局域網(wǎng)組建與管理_設(shè)計

1、、企業(yè)聯(lián)網(wǎng)需求分析 1. 概述 企業(yè)想增強(qiáng)競爭實(shí)力，必須隨時改進(jìn)和更新系統(tǒng)和網(wǎng)絡(luò)，但是機(jī)會增 加常伴隨著安全風(fēng)險的增加，尤其是機(jī)構(gòu)的數(shù)據(jù)對更多用戶開放的時候 因?yàn)榧夹g(shù)越先進(jìn)，安全管理就越復(fù)雜。所以企業(yè)為了消除安全隱患，下 一步就需要對現(xiàn)有的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用進(jìn)行相應(yīng)的風(fēng)險評估，確定在企業(yè) 的具體環(huán)境下到底存在哪些安全漏洞和安全隱患。再次是在此基礎(chǔ)上，制 定并實(shí)施安全策略，完成安全策略的責(zé)任分配，設(shè)立安全標(biāo)準(zhǔn)：幾乎所有 企業(yè)目前都有信息安全策略，只不過許多策略都沒有書面化，只作為完成 任務(wù)的一種手段。恰當(dāng)?shù)男畔踩呗员仨毰c機(jī)構(gòu)的所有業(yè)務(wù)需求直接相 關(guān)。 毋庸置疑，在互聯(lián)網(wǎng)時代，有效的公司信息安全

2、管理對企業(yè)的良好 運(yùn)作至關(guān)重要，但在具體的實(shí)施過程中，企業(yè)安全管理需要從前期安全策 略的具體制定、中期信息安全解決方案的選擇與實(shí)施、后續(xù)的安全服務(wù)的 跟進(jìn)等多方面、全方位予以重視，并作周到細(xì)致的考慮。這既涉及到企業(yè) 系統(tǒng)如何在應(yīng)用中實(shí)現(xiàn)安全管理，同時又涉及到安全廠商如何提供全方位 安全咨詢及后續(xù)安全服務(wù)等方面的問題。 信息技術(shù)的迅猛發(fā)展極大地促進(jìn)了網(wǎng)絡(luò)在企業(yè)的普及應(yīng)用，當(dāng)今的企 業(yè)必須采用能夠充分利用結(jié)合優(yōu)秀的傳統(tǒng)方法及連網(wǎng)計算的新業(yè)務(wù)模式， 來獲得競爭優(yōu)勢。對許多企業(yè)來講，問題不在于數(shù)據(jù)安全是否必要，而在 于怎樣在預(yù)算范圍內(nèi)以安全的方式管理復(fù)雜計算機(jī)環(huán)境、多種計算機(jī)平臺 和眾多集成式計算機(jī)網(wǎng)

3、絡(luò)上的數(shù)據(jù)。各企業(yè)必須獨(dú)立確定需要多高級別的 安全，以及哪種安全能最有效地滿足其特殊業(yè)務(wù)需求。這些問題僅靠安全 解決方案是無法完成的，而是企業(yè)安全管理必須解決的問題。 二、企業(yè)局域網(wǎng)總體設(shè)計 1. 網(wǎng)絡(luò)建設(shè)目標(biāo) 整合現(xiàn)有網(wǎng)絡(luò)系統(tǒng)，構(gòu)建我公司從總公司到一級分公司、二級分公司 的基于IP應(yīng)用的骨干網(wǎng)絡(luò)通信平臺，建立數(shù)據(jù)、語音、視頻一體化網(wǎng)絡(luò)； 按照業(yè)務(wù)發(fā)展的需要，擴(kuò)展骨干網(wǎng)的網(wǎng)絡(luò)帶寬；建立健全總公司以及各個 省公司的數(shù)據(jù)中心；統(tǒng)一全網(wǎng)的安全控制措施和安全監(jiān)測手段；集中網(wǎng)絡(luò) 管理，實(shí)施分級維護(hù)；進(jìn)一步規(guī)范IP地址的應(yīng)用；積極開展網(wǎng)絡(luò)綜合應(yīng) 用，在全公司逐步開通IP電話業(yè)務(wù)、視頻會議系統(tǒng)以及網(wǎng)上培訓(xùn)業(yè)

4、務(wù)；為 業(yè)務(wù)發(fā)展提供良好的網(wǎng)絡(luò)環(huán)境。 網(wǎng)絡(luò)建設(shè)是一項(xiàng)基礎(chǔ)工程，要先于業(yè)務(wù)發(fā)展超前進(jìn)行，各分公司要根 據(jù)實(shí)際情況逐步開展現(xiàn)有網(wǎng)絡(luò)的優(yōu)化工作，優(yōu)化后的網(wǎng)絡(luò)應(yīng)能承載現(xiàn)有的 各個業(yè)務(wù)系統(tǒng)，同時為一級分公司的數(shù)據(jù)集中和總公司災(zāi)備中心的建設(shè)提 供基礎(chǔ)保障，適應(yīng)未來業(yè)務(wù)發(fā)展的需要。 2. 網(wǎng)絡(luò)規(guī)劃 針對我公司的網(wǎng)絡(luò)需求及目前的網(wǎng)絡(luò)現(xiàn)狀，在進(jìn)行網(wǎng)絡(luò)設(shè)計改造時要 綜合考慮以下的因素，從而建設(shè)一個安全、可靠、功能豐富的網(wǎng)絡(luò)系統(tǒng)： 1. 廣域網(wǎng)絡(luò) 2. 大樓網(wǎng) 3. 數(shù)據(jù)中心及備份中心 4. 客戶服務(wù)中心 5. 語音/視頻 6. 網(wǎng)絡(luò)外聯(lián) 7. 網(wǎng)絡(luò)安全 8. 網(wǎng)絡(luò)管理 3. 廣域網(wǎng)絡(luò) 在廣域網(wǎng)絡(luò)設(shè)計時，要考慮目前

