn)品選用具有國(guó)際知名品牌，具有靈活的安全管理合監(jiān)控，能夠滿足高帶寬大數(shù)據(jù)流量的硬件防火墻，具有較高的性價(jià)比。網(wǎng)絡(luò)設(shè)計(jì)依據(jù)系統(tǒng)設(shè)計(jì)原則?以中鴻智業(yè)淄博基地建筑圖和大廈網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)圖為基礎(chǔ)，結(jié)合本設(shè)計(jì)要求進(jìn)行；?采用先進(jìn)的千兆以太網(wǎng)技術(shù)、星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)組建中鴻智業(yè)淄博基地的計(jì)算機(jī)網(wǎng)絡(luò)；?采用符合國(guó)際標(biāo)準(zhǔn)，技術(shù)成熟、標(biāo)準(zhǔn)化的國(guó)際知名品牌產(chǎn)品建立網(wǎng)絡(luò)平臺(tái)；?充分考慮目前中鴻智業(yè)淄博基地的需求和今后長(zhǎng)時(shí)間內(nèi)發(fā)展的需要進(jìn)行系統(tǒng)配置。系統(tǒng)應(yīng)采用模塊化設(shè)計(jì)，能方便的實(shí)現(xiàn)擴(kuò)容、升級(jí)；?系統(tǒng)設(shè)置時(shí)應(yīng)充分考慮中鴻智業(yè)淄博基地網(wǎng)絡(luò)實(shí)施時(shí)的特點(diǎn)一一網(wǎng)絡(luò)硬件平臺(tái)要適應(yīng)各種廣域網(wǎng)接入以及網(wǎng)絡(luò)應(yīng)用服務(wù)，所以系統(tǒng)應(yīng)該能夠廣泛的支持各種網(wǎng)絡(luò)協(xié)議；?網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)與系統(tǒng)應(yīng)用各自獨(dú)立，與服務(wù)器、工作站的操作模式無(wú)關(guān)；?支持各種通訊協(xié)議、各種數(shù)據(jù)庫(kù)和C/S應(yīng)用；?系統(tǒng)應(yīng)具備充分的開放性，能方便的實(shí)現(xiàn)和其它系統(tǒng)之間的互聯(lián)與信息傳遞；?系統(tǒng)應(yīng)配有功能強(qiáng)大的網(wǎng)管系統(tǒng)，以便于網(wǎng)絡(luò)的管理和維護(hù)；?系統(tǒng)提供對(duì)虛擬網(wǎng)絡(luò)的支持，以便對(duì)網(wǎng)絡(luò)能夠進(jìn)行合理規(guī)劃；?系統(tǒng)提供充分的安全保護(hù)措施，能有效防止系統(tǒng)外部的非法侵入和操作人員的非法操作，以及防止由于操作人員的失誤、系統(tǒng)意外故障而造成數(shù)據(jù)丟失或被破壞；?系統(tǒng)應(yīng)考慮合理、可靠、靈活的電源解決方案；?整體性能價(jià)格比達(dá)到最優(yōu)，并且常年維護(hù)費(fèi)用和升級(jí)費(fèi)用低。系統(tǒng)設(shè)計(jì)依據(jù)《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》GB/T50314—2000TCP/Ipw/ospf、RIP、EGP、BGP?《民用建筑電氣設(shè)計(jì)規(guī)范》JGJ/T16—92IEEE802.310BASE-T及100BASE-TX中國(guó)建筑電氣設(shè)計(jì)規(guī)范工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范（GBJ42-81）?工業(yè)企業(yè)通信接地設(shè)計(jì)規(guī)范（GBJ79-85）?建筑與建筑綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范（CECS72：95）?AVAYASYSTIMAX?SCS結(jié)構(gòu)化布線系統(tǒng)設(shè)計(jì)總則?