深蓝集团网络设计方案

1、深蓝集团网络设计方案2010年07月27日目录第一章 企业需求分析 . 5 1.1 深蓝集团网络需求概述 . 5 1.1.1 网络总体要求 . 6 1.1.2 项目设计指导思想 . 7 1.2 深蓝集团网络建设要求 . 8 1.2.1 现有网络现状分析 . 8 1.2.2 网络建设要求 . 8 1.2.3 详细建设要求 . 9 1.2.4 网络设备选型要求 . 10 1.2.5 安全性和可靠性保证 . 10 1.3 工程组织、测试与验收 . 11 1.3.1 施工组织 . 11 1.3.2 工程实施 . 11 1.3.3 工程测试验收 . 12 1.3.4 系统运行、维护与人员培训 . 13

2、第二章 方案设计 . 13 2.1 总体设计 . 13 2.1.1 网络总体设计 . 14 2.1.2 设备清单 . 16 2.2 设备命名规范. 16 2.3 VLAN 划分与 IP地址规划 . 19 2.3.1 网段细分 . 19 2.3.2 VLAN划分 . 20 2.3.3 IP 地址规划 . 22 2.4 交换部分设计 . 26 2.4.1 交换部分总体设计 . 26 2.4.2 VTP 设计 . 28 2.4.3 STP 设计 . 29 2.4.4 Ethernet Channel 设计 . 30 2.4.5 VLAN间路由设计 . 30 2.4.6 交换机的其它设置 . 31 2

3、.5 路由部分设计 . 31 2.5.1 OSPF区域规划 . 31 2.5.2 路由器 ID规划 . 35 2.5.3 OSFP指定路由器设计 . 37 2.6 广域网部分 . 37 2.6.1 帧中继接入的选择 . 38 2.6.2 站点到站点之间 VPN的设计 . 39 2.6.3 远程访问 VPN的设计 . 39 2.6.4 VoIP的设计 . 40 2.7 网络安全性设计 . 41 2.7.1 网络安全建设管理原则 . 41 2.7.2 网络一般安全策略 . 42 2.7.3 ACL 设计 . 44 2.7.4 用户的接入控制 . 45 2.8 网络可靠性设计 . 45 2.8.1

4、设备和链路冗余 . 45 2.8.2 HSRP设计 . 46 2.9 工程实施安排 . 47 第三章 项目测试规划 . 48 3.1 网络连通性测试 . 48 3.2 网络安全性测试 . 48 第四章 技术支持与服务 . 48 4.1 支持和维护 . 48 4.1.1 工程实施阶段 . 49 4.1.2 网络试运行阶段 . 49 4.1.3 网络维护期阶段 . 50 4.1.4 维护期以后 . 51 4.1.5 整个工程建设和运行阶段的支持维护承诺 . 51 4.2 技术培训 . 51 4.2.1 现场培训 . 52 4.2.2 授课培训 . 52 第一章 企业需求分析 1.1 深蓝集团网络需

5、求概述 深蓝集团需要1万个信息点，总公司设立在深圳，有1栋行政楼共10层，一栋办公楼共5层，一栋生产车间共5层以及4栋生活区；在上海、重庆设有分公司，各有两栋楼宇，分别一栋办公楼，一栋生产间。网络中心位于总公司办公楼2楼，楼层间是用超五类双绞线连接到每栋楼的接入层交换机，然后再使用超五类双绞线连接到汇聚层交换机，楼层需要百兆交换到桌面。部门间需划分VLAN进行隔离。深蓝集团的组织架构及信息点分布如下表所示： 公司楼号部门信息点数深圳总公司行政楼行政部500财务部300人事部200开发部400销售部800运营部200公关部100安保部200生产车间生产部1000办公楼后勤部200客服部200IT

6、部100生活区1员工宿舍450生活区2员工宿舍450生活区3员工宿舍450生活区4员工宿舍450重庆分公司办公楼行政部200财务部150开发部150销售部300运营部100安保部100会议室/展厅100大厅/前台300生产大楼车间1200车间2200车间3200车间4200上海分公司办公楼行政部200财务部150开发部150销售部300运营部100安保部100会议室/展厅100大厅/前台300生产大楼车间1200车间2200车间3200车间4200 深蓝集团各分公司所从事的业务对网络系统有极大的依赖性，内部办公等都需要网络支持。公司建设初期已经实施了简单的网络系统，但随着公司规模的不断扩大和业

7、务的不断拓展，员工数量的不断增多和信息应用系统的不断增加，现有的网络系统逐渐不能满足企业信息化建设的要求，因此需要对深蓝集团总公司以及分公司内部的网络体系进行重新规划和部署，目前深蓝集团各分公司在一期工程时土建工程已基本完成，整个办公楼的网络具体建设目前也正待实施中。暗管已经走好，信息节点已经确定。本项目属于二期工程，只针对网络互联部分进行分析和设计。 为了使深蓝集团的信息网络系统能够在未来几年的时间内保持技术上的先进性和实用性，公司要求在项目的规划和实施中采用先进的计算机、服务器、网络设备以及系统管理模式，实现公司内部所有资源的合理应用和完善管理，使所有员工都能方便地使用公司内部网络，并能够

8、安全高效地访问公司内的网络应用服务和因特网。 1.1.1 网络总体要求 部门之间要求可以限制性访问，部门内部之间可以相互访问。网络要安全、稳定、高效。能够实现远程视频会议。能够实现文件共享和下载功能。能够高速访问Internet信息。网络综合管理功能。分公司可以访问总公司的内部网。易于维护管理。良好的售后服务。1.1.2 项目设计指导思想 此次深蓝集团网络建设将将采用先进的计算机、网络设备和软件，实现一个高效的办公网络系统。网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性，国内外及各行业的通用性，并且要有良好的市场形象与售后技术支持，便于维护和升级。 总体来讲，

