版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、第 PAGE 106 頁 共 NUMPAGES 106 頁卷煙行業(yè)網(wǎng)絡(luò)及安全平臺系統(tǒng)集成技術(shù)方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc523649127 第一章 項目背景 PAGEREF _Toc523649127 h 5 HYPERLINK l _Toc523649128 第二章 項目需求分析 PAGEREF _Toc523649128 h 6 HYPERLINK l _Toc523649129 2.1網(wǎng)絡(luò)系統(tǒng)需求 PAGEREF _Toc523649129 h 6 HYPERLINK l _Toc523649130 2.2網(wǎng)絡(luò)安全系統(tǒng)需求 PAGEREF _
2、Toc523649130 h 7 HYPERLINK l _Toc523649131 第三章 系統(tǒng)建設(shè)目標、原則 PAGEREF _Toc523649131 h 8 HYPERLINK l _Toc523649132 3.1系統(tǒng)建設(shè)的目標 PAGEREF _Toc523649132 h 8 HYPERLINK l _Toc523649133 3.2系統(tǒng)建設(shè)原則 PAGEREF _Toc523649133 h 8 HYPERLINK l _Toc523649134 3.3系統(tǒng)建設(shè)的主要內(nèi)容 PAGEREF _Toc523649134 h 9 HYPERLINK l _Toc523649135 3
3、.1.2網(wǎng)絡(luò)總體結(jié)構(gòu) PAGEREF _Toc523649135 h 10 HYPERLINK l _Toc523649136 卷煙廠網(wǎng)絡(luò)改造拓樸圖 PAGEREF _Toc523649136 h 12 HYPERLINK l _Toc523649137 3.1.3傳輸信道設(shè)計 PAGEREF _Toc523649137 h 13 HYPERLINK l _Toc523649138 3.1.4核心網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc523649138 h 13 HYPERLINK l _Toc523649139 3.1.5互聯(lián)網(wǎng)接入設(shè)計 PAGEREF _Toc523649139 h 15 HY
4、PERLINK l _Toc523649140 3.1.6IP地址規(guī)劃 PAGEREF _Toc523649140 h 16 HYPERLINK l _Toc523649141 3.1.7路由協(xié)議 PAGEREF _Toc523649141 h 17 HYPERLINK l _Toc523649142 3.1.8VLAN系統(tǒng)規(guī)劃 PAGEREF _Toc523649142 h 19 HYPERLINK l _Toc523649143 3.1.9下一步的擴展 PAGEREF _Toc523649143 h 19 HYPERLINK l _Toc523649144 第四章 網(wǎng)絡(luò)及安全系統(tǒng)建設(shè)方案
5、PAGEREF _Toc523649144 h 21 HYPERLINK l _Toc523649145 4.1網(wǎng)絡(luò)及網(wǎng)絡(luò)安全方案 PAGEREF _Toc523649145 h 21 HYPERLINK l _Toc523649146 4.1.1核心層設(shè)計 PAGEREF _Toc523649146 h 21 HYPERLINK l _Toc523649147 4.1.2匯聚層設(shè)計 PAGEREF _Toc523649147 h 22 HYPERLINK l _Toc523649148 4.1.3防火墻設(shè)計 PAGEREF _Toc523649148 h 24 HYPERLINK l _To
6、c523649149 4.1.4接入層設(shè)計 PAGEREF _Toc523649149 h 28 HYPERLINK l _Toc523649150 第五章 后期項目建設(shè)建議 PAGEREF _Toc523649150 h 29 HYPERLINK l _Toc523649151 5.1環(huán)形網(wǎng)絡(luò)的建設(shè) PAGEREF _Toc523649151 h 29 HYPERLINK l _Toc523649152 5.2計費軟件 PAGEREF _Toc523649152 h 31 HYPERLINK l _Toc523649153 5.3 IPV6的遷移 PAGEREF _Toc523649153
7、h 32 HYPERLINK l _Toc523649154 第六章 工程實施方案 PAGEREF _Toc523649154 h 36 HYPERLINK l _Toc523649155 6.1總則 PAGEREF _Toc523649155 h 36 HYPERLINK l _Toc523649156 6.2工程實施組織結(jié)構(gòu) PAGEREF _Toc523649156 h 36 HYPERLINK l _Toc523649157 6.3工程實施流程 PAGEREF _Toc523649157 h 39 HYPERLINK l _Toc523649158 6.4工程實施的管理與考核 PAGE
8、REF _Toc523649158 h 40 HYPERLINK l _Toc523649159 6.5實施準備工作 PAGEREF _Toc523649159 h 42 HYPERLINK l _Toc523649160 6.6工作分配矩陣 PAGEREF _Toc523649160 h 44 HYPERLINK l _Toc523649161 6.7設(shè)備及系統(tǒng)配置要點 PAGEREF _Toc523649161 h 58 HYPERLINK l _Toc523649162 6.7.1檢查與準備現(xiàn)場實施環(huán)境 PAGEREF _Toc523649162 h 58 HYPERLINK l _To
9、c523649163 6.7.2設(shè)備到貨驗收 PAGEREF _Toc523649163 h 59 HYPERLINK l _Toc523649164 6.7.3網(wǎng)絡(luò)系統(tǒng)配置要點 PAGEREF _Toc523649164 h 59 HYPERLINK l _Toc523649165 6.7.4防病毒軟件服務(wù)器系統(tǒng)配置要點 PAGEREF _Toc523649165 h 61 HYPERLINK l _Toc523649166 6.7.6系統(tǒng)軟件配置要點 PAGEREF _Toc523649166 h 62 HYPERLINK l _Toc523649167 6.7.7系統(tǒng)聯(lián)調(diào) PAGEREF