建筑物與建筑群綜合布線系統(tǒng)設(shè)計(jì)總則第三章網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)第三章網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)設(shè)備部署及技術(shù)要求由于網(wǎng)絡(luò)布線設(shè)計(jì)成二級(jí)星形布局，因此網(wǎng)絡(luò)核心交換機(jī)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)來(lái)說至關(guān)重要，它的性能好壞將直接影響系統(tǒng)的整體性能，所以要選擇能夠擔(dān)任企業(yè)級(jí)核心交換能力的網(wǎng)絡(luò)交換機(jī)，該交換機(jī)特點(diǎn)是：模塊化、高速背板、可第3層路由交換、多協(xié)議支持、冗余設(shè)計(jì)、靈活的擴(kuò)充及升級(jí)能力、支持網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控和配置管理等。二級(jí)節(jié)點(diǎn)交換機(jī)也稱為組交換機(jī)，它主要承擔(dān)節(jié)點(diǎn)內(nèi)信息點(diǎn)數(shù)據(jù)交換和主干交換連接，所以要求組交換機(jī)具有主干上聯(lián)能力，為了能夠很好的適應(yīng)信息點(diǎn)的擴(kuò)充和變化，還要求組交換機(jī)具有堆疊擴(kuò)充端口能力，此外還要支持VLAN劃分、多協(xié)議支持、可配置管理等。該設(shè)備分別部署在1號(hào)樓、2號(hào)樓和3號(hào)樓各層配線間。設(shè)備選型根據(jù)設(shè)備選型原則要優(yōu)先考慮國(guó)際知名品牌，同時(shí)還要考慮技術(shù)的先進(jìn)性和成熟性。另外結(jié)合本局域網(wǎng)的高密度拓?fù)涮攸c(diǎn)等綜合因素，在滿足設(shè)計(jì)要求前提下優(yōu)先選擇性價(jià)比高的產(chǎn)品，建議網(wǎng)絡(luò)設(shè)備選擇美國(guó)知名品牌CISCO公司的網(wǎng)絡(luò)產(chǎn)品。本網(wǎng)絡(luò)系統(tǒng)所需要的設(shè)備配置要求在該公司的網(wǎng)絡(luò)產(chǎn)品中都有對(duì)應(yīng)的產(chǎn)品型號(hào)，統(tǒng)一的產(chǎn)品有利于網(wǎng)管軟件進(jìn)行管理。有關(guān)設(shè)備技術(shù)性能可參見“設(shè)備介紹”章節(jié)。網(wǎng)絡(luò)設(shè)備具體選型見下表:產(chǎn)品類別產(chǎn)品名稱描述數(shù)量單位中心交換機(jī)C4506機(jī)箱Catalyst4500機(jī)箱，有六個(gè)擴(kuò)展插槽1個(gè)電源模塊1300WACCatalyst4500電源模塊1塊備份電源模塊1300WACCatalyst4500備份電源1塊管理模塊支持第二層交換交換引擎1塊千兆口模塊6個(gè)GBIC接口的千兆模塊1塊工作組交換機(jī)C2950交換機(jī)48口10/100交換機(jī)帶2個(gè)GBIC插槽11臺(tái)C2950交換機(jī)24口10/100交換機(jī)帶2個(gè)GBIC插槽3臺(tái)交換機(jī)輔件千兆光纖接口1000BASE-SXGBIC光纖多模接口模塊12個(gè)堆疊模塊及線纜GBIC接口的堆疊模塊和50cm堆疊線纜13套防火墻防火墻PIX515E-R硬件防火墻1臺(tái)路由器路由器CISCO2621XM路由器1臺(tái)網(wǎng)絡(luò)系統(tǒng)的構(gòu)建3.1分節(jié)點(diǎn)的構(gòu)建根據(jù)網(wǎng)絡(luò)布線結(jié)構(gòu)特點(diǎn)，可設(shè)計(jì)成6個(gè)分節(jié)點(diǎn)，分別是：1#樓、2#樓、3#樓一層（中心機(jī)房）、3#樓二層、3#樓三層、3#樓四層，請(qǐng)參見圖2網(wǎng)絡(luò)設(shè)備布置示意圖。根據(jù)每個(gè)分節(jié)點(diǎn)設(shè)計(jì)部署情況來(lái)配置組交換機(jī)，其各節(jié)點(diǎn)配置如下：節(jié)點(diǎn)位置組交換機(jī)數(shù)量提供端口總數(shù)信息點(diǎn)需求數(shù)需堆疊模塊數(shù)1號(hào)樓一層C2950G-48*148282號(hào)樓二層C2950G-48*1C2950G-24*1726623號(hào)樓一層C2950G-48*2967923號(hào)樓二層C2950G-48*314413633號(hào)樓三層C2950G-48*2C2950G-24*112011333號(hào)樓四層C2950G-48*2C2950G-24*1120983

