1、XX烟厂信息化处理方案技术提议书杭州华三通信技术.06目 录1.烟厂数字化园区信息化需求32.H3C IToIP烟厂数字化园区信息化处理方案架构43.XXX烟厂园区统一高效IP网络处理方案53.1.IP网络方案设计标准53.2.XX烟厂园区网络建设目标和整体计划:73.2.1.建设目标73.2.2.整体计划73.3.XX烟厂园区网络具体设计93.2.3.局域网具体设计93.2.4.虚拟园区网设计103.2.5.IP地址计划设计133.2.6.QoS计划设计143.4.XX烟厂园区网无线网络设计163.2.7.方案逻辑组网图163.2.8.认证方法及认证点选择173.2.9.整网安全183.2.
2、10.频率计划和负载均衡193.2.11.网络管理193.2.12.供电问题213.2.13.无线覆盖处理方案214.XX烟厂园区数据中心存放处理方案224.1.CDP(连续数据保护)方案235.XX烟厂全局安全计划方案255.1.烟草工业园区网络安全现实状况255.2.全局安全概述255.3.EAD方案265.4.数据中心安全275.5.安全评定305.6.全网安全方案特点326.XX烟厂IP智能监控处理方案326.1.烟草工业企业园区监控需求326.2.H3C IP智能监控处理方案概述346.3.H3C IP智能监控处理方案特点367.XXX烟厂综合信息管了处理方案387.1.基础资源管理
3、397.2.身份和接入管理397.3.端点安全准入管理407.4.VPN管理407.5.网络智能分析401. 烟厂数字化园区信息化需求中国是世界上第一烟草大国,现阶段常年吸烟人口达3.1亿之多,年卷烟消费量约17000亿支,卷烟制造行业是关系到人民日常生活关键消费品制造行业。伴随建设现代化烟草企业序幕展开,信息化技术应用和改革对卷烟工业企业推进启到至关关键作用。卷烟工业企业信息化是指广泛利用电子信息技术,使企业生产、管理实现自动化。目前,中国卷烟工业企业信息化建设已初具规模,由单机应用、局部系统应用发展到了网络化、集成化、数字化和智能化,管理信息系统在行业经济发展中已发挥了关键作用。 卷烟工业
4、企业信息化建设关键包含两大部分:一部分是设计、生产过程信息化,实际上是生产过程自动化,属于工业控制范围。用自动化生产、测量、显示、控制等工具,经过控制信息达成生产自动化。另一部分是管理信息化,就是建立管理信息系统(MIS)、办公自动化系统(OA)和决议支持系统(DSS)等。卷烟工业企业信息化建设在工控方面将向计算机集成制造系统(CIMS)方向发展;在管理方面将向数字化、智能化发展。在企业内部将建立起全方面数据分析、决议支持系统,在企业外部将建立完善电子商务(EC)环境,经过建立供给链管理(SCM)系统、用户关系管理(CRM)系统,提升整个企业市场竞争能力。国家烟草专卖局在数字烟草发展纲要中提出
5、了“统一平台、统一数据库、统一网络”信息化建设纲要。统一网络是指经过建设一个整体行业专网把总企业到各个省企业和省工业企业(省烟草企业和各个省工业企业)经过行业专网全部连接起来,形成一个统一行业大网。统一平台和统一数据库则更有益于实现信息资源共享。纲要宗旨是将信息化贯穿烟草行业生产经营管理各个步骤、各个步骤,和将复杂多变烟草信息转变为能够量化数据,经过数字分析,为各企业乃至整个产业发展提供决议依据。结合XX烟厂生产业务系统、办公管理业务系统、当地局域网和广域网计划需求,数据存放需求,网络安全性需求,监控需求,管理需求,H3C提出一体化数字化烟厂园区处理方案。2. H3C IToIP烟厂数字化园区
