xxx园区网络资源规划方案.doc

1、 Xxxx 园区 IP 资源 规划方案 2014-12-26 目录 1 规划设计 概述 4 2 规划 设计 原则 4 3 网络 拓扑及结构分析 5 3.1 网络拓扑 . 5 3.2 网络结构分析 7 4VLAN 规划 设计 . 7 4.1 虚拟局域网（ VLAN）介绍 74.2 园区 VLAN ID 分配 方法 9 5 IP 地址 规划 设计 11 5.1 IP 地址简介 . 75.2 IP 地址规划方案 13 1. 规划设计概述 本方案 是以 xxxx 园区实际网络结构为基础，为了合理的分配和使用园区的网络资源而进行的 统筹 规划设计。 重点 在于 IP 地址、 VLAN等关键资源 的 规划

2、 设计上 。网络资源的分配，要与网络拓扑层次结构相 结合 ，既 能 有效地利用 各种网络 资源 ，又要体现 园区 网络的可扩展性、灵活性和层次性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由表的长度，减少对路由器 CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还 要 考虑到网络资源 的可管理性。 2. 规划 设计 原则 园区网的 IP 资源的 规划将遵循以下规划原则： 1)唯一性：一个 IP网络中不能有两个主机采用相同的 IP地址 ， 同一个 PON下 不能有两 个相同的 VLAN ID； 2)易 管理性： 资源 分配应简单 明了 且易于管理，以降低网络扩展

3、的复杂性，简化路由表； 3)连续性：连续 IP地址在层次结构网络中易于进行路径叠合，缩减路由表，提高路由计算的效率； 资源 的分配保证 资源 利用率；减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小； 4)可扩展性： 资源 分配在每一层次上都要留有一定余量，以便在网络扩展时能保证地址叠合所需的连续性； IP地址 和 VLAN分配处理要考虑到连续外，又要能做到具有可扩充性，并为将来的网络扩展预留一定的地址空间；同时，对所有各种主机、服务器和网络设备，必须分配足够的地址，划分独立的网段，以便能够实现严格的安全策略控制。 5)灵活性： 资源 分配应具有灵活性，以

4、满足多种路由策略的优化，充分利用地址空间； 6)层次性： 资源 划分采用层次化的方法， 和层次化的网络设计相应，在地址划分上 也采用层次化的分配思想 ； 7)先进 性 ：要考虑在条件成熟时，网络通信协议可以方便的从 IPV4过度到 IPV6 8)节约性 ： 根据服务器、主机的数量及业务发展估计， IP地址规划尽可能使用较小的子网，既节约了 IP地址，同时可减少子网内网络风暴，提高网络性能。 3.网络拓扑及结构分析 3.1 网络拓扑结构 园区的网络拓扑结构如下图所示 （以 西 区为例）： （ 鉴于项目重性， S9712 到 AN5516 间建议起 “ TRANK 模式 ” ， 即可以保护，又可以

5、起到流量分担的作用，此时两者间的物理链路必须为偶数据， AN5516最大可添加 12 条上联 ） 3.2 网络结构分析 为实现三网融合传输的建设目标， xxxx 园区的 基础 网络是采用以太网加 PON 光纤网络的形式搭建 ，基础网络主要应用模式 为 FTTH（光纤到户） 和 FTTO（光纤到办公室） 。 园区 骨干网一侧是 以 高速以太网 （ LAN） 构成 星形网络 结构 。 互联网 于园区 内网 间的互访 经 网络智能负载均衡器和 防火墙进行过滤后转发 。 园区服务器群挂在防火墙 DMZ 区内， 互联网 对服务器的访问采用端口映射的方式，对内 网 用户的连接 采用临时 IP 地址映射和V

6、PN 方式搭建数据通道，并统一由路由器进行转发。内网 用户 采用NAT（网络地址转换） 方式 接入互联网 ，通过设置防火墙回流方式访问数据中心服务器。管理控制中心通过核心交换设备直接访问数据中心服务器。 同时赢充分考虑到网络安全，做好 ACL 控制以及内部安全加密。 园区 光 传输 网络一侧是以无源光网络 （ PON） 构成的树形网络结构。 按园区建筑构造，每组团分配 两 个 GPON 的 PON 口 ， 一个 PON口 用于园区物联网 /传感网 数据传输 ， 一个 PON 口 用于为 园区企业 /用户提供 宽带、 IP 电话、 IPTV 等 服务。 整个园区基础网络通过 对VLAN 和 IP

