XX烟草网络解决方案.docx

1 行业背景我国是全世界最大的烟草生产国与消费国，雄踞八个“世界第一”：烤烟种植面积第一；烤烟产量世界第一；烤烟增长速度世界第一；卷烟产销量世界第一；卷烟增长速度世界第一；吸烟人数世界第一；吸烟人数增加数量世界第一；烟税增长速度世界第一。中国的烟草工业仍然是国营部门，几乎是中国未被外国产品和外资所侵入的最后的堡垒。自国家烟草专卖制度实施以来，中国烟草行业在“满足居民消费需求、提高烟草制品质量、增加国家财政积累、支持民族企业发展”等方面取得了很大成绩。不过，这些成绩的取得与烟草行业处于生命周期的成长阶段、行业主管部门和各级政府有关部门对国内烟草市场实行“行政垄断”并通过设置较高的政策壁垒把国外烟草商拒之门外、中国社会存在大量的灰色烟草消费等这些特定历史时期的经济、政治、社会条件和国际环境是息息相关的。随着时间的推移和各方面条件的发展变化，中国烟草行业正面临或即将面临着较为严峻的挑战，主要表现就是拉动行业发展的需求力量正日趋减弱、国内市场国际化竞争日益激烈、优势企业和名牌产品难以持续成长、过分依赖国内市场导致国际竞争力严重缺乏、中国市场化改革的深入和国家反垄断指向的增强以及中国“入世”后自由贸易规则的普遍推行将使烟草专卖体制面临多方压力等。我国的烟草专卖局（公司）具有政企合一的性质，一方面作为政府职能机构，负责对整个烟草行业的管理和控制；另一方面也作为一个独立的企业，进行正常的运营。正是这种特殊性，使得烟草行业既沿袭着传统的计划经济体制，同时也融入了一定的市场经济成分。卷烟作为国家专卖商品，统一组织生产和调配是烟草行业的特性，烟草行业内工业企业的生产和商业企业的销售都要受到计划和市场的双重影响，而计划和市场同时也在相互起着作用。但卷烟和其他商品一样，也需要根据市场的需求调控生产；通过品牌和企业形象的确立，吸引广大消费者；通过完善的分销网络和物流配送控制市场和客户。中国加入世贸组织后，如何经受住市场的洗礼和挑战，成为摆在烟草行业面前一道难题。国外的烟草企业资金雄厚、品牌形象好、管理水平高。中国的烟草企业只有加强管理，向管理要效益，练好企业内功，才能提高烟草行业的综合实力和竞争能力，才能在激烈的市场竞争中稳脚跟，而这就必须依赖于先进的信息技术和管理方式。2 概述2.1 项目背景2.2 设计原则多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；支持路由协议：IP 的RIP V1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP.支持：IPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM；网络管理协议：SNMP，RMON，RMON2； 兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业企业网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在企业网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模企业网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计企业网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。可靠性本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备,支持双机或多机高可用结构； 充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制；易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。可管理性络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计企业网的设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMON/RMONII协议，核心设备要求支持 RAP (远程分析端口) 协议，实施充分的网络管理功能。在设计企业网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。2.3 设计依据本系统方案依据下列资料设计制作： 民用建筑电气设计规范(JGJ/T16-92) 电气装置安装工程施工及验收规范（GBJ232-92） 建筑与建筑群综合布线系统工程设计规范（GB/T50311-2000） 建筑与建筑群综合布线系统工程验收规范（GB/T50312-2000） 大楼通用综合布线系统（YD/T926.1-97） 信息技术互连国际标准（ISO/IEC11801-95） 通信光缆的一般要求（GB/T7427-87） 通信布线系统信息技术欧洲标准（EN50173） 无屏蔽双绞线系统现场测试传输性能规范（EIA/TIATSB67） 电子计算机机房设计规范（GB50174-93） 防静电工程技术规范（DGJ08-83-2000）3 技术方案3.1 敏捷网络近些年来，业务的发展日新月异，大量的新业务和新技术的出现，对网络产生了更多的诉求。