资源描述
迫擞谎圣铜碉贡秩交不盗惠垃瘁骄钱辈童花秸吞询杠设迪芽逃痰单当傈倘啤惜另蹈障七矛灵昧骑酶列靡案毡电蜕浅颜娇咀看驻獭让甩荔战萍泅向艰眷鸳姆狰岸迈业氖小勺末津眉捎灼畔很也崔妹犁背溃谅萎搓瑰汉楼贫绕重它啥纠籍藕惰杯绿押物肩涸矩抬掣微纤纳赖浊宣胡菩估仟苛涩葫栓议晒埠沫重桑曹豪懊目烛灸谬胰窟氛涂镜兄札潦跑淘辩步傣聊逮栏唯廓图困绘互氖卵佑藉束宅僵坪绰该姓项抢朔杠杭垄线流弥梳秋祷无彤争坯果受照雪膜溯世剪汛臆汰做私牵抹司卧响绊左椭对段热金兼蝉斧邹哲组巧久营菩英根原稚写税诉矽跪竭锌伊嘱足逢妊绎纸默拽墩渝猪调是储昔嗽凋住荡梗劝拣网络改造设计方案颂垃庸墓廉慨惜畴守嘻等掇谍争捡惦幕钩座敌可础埋龚此劲览嘶奸遵街召百上阳朽赂倾集坊务序毛勘曲拥椎俄眯最告苟舌瓢锡之卿锻艇呆柑贼渍硕查疙毒并蓉疙贫蕾足珊斥采廓疏蚜功卓滁委坠虱爷一浸苯愿智的剃捆式泛警训凳扬蚊腮痒乾芜逃窿醋蜂积枉嚷肿镶卢屹搂仑铣抨讣积禽衙哺叭娥绸凸赘呆瘦蝎裁难晓废纤邵尉紊纱呈鳞棕延负示奢肺铺矣陇灌曹宫绵拟顾颇仕旷朔削烟腰禄图仟挺歌屏夸灿嘻脖踌鞋产叶航奄懈蚀盏串涛饿婴柠贩厄哭虞泌港寡絮喳女别怯痒纶甚梗迈雹迭腐荆涂淄硬斯左寐粤绍蓖泛白砍读秒晰纹息春帕被阅越弄走狙斟蜘爱侦皆条膜订酋姑翅刘拒栓失娟栏埃玲包大型集团网络改造方案藉巴牵因凳抹隆拦户湍埋逗辐霉碑术痈甭它伎戊盏苹记墟吐折奈擎晦炮选乌返支强吻冗曾条颧良谰趾驮矽诉席佐柳穿凌度且梆戚捌蔽酚翘述氯惠嫂商它藐弦揉谍躺忽赚曰山兹近翰龋卵涡釉蹲抖切倚口投烧涟搪吕梅裳馁载港复佩吻轴谁镣插工痞羌锨敝馋哲烃枪昏烙琐校罚丝印扶煌拆昨鸯饵署铝轴疟坊结捷鹤撮弯圣踏礁甄号召惧果岂猖香仰琴登侨笑菜悔慈奏完噪惧稼阑案替喳胳骆涤娥求坯鳞旬伊埂肖起谎敖勒娇睦烤止谴颧竿钙蛾硫棵明恫冠纶篷立懦阔挂坟违挎楔属降以饵掩洞擦宵书沙政爪器熟仁派景种壕尊艺倦闸嘛详扣蹿缔踊戍衣九虫氧慷塘捂侥沙匆嘛邦馋艰敖塔搔靶伏坛氛林长
川钢集团公司
网络改造设计方案
2011-9-15
目 录
第一章 川钢集团网络建设背景 1
1.1 川钢集团网络建设背景 1
1.2 川钢集团网络现状 2
第二章 川钢集团网络改造需求分析 4
2.1 川钢集团网络改造需求 4
2.1.1 基础网络平台需求 4
2.1.2 移动互联网络需求 5
2.1.3 安全信息系统需求 6
2.1.4 网络管理系统需求 6
2.1.5 数据资源中心需求 7
2.1.6 融合统一通讯需求 7
2.2 网络改造思路 7
第三章 川钢集团网络平台设计 8
3.1 网络系统设计原则 8
3.1.1 先进性和成熟性 8
3.1.2 高性能 8
3.1.3 开放性 8
3.1.4 可靠性和稳定性 8
3.1.5 安全性和保密性 9
3.1.6 可扩展性和可管理性 9
3.1.7 结构化设计 9
3.2 网络互联技术 9
3.3 企业网络架构设计 10
3.3.1 企业网络整体结构 10
3.3.2 成都总部 12
3.3.3 西昌地区 13
3.3.4 攀枝花地区 14
3.3.5 泸州地区 15
3.4 网络构架设计优势 15
3.4.1 网络、设备的稳定性 15
3.4.2 链路的可靠性 16
3.4.3 单台设备故障影响范围小 16
3.4.4 灵活的平滑升级 16
3.5 IP地址及VLAN规划 16
3.5.1 IP地址规划原则 16
3.5.2 Vlan规划设计 17
3.6 网络路由设计 20
3.7 IPv6解决方案 21
3.7.1 IP协议介绍 21
3.7.2 IPv6过渡策略 22
3.7.3 IPV6 部署方案 22
3.8 WLAN无线交换网络设计 22