9、为了使项目的实施顺利进行，并使系统规划能够满足深蓝集团的应用和发展的需求，在项目规划中应满足以下要求： 开放性：采用开放标准、开放技术、开放结构。 实用性：网络系统设计以实用、满足应用为主，不追求最高、最新。 先进性：计算机网络技术、软硬件技术的发展迅速，网路的设计要立足于较高的起点，保证系统有较长的生命力。 安全可靠性：同时考虑应用系统的设计、网络系统设计、硬件设备的选项配置几个方面，以确保数据的安全。 兼容与可扩展性：尽量采用成熟的技术，保证软硬件的兼容性，同时需考虑设备的更新于升级的能力。 经济性：在满足功能与性能的基础上实现性能/价格比最优。 可管理性：随着网络规模和复杂程度的增加，网

10、络系统的管理和故障排除将成为较难的事情，针对各种设备都要提供一定的网络管理功能。 主要依据原则如下： 项目设计应满足深蓝集团未来发展的要求，即在公司规模扩大、成立新的分公司、分公司合并时，本设计仍然能够满足公司运营的要求或方便的变更和升级。采用先进的、成熟的、业界标准的、在市场上有着广泛应用的技术。项目设计应遵循实用的原则，避免不切实际贪大求全。所有操作系统及应用采用正版软件。 所有网络设备应是主流产品，保证所有设备均为新品并能提供良好的技术支持服务。 工程实施严格按照同规格日期完成并保证质量。 工程实施需要提供详细的文档资料及配置手册。 应提供完整的培训及售后服务。 1.2 深蓝集团网络建设

11、要求 深蓝集团此次的网络建设是对2家分公司进行全新的规划设计，原有的网络设备不应用于其中，以便能够避免原有网络的性能不能满足应用要求、安全性和可靠性差的问题。1.2.1 现有网络现状分析 深蓝集团各分公司土建工程已基本完成，整个办公楼的网络具体建设目前也正待设施中。暗管已经走好，信息节点已经确定。本次项目的网络建设需要实现两个方面：一、各个分公司之间的网络连接，要求实现安全、高效的网络互联。二、办公楼各个楼层的网络连接，要求提供良好的网络系统应用平台，实现借助网络系统进行 VoIP 通话、设备共享和管理、利用无线 AP 进行 WLAN 上网等。该网络的建设将为我处大楼进入网络化运营与管理、网络

12、会议支持等多元化网络应用阶段打好基础，为各分公司提供工作效率、丰富经营模式、提升各公司业绩有力支撑。 1.2.2 网络建设要求 本次深蓝集团对新建办公楼宇网络建设要求充分考虑深蓝集团总网络的接入，使内部网络与外部的其它楼宇局域网有机的结合。根据实际应用情况实现部分用户可以通过静态 IP 地址或无线网卡访问外部网络资源，部分用户只访问所建网络内部资源。整个网络建设方案应本着实用性、安全性和经济性的设计原则，根据前面的所提供的集中汇集接入深蓝集团办公楼的方式来设计，具体需求如下： 建设一个通畅、高效、安全、稳定、可扩展的企业内联网，支撑深蓝集团内各类信息系统的运行，共享各种资源，提高企业的办公效率

13、，降低企业网络的总体运行费用。 建成的网络用户大楼机关办公部分可以访问外部网络资源，也可以访问内部网络资源，另外一部分只允许实用本大楼内部网络资源。网络整体具有良好的可扩展性，减轻维护人员的工作量，提高网络系统的运行质量。实现和因特网的高速可靠连接，要求网络连接高效、运行稳定、同时进行必要的安全访问控制。 具备良好的可扩展性，能够满足深蓝集团未来发展的需求，保护对该学院的投资。 由于网络中保存了办公、会议资料等众多数据，而且部分内容涉及大楼机密，因此该网络建设要充分的考虑安全的因素，全面保障学院网络系统和内部数据免受恶意攻击和破坏，同时可以有效的阻止内部网络病毒的传播，建成的网络需要提供全面而

14、完善的安全特性。 在项目实施完毕后，工程实施方要对深蓝集团的相关人员进行培训，并移交全部的项目工程资料，保证网络的正常运行和管理维护。 新建的网络支持视频会议、等多媒体的应用。 需要扩展网络与服务器有机结合，为内部网络系统提供良好的应用平台，服务器位置预设在四楼会议室，搭建的平台要求畅通、实用，避免由于数据交换频繁、数据量大而引起的网络拥塞、广播包泛滥问题，并解决大楼主机访问的安全性问题。 1.2.3 详细建设要求 新规划实施的深蓝集团网络将覆盖重庆、上海2家分公司，其网络建设需求如下： 施工方需自行组织光纤施工（光纤熔接工作）。 各个分公司的内部网络全部采用全冗余的结构来保障网络的高可靠性，

15、避免出现多级连接。 分公司内所有的信息服务应用均由总公司提供，服务器均放置在深圳总部，其它分公司通过网络远程访问。 出于网络安全的考虑，深蓝集团仅有单一的因特网访问出口，2家分公司要访问因特网必须通过深圳总部。 布线要求整齐、直观、简洁、明了，端口及线的两端需要有标注，配线架处需配有书面主交换机端口及对应线去向明细表。 施工方需提供施工设计方案及施工结束后的相关资料的书面和电子文档VLAN 划分明细、网络拓扑图、IP地址明细表。 网络设计为模块化的拓扑结构，总公司统一进行规划和管理，全网采用统一的网络方案和策略。 每个分公司的网络自成体系，单个分公司的局域网广播数据流和网络故障不能扩展到全网。

