超市网络规划设计方案 详细版

1、背景分析

永辉超市创建于2000年，十年创业，飞跃发展，已跻身全国性大型商业百亿企业，是福建省流通及农业产业化双龙头企业，被国家商务部列为“全国流通重点企业”、“双百市场工程”重点企业，荣获“中国驰名商标”，于2010年12月15日上海主板上市。

永辉超市是中国大陆首批将生鲜农产品引进现代超市的流通企业之一，被国家七部委誉为中国“农改超”开创者，被百姓誉为“民生超市、百姓永辉”。以现代物流为支撑，以食品工业和现代农业为两翼，以实业开发为基础的大型企业集团，截至2009年7月，拥有大、中型连锁超市150多家（不含便利店），连锁经营面积超过60万平方米，2009年集团年销售总额将超过100亿元，位列中国连锁百强企业45强。

目前，永辉集团拥有自有品牌的食品加工中心，建立了一批自营和合作相结合的养殖与蔬果生产基地，并在全国范围内建立了庞大的远程网络采购体系，即山东果品采购中心、广东服装采购中心、浙江百货采购中心、福建海鲜采购中心、江西水产采购中心、海南果蔬采购中心等。

永辉集团的不断发展，其连锁店分布福建各个地区与省外市场。其中福州市就有47家永辉超市。所以永辉集团的网络信息化建设是集团发展的一个关键部分。

随着计算机技术的发展，信息时代正在来临，信息技术的所带来的巨大经济效益使得各行各业都加快脚步进行信息化。构建一个网上业务平台，利用信息网络和通信技术,高效地帮助集团提高永辉超市的宣传度和知名度。集团的沟通、应用、财务、库存、决策、会议等数据流都在集团网络上传输。构建一个"安全可靠、性能卓越、管理方便"的"高品质"大型网络，已经成为永辉超市信息化建设成功的关键基石。永辉超市网络不仅像校园网络那样有多栋建筑，而且还有许多省内和省外的分支店面，因此网络拓扑结构较为复杂，对网络的安全性要求也比较高。

2、网络需求分析

2. 1 业务需求

整个网络开发过程中，应尽量保证设计的网络能够满足用户业务的需求。网络系统是为了一个集体提供服务的，在这个集体中，存在着职能的分工，也存在着不同的业务需求。

（1）确定组织结构与网络投资规模。

福州永辉超市集团系统采用的是集中式和分布式管理相结合的管理方案，即在总部建立WEB服务，安装相应的管理程序。在各个分店安装实时传输工具，通过网络连接总部服务器。实现日常业务单据的录入、查询、核算等。核心网络、汇聚网络、接入网络、综合布线、机房建设等采取的是一次性投资。从2009年永辉超市年总营业额超100亿。已占据福建本土老大的位置。从销售量的增长与越来越多的消费群体，业务需求不断攀升，现已在几个外省开了分店。网络的规模也随之扩大，需要考虑到目前网络的可扩展性。远程通讯线路的或电信租用线路，培训费和网络维护费，设备维护费等都是永辉集团需要纳入考虑的费用中。而不仅仅是核心交换机与路由器的费用。

（2）通信量的需求。

永辉集团的通信量主要来自于两个方面，其一是一般文件的共享或打印共享，这些只需要1Mbit/s的带宽就够了。通信量要求高的是超市监控系统或多媒体视频服务，这些一般需要10Mbit/s以上的带宽。

考虑到集团目前正在建设强大的远程采购系统，一些省内与省外骨干线路的带宽要求更高，宜采用单模光纤，能保证长距离布线。

（3）确定网络的可靠性和可用性。

福州市目前有47家永辉超市，确保网络数据的实时传输，不会存在仓库商品已出库，而系统还未记录现象发生。当有线路故障后立即完成线路切换。特别是核心交换机，应采用链路冗余技术。

（4）确定网络的安全性。

如财务部的信息是不对外公开的，只对内部一部分人员。在集团内部可以采用划分VLAN策略。既能使各个部门正常地工作，又能做到信息的保密工作。但大多数网络用户的信息是非涉密的，因此提供普通的安全技术措施就可以了。对于有特殊业务的网络，就需要对职员进行严格的安全限制。

（5）确定远程接入方式。

永辉超市在全省各市和外省都设有店面，实现在任意时间、任意地点都可以访问总部的网络资源，可以借助加密技术和VPN技术，从远程站点来访问内部网络。

2.2 用户需求

（1）收集用户需求。

找出用户需要的重要服务或功能。这些服务可能需要网络完成，也可能只需要本地计算机完成。如需要在每个超市内部设置自动拥有查询的系统，如某某用户可在超市中使用计算机查询出所要买物品的方位与价格信息。

（2）用户服务表。

类似于备忘录，在收集用户需求时应利用用户服务表随时纠正信息收集工作的失误和偏差。

2.3 应用需求

永辉超市常见的应用需求有因特网访问、电子邮件、图像图像、视频业务、语音业务、办公自动化等。

2.4 网络需求

（1）局域网功能。

传统局域网络由二层交换机构成局域网骨干，整个网络是一个广播域。在这样的网络中，网段由交换机的一个端口下连的共享设备形成，网段内部用户之间通信不需要通过交换设备，而段间通信需要通过交换设备进行存储转发。现代局域网由三层交换设备构成局域网骨干，这种网络中存在多个广播域，其实就是多个小型局域网，这些小型局域网通过三层设备的路由交换功能互连。

