局域网建设技术规范.doc

1.1.1.1.1.2Q/CSG云南电网公司企业管理制度Q/CSG118012-2011云南电网公司 发布云南电网公司局域网建设技术规范（征求意见稿）2012-XX-XX 实施2012-XX-XX 发布Q/CSG118012-2011前言为规范云南电网公司局域网建设工作，确保为各类信息系统应用提供高质量的网络通信基础平台，根据国家和电力行业有关规定，特制定本规范。本规范是云南电网公司本部及所属各供电局、分子公司等局域网建设工作的依据。本规范未包括的内容和指标要求，应按国家、电力行业有关规定的要求执行。当本规范与国家标准、电力行业标准及规范有矛盾时，应以国家标准、电力行业标准和规范为准。本规范由提出。本规范由归口管理。本规范由负责解释。本规范主要起草单位：。本规范协助起草单位：。本规范主要起草人：目 录1 适用范围12 规范性引用文件13 术语和定义14 符号和缩略语45 局域网覆盖范围及分类46局域网组网原则57 组网技术68 局域网建设技术标准68.1大型局域网建设技术标准68.1.1 组网结构68.1.2 网络带宽88.1.3 网络安全98.1.4 设备技术要求98.2 中型局域网建设技术标准108.2.1 组网结构108.2.2 网络带宽128.2.3 网络安全138.2.4 设备技术要求138.3 小型局域网建设技术标准148.3.1 组网结构148.3.2 网络带宽158.3.3 网络安全158.3.4 设备技术要求169 其他要求1610 附则17附表一 大、中、小型局域网建设对比表18附图一 各级局域网接入拓扑图18附图二 大型局域网组网结构图19附图三 中型局域网组网结构图20附图四 小型办公局域网和110kV及以下变电站组网结构图21附图五 220kV及以上变电站和重要营销网点组网结构图22Q/CSG118012-2011云南电网公司局域网建设技术规范1 适用范围本规范是云南电网公司局域网建设的规范性指导文件，适用于云南电网公司本部及所属各供电局、分子公司局域网建设工作。2 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡注明日期的引用文件，其后所有的修改单或修订版均不适用于本规范（不包括勘误、通知单），然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本规范。以太网交换机设备技术规范 YD/T 1099-2005数据通信名词术语 YD/T 1133-2001IP网络技术要求-网络总体 YD/T 1170-2001电力二次系统安全防护规定（国家电力监管委员会第5号令）2005-01-11电力企业计算机管理信息系统建设导则2003-04-20中国南方电网有限责任公司办公局域网建设规范云南电网综合网络建设技术规范3 术语和定义3.1 局域网：指在一个较小范围区域内的计算机网络，通常覆盖一个单位、一个部门、一幢楼内或一个园区。3.2 办公局域网：专指用于承载企业办公类和管理信息类应用的内部局域网。3.3 生产局域网：专指专用于承载各级变电站、营销网点、财务人员等生产经营类应用的内部局域网。3.4 地区综合数据网：指普通意义上的各地（州）市城域网络，实现本地（州）市/县城域范围内的用户和业务汇集（本地（州）市各局域网互联）。各地（州）市地区综合数据网通过省级综合数据网实现地（州）市间和省、地间的互联。 3.5 网络拓扑：指数据通信网络中各个节点相互连接的方式，主要有总线型、星型、环型。3.6 服务质量（QoS）：是度量网络系统性能的重要指标，反映数据传输以及对业务提供服务的质量。3.7 双联：指一台设备通过两条物理链路分别与另外两台设备进行互联。3.8 口字型:指四台设备进行互联时，每台设备仅与相邻的两台设备互联时形成的拓扑。