3球椿三層3球椿三層Ji宮戒時(shí)他Mii導(dǎo)秘-僉i“，圖2.網(wǎng)絡(luò)系統(tǒng)設(shè)將布置示意圖組交換機(jī)是由CiscoCatalyst2950G系列交換機(jī)承擔(dān)，該系列交換機(jī)分別有24個(gè)10/100M端口和48個(gè)10/100M端口，另外它們都還留有兩個(gè)GBIC插槽，可插千兆上聯(lián)光纖模塊和堆疊模塊，詳情請(qǐng)見網(wǎng)絡(luò)設(shè)備介紹章節(jié)。在2號(hào)樓二層和3號(hào)樓一、二、三、四層配線間均安裝多臺(tái)工作組交換機(jī)，每臺(tái)交換機(jī)分別在GBIC插槽上插一塊堆疊模塊，并通過堆疊線把它們連接在一起，另外在其中的C2950G-48交換機(jī)另外一個(gè)GBIC插槽上插入一塊千兆光接口模塊，使之與主十千兆網(wǎng)連接。在1號(hào)樓一層配線間安裝1臺(tái)工作組交換機(jī)，在該交換機(jī)的GBIC插槽上插入一塊千兆光接口模塊，使之與主十千兆網(wǎng)連接。3.2主干網(wǎng)的構(gòu)建主干網(wǎng)是由核心交換機(jī)和與之相連的多模光纜組成，其中核心交換機(jī)是由CiscoCatalyst4506模塊式交換機(jī)承擔(dān)，安放在3號(hào)樓一層中心機(jī)房機(jī)柜里。該交換機(jī)共有6個(gè)擴(kuò)展槽位，可插交換引擎和各種網(wǎng)絡(luò)交換模塊。詳情請(qǐng)見網(wǎng)絡(luò)設(shè)備介紹章節(jié)。在本方案中核心交換機(jī)CiscoCatalyst4506安裝兩塊功率為1300W的電源，其中一塊作為冗余備份。在擴(kuò)展插槽中分別插有一塊型號(hào)為WS-X4515具有三層的交換引擎模塊和一塊型號(hào)為WS-X4306-GB的千兆交換模塊，其中每個(gè)交換模塊包含6個(gè)GBIC插槽作為千兆接入口，這樣最多可提供6個(gè)千兆接入口，本設(shè)計(jì)中共有5條千兆主十光纜，滿足設(shè)計(jì)要求。當(dāng)核心交換機(jī)插上以上模塊后還有4個(gè)空閑插槽，因此為將來(lái)網(wǎng)絡(luò)提供了很大的擴(kuò)充升級(jí)空間，充分體現(xiàn)客戶對(duì)網(wǎng)絡(luò)系統(tǒng)的要求。3.3網(wǎng)絡(luò)系統(tǒng)配置及管理網(wǎng)絡(luò)配置好壞會(huì)直接影響網(wǎng)絡(luò)系統(tǒng)的整體性能，所以對(duì)網(wǎng)絡(luò)設(shè)備的配置監(jiān)控管理顯得尤為重要。在安裝CiscoCatalyst4506核心交換機(jī)中隨機(jī)攜帶一套網(wǎng)絡(luò)管理軟件，該軟件不僅可以管理CiscoCatalyst4506同時(shí)還可以管理CiscoCatalyst2950系列交換機(jī)，其功能強(qiáng)大，可以對(duì)本方案中所有網(wǎng)絡(luò)設(shè)備進(jìn)行參數(shù)設(shè)置，比如VLAN劃分、第三層交換路由設(shè)置、端口地址綁定等，對(duì)具體的集團(tuán)機(jī)關(guān)的部分部門（如：財(cái)會(huì)部、人事部、經(jīng)營(yíng)管理部等）單獨(dú)劃分網(wǎng)段變得容易自如。另外還可以對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)控和統(tǒng)計(jì)，擁賽控制，察看拓?fù)浼軜?gòu)，故障點(diǎn)監(jiān)視等，因此它完全可以滿足本系統(tǒng)的管理要求，不用另外購(gòu)買網(wǎng)管軟件，這樣可以節(jié)省投資。3.4Internet接入及網(wǎng)絡(luò)安全選用CISCO2621XM路由器作為中鴻智業(yè)淄博基地的Internet接入路由器，CISCO2621XM帶有兩個(gè)10/100M自適應(yīng)快速以太網(wǎng)端口，通過100M快速以太網(wǎng)端口連接內(nèi)部防火墻，與公司內(nèi)部局域網(wǎng)相連。