【正文】
全性原則: 本次工程項(xiàng)目服務(wù)于衡鋼網(wǎng)絡(luò)升級改造項(xiàng)目需要,對安全級別要求很高。系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)層的安全手段防止系統(tǒng)外 部成員的非法侵入以及操作人員的越級操作,保護(hù)網(wǎng)絡(luò)建設(shè)者 的合法利益。 成熟和先進(jìn)性原則: 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)配置、系統(tǒng)管理方式等方面采用國際上先進(jìn)同時又是成熟、實(shí)用的技術(shù)。設(shè)備廠商和投標(biāo)商應(yīng)有相關(guān)領(lǐng)域的豐富經(jīng)驗(yàn)。 規(guī)范性原則: 系統(tǒng)設(shè)計(jì)所采用的技術(shù)和設(shè)備應(yīng)符合國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn),為系統(tǒng)的擴(kuò)展升級、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。 開放性和標(biāo)準(zhǔn)化原則: 在設(shè)計(jì)時,要求提供開放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案;設(shè)備的各種接口滿足開放和標(biāo)準(zhǔn)化原則。 可擴(kuò)充和擴(kuò)展化原則: 所有系統(tǒng)設(shè)備不但滿足當(dāng)前需要,并在擴(kuò)充模塊后滿 足可預(yù)見將來需求,如帶寬和設(shè)備的擴(kuò)展,應(yīng)用的擴(kuò)展和辦公地點(diǎn)的擴(kuò)展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時,能保護(hù)現(xiàn)有的投資。 可管理性原則: 整個系統(tǒng)的設(shè)備應(yīng)易于管理,易于維護(hù),操作簡單,易學(xué),易用,便于進(jìn)行系統(tǒng)配置,在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制,并可以進(jìn)行遠(yuǎn)程管理和故障診斷。 . 設(shè)備選型依據(jù) 根據(jù)以上原則,我們推薦選擇杭州 NN 通信技術(shù)公司(以下簡稱 H3C公司)的產(chǎn)品來構(gòu)筑“高可靠、高安全、可管理”的網(wǎng)絡(luò)。原因如下: H3C公司已經(jīng)成為業(yè)界少數(shù)能夠提供全系列的路由器和以太網(wǎng)交換 機(jī)、無線、安全、 IP 存儲以及 VoIP 產(chǎn)品、視頻會議、 IP 監(jiān)控和網(wǎng)絡(luò)管理產(chǎn)品的廠家,從產(chǎn)品的提供上能夠充分滿足組網(wǎng)應(yīng)用的需求。 從可靠性考慮, H3C公司是國內(nèi)優(yōu)秀的數(shù)據(jù)通信設(shè)備供應(yīng)商之一,產(chǎn)品已在運(yùn)營商和金融、電力等行業(yè)大量使用。眾所周知,運(yùn)營商和金融、電力等行業(yè)應(yīng)用對于可靠性的要求非常的高,要求設(shè)備具有 %的可靠性,而 H3C 公司在進(jìn)行數(shù)據(jù)通信網(wǎng)絡(luò)設(shè)備的研發(fā)、制造都是基于電信級的可靠性要求來進(jìn)行的。 從安全性考慮,優(yōu)先采用國產(chǎn)設(shè)備構(gòu)筑本次網(wǎng)絡(luò)工程,對于網(wǎng)絡(luò)的整體考慮是必要的, H3C公司的網(wǎng)絡(luò) 產(chǎn)品包括全系列路由器和以太網(wǎng)交換機(jī)已在國內(nèi)多個安全性高的行業(yè)得到規(guī)模應(yīng)用,如:國務(wù)院辦公廳、中共中央辦公廳、國家信息中心、國家科技部、國家財(cái)政部、國家審計(jì)署、中共中央組織部、中共中央宣傳部、中共中央紀(jì)律檢查委員會、國家勞動與社會保障部、國家審計(jì)署、國家公安部、國家電網(wǎng)公司、中國銀行、中國工商銀行、中國建設(shè)銀行、中國農(nóng)業(yè)銀行、中石油、中石化等,甚至包括對網(wǎng)絡(luò)傳輸可靠性和性能要求極高的“嫦娥奔月”計(jì)劃地面?zhèn)鬏敂?shù)據(jù)網(wǎng)也采用 H3C公司網(wǎng)絡(luò)產(chǎn)品構(gòu)建。 