HC钢铁行业园区网解决方案V课件

1、日期：201002密级：杭州华三通信技术有限公司H3C钢铁行业园区网解决方案日期：201002密级：杭州华三通信技术有限公司H3C钢铁行目录H3C公司汇报保障业务连续性的设计要求钢铁行业园区网详细设计产品介绍服务及培训典型案例目录H3C公司汇报2009年， H3C国内市场合同销售额较2008年增长27%，整体销售额实现增长。中国市场（截至2009年12月）：2009年Q3以太网交换机端口数市场份额40.9%，排名第一（IDC, 2009Q3）2009年Q3企业级路由器台数市场份额40.1%，排名第一（IDC,2009Q3）网络安全设备保持国内第一市场份额；WLAN产品（AP）出货量60万台，连

2、续两年国内市场份额第一；EAD终端准入控制解决方案累计部署超过100万终端；IP智能监控成为平安工程第一品牌，承建超过160个平安城市项目；IP存储产品及解决方案网上在线运行系统近9000台，总装机容量近70,000TB，万兆存储IX3000系列累计出货超过600台；2009市场业绩稳定增长2009年， H3C国内市场合同销售额较2008年增长27%支持IToIP战略实现的源动力来自H3C的持续创新能力1994年进入IP领域，1800多项以太网专利的一次性注入每年将超过15的业务收入投入到研发领域2600多名IP技术专家组成的H3C研发团队专利申请超过2500件，85%以上是发明专利，位居国内

3、通信行业前三，2009年申请国内专利746件，平均每工作日申请三个全球近百个国家、110多个行业广泛应用投资超过2亿人民币，国内网络规模最大的鉴定测试中心！持续创新能力2006年，H3C提出了IToIP理念，基于IP技术标准提供统一IT基础架构；2008年，IToIP战略的中心从“标准化” 向“智能开放”发展，推出OAA平台计划。支持IToIP战略实现的源动力来自H3C的持续创新能力199全面服务国内全球财富500强企业全面服务国内全球财富500强企业鞍钢集团中国有色中国黄金中国国电中联重科全面服务国内知名企业鞍钢集团中国有色中国黄金中国国电中联重科全面服务国内知名企业MES服务钢铁行业信息化

4、231与钢铁工业协会合作，推进钢铁行业信息化建设视频会议EMS数据中心ERP网全局安全统一管理OA安保监控生产监控计量监控IP语音无线CADPDM信息化应用H3C产品&解决方案网络 安全 IP存储语音 IP语音 IP视频 IP监控 网管产品和方案广泛应用于钢铁行业产量前50名的钢铁企业中约30家，在排名前十的钢铁企业都有不同程度的应用服务于钢铁行业ERP、OA、MES、能源网、无人值守计量、视频会议、生产和安防监控等信息化应用；涉及产品包括：网络、安全、监控、视频、存储等；MES服务钢铁行业信息化231与钢铁工业协会合作，推进钢铁行客户名单-钢铁、有色行业太钢集团全网网络、无人值守计量监控、视

5、频会议系统宝钢八一钢铁生产管理网、宝钢邯宝钢铁生产管理网、宝钢股份精密钢管厂网络扩容、宝钢国际贸易全国VPN网、宝钢股份宝信软件新办公楼鞍钢矿山RPR环网、鞍钢鲅鱼圈新厂、一/二/三/四分厂、弓长岭铁矿、新轧钢2310分厂本溪钢铁（集团）ERP骨干网、自动化公司网络、IP园区监控重庆钢铁（集团）企业核心网、搬迁新园区安阳钢铁集团信息网全网马钢（集团）核心网、马钢VPN武钢集团通信骨干网、武钢国贸IP监控、武钢氧气公司IP监控日照钢铁全网建设、日照钢铁安全部署广东韶关钢铁集团管理办公网、IP生产监控、OA和生产应用存储、EAD桌面管理系统广西柳州钢铁（集团）骨干江苏永钢集团全网水城钢铁（集团）全

6、网和安全莱芜钢铁集团天津钢管集团核心网唐山建龙钢铁ERP网、唐山建龙钢铁MES网唐山钢铁集团总调度IP视讯会议首钢京唐钢铁IP监控唐山瑞丰钢铁(集团)唐山荣程钢铁有限公司网络升级海鑫钢铁集团信息化核心网新余钢铁舞阳钢铁网络苏州钢铁集团网络泰山钢铁不锈钢厂网络通化钢铁股份有限公司冷轧厂网络四平红嘴钢铁集团IP监控北台钢铁公司视讯会议衡钢全网改造济南钢铁无线网络江苏沙钢IP监控酒泉钢铁集团安全防范及EAD桌面管理系统昆钢集团钢厂信息化建设攀枝花钢铁集团网络及IP监控三明钢铁厂ERP网络、IP监控河北省钢铁集团骨干网建设山东钢铁集团局域网核心设备-中国铝业公司、中国铝业ERP全国网、中铝应急救援指挥

7、中国有色矿业集团黄金集团全国视讯网络中国冶金地质总局广域网互联山东魏桥创业集团有限公司 江西铜业集团公司 铜陵有色金属集团控股有限公司 南山集团公司 湖南有色金属控股集团株洲冶炼厂云南冶金集团总公司 紫金矿业集团股份有限公司 华盛江泉集团有限公司 云南锡业集团(控股)有限责任公司 辽宁有色金属集团青铜峡铝业集团有限公司 柳州华锡集团有限责任公司 陕西有色金属集团金堆城钼业客户名单-钢铁、有色行业太钢集团全网网络、无人值守计量监控、新一代数据中心的最佳选择进入搜狐、淘宝、腾讯、盛大、百度等世界上最大型的互联网数据中心；四大银行、中石油、中石化、中国铝业等大型企业数据中心，和中国电信、中国移动、中

