厦华电子企业网设计方案网络系统需求分析1.网络系统建设背景厦门华侨电子企业有限公司（简称厦华电子）成立于1984年，目前共有七个全资子公司和六个合资公司。主要生产彩电、彩色显示器、微机、数字移动电话、传真机等产品。目前的厦华电子1号楼，即办公大楼正在进行装修，并趁此机会进行整个局域主干网的改造。原有的生产hr的厂区寨上厂区和火炬园厂区已完成早期局域网建设。但是由于用户数的增加，网络速度也已跟不上实际应用需要的速度，经常出现延时过大、丢包率高的现象。目前，寨上和厦华总部之间通过一根2MDDN的数据专线实现两个厂区的数据通信，寨上要访问总部的AS/400系统，总部的IT部门则通过IP的视频传输实现对寨上系统机房的实时视频监控。上述的网络现状再加上许多新的应用的逐步引入，对网络的依赖和带宽的需求会越来越高，所以就需要对原有网络进行进一步升级改造。原有厦华电子总部的主干网络设备属于比较早期的产品，主要采用最终用户接入的10M以太网交换机和集线器。火炬园主干采用IBM的100M快速以太网交换机8275。寨上和总部通过IBM2210路由器实现远程的数据通讯。总部与火炬园目前没有数据连接。整个厦华的厂区网络设备有一条128K专线通过Cisco2511与Internet相连接。据估计，需要连入厦华电子主干网的hr在800台以上。其中包括hr中心的Web服务器、DNS服务器、hr服务器、代理服务器、E-mail服务器，还有IBMAS/400小型机作为ERP系统的主服务器。今后根据实际应用，还将逐步增加相应的服务器，如DHCP、LDAP等网络必须的服务器和办公自动化、销售、财务等应用级服务器，随着电子商务全面开展，服务器将有可能大量的增加。2.主干网系统建设的考虑重点网络平台的选择对10MB以太网进行升级，快速以太网、千兆以太网、ATM哪种方式都可以被认为是平滑的升级。它们都是目前最为流行的网络结构，能够提供非常好的服务质量。升级也十分方便，不过相应的一次性投资会比较大。由于目前许多应用都是基于局域网开发的，并没有特别应用于ATM网络中，如果采用ATM为主干网络平台，必须采用局域网仿真技术，才能使现有的应用被平滑地移植。因此我们选用千兆以太网作为厦华电子的网络平台。VLAN技术和路由灵活多样的虚网划分方法，可以满足虚网中的站点不受网络设备接口类型限制；支持网络站点的移动被交换机自动识别并仍保持原来所属虚网属性，而无需网管干预；虚网能延伸到整个网络，可以跨越网络主干。采用分布式路由策略可以减少因集中式路由产生的网络拥塞并降低路由功能支持的成本；交换机内置路由应和外部路由器具有互操作性。网络管理能支持广泛的网络管理平台(如HP的OpenView、Sun的NetManager等)，能提供段内和段外网管功能。能提供对交换机配置/管理、虚网配置/管理及网络性能统计监控的网管工具；支持图形化网管界面。交换机遵循工业桥接标准，若带内置路由应支持工业标准的路由协议；支持任何标准的网络接口；网络管理基于SNMP协议标准，支持标准的MIBs。3.主干网系统的建设目标厦华电子主干网系统采用千兆以太网，为支干提供100M的交换速率。网络应支持三层交换及VLAN的划分，根据部门、功能的分布，网络系统必须提供分布在若干主节点的三层交换机，其下挂接二层或三层交换机，网络必须具有灵活的VLAN划分能力。网络内需要提供安全措施，防止盗用帐户和密码，提供网络用户身份认证，增强整个厂区网的安全性。另外，主干网应该提供对多媒体应用的支持，支持QoS。需要为整个企业内部网络提供可靠的防火墙，防止外来用户对厂区网的破坏，对内部的部分重要部门与企业主干的连接还需要另设防火墙，保证系统的可靠性。必须有强有力的网络管理策略，为整个厂区网提供强大的网络管理功能。总体方案设计1.网络主干我们以厦华电子1号楼为网络中心，采用ALCATELOmnicore5022企业路由交换机通过千兆以太网互联2、4、5号楼，提供IP/IPX协议线速的第三层和第四层交换，形成厂区网络高速主干通信系统。为了实现真正无阻塞高速主干网络，在用户集中访问的通道——1、2、3层楼选用分布式架构，采用两台OmniSwitchRouter5主干交换机通过千兆接入主干网络系统。