7、 地址 的 详细 规划设计 ， 来进行网络资源 合理 分配。 4. VLAN 规划设计 4.1 虚拟局域网（ VLAN）介绍 虚拟局域网 （ VLAN） 技术用于在不更改网络的拓扑结构的前提下对局域网进行重组。采用虚拟局域网技术后，网管人员只需在交换机上对网络进行逻辑重构，即可使网络结构适应新的通信要求，并维持通信的高效率。具体的讲，虚拟局域网技术是通过路由和交换设备，在网络物理拓扑的基础上建立一个逻辑网络。每个 VLAN 都构成一个独立的广播域，处于同一 VLAN 中的网络用户可以不受地理位置的限制而像处于同一个 VLAN 上那样相互交换信息。 VLAN 必须在交换网络环境中实现，每个交换设

8、备均可根据网络管理人员所定义的 VLAN 划分方法对报文进行过滤和转发，并能将这种划分 信息传递到网络中其他交换设备和路由器中。 LAN 交换设备在 VLAN 的划分及实现低延迟的报文转发方面起着重要的作用。 VLAN 是一种不采用路由器对广播数据进行抑制的解决方案。在 VLAN 中，对广播数据的抑制由交换机完成。 VLAN 有如下几种划分方法： 基于端口划分的 VLAN 基于 MAC 地址划分 VLAN 基于网络层协议划分 VLAN 根据 IP 组播划分 VLAN VLAN 的优越性 ： 1） 增加了网络连接的灵活性 借助 VLAN 技术，能将不同地点、不同网络、不同用户组合在一起，形成一个

9、虚拟的网络环境，就像使用本地 LAN 一样方便、灵活、有效。 VLAN 可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了 VLAN 后，这部分管理费用大大降低。 2） 控制网络上的广播 VLAN 可以提供建立防火墙的机制，防止交换网络的过量广播。使用 VLAN，可以将某个交换端口或用户赋于某一个特定的 VLAN 组，该 VLAN 组可以在一个交换网中或跨接多个交换机， 在一个 VLAN 中的广播不会送到 VLAN 之外。同样，相邻的端口 不会收到其他 VLAN 产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。 3） 增加网络的安全性

10、因为一个 VLAN 就是一个单独的广播域， VLAN 之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。人们在 LAN 上经常传送一些保密的、关键性的数据。保密的数据应 提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了 VLAN 中用户的数量，禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置 于安全性 VLAN 中 。 4.2 园区 VLAN ID 分配方法 首先，不同的业务需要通过 Vlan 进行隔离；其次， Vlan ID 资源有限，每台交换机全局支持 4096 个

11、Vlan ID，尽可能合理的、优化利用 Vlan 资源；最后，在考虑到现有业务所需要的 Vlan 资源后，还要考虑到随着业务的发展， Vlan 的扩展性，这就务必要预留一部分 Vlan 资源。 从安全性的角度考虑，上网业务有必要通过每 企业 用户每 VLAN进行用户间的安全隔离；而 IPTV 业务中，机顶盒作为可信终端，用户间可不进行 VLAN 隔离 ； 同一 PON 口下不同 ONU 的 VLAN 不重复 。 园区网 络逻辑拓扑按每个独立厂 房 或开放办公室 房 安装 一个 用户 ONU，划分为若干 业务 VLAN。 理论上每个园区智能应用系统 划分为一个VLAN，实施过程中，带宽要求不高的

12、 智能 应用系统可以合用一个 PON口 ，但划分为不同的 VLAN。 由于 每台交换机全局支持 4096 个 Vlan ID，因此，设计园区各业务的 VLAN 取值如下 VLAN 取值范围 业务 OLT 网络侧 VLAN 备注 企业 数据接入 501 1499 按照 园区写字楼 使用单双层 VLAN WLAN 业务 3072 3583 WLAN 接入采用单层 VLAN 方式。 智能系统 64 96 各智能系统 使用单层 VLAN 方式 VOIP 32 63 VOIP 业务使用单层 VLAN 方式 网管 8 16 网管使用单层 VLAN 方式 保留 VLAN 1 7 17 31 97 500 1

