网络设计说明

网络系统设计说明

一、网络设计思路

基地网络规划的总体目标是满足系统未来5-10年业务发展对网络基础平台的需求。主要目标包括：

高可用性：高可用性是指一方面要保证导致网络不可用的设备故障时间极短(秒级)，另一方面，还要要保证网络能够满足各类数据传输的需求，不会因性能下降而导致不可接受的响应时间。

可扩展性：网络必须能够支撑企业的生产规模不断增长的过程。同时，应用发展对网络的需求是不断变化的，网络应用系统为了满足这些需求也会随之变化。面

对不断变化的情况和需求，网络应当能够作出快速和有效的反应。因此，网络必须

具备良好的可扩展性，应支持核心业务系统的不断扩展，适应未来业务的发展和变

化。网络的扩展性不但表现在网络设备本身的物理扩展能力，支持的模块能力，对

新的应用的支持能力；更应该考虑网络结构应当能够变化，具有灵活的伸缩能力，

不能因为网络的扩展而降低网络的可用性。

可管理性：随着网络规模的不断扩大和网络的不断复杂，网络的维护量随之增加。整个网络的可管理性变得尤为重要。因此，网络系统应当具有统一的可管理性，建立统一的网络管理平台。不仅实现对网络设备的管理，同时实现对网络策略的管

理和不同协议的多级维护。没有管理的网络一定是不安全的网络。管理是人的工作，但是需要有强有力的技术工具帮助我们达到既定的管理制度。

先进性：先进性是指，采用国内外领先的网络产品和相关技术，支持业界常见的网络应用协议，支持现有业务和将来增加的新业务，保证骨干网上各类业务可靠

传输和服务质量，满足未来5-10年业务快速发展的需求。

基地网络规模比较大，接入节点数目比较多，生产数据在网络上的传输也必须保证端到端的安全，各业务隔离需求就显得比较迫切。随着业务的快速增长，园区

网络的建设也在持续进行，园区网络的扩展性也就非常重要。针对园区网络建设的

这些特点，对基础的网络平台建设必须遵从如下设计要求：

三、网络设计说明

1、网络结构与分布

本方案中，采用星形拓朴的设计方式，采取层次化的网络设计方式，网络中分为接入区、汇聚区、及核心区，具体连接方式如上图所示。

层次划分如下：

●在园区接入层区采用三层结构，网络分为核心层、汇聚层、接入层。整个园区划分

为若干个区域，每个区域设置一个汇聚点，每个汇聚点上行接入园区核心设备，下

行接入本区域的接入层设备（对于距离较远、信息点数量较少的接入交换机，直接

通过千兆光纤接入核心）。

核心层设计要点

核心层：提供高速的三层交换骨干。

●核心层不进行终端系统的连接；

●核心层不实施影响高速交换性能的ACL等功能，可以配置专用的安全模块予以实现。

汇聚层设计要点

汇聚层：作为接入层和核心层的分界层，汇聚层完成以下的功能：

办公、生产业务功能的汇聚，即办公生产业务采用同一个汇聚节点；

各功能分区IP地址或路由区域的汇聚；

本功能区VLAN 间的路由；

广播域或组播域的边界；

在汇聚层实施功能区内、功能区之间的安全访问策略。

接入层设计要点

接入层：提供Layer2的网络接入，通过VLAN划分实现接入的隔离。在接入层设计

时，应考虑以下几点：

接入层接入端口规划容量应根据实际使用情况考虑扩展性；

各功能分区的接入层相对独立；

不同类型的接入层应各自分开，主要为办公终端和生产中断的接入，连接到对应功能区的汇聚层。

服务中心的网络机房部分，两台全千兆交换机直接以千兆非屏蔽双绞线上连到核心交换机；

所有汇聚交换机都是千兆链路上连到核心交换机；

核心交换机通过过防火墙的安全保护，通过高性能千兆出口路由器分别连接电信、联通两大运营商，以实现到互联网、及互联网访问内网的高速通畅。

2、核心交换机的选型

在这个方案里，考虑到网络规模、网络性能及可扩展性等多种需求后，对中心交换机推荐使用配置了冗余电源的H3C 7503E-S交换机。

H3C 7503E-S系列产品是H3C面向融合业务网络推出的新一代高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C 7503E-S符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。

3、汇聚层设备选型

汇聚层交换机我们选用H3C 5500-24P-SI交换机，H3C S5500-SI系列交换机是H3C 公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的集群管理功能，用户能够简化对网络的管理。S5500-SI系列千兆以太网交换机定位为企业网和城域网的汇聚或接入，同时还可以用于数据中心服务器群的连接。

随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE链路将是我们的未来发展方向。S5500-SI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。此外，每槽位还可以支持双端口SFP扩展模块。S5500-SI系列硬件支持IPv4/IPv6双栈，其中IPv4支持静态路由和RIP协议，IPv6支持静态路由和RIPng 协议。同时支持IPv6的ACL和网管，实现IPv4到IPv6的平滑升级。

支持PoE（Power over Ethernet）技术，通过支持POE和Voice Vlan技术结合可以提供完整的语音设备管理方案，很好地解决了大量的IP PHONE的智能检测、供电和优先级的调整问题。

4、接入层设备选型

接入层采用H3C S5120-SI全千兆以太网交换机，H3C S5120-SI系列以太网交换机是H3C 自主开发的全千兆以太网交换机，广泛应用于企业网和园区网的接入层。提供灵活的全千兆以太网端口的接入密度、丰富的业务特性、统一的集群配置，为用户提供高性能、低成本、可网管的千兆到桌面的解决方案，是千兆接入的理想选择。

H3C S5120-SI系列全千兆以太网交换机提供灵活的16/24/48个10/100/1000M自适应电口接入；并且支持非复用的SFP插槽，充分考虑用户的带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用户投资。H3C S5120-SI系列硬件支持最大104Gbps交换容量，保证所有端口二层线速交换。

5、连接线路选择

在连接线路选择方面，由于核心交换机与汇聚层交换机之间的距离较远，使用单模千兆光纤进行连接，可保证数据的可靠性。

汇聚层交换机与接入层交换机之间的距离较近，选择使用千兆非屏蔽双绞线（100米）进行连接。

网络内部各服务器由于也会放置在机房里，推荐使用千兆非屏蔽双绞线方式直接连接到核心交换机上。

接入交换机到PC之间的距离，需要保证必须小于100米，在这种情况下，直接采用非屏蔽双绞线提供1000M到PC的连接。

6、Internet出口设计

PC用户直接以其所在VLAN的Interface为默认网关，访问Internet的数据由核心交换机通过防火墙透明连接后，使用静态路由方式转发到出口路由器上，从而实现对Internet资源的共享。

互联网出口采用H3C SecPath U200-A作为出口安全防护设备，H3C SecPath U200-A是H3C公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL