势,为关键业务系统的实施提供最为坚实的网络基础,除了提供线速的第二层/第三层/第四层/第七层性能外,还可以为这些业务系统提供一系列运营商的特性支持,包括运营商的可用性、运营商级的安全性、运营商的智能性和运营商的可管理性,这些特性为建立一个融合的网络提供了最有力的支持。
我们在设备选型上充分考虑到用户对网络可用性、网络智能性、网络性能、网络安全性以及网络可管理性的一系列要求,采用了杭州华三为企业网用户提供的具有运营商级特性万兆以太网交换机,全面超越了其它传统的企业级网络组网方案,从而保证了用户网络不仅在现在,而且在将来很长一段时间内始终处于领先地位。
二、 系统设计
武汉规划展示馆计算机网络按内外二网设计,二网物理隔离;在布线系统方面一次性设计、实施;而对于网络系统,采用分布设计、实施的原则,本次网络的设计要针对外网,同时网络设备的端口数也按照目前实际用户数设计;因此,随计算机用户的增加,网络系统的扩展性就非常重要;这里包括核心交换机的机箱槽数的预留,用户接入交换机的可堆栈扩展,以充分满足用户今后3-5年的应用需求。
这个网络采用先进的扁平网设计,采用万兆核心交换,接入交换机通过千兆连到核心;在用户端,我们采用10/100M到用户端的接入设计,以充分保障网络的高速、高效性。另外,在武汉规划展示的公众分区域采用WLAN无线覆盖,提供便捷、高效的办公环境;在网络出口部分采用集防火墙、IPS攻击阻断、病毒网关、内容过滤、VPN和带宽管理于一体的安全网关作为出口的安全控制设备。
网络管理软件使用杭州华三研发的H3C iMC V5智能网络管理平台,iMC智能管理平台不仅为系统各业务组件的集成提供了包括统一权限控制、SOA框架、统一操作日志管理、各组件License控制、分布式安装等基本功能,而且还为用户提供了包括操作员管理、资源管理、拓扑管理、性能管理、告警管理、配置管理、Syslog管理、及操作日志管理等网络管理功能,以及资产管理、VLAN管理、ACL管理、虚拟化网络管理、安全控制中心、来宾接入管理、报表管理等基础业务功能。服务器使用IBM System x3650 M3 易捷版服务器,配以针对国内企业网络环境设计,查杀能力强大,可有效保护大中型企业级用户网络安全的瑞星杀毒软件。
网络安全方面使用1套天融信NGFW4000防火墙和1套天融信入侵检测系统 TopSentry组成安全网关。
NGFW4000是天融信网络卫士防火墙系统的中端产品系列,适用于网络结构复杂、应用丰富的政府、金融、学校、中型企业等网络环境。产品集成了
天融信在客户复杂环境中处理威胁的经验及对客户需求的深入理解,已在各种网络环境中经受了严格考验。该系列产品具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能,广泛支持路由、多播、生成树、VLAN、DHCP等各种协议。稳定可靠的硬件平台,满足真实需求的软件功能,超强的网络适应能力,使之成为多年来广受市场认同的系列主流产品。
TopSentry采用多重检测、多层加速等多项天融信专有安全技术,更出色的降低了IDS产品的误报率、漏报率,有效提高了IDS的分析能力,使达到线速包捕获率成为可能。天融信IDS研发团队通过加强对蠕虫攻击以及隐含在加密数据流中攻击的检测能力,极大地突破了目前IDS产品普遍存在的瓶颈问题。
内网网络架构如下:
? 核心层
网络核心位于武汉规划展示馆中心机房,采用一台华三S7506E万兆交换机,采用冗余主控、电源配置;通过1G多模光纤连接各楼层交换机,1000M双绞线连接服务器、安全网关和无线网交换机。
? 接入层
在武汉规划展示馆楼层设备间根据本层的的信息点数放置多台华三48口全千兆S5120E交换机,设备间通过万兆多模光纤连接;预留了网络今后的扩展性,随着用户数增加,只需增加相应的S5120E,与原有设备进行连接即可。 ? 无线网
在武汉规划展示馆需要无线覆盖的地方部署杭州华EWP-WA2620i-AGN-FIT无线AP,支持54M速率的无线覆盖、接入,在中心机房部署1台杭州华三EWP-WX3024E-POEP无线交换机,用于无线接入用户的加密、认证、授权和AP的射频管理工作。EWP-WX3024E-POEP通过1000M与核心S7506E相连。
外网网络架构如下:
? 核心层
网络核心位于武汉规划展示馆中心机房,采用一台华三S7510E万兆交换机、电源配置;通过1G多模光纤连接各楼层交换机,1000M双绞线连接服务器、安全网关和无线网交换机。