8、国联通、广电的众多数据中心项目。IPv6：H3C在教育IPv6试商用市场份额55%，占有率第一；国内唯一参与IETF WLAN国际标准制定的厂商，在国内首发企业级802.11n系列产品；中标IPv6示范工程中国移动通信研究院CNGI WLAN应用示范项目。基础承载网络数据中心多媒体通信三大热点领域齐头并进在业界第一个发布了新一代IP多媒体产品统一软件平台-IMOS，支持监控、视讯、媒体发布、VOD、语音业务；提出“安防IT化，监控大联网”的口号，指明了视频监控的技术趋势和组网发展方向。新一代数据中心的最佳选择IPv6：H3C在教育IPv6试商用国际标准提出两项无线网管技术被IETF CAPWA

9、P WG接纳为正式草案，成为少数在IETF国际标准中拥有自己RFC标准草案的国内企业之一。国家行业标准技术标准：基于以太网的局域网系统验收测评规范IP网络端点准入控制技术要求基于iSCSI的IP存储交换机技术要求IPv6技术要求IPv6路径MTU发现协议应用标准：作为唯一的安防厂家，参与城市“平安工程”六大课题的研究工作，在“平安城市建设模式”及“视频监控系统安全性”两个课题中作为主要参与单位；参与城市监控报警联网系统系列技术标准的制定、参与城市轨道交通安全防范通用技术规范制定；参与国家视频监控标准工作组（AVS）编写和开发工作参与中国电信集团公司全球眼2.5/3.0标准的制定和开发行业技术标

10、准遵从“H3C非常关注标准，积极参与标准的提出、制定，他们参与的广度和深度是我所了解的中国其他IT企业所不及的。”全国安全防范报警系统标准化技术委员会秘书长、顾问刘希清国际标准行业技术标准遵从“H3C非常关注标准，积极参与标准的H3C从产品的生命周期，即设计、采购、制造、物流、销售、使用、回收再利用等各个环节，减少能源消耗和对环境的负荷。节能：采用高效节能电源、智能散热方案、节能芯片等方式，H3C的产品能耗显著降低，多数产品较业界同类产品能耗低10%以上，表现突出者如SR66多业务路由器整机功耗降至同类厂商同级别设备一半以下。环保：H3C从2006年开始提供符合RoHS指令的产品。目前H3C不

11、仅严格限制RoHS指令要求的6种有害物质的使用，还额外限制了其他11类有害物质如砷、PCB等的使用。回收：目前所有产品均满足WEEE标准要求，绝大多数产品回收率达到80%以上。关注绿色节能第三方测评H3C S7506E和S5500-EI两款交换机通过业界唯一可以为网络产品提供绿色认证的第三方测试认证机构Miercom的绿色认证。与业界平均水平相比，H3C S7506E每年可节省24%维护费用，H3C S5500-EI每年可节省17%维护费用；Network World认为“低能耗是H3C设备很重要的一个特点”；H3C新一代数据中心获中国计算机报“2009年度绿色IT产品”。H3C从产品的生命周

12、期，即设计、采购、制造、物流、销售、使用高品质、开放、智能视频产品系列语音产品系列H3CS7500E核心交换机H3CWX5002Wireless SwitchH3CS9500万兆核心路由交换多业务插卡全局、深度、统一管理IP自适应网络存储监控产品系列H3CMSR开放路由器H3CSR88骨干路由器H3CWA1208E双模APH3CIX1000H3CIV5000H3CIX5000H3C IPSH3CV1000-A网关H3CF1800A 防火墙交换机产品系列WLAN产品系列安全产品系列路由器产品系列数据管理用户管理业务管理安全管理IP智能网络管理IP通信IP网络IP存储ITOIP四大产品族高品质、开

13、放、智能视频产品系列语音产品系列H3CS7500EIT业务流程及应用 流程与管理协同应用系统控制开放应用架构-OAAVMDMSMIMCOAPIP融合基础设施计算多媒体安全存储IP网络onIPIT实现智能通过开放基于标准OpenApplicationArchitectureOAAITOIP-OAA开放、融合的架构IT业务流程及应用 流程与管理协同应用系统控制开放应用架构-目录H3C公司汇报保障业务连续性的设计要求钢铁行业园区网详细设计产品介绍服务及培训典型案例目录H3C公司汇报钢铁信息化的应用生产供应销售财务人事数据挖掘决策支持 生产设备控制生产线控制 计划物料控制战略决策运营管理产销一体、管控

14、衔接、三流同步 数字管理驾驶舱 基础自动化 生产过程自动化 生产管理自动化 项目钢铁信息化的应用生产供应销售财务人事数据挖掘决策支持 生产设制造控制生产管理资源控制决策支持数据挖掘、知识管理、决策支持系统供应链优化和管理系统SCM过程控制系统PCS钢铁信息化业务介绍和模型供应商关系管理客户关系管理财务/成本管理人力资源管理销售管理采购管理生产管理质量管理库存管理项目管理设备管理基础自动化系统制造执行系统（MES）：计划执行生产跟踪、仓库管理、统计分析等其他专有系统：计质量系统、运输系统、能源系统、检化验系统等办公自动化 L2L3L4L5L1业务连续性两化融合多网合一制造控制生产管理资源控制决策