10、 _Toc523649167 h 63 HYPERLINK l _Toc523649168 6.7.8系統(tǒng)試運行 PAGEREF _Toc523649168 h 64 HYPERLINK l _Toc523649169 6.7.9系統(tǒng)遷移 PAGEREF _Toc523649169 h 64 HYPERLINK l _Toc523649170 第七章 文檔提交和管理 PAGEREF _Toc523649170 h 65 HYPERLINK l _Toc523649171 7.1文檔的管理 PAGEREF _Toc523649171 h 65 HYPERLINK l _Toc523649172
11、7.2各階段提交的文檔列表 PAGEREF _Toc523649172 h 65 HYPERLINK l _Toc523649173 7.2.1工程準備期文檔 PAGEREF _Toc523649173 h 65 HYPERLINK l _Toc523649174 7.2.2工程實施期文檔 PAGEREF _Toc523649174 h 65 HYPERLINK l _Toc523649175 7.2.3工程驗收期文檔 PAGEREF _Toc523649175 h 66 HYPERLINK l _Toc523649176 7.2.4系統(tǒng)維護期文檔 PAGEREF _Toc523649176
12、h 66 HYPERLINK l _Toc523649177 第八章 培訓(xùn) PAGEREF _Toc523649177 h 67 HYPERLINK l _Toc523649178 8.1培訓(xùn)目的 PAGEREF _Toc523649178 h 67 HYPERLINK l _Toc523649179 8.2技術(shù)培訓(xùn)人員和時間安排 PAGEREF _Toc523649179 h 67 HYPERLINK l _Toc523649180 8.3培訓(xùn)方式 PAGEREF _Toc523649180 h 68 HYPERLINK l _Toc523649181 8.4培訓(xùn)計劃 PAGEREF _To
13、c523649181 h 68 HYPERLINK l _Toc523649182 8.5培訓(xùn)內(nèi)容 PAGEREF _Toc523649182 h 69 HYPERLINK l _Toc523649183 8.5.1局域網(wǎng)基礎(chǔ) PAGEREF _Toc523649183 h 69 HYPERLINK l _Toc523649184 8.5.2瑞星網(wǎng)絡(luò)版防病毒軟件使用與配置 PAGEREF _Toc523649184 h 70 HYPERLINK l _Toc523649185 8.5.3防火墻 PAGEREF _Toc523649185 h 71 HYPERLINK l _Toc5236491
14、86 8.5.4IBM服務(wù)器管理 PAGEREF _Toc523649186 h 72 HYPERLINK l _Toc523649187 8.5.5服務(wù)器故障排除 PAGEREF _Toc523649187 h 72 HYPERLINK l _Toc523649188 8.6培訓(xùn)師資力量 PAGEREF _Toc523649188 h 73 HYPERLINK l _Toc523649189 8.7廠商的培訓(xùn) PAGEREF _Toc523649189 h 73 HYPERLINK l _Toc523649190 8.7.1IBM認證培訓(xùn) PAGEREF _Toc523649190 h 73
15、 HYPERLINK l _Toc523649191 8.7.2華為認證培訓(xùn) PAGEREF _Toc523649191 h 74 HYPERLINK l _Toc523649192 第九章 項目驗收 PAGEREF _Toc523649192 h 88 HYPERLINK l _Toc523649193 9.1設(shè)備到貨驗收 PAGEREF _Toc523649193 h 88 HYPERLINK l _Toc523649194 9.2系統(tǒng)預(yù)驗收 PAGEREF _Toc523649194 h 88 HYPERLINK l _Toc523649195 9.3系統(tǒng)終驗 PAGEREF _Toc5
16、23649195 h 93 HYPERLINK l _Toc523649196 9.4驗收測試的標準和內(nèi)容 PAGEREF _Toc523649196 h 94 HYPERLINK l _Toc523649197 第十章 項目計劃 PAGEREF _Toc523649197 h 98 HYPERLINK l _Toc523649198 10.1項目進度與階段性成果 PAGEREF _Toc523649198 h 98 HYPERLINK l _Toc523649199 10.2項目參加人員計劃 PAGEREF _Toc523649199 h 98 HYPERLINK l _Toc5236492
17、00 10.2.1工程總協(xié)調(diào)小組(2人) PAGEREF _Toc523649200 h 98 HYPERLINK l _Toc523649201 10.2.2項目經(jīng)理(1人) PAGEREF _Toc523649201 h 98 HYPERLINK l _Toc523649202 10.2.3商務(wù)運作小組 (3人) PAGEREF _Toc523649202 h 98 HYPERLINK l _Toc523649203 10.2.4實施小組(1名小組負責(zé)人,3名實施工程師) PAGEREF _Toc523649203 h 99 HYPERLINK l _Toc523649204 10.2.5
18、培訓(xùn)小組(4人) PAGEREF _Toc523649204 h 99 HYPERLINK l _Toc523649205 10.2.6項目管理小組(3人) PAGEREF _Toc523649205 h 99 HYPERLINK l _Toc523649206 10.2.7質(zhì)量監(jiān)督小組(2人) PAGEREF _Toc523649206 h 99 HYPERLINK l _Toc523649207 10.2.8機動小組成員(4人) PAGEREF _Toc523649207 h 100 HYPERLINK l _Toc523649208 10.2.9服務(wù)小組成員(4人) PAGEREF _T
19、oc523649208 h 100 HYPERLINK l _Toc523649209 10.3 知識傳輸計劃 PAGEREF _Toc523649209 h 100 HYPERLINK l _Toc523649210 10.3.1用戶集中技術(shù)培訓(xùn)及現(xiàn)場培訓(xùn) PAGEREF _Toc523649210 h 100 HYPERLINK l _Toc523649211 10.3.2文檔移交 PAGEREF _Toc523649211 h 100 HYPERLINK l _Toc523649212 10.3.3項目驗收 PAGEREF _Toc523649212 h 100 HYPERLINK l
