大型企业网络方案设计(共38页).doc

《大型企业网络方案设计(共38页).doc》由会员分享，可在线阅读，更多相关《大型企业网络方案设计(共38页).doc（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上 大型企业网络 综合设计 方 案 书 大型企业网络综合设计-四川工程职业技术学院1队 目录1、前言 . 2 2、企业网络改造需求分析 . 2 2.1企业网络现状分析. 2 2.2企业信息点分布. 3 2.3带宽性能需求. 4 2.4稳定可靠需求. 4 2.5网络安全需求. 4 2.6网络无线需求. 5 2.7 应用服务需求. 5 3、网络方案设计 . 5 3.1 设计思路 . 5 3.2设计原则 . 5 3.3网络拓扑 . 6 3.4 稳定性设计. 10 3.5 VLAN和IP地址设计 . 10 3.6路由设计 . 13 3.7安全设计 . 13 3.8易管理性设计.

2、 13 3.9未来扩展性设计. 13 4、设备选用 . 14 4.1 接入层 . 14 4.1 汇聚层 . 14 4.3 核心层 . 14 4.4 网络流控安全. 15 4.5 网络出口 . 16 4.6 无线产品 . 16 4.7 设备清单 . 17 5、方案特色 . 20 5.1拓扑设计合理性. 20 5.2虚拟防火墙应用. 21 5.3流控设备应用. 21 5.4无线瘦AP架构 . 21 5.5网络易管理行. 22 1 大型企业网络综合设计-四川工程职业技术学院1队 1、前言 川钢集团有限公司（简称川钢）是国务院国有资产监督管理委员会直接管理的中央企业。四十多年来，川钢依托四川地区丰富的

3、钒钛磁铁矿资源优势，依靠自主创新推动钢铁钒钛产业跨越式发展，通过一期、二期等多期工程建设及近年来的技术改造和资本运营，已发展成为跨地区、跨行业的现代化钢铁钒钛企业集团。 川钢集团在四川省拥有多个生产基地，分别部署于泸州、成都、西昌、攀枝花等城市。随着企业的不断发展壮大，企业对信息化的依赖程度逐渐增高，可以说信息化的程度，将决定着企业的发展与未来。 企业的信息化，首先应该站在企业战略目标的高度来考虑，必须依据企业的经营、营销竞争战略考虑，从企业的实际出发，来制定企业实施信息化的总体规划。这样企业的信息化才能站在企业战略目标的高度和长远发展的全局上，系统的、全面的、统筹兼顾来思考问题，才能真正从企

4、业实际出发，从需求出发。因此，围绕企业的战略目标，长远规划而形成的业务、流程、组织、策略才是合理的。 信息化的建设过程就是企业依据客户的需求来指导、规范企业的所有行为，也是企业进行内部改革的过程，改革那些不适应现代企业制度，不适应对市场快速反应的旧的管理体制、管理制度。实施 ERP的过程也是理顺供货渠道与供应商关系、客户关系的时期规范秩序，整肃内部，建立各种内控约束规范，清理一切不适应市场竞争的需要的陈规旧习；内聚人心、外树形象；建立对市场快速反应满足客户需求的机制，强化客户关系管理，协调客户，巩固老客户发展新客户，服务好重点客户，使供货渠道变粗、变短、变快、变畅。 2、企业网络改造需求分析2

5、.1企业网络现状分析 川钢集团网络拥有两张独立而且物理隔离的网络，一张对内提供生产业务、财务数据、办公业务等（简称生产网） ；另一张进行对外业务、互联网访问等（简称互联网） 。成都为集团总部所在地，网络建设于2004 年；泸州为水运基地及生产基地，网络建设于 2005 年；西昌和攀枝花为矿产基地与生产基地，信息化建设为 2002 年，2007 年做过一次改造。总体来看，企业信息化建设均较早，目前这四个城市之间采用的是电信的 20M 的专线提供内部业务之间的互联，每个城市厂区均有自己独立的互联网出口，但对外宣传及服务业务均集中在成都总部。 2 大型企业网络综合设计-四川工程职业技术学院1队 然而