这些业务包括云计算、WLAN和移动办公、社交媒体和高清视频、大数据和物联网等等。如何应对这些新业务带来的挑战？如何解决现有网络一些残留的问题？是下一代网络和企业网要重点考虑的内容。那现有的网络有什么问题呢？总结起来有5点：首先是网络资源是手动静态配置的，静态的网络资源无法即时响应业务的动态化，如计算资源的动态分配和虚拟机迁移，移动终端位置的变化等，这形成了矛盾。第二个是IP网络缺乏一个基本的质量感知机制，即人感受到体验差时，网络不能够感知。这就为完美流畅的业务体验设置了障碍，特别是实时业务出现时，这个问题会更加明显。第三是故障定位效率比较低效，在网络出现故障而又无法自动回复的情况下，需要对整网进行大规模排查，无法在短时间内精确定位故障点。第四是无边界的安全，安全问题已经从单一的出口安全，扩展到整网任意位置、任意设备的安全，尤其是移动性发展，使得攻击点可能遍布各个角落。最后是缓慢的响应能力，所有这些问题的形成的根源，都是因为网络设备，特别是以太交换机的更新速度，是硬件定义的，其新功能的增加取决于新器件的更新，目前的更新速度网络的响应速度远远跟不上以软件定义为基础的业务的发展速度，成为了业务发展的一个瓶颈。对此，基于SDN思想和网络架构创新，提出了敏捷网络解决方案。敏捷网络是华为公司面向企业市场发布的下一代网络解决方案，它基于SDN思想加3大架构创新，让网络能够快速、灵活地为业务服务，让企业获得领先的业务创新速度，帮助企业在激烈的竞争中获得先机。敏捷网络包含敏捷企业、云数据中心和高效广域3大子解决方案，满足了移动性、云计算、社交媒体、大数据、物联网6大业务趋势对网络的新诉求，给企业带来了前所未有的新价值。敏捷企业是敏捷网络解决方案在企业网的落地实现，是企业网的一次重大技术升级。3.2 总体网络规划3.3 VLAN功能3.3.1 VLAN概述VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离广播域的技术。当网络规模越来越庞大时，局部网络出现的故障会影响到整个网络，VLAN的出现可以将网络故障限制在VLAN范围内，增强了网络的健壮性。3.3.2 VLAN功能划分用户VLAN用户VLAN即普通VLAN，也就是我们日常所说的VLAN，是用来对不同端口进行隔离的一种手段。VLAN通常根据业务需要进行规划，需要隔离的端口配置不同的VLAN，需要防止广播域过大的地方配置VLAN用于减小广播域。Voice VLANVoice VLAN是为用户的语音数据流划分的VLAN，用户通过创建Voice VLAN并将连接语音设备的端口加入Voice VLAN，可以使语音数据集中在Voice VLAN中进行传输，便于对语音流进行有针对性的QoS配置，提高语音流量的传输优先级，保证通话质量。Guest VLAN网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN（即Guest VLAN），用户访问该VLAN内的资源不需要认证，只能访问有限的网络资源。用户从处于Guest VLAN的服务器上可以获取802.1x客户端软件，升级客户端或执行其他应用升级程序（例如：防病毒软件、操作系统补丁程序等）。认证成功后，端口离开Guest VLAN加入用户VLAN，用户可以访问其特定的网络资源。管理VLAN采用带内管理方式时，为了管理二层交换机，需要在二层交换机的上接口配置管理VLAN，并配置相应的VLANIF，这样二层交换机就可以提供一个IP地址供外访问。互联VLAN交换机之间进行三层互联时，互联接口所在的VLAN即是互联VLAN。通过互联VLAN可以将设备的网络接口的IP地址和主机的IP地址区分开来，便于管理员管理网络和设备。3.3.3 VLAN规划原则一个二层网络规划的基本原则：l 区分业务VLAN、管理VLAN和互联VLANl 按照业务区域划分不同的VLANl 同一业务区域按照具体的业务类型（如：Web、APP、DB）划分不同的VLANl VLAN需连续分配，以保证VLAN资源合理利用l 预留一定数目VLAN方便后续扩展3.3.4 VLAN规划建议VLAN根据多种原则组合划分。l 按照逻辑区域划分VLAN范围：例如：核心网络区：100199服务器区：200999，预留10001999接入网络：20003499业务网络：35003999l 按照地理区域划分VLAN范围例如：接入网络A的地理区域使用20002199接入网络B的地理区域使用22002399l按照人员结构划分VLAN范围例如：接入网络A地理区域A部门使用20002009接入网络A地理区域B部门使用20102019l 按照业务功能划分VLAN范围（当采用业务随行之后，VLAN无需与人员身份关联，故可以不再考虑该因素）例如：Web服务器区域：200299APP服务器区域：300399DB服务器区域：4004993.4 IP规划考虑到后期扩展性，在IP地址规划时主要以易管理为主要目标。