武钢成都现代综合物流园网络方案技术建议书.doc

武钢成都现代综合物流园网络方案 技术建议书 目录1. 项目背景 32. 总体网络系统设计 32.1 需求分析 32.2 设计原则 43. 网络设计方案 53.1 网络拓扑图 53.2 建议方案说明 54. 技术介绍 94.1 VLAN技术介绍 94.2 堆叠 94.3 集群 115. 方案整体特点 145.1 万兆核心、千兆骨干、百兆到桌面 145.2 网络安全可信 145.3 网络稳定可靠 155.4 高性能数据转发 155.5 先进的第五代无线架构，性能强大，可以平滑升级 156. 产品介绍 156.1 QUIDWAY® S9300系列T比特核心路由交换机 156.2 QUIDWAY® S7700系列智能路由交换机 236.3 QUIDWAY® S2700系列企业网交换机 316.4 WS6603无线控制器 356.5 WA603SN室内放装型AP 397. 华为技术有限公司简介 431. 项目背景2. 总体网络系统设计2.1 需求分析随着企业信息化建设不断深入，企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展，对于企业园区网的建设要求越来越高。

传统园区网建设初期往往面临如下问题：网络架构较为混乱，不便于扩容和维护管理园区网在建设初期，设备和光纤/电缆随意布放，缺乏统一的网络分层规划管理，网络拓扑相对混乱，不便于对网络性能瓶颈进行正确评估和有效扩容，给日常网络管理也带来很大难度网络可靠性规划不合理，影响企业生产和经营管理、造成投资浪费由于缺乏有效的园区网规划，对于网络可靠性考虑不够，网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为，同时也存在网络过度冗余、造成投资浪费的现象网络信息安全存在隐患 网络安全性是园区网建设的重中之重，传统园区网安全漏洞较多，无法应对内外部用户日益猖獗的网络攻击行为（例如：对园区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息），对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络，网络层面的安全保证和防御措施也不到位，造成园区网的脆弱和易攻击无法满足日益增长的网络业务需求随着企业的业务发展，出现了基于园区网基础设施的丰富增值业务需求，例如：网络接入形式要求多样化，支持WLAN无线接入，满足移动办公、大区域无线缆覆盖等特殊要求；对于企业用户访问外网进行计费，计费策略可灵活设置（时长计费、流量计费、按目的地址计费）；企业多出口链路场景下的负载均衡、灵活选路需求。

传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑，支持这些业务存在园区网络分散建设、重复投资的问题缺乏简单有效的网络管理系统，企业IT网络运维部门面临很大压力当前，企业网IT运维部门面临很大的网络运维压力，来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象，网络故障诊断、分析定位过程对于IT运维人员的技术能力和经验水平要求较高，缺乏简单有效/低成本的图形化网管工具、进行实时网络拓扑显示、状态监控和各种故障事件预警/告警展示另外，IT运维部门也需要实施统计园区网各路径的流量信息，便于对网络带宽进行管理和规划，给后续网络扩容提供参考2.2 设计原则安全性安全性是企业园区网建设中的关键，它包括物理空间的安全控制及网络的安全控制需要有完整的安全策略控制体系来实现企业园区网的安全控制可靠性、可用性高可靠性是园区网提供使用的关键，其可靠性设计包括：关键设备冗余、链路/网络冗余和重要业务模块冗余关键设备均采用电信级全冗余设计，可实现单板热拔插、冗余的控制模块设计、冗余电源设计采用冗余网络设计，每个层次均采用双机方式，层次与层次之间采用全冗余连接提供多种冗余技术，采用高效、负载均衡的双机备份。

