大廈網路建設方案，可以受益頗多的一個案例！

建設原則

網路系統建設遵循統一規劃、分步實施的指導思想， 工程的設計必須在考慮到滿足 當前需求的同時， 充分考慮到將來整個網路系統的投資保護和長期需要。設計及實施充 分遵循以下原則：

1、分層原則

整個網路採用層次化結構分為：核心層、接入層，將整個網路功能細化到各層，實現方便管理和規範網路結構。

2、網路技術先進性和實用性

網建設採用的交換和傳輸技術，具有一定的前瞻性，符合一定時期內網路通訊技術發展的趨勢，並在今後一定的時期內處於主流地位。

3、採用標準化、開放的網路技術

整個網路系統在結構上實現真正開放，全部採用或符合有關國際標準， 使網路具有 良好的開放性和相容性。開放的系統可以使使用者自由地選擇不同廠家的計算機、網路裝置及作業系統， 構成真正的跨軟硬體平臺的系統。網路的設計基於國際標準，網路裝置採用標準的介面和規範的協議， 滿足使用者的不同需求並充分利用軟硬體資源，保證系統執行的安全可靠，並具有較長的使用生命週期，以適應其業務不斷髮展的需要，有效地保護使用者投資的長期效益。

4、網路高可靠性原則

由於企業的業務發展語音、影片會議、OA、ERP系統等應用對網路的穩定可靠執行要求特別高，對資料傳輸的實時性的要求也很高。因而要求， 一方面選用的網路裝置具 有相當高的可靠性，另一方面，在網路設計中要採用切實有效的系統備份、系統安全、 資料安全和網路安全措施，以保障網路的高可靠性和安全性。

5、網路可擴充性

隨著使用者應用規模的不斷擴大， 網路應可以方便地進行擴充容量以支援更多的使用者 和應用；隨著網路技術的不斷髮展，網路必須能夠平穩地過渡到新的技術和裝置。能夠 隨時透過增加網路裝置或模組來對現有裝置進行升級和擴充，並能把替換下來的裝置應用到分支或邊緣網路上。

6、安全性和保密性

在系統設計中，既考慮資訊資源的充分共享，更要注意資訊的保護和隔離，因此係統應分別針對不同的應用和不同的網路通訊環境， 採取不同的措施，包括系統安全機制、資料存取的許可權控制等，要有多種的保護機制，如劃分VLAN、MAC地址繫結、802。1x、802。1d 、802。1w 等，另外，未來保護系統內部的網路安全性，整網裝置支援ACL功能， 將病毒包及非法包都限制在二層裝置上，避免向上層網路擴散，保護網路整體的安全性設計。

7。 網路實現的高性價格比原則

在滿足基本需求的條件下，如網路的可靠性、安全性、效能和一定的可擴充套件性等，儘可能降低網投資改造的費用。網路技術和裝置的選擇以滿足需要為原則，不一味追求高檔次裝置。

8、網路的可管理性

建議網路系統中的所有裝置均應是可管理的，支援遠端監控和故障的過程診斷和恢 復，並可透過網管軟體方便地監控網路執行的實時情況，對出現的問題及時處理和解決。

建設目標

網路建設目標是：建設一個支援數字化、網路化、自動化的先進的基礎網路平臺， 滿足內部資訊共享、0A 系統的需要，也滿足企業資訊化建設的長期要求。網路平臺具 有良好的服務質量、較高安全性、便於管理和維護， 能夠支援企業的各種辦公和科研應用，資訊釋出。

骨幹速率採用1000M速率。網路關鍵節點建議使用能夠冗餘熱備保障系統連續穩定執行。具有高頻寬、高可靠、高效能、高安全的特性。

組網結構

基於以上要求分析，大廈網路解決方案總體設計以高性價比、高安全性、良好的可擴充套件性、可管理性和統一的網管為原則，以及考慮到技術的先進性、成熟性，並採用模組化的設計方法。我們提出採用如下拓撲結構方式進行網路建設：

具體網路詳細情況描述

機房分佈：在1 層、 2 層、 3 層、5 層、 8 層、10 層、13 層各設定弱電配電間，在1層設定大樓總機房。

無線 AP 接入點分佈： 1 層 X 個點、 3-14 層每層個 X 個點。

樓層資訊點匯聚情況：

1 層、 1、3 層牆插、電話到各層層配電間，4-5 層到 5 層配電間。

6-8 層牆插、電話到8 層配電間。

9-11 層牆插、電話到10 層配電間。

12-14 層牆插、電話到14 層配電間。

如上圖所示，採用層次化結構設計原則，分為核心層、接入層。本區域網組網模型將網路結構分為核心層和接入層：

● 核心層 ：核心層要承擔各業務應用伺服器與底下接入交換機的千兆連線，所以要配 置一臺高效能多業務交換機，要具備分散式業務處理體系結構，實現業務的 全分散式處理， 並能提供穩定、可靠、安全的高效能L2/L3 層交換服務， 以及電信級、自適應的可靠性設計。

