某制造业公司整体网络规划设计方案和实施过程要点（全套中兴方案）

该公司是一家典型的制造业企业，新厂房总计4层，其中1-3层是厂房加仓库，1-3层使用了AGV智能小车；4层是办公区。网络采用传统的以太网方案，数据中心采用超融合+传统NAS备份方案，力求从简设计。

方案有以下几部分组成：
1、数据中心建设：数据中心利用3台中兴5300G4X服务器和2台中兴ZXR10 5950-36CM-1AC交换机堆叠组网，每台交换机具备12个万兆光口，24个千兆光电复合Combo口，作为分布式存储，集群管理，虚拟机业务，集群HA、带外管理，备份网络交换机使用。
2、无线覆盖部分采用中兴WN9200无线控制器，配合中兴WN4334吸顶AP对1-4层厂房、办公室以及货梯做全覆盖
3、业务网络和核心网络，采用千兆接入，万兆上行到核心；由于接入点较少，并且为了节省投资，本次设计将无线AP和有线客户端接入共用1台24口POE接入交换机，通过VLAN进行逻辑隔离。业务核心交换机采用中兴ZXR10 5950-36CM-1AC（12个万兆光口+24个千兆光电combo口）；业务POE接入交换机采用了中兴ZXR10 5260-28PD-S（24个POE+千兆电口+4口万兆光口），业务集中接入区采用中兴ZXR10 5260-52-TD-S（48个千兆电口+4个万兆光口）用于工位电脑网线接入。
4、监控和门禁出于成本考虑，采用中兴皖通5150 系列POE交换机，提供24个POE千兆电口和4个千兆光口（监控仅需千兆上行）；
5、出口采用1台安恒TGFW490 防火墙；具备8GE电口+2GE光口+2万兆光口；防火墙提供SSLVPN接入能力，外部出差员工能够拨号接入公司网络；采用多条WAN用于负载均衡；具备IPS AV 恶意URL，WAF功能；并且作为内部的DNS服务器。
下图：整体网络结构图：

网络实施部分措施：
1、考虑到成本和效率，各接入交换机到核心交换机采用单万兆接入；
2、无线控制器、监控核心、数据中心核心、防火墙到办公网核心均采用链路聚合；
3、防火墙作为DNS服务器（也可以在数据中心新建DNS服务器）；
4、数据中心新建1台DHCP服务器，核心交换机做DHCP RELAY，除了AP的DHCP池是在AC控制器上以外（做MAC+IP绑定），其余用户的IP，均由Winodws DHCP服务器管理；
5、1层AGV无线覆盖区域，给AGV小车专用，员工上网通过其他途径，并杜绝私接无线路由器产生干扰；
6、整网开启DHCP Snooping ，接口广播风暴控制（300pps 中心默认数值）；核心作为STP的根桥，整网运行MST；接设备的接口配置为边缘端口；
7、整网设备配置NTP，同步时间，并在数据中心搭建kiwisyslog服务器，搜集交换机，防火墙，AC控制器日志信息；
8、数据中心部署Hfish蜜罐，监听内网横向渗透的攻击流量。
9、数据中心新建windows 服务器运行海康考勤服务端，安防网络经过办公核心，和数据中心进行三层互联，做到海康平台能够纳管各个门禁。
本次实施的难点在于货梯无线覆盖部分：
由于货梯隶属于物业，园区是一个租的厂房，但是机器人AGV是需要进货梯的；当时有如下几个方案供选：
1、采用无线网桥方案；（不稳定）
2、新增一条随行电缆；（成本高，实施困难）
3、在电梯顶部安装一个定向AP；（1楼信号弱）
4、通过在AP顶部安装1台POE交换机，同时给监控摄像头和AP供电（实际方案）；通过逻辑VLAN隔离园区监控VLAN和厂区无线VLAN流量
方案4如图：

可以看到：
1、电梯摄像头采用VLAN1(不打标签）；
2、我们的交换机管理VLAN4003 AP管理VLAN4001 业务VLAN2002 和VLAN1采用逻辑隔离；
3、特别注意，在物业交换机上面必须要创建我们的业务VLAN号2002、4001、4003 （一定不能和物业VLAN号冲突）；我们发现物业监控VLAN就是默认的VLAN1,满足逻辑隔离的要求
4、物业交换机下行口，接我们的8口POE交换机需要放行VLAN1电梯监控用，VLAN2002无线业务用,VLAN4001AP管理用,VLAN4003 8口交换机管理VLAN;
5、8口POE交换机是一台可网管交换机，接电梯摄像头的口是VLAN1的access口；接AP是Trunk口 PVID4001为AP管理VLAN，VLAN2002为业务VLAN
6、物业交换机上行到我们2楼业务交换机必须将VLAN1剪切掉！且放行VLAN2002,VLAN4001,VLAN4003

最后一部分是部分交换机的关键配置：
1、2楼接入交换机24口接物业交换机部分：

   $interface gei-0/1/1/24switchport mode trunkswitchport trunk vlan 2002,4001,4003$vlan 2002name IOT$vlan 4001name AP-mgmt$vlan 4003name SheBeiGuanLi

2、电梯顶部8口POE交换机配置：

interface gigabitEthernet0/1description 上行口switchport mode trunk
!
interface gigabitEthernet0/3description 接电梯监控
!
interface gigabitEthernet0/5description 接APswitchport mode trunkswitchport trunk native vlan 4001switchport trunk allowed vlan 2002,4001

3、核心交换机DHCP配置部分，Trunk时过滤掉VLAN1,边缘端口设置，时间等小细节：

ip dhcp relay server group 1algorithm forward-allserver 1 192.168.5.200 master
$
dhcpenableramble$interface vlan2002mode relayrelay server group 1relay agent 10.0.4.1$interface gei-0/1/1/24switchport access vlan 4002switchport qinq tpid external 0x8100$    
spantreeenablemst name ztemst priority 4096 instance 0interface gei-0/1/1/20edged-port enable$    
clock timezone BJ 8
$ 
ntp enable
ntp server 116.62.13.223 priority 1
ntp source interface vlan2000