13、500 3701 3584 4095 预留后续扩展使用 由以上取值范围，结合 xxxx 园区建筑功能布局和信息化系统功能，可以制定具体的 VLAN ID 分配规划方案。其中， 西区 1 号楼和西区 45 号楼为高层建筑采用 双层 VLAN 方案，其它低层建筑采用单层VLAN 接入方式，接入规则如下： VLAN 使用范围在 500-1499，东区建筑 54，西区 45，共计 99 栋楼，采用尾号计数法，对应关系东区 1 到 54 号对应 1 到 54，西区 1-45号对应 55 到 99，取值范围在 500-1499 之间。 例如，东区 8 号楼对应 508、 608 1408，西区 13 号楼

14、对应 567、 667 1467 等。 剩余的 VLAN ID 做为备用， 具体的 VLAN ID 划分表参见附表一： xxxx 园区 用户宽带 VLAN ID 对照表 VOIP 初期统一使用 32 视频监控系统初期统一使用 64 一卡通系统初期统一使用 65 无线覆盖初期统一使用 66 5. IP 地址规划设计 5.1 IP 地址 简介 IP 是英文 Internet Protocol 的缩写，意思是 “ 网络之间互连的协议 ” ，也就是为计算机网络相互连接进行通信而设计的协议。在因特网中，它是能使连接到网上的所有计算机 网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的

15、规则。 众所周知，在电话通讯中，电话用户是靠电话号码来识别的。同样，在网络中为了区别不同的计算机，也需要给计算机指定一个号码，这个号码就是 “IP 地址 ” 。为了方便人们的使用， IP 地址经常被写 成十进制的形式，中间使用符号 “.” 分开不同的字节。 如 IP 地址“1 92.168.0.1” 。 IP 地址又分为公网地址和私网地址， 公 网 地址（ Public address）由 Inter NIC（ Internet Network Information Center 因特网信息中心）负责。这些 IP 地址分配给注册并向 Inter NIC 提出申 请的组织机构。通过它直接访问因

16、特网。 私 网 地址（ Private address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址 A 类 10.0.0.0-10.255.255.255 B 类 172.16.0.0-172.31.255.255 C 类 192.168.0.0-192.168.255.255 园区的 IP地址规划就是在上述三类地址范围内， 合理的分配 xxxx园区各应用子网的 IP 地址 段。 5.2 IP 地址规划方案 为提高 xxxx 园区 网络数据交换效率及资源利用率 ， 所有 PON 网络一侧 的子网， 数据中心 服务器、管理控制中心和 骨干网 数据通信设备 均 在 C 类

17、IP 地址 192.168.0.0/24 和 10.0.0.0/8 中规划子网， 各个子网及 VLAN 之间允许通过路由策略互联 （注：业务子网无法访问管理子网） 。 子网 大致分配如下： 数通 设备内部地址： 192.168.0.0/24 东区 ： 10.1.X.0/24（ X 表示小区楼栋号） 西区 ： 10.2.X.0/24（同上） 管理控制中心： 192.168.1.0/24（含数通设备管理口） 数据中心： 192.168.2.0/24 保留： 192.168.3.0/24-192.168.5.0/24 智能应用系统： 192.168.6.0/24-192.168.25.0/24 保留

18、： 192.168.26.0/24- 每个入户（企业）或公共 ONU 分配一个 IP 地址，根据不同业务绑定不同的 VLAN，为便于记忆，做如下定义 ： 根据 IP 地址最后 一组 主机位 8bit 位 的十进制表示法， IP 地址的最后一组数字 取值范围 为 1-254，其中 1 作为各段的网关 ，可分配地址为 2-254。则 192.168.0.0/16 网段作为管理网段，通行设备管理业务以及管理平台， 10.0.0.0/8 网段作为业务 数据传输 网段，通行业务数据。 规则是东区采用 10.1.0.0/16 网段，西区 10.2.0.0/16 网段 ，按照小区楼栋作为三级地址，例如西区 33 栋，对应地址段， 10.2.33.0/24,东区 24 栋对应地址段 10.1.24.0/24， 子网按照需求划分，原则上遵循最小子网划分。