无论是哪种网段，都是计算机节点的一种划分方式。但目前基于三层交换机技术的网段划分方式逐渐成为主流。永辉集团宜采用基于三层交换机的方式。

超市在一天的业务中，业务流量的高分一般集中在早上9点，和晚上8点左右。我们可以对现有网络通过各种测试工具（如HP OpenView、IBM Tivoli NetView）来获取网络流量分析，从而获取当前的网络负载，作为网络升级的参照。

（2）数据备份和容灾中心需求。

对于一些特定行业来说，数据是至关重要的，数据一旦丢失，将会造成不可挽回的损失。永辉集团也不例外，财务部，采购部、一天的营业额等数据是重点内容。采用网络接入存储（NAS）与存储区域网络（SAN），也可采用高级的IP SAN技术。

3、网络组网技术

对于总部来说，应构建一个局域网。永辉福州总部有新旧两幢办公楼、第一会议楼、第二会议楼、职工活动中心、多媒体中心、图书阅览室。其中除职工活动中心外，每幢楼都有会议视频业务，并在多媒体中心与图书阅览室可以实现无线上网业务。出差人员可以访问企业内部网。新旧两幢办公楼大约460米，新办公楼与两个会议楼120米左右。每幢建筑物之间的直线距离在60—460之间。

其地理分布图如下：

福州永辉集团的网络环境示意图如下：

对于总部来说，宜采用的组网技术有无线AP、VLAN技术、虚拟专用网（VPN）、混合光纤同轴电缆网。

无线AP技术

在无线局域网(WLAN)中，无线接入点（AP）主要实现无线网络工作站与WLAN的无缝集成，对无线信号起中继放大的作用，提供无线接入服务。主要使用扩展频谱通信技术，采用这种技术的优点是将信号散步到更宽的频带上，以减少发生阻塞和干扰的机会。

VLAN技术

VLAN技术是交换机技术的重要组成部分，也是交换机的重要进步之一。它用以把物理上直接相连的网络从逻辑上划分为多个子网。每一个VLAN对应一个广播域，处于不同VLAN上的主机不能进行通信。可以用来确保信息的安全。

虚拟专用网（VPN）

建立在公用网上的、由某一组织或某一群用户专用的通信网络，其虚拟性表现在任意一对VPN用户之间没有专用的物理连接，而是通过ISP提供的公用网络来实现通信，其专用性表现在VPN之外的用户无法访问VPN内部的网络资源，VPN内部用户之间可以实现安全通信。以方便企业的VIP用户及出差员工通过公共Internet安全地访问企业内部LAN资源。

混合光纤同轴电缆网（HFC网）

应用数字和模拟传输技术，综合接入Internet、电话、模拟和数字广播电视及数字交互业务等多种业务，将计算机网络、有线电视网和电话网合并在一起实现“三网合一”，具有建网快、造价低、传输带宽较大和资源利用率更高等优点。

适用于永辉集团的主干网技术有：

（1）ATM异步传输模式

ATM是今年来人们为了满足宽带综合业务数字网的通信需要而产生的，它为宽带综合业务数字信号提供了一种传输、复用和交换的方法，使语言、数据、图形和影视以固定的信元长度在一个网中传输，提高了传输速率。

ATM独占带宽和可预测的性能采用信元（cell）交换技术，具有能够为用户提供独占带宽（可支持1.5Mbps至2.4Gbps之间的传输速率）、带宽可调、网络延迟小等特点。ATM作为永辉集团主干有一下优势：

1）ATM易于扩展至极高的速率；

2）ATM提供VLAN功能，可以提供设备之间极高的通量；

3）ATM提供极强的冗错功能；

4）ATM对实时的语音及图像传输提供了极小的延时；

5）当前广域网基本采用ATM设备，永辉集团主干采用ATM技术易于与广域网实现无缝连接。

ATM由于完善的服务品质而倍受重视。ATM除提供一般的时通讯服务外，也提供一些先进的服务，如远距离视频会议、实时图像传输等。但是ATM是一种全新的技术，采用ATM网络的用户必须购置新的测试工具、培训专业人员、而且ATM价格较为昂贵，目前ATM大多只用于要求较高的主干网，到桌面还是以太网。

（2）千兆以太网

因为当前大部分局域网均使用以太网方式，而且所有网络操作系统与上层协议均与以太网兼容，这就使以太网仍成为未来的主流。在许多的快速以太网占有极大的比率，因而从10BASE-T升级至100BASE-TX非常容易，而且可以做到完全无缝式的升级，所以在千兆以太网的标准已经基本制定的今天，千兆以太网已成为各个企业主干的首选。

ATM和千兆以太网的高速网络相容性见下表：

4、网络拓扑图

图1：

图2：

5、网络设计

根据以上的分析，网络应包括核心层、汇聚层、网络接入层三个层次，网络设备推荐配置如下：核心层由智能万兆以太网路由交换设备组成，汇聚层采用智能的三层交换机，接入层都使用智能快速的以太网设备。

5.1核心层

核心层是网络互联的最高层次，应具有如下能力：

● 核心设备之间应该具有最高速的链路。

● 比较粗的QoS控制粒度。

● 最高的路由前缀。

● 为网络其他模块提供互联。

企业网的核心层是一个数据交换枢纽，提供高速、有效地数据交换。鉴于其重要性和必要性，核心层的可用性也在设计中得到了充分的体现。核心节点之间的互联采用千兆以太网或千兆以太网的捆绑技术。通过在核心层配置动态路由协议，提供数据的路由和路由的迂回。