20、_Toc523649213 10.3.4技術(shù)移交 PAGEREF _Toc523649213 h 101 HYPERLINK l _Toc523649214 10.3.5技術(shù)支持 PAGEREF _Toc523649214 h 101 HYPERLINK l _Toc523649215 第十一章 技術(shù)支持與售后服務(wù) PAGEREF _Toc523649215 h 102 HYPERLINK l _Toc523649216 11.1技術(shù)支持和售后服務(wù)承諾 PAGEREF _Toc523649216 h 102 HYPERLINK l _Toc523649217 11.2組織機構(gòu)與人員安排 PAG
21、EREF _Toc523649217 h 104 HYPERLINK l _Toc523649218 11.2.1組織結(jié)構(gòu)圖 PAGEREF _Toc523649218 h 104 HYPERLINK l _Toc523649219 11.2.2服務(wù)體系 PAGEREF _Toc523649219 h 104 HYPERLINK l _Toc523649220 11.2.3服務(wù)人員配備和簡歷 PAGEREF _Toc523649220 h 106 HYPERLINK l _Toc523649221 11.3維護支持實施方案 PAGEREF _Toc523649221 h 108 HYPERLI
22、NK l _Toc523649222 11.3.1服務(wù)策略 PAGEREF _Toc523649222 h 108 HYPERLINK l _Toc523649223 11.3.2雙方職責(zé)界面分工 PAGEREF _Toc523649223 h 110 HYPERLINK l _Toc523649224 11.3.3五星級服務(wù)故障等級和處理時限 PAGEREF _Toc523649224 h 111 HYPERLINK l _Toc523649225 11.3.4系統(tǒng)應(yīng)急方案 PAGEREF _Toc523649225 h 112 HYPERLINK l _Toc523649226 11.4維
23、護支持范圍 PAGEREF _Toc523649226 h 115 HYPERLINK l _Toc523649227 11.4.1支持范圍 PAGEREF _Toc523649227 h 115 HYPERLINK l _Toc523649228 11.4.2產(chǎn)品質(zhì)量保證和服務(wù)承諾 PAGEREF _Toc523649228 h 115 HYPERLINK l _Toc523649229 11.5 維護支持流程 PAGEREF _Toc523649229 h 116 HYPERLINK l _Toc523649230 11.6 維護響應(yīng)時間 PAGEREF _Toc523649230 h 1
24、16 HYPERLINK l _Toc523649231 11.7 變更請求的處理流程 PAGEREF _Toc523649231 h 117 HYPERLINK l _Toc523649232 第十二章 設(shè)備配置清單 PAGEREF _Toc523649232 h 121 HYPERLINK l _Toc523649233 12.1系統(tǒng)配置清單 PAGEREF _Toc523649233 h 121第一章 項目背景目前,卷煙廠局域網(wǎng)已基本建成和連通。網(wǎng)絡(luò)主干帶寬為100M,鋪設(shè)的光纖以多模6芯為主,主交換設(shè)備3COM非網(wǎng)管二層交換機,各單位使用的交換機也以二層交換機為主,大多數(shù)交換機不支持標
25、準網(wǎng)管,給網(wǎng)管人員帶來很大的不便?,F(xiàn)有網(wǎng)絡(luò)設(shè)備性能過低,基本不具備安全控制功能,無法滿足企業(yè)大規(guī)模ERP的部署和企業(yè)未來幾年信息化對網(wǎng)絡(luò)平臺的要求。并且不具備防火墻功能,使內(nèi)外網(wǎng)安全性處在一個較低的水平。第二章 項目需求分析本次項目就是為了滿足信息化建設(shè)需求,建設(shè)卷煙廠信息化應(yīng)用的網(wǎng)絡(luò)支撐平臺,內(nèi)容包括:平臺的整體架構(gòu)設(shè)計;防病毒體系的建立;網(wǎng)絡(luò)、安全等設(shè)備的選型和采購;系統(tǒng)的集成;安全體系、運維體系的建立。針對客戶的詳細要求,系統(tǒng)地具體需求為:針對本次項目建設(shè)的特點,系統(tǒng)需要保證業(yè)務(wù)7*24小時的連續(xù)性,可用性。因此本次系統(tǒng)建設(shè)的總體需求有:可管理性實現(xiàn)設(shè)備的自動化遠程管理控制。實現(xiàn)人員上網(wǎng)
26、的自動化管理控制無單一故障點從網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路、網(wǎng)絡(luò)協(xié)議、路由協(xié)議等方面都要考慮到系統(tǒng)的可靠性、可用性,保證系統(tǒng)的整體冗余。網(wǎng)絡(luò)設(shè)備:背板冗余、電源冗余、VRRP實現(xiàn)交換機之間冗余網(wǎng)絡(luò)線路:多條線路之間的負載均衡、故障切換網(wǎng)絡(luò)協(xié)議、路由協(xié)議:采用主流技術(shù),實現(xiàn)故障自動切換。高性能由于業(yè)務(wù)的特點,應(yīng)用處理再特定時段會出現(xiàn)處理高峰,這就對數(shù)據(jù)傳輸帶寬、網(wǎng)絡(luò)突發(fā)性處理提出了很高的要求。2.1網(wǎng)絡(luò)系統(tǒng)需求目前,卷煙廠局域網(wǎng)已基本建成和連通。網(wǎng)絡(luò)主干帶寬為100M,鋪設(shè)的光纖以多模6芯為主,主交換設(shè)備非網(wǎng)管3COM,各單位使用的交換機以二層交換機為主,大多數(shù)交換機不支持標準網(wǎng)管,給網(wǎng)管人員帶來很大的不
27、便?,F(xiàn)有網(wǎng)絡(luò)設(shè)備性能過低,基本不具備安全控制功能,無法滿足企業(yè)大規(guī)模ERP的部署和企業(yè)未來幾年信息化對網(wǎng)絡(luò)平臺的要求。針對目前網(wǎng)絡(luò)的現(xiàn)狀主要存在以下問題:1、隨著網(wǎng)絡(luò)規(guī)模的擴大,對網(wǎng)絡(luò)核心的處理能力提出了很高的要求,需要提供高達數(shù)百G的交換容量和數(shù)百M的轉(zhuǎn)發(fā)速率。2、ERP應(yīng)用有大量的數(shù)據(jù)在網(wǎng)絡(luò)進行傳輸,并且在特定的階段有傳輸高峰的出現(xiàn),對網(wǎng)絡(luò)帶寬提出了很高的要求。3、ERP系統(tǒng)需要大量的主機運行平臺,為了實現(xiàn)用戶對服務(wù)器的快速訪問,需要建立一個服務(wù)器區(qū),實現(xiàn)服務(wù)器的集中訪問和管理。4、為了保證網(wǎng)絡(luò)的運維管理,所有網(wǎng)絡(luò)設(shè)備必須支持網(wǎng)絡(luò)管理,并且支持VLAN劃分以及802.1X認證,實現(xiàn)對端口級
