IBM产品在大中型企业网络中的应用.docVIP

ＩＢＭ产品在大中型企业网络中的应用方案 本方案以我这次参加的西宁中国移动CMSNET项目为案例来简单做一下网络设计 一．系统总体设计方案概述 １．１电信部门网络是非常典型的综合网络实例。 为了阐明主要问题，在本设计方案中对实际网络的设计进行了适当的和必要的简化。同时，将重点放在网络主干设计上和服务器架设上。 如图１－１是基本的网络拓扑结构图。 上面拓扑中各楼层用户通过各楼层的接入层交换机和分布层交换机连到中心机房的核心层交换机（sw7,sw8），各楼层分布层交换机通过光纤连到中心机房核心层交机。核心层交换机穿过防火墙(firewall)连到路由器r1并接入互联网。 整个网络可分为交换模块、广域网接入模块、远程访问模块、服务器模块。 IP及ＶＬＡＮ规划如下： 　表１.1 Vlan号　 Vlan名称 Ip 段 默认网关 说明 Vlan10 caiwu 192.168.10.0/24 192.168.10.254 财务vlan Vlan20 renshi 192.168.20.0/24 192.168.20.254 人事vlan Vlan30 yewu 192.168.30.0/24 192.168.30.254 业务vlan Vlan40 kaifa 192.168.40.0/24 192.168.40.254 开发vlan Vlan50 caigou 192.168.50.0/24 192.168.50.254 采购valn .. .. .. .. .. 除了表中的IP以外无线用户通过dhcp自动分发192.168.0.0网段的地址。 下面就每个模块具体分析与设计。 二．交换模块设计 2.1本方案网络设计采用分层设计模型，为了简化交换网络设计、提高交换网络的可扩展性，采用分层设计是可行的，也是合理的。 本方案数据交换设备可以划分为三个：接放层、访问层、枋心层。本方案中分布层和核心层都采用了三层交换，高层交换技术的引入不但提高了网络数据交换的效率，更大大增强了网络数据的交换服务质量，满足了不同类型应用程序的需要。 2.2虚拟局域网（vlan）的引入交换机可以把广播域限制在单个ＶＬＡＮ内部，减少了各ＶＬＡＮ间的通信对其它ＶＬＡＮ的影响。在ＶＬＡＮ间需要通信时，可以利用ＶＬＡＮ间路由实现。 当管理员要管理的交换机过多时，可以使用ＶＬＡＮ中继协议VTP简化管理，它只需要在一台交换机上定义所有ＶＬＡＮ，然后通过ＶＴＰ协议将ＶＡＬＮ定义传播到本管理域中的所有交换机上。 当交换机数量不断增加、交换机间链路增加时，交换机的复杂性可能会造成环路问题，这时可以在各交换机上运行ＳＴＰ生成树协议来避免环路。 本方案中客户端用５类双绞线连到接入层，接入层可采用cisco catalyst 2960,分布层可采用cisco catalyst 3560,核心层可采用cisco catalyst 4510, 三．广域网接入模块 本方案中广域网接入模块的功能是由广域网接入路由器cisco 3845来完成的，其中在其上配置ＡＣＬ来控制外部用户访问内部数据和内部用户到外网访问。通过ＮＡＴ来实现地址转换，来节约IP成本和保护内部网络。在防火墙上（firewall）配置相应的策略来保护内网和配合路由器加固网络安全。这里可以在防火墙壁面部属IBM入侵防护系统IPS，当防火墙发现敏感数据时可以把信息告知IBM入侵防护系统，让防火墙和IBM入侵防护系统联动保证网络系统的安全，这里推荐使用IBM GX5000 系列产品。 四．远程访问模块 远程访问的方式有以下三种： 专线接入，优点是很安全，而且速度很快，但价格昂贵。 电路交换如　：isdn ，优点　是价格便宜，但速度太慢。 分组交换如：　x.25,ATM,framerealy,vpn。其中ＶＰＮ技术以成为当今比较受欢迎的一种远程访问方式。它速率即快价格又适中，而且又安全。 　 本方案推荐使用ＶＰＮ技术实现远程访问，其配置起来也比较简便，可以在路由器上实现，也可以在防火墙上实现（本方案是在路由器r1 上）母公司和子公司之间往往通过vpn相互访问（站点到站点vpn,在外出差人员可以通过拨入式vpn访问公司内部数据）。 五．服务器模块 ５．１在本方案中有两台ＩＢＭ　system 3850 M2,两台ＩＢＭ　Ｐ５５０，一台ＩＢＭＤＳ４７００，一台ＳＵＮ交换。两台３８５０　安装ＬＩＮＵＸ5.4系统，其中webserver运行网站服务，aaaserver运行３Ａ（认证，授权，审计）即ＡＣＳ服务，两台服务器通过光纤连到核心交换机sw7上（如果防火墙上端口充足的话可以连到防火墙上，即ＤＭＺ区）。 ５．２两台５５０做双机，提供数据库服务，ds4700做共享，ＳＵＮ交换用来做数据交换，实现双机和磁盘柜的通信。