网络整改方案

中国大唐集团海外公司内外网分离改造方案

北京泰豪智能工程有限公司福地项目部

2016年2月29

1. 现有网络分析

为了配合大唐集团信息化建设的全面开展，适应现代社会对信息化社会的要求，提高现代化办公的水平，参考已经完成的新能源公司内外网分离项目，计划此次海外公司内外网分离的改造工程。公司根据自己多年的行业经验，特提出此方案。

以下是海外公司现有网络结构示意图及四层主机房的机柜布置图：

网络结构示意图

服务器机柜布置图

网络核心机柜布置图

现有网络设备可以统一规划在外网部分，服务器群规划在内网部分。对于外网来说，内网相对需要的安全级别更高，数据需要更好、更快、更安全的处理和传输环境，新增加的网络统一规划为内网。设备新、速度快、安全性高、容易备份。

三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层（将工作站接入网络）。

核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。

汇聚层：汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，应该选用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段的目的。

接入层：接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的普通交换机。

根据海外公司的网络情况实际需求，应再增加一套完整的网络设备，形成一套独立的三层网络架构，增加的设备包括：

1、四层机房增加核心层及汇聚层，包括：核心路由器、核心交换机、汇聚交换机、

防火墙、网络管理平台。

2、11层及12层信息机房内增加接入层，包括每层增加一台42U标准机柜、两台接入

换机，原有的接入交换机硬件老化，接口松动，传输速度过慢，影响正常的办公

网络使用，建议更换。

3、11层现有内网端口95个，外网端口85个；12层内网端口72个，外网端口65个；由

于内网端口故障或者工位端口故障或者工位至信息机房线路故障导致11层占用

外网端口12个，12层占用外网端口13个；施工改造过程中会出现部分办公室外网端口不够用的情况，可能会需要增加一部分机房至工位的网络线路。

4、考虑到网络系统冗余和关键数据备份，参考新能源公司的网络结构搭建，可以将

内网部分做硬件备份，其中任何一台核心设备故障或者断电都不会影响整个网络系统的正常运行，如下图：

2．系统设计原则

标准化原则

遵守国际ISO及IEEE相应的系统工程规范及中国系统工程规范

实用性原则

核心网络是根据实际工作中最迫切需要解决的问题而建立，必须从实用的角度出发，在深入调研的基础上，真正提供办公、管理所需要的帮助，防止任何不切合实际的做法所带来的浪费。

先进性原则

系统整体上从资源配置（包括硬件设备，系统软件，网络选型）到功能用途等尽量争取在同业间具有先进水准。

技术成熟性原则

系统选型及总体集成应尽量采用先进、成熟的技术，选用已经被市场证明了的配置方式。

避免盲目相信产品参数所导致的失误，使之建成后就能很快地投入实际使用，提高工作效率。

可靠性原则

系统的各项资源包括硬件设备、应用软件等可靠性要高，工作稳定，易于维护。在出现硬件故障和软件故障时，有可靠的恢复手段。同时，系统应有足够的容错能力，同时能够自动进行故障检测与隔离，关键设备达到99%不间断工作。

成长性原则

随着系统、应用环境的变更，通过网络模块的变换及软件支持，网络基础结构能够发挥5-10年效益，使原有的投资得到保护。

安全性原则

系统中涉及到海外公司相关机密，必须要有良好的安全保密措施，一是通过VLAN及第三层路由定义来分割网络，二是要对不同的人员设定不同的权限具有权限控制，信息密级制度，通过管理跳线跳接，可使外部网络与内部网络良好的隔离；三是要对关键数据进行及时备份，及时恢复；并对电脑病毒具有较好的防护能力；四是要通过网管中心对网络的使用情况进行监控；尽早发现问题，尽早解决。

3. 网络主干选型

任何网络系统，其骨干网络设备的选型将对整个网络的性能及未来拓展性造成决定性的影响，通过认真分析网络建设的实际需求及配置要求，可以看出，网络系统的建设必须适应未来网络发展的需要，同时又必须考虑实用及经济的原则。故此，我们做出以下配置：

鉴于网络的规模性经营优势及对未来新技术的灵活支持，建议采用企业级万兆级交换机H3C S10506作为核心交换机；H3C SR6604作为核心路由器；H3C S7503来作为汇聚交换机；

防火墙采用H3C F1000系列；H3C S5120 系列作为接入交换机；H3C IMC系列作为智能网络管理中心。

4. 交换机详细功能配置及说明

4.1 H3C S10506核心交换机特点及功能配置

H3C S10506基本参数

交换容量13.44Tbps/38.4 Tbps

包转发率：4320Mpps/10800 Mpps

主控板槽位数：2

业务板槽位数：6

交换网板槽位数：4

冗余设计：主控、交换网板、电源、风扇

以太网特性：支持802.1Q、支持DLDP、支持LLDP

静态MAC配置

支持MAC地址学习数目限制

支持端口镜像和流镜像功能

支持端口聚合、端口隔离、端口镜像

支持802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)

支持IEEE 802.3ad（动态链路聚合）、静态端口聚合和跨板链路聚合

H3C S10506路由特性

支持静态路由、RIP、OSPF、IS-IS、BGP4等

支持等价路由

支持策略路由

支持路由策略