网络系统实施方案

共分为3个区域：外网、内网、DMZ。

外网区域从路由器到防火墙外网端口主要是实现Internet连接访问及安全防护功能。

内网区域从防火墙内网端口到工作站，包括核心交换机、接入交换机、无线AP、内网应用服务器。主要实现内网连接、应用服务支撑功能。

DMZ区域从防火墙DMZ端口到内网应用服务器，包括内、外网应用服务器及数据库服务器。主要实现对内、外网用户提供服务。

通过防火墙设置禁止外网访问内网，限制外网访问DMZ区的端口、IP地址等。

根据总包的综合布线方案，桥华酒店的网络设计按照分层次结构的原则自顶向下设计，共分为两层结构：核心层（桥华酒店核心机房）、接入层（各弱电间接入节点）。

桥华酒店网络主要满足酒店内部运营以及办公需求，由于设计服务多样性、对于各自网络应用的复杂性、内网各自数据安全的保密性、甚至网速的要求都不尽相同，因此桥华酒店的网络的稳定性也是非常重要的因素。充分考虑到网络应用的特殊性和酒店内部办公网用户的安全性要求，我们做出如下设计：

1）考虑到网络接入的安全性和重要性，因此在出口安置一台防火墙设备，防火墙对公众内网做NAT地址转换，开启内置的安全功能，例如防DDOS攻击、防TCP端口扫描、Syn flood攻击、ICMP flood攻击等安全防护功能。

2）防火墙下联至两台核心交换机，考虑到用户数量较多，对网络性能的要求、网络的稳定、可靠性要求都非常高，核心交换机使用模块化的高性能的三层设备，配置两台。两台核心交换机通过心跳线相连，一方面可以通过热备份路由协议来实现网络核心的全冗余性和负载均衡，另一方面增加了两台核心交换机之间的数据吞吐量，从而整体提高网络核心的健状性。

3）服务器区的设计：

要求服务器能对网络中的所有服务请求能快速响应如：入住登记、房间预订、认证计费等。

4）配置无线控制器，连接至核心交换机上，主要用来管理整个网络的无线AP，无线控制器用来提供众多数量无线AP的集中式、可视化的管理和控制，在无线用户安全性问题上，通过无线控制器来提供保障基于用户身份的控制功能，使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可通知网络管理人员哪些用户已连接、位于何处、曾经位于何处及正在使用哪些服务或他们曾经使用过哪些服务等。

5）采用VLAN划分，区分内网和外网，内网区域从防火墙内网端口到工作站，包括核心交换机、接入交换机、无线AP、内网应用服务器及工作站。主要实现内网连接、应用服务支撑功能。通过防火墙和路由器的设置禁止外网访问内网等。计算机网络系统包含两个相对独立的网络：公众网络、内部办公网络。

系统功能

●实现网络通信

●实现Internet连接访问

●实现安全防护功能

●实现网络稳定通畅

●禁止外网访问内网

目标要求

●主干线路（核心交换机到接入交换机）光纤连接。

●其他线路采用电缆连接。

●工作站及客户机采用电缆连接网络。

●对所有网络通信进行安全检测及防护。

●禁止外网访问内网。

●外网访问DMZ区的端口、IP地址。

●实现链路双备份，双核心、两层网络架构拓扑。

诗人的别称●实行VLAN划分内外网，通过身份认证，对所有上网用户实现统一管理。

核心交换设备参数：

VLAN	支持Access、Trunk、Hybrid方式
	支持default VLAN
	支持VLAN 交换
	支持QinQ、增强型灵活QinQ
	支持基于MAC的动态VLAN分配
MAC地址功能	支持MAC地址自动学习和老化
	支持静态、动态、黑洞MAC表项
	支持源MAC地址过滤
	支持基于端口和VLAN的MAC地址学习限制
STP	支持STP，RSTP和MSTP
	支持BPDU保护、Root保护、环路保护
	支持BDPU Tunnel
IP路由	支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议
IP路由	支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议
学术出版组播	支持IGMPv1/v2/v3、IGMP v1/v2/v3 Snooping
	支持 PIM DM、PIM SM、PIM SSM
	支持MSDP、MBGP
	支持用户快速离开机制
	支持组播流量控制
	支持组播查询器
	支持组播协议报文抑制功能
	支持组播CAC
	支持组播ACL

