1、本科生毕业设计(论文)I摘要随着人类社会发展的信息化、高科技化和全球化,物流已受到各国政府、学者和管理者的高度重视,并已成为当今社会经济活动的重要组成部分。物流网络是物流的重要组成部分,物流网络涵盖物流及供应链中的各个环节,物流网络规划是指对企业自身及物流网络内部的传统的业务功能及策略进行系统性、战略性的调整和协调,从而提高物流网络整体的长远业绩,由此保证网络相关企业能够长期稳固的互利合作。网络优化的总目标是网络总成本的最小化,包括库存持有成本、仓储成本和运输成本,同时满足客户对反应时间的要求。物流网络的最优化通常是在满足客户反应时间要求的前提下,使分销设施数目尽可能地减少,在库存持有成本与运
2、输成本之间达到平衡。关键词物流;网络;功能;运输本科生毕业设计(论文)IIABSTRACTWITHTHEDEVELOPMENTOFHUMANSOCIETY,THEINFORMATIONTECHNOLOGYANDGLOBALIZATION,LOGISTICSHASBEENHIGHLYVALUEDBYGOVERNMENTS,SCHOLARSANDMANAGERS,ANDHASBECOMEANIMPORTANTPARTOFTHESOCIALECONOMICACTIVITIESTHELOGISTICSNETWORKISANIMPORTANTPARTOFTHELOGISTICS,LOGISTICSNET
3、WORKCOVERINGALLASPECTSOFLOGISTICSANDSUPPLYCHAIN,LOGISTICSNETWORKPLANNINGISABUSINESSFUNCTIONANDTHETRADITIONALSTRATEGYOFINTERNALENTERPRISESANDLOGISTICSNETWORKADJUSTMENTANDCOORDINATESYSTEM,STRATEGIC,SOASTOIMPROVETHELONGTERMPERFORMANCEOFLOGISTICSNETWORKASAWHOLE,THUSGUARANTEETHENETWORKRELATEDENTERPRISESB
4、ENEFITANDLONGTERMANDSTABLECOOPERATIONTHETOTALGOALOFNETWORKOPTIMIZATIONISTOMINIMIZETHETOTALCOSTOFTHENETWORK,INCLUDINGINVENTORYHOLDINGCOST,STORAGECOSTANDTRANSPORTATIONCOST,ATTHESAMETIMETOMEETCUSTOMERREQUIREMENTSONREACTIONTIMETHEOPTIMIZATIONOFLOGISTICSNETWORKISUSUALLYINORDERTOMEETTHECUSTOMERRESPONSETIM
5、EREQUIREMENTS,MAKETHEDISTRIBUTIONOFTHENUMBEROFFACILITIESTOREDUCEASMUCHASPOSSIBLE,THEINVENTORYHOLDINGCOSTANDTRANSPORTATIONCOSTBALANCEKEYWORDSLOGISTICS;NETWORK;FUNCTION;TRANSPORT本科生毕业设计(论文)III目录第1章绪论111选题背景112课题来源及意义113网络规划达到的目标及结论214现有网络基础2第2章项目需求分析321网络系统需求322服务器系统需求4221ERP生产系统服务器5222ERP开发/测试、培训系统服务
6、器723存储备份系统需求824网络安全系统需求9第3章网络建设目标、原则1131网络建设的目标1132网络建设原则1133网络建设的主要内容12第4章系统的总体设计1441网络的总体结构1442传输信道设计1543核心网络设计1544互联网接入设计1845网络管理、接入认证、日志审计系统设计1846IP地址规划2247路由协议2348与原有设备互联2649服务器整体结构26410服务器功能分配26411服务器选型26第5章IBM主机存储建设方案2851IBM服务器建设方案28本科生毕业设计(论文)IV52IBM存储方案29521整体结构29522备份管理软件设计30第6章SUN主机存储方案36