使用另一個(gè)100M快速以太網(wǎng)端口與電信專線的以太網(wǎng)端口連接，滿足內(nèi)部用戶大量的Internet訪問應(yīng)用，如果電信專線的接口模式改變，CISCO2621XM可以配備多種廣域網(wǎng)接入的模塊，只要根據(jù)具體情況選擇模塊，輕松應(yīng)付各種變化。同時(shí)，在2621XM上使用ISDN模塊進(jìn)行鏈路備份，當(dāng)連接INTERNET的專線鏈路失效時(shí)，可以及時(shí)切換到備份鏈路，而不會(huì)影響INTERNET訪問。由于中鴻智業(yè)淄博基地廣域網(wǎng)絡(luò)出口不僅連接著內(nèi)部的局域網(wǎng)絡(luò)，還連接著B2B網(wǎng)站服務(wù)器，如何保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊是中鴻智業(yè)淄博基地關(guān)心的問題。在INTERNET出口選用CiscoPIX515E防火墻，有效保護(hù)了內(nèi)部網(wǎng)絡(luò)的安全。CiscoPIX515E除了連接內(nèi)部局域網(wǎng)和INTERNET路由器，還可以通過增加快速以太網(wǎng)接口卡連接公司的EMAIL服務(wù)器和WEB服務(wù)器。這樣，通過軍事化區(qū)劃分將內(nèi)部數(shù)據(jù)和外部數(shù)據(jù)有效隔離開來(lái)，從而最大限度的保證了中鴻智業(yè)淄博基地內(nèi)部網(wǎng)絡(luò)的安全性。3.5IP地址劃分策略在局域網(wǎng)中鴻智業(yè)淄博基地整個(gè)信息點(diǎn)已經(jīng)達(dá)到500多個(gè)，因此要?jiǎng)澐殖啥鄠€(gè)C類網(wǎng)段，一般情況下每個(gè)VLAN獨(dú)立劃分一個(gè)C類網(wǎng)段，當(dāng)一個(gè)部門中的信息點(diǎn)數(shù)超過100多個(gè)時(shí)，由于點(diǎn)數(shù)多廣播數(shù)據(jù)加大，占用所在VLAN帶寬影響網(wǎng)絡(luò)系統(tǒng)性能，所以當(dāng)一個(gè)部門中的信息點(diǎn)數(shù)超過一定數(shù)量時(shí)應(yīng)當(dāng)把它們拆分成兩個(gè)或兩個(gè)以上VLAN，然后再把同一個(gè)部門的VLAN進(jìn)行路由橋接，確保網(wǎng)絡(luò)系統(tǒng)整體性能。通常情況下局域網(wǎng)IP地址在192.168.XX.XX下進(jìn)行劃分，可以劃分出255個(gè)C類網(wǎng)段，能夠完全滿足要求。公網(wǎng)IP地址建議使用兩個(gè)，一個(gè)是給Web和上網(wǎng)使用，另一個(gè)給Email和DNS使用，從安全角度看這樣分配比較合理。系統(tǒng)應(yīng)用平臺(tái)設(shè)計(jì)4.1系統(tǒng)安全在防火墻配置方面，把兩個(gè)公網(wǎng)地址設(shè)置成局域網(wǎng)代理形式，從而隱藏內(nèi)部局域網(wǎng)，并在防火墻和交換機(jī)內(nèi)進(jìn)行安全策略配置，把服務(wù)器的IP地址和MAC地址與服務(wù)器對(duì)應(yīng)的交換機(jī)接口綁定到一起，防止IP地址欺騙，通過防火墻對(duì)上網(wǎng)用戶進(jìn)行身份認(rèn)證制度，對(duì)非正常訪問用戶和惡毒攻擊數(shù)據(jù)包進(jìn)行報(bào)警，同時(shí)提供VPN功能方便外部工作人員對(duì)本局域網(wǎng)的訪問。對(duì)Email、HTTP服務(wù)和數(shù)據(jù)庫(kù)訪問，在相應(yīng)的服務(wù)器安全策略上實(shí)行用戶權(quán)限訪問控制，生成訪問日志達(dá)到跟蹤監(jiān)控的目的。

