方案广汽乘用车园区网络建议书.docx
《方案广汽乘用车园区网络建议书.docx》由会员分享,可在线阅读,更多相关《方案广汽乘用车园区网络建议书.docx(53页珍藏版)》请在冰点文库上搜索。
方案广汽乘用车园区网络建议书
广汽乘用车网络建议书
版本1.0
2015年8月
第一章建网原则与目标
1.1建网原则
∙高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各业务系统的正常运行。
∙技术先进性和实用性--保证满足用户应用系统业务的同时,又要体现出网络系统的先进性。
在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到楼层网络应用的现状和未来发展趋势。
∙高性能--骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输.
∙标准开放性--支持国际上通用标准的网络协议(如TCP/IP)、国际标准的大型的动态路由协议等开放协议,有利于以保证与其它网络(如公共数据网、金融网络、行其它网络)之间的平滑连接互通,以及将来网络的扩展。
∙灵活性及可扩展性--根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。
∙可管理性--对网络实行集中监测、分权管理,并统一分配带宽资源。
选用先进的网络管理平台,具有对设备、端口等的管理。
1.2目标网络
随着网络及应用技术日新月异,正在向应用多样化、综合化发展,本次系统网络的总体目标是建设一个具有较大容量高速传输能力的、有可靠稳定服务质量保证的信息化综合网络。
具体建设目标如下:
一、架构高速的网络通道,组建一个具有网络延时小、响应速度快、传输效率高、信息吞吐量大、高可用的综合应用网络,满足数据集中要求,具备业务可扩展能力。
二、建立多应用统一的网络平台,为目前和今后的业务与管理等不同应用系统提供统一的多功能的网络支撑环境。
通过完善的QoS服务质量保证手段,确保对于不同要求的应用能实现相应的延时变化、带宽及丢包率的具体要求,保证同一网络平台上的多种应用能够正常运行。
同时确保网络不发生拥塞,提高网络的使用效率。
三、建立具有先进性与可扩展性的网络体系,为广汽乘用车系统网络提供持续发展前景。
四、建立规化、标准化的安全体系,为全网提供安全可靠的安全运行机制。
五、建立统一的网络管理平台,应用高效科学的网络管理技术,实时监控网络运行情况,提高网络管理水平。
第二章组网方案
2.1方案设计
本次网络构建是因为广汽乘用车系统需要新建园区网络,需要考虑设备的稳定性、吞吐量和延时。
鉴于办公网络越来越丰富,对网络的带宽和性能的要求也在逐步提高。
本次项目网络的组网架构为典型的三层架构,楼层接入交换机堆叠后连接三层汇聚交换机,由汇聚交换机终结二层流量,数据中心核心交换机通过千兆光或电口连接服务器或者服务器接入区交换机,并且使用CSS集群技术将2台核心设备虚拟成一台,园区核心交换机使用CSS2技术集群,负责整个园区网络的流量转发,三层网络架构更为分明,便于管理维护。
构建后网络设备承载所有楼层全部的办公、服务器等关键业务。
2.1.1方案描述
楼层接入层交换机:
推荐使用10/100/1000M自适应交换机,即华为新一代绿色节能的全千兆高性能二层以太交换机S5700-28P-LI-AC。
通过iStack堆叠链路捆绑保证可靠性和防止网络环路,并且提高网络整体吞吐量。
S5700-28P-LI-AC交换机
园区核心交换机:
核心机房网络是核心,因此网络设备的处理性能、稳定性等因素决定了业务的质量。
为建设一个稳定、可靠、高性能的骨干网,我们建议采用高可靠性、高性能的华为公司S12708交换机,其主要亮点和创新有置ENP(华为自主研发下一代交换机芯片),支持SDN,支持随板AC,随板BRAS功能(即正常接口板卡,可以支持无线控制器和计费功能),CSS2交换网硬件集群(华为自主研发业界独创集群技术,交换背板集群方式)支持384*10GE/64*40GE。
