XX企业网络分析与设计

一. 需求分析1.1．网络功能需求企业内部办公网络，上面运行的应用包括Internet 连接共享、传真、电子邮件、企业办公消息管理等。企业内部办公网络的核心问题是在保证日常办公效率的基础上，如何进一步

一. 需求分析

1.1．网络功能需求

企业内部办公网络，上面运行的应用包括Internet 连接共享、传真、电子邮件、企业办公消息管理等。企业内部办公网络的核心问题是在保证日常办公效率的基础上，如何进一步的提高安全性和可监控性。企业内部办公网络应该考虑的功能需求如下：

1.1.1. 网络安全保护

包括企业级防火墙和企业级的反病毒软件，防范病毒和黑客的攻击。

1.1.2 .网络管理监控

提高整个网络系统的可管理性，明确每个部门或人员的职责和权限，控制公司业务的关键环节。

1.1.3 网络服务器

需要有专用的服务器，作为反病毒软件和网络管理监控软件或其他应用的主控服务器。

1.1.4 Email办公

公司业务Email 文件可以在相关的部门和人员之间快速流转。收发Email 时，文件必须经过主管部门的监控和转发，普通人员将在受监控的状态下面和公司客户通信。

1.1.5 Fax办公

收发Fax 时，图片可以通过网络办公系统自由分发，而无需打印和手工传递。同时，Fax 内容和传递过程需要记录日志，以备追溯。

1.1.6 Internet连接共享

使用Internet 连接共享时，需要控制不同权限的员工使用Internet 的方式和范围。限制普通员工利用公司网络进行业务无关的活动。

1.2. 网络性能需求

● 能够快速的浏览访问各企业网站、论坛，并且快速高效的下载或上传软

件、视频、音频、图形等文件。

● 在网中能够稳定、有效的运行应用E-mail 邮件系统、FTP 服务、等子系

统或服务

● 能够流畅的登陆、访问、浏览外网（Internet ）站点的内容，并能够很

好下载所需软件与文件。

● 能够稳定的进行外网的视频、音频等网上教学或外网的视频、音频点播。 1

1.3. 网络要求

随着Internet 的日益普及，内部网用户访问Internet 的需求在不断增加，一些企业也需要 对外提供诸如WWW 页面浏览、FTP 文件传输、DNS 域名解析等服务，这些因素会导致网络 流量的急剧增加，而路由器、防火墙作为内、外网之间的唯一数据通道，如果吞吐量太小， 就会成为网络瓶颈，给整个网络的传输效率带来负面影响。因此，考察路由器、防火墙的吞 吐能力有助于我们更好地评价其性能表现。这也是测量路由器、防火墙性能的重要指标。

吞吐量的大小主要由路由器、防火墙内网卡，及程序算法的效率决定，尤其是程序算法， 会使路由器、防火墙系统进行大量运算，通信性能大打折扣。因此，大多数号称100Mbps 的 路由器、防火墙，由于其算法依靠软件实现，通信量远远没有达到100Mbps 实际可能只有 1 OMbpsN20Mbps o纯硬件路由器、防火墙，由于采用硬件进行运算，因此吞吐量可以达到线 性90MbpsN95Mbps, 可以算是真正的100Mbps 的路由器和防火墙了。对于中小型企业来讲， 选择吞吐量为百兆级的路由器、防火墙即可满足需要，而对于电信、金融、保险等行业公司 和大企业就需要采用吞吐量千兆级的路由器、防火墙产品。

2

1.4. 需求调查

安可信息

可靠性/可全扩点数

网络需求

用性 性 展

性

白天工作状下高 良15 态良好, 网载>400KB/s好 络正常运行 上

传>100KB/s

地址 财务部

主要应用 OA 办公、Internet 服务和关于资产的购置(投资) ，资本的融通(筹资) 和经营中现金流量(营运资金) ，以及利润分配的管理等。 和总公司的联系，资源共享。OA 办公，通过网络了解产品在市场上的反应，Internet 服务等。 和总部的联系，OA 办公。能及时在服务器上下载新的资料，Internet 服务等。 和总部的联系，OA 办公，能及时在服务器上下载新的资料，Internet 服务等。 资源共享、下载并发布通知、Internet 服务等。

