商业集团网络系统设计方案

1、PAGE 商业集团网络系统设计方案目 录 TOC o 1-4 h z u HYPERLINK l _Toc6481641 1.需求分析 PAGEREF _Toc6481641 h 5 HYPERLINK l _Toc6481642 2.建设最终目标 PAGEREF _Toc6481642 h 6 HYPERLINK l _Toc6481643 2.1.系统稳定、安全可靠 PAGEREF _Toc6481643 h 6 HYPERLINK l _Toc6481644 2.2.提高信息化工作效率 PAGEREF _Toc6481644 h 6 HYPERLINK l _Toc6481645 2.3

2、.提高企业的综合竞争力 PAGEREF _Toc6481645 h 6 HYPERLINK l _Toc6481646 2.4.统一的安全管理措施 PAGEREF _Toc6481646 h 6 HYPERLINK l _Toc6481647 3.网络建设原则 PAGEREF _Toc6481647 h 7 HYPERLINK l _Toc6481648 4.网络层次化设计 PAGEREF _Toc6481648 h 8 HYPERLINK l _Toc6481649 5.网络详细设计 PAGEREF _Toc6481649 h 9 HYPERLINK l _Toc6481650 5.1.PO

3、S业务网设计 PAGEREF _Toc6481650 h 9 HYPERLINK l _Toc6481651 5.1.1.核心交换机 PAGEREF _Toc6481651 h 9 HYPERLINK l _Toc6481652 5.1.2.汇聚交换机 PAGEREF _Toc6481652 h 10 HYPERLINK l _Toc6481653 5.1.3.接入交换机 PAGEREF _Toc6481653 h 10 HYPERLINK l _Toc6481654 5.1.4.专线路由器 PAGEREF _Toc6481654 h 10 HYPERLINK l _Toc6481655 5.

4、2.智能化专网设计 PAGEREF _Toc6481655 h 11 HYPERLINK l _Toc6481656 5.2.1.核心交换机 PAGEREF _Toc6481656 h 11 HYPERLINK l _Toc6481657 5.2.2.汇聚交换机 PAGEREF _Toc6481657 h 11 HYPERLINK l _Toc6481658 5.2.3.接入交换机 PAGEREF _Toc6481658 h 12 HYPERLINK l _Toc6481659 5.2.4.出口路由器 PAGEREF _Toc6481659 h 12 HYPERLINK l _Toc64816

5、60 5.2.5.无线业务子网 PAGEREF _Toc6481660 h 12 HYPERLINK l _Toc6481661 .无线网络组成 PAGEREF _Toc6481661 h 13 HYPERLINK l _Toc6481662 .覆盖解决方案 PAGEREF _Toc6481662 h 14 HYPERLINK l _Toc6481663 .供电问题 PAGEREF _Toc6481663 h 15 HYPERLINK l _Toc6481664 .无线用户接入认证 PAGEREF _Toc6481664 h 15 HYPERLINK l _Toc6481665 5.3.市政通

6、信网设计（运营商代建，仅供参考） PAGEREF _Toc6481665 h 16 HYPERLINK l _Toc6481666 5.3.1.核心交换机 PAGEREF _Toc6481666 h 16 HYPERLINK l _Toc6481667 5.3.2.接入交换机 PAGEREF _Toc6481667 h 16 HYPERLINK l _Toc6481668 5.4.办公网设计 PAGEREF _Toc6481668 h 17 HYPERLINK l _Toc6481669 5.4.1.核心交换机 PAGEREF _Toc6481669 h 17 HYPERLINK l _Toc

7、6481670 5.4.2.接入交换机 PAGEREF _Toc6481670 h 17 HYPERLINK l _Toc6481671 5.5.网络可靠性 PAGEREF _Toc6481671 h 17 HYPERLINK l _Toc6481672 5.5.1.网络节点的可靠性 PAGEREF _Toc6481672 h 18 HYPERLINK l _Toc6481673 5.5.2.链路可靠性 PAGEREF _Toc6481673 h 18 HYPERLINK l _Toc6481674 5.6.网络安全设计 PAGEREF _Toc6481674 h 18 HYPERLINK l