7、61整体结构3662存储系统3663备份策略37第7章结论40参考文献41致谢42附录A43附录B46附录C46本科生毕业设计(论文)1第1章绪论11选题背景物流网络是物流过程中相互联系的组织与设施的集合,一个完整的物流网络是由各种不同运输方式的运输路线和物流节点共同组成的。物流网络定义为“在网络经济和网络信息技术条件下,适应物流系统化和社会化的要求发展起来的,由物流组织网络、物流基础设施网络和物流信息网络三者有机结合而形成的物流服务网络体系的总称”。具体来说物流网络是由多个节点和联系节点的链接共同构成的网络配置系统,网络成分之间是相互补充的。在线路上进行的活动主要是运输,包括集货运输、干线运
8、输、配送运输等。物流功能要素中的其他所有功能要素,如包装、装卸搬运、保管分获、配货、流通加工等,都是在节点上完成的,信息处理则贯穿到整个物流网络中。所以从这个意义上讲物流节点是物流网络中非常重要的部分,需要认真的规划设计。实际上,物流线路上的活动也是靠节点组织和联系的,如果离开了节点,物流线路上的运动必然陷入瘫痪。物流网络是物流网络化的一种具体形态。其中,物流组织网络是物流网络运行的组织保障;物流基础设施网络是物流网络高效运作的基本前提和条件;物流信息网络是物流网络运行的重要技术支撑。物流网络既不是单纯指企业内部的物流网络,也不是指外部的物流网络,而是一个相对综合的概念,是基于互联网的开放性、
9、资源共享性,运用网络组织模式构建起来的新型物流服务系统。物流网络的目的是实现物质的空间效益和时间效益,再保证社会再生产顺利进行的前提条件下,实现各种物流环节的合理链接,并取得最佳的经济效益。具体而言,设计一个物流网络,可能包含以下多种目的。如提供优质服务;准时快捷;节约;规模化;库存控制。物理网络概念的另一要点是“构成要素的有机整体”。物流网络的构成要素包括物资、装卸搬运设备、物流设施、仓储、配送、包装和流通加工、运输、人员和信息。物流网络的基本特征具有服务性、开放性、信息先导性、外部性和规模效应、整体性、服从性。12课题来源及意义国际物流包括国际间交易、存储、海洋运输、铁路运输、航空运输、邮
10、政运本科生毕业设计(论文)2输、联合运输、加工与通关等流程。游鱼涉及跨国界或跨政治实体的贸易行为,就需要必要的现代物流能力来应付不同法规、法律、传统、文化,和应对不同的客户群。国际物流作为国际贸易过程中一个重要的环节,其布局的主要依据是以各类港口、国际物流园区设施相互配合。国际物流网络是指不同国家或地区货物流动过程中相互联系的组织和设施的集合,其目的是为国际贸易和跨国经营服务。13网络规划达到的目标及结论国际物流网络的功能的主要包括商品的运输、存储、装卸、检验包装、流通加工和其前后的整理、再包装及国际配送等。其中,存储和运输是国际物流的基础和核心。国际货物运输是国际物流网络的核心,运输费用在国
11、际贸易商品价格中占有很大比重,国际货物运输活动包括选择运输方式、处理运输单据以及投保等方面。对于国际运输来讲,是商品短距离的搬移,是仓库、运输、交货等环节的纽带和桥梁国际贸易和跨国经营的商品从供应地被集中运往装运港口,再经目的港口送往接收地,此过程是一个集散过程。商品检索是国际物流网络的重要特征,商品检验正也是议付重要货款单据之一。流通加工是国际物流中具有特殊意义的物流形式,其作用是使商品更好的满足消费者的需求,主要在出口工厂、保税区和保税仓库内进行。国际物流信息的主要内容包括进出口单证的操作信息、支付方式信息、客户资料信息、市场行情信息等,特点是信息量大、时间性强、交换频繁。国际物流装卸搬运
12、与配送作业,相,实现的也是物流的空间效益。此外,从国际经验来看,转口贸易是从国际自由贸易区设立和发展中受益最大的一种贸易活动,也是国际自由贸易区的一种主要功能14现有网络基础目前,X部局域网除太重铸锻各分厂外,已基本建成和连通。网络主干带宽为100M,铺设的光纤以单膜4芯为主,主交换设备CISCO3550EM,各单位使用的交换机以二层交换机为主,大多数交换机不支持标准网管,给网管人员带来很大的不便,且使用品牌较杂,主要有华为、神码、DLINK等。现有网络设备性能过低,基本不具备安全控制功能,无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。本科生毕业设计(论文)3第2章项目需
13、求分析本次项目就是为了满足信息化建设需求,建设物流公司网络的支撑平台,内容包括平台的整体架构设计;数据中心机房建设;服务器、存储系统、网络、安全等设备的选型和采购;系统的集成;网管体系、安全体系、运维体系的建立。针对标段二中的设备和软件,系统地具体需求为针对本次项目建设的特点,系统需要保证业务724小时的连续性,可用性。因此本次系统建设的总体需求有可管理性,实现设备的自动化远程管理控制。实现人员上网的自动化管理控制。无单一故障点,从主机硬件配置、网络设备、网络线路、网络协议、路由协议等方面都要考虑到系统的可靠性、可用性,保证系统的整体冗余;建立先进的数据存储和备份管理系统,保证数据的完整性、可