5、可用的網(wǎng)絡(luò)資源以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。 根據(jù)目前的網(wǎng)絡(luò)資源以及地理分布情況，綜合考慮網(wǎng)絡(luò)資源的費(fèi)用、網(wǎng)上 業(yè)務(wù)情況，以及今后的發(fā)展趨勢。廣域網(wǎng)絡(luò)采用目前的樹型結(jié)構(gòu)，但要擴(kuò) 展網(wǎng)絡(luò)資源的帶寬，使之滿足目前的數(shù)據(jù)、語音業(yè)務(wù)、客戶服務(wù)中心業(yè)務(wù) 數(shù)據(jù)集中業(yè)務(wù)的需求；同時為了滿足將來的視頻等其他應(yīng)用對目前的網(wǎng)絡(luò) 設(shè)備應(yīng)考慮一定的擴(kuò)展性。 對于從總公司到各個一級分公司之間的網(wǎng)絡(luò)資源，總公司根據(jù)先進(jìn)性 和可靠性選擇，要求采用統(tǒng)一的網(wǎng)絡(luò)資源；對于各個省內(nèi)的網(wǎng)絡(luò)資源，各 一級分公司根據(jù)以上原則決定。 廣域網(wǎng)設(shè)計將過渡到區(qū)域大中心的設(shè)計，在全國根據(jù)業(yè)務(wù)以及地理位 置考慮建立三個（如北京、上海、廣州）或多個區(qū)域數(shù)據(jù)中心，

6、各個數(shù)據(jù)中 心形成環(huán)狀拓?fù)浣Y(jié)構(gòu)，各個大區(qū)內(nèi)的省份連接到相應(yīng)的一個或兩個 （保證網(wǎng) 絡(luò)的可靠性）區(qū)域中心；對于整個公司的數(shù)據(jù)來說，可以分布到各個區(qū)域中 心上，這樣既提供了網(wǎng)絡(luò)的可靠性，又保證了數(shù)據(jù)的冗余備份（災(zāi)難備 份）0 4. 數(shù)據(jù)中心及備份中心 隨著數(shù)據(jù)的集中，公司的數(shù)據(jù)中心愈來愈重要，要求我們在設(shè)計時要 考慮到集中的或分散的數(shù)據(jù)中心的情況；但無論如何，數(shù)據(jù)中心都要保證 數(shù)據(jù)的安全可靠、數(shù)據(jù)的高速訪問；對數(shù)據(jù)中心來說，它是整個網(wǎng)絡(luò)系統(tǒng) 的核心，要保證其他系統(tǒng)，包括大樓網(wǎng)系統(tǒng)、廣域網(wǎng)系統(tǒng)、客戶服務(wù)中 心、網(wǎng)管中心系統(tǒng)、外聯(lián)系統(tǒng)的授權(quán)用戶的高速的訪問。 對于目前的情況，數(shù)據(jù)分散到各個省公司，要求

7、對各個省公司都設(shè)計 相應(yīng)的數(shù)據(jù)中心，由于全公司的數(shù)據(jù)都會集中備份到總公司，所以總公司 的數(shù)據(jù)中心尤其重要，它是其他所有省公司的備份中心。 將來隨著大區(qū)中心的建立，可以減少各個省公司的數(shù)據(jù)中心的建設(shè)， 而且各個區(qū)域中心互相備份，既節(jié)省系統(tǒng)投資和維護(hù)費(fèi)用，而且提高整個 系統(tǒng)的可靠性。 對于將來的數(shù)據(jù)的大集中而言，可以逐步考慮存儲網(wǎng)絡(luò)的運(yùn)用。 5. 大樓網(wǎng) 公司的大樓網(wǎng)主要負(fù)責(zé)公司大樓內(nèi)的用戶的網(wǎng)絡(luò)連接，為樓內(nèi)用戶提 供包括業(yè)務(wù)處理、辦公自動化、互聯(lián)網(wǎng)訪問、電子學(xué)習(xí)等方面的內(nèi)容。網(wǎng) 絡(luò)的設(shè)計主要考慮網(wǎng)絡(luò)性能、網(wǎng)絡(luò)的可靠性、網(wǎng)絡(luò)的安全。大樓網(wǎng)的建設(shè) 需要與數(shù)據(jù)中心一起考慮。 6. 客戶服務(wù)中心 為了更