28、別的管理和控制。5、利用原有的部分交換機,實現(xiàn)與老系統(tǒng)的互聯(lián)和統(tǒng)一管理。2.2網(wǎng)絡(luò)安全系統(tǒng)需求信息化網(wǎng)絡(luò)建設(shè),涉及與Internet的連接,涉及到與多個下屬部分單位的連接。ERP應(yīng)用、OA應(yīng)用、WWW應(yīng)用、FTP應(yīng)用等等需要針對不同的部門、不同的人員服務(wù),對網(wǎng)絡(luò)的安全提出了以下的需求:采用安全控制措施,實現(xiàn)人員的集中管理和控制。采用安全措施,加強對核心服務(wù)器系統(tǒng)的保護。采用安全措施,實現(xiàn)與Internet的安全連接,同時對外提供服務(wù)。采取安全措施,實現(xiàn)網(wǎng)上行為的審計,進行事中、事后分析。實現(xiàn)集中統(tǒng)一的全網(wǎng)安全管理,減輕管理的負擔。第三章 系統(tǒng)建設(shè)目標、原則3.1系統(tǒng)建設(shè)的目標本次卷煙廠信息化建
29、設(shè)的主要目標為:建設(shè)覆蓋本次應(yīng)用軟件系統(tǒng)所涉及的所有單位和用戶,利用千兆以太網(wǎng)技術(shù)構(gòu)建高性能、高可靠性、安全、可管理的網(wǎng)絡(luò)平臺。建設(shè)網(wǎng)絡(luò)安全管理系統(tǒng),實現(xiàn)對設(shè)備、人員、網(wǎng)絡(luò)行為、終端設(shè)備的安全管理。3.2系統(tǒng)建設(shè)原則本次系統(tǒng)建設(shè)應(yīng)滿足以下總體設(shè)計要求:1.高可靠性在系統(tǒng)整體設(shè)計中應(yīng)選用高可靠性設(shè)備產(chǎn)品,設(shè)備充分考慮冗余、容錯能力和備份,同時合理設(shè)計總體架構(gòu),制訂可靠的QoS質(zhì)量保證策略,最大限度保障系統(tǒng)正常運行。2.可擴展性根據(jù)未來業(yè)務(wù)的增長和變化,系統(tǒng)可平滑擴充和升級,避免在系統(tǒng)擴展時對網(wǎng)絡(luò)架構(gòu)的大幅度調(diào)整。3.可管理性支持集中監(jiān)控、分權(quán)管理,以便統(tǒng)一分配網(wǎng)絡(luò)資源。支持故障自動報警。4.高性
30、能設(shè)計必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力,保證數(shù)據(jù)的高質(zhì)量傳輸,預(yù)留出一定的流量增長的范圍,保證在可預(yù)見的將來滿足流量要求,避免網(wǎng)絡(luò)瓶頸影響整體的系統(tǒng)應(yīng)用。5.先進性和成熟性網(wǎng)絡(luò)設(shè)備采用先進的技術(shù)和制造工藝,對于路由協(xié)議支持、數(shù)據(jù)流量分配,抵御網(wǎng)絡(luò)攻擊、高性能方面保持技術(shù)領(lǐng)先,網(wǎng)絡(luò)結(jié)構(gòu)和路由協(xié)議采用成熟的、普遍應(yīng)用的并被證明是可靠的結(jié)構(gòu)模型和技術(shù)。6.標準開放性支持國際上通用標準的網(wǎng)絡(luò)協(xié)議、國際標準的應(yīng)用與大型網(wǎng)絡(luò)規(guī)模的動態(tài)路由協(xié)議等開放協(xié)議,保證與其它網(wǎng)絡(luò)之間的平滑連接互通,保證與其它主流網(wǎng)絡(luò)產(chǎn)品的兼容性,以及將來網(wǎng)絡(luò)的擴展性。7.成功應(yīng)用針對ERP系統(tǒng)這種關(guān)鍵業(yè)務(wù)應(yīng)用,所選擇的設(shè)備必須要經(jīng)過長
31、時間的成功應(yīng)應(yīng)用檢驗,具有非常高的市場占有率。3.3系統(tǒng)建設(shè)的主要內(nèi)容建設(shè)內(nèi)容主要網(wǎng)絡(luò)建設(shè)、安全建設(shè)、防病毒建設(shè)三個部分。具體內(nèi)容主要有;核心網(wǎng)絡(luò)系統(tǒng)建設(shè),通過雙核心交換機實現(xiàn)核心的高性能和高可靠性。在四個辦公樓部署匯聚交換機,通過雙千兆光纖實現(xiàn)實現(xiàn)到兩臺核心交換機的冗余連接。同時上上述四個樓層的匯聚交換機作為接入交換機使用,實現(xiàn)終端用戶的接入。在Internet的出口處部署防火墻,實現(xiàn)到Internet的連接,并且原有專網(wǎng)路由線路也接入此防火墻,保證核心區(qū)服務(wù)器和應(yīng)用的安全。同時此防火墻支持國密VPN算法,為日后遠程VPN連網(wǎng)打下基礎(chǔ)。在核心區(qū)部署防病毒網(wǎng)絡(luò)版軟件及相關(guān)服務(wù)器等應(yīng)用軟件系統(tǒng),
32、保證整個網(wǎng)絡(luò)設(shè)備、人員、應(yīng)用的安全。調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),由原來的多級代理改為直接連接,保證了C/S應(yīng)用的訪問。實現(xiàn)與原有網(wǎng)絡(luò)設(shè)備的連接。3.1.2網(wǎng)絡(luò)總體結(jié)構(gòu)根據(jù)要求及其應(yīng)用需求,鑒于卷煙廠各部門的特殊安全性要求,在總體建設(shè)上我們采用業(yè)務(wù)與網(wǎng)絡(luò)分層構(gòu)建、逐層保護的指導(dǎo)原則,利用標準IP+MPLS VPN技術(shù),保證網(wǎng)絡(luò)的互聯(lián)互通性,并提供各部門、應(yīng)用系統(tǒng)網(wǎng)絡(luò)間的邏輯隔離(VPN),保證互訪的安全控制,同時通過QOS和基于MPLS VPN的流量工程(TE),保證關(guān)鍵業(yè)務(wù)在網(wǎng)絡(luò)上傳輸?shù)膬?yōu)先級。對于基于同一傳輸網(wǎng)絡(luò)之上的多個不同部門、應(yīng)用系統(tǒng)之間的業(yè)務(wù)和數(shù)據(jù)隔離,我們設(shè)計采用MPLS VPN技術(shù)實現(xiàn)網(wǎng)絡(luò)橫向
33、業(yè)務(wù)部門的隔離和縱向應(yīng)用系統(tǒng)的互通,所采用的傳輸及網(wǎng)絡(luò)設(shè)備以及整體網(wǎng)絡(luò)構(gòu)架都具有良好性能、高可靠和可擴展性,充分保護用戶投資。根據(jù)網(wǎng)絡(luò)業(yè)務(wù)不斷發(fā)展的需求,未來將在現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)平臺基礎(chǔ)上增加語音、視頻等業(yè)務(wù)功能,并將各種業(yè)務(wù)充分融合,統(tǒng)一實現(xiàn),從而構(gòu)建一個基于“三網(wǎng)合一” 概念的企業(yè)信息化綜合業(yè)務(wù)平臺。全網(wǎng)分為三部分:核心層、匯聚層、接層。各部分描述如下:核心層:數(shù)據(jù)網(wǎng)主干網(wǎng)絡(luò)設(shè)備采用交換機進行組網(wǎng),配置兩臺高性能核心三層交換機,完成各匯聚節(jié)點與核心節(jié)點以及各匯聚節(jié)點之間的數(shù)據(jù)高速路由轉(zhuǎn)發(fā)以及各節(jié)點園區(qū)網(wǎng)的業(yè)務(wù)匯聚,并在整個骨干網(wǎng)上啟用MPLS VPN,進行業(yè)務(wù)隔離。核心層為下兩層提供優(yōu)化的數(shù)據(jù)
