[原创]...

 
<div>
<h3><a name="_Toc529352850"></a><a name="_Toc516818612"></a><a name="_Toc516636941">1</a>、网络设计原则</h3>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 坚持实用性并充分保护用户的投资</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 坚持开放性、兼容性和可互连性，向事实上的工业标准TCP/IP协议靠拢，同时考虑支持IPX/SPX</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 坚持技术的先进性</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 坚持高可管理性</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 坚持高可靠性</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 提供冗余备份功能</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 能有效进行网络管理</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 利于网络扩展和技术升级</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 充分利用现有的网络设备</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 提供严格受控的拨号访问系统</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 提供完全的网络安全控制</p><br/>
<h3><a name="_Toc529352851"></a><a name="_Toc516818613"></a><a name="_Toc516636942">2</a>、网络建设目标和总体规划</h3>
<p>太钢公司信息系统网络建设的目标，就是在总部和各分支机构局域网建设、及其广域网联接的基础上，将互联网技术引入企业内部网，从而建立起统一、快捷、高效的Intranet系统。整个系统在安全、可靠、稳定的前提下，符合经济的原则，即实现合理的投入，最大的产出。具体规划如下：</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 以电讯公司为中心，与公司机关大楼、厂区内生产处、各二级厂等单位通过光纤相连，构成一大型分级局域网。</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 以千兆以太作为主干网，利用第三层交换技术实现大型局域网的VLAN划分。一期规划中十个二级节点采用千兆，与中心主交换机（主节点）构成千兆网络主干，各二级单位（三级节点）采用100M光纤收发器通过二级节点接入主干网。</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 考虑到网络环路连接可达到冗余效果，增加系统的可靠性，因此，二级节点之间尽可能互联，形成环路。</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 网络中心建设拨号访问服务中心，接受远程拨号访问，并由认证和计费系统进行权限认证和计费。</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 网络通过申请专线或虚拟光纤接入Internet/ChinaNET，在公网上建立虚拟专用网(VPN)；通过采用Web技术和Internet-VPN技术以及信息加密技术实现电子商务。这样，可以提供远程拨号访问和通过Internet访问两种方式，来实现全国各分支机构、相关部门以及公众对太钢信息的限制性访问。</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 网络的安全机制：</p>
<p>（1）&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 通过对网络设备的配置，控制访问列表等方式来加强网络的安全性措施；</p>
<p>（2）更重要的是，在内部网与公众网的结合处，采用先进的防火墙技术、代理服务器技术、以及Web服务器的口令验证、数据加密等技术实现网络的安全性。</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 网络中心设立WEB应用服务器、代理服务器、E-MAIL服务器、DNS服务器、计费认证服务器和数据库服务器，实现WEB访问、Internet接入、E-MAIL系统、域名解析、计费认证和应用系统等各种功能。<b>下图是主干网络总体逻辑示意图：</b><b></b></p></div><b><br clear="all"/></b>

