扬帆园区网络设计方案

扬帆园区网络设计方案内容摘要：

建筑接入层汇聚了终端用户，并为终端用户提供与分布层相连的上行链路。 那么接入层应该拥有以下优势： （ 1）高可用性 可以选择合适的交换机型号，来为用户提供系统级的冗余，如提供冗余的supervisor 引擎、冗余电源甚至是提供冗余链路。 （ 2）网络融合 部署在接入层的交换机可以为 IP 电话和无线接入点提供在线以太网（ PoE）技 13 术，这使客户能够将语音数据融合到数据网络中，并为用户提供漫游 WAN 接入功能。 （ 3）安全性 部署在接入层的交换机可以提供一些安全功能，主要是通过对交换机的一些配置，如端口安全、 DHCP 欺骗、动态 ARP 监控和 IP 源防护来防止未经授权的用户对网络进行访问。 （ 4）技术方案 接入层交换机具有低成本和高端口密度特性。 接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门 在接入层交换机到分布层交换机之间，可以设计成全 互联。 同时在必要时，可以选择以太网通道技术（ etherchannel）对双链路进行捆绑，不但能够增加双倍带宽，而且还能提供冗余性。 可以对交换机配置其端口安全，阻止其他人员的随意接入。 另外，考虑到接入层客户众多，应考虑交换机间的堆叠；启用 STP 避免二层环路 在这里接入层我们选择 Cisco Catalyst 3560 系列的交换机，它具有低成本，却能够支持非常多的叫交换机特性，其中包括 QoS、安全、 IP 路由选择和访问控制等。 同时这些交换机具有固定端口配置，可用的端口类型有 10/100BASTT 快速以太网（ 48） 、 10/100/1000BASTT（ 28）吉比特以太网、光纤接口吉比特以太网。 分布层 分布层网络主要完成企业网络接入层数据流的汇聚、交换以及 VLAN 中继。 部署分布层需要考虑的问题主要是网络的可用性、快速路径恢复 负载分担和 QOS。 （ 1）分布层特点： ① 汇集接入层交换机 ② 为简化起见而分隔接入层 ③ 汇总去往接入层的路由 ④ 总是两条链路来连接上游核心路由器 （ 2） 技术方案 从分布层到核心层采用千兆端口进行链路的全互联，同时还应该能够提供百兆、 14 千兆的光 /电端口。 分布 层为接入层提供基于策略的连接 ,如地址 合并 ,协议过滤 ,路由服务 ,认证管理等 .通过网段划分 (如 VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层 .分布 层同时也可以提供接入层虚拟网之间的互连 ,控制和限制接入层对核心层的访问 ,保证核心层的安全和稳定 ；启用 STP生成树协议；配置 ACL，进一步限制非法数据流的流向。 在汇聚层我们选择 Cisco Catalyst 4900 系列交换机作为接入层数据流量的汇聚。 其中的 Cisco Catalyst 494910GE 交换机提供多达 48 个 10/100/1000BASET以太网端口和 2 个线速 10吉比特以太 网端口。 在对核心网的上行链路中能够进行更快速的数据转发。 核心层 核心层是园区网连接的骨干，他是企业网另外几层的汇聚点。 核心层的主要目的在于通过高速转发通信，提供优化，可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。 核心层必须提供高级的冗余特性并且能够更快的适应变化。 核心层设备是最可靠的设备，它们可以在网络中出现故障时重新路由流量，也可以对网络拓扑的变化做出快速反应。 核心层设备必须能够实施可扩展的协议和技术，可替代的路径以及负载分担特性。 在未来有必要对网络扩展时，核心层有助 于管理员扩展网络。 （ 1）技术方案 核心层一直被认为是所有流量的最终承受者和汇聚者。 因此，在设计上 重点通常是冗余能力、可靠性和高速的传输。 在这里选择三套核心层交换机，用万兆线路对三台企业网骨干核心层设备进行环行双向备份，可以使用以太网通道技术进行捆绑，增加带宽，提供冗余；两台设备同时接入到 router，启用 GLBP，实现虚拟网关的冗余，还能进行流量的负载；使用 QOS 机制，根据需要为不同的数据流分配不同的优先级；同时启用 IP 路由协议，如 OSPF、 EIGRP 等，进行路由学习。 