8、好的為客戶提供服務(wù)，增加公司的競爭力，建立客戶服務(wù)中心 勢在必行。與數(shù)據(jù)的分布情況相對應(yīng)，在各個省公司建立相應(yīng)的客戶服務(wù) 中心（有的省公司的地市也有相應(yīng)的客戶代表）。整個客戶服務(wù)中心采用 基于IP的IPCC方案，支持單點(diǎn)以及多點(diǎn)的客戶服務(wù)中心結(jié)構(gòu)，同時支持 業(yè)務(wù)代表的網(wǎng)絡(luò)分布，適應(yīng)目前的情況以及將來的業(yè)務(wù)的擴(kuò)展和重分配。 7.語音/視頻 在滿足業(yè)務(wù)運(yùn)行需要并考慮運(yùn)行維護(hù)成本的前提下，可以考慮語音及 視頻的應(yīng)用。其中，網(wǎng)絡(luò)語音的實(shí)現(xiàn)也可以選擇電信運(yùn)營商提供的IP電話 業(yè)務(wù)，而視頻應(yīng)著重于培訓(xùn)學(xué)習(xí)系統(tǒng)與電視會議。 提供數(shù)據(jù)、語音和視頻的集成是整個網(wǎng)絡(luò)建設(shè)的重要因素，由于技術(shù) 的進(jìn)步，在傳統(tǒng)的數(shù)據(jù)網(wǎng)

9、絡(luò)上提供語音和視頻應(yīng)用也成為可行而普遍的趨 勢。提供數(shù)據(jù)、語音和視頻的集成一方面可以降低語音通訊的成本，滿足 整個公司語音的需求，另一方面可以與客戶服務(wù)中心結(jié)合在一起，提供一 個以客戶為中心的綜合服務(wù)系統(tǒng)。 全網(wǎng)采用基于IP的語音和視頻系統(tǒng)，該系統(tǒng)與客戶服務(wù)中心的語音系 統(tǒng)相同，可以方便的擴(kuò)展和靈活的布置。通過 IP PBX提供對整個語音系統(tǒng) 的控制，并把IP電話以及軟電話布置到整個公司，在必要的地方可以布置 傳統(tǒng)的電話，兩者無縫地集成在一起。 視頻系統(tǒng)的建設(shè)采用基于IP的視頻廣播和視頻會議系統(tǒng)。前者提供基 于網(wǎng)絡(luò)的教育學(xué)習(xí)系統(tǒng)以及實(shí)時的廣播系統(tǒng)，后者提供視頻會議的功能。 其中視頻廣播可以和0

10、A網(wǎng)絡(luò)建設(shè)以及電子培訓(xùn)統(tǒng)一考慮。 8.網(wǎng)絡(luò)外聯(lián) 隨著公司保險業(yè)務(wù)種類和業(yè)務(wù)模式的擴(kuò)展，與其他網(wǎng)絡(luò)的連接的需求 越來越多，包括銀行轉(zhuǎn)帳、互聯(lián)網(wǎng)保險服務(wù)等，要求提供與互聯(lián)網(wǎng)以及其 他網(wǎng)絡(luò)的連接；在網(wǎng)絡(luò)建設(shè)中，要采用獨(dú)立的非軍事區(qū) (DMZ)的把這些業(yè)務(wù) 與內(nèi)網(wǎng)分開，并通過防火墻建立內(nèi)網(wǎng)和 DMZ DMZ與外網(wǎng)分開，從而提供安 全的網(wǎng)絡(luò)控制。 9.網(wǎng)絡(luò)安全 對于我公司而言，網(wǎng)絡(luò)系統(tǒng)的安全是最重要的因素，應(yīng)該引起格外的 重視；網(wǎng)絡(luò)的安全應(yīng)該包括認(rèn)證、授權(quán)和審計 (AAA)。其中認(rèn)證包括路由 認(rèn)證、撥號備份認(rèn)證等；授權(quán)包括權(quán)限控制、訪問控制等；審計包括對網(wǎng) 絡(luò)系統(tǒng)的主動掃描和被動記錄等。 10.網(wǎng)絡(luò)管理

11、 隨著網(wǎng)絡(luò)建設(shè)的進(jìn)行，網(wǎng)絡(luò)規(guī)模的擴(kuò)大，對網(wǎng)絡(luò)的管理成為一個非常 重要的課題；建立整個網(wǎng)絡(luò)操控中心（NOC）,對整個網(wǎng)絡(luò)進(jìn)行統(tǒng)一的管理, 是網(wǎng)絡(luò)建設(shè)中要考慮的要素之一。 11. 網(wǎng)絡(luò)總體設(shè)計 公司業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的核心就是廣域網(wǎng)絡(luò)骨干的建設(shè)，如何對現(xiàn)有網(wǎng)絡(luò) 進(jìn)行改造以及對將來的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行規(guī)劃是當(dāng)前網(wǎng)絡(luò)改造的首要任務(wù)。 當(dāng)今網(wǎng)絡(luò)的發(fā)展遠(yuǎn)遠(yuǎn)超出了單純追求基本連通歷史階段。我們在網(wǎng)絡(luò) 連通基礎(chǔ)上需要更高要求的網(wǎng)絡(luò)服務(wù)內(nèi)容，它應(yīng)包括Multiservice （多業(yè) 務(wù)服務(wù)）-數(shù)據(jù)/圖象/話音、QoS（網(wǎng)絡(luò)服務(wù)質(zhì)量）、Security （安全性 服務(wù)）、Reliability（高可靠性）、Scalabili