核心层使用万兆骨干智能路由交换机来完成永辉集团总部的各种业务的转发及全网的路由与交换。该核心交换机应支持10G以太网和10G广域网接口，采用分布式体系结构，可以提供高达1.6T背板带宽、交换容量>500Gbps，包转发率>200Mpps。并可提供高密度接口板，支持线速转发。为保证核心层的安全性、稳定性、高带宽、建议使用2台核心层交换机来实现校园网内部的流量分摊。设备间采用千兆以太网链路作为主用连接，采用千兆以太网链路作为备用链接，两台核心交换机通过千兆链路链接防火墙的千兆端口，实现整个永辉总部的地址翻译、VPN、ACL等功能。

5.2 汇聚层

汇聚层是核心层和接入层的连接模块，主要功能如下：

● 细到粗QoS粒度的转换。

● 提供到核心的路由合并。

● 提供到访问层的路由过滤。

汇聚层网络主要提供了用户的汇聚功能和服务质量保证的功能。在汇聚层能

够真正做到通过识别用户及应用提供不同的服务质量保证。

汇聚层设备使用可扩展千兆多层路由交换机，在保证网络的安全性和稳定性的前提下，可以支持将汇聚节点分别以双归属性上联到核心设备，设备互联采用1000M以太网接口。

5.4 接入层

接入层是面向最终用户的设备，主要功能如下：

● 提供高密度的用户端口。

● 提供许可控制，包括：（安全控制、QoS控制）。

接入层网络是纯二层交换网络，提供用户的网络接入。由于接入层设备需要部署在楼层，因此要求这些设备容易管理并且投资成本少。

在接入层用户较为集中的楼层，使用具备链路捆绑功能的交换机或堆叠式的交换机，便于今后上联链路带宽的扩展以及链路的冗余。

楼宇接入设备推荐选择智能快速以太网交换机，支持良好的带宽线速，代理防范、广播风暴抑制等功能。本方案接入设备的布置灵活多变，只要根据用户数量配置接入设备即可。

对于核心路由器可以选用模块化接入，固定的广域网接口+可选广域网接口，固定的局域网接口：100/1000 Base-T/TX。

各个楼宇间物理层布线说明表如下：

下面针对于不同的技术，介绍这些技术的具体应用。

5.4 VLAN设计方案

虚拟网络(VLAN)是将局域网内广播域逻辑地划分为若干子网。在一个交换局域网中，所有局域网段通过交换机连接在一起，路由器连在交换机上(如果是三层交换机，则不需路由器)，可以按网段和站点的逻辑分组形成广播域，通过在局域网交换机内过滤广播包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。虚网之间的寻径由路由器完成，本方案采用的就是具有路由寻址功能的路由交换机。

虚网建立以后，能有效地控制网络的广播风暴，减少不必要的资源带宽浪费，并能随着企业规模的发展和调整改变通信流的模式。

在主流的交换机产品中提供多种虚网组织方法：

1)基于端口的虚网划分。

2)基于网络安全要求，可采用MAC 地址方法或用户自定义方法组织虚网，其它用户即使接入到网络交换机的端口中，也无法进入该虚网。

3)可对每个端口设置相应的安全控制策略，防止非法用户的侵入。

4)可借助三层交换机，实现基于IP 子网的虚网。

5)利用VLAN 国际标准802.1Q，可实现跨交换机的VLAN，通过VLAN生成树技术(PerVLANSpanningTree)，可实现各VLAN 之间的负载均衡，并且当网络拓扑发生变化时，只影响到相关的VLAN 的生成树重新计算，使网络的收敛时间最短。

6)采用VLANPruning 技术来优化交换网络中广播对网络性能的影响，使VLAN 内部的广播包不会扩散到没有该VLAN 成员的中继和交换机上去。

5.5 IP/VLAN 规划工作

1．确定企业网内网IP 地址网段

我们对永辉集团网的IP 分配一般以RFC1918 中定义的非Internet 连接的网络地址，也称为私有地址。由Internet 地址授权机构（IANA）控制的IP 地址分配方案中，留出了三类网络地址，给不连到Internet 上的专用网使用。它分别是：A类：10.0.0.0 ~ 10.255.255.255；B 类：172.16.0.0 ~ 172.31.255.255；C 类：192.168.0.0 ~ 192.168.255.255。其中的一个私有地址网段是：192.168.0.0是我们在内网IP 分配中最常用的网段。 IANA 保证这些网络号不会分配给连到Internet 上的任何网络，因此任何人都可以自由地选择这些网络地址作为自己的私有网络地址。在申请的合法IP不足的情况下，企业网内网可以采用私有IP地址的网络地址分配方案；企业网外网接入、DMZ 区使用合法IP 地址。

我们确定了要使用的私有网段以后，进一步还要划分子网段，并与VLAN 号部门相关联，把这做成一个对照表。

2．规划主交换机端口VLAN

我们一般采用较流行的VLAN 划分方式：基于端口的VLAN 划分。因此创建VLAN 号，为主交换机的端口指定VLAN 号是规划整个内部VLAN 的关键。另外VLAN 限制了广播域，跨越VLAN 间的通信要经过路由，主交换机是一台三层交换机，需要为它配置路由选择协议，以实现VLAN 间的线速路由。