6、，随着集团业务的发展，以及对信息化要求的逐年增高，视频会议系统、知识管理系统、高清视频监控系统、IP语音电话系统等业务系统的上线与应用，对内与对外业务网的数据共享越来越多，随之也带来了生产网安全问题，一系列的问题与需求的出现，导致生产网越来越不能满足于现有的业务开展对网络的需求。 2.2企业信息点分布 l 成都基地 A栋 B栋 楼层 信息点数（个） 总信息点数（个） 楼层 信息点数 总信息点数 480 2 20 20 2-5、7-18 30（平均） 6 60 60 3 70 70 4 70 70 5 70 70 6 20 20 总计:540 总计：250 合计：790 表1 成都基地 西昌基地

7、l 生产厂房 办公楼 栋数 作息点数（个） 总信息点数（个） 楼层 信息点数 总信息点数 7 40 280 1 20 20 2-7 30 180 总计：280 总计：200 合计：480 表2 西昌基地 l 攀枝花基地 生产厂房 办公楼 栋数 作息点数（个） 总信息点数（个） 楼层 信息点数 总信息点数 10 20 200 1 30 30 2-11 30 300 总计：200 总计：330 合计：530 表3 攀枝花基地 l 泸州基地 库房 办公楼 栋数 作息点数（个） 总信息点数（个） 楼层 信息点数 总信息点数 6 8 48 1 30 30 2-9 30 240 总计：48 总计：270

8、合计：318 表4 泸州基地 3 大型企业网络综合设计-四川工程职业技术学院1队 综上，四个基地一共信息点数：21182.3带宽性能需求 现代企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到

9、桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10 Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的高品质企业网，从而适应网络规模扩大，业务量日益增长的需要。2.4稳定可靠需求 现代企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在

10、可靠性设计方面主要应从以下3个方面考虑。 设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络 设备整体设计架构、处理引擎种类等多方面去考察。 业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。 链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要 考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。 2.5网络安全需求 现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实

11、现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。 4 大型企业网络综合设计-四川工程职业技术学院1队 2.6网络无线需求 无线局域网的应用，使企业信息网络更加灵活，而且能够经济、快捷的实现无缝覆盖。在需要频繁上网设备的库房，在网络终端不固定的会议室等区域，无线网络都是理想的选择。配合无线终端，可以实现很多适合企业应用的无线接入服务。 2.7 应用服务需求 现代大型企业网络应具备更

12、智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为以应用为中心的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑以应用为中心的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。 3、网络方案设

13、计3.1 设计思路 经过综合考虑，我们采用层次化设计，全网采用三层网络架构，千兆到桌面。核心层、汇聚层、接入层分别采用十万兆平台的RG-S8610、RGS-7610核心路由交换机、全千兆汇聚交换机RG-S5750、全千兆接入交换机RG-S2924G，各设备处理区域内的业务数据流量，实现全网流量高速处理。 核心设备、门诊区域汇聚设备、数据中心服务器交换机、主干链路等均实现冗余设计，保证在一台设备或链路出现问题的情况下，网络核心各业务系统等信息化应用关键环节仍能不间断的提供服务。在大汇聚区域设备划分VLAN ，隔离广播风暴到每个VLAN，从而来保证网络的畅通。 3.2设计原则 本方案的设计将在追求

14、性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正满足川钢的需求！ 从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则： l 实用性和集成性 5 大型企业网络综合设计-四川工程职业技术学院1队 系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多，必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致的进行高效工作。 l 标准性和开往性 只有支持标准性和开放性

15、的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。 l 先进性和安全性 系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。网络的安全是事关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。 l 成熟性和高可靠性 可靠性也是衡量一个计算机应用系统的重要标准之一，对于企业业务来说

16、更是如此。在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。使系统能够全天候工作，达到每周7*24小时工作的要求。 在设计和实现时，我们充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复。 l 可扩充性和兼容性 网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充