15、支持数据挖掘、知识管理、决策支持供应链优化和决策支持ERPMES过程控制基础自动化销售管理采购管理生产管理质量管理成本管理设备管理分厂1分厂2分厂3分厂4分厂5生产跟踪、仓库管理计质量系统、检化验系统检化验设备计量设备计划反馈调整控制 L2L3L4L5L1钢铁信息化的数据依赖供应链优化和决策支持ERPMES过程控制基础自动化销售管理采钢铁信息化面临的挑战 钢铁信息化趋势IT 系统成为企业生存与发展的技术神经 钢铁信息化面临的问题安全屡受威胁管理维护困难系统扩展困难数据不连续系统不稳定人为操作错误灾难事故股价下跌丧失市场机遇损失生产能力交货不及时客户流失企业声誉受损业务不连续IT中断钢铁信息化面

16、临的挑战钢铁信息化趋势IT 系统成为企业生存与发组网方案技术要求建设目标和要求采用主流网络体系结构和网络设备，对现有网络加固，构建一个高性能、高安全性、高可靠性、高扩展性的结构科学合理的多业务网络系统网络系统应是开放性，符合国际标准，应确保网络内部以及原有网络系统互连互通网络系统要易于扩展，相关设备易于平滑升级至更新技术，保护原有投资。为了保障多业务承载以及对网络安全的需求，支持MPLS VPN技术采用万兆骨干,接入、汇聚日后可平滑升级，满足新业务的带宽要求安全网络，保障内网各个区域和Internet出口安全支持无线网络的扩展，有线无线一体化管理全局的面向业务的安全保障方便管理，易于维护基础网

17、络业务融合全网安全统一管理组网方案技术要求建设目标和要求采用主流网络体系结构和网络设备网络管理模块数据中心模块Internet连接模块远程接入和VPN模块园区核心模块接入层子模块汇聚层子模块园区接入模块园区网络园区网络边缘服务提供商边缘网络网络设计思路-分区规划网络安全管理广域网互联1. 能优化网络结构。根据业务的划分，设计出网络承载带宽。2.能够细化出区域之间访问的安全性，为安全的部署提供依据3.更加有利于管理网络管理模块数据中心模块Internet连接模块远程接入和V蠕虫/病毒DDoS攻击带宽滥用 etc安全风险分析杀毒软件、防毒墙、IPS抗DDoS设备、IPS带宽管理 etc网络安全问题

18、解决技术端点部署内/外网关部署网络边界部署 etc安全产品部署机密性完整性可用性确立安全目标业务流程安全规划系统安全体系规划业务持续性规划安全体系规划业务流程安全建设系统安全体系建设业务持续性实现安全体系建设面向业务的安全保障：分析业务流程，制定针对性安全规划优点：明确目标、明确规划、问题明确、响应迅速安全设计思路面向业务安全设计思路-全局安全面向业务关键点安全：分析安全的脆弱点并在关键点部署安全产品缺点：问题层出不穷，网管疲于应付面向业务，划分出业务访问的边界，根据业务安全的不同级别，全局部署!蠕虫/病毒安全风险分析杀毒软件、防毒墙、IPS网络安全问题解网络资源存储资源计算资源路由器、交换机

19、等设备以及由它们所构成的网络高速的报文转发能力安全的网络访问控制磁盘阵列、磁带、存储管理等存储设备低成本、易扩展的存储空间高效的数据读取数据安全保护包括Windows、Unix等各类服务器及其上的业务应用软件系统高效、稳定的数据计算能力资源使用者（人）业务牵引人对IT资源的调配和使用资源的安全使用人与资源的融合管理设计思路综合管理管理设计思路-统一管理网络资源存储资源计算资源路由器、交换机等设备以及由它们所构成多媒体承载-语音、视频、监控多业务融合Internet网-Internet 接入、VPN接入、4S店广域网-经营管理系统、分公司的互联信息、生产-制造管理层、生产执行层系统多网合一、统一

20、数据承载生产网-生产自动化系统上联数据交换平台融合的数据中心ERP、OA、MES、CAD，PDM新一代技术架构-多业务统一承载安全架构|统一安全管理架构、节能设计视频会议、IP语音、监控多媒体承载Internet网广域网信息、生产多网合一、统一数服务于钢铁行业信息化的IT基础架构生产基地自动化系统上联数据交换平台L1L2L3L4L5自动化/制造管理、生产执行层互联专网区域外部接入网区域管理网区域生产主干网区域生产基地制造管理层、生产执行层系统、能源网生产基地经营管理系统、专线接入、各个分子公司的专线接入Internet 接入、VPN接入语音、视频、监控多媒体承载数据中心全局安全部署统一管理服务

21、于钢铁行业信息化的IT基础架构生产基地自动化系统上联数据整体架构拓扑 集团各分公司服务器群数据中心SSL VPNDNS/邮件/WEB 视讯系统MCU软终端IP语音系统Ephone话务台系列TGPBXIP监控管理区整体架构拓扑 集团各分公司服务器群数据中心SSL V目录钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计IRF2.0虚拟化可靠性保障安全设计融合通信管理设计目录钢铁行业园区网详细设计网络发展历程网络架构星型双归属环形网网络隔离共享区域隔离业务隔离设备冷备用户业务隔离可靠性设备热备网络自愈50ms切换业务承载数据传输数据交换数据共享多业务承载安全保障设备安全局

22、域网安全全局安全智能安全联动HUB共享10M100M1000M接入速率网络发展历程网络架构星型双归属环形网网络隔离共享区域隔离业务组网普通RPR双归属带宽10G10G210G可靠性200ms50ms秒级自愈软件硬件软件灵活性一般好差VS10G RPR骨干网技术比较-RPR 双归属骨干网发展趋势：星型双归属环形网骨干网建设原则：高可靠高性能高带宽快速修复灵活、扩展相继落成，业务无中断的核心网络节点扩展为这种需求提供了保障。组网普通RPR双归属带宽10G10G210G可靠性200m网络详细设计接入交换机：1.边缘端口BPDU保护2. 802.1X认证3.支持虚拟化，便于扩展4.支持POE1.双设备