從售后服務(wù)考慮, H3C 公司提供本地化服務(wù),在長沙市有本地售前技 術(shù)支持和售后服務(wù)工程師,能最快時間響應(yīng)用戶; H3C公司設(shè)有 7 24 客戶服務(wù)熱線,提供全天候無間斷的產(chǎn)品技術(shù)咨詢、故障申報(bào)受理、硬件維修 RMA 受理、培訓(xùn)需求受理、以及服務(wù)政策咨詢等服務(wù)內(nèi)容; H3C 公 司還提供備件先行服務(wù),在全國設(shè)有 30 個區(qū)域備件庫(在湖南省長沙市設(shè)立有區(qū)域備件庫)和 3個備件分撥中心(位于杭州、北京與深圳),并與多家專業(yè)物流公司合作建立了業(yè)界領(lǐng)先的快速備件物流系統(tǒng),為用戶的利益作出切實(shí)可靠的保障, 從市場應(yīng)用來說,據(jù)賽迪顧問( CCID)調(diào)查報(bào)告:在國內(nèi),截止到 2020 年底, H3C 公司交換機(jī)端 口數(shù)市場份額 %,企業(yè)級路由器臺數(shù)市場份額 30%,國內(nèi)市場均排名第一(數(shù)據(jù)來源 : IDC 2020Q4 報(bào)告);成為全球主要的數(shù)據(jù)通信設(shè)備及解決方案供應(yīng)商之一。 3. XX 連軋管有限公司網(wǎng)絡(luò)建設(shè)方案 . 網(wǎng)絡(luò)建設(shè)原則 結(jié)合衡鋼網(wǎng)絡(luò)升級改造項(xiàng)目的實(shí)際應(yīng)用和發(fā)展要求,在進(jìn)行本次網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時,主要應(yīng)遵循以下原則: 1)高性能:骨干網(wǎng)絡(luò)的性能是整個網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ),在設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力,保證各種信息(數(shù)據(jù)、語音、圖象)的高質(zhì)量傳輸,才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。 2)高可靠性:網(wǎng)絡(luò)的穩(wěn)定可靠是 應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵,保證在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性的網(wǎng)絡(luò)產(chǎn)品設(shè)備,充分考慮冗余、容錯和備份能力,同時合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu),制訂可靠的網(wǎng)絡(luò)備份策略,保證網(wǎng)絡(luò)具有故障自愈的能力,最大限度地支持系統(tǒng)的可靠運(yùn)行。 3)標(biāo)準(zhǔn)化:支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國際標(biāo)準(zhǔn)的動態(tài)路由協(xié)議等開放協(xié)議,有利于以保證與其它網(wǎng)絡(luò)之間的平滑連接互通,以及將來網(wǎng)絡(luò)的擴(kuò)展。 4)可擴(kuò)充性:所有網(wǎng)絡(luò)設(shè)備不但滿足當(dāng)前需要,并在擴(kuò)充模塊后,滿足可預(yù)見將來需求。網(wǎng)絡(luò)設(shè)計(jì)要考慮本期網(wǎng)絡(luò)系統(tǒng)應(yīng)用和今后網(wǎng)絡(luò)的發(fā)展,便于向更新技術(shù)的升級與銜接。