XX煙廠信息化解決方案技術(shù)建議書

1、XX煙廠信信息化解決決方案技術(shù)術(shù)建議書杭州華三通通信技術(shù)有有限公司2008.06目 錄TOC o 1-4 h z u HYPERLINK l _Toc202618729 1.煙廠廠數(shù)字化園園區(qū)信息化化需求 PAGEREF _Toc202618729 h 3 HYPERLINK l _Toc202618730 2.H33C ITToIP煙煙廠數(shù)字化化園區(qū)信息息化解決方方案架構(gòu) PAGEREF _Toc202618730 h 4 HYPERLINK l _Toc202618731 3.XXXX煙廠園園區(qū)統(tǒng)一高高效IP網(wǎng)絡(luò)解解決方案 PAGEREF _Toc202618731 h 5 HYPERLI

2、NK l _Toc202618732 3.1.IP網(wǎng)絡(luò)方方案設(shè)計(jì)原原則 PAGEREF _Toc202618732 h 5 HYPERLINK l _Toc202618733 3.2.XX煙廠園園區(qū)網(wǎng)絡(luò)建建設(shè)目標(biāo)和和整體規(guī)劃劃： PAGEREF _Toc202618733 h 7 HYPERLINK l _Toc202618734 3.2.11.建設(shè)目標(biāo)標(biāo) PAGEREF _Toc202618734 h 7 HYPERLINK l _Toc202618735 3.2.22.整體規(guī)劃劃 PAGEREF _Toc202618735 h 7 HYPERLINK l _Toc202618736 3.3

3、.XX煙廠園園區(qū)網(wǎng)絡(luò)詳詳細(xì)設(shè)計(jì) PAGEREF _Toc202618736 h 9 HYPERLINK l _Toc202618737 3.2.33.局域網(wǎng)詳詳細(xì)設(shè)計(jì) PAGEREF _Toc202618737 h 9 HYPERLINK l _Toc202618738 3.2.44.虛擬園區(qū)區(qū)網(wǎng)設(shè)計(jì) PAGEREF _Toc202618738 h 10 HYPERLINK l _Toc202618739 3.2.55.IP地址規(guī)規(guī)劃設(shè)計(jì) PAGEREF _Toc202618739 h 13 HYPERLINK l _Toc202618740 3.2.66.QoS規(guī)劃劃設(shè)計(jì) PAGEREF _

4、Toc202618740 h 14 HYPERLINK l _Toc202618741 3.4.XX煙廠園園區(qū)網(wǎng)無線線網(wǎng)絡(luò)設(shè)計(jì)計(jì) PAGEREF _Toc202618741 h 16 HYPERLINK l _Toc202618742 3.2.77.方案邏輯輯組網(wǎng)圖 PAGEREF _Toc202618742 h 16 HYPERLINK l _Toc202618743 3.2.88.認(rèn)證方式式及認(rèn)證點(diǎn)點(diǎn)選擇 PAGEREF _Toc202618743 h 17 HYPERLINK l _Toc202618744 3.2.99.整網(wǎng)安全全 PAGEREF _Toc202618744 h 18

5、HYPERLINK l _Toc202618745 3.2.110.頻率規(guī)劃劃與負(fù)載均均衡 PAGEREF _Toc202618745 h 19 HYPERLINK l _Toc202618746 3.2.111.網(wǎng)絡(luò)管理理 PAGEREF _Toc202618746 h 19 HYPERLINK l _Toc202618747 3.2.112.供電問題題 PAGEREF _Toc202618747 h 21 HYPERLINK l _Toc202618748 3.2.113.無線覆蓋蓋解決方案案 PAGEREF _Toc202618748 h 21 HYPERLINK l _Toc20261

6、187499 4.XX煙廠園園區(qū)數(shù)據(jù)中中心存儲解解決方案 PAGEREF _Toc202618749 h 22 HYPERLINK l _Toc202618750 4.1.CDP（持持續(xù)數(shù)據(jù)保保護(hù)）方案案 PAGEREF _Toc202618750 h 23 HYPERLINK l _Toc202618751 5.XXX煙廠全局局安全規(guī)劃劃方案 PAGEREF _Toc202618751 h 25 HYPERLINK l _Toc20261187522 5.1.煙草工業(yè)業(yè)園區(qū)網(wǎng)絡(luò)絡(luò)安全現(xiàn)狀狀 PAGEREF _Toc202618752 h 25 HYPERLINK l _Toc20261875

7、3 5.2.全局安全全概述 PAGEREF _Toc202618753 h 25 HYPERLINK l _Toc202618754 5.3.EAD方案案 PAGEREF _Toc202618754 h 26 HYPERLINK l _Toc202618755 5.4.數(shù)據(jù)中心心安全 PAGEREF _Toc202618755 h 27 HYPERLINK l _Toc202618756 5.5.安全評估估 PAGEREF _Toc202618756 h 30 HYPERLINK l _Toc202618757 5.6.全網(wǎng)安全全方案特點(diǎn)點(diǎn) PAGEREF _Toc202618757 h 32

8、 HYPERLINK l _Toc202618758 6.XXX煙廠IP智能監(jiān)監(jiān)控解決方方案 PAGEREF _Toc202618758 h 32 HYPERLINK l _Toc202618759 6.1.煙草工業(yè)業(yè)企業(yè)園區(qū)區(qū)的監(jiān)控需需求 PAGEREF _Toc202618759 h 32 HYPERLINK l _Toc202618760 6.2.H3C IP智能能監(jiān)控解決決方案概述述 PAGEREF _Toc202618760 h 34 HYPERLINK l _Toc202618761 6.3.H3C IP智能能監(jiān)控解決決方案特點(diǎn)點(diǎn) PAGEREF _Toc202618761 h 3

9、6 HYPERLINK l _Toc202618762 7.XXXX煙廠綜綜合信息管管理解決方方案 PAGEREF _Toc202618762 h 38 HYPERLINK l _Toc202618763 7.1.基礎(chǔ)資源源管理 PAGEREF _Toc202618763 h 39 HYPERLINK l _Toc202618764 7.2.身份與接接入管理 PAGEREF _Toc202618764 h 39 HYPERLINK l _Toc202618765 7.3.端點(diǎn)安全全準(zhǔn)入管理理 PAGEREF _Toc202618765 h 40 HYPERLINK l _Toc20261876

10、6 7.4.VPN管理理 PAGEREF _Toc202618766 h 40 HYPERLINK l _Toc202618767 7.5.網(wǎng)絡(luò)智能能分析 PAGEREF _Toc202618767 h 40煙廠數(shù)字化化園區(qū)信息息化需求我國是世界界上第一煙煙草大國，現(xiàn)現(xiàn)階段常年年吸煙人口口達(dá)3.11億之多，年年卷煙消費(fèi)費(fèi)量約177000億億支，卷煙煙制造行業(yè)業(yè)是關(guān)系到到人民日常常生活的重重要消費(fèi)品品制造行業(yè)業(yè)。隨著建設(shè)現(xiàn)現(xiàn)代化煙草草企業(yè)的序序幕展開，信信息化技術(shù)術(shù)的應(yīng)用和和改革對卷卷煙工業(yè)企企業(yè)的推動動啟到至關(guān)關(guān)重要的作作用。卷煙工業(yè)企企業(yè)信息化化是指廣泛泛利用電子子信息技術(shù)術(shù)，使企業(yè)業(yè)的生產(chǎn)

11、、管理實(shí)現(xiàn)現(xiàn)自動化。當(dāng)前，我我國卷煙工工業(yè)企業(yè)信信息化建設(shè)設(shè)已初具規(guī)規(guī)模，由單單機(jī)應(yīng)用、局部系統(tǒng)統(tǒng)應(yīng)用發(fā)展展到了網(wǎng)絡(luò)絡(luò)化、集成成化、數(shù)字字化和智能能化，管理理信息系統(tǒng)統(tǒng)在行業(yè)經(jīng)經(jīng)濟(jì)發(fā)展中中已發(fā)揮了了重要作用用。 卷煙工業(yè)企企業(yè)信息化化建設(shè)主要要包括兩大大部分：一一部分是設(shè)設(shè)計(jì)、生產(chǎn)產(chǎn)過程的信信息化，實(shí)實(shí)際上是生生產(chǎn)過程的的自動化，屬屬于工業(yè)控控制范疇。用自動化化生產(chǎn)、測測量、顯示示、控制等等工具，通通過控制信信息達(dá)到生生產(chǎn)的自動動化。另一一部分是管管理的信息息化，就是是建立管理理信息系統(tǒng)統(tǒng)(MISS)、辦公公自動化系系統(tǒng)(OAA)以及決決策支持系系統(tǒng)(DSSS)等。卷煙工業(yè)業(yè)企業(yè)信息息化建設(shè)在

