XX烟厂信息化解决方案技术建议书

1、XX烟厂信信息化解决决方案技术术建议书杭州华三通通信技术有有限公司2008.06目 录TOC o 1-4 h z u HYPERLINK l _Toc202618729 1.烟厂厂数字化园园区信息化化需求 PAGEREF _Toc202618729 h 3 HYPERLINK l _Toc202618730 2.H33C ITToIP烟烟厂数字化化园区信息息化解决方方案架构 PAGEREF _Toc202618730 h 4 HYPERLINK l _Toc202618731 3.XXXX烟厂园园区统一高高效IP网络解解决方案 PAGEREF _Toc202618731 h 5 HYPERLI

2、NK l _Toc202618732 3.1.IP网络方方案设计原原则 PAGEREF _Toc202618732 h 5 HYPERLINK l _Toc202618733 3.2.XX烟厂园园区网络建建设目标和和整体规划划： PAGEREF _Toc202618733 h 7 HYPERLINK l _Toc202618734 3.2.11.建设目标标 PAGEREF _Toc202618734 h 7 HYPERLINK l _Toc202618735 3.2.22.整体规划划 PAGEREF _Toc202618735 h 7 HYPERLINK l _Toc202618736 3.3

3、.XX烟厂园园区网络详详细设计 PAGEREF _Toc202618736 h 9 HYPERLINK l _Toc202618737 3.2.33.局域网详详细设计 PAGEREF _Toc202618737 h 9 HYPERLINK l _Toc202618738 3.2.44.虚拟园区区网设计 PAGEREF _Toc202618738 h 10 HYPERLINK l _Toc202618739 3.2.55.IP地址规规划设计 PAGEREF _Toc202618739 h 13 HYPERLINK l _Toc202618740 3.2.66.QoS规划划设计 PAGEREF _

4、Toc202618740 h 14 HYPERLINK l _Toc202618741 3.4.XX烟厂园园区网无线线网络设计计 PAGEREF _Toc202618741 h 16 HYPERLINK l _Toc202618742 3.2.77.方案逻辑辑组网图 PAGEREF _Toc202618742 h 16 HYPERLINK l _Toc202618743 3.2.88.认证方式式及认证点点选择 PAGEREF _Toc202618743 h 17 HYPERLINK l _Toc202618744 3.2.99.整网安全全 PAGEREF _Toc202618744 h 18

5、HYPERLINK l _Toc202618745 3.2.110.频率规划划与负载均均衡 PAGEREF _Toc202618745 h 19 HYPERLINK l _Toc202618746 3.2.111.网络管理理 PAGEREF _Toc202618746 h 19 HYPERLINK l _Toc202618747 3.2.112.供电问题题 PAGEREF _Toc202618747 h 21 HYPERLINK l _Toc202618748 3.2.113.无线覆盖盖解决方案案 PAGEREF _Toc202618748 h 21 HYPERLINK l _Toc20261

6、187499 4.XX烟厂园园区数据中中心存储解解决方案 PAGEREF _Toc202618749 h 22 HYPERLINK l _Toc202618750 4.1.CDP（持持续数据保保护）方案案 PAGEREF _Toc202618750 h 23 HYPERLINK l _Toc202618751 5.XXX烟厂全局局安全规划划方案 PAGEREF _Toc202618751 h 25 HYPERLINK l _Toc20261187522 5.1.烟草工业业园区网络络安全现状状 PAGEREF _Toc202618752 h 25 HYPERLINK l _Toc20261875

7、3 5.2.全局安全全概述 PAGEREF _Toc202618753 h 25 HYPERLINK l _Toc202618754 5.3.EAD方案案 PAGEREF _Toc202618754 h 26 HYPERLINK l _Toc202618755 5.4.数据中心心安全 PAGEREF _Toc202618755 h 27 HYPERLINK l _Toc202618756 5.5.安全评估估 PAGEREF _Toc202618756 h 30 HYPERLINK l _Toc202618757 5.6.全网安全全方案特点点 PAGEREF _Toc202618757 h 32

8、 HYPERLINK l _Toc202618758 6.XXX烟厂IP智能监监控解决方方案 PAGEREF _Toc202618758 h 32 HYPERLINK l _Toc202618759 6.1.烟草工业业企业园区区的监控需需求 PAGEREF _Toc202618759 h 32 HYPERLINK l _Toc202618760 6.2.H3C IP智能能监控解决决方案概述述 PAGEREF _Toc202618760 h 34 HYPERLINK l _Toc202618761 6.3.H3C IP智能能监控解决决方案特点点 PAGEREF _Toc202618761 h 3

9、6 HYPERLINK l _Toc202618762 7.XXXX烟厂综综合信息管管理解决方方案 PAGEREF _Toc202618762 h 38 HYPERLINK l _Toc202618763 7.1.基础资源源管理 PAGEREF _Toc202618763 h 39 HYPERLINK l _Toc202618764 7.2.身份与接接入管理 PAGEREF _Toc202618764 h 39 HYPERLINK l _Toc202618765 7.3.端点安全全准入管理理 PAGEREF _Toc202618765 h 40 HYPERLINK l _Toc20261876

10、6 7.4.VPN管理理 PAGEREF _Toc202618766 h 40 HYPERLINK l _Toc202618767 7.5.网络智能能分析 PAGEREF _Toc202618767 h 40烟厂数字化化园区信息息化需求我国是世界界上第一烟烟草大国，现现阶段常年年吸烟人口口达3.11亿之多，年年卷烟消费费量约177000亿亿支，卷烟烟制造行业业是关系到到人民日常常生活的重重要消费品品制造行业业。随着建设现现代化烟草草企业的序序幕展开，信信息化技术术的应用和和改革对卷卷烟工业企企业的推动动启到至关关重要的作作用。卷烟工业企企业信息化化是指广泛泛利用电子子信息技术术，使企业业的生产