3．规划防火墙、路由器、服务器的IP 地址

WWW/MAIL/FTP 服务器、防火墙的DMZ网卡、防火墙的外网卡、路由器以太网口1、路由器广域网口1应该使用从ISP申请到的合法IP。

4．规划企业网内网用户的IP 地址

规划完子网与VLAN，接下来就要考虑内网用户IP 的分配方式。针对用户比较集中、信息点位置相对固定的情况，建议使用静态IP。这对于日后的管理、维护、故障排查非常重要，管理员可以根据IP 地址迅速确定主机所在位置。使用静态IP，用户与联接交换机的端口处于同一VLAN。为方便新的用户IP地址的分配，应做好现有用户IP 地址的记录。当用户变动较大，信息点数量无法准确计算时，建议使用动态IP。动态IP的优势在于方便用户使用，用户只需要将网络属性中的IP 地址栏设成自动获取，用户的本机IP、缺省网关、DNS、WINS 等关键信息，会自动从DHCP 服务器中得到。

5．内网NAT共享上网

当内网的IP / VLAN 规划基本完成后，要采用网络地址转换（NAT）技术，即通过1个外部IP 地址来实现内网用户访问Internet。目前支持NAT 的硬件

产品有路由器、防火墙，本案是防火墙来实现NAT。

实现VLAN间路由的配置技术说明：

当交换机上的VLAN数量很多时，通常会采用路由器快速以太网子接口及IEEE802.1Q 封装对VLAN间的数据进行路由。

5.6 VPN设计方案

1、端到端的加密

网络密码机安置在企业各级局域网到互联网的入口处，通过加装密码机构建安全隧道，使信息经过加密后传输，防止第三方窃取，且密码机之间的机机认证也有效防范了第三方的非法接入，保证访问该网络的远程节点的合法性，从而在网络上构造了一个封闭的安全传输网络。应用密码技术实现的密码机间的加解密和身份认证，有效避免了来自传输网的攻击，如图所示：

在建立安全隧道时有以下特性：透明连接、隧道管理、明密结合、网段分割、用户定制、安全算法的协商。

2、点到点的网络加密

随着互联网的发展，移动办公要求提供更大的灵活性，加密到端用户是唯一的解决方案，对于那种跨区分散式分布且分布点人员相对较少的网络，当要求安全可靠的内部通信时，解决这一矛盾的最佳策略就是利用端到端的VPN解决方案，如图所示：

点到点之间采用网络加密卡来进行安全通信，网络加密卡是与网络密码机配合使用的加密设备，适合采用PSTN或DDN等方式联网或系统仅有少量机器传输的信息需要加密的情况，目前该加密卡支持Windows系统, 提供两台主机之间的安全连接。

5.7 无线网络设计方案

无线局域网的组网模式大致上可以分为两种，一种是Ad-hoc模式，即点对点无线网络；另一种是Infrastructure模式，即集中控制式网络。

1、Ad-hoc模式

Ad-hoc网络是一种点对点的对等式移动网络，没有有线基础设施的支持，网络中的节点均由移动主机构成。网络中不存在无线AP，通过多张无线网卡自由的组网实现通信。

要建立对等式网络需要完成以下几个步骤：

1) 首选为您的电脑安装无线网卡，并且为您的无线网卡配置好IP地址等网络参数。注意，要实现互连的主机的IP必须在同一网段，对等网络不存在网关，所以网关可以不用填写。

2) 设定无线网卡的工作模式为Ad-hoc模式，并给需要互连的网卡配置相同的SSID、频段、加密方式、密钥和连接速率。

2、Infrastructure

集中控制式模式网络，是一种整合有线与无线局域网构架的应用模式。在这种模式中，无线网卡与无线AP进行无线连接，在通过无线AP与有线网络建立连接。实际上Infrastructure模式网络还可以分为两种模式，一种是无线路由器+无线网卡建立连接的模式；一种是无线AP与无线网卡建立连接的模式。

5.8 监控系统

超市的最大特点是顾客可以自己选择喜爱的商品，最后到收银处付款，满足了顾客自由选择的需求。对超市来说，最关心的是如何管理商品，既避免顾客顺手牵羊的行为，又要尊重顾客。超市只能利用监控系统，通过在天花板、墙壁等地点安装的摄像头，方便地监看众多的货架，以查看超市内是否有偷窃行为。如果发现偷窃行为，只要在付款处把录像资料回放给顾客看就可以了，不需要与顾客发生任何争执。在监看货架的同时，如果发现有货物错架、乱架较多的地方，可以马上派人员进行整理，从而提高了管理效率。

6、设备选型

6.1 Catalyst 2960 系列交换机

Cisco® Catalyst® 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Catalyst 2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。

Cisco Catalyst 2960系列提供：

∙为网络边缘提供了智能特性，如先进的访问控制列表 (ACL)和增强安全特性。

∙双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用铜缆或光纤上行链路端口—每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔(SFP)千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口。

∙通过高级QoS、精确速率限制、ACL和组播服务，实现了网络控制和带宽优化。

∙通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制，实现了网络安全性。

∙通过思科网络助理，简化了网络配置、升级和故障诊断。

∙使用Smartports自动配置特定应用。

系列产品的配置

Cisco Catalyst 2960系列包括以下交换机：

∙Cisco Catalyst 2960-24TT：24个10/100以太网端口和2个10/100/1000固定以太网上行链路端口；1机架单元(RU)