12、在工控方面面將向計(jì)算算機(jī)集成制制造系統(tǒng)(CIMSS)方向發(fā)發(fā)展；在管管理方面將將向數(shù)字化化、智能化化發(fā)展。在在企業(yè)內(nèi)部部將建立起起全面的數(shù)數(shù)據(jù)分析、決策支持持系統(tǒng)，在在企業(yè)外部部將建立完完善的電子子商務(wù)(EEC)環(huán)境境，通過建建立供應(yīng)鏈鏈管理(SSCM)系系統(tǒng)、客戶戶關(guān)系管理理(CRMM)系統(tǒng)，提提高整個(gè)企企業(yè)的市場場競爭能力力。國家煙草專專賣局在數(shù)字煙草草發(fā)展綱要要中提出出了“統(tǒng)一一平臺、統(tǒng)統(tǒng)一數(shù)據(jù)庫庫、統(tǒng)一網(wǎng)網(wǎng)絡(luò)”的信信息化建設(shè)設(shè)綱要。統(tǒng)一網(wǎng)絡(luò)絡(luò)是指通過過建設(shè)一個(gè)個(gè)整體的行行業(yè)專網(wǎng)把把總公司到到各個(gè)省公公司以及省省工業(yè)公司司（省煙草草公司和各各個(gè)省的工工業(yè)公司）通通過行業(yè)專專網(wǎng)全部連連接起

13、來，形形成一個(gè)統(tǒng)統(tǒng)一的行業(yè)業(yè)大網(wǎng)。統(tǒng)統(tǒng)一平臺和和統(tǒng)一數(shù)據(jù)據(jù)庫則更有有益于實(shí)現(xiàn)現(xiàn)信息資源源共享。綱綱要的宗旨旨是將信息息化貫穿煙煙草行業(yè)生生產(chǎn)經(jīng)營管管理的各個(gè)個(gè)環(huán)節(jié)、各各個(gè)流程，以以及將復(fù)雜雜多變的煙煙草信息轉(zhuǎn)轉(zhuǎn)變?yōu)榭梢砸粤炕臄?shù)數(shù)據(jù)，通過過數(shù)字分析析，為各企企業(yè)乃至整整個(gè)產(chǎn)業(yè)的的發(fā)展提供供決策依據(jù)據(jù)。結(jié)合XX煙煙廠生產(chǎn)業(yè)業(yè)務(wù)系統(tǒng)、辦公管理理業(yè)務(wù)系統(tǒng)統(tǒng)、本地局局域網(wǎng)和廣廣域網(wǎng)規(guī)劃劃需求，數(shù)數(shù)據(jù)存儲需需求，網(wǎng)絡(luò)絡(luò)安全性需需求，監(jiān)控控需求，管管理需求，HH3C提出出一體化數(shù)數(shù)字化煙廠廠園區(qū)解決決方案。H3C IIToIPP煙廠數(shù)字化化園區(qū)信息息化解決方方案架構(gòu)煙廠數(shù)字化化園區(qū)內(nèi)部部各個(gè)業(yè)務(wù)務(wù)系統(tǒng)是在

14、在不同的年年代建設(shè)的的，其包括括了各種各各樣的標(biāo)準(zhǔn)準(zhǔn)和協(xié)議，如如何對它們們進(jìn)行高效效的整合，實(shí)實(shí)現(xiàn)信息資資源的共享享，是一個(gè)個(gè)難題。眾眾所周知，TTCP/IP是迄迄今為止應(yīng)應(yīng)用最廣泛泛、最成熟熟、最為開開放、標(biāo)準(zhǔn)準(zhǔn)化程度最最高的技術(shù)術(shù)體系，具具有簡單、開放、靈靈活擴(kuò)展、管理和互互操作等一一系列優(yōu)勢勢，已經(jīng)成成為當(dāng)今互互聯(lián)網(wǎng)、電電信網(wǎng)、政政務(wù)網(wǎng)、企企業(yè)網(wǎng)的主主要承載技技術(shù)。IPP協(xié)議彈性性強(qiáng)，能更更好地適應(yīng)應(yīng)IT網(wǎng)絡(luò)絡(luò)的各種變變化。例如如在存儲技技術(shù)領(lǐng)域，傳傳統(tǒng)的FCC技術(shù)存在在兼容性和和擴(kuò)展性等等方面的問問題，基于于IP的存存儲能夠更更好地實(shí)現(xiàn)現(xiàn)平臺兼容容性及業(yè)務(wù)務(wù)擴(kuò)展性，并并可實(shí)現(xiàn)更更靈活的

15、數(shù)數(shù)據(jù)服務(wù)定定制?；谟谶@樣的潮潮流，H33C推出了了IT OOn IPP(簡稱IIToIPP)的煙廠廠數(shù)字化園園區(qū)信息化化基礎(chǔ)平臺臺建設(shè)理念念及整體解解決方案。IToIPP并不是各各種產(chǎn)品的的簡單堆積，而是是一種完全全基于IPP的融合IT解解決方案。在整個(gè)信息的的生命周期期中，信息息的產(chǎn)生、存儲、傳傳送、處理理都是通過過IP的方式進(jìn)行，中間間不用任何何的轉(zhuǎn)化，這樣就能夠夠?qū)φ麄€(gè)IIT系統(tǒng)更更好地管理理，提升效效率。通過過對煙廠數(shù)數(shù)字化園區(qū)區(qū)需求的深深入理解，HH3C利用用先進(jìn)實(shí)用用數(shù)據(jù)通訊訊技術(shù)與產(chǎn)產(chǎn)品，提出出了煙廠園園區(qū)信息化化解決方案案。煙廠數(shù)字化化園區(qū)解決決方案模型型圖： XXX煙廠廠

16、園區(qū)統(tǒng)一一高效IPP網(wǎng)絡(luò)解決決方案IP網(wǎng)絡(luò)方方案設(shè)計(jì)原原則IP網(wǎng)絡(luò)是是整個(gè)煙廠廠信息化的的基礎(chǔ)承載載體，因此此，建設(shè)統(tǒng)統(tǒng)一可靠高高效IP網(wǎng)網(wǎng)絡(luò)非常重重要，整個(gè)個(gè)基礎(chǔ)網(wǎng)絡(luò)絡(luò)設(shè)計(jì)遵循循如下原則則：鏈路冗余 在主干連接接(主干設(shè)設(shè)備之間及及其與匯接接設(shè)備之間間的連接)具備可靠靠的線路冗冗余方式。建議采用用負(fù)載均衡衡的冗余方方式，即通通常情況下下兩條連接接均提供數(shù)數(shù)據(jù)傳輸，并并互為備份份。主線路路可實(shí)時(shí)、自動的切切換到備份份線路,而而不影響業(yè)業(yè)務(wù)應(yīng)用。模塊冗余 核心層設(shè)備備和匯聚層層設(shè)備的所所有模塊和和環(huán)境部件件應(yīng)具備11+1或11：N熱備備份的功能能，核心層層交換設(shè)備備主備切換換時(shí)間小于于1秒。所有

17、有模塊具備備熱插拔的的功能。系系統(tǒng)具備999.9999%以上上的可用性性。設(shè)備冗余 核心交換機(jī)機(jī)采用兩臺臺或兩臺以以上設(shè)備組組成，當(dāng)其其中一個(gè)設(shè)設(shè)備因故障障停止工作作時(shí)，另一一臺設(shè)備自自動接替其其工作，并并且不引起起其他節(jié)點(diǎn)點(diǎn)的路由表表重新計(jì)算算，從而提提高網(wǎng)絡(luò)的的穩(wěn)定性，切切換時(shí)間大大于3秒。擁塞控制與與服務(wù)質(zhì)量量保障擁塞控制和和服務(wù)質(zhì)量量保障(QQoS)是是公眾服務(wù)務(wù)網(wǎng)的重要要品質(zhì)。由由于接入方方式、接入入速率、應(yīng)應(yīng)用方式、數(shù)據(jù)性質(zhì)質(zhì)的豐富多多樣，網(wǎng)絡(luò)絡(luò)的數(shù)據(jù)流流量突發(fā)是是不可避免免的，因此此，網(wǎng)絡(luò)對對擁塞的控控制和對不不同性質(zhì)數(shù)數(shù)據(jù)流的不不同處理是是十分重要要的。網(wǎng)絡(luò)支持標(biāo)標(biāo)準(zhǔn)Difff

18、Serrv QooS機(jī)制。網(wǎng)絡(luò)設(shè)備應(yīng)應(yīng)支持68種業(yè)務(wù)務(wù)分類(CCOS)。當(dāng)用戶終終端不提供供業(yè)務(wù)分類類信息時(shí)，網(wǎng)網(wǎng)絡(luò)設(shè)備應(yīng)應(yīng)根據(jù)用戶戶所在網(wǎng)段段、應(yīng)用類類型、流量量大小等自自動對業(yè)務(wù)務(wù)進(jìn)行分類類。接入本網(wǎng)絡(luò)絡(luò)的業(yè)務(wù)應(yīng)應(yīng)遵守其接接入速率承承諾。超過過承諾速率率的數(shù)據(jù)將將被丟棄或或標(biāo)以最低低的優(yōu)先級級。當(dāng)網(wǎng)絡(luò)出現(xiàn)現(xiàn)真正的擁擁塞時(shí)，瞬瞬間大量的的丟包會引引起大量TTCP數(shù)據(jù)據(jù)同時(shí)重發(fā)發(fā)，加劇網(wǎng)網(wǎng)絡(luò)擁塞的的程度并引引起網(wǎng)絡(luò)的的不穩(wěn)定。網(wǎng)絡(luò)設(shè)備備應(yīng)具備先先進(jìn)的技術(shù)術(shù)，在網(wǎng)路路出現(xiàn)擁塞塞前就自動動采取適當(dāng)當(dāng)?shù)拇胧?，進(jìn)進(jìn)行先期擁擁塞控制，避避免瞬間大大量的丟包包現(xiàn)象。網(wǎng)絡(luò)的擴(kuò)展展能力網(wǎng)絡(luò)的擴(kuò)展展能力包括括設(shè)

