XX省电力公司内、外网网络需采用光纤分别接入省XX省电力公司机房，XX省电力公司内网与Internet网物理隔离，省XX省电力公司外网与Internet网逻辑隔离。

引用标准

系统标准

主要遵循以下标准、规范、要求：

国家颁布的相关法律、法规、规范；

信息计划〔2006〕109 号《国家电网公司供电企业信息网规划设计规范》（试行）、国家电网公司变电站信息网设计规范（试行）

GB/T 18020-1999 信息技术应用级防火墙安全技术要求

国家电监会 5 号令《公司二次系统安全防护规定》

国家电网科[2004] 4 号《国家电网公司网络与信息安全管理暂行规定》

GB/T 9361-1988        计算站场地安全要求

IEEE 802.2/3(1985)    局域网协议标准

ITU-T X.87               链路接入规程SDH（LAPS）

RFC0894（1990）       在以太网上传输IP数据包的标准

YD/T 1170-2001        IP网络技术要求-网络总体》

YD/T 1171-2001        IP网络技术要求-网络性能参数与指标》

GB/T 18018-1999       《路由器安全技术要求》

YD/T 1132－2001       防火墙设备技术要求

GA 370-2001           端设备隔离部件安全技术要求

GA/T 403.1-2002       入侵检测产品技术要求第1部分：网络型产品

GA/T 404-2002            网络漏洞扫描产品技术要求

GB/T 18019-1999       包过滤防火墙安全技术要求

GB/T 18020-1999       应用级防火墙安全技术要求

YD/T XXXX-2001      宽带网络总体技术要求

YD/T 1045-2000        网络接入服务器（NAS）规范

YD/T1160-2001    接入网技术要求—基于以太网技术的宽带接入网

RFC 2764                   基于IP的虚拟专用网框架

YD/T 1162.1-2001  多协议标记交换（MPLS）总体技术要求

RFC 2370                   MPLS网络支持IP区分服务

RFC 3270                   多协议标记交换（MPLS）支持区分服务

RFC 2917                   核心MPLS IP VPN体系结构

RFC 2547                   BGP/MPLS虚拟专用网（VPNs）

YD/T 852-1996            电信管理网（TMN）总体设计原则

YD/T 871-1996            电信管理网（TMN）通用信息模型

RFC 3411             SNMP管理框架的体系架构描述

RFC 2819             远程网络监控管理信息库

RFC 2236             组播组管理协议

设计设备选型与要求

1、XX省电力公司网络设备选型

XX省电力公司调度大楼机房核心交换机所采用H3C S7506E作为主干交换机一台。采用H3C S3600-28TP-SI楼层接入交换机26台，采用H3C WXS002-128做为无线控制器一台，采用H3C WA2220E-AG无线接入点120台，采用H3C   做为无线网管一套；

2、 XX省电力公司宽带接入服务器

        宽带接入服务器采用北京城市热点有限公司的Dr.COM 2133 B-RAS 宽带接入服务器一台

3、  XX省电力公司防病毒软件

       防病毒软件采用诺顿网络版的防毒软件一套

          4、 XX省电力公司上网行为管理系统

                 上网行为管理系统采用深信服的M5400-AC一台。

5、  网络维护终端

台式终端采用联想 扬天E4600V PDC E2180 1G160sD(XP) 8台，配桌面KVM，不配显示器、鼠标、键盘

手提终端采用联想ThinkPad R61 7755LZ2共2台

 6、 磁盘柜硬盘扩容

         采用IBM 300GB/10K E-DDM 2Gbps FC  6块

网络设计

根据总体设计原则，此次外网建设主要是部署新的有线和无线网络设备，新建一个网络，接入因特网，并部署上网行为管理以及防病毒系统等安全防护系统，同时对现有邮件系统进行扩容。

有线网络设计

计算机局域外网网络设计

网络性能符合《IP网络技术要求-网络性能参数与指标》标准的有关规定。支持TCP/IP等通讯协议，网络可靠性达到99.999%。

单向延迟：≤150ms(全网国内端到端，包括传输延迟和设备延迟，个别偏远地区除外)；抖动：≤20ms；包丢失率：≤1％；可用性：≥99.999％。

局域外网上联带宽采用千兆骨干连接，接入设备10/100/1000M自适应到桌面。部分重要用户千兆到桌面。局域网针对不同要求的数据、语音及视频等应用，提供集中管理的QoS解决方案。局域外网的IP地址规划和VLAN的设计符合现有局域外网的IP地址整体规划要求。

XX省电力公司局域外网架设拓扑图

能够上联到现有局域外网的核心设备，接口速率为千兆；连接服务器和存储设备应采用1000M光纤接口；与网管系统连接主要采用基于SNMP协议的接口。

在骨干网的结构设计中，XX省电力公司网络骨干采用双链路、双核心设备的冗余方式组网，防止单点故障，保证了网络结构的高可靠性。本设计方案的设备选型都采用具备高可靠性设计的产品及经过了市场大规模应用检验、成熟稳定的高端产品实现设备级可靠性。

另外，省XX省电力公司局域外网的业务数量众多，网络的承载量很大，因此，必须要解决网络的易管理、易维护问题。设计方案采用的设备均支持标准的网络管理功能，结合本设计方案提供的网络管理系统可以实现高质量的网络管理和维护功能。

由于目前在网络设备和技术的选择范围更大，可以支持更多的网络应用，并且能够提升扩充性及可用性。因此基本的设计原则是要在第二层、第三层合理布放交换能力，并且合理地利用新设备和网络技术。新增加的功能特性应主要包括QoS、多层服务、主干带宽的提升、增加千兆端口的密度、更强的交换能力等。

采用多层网络的设计方法，必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力；所谓的扩充性指的是根据实际需要，可以在各个不同层次实现升级和扩充。实现对网络可控的、有序的优化。

核心交换机：双机热备份，确保全网核心业务汇聚的可靠性和高性能，关键模块全冗余配置，提供全网数据业务的集中、高速交换；骨干带宽采用GE千兆接入方式，骨干交换机需提供较强的端口、带宽扩展能力，需充分满足未来带宽升级提速多设备的要求。

根据网络现有结构，设计比较适合的路由协议。能够实现优化的网络路径选择，同时具有路径均衡功能，在网络结构发生变化时数据能够通过其他路径迂回，保证网络的畅通。

省电力公司网络采用动态路由协议配合静态路由方式。IP地址的合理规划是网络设计中的重要一环，IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：

唯一性：一个IP网络中不能有两个主机采用相同的IP地址；

简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项

连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。

可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。

灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。

无线网络设计

      H3C的无线网综合考虑网络的部署、应用、维护三个层面，在硬件、安全、管理方面的先进理念的应用，使得整网具备更高的系统容量、性能及可靠性。兼顾网络有线无线网络融合应用，解决了现阶段、现有网络系统上搭建无线网络的需求。同时，利用有线无线网络的互通性，对原有有线网络和无线网络进行有效整合，利用已有的有线设备来拓展无线业务，实现无线接入的增值。提供集中式管理架构和统一的网管系统，能够保证设备互通性，轻松配置无线网络，实现高效管理。此外，实现了安全策略的统一集中部署，减少了维护和管理的工作量。

              XX电力公司无线网络拓朴图

传统无线网络的部署需要网络管理人员对网络中的每一个AP进行逐一配置，当无线网络规模较大时网络管理人员往往要配置上百个AP，配置工作量巨大，且易于出错。而采用H3C WA2110-AG 作为Fit AP配合无线控制器的进行组网时，网络维护人员只需要在无线控制器上对业务属性和物理属性相似的AP建立配置模版，这样AP在启动时可以从无线控制器动态获取配置文件，AP侧可不做任何配置，只需上电即可正常工作，该特性极大方便了用户的使用，也降低了设备的维护成本。另外，由于AP本身不保存任何配置，万一设备丢失，也可以保证网络配置不被窃取，保证了网络的安全。AP支持启动后自动获取IP地址、自动获取无线控制器的工作列表并自动和无线控制器建立关联，真正做到了零配置，免维护，极大地减轻了网络管理人员在部署网络阶段的维护工作量。

支持集中管理

本项目中我们采用H3C WA21110-AG作为无线接入点Fit AP和无线控制器采用H3C WX5002-128配合组网，大部分管理报文和数据报文都需要经过无线控制器的统一处理。在无线控制器端，通过CAPWAP协议控制网络中所有的Fit AP，所有设备的状态都一目了然。较之传统的Fat AP，无线控制器加Fit AP的应用模式极大地方便了系统管理员管理整个网络。

支持版本自动升级

H3C WA2110-AG可以和网络内的无线控制器自动取得关联，并下载最新的软件版本到AP设备。所有的这些操作都是自动完成的，不需要人工干预，减少了网络维护的工作量。这个特性对于大型网络尤其重要。

支持丰富的认证方式

H3C WA2110-AG配合H3C自主研发的无线控制器系列产品，可实现802.1x认证、PSK认证、MAC、Portal、WAPI等多种认证方式。

支持硬件加解密

H3C WA2110-AG采用了业界先进的无线芯片，支持WEP/TKIP/AES等硬件加解密算法，使安全处理不成为系统应用的瓶颈。

支持密钥动态协商和更新

H3C WA2110-AG在采用TKIP或AES加密算法时，相应的密钥均是由动态协商而来，且可以在使用一定的时长或加密数据帧后，进行动态更新。这使得非法无线用户的窃听企图难以得逞。

支持中国标准WAPI（无线局域网鉴别和保密基础结构）

H3C WA2110-AG除了支持802.11i和WPA等国际标准外，配合无线控制器还支持中国无线局域网国家标准GB15629.11-2003 中提出的、安全等级更高的WAPI。

  l支持IPv6特性

H3C WA2110-AG实现了IPv4/IPv6双协议栈，与无线控制器之间可以穿过IPv6网络互联，使得组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。WA2110-AG也也支持无线用户采用IPv6接入网络。

支持EAD无线接入

端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。H3C WA2110-AG支持无线用户的EAD接入，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。

支持智能的负载均衡

H3C WA2110-AG无线接入点支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如果无线用户不在AP的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。

支持用户隔离策略

H3C WA2110-AG无线接入点支持无线用户之间的隔离。当启用了此功能后，两个无线客户端之间无法直接通讯，无线客户端只能访问上游的有线网络。应用此特性，运营商可强制无线用户到指定的网关或服务器上进行计费或更安全的认证，实现所谓的热点应用。

高可靠性的业务设计

H3C WA2110-AG（工作于Fit AP模式时）无线接入点Bootware软件支持CAPWAP特性，可以与无线控制器进行交互完成应用程序的加载。支持此特性，在本地应用程序损坏或下载了非法应用程序的情况下，H3C WA2110-AG仍然可以通过无线控制器远程加载合法的应用程序，恢复其正常工作。

H3C WA2110-AG（工作于Fit AP模式时）无线接入点，仅受无线控制器的管理，WH3C WA2110-AG本身不对外提供CLI、telnet或SNMP管理接口，保证了设备本身的安全。

H3C WA2110-AG（工作于Fit AP模式时）无线接入点，可同时与多台无线控制器之间建立CAPWAP隧道连接，多条隧道相互备份，保证了在一台无线控制器出现故障后，H3C WA2110-AG仍然可以被其它无线控制器所管理。

              XX电力系统无线网络安全拓朴图

系统采用高可靠的双星型拓扑结构设计，接点AP接入交换机S3600-28F通过双千兆链路接入到核心，传输链路可选择裸光纤或MSTP传输，避免单链路故障或者单核心故障对网络造成的影响，S3600-28F下行直接接入AP，避免使用光电转换器降低系统可靠性。

核心交换机选择支持冗余引擎、冗余电源、支持热插拔的高端交换机产品，这些交换机均支持高密度的千兆、万兆接入，具有足够的性能和可靠性，非常适用核心环境使用。