中國大唐集團海外公司內外網分離改造方案北京泰豪智能工程有限公司福地項目部2016年2月291.現有網絡分析為了配合大唐集團信息化建設的全面開展，適應現代社會對信息化社會的要求，提高現代化辦公的水平，參考已經完成的新能源公司內外網分離項目，計劃此次海外公司內外網分離的改造工程。公司根據自己多年的行業經驗，特提出此方案。以下是海外公司現有網絡結構示意圖及四層主機房的機柜布置圖：網絡結構示意圖服務器機柜布置圖網絡核心機柜布置圖現有網絡設備可以統一規劃在外網部分，服務器群規劃在內網部分。對于外網來說，內網相對需要的安全級別更高，數據需要更好、更快、更安全的處理和傳輸環境，新增加的網絡統一規劃為內網。設備新、速度快、安全性高、容易備份。三層網絡架構采用層次化模型設計，即將復雜的網絡設計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。三層網絡架構設計的網絡有三個層次：核心層（網絡的高速交換主干）、匯聚層（提供基于策略的連接）、接入層

（將工作站接入網絡）。核心層：核心層是網絡的高速交換主干，對整個網絡的連通起到至關重要的作用。核心層應該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。在核心層中，應該采用高帶寬的千兆以上交換機。因為核心層是網絡的樞紐中心，重要性突出。核心層設備采用雙機冗余熱備份是非常必要的，也可以使用負載均衡功能，來改善網絡性能。匯聚層：匯聚層是網絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層具有實施策略、安全、工作組接入、虛擬局域網（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中，應該選用支持三層交換技術和VLAN的交換機，以達到網絡隔離和分段的目的。接入層：接入層向本地網段提供工作站接入。在接入層中，減少同一網段的工作站數量，能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層交換技術的普通交換機。根據海外公司的網絡情況實際需求，應再增加一套完整的網絡設備，形成一套獨立的三層網絡架構，增加的設備包括：四層機房增加核心層及匯聚層，包括：核心路由器、核心交換機、匯聚交換機、防火墻、網絡管理平臺。11層及12層信息機房內增加接入層，包括每層增加一臺42U標準機柜、兩臺接入換機，原有的接入交換機硬件老化，接口松動，傳輸速度過慢，影響正常的辦公網絡使用，建議更換。11層現有內網端口95個，外網端口85個；12層內網端口72個，外網端口65個；由于內網端口故障或者工位端口故障或者工位至信息機房線路故障導致11層占用外網端口12個，12層占用外網端口13個；施工改造過程中會出現部分辦公室外網端口不夠用的情況，可能會需要增加一部分機房至工位的網絡線路。考慮到網絡系統冗余和關鍵數據備份，參考新能源公司的網絡結構搭建，可以將內網部分做硬件備份，其中任何一臺核心設備故障或者斷電都不會影響整個網絡系統的正常運行，如下圖：2．系統設計原則標準化原則遵守國際ISO及IEEE相應的系統工程規范及中國系統工程規范實用性原則核心網絡是根據實際工作中最迫切需要解決的問題而建立，必須從實用的角度出發，在深入調研的基礎上，真正提供辦公、管理所需要的幫助，防止任何不切合實際的做法所帶來的浪費。先進性原則系統整體上從資源配置（包括硬件設備，系統軟件，網絡選型）到功能用途等盡量爭取在同業間具有先進水準。技術成熟性原則系統選型及總體集成應盡量采用先進、成熟的技術，選用已經被市場證明了的配置方式。避免盲目相信產品參數所導致的失誤，使之建成后就能很快地投入實際使用，提高工作效率。可靠性原則系統的各項資源包括硬件設備、應用軟件等可靠性要高，工作穩定，易于維護。在出現硬件故障和軟件故障時，有可靠的恢復手段。同時，系統應有足夠的容錯能力，同時能夠自動進行故障檢測與隔離，關鍵設備達到99%不間斷工作。成長性原則隨著系統、應用環境的變更，通過網絡模塊的變換及軟件支持，網絡基礎結構能夠發揮5-10年效益，使原有的投資得到保護。安全性原則系統中涉及到海外公司相關機密，必須要有良好的安全保密措施，一是通過VLAN及第三層路由定義來分割網絡，二是要對不同的人員設定不同的權限具有權限控制，信息密級制度，通過管理跳線跳接，可使外部網絡與內部網絡良好的隔離；三是要對關鍵數據進行及時備份，及時恢復；并對電腦病毒具有較好的防護能力；四是要通過網管中心對網絡的使用情況進行監控；盡早發現問題，盡早解決。3.網絡主干選型任何網絡系統，其骨干網絡設備的選型將對整個網絡的性能及未來拓展性造成決定性的影響，通過認真分析網絡建設的實際需求及配置要求，可以看出，網絡系統的建設必須適應未來網絡發展的需要，同時又必須考慮實用及經濟的原則。故此，我們做出以下配置：鑒于網絡的規模性經營優勢及對未來新技術的靈活支持，建議采用企業級萬兆級交換機H3CS10506作為核心交換機；H3CSR6604作為核心路由器；H3CS7503來作為匯聚交換機；防火墻采用H3CF1000系列；H3CS5120系列作為接入交換機；H3CIMC系列作為智能網絡管理中心。4.交換機詳細功能配置及說明4.1H3CS10506核心交換機特點及功能配置H3C

S10506基本參數

交換容量13.44Tbps/38.4

Tbps

包轉發率：4320Mpps/10800

Mpps

主控板槽位數：2

業務板槽位數：6

交換網板槽位數：4

冗余設計：主控、交換網板、電源、風扇

以太網特性：支持802.1Q、支持DLDP、支持LLDP

靜態MAC配置

支持MAC地址學習數目限制

支持端口鏡像和流鏡像功能

支持端口聚合、端口隔離、端口鏡像

支持802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)

支持IEEE

802.3ad（動態鏈路聚合）、靜態端口聚合和跨板鏈路聚合

H3C

S10506路由特性

支持靜態路由、RIP、OSPF、IS-IS、BGP4等

支持等價路由

支持策略路由

支持路由策略

支持IPv4和IPv6雙協議棧

支持IPv6靜態路由、RIPng、OSPFv3、IS-ISv6、BGP4+

支持VRRPv3

支持Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6

支持IPv4向IPv6的過渡技術，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自動配置隧道

支持IPv6等價路由

支持IPv6策略路由

支持IPv6路由策略

組播

支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP等路由協議

支持IGMP

V1/V2/V3、IGMP

V1/V2/V3

Snooping

支持PIM6-DM、PIM6-SM、PIM6-SSM

支持MLD

V1/V2、MLD

V1/V2

Snooping

支持組播策略和組播QoS

ACL/QoS

支持標準和擴展ACL

支持Ingress/Egress

ACL

支持VLAN

ACL

支持全局

ACL

支持Diff-Serv

QoS

支持SP，WRR，SP+WRR等隊列調度機制

支持流量整形

支持擁塞避免

支持優先級標記Mark/Remark

支持802.1p、TOS、DSCP、EXP優先級映射

支持OPENFLOW

1.3標準

支持多控制器（EQUAL模式、主備模式）

支持VXLAN

二層交換

支持VXLAN

路由交換

支持VXLAN

網關

支持IS-IS+ENDP的VXLAN分布式控制平面

支持OpenFlow+Netconf的VXLAN集中式控制平面

MPLS/VPLS

支持L3

MPLS

VPN

支持VPLS,VLL

支持分層VPLS，以及QinQ+VPLS接入

支持IEEE

802.1x和IEEE

802.1x

SERVER

支持AAA/Radius

支持HWTACACS,支持命令行認證

支持SSHv1.5/SSHv2

支持ACL流過濾機制

支持OSPF、RIPv2

及BGPv4

報文的明文及MD5密文認證

支持命令行采用分級保護方式，防止未授權用戶的非法侵入，為不同級別的用戶有不同的配置權限

支持受限的IP地址的Telnet的登錄和口令機制

支持IP地址、VLAN

ID、MAC地址和端口等多種組合綁定

支持uRPF

支持主備數據備份機制

支持故障后報警和自恢復

支持FTP、TFTP、Xmodem

支持SNMP

v1/v2/v3

支持sFlow流量統計

支持RMON

支持NTP時鐘

支持NetStream流量統計功能

支持電源智能管理，支持802.3az高效節能以太網

支持設備在線狀態監測機制，實現對包括主控引擎，背板，芯片和存儲等關鍵元器件進行檢測

獨立的硬件交換網板設計，實現了控制和轉發的真正分離

關鍵部件交換路由處理板支持1＋1冗余備份，電源支持M+N冗余備份

交換網板支持N+1冗余備份

背板采用無源設計，避免單點故障

各組件均支持熱插拔功能

支持各種配置數據在主備主控板上實時熱備份

支持熱補丁功能，可在線進行補丁升級

支持NSF/GR

for

OSFP/BGP/IS-IS/RSVP等

支持端口聚合，支持鏈路跨板聚合

支持BFD

for

VRRP/BGP/IS-IS/OSPF/RSVP/靜態路由等，實現各協議的快速故障檢測機制，故障檢測時間小于50ms

支持Ethernet

OAM（802.1ag和802.3ah）

支持RRPP

支持DLDP

支持VCT

支持Smart-Link

H3C

S10506環境參數

溫度范圍：0℃～45℃

相對濕度：10%～95%（非凝結）

供電：100～240V

AC；50/60Hz；16A4.2H3CSR6604核心路由器特點及功能配置H3CSR6604參數細節路由器類型開放多核企業級路由器端口結構模塊化包轉發率15Mpps網絡協議RIPv1/v2、OSPFv2、BGP、IS-IS等網管功能通過命令行配置

通過Console口進行配置

通過以太網端口利用Telnet進行配置、遠程維護

通過AUX口利用Modem撥號進行配置、遠程維護

通過SNMP管理(v1,v2c,v3)

支持RMON(1,2,3,9組MIB)

支持系統日志

支持分級告警

PING、Tracert

NQA：支持網絡質量分析/與VRRP、策略路由、靜態路由聯動

風扇狀態檢測、維護和告警

電源狀態檢測、維護和告警

CF卡狀態檢測、維護

環境溫度變化檢測、告警VPN功能L3VPN:跨域MPLSVPN(Option1/2/3)、嵌套MPLSVPN、分層PE(HoPE)、CE雙歸屬、MCE、多角色主機、GRE隧道等

L2VPN:Martini、Kompella、CCC和SVC方式

MPLSTE、RSVPTE

組播VPNQos功能流分類:基于端口、MAC地址、IP地址、IP優先級、DSCP優先級、TCP/UDP端口號、協議類型等

流量監管:CAR限速,粒度可配

基于目的地址或者源地址的限速(支持網段限速)

GTS流量整形

優先級Mark/Remark

各種隊列調度機制:FIFO、PQ、CQ、WFQ、RTPQ、CBWFQ

擁塞避免算法:Tail-Drop、WRED

LR速率限制

MPLSQoS

IPv6QoS防火墻功能是廣域網接口模塊化局域網接口2GE光電復合（每塊FIP-200）,2GE光電復合（每塊FIP-100）其他接口Console擴展插槽16個標準/認證ACL訪問控制列表

ACL加速

基于時間的訪問控制

包過濾防火墻

狀態防火墻ASPF

本機TCP防攻擊

控制平面限速

虛擬分片重組

URPF

Web過濾

用戶分級管理和口令保護

AAA認證、授權、計費

RADIUS

TACACS

Portal(支持與EAD聯動)

PKI證書

SSH1.5/2.0

RSA

IPSec、IPSec多實例、IKE

P2P限流電源電壓100～240VAC,-48～-60VDC功耗330W外觀尺寸436mm×480mm×220mm機身重量<38工作溫度0℃-45工作濕度10%～95%，無冷凝存儲溫度-10-70存儲濕度10%～95%，無冷凝4.3H3CS7503交換機特點及功能配置：產品類型路由交換機傳輸速率10/100/1000Mbps交換方式存儲-轉發背板帶寬≥640Gbps包轉發率72MppsMAC地址表32K端口結構模塊化擴展模塊4插槽數傳輸模式全雙工/半雙工自適應功能特性網絡標準IEEE802.1d，IEEE802.1w，IEEE802.1s，IEEE802.1q，IEEE802.3x，IEEE802.3ad，IEEE802.3af，IEEE802.1pVLAN支持QOS提供L2/3/4ACL流規則過濾

支持基于端口和VLAN的ACL

支持每端口8個硬件隊列

支持IEEE802.1p（COS優先級）和DSCP

支持Diff-serv/QoS

支持流量監管（CAR），粒度為64Kbps

支持流量整形（TrafficShapping）

支持端口雙向限速

支持優先級Mark/Remark

支持PQ、SP、WRR、SP＋WRR隊列調度機制組播管理支持IGMP、IGMPProxy

支持PIM-SM、PM-DM等組播路由協議

支持IGMPSNOOPING

支持組播VLAN

支持組播權限控制

支持組播組快速離開網絡管理支持SNMPv3：Quidview網管系統

支持RMON

支持系統日志

支持分級告警

支持本地、遠程診斷

提供多語言支持安全管理提供L2/3/4ACL流規則過濾

用戶分級管理和口令保護

提供多種用戶認證方式：本地/Radius/802.1x/TACAS+認證

支持OSPF、RIPv2、BGPv4及IS-IS的報文明文及MD5密文認證

支持SNMPv3的加密和認證

支持SSHV1.5/V2

支持MAC-PORT、IP-MAC綁定

支持H3CEAD端點安全防御解決方案其它參數電源電壓AC100-240V，47-63Hz電源功率350W產品尺寸436×480×352.8mm產品重量≤50kg平均無故障時間185，000小時環境標準工作溫度：0-45℃

工作濕度：10%-90%（無凝結）

存儲溫度：-30-60℃

存儲濕度：10%-90%（無凝結）4.4H3CS5120交換機參數智能交換機應用層級三層傳輸速率1000Mbps交換方式存儲-轉發背板帶寬240Gbps包轉發率78Mpps端口參數端口結構非模塊化端口數量52個端口描述48個10/100/1000Base-T以太網端口4個1000Base-XSFP千兆以太網端口控制端口1個Console口傳輸模式支持全雙工功能特性VLAN支持基于端口的VLAN（4K個）QOS支持IEEE802.1p/DSCP優先級

支持優先級映射

支持端口信任模式

支持端口信任模式

支持端口隊列調度（SP/WRR/SP+WRR）組播管理支持IGMPSnoopingv1/v2/v3

MLDSnooping

支持組播VLAN網絡管理支持XModem/FTP/TFTP加載升級

支持命令行接口（CLI），Telnet