16、 所有分公司的局域网规划使用 VLAN、VTP等交换技术，提高网络运行的稳定性和可靠性。深蓝集团2家分公司网络互联的路由协议，要求使用收敛速度快、效率高的动态路由协议，保证2家分公司网络之间的可达性和稳定性。 出于安全的考虑，2家分公司的员工只允许访问深圳总部的服务器，而不能直接访问深圳总部员工和其它分公司员工的计算机。 考虑业务的需要，外出办公以及家庭办公的用户能够通过安全的隧道随时访问深圳总部的资源。 各个分公司之间能够进行免费的语音互通。 所有分公司里的员工能够在允许的范围内访问深圳总部的网络资源。 1.2.4 网络设备选型要求 为了实现网络设备的统一，也出于兼容性的考虑，此次网络建设计

17、划在交换机和路由器选型方面全部采用思科公司的产品。全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。此外，思科公司是全球领先的网络设备提供商，技术先进产品齐全，能够提供完善的支持与服务。 1.2.5 安全性和可靠性保证 为了保证深蓝集团的办公和生产经营，网络需要安全可靠地运行。因此在项目设计开始时就要采用统一的安全规则，以保证重要信息和网络系统本身的安全，采用的技术包括网络设备的冗余备份和线路与设备的切换机制等。在网络中也会配置防火墙、入侵检测等安全措施，以增加网络的安全性。 1.3 工程组织、测试与验收 项目工程实施方必须提供所有的硬件、软件和系统集成服务。工程

18、实施应在设备到货、安装及系统集成的过程中对深蓝集团的技术人员进行必要的技术培训，具体培训要求见 1.3.4小节。 1.3.1 施工组织 工程的实施方应成立专门的项目组，负责工程的实施，并在规定的日期前完成。在项目施工之前就需要制定完善的施工流程和施工计划，对施工的工期和进度安排进行规划。 深蓝集团负责组织验收。实施方和深蓝集团共同组成验收小组，对施工方提供的产品和集成系统进行检验。 实施方交付的系统必须符合深蓝集团提出的要求。 深蓝集团此次网络建设的项目必须进行最少 72 小时的连续测试，测试中如果有任何部分发生故障，则重新开始测试。如果 7天内测试通不过，深蓝集团有权停止验收并拒绝该系统。

19、任何测试必须整个系统完成通过，不允许部分验收。 系统交付验收是在完成安装、运行、测试和集成并通过验收后。 系统交付文档应按照合同中和实施方案中写明的提交时间分阶段提交相应文档，包括： 项目方案书； 工程实施报告； 项目终验报告。 1.3.2 工程实施 实施方在施工之前需要和深蓝集团进行沟通，确定项目的实施方案，制定详细的实施计划。 工程实施过程主要可以分为下面连个阶段： 1）设备的到货和验收； 2）系统的具体实施。 项目中使用的原有路由交换设备要进行一定的检测后方能在本次项目中使用。 项目中新购买的设备到货之后，将保持原包装的密封状态，由实施方的售后工程师和深蓝集团的有关授权人员共同拆开包装进

20、行设备的验收。验收工作包括对设备进行加电验收，对于有异议的地方要及时解决。 在设备无误，双方一致同意的情况下，参与验收的双方人员在一式两份的设备验收单上签字并加盖深蓝集团公章。 设备验收完成后，根据项目的进度安排，开始系统的安装实施工作。 作为实施方的售后工程师，应该有项目设备的发货清单，包括设备的数量、型号、序列号、配置等详细情况。 深蓝集团将在此之前准备好设备安装的场地，包括场地的供电、空调、防尘等。实施方的售后工程师应该在设备安装前进行场地的检查。 系统实施可以按照设计方案中的模块中的模块划分和项目施工安全进行。 各个部分的安装完成之后，进行系统的联调。 系统实施过程中需要按时提交有关的

21、施工文档。 实施方的项目经理、售后工程师，以及深蓝集团的相关人员，在系统的实施过程中应该保持良好的沟通。 1.3.3 工程测试验收 系统测试根据系统实施分三个阶段进行： 第一阶段：在系统每个模块实施完成后进行，要对各个模块进行基本的测试。主要包括交换设备的安装、配置及线路的连接，主要检查是否按照实施工艺的规范实施，各个部分能否正常工作。 第二阶段：在整个系统安装联调完毕后进行，要对整个系统的所有功能模块进行相应的测试。系统要满足深蓝集团在需求中提出的各项要求，重点检查路由部分能否正常工作，预先设计的对因特网的访问控制策略是否能够正常工作，运行是否稳定。 第三阶段：在整个系统试运行中进行，要对整

22、个系统的故障切换机制进行演练。模拟各种可能出现的故障情况，检验系统是否能够自动切换，是否打到了项目方案设计的目标。 1.3.4 系统运行、维护与人员培训 所有的网络设备在验收之后都必须提供至少 1 年的保证期，其间的维护服务不得收取任何费用。在保证期内，实施方的系统集成工程师必须在深蓝集团提出维护要求后的2小时内提出可行的解决方案，重大问题4小时内解决。 工程结束后半月内提供所有工程建设相关资料的书面材料与电子文档，全面结束完成之后提供3年的免费上面软硬件售后服务。 培训要求：为了使深蓝集团网络建成后能顺利投入运行，在项目建设的各个时期，应及时组织公司人员进行各类培训，例如前期的技术培训，实施