6、信息化处理方案架构烟厂数字化园区内部各个业务系统是在不一样年代建设,其包含了多种多样标准和协议,怎样对它们进行高效整合,实现信息资源共享,是一个难题。众所周知,TCP/IP是迄今为止应用最广泛、最成熟、最为开放、标准化程度最高技术体系,含有简单、开放、灵活扩展、管理和互操作等一系列优势,已经成为当今互联网、电信网、政务网、企业网关键承载技术。IP协议弹性强,能愈加好地适应IT网络多种改变。比如在存放技术领域,传统FC技术存在兼容性和扩展性等方面问题,基于IP存放能够愈加好地实现平台兼容性及业务扩展性,并可实现更灵活数据服务定制。基于这么时尚,H3C推出了IT On IP(简称IToIP)烟厂数
7、字化园区信息化基础平台建设理念及整体处理方案。IToIP并不是多种产品简单堆积,而是一个完全基于IP融合IT处理方案。在整个信息生命周期中,信息产生、存放、传送、处理全部是经过IP方法进行,中间不用任何转化,这么就能够对整个IT系统愈加好地管理,提升效率。经过对烟厂数字化园区需求深入了解,H3C利用优异实用数据通讯技术和产品,提出了烟厂园区信息化处理方案。烟厂数字化园区处理方案模型图: 3. XXX烟厂园区统一高效IP网络处理方案3.1. IP网络方案设计标准IP网络是整个烟厂信息化基础承载体,所以,建设统一可靠高效IP网络很关键,整个基础网络设计遵照以下标准:n 链路冗余 在主干连接(主干设
8、备之间及其和汇接设备之间连接)含有可靠线路冗余方法。提议采取负载均衡冗余方法,即通常情况下两条连接均提供数据传输,并互为备份。根本路可实时、自动切换到备份线路,而不影响业务应用。n 模块冗余 关键层设备和汇聚层设备全部模块和环境部件应含有1+1或1:N热备份功效,关键层交换设备主备切换时间小于1秒。全部模块含有热插拔功效。系统含有99.999%以上可用性。n 设备冗余 关键交换机采取两台或两台以上设备组成,当其中一个设备因故障停止工作时,另一台设备自动接替其工作,而且不引发其它节点路由表重新计算,从而提升网络稳定性,切换时间大于3秒。n 拥塞控制和服务质量保障拥塞控制和服务质量保障(QoS)是
9、公众服务网关键品质。因为接入方法、接入速率、应用方法、数据性质丰富多样,网络数据流量突发是不可避免,所以,网络对拥塞控制和对不一样性质数据流不一样处理是十分关键。网络支持标准DiffServ QoS机制。网络设备应支持68种业务分类(COS)。当用户终端不提供业务分类信息时,网络设备应依据用户所在网段、应用类型、流量大小等自动对业务进行分类。接入本网络业务应遵守其接入速率承诺。超出承诺速率数据将被丢弃或标以最低优先级。当网络出现真正拥塞时,瞬间大量丢包会引发大量TCP数据同时重发,加剧网络拥塞程度并引发网络不稳定。网络设备应含有优异技术,在网路出现拥塞前就自动采取合适方法,进行先期拥塞控制,避
10、免瞬间大量丢包现象。n 网络扩展能力网络扩展能力包含设备交换容量扩展能力、端口密度扩展能力、主干带宽扩展,和网络规模扩展能力。交换容量扩展 :交换容量应含有在现有基础上继续扩充12倍容量能力,以适应IP类业务急速膨胀现实。端口密度扩展 :设备端口密度应能满足网络扩容时设备间互联需要。主干带宽扩展 :主干带宽应含有24倍甚至更高带宽扩展能力,以适应IP类业务急速膨胀现实。网络规模扩展 :网络体系、路由协议计划和设备CPU/NP路由处理能力,在关键网络设备能适应未来达成2倍以上规模扩展要求。网络通信协议:以TCP/IP协议为主,设备商应提供服务营运等级网络通信软件和网际通用操作系统,路由协议支持成
11、熟标准而且广泛应用OSPF路由协议。3.2. XX烟厂园区网络建设目标和整体计划:3.2.1. 建设目标烟厂数字化园区统一高效IP承载网建设目标:l 网络统一计划,分层分域,采取层次化建设模型和分区域模块化结构,层次清楚,现有效隔离,又相互连通; l 带宽充足,确保多种新兴业务,如视频监控、视频会议等高速传输。l 高可用性,承载实时生产业务和视频监控;烟厂数字化园区集中统一数据存放建设目标:l 可靠数据大集中存放、当地实时备份及远程容灾,生产、办公和监控数据不丢失。烟厂数字化园区一体化安全建设目标:l 端到端信息系统安全,网络边缘和内部终端安全;烟厂数字化园区融合通信建设目标:l 实现视频、监