第四章網(wǎng)絡(luò)設(shè)備介紹第四章網(wǎng)絡(luò)設(shè)備介紹CiscoCatalyst4506交換機(jī)5.1主要特點(diǎn)性能一提供了先進(jìn)的交換解決方案，它能隨著您端口的添加而增大帶寬。領(lǐng)先的ASIC技術(shù)更是使Catalyst4500系列解決方案如虎添翼，ASIC技術(shù)提供了線速第2層和第3層10/100或千兆位交換。其中，第2層交換由24Gbps、18Mpps引擎驅(qū)動(dòng)，第3層交換則由可伸縮的8Gbps、6Mpps引擎驅(qū)動(dòng)。密度一能夠在一個(gè)機(jī)箱上滿足最多240個(gè)快速以太網(wǎng)端口的網(wǎng)絡(luò)單元連接要求。Catalyst4500系列的熱插拔模塊即插即用交換解決方案降低了復(fù)雜性并能輕松地支持當(dāng)前網(wǎng)絡(luò)中不斷變化的桌面環(huán)境。特別是，還提供了無(wú)線PC連接來(lái)支持未來(lái)的端口接口需要。一致的軟件體系結(jié)構(gòu)一因?yàn)镃atalyst軟件和用戶界面的一致性，客戶能繼續(xù)利用他們的知識(shí)，并利用Catalyst1900、2900、3500、4500、5000、6000、8500家族產(chǎn)品來(lái)繼續(xù)發(fā)展自己的基礎(chǔ)設(shè)施。投資保護(hù)一靈活的模塊化體系結(jié)構(gòu)對(duì)配線室中的動(dòng)態(tài)桌面連接提供了經(jīng)濟(jì)高效的管理。Catalyst4006背板進(jìn)一步提供了網(wǎng)絡(luò)保護(hù)能力，因?yàn)樗С?0Gbps無(wú)阻塞容量，所以這種機(jī)箱更能適應(yīng)未來(lái)需要。另外，Catalyst4003和4006機(jī)箱之間的兼容備份，使它的電源和交換板卡之間的通用性更強(qiáng)，從而降低了總擁有成本。功能透明板卡一Catalyst4500的結(jié)構(gòu)優(yōu)勢(shì)擴(kuò)大了Catalyst4500系列板卡的部署壽命。只要簡(jiǎn)單地添加其它引擎模塊，如新的第3層服務(wù)模塊，Catalyst4500系統(tǒng)就能方便地將所有系統(tǒng)端口升級(jí)到更高層的交換功能。不需要更換現(xiàn)有板卡就能在系統(tǒng)端口上實(shí)現(xiàn)高層功能增強(qiáng)，這在常規(guī)交換產(chǎn)品中是很常見的。模塊化監(jiān)控器引擎保護(hù)--Catalyst4506機(jī)箱背板和監(jiān)控器連接器可以支持未來(lái)的監(jiān)控器引擎升級(jí)。未來(lái)改進(jìn)的可能性包括將可伸縮交換機(jī)結(jié)構(gòu)容量增加到64Gbps、使用線速第3層和第4層交換和基于未來(lái)技術(shù)的千兆位上行鏈路。CiscoIOS網(wǎng)絡(luò)服務(wù)--Catalyst4500系列交換機(jī)提供了成熟的企業(yè)第2層和第3層特性，能夠有效地增強(qiáng)公司網(wǎng)絡(luò)的能力。這些特性滿足大中型企業(yè)的高級(jí)聯(lián)網(wǎng)要求，因?yàn)樗鼈兊耐瞥鲋苯拥靡嬗诙嗄甑腃isco客戶反饋意見?；谟布慕M播一協(xié)議獨(dú)立組播（PIM）密集和稀疏模式、Internet組群組播協(xié)議（IGMP）、以及Cisco組群組播協(xié)議（CGMP）支持基于標(biāo)準(zhǔn)的、Cisco改進(jìn)的高效多媒體聯(lián)網(wǎng)。經(jīng)濟(jì)高效一結(jié)合先進(jìn)的工程和制造工藝優(yōu)勢(shì)，Catalyst4500系列以高性能/價(jià)格比的價(jià)格提供了更加強(qiáng)大和更加可靠的企業(yè)交換解決方案，重新定義了新的價(jià)格/性能比。共享內(nèi)存體系結(jié)構(gòu)，沒有線路頭阻塞一集中式低等待延遲（1.4微秒）、共享內(nèi)存交換結(jié)構(gòu)提供了領(lǐng)先的能力，消除了所有可能的線路頭部阻塞。桌面能夠使用千兆位能力--Catalyst4500系列已經(jīng)提供了豐富的1000Mbps千兆位和千兆位服務(wù)器交換解決方案。Catalyst4500系統(tǒng)的千兆位解決方案的使用范圍可以方便地?cái)U(kuò)展到桌面。可管理性一利用每一種Catalyst4500系列交換解決方案提供的先進(jìn)的管理能力以及每一個(gè)端口中內(nèi)置的基于業(yè)界標(biāo)準(zhǔn)的管理功能，Catalyst4500系列的控制能力和安全性都得到了加強(qiáng)。