要留有擴(kuò)充余量,包括端口數(shù)量和帶寬的升級能力。 5)易管理性:網(wǎng)絡(luò)設(shè)備應(yīng)易于管理,易于維護(hù),操作簡單,易學(xué),易用,便于進(jìn)行網(wǎng)絡(luò)配置,發(fā)現(xiàn)故障。 6)支持多媒體:支持文本、語音、圖形、圖像及音頻、視頻等多種媒體信息的傳輸、查詢服務(wù),具有多種基于優(yōu)先級隊(duì)列的 QoS保證,多媒體應(yīng)用對服務(wù)質(zhì)量有很高的要求,如帶寬,延遲,延遲的變化等,需要網(wǎng)絡(luò)對服務(wù)質(zhì)量 (QoS)有很好的支持。 7)安全性:網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)和文件多數(shù)要求具有高度的安全性,因此,網(wǎng)絡(luò)系統(tǒng)本身要有較高的安全性,對使用的信息進(jìn)行嚴(yán)格的權(quán)限管理,在技術(shù)上提供先進(jìn)的、可靠的 、全面的安全方案和應(yīng)急措施,確保系統(tǒng)萬無一失。同時符合國家關(guān)于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和管理?xiàng)l例。 8)經(jīng)濟(jì)性:在充分利用現(xiàn)有資源的情況下,最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資,有計(jì)劃、有步驟地實(shí)施,在保證網(wǎng)絡(luò)整體性能的前提下,充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級。 . 網(wǎng)絡(luò)總體規(guī)劃 本項(xiàng)目將根據(jù)標(biāo)準(zhǔn)的網(wǎng)絡(luò)分層分區(qū)建設(shè)方法,將網(wǎng)絡(luò)的可靠性、安全性、先進(jìn)性、易維護(hù)性、可擴(kuò)展性發(fā)揮到最好,從而最終實(shí)現(xiàn)建設(shè)完善和先進(jìn)的數(shù)據(jù)中心的目的。 由于衡鋼網(wǎng)絡(luò)升級改造項(xiàng)目需要能夠支撐起數(shù)據(jù)和視頻等應(yīng)用系統(tǒng)的使用,同時考慮整個系統(tǒng)的冗余性和可靠性 ,整個網(wǎng)絡(luò)采用冗余結(jié)構(gòu)和分層分級的設(shè)計(jì)思路進(jìn)行。 H3C 設(shè)計(jì)全新的基于純 IP 技術(shù)的網(wǎng)絡(luò)平臺來滿足衡鋼網(wǎng)絡(luò)升級改造項(xiàng)目的需求變化。面向網(wǎng)絡(luò)資源的有效、高效利用,從網(wǎng)絡(luò)架構(gòu)方面提供優(yōu)化方案,使得核心網(wǎng)、接入網(wǎng)具有更高的可靠性和可控性,同時使得網(wǎng)絡(luò)結(jié)構(gòu)與布局在結(jié)合實(shí)際業(yè)務(wù)分布的前提下更加合理。數(shù)字園區(qū)的發(fā)展必然離不開兩個方向,其一是安全性,其二是移動性。這既是 IP 通信技術(shù)發(fā)展的方向,也是企業(yè)應(yīng)用的發(fā)展方向。滿足這個發(fā)展,首要前提就是讓網(wǎng)絡(luò)平臺能夠具備相關(guān)技術(shù)支撐能力,不論是對園區(qū)網(wǎng)的優(yōu)化還是對企業(yè)網(wǎng)業(yè)務(wù)的橫向拓展 ,都是基于網(wǎng)絡(luò)本身是安全有序的,需要從縱向三個維度對所有影響網(wǎng)絡(luò)安全的隱患、非法行為進(jìn)行滲透防御與控制。 衡陽華菱連軋管有限公司網(wǎng)絡(luò)拓?fù)銱3C S 9 5 0 8EAD 客戶端H3C S 9 5 0 8H3C i M C( E A D/X l o g )OAE m a ilE RP應(yīng)用服務(wù)器Cat a l yst 6 5 0 9Cat a l yst 3 5 5 0Cat a l yst 2 9 5 0 /HUB原有網(wǎng)絡(luò)1 0 GE 光纜千兆光纜千兆電纜H3C S 5 5 0 0 2 8 C/5 2 C EI H3C S 3 6 0 0 2 8 P /5 2 P EI . 