12、控、语音有机融合;烟厂数字化园区一体化管理建设目标:l 对网络、安全、存放和用户进行统一管理维护,达成可管理、易管理。总而言之,烟厂数字化园区信息化目标包含:以统一高效IP网络和数据为基础,以全方面深入信息系统安全、智能安防和统一智能管理为确保,支撑起烟厂数字化园区整合化应用系统,从而为烟厂数字化园区提供一个可靠高效信息化平台。 3.2.2. 整体计划依据XX卷烟厂网络建设目标和业务需求,在充足分析XX卷烟厂业务需求基础上,构建XX烟厂数字化园区网络,XX烟厂网络是整个XX卷烟厂应用基础网,应能满足XX卷烟厂多业务、高带宽应用需求,所以网络将建成一个承载多个业务台。网络整体计划以下:在烟厂园区
13、网络整体设计中,采取层次化、模块化网络设计结构,并严格定义各层功效模型,不一样层次关注不一样特征配置。经典烟厂园区网络结构能够分成三层:接入层、汇聚层、关键层。1) 接入层:提供网络第一级接入功效,完成简单二、三层交换,安全、Qos和POE功效全部在这一层。依据以上要求,对于企业园区网接入层设备,提议采取千兆接入方法,应该含有线速三层交换、IRF智能弹性堆叠技术和高级QoS策略等功效。2) 汇聚层:汇聚来自配线间流量和实施策略,当路由协议应用于这一层时,含有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备第一跳网关;对于企业园区网汇聚层设备,应该能够承载企业园区多个融合业务,如MPL
14、S、IPv6、网络安全、无线、无源光网络等,并提供不间断转发、优雅重启、环网保护等多个高可靠技术,满足企业园区融合业务需求。3) 关键层:网络骨干,必需能够提供高速数据交换和路由快速收敛,要求含有较高可靠性、稳定性和易扩展性等。对于企业园区网关键层,必需提供高性能、高可靠网络结构,推荐采取高可靠RPR环网结构或多设备冗余星型结构。这么能够实现10ms故障检测时间和50ms业务倒换时间,能够做到故障切换时完全不影响正在进行音频业务,完全满足电信级可靠性要求。3.3. XX烟厂园区网络具体设计3.2.3. 局域网具体设计XX烟厂数字化园区提议采取常见二层接入、三层关键交换组网模型。经过VLAN隔离
15、区域用户,同一VLAN内用户可方便互访。同时在关键层配置安全规则对内部网络各子网间路由实现策略控制,接入层启用802.1x和防ARP欺骗等安全特征为用户提供保护。网络接入层到关键层间配置STP协议,关键层和广域网部分配置三层OSPF路由协议,OSPF路由协议和白沙物流数据中心采取相同OSPF id,并将整个科研数据中心设置为Area 0。提议汇聚层交换机采取H3C S7506E,汇聚设备10GE双上行和关键层H3C S9512相连,提供链路冗余,关键层设备经过VRRP协议进行网关备份。在这个网络中,经过合理计划VRRP group master、生成树实例和生成树实例和VLAN映射关系,可提升
16、网络链路利用率和可靠性。在分布层配置多个VRRP组,组master和backup角色均匀分布在两台关键路由交换机上,使两台网关设备同时完成备份和负载分担功效;经过多生成树实例计划,使接入设备不一样VLAN业务负载分担在两条上行链路,而且抵达汇聚设备为第一跳网关master;实例root和生成树实例映射VLAN三层网关master在同一台汇聚设备上,使STP协议能够经过计算合理阻塞链路,而且缩小链路故障引发网络震荡范围;若接入设备上有VLAN重合,汇聚设备设置为二层TRUNK链路。部分安全特征配合使用,更能增强网络健壮性:在网络边缘直接和用户相连端口能够配置边缘端口和BPDU保护,预防从这些端口