<p><font face="Verdana">（二）主干网络建设<br/>1、主干交换机<br/>中心交换机选用CISCO Catalyst 6000系列中的6509交换机，提供最高的性能价格比。6509拥用9个插槽，支持最多384个用户连接。<br/>6509与两个二级企业千兆交换机CISCO Catalyst 3548之间构成环形冗余线路，并构成主干网络核心。<br/>1.1 CISCO Catalyst 6000系列基本特性<br/>和服务供应商网络提供高性能多层交换解决方案。Catalyst 6000家族旨在满足主干网/分布式和服务器集合环境中对千兆位可伸缩性、高可用性及多层交换的增加需求，提供卓越的可伸缩性和性价比，支持广泛的接口密度、性能和高可用性选项。<br/>通过结合卓越的控制平面和数据包转发可伸缩性以及一系列丰富的智能服务，Catalyst 6000系列为新纪元企业和服务供应商解决方案(例如集成化语音/视频/数据和电子商务服务)提供了基础。<br/>Catalyst 6000系列目前能使服务供应商和企业环境在可伸缩的网络体系结构方面迈出下一步。通过集合可伸缩的性能、可伸缩的控制平面及广泛的智能网络服务的优点，Catalyst 6000系列将为下一代网络外附提供框架。 <br/>Catalyst 6500系列交换机的交换光纤模块为当今最先进的网络提供最佳的带宽性能，将交换容量扩展到256 Gb/s。 <br/>Supervisor Engine 2与 MSFC2 一起能够启动一个基于 CEF 的体系结构，并将总体系统性能提高到100+ Mpps。 <br/>ISupervisor 2和 Gigabit Ethernet 模块上业界领先的 Cisco Express Forwarding (CEF)：扩展控制平面数据包转发性能以及安全、高可用性和 QoS 方面的智能服务，为动态的服务供应商和企业网络提供下一代解决方案。 <br/>带有本地或分布式转发的 Catalyst 6500系列高性能 Gigabit Ethernet 交换模块非常适合千兆位主干网和服务器间配置中的部署或高密度10/100-Mbps 配线间的集合。 <br/>Catalyst 6000系列入侵检测系统模块在同一机箱中集成了交换和安全功能性，提供针对未经授权和恶意活动的全面攻击保护。 <br/>QoS、高可用性和安全领域业界领先的新智能服务能够跨服务供应商和企业网络启动多个部署选项。 <br/>。。由于1000BASE-T 模块的推出，Cisco System 能够通过 Category 5电缆在长达100米的距离启动千兆位速度传输。16端口 Gigabit Ethernet 模块为高速服务器连接提供一个高度可靠和经济有效的解决方案。 <br/>FlexWAN 模块<br/>。。Catalyst 6000系列提供一个智能交换体系结构，在整个企业和服务供应商网络扩展了带宽和智能服务，提供智能配线间、主干、服务器间及集成化语音/视频/数据解决方案。 </font></p>
<p><font face="Verdana">6509交换机具备强大的划分VLAN能力和高速第三层交换能力。利用多端口千兆模块实现与其他分支机构主交换机（选用Catalyst 3548交换机）的主干连接。主干交换机均支持FEC技术（快速以太网的多链路捆绑）、ISL技术（支持跨设备的VLAN划分）。部门交换机和工作组交换机选用Catalyst 2950交换机实现快速以太网分支，全面支持SNMP协议。</font></p>
<p><font face="Verdana">1.2 CISCO Catalyst 6000系列扩展特性<br/>Catalyst6000家族由Catalyst6000系列、Catalyst6500系列组成。这两个系列均支持6和9个插槽的版本，提供广泛的配置和价格/性能比选择。Catalyst6000和Catalyst6500系列交换机还支持广泛的接口类型和密度，包括支持高达384个10/100以太网、192个100FX快速以太网端口和130个千兆比特以太网端口－－业界最高的端口数量。客户还可使用FastEtherChannel或GigabitEtherChannel，集合八个物理快速以太网或千兆以太网链路，实现高达16Gbps的逻辑连接。Catalyst6000系列提供业界领先的千兆以太网骨干网解决方案，以满足当今要求最高的、快速增长的企业Intranet的需求。</font></p>
<p><font face="Verdana"></font>&nbsp;</p>
<p><font face="Verdana"><br/>表1&nbsp;&nbsp;Catalyst6000家族的密度和容量<br/>结构&nbsp;Catalyst6000系列&nbsp;Catalyst6500系列<br/>底板带宽&nbsp;32Gbps&nbsp;32至256Gbps<br/>千兆比特以太网端口数量&nbsp;130&nbsp;130<br/>100FX以太网端口数量&nbsp;132&nbsp;132<br/>10/100以太网端口数量&nbsp;384&nbsp;384<br/>多层交换能力&nbsp;可扩展至15Mpps&nbsp;可扩展至150Mpps<br/>Catalyst6500系列结构支持可扩展到256Gbps的交换带宽和可扩展到150Mpps的多层交换能力，可以支持最苛刻的网络流量需求。<br/>Catalyst6000家族支持与Catalyst5000家族相同的软件结构，提供业界领先的基于CiscoIOS?的服务。CiscoIOS提供整套软件业务，负责管理网络安全性，分配并实施QoS，提供增值的、实现高网络弹性的业务。CiscoIOS还为CiscoWorks2000与Cisco资源管理器两者的集成、整个Catalyst产品系列均支持的基于Web的管理工具提供管理架构。<br/>PIM、Internet组管理协议(IGMP)、Cisco组管理协议(CGMP)、GARP多点发送注册协议实现的高效的Intranet多媒体和多点广播支持为多媒体和多点广播应用提供端到端的可扩展带宽。这些服务将数据只传送给加入多点广播组的用户，而不会影响其他用户。<br/>QoS策略利用2、3、4层信息(如IP、CiscoISL、802.1p帧的优先比特位或4层端口号)来执行。