网络改造技术方案.docx

1、网络改造技术方案某某木业集团网络改造技术方案建设书第一章 项目现状一.1 现网拓扑一.2 现状描述一.2.1 有线网络：现网出口设备为HW AR2240路由器，外接联通和电信各一个出口。路由器下联思科2960-S交换机，该交换机作为各分厂接入设备，连接各分厂思科1941路由器，交换机下联思科S3750作为三层网关设备，也是网络的核心交换机；核心下联服务器区接入交换机思科2960-S 以及楼层接入交换机。集团目前有三个办公楼层三楼，五楼及六楼，除中心机房部署接入交换机，3、5、6层也部署楼层接入交换机，6层交换机连接到5层交换机，3,5楼层交换机光口上联至核心。目前接入交换机为百兆交换机，现网的

2、防火墙设备已经报废，无法使用，ACG上网行为管理设备也无法满足网络需求。一.2.2 无线网络：现网无线设备为刚刚采购不久的美国网件设备，目前集团无线网络存在严重问题，主要为无线网络的客户端打开网页很慢或者甚至打不开网页。我们工程师小梁到达现场后，第一时间检查了有线网络及无线网络的使用情况，验证了无线网络存在信号满格，却打开网页很慢的问题现象，了解网络的基本情况之后，排查思路为先从无线组网查起。目前集团无线网络使用的是美国网件公司（Netgare）的无线AP+控制器AC的部署方案，共有15台AP和一台AC，15台AP分别部署在3F(4台)，5F(4台)，6F(7台)，每两台AP之间的安装位置距离

3、约有45米，符合安装规范。从现场使用inssider软件工具分析的无线网络情况来看，如下图所示：分析图中可以看出存在以下几个问题及原因：1.无线AP的信道没有规划，无线信号信道互相干扰比较严重。2.无线AP的功率强度比较大，客户端连接AP的RSSI值达到了-50dbm，结合两台AP之间的安装位置距离，很有可能存在两台Ap的信号互相重叠的情况。3.无线产品的配置或者产品设备本身的问题等其它原因针对可能存在的问题，处理办法如下：1.对于以上前面两个原因，工程师小梁在查看了网件公司官网的相关配置案例之后，协助何工操作对15台AP进行了重命名，并标记了AP的实际安装物理位置。2.对AP的信道进行了手动

4、规划调；，3.对AP的功率进行调整。做完以上操作之后，使用无线网络测试网络情况，发现问题现象依旧；4.尝试了只开启一台AP，彻底排除信号干扰的情况，再次测试，问题依旧。由于不是很了解网件公司的产品 ，工程师小梁针对无线的排查只能到了这个阶段。5.检查了思科核心交换机的配置，没有发现异常。6.检查了华为路由器的配置，也没有发现异常。无线网络目前依旧有问题存在，后续会继续排查问题，优化无线网络。第二章 需求分析二.1 网络建设目标对于现网有线网络进行整改，同时为满足网络性能需求，选用千兆接入交换机代替原来的百兆设备，服务器区接入交换机采用双机横向虚拟化部署。二.2 网络建设原则在网络设计构建中，需

5、要坚持以下建网原则：实用性和先进性：在网络设计中把先进的技术与现有的成熟技术、标准和设备结合起来，充分考虑到网络应用的需求和未来的发展趋势，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，为保证各项业务应用的稳定运行，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，在网络设计上应采用硬件备份、冗余等可靠性技术，合理设计网络冗余拓

6、扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证网络系统的长期可靠运行。标准性与开放性所选用的设备支持国际通用的通信协议和网络标准，采用标准协议进行互连互通，确保本网络系统、与原有系统、其他系统能够无缝互联，在结构上真正实现开放。坚持统一规范的原则，从而为未来的发展奠定基础。网络采用国际上通用标准的主流的网络协议，不仅保证与其它网络(如公共数据网、Internet)之间的平滑连接和互通，还能适应未来若干年的网络发展趋势，便于将来网络自身的扩展。高安全性随着网络应用和网络互联给用户带来方便和效率的同时，也使用户信息安全面临着更加严峻的挑战：网络安全与网络管理日益成为关系

7、到网络可持续发展的重大因素。网络系统设计应具有良好的安全性，除了要考虑网络出口和网络边界的安全外，还要确保用户的计算机终端的安全，对网络使用者进行验证、授权、审核，以及网络资源的访问控制。高性能，多业务随着IP电话、视频会议、IP监控、互联网访问业务、OA办公系统、电子邮件系统等应用的开展，基础网络平台需要承载各种信息流，将对网络带宽、网络性能和网络支持能力提出更高的要求。网络系统的性能是整个信息系统良好应用的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，保证网络平台不能成为现代智能化、信息化系统发展的瓶颈。灵活性及可扩展性网络系统是一个不断发展的系