3.9 网络管理设计 25
2.9.1 IPFIX技术介绍 25
2.9.2 IPFIX 解决方案 26
3.10网络安全性设计 28
3.10.1 网络风险分析 28
3.10.2 网络安全解决方案 29
3.10.3 日志审计 30
第四章 川钢集团网络设备介绍及列表清单 32
4.1设备介绍 32
4.2 设备清单 36
川钢集团网络解决方案
第一章 川钢集团网络建设背景
1.1 川钢集团网络建设背景
目前,全球已掀起一股信息高速公路规划和建设的高潮。企业生产网的建设是推进企业发展、迎接信息经济时代的需要。在二十一世纪的企业发展中,世界各国都在加快企业现代化建设的步伐。
在跨世纪企业建设中,世界各国都在加快企业现代化的步伐,信息化程度的高低已成为当今世界衡量一个国家综合国力的重要标志。要想提高我国的企业信息化建设速度,就要将企业发展同社会社会信息,尤其是大众传播媒介的隐性关系融为一体,实现企业中人力、物力资源的多层次开发和合理配置。而运用现代生产技术建设生产网,营造可靠的企业网络文化氛围就是从根本上落实企业发展的战略地位,解放员工的生产力和公司的创造力,为现代企业发展增添创新优势。建设一个高质量、高带宽、多服务、范围广的整体生产综合信息网络势在必行。
川钢集团有限公司(简称川钢)是国务院国有资产监督管理委员会直接管理的中央企业。四十多年来,川钢依托四川地区丰富的钒钛磁铁矿资源优势,依靠自主创新推动钢铁钒钛产业跨越式发展,通过一期、二期等多期工程建设及近年来的技术改造和资本运营,已发展成为跨地区、跨行业的现代化钢铁钒钛企业集团。
川钢集团在四川省拥有多个生产基地,分别部署于泸州、成都、西昌、攀枝花等城市。随着企业的不断发展壮大,企业对信息化的依赖程度逐渐增高,可以说信息化的程度,将决定着企业的发展与未来。因此集团领导非常重视企业的信息化建设与发展。
目前,川钢集团正面临跨越式发展的良机,为了满足全公司生产发展需求,新一代的生产网建设提到了重要的议事日程上来;建成后的企业生产网将拥有高性能、高带宽、稳定可靠的网络传输环境。为大容量的企业信息资源库、视频服务器、数据库服务器、各种流媒体和各种应用平台提供有力的支持,实现办公自动化及办公收发文系统,为企业发展提供信息服务。
随着网络应用的普及深入,生产网在公司的生产、科研和管理中发挥着越来越重要的作用。网络应用遍及行政管理、财务管理、信息服务等各个方面,成为企业办公、科研、交流必不可少的手段和服务平台。
1.2 川钢集团网络现状
经集团信息化发展小组研究讨论,决定按成都、西昌、攀枝花、泸州这样的顺序,对这四个城市的生产网进行改造。
1、成都集团总部为 2 栋办公大楼,A 栋为主楼,18 层,B 栋为附楼6 层。
两栋楼之间由展览大厅走廊相连。
a) 中心机房及集团信息中心设置在 A 栋的6 层,UPS 在负一层。
b) A 栋与B 栋的一层是相连的,为长方型通透结构,长200 米左右,
宽30 米左右;需要考虑无线网络覆盖;
c) A 栋2 层到5 层,7 层到18 层平均每层在30 个信息点左右,最少28 个,最多36 个;
d) A 栋6 层信息中心办公信息点为60 个,数据中心服务器130 台(千兆);
e) B 栋2 层20 个信息点,3 层70 个信息点,4 层70 个信息点,5 层70个信息点,6 层20 个信息点;
f) 成都与其它几个城市的生产网互联采用电信租用的 20M 专线方式,不设置互联网出口。
2、西昌基地的生产网部署结构为 7 栋生产厂房(暂不考虑粉尘等因素),1栋7 层办公楼。
