解决方案02-航天科技六院7103厂园区网解决方案v.pptx

《解决方案02-航天科技六院7103厂园区网解决方案v.pptx》由会员分享，可在线阅读，更多相关《解决方案02-航天科技六院7103厂园区网解决方案v.pptx（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1航天六院7103厂园区网方案汇报产品和解决方案市场部 杜振华2014-062说 明 Contents通过本次方案汇报，希望达成目标如下：1、新园区涉密网基础网络架构设计及推荐的设备选型2、新园区互联网区网络架构设计，互联网出口安全措施及设备选型3、现有园区网核心交换机升级替换思路4、现有园区网新厂房的基础网络架构设计及推荐的设备选型3层次化核心层汇聚层接入层基础特性L2/L3 AccessL3路由Vlan、ACL业务隔离虚拟化交换机虚拟化简化网络管理提供高可靠性提高带宽利用率流量负载分担新园区网络体系架构智能园区网HA、Security、QoS、Management层次化结构：核心层、汇聚层

2、和接入层，具有较强的稳定性、可扩展性、可靠性模块化设计：园区网出口、数据中心、计算机办公网、设备生产网、视频监控网、网络运维及管理高可靠性设计：关键部位冗余架构，可靠地故障恢复速度智能网络简运维：全网多业务主动和综合管理，实时分析网络健康状况，积极预防，排除故障，减少损失虚拟化设计：交换机虚拟化简化网络、优化流量、易于管理4新园区涉密网基础网络架构设计核心交换区出口区老园区数据中心园区接入区院办专线密码机密码机入侵检测系统日志审计系统高性能防火墙网络密码机核心交换机接入交换机新网络：万兆骨干，千兆接入，核心虚拟化，主备电信级切换，智能控制的出口流量，面向业务的IT资源集中可视化管理新体验：基于

3、身份的安全准入系统和行为审计系统，基于安全域的用户访问体验云数据中心园区网核心交换机支持云数据中心技术，构建面向云架构的网络新融合：新旧园区平滑对接过渡，视频、办公、生产三网合一的统一融合身份认证,行为审计系统服务器群FCoE存储网络和安全综合运维系统汇聚交换机办公终端办公终端办公终端5新园区网络架构设计特点层次化设计：核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和易于维护对称性设计：网络的对称性便于业务部署，拓扑直观，便于协议设计和分析优势：1.网络架构简单，易于维护、便于部署2.交换机虚拟化全网无环路、链路带宽充分利用，故障快速恢复，用户体验无感知核心交换区出口区院办入侵检测系

4、统日志审计系统高性能防火墙网络密码机汇聚交换机楼宇A汇聚交换机楼宇B部门A部门B部门C部门D模块化设计：每一个模块一个部门，部门内部调整涉及范围小，定位问题也容易冗余性设计：双节点多链路冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护，浪费投资6L2/L3层分界点设计方案一：L2/L3层分界即网关设在汇聚设备上，即楼宇公用网关，汇聚层采用L3层方式接入核心；接入层采用Vlan、Trunk方式进入三层核心层汇聚交换机楼宇A汇聚交换机楼宇B部门A部门B部门C部门D核心交换机接入交换机汇聚层接入层L2L3L2L3方案二：L2/L3层分界即网关设在接入设备上，按照部门划分业务网关，整网没有

5、二层广播域两种方案各有优缺点，根据实际情况部署，选择最适合企业业务的方案7二层接入园区网方案业务流程：1.接入设备仅仅为用户提供二层接入功能，并根据企业具体情况划分VLAN2.汇聚设备作为二三层网络的分界点，为用户提供三层业务网关和路由功能3.三层通过BFDVRRP保证用户网关可靠性4.园区接入侧通过MSTP防止网络环路核心层汇聚交换机楼宇A汇聚交换机楼宇B部门A部门B部门C部门D核心交换机接入交换机汇聚层接入层L2L3优点：1.低成本，接入侧交换机采用二层交换机，保护和节省用户投资2.满足部门内特殊业务的二层互通需求缺点：1.接入交换机和汇聚交换机之间存在二层环路风险2.接入交换机和汇聚交换

6、机之间的链路利用率低上述两个问题,可通过交换机虚拟化技术解决8三层接入园区网方案业务流程：1.全网路由结构，接入设备是二三层网络的分界点，接入设备作为终端设备的网关，提供二层终结，三层路由;2.终端普通VLAN方式接入网关核心层汇聚交换机楼宇A汇聚交换机楼宇B部门A部门B部门C部门D核心交换机接入交换机汇聚层接入层L2L3优点：1.纯三层结构，网络结构简单清晰，不依赖虚拟化等技术简化网络2.扩展性强，网络拓扑依赖度低，可以灵活调整网络拓扑3.易维护，无二层环路网络风险，无需配置生成树协议4.易配置，无需规划二层配置缺点：1.成本高，对接入交换机要求较高，导致成本提升2.部门间二层无法互通，某些

