《XX烟厂信息化解决方案技术建议书.docx》由会员分享,可在线阅读,更多相关《XX烟厂信息化解决方案技术建议书.docx(36页珍藏版)》请在课桌文档上搜索。
1、XX烟厂信息化解决方案技术建议书杭州华二.通信技术有限公司2008.06目录烟厂数字化园区信息化需求3H3CIT。IP烟厂数字化园区信息化解决方案架构3XXX烟厂园区统一褊效IP网络解决方案51.1. IP网络方案设计原则51.2. XX烟厂园区网络建设目标和整体规划:63. 2.1,建设目标64. 2.2,整体规划71.3. XK烟厂园区网络详细设计81. 2.3.局域网详细设计S2. 2.4.虚拟园区网设计103. 2.5.IP地址规划设计124. 2.6.QOS规划设计131.4. XX烟厂园区网无规网络设计153. 2.7.方案逻辑组网图154. 2,8,认证方式及认证点选择165.
2、2.9.整网平安166. 2.10.频率规划与负我均衡177. 2.11,网络管理188. 2.12.供电问题199. 2.13.无线慢费解决方案1910. 厂园区数据中心存储解决方案204.1. CDP持续数据保护方案21XX烟厂全局平安规划方案235.1. 烟草工业园区网络平安现状235.2. 全局平安概述235.3. ERD方案245.4. 数据中心平安245.5. 平安评估275.6. 全网平安方案特点29XX烟厂IP智能监控解决方案296.1. 烟草工业企业园区的Ki控需求296.2. H3CIP智旎监控解决方案概述306.3. H3CIP智能监控解决方案特点32XXX烟厂综合信息管
3、理解决方案347.1. 基础资源管理357.2. 身份与接入管理357.3. 端点平安准入管理367.4. VPN管理367.5. 网络智能分析361. 烟厂数字化园区信息化需求我国是世界上第一烟草大国,现阶段常年吸烟人口达3.1亿之多,年卷烟消费量约17000亿支,卷烟制造行业是关系到人民日常生活的IR要消费品制造行业。随着建设现代化烟草企业的序幕展开,信息化技术的应用和改革对卷烟工业企业的推动启到至关重要的作用.卷烟工业企业信息化是指广泛利用电子信息技术,使企业的生产、管理实现自动化。当前,我国卷烟工业企业信息化建设已初具规模,由单机应用、局部系统应用开展到了网络化、集成化、数字化和智能化
4、,管理信息系统在行业经济开展中已发挥了武要作用。卷烟工业企业信息化建设主要包括两大局部:一局部是设计、牛产过程的信息化,实际上是生产过程的自动化,属工业控制范畴.用自动化生产、测贵、显示、控制等工具,通过控制信息到达生产的自动化。另一同部是管理的信息化,就是建立管理信息系统(MIS)、办公自动化系统SA)以及决策支持系统(DSS)等。卷烟工业企业信息化建设在工控方面将向计算机集成制造系统(CIMS)方向开展:在管理方面将向数字化、智能化开展在企业内部将建立起全面的数据分析、决策支持系统,在企业外部将建立完善的电子商务(EC)环境,通过建立供给链管理(SCV)系统、客户关系管理(CRM)系统,提
5、高整个企业的市场竞争能力。国家烟草专卖局在数字烟草开展纲要中提出了“统一平台、统一数据库、统一网络”的信息化建设纲要。统一网络是指通过建设一个整体的行业专网把总公司到各个省公司以及省工业公司(省烟草公司和各个省的工业公司)通过行业专网全部连接起来,形成一个统一的行业大网。统一平台和统一数据库则更有益于实现信息资源共享。纲要的宗旨是将信息化贯穿烟草行业生产经营管理的各个环节.、各个流程,以及将纪杂多变的烟草信息转变为可以量化的数据,通过数字分析,为各企业乃至整个产业的开展提供决策依据。结合XX烟厂生产业务系统、办公管理业务系统、本地局域网和广域网规划需求,数据存储需求,网络平安性需求,监控需求,
6、管理需求,H3C提出体化数字化烟厂园区解决方案。2. H3CIToIP四厂数字化园区信息化解决方案架构烟厂数字化园区内部各个业务系统是在不同的年代建设的,具包括r各种各样的标准和协议,如何对它们进行高效的整合,实现信息资源的共享,是一个难题。众所周知,TCP/IP是迄今为止应用最广泛、最成熟、最为开放、标准化程度最高的技术体系.具有简单、开放、灵活扩展、管理和互操作等一系列优势,已经成为当今互联网、电信网、政务网、企业网的主要承载技术。IP协议弹性强,能更好地适应IT网络的各种变化。例如在存储技术领域,传统的FC技术存在兼容性和扩展性等方面的问题,基JTP的存储能够更好地实现平台兼容性及业务扩
