石油化工企业宽带小区解决方案样本.doc

1、石油化工企业宽带小区处理方案 伴随人民生活水平不停提升，信息化不停普及，石油化工企业职员对于信息化需求也越来越多，大部分石油化工企业选择了自建宽带小区方法，提升大家生活质量，丰富广大职员业余文化生活。现在石油化工企业普遍采取包月收取月租方法，但因为传统宽带小区网络在安全性和运行能力上问题，使得宽带小区投资回收周期很长。关键表现在：无法预防非法用户接入，一个用户可用HUB或代理方法接入大量非法用户；不能提供按时长、按带宽、按流量等灵活计费方法满足不一样用户需求，固定费用包月方法将大量低上网需求用户屏蔽在外，降低了企业应得收入。为处理石油、石化企业宽带小区问题，华为提出了“可管理、可运行、可增值”

2、宽带网络处理方案。宽带小区网络建设标准：可运行性：小区宽带网络需要向大量用户提供不一样类型服务，网络应提供良好业务管理能力，支持对宽带用户接入管理、身份认证、带宽许可、地址管理和服务质量（QOS），并针对不一样业务提供灵活计费方法，确保网络可运行特征。可管理性：网络要能够实现统一网管，接入交换机含有远程维护能力，可实现统一网络业务调度和管理。开放性和可增值性：组网技术选择必需符合相关国际标准及中国家标准准，确保网络开放性和互连互通，同时小区宽带要建设成完整统一、组网灵活、易扩充弹性网络平台，能够伴随需求改变，充足留有扩充余地，能针对不一样用户需求提供丰富宽带增值业务，使网络可连续赢利。安全可靠

3、性：设计应充足考虑整个网络稳定性，支持网络节点备份和线路保护，提供网络安全防范方法。宽带小区网络构建体系：网络总体构建结构设计为星型分层次结构，采取关键层、汇聚层、接入层三层网络结构。在关键层采取一台QuidwayS8016做为关键交换机，S8016关键部件冗余设计确保网络可靠性，下行链路采取千兆光纤链路，在各个小区中心则采取MA5200E做为汇聚设备，各个小区内则依据楼栋数量和各个单元居民数量和布线情况采取QuidwayS3026、2026、2403H、（以太网）和MA5100ADSL、3026VVDSL（提供电话线接入方法组网，对于较为老小区较为适用）实现小区居民接入。中心Internet

4、出口则依据业务量大小和实际广域网线路选择QuidwayNE05或QuidwayR3680E，对于网络如DHCP、DNS、mail、视频VOD等服务器群则提议经过千兆方法和关键交换机进行互联，使得用户在使用网络时能够得到立即业务响应；对于整个网络设备管理则在网络中心设置一台网管工作站，安装华为Quidview网管软件对全网设备进行统一管理，而对于网络中用户认证、授权和计费则能够经过华为CAMS综合访问管理系统完成对小区用户认证、授权和计费。 方案特点：1.高可靠性：做为宽带小区关键，网络关键可靠性对于整个网络可用性和对用户连续使用关键性是不言而喻，华为QuidwayS8016设备本身提供主控引擎

5、热备份，接口单元则提供接口和单板热插拔、电源系统采取4+1备份方法从供电上确保了设备动力无忧这些全部从设备本身提供了可靠性确保；2.高性能交换能力：做为宽带小区网络关键，为小区内用户提供线速、无阻塞交换机能力是保障小区用户能够得到良好业务服务保障，华为QuidwayS8016采取业界性能最优网络处理器，提供128G背板带宽，96Mpps包转发能力，同时该设备提供基于包硬件转发特征使得在满配置情况下，能够实现全部端口无阻塞线速交换，愈加适合宽带小区中流量20/80现象和流量流向不规则情况。3.完善安全管理机制：提供ACL功效，对用户访问目标地址进行限制，保护网上关键资源不被非法攻击。对用户进行二

