边防总队智能化大厦网络系统设计方案.doc

第一章公司介绍3一、莱安电子信息产业集团公司3二、莱安系统集成、销售及技术服务体系4三、广州莱安简介5四、莱安集团与CISCO公司61、合作背景62、合作成果6第二章需求分析9一、智能化大厦现状9二、方案设计原则9第三章局域网选型设计11一、局域网技术介绍11FDDI技术11ATM技术11FastEthernet 快速以太网技术12Gigabit Ethernet 千兆以太网技术13二、局域网技术选型分析14第四章交换网络设计16一、交换技术介绍16EtherSwitch技术16Spanningtree17Fast Etherchannel17二、构建智能化大厦交换平台17三、现阶段智能化大厦建设方案19方案一垂直子系统为双绞线19方案二垂直子系统为多模光纤20四、方案总结21第五章智能化大厦安全策略部署23一、VLAN（虚网）技术和VLAN路由技术23二、VLAN Routing24三、MAC地址过滤25四、拨号访问安全措施26第六章网络管理28一网管系统模型28二网管信息通信规程29三网管中心的功能29四网管的实现31第七章工程实施33一、联合项目组工作方式33二、乙方责任34三、甲方责任34四、工程实施时间表35五、莱安项目人员35六、项目管理相关文档36第八章售后服务与培训37一、培训计划37二、售后服务和技术支持39服务内容39服务方式40第九章产品介绍和配置41一、产品介绍41Catalyst 6000系列:41Catalyst 2900系列:42Cisco 2600系列:42二、产品配置和报价44附录 交换网络拓扑结构图44第一章 公司介绍一、莱安电子信息产业集团公司莱安集团是由莱安电子信息产业集团公司及其全资或控股的多个子公司组成的高技术企业集团，1996年集团经营规模逾14亿圆人民币。莱安电子信息产业集团公司为国有大型电子企业及国务院任命的“国家一级企业”，是莱安集团的投资、融资和管理中心。莱安集团以研究、生产、经营计算机、金融电子化装备及信息服务为主要业务，现于中国及海外拥有28家子公司。莱安集团作为国家金融电子化装备的主要供应厂商及系统集成商，长期从事银行电子化重大工程项目的开发，拥有实力雄厚的金融电子化产品开发制造及系统集成与技术服务体系。莱安集团金融电子化产品开发与生产制造体系由设在中国昆明的金融电子化装备加工中心及从事银行打印设备、银行磁卡读写设备、自动柜员机（ATM）及银行专用机具等产品研制开发的多个专业公司组成。设在中国北京的莱安集团经营总部拥有职能完善的系统集成、产品及市场管理、客户服务管理及财务管理的直属部门，并通过管理设在北京、广州、上海、昆明、西安、武汉的六个实体型子公司，组成莱安集团的系统集成、销售与技术服务体系。多年来，莱安集团成功地研制、生产及技术引进了金融终端系统、开放式（OPEN）系统服务器、银行专用外部设备、银行专用机具等多项产品；与金融系统合作开发成功二十余个全国推广的重大的应用系统（详见附录），多类产品在金融电子化市场占有率居国内企业之首，为中国金融电子化事业做出杰出贡献。莱安集团还是美国SGI网络工作站的中国独立总代理，是SGI产品在中国最重要的系统集成公司之一，已为用户提供了用于Internet、Intranet、多媒体应用、图像图形处理的服务器工作站超过1000台。 二、莱安系统集成、销售及技术服务体系莱安集团经营总部各职能部门及下属六个区域性子公司，组成了一个具有统一意志、管理严密、高效率的莱安金融电子化系统集成、销售与技术服务体系，它拥有约350名软件开发、技术服务、市场销售及管理人才队伍，与中国金融界保有长期、密切和广泛的合作与业务往来。莱安集团经营总部拥有实力雄厚的金融方案与系统集成部（FSI）、金融终端系统支持中心、ATM技术支持中心、网络支持中心、存折打印机支持中心、莱安客户服务技术中心、客户培训中心及财务控制、物资计划、市场管理等直属部门。在经营总部管理和支持下，下属六个实体型子公司分区域对莱安金融用户开展应用系统集成、市场销售及优质技术服务。三、广州莱安简介广州莱安智能系统有限公司是莱安电子信息产业集团公司与香港串润有限公司合资注册于广州天河高新技术产业开发区 的中外合资企业。