搜索
XX集团园区网络技术建议书杭州华三通信技术有限公司目录第1章总体建设要求根据XX园区信息化对计算机网络系统的需求,我们选择采用基于TCP/IP协议的、以1/10GBASE-X光纤链路为骨干的网络,各楼栋内采用千兆到桌面,要求能兼容IPV4与IPV6,通过VLAN划分不同逻辑区域分别供不同部门的接入使用。在共用主干网络线路的前提下实现各区域的逻辑性隔离,以实现安全、使用以及资源利用最大化。1、区域划分XX公司园区网由四栋新建楼宇组成,分别是保障中心、集控大厅、周转宿舍、多功能综合楼;保障中心作为整个园区的网络核心,中心机房部署在三楼,分别通过光缆连接其它楼栋,大楼内设置汇聚交换机,接入交换机对本大楼内的信息点位进行接入。2、网络拓朴的设计根据业务情况,把园区网络分为3套网络:内网、外网、智能网,三套网络要求物理隔离;网络主体架构采用星型拓朴结构,计算机网络系统考虑在保障中心三楼机房各设计2台万兆交换机作为XX公司个业务网络的核心交换机,同时必须虚拟化能力,采用双核心设计,把双核心虚拟成一台具有高性能、高可靠、高安全的虚拟交换机;核心交换机通过万兆单光缆连接到保障中心、集控大厅、周转宿舍、多功能综合楼的汇聚机房,根据信息点位设计一台万兆汇聚交换机,通过千兆单模对本楼层的接入交换机提供接入,楼层设计多台千兆接入交换机对本栋大楼信息点提供千兆桌面接入。3、网络管理系统基于网络中所涉及的设备较多,需要对设备进行状态检测、设备配置、策略设置等,在网络发生故障时能够及时发现问题,这需要一套功能强大的网络管理软件。方案中选用智能网管软件作为局域网管理平台,能够与方案中设计的网络设备、安全设备、无线、监控良好配合。4、无线覆盖设计利用无线网络技术进一步扩展网络的覆盖范围,提高网络的用户自适应性,在无线的覆盖范围内实现数据业务和语音业务的无线传输,并且可实现三层漫游,使无线局域网和有线网成为一个整体,提供安全的无线接入。无线要求采用FITAP组网方式,由无线控制器对集团内所有的无线AP进行统一接入管理,AP供电采用POE远程供电方式;5、对IP地址、DNS等网络基础资源的规划XX共有上千个网络点及多个无线AP,其IP地址划分按C类协议划分,可以考虑不同楼栋的不同部门上网采用不同的IP段。6、对安全的考虑方案中对系统安全作如下考虑,在对外连接上采用高性能防火墙,提供充足的千兆端口和处理系能。对于集团上网的各种应用进行行为和流量控制,配置应用控制网关,对集团各种行为进行精细化管理和控制,对上网行为提供事后行为审计能力。7、综合布线综合布线是本次网络改造的重点,要求做点规范、整洁、美观、方便、耐用,楼栋之间采用室外光缆进行布放,光缆两端采用光端盒,光端盒必须出可接跳线的耦合器,不能直接出尾纤。光缆必须走地下,不能从空中拉;室内采用六类非屏蔽线缆,除了新教学楼,其它大楼均采用一个弱电机房,所有信息点的网线直接拉到大楼弱电机房,在机房采用配线架集中整合。线缆布放必须采用桥架方式进行布放;XX公司网络建设的总体目标是建立一个开放的、基于标准的数字化园区系统平台,利用企业信息交换、资源共享、远程会议等现代化办公手段,面向员工及用户提供个性化、人性化的服务。并可支持未来数据、语音和视频等多业务在现有网络技术平台的融合。计算机网络系统是整个XX公司信息管理系统的基础平台与设施,为保证信息管理系统应用系统的高效、安全、可靠,必须在整个网络系统建设方案设计中按照国家和行业标准,达到一定的设计、建设原则和目标。建设一个支持数字化、网络化、自动化的国内先进的基础网络平台,满足数字化企业建设的需要,也满足企业信息化建设的长期要求。网络平台具有良好的服务质量、较高安全性、便于管理和维护,能够支持企业的各种办公和科研应用,也支持移动办公、信息发布。第2章设计原则在XX公司网络建设项目中,为节省用户投资,保证业务的正常、优质开展,整个网络系统必须总体规划,统一标准。为达到XX公司网络建设的目标要求,在网络设计构建中,应坚持以下建网原则:需求驱动原则:以实际应用需求为依据,选择技术和设备。根据企业信息化建设的实际需求,考虑远程办公与合作,特别是数据信息传输与数字视频业务的需要,要充分考虑网络系统的服务质量和可靠性。根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。先进性原则:企业信息化需要最新技术的支撑,特别是网络技术和多媒体计算机技术,必须采用先进成熟的技术,并兼顾未来发展趋势。本方案所选择H3C公司设备在技术上具有很强的先进性,其性能、技术体系可保证企业5-8年的发展需要,有力的保护了企业投资。投资保护原则:由于企业已在网络应用方面做了大量的投入进行信息化建设,企业信息化在各部门或不同的应用上对网络的需求不尽相同,原有的很多工作已经证明是有效的,这部分软硬件可以继续发挥作用,从而保护原有投资,节省建设经费。标准化原则:从机房建设、综合布线工程规范、到网络技术标准和网络协议,都有相应的国际标准和国家标准,所有设计与建设要遵循该原则,从而可以实现标准化管理,延长整体项目的生命周期,做到投资保护。安全性原则:企业信息化工作的特殊性,对网络与信息安全提出了很高的要求。由于安全性的要求与投入成正比,并且涉及管理与应用的方方面面,是一个复杂的系统工程,实际上没有一个绝对安全的系统,安全只是相对而言,所以该原则是充分评估安全风险,制定安全策略,采取必要的安全措施。是防止非法访问者通过互联网络对网络节点进行攻击的能力。从网络设备来讲,防止外部攻击主要靠路由器实现,华为路由器在这方面具有独到的优势。华为3COM产品的全部软件及硬件均为公司自行开发研制,具有完全的知识产权。工程原则:网络系统建设涉及机房与网络配线间环境、通信管道与通信线缆、楼内综合布线系统、电源及其防护、网络交换机与路由器、服务器设备以及相关的软硬件系统,在设计建设时要体现工程原则,做到有工程规划、项目有设计、实施有控制等,实现整个系统的可管理、可维护、可扩展和可升级。健壮性及开放性:它应具有很好的收敛性和可扩展性,同时其网络额外开销是极小的,且受到国际标准的支持,保证不同设备见的互通性。可扩展性:考虑到今后信息化的进程和逐步演进,网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。经济性:应该充分的利用现有的网络资源,充分考虑经济和安全的最佳结合点。设备在保障性能和可靠安全的基础上,应能达到最佳性价比。第3章网络整体方案设计3.1总体网络设计描述从应用结构上来讲,XX公司网络系统可分为三个大的层次:互联支撑层是XX公司管理网的基础,由XX公司管理中心统一规划、构建及管理,支撑层利用宽带IP技术,保证网络的互联互通性,提供具有一定QoS的带宽保证,并提供各部门、系统网络间的一定隔离,保证互访的安全控制;安全保障系统是指通过认证、加密、授权、绑定控制等技术对XX公司管理网上的用户访问及数据实施安全保障的监控系统,他与互联支撑层相对独立,由管理中心与各部门单位共同规划,分布构建,如数据加密等措施建议在用户网络处(各部门)实施;业务应用层就是在安全互联的基础上实施XX公司管理网的各种应用,由管理中心与各系统单位统一规划,分别实施。在本方案中,各个网络系统均采用星型结构,星型结构特点是结构简单,时延固定,便于管理和故障排除,接入层单点故障不会影响整个网络,提高网络的可靠性。3.2网络结构设计网络的拓扑结构很大程度上决定了网络的性能,常见的网络拓扑结构主要有星型结构、网状结构、环形结构等几种,根据XX集团园区网的特点,结合性能和经济方面的考虑,推荐采用星型结构搭建园区网。