整体网络改造建设方案

整体网络改造建设方案
目录
第一章需求分析与建设原则 (4)
一、需求分析 (4)
二、网络建设原则 (4)
1、采用标准、开放的网络技术 (4)
2、网络可扩充性 (5)
3、网络的可管理性 (5)
4、网络的安全性 (5)
5、网络的高可靠性 (6)
6、网络的高性能 (6)
7、服务器适当集中 (6)
8、关键系统的备份安全 (7)
9、网络设施投资保护 (7)
第二章网络技术选型 (8)
一、万兆以太网(10GE) (8)
1、面向新一代多用途数据高速公路的10Gb以太网 (11)
2、10Gb以太网络应用 (12)
3、先进的企业网络架构 (12)
4、汇聚服务器群中的千兆位以太网流量 (13)
5、选择依据 (14)
二、千兆以太网到桌面(GTTD) (14)
1、降低成本 (15)
2、提高性能和生产率 (16)
3、千兆位以太网的部署 (18)
4、选择依据 (19)
三、容灾备份DWDM光传输网络 (19)
1、DWDM技术 (19)
2、某城域DWDM容灾备份的优势 (21)
3、选择依据 (21)
四、IP语音（IPT/VoIP） (22)
1、IP网关方式的VOIP (23)
2、端到端IP电话方式的VOIP (26)
3、IP语音系统的功能及增值服务 (29)
4、选择依据 (32)
五、无线局域网（WLAN） (32)
1、无线局域网的技术定位与应用特点 (32)
2、无线局域网的安全性保障 (34)
3、选择依据 (34)
六、自防御安全网络（SDN） (35)
1、一体化网络安全的基本原则 (36)
2、自防御安全网络（SDN）网络安全解决方案的模块化策略 (37)
3、自防御安全网络（SDN）安全架构体系 (40)
4、自防御安全网络（SDN）安全解决方案架构组成 (44)
5、选择依据 (45)
第三章网络方案设计 (47)
一、数据中心交换平台............................................................................... 错误！未定义书签。

1、亦庄主中心................................................................................... 错误！未定义书签。

2、东单备份中心............................................................................... 错误！未定义书签。

3、广州备份中心............................................................................... 错误！未定义书签。

二、广域网路由出口 .................................................................................. 错误！未定义书签。

1、亦庄主中心................................................................................... 错误！未定义书签。

2、东单备份中心............................................................................... 错误！未定义书签。

3、广州备份中心............................................................................... 错误！未定义书签。

三、内部办公网络 (47)
1、拓扑连接 (47)
2、核心层 (48)
3、分布/接入层 (48)
四、同城灾备DWDM网络 (54)
五、IP语音系统 (58)
1、部署方式一：集中式呼叫处理的IP语音+VoIP (59)
2、部署方式二：分布式呼叫处理的IP语音 (61)
六、无线局域网络 (64)
七、网络安全 (67)
1、交换平台网络安全 (67)
2、接入认证安全 (73)
3、集成式网络安全 (75)
4、专用网络安全 (78)
八、网络管理 (85)
1、网络设备管理 (85)
2、网络安全管理 (87)
3、IP语音应用管理 (89)
4、集成式网络分析管理 (91)
第四章 CISCO网络解决方案总体分析 (94)
一、IP优化的网络 (94)
二、骨干网络承载能力 (94)
三、可靠性和自愈能力 (95)
四、通信协议的支持 (95)
五、自防御安全网络安全机制 (96)
六、网络的扩展能力 (97)
第五章整体网络设计特点与优势 (98)
一、技术先进性 (98)
二、高可用性 (98)
三、投资保护 (98)
四、可扩展性 (99)
五、良好的兼容性 (99)
第一章需求分析与建设原则
一、需求分析
二、网络建设原则
某园区网系统建设项目遵循统一规划、统一实施的指导思想，工程的设计必须在考虑到满足当前需求的同时，充分考虑到将来整个网络系统的投资保护和对新应用的支持。

