企业网络设计方案

     随着近年来企业信息化建设的深入，企业的运作越来越融入计算机网络，企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输，构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。港湾网络凭借多年企业网络建设的经验，以一系列领先的产品技术倾力打造“高品质”的大型企业网络。 

1、 大型企业网络建设的思考

　　为适应企业信息化的发展，满足日益增长的通讯需求和网络的稳定运行，今天的大型企业网络建设比传统企业网络建设提出更高的要求，主要表现在如下几个方面：

　　1）现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通讯需求；

　　随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务，因此数据流量将大大增加，尤其是对核心网络的数据交换能力提出前所未有的要求。另外，随着千兆端口的成本持续下降，千兆到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10G级别机箱式交换机，由此可见，万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准，它的核心层及骨干层必须具有万兆级带宽和处理性能，才能构筑一个畅通无阻的“高品质”大型企业网，从而适应网络规模扩大，业务量日益增长的需要。

　　2）现代大型企业网络应具有更全面的可靠性设计，以实现网络通讯的实时畅通，保障企业生产运营的正常进行；

　　随着企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑：首先是设备级可靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察；其次是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。

　　3）现代大型企业网络需要提供完善的端到端QOS保障，以满足企业网多业务承载的需求；

　　大型企业网络承载业务的不断增多，单纯的提高带宽并不能够有效的保障数据交换的畅通无阻，正如八车道的长安街也经常堵车一样，所以今天的大型企业网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度，如视频、音频、数据流(MIS、ERP、OA、备份数据)，同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。

　　4）现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失；

　　传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证企业网络的稳定运行。

　　5）现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要；
　　当前的网络已经发展成为“以
应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力，有时甚至是不可能的任务，所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。

　　港湾网络作为专注于宽带IP领域的设备供应商，针对以上现代大型企业网络建设的需求，提出应用智能交换和万兆技术构建新一代“高品质”大型企业园区网络，以促进企业信息化的建设。

2、 港湾大型企业网络解决方案一（路由器组网模式）：

2.1方案简介：    

　　本方案是针对于地域跨度较广，分支机构较多，网络规模较大的超大型厂矿集团企业，如石油、煤炭、冶金、钢铁等行业。在本方案中我们推荐网络的核心层采用港湾网络Power Hammer P系列万兆核心路由器构建一个高性能、高带宽的万兆数据传输平台，在各分厂/公司的核心（即网络的骨干层）采用港湾网络Power Hammer ESR系列多业务路由器构建一个路由交换一体化的平台，实现所有园区网汇聚层设备的千兆汇聚交换路由，在接入层我们推荐用户采用港湾网络μHammer3550E系列安全智能以太网交换机完成企业用户的接入；
　　港湾大型企业网络解决方案一（路由器组网模式）示意图

2.2网络说明：

2.2.1核心层网络设计：

　　大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发，以及维护全网路由的计算。鉴于大型集团企业的用户数量众多，业务复杂，QOS要求较高的特点，在本方案中采用港湾网络的PowerHammer P系列T比特万兆核心交换式路由器组建高性能的核心网络平台。

PowerHammer P640/P320/P160是高性能、大容量的电信级核心路由器，其采用世界最先进的硬件技术，使其能够提供10G平台高速包处理技术来增强海量业务处理能力，从业务驱动的角度实现IP核心网络质的飞跃。

　　同时PowerHammer P系列路由器具有丰富的业务功能，可以支持MPLS转发以及基于MPLS的二层VPN和三层VPN, 以实现透明的以太网传输服务(TLS)满足大型企业网络不同业务系统，不同行政部门之间的安全隔离，并且Power Hammer P系列路由器具有丰富的QOS特性，能够很好的支持MPLS VPN的流量工程，针对不同的业务实现完全的QoS保障；

　　为提高核心网络的健壮性，实现链路的安全保障，本方案核心层环网中可以采用ERRP（以太网冗余环网保护技术）技术，其提供类似于SDH的50ms网络自愈保护倒换功能，从而实现了核心网络的高可靠性，ERRP技术是目前业界为数不多的万兆以太网环网保护技术，具有延迟小、可靠性高等优势，完全可以媲美RPR技术（RPR目前还无法支持10G），而且无须提供专用硬件接口，降低了成本。

2.2.2骨干层网络设计：

　　大型企业生产办公网络的骨干层网络主要完成园区内各汇聚层设备之间的数据交换和与核心层网络之间的路由转发。传统解决方案一般采用骨干路由器＋核心交换机来组建，但这种方式受限于交换机的性能，在提供MPLS VPN的业务能力方面较弱，不适合大型企业网络的建设需求，同时现在的大型企业办公网络具有城域网的特点，网络发展具有网络扁平化的发展方向，因此本方案骨干层网络设备采用港湾网络的Power Hammer ESR系列多业务路由器作为大型企业生产办公网络的园区核心路由交换设备，Power Hammer ESR基于万兆平台技术，实现业务、路由、交换一体化的设计架构，具有强大的业务和路由处理能力，能提供如MPLS VPN、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证和计费等丰富业务能力，并可通过内置防火墙模块实现各种强大的网络安全策略，可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求，并能够提供完善的安全防御策略，保障企业园区网络的稳定运行。

