- 工程概况
本工程为XXXX企业网络系统工程,工程地点位于四川市武侯区映潮企业,本次施工是对映潮企业内办公大楼、生产厂房、服务器机房的网络建设,共计1个核心机房、3个汇聚机房、2个弱电间。
- 工程项目内容
本项目于2021年02月17日开工,计算机网络呈星型拓扑结构,综合布线采用千兆主干网络,自适应到桌面的企业网络方案,把企业的各个资源联系起来,另外,企业通过500M电信带宽线路把互联网系统接入企业网内。
综合布线部分包括水平主线槽安装、垂直分线槽安装;楼墙开孔52个,其中财务部2个、销售部11个、技术支持5个、运维部2个、研发部5个、一号车间12个、二号车间6个、三号车间6个、服务器机房3个;超五类双绞线布放215条;明装线盒52个;面板安装52套;RJ-45模块215套;100×50竖井垂直主干桥架安装(机房-各楼层);80×40水平主干线槽安装(主干桥架至各办公室);机柜安装共1个(安装在核心机房42U落地式机柜);48口交换机调试;24口交换机调试;防火墙调试;超五类线缆测试215条。
- 项目需求分析
3.1、性能需求:网络采用技术成熟的星型以太网交换结构,骨干网络采用千兆互联,接入层使用千兆带宽到桌面的高性能网络;
3.2、应用需求:建立可满足多种应用的高质量信息网络,其应用包括日常办公、安全、生产及经营信息交流等业务,同时,还要满足为企业行政、计算机管理、监控、Internet上网等语音、数据、图像数据的接入和传输需求;
3.3、网络管理需求:建成的网络要求可进行集中式、可视化图形管理,可自动发现网络拓扑,网络管理员可及时发现网络故障点并予以排除,并可及时隔离非法访问用户,以保证整个网络高效、安全、可靠的运转;
3.4、安全需求:要保证企业内部关键设备、关键数据、关键应用的安全,禁止未经授权的非法用户访问;要求网络能有效隔离各子网之间未经授权的相互访问;保证企业对Internet的安全、可靠访问。
- 项目设计原则
4.1、实用性与先进性
在网络的设计中,首先考虑的是实用性、可操作性、易于管理性,即易于用户掌握和学习使用;同时采用先进的、技术成熟的网络技术、设备及通信技术,以延长网络的有效使用周期。
4.2、开放性与标准化
采用开放式的体系结构使网络易于扩展,使相对独立的分系统易于进行组合调整。采用标准化的设计能使网络具有适应外界环境变化的能力,当外界环境改变时,系统可以不作修改或仅作少量修改就能在新环境下运行。
4.3、可靠性与安全性
网络系统安全可靠运行是整个系统建设的基础。鉴于企业信息网络中数据的重要性,要求网络系统要有较高的可靠性,各级网络应具有网络监督和管理能力,能够进行在线修复、更换和扩充,要确保系统、数据传输的正确性及防止异常情况所需的保护性措施。
4.4、经济性
整个企业信息网络系统必须具有良好的可扩充性和升级能力,且其扩充和升级必须要以降低成本为前提。
4.5、网络高性能及扩展的灵活性
在保证网络高性能的同时,还兼顾到用户对未来网络扩充性的要求。在设计中需提供良好的、灵活的扩展空间,以满足在未来网络发展过程中对核心交换能力、端口密度,以及联接的扩展需求。
4.6、建设面向未来的多服务网络
建造和维护一个能够适合现在且面向未来的多业务网络是必要的,多服务网络必须考虑到所设计的体系结构中各种数据、语音、视频等综合于一体,以便适应新的不断变化的应用需求及增长需求。
4.7、可管理性
要求在网络管理中采用先进的、可视化的管理技术。通过单一的网管平台,可以对网络中的交换流量、虚拟网的划分、网络骨干的流量,数据传输过程中用户关心的网络状态及服务进行实时的可视化的管理,从而提高网络的管理能力和监控能力。
4.8、易操作性
采用良好的人机界面,以便整个信息网络的操作及故障诊断更为简易。
- 拓扑设计
图1 网络拓扑
整体网络架构如上图所示,分为办公网、生产网和服务器中心三部分。
办公楼在楼层弱电间部署接入交换机,多台接入交换机通过千兆光口与上层楼宇汇聚交换机连接。每栋楼在汇聚机房部署两台汇聚交换机,用于汇聚本楼层内的所有接入交换机链路,并为保证网络稳定性,同一汇聚机房中的汇聚交换机通过万兆光纤堆叠成一台,堆叠后的两台交换机分别出两个千兆光口通过链路捆绑后与上层核心交换机连接。
