网络设计方案

XXX 项目

杭州华三通信技术有限公司
http://www.h3c.com.cn

起 草 人
Project Manager
起 草 日 期: [Date Prepared]
此处为相应用户的公司图标 网络设计方案

文档信息
文 档 名 称 XXXXXXX用户XXXXXXX项目网络设计方案
文 档 编 号
技术文档 ■ 工程文档 □ 培训文档 □ 运维文档 □
文 档 类 别
项目文档 □ 服务文档 □ 其他 □
当 前 版 本 1.0
创 建 日 期 yyyy-mm-dd
文档主送部门 XX 网络技术部
文 档 作 者 XX
联 系 方 式 EMAIL
修订记录
修改记录 日期 修改人 审阅人 摘要
V1.0 yyyy-mm-dd  建立文档

审批发布
审核记录 日期 审阅人
审阅 yyyy-mm-dd
正式核准发布 yyyy-mm-dd

H3C机密，未经许可，请勿传播 第2页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

产权说明
Copyright ©2006-2011 杭州华三通信技术有限公司及其许可者 版权所有，保留一切
权利。
未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，
并不得以任何形式传播。

H3C、 、Aolynk、 、H3Care、 、TOP G、

、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware
、Storware、NQA、VVG、V2G、VnG、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三
均为杭州华三通信技术有限公司的商标。对于本手册中出现的其它公司的商标、产品标识及
商品名称，由各自权利人拥有。

保密承诺
本次服务中获取客户的保密信息仅用于H3C公司向客户交付涉及H3C解决方案
与产品服务（网络规划、设计、实施、运维、优化）。未经客户同意，H3C公司承诺
对保密信息不用于其他与客户服务无关的用途，不向任何与客户服务无关的第
三方披露。
Any Confidential Information acquired in service will be used by H3C for the solely
purpose of providing solutions and products service (network architecture, design,
execute, running and maintenance, and optimization). Without the consent of
customer, H3C shall not use the Confidential Information in any way that is not
related to Customer’s service, or disclose to any third party that is not relevant to
Customer’s service.

杭州华三通信技术有限公司
Hangzhou H3C Technologies Co., Ltd

H3C机密，未经许可，请勿传播 第3页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

目 录
1. 设计前言------------------------------------------------------------------------------------------------------6
1.1. 文档目的-------------------------------------------------------------------------------------------6
1.2. 文档范围-------------------------------------------------------------------------------------------6
1.3. 目标读者-------------------------------------------------------------------------------------------6
1.4. 参考文档-------------------------------------------------------------------------------------------7
2. 项目概述---------------------------------------------------------------------------------------------------8
2.1. 项目背景-------------------------------------------------------------------------------------------8
2.2. 项目建设目标-------------------------------------------------------------------------------------8
3. 网络整体设计---------------------------------------------------------------------------------------------9
3.1. 设计原则-------------------------------------------------------------------------------------------9
3.2. 网络整体架构-------------------------------------------------------------------------------------9
4. 网络设计规划-------------------------------------------------------------------------------------------10
4.1. 设备板卡与端口的规划------------------------------------------------------------------------10
4.2. 公共资源定义------------------------------------------------------------------------------------10
4.2.1. 网络设备命名规范---------------------------------------------------------------------10
4.2.2. 网络接口描述的规范------------------------------------------------------------------10
4.2.3. 线缆标签规范---------------------------------------------------------------------------10
4.3. IP 地址的设计规范-----------------------------------------------------------------------------10
4.3.1. IP 地址的设计原则--------------------------------------------------------------------10
4.3.2. IP 地址设计方案-----------------------------------------------------------------------11
4.4. VLAN 的划分------------------------------------------------------------------------------------12
4.5. STP 的设计---------------------------------------------------------------------------------------12
4.5.1. MSTP 域和实例以及根桥的定义---------------------------------------------------12
4.5.2. 其它 STP 功能特性的设置-----------------------------------------------------------12
4.6. 可靠性设计---------------------------------------------------------------------------------------12
4.6.1. 设备的可靠性---------------------------------------------------------------------------12
4.6.2. 链路的可靠性---------------------------------------------------------------------------12
4.6.3. VRRP 协议实现网关的冗余和路由的冗余---------------------------------------13
4.7. 路由协议的设计---------------------------------------------------------------------------------13
4.7.1. 静态路由协议的设计------------------------------------------------------------------13
4.7.2. OSPF 的路由设计----------------------------------------------------------------------13
4.7.2.1. 设备 router id 的规划-----------------------------------------------------------13
4.7.2.2. OSPF 进程和区域的划分-----------------------------------------------------13
4.7.2.3. OSPF 的 cost 值的规划--------------------------------------------------------13
4.7.2.4. 路由的发布策略和安全性----------------------------------------------------13
4.7.3. BGP 路由协议的设计-----------------------------------------------------------------13
4.7.3.1. BGP 区域的定义----------------------------------------------------------------13
4.7.3.2. 路由反射器的定义-------------------------------------------------------------13
4.7.3.3. 路由的发布----------------------------------------------------------------------13
4.8. 网络安全设计------------------------------------------------------------------------------------14