本文中通常是指两台局域网接入层设备分别与局域网核心层或地区综合数据网汇聚层的两台设备互联，同时，局域网接入层及局域网核心层或地区综合数据网汇聚层的两台设备之间分别互联时形成的拓扑。3.9 倒三角：指三台设备两两互联形成的拓扑。本文中通常是局域网接入层单设备双联至局域网核心层或地区综合数据网汇聚层的两台设备时形成的拓扑。3.10 网络准入控制：是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助网络准入控制，客户可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。3.11 1+1冗余备份：在一个系统中，某些实现同一功能的部件配置两份，以确保在其中任一部件出现故障时，另外一个部件能够维持系统的正常运行。3.12 以太网: 指的是由Xerox公司创建并由Xerox、Intel和DEC公司联合开发的基带局域网规范，是当今现有局域网采用的最通用的通信协议标准。3.13 负载均衡: 将负载（工作任务）进行平衡、分摊到多个操作单元上进行执行，例如网络设备和服务器等，从而共同完成工作任务。3.14 MPLS VPN：采用MPLS技术在骨干的宽带IP网络上构建IP专网的技术。3.15 802.11a: IEEE 无线网络标准，指定最大 54Mbps 的数据传输速率和 5GHz 的工作频段。3.14 802.11b: IEEE 无线网络标准，指定最大 11Mbps 的数据传输速率和 2.4GHz 的工作频段。3.16 802.11g: IEEE 无线网络标准，指定最大 54Mbps 的数据传输速率和 2.4GHz 的工作频段。3.17 802.11n: IEEE 无线网络标准，指定最大 600Mbps 的数据传输速率和 2.4GHz或5GHz 的工作频段，802.11n向下兼容802.11a/b/g。3.18 IETF 5415 CAPWAP:标准的，可互操作的协议，该协议允许一个访问控制器能管理一系列无线终结点。3.19 802.11e: IEEE为满足服务质量(Qos)方面的要求而制订的WLAN标准。3.20 NetFlow：提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。3.21 Netstream：netstream提供报文统计功能，它根据报文的目的ip地址、目的端口号、源ip地址、源端口号、协议号和tos来区分流信息，并针对不同的流信息进行独立的数据统计。3.22 Sflow：sFlow 是由InMon、HP 和FoundryNetworks 于2001 年联合开发的一种网络监测技术，它采用数据流随机采样技术，可提供完整的第二层到第四层，甚至全网络范围内的流量信息，可以适应超大网络流量(如大于10Gbit/s)环境下的流量分析。3.23 Telnet：TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。3.24 SSH：SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组（Network Working Group）所制定；SSH 为建立在应用层和传输层基础上的安全协议。3.25 10GBase-SR：由IEEE 802.11ae制定，能够进行10Gbps通讯的规格之一。10GBASE-SR是7种10GbE规格中面向LAN(区域内通讯网的)的10GBASE-R系列之一。它使用多模式光纤,用波长850nm的光进行300m距离的通讯。3.26 10GBase-LR：由IEEE 802.11ae制定，能够进行10Gbps通讯的规格之一。10GBASE-LR是7种10GbE规格中面向LAN(区域内通讯网的)的10GBASE-R系列之一。它使用单模式光纤,用波长1310nm的光进行10km距离的通讯。