设计及实施应充分遵循以下原则：
1、采用标准、开放的网络技术
整个网络系统在结构上实现真正开放，全部采用或符合有关国际标准，使网络具有良好的开放性和兼容性。

开放的系统可以使用户自由地选择不同厂家的计算机、服务器及操作系统，构成真正的跨软硬件平台的系统。

网络的设计基于国际标准，网络设备采用标准的接口和规范的协议，满足用户的不同需求并充分利用软硬件资源，有效地保护用户投资的长期效益。

网络设备必须支持符合国际标准和业界统一标准的相关接口，能够与各级机关及各基层单位网络、ISP的网络以及其它相关系统实现可靠的互联；在网络协议的选择方面，选择广泛应用的标准协议，同时支持园区网内部的多种网络应用协议。

2、网络可扩充性
因为目前的网络方案是基于满足当前需求的，随着用户应用规模的不断扩大，网络可以方便地进行扩充容量以支持更多的用户和应用；随着网络技术的不断发展，网络必须能够平稳地过渡到新的技术和设备。

为了保护用户的投资，本方案中的网络设备在将来网络升级或再投资的情况下，能够随时通过增加网络设备或模块来对现有设备进行升级和扩充，并能把替换下来的设备应用到分支或边缘网络上。

本方案充分考虑到未来网络升级的平稳衔接，保证网络通讯介质、网络设计核心的向后兼容性，所以应该选择具有良好可扩展能力的网络设备，根据信息网络临时需要可以对系统进行必要的调整、扩充，包括存储容量和网络规模等方面的扩充。

在网络全面升级的情况下，能够最大限度保护现有投资。

3、网络的可管理性
良好的组织和管理对网络的正常运转和高效使用有很大帮助，某在北京的一个数据中心将位于新的园区网中，所以网络应该能够提供方便、灵活、有力的工具不但能够管理新的某园区网系统，还能有效地结合某全国广域网系统进行集中式的有效管理和控制。

方便的监控、良好的管理界面、完备的系统记录都能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。

4、网络的安全性
某的日常业务直接与国家正常的内外贸易相关，所以要求本系统具有较高的安全性。

同时，保证网络系统的安全运行是网络设计的一个重要环节，网络安全是保证系统安全运行的重要基础，因
此，应在本方案中建立安全控制机制。

为了保护网络上数据的安全性，必须提供多种方式和层次的访问控制、通过使用网络用户身份识别、包过滤、及防火墙、自我防御网络等技术来保证网络系统的安全性。

5、网络的高可靠性
网络系统一旦投入运行就会成为各项日常应用的基础，并随着应用的深入普及，其基础作用将越来越大。

在网络系统成为实时系统后，网络的高可靠性将成为网络的基本要求之一。

骨干网络的故障会造成巨大影响。

因此，整个网络系统必须有良好的可靠性及一定程度的冗余。

高可靠性体现在：万兆光纤链路的可靠性，网络设备尤其是核心设备的高可靠性和冗余，系统及应用软件的高可靠性。

6、网络的高性能
为了及时、迅速地处理网络上传送的数据，网络设备必须具备高速处理能力，提供高速数据链路，保证网络高吞吐能力，满足各种应用对网络带宽的需求。

7、服务器适当集中
某业务系统的发展要求将数据存储集中管理，实现日常自动化业务处理的集中配置，各业务部门针对不同的数据在统一的数据处理平台上进行处理应用，与集中设置的WWW、Email服务器一起构成统一的数据中心。

8、关键系统的备份安全
某业务直接服务于国家的内外贸易，为满足系统的可用性，应规划重要数据及系统的备份方案。

数据及操作系统的备份安全及维护，是整个通讯网络和数据系统维护的核心。

9、网络设施投资保护
考虑到网络技术的日新月异，现在选择的技术或者设备在一段时间后就会过时甚至被淘汰，造成新一轮的大规模投资，因此在选择网络设备时要有前瞻性，要能够兼容未来的标准技术，如IPv6等。