是由莱安集团控股的中外合资高科技民营企业，作为集团的重要成员，是华南地区最大的金融电子化供应商，拥有可观的经营规模、强大的开发、技术支持力量。公司96年经营规模逾2.4亿元。公司现有员工80人，技术人员全为大学本科以上学历。公司强调将应用集成与网络集成相结合，为用户提供总体的解决方案。在长期工作实践中，公司在系统集成方面结下累累硕果。在开放式系统(OPEN)方面，公司以开放系统服务器为平台开发推广了多项大型金融应用，这些系统的推广，使用户获得了良好的经济效益与社会效益。而广州莱安公司在开放系统的技术实力及服务质量也得到了用户的一致好评。在承接的多项整体网络解决方案中，从网络设计到方案实施，以及技术支持方面，我公司均以其强大的技术实力与良好的服务质量为客户提供高性能、高可用性的集成网络系统。在金融外设领域，广州莱安公司是集团PR系列存折打印机、BP8900磁条读写器的主要销售公司。目前，广州莱安公司已成为华南地区最主要的金融外部设备公司，在金融终端综合业务系统及各种终端仿真系统领域也取得了丰硕成果。广州莱安1996年实现销售收入逾二亿四千万人民币。是华南地区最大的计算机系统集成商。连续三年被广州天河区人民政府评为先进企业，连续三年被广州天河区税务局评为纳税先进单位，一九九三年荣获广州市人民政府颁发的外商投资企业金鸡奖。与庞大的市场规模相适应，广州莱安公司有一支过硬的售后服务队伍，他们及时的响应速度、 高超的排除故障能力和维修技巧，精益求精的服务态度，解除了用户的后顾之忧。作为与金融界长期合作的伙伴，广州莱安以集团为后盾，务求以最优的服务使客户满意，以最强的技术使用户放心。四、莱安集团与CISCO公司莱安集团是美国CISCO公司在中国的总代理及系统集成商，莱安集团全国布局的金融电子化市场销售及工程体系全面支持CISCO公司路由器系列产品的应用。在与美国CISCO公司建立合作关系之后，莱安集团参与了交通银行、中国工商银行、中国建设银行、中国银行、中国农业银行的网络系统建设，为众多客户建立了企业网、校园网、智能大厦和Intranet/Internet网络系统。1、合作背景95年成为CISCO公司中国地区总代理96年成为CISCO公司中国地区金融界最大的代理2、合作成果网络工程是莱安信息产业战略的重要组成部份。在莱安已完成大量的系统集成项目中，网络集成占有重要地位。通过这些项目，莱安锻炼了一批具有丰富实践经验的网络工程技术人员，为进一步在网络领域有所作为打下了良好基础。莱安承担建设并已完成的主要网络项目有： 航天长城大厦计算机网络系统航天长城大厦是一座17层的智能化大厦，大厦计算机网络系统采用ATM高速交换技术、局域网交换技术、VLAN和路由技术，构造了一个高效的可扩展的综合网络系统。整个网络系统分成四个部分：第一部分是ATM网络主干，由CISCO新一代ATM交换机LightStream 1010及高性能路由器 Cisco 7505 组成，提供了155Mbps的高速交换主干；第二部分为网络支干，采用数台Catalyst 3000 交换机提供到桌面的10M或100M的交换端口和VLAN的划分能力；第三部分由Cisco 2501和CISCO的PIX (Private Internet Exchange)组成，提供Internet广域网的接入、Internet与大厦内部网络之间的防火墙以及内部地址与Internet地址之间的翻译的功能；第四部分由一台Cisco 2511访问服务器提供远程节点的PSTN远程拨号访问及安全机制控制。整个网络系统是一个交换到桌面的全交换结构，可实现端口级的VLAN划分。济南供电局管理信息系统济南供电局管理信息系统计算机网络工程是一个综合性的集本地局域网、广域网和管理信息系统于一体的网络工程。网络主干采用Cisco LightStream 1010交换机，采用ATM技术作主干交换，下接Catalyst 3000作LAN交换。主机采用美国HP公司生产的HP 9000/800系列开放式系统小型机，双机互为备份。整个系统包括国际最先进的PDS综合布线系统、电视电话会议、可视图文系统、高速数据专线系统，应用软件包括计划、统计、生产、基建、财务、物资与人事劳资等的先进的管理软件系统。这一套完整的信息服务系统建成后，济南供电局的企业的劳动生产力和经济效益将大幅度提高。