核心層設(shè)計(jì) 核心層負(fù)責(zé)整個網(wǎng)絡(luò)的數(shù)據(jù)交換,同時也是整個網(wǎng)絡(luò)的路由交換中心,全網(wǎng)絕大部分第三層的轉(zhuǎn)發(fā)交換都通過核心節(jié)點(diǎn)集中進(jìn)行,為保證核心節(jié)點(diǎn)的高可用性,核心節(jié)點(diǎn)采用雙機(jī)備份方式,建議配置兩臺高性能的 H3C S9508 核心路由交換機(jī),它們之間通過兩條 10GE 捆綁實(shí)現(xiàn)互連,流量 在捆綁的多條鏈路上負(fù)載分擔(dān)和備份。兩臺 S9508構(gòu)成雙機(jī)冗余熱備結(jié)構(gòu),達(dá)到無單點(diǎn)故障的目的。這樣任意核心節(jié)點(diǎn)都可以成為是業(yè)務(wù)的主 要匯總中心,核心節(jié)點(diǎn)與接入節(jié)點(diǎn)之間形成全冗余連接,以增強(qiáng)整體網(wǎng)絡(luò)的容錯和故障隔離能力。 H3C S9500 系列萬兆路由交換機(jī)是 H3C公司推出的旗艦核心路由交換機(jī),該產(chǎn)品基于 H3C公司自適應(yīng)安全網(wǎng)絡(luò)的技術(shù)理念,在提供大容量、高性能 L2/L3 交換服務(wù)基礎(chǔ)上,進(jìn)一步融合了硬件IPv網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析、無線等智能特性,可作為構(gòu)建融合業(yè)務(wù)。 產(chǎn)品特色 特色一: 支持三層的 MPLS VPN 和二層的 MPLS VPN( Martini、 Kompella),可擴(kuò)展支持 VPLS技術(shù);支持與 H3C MPLS VPN Manager 配合,實(shí)現(xiàn)圖形化的 MPLS 部署與維護(hù)。 特色二: 基于 ASIC 的高性能業(yè)務(wù), IPv4/IPv6 業(yè)務(wù)線速處理; H3C S9500 系列提供業(yè)界領(lǐng)先的交換能力,其最高的 路由交換引擎可以實(shí)現(xiàn) 576 個千兆或 48 個萬兆端口的線速轉(zhuǎn)發(fā),三層包轉(zhuǎn)發(fā)能力高達(dá) 857Mpps。 特色三: 融合的網(wǎng)絡(luò)安全特性,自身支持集成的防火墻模塊、 NAT 模塊、 Netstream網(wǎng)絡(luò)流量分析模塊等硬件 NP 處理器; 特色四: 最長的網(wǎng)絡(luò)正常運(yùn)行時間,產(chǎn)品的關(guān)鍵部件引擎、電源、風(fēng)扇采用冗余結(jié)構(gòu),功能特性上支持 RPR(彈性分組環(huán))、 OSPF/ISIS/BGP 的優(yōu)雅重啟技術(shù),保證了網(wǎng)絡(luò)異常時的電信級快速自愈。 特色五: 集成的無線控制模塊提供豐富的業(yè)務(wù)能力,包括精細(xì)的用戶控制管理、完善的 RF 管理及安全機(jī)制、快速漫游和超強(qiáng)的 QOS支持等;無線控制模塊通過與 H3C安全策略服務(wù)器的聯(lián)動,實(shí)現(xiàn)對無線接入用戶的端點(diǎn)準(zhǔn)入防御( EAD),提高了整網(wǎng)的安全性。 豐富的產(chǎn)品應(yīng)用 07 年止 H3C S9500系列產(chǎn)品規(guī)模應(yīng)用于運(yùn)營商、黨政、公檢法、財(cái)稅、教育、金融、電力、能源、交通、水利、制造業(yè)、公共事業(yè)、企業(yè)等廣大用戶。 . 接入層設(shè)計(jì) 接入層交換機(jī)基于用戶信息點(diǎn)的分 布情況,采用全千兆和百兆兩種類型的設(shè)備。 H3C S5500EI系列全千兆多業(yè)務(wù)以太網(wǎng)交換機(jī)提供千兆到桌面的接入速率, H3C S3600EI 系列智能彈性以太網(wǎng)交換機(jī)為用戶提供百兆到桌面的接入速率。接入層交換機(jī)具備 24 端口和 48 端口兩種機(jī)型,滿足不同安裝地點(diǎn)信息點(diǎn)數(shù)量不等的需求。