8、 _Toc6481675 5.6.1.L2-L7层安全防护 PAGEREF _Toc6481675 h 18 HYPERLINK l _Toc6481676 .POS业务网安全设计 PAGEREF _Toc6481676 h 21 HYPERLINK l _Toc6481677 .智能化专网安全设计 PAGEREF _Toc6481677 h 21 HYPERLINK l _Toc6481678 .市政通信网安全设计 PAGEREF _Toc6481678 h 21 HYPERLINK l _Toc6481679 .办公网安全设计 PAGEREF _Toc6481679 h 21 HYPERL

9、INK l _Toc6481680 5.7.网络管理 PAGEREF _Toc6481680 h 21 HYPERLINK l _Toc6481681 5.7.1.智能网络管理平台建议要求 PAGEREF _Toc6481681 h 22 HYPERLINK l _Toc6481682 5.7.2.基础网络管理 PAGEREF _Toc6481682 h 23 HYPERLINK l _Toc6481683 .资源管理 PAGEREF _Toc6481683 h 23 HYPERLINK l _Toc6481684 .拓扑管理 PAGEREF _Toc6481684 h 23 HYPERLIN

10、K l _Toc6481685 .故障（告警/事件）管理 PAGEREF _Toc6481685 h 24 HYPERLINK l _Toc6481686 .性能管理 PAGEREF _Toc6481686 h 24 HYPERLINK l _Toc6481687 .设备管理组件 PAGEREF _Toc6481687 h 24 HYPERLINK l _Toc6481688 5.7.3.无线网络管理 PAGEREF _Toc6481688 h 25 HYPERLINK l _Toc6481689 .无线有线一体化管理 PAGEREF _Toc6481689 h 25 HYPERLINK l

11、_Toc6481690 .多样化的拓扑管理 PAGEREF _Toc6481690 h 25 HYPERLINK l _Toc6481691 .PoE供电管理 PAGEREF _Toc6481691 h 25 HYPERLINK l _Toc6481692 .绿色节能管理 PAGEREF _Toc6481692 h 25 HYPERLINK l _Toc6481693 .主备AC管理 PAGEREF _Toc6481693 h 25 HYPERLINK l _Toc6481694 .无线入侵检测和防护 PAGEREF _Toc6481694 h 26 HYPERLINK l _Toc64816

12、95 .丰富的无线统计报表 PAGEREF _Toc6481695 h 26 HYPERLINK l _Toc6481696 5.7.4.各业务网络管理设计 PAGEREF _Toc6481696 h 26 HYPERLINK l _Toc6481697 .POS网络网络管理 PAGEREF _Toc6481697 h 26 HYPERLINK l _Toc6481698 .智能化专网网络管理 PAGEREF _Toc6481698 h 26 HYPERLINK l _Toc6481699 .市政通信网网络管理 PAGEREF _Toc6481699 h 26 HYPERLINK l _Toc

13、6481700 .办公网网络管理 PAGEREF _Toc6481700 h 27需求分析xxx项目占地约3.3万平方米，总建筑面积约23万平方米，包括一栋4万平米的国际甲级写字楼、5万平米的酒店式公寓和8万平米的购物中心。其中项目将建成涵盖时尚服饰、大型影城、精品超市、精品家居、儿童游乐等主力业态，集购物、餐饮、文化、娱乐、商务、生活配套为一体的多层次、区域级综合商业中心。网络系统设计的目标是在建设新网络系统，满足整合数据、结算业务、OA平台，以及满足无线上网以及未来其他等业务对基础设施提出的各种新需求，同时能够方便灵活的引入并利用各种最新技术。即：一方面，它能适应未来大集中系统的需要，满足

14、不断发展变化的业务需求；另一方面，它要能兼顾到技术的发展趋势，方便用户未来灵活便捷地引入各种先进、实用的技术。网络部分设计阶段主要完成的具体工作如下：实现各类业务基础网络稳定、可靠、高速设计网络安全设计智能网络管理设计根据集团现状及未来业务发展规划，网络建设的主要实现如下目标：建立全网统一、共享、规范的网络系统体系架构，建立满足未来管理和业务发展要求的全网络系统总体架构，以满足系统资源和信息资源整合的需要，规范和统一新应用系统的技术架构和开发方法，同时逐步调整现有的系统结构。实现集团统一的网络管理平台，逐步实现各网络系统的智能管理、综合使用，提供高质量信息服务，高效及时的信息交流环境，通过信息