在核心层，我们选择使用 Cisco Catalyst 6500 系列的交换机。 6500 平台使用模块化的机箱，能够利用线路模块。 端口类型包括有 10/100/1000BASET 以太网、 15 吉比特以太网和 10吉比特以太网类型。 根据 supervisior engine 和线路卡型号的不同，第 2 层和第 4 层的数据包和帧的交换速率可达每秒数亿数据包，可完全承担起核心层的数据转发工作。 密集的 T1/E1 和 FXS（外部交换站） VoIP 网关接口，可用于 PSTN 接入和传统的电话、传真和 PBX（专用分支交换）连接。 服务器群设计 在这里我们把服务器综合到防 火墙的 DMZ 区域，通过使用万兆电缆进行连接，能够为以后增长的应用服务提供扩展性。 同时在服务器上可以在应用两块以上的网卡，进行捆绑后，不但可以增加带宽，还可进行链路冗余以及负载均衡。 另外，可以使用双机双机热备份技术，来增加服务器的稳定性和高效性：每台服务器均至少有两张网卡，其中使用一个端口进行直连，另外的一个端口连接到网络中，以达到热备的目的。 在这里我们使用 Cisco Catalyst 4948G10GE 交换机作为服务器群组的接入设备， Cisco Catalyst 494810GE 基于 Cisco Catalyst 4500 系列公认的硬件和软件架构，为高性能服务器和工作站进行低密度的多层汇聚提供卓越的性能、带宽和可靠性。 4948G 提供 48 个 10/100/1000 端口和 2 个万兆以太网端口 ，完全 能够满足服务器群的带宽需求，并能够为提供扩展性。 Cisco Catalyst 494810GE 通过名为三重内容可寻址内存（ TCAM）的专用专业化资源实现智能网络服务的高性能和可扩展性。 足够的 TCAM 资源（ ）实现了 “ 高特性容量 ” 提供线速的路由/交换性能并允许并行调配 QoS和安全性等服务，从而帮 助确保满足网络现在所需的可扩展性要求，并为将来的增长提供了足够的空间。 语音系统设计 在组建融合网络时包含 VoIP 能够更有效的使用带宽和设备，能够降低电话网络传输的成本，整合语音和数据网络开销等。 （ 1）拓扑结构如下 16 在骨干网络增加一台 Cisco 3800 系列 的多业务路由器，通过以太网线路与 PBX接入。 部署多部 IP电 话机，并注册到总部的 VOIP 语音系统 上。 （ 2）企业 园区网络 在核心层上，部署一台 Cisco 3800 系列 的多业务路由器， Cisco 3800 系列拥有广泛的话音接口，就可以满 足各种规模的分支机构对于话音连接密度的需求，支持多达 24 条 T1/E1 中继和 88个外部交换站（ FXS）端口，用于模拟电话、传真机、按键系统和会议工作站。 支持以太网供电（ PoE）。 核心层上的 6500 系列交换机上加入 NMBFX/O语音模块，与企业网语音 IP系统中的总部连接，这样达到园区内外都能通话的功能。 （ 3）分支机构 部署多部 VOIP 话机，并注册到总部公司的 Cisco VOIP 语音系统 上。 （ 4）优点 ① 总公司与分公司之间通话免费。 ② 总部与分公司之间的传真免费。 ③ 不改变原电话使用习惯，机构间分机直拨。 ④ 可随时召开电话会议。 ⑤ 安装和维护简便，可以很方便地迁移。 ⑥ 出差员工可通过互联网与企业内部免费通话。 17 无线区域设计 在一些特殊的办公地点，要求办公地点的每一处地方都提供网络的接入，如大堂等。 然而固定的信息点模块接入，会使得员工的办公地点受到限制，从而无法实现这样的一种灵活性。 因此，我们需要在这样有无线接入的场合部署无线网络接入。 （ 1） 网络拓扑 Cisco Airo 1100 系列无线接入设备是 Cisco 推出的高增益、高性能无线局域网接入器产品 ，提供了一个价格低廉、智能化可升级的 无线 LAN 解决方案。 它可以提供企业级的安全性和可管理性。 该产品符合 标准，并且采用了一种可以现场升级的设计，因而确保了用户可以在适当的时候，平稳的升级到新出现的 标准，能够沿多种方向迅速、方便的安装。 同时，还具备快速实现漫游切换、广播风暴抑制、实时带宽管理等多项精细化功能，是用户组建高速无线局域网络的最佳选择。 