12、ty（可擴(kuò)展性）、 Man agability （可管理性）。我們必須要有清晰的網(wǎng)絡(luò)總體設(shè)計思路及原 貝遵循總體設(shè)計、分步實(shí)施的原則，用新一代的網(wǎng)絡(luò)設(shè)計思想、最成熟 的網(wǎng)絡(luò)技術(shù)對公司網(wǎng)絡(luò)進(jìn)行總體設(shè)計。 12. 層次化設(shè)計 從管理和技術(shù)的角度來看，我們都要求采用層次化的網(wǎng)絡(luò)設(shè)計結(jié)構(gòu)，這樣 既方便了管理，又有利于擴(kuò)展和靈活布置。 整個廣域網(wǎng)骨干系統(tǒng)保留目前的分層結(jié)構(gòu)，也就是目前的三層結(jié)構(gòu)，但對 整個網(wǎng)絡(luò)的資源以及網(wǎng)絡(luò)的擴(kuò)展性、可靠性、安全性進(jìn)行增強(qiáng)，同時提供對語 音和視頻等新的應(yīng)用的支持。 總公司-省分公司的網(wǎng)絡(luò)作為骨干網(wǎng)即一級網(wǎng)；各省分公司-各地市分公司 作為二級網(wǎng)；對于地市內(nèi)的子公司，有兩種方

13、式進(jìn)行聯(lián)網(wǎng)：第一種方式是各子 公司連接到相應(yīng)的各個子公司，這樣整個網(wǎng)絡(luò)為三層結(jié)構(gòu)；對于服務(wù)器來說， 網(wǎng)絡(luò)改造后的服務(wù)器不再分布在各個地市分公司，而是集中到省分公司和總公 司。 下面是網(wǎng)絡(luò)拓?fù)涫疽鈭D。 FftDDN/SDH/ATM 亞畀主就 亞務(wù)主肌葉 臂公川 蠣巾仝司 數(shù)據(jù)屮心 災(zāi)難 備倚屮料 圖4-1 :廣域網(wǎng)改造網(wǎng)絡(luò)拓?fù)鋱D 為了提供目前及將來扁平化管理的要求，要把某些特定的地市分公司 直接連接到總公司的方法，但要求這些地市分公司存在服務(wù)器；總公司要 求等數(shù)據(jù)完全集中到總公司后實(shí)行扁平化管理。 另外，當(dāng)數(shù)據(jù)集中到總公司后，可以考慮數(shù)據(jù)備份中心，并且采用存 儲網(wǎng)絡(luò)實(shí)現(xiàn)全公司的數(shù)據(jù)集中，在兩個中

14、心間根據(jù)情況通過高速光纖或其 他高速網(wǎng)絡(luò)資源實(shí)現(xiàn)互聯(lián)，要求各個直接和總公司連接的一級分公司同時 提供與備份中心的連接。 從長遠(yuǎn)的規(guī)劃來看，要求采用大區(qū)中心的概念，即根據(jù)某種策略把整 個公司的數(shù)據(jù)集中到相應(yīng)的大區(qū)中心里，各個大區(qū)中心可以通過網(wǎng)絡(luò)資源 形成環(huán)形結(jié)構(gòu)，數(shù)據(jù)集中到幾個大區(qū)中心服務(wù)器上；各個一級分公司通過 網(wǎng)絡(luò)訪問相應(yīng)的數(shù)據(jù)，省內(nèi)的分公司通過省公司的網(wǎng)絡(luò)訪問相應(yīng)的數(shù)據(jù)。 這樣既提供了數(shù)據(jù)的集中和備份，有滿足網(wǎng)絡(luò)的可靠性要求。整個網(wǎng)絡(luò)形 成由大區(qū)中心構(gòu)成的網(wǎng)絡(luò)骨干層、各個省公司（以及一些特定的地市分公 司）構(gòu)成的接入層，以及由其他地市分公司構(gòu)成的基礎(chǔ)層三層結(jié)構(gòu)；下面 是網(wǎng)絡(luò)的拓樸圖。 圖4