您可以靈活地選擇是使用基于Web的圖形用戶接口（GUI）還是命令行接口（CLI）來(lái)完成管理任務(wù)，從而增強(qiáng)了您的網(wǎng)絡(luò)操作能力。降低網(wǎng)絡(luò)操作費(fèi)用一因?yàn)镃atalyst平臺(tái)、體系結(jié)構(gòu)和軟件之間有更高的一致性，所以費(fèi)用得到了很大降低。另外，端到端的Cisco管理和服務(wù)也降低了網(wǎng)絡(luò)的總擁有成本。保護(hù)關(guān)鍵任務(wù)應(yīng)用的性能一集中式企業(yè)策略創(chuàng)建加上CiscoAssure支持和針對(duì)第2層CoS和第3層ToS的網(wǎng)絡(luò)服務(wù)質(zhì)量，這些可共同保證您能夠從邊緣到核心得到一致的應(yīng)用性能。高可用性--Catalyst4500系列提供了自恢復(fù)網(wǎng)絡(luò)智能，它的速度足以從端口、設(shè)備、鏈路上發(fā)現(xiàn)故障而在桌面上沒有明顯延遲。面向未來(lái)的網(wǎng)絡(luò)--Cisco的繼續(xù)開發(fā)和投資使CiscoCatalyst4500系列LAN解決方案成為一個(gè)具有戰(zhàn)略意義的配線室和分支機(jī)構(gòu)平臺(tái)，它經(jīng)歷了多年的不斷改進(jìn)。Catalyst4500系列能輕松地應(yīng)對(duì)網(wǎng)絡(luò)發(fā)展，通過簡(jiǎn)單地添加更多的端口，您可以有效地提高您網(wǎng)絡(luò)的帶寬。另外，功能上透明的體系結(jié)構(gòu)優(yōu)勢(shì)將擴(kuò)大每個(gè)交換板卡的有效時(shí)間，允許您隨著您的需求而添加更高級(jí)的功能，而不需要進(jìn)行徹底升級(jí)。5.2成熟的Catalyst企業(yè)軟件當(dāng)今的配線室要求支持新出現(xiàn)的應(yīng)用要求，以便與第3層核心路由器和多層分布式交換機(jī)進(jìn)行更加密切的交互操作。通過支持業(yè)界領(lǐng)先的Catalyst4000、5000以及6000系列軟件，Catalyst4500系列工作組交換提供了一致的高端企業(yè)特性。5.3可伸縮性和彈性不論是現(xiàn)在還是將來(lái)，發(fā)展到千兆位以太網(wǎng)都非常容易，這是因?yàn)槟K化機(jī)箱的靈活性和模塊速度混合的多樣性所全。Catalyst4500系列可以滿足客戶的各種需求，從價(jià)格合理的帶寬分段到多千兆位性能，它具有千兆位以太網(wǎng)上行鏈路，并能針對(duì)每條千兆位以太通道邏輯鏈路擴(kuò)展到16Gbps。另外，Catalyst4500將滿足對(duì)設(shè)備冗余、鏈路彈性以及網(wǎng)絡(luò)可用性等的要求，直接給個(gè)人用戶以及服務(wù)器、打印機(jī)以及到公司數(shù)據(jù)中心的高速連接等提供專用帶寬。5.4冗余可靠性為了確?？煽?、容錯(cuò)網(wǎng)絡(luò)操作，Catalyst4500系列支持冗余、負(fù)載均衡電源。除了降低總擁有成本以外，Catalyst4503和4506都使用了相同的AC電源單元，從而實(shí)現(xiàn)了兼容備用和降低預(yù)算開支。另外，它們還用生成樹增強(qiáng)應(yīng)用即UpLinkFast和PortFast來(lái)支持端口冗余；用快速以太通道和千兆位以太通道技術(shù)支持鏈路冗余，確保在發(fā)生故障后，路由器、交換機(jī)和服務(wù)器等都能獲得關(guān)鍵業(yè)務(wù)鏈路的正常工作。CiscoCatalyst2950系列交換機(jī)6.1優(yōu)異的性能?各個(gè)端口包括千兆位端口的線速、無(wú)阻塞性能。8.8Gbps交換結(jié)構(gòu)和最大660萬(wàn)包/秒的傳輸速率，能夠保證最大的吞吐量--即使對(duì)最高性能需求的應(yīng)用而言也是如此。12-或24個(gè)10BaseT/100BaseTX自適應(yīng)端口，每個(gè)可為單個(gè)用戶、服務(wù)器、工作組提供最大200Mbps的帶寬，完全可以支持對(duì)帶寬需求苛刻的應(yīng)用。Catalyst2950T-24有兩個(gè)內(nèi)置的千兆位以太網(wǎng)（100BaseT）端口，可利用現(xiàn)有的5類電纜結(jié)構(gòu)為千兆位以太網(wǎng)主十、千兆位以太網(wǎng)服務(wù)器或交換機(jī)之間，提供最大4Gbps的匯集帶寬和最遠(yuǎn)100米的距離。