成為最有價值的IT服務提供商
 當前位置:首頁 > 行業解決方案 > 電力、能源行業
欄目導航
宏志企業
電力能源行業
日期:2011/12/15 發布部門:市場部 點擊數:8908

XX省電力公司內、外網網絡需采用光纖分別接入省XX省電力公司機房,XX省電力公司內網與Internet網物理隔離,省XX省電力公司外網與Internet網邏輯隔離。

引用標準

系統標準

主要遵循以下標準、規范、要求:

國家頒布的相關法律、法規、規范;

信息計劃〔2006〕109 號《國家電網公司供電企業信息網規劃設計規范》(試行)、國家電網公司變電站信息網設計規范(試行)

GB/T 18020-1999 信息技術應用級防火墻安全技術要求

國家電監會 5 號令《公司二次系統安全防護規定》

國家電網科[2004] 4 號《國家電網公司網絡與信息安全管理暫行規定》

GB/T 9361-1988        計算站場地安全要求

IEEE 802.2/3(1985)    局域網協議標準

ITU-T X.87               鏈路接入規程SDH(LAPS)

RFC0894(1990)       在以太網上傳輸IP數據包的標準

YD/T 1170-2001        IP網絡技術要求-網絡總體》

YD/T 1171-2001        IP網絡技術要求-網絡性能參數與指標》

GB/T 18018-1999       《路由器安全技術要求》

YD/T 1132-2001       防火墻設備技術要求

GA 370-2001           端設備隔離部件安全技術要求

GA/T 403.1-2002       入侵檢測產品技術要求第1部分:網絡型產品

GA/T 404-2002            網絡漏洞掃描產品技術要求

GB/T 18019-1999       包過濾防火墻安全技術要求

GB/T 18020-1999       應用級防火墻安全技術要求

YD/T XXXX-2001      寬帶網絡總體技術要求

YD/T 1045-2000        網絡接入服務器(NAS)規范

YD/T1160-2001    接入網技術要求—基于以太網技術的寬帶接入網

RFC 2764                   基于IP的虛擬專用網框架

YD/T 1162.1-2001  多協議標記交換(MPLS)總體技術要求

RFC 2370                   MPLS網絡支持IP區分服務

RFC 3270                   多協議標記交換(MPLS)支持區分服務

RFC 2917                   核心MPLS IP VPN體系結構

RFC 2547                   BGP/MPLS虛擬專用網(VPNs)

YD/T 852-1996            電信管理網(TMN)總體設計原則

YD/T 871-1996            電信管理網(TMN)通用信息模型

RFC 3411             SNMP管理框架的體系架構描述

RFC 2819             遠程網絡監控管理信息庫

RFC 2236             組播組管理協議

設計設備選型與要求

1XX省電力公司網絡設備選型

XX省電力公司調度大樓機房核心交換機所采用H3C S7506E作為主干交換機一臺。采用H3C S3600-28TP-SI樓層接入交換機26臺,采用H3C WXS002-128做為無線控制器一臺,采用H3C WA2220E-AG無線接入點120臺,采用H3C   做為無線網管一套;

2 XX省電力公司寬帶接入服務器

        寬帶接入服務器采用北京城市熱點有限公司的Dr.COM 2133 B-RAS 寬帶接入服務器一臺

3  XX省電力公司防病毒軟件

       防病毒軟件采用諾頓網絡版的防毒軟件一套

          4 XX省電力公司上網行為管理系統

                 上網行為管理系統采用深信服的M5400-AC一臺。

5  網絡維護終端

臺式終端采用聯想 揚天E4600V PDC E2180 1G160sD(XP) 8臺,配桌面KVM,不配顯示器、鼠標、鍵盤

手提終端采用聯想ThinkPad R61 7755LZ22

 6 磁盤柜硬盤擴容

         采用IBM 300GB/10K E-DDM 2Gbps FC  6

網絡設計

根據總體設計原則,此次外網建設主要是部署新的有線和無線網絡設備,新建一個網絡,接入因特網,并部署上網行為管理以及防病毒系統等安全防護系統,同時對現有郵件系統進行擴容。

有線網絡設計

計算機局域外網網絡設計

網絡性能符合《IP網絡技術要求-網絡性能參數與指標》標準的有關規定。支持TCP/IP等通訊協議,網絡可靠性達到99.999%

單向延遲:≤150ms(全網國內端到端,包括傳輸延遲和設備延遲,個別偏遠地區除外);抖動:≤20ms;包丟失率:≤1%;可用性:≥99.999%。

局域外網上聯帶寬采用千兆骨干連接,接入設備10/100/1000M自適應到桌面。部分重要用戶千兆到桌面。局域網針對不同要求的數據、語音及視頻等應用,提供集中管理的QoS解決方案。局域外網的IP地址規劃和VLAN的設計符合現有局域外網的IP地址整體規劃要求。

XX省電力公司局域外網架設拓撲圖

 