34、傳輸功能,它是一個高速的路由交換骨干,其作用是盡可能快地交換數(shù)據(jù)包,滿足匯聚節(jié)點與核心節(jié)點之間高速通信的需要。為保證本項目未來規(guī)模龐大,業(yè)務(wù)眾多的特點,核心交換機應(yīng)具備盡可能強大的性能、業(yè)務(wù)支持和端口接入的擴展能力。匯聚層:每個匯聚節(jié)點的匯聚交換機通過2個1000M光口與卷煙廠網(wǎng)絡(luò)中心的2臺核心交換機相聯(lián),構(gòu)成雙核心,雙歸屬的骨干網(wǎng)絡(luò)。匯聚層提供基于統(tǒng)一策略的互連性,它是核心層和接入層的分界點,定義了網(wǎng)絡(luò)的邊界,對數(shù)據(jù)包進行復(fù)雜的運算。在整個網(wǎng)絡(luò)環(huán)境中,匯聚層主要提供如下功能:部門和工作組的接入和匯聚,VLAN的路由,對多個部門及多種業(yè)務(wù)的安全隔離和帶寬保障,安全控制等。 接入層:接入層與匯聚
35、層節(jié)點采用同一臺三層接入交換機,支持802.1x接入,做到面向端點的安全控制能力。卷煙廠網(wǎng)絡(luò)改造拓樸圖電信100M光纖接入省專網(wǎng)44M SDH專網(wǎng)路由器Eudemon 300 千兆防火墻S3952P樓層交換機百兆以太網(wǎng)線千兆多模光纖千兆以太網(wǎng)線樓層PC樓層PC樓層PC內(nèi)部服務(wù)器群S3952P樓層交換機S3952P樓層交換機S7810主核心交換機S7810備份交換機3.1.3傳輸信道設(shè)計采用現(xiàn)有光纜資源,以網(wǎng)絡(luò)中心輻射至各匯聚點?,F(xiàn)有各條光纜主要為6芯多模,計劃本次項目采用“雙核心”方案,只需用到其中的四芯,完全可滿足本次項目“雙核心”的部署方式。各匯聚點至接入層交換機,可根據(jù)各匯聚區(qū)域的具體情
36、況和實際距離,通過千兆光/電接口靈活連接。網(wǎng)絡(luò)中心內(nèi)部各設(shè)備均采用千兆以太網(wǎng)電纜互聯(lián)。3.1.4核心網(wǎng)絡(luò)設(shè)計根據(jù)招標文件結(jié)合用戶實際需求,本次采用“雙核心”、“雙歸屬”的方式,構(gòu)建核心-匯聚骨干網(wǎng)絡(luò),匯聚-接入千兆連接。根據(jù)總體結(jié)構(gòu)圖,核心交換機至各個業(yè)務(wù)區(qū)域和匯聚節(jié)點均采用雙千兆多模光纖,保證鏈路的可靠性;匯聚交換機至各接入交換機采用千兆多模光纖。核心交換機:作為全網(wǎng)數(shù)據(jù)和業(yè)務(wù)的核心,網(wǎng)絡(luò)上所有業(yè)務(wù)的數(shù)據(jù)流都要經(jīng)過核心交換機進行交換,因此它的安全性、可靠性和高性能對于全網(wǎng)數(shù)據(jù)和業(yè)務(wù)應(yīng)用的正常開展至關(guān)重要。建議采用模塊化萬兆核心路由交換機。1、引擎、電源等關(guān)鍵部件全部采用冗余設(shè)計,支持多操作系
37、統(tǒng)、多配置文件,保證可靠性;2、全面支持分布式IP/MPLS VPN業(yè)務(wù)轉(zhuǎn)發(fā),保證高性能;3、內(nèi)置的802.1x SERVER可以作為接入認證服務(wù)器的備份系統(tǒng);4、硬件支持IPv6,支持10G RPR高速環(huán)網(wǎng)數(shù)據(jù)接口,滿足未來構(gòu)建企業(yè)大型核心環(huán)網(wǎng)要求;匯聚交換機:匯聚層在骨干網(wǎng)絡(luò)中起到承上啟下的作用,應(yīng)具備可靠性、高性能和多業(yè)務(wù)兼顧的特點。采用萬兆核心路由交換機,在本項目中具備如下特色:1、引擎、電源等關(guān)鍵部件全部采用冗余設(shè)計,支持多操作系統(tǒng)、多配置文件,保證可靠性;2、全面支持分布式高速率全線速業(yè)務(wù)轉(zhuǎn)發(fā),保證高性能;3、完善的ACL、流量監(jiān)管、多元組綁定等安全機制;4、硬件支持IPv6,支持
38、10G RPR高速環(huán)網(wǎng)數(shù)據(jù)接口,滿足未來構(gòu)建企業(yè)大型核心環(huán)網(wǎng)要求;5、全面實施VLAN配置,實現(xiàn)部門及業(yè)務(wù)的隔離;接入交換機:在一個大型園區(qū)網(wǎng)絡(luò)里,接入交換機具有數(shù)量多,部署分散的特點,且直接負責(zé)終端的接入,應(yīng)具備可管理性強、端口控制能力強、性價比高的特點。建議選用的三層接入交換機,具備如下優(yōu)勢:1、支持堆疊,至此對堆疊組虛擬管理,完全可看作一個設(shè)備,使可管理性大幅度提高。2、具有良好的端點控制能力,支持豐富的MAC、IP、端口的靈活綁定。3、支持802.1X認證功能,可通過此功能實現(xiàn)對終端接入的控制。4、VLAN能力強,支持最高的4096個VLAN;網(wǎng)絡(luò)安全系統(tǒng)設(shè)計:數(shù)據(jù)中心是本網(wǎng)絡(luò)最重要的
39、部位,是信息化的神經(jīng)中樞,數(shù)據(jù)中心的設(shè)計應(yīng)具備最高的安全性,同時應(yīng)保證流暢的帶寬和一定的可靠性。作為一個單獨的區(qū)域來建設(shè),結(jié)合客戶要求,我們采用“防火墻核心交換機”的建設(shè)思路,全部采用雙千兆設(shè)備,全千兆連接的方式,保證給數(shù)據(jù)中心最強大的安全保障能力和數(shù)據(jù)吞吐量。對數(shù)據(jù)中心做如下部署:核心防火墻:防火墻可以部署在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)中心的前面,實現(xiàn)對所有訪問內(nèi)部的網(wǎng)絡(luò)流量進行身份控制,提供對廠區(qū)內(nèi)部網(wǎng)絡(luò)的完整的保護。除了完善的隔離控制能力和安全防范能力,數(shù)據(jù)中心防火墻的部署我們同時考慮兩個關(guān)鍵特性:高性能:數(shù)據(jù)中心部署大量的服務(wù)器,是整個網(wǎng)絡(luò)的數(shù)據(jù)流量的匯集點,因此要求防火墻必須具備非常高的性能,保證部
40、署防火墻后不會影響這些大流量的數(shù)據(jù)傳輸,不能成為性能的瓶頸;可靠性:所有與省專網(wǎng)及INTERNAT通信都依賴于此核心防火墻,這些應(yīng)用是企業(yè)運行的關(guān)鍵支撐,必須要嚴格的保證網(wǎng)絡(luò)的可靠性與可用性,因此,部署防火墻以后,不對網(wǎng)絡(luò)傳輸?shù)目煽啃栽斐捎绊懀荒苄纬蓡吸c故障?;谏鲜鰞蓚€的關(guān)鍵特性,我們進行以下設(shè)備部署模式和配置策略:設(shè)備部署模式:我們在INTERNAT出口及省中煙公司專網(wǎng)線路出口上部署一臺千兆防火墻,以雙鏈路方式連接兩臺核心交換機和1G的吞吐量保證可靠性和高性能。安全控制策略:防火墻設(shè)置為默認拒絕工作方式,保證所有的數(shù)據(jù)包,如果沒有明確的規(guī)則允許通過,全部拒絕以保證安全;在兩臺防火墻上設(shè)定