6、层隔离和三层受控互访，充足确保网络安全。预防IP地址盗用。做为关键交换机，QuidwayS8016还提供了专用NAT板，它最大支持并发会话数128k，NAT板数量能够按NAT容量需求灵活配置；支持基础地址转换、网络地址端口号转换，支持一般TCP、UDP应用，支持FTP、ICMP、ALG应用，支持如OICQ、RealPlay等流行网上应用，满足网络访问Internet安全需求。4.灵活计费方法：经过华为交换机和华为CAMS之间配合，能够依据用户业务等级实现业务优先级调度，实现业务QOS功效。能够提供基于时段流量统计或连接时间统计，提供灵活合理用户计费方法，用户可在网上自主选择和更改计费方法。MA

7、5200E是华为企业针对以太网商用化而设计IP接入产品，该产品采取优异网络处理技术和交换式总线技术，含有强大硬件转发能力和灵活协议处理能力。同时为适应运行、管理要求，MA5200E加强了用户管理、计费等方面处理，使之现有以太网接入经济、成熟特色，又有电信级用户管理和运行能力，适适用于宽带小区网络建设。5.不一样业务精细管理：对于不一样业务带宽需求不一样，MA5200E能够对用户业务流进行有效流量识别和控制，同时还能够对每个端口下接入用户数量进行控制，确保了对业务有效区分管理和使用网络者控制。6.支持多个用户认证方法：MA5200E除了提供802.1X之外，还提供VLAN、VLANWEB和PPP

8、oE多个接入方法，能够充足满足固定用户和便携移动用户需求。下面对VLAN、VLANWEB和PPPoE接入方法进行简明介绍。采取PPPOE虚拟拨号用户接入方法：用户需要在其用户端安装PPPOE软件，使用时从用户端（PC终端）提议PPP连接，PPP连接经过以太网在MA5200E上进行解析后从PPP呼叫中提取对应用户信息（用户名和密码），将用户信息传输给华为CAMS服务器上对用户进行认证鉴权，并依据用户情况为用户动态分配正当IP地址，实现INTERNET接入。同时CAMS服务器对用户实施计费，计费可采取时长、流量等多个计费方法，满足不一样资费政策需求。采取PPPOE方法处理以太网接入一样需要安装用户

9、端软件，会造成安装、维护难度增强问题；同时采取PPPOE方法时，在用户端上IP数据会经过PPPOE、PPP层协议处理，增加了对应协议开销，造成有效通信流量降低。 采取VLAN直接用户接入方法：采取这种接入方法时，每个用户分配一个VLAN端口，MA5200E依据此VLAN再加上用户IP地址和MAC地址相捆绑，同时配适用户所需业务制订用户策略（用户带宽需求、分配IP地址数目等）实现对用户实现用户接入管理、带宽分配和用户计费等。这种接入认证方法特点是最终用户“零用户端”，即用户终端不需进行任何操作，只要安装好网卡，插入网线即可使用；同时采取该接入方法，网络中传输均为标准以太网数据帧，避免了采取PPP

10、OE方法时网络传输效率下降等问题。采取VLANWEB认证用户接入方法：采取VLAN方法降低了用户端安装、维护工作量，同时提升了网络传输效率，采取这种接入方法相对于PPPOE接入方法而言，因为降低了用户名和密码验证过程，所以比较适合和终端相对固定用户，如：政府机关、居民用户等，但对于流动性较多、较强用户，VLAN方法就显得捉襟见肘了。针对和这个问题，华为提出了VLANWEB认证方法有效地处理了用户帐号流动问题，VLANWEB认证指是经过VLAN接入用户首先经过登录门户网站，输入用户名和密码进行身份认证后，从而取得用户访问权限过程。当用户采取VLAN方法开机时，先经过DHCP过程来取得IP地址，得

11、到IP地址后，MA5200E把用户权限设为未认证用户，此时用户只能访问无偿站点和门户网站。当用户想访问外部站点时，必需先访问门户网站，进行登录。用户在登录过程中，输入用户名和密码，用户信息被发送到CAMS认证服务器进行认证，认证经过后，MA5200E依据认证结果提供用户使用权限，通知用户并开始计费。当用户结束访问时，需要在门户网站上点击注销按钮，发送注销消息。MA5200E依据注销消息改变用户权限，并停止计费。采取VLANWEB接入方法相对单纯VLAN接入方法其关键特点：一个用户端口内，不一样用户拥有不一样权限：采取VLANWEB认证方法时，一个用户端口内（一个用户家中），不一样用户能够拥有不