● 接入層 ：接入層交換機要可以提供48 埠或者24 埠，並能透過千兆鏈路連線到 核心交換機，可以使用堆疊的方式擴充套件埠密度，同時能支援ARP防控，以 及多業務的融合能力，對業務需要的網路引數能夠自動生成、自動下發、自動調整和自動最佳化。

● 路由器部分 ：採用 H3C 的 MSR66002X1 新一代路由器將內網與外網分離，基本保護了內網的安全。

並能實現內部網路與廣域網互聯支援靜態路由、RIP、OSPF 等常見路由協議，支援NAT 功能。

● 無線 AP：未知產品

●IP 地址規劃

網路裝置選擇

基於以上分析建議選擇知名度較高、產品線全面 （包括交換機、路由器、防火牆、 儲存監控、等產品）、 售後服務完善（全國有 31 個備件中心）、國內交換裝置市場佔有 率第一的華三（華為）通訊技術有限公司的網路產品進行組網。

核心層：

採用華三通訊 （H3C）的 SR66002-X1 雙萬兆路由器是H3C 自主研發面向中高階 企業網、校園網使用者的緊湊型綜合業務閘道器路由器，定位於中大型企業、校園網、 網咖的 VPN 、NAT、 IPSec 等綜合業務閘道器使用，同時，也可以應用中型縱向網路 匯聚、高階企業使用者大型分支和運營商可管理高效能CPE 市場，配合H3C 其他網 絡產品為政府、電力、金融、公共事業、運營商和大中型企業使用者提供全方位網路 解決方案。

核心交換機則採用一臺H3C7506E系列高階多業務路由交換機

方案特點

1、對內部各個不同的樓層，根據不同的業務，劃分不同的虛擬網VLAN，一來保證 資料系統的安全，阻截無許可權使用者對關鍵資料系統的訪問，另一方面，透過VLAN的 劃分，縮小每種業務的廣播域，減小因資料的過度廣播造成對頻寬資源的浪費，保 證網路系統的資源有效的利用於必須的業務，提高業務處理能力，提高辦公效率。

2、透過合理的 DHCP IP地址分配，保證系統具有良好的結構化和合理的可擴充套件性。 對於每個部門分配相應的IP 地址段，並預留足夠的擴充套件空間，從而在一些部門使用者 數量急劇增加時，不因地址空間不夠用而造成地址管理的混亂，影響系統的正常運 行。

3、本網路方案支援多種ACL訪問控制策略，在整個網路系統劃分不同虛擬網路的同 時，在不同的網路間配置合理的路由和訪問控制策略ACL，能夠對使用者訪問網路資源 的許可權進行設定，保證網路的受控訪問。使路由表項不重複、不遺漏，以使資料在 合理的方向傳遞，保證路由資源的高效利用。

4、提供聯通專線、二級運營商兩項網路接入，雙網互備，方便移動使用者接入 internet。

配置步驟

1、建立 VLAN 10-140 ［Switch］vlan 10

2、將 E1/0/2口加入 VLAN10

［Switch-vlan2］port Ethernet1/0/2

3、進入 VLAN 介面 10 ［Switch-vlan10］int vlan 10

4、為 VLAN10配置 IP 地址

［Switch-vlan10-interface10］ip address 166。111。1。1 255。255。255。0

5、全域性時能DHCP功能

［Switch］dhcp enable

6、建立 DHCP地址池

［Switch］dhcp server ip-pool h3c

7、配置動態分配的IP 地址範圍、有效期、閘道器地址、DNS地址 ［Switch-dhcp -pool-h3c］network 166。111。1。0 mask 255。255。255。0 ［Switch-dhcp -pool-h3c］ expired day 3

［Switch-dhcp -pool-h3c］gateway-list 166。11。1。1 ［Switch-dhcp -pool-h3c］dns-list 202。106。0。20

8、配置某個地址為不可分配地址

［Switch］dhcp server forbidden-ip 166。11。1。1

9、指定 VLAN10虛介面工作在全域性地址池模式下

［Switch］dhcp select global interface vlan-interface 10

VLAN20 VLAN30相應的樓層配置如同上述命令

10、開啟遠端 Telnet 功能

user-interface aux 0

user-interface vty 0 4

user privilege level 3

set authentication password simple h3c