企业网中的DMZ区或Internet互联区有少量设备使用公网IP，企业内部使用的则是私网IP。IP地址是动态IP或静态IP的选取原则如下：l 原则上服务器，特殊终端设备（打卡机，打印服务器，IP视频监控设备等）和生产设备建议采用静态IP。l 办公用设备建议使用DHCP动态获取，如办公用PC、IP电话等。3.4.1 IP地址规划的原则l 唯一性一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。l 连续性连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。l 扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。l 实意性“望址生意”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。IP地址的规划可以与VLAN的规划对应起来。例如，IP地址的第三个字节与VLAN编号的后三位保持一致，这样可以便于管理员记忆和管理。3.4.2 企业IP地址基本分类l Loopback地址为了方便管理，会为每一台路由器创建一个Loopback接口，并在该接口上单独指定一个IP地址作为管理地址。Loopback地址务必使用32位掩码的地址。最后一位是奇数的表示路由器，是偶数的表示交换机，越是核心的设备，Loopback地址越小。l 互联地址互联地址是指两台网络设备相互连接的接口所需要的地址，互联地址务必使用30位掩码的地址。核心设备使用较小的一个地址，互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。l 业务地址业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址，业务地址规划时所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。l 企业网内部的IP地址建议使用私网IP地址，在边缘网络通过NAT转换成公网地址后接入公网。汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由是可以聚合的，这样可以减少核心网络的路由数目。l 业务随行的IP地址规划业务随行方案中安全组的规划非常重要。IP地址规划对于静态资源类安全组的配置也存在重要的影响。相同用途接口、主机或服务器的IP地址规划至同一网段中，可以大幅简化安全组的配置。例如所有网络转发设备接口的互联IP地址虽然通过子网掩码分隔成多了网段（10.1.1.0/30、10.1.1.4/30等），但是如果在IP地址规划时为设备接口IP地址预留了一个统一的网段（10.1.0.0/16），在配置代表网络接口的安全组时就非常方便。3.4.3 DHCP规划企业网中办公网络建议使用DHCP，每个DHCP网段应保留部分静态IP供服务器等设备使用。DHCP企业部署基本架构DHCP企业部署基本架构如图 3 1所示，包括如下部分：l 在企业数据中心或服务器区部署独立的DHCP Server。l 在汇聚层网关部署DHCP Relay指向DHCP Server统一分配地址。l DHCP企业内一般通过VLAN分配地址，如有特殊要求，在接入交换机部属Option82，由接入交换机提供的Option82信息分配地址。DHCP部署基本原则l 固定IP地址段和动态分配IP地址段保持连续。l 按照业务区域进行DHCP地址的划分，便于统一管理及问题定位。l DHCP需要跨网段获得IP地址时，启动DHCP Relay功能。l 启动DHCP安全功能，禁止非法DHCP Server的架设和非法用户的接入。图 3 1 DHCP企业部署基本架构3.5 可靠性规划3.5.1 设备可靠性设备本身要具有电信级5个9的可靠性，需要网络设备支持：l l主控1:1备份l l交换网1+1/1:1两种方式l lDC电源1+1备份；AC电源1+1/2+2备份l l模块化的风扇设计，高端配置支持单风扇失效l l无源背板，高可靠性l l独立的设备监控单元，和主控解耦l l所有模块支持热插拔l l完善的告警功能l l设备管理1:1备份单设备是通过部件的冗余设计来保证高可靠性。对于设备本身的节点故障，一般通过网络协议感知故障点后进行动态调整，实现流量的快速切换，提高可靠性，但是切换的时间比较长。华为支持框式交换机的集群CSS（Cluster Switch System）和盒式交换机的堆叠iStack技术，能够把多台物理设备连接在一起，对外表现为一台逻辑设备，从功能和管理方面，都可以作为一台设备来看待。单节点物理设备的故障，逻辑设备能够快速感知，并快速将流量切换到UP状态的链路上，减少丢包时间，具有更高的可靠性。采用华为S12700系列交换机CSS/CSS2技术，对企业核心网络，有如下优势：l l简化管理和配置首先，集群后需要管理的设备节点减少一半以上。其次，组网变得简洁，不需要配置复杂的协议，包括STP/SmartLink/VRRP等。