某集团网络系统技术方案建议书10921.docx

《某集团网络系统技术方案建议书10921.docx》由会员分享，可在线阅读，更多相关《某集团网络系统技术方案建议书10921.docx（111页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、A集团综综合网络络信息系系统技术术方案建建议书（硬件集集成部分分）第一章总总则41.1关关于本方方案建议议书41.2AA集团综综合信息息系统现现状41.3AA集团综综合信息息系统建建设目标标4第二章建建设原则则52.1先先进性52.2标标准性52.3兼兼容性62.4可可升级和和可扩展展性62.5安安全性62.6可可靠性62.7易易操作性性6第三章网网络系统统方案73.1广广域网设设计73.1.1需求求分析73.1.2广域域网规划划83.1.3网络互互连设计计93.1.2.11带宽分分配93.1.2.22 QOOS设计计103.1.2.33 网络络设备选选型123.1.2.44网络部部署123.

2、1.2.55VPNN设计143.1.2.66网络管管理15第四章网网络安全全方案164.1安安全设计计164.1.1防火火墙技术术174.2.1.11防火墙墙选型174.2.1.22技术细细节174.2.1.33防火墙墙部署244.2.2入侵侵检测244.2.2.11入侵检检测技术术254.2.3防病病毒设计计274.2.4.11产品选选型304.2.4.22防病毒毒部署32第五章主主机方案案365.1主主机选型型原则365.2小小型机选选型与设设计375.2.1IBBM PP6500介绍375.3双双机热备备435.3.1系统统故障分分析445.3.2 HHACMMP 功功能及双双机原理理4

3、45.4PPC服务务器选型型47第六章工工程管理理与实施施476.1 工程督督导476.1.1 工工作目标标476.1.2内容容486.1.2.11 详细细工程计计划486.1.2.22 基于于工程计计划协调调工程进进展486.1.2.33 工程程管理486.1.2.44 人力力资源和和设备资资源的统统一管理理486.1.2.55 统一一协调496.1.3工程程管理计计划496.1.4工程程协调会会496.2 工程实实施进度度一览表表506.3 每一个个具体工工程阶段段的详细细描述516.3.1开箱箱验收516.3.2安装装环境验验收516.3.3设备备的现场场安装516.3.3.11 硬件件

4、安装516.3.3.22 软件件安装526.3.3.33 参数数配置526.3.3.44 现场场故障维维修526.3.3.55 网络络升级的的技术支支持526.3.4单节节点测试试与验收收526.3.5系统初初验和系系统试运运行536.3.6系统统终验536.3.7在合合同设备备保修期期内的技技术支持持546.3.7.11 技术术支持概概念546.3.7.22 技术术人员的的培养546.3.7.33 技术术支持的的构架546.3.7.44 灵活活有效的的技术支支持通信信环境556.3.7.55 有效效的技术术支持措措施55第七章网网络培训训计划567.1培培训规划划577.2培培训目的的577

5、.3培培训方式式577.4培培训对象象587.5培培训教师师587.6培培训课程程587.6.1课程程列表58第八章维维护和支支持618.1服服务的级级别618.2 硬件支支持服务务62第九章结结束语63第一章 总则1.1关关于本方方案建议议书然而“功功欲善其其事，必必先利其其器”，A集集团深刻刻认识到到业务要要发展、必必须提高高企业内内部核心心竞争力力、而建建立一个个方便快快捷安全全的通信信网络综综合信息息支撑系系统，已已迫在眉眉睫，AA公司作作为一个个致力于于企业信信息化和和系统集集成的高高科技公公司非常常荣幸参参与A集集团综合合网络信信息系统统的建设设，希望望能尽自自己的全全力来施施展我

6、们们的专长长来实现现A集团团网络信信息系统统的建设设。1.2AA集团综综合信息息系统现现状目前，AA集团尚尚未在全全公司建建立统一一的企业业信息管管理系统统，主要要是在总总公司及及七大区区域性公公司之间间通过远远程异步步数据传传动方式式（Moodemm对拔）进进行数据据采集和和邮件传传递，共共有二十十余个基基于Lootuss Doominno/NNotees4.6开发发的数据据模块在在应用。A集团拟拟建的企企业信息息系统将将是覆盖盖整个AA集团的的专业化化网络信信息管理理系统。该该系统将将建立一一个统一一的企业业办公、协协同运作作及管理理支撑综综合平台台，提高高办公效效率、提提高信息息综合利利

