xxx园区网络资源规划方案

Xxxx园区IP资源规划方案2014-12-26目录1规划设计概述..........................................42规划设计原则..........................................43网络拓扑及结构分析....................................53.1网络拓扑.........................................53.2网络结构分析......................................74VLAN规划设计...........................................74.1虚拟局域网（VLAN）介绍............................74.2园区VLANID分配方法..............................95IP地址规划设计......................................115.1IP地址简介.......................................75.2IP地址规划方案..................................131.规划设计概述本方案是以xxxx园区实际网络结构为基础，为了合理的分配和使用园区的网络资源而进行的统筹规划设计。重点在于IP地址、VLAN等关键资源的规划设计上。网络资源的分配，要与网络拓扑层次结构相结合，既能有效地利用各种网络资源，又要体现园区网络的可扩展性、灵活性和层次性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络资源的可管理性。2.规划设计原则园区网的IP资源的规划将遵循以下规划原则：1)唯一性：一个IP网络中不能有两个主机采用相同的IP地址，同一个PON下不能有两个相同的VLANID；2)易管理性：资源分配应简单明了且易于管理，以降低网络扩展的复杂性，简化路由表；3)连续性：连续IP地址在层次结构网络中易于进行路径叠合，缩减路由表，提高路由计算的效率；资源的分配保证资源利用率；减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；4)可扩展性：资源分配在每一层次上都要留有一定余量，以便在网络扩展时能保证地址叠合所需的连续性；IP地址和VLAN分配处理要考虑到连续外，又要能做到具有可扩充性，并为将来的网络扩展预留一定的地址空间；同时，对所有各种主机、服务器和网络设备，必须分配足够的地址，划分独立的网段，以便能够实现严格的安全策略控制。5)灵活性：资源分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间；6)层次性：资源划分采用层次化的方法，和层次化的网络设计相应，在地址划分上也采用层次化的分配思想；7)先进性：要考虑在条件成熟时，网络通信协议可以方便的从IPV4过度到IPV68)节约性：根据服务器、主机的数量及业务发展估计，IP地址规划尽可能使用较小的子网，既节约了IP地址，同时可减少子网内网络风暴，提高网络性能。3.网络拓扑及结构分析3.1网络拓扑结构园区的网络拓扑结构如下图所示（以西区为例）：（鉴于项目重性，S9712到AN5516间建议起“TRANK模式”，即可以保护，又可以起到流量分担的作用，此时两者间的物理链路必须为偶数据，AN5516最大可添加12条上联）3.2网络结构分析为实现三网融合传输的建设目标，xxxx园区的基础网络是采用以太网加PON光纤网络的形式搭建，基础网络主要应用模式为FTTH（光纤到户）和FTTO（光纤到办公室）。园区骨干网一侧是以高速以太网（LAN）构成星形网络结构。互联网于园区内网间的互访经网络智能负载均衡器和防火墙进行过滤后转发。园区服务器群挂在防火墙DMZ区内，互联网对服务器的访问采用端口映射的方式，对内网用户的连接采用临时IP地址映射和VPN方式搭建数据通道，并统一由路由器进行转发。内网用户采用NAT（网络地址转换）方式接入互联网，通过设置防火墙回流方式访问数据中心服务器。管理控制中心通过核心交换设备直接访问数据中心服务器。同时赢充分考虑到网络安全，做好ACL控制以及内部安全加密。园区光传输网络一侧是以无源光网络（PON）构成的树形网络结构。按园区建筑构造，每组团分配两个GPON的PON口，一个PON口用于园区物联网/传感网数据传输，一个PON口用于为园区企业/用户提供宽带、IP电话、IPTV等服务。整个园区基础网络通过对VLAN和IP地址的详细规划设计，来进行网络资源合理分配。4.VLAN规划设计4.1虚拟局域网（VLAN）介绍虚拟局域网（VLAN）技术用于在不更改网络的拓扑结构的前提下对局域网进行重组。采用虚拟局域网技术后，网管人员只需在交换机上对网络进行逻辑重构，即可使网络结构适应新的通信要求，并维持通信的高效率。具体的讲，虚拟局域网技术是通过路由和交换设备，在网络物理拓扑的基础上建立一个逻辑网络。每个VLAN都构成一个独立的广播域，处于同一VLAN中的网络用户可以不受地理位置的限制而像处于同一个VLAN上那样相互交换信息。VLAN必须在交换网络环境中实现，每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发，并能将这种划分信息传递到网络中其他交换设备和路由器中。LAN交换设备在VLAN的划分及实现低延迟的报文转发方面起着重要的作用。