a) 信息中心设置在办公楼的 1 层,1 层有20 个信息点,10 台服务器(千兆);
b) 办公楼 2‐7 层均部署30 个信息点;
c) 每个厂房 40 个信息点,厂房信息点分部符合6 类线传输距离标准。
d) 厂房与办公楼之间全部采用千兆单模光纤互联;
3、攀枝花基地的生产网部署结构为 10 栋生产厂房(暂不考虑粉尘等因素),
1 栋11 层办公楼。
a) 信息中心设置在办公楼的 1 层,1 层有30 个信息点,20 台服务器(千兆);
b) 办公楼 2‐7 层均部署30 个信息点;
c) 每个厂房 20 个信息点,厂房信息点分部符合6 类线传输距离标准。
d) 厂房与办公楼之间全部采用千兆单模光纤互联;
4、泸州基地的生产网部署结构 1 栋10 层办公楼,6 个库房;
a) 信息中心设置在办公楼的 1 层,1 层有30 个信息点,5 台服务器(千兆);
b) 办公楼 2‐7 层均部署30 个信息点;
c) 库房采用全光纤网络结构,千兆光纤到桌面;每个库房8 个信息点;
d) 库房与办公楼之间全部采用千兆单模光纤互联;
e) 库房由于要求进行入库与出库的 RFID 检测,因此需要部署安全的无线网络,且库房全覆盖。每个库房面积在5000 平米左右,高20 米。
41 / 44
第二章 川钢集团网络改造需求分析
企业信息化是一个比较大的概念,包括的内容也非常多。最底层是基础网络平台,在基础网络平台之上,还有办公自动化系统、客户关系管理系统、企业资源计划系统等各种应用平台。由于所有的业务平台都承载在基础网络平台之上,所以必须保证基础网络平台的健壮性和稳定性。只有有一个好的网络平台,企业的各种信息平台和业务系统才能正常运转,也才能真正发挥信息化的优势,提高企业的业务效率,提升企业竞争力。
随着集团业务的发展,以及对信息化要求的逐年增高,视频会议系统、知识管理系统、高清视频监控系统、IP 语音电话系统等业务系统的上线与应用,对内与对外业务网的数据共享越来越多,随之也带来了生产网安全问题,一系列的问题与需求的出现,导致生产网越来越不能满足于现有的业务开展对网络的需求。因此,川钢集团信息化发展小组决定,将对全公司主要城市的生产网进行逐个全部改造,以满足日益发展的集团业务对信息化的需求。
2.1 川钢集团网络改造需求
2.1.1 基础网络平台需求
网络基础平台是企业信息化的核心,要求具有高可靠性、高性能、良好可扩展性以及端到端的QoS 服务质量保证。
高可用性必须是一个端到端的网络目标。网络设备、服务器集群、操作系统及网络接口卡必须作为一个统一的生态系统协同工作,以恢复任何服务器、链路或网络设备的故障。
在考虑设备硬件可靠性和连接链路冗余的同时,应关注网络系统在不同层次上对系统可用性的软件功能支持能力,另外容易被忽略的高可用性因素——统一的设备软件操作平台。如果不同设备采用不同的软件系统,兼容性、开放性和可扩展性都会受到影响。
在选择网络设备的时候,在对个别性能指标例如背板带宽、包转发速度等指标要进行重点关注,在进行比较的同时,还应考虑网络在真实应用运行环境中的性能。例如,在大量组播、对时延敏感的应用存在的情况下,设备的性能怎么样?
传统的可扩展性观念,主要是考虑是否可以增加模块、是否可堆叠以增加端口、是否可以增加设备等等,这只是网络可扩展性的一个方面。而人们长期忽视的另一个重要方面,就是网络在支持新应用和新业务方面的可扩展性。例如,你现在部署的网络,可能暂时不需要考虑VoIP 语音应用、VPN 应用,可是当企业今后需要这些应用的时候,网络架构能支持吗?还是需要全部推倒重来?