3.27 WiFi：是由一个名为“无线以太网相容联盟”（Wireless Ethernet Compatibility Alliance, WECA）的组织所发布的业界术语，中文译为“无线相容认证”。它是一种短程无线传输技术，能够在数百英尺范围内支持互联网接入的无线电信号。3.28 瘦AP：学名为：集中式无线交换机。指需要无线控制器进行管理、调试和控制的AP。4 符号和缩略语Gbit/s：千兆比特每秒PPS：Packets Per Second 包每秒LAN：Local Area Nework 局域网VLAN：Virtual LAN虚拟局域网VPN：Virtual Private Network 虚拟专用网络MPLS：Multi-Protocol Label Switching多协议标签交换DHCP：Dynamic Host Configuration Protocol 动态主机设置协议HUB：集线器AP：Access Point 接入点MAC：Media Access Control MAC位址或硬件位址ARP：Address Resolution Protocol 地址解析协议ACL：Access Control List 访问控制列表AAA：Authentication，Authorization，Accounting 认证，授权，记帐VRRP：Virtual Router Redundancy Protocol 虚拟路由器冗余协议RSTP：Rapid Spanning Tree Protocol 快速生成树协议MSTP：Multiple Spanning Tree Protocol 多生成树协议PoE：Power over Ethernet 使用以太网传输电缆为设备供电的技术SNMP：Simple Network Management Protocol 简单网络管理协议Syslog：系统日志OSPF：Open Shortest Path First 开放式最短路径优先IPv4：Internet Protocol Version 4 互联网协议第四版IPv6：Internet Protocol Version 6 互联网协议第六版MD5：Message-Digest Algorithm 5 信息-摘要算法55 局域网覆盖范围及分类5.1 云南电网公司综合网络包含应用系统网络、外部互联网、综合数据网以及局域网。5.2 云南电网公司局域网从地理位置看，分为省公司局域网、地区局域网、县局域网。5.2.1 省公司局域网指云南电网公司本部局域网（含本部直属机构），为本部办公用户提供访问企业办公类、管理信息类业务的网络服务，属于办公局域网。5.2.2 地区局域网指云南电网公司地（州）市供电局及分子公司局域网，为供电局及分子公司用户提供访问企业办公类、管理信息类、生产经营类业务的网络服务。地区局域网包括办公局域网、生产局域网。5.2.3 县局域网指云南电网公司县级供电企业局域网，为县级供电企业用户提供访问企业办公类、管理信息类、生产经营类业务的网络服务。县局域网包括办公局域网、生产局域网。5.3 云南电网局域网从服务的业务对象看，分为办公局域网、生产局域网。5.4 局域网从组网规模和服务的用户数看，分为大型局域网、中型局域网和小型局域网。5.4.1 大型局域网指局域网服务的用户数（包含PC等使用IP资源的终端）大于200的局域网。5.4.2 中型局域网指局域网服务的用户数（包含PC等使用IP资源的终端）大于40小于200的局域网。5.4.3 小型局域网指局域网服务的用户数（包含PC等使用IP资源的终端）小于40的局域网。6局域网组网原则6.1 局域网根据用户规模按照大型局域网、中型局域网、小型局域网进行组网设计和建设。6.2 省公司局域网按照大型局域网设计，直接接入省级综合数据网。6.3 地区局域网根据用户规模，按照大型局域网、中型局域网、小型局域网设计和建设。