科技公司內園區(qū)網(wǎng)設計方案

1 科技公司內園區(qū)網(wǎng)設計方案 司背景 *科技集團 有限公司 （簡稱： *集團） 創(chuàng)辦于 2002 年， 目前， 整個集團員工總數(shù) 1000多名 ，國內有 3 個分支機構 。作為 *市第三大 的工業(yè)企業(yè)、 *省第十 大的電子企業(yè)， 2011年， *集團名列 “ 中國電子信息百強 ” 第 38 位。 公司 局域網(wǎng)建設始于 2004 年， 2005 年完成整個工程建設，至今系統(tǒng)已經運行近 6 年時間。 目前，公司的新辦公大樓正在進行裝修，并趁此機會進行整個局域主干網(wǎng)的改造，以適合當前的網(wǎng)絡應用需求。 狀及需求分析 舊網(wǎng)網(wǎng)絡架構如圖所示： 2 *集團總部原有的主干網(wǎng)絡采用二層設計，設備屬于比較早期的產品， 以 100M 端口連接接入層 換機； 用戶采用 100M 以太網(wǎng)鏈路連接 換機?？偛颗c分公司目前采用 512K 線進行數(shù)據(jù)連接，與 接采用 2M 的寬帶線路。 務器、 務器、 務器，數(shù)據(jù)庫服務器主要集中于中心機房，各部門用戶分別通過 100M 雙絞線訪問中心機房的服務器群，通過中心路由器與外界連接。 舊網(wǎng)不足及需求分析如下 : 1. 中心交換機 于低端的 層交換機，性能較差，不適合做核心交換機。而且采用單臺 為核心，容易出現(xiàn)單點故障，影響網(wǎng)絡的應用。 2. 原有的廠房一區(qū)，廠房二區(qū)，營銷中心大樓，科研樓已完成早期局域網(wǎng)建設并接入中心接點。但還有部分建筑無法與核心網(wǎng)絡直接連接，現(xiàn)需要將所有的接點與中心相連接。 3. 原先需要網(wǎng)絡的人數(shù)少，經過多年的發(fā)展員工數(shù)量巨增， 10M 的 經常出現(xiàn)延時過大、丟包率高的現(xiàn)象。再加上許多新的應用的逐步引入，對網(wǎng)絡的依賴和帶寬的需求會越來越高，遠遠不能滿足員工的上網(wǎng)需求。 3 4. 在舊網(wǎng)絡中，公司總部與分公司的數(shù)據(jù)連接采用 512K 線。由于業(yè)務的擴展，分公司希望能與企業(yè)總部更好更快地與交流，讓公司的科研人員最快的了解客戶的需求，以便研究出更好更適合顧客的產品。顯然， 512K 的 時，家庭辦公、移動用戶也需要方便靈活地接入總部的網(wǎng)絡。 5. 各種服務器放置在內網(wǎng)上，沒有采取安全防護措施，內部人員、黑客對內部關鍵數(shù)據(jù)的非法訪問對公司的數(shù)據(jù)造成極大的危險，網(wǎng)絡上的病毒的入侵，也是一大要害。 綜上所述所因，就需要對原有網(wǎng)絡進行 升級改造。 第二章 網(wǎng)絡總體設計 絡設計分析 目前，網(wǎng)絡技術發(fā)展迅速，用戶需求千差萬別，廠商產品豐富多樣。但就其從用戶網(wǎng)絡的應用需求類型特點，網(wǎng)絡技術的發(fā)展水平來說，通常目前主干網(wǎng)的技術有：快速以太網(wǎng)；千兆以太網(wǎng)；萬兆以太網(wǎng)。 千兆以太網(wǎng)的第 3 層交換骨干技術成熟，千兆以太網(wǎng)在企業(yè)網(wǎng)、園區(qū)網(wǎng)、城域網(wǎng)和局域網(wǎng)骨干上取代了傳統(tǒng)的 千兆以太網(wǎng)交換骨干技術特點是：具有高速數(shù)據(jù)傳輸帶寬 (1提供高速交換能力；易于網(wǎng)絡移植、易于維護；簡單易于管理；具有良好的性能價格比。 在選型時考慮到千兆以 太網(wǎng)已成為局域網(wǎng)主干技術策略的事實上的標準，為廣大用戶所選擇，在建設企業(yè)主干網(wǎng)時將技術策略定位于千兆以太網(wǎng)技術。 同時，為提高核心層的數(shù)據(jù)交換能力，可在核心層關鍵部分采用萬兆（ 10G）以太網(wǎng)技術。 4 絡拓撲結構設計 根據(jù)對舊網(wǎng)的調研情況，結合局方本次項目改造需求，我們建議全網(wǎng)采用高性價比的華為設備進行網(wǎng)絡改造， 改造后網(wǎng)絡詳細結構示意圖為 ： 在公司的園區(qū)網(wǎng)絡設計中，采用二層 +三層的網(wǎng)絡設計模型。 用戶密集的區(qū)域（辦公大樓）采用三層網(wǎng)絡架構：接入層匯聚層核心層；用戶較少的辦公區(qū)采用二層網(wǎng)絡架構：接入層核心層。 1、核心層： 核心層作為整個網(wǎng)絡系統(tǒng)的核心，其主要功能是高速、可靠地進行數(shù)據(jù)交換。