夏向东

摘要：际华高分子材料高科产业园共13栋工房进行网络IT基础设施建设，在满足安全可靠性和实用性要求的前提下选择最先进的架构和产品，特别是符合计算机技术和网络技术最新发展潮流，要求能满足工业自动化、管理软件、数据库、网站、电子商务平台、视频会议、安防等系统的需要，要求实现数据（含无线）、固定电话、视频监控、电视（IPTV）等四合一网络，以保障未来工业园业务发展的需要。

关键字：核心交换;UPS;AP;IP地址

中图分类号：TP311      文献标识码：A

文章编号：1009-3044（2020）23-0239-02

1 设计原则

遵循实用性原则不仅要符合使用要求，还要最大限度满足各方实际需要，在项目现有的资源特点下，不做铺张浪费的设计，确保有限资源合理充分的利用，面向企业提供有效实用的管理数据及便捷的管理平台，提供性价比最高的信息化设备。

遵循安全性原则，安全性有着非常丰富的内容，也是网络设计中的重点，包括了建筑安全、设备安全、信息安全、管理安全、人身安全、重要设施安全等内容，为此网络设计需要可靠有效的发挥最大功效。

遵循节俭性原则主要体现在资金的合理分配方面，在网络设计中，避免浪费和堆砌化倾向，满足性能与价格之比在同类系统和条件下达到最优，另外还要考虑投入运营后的运行维护成本节俭方面。

遵循先进性原则，企业计算机应用涵盖了计算机控制技术，网络技术、数据、视频、影像等综合信息的编辑、控制、显示技术，网络设计与选型在满足安全可靠性和实用性要求的前提下选择最先进的架构和产品，特别是符合计算机技术和网络技术最新发展潮流，保证网络在一定生命周期的先进性。

2 总体方案

网络平台主体技术采用非常成熟的以太网技术，采用传统的三层模式。结合设备虚拟化等先进的容错技术，采用两台无阻塞的CLOS交换架构、多业务特性支持数据中心交换机构成高可靠、高容量、先进的网络核心层;汇聚层采用双万兆捆绑上行，千兆下行高可靠、多业务特性的数据中心高端交换机，满足高带宽汇聚的需要同时满足各种业务的扩展;接入层采用多业务特性、环境适应度高的接入层交换机实现终端用户的接入。

在考虑网络平台高可靠、高容量的同时对二、三层网络特性、终端计入与认证、网络安全、组播与QoS、无线网络、网络管理、IPv6等方面进行详细的设计。

网络整体结构分为核心网络、汇聚与接入、服务存储与网络管理、互联网接入等区域，网络结构以核心交换机为中心呈星形拓扑。

核心区域负载整个网络各个业务系统数据交换，对于核心交换设备可靠性、容量至关重要，同时考虑到对IPTV、IPv6、业务系统隔离的MPLS VPN等其他业务开展，核心设备还必须具备良好的业务特性支持及良好的可扩展性，满足当前网络需求的同时满足网络5～8年发展对网络带宽与特性的支持。

各车间工房接入交换机均采用万兆到核心，千兆到桌面，除了有线覆盖以外，实现办公区的无线网络全覆盖， 生产区根据需求有限覆盖，要求能满足工业自动化、管理软件、数据库、网站、电子商务平台、视频会议、安防视频监控等系统的需要。

3 网络设计

3.1 互联网接入

该区域主要负责互联网访问、VPN接入、安全防护等工作。为了提高网络可靠性方案设计采用防火墙与VPN接入分离，防火墙设计双防火墙实现双机热备。VPN接入设备旁挂的方式与防火墙互联;防火墙通过汇聚交换机汇聚后与互联网互联或者直接与互联网互联可提供达200M带宽互联网接入;防火墙分别通过1GE链路与核心交换机互联。

Internet互联区是承载整个园区应用系统和虚拟桌面系统的主要出口平台，承载的大量的数据和虚拟桌面流量，对网络的可靠性和安全性要求较高，采用双机双链路的方式部署，支持千兆出口，具备路由、链路负载、防火墙、VPN接入等功能。

3.2 核心交换区

核心区是个整个网络的核心，所有区域都接入到核心，与各区域之间的数据都通过核心交换数据，从网络可靠性和安全性的考虑，核心选择电信级设备进行组网，采用双核心交换。核心交换区作为整个网络的最重要部分，负责网络内数据的快速交换，网络承担着园区网络、IPTV、无线接入、业务系统、视频监控、电话等诸多功能区，要求采用先进的架构，支持高密高性能部署。

设备选用两台CE12808，同时每台设备配置1+1主控、4+4电源，设备间采用2+2的集群交换系统CSS来实现设备的高可靠性，及设备间的高带宽负载均衡。该设备在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计，能满足现代网络的多种业务承载融合和业务灵活分类、分流的组网需求以及能够支持多种IPV6过渡技术，为网络的高速稳定运行提供可靠保障，同时为将来网络的扩展升级提供有效预留，以节省投资，更加高效的发挥设备效益。

