1、1、方案说明1.1、项目说明系统简称:沈阳市旅游局网络应用系统项目设计单位: 1.2、方案内容本方案为系统总体方案。主要内容包括:(1)、项目需求分析(2)、系统总体设计方案(3)、系统平台设计方案(4)、网络设计方案2、项目需求分析2.1、基本原则 建立高效的计算机网络系统,提高工作效率。 建立内部网络综合应用平台,提高综合应用管理水平。 构建ntranet互联,对外进行数据访问并对外部用户提供信息访问。2.2、内部办公网络总体目标运用现代化的管理手段,强化网络安全管理,规范网络运行状态,科学进行网络配置,努力提高综合管理水平,进一步提高核心竞争力。2.3、系统目标 建设高可靠、高效率的网络
2、中心。 各部门工作的管理信息自动传递。 与上级机构进行广域网的连接。 实现远程多媒体信息传递,充分共享资源。 构建基于Internet/Intranet基础的应用系统,实现办公自动化。 建立Internet应用,扩大公司知名度,提高自身的企业形象3、项目总体设计3.1、设计原则以期建立一套先进、完整的适合于沈阳市旅游局的网络平台系统。出于以上考虑,我们在进行网络系统工程设计时,遵循以下设计原则:先进性系统设计采用先进的系统体系结构、软硬件技术和设备,满足应用系统在目前以及将来相当长一段时间对系统的要求,从而达到提高信息化水平、实现先进管理思想的目标,又能够在一定的时间内保持技术领先,保护投资,
3、保证整个系统的高效、正常运行。实用性系统建设的目的是为了实际应用,实用是系统建设的基础,满足系统用户的使用需求是系统建设的最基本目标。可靠性网络设备作为连接系统的主要数据和通讯的桥梁,是系统的基础。网络系统的可靠性不仅表现在网络设备本身应具有极高的可靠性,另外,网络系统的拓扑结构也应考虑冗余和备份,以充分保障系统的可靠运行。安全性系统拥有重要的业务信息和数据,如何保证这些信息的安全与正确,避免给系统带来重大损失,网络的安全性是非常重要的。采用VLAN技术也可从某种程度上隔离不同工作组的信息,在服务器、存储设备、网络的设计上充分考虑冗余和备份,同时通过病毒防火墙技术及相关产品以充分保障数据的安全
4、。开放性应用平台和硬件平台各不相同,因此,遵循开放式标准是实现网络互连的最根本的保证。以保证系统互连简单、容易、统一,可选择的硬件、软件范围广,容易扩充和升级。可扩充性随着网络技术的发展和信息系统应用需求的不断提高,网络系统需要进行不断的扩充。如服务器的增加或用户节点数的增加等,系统必须具有灵活的可扩充性,并保证在系统进行扩充时,不影响其它节点的正常工作。迅捷性为确保骨干网的高速度、低延时,且具有较高的性能价格比,采用第二层快速交换技术及相关产品作为骨干网设备。灵活性对网络资源的需求会经常随着应用的改变而发生变化,因此,系统应具有一定的灵活性,为满足不同需求可作灵活的网络配置和网络资源的再分配
5、。互连性信息系统在内部局域网互联并快速接入Internet,与外部的信息系统无缝联接并提供对外部用户的访问服务。可管理性一个高效的网络管理系统不仅可以成为用户进行网络系统配置和监控的便利手段,更可以有效的利用网络资源,使用户的投资得到最大程度的发挥。经济性北航大连分公司网络系统是一个实际应用的系统,其软件、硬件等设备的选择除了保证满足系统的业务需求外,也要充分考虑到性能/价格比,投资少、见效快、效率高是我们设计方案的准则之一。3.2、设计思路在硬件平台的设计上,根据沈阳旅游局实际情况的具体要求,在网络设计上,遵循“主干千兆、桌面百兆”的设计思路;网络主干采用千兆位以太网,采用第二局基于线速转发
6、的网络技术。以支持纯交换网络的企业级核心交换机为网络中心交换机,支持VLAN的第二层交换机为分中心的网络交换设备,建立使用Internet技术和结构的网络系统的Intranet网络系统,并支持线路冗余保障网络的畅通。在软件的设计上,根据我们对航空业的理解和工程经验,借鉴现存政府企业的一些成功经验,结合单位内部的实际情况和需求,提出合理的系统软件及应用软件的设计方案。4、系统平台设计4.1、概述随着信息化建设的日益深入,无论政府企业在其管理和服务职能中运用现代信息技术,实现组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,建成一个精简、高效、廉洁、公平的运作模式。应用平台是上层软件应
