|
当前位置:首页 > 行业解决方案 > 电力、能源行业 |
|
|
日期:2011/12/15 发布部门:市场部 点击数:9535 | |
XX省电力公司内、外网网络需采用光纤分别接入省XX省电力公司机房,XX省电力公司内网与Internet网物理隔离,省XX省电力公司外网与Internet网逻辑隔离。 引用标准 系统标准 主要遵循以下标准、规范、要求: 国家颁布的相关法律、法规、规范; 信息计划〔2006〕109 号《国家电网公司供电企业信息网规划设计规范》(试行)、国家电网公司变电站信息网设计规范(试行) GB/T 18020-1999 信息技术应用级防火墙安全技术要求 国家电监会 5 号令《公司二次系统安全防护规定》 国家电网科[2004] 4 号《国家电网公司网络与信息安全管理暂行规定》 GB/T 9361-1988 计算站场地安全要求 IEEE 802.2/3(1985) 局域网协议标准 ITU-T X.87 链路接入规程SDH(LAPS) RFC0894(1990) 在以太网上传输IP数据包的标准 YD/T 1170-2001 IP网络技术要求-网络总体》 YD/T 1171-2001 IP网络技术要求-网络性能参数与指标》 GB/T 18018-1999 《路由器安全技术要求》 YD/T 1132-2001 防火墙设备技术要求 GA 370-2001 端设备隔离部件安全技术要求 GA/T 403.1-2002 入侵检测产品技术要求第1部分:网络型产品 GA/T 404-2002 网络漏洞扫描产品技术要求 GB/T 18019-1999 包过滤防火墙安全技术要求 GB/T 18020-1999 应用级防火墙安全技术要求 YD/T XXXX-2001 宽带网络总体技术要求 YD/T 1045-2000 网络接入服务器(NAS)规范 YD/T1160-2001 接入网技术要求—基于以太网技术的宽带接入网 RFC 2764 基于IP的虚拟专用网框架 YD/T 1162.1-2001 多协议标记交换(MPLS)总体技术要求 RFC 2370 MPLS网络支持IP区分服务 RFC 3270 多协议标记交换(MPLS)支持区分服务 RFC 2917 核心MPLS IP VPN体系结构 RFC 2547 BGP/MPLS虚拟专用网(VPNs) YD/T 852-1996 电信管理网(TMN)总体设计原则 YD/T 871-1996 电信管理网(TMN)通用信息模型 RFC 3411 SNMP管理框架的体系架构描述 RFC 2819 远程网络监控管理信息库 RFC 2236 组播组管理协议 1、XX省电力公司网络设备选型 XX省电力公司调度大楼机房核心交换机所采用H 2、 XX省电力公司宽带接入服务器 宽带接入服务器采用北京城市热点有限公司的Dr.COM 2133 B-RAS 宽带接入服务器一台 3、 XX省电力公司防病毒软件 防病毒软件采用诺顿网络版的防毒软件一套 4、 XX省电力公司上网行为管理系统 上网行为管理系统采用深信服的M5400-AC一台。 5、 网络维护终端 台式终端采用联想 扬天E4600V PDC E2180 手提终端采用联想ThinkPad R61 7755LZ2共2台 6、 磁盘柜硬盘扩容 采用IBM 300GB/10K E-DDM 2Gbps FC 6块 根据总体设计原则,此次外网建设主要是部署新的有线和无线网络设备,新建一个网络,接入因特网,并部署上网行为管理以及防病毒系统等安全防护系统,同时对现有邮件系统进行扩容。 计算机局域外网网络设计 网络性能符合《IP网络技术要求-网络性能参数与指标》标准的有关规定。支持TCP/IP等通讯协议,网络可靠性达到99.999%。 单向延迟:≤150ms(全网国内端到端,包括传输延迟和设备延迟,个别偏远地区除外);抖动:≤20ms;包丢失率:≤1%;可用性:≥99.999%。 局域外网上联带宽采用千兆骨干连接,接入设备10/100/1000M自适应到桌面。部分重要用户千兆到桌面。局域网针对不同要求的数据、语音及视频等应用,提供集中管理的QoS解决方案。局域外网的IP地址规划和VLAN的设计符合现有局域外网的IP地址整体规划要求。 XX省电力公司局域外网架设拓扑图 能够上联到现有局域外网的核心设备,接口速率为千兆;连接服务器和存储设备应采用 在骨干网的结构设计中,XX省电力公司网络骨干采用双链路、双核心设备的冗余方式组网,防止单点故障,保证了网络结构的高可靠性。