中国银行山西省分行办公大楼交换网中国银行山西省分行办公大楼交换网采用快速以太网为交换骨干，结合虚拟网络技术，为用户提供端到端的交换功能。用户可以根据实际需求灵活划分网段。交换网采用Catalyst 5000高性能交换机为核心交换设备，通过快速以太网与各分配线间的Catalyst 3000交换机连接，采用ISL实现跨交换机的虚拟网络划分。为了实现跨虚拟网段之间的相互访问，Catalyst 5000与Cisco 4700M路由器连接，通过路由器实现第三层互连。莱安网络工程成果数量非常多，限于篇幅，下面再略举数例：中国银行济南分行办公大楼交换网工行第二阶段网络建设（山东省、吉林省、重庆市）交通银行全国同城网项目中行辽宁省分行大连地区网络北京商品交易所网络工程中国外汇统一交易市场网络及应用工程中国建设银行城市综合网络系统工程香港中银集团网络替代工程重庆建设集团网络系统 第二章 需求分析一、智能化大厦现状广东边防总队大楼的智能化大厦的布线系统从整个系统的可用性、可靠性、可扩展性考虑出发采用了互相冗余的两套系统。一套以双绞通线为主，提供对整个大楼的各个部分的数据访问。另一套以光纤为主，充分考虑了未来的多媒体宽带的应用。根据目前的投资和计算机应用情况，整个智能化大厦的建设可以分二步走，当前的第一步以主机房、配线间的两层结构模式建设一个100M的快速以太网。在充分满足现有应用的需求，保证网络系统的先进性的同时，为未来的系统的扩充、升级提供基础平台，并且充分保护设备的投资，使主要设备能够在较长的一段时间内适应网络的发展需求。第二步的建设主要适应未来的发展，在原有设备的基础上，平滑过渡以充分保护原有设备的投资，使整个大楼局域网向更高性能的，更高带宽的千兆以太网升级，以增添各种包括多媒体应用在内的新应用，满足整个大楼的信息需求。广东边防大楼楼高20层。大楼已建成建筑物综合布线系统（Premises Distribution System），干线子系统采用互相冗余的两套系统。一套是六芯多模光纤，水平线子系统采用非屏蔽5类双绞线。另一套采用双绞线，垂直系统和水平系统都采用非屏蔽5类双绞线。二、方案设计原则先进性：以先进成熟的网络通信技术及相关产品为手段进行组网，支持数据、语音和视像的多媒体应用。标准化和开放性：网络协议采用符合ISO及其它标准，如IEEE、ITU-T、ANSI等制定的协议。采用遵从国际和国家标准的网络设计，充分考虑与软硬件设备兼容。可靠性和可用性：选用高可靠的产品与技术，充分考虑在系统程序异常时的应变能力和容错能力，确保整个系统的安全与可靠。灵活性和兼容性：选用符合国际发展潮流的国际标准的软件技术，以便系统有移植性强、可靠性强，可扩展性等优点，保证在将来发展中迅速采用最新出现的技术，同时为不同的现存网络及设备提供互联和手段，保证各种现有计算机系统，包括小型机、工作站、服务器和微机等设备的互联入网。实用性和经济性：在系统组网建设中，不仅应考虑到目前各种业务实际要求，还应充分考虑将来业务种类增长的需求。从实用性、经济性出发，着眼于近期目标和长远的发展，选用先进设备，进行最佳性能组合，在有限的投资中构造一个性能最佳的实用性系统。可扩展性和开放能力：网络设计应具有良好的扩展性和升级能力，选用具有良好升级能力和扩展性的设备。具有良好的网络协议，可适合于多种媒体公司技术和多种高层协议的系统。支持多媒体网络技术：交换网络网支持IGMP、RSVP等多媒体网络技术。方案配置的所有交换机都支持IGMP协议，第三层交换机支持RSVP协议。网络设备和方案没有2000年问题第三章 局域网选型设计在当前快速局域网领域中，FDDI、ATM和100M快速以太网、1000M以太网是4种最具有代表性的网络类型。一、局域网技术介绍 FDDI技术FDDI是80年代就推出的一种很成熟的技术，由于采用光纤作为传输媒质，采用多模光纤时其最大传输距离可达2000米，如采用单模光纤可传输更长的距离（典型的为10-12Km），特别适用于作为园区网的主干或用于距离跨度较远的局域网。由于光纤良好的抗干扰性，FDDI也特别适用于处于较大电磁干扰环境中的工厂和研究所等。FDDI基本上采用与令牌环相同的帧格式，即RFC1042 SNAP编码，在网络访问机制中不存在碰撞和冲突，与传统的使用CSMA/CD技术的共享式以太网相比具有较好的性能和传输效率。