S12708交换机
汇聚交换机:
推荐使用华为S5700-28C-EI-24S-AC、新一代绿色节能的全千兆高性能三层以太交换机,其主要亮点和创新有,4*10GE万兆上行,iStack堆叠,支持OSPF,BGP,ISIS,IGMP,IPV6支持EEE能效以太网支持G.8032支持双电源槽位
网络管理软件:
推荐使用华为Esight软件,eSight是华为企业网络产品线面向企业市场推出的IP+IT统一网络管理系统,遵循ITIL规,为企业和合作伙伴提供融合、开放的运维平台,实现对企业资源、业务以及用户的统一管理,可对全网设备提供统一性能、告警、资源、配置、拓扑能力,实现全网设备的统一管理,简化管理,提升运维效率,是网络运维优化必不可少的工具,其主要亮点和创新有,eSight智能报表NTA网流分析管理组件等
Esight软件
无线AP:
推荐使用华为AP5130DN,此AP为经济适用级802.11ac产品,整机1.75Gbps接入,特性丰富,适合部署在企业办公、机场车站、数字列车、体育场馆等环境,高密用户接入无忧,无线业务自在随行。
性能特点,3×3MIMO(三条空间流),最高速率1.75Gbps,外置天线,增益20dbm
2.1.2方案分析
本方案充分利用大容量设备简化网络结构,实现典型的三层结构:
核心,汇聚、接入三层网络结构。
当前主流厂家核心设备已经具备高密度10GE和40GE接口能力和Tbit交换能力,为网络后续升级提供足够的性能,满所有现网业务需求和未来3-5年的使用需求,减轻核心交换机转发压力。
从投资来说:
一次性投入,后续扩容只需增加接入交换机以及WLAN网络的配置。
从安全角度来看:
把二层网络围缩小,不安全的二层广播域围会大大减小。
从可靠性角度来看:
核心设备的可靠性设计达到冗余和负载均衡的目的,可靠性会提升一个量级。
从后期维护来看:
网络层次简单清晰,网络节点减少,更方便维护。
从转发效率来看:
网流量交换路径缩短,延迟肯定减小,整网规模减小,全网效率也会提升。
2.2网络结构的特点分析
本方案充采用典型的三层结构:
核心,汇聚、接入,结构较为清晰,便于扩展。
从投资来说:
一次性投入,后续扩容只需增加接入交换机以及这部分网络的配置;
从安全角度来看:
核心设备不容易受到直接干扰;安全策略和安全改造较容易实现;广播风暴限制在所级单位;
从可靠性角度来看:
网络层次比较清晰,便于扩展,核心压力较小;
从网络网络规划看:
有一个清晰的路由层面和交换层面,设备及互连链路减少,同时节省IP地址,规划更简洁。
乘用车现网网络架构分析
现有网络存在以下几个问题:
1.设备老旧容易出现故障,有中断业务的危险性。
2.设备互连方式没有冗余设计,容易出现单点故障。
3.设备性能低,难以维持日后的网络业务升级。
2.3园区网整体网络建设规划
2.3.1物理组网规划
如拓扑图所示,核心区域建议采用园区出口、核心层、和接入层的架构模型,具有如下的优势:
●层次化设计:
核心层、接入层,每层功能清晰,架构稳定,易于扩展和维护。
●模块化设计:
每一个模块一个楼层,部门部调整涉及围小,定位问题也容易。
●冗余性设计:
双节点冗余性设计,适当的冗余性提高可靠性,过度的冗余不便于运行维护。
●对称性设计:
网络的对称性便于业务部署,拓扑直观,便于设计和分析。
园区网核心区的星型设计使得网络架构简单,易于维护和部署。
但星型不等于不成环,仍然需要运行破环协议,推荐使用MSTP协议。
2.3.3核心层设计规划
核心层部署园区的核心设备,连接所有的汇聚交换机,转发各个部门之间的流量。
核心层对三个以上部门规模的企业来说是必须的,除了减少连线、路由Peer之外,让扩展以及日常策略调整也变得简单。