7、用和提提高企业业管理水水平，从从而提高高企业经经济效益益。A集团信信息系统统的建设设最终将将达到以以下目标标：(1)以以先进成成熟的计计算机技技术和建建筑技术术为主要要手段，把把A集团团信息系系统建成成一个覆覆盖全集集团的包包括综合合办公和和各专业业管理系系统在内内的支撑撑建筑行行业的辅辅助管理理系统，建建立一个个统一的的企业办办公及运运作支撑撑综合平平台，以以提高办办公效率率和企业业管理水水平，提提高信息息分析处处理能力力，从而而提高企企业经济济效益。(2)为为A集团团员工、客客户、合合作伙伴伴提供各各种方便便快捷的的交流形形式，提提高服务务质量，增增强A集集团竞争争力。(3)加加强知识识管

8、理，建建立企业业自身的的知识库库。1.3AA集团综综合信息息系统建建设目标标A集团信信息系统统主要提提供电子子邮件服服务、日日常办公公管理、财财务管理理、行业业业务流流程处理理和知识识管理功功能。根根据A集集团目前前发展状状况，预预计到220055年底共共有上网网员工约约为10000名名，20008年年底约为为20000名。A集团综综合信息息系统建建设，本本着“实用、先先进、升升级简便便、扩充充性好、开开放性好好”的五项项基本原原则进行行。 根根据公司司的实际际情况和和具体的的应用需需求及行行业的特特点，采采用分期期分阶段段的实施施。 在在项目实实施过程程中，以以少花钱钱多办事事为原则则，每期

9、期的投资资都应有有继承性性。 本本期项目目的目标标是建立立如下系系统：（1）建建立连通通A集团团内部各各组织机机构的网网络平台台；（2）建建立一个个安全、稳稳定、高高效的网网络运行行空间；（3）建建立通用用办公系系统及邮邮件系统统；（4）建建立财务务管理系系统；（5）内内部网站站、网络络视频会会议、BBBS交交流协作作环境的的建设；（6）建建立适合合建筑行行业的综综合业务务管理系系统；（7）加加强知识识管理，建建立企业业自身的的知识库库； 本系统统的建设设能满足足未来55年内的的业务需需求的升升级，第二章 建设设原则多业务网网络系统统方案以以实现以以上功能能为基本本要求，在在设计上上力求做做到

10、既要要采用国国际上先先进的技技术，又又要保证证系统的的安全可可靠性和和实用性性。具体体来讲，其其设计遵遵循以下下原则：2.1先先进性系统的主主机系统统、网络络平台、数数据库系系统、应应用软件件均应使使用目前前国际上上较先进进、较成成熟的技技术，符符合国际际标准和和规范；2.2标标准性所采用技技术的标标准化，可可以保证证网络发发展的一一致性，增增强网络络的兼容容性，以以达到网网络的互互连与开开放。为为确保将将来不同同厂家设设备、不不同应用用、不同同协议连连接，整整个网络络从设计计、技术术和设备备的选择择，必须须支持国国际标准准的网络络接口和和协议，以以提供高高度的开开放性。全面面支持IIEEEE

11、工业标标准：8802.1d，8802.1p，8802.1q，8802.1x，8802.3，8802.3u，8802.3z；支持路路由协议议：IPP 的RRIP V1/2，OOSPFF，BGGP-44；信令令标准：H.3323,RTPP/CRRTP. 支持：IPssec、LL2TPP、GRRE、MMPLSS-VPPN规范范。支持持多址广广播协议议：IGGMP，DDVMRRP，PPIM-DM，PPIM-SM；网络络管理协协议：SSNMPP，RMMON，RRMONN2； 2.3兼兼容性跟踪世界界科技发发展动态态，网络络规划与与现有光光纤传输输网及将将要改造造的分配配网有良良好的兼兼容，在在采用先先进