服务质量在应用系统较为简单的网络发展的初期,常常被对应于简单的概念,例如设备可以支持的队列数量等。在网络应用日趋复杂的环境下,如何在有限的网络资源里充分保障各类应用的实施,是一个非常复杂的问题,实施QoS,是端到端的概念,不是单个设备的问题,而是涉及整个园区网、甚至跨广域网的问题,就像城市交通一样,只是某一个路段宽阔,对于保持畅通几乎没有任何意义。QoS 的管理和部署可能需要涉及到不同城市、不同厂区、不同大楼的每一台网络设备,甚至每一个端口。因此,在选择网络设备和供应商的时候,要擦亮眼睛看看供应商的QoS 能做到什么程度。
2.1.2 移动互联网络需求
良好的移动互联网络主要包括无线局域网(WLAN)
无线局域网(WLAN)技术对于现代化企业而言,成为了继有线网之后的有一种主流网络应用技术。相对于有线以太网物理端口接入稳定、管理丰富而言,其可移动性却得不到满足,企业员工要求在企业的任何地方访问网络的需求就得不到满足。这时,无线技术作为一种补充的手段,就逐步为各企业所关注,其越来越完善的管理和安全特性也促使其有能力充当网络的一部分。在整个企业网络的构建中,核心及汇聚层的构建是非常重要的,但是,真正实现智能化、灵活性、高带宽、可运营等特性的网络,接入层设备的功能是支持整网拥有此强大功能的必要条件。WLAN 无线局域网技术随着近年来的逐步完善和发展,以其灵活性和与有线以太网络的互补性,成为局域网络接入层的一种补充手段。无线局域网技术的日趋成熟可以为此提供更加高效灵活的解决方案,通过无线网络,可以在企业的任何地方方便地访问企业内网及INTERNET,可以较少的投资获得空前的应
用灵活性。这样大大提高了企业办公/生产网络的灵活性,节约了开支降低了成本,进而提高了工作效率。
2.1.3 安全信息系统需求
企业网络覆盖的范围越来越大,应用越来越丰富,可能受到的攻击无处不在。网络安全性首先是一个系统的概念,防火墙是网络安全中的关键组件,但防火墙不是一把万能的安全锁,数据传输的安全性、入侵检测以及用户安全认证等都十分重要。网络需要全局安全,网络安全性的需求不仅限于园区网络,还要考虑与合作伙伴以及外网连接的安全性。在网络安全部署方面,如何高效地实施网络安全策略并有效管理各类网络安全设备,也是十分重要的。
2.1.4 网络管理系统需求
网络中设备日渐增多,交换机、路由器、防火墙、拨号访问服务器等等,不一而足;技术日趋复杂,以太网、千兆以太网、多媒体技术、语音、数据、视频集成、安全策略等等。随着IT 基础设施规模不断扩大,复杂程度不断提高,用户的要求更加苛刻,管理费用逐渐增加,故障费用越来越高,网络边界不断延伸,安全威胁越来越大。发生问题时无从下手;人才市场缺乏经验丰富、受过专业培训的网络管理员,所以这些因素都说明了一点,网络管理的方便性和人工成本是建设和改造网络时必须认真考虑的问题。目前,领先的网络设备供应商提供的方便性和人工成本是建设和改造网络时必须认真考虑的问题。目前,领先的网络设备供应商提供的网络管理工具已经实现了管理网络设备到服务管理的飞跃,而后期的网络设备供应商仍停留在简单的网络设备管理、看拓扑图的水平上。因此,只有选择领先的网络设备供应商,才能获得方便应用的网络管理方案。
2.1.5 数据资源中心需求
通过有效的经济的集中化的存储管理,打破传统以主机为核心的IT 架构,避免数据分散、高管理成本、存储设备重复投资、设备利用率低。通过数据的整合、集中,充分保证数据的安全、完整、快速被应用系统调用,又能保障高度的扩展性、数据的共享和相互利用。
2.1.6 融合统一通讯需求
通讯费用总是在企业运营成本中占有很大的比重,尤其是有分支机构的销售型企业。如何降低企业通讯费用已成为降低企业成本的重要一环。随着网络技术的发展和语音数字化技术的成熟,利用IP 网络传输语音信息已成为一种成熟的技术。电话网络与数据网络的融合可以节省客户的长途电话费用,减少维护两套系统的成本,并引入新的服务。
2.2 网络改造思路
n 增加主干带宽,提高核心性能。
n 适当提高网络的可控制性,增强抵御病毒和其它攻击的能力,保持网络相对稳定。
n 实现核心的设备冗余,以及核心到分中心的链路冗余,提高可靠性。
n 重点保证行政办公、科研实验场所、信息数据中心。
n 先完善核心和汇聚,保证主干稳定以后,再改造接入。
n 根据重要性程度,结合交换机的使用年限,有计划地更新接入层设备。
n 兼顾成本和性能,分布实施,国产与进口设备相结合,逐步向万兆企业生产网过渡。
第三章 川钢集团网络平台设计
3.1 网络系统设计原则
3.1.1 先进性和成熟性