本方案采用兩臺 9306 做雙核心，負責全網(wǎng)的信息交換。核心交換機之間采用萬兆多模光纖冗余鏈路連接，并進行鏈路聚合，既可將帶寬提高到 20G，又可提高可靠性，實現(xiàn)鏈路冗余，故障自動切換。 2、匯聚層： 匯聚層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。 辦公大樓由于下轄節(jié)點及部門較多，業(yè)務應用比較復雜，所以配置了 2 臺 5700（三層）交換機作為辦公大樓的骨干平臺，支持 劃 分，提供辦公大樓 的路由，減少核 5 心交換機的負擔。 兩臺 5700 做雙機熱備，采用 擬路由器冗余協(xié)議，根據(jù)需求配置成多組 樣設計部但不但保證網(wǎng)絡的 高可用性和穩(wěn)定性，還能避免單臺核心設備的負載太重導致網(wǎng)絡性能問題。 3、接入層： 接入層主要提供終端用戶接入網(wǎng)絡的途徑。主要是進行 劃分、與分布層的連接等等。 接入層交換機采用華為的 2700 系列智能以太網(wǎng)交換機以千兆以太鏈路和匯聚交換機相 連接，并為用戶終端提供 10/100M 自適應的接 入，從而形成千 兆為骨干，百兆到桌面的以太網(wǎng)三層結構。 4、服務器群組：內部的 件和數(shù)據(jù)庫服務器通過千兆網(wǎng)卡于5700 相連， 5700 采用雙歸方式與核心交換機相連，提接高性能。 5、 安全方面 ：采用 華為 火墻 與 接，將對外 務器放置在域，提高服務器的安全性。同時， 可以防止黑客對內部關鍵數(shù)據(jù)的非法訪問和病毒的入侵。 6、 接：由于現(xiàn)在員工人數(shù)大大增加，加上各種基于 網(wǎng)絡應用增多，產生的上網(wǎng)流量 很大，原有的 10M 寬帶連接已不能滿足需求，現(xiàn)升級為 100M 寬帶連接。 7、外部互聯(lián) ： 為實現(xiàn)讓分公司 1（西安）和分公公司 2（上海）與總公司互連，采用 2 條 2M 的 線進行廣域網(wǎng)接入。對于分支機構 3（廣州），由于目前員工數(shù)量較少，為節(jié)省費用，采用基于 術來實現(xiàn)遠程互連。 8、移動辦公用戶：為方便移動辦公用戶可隨時訪問公司總部網(wǎng)絡，也采用基于 術，通過 戶端進行安全接入。 6 第三章 設備選型 能要求 對此次 網(wǎng)絡升級改造的設備選型，主要圍繞以下幾點： 高性能，全交換 10000心互聯(lián)； 核心至匯聚層 1000聯(lián)； 匯聚至接入層 1000聯(lián)； 1000接應用服務器； 100接桌面用戶； 線速核心第三層交換； 路由器專注于處理網(wǎng)絡流量，提供靈活、高效、可靠的網(wǎng)絡連接，支持多種廣域網(wǎng)鏈路： 。 可擴展性強 核心采用模塊化交換機，具有更強的擴充能力； 分布層及接入層交換機可通過千兆堆疊擴充用戶數(shù)； 模塊化路由器有更多插槽，可更多地擴 充端口類別、數(shù)目和新功能。 安全可靠，保密性高 專業(yè)的硬件防火墻解決方案 ； 虛擬專網(wǎng) 支持各種加密算法； 按需劃分虛擬網(wǎng)絡，管理簡單方便； 綜合的網(wǎng)絡管理，直觀快捷； 備清單 通過以上分析， 結合 *集團設備現(xiàn)狀和需求， 我們此次網(wǎng)絡升級改造全網(wǎng)采用高性價比 7 的華為系列設備：核心層設備選擇 9306 交換機；分布層采用 5700（三層）交換機；接入層采用 2700（二層）交換機；安全方面采用華為的 火墻做為 安全接 入設備。 詳細配置情況為： 設備名稱 數(shù)量 單臺配置情況 9306 （ 核心 ） 2 臺 1 個 8 端口萬兆光纖板卡 2 個 24 端口 千兆 光纖板卡 5700 連接服務器 ） 2 臺（三層） 24 個 10/100/1000口； 4 個 基于 千兆 端口 5700 辦公樓匯聚 ） 2 臺（三層） 24個 100/1000口， 4 個 10/100/1000 2700C) （ 接入層用戶 ） 10 臺（二層） 48 個 10/100口， 2 個 100/1000口， 2 個 1000口 2700C) （ 接入層用戶 ） 10 臺（二層） 24 個 10/100口， 2 個千兆 華為 廣域網(wǎng)接入 ) 3 臺 3 個 10/100/100M 以太網(wǎng)口； 2 個 口； 4 個服務模塊插槽； 4 個 槽 華為 火墻 （ 總部 入 ） 1 臺 2 個 擴展 插槽 華為 火墻 （ 分支 入 ） 1 臺 1 個 個 口 設備具體參數(shù)，見附件 1。 