∙Cisco Catalyst 2960-48TT：48个10/100以太网端口和2个10/100/1000固定以太网上行链路端口；1 RU

∙Cisco Catalyst 2960-24TC：24个10/100以太网端口和2个双介质上行链路端口；1 RU

∙Cisco Catalyst 2960-48TC：48个10/100以太网端口和2个双介质上行链路端口；1 RU

∙Cisco Catalyst 2960G-24TC：20个10/100/1000以太网端口，其中4个为双介质端口；1 RU

Cisco Catalyst 2960系列软件镜像提供了一系列丰富的智能服务，包括高级QoS、速率限制和ACL。SFP千兆以太网端口可安装多种SFP收发器，包括Cisco 1000BASE-SX、1000BASE-LX、1000BASE-BX、1000BASE-ZX、100BASE-FX、100BASE-LX10、100BASE-BX和粗波分多路复用 (CWDM) SFP收发器。

6.2 CISCO3800系列路由器

CISCO3825 2个千兆位以太网固定 LAN 端口，1个小型可插拔 (SFP) 插槽，2个增强网络模块 (NME)，4个高速WAN接口卡(HWIC)，2个高级集成模块 (AIM) 插槽，4个PVDM 插槽，Cisco IP Base 软件和交流电源。

CISCO3825-AC-IP 2个千兆位以太网固定 LAN 端口，1个SFP 插槽，2个 NME，4个HWIC，2个AIM 插槽，4个PVDM 插槽，Cisco IP Base 软件和馈线电源。

CISCO3825-DC 2个千兆位以太网固定LAN 端口，1个SFP插槽，2个NMEs,，4个HWIC，2个AIM 插槽，4个PVDM插槽， Cisco IP Base 软件和直流电源。

CISCO3845 2个千兆位以太网固定 LAN 端口，1个SFP插槽，4个NMEs，4个HWIC，2个AIM插槽，4个PVDM插槽，Cisco IP Base 软件和交流电源

作为思科的旗舰产品，Cisco 3800系列让客户可以在使用并发数据、安全、话音和高级服务时获得最高的性能、可用性、密度和最大限度的增长空间，从而增强了思科系统公司在多服务路由领域的领先地位。Cisco 3800系列路由器采用了嵌入式安全处理、板载分组话音DSP模块 (PVDM)，重要的性能和内存改进，以及更高性能的新型接口，因而可以满足要求严格的企业分支机构的需求。Cisco 3800系列包括两个高度模块化的、灵活的平台：Cisco 3825和3845。它们可以支持现有的90多种 Cisco 2600和3700模块，所以能够提供长期的投资保护。

Cisco 3800 系列的集成化服务路由架构构建于强大的Cisco 3700系列路由器的基础之上，它内嵌并集成了安全和话音处理以及先进服务，以迅速部署新应用，包括应用层功能、智能网络服务和融合通信。Cisco 3800系列支持每插槽多个快速以太网接口、时分多路复用（TDM）互联，以及对于支持802.3af以太网电源（PoE）的全面集成配电等的带宽要求。它同时仍支持现有模块化接口系列。这确保了持续投资保护，可在部署新服务和应用时支持网络扩展或技术变动。通过将多个独立设备的功能集成入单一小巧设备之中，Cisco 3800系列大幅降低了管理远程网络的成本和复杂度。该系列的新型号有Cisco 3825 和Cisco 3845，有三种可选配置，用于交流电源、带集成IP电话电源支持的交流电源，以及直流电源。

7、网络PDS系统设计

结构化综合布线（Premises Distributed System ,PDS）系统是一个模块化、灵活性极高的建筑物或建筑群内的信息传输系统，是建筑物内的“信息高速公路”，它既使语音、数据、图像通信设备和交换设备与其他信息管理系统彼此相连，也使这些设备与外部通信网络相连接。它包括建筑物到外部网络或电信局线路上的接线点与工作区的语音或数据终端之间的所有线缆及相关联的布线部件。

开放式布线系统就是以满足所有通信、电子设备在现在和将来布线需求为主要目标，而发展起来的一种整体并开放的配线系统，它不仅能为大楼提供电讯服务，还能够提供通信网络服务，安全报警服务，监控管理服务，是大楼实现通信自动化、办公自动化和大楼自动化的基础。随着现代通信网络技术的迅速发展，高速以太网，FDDI网等的普遍使用，特别是 ATM 网的逐步使用，建筑物对布线系统的要求除标准的通信接口外，还需要相当宽的频带，相当高的传输速度，如155Mbps，622Mbps甚至2.5Gbps等；以及高灵活性。

开放式布线系统采用模块化设计，易于配线上的扩充和重新配置，在物理结构上，采用分级的星形分布，以利于数据的采集及信息的传递。它能以最好的性能价格比来适应未来综合业务数字网(ISDN)和ATM的要求。

开放式布线系统支持的设备品种繁多，在使用时相当灵活，外观及布局上也适应整个环境，简洁、美观，如在一房间内，要考虑工作人员的数量，采光情况，工作习惯等多种因素，设置多个标准接口，即8芯 RJ45接口。布线系统采用的设备皆为专用设备，包括传输媒介 ( 双绞线、光纤 )、配线箱( 电缆配电箱、光缆配线箱、连接器)、标准信息插座、插头、适配器、电子保护器装置以及专用的安装工具、检测工具等等。

开放式布线系统采用的传输介质通常包括双绞线和光纤。双绞线包括非屏蔽双绞线（UTP）及屏蔽双绞线（FTP）。UTP 是目前开放式布线系统广泛采用的传输介质，它具有安装简单、价格低廉等特点；FTP 具有对外界信号的抗干扰能力和对其传输的信号的保密能力，尤其适合使用在安全性要求很高和设备很多的环境中，例如机场、银行、通讯等信息保密需要程度较高的部门，但此类系统的造价较高；光纤作为传输介质具有传输速率高，保密性好，扩展性强等优点。