12、技术术的前提提下，最最大可能能地保护护已有投投资，并并能在已已有的网网络上扩扩展多种种业务。2.4可可升级和和可扩展展性随着技术术不断发发展，新新的标准准和功能能不断增增加，网网络设备备必须可可以通过过网络进进行升级级，以提提供更先先进、更更多的功功能。在在网络建建成后，随随着应用用和用户户的增加加，核心心骨干网网络设备备的交换换能力和和容量必必须能作作出线性性的增长长。设备备应能提提供高端端口密度度、模块块化的设设计以及及多种类类接口、技技术的选选择，以以方便未未来更灵灵活的扩扩展。2.5安安全性由于系统统和其它它系统连连接，因因此，考考虑系统统的安全全性是一一个非常常重要的的方面。应应采用

13、设设有安全全控制的的网关设设备相连连，使用用VPNN技术和和防火墙墙等。2.6可可靠性本系统是是7x24小小时连续续运行系系统，从从硬件和和软件两两方面来来保证系系统的高高可靠性性。硬件可靠靠性系统的主主要部件件采用冗冗余结构构，如：传输方方式的备备份，提提供备份份组网结结构；主主要的计计算机设设备（如如数据库库服务器器），采采用CLLUSTTER技技术,支支持双机机或多机机高可用用结构；配备不不间断电电源等。软件可靠靠性充分考虑虑异常情情况的处处理，具具有强的的容错能能力、错错误恢复复能力、错错误记录录及预警警能力并并给用户户以提示示；并具具有进程程监控管管理功能能，保证证各进程程的可靠靠运

14、行数数据库系系统应。网络结构构稳定性性当增加/扩充应应用子系系统时，不不影响网网络的整整体结构构以及整整体性能能，对关关键的网网络连接接采用主主备方式式，已保保证数据据的传输输的可靠靠性。本系统应应具有较较强的容容灾容错错能力，具具有完善善的系统统恢复和和安全机机制；2.7易易操作性性提供中文文方式的的图形用用户界面面，简单单易学，方方便实用用。优良的性性能价格格比。系统应着着重考虑虑和满足足以上的的设计要要求。第三章 网络络系统方方案该系统包包括：336个网网络节点点互连方方案、线线路备份份、内部部局域网网的建设设。3.1广广域网设设计目前A集集团在全全国有336处公公司极其其分支机机构，可

15、可以分为为3类：1公司司总部（数数量1）、22区域性性公司及及本部（数数量7）、33分公司司及事业业部（数数量288）。3.1.1需求求分析如下表在在全国AA集团有有36个个节点，其其分布如如下：公司名称称所属类别别所在地用户数备注集团总部部总公司杭州100总部A一建区域性公公司东阳50区域性公公司A二建区域性公公司杭州100区域性公公司A三建区域性公公司上海100区域性公公司A四建区域性公公司北京50区域性公公司A五建区域性公公司西安100区域性公公司A六建区域性公公司武汉50区域性公公司A七建区域性公公司广州50区域性公公司集团本部部总公司东阳50同A一建建共金华分公公司分公司金华隶属A一

16、一建义东分公公司分公司义乌隶属A一一建温州分公公司分公司温州隶属A一一建衢州分公公司分公司衢州隶属A一一建宁波分公公司分公司宁波隶属A二二建嘉兴分公公司分公司嘉兴隶属A二二建南京分公公司分公司南京隶属A三三建合肥分公公司分公司合肥隶属A三三建天津分公公司分公司天津隶属A四四建内蒙分公公司分公司呼和浩特特隶属A四四建青海分公公司分公司西宁隶属A五五建甘肃分公公司分公司酒泉隶属A五五建湖南分公公司分公司长沙隶属A六六建江西分公公司分公司南昌隶属A六六建A高级中中学子公司东阳子公司杭州天翔翔房产公公司子公司杭州子公司A房产开开发公司司子公司东阳子公司西安亚东东房产公公司子公司西安子公司湖南天翔翔房产

17、公公司子公司长沙子公司上海亚东东房产公公司子公司上海子公司华天装饰饰有限公公司子公司杭州子公司安装工程程有限公公司子公司杭州子公司海外工程程事业部部事业部北京隶属总公公司装饰事业业部事业部杭州隶属总公公司房地产投投资事业业部事业部上海隶属总公公司交通工程程事业部部事业部杭州隶属总公公司项目部项目部分布各地地在建项目目约5000个3.1.2广域域网规划划 根根据前面面的需求求分析,考虑到到网络的的收敛性性,经济济与安全全等因素素,我们们建议采采用星型型结构的的拓扑,这样可可以充分分利用带带宽资源源,整个个网络采采用3级级结构：一级节节点为：集团总总部共11个，二二级节点点为：区区域性公公司及本本