Catalyst2950-24交換機(jī)有兩個(gè)多模（100BaseFX）光纖上行鏈路，在最遠(yuǎn)2公里的距離上可提供高達(dá)200Mbps的帶寬。8MB共享內(nèi)存結(jié)構(gòu)由于使用了消除包頭阻塞以及最大可能減少包丟失的設(shè)計(jì)，所以可以在組播和廣播流量很大的情況下，提供更佳的整體性能，同時(shí)保證最大可能的吞吐量。16MB的DRAM和8MB的板上閃存可以為未來(lái)升級(jí)提供便利，做到最大限度地保護(hù)用戶投資。?利用快速以太通道和千兆位以太通道技術(shù)的帶寬匯集可提高容錯(cuò)性能，并在交換機(jī)、路由器和各服務(wù)器之間提供最大4Gbps的匯集帶寬。?每個(gè)端口使用基于802.1Q標(biāo)準(zhǔn)的VLAN主十;每個(gè)交換機(jī)帶有64個(gè)VLAN，附有64個(gè)生成樹（PVST+）的實(shí)例。?支持硬件IGMP偵聽的超級(jí)組播管理能力。?支持VMPS功能（計(jì)劃將來(lái)使用）的動(dòng)態(tài)VLAN。VTP修剪（計(jì)劃將來(lái)使用）。6.2QoS?支持基于802.1pCoS值或網(wǎng)絡(luò)管理員為每個(gè)端口指定的缺省CoS值來(lái)對(duì)數(shù)據(jù)幀進(jìn)行重新分類。?在硬件上，每個(gè)輸出端口支持四個(gè)隊(duì)列。WRR隊(duì)列算法確保低優(yōu)先級(jí)端口不會(huì)被忽視。?嚴(yán)格的優(yōu)先權(quán)安排配置保證諸如語(yǔ)音等時(shí)間敏感的應(yīng)用能夠在交換結(jié)構(gòu)中一直使用快速路徑。6.3易于使用和易于安裝CiscoCMS允許網(wǎng)絡(luò)管理員通過一個(gè)單獨(dú)的IP地址，使用任何標(biāo)準(zhǔn)的Web瀏覽器管理最多16個(gè)互連的Catalyst2950、3550-12T、3500XL、2900XL和1900交換機(jī)，不論它們位于什么地方。也就是說，交換機(jī)不用位于同一個(gè)配線間內(nèi)。全面的后向兼容性保證所有Catalyst3500XL、Catalyst2900XL或Catalyst1900交換機(jī)可以利用CiscoCMS同Catalyst2950一起進(jìn)行管理。集群軟件升級(jí)特性可使用戶在一組Catalyst3550-12T>Catalyst2950>Catalyst3500XL和Catalyst2900XL交換機(jī)上自動(dòng)升級(jí)系統(tǒng)軟件。?每個(gè)端口的自適應(yīng)功能檢測(cè)連接設(shè)備的速度并自動(dòng)對(duì)端口進(jìn)行配置，選擇10-、100-或1000-Mbps速率工作，這樣，在10-、100-、1000-BaseT的混合環(huán)境中可很方便地進(jìn)行交換機(jī)的配置。?協(xié)調(diào)所有端口工作，自動(dòng)選擇半雙工或全雙工的傳輸模式以優(yōu)化帶寬分配。?閃存中的缺省配置可以保證交換機(jī)快速連通網(wǎng)絡(luò)，從而在用戶最小干預(yù)的情況下傳輸數(shù)據(jù)流量。6.4集成的CiscoIOS交換解決方案?通過快速以太通道和千兆以太通道技術(shù)實(shí)現(xiàn)的帶寬匯集，可以增強(qiáng)了容錯(cuò)能力并可提供最大4Gbps的帶寬。?每個(gè)端口的廣播風(fēng)暴控制能力可預(yù)防故障終端工作站利用廣播風(fēng)暴降低系統(tǒng)的總體性能。?支持命令行界面（CLI），可為用戶提供Catalyst交換機(jī)和Cisco路由器通用的界面和命令集。Cisco發(fā)現(xiàn)協(xié)議（CDP）可使CiscoWorks網(wǎng)絡(luò)管理工作站在網(wǎng)絡(luò)拓樸中自動(dòng)發(fā)現(xiàn)交換機(jī)。6.5超級(jí)管理能力CiscoCMS允許網(wǎng)絡(luò)管理員通過單個(gè)的IP地址和任何標(biāo)準(zhǔn)的瀏覽器，管理最多可達(dá)16個(gè)互連的Catalyst2950、3550-12T、3500XL、2900XL和1900交換機(jī)，不論它們位于什么地方。