23、、双链路冗余保障可靠性2.端到端虚拟化支持，简化管理、提升网络可靠性核心/汇聚交换机1.高性能：全分布式转发2.支持BFD，故障切换毫秒级3.最长匹配逐包转发，天然防护DOS攻击4.支持热补丁技术1.瘦AP方式灵活支持无线的扩展2.无线有线管理一体化管理设备可靠保障：双主控、双电源MPLS VPN虚拟园区网，业务隔离 集团各分公司SSL VPNDNS/邮件/WEB 万兆核心、百兆千兆接入网络详细设计接入交换机：1.双设备、双链路冗余保障可靠性核心共享总线环形交换共享内存Crossbar共享内存最古老的数据交换方式没有专门的交换网芯片各线卡分时占用背板总线仍然是一种总线交换方式改进点是将总线移到

24、了芯片中，而不是在背板上一种全新的交换方式支持大量突发数据缓冲与共享总线交换方式有本质不同采用了一种矩阵结构实现了无阻塞交换在交换网络内部没有带宽的瓶颈不会因为带宽资源不够而产生阻塞多个交换平面构成一个统一的交换网真正的无阻塞交换多级交换网，理论上容量可无限扩展可以平滑扩展支持40G, 100G端口CLOS多级交换架构交换机体系结构的演进历史共享总线环形交换共享内存Crossbar共享内存最古老的数 单级交换网多级交换网结构1，单平面交换；2，交换矩阵和控制统一，即引擎承担了交换和控制双重功能；1，多块交换网板共同完成流量交换2，控制和交换硬件分离转发能力受限于单个交换芯片的交换能力，目前最大

25、到720G就很难提升。多块交换网板同时分担业务流量，相当于N倍于单级交换的能力升级能力无法升级可以为设备提供持续的交换能力升级fabric交换结构的升级 单级交换网多级交换网结构1，单平面交换；1全分布式转发架构分布式的IPv4/IPv6/MPLS报文转发，保证设备高性能转发能力。满足数据中心、园区网核心、汇聚的高性能需求。CrossbarCrossbarEngineEngineIPv4MPLS VPNASICI/O ModuleIPv6IPv4MPLS VPNASICI/O ModuleIPv6IPv4MPLS VPNASICI/O ModuleIPv6IPv4MPLS VPNASICI/O

26、 ModuleIPv6全分布式转发架构分布式的IPv4/IPv6/MPLS报文转发目录钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计IRF2.0虚拟化可靠性保障安全设计融合通信管理设计目录钢铁行业园区网详细设计集中计算中心主机终端 IT 相关性以及控制应用体系架构演变分散下一代数据中心服务导向SOA WEB 2.0虚拟化集中云（网格）计算云（网格）存储数据中心服务器客户机计算、存储、通信、软件集中在1台昂贵的设备里，集中计算计算、存储、网络设备软件系统高度独立，客户机服务器模式，分布计算计算、存储、网络资源随需而变化，系统像云一样变幻无常，集群计算以计算为中心以数

27、据为中心以网络为中心标准化虚拟化自动化数据中心发展趋势集中计算中心 IT 相关性以及控制应用体系架构演变分散下一代性能优化简化部署绿色节能安全合规业务永续内容压缩运维管理下一代数据中心下一代数据中心面临的挑战性能优化简化部署绿色节能安全合规业务永续内容压缩运维管理下一不断演化增强的基础架构标准化统一交换数据中心虚拟化资源共享数据中心自动化业务调度数据中心标准化：统一交换架构数据中心整合 万兆网络万兆安全万兆存储万兆集群数据中心IRF虚拟化：端到端虚拟化 全DC级IRF虚拟化网络实例 Chassis IRF Box IRF自动化：资源分配自动化业务应用自动化管理服务自动化NDC1.0NDC2.0

28、NDC3.0H3C下一代数据中心NDC不断演化增强的基础架构标准化虚拟化自动化：NDC1.0NDC数据中心基础架构数据中心存储与灾备数据中心应用优化数据中心虚拟化数据中心高可用数据中心运维管理前端网络后端网络核心交换机FirewallIPS汇聚交换机接入交换机WAN优化 防毒卡 应用优化安全管理网管监控系统日志分析磁盘阵列存储应用优化网络虚拟化平台数据中心安全H3C下一代数据中心解决方案数据中心基础架构数据中心存储与灾备数据中心应用优化数据中心虚面向服务-分区规划Intranet 服务器区数据交换服务器区数据中心管理区Extranet 服务器区园区网核心区本区主要放置由内部用户访问的应用和数据

29、库,是最重要的业务区域本区主要放置为不同业务应用之间进行数据交换的中间业务应用,不能由普通用户直接访问.本区主要放置管理服务器,并可以连接到园区的管理系统里。本区主要放置被来自Internet的合作方或通过VPN接入的合作所方所访问的应用和数据库.Internet 服务器区本区主要放置Internet DMZ架构下的服务器如DNS等，也称为DMZ区数据中心核心区Internet/VPN 接入区园区网数据中心面向服务-分区规划Intranet 服务器区数据交换服务器区高可扩展性-分层设计核心层:各个汇聚的链接点，缩小汇聚故障域、高速的报文交换（一般为三层连接）汇聚层:提供多个接入模块的汇聚、为主

30、机提供缺省网关、提供服务模块(4-7服务,防火墙、入侵检测、SSL加速、负载均衡等，可以用外挂设备或者使用插卡的方式)接入层:也称做“服务器层”，为服务器群(在此部署各种应用服务器，常采用基于WEB的三层结构部署，WEB层、应用层/中间件层、数据库层)提供2层或者3层的连接存储网络：存储虚拟化管理设备，存储阵列企业核心网核心层汇聚层接入层IV5000SANFWLBSSLNAMFWLBSSLNAM高可扩展性-分层设计核心层:各个汇聚的链接点，缩小汇聚故障域数据中心-接入层部署-接入方式三层设计：接入三层交换机，服务器网关在接入交换机接入层、汇聚层之间三层连接VLAN不能跨接入交换机优点：广播域小