在Catalyst6000系列交换机内，可配置门限的多种队列采用WRED、WRR、业务类型/业务级别(ToS/CoS)映射机制，以确保数据包在第2层和3层边界传输时，QoS得到维护。资源预留协议(RSVP)优先映射亦可使用，以确保及时提供时间敏感的Intranet应用。<br/>Intranet的安全性通过安全端口过滤功能受到支持，使个别的端口仅允许某些指定工作站的接入。TACACS＋和IP允许清单防止对安全管理环境中的交换机进行非法访问。访问控制表(ACL)防止非法用户闯入网络。MD5路由鉴别还用于防止欺诈路由选择更新。<br/>移动性－－转移、增加、更换－－使用动态主机配置协议(DHCP)和域名系统(DNS)受到支持，并与动态VLAN功能一起实现最佳的、可扩展性能，而无需考虑地点。<br/>话音还可在传统数据端口，即以太网上受到支持。如同“双-网络”的设计原理－－一个用于数据，另一个用于话音－－如今开辟了一种将话音和数据合并到一个网络中的方法。Catalyst6000系列可采用相同的策略机制来保证话音－数据业务穿过网络。它还有另一个优势－－网络管理者可更高效的利用现有资源，同时通过简化网络结构，降低了运营费用。<br/></font></p>

&nbsp;
<h4><a name="_Toc529352861"></a><a name="_Toc516818621"></a><a name="_Toc516636951">2.2 </a>本方案二级节点主交换机选型和配置</h4>
<p><b>本方案选择cisco Catalyst 3548xl</b><b>作为主要</b><b>二级节点的主交换机。主要配置如下：</b></p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CISCO3548交换机，2口千兆、48口 10/100M自适应，企业版</p>
<p>l&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1000Base-LX/LH&nbsp; GBIC WS-5486(长波/长途，单模) （SC接口）</p>
<p><b>Catalyst 3548xl</b><b>作为主要二级机构的主交换机完全可以满足高速连接公司内部网络和通过公司内部网络访问Internet</b><b>的需要。</b></p>
<h3><a name="_Toc529352862"></a><a name="_Toc516818622"></a><a name="_Toc516636952">3</a>、部门交换机</h3>
<p>部门交换机选用Catalyst 2950交换机（WS-C2950-24）实现快速以太网分支。WS-C2950-24具有24个10/100Mbps自适应交换式端口。由于Catalyst 2950具备8.8Gbps的交换背板和最大4.4 Gbps的数据吞吐率，所以在它把终端工作站和用户连接到公司的LAN上时可以在各个端口提供线速连接性能。 Catalyst 2950交换机支持性能增强特性，如Fast EtherChannel（快速以太通道）和GigabitEtherChannel（千兆位以太通道）技术，可在Catalyst 2950交换机、路由器和服务器之间提供最大4 Gbps的高性能带宽。 </p>
<p><b>在一期规划中，Catalyst 2950</b><b>交换机完全可以承担作为普通三级机构主交换机的责任。</b></p>
<h3><a name="_Toc529352863">4</a>、网络连接冗余</h3>
<p>考虑到主干网络的冗余，避免由于光纤中断而引起的单点失败，在二级节点3548交换机之间冗余连接。当网络中心和一个3548交换机连接中断时，该交换机所在的二级单位可以通过冗余链路连接到网络中心。采用这种方式只需要增加一条光纤就可以低成本的实现网络连接冗余。</p>
<p><b>机关大楼到计控处实现采用千兆模块冗余连接，机关大楼到股份公司采用百兆光纤收发器进行冗余连接。</b></p>
<p>
<table cellspacing="0" cellpadding="0" width="100%">
<tbody>
<tr>
<td>
<div>
<p>网络中心</p></div></td></tr></tbody></table>
<table cellspacing="0" cellpadding="0" width="100%">
<tbody>
<tr>
<td>
<div>
<p>3548交换机</p></div></td></tr></tbody></table>
<table cellspacing="0" cellpadding="0" width="100%">
<tbody>
<tr>
<td>
<div>
<p>3548交换机</p></div></td></tr></tbody></table>
<table cellspacing="0" cellpadding="0" width="100%">
<tbody>
<tr>
<td>
<div>
<p>光纤</p></div></td></tr></tbody></table>
<table cellspacing="0" cellpadding="0" width="100%">
<tbody>
<tr>
<td>
<div>
<p>光纤</p></div></td></tr></tbody></table>
<table cellspacing="0" cellpadding="0" width="100%">
<tbody>
<tr>
<td>
<div>
<p>光纤</p></div></td></tr></tbody></table>具体图示如下：</p>

路过