FDDI的缺点是造价高，而且不利于结构化布线，随着100M交换式以太网的出现，FDDI在一般的局域网设计和智能化大厦等的建设中优势已经不存在。 ATM技术ATM是近几年才发展起来的一种很热门的网络技术，是一种既适用于局域网又适用于广域网的技术。ATM目前提供25Mbps、155Mbps和622Mbps三种速率，将来可达到更高。由于既跨越了整个速率范围，又跨越了局域和广域，因而ATM的统一信元格式和信令协议有利于紧密的网际互连和统一的服务应用。由于ATM交换跨越了园区网和企业网，因此便于作为园区网的骨干，为各分离的LAN交换机提供中心交换。ATM的优势除了具有较高的带宽外，其QoS保证及其基于信元的操作使得同一个多服务网络能够传输语音、视频和数据等所有流量类型，从而降低当今多负担网络的成本和复杂性。这些性能主要在企业网、公共网和广域网中尤为重要，ATM已被公认为是实现B-ISDN的理想方式。ATM的缺点是如果要充分利用ATM的独特性能，必须将ATM直接扩展到工作站，则原有的应用程序和网络软件都需要进行修改，需要开发专门的应用软件。目前ATM在局域网上的应用主要是通过局域网仿真（LANE）技术连接多个LAN交换机，作为各交换机之间的交换主干，而这种连接是以牺牲QoS为代价的，而且LANE过程中数据要重新分组、打包，会增加额外的开销。ATM的另一缺点是造价高。另外，ATM虽然被公认为是广域网将来发展的方向，但在局域网方面，随着1000M以太网的出现，ATM在局域网的应用已不被看好。 FastEthernet 快速以太网技术快速以太网是基于传统的10M以太网技术，采用与10M以太网同样的访问方式和同样的帧结构，所以大量传统的基于以太网环境下开发的应用不需要修改就可运行。快速以太网可以通过全双工（Full Duplex）获得200Mbps的带宽，特别是随着交换机的出现，全交换连接的以太网完全消除了CSMA/CD技术在共享式以太网中存在的碰撞和冲突问题，网络传输效率大大提高，经Cisco公司测试，在交换以太网环境下，快速以太网可利用99%的200Mbps带宽。Cisco的局域网交换机（如核心局域网交换机和Catalyst3000）还具有虚拟连网支持功能，可以通过Cisco独有的ISL（Interswitch Link）技术通过快速以太网实现跨交换机的虚网连接。快速以太网的另一大优点是价格便宜。 Gigabit Ethernet 千兆以太网技术千兆以太网是基于传统的100M以太网技术发展而来，采用与100M以太网同样的访问方式。所以大量传统的基于以太网环境下开发的应用不需要修改就可运行。与FastEthernet相同，全交换连接的以太网完全消除了CSMA/CD技术在共享式以太网中存在的碰撞和冲突问题，特别是随着第三层交换机的出现，网络传输效率大大提高，经IDC测试，在交换以太网环境下，千兆以太网可利用99%千兆的带宽。Cisco的局域网交换机还具有虚拟连网支持功能，可以通过Cisco独有的ISL（Interswitch Link）技术通过快速以太网实现跨交换机的虚网连接。快速以太网的价格便宜、易于管理维护，是非常理想的主干网技术。千兆位以太网是IEEE 802.3以太网标准的扩展，传输速度为每秒1000兆位（即1Gpbs）。最初应用于大型校园网，能把现有的10Mbps以太网和100Mbps快速以太网连接起来。它可取代100Mbps FDDI网，也是ATM技术的强劲对手。千兆位以太网采用同样的CSMA/CD协议，同样的帧格式，是现有以太网最自然的升级途径，使用户对以太网原有设备管理工具的投资得以保护。千兆位以太网是超高速主干网的一种选择方案。在数据、话音、视频等实时业务方面它虽然不能提供真正意义上的服务质量（QoS），但千兆位以太网频宽高，结合交换以太网技术，可以提供极高的性能、吞吐量和服务保证等特性。IEEE802.3Z工作组已确定了以下一组规范，统称为1000Base-X。1000Base-LX：多模光纤传输距离为550米，单模光纤传输距离为3000米。1000Base-SX：62.5微米多模光纤传输距离为300米，50微米多模光纤传输距离为550米。