东金购物中心智慧园区网建设方案

东金购物中心智慧园区网建设方案

目录

»，，A

刖百4

第一章需求分析.......................................................4

第二章智慧园区建设原则...............................................4

第三章智慧园区建设目标.................................................6

3.1网络结构的建设和优化.......................................7

3.2区分业务的服务质量保障.....................................7

3.3抵御对业务运营的不安全因素影响.............................7

3.4强化对业务的管理能力与控制.................................8

第四章总体设计........................................................8

4.1方案概述.......................................................8

4.2智慧园区核心网络设计..........................................9

4.3智慧园区安全设计.............................................10

4.3.1防火墙安全谨防..........................................11

4.3.2入侵蒯后麻........................................12

4.3.3应用控制冷恸........................................13

4.3.4谷融合网络............................................14

实用文档

4.4智慧无线园区网...............................................16

4.5智慧园区BYOD.......................................................................................17

4.5.1网络随行应用随心........................................17

4.5.2如彳可实现BVOD.............................................................................19

4.6智育自管鳗统谶.............................................25

4.6.1融合展性........................................25

4.6.2主动谨防能力设计........................................26

实用文档

计原则：

先进性、成熟性和实用性

使用先进、成熟、实用和具有良好发展前景的技术，使得各应用系统具有较长的生

命周期，不盲目追求高档次，既能满足当前的需求，又能适应未来的发展（包括设备和

技术两方面内容）。

可靠性

高效稳定的网络平台，能提供全年365天，一天24小时的不停顿运作。对于安装

的终端设备、网络设备、控制设备与布线系统，必须能适应严格的工作环境，特殊考虑

要适应煤矿恶劣的客观环境，以确保系统稳定。

易操作性

先进且易于使用的图形人机界面功能，提供信息共享与交流、信息资源查询与检索

等有效工具。

前螂性

注重各应用系统的信息共享，提高整个系统高效率的传输与运行能力。

实时性

设备和终端必须反应快速，充分配合实时性的需求。

实用文档

提供与各种外界系统的通信功能,确保信息的完整性并充分利用在整体系统的运作

上。

互联性和可扩展性

把各应用系统有机结合起来，满足信息沟通需要。特殊要考虑各子系统之间的互联

性和可扩展性，其中包括应用系统的互连性和可扩展性。充分考虑将来需求的成长空间，

所提供的系统平台与技术将充分配合未来功能及扩充项目的需求，以避免将来重复的投

资。

第三章智慧园区建设目标

东金购物中心数字化园区业务可以认为是最复杂的园区网类型。从当前东金购物中

心业务发展情况来看，大体如下：

园区自有业务：如园区办公系统、园区监控、楼宇自控系统、门禁、酒店等等业务

於充

园区公共业务：园区公共服务平台

互联网业务：包括有线、无线互联网服务

针对东金购物中心数字化园区多业务发展同时并存的特征，单纯搭建一套可联通的

路由交换平台，显然是无法形成弹性的、可控的、区分业务的有效支撑。平台需要从四

实用文档

个维度进行充分的保障:

3.1网络结构的建设和优化

增强园区网核心层、园区网汇聚层对多业务的识别与区分能力；

实现园区网核心层、园区网汇聚层的无单点故障，在兼顾经济性的同时，最大

限度保障多业务的可用性；

避免系统建设后对多业务并存要求的瓶颈，对于可能的瓶颈设备、瓶颈链路重

点关注和解决；

对全网实现向下一代网络IPv6技术的迁移；

3.2区分业务的服务质量保障

对各企业间网络进行逻辑隔离，保证企业网络的逻辑独立性；

对有需求的企业内部网络逻辑划分不同业务系统，界定其隔离与共享的关系；

建立统一的数据中心平台，实现业务的数据整合管理；

利用网络平台对多业务的区分，实现不同业务端到端的、不同优先等级的处理;

3.3抵御对业务运营的不安全因素影响

抵御来自外部网络的攻击行为；

抵御企业内部用户的非法行为；

实用文档

抵御针对数据中心的攻击行为；

消除各业务系统之间的攻击影响；

对于不同的子系统实现不同的安全策略；

3・4强化对业务的管理能力与控制

建立统一的数字化园区支撑平台管控中心；

实现对设备、用户、业务、安全等多系统的集成化、关联化管理；

实现集中管理，智能化管理，从而降低综合拥有成本;