15、化建设的实施使计算机系统中的信息得到最大效率使用。 建立集团统一的安全管理平台，加强系统安全性，建立统一系统安全认证体系，充分保障集团主要业务系统信息的安全。从网络规划、操作系统以及业务系统等各个层次上统一考虑安全措施，并充分考虑易操作性，这其中包括网络的多级安全区域的规划与设计、各业务系统在多级网络中的部署与互通、系统运行状况的监控和管理以及防入侵等措施的统一规划、设计与部署。确保系统资源的有效管理和运行，整合系统资源，加强系统资源的有效管理，提高系统资源的利用率，降低系统运行成本，提高系统的可靠性，切实保障关键业务的正常运转。建设最终目标系统稳定、安全可靠对系统之间的信息交换进行总体上的统

16、一规划和设计，最终实现各子系统之间的互联互通，实现信息共享和信息交互，完成信息在不同系统间的传递，这就要求网络系统的设计必须达到稳定、安全、可靠的要求。提高信息化工作效率建设一个全数字化、网络化的网络系统，通过网络技术标准平台，避免传统设备之间不兼容的问题，提高各种设备间的通配性，提高设备的使用效率。提高企业的综合竞争力在提高生产质量、效率，管理水平的同时，会对企业的品质带来质的提高，使企业的发展进入一个良好的循环上升趋势。统一的安全管理措施从网络规划、操作系统以及业务系统等各个层次上统一考虑安全措施，并充分考虑易操作性，这其中包括网络的多层次安全的规划与设计、系统运行状况的监控和管理以及防攻

17、击等措施的统一规划、设计与部署。网络建设原则根据集团网络分析结果、结合现代网络技术发展趋势，我们确定本次网络设计所采用的总的指导原则如下：安全可靠性原则集团网络的设计必须遵循可靠性的原则，设计中应尽最大可能减少因集团网络故障而造成的业务无法正常进行的现象的发生（如：因服务器或网络故障造成用户无法访问业务系统，进而无法进行正常业务的现象等）；同时，设计中还应注重信息安全体系的建设，提高集团网络的整体安全性，进一步保证数据安全。先进成熟性原则集团网络的设计应具有产品和技术先进性，先进的产品和技术是未来系统性能的保证。在信息技术飞速发展的今天，我们选择的产品和技术应具有一定的前瞻性，能够适应未来一段

18、时间（4-5 年）业务需求及技术发展变化的需要，减少未来不必要的重复投资，同时，尽可能兼顾产品和技术的成熟性，增强集团网络的整体稳定性。开放与可扩展性原则集团网络的设计应选择开放式标准化设计的产品或技术，满足系统间灵活的信息交互的需要，同时，充分考虑产品可扩展性，满足不断发展变化的业务和技术需求 。统一标准化原则集团网络的设计应该坚持标准化的原则，采用业界公认的行业或技术标准，降低管理复杂度，同时，坚持统一化的原则（如：统一Vlan划分，统一的IP address分配等）应尽可能采用统一的标准。经济性原则集团网络的设计必须实用、经济，应该尽量利用现有资源，坚持在先进、高性能前提下合理投资，以期

19、在成本最佳的前提下获得最大的经济效益和社会效益。网络层次化设计网络设计的结构是层次化的，正确理解网络层次的划分和每个层次的主要作用，有助于合理选择网络拓扑和网络技术。大型网络从理论上可以划分为三个层次，即核心层（Core Layer）、分布层（Distribution Layer）和访问层（Access Layer）。核心层主要承担高速数据交换的任务，同时要为各汇聚节点提供最佳传输通道。汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性，必须使用模块化的体系结构，可通过增加板卡提高端口密度，以便汇接更多的接入层设备

20、。接入层的主要任务是完成用户的接入，它直接和用户连接，可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等等攻击方式，对安全性的要求很高，另一方面必须提供灵活的用户管理手段。根据本次网络的建设规模，建议部分网络建设主干（核心层与汇聚层之间）网络技术采用万兆以太网技术，并且对于数据量大的主干链路可采用多10GE捆绑方式增加带宽，核心交换机支持高密度万兆以太网端口接入能力，以便在今后平滑扩容。随着千兆到桌面的日益普及，万兆以太网技术将会在汇聚层和骨干层得到广泛的应用。网络详细设计POS业务网设计POS业务网是集团购物中心的重点业务网络，商户POS网络主要负责各商户营业结算数据和相关零售MIS的