18、部共77个，三三级节点点为其他他分公司司及事业业部共228个，广广域网规规划如下下：在相应的的一级节节点和二二级节点点相应的的局域网网内部署署入侵检检测和防防火墙，来来保证系系统的安安全。3.1.3网络络互连设设计根据网络络互连的的需求分分析，以以及广域域网规划划，我们们建议从从以下几几个方面面来考虑虑网络的的设计：带宽分分配、QQOS设设计、路路由设计计、IPP地址分分配、网网络部署署等。3.1.2.11带宽分分配为了支持持A集团团多业务务系统的的可持续续发展，考考虑的经经济组网网的原则则，我们们来分析析该集团团目前和和将来的的业务属属性、和和业务逻逻辑等因因素对网网络链路路的需求求，同时时

19、也是设设备选型型的一个个依据。A集团目目前有或或将要有有的业务务有全公公司的上上网需求求、财务务系统、视视频会议议、公司司的办公公自动化化系统、建建筑行业业的综合合业务管管理系统统、邮件件系统、知知识库系系统的建建设等的的建设。以以上数据据涉及到到保密、实实时流媒媒体等数数据传输输要求，我我们从链链路选型型、带宽宽计算两两方面来来确定所所需的带带宽。链路选型型：目前比较较常使用用的数据据链路业业务可以以是：DDDN、FFR、IISDNN：DDN专专线接入入向用户户提供的的是永久久性的数数字连接接，沿途途不进行行复杂的的软件处处理，因因此延时时较短，避避免了传传统的分分组网中中传输协协议复杂杂、

20、传输输时延长长且不固固定的缺缺点；DDDN专专线接入入采用交交叉连接接装置，可可根据用用户需要要，在约约定的时时间内接接通所需需带宽的的线路，信信道容量量的分配配和接续续均在计计算机控控制下进进行，具具有极大大的灵活活性和可可靠性，使使用户可可以开通通各种信信息业务务，传输输任何合合适的信信息，因因此，DDDN专专线接入入在多种种接入方方式中深深受用户户的青睐睐。DDN专专线接入入的主要要优点：能提供高高性能的的点到点点通信。通通信保密密性强，特特别适合合金融、保保险等保保密性要要求高的的客户需需要；传输质量量高，网网络时延延小，通通信速率率可根据据用户需需要按NN644Kbpps选择择；信道

21、固固定分配配，充分分保证了了通信的的可靠性性，保证证用户的的带宽不不会受其其他用户户的影响响；用户通通过这条条高速的的国际互互联网通通道，可可构筑自自己的IInteerneet、EE-maail等等应用系系统；用户网网络的整整体接入入使局域域网内的的PC均均可共享享互联网网资源；用户可可免费得得到多个个Intternnet 合法IIP地址址及域名名；用户可可实现每每天244小时全全天候的的信息发发布，即即用户可可建立自自己的WWeb站站点，向向国际互互联网发发布自己己的信息息或提供供信息服服务；用户可可通过防防火墙等等技术保保护内部部网络免免受不良良侵害。 本期AA集团要要实现的的业务当当中，

22、有有数据业业务（邮邮件、公公文流转转、互联联网、内内部系统统、数据据查询）和和流媒体体业务（视视频会议议等）。 由由于整个个网络环环境为TTCP/IP框框架下，对对于数据据业务这这类非实实时业务务来讲，网网络自身身可以实实现数据据重传恢恢复机制制，对带带宽的需需求不是是很大，而而流媒体体业务这这类实时时业务来来讲，必必须具备备两个因因素才可可以在IIP环境境下实现现的比较较好：（11）具备备一定的的带宽，达达到理想想的传输输环境，理理论上传传输一路路MPEEG视频频为3884K，如如果采用用双向视视频会议议必须具具备大于于2*3384=7688K的带带宽。（22）网络络具备一一定的QQOS机机