14、用性、可恢复性。主机配置内存容错、硬盘RAID技术、网卡(HBA卡)冗余、冗余风扇电源网络设备背板冗余、电源冗余、VRRP实现交换机之间冗余网络线路多条线路之间的负载均衡、故障切换网络协议、路由协议采用主流技术,实现故障自动切换。存储系统采用SAN冗余结构,配置冗余控制器,数据管理控制软件。容灾系统建议目前采用数据级的容灾,实现数据的高可靠性。高性能由于业务的特点,应用处理再特定时段会出现处理高峰,这就对数据传输带宽、服务器、存储系统提出了很高的要求。备份及容灾实现为保证数据的完整需要进行数据的安全保存和快速恢复,在业务高峰时,需要同时兼顾业务处理和数据备份,对存储设备和备份系统提出较高的要求
15、。21网络系统需求网络主干带宽为100M,铺设的光纤以单膜4芯为主,主交换设备CISCO3550EM,各单位使用的交换机以二层交换机为主,大多数交换机不支持标准网管,给网管人员带来很大的不便,且使用品牌较杂,主要有华为、神码、DLINK本科生毕业设计(论文)4等。现有网络设备性能过低,基本不具备安全控制功能,无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。物流公司网络现有结构和拓扑如下图图21物流公司网络结构拓扑图针对目前网络的现状主要存在以下问题1、随着网络规模的扩大,对网络核心的处理能力提出了很高的要求,需要提供高达数百G的交换容量和数百M的转发速率。2、ERP应用有大
16、量的数据在网络进行传输,并且在特定的阶段有传输高峰的出现,对网络带宽提出了很高的要求。3、ERP系统需要大量的主机运行平台,为了实现用户对服务器的快速访问,需要建立一个服务器区,实现服务器的集中访问和管理。4、为了保证网络的运维管理,所有网络设备必须支持网络管理,并且支持VLAN划分以及8021X认证,实现对端口级别的管理和控制。5、利用原有的部分交换机,实现与老系统的互联和统一管理。22服务器系统需求ERP服务器设计的范围包括太重集团ERP项目的所有模块,即ORACLE本科生毕业设计(论文)5EBUSINESSSUITER11IV11510。在试点项目实施的模块为ORACLEEBSR11I的
17、财务管理、生产管理、销售管理、采购和供应管理、库存管理、人力资源管理及商务智能。ERP系统对于主机运行平台的需求1、ERP项目牵涉到的单位多,访问用户量大,访问频繁。2、软件采用集中模式,对核心的生产服务器的性能有很高的要求。3、为了保证生产系统的稳定,所有的软件必须要在测试环境中经过验证后,才可以上线运行,需要准备一套开发测试以及内部培训的环境。4、由于系统需要724小时的不间断运行,对服务器的可靠性要求很高。5、所有服务器都要具有很好的扩展能力,保证未来的35年内的性能扩展。6、实现与网络系统和存储备份系统的连接。221ERP生产系统服务器数据库服务器负责进行数据的处理,而应用服务器负责与
18、前端客户机的联系,接受处理请求并进行相应处理。ERP数据库服务器、应用服务器支持最大扩充至16路CPU,256G内存来增加系统性能,数据库服务器与应用服务器互为双机热备。因此,作为数据库服务器的机型应具备较高的可扩充性,单机性能至少应能满足3年内的扩展要求。配置前提条件预计有500用户使用ORACLEEBS应用系统此系统配置采用集中模式,即包括集团公司,下属子公司/分公司的用户安装一套数据库和应用软件,即生产环境。数据库服务器和应用服务器分开配置,提高性能。数据库服务器软件配置ORACLEAPPLICATION11510;ORACLE9I9205ENTERPRISEEDITION;WORKFL
19、OW26应用服务器软件配置DEVELOPER6IFORMSSERVER,REPORTSSERVER,GRAPHICS6I;APACHESERVER139;ORACLEJRE118;JDK131;DISCOVERERSERVEROPTIONAL;ORACLE806/816数据库服务器、应用服务器基本配置要求用途核心数据库服务器,应用服务器选型小型机,支持SMP数量2台工作方式数据库服务器节点,应用服务器节点本科生毕业设计(论文)6每台服务器主要配置要求及对应数量如下表21服务器配置表项目当前配置要求可扩充性CPU4CORE64位CPU(主频15GHZ)至少可扩充到16个CORECPUL2高速缓存
