科技公司內(nèi)園區(qū)網(wǎng)設(shè)計(jì)方案

1 科技公司內(nèi)園區(qū)網(wǎng)設(shè)計(jì)方案 司背景 *科技集團(tuán) 有限公司 （簡稱： *集團(tuán)） 創(chuàng)辦于 2002 年， 目前， 整個(gè)集團(tuán)員工總數(shù) 1000多名 ，國內(nèi)有 3 個(gè)分支機(jī)構(gòu) 。作為 *市第三大 的工業(yè)企業(yè)、 *省第十 大的電子企業(yè)， 2011年， *集團(tuán)名列 “ 中國電子信息百強(qiáng) ” 第 38 位。 公司 局域網(wǎng)建設(shè)始于 2004 年， 2005 年完成整個(gè)工程建設(shè)，至今系統(tǒng)已經(jīng)運(yùn)行近 6 年時(shí)間。 目前，公司的新辦公大樓正在進(jìn)行裝修，并趁此機(jī)會(huì)進(jìn)行整個(gè)局域主干網(wǎng)的改造，以適合當(dāng)前的網(wǎng)絡(luò)應(yīng)用需求。 狀及需求分析 舊網(wǎng)網(wǎng)絡(luò)架構(gòu)如圖所示： 2 *集團(tuán)總部原有的主干網(wǎng)絡(luò)采用二層設(shè)計(jì)，設(shè)備屬于比較早期的產(chǎn)品， 以 100M 端口連接接入層 換機(jī)； 用戶采用 100M 以太網(wǎng)鏈路連接 換機(jī)?？偛颗c分公司目前采用 512K 線進(jìn)行數(shù)據(jù)連接，與 接采用 2M 的寬帶線路。 務(wù)器、 務(wù)器、 務(wù)器，數(shù)據(jù)庫服務(wù)器主要集中于中心機(jī)房，各部門用戶分別通過 100M 雙絞線訪問中心機(jī)房的服務(wù)器群，通過中心路由器與外界連接。 舊網(wǎng)不足及需求分析如下 : 1. 中心交換機(jī) 于低端的 層交換機(jī)，性能較差，不適合做核心交換機(jī)。而且采用單臺 為核心，容易出現(xiàn)單點(diǎn)故障，影響網(wǎng)絡(luò)的應(yīng)用。 2. 原有的廠房一區(qū)，廠房二區(qū)，營銷中心大樓，科研樓已完成早期局域網(wǎng)建設(shè)并接入中心接點(diǎn)。但還有部分建筑無法與核心網(wǎng)絡(luò)直接連接，現(xiàn)需要將所有的接點(diǎn)與中心相連接。 3. 原先需要網(wǎng)絡(luò)的人數(shù)少，經(jīng)過多年的發(fā)展員工數(shù)量巨增， 10M 的 經(jīng)常出現(xiàn)延時(shí)過大、丟包率高的現(xiàn)象。再加上許多新的應(yīng)用的逐步引入，對網(wǎng)絡(luò)的依賴和帶寬的需求會(huì)越來越高，遠(yuǎn)遠(yuǎn)不能滿足員工的上網(wǎng)需求。 3 4. 在舊網(wǎng)絡(luò)中，公司總部與分公司的數(shù)據(jù)連接采用 512K 線。由于業(yè)務(wù)的擴(kuò)展，分公司希望能與企業(yè)總部更好更快地與交流，讓公司的科研人員最快的了解客戶的需求，以便研究出更好更適合顧客的產(chǎn)品。顯然， 512K 的 時(shí)，家庭辦公、移動(dòng)用戶也需要方便靈活地接入總部的網(wǎng)絡(luò)。 5. 各種服務(wù)器放置在內(nèi)網(wǎng)上，沒有采取安全防護(hù)措施，內(nèi)部人員、黑客對內(nèi)部關(guān)鍵數(shù)據(jù)的非法訪問對公司的數(shù)據(jù)造成極大的危險(xiǎn)，網(wǎng)絡(luò)上的病毒的入侵，也是一大要害。 綜上所述所因，就需要對原有網(wǎng)絡(luò)進(jìn)行 升級改造。 第二章 網(wǎng)絡(luò)總體設(shè)計(jì) 絡(luò)設(shè)計(jì)分析 目前，網(wǎng)絡(luò)技術(shù)發(fā)展迅速，用戶需求千差萬別，廠商產(chǎn)品豐富多樣。但就其從用戶網(wǎng)絡(luò)的應(yīng)用需求類型特點(diǎn)，網(wǎng)絡(luò)技術(shù)的發(fā)展水平來說，通常目前主干網(wǎng)的技術(shù)有：快速以太網(wǎng)；千兆以太網(wǎng)；萬兆以太網(wǎng)。 