17、的要求。 为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删除功能模块。 3.3网络拓扑l 成都 6 大型企业网络综合设计-四川工程职业技术学院1队 图1 网络拓扑图成都 l 西昌 7 大型企业网络综合设计-四川工程职业技术学院1队 图2 网络拓扑图西昌 l 攀枝花 8 大型企业网络综合设计-四川工程职业技术学院1队 图3 网络拓扑图攀枝花 l 泸州 9 大型企业网络综合设计-四川工程职业技术学院1队 图4 网络拓扑图泸州 3.4 稳定性设计 在此方案中，我们充分考虑到冗余，在关键处都提供设备或链路的冗余。以确保企业网络2

18、4小时正常运行。核心层，我们采用双核心架构，以提供设备的冗余；汇聚层与接入层我们采用双链路设计，以提供链路的冗余。出外网时，我们同时采用设备和链路设计，以确保和外网的连接。 3.5 VLAN和IP地址设计l VLAN设计 根据部门职能的不同划分VLAN。其好处如下： 1. 安全 含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄 露机密信息的可能性。 2. 成本降低 成本高昂的网络升级需求减少，现有带宽和上行链路的利 用率更高，因此可节约成本。 10 大型企业网络综合设计-四川工程职业技术学院1队 3. 性能提高 将第 2 层平面网络划分为多个逻辑工作组（广播域）可以 减少网络上不必要的流

19、量并提高性能。 4. 广播风暴防范 将网络划分为多个 VLAN 可减少参与广播风暴的设备 数量。 5. 简化项目管理或应用管理 VLAN 将用户和网络设备聚合到一起， 以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用 的处理都变得十分方便。 l IP地址划分 本着以“简单明了、易于扩展”的原则，我们确定采用10.0.0.0/16此网段来给四个地区划分. 设备管理VLAN都用VLAN1 成都地区一共划分为9个VLAN,相应IP如下表 ： 楼宇 楼层 VLAN ID IP网段 A楼 2-4 VALN101 10.11.0.0/16 5-6 VLAN102 10.12.0.0/16 7

20、-9 VALN103 10.13.0.0/16 10-12 VLAN104 10.14.0.0/16 13-15 VLAN105 10.15.0.0/16 16-18 VLAN106 10.16.0.0/16 B楼 2-3 VLAN107 10.17.0.0/16 4 VALN108 10.18.0.0/16 5-6 VLAN109 10.19.0.0/16 表5 IP地址划分成都地区 西昌地区一共划分为10个VLAN,相应IP如下表 ： 楼宇 楼层 VLAN ID IP网段 生产厂房 1厂房 VALN201 10.21.0.0/16 2厂房 VLAN202 10.22.0.0/16 3厂房

21、VALN203 10.23.0.0/16 11 大型企业网络综合设计-四川工程职业技术学院1队 4厂房 VLAN204 10.24.0.0/16 5厂房 VLAN205 10.25.0.0/16 6厂房 VLAN206 10.26.0.0/16 7厂房 VLAN207 10.27.0.0/16 办公楼 1-3 VLAN208 10.28.0.0/16 4-5 VALN209 10.29.0.0/16 6-7 VLAN210 10.30.0.0/16 表6 IP地址划分西昌地区 攀枝花地区一共划分为14个VLAN,相应IP如下表 ： 楼宇 楼层 VLAN ID IP网段 生产厂房 1厂房 VAL

22、N301 10.31.0.0/16 2厂房 VALN302 10.32.0.0/16 3厂房 VALN303 10.33.0.0/16 4厂房 VALN304 10.34.0.0/16 5厂房 VALN305 10.35.0.0/16 6厂房 VLAN306 10.36.0.0/16 7厂房 VALN307 10.37.0.0/16 8厂房 VLAN308 10.38.0.0/16 9厂房 VLAN309 10.39.0.0/16 10厂房 VLAN310 10.40.0.0/16 办公楼 1-3 VLAN311 10.41.0.0/16 4-6 VALN312 10.42.0.0/16 7-