7、用的基础,方案设计和服务器选型至关重要,关系到应用是否能稳定流畅的运行。服务器的选用主要应考虑速度、容量和可靠性三方面,它们应满足系统的设计要求 。速度和容量比较直观,可靠性方面的内容较多,同时应考虑网络服务器UPS的选用。应用平台构建不是单纯的技术。技术的着眼点常常放在理论和逻辑的可行性方面,而工程的着眼点在于实际应用的完善性、过程操作的可控制性、质量管理的可行性、性能指标的可确定性以及系统运行的可靠性。 我们针对业务需求遵循实用的高可靠性的理念,在努力为用户提供高质量产品的同时,最大程度的降低用户的整体拥有成本。 针对用户的应用功能,结合用户在未来十至十五年内业务发展的趋势,提出合理的设计
8、方案。根据应用的特点,选择满足应用条件的性能价格比最佳的系统产品,在此基础上提出有针对性的系统设计。 随着技术和应用的发展,系统包含了更多的范围,方案设计针对贵公司的计算机网络和应用的情况,方案要求充分满足计算机网络和通信应用的需要。4.2、网络系统分析根据对需求的理解,要建设成为一个先进、成熟、高效、高可靠性的系统,以满足应用及办公的需要。5、网络设计5.1、网络结构网络拓扑图如下:5.2、设计思想根据网络的规模和用户对性能的要求,我们应建立一个层次化的网络结构,即在网络中包含核心层、分布层和接入层。并且要作到百兆到桌面,千兆到主干。此外,还应该在网络中实现冗余连接。为了更好的管理网络,要使
9、用一种功能全面,使用简便的网管软件。整个网络最终要做到层次清晰、便于实现,升级方便、投资少、易管理。5.3、设备选型根据我公司对标书的理解,针对用户需求和技术把握,提出以下设备选型1核心层联想 iSpirit 2948G2分布层/接入层联想 iSpirit 2924G5.4、产品简介5.4.1、中心交换机联想 iSpirit 2948G品牌 联想 型号 iSpirit 2948G 电气规格 额定功率小于 60 W 额定电压110-260 V 端口 端口类型2个1000的电口和2个Combo口 模块化插槽数2 端口数52口 基本参数 VLAN支持32个基于端口 包转发率13.1Mpps 交换方式
10、存储转发 背板带宽(Gbps)32G mAC地址表8K 设备类型交换机 网络 传输模式支持全双工 网络标准802.3X 传输速率100Mbps 性能参数 网管功能SNMP、Telnet、Console 是否支持全双工是 堆叠32台 详细说明 48口10/100Base-T自适应以太网交换机,2口10/100/1000Base-T,2个SFP GBIC(mini)插槽, 2个堆叠端口(含堆叠模块), 可网管产品规格 遵循IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.1Q、IEEE802.1p、IEEE802.1d、 IEEE802.1w、IEEE802.3x、I
11、EEE802.1x等国际标准; 提供48个固定RJ-45 10/100M UTP接口; 提供2个Combo口(两个101001000M电口和2个1000M SFP接口); 提供2个10/100/1000的电口 32G无阻塞结构背板,线速转发; 支持13.1Mpps包转发率 可编程10/100Mbps自适应端口,支持全双工和半双工; 所有10/100M以太网电接口均自动识别直连线和交叉线Auto MDI/X; 存储转发(Store-and-Forward)模式; 支持IEEE802.3x全双工流量控制和后压式半双工流量控制; 支持SNMP、Telnet、和Console管理 支持 SNMP v1
12、/v2c/v3 支持RMON(1,2,3,9) 支持IGMP Snooping 支持QoS,提供IEEE802.1p 四个优先权队列排序; IEEE802.1q VLAN(4K)、GVRP(可用vlan255个) 支持Private Vlan,实现端口隔离 支持802.3ad链路聚合技术,最多4组,每组8条链路; 支持端口镜像,任一端口经设定监控另一端口的运行状况; 支持生成树协议(IEEE802.1d)、(IEEE802.1w); 支持802.1x认证(基于端口、MAC); 支持Radius Client 支持SSH/SSL 支持粒度为8K的带宽控制(按照出、入方向分开控制) 动态内存分配,