7、展性,并可实现更灵活的数据效劳定制。基于这样的潮流,H3C推出了ITOnIP(简称IToIP)的烟厂数字化园区信息化基础平台建设理念及整体解决方案。IToIP并不是各种产品的简单堆积,而是一种完全基FIP的融合IT解决方案。在整个信息的生命周期中,信息的产生、存储、传送、处理都是通过IP的方式进行,中间不用任何的转化,这样就能够对整个IT系统更好地管理,提升效率。通过对烟厂数字化园区需求的深入理解H3C利用先进实用数据通讯技术与产品,提出了烟厂园区信息化解决方案。烟厂数字化园区解决方案模型图:3. XXX烟厂园区统一高效IP网络解决方案3.1. IP网络方案设计原则IP网络是整个烟厂信息化的基
8、珈承载体,因此,建设统一可靠高效IP网络非常重耍,整个基础网络设说遵循如下原则: 链路冗余在主干连接(主干设备之间及其与汇接设备之间的连接)具番可靠的线路冗余方式。建议采用负我均衡的冗余方式,即通常情况卜.两条连接均提供数据传输,并瓦为备份。主线路可实时、自动的切换到备份线路,而不影响业务应用。 模块冗余.核心层设备和会聚层设备的所有模块和环境部件应具备1+1或1:N热备份的功能,核心层交换设备主备切换时间小TT秒“所有模块具备热插拔的功能.系统具备99.999%以上的可用性。 设备冗余.核心交换机采用两台或两台以上设符组成,当其中个设备因故障停止工作时,另一台设备自动接替其工作,并且不引起其
9、他节点的路由表重新计算,从而提而网络的稳定性,切换时间大T3杪。 拥塞控制与效劳质置保障拥寤控制和效劳质量保障(QOS)是公众效劳网的玳要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样,网络的数据流量突发是不可防止的,因此,网络对拥塞的控制和对不同性脑数据流的不同处理是十分重要的.网络支持标准DiffServQOS机制。网络设备应支持6、8种业务分类(COS)。当用户终端不提供业务分类信息时,网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类.接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。当网络出现真正的拥塞时,瞬间大量的丢包会
10、引起大量TCP数据同时更发,加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术,在网路出现拥塞前就自动采取适当的措施,进行先期拥塞控制,防止瞬间大量的丢包现象. 网络的扩展能力网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展,以及网络规模的扩展能力。交换容员扩展:交换容量应具备在现有基础上继续扩充2倍容量的能力,以适应IP类业务急速膨胀的现实。端口密度扩展:设备的端口密度应能满足网络扩容时设备间互联的需要。主干带宽扩展:主干带宽应具备2、4倍度至更高的带宽扩展能力,以适应11,类业务急速膨胀的现实。网络规模扩展:网络体系、路由协议的规划和设备的CPU/N
11、P路由处理能力,在核心网络设符能适应将来到达2倍以上的规模扩展要求.网络通信协议:以TCP/IP协议为主,设备商应提供效劳营运级别的网络通信软件和网际通用操作系统,路由协议支持成熟标准并I1.广泛应用的OSPF路由协议。3.2. XX烟厂园区网络建设目标和整体规划:3.2.1, 建设目标烟厂数字化园区统高效IP承教网的建设目标: 网络统一规划,分层分域,采用层次化的建设模型和分区域的模块化结构,层次清晰,既有效隔离,又比相连通: 带宽充分,保证各种新兴业务,如视频监控、视频会议等的高速传辘, 高可用性,承载实时生产业务和视频监控;烟厂数字化园区集中统一数据存储建设目标: 可靠数据大集中存储、本
12、地实时备份及远程容灾,生产、办公和监控数据不丧失。烟厂数字化园区一体化平安建设目标: 端到端信息系统平安,网络边缘和内部终端平安:烟厂数字化园区融合通信建设目标: 实现视频、监控、语音有机融合:烟厂数字化园区一体化管理建设目标: 对网络、平安、存储和用户进行统一管理维护,到达可管理、易管理。总之,烟J.数字化园区信息化目标包括:以统高效IP网络和数据为基础,以全面深入信息系统平安、智能安防和统一智能管理为保证,支掠起烟厂数字化园区整合化的应用系统,从而为烟厂数字化园区提供一个可靠高效的信息化平台。3.2.2, 整体规划根据XX卷烟厂网络建设的F1.标和业务需求,在充分分析XX卷烟厂业务需求的基