21、会员消费或积分等数据联网。核心交换机核心交换机作为整个网络的中心，承担着整个网络的交换中心，同时也是整网（LAN）的路由中心，全网绝大部分第三层操作(数据转发、服务器访问等)都通过核心交换机集中进行，因此必须提供高性能的数据转发和丰富的安全特性。核心交换机不仅仅是一个高速的数据转发中心，还要能够提供综合的安全防护平台。核心交换机必须可以提供全分布式转发架构，提供支持双引擎、双电源、无源背板等高可靠性设计，支持虚拟化技术，可以将两台设备虚拟化一台设备，能够提供高可靠性组网方式。为了能够提供高安全性的数据转发平台，核心交换机需要提供丰富的业务插卡模块，比如防火墙模块、入侵防御模块、应用控制模块等，

22、提供融合的网络安全解决方案。核心层设备作为网络的骨干，应能提供快速的数据交换和极高的永续性。从备份和负载分担角度应选用双核心；从单台设备角度应选用高性能和高可靠性的高端路由交换设备，支持主控冗余、电源冗余、风扇冗余、交换网板冗余、分布式转发等特性。并降低核心设备配置的复杂度，减少出现运行错误的几率。两台核心交换机之间通过多条链路捆绑相连，运行虚拟化技术实现核心设备间的链路备份和负载分担，组成一个高可靠的网络核心，核心区通过千兆光纤连接各接入设备。POS网的核心设计如下：采用双机冗余设计，单台配置单引擎，冗余电源，提供万兆光接口（核心虚拟化互联及服务器汇聚交换机连接使用），千兆光接口（下联接入交

23、换机），千兆电接口（上联出口专线路由器），防火墙功能模块（整网的L3安全防护）。汇聚交换机服务器集群网络主要负责数据中心各种业务应用服务器的集群互联，保障零售业务高效稳定运行。在服务器网络前配置一台服务器汇聚交换机，在网络结构中起到承上启下的作用，因此该设备需具备千兆下行接入、万兆上行的能力，鉴于POS网业务的重要性，还要求在此交换机上加载入侵防御模块，保障服务器前端L4-L7的防护能力。接入交换机考虑到目前业界主流POS终端模式，POS业务网采用百兆接入到终端，根据接入POS终端数量的不同分别配置24口或48口的交换机，每台设备均通过千兆链路上联核心交换机。专线路由器专线路由器主要负责零售业

24、务中顾客POS刷卡交易数据，通过统一金融专线出口，保证银联交易的稳定准确和交易结算费用统一管理。出口上联至银联专线和相关合作银行，金融业务数据的稳定超过一切，所以出口路由器的设备选型，既要满足多种进线接口的要求，而且设备本身就要具有良好的稳定性，以及对关键业务的保障能力。专线路由器配置要求：提供关键部件的冗余配置，主控冗余配置，电源冗余配置，最大程度保障设备的高可靠性，根据相关合作机构接入线路的不同，设备要能够支持E1、以太网光、电接口等不同的端口扩展能力。智能化专网设计智能化专网除了承载视频监控、BA、门禁、信息发布等弱电系统业务，还承担整个集团购物中心的无线业务，无线网络的建设主要为来店顾

25、客提供免费的互联网访问，以便提升购物体验、延长留店时间，同时也为商场后续的无线营销业务奠定基础。核心交换机业务专网的核心设计如下：采用多级交换架构的设备，提供双机冗余设计，单台配置单引擎，冗余电源，冗余交换网板，提供万兆光接口（核心虚拟化互联及服务器汇聚交换机连接使用），千兆光接口（下联接入交换机），千兆电接口（上联出口路由器），防火墙功能模块（整网的L3安全防护），应用控制功能模块（上网流量控制及行为审计），无线控制器功能模块（无线网络的集中控制及转发）。汇聚交换机智能化专网的汇聚交换机一共部署3台：服务器集群前端部署1台，此外，考虑到智能化专网需要同时承载弱电系统和无线业务两个系统，在弱电

