网络解决方案技术建议书.doc

网络解决方案技术建议书华为专有和保密信息 版权所有 © 华为技术有限公司iii网络解决方案技术建议书目 录目 录1 网络总体设计方案 11.1 网络总体网络设计原则 11.2 网络总体架构 22 网络详细设计方案 32.1 VLAN及IP规划 32.1.1 VLAN概述 32.1.2 VLAN功能划分 32.1.3 VLAN规划原则 42.1.4 VLAN规划建议 42.1.5 IP规划概述 52.1.6 IP地址规划原则 52.1.7 DHCP规划 72.1.8 DNS规划 72.2 虚拟化设计 92.2.1 横向虚拟化设计 92.2.2 纵向虚拟化设计 122.3 安全设计 132.3.1 安全概述 132.3.2 网络安全方案 142.3.3 边界安全方案 152.4 运维设计 222.4.1 设备简易运维管理 222.4.2 网络质量感知 242.4.3 网络管理软件eSight 252.4.4 eSight部署规划方案 263 设备推荐 293.1 S7700系列 293.2 S5700系列全千兆企业交换机 323.3 安全接入网关 353.4 AR1200系列企业路由器 404 设备清单 415 售后服务承诺 435.1.1 售后服务 435.1.2 售后服务体系 434.1.3全国服务网络 444.1.4强大的管理、技术和服务团队 446 售后服务期 466.1.1 设备厂商、维修服务 466.1.2 售后服务 466.1.3 基本服务Common Service 486.1.4 增值服务Value-added Service 526.1.5 专家服务Expert Service 546.1.6 标准服务流程 566.1.7 巡检及健康检查流程 566.1.8 工作流程 576.1.9 故障处理流程 586.1.10 技术支持流程 606.1.11 现场服务流程 636.1.12 重大故障处理流程 646.1.13 备品备件流程 676.1.14 故障事件总结， 统计分析 报告流程 686.1.15 知识库 706.1.16 客户服务中心的组成 716.1.17 服务管理平台 73网络解决方案技术建议书2 网络详细设计方案1 网络总体设计方案1.1 网络总体网络设计原则网络设计，注重的是网络的简单可靠、易部署、易维护。

因此在网络中，拓扑结构通常以星型结构为主，较少使用环网结构（环网结构较多的运用在运营商的城域网络和骨干网络中，可以节约光纤资源）基于星型结构的网络设计，通常遵循如下原则：l 层次化将网络划分为核心层、汇聚层、接入层每层功能清晰，架构稳定，易于扩展和维护l 模块化将网络中的每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位l 冗余性关键设备采用双节点冗余设计；关键链路采用Trunk方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份提高了整个网络的可靠性l 安全隔离网络应具备有效的安全控制按业务、按权限进行分区逻辑隔离，对特别重要的业务采取物理隔离l 可管理性和可维护性网络应当具有良好的可管理性为了便于维护，应尽可能选取集成度高、模块可通用的产品1.2 网络总体架构图1-1 网络架构该组网结构具有如下特点：l 以核心节点为“根”的星型分层拓扑，架构稳定，易于扩展和维护l 各功能分区模块清晰，模块内部调整涉及范围小，易于进行问题定位l 双节点冗余设计，关键链路均采用Trunk链路，保证网络的可靠性l 支持各种业务终端接入，一张IP网络承载所有业务 2 网络详细设计方案2.1 VLAN及IP规划2.1.1 VLAN概述VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离广播域的技术。

当网络规模越来越庞大时，局部网络出现的故障会影响到整个网络，VLAN的出现可以将网络故障限制在VLAN范围内，增强了网络的健壮性2.1.2 VLAN功能划分n 用户VLAN用户VLAN即普通VLAN，也就是我们日常所说的业务VLAN，是用来对不同端口进行隔离的一种手段VLAN通常根据业务需要进行规划，需要隔离的端口配置不同的VLAN，需要防止广播域过大的地方配置VLAN用于减小广播域VLAN最好不要跨交换机，即使跨交换机，数目也需要限制n Voice VLANVoice VLAN是为用户的语音数据流划分的VLAN，用户通过创建Voice VLAN并将连接语音设备的端口加入Voice VLAN，可以使语音数据集中在Voice VLAN中进行传输，便于对语音流进行有针对性的QoS配置，提高语音流量的传输优先级，保证通话质量n Guest VLAN网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN（即Guest VLAN），用户访问该VLAN内的资源不需要认证，只能访问有限的网络资源用户从处于Guest VLAN的服务器上可以获取802.1x客户端软件，升级客户端或执行其他应用升级程序（例如：防病毒软件、操作系统补丁程序等）。