13、础上,构建XX烟厂数字化园区网络,XX烟厂网络是整个XX卷烟厂的应用的基础网,应能满足XX卷烟厂多业务、高带宽应用的需求,因此网络将建成一个承教多种业务台。网络的整体规划如下:HKEAD二、1_H3CS122/*,万*tg21.MeCTH18!HJC$9512.1、M17M3HXS500-28C-(万皿的入HKS510024PZ,行和!入文MT卢O1B温含高。一百史了、J一千人5一占y三*,gRPR丫万丽次科OSM1.Q2HKS75O2C万泰rjmaIae*WJ烟厂园区网络总体规划H3C在烟厂园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配
14、置。典型的烟J.园区网络结构可以分成三层:接入层、会聚层、核心层。1)接入层:提供网络的第一级接入功能,完成简单的二、三层交换,平安、QoS和POE功能都位于这一层。根据以上要求,对于企业园区网的接入层设备,建议采用千兆接入的方式,应该具有线速三层交换、【RF智能弹性堆叠技术以及高级QoS策略等功能.2)会聚层:会聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这层还可作为接入设备的第一跳网关:对于企业园区网的会聚层设备,应该能够承载企业园区的多种融合业务,如MP1.S,IPv6,网络平安、无线、无源光网络等,并提供不间断转发、优雅重启、环网保护
15、等多种高可靠技术,满足企业园区融合业务的需求。3)核心层:网络的骨干,必须能够提供而速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于企业园区网核心层,必须提供商性能、1可靠的网络结构,推荐采用高可苑的RpR环网结构或多设备冗余的星型结构,这样可以实现IOms的故障检测时间以及50ms的业务倒换时间,可以做到故隙切换时完全不影响正在进行的音频业务,完全满足电信级可靠性的要求。3.3. XX烟厂园区网络详细设计3.2.3. 局域网详细设计XX烟厂数字化园区建议采用常用的二层接入、三层核心交换组网模型。通过Y1.AN隔离区域用户,同一V1.AN内用户可方便互访。同时在核心层配
16、艮平安规则对内部网络各子网间的路由实现策略控制,接入层启用802.Ix和防ARP欺骗等平安特性为用户提供保护。网络接入层到核心层间配置STP协议,核心层和广域网局部配置三层OSPF路由协议,OSPF路由协议和白沙物流数据中心采用相同的OSPFid,并将整个科研数据中心设置为Area0。建议会聚层交换机采用H3CS7506E,会聚设备IOGE双上行与核心层H3CS9512相连,提供链路冗余,核心乂设符通过YRRP协议进行网关备份.在这个网络中,通过合理规划VRRPgroupmaster、生成树实例和生成树实例与V1.AN映射的关系,可提高网络链路利用率和可咏性。在分布层配置多个VRRP组,组In
17、aSter和backup角色均匀分布在两台核心路由交换机上,使两台网关设着同时完成备份和负载分担功能:通过多生成树实例规划,使接入设备不同V1.AN业务负载分担在两条上行链路,并且到达的会聚设备为第一跳网关master;实例root与生成树实例映射V1.AN的三层网关master在同台会聚设备上,使STP协议能够通过计莫合理阻寒链路,并且缩小链路故障引起的网络震荡葩围;若接入设备上有V1.AN全叠,会聚设备设置为二层TRUNK链路,一些平安特性的配合使用,更能增强网络的健壮性:在网络边缘直接与用户相连的端口可以配置边缘端口和BPDU保护,防止从这些端口接收到BPDU报文引起网络拓扑变化:在会聚
18、网关上配置TC保护和根保护特性,防止攻击造成拓扑频繁变化。主要HA性能叁数网络故障收敛性能接入U设备主备倒换(S7506E)50亳秒接入层-核心层涟路故障/恢匆。秒核心层设备主备倒换50亮秒核心层设备故障1秒链路单通故障2杪3.2.4. 虚拟园区网设计一个烟厂企业园区,需要生产平台、管理运营、销售、安保监控等业务隔离。隔离的手段可以是物理隔离,也可以是逻辑隔离。相对于物理隔离,逻辑隔离(网络虚拟化)具有无需重究建设、能提供统一的平安、管理、HA策略等优点,并且能够更好地提供面向应用的效劳。一般烟厂园区网虚拟化的需求主要如下: 横向不同部门/分类间业务的隔离,提而涉密业务的平安性,同时提供访问控