20、需标明实际值L3高速缓存需标明实际值内存8GB200GB微分区支持扩展插槽I/O66个内存、PCI插槽动态再分配功能支持内部磁盘容量146GB10KULTRA320SCSI2(镜象)18TB以太网口21000BASET或21000BASESX64位(光口)HBA适配器2FIBERCHANNELADAPTER(4G)或其它连接方式DVDROM1内置式软件提供UNIX操作系统(支持无限用户数、简体中文)及相关系统管理支持软件TPCC(当前配置)150,000TPMC600,000TPMC处理器到内存带宽18GBPS三级(L3)高速缓存需标明实际值RAID支持RAID1机柜安装2台主机显示器、键盘、
21、鼠标原厂商机柜式显示器、键盘、鼠标,切换器(支持16套系统以上)1套及相关线缆电源2交流220V双电源(支持负载均衡和互为备份)售后服务免费3年(7X24)保修服务本科生毕业设计(论文)7ERP系统作为关键应用系统,必须考虑对高可用性的支持,要求服务器以后可扩展为服务器集群。随着ERP系统的上线运行,太重的主要业务完全依赖该系统,必须保证系统724小时连续运行。222ERP开发/测试、培训系统服务器ORACLEEBUSINESSSUITER11IV11510系统的配置为三套系统,即生产系统、开发/测试系统、培训系统;客户化工作在开发/测试系统上进行,并进行综合功能测试,通过测试,则移交到生产系
22、统。而开发/测试系统和培训系统的配置以满足需求,经济实用为原则,本次需配置2台相同机型的开发/测试系统和培训系统服务器,最大用户数为50人,使用模块与生产系统相同。开发测试服务器基本配置要求用途开发测试服务器及培训服务器选型小型机,支持SMP数量2台工作方式单独运行每台服务器主要配置要求及对应数量如下表22测试服务器配置表项目当前配置要求可扩充性CPU64位2CORECPU(主频15GHZ)内存4GBL2高速缓存需标明实际值L3高速缓存需标明实际值微分区支持扩展插槽I/O3内存、PCI插槽动态再分配功能支持内部磁盘容量146GB10KULTRA320SCSI2(镜象)24TB以太网口21000
23、BASET或21000BASESX64位(光口)HBA适配器2FIBERCHANNELADAPTER(4G)或其它连接方式本科生毕业设计(论文)8DVDROM1内置式软件提供UNIX操作系统(支持无限用户数、简体中文)及相关系统管理支持软件TPCC(当前配置)90,000TPMC处理器到内存带宽需标明实际值三级(L3)高速缓存需标明实际值RAID支持RAID1电源2交流220V双电源(支持负载均衡和互为备份)售后服务免费3年(7X24)保修服务23存储备份系统需求从以下三个方面来分析太重对存储系统的需求一、ERP系统实施对数据存储平台的要求1、基础数据涉及面广,获取难度大,收集过程需要不断的抽
24、取、添加、修改和整合,要求数据存储平台能够提供一个稳定、可靠和适应性强的环境,既保证数据存储的安全、可用,又能适应数据的不断增长进行容量、性能和功能等多方面的扩展,更为重要的是,具备一套可随时回退的安全保护弹性机制,满足ERP项目实施对数据安全和使用的特殊要求;2、软件的大量修改测试和数据的反复使用回退,要求数据存储平台能够具备高效、快速的回退能力,可以在大量软件和数据的不同版本中自由的切换,大幅缩短系统开发的过程,加快实施进度。3、实施工作组在系统开发、测试的过程中,必然涉及大量的文件、数据、软件、资料等信息共享和传播的过程,要求数据存储平台能够提供一个资料信息集中共享的场所,并能够为不同的
25、角色定义不同的控制权限,一方面提高实施效率,另一方面也保证资料数据的安全。二、ERP系统上线后对数据存储平台的要求大量的企业ERP项目的实施经验表明,ERP项目上线后常常存在以下问题软件本身的BUG等问题,导致ERP系统运行的不稳定,甚至数据的丢失;系统流程不规范,需要进行修改、改进ERP系统与其它信息系统(如PDM、CAPP等)的兼容性问题,显然,ERP项目的实际应用必定会给整个企业带来一个阵痛期,如何保护企业在此阵痛期的业务开展和稳定运作,以及最大程度缩短阵痛期本科生毕业设计(论文)9的时间。一个有效的解决办法利用数据存储平台可回退到任一时间点的特性,使软件、数据可迅速恢复到故障发生之前的
