园区网设计方案.docx
- 文档编号:24484704
- 上传时间:2023-05-28
- 格式:DOCX
- 页数:23
- 大小:1.18MB
园区网设计方案.docx
《园区网设计方案.docx》由会员分享,可在线阅读,更多相关《园区网设计方案.docx(23页珍藏版)》请在冰豆网上搜索。
园区网设计方案
项目设计方案
密级:
商密2级(严禁泄密)
正本
XX集团公司园区网
建设方案
设计单位:
郑州**信息技术有限公司
2013年9月
项目设计方案1
第一章网络现状及需求分析1
1.1公司背景1
1.2现状及需求分析1
第二章网络总体设计2
2.1网络设计分析2
2.2网络拓扑结构设计3
第三章设备选型5
3.1性能要求5
3.2设备清单6
3.3产品介绍7
第四章设计原则9
4.1实用性设计9
4.2开放性设计9
4.3可靠性设计9
4.4安全性设计9
4.5先进性设计9
4.6可扩展设计9
第五章VLAN设计与IP地址规划9
5.1VLAN设计9
5.2IP地址规划11
5.2.1园区网用户地址规划12
5.2.2设备互联地址规划12
5.3.3设备管理地址规划15
第六章路由策略15
第七章设备配置文件16
第八章培训17
第九章售后服务与技术支持17
第一章网络现状及需求分析
1.1公司背景
**科技集团有限公司(简称:
**集团)创办于2002年,目前,整个集团员工总数1000多名,国内有3个分支机构。
作为**市第三大的工业企业、**省第十大的电子企业,2011年,***集团名列“中国电子信息百强”第38位。
公司局域网建设始于2004年,2005年完成整个工程建设,至今系统已经运行近6年时间。
目前,公司的新办公大楼正在进行装修,并趁此机会进行整个局域主干网的改造,以适合当前的网络应用需求。
1.2现状及需求分析
旧网网络架构如图所示:
**集团总部原有的主干网络采用二层设计,设备属于比较早期的产品,Cisco4500做为核心交换机,以100M端口连接接入层cisco2924交换机;用户采用100M以太网链路连接cisco2924交换机。
总部与分公司目前采用512KDDN专线进行数据连接,与Internet连接采用2M的宽带线路。
WEB服务器、E-mail服务器、FTP服务器,数据库服务器主要集中于中心机房,各部门用户分别通过100M双绞线访问中心机房的服务器群,通过中心路由器与外界连接。
旧网不足及需求分析如下:
1.中心交换机CISCO4500属于低端的CISCO三层交换机,性能较差,不适合做核心交换机。
而且采用单台CISCO4500做为核心,容易出现单点故障,影响网络的应用。
2.原有的厂房一区,厂房二区,营销中心大楼,科研楼已完成早期局域网建设并接入中心接点。
但还有部分建筑无法与核心网络直接连接,现需要将所有的接点与中心相连接。
3.原先需要网络的人数少,经过多年的发展员工数量巨增,10M的internet网络速度也已跟不上实际应用需要的速度,经常出现延时过大、丢包率高的现象。
再加上许多新的应用的逐步引入,对网络的依赖和带宽的需求会越来越高,远远不能满足员工的上网需求。
4.在旧网络中,公司总部与分公司的数据连接采用512KDDN专线。
由于业务的扩展,分公司希望能与企业总部更好更快地与交流,让公司的科研人员最快的了解客户的需求,以便研究出更好更适合顾客的产品。
显然,512K的DDN专线已不能满足通信的需要。
同时,家庭办公、移动用户也需要方便灵活地接入总部的网络。
5.各种服务器放置在内网上,没有采取安全防护措施,内部人员、黑客对内部关键数据的非法访问对公司的数据造成极大的危险,网络上的病毒的入侵,也是一大要害。
综上所述所因,就需要对原有网络进行升级改造。
第二章网络总体设计
2.1网络设计分析
目前,网络技术发展迅速,用户需求千差万别,厂商产品丰富多样。
但就其从用户网络的应用需求类型特点,网络技术的发展水平来说,通常目前主干网的技术有:
快速以太网;千兆以太网;万兆以太网。
千兆以太网的第3层交换骨干技术成熟,千兆以太网在企业网、园区网、城域网和局域网骨干上取代了传统的ATM。
千兆以太网交换骨干技术特点是:
具有高速数据传输带宽(1Gbps),提供高速交换能力;易于网络移植、易于维护;简单易于管理;具有良好的性能价格比。
在选型时考虑到千兆以太网已成为局域网主干技术策略的事实上的标准,为广大用户所选择,在建设企业主干网时将技术策略定位于千兆以太网技术。