能夠上聯到現有局域外網的核心設備,接口速率為千兆;連接服務器和存儲設備應采用1000M光纖接口;與網管系統連接主要采用基于SNMP協議的接口。

在骨干網的結構設計中,XX省電力公司網絡骨干采用雙鏈路、雙核心設備的冗余方式組網,防止單點故障,保證了網絡結構的高可靠性。本設計方案的設備選型都采用具備高可靠性設計的產品及經過了市場大規模應用檢驗、成熟穩定的高端產品實現設備級可靠性。

另外,省XX省電力公司局域外網的業務數量眾多,網絡的承載量很大,因此,必須要解決網絡的易管理、易維護問題。設計方案采用的設備均支持標準的網絡管理功能,結合本設計方案提供的網絡管理系統可以實現高質量的網絡管理和維護功能。

由于目前在網絡設備和技術的選擇范圍更大,可以支持更多的網絡應用,并且能夠提升擴充性及可用性。因此基本的設計原則是要在第二層、第三層合理布放交換能力,并且合理地利用新設備和網絡技術。新增加的功能特性應主要包括QoS、多層服務、主干帶寬的提升、增加千兆端口的密度、更強的交換能力等。

采用多層網絡的設計方法,必須依賴于利用網絡的高彈性和擴充性。所謂的彈性指的是對故障的容忍度和故障情況下的恢復能力;所謂的擴充性指的是根據實際需要,可以在各個不同層次實現升級和擴充。實現對網絡可控的、有序的優化。

核心交換機:雙機熱備份,確保全網核心業務匯聚的可靠性和高性能,關鍵模塊全冗余配置,提供全網數據業務的集中、高速交換;骨干帶寬采用GE千兆接入方式,骨干交換機需提供較強的端口、帶寬擴展能力,需充分滿足未來帶寬升級提速多設備的要求。

根據網絡現有結構,設計比較適合的路由協議。能夠實現優化的網絡路徑選擇,同時具有路徑均衡功能,在網絡結構發生變化時數據能夠通過其他路徑迂回,保證網絡的暢通。

省電力公司網絡采用動態路由協議配合靜態路由方式。IP地址的合理規劃是網絡設計中的重要一環,IP地址空間分配,要與網絡拓撲層次結構相適應,既要有效地利用地址空間,又要體現出網絡的可擴展性和靈活性,同時能滿足路由協議的要求,以便于網絡中的路由聚類,減少路由器中路由表的長度,減少對路由器CPU、內存的消耗,提高路由算法的效率,加快路由變化的收斂速度,同時還要考慮到網絡地址的可管理性。具體分配時要遵循以下原則:

唯一性:一個IP網絡中不能有兩個主機采用相同的IP地址;

簡單性:地址分配應簡單易于管理,降低網絡擴展的復雜性,簡化路由表項

連續性:連續地址在層次結構網絡中易于進行路徑疊合,大大縮減路由表,提高路由算法的效率。

可擴展性:地址分配在每一層次上都要留有余量,在網絡規模擴展時能保證地址疊合所需的連續性。

靈活性:地址分配應具有靈活性,以滿足多種路由策略的優化,充分利用地址空間。

無線網絡設計

      H3C的無線網綜合考慮網絡的部署、應用、維護三個層面,在硬件、安全、管理方面的先進理念的應用,使得整網具備更高的系統容量、性能及可靠性。兼顧網絡有線無線網絡融合應用,解決了現階段、現有網絡系統上搭建無線網絡的需求。同時,利用有線無線網絡的互通性,對原有有線網絡和無線網絡進行有效整合,利用已有的有線設備來拓展無線業務,實現無線接入的增值。提供集中式管理架構和統一的網管系統,能夠保證設備互通性,輕松配置無線網絡,實現高效管理。此外,實現了安全策略的統一集中部署,減少了維護和管理的工作量。

              XX電力公司無線網絡拓樸圖

傳統無線網絡的部署需要網絡管理人員對網絡中的每一個AP進行逐一配置,當無線網絡規模較大時網絡管理人員往往要配置上百個AP,配置工作量巨大,且易于出錯。而采用H3C WA2110-AG 作為Fit AP配合無線控制器的進行組網時,網絡維護人員只需要在無線控制器上對業務屬性和物理屬性相似的AP建立配置模版,這樣AP在啟動時可以從無線控制器動態獲取配置文件,AP側可不做任何配置,只需上電即可正常工作,該特性極大方便了用戶的使用,也降低了設備的維護成本。另外,由于AP本身不保存任何配置,萬一設備丟失,也可以保證網絡配置不被竊取,保證了網絡的安全。AP支持啟動后自動獲取IP地址、自動獲取無線控制器的工作列表并自動和無線控制器建立關聯,真正做到了零配置,免維護,極大地減輕了網絡管理人員在部署網絡階段的維護工作量。

支持集中管理

本項目中我們采用H3C WA21110-AG作為無線接入點Fit AP和無線控制器采用H3C WX5002-128配合組網,大部分管理報文和數據報文都需要經過無線控制器的統一處理。在無線控制器端,通過CAPWAP協議控制網絡中所有的Fit AP,所有設備的狀態都一目了然。較之傳統的Fat AP,無線控制器加Fit AP的應用模式極大地方便了系統管理員管理整個網絡。