19、制策略,满足不同部门间业务互访的要求 为园区内各部门提供统的IntCrnCt出口,供内部用户访问InternN和为外部公众提供给用效劳,进行集中控制管理 提供广域网接口,实现相同部门/种类业务的纵向互通 数据中心资源逻辑上分:局部:部门内部数据区、共享数据区和对外效劳数据区,分别为独立部门内部、业务交互部门和外部公众提供效劳 为重要业务提供端到端的Q。S保证为了满足烟厂园区网虚拟化的需求,H3C公司提出了EAD+MP1.SVPN的解决方案,可以实现与企业各部门工作流相适应的、从客户侧就开始平安控制的端到端的虚拟通道,实现和用户上以应用系统权限无缝匹配。它主要包括如卜内容:I)用户端点准入控制对
20、用户的平安认证和权限管理,使用我司的EAD解决方案(支持PorIa1、802.IX、VPN等认证方式),在接入边缘设备作认证:把CAMS效劳器补丁效劳器病毒效劳肾等集中部署在数据中心内部共享区,内部所有用户接入网络都需要认证,进行臾中的平安管理2)业务逻辑隔离企业园区各部门共用一隹物理网络,逻辑隔离使用VR1.“MP1.SVPN技术。各部门用户通过CEMCE设备接入,通过二层V1.AN或VRF进行隔离。核心层用MP1.S标签转发,控制PE设备VPN路由引入,建立专用的VPN转发通道,为数据中心提供PE或MCE接口,赖容数据中心内部业务逻辑隔高和物理隔离。企业园区网络支持端到端的业务逻辑隔离,支
21、持Qos。3)集中效劳管理为园区内用户提供统一的InternetWN出口,进行集中监控、管理。网络管理使用H3C的iMC网络综合管理中心,内嵌的VP1.SVPNManager支持对MP1.SVPN的专业管理。各种管理策略效劳器、应用效劳器、存储设备等统一部署在数据中心,为全网提供统一的应用和策略效劳。H3C公司的EAD-MP1.SVPN的网络虚拟化方案在业界独创性的实现了提供与企业各部门业务工作流完全兀配的从客户他开始的平安控制的端到端的虚拟逻辑通道,使得各部门的业务数据能够真正实现从端到端的平安虚拟通道中传输,起到/端到端有效的全程隔离作用,使得企业网络和应用实现无触合。根据现有网络应用,X
22、X烟厂园区仍然采用1.3MP1.SVPN进行业务隔离,井根据日后的可控网络的开展要求,实现整个烟草网络的虚拟化。XX烟厂数字化园区生产网和办公网共用一套物理网络,逻辑隔离使用VRF+NP1.SVPN技术。按照业务划分,烟厂园区的YPN可以划分办公业务、卷烟生产业务、仓储物流业务、监控业务等等.各部门用户通过CE设备接入,通过二层V1.AN或V即进行隔齿。核心层用VP1.S标签转发,PE设备控制VPN路由引入,建立专用的VPN转发通道,为数据中心提供PE接口,兼容数据中心内部业务逻辑隔离和物理隔离。我们按照XX烟厂园区实际的需求,在不同的PE上配置相应可以接入的VPN,不同的V1.AN端口对应各
23、自相关的VPN(路由三层子接口)。MP1.S规划如以卜图所示。烟厂园区MP1.SVPNigi+HBC这里的CE的设备也可以是无线AP设备。不同业务部门的人员,通过有线或者无线方式进行EAD端点准入的认证,认证通过后则能够自动接入到相应部门的不同VPN中,实现园区内不同类业务的平安隔离.3.2.5. IP三ttt-IP地址的合理设计是数据中心网络设计中的重要一环,机场信息化网络必须对Ip地址进行统一规划。IP地址规划的好坏,影响到网络路由协议兑法的效率,影响到网络的性能,影晌到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进步开展。IP地址采用RFC1918规定的地址段(不包括外联区域
24、IP地址。根据选择的IP地址段和数据中心的业务功能模块进行映射。IP地址的分配应遵循以下几个原则: 唯一性:一个Ip网络中不能有两个主机采用相同的IP地址 简单性:地址分配成简单易于管理,降低扩展的代价,降低路由设备负担 连续性:连续地址在乂次结构网络中易手进行路径符合,提高路由效率 可扩展性:在每一层次上地址都要留有余量,保证网络可扩展 灵活性:地址分配有灵活性,以满足多种应用策略,充分利用地址空间为了有效地利用地址空间,我们可以对IP地址进行子网划分,从地址的主机局部借取若干位作为子网号,剩余局部仍然表示主机号,另外,为了灵活地在不同规模的子网中分配不同数量IP地址,我们需要采用V1.SM