11、、管理实现现自动化。当前，我我国卷烟工工业企业信信息化建设设已初具规规模，由单单机应用、局部系统统应用发展展到了网络络化、集成成化、数字字化和智能能化，管理理信息系统统在行业经经济发展中中已发挥了了重要作用用。 卷烟工业企企业信息化化建设主要要包括两大大部分：一一部分是设设计、生产产过程的信信息化，实实际上是生生产过程的的自动化，属属于工业控控制范畴。用自动化化生产、测测量、显示示、控制等等工具，通通过控制信信息达到生生产的自动动化。另一一部分是管管理的信息息化，就是是建立管理理信息系统统(MISS)、办公公自动化系系统(OAA)以及决决策支持系系统(DSSS)等。卷烟工业业企业信息息化建设在

12、在工控方面面将向计算算机集成制制造系统(CIMSS)方向发发展；在管管理方面将将向数字化化、智能化化发展。在在企业内部部将建立起起全面的数数据分析、决策支持持系统，在在企业外部部将建立完完善的电子子商务(EEC)环境境，通过建建立供应链链管理(SSCM)系系统、客户户关系管理理(CRMM)系统，提提高整个企企业的市场场竞争能力力。国家烟草专专卖局在数字烟草草发展纲要要中提出出了“统一一平台、统统一数据库库、统一网网络”的信信息化建设设纲要。统一网络络是指通过过建设一个个整体的行行业专网把把总公司到到各个省公公司以及省省工业公司司（省烟草草公司和各各个省的工工业公司）通通过行业专专网全部连连接起

13、来，形形成一个统统一的行业业大网。统统一平台和和统一数据据库则更有有益于实现现信息资源源共享。纲纲要的宗旨旨是将信息息化贯穿烟烟草行业生生产经营管管理的各个个环节、各各个流程，以以及将复杂杂多变的烟烟草信息转转变为可以以量化的数数据，通过过数字分析析，为各企企业乃至整整个产业的的发展提供供决策依据据。结合XX烟烟厂生产业业务系统、办公管理理业务系统统、本地局局域网和广广域网规划划需求，数数据存储需需求，网络络安全性需需求，监控控需求，管管理需求，HH3C提出出一体化数数字化烟厂厂园区解决决方案。H3C IIToIPP烟厂数字化化园区信息息化解决方方案架构烟厂数字化化园区内部部各个业务务系统是在

14、在不同的年年代建设的的，其包括括了各种各各样的标准准和协议，如如何对它们们进行高效效的整合，实实现信息资资源的共享享，是一个个难题。众众所周知，TTCP/IP是迄迄今为止应应用最广泛泛、最成熟熟、最为开开放、标准准化程度最最高的技术术体系，具具有简单、开放、灵灵活扩展、管理和互互操作等一一系列优势势，已经成成为当今互互联网、电电信网、政政务网、企企业网的主主要承载技技术。IPP协议弹性性强，能更更好地适应应IT网络络的各种变变化。例如如在存储技技术领域，传传统的FCC技术存在在兼容性和和扩展性等等方面的问问题，基于于IP的存存储能够更更好地实现现平台兼容容性及业务务扩展性，并并可实现更更灵活的

15、数数据服务定定制。基于于这样的潮潮流，H33C推出了了IT OOn IPP(简称IIToIPP)的烟厂厂数字化园园区信息化化基础平台台建设理念念及整体解解决方案。IToIPP并不是各各种产品的的简单堆积，而是是一种完全全基于IPP的融合IT解解决方案。在整个信息的的生命周期期中，信息息的产生、存储、传传送、处理理都是通过过IP的方式进行，中间间不用任何何的转化，这样就能够够对整个IIT系统更更好地管理理，提升效效率。通过过对烟厂数数字化园区区需求的深深入理解，HH3C利用用先进实用用数据通讯讯技术与产产品，提出出了烟厂园园区信息化化解决方案案。烟厂数字化化园区解决决方案模型型图： XXX烟厂厂

16、园区统一一高效IPP网络解决决方案IP网络方方案设计原原则IP网络是是整个烟厂厂信息化的的基础承载载体，因此此，建设统统一可靠高高效IP网网络非常重重要，整个个基础网络络设计遵循循如下原则则：链路冗余 在主干连接接(主干设设备之间及及其与汇接接设备之间间的连接)具备可靠靠的线路冗冗余方式。建议采用用负载均衡衡的冗余方方式，即通通常情况下下两条连接接均提供数数据传输，并并互为备份份。主线路路可实时、自动的切切换到备份份线路,而而不影响业业务应用。模块冗余 核心层设备备和汇聚层层设备的所所有模块和和环境部件件应具备11+1或11：N热备备份的功能能，核心层层交换设备备主备切换换时间小于于1秒。所有

17、有模块具备备热插拔的的功能。系系统具备999.9999%以上上的可用性性。设备冗余 核心交换机机采用两台台或两台以以上设备组组成，当其其中一个设设备因故障障停止工作作时，另一一台设备自自动接替其其工作，并并且不引起起其他节点点的路由表表重新计算算，从而提提高网络的的稳定性，切切换时间大大于3秒。拥塞控制与与服务质量量保障拥塞控制和和服务质量量保障(QQoS)是是公众服务务网的重要要品质。由由于接入方方式、接入入速率、应应用方式、数据性质质的丰富多多样，网络络的数据流流量突发是是不可避免免的，因此此，网络对对拥塞的控控制和对不不同性质数数据流的不不同处理是是十分重要要的。网络支持标标准Difff