增加管理系统的开放性，以实现管理系统对数字化园区上层应用的无舞集成。

第四章总体设计

4.1方案概述

本次网络建设，采取单咳心设计，核心为高性能H3CS7500E交换机，核心设备

主控、电源、交换网板等关键部件采取冗余设计，提升核心端设备的整体可靠性，避免

单点故障的浮现。在各配线间部署S5110全千兆交换机作为楼层接入交换机，即形成

一个千兆骨干、千兆接入的承载网络。互联网出口部署H3CSR6602-X系列路由器。

具体网络拓扑如下所示：

实用文档

网络拓扑图

互闲置入区

4.2智慧园区核心网络设计

核心模块的主要功能是完成信息数据流量的高速交换，是园区网内纵向流量与服务

器应用系统间横向流量的交;匚点。核心交换区必须具备高速转发的能力，同时还需要有

很强的扩展能力，以便应对未来业务的快速增长。而且核心模块是整个平台的枢纽。因

此，可靠性是衡量核心交换区设计的关键指标。否则，一旦核心'模块浮现异常而不能及

时恢复的话，会造成整个平台业务的长期中断，影响巨大。

考虑到此次网络建设的规模，并且核心交换区主要为网络提供高速、稳定、可靠的

实用文档

数据转发，是整个网络系统的心脏，所以对核心交换区设备在转发速率、安全性、可靠

性方面有较高的要求。

4.3智慧园区安全设计

随着网络技术的发展，现在的网络应用早已从最初的邮件收发、即时通信演变成各

种各样的数字娱乐、电子商务大行其道，随之而来的就是各种网络问题的层出不穷。如

近年浮现的熊猫烧香等病毒的泛滥、艳照门事件以及不断爆发的门户网站被攻击事件

等。上述种种事件都说明，现在的网络安全面临着病毒更毒，黑客更黑。不仅仅是各种

DDoS攻击、间谍软件、网游木马、流氓软件、病毒邮件在不断肆虐，还有性质极其严

重的网络银行钓鱼和针对性很强的木马、蠕虫病毒的不断浮现。因此，如何保证网络系

统的安全性已经成为网络管理人员最为头痛和最为棘手的问题。

可以肯定的说，目前用户对于网络服务的要求已经大大提高了，非但要求满足大流

量的数据传输，还要求网络不能浮现中断或者故障。要想把安全技术融于网络，安全技

术

必须和高速的网络设施相匹配；同时，还要简化网络拓扑，简化对网络的管理，方便网

络用户的使用，以确保应用和互联的网络安全。

本次网络安全设计主要采取安全插卡融合网络的方式,即在高性能核心交换机上部

署安全插卡来保证整网的安全。

实用文档

4.3.1防火墙安全谨防

网络安全威胁(一)H3C

Internet的开放性导致网络安全威胁无处不在

本次防火墙通过在互联网出口安全网关S7508E-X上部署防火墙模块，H3C

SecBladeFW防火墙模块能提供外部攻击防范、内网安全、流量监控、URL过滤、应

用层过滤等功能，有效的保证网络的安全。采用H3CASPF(ApplicationSpecific

PacketFilter)应用状态检测技术，实时检测应用层连接状态，实现3-7层安全防护。

提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。

SecBladeFW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用

户管理难度，减少了维护成本。

实用文档

4.3.2入侵05^脸

网络安全威胁（二）

Internet出口仅有防火墙还不够！

IPS给您带来增值的机会

本次在核心交换机S10508-V上部署入侵谨防模块，集成入侵谨防/检测、病毒过

滤和带宽管理等功能，是业界综合防护技术最率先的入侵谨防/检测系统。通过深达7

层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改

等攻击和恶意行为，并实现对网络基础设施、网络应用和性能的全面保护。

实用文档

4.3.3应用控制安全防护

网络安全威胁（三）H3C

内部员工因为苦种加即时通讯软件、网翳在线渝EP2P下型软件、在线视

频、浏览工作无关网站导致企业网络资聒用、Internet出口网络性能下降

访问金亶较大的业务:

|“metMail.DNS

目前网络应用行为日益频繁，园区网网络中内部安全和内部控制的重要性日益突

出,上网人员通过网络泄漏重要数据，员工通过上网在网上传播非法言论，可能会造成

社会恶劣影响等事件时有发生。及时记录内部员工的上网行为，从而做到事后有据可查

成为目前园区网网迫切需要解决的问题。

本次在互联网安全网关S7508E-X上部署应用控制网关，实现用户行为审计功能可

以对用户的上网行为进行全面记录,为时候取证提供完备的依据。ACG用户行为审计

功能包括用户HTTP访问行为记录，用户电子邮件行为记录以及FTP上传下载行为审

计。通过对URL的全记录，彻底掌握用户上网行为，定位用户访问网页或者查看的文件；

通过对用户电子邮件内重要信息以及FTP上传下载文件名等信息的审计，完成数据流动

实用文档

的彻底监控。

43.4安全融合网络

本次网络设计中，主要采取安全插卡的形式来部署网络安全环境，在高性能的万兆

核心交换机中直接嵌入SecBlade安全模块的做法，这对于H3C来说，不仅是一种安

全理念，更是从核心交换就实施安全措施的一种创新。创新之处在于：要想把安全技术

融于网络，安全技术必须和高速的网络设备相匹配；同时，还要简化网络拓扑，简化对

网络的管理，方便网络用户的使用，以确保应用和互联的网络安全。

安全板卡的优势在于：

高性能

H3C安全业务模块都采用了业界最率先的多核CPU+ASIC+FPGA的高性能硬件

架构。这种分布式的硬件架构保证了所有的业务能在第一时间进行并行处理。对于现在

大量的应用层安全攻击，由于需要进行深入的报文分析，惟独这种多核CPU的硬件架

构才干真正实现对数据报文的实时处理，不会造成传输延迟，

除此之外，由于交换机对数据报文彩用分布式转发的模式,这样安全插卡就能巧妙

地利用H3C高端交换机的背板总线技术，确保安全插卡也能实现与万兆网络设备的无

缝对接。

实用文档

高可靠性

基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交换。任何一块插卡出

现故障，通过H3C专利的ACFP技术，能够确保流量都会自动避开它，通过Bypass

方式保证业务正常运行。

由于安全插卡是部署在交换机上。而交换机的各种关键部件，包括电源、引擎、接

口板、业务板等都可以冗余部署，这就大大提高了整体的可靠性。当所有的关键部件都

进行冗余部署的时候，实际上就是两台设备在同时工作，并可以进行负载分担。

此外，由于所有的插卡都可以进行热插拔，这也大大降低浮现故障时更换设备的时

间。

易扩展

安全插卡可以插到高端交换机的任何业务槽位上，通过插卡数量的扩展可以实现总

体处理性能数倍的提升，组成多功能、高密度、高安全的核心交换机。

方便的管理和配置

在安全插卡上，单独有外带的网络管理口和串口(Console),可以通过Web界面

实现对安全插卡的管理和配置，也可以通过网口接入到交换机的网管系统,利用网管软

件实现对防火墙的配置。

每一个安全插卡的安全日志信息也能统一上报给H3C的安全管理平台SecCenter.