1000Base-CX：用于短距离设备的连接，使用高速率双绞铜缆，最大传输距离为25米。1000Base-T：5类铜缆传输最大距离为100米。千兆位以太网支持交换机之间、交换机与终端之间的全双工连接，支持共享网络的半双工连接方式，使用中继器和CSMA/CD冲突检测机制。千兆位以太网支持联盟（GEA）为千兆位以太网的应用提出以下几种方案：更新快速以太主干网：更换骨干交换机，全面提高原有网络性能。用于交换机到服务器链路：服务器使用千兆位以太网卡，直接与千兆位以太网交换相接，提供每秒百万个包的处理能力。千兆位以太网到桌面台式机。高性能工作站安装千兆位以太网卡，直接与千兆位以太网交换机相连。用于交换机之间的链路。千兆位以太网交换机用光纤相接，提供一条高性能主干线路。更新FDDI主干：保留现有光缆，提高带宽10倍。千兆以太网推广的最大障碍在于：目前需建设网络的企业或部门最迫切的应用是基于数据传输的应用，而对多媒体的应用要求并不高，因此昂贵的价格使许多用户望而却步。 二、局域网技术选型分析通过对以上几种局域网技术的比较可见：这几种技术都具有良好的扩充性和技术上的后向兼容性，能较好地保护用户的投资。ATM支持数据、语音、视频的传输，具有良好的传输质量保证，但目前缺乏丰富的网络应用，且ATM网络投资（如：网卡）较为昂贵。快速以太网完全兼容以前的10BaseT技术，拥有丰富的、成熟的应用支持，采用100M交换以太网技术，可获得良好的性能。千兆以太网技术与100BaseT完全兼容，并且能够提供高达99%千兆的带宽，在带宽利用上有了很大的提高，能够为网络应用的发展提供足够的可利用带宽。综上所述，几种技术各有特点。在系统实现上，考虑到目前的应用和投资以及未来的升级考虑。我们根据实际情况，提出快速以太网实现方案。本方案的100M骨干既可通过光纤传输，又可通过双绞线传输，并且为将来平滑升级到千兆提供了设备的预支持，保护了设备的投资。第四章 交换网络设计网络技术发展日新月异、网络产品层出不穷。整个互连网重要的局域网部分也由传统的共享式以太网升级到速度更快、性能更优的交换式的平台。为提高网络中心的性能，增强可靠性，安全性，对于网络部分、我们建议以太网交换技术、SpanningTree,Fastetherchannel技术作为整个局域网交换的基础。一、交换技术介绍EtherSwitch技术在传统的共享式以太网中，所有站点共享10M带宽,冲突和碰撞始终存在，一旦业务繁忙，网络利用率增大,网上大量的碰撞、等待和重发将造成传输的延迟和网络性能的急剧下降。据统计,当网络利用率为20%时,以太网性能已严重下降；当网络利用率达40%50%时,网络实际带宽下降到只有2Mbps,这对于业务量较大的应用系统来说是无法忍受的。交换技术的使用将共享总线方式变为每对交换端口独占10M带宽,因而支持多个同时并发的会话，网络带宽得到极大的扩展，完全消除了传统共享式以太网上的碰撞和冲突问题。在网络利用率在70%时，其交换速率仍稳定不变。因此，局域网交换技术是取代易阻塞的传统共享式以太网的最佳选择。SpanningtreeSpanningTree是一种算法，采用这种算法的技术消除了网桥的冗余连接，用逻辑的BLOCK使每个节点对外的拓扑都呈树状，避免了因为环路而造成的广播风暴，一旦拓扑发生变化，SpanningTree又重新生成树，保证了网络通讯的可靠。Fast EtherchannelFast Etherchannel技术是一种逻辑通讯管道，它通过Disable 在Etherchannel组中每个端口的SpanningTree算法，绑定组中的所用端口形成一个逻辑的端口，采用同一种队列算法对这个逻辑端口联系的各个物理端口进行控制，从而使两个全双工的快速以太网端口提供400M带宽或四个全双工端口提供800M带宽，大大扩展了主干的带宽，提高了主干的稳定性、冗余性，消除了拥塞和瓶颈，使主干的通讯更加流畅。二、构建智能化大厦交换平台根据以上所介绍的几种局域网交换技术的技术性能特点，结合实际情况，遵循设计原则和目标，我们提出智能化大厦交换网络系统解决方案。为清晰地描述智能化大厦交换网络的理想的完整结构层次，我们将该交换网络分为三个部分，如下图所示：骨干交换和楼层交换图第一部分是整座大楼的交换核心，称为骨干交换，它包括核心交换平台的构建，以及各楼层局部交换接入核心交换平台的方式，其中包括业务双机备份、核心交换机备份、双路由器备份、安全虚网、MAC地址过滤以及移动办公接入等。