能访问资源共享、OA 办公、Internet 服务等。

白天工作状态良好, 网

分公司 络正常运行 VPN 客户白天工作状终端 态良好, 网

络正常运行 办事处

白天工作状态良好, 网络正常运行

服务器和全日制不停DMZ 区 机工作

下

载>500KB/s上

传>200KB/S 下

载>300KB/s上

传>100KB/s 下

载>400KB/s上

传>100KB/s 下载>2MB/s上

传>300KB/s

中

等 好 150 一好 般 20

一好 100 般

中好 20 等

各级部门 白天工作状下一好 450

态良好, 网载>500KB/s般 络正常运行 上

传>100KB/s

3

二. 实施设计

网络平台在整公司网络系统中占有举足轻重的地位，它是整个网络的基础。在网络平台上，数据传输、信息发布、资源共享、公司以后的BBS 、办公自动化系统、VOD 系统、远程登陆系统、INTERNET 接口、以及与其他公司的数据交换都将运行在这个网络上。因此，主干网的好坏直接影响到以后网络系统的运行效率，速度快慢, 网络性能等参数。因此，建立一条高速的、多能的、可靠的、易扩展的主干网络，解决目前存在的带宽问题，和适应未来发展的需要是企业网建设中一个重要的问题。

2.1．建设目标

企业网建设的总体目标是利用各种先进、成熟的网络技术和通信技术，采用统一的网络协议（TCP/IP），建设一个可实现各种综合网络应用的高速计算机网络系统，公司内各部门通过网络连接起来。在局域网上，为各信息点提供可靠的、高速的和可管理的网络环境，为用户提供广泛的数据资源共享、丰富便捷的网络应用（如：实时多媒体视频/音频、校园综合信息管理、查询、网络远程教学、网络会议等），提供各种网络服务（电子邮件、文件共享、WWW 信息查询等），为各用户提供多种形式的访问，实现网络的扩展，扩大联网的范围和规模。 网络不仅要实现网络上的一般功能：如E-MAIL 、FTP 、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与查询，还需要实现包括视频点播（VOD ）、电话会议、网络电话（IP 电话）等功能，是一个高速多媒体互联网络，并最终实现整个企业系统的资源共享。

然而网络化地观念在推进的过程中，首先面临来自网络带宽瓶颈的挑战。单一的传输模式无法适应网络化的应用，所以如何提供令人满意的网络应用服务质量，这是目前解决网络化瓶颈中最为关键的一环。当今网络化发展已不能够简单地以限制人们上网的方式以避免带宽稀缺导致的网络拥塞。为了尽可能地利用好对满足多种网络应用需求最为关键的稀缺带宽资源，避免可能出现地网络性能问题，我们在网络化的建设过程中的每一个细节都作了努力把网络的性能优化到极限，使qos 等策略不再神秘莫测充分应用到解决相识问题当中。如此一来凡对网络流量实施策略管理地方就再也没有那些无法容忍的迟延现象出现。这不仅减少了大量管理成本，还为客户节省了大量时间，同时提高了用户满意度。

通过网络系统资源的整合，传统的模式将改变，实现多层次、交互式，从而提高质量，扩大规模

2.2．建设原则

网络系统的设计必须遵循一定的规则，我们在进行网络建设时，将坚持如下原则：

2.2.1. 标准化

当今计算机网络技术发展的一个重要特点就是标准化。只有遵循国际标准，才能 4

确保整个系统的开放性和长久的生命力。

2.2.2. 可靠性

为了确保计算机系统能够正常地运行，我们在进行设计时，将充分地考虑提高整个系统的高可靠性，为此我们将采取核心设备或模块备份、通信线路备份等一系列措施。

2.2.3. 先进性

先进性能确保整个系统有一个较长的生命周期，这是对整个投资的最大也是最有效的保护。网络的先进性还表现在用户能够对其进行较为平滑的升级，平滑的升级就意味着并不会造成前期投资的废弃。

为了确保技术的先进性，我们将从如下几个方面入手：首先，选用厂家新推出来的设备以及那些推出时间较长并且获得了良好的市场声誉的有生命力的产品；其次，采用新的技术。

2.2.4. 可扩展性

可扩展性也即可伸缩性，即网络应能自如地适应规模的变化。良好的可扩展性表现之一就是当用户的规模增大时，无需增加新的设备，只需要增加相应的设备模块即可，这即能有效地降低用户的投资，又可以降低整体的复杂性。

2.2.5. 保护已有的投资

网络系统的建设要尽可能地保护用户在主机、网络设备以及通信线路等方面的投资，避免造成不必要的浪费。

2.3. 实现功能

要求完全建成以后能实现除现在网络上的一般功能：如E-mail 、FTP 、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与查询外，还应包括视频点播（VOD ）、电视会议、网络电话（IP 电话）等功能，是一个高速多媒体互联网，实现整个校园系统的资源共享。

2.4．主要技术问题

2.4.1组建千兆位量级网络主干

从不拥堵的10Mbps 共享型工作组LAN 过渡到今天的高性能网络主干，随着网络演变到今天的任意点对点连接模型，边界应用的需要迫使网络厂家连续开发了几代更高性能的LAN 技术。