15、-2 :廣域網(wǎng)長期規(guī)劃網(wǎng)絡(luò)拓?fù)鋱D 核心路由器 邊界路由器 nxE1 nxE1 省公司 E1/FR/ISDN 地市公司 地市公司 | E1/FR/ISDN nxE1 大區(qū) IP網(wǎng)絡(luò)骨干 （DDN/SDH/ATM ） 大區(qū) nxE1 省公司 nxE1 接入層 基礎(chǔ)層 13.支持多業(yè)務(wù)網(wǎng)絡(luò) 網(wǎng)絡(luò)設(shè)計采用層次結(jié)構(gòu)，支持?jǐn)?shù)據(jù)、語音、視頻三網(wǎng)合一，同時支持客戶 服務(wù)中心及0A的應(yīng)用。 為了對語音和視頻的支持，整個網(wǎng)絡(luò)要提供良好的服務(wù)質(zhì)量保證（QOS 和優(yōu)先級控制，這些措施不僅可以保證整個網(wǎng)絡(luò)關(guān)鍵任務(wù)的運(yùn)行，同時可以根 據(jù)策略對不同的應(yīng)用和業(yè)務(wù)提供不同的優(yōu)先級和服務(wù)質(zhì)量保證。 14.網(wǎng)絡(luò)資源以及網(wǎng)絡(luò)骨干技術(shù)

16、的選擇 14.1網(wǎng)絡(luò)骨干技術(shù)介紹 選擇合理的網(wǎng)絡(luò)主干技術(shù)對于一個核心網(wǎng)絡(luò)來說十分重要，它關(guān)系到 網(wǎng)絡(luò)的服務(wù)品質(zhì)和可持續(xù)發(fā)展的特性。網(wǎng)絡(luò)主干包括主干網(wǎng)設(shè)備之間及其 與匯聚點(diǎn)核心設(shè)備之間的連接，寬帶IP網(wǎng)絡(luò)的主干必須選用相應(yīng)的寬帶主 干技術(shù)。目前，可供選擇的寬帶技術(shù)包括以下幾種： 傳統(tǒng)電信資源。包括 DS0(64Kbps), nX64Kbps PCM G.703/G.704 (2MbpS、DS3 幀中繼(FR)、X.25 等。 異步轉(zhuǎn)移模式(ATM技術(shù))。采用信元傳輸和交換技術(shù)，減少處理時 延，保障服務(wù)質(zhì)量，使其端口可以支持從 E1(2Mbps)到STM-1(155Mbps) STM-4 (622

17、Mbps)、STM-16(2.5Gbps)、STM-64(10Gbps)的傳輸速率。 SDH技術(shù)(或POS技術(shù))。采用高速光纖傳輸，以點(diǎn)對點(diǎn)方式提供從 STM侄U STM64S至更高的傳輸速率。其中IP over SDH技術(shù)也簡稱為POS 技術(shù)，也就是將IP包直接封裝到SDH幀中，提高了傳輸?shù)男省?傳統(tǒng)電信資源、ATM技術(shù)、POS技術(shù)、DPT技術(shù)都各有優(yōu)點(diǎn)和缺點(diǎn)。 傳統(tǒng)電信資源一般用于較低的速率，例如 64Kbps ( DS0， nX64Kbps 2Mbps PC( G.703/G.704 )，45Mbps ( DS3，幀中繼 FR X.25等。其優(yōu)點(diǎn)是資源豐富、費(fèi)用比較低廉等，但速率較低，

18、而且由于是 基于TDM技術(shù)，網(wǎng)絡(luò)資源利用率較低。對于公司而言，可以考慮用于接入 層及基礎(chǔ)層。對于網(wǎng)絡(luò)骨干層，可以考慮綁定多條低速線路形成高速網(wǎng)絡(luò) 骨干。 ATM技術(shù)的最大問題是協(xié)議過于復(fù)雜和太多的信頭開銷，但對于目前 國內(nèi)的用戶來說，ATM是電信公司能提供的少數(shù)的高速網(wǎng)絡(luò)資源之一，對 于中國公司而言，可以考慮利用 ATM技術(shù)建立網(wǎng)絡(luò)骨干。 SONET/SD是 一種在當(dāng)前電信網(wǎng)絡(luò)中普遍采用的一種傳輸技術(shù)，它可 以支持高達(dá) OC-48c/STM-16c OC-192/STM-64C的速率，具有性能監(jiān)視、 APS(Automatic protection switch in g)網(wǎng)絡(luò)自愈的功能。目前

19、，國內(nèi)的一 些運(yùn)營商也提供SDH線路，譬如網(wǎng)通公司、連通公司、有線電視公司等。 對于中國公司而言，可以考慮利用 SONET/SD技術(shù)建立網(wǎng)絡(luò)骨干。為了更 好的支持高速的數(shù)據(jù)傳輸，Cisco公司通過Packet Over SONET的技術(shù)， 支持在SONET/SD上直接傳輸IP包，(避免IP+ATM+SD的方式)，提高了 ip在網(wǎng)絡(luò)上傳輸?shù)男省ｋm然 POS技術(shù)雖然具有很多的優(yōu)點(diǎn)，是一種相當(dāng) 不錯的寬帶主干網(wǎng)技術(shù)，但它的最大缺點(diǎn)是帶寬分配不夠靈活(基于點(diǎn)對點(diǎn) 傳輸，且最低速率為155M),對于中國公司而言，可以考慮利用該連接方 式建立網(wǎng)絡(luò)骨干。 14.2網(wǎng)絡(luò)骨干技術(shù)的選擇 公司租用電信運(yùn)營商的S