26、时刻,避开不稳定的因素,保持继续运行,同时快速调配相关资源进行攻关,解决系统隐患。另外,为最大程度的保护应用系统数据,并有效降低对系统资源的占用,要求数据存储平台可灵活的制定针对不同性质应用系统的保护策略,如产品业务数据每隔1小时备份一次数据,OA系统每隔3小时备份一次数据,公众服务每隔一天备份一次数据等。从而充分避免了硬件故障、软件错误、人为误操作、病毒侵袭、恶意攻击等对信息系统的危害,保护企业稳定运作。三、业务发展对数据存储平台的要求稳健发展、技术创新和效益的不断提高,必然对信息化建设的要求更高更严格,可以预见,在不久的未来,仍将有更多的应用系统投入运行,更多的数据信息被处理。因而,对作为
27、企业信息化建设支撑平台的数据存储系统,提出了以下的要求容量可在线的扩展,能够适应未来数据快速膨胀的需求;性能可同步的增加,能够支持更多的应用系统对更多的数据进行处理;功能可灵活的升级,包括未来对企业园区里多个信息中心建设的支持、数据的园区网内充分共享、重要数据的异地容灾系统建设。总而言之,从太重集团的实际业务和信息系统建设情况出发,太重集团对数据存储系统有以下要求1、稳定、可靠,无单点故障;2、具备快速回退和切换能力;3、提供测试数据的实时抽取界面;4、容量、性能和功能可按需扩充;5、灵活的数据保护策略。24网络安全系统需求信息化网络建设,涉及与INTERNET的连接,涉及到与多个下属部分单位
28、的连接。ERP应用、OA应用、WWW应用、FTP应用等等需要针对不同的部门、不同的人员服务,对网络的安全提出了以下的需求1、采用安全控制措施,实现人员的集中管理和控制。2、采用安全措施,加强对核心服务器系统的保护。3、用安全措施,实现与INTERNET的安全连接,同时对外提供服务。本科生毕业设计(论文)104、采取安全措施,实现网上行为的审计,进行事中、事后分析。5、实现集中统一的全网安全管理,减轻管理的负担。本科生毕业设计(论文)11第3章网络建设目标、原则31网络建设的目标本次物流公司网络建设的主要目标为1、建设覆盖本次应用软件系统所涉及的所有单位和用户,利用千兆以太网技术构建高性能、高可
29、靠性、安全、可管理的网络平台。2、建设满足应用运行的主机存储平台,实现应用的集中部署,实现数据的集中存储、集中备份和管理,实现快速的备份和恢复。3、建设网络安全管理系统,实现对设备、人员、网络行为、终端设备的安全管理。32网络建设原则本次系统建设应满足以下总体设计要求1、高可靠性在系统整体设计中应选用高可靠性设备产品,设备充分考虑冗余、容错能力和备份,同时合理设计总体架构,制订可靠的QOS质量保证策略,最大限度保障系统正常运行。2、可扩展性根据未来业务的增长和变化,系统可平滑扩充和升级,避免在系统扩展时对网络架构的大幅度调整。3、可管理性支持集中监控、分权管理,以便统一分配网络资源。支持故障自
30、动报警。4、高性能设计必须保障网络及设备的高吞吐能力,保证数据的高质量传输,预留出一定的流量增长的范围,保证在可预见的将来满足流量要求,避免网络瓶颈影响整体的系统应用。5、先进性和成熟性网络设备采用先进的技术和制造工艺,对于路由协议支持、数据流量分配,抵御网络攻击、高性能方面保持技术领先,网络结构和路由协议采用成熟的、普遍应用的并被证明是可靠的结构模型和技术。本科生毕业设计(论文)126、标准开放性支持国际上通用标准的网络协议、国际标准的应用与大型网络规模的动态路由协议等开放协议,保证与其它网络之间的平滑连接互通,保证与其它主流网络产品的兼容性,以及将来网络的扩展性。7、成功应用针对ERP系统
31、这种关键业务应用,所选择的设备必须要经过长时间的成功应应用检验,具有非常高的市场占有率。33网络建设的主要内容建设内容主要网络建设、服务器建设和存储系统建设三个部分。网络建设的主要内容有;1、核心网络系统建设,通过双核心交换机实现核心的高性能和高可靠性。2、在数据中心采用一台数据中心交换机实现到服务器的连接。3、在重工、起重机公司、轮轴公司、油膜轮轴公司部署汇聚交换机,通过千兆光纤实现实现到两台核心交换机的冗余连接。4、在上述四个公司的配线间部署接入交换机,实现终端用户的接入。5、在INTERNET的出口处部署路由器,实现到INTERNET的连接。6、在核心区部署2台防火墙、2台入侵防御系统,
