Xxx
网络建设建议书
2016年9月
概述 .................................................................................................................................................. 3
建设原则 ................................................................................................................................... 3
建设目标 ................................................................................................................................... 4 设计方案........................................................................................................................................... 4
总体设计拓扑 ........................................................................................................................... 4
设计说明 ................................................................................................................................... 5
互联网出口设计 ............................................................................................................... 5
核心层设计 ....................................................................................................................... 7
接入层设计 ....................................................................................................................... 8
无线网络设计 ................................................................................................................... 8
网络管理设计 ................................................................................................................. 10
终端认证设计 ................................................................................................................. 11
概述
建设原则
智能化系统网络建设遵循以下基本原则:
高带宽
智能化系统网络是一个规模较大同时相对复杂的网络,为了保障全网的高速转发,全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特点,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性
智能化系统网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的增值业务。
可扩充性
考虑到用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能, 智能化系统网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
高速率、低延时:
为了保障业务的正常开展,以及与安宁的互联互通,计算机网络需要做到高速率,低延时;其中办公网络需要做到千兆接入、万兆骨干;
成熟、稳定、可靠: 计算机网络的稳定性直接关系到正常业务的可用性;在设计中应尽量考虑网络品牌的成熟度,以及整网架构稳定、可靠;
灵活、可扩展:
随着科技的进步、业务的发展,业务应用对计算机网络的要求可能发生变化;这就需要计算机网络具备灵活,可扩展的特性,满足未来3-5年甚至更长商检内,各种的业务需要;
安全、易管理:
办公网、安防监控网中,都承载着部分敏感信息的传输,同时办公网还连接着互联网;这就要求计算机网络本身设计足够安全,而且便于维护、管理;
建设目标
高可用――网络作为数据中心的基础设施,网络的高可用直接影响到业务系统的可用性。网络层的高可用至少包括高可靠、高安全和先进性三个方面:
高可靠:应采用高可靠的产品和技术,充分考虑系统的应变能力、容错能力和纠错能力,确保整个网络基础设施运行稳定、可靠。当今,关键业务应用的可用性与性能要求比任何时候都更为重要。
高安全:网络基础设计的安全性,涉及到业务的核心数据安全。应按照端到端访问安全、网络L2-L7层安全两个维度对安全体系进行设计规划,从局部安全、全局安全到智能安全,将安全理念渗透到整个数据中心网络中。
先进性:建成网络将长期支撑业务发展,网络是数据的基础支撑平台,因此数据网络的建设需要考虑后续的机会成本,采用主流的、先进的技术和产品(如数据中心级设备、CEE、FCoE、虚拟化支持等),保证基础支撑平台5~10年内不会被淘汰,从而实现投资的保护。
设计方案
总体设计拓扑
下图为本次网络建设的总体设计拓扑图
设计说明
根据客户需求,内网网络架构采用传统的星型结构,由于本次设备未设计汇聚层,所以采用星型二层架构,即核心层---接入层。大楼内办公室、楼道、会议室实现无线网络覆盖,并实现无线用户实名制上网。核心层还作为服务器、无线控制器等设备接入;接入层设备主要有无线POE交换机、办公接入交换机、一卡通设备接入交换机组成,接入层设备采用光纤双链路上行,与核心交换机两两互联,可以避免单点故障和链路故障造成的业务终端。
互联网出口采用满足1200人使用规模设计,并能满足出口带宽为100M的接入要求。
互联网出口设计
互联网出口采用一台高性能H3C MSR 5620企业级路由器,作为大楼的互联网访问出口,提供动态和静态的NAT服务,同时,可以限制访问互联网的终端。提供多样化的VPN技术,包括IPsec、L2TP、GRE、ADVPN、MPLS VPN,以及多种VPN技术的叠加使用;通过精细化识别和精细化控制,实现对应用层业务的限速、带宽保障、过滤等功能,并通过精细化统计指导网络优化,还能对业务智能选路通过非对称链路负载分担、流量智能负载分担和多拓扑动态路由等技术,实现不同场景下充分利用网络链路
H3C MSR 5020路由器
在路由器后部署一台H3C F1060防火墙安全设备,主可以有效的防范DDoS攻击、病毒入侵、黑客攻击等。通过访问控制、安全域划分、黑名单、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;可对连接状态过程和异常命令进行检测;同时,还支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN、SSL VPN、MPLS VPN等,满足多种高性能VPN接入的需求;还提供业界最丰富的NAT特性,满足各大运营商的NAT需求,为内部员工提供互联网访问业务,也可以为企业提供专线上联接入业务。还能通过细分安全域可有效的控制和分割安全事件。
H3C F1060防火墙 在防火墙后部署一台上网行为管理,可以很好的规范内网员工的上网行为,限制员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等,能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制,保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,进而帮助用户全面了解网络应用模型和流量趋势,优化其带宽资源,开展各项业务提供有力的支撑。
H3C ACG1000上网行为管理
核心层设计
核心层采用两台高性能的企业级交换机堆叠,使用虚拟化技术,将两台设备虚拟化一台设备,这样可以避免单点故障并提供更高的性能和方便的管理;
基于此,核心层采用的是H3C S7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V7/V7操作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能弹性架构)、IRF3(Intelligent Resilient Framework3,第三代智能弹性架构)技术为系统基石的虚拟化软件系统,支持云数据中心化所需的TRILL、EVB、FCoE和MDC(一虚多)技术,完全兼容40GE和100GE以太网标准,进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本