7、特殊业务无法开展3.收敛速度相对二层略慢9接入层设计功能描述：接入层是最靠近用户的网络，为用户提供各种接入方式，是终端、办公等设备接入网络的第一层，设备可以单归属/双归属到汇聚层核心层汇聚交换机楼宇A汇聚交换机楼宇B部门A部门B部门C部门D核心交换机接入交换机汇聚层接入层设备选型要求：1.丰富的二层特性：VLAN、IGMP Snooping、环网避免2.安全特性：802.1x、端口安全、DHCP snooping、ACL3.可靠性：系统级和电源冗余，交换机虚拟化和堆叠等 4.带宽管理：QoS设备推荐：1.千兆接入、千兆上行RG-S2900系列交换机（支持静态路由协议）RG-S5700-L系列交

8、换机（支持动态路由协议）2.千兆接入、万兆上行RG-S5700-S系列交换机（支持静态路由协议）RG-S5700-E系列交换机（支持动态路由协议）10汇聚层设计功能描述：1.汇聚层是楼宇的核心，转发部门间的“横向”流量，同时提供到核心层的“纵向”流量2.对接入层隐藏核心层，作为园区网的配线架，将大量用户接入到互联的网络中，扩展核心层设备接入用户的数量3.承担L2/L3边缘的角色。4.双归到核心层，并支持接入层的双归核心层汇聚交换机楼宇A汇聚交换机楼宇B部门A部门B部门C部门D核心交换机接入交换机汇聚层接入层设备选型要求：1.强转发能力，具备GE/10GE高端口密度2.可靠性高，冗余电源、冗余引

9、擎、支持虚拟化等相关可靠性保障技术3.三层特性，承载多业务：VRRP，MPLS，OSPF、IS-IS等设备推荐：1.RG-S7800系列交换机RG-S7804、RG-S78062.RG-S8600系列交换机RG-S8606、RG-S8610、RG-S861411核心层设计功能描述：1.园区的核心，连接所有汇聚交换机，转发各个楼宇之间的流量2.全连接结构，核心流量的高速转发核心层汇聚交换机楼宇A汇聚交换机楼宇B部门A部门B部门C部门D核心交换机接入交换机汇聚层接入层设备选型要求：1.10GE/40GE高密度接口，确保核心流量线速转发2.路由能力丰富，路由收敛能力强，故障快速收敛3.超大分布式缓存

10、设计，确保突发流量不丢包4.支持数据中心和虚拟化特性，满足企业未来8-10年业务发展设备推荐：1.RG-N18000系列交换机RG-N18010、RG-N180142.RG-S12000系列交换机RG-S12006、RG-S1201012数据中心设计核心交换区数据中心核心交换基础应用区专有应用区安全管理区网络管理区门户网站 办公OA 财务系统 邮件系统FCoE存储协同设计计算系统身份认证 行为审计 安全设备网管系统网络设备管理 综合业务管理流量可视化交换机FCoE/VEPA设备选型要求：1.10GE/40GE高密度接口，超强转发能力2.支持下一代数据中心特性FCoE/TRILL/VEPA，实现

11、无阻塞交换、统一交换、虚拟化交换、透明交换、绿色交换的发展思路设备推荐：1.数据中心核心交换机 RG-S12000系列交换机2.各区接入交换机 RG-S6220系列交换机、RG-S6000系列交换机3.综合业务运维管理平台 RG-SNC、RG-RIIL13IP地址规划原则：唯一性、连续性、扩展性、实意性loopback地址：为了方便管理，会为每一台路由器创建一个loopback 接口，并在该接口上单独指定一个IP 地址作为管理地址，loopback地址务必使用32位掩码的地址，越是核心的设备，loopback地址值越小互联地址：互联地址是指两台网络设备相互连接的接口所需要的地址，互联地址务必使

12、用30位掩码的地址。核心设备使用较小的一个地址，互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址业务地址：业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址，业务地址规划时所有的网关地址统一使用相同的末位数字，如：.254都是表示网关汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由是可以聚合的，这样可以减少核心网络的路由数目 IP地址规划14用户VLAN用户VLAN即普通VLAN，用来对不同端口进行隔离的一种手段。VLAN通常根据业务需要进行规划，需要隔离的端口配置不同的VLAN，需要防止广播域过大的地方配置VLAN用于减小广播域。VLAN最好不要跨

13、交换机，即使跨交换机，数目也需要限制关键业务 VLAN关键业务VLAN是为用户的特定业务划分的VLAN，用户通过创建关键业务VLAN并将相关设备的端口加入该 VLAN，可以使关键业务集中在 VLAN中进行传输，便于进行有针对性的QoS配置，提高关键流量的传输优先级，保证传输质量Vlan规划15新园区互联网区网络架构设计电信入侵检测系统（选配）出口安全网关（防火流控负载）上网行为管理与审计系统核心交换机接入交换机集中上网区出口新体验：多运营商出口智能选路；精准流量控制，智能控制出口流量；包过滤+状态检测，内网安全有保障推荐型号：RG-EG2000CE上网有约束：提高企业工作效率，减少园区网络内部