可采用交换机的集群或者堆叠技术，在不降低网络可靠性的前提下，减化网络架构可扩展性园区网方案设计中，采用分层的网络设计；每个层次的设计所采用的设备本身都应具足够高的端口密度，为后续园区网扩展奠定基础在园区出口层、核心层、汇聚层的设备都采用模块化设计，可根据园区网的发展进行灵活扩展功能的可扩展性是园区网随着发展提供增值业务的基础实现防火墙、负载均衡、WLAN接入、认证计费等功能，为园区网增值业务的扩展提供基础 可维护、可管理性网络可管理性是园区网成功运维的基础应提供低成本、简单有效的园区网统一网管系统，对园区网所有网络设备进行管理，包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计 3. 网络设计方案3.1 网络拓扑图物流园区网络结构图3.2 建议方案说明根据武钢成都现代综合物流园区网络建设的现有需求，并考虑到未来的发展趋势，需要建立一个统一的信息传输网络，满足数据、语音、视频、图像、多媒体等相关信息的传输，可以实现计算机管理系统、办公自动化系统、上网访问（Internet）等应用为了能够更好地实现网络安全方面的控制，我们根据现在网络的安全问题将安全控制实现在接入层从而大大减轻了核心设备的压力，也保证了设备的稳定高效运行，而且在各个系统运作时需要通过VLAN划分和物理路由相互隔离。

为了满足这样一个网络构架，要求各款网络设备能够很好的支持网络数据线速交换，提供二到七层的智能流分类和完善的服务质量（QoS），支持丰富的组播特性以及完善的高性能组播动态路由协议，并可以根据网络实际使用环境实施灵活多样的ACL访问控制策略，能有效防止和控制病毒传播和网络攻击由于网络中心核心设备的稳定和安全性能是整个网络最重要的保障，因此必须要求核心交换机具有优良的性能和高可靠性，必须采用大交换容量的交换背板，以保证任何情况下网络的每个端口均可具备全线速多层交换能力，能够保证传输带宽和数据传输优化等关键应用，从而为整个网络提供了稳定和快速的基础此次统计出来的数据信息点大概有7000个左右，由于信息点的数量庞大，所以新建一个强大的网络体系是此次物流园区建设的关键所在为了满足数据、语音、视频、图像、多媒体等相关信息的传输，我建议此次网络遵照标准的“核心－汇聚－接入”三层设计理念，核心层设备主要用于高效地执行路由管理、网络管理、网络服务、核心数据处理等功能；汇聚层设备则主要用于汇聚各接入交换机，该交换机需要具有完善的三层功能，在提供高效数据转发的同时，能够提供强大的安全控制功能，可在部分重要区域（例如服务器区、财务部等）部署汇聚交换机；接入层交换机则直接面向终端用户，提供信息点接口。

整个网络分层次的结构便于管理，有利于未来网络规模的扩展，同时也方便我们灵活地设计网络带宽建议核心层与汇聚层之间的骨干网传输带宽为千兆，并且支持随时随地升级到万兆的能力；汇聚层与接入层之间的传输带宽为千兆并且百兆直接至用户接入层到汇聚层、汇聚层到核心层之间均采用双链路上行的方式连接，在保证网络带宽的同时还能起到负载均衡以及保证网络的健壮性采用分层模型进行网络设计具有如下特点:可缩放性因为实现了功能的本地化，容易识别潜在的问题，因此遵循分级设计的网络可以在不牺牲对网络的控制和管理的条件下大规模增长易于实现分级设计清晰地将每项功能分配级相应的层，因此使网络实现更容易易于排除故障因为每一层的功能都是经过良好定义的，因此隔离网络问题通常并不困难可预测性使用分级模型的网络具有较高可预测性，从而可以比较容易地规划网络的增长协议支持因为网络基础设施以逻辑方式组织在一起的，因此，在遵循分级设计的网络里将现在和将来应用或协议结合是非常简单的易于管理使用分级设计的直接结果就是可以实现有效的网络管理在产品选型方面我建议考虑以下几个方面：产品成熟、先进度：尽量选用知名的、技术成熟先进的品牌的产品；性价比高：在保证性能指标的情况下，优先选用性价比高的、日后维护方便、维护费用低的产品；耗能低、投资回报高：在保证性能指标的情况下，优先选用耗电量更低、更加节能环保的产品。

