中国大唐集团海外公司内外网分离改造方案北京泰豪智能工程有限公司福地项目部2016年2月291. 现有网络分析为了配合大唐集团信息化建设的全面开展,适应现代社会对信息化社会的要求,提高现代化办公的水平,参考已经完成的新能源公司内外网分离项目,计划此次海外公司内外网分离的改造工程。
公司根据自己多年的行业经验,特提出此方案。
以下是海外公司现有网络结构示意图及四层主机房的机柜布置图:网络结构示意图服务器机柜布置图网络核心机柜布置图现有网络设备可以统一规划在外网部分,服务器群规划在内网部分。
对于外网来说,内网相对需要的安全级别更高,数据需要更好、更快、更安全的处理和传输环境,新增加的网络统一规划为内网。
设备新、速度快、安全性高、容易备份。
三层网络架构采用层次化模型设计,即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
三层网络架构设计的网络有三个层次:核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。
核心层:核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。
在核心层中,应该采用高带宽的千兆以上交换机。
因为核心层是网络的枢纽中心,重要性突出。
核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
汇聚层:汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。
汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
在汇聚层中,应该选用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的。
接入层:接入层向本地网段提供工作站接入。
在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。
接入层可以选择不支持VLAN和三层交换技术的普通交换机。
根据海外公司的网络情况实际需求,应再增加一套完整的网络设备,形成一套独立的三层网络架构,增加的设备包括:1、四层机房增加核心层及汇聚层,包括:核心路由器、核心交换机、汇聚交换机、防火墙、网络管理平台。
2、11层及12层信息机房内增加接入层,包括每层增加一台42U标准机柜、两台接入换机,原有的接入交换机硬件老化,接口松动,传输速度过慢,影响正常的办公网络使用,建议更换。
3、11层现有内网端口95个,外网端口85个;12层内网端口72个,外网端口65个;由于内网端口故障或者工位端口故障或者工位至信息机房线路故障导致11层占用外网端口12个,12层占用外网端口13个;施工改造过程中会出现部分办公室外网端口不够用的情况,可能会需要增加一部分机房至工位的网络线路。
4、考虑到网络系统冗余和关键数据备份,参考新能源公司的网络结构搭建,可以将内网部分做硬件备份,其中任何一台核心设备故障或者断电都不会影响整个网络系统的正常运行,如下图:2.系统设计原则标准化原则遵守国际ISO及IEEE相应的系统工程规范及中国系统工程规范实用性原则核心网络是根据实际工作中最迫切需要解决的问题而建立,必须从实用的角度出发,在深入调研的基础上,真正提供办公、管理所需要的帮助,防止任何不切合实际的做法所带来的浪费。
先进性原则系统整体上从资源配置(包括硬件设备,系统软件,网络选型)到功能用途等尽量争取在同业间具有先进水准。
技术成熟性原则系统选型及总体集成应尽量采用先进、成熟的技术,选用已经被市场证明了的配置方式。
避免盲目相信产品参数所导致的失误,使之建成后就能很快地投入实际使用,提高工作效率。
可靠性原则系统的各项资源包括硬件设备、应用软件等可靠性要高,工作稳定,易于维护。
在出现硬件故障和软件故障时,有可靠的恢复手段。
同时,系统应有足够的容错能力,同时能够自动进行故障检测与隔离,关键设备达到99%不间断工作。
成长性原则随着系统、应用环境的变更,通过网络模块的变换及软件支持,网络基础结构能够发挥5-10年效益,使原有的投资得到保护。
安全性原则系统中涉及到海外公司相关机密,必须要有良好的安全保密措施,一是通过VLAN及第三层路由定义来分割网络,二是要对不同的人员设定不同的权限具有权限控制,信息密级制度,通过管理跳线跳接,可使外部网络与内部网络良好的隔离;三是要对关键数据进行及时备份,及时恢复;并对电脑病毒具有较好的防护能力;四是要通过网管中心对网络的使用情况进行监控;尽早发现问题,尽早解决。