17、接收到BPDU报文引发网络拓扑改变;在汇聚网关上配置TC保护和根保护特征,预防攻击造成拓扑频繁改变。关键HA性能参数网络故障收敛性能接入层设备主备倒换(S7506E)50毫秒接入层-关键层链路故障/恢复1秒关键层设备主备倒换50毫秒关键层设备故障1秒链路单通故障2秒3.2.4. 虚拟园区网设计一个烟厂企业园区,需要生产平台、管理运行、销售、安保监控等业务隔离。隔离手段能够是物理隔离,也能够是逻辑隔离。相对于物理隔离,逻辑隔离(网络虚拟化)含有没有需反复建设、能提供统一安全、管理、HA策略等优点,而且能够愈加好地提供面向应用服务。通常烟厂园区网虚拟化需求关键以下:l 横向不一样部门/分类间业务隔
18、离,提升涉密业务安全性,同时提供访问控制策略,满足不一样部门间业务互访要求l 为园区内各部门提供统一Internet出口,供内部用户访问Internet和为外部公众提供给用服务,进行集中控制管理l 提供广域网接口,实现相同部门/种类业务纵向互通l 数据中心资源逻辑上分三部分:部门内部数据区、共享数据区和对外服务数据区,分别为独立部门内部、业务交互部门和外部公众提供服务l 为关键业务提供端到端Qos确保为了满足烟厂园区网虚拟化需求,H3C企业提出了EADMPLS VPN处理方案,能够实现和企业各部门工作流相适应、从用户侧就开始安全控制端到端虚拟通道,实现和用户上层应用系统权限无缝匹配。它关键包含
19、以下内容:1) 用户端点准入控制对用户安全认证和权限管理,使用本企业EAD处理方案(支持portal、802.1X、VPN等认证方法),在接入边缘设备作认证;把CAMS服务器补丁服务器病毒服务器等集中布署在数据中心内部共享区,内部全部用户接入网络全部需要认证,进行集中安全管理2) 业务逻辑隔离企业园区各部门共用一套物理网络,逻辑隔离使用VRF+MPLS VPN技术。各部门用户经过CEMCE设备接入,经过二层VLAN或VRF进行隔离。关键层用MPLS标签转发,控制PE设备VPN路由引入,建立专用VPN转发通道,为数据中心提供PE或MCE接口,兼容数据中心内部业务逻辑隔离和物理隔离。企业园区网络支
20、持端到端业务逻辑隔离,支持Qos。3) 集中服务管理为园区内用户提供统一InternetWAN出口,进行集中监控、管理。网络管理使用H3CiMC网络综合管理中心,内嵌MPLS VPN Manager支持对MPLS VPN专业管理。多种管理策略服务器、应用服务器、存放设备等统一布署在数据中心,为全网提供统一应用和策略服务。H3C企业EAD+MPLS VPN网络虚拟化方案在业界独创性实现了提供和企业各部门业务工作流完全匹配从用户侧开始安全控制端到端虚拟逻辑通道,使得各部门业务数据能够真正实现从端到端安全虚拟通道中传输,起到了端到端有效全程隔离作用,使得企业网络和应用实现无缝融合。依据现有网络应用,
21、XX烟厂园区仍然采取L3 MPLS VPN进行业务隔离,并依据以后可控网络发展要求,实现整个烟草网络虚拟化。XX烟厂数字化园区生产网和办公网共用一套物理网络,逻辑隔离使用VRF+MPLS VPN技术。根据业务划分,烟厂园区VPN能够划分办公业务、卷烟生产业务、仓储物流业务、监控业务等等。 各部门用户经过CE设备接入,经过二层VLAN或VRF进行隔离。关键层用MPLS标签转发,PE设备控制VPN路由引入,建立专用VPN转发通道,为数据中心提供PE接口,兼容数据中心内部业务逻辑隔离和物理隔离。我们根据XX烟厂园区实际需求,在不一样PE上配置对应能够接入VPN,不一样VLAN端口对应各自相关VPN(