23、制（关关于QOOS在QQOS设设计里详详细介绍绍）。从一级节节点到二二级节点点带宽计计算如下下（按两两路视频频会议和和20000人上上网计算算）：二级节点点平均分分配的人人数为：20000/77=2886人；根据Gaartnner统统计数据据分析，一一个企业业一般只只有100%-220%的的人并发发上网或或发邮件件，我们们按155%计算算，即：二级节点点并发上上传或下下载数据据的人数数为：2286*15%=433人；一般244K/秒秒的速度度数据能能确保22秒钟正正常打开开网页，即即：二级节点点需要广广域网链链路基本本带宽为为：433*244K=110288K。由于视频频会议不不是经常常开，当

24、当视频会会议必要要是可以以通过QQOS优优先级别别抢占110288K带宽宽中的7768KK。我们们建议采采用10024KK带宽为为一级节节点到二二级的节节点带宽宽，可以以满足到到未来220088年的需需求。如如果需要要额外的的视频带带宽可以以即使方方便的向向电信申申请，而而不必更更换网络络设备的的模块。从一级节节点到互互联网带带宽计算算如下：（20000人人上网计计算）：到20008年，上上网人数数将达到到20000人，根根据Gaartnner统统计数据据分析，一一个企业业一般只只有100%-220%的的人并发发上网或或发邮件件，我们们按155%计算算，即：二级节点点并发上上传或下下载数据据的

25、人数数为：220000*155%=3300人人；一般244K/秒秒的速度度数据能能确保22秒钟正正常打开开网页，即即：二级节点点需要广广域网链链路基本本带宽为为：3000*224K=72000K。在在20008年左左右可以以申请110M电电路，而而不会添添加用户户端设备备，完全全满足需需求，目目前我们们可以考考虑2MM电路就就可以满满足了。3.1.2.2 QQOS设设计 由于考考虑到整整个综合合业务网网络信息息系统的的可靠性性和可用用性，那那么一个个质量保保证的体体系结构构是必须须具备的的，这也也是一个个设备选选型的必必须考虑虑的地方方，要实现网网络的稳稳定质量量，最先先考虑的的就是什什么业务

26、务对整个个网络系系统的服服务质量量最关心心，在这这里最关关键的就就是视频频会议和和数据语语音，这这两种业业务才是是最关心心服务质质量的，视频会议系统一般全面支持H.323和T.120标准来完成视频、音频、数据的集中和转发。同样，在我们国家，像联通等语音电话采用的是H.323协议，当然也有像北电的基于软交换功能的语音系统，但是都是要求对时间比较敏感的协议，如UDP，RTP，CRTP等，所以QOS是一定要保证的，除了数字线路的服务质量以外，就是要考虑接入服务器的QOS功能了。 1先进进先出（FFIFOO）先进先出出提供了了基本的的存贮转转发功能能，也是是目前IInteerneet使用用最广泛泛的一

27、种种方式，它它在网络络拥塞时时存贮分分组，在在拥塞解解除时按按分组到到达顺序序转发分分组。是是默认的的排队方方法，因因此不需需要配置置。缺点点是不提提供QooS功能能，对突突发数据据流在传传输时间间要求严严格时，应应用程序序会引起起过多的的延迟，并并对突发发性的存存在包丢丢失的连连接公平平性较差差，对上上层的TTCP快快速恢复复的效率率也较低低。2优先先级排队队算法（pprioorittyQuueuiing，PPQ）优先级排排队算法法是禁止止其它流流量的前前提下，授授权一种种类型的的流量通通过，使使用优先先级排队队给路由由接口上上传输的的数据分分配优先先级，当当有空闲闲路由时时，路由由就来回回

28、扫描所所有队列列，将高高优先队队列数据据发出，只只有当高高优先级级队列空空了以后后，才能能为低优优先级服服务，如如果优先先级队列列满，则则扔掉数数据包，路路由器不不处理，优优先级排排队适用用于网络络链路不不断阻塞塞的情况况。PQQ的带宽宽分配独独立于数数据包大大小。因因此它在在没有牺牺牲统计计利用的的情况下下提供另另外的公公平性，与与端到端端的拥塞塞控制机机制可以以较好的的协同，它它的缺点点在于实实现起来来很复杂杂，需要要每个数数据流的的排队处处理，每每个流状状态统计计，数据据包的分分类以及及包调度度的额外外开销等等。3定制制排队定制排队队是为允允许具有有不同最最低带宽宽和延迟迟要求的的应用程