整体布局图如下：

7.1 水平子系统的设计

实现计算机设备，程控交换机 ( PBX )，监控中心与各管理子系统间的连接，也实现楼与楼之间的连接，常用介质是多对数双绞线电缆或光缆。

（1）拓扑结构

水平布线都是采用星型拓扑结构，起点为楼层配线间，终点为各工作区的信息插座。

（2）布线距离

1）当水平线缆为4线对的5类双绞线时，考虑到双绞线的带宽为100Mbit/s时，最大传输距离为100m，因此规定水平布线的距离最大长度为90m。

2）水平跳线之和（工作区跳线、配线面板跳线）不能超过10M。

3）信息点的线缆长度（水平长度+楼层高度*2）*1.15。

7.2 垂直子系统的设计

（1）确定每层楼的干线要求。

·话音：每个话音点按2对3类双绞线设计。三类大多数双绞线有25对，50对，100对和300对。

·数据：数据用5类双绞线（UTP或FTP）或多模室内光纤。每个数据链路使用5类4对双绞线。通常由于每个楼层都放置有集线器，而每个集线器（或一组集线器）与主设备（或主集线器）之间实际上只需要一条数据链路，所以数据主干线缆通常要根据用户的网络结构来确定，并加上100%备用线缆。

·用光纤作为数据主干时，一般用6芯、8芯或12芯光纤。

（2）确定楼层设备间（主配线间）的干线路由。

（3）确定每个楼层所需干线电缆长度（横向干线电缆长度+垂直干线电缆长度）*115%+6M。

（4）确定整个大楼所需要的主干电缆长度。

（5）定购主干电缆。

7.3 设备间子系统设计

设备间子系统是一个公用设备存放的场所，也是网络中心的主机房。设备间子系统存放着主配线架（MDF）、核心交换机、路由器和服务器等重要的网络设备，外部通信线路被引入到设备间，同时干线子系统被引出到各楼层，因此，设备间的环境影响着整个网络的稳定运行。

设备间内的所有进线终端设备应采用色标区别各类用途的配线区。设备间位置及大小应根据设备的数量、规模、最佳网络中心位置等内容综合考虑确定。设计与安装时要注意以下几点。

（1）设备间要有足够的空间，以保障设备间的设备存放。

（2）设备间要有良好的工作环境。

（3）设备间的建立标准应遵循机房建设标准设计，要有性能良好的接地保护系统。

7.4 工作区子系统

工作区子系统由线缆、跳线、信息模块（如RJ-45模块）和其所连接的设备（终端或工作站）组成。用户可将电话和计算机等设备连接到信息模块上，信息模块由符合ISDN标准的八芯模块化插头组成，它可以完成从建筑自控系统的弱电信号到高速数据网和数字话音信号等一切复杂信息的传送。

工作区子系统中所使用的连接器必须具备国际标准的8位接口，这种接口能接受楼字自动化系统所有低压信号以及高速数据网络和数码音频信号。设计与安装工作区服务子系统时要注意如下几点。

（1）从RJ-45插座到终端设备之间的连线用UTP双绞线，一般不要超过6m。

（2）RJ-45插座需安装在墙壁上或不易碰的地方，插座区距离地面30cm以上。

（3）配线架上的信息模块与信息插座和插头的线缆的制作要采用同一标准，如TIA/EIA568A或568B，不可接错。

（4）确定I/O插座的类型。I/O插座分为嵌入式和表面安装式两种，可根据实际情况，采用不同的安装式样式来满足不同的需要。通常新建筑物采用嵌入式I/O插座；而现有的建筑物采用表现安装式的I/O插座。

（5）估算I/O插座数量。一般给出两种平面图供用户选择：一种是每9m 2一个I/O插座的基本型平面图；另一种是每9m 2两个I/O插座的增强型或综合型平面图。

7.5 管理子系统

它是由交叉连接的端接硬件(配线架)和色标规则组成，以提供对所有系统 的连接和对与其相连信息插座的功能进行灵活的管理，并包含系统管理文档。管理子系统放置电信布线系统设备，包括水平、主干布线系统的机械和电气终端。管理间子系统设置在楼层分配线设备的房间内。管理间子系统应由交换间的配线设备、输入/输出设备等组成，也可应用于设备间子系统。

交连和互连允许将通信线路定位或重定位在建筑物的不同部分，以便更容易地管理通信线路。I/O位于用户工作区和其他房间或办公室，使在使用移动终端设备时能够方便地进行插拔。

在远程通信接线区，如安装在墙上的布线区，交叉连接可以不要插入线，因为线路经常是通过跨接线连接到I/O的。设计与安装时要注意以上几点。

（1）配线架的配线对数由可管理的信息点数决定。

（2）利用配线架的跳线功能，可使布线系统灵活、功能多样化。

（3）配线柜一般由配线模块、配线架和理线面板组成。

（4）管理子系统应有足够的空间放置配线柜和网络设备。

（5）网络设备需配有安全接地保护系统和功率匹配的净化电源或UPS。

（6）设备房间内保持一定的温度和温度，以利于设备维护。

7.6 建筑群子系统

建筑群子系统提供外部建筑物与大楼内布线的连接点。TIA/EIA 569标准规定了网络接口的物理规格，实现建筑群之间的连接。建筑群子系统由两个以上建筑物的电话、数据和监视系统组成一个建筑群综合布线系统，其连接各建筑物之间的缆线和配线设备，组成建筑群子系统。