41、嚴格的訪問控制規(guī)則,配置只有規(guī)則允許用戶能夠訪問數(shù)據(jù)中心中的指定的資源,嚴格限制外部網(wǎng)絡(luò)用戶對內(nèi)部服務(wù)器及PC的資源訪問,以避免網(wǎng)絡(luò)用戶可能會對肉網(wǎng)的攻擊、非授權(quán)訪問以及病毒的傳播,保護網(wǎng)網(wǎng)的核心數(shù)據(jù)信息資產(chǎn);配置防火墻全面攻擊防范能力,包括ARP欺騙攻擊的防范,提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等,全面防范各種網(wǎng)絡(luò)層的攻擊行為;根據(jù)需要,配置IP/MAC綁定功能,對能夠識別MAC地址的主機進行鏈路層控制,實現(xiàn)只有IP/MAC匹配的
42、用戶才能訪問內(nèi)網(wǎng);3.1.5互聯(lián)網(wǎng)接入設(shè)計對外訪問區(qū)負責(zé)全網(wǎng)對INTERNET的訪問,同時承載卷煙廠門戶網(wǎng)站的對外發(fā)布和EMAIL系統(tǒng)。雖然現(xiàn)在網(wǎng)絡(luò)上80%的安全隱患都在內(nèi)網(wǎng),但互聯(lián)網(wǎng)出口的安全問題仍然是對企業(yè)網(wǎng)絡(luò)最具威脅的區(qū)域,黑客入侵、企業(yè)機密數(shù)據(jù)外泄、新病毒的導(dǎo)入都幾乎全部發(fā)生在這里,所以互聯(lián)網(wǎng)接入設(shè)計中,安全設(shè)計仍然放在首位。我們采用路由三層交換機+防火墻的方式來構(gòu)建對外訪問區(qū)。防火墻:防火墻是連接內(nèi)外網(wǎng)的紐帶,防火墻的性能直接影響對于寶貴帶寬的使用率,此外對于大型園區(qū)網(wǎng)出口,由于內(nèi)部網(wǎng)絡(luò)用戶數(shù)量龐大,防火墻應(yīng)該具備高性能的NAT轉(zhuǎn)發(fā)能力。1、高性能:具備=1G bps吞吐量的包轉(zhuǎn)發(fā)性
43、能,滿足未來千兆線路的全線速轉(zhuǎn)發(fā)。2、強大的ACL功能:ACL規(guī)則數(shù):=5萬3、支持RIP、OSPF、BGP、IS-IS等多種路由協(xié)議4、支持多種網(wǎng)絡(luò)接口5、支持IPV63.1.6IP地址規(guī)劃IP地址是網(wǎng)絡(luò)互聯(lián)的基礎(chǔ),合理的IP地址規(guī)劃將大大方便網(wǎng)絡(luò)的維護和管理。IP地址規(guī)劃的原則唯一性:保持整個網(wǎng)絡(luò)中IP地址的唯一性簡單性:盡量避免采用復(fù)雜的掩碼方式連續(xù)性:為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址,便于縮減路由表項,提高路由器的處理效率可擴充性:為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量,便于主機節(jié)點增加時仍然能夠保持地址的連續(xù)性可管理性:地址的分配應(yīng)該有層次性,某個局部的變動不影響網(wǎng)絡(luò)的其他部
44、分地域性:盡量考慮IP的地域特性,以便于統(tǒng)一管理和規(guī)劃全面性:統(tǒng)一規(guī)劃局域網(wǎng)和廣域網(wǎng)IP地址,保證網(wǎng)絡(luò)有效連通和管理IP地址規(guī)劃策略對卷煙廠信息化系統(tǒng)IP地址規(guī)劃可以采用以下兩種方式:采用Internet網(wǎng)合法地址由于要實現(xiàn)與Internet的連接,對外發(fā)布信息;在DMZ區(qū)中的服務(wù)器建議采用合法的由電信服務(wù)商分配的地址。本系統(tǒng)自行規(guī)劃IP地址在內(nèi)部網(wǎng)絡(luò)中整體統(tǒng)一采用結(jié)構(gòu)化地址規(guī)劃和分配原則進行IP地址設(shè)計,可以大大提高網(wǎng)絡(luò)的可管理性,同時通過NAT實現(xiàn)與外部網(wǎng)絡(luò)地址的映射,對外部網(wǎng)絡(luò)隱藏了被網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu),提高了網(wǎng)絡(luò)的安全性。IP地址規(guī)劃IP地址的規(guī)劃應(yīng)在遵循方便管理、易于擴展的原則下,統(tǒng)一規(guī)劃
45、、統(tǒng)一分配。建議IP地址采用-網(wǎng)段IP地址,通過結(jié)構(gòu)化劃分方法對各級機構(gòu)進行統(tǒng)一分配。數(shù)據(jù)中心和各級單位和相關(guān)部門IP地址分配如下表:省/市地址空間網(wǎng)段數(shù)據(jù)中心1個C-55服務(wù)器區(qū)1個C-55網(wǎng)絡(luò)設(shè)備區(qū)1個C-55一號樓8個C-55二號樓8個C-55三號樓8個C-55四號樓8個C-55 3.1.7路由協(xié)議在設(shè)計大中型網(wǎng)絡(luò)時,由于靜態(tài)路由協(xié)議設(shè)置麻煩、對網(wǎng)絡(luò)的變化適應(yīng)性差,一般不予采用,而今作為路由設(shè)計的補充?,F(xiàn)在,常用的動態(tài)路由協(xié)議有以下四種:RIPRIP是一種Distance Vector路由協(xié)議,有以下特點:簡單,廣泛使用,技術(shù)成熟,信息源與目的地間限制在15個hops(或路由器)之內(nèi),超
46、過15hops將認為不可及。RIPv1不支持VLSM(Variable Length Subnet Mask),不可能有效地利用IP地址。每30秒傳送路由信息將耗費大量的帶寬,在大型網(wǎng)絡(luò)及低速鏈路中更明顯。路由收斂較慢,此算法將經(jīng)歷Hold-down(180S)的周期。RIP在計算路徑時,只考慮hop count,不考慮網(wǎng)絡(luò)鏈路的延遲和cost。RIP網(wǎng)絡(luò)適用于平面結(jié)構(gòu)的網(wǎng)絡(luò)。RIP適用于中、小型網(wǎng)絡(luò)。一般網(wǎng)絡(luò)的路由器數(shù)目少于20個。OSPFOSPF是Link State,層次化拓撲的路由協(xié)議。有以下特點:僅用于IP網(wǎng)絡(luò),無hop count的限制,適于大型網(wǎng)絡(luò),支持VLSM,用hello通知
47、其他路由器本路由器工作正常。通過IP multicast發(fā)送鏈路更新的信息,并且僅在路由發(fā)生變化是進行更新,由此優(yōu)化路由器的資源和帶寬。路由收斂較快,在路徑的選擇中,metric主要考慮鏈路的延遲,支持相同cost的多條鏈路路由,較好地實現(xiàn)負載均衡。cost=100,000,000/bandwidth in bps。通過劃分區(qū)域更好的規(guī)劃網(wǎng)絡(luò),減少路由更新信息。在網(wǎng)絡(luò)設(shè)計中推薦每個AS區(qū)域中路由器少于50個。IGRPIGRP是Distance Vector路由協(xié)議,由CISCO開發(fā),用于大型IP及OSI網(wǎng)絡(luò),有以下特點:不支持VLSM(Variable Length Subnet Mask),