3. 网络主干选型任何网络系统,其骨干网络设备的选型将对整个网络的性能及未来拓展性造成决定性的影响,通过认真分析网络建设的实际需求及配置要求,可以看出,网络系统的建设必须适应未来网络发展的需要,同时又必须考虑实用及经济的原则。
故此,我们做出以下配置:鉴于网络的规模性经营优势及对未来新技术的灵活支持,建议采用企业级万兆级交换机H3C S10506作为核心交换机;H3C SR6604作为核心路由器;H3C S7503来作为汇聚交换机;防火墙采用H3C F1000系列;H3C S5120 系列作为接入交换机;H3C IMC系列作为智能网络管理中心。
4. 交换机详细功能配置及说明4.1 H3C S10506核心交换机特点及功能配置H3C S10506基本参数交换容量13.44Tbps/38.4 Tbps包转发率:4320Mpps/10800 Mpps主控板槽位数:2业务板槽位数:6交换网板槽位数:4冗余设计:主控、交换网板、电源、风扇以太网特性:支持802.1Q、支持DLDP、支持LLDP静态MAC配置支持MAC地址学习数目限制支持端口镜像和流镜像功能支持端口聚合、端口隔离、端口镜像支持802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)支持IEEE 802.3ad(动态链路聚合)、静态端口聚合和跨板链路聚合H3C S10506路由特性支持静态路由、RIP、OSPF、IS-IS、BGP4等支持等价路由支持策略路由支持路由策略支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+支持VRRPv3支持Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6支持IPv4向IPv6的过渡技术,包括:IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道支持IPv6等价路由支持IPv6策略路由支持IPv6路由策略组播支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP等路由协议支持IGMP V1/V2/V3、IGMP V1/V2/V3 Snooping支持PIM6-DM、PIM6-SM、PIM6-SSM支持MLD V1/V2、MLD V1/V2 Snooping支持组播策略和组播QoSACL/QoS支持标准和扩展ACL支持Ingress/Egress ACL支持VLAN ACL支持全局ACL支持Diff-Serv QoS支持SP,WRR,SP+WRR等队列调度机制支持流量整形支持拥塞避免支持优先级标记Mark/Remark支持802.1p、TOS、DSCP、EXP优先级映射支持OPENFLOW 1.3标准支持多控制器(EQUAL模式、主备模式)支持VXLAN 二层交换支持VXLAN 路由交换支持VXLAN 网关支持IS-IS+ENDP的VXLAN分布式控制平面支持OpenFlow+Netconf的VXLAN集中式控制平面MPLS/VPLS支持L3 MPLS VPN支持VPLS,VLL支持分层VPLS,以及QinQ+VPLS接入支持IEEE 802.1x和IEEE 802.1x SERVER支持AAA/Radius支持HWTACACS,支持命令行认证支持SSHv1.5/SSHv2支持ACL流过滤机制支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限支持受限的IP地址的Telnet的登录和口令机制支持IP地址、VLAN ID、MAC地址和端口等多种组合绑定支持uRPF支持主备数据备份机制支持故障后报警和自恢复支持FTP、TFTP、Xmodem支持SNMP v1/v2/v3支持sFlow流量统计支持RMON支持NTP时钟支持NetStream流量统计功能支持电源智能管理,支持802.3az高效节能以太网支持设备在线状态监测机制,实现对包括主控引擎,背板,芯片和存储等关键元器件进行检测独立的硬件交换网板设计,实现了控制和转发的真正分离关键部件交换路由处理板支持1+1冗余备份,电源支持M+N冗余备份交换网板支持N+1冗余备份背板采用无源设计,避免单点故障各组件均支持热插拔功能支持各种配置数据在主备主控板上实时热备份支持热补丁功能,可在线进行补丁升级支持NSF/GR