19、備交換換容量的擴(kuò)擴(kuò)展能力、端口密度度的擴(kuò)展能能力、主干干帶寬的擴(kuò)擴(kuò)展，以及及網(wǎng)絡(luò)規(guī)模模的擴(kuò)展能能力。交換容量擴(kuò)擴(kuò)展 ：交換容量量應(yīng)具備在在現(xiàn)有基礎(chǔ)礎(chǔ)上繼續(xù)擴(kuò)擴(kuò)充122倍容量的的能力，以以適應(yīng)IPP類業(yè)務(wù)急急速膨脹的的現(xiàn)實(shí)。端口密度擴(kuò)擴(kuò)展 ：設(shè)備的端端口密度應(yīng)應(yīng)能滿足網(wǎng)網(wǎng)絡(luò)擴(kuò)容時(shí)時(shí)設(shè)備間互互聯(lián)的需要要。主干帶寬擴(kuò)擴(kuò)展 ：主干帶寬寬應(yīng)具備224倍甚甚至更高的的帶寬擴(kuò)展展能力，以以適應(yīng)IPP類業(yè)務(wù)急急速膨脹的的現(xiàn)實(shí)。網(wǎng)絡(luò)規(guī)模擴(kuò)擴(kuò)展 ：網(wǎng)絡(luò)體系系、路由協(xié)協(xié)議的規(guī)劃劃和設(shè)備的的CPU/NP路由由處理能力力，在核心心網(wǎng)絡(luò)設(shè)備能適應(yīng)將來來達(dá)到2倍以上的規(guī)模模擴(kuò)展要求求。網(wǎng)絡(luò)通信協(xié)協(xié)議：以TCPP/IP協(xié)協(xié)議

20、為主，設(shè)設(shè)備商應(yīng)提提供服務(wù)營營運(yùn)級別的的網(wǎng)絡(luò)通信信軟件和網(wǎng)網(wǎng)際通用操操作系統(tǒng)，路路由協(xié)議支支持成熟標(biāo)標(biāo)準(zhǔn)并且廣廣泛應(yīng)用的的OSPFF路由協(xié)議議。XX煙廠園園區(qū)網(wǎng)絡(luò)建建設(shè)目標(biāo)和和整體規(guī)劃劃：建設(shè)目標(biāo)煙廠數(shù)字化化園區(qū)統(tǒng)一一高效IPP承載網(wǎng)的的建設(shè)目標(biāo)標(biāo)：網(wǎng)絡(luò)統(tǒng)一規(guī)規(guī)劃，分層層分域，采采用層次化化的建設(shè)模模型和分區(qū)區(qū)域的模塊塊化結(jié)構(gòu)，層層次清晰，既既有效隔離離，又互相相連通； 帶寬充分，保保證各種新新興業(yè)務(wù)，如如視頻監(jiān)控控、視頻會會議等的高高速傳輸。高可用性，承承載實(shí)時(shí)生生產(chǎn)業(yè)務(wù)和和視頻監(jiān)控控；煙廠數(shù)字化化園區(qū)集中中統(tǒng)一數(shù)據(jù)據(jù)存儲建設(shè)設(shè)目標(biāo)：可靠數(shù)據(jù)大大集中存儲儲、本地實(shí)實(shí)時(shí)備份及及遠(yuǎn)程容災(zāi)災(zāi)，生產(chǎn)

21、、辦公和監(jiān)監(jiān)控?cái)?shù)據(jù)不不丟失。煙廠數(shù)字化化園區(qū)一體體化安全建建設(shè)目標(biāo)：端到端信息息系統(tǒng)安全全，網(wǎng)絡(luò)邊邊緣和內(nèi)部部終端安全全；煙廠數(shù)字化化園區(qū)融合合通信建設(shè)設(shè)目標(biāo)：實(shí)現(xiàn)視頻、監(jiān)控、語語音有機(jī)融融合；煙廠數(shù)字化化園區(qū)一體體化管理建建設(shè)目標(biāo)：對網(wǎng)絡(luò)、安安全、存儲儲和用戶進(jìn)進(jìn)行統(tǒng)一管管理維護(hù),達(dá)到可管管理、易管管理?？傊瑹煆S廠數(shù)字化園園區(qū)信息化化目標(biāo)包括括：以統(tǒng)一一高效IPP網(wǎng)絡(luò)和數(shù)數(shù)據(jù)為基礎(chǔ)礎(chǔ)，以全面面深入信息息系統(tǒng)安全全、智能安安防和統(tǒng)一一智能管理理為保證，支支撐起煙廠廠數(shù)字化園園區(qū)整合化化的應(yīng)用系系統(tǒng)，從而而為煙廠數(shù)數(shù)字化園區(qū)區(qū)提供一個(gè)個(gè)可靠高效效的信息化化平臺。 整體規(guī)劃劃根據(jù)XX卷卷煙廠網(wǎng)絡(luò)

22、絡(luò)建設(shè)的目目標(biāo)和業(yè)務(wù)務(wù)需求，在在充分分析析XX卷煙廠廠業(yè)務(wù)需求求的基礎(chǔ)上上，構(gòu)建XXX煙廠數(shù)字化化園區(qū)網(wǎng)絡(luò)絡(luò)，XX煙廠網(wǎng)網(wǎng)絡(luò)是整個(gè)個(gè)XX卷煙廠廠的應(yīng)用的的基礎(chǔ)網(wǎng)，應(yīng)應(yīng)能滿足XXX卷煙廠廠多業(yè)務(wù)、高帶寬應(yīng)應(yīng)用的需求求，因此網(wǎng)網(wǎng)絡(luò)將建成成一個(gè)承載載多種業(yè)務(wù)務(wù)臺。網(wǎng)絡(luò)絡(luò)的整體規(guī)規(guī)劃如下：在煙廠園區(qū)區(qū)網(wǎng)絡(luò)整體體設(shè)計(jì)中，采采用層次化化、模塊化化的網(wǎng)絡(luò)設(shè)設(shè)計(jì)結(jié)構(gòu)，并并嚴(yán)格定義義各層功能能模型，不不同層次關(guān)關(guān)注不同的的特性配置置。典型的的煙廠園區(qū)區(qū)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)可以分成成三層：接接入層、匯匯聚層、核核心層。1) 接入入層：提供供網(wǎng)絡(luò)的第第一級接入入功能，完完成簡單的的二、三層層交換，安安全、Qoos和POE功能

23、能都位于這這一層。根根據(jù)以上要要求，對于于企業(yè)園區(qū)區(qū)網(wǎng)的接入入層設(shè)備，建建議采用千千兆接入的的方式，應(yīng)應(yīng)該具有線線速三層交交換、IRRF智能彈彈性堆疊技技術(shù)以及高高級QoSS策略等功功能。2) 匯聚聚層：匯聚聚來自配線線間的流量量和執(zhí)行策策略，當(dāng)路路由協(xié)議應(yīng)應(yīng)用于這一一層時(shí)，具具有負(fù)載均均衡、快速速收斂和易易于擴(kuò)展等等特點(diǎn)，這這一層還可可作為接入入設(shè)備的第第一跳網(wǎng)關(guān)關(guān)；對于企企業(yè)園區(qū)網(wǎng)網(wǎng)的匯聚層層設(shè)備，應(yīng)應(yīng)該能夠承承載企業(yè)園園區(qū)的多種種融合業(yè)務(wù)務(wù)，如MPPLS、IIPv6、網(wǎng)絡(luò)安全全、無線、無源光網(wǎng)網(wǎng)絡(luò)等，并并提供不間間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟啟、環(huán)網(wǎng)保保護(hù)等多種種高可靠技技術(shù)，滿足足企業(yè)園區(qū)區(qū)融合業(yè)

24、務(wù)務(wù)的需求。3) 核心心層：網(wǎng)絡(luò)絡(luò)的骨干，必必須能夠提提供高速數(shù)數(shù)據(jù)交換和和路由快速速收斂，要要求具有較較高的可靠靠性、穩(wěn)定定性和易擴(kuò)擴(kuò)展性等。對于企業(yè)業(yè)園區(qū)網(wǎng)核核心層，必必須提供高高性能、高高可靠的網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)，推推薦采用高高可靠的RRPR環(huán)網(wǎng)網(wǎng)結(jié)構(gòu)或多多設(shè)備冗余余的星型結(jié)結(jié)構(gòu)。這樣樣可以實(shí)現(xiàn)現(xiàn)10mss的故障檢檢測時(shí)間以以及50mms的業(yè)務(wù)務(wù)倒換時(shí)間間，可以做做到故障切切換時(shí)完全全不影響正正在進(jìn)行的的音頻業(yè)務(wù)務(wù)，完全滿滿足電信級級可靠性的的要求。XX煙廠園園區(qū)網(wǎng)絡(luò)詳詳細(xì)設(shè)計(jì)局域網(wǎng)詳細(xì)細(xì)設(shè)計(jì)XX煙廠數(shù)數(shù)字化園區(qū)區(qū)建議采用用常用的二二層接入、三層核心心交換組網(wǎng)網(wǎng)模型。通通過VLAAN隔離區(qū)區(qū)域用