2.2.3汇聚层网络设计：

　　汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结，在本方案中采用港湾网络的BigHammer6802交换机或FlexHammer5000系列多层交换机作为汇聚层面的交换机。前者在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要。后者能够更加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力，可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。

2.2.4接入层网络设计：

　　以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力，而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备，这给汇聚层和骨干层设备带来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设备瘫机，使网络没有QOS服务质量保障。

　　港湾网络μHammer3550E系列安全智能多层交换机是为了满足高安全、多业务承载、高性能的网络环境所开发的新一代二层智能交换机，具备传统二层交换机大容量、高性能等优点，同时还具有领先的安全特性，进一步加强了企业网络对边缘接入层面的安全控制能力。 用户可以根据需要来订制自身的安全策略并部署在此交换机上。此系列交换机上还已预先设定了很多安全功能，如CPU防攻击能力、防流量攻击病毒的能力、防组播、广播攻击的能力；使交换机能够智能的自动阻断或隔离内外部的攻击和网络病毒。除此之外，此交换机还具备多个专用堆叠接口，可以满足楼层，楼宇内多个交换机高性能汇聚的需要。

2.3方案特点：

1）电信级的可靠性设计：

　　港湾大型企业网络解决方案从核心层的PowerHammer P系列路由器到骨干层的Power Hammer ESR系列多业务路由器，以及汇聚层的BigHammer6802交换机全部为电信级产品，其关键部件如主控板、交叉板、电源板均支持冗余备份，可以实现主控切换后原相关表项数据不丢失，保证不间断的路由，交换网板负载分担，在0时间内完成备份，数据在备份过程中无丢失，并且设备支持ERRP（以太网冗余环网保护技术）技术和HSRP及VRRP协议，可以实现完善的链路安全保护方案。

2）稳定的业务处理能力：

　　港湾大型企业网络解决方案中主干网设备采用领先的万兆技术架构在复杂的业务处理过程中，可以保证从进物理接口－交换网－出物理接口达到恒定的线速处理能力和固定的时延（无抖动），同时由于骨干层的Power Hammer ESR系列多业务路由器采用了性能强大的NP网络处理器作为路由引擎，可以保证在数千条ACL部署情况下仍然能够达到线速转发。

3）良好的多业务支持能力：

　　港湾大型企业网络解决方案中主干网设备具有良好的多业务支持能力，能够提供如MPLS VPN、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证和计费等丰富业务能力，并可以实现基于MPLS的二层VPN和三层VPN,满足大型企业对于移动办公以及关键业务隔离的需要。

4）完善的网络安全体系：

　　港湾大型企业网络解决方案具备完善的网络安全防御体系，在用户层面， μHammer3550E系列安全智能多层交换机可以提供用户受控接入、端口反查技术追捕、交换机与IDS联动等特色功能，在网络层面可以实现病毒、黑客攻击自动防范、流量超标自动监测告警，在业务层面可以实现关键业务带宽保证和基于应用业务的带宽控制功能。同时Power Hammer ESR系列多业务路由器和BigHammer6802交换机通过内置防火墙可以有效实现多级别安全控制，从而构筑牢固的大型企业网络安全防御体系。

5）端到端的QOS保障：

　　港湾网络全系列的交换机采用智能流处理技术，可以识别数据包当中的应用类型，并根据用户策略对于不同应用或不同用户的数据包赋予不同的优先级进行转发处理，ESR系列路由器通过Diffserv与MPLS结合传递IP QOS优先级，并实现MPLS与RSVP结合提供流量工程，从而实现了业务传送全过程的QOS保证。
6）便捷的网络管理能力：

　　为保证日常工作的不停顿，良好的网络维护也是网络规模运行的基础。港湾网络提供的通用网管平台EasyTouch以及管理港湾全网设备的网元管理软件HammerView具备支持多种数据库、多个操作系统平台的兼容能力，通过通用化的全中文图形界面、设备面板管理界面、灵活而及时的告警机制、全网策略性的权限管理等特色功能可以为大型企业网络提供了实用的网管解决方案，确保了网络运行的安全高效。

3、 港湾大型企业网络解决方案二（交换机组网模式）：

3.1方案简介：

　　本方案是针对于地域跨度不大，用户较为集中的工厂企业集团用户，如烟草、机械制造、化工、食品等用户。在本方案中我们推荐网络的骨干层采用港湾网络BigHammer6808万兆核心交换机构建一个高性能、高带宽的万兆级数据交换平台，在各办公楼宇的核心（即网络的汇聚层）采用港湾网络BigHammer6802型骨干智能多层交换机或FlexHammer5000系列安全智能多层交换机组建网络的汇聚层，在接入层我们推荐用户采用港湾网络μHammer3550E系列安全智能以太网交换机完成企业用户的接入；对于企业总部与异地分支机构的互联建议采用港湾网络的NetHammer路由器，利用DDN或ADSL等接入方式组建DVPN（动态虚拟专用网络）网；对于企业IP语音的通讯需求可以选用港湾网络的SoftCo9200/9500/5816系列IP语音交换机配合SoftUp系列语音接入网关设备组建企业自己的IP语音通信网；