20、DH( 155MbpS或一條E1/FR(2Mbps)構(gòu)成一級網(wǎng)絡(luò) 骨干(當(dāng)建設(shè)大區(qū)中心后建議租用 SDH構(gòu)成環(huán)形結(jié)構(gòu)，采用POS技術(shù)建設(shè)公司網(wǎng) 絡(luò)骨干，提供高速、可靠、支持多業(yè)務(wù)的網(wǎng)絡(luò)核心 )。對于接入層與骨干層以及 基礎(chǔ)層與接入層的的連接，可以租用 ATM或傳統(tǒng)電信資源(PCM 2Mbps, DS0 nX64Kbps FR等)。 考慮到數(shù)據(jù)集中后對網(wǎng)絡(luò)可靠性要求的大幅提升，要求在主要網(wǎng)絡(luò)資源外 申請備份資源，一級網(wǎng)和二級網(wǎng)由于數(shù)據(jù)流量大，承載的業(yè)務(wù)影響面大，應(yīng)該 申請ATM/DDN/F作為目前SDH的備份線路，兩條線路可以進(jìn)行負(fù)載均衡、互為 備份，為了進(jìn)一步提高網(wǎng)絡(luò)的可靠性，可以考慮把撥號備

21、份技術(shù)作為第三線 路；三級網(wǎng)由于數(shù)據(jù)量較小，建議考慮采用撥號備份(PSTN/ISDN等)作為主 線路的備份線路，只有當(dāng)主線路發(fā)生故障時或者主線路負(fù)載超過設(shè)定范圍是， 撥號備份線路才啟用，即保證了網(wǎng)絡(luò)的可靠性，又節(jié)省一定的費(fèi)用。 對于網(wǎng)絡(luò)帶寬，任何兩個節(jié)點(diǎn)之間的帶寬都需要滿足整個公司關(guān)鍵和重要 業(yè)務(wù)的運(yùn)行，同時提供對附加業(yè)務(wù)的支持。關(guān)鍵業(yè)務(wù)包括保險業(yè)務(wù)處理、數(shù)據(jù) 備份和同步、語音、客戶服務(wù)等，附加業(yè)務(wù)可以包括視頻、電子學(xué)習(xí)等，這些 業(yè)務(wù)的劃分要根據(jù)公司統(tǒng)一的策略來決定。 隨著災(zāi)備中心的建設(shè)，各個一級分公司的廣域網(wǎng)資源要有和公司災(zāi)備中心 的連接。 14.3總體結(jié)構(gòu) DDN/FR j ISDNASI

22、N DDN/FR ISDN/PSIM / 廣域網(wǎng)目前擬采用三層結(jié)構(gòu)，由總公司、省公司、地市公司及地市內(nèi)分公 司構(gòu)成樹型結(jié)構(gòu)，如下圖所示。 !防燦 I路懈 I I換L 圖4-3 :廣域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D 地市如I 14.4 一級網(wǎng) 14.4. 1物理結(jié)構(gòu) 一級網(wǎng)指從總公司到各個省公司和直接管理的地市公司(以后統(tǒng)稱一級節(jié) 點(diǎn))之間的網(wǎng)絡(luò)，是整個網(wǎng)絡(luò)的骨干，承載的數(shù)據(jù)量也最大，因此對性能和可 靠性要求也最高。要求采用兩條物理線路進(jìn)行連接，并在可能的情況下提供第 三條撥號線路備份，兩條骨干線路可以根據(jù)負(fù)載均衡和互為備份，也可以根據(jù) 策略進(jìn)行業(yè)務(wù)分擔(dān)，第三條撥號備份線路提供備份線路，當(dāng)兩條骨干線路同時 發(fā)生故

23、障時啟用。對于兩條骨干線路，可以考慮租用不同的運(yùn)營商的線路，以 保證更高的可靠性。 一級節(jié)點(diǎn)應(yīng)根據(jù)業(yè)務(wù)情況或某種策略進(jìn)行分類，可以分成大型、中型、小 型三類，三類公司的數(shù)據(jù)流量有所區(qū)別；三類公司租用的網(wǎng)絡(luò)線路的情況應(yīng)有 所不同，所配備的網(wǎng)絡(luò)設(shè)備也應(yīng)有所區(qū)別，包括路由器和交換機(jī)都有所區(qū)別。 下面是一級網(wǎng)結(jié)構(gòu)圖?？傐趟?高端路由器 撥號備份 路由器 甲 A運(yùn)營商 ISDN/PSTN 高端路由器份端撥號| 高端路由器份端撥號 大型省 B運(yùn)營商 SDH/DDN/FR/ATM 型省公司 中高端路曲器份端撥號 15.服務(wù)器群(Server Farm)局域網(wǎng) 服務(wù)器群網(wǎng)絡(luò)提供整個數(shù)據(jù)中心的服務(wù)器連接，包括保

24、險業(yè)務(wù)服務(wù)器、財 務(wù)服務(wù)器、網(wǎng)上業(yè)務(wù)數(shù)據(jù)庫服務(wù)器、0A服務(wù)器、安全審計服務(wù)器等各種公司服 務(wù)器；該區(qū)域是整個公司數(shù)據(jù)核心，保證其安全可靠的運(yùn)行是整個數(shù)據(jù)中心設(shè) 計的核心任務(wù)。服務(wù)器群的局域網(wǎng)主要作用是保證業(yè)務(wù)數(shù)據(jù)可靠、高速的進(jìn)出 數(shù)據(jù)中心的業(yè)務(wù)主機(jī)，因此需要采用兩種常用技術(shù)：訪問控制、負(fù)載均衡。 在該區(qū)域配備兩臺高速內(nèi)容交換機(jī)，要求支持VLAN VLAN訪問控制、第三 層功能、智能負(fù)載均衡等，通過把不同的服務(wù)器組劃分到不同的VLAN里面，通 過VLAN訪問控制提供可調(diào)節(jié)的可控制的服務(wù)器相互訪問；另外，由于隨著業(yè)務(wù) 的增加服務(wù)器的不斷增加，對服務(wù)器的智能負(fù)載均衡，支持從第三層到第七層的負(fù)載均衡，

25、可以采用不同的策略對訪問進(jìn)行動態(tài)分配，從而保證最快的響應(yīng) 時間。 在該區(qū)域還需要配備安全監(jiān)控設(shè)備，動態(tài)實(shí)時監(jiān)控特定的端口，也可以實(shí) 時的監(jiān)控某一 VLAN等，通過定義特定的策略來監(jiān)控整個服務(wù)器的安全情況；對 于負(fù)載均衡，可以定義多個虛擬的IP地址（VIP）來制定多個服務(wù)器組，并通 過自動負(fù)載均衡在一組服務(wù)器里面分配負(fù)載，提供給其他網(wǎng)絡(luò)的訪問地址是各 個 VIP。 下面是邏輯拓?fù)鋱D： 邏輯連接圖 服務(wù)器區(qū) 物理連接圖 VLAN-A 服務(wù)器 . CSM-, IDS 安全保護(hù)區(qū) 服務(wù)接入?yún)^(qū) 服務(wù)接入?yún)^(qū) CSM-C 保險業(yè)務(wù) 數(shù)據(jù)庫主機(jī) Catalyst 6006 Catalyst 6006 ;服務(wù)器

26、區(qū) 企業(yè)網(wǎng) 主機(jī) 防火墻 PIX 535 防火墻 PIX 535 防火墻 PIX 535 防火墻 PIX 535 VLAN-C .企業(yè)網(wǎng) 主機(jī) -撥號認(rèn)證 服務(wù)器 / VLAN-B / 保險業(yè)務(wù) 數(shù)據(jù)庫主機(jī) f F 安全保護(hù)區(qū) Catalyst 6506 IDS Catalyst : 6506 撥號認(rèn)證 服務(wù)器 / Catalyst 6506 Catalyst 6506 15.1網(wǎng)絡(luò)帶寬及網(wǎng)絡(luò)資源 一級節(jié)點(diǎn)和總公司之間采用 SDH作為主要連接，每個一級節(jié)點(diǎn)到總公司的 帶寬為2Mbps則可以滿足目前的應(yīng)用要求。同時采用ATM作為備份連接，總 公司到各個一級節(jié)點(diǎn)開一條2Mbps的永久虛電路。 15

27、.2網(wǎng)絡(luò)設(shè)備 三類二級節(jié)點(diǎn)配備的路由器是不同的，主要是配備的數(shù)量以及模塊不同。 一類二級節(jié)點(diǎn)配備兩臺中端路由器，分別連接兩條骨干線路，同時其中一 臺通過撥號備份線路與相應(yīng)的一級節(jié)點(diǎn)連接；兩臺路由器分別配備一些向下連 接的模塊，與下屬的三級節(jié)點(diǎn)連接，其中一臺同時為下屬三級節(jié)點(diǎn)提供撥號備 份連接。 二類二級節(jié)點(diǎn)配備兩臺中端路由器，但與一級節(jié)點(diǎn)有一條骨干線路和一條 撥號備份線路連接；兩臺路由器可以分工協(xié)作，也可以一臺是另一臺的冷備 份；在前一種情況下，一臺路由器向上連接，另一臺路由器向下連接，或者把所有的連接分擔(dān)到兩臺路由器上，在后一種情況下，其中一臺負(fù)責(zé)所有（包括 向上和向下）的連接，另一臺完全作