23、9 VALN313 10.43.0.0/16 10-11 VALN314 10.44.0.0/16 表7 IP地址划分攀枝花地区 泸州地区一共划分为9个VLAN,相应IP如下表 ： 12 大型企业网络综合设计-四川工程职业技术学院1队 楼宇 楼层 VLAN ID IP网段 生产厂房 1厂房 VALN401 10.51.0.0/16 2厂房 VLAN402 10.52.0.0/16 3厂房 VALN403 10.53.0.0/16 4厂房 VLAN404 10.54.0.0/16 5厂房 VLAN405 10.55.0.0/16 6厂房 VLAN406 10.56.0.0/16 VLAN407

24、10.57.0.0/16 办公楼 1-3 VALN408 10.58.0.0/16 4-6 VLAN409 10.59.0.0/16 7-9 表8 IP地址划分泸州地区 3.6路由设计 在访问外网时，我们采用的是双出口设计。通过对路由设备及链路的备份，并且使用VRRP技术来确保出口的稳定。考虑到四个地区的互访，路由协议我们选择OSPF。 3.7安全设计 安全，对于网络是很重要，我们在设计时也充分考虑到了。对于外网，我们采用锐捷先进的防火墙来防止发至外网的攻击；对于内网，我们采用MAC地址绑定、端口绑定、VLAN划分以及SAM身份认证等措施来消除内网安全的隐患。 3.8易管理性设计 数着网络规模

25、的不断扩大，网络管理也显得日夜严重了。如何快速的了解网络状况？如何快速判断网络故障？如何了解设备运行状态？这些都是管理员所每天面对的问题。锐捷SNC-网络指挥官，很好的解决了这个问题，能过它能够实时的监测网络运行状况，能够实时的了解网络姿态。 3.9未来扩展性设计 考虑到企业以后的发展，我们在设计时，提供了一定的扩展空间。第一，全网我们采用分层设计模型，为以后的增减设备提供便利；第二，对于我们在设备 13 大型企业网络综合设计-四川工程职业技术学院1队 选用时，也充分为以后 的扩展提供了端口。 4、设备选用4.1 接入层 接入层我们选择锐捷网络的RG-S2928G-E、RG-S2952G-E这

26、两款二层交换机。 RG-S2900-E系列交换机包括RG-S2928G-E 、RG-S2952G-E二款产品，分别是24口与48口是锐捷网络基于网络安全和易用好管理的理念推出的新一代安全智能交换机，充分融合了网络发展需要的高性能、高安全、多业务、易用性特点，为用户提供全新的技术特性和解决方案。 完善的QoS策略 l 灵活可靠的万兆混合堆叠 l 高可靠性 l 方便易用易管理 l 4.1 汇聚层 汇聚层我们选择锐捷网络的RG-S三层RG-S5750-24SFP/12GT交换机。 RG-S5750系列是锐捷网络推出的硬件支持IPv6的万兆多层交换机。该系列交换机提供的接口形式和组合非常灵活，即可以提

27、供24个或48个10/100/1000M自适应的千兆电口（不包含扩展模块端口），又可以提供有24个SFP千兆光口（不包含扩展模块端口），又能提供PoE远程供电的接口，满足网络建设中不同传输介质的连接需要。 IPv4/IPv6双栈协议多层交换 l 灵活完备的安全策略 l 强大的多业务支撑能力 l 完善的QoS策略l l 方便易用易管理 l 4.3 核心层 核心层我们选择锐捷网络的RG-S7610与RG-S8610核心交换机。 RG-S8600是锐捷网络推出的面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供10竖插槽

28、设计和6横插槽设计两种主机：RG-S8606和RG-S8610。 RG-S8600系列高密度多业务IPV6核心路由交换机提供3.2T/1.6T背板带宽，并 14 大型企业网络综合设计-四川工程职业技术学院1队 支持将来更高带宽的扩展能力，高达1190Mpps/595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。其有如下特色： 强大的安全稳定保障 l 丰富的应用支持技术 l 支持领先的万兆以太网技术（IEEE 802.3ae、IEEE 802.3ak、IEEE l 802.3an） 领先的多业务扩展能力 l 4.4 网络流控安全 网络流控我们选择锐捷网络的ACE3000