骨干交换除作为核心的交换平台外，也提供一些公共的网络功能，如访问Internet、提供拨号访问以支持移动办公、外出办公等；第二部分是楼层交换，主要包括楼层交换平台的构建，以及各楼层信息点接入楼层局部交换平台的方式，楼层交换平台数量相对较大，分布应根据具体的信息点分布在楼层间提供恰当数量端口数的交换机。三、现阶段智能化大厦建设方案前一节的交换网络方案较完整的考虑了整个大楼计算机系统的可靠性、冗余性、层次性及为应用提供目前以太网最大的1000M的骨干带宽，为整个多媒体的环境提供完备的支持，并且支持的业务种类较多，除提供整个大楼的快速交换外，还提供大楼到Internet的接入及移动办公等。对于目前的第一步建设主要集中在大楼网络的基础局域网交换。目前大厦的计算机应用的种类相对较少，信息量的分布不均匀，主要的应用集中在15、18楼，考虑到当前的实际情况及投资保护，可以先建设一个百兆的快速以太网支持现有的应用，等到时机成熟再升级到理想的情况。通过前面的对智能化大厦的需求分析，我们目前的方案将建设一个快速以太网。将对信息点集中的单独一个楼层或信息点分散的几个楼层分别建立一个楼层交换平台（二级交换），然后将各个楼层交换平台统一构建在骨干交换平台（一级交换）上。以下将局网分二个方案介绍骨干交换与楼层交换网络。方案一垂直子系统为双绞线广东边防总队大楼的垂直系统前采用五类双绞线作为中心交换机Catalyst6006与各配线间交换机的传输骨干。骨干交换机选取一台Catalyst6006高端交换机作为交换的核心，未来时机成熟可采用冗余备份的双机模式提高整体可靠性。主配线间提供给各个楼层分配线间相互冗余的两根五类双绞线。各配线间视端口数目通过Catalyst2924（可提供24个10/100M以太网端口）或Catalyst2912（可提供12个10/100M以太网端口）上连到中心的Catalyst 6006。智能化大厦需与省厅及其它单位互连。具体实现可通过一台交换机与一台Cisco2610路由器的以太网相连，Cisco2610然后通过电信线路与各个单位的接入路由器互连，实现网间网远程通讯及信息共享。另外Cisco2610还可提供异步电话的拨入，可以提供移动用户对大厦的访问及拨号备份。并且内嵌的IOS操作系统提供PPP的CHAP TACACS+及PPP的回拨等安全机制保证整个系统的安全。快速以太网的方式是一种传统的设计思路。它实现骨干网运行100M，各楼层10M或100 M全交换到桌面。Catalyst 6006、Catalyst 2924和Catalyst 2912交换机都可提供VLAN划分功能。结合具体应用，可根据端口在同一楼层或跨越楼层划分VLAN，同一配线间划分VLAN时，VLAN间的互访由配线间交换机控制，跨越配线间划分VLAN后，VLAN间的互访则需要通过骨干交换机做虚网路由。另外这些交换机还提供第二层的MAC地址过滤功能，通过对固化在网卡ROM中的硬件地址的操作，可以更精细的保证系统资源与单台计算机的隔离。因此，能较好地满足楼层各信息点的安全性需求。这种方式的一个优势在于快速以太网方案的设备较便宜，用户的相对投资较少。具体方案图见方案末尾的附图，产品的具体分布和模块配置如附录。方案二垂直子系统为多模光纤骨干交换机选取一台Catalyst6006高端交换机作为交换的核心，未来时机成熟可采用冗余备份的双机模式提高整体可靠性，各配线间通过Catalyst2924的100BaseFX上连集中到中心，各个配线间的交换机提供给桌面10/100M的双绞线连接的端口。光纤端口的价格比以太网双绞线接口昂贵许多，因此楼层交换产品的选择应考虑综合效益：一台交换机的双绞线的端口与光纤口的数量的比例如果太低，则配线间中继的桌面的端口太少，提供给楼层的服务也相对减少，综合投资效益较差，相反，如果比例较大则投资的昂贵的光纤口的综合效益就大，在整体投资的比例将降低。基于以上原因的考虑，各个楼层统一采用比例结构合理的双光纤口的Catalyst2924交换机，构成各个楼层配线间的交换中心。智能化大厦需与省厅及其它单位互连。