第二章网络技术选型
针对某整体网络平台的改造，选择合理的网络建设技术十分重要，因为它关系到网络的服务品质和可持续发展等特性。

本期项目涉及的网络技术较多，这里结合某整体网络改造项目建设的实际特点，简单介绍一下所选择的网络技术、解决方案及选择依据。

一、万兆以太网(10GE)
在过去25年中，随着人们对于越来越高的联网速度的需求的不断增长，以太网也经历了很多变革，从半双工的共享媒体10-Mbps局域网（LAN）技术发展成为全双工的
10/100/1000/10000Mbps LAN交换技术。

在发展过程中，以太网一直保持着向后兼容性，同时总是显示出相似的易用性和低成本，而这正是它的成功的关键。

它还已经超出了LAN的界限，现在包括城域网（MAN）中的远程点对点连接网络。

三十年以前在帕洛阿尔托的一个研究所里由于计算机网络的日益提高的重要性所构想出的这种创意经过长期的、艰苦的发展，到今年终于达到了它的颠峰。

这个创意所结出的硕果已经超出了当时的预期。

今天，大量不断增加的应用正在整合到一套完全基于以太网的基础设施上来，这套基础设施可以为每个用户提供一个单一的高速连接，在这个连接的基础上，数据、语音和视频流都能够以线速进行单点播送或者多播，同时确保必不可少的QoS和安全服务。

这个不断发展的技术的最新的标准代表――10Gb以太网
（10GbE）即将由IEEE 802.3ae工作组完成。

标准草案规定，10Gb以太网只能工作在全双工模式下。

因而10Gb以太网中不再需要使用10Gb以太网冲突检测协议。

标准草案
竭尽全力将以太网扩展到了它固有的边界以外。

它将单模光纤的传输距离从千兆位以太网所支持的5公里增加到了40公里。

它还让以太网分组能够高效地穿越SONET链路。

但是在其他所有方面，10Gb以太网仍然符合最初的以太网模型。

今天出现的对网络带宽的日益增长的需求与很多因素有关，必须在一个更为广泛的范围中思考这个问题，而在这个范围中，有很多其他的关键性需求扮演着非常重要的角色。

研究人员已经发现，在互联网边缘发生的流量“猛增”现象在网络核心很少发生；随着用户的个数和计算机的连接数的不断增加，大容量链路上的流量变得越来越随机、规律、稳定和可管理。

由于这些原因，我们必须要在网络的核心和边缘建立起高速的数据连接，以便更好地控制流量突增情况（网络边缘）和更好地管理由于用户需求而产生的集中利用率（网络核心）。

在利用率较低的网络中，用户人数或者流量模式的改变更容易预测，也更加便于处理。

因而很多人（很可能是错误地）认为目前的基础设施可以轻松地应付未来的用户需求，并在以后几年中顺利地进行扩展。

但是，这种观点没有考虑很多家庭从低速接入技术向速度更高的基于以太网或者基于电缆的线路的技术转变，它也没有考虑计算机结构的迅速发展，这种发展很可能会带来大量高性能的、支持多媒体的新型数字设备。

在这个带宽极度缺乏的市场中，技术的任何重大进步都意味着会出现一个要求更加严格的新型应用的浪潮，它们甚至可以让目前最强大的计算机不堪重负。

过去，过度供应的核心网络和中速的上行链路让家庭用户能够以很低的或者中等的速度（模拟调制解调器、ISDN和DSL）可靠
地访问互联网，主要用于Web浏览和文件共享，也就是一些具有很少多媒体内容的非对称应用。