通过SecCenter的统一安全信息采集和筛选，提取相关的关联信息，然后进行统一管

实用文档

理，真正做到安全联动。

无限的接口

相对普通盒式安全设备只能提供数量很少的接口而言,安全插卡可提供无限制的接

口，这是因为交换机中所有装口的数据都可以转发到安全插卡上进行处理。同时，通过

插卡的虚拟化技术，可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡，

每一个逻辑板卡拥有彻底独立的资源和策略。

4.4智慧无线园区网

无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传

统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著

特点：

简易性：WLAN网桥传输系统的安装快速简单，可极大的减少敷设管道及布线

等繁琐工作；

灵便性：无线技术使得WLAN设备可以灵便的进行安装并调整位置，使无线

网络达到有线网络不易覆盖的区域；

综合成本较低：一方面WLAN网络减少了布线的费用,另一方面在需要频繁

挪移和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，

由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过

实用文档

百兆自适应网口和园区网、学校内部Intranet相连，从体系结构上节省了协议

转换器等相关设备；

扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地

从小容量传输系统平滑扩展为中等容量传输系统；

4.5智慧园区BYOD

智能手机和平板电脑发货量在2022年超越了传统的PC和笔记本，智能终端普及

由量变到质变，并且随着捌移互联网的普及，我们的生活越来越便利，随时随地都可以

分享和获取信息。而我们当前的工作方式，相对照较传统，便携性、挪移性都有提升空

间，并且传统办公方式，在信息求取和分享方面，也没有智能终端方便。BYOD的核心

理念，是把智能终端的便携性和易用性的优势，引入到当前的工作中，以提升办公效率

和体验。

4.5.1网络随行应用随心

你不在办公室，办公室在你掌中。智能终端的普及和挪移互联网普及，大大提升了

我们日常生活的便利性和体验，BYOD则可以充分利用互联网和智能终端的优势，提升

企业员工满意度、提升办公效率，同时也提升企业员工创造力，最终实现园区网和企业

员工利益的最大化。

H3CBYOD解决方案，以iMC为中心，基于SDN架构的虚拟化网络集群为基础，

实用文档

与云计算数据中心融合，网随云动保障业务的快速部署，开放的系统和接口，可与客户

现有系统及APP实现完美对接，保障客户现有投资，客户办公应用虚拟化并与H3C

iNode客户端集成，保障办公模式的平滑切换，为客户提供智能、安全的f化BYOD

解决方案。

BYOD是个系统工程，实现BYOD是个循序渐进的过程，而非蹴而就，可以

从以下从四个方面进行（如图1所示）。

园区网要保障对各种BYOD终端的管理，保障终端可控制、可管理、可信任。

评估网络的承载能力、可扩展性及可管理性。BYOD的引入，导致接入终端呈2~3

倍的增加，无线空口资源及有线承载能力是否能够满足其需求，网络是否易扩展，

是否需要考虑改造网络架构以提升网络的扩展性来满足未来BYOD爆炸式增长的

接入终端数。

安全性保障。在BYOD时代，除网络安全外,还需要考虑终端安全及数据的安全。

与企业统一配发的电脑相比，BYOD设备安全性要弱，而BYOD设备访问企业网的

私密数据，因此需要考虑如何保障企业的数据、网络、终端的安全性。

实现BYOD系统开放性及应用推送。首先要考虑BYOD系统与企业现有的业务及

管理系统对接，其次，在终端可控可管理、保障安全性及网络承载能力的基础上，

考虑如何把应用从PC"搬"到智能终端上，实现BYOD胡够办公，提升企业办公

效率。

实用文档

图1如何迎接BYOD

4.5.2如何实现BYOD

终端管理

终端识别及控制

在传统的办公时代，办公终端以PC为主，因此，终端准入控制也是以控制PC为

主。BYOD时代，办公的终端再也不仅限于PC,各种怎样的终端，涌进企业内部，这种

场景下,终端的管理,变得更加的复杂。要实现对终端的管理,需要提前知道这是一台

什么样的终端，包括操作系统、型号等，这样才干针对不同类型的终端，采取不同的管

理策略。那末如何识别这些终端呢？

H3C提供了精确的终端识别方案，在企业员工使用智能终端登录公司网络时，系

统通过捕获特定报文，来获取终端信息，最终判断出终端类型、厂商、MAC地址及操

实用文档

作系统等信息。针对不同的终端类型，实施不同的管理策略,实现对终端白潴醉化管理。

终端的流动性、网络的8够性彻底改变了固定地点、固定设备接入网络的传统模式。

同时，同一用户也再也不仅使用一类设备接入网络的现实，也迫使IT管理员适应