8、统，不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩展性，具备支持多种应用系统的能力，提供技术升级、设备更新的灵活性，能够根据信息系统不断深入发展的需要，根据未来业务的不断增长和变化，平滑的扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大程度的减少对网络架构和现有设备的调整。易操作性和可管理性由于网络结构和应用复杂性，随着网络业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现网络用户、网络性能、网络故障、网络应用的监测、分析和报告，合理

9、分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作。 第三章 整体建设设计三.1 网络部署规划在现代企业信息化网络整体设计中，多采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性。典型的局域网结构可以分成三层：接入层、汇聚层、核心层。为了简化网络结构现在大部分组网都是采用二层扁平化组网即：核心层、接入层。具体采取哪一种组网方式并不是绝对的，需要和用户单位的实际网络环境而决定。有时候是两种组网方式的混合,本项目则是采用二层扁平化组网架构。而不论采用哪种方式 ，都要保证核心或汇聚节点的冗余

10、性、可靠性。三.2 网络结构设计三.2.1 层次化结构设计：核心层：主要负责内部业务数据的高速转发。汇聚层：主要负责对接入层分散的业务流量进行汇聚和交换，并依据复杂的策略实施流量控制、Qos策略与用户管理功能。接入层：负责接入工作组用户，使其可以通过网络服务与应用服务器交互业务数据，还可以对用户实施接入控制。在整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性。典型的局域网结构可以分成三个层次：接入层、汇聚层、核心层。接入层：提供网络的终端接入功能，除了完成简单的二层交换功能以外，还提供接入安全、QOS和ACL等功能。接入层应具有快速收敛、易于扩展、上

11、行链路备份和负载均衡等特点。接入层堆叠技术的应用，提高了接入层信息点接入的密度，省去了汇聚层设备，简化了网络结构，同时提供了良好的扩展性。汇聚层：提供接入层汇聚、作为各分点楼层的汇聚核心，提供必要的安全策略。具备一定的安全策略执行能力，汇聚节点设备应具备冗余备份能力。核心层：提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。核心层在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合网络安全、网络业务分析等智能特性，为学校构建多业务融合的基础网络平台，进而帮助用户实现IT资源整合的需求。网络主干：汇聚区至核心层的连接即网络主干，网络主干的带宽和结构直接决定着整个网

12、络的性能和可靠性。核心层到汇聚层采用双星型的网络连接，在可靠性和性能上都是最优的选择。进行网络架构设计时应考虑采用核心层、汇聚层、接入层的三层结构，采用先进的堆叠技术，提供接入层高密度信息点的接入和汇聚。网络物理结构采用层次化设计，结构更清晰、扩展性好、便于管理维护、节省用户投资成本。为了提高网络运维人员的工作效率，降低网络运维人员的维护难度，因此建议在整个网络里面部署一套网络管理系统。网管人员通过该系统可以实时监测网络健康状况，并且该系统还支持通过手机终端进行网络监测，这样即使是在下班时间或者网管人员出差期间都可以实时监测到网络的健康状况。一旦网络出现故障网管系统将会马上发出告警信息，并且可

13、以实时分析网络故障的原因，帮助运维人员及时处理网络故障，提高网络运维的工作效率。三.2.2 业务VLAN设计在局域网内部采用VLAN技术的优点在于：分隔广播域划分子网，在网络中抑制广播风暴，提高网络的效率；可以跨交换机设备组建虚拟工作组，适合相同工作部门人员的联网协作；不同VLAN的用户数据在传输时相互隔离，增强了局域网的安全性增强了组网的灵活性，同时简化了网络管理根据多业务特点，在局域网内部针对不同业务和不同远程坐席组划分VLAN是一种非常灵活而且有效的安全隔离机制。主要有：1、基于业务的VLAN划分：针对网络中的每一类业务都可以划分一个独立的VLAN，以保证业务数据在网络传输时相互隔离，保

14、证单一业务的独立性。2、基于部门/工作组的VLAN划分：针对的不同职能部门或远程坐席组也可以划分一个独立的VLAN，以保证业务数据在网络传输时相互隔离，保证单一业务的独立性。3、基于网络模块的VLAN划分：在核心节点，还可以基于不同的网络功能模块（如服务器区域、存储设备区域、网管中心、安全设备等）来划分VLAN，以便于对内网用户进行访问控制的安全机制。为了保证内部业务的可扩展性与灵活性，还应该有效地预留某些VLAN设置。三.2.3 网络的Qos设计QoS设计的目的是保证网络中关键业务的服务质量，如何使关键数据业务在网络中的延时和抖动降到最低，QoS实现方法首先是避免拥塞，然后是万一出现拥塞情况