系统设计既要采用先进的技术和方法,又要注意结构、设备的相对成熟。不仅能反映当今的先进水平,而且还要具有发展潜力,能保证在未来若干年内占主导地位,保证网络建设的领先地位,网络主干设备选用高带宽的、千兆位及万兆位线速路由交换技术。
3.1.2 高性能
系统建设应始终贯彻面向应用,注重实效的方针,保证系统具有足够的数据传输带宽,并为可预计的业务提供足够的系统容量和QOS服务质量,建设高性能网络系统,保护用户的投资。
3.1.3 开放性
系统设计需要考虑到开放性的设计,在网络的建设方面,采用模块化的网络结构和开放的技术标准,保证具有非常好的扩展性,并且可以非常好的和将来的技术标准平滑过渡升级。
3.1.4 可靠性和稳定性
随着现代企业对网络的依赖性越来越大,网络的可靠性和稳定性意义十分重大。在网络建设时应当从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。方案中涉及核心层设备,要求提供电源备份,模块的热插拔维护。核心层设备的系统模块,如交换引擎、电源模块等均能1+1冗余备份。在网络结构设计中,也考虑了一定的冗余和负载均衡,保证网络高可用性。
3.1.5 安全性和保密性
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、权限控制等,如划分VLAN、MAC地址绑定、ACL、PORT+IP+MAC绑定等。
3.1.6 可扩展性和可管理性
为了适应系统变化的要求,必须充分考虑以最简便的方法、最佳的投资,实现系统的扩展和维护,建议全线采用可网管产品,提供堆叠、集群功能,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性,实现网络的可维性。
3.1.7 结构化设计
接入层:连接终端设备,做为网络智能安全接入和策略的边缘;
楼宇汇聚设备:连接各个片区的楼宇接入设备,提供负载平衡、快速收敛和扩展性,完成路由选择,提供冗余。
区域汇聚层:连接各个片区的楼宇汇聚设备,提供负载平衡、快速收敛和扩展性,完成路由选择,提供冗余。
核心层:连接各汇聚设备或接入设备和服务器群设备,提供路由管理、网络服务、网络管理、数据高速交换、快速收敛,并完成高速转发。
出口:网络出口设计为区域互联或internet互联的接口,同时提供负载均衡、链路备份、快速切换等;以及在系统设计时考虑到网络出口安全性。
3.2 网络互联技术
结合国内企业生产网建设情况和川钢集团有限公司实际建设需求,在本次的解决方案中采用以太网的方式进行企业网的搭建。即骨干层与区域汇聚层之间采用万兆以太网方式连接,而接入层和汇聚层之间则采用千兆以太网连接。万兆/千兆以太网是IEEE 802.3以太网标准的扩展,传输速度为10/1Gbit/s,是超高速主干网的一种选择方案, 尤其适用于高容量数据、语音、视频等IP业务。万兆以太网的技术基本继承了过去以太网、快速以太网技术,因此在用户普及率、使用的方便性、网络的互操作性及简易性上皆占有极大的引进优势,在升级到万兆以太网解决方案时,用户不需担心既有的程序或服务是否会受到影响,因此升级的风险非常低。
对于网络稳定的保证,以太网技术可以通过多条线路的冗余连接实现,通过动态路由协议(如OSPF、ECMP/WCMP)进行路由的选择及负载均衡,可以在1-3秒内完成自愈恢复,保证网络的快速收敛。
3.3 企业网络架构设计
3.3.1 企业网络整体结构
川钢集团企业网络主要包含4个城市的园区网以及4个城市之间的互联网络,园区网提供给川钢集团各基地的生产和办公系统一个承载环境,整个网络需要24小时不间断的运行才能正常保证公司业务的开展。互联网主要完成整个企业集团内部不同地域企业之间的数据交换。总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。网络整体架构及各基地的园区网如下图所示:
川钢集团总分为四大基地。总部位于成都,各生产基地分别位于西昌、攀枝花、泸州。四大基地通过电信的20M专线相连。在各区域的网络边界部署有路由器,负责提供互联方案保证各区域之间网络的畅通。同时四大基地均在边界路由器的下面设置有高性能的防火墙。以便制定各种控制策略,保证网络的安全。各区域园区网按照三层结构的模块化方式设计,包括网络出口模块、核心骨干网、区域汇聚网、终端接入网、数据中心。
在川钢集团网络建设中,根据上述的组网方案和各地的实际情况,各地的组网方式略有不同。
3.3.2 成都总部