25、戶，同同一VLAAN內(nèi)用戶戶可方便互互訪。同時(shí)時(shí)在核心層層配置安全全規(guī)則對內(nèi)內(nèi)部網(wǎng)絡(luò)各各子網(wǎng)間的的路由實(shí)現(xiàn)現(xiàn)策略控制制，接入層層啟用8002.1xx和防ARRP欺騙等等安全特性性為用戶提提供保護(hù)。網(wǎng)絡(luò)接入層層到核心層層間配置SSTP協(xié)議議，核心層層和廣域網(wǎng)網(wǎng)部分配置置三層OSSPF路由由協(xié)議，OOSPF路路由協(xié)議和和白沙物流流數(shù)據(jù)中心心采用相同同的OSPPF idd，并將整整個(gè)科研數(shù)數(shù)據(jù)中心設(shè)設(shè)置為Arrea 00。建議匯聚層層交換機(jī)采采用H3CC S75506E，匯匯聚設(shè)備110GE雙雙上行與核核心層H33C S99512相相連，提供供鏈路冗余余，核心層層設(shè)備通過過VRRPP協(xié)議進(jìn)行行網(wǎng)關(guān)備

26、份份。在這個(gè)網(wǎng)絡(luò)絡(luò)中，通過過合理規(guī)劃劃VRRPP grooup mmasteer、生成成樹實(shí)例和和生成樹實(shí)實(shí)例與VLLAN映射射的關(guān)系，可可提高網(wǎng)絡(luò)絡(luò)鏈路利用用率和可靠靠性。在分分布層配置置多個(gè)VRRRP組，組組mastter和bbackuup角色均均勻分布在在兩臺核心心路由交換換機(jī)上，使使兩臺網(wǎng)關(guān)關(guān)設(shè)備同時(shí)時(shí)完成備份份和負(fù)載分分擔(dān)功能；通過多生生成樹實(shí)例例規(guī)劃，使使接入設(shè)備備不同VLLAN業(yè)務(wù)務(wù)負(fù)載分擔(dān)擔(dān)在兩條上上行鏈路，并并且到達(dá)的的匯聚設(shè)備備為第一跳跳網(wǎng)關(guān)maasterr；實(shí)例rroot與與生成樹實(shí)實(shí)例映射VVLAN的的三層網(wǎng)關(guān)關(guān)mastter在同同一臺匯聚聚設(shè)備上，使使STP協(xié)協(xié)議能夠

27、通通過計(jì)算合合理阻塞鏈鏈路，并且且縮小鏈路路故障引起起的網(wǎng)絡(luò)震震蕩范圍；若接入設(shè)設(shè)備上有VVLAN重重疊，匯聚聚設(shè)備設(shè)置置為二層TTRUNKK鏈路。一一些安全特特性的配合合使用，更更能增強(qiáng)網(wǎng)網(wǎng)絡(luò)的健壯壯性：在網(wǎng)網(wǎng)絡(luò)邊緣直直接與用戶戶相連的端端口可以配配置邊緣端端口和BPPDU保護(hù)護(hù)，防止從從這些端口口接收到BBPDU報(bào)報(bào)文引起網(wǎng)網(wǎng)絡(luò)拓?fù)渥冏兓?；在匯匯聚網(wǎng)關(guān)上上配置TCC保護(hù)和根根保護(hù)特性性，防止攻攻擊造成拓拓?fù)漕l繁變變化。主要HA性性能參數(shù)網(wǎng)絡(luò)故障收斂性能接入層設(shè)備備主備倒換換（S75506E）50毫秒接入層-核核心層鏈路路故障/恢恢復(fù)1秒核心層設(shè)備備主備倒換換50毫秒核心層設(shè)備備故障1秒鏈路

28、單通故故障2秒虛擬園區(qū)網(wǎng)網(wǎng)設(shè)計(jì)一個(gè)煙廠企企業(yè)園區(qū)，需需要生產(chǎn)平平臺、管理理運(yùn)營、銷銷售、安保保監(jiān)控等業(yè)業(yè)務(wù)隔離。隔離的手手段可以是是物理隔離離，也可以以是邏輯隔隔離。相對對于物理隔隔離，邏輯輯隔離（網(wǎng)網(wǎng)絡(luò)虛擬化化）具有無無需重復(fù)建建設(shè)、能提提供統(tǒng)一的的安全、管管理、HAA策略等優(yōu)優(yōu)點(diǎn)，并且且能夠更好好地提供面面向應(yīng)用的的服務(wù)。一般煙廠園園區(qū)網(wǎng)虛擬擬化的需求求主要如下下：橫向不同部部門/分類類間業(yè)務(wù)的的隔離，提提高涉密業(yè)業(yè)務(wù)的安全全性，同時(shí)時(shí)提供訪問問控制策略略，滿足不不同部門間間業(yè)務(wù)互訪訪的要求為園區(qū)內(nèi)各各部門提供供統(tǒng)一的IInterrnet出出口，供內(nèi)內(nèi)部用戶訪訪問Intterneet和為外

29、外部公眾提提供應(yīng)用服服務(wù)，進(jìn)行行集中控制制管理提供廣域網(wǎng)網(wǎng)接口，實(shí)實(shí)現(xiàn)相同部部門/種類類業(yè)務(wù)的縱縱向互通數(shù)據(jù)中心資資源邏輯上上分三部分分：部門內(nèi)內(nèi)部數(shù)據(jù)區(qū)區(qū)、共享數(shù)數(shù)據(jù)區(qū)和對對外服務(wù)數(shù)數(shù)據(jù)區(qū)，分分別為獨(dú)立立部門內(nèi)部部、業(yè)務(wù)交交互部門和和外部公眾眾提供服務(wù)務(wù)為重要業(yè)務(wù)務(wù)提供端到到端的Qoos保證為了滿足煙煙廠園區(qū)網(wǎng)網(wǎng)虛擬化的的需求，HH3C公司司提出了EEADMMPLS VPN的的解決方案案，可以實(shí)實(shí)現(xiàn)與企業(yè)業(yè)各部門工工作流相適適應(yīng)的、從從客戶側(cè)就就開始安全全控制的端端到端的虛虛擬通道，實(shí)實(shí)現(xiàn)和用戶戶上層應(yīng)用用系統(tǒng)權(quán)限限無縫匹配配。它主要要包括如下下內(nèi)容：用戶端點(diǎn)準(zhǔn)準(zhǔn)入控制對用戶的安安全認(rèn)證和和

30、權(quán)限管理理，使用我我司的EAAD解決方方案（支持持porttal、802.1X、VPN等認(rèn)認(rèn)證方式），在在接入邊緣緣設(shè)備作認(rèn)認(rèn)證；把CCAMS服服務(wù)器補(bǔ)丁服務(wù)務(wù)器病毒服務(wù)務(wù)器等集中中部署在數(shù)數(shù)據(jù)中心內(nèi)內(nèi)部共享區(qū)區(qū)，內(nèi)部所所有用戶接接入網(wǎng)絡(luò)都都需要認(rèn)證證，進(jìn)行集集中的安全全管理業(yè)務(wù)邏輯隔隔離企業(yè)園區(qū)各各部門共用用一套物理理網(wǎng)絡(luò)，邏邏輯隔離使使用VRFF+MPLLS VPPN技術(shù)。各部門用用戶通過CCEMCCE設(shè)備接接入，通過過二層VLLAN或VRF進(jìn)行行隔離。核核心層用MMPLS標(biāo)標(biāo)簽轉(zhuǎn)發(fā)，控控制PE設(shè)備VPNN路由引入入，建立專專用的VPPN轉(zhuǎn)發(fā)通通道，為數(shù)數(shù)據(jù)中心提提供PE或MCE接口口，兼

31、容數(shù)數(shù)據(jù)中心內(nèi)內(nèi)部業(yè)務(wù)邏邏輯隔離和和物理隔離離。企業(yè)園園區(qū)網(wǎng)絡(luò)支支持端到端端的業(yè)務(wù)邏邏輯隔離，支支持Qoss。集中服務(wù)管管理為園區(qū)內(nèi)用用戶提供統(tǒng)統(tǒng)一的InnternnetWWAN出口口，進(jìn)行集集中監(jiān)控、管理。網(wǎng)網(wǎng)絡(luò)管理使使用H3C的iMC網(wǎng)絡(luò)絡(luò)綜合管理理中心，內(nèi)內(nèi)嵌的MPPLS VVPN MManagger支持持對MPLLS VPPN的專業(yè)業(yè)管理。各各種管理策略服務(wù)務(wù)器、應(yīng)用用服務(wù)器、存儲設(shè)備備等統(tǒng)一部部署在數(shù)據(jù)據(jù)中心，為為全網(wǎng)提供供統(tǒng)一的應(yīng)應(yīng)用和策略略服務(wù)。H3C公司司的EADD+MPLLS VPPN的網(wǎng)絡(luò)絡(luò)虛擬化方方案在業(yè)界界獨(dú)創(chuàng)性的的實(shí)現(xiàn)了提提供與企業(yè)業(yè)各部門業(yè)業(yè)務(wù)工作流流完全匹配配的從