本设计方案的设备选型都采用具备高可靠性设计的产品及经过了市场大规模应用检验、成熟稳定的高端产品实现设备级可靠性。 另外,省XX省电力公司局域外网的业务数量众多,网络的承载量很大,因此,必须要解决网络的易管理、易维护问题。设计方案采用的设备均支持标准的网络管理功能,结合本设计方案提供的网络管理系统可以实现高质量的网络管理和维护功能。 由于目前在网络设备和技术的选择范围更大,可以支持更多的网络应用,并且能够提升扩充性及可用性。因此基本的设计原则是要在第二层、第三层合理布放交换能力,并且合理地利用新设备和网络技术。新增加的功能特性应主要包括QoS、多层服务、主干带宽的提升、增加千兆端口的密度、更强的交换能力等。 采用多层网络的设计方法,必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力;所谓的扩充性指的是根据实际需要,可以在各个不同层次实现升级和扩充。实现对网络可控的、有序的优化。 核心交换机:双机热备份,确保全网核心业务汇聚的可靠性和高性能,关键模块全冗余配置,提供全网数据业务的集中、高速交换;骨干带宽采用GE千兆接入方式,骨干交换机需提供较强的端口、带宽扩展能力,需充分满足未来带宽升级提速多设备的要求。 根据网络现有结构,设计比较适合的路由协议。能够实现优化的网络路径选择,同时具有路径均衡功能,在网络结构发生变化时数据能够通过其他路径迂回,保证网络的畅通。 省电力公司网络采用动态路由协议配合静态路由方式。IP地址的合理规划是网络设计中的重要一环,IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则: 唯一性:一个IP网络中不能有两个主机采用相同的IP地址; 简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项 连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。 可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。 灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。 无线网络设计
H XX电力公司无线网络拓朴图 传统无线网络的部署需要网络管理人员对网络中的每一个AP进行逐一配置,当无线网络规模较大时网络管理人员往往要配置上百个AP,配置工作量巨大,且易于出错。而采用H3C WA2110-AG 作为Fit AP配合无线控制器的进行组网时,网络维护人员只需要在无线控制器上对业务属性和物理属性相似的AP建立配置模版,这样AP在启动时可以从无线控制器动态获取配置文件,AP侧可不做任何配置,只需上电即可正常工作,该特性极大方便了用户的使用,也降低了设备的维护成本。另外,由于AP本身不保存任何配置,万一设备丢失,也可以保证网络配置不被窃取,保证了网络的安全。AP支持启动后自动获取IP地址、自动获取无线控制器的工作列表并自动和无线控制器建立关联,真正做到了零配置,免维护,极大地减轻了网络管理人员在部署网络阶段的维护工作量。 支持集中管理 本项目中我们采用H 支持版本自动升级 H 支持丰富的认证方式 H 支持硬件加解密 H 支持密钥动态协商和更新 H 支持中国标准WAPI(无线局域网鉴别和保密基础结构) H l支持IPv6特性 H 支持EAD无线接入 端点准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。H3C WA2110-AG支持无线用户的EAD接入,通过与安全策略服务器的联动,可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理,只有无线客户端符合相应的安全策略之后才允许正常访问网络,从而提高了无线网络的整体安全性。 支持智能的负载均衡 H 支持用户隔离策略 H 高可靠性的业务设计 H H H XX电力系统无线网络安全拓朴图 系统采用高可靠的双星型拓扑结构设计,接点AP接入交换机S3600 核心交换机选择支持冗余引擎、冗余电源、支持热插拔的高端交换机产品,这些交换机均支持高密度的千兆、万兆接入,具有足够的性能和可靠性,非常适用核心环境使用。 |
|
|
|