【正文】 澄城卷煙廠網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、系統(tǒng)集成技術(shù)部分華為技術(shù)有限公司114 / 114目錄第一章 項目背景 5：澄城卷煙廠核心網(wǎng)絡(luò)改造升級 5 5 現(xiàn)有網(wǎng)絡(luò)基礎(chǔ) 5第二章 項目需求分析 6 6 7第三章 系統(tǒng)建設(shè)目標(biāo)、原則 8 8 8 9 10澄城卷煙廠網(wǎng)絡(luò)改造拓樸圖 12 13 13 15 16 17 20 20第四章 華為網(wǎng)絡(luò)、網(wǎng)絡(luò)安全系統(tǒng)建設(shè)方案 21 21 21 22 24 28第五章 后期項目建設(shè)建議 29 29 31 IPV6的遷移 33第六章 工程實施方案 36 36 36 40 40 42 45 59 59 60 60 62 63 64 65 66第七章 文檔提交和管理 67 67 67 67 68 68 68第八章 培訓(xùn) 69 69 69 70 70 71 71 73 73 74 74 75 76 76 77第九章 項目驗收 91 91 91 96 97第十章 項目計劃 102 102 108（2人） 108（1人） 108 （3人） 108（1名小組負責(zé)人，3名實施工程師） 109（4人） 109（3人） 109（2人） 109（4人） 110（4人） 110 知識傳輸計劃 110 110 110 111 111 111第十一章 技術(shù)支持與售后服務(wù) 112 112 115 115 115 117 120 120 122 123 124 128 128 128 維護支持流程 129 維護響應(yīng)時間 130 變更請求的處理流程 130第十二章 設(shè)備配置清單 134 134第一章 項目背景：澄城卷煙廠核心網(wǎng)絡(luò)改造升級 現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)目前，澄城卷煙廠局域網(wǎng)已基本建成和連通。網(wǎng)絡(luò)主干帶寬為100M，鋪設(shè)的光纖以多模6芯為主，主交換設(shè)備3COM非網(wǎng)管二層交換機，各單位使用的交換機也以二層交換機為主，大多數(shù)交換機不支持標(biāo)準(zhǔn)網(wǎng)管，給網(wǎng)管人員帶來很大的不便?，F(xiàn)有網(wǎng)絡(luò)設(shè)備性能過低，基本不具備安全控制功能，無法滿足企業(yè)大規(guī)模ERP的部署和企業(yè)未來幾年信息化對網(wǎng)絡(luò)平臺的要求。并且不具備防火墻功能，使內(nèi)外網(wǎng)安全性處在一個較低的水平。第二章 項目需求分析本次項目就是為了滿足信息化建設(shè)需求，建設(shè)澄城卷煙廠信息化應(yīng)用的網(wǎng)絡(luò)支撐平臺，內(nèi)容包括：平臺的整體架構(gòu)設(shè)計；防病毒體系的建立；網(wǎng)絡(luò)、安全等設(shè)備的選型和采購；系統(tǒng)的集成；安全體系、運維體系的建立。針對客戶的詳細要求，系統(tǒng)地具體需求為： 針對本次項目建設(shè)的特點，系統(tǒng)需要保證業(yè)務(wù)7*24小時的連續(xù)性，可用性。因此本次系統(tǒng)建設(shè)的總體需求有： 可管理性實現(xiàn)設(shè)備的自動化遠程管理控制。實現(xiàn)人員上網(wǎng)的自動化管理控制 無單一故障點從網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路、網(wǎng)絡(luò)協(xié)議、路由協(xié)議等方面都要考慮到系統(tǒng)的可靠性、可用性，保證系統(tǒng)的整體冗余。網(wǎng)絡(luò)設(shè)備：背板冗余、電源冗余、VRRP實現(xiàn)交換機之間冗余網(wǎng)絡(luò)線路：多條線路之間的負載均衡、故障切換網(wǎng)絡(luò)協(xié)議、路由協(xié)議：采用主流技術(shù)，實現(xiàn)故障自動切換。 