《网络设计说明》由会员分享,可在线阅读,更多相关《网络设计说明(5页珍藏版)》请在金锄头文库上搜索。
1、网络系统设计说明一、网络设计思路基地网络规划的总体目标是满足系统未来5-10年业务发展对网络基础平台的需 求。主要目标包括:高可用性:高可用性是指一方面要保证导致网络不可用的设备故障时间极短(秒 级),另一方面,还要要保证网络能够满足各类数据传输的需求,不会因性能下降而 导致不可接受的响应时间。可扩展性:网络必须能够支撑企业的生产规模不断增长的过程。同时,应用发 展对网络的需求是不断变化的,网络应用系统为了满足这些需求也会随之变化。面 对不断变化的情况和需求,网络应当能够作出快速和有效的反应。因此,网络必须 具备良好的可扩展性,应支持核心业务系统的不断扩展,适应未来业务的发展和变 化。网络的扩
2、展性不但表现在网络设备本身的物理扩展能力,支持的模块能力,对 新的应用的支持能力;更应该考虑网络结构应当能够变化,具有灵活的伸缩能力, 不能因为网络的扩展而降低网络的可用性。可管理性:随着网络规模的不断扩大和网络的不断复杂,网络的维护量随之增 加。整个网络的可管理性变得尤为重要。因此,网络系统应当具有统一的可管理性, 建立统一的网络管理平台。不仅实现对网络设备的管理,同时实现对网络策略的管 理和不同协议的多级维护。没有管理的网络一定是不安全的网络。管理是人的工作, 但是需要有强有力的技术工具帮助我们达到既定的管理制度。先进性:先进性是指,采用国内外领先的网络产品和相关技术,支持业界常见 的网络
3、应用协议,支持现有业务和将来增加的新业务,保证骨干网上各类业务可靠 传输和服务质量,满足未来5-10年业务快速发展的需求。基地网络规模比较大,接入节点数目比较多,生产数据在网络上的传输也必须 保证端到端的安全,各业务隔离需求就显得比较迫切。随着业务的快速增长,园区 网络的建设也在持续进行,园区网络的扩展性也就非常重要。针对园区网络建设的 这些特点,对基础的网络平台建设必须遵从如下设计要求:三、网络设计说明1、网络结构与分布 本方案中,采用星形拓朴的设计方式,采取层次化的网络设计方式,网络中分为接入区、 汇聚区、及核心区,具体连接方式如上图所示。层次划分如下: 在园区接入层区采用三层结构,网络分
4、为核心层、汇聚层、接入层。整个园区划分 为若干个区域,每个区域设置一个汇聚点,每个汇聚点上行接入园区核心设备,下 行接入本区域的接入层设备(对于距离较远、信息点数量较少的接入交换机,直接 通过千兆光纤接入核心)。核心层设计要点核心层:提供高速的三层交换骨干。 核心层不进行终端系统的连接; 核心层不实施影响高速交换性能的ACL等功能,可以配置专用的安全模块予以实现。汇聚层设计要点汇聚层:作为接入层和核心层的分界层,汇聚层完成以下的功能: 办公、生产业务功能的汇聚,即办公生产业务采用同一个汇聚节点; 各功能分区IP地址或路由区域的汇聚; 本功能区VLAN间的路由; 广播域或组播域的边界; 在汇聚层
5、实施功能区内、功能区之间的安全访问策略。接入层设计要点接入层:提供Layer2的网络接入,通过VLA N划分实现接入的隔离。在接入层设计 时,应考虑以下几点:接入层接入端口规划容量应根据实际使用情况考虑扩展性; 各功能分区的接入层相对独立;不同类型的接入层应各自分开,主要为办公终端和生产中断的接入,连接到对应功 能区的汇聚层。服务中心的网络机房部分,两台全千兆交换机直接以千兆非屏蔽双绞线上连到核心交换 机;所有汇聚交换机都是千兆链路上连到核心交换机; 核心交换机通过过防火墙的安全保护,通过高性能千兆出口路由器分别连接电信、联通 两大运营商,以实现到互联网、及互联网访问内网的高速通畅。2、核心交
6、换机的选型在这个方案里,考虑到网络规模、网络性能及可扩展性等多种需求后,对中心交换机推 荐使用配置了冗余电源的H3C 7503E-S交换机。H3C 7503E-S系列产品是H3C面向融合业务网络推出的新一代高端多业务路由交换机, 该产品基于H3C自主知识产权的Comware V5操作系统,融合了 MPLS、IPv6、网络安全、 无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术, 在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本 (TCO)。H3C 7503E-S符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由 交换机。