for OSFP/BGP/IS-IS/RSVP等支持端口聚合,支持链路跨板聚合支持BFD for VRRP/BGP/IS-IS/OSPF/RSVP/静态路由等,实现各协议的快速故障检测机制,故障检测时间小于50ms支持Ethernet OAM(802.1ag和802.3ah)支持RRPP支持DLDP支持VCT支持Smart-LinkH3C S10506环境参数温度范围:0℃~45℃相对湿度:10%~95%(非凝结)供电:100~240V AC;50/60Hz;16A4.2 H3C SR6604核心路由器特点及功能配置H3C SR6604参数细节路由器类型开放多核企业级路由器端口结构模块化包转发率15Mpps网络协议RIPv1/v2、OSPFv2、BGP、IS-IS等网管功能通过命令行配置通过Console口进行配置通过以太网端口利用Telnet进行配置、远程维护通过AUX口利用Modem拨号进行配置、远程维护通过SNMP管理(v1, v2c, v3)支持RMON(1, 2, 3, 9组MIB)支持系统日志支持分级告警PING、TracertNQA:支持网络质量分析/与VRRP、策略路由、静态路由联动风扇状态检测、维护和告警电源状态检测、维护和告警CF卡状态检测、维护环境温度变化检测、告警VPN功能L3VPN: 跨域MPLS VPN(Option1/2/3)、嵌套MPLSVPN、分层PE(HoPE)、CE双归属、MCE、多角色主机、GRE隧道等L2VPN: Martini、Kompella、CCC和SVC方式MPLS TE、RSVP TE组播VPNQos功能流分类: 基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等流量监管: CAR限速, 粒度可配基于目的地址或者源地址的限速(支持网段限速)GTS流量整形优先级Mark/Remark各种队列调度机制: FIFO、PQ、CQ、WFQ、RTPQ、CBWFQ拥塞避免算法: Tail-Drop、WREDLR速率限制MPLS QoSIPv6 QoS防火墙功能是广域网接口模块化局域网接口 2 GE光电复合(每块FIP-200),2 GE光电复合(每块FIP-100)其他接口Console扩展插槽16个标准/认证ACL访问控制列表ACL加速基于时间的访问控制包过滤防火墙状态防火墙ASPF本机TCP防攻击控制平面限速虚拟分片重组URPFWeb过滤用户分级管理和口令保护AAA认证、授权、计费RADIUSTACACSPortal(支持与EAD联动)PKI证书SSH 1.5/2.0RSAIPSec、IPSec多实例、IKEP2P限流电源电压100~240VAC, -48~-60VDC功耗330W外观尺寸436mm×480mm×220mm机身重量< 38工作温度0℃-45工作湿度10%~95%,无冷凝存储温度-10 - 70存储湿度10%~95%,无冷凝4.3 H3C S7503交换机特点及功能配置:智能交换机应用层级三层传输速率1000Mbps 交换方式存储-转发背板带宽240Gbps 包转发率78Mpps支持端口信任模式支持端口信任模式支持端口队列调度(SP/WRR/SP+WRR)组播管理支持IGMP Snoopingv1/v2/v3MLD Snooping支持组播VLAN网络管理支持XModem/FTP/TFTP加载升级支持命令行接口(CLI),Telnet,Console口进行配置支持SNMP,WEB网管支持RMON(Remote Monitoring)支持iMC智能管理中心支持系统日志,分级告警,调试信息输出支持HGMPv2支持Modem 远端拨号支持NTP支持Ping,Tracert支持Telnet远程维护支持VCT(Virtual Cable Test)电缆检测功能支持Loopback-detection端口环回检测安全管理支持用户分级管理和口令保护支持Radius认证支持SSH 2.0支持802.1X,集中式MAC地址认证支持Guest VLAN支持端口隔离支持端口安全支持MAC地址学习数目限制支持IP源地址保护支持ARP入侵检测功能支持IP+MAC+端口的绑定支持EAD支持Triple认证纠错4.5 H3C F1000防火墙参数:。