也就是說，交換機(jī)不用放置在同一配線間內(nèi)。?交換機(jī)集群軟件升級(jí)可使網(wǎng)絡(luò)管理員通過簡(jiǎn)單易用的CiscoCMS界面或一個(gè)單獨(dú)的CLI命令，升級(jí)最多可達(dá)16個(gè)交換機(jī)的系統(tǒng)軟件。?簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）和Telnet界面可提供綜合的帶內(nèi)管理能力，同時(shí)，基于CLI的管理控制臺(tái)可提供詳盡的帶外管理能力。?以每個(gè)端口和每個(gè)交換機(jī)為基礎(chǔ)的CiscoWorksWindows網(wǎng)絡(luò)管理軟件能夠提供有效的管理能力，可為Cisco路由器、交換機(jī)和集線器提供通用的管理界面。?內(nèi)置遠(yuǎn)程監(jiān)視（RMON）軟件代理程序支持四種RMON組（歷史、統(tǒng)計(jì)、告警、事件），增強(qiáng)了流量管理、監(jiān)視和分析能力。?交換機(jī)端口分析（SPAN）端口利用一個(gè)網(wǎng)絡(luò)分析儀或RMON探測(cè)器監(jiān)視單個(gè)端口的流量?自動(dòng)配置通過使用一個(gè)網(wǎng)絡(luò)根服務(wù)器對(duì)網(wǎng)絡(luò)中的多個(gè)交換機(jī)進(jìn)行自動(dòng)安裝配置，從而簡(jiǎn)化了交換機(jī)的配置工作。?域名服務(wù)（DNS）利用用戶定義的設(shè)備名稱進(jìn)行IP地址解析。?小文件傳輸協(xié)議（TFTP）減少了管理軟件的成本，這些軟件可由一個(gè)集中的位置進(jìn)行下載升級(jí)。?網(wǎng)絡(luò)定時(shí)協(xié)議（NTP）為intranet內(nèi)的所有交換機(jī)提供了一個(gè)精確和穩(wěn)定的時(shí)間標(biāo)準(zhǔn)。?生成樹根保護(hù)（STRG）可預(yù)防邊緣設(shè)備脫離網(wǎng)絡(luò)管理員的控制，成為一個(gè)STP根結(jié)點(diǎn)。每個(gè)端口配備的狀態(tài)、全雙工/半雙工、10BaseT/100BaseTX/1000BaseT多功能LED指示，同系統(tǒng)、RPS和帶寬使用LED一起，組成了綜合和方便的可視化管理系統(tǒng)。6.6安全性和冗余性?支持IEEE802.1x（計(jì)劃將來(lái)使用）。Cisco快速上行鏈路技術(shù)保證快速的故障恢復(fù)（典型值小于3秒），使網(wǎng)絡(luò)的綜合性能更加穩(wěn)定和可靠。?專用VLAN邊緣為交換機(jī)的端口間提供安全性和隔離性，同時(shí)保證語(yǔ)音流量從進(jìn)入點(diǎn)通過虛擬通道直接傳輸?shù)絽R集設(shè)備，而不會(huì)被定位到其它無(wú)關(guān)端口。?基于MAC的端口級(jí)安全性可以防止未授權(quán)的工作站訪問交換機(jī)。?用戶選擇的地址學(xué)習(xí)模式簡(jiǎn)化了配置，增強(qiáng)了安全性。IEEE802.1DSTP對(duì)冗余主十連接和無(wú)環(huán)路網(wǎng)絡(luò)的支持簡(jiǎn)化了網(wǎng)絡(luò)配置過程，提高了容錯(cuò)能力。?支持Cisco冗余電源系統(tǒng)300（RPS300），配有最多可達(dá)6個(gè)單元的內(nèi)置備份電源，提高了容錯(cuò)能力和網(wǎng)絡(luò)正常工作時(shí)間。?控制臺(tái)訪問的多級(jí)安全性可以防止未授權(quán)的用戶修改交換機(jī)配置。?支持TACACS+驗(yàn)證對(duì)交換機(jī)的集中控制，防止未授權(quán)的用戶更改配置。CiscoPIX515E防火墻該系統(tǒng)的核心是一種基于自適應(yīng)安全算法（ASA）的保護(hù)機(jī)制，可以提供針對(duì)狀態(tài)的、面向連接的防火墻功能，同時(shí)阻截常見的拒絕服務(wù)（DoS）攻擊。CiscoPIX515E還是一個(gè)全功能的VPN網(wǎng)關(guān)，可以在公共網(wǎng)絡(luò)上安全地傳輸數(shù)據(jù)。它可以通過56位數(shù)據(jù)加密標(biāo)準(zhǔn)（D