通常情况下,核心层需要采用全连接结构,保持核心层设备的配置尽量简单,并且和业务部门无关。
当前交换机技术发展已经开始走向虚拟化、软件定义化(SDN),所选择核心设备应具备向未来网络平滑演进能力,才能保障投资有效性
方案实际核心层部署园区的核心设备,通过2台核心双10GE链路连接数据中心交换机,1GE光纤链路连接汇聚交换机,转发各个楼层之间的流量以及数据中心流量。
园区核心层建议部署2台,使用CSS2技术将2台核心交换机虚拟成一台虚拟交换机进行业务处理配置集群方式是通过业务端口堆叠,部署集群的优点是组网配置管理简单、。
该方案重要特征是不存在网络单点故障,交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接入核心交换机,交换机之间采用TRUNK链路保证链路级可靠性。
为了增加网络可靠性、降低网络组网复杂度,办公楼网络未来向虚拟化、扁平化方向发展,同层次交换机可以多台虚拟成一台,接入交换机通过堆叠(Stack)特性,将多台接入交换机虚拟成一台接入交换机,核心交换机通过CSS2(ClusterSwitch)将两台交换机虚拟成一台交换机。
网络接入层/汇聚层/核心层交换机虚拟化后,可以减少网络节点、简化网络拓扑,二层网络不需要部署RSTP/MSTP/RRPP/SmartLink等复杂的环网协议和可靠性保护协议,实现无二层环路网络构建,提高二层网络可靠性和链路故障收敛性能,三层网络虚拟化的多台设备间路由表统一计算、路由收敛速度快,
通过交换机虚拟化设计,交换机互联的两条链路就可以作为Trunk链路进行管理,对于虚拟交换机而言,实现跨设备的链路聚合(TRUNK),大大增强链路可靠性,另外可实现链路的流量负载均衡,构建无二层环路网络,网络可靠性(链路故障自收敛性能)和带宽利用率都得到提高。
根据当前业务模块统计,广汽乘用车网络承载的业务类型主要有生产、办公、监控。
因此将基于这几部分业务流量进行分析未来网络承载能力需求。
暂按照本次网络满足未来5年需求进行分析,即能满足2020年业务需求为目标。
办公业务需求预计:
规模预计:
当前广汽乘用车办公终端大概有2000用户,预计今后每年有10%发展速度,即在2020年用户数将达近3220人
办公业务带宽需求模型预计:
当前每个用户带宽需求预计为22Mbps左右,其中
Ø办公业务:
18Mbps
Ø上网业务:
2Mbps
Ø语音业务:
128kbps
考虑每年用户业务带宽需求增长10%左右,那么预计在2020年单用户带宽需求约为35Mbps
由于上述需求主要为办公业务为主,并发率较高,在此按照80%并发计算,那么根据上述用户规模以及业务带宽需求,在2020年广汽乘用车整体网络需要承载的业务流量将达:
3220*35*80%=90.2Gbps
同时网络需要考虑至少50%冗余,那么2020年整网应该承载的办公业务流量需求为
90.2/50%=180.4Gbps
实际配置:
配置华为12708核心交换机,配置248端口电口和光口接口板,248口电口接口板卡,12口万兆接口板卡,每台机配置28端口集群卡,共使用4根线缆,每卡占用2个端口,此种集群方式主要在交换网板上配置,不占用宝贵的业务槽位。
2.3.4接入层设计规划
接入层是最靠近用户的网络,为用户提供各种接入方式,是终端接入网络的第一层,一般部署二层设备,双归属到汇聚层两个不同的交换机。
接入层除了需要部署丰富的二层特性外,还需要部署安全、可靠性等相关功能。
接入层需要具有高端口密度,以支持更多的终端接入园区网络。
车间接入交换机:
根据需求部署138台接入交换机S5700-28P-LI-AC在不同弱电井中使用业务端口堆叠技术进行堆叠,并通过千兆电口接入汇聚交换机,通过千兆电口接入汇聚交换机的combo电口口特点是易管理、易扩展、低成本的千兆到桌面的接入设备。
2.3.5汇聚层设计规划
汇聚层是部门的核心,转发部门用户间的“横向”流量。