31、收敛时间小三层路径多，可以做负载均衡(VRRP)缺点：网卡绑定、服务器集群不可以跨接入交换机IP占用过多服务模块，部署服务模块路径的问题有些服务模块必须要有二层链接（防火墙等）VLAN 20企业核心网汇聚层核心层FWLBSSLNAMFWLBSSLNAMVLAN 10三层接口数据中心-接入层部署-接入方式三层设计：VLAN 20企业核数据中心-核心和汇聚层部署汇聚引擎故障引起收敛STPVRRP负载均衡防火墙部署汇聚交换机，避免收敛时间VRRP汇聚层会话信息热备线速转发ECMP、动态路由快速收敛企业核心网核心层汇聚层接入层FWLBSSLNAMFWLBSSLNAM数据中心-核心和汇聚层部署汇聚引擎故

32、障引起收敛企业核心网核心BABAC计算虚拟化：根据应用的相似、相关性，对服务器整合，通过虚拟化软件，充分利用服务器物理资源网络虚拟化：按照应用提供的服务要求，针对其访问特点，虚拟出专用通道实现访问隔离，并且使用虚拟的应用智能(如安全），保障服务质量存储虚拟化：存储资源异构整合，对应用系统提供资源化的存储存储虚拟化计算虚拟化网络虚拟化SANLAN端到端的虚拟化是实现数据中心资源化的前提安全虚拟化数据中心-端到端虚拟化BABAC计算虚拟化：根据应用的相似、相关性，对服务器整合，数据中心设计数据中心分区分层设计具有良好的可扩展性架构汇聚层（接入）可扩展防火墙插卡，可部署控制流和访问流的不同的防火墙策

33、略可扩展IPS插卡防止服务器攻击，数据中心接入：多种高性能交换机工作站汇聚接入交换机支持虚拟化堆叠，便于后续扩展接入区管理区ERP核心区双电源、双设备、双链路万兆连接到核心交换机服务器千兆/万兆接入工作站万兆接入支持IRFMES多媒体办公数据中心设计数据中心分区分层设计具有良好的可扩展性架构接入区目录钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计IRF2.0虚拟化可靠性保障安全设计融合通信管理设计目录钢铁行业园区网详细设计如何在同一张网上即能够实现业务之间的隔离又可以实现对共享数据的访问？业务逻辑隔离需求生产管理销售安保监控OA分支生产分支部门管理各分公司销售偏远

34、分支安保分支部门OA数字化园区-业务分类和隔离需求如何在同一张网上即能够实现业务之间的隔离又可以实现对共享数据物理隔离 or VLAN？财务 networksOA networkscampus传统实现方式：物理隔离带来的问题：维护多套独立系统当不同业务访问出现在同一物理区域内时，投资增加。当访问者物理位置发生变化时，网络改造量巨大VLAN+ACL方式带来的问题：配置复杂（VLAN基于二层隔离，三层隔离需要通过ACL实现）用户移动带来的不变性当访问者物理位置发生变化时，配置更改量巨大VLAN+ACL数字化园区-传统隔离方案物理隔离 or VLAN？财务 networksOA net业务的影响需要

35、依靠CPU的放攻击能力需要满足园区统一管理的架构，管理部分不隔离灵活性标准化安全隔离绿色节能扩展性业务融合统一管理重点要求业务隔离的安全保障，业务不能相互影响多业务承载，生产网、信息网、视频网多网合一隔离考虑业务融合的业务访问统一承载的要求业务的影响需要依靠CPU的放攻击能力灵活性标准化安全隔离绿色统一承载-虚拟化架构MPLSRIB1FIB1转发平面控制引擎管理平面核心CPU独立的检测引擎，不受主控CPU负荷影响，提供高可靠和高性能的FFDR CPU系统，专门用于BFD、OAM等快速故障检测，并与控制平面的协议实行联动，支持快速保护切换和快速收敛，可以实现30ms的故障检测，保障业务不中断。C

36、PURIB2FIB2RIB3FIB3RIBnFIBn.二层/三层协议（VLAN管理、IGMP、OSPF、BGP、VRRP、BFD)网络管理SMNP等EMS CPU系统，支持电源智能管理，支持单板顺序上电可以控制单板下电，降低系统功耗。控制平面检测引擎控制引擎维护引擎统一承载-虚拟化架构MPLSRIB1转发平面控制引擎管理平面统一承载-MPLS VPN业务隔离 集团各分公司服务器群数据中心SSL VPNDNS/邮件/WEB 视讯系统MCU软终端IP语音系统Ephone话务台系列TGPBXIP监控管理区接入方式：二层透传，EAD认证，杜绝非法访问VPN接入：端口无关，动态VPN下发，VPN内部IP

37、地址动态获取业务隔离：统一出口，灵活的业务隔离和访问控制统一承载-MPLS VPN业务隔离 集团各分公司服统一承载安全隔离-安全事件来源主机服务器攻击用户主机所感知的安全威胁主要是针对特定操作系统（主要是Windows系统）的攻击，诸如病毒、木马。网络自身安全网络设备主要面对的是基于TCP/IP协议的攻击所谓网络安全威胁，包括传输数据安全威胁和网络设备安全威胁。传输数据安全威胁指通过特定技术，对在网络、服务器和桌面上存储和传输的数据未经授权进行访问，甚至破坏或者修改这些数据；网络设备安全威胁指针对网络设备进行攻击，影响网络设备正常运行。1.导致服务器或者PC机的操作系统故障2.导致网络拥塞，从