具体实现可通过一台交换机与一台Cisco2610路由器的以太网相连，然后Cisco2610路由器通过电信线路与各个单位的接入路由器互连，实现网间网远程通讯及信息共享。拓扑图与上述垂直系统为双绞线的情况相同，只是所有楼层交换机全为带两个光纤口的Catalyst2924。产品的具体分布和模块配置如附录。四、方案总结综上所述，千兆以太网、快速以太网代表了现在局域网的主要技术。快速以太网以5类双绞线或100M光纤作为骨干网，各楼层以10M/100M带宽接入楼层交换机，楼层交换机和骨干交换机之间可以采用FastEtherchannel技术拓宽骨干的带宽，具体原理见上述章节。这种方式的主要优势在于投资较少，而且，这种结构可根据端口在同一楼层或跨越楼层划分VLAN。快速以太网的实现方式有其局限性，其主要缺点是局域网的性能，特别是交换骨干网和楼层交换的带宽受到限制。随着视频、多媒体应用的增加，各种应用对带宽的要求越来越高，可能需要升级到千兆以太网。快速以太网对于信息点多的楼层需要多台交换机堆叠，以提供足够的接入端口，为网络的管理带来不便。千兆以太网采用IEEE802.3Z标准，是一种成熟的产品，也是网络骨干交换的趋势。使用千兆以太网作为网络交换骨干，各楼层选用10/100M自适应交换机，同样的，这种结构也可根据端口在同一楼层或跨越楼层划分VLAN。局域网的性能能够得到很好的保证。高端以太网交换机Catalyst6006支持千兆以太网，未来系统升级到千兆，网络中心交换机无须更换，只须在Catalyst6006交换机配置相应模块即可实现升级，而不必重新投资更新骨干和信息点密集的中心，从而保护了设备的投资。第五章 智能化大厦安全策略部署考虑到数据中心结构集中，信息点密布，功能子单位众多，为了保证各种数据能在一个物理网上可靠、稳定运行；为了避免由于大量数据的拥塞和广播的泛滥，保证敏感单位的授权隔离。中心交换平台应该在局域网的中心交换平台和第二级交换平台上，根据业务类别把不同的系统划分在不同VLAN的方式，将各系统隔离，实现对跨系统访问的授权安全控制，既保证了安全性，也提高了可管理性。一、VLAN（虚网）技术和VLAN路由技术VLAN技术用以实现对整个局域网的集中管理和安全控制。CISCO局域网交换机的一大优势是具备跨交换机的VLAN（虚网）划分和VLAN路由功能。虚网是将一个物理上连接的网络在逻辑上完全分开，这种隔离不仅是数据访问的隔离，也是广播域的隔离，就如同是物理上完全分离的网络一样，是一种安全的防护。在OA、MIS以及Intranet等系统都连到中心局域网后，可通过把不同的系统划分在不同的VLAN的方式，将各系统完全隔离。在OA/MIS系统中还可根据需要将不同的部门划分在不同的VLAN，通过VLAN路由实现对跨部门访问的控制，既保证了安全性，也提高了可管理性。VLAN的划分及控制结构如下图：VLAN划分示意图 跨交换机的VLAN技术ISL(Inter_Switch Link)使得对局域网的规划、管理和控制更加方便、灵活。示意图如下：VLAN1VLAN3VLAN2Catalyst 6006Catalyst 6006二、VLAN Routing每一个VLAN 都具有一个标识，不同的VLAN 标识亦不相同，交换机在数据链路层上可以识别不同的VLAN标识，但不能修改该VLAN标识，只有VLAN标识相同的端口才能形成桥接，数据链路层的连接才能建立，因而不同VLAN的设备在数据链路层上是无法连通的。VLAN Routing技术是在网络层将VLAN标识进行转换，使得不同的VLAN间可以沟通，而此时基于网络层、传输层甚至应用层的安全控制手段都可运用，诸如Access-list（访问列表限制）、FireWall(防火墙)、TACACS+等，VLAN Routing 技术使我们获得了对不同VLAN间数据流动的强有力控制。针对实际网络特点，我们可在Catalyst交换机中配置Route/Switch（路由交换）模块RSM，RSM模块提供对Cisco的IOS多协议路由选择的完全集成，具有很强的路由和交换能力，可提供对各第二级交换平台上的虚网路由，使网络的规划、管理和扩展更加灵活方便。用专门的硬件来实现虚网间互访功能，这样有利于充分发挥Catalyst交换的特长，保证网络的最佳运行状态。