BYOD

时代的潮流，对网络准入控制策略进行新的规划和设置。

识别了终端类型，园区网还需要考虑根据企业员工接入网络所使用终端的归属权，

赋予不同的管理策略和访问权限。自带终端的安全性，和园区网提供的办公设备安全性

相比，是存在一定差异的。因为有些企业员工不乐意安装园区网IT各种复杂的终端安

全和管理软件，这直接导致此类终端安全性的下降。另一方面，企业员工在自己的终端

上，会安装各种应用，这些应用的来源、安全性，也会造成一定的风险。因此，园区网

需要考虑，针对终端归属权，实施不同的安全管理策略，来降低BYOD对园区网的风险，

园区网会根据企业员工随着接入的位置和时间的不同，访问策略也会有所不同，比

如在上班时间和下班实现，访问的权限是不一样的；在研发区和公共展厅，访问的权限

也会有所不同。

那末综合来看，园区网期望可以针对用户身份、终端类型、终端归属权、接入的时间、

接入位置，对接入场景综合授权。

H3CBYOD终端管理方案,以iMC为中心，网络设备做配合，可实现多维度的授

权。

实用文档

tl«■PM«A«J«*人时。MAflH

WiljIPC公司工作8t司Bt*郃访俄震则

W4-FadOSS.O个A工作时胃会9室访芭!!■

Jock]a*三■智■1帆Anctod4.l个人工Internet

JerryMACBookMoeOS个人工作st网

JerryWXHTCW®?«Ar<kOKi23个人ifWrt

苗2鼎景的多螳度惯用

四个W:Which,When,Where,Who

授权条件包括：终端类型、操作系统、厂商信息、终端所属权、接入地点、接入时

间，基于7个维度的综合授权。因此客户可以很灵便的针对用户的接入场景，进行授权；

轻松实现园区网的IT策略。

园区网访客管理

访客，是现代园区网必须面对的一个群体。BYOD时代，由于访客使用的终端从

PC扩充到各种丰富的智能终端，不同的客户群体，对访客系统的需求也不尽相同，访

客的管理变得复杂起来。

■»«.皿M**am.«a*宜

澹动访画fit",自劭8用手祖号码由WJWK号.短信发送电码

图3访客管理

实用文档

H3CBYOD访客系统，合用于现代园区网的各种场景，可满足不同客户的需求。

借助该方案，访客网络可以和园区网办公网络彻底融合，无需物理上的隔离和划分，从

而简化园区网管理。丰富的开户方式及精细化的策略控制，满足不同行业的需求，开放

的接口，满足客户个性化的定制需求（如图3所示）。

H3C访客系统，具备开放、易用、可交付的特性，极大提TI园区网访客管理效率

及用户的体验。

BYOD对网络基础设施的膨响

如前文所述，BYOD的引入，会导致接入终端数量呈2~3倍的增长，而这种增长

对网络造成的冲击，对网络的承载能力、性能，可扩展性以及可管理性提出了严蜂的挑

战。同时BYOD的挪移性对网络的挪移接入也提出了更高的要求。园区网的IT部门需

要从如下几方面做准备。

网络可扩展性

网络的可扩展性好不好，可以从几个方面去评估：

面对快速的业务增长，网络是否能够可持续扩展；

网络规模变大的同时业务部署是否过于复杂；

网络规模变大的同时可靠性方案是否会变的越来越复杂；

随着网络规模的增长，管理及维护成本是否呈现非线性的增长，且增长率越来

班。

实用文档

BYOD会导致网络规模变大，而传统的网络部署方式，会随着网络节点数增多，变

得越来越复杂，维护成本越来越高，问题定位越来越难。

H3C的园区网解决方案提供了架构虚拟化和通道虚拟化，解决网络扩展性问题。

架构虚拟化技术包含横向虚拟化IRF以及纵向虚拟化VCF技术。而如果通过虚拟化技

术，横向IRF及纵向VCF,大大简化了网络结构。通道虚拟化技术，可以保障在一个网

络中，混合部署多种业务，并且不同业务之间，可以根据IT策略，决定是否隔离。配

合H3CiMC统一管理平台，可以针对不同的业务，快速部署新的业务通道，同时为该

业务通道分配不同转发优先级的转发通道，满足BYOD时代丰富的业务需求。

挪移性

BYOD优势之一，就是其便携性和挪移性。而如果要把这种优势带到工作中,就需

要网络能够满足随时随地的接入需求，并且要简化接入的复杂程度，提升用户的体验。

BYOD有如下两种挪移需求。

园区网内漫游，要做对用户彻底的无感知，业务不可中断。H3C无线WLAN方

案提供了相应的保障。

园区外访问企业的业务，即园区外的漫游，要考虑在第三方公共Wifi或者运营商

3G接入的情况下,为终端提供VPN接入，以保护用户数据的安全。这里重要的

是要

保障用户的接入体验，园区网网接入和VPN接入方式要一致，以提升用户体验，

实用文档

并且访问的内容可根据不同的接入地点，可控以最大化保障园区网数据的安全性。

H3CBYOD解决方案为园区网提供了不同的选项。如果选择在终端上安装客户端，

则其iNode可以为用户提供园区网、VPN的统一接入和体验，并且iNode客户

端可以额外的为客户提供终端合规的控制；同