2台核心交换机也可选择是否堆叠为一台设备,已增加网络健硕性。核心交换机连接服务器区域汇聚交换机设备,并作为各个服务器的网关设备,将企业内部网络与服务器连接起来。
核心交换机通过千兆电口链路上联安全网关,安全网关采用下一代防火墙高性能防火墙,防火墙采用非X86架构,双主控,双电源,集成开启防火墙、入侵防御、AV防病毒功能。安全网关通过万兆链路连接运营商出口以及集团专线。
- 光缆路由设计
企业网络采用单星型网络结构,主干采用光纤连接
主干路由设计详见表1
表1 企业网络主干路由设计表 |
|||
起点(交换机数量) |
终点(交换机数量) |
光纤类型 |
距离(m) |
核心机房(2台) |
服务器机房(2台) |
千兆多模(双芯) |
80 |
核心机房(2台) |
厂房汇聚机房(2台) |
千兆多模(双芯) |
600 |
厂房汇聚机房(2台) |
一号车间弱电间(1台) |
千兆多模(双芯) |
200 |
办公大楼汇聚机房(2台) |
办公大楼弱电间(2台) |
千兆多模(双芯) |
130 |
- VLAN的规划
7.1、概述
虚拟局域网(VLAN)是从传统的局域网(LAN)概念上引申出来的,两者在功能和操作上基本相同,不同的是VLAN依据协议、MAC地址或端口在逻辑上将网络划分为若干部分。
VLAN的作用是使得同一VLAN中的成员之间能够通信,而不同VLAN用户之间相互隔离,如果需要通信,必须通过路由设备。VLAN使网络管理简单化,可以减少工作站移动和变化所需的费用,方便地进行逻辑分组,添加、删除和修改用户信息以及通过网络流量测试工具进行计费等工作。此外VLAN可以将广播风暴遏制在本 VLAN的范围之内,使其他VLAN用户不受影响,大大节约了网络带宽,提高了带宽利用率。
7.2、端口VLAN划分
基于端口的VLAN划分方式是较常用的一种划分方法,其原理是按照用户交换机端口来定义VLAN用户,即VLAN从逻辑上把局域网交换机的端口划分开来,然后根据用户需要的IP地址在VLAN中划分子网(子网是将Internet地址中的主机地址空间进行细分,可有效提高网络可靠性、灵活性、适应性和地址资源利用率)。端口VLAN划分分为单交换机端口VLAN划分和多交换机端口VLAN划分两种方式,前者只支持在一台交换机上指定若干的端口组成VLAN,而多交换机端口VLAN划分则可以使一个VLAN跨越多个交换机,并且同一个交换机上的端口可以属于不同的VLAN.端口VLAN划分能够较好地进行用户管理,减少广播风暴,并且安全性也较高。但IP地址利用率不高,原因是一个完整的子网由网段地址、网关地址、用户地址和广播地址组成。这样,只包含一个用户的VLAN就由4个IP地址组成,而真正被用户使用的IP地址只有一个(用户地址)。我们知道,IP 地址是一种有限的资源,这样的划分方法将带来IP地址的浪费,因此端口VLAN方式的地址使用率较低。
7.3、VLAN划分参考表
VLAN划分表如表2所示:
表2 VLAN划分表 |
|||
序号 |
VLAN |
子系统名称 |
备注 |
1 |
10 |
财务 |
需要虚拟VLAN网关 |
2 |
15 |
销售 |
需要虚拟VLAN网关 |
3 |
21 |
技术支持 |
需要虚拟VLAN网关 |
4 |
22 |
运维 |
需要虚拟VLAN网关 |
5 |
23 |
研发 |
需要虚拟VLAN网关 |
6 |
100 |
车间1 |
需要虚拟VLAN网关 |
7 |
110 |
车间2 |
需要虚拟VLAN网关 |
8 |
120 |
车间3 |
需要虚拟VLAN网关 |
9 |
80 |
OA |
需要虚拟VLAN网关 |
10 |
81 |
ERP |
需要虚拟VLAN网关 |
11 |
85 |
生产控制 |
需要虚拟VLAN网关 |
12 |
86 |
生产数据 |
需要虚拟VLAN网关 |
13 |
90 |
服务器管理 |
需要虚拟VLAN网关 |
14 |
255 |
交换机管理 |
|
15 |
255 |
交换机管理 |
|
16 |
255 |
交换机管理 |
|
17 |
255 |
交换机管理 |
|
18 |