28、為冷備份使用。 三類節(jié)點(diǎn)配備一臺中端路由器，申請一條骨干線路和一條撥號備份線路。 該路由器負(fù)責(zé)整個節(jié)點(diǎn)的上連和下連的任務(wù)；可以配備相應(yīng)的同步模塊和異步 模塊。 以上三類節(jié)點(diǎn)中，一類和二類節(jié)點(diǎn)由于配備了兩臺路由器，保證了設(shè)備的 備份，提高了網(wǎng)絡(luò)的可靠性，對第三類二級節(jié)點(diǎn)，由于只配備一臺路由器，存 在單故障點(diǎn)的問題，可以考慮在相對應(yīng)的一級節(jié)點(diǎn)配備N+M備份設(shè)備，即在相 應(yīng)的省公司配備 M個路由器作為全省的備份，在具體實(shí)施時，可以把各個二級 節(jié)點(diǎn)的配置拷貝到省公司，需要的時候在省公司先配置好相應(yīng)的路由器。 15.2.1路由器基本配置要求如下： 兩個 RJ-45 100Mbps 端口 雙電源配置（可選

29、） 支持 PSTN/ISDN端口 15.2.2支持標(biāo)準(zhǔn)協(xié)議如下： 網(wǎng)絡(luò)協(xié)議（TCP/IP等） 廣域網(wǎng)協(xié)議（PPP FR。ATM SDLC等） 支持標(biāo)準(zhǔn)的動態(tài)路由協(xié)議（BGP OSPF Multicast 支持基于策略的路由 QoS管理機(jī)制 三、數(shù)據(jù)中心設(shè)計 !罰i 野7 i 斗i 網(wǎng)絡(luò)管理中心 L1 服務(wù)器區(qū) 保險業(yè)務(wù) 撥號認(rèn)證數(shù)據(jù)庫主機(jī) 服務(wù)器 企業(yè)網(wǎng) 主機(jī) 樓內(nèi)其它 樓層用戶 樓層交換機(jī) 交換機(jī) 網(wǎng)上業(yè)務(wù) 客戶 盤 防火: 防火墻 網(wǎng)上業(yè)務(wù)區(qū) 防火墻 F面是總公司數(shù)據(jù)中心網(wǎng)絡(luò)物理拓?fù)鋱D: 客戶服務(wù)中心 交換機(jī) 交換機(jī) - 網(wǎng)上業(yè)務(wù) 服務(wù)器 :護(hù)區(qū) 網(wǎng)上業(yè)務(wù)交換機(jī) 圖5-2 :公司數(shù)據(jù)中心物

30、理示意圖 1. 服務(wù)接入局域網(wǎng) 服務(wù)接入局域網(wǎng)主要提供服務(wù)器群局域網(wǎng)與總公司其他網(wǎng)絡(luò)的可靠連接， 是整個數(shù)據(jù)中心的核心設(shè)備，要求提供最大的性能、安全性、可靠性和擴(kuò)展性 能。配置兩臺高端局域網(wǎng)交換機(jī)，配上相關(guān)的千兆網(wǎng)或10/100M局域網(wǎng)模塊連 接廣域骨干網(wǎng)、語音系統(tǒng)、視頻系統(tǒng)、網(wǎng)絡(luò)管理中心、外聯(lián)系統(tǒng)、樓內(nèi)用戶、 客戶服務(wù)中心系統(tǒng)；并且通過千兆以太網(wǎng)透過防火墻與服務(wù)器群(Server Farm)局域網(wǎng)相連。 整個服務(wù)接入?yún)^(qū)域提供對所有其他區(qū)域的連接，下面是系統(tǒng)邏輯圖： 邏輯連接圖 網(wǎng)上業(yè)務(wù)區(qū) VLAN-A 上業(yè)務(wù)交換機(jī) IDS 11 語音系統(tǒng) 機(jī)房用戶 Catalyst IP WAN * 網(wǎng)上業(yè)

31、務(wù) 服務(wù)器 樓內(nèi)其它 樓層用戶 Catalys， 6506 安全保護(hù)區(qū) 防火墻 PIX 535 網(wǎng)絡(luò)管理中心 VLAN-C ：企業(yè)網(wǎng) 主機(jī) 客戶服務(wù)中心-Cjf 防火墻 PIX 535 VLAN-B 保險業(yè)務(wù) 撥號認(rèn)T數(shù)據(jù)庫主機(jī) 服務(wù)器區(qū) 服務(wù)接入?yún)^(qū) 1.1服務(wù)接入交換機(jī)基本配置要求如下: 雙處理器 雙電源配置 支持熱插拔 不少于48個的10/100Mbps以太網(wǎng)端口 提供千兆連接 第三層交換的能力 1.2 支持標(biāo)準(zhǔn)協(xié)議如下： VLAN Trunking 協(xié)議 802.1q SpanningTree 協(xié)議 冗余備份協(xié)議 具有QoS管理功能。 2. 安全保護(hù)區(qū) 為保護(hù)整個公司的服務(wù)器資源，在服務(wù)接入?yún)^(qū)和服務(wù)器群之間安置了安全 保護(hù)區(qū)，該區(qū)提供服務(wù)器與其他部分的安全隔離作用；在該區(qū)配備高性能防火 墻來隔離服務(wù)器與服務(wù)接入?yún)^(qū)。兩臺防火墻為主動 /備份方式工作，當(dāng)主防火墻