千兆以太網(wǎng)的第 3 層交換骨干技術(shù)成熟，千兆以太網(wǎng)在企業(yè)網(wǎng)、園區(qū)網(wǎng)、城域網(wǎng)和局域網(wǎng)骨干上取代了傳統(tǒng)的 千兆以太網(wǎng)交換骨干技術(shù)特點(diǎn)是：具有高速數(shù)據(jù)傳輸帶寬 (1提供高速交換能力；易于網(wǎng)絡(luò)移植、易于維護(hù)；簡單易于管理；具有良好的性能價(jià)格比。 在選型時(shí)考慮到千兆以 太網(wǎng)已成為局域網(wǎng)主干技術(shù)策略的事實(shí)上的標(biāo)準(zhǔn)，為廣大用戶所選擇，在建設(shè)企業(yè)主干網(wǎng)時(shí)將技術(shù)策略定位于千兆以太網(wǎng)技術(shù)。 同時(shí)，為提高核心層的數(shù)據(jù)交換能力，可在核心層關(guān)鍵部分采用萬兆（ 10G）以太網(wǎng)技術(shù)。 4 絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 根據(jù)對舊網(wǎng)的調(diào)研情況，結(jié)合局方本次項(xiàng)目改造需求，我們建議全網(wǎng)采用高性價(jià)比的華為設(shè)備進(jìn)行網(wǎng)絡(luò)改造， 改造后網(wǎng)絡(luò)詳細(xì)結(jié)構(gòu)示意圖為 ： 在公司的園區(qū)網(wǎng)絡(luò)設(shè)計(jì)中，采用二層 +三層的網(wǎng)絡(luò)設(shè)計(jì)模型。 用戶密集的區(qū)域（辦公大樓）采用三層網(wǎng)絡(luò)架構(gòu)：接入層匯聚層核心層；用戶較少的辦公區(qū)采用二層網(wǎng)絡(luò)架構(gòu)：接入層核心層。 1、核心層： 核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可靠地進(jìn)行數(shù)據(jù)交換。本方案采用兩臺 9306 做雙核心，負(fù)責(zé)全網(wǎng)的信息交換。核心交換機(jī)之間采用萬兆多模光纖冗余鏈路連接，并進(jìn)行鏈路聚合，既可將帶寬提高到 20G，又可提高可靠性，實(shí)現(xiàn)鏈路冗余，故障自動(dòng)切換。 2、匯聚層： 匯聚層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進(jìn)行訪問控制。 辦公大樓由于下轄節(jié)點(diǎn)及部門較多，業(yè)務(wù)應(yīng)用比較復(fù)雜，所以配置了 2 臺 5700（三層）交換機(jī)作為辦公大樓的骨干平臺，支持 劃 分，提供辦公大樓 的路由，減少核 5 心交換機(jī)的負(fù)擔(dān)。 兩臺 5700 做雙機(jī)熱備，采用 擬路由器冗余協(xié)議，根據(jù)需求配置成多組 樣設(shè)計(jì)部但不但保證網(wǎng)絡(luò)的 高可用性和穩(wěn)定性，還能避免單臺核心設(shè)備的負(fù)載太重導(dǎo)致網(wǎng)絡(luò)性能問題。 3、接入層： 接入層主要提供終端用戶接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行 劃分、與分布層的連接等等。 接入層交換機(jī)采用華為的 2700 系列智能以太網(wǎng)交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相 連接，并為用戶終端提供 10/100M 自適應(yīng)的接 入，從而形成千 兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。 4、服務(wù)器群組：內(nèi)部的 件和數(shù)據(jù)庫服務(wù)器通過千兆網(wǎng)卡于5700 相連， 5700 采用雙歸方式與核心交換機(jī)相連，提接高性能。 5、 安全方面 ：采用 華為 火墻 與 接，將對外 務(wù)器放置在域，提高服務(wù)器的安全性。同時(shí)， 可以防止黑客對內(nèi)部關(guān)鍵數(shù)據(jù)的非法訪問和病毒的入侵。 6、 接：由于現(xiàn)在員工人數(shù)大大增加，加上各種基于 網(wǎng)絡(luò)應(yīng)用增多，產(chǎn)生的上網(wǎng)流量 很大，原有的 10M 寬帶連接已不能滿足需求，現(xiàn)升級為 100M 寬帶連接。 7、外部互聯(lián) ： 為實(shí)現(xiàn)讓分公司 1（西安）和分公公司 2（上海）與總公司互連，采用 2 條 2M 的 線進(jìn)行廣域網(wǎng)接入。