其中办公局域网接入地区综合数据网办公局域网汇聚层，生产局域网接入地区综合数据网生产局域网汇聚层。6.4 县局域网根据用户规模，按照大型局域网、中型局域网、小型局域网设计和建设。县局域网统一接入地区综合数据网县局域网汇聚层。6.5 云南电网公司各级局域网为同一安全域，局域网和综合网络其他区域的边界防护由省级/地区综合数据网考虑，省级/地区综合数据网应确保不同安全级别用户的安全的访问控制，保证高安全级别用户的网络安全，同时不影响云南电网公司综合网络的整体传输性能。县局域网其中，县局域网可根据实际需要单独划分出一个安全域，以确保县局域网的安全事件不会影响到地区综合数据网的其它区域。6.6 综合数据网和局域网采用MPLS VPN技术实现不同用户端到端的安全隔离，确保从局域网用户到应用系统访问的端到端的安全隔离。6.7 各局域网接入拓扑参见附图一。7 组网技术7.1办公局域网须采用IP以太网技术组网，可采用的以太网物理组网技术有：有线以太网及无线以太网。7.2有线以太网组网可采用双绞线布线和光纤布线，双绞线布线包括五类双绞线（CAT-5）、超五类双绞线（CAT-5e）或六类双绞线(CAT-6)，光纤布线包括多模光纤(Multimode Fiber)或单模光纤(Singlemode Fiber)。7.3无线以太网组网可采用802.11a、802.11b、802.11g、802.11n等技术。7.4各级办公局域网网络拓扑须采用星型拓扑结构，所采用的网络拓扑须确保网络的安全性、可靠性、可用性和可扩展性。8 局域网建设技术标准8.1大型局域网建设技术标准8.1.1 组网结构8.1.1.1 大型局域网采用二层网络结构组网，即核心层和接入层，局域网总体呈现星型拓扑结构，体现扁平化的原则。8.1.1.2 大型局域网设计须满足模块化、区域化、层次化的要求，便于网络系统的运维和管理，并具备未来网络系统升级和扩容的条件。8.1.1.3 核心层采用双设备配置，双设备通过负载均衡方式实现局域网IP业务流的中心交换，核心层原则上不直接接入用户（PC）。8.1.1.4 核心层设备端口数量由接入层设备数量决定，同时考虑一定预留，除用于上连地区综合数据网的接口外，核心层单设备端口数量须为接入层设备总数的1.5倍。8.1.1.5 核心层设备放置于地区供电局、分（子）公司等信息机房。8.1.1.6 核心层以双链结构接入地区综合数据网办公局域网汇聚层，核心层设备和地区综合数据网办公局域网汇聚层设备构成口字形结构，采用三层动态路由互联方式，实现局域网业务的外部互联。在传输链路具备的条件下，局域网核心层设备对外互联的双链路应实现不同的地区传输网承载或不同管道的光纤承载。8.1.1.7 核心层以双链结构下联局域网接入层，汇聚多个接入层设备的局域网IP数据流，实现业务的本地交换和对外的传输。核心层设备和接入层设备构成多个倒三角形结构。8.1.1.8 大型局域网组网结构图参见附图二。8.1.1.9 接入层实现局域网本地用户的网络接入，接入层设备并不局限于某一栋楼宇，可在一定区域内分散配置。对于楼宇附近有多个小型办公地点的接入环境，小型办公地点可作为局域网的接入层，实现较大范围的本地用户接入。8.1.1.10 接入层设备应采用三层交换设备，以提供更多的功能，实现用户安全可靠接入。8.1.1.11 接入层设备应根据本地楼宇的综合布线情况进行配置。楼宇综合布线包含水平和垂直布线系统时，接入层设备放置于楼宇楼层配线间，根据各个楼层配线间的信息点和该配线间接入的定员用户数(PC)综合考虑确定接入层设备的数量和网络端口的数量，原则上楼层配线间的接入层设备的端口数须考虑一定预留，可按照实际接入的定员用户数的1.21.5倍进行配置。楼宇综合布线仅有水平布线系统时，接入层设备放置于楼宇总配线间，接入层设备的网络端口数量按照实际接入的定员用户数的1.21.5倍进行配置。