同时,为提高核心层的数据交换能力,可在核心层关键部分采用万兆(10G)以太网技术。
2.2网络拓扑结构设计
根据对旧网的调研情况,结合局方本次项目改造需求,我们建议全网采用高性价比的华为设备进行网络改造,改造后网络详细结构示意图为:
在公司的园区网络设计中,采用二层+三层的网络设计模型。
用户密集的区域(办公大楼)采用三层网络架构:
接入层-汇聚层-核心层;用户较少的办公区采用二层网络架构:
接入层-核心层。
1、核心层:
核心层作为整个网络系统的核心,其主要功能是高速、可靠地进行数据交换。
本方案采用两台HuaweiS9306做双核心,负责全网的信息交换。
核心交换机之间采用万兆多模光纤冗余链路连接,并进行链路聚合,既可将带宽提高到20G,又可提高可靠性,实现链路冗余,故障自动切换。
2、汇聚层:
汇聚层主要进行接入层的数据流量汇聚,并对数据流量进行访问控制。
办公大楼由于下辖节点及部门较多,业务应用比较复杂,所以配置了2台HuaweiS5700(三层)交换机作为办公大楼的骨干平台,支持Vlan的划分,提供办公大楼VLAN间的路由,减少核心交换机的负担。
两台HuaweiS5700做双机热备,采用VRRP虚拟路由器冗余协议,根据需求配置成多组VRRP。
这样设计部但不但保证网络的高可用性和稳定性,还能避免单台核心设备的负载太重导致网络性能问题。
3、接入层:
接入层主要提供终端用户接入网络的途径。
主要是进行VLAN的划分、与分布层的连接等等。
接入层交换机采用华为的HuaweiS2700系列智能以太网交换机以千兆以太链路和汇聚交换机相连接,并为用户终端提供10/100M自适应的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。
4、服务器群组:
内部的OA、ERP、、邮件和数据库服务器通过千兆网卡于HuaweiS5700相连,HuaweiS5700采用双归方式与核心交换机相连,提接高性能。
5、安全方面:
采用华为USG5120防火墙与internet连接,将对外www服务器放置在DMZ区域,提高服务器的安全性。
同时,可以防止黑客对内部关键数据的非法访问和病毒的入侵。
6、Internet连接:
由于现在员工人数大大增加,加上各种基于internet的网络应用增多,产生的上网流量很大,原有的10M宽带连接已不能满足需求,现升级为100M宽带连接。
7、外部互联:
为实现让分公司1(西安)和分公公司2(上海)与总公司互连,采用2条2M的SDH专线进行广域网接入。
对于分支机构3(广州),由于目前员工数量较少,为节省费用,采用基于internet的IPSEC-VPN技术来实现远程互连。
8、移动办公用户:
为方便移动办公用户可随时访问公司总部网络,也采用基于internet的IPSEC-VPN技术,通过IPSEC-VPN客户端进行安全接入。
第三章设备选型
3.1性能要求
对此次网络升级改造的设备选型,主要围绕以下几点:
·高性能,全交换
-10000Mbps核心互联;
-核心至汇聚层1000Mbps互联;
-汇聚至接入层1000Mbps互联;
-1000Mbps连接应用服务器;
-100Mbps连接桌面用户;
-线速核心第三层交换;
-路由器专注于处理网络流量,提供灵活、高效、可靠的网络连接,支持多种广域网链路:
DDN,SDH等。
·可扩展性强
-核心采用模块化交换机,具有更强的扩充能力;
-分布层及接入层交换机可通过千兆堆叠扩充用户数;
-模块化路由器有更多插槽,可更多地扩充端口类别、数目和新功能。
·安全可靠,保密性高
-专业的硬件防火墙解决方案;
-虚拟专网VPN及支持各种加密算法;
-按需划分虚拟网络,管理简单方便;
-综合的网络管理,直观快捷;
3.2设备清单
通过以上分析,结合**集团设备现状和需求,我们此次网络升级改造全网采用高性价比的华为系列设备:
核心层设备选择HuaweiS9306交换机;分布层采用HuaweiS5700(三层)交换机;接入层采用HuaweiS2700(二层)交换机;安全方面采用华为的USG5120防火墙做为internet的安全接入设备。
详细配置情况为:
设备名称
数量
单台配置情况
HuaweiS9306
(核心)
2台
1个8端口万兆光纤板卡
2个24端口千兆光纤板卡
HuaweiS5700-28C-SI
(连接服务器)
2台(三层)
24个10/100/1000RJ-45端口;4个基于SFP的千兆端口
HuaweiS5700-28C-EI-24S