第2层交换机开始提供基于硬件的数据包处理能力。第3层交换能力使它们可以取代LAN 路由器的其它功能以加快主干的传输速度。今天，网络管理人员已把第3层交换看作是扩大主干核心性能的实际要求。

第三层交换。第3层交换机保留了第3层拓扑结构和服务的优点又没有传统LAN 路由器那种基于软件进行数据包处理的缺点。第3层拓扑结构在网络分段、安全性、可管理性和抑制广播等方面有诸多有益的优势。此外，它鉴别各种应用层协议的能力有助于实行基于策略的网络控制。所以，下一代交换机必须支持基于硬件的数据包处理，以利于传输各种主要的可路由协议：IP 、IPX 和AppleTalk 。 今后的趋势依然是台式机的能力越来越强。对多媒体和实时应用须提供确定 5

性的服务。用户群日益扩大，以及全企业范围的信息流模型。因此，对主干带宽的要求肯定将以更快的速度增长。

与大多数网络产器一样，核心交换机的设计也要在性能、复杂性和成本之间权衡折衷。基于总线的交换机(又称为共享型总线或并行总线交换机) 采用由一种介质组成的单块背板，模块之间的所有信息流都必须经过这条总线进行传输。数据是利用时分制多工传输(TDM)方式在总线上传输，每个模块重复分得一个时段供连续传输。这种分配方案提供了可预计的性能。 下一代交换机不仅必须提供千兆位数量级的容量和性能，还必须为明天企业网络的形成解决其它的关键的方向性问题。

基于总线的交换机的主要设计限制是TDM 必须采用的工作频率。在标准的19英寸背板上，频率极难超过50MHZ 。由于这个限制，基于总线的交换机的背板实际最高容量平均为 2Gbps 。此外，这种设计还存在许多方面的问题，包括接口卡带电更换能力，公平获得带宽、有效支持在并行背板上进行广播和多址联播，这些问题进一步增加了这种设计的固有复杂性。

2.4.2信息安全问题

用户信息安全问题一直是IP 网络中的讨论热点。事实上，在网络建设初期，用户对安全性可能要求不高，但是，随着用户数的不断上升和提供点服务种类不断增多，用户将会越来越多地考虑到信息的安全性。

用户信息的不安全性主要是由用户处于以太网环境中引起的，因此要保证用户信息的安全性，就必须实现以太网环境下的用户隔离，目前主要采用的技术为VLAN 技术，VLAN 技术是由IEEE802.3q 和IEEE802.1q 定义的，其基本思想是：对每一层上的设备，下行端口分别处于一个VLAN 中，上行端口分别与每个端口处于一个VLAN 中，传输的以太网帧为传统的以太网帧，不含VLAN ID，一方面可以使网络支持的用户数不受VLAN 个数的限制，另一方面静态分配IP 地址时只需要给用户分配一个IP 地址。

6

三. 网络设计

3.1网络主干的构建

7

3.2 千兆以太网技术

以太网从100Mbps 升级到1Gbps ，融合了两种技术，即IFFF802.3以太网和ANSIX3T11光纤通道。

3.3协议架构

千兆以太网是在利用了光纤通道的高速物理接口同时，又保留了IEEE 802.3以太网帧格式，具备对已安装介质的向后兼容性，并利用了全/半双工载波侦听（CSMA/CD）传输机制。

3.4传输介质与物理接口

目前千兆以太网的传输介质包括两种标准：IEEE 802.3Z和IEEE 802.3AB。IEEE 802.3Z ：1000BASELX(单模或多模) 、1000BASTSX （多模）、 1000BASE CX （屏蔽铜缆）；IEEE 802.3AB 1000BASET（非屏蔽两绞线）。千兆以太网接口载体是由千兆接口转换器（GBIC ）实现的。其中包括短波（SX ），长波（LX ），LH 和铜缆(CX)物理接口。

3.5 服务质量（QOS ）与服务类型（COS ）

千兆以太网 除了提供高带宽以外，也支持以太网的服务类型和服务质量保证相关协议，如IEEE 802.1P，IEEE 802.1Q，IEEE 802.3X，IEEE ，802.3AB 和资源预留协议（RSVP ）等关键协议。

IEEE 802.1P使得以太网能够及时响应独立端站主机对网络发出的某个 QoS （服务质量）请求，该标准界定了组播（Multicast ）分组管理。IEEE 802.1P 还包括了最新定义的通用分配注册协议（GARP ），它专用于GARP 的特定应用，如GARP 组播注册协议（GMRP ），GARP WAN注册协议（GVRP ），GMRP 为组播MAC 地址分组提供了注册服务。从而保证以太网上的多媒体应用需求。