高性能由于業(yè)務(wù)的特點，應(yīng)用處理再特定時段會出現(xiàn)處理高峰，這就對數(shù)據(jù)傳輸帶寬、網(wǎng)絡(luò)突發(fā)性處理提出了很高的要求。 目前，澄城卷煙廠局域網(wǎng)已基本建成和連通。網(wǎng)絡(luò)主干帶寬為100M，鋪設(shè)的光纖以多模6芯為主，主交換設(shè)備非網(wǎng)管3COM，各單位使用的交換機以二層交換機為主，大多數(shù)交換機不支持標(biāo)準(zhǔn)網(wǎng)管，給網(wǎng)管人員帶來很大的不便?，F(xiàn)有網(wǎng)絡(luò)設(shè)備性能過低，基本不具備安全控制功能，無法滿足企業(yè)大規(guī)模ERP的部署和企業(yè)未來幾年信息化對網(wǎng)絡(luò)平臺的要求。針對目前網(wǎng)絡(luò)的現(xiàn)狀主要存在以下問題：隨著網(wǎng)絡(luò)規(guī)模的擴大，對網(wǎng)絡(luò)核心的處理能力提出了很高的要求，需要提供高達數(shù)百G的交換容量和數(shù)百M的轉(zhuǎn)發(fā)速率。ERP應(yīng)用有大量的數(shù)據(jù)在網(wǎng)絡(luò)進行傳輸，并且在特定的階段有傳輸高峰的出現(xiàn)，對網(wǎng)絡(luò)帶寬提出了很高的要求。ERP系統(tǒng)需要大量的主機運行平臺，為了實現(xiàn)用戶對服務(wù)器的快速訪問，需要建立一個服務(wù)器區(qū)，實現(xiàn)服務(wù)器的集中訪問和管理。為了保證網(wǎng)絡(luò)的運維管理，所有網(wǎng)絡(luò)設(shè)備必須支持網(wǎng)絡(luò)管理，實現(xiàn)對端口級別的管理和控制。利用原有的部分交換機，實現(xiàn)與老系統(tǒng)的互聯(lián)和統(tǒng)一管理。信息化網(wǎng)絡(luò)建設(shè)，涉及與Internet的連接，涉及到與多個下屬部分單位的連接。ERP應(yīng)用、OA應(yīng)用、WWW應(yīng)用、FTP應(yīng)用等等需要針對不同的部門、不同的人員服務(wù)，對網(wǎng)絡(luò)的安全提出了以下的需求： 采用安全控制措施，實現(xiàn)人員的集中管理和控制。 采用安全措施，加強對核心服務(wù)器系統(tǒng)的保護。 采用安全措施，實現(xiàn)與Internet的安全連接，同時對外提供服務(wù)。 采取安全措施，實現(xiàn)網(wǎng)上行為的審計，進行事中、事后分析。 實現(xiàn)集中統(tǒng)一的全網(wǎng)安全管理，減輕管理的負擔(dān)。第三章 系統(tǒng)建設(shè)目標(biāo)、原則本次澄城卷煙廠信息化建設(shè)的主要目標(biāo)為： 建設(shè)覆蓋本次應(yīng)用軟件系統(tǒng)所涉及的所有單位和用戶，利用千兆以太網(wǎng)技術(shù)構(gòu)建高性能、高可靠性、安全、可管理的網(wǎng)絡(luò)平臺。 建設(shè)網(wǎng)絡(luò)安全管理系統(tǒng)，實現(xiàn)對設(shè)備、人員、網(wǎng)絡(luò)行為、終端設(shè)備的安全管理。本次系統(tǒng)建設(shè)應(yīng)滿足以下總體設(shè)計要求：在系統(tǒng)整體設(shè)計中應(yīng)選用高可靠性設(shè)備產(chǎn)品，設(shè)備充分考慮冗余、容錯能力和備份，同時合理設(shè)計總體架構(gòu)，制訂可靠的QoS質(zhì)量保證策略，最大限度保障系統(tǒng)正常運行。根據(jù)未來業(yè)務(wù)的增長和變化，系統(tǒng)可平滑擴充和升級，避免在系統(tǒng)擴展時對網(wǎng)絡(luò)架構(gòu)的大幅度調(diào)整。支持集中監(jiān)控、分權(quán)管理，以便統(tǒng)一分配網(wǎng)絡(luò)資源。