同時为了提高网络访问速率，将认证服务器（BAS）、高速缓存、无线AC直接挂接于核心交换机上。

3.3 汇聚层与接入

汇聚层是信息汇聚点，是连接接入层和核心层的网络设备，为接入层提供数据的汇聚＼传输＼管理＼分发处理，汇聚层为接入层提供基于策略的连接，如地址合并，协议过滤，路由服务，认证管理等。通过网段划分（如VLAN）与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互联，控制和限制接入层对核心层的访问，保证核心层的安全和稳定。

3.4 服务器/存储/网管中心

该区域设计大部分属于应用系统，包括考勤系统、门禁系统、信息系统，运维管理系统、上网行为管理等。该区域网络平台主要功能是对服务器等设备进行汇接，对交换机可靠性、转发性能要求较高，该区域部署两台高性能入侵检测设备及一台高性能交换机，根据服务器接入数量选择CE58系列数据中心交换机。与汇聚层交换机类似，该交换机通过双10GE接口进行链路聚合经IPS上行至核心交换机，千兆下行端口直接连接服务器类设备。

网络运维管理系统，要求具备网络拓扑监控管理、机房环境监控管理、IT设备监控管理、业务及应用监控管理、运维过程管理等功能。

为保障个网络区域之间的安全，路由器集成防火墙板卡，设置安全访问策略，以保障各个网络区域之间的安全访问。同时，配置上网行为管理，对内部上网行为进行审计管理。

3.5 无线网络接入区

采用无线控制器（AC）+瘦AP（Fit AP）的组网方式，瘦AP实现无线信号的处理，而用户管理、加密、漫游、AP管理等功能全部集中到AC进行， AP的供电可采用以太网供电（Power Over Ethernet，PoE），通过以太网线来汇聚AP的流量，同時为AP提供电源，这样可以简化布线，同时减少故障点，提高网络的可靠性。

3.6 机房供电

机房供电系统分UPS不间断电源系统和动力电源系统两大部分，UPS配电是供给计算机主机、网络设备、监控专用。

UPS系统是为所有计算机设备提供可靠的用电保证。UPS选用模块化UPS电源，以保证良好的扩展性。配置三个16KW电源模块，实现32KW的供电，另一个模块作为热备份。模块化UPS配置18路数字配电开关，同时配置相应的原装列头开关连接电缆与各机柜PDU连接。

UPS后备延时配置为2小时，以保证断电后关键设备仍能正常运行。

3.7 综合布线

1）办公网络信息点配线与总配线架

配线间所有采用耐威迪配线架，配线架应能支持彩色标牌，以实现色彩管理。每个分配线间根据需求配置19”标准机柜，要求所有24口6类1U配线架、光纤配线架、交换机都整洁而且安全的安装在标准机柜中。

办公楼综合布线系统数据总配线架采用48芯光纤配线架，配置足够数量的光纤跳线。

配线架要求安装方便，有理线托盘，线缆扎带可调整松紧并可以重复使用。每个机柜内配备足够数量的电源插线板、机柜隔板等。机柜上配有跳线管理环，所有跳线一律走跳线管理环，不允许线缆散乱在理线环外。水平数据跳线选用RJ45-RJ45带锁跳线，用于连接网络设备和配线架，以防止非法操作或误操作造成数据传输中断。

在整体设备配置中，可为所有设备（配线架、机柜、插座、跳线等）配置固定的、安全的标签加以标志。所有电缆将单独标签，所有的配线及跳线都予以标识并单独编号。所有使用的标签都为专用机器打印，标签打印在永久的粘贴性的标签上，并用永久性防水薄膜覆盖。标签的标准以TIA/EIA606为依据。

每个办公室安装接入面板，提供2个网口、2个电话口（IPTV）。

2）总配线架服务机柜布线

考虑到未来带宽的扩展以及系统的稳定可靠性，机柜间布线采用光纤预连接系统。两台核心交换机柜采用2台4U光纤预连接配线架，可安装12个24芯预连接模块，可支持288芯光纤。8台服务器机柜采用1U光纤预连接配线架，安装1个24芯预连接模块，可支持24芯光纤，未来可扩展到3个模块72芯光纤。核心机柜与各服务器机柜之间采用OM3 24芯MTP 预连接光缆，光缆分支器和拉手护套保证抗拉强度>600N，光缆外护套应符合低烟无卤标准，插损值≤0.35。

4 IP地址规划

园区每栋工房设4个子网 ，分别对应用有线上网、无线上网、生产设备、门禁与监控，每个子网IP地址段192.168.X.0/24，分别设置VLAN;每栋工房4个子网汇聚成了一个较大的子网 ，IP地址段192.168.X.0/22;整个园区13栋工房汇聚成了一个大的子网，IP地址段192.168.X.0/16。其中有线上网、无线上网自动获取IP，生产设备等手工设置IP。

参考文献：

[1] 《智能建筑设计标准》（GB/T 50314-2012）.

[2] 《建筑与建筑群综合布线系统工程设计规范》 GB/T 50311-2007.

【通联编辑：李雅琪】