l l快速的故障收敛链路故障收敛时间可以控制在10ms，大大降低了网络链路/节点的故障对业务的影响。l l带宽利用率高链路采用Trunk的方式，带宽利用率可以达到100%。l l扩容方便随着业务的增加，当网络需要扩容时，如果采用集群方式，只需要增加新设备即可，不需要更改网络配置。能做到平滑扩容，很好的保护了用户投资。采用华为S5700系列交换机iStack技术，对企业接入/汇聚网络，有如下优势：l l简化管理堆叠设备的角色分为Master和Slave。通过对Master设备的配置达到管理整个iStack堆叠以及堆叠内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。l l简化网络运行iStack形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。l l强大的网络扩展能力通过增加成员设备，可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。l l高可靠性堆叠的高可靠性体现在多个方面，比如：成员设备之间堆叠物理端口支持聚合功能，堆叠系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了堆叠系统的可靠性；堆叠系统由多台成员设备组成，Master设备负责堆叠的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过堆叠的业务不中断，从而实现了设备级的1:N备份。l l高性能由于iStack设备是由多个支持iStack特性的单机设备堆叠而成的，iStack设备的交换容量和端口数量就是iStack内部所有单机设备交换容量和端口数量的总和。因此，iStack技术能够通过多个单机设备的堆叠，轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。3.5.2 网络可靠性企业网络高可靠性设计方案如图 典型企业网络架构为三层网络结构：接入层、汇聚层、核心层。接入交换机为二层交换机，核心交换机作为用户网关。可靠性的设计也应该根据层次来设计。接入层网络是二层网络，接入交换机与汇聚交换机之间通过SmartLink/STP/RSTP/MSTP/RRPP/SEP解决二层网络环路问题，同时保证网络可靠性。交换机互联通过TRUNK链路，保证链路级可靠性，汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障（单通故障）。企业网可靠性方案设计的目标方案或发展趋势是各层次企业网交换机都进行虚拟化。通过集群/堆叠技术将两台或多台交换机虚拟成一台交换机。可以提高单节点设备可靠性，一台交换机故障，另外一台交换机自动接管故障设备上的所有业务，可以做到业务无损切换。设备虚拟化通过跨设备的Trunk链路，提升链路级可靠性，并且流量可以均匀分布在Trunk成员链路上，提高链路带宽利用率，一条或多条链路故障后，流量自动切换到其他正常的链路。该方案另外一个优点是网络配置和维护简单，企业二层接入网不需要配置复杂的二层环网和保护倒换协议，二层链路故障能直接感知快速切换。三层网络中多个设备间共享路由表，网络故障路由收敛速度快。网络管理和维护难度大大降低，此方案适应面广，扩展性强，是未来企业网的发展趋势。3.6 无线网络规划1 概述 企业园区网络承载企业所有 IT 基础设施和企业所有上层软件应用，对一个 企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视， 传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中，还是在公司 的咖啡厅、待客室，今天的用户都需要方便地获取各种网络服务。 一个典型的企业园区网络通常由楼宇办公网络、数据中心、Internet 出口、 以将这四部分互联起来的主干网络组成， 其中办公网络可分为有线网络和无线网 络。在规划与建设一个企业园区网络的时候，这些部分都要充分考虑。 同时，企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问 题，如何构建一个保障企业未来 510 年扩展，同时兼顾设备的投资保护的企业 园区网络，困扰着每一位企业 CIO。 华为企业园区网解决方案结合了高性能的路由、交换基础设施和提升安全、 可靠等特性，可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业 园区网络。 3 华为产品解决方案 3.1 整体架构设计 3.1.1 总体网络架构 整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体 化和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化 的设计方法，组网图如下所示： 网络架构整个网络的设计方案采用层次化、 模块化的设计思路， 按照接入层、 汇聚层、 核心层和出口层进行网络设备设计部署， 通过模块化或者购买单独设备的方式提 供 WLAN AC 控制器，在汇聚层交换机，提供防火墙、负载均衡器等增值业务功 能，满足企业日益增长的业务需求。 