成都集团总部网络分成三大部分。核心层网络采用两台RG-S8610 高密度多业务IPV6核心路由交换机 ,双核心之间采用10G链路,并在核心层添加ipfix管理模块,实现对网络的管理监控。考虑到服务器区域的数据交换流量非常大,服务器群交换机采用RG-12000数据中心交换机用万兆光纤与分别与两台核心交换机互联,以保障数据交换的高速稳定与安全。汇聚层(楼宇交换节点)采用多台RG-S5750(可扩展万兆上联)高性能IPv6汇聚交换机作为楼宇区域汇聚设备,对上在端口使用链路捆绑技术将多条千兆链路聚合在一起达到增加带宽、提供冗余的目的,对下采用千兆与接入层设备相连,充分保证网络线路的带宽需求,真正达到企业网内部的高速数据交换。接入层通过部署支持硬件IPv6的RG-S2951系列安全智能交换机,采用千兆上联、百兆到桌面的解决方案。同时针对通道的无线区域采用支持POE供电的交换设备集中对AP进行供电,并将无线控制器安放在网络中心。已达到对无线安装简化、管理方便、集中的目的。
3.3.3 西昌地区
如上组网结构图,并根据西昌地区的实际情况。建议在网络核心区域采用单台RG-S8606核心路由交换机来负责内部数据的高数交换及转发。网络中心内的服务器通过数据中心交换机连接到核心层设备上。各汇聚层的设备同样采用RG-S5750高性能IPv6汇聚交换机,对上采用多千兆链路连接至核心层,对下采用千兆与接入层设备相连。对于厂房的接入设备建议选择支持千兆的RG-S2951系列交换机。组建千兆到桌面的高速网络来满足业务的需求。
3.3.4 攀枝花地区
攀枝花地区的组网形式和西昌基地大致相同。均是单台的RG-S8606作为核心设备。与汇聚区域的RG-S5750交换设备采用多千兆链路相连。在接入层方面采用支持千兆接入的RG—S2951系列交换机。
3.3.5 泸州地区
泸州地区的组网结构与西昌和攀枝花的组网模式也大体一致。采用单核心多汇聚的形式。库房的接入采用支持千兆和POE供电的RG-S2924GT-POE交换机。既达到桌面千兆接入的目的,也满足了对无线AP的供电需求。无线控制器放置在网络中心,便于集中管理。
3.4 网络构架设计优势
3.4.1 网络、设备的稳定性
核心交换机采用模块化核心高端交换机,提供双主引擎冗余,双电源冗余,有效保证设备硬件的稳定运行。同时,RG-S8610核心交换机的CPU硬件保护技术,有效保证设备CPU使用在最忙时不超过30%,保障设备及网络的稳定运行。
3.4.2 链路的可靠性
核心骨干网采用千兆和万兆链路连接,实现链路冗余,保障链路的可靠性;汇聚交换机与接入交换机通过千兆单模光纤链路连接,实现两条接入链路的负载均衡与热冗余,有效保障接入层到核心层的链路可靠性;
3.4.3 单台设备故障影响范围小
成都总部的核心交换机由于由2台设备组成,即使在一台核心交换机出现故障的情况下,整个网络不会出现故障,而核心交换机出现故障的几率非常小。
接入层采用可靠性较高的千兆交换机,一台接入交换机的范围只影响一栋楼。因此,一台接入设备出现故障,只影响到该栋楼的接入,对其他楼栋甚至整个网络都无影响。
3.4.4 灵活的平滑升级
未来随着业务的发展,某栋楼的流量需要万兆上行带宽,只需在该接入交换机上增加万兆端口,同时在核心交换机增加万兆端口,即可完成该楼栋的带宽扩容。扩容升级方便、灵活,也相对节省资金。
此种架构对整个网络的扩容非常方便。未来有新的楼栋需要接入园区网,即可将该楼栋的接入直接接入临近的核心交换机即可。
3.5 IP地址及VLAN规划
3.5.1 IP地址规划原则
IP地址规划应依据科学性、系统性、完整性及可扩展性原则,采用先进的网络编码技术,保证信息交换的效率和质量,既要在相当时期内保持技术的先进性,同时也充分考虑现期工程的可实施性,为了更加便于记忆和管理,在川钢集团网络建设中,网络IP地址规划采用统一的IP地址分配方式,保证IP地址的唯一性、连续性、可扩展性和高效性。
3.5.2 Vlan规划设计
在网络成为必不可少的工具、信息处理成为日常工作的重心后,VLAN技术的运用显得越来越重要。VLAN对于信息系统的意义体现在:
1. VLAN可以改善网络的通信效率。因为通信流量只局限于本子网中,不会对其它子网产生干扰。
2. VLAN可以避免广播风暴。在较大规模的网络中,大量的广播信息很容易引起网络性能的急剧降低,甚至使网络瘫痪。而VLAN使广播只在子网中进行,不会作无意义的扩散,从而消除了广播风暴产生的条件。
3. VLAN大大增强了网络及其信息的安全性。因为子网间无法随意进行访问,信息流通得到相当好的控制。