相比之下，企业用户在内联网和外联网中都享有相对较高的速度，即使他们刚刚开始使用一些新的数字时代应用，例如IP语音和视频会议时也是如此。

但是，在硬件技术和新涌现的很多强大的应用的推动下，情况正在迅速地发生变化。

企业用户正在开始使用新的PC和工作站，它们通常安装了10/100/1000网络接口卡（NIC），而不是过去常见的10/100卡。

另外，具有速度更快的I/O系统和磁盘的、价格低廉的多处理系统也即将面世，这将会再次使网络的利用率接近或者超过它所能接收的极限。

在数据中心，为了在单Gb或者多Gb链路上实现线速的传输速率，现有的高性能服务器需要部署能够利用一个内嵌的CPU，甚至一个硬件加速的TCP/IP堆栈来提高系统的网络性能的NIC。

当对这种终端硬件的需求成为网络设备供应商们的一个特色时，它很快将成为商品市场的一个组成部分。

存储的迅速发展导致了对于存储网络的需求，以满足人们不断增长的吞吐量需求。

另外，新的IP存储技术，例如基于IP的SCSI （iSCSI），基于IP的光纤通道（FCIP）和网络数据管理协议（NDMP）让企业可以加强存储整合、灾难恢复和备份解决方案，以满足迅速增长的存储需求。

因此，无论是面向文件的网络连接存储（NAS）还是面向群组的存储区域网（SAN），存储网络都需要能够顺利地扩展，突破现有的千兆位以太网和光纤通道网络的限制。

在不久的将来，如果应用会创造出必要的需求，那么从老一代的接入技术升级到较新的基于以太网或者基于电缆的链路的升级可能会将家庭用户所能使用的总带宽增加十多倍，甚至上百倍，它们包括IP语音和相关服务，高清晰度的多媒体流，大规模的分布式超级计算，应用间的高性能消息传递等等。

在全球使用最为广泛的联网技术――以太网――的速度阶梯上前进一步的时机已经到来。

在已经安装的以太网交换机端口方面出于全球领导地位的某系统正在率先宣传下一个技术推动因素：10Gb 以太网。

1、面向新一代多用途数据高速公路的10Gb以太网
按照IEEE 802.3ae的要求，10Gb以太网可以满足很多关键性的标准，从而可以高效地利用高速网络：
●在不导致中断的情况下，方便地从现有的10/100/1000系统移植
到更高的性能等级（增加10倍）
●与目前的同类技术相比，具有更低的整体运营成本
●熟悉的管理工具和功能集
●能够支持新旧类型的应用
●由于技术的灵活性和经过验证的互操作性，可以提供全面的投资
保护
另外，10Gb以太网正在为这个永不终止的技术传奇的下一个令人激动的新进展铺平道路：成为将速度再增长10倍，达到
100Gbps以上的基础。

在目前仍然稚嫩，但是前途非常光明的
10Gb以太网技术的推动下，网络行业已经在讨论突破10Gbps限制的各种方法，并开始迈入40Gbps和100Gbps以上领域。

QoS、CoS、第四到第七层智能、安全性和基于策略的网络功能都仅仅是今天的以太网产品所能提供的丰富功能的一部分。

利用这些功能和LAN、MAN和WAN上的类似的第二层传输介质，网络管理人员可以将10Gb以太网部署为可以从布线室到网络核心集中语音、视频和数据流的高效、可扩展网络架构的基础。

2、10Gb以太网络应用
10Gb以太网目前在网络架构方面的大部分应用主要利用了新技术的下列主要优势：
●远程和扩展远程光纤连接
●为高速应用提供的最佳链路利用率
●为那些对延迟非常敏感的应用提供的低延时
●支持现有的以太网功能，例如QoS、安全性、多播、链路集中
等。

3、先进的企业网络架构
对于企业来说，基于10Gb以太网的网络让他们可以将计算能力集中到专用的站点，例如远程服务器群设施，它含有多种高性能的文件管理器、资源和金融管理应用服务器、数据库服务器、数据库挖掘系统等。

例如，金融机构可以利用10Gb以太网，无缝地、有效地连接专门用于完全不同的功能的远程站点，这些功能包括无服务器建筑物，一个或者多个集中式服务器群，以及一个专门负责备份和故障恢复的站点。