32、客戶戶側(cè)開始的的安全控制制的端到端端的虛擬邏邏輯通道，使使得各部門門的業(yè)務(wù)數(shù)數(shù)據(jù)能夠真真正實(shí)現(xiàn)從從端到端的的安全虛擬擬通道中傳傳輸，起到到了端到端端有效的全全程隔離作作用，使得得企業(yè)網(wǎng)絡(luò)絡(luò)和應(yīng)用實(shí)實(shí)現(xiàn)無縫融融合。根據(jù)現(xiàn)有網(wǎng)網(wǎng)絡(luò)應(yīng)用，XXX煙廠園園區(qū)仍然采采用L3 MPLSS VPNN進(jìn)行業(yè)務(wù)務(wù)隔離，并并根據(jù)日后后的可控網(wǎng)網(wǎng)絡(luò)的發(fā)展展要求，實(shí)實(shí)現(xiàn)整個(gè)煙煙草網(wǎng)絡(luò)的的虛擬化。XX煙廠數(shù)數(shù)字化園區(qū)區(qū)生產(chǎn)網(wǎng)和和辦公網(wǎng)共共用一套物物理網(wǎng)絡(luò)，邏邏輯隔離使使用VRFF+MPLLS VPPN技術(shù)。按照業(yè)務(wù)劃劃分，煙廠廠園區(qū)的VVPN可以以劃分辦公公業(yè)務(wù)、卷卷煙生產(chǎn)業(yè)業(yè)務(wù)、倉儲儲物流業(yè)務(wù)務(wù)、監(jiān)控業(yè)業(yè)務(wù)等等。 各部

33、門門用戶通過過CE設(shè)備備接入，通通過二層VVLAN或或VRF進(jìn)進(jìn)行隔離。核心層用用MPLSS標(biāo)簽轉(zhuǎn)發(fā)發(fā)，PE設(shè)設(shè)備控制VVPN路由由引入，建建立專用的的VPN轉(zhuǎn)轉(zhuǎn)發(fā)通道，為為數(shù)據(jù)中心心提供PEE接口，兼兼容數(shù)據(jù)中中心內(nèi)部業(yè)業(yè)務(wù)邏輯隔隔離和物理理隔離。我們按照XXX煙廠園園區(qū)實(shí)際的的需求，在在不同的PPE上配置置相應(yīng)可以以接入的VVPN，不不同的VLLAN端口口對應(yīng)各自自相關(guān)的VVPN（路路由三層子子接口）。MPLSS規(guī)劃如下下圖所示。這里的CCE的設(shè)備備也可以是是無線APP設(shè)備。不同同業(yè)務(wù)部門門的人員，通通過有線或或者無線方方式進(jìn)行EEAD端點(diǎn)點(diǎn)準(zhǔn)入的認(rèn)認(rèn)證，認(rèn)證證通過后則則能夠自動動接入到相

34、相應(yīng)部門的的不同VPPN中，實(shí)實(shí)現(xiàn)園區(qū)內(nèi)內(nèi)不同類業(yè)業(yè)務(wù)的安全全隔離。IP地址規(guī)規(guī)劃設(shè)計(jì)IP地址的的合理設(shè)計(jì)計(jì)是數(shù)據(jù)中中心網(wǎng)絡(luò)設(shè)設(shè)計(jì)中的重重要一環(huán)，機(jī)機(jī)場信息化化網(wǎng)絡(luò)必須須對IP地地址進(jìn)行統(tǒng)統(tǒng)一規(guī)劃。IP地址址規(guī)劃的好好壞，影響響到網(wǎng)絡(luò)路路由協(xié)議算算法的效率率，影響到到網(wǎng)絡(luò)的性性能，影響響到網(wǎng)絡(luò)的的擴(kuò)展，影影響到網(wǎng)絡(luò)絡(luò)的管理，也也必將直接接影響到網(wǎng)網(wǎng)絡(luò)應(yīng)用的的進(jìn)一步發(fā)發(fā)展。IP地址采采用RFCC19188規(guī)定的地地址段（不不包括外聯(lián)聯(lián)區(qū)域IPP地址）。根據(jù)選擇擇的IP地地址段和數(shù)數(shù)據(jù)中心的的業(yè)務(wù)功能能模塊進(jìn)行行映射。IP地址的的分配應(yīng)遵遵循以下幾幾個(gè)原則： 唯一性：一一個(gè)IP網(wǎng)網(wǎng)絡(luò)中不能能有兩個(gè)

35、主主機(jī)采用相相同的IPP地址 簡單性：地地址分配應(yīng)應(yīng)簡單易于于管理，降降低擴(kuò)展的的代價(jià)，降降低路由設(shè)設(shè)備負(fù)擔(dān)連續(xù)性：連連續(xù)地址在在層次結(jié)構(gòu)構(gòu)網(wǎng)絡(luò)中易易于進(jìn)行路路徑疊合，提提高路由效效率 可擴(kuò)展性：在每一層層次上地址址都要留有有余量，保保證網(wǎng)絡(luò)可可擴(kuò)展 靈活性：地地址分配有有靈活性，以以滿足多種種應(yīng)用策略略，充分利利用地址空空間 為了有效地地利用地址址空間，我我們可以對對IP地址址進(jìn)行子網(wǎng)網(wǎng)劃分，從從地址的主主機(jī)部分借借取若干位位作為子網(wǎng)網(wǎng)號， 剩剩余部分仍仍然表示主主機(jī)號，另另外，為了了靈活地在在不同規(guī)模模的子網(wǎng)中中分配不同同數(shù)量 IIP地址，我我們需要采采用VLSSM技術(shù)，它它可根據(jù)需需要在

36、任意意位劃分子子網(wǎng)邊界，對對一個(gè)主網(wǎng)網(wǎng)絡(luò)號，可可分出最小小只有兩個(gè)個(gè)主機(jī)號的的子網(wǎng)，亦亦可劃分出出一個(gè)較大大的子網(wǎng)，因因此它很靈靈活，特別別是在廣域域在中，只只需兩個(gè)主主機(jī)號地址址，VLSSM非常有有用，大大大節(jié)約了地地址空間，又又保證了網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)的的靈活性。 在進(jìn)行地址址分配時(shí)，一一般先用一一個(gè)定長的的子網(wǎng)掩碼碼將地址空空間分成若若干個(gè)相同同規(guī)模的子子網(wǎng)，再在在每個(gè)子網(wǎng)網(wǎng)中根據(jù)所所需的子網(wǎng)網(wǎng)數(shù)量和規(guī)規(guī)模采用VVLSM進(jìn)進(jìn)行子網(wǎng)的的細(xì)分。 采用VLSSM時(shí)應(yīng)注注意下列三三點(diǎn)： 事先要有規(guī)規(guī)劃，使子子網(wǎng)以可疊疊合的塊進(jìn)進(jìn)行分配 可能會造成成對已有網(wǎng)網(wǎng)絡(luò)地址的的重新設(shè)置置 新的網(wǎng)絡(luò)必必須仔細(xì)規(guī)規(guī)劃

37、地址分分配 為縮減路由由表的款項(xiàng)項(xiàng)，提高路路由的效率率，路由聚聚合(Rooute Summmarizzatioon 或 Routte Agggreggatioon) 是是一個(gè)非常常重要而有有效的手段段。分子網(wǎng)網(wǎng)是將網(wǎng)絡(luò)絡(luò)號向主機(jī)機(jī)號部分?jǐn)U擴(kuò)展、即網(wǎng)網(wǎng)絡(luò)邊界向向右移的過過程，而路路徑疊合則則是劃分子子網(wǎng)的逆過過程，通過過將子網(wǎng)的的邊界向左左移的過程程，可用一一個(gè)較大的的子網(wǎng)來代代表一組連連續(xù)的子網(wǎng)網(wǎng)。 因此，路路由聚合又又稱為子網(wǎng)網(wǎng)的集結(jié)或或超級子網(wǎng)網(wǎng)，它可得得到縮小路路由表，降降低路由器器內(nèi)存的使使用，并減減少路由協(xié)協(xié)議產(chǎn)生的的網(wǎng)絡(luò)數(shù)據(jù)據(jù)流量。對于具體IIP網(wǎng)段規(guī)規(guī)劃，要求求每個(gè)業(yè)務(wù)務(wù)網(wǎng)絡(luò)內(nèi)部

38、部IP網(wǎng)段段能夠匯聚聚，并且每每個(gè)業(yè)務(wù)網(wǎng)網(wǎng)段又能夠夠分別匯聚聚，這樣，有有利于路由由策略控制制。QoS規(guī)劃劃設(shè)計(jì)QoS需求求針對網(wǎng)絡(luò)系系統(tǒng)承載應(yīng)應(yīng)用的特點(diǎn)點(diǎn)，對應(yīng)用用進(jìn)行分類類，以保證證各自數(shù)據(jù)據(jù)傳輸不受受影響，對對于敏感性性的應(yīng)用應(yīng)應(yīng)能提供帶帶寬保證。如語音通通訊、視頻頻通訊等。在網(wǎng)絡(luò)上上要提供語語音、視頻頻的傳輸；數(shù)據(jù)可以以根據(jù)重要要級別進(jìn)行行分類，進(jìn)進(jìn)而提供不不同的優(yōu)先先級保證。各業(yè)務(wù)子網(wǎng)網(wǎng)QoS規(guī)規(guī)劃一、業(yè)務(wù)流流區(qū)分，對對不同的業(yè)業(yè)務(wù)進(jìn)行標(biāo)標(biāo)記從而達(dá)達(dá)到區(qū)分不不同業(yè)務(wù)流流的目的在各業(yè)務(wù)子子網(wǎng)核心交交換機(jī)上，根根據(jù)相應(yīng)的的流分類策策略，區(qū)分分不同業(yè)務(wù)務(wù)，標(biāo)記DDSCP：實(shí)時(shí)業(yè)務(wù)(如視頻)