對于分支機(jī)構(gòu) 3（廣州），由于目前員工數(shù)量較少，為節(jié)省費(fèi)用，采用基于 術(shù)來實(shí)現(xiàn)遠(yuǎn)程互連。 8、移動(dòng)辦公用戶：為方便移動(dòng)辦公用戶可隨時(shí)訪問公司總部網(wǎng)絡(luò)，也采用基于 術(shù)，通過 戶端進(jìn)行安全接入。 6 第三章 設(shè)備選型 能要求 對此次 網(wǎng)絡(luò)升級改造的設(shè)備選型，主要圍繞以下幾點(diǎn)： 高性能，全交換 10000心互聯(lián)； 核心至匯聚層 1000聯(lián)； 匯聚至接入層 1000聯(lián)； 1000接應(yīng)用服務(wù)器； 100接桌面用戶； 線速核心第三層交換； 路由器專注于處理網(wǎng)絡(luò)流量，提供靈活、高效、可靠的網(wǎng)絡(luò)連接，支持多種廣域網(wǎng)鏈路： 。 可擴(kuò)展性強(qiáng) 核心采用模塊化交換機(jī)，具有更強(qiáng)的擴(kuò)充能力； 分布層及接入層交換機(jī)可通過千兆堆疊擴(kuò)充用戶數(shù)； 模塊化路由器有更多插槽，可更多地?cái)U(kuò) 充端口類別、數(shù)目和新功能。 安全可靠，保密性高 專業(yè)的硬件防火墻解決方案 ； 虛擬專網(wǎng) 支持各種加密算法； 按需劃分虛擬網(wǎng)絡(luò)，管理簡單方便； 綜合的網(wǎng)絡(luò)管理，直觀快捷； 備清單 通過以上分析， 結(jié)合 *集團(tuán)設(shè)備現(xiàn)狀和需求， 我們此次網(wǎng)絡(luò)升級改造全網(wǎng)采用高性價(jià)比 7 的華為系列設(shè)備：核心層設(shè)備選擇 9306 交換機(jī)；分布層采用 5700（三層）交換機(jī)；接入層采用 2700（二層）交換機(jī)；安全方面采用華為的 火墻做為 安全接 入設(shè)備。 詳細(xì)配置情況為： 設(shè)備名稱 數(shù)量 單臺配置情況 9306 （ 核心 ） 2 臺 1 個(gè) 8 端口萬兆光纖板卡 2 個(gè) 24 端口 千兆 光纖板卡 5700 連接服務(wù)器 ） 2 臺（三層） 24 個(gè) 10/100/1000口； 4 個(gè) 基于 千兆 端口 5700 辦公樓匯聚 ） 2 臺（三層） 24個(gè) 100/1000口， 4 個(gè) 10/100/1000 2700C) （ 接入層用戶 ） 10 臺（二層） 48 個(gè) 10/100口， 2 個(gè) 100/1000口， 2 個(gè) 1000口 2700C) （ 接入層用戶 ） 10 臺（二層） 24 個(gè) 10/100口， 2 個(gè)千兆 華為 廣域網(wǎng)接入 ) 3 臺 3 個(gè) 10/100/100M 以太網(wǎng)口； 2 個(gè) 口； 4 個(gè)服務(wù)模塊插槽； 4 個(gè) 槽 華為 火墻 （ 總部 入 ） 1 臺 2 個(gè) 擴(kuò)展 插槽 華為 火墻 （ 分支 入 ） 1 臺 1 個(gè) 個(gè) 口 設(shè)備具體參數(shù)，見附件 1。 品介紹 略 設(shè)備圖片： 8 華為 換機(jī) 570057002700C) 9 2700C) 華為 為 火墻 華為 火墻 第四章 設(shè)計(jì)原則 用性設(shè)計(jì) 略 10 放性設(shè)計(jì) 略 靠性設(shè)計(jì) 略 全性設(shè)計(jì) 略 進(jìn)性設(shè)計(jì) 略 擴(kuò)展設(shè)計(jì) 略 第五章 計(jì)與 址規(guī)劃 計(jì) 即虛擬局域網(wǎng)。它依靠邏輯設(shè)定將原來物理上互連的一個(gè)局域網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)段。 整個(gè)網(wǎng)絡(luò)可以根據(jù)管理的要求、地理位置和片區(qū)的劃分來設(shè)置 相應(yīng)的 擬子網(wǎng)）， 術(shù)可以將不同 間的用戶隔離，保證安全性。 劃分的結(jié)果使得同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)交流則需要通過具有第三層路由功能的設(shè)備來完成。 