同时提供到核心层的“纵向”流量。
对接入层隐藏核心层,作为园区网的配线架,将大量用户接入到互联的网络中,扩展核心层设备接入用户的数量。
如下图所示,汇聚层需要双归到核心层并支持接入层的双归接入。
通常汇聚层承担着L2/L3边缘的角色,需要具有高带宽、高端口密度、高转发性能等特点,用于支撑该汇聚层下各业务部门之间的流量
此次规划车间1和车间2等部署4台汇聚交换机,使用堆叠技术后将2台虚拟为一台后,每台配置一个单模光口上行模块实现双上行到核心交换机,便于管理和更加可靠运行。
共部署8台S5700-28C-EI-24S-AC,下行为千兆光口,上行为combo口,特点是扩展好,性能优支持三层功能,并且更加节能,成本低性价比高等特点。
2.3.6网管规划
华为网管方案主要采用esight,eSight是华为推出的新一代面向企业园区和分支网络的管理系统,实现对企业资源、业务、用户的统一管理以及智能联动,支持对IT&IP以及第三方设备的统一管理,同时对网络流量、接入认证角色等进行智能分析,自动调整网络控制策略,全方位保证企业网络安全。
同时eSight提供灵活的开放平台,为企业量身打造自己的智能管理系统提供基础。
还可支持NTA网流分析功能。
针对企业网场景,华为eSight提供多种应用,包括:
多厂商的设备管理;企业资源统一管理;可视化的企业统一视图;全方位的企业故障监控;机房精细化监控;辅助智能楼宇安防监控;企业网络监控性能管理;分权-分域-分时的用户管理。
实际配置:
平台软件一套含60个节点,以及配置一个200个节点的授权。
2.3.7无线规划
利用华为最新的802.11AC技术高,速可靠的无线接入服务,支持3×3MIMO,整机最高速率可达1.75Gbps,支持双以太接口的链路聚合。
适合部署在广汽物流仓库中,及时高密用户接入也无忧,方便各种哑终端接入,前期规划部署40个AP5130DN,连接以太网接入交换机通过POE模块供电。
2.3.8可靠性设计规划
从上述拓扑图可以看到,网络可靠性由双链路冗余来保证。
对于双链路冗余的网络,如果接入层进三层,在接入层和核心层之间采用三层路由的方式,通过等价路径再辅助部署BFD(BidirectionalForwardingDetection)快速检测故障,就能够保证链路故障、设备故障的快速切换,同时也能够充分利用冗余链路。
传统的方案是STP+VRRP的方案。
该方案通过阻塞某些链路的转发实现二层破环,虽然该方案采用了标准的协议,支持多个厂家设备的混合组网,但是其缺点也是显而易见的:
●收敛时间
传统的STP(SpanningTreeProtocol)技术收敛速度慢,在故障发生时,故障收敛时间>10秒;虽然采用RSTP进行优化,但收敛时间任是秒级,秒级的业务中断,会导致较差的用户体验。
●链路利用率低
如果同一机架的服务器属于同一VLAN,则有一个上行链路的带宽无法利用。
带宽利用率只有50%;虽然MSTP基于VLAN进行优化,但不能从根本上解决问题。
●配置维护复杂,网络故障率高
每个接入交换机和汇聚交换机都需要运行STP协议,随着接入交换机的增加,交换机需要处理的STP也越来越复杂,会导致可靠性问题。
我们推荐采用接入层交换机和核心层交换机间的链路进行链路捆绑方案来解决上述问题。
这个方案有四大优势:
●简化管理和配置
−组网变得简洁不需要配置复杂的协议,如:
STP/SmartLink/VRRP等。
●快速的故障收敛
链路故障收敛时间可以控制在<10ms,大大降低了网络链路/节点的故障对业务的影响。
●带宽利用率高
采用链路Trunk的方式,带宽利用率可以达到100%。
●扩容方便、保护投资
随着业务的增加,当用户进行网络升级时,只需要增加新设备,而不需要更改网络配置。
平滑扩容,很好的保护了投资。
该方案极大提高了可靠性,以单链路故障率为1小时/1千小时为例,增加到两条链路,就可以将故障率降低到3.6秒/1千小时,可靠性从3个9提高到6个9。