18、Serrv QooS机制。网络设备应应支持68种业务务分类(CCOS)。当用户终终端不提供供业务分类类信息时，网网络设备应应根据用户户所在网段段、应用类类型、流量量大小等自自动对业务务进行分类类。接入本网络络的业务应应遵守其接接入速率承承诺。超过过承诺速率率的数据将将被丢弃或或标以最低低的优先级级。当网络出现现真正的拥拥塞时，瞬瞬间大量的的丢包会引引起大量TTCP数据据同时重发发，加剧网网络拥塞的的程度并引引起网络的的不稳定。网络设备备应具备先先进的技术术，在网路路出现拥塞塞前就自动动采取适当当的措施，进进行先期拥拥塞控制，避避免瞬间大大量的丢包包现象。网络的扩展展能力网络的扩展展能力包括括设

19、备交换换容量的扩扩展能力、端口密度度的扩展能能力、主干干带宽的扩扩展，以及及网络规模模的扩展能能力。交换容量扩扩展 ：交换容量量应具备在在现有基础础上继续扩扩充122倍容量的的能力，以以适应IPP类业务急急速膨胀的的现实。端口密度扩扩展 ：设备的端端口密度应应能满足网网络扩容时时设备间互互联的需要要。主干带宽扩扩展 ：主干带宽宽应具备224倍甚甚至更高的的带宽扩展展能力，以以适应IPP类业务急急速膨胀的的现实。网络规模扩扩展 ：网络体系系、路由协协议的规划划和设备的的CPU/NP路由由处理能力力，在核心心网络设备能适应将来来达到2倍以上的规模模扩展要求求。网络通信协协议：以TCPP/IP协协议

20、为主，设设备商应提提供服务营营运级别的的网络通信信软件和网网际通用操操作系统，路路由协议支支持成熟标标准并且广广泛应用的的OSPFF路由协议议。XX烟厂园园区网络建建设目标和和整体规划划：建设目标烟厂数字化化园区统一一高效IPP承载网的的建设目标标：网络统一规规划，分层层分域，采采用层次化化的建设模模型和分区区域的模块块化结构，层层次清晰，既既有效隔离离，又互相相连通； 带宽充分，保保证各种新新兴业务，如如视频监控控、视频会会议等的高高速传输。高可用性，承承载实时生生产业务和和视频监控控；烟厂数字化化园区集中中统一数据据存储建设设目标：可靠数据大大集中存储储、本地实实时备份及及远程容灾灾，生产

21、、办公和监监控数据不不丢失。烟厂数字化化园区一体体化安全建建设目标：端到端信息息系统安全全，网络边边缘和内部部终端安全全；烟厂数字化化园区融合合通信建设设目标：实现视频、监控、语语音有机融融合；烟厂数字化化园区一体体化管理建建设目标：对网络、安安全、存储储和用户进进行统一管管理维护,达到可管管理、易管管理。总之，烟厂厂数字化园园区信息化化目标包括括：以统一一高效IPP网络和数数据为基础础，以全面面深入信息息系统安全全、智能安安防和统一一智能管理理为保证，支支撑起烟厂厂数字化园园区整合化化的应用系系统，从而而为烟厂数数字化园区区提供一个个可靠高效效的信息化化平台。 整体规划划根据XX卷卷烟厂网络

22、络建设的目目标和业务务需求，在在充分分析析XX卷烟厂厂业务需求求的基础上上，构建XXX烟厂数字化化园区网络络，XX烟厂网网络是整个个XX卷烟厂厂的应用的的基础网，应应能满足XXX卷烟厂厂多业务、高带宽应应用的需求求，因此网网络将建成成一个承载载多种业务务台。网络络的整体规规划如下：在烟厂园区区网络整体体设计中，采采用层次化化、模块化化的网络设设计结构，并并严格定义义各层功能能模型，不不同层次关关注不同的的特性配置置。典型的的烟厂园区区网络结构构可以分成成三层：接接入层、汇汇聚层、核核心层。1) 接入入层：提供供网络的第第一级接入入功能，完完成简单的的二、三层层交换，安安全、Qoos和POE功能

23、能都位于这这一层。根根据以上要要求，对于于企业园区区网的接入入层设备，建建议采用千千兆接入的的方式，应应该具有线线速三层交交换、IRRF智能弹弹性堆叠技技术以及高高级QoSS策略等功功能。2) 汇聚聚层：汇聚聚来自配线线间的流量量和执行策策略，当路路由协议应应用于这一一层时，具具有负载均均衡、快速速收敛和易易于扩展等等特点，这这一层还可可作为接入入设备的第第一跳网关关；对于企企业园区网网的汇聚层层设备，应应该能够承承载企业园园区的多种种融合业务务，如MPPLS、IIPv6、网络安全全、无线、无源光网网络等，并并提供不间间断转发、优雅重启启、环网保保护等多种种高可靠技技术，满足足企业园区区融合业

24、务务的需求。3) 核心心层：网络络的骨干，必必须能够提提供高速数数据交换和和路由快速速收敛，要要求具有较较高的可靠靠性、稳定定性和易扩扩展性等。对于企业业园区网核核心层，必必须提供高高性能、高高可靠的网网络结构，推推荐采用高高可靠的RRPR环网网结构或多多设备冗余余的星型结结构。这样样可以实现现10mss的故障检检测时间以以及50mms的业务务倒换时间间，可以做做到故障切切换时完全全不影响正正在进行的的音频业务务，完全满满足电信级级可靠性的的要求。XX烟厂园园区网络详详细设计局域网详细细设计XX烟厂数数字化园区区建议采用用常用的二二层接入、三层核心心交换组网网模型。通通过VLAAN隔离区区域用