38、而影响其他业务的转发1.导致网络设备CPU占用率过高，从而影响其他关键业务的处理2.获取管理权限，更改网络配置，导致网络中断统一承载安全隔离-安全事件来源主机服务器攻击用户主机所感知的分层的CPU攻击防护异常报文过滤非法报文，攻击报文线速的ACL入方向和出方向ACL定制的协议报文上CPU队列每种协议报文均可分配到一个独立队列，协议间相互不影响，可按PPS限制报文数控制面策略可以根据报文来自的单板端口号，报文中的TCP/UDP端口号对上CPU的协议报文过滤和限速异常报文过滤和抑制海量线速ACLCPU队列限速控制面策略CPU统一承载安全隔离-CPU防护分层的CPU攻击防护异常报文过滤和抑制海量线速

39、ACLCPU队统一承载安全隔离-桌面安全防范不合格进入隔离区强制加固隔离区安全认证合法用户非法用户拒绝入网身份认证接入请求你是谁？企业网络动态授权合格用户不同用户享受不同的网络使用权限你安全吗？你可以做什么？你在做什么？行为审计及桌面管理统一承载安全隔离-桌面安全防范不合格隔离区安全认证合法用户非统一承载安全隔离-桌面安全防范统一承载安全隔离-桌面安全防范802.1X server/CE环保财务办公MCE/PEId:abchuanbaoPassword：abcVPN:1Id:abcjiliangPassword：abcVPN:2用户域VLANVPN资源环保11环保财务22财务办公33办公计量4

40、4计量计量VPN:3VPN:4VLAN:1VLAN:2VLAN:3VLAN:41.接入端的端口非常灵活，会根据不同的用户，分配到不同的VPN/VLAN内2.只需要在服务端设置分配策略，所有VPN和VLAN的分配都是动态的统一承载安全隔离-桌面安全防范部署802.1X server/CE环保财务办公MCE/PEId厂区1厂区2厂区n生产网X生产网生产网OA、ERP、工业监控等1.通过防火墙模块，保障单一业务内的安全防护2.单个业务内的安全保障，可以保证在核心设备对其他业务不造成大规模影响统一承载安全隔离-边界安全防范部署厂区1厂区2厂区n生产网X生产网生产网OA、ERP、工业监目录钢铁行业园区网

41、详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计要求IRF2.0虚拟化可靠性保障安全设计融合通信管理设计目录钢铁行业园区网详细设计无线需求公共会客区移动办公办公室会议室休息区室外办公楼宇互联仓库物流制造车间办公需求生产需求网络互联无线需求公共会客区移动办公办公室会议室休息区室外办公楼宇互联传统无线的布放选择- FIT AP802.11a/b/g移动 IP, IPSec, 认证802.1x, TKIP, Qos, 切换, 802.11h天线加密园区网AP统一管理、用户接入权限控制成为构建园区无线网络的首要问题自动查找AC（无线控制器），无需配置即插即用；自动识别周边AP，射频、信道

42、自动配置；可以进行负载分担、射频管理等智能业务；无线控制器对所有FIT AP和在线用户进行统计和管理。自动升级，无需手工干预；支持无线EAD，访问权限灵活分配； 无线控制器安全策略、RF管理位置检测、自愈非法无线入侵传统无线的布放选择- FIT AP802.11a/b/g移动普通六类线48V直流PoE远程供电房顶、走廊、外墙、天花板等无法使用220V供电的场合敷设简单：无需考虑电源环境，一根网线搞定节省投资：强电布线、插座、变压器统统省掉减少隐患：减少火灾、电磁干扰等隐患802.3af普通六类线48V直流PoE远程供电房顶、走廊、外墙、天花板等汇聚交换机生产财务办公MCE/PEId:abcsh

43、engchanPassword：abcVLAN:1VPN:1VPN:1Id:abccaiwuPassword：abcVLAN:2VPN:2用户域VLANVPN资源生产11生产财务22财务办公33办公无线控制器/接入交换机给不同的用户分配不同的VLAN灵活安全的无线接入安装了EAD iNode客户端，符合安全策略，可以正常访问网络资源未安装EAD iNode客户端，直接屏蔽出网络安装了EAD iNode客户端，不符合安全策略，被安全隔离，仅能访问“隔离区域”的服务器汇聚交换机生产财务办公MCE/PEId:abcshengc接入层交换机核心/汇聚层交换机（无线管理模块）iMC无线控制器APAPAP

44、AP无线管理插件PoE交换机PoE交换机办公区办公区办公区办公区无线办公区无线PoE供电简化无线网部署PoE端口管理=故障AP重启管理基于现有核心交换机扩容无线管理模块，降低改造综合成本有线网络、无线网络统一认证计费管理无线有线一体化解决方案接入层交换机核心/汇聚层交换机（无线管理模块）iMC无线控制目录钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计要求IRF2.0虚拟化可靠性保障安全设计融合通信管理设计目录钢铁行业园区网详细设计IRF2.0-端到端的虚拟化部署把主设备和冗余设备作为一个设备管理维护。当然不仅仅只能对两台设备，最多可到1:9（即9台设备看作一台设备

45、）1.主设备和冗余设备公用一个IP地址、路由表、转发表等，在网络节点中只是一个设备,管理简便2.冗余链路配置跨设备级端口聚合，汇聚端口组内自动负载均衡，无链路空载，大幅增加链路带宽 3.无需配置VRRP和MSTP，上行链路的选择，由同一聚合端口组下自动完成选择，无需协议干预 4.收敛时间到毫秒级别，无MSTP域，不存在环路故障的检测 5.在设备扩展时，只需要配置IRF互联端口即可完成扩展通过IRF2.0技术，使网络拥有单设备单链路的管理维护简单，但依然保留双归属的可靠性，并且在收敛时间和带宽上均有增强IRF2.0-端到端的虚拟化部署把主设备和冗余设备作为一个设IRF2.0-端到端的虚拟化部署效