39、:DSCCP標(biāo)記為為EF需要帶寬保保障的業(yè)務(wù)務(wù)(如生產(chǎn)產(chǎn)數(shù)據(jù)):DSCPP標(biāo)記為AAF4異地備份數(shù)數(shù)據(jù):DSSCP標(biāo)記記為AF33管理信息:DSCPP標(biāo)記為AAF2二、流量管管理，可以以根據(jù)情況況采用CAAR的策略略，對部分分業(yè)務(wù)限制制帶寬，從從而減少非非關(guān)鍵業(yè)務(wù)務(wù)對帶寬的的沖擊。三、帶寬保保障，對關(guān)關(guān)鍵性的業(yè)業(yè)務(wù)進(jìn)行帶帶寬分配。在核心交換換機(jī)上設(shè)置置相應(yīng)的業(yè)業(yè)務(wù)隊(duì)列（EEF、AFF4、AFF3以及AAF2隊(duì)列列）并為每每個(gè)隊(duì)列設(shè)設(shè)置相應(yīng)的的帶寬保證證。分類著色策策略在各業(yè)務(wù)子子網(wǎng)中，在在匯聚交換換機(jī)上著色色，對業(yè)務(wù)務(wù)流進(jìn)行分分類：預(yù)留留、語音（保保證每路330K）、視頻（保保證7688K2M

40、M）、加密密公文（中中等）、其其他業(yè)務(wù)（最最低保證）。在路由器器/交換機(jī)機(jī)上對不同同的業(yè)務(wù)流流打上不同同的IP優(yōu)優(yōu)先級，對對應(yīng)的優(yōu)先先級如下：IP優(yōu)先級級：預(yù)留：6,7語音：5視頻：4 辦公公文： 3-11其他業(yè)務(wù)：0利用CARR 在設(shè)備備連接的接接口上標(biāo)記記分類。調(diào)度策略不同業(yè)務(wù)子子網(wǎng)核心交交換機(jī)上根根據(jù)優(yōu)先級級區(qū)分流，并并配置基于于流的加權(quán)權(quán)公平隊(duì)列列CBQ，并并配置基于于流的Diifferr-Serrv。CBBQ以及DDiffeer-seerv根據(jù)據(jù)報(bào)文的流流分類報(bào)文文提供不同同的轉(zhuǎn)發(fā)策策略，對于于EF類業(yè)業(yè)務(wù)將分別別保證帶寬寬和時(shí)延，對對于AF類類業(yè)務(wù)將保保證業(yè)務(wù)帶帶寬，其它它類業(yè)務(wù)將

41、將只保證可可達(dá)性。丟棄策略做CAR的的時(shí)候，超超過預(yù)定流流量的直接接丟棄。各業(yè)務(wù)子網(wǎng)網(wǎng)具體業(yè)務(wù)務(wù)的QOSS保障和應(yīng)應(yīng)用在核心骨干干網(wǎng)和安防防、OA、商業(yè)網(wǎng)絡(luò)絡(luò)上肯定會會有語音、視頻等流流量在網(wǎng)絡(luò)絡(luò)上傳送，在在網(wǎng)絡(luò)設(shè)備備的QOSS保障是必必不可少。下面以視視頻會議的的QOS保保障為例，來來說明QOOS在業(yè)務(wù)務(wù)網(wǎng)上的應(yīng)應(yīng)用。一、在匯聚聚交換機(jī)設(shè)設(shè)備上對視視頻流進(jìn)行行分流和著著色。在不同業(yè)務(wù)務(wù)子網(wǎng)匯聚聚交換機(jī)上上，運(yùn)用AACL 策策略對視頻頻流進(jìn)行分分流，把關(guān)關(guān)鍵業(yè)務(wù)流流同其他流流量區(qū)分開開來，在交交換機(jī)上用用QOS CAR對對視頻流進(jìn)進(jìn)行著色處處理，使其其IP- preccedennce值設(shè)設(shè)置為

42、緊急急隊(duì)列EFF。二、在匯聚聚交換機(jī)配配置策略，使使DSCPP匹配EFF的視頻流流進(jìn)入緊急急優(yōu)先發(fā)送送隊(duì)列LLLQ，同時(shí)時(shí)在上行鏈鏈路上應(yīng)用用該策略，保保障關(guān)鍵業(yè)業(yè)務(wù)流得到到交換機(jī)的的優(yōu)先發(fā)送送。三、同樣在在業(yè)務(wù)網(wǎng)核核心交換機(jī)機(jī)上，可以以設(shè)置同樣樣的策略，使使DSCPP匹配EFF的關(guān)鍵業(yè)業(yè)務(wù)流進(jìn)入入各自的緊緊急優(yōu)先發(fā)發(fā)送隊(duì)列，同同時(shí)在各個(gè)個(gè)流出口的的接口上應(yīng)應(yīng)用該策略略，關(guān)鍵業(yè)業(yè)務(wù)流均能能得到優(yōu)先先發(fā)送。四、通過在在全網(wǎng)配置置的策略一一致，保障障了關(guān)鍵業(yè)業(yè)務(wù)流在各各級交換機(jī)機(jī)的優(yōu)先發(fā)發(fā)送級別，從從而在全網(wǎng)網(wǎng)范圍內(nèi)保保障視頻的的低延時(shí)、低抖動，實(shí)實(shí)現(xiàn)對關(guān)鍵鍵業(yè)務(wù)流在在整網(wǎng)的端端到端的QQOS保障

43、障。同樣，對于于語音這類類對丟包非非常敏感的的報(bào)文，網(wǎng)網(wǎng)絡(luò)設(shè)備有有RTP實(shí)實(shí)時(shí)傳輸協(xié)協(xié)議來對語語音流進(jìn)行行可靠的低低延時(shí)、低低丟包的端端到端的QQOS保證證。對于其他對對延時(shí)沒有有具體要求求的業(yè)務(wù)數(shù)數(shù)據(jù)流，一一般都是要要求有一定定的帶寬保保障。同樣樣的按照前前述QOSS的實(shí)施思思路，通過過分流、著著色、應(yīng)用用策略使此此類業(yè)務(wù)進(jìn)進(jìn)入AF隊(duì)隊(duì)列，從而而也能達(dá)到到對特定的的業(yè)務(wù)數(shù)據(jù)據(jù)流的帶寬寬保證。XX煙廠園園區(qū)網(wǎng)無線線網(wǎng)絡(luò)設(shè)計(jì)計(jì)方案邏輯組組網(wǎng)圖XX煙廠數(shù)數(shù)字化園區(qū)區(qū)是有線基礎(chǔ)網(wǎng)絡(luò)上建設(shè)設(shè)的一套無無線網(wǎng)絡(luò)，HH3C推薦薦采用雙星星型冗余組組網(wǎng)結(jié)構(gòu)。在建設(shè)完完成的數(shù)據(jù)據(jù)中心網(wǎng)絡(luò)絡(luò)基礎(chǔ)之上上分別將HH3

44、C WWA21110-AGG無線APP以百兆速速率連接至至接入交換換機(jī)（H33C S77506EE），H33C WXX50022無線控制制器以千兆兆速率連接接至核心交交換機(jī)（HH3C S99512）。用戶通過過無線控制制器和無線線網(wǎng)絡(luò)管理理軟件實(shí)現(xiàn)現(xiàn)對所有無無線AP設(shè)設(shè)備的集中中管理。具具體的邏輯輯組網(wǎng)圖如如下圖所示示：認(rèn)證方式及及認(rèn)證點(diǎn)選選擇本方案主要要采用8002.1XX認(rèn)證和PPortaal認(rèn)證兩兩種方式，HH3C WAA21100-AG無無線AP與與無線控制制器H3CC WX55002通通過CAPPWAP隧隧道協(xié)議（IIETF標(biāo)標(biāo)準(zhǔn)草案，由由H3C提出并并已獲得通通過）進(jìn)行行通信，無無

45、線用戶的的認(rèn)證點(diǎn)都都是放置于于WX50002無線線控制器上上，后臺的的H3C iMMC管理服服務(wù)器作為為用戶鑒權(quán)權(quán)點(diǎn)。當(dāng)用用戶在APP內(nèi)進(jìn)行切切換時(shí)，此此時(shí)的主要要工作由無無線交換機(jī)機(jī)進(jìn)行統(tǒng)一一調(diào)度，當(dāng)當(dāng)用戶在網(wǎng)網(wǎng)絡(luò)內(nèi)不同同的端口下下的不同AAP的覆蓋蓋范圍時(shí)，此此時(shí)用戶不不會再次觸觸發(fā)認(rèn)證，無無線用戶在在不同APP之間的漫漫游切換速速度小于550毫秒，滿滿足無線用用戶的業(yè)務(wù)務(wù)使用質(zhì)量量。整網(wǎng)安全無線局域網(wǎng)網(wǎng)絡(luò)主要服服務(wù)于XXX煙廠內(nèi)部部員工和下下屬公司辦辦公人員，考考慮到網(wǎng)絡(luò)絡(luò)內(nèi)部潛在在的安全風(fēng)風(fēng)險(xiǎn)，網(wǎng)絡(luò)絡(luò)安全問題題在建網(wǎng)時(shí)時(shí)必須考慮慮，安全方方式主要側(cè)側(cè)重幾個(gè)方方面：用戶戶安全、網(wǎng)網(wǎng)絡(luò)安全