8.1.1.12局域网网络接入用户（PC）普遍不具备双联的网络接入条件，因此接入层设备须为单设备配置。8.1.1.13 单个接入层设备以双链结构上联核心层，形成倒三角形结构。在不具备充足楼宇垂直光纤主干的情况下，同一楼层配线间如配置二台及以上的接入层设备，接入层设备可采用堆叠或级联方式组网，实现单个楼层配线间的多个接入层设备以双链结构上联核心层。8.1.1.14 接入层设备以有线方式接入局域网用户(PC)，对于有线网络接入用户来说，局域网接入层须是最末端的接入网络，有线办公用户（PC）须直接接入局域网接入层，而不经过其他IP网络设备（如HUB等）。8.1.1.15 大型局域网须实现楼宇的全面无线覆盖，特别是对于会议室等办公区域，须能保证大量用户的无线网络接入。8.1.1.16 无线网络须采用瘦AP方式组网，通过AP的部署，实现局域网的无线接入。无线AP单链路上联局域网接入层设备，宜选择使用802.3at/802.3az技术支持PoE供电的接入层设备接入无线AP。8.1.1.17 无线网络须部署无线控制器实现对所有AP的统一配置和管理。8.1.2 网络带宽8.1.2.1 大型局域网特别是地区供电局主要办公大楼局域网，须满足万兆骨干、千兆桌面的网络接入能力，以作为本地接入网络，全面满足云南电网信息化应用要求。8.1.2.2 局域网核心层通过万兆带宽对外互联地区综合数据网，接口为10GBase-SR（多模短距）或10GBase-LR（单模长距），多模光纤须采用50m纤芯直径。8.1.2.3 局域网核心层以万兆带宽下联接入层，接口为10GBase-SR（多模短距）或10GBase-LR（单模长距），多模光纤须采用50m纤芯直径。8.1.2.4 局域网接入层以万兆带宽上联核心层，接口为10GBase-SR（多模短距）或10GBase-LR（单模长距），多模光纤须采用50m纤芯直径。8.1.2.5 无线AP以千兆带宽接入局域网接入层，接口为1000Base-T。8.1.2.6 局域网接入层如采用堆叠或级联方式组网，堆叠或级联带宽须不低于万兆。8.1.2.7局域网用户(PC)以千兆带宽接入局域网接入层，接口为100 Base-T /1000Base-T自适应接口。8.1.2.8局域网内互联链路高峰期间带宽利用率超过物理带宽50%时，须考虑网络优化或带宽扩容。8.1.2.9 局域网关键设备在无异常流量的情况下，主处理器连续1小时负载超过设备总处理能力50%时，须考虑设备升级。8.1.3 网络安全8.1.3.1 局域网采用VLAN技术实现局域网用户的逻辑隔离，须根据单位部门进行VLAN的设计。核心层终结VLAN并实现跨VLAN的转发，接入层划分用户VLAN并支持跨接入层设备的VLAN。8.1.3.2 局域网宜采用动态地址分配方式，核心层设备可为DHCP服务器。在动态地址分配方式下，局域网应实现VLAN、IP地址、MAC地址、接入层网络接入端口的动态绑定，不在绑定表的IP地址不能接入网络，以防止IP中间人攻击或IP欺骗行为。8.1.3.3 局域网须具备ARP欺骗防护能力，一旦发现用户的ARP欺骗行为，须能实时阻断。8.1.3.4 局域网核心层须采用OSPF协议和地区综合数据网互联，OSPF协议互联须采用MD5加密认证技术。8.1.3.5 局域网核心层和接入层须具备三层ACL能力，须能实现VLAN间、VLAN内的ACL控制。8.1.3.6 局域网核心层、接入层设备及无线AP须具备AAA功能。8.1.3.7 无线AP的认证及加密要求。无线AP须支持WPA和WPA2认证方式以及TKIP和AES加密方式。8.1.3.8 如局域网部署本地的网络准入控制，控制器须串联接入地区综合数据网核心层和省级综合数据网接入层设备之间，确保网络的准入控制不影响局域网的性能。8.1.4 设备技术要求8.1.4.1 局域网核心层设备须具备虚拟化功能，支持跨机箱的链路绑定，实现核心层双机的整体负载均衡和冗余备份。