04 计算机网络系统

4计算机网络系统

4.1概述

本建议书是在分析了利奥大厦将来所需要的功能，并结合了我司多年来从事企业级千兆计算机网络系统和大厦网络建设的宝贵经验后设计和编制的。

本建议书包括用户需求分析、计算机网络方案分析、网络应用系统分析和组网方案等内容。

4.2需求分析

4.2.1计算机网络系统需求描述

计算机网络系统是利奥大厦信息化的关键设施，采用构建于世界著名品牌系统高性能交换机的千兆以太网，高带宽、高可靠性，并充分考虑系统在安全、管理、维护方面的要求。预留今后与各地广域网互联的需求。系统建设要求为：充分考虑业务需求和业务发展趋势，具有实用性、先进性、开放性、可

靠性、可扩充性以及经济性。整个网络的建设应具备连续性，充分利用

现有的计算机资源和通讯资源。

网络的可靠性要高

在考虑现有的通讯网络的基础上，计算机网的拓扑结构应尽量采用稳定可靠的结构形式，冗余备份，以保证整个网络的高可靠性。

优化网络信息传输性能，控制网络上的广播风暴、增加网络的安全性、

集中化的管理控制。

网络应具有高度开放性，即对设备的技术开放和对其他网络的接入开放。

经济实用性

设备选型应有最优的性能价格比，以最省的投资实现尽可能多的功能。

易于操作和工程实施

从实际出发，保证系统易操作和工程实施可行性。

4.2.2计算机网络系统需求分析

南京利奥大厦的局域网采用CISCO Catalyst4006交换机作为主干核心交换机，Catalyst4006再分别与各个楼层的CISCO Catalyst 2950楼层交换机采用光纤连接，构成大厦的主干千兆，百兆和十兆交换到桌面的计算机网络系统。完全能够满足计算机网络的需求。

4.2.2.1网络可靠性分析

我们从三方面分析网络可靠性：

设备主要模块和电源的冗余备份

作为方案中涉及的所有主要设备，均采用高可靠设计。中心机房Catalyst4006采用双引擎，保证较强的冗余性，其次Catalyst4006交换机配置了冗余电源（共两个电源）为备份，以防止一旦电源发生故障，交换机仍能正常工作。

网络链路的连接备份

核心节点的Catalyst 4006交换机和主要的楼层交换机间采用千兆多模光纤接口进行互连。

核心交换机交换和路由

Catalyst4006交换机支持Cisco IOS协议，支持热备份路由协议HSRP(Hot Standby Routing Protocol)冗余路由技术，提供了双路由器备份环境下一台路由器故障时网络用户的快速、透明切换，这样，如果一台网络交换机发生故障的话，用户端无须更改本地网关设置就可以维持到其他虚网或外部网络的正常通讯。

4.2.2.2网络性能分析

我们从两方面分析网络性能：

设备的高性能

核心节点交换机、楼层边缘交换机采用Catalyst2950无阻塞千兆以太网交换机，Catalyst4006可提供60Gbps无阻塞交换能力，Catalyst2950可提供10Gbps的背板无阻塞交换能力。Catalyst4006可提供高密度1000M 连接。

网络的高性能设计

中心交换机与主要楼层交换机采用千兆光纤连接，提供充足的骨干交换带宽。

4.2.2.3网络安全性分析

安全性是网络设计需要考虑的最重要的因素之一，方案中充分考虑了网络设计的安全性，具体体现在以下几个方面：

图4-1 计算机网络安全示意图

通过VLAN的划分，限制了不同VLAN之间的互访，从而保证了不同科室之

间或商务、办公、住宅不同场所之间不会发生未经授权的非法访问。

通过Cisco Assure User Registration Tool基于Policy VLAN的管理，

以<用户名，口令>为依据控制用户对VLAN的加入，限制用户对Critical VLAN的访问。对于新加入的网络成员，在管理员参与前，只允许其进入一个临时区。以此有效控制外来用户的非法侵入。在核心节点可提供基于地址的Access-list，以控制用户对于关键资源的访问。通过在主干4006上设置VLAN路由以及存取列表(Cisco IOS的Access-list)，保证了在VLAN之间只有被允许的访问才能发生，而未经授权的访问都会被禁止。

通过（用户名，口令）的限制，保证了只有合法的用户才能访问网络上

的服务器及其他资源。

通过对上网员工的安全教育，提高安全意识，特别是增强计算机操作人

员的密码管理意识，以防止由于操作员密码有意无意泄露给他人而造成的损失。

制定严格的安全制度，包括人员审查制度、岗位定职定责制度、使用计

算机的权限制度以及防病毒制度，从制度上保证网络安全性得以实现。

4.2.2.4网络扩展性分析

网络扩展性也是网络设计需要考虑的重要的因素之一，方案中充分考虑了网络设计的可扩展性，具体体现在以下几个方面：

设备的可扩展性

Catalyst4006是模块化的网络设备，因此网络的扩充和升级都非常容易，只需要添加或更换模块，而其主控模块也可以通过软件或硬件升级以便于支持未来的新的网络标准。

Catalyst4006是接口高密度的网络设备，Catalyst4006可以提供每个插槽最多48个快速以太网接口，对于网络今后的扩充都留有足够的空间。

网络技术的可扩展性

网络的合理建设应充分考虑对现有标准的支持及向未来新技术扩展的能力。Catalyst4006既可以支持10M/100M/1000M以太网技术，也支持GbChannel技术，可提供多达八条千兆网通道技术连接，支持16Gbps的主干带宽。

4.2.2.5网络地址分配分析

IP地址的划分

IP地址的划分与VLAN的划分相对应，每一个VLAN分配一个IP地址的子网，不同VLAN之间的互访通过主干Catalyst4006的第三层路由功能得以实现，通过“子接口技术”就可以在一个物理接口上实现多个逻辑接口，从而就能分配多个IP地址，每一个IP地址属于一个VLAN。