网络解决方案技术建议书Word文档格式.docx
《网络解决方案技术建议书Word文档格式.docx》由会员分享,可在线阅读,更多相关《网络解决方案技术建议书Word文档格式.docx(133页珍藏版)》请在冰豆网上搜索。
4.1.4强大的管理、技术和服务团队44
6售后服务期46
6.1.1设备厂商、维修服务46
6.1.2售后服务46
6.1.3基本服务CommonService48
6.1.4增值服务Value-addedService52
6.1.5专家服务ExpertService54
6.1.6标准服务流程56
6.1.7巡检及健康检查流程56
6.1.8工作流程57
6.1.9故障处理流程58
6.1.10技术支持流程60
6.1.11现场服务流程63
6.1.12重大故障处理流程64
6.1.13备品备件流程67
6.1.14故障事件总结,统计分析报告流程68
6.1.15知识库70
6.1.16客户服务中心的组成71
6.1.17服务管理平台73
iii
网络解决方案技术建议书1网络总体设计方案
1网络总体设计方案
1.1网络总体网络设计原则
网络设计,注重的是网络的简单可靠、易部署、易维护。
因此在网络中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。
基于星型结构的网络设计,通常遵循如下原则:
层次化
将网络划分为核心层、汇聚层、接入层。
每层功能清晰,架构稳定,易于扩展和维护。
模块化
将网络中的每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。
冗余性
关键设备采用双节点冗余设计;
关键链路采用Trunk方式冗余备份或者负载分担;
关键设备的电源、主控板等关键部件冗余备份。
提高了整个网络的可靠性。
安全隔离
网络应具备有效的安全控制。
按业务、按权限进行分区逻辑隔离,对特别重要的业务采取物理隔
离。
可管理性和可维护性
网络应当具有良好的可管理性。
为了便于维护,应尽可能选取集成度高、模块可通用的产品。
1.2网络总体架构
图1-1网络架构
该组网结构具有如下特点:
以核心节点为“根”的星型分层拓扑,架构稳定,易于扩展和维护。
各功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位。
双节点冗余设计,关键链路均采用Trunk链路,保证网络的可靠性。
支持各种业务终端接入,一张IP网络承载所有业务。
网络解决方案技术建议书2网络详细设计方案
2网络详细设计方案
2.1VLAN及IP规划
2.1.1VLAN概述
VLAN
是将
LAN
内的设备逻辑地而不是物理地划分为一个个网段,从而实现在一个
内隔离
广播域的技术。
当网络规模越来越庞大时,局部网络出现的故障会影响到整个网络,
的出现可
以将网络故障限制在
范围内,增强了网络的健壮性。
2.1.2VLAN功能划分
用户VLAN
用户VLAN即普通VLAN,也就是我们日常所说的业务VLAN,是用来对不同端口进行隔离的一
种手段。
VLAN通常根据业务需要进行规划,需要隔离的端口配置不同的VLAN,需要防止广播域过
大的地方配置VLAN用于减小广播域。
VLAN最好不要跨交换机,即使跨交换机,数目也需要限制。
VoiceVLAN
是为用户的语音数据流划分的
,用户通过创建
并将连接语音设备
的端口加入
,可以使语音数据集中在
中进行传输,便于对语音流进行有针
对性的
QoS
配置,提高语音流量的传输优先级,保证通话质量。
GuestVLAN
网络中用户在通过
802.1x
等认证之前接入设备会把该端口加入到一个特定的
VLAN(即
Guest
VLAN),用户访问该
内的资源不需要认证,只能访问有限的网络资源。
用户从处于
的服务器上可以获取
客户端软件,升级客户端或执行其他应用升级程序
(例如:
防病毒软件、
操作系统补丁程序等)。
认证成功后,端口离开GuestVLAN加入用户VLAN,用户可以访问其特定
的网络资源。
MulticastVLAN
MulticastVLAN即组播VLAN,组播交换机运行组播协议时需要组播VLAN来承载组播流。
组播