互联支撑网络安全保障系统网络业务应用根据功能区的不同划分为以下3层,核心层、汇聚层、接入层:名称功能备注核心设备核心层为网络提供骨干组件或高速交换组件,高效速度传输是核心层的目标核心交换机采用基于CLOS多级交换架构的交换机S10500,控制和转发物理分离,真正保证大数据量的无阻塞转发,同时支持多业务安全插卡,保证整个网络的数据传输安全汇聚设备汇聚层是核心层和终端用户接入层的分界面,汇聚交换选择S5800万兆交换机,提供24个千兆光口,4个万兆光接口,对上通过万兆单模连接到两台核心,向下采用多模千兆接入楼层接入交换机,汇聚层完成网络访问的策略控制、广播域的定义、VLAN间的路由、数据包处理、过滤寻址及其他数据处理的任务。接入设备接入层向本地网段提供用户接入。接入交换机采用S5110千兆交换机,通过千兆多模接到汇聚交换机,通过六类网线提供用户千兆接入,主要提供网络分段、广播能力、多播能力、介质访问的安全性、MAC地址的过滤和路由发现等任务3.3网络拓扑图3.3.1网络拓扑图(内网)3.3.2网络拓扑图(外网)3.3.3网络拓扑图(智能网)3.4组网描述根据本期工程的需求和建设目标,整个园区网络分为三张网络:内网、外网、智能网,三张网络的逻辑结构及设备选型类似,要求三张网络物理隔离,独立组网;网络结构设计上采用三层架构,核心交换机、汇聚交换机、接入交换机,楼间采用万兆单模连接,大楼内的汇聚和接入通过千兆单模光纤连接,千兆到桌面,同时实现园区部分场所的无线无缝覆盖,为园区提供高速、稳定、方便的无线接入平台,保证园区各种应用能够随时随地的开展。3.4.1网络出口设计三张网络(内网、外网、智能网)的出口分别通过核心交换机接到集团原有相应网络上,在核心交换机上部署安全插卡(防火墙、入侵防御系统),有效阻止来自网络中的各种安全威胁,如黑客、木马、病毒、网页篡改等;在外网考虑两个出口,一个出口为集团外网接入,另外考虑单独的互联网出口,在互联网出口部署一台高性能出口路由器SR6602-X1,提供15M的包转发能力,4个千兆光口,4个千兆电口,2个万兆接口,4个业务扩展槽位,出口路由器要做NAT转换,SR6602具备400万的并发连接数,完全满足园区用户的上网需要,园区内部全部采用私有地址,通过NAT后访问互联网,可以很好解决公网地址不足的问题。3.4.2核心层设计随着园区网信息化的完善,园区的应用越来越多,上网的人也越来越多,业务也遍布办公、娱乐、生活各个领域,接入方式不局限于有线,有高带宽的无线接入,所以园区核心交换机需要同时承载多种业务,所有业务都要经过核心交换机处理,建议核心交换机必须满足大容量、高性能、高可靠、高安全及网络扩展的要求,本次三张网络(内网、外网、智能网)核心层均采用双核心设计,核心交换机采用H3C多级交换架构(CLOS)数据中心级交换机S10508-V,两台核心通过虚拟化技术IRF2虚拟成一台设备逻辑设备,H3CS10500是中国国内第一款100G平台交换机,支持未来40GE和100GE以太网标准,采用先进的CLOS多级多平面交换架构,独立的交换网板卡,控制引擎和交换网板硬件相互独立,最大程度的提高设备可靠性,同时为后续产品带宽的持续升级提供保证;为了满足数据中心级网络高可靠、高可用、虚拟化的要求,S10500采用创新IRF2(第二代智能弹性架构)设计,将多台高端设备虚拟化为一台逻辑设备,简化路由协议运行状态与运维管理,同时大大缩短设备及链路出现故障快速切换,避免网络震荡。IRF2互联链路采用2*10GE捆绑,保证高可靠及横向互访高带宽。在每台核心交换机S10508配置配置1个控制引擎、3个电源、2个独立的交换引擎、32个万兆光口(含4个万兆单模光模块,2个万兆多模光模块),用于连接楼栋汇聚(保障中心、集控大厅、周转宿舍、多功能综合楼),配置48个千兆电接口,便于集团服务器、工作站接入;核心节点到楼层交换机和各大楼汇聚交换机之间通过10GE链路连接,核心设备支持虚拟化,两台核心可虚拟为一台路由设备,为接入的用户提供缺省网关的冗余,便于后期双核心扩展。IRF2虚拟化技术——核心组网可靠性:实现两台核心交换机S10508-V虚拟成一台逻辑设备,通过跨设备链路捆绑实现核心和接入的点对点互联,消除二层网络的环路,这样就直接避免了在网络中部暑STP