46、果1.需要管理的网络设备最少降低了一半2.网络设备的IP地址减少到原有的约1/83.无需VRRP协议来做负载分担，链路层直接负载分担4.无需通过MSTP来做环路检测，不再陷入出现故障环路时的束手无策5.OSPF邻居、路由数减少一半6.增加设备时，不需新规划IP网段，无需对该设备做复杂配置（启动MSTP、OSPF等）IRF2.0-端到端的虚拟化部署效果1.需要管理目录钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计要求IRF2.0虚拟化可靠性保障安全设计融合通信管理设计目录钢铁行业园区网详细设计软件可靠性系统可靠性硬件可靠性电源冗余备份主控冗余备份交换网板冗余备份 控

47、制与转发平面逻辑&物理的分离风扇冗余所有板件热插拔链路聚合BFD for VRRP/RIP/ISIS/OSPF/BGP/ static routeIP/TE FRROAMLLDPRRPPVRRP/VRRPENSF+GR配置恢复热补丁在线升级可靠性保障-可靠性保障技术BFD for VRRP/RIP/ISIS/OSPF/BGP/ static route软件可靠性系统可靠性硬件可靠性电源冗余备份BFD for VBFD for VRRPBFD for OSPFBFD for BGPBFD for static route.S12500系列通过专用OAM CPU运行BFD，保证BFD检测效率的同时

48、避免了对主CPU的性能影响Bidirectional Forwarding Detection BFD避免了链路单通、软吊死等异常状态造成的两端状态不一致问题通过BFD缩短故障感知时间，加速协议收敛测试结果Tolly国际权威测试机构测试结果：BFD for VRRP/BGP/IS-IS/OSPF/静态路由收敛时间均小于30ms。BFD使得网络收敛时间小于50ms可靠性保障-BFD加快网络收敛速度BFD for VRRPS12500系列通过专用OAM CP目录保障业务连续性的设计要求钢铁行业园区网详细设计网络设计安全设计管理设计融合通信产品介绍服务及培训典型案例目录保障业务连续性的设计要求安全设

49、计依据三级等保安全设计依据三级等保技术要求建议采用的技术措施实现目标安全边界划分硬件防火墙，ACL控制系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。漏洞评估能力远程安全漏洞扫描工具及时发现业务网络中存在的严重安全漏洞。安全保护能力硬件防火墙使用硬件防火墙进行业务网络边界访问控制。抗拒绝服务攻击系统抵御拒绝服务攻击，保障供公众访问网站的稳定性。WSUS 补丁管理部署 Windows WSUS 系统，及时弥补工作站的安全漏洞。防病毒产品在网关处部署防病毒网关。在邮件系统、服务器、工作站部署防病毒产品。身份认证系统使用

50、身份认证产品保护重要网络设备、主机设备的登录认证。安全加固服务通过安全加固服务增强业务网络中重要网络、主机、应用系统的健壮性和抗攻击能力。入侵保护/检测能力网络入侵检测/保护系统从网络层防御针对各个业务系统的攻击行为。日志安全审计系统监控重要系统（网络设备、主机设备、应用系统）的日志，及时发现攻击行为。等保要求对应方案技术要求建议采用的技术措施实现目标安全边界划分硬件防火墙，A安全管理入侵防护防火墙“拒绝服务”(DOS)反病毒InternetInternetVPN/campus端点准入数据中心L2 交换机 ：BPDU Guard、端口隔离、五元组绑定、802.1X等实现二层安全保护L2.5 M

51、PLS：网络隔离L3 路由器/防火墙/AFC/SSL ：访问控制和隔离、加密L4 NTA“网络水表”流量异常分析L57 IPS应用层威胁识别和抵御：蠕虫、间谍软件、P2P、病毒、攻击等IP存储：数据安全（异地容灾，数据备份）安全管理用户管理(iMC)端到端安全模型L2层到 L7层安全模型端到端的安全模型安全入侵防火墙“拒绝反病毒InternetInternetV安全部署设计远程接入安全设计通过VPN，接入企业内部访问边界隔离安全设计VPN和内网之间安全,Internet访问桌面安全设计桌面安全管理EAD业务隔离MPLS VPN虚拟园区网安全联动安全管理、FW、IPS、EAD联动安全部署设计远程

52、接入安全设计通过VPN，接入企业内部访问边界SOHO酒店无线接入办事机构采用IPSec，出差人员采用SSL VPN安全性：传输加密身份认证、权限管理、细粒度控制终端安全检查易使用：免客户端、免维护 多接入方式：任意接入方式 多认证方式：本地认证、Radius认证LDAP认证、AD认证证书认证双因素认证SSL/IPSec网关远程接入安全设计Internet管理网核心SOHO酒店无线接入办事机构采用IPSec，出差人员采用SSInternet防火墙的部署提供2-4层包过滤、状态检测等技术实现边界隔离，部署在Internet出口，并连接DMZ区域IPS 的部署提供4-7层安全防护Intenret和广

53、域网采用双链路ACG的部署，则对网络内用户的行为控制，对P2P等应用限制，对带宽精细控制，防止带宽滥用,具有应用控制及行为监管功能，可有效控制迅雷、游戏、炒股等各种行为，满足公安部82号令要求可扩展支持SSL VPN和IPSec VPN，满足VPN业务的开展生产网和信息网之间的FW隔离自动化网和生产网之间的前置机符合国家安全等保要求下属单位集团WEBPOP防病毒DMZ专网生产管理边界隔离安全设计Internet防火墙的部署提供2-4层包过滤、状态检测等技不合格进入隔离区强制加固隔离区安全认证合法用户非法用户拒绝入网身份认证接入请求你是谁？企业网络动态授权合格用户不同用户享受不同的网络使用权限你