VLAN主要是用来解决当客户端处于不同VLAN中时,上行的组播路由器必须在每个用户VLAN复制
一份组播流到接入组播交换机的问题。
2.1.3VLAN规划原则
一个二层网络规划的基本原则:
区分业务VLAN、管理VLAN和互联VLAN
按照业务区域划分不同的VLAN
同一业务区域按照具体的业务类型(如:
Web、APP、DB)划分不同的VLAN
VLAN需连续分配,以保证VLAN资源合理利用
预留一定数目VLAN方便后续扩展
2.1.4VLAN规划建议
VLAN根据多种原则组合划分。
按照逻辑区域划分VLAN范围:
例1:
核心网络区:
100~199
服务器区:
200~999,预留1000~1999
接入网络:
2000~3499
业务网络:
3500~3999
例2:
规划NAC方案时,使用动态VLAN情况下,VLAN可划分为认证前域GuestVLAN、隔离域Isolate
VLAN、认证后域VLAN三类。
实际部署时可以按职能部门分配VLAN,同时预留GuestVLAN和隔
离VLAN。
按照地理区域划分VLAN范围
例如:
接入网络A的地理区域使用2000~2199
接入网络B的地理区域使用2200~2399
按照功能模块划分VLAN范围
安全监控网络使用2000~2009
企业办公网使用2010~2019
按照业务功能划分VLAN范围
Web服务器区域:
200~299
APP服务器区域:
300~399
DB服务器区域:
400~499
IPPhone、打印机等哑终端使用单独的VLAN上线。
IPPhone需要为其配置VoiceVLAN,提高语音数据的优先级,保证语音质量。
建议为AP规划独立的管理VLAN。
2.1.5IP
规划概述
考虑到后期扩展性,在网络IP地址规划时主要以易管理为主要目标。
网络中的DMZ区或Internet
互联区有少量设备使用公网IP,网络内部使用的则是私网IP。
IP地址是动态IP或静态IP的选取原则如下:
原则上服务器,特殊终端设备(打卡机,打印服务器,IP视频监控设备等)和生产设备建议
采用静态IP。
办公用设备建议使用DHCP动态获取,如办公用PC、IP电话等。
2.1.6IP
地址规划原则
IP地址规划的原则
唯一性
一个IP网络中不能有两个主机采用相同的IP地址。
即使使用了支持地址重叠的
MPLS/VPN技术,也尽量不要规划为相同的地址。
连续性
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,效率。
提高路由算法的
扩展性
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。
实意性
“望址生意”,好的IP地址规划使每个地址具有实际含义,判断出该地址所属的设备。
看到一个地址就可以大致
网络IP地址基本分类
Loopback地址
为了方便管理,会为每一台路由器创建一个Loopback接口,并在该接口上单独指
定一个IP地址作为管理地址。
Loopback地址务必使用32位掩码的地址。
最后一位是奇数的表示路由器,是偶数
的表示交换机,越是核心的设备,Loopback地址越小。
互联地址
互联地址是指两台网络设备相互连接的接口所需要的地址,互联地址务必使用
30
位掩码的地址。
核心设备使用较小的一个地址,互联地址通常要聚合后发布,在规划时要充分考虑使用连续的可聚合地址。
业务地址
业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址,业务地址规划时所有的网关地址统一使用相同的末位数字,如:
.254都是表示网关。
网络内部的
IP地址
建议使用私网IP地址,在边缘网络通过NAT转换成公网地址后接入公网。
汇聚交换机下接入的网段可能有很多,在规划的时候需要考虑路由是可以聚合的,这样可以减少核心网络的路由数目。
无线设备的IP地址
ACIP地址一般通过静态手工配置。
由于AP数量较多,手动配置IP地址工作量大
且容易出错,建议采用DHCP动态给AP分配IP地址。
DHCP动态分配AP的IP地址时,可以采用指定地址池分配和统一分配两种方式。
2.1.7DHCP规划