46、，而而在網(wǎng)絡(luò)中中主要依附附于用戶實(shí)實(shí)體的屬性性主要包括括用戶使用用的信息終終端二層屬屬性（諸如如：MACC地址）及及用戶的帳帳號、密碼碼，對于內(nèi)內(nèi)部用戶而而言，帳號號信息采用用實(shí)名原則則，與員工工的姓名進(jìn)進(jìn)行關(guān)聯(lián)，這這樣無線網(wǎng)網(wǎng)絡(luò)中著重重考慮使用用無線網(wǎng)絡(luò)絡(luò)的空口信信息的安全全機(jī)制，同同時(shí)也要考考慮與無線線相關(guān)的有有線網(wǎng)絡(luò)的的安全問題題。無線網(wǎng)絡(luò)安安全無線網(wǎng)絡(luò)安安全部分主主要包括以以下方面的的內(nèi)容：I.MAAC地址過過濾：目前前支持基于于MAC地地址的過濾濾，限制具具有某種類類型的MAAC地址特特征的終端端才能進(jìn)入入網(wǎng)絡(luò)中；II.SSSID管管理：是一一種網(wǎng)絡(luò)標(biāo)標(biāo)識的方案案，將網(wǎng)絡(luò)絡(luò)進(jìn)行一個(gè)個(gè)

47、邏輯化標(biāo)標(biāo)識，對終終端上發(fā)的的報(bào)文都要要求進(jìn)行上上帶SSIID，如果果沒有SSSID標(biāo)識識則不能進(jìn)進(jìn)入網(wǎng)絡(luò)；III.WEP加加密：WEEP加密是是一種靜態(tài)態(tài)加密的機(jī)機(jī)制，通信信雙方具有有一個(gè)共同同的密鑰，終終端發(fā)送的的空口信息息報(bào)文必須須使用共同同的密鑰進(jìn)進(jìn)行加密；IV.支支持AESS加密，AAES安全全機(jī)制是一一種動態(tài)密密鑰管理機(jī)機(jī)制，同時(shí)時(shí)密鑰生成成也基于不不對稱密鑰鑰機(jī)制來實(shí)實(shí)現(xiàn)的，同同時(shí)密鑰的的管理也定定期更新，具具有體的時(shí)時(shí)間由系統(tǒng)統(tǒng)可以設(shè)定定，一般情情況都設(shè)定定為5分鐘鐘左右，這這樣非法用用戶要想在在5分鐘之之內(nèi)進(jìn)行獲獲取足夠數(shù)數(shù)量的報(bào)文文進(jìn)行匹配配出密鑰出出來，從無無線空口的的流

48、量來看看，基本上上是不可能能的；V.H33C的無線線方案中可可根據(jù)用戶戶名來劃分分權(quán)限，即即相同用戶戶在不同地地點(diǎn)接入無無線網(wǎng)絡(luò)其其權(quán)限保持持一致；密密鑰設(shè)置可可能根據(jù)SSSID信信息與用戶戶信息進(jìn)行行組合，即即不同的SSSID下下不同的用用戶的密鑰鑰生成可以以不一樣，這這樣一定程程度上保證證用戶之間間串號問題題產(chǎn)生； 頻率規(guī)劃劃與負(fù)載均均衡頻率規(guī)劃802.111g使用用開放的22.4GHHz IISM頻段段，可工作作的信道數(shù)數(shù)為歐洲標(biāo)標(biāo)準(zhǔn)信道數(shù)數(shù)13個(gè)。由于其支支持直序擴(kuò)擴(kuò)頻技術(shù)造造成相鄰頻頻點(diǎn)之間存存在重疊。對于真正正相互不重重疊信道只只有相隔55個(gè)信道的的工作中心心頻點(diǎn)。因因此對于880

49、2.111g在22.4GHHz地工作作頻段，理理論上只能能進(jìn)行三信信道的蜂窩窩規(guī)劃實(shí)現(xiàn)現(xiàn)對需要規(guī)規(guī)劃的熱點(diǎn)點(diǎn)的無縫覆覆蓋。此外外，由于功功率模板是是否能做到到符合鄰道道、隔道不不干擾也非非常影響頻頻率規(guī)劃的的效果。針對如何進(jìn)進(jìn)行8022.11gg的頻率規(guī)規(guī)劃作了大大量的實(shí)驗(yàn)驗(yàn)，實(shí)驗(yàn)證證明3載頻頻也可以實(shí)實(shí)現(xiàn)蜂窩對對需要覆蓋蓋的區(qū)域進(jìn)進(jìn)行無縫覆覆蓋，并提提供更高的的服務(wù)帶寬寬提高服務(wù)務(wù)質(zhì)量，和和高帶寬業(yè)業(yè)務(wù)的開展展。頻率規(guī)劃原原理圖頻率規(guī)劃需需要配合使使用的功能能包括：I.APP支持133個(gè)信道設(shè)設(shè)置；II.AAP支持1100mWW最大射頻頻功率以及及多級功率率控制；III.AP支持持外置天線線

50、以及定向向天線；網(wǎng)絡(luò)管理基于標(biāo)準(zhǔn)的的SNMPP協(xié)議實(shí)現(xiàn)現(xiàn)對設(shè)備的的管理，iiMC中專專門的無線線局域網(wǎng)管管理軟件WWSM組件件可實(shí)現(xiàn)對對WLANN所有網(wǎng)元元的管理。網(wǎng)管工作作站可以放放在網(wǎng)上的的任意位置置，通過標(biāo)標(biāo)準(zhǔn)的SNNMP即可可實(shí)現(xiàn)對無無線交換機(jī)機(jī)的管理。H3C WXX50022無線控制制器可以實(shí)實(shí)現(xiàn)更為強(qiáng)強(qiáng)大的管理理包括APP的自動拓拓?fù)浒l(fā)現(xiàn)、自動升級級、批量配配置、分級級管理、分分級告警等等，并可實(shí)實(shí)現(xiàn)針對無無線覆蓋空空間內(nèi)的射射頻掃描、非法接入入點(diǎn)監(jiān)聽等等安全功能能。而無線線局域網(wǎng)管管理軟件HH3C WSSM可以實(shí)實(shí)現(xiàn)配置管管理整個(gè)WWLAN無無線網(wǎng)絡(luò)，其其具備以下下特點(diǎn)：1、零配

51、置置安裝：接接入點(diǎn)無需需準(zhǔn)備預(yù)設(shè)設(shè)置，APP從無線控控制器繼承承配置信息息。無線控控制器內(nèi)嵌嵌中心機(jī)房房核心交換換機(jī)中，HH3C WAA21100-AG（AAP）無需需事先進(jìn)行行任何配置置，即通過過H3C接入層層交換機(jī)接接入有線網(wǎng)網(wǎng)絡(luò)，并自自動注冊到到WX50002無線線控制器上上，獲得DDHCP SERVVER分配配的IP地地址，并自自動下載配配置文件正正常工作，在在大規(guī)模AAP的項(xiàng)目目中大量節(jié)節(jié)省安裝維維護(hù)成本。用戶也可可以將APP配置為靜靜態(tài)地址便便于設(shè)備管管理。2、防盜防防入侵：敏敏感配置信信息不在本本地保存，即即使設(shè)備被被入侵被盜盜也不會丟丟失安全信信息。實(shí)際際運(yùn)營中很很多AP是是放

52、置在公公共場所，如如果密鑰、SSIDD等安全信信息在本地地保存的話話，一旦失失竊對全網(wǎng)網(wǎng)安全性造造成威脅，HH3C WAA21100-AG由由于其零配配置安裝，一一旦掉電不不會保存任任何信息，避避免入侵。3、支持靈靈活的拓?fù)鋼浣Y(jié)構(gòu)：AAP允許多多種部署，從從而能夠直直接或間接接連接到管管理它的無無線局域網(wǎng)網(wǎng)控制器。H3C WXX50022無線控制制器與H33C WAA21100-AG之之間可以隔隔離任何路路由器或交交換機(jī)，只只要共同連連接進(jìn)有線線網(wǎng)絡(luò)，HH3C WAA21100-AG就就可以自動動尋找到無無線控制器器實(shí)現(xiàn)注冊冊。4、自動設(shè)設(shè)置發(fā)射功功率和分配配射頻信道道：自動設(shè)設(shè)置發(fā)射功功率和

53、分配配射頻信道道，用以優(yōu)優(yōu)化射頻單單元大小和和滿足各國國對射頻信信道的要求求。當(dāng)有個(gè)個(gè)別AP故故障時(shí)，HH3C WXX50022無線控制制器會自動動調(diào)大相鄰鄰AP的功功率彌補(bǔ)信信號盲區(qū)。5、基于身身份的組網(wǎng)網(wǎng)：根據(jù)用用戶名對用用戶權(quán)限進(jìn)進(jìn)行區(qū)分，不不同于傳統(tǒng)統(tǒng)的WLAAN網(wǎng)絡(luò)通通過接入的的有線交換換機(jī)端口對對用戶權(quán)限限進(jìn)行劃分分，并且可可以對用戶戶的位置、帶寬以及及漫游等歷歷史數(shù)據(jù)進(jìn)進(jìn)行記錄跟跟蹤。6、提供增增強(qiáng)的安全全性和無縫縫漫游：通通過這項(xiàng)基基于身份的的組網(wǎng)功能能，經(jīng)過改改進(jìn)的用戶戶組認(rèn)證接接入控制、始終強(qiáng)制制的漫游策策略以及對對帶寬使用用的監(jiān)視實(shí)實(shí)現(xiàn)了無線線局域網(wǎng)的的增強(qiáng)的安安全性，實(shí)