23、过程中的系统调试培训，后期的管理维护培训等。 培训人员：深蓝集团各分公司负责网络管理与维护的技术人员。 培训内容：网络设备的维护，网络系统的管理与维护。 培训方式：集中授课或在施工现场培训指导技术人员。 培训时间：按照深蓝集团的进度要求，实施方需列出集中授课的时间表。 第二章 方案设计 2.1 总体设计 无论是 VoIP、IP视频网络，还是各种应用系统（例如办公自动化、电子商务等），都需要构建在有效、可靠及安全的网络基础之上。就像盖房子，如果不打好地基，房屋很容易倒塌，最终将以失败告终。同样，如果企业网络的基础服务并不可靠，则 VoIP、IP 视频及电子商务等依赖网络服务的应用最终都将遭遇性能

24、及可靠性问题。 下面，我们将开始逐步讨论如何为深蓝集团构建一个高可用性的网络： 2.1.1 网络总体设计 按照深蓝集团的网络建设规划和总体要求，我们计划对深蓝集团的网络在利用原有综合布线系统和设备的基础上，重新规划实施，建设深蓝集团的企业内联网，以满足网络整体性能的要求，并为各种网络服务和信息系统的使用提供运行良好的网络平台。 深蓝集团的网络整体结构将按照下图所示规划实施从图中可以看到，深蓝2家分公司的局域网络将通过路由器连接成一个统一的企业内联网，满足深蓝集团对网络统一管理的要求。 分公司与总部通过路由器相连，计划使用OSPF（开发最短路径优先协议）作为路由协议。选用 OSPF的好处在于OS

25、PF作为链路状态协议已成为业界标准，在各厂商中具有广泛的支持基础，并且具有路由信息传输的可控性和路由链路负载均衡的能力。 OSPF 与 RIP（路由信息协议）等距离矢量路由协议相比，具有快速收敛的优势，能够支持更大型的互联网络，并且不容易受到有害路由选择信息的影响。同时 OSPF协议使用子区域的概念，可以有效减少路由选择协议对路由器的 CPU 和内存的占用，还能降低路由选择协议的通信量，这使得构建一个层次化的互联网络拓扑成为可能。 在深蓝集团的内联网设计中，我们也将采用区域划分的OSPF设计。深圳总部属于 Area 0（及骨干区域），上海分公司属于Area1，重庆分公司属于Area2。这样，如

26、果深蓝集团业务扩展，成立了新的分公司，只需将新的分公司划分到 Area3、Area4直到Area N 插槽，可以在需要时扩充更多端口，使网络路由的骨干部分具有良好的可扩展性。 重庆分公司和上海分公司通过帧中继虚链路连接到深圳总部。使用深圳总部的单一出口访问因特网，以提高网络的安全性，而且集团的所有服务器都在深圳总部实现，分公司只使用总部提供的应用服务，不需要自己建设。 由于所有的分公司都通过深圳总部的出口访问因特网，同时深蓝集团作为一家新型 IT企业，对于因特网的访问又非常频繁，所有此次申请了一条10M带宽的电信宽带接入链路作为整个网络的出口，以满足公司内对于访问因特网速度和带宽的要求。 出口

27、处配置防火墙（深蓝集团使用软防火墙），出入因特网的通信流量都必须通过防火墙的过滤，通过防火墙对深蓝集团的网络加以保护，并实现安全的控制以及网络的安全防护。各分公司的LAN部分为了保证网络的健壮和可靠性，将采用全冗余结构（如图 2.1 所示，实际上各个分公司内交换机数量为 28 台）。两台核心交换机采用三层交换机，利用三层交换技术实现 VLAN 之间的路由，同时两台核心交换机之间使用 HSRP 进行备份，以保障网络的健壮性和可靠性。 各个分公司的LAN部分在网络结构上分为 2层，核心层和接入层，接入层交换机全部冗余上行链路，分别上联到 2 台核心交换机，也保证了网络的健壮性和可靠性。同时，LAN

28、部分会启用 VTP和STP，实现 VLAN 的统一配置管理和环路避免。2.1.2 设备清单 深蓝集团网络建设项目中使用的路由、交换设备计划全部采用Cisco公司的产品(桌面交换除外)，具体参数见表： 设备型号设备功能网络位置TP-LINK TL-SF1024S二层,快速以太网型; 传输方式: 存储转发方式; 背板带宽:Gbps; 包转发率: 10Mbps:14880pps;100Mbps:148800pps;接口数目:24口; 传输速率: 10M/100Mbps;接口介质: 10Base-T:3类或3类以上UTP;100Base-TX:5类UTP;不支持VLAN功能; 不支持网管功能; 全双工

29、/半双工自适应; MAC地址表:8K; 支持网络标准: 桌面交换CISCO WS-C2918-24T二层,快速以太网型; 传输方式: 存储转发方式; 背板带宽:16Gbps; 最大DRAM内存:64M; 包转发率:6.5Mpps;接口数目:24口; 传输速率: 10M/100M/1000Mbps; 模块化插槽数:2; 支持VLAN功能;支持网管功能; 支持全双工; MAC地址表:8K; 支持网络标准: IEEE 802.3 ,IEEE 802.3u,IEEE 8接入层交换CISCO WS-C2960-24TC-L二层,可网管型交换机,快速以太网型; 传输方式: 存储转发方式; 背板带宽:16G