12、一样访问权限，比如：家中父母访问权限较高，而儿女访问权限较低，避免了各类不良站点对用户侵蚀。用户帐号能够流动，提升了服务满意度：用户帐号能够在同一个WEB服务器管辖范围内中任意端口进行上网，大大方便了用户使用。对于上述两套方案来说，一样全部面临这网络管理问题，从整个网络管理上来说，整个小区管理面临着下述问题：设备覆盖范围扩大:宽带小区建设使得部分设备不能放在机房，而是放在小区中居民楼中，使得网络维护范围从原来机房扩大为网络覆盖全部小区；设备数量多，而且分布点多、面广，使得设备维护量急剧增加；为了处理上述管理问题，在整个网络管理上，华为提供了华为集群管理协议HGMP（HuaweiGroupMan

13、agementProtocol）对整个网络进行统一管理，即经过一个公有IP地址就能够实现对汇聚层、接入层交换机进行集群管理，有效节省IP地址资源。经过华为QuidviewLANManager中提供QuidviewStackmanager、HGMPManager能够实现对网络配置、管理、维护，即在中心就能够完成对各层次设备包含端口、协议等配置，经过网管对端口进行开放或关闭，经过网管提供交换机端口环回测试对交换机进行远程维护，做到了网管员不出门便可完成对网络管理、维护。同时华为提供网管Quidview、安全管理及计费系统CAMS全部提供汉字化管理界面和手册，便于网管员进行学习和操作。管理功效是可运

14、行IP网络关键组成部分。能否支持完善、有效可靠用户管理，将是这个网络能否有效运行关键。华为MA5200E支持完善管理功效，除了提供传统网络设备管理之外，还提供包含安全管理和用户业务管理。实例2在一个规模较大企业中，其下属有多个二级单位，在各单位孤立网络进行互连时，出于对不一样职能部门管理、安全和整体网络稳定运行，我们进行了VLAN划分。第一步 子网分析该网络系统由三部分组成：企业、二级单位1、二级单位2，初始为三部分各自独立，未形成统一网络环境，故各网络系统运行采取是以交换技术为主方法。三网主干均采取是千兆以太网技术，起点高定位为企业信息应用带来了高速、稳定、符合国际标准网络平台。企业中心交换

15、机采取是CiscoCatalyst 6506，带有三层路由引擎使得企业网含有未来升级能力；同时各二级单位中心交换机采取亦是CiscoCatalyst 4006；各二级、三级交换机则采取是CiscoCatalyst 3500系列，关键因为Catalyst 3500系列交换机高性能和可堆叠能力。现三部分应企业要求联网，网络互连仍采取千兆带宽，但因三网均采取了千兆以太网技术，为了不在主干形成瓶颈，所以各子网互连采取Trunk技术，即双千兆技术，使网络带宽达成4G，如此既增加了带宽，又提供了链路冗余，提升了整体网络高速、稳定、安全运行性能。但亦因为网络规模扩大化，信息流量加大，人员复杂化等原因，为企业

16、网络安全性、稳定性、高效率运行带来了新隐患。由此引发了VLAN划分。对于VLAN划分，应企业需求，我们对各VLANIP地址分配为：经理办子网：192.168.1.0192.168.2.0/22 网关：192.168.1.1；财务子网： 192.168.3.0192.168.5.0/22 网关：192.168.3.1；供销子网： 192.168.6.0192.168.8.0/22 网关：192.168.6.1；信息中心子网：192.168.7.0/24 网关：192.168.7.1；服务器子网：192.168.100.0/24 网关：192.168.100.1其它子网： 192.168.8.01