利用10Gb以太网技术所固有的低延时特性，以及利用QoS 来正确地对不同的流量进行分类，用户可以有效地将对延时非常敏感的多播流从中央数据中心发送到交易场所。

高速企业网络架构
4、汇聚服务器群中的千兆位以太网流量
现代的文件和数据服务器所需要的数据带宽是非常惊人的：一个高性能的文件管理器可以管理多个千兆位以太网NIC，并且由于它采用了优化的系统软件和加速的NIC硬件，它可以轻松地占用所有接口卡中的所有带宽。

这种巨大的处理能力，无论是用于NFS传输还是事务处理，或者执行关键任务型应用，都会将任何高性能的网络的容量使用到极限。

只有在服务器群的分布层和核心层采用一种非常高速的技术，例如10Gb以太网，才可能更加平稳地实现它们的增长，以及满足高级应用对于廉价原始带宽的不断增长的需求。

高性能的服务器群
5、选择依据
综上所述，10GE万兆以太网传输技术具备一个大规模、高负载网络，特别是IP宽带综合信息网络的所有特点，采用万兆以太网作为某新办公楼骨干网的核心技术，能够真正保障某整体网络业务的稳定工作和持续发展。

二、千兆以太网到桌面(GTTD)
在过去几年里，千兆位以太网已成为LAN的普遍技术。

最近，由于用户认识到，将千兆位以太网延伸到桌面有很多好处，因此，利用非屏蔽双绞线铜缆构筑的1000BASE-T得到了快速发展。

形成这种新的业界趋势的原因很多。

首先，铜线千兆位以太网的价格有了显著下降。

IDC研究表明，固定配置的千兆位以太网交换机端口的平均价格已经从1998年这项技术刚兴起时的每端口$800下降到2003年的每连接$100以下。

同样，千兆位NIC的平均价格也从1999年的$500下降到了今天的$50以下。

∙其次，新型高密度交换机的出现使用户能够利用现有的第5/5e 类电缆部署千兆位以太网，因而无需重新为LAN布线。

∙最重要的是，将千兆位以太网延伸到桌面的用户已经认识到，这样做能够立即大幅度提高性能和生产率。

几乎在所有情况下，千兆位以太网延伸到桌面都有利于提高网络性能。

最终用户的响应时间将缩短，服务器性能将提高，整个网络的容量和反应能力将增强。

为什么要将千兆位以太网延伸到桌面？
首先，价格有很大的吸引力。

由于只需追加一点资金，性能就能提高10倍，因此，将千兆位以太网延伸到桌面对企业非常有吸引力。

利用802.3ab规范，可以为通过以太网、快速以太网和千兆位以太网连接的所有主机使用现有的第5/5E类电缆。

借助当今高密度LAN交换机上的10/100/1000端口，网络管理员可以在企业需要且预算允许时移植到速度更高的终端站点。

其次，终端工作站速度的提高能大大提高员工的生产率。

随着当今企业使用的网络应用的增多，一方面，用户花费了大量财力，另一方面，员工却必须获得相应信息才能制定对企业运作至关重要的决策。

如果能缩短等待时间，就能够为用户节约大量资金。

因此，更快的网络不但能更快地传输数据，还能提高最终用户的效率。

1、降低成本
一开始，实施千兆位以太网需要光纤电缆基础设施，这意味着网络经理必须经常对大厦重新布线，尤其是铺设升降机里或布线室之间的线路。

这个问题于1999年得到解决，因为IEEE为采用标准第5类（Cat 5）铜线电缆的千兆位以太网制定了工业标准
（802.3ab），通常称为1000BASE-T。

这个标准使各企业能够利用原有铜线基础设施部署千兆位以太网。

另外，由于绝大多数桌面连接都是通过UTP建立的，这个工业标准使GTTD部署成为可能。

2、提高性能和生产率
对当今的企业来讲，由于每个用户都需要同时使用多个应用，因此，部署GTTD能够获得很大的好处。

