系统设计原则
目前的网络比以往任何时候都复杂。用户对网络的要求也不断增加,要求能自动执行任务、能简化的管理、能灵活的迁移。因此要求我们的网络基础架构规划和设计也基于简化IT,提升新商业机遇,开放的网络环境。不管是网络规模还是要求,任何网络设计成功实施的关键因素是遵循良好的结构化工程原则,这些原则包括:
层次化:
通过分层的网络模型设计一个可靠的网络基础设施,能将复杂的网络设计问题分成更小、更易于管理的领域。
模块化:
将存在于网络上的各项功能分隔成多个模块,使网络更易于设计。
灵活性:
能灵活的修改部分网络,在添加新服务或扩充网络时不需要影响整体网络架构。 (即更换主要的硬件设备)
总体拓扑
内部网络架构为2层结构: 核心层与访问层
两台冗余的思科C4500型核心交换机
思科无线控制器(可支持50个无线AP的许可证), 使用Cisco的AP SSO级别高可用性(HA)功能
每层有背板堆叠的思科2960(48口)POE分布层交换机通过光纤连至核心交换机
核心层:
物理网络核心交换设备使用两套CISCO C4506-E机框式交换机,提供内部网络的高速互访
两台核心间建立VSS逻辑交换系统,实现高可用的同时提高提高负载链路的利用率
多模万兆光纤接口接舶接入层交换设备
接入层
接入层网络设备采用双万兆SFP+上联接口的Cisco 2960X系列交换机,通过背板堆叠模块,每楼层接入交换机互相堆叠成组,每组双万兆上联至核心交换设备;全接口支持POE供电,满足分布式高密度的用户端口,提供用户点位的桌面IP话机或其他各类终端设备的连接入网。
接入层超额预订比例
为保证高密度的接入端口获得更高效无阻碍的上行交换能力,我们建议保持桌面端与核心交换机之间的上行带宽差额比例不高于15:1的比例。
我们设计的每楼层接入层超额预订比为:
(48port*1Gbps*6):(10Gbps*2)=14.4:1?
外部网络结构
外部网络为Internet + 专线结构:
1) Internet用于基本上网,使用深信服上网行为管理设备
2) 专线至上海电信ChinaHUB机房,有限访问FCA内部资源。
3) 专线至GACFCA长沙工厂,用于访问内部资源。
4) 使用Juniper SRX 650防火墙作为Internet出口网关。
广域网边界
广域网边界
Juniper SRX 650服务网关,置于广域网边界,作为站点的互联网出口网关设备,同时提供内外网的有效隔离和安全防护,提供高达 7.0 Gbps 的防火墙、1.5 Gbps IPsec VPN 和 900 Mbps 入侵防护系统 (IPS)。,以及各种丰富的安全扩展功能。
站点间互联
本站点通过两条运营商专线分别对接FCA的ChinaHub站点及GACFCA长沙工厂,用于访问内部资源。
分别由两台CISCO2921/K9接舶。
无线网络
使用无线控制器集中部署模式,由思科众多的如CleanAir,ClinentLink,Flexconnect等特有技术支撑,提供全区域高质量无线全覆盖。
Cisco的高可用性(HA)功能(即 AP SSO)设置允许无线接入点与活动的无线控制器建立 CAPWAP 隧道并与备用无线控制器共享无线接入点的镜像副本数据库。当主用无线控制器失效,并且待机无线控制器接管网络成为主用无线控制器之后,无线接入点不需要进入重新发现状态。
无线接入点和无线控制器在同一时间内只能维持一个处于活动状态的 CAPWAP 隧道。无线接入点 SSO 功能在支持思科统一无线网络上的总体目标是减少在无线网络中由于机箱或网络故障引起的主控制器停机时间。