公司网络改造项目规划方案

公司网络改造项目规划方案内容摘要：

出口区域： 互联网出口，公司员上网，对外发布公司信息，承载电子商务等业务系统。 中心服务器区： 此区域部署核心业务服务器，包括 MES、 OA、人事、安全管理等应用系统。 网络汇聚 区： 实现公司 办公楼、各分厂等汇聚网络接入， 二级单位可以通过该接入区域实现 对 业务 系统的 访问。 接入交换 区： 全厂接入设备连接区域，该区域用于连接终端用户和公司核心交换网络，是网络中最广泛的网络设备。 **网络改造项目 规划方案 11 . 分区设计详解 . 核心 交换 区设计 此次网络改造，建议新增两台高性能的核心交换 机作为 **的网络核心。 核心层作为整个 **网络的核心处理层，连接各分布层设备和 **核心服务器区，核心层应采用两台高性能的三层交换机采用互为冗余备份的方式实现网络核心的高速数据交换机，同时，两台核心设备与分布层各设备连接，保证每台分布层设备分别与两台核心层设备具有网络连接，通过链路的冗余和设备冗余的设计，保证整个核心层的高可靠性。 两台核心设备之间应至少保证 2Gbps 全双工的速率要求，并能平滑升级到10Gbps。 核心 区 是整个平台的枢纽。 因此，可靠性是衡量核心交换区设计的关键指标。 否则，一旦核心模块出现异常而不能 及时恢复的话，会造成整个平台业务的长时间中断，影响巨大。 . 互联网出口区设计 **与外网的出口区域，目前是通过建立独立的宽带网，实现 办公区和生活区通过统一出口访问外网的。 在此次网络改造中，我们计划把生活区上网与办公区上网隔离开，通过不同的出口访问外网。 改造后的生活区网络拓扑结果如下图所示： **网络改造项目 规划方案 12 生活区宽带网联 通移 动生 活 区 接 入 网核 心 交 换 机华 为 S 8 5 1 2/ S 9 3 0 6In t e r n e t防 火 墙负 载 均 衡 如上图所示，此次生活区的网络改造会增加新的防火墙和负载均衡设备，作为生活区的网络安全管理设备，通过单独的出口设备连接到互联网。 改在后的厂区互联网出口区域，如 下图所示： I n t e r n e tD N SW W WM A ILD M Z 区 域联 通移 动出 口 区 域 **网络改造项目 规划方案 13 如上图所示，工作区的网络改造同样会增加新的防火墙和负载均衡设备，以及上网行为管理等安全设备，作为生活区的网络安全管理设备，通过单独的出口设备之间连接到互联网。 出口区域除了网络出口设备外，还包括一个 DMZ 区域 ，用于将 WWW、 DNS、 MAIL等，需要同时服务内、外网用户的服务器放到该区域， . 中心 服务器区设计 规划统一的中心服务器集群区域，将现有生产网、设备管理系统、人事系统中运行的服务器，划到同一逻辑区域。 该区域物理上为一个区域接入到 核心，而逻辑上可以再划分为多个业务应用区，根据业务属性的不同可以划分为生产服务器区（如ERP 等）、办公服务器区（如 OA 等）、管理服务器区（如 IT 运维、管理等系统）等。 考虑到新的核心交换的高性能，将所有的服务器直接接到核心交换，通过核心区域的安全设备来保证访问安全。 使全厂的所有客户终端都通过核心交换来对各个业务系统进行统一访问。 产 销O A质 量中 心 服 务 器 集 群M E S安 全管 理人 事设 备管 理原 料采 购 . 网络汇聚 区设计 网络汇聚区域，根据现有的网络结构及客户需求，设立新的网络汇聚节点，形成以销售部、自动化部自动化车间、轧钢 总降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点，覆盖全公司、部门、车间的生产区域。 该区域的网络设备**网络改造项目 规划方案 14 主要以现有的生产网汇聚设备为主、另外融合了宽带网和设备网的汇聚设备，同时考虑现有汇聚设备性能不能满足需求的情况，新增高新能的汇聚设备。 汇聚层设备通过双链路的方式与核心层两台核心交换设备相连，同时，为保障网络的健壮性，以及便于各个分厂区之间数据交互，各个分厂区的汇聚交换机之间也有线路直连。 各汇聚 节点与核心层的连接，应全部采用 1000Mbps 或1000Mbps 以上的连接方式，分布层设备实现本区域内的各 Vlan 的路由处理和安全限制。 一 炼汇 聚 交 换 机S 5 6 2 4一 轧汇 聚 交 换 机S 5 3 2 4二 炼汇 聚 交 换 机S 5 6 2 4二 轧汇 聚 交 换 机S 5 6 2 4销 售 部汇 聚 交 换 机S 5 3 2 4轧 钢 总 降汇 聚 交 换 机S 6 5 0 6自 动 化 车 间汇 聚 交 换 机S 6 3 2 4一 炼 接 入 网一 轧 接 入 网二 炼 接 入 网 二 轧 接 入 网自 动 化 车 间 接 入 网销 售 部 接 入 网轧 钢 总 降 接 入 网原 生 产 网核 心 交 换 机华 为 S 8 5 1 2生 产 网 接 入 交 换 机宽 带 网 接 入 交 换 机生 产 网 接 入 交 换 机宽 带 网 接 入 交 换 机生 产 网 接 入 交 换 机宽 带 网 接 入 交 换 机生 产 网 接 入 交 换 机宽 带 网 接 入 交 换 机生 产 网 接 入 交 换 机宽 带 网 接 入 交 换 机生 产 网 接 入 交 换 机宽 带 网 接 入 交 换 机生 产 网 接 入 交 换 机宽 带 网 接 入 交 换 机 . 