8.1.4.2 局域网核心层设备须能实现不间断业务在线软件升级（ISSU）,同时支持非中断路由（NSR）。8.1.4.3 局域网核心层设备具备万兆交换能力，单个万兆端口满足12MPPS的线速转发能力，并确保单万兆插槽板内、板外的每端口万兆的全线速转发。8.1.4.4 局域网核心层设备主控板、电源板须具备1+1冗余备份，关键接口板（如万兆接口板）须满足N-1的运行要求。8.1.4.5接入层设备整机须具备万兆交换能力，单个万兆端口满足12MPPS的线速转发能力，单个千兆端口满足1.2MPPS的线速转发能力。8.1.4.6用于接入无线AP的接入层设备，宜选择使用802.3at/802.3az技术支持PoE供电的设备。8.1.4.7无线AP须支持2.4GHz或5GHz工作模式，在2.4GHz频段工作模式下，支持802.11b/g/n协议；在5GHz频段工作模式下，支持802.11a/n协议。无线AP须支持IETF 5415 CAPWAP协议，支持对非法AP的屏蔽，支持数据加/解密，具备国家无线电委员会入网核准证，并通过WiFi组织企业级瘦无线产品认证。8.1.4.8 无线控制器须支持冗余电源，须支持802.11e无线QoS，无线控制器至少可管理100个AP，无线控制器的明文和密文数据吞吐量均至少达到8G(必须支持将数据加解密分布在AP上来完成，而不是采用控制器来进行数据加解密)。8.1.4.9 局域网核心层和接入层设备均须支持SNMP、Syslog、NetFlow、Netstream、Sflow、Telnet、SSH等网管协议，支持主动（轮询）和被动（SNMP Trap、syslog）两种告警采集方式。8.2 中型局域网建设技术标准8.2.1 组网结构8.2.1.1 中型局域网采用二层网络结构组网，即核心层和接入层，局域网总体呈现星型拓扑结构，体现扁平化的原则。8.2.1.2 中型局域网设计须满足模块化、区域化、层次化的要求，便于网络系统的运维和管理，并具备未来网络系统升级和扩容的条件。8.2.1.3 核心层采用单设备配置，须实现主控板和电源模块的1+1配置，提高网络系统的可靠性。核心层设备实现局域网业务流的中心交换，原则上不直接接入用户（PC）。8.2.1.4 核心层设备端口数量由接入层设备数量决定，同时考虑一定预留，除用于外部接入地区综合数据网的接口外，核心层单设备端口数量须为接入层设备总数的1.5倍。8.2.1.5 核心层设备放置于地区供电局、分（子）公司等专用机房。8.2.1.6 核心层以双链结构接入地区综合数据网办公局域网汇聚层，核心层设备和地区综合数据网办公局域网汇聚层设备构成“倒三角”形结构，采用三层动态路由互联方式，实现局域网业务的外部互联。在传输链路具备的条件下，局域网核心层设备对外互联的双链路应实现不同的地区传输网承载或不同管道的光纤承载。8.2.1.7 中型局域网组网结构图参见附图三。8.2.1.8 核心层以单链路下联局域网接入层，以星型结构汇聚多个接入层设备的局域网IP数据流，实现业务的本地交换和对外的传输。8.2.1.9 接入层实现局域网本地用户的网络接入，接入层设备并不局限于某一栋楼宇，可在一定区域内分散配置。对于楼宇附近有多个小型办公地点的接入环境，小型办公地点可作为局域网的接入层，实现较大范围的本地用户接入。8.2.1.10 接入层设备须采用三层交换设备，以提供更多的功能实现用户安全可靠的接入。8.2.1.11 接入层设备须根据本地楼宇的综合布线情况进行配置。楼宇综合布线包含水平和垂直布线系统时，接入层设备放置于楼宇楼层配线间，根据各个楼层配线间的信息点和该配线间接入的定员用户数(PC)综合考虑确定接入层设备的数量和网络端口的数量，楼层配线间的接入层设备的端口数须考虑一定预留，可按照实际接入的定员用户数的1.21.5倍进行配置。