建筑物子系统是综合布线系统的骨干部分，它支持楼宇之间通信所需的硬件，其中包括导线电缆、光缆及防止电缆上的脉冲压进入建筑物的电气保护装置。

作为智能大厦的高速信息传输网络，综合布线与传统的布线相比有许多优越性，其主要具备以下特点：

（1）兼容性：综合布线系统的兼容性是指它自身的完全独立的而与应用系统相对无关，可适用于多种应用系统。它将语音、数据与监控设备等信号线经过统一的规划和设计，采用相同的传输介质、信息插座、适配器等，把这些不同的信号综合到一套标准的布线中，因而此传统布线大为简化，可节约大量的物资、时间和空间。

（2）灵活性：综合布线系统采用标准的传输线缆和连接件，模块化设计。因此所有通道都是通用的，所以一方面综合布线系统能适应不同用途要求（如语音和数据传输等等），同时还能够支持基于国际标准的不同厂家的有关网络或通信。

（3）可靠性：综合布线系统采用高品质的材料和组合压接的方式构成一套高标准的信息传输通道。所有线缆和连接件均通过ISO认证，并全部采用点到点端接，从而保障了应用系统的可靠运行。

（4）先进性：综合布线系统采用光纤和双绞线混合布线方式，极为合理地构成一套完整的布线系统，它的设计目标决定了系统必须采用先进的概念、技术、方法和设备。既要反映当前水平，又具有较大发展潜力。

（5）可扩充性：综合布线系统一般具有15年以上的使用寿命，而信息技术的发展又异常迅猛，和传统布线相比综合布线中因各应用系统采用相同的传输介质，可互为备用，提高备用冗余，所以具有充分扩展的能力。

（6）经济性：综合布线系统和传统布线相比，在经济方面也具有优越性。

8、布线系统的测试

对于双绞线，在布线施工完成后，需要进行测试，以检测布线的质量。双绞线施工的质量主要可以通过衰减、近端串扰、阻抗特性、分布电容、直流电阻等几个指标的检测来判断。

1. 双绞线测试内容与标准

(1)衰减

衰减(Attenuation)是沿链路的信号损失度量。衰减与线缆的长度有关系,随着长度的增加,信号衰减也随之增加。衰减用"db"作单位,表示源传送端信号到接收端信号强度的比率。由于衰减随频率而变化,因此,应测量在应用范围内的全部频率上的衰减。

(2)近端串扰

串扰分近端串扰(NEXT)和远端串扰(FEXT),测试仪主要是测量NEXT,由于存在线路损耗,因此FEXT的量值的影响较小。近端串扰损耗是测量一条UTP链路中从一对线到另一对线的信号耦合。对于UTP链路,NEXT是一个关键的性能指

标,也是最难精确测量的一个指标。随着信号频率的增加,其测量难度将加大。

(3)直流电阻

TIA/EIA TSB67标准无此参数。直流环路电阻会消耗一部分信号,并将其转变成热量。它是指一对导线电阻的和,11801规格的双绞线的直流电阻不得大于19.2欧姆。每对间的差异不能太大(小于0.1欧姆),否则表示接触不良,必连接点。

(4)特性阻抗

与环路直流电阻不同,特性阻抗包括电阻及频率为1～100MHz的电感阻抗及电容阻抗,它与一对电线之间的距离及绝缘体的电气性能有关。各种电缆有不同的特性阻抗,而双绞线电缆则有100欧姆 、120欧姆及150欧姆几种。

2. 光缆系统的测试与标准

由于光缆系统的实施过程中涉及光缆的敷设，光缆的弯曲半径、光纤的溶接、光纤跳线加上设计方法及物理布线结构的不同，导致两个网络设备的光纤路线上光信号的传输衰减有很大不同。对于光缆链路的测试，如果按两芯光缆进行环回测试，对于所测得指标应换算成单芯光缆链路的指标来验收。

1) 光缆链路测试方法

① 测试前应对所有的光连接器进行清洗，并将测试接收顺校准至0位。

② 测试包括对整个光纤链路（包括光纤和连接器）的衰减进行测试；光纤链路的反射测量以确定链路长度及故障点位置。

③ 测试在两端对光芯进行测试，在一端对两芯光缆进行环回测试。

④ 光缆链路系统指标应符合设计要求。所有测试结果应有记录，并纳入文档管理。

2) 光缆芯线终接要求

① 采用光纤连接盒对光纤进行连接、保护，在连接盒中光纤的弯曲半径应符合安装工艺要求。

② 光纤溶接处应加以保护和固定，使用连接器以便于光纤的跳接。

③ 光纤连接盒面板应有标志。

9、网络存储设计

DAS是大型服务器采用的主要存储方式，从提高存储利用率的角度来看，实现网络化的DAS势在必行，因此导致了SAN的出现。与DAS相应的另外一种存储方式就是NAS，NAS在多用户网络环境中发挥着越来越重要的作用。

永辉集团由于需要海量存储，可选的网络存储设备可以有三种，即磁盘列阵、NAS和SNA。

1. 磁盘阵列

磁盘阵列是一种把若干硬磁盘驱动器按照一定要求组成一个整体，整个磁盘阵列由阵列控制器管理的系统。冗余磁盘阵列 （Redundant of Independent Disks，RAID）技术最初研制的目的是为了组合小的廉价磁盘来代替大的昂贵磁盘，以降低大批量数据存储的费用（Redundant of Inexpensive Disks，廉价的磁盘阵列）；同时，采用冗余信息的方式，使得磁盘失效时不会使对数据的访问受损失。

