1 项目概述

XXXX网络建设一个“万兆为主干，千兆接入”的办公局域网络，并配备相应的网络设备，把网络建设成为一个高性能、高可靠性、高安全性的网络，在满足XXXX各类业务要求的同时，尽可能的符合当今网络发展的潮流，具备相当的先进性和可扩充、可升级的能力，满足后期的扩容需求。采用高性能的核心交换机，提高网络连接主干的带宽，充分考虑网络的可靠性、冗余能力、自愈能力，充分考虑当今网络系统面临的病毒、入侵攻击等不安全因素的影响，充分考虑和其他的网络互通等多方面的因素，方案设计具有前瞻性，充分考虑将来网络能够满足向更高性能扩展的能力。

2 网络设计原则

Ø 模块化设计

网络建成后不同的数据点实现不同的功能，除大部分办公数据点外，还存在连接数据中心、网管/安全中心等，其功能的不同决定了不同的数据点对网络的要求和网络设计中考虑的因素不同。当某部分功能要求有所变化时，也只需要针对相应的功能模块进行重新设计和改造升级，对网络的其它组成模块和网络的主干没有任何影响。基于这些优势，XXXX的设计采用模块化的设计模式，目前主要考虑：核心交换模块、楼层接入模块、用户接入认证模块、安全模块等。

Ø 高可靠性

网络系统应具有高可靠性、高安全性。除了采用高可靠性的网络设备以外还应考虑物理层、数据链路层和网络层的备份。

Ø 高性能

在XXXX局域网络中，不仅要求网络主干是高带宽的，作为一个整体的系统，网络应具有可控的智能化的高性能。也就是说，网络中以太网(100M/1G/10Gbps)连接的节点之间的交换，不管它们的VLAN属性如何，我们都可以控制它在本地交换机交换或通过千兆以太网主干进行交换。

Ø 可扩展性和可升级性

系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。

Ø 标准协议支持

网络系统应支持标准协议IP，是一个开放型的网络，支持各种协议的互联。

Ø 易管理、易维护

网络系统需具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。

Ø 安全性

网络系统应具有良好的安全性。由于XXXX局域网为多个用户内部网提供互联并支持多种业务，网络系统应支持多VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。此外，在接入网络的用户通过身份认证系统，防止用户帐户号、IP地址、MAC地址的盗用，保证用户身份的合法性。

Ø QoS保证

当今网络中的多媒体的应用越来越多，这类应用对服务质量的要求较高。XXXX局域网应能保证QoS，以支持这类应用。由于网络中多媒体的应用，如Video Conference、可视电话业务等越来越多，往往会占用大量的带宽资源。所以网络系统应能支持组播业务，以节省主干的带宽。

Ø 符合国际标准

选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。

网络建设依据千兆光纤到桌面，千兆/万兆到核心互联的大原则；

ü 考虑充分的网络平台可靠特性和冗余特性；

ü 网络协议的标准性和充分的可扩展特性；

ü 充分考虑局域网安全特性；

ü 充分考虑网络的高速和高运行效率；

ü 充分利用现有网络线路资源；

ü 统一的网络管理。

3 组网设计

对于XXXX的局域网网络，整体分为网络和网络,内网络物理隔离,网络结构均采用二级偏平化的结构,分别为核心层、接入层，网络核心层交换机采用2台高端路由交换机S10508虚拟化部署，防止单点故障。网络接入层交换机采用S5130系列交换机。如下图所示：

网络核心层采用一台S10508高端万兆交换机，采用万兆光接口连接各楼层S5130交换机。

在核心层，核心层主要是实现高速路由交换，我们建议采用2台高性能交换机H3C S10508。，具有8个插槽，S10508万兆核心交换机采用clos体系结构所有端口均线速转发。提供万兆光口业务板，采用万兆下连至楼层接入层交换机。

接入层是直接与用户相连的设备，因此，在实际的应用的过程当中我们建议采用H3C S5130系列交换机，建议通过 S5130系列交换机的万兆兆电接口与核心交换机S10508进行链接。H3C S5130可以实现所有端口的线速转发，支持各种类型的上行接口，支持堆叠。