13、支持MAC地址的自学习和更新,可存储8K条Mac地址 具有扩散控制(Flood Control)、广播风暴控制 支持基于二/三/四层的访问控制列表ACL 支持多台交换机ACL的统一配置、管理,支持有选择性地增删ACL规则 支持Port Security端口安全 支持硬件sFlow 支持Cluster集中配置管理 提供TFTP方式升级,支持批量升级、配置更新 支持多系统文件、多配置文件 支持用户分级管理 支持SNMP、Telnet、和Console管理 1U高度 技术指标 Console 端口:标准RS232C DB9接口 MAC表:8K 支持超大帧转发:最大9K bytes 端口指示灯:每个以
14、太口提供一个双色指示灯 绿色亮:端口与所连接的设备建立了稳定的连接之后并工作在状态 橙色亮:端口与所连接的设备建立了稳定的连接之后并工作在状态 闪烁: 该网口正在进行数据发送 暗: 没有连线或该网口连接不正常 系统指示灯: power 灯:绿色 亮 :此指示灯应该长亮 暗 :没有加电或电源系统工作不正常 Diag灯: 绿色 闪烁 :系统正常 长暗/长亮 :系统异常 外形尺寸:(H x W x D) 4.3 x 44 x 32.4cm (1.69 x17.32 x12.8 in.) 重量: 3.08kg 工作温度:0C50C(32 - 122 F) 储藏温度:-40 - 70 C (-40 -
15、158 F) 相对湿度:1090%,无霜 电源: 100240V AC 4763Hz 最大电流:2.0A240VAC 功耗: 小于 60W 通过FCC CLASS A,CE MARK,C-tick认证 5.4.2、中心交换机联想 iSpirit 2924G联想天工iSpirit2924G以太网交换机是联想网络公司针对中小型企业汇聚层或核心层、大型企业园区网的接入层应用的新特点,量身定做的新一代千兆交换机品。iSpirit2924G在原有1.0本版的的iSpirit2924G强大的功能的基础上,进一步增加了许多实用而先进的功能,使得联想天工iSpirit2924G可为不同行业不同规模的网络用户提
16、供解决方案,可最大程度地满足网络运营商的各种需求。联想天工iSpirit 2924G被广泛应用于网络接入层,可有效避免非法用户对网络资源的不正当使用,确保网络的安全性,同时完美解决局域网的计费难题,是构建可实现计费功能的小区宽带网络或校园网络的最佳选择。构建量身定做的宽带网络 天工iSpirit2924G可以通过不同的扩展模块来构建百兆主干、千兆主干。只需添加高速的上联模块而不需要更换机器,便可以将网络升级到千兆双绞线网络或千兆光纤网络,可有效地降低网络建设初期的建设成本,同时在保护用户的网络投资的前提下实现轻松的网络升级。进一步消除网络带宽瓶颈 联想天工iSpirit2924G可配置多达四个
17、千兆端口,因此其构建的骨干网络带宽(至汇聚层或核心层)可高达8Gbps,极大地消除网络瓶颈。千兆端口直接实现真正的菊花链堆叠 当今大多主流的接入层交换机仅有两个千兆端口,可利用千兆端口实现堆叠,但无法同时实现千兆上连和真正的菊花链堆叠。利用iSpirit 2924G,可在实现双向2Gbps的上连的同时,形成真正的菊花链堆叠,大大提高接入网络的可靠性。更强大的用户信息绑定和安全功能 支持手工设置和自动学习MAC地址两种方式。一个端口可以支持128个绑定。支持MACPORTVLANIDIPUSERID绑定。可以过滤掉特定的目的MAC地址,进一步确保网络的安全特性。构建可运营的宽带网络 局域网的计费
18、与认证始终是困扰网络营运商的一个难题。联想天工iSpirit 2924G可实现更为强大的认证计费功能,可确保网络的安全,并切实维护网络运营商的商业利益。联想天工iSpirit2924G支持基于MAC和基于端口两种方式认证。对于基于MAC地址方式的认证,每个端口可支持对最多50个MAC地址的认证。支持流量计费和带宽分配;支持下发消息;支持强制下线,实现运营网络。全面的QoS 联想天工iSpirit 2924G可以根据不同的业务流或者不同的用户赋予不同的优先级及权限,然后按照相应算法进行转发,以保证不同类型的数据包获得与之对应的带宽和时延,保证其不同的高层应用质量和相应的服务等级,使不同的应用获得