25、户，同同一VLAAN内用户户可方便互互访。同时时在核心层层配置安全全规则对内内部网络各各子网间的的路由实现现策略控制制，接入层层启用8002.1xx和防ARRP欺骗等等安全特性性为用户提提供保护。网络接入层层到核心层层间配置SSTP协议议，核心层层和广域网网部分配置置三层OSSPF路由由协议，OOSPF路路由协议和和白沙物流流数据中心心采用相同同的OSPPF idd，并将整整个科研数数据中心设设置为Arrea 00。建议汇聚层层交换机采采用H3CC S75506E，汇汇聚设备110GE双双上行与核核心层H33C S99512相相连，提供供链路冗余余，核心层层设备通过过VRRPP协议进行行网关备

26、份份。在这个网络络中，通过过合理规划划VRRPP grooup mmasteer、生成成树实例和和生成树实实例与VLLAN映射射的关系，可可提高网络络链路利用用率和可靠靠性。在分分布层配置置多个VRRRP组，组组mastter和bbackuup角色均均匀分布在在两台核心心路由交换换机上，使使两台网关关设备同时时完成备份份和负载分分担功能；通过多生生成树实例例规划，使使接入设备备不同VLLAN业务务负载分担担在两条上上行链路，并并且到达的的汇聚设备备为第一跳跳网关maasterr；实例rroot与与生成树实实例映射VVLAN的的三层网关关mastter在同同一台汇聚聚设备上，使使STP协协议能够

27、通通过计算合合理阻塞链链路，并且且缩小链路路故障引起起的网络震震荡范围；若接入设设备上有VVLAN重重叠，汇聚聚设备设置置为二层TTRUNKK链路。一一些安全特特性的配合合使用，更更能增强网网络的健壮壮性：在网网络边缘直直接与用户户相连的端端口可以配配置边缘端端口和BPPDU保护护，防止从从这些端口口接收到BBPDU报报文引起网网络拓扑变变化；在汇汇聚网关上上配置TCC保护和根根保护特性性，防止攻攻击造成拓拓扑频繁变变化。主要HA性性能参数网络故障收敛性能接入层设备备主备倒换换（S75506E）50毫秒接入层-核核心层链路路故障/恢恢复1秒核心层设备备主备倒换换50毫秒核心层设备备故障1秒链路

28、单通故故障2秒虚拟园区网网设计一个烟厂企企业园区，需需要生产平平台、管理理运营、销销售、安保保监控等业业务隔离。隔离的手手段可以是是物理隔离离，也可以以是逻辑隔隔离。相对对于物理隔隔离，逻辑辑隔离（网网络虚拟化化）具有无无需重复建建设、能提提供统一的的安全、管管理、HAA策略等优优点，并且且能够更好好地提供面面向应用的的服务。一般烟厂园园区网虚拟拟化的需求求主要如下下：横向不同部部门/分类类间业务的的隔离，提提高涉密业业务的安全全性，同时时提供访问问控制策略略，满足不不同部门间间业务互访访的要求为园区内各各部门提供供统一的IInterrnet出出口，供内内部用户访访问Intterneet和为外

29、外部公众提提供应用服服务，进行行集中控制制管理提供广域网网接口，实实现相同部部门/种类类业务的纵纵向互通数据中心资资源逻辑上上分三部分分：部门内内部数据区区、共享数数据区和对对外服务数数据区，分分别为独立立部门内部部、业务交交互部门和和外部公众众提供服务务为重要业务务提供端到到端的Qoos保证为了满足烟烟厂园区网网虚拟化的的需求，HH3C公司司提出了EEADMMPLS VPN的的解决方案案，可以实实现与企业业各部门工工作流相适适应的、从从客户侧就就开始安全全控制的端端到端的虚虚拟通道，实实现和用户户上层应用用系统权限限无缝匹配配。它主要要包括如下下内容：用户端点准准入控制对用户的安安全认证和和

30、权限管理理，使用我我司的EAAD解决方方案（支持持porttal、802.1X、VPN等认认证方式），在在接入边缘缘设备作认认证；把CCAMS服服务器补丁服务务器病毒服务务器等集中中部署在数数据中心内内部共享区区，内部所所有用户接接入网络都都需要认证证，进行集集中的安全全管理业务逻辑隔隔离企业园区各各部门共用用一套物理理网络，逻逻辑隔离使使用VRFF+MPLLS VPPN技术。各部门用用户通过CCEMCCE设备接接入，通过过二层VLLAN或VRF进行行隔离。核核心层用MMPLS标标签转发，控控制PE设备VPNN路由引入入，建立专专用的VPPN转发通通道，为数数据中心提提供PE或MCE接口口，兼

31、容数数据中心内内部业务逻逻辑隔离和和物理隔离离。企业园园区网络支支持端到端端的业务逻逻辑隔离，支支持Qoss。集中服务管管理为园区内用用户提供统统一的InnternnetWWAN出口口，进行集集中监控、管理。网网络管理使使用H3C的iMC网络络综合管理理中心，内内嵌的MPPLS VVPN MManagger支持持对MPLLS VPPN的专业业管理。各各种管理策略服务务器、应用用服务器、存储设备备等统一部部署在数据据中心，为为全网提供供统一的应应用和策略略服务。H3C公司司的EADD+MPLLS VPPN的网络络虚拟化方方案在业界界独创性的的实现了提提供与企业业各部门业业务工作流流完全匹配配的从