25、技术,它可根据需要在任意位划分了网边界,对个主网络号,可分出最小只有两个主机号的子网,亦可划分出一个较大的子网,因此它很灵活,特别是在广域在中,只需两个主机号地址,V1.SM非常有用,大大节约了地址空间,又保证了网络设计的灵活性。在进行地址分配时,一般先用一个定长的子网掩码将地址空间分成若干个相同规模的子网,再在每个子网中根据所需的子网数地和规模采用V1.SM进行子网的细分。采用V1.SM时应注意以下三点: 事先要有规划,使子网以可叠合的块进行分配 可能会造成对已有网络地址的重新设世 新的网络必须仔细规划地址分配为缩减路由表的款项,提高路由的效率,路由聚合(RouteSumarization或
26、RouteAggregation)是一个非常重要而有效的手段。分子网是将网络号向主机号局部扩展、即网络边界向右移的过程,而路径祢合则是划分子网的逆过程,通过将子网的边界向左移的过程,可用一个较大的子网来代表一组连续的子网。因此,路由聚合乂称为子网的集结或超级子网,它可得到缩小路由表,降低路由器内存的使用,并减少路由协议产生的网络数据流量.对于具体IP网段规划,要求每个业务网络内部IP网段能够会聚,并且每个业务网段又能鲂分别会聚,这样,有利于路由策略控制。3.2.6. QOS规划设计1) QOS需求针对网络系统承载应用的特点,对应用进行分类,以保证各自数据传输不受影响,对于敏感性的应用应能提供带
27、宽保证。如语音通讯、视频通讯等。在网络上要提供语音、视频的传输:数据可以根据重要级别进行分类,进而提供不同的优先级保证。2)各业务子网QoS规划一、业务流区分,对不同的业务进行标记从而到达区分不同业务流的目的在各业务子网核心交换机上,根据相应的流分类策略.区分不同业务,标记I)SCP:实时业务(如视频):DSCP标记为EF需要带宽保障的业务(如生产数据):DSCP标记为AF4异地备份数据:DSCP标记为AF3管理信息:DSCP标记为AF2二、流量管理,可以根据情况采用CAR的策略,对局部业务限制带宽,从而减少非关键业务对带宽的冲击。三、带宽保障,对关键性的业务进行带宽分配。在核心交换机上设置相
28、应的业务队列(EF、AF4、AF3以及AF2队列)并为每个队列设置相应的带宽保证。3)分类着色策略在各业务子网中,在会聚交换机上若色,对业务潦进行分类:预翦、语音保证每路30K),视频(保证768K2M)、加密公文(中等)、其他业务(垠低保证)。在路由器/交换机上对不同的业务流打上不同的IP优先级,对应的优先级如下:IP优先级:预留:6,7语音:5视频:4办公公文:3-1其他业务:O利用CAR在设备连接的接口上标记分类。4)调度策略不同业务子网核心交换机上根据优先级区分流,并配巴基于流的加权公平队列CBQ,并配置基于流的Differ-ServoCBQ以及Diffe1.SerV根据报文的流分类报
29、文提供不同的转发策略,对于EF类业务将分别保证带宽和时延,对FAF类业务将保证业务带宽,其它类业务将只保证可达性5)丢弃策略做CAR的时候,超过预定流量的直接丢弃。各业务子网具体业务的QoS保障和应用在核心骨干网和安防、OA、商业网络上肯定会有语音、视频等流量在网络上传送,在网络设备的QOS保障是必不可少。下面以视嫉会议的QOS保障为例,来说明QOS在业务网上的应用。一、在会聚交换机设备上对视频流进行分流和着色。在不同业务子网会聚交换机上,运用AC1.策略对视频流进行分流,把关键业务流同其他流量区分开来,在交换机上用QOSCAR对视频潦进行着色处理,使其IP-precedence值设置为紧急队
30、列EF.二、在会聚交换机配置策略,使DSCP匹配EF的视频潦进入紧急优先发送队列1.1.Q,同时在上行链路上应用该策略,保障关键业务流得到交换机的优先发送。三、同样在业务网核心交换机一匕可以设置同样的策略,使DSCP匹配EF的关键业分流进入各自的紧急优先发送队列,同时在各个流出口的接口上应用该策略,关键业务流均能得到优先发送。四、通过在全网配置的策略一致,保障了关键业务流在各级交换机的优先发送级别,从而在全网范围内保障视频的低延时、低抖动,实现对关键业务流在整网的端到端的QOS保障。同样,对于语音这类对丢包非常敏感的报文,网络设备有RTP实时传输协议来对语音流进行可靠的低延时、低丢包的端到端的