54、安全吗？你可以做什么？你在做什么？行为审计及桌面管理内网接入安全-终端准入EAD不合格隔离区安全认证合法用户非法用户身份认证接入请求你是谁？终端准入实现的功能终端准入实现的功能DDOS检测防御SPAN/RSPAN/ERSPANNetStream高性能服务器低档服务器应用传输加密应用防火墙IPSVPNLBLB+SSLVLAN ACLIngress ACLEgress ACLuRPFSec Center转发数据流镜像监控流外部网络设备加固线路加密传输加密防火墙入侵检测与防御网络实时监控拒绝服务攻击网络渗透性防御VPN技术网络授权管理VLAN隔离双向NATProxy数据中心的安全设计DDOSSPAN

55、/RSPAN/ERSPANNetStream厂区1厂区2厂区n生产网生产网生产网OA、ERP、工业监控等生产网和信息网安全防护厂区1厂区2厂区n生产网生产网生产网OA、ERP、工业监控IPS防火墙汇聚交换机核心交换机服务器区SecCenteriMC告警告警安全控制中心联动FW/IDS/IPS/SW等安全孤岛，形成安全体系1234安全联动设计IPS防火墙汇聚交换机核心交换机服务器区SecCenteri汇聚部署防火墙插卡隔离多业务的接入核心部署流量分析和无线插卡随着网络和安全的融合，安全在网络中的部署采用模块化的方式管理简单网络故障点减少可充分扩展安全设备的端口支持虚拟防火墙无线接入安全统一部署无

56、线有线一体化管理核心数据中心NSMLBFWIPSWirless安全和网络融合汇聚部署防火墙插卡隔离多业务的接入核心数据中心NSMLBFW安全详细设计 集团各分公司SSL VPNDNS/邮件/WEB 网络管理/安全管理/安全联动可扩展支持SSL VPN和IPSec VPN，满足VPN业务的开展防火墙的部署提供2-4层包过滤、状态检测等技术实现边界隔离ACG对网络内用户的行为控制，对P2P等应用限制，对带宽精细控制，防止带宽滥用, ，可有效控制迅雷、游戏、炒股等各种行为IPS 的部署提供4-7层安全防,DDoS攻击，病毒防范自动化网和生产网之间的前置机管理网和生产网之间部署防火墙/专网互联部分部署

57、防火墙MPLS VPN部署，安全隔离业务，避免业务之间的相互影响安全详细设计 集团各分公司SSL VPNDNS/邮件目录保障业务连续性的设计要求钢铁行业园区网详细设计网络设计安全设计融合通信管理设计产品介绍服务及培训典型案例目录保障业务连续性的设计要求多媒体承载-语音、视频、监控多业务融合Internet网-Internet 接入、VPN接入、4S店广域网-经营管理系统、分公司的互联信息、生产-制造管理层、生产执行层系统多网合一、统一数据承载生产网-生产自动化系统上联数据交换平台融合的数据中心ERP、OA、MES、CAD，PDM融合通信安全架构|统一安全管理架构、节能设计视频会议、IP语音、监

58、控多媒体承载Internet网广域网信息、生产多网合一、统一数OS中间件应用基本管理业务逻辑层基础设施层IMOS inside首先是指H3C新一代的监控与视讯解决方案的终端、管理平台、应用存储产品都采用了IMOS作为其基础平台更主要的是指IMOS通过中间件技术的采用，提供全开放的集成框架， 在安防监控与多媒体应用领域打造一个标准化的开发平台，使得所有厂商都可以借助IMOS平台快速开发各种行业应用，满足客户日益增长的个性化需求，重新打造与优化行业价值链。IMOS架构OS中间件应用基本管理业务逻辑层基础设施层IMOS ins目录钢铁行业园区网详细设计网络设计安全设计融合通信IP语音IP视频IP监控

59、管理设计目录钢铁行业园区网详细设计电话会议远程协同工作企业通信录VoIP即时消息文件共享问题：系统分散！应用分割！协同办公需求分析电话会议远程协同工作企业通信录VoIP即时消息文件共享问题：通讯录是统一通信的基础与本质；通讯录增强了客户粘稠度；中国特色的通讯录排列格式；客户端实时调用管理员统一维护通信录数据库融合企业通讯录通讯录是统一通信的基础与本质；客户端实时调用管理员统一维护通afjhkjfkhgkjwhg用户在线时发送即时消息；用户不在线时可发送手机短信；即时通信和短消息融合afjhkjfkhgkjwhg用户在线时发送即时消息；即时通传统PSTN电话系统完全保留与继承；通过高密度网关还可

60、部署新的PSTN电话；点击拨号功能让PSTN电话变成“手机”；AB1234电话+软件客户端捆绑点击拨号提高效率传统PSTN电话系统完全保留与继承；AB1234电话+软件客电话会议企业统一通信网络会议IVR导航预约式会议即时会议会议外拨会议安全会议接入电话会议企业统一通信网络会议IVR导航预约式会议即时会议会议目录钢铁行业园区网详细设计网络设计安全设计融合通信IP语音IP视频IP监控管理设计目录钢铁行业园区网详细设计行政会议远程教学/培训远程消防指挥 生产调度远程应急事件处理清晰视界,沟通无限视频通信需求行政会议远程教学/培训远程消防指挥 生产调度远程应急事件处网络拥塞、丢包网段隔离、物理隔离非