接入交換機(jī)具備 4 個 GE SFP 光接口,目前所有接入層交換機(jī)均通過雙鏈路以千兆速率( 2 1GE)與兩臺核心路由交換機(jī) H3C S9508互聯(lián),后續(xù)根據(jù)業(yè)務(wù)發(fā)展對帶寬的需求,百兆三層交換機(jī)可支持升級至主干四鏈路( 2 2GE),千兆三層交換 機(jī)可支持升級至主干四鏈路( 2 2GE 或 2 20GE)帶寬。 H3C S5500 系列和 S3600 系列以太網(wǎng)交換機(jī)支持特有的 ARP 入侵檢測功能,可有效防止黑客或攻擊者通過 ARP 報(bào)文實(shí)施網(wǎng)絡(luò)中常見的“中間人”攻擊, H3C接入層以太網(wǎng)交換機(jī)所支持的 ARP 入侵檢測功能和 DHCP Snooping 功能配合使用,可以對不符合 DHCP Snooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法 ARP 欺騙報(bào)文直接丟棄。同時支持 IP Source Check特性,防止包括MAC 欺騙、 IP 欺騙、 MAC/IP 欺騙在內(nèi)的非法地址仿冒,以 及大流量地址仿冒帶來的 DoS 攻擊。另外,利用 DHCP Snooping的信任端口特性還可以有效杜絕局域網(wǎng)內(nèi)用戶私設(shè) DHCP服務(wù)器,保證 DHCP 環(huán)境的真實(shí)性和一致性。 H3C S5500 系列和 S3600 系列以太網(wǎng)交換機(jī)支持端口安全特性可以有效防范基于 MAC 地址的攻擊??梢詫?shí)現(xiàn)基于 MAC 地址允許 /限制流量,或者設(shè)定每個端口允許的 MAC 地址的最大數(shù)量,使得某個特定端口上的 MAC 地址可以由管理員靜態(tài)配置,或者由交換機(jī)動態(tài)學(xué)習(xí)。 H3C S5500 系列和 S3600 系列以太網(wǎng)交換機(jī)支持集中式 MAC 地址認(rèn)證和 ,支持用戶帳號、 IP、 MAC、 VLAN、端口等用戶標(biāo)識元素的動態(tài)或靜態(tài)綁定,同時實(shí)現(xiàn)用戶策略( VLAN、QOS、 ACL)的動態(tài)下發(fā);支持配合 H3C公司的 EAD 系統(tǒng)對在線用戶進(jìn)行實(shí)時的管理,及時的診斷和瓦解網(wǎng)絡(luò)非法行為。支持對 Proxy 進(jìn)行有效的管理。 . 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 衡鋼網(wǎng)絡(luò)升級改造項(xiàng)目建議采用常用的兩層交換組網(wǎng)模型。通過 VLAN 隔離區(qū)域用戶,同一VLAN 內(nèi)用戶可方便互訪。同時在核心層配置安全規(guī)則對內(nèi)部網(wǎng)絡(luò)各子網(wǎng)間的路由實(shí)現(xiàn)策略控制,接入層啟用 和防 ARP 欺騙等安全特性為用戶提供保護(hù)(接入層 用戶認(rèn)證和防 ARP欺騙等安全特性的部署詳見第 4 節(jié),網(wǎng)絡(luò)安全設(shè)計(jì))。 衡陽華菱連軋管有限公司網(wǎng)絡(luò)協(xié)議設(shè)計(jì)H3 C S 9 5 0 8 H3 C S 9 5 0 8H3 C i M C( E A D/X l o g )OAE m a ilE RP應(yīng)用服務(wù)器Ca ta l yst 6 5 0 9Ca ta l yst 3 5 5 0Ca ta l yst 2 9 5 0 /HUB原有網(wǎng)絡(luò)H3 C S 5 5 0 0 2 8 C/5 2 C EI H3 C S 3 6 0 0 2 8 P /5 2 P EIVR R P1 m a s t e rVR R P2 b a ck u pVR R P2 m a s t e rVR R P1 b a ck u p客戶端部署 H 3 C i N o d e 實(shí)現(xiàn)對用戶的認(rèn)證、計(jì)費(fèi)和授權(quán)控制接入交換機(jī):1 . V C T 虛擬電纜檢測協(xié)議發(fā)