接入层部分 网络汇聚节点主要下联现有的生产网接入设备，同时，将原宽带网和设备网的接入设备融入，构建统一的网络接入平台，不再重复建网。 新的网络平台融合了，生产网的数据访问和外网互联的需求，使用同一终端即可实现内外网同时访问的功能。 接入层设备与分布层设备通过 1000M 光纤或双绞线的方式连接，在用户量较少的分节点可以采用 100M 上联方式，与各终端用户连接一般采用 100M 或者1000M 双绞线的方式。 生产网中其他办公楼及分厂区的 网络接入，通过自动化车间和轧钢总降等汇聚节点，接入到新的数据网络中。 各个分厂区的网络接入情况如下图所示： **网络改造项目 规划方案 15 办 公 楼生 产 网 接 入宽 带 网 接 入质 量 部生 产 网 接 入宽 带 网 接 入技 改 部生 产 网 接 入宽 带 网 接 入锻 造 厂生 产 网 接 入宽 带 网 接 入科 技 部生 产 网 接 入宽 带 网 接 入人 事 、 财 务生 产 网 接 入宽 带 网 接 入办 公 楼汇 聚 交 换 机S 5 3 2 4质 量 部汇 聚 交 换 机S 5 3 2 4技 改 部汇 聚 交 换 机S 5 3 2 4锻 造 厂汇 聚 交 换 机S 5 3 2 4科 技 部汇 聚 交 换 机S 5 3 2 4人 事 、 财 务汇 聚 交 换 机S 5 3 2 4自 动 化 车 间汇 聚 交 换 机S 6 3 2 4其 他生 产 网 接 入宽 带 网 接 入其 他汇 聚 交 换 机S 5 3 2 4自 动 化 车 间汇 聚 网 络 拓 扑 图 自动化车间汇聚网络拓扑图 原 料 部生 产 网 接 入宽 带 网 接 入动 力 厂生 产 网 接 入宽 带 网 接 入动 力 厂汇 聚 交 换 机S 5 3 2 4原 料 部汇 聚 交 换 机S 5 3 2 4轧 钢 总 降汇 聚 交 换 机S 6 5 0 6其 他生 产 网 接 入宽 带 网 接 入其 他汇 聚 交 换 机S 5 3 2 4轧 钢 总 降 汇 聚 网 络 拓 扑 图 轧钢总降汇聚网络拓扑图 **网络改造项目 规划方案 16 . 网络协议设计 . IP地址和 VLAN 规划 IP 地址是网络设计工作中重要的一环，使用 IP 地址不当会造成路由表庞大、难以部署安全控制、地址重叠问题、地址空间耗尽等问题，会给网络运行带来很大麻烦。 为了让 **网络建设项目顺利进行，我们建议 **网络 采用以下 IP 地址规划原则进行适当改进： 为公司各个 二级单位 、应用业务、数据中心采用统一规划，统一分配，统一管理的地址设计原则，避免重叠地址的出现。 设定专门流程和人员对全公司网络地址进行记录和权限管理。 尽可能采用私有地址进行 IP 地址分配。 私有地址就是我们熟知的三类网络地址，分别是 A 类网中的 ~ 范围， B 类网中的~ 范围， C 类网中的 ～ 范围。 整网地址规划思路可按照以下方法设 计，如 ， X 为不同厂区进行标示， Y 为该厂区内不同业务或应用进行标示， Z 为主机地址位。 同一个区域内部，使用连续的 IP 子网进行 IP 地址分配。 例如，厂区 A 内需要有 4 个 C 类网络，为了满足地址汇聚需要，应该为连续的 C 类网络。 例如：、 、 4个网络可以汇聚成。 在定义测试区安全策略时，不用将 4个网段同时定义成 ACL，使用一条 ACL就可以包括全部网络。 使用可变长掩码规划网络地址，根据 IP 地址使用对象的特点，部署不同长度子网掩码。 例如，应用网段的 IP 地址，可以采用 C 类网地址，掩码为 24位；区域设备之间的互连地址可以采用 29 位掩码。 不同主机实际网关 IP 地址与 HSRP 使用的 IP 地址应该在整个数据中心统一，使用相同的方式配置，例如：整个厂区均采用 作为主机实际网关 IP地址， HSRP 采用 为 HSRP 网关地址。 网络互连地址采用 IP 地址网段的头两个可用地址，核心侧设备接口配置奇数地址，边缘侧设备接口配置偶数地址。 例如，设备 A 与设备 B 互连 ，采用**网络改造项目 规划方案 17 ，该网段头两个可用地址为 和 ，设备 A 为核心设备，配置奇数地址 ，设备 B为边缘设备，配置偶数地址。 网络设备配置环回地址（ 32 位掩码地址），用于网络管理和日志管理。 VLAN主要用于将局域网环境划分为多个逻辑网络，从而降低广播风带来的影响，也可提高网络可管理性和安全性。 建议在此次网络建设中可按照以下原则对新建VLAN 及原有 VLAN 进行适当调整和修改。 VLAN ID 的 规划可按照应用业务、工作部门、厂区位置等方法定义，这里建议按照原有网络规划方法进行。 VLAN ID 可以是 24096 任意数字，为了方便标示和管理，建议 ID 与 IP 网段地址相关联。 如 – VLAN10。 — VLAN20。 — VLAN30 等。 VLAN 规划避免重复，全网 VLAN 静态手动分配（在根交换机），统一管理和记录。 . 动态路由协议 对一个大网络来说，选择一个合适的路由协议是非。