支持版本自動升級

H3C WA2110-AG可以和網絡內的無線控制器自動取得關聯,并下載最新的軟件版本到AP設備。所有的這些操作都是自動完成的,不需要人工干預,減少了網絡維護的工作量。這個特性對于大型網絡尤其重要。

支持豐富的認證方式

H3C WA2110-AG配合H3C自主研發的無線控制器系列產品,可實現802.1x認證、PSK認證、MACPortalWAPI等多種認證方式。

支持硬件加解密

H3C WA2110-AG采用了業界先進的無線芯片,支持WEP/TKIP/AES等硬件加解密算法,使安全處理不成為系統應用的瓶頸。

支持密鑰動態協商和更新

H3C WA2110-AG在采用TKIPAES加密算法時,相應的密鑰均是由動態協商而來,且可以在使用一定的時長或加密數據幀后,進行動態更新。這使得非法無線用戶的竊聽企圖難以得逞。

支持中國標準WAPI(無線局域網鑒別和保密基礎結構)

H3C WA2110-AG除了支持802.11iWPA等國際標準外,配合無線控制器還支持中國無線局域網國家標準GB15629.11-2003 中提出的、安全等級更高的WAPI

  l支持IPv6特性

H3C WA2110-AG實現了IPv4/IPv6雙協議棧,與無線控制器之間可以穿過IPv6網絡互聯,使得組網方式更加靈活,可以滿足今后網絡發展的需要,保護用戶投資。WA2110-AG也也支持無線用戶采用IPv6接入網絡。

支持EAD無線接入

端點準入防御(EADEndpoint Admission Defense)解決方案從控制用戶終端安全接入網絡的角度入手,整合網絡接入控制與終端安全產品,通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動,對接入網絡的用戶終端強制實施企業安全策略,嚴格控制終端用戶的網絡使用行為,有效地加強了用戶終端的主動防御能力,為企業網絡管理人員提供了有效、易用的管理工具和手段。H3C WA2110-AG支持無線用戶的EAD接入,通過與安全策略服務器的聯動,可以對感染病毒或存在系統漏洞等不合格的無線客戶端進行下線、隔離、提醒或監控等多種方式的處理,只有無線客戶端符合相應的安全策略之后才允許正常訪問網絡,從而提高了無線網絡的整體安全性。

支持智能的負載均衡

H3C WA2110-AG無線接入點支持按接入用戶數量和流量的復雜均衡方式,當無線控制器發現AP的負載超過設定的門限值以后,對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的AP可供用戶接入,如果有則AP會拒絕用戶的關聯請求,用戶會轉而接入其他負載較輕的AP,但如果無線用戶不在AP的重疊覆蓋區內,傳統的負載均衡方式往往會導致連接不上網絡,造成誤均衡。H3C公司創新性地支持智能負載均衡技術,保證只對處于AP覆蓋重疊區的無線用戶才啟動AP負載均衡功能,有效的避免誤均衡的出現,從而最大限度的提高了無線網絡容量。

支持用戶隔離策略

H3C WA2110-AG無線接入點支持無線用戶之間的隔離。當啟用了此功能后,兩個無線客戶端之間無法直接通訊,無線客戶端只能訪問上游的有線網絡。應用此特性,運營商可強制無線用戶到指定的網關或服務器上進行計費或更安全的認證,實現所謂的熱點應用。

高可靠性的業務設計

H3C WA2110-AG(工作于Fit AP模式時)無線接入點Bootware軟件支持CAPWAP特性,可以與無線控制器進行交互完成應用程序的加載。支持此特性,在本地應用程序損壞或下載了非法應用程序的情況下,H3C WA2110-AG仍然可以通過無線控制器遠程加載合法的應用程序,恢復其正常工作。

H3C WA2110-AG(工作于Fit AP模式時)無線接入點,僅受無線控制器的管理,WH3C WA2110-AG本身不對外提供CLItelnetSNMP管理接口,保證了設備本身的安全。

H3C WA2110-AG(工作于Fit AP模式時)無線接入點,可同時與多臺無線控制器之間建立CAPWAP隧道連接,多條隧道相互備份,保證了在一臺無線控制器出現故障后,H3C WA2110-AG仍然可以被其它無線控制器所管理。

              XX電力系統無線網絡安全拓樸圖

系統采用高可靠的雙星型拓撲結構設計,接點AP接入交換機S3600-28F通過雙千兆鏈路接入到核心,傳輸鏈路可選擇裸光纖或MSTP傳輸,避免單鏈路故障或者單核心故障對網絡造成的影響,S3600-28F下行直接接入AP,避免使用光電轉換器降低系統可靠性。

核心交換機選擇支持冗余引擎、冗余電源、支持熱插拔的高端交換機產品,這些交換機均支持高密度的千兆、萬兆接入,具有足夠的性能和可靠性,非常適用核心環境使用。

關于我們 | 聯系我們 宏志企業 版權所有   學習平臺   公司微博 今日訪問量:64 次 總訪問量:101010
北京11选5开奖号码走势图