22、路由三层子接口)。MPLS计划以下图所表示。这里CE设备也能够是无线AP设备。不一样业务部门人员,经过有线或无线方法进行EAD端点准入认证,认证经过后则能够自动接入到对应部门不一样VPN中,实现园区内不一样类业务安全隔离。3.2.5. IP地址计划设计IP地址合理设计是数据中心网络设计中关键一环,机场信息化网络必需对IP地址进行统一计划。IP地址计划好坏,影响到网络路由协议算法效率,影响到网络性能,影响到网络扩展,影响到网络管理,也必将直接影响到网络应用深入发展。IP地址采取RFC1918要求地址段(不包含外联区域IP地址)。依据选择IP地址段和数据中心业务功效模块进行映射。IP地址分配应遵照
23、以下多个标准: l 唯一性:一个IP网络中不能有两个主机采取相同IP地址 l 简单性:地址分配应简单易于管理,降低扩展代价,降低路由设备负担l 连续性:连续地址在层次结构网络中易于进行路径叠合,提升路由效率 l 可扩展性:在每一层次上地址全部要留有余量,确保网络可扩展 l 灵活性:地址分配有灵活性,以满足多个应用策略,充足利用地址空间 为了有效地利用地址空间,我们能够对IP地址进行子网划分,从地址主机部分借取若干位作为子网号, 剩下部分仍然表示主机号,另外,为了灵活地在不一样规模子网中分配不一样数量 IP地址,我们需要采取VLSM技术,它可依据需要在任意位划分子网边界,对一个主网络号,可分出最
24、小只有两个主机号子网,亦可划分出一个较大子网,所以它很灵活,尤其是在广域在中,只需两个主机号地址,VLSM很有用,大大节省了地址空间,又确保了网络设计灵活性。 在进行地址分配时,通常先用一个定长子网掩码将地址空间分成若干个相同规模子网,再在每个子网中依据所需子网数量和规模采取VLSM进行子网细分。 采取VLSM时应注意下列三点: l 事先要有计划,使子网以可叠合块进行分配 l 可能会造成对已经有网络地址重新设置 l 新网络必需仔细计划地址分配 为缩减路由表款项,提升路由效率,路由聚合(Route Summarization 或 Route Aggregation) 是一个很关键而有效手段。分子
25、网是将网络号向主机号部分扩展、即网络边界向右移过程,而路径叠合则是划分子网逆过程,经过将子网边界向左移过程,可用一个较大子网来代表一组连续子网。 所以,路由聚合又称为子网集结或超级子网,它可得到缩小路由表,降低路由器内存使用,并降低路由协议产生网络数据流量。对于具体IP网段计划,要求每个业务网络内部IP网段能够汇聚,而且每个业务网段又能够分别汇聚,这么,有利于路由策略控制。3.2.6. QoS计划设计1) QoS需求针对网络系统承载应用特点,对应用进行分类,以确保各自数据传输不受影响,对于敏感性应用应能提供带宽确保。如语音通讯、视频通讯等。在网络上要提供语音、视频传输;数据能够依据关键等级进行
26、分类,进而提供不一样优先级确保。2) 各业务子网QoS计划一、业务流区分,对不一样业务进行标识从而达成区分不一样业务流目标在各业务子网关键交换机上,依据对应流分类策略,区分不一样业务,标识DSCP:实时业务(如视频):DSCP标识为EF需要带宽保障业务(如生产数据):DSCP标识为AF4异地备份数据:DSCP标识为AF3管理信息:DSCP标识为AF2二、流量管理,能够依据情况采取CAR策略,对部分业务限制带宽,从而降低非关键业务对带宽冲击。三、带宽保障,对关键性业务进行带宽分配。在关键交换机上设置对应业务队列(EF、AF4、AF3和AF2队列)并为每个队列设置对应带宽确保。3) 分类着色策略在
27、各业务子网中,在汇聚交换机上着色,对业务流进行分类:预留、语音(确保每路30K)、视频(确保768K2M)、加密公文(中等)、其它业务(最低确保)。在路由器/交换机上对不一样业务流打上不一样IP优先级,对应优先级以下:IP优先级:预留:6,7语音:5视频:4 办公公文: 3-1其它业务:0利用CAR 在设备连接接口上标识分类。4) 调度策略不一样业务子网关键交换机上依据优先级区分流,并配置基于流加权公平队列CBQ,并配置基于流Differ-Serv。CBQ和Differ-serv依据报文流分类报文提供不一样转发策略,对于EF类业务将分别确保带宽和时延,对于AF类业务将确保业务带宽,其它类业务将