整个网络的重要特征是不存在网络单点故障， 交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用 TRUNK 链路保证链路级可靠性。 3.1.2 有线网络解决方案 整个网络层次建议采用业界成熟的三层架构：接入、汇聚和核心，最后企业 园区通过出口层网络设备（路由器或交换机）连接到外网通过。 这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。 3.1.2.1核心层网络设计 核心层交换机部署在园区核心机房中，汇聚各楼宇/区域之间的用户流量， 提供三层交换机功能，必须能够提供高速数据交换和路由快速收敛，要求具有较 高的可靠性、稳定性和易扩展性等。对于园区网核心层，应该在提供大容量、高 性能 L2/L3 交换服务基础上，能够进一步融合了硬件 IPv6，可为园区构建融合 业务的基础网络平台，进而帮助用户实现 IT 资源整合的需求。 所以建议核心层采用双机冗余备份的方式构造，消除单点故障，设备的关键 部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用 10G 链路互联，达到高带宽、高转发性能的效果。 本次建议采用华为的 S12708 高性能交换机构造核心层， 实现高性能的骨干网 络。华为 S12708 支持大容量、高转发性能，完全能够满足各网络的数据转发。 3.1.2.2汇聚层网络设计 汇聚层交换机的重要性也是比较高的， 一般部署在楼宇独立的网络汇聚机柜 中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为 园区网的网关，终结园区网用户的二层流量，进行三层转发。当路由协议应用于 这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设 备的第一跳网关，能够承载校园园区融合业务的需求。 根据需要， 可以在汇聚交换机上集成增值业务板卡 （如防火墙， 负载均衡器、 WLAN AC 控制器）或者旁挂独立的增值业务设备（如 WLAN 盒式 AC 等） ，为 园区网用户提供增值业务。汇聚层与核心层共同组建成骨干网络， 所以汇聚设备的性能要求也是比较高 的，建议采用 10G 的链路互联，达到万兆骨干网络。 汇聚交换机需要提供高密度的 GE 接口， 汇聚接入交换机的流量， 通过 10GE 接口接到核心交换机，推荐使用 S9300 系列交换机作为园区汇聚层交换机。 3.1.2.3接入层网络设计 接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（PC 机或服 务器） 提供二层交换机功能， ， 也支持三层接入功能 （接入交换机为三层交换机） 。 提供网络的第一级接入功能，一般完成简单的二层交换，安全、Qos 都位于 这一层。对于园区网的接入层设备，建议采用千兆二层接入的方式，应该具有线 速二层交换、IRF 智能弹性堆叠技术以及高级 QoS 策略等功能。 3.1.3 数据中心解决方案 数据中心的设计目标是实现高冗余、高带宽、高安全性、高可靠性等目的。 数据中心内的网络设备主要是：核心交换机、核心防火墙、核心路由器、负载均 衡设备。 核心交换机的主要功能是连接服务器，因此必须考虑企业未来的业务增长， 核心交换机必须具有很好的扩展性，随着以后网络的扩展，必须具有多个插槽， 以便以后网络扩展的时候能够增加网络模块。 由于核心交换机在整个网络中具有 十分重要的地位，因此核心交换机必须具有电信级的可靠性和稳定性，核心网络 对数据的快速转发速度要求很高， 因此核心交换机需要具备高容量的交换带宽和 包转发速率。我们建议采用华为的 S7700 系列高性能交换机，采用双机双电源。 可实现万兆或者千兆接入，实现数据中心高转发性能的效果。并且可以通进扩展 防火墙模块等方面，实现数据中心的安全。 3.1.4 无线网络解决方案 随着以太网的广泛应用，因特网的日益普及，以及移动终端的不断增加，人 们对移动 IP 接入的需求迅速增长。无线局域网 WLAN(Wireless Local Area Network )作为有线以太网的延伸，一定程度上满足了这种需求。由于无线网络的部署灵活性高，所以受到很多用户的青睐，整个无线网络， WLAN 解决方案可以运行在现有的有线企业网络的基础上，也可以采用一个独 立的网络。它为园区提供了具有部署方便性、安全性、可扩展性的无线网络，让 用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务。 我们建议采用华为的无线解决方案，在核心网络中部署一套无线控制器，无 线 AP 接入到接入层交换机上，各无线 AP 通过无线控制器统一管理。从而实现 易维护、易管理。 