32、客户户侧开始的的安全控制制的端到端端的虚拟逻逻辑通道，使使得各部门门的业务数数据能够真真正实现从从端到端的的安全虚拟拟通道中传传输，起到到了端到端端有效的全全程隔离作作用，使得得企业网络络和应用实实现无缝融融合。根据现有网网络应用，XXX烟厂园园区仍然采采用L3 MPLSS VPNN进行业务务隔离，并并根据日后后的可控网网络的发展展要求，实实现整个烟烟草网络的的虚拟化。XX烟厂数数字化园区区生产网和和办公网共共用一套物物理网络，逻逻辑隔离使使用VRFF+MPLLS VPPN技术。按照业务划划分，烟厂厂园区的VVPN可以以划分办公公业务、卷卷烟生产业业务、仓储储物流业务务、监控业业务等等。 各部

33、门门用户通过过CE设备备接入，通通过二层VVLAN或或VRF进进行隔离。核心层用用MPLSS标签转发发，PE设设备控制VVPN路由由引入，建建立专用的的VPN转转发通道，为为数据中心心提供PEE接口，兼兼容数据中中心内部业业务逻辑隔隔离和物理理隔离。我们按照XXX烟厂园园区实际的的需求，在在不同的PPE上配置置相应可以以接入的VVPN，不不同的VLLAN端口口对应各自自相关的VVPN（路路由三层子子接口）。MPLSS规划如下下图所示。这里的CCE的设备备也可以是是无线APP设备。不同同业务部门门的人员，通通过有线或或者无线方方式进行EEAD端点点准入的认认证，认证证通过后则则能够自动动接入到相

34、相应部门的的不同VPPN中，实实现园区内内不同类业业务的安全全隔离。IP地址规规划设计IP地址的的合理设计计是数据中中心网络设设计中的重重要一环，机机场信息化化网络必须须对IP地地址进行统统一规划。IP地址址规划的好好坏，影响响到网络路路由协议算算法的效率率，影响到到网络的性性能，影响响到网络的的扩展，影影响到网络络的管理，也也必将直接接影响到网网络应用的的进一步发发展。IP地址采采用RFCC19188规定的地地址段（不不包括外联联区域IPP地址）。根据选择择的IP地地址段和数数据中心的的业务功能能模块进行行映射。IP地址的的分配应遵遵循以下几几个原则： 唯一性：一一个IP网网络中不能能有两个

35、主主机采用相相同的IPP地址 简单性：地地址分配应应简单易于于管理，降降低扩展的的代价，降降低路由设设备负担连续性：连连续地址在在层次结构构网络中易易于进行路路径叠合，提提高路由效效率 可扩展性：在每一层层次上地址址都要留有有余量，保保证网络可可扩展 灵活性：地地址分配有有灵活性，以以满足多种种应用策略略，充分利利用地址空空间 为了有效地地利用地址址空间，我我们可以对对IP地址址进行子网网划分，从从地址的主主机部分借借取若干位位作为子网网号， 剩剩余部分仍仍然表示主主机号，另另外，为了了灵活地在在不同规模模的子网中中分配不同同数量 IIP地址，我我们需要采采用VLSSM技术，它它可根据需需要在

36、任意意位划分子子网边界，对对一个主网网络号，可可分出最小小只有两个个主机号的的子网，亦亦可划分出出一个较大大的子网，因因此它很灵灵活，特别别是在广域域在中，只只需两个主主机号地址址，VLSSM非常有有用，大大大节约了地地址空间，又又保证了网网络设计的的灵活性。 在进行地址址分配时，一一般先用一一个定长的的子网掩码码将地址空空间分成若若干个相同同规模的子子网，再在在每个子网网中根据所所需的子网网数量和规规模采用VVLSM进进行子网的的细分。 采用VLSSM时应注注意下列三三点： 事先要有规规划，使子子网以可叠叠合的块进进行分配 可能会造成成对已有网网络地址的的重新设置置 新的网络必必须仔细规规划

37、地址分分配 为缩减路由由表的款项项，提高路路由的效率率，路由聚聚合(Rooute Summmarizzatioon 或 Routte Agggreggatioon) 是是一个非常常重要而有有效的手段段。分子网网是将网络络号向主机机号部分扩扩展、即网网络边界向向右移的过过程，而路路径叠合则则是划分子子网的逆过过程，通过过将子网的的边界向左左移的过程程，可用一一个较大的的子网来代代表一组连连续的子网网。 因此，路路由聚合又又称为子网网的集结或或超级子网网，它可得得到缩小路路由表，降降低路由器器内存的使使用，并减减少路由协协议产生的的网络数据据流量。对于具体IIP网段规规划，要求求每个业务务网络内部

38、部IP网段段能够汇聚聚，并且每每个业务网网段又能够够分别汇聚聚，这样，有有利于路由由策略控制制。QoS规划划设计QoS需求求针对网络系系统承载应应用的特点点，对应用用进行分类类，以保证证各自数据据传输不受受影响，对对于敏感性性的应用应应能提供带带宽保证。如语音通通讯、视频频通讯等。在网络上上要提供语语音、视频频的传输；数据可以以根据重要要级别进行行分类，进进而提供不不同的优先先级保证。各业务子网网QoS规规划一、业务流流区分，对对不同的业业务进行标标记从而达达到区分不不同业务流流的目的在各业务子子网核心交交换机上，根根据相应的的流分类策策略，区分分不同业务务，标记DDSCP：实时业务(如视频)