3.2网络说明：  

3.2.1核心层网络设计：

　　考虑到此类企业网络规模较为集中，主要完成园区内部的数据交换，所以在核心层的网络中我们采用了港湾网络BigHammer6808型骨干智能多层交换机组建整个企业园区的万兆核心交换平台，并由BigHammer6808交换机的内置防火墙负责整个网络的安全控制。
　　BigHammer6800系列骨干智能多层交换机是港湾网络公司在现今网络融合的趋势下，针对目前电信级城域网及大型园区网对核心设备高性能、高可靠性、高智能、高安全、高端口密度和复杂业务支持的要求，推出的自主研发的新一代基于10G平台的骨干交换机，交换容量高达640Gbps，整机最大支持336个百兆端口、336千兆端口或者28个万兆端口，端口密度完全满足用户千兆交换和接入的需求，同时Big6800还支持POS等广域网接口。利用ESP系列扩展模块，Big6800交换机可以支持超大路由表、MPLS、VPN、策略路由、用户认证、NAT等特性。并利用内置防火墙模块支持网络内部的高强度分区安全策略，从而为用户构建高性能、高安全、高智能的IP网络提供一个优秀的平台。

3.2.2汇聚层网络设计：

　　企业园区网络的汇聚层主要完成园区内各楼宇接入层设备的汇聚及本地的快速三层转发，所以在本方案中采用港湾网络的BigHammer6802交换机或FlexHammer5000系列多层交换机作为汇聚层面的交换机。前者在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要。后者能够更加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力，可支持包括智能的CCL、MPLS、组播在内的各种业务，为用户提供丰富、高性价比的组网选择。

3.2.3接入层网络设计：

　　对于网络安全和QOS要求较高的企业用户，我们推荐采用港湾网络μHammer3550E系列安全智能多层交换机，该交换机是为了满足高安全、多业务承载、高性能的网络环境所开发的新一代二层智能交换机，此系列交换机已预先设定了很多安全功能，如CPU防攻击能力、防流量攻击病毒的能力、防组播、广播攻击的能力；使交换机能够智能的自动阻断或隔离内外部的攻击和网络病毒。除此之外，此交换机还具备多个专用堆叠接口，可以满足楼层，楼宇内多个交换机高性能汇聚的需要。

3.2.4广域网互联设计：

　　针对于大型企业需要良好的出口网关设备，我们建议用户选用港湾网络的NetHammer M582/M562高性能全模块化多业务路由器，采用GE/FE/155M POS/E1等多种方式接入互联网络，该款产品采用NP处理器作为路由器引擎，可以作为高性能VPN 网关、高性能NAT网关、MPLS VPN网络中的PE、IP语音GK，可以充分满足大型企业园区对网络出口的路由器具备较高的转发能力和很强的多业务支持能力的需求。

3.2.5 企业VPN网络设计：

　　随着经济发展，大型企业分支机构原来越多，为便于企业的统一管理，本方案建议采用港湾网络的NetHammer M系列路由器，利用目前运营商提供的ADSL、DDN、以太网宽带接入等多种方式组建一个DVPN（动态虚拟专用网络）网络，实现企业总部与分支机构远程通讯的安全，同时也便于企业部署办公自动化及相应的业务应用软件系统。

3.2.6 企业IP语音网设计：

　　针对大型企业用户对IP语音通信的需求，本方案建议采用港湾网络SoftCo系列IP语音综合交换机和SoftUp AG/IAD接入网关设备组建企业私有的IP语音长途网，该解决方案采用业界最先进的软交换技术，面向广大企业网用户提供一整套基于软交换技术架构的IP 语音通信系统，它与传统的H.323网关和路由器模块VOIP解决方案相比具有集群管理、多业务提供优势、TDM+IP双平面、组网灵活的优势，更可以取代传统企业内部语音网络建设的PSTN 程控交换机，实现低成本、高质量的企业IP语音网络建设。

4、 结束语

　　随着信息化时代的来临，实现企业的信息化是作为推动企业体制创新、技术创新、管理创新并且增强企业核心竞争力的重要手段和必由之路。港湾网络有限公司基于万兆平台设计的大型企业园区网络解决方案，将以电信级的可靠性设计、完善的网络安全解决方案、更高的数据交换处理性能和更便捷的网络管理，满足大型企业集团对企业信息化多种业务的需求，为未来的业务和信息化发展留下了发展空间，从而从长远降低了信息化的建设成本，全面增强企业的竞争实力。