H3C机密，未经许可，请勿传播 第4页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

4.8.1. 网络分区---------------------------------------------------------------------------------14
4.8.2. VLAN 的使用---------------------------------------------------------------------------14
4.8.3. 系统设备的安全------------------------------------------------------------------------14
4.8.3.1. 设备的安全防护----------------------------------------------------------------14
4.8.3.2. 网络设备安全密码保护-------------------------------------------------------14
4.9. 网络管理系统------------------------------------------------------------------------------------14
4.9.1. 网络管理系统结构---------------------------------------------------------------------14
4.9.2. 网络管理功能的实现------------------------------------------------------------------14
4.9.3. 相关参数设置---------------------------------------------------------------------------14

H3C机密，未经许可，请勿传播 第5页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

1. 设计前言

1.1. 文档目的

描述编写文档的目的，如指导客户或集成商进行项目实施等。

1.2. 文档范围

本文档作为办公专网总体实施的指导文件，涵盖了如下内容：

 网络整体规划

 网络分区实施

 网络设备命名

 设备板卡及端口规划

 Vlan 分配

 IP 地址分配

 路由策略设计

 网络可靠性设计

 安全策略设计

 网络管理设计

（这部分内容主要是文档中涉及的技术细节）

H3C机密，未经许可，请勿传播 第6页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

1.3. 目标读者

本文档的适用地域是 XX 项目。适用人员包括 XX 客户的网络管理、运行维护人员，系统

集成商网络工程师和 H3C 技术人员等。

（本部分内容是描述目标读者和受益范围）

1.4. 参考文档

为更好地理解本文档，我们建议在阅读本文档之前先参阅以下文档。

《XX 建设方案》

《XXIP 地址方案》

（本部分内容主要是描述编写本文档还参考了哪些客户要求的基本规范或相关文件

等）

H3C机密，未经许可，请勿传播 第7页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

2. 项目概述

2.1. 项目背景

描述项目背景。

2.2. 项目建设目标

描述项目建设要达成的目标。

H3C机密，未经许可，请勿传播 第8页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

3. 网络整体设计

3.1. 设计原则

描述设计原则。

3.2. 网络整体架构

网络整体架构的描述，可按用户功能区分别描述。

H3C机密，未经许可，请勿传播 第9页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

4. 网络设计规划

4.1. 设备板卡与端口的规划

内容

4.2. 公共资源定义

4.2.1. 网络设备命名规范

内容

4.2.2. 网络接口描述的规范

内容

4.2.3. 线缆标签规范

内容

4.3. IP 地址的设计规范

4.3.1. IP 地址的设计原则

IP 地址规划对于网络的应用性能、可维护性和可扩展性等方面都有很大影响，因此合

理的 IP 地址规划是网络设计的重要目标之一。通常 IP 地址规划有如下原则：

 唯一性：一个 IP 网络中不能有两个主机采用相同的 IP 地址；

 可管理性：为便于网络设备的统一管理，分配一段独立的 IP 地址段做网络互连地

址和 loopback 地址；

 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高

路由算法的效率，充分利用地址空间，最大限度地实现地址连续性，并兼顾今后

H3C机密，未经许可，请勿传播 第10页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

网络发展，便于业务管理。充分利用 CIDR 技术，减少路由表大小，加快路由收敛