7、3、汇聚层设备选型汇聚层交换机我们选用 H3C 5500-24P-SI 交换机, H3C S5500-SI 系列交换机是 H3C 公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能 以及最多4个10GE扩展接口。通过H3C特有的集群管理功能,用户能够简化对网络的管 理。 S5500-SI 系列千兆以太网交换机定位为企业网和城域网的汇聚或接入,同时还可以用 于数据中心服务器群的连接。随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群 1OGE链路将是我们的未来发展方向。S5500-SI系列交换机支持两个扩展槽位,每个槽位支 持单端口或双端
8、口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展 能力,尽力保护用户投资。此外,每槽位还可以支持双端口 SFP 扩展模块。 S5500-SI 系列 硬件支持IPv4/IPv6双栈,其中IPv4支持静态路由和RIP协议,IPv6支持静态路由和RIPng 协议。同时支持IPv6的ACL和网管,实现IPv4到IPv6的平滑升级。支持PoE (Power over Ethernet)技术,通过支持POE和Voice Vlan技术结合可以提 供完整的语音设备管理方案,很好地解决了大量的 IP PHONE 的智能检测、供电和优先级的 调整问题。4、接入层设备选型接入层采用H3CS5
9、120-SI全千兆以太网交换机,H3CS5120-SI系列以太网交换机是H3C 自主开发的全千兆以太网交换机,广泛应用于企业网和园区网的接入层。提供灵活的全千兆 以太网端口的接入密度、丰富的业务特性、统一的集群配置,为用户提供高性能、低成本 可网管的千兆到桌面的解决方案,是千兆接入的理想选择。H3C S5120-SI 系列全千兆以太网交换机提供灵活的16/24/48 个 10/100/1000M 自适应 电口接入;并且支持非复用的SFP插槽,充分考虑用户的带宽升级的实际情况,既可以支持 千兆光模块,也可以支持百兆光模块,保护用户投资。 H3C S5120-SI 系列硬件支持最大 104Gbps
10、 交换容量,保证所有端口二层线速交换。5、连接线路选择在连接线路选择方面,由于核心交换机与汇聚层交换机之间的距离较远,使用单模千兆 光纤进行连接,可保证数据的可靠性。汇聚层交换机与接入层交换机之间的距离较近,选择使用千兆非屏蔽双绞线(100 米) 进行连接。网络内部各服务器由于也会放置在机房里,推荐使用千兆非屏蔽双绞线方式直接连接到 核心交换机上。接入交换机到 PC 之间的距离,需要保证必须小于 100 米,在这种情况下,直接采用 非屏蔽双绞线提供1000M到PC的连接。6、Internet 出口设计PC用户直接以其所在VLAN的Interface为默认网关,访问Internet的数据由核心交
11、换 机通过防火墙透明连接后,使用静态路由方式转发到出口路由器上,从而实现对Intemet资 源的共享。互联网出口采用H3C SecPath U200-A作为出口安全防护设备,H3C SecPath U200-A是 H3C公司面向中小型企业/分支机构设计的新一代UTM(United Threat Management,统一威 胁管理)设备,采用高性能的多核、多线程安全平台,保障全部安全功能开启时不降低性能, 产品具有极高的性价比。在提供传统防火墙、VPN功能基础上,同时提供病毒防护、URL 过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能, 为网络的互联网出口提供全方位的安全防护。