29、程序共享享网络而而设计的的。定制制排队为为不同的的协议分分配不同同的队列列空间，并并以循环环方式处处理队列列。为特特定的协协议分配配较大的的队列空空间可以以提高其其优先级级。定制制排队比比优先级级更为“公公平”。在在可能发发生拥塞塞的地方方使用定定制排队队可以提提供保证证的带宽宽。定制制排队可可以保证证为每一一个特定定的通信信类型得得到固定定部分的的可用带带宽，同同时在链链路紧张张的情况况下，避避免数据据包企图图占用超超出预分分配量限限制的可可能。4加权权公平排排队（WWeigght faiir qqueuuingg，WFFQ）加加权公平平排队用用于减少少延迟变变化，为为数据流流提供可可预测的

30、的吞吐量量和响应应时间。目目标是为为轻载网网络用户户和重载载网络用用户提供供公平一一致的服服务。保保证低权权值的响响应时间间与高权权值的响响应时间间一致。 加权权公平排排队是一一种基于于数据流流的排队队算法，它它能识别别交互式式应用的的数据流流，并将将应用的的数据流流调度到到队列前前部，以以减少响响应时间间。WFFQ与定定制排队队和优先先排队不不同。能能自动适适应不断断变化的的网络通通信环境境，几乎乎不需要要配置。5随机机先期检检测（rranddom earrly dettecttionn，REED）前面面介绍的的排队机机制是基基本的拥拥塞控制制策略。尽尽管这些些技术对对控制拥拥塞是必必须的。

31、但但它们对对避免拥拥塞现象象的发生生都显得得无能为为力。随机先先期检测测监视网网上各点点的通信信负载，如如果拥塞塞增多，就就随机丢丢弃一些些分组，当当源分布布点检测测到通信信丢失，降降低传输输速率。RRED可可以在各各连接之之间获得得较好的的公平性性，对突突出业务务适应性性较强。6加权权随机先先期检测测（weeighhteddranndomm eaarlyy deetecctioon，WWREDD）加权权随机先先期检测测是将RRED与与优先级级排队结结合起来来，这种种结合为为高优先先级分组组提供了了优先通通信处理理能力，当当某个接接口开始始出现拥拥塞时，它它有选择择地丢弃弃较低优优先级的的通信

32、，而而不是简简单地随随机丢弃弃分组。总之，在传统TCP拥塞控制中，结合IP层拥塞控制算法，将是完善Internet拥塞控制最有效的途径。3.1.2.33 网络络设备选选型 设备备的选型型对整个个网络系系统的质质量十分分重要，AA公司做做为一个个成熟的的系统集集成商，有有一套科科学而有有效的质质量管理理体系，首首先，要要考虑用用户的需需求、售售后服务务、关键键应用、特特殊应用用、质量量保证、网网络属性性、目前前系统系系统结构构等几个个方面来来考虑。 现在国国内的著著名网络络设备的的供应商商主要有有三家CCiscco,33COMM和华为为。其中中3COOM的路路由器设设备在中中国使用用不是十十分广

33、泛泛，同时时网络产产品以交交换机为为主要产产品，在在其他网网络产品品方面力力量相对对其他两两家厂商商稍弱。华华为作为为中国重重要的网网络产品品供应商商，产品品线齐全全，种类类多档次次较齐全全在，中中国市场场有一定定的占有有率，价价格比较较便宜，主主要是通通常的网网络应用用环境，在在VPNN、VOOIP和和其他复复杂应用用中比较较少。CCiscco做为为全球最最大的网网络设备备供应商商，在路路由器和和交换机机领域的的成果有有目共睹睹，它的的产品应应用在世世界各个个角落，在在中国也也广为使使用。CCiscco产品品线齐全全，从小小型的SSOHOO用路由由器和交交换机到到大型骨骨干路由由器、交交换机

34、一一应俱全全。同时时产品端端口密度度高，同同一产品品具有多多种不同同配置方方案有利利于产品品的多功功能化如如VOIIP、VVPN等等。它拥拥有许多多独创的的技术如如ISLL、NeetFllow、Fasst EEtheerChhannnel等等，对系系统今后后的演进进和发展展有很大大好处，而而在IPP广域互互连上，CCISCCO具有有最大的的优势，同同时由于于Cissco完完整的产产品线为为用户提提供了丰丰富的选选择余地地，Ciiscoo网络设设备的优优秀兼容容性也为为和其他他公司产产品互连连提供了了可靠的的保证。在在售后方方面，CCISCCO也做做的很好好，在AA集团综综合网络络信息系系统中原

