《(烟草行业)澄城卷烟华为网络方案》由会员分享,可在线阅读,更多相关《(烟草行业)澄城卷烟华为网络方案(112页珍藏版)》请在金锄头文库上搜索。
1、澄城卷烟厂网络设备、网络安全设备、系统集成技术部分华为技术有限公司目录第一章 项目背景51.1项目名称:澄城卷烟厂核心网络改造升级51.2项目背景51.3 现有网络基础5第二章 项目需求分析62.1网络系统需求62.2网络安全系统需求7第三章 系统建设目标、原则83.1系统建设的目标83.2系统建设原则83.3系统建设的主要内容93.1.2网络总体结构10澄城卷烟厂网络改造拓朴图123.1.3传输信道设计133.1.4核心网络设计133.1.5互联网接入设计153.1.6IP地址规划163.1.7路由协议173.1.8VLAN系统规划203.1.9下一步的扩展20第四章 华为网络、网络安全系统
2、建设方案214.1网络及网络安全方案214.1.1核心层设计214.1.2汇聚层设计224.1.3防火墙设计244.1.4接入层设计28第五章 后期项目建设建议295.1环形网络的建设295.2计费软件315.3 IPV6的迁移33第六章 工程实施方案366.1总则366.2工程实施组织结构366.3工程实施流程406.4工程实施的管理与考核406.5实施准备工作426.6工作分配矩阵456.7设备及系统配置要点596.7.1检查与准备现场实施环境596.7.2设备到货验收606.7.3网络系统配置要点606.7.4防病毒软件服务器系统配置要点626.7.6系统软件配置要点636.7.7系统联
3、调646.7.8系统试运行656.7.9系统迁移66第七章 文档提交和管理677.1文档的管理677.2各阶段提交的文档列表677.2.1工程准备期文档677.2.2工程实施期文档687.2.3工程验收期文档687.2.4系统维护期文档68第八章 培训698.1培训目的698.2技术培训人员和时间安排698.3培训方式708.4培训计划708.5培训内容718.5.1局域网基础718.5.2瑞星网络版防病毒软件使用与配置738.5.3防火墙738.5.4IBM服务器管理748.5.5服务器故障排除748.6培训师资力量758.7厂商的培训768.7.1IBM认证培训768.7.2华为认证培训7
4、7第九章 项目验收919.1设备到货验收919.2系统预验收919.3系统终验969.4验收测试的标准和内容97第十章 项目计划10210.1项目进度与阶段性成果10210.2项目参加人员计划10810.2.1工程总协调小组(2人)10810.2.2项目经理(1人)10810.2.3商务运作小组 (3人)10810.2.4实施小组(1名小组负责人,3名实施工程师)10910.2.5培训小组(4人)10910.2.6项目管理小组(3人)10910.2.7质量监督小组(2人)10910.2.8机动小组成员(4人)11010.2.9服务小组成员(4人)11010.3 知识传输计划11010.3.1用
5、户集中技术培训及现场培训11010.3.2文档移交11010.3.3项目验收11110.3.4技术移交11110.3.5技术支持111第十一章 技术支持与售后服务11211.1技术支持和售后服务承诺11211.2组织机构与人员安排11511.2.1组织结构图11511.2.2服务体系11511.2.3服务人员配备和简历11711.3维护支持实施方案12011.3.1服务策略12011.3.2双方职责界面分工12211.3.3五星级服务故障等级和处理时限12311.3.4系统应急方案12411.4维护支持范围12811.4.1支持范围12811.4.2产品质量保证和服务承诺12811.5 维护支
6、持流程12911.6 维护响应时间13011.7 变更请求的处理流程130第十二章 设备配置清单13412.1系统配置清单134第一章 项目背景1.1项目名称:澄城卷烟厂核心网络改造升级1.2项目背景1.3 现有网络基础目前,澄城卷烟厂局域网已基本建成和连通。网络主干带宽为100M,铺设的光纤以多模6芯为主,主交换设备3COM非网管二层交换机,各单位使用的交换机也以二层交换机为主,大多数交换机不支持标准网管,给网管人员带来很大的不便。现有网络设备性能过低,基本不具备安全控制功能,无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。并且不具备防火墙功能,使内外网安全性处在一个较低
7、的水平。第二章 项目需求分析本次项目就是为了满足信息化建设需求,建设澄城卷烟厂信息化应用的网络支撑平台,内容包括:平台的整体架构设计;防病毒体系的建立;网络、安全等设备的选型和采购;系统的集成;安全体系、运维体系的建立。针对客户的详细要求,系统地具体需求为:针对本次项目建设的特点,系统需要保证业务7*24小时的连续性,可用性。因此本次系统建设的总体需求有:1、 可管理性实现设备的自动化远程管理控制。实现人员上网的自动化管理控制2、 无单一故障点从网络设备、网络线路、网络协议、路由协议等方面都要考虑到系统的可靠性、可用性,保证系统的整体冗余。网络设备:背板冗余、电源冗余、VRRP实现交换机之间冗