磁盘阵列有两种类型，即SCSI磁盘阵列和SATA磁盘阵列，存储总容量均可达到几TB至几十TB。相比较而言，SCSI磁盘阵列更能适应多用户并发访问，而SATA磁盘阵列拥有更便宜的价格。因此，视频点播服务、数据查询服务之类的网络应用，应当选择SCSI磁盘阵列；而数据备份或数据存储，则应当选择SATA磁盘阵列。

2. NAS

NAS（Network Attached Storage，网络附加存储）是通过网络连接的冗余磁盘阵列，具备了磁盘阵列的所有主要特征，如高容量、高效能和高可靠性。NAS其实是一种专用文件服务器，它把存储功能从通用服务器中分离出来，使其更加专门化，从而获得更高的存取效率，更低的存储成本。NAS设备近几年开始流行，可靠稳定的性能、特别优化的文件管理系统和低廉的价格使NAS市场高速增长，特别适合用于实现简单的文件共享和数据存储。NAS的存储容量往往比较小，通常只有几个TB。

NAS产品具有以下几个引人注意的优点。

NAS是真正的即插即用产品，NAS设备支持多计算机平台，通过网络支持协议可以进入相同的文档。

NAS的放置位置比较灵活，无须应用服务器干预，NAS设备允许在网络上存取数据，这样既可以减少服务器的负荷，又能显著改善网络的性能。

NAS独立于应用服务器，即使相应的应用服务器不再工作，仍然可以从NAS中读取数据。

简易服务器本身不会崩溃，因为它避免了引起服务器崩溃的首要原因，保证了系统的安全性和可靠性。

采用一个面向用户设计的、专门用于数据存储的简化操作系统，内置了与网络连接所需的协议，使整个系统的管理和设置更为简单。

NAS可以很经济地解决存储容量不足的问题，但难以获得满意的性能，对于关键事务应用而言，它必须使用专用的宽带网络。因此，如果公司的发展将需要大量的NAS设备或是网络带宽需求超过千兆以太网，就应该考虑最高端的存储解决方案SAN。SAN与NAS体系的融合正在积极发展。这种融合存在其合理性，SAN提供速度，NAS提供由文件处理带来的协作性。

3. SNA

SAN设计用来提供灵活的、高性能的和可伸缩的存储网络基础结构。SAN提供了许多在存储装置和服务器之间的直接连接来实现这个目的。这些存储装置包括磁盘存储系统和磁带库。

因为SAN通过最优化处理来达到在服务器和存储装置之间传输数据块的目的，所以它在很多方面的使用效果都很理想，例如：

1)处理关键任务的数据库软件。

2)关键任务是指响应时间要能确定，实用性和存储的可伸缩性集中化的存储备份。这主要要求操作性能、数据的完整性和可靠性用来确保关键的企业数据的安全。

3)高可用性和应用软件故障恢复环境。这可以确保以较少的开销，使应用软件的可用性得到极大的提高。

4)可伸缩的虚拟存储。它将存储与主机的联系断开，能动态地从集中存储地分配存储量。提高了故障容错度。可在远距离(最远达150km)的主服务器和连接设备之间提供高性能的光纤通道传输。

今天，SAN正在与NAS环境一起用来为NAS设施实现高性能、大容量的存储库。实际上，许多SAN现在都隐藏在NAS工具的后面，用来强调关键数据的存储可用性和备份要求。

对SAN来说，点到点之间光纤通道的最大距离不得超过10km限度是一个瓶颈，但这种缺陷可以被NAS的IP连结所弥补。也就是说，可以通过IP网络发送光纤通道命令（FC/IP）。借助于先进的以太网技术，这种处理方法最终变成了现实。融合NAS/SAN技术的呼声很高，但要实现这种融合可能需要两三年或者更长的一段时间。

9、网络安全设计

10.1 防火墙

防火墙是网络安全策略的有机组成部分，它通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理。防火墙是一种在内部网和外部网之间的安全防范措施，可以认为它是一种访问机制，用于确定哪些内部服务可以提供给外部服务器，以及哪些外部服务器可以访问内部网资源。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过它，并且必须只能允许授权的数据通过。防火墙本身必须免于渗透，从而来保护网络的安全。

防火墙的基本设计目标：

1）对于一个网络来说，所有通过内部和外部的网络流量都要经过防火墙。

2）通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙。

3）防火墙本身必须建立在安全操作系统上。

常用的防火墙模式—非军事区结构模式

DMZ通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如下图所示：

DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池，以及所有的公共服务器。

在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强。

10.2 入侵检测系统

入侵检测系统（Intrusion Detection System）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和遭到袭击的迹象，进而达到防止攻击、预防攻击的目的。入侵检测系统作为主动保护自己免受攻击的网络安全技术，处于防火墙之后，成为防火墙之后的第二道安全闸门。

入侵检测系统基本结构

入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。通常是通过将网卡设置成混杂模式来收集在网络中出现的数据帧。使用原始的数据帧作为数据源，采用模式匹配、频率、事件的相关性或统计意义上的非正常现象检测等基本的识别技术。这类系统一般是采用被动地在网络上监听整个网段的数据流，并通过分析、异常检测或特征比对来发现网络入侵事件。

附录：参考资料

（1）雷震甲 《网络工程师教程（第三版）》 清华大学出版社。

（2）胡胜红 毕娅 《网络工程原理与实践教程（第二版）》 人民邮电出版社。

本文来源：https://www.2haoxitong.net/k/doc/95a6f0fbbc64783e0912a21614791711cc797986.html