品介紹 略 設備圖片： 8 華為 換機 570057002700C) 9 2700C) 華為 為 火墻 華為 火墻 第四章 設計原則 用性設計 略 10 放性設計 略 靠性設計 略 全性設計 略 進性設計 略 擴展設計 略 第五章 計與 址規(guī)劃 計 即虛擬局域網(wǎng)。它依靠邏輯設定將原來物理上互連的一個局域網(wǎng)絡劃分為多個虛擬網(wǎng)段。 整個網(wǎng)絡可以根據(jù)管理的要求、地理位置和片區(qū)的劃分來設置 相應的 擬子網(wǎng)）， 術可以將不同 間的用戶隔離，保證安全性。 劃分的結果使得同一虛網(wǎng)內數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)交流則需要通過具有第三層路由功能的設備來完成。 本方案從核心層交換機 9306、匯聚層交換機，再到接入層交換機設備都支持準，保證了該項技術的順利實施。這樣，通過在接入層交換機為用戶配置不同的 行端口隔離，所有的用戶端口只能通過核心交換機來實現(xiàn)互連。辦公 11 大樓的訪問層采用 750 三層 交換機，部門之間的 息可以通過它來轉發(fā)，可以減少核心層交換機的負擔，在核心層交換機通過 問控制列表）進行相應的控制，使得用戶的訪問得到完全的控制。 具體的 計如下： 1、辦公樓 計。 行政部 4 人事部 4 財務部 4 后勤部 4 2、核心層 計。 廠房一 區(qū) 4 廠房二區(qū) 4 營銷中心 4 科研樓 4 服務器群組一 ( 文件 ) 10 4 服務器群組二 ( 內部 20 4 3. 設備互連 計。 12 互連 ( ) ( ) 廣域網(wǎng) R 防火墻 204: ( ) 廣域網(wǎng) R 防火墻 P 地址規(guī)劃 址的合理分配是保證網(wǎng)絡順利 運行和網(wǎng)絡資源有效利用的關鍵。對于 *集團網(wǎng)絡址的分配，我們將盡可能地利用地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡內地址分配及業(yè)務流量的均勻分布。 每個物理地點劃分連續(xù)的 址，這樣核心交換機可以使用路由匯聚減少核心路由表的條目。 址空間的分配與合理使用與網(wǎng)絡拓撲結構、網(wǎng)絡組織及路由策略有非常密切的關系，將對網(wǎng)絡的可用性、可靠性與有效性產生顯著影響。 址的分配需要有足夠的靈活性，能夠滿足各種用戶的需要； 址的分配采用 術，保證 址的利用效率； 采用 術，這樣可以減小路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡中廣播的路由信息的大?。?總之，要充分合理利用已申請的地址空間，提高地址的利用效率。 在本網(wǎng)絡項目，地址設計方案如下： 區(qū)網(wǎng)用戶地址規(guī)劃 園區(qū)網(wǎng)用戶采用 6 網(wǎng)段，劃分子網(wǎng)： 4 4，安排各部門的用戶和服務器群組。 區(qū) 域 設備位置 信息點數(shù) 量 戶 址段 默認網(wǎng)關 （ 址） 匯聚層 （辦公樓） 行政部 20 10 4 事部 20 20 4 13 財務部 40 30 4 勤部 40 40 4 心層 （各工作區(qū)） 廠房一區(qū) 40 50 4 房二區(qū) 40 60 4 銷中心 80 70 4 研樓 40 80 4 務器群組一 10 110 4 務器群組二 10 120 4 設備 互聯(lián)地址規(guī)劃 14 設備互連及 劃表 設備名稱 本端端口 段設備 ） 對端設備名稱 對端設備 心 5/0/1 0 核心 5/0/2 ,10,20,30,40 匯聚 0/25 0 核心 0/26 匯聚層 管理 4 備用路由器 ,10,20,30,40 廣域網(wǎng) 0/0/0 0 核心 0/0/1 0 核心 、 心 2 理、 聚 2 理、 聚 2 理、 域網(wǎng) 2 理、 域網(wǎng) 2 理、 域網(wǎng) 2 理、 為 火墻 2 理、 房一區(qū) 理、 房二區(qū) 理、 銷中心 理、 理、 研樓 理、 務器群（一） 理、 務器群（二） 理、 關為 址： 公樓 行政部 理、 事部 理、 務部 理、 勤部 理、 合 理、 關為 址： 六章 路由策略 議 是目前內部網(wǎng)關協(xié)議中使用最為廣泛、性能最優(yōu)的一個協(xié)議， 特別適用于大型網(wǎng)絡。 它具有以下特點： 可適應大規(guī)模的網(wǎng)絡； 路由變化收斂速度快； 無路由