31、QOS保证。对于其他对延时没有具体耍求的业务数据流,一般都是要求有一定的带宽保障.同样的按照前述QoS的实施思路,通过分流、若色、应用策略使此类业务进入八F队列,从而也能到达对特定的业务数据流的带宽保证。1.4. XX烟厂园区网无线网络设计3.2.7. 方案逻辑组网图XX烟厂数字化园区是有线基础网络上建设的一套无线网络,H3C推荐采用双星型冗余组网结构。在建设完成的数据中心网络基础之上分别将3CW21IO-AG无线AP以百兆速率连接至接入交换机(H3CS7506E),H3CWX5002无线控制器以千兆速率连接至核心交换机(H3CS9512)用户通过无线控制器和无线网络管理软件实现对所有无线AP
32、设备的集中管理.具体的逻辑组网图如以下图所示:烟厂数字化园区无线局域网方案三J三*fAP设给管建/用户管理H3CWA2110-AG多科无线终端灵活接人3.2.8. 认证方式及认证点选舞本方案主要采用802.IX认证和Porta1.认证两种方式,H3CWA21IO-AG无线AP与无线控制器H3CHX5002通过CAPWAP隧道协议(IETF标准草案,由II3C提出并已获得通过)进行通信,无线用户的认证点都是放置于WX5002无线控制器上,后台的H3CiMC管理效劳器作为用户鉴权点。当用户在AP内进行切换时,此时的主要工作由无线交换机进行统一调度,当用户在网络内不同的端口卜的不同AP的覆盖范围时,
33、此时用户不会再次触发认证,无线用户在不同Ap之间的漫游切换速度小于50亳秒,满足无线用户的业务使用质量。3.2.9. 整网平安无线局域网络主要效劳于XX烟厂内部员工和下限公司办公人员,考虑到网络内部潜在的平安风险,网络平安问题在建网时必须考虑,平安方式主要侧重几个方面:用户平安、网络平安,而在网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如:MAC地址)及用户的帐号、密码,对于内部用户而言,帐号信息采用实名原则,与员工的姓名进行美联,这样无线网络中着重考虑使用无线网络的空口信息的平安机制,同时也要考虑与无线相关的有线网络的平安问题,无线网络平安无线网络平安局部主要包括以卜
34、一方面的内容:1. MAC地址过戏:目前支持基丁MAC地址的过漉,限制具有某种类型的MAC地址特征的终湍才能进入网络中;11.SS1.D管理:是种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络:III .WEP加密:HEP加密是一种踊态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密:IV .支持AES加密,RES平安机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在
35、5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流量来看,根本上是不可能的:V.H3C的无线方案中可根据用户名来划分权限,即相同用户在不同地点接入无线网络其权限保持一致:密钥设置可能根据SSID信息与用户信息进行组合,即不同的SS1.D下不同的用户的密钥生成可以不一样,这样一定程度上保证用户之间串号问题产生;3.2.10.频率规划与负或均衡频率规划802.I1.g使用开放的24GHzISM频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻嫌点之间存在重福。对手真正相互不重,叠信道只有相隔5个信道的工作中心频点。因此对于802Ug在2.4GHZ地工作频段,
36、理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝海或。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。针对如何进行802.I1.g的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无圈盖,并提供更高的效劳带宽提高效劳质量,和高带宽业务的开展11.频率规划原理图频率规划需要配合使用的功能包括:1. Ap支持13个信道设置:11. AP支持100nIW最大射频功率以及多级功率控制;111. AP支持外置天线以及定向天线:112. 11,网络管理基于标准的SNMP协议实现对设备的管理,iMC中专门的无线局域网管理软件常SM组件可实现对W1.A
