深圳某集团办公室迁移网络建设规划设计方案

第一章 方案设计原则

企业办公网络承载企业所有IT基础设施和企业所有上层软件应用，对一个企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视，传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中，还是在公司的咖啡厅、待客室，今天的用户都需要方便地获取各种网络服务。

一个典型的企业办公网络通常由楼宇办公网络、数据中心、Internet出口、以将这四部分互联起来的主干网络组成，其中办公网络可分为有线网络和无线网络。在规划与建设一个企业办公网络的时候，这些部分都要充分考虑。

同时，企业办公网络还面临着新技术不断涌现、企业应用不断增加的现实问题，如何构建一个保障企业未来5~10年扩展，同时兼顾设备的投资保护的企业办公网络，困扰着每一位企业CIO。

道为科技针对本次的网络解决方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性，可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业园区网络

在网络建设项目中，我们应该遵循以下设计原则：

1、合理性、整体性原则

系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的需求是系统建设的首要原则。

★  深入调研，全力做好网络与信息系统安全检测、监测和认证的需求分析，这是系统成败的关键；

★  充分考虑已有资源（软硬件设备及人员）合理利用，避免出现不必要的浪费；

★  系统建设尽可能模拟国内外最常用的几种网络应用模式。

★  系统建设要有一定的前瞻性。在网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。

2、标准化原则

为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性，应建立一个开放的、遵循国际标准的网络系统。

★  建设的方案要科学、正确、严谨、且现实可行；

★  采用的先进技术应是成熟的、经过实践证明是成功的技术；

★  选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品

3、先进性原则

系统建设应充分考虑网络通信技术和互联网技术的发展，建设是循序渐进的，初期重点应在网络基础环境和基本系统上：

★  系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境；

★  系统实现采用先进的网络技术、网络安全检测技术。

4、安全可靠性原则

本系统具有特殊性，因此安全保密性非常复杂。系统要有极强的自我保护能力。

★  配置功能齐全、可视化程度高的网管系统，对网络运行情况进行实时监督和控制；

★  采取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。

5、可管理性原则

随着网络规模的扩大和系统复杂程度的增加，网络的管理、监控和维护，以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护，本方案将提供先进而完善的网络管理系统。这样，即方便网络管理员的工作，减轻了劳动强度，也提高了网络系统的管理程度。

6、灵活、可伸缩性原则

为适应因特网和互联网络技术的发展，系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外，在网络系统的设计过程中，还需要考虑整个网络系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求，又能满足今后整个计算机系统的发展需要。

★  应用软件设计要采用结构化和模块设计方法，使系统逻辑结构清晰、易读，在功能的划分和设计时，使各模块尽可能相对独立、减少相关性以易于扩充、维护和修改。

★  网络系统要具有异种设备的异种网络的互联互通能力，以达到保护已有资源并能与其他信息系统交流信息的目的。

7、绿色节能原则

随着数据中心的不断壮大，数据中心的电费不断增长，目前，通信/IT设备节能是降低能耗的基础，采用底能耗的设备是节能减排最主要的途径。

机房改造网络建设遵循以下基本原则：

Ø  高带宽

未来网络可能包括高质量的数据、语音和视频传输。为了保障全网的高速转发，全网组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心路由交换设备具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。

Ø  可增值性

基础网络与应用建成后，运行、使用和维护都需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务。

Ø  可扩充性

考虑到用户数量和业务种类发展的不确定性，必要求核心交换机与核心、接入路由设备具有强大的扩展功能，要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。

Ø  开放性

技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

Ø  安全可靠性

设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施，采用具有容错功能的服务器及网络设备，选用双机备份、Cluster技术的硬件设备配置方案，出现故障时能够迅速恢复并有适当的应急措施。

Ø  经济性

在满足系统需求的前提下，应尽可能选用性价比高的设备，以便节省投资。

第二章 网络设计方案

2.1 整体架构设计

2.1.1 网络设计架构策略

为切实达到以上的网络设计原则，实现黄海制药网络优化目标，使网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循如下方面技术策略：