26、系统承载网汇聚处和无线业务子网汇聚处分别部署1台，进而实现两种不同业务系统之间数据和安全的逻辑隔离。汇聚交换机在网络结构中起到承上启下的作用，因此该设备需具备千兆下行接入、万兆上行的能力。服务器集群网络主要负责弱电系统各种业务应用服务器的集群互联，保障弱电系统业务高效稳定运行。在服务器网络前要求配置一台服务器汇聚交换机，提供千兆电接口下行，万兆光接口上行的接入能力。智能化专网除了承载弱电系统的各种业务，还要为来店顾客提供免费的WiFi服务，对外提供Internet的接入服务就意味着网络安全的风险等级大大提升，鉴于网络设计的合理性和安全性方面的考虑，两种不同业务分别设计各自的汇聚设备，通过核心交

27、换机的防火墙模块为各自业务部署不同的安全策略，保障智能化专网的安全可靠。弱电系统和无线子网的汇聚交换机均提供千兆光接口下行，万兆光接口上行的接入能力。接入交换机弱电系统承载网采用百兆接入到终端设备，根据接入终端数量的不同分别配置24口或48口的交换机，每台设备均通过千兆链路上联汇聚交换机。无线业务子网采用千兆接入到终端设备，除了基本的网络功能之外，还要能够提供POE供电功能，每台设备均通过千兆链路上联汇聚交换机。出口路由器出口上联至Internet接入线路，购物中心免费开放WiFi服务后，接入用户数量会非常多，设备负载能力就要求非常高，所以出口路由的设备选型，既要满足多种进线接口的需求，而且设

28、备本身就要具有良好的稳定，以及对关键业务的保障能力。专线路由器配置要求：提供关键部件的冗余配置，主控冗余配置，电源冗余配置，最大程度保障设备的高可靠，根据接入线路的不同，设备要能够支持以太网光、电接口等不同的端口扩展能力。无线业务子网无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP，每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和 HYPERLINK /security t _blank 安全性以及对有线 HYPERLINK /elink t _blank 网络的依赖成

29、为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网

30、络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。下表为FAT AP与FIT AP两种组网方案对比本次无线覆盖要求使用FIT AP解决方案实现（FIT AP解决方案包括无线控制器和FIT AP）。无线网络组成无线控制器配置要求：在网络核心处部署无线控制器，实现全部无线AP的统一管理。核心交换设备上增加无线控制器插卡，共享交换机高速背板带宽和可靠冗余。无线控制器采用1+1备份设计，支持毫秒(ms)级业务备份，AP会同时和两台无线控制器建

31、立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒(ms)之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。无线AP配置要求：无线AP采用支持802.11n协议的设备配合组网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围和更高速率传输，使高速无线多媒体应用得到有效保证。要求设备支持硬件智能天线，基于特征和协议的射频优化，不同距离、不同场景的针对性智能覆盖，部署更简

32、便、维护更方便、性能更优越。要求设备体积较小，吸顶安装也不会影响商场整体的装修风格，无论是吸顶安装还是部署于天花板之上都要求方便、美观。使用无线控制器 + FIT AP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。FIT AP组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。覆盖解决方案在室内覆盖情况下，选择AP摆放位置的时候，需遵循以下几个原则：通过将AP部署在楼道天花板上，采用美观隐形

33、的吸顶天线，实现两侧商铺的覆盖在商场中庭大厅比较空旷地方建议部署两个以上AP，如果同一空间安装两个AP，则可以放在两个对角上。保持信号穿过墙壁和天花板的数量最小。2.4G信号能够穿透墙壁和天花板，然而，每一面墙壁和天花板都将使AP信号的覆盖范围减少1到30米。应放置AP在合适的拐角和交汇路口，使墙壁和天花板阻碍信号的路径最短，损耗最小。考虑AP和覆盖区域之间直线连接。注意AP的放置位置，要尽量使信号能够垂直的穿过（90度角）墙壁或天花板。不同的建筑材料产生不同的传输效果。由金属的框架或门构成的建筑物会使WLAN无线信号的传输距离变小。放置AP的位置应使信号通过干燥的墙壁或敞开的门，避免放置在使