37、N所有网元的管理,网管工作站可以放在网上的任意位以,通过标准的SNMP即可实现对无线交换机的管理。H3CWX5002无线控制器可以实现更为强大的管理包括P的自动拓扑发现、自动升级、批IS配置、分级管理、分级告警等,并可实现针对无线没盖空间内的射频扫描、非法接入点监听等平安功的。而无线局域网管理软件H3CWSM可以实现配置管理整个机AN无线网络,其具备以下特点:1、零配置安装:接入点无需准备预设置AP从无线控制器继承配置信息。无线控制器内嵌中心机房核心交换机中,H3CW21IO-AG(AP)无需事先进行任何配置,即通过H3C接入层交换机接入有线网络,并自动注册到阳(5002无线控制器匕获得DHC
38、PSERVER分配的IP地址,并自动下载配置.文件正常工作,在大规模AP的工程中大量节省安装维护本钱。用户也可以聘AP配置.为静态地址便于设备管理。2、防盗防入侵:敏感配置信息不在本地保存,即使设备被入侵被盗也不公丧失平安信息“实际运营中很多AP是放置在公共场所,如果宓钥、SS1.D等平安信息在本地保存的话,一旦失窃时全网平安性造成威胁,H3CWA21IO-AG由于其零配置安装,旦掉电不会保存任何信息,防止入侵。3、支持灵活的拓扑结构:AP允许多种部署,从而能够直接或间接连接到管理它的无线局域网控制器。H3CWX5002无线控制器与H3CWA2110-G之间可以隔离任何路由器或交换机,只要共同
39、连接进仃线网络H3CHA21IO-AG就可以自动寻找到无线控制器实现注册。4、自动设置,发射功率和分配射频信道:自动设置发射功率和分配射频信道,用以优化射频单元大小和满足各国对射频信道的要求。当有个别Ap故障时,I13CWX5002无线控制器会自动调大相邻AP的功率弥补信号盲区。5、基于身份的组网:根据用户名对用户权限进行区分,不同于传统的W1.AN网络通过接入的有线交换机端口对用户权限进行划分,并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。6、提供增强的平安性和无漫游:通过这项基于身份的组网功能,经过改良的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网
40、的增强的平安性,实现了无缝的用户移动性和自由性,从而可以进行平安连接和漫游,一次认证展次接入,免去在不同AP下切换的再次认证。7、平安管理:提供入侵检测功能,专用AP可以不断地扫描空域,以便对要求更高平安性的环境提供全天候保护。一旦无线网络中有非法接入点接入,H3CWA21IOTG将上报相应的告警给H3CS9500无线控制器模块,并通过网管软件显示。113. 12.供电问JR由于本次无线网中AP设备数量较多,AP布放位梵根据实际覆盖效果而谢整,在已建设完成的建筑物上较难进行本地供电。基于标准的802.3af实现对AP的供电。通过支持PoE特性的以太网供电模块串接至交换机端口和AP之间,在以太网
41、线传输数据的同时给AP供电,供电距离最远可达100米,满足实际组网的要求。图例如卜丁Ih114. 13.无线覆盖解决方案从整体的统计看来,XX烟厂数字化园区此次的无线圈盖设计根本上可以分为以下几种类型:根据本工程的需求,确定室内局部主要救蛊主办公楼的所有空间:根据实际工勘的结果来看,可以归纳为两大类:AP室内无障碍覆盖、AP室内穿越障碍覆盖,下面则对这三类微盖分别进行描述: AP室内无障碍覆盖主要应用于空间较大的会议室和开放式等室内区域,此时主要信号进行此空间内覆盖,无需要考虑到穿越墙嚷、地板等障碍物对隔曜空间的覆盖:此时又分二种情况,划分原则主要要看是否要使用吸顶天线的问题,根据实现工程勘测