(办公楼汇聚)
2台(三层)
24个100/1000Base-X端口,4个10/100/1000Base-T千兆Combo口
HuaweiS2700-52P-EI(AC)
(接入层用户)
10台(二层)
48个10/100Base-TX端口,2个100/1000Base-XSFP端口,2个1000Base-XSFP端口
HuaweiS2700-26TP-SI(AC)
(接入层用户)
10台(二层)
24个10/100Base-TX端口,
2个千兆Combo口
华为AR2220
(广域网接入)
3台
3个10/100/100M以太网口;2个SFP光口;4个服务模块插槽;4个HWIC插槽
华为USG5120防火墙
(总部internet接入)
1台
2GECombo+2GE
4个扩展插槽
华为USG2130防火墙
(分支internet接入)
1台
1个Wan+8个FE接口
设备具体参数,见附件1。
3.3产品介绍
略
设备图片:
华为S9306交换机
HuaweiS5700-28C-SI
HuaweiS5700-28C-EI-24S
HuaweiS2700-52P-EI(AC)
HuaweiS2700-26TP-SI(AC)
华为AR2220
华为USG5120防火墙
华为USG2130防火墙
第四章设计原则
4.1实用性设计
略
4.2开放性设计
略
4.3可靠性设计
略
4.4安全性设计
略
4.5先进性设计
略
4.6可扩展设计
略
第五章VLAN设计与IP地址规划
5.1VLAN设计
VLAN(VirtualLAN),即虚拟局域网。
它依靠逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段。
整个网络可以根据管理的要求、地理位置和片区的划分来设置相应的VLAN(虚拟子网),VLAN技术可以将不同VLAN之间的用户隔离,保证安全性。
划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过具有第三层路由功能的设备来完成。
本方案从核心层交换机HuaweiS9306、汇聚层交换机,再到接入层交换机设备都支持IEEE802.1QVLAN标准,保证了该项技术的顺利实施。
这样,通过在接入层交换机为用户配置不同的VLAN,进行端口隔离,所有的用户端口只能通过核心交换机来实现互连。
办公大楼的访问层采用CISCOcatalyst5750三层交换机,部门之间的VLAN信息可以通过它来转发,可以减少核心层交换机的负担,在核心层交换机通过ACL(访问控制列表)进行相应的控制,使得用户的访问得到完全的控制。
具体的VLAN设计如下:
1、办公楼VLAN设计。
行政部VLAN10172.16.10.0/24
人事部VLAN20172.16.20.0/24
财务部VLAN30172.16.30.0/24
后勤部VLAN40172.16.40.0/24
2、核心层VLAN设计。
厂房一区VLAN50172.16.50.0/24
厂房二区VLAN60172.16.60.1/24
营销中心VLAN70172.16.70.0/24
科研楼VLAN80172.16.80.0/24
服务器群组一(OA/文件)VLAN110172.16.110.0/24
服务器群组二(内部WWW/FTP)VLAN120172.16.120.0/24
3.设备互连vlan设计。
V200:
SW93-1SW93-2互连(eth-trunk1)
V201:
SW93-1SW57-1(eth-trunk2)
V202:
SW93-1广域网R
V203:
SW93-1防火墙USG5120
V204:
SW93-2SW57-2(eth-trunk2)
V205:
SW93-2广域网R
V206:
SW93-2防火墙USG5120
5.2IP地址规划
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。
对于**集团网络IP地址的分配,我们将尽可能地利用地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
每个物理地点划分连续的IP地址,这样核心交换机可以使用路由汇聚减少核心路由表的条目。
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由策略有非常密切的关系,将对网络的可用性、可靠性与有效性产生显著影响。