3.1.4.1无线网络的建设需求 在无线网络建设中，为了解决大规模部署情况下的统一配置、调整问题，以 及射频的智能管理问题，现在无线网络建设普遍都采用了瘦 AP 建网模式。瘦 AP 的另一个好处是实现了三层漫游环境下避免重新认证，从而使漫游切换时间 小于 50ms。这对于企业的移动业务，尤其是对切换时间要求最苛刻的语音业务 意义重大。 然而，随着无线网络的发展，一些新的需求也逐渐变得越来越强烈。主要有以下几个方面： 稳定问题： 由于 WLAN 网络的组网设计包含无线控制器、接入交换机、无线接入点等 大量设备，在大部分情况下，还需要通过以太网解决供电问题，所有这些环节都 会影响校园无线网络的稳定性；同时由于无线信号的传播深受环境影响，多径等 问题导致无线信号在不同方向上存在非常复杂的衰减现象， 实际的信号覆盖和理 想的信号衰减模型往往存在一定差异。 所以如何实时根据环境动态调整无线接入 点的信道、发射功率等也是经常困扰无线校园管理人员的难题。 安全问题： 由于无线网络的特殊性，园区无线用户的安全问题就更加突出。对无线网络 的用户来说，所有有线网络存在的安全威胁和隐患都同样存在。同时，任何不可 信的无线设备可以在信号覆盖范围内进行网络接入的尝试， 一定程度上也加剧了 无线用户所面临的安全隐患。 无线网络的安全问题已经不再是单一的物理层安全，也包括了用户接入安 全、网络层安全、设备安全、安全管理等多个层面上，如何能使企业无线用户在 使用网络时能够像使用有线网络一样安全、可靠，正逐渐成为无线企业网络建设 所关注的核心。 管理问题： 相对于 FAT AP 来说， 虽然 FIT AP 解决方案帮助网区管理人员实现了无线网 络的灵活安装与应用，但管理无线网络却仍然是一项非常耗时且麻烦的事情。在 无线园区网络环境中尤为如此。 传统的 FIT AP 解决方案由无线控制器（AC）及无线接入点（FIT AP）构成， 虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能，但是与有 线网络难于统一，无法在整个企业范围内实现用户管理及认证、服务质量控制和 安全策略实施等。因此，通常引入无线网络会降低安全性，整个网络管理起来比 较复杂，并且维护成本也比预期高。 把网络作为一个整体， 整合有线和无线网络， 实现统一的网络控制和管理，对于企业来说具有重要的意义。 扩展问题： WLAN 技术的发展日新月异，新技术、新标准层出不穷，除了呼之欲出的 802.11n，在教育行业一个重要的门槛技术是 IPv6。所有的无线产品和解决方案 都要为未来的升级和应用做好准备。 应用问题： 随着 WLAN 技术的逐步成熟， 市场上各种各样的 WLAN 终端如笔记本电脑、 PDA、双模手机、支持 Wi-Fi 的游戏机、即拍即传的数码相机如雨后春笋般涌现 出来，同时价格越来越低，普及程度越来越高，使得无线新业务在园区网中的丰 富应用成为可能。 如何在无线网络这个开放的平台上开展丰富的业务是建设者必 须要考虑的问题。例如 VoWiFi、无线监控等业务，解决了园区内部和各园区之 间通讯费用高、无线监控和无线多媒体教学的问题，让无线接入变得更有价值。 3.1.4.2无线网络解决方案 华为无线网络解决方案有效实现了有线和无线网络的融合， 通过统一的硬件 平台、统一的网络管理、统一的用户管理、统一的应用安全，为园区用户提供安 全的无线接入。根据用户需求，通过在华为系列交换机中加入无线控制器插卡或者使用单独的无线控制器，就可为原有的有线网络提供无线支持，还可以像扩展 和管理传统有线网络一样，对无线网络进行扩展和管理。 可以收到无线信号的地方立即访问各种网络服务。 ? 安全性、高 QoS 保障 华为园区网络 WLAN 解决方案从用户接入安全、网络安全、设备安全等多个 方面保障无线网络的安全，使园区用户安全可靠的使用 WLAN 网络。 用户接入安全：华为园区 WLAN 解决方案提供了多样化的用户接入认证以及 加密解决方案。 无线接入认证主要支持基于 MAC 地址认证、 802.1x 认证、 Portal 认证等保证用户安全合法的接入， 支持 WEP/TRIP/CCMP 等加密措施防范无线接入 用户数据被盗。同时可以通过部署 VLAN 隔离、端口隔离等业务隔离技术避免用 户间相互影响。 网络安全：通过接入点对 RF 环境的不间断扫描和监控，防止企业受到未经 授权的不安全的 WLAN 接入点或恶意接入点的影响。 设备安全：无线接入点 AP 提供“零配置”功能，无需在设备保存业务配置， 仅启动的时候自动从无线控制器加载业务配置， 这样可以避免设备丢失造成配置 泄漏而形成对无线网络的安全威胁。 园区 WLAN 解决方案可以通过虚拟 AP&VLAN 构建一个单独的访客网络为客户、 供应商等访客人士提供互联网服务访问权限。 对于不同 SSID 承载的用户业务，由于无线空口资源有限，若某个 SSID 流量 过大，比如访客访问 Internet，则可能造成园区用户的不能正常访问无线网络 开展业务。因此基于 SSID 的限速，可以避免其中一种业务流量过大对其他业务 造成影响。 另外，基于快速漫游技术可以实现园区无线用户一次认证移动接入。