34、信号必须通过金属材料的位置。AP天线方向可调，安装AP的位置应确保天线主波束方向正对覆盖目标区域，保证良好的覆盖效果。AP安装位置需远离电子设备（起码12米），例如微波炉、监视器、电机等。供电问题通过POE交换机的以太网接口给AP供电，远程供电以太网接口供电距离达100米，满足实际组网的要求，同时，根据集团的购物中心运营时间，通过POE交换机智能控制AP供电时间，晚间非营业时间切断供电，节能环保减少运营成本，也保证切断消防明火等安全因素影响。无线用户接入认证商场无线网络建成后，对来店顾客提供免费的WiFi服务，但是上网前需要进行认证，满足公安部82令的相关要求（互联网服务提供者和联网使用单位依

35、照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能），认证的用户名为顾客的手机号码，配合核心交换机上部署的应用控制模块实现行为审计及记录的功能。认证采用Portal方式，用户通过移动智能终端（手机、Pad等）或笔记本接入无线网络后，访问任意页面时本地的Portal网关将强制重定向到认证页面，认证页面上有“手机号”、“密码”输入框，“获取密码”按钮，顾客输入手机号码后点击“获取密码”，可以收到动态密码短信，输入密码进行认证，通过后即可访问Internet。认证的页面可进行自定义设计，如Logo信息、页面内容、认证完成后的跳转链接等，接入认证软件需要实现精确的终端识别，要求推送的

36、认证页面能够良好的自适应不同类型的终端。市政通信网设计（运营商代建，仅供参考）市政通信网主要承载写字楼接入用户的Internet访问。核心交换机市政通信网的核心设计如下：采用双机冗余设计，单台配置单引擎，冗余电源，提供万兆光接口（核心虚拟化互联），千兆光接口（下联接入交换机），千兆电接口（上联出口防火墙）。接入交换机市政通信网接入采用百兆接入到终端设备，根据接入终端数量的不同分别配置24口或48口的交换机，每台设备均通过千兆链路上联核心交换机。办公网设计办公网主要承载物业、商场办公人员的日常OA，Mail及Internet访问等业务。核心交换机办公网的核心设计如下：采用双机冗余设计，单台配置单

37、引擎，冗余电源，提供万兆光接口（核心虚拟化互联使用），千兆光接口（下联接入交换机），千兆电接口（上联出口防火墙）。接入交换机办公网接入采用千兆接入到终端设备，根据接入终端数量的不同分别配置24口或48口的交换机，每台设备均通过千兆链路上联核心交换机。网络可靠性网络作为各种业务的重要承载网络，对其可靠性提出了很高的要求。可以说一旦网络出现中断，将会使整个网络瘫痪，引起严重的后果。网络的可靠性包括组网设备可靠性、网络拓扑组网结构可靠性、网络链路可靠性。网络节点的可靠性网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。要保证网络系统的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能

38、使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。要实现设备的可靠性，应考虑如下内容：网络中的关键设备，如核心交换机、汇聚交换机、出口防火墙等，应该具备电信级可靠性：可靠性指标必须达到99.999%；网络核心设备采用全分布式体系结构，路由与转发分离；所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔；网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。链路可靠性作为网络系统可靠性的重要要求之一，网络设备一个重要必要的特征是：必须能快速检测到相邻设备之间的通信故障，这样可以尽快选择一条替代路径，使网络从故障中快速恢复。快速检测相邻设备之间通信

39、故障的要求，故障检测速度很大程度上决定了网络的收敛速度。链路冗余是网络设计中最常用、也是非常有效的冗余技术，很多协议对链路冗余也提供了很好的支持，如STP/MSTP、LACP、ECMP等。链路捆绑（也称为链路聚合），就是把多个属性相同的物理链路捆绑在一起，逻辑上当成一个链路。链路捆绑能带来提供了更高的链路带宽，流量可在各个链路间实现负载分担，链路间互为备份，可提高可用性。跨单板、跨设备的链路捆绑事实上提供了一定程度的单板、设备间的互为备份功能，较大的提高了网络的可用性。网络安全设计网络安全是网络可靠运行的保证，如何保证网络的安全运行是网络建设的重要内容。L2-L7层安全防护除了由于系统漏洞造成