17、92.168.9.0/22 网关：192.168.8.1；第二步 系统分析对于Cisco产品划分，VLAN关键是基于两种标准协议：ISL和802.1Q。在我们这里，因为所采取均是Cisco网络设备，故在进行VLAN间互连时采取ISL协议封装，该协议针对Cisco网络设备硬件平台在信息流处理、多媒体应用优化进行了合理有效优化。对于不一样产品VLAN互连，我们在后面会提到。网络拓扑图因为本案例中相关VLAN划分扩展了各个交换机，所以交换机之间连接全部必需采取Trunk方法。经理办和供销子网代表了VLAN划分中两种问题扩展交换机VLAN划分和端口VLAN划分：在经理办虚网中，对于一个交换机扩展多个V

18、LAN时候，前面提到了该交换机和其上层交换机间必需采取Trunk方法连接，但在供销虚网划分中，在二级单位1中供销独立于一个LAN交换机Catalyst3548，所以在这里，Catalyst3548和二级中心交换机Catalyst4006只需采取正常交换式连接即可，对于此部分供销VLAN划分，只要在Catalyst4006上针对和Catalyst3548连接端口进行划分即可。也就是前面提到基于端口VLAN划分。第三步 路由列表做完了VLAN之间连接后，因为两个Catalyst4006和主中心交换机Catalyst6506间采取是双光纤通道式连接，屏蔽了Catalyst406和Catalyst65

19、06间线路故障产生，所以要对整体网络路由进行基于Catalyst6506集中式管理。我们在主中心交换机Catalyst6506上设置了VLAN路由：经理办虚网：192.168.1.1/22；财务虚网： 192.168.3.1/22；供销虚网： 192.168.6.1/22；信息中心虚网：192.168.7.1/24；其它虚网： 192.168.8.1/22；接下来，在中心交换机上设置路由协议RIP或OSPF，并指定网段192.168.0.0。在全局配置模式下实施以下命令：router ripnetwork 192.168.0.0 注意事项1. 在这里需要注意是：因为整个企业网络系统VLAN划分

20、是作为一个整体结构来设计，所以为了保持VLAN列表一致性，比如当二级单位1VLAN有所改变时，VLAN列表也会有所改变，这时就需要该Catalyst 4006对整体网络其它部分进行广播，以达成VLAN列表一致性。所以在设置VTP（VLAN Trunk Protocol）时要注意，要将VTP域作为一个整体，即：VTP类型分别为Server和Client。2. 有些企业建网较早，所选择网络设备为其它厂商产品，以后期产品又不能和前期统一，这么在VLAN划分中就会碰到些问题。比如：在Cisco产品和3Com产品混合网络结构中划分VLAN，对于Cisco网络设备Trunk封装协议则必需采取802.1Q，

21、以达成和3Com通讯。即使二者之间能够建立VLAN正常划分，和正常应用，但因为交换机全部含有自学习能力，以致二者之间协调配合较差。当二者之间连接发生改变时，必需在Cisco交换机上使用命令（clear counter）进行清除，方可达成二者重新协调工作。经典实例三某企业有100台计算机左右，关键使用网络部门有：生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分，图所表示。所连用户关键分布于四个部分，即：生产部、财务部、信息中心和人事部。关键对这四个部分用户单独划分VLAN，以确保对应部门网络资源不被盗用或破坏。 VLAN配置过程其实很简单，只需两步：（1）为各VLAN组命名

22、；（2）把对应VLAN对应到对应交换机端口。现为了企业对应部分网络资源安全性需要，尤其是对于像财务部、人事部这么敏感部门，其网络上信息不想让太多人能够随便进出，于是企业采取了VLAN方法来处理以上问题。经过VLAN划分，能够把企业关键网络划分为：生产部、财务部、人事部和信息中心四个关键部分，对应VLAN组名为：Prod、Fina、Huma、Info，各VLAN组所对应网段以下表所表示。VLAN 号 VLAN 名 端口号 2 prod switch1 2-213 fina switch2 2-164 huma switch3 2-95 info switch3 10-21 事业无须惊天动地，有成就行； 爱情无须死去活来，温馨就行； 友谊无须两肋插刀，尽责就行； 金钱无须取之不尽，够用就行； 身体无须长命百岁，健康就行； 老婆无须闭月羞花，象样就行。