支持故障自動報警。設(shè)計必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證數(shù)據(jù)的高質(zhì)量傳輸，預(yù)留出一定的流量增長的范圍，保證在可預(yù)見的將來滿足流量要求，避免網(wǎng)絡(luò)瓶頸影響整體的系統(tǒng)應(yīng)用。網(wǎng)絡(luò)設(shè)備采用先進的技術(shù)和制造工藝，對于路由協(xié)議支持、數(shù)據(jù)流量分配，抵御網(wǎng)絡(luò)攻擊、高性能方面保持技術(shù)領(lǐng)先，網(wǎng)絡(luò)結(jié)構(gòu)和路由協(xié)議采用成熟的、普遍應(yīng)用的并被證明是可靠的結(jié)構(gòu)模型和技術(shù)。支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國際標(biāo)準(zhǔn)的應(yīng)用與大型網(wǎng)絡(luò)規(guī)模的動態(tài)路由協(xié)議等開放協(xié)議，保證與其它網(wǎng)絡(luò)之間的平滑連接互通，保證與其它主流網(wǎng)絡(luò)產(chǎn)品的兼容性，以及將來網(wǎng)絡(luò)的擴展性。針對ERP系統(tǒng)這種關(guān)鍵業(yè)務(wù)應(yīng)用，所選擇的設(shè)備必須要經(jīng)過長時間的成功應(yīng)應(yīng)用檢驗，具有非常高的市場占有率。建設(shè)內(nèi)容主要網(wǎng)絡(luò)建設(shè)、安全建設(shè)、防病毒建設(shè)三個部分。具體內(nèi)容主要有； 核心網(wǎng)絡(luò)系統(tǒng)建設(shè)，通過雙核心交換機實現(xiàn)核心的高性能和高可靠性。 在四個辦公樓部署匯聚交換機，通過雙千兆光纖實現(xiàn)實現(xiàn)到兩臺核心交換機的冗余連接。 同時上上述四個樓層的匯聚交換機作為接入交換機使用，實現(xiàn)終端用戶的接入。 在Internet的出口處部署防火墻，實現(xiàn)到Internet的連接，并且原有專網(wǎng)路由線路也接入此防火墻，保證核心區(qū)服務(wù)器和應(yīng)用的安全。同時此防火墻支持國密VPN算法，為日后遠程VPN連網(wǎng)打下基礎(chǔ)。 在核心區(qū)部署防病毒網(wǎng)絡(luò)版軟件及相關(guān)服務(wù)器等應(yīng)用軟件系統(tǒng)，保證整個網(wǎng)絡(luò)設(shè)備、人員、應(yīng)用的安全。 調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，由原來的多級代理改為直接連接，保證了C/S應(yīng)用的訪問。 實現(xiàn)與原有網(wǎng)絡(luò)設(shè)備的連接。根據(jù)要求及其應(yīng)用需求，鑒于澄城卷煙廠各部門的特殊安全性要求，在總體建設(shè)上我們采用業(yè)務(wù)與網(wǎng)絡(luò)分層構(gòu)建、逐層保護的指導(dǎo)原則，利用標(biāo)準(zhǔn)IP+MPLS VPN技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性，并提供各部門、應(yīng)用系統(tǒng)網(wǎng)絡(luò)間的邏輯隔離(VPN)，保證互訪的安全控制，同時通過QOS和基于MPLS VPN的流量工程（TE），保證關(guān)鍵業(yè)務(wù)在網(wǎng)絡(luò)上傳輸?shù)膬?yōu)先級。對于基于同一傳輸網(wǎng)絡(luò)之上的多個不同部門、應(yīng)用系統(tǒng)之間的業(yè)務(wù)和數(shù)據(jù)隔離，我們設(shè)計采用MPLS VPN技術(shù)實現(xiàn)網(wǎng)絡(luò)橫向業(yè)務(wù)部門的隔離和縱向應(yīng)用系統(tǒng)的互通，所采用的傳輸及網(wǎng)絡(luò)設(shè)備以及整體網(wǎng)絡(luò)構(gòu)架都具有良好性能、高可靠和可擴展性，充分保護用戶投資。