19、预期的传输效果,搭建高速、安全、便捷、高可靠性和具有差别服务的的信息网络。联想天工iSpirit2924G支持基于802.1p、DSCP、ToS的数据流分类,支持基于MAC地址的流分类,支持基于端口的流分类。支持4个优先级队列,支持2种优先级调度算法(WRR,SPQ)灵活的接入带宽设计 联想天工iSpirit2924G可支持4组端口聚合,每个聚合组内可多达8个端口,同时满足不同用户不同场所的带宽需要。联想天工iSpirit2924G支持端口速率限制,百兆端口的带宽粒度为8kbps,千兆端口的带宽粒度为32kbps,为带宽的使用提供更精细的规划方案。优化的网络传输性能 联想天工iSpirit29
20、24G具有很强的广播风暴抑制功能,触发抑制功能的广播数据包阈值可从0到10Mbps。支持超长数据包传输,数据包长可达13kbytes,极大地提高数据传输效率。增强的Vlan特性 联想天工iSpirit2924G在Vlan功能方面进行了较多的改进和增强。联想天工iSpirit2924G支持256个Vlan。除标准的802.1q和基于端口的Vlan外,还支持私有Vlan,保护Vlan和协议Vlan。除常见的IP、IPX、AppleTalk协议外,用户还可以自定义三种协议定制所需的Vlan。私有Vlan实现同一个广播内的可控通信 联想天工iSpirit2924G每一个私有VLAN由多个连续的VLAN
21、(VLAN ID是连续的)组成。每一个私有Vlan是一个广播域,私有Vlan间必须通过三层路由协议来实现通讯,在私有Vlan内部通过将端口划分为不同类型:混杂端口、共用端口和隔离端口,可完美实现在一个子网中的二层端口通信隔离控制。通过私有Vlan技术,可实现在进行公用数据共享的同时,又使私有数据的安全得到了的保证。保护Vlan实现同一广播域内的端口隔离 联想天工iSpirit2924G支持保护Vlan。通过保护Vlan中的separated端口,可实现在一个VLAN内的端口隔离。通过指定Vlan内的egress端口,使Vlan内所有被互相隔离的端口都可以向上连接至需共同访问的资源或Intern
22、et,非常适用于宽带运营网络的接入层。便捷的可管理特性 联想天工iSpirit 2924G提供多种管理方式,可通过CLI、Telnet、SNMP、Web-based等多种管理方式实现网络管理和维护。具有人性化用户界面,提供中英文两种用户界面选择,用户操作方便快捷,减轻了管理员的工作量。支持SNMP v1/v2,在异常情况下能够发出SNMP TRAP包。支持RMON(1,2,3,9组),能够获取端口的各种统计信息。支持对端口的进或出数据包进行侦听,为网络监测和病毒扫描提供强有力的支持手段。端口扩展能力 基于联想网络超级堆叠技术的端口扩展能力,利用交换机上的千兆端口即可实现32台交换机的堆叠,一改
23、传统堆叠的必须集中放置和使用专用模块和短堆叠电缆的不足,使得堆叠跨越传统的地域限制,使用一个IP地址来对分散的交换机进行统一的管理。设备故障诊断技术 联想天工iSpirit 2924G的前面板提供了四种模式的LED灯显示,可观察并诊断出网络设备的端口状态,降低了网络故障排除的难度,减少了网络维护工作量。端口线序自适应 所有10/100Base-TX端口支持MDI/MDIX,实现双绞线线序识别,直通和交叉网线自适应,使得用户不必再为设备之间的连接究竟该使用直通线还是该使用交叉线而感到疑惑,并减少网络连接故障,为用户提供方便。超长距离网线传输 联想天工iSpirit 2924G所有的百兆端口皆支持
24、超长距离网线传输功能。100M速率可以传送140米,为特殊情况下网络用户接入提供了便利,增加了网络配置的灵活性,降低了网络建设成本增强的二层策略交换 联想天工iSpirit2924G除具有传统二层交换机的功能以外,增强和优化了基于策略的二层交换,并且增加了很多附加功能,如IEEE 802.1p(优先级队列控制)、IEEE 802.3x(拥塞情况的流量控制)、背压控制、广播流量抑制等等。线速数据交换能力 天工iSpirit 2924G具备18Gbps的交换背板和最大9.6Mpps的数据吞吐率,所以在它把终端工作站和用户连接到LAN上时可以在各个端口提供线速连接性能。 支持组播功能 联想天工iSp