48、不可能有效地利用IP地址。每90秒傳送路由信息將耗費部分的帶寬。在路徑的選擇上采用組合的metrics包括:延遲、帶寬、可靠性、MTU和負載。支持多條路徑路由。EIGRPEIGRP是intra-domain,先進的Distance Vector路由協(xié)議,由CISCO開發(fā)和支持:結(jié)合了距離向量(DV)協(xié)議和連接狀態(tài)(LS)協(xié)議的優(yōu)點,采用了DUAL算法達到網(wǎng)絡(luò)的快速收斂。支持層次化和平面網(wǎng)絡(luò)結(jié)構(gòu),支持VLSM網(wǎng)絡(luò)地址分配,可在任意位邊界對直接相連的網(wǎng)絡(luò)進行路徑疊合,只有在網(wǎng)絡(luò)變化時EIGRP才發(fā)送路由表更新信息,而且只發(fā)給相關(guān)路由器,因此廣域網(wǎng)帶寬浪費很少,DUAL算法使其具有最好的收斂性。采用
49、五維參數(shù)來決定最佳路徑:帶寬、時延、可靠性、線路負載和最大數(shù)據(jù)包尺寸。EIGRP路由算法自動根據(jù)這五項參數(shù)值動態(tài)計算最優(yōu)路徑,隨時更新。它采用模塊化軟件支持IP、IPX和AT協(xié)議。RIP由于性能和擴展性差而逐漸推出了歷史的舞臺。EIGRP本身的設(shè)計定位是取代IGRP的,所以IGRP也逐漸淡出。根據(jù)以上的比較,EIGRP和OSPF都比較適合大型網(wǎng)絡(luò),并且兩者均有很多成功案例。但EIGRP屬于Cisco公司專有的路由協(xié)議,兼容性較差。而OSPF的開放性和對備份線路的特別支持特性,適合作為中大規(guī)模網(wǎng)絡(luò)。故建議采用OSPF協(xié)議作為設(shè)計廣域網(wǎng)的路由協(xié)議。路由設(shè)計,在核心交換機上啟用三層路由功能,實現(xiàn)各V
50、LAN間的通信,同時在核心路由器上啟用動態(tài)路由協(xié)議OSPF,支持變長子網(wǎng)掩碼,在接入的工作站和服務(wù)器上配置缺省網(wǎng)關(guān)。同時配合國家數(shù)據(jù)及主控中心、各省及控制中心啟動OSPF動態(tài)路由協(xié)議,并做好相應(yīng)的路由協(xié)議參數(shù)配置,從而實現(xiàn)全網(wǎng)統(tǒng)一的大的OSPF動態(tài)路由網(wǎng)絡(luò)。將區(qū)域數(shù)據(jù)中心的路由器劃入OSPF的area0內(nèi),與之相連的下級節(jié)點的設(shè)備再分別劃分為不同的OSPF area,可以各級節(jié)點為單位,不同的級別節(jié)點劃分不同的區(qū)域。這將最大限度的利用OSPF的分區(qū)管理優(yōu)勢。在IP地址的規(guī)劃時已經(jīng)考慮到路由匯聚,以便可以匯聚成一條路由信息向其他區(qū)域傳送。通過對OSPF的適當配置,可以對省內(nèi)的路由信息進行匯總。各
51、省的核心路由器作為區(qū)域邊界路由器ABR,可以把進入一個區(qū)域的各單位的多條路由減少到一條路由。OSPF在路徑的選擇中,metric主要考慮鏈路的延遲。如果不同的路徑有相同cost,那么OSPF可以在這些不同的路徑上實現(xiàn)負載均衡。如果不同的路徑的也cost不同,那么OSPF會有先啟動cost值?。╟ost值越小,則鏈路的延遲越?。┑哪菞l路徑,如果該路徑失效,則OSPF會啟動cost大的其他路徑。OSPF的這點功能可以被用來在主備線路或多條鏈路上實現(xiàn)負載均衡功能或主備線路之間自動切換功能。為了保證網(wǎng)絡(luò)上的工作站和服務(wù)器的最大可用性,在核心交換機上對不同的VLAN分別使用HSRP熱備份路由協(xié)議,虛擬出
52、一個缺省網(wǎng)關(guān),在一臺核心交換機失效時,仍可以保證工作站和服務(wù)器的正常運行。在最大程度上保證了用戶業(yè)務(wù)正常運行。3.1.8VLAN系統(tǒng)規(guī)劃我們會按照用戶要求,對相應(yīng)部門劃分不同的VLAN,滿足本區(qū)域內(nèi)用戶的接入。實現(xiàn)不同VLAN的訪問隔離,。3.1.9下一步的擴展1、增加INP(或IPS)入侵檢測系統(tǒng),動態(tài)跟蹤攻擊。2、外網(wǎng)INTERNET 增加專用路由,簡少核心防火墻工作量。3、增加兩套核心網(wǎng)絡(luò),一套專用內(nèi)網(wǎng),一套專用于外網(wǎng),并增加安全網(wǎng)閘,使內(nèi)外網(wǎng)完全隔離的同時又能相互訪問。4、有條件做到專網(wǎng)專機使用,完全從物理上隔離。5、增加網(wǎng)絡(luò)管理、接入認證、日志審計系統(tǒng)。第四章 網(wǎng)絡(luò)及安全系統(tǒng)建設(shè)方案
53、4.1網(wǎng)絡(luò)及網(wǎng)絡(luò)安全方案根據(jù)客戶要求及其應(yīng)用需求,鑒于卷煙廠各部門的特殊安全性要求,在總體建設(shè)上我們采用業(yè)務(wù)與網(wǎng)絡(luò)分層構(gòu)建、逐層保護的指導(dǎo)原則,利用標準IP+MPLS VPN技術(shù),保證網(wǎng)絡(luò)的互聯(lián)互通性,并提供各部門、應(yīng)用系統(tǒng)網(wǎng)絡(luò)間的邏輯隔離(VPN),保證互訪的安全控制,同時通過QOS和基于MPLS VPN的流量工程(TE),保證關(guān)鍵業(yè)務(wù)在網(wǎng)絡(luò)上傳輸?shù)膬?yōu)先級。對于基于同一傳輸網(wǎng)絡(luò)之上的多個不同部門、應(yīng)用系統(tǒng)之間的業(yè)務(wù)和數(shù)據(jù)隔離,我們設(shè)計采用VLAN技術(shù)實現(xiàn)網(wǎng)絡(luò)橫向業(yè)務(wù)部門的隔離和縱向應(yīng)用系統(tǒng)的互通,所采用的傳輸及網(wǎng)絡(luò)設(shè)備以及整體網(wǎng)絡(luò)構(gòu)架都具有良好性能、高可靠和可擴展性,充分保護用戶投資。根據(jù)網(wǎng)
54、絡(luò)業(yè)務(wù)不斷發(fā)展的需求,未來將在現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)平臺基礎(chǔ)上增加語音、視頻等業(yè)務(wù)功能,并將各種業(yè)務(wù)充分融合,統(tǒng)一實現(xiàn),從而構(gòu)建一個基于“三網(wǎng)合一” 概念的企業(yè)信息化綜合業(yè)務(wù)平臺。全網(wǎng)分為核心層、匯聚層、接入層的部署思路,各部分描述如下:4.1.1核心層設(shè)計作為全網(wǎng)數(shù)據(jù)和業(yè)務(wù)的核心,網(wǎng)絡(luò)上所有業(yè)務(wù)的數(shù)據(jù)流都要經(jīng)過核心交換機進行交換,因此它的安全性、可靠性和高性能對于全網(wǎng)數(shù)據(jù)和業(yè)務(wù)應(yīng)用的正常開展至關(guān)重要。我們采用的華為公司萬兆核心路由交換機S7810,基于新一代核心交換機的設(shè)計理念,在本項目中具備如下特色:S7810采用先進的全分布式體系結(jié)構(gòu)設(shè)計,通過主控引擎和分布式高速業(yè)務(wù)接口板上內(nèi)置的Crossbar