用户移 动到新的接入点时，如果用户之前已经认证过，则用户此时无需再次通过安全认 证，直接接入，保证用户业务的连续性。 ? 部署方便、扩展灵活 WLAN 网络部署简化，安装便捷。WLAN 的安装工作简单，它无需施工许可证， 不需要布线或开沟挖槽。 设备的零配置部署功能可以在无线改造现有网络的基础 上轻松部署 WLAN。无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点。 随着无线 网络的扩展，新添加的无线接入点能自动检测到无线控制器，并下载相应的配置 信息以及策略信息，无需任何手动操作。 ? 统一的网络管理、智能运维 统一的网络管理设备可以实现有线无线网络的统一化管理， 简易网络管理操 作，结合智能化的网络运维提升了网络管理效率。 无线接入点能够监控环境温度变化，当环境温度低于零下 10时，启动加 热板，确保低温时的正常工作。而且无线接入点检测到电压将要无法供应的情况 下（复位或故障） ，上报该告警，描述最后的工作状态，方便故障定位。 ? 稳定性 华为 WLAN 稳定性解决方案从无线控制器的可靠性，接入交换机供电的可靠 性、无线信号的可靠性这几方面入手，极大的提高了 WLAN 网络的可靠性；在实 际的使用情况来看，启用这些措施之后，WLAN 的可靠性能够得到明显的提升。 ? 全面的 PoE 解决方案 PoE 设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输 数据的同时传输直流电。因为 AP 往往要求使用不间断电源（UPS）供应电力，采 用 PoE 设备，AP 端仅仅通过一根 RJ-45 网线与网络连接即可以同时传输数据和 电力，因此在使用 PoE 设备的情况下，所有的 AP 都使用一个 UPS 在 PoE 设备端 进行保护。如果不使用 PoE 设备，就需要给每个 AP 配一个 UPS，而且还需要在 AP 附近安装电源插座，增加了成本。因此使用 PoE 设备将大大降低设备成本和 管理成本。 PoE 具有非常明显的优势，具体如下： 简化安装，降低成本，不需为每个网络设备单独提供数据和电力线缆。 灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源 输出口。 可靠性增强，有 SNMP 能力的 PoE 装置，可实施远程检测和控制，能有效地 处理或修理装置的耗电量和（或）失效故障。3.2 高可靠性设计 3.2.1 网络高可靠性设计 针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型 园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。 接 入 层 网 络 是 二 层 网 络 ， 接 入 交 换 机 与 汇 聚 交 换 机 之 间 通 过 Smart Link/STP/RSTP/MSTP/RRPP 保证网络可靠性，同时解决二层网络环路问题；汇 聚层交换机之间通过 VRRP（BFD for VRRP）协议确定用户的主备网关，交换机 互联通过 TRUNK 链路，保证链路级可靠性，汇聚交换机与接入交换机之间可通 过 DLDP 协议检测光纤单向故障（单通故障） 。 园区网接入/汇聚/核心交换机通过虚拟化技术进行集群（或堆叠） ，将两台/ 多台交换机虚拟化成一台交换机， 降低网络拓扑复杂度的同时， 提高网络可靠性， 是未来高可靠性园区网的发展趋势。 3.2.2 设备高可靠性设计 3.2.2.1重要部件冗余 设备本身要具有电信级 5 个 9 的可靠性，需要网络设备支持: ? 主控 1:1 备份 ? 交换网 1+1/1:1 两种方式 ? DC 电源 1+1 备份；AC 电源 1+1/2+2 备份 ? 模块化的风扇设计，高端配置支持单风扇失效 ? 无源背板，高可靠性? 独立的设备监控单元，和主控解耦 ? 所有模块热插拔 ? 完善的各种告警功能 ? 设备管理 1:1 备份 3.2.2.2设备自身安全 如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越 来,但危害越来越大。这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益 泛滥的网络攻击。 华为公司全S12708交换机提供攻击 防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身 及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。 华为全系列交换机支持的攻击防范功能包括防 DDOS 攻击、IP 欺骗攻击、 Land 攻击、Ping of Death 攻击、Teardrop 攻击、ICMP Flood 攻击、SYN FLOOD 攻击等。 另外，以太网交换机的 MAC 地址表作为二层报文转发的核心，在受到攻击 的时候，直接导致交换机无法正常工作。