根據(jù)網(wǎng)絡(luò)業(yè)務(wù)不斷發(fā)展的需求，未來將在現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)平臺基礎(chǔ)上增加語音、視頻等業(yè)務(wù)功能，并將各種業(yè)務(wù)充分融合，統(tǒng)一實現(xiàn)，從而構(gòu)建一個基于“三網(wǎng)合一” 概念的企業(yè)信息化綜合業(yè)務(wù)平臺。全網(wǎng)分為三部分：核心層、匯聚層、接層。各部分描述如下：核心層：數(shù)據(jù)網(wǎng)主干網(wǎng)絡(luò)設(shè)備采用交換機進行組網(wǎng)，配置兩臺高性能核心三層交換機，完成各匯聚節(jié)點與核心節(jié)點以及各匯聚節(jié)點之間的數(shù)據(jù)高速路由轉(zhuǎn)發(fā)以及各節(jié)點園區(qū)網(wǎng)的業(yè)務(wù)匯聚，并在整個骨干網(wǎng)上啟用MPLS VPN，進行業(yè)務(wù)隔離。核心層為下兩層提供優(yōu)化的數(shù)據(jù)傳輸功能，它是一個高速的路由交換骨干，其作用是盡可能快地交換數(shù)據(jù)包，滿足匯聚節(jié)點與核心節(jié)點之間高速通信的需要。為保證本項目未來規(guī)模龐大，業(yè)務(wù)眾多的特點，核心交換機應(yīng)具備盡可能強大的性能、業(yè)務(wù)支持和端口接入的擴展能力。匯聚層：每個匯聚節(jié)點的匯聚交換機通過2個1000M光口與澄城卷煙廠網(wǎng)絡(luò)中心的2臺核心交換機相聯(lián)，構(gòu)成雙核心，雙歸屬的骨干網(wǎng)絡(luò)。匯聚層提供基于統(tǒng)一策略的互連性，它是核心層和接入層的分界點，定義了網(wǎng)絡(luò)的邊界，對數(shù)據(jù)包進行復(fù)雜的運算。在整個網(wǎng)絡(luò)環(huán)境中，匯聚層主要提供如下功能：部門和工作組的接入和匯聚，VLAN的路由，對多個部門及多種業(yè)務(wù)的安全隔離和帶寬保障，安全控制等。 接入層：接入層與匯聚層節(jié)點采用同一臺三層接入交換機，做到面向端點的安全控制能力。澄城卷煙廠網(wǎng)絡(luò)改造拓樸圖電信100M光纖接入省專網(wǎng)44M SDH專網(wǎng)路由器Eudemon 300 千兆防火墻S3952P樓層交換機百兆以太網(wǎng)線千兆多模光纖千兆以太網(wǎng)線樓層PC樓層PC樓層PC內(nèi)部服務(wù)器群S3952P樓層交換機S3952P樓層交換機S7810主核心交換機S7810備份交換機采用現(xiàn)有光纜資源，以網(wǎng)絡(luò)中心輻射至各匯聚點?，F(xiàn)有各條光纜主要為6芯多模，計劃本次項目采用“雙核心”方案，只需用到其中的四芯，完全可滿足本次項目“雙核心”的部署方式。各匯聚點至接入層交換機，可根據(jù)各匯聚區(qū)域的具體情況和實際距離，通過千兆光/電接口靈活連接。網(wǎng)絡(luò)中心內(nèi)部各設(shè)備均采用千兆以太網(wǎng)電纜互聯(lián)。根據(jù)招標(biāo)文件結(jié)合用戶實際需求，本次采用“雙核心”、“雙歸屬”的方式，構(gòu)建核心匯聚骨干網(wǎng)絡(luò)，匯聚接入千兆連接。根據(jù)總體結(jié)構(gòu)圖，核心交換機至各個業(yè)務(wù)區(qū)域和匯聚節(jié)點均采用雙千兆多模光纖，保證鏈路的可靠性；匯聚交換機至各接入交換機采用千兆多模光纖。核心交換機：作為全網(wǎng)數(shù)據(jù)和業(yè)務(wù)的核心，網(wǎng)絡(luò)上所有業(yè)務(wù)的數(shù)據(jù)流都要經(jīng)過核心交換機進行交換，因此它的安全性、可靠性和高性能對于全網(wǎng)數(shù)據(jù)和業(yè)務(wù)應(yīng)用的正常開展至關(guān)重要。建議采用模塊化萬兆核心路由交換機。