25、irit 2924G支持静态组播及组播侦听,在控制和管理LAN的组播应用方面功能更强大,易于使用与管理。性能参数 属性描述端口配置 24个10/100MBase-TX端口 2个SFP/TX光电复用千兆口 2个扩展插槽 接口支持 100 BASE-TX、mini GBIC SFP 1000BASE-T、1000BASE-LX、1000BASE-SX 背板带宽 18Gbps 二层包转发率 9.6Mpps 端口优先级队列 4 QoS 支持基于802.1p,ToS,DSCP,MAC,端口优先级的QoS 队列优先级调度 WRR,SPQ 生成树协议 802.1d 端口限速 百兆端口最小带宽限值为8kbps
26、,带宽粒度为8kbps。千兆端口最小带宽限值可达32kbps,最小带宽粒度为32kbps 广播抑制 广播数据包的抑制阈值为010Mbps 交换模式 存储转发 ACL控制 支持,同时还可以通过ACL进行对交换机本身的访问控制 端口安全认证 IEEE 802.1x 端口绑定 可自动学习或手动设定,可绑定128个MAC地址 端口MAC过滤 可以过滤掉特定的目的MAC地址 端口侦听 支持对进口或出口流量的侦听 MAC地址表 8k 堆叠 最多支持32台 网络管理 SNMP、Telnet、Web、串口 RMON 1,2,3,9 VLAN数 256 Vlan划分 基于802.1q、端口、协议。可自定义协议来
27、划分Vlan 端口隔离 可实现Vlan内的端口隔离 Trunk 4组Trunk,可支持8个端口聚合 组播 IGMP Snooping、静态组播 超长数据包 支持长达13k的超长数据包 物理环境要求 尺寸(WHL) 444mm44.5mm348mm 重量 5kg 电源 180260V交流 电流 最大1.5A 频率 5060Hz 功耗 70W 工作温度及相对湿度 0C40C, 10%90% 存储温度及相对湿度 -20C70C,5%90% 电源及功耗 180264V,交流电源1.5A 最高海拔高度 操作3000米,存储4570米 认证 安全标准 FCC Part15 ClassA, CE.UL,CU
28、L,VCCI Class A防火墙设备:网络卫士NGFWARES系列防火墙产品,是天融信公司为行业分支机构、中小型企业、教育行业非骨干节点院校、单位内部的部门级等中小用户开发的高性价比的安全平台。网络卫士NGFWARES系列防火墙产品既提供1U可上机架的产品,也提供小巧的桌面型产品。具有灵活的配置向导和一键恢复功能。产品优势:将防火墙、VPN、身份认证、IDS等安全特性充分融合优化,并提供交换、路由、组播、NAT、DHCP等多种特性。成为集路由、交换、语音支持的多功能的安全网关。支持LAN、ADSL、CABLE、电力、小区宽带等多种接入方式,并支持链路备份、多路径均衡。提供串口、WEB、SSH
29、和Telnet等多种管理方式,配置简单。支持IPSEC VPN、PPTP、L2TP等多种VPN接入,支持VPN集中管理。典型应用案例:NGFWARES可结合天融信高端防火墙,为行业用户提供整体安全解决方案。ARES防火墙主要应用于网络末端的分支机构。同时,利用天融信一体化的网络管理平台,对所有安全产品和安全策略进行统一管理和部署。5.8、网络设计分析5.8.1、技术分析5.8.2、网络特性分析结合设计方案,我们对大连分公司关心的5个问题进行逐一回答。1、网络采用千兆主干、百兆桌面,保证带宽及日后多媒体的应用。2、在核心层,我们利用iSpirit 2948G二层线速转发性能,为用户节省了投资。3
30、、在今后的几年中,我们可以通过增加分布层交换机和接入层交换机来满足网络扩展的需要。通过更提供更加强大的交换能力和更多的特性,延长了设备的使用寿命,极大地保护了用户的投资。 网络设备报价:网络设备价格产品名称详细参数单位数量单价小计联想 iSpirit 2948G48口10/100Base-T 自适应以太网交换机 2个10/100/1000M电口 2个SFP插糟 台2640012800联想 iSpirit 2924G24口10/100Base-T 自适应以太网交换机 2个10/100/1000M电口 2个SFP插糟台138003800天融信 NGFWARES-TG15073个10/100BASE-TX口 并发连接数 400000 无用户数限制台12300023000总合计39600