3.1   网络设计特点

网络设计采用双核心、二层扁平结构

配置一台核心交换机作为网络的核心交换节点。由于XXXX网络具有信息点地理位置比较集中的特点，建议采用两层扁平化网络体系结构进行网络规划建设。所谓两层扁平化体系结构是相对业务标准的三层网络体系结构而言，去掉中间的汇聚层只保留核心层与接入层两个层次来进行网络体系构建。扁平化体系结构具有多、快、好、省的优点。

3.2   网络核心层设计

网络整体采用二级的网络架构，分别为核心层和接入层。

根据XXXX的网络规模，我们推荐在核心层部署性价比高的H3C的万兆级路由交换机H3C S10508。

我们建议采用2台高性能交换机H3C S10508，S10508万兆交换机，具有8个插槽，可根据网络需求，灵活配置多种接口模块。S10508万兆核心交换机采用Clos体系结构所有端口均线速转发。

根据XXXX网络的规模，采用2台核心交换机S10508，部署IRF虚拟化方案，采用万兆光口连接接入层交换机。

网络核心层主要完成全网业务的高速交换和路由转发，对网络的可靠性、业务的支持能力和报文的转发性能都提出了更高的要求。

3.3   网络接入层设计

本网络的接入层交换机位于网络的二级，是最终用户被许可接入网络的点，一方面要求和核心层保持高速可靠连接，另一方面汇聚了大量的接入终端设备,该分层能够提供多重绑定功能的进一步控制；该分层的主要功能是为最终用户提供网络接入。

在接入交换层，有多种产品可供选择，为了便于网管及日后维护，发挥网络应有的功能和最佳性能，我们推荐采用性价比极高的H3CS5130系列交换机产品。

S5130系列交换机支持堆叠技术，当网络需要扩容时，可通过堆叠技术进行端口扩展，方便网络设备统一管理。

4   IP地址与VLAN规划

IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表路由数量，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，降低网络动荡程度，隔离网络故障，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：

唯一性：一个IP网络中不能有两个主机采用相同的IP地址；

简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的表项

连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率

可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性

灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。

核心层交换机和汇聚层交换机都采用三层交换机的，由于VLAN属于局域网特性，在跨越三层IP设备（路由器或交换机）时，VLAN将被终结，理论上这两个区域的VLAN规划可以完全独立，但是出于管理便利，建议在整个局域网中所有VLAN ID统一分配。

 VLAN的划分需参考IP地址的规划，在局域网内部，将VLAN与IP子网对应，在同一功能区域，IP子网连续的地方，VLAN ID以同样规律保存连续。

不同VLAN之间是链路层隔离了，所有链路广播报文都是在一个VLAN内部广播的，不会扩散到VLAN之外。VLAN之间的互访必须在IP层进行，可以通过访问控制列表ACL（Access control list）进行控制。在IP设备上，将VLAN终结，每个VLAN对应一个IP子网，该VLAN对其它IP子网的访问控制可以在VLAN所对应的IP逻辑接口上通过ACL配置实现。

5  网络管理解决方案

网络管理工具是保证网络正常运转，业务正常运行的必备的工具，通过网络管理软件不但能够及时发现网络的问题，对网络的变化做出迅速的相应，而且可以通过网络管理工具对整个网络进行优化，达到充分利用网络资源的目的。

利用网络管理系统提供的专业管理功能，XXXX的网络管理员需要实现对整个网络从物理链路到上层复杂应用和业务的分层次集中管理，进而提高网络的可管理性和运行的稳定性，缩短XXXX在提供新业务时的开通周期。通过简化网络管理流程，提高管理员的工作效率，网络管理系统还将帮助XXXX降低网络的运行成本。

网络建设成后的管理、维护工作将是一个任重道远的工作。因此建议XXXX采用一套图形化管理界面的网管软件实现全网的统一管理。