IEEE 802.1Q已建立起了基于标准的VLANs ，该标准以帧标签机制为基础，适合于以太网，快速以太网，令牌环和FDDI ，也为交换机和路由器提供一种使VLAM 标签化的方法。保证了多厂商的VLAN 兼容性，GVRP 已由IEEE 802.1Q 支持，它提供了VLAN 成员的注册服务

IEEE 802.3X 是以太网的一种流控机制。当客户终端向服务器发出请求后，自身系统或网络产生拥塞环境中，它会向服务器发出一种暂停帧，以延缓服务器的数据传输。千兆比设备对该机制的支持，补充了千兆比以太网的控制功能。

8

IEEE802.3AB 的标准支持在5类非屏蔽双绞线上, 传输千兆比以太网 RSVP-资源预留协议, 以太网通过在帧位中标记数据流类型，使网络在传输中识别其优先级别，以保证高优先级的数据流优先占用带宽资源，弥补以太网对延时敏感的应用支持的不足

3.6三层交换机的选择

核心交换机是网络的核心，在选择时应注意几个问题：

● 高性能，高速率。

● 交换最好能达到线速交换，即交换机背板带宽>=所有端口的带宽总

和，定们准确。

● 在够买产品时要注意产品与信息点数的匹配。匹配不合理会浪费资

源或导致网络不能正常工作。

● 另外还应注意高可靠性、网络的控制能力和可管理性，如对通用网

管协议SNMP 、RMON 、RMON2的支持等。

3.7 光纤布线

我们采用结构化布线，光纤从中心设备室直接走线到电信设备室。光纤走线用地下直埋方式。如果空中架线，不但有损企业美观，而且如果空中架线可能会因为新建建筑物的原因要重新迁移，不但影响通信，还费时费力。而且光缆是用光来传输信息，不受电子干扰，也不会干扰其它电信设备，因此走线管道可以和电力设备及电信设共用。节省了人力物力。要注意的是：光纤走线不能过于弯折，不能损伤光纤保护层。

3.8 光纤类型的选择

我们选择了62.5/125um的多模光纤。理由是62.5/125um的光纤。它的传输距离在250m 以内，这对于一个企业来说已经足够了。我们使用了波长为850um 的多模光纤。这种光纤的传输距离在500以内对信号衰减不会很明显。多模光纤与单模光纤相比 多价格便宜得多，当然根据差分模式延迟的原理分析，单模光纤的光源为激光源，是沿纤芯阶跃式传播，由于多模光纤中玻璃介质的缺陷，使得光束在来回折射的过程中造成能量的距大衰减。这个现象将影响以后网络的升级。不过，我们也有对应的解决办法，那就是在多模光纤的接口上使用调节发射适配器。经分析我们选用1000BASESX 波长为850nm 、MMF 、纤芯/包层为62.5/125带宽为160~200MHZ的光纤

9

四．设备的选型

4.1. 交换机（核心）（ Cisco Catalyst 3750）

Cisco Catalyst 3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的思科StackWise 技术，不但实现高达32Gbps 的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。

对于中型组织和企业分支机构而言，Cisco Catalyst 3750系列可以通过提供配置灵活性，支持融合网络模式，已经自动配置智能化网络服务，降低融合应用的部署难度，适应不断变化的业务需求。此外，Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了专门的优化，其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。

Cisco Catalyst 3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10GB 以太网端口。各个10/100、10/100/1000和10Gb 以太网单元可以根据网络的需要任意组合。

4.2. 换机（接入层）（ WS-C2950G-24-EI ）

思科2950－24属于Catalyst 2950系列，是一款可提供24口10BASE-T/100BASE-TX MDI/MDIX 端口（RJ-45）交换机产品，支持ISO 8802-3、IEEE 802.3(以太网) 、IEEE 802.3u(快速以太网) 、IEEE 802.1d(桥接) 、IEEE 802.3x(流控) 等网络标准，数据交换方式为存储和转发，共享8M 内存空间。 IEEE 802.1x,10BaseT 、100BaseTX 、1000BaseT 端口上的IEEE 802.3x 全双工操作,IEEE 802.1D 生成树协议,IEEE 802.1p CoS,IEEE 802.1Q VLAN,IEEE 802.3ab 1000BaseTX 规范 ,IEEE 802.3u 100BaseTx规范,IEEE 802.3 10BaseTx规范.

4.3. 由器（）

路由器网络协议 IEEE 802.3,ISDN; 加密标准AH(MD5),ESP（Null, DES, 3DES, ARC4, proprietary fast encoding ， MD5/HMAC，-MD5）;PPP(PAP，CHAP, LCP,IPCP, MLPPP) 路由器网管功能 Cisco ClickStart,SNMP VPN 功能 支持VPN 防火墙功能 内置

10