39、:DSCCP标记为为EF需要带宽保保障的业务务(如生产产数据):DSCPP标记为AAF4异地备份数数据:DSSCP标记记为AF33管理信息:DSCPP标记为AAF2二、流量管管理，可以以根据情况况采用CAAR的策略略，对部分分业务限制制带宽，从从而减少非非关键业务务对带宽的的冲击。三、带宽保保障，对关关键性的业业务进行带带宽分配。在核心交换换机上设置置相应的业业务队列（EEF、AFF4、AFF3以及AAF2队列列）并为每每个队列设设置相应的的带宽保证证。分类着色策策略在各业务子子网中，在在汇聚交换换机上着色色，对业务务流进行分分类：预留留、语音（保保证每路330K）、视频（保保证7688K2M

40、M）、加密密公文（中中等）、其其他业务（最最低保证）。在路由器器/交换机机上对不同同的业务流流打上不同同的IP优优先级，对对应的优先先级如下：IP优先级级：预留：6,7语音：5视频：4 办公公文： 3-11其他业务：0利用CARR 在设备备连接的接接口上标记记分类。调度策略不同业务子子网核心交交换机上根根据优先级级区分流，并并配置基于于流的加权权公平队列列CBQ，并并配置基于于流的Diifferr-Serrv。CBBQ以及DDiffeer-seerv根据据报文的流流分类报文文提供不同同的转发策策略，对于于EF类业业务将分别别保证带宽宽和时延，对对于AF类类业务将保保证业务带带宽，其它它类业务将

41、将只保证可可达性。丢弃策略做CAR的的时候，超超过预定流流量的直接接丢弃。各业务子网网具体业务务的QOSS保障和应应用在核心骨干干网和安防防、OA、商业网络络上肯定会会有语音、视频等流流量在网络络上传送，在在网络设备备的QOSS保障是必必不可少。下面以视视频会议的的QOS保保障为例，来来说明QOOS在业务务网上的应应用。一、在汇聚聚交换机设设备上对视视频流进行行分流和着着色。在不同业务务子网汇聚聚交换机上上，运用AACL 策策略对视频频流进行分分流，把关关键业务流流同其他流流量区分开开来，在交交换机上用用QOS CAR对对视频流进进行着色处处理，使其其IP- preccedennce值设设置为

42、紧急急队列EFF。二、在汇聚聚交换机配配置策略，使使DSCPP匹配EFF的视频流流进入紧急急优先发送送队列LLLQ，同时时在上行链链路上应用用该策略，保保障关键业业务流得到到交换机的的优先发送送。三、同样在在业务网核核心交换机机上，可以以设置同样样的策略，使使DSCPP匹配EFF的关键业业务流进入入各自的紧紧急优先发发送队列，同同时在各个个流出口的的接口上应应用该策略略，关键业业务流均能能得到优先先发送。四、通过在在全网配置置的策略一一致，保障障了关键业业务流在各各级交换机机的优先发发送级别，从从而在全网网范围内保保障视频的的低延时、低抖动，实实现对关键键业务流在在整网的端端到端的QQOS保障

43、障。同样，对于于语音这类类对丢包非非常敏感的的报文，网网络设备有有RTP实实时传输协协议来对语语音流进行行可靠的低低延时、低低丢包的端端到端的QQOS保证证。对于其他对对延时没有有具体要求求的业务数数据流，一一般都是要要求有一定定的带宽保保障。同样样的按照前前述QOSS的实施思思路，通过过分流、着着色、应用用策略使此此类业务进进入AF队队列，从而而也能达到到对特定的的业务数据据流的带宽宽保证。XX烟厂园园区网无线线网络设计计方案逻辑组组网图XX烟厂数数字化园区区是有线基础网络上建设设的一套无无线网络，HH3C推荐荐采用双星星型冗余组组网结构。在建设完完成的数据据中心网络络基础之上上分别将HH3

44、C WWA21110-AGG无线APP以百兆速速率连接至至接入交换换机（H33C S77506EE），H33C WXX50022无线控制制器以千兆兆速率连接接至核心交交换机（HH3C S99512）。用户通过过无线控制制器和无线线网络管理理软件实现现对所有无无线AP设设备的集中中管理。具具体的逻辑辑组网图如如下图所示示：认证方式及及认证点选选择本方案主要要采用8002.1XX认证和PPortaal认证两两种方式，HH3C WAA21100-AG无无线AP与与无线控制制器H3CC WX55002通通过CAPPWAP隧隧道协议（IIETF标标准草案，由由H3C提出并并已获得通通过）进行行通信，无无

45、线用户的的认证点都都是放置于于WX50002无线线控制器上上，后台的的H3C iMMC管理服服务器作为为用户鉴权权点。当用用户在APP内进行切切换时，此此时的主要要工作由无无线交换机机进行统一一调度，当当用户在网网络内不同同的端口下下的不同AAP的覆盖盖范围时，此此时用户不不会再次触触发认证，无无线用户在在不同APP之间的漫漫游切换速速度小于550毫秒，满满足无线用用户的业务务使用质量量。整网安全无线局域网网络主要服服务于XXX烟厂内部部员工和下下属公司办办公人员，考考虑到网络络内部潜在在的安全风风险，网络络安全问题题在建网时时必须考虑虑，安全方方式主要侧侧重几个方方面：用户户安全、网网络安全

46、，而而在网络中中主要依附附于用户实实体的属性性主要包括括用户使用用的信息终终端二层属属性（诸如如：MACC地址）及及用户的帐帐号、密码码，对于内内部用户而而言，帐号号信息采用用实名原则则，与员工工的姓名进进行关联，这这样无线网网络中着重重考虑使用用无线网络络的空口信信息的安全全机制，同同时也要考考虑与无线线相关的有有线网络的的安全问题题。无线网络安安全无线网络安安全部分主主要包括以以下方面的的内容：I.MAAC地址过过滤：目前前支持基于于MAC地地址的过滤滤，限制具具有某种类类型的MAAC地址特特征的终端端才能进入入网络中；II.SSSID管管理：是一一种网络标标识的方案案，将网络络进行一个个

47、逻辑化标标识，对终终端上发的的报文都要要求进行上上带SSIID，如果果没有SSSID标识识则不能进进入网络；III.WEP加加密：WEEP加密是是一种静态态加密的机机制，通信信双方具有有一个共同同的密钥，终终端发送的的空口信息息报文必须须使用共同同的密钥进进行加密；IV.支支持AESS加密，AAES安全全机制是一一种动态密密钥管理机机制，同时时密钥生成成也基于不不对称密钥钥机制来实实现的，同同时密钥的的管理也定定期更新，具具有体的时时间由系统统可以设定定，一般情情况都设定定为5分钟钟左右，这这样非法用用户要想在在5分钟之之内进行获获取足够数数量的报文文进行匹配配出密钥出出来，从无无线空口的的流

48、量来看看，基本上上是不可能能的；V.H33C的无线线方案中可可根据用户户名来划分分权限，即即相同用户户在不同地地点接入无无线网络其其权限保持持一致；密密钥设置可可能根据SSSID信信息与用户户信息进行行组合，即即不同的SSSID下下不同的用用户的密钥钥生成可以以不一样，这这样一定程程度上保证证用户之间间串号问题题产生； 频率规划划与负载均均衡频率规划802.111g使用用开放的22.4GHHz IISM频段段，可工作作的信道数数为欧洲标标准信道数数13个。由于其支支持直序扩扩频技术造造成相邻频频点之间存存在重叠。对于真正正相互不重重叠信道只只有相隔55个信道的的工作中心心频点。因因此对于880

49、2.111g在22.4GHHz地工作作频段，理理论上只能能进行三信信道的蜂窝窝规划实现现对需要规规划的热点点的无缝覆覆盖。此外外，由于功功率模板是是否能做到到符合邻道道、隔道不不干扰也非非常影响频频率规划的的效果。针对如何进进行8022.11gg的频率规规划作了大大量的实验验，实验证证明3载频频也可以实实现蜂窝对对需要覆盖盖的区域进进行无缝覆覆盖，并提提供更高的的服务带宽宽提高服务务质量，和和高带宽业业务的开展展。频率规划原原理图频率规划需需要配合使使用的功能能包括：I.APP支持133个信道设设置；II.AAP支持1100mWW最大射频频功率以及及多级功率率控制；III.AP支持持外置天线线

50、以及定向向天线；网络管理基于标准的的SNMPP协议实现现对设备的的管理，iiMC中专专门的无线线局域网管管理软件WWSM组件件可实现对对WLANN所有网元元的管理。网管工作作站可以放放在网上的的任意位置置，通过标标准的SNNMP即可可实现对无无线交换机机的管理。H3C WXX50022无线控制制器可以实实现更为强强大的管理理包括APP的自动拓拓扑发现、自动升级级、批量配配置、分级级管理、分分级告警等等，并可实实现针对无无线覆盖空空间内的射射频扫描、非法接入入点监听等等安全功能能。而无线线局域网管管理软件HH3C WSSM可以实实现配置管管理整个WWLAN无无线网络，其其具备以下下特点：1、零配

51、置置安装：接接入点无需需准备预设设置，APP从无线控控制器继承承配置信息息。无线控控制器内嵌嵌中心机房房核心交换换机中，HH3C WAA21100-AG（AAP）无需需事先进行行任何配置置，即通过过H3C接入层层交换机接接入有线网网络，并自自动注册到到WX50002无线线控制器上上，获得DDHCP SERVVER分配配的IP地地址，并自自动下载配配置文件正正常工作，在在大规模AAP的项目目中大量节节省安装维维护成本。用户也可可以将APP配置为静静态地址便便于设备管管理。2、防盗防防入侵：敏敏感配置信信息不在本本地保存，即即使设备被被入侵被盗盗也不会丢丢失安全信信息。实际际运营中很很多AP是是放

52、置在公公共场所，如如果密钥、SSIDD等安全信信息在本地地保存的话话，一旦失失窃对全网网安全性造造成威胁，HH3C WAA21100-AG由由于其零配配置安装，一一旦掉电不不会保存任任何信息，避避免入侵。3、支持灵灵活的拓扑扑结构：AAP允许多多种部署，从从而能够直直接或间接接连接到管管理它的无无线局域网网控制器。H3C WXX50022无线控制制器与H33C WAA21100-AG之之间可以隔隔离任何路路由器或交交换机，只只要共同连连接进有线线网络，HH3C WAA21100-AG就就可以自动动寻找到无无线控制器器实现注册册。4、自动设设置发射功功率和分配配射频信道道：自动设设置发射功功率和

53、分配配射频信道道，用以优优化射频单单元大小和和满足各国国对射频信信道的要求求。当有个个别AP故故障时，HH3C WXX50022无线控制制器会自动动调大相邻邻AP的功功率弥补信信号盲区。5、基于身身份的组网网：根据用用户名对用用户权限进进行区分，不不同于传统统的WLAAN网络通通过接入的的有线交换换机端口对对用户权限限进行划分分，并且可可以对用户户的位置、带宽以及及漫游等历历史数据进进行记录跟跟踪。6、提供增增强的安全全性和无缝缝漫游：通通过这项基基于身份的的组网功能能，经过改改进的用户户组认证接接入控制、始终强制制的漫游策策略以及对对带宽使用用的监视实实现了无线线局域网的的增强的安安全性，实

54、实现了无缝缝的用户移移动性和自自由性，从从而可以进进行安全连连接和漫游游，一次认认证多次接接入，免去去在不同AAP下切换换的再次认认证。7、安全管管理：提供供入侵检测测功能，专专用 APP 可以不不断地扫描描空域，以以便对要求求更高安全全性的环境境提供全天天候保护。一旦无线线网络中有有非法接入入点接入，HH3C WAA21100-AG将将上报相应应的告警给给H3C S99500无无线控制器器模块，并并通过网管管软件显示示。 供电问题题由于本次无无线网中AAP设备数数量较多，AAP布放位位置根据实实际覆盖效效果而调整整，在已建建设完成的的建筑物上上较难进行行本地供电电。基于标标准的8002.3a

55、af实现对对AP的供供电。通过过支持PooE特性的的以太网供供电模块串串接至交换换机端口和和AP之间间，在以太太网线传输输数据的同同时给APP供电，供供电距离最最远可达1100米，满满足实际组组网的要求求。图例如如下：无线覆盖解解决方案从整体的统统计看来，XX烟厂数字化园区此次的无线覆盖设计基本上可以分为以下几种类型：根据本项目目的需求，确确定室内部部分主要覆覆盖主办公公楼的所有有空间；根据实际工工勘的结果果来看，可可以归纳为为两大类：AP室内内无障碍覆覆盖、APP室内穿越越障碍覆盖盖，下面则则对这三类类覆盖分别别进行描述述：AP室内无无障碍覆盖盖主要应用于于空间较大大的会议室室和开放式式等室

56、内区区域，此时时主要信号号进行此空空间内覆盖盖，无需要要考虑到穿穿越墙壁、地板等障障碍物对隔隔壁空间的的覆盖；此此时又分二二种情况，划划分原则主主要要看是是否要使用用吸顶天线线的问题，根根据实现工工程勘测情情况来看，室室内部分都都可以采用用吸顶天线线或挂墙的的方式进行行操作。AP室内穿穿越障碍覆覆盖：主要应用于于单侧走廊廊结构室内内区域，因因为无线信信号穿越墙墙壁、地板板等障碍物物会存在衰衰减，但在在走廊式结结构的室内内区域具备备一定的穿穿越障碍的的能力，一一般是穿越越一道墙壁壁之后信号号效果较好好。因此这这样的结构构适合在走走廊中布置置AP，来来覆盖侧面面的房间区区域；根据据实现工程程勘测情

57、况况来看，室室内走廊部部分都可以以采用吸顶顶天线或挂挂墙的方式式进行操作作。XX烟厂园园区数据中中心存储解解决方案目前大部分分烟厂采用用FC-SSAN架构构存储，FFC-SAAN架构具具有如下不不足之处：基于服务器器内置硬盘盘的存储方方式的扩展展不便，而而且性能不不足SCSI和和FC接口口磁盘柜的的存储方式式，管理繁繁琐，存在在较多兼容容性问题，无无法实现统统一的管理理数据保护方方式以备份份软件+磁磁带库的方方式为主，备备份软件只只能满足一一般业务数数据的保护护要求，无无法满足生生产管理秒秒级的保护护频率，以以及分钟级级的恢复速速度；而磁磁带库存在在着机械部部件故障率率高、维护护困难、读读写速

58、度慢慢的缺点面对FC SAN存存在的问题题以及IPP技术的不不断成熟，以以太网带宽宽从10MM发展到了了10G，整整整提升了了10000倍，20003年，以以IBM等等公司共同同发起的基基于IP的的iSCSSI（Innternnet SSCSI）协协议，通过过IETFF组织的审审议，公布布为RFCC标准。iSCSII标准一经经公布，就就以其低成成本、高可可管理性、天然的跨跨广域数据据传输和管管理能力、海量组网网能力得到到了业界的的青睐。由由于将SCCSI数据据传输的基基础从封闭闭昂贵的FFC协议转转移到IPP之上，使使存储系统统突破了长长期困扰的的兼容性、成本和管管理性桎梏梏，使存储储网格、广

59、广域数据传传输、大规规模服务器器数据集中中、远程容容灾、高性性能交换式式存储架构构等存储技技术脱下昂昂贵的外衣衣，成为广广大行业客客户均能轻轻松获得的的最新存储储技术。H3C公司司与国际一一流的存储储软硬件供供应商合作作，共同开开发推出了了Neoccean自自适应网络络存储系列列产品。以以IP存储储技术、WWSAN（广广域SANN）技术、网格存储储技术、虚虚拟存储技技术、数据据应用服务务技术五大大技术群，构构建了新一一代自适应应网络存储储体系。通过IP存存储产品的的引入，NNeoceean一方方面可实现现烟厂数字字化园区原原有FC存存储系统之之间的数据据共享，保保护用户原原有投资，在在另一方面

60、面，可将烟烟厂数字化化园区后续续数据扩展展平滑切换换到IP存存储之上，为为烟厂数字字化园区提提供易扩展展、高安全全、高性价价比的数据据存储新格格局。烟草数据中中心的应用用主要包括括生产调度度、计划查查询、ERRP/OAA等几个部部分。采用用基于IPP技术的存存储设备实实现数据存存储，实现现双机集群群和多路经经负载均衡衡；采用和和业务特点点相适应的的数据保护护手段，实实现业务连连续性和数数据安全。全IP数据据存储和保保护方案采采用H3CC Neooceann IX系系列存储设设备搭建的的IP SSAN，实实现了集中中存储。依依托于IXX系列存储储设备优异异的性能和和良好的扩扩展性，满满足各种应应