随着新华公司业务规模的不断增长,现有办公环境已经不能满足公司继续发展的需要。因此增加长安街大街新华保险大厦总共5层职场办公区以适应新形势下对公司发展的要求。整个办公职场分布在长安街新华保险大厦的2层、3层、7层、10层和20层。
按照各层的使用功能进行划分,2层将会建设成为主要以召开会议为主的会议层,在该层建设15个左右的大小会议室。3层、7层、10层将建设成为各部门使用的普通办公职场,每层最多安排230人进行办公。20层将建设成为公司领导办公职场。
长安街新职场投入使用后,总公司大多数部门将迁至该职场进行办公。因此在整体网络架构方面,需要考虑与现有六里桥数据中心之间的网络连通以及新办公职场之间的网络连通。同时,考虑新办公职场各会议室使用人员对网络资源访问的移动性和不确定性,对无线网络技术的需求也应该被考虑到新职场网络设计中。
至长安街新华保险大厦的广域网的拓扑采用两台Cisco3845路由器分别上连接总公司的两台Cisco7513路由器,互为冗余设计。在线路方面,选择两家不同的电信运营商,在线路运营商方面也做到互为备份。每一台Cisco3845分别与长安街新华保险大厦的核心交换机Cisco6506E采用千兆以太口相连,这样无论在设备上还是在链路上都不会产生单点故障的情况,还可以分别在不同的链路和设备上传输不同的业务数据流,实现负载分担。
根据计算为保证业务的正常办理,与六里桥数据中心的广域网数据通信量不小于10M。ATM、MSTP、SDH等链路类型都可以满足带宽的要求,然而考虑到成本、稳定性、扩展性、可维护性等多方面因素,最终选择链路采用10M带宽MSTP(Multi-Service Transfer Platform)链路。
局域网的各项功能并非是各自独立的,而是相辅相成,并最终在一个统一的网络架构中实现。因此,对网络的要求比较高:
- 高可靠性——不停机,系统有一定的冗余和备份,故障恢复迅速;
- 高速率、高性能——在用户数据较多、突发流量大的情况下,不容许出现网络瓶颈,阻碍正常交易;
- 安全性——鉴于保险业务网络中传递的信息的机密性,一定要保证数据安全保密,防止数据泄露;
- 可管理性——为保证系统良好的运行,满足前述几项要求,局域网络需要实施完善的管理,如精确分析网络流量、确定系统运行状态,监控非法用户入侵等;
- 可扩展性——为日后业务内容的增加和规模的扩大,提供相当的扩展空间和新技术的应用。
局域网拓扑设计
长安街新华保险大厦各办公职场分别分布在大厦的2层、3层、7层、10层和20层,核心网络交换设备将部署在大厦的2层主机房,其他各层将分别部署汇聚接入层交换设备。考虑到数据交换的可靠性及距离方面的限制,需要在2层与其他各层之间铺设光纤资源用于网络设备间的连接。
新大厦核心交换设备采用与六里桥数据中心相同的Cisco 6506E交换机,各楼层的汇聚接入交换机采用中兴通讯万兆路由交换机ZXR10 6908。ZXR10 6908基于先进的模块化理念进行设计,并采用了基于多处理器并行处理机制和Crossbar空分交换结构的体系结构,关键模块均采用可以1:1进行冗余备份。ZXR10 6908具备10GE、GE、FE等各种丰富的接口模块,并全面支持IPv4、IPv6、组播、QOS、带宽控制等业务功能。接入交换机采用中兴通讯三层智能以太网交换机ZXR10 3252A和二层千兆以太网交换机ZXR10 2826A,上述两款设备均具有丰富的接口类型和灵活的业务支持能力,能很好的满足现网需求。所有设备均采用双机热备,链路连接方面被设计成全交叉冗余型连接。
高可靠性
系统核心交换机和接入层交换机都采用双机热备份,稳定可靠。在网络结构设计中采用经典口字形拓扑,保障系统运行的可靠性;可以采用HSRP技术,可以实现两个主干交换机在第三层上的热备份功能。
高性能
- 整体拓扑结构划分为骨干传输和接入服务两部分:
- 骨干传输部分:由两台核心交换机构成,主要功能是完成高效的数据传输、交换、转发及路由分发,为各类接入服务提供网络互连;
接入服务部分:由各个楼层模块化接入交换机构成。在接入服务部分主要完成业务系统之间的隔离和安全性控制等功能,并在所有业务进入骨干网络前进行优先级划分,各类业务进入骨干网络后将按照预先设定的信道进行传输。
高性能全交换,千兆主干,并采用千兆以太网通道(GEC)技术扩充带宽,能满足大负荷网络运行需求;第三层交换技术,能够使两个网段在进行数据交换时,可以根据不同的应用有选择的进行,提高了带宽资源的利用率。VLAN技术的引入也使得系统资源能够被更有效地利用,OSPF路由协议、结合 HSRP (热备份路由协议)技术、PVST+ (每个VLAN单独计算Spanning Tree)技术,使每个二级交换机上的两条上联链路同时处于传输状态 ,各自分担一部分VLAN 的数据传输,充分利用带宽。
高安全性
为保证系统安全, 保密性高,采用先进的虚拟局域网(VLAN)技术,它依靠用户的逻辑设定将原来物理上互连的一个局域网络按其性质划分为若干个虚拟网段,同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换或外联路由器来完成,从而提高了系统的安全性。
可管理性
可以接受新华目前的网管平台的管理,使网络管理从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面,管理界面友好,使用灵活方便。
可扩展性
主干交换机的模块化设计、集群技术以及强大的网络操作系统IOS和安全、管理等软件的可升级性都为网络规模的扩大和更新提供了良好的可扩展性。