30、bps; 最大DRAM内存:64M; 接口类型: 10/100Base-T端口,10/100/1000BASE-T端口,1000Base-X SFP端口; 接口数目:24口; 传输速率: 10M/100M/1000Mbps; 模块化插槽数:2;管理端口:1;不可堆叠; 支持VLAN功能; 支持端口聚合功能; 支持网管功能; 支持全双工; MAC地址表:8K; 支持网络标准:汇聚层交换CISCO WS-C6509-E四层,企业级交换机; 传输方式: 存储转发方式; 背板带宽:720Gbps;包转发率:387Mpps;接口结构: 模块化; 接口数目:24口; 传输速率: 10M/100M/1000

31、Mbps; 模块化插槽数:9;管理端口:1;不可堆叠; 支持VLAN功能; 支持端口聚合功能; 支持网管功能; 支持全双工; MAC地址表:64K; 支持网络标准:核心层交换CISCO 2821模块化路由器; 包转发率:; 处理器: Motorola MPC860 160MHz; DRAM内存: 1024MB; Flash内存: 256MB; 固定广域网接口: 可选广域接口WIC卡; 固定局域网接口: 2个10/100/1000端口; 控制端口: RS-232; 扩展插槽: 4个HWIC插槽+1 EVM插槽+1个NME插槽; 支持协议:; 支持SNMP管理,Cisco ClickStart;

32、支持VPN功能;支持QoS功能; 有内置防火墙; 认证标准: UL60950:CAN/CSAC22.2No.60950,IEC60950,EN60950-1,AS/NZS60950分公司路由CISCO 2851模块化路由器; 包转发率:; 处理器: Motorola MPC860 160MHz; DRAM内存: 1024MB; Flash内存: 256MB; 固定广域网接口: 可选广域接口WIC卡; 固定局域网接口: 2个10/100/1000端口; 控制端口: Console; 扩展插槽: 4个HWIC插槽+1 EVM插槽+1个NME插槽; 支持协议:; 支持SNMP管理,Cisco Cli

33、ckStart; 支持VPN功能;支持QoS功能; 有内置防火墙; 认证标准: UL60950:CAN/CSAC22.2No.60950,IEC60950,EN60950-1,AS/NZS60950总公司路由2.2 设备命名规范 网络设备的命名和连接规范如同综合布线中线缆的标识、记录一样，都非常重要的。良好的设备命名和连接，可以使网络的结构清晰，帮助网络管理员更方便地管理网络，提高网络的可维护性设置路由器和交换机的名称，也就是设置路由器和交换机出现在 CLI提示符中的名字。一般以地理位置、型号或者用途来为交换机命名。当需要 Telnet登陆到若干台设备上以维护一个大型网络时，通过设备名称提示符

34、提示自己所调试的设备是位于哪里的哪一台设备，使很有必要的。 从上一节的设备清单中可以看出，深蓝集团此次网络建设中使用的网络设备主要包括 3 种类型：路由器、二层交换机和三层交换机，设备放置的地点分别在2家分公司，每家分公司设备的数量相同，因此，为了便于管理，我们提出设备的命名统一使用如下格式：地点缩写-设备类型-编号，其中： 名称全部由大写英文字母、数字和横线组成。深圳缩写为SZ、重庆缩写为CQ、上海缩写为SH。 路由器、二层交换机、三层交换机的类型代码分别为：R、S、RS。设备编号从1开始，有几台设备就编号到几。 例如，深圳总公司使用的第 12台二层交换机就命名为：SZ-R-12，重庆分公司

35、使用的路由器命名为 CQ-R-1。 2.3 VLAN划分与 IP地址规划 深蓝集团此次对2家分公司的局域网进行全新的规划，所有的子网都将遵循标准划分。规划的同时要考虑到未来网络的升级。 2.3.1 网段细分 在企业网络刚刚兴起时，由于企业网络规模小、应用范围存在局限性、对因特网接入的认识程度较浅、网络安全及管理的贫乏等原因，使得企业网络仅限于交换模式的状态。在这种交换模式下，LAN 交换机的每个端口均为自己独立的冲突域，但对于所有处于同一个 IP网段的网络设备来说，却同在一个广播域中，当工作站的数量较多、信息流较大的时候，容易形成广播风暴，甚者造成网络的瘫痪。 我们建议深蓝集团各分公司网络的细

36、分遵循2个依据：地点、部门。这样可以使网络结构清晰，各个公司和智能部门的隔离也更加安全，降低了日后维护的工作量。 按照地点划分，公司总部及2家分公司将划分不同的网段。 按照部门划分，公司总部及2家分公司内部的局域网，将继续按照部门划分更细致的、不同的网段。 不同网段之间的连通通过路由方式来实现，并可以在路由器上加以控制。 如果深蓝集团增加新的分公司，只需在网络总体结构中连接一个新的网段即可。 2.3.2 VLAN 划分 在一个大、中型网络中，VLAN（虚拟专用网）的划分时必不可少的步骤之一。划分虚拟子网可以隔离 VLAN 内的广播，解决以太网 LAN 内广播包过多的问题，提高网络的性能。一个

37、VLAN 可以根据部门职能、对象组或者应用来将不同地理位置的网络用户划分为一个逻辑网络。对于局域网交换机，其每一个端口只能标记一个 VLAN，一个 VLAN 中的所有端口拥有一个广播域，而处于不同 VLAN 的端口则共享不同的广播域，这样就避免了广播风暴的产生。可以说，在一个交换网络中，VLAN 提供了网段和机构的弹性组合机制。 在深蓝集团的网络建设中，必然要划分 VLAN。按照上一小节中我们提出的网段细分方法，将每个网段对应到 VLAN 中，可以得到 VLAN 划分规划见表。深蓝集团子网规划公司楼号层数部门信息点数网络号深圳总部行政楼第十层行政部vlan10500个点.0/16第九层第八层财