网络中办公网络、商业WiFi建议使用DHCP,每个DHCP网段应保留部分静态IP供服务器等
设备使用。
DHCP部署基本架构
在数据中心或服务器区部署独立的DHCPServer。
在汇聚层网关部署DHCPRelay指向DHCPServer统一分配地址。
DHCP一般通过VLAN分配地址,如有特殊要求,在接入交换机部属Option82,由接入交
换机提供的Option82信息分配地址。
图2-1DHCP划分
DHCP部署基本原则
固定IP地址段和动态分配IP地址段保持连续。
按照业务区域进行DHCP地址的划分,便于统一管理及问题定位。
DHCP需要跨网段获得IP地址时,启动DHCPRelay功能。
启动DHCP安全功能,禁止非法DHCPServer的架设和非法用户的接入。
2.1.8DNS规划
DNS服务器的角色划分
Master服务器:
主服务器
作为DNS的管理服务器,可以增加、删除、修改域名,修改的信息可以同步到Slave服务器,一般部署1台。
Slave服务器:
从服务器
从Master服务器获取域名信息,采用多台服务器形成集群的方式,统一对外提供
DNS
服务,一般采用基于硬件的负载均衡器提供服务器集群的功能。
一般部署
2
台从服务器。
Cache
服务器:
缓存服务器
用于缓存内部用户的
请求结果,加快后续的访问。
一般部署在
Slave
服务器
上。
DNS服务器的IP地址
采用企业内网地址。
分配企业私网地址,并在负载均衡器上分配一个虚拟的企业内网地址。
Internet
域名地址有两种方案:
一种是在防火墙上做
NAT
映射,把
服务器的虚拟地址映射为一个公网
IP
地址,用于
外部
用户的访问。
另一种是在链路负载均衡设备上通过智能
为外部
用户提供服务。
DNS可靠性设计
众多内部用户发送
请求,被均匀分担到
SlaveDNS1
和DNS2
。
当
服务器故
障后,所有的
请求被分发给
SlaveDNS2
最终
服务器必须与外部
通讯。
Master
服务器,建议放置在
DMZ
区域,并在同区内部建立
SlaveDNS
服务器。
如只对内提供
服务的
服务器,可以作为二级的
服务器,放入其他非
区域。
当所有的SlaveDNS都故障后,用户发送的DNS请求无响应。
用户就切换到备DNS,由MasterDNS处理所有的请求。
图2-2DNS规划
2.2虚拟化设计
2.2.1横向虚拟化设计
网络核心、汇聚节点均建议采用CSS设计,可以提高单节点设备可靠性,一台交换机故障,另
外一台交换机自动接管故障设备上的所有业务,可以做到业务无损切换。
设备虚拟化通过跨设备的
Trunk链路,提升链路级可靠性,并且流量可以均匀分布在Trunk成员链路上,提高链路带宽利用率,
一条或多条链路故障后,流量自动切换到其他正常的链路。
网络配置和维护简单,网络二层接入网不需要配置复杂的二层环网和保护倒换协议,二层链路故障能直接感知快速切换。
三层网络中多个设备间共享路由表,网络故障路由收敛速度快。
网络管理和维护难度大大降低,此方案适应面广,扩展性强,是未来网络的发展趋势。
可以提高网络故障的收敛时间。
通过虚拟化与Trunk相结合的方式,可以将传统网络中协议的收
敛时间转化为Trunk内部成员的选路时间。
链路聚合技术的收敛不涉及复杂的协议计算,也不涉及网
络协议的重新收敛,因此效率上要高出很多,华为公司的交换机在某些场景可以达到10ms左右的收
敛时间,比之网络协议收敛的秒级要提高了100倍。
CSS2(ClusterSwitchSystemGeneration2
,第二代集群交换机系统)
,又被称为集群,是指将
多台支持集群特性的交换机设备虚拟化为一台交换机设备(目前支持
2台),从逻辑上组合成一台整
体交换设备。
图2-3CSS2集群
CSS
TrunkTrunk
CSSCSS
CSS2系统建立后,根据协议的计算,将出现一个主交换机,一个备交换机。
在控制平面上,主
交换机的主用主控单元成为CSS2的系统主,作为整个系统的管理主角色;
备交换机的主用主控单元成为CSS2的系统备,作为系统的管理备角色;
主交换机和备交换机的备用主控单元作为CSS2的候选系统备,不具有管理角色。
