某制造企业4层新厂房设计,1-3层用于生产,部署AGV小车,4层用于办公,核心机房计划放1层,设计的整体思路如下:
1、千兆电口到桌面,每个接入设备均直连可网管接入交换机,杜绝使用傻瓜式非可网管HUB;
2、每台接入交换机保证至少1条万兆上行链路到核心交换机,最好使用2口万兆LACP链路捆绑上行,提高收敛比,降低网络延迟,减少到数据中心的网络拥塞;
3、核心采用2台核心交换机堆叠,核心最好能够实现高可靠;
4、接入层交换机开启广播,组播防护;DHCP防护;网关ARP防护,等基础网络防护;
5、无线,有线,监控设备物理隔离,有效提高收敛比,减轻接入层设备压力,特别是监控网络需要独立组网(门禁和监控网络交换机复用,采用PVLAN技术隔离流量);
6、采用接入-核心,2层设计,简化网络结构,提高网络传输效率,减少传输和发送延迟;
7、无线设计:区分办公、生产、访客SSID,每个SSID关联不同VLAN,其中访客SSID关联的VLAN子网仅允许访问互联网,并且在防火墙出口做QoS限速;生产SSID关联的VLAN子网,仅允许和特定服务器及与指定设备通信,办公SSID关联的VLAN子网不做任何访问限制。
8、有线网络设计:有线网络区分生产网和办公网,分别和无线对应的生产网和办公网做2层互联,2层互联可以走本地转发,提高数据包转发效率;但是同时需要考虑限制无线广播和组播包的数量。
9、监控网络和办公,生产网络物理隔离,办公网络可以通过NVR的第二个网口访问监控网络。
10、超融合数据中心安装海康iVMS4200 用于集中管理10多套门禁系统。
11、监控核心交换机采用IP MAC绑定,以及IPSG,用于防范未知设备接入攻击。
12、监控核心交换机采用PLVAN技术实现监控摄像头和门禁网段无法互访。
13、办公核心交换机通过ACL策略,限制仅允许特定客户端访问NVR,以及门禁系统。
14、数据中心采用3台服务器+2台交换机的超融合架构,网关位于超融合交换机和生产核心走ECMP加BFD
15、安全方面目前考虑不对,仅出口部署一台防火墙
按照图纸,核对实际网络接入点位;网线长度;设备选型和数量;机柜,线缆辅材计算;工期计算得出施工方案:
本次无线方案,因为既有AGV小车要控制丢包和延迟,又有大量用户终端接入(4层),考虑使用锐捷的零漫游AP+AC
技术描述如下:
综合考虑业界方案的优缺点以及需要解决的漫游问题以后,锐捷推出了AR无线零漫游技术,通过在硬件上增加了一个专用
于扫描的射频(AI Radio),实现终端可以不支持802.11k协议或者终端在处理业务时无需对网络环境进行扫描。通过AP上报
AI Radio扫描的数据给AC,AC就能够进行统一的漫游引导调度,完成终端漫游的合理触发,避免了终端在漫游时持续较长导
致的体验差问题。AI Radio不用于关联、接入等常规业务,专用于环境扫描。
通过AR无线零漫游技术,可以从真正意义上解决大部分终端漫游的粘滞问题,并对原来的设备部署没有任何影响,完全兼
容。采用AR无线零漫游功能的设备能提升整网的RSSI,从而提升整网的速率,增加无线体验的好感度,在一定条件下,AR
无线零漫游方案漫游丢包率可以不出现连续多个丢包。
当然分布式AP+AC方案亦可,比如新锐和华三的终结者方案,都是避免设备漫游造成的丢包和延迟,亦可考虑。
其余设计要点均在拓扑图标注。
由于预算限制,用户在后期对网络接入点位进行了大幅缩减到原来的一半。
后期方案调整如下:
1、推荐还是使用单万兆光上行
2、核心交换机改为1台
3、AP接入交换机和有线接入共用,使用逻辑隔离