14、风险，减少违规上网风险推荐型号：RG-UAC 6000-SI攻击有感知：通过应用层协议分析技术检测可疑连接和事件，快速、准确发现内、外网攻击行为推荐型号：RG-IDP 2000S联通分光镜像核心交换机推荐型号：RG-S8600系列、RG-S5750-E系列核心交换机推荐型号：RG-S5750-S系列、RG-S2900系列16现有园区网核心交换机升级替换思路设备割接原则系统割接类型：中断割接（瞬断割接）割接对业务产生的影响：局部影响割接顺序：自底向上，由接入至出口，依次割接设备选型与现有核心交换机比，高一档次选择新核心交换机满足企业未来8-10年的业务发展需求对比项参数思科6500系列锐捷S86

15、00系列锐捷S12000系列性能指标背板带宽1.44T9.6T15T交换容量超级引擎 2T：2T7.68T10.24T包转发率超级引擎 2T：720M5715Mpps7620Mpps功能指标二层特性支持支持支持三层特性支持支持支持数据中心特性不支持不支持支持17设备替换、系统割接方案割接流程核心交换区出口区数据中心办公接入区院办高性能防火墙数据中心核心交换机园区网核心交换机园区网汇聚交换机前期施工阶段1.现网设备互联端口及线路情况摸排，记录端口、标签及ODF端子等线路信息2.新增设备上架安装、加电测试3.布放、测试新增设备间连线，做好线缆标记割接准备阶段：1.核查、保存设备配置、测试现网网络连

16、通性，业务系统数据备份2.新增核心交换机参数配置3.风险分析，制定应急、回退方案系统割接1.按照办公接入区数据中心出口区的分区域割接顺序，依次调整核心设备路由及线路连接关系2.逐步完成相应网络连通性和业务测试联调测试阶段1.网络系统整体联调测试2.安全系统整体联调测试3.业务系统整体联调测试办公终端办公终端办公终端办公终端办公终端18系统割接操作步骤核心交换区出口区数据中心办公接入区院办高性能防火墙数据中心核心交换机园区网核心交换机园区网汇聚交换机系统割接过程操作步骤如下：割接准备1.新增交换机配置，并做好基本配置（依据原配置创建VlanACL等安全策略迁移）2.新布放的线缆在新增交换机组端全

17、部插好，与新增交换机组互联的各设备建议使用新端口，端口配置(vlan捆绑安全)提前做好，割接过程只做插拔线工作办公终端办公终端办公终端办公终端办公终端系统割接原则：1.按照新增交换机组入网办公接入区数据中心出口区，自底向上的割接顺序割接2.逐步完成相应网络连通性和业务测试办公接入区割接1.将原核心交换机与新增核心交换机单元互联，并打通二、三层网络连接（VRRP），新增交换机组充当次核心角色，原有业务网关和路由还保留在原核心交换机上2.逐条逐步割接下联线路，将接入用户割接到新增核心交换机组上，割完一条线路测试完成后再进行下一步操作，每条割接操作控制在30s-3m19系统割接操作步骤（续）核心交换

18、区出口区数据中心办公接入区院办高性能防火墙数据中心核心交换机园区网核心交换机园区网汇聚交换机出口区和数据中心割接步骤1.将原核心交换机上的业务网关切换至新增割接到新增核心交换机组上，调整新业务网关至出口区和数据中心区域的业务路由2.连接防火墙侧和数据中心核心交换机侧与新增交换机组，进行网络连通性测试3.核查确认所有线路连接关系，启动系统联调测试，进行网络、安全、业务系统的整体测试办公终端办公终端办公终端办公终端办公终端业务网关20系统割接操作步骤（续）核心交换区出口区数据中心办公接入区集团高性能防火墙数据中心核心交换机园区网核心交换机园区网汇聚交换机割接收尾步骤1.各系统测试确认运行稳定正常后

19、，进入工程收尾阶段2.系统优化，整理线缆、粘贴标签，工程收尾3.原核心交换机下电、下架入库，拆除相关老旧线缆，统计空留出的ODF端口资源办公终端办公终端办公终端办公终端办公终端21现有园区新厂房的基础网络架构设计生生产监控区产监控区办办公室公室网网管平台管平台开放式车间开放式车间办公室办公室级联级联交换机交换机 图图 例例万兆万兆链路链路千兆千兆链路链路计算机计算机网核心网核心汇聚交换机汇聚交换机 汇聚交换机汇聚交换机 应用服务器群应用服务器群设设备生产网核心备生产网核心应用服务器群应用服务器群接入交换机接入交换机 22现有园区新厂房的设备选型核心层汇聚交换机计算机办公网汇聚交换机设备生产网部门A部门B车间A车间B核心交换机接入交换机汇聚层接入层核心交换机功能描述：1.计算机办公网：日常办公、科研、协同设计2.设备生产网：监控设备运行状态设备选型要求：1.计算机办公网：高性能、低时延2.设备生产网：设备运行稳定、可靠性高设备推荐：1.计算机办公网：RG-N18000/RG-S12000+S7800/S8600+S57502.设备生产网RG-S12000+S7800/S8600+S290023THANKS星网锐捷网络有限公司地址：北京海淀区复兴路29号中意鹏奥大厦东塔A座11层 邮编：100036Office Tel:010-51715999 Fax:010-