在诸多应用中，某些应用（例如联机备份和恢复，以及将大文件从数据中心服务器传输到存储中心）获得的好处更多。

对于相同期间正在使用网络资源的所有其它应用来讲，这些应用将对它们的流量产生影响。

随着体系结构的改善和功能的增强，桌面PC和应用将变得越来越先进。

由于以前必须由人工完成的任务现在可以自动完成，因此，员工的生产率得以大大提高。

由于数据提取、供应和分析的速度比以前有了很大的提高，因而可以利用信息制定影响赢利的决策。

但是，随着这些应用的不断改进，它们对带宽的要求也越来越高。

随着流量的增加，网络性能和员工生产率都日趋下降。

今天，用户可以在前端执行一个应用，同时在后端执行多个其它的应用。

每个用户都有独特的“计算组合” ，即需要计算机处理能力和网络带宽的应用的组合。

虽然每种应用都有自己的流量形式，但是，如果从计算组合的宏观来看，整体应用流量形式应该与可用带宽相配。

这样才能反映出用户及其应用的真正带宽/网络使用模式。

无论用户是否有所意识，他们每天都会用到组播或视频点播、带大附件的电子邮件、文件传输器、按需备份和恢复、CRM/ERP以及Web和Java工具等多种应用。

每个人都有自己独特的流量形式和带宽要求。

现在，将所有应用的流量集中起来，然后乘以工作组、
部门、楼层和布线室的用户数量。

如果使用10Mbps或100Mbps，最终用户需要等待多长时间才能获得每种应用需要的信息？
从千兆位连接的服务器到100Mbps连接的桌面
将桌面连接改换为千兆位以太网之后，可以消除远端瓶颈，因为桌面将以服务器发送数据的内部速率从线路中删除数据。

发送数据和认可的速度越快，网络的性能就越高。

GTTD的价值在于，数据上线和下线的速度有多高，即是否允许大量文件在各种主机、服务器和应用之间移动。

将千兆位以太网从服务器延伸到客户机不但能提高生产率，还能提供适当的平台，保证：1）有效提供新一代应用；2）即使未来需求和应用增加，也能保持很高的生产率和网络性能。

这既是当时当地的投资，也是网络的长期未来投资。

3、千兆位以太网的部署
千兆位以太网可以使用最常用的第5类铜线电缆以及已安装的所有光纤电缆。

它不需要其它联网技术，可以与其它以太网组件配合使用。

因此，只需在机箱中更换或添加新模块，或者在布线室、分布点、核心或数据中心添加固定配置的交换机就可以移植到千兆位以太网。

由于骨干网（或核心）能够汇聚网络上的所有流量，服务器则接收网络上所有系统的多数流量，因此，最好的方法是首先在骨干网和服务器中实施千兆位以太网。

带光纤和铜线千兆位端口的高密度千兆位交换机，例如Catalyst 6500 应该放置在骨干网中，千兆位服务器适配器则应该安装在服务器中。

最后一步是为布线室（或接入层）交换机添加千兆位连接，方法是为重要用户添加千兆位以太网上行链路和必要的端口。

核心层、分布层和接入层移植到千兆位以太网之后，具有千兆位以太网连接的所有新型桌面都将能够发挥千兆位速度的优势。

随着千兆位以太网的发展，从骨干网到桌面的网络吞吐量性能将能够达到新的水平。

由于企业需要不断提高网络连接的速度，因此，在可以预见的将来，园区网用户将继续部署高带宽应用以及功能更强的服务器和桌面。

为满足快速增长的带宽需求，部署带有10/100/1000Mbps铜线连接的新型桌面是最经济的方式。

将千兆位以太网扩展到网络边缘之后，多数应用和用户都能得到显著的性能优势。

千兆位以太网的成本已大幅下降，因而已不再是部署决策中最重要的因素。

与以前的10/100以太网设备相比，千兆位以太网设备的价格更合理，而且能够使网络和企业得到更多好处。

时间不等。