29、与RG-EG1000M核心交换机。 RG-ACE（Application Control Engine）应用控制引擎是锐捷网络专门为园区网出口部署设计的网络设备，它不但具有丰富的协议识别能力，还能对个用户的应用级IP数据流实施分类和控制。 以RG-ACE为基础构建的网络流量控制方案，提供了基于七层应用的智能带宽管理和应用优化。该方案几乎能检测和控制任何网络应用，并为客户提供基于在线用户身份的业务智能感知、带宽资源精细管理、应用/流量优化的一体化解决方案，通过较低的成本改善和保障了整体网络应用的服务质量。 多核高性能 l 网络实名制 l 900+种应用协议准确识别 l 网络流量实时监控、分析和控

30、制 l 强大的日志记录、完善的安全审计 l EasyGate易网关（以下简称RG-EG）是锐捷网络公司推出的一款解决当下网络出口难题的多业务综合网关产品。作为锐捷网络完全自主研发的综合网关，EG产品集成先进的软硬件体系构架，配以先进的DPI深入分析引擎、行为分析/理引擎，能够在保证网络出口高效转发的基础上，提供专业的流控功能、出色的URL过滤以及本地化的日志存储/审计服务。此外，EG的多业务特性还体现在对WEB认证、SSL VPN等功能的支持上。 RG-EG1000M特点 高性能转发，搭建好网络出口基础平台 l 状态防火墙，做好内、外网的安全保护 l 继承锐捷专业流控，为网络出口全面提速 l

31、自主研发URL过滤，跟非法网络说ByeBye l 15 大型企业网络综合设计-四川工程职业技术学院1队 深层次内容审计，本地化日志记录，基于用户身份的审计功能 l 设备软、硬件高可靠性，保障网络出口不中断运行 l 4.5 网络出口 网络出口我们选择锐捷网络RG-NPE50。 RG-NPE（Network outPut Engine，网络出口引擎）系列产品，是锐捷网络公司针对国内网络出口状况研发的专用设备。NPE基于多核处理器技术进行架构，具备转发高性能，内嵌状态防火墙、符合公安部82号令的日志记录等功能，此外，NPE针对国内普遍存在的NAT进行优化，并发会话和新建会话能力在业内首屈一指。 先进

32、的体系架构 l 高性能NAT l 有效的流量控制 l 多链路负载均衡，保证数据转发的最佳路径选择 l 4.6 无线产品 无线，我们选择锐捷网络RG-WS5302控制器和无线AP-220-E。 RG-WS5302无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品，专为中小型无线网络设计，可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。RG-WS5302提供了2个千兆光电复用端口，为高效的数据转发提供了硬件支持。RG-WS5302起始支持16个无线接入点的管理，可通过软件license扩展、硬件级联等手段

33、管理百台以上的AP。 集中/分布式一体化的智能交换 l 灵活的网络扩展 l 支持802.11n高速无线传输 l 丰富的服务质量保证（QoS） l 全网无缝漫游 l 用户安全准入 l RG-AP220-E是锐捷网络推出的面向下一代高速无线网络的无线接入点产品，采用了最新标准的802.11n协议，每路射频单元可以提供高达300Mbsp的接入速率，单个AP可以提供600Mbps的接入速率。同时凭借业界最先进的3X3 MIMO天线架构，可使AP220-E产品获得更大的覆盖范围。RG-AP220-E产品充分考虑了无线网络安全、射频控制、移动访问、服务质量保证、无缝漫游等重要因素，配合锐捷网络WS系列无线控制器产品，完成无线用户数据转发、安全和访问控制 16 大型企业网络综合设计-四川工程职业技术学院1队 4.7 设备清单l 成都基地 楼宇 楼层 信息点数 接入交换机型号 交换机数量