认证成功后，端口离开Guest VLAN加入用户VLAN，用户可以访问其特定的网络资源n Multicast VLANMulticast VLAN即组播VLAN，组播交换机运行组播协议时需要组播VLAN来承载组播流组播VLAN主要是用来解决当客户端处于不同VLAN中时，上行的组播路由器必须在每个用户VLAN复制一份组播流到接入组播交换机的问题2.1.3 VLAN规划原则一个二层网络规划的基本原则：l 区分业务VLAN、管理VLAN和互联VLANl 按照业务区域划分不同的VLANl 同一业务区域按照具体的业务类型（如：Web、APP、DB）划分不同的VLANl VLAN需连续分配，以保证VLAN资源合理利用l 预留一定数目VLAN方便后续扩展2.1.4 VLAN规划建议VLAN根据多种原则组合划分l 按照逻辑区域划分VLAN范围：例1：核心网络区：100～199服务器区：200～999，预留1000～1999接入网络：2000～3499业务网络：3500～3999例2：规划NAC方案时，使用动态VLAN情况下，VLAN可划分为认证前域Guest VLAN、隔离域Isolate VLAN、认证后域VLAN三类。

实际部署时可以按职能部门分配VLAN，同时预留Guest VLAN和隔离VLANl 按照地理区域划分VLAN范围例如：接入网络A的地理区域使用2000~2199接入网络B的地理区域使用2200~2399l 按照功能模块划分VLAN范围例如：安全监控网络使用2000~2009企业办公网使用2010~2019l 按照业务功能划分VLAN范围例如：Web服务器区域：200～299APP服务器区域：300～399DB服务器区域：400～499IP Phone、打印机等哑终端使用单独的VLAN上线IP Phone需要为其配置Voice VLAN，提高语音数据的优先级，保证语音质量建议为AP规划独立的管理VLAN2.1.5 IP规划概述考虑到后期扩展性，在网络IP地址规划时主要以易管理为主要目标网络中的DMZ区或Internet互联区有少量设备使用公网IP，网络内部使用的则是私网IPIP地址是动态IP或静态IP的选取原则如下：l 原则上服务器，特殊终端设备（打卡机，打印服务器，IP视频监控设备等）和生产设备建议采用静态IPl 办公用设备建议使用DHCP动态获取，如办公用PC、IP等2.1.6 IP地址规划原则n IP地址规划的原则l 唯一性一个IP网络中不能有两个主机采用相同的IP地址。

即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址l 连续性连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率l 扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性l 实意性“望址生意”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备n 网络IP地址基本分类l Loopback地址为了方便管理，会为每一台路由器创建一个Loopback接口，并在该接口上单独指定一个IP地址作为管理地址Loopback地址务必使用32位掩码的地址最后一位是奇数的表示路由器，是偶数的表示交换机，越是核心的设备，Loopback地址越小l 互联地址互联地址是指两台网络设备相互连接的接口所需要的地址，互联地址务必使用30位掩码的地址核心设备使用较小的一个地址，互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址l 业务地址业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址，业务地址规划时所有的网关地址统一使用相同的末位数字，如：.254都是表示网关l 网络内部的IP地址建议使用私网IP地址，在边缘网络通过NAT转换成公网地址后接入公网。

汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由是可以聚合的，这样可以减少核心网络的路由数目l 无线设备的IP地址AC IP地址一般通过静态手工配置由于AP数量较多，手动配置IP地址工作量大且容易出错，建议采用DHCP动态给AP分配IP地址DHCP动态分配AP的IP地址时，可以采用指定地址池分配和统一分配两种方式2.1.7 DHCP规划网络中办公网络、商业WiFi建议使用DHCP，每个DHCP网段应保留部分静态IP供服务器等设备使用n DHCP部署基本架构l 在数据中心或服务器区部署独立的DHCP Serverl 在汇聚层网关部署DHCP Relay指向DHCP Server统一分配地址l DHCP一般通过VLAN分配地址，如有特殊要求，在接入交换机部属Option82，由接入交换机提供的Option82信息分配地址图2-1 DHCP划分n DHCP部署基本原则l 固定IP地址段和动态分配IP地址段保持连续l 按照业务区域进行DHCP地址的划分，便于统一管理及问题定位l DHCP需要跨网段获得IP地址时，启动DHCP Relay功能l 启动DHCP安全功能，禁止非法DHCP Server的架设和非法用户的接入。

2.1.8 DNS规划n DNS服务器的角色划分l Master服务器：主服务器作为DNS的管理服务器，可以增加、删除、修改域名，修改的信息可以同步到Slave服务器，一般部署1台l Slave服务器：从服务器从Master服务器获取域名信息，采用多台服务器形成集群的方式，统一对外提供DNS服务，一般采用基于硬件的负载均衡器提供服务器集群的功能一般部署2台从服务器l Cache服务器：缓存服务器用于缓存内部用户的DNS请求结果，加快后续的访问一般部署在Slave服务器上n DNS服务器的IP地址l Master服务器：采用企业内网地址l Slave服务器：分配企业私网地址，。