1号楼1层作为对外开放的窗口，网络配置需要一定灵活性，所以选用第三层交换机，提供到桌面的100M交换和到主干网络系统的千兆上联，1号楼4、5层内部和2、4、5号楼内部分别选用10/100M自适应以太网交换机作为边缘交换设备，通过千兆光纤端口上联到主干网络。厂区内另有一幢办公大楼3号楼由于用户数相对较少，只需提供10个左右端口，所以直接以UTP就近连接主干网络系统。2.IP路由和第三层交换方案目前业内绝大部分厂商所实现的VLAN配置方法，是根据端口来划分VLAN，VLAN是交换机端口的集合，有时只有一个交换机，有时有数个。其优点是简便易用。缺点是若用户从端口转到另一端口后，VLAN要重新制定配置。ALCATEL交换机产品中提供基于端口的虚拟网、基于MAC的虚拟网、基于网络地址的虚拟网、基于网络协议的虚拟网、基于用户定义的虚拟网、基于多址广播虚拟网、基于绑定规则的虚拟网、用户验证，以上各种策略组合九种虚网的组织方法，通过VLAN划分，不但可以提高整个网络的性能，灵活分割广播域，而且可以通过ALCATEL独有的VLAN技术实现网络的安全性。3.网络可靠性和可扩充性设计ALCATEL交换机的“AnytoAnySwitching”技术，可以支持各种交换技术任意集成在同一台交换机中，千兆以太网、ATM、FDDI以及各种广域网技术都可以在同一台交换机中同时存在。即便将来网络要扩展时，可以非常方便地把各种模块任意扩展到现有的交换机中去，而不需要为各种技术购买专门的交换机，可以极大地缩减将来网络升级带来的投资。OmniCore千兆交换机中采用管理模块的冗余配置，在主干千兆交换机中采用电源模块冗余配置，同时也可在其它交换机中采用电源冗余配置。ALCATEL的交换机真正采用无源背板设计，不存在背板上的单点故障，并且采用完全分布式的模块化系统设计，任何模块的故障仅限于该模块本身，不影响其它模块的正常运行。Omnicore系列的高性能路由能力、灵活的连接接口选项以及基于策略的管理、简化的网络体系机构，减轻了网络管理负担。出众的数据转发性能、可伸缩性以及关键性任务的高可靠性，使Omnicore路由交换机成为扩展企业网络的一个极好的解决方案。4.网络安全性设计在努力实现虚拟网之间通讯的时候，即虚拟网之间路由的时候，如何防止企业内部非授权用户对企业机密数据的访问和破坏是我们着重考虑的问题。利用VLAN的安全特性，比如MAC地址规则、绑定规则和用户验证规则组织虚网，可以控制应该属于这个VLAN的用户，则任何不属于本VLAN的站点无法接入，除非通过路由方接入。因此VLAN之间也必须有安全保密功能。为防止非法从系统内部节点上网窃取资料，或未经授权任意访问其他虚拟网段的服务器资源，在VLAN之间的路由端口上提供VLAN之间的安全性。对网络资源的安全性控制有多种方式，加载防火墙、设置用户权限、设置访问控制、数据加密等等。ALCATEL可以把IP防火墙集成在交换机内部，使这些交换机都能够作为全功能防火墙，保护数据不被非授权网络用户访问。此外ALCATEL还开发了HRE-XFiltering的高速包检测技术，以线速控制网络、主机和硬件中的服务，在不影响性能的情况下保护网络的内部安全性。ALCATEL交换机内置的IP防火墙技术可用来分隔内外网络。从而在整个网络中实现分布式防火墙的概念，利用每一个交换机的硬件资源来进行对数据包的检测，根据预先定义的网络安全策略决定数据的通过或丢弃，这样就可以消除防火墙造成的网络瓶颈限制。5.网络可管理性设计作为一个拥有800个用户的网络系统，网络地址的分派和管理是非常重要的。通常的做法是给主机和服务器分派固定的网络地址，对终端用户采用动态分配网络地址的方式。采用动态分配网络地址的方式，就需要添加DHCP服务器，而在每一个VLAN中添加一台DHCP服务器显然是不合适的。不仅增加了设备的投入，增加了设备的维护量，同时还给网络管理员带来不必要的工作负担。我们借助于ALCATEL交换机对DHCP中继的支持，只需在核心网络层放置一台配置相对较好的服务器作为DHCPServer。对终端用户而言，只要他登录到网络上，交换机会接受BOOTP包并作DHCP中继，把DHCPServer返回的网络地址发送给终端用户。
    src="/ec/js/wxgg_ec.js">