32、分别作为冗余配置,保证核心区服务器和应用的安全。7、在INTERNET入口处部署防火墙(原有NS25)、入侵防御系统,保证网络边界安全,构建DMZ区域,部署交换机(原有的华为S5000交换机)实现对外的信息发布。8、在核心区部署接入认证、网络管理、日记审计、防病毒(原有的)等应用软件系统,保证整个网络设备、人员、应用的安全。9、调整网络结构,由原来的多级代理改为直接连接,保证了C/S应用的访10、实现与原有网络设备的连接。服务器系统建设1、生产系统建设数据库、应用服务器系统建设2、开发、测试、培训环境建设3、实现与网络系统、存储系统互联。4、网络安全管理软件部署存储系统建设1、存储系统建设。本
33、科生毕业设计(论文)132、备份系统建设3、备份管理、数据管理软件的安装调试本科生毕业设计(论文)14第4章系统的总体设计41网络的总体结构根据标书要求及其应用需求,鉴于太重各部门的特殊安全性要求,在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则,利用标准IPMPLSVPN技术,保证网络的互联互通性,并提供各部门、应用系统网络间的逻辑隔离VPN,保证互访的安全控制,同时通过QOS和基于MPLSVPN的流量工程(TE),保证关键业务在网络上传输的优先级。对于基于同一传输网络之上的多个不同部门、应用系统之间的业务和数据隔离,我们设计采用MPLSVPN技术实现网络横向业务部门的隔离和纵向应
34、用系统的互通,所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性,充分保护用户投资。根据网络业务不断发展的需求,未来将在现有数据网络平台基础上增加语音、视频等业务功能,并将各种业务充分融合,统一实现,从而构建一个基于“三网合一”概念的企业信息化综合业务平台。全网分为两部分骨干网络和网络中心。骨干网络采用核心层、汇聚层、接入层的部署思路,各部分描述如下核心层数据网主干网络设备采用交换机进行组网,配置两台高性能核心三层交换机,完成各汇聚节点与核心节点以及各汇聚节点之间的数据高速路由转发以及各节点园区网的业务汇聚,并在整个骨干网上启用MPLSVPN,进行业务隔离。核心层为下两层提
35、供优化的数据传输功能,它是一个高速的路由交换骨干,其作用是尽可能快地交换数据包,满足汇聚节点与核心节点之间高速通信的需要。为保证本项目未来规模庞大,业务众多的特点,核心交换机应具备尽可能强大的性能、业务支持和端口接入的扩展能力。汇聚层每个汇聚节点的汇聚交换机通过2个1000M光口与集团公司数据中心的2台核心交换机相联,构成双核心,双归属的骨干网络。汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。在整个网络环境中,汇聚层主要提供如下功能部门和工作组的接入和汇聚,VLAN的路由,MPLSVPN的封装,实现MPLSVPN对多种业务的安全隔离和带宽
36、保障,安全控制等。接入层接入层节点采用百兆三层接入交换机,千兆光/电接口上联汇聚交本科生毕业设计(论文)15换机,支持8021X接入,做到面向端点的安全控制能力。总体结构图图41总体结构图42传输信道设计采用现有光缆资源,以网络中心辐射至各汇聚点。现有各条光缆主要为4芯单模,可满足本次项目“双核心”的部署方式。各汇聚点至接入层交换机,可根据各汇聚区域的具体情况和实际距离,通过千兆光/电接口灵活连接。网络中心内部各设备均采用千兆以太网电缆互联。43核心网络设计根据招标文件结合用户实际需求,本次采用“双核心”、“双归属”的方式,构建核心汇聚骨干网络,汇聚接入千兆连接。根据总体结构图,核心交换机至各
37、个业务区域和汇聚节点均采用双千兆单模光纤,保证链路的可靠性;汇聚交换机至各接入交换机采用千兆单模光纤。本科生毕业设计(论文)16核心交换机作为全网数据和业务的核心,网络上所有业务的数据流都要经过核心交换机进行交换,因此它的安全性、可靠性和高性能对于全网数据和业务应用的正常开展至关重要。建议采用模块化万兆核心路由交换机。1、引擎、电源等关键部件全部采用冗余设计,支持多操作系统、多配置文件,保证可靠性;2、全面支持分布式IP/MPLSVPN业务转发,保证高性能;3、内置的8021XSERVER可以作为接入认证服务器的备份系统;4、硬件支持IPV6,支持10GRPR高速环网数据接口,满足未来构建企业
38、大型核心环网要求;汇聚交换机汇聚层在骨干网络中起到承上启下的作用,应具备可靠性、高性能和多业务兼顾的特点。采用万兆核心路由交换机,在本项目中具备如下特色1、引擎、电源等关键部件全部采用冗余设计,支持多操作系统、多配置文件,保证可靠性;2、全面支持分布式IP/MPLSVPN业务转发,保证高性能;3、完善的ACL、流量监管、多元组绑定等安全机制;4、硬件支持IPV6,支持10GRPR高速环网数据接口,满足未来构建企业大型核心环网要求;接入交换机在一个大型园区网络里,接入交换机具有数量多,部署分散的特点,且直接负责终端的接入,应具备可管理性强、端口控制能力强、性价比高的特点。建议选用的三层接入交换机