S12700主控交换分离,备板只作为备用主控,无交换网功能。
简化管理和配置
集群形成后,两台核心设备物理虚拟成为一台设备,用户可以通过任何一台成员设备登录集群系统,对集群系统所有成员设备进行统一配置和管理,需要管理的设备节点减少一半。
其次,组网中逻辑上看变得简单,原来需要的
CSS2后都不再需要了。
STP/SmartLink/VRRP
等冗余备份协议,在使用
提高链路利用率
通过跨框Trunk,用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口,这样不仅不用配置STP等协议,而且Trunk的多条链路之间可以对流量做负载分担,提高了链路的利用率,
较STP等阻塞链路的方式要好很多。
交换网集群
现有技术支持交换网板上支持插集群卡。
通过连接交换网集群卡端口,建立交换网集群。
交换网
集群与下文的控制面集群差异是控制报文的转发路径。
交换网集群是通过交换网集群端口转发控制报
文,控制面集群是通过控制面集群口转发控制报文。
两种模式下,数据报文都通过交换网集群端口转
发。
交换网集群与CSS集群卡集群比较:
启动性能提升(交换网板与MPU并行启动)
连线简单
扩展性更强(主控交换合一架构受限于主控数目)
拔主控不断流
主备倒换0丢包
故障感知更优于业务口集群(集群口故障中断上报)
交换网集群与业务口集群比较
不占用业务端口
转发路径更短
拔主控0丢包
流量更均衡(业务口需要二次hash)
业务口集群最多两块板、交换网集群最多4块板。
广播流量无阻塞(业务口集群,两组备份的集群链路中需要阻塞其中一路。
交换网集群,集群链路无需阻塞)。
单主控集群
S12700主控和交换分离,主控板不在位时不影响转发。
S12700支持主框和备框仅一个主控时可建立集群,即S12700支持单主控集群。
单主控集群,可以减少客户部署成本。
S12700备框主控故障,业务不中断。
S12700备框主控都拔出时,备框的数据转发不受影响。
图2-4单主控集群
2.2.2纵向虚拟化设计
SVF(SuperVirtualFabric)又称为纵向堆叠技术,是一种更加集中化的设备管理方案,真正做
到了SVF架构内设备的通过管理和运维。
可以将有线无线网络全部集中到核心集中维护。
达到整个网络一个管理节点的目的。
./汇聚上进行统一管理、
设备管理
可以将一个SVF系统视为一个虚拟的框式设备,其中SVF-Parent就是这台虚拟框式交换机的主
控板,SVF-Client就是这台虚拟框式交换机的有线口接口板,而AP可以看作是无线端口接口板。
图2-5设备管理
版本管理
SVF-Client的版本都保存在SVF-Parent上,当SVF-Client接入SVF系统后,可以自动从
SVF-Parent上获取版本文件并加载,整个过程免人工操作。
图2-6版本管理
配置下发
SVF-Client的配置类似于框式交换机接口的配置,用户使用的命令行都在
不需要在SVF-Client上直接输入。
SVF-Parent
上操作,
在
上对应每个
SVF-Client
(堆叠设备是为一个
Client)分配一个
ID,SVF-ID
范围
是101-148
,AP
不占用
SVF-ID
在配置
端口时,在现有的端口表示方式基础上(当前
方式是:
框号
/卡号/端口号,如
Ge2/0/1
),新增一个
号,这样端口表示变为四维:
SVF-ID/
框号/卡号/端口号,如
Ge102/2/0/1
,表示
ID
为102
的
上的
端口。
状态监控
SVF系统内,SVF-Client不再作为独立设备对外体现,SVF-Client的告警信息也不再以独立设
备的形式上报,而是统一汇总到SVF-Parent上,在SVF-Parent上查看和上报网管。
2.3安全设计
2.3.1安全概述
随着智能化的发展,对于网络的依赖性不断增强。
但病毒、木马、间谍软件、网络攻击等各种信
息安全威胁也在不断增加。
统计表明,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为用户最关心的问题,网络安全基础设施也日渐成为网建设的重点。
在传统的网络建设中,一般认为网络内部是安全的,威胁主要
升级会员 