我选用的核心交换机为华为S9312核心交换机，具有12个业务插槽，另有两个插槽可以用来插管理引擎，提供引擎的冗余电源方面提供1+1冗余电源，大大增加了电源的冗余性支持“持续智能交换”功能，即不仅可以提供引擎的热插拔，还可以在管理引擎进行故障切换的过程中，保持所有原有连接，而不会引起的网络流量的中断背板带宽达到12Tbps，包转发率达到了1320Mpps，完全可以满足所有网络数据的线速转发设备支持防火墙板卡，能有效的提高网络的安全性设备支持模块化电源，提供电源的1+1或2+2备份；支持IPv6转发功能，由于IPv6是今后网络部署的趋势，所以具有很高的扩展性，日后再做IPv4-IPv6升级时，无需更坏硬件设备，即可迅速部署IPv6网络，节约了大量的后期人力、资金等投入核心采用两台S9312核心交换机，并启用华为css集群技术，把两台核心设备虚拟成一台设备；这样除了能起到核心层设备的冗余备份以及负载均衡以外，还能提高整个核心层设备的处理性能，同时配合汇聚层设备启用E-TRUNK技术解决由于设备繁多而引起的网络环路问题我选用的汇聚交换机为华为S7706智能路由交换机，设备的背板带宽为2.4Tbps，包转发率为1080Mpps；设备为模块化框式设备，拥有6个业务槽位，能满足接入层交换机千兆光纤上连的需求；设备支持丰富的业务板卡，可以满足万兆上连的需求，同时支持CSS虚拟化技术，能实现交换机虚拟化功能；设备支持模块化电源，提供电源的1+1或2+2备份；外置电源可以很好的保证设备故障修复时间。

一般来说，网络设备硬件本身发生故障，很大一部分是由于电源出现问题，所以当电源发生故障时，只需更换备份电源即可，无需将设备返厂，这样便提高了网络运行效率，大大的缩减了由于设备故障而引起的网络中断时间我选用的接入层交换机为华为S2700-24TP-EI或S2700-52P-EI,设备分别拥有24个和48个电口，并能提供2个千兆光电复用口和4个千兆光口；交换机支持堆叠功能，堆叠之后的所有交换机逻辑上形成一个类似模块化交换机的虚拟机箱，并会自动选择一台主控设备用于统一管理虚拟机箱内的其他交换机除了主控设备之外，其他所有交换机都可作为虚拟机箱的备份交换机，当主控设备发生故障时，备份交换机会自动接替主控交换机的工作，统一管理其余交换机接入交换机具有系统恢复功能，即如果在日常的网络维护管理过程中，出现人为的设备配置错误（如软件升级）而引起的网络故障，只需将系统恢复至之前正确配置模式即可，无需等待专业技术人员到场，大大缩短了故障修复时间支持IPv6转发功能，由于IPv6是今后网络部署的趋势，所以具有很高的扩展性，日后再做IPv4-IPv6升级时，无需更坏硬件设备，即可迅速部署IPv6网络，节约了大量的后期人力、资金等投入。

接入层交换机为三层可网管交换机，便于管理维护；设备具有6KV的防雷能力，确保设备在恶劣条件下正常工作我选用的网络管理软件为华为Esight企业级网管软件，系统除了能有效的对华为数通产品进行有效管理以外，还能对目前主流厂商的网络产品以及终端服务器、打印机、桌面PC等设备全方位管理；具有流量管理、应用系统管理、桌面安全管理、上网行为管理等实用的管理功能我选用的无线控制器为华为WS6603无线控制器，设备具有大容量、高性能、高可靠的亮点，最少能管理64个无线AP，背板带宽达128Gbps，实现内部数据无阻赛交换，支持设备级1+1快速备份和N+1备份此设备的使用可以大大降低大量无线AP。