35、原有设备备大部分分为CIISCOO产品，考考虑到网网络的平平滑性，和和维护方方便等各各个原因因，特别别是特殊殊应用QQOS的的保证方方面，VVPN特特性方面面、安全全方面等等，比其其他两个个厂家都都要成熟熟和更多多的案例例，针对对本次项项目我们们推荐CCISCCO高可可用的产产品在实实现系统统的网络络支撑平平台。3.1.2.44网络部部署 杭杭州A集集团总部部一级节节点,作作为核心心节点,具备如如下功能能:汇接接二级77个节点点的数据据,终结结VPNN隧道,我们建建议采用用CISSCO最最新高性性能路由由器CIISCOO3744-VPPN/KK9作为为核心路路由器, 模块块化 CCiscco

36、337000 系列列应用服服务路由由器充分分利用了了Cissco 17000、226000和36600 系列路路由器针针对WAAN访问问、语音音网关和和拨号应应用等而而配备的的可选的的网络模模块(NNM)、WWAN接接口卡(WIGG)和高高级集成成模块(AIMM)。此此外，CCiscco 337255 和 Cissco 37445 这这两个 Cissco 37000 平平台引进进一种新新的、可可提供更更广泛接接口的高高密度服服务模块块 (HHDSMM)。配配备四个个NM插插槽的CCiscco 337455 路由由器取消消了在每每一对相相邻 NNM 插插槽之间间的中心心导轨，因因此可以以采用两两

37、个 HHDSMM ，而而不是四四个 NNM。配配备两个个 NMM 插槽槽的 CCiscco 337255 路由由器可在在它所配配备的两两个 NNM 插插槽之一一中采用用一个 HDSSM ，并并仍可在在剩余的的 NMM 插槽槽内采用用一个 NM 。采用用新的 HDSSM 之之后，CCiscco 337000 系列列路由器器就能够够集成更更高端口口密度和和新的高高性能服服务了。支持VPN,提供7个广域网接口,和一个Internet广域网口,通过高级集成模块AIM-VPN-HP来实现VPN加密隧道的发起与终结,CISCO3745本身集成了3个WIC卡，我们可以通过提供2个NM-2W模块，配置2个WI

38、C-2T，和1个WIC-1T，共8个，其中7个接入二级节点，另外一个可以作为Internet接驳，Internet接驳速率暂时定为2M，将来可以通过升级到10M。如图所示：在本次项项目中，CCISCCO37745-VPNN/K99最大可可以同时时支持220000个Tuunneels，即即便是220088年全体体上网人人数同时时与总部部通信，都都没有任任何问题题；局域域网采用用天融信信防火墙墙NGFFW40000-S来实实现阻隔隔某些端端口的入入侵和非非法探测测，提供供详细的的日志与与审计功功能，该该防火墙墙也可以以跟入侵侵检测系系统天阗阗5000联动，动动态检测测黑客的的入侵并并禁用相相应端口

39、口，在防防火墙的的DMZZ部署WWEB服服务器供供外部访访问，详详细描述述见网络络安全设设计。对于三级级节点的的VPNN接入就就可以支支持多种种方式了了，最经经济的方方式就是是采用SSITEE TOO Clliennt方式式，由CCISCCO自带带的VPPN CClieent（支支持多种种操作系系统）通通过拨号号或通过过专线、IISDNN、FRR等方式式访问VVPN，由由对端的的VPNN网关提提供认证证，具体体方式见见下面章章节：VVPN设设计。整整体拓扑扑如下所所示：3.1.2.55VPNN设计VPN（虚虚拟专网网）是利利用公共共网络资资源(如如公用电电信网)为客户户组建专专用网的的一种技技

40、术，它它通过对对网络数数据进行行封包和和加密传传输，在在公网上上传输私私有数据据，达到到私有网网络的安安全级别别，从而而利用公公网构筑筑专网（即即VPNN）。它它是一种种逻辑上上的专用用网络，向向用户提提供专用用网络所所具有的的功能，但但本身却却不是一一个独立立的物理理网络。本次项目目中根据据前面规规划：在一级节节点与二二级节点点之间部部署端到到到端VVPN：Sitte TTO SSitee，结构构为星型型结构：HUBB-SPPOKEE。在二级节节点与三三级节点点部署端端到点方方式VPPN：SSitee TOO Cllintt。在本次项项目应用用中考虑虑到传输输的有视视频、语语音、数数据3类类

41、信息，各各类信息息对网络络环境都都有一定定的要求求，特别别是VPPN环境境下的实实现更是是比较复复杂，我我们采用用CISSCO337455、26621XXM VVPN多多应用服服务器可可以支持持V3PPN，即即能在IIPseec隧道道上实现现视频、语语音、数数据3类类信息的的封装，而而保证IIP中的的QOSS特性不不改变，从从而保证证数据的的IP连连贯应用用。这个个过程多多用户来来讲是透透明的。在CISSCO337455、26621XXM中，提提供122.2(13) T或或以上版版本的IIOS，支支持IPPSecc 提供供DESS 和3DEES的 Addvanncedd Enncryyptii

42、on Staandaard (AEES)，新新型的AAES支支持1228-bbit keyy (ddefaaultt), 和 1992-bbit keyy, 或或2566-biit kkey.提供更更加复杂杂更加安安全的应应用。如如图所示示：通过以上上设计可可以保证证原来的的QOSS机制在在网络中中一直启启用，保保证网络络的平滑滑。考虑到网网络规模模的变大大，如将将来可能能需要建建立新的的办事处处或地域域性分公公司，这这样添加加的路由由器可能能会对基基于传统统IPssec方方式的VVPN造造成一定定的影响响，我们们可以采采用IPPsecc+GRRE（通通用路由由封装）技技术来实实现基于于IP路

43、路由收敛敛的VPPN技术术，这样样，路由由的更新新可以完完全透过过2层VVPN来来实现，这这对用户户来讲是是完全透透明的，一一旦A集集团的规规模发生生巨大的的变化，网网络拓扑扑方式要要变化如如构成MMESHH方式或或节点数数大大增增加，我我们可以以完全在在不更改改设备的的情况下下建立基基于MPPLS VPNN，CIISCOO37445完全全可以设设置PEE路由器器，而CCISCCO26621可可以相应应地设置置为CEE路由器器，这样样整个核核心VPPN网络络就从22层VPPN直接接升级到到3层IIP VVPN构构架来了了。在二级节节点与三三级节点点采用端端到点方方式VPPN：SSitee TO

44、O Clliennt。对于3级级节点加加入到集集团VPPN当中中来，就就非常方方便了，我我们购买买的CIISCOO37445和CCISCCO26621 VPNN路由器器，随机机附带了了一份CCD，包包含了CClieent端端IPssec程程序，该该程序非非常简单单大部分分的设置置都是预预定义的的，VPPN访问问策略和和配置可可以直接接从相应应所属的的二级或或一级VVPN Gattewaay（这这里是337455或26621路路由器）直直接下载载，目前前VPNN Clliennt可以以支持如如下系统统Winndowws 995(OOSR22+), 988, MME, NT 4.00, 22000

45、0, XXP, Linnux (Inntell), Sollariis (UlttraSSparrc-332 & 644 biit) andd MAAC OOS XX 100.1 & 110.22 (JJaguuar)3.1.2.66网络管管理在本方案案中采用用了CIISCOO的解决决方案，对对于网络络的管理理，我们们建议采采用CIISCOOWORRKS220000。CisccoWoorkss20000服务务管理解解决方案案建构在在第3层层结构基基础之上上，包括括可远程程安装的的数据收收集应用用、Ciiscoo IOOS的内内嵌式技技术以及及一整套套融合了了业界最最先进的的评估服服务和定定额引擎擎的应用用软件。该该解决方方案的构构件包括括： 管理引擎擎11110（MME11110）可在在网络中中远程安安装，是是具有极极高扩展展性和灵灵活性的的数据收收集解决决方案。MME11110是是专为收收集Ciiscoo设备的的度量数数据而设设计，并并允许在在数据收收集需求求增长的的情况下下暂停管管理服务务器来安安装新的的ME111100设备。 服务保障障代理一种种用来确确定度量量数据服服务级别别的技术术，以验验证度