IP地址的分配需要有足够的灵活性,能够满足各种用户的需要;
IP地址的分配采用VLSM技术,保证IP地址的利用效率;
采用CIDR技术,这样可以减小路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
总之,要充分合理利用已申请的地址空间,提高地址的利用效率。
在本网络项目,地址设计方案如下:
5.2.1园区网用户地址规划
园区网用户采用172.16.0.0/16网段,划分子网:
172.16.1.0/24—172.16.255.0/24,安排各部门的用户和服务器群组。
区域
设备位置
信息点数量
VLAN
用户IP地址段
默认网关
(VRRP地址)
汇聚层
(办公楼)
行政部
20
10
172.16.10.0/24
172.16.10.254
人事部
20
20
172.16.20.0/24
172.16.20.254
财务部
40
30
172.16.30.0/24
172.16.30.254
后勤部
40
40
172.16.40.0/24
172.16.40.254
核心层
(各工作区)
厂房一区
40
50
172.16.50.0/24
172.16.50.254
厂房二区
40
60
172.16.60.0/24
172.16.60.254
营销中心
80
70
172.16.70.0/24
172.16.70.255
科研楼
40
80
172.16.80.0/24
172.16.80.254
服务器群组一
10
110
172.16.110.0/24
172.16.110.254
服务器群组二
10
120
172.16.120.0/24
172.16.120.254
5.2.2设备互联地址规划
设备互连及IP规划表
设备名称
本端端口
vlan
本段设备IP(/30)
对端设备名称
对端设备IP
核心SW93-1
rid:
10.10.93.1
T5/0/1
Vlan200
192.168.1.1/30
核心SW93-2
192.168.1.2
T5/0/2
G4/0/1
Vlan201
192.168.1.5/30
办公楼SW57-1
192.168.1.6
G4/0/2
G4/0/3
Vlan202
192.168.1.9/30
R2220-1
192.168.1.10
G4/0/4
Vlan203
192.168.1.13/30
防火墙
192.168.1.14
核心层
管理vlan
VLAN1
172.16.1.251/24
VRRP172.16.1.254的主路由器
G3/0/1
VLAN50
172.16.50.251/24
VRRP172.16.50.254的主路由器
G3/0/2
VLAN60
172.16.60.251/24
VRRP172.16.60.254的主路由器
G3/0/3
VLAN70
172.16.70.251/24
VRRP172.16.70.254的备用路由器
G3/0/4
VLAN80
172.16.80.251/24
VRRP172.16.80.254的备用路由器
G3/0/5
Vlan110
172.16.110.251/24
VRRP172.16.110.254的主路由器
G3/0/6
Vlan120
172.16.120.251/24
VRRP172.16.120.254的备用路由器
核心SW93-2
rid:
10.10.93.2
T5/0/1
Vlan200
192.168.1.2/30
核心SW93-1
192.168.1.1
T5/0/2
G4/0/1
Vlan204
192.168.1.17/30
办公楼SW57-2
192.168.1.18
G4/0/2
G4/0/3
Vlan205
192.168.1.21/30
R2220-1
192.168.1.22
G4/0/4
Vlan206
192.168.1.25/30
防火墙
192.168.1.26
核心层
管理vlan
VLAN1
172.16.1.252/24
VRRP172.16.1.254的备用路由器
G3/0/1
VLAN50
172.16.50.252/24
VRRP172.16.50.254的备用路由器
G3/0/2
VLAN60
172.16.60.252/24
VRRP172.16.60.254的备用路由器
G3/0/3
VLAN70
172.16.70.252/24
VRRP172.16.70.254的主路由器