? 接入层
在武汉规划展示馆楼层设备间根据本层的的信息点数放置多台华三48口全千兆S5120E交换机,设备间通过万兆多模光纤连接;预留了网络
今后的扩展性,随着用户数增加,只需增加相应的S5120E,与原有设备进行连接即可。
? 出口安全
中心机房出口处部署1台天融信NGFW4000防火墙和1台天融信入侵检测系统 TopSentry组成安全网关,负责防火墙、VPN、IPS、防病毒、内容过滤等数据处理;一方面充分保障生态城网络资源安全,一方面为员工外出办公通过VPN随时存取公司数据成为可能,大大提高员工的办公效率。
主要设备图片及参数:
1、杭州华三S7506E、华三S7510E交换机 属 性 S7510E S7506E 整机交换容1152G/768Gbps 768Gbps 量 背板容量 ≥ ≥ IPv4包转发780M/492Mpps 492Mpps 率 槽位数量 12 8 业务槽位数10 6 量 交换网板槽0 0 位数量 冗余设计 电源、主控冗余 电源、主控冗余 支持IEEE (CoS优先级) 支持IEEE (VLAN) 支持IEEE (STP)/(RSTP)/(MSTP) 支持IEEE (QinQ),灵活QinQ和Vlan mapping 支持IEEE (全双工流控)和背压式流控(半双工) 支持IEEE (链路聚合)和跨板链路聚合 支持IEEE (10Base-T)/(100Base-T) 支持IEEE (1000BASE-X)/(1000BaseT) 支持IEEE (10Gbase) 支持IEEE (PoE) 支持IEEE (PoE+) 支持RRPP(快速环网保护协议) 支持跨板端口/流镜像 二层特性
支持端口广播/多播/未知单播风暴抑制 支持Jumbo Frame 支持基于端口、协议、子网和MAC的VLAN划分 支持SuperVLAN 支持PVLAN 支持Multicast VLAN+ 支持点到点 单VLAN交叉连接、双VLAN交叉连接 全部依靠VLAN-ID进行转发,不涉及MAC地址学习 支持最大VLAN MAPING/灵活QinQ表项 全面支持1:1, 2:1,1:2, 2:2 VLAN MAPPING能力 支持GVRP 支持LLDP 支持ARP Proxy 支持DHCP Relay 支持DHCP Server 支持静态路由 支持RIPv1/v2 IPv4路由特支持OSPFv2 性 支持IS-IS 支持BGPv4 支持OSPF/IS-IS/BGP GR (Graceful Restart优雅重启) 支持等价路由 支持策略路由 支持路由策略 支持ICMPv6 支持ICMPv6重定向 支持DHCPv6 支持ACLv6 支持OSPFv3 IPv6路由特支持RIPng 性 支持BGP4+ 支持IS-ISv6 支持手工隧道 支持ISATAP 支持6to4隧道
组播 ACL/QoS MPLS/VPLS 安全机制
支持IPv6和IPv4双栈 支持IGMPv1/v2/v3 支持IGMPv1/v2/v3 Snooping 支持IGMP Filter 支持IGMP Fast leave 支持PIM-SM/PIM-DM/PIM-SSM 支持MSDP 支持AnyCast-RP 支持MLDv2/MLDv2 Snooping 支持PIM-SMv6、PIM-DMv6、PIM-SSMv6 每单板最大支持16K ACL 支持标准和扩展ACL 支持基于VLAN的ACL 支持Ingress/Egress ACL 支持Ingress/Egress CAR,粒度可达8Kbps 支持两级Meter能力 支持VLAN聚合CAR,MAC聚合CAR功能 支持流量整形(Traffic Shaping) 支持DSCP优先级Mark/Remark 支持层次化QoS(H-QoS),支持三级队列调度 支持队列调度机制,包括SP、WRR、SP+WRR、CBWFQ 支持每端口8队列 支持拥塞避免机制,包括Tail-Drop、WRED 支持N:2 Mirroring 支持L3 MPLS VPN 支持L2 VPN: VLL (Martini, Kompella) 支持MCE 支持MPLS OAM 支持VPLS,VLL 支持分层VPLS,以及QinQ+VPLS接入 支持P/PE功能 支持LDP协议 支持EAD安全解决方案 支持Portal认证 支持MAC认证
展馆智能化公共区域设计方案