40、的应用攻击外，数据中心还要面对拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS/DDOS是一种传统的网络攻击方式，然而其破坏力却十分强劲。据2004 美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。DOS/DDoS攻击大行其道的原因主要是利用了TCP/IP的开放性原则，从任意源地址向任意目标地址都可以发送数据包。DOS/DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。目前网络中主要使用防火墙来实施安全分区和访问控制。防火墙类似于建筑大厦中用于防止火灾蔓延的

41、隔断墙，是一个或一组实施访问控制策略的系统，它监控可信任网络和不可信任网络之间的访问通道，以防止一个区域中出现的危险蔓延到另一个区域。防火墙作为最主流也是最重要的安全产品，是整网安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。防火墙也常常作用于数据中心的入口处，基于访问控制策略提供安全防护。例如：当数据中心要与外部网络连接时，防火墙可以保护数据中心内的网络和数据免遭来自外部网络的非法访问（未

42、授权或未验证的访问）或恶意攻击。此外，各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合，形成复合型威胁，使威胁更加危险和难以抵御。这些威胁直接攻击IDC核心服务器和应用，给业务带来了重大损失；攻击终端用户计算机，给用户带来信息风险甚至财产损失；对网络基础设施进行DoS/DDoS攻击，造成基础设施的瘫痪；更有甚者，像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及，宝贵的带宽资源被业务无关流量浪费，形成巨大的资源损失。面对这些问题，传统解决方案最大的问题是，防火墙工作在TCP/IP 34层上，根本就“看”不到这些威胁的存在，而IDS作为一个旁路设备，对这些威胁又“看而不

43、阻”，因此我们需要一个全新的安全解决方案。入侵防护系统 (IPS) 倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在 IPS 设备中被清除掉。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网

44、络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。目前网络各种应用越来越丰富，但是对于一个网络的管理员而言，非法的、未受控的应用，会挤占合法应用带宽，同时影响企业员工的整体生产率，这些应用必须被识别并加以控制。比如在企业网、校园网中，P2P下载、娱乐类应用占用了大量的带宽，对这些机构正常的业务影响极大；另一方面，企业员工或高校学生，把工作或学习时间消耗在一些不必要甚至非法的网络活动上，大大影响了工作和学习效率。通过应用识别技术，可把各种应用及其行为置于明确的可管理的前提下，并通过阻断、限流等手段实现应用控

45、制。核心交换机是网络数据转发的中心节点，网络中几乎所有的流量都要流经核心交换机进行转发。因此核心交换机是对网络中流量进行过滤和控制的最佳位置。网络系统中L2-L4层基础网络安全防护是通过防火墙模块来实现的。防火墙模块将核心交换机的高速交换技术和安全网络技术融合在一块，不仅保留了核心交换机线速转发的特性，还可以根据用户对安全防护的考虑，将防火墙技术融入到VLAN技术中，实现对网络内部多个安全区域的保护。在部署了防火墙模块后，核心交换机的所有端口都具备了防火墙功能，能够大大提高防火墙策略部署的灵活性，并能够节省防火墙端口投入成本。防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换

46、机的端口隔离特性，实现对同一VLAN内终端之间的访问限制。防火墙模块支持虚拟防火墙，而每个虚拟防火墙可以独立进行配置，好比在网络中部署了多个个独立的小型防火墙，可以为不同部门分配各自的虚拟防火墙，各台虚拟防火墙的安全策略互不影响，并且这些虚拟防火墙可以集中管理配置，简化整网络结构。利用虚拟防火墙功能，为某个各个部门包括数据中心区提供不同的安全服务，管理员可以限制网络中不同部门之间的流量，做到更加细粒度的安全管理。防火墙模块可以对需要保护的区域进行策略定制，支持所有报文的安全检测，同时防火墙模块支持多安全区域的设置，对于需要防火墙隔离或保护的区域，用户可以将安全区域绑定到其中的一个虚拟防火墙上，

47、这样就可以通过下发相应的安全策略来对内部网络中的不同区域进行访问控制。POS业务网安全设计POS的安全设计要求如下：在核心交换机上部署防火墙插卡，在服务器汇聚交换机上部署入侵防御插卡。智能化专网安全设计智能化专网的安全设计要求如下：在核心交换机上部署防火墙插卡，应用控制插卡。市政通信网安全设计市政通信网的安全设计要求如下：在网络出口处部署一台防火墙。办公网安全设计办公网的安全设计要求如下：在网络出口处部署一台防火墙，并加载入侵防御特性，实现办公网L2-L7的全面安全防护，在防火墙与核心之间部署一台应用控制网关，实现流量控制及行为审计功能。网络管理随着网络建设的不断深入发展，除了单纯的追求高带宽