MPLS	支持MPLS基本功能
	支持MPLS OAM
	支持MPLS TE
	支持MPLS VPN/VLL/VPLS
可靠性	支持LACP、支持跨设备E-Trunk
	支持VRRP、BFD for VRRP
	支持 BFD for BGP/IS-IS/OSPF/静态路由
	支持 NSF、GR for BGP/IS-IS/OSPF/LDP
	支持TE FRR、IP FRR
	支持以太网OAM 802.3ah和802.1ag
	支持 ITU-Y.1731
	支持DLDP
	支持运行中软件升级ISSU
QoS	支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类
	支持ACL、CAR、Remark、Schedule等动作
	169网支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式
	支持WRED、尾丢弃等拥塞避免机制
	支持流量整形
EPON OLT	支持IEEE 802.3ah
	支持DBA
	支持ONU上、下行带宽控制
	支持ONU环回测试

元电荷

配置与维护	支持Console、Telnet、SSH等终端服务
	支持SNMPv1/v2/v3等网络管理协议
	支持通过FTP、TFTP方式上载、下载文件
	支持BootROM升级和远程在线升级
	支持热补丁
	支持用户操作日志
安全和管理	802.1x认证，Portal认证
	支持NAC
	支持RADIUS和HWTACACS用户登录认证
	命令行分级保护，未授权用户无法侵入
	支持防范DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击
	支持1K CPU通道队列保护
	支持ICMP实现ping和traceroute功能
	支持RMON
增值业务能力	支持Firewall功能
	支持NAT功能
	支持IPSec功能
	支持负载均衡功能
	支持无线AC功能
绿节能	支持802.3az能效以太网

接入交换设备参数：

功能及技术指标	参数要求
交换容量	≥32Gbps
阈值分割法转发性能	≥13.2Mpps
接口类型	百兆电接口数量≥48
MAC地址表	支持8K MAC地址数据
MAC地址表	支持黑洞MAC表项
VLAN特性	支持基于MAC/端口的Vlan
VLAN特性	最大VLAN数(不是VLAN ID)≥4094
IPv6特性二维傅里叶变换	支持IPV6主机功能、支持配置静态路由、支持IPV6 ACL 、支持MLD v1/v2 Snooping
镜像功能	支持端口1：1或N：1镜像，支持基于流的镜像
QOS	支持端口限速和流限速、支持每端口4个不同优先级的队列、支持根据报文802.1p映射到不同队列、支持SP、WRR、SP+WRR算法；
	支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四层端口、协议类型、VLAN、以太网帧协议、CoS等信息的流分类
	支持基于流的标记优先级、报文重定向
组播协议	支持IGMP v1/v2/v3 Snooping、支持捆绑端口的组播负载分担、支持基于端口的组播流速率限制和流量统计
安全特性	支持802.1x，支持单端口最大用户数限制、支持动态ARP检测、支持IP Source Guard功能、支持AAA认证，支持Radius、HWTACACS+、NAC等多种方式、支持IP、MAC、端口、VLAN的组合绑定、支持端口限速、支持端口隔离、端口安全、Sticky MAC、支持包过滤、支持MAC地址过滤、支持多播、广播及未知单播报文抑制、支持MAC地址学习数目限制、支持CPU保护功能
管理和维护	支持堆叠、支持自动配置功能、支持CLI配置、支持Telnet远程配置、支持SNMP V1/V2/V3、支持RMON、支持集管理HGMP V2、支持SSH V2、支持WEB管理特性、支持GVRP协议

本文发布于:2024-09-22 22:30:07，感谢您对本站的认可！

本文链接：https://www.17tex.com/xueshu/475982.html

上一篇：设备选型原则

下一篇：S5024P

标签：支持网络端口功能用户

留言与评论（共有 0 条评论）