39、,具备如下优势1、支持堆叠,至此对堆叠组虚拟管理,完全可看作一个设备,使可管理性大幅度提高。2、具有良好的端点控制能力,支持丰富的MAC、IP端口的灵活绑定。3、支持8021X认证功能,可通过此功能实现对终端接入的控制。4、VLAN能力强,支持最高的4096个VLAN;网络安全系统设计数据中心是本网络最重要的部位,是信息化的神经中枢,数据中心的设计应具备最高的安全性,同时应保证流畅的带宽和一定的可靠性。作为一个单独的区域来建设,结合招标文件,我们采用“防火墙IPS服务器交换机”的建设思路,全部采用双千兆设备,全千兆连接的方式,保证给数据中心最强大的安全保障能力和数据吞吐量。对数据中心做如下部署
40、核心防火墙防火墙可以部署在网络内部数据中心的前面,实现对所有访问数据中心服务器的网络流量进行身份控制,提供对数据中心服务器的保护。除了本科生毕业设计(论文)17完善的隔离控制能力和安全防范能力,数据中心防火墙的部署我们同时考虑两个关键特性高性能数据中心部署大量的服务器,是整个网络的数据流量的汇集点,因此要求防火墙必须具备非常高的性能,保证部署防火墙后不会影响这些大流量的数据传输,不能成为性能的瓶颈;可靠性所有数据服务器都部署在数据中心,这些服务器是企业运行的关键支撑,必须要严格的保证这些服务器可靠性与可用性,因此,部署防火墙以后,不对网络传输的可靠性造成影响,不能形成单点故障。基于上述两个的关
41、键特性,我们进行以下设备部署模式和配置策略设备部署模式我们在两台核心交换机上部署两台千兆防火墙,以双链路方式和1G的吞吐量保证可靠性和高性能。安全控制策略防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;在两台防火墙上设定严格的访问控制规则,配置只有规则允许用户能够访问数据中心中的指定的资源,严格限制网络用户对数据中心服务器的资源,以避免网络用户可能会对数据中心的攻击、非授权访问以及病毒的传播,保护数据中心的核心数据信息资产;配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报
42、文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、TRACERT报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制,实现只有IP/MAC匹配的用户才能访问数据中心的服务器。核心入侵防御系统在服务器交换机和核心防火墙之间,部署两台入侵防御系统,和服务器交换机、防火墙设备采用双链路连接,以阻挡防火墙设备不能抵御的系统漏洞攻击、蠕虫病毒、木马程序、间谍软件、DOS/DDOS攻击等。同时入侵防御性能达12GBPS,完全满足1G以上的设备要求,无任何瓶颈。服务器交换机服务器交换机负
43、责众多数据库和应用服务器的接入,在此我们采用一台服务器交换机,其设备在本项目中有如下优势1、以高密度千兆接口的全面满足服务器接入的要求2、支持高的交换交换带宽和转发性能,为服务器的双上行接入提供了更高的本科生毕业设计(论文)18带宽和可靠性3、支持万兆接口,为未来的系统全面升级提前做好了准备4、配置冗余电源系统,进一步提高设备可靠性。44互联网接入设计对外访问区负责全网对INTERNET的访问,同时承载太重门户网站的对外发布和EMAIL系统。虽然现在网络上80的安全隐患都在内网,但互联网出口的安全问题仍然是对企业网络最具威胁的区域,黑客入侵、企业机密数据外泄、新病毒的导入都几乎全部发生在这里,
44、所以互联网接入设计中,安全设计仍然放在首位。我们采用路由器防火墙入侵防御系统(IPS)的方式来构建对外访问区。路由器路由器是连接内外网的纽带,路由器的性能直接影响对于宝贵带宽的使用率,此外对于大型园区网出口,由于内部网络用户数量庞大,路由器应该具备高性能的NAT转发能力。1、高性能具备45MPPS的包转发性能,满足未来千兆线路的全线速转发。2、强大的NAT能力具备50万并发NAT连接的能力,且支持丰富的NAT特性,提供NAT日志的输出,可配合日志审计系统,做到对于对外访问的纪录和跟踪。3、支持RIP、OSPF、BGP、ISIS等多种路由协议4、支持多种网络接口5、支持IPV6防火墙使用原有JU