48、、高速率外，安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心，一套好的管理系统无疑对网络的精细化管理起到至关重要的作用。随着网络的建设推进，其作用已经不仅是简单的互连互通，通信、计算、应用和技术的融合，促使网络成为承载业务的平台，网络运行的安全、稳定、高效直接决定集团核心业务能否顺利开展。同时，网络的运营和管理也从“网络资源运营”向“信息服务和流程服务”、从“粗放的规模运营和管理”向“精确管理和精益运营”转变。这些都对集团网络管理和运营提出了新的挑战。为了解决大规模网络以及多业务管理带来的问题，集团网络管理系统部署智能网络管理中心， 智能网络管理

49、平台以业务管理和业务流程模型为核心，采用面向服务（SOA）的设计思想，按需装配的组件化结构，为集团提供网络业务、资源和用户的融合管理解决方案，帮助集团实现网络业务的端到端管理。通过智能网管平台能够灵活组织功能组件，形成直接面向集团需求的业务流解决方案，从根本上解决多业务融合管理的复杂性。智能网络管理平台建议要求智能网络管理平台以业务融合和业务流为主旨思想，实现用户、资源和业务三大网络要素的融合管理，其主要建议要求有：面向服务的架构采用Web Service 技术框架，通过松耦合、分布式、易扩展的开放管理平台，提升业务融合能力；以资源虚拟化屏蔽底层设备差异，通过面向服务的接口和调度框架，实现以业

50、务流程为中心的端到端管理。基础资源管理基于策略的全网QoS、ACL、VLAN、QinQ等资源的统一部署、管理和调配；实现集群HGMP管理，IPv6设备管理，路由器、交换机、安全、语音、存储、SOHO等公司全线产品的网元管理以及桌面和网络资产的统一管理；为业务融合、资源调度和自动化协同响应提供必要手段。身份与接入管理支持LAN、WLAN、VPN认证接入，实现接入业务的统一、集中管理；支持智能卡、证书、RSA一次性密码等强认证功能，支持多种方式的端点准入控制和基于身份的网络服务，实现用户与资源和业务的融合管理。端点准入安全管理在身份接入基础上，支持终端安全的准入控制，实现下线、隔离、提醒、监控等多

51、种控制方式，支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等，预防终端补丁、防病毒、ARP攻击、异常流量、黑白软件安装和运行等因素可能带来的安全威胁，从端点接入上保证每一个接入网络的终端的安全，从而保证网络安全。VPN管理封装不同VPN业务底层协议，实现对MPLS VPN、IPSec+L2TP VPN、SSL VPN的统一管理，融合端点安全、用户接入和应用分析，实现从VPN业务部署、用户接入到业务监视的全流程管理。网络智能分析通过故障根源分析、SLA分析等基于规则和策略的深度分析，直观展示网络运行状态，快速定位故障源，协助优化网络结构 ；通过流量异常检测、网络安全事件的集中管

52、理和基于资源管理平台的协同响应，提高风险识别的准确度、快速响应安全威胁。安全策略中心通过识别网络中的安全威胁，并安全威胁的危害程度，执行安全策略，调配资源，实现整网安全、稳定运行。基础网络管理网络管理系统实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于B/S架构，可以灵活扩展组件，形成多种解决方案。网络管理系统基本功能包括：资源管理网络管理系统将资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。通过资源管理可以实现：网络手工管理网络视图管理网络设备的管理设备及业务管理系统的集成管理设备分组权限管理拓扑管理网络管理系统拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。拓扑管理包括：拓扑自动发现 支持自定义拓扑自动识别各种网络设备和主机的类型设备状态、连接状态、告警状态等信息在拓扑图上的直观显示拓扑能提供设备管理便捷入口故障（告警/事件）管理故障管理，即告警/事件管理，是网络管理系统核心模块，包括： 告警发现和上报告警深度关联分析与统计实时告警性能管理网络管理系统提供丰富的性能管理功能，同时以直观的方式显示