38、务部vlan11300个点.0/16第七层人事部vlan12200个点.0/24第六层开发部vlan13400个点.0/16第五层第四层销售部vlan14800个点.0/16第三层第二层运营部vlan15200个点.0/24公关部vlan16100个点.0/24第一层安保部vlan17200个点.0/24生产车间第五层车间5vlan18200个点.0/24第四层车间4vlan19200个点.0/24第三层车间3vlan20200个点.0/24第二层车间2vlan21200个点.0/24第一车间1vlan22200个点.0/24办公楼第五层后勤部vlan23200个点.0/24第四层第三层客服部

39、vlan24200个点.0/24第二层IT部vlan25100个点.0/24第一层服务器四栋生活区楼宇：每栋十层；平均每层45个点;每栋共450个点生活区A十层vlan26450个点.0/16生活区B十层vlan27450个点.0/16生活区C十层vlan28450个点.0/16生活区D十层vlan29450个点.0/16重庆分公司办公楼第十层行政部vlan50200个点.0/24第九层第八层财务部vlan51150个点.0/24第七层人事部vlan52100个点.0/24第六层开发部vlan53150个点.0/24第五层销售部vlan54300个点.0/16第四层运营部vlan55100个点

40、.0/24第三层安保部vlan56100个点.0/24第二层展厅/会议室/休息间vlan57100个点.0/24第一层大厅/前台生产大楼第四层车间4vlan58200个点.0/24第三层车间3vlan59200个点.0/24第二层车间2vlan60200个点.0/24第一层车间1vlan61200个点.0/24上海分公司办公楼第十层行政部vlan100200个点第九层第八层财务部vlan101150个点第七层人事部vlan102100个点第六层开发部vlan103150个点/24第五层销售部vlan104300个点第四层运营部vlan105100个点第三层安保部vlan106100个点第二层展

41、厅/会议室/休息间vlan107100个点第一层大厅/前台生产大楼第四层车间4vlan108200个点第三层车间3vlan109200个点1第二层车间2vlan110200个点第一层车间1vlan111200个点深蓝集团子网规划表需要注意的是：由于 VLAN 1是管理VLAN的，路由和交换使用的管理信息多在此VLAN 中传输，具有一定特殊性，所以最好不要用于最终用户的使用。 各个分公司所有部门对应的VLAN以及 IP地址都保持一致的原则，从全网的规划设计的角度上讲，这样划分可以使网络的架构更加明晰，所以在本方案中采用了一致的规划原则。 2.3.3 IP 地址规划 考虑到深蓝集团的实际情况和网络

42、改建的要求，此处讲对深蓝集团的 IP地址使用情况统一进行规划和设计。 深蓝集团此次计划采用A类私有地址，在上一节中提出的每个子网将规划使用一个A类私有地址，初步规划见上表。 深蓝集团现有员工10000余人，在按照地点、部门和功能划分以后，目前每个子网使用的 IP 地址都远远超出了现在用户和设备数量的需求，能够满足未来人员增长、设备增加的需求。同时，如果深蓝集团增加新的分公司，只需继续使用后续的A类地址即可，不会对网络 IP地址的结构造成影响。 2.4 交换部分设计 本方案中，交换部分的设计只介绍深圳总部的方案设计，其它分公司的设计大致一样。其中，三层交换机的路由功能设计，将在后面的路由部分和安

43、全可靠性部分进行描述。 2.4.1 交换部分总体设计 此次深蓝集团的网络改造，将对所有校区的局域网进行规划。为了深蓝集团网络能够高效、稳定地运行，便于管理与维护，此次深蓝集团对各个分公司的局域网交换技术的相关方面进行了规划设计，包括 VLAN、 VTP、 STP、 Trunk、EthernetChannel、三层交换等。 VLAN将广播限制在单个VLAN内部，较少了各VLAN间主机的广播通信对其它VLAN的影响。在 VLAN 间需要通信的时候，可以利用三层交换技术实现。 当网络管理员需要管理的交换机数量较多时，可以使用 VLAN 中继协议（VTP）简化管理，它只需在单独一台交换机上定义所有 V

44、LAN，然后通过 VTP协议将 VLAN 的定义传播到本管理域中的所有交换机上，这样，大大减少了网络管理员的工作负担和工作强度。 当网络内交换机数量增多或交换机链路增加时，都有可能因交换网络的复杂性提高而造成交换环路，或者为了提高网络冗余度而有意设置了交换环路，这就需要通过在各个交换机上运行生成树协议（STP）来解决。 此外，按照网络建设要求，各个分公司将建设一个双核心、全冗余的交换网络，其拓扑结构如下图所示。（注：下面只画出了深圳总部的局域网部分交换拓扑图，其它分公司的局域网交换部分拓扑图大致相同）其中所有的接入层交换机采用购买的二层交换设备，核心层交换机采用购买的两台四层交换机。全网交换机

45、配置 VTP，以对 VLAN 的设计统一管理。 两台核心交换机之间采用2条链路组成以太网通道，以提高核心交换机之间的带宽。所有的接入交换机都使用 2 条上行链路（设置为 Trunk），分别连接到2台核心交换机，采用STP对这样的交换环路进行阻塞，在保证上行链路冗余性的同时，避免了可能造成的广播风暴等问题。 由于 VLAN 的规划设计已经在上一节中讨论过了，所以从下面开始，我们将逐步详细介绍各个分公司的局域网交换部分所使用的其它技术以及规划设计的方法。 注：以深圳总部的局域网交换部分进行讨论，其它分公司所用的技术基本相同。 2.4.2 VTP 设计 当网络中交换机数量较多时，需要分别在每台交换机