55、交換網(wǎng)芯片實現(xiàn)板內(nèi)、板間二、三層流量的線速分布式轉(zhuǎn)發(fā),通過分布式高速業(yè)務(wù)接口板上內(nèi)置的高性能ASIC和CPU與主控引擎上的CPU協(xié)同工作,實現(xiàn)ACL、流分類、QoS、組播等業(yè)務(wù)的全分布式處理;S7810支持靈活QinQ功能,可根據(jù)內(nèi)層VLAN tag靈活標記外層VLAN tag,滿足城域接入網(wǎng)一般建設(shè)需求;S7810采用分布式結(jié)構(gòu),支持雙主控交換板,無源背板設(shè)計,所有單板支持熱插拔;電源系統(tǒng)采用1+1冗余熱備份,并支持雙路電源輸入;同時,Quidway S7810支持完善的QoS服務(wù)、全面的安全管理機制和電信級的高可靠性,是一款業(yè)界領(lǐng)先的萬兆核心路由交換機產(chǎn)品。S7810采用先進的全分布式體系
56、結(jié)構(gòu)設(shè)計,通過主控引擎和分布式高速業(yè)務(wù)接口 板上內(nèi)置的Crossbar交換網(wǎng)芯片實現(xiàn)板內(nèi)、板間二、三層流量的線速分布式轉(zhuǎn)發(fā),通過 分布式高速業(yè)務(wù)接口板上內(nèi)置的高性能ASIC和CPU與主控引擎上的CPU協(xié)同工作,實現(xiàn) ACL、流分類、QoS、組播等業(yè)務(wù)的全分布式處理。 S7810提供完善的QoS功能,支持WFQ和流量整形功能、WRED擁塞避免機制、基于 復(fù)雜策略的雙向速率限制,提供靈活的帶寬管理和保證能力,滿足精細化運營需求。大容量,高性能 S7810支持1.536Tbps交換容量,支持多種高密度板卡,整機可以提供480個千兆端 口或52個萬兆端口,滿足核心、匯聚層設(shè)備大容量、高端口密度的要求,
57、可以滿足用 戶日益增長的帶寬需求,能夠極大地保護和節(jié)約用戶投資。 靈活的VLAN交換功能 S7810支持靈活QinQ功能,可根據(jù)內(nèi)層VLAN tag靈活標記外層VLAN tag,滿足城域 接入網(wǎng)一般建設(shè)需求。還支持策略QinQ功能,可根據(jù)豐富的流分類策略,包括 VLAN tag、MAC地址、IP協(xié)議、源/目的地址、優(yōu)先級或端口號等,靈活標記外 層VLAN tag, 彌補傳統(tǒng)靈活QinQ的不足,更好地滿足城域接入網(wǎng)不同業(yè)務(wù)分類和分流的需求。S7810 支持VLAN交換(VLAN Translation),支持單、雙層VLAN復(fù)雜交換功能,可靈活規(guī)劃接入網(wǎng)VLAN資源。4.1.2匯聚層設(shè)計匯聚層在
58、骨干網(wǎng)絡(luò)中起到承上啟下的作用,應(yīng)具備可靠性、高性能和多業(yè)務(wù)兼顧的特點。我們采用的華為公司三層交換機S3952P,在本項目中具備如下特色:Quidway S3952P全千兆交換機作為政務(wù)網(wǎng)項目匯聚層,匯聚層設(shè)備不但分擔了核心設(shè)備的部分壓力,同時提高了網(wǎng)絡(luò)的安全性,同時提供大容量、高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能,具有豐富的業(yè)務(wù)功能、強大的QoS保障、完善的安全管理機制和電信級的高可靠設(shè)計,完全滿足卷煙廠網(wǎng)絡(luò)多業(yè)務(wù)、高可靠、大容量、模塊化的需求。基于VLAN的業(yè)務(wù)控制 S3900提供基于VLAN的批量ACL下發(fā),能支持對報文的過濾、優(yōu)先級設(shè)置。S3900支持QinQ和靈活QinQ,針對不同業(yè)務(wù)
59、報文打不同外層標簽,便于業(yè)務(wù)分離。 高可靠性 S3952支持STP/RSTP/MSTP生成樹協(xié)議和Smartlink技術(shù),能實現(xiàn)主備鏈路毫秒級倒換。S3952支持VRRP虛擬路由冗余協(xié)議,支持等價路由,實現(xiàn)路由多級備份。S3952支持交流/直流雙輸入,二者之間熱備份。 豐富業(yè)務(wù)支撐能力 S3952(PWR型號)支持PoE(Power Over Ethernet),即可通過雙絞線向遠端下掛PD設(shè)備提供-48V直流電源,實現(xiàn)對下掛PD設(shè)備遠端供電。S3952通過支持POE和Voice VLAN技術(shù),提供完美的數(shù)據(jù)和語音融合解決方案。S3952支持DHCP Snooping、DHCP Snoopin
60、g Trust和Option82,滿足IPTV業(yè)務(wù)開展需要。S3952支持單纖雙向模塊,能實現(xiàn)單根光纖雙向傳輸,解決光纖資源不足問題。完備的安全控制策略 S3952支持集中式MAC地址認證和802.1x認證,還可以通過靈活的MAC、IP、PORT任意組合綁定,有效地防止非法用戶訪問網(wǎng)絡(luò)。支持DUD(Disconnect Unauthorized Device)認證,通過MAC地址學(xué)習(xí)數(shù)目限制和MAC地址與端口綁定實現(xiàn)。支持用戶分級管理和口令保護,支持MAC地址學(xué)習(xí)數(shù)目限制、MAC地址與端口綁定、端口隔離、MAC地址黑洞;支持防止DoS攻擊功能。支持HWTACACS,可提供安全的信息保障和強大的
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024屆陜西省西安市第四十六中學(xué)高考八模數(shù)學(xué)試題試卷
- 初一散步課件教學(xué)課件
- 笑死人的腦筋急轉(zhuǎn)彎三十個
- 5年中考3年模擬試卷初中道德與法治八年級下冊03第四單元素養(yǎng)綜合檢測
- 2024-2025學(xué)年專題15.2 電流和電路-九年級物理人教版含答案
- DB11-T 1832.14-2022 建筑工程施工工藝規(guī)程 第14部分:供暖工程
- 住宅區(qū)土石方居間合作協(xié)議
- 體育場館水泥供應(yīng)合同模板
- 親子樂園活潑裝修門牌協(xié)議
- 公路綠化養(yǎng)護居間合同
- 小學(xué)一年級數(shù)學(xué)上冊全單元測試題(可打印)
- 運用PDCA血透室導(dǎo)管感染率
- 大氣的受熱過程說課稿2023-2024學(xué)年高中地理湘教版(2019)必修一
- 國有企業(yè)參控股企業(yè)暫行管理辦法(全新經(jīng)典版)
- 鉑電阻溫度值對照表PT1000阻值(完整版)
- 國家開放大學(xué)日常學(xué)習(xí)行為表現(xiàn)
- 高中思想政治-試卷講評教學(xué)課件設(shè)計
- VTE風(fēng)險評估知識資料課件
- 【無線射頻芯片】-無線連通航空航天和國防世界
- 禮記學(xué)記講座文稿學(xué)習(xí)
- 信息基礎(chǔ)設(shè)施
評論
0/150
提交評論