本方案從核心層交換機(jī) 9306、匯聚層交換機(jī)，再到接入層交換機(jī)設(shè)備都支持準(zhǔn)，保證了該項(xiàng)技術(shù)的順利實(shí)施。這樣，通過在接入層交換機(jī)為用戶配置不同的 行端口隔離，所有的用戶端口只能通過核心交換機(jī)來實(shí)現(xiàn)互連。辦公 11 大樓的訪問層采用 750 三層 交換機(jī)，部門之間的 息可以通過它來轉(zhuǎn)發(fā)，可以減少核心層交換機(jī)的負(fù)擔(dān)，在核心層交換機(jī)通過 問控制列表）進(jìn)行相應(yīng)的控制，使得用戶的訪問得到完全的控制。 具體的 計(jì)如下： 1、辦公樓 計(jì)。 行政部 4 人事部 4 財(cái)務(wù)部 4 后勤部 4 2、核心層 計(jì)。 廠房一 區(qū) 4 廠房二區(qū) 4 營銷中心 4 科研樓 4 服務(wù)器群組一 ( 文件 ) 10 4 服務(wù)器群組二 ( 內(nèi)部 20 4 3. 設(shè)備互連 計(jì)。 12 互連 ( ) ( ) 廣域網(wǎng) R 防火墻 204: ( ) 廣域網(wǎng) R 防火墻 P 地址規(guī)劃 址的合理分配是保證網(wǎng)絡(luò)順利 運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對于 *集團(tuán)網(wǎng)絡(luò)址的分配，我們將盡可能地利用地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。 每個(gè)物理地點(diǎn)劃分連續(xù)的 址，這樣核心交換機(jī)可以使用路由匯聚減少核心路由表的條目。 址空間的分配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由策略有非常密切的關(guān)系，將對網(wǎng)絡(luò)的可用性、可靠性與有效性產(chǎn)生顯著影響。 址的分配需要有足夠的靈活性，能夠滿足各種用戶的需要； 址的分配采用 術(shù)，保證 址的利用效率； 采用 術(shù)，這樣可以減小路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大??； 總之，要充分合理利用已申請的地址空間，提高地址的利用效率。 在本網(wǎng)絡(luò)項(xiàng)目，地址設(shè)計(jì)方案如下： 區(qū)網(wǎng)用戶地址規(guī)劃 園區(qū)網(wǎng)用戶采用 6 網(wǎng)段，劃分子網(wǎng)： 4 4，安排各部門的用戶和服務(wù)器群組。 區(qū) 域 設(shè)備位置 信息點(diǎn)數(shù) 量 戶 址段 默認(rèn)網(wǎng)關(guān) （ 址） 匯聚層 （辦公樓） 行政部 20 10 4 事部 20 20 4 13 財(cái)務(wù)部 40 30 4 勤部 40 40 4 心層 （各工作區(qū)） 廠房一區(qū) 40 50 4 房二區(qū) 40 60 4 銷中心 80 70 4 研樓 40 80 4 務(wù)器群組一 10 110 4 務(wù)器群組二 10 120 4 設(shè)備 互聯(lián)地址規(guī)劃 14 設(shè)備互連及 劃表 設(shè)備名稱 本端端口 段設(shè)備 ） 對端設(shè)備名稱 對端設(shè)備 心 5/0/1 0 核心 5/0/2 ,10,20,30,40 匯聚 0/25 0 核心 0/26 匯聚層 管理 4 備用路由器 ,10,20,30,40 廣域網(wǎng) 0/0/0 0 核心 0/0/1 0 核心 、 心 2 理、 聚 2 理、 聚 2 理、 域網(wǎng) 2 理、 域網(wǎng) 2 理、 域網(wǎng) 2 理、 為 火墻 2 理、 房一區(qū) 理、 房二區(qū) 理、 銷中心 理、 理、 研樓 理、 務(wù)器群（一） 理、 務(wù)器群（二） 理、 關(guān)為 址： 公樓 行政部 理、 事部 理、 務(wù)部 理、 勤部 理、 合 理、 關(guān)為 址： 六章 路由策略 議 是目前內(nèi)部網(wǎng)關(guān)協(xié)議中使用最為廣泛、性能最優(yōu)的一個(gè)協(xié)議， 特別適用于大型網(wǎng)絡(luò)。 它具有以下特點(diǎn)： 可適應(yīng)大規(guī)模的網(wǎng)絡(luò)； 路由變化收斂速度快； 無路由