45、NIPER防火墙,划分DMZ区域,通过原有华为5000千兆交换机,连接门户服务器及EMAIL服务器等。配置策略偏重安全区划分,安全抵御由入侵防御系统着重完成。入侵防御系统配置入侵防御系统,提供4个100M端口,具备1G吞吐量,满足当前接入带宽。重点配置对于黑客入侵、蠕虫病毒、木马程序的防范。45网络管理、接入认证、日志审计系统设计针对太重这种大型的网络系统,网络的运维管理变得非常重要,需要采用必要的手段进行能够网络的集中监控和管理,实现不同厂商产品的统一监控和管理,需要采用一个网络管理平台;同时为了更好的控制网络资源访问权限,监控网上行为,记录外网访问记录、作为事后审计依据,需要增加以下几个部
46、分1、网络管理软件系统本科生毕业设计(论文)192、接入审计系统3、日志审计系统网络管理系统应该包括以下功能网络管理系统应采用分布式、组件化、跨平台的开放体系结构,用户通过选择安装不同的业务组件,可以实现设备管理、拓扑管理、告警管理、性能管理、配置管理等多种管理功能。产品不仅能够独立提供完整的网络管理平台,还能够与OPENVIEW、SNMPC多种主流通用网管平台灵活集成;不仅能够管理配置的网络设备,还能够通过标准MIB管理各主流厂商的网络设备。网络拓扑管理网络管理软件可以通过拓扑发现功能,帮助客户迅速发现网络资源。能够实时监视所有设备的运行状况,通过可视化的网络拓扑界面帮助用户及时了解网络的变
47、化。自动发现网络拓扑结构;支持全网设备的统一拓扑视图;可以灵活裁减拓扑视图,聚焦网络的关键区域;可以灵活选择设备、背景图标,构建逼近真实网络的拓扑;可以直接点击拓扑视图节点,快速查看设备面板;拓扑节点颜色能够直观反映网络、设备状态;可以灵活定制对设备状态的轮询间隔;故障管理网络故障管理功能为用户及时发现问题、深入分析问题、快速解决问题提供了全流程的支持。支持告警快速定位到网络拓扑;支持多种告警通知方式,包括告警声光提示、告警转EMAIL和手机短信;支持告警相关性分析,包括屏蔽重复告警、自动确认相关告警等。支持告警过滤,用户能够按照告警级别、告警源、关键词等过滤条件迅速聚焦到“真正有价值的告警”
48、;可以灵活定义告警级别,以符合客户网络的实际状况;提供常见问题的修复建议。同时用户可以根据实际的维护经验,不断完善丰富维护经验库。网络监视网管系统提供了丰富的性能管理功能,帮助用户主动监视网络的状况,及时发现网络潜在的隐患。同时,丰富的历史性能统计数据为用户升级扩容网络提供了客观准确的参考。本科生毕业设计(论文)20配置管理60的设备故障是因为网络误配置造成的。网络管理员需要定期备份配置文件,跟踪设备配置变化,以保证一旦发生网络故障时,能够利用历史配置备份将网络立刻恢复正常。设备管理提供设备管理功能,通过面板图片,直观地反映了设备运行情况。通过面板图标直观地反映设备的模块、风扇、CPU、端口等
49、关键部件的运行状能够查看、设置设备端口状态;能够查看路由、VLAN等配置信息;能够查看端口流量、丢包率、错包率等关键统计数据;支持对堆叠的管理;支持多厂商设备的统一管理。可管理所有支持标准SNMP网管协议的网络设备,为多厂商设备共存的网络提供了统一的管理方式。自动发现多厂商设备,展示多厂商设备组成的网络拓扑;监视设备性能,包括接口的流量、错包率、丢包率等指标;接收和解析设备告警,提供告警分析和查询功能;接入认证系统设计认证系统应采用分布式、模块化、跨平台的开放体系结构和基于TCP/IP的通信机制,可以平滑扩容、灵活扩展、按需定制。提供了一种低价格、高可靠、高性能的网络安全和用户管理解决方案,能够满足各种规模网络的用户管理、身份认证、权限控制的要求。接入认证系统的功能强大的用户身份认证支持8021X、PPPOE、PORTAL、VPN接入、无线接入等多种认证接入方式。支持PAP、CHAP、EAPMD5、EAPTLS、PEAP等多种身份验证方式,适应不同安全要求的应用场景。支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户认证的安全性,防止账号盗用和非法接入。支持与WINDOWS域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。支持多区域用户漫游。严格的用户权限控制基于
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。