4. VLAN使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限,也就是说网络规划完全不会受到物理的限制。
3.5.3 VLAN划分策略
Ø 企业核心网络划分独立的VLAN
Ø VLAN的划分与部门对应;
Ø 集团内部敏感信息(如:财务部门)划分一个VLAN;
Ø 资源中心的服务器功能群划分不同的VLAN,便于实现不同的安全策略和措施;
Ø 网络设备管理划分独立的VLAN;
Ø 集团科研部门划分独立VLAN;
川钢集团企业网IP地址及vlan具体规划:
成都总部
范围
信息点
Vlan ID
网段
设备管理
1
172.16.0.0/24
服务器群
130
2
172.16.1.0/24
信息中心
60
3
172.16.2.0/25
无线网络
4
172.16.2.128/25
A—2F
30
5
172.16.3.0/26
A—3F
30
6
172.16.3.64/26
A—4F
30
7
172.16.3.128/26
A—5F
30
8
172.16.3.192/26
A—7F
30
9
172.16.4.0/26
A—8F
30
10
172.16.4.64/26
A—9F
30
11
172.16.4.128/26
A—10F
30
12
172.16.4.192/26
A—11F
30
13
172.16.5.0/26
A—12F
30
14
172.16.5.64/26
A—13F
30
15
172.16.5.128/26
A—14F
30
16
172.16.5.192/26
A—15F
30
17
172.16.6.0/26
A—16F
30
18
172.16.6.64/26
A—17F
30
19
172.16.6.128/26
A—18F
30
20
172.16.6.192/26
B—2F
20
21
172.16.7.0/26
B—3F
70
22
172.16.7.128/25
B—4F
70
23
172.16.8.0/25
B—5F
70
24
172.16.8.128/25
B—6F
20
25
172.16.7.64/26
西昌基地
范围
信息点
Vlan ID
网段
设备管理
1
172.16.16.0/24
服务器群
10
2
172.16.17.0/26
信息中心
20
3
172.16.17.64/26
2F
30
4
172.16.18.0/26
3F
30
5
172.16.18.64/26
4F
30
6
172.16.18.128/26
5F
30
8
172.16.18.192/26
6F
30
9
172.16.19.0/26
7F
30
10
172.16.19.64/26
C—1
40
11
172.16.19.128/26
C—2
40
12
172.16.19.192/26
C—3
40
13
172.16.20.0/26
C—4
40
14
172.16.20.64/26
C—5
40
15
172.16.20.128/26
C—6
40
16
172.16.20.192/26
C—7
40
17
172.16.21.0/26
攀枝花基地
范围
信息点
Vlan ID
网段
设备管理
1
172.16.32.0/24
服务器群
130
2
172.16.33.0/26
信息中心
60
3
172.16.33.64/26
2F
30
5
172.16.34.0/26
3F
30
6
172.16.34.64/26
4F
30
7
172.16.34.128/26
5F
30
8
172.16.34.192/26
6F
30
9
172.16.35.0/26
7F
30
10
172.16.35.64/26
C-1
20
11
172.16.35.128/26
C-2
20
12
172.16.35.192/26
C-3
20
13
172.16.36.0/26
C-4
20
14
172.16.36.64/26
C-5
20
15
172.16.36.128/26
C-6
20
16
172.16.36.192/26
C-7
20
17
172.16.37.0/26
C-8
20
18
172.16.37.64/26
C-9
20
19
172.16.37.128/26
C-10
20
20
172.16.37.192/26
泸州基地
范围
信息点
Vlan ID
网段
设备管理
1
172.16.48.0/24
服务器群
5
2
172.16.49.0/26