46、上创建很多重复的 VLAN。工作量大、过程繁琐，并且容易出错。由于深蓝集团网络中使用的全部交换机都为 Cisco的产品，所以将使用 Cisco的专有协议VLAN 中继协议（VTP）来解决这个问题。 Cisco 公司专有的 VTP 协议能够从一个中心控制点开始，维护整个企业网络上 VLAN的添加、删除和重命名工作，确保配置的一致性，可以减少在数量众多的交换机上配置 VLAN相关的管理任务，降低认为因素导致的 VLAN 配置不一致现象（例如，VLAN 配置错误、名称不统一等），降低了配置的复杂性。 为使网络能够高效稳定地运行，便于管理与维护，深蓝集团内每一个独立的局域网都应当运行 VTP协议，下面

47、对深圳总部局域网中的 VTP进行规划： VTP域名为：kkk VTP版本为 V2 VTP域口令为：zhaoVTP修剪：启用 VTP Server 包括 SZ-RS-1、SZ-RS-2VTP Client包括 SZ-S-122 配置VTP修建是为了减少在中继端口上不必要的信息量。VTP通过修剪，来减少没有必要扩散的 VLAN 广播数据流量，提高中继链路的带宽利用率。 VTP的口令是为了保证 VTP域的安全。设置了口令之后，除非交换机设置了正确的口令，否则，新交换机不能自动加入到已存在的管理域中，可以避免 VLAN 被错误或恶意地增加、删除。 2.4.3 STP 设计 深蓝集团所有的局域网都采用全

48、冗余结构，在交换网络中造成了大量的交换环境，可能会引起网络中的广播风暴等问题，所以将在网络中启用生产树协议（STP），用来阻塞冗余链路，而在发生链路故障时，迅速启用被阻塞的冗余链路，启到链路备份的作用。 所以，此处的交换部分设计中，也将在各个交换机上启用生成树协议，并且我们将通过调整交换机优先级的方式，来指定性能较高的核心交换机（即两台四层交换机SZ-RS-1和SZ-RS-2）为根网桥。 并且，Cisco交换机支持每个VLAN的生成树（PVST），在本方案中我们也将采用这种方式，为每一个 VLAN 启用一个 STP实例。 VLAN12,13之间的流量转发将使用SZ-RS-1，而 VLAN10,

49、11之间的流量转发将使用SZ-RS-2，如果 VLAN 10,11和VLAN 12,13之间要互相通信，则两台核心交换机都需要用到。通过这种方式，不同 VLAN 的流量被分担到了 2 台不同的核心交换机上，还可以实现一定的负载分担功能。 2.4.4 Ethernet Channel 设计 从上面各小节的图中可以看到，在两台核心交换机之间设计了一条以太网通道，这也是系统的实际需要。 该以太网通道汇聚的是两条核心交换机之间的链路，分别使用了两台核心交换机上的f0/3和f0/4 端口，使两台核心交换机之间的链路带宽达到了200Mbps。而且核心交换机上有大量保留端口，随时可以扩充通道的带宽，最大可以

50、汇聚8条链路成为一条以太网通道。 同时，这条以太网通道也是两台核心交换机之间的Trunk链路，按照STP对不同 VLAN的根网桥做了指定之后，需用这条 Trunk链路承载不同 VLAN 之间的流量以及 VTP的各种消息。配置以太网通道可以提高冗余功能。因为两台核心交换机之间的连通与否关系到 VLAN10、VLAN11 和VLAN12、VLAN13之间是否能够互通，所以是非常关键的链路。使用以太网通道不但可以增加核心交换机之间的带宽，也可以增加这部分网络的安全可靠性。 配合以接入交换机的双上行链路，本方案可以实现极高的网络可靠性和健壮性，只要有一台核心交换机以及一半的正常链路，整个网络就可以正常

51、工作。 在配置的时候，优先使用标准的协议，如 802.1q。 2.4.5 VLAN 间路由设计 在两台核心交换机上各自为 VLAN 配置 IP地址，启用路由转发功能，各个 VLAN 内的计算机使用该地址作为网关，之间便可以实现互通了。 三层交换机技术在第三层实现了数据包的高速转发，从而解决了传统路由器低速、复杂所造成的网络瓶颈问题。 这里需要注意一点是，深蓝集团的局域网中，两台核心交换机启用路由功能，其上给 VLAN 配置的 IP地址将是上面所连计算机的网关地址。而两台交换机上同一个 VLAN只能配置不同的 IP 地址，所以这两台三层交换机还会采用 HSRP 方式形成互为备份关系，为每个 VL

52、AN上形成一个 HSRP组，使用HSRP组的虚拟地址作为 VLAN 的网关。 2.4.6 交换机的其它设置 为了更好的管理局域网内所有的交换机，需要增强交换机某些方面的安全设置，具体如下： 交换机使能口令的配置（建议加密的使能口令）。 交换机网关的配置以及线路密码的配置（便于远程管理交换机）。 交换机标识以及各个接口的标识的配置（用于更好地管理交换设备）。 备份配置信息（便于交换机出故障时恢复）。2.5 路由部分设计 对于企业内联网的路由器而言，可以使用一系列路由协议。选择路由器时需同时考虑网络设计和路由协议的选择。最常见的标准路由协议是RIP和OSPF，但 RIP并不适合大型网络。考虑到深蓝

