解决方案02-航天科技六院7103厂园区网解决方案v11.pptx

航天六院7103厂园区网方案汇报产品和解决方案市场部 杜振华2014-06说 明 Contents通过本次方案汇报，希望达成目标如下：1、新园区涉密网基础网络架构设计及推荐的设备选型2、新园区互联网区网络架构设计，互联网出口安全措施及设备选型3、现有园区网核心交换机升级替换思路4、现有园区网新厂房的基础网络架构设计及推荐的设备选型新园区网络体系架构层次化结构：核心层、汇聚层和接入层，具有较强的稳定性、可扩展性、可靠性模块化设计：园区网出口、数据中心、计算机办公网、设备生产网、视频监控网、网络运维及管理虚拟化设计：交换机虚拟化简化网络、优化流量、易于管理高可靠性设计：关键部位冗余架构，可靠地故障恢复速度智能网络简运维：全网多业务主动和综合管理，实时分析网络健康状况，积极预防，排除故障，减少损失智能园区网HA、Security、QoS、Management新园区涉密网基础网络架构设计新网络：万兆骨干，千兆接入，核心虚拟化，主备电信级切换，智能控制的出口流量，面向业务的IT资源集中可视化管理出口区老园区院办网络密码机密码机高性能防火墙专线新体验：基于身份的安全准入系统和行为审计系统，基于安全域的用户访问体验核心交换区入侵检测系统密码机日志审计系统云数据中心园区网核心交换机支持云数据中心技术，构建面向云架构的网络园区接入区数据中心汇聚交换机核心交换机新融合：新旧园区平滑对接过渡，视频、办公、生产三网合一的统一融合接入交换机办公终端办公终端办公终端身份认证,行为审计系统服务器群FCoE存储网络和安全综合运维系统新园区网络架构设计特点层次化设计：核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和易于维护出口区院办模块化设计：每一个模块一个部门，部门内部调整涉及范围小，定位问题也容易网络密码机冗余性设计：双节点多链路冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护，浪费投资高性能防火墙核心交换区对称性设计：网络的对称性便于业务部署，拓扑直观，便于协议设计和分析入侵检测系统日志审计系统优势：网络架构简单，易于维护、便于部署交换机虚拟化全网无环路、链路带宽充分利用，故障快速恢复，用户体验无感知汇聚交换机汇聚交换机部门C部门B部门A部门D楼宇B楼宇AL2/L3层分界点设计方案一：L2/L3层分界即网关设在汇聚设备上，即楼宇公用网关，汇聚层采用L3层方式接入核心；接入层采用Vlan、Trunk方式进入三层核心层核心交换机L3汇聚层汇聚交换机汇聚交换机方案二：L2/L3层分界即网关设在接入设备上，按照部门划分业务网关，整网没有二层广播域L2接入交换机L3接入层L2部门C部门B部门A部门D楼宇B楼宇A两种方案各有优缺点，根据实际情况部署，选择最适合企业业务的方案二层接入园区网方案业务流程：1.接入设备仅仅为用户提供二层接入功能，并根据企业具体情况划分VLAN2.汇聚设备作为二三层网络的分界点，为用户提供三层业务网关和路由功能3.三层通过BFD＋VRRP保证用户网关可靠性4.园区接入侧通过MSTP防止网络环路核心层核心交换机L3汇聚层汇聚交换机汇聚交换机L2优点：1.低成本，接入侧交换机采用二层交换机，保护和节省用户投资2.满足部门内特殊业务的二层互通需求接入交换机接入层缺点：1.接入交换机和汇聚交换机之间存在二层环路风险2.接入交换机和汇聚交换机之间的链路利用率低上述两个问题,可通过交换机虚拟化技术解决部门C部门B部门A部门D楼宇B楼宇A三层接入园区网方案业务流程：1.全网路由结构，接入设备是二三层网络的分界点，接入设备作为终端设备的网关，提供二层终结，三层路由; 2.终端普通VLAN方式接入网关核心层核心交换机优点：1.纯三层结构，网络结构简单清晰，不依赖虚拟化等技术简化网络2.扩展性强，网络拓扑依赖度低，可以灵活调整网络拓扑3.易维护，无二层环路网络风险，无需配置生成树协议4.易配置，无需规划二层配置汇聚层汇聚交换机汇聚交换机接入交换机L3接入层L2缺点：1.成本高，对接入交换机要求较高，导致成本提升2.部门间二层无法互通，某些特殊业务无法开展3.收敛速度相对二层略慢部门C部门B部门A部门D楼宇B楼宇A接入层设计功能描述：接入层是最靠近用户的网络，为用户提供各种接入方式，是终端、办公等设备接入网络的第一层，设备可以单归属/双归属到汇聚层核心层核心交换机设备选型要求：1.丰富的二层特性：VLAN、IGMP Snooping、环网避免2.安全特性：802.1x、端口安全、DHCP snooping、ACL3.可靠性：系统级和电源冗余，交换机虚拟化和堆叠等 4.带宽管理：QoS汇聚层汇聚交换机汇聚交换机接入交换机接入层设备推荐：1.千兆接入、千兆上行RG-S2900系列交换机（支持静态路由协议）RG-S5700-L系列交换机（支