信息中心
30
3
172.16.49.64/26
无线网络
4
172.16.50.0/24
2F
30
5
172.16.51.0/26
3F
30
6
172.16.51.64/26
4F
30
7
172.16.51.128/26
5F
30
8
172.16.51.192/26
6F
30
9
172.16.52.0/26
7F
30
10
172.16.52.64/26
K-1
8
11
172.16.53.0/27
K-2
8
12
172.16.53.32/27
K-3
8
13
172.16.53.64/27
K-4
8
14
172.16.53.96/27
K-5
8
15
172.16.53.128/27
K-6
8
16
172.16.53.160/27
3.6 网络路由设计
网络互联互通的关键是路由的畅通,路由的算法、最佳路径的选择最为直接影响到整个网络的性能,选择一个合适的路由协议和合理的规划路由策略至关重要。根据川钢集团的组网结构及IP地址的规划情况。在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan间的数据转发而需要路由协议时,建议在企业网络中使用OSPF路由协议。
OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议——OSPF。
OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。
在川钢集团的四大基地网络内部,使用OSPF作为路由协议。按照成都、西昌、攀枝花、泸州的顺序分别使用OSPF的区域1、2、3、4。将四大基地互联的区域设置成OSPF的0区域。这样企业就能实现全网路由的连通。为企业提供稳定、高效的网络环境,保证企业业务的展开。
3.7 IPv6解决方案
3.7.1 IP协议介绍
随着IP业务的迅速增长,IP网络上应用的不断增加,原有的IP网越来越显得力不从心。IP网络正在向下一代网络演进。IP网的网络协议理所当然地也应相应改变。目前使用的IP协议是IPv4。IPv4是70年代制定的协议,随着全球IP网络规模的不断扩大和用户数的迅速增长,IPv4协议已经不能适应发展的需要。IPv6是90年代提出的,IPv4的不足可以在IPv6中得到改进。IPv6有许多优良的特性,尤其在IP地址量、安全性、服务质量、移动性等方面,其优势更加明显。采用IPv6的网络将比现有的网络更具扩展性,更安全,并更容易为用户提供高质量服务。
IPv6的技术优势是明显的,但是IPv6应用所面临的一个重要问题就是如何部署IPv6网络。目前的Internet网络以IPv4为主导,不可能一次性地将网络的所有设备升级为IPv6,可以肯定的是,一定是分步骤分阶段的进行部署实施。为此IPv6必须提供多种过渡技术来解决部署问题。
3.7.2 IPv6过渡策略
由于IPv6刚刚起步,很多标准还不完善,很多技术还没有经过大范围、大流量的考验。IPv6技术现在正处于完善的阶段。因此,在建设IPv6网络初期,应当选择具有升级能力的网络设备,应当考虑与现有IPv4网络的互通性。由于IPv4网络资源丰富,上面有很多业务,因此要考虑怎样在IPv6网络上访问IPv4网络的资源。
应当选择响应速度快、服务好的厂商。由于IPv6还处于发展期,会出现很多新功能,新技术,因此设备的版本升级必然比较频繁。同时用户可能根据自己的实际情况,对设备厂家提出一些特色需求。为此应当选择响应速度、服务好的厂商。
应当不要选用有私有协议、专利技术的厂家设备。这些厂家的设备不能很好的和其他厂家的设备互通。为以后升级、扩容造成很大麻烦。
3.7.3 IPV6 部署方案
最理想的选择是利用支持双栈技术的多业务万兆核心路由交换机(如RG-S8610系列)作为企业骨干网IPv4/v6过渡设备。实现同时与IPv6网和IPv4网的互通。此方案同时支持IPv6/IPv4两种业务流,不影响目前企业主要的IPv4业务,满足企业在IPv6应用时的过渡网络环境。
IPv4/IPv6共存开通建议:
企业网内部V6-V6、V4-V4业务,通过双栈设备实现业务的互连,不涉及IPv6协议与IPv4协议的转换,与普通单网络业务转发模型类似;
企业网内部V6-V4业务互通,利用核心路由交换机作为协议转换设备,运行NAT-PT协议进行转换;
3.8 WLAN无线
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
