园区网网络规划与部署
随着互联网科技的发展,越来越多的园区网和校园网接入internet,本次主要阐述园区网网络规划与设计。此次项目中本人担任技术负责人角色,分别从机房建设、用户需求、设备选型、网络拓扑设计、IP地址规划、物理网络设计、项目实施到运维上线,项目周期为3个月,通过项目风险控制识别出有可能出现的越期事件提前预警,很好的避免了项目周期延长风险,顺利完成该项目。
传统企业的转型中尤其是以互联网为盈利的企业,网络担任的角色在企业中越来越重要,对网络的可用性、稳定性较为重视,传统的数据网络中以有线为主无线为辅,现如今随着移动办公的兴起,无线网络部署被越来越多的企业认可,本项目属于有线无线融合网络,很好的诠释了园区网网络建设流程以及规划和部署。
建设园区网首要任务就是机房选址,机房一般划分为3个等级机房即A\B\C级,等级级别根据业务的重要性与规模来评比,本次为C级机房建设,C级机房属于企业级机房,位置推荐使用2-5楼作为机房选址条件,因1楼作为机房,雨天可能会进雨水,高层不适合作为机房,对设备搬迁有一定的阻碍。机房内应配备双路电一路为市电一路为UPS电,机房内应配置照明灯以及应急灯防止机房断电无法照明,机房内还应配置灭火器、喷淋系统、烟感系统、以及温湿度监控,另外空调选型根据机房空间而定,本次项目中选用2台大金5匹马力空调,分别为一主一备,机柜的安装应按照冷热通道设计,即前为冷风通道后为热风通道,空调应设计在机柜前上方,使冷热前后输出达到给设备降温目的。机柜的选项应根据网络及服务器设备的型号来决定,例如服务器机柜一般为800*1200,网络设备机柜一般为600*800,高为2米。机房强电和弱电要分离,通过不同槽道接入,机房内应配置强电配电箱,以及电源线路图,部署UPS电池根据设备的功率计算得出需要采购多少台电池块。另外需要注意的是电池总重量,如果机房位置处于高层,多电池组的情况下,应考虑楼层称重能力是否需要加固等。
园区网一般部署有线网络和无线网络,通过与用户沟通使用专线接入集团网络,用户需要通过无线网络访问公司资源,领导办公室即可使用有线也可使用无线,有线无线网络通过员工账号认证登录上网,个别会议室需要部署智真设备,与其他分公司可以远程视频会议等需求。
设备的选型和带宽应根据人员规模、业务模型、以及对外提供的服务来分析计算使用的网络设备,例如人员规模200人,每人电脑页面平均打开10个页面计算,则PV量达到2000次,那么对应的设备应选择大于每秒2000次的并发量设备。依据这种规则来计算出选择需要的设备型号。
带宽值计算应计算出人员总数和估算出平均每人访问流量,比如每人访问流量每秒按照1M计算,套用公式(n*200)/2=M 则为100M。
根据用户需求本次项目中接入层使用S5700-EI交换机针对有线用户提供48口千兆网络通过6类线直通桌面,无线网络接入层使用S5720-POE交换机为AP供电,汇聚使用S5700-EI交换机,有线核心使用ME60-X3作为有线核心设备,无线核心使用AC6605设备,服务器使用华为RH2288v5,AP选用5030DN。
有线无线网络采用三层物理结构组网,接入、汇聚、核心,共同采用两台路由器作为网络出口与集团总部对接。
公司网络部署典型的C/S架构 802.1x认证技术,使员工通过工号认证登录访问资源,802.1x技术需配合AAA使用,即认证、授权、计费,通过在核心侧配置radius模板来指向radius服务器地址发送认证报文。
radius服务器需要储存员工工号以及密码,当员工登录时用户名和密码可采用哈希生成128位的散列函数+上用户名被封装进EAP协议内,(也可以使用其它加密算法)发送给核心设备,核心设备解封后获得用户名和摘要信息,通过radius协议封装发送给radius服务器做认证,服务器收到这串散列值和用户名后,通过查找本地账户内的用户名后,本地用户名和密码做一次哈希生成128位散列函数与收到的散列函数做匹配,一致则认通过,不一致则不通过。
为达到高可用网络该网络核心使用主备模式部署,有线网络ME60-X3通过RBP与RBS技术配合VRRP协议组成双击热备,并与上联NE40E路由器跑动态路由器协议ospf,与路由器上联主链路cost值设定为10,两台NE40E路由器互联cost值为20,备ME60-X3与上联路由器链路cost值为50,cost值规划决定了ospf的选路规则。在这种口子型组网下,尽量保证流量来回路径一致。
两台AC6605通过HSB+VRRP技术组成双机热备,上联配置默认路由方式指向出口路由器,无线AP采用静态方式配置管理地址,AP通CAPWAP隧道来注册至AC,PC业务地址通过dhcp方式下发,PC业务地址段封装进管理vlan内透传至AP设备,AP解封装后获得业务网段地址。
两台出口路由器形成A/B平面,并互为IBGP邻居关系,A/B路由器分别与集团网路由器建立EBGP邻居关系,通过network方式发布有线无线服务器地址段,由于是AB平面发布相同的业务地址段,这会导致对端学习到来自两台设备的相同路由情况,如果在BGP13条选路中前9条都为相同时则为等价路由,等价路由的出现则意味着接收的数据报文有可能来自不同链路方向,这对业务有这很重要的影响,因为两条链路来自不同的运营商,因此网络路径也不一样,所以在BGP发布前通过BGP策略来控制路由的选路,本次通过使用as-path属性值来影响对端设备的路由选路达到控制目的。
本次涉及有线业务、无线业务、服务器地址段、互联地址段和管理loopback地址段,业务侧地址段根据用户的使用数量规划相应的地址段,例如公司内部人数大概在200人,则分配一个C段网络即可,服务器地址采用静态配置,互联地址段一般使用30位掩码地址段,loopback地址使用32位掩码的地址段。
在网络拓扑协议规划阶段应编写LLD详细设计文档,包括网络设备的安装位置以及U数,电源开关是否符合3C标准,有线网络以及AP网线不得超过100米规范,超出100米距离则考虑添加接入层设备,通过单模光纤波长为1550接入核心机房,网络设备应配备双电源减少电源故障,定期清理空调水与设备防尘网等。
根据前期网络实施方案和脚本的输出,到现场施工时协调各方人员安装加电联调,以及联系运营商工程师测试光缆带宽,通过打流方式测试上下行带宽是否符合需求,设备调试完成后,做好标签标记,包括电源标签、设备标签、业务标签、AP标签、端口标签、以及配线标签图。预留现场施工人员以及运营商人员电话,后期有故障可及时联系处理。
通过各方人员不懈努力顺利的完成了该项目,项目完成时至今日已2年之久,至今运行良好使得客户高度认可,但项目中依然存在安全缺陷,网络攻击也在不断的改变,因此本项目中应部署防火墙等设备抵御来自外网的攻击。内部应部署流量监控软件,实时监测网络流量,分析流量是否存在威胁,减少网络安全事件的发生。