引擎、電源等關(guān)鍵部件全部采用冗余設(shè)計，支持多操作系統(tǒng)、多配置文件，保證可靠性；全面支持分布式IP/MPLS VPN業(yè)務(wù)轉(zhuǎn)發(fā)，保證高性能； SERVER可以作為接入認證服務(wù)器的備份系統(tǒng)；硬件支持IPv6，支持10G RPR高速環(huán)網(wǎng)數(shù)據(jù)接口，滿足未來構(gòu)建企業(yè)大型核心環(huán)網(wǎng)要求；匯聚交換機：匯聚層在骨干網(wǎng)絡(luò)中起到承上啟下的作用，應(yīng)具備可靠性、高性能和多業(yè)務(wù)兼顧的特點。采用萬兆核心路由交換機，在本項目中具備如下特色：引擎、電源等關(guān)鍵部件全部采用冗余設(shè)計，支持多操作系統(tǒng)、多配置文件，保證可靠性；全面支持分布式高速率全線速業(yè)務(wù)轉(zhuǎn)發(fā)，保證高性能；完善的ACL、流量監(jiān)管、多元組綁定等安全機制；硬件支持IPv6，支持10G RPR高速環(huán)網(wǎng)數(shù)據(jù)接口，滿足未來構(gòu)建企業(yè)大型核心環(huán)網(wǎng)要求；全面實施VLAN配置，實現(xiàn)部門及業(yè)務(wù)的隔離；接入交換機：在一個大型園區(qū)網(wǎng)絡(luò)里，接入交換機具有數(shù)量多，部署分散的特點，且直接負責(zé)終端的接入，應(yīng)具備可管理性強、端口控制能力強、性價比高的特點。建議選用的三層接入交換機，具備如下優(yōu)勢：支持堆疊，至此對堆疊組虛擬管理，完全可看作一個設(shè)備，使可管理性大幅度提高。具有良好的端點控制能力，支持豐富的MAC、IP、端口的靈活綁定。可通過此功能實現(xiàn)對終端接入的控制。VLAN能力強，支持最高的4096個VLAN；網(wǎng)絡(luò)安全系統(tǒng)設(shè)計：數(shù)據(jù)中心是本網(wǎng)絡(luò)最重要的部位，是信息化的神經(jīng)中樞，數(shù)據(jù)中心的設(shè)計應(yīng)具備最高的安全性，同時應(yīng)保證流暢的帶寬和一定的可靠性。作為一個單獨的區(qū)域來建設(shè)，結(jié)合客戶要求，我們采用“防火墻核心交換機”的建設(shè)思路，全部采用雙千兆設(shè)備，全千兆連接的方式，保證給數(shù)據(jù)中心最強大的安全保障能力和數(shù)據(jù)吞吐量。對數(shù)據(jù)中心做如下部署：核心防火墻：防火墻可以部署在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)中心的前面，實現(xiàn)對所有訪問內(nèi)部的網(wǎng)絡(luò)流量進行身份控制，提供對廠區(qū)內(nèi)部網(wǎng)絡(luò)的完整的保護。除了完善的隔離控制能力和安全防范能力，數(shù)據(jù)中心防火墻的部署我們同時考慮兩個關(guān)鍵特性：高性能：數(shù)據(jù)中心部署大量的服務(wù)器，是整個網(wǎng)絡(luò)的數(shù)據(jù)流量的匯集點，因此要求防火墻必須具備非常高的性能，保證部署防火墻后不會影響這些大流量的數(shù)據(jù)傳輸，不能成為性能的瓶頸；可靠性：所有與省專網(wǎng)及INTERNAT通信都依賴于此核心防火墻，這些應(yīng)用是企業(yè)運行的關(guān)鍵支撐，必須要嚴(yán)格的保證網(wǎng)絡(luò)的可靠性與可用性，因此，部署防火墻以后，不對網(wǎng)絡(luò)傳輸?shù)目煽啃栽斐捎绊?，不能形成單點故障。 基于上述兩個的關(guān)鍵特性，我們進行以下設(shè)備部署模式和配置策略：l 設(shè)備部署模式：我們在INTERNAT出口及省中煙公司專網(wǎng)線路出口上部署一臺千兆防火墻，以雙鏈路方式連接兩臺核心交換機和1G的吞吐量保證可靠性和高性能。l 安全控制策略：l 防火墻設(shè)置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如