15、下如何保证关键业务服务质量。从IP层面，根据关键业务地址设置不同优先级，采用不同的优先转发等级，在网络出现拥塞情况下，能够保证关键业务的优先级。在局域网中，接入交换机入口会根据不同数据流的源地址、目的地址等来识别不同业务流，根据不同的业务流优先级进行QoS标记，并且根据不同业务流采用不同优先带宽保证。IP QoS技术在网络边缘可以根据不同的IP网段进行端口限速，避免单个终端节点对整个网络的冲击，在局域网里，QoS边缘既可以是接入交换机，也可以是汇聚交换机，可以根据端口、IP网段、具体业务流进行端口限速，同时将业务流打上不同优先级标记，在业务流数据包进入汇聚层以上网络时，会根据不同优先级进行优先

16、调度、优先转发，对于关键业务流，确保网络延时10ms。广域网Qos可采用分层分级的原则进行部署，通过Diffserv Qos机制实现基于业务类的Qos等级。在网络接入层实现802.1p优先级定义，对不同业务类定义不同优先级，在广域网接入层完成二层到三层优先级的映射，通过DSCP/Tos标记，对不同类业务实现基于CAR技术的带宽控制，并配置优先级队列保证不同等级的业务可以在不同队列中传输。在数据中心侧采用与接入侧相同的机制实现端到端的业务应用，保障高级业务的实时可用性。为了更好适应多业务承载，网络设备的选型应支持层次化、精细化QoS，以便更好地为关键业务提供更高品质服务。三.3 方案优势三.3.

17、1 横向虚拟化技术IRF横向虚拟化带来的好处有：让网络更简单：网络简化需要解决网络结构的简化，网络业务的简化，以及管理维护的简化这三方面的问题。通过在从核心到接入的整网部署IRF2技术，多台物理设备虚拟成一台统一的逻辑设备，不但网络结构简单清晰，原先需要每台设备逐一配置，现在只需配置一次即可，大大简化了设备的管理维护。 此外，相比传统网络生成树+VRRP的部署方式，启用IRF2以后，二层不再需要配置生成树，也不再需要复杂的生成树多实例的规划，三层不再需要配置VRRP，不再需要复杂的路由规划和大量的IP地址消耗，从而简化了网络业务。让网络更可靠：IRF的高可靠性体现在链路级、协议级和设备级三个方

18、面。链路级：成员设备之间的物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性。协议级：IRF系统提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现1：N的协议可靠性。设备级：IRF系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份。相比传统的二层生成树技术和三层的VRRP技术，其收敛时间从N秒级缩短到毫秒级。让网络更高效：

19、对高端交换机而言，性能和端口密度的提升会受到其硬件结构的限制，而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而IRF2可以通过跨设备聚合等特性，让原本“Active-standby”的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。第四章 现网改造说明四.1 网络改造拓扑图四.2 改造组网描述：【1】核心交换机，部署1台核心层交换机作为园区网络核心数据交换枢纽，是园区网络核心承载平台，对设备的

20、性能和稳定性要求非常苛刻，如果设备出现故障时，会导致整个园区网络核心业务中断，更严重的可能会导致整个园区网业务的瘫痪。1、易扩展：具备防火墙、负载均衡以及无线网络的扩展升级。可扩展性能，满足园区网络未来几年长远发展需求；2、更可靠：风扇模块与电源模块，支持冗余部署，可靠性更高；3、融合一体化组网：核心交换机满足网络与安全一体化组网，网络与无线一体化组网需求；【2】接入层交换机，部署8台，其中6台为园区网接入交换机，2台为服务器区接入交换机：本期园区网络升级改造的接入层交换机统一采用48千兆电口交换机，此接入设备可满足园区网常见的安全，接入密度的需求，并且针对于IPv6技术发展的趋势以及园区网I

21、Pv6部署的落地，要求设备支持IPv6的解决方案。接入交换机部署数量为8台，接入交换机上行提供4个上行千兆光口满足于汇聚交换机之间千兆光纤互联。服务器区部署的2台接入交换机建议做2合1虚拟化部署。以保障服务器区网络的高可靠性和高性能；接入层向本地网段提供工作站的安全接入。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。针对于某某集团园区ARP攻击泛滥等特点。【3】防火墙设备，部署1台：本期建议在园区网络出口部署1台高性能防火墙，主要实现多运营商不同出口链路的防火墙。防火墙产品能够为网络业务带来的价值：1、起到网络出口边缘的L2-L4层的安全防护；2、安全域的功能，为某某集团各业

22、务网络划分不同的安全域，提升整网络内部安全互访级别；3、具备丰富的VPN特性，满足广域网VPN互联的组网需求。4、具备虚拟防火墙特性；通过部署H3C防火墙产品，能够大大降低网络的采购成本和运维成本，同时增加了网络的灵活性和可扩展性。【4】应用控制网关，部署1台：本期在某某集团园区网络出口部署1台应用控制网关，主要实现对园区网络出口的带宽资源的合理优化配置，同时实现对每用户的上网行为管理。应用控制网关设备功能概述：能实现效益网络中的网络社区、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。利用智能流控、智能阻断、智能路由等技术，配合创新的社交网络行为管理功能、清晰易管理日志等功能，可以提供业界最全面、完善的上网行为管理解决方案。从而保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，为用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。