42、情况来看,室内局部都可以采用吸顶天线或挂增的方式进行操作。 RP室内穿越障碍也盖:主要应用于单倜走廊结构室内区域,因为无线信号穿越境壁、地板等障碍物会存在衰减,但在走廊式结构的室内区域具备一定的穿越障碍的能力,一般是穿越一道墙壁之后信号效果较好.因此这样的结构适合在走廊中布置AP,来覆盖侧面的房间区域:根据实现工程勘测情况来看,室内走蟀局部都可以采用吸顶天线或挂堵的方式进行操作。4. XX烟厂园区数据中心存储解决方案11前大局部烟厂采用FC-SAN架构存储,FC-SAN架构具有如下缺乏之处: 基于效劳器内置硬盘的存储方式的扩展不便,而且性能缺乏 SCS1.和FC接口磁盘柜的存储方式,管理繁项,
43、存在较多兼容性问题,无法实现统一的管理 数据保护方式以备份软件+磁带库的方式为生,备份软件只能满足般业务数据的保护要求,无法满足生产管理秒级的保护频率,以及分钟级的恢灾速度:而磁带库存在岩机械部件故障率高、维护困难、读写速度慢的缺点面对FCSAN存在的问题以及IP技术的不断成熟,以太网带宽从IOM开展到了10G,整整提升T1000倍,2003年,以IBM等公司共同发起的基于IP的iSCSI(InternetSCS1.)协议,通过IET组织的审议,公布为RFC标准。iSCSI标准一经公布,就以其低本钱、高可管理性.天然的跨广域数据传输和管理能力、海量组网能力得到了业界的青睐。由于将SCSI数据传
44、输的基础从封闭昂贵的I-C协议转移到IP之上,使存储系统突破了长期困扰的兼容性、本钱和管理性桎枯,使存储网格、广域数据传输、大规模效劳器数据集中、远程容灾、面性能交换式存储架构等存储技术脱下昂贵的外衣,成为广阔行业客户均能轻松获得的最新存储技术。U3C公司与国际一流的存储软硬件供给商合作,共同开发推出iNeOCean白适应网络存储系列产品。以IP存储技术、WSAN(广域SAN)技术、网格存储技术、虚拟存储技术、数据应用效劳技术五大技术群,构建了新代自适应网络存储体系,通过IP存储产品的引入,NeoCean一方面可实现烟厂数字化园区原有FC存储系统之间的数据共享,保护用户原有投资,在另一方面,可
45、将烟厂数字化园区后续数据犷展平滑切换到IP存储之上,为烟厂数字化园区提供易扩展、高平安、高性价比的数据存储新格局.烟草数据中心的应用主要包括生产调度、方案杳询、ERP(W等几个同部。采用基于IP技术的存储设备实现数据存储,实现双机集群和多路经负载均衡:采用和业务特点相适应的数据保护手段,实现业务连续性和数据平安.全IP数据存储和保护方案采用H3CNeoceanIX系列存储设备搭建的IPSN,实现了集中存储。依托于IX系列存储设备优异的性能和良好的犷展性,满足各种应用对数据存偌的要求。通过备份软件和虚拟磁带库D1.100O的配合,既能够满足大多数应用系统的数据保护需求,还能够解决物理磁带库读写速
46、度慢等问题。而针对卷烟牛产调度等核心系统,采用H3C连续数据保护技术,使得应用系统具需更高级别的数据保护和恢复能力,如:杪级数据备份精度和分钟级快速恢此外,通过IP技术跨广域的能力,还能够实现大型烟草企业总部和各分支机构的数据集中、共享,以及数据的异地保存4.1. CDP(持续数据保护)方案CDP(ContinuousDataProtection)连续数据保护是一种有别丁传统利用快照、兔制和镀像等手段来进行数据保护的前沿技术,可在数据发生任何变化时将所有数据很好地保护起来。Q)P既不完全是备份技术,也不完全是归档技术,它是种集备份和归档为体的技术,CDP将传统着眼于“备份”的备份技术,推进到着
47、眼丁快速恢复、最少数据丧失的数据保护新阶段.其最大的技术优势就在于可进行任意时间点的数据恢复.当数据丧失的损失以分钟(或更小的时间单位)来计算时,部署CDP方案就显得十分必要。同时,对于系统的企业来说,CDP技术能减少从灾难发生到数据恢且所需要的时间,满足系统可靠性需到达99.999%的严苛要求。根据XX烟草企业目前的业务需求和未来的开展需要,我们建议XX企业存储系统采用的整体规划如下:数据中心在线存储系统建设:集团和各矿区都建立再现存储系统,建议集团和各矿区都选用1台H3C1X3000高端磁盘阵列做集团和各矿区的在线存储.采用2台H3C公司的1V5000虚拟化数据管理平台将1X3000纳入统一管理,两台1V5000通过active-active方式运行,保证系统的高可用性。主中心1X3000上的数据通过IV5000数据管理平台的AdHPIiVeReP1.iCa1.ion选项进行连续的数据爱制到近线系统的IX100O存储系统上。为了保证工作环境中的文件共享效劳,也可以选用H3C公司