三、MAC地址过滤在内部网中还利用Cisco交换机的MAC地址过滤功能对局域网的访问提供链路层的安全控制。MAC地址过滤能进一步实现对局域网的安全控制。CISCO局域网交换机具有MAC地址过滤功能，通过在交换机上对每个端口进行配置，可以禁止或允许特定MAC地址的源站点或目的站点，从而实现各站点之间的访问控制。由于每块网卡有唯一的MAC地址，是固定不变的，只允许特定MAC地址的工作站通过特定的端口进行访问，所以对MAC地址的访问控制实际上就是对指定工作站这一物理设备的访问控制，由于MAC地址的不可改变，与对IP地址的过滤相比，具有更高的安全性。Catalyst 交换机的端口安全特性允许对与交换机端口联接的设备进行更具体的控制。这一功能使交换机可以跟踪发现哪些介质访问控制（MAC）地址与哪些端口相连，如果有通信业务传至端口，而它的源MAC信号不是预计信号，则在端口安全功能启动的条件下。下面三种现象之一会发生：1端口会关闭直至管理员再将其打开。2端口将关闭一段时间3发出警报端口的安全性按端口启动，使部署更具灵活性四、拨号访问安全措施对于移动办公者，或因条件限制只能通过电话网接入Intranet的使用人员，远程拨号访问系统是企业网必不可少的组成部分。拨号访问入网的最大问题在于对用户权限的安全控制，这也是整个企业网安全设计的重要环节和设计的重要任务。如果对远程拨号访问权限控制不严格或不完善，这将成为网络安全的疏漏。访问控制管理是安全技术的重要组成部分，它主要包括对用户访问的认证及权限的管理。访问服务器支持多种多样的用户安全控制协议，提供AAA用户安全控制。在访问控制系统中，采用TACACS+协议，在计算中心建立一个集中的TACACS+用户控制服务器，该服务器可以是UNIX操作系统和NT操作系统。分别进行该管辖地域的访问用户管理和控制。以下的部分详细介绍的TACACS+协议的工作原理：TACACS+：在访问服务器上，把TACACS+服务器指向本地TACACS+服务器上。当用户使用PPP协议对网络进行拨号访问时，访问服务器将通过CHAP协议输入的用户名和口令送到CiscoSecure服务器，由TACACS+协议根据数据库的信息进行认证，并把认证结果传回访问服务器，如认证成功，访问服务器将与远端建立连接，否则中断连接。通过TACACS+的安全认证协议，我们对拨号访问在应用层一级进行了安全控制，保障了网络的安全性。第六章 网络管理一个好的网络，除了采用性能优越的硬件和先进的网络技术外，如果没有很好的规划措施、缺乏有效的管理手段，其网络的逻辑结构可能是无序和混乱的，网络的运行效果也很难得到保证。为此，我们将采用一系列网管产品和网管技术来对智能化大厦网络系统进行节点监控、故障预警、性能调配和资源调度等。一网管系统模型鉴于智能化大厦网络管理的实际情况，网管中心管理的主要内容有：1）、主机业务系统的全面管理（包括节点监控、故障预警、性能调配和资源调度、软件分发、数据备份等）2）、办公自动化系统的一般性管理（普通的监控和一般性的管理操作）3）、商务写字办公间各楼层交换平台端口情况的一般性监控（只要监控到节点/端口是否工作正常即可）只需在中心配置网管工作站，视业务需要分布不同的Agent到不同的被管理节点上即可。这样的网管系统具有高可靠性，高性能以及易于扩展等特性，网络管理系统收集网络信息， 如网络拓扑，状态以及计费统计等并将其显示在图形窗口中。 网管系统模型二网管信息通信规程网络管理系统使用SNMP v1/2 网络管理规程。所有的管理和统计信息都可以通过“带内”和“带外”方式传送。采用“带内”方式时，利用节点间的中继线带宽传送管理信息。这种方式加强了网管对所有节点管理，并可做到实时管理。采用“带外”管理方式时，网管使用专有线路传送管理信息。 这种灵活的方式保证网管在正常情况和异常情况下的正常操作。三网管中心的功能网管系统支持五大网管功能：配置管理、性能管理、计费管理、故障管理以及安全管理。这些管理功能由网管系统和网络设备共同完成。配置管理 1) 网络节点插板、端口和冗余结构的配置； 2) 网络节点访问口令的设置和更改。性能管理1可以实时连续地收集网络运行的相关数据，可用数字和图形的方式显示网络运行的各种情况以及重要程度，需要时可发布指令到各节点，进行 网络控制。2可从