楼宇综合布线仅有水平布线系统时，接入层设备放置于楼宇总配线间，接入层设备的网络端口数量按照实际接入的定员用户数的1.21.5倍进行配置。8.2.1.12局域网网络接入用户（PC）普遍不具备双联的网络接入条件，因此接入层设备须为单设备配置。8.2.1.13 单个接入层设备以单链路上联核心层。在不具备充足楼宇垂直光纤主干的情况下，同一楼层配线间如配置二台及以上的接入层设备，接入层设备可采用堆叠或级联方式组网，实现单个楼层配线间的多个接入层设备通过一对光纤上联核心层。8.2.1.14 接入层设备以有线方式接入局域网用户(PC)，对于有线网络接入用户来说，局域网接入层须是最末端的接入网络，有线办公用户（PC）须直接接入局域网接入层，而不经过其他IP网络设备（如HUB等）。8.2.1.15 中型局域网须根据实际情况实现楼宇全面或部分主要办公区域的无线覆盖，对于会议室等办公区域，应能保证大量用户的无线网络接入。8.2.1.16无线网络须采用瘦AP方式组网，通过AP的部署，实现局域网的无线接入。无线AP单链路上联局域网接入层设备，宜选择使用802.3at/802.3az技术支持PoE供电的接入层设备接入无线AP。8.2.1.17 无线网络须部署无线控制器实现对所有AP的统一配置和管理。8.2.2 网络带宽8.2.2.1 中型局域网须满足千兆骨干、千兆桌面的网络接入能力，提供高速的本地网络接入。8.2.2.2 局域网核心层通过千兆带宽对外互联地区综合数据网，接口为1000BASE-SX或1000BASE-LX。8.2.2.3 局域网核心层以千兆带宽下联接入层，接口为1000BASE-SX或1000BASE-LX。8.2.2.4无线AP以千兆带宽接入局域网接入层，接口为1000Base-T。8.2.2.5 局域网接入层如采用堆叠或级联方式组网，堆叠或级联带宽须不低于千兆。8.2.2.6局域网用户(PC)以千兆带宽接入局域网接入层，接口为100 Base-T /1000Base-T自适应接口。8.2.2.7局域网内互联链路高峰期间带宽利用率超过物理带宽50%时，须考虑网络优化或带宽扩容。8.2.2.8 局域网关键设备在无异常流量的情况下，主处理器连续1小时负载超过设备总处理能力50%时，须考虑设备升级或更换。8.2.3 网络安全8.2.3.1 局域网采用VLAN技术实现局域网用户的逻辑隔离，须根据单位部门进行VLAN的设计。核心层终结VLAN并实现跨VLAN的转发，接入层划分用户VLAN并支持跨接入层设备的VLAN。8.2.3.2 局域网宜采用动态地址分配方式，核心层设备可为DHCP服务器。在动态地址分配方式下，局域网须实现VLAN、IP地址、MAC地址、接入层网络接入端口的动态绑定，不在绑定表的IP地址不能接入网络，防止IP中间人攻击或IP欺骗行为。8.2.3.3 局域网须具备ARP欺骗防护能力，一旦发现用户的ARP欺骗行为，须能实时阻断。8.2.3.4 局域网核心层须采用OSPF协议和地区综合数据网互联，OSPF协议互联须采用MD5加密认证技术。8.2.3.5 局域网核心层和接入层须具备三层ACL能力，须能实现VLAN间、VLAN内的ACL控制。8.2.3.6 局域网核心层、接入层设备及无线AP须具备AAA功能。8.2.3.7 无线AP的认证及加密要求。无线AP须支持WPA和WPA2认证方式以及TKIP和AES加密方式。8.2.3.8 如局域网部署本地的网络准入控制，控制器须串联接入地区综合数据网核心层和省级综合数据网接入层设备之间，确保网络的准入控制不影响局域网的性能。8.2.4 设备技术要求8.2.4.1 局域网核心层设备须能实现不间断业务在线软件升级（ISSU）,同时支持非中断路由（NSR）。8.2.4.2局域网核心层设备须至少支持2个万兆接口，可升级为万兆平台，并满足单个千兆端口具备1.2MPPS的线速转发能力，核心层设备支持VRRP等协议，局域网整体支持RSTP/MSTP协议，便于未来局域网的升级和扩容。