发生 MAC 地址攻击的时候，攻击者通 过不停的发送 MAC 地址来刷新，填充交换机的 MAC 地址表，由于MAC 地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP 攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流量。华为全系列交换机可以通过MAC地址与端口的绑定以及限制 端口/VLAN/VSI下MAC地址的最大学习个数可防止 MAC扫描，并通过 VLAN、 IP、 MAC 之间的任意绑定可防范 ARP 攻击（SAI/DAI 功能）。 华为全系列交换机支持黑洞 MAC 功能，园区交换机收到报文时比较报文目 的 MAC 地址，若与黑洞 MAC 表项相同则丢弃该报文。当用户察觉到某 MAC 地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞 MAC，从而将具 有该 MAC 地址的报文过滤掉，避免遭受攻击。 3.3 安全方案设计 3.3.1 园区网安全方案总体设计 从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全 设计和安全防御，对企业内部进行安全区域划分、隔离和权限控制，对企业外部 用户访问进行安全控制、数据加密，防止恶意攻击。园区网全方位的安全设计方 案保证内部、外部用户访问园区网资源的安全性。 3.3.2 园区内网安全设计 3.3.2.1防 IP/MAC 地址盗用和 ARP 中间人攻击 1) 防 IP/MAC 地址盗用 DHCP Snooping 技术是 DHCP 安全特性，通过建立和维护 DHCP Snooping 绑定表过滤不可信任的 DHCP 信息，这些信息是指来自不信任区域的 DHCP 信 息。 DHCP Snooping 绑定表包含不信任区域的用户 MAC 地址、 地址、 IP 租用期、 VLAN-ID 接口等信息，DHCP Snooping 绑定表可以基于 DHCP 过程动态生成， 也可以通过静态配置生成，此时需预先准备用户的 IP 地址、MAC 地址、用户所 属 VLAN ID、用户所属接口等信息。 园区交换机开启 DHCP-Snooping 后，会对 DHCP 报文进行侦听，并可以从 接收到的 DHCP Request 或 DHCP Ack 报文中提取并记录 IP 地址和 MAC 地址信 息。另外，DHCP-Snooping 允许将某个物理端口设置为信任端口或不信任端口。 信任端口可以正常接收并转发 DHCP Offer 报文，而不信任端口会将接收到的 DHCP Offer 报文丢弃。这样，可以完成交换机对假冒 DHCP Server 的屏蔽作用， 确保客户端从合法的 DHCP Server 获取 IP 地址。 2) 防 ARP 中间人攻击 Dynamic ARP Inspection (DAI)在交换机上基于 DHCP Snooping 技术提供用 户网关 IP 地址和 MAC 地址、 VLAN 和接入端口的绑定， 并动态建立绑定关系。 对于用户终端没有使用 DHCP 动态获取 IP 地址的场景，可采用静态添加用户网 关相关信息的静态绑定表。此时园区交换机检测过滤 ARP 请求响应报文中的源 MAC、源 IP 是否可以匹配上述绑定表，不能匹配则认为是仿冒网关回应的 ARP 响应报文，予以丢弃，从而可以有效实现防御 ARP 中间人/网关 ARP 仿冒欺骗 攻击行为。 3.3.2.2防 IP/MAC 地址扫描攻击 1) 防 IP 扫描攻击 地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的 IP 报文。当攻击者扫描网络设备的直连网段时，触发 ARP miss，使网络设备给该网段下的每个地址发送 ARP 报文，地址不存在的话，还需要发送目的主机不可 达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的 CPU 和内存资源，可引起网络中断。 园区交换机支持 IP 地址扫描攻击的防护能力，收到目的 IP 是直连网段的报 文时，如果该目的地址的路由不存在，会发送一个 ARP 请求报文，并针对目的 地址下一条丢弃表项（弃后续所有目的地址为该直连网段的 ARP 报文） ，以防止 后续报文持续冲击 CPU。如果有 ARP 应答，则立即删除相应的丢弃表项，并添 加正常的路由表项；否则，经过一段时间后丢弃表项自动老化。这样，既防止直 连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。 在上述基础上，交换机还支持基于接口设置 ARP miss 的速率。当接口上触 发的 ARP miss 超过设置的阈值时，接口上的 ARP miss 不再处理，直接丢弃。 如果用户使用相同的源 IP 进行地址扫描攻击，交换机还可以基于源 IP 做 ARP miss 统计。如果 ARP miss 的速率超过设定的阈值，则下发 ACL 将带有此 源 IP 的报文进行丢弃，过一段时间后再允许通过。 2) 防 MAC 地址扫描攻击 以太网交换机的 MAC 地址转发表作为二层报文转发的核心，在受