广域网接入设计 企业网络边缘是企业通向 inter 网的门户，必须对流进的数据分组进行严格的控制。 在这里我们通过同时租用电信和网通线路接入，做好 广域网链路冗余，同时也可提供流量负载均衡。 出口采用采用具备路由功能和流量控制策略的防火墙Cisco ASA5550BUNK9，它的网络吞吐量可到 1600Mbps，过滤带宽可达 425Mpbs，可支持的并发连接数达 650000，主要功能包括支持 IPS、以及 IPSec 和 SSL VPN 和IPSec VPN (750 个设备对 ) 软件 ,支持防垃圾邮件、 URL 阻拦和过滤，以及防网络钓鱼 等。 18 企业 IP 地址规划 IP 地址的合理规划有利于管理员进行设备的管理以及网络故障的快速排查，能够减少路由条目的生成，加快数据流的路径搜索和交换、转发，提高路由协议算法的效率以及网络的性能，保证网络能够正常、稳定的运行。 因此， IP地址的规划应该遵循以下的一些原则。 IP 地址规划原则 在本方案中，企业内部网使用的 OSPF 链路状态路由协议。 OSPF属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比， OSPF 在对网络拓扑变化的处理过程中仅需要最 少的通信流量； OSPF 提供点到多点接口，支持 CIDR（无类型域间路由）地址 和 VLSM(可变长子网掩码 ) （ 1）唯一性 IP 地址是主机和网络设备在网络中的唯一标识，因此，在设计时，同一个子网内不应该出现相同的两个 IP 地址，即使是使用了支持地址重叠的 MPLS/VPN技术。 （ 2）连续性 分配连续性的 IP 地址，能够在边界上进行简单的汇总，以减小路由表的大小，增强网络的转发速率，同时也有利于地址管理。 （ 3）扩展性 在为每一个子网分配 IP 地址段时，应该考虑要留有余量，能够保证在以后的网络扩展中添加更多的设备。 （ 4）实意性 在分配 IP 地址时应尽量使得分配的 IP 地址具有一定的实际意义，如能够大致判断出地址说属的设备，以方便记忆、查看和管理。 IP 地址需求 在 IP 地址的规划方面，我们可以进行更精细的处理：如，我们可以把连接到同一个分布层交换机的多个不同子网汇汇总一条路由条目，使得在运行路由协议时只通告汇 19 总路由，使用汇总路由代替多条明细路由，可减小路由表的大小，同时可简化路径的选择时间。 但是，需要注意的是，在通告多条的汇总路由中，彼此之间不能有相互重叠的地址段，可能会造成目标主机无法访问。 建筑物 部门 人数 IP 网段 前缀 VLAN 信息点 东 1 总经办 10 28 10 200 财务部 20 27 20 市场部 100 25 30 会议室 20 27 40 服务器群1 20 27 50 东 2 销售部 500 23 60 520 西 1 生产部 1000 . 20 70 1100 西 2 项目部 300 23 80 650 技术部 200 24 90 网管中心 100 24 100 服务器群2 10 28 150 公有 IP地址 8 28 20 公网 IP 规划 相对于私有 IP 而言，公网 IP 是不能由自己完全做主要求的，而是 ISP 等机构统一分配和租用的。 这就造成了公网 IP 要稀缺的多，所以对公网 IP 必须按实际需求来分配。 如：对外提供服务的服务器群组区域， 不仅要够用，还得预留出余量；而 其他 仅需要浏览 Inter 等基本需求的部门 ，可以通过 使用 NAT 技术 来 让 多个节点共享一个或几个公网 IP；最后，那些只对内部提供服务，或只限于内部通讯的主机自然不用分配公网 IP 了。 公网 IP 具体的分配，必须根据实际的需求，进行合理的规划。 如上图，这是园区网络的基本架构。 通常，内部网络用户主机上并不配置公网 IP，而是通过使用 NAT 技术将内部私有地址 动态 转化成外部公有地址，访问 Inter。 因此，需要为外部地址池分配至少一个公有 IP 地址。 DMZ 区域放置着对外提供服务的服务器群组 ，这部分自然是部署固定的公网 IP。 在这里我们为内网访问提供四个公用 IP，在inter 注册的 DNS 分配 1～ 2 个，其他分配给 DMZ 区。 21 第四章 核心技术需求 etherchannel Eth。