速度，同时减少网络中广播信息的大小，降低管理开支；

 可扩展性：充分考虑网络未来发展的需求，坚持统一规划、长远考虑、分片分块的

分配原则。地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址

叠合所需的连续性；

 层次性：IP 地址划分的层次性应体现出网络结构的层次性；

 灵活性：充分利用无类别域间路由（CIDR）技术和变长子网掩码（VLSM）技术，

合理高效地使用 IP 地址。

为了节约网络带宽和节点处理资源，网络 IP 地址的分配需有效控制，IP 地址的分配

和路由的规划应一起考虑，便于地址更有效的汇聚。

以路由协议的拓扑结构为 IP 地址规划参考的第一要素，即：按照协议的区域划分来

规划 IP 地址段，保证每个区域内的互联 IP 地址都可以聚合。

在进行 IP 地址分配时，还应充分考虑 IP 地址的预留问题，以保证网络的扩充性。

4.3.2. IP 地址设计方案

根据以上的原则和规范要求，我们对中国石油办公专网网络系统的 IP 地址规划如下：

 网络管理 IP 地址：包括路由器、交换机等网络设备的 Loopback 地址，二层交换机

管理 IP，其它设备的带外管理 IP 等；

 网络设备间互连 IP 地址：包括骨干和汇聚层路由器广域互联链路、接入和汇聚互

联链路，网络交换设备与防火墙互联链路，防火墙之间互联链路等 IP 地址；

 服务器 IP 地址：包括服务器 IP 地址等；

 用户终端 IP 地址：包括 PC 机 IP 地址等；

各部分 IP 地址需求见下表所示：

IP 地址规划地址段的划分

H3C机密，未经许可，请勿传播 第11页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

具体地址配置参考附件 1-

4.4. VLAN 的划分

按照中国石油公司局域网 VLAN 划分规范，中国石油大厦网络系统内的 VLAN 分为如

下四个部分：

 网络管理 VLAN

 网络设备间互联 VLAN

 服务器 VLAN

 用户终端 VLAN

4.5. STP 的设计

4.5.1. MSTP 域和实例以及根桥的定义

内容

4.5.2. 其它 STP 功能特性的设置

内容

4.6. 可靠性设计

4.6.1. 设备的可靠性

内容

4.6.2. 链路的可靠性

H3C机密，未经许可，请勿传播 第12页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

4.6.3. VRRP 协议实现网关的冗余和路由的冗余

内容

4.7. 路由协议的设计

4.7.1. 静态路由协议的设计

内容

4.7.2. OSPF 的路由设计

4.7.2.1. 设备 router id 的规划

内容

4.7.2.2. OSPF 进程和区域的划分

4.7.2.3. OSPF 的 cost 值的规划

4.7.2.4. 路由的发布策略和安全性

4.7.3. BGP 路由协议的设计

4.7.3.1. BGP 区域的定义

4.7.3.2. 路由反射器的定义

4.7.3.3. 路由的发布

H3C机密，未经许可，请勿传播 第13页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

4.8. 网络安全设计

4.8.1. 网络分区

4.8.2. VLAN 的使用

4.8.3. 系统设备的安全

4.8.3.1. 设备的安全防护

4.8.3.2. 网络设备安全密码保护

4.9. 网络管理系统

如果没有一个有效而集中的网络管理系统，将难以保证网络及各项应用的顺利运行。

为保证网络通畅，及时发现和解决网络问题，变被动管理为主动管理，在本次项目建设中

需要配置一套强有力的网络管理系统，以便在技术上实现对网络系统的管理和监控，保障

网络及各项应用的正常运行。

4.9.1. 网络管理系统结构

4.9.2. 网络管理功能的实现

4.9.3. 相关参数设置

(1) SNMP 版本设置

从安全角度考虑，SNMP 协议统一使用 SNMP V3 版本。

H3C机密，未经许可，请勿传播 第14页, 共15页

文档编号：xxx
此处为相应用户的公司图标 网络设计方案

(2) SNMP 用户名和密码设置

SNMP V3 采用用户名和密码进行认证，可以根据不同角色设置不同的用户帐号，并根
据这些用户帐号授予相应的权限。因此可以为网管服务器设置一个具有完全权限的帐户来
进行 SNMP 管理，用户名和密码与网络设备名称的第一个字符串相同。

(3) SNMP 数据加密设置

SNMPV3 能够对数据传输进行加密和提供完整性保证。在本项目中采用 56 位的 DES 加

密算法进行数据加密，采用 SHA-1 算法确保数据的完整性。

(4) Trap 报文相关属性设置

 允许被管理设备主动向网管工作站发送 Trap 报文；

 设置 Trap 目标工作站的地址为网管服务器的地址。

 设置被管理设备发送 Trap 的源地址为三层交换机及路由器的 loopback 地址和二

层交换机的网络管理 VLAN 接口地址。

H3C机密，未经许可，请勿传播 第15页, 共15页

文档编号：xxx