可靠性的另一个重要方面是设备可靠性,核心区设备一般为框式设备,在可靠性方面的要求包括:
●支持主控单元的备份
●支持电源模块的备份
●支持模块化的风扇设计,支持单风扇失效
●支持所有模块的热插拔
2.4在本方案中华为的优势
华为QuidwayS系列以太网交换机采用最新一代高性能硬件和华为公司自主研发的VRP软件平台,与业界同类产品相比,设计理念先进。
在本方案中,二层架构对核心层设备要求更高,还具有如下特点:
1、超大容量:
核心和汇聚层均推荐采用华为S12700高端路由交换机,可构建万兆核心网络、高密度百/千兆自适应接入;S7700整机可达30T的交换容量,每槽位支持12×10GE端口线速转发;最大支持512K路由转发表,能够支持更多三层业务的接入和线速转发;
2、高可靠性:
除了拥有主流的STP/RSTP/MSTP、RRPP、Smart-Link、Monitor-Link等二层高可靠性功能外,还支持BFD与各种路由协议的联动(包括BGP、IS-IS、PIM、FRR、VRRP、VRF和静态路由);汇聚层避免单链路故障;
3、标准开放:
华为公司的产品和技术成熟、广兼容,与Cisco、天融信、Redware等多厂商设备的多种技术兼容对接、稳定运行。
4、设备的高安全性:
核心交换机在二层架构中比在三次架构中更易受到攻击。
华为S7700支持层次化CPU通过保护:
对于从接口板转发到CPU的协议报文和管理报文,S7700根据协议类型对各类报文进行流量控制,从而避免CPU通道受到DoS(DenialofService)攻击而阻塞。
对于从接口板转发到CPU的协议报文和管理报文,进行详细分类识别、优先级处理,流量控制、白报文过滤、CPU队列QoS调度,CPU端口限速,阻塞防各种CPU攻击,如DDOS攻击、IPspoof、SYNFLOOD等等。
第三章网络技术方案
1.1VLAN规划
1.1.1VLAN概述
VLAN是将LAN的设备逻辑地而不是物理地划分为一个个网段,从而实现在一个LAN隔离广播域的技术。
当网络规模越来越庞大时,局部网络出现的故障会影响到整个网络,VLAN的出现可以将网络故障限制在VLAN围,增强了网络的健壮性。
1.1.2VLAN功能划分
用户VLAN
用户VLAN即普通VLAN,也就是我们日常所说的VLAN,是用来对不同端口进行隔离的一种手段。
VLAN通常根据业务需要进行规划,需要隔离的端口配置不同的VLAN,需要防止广播域过大的地方配置VLAN用于减小广播域。
VLAN最好不要跨交换机,即使跨交换机,数目也需要限制。
VoiceVLAN
VoiceVLAN是为用户的语音数据流划分的VLAN,用户通过创建VoiceVLAN并将连接语音设备的端口加入VoiceVLAN,可以使语音数据集中在VoiceVLAN中进行传输,便于对语音流进行有针对性的QoS配置,提高语音流量的传输优先级,保证通话质量。
GuestVLAN
网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN(即GuestVLAN),用户访问该VLAN的资源不需要认证,只能访问有限的网络资源。
用户从处于GuestVLAN的服务器上可以获取802.1x客户端软件,升级客户端或执行其他应用升级程序(例如:
防病毒软件、操作系统补丁程序等)。
认证成功后,端口离开GuestVLAN加入用户VLAN,用户可以访问其特定的网络资源。
MulticastVLAN
MulticastVLAN即组播VLAN,组播交换机运行组播协议时需要组播VLAN来承载组播流。
组播VLAN主要是用来解决当客户端处于不同VLAN中时,上行的组播路由器必须在每个用户VLAN复制一份组播流到接入组播交换机的问题。
1.1.3VLAN规划原则
一个二层网络规划的基本原则:
●区分业务VLAN、管理VLAN和互联VLAN
●按照业务区域划分不同的VLAN
●同一业务区域按照具体的业务类型(如:
Web、APP、DB)划分不同的VLAN
●VLAN需连续分配,以保证VLAN资源合理利用
●预留一定数目VLAN方便后续扩展
1.1.4VLAN规划建议
VLAN根据多种原则组合划分。
●按照逻辑区域划分VLAN围:
例如:
−核心网络区:
100~199
−服务器区:
200~999,预留1000~1999
−接入网络:
2000~3499
−业务网络:
3500~3999
●按照地理区域划分VLAN围
例如:
−接入网络A的地理区域使用2000~2199
−接入网络B的地理区域使用2200~2399
●按照人员结构划分VLAN围
例如:
−接入网络A地理区域A部门使用2000~2009
−接入网络A地理区域B部门使用2010~2019
●按照业务功能划分VLAN围
例如:
−Web服务器区域:
200~299
−APP服务器区域:
300~399
−DB服务器区域:
400~499
1.2IP规划
考虑到后期扩展性,在园区IP地址规划时主要以易管理为主要目标。
园区网中的DMZ区或Internet互联区有少量设备使用公网IP,园区部使用的则是私网IP。
IP地址是动态IP或静态IP的选取原则如下:
●原则上服务器,特殊终端设备(打卡机,打印服务器,IP视频监控设备等)和生产设备建议采用静态IP。
●办公用设备建议使用DHCP动态获取,如办公用PC、IP等。
1.2.1IP地址规划原则
IP地址规划的原则
●唯一性
一个IP网络中不能有两个主机采用相同的IP地址。
即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。
●连续性
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。
●扩展性
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。
●实意性
“望址生意”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备。
园区IP地址基本分类
●Loopback地址
为了方便管理,会为每一台路由器创建一个Loopback接口,并在该接口上单独指定一个IP地址作为管理地址。
Loopback地址务必使用32位掩码的地址。
最后一位是奇数的表示路由器,是偶数的表示交换机,越是核心的设备,Loopback地址越小。
●互联地址
互联地址是指两台网络设备相互连接的接口所需要的地址,互联地址务必使用30位掩码的地址。
核心设备使用较小的一个地址,互联地址通常要聚合后发布,在规划时要充分考虑使用连续的可聚合地址。
●业务地址
业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址,业务地址规划时所有的网关地址统一使用相同的末位数字,如:
.254都是表示网关。
●园区网部的IP地址
建议使用私网IP地址,在边缘网络通过NAT转换成公网地址后接入公网。
●汇聚交换机下接入的网段可能有很多,在规划的时候需要考虑路由是可以聚合的,这样可以减少核心网络的路由数目。
1.2.2DHCP规划
园区网中办公网络建议使用DHCP,每个DHCP网段应保留部分静态IP供服务器等设备使用。
SEP的局限性和应用限制
SEP是我司私有协议,不能和其他公司设备直接对接。
SEP协议具备较强的混合组网能力,从一定程度上解决了这个问题。
1.2.3SEP的应用场景和注意点
SEP协议应用于对保护性能要求较高的二层以太网络,可以支持复杂拓扑模型,是华为公司目前主推的快速环网保护协议。
典型场景包括四种:
●SEP单环
●SEP多环
●SEP通过普通edge端口与STP混合组网
●SEP通过
升级会员 