Ø  统一标准、统一平台

网络的互联及互通关键是对相同标准的遵循，在黄海制药的网络中，由于有多项技术的应用，要使这些应用技术能融合到一起，实现黄海制药的业务整合及数据集中等业务，就必须统一标准。从开放性、发展性、成熟性等方面来看，只有IP技术才能成为统一平台网络构建的标准。而在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。

Ø  网络分层设计原则

为减少网络中各部分的相关性，便于网络的实施及管理，在黄海制药网络的构建中，从整体上可划分为骨干互联部分和接入部分。骨干互联部分负责网络各节点间的互联及完成高效的数据传输、交换、转发及路由分发；业务接入部分则负责将各种业务通过各种接口及标准接入到网络中，并完成业务系统之间的隔离和安全性控制等功能，在业务进入骨干网络前进行优先级别控制以网络服务实施质量保障，各类业务进入骨干网络后将按照预先设定的传输线路进行传输。

将骨干互联部分和业务接入部分分离可以减少骨干和接入部分之间的相互关联和影响。在各级网络骨干节点处的网络接入设备上，为各类业务子网预留标准接入接口，各种业务通过这些标准接口接入到骨干网上。业务应用接入的变化，只影响接入设备及接入部分网络，对骨干网络没有影响，从而增强了网络的扩展能力和新业务的接入能力，便于管理和维护。

★  根据本次建设的目标和业务需求，我们在设计按照分层模块化设计，分为水平层面上的核心层（网络主干）、汇聚层、接入层，其信息流动模式是汇集于主干核心层。在垂直层面上分为管理层和安全层。

★  其中网络的核心层（或称主干）部分是整个网络的信息汇集处，需拥有足够的带宽和良好的升级能力；具有足够的网络智能和承载多种服务类型的能力；同时具有很高可靠性。

★  网络的接入层（或称接入层）作为网络的底层，直接面对用户，具有极大的灵活性、易用性；多种服务接入能力。

★  从网络的管理层和安全层面讲，网络应具有极强的贯穿2个水平层面的控制能力和网络安全能力。包括灵活的计帐方式；

★  基于策略的网络管理和基于物理层、链路层和网络层的性能测量和故障监控，并提供远程配置和故障排除能力。

2.1.2 总体网络架构

整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。

整个网络的设计方案采用统一规划，分布实施的方式，采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，单独设备的方式提供WLAN AC控制器，在汇聚层交换机，提供路由器、上网行为管理等增值业务功能，满足企业日益增长的业务需求。

整个网络的重要特征是不存在网络单点故障，核心交换机设备和汇聚链路都存在冗余备份，汇聚交换机与核心交换机通过双线连接，核心交换机与汇聚交换机之间采用TRUNK链路保证链路级可靠性。

本次网络建设，所有的线路都最终汇聚于新的机房，实现完整的星型网络结构。

★  互联网采用两条线路，一条提供给日常办公人员，另外一条提供给财务专用。

★  互联网入口采用一台H3C的路由器作为整个互联网的出口网关，实现互联网链路冗余，保证任何一条互联网链路中断，都不会影响正常互联网访问。

★  采用一台深信服的上网行为管理，作为整个公司的上网行为控制、审计及流量控制。保证整个网络稳定运行。

★  采用一台H3C-5610支持万兆上行的交换机作为整个网络的核心交换，处理整个网络的数据流量。

★  办公接入层采用双线路连接到核心交换机，以实现负载均衡和线路备份。

★  监控网络采用一台24口POE交换机，收集所有的监控数据和给摄像头供电，双链路上连核心交换机，以保证链路带宽。

★  使用一台优科的无线控制器与12个AP组成企业级的无线网络，保证整个无线稳定运行。同时才有一台24口POE交换机给无线AP供电和提供数据转发，同时双线上行到核心交换机，以实现线路备份。

★  所有的服务器都接入到核心交换机，保证应用的稳定性。

★  全网划分VLAN，保证整个网络的安全性。

2.3 VLAN和IP地址对应表