54、實(shí)現(xiàn)了無縫縫的用戶移移動性和自自由性，從從而可以進(jìn)進(jìn)行安全連連接和漫游游，一次認(rèn)認(rèn)證多次接接入，免去去在不同AAP下切換換的再次認(rèn)認(rèn)證。7、安全管管理：提供供入侵檢測測功能，專專用 APP 可以不不斷地掃描描空域，以以便對要求求更高安全全性的環(huán)境境提供全天天候保護(hù)。一旦無線線網(wǎng)絡(luò)中有有非法接入入點(diǎn)接入，HH3C WAA21100-AG將將上報(bào)相應(yīng)應(yīng)的告警給給H3C S99500無無線控制器器模塊，并并通過網(wǎng)管管軟件顯示示。 供電問題題由于本次無無線網(wǎng)中AAP設(shè)備數(shù)數(shù)量較多，AAP布放位位置根據(jù)實(shí)實(shí)際覆蓋效效果而調(diào)整整，在已建建設(shè)完成的的建筑物上上較難進(jìn)行行本地供電電?；跇?biāo)標(biāo)準(zhǔn)的8002.3a

55、af實(shí)現(xiàn)對對AP的供供電。通過過支持PooE特性的的以太網(wǎng)供供電模塊串串接至交換換機(jī)端口和和AP之間間，在以太太網(wǎng)線傳輸輸數(shù)據(jù)的同同時(shí)給APP供電，供供電距離最最遠(yuǎn)可達(dá)1100米，滿滿足實(shí)際組組網(wǎng)的要求求。圖例如如下：無線覆蓋解解決方案從整體的統(tǒng)統(tǒng)計(jì)看來，XX煙廠數(shù)字化園區(qū)此次的無線覆蓋設(shè)計(jì)基本上可以分為以下幾種類型：根據(jù)本項(xiàng)目目的需求，確確定室內(nèi)部部分主要覆覆蓋主辦公公樓的所有有空間；根據(jù)實(shí)際工工勘的結(jié)果果來看，可可以歸納為為兩大類：AP室內(nèi)內(nèi)無障礙覆覆蓋、APP室內(nèi)穿越越障礙覆蓋蓋，下面則則對這三類類覆蓋分別別進(jìn)行描述述：AP室內(nèi)無無障礙覆蓋蓋主要應(yīng)用于于空間較大大的會議室室和開放式式等室

56、內(nèi)區(qū)區(qū)域，此時(shí)時(shí)主要信號號進(jìn)行此空空間內(nèi)覆蓋蓋，無需要要考慮到穿穿越墻壁、地板等障障礙物對隔隔壁空間的的覆蓋；此此時(shí)又分二二種情況，劃劃分原則主主要要看是是否要使用用吸頂天線線的問題，根根據(jù)實(shí)現(xiàn)工工程勘測情情況來看，室室內(nèi)部分都都可以采用用吸頂天線線或掛墻的的方式進(jìn)行行操作。AP室內(nèi)穿穿越障礙覆覆蓋：主要應(yīng)用于于單側(cè)走廊廊結(jié)構(gòu)室內(nèi)內(nèi)區(qū)域，因因?yàn)闊o線信信號穿越墻墻壁、地板板等障礙物物會存在衰衰減，但在在走廊式結(jié)結(jié)構(gòu)的室內(nèi)內(nèi)區(qū)域具備備一定的穿穿越障礙的的能力，一一般是穿越越一道墻壁壁之后信號號效果較好好。因此這這樣的結(jié)構(gòu)構(gòu)適合在走走廊中布置置AP，來來覆蓋側(cè)面面的房間區(qū)區(qū)域；根據(jù)據(jù)實(shí)現(xiàn)工程程勘測情

57、況況來看，室室內(nèi)走廊部部分都可以以采用吸頂頂天線或掛掛墻的方式式進(jìn)行操作作。XX煙廠園園區(qū)數(shù)據(jù)中中心存儲解解決方案目前大部分分煙廠采用用FC-SSAN架構(gòu)構(gòu)存儲，F(xiàn)FC-SAAN架構(gòu)具具有如下不不足之處：基于服務(wù)器器內(nèi)置硬盤盤的存儲方方式的擴(kuò)展展不便，而而且性能不不足SCSI和和FC接口口磁盤柜的的存儲方式式，管理繁繁瑣，存在在較多兼容容性問題，無無法實(shí)現(xiàn)統(tǒng)統(tǒng)一的管理理數(shù)據(jù)保護(hù)方方式以備份份軟件+磁磁帶庫的方方式為主，備備份軟件只只能滿足一一般業(yè)務(wù)數(shù)數(shù)據(jù)的保護(hù)護(hù)要求，無無法滿足生生產(chǎn)管理秒秒級的保護(hù)護(hù)頻率，以以及分鐘級級的恢復(fù)速速度；而磁磁帶庫存在在著機(jī)械部部件故障率率高、維護(hù)護(hù)困難、讀讀寫速

58、度慢慢的缺點(diǎn)面對FC SAN存存在的問題題以及IPP技術(shù)的不不斷成熟，以以太網(wǎng)帶寬寬從10MM發(fā)展到了了10G，整整整提升了了10000倍，20003年，以以IBM等等公司共同同發(fā)起的基基于IP的的iSCSSI（Innternnet SSCSI）協(xié)協(xié)議，通過過IETFF組織的審審議，公布布為RFCC標(biāo)準(zhǔn)。iSCSII標(biāo)準(zhǔn)一經(jīng)經(jīng)公布，就就以其低成成本、高可可管理性、天然的跨跨廣域數(shù)據(jù)據(jù)傳輸和管管理能力、海量組網(wǎng)網(wǎng)能力得到到了業(yè)界的的青睞。由由于將SCCSI數(shù)據(jù)據(jù)傳輸?shù)幕A(chǔ)從封閉閉昂貴的FFC協(xié)議轉(zhuǎn)轉(zhuǎn)移到IPP之上，使使存儲系統(tǒng)統(tǒng)突破了長長期困擾的的兼容性、成本和管管理性桎梏梏，使存儲儲網(wǎng)格、廣

59、廣域數(shù)據(jù)傳傳輸、大規(guī)規(guī)模服務(wù)器器數(shù)據(jù)集中中、遠(yuǎn)程容容災(zāi)、高性性能交換式式存儲架構(gòu)構(gòu)等存儲技技術(shù)脫下昂昂貴的外衣衣，成為廣廣大行業(yè)客客戶均能輕輕松獲得的的最新存儲儲技術(shù)。H3C公司司與國際一一流的存儲儲軟硬件供供應(yīng)商合作作，共同開開發(fā)推出了了Neoccean自自適應(yīng)網(wǎng)絡(luò)絡(luò)存儲系列列產(chǎn)品。以以IP存儲儲技術(shù)、WWSAN（廣廣域SANN）技術(shù)、網(wǎng)格存儲儲技術(shù)、虛虛擬存儲技技術(shù)、數(shù)據(jù)據(jù)應(yīng)用服務(wù)務(wù)技術(shù)五大大技術(shù)群，構(gòu)構(gòu)建了新一一代自適應(yīng)應(yīng)網(wǎng)絡(luò)存儲儲體系。通過IP存存儲產(chǎn)品的的引入，NNeoceean一方方面可實(shí)現(xiàn)現(xiàn)煙廠數(shù)字字化園區(qū)原原有FC存存儲系統(tǒng)之之間的數(shù)據(jù)據(jù)共享，保保護(hù)用戶原原有投資，在在另一方面

60、面，可將煙煙廠數(shù)字化化園區(qū)后續(xù)續(xù)數(shù)據(jù)擴(kuò)展展平滑切換換到IP存存儲之上，為為煙廠數(shù)字字化園區(qū)提提供易擴(kuò)展展、高安全全、高性價(jià)價(jià)比的數(shù)據(jù)據(jù)存儲新格格局。煙草數(shù)據(jù)中中心的應(yīng)用用主要包括括生產(chǎn)調(diào)度度、計(jì)劃查查詢、ERRP/OAA等幾個(gè)部部分。采用用基于IPP技術(shù)的存存儲設(shè)備實(shí)實(shí)現(xiàn)數(shù)據(jù)存存儲，實(shí)現(xiàn)現(xiàn)雙機(jī)集群群和多路經(jīng)經(jīng)負(fù)載均衡衡；采用和和業(yè)務(wù)特點(diǎn)點(diǎn)相適應(yīng)的的數(shù)據(jù)保護(hù)護(hù)手段，實(shí)實(shí)現(xiàn)業(yè)務(wù)連連續(xù)性和數(shù)數(shù)據(jù)安全。全I(xiàn)P數(shù)據(jù)據(jù)存儲和保保護(hù)方案采采用H3CC Neooceann IX系系列存儲設(shè)設(shè)備搭建的的IP SSAN，實(shí)實(shí)現(xiàn)了集中中存儲。依依托于IXX系列存儲儲設(shè)備優(yōu)異異的性能和和良好的擴(kuò)擴(kuò)展性，滿滿足各種應(yīng)應(yīng)