VLAN是一种不采用路由器对广播数据进行抑制的解决方案。在VLAN中，对广播数据的抑制由交换机完成。VLAN有如下几种划分方法：基于端口划分的VLAN基于MAC地址划分VLAN基于网络层协议划分VLAN根据IP组播划分VLANVLAN的优越性：1）增加了网络连接的灵活性借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。2）控制网络上的广播VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。3）增加网络的安全性因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。4.2园区VLANID分配方法首先，不同的业务需要通过Vlan进行隔离；其次，VlanID资源有限，每台交换机全局支持4096个VlanID，尽可能合理的、优化利用Vlan资源；最后，在考虑到现有业务所需要的Vlan资源后，还要考虑到随着业务的发展，Vlan的扩展性，这就务必要预留一部分Vlan资源。从安全性的角度考虑，上网业务有必要通过每企业用户每VLAN进行用户间的安全隔离；而IPTV业务中，机顶盒作为可信终端，用户间可不进行VLAN隔离；同一PON口下不同ONU的VLAN不重复。园区网络逻辑拓扑按每个独立厂房或开放办公室房安装一个用户ONU，划分为若干业务VLAN。理论上每个园区智能应用系统划分为一个VLAN，实施过程中，带宽要求不高的智能应用系统可以合用一个PON口，但划分为不同的VLAN。由于每台交换机全局支持4096个VlanID，因此，设计园区各业务的VLAN取值如下VLAN取值范围业务OLT网络侧VLAN备注企业数据接入501～1499按照园区写字楼使用单双层VLANWLAN业务3072～3583WLAN接入采用单层VLAN方式。智能系统64～96各智能系统使用单层VLAN方式VOIP32～63VOIP业务使用单层VLAN方式网管8～16网管使用单层VLAN方式保留VLAN1～717～3197～5001500～37013584～4095预留后续扩展使用由以上取值范围，结合xxxx园区建筑功能布局和信息化系统功能，可以制定具体的VLANID分配规划方案。其中，西区1号楼和西区45号楼为高层建筑采用双层VLAN方案，其它低层建筑采用单层VLAN接入方式，接入规则如下：VLAN使用范围在500-1499，东区建筑54，西区45，共计99栋楼，采用尾号计数法，对应关系东区1到54号对应1到54，西区1-45号对应55到99，取值范围在500-1499之间。例如，东区8号楼对应508、608…1408，西区13号楼对应567、667…1467等。剩余的VLANID做为备用，具体的VLANID划分表参见附表一：《xxxx园区用户宽带VLANID对照表》VOIP初期统一使用32视频监控系统初期统一使用64一卡通系统初期统一使用65无线覆盖初期统一使用665.IP地址规划设计5.1IP地址简介IP是英文InternetProtocol的缩写，意思是“网络之间互连的协议”，也就是为计算机网络相互连接进行通信而设计的协议。在因特网中，它是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。众所周知，在电话通讯中，电话用户是靠电话号码来识别的。同样，在网络中为了区别不同的计算机，也需要给计算机指定一个号码，这个号码就是“IP地址”。为了方便人们的使用，IP地址经常被写成十进制的形式，中间使用符号“.”分开不同的字节。如IP地址“192.168.0.1”。IP地址又分为公网地址和私网地址，公网地址（Publicaddress）由InterNIC（InternetNetworkInformationCenter因特网信息中心）负责。这些IP地址分配给注册并向InterNIC提出申请的组织机构。通过它直接访问因特网。私网地址（Privateaddress）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址A类10.0.0.0--10.255.255.255B类172.16.0.0--172.31.255.255C类192.168.0.0--192.168.255.255园区的IP地址规划就是在上述三类地址范围内，合理的分配xxxx园区各应用子网的IP地址段。5.2IP地址规划方案为提高xxxx园区网络数据交换效率及资源利用率，所有PON网络一侧的子网，数据中心服务器、管理控制中心和骨干网数据通信设备均在C类IP地址192.168.0.0/24和10.0.0.0/8中规划子网，各个子网及VLAN之间允许通过路由策略互联（注：业务子网无法访问管理子网）。子网大致分配如下：数通设备内部地址：192.168.0.0/24东区：10.1.X.0/24（X表示小区楼栋号）西区：10.2.X.0/24（同上）管理控制中心：192.168.1.0/24（含数通设备管理口）数据中心：192.168.2.0/24保留：192.168.3.0/24-192.168.5.0/24智能应用系统：192.168.6.0/24-192.168.25.0/24保留：192.168.26.0/24-每个入户（企业）或公共ONU分配一个IP地址，根据不同业务绑定不同的VLAN，为便于记忆，做如下定义：根据IP地址最后一组主机位8bit位的十进制表示法，IP地址的最后一组数字取值范围为1-254，其中1作为各段的网关，可分配地址为2-254。则