G3/0/4
VLAN80
172.16.80.252/24
VRRP172.16.80.254的主路由器
G3/0/5
Vlan110
172.16.110.252
VRRP172.16.110.254的备路由器
G3/0/6
Vlan120
172.16.120.252
VRRP172.16.120.254的主路由器
汇聚SW57-1
rid:
10.10.57.1
G0/25
Vlan201
192.168.1.6/30
核心SW93-1
192.168.1.5
G0/26
汇聚层
管理vlan
VLAN1
172.16.2.251/24
VRRP172.16.2.254的主路由器
G0/0/1
VLAN10
172.16.10.251/24
VRRP172.16.10.254的主路由器
G0/0/2
VLAN20
172.16.20.251/24
VRRP172.16.20.254的主路由器
G0/0/3
VLAN30
172.16.30.251/24
VRRP172.16.30.254的备用路由器
G0/0/4
VLAN40
172.16.40.251/24
VRRP172.16.40.254的备用路由器
G0/0/5
Vlan1,10,20,30,40
汇聚SW57-2
rid:
10.10.57.2
G0/25
Vlan204
192.168.1.18/30
核心SW93-2
192.168.1.17
G0/26
汇聚层
管理vlan
VLAN1
172.16.2.252/24
VRRP172.16.2.254的备用路由器
G0/0/1
VLAN10
172.16.10.252/24
VRRP172.16.10.254的备用路由器
G0/0/2
VLAN20
172.16.20.252/24
VRRP172.16.20.254的备用路由器
G0/0/3
VLAN30
172.16.30.252/24
VRRP172.16.30.254的主路由器
G0/0/4
VLAN40
172.16.40.252/24
VRRP172.16.40.254的主路由器
G0/0/5
Vlan1,10,20,30,40
广域网R22-1
rid:
10.10.22.1
G0/0/0
192.168.1.10/30
核心SW93-1
192.168.1.9
G0/0/1
192.168.1.22/30
核心SW93-2
192.168.1.21
pos/0/0
192.168.1.129/30
分支R22-1
192.168.1.130
Pos2/0/0
192.168.1.133/30
分支R22-2
192.168.1.134
广域网R22-2
rid:
10.10.22.2
pos1/0/0
192.168.1.130/30
总部R22-1
192.168.1.129/30
广域网R22-3
rid:
10.10.22.3
Pos2/0/0
192.168.1.134/30
总部R22-1
192.168.1.133/30
USG5120
G0/0/0
192.168.1.14
核心SW93-1
192.168.1.13
G0/0/1
192.168.1.26
核心SW93-2
192.168.1.25
G0/0/3
internet
5.3.3设备管理地址规划
设备名称
端口号
设备IP
用途
核心SW93-1
Loop0
10.10.93.1/32
SNMP管理、telnet、OSPF-ID
核心SW93-2
Loop0
10.10.93.2/32
SNMP管理、telnet、OSPF-ID
汇聚SW57-1
Loop0
10.10.57.1/32
SNMP管理、telnet、OSPF-ID
汇聚SW57-2
Loop0
10.10.57.2/32
SNMP管理、telnet、OSPF-ID
广域网R2220-1
Loop0
10.10.22.1/32
SNMP管理、telnet、OSPF-ID
广域网R2220-2
Loop0
10.10.22.2/32
SNMP管理、telnet、OSPF-ID
广域网R2220-3
Loop0
10.10.22.3/32
SNMP管理、telnet、OSPF-ID
华为USG5120防火墙
Loop0
10.10.51.1/32
SNMP管理、telnet、OSP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 园区网 设计方案