8.2.4.3 局域网核心层设备主控板、电源板须具备1+1冗余备份。8.2.4.4接入层设备须满足单个千兆端口1.2MPPS的线速转发能力。8.2.4.5用于接入无线AP的接入层设备，宜选择使用802.3at/802.3az技术支持PoE供电的设备。8.2.4.6无线AP须支持双频2.4GHz/5GHz工作模式，在2.4GHz频段工作模式下，支持802.11b/g/n协议；在5GHz频段工作模式下，支持802.11a/n协议。无线AP须支持IETF 5415 CAPWAP协议，支持对非法AP的屏蔽，支持数据加/解密，具备国家无线电委员会入网核准证，并通过WiFi组织企业级瘦无线产品认证。8.2.4.7 无线控制器须支持冗余电源，须支持802.11e无线QoS，无线控制器至少可管理100个AP，无线控制器的明文和密文数据吞吐量均至少达到8G(必须支持将数据加解密分布在AP上来完成，而不是采用控制器来进行数据加解密)。8.2.4.8 局域网核心层和接入层设备均须支持SNMP、Syslog、NetFlow、Netstream、Sflow、Telnet、SSH等网管协议，支持主动（轮询）和被动（SNMP Trap、syslog）两种告警采集方式。8.3 小型局域网建设技术标准8.3.1 组网结构8.3.1.1 局域网采用单层网络结构组网，因小型局域网接入用户数量较少，一个小型办公局域网配置一台设备，实现用户的接入及外部互联。8.3.1.2 对于小型生产局域网，220kV及以上变电站及重要营销网点须实现局域网设备的1+1配置，以满足网络高可靠性的要求。110kV及以下变电站采用单设备配置。8.3.1.3 小型办公局域网和110kV及以下变电站组网结构图参见附图四。8.3.1.4 220kV及以上变电站和重要营销网点拓扑图结构图参见附图五。8.3.1.5 220kV及以上变电站和重要营销网点的生产局域网设备1+1配置采用热备方式接入网络，双设备以双链结构接入地区综合数据网生产局域网汇聚层，设备和地区综合数据网生产局域网汇聚层设备构成口字形结构，实现局域网业务的外部互联。在传输链路具备的条件下，生产局域网对外互联的双链路应实现不同的地区传输网承载或不同管道的光纤承载。8.3.1.6采用单设备配置的局域网，以双链路互联地区综合数据网办公/生产局域网汇聚层。8.3.1.7 小型局域网设备采用三层交换设备，本地终结用户VLAN，并以三层路由方式互联地区综合数据网。8.3.1.8 局域网用户直接接入小型局域网设备，接入端口数量须考虑一定预留，可按照实际接入的定员用户（PC）数量的1.21.5倍进行配置。8.3.1.9 局域网设备在具备条件的情况下应安装在机房内，在变电站应优先放置于通信机房。8.3.2 网络带宽8.3.2.1 小型办公局域网应实现千兆桌面的网络接入能力，接口为100 Base-T /1000Base-T自适应接口。根据接入用户数，可以千兆或百兆的带宽接入地区综合数据网办公/生产局域网汇聚层。8.3.2.2 小型生产局域网应尽可能实现更高的带宽接入地区综合数据网生产局域网汇聚层，每变电站/营业网点互联带宽须不低于20Mbps。8.3.2.3 小型生产局域网满足百兆桌面的网络接入能力，接口为100base-T。8.3.3 网络安全8.3.3.1 局域网采用VLAN技术实现局域网用户的逻辑隔离，须根据单位部门或业务类型进行VLAN的设计。8.3.3.2 小型办公局域网宜采用动态地址分配方式，局域网设备可为DHCP服务器。在动态地址分配方式下，局域网须实现VLAN、ip地址、MAC地址、接入层网络接入端口的动态绑定，不在绑定表的IP地址不能接入网络，防止IP中间人攻击或IP欺骗行为。8.3.3.3 小型生产局域网可采用动态地址或静态地址分配方式，在动态地址分配方式下，局域网设备可为DHCP服务器。