8、余网络线路:多条线路之间的负载均衡、故障切换网络协议、路由协议:采用主流技术,实现故障自动切换。3、 高性能由于业务的特点,应用处理再特定时段会出现处理高峰,这就对数据传输带宽、网络突发性处理提出了很高的要求。2.1网络系统需求目前,澄城卷烟厂局域网已基本建成和连通。网络主干带宽为100M,铺设的光纤以多模6芯为主,主交换设备非网管3COM,各单位使用的交换机以二层交换机为主,大多数交换机不支持标准网管,给网管人员带来很大的不便。现有网络设备性能过低,基本不具备安全控制功能,无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。针对目前网络的现状主要存在以下问题:1、随着网络规模
9、的扩大,对网络核心的处理能力提出了很高的要求,需要提供高达数百G的交换容量和数百M的转发速率。2、ERP应用有大量的数据在网络进行传输,并且在特定的阶段有传输高峰的出现,对网络带宽提出了很高的要求。3、ERP系统需要大量的主机运行平台,为了实现用户对服务器的快速访问,需要建立一个服务器区,实现服务器的集中访问和管理。4、为了保证网络的运维管理,所有网络设备必须支持网络管理,并且支持VLAN划分以及802.1X认证,实现对端口级别的管理和控制。5、利用原有的部分交换机,实现与老系统的互联和统一管理。2.2网络安全系统需求信息化网络建设,涉及与Internet的连接,涉及到与多个下属部分单位的连接
10、。ERP应用、OA应用、WWW应用、FTP应用等等需要针对不同的部门、不同的人员服务,对网络的安全提出了以下的需求:1、 采用安全控制措施,实现人员的集中管理和控制。2、 采用安全措施,加强对核心服务器系统的保护。3、 采用安全措施,实现与Internet的安全连接,同时对外提供服务。4、 采取安全措施,实现网上行为的审计,进行事中、事后分析。5、 实现集中统一的全网安全管理,减轻管理的负担。第三章 系统建设目标、原则3.1系统建设的目标本次澄城卷烟厂信息化建设的主要目标为:1、 建设覆盖本次应用软件系统所涉及的所有单位和用户,利用千兆以太网技术构建高性能、高可靠性、安全、可管理的网络平台。2
11、、 建设网络安全管理系统,实现对设备、人员、网络行为、终端设备的安全管理。3.2系统建设原则本次系统建设应满足以下总体设计要求:1.高可靠性在系统整体设计中应选用高可靠性设备产品,设备充分考虑冗余、容错能力和备份,同时合理设计总体架构,制订可靠的QoS质量保证策略,最大限度保障系统正常运行。2.可扩展性根据未来业务的增长和变化,系统可平滑扩充和升级,避免在系统扩展时对网络架构的大幅度调整。3.可管理性支持集中监控、分权管理,以便统一分配网络资源。支持故障自动报警。4.高性能设计必须保障网络及设备的高吞吐能力,保证数据的高质量传输,预留出一定的流量增长的范围,保证在可预见的将来满足流量要求,避免
12、网络瓶颈影响整体的系统应用。5.先进性和成熟性网络设备采用先进的技术和制造工艺,对于路由协议支持、数据流量分配,抵御网络攻击、高性能方面保持技术领先,网络结构和路由协议采用成熟的、普遍应用的并被证明是可靠的结构模型和技术。6.标准开放性支持国际上通用标准的网络协议、国际标准的应用与大型网络规模的动态路由协议等开放协议,保证与其它网络之间的平滑连接互通,保证与其它主流网络产品的兼容性,以及将来网络的扩展性。7.成功应用针对ERP系统这种关键业务应用,所选择的设备必须要经过长时间的成功应应用检验,具有非常高的市场占有率。3.3系统建设的主要内容建设内容主要网络建设、安全建设、防病毒建设三个部分。具
13、体内容主要有;1、 核心网络系统建设,通过双核心交换机实现核心的高性能和高可靠性。2、 在四个办公楼部署汇聚交换机,通过双千兆光纤实现实现到两台核心交换机的冗余连接。3、 同时上上述四个楼层的汇聚交换机作为接入交换机使用,实现终端用户的接入。4、 在Internet的出口处部署防火墙,实现到Internet的连接,并且原有专网路由线路也接入此防火墙,保证核心区服务器和应用的安全。同时此防火墙支持国密VPN算法,为日后远程VPN连网打下基础。5、 在核心区部署防病毒网络版软件及相关服务器等应用软件系统,保证整个网络设备、人员、应用的安全。6、 调整网络结构,由原来的多级代理改为直接连接,保证了C
14、/S应用的访问。7、 实现与原有网络设备的连接。3.1.2网络总体结构根据要求及其应用需求,鉴于澄城卷烟厂各部门的特殊安全性要求,在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则,利用标准IP+MPLS VPN技术,保证网络的互联互通性,并提供各部门、应用系统网络间的逻辑隔离(VPN),保证互访的安全控制,同时通过QOS和基于MPLS VPN的流量工程(TE),保证关键业务在网络上传输的优先级。对于基于同一传输网络之上的多个不同部门、应用系统之间的业务和数据隔离,我们设计采用MPLS VPN技术实现网络横向业务部门的隔离和纵向应用系统的互通,所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性,充分保护用户投资。根据网络业务不断发展的需求,未来将在现有数据网络平台基础上增加语音、视频等业务功能,并将各种业务充分融合,统一实现,从而构建一个基于“三网合一” 概念的企业信息化综合业务平台。全网分为三部分:核心层、汇聚层、接层。各部分描述如下:核心层:数据网主干网络设备采用交换机进行组网,配置两台高性能核心三层交换机,完成各汇聚节点与核心节点以及各汇聚节点之间的数据高速路由转发以及各节点园区网的业务汇聚,并在整个骨干网上启用