53、集团内联网未来扩展的要求，我们将采用OSPF协议作为网络的路由协议。 OSPF路由协议是业界标准的网络协议，许多厂商的网络设备都支持它，因此它受到了广泛的应用。OSPF 路由协议能够快速收敛，支持无类路由（Classless）和变长子网掩码（VLSM），可划分区域，适合运行在大中型网络中。 设计方案从OSPF区域、指定路由器、路由器 ID 等方面进行了规划。 2.5.1 OSPF 区域规划 为了解决最短路由优先（SPF）算法的频繁计算、路由表过大、链路状态数据库过大的问题，OSPF将大型网络分成多个区域。划分区域具有以下优点： 减少OSPF路由协议的LSA泛洪，减少链路带宽的占用。 降低SPF

54、计算频率，减少路由器的资源消耗。 具有更小的路由表。 降低链路状态更新的负荷。 提高网络的稳定性。 深蓝集团的内联网 OSPF路由协议将采用多区域的方式。 深蓝集团中OSPF区域划分的原则如下： 深圳总部的路由器内联本地设备的接口属于Area 0。 深圳总部内的三层交换机上的路由器端口属于Area 0。 深圳总部的路由器下联各个分公司的接口属于该分公司的Area。 其它2家分公司中，重庆分公司在 Area 1，上海分公司在 Area 2。 分公司路由器只连接末梢网络，所以分公司的 OSPF区域均为末梢区域，并可设置成完全末梢区域，以减少 Area 16 中的LSA的泛洪数量。 具体的 OSPF

55、多区域划分如图 2.6 所示。 帧中继网络OSPF多区域划分总部（深圳）南郊分公司 高新分公司 陕图分公司双鱼分公司雁塔校区宝鸡兆嵘分公司Area 4Area 0Area 1Area 2Area 3Area 5Area 6 图2.6 OSPF区域划分图 按照这个原则，我们可以确定 OSPF 区域规划和区域内所属端口和网络的规划，见表2-6。 深蓝集团新建大楼网络设计方案 第33页 共 52 页 表2-6 OSPF区域规划表 区域 设备名称 端口 网络 VLAN 1、VLAN 50、VLAN 51、VLAN 52、VLAN 53、VLAN 54、 /24 、 /24 、/24 、 /24 、VL

56、AN 1、VLAN 50、VLAN 51、VLAN 52、VLAN 53、VLAN 54、 /24 、 /24 、/24 、 /24 、VLAN 1、VLAN 61、VLAN 62、VLAN 63、VLAN 64 /24 、 /24 、/24、/24 、VLAN 1、VLAN 61、VLAN 62、VLAN 63、VLAN 64 /24 、 /24 、/24、/24 、VLAN 1、VLAN 71、VLAN 72、VLAN 73、VLAN 74 /24 、 /24 、/24、/24 、深蓝集团新建大楼网络设计方案 第34页 共 52 页 VLAN 1、VLAN 71、VLAN 72、VLAN

57、73、VLAN 74 /24 、 /24 、/24、/24 、VLAN 1、VLAN 81、VLAN 82、VLAN 83、VLAN 84 /24 、 /24 、/24、/24 、VLAN 1、VLAN 81、VLAN 82、VLAN 83、VLAN 84 /24 、 /24 、/24、/24 、VLAN 1、VLAN 91、VLAN 92、VLAN 93、VLAN 94 /24 、 /24 、/24、/24 、VLAN 1、VLAN 91、VLAN 92、VLAN 93、VLAN 94 /24 、 /24 、/24、/24 、VLAN 1、VLAN 101、VLAN 102、VLAN 103

58、、VLAN 104 /24 、 /24 、/24、/24 、VLAN 1、VLAN 101、VLAN /24 、 /24 、深蓝集团新建大楼网络设计方案 第35页 共 52 页 102、VLAN 103、VLAN 104 /24、/24 、VLAN 1、VLAN 111、VLAN 112、VLAN 113、VLAN 114、 /24 、 /24 、/24、/24 、VLAN 1、VLAN 61、VLAN 62、VLAN 63、VLAN 64、 /24 、 /24 、/24、/24 、主意：交换机的管理 IP 地址也全部发布到了 OSPF 区域中，可以实现从深蓝计算机学院内的任何地方通过 Tel

59、net等远程登录方法实现对设备的管理和维护。 2.5.2 路由器 ID 规划 路由器的ID 是在 OSPF区域内唯一标识一台路由器的 IP地址。路由器首先会选取所有的 Loopback接口上数值最高的 IP地址作为路由器的ID，如果路由器没有配置 Loopback接口的 IP地址，那么它将选取自己所有的物理接口上数值最高的 IP地址作为它的 Router ID。用作路由器 ID的接口不一定要运行 OSPF协议。 使用 Loopback 地址作为路由器 ID 有两个好处：一个是 loopback 接口比任何其他的物理接口更稳定，因为只要路由器启动，这个环回接口就处于活动状态，只有路由器失效时它才

60、会失效；另一个就是，这样的网络的设计者将具有更好控制路由器的 ID 的能力。 注: 由于Router ID 的选举不具有抢占性，最好在路由模式下指定路由器的 Router ID 为Loopback地址。 所以，在深蓝集团的路由网络中，为了提高 OSPF路由协议的运行稳定性，在每台启用 OSPF的路由器和三层交换机上都将配置一个Loopback接口，使用该接口的 IP地址作为 OSPF 路由器的 ID。根据深蓝集团的 OSPF 规划，我们将采用一些特殊的地址作为 Loopback接口地址，具体的使用原则如下： 深蓝集团新建大楼网络设计方案 第36页 共 52 页 每个区域内设备的 Loopbac