28、只确保可达性。5) 丢弃策略做CAR时候,超出预定流量直接丢弃。各业务子网具体业务QOS保障和应用在关键骨干网和安防、OA、商业网络上肯定会有语音、视频等流量在网络上传送,在网络设备QOS保障是必不可少。下面以视频会议QOS保障为例,来说明QOS在业务网上应用。一、在汇聚交换机设备上对视频流进行分流和着色。在不一样业务子网汇聚交换机上,利用ACL 策略对视频流进行分流,把关键业务流同其它流量区分开来,在交换机上用QOS CAR对视频流进行着色处理,使其IP- precedence值设置为紧急队列EF。二、在汇聚交换机配置策略,使DSCP匹配EF视频流进入紧急优先发送队列LLQ,同时在上行链路上
29、应用该策略,保障关键业务流得到交换机优先发送。三、一样在业务网关键交换机上,能够设置一样策略,使DSCP匹配EF关键业务流进入各自紧急优先发送队列,同时在各个流出口接口上应用该策略,关键业务流均能得到优先发送。四、经过在全网配置策略一致,保障了关键业务流在各级交换机优先发送等级,从而在全网范围内保障视频低延时、低抖动,实现对关键业务流在整网端到端QOS保障。一样,对于语音这类对丢包很敏感报文,网络设备有RTP实时传输协议来对语音流进行可靠低延时、低丢包端到端QOS确保。对于其它对延时没有具体要求业务数据流,通常全部是要求有一定带宽保障。一样根据前述QOS实施思绪,经过分流、着色、应用策略使这类
30、业务进入AF队列,从而也能达成对特定业务数据流带宽确保。3.4. XX烟厂园区网无线网络设计3.2.7. 方案逻辑组网图XX烟厂数字化园区是有线基础网络上建设一套无线网络,H3C推荐采取双星型冗余组网结构。在建设完成数据中心网络基础之上分别将H3C WA2110-AG无线AP以百兆速率连接至接入交换机(H3C S7506E),H3C WX5002无线控制器以千兆速率连接至关键交换机(H3C S9512)。用户经过无线控制器和无线网络管理软件实现对全部没有线AP设备集中管理。具体逻辑组网图以下图所表示:3.2.8. 认证方法及认证点选择本方案关键采取802.1X认证和Portal认证两种方法,H
31、3C WA2110-AG无线AP和无线控制器H3C WX5002经过CAPWAP隧道协议(IETF标准草案,由H3C提出并已取得经过)进行通信,无线用户认证点全部是放置于WX5002无线控制器上,后台H3C iMC管理服务器作为用户鉴权点。当用户在AP内进行切换时,此时关键工作由无线交换机进行统一调度,当用户在网络内不一样端口下不一样AP覆盖范围时,此时用户不会再次触发认证,无线用户在不一样AP之间漫游切换速度小于50毫秒,满足无线用户业务使用质量。3.2.9. 整网安全无线局域网络关键服务于XX烟厂内部职员和下属企业办公人员,考虑到网络内部潜在安全风险,网络安全问题在建网时必需考虑,安全方法
32、关键侧重多个方面:用户安全、网络安全,而在网络中关键依附于用户实体属性关键包含用户使用信息终端二层属性(诸如:MAC地址)及用户帐号、密码,对于内部用户而言,帐号信息采取实名标准,和职员姓名进行关联,这么无线网络中着重考虑使用无线网络空口信息安全机制,同时也要考虑和无线相关有线网络安全问题。无线网络安全无线网络安全部分关键包含以下方面内容:I.MAC地址过滤:现在支持基于MAC地址过滤,限制含有某种类型MAC地址特征终端才能进入网络中;II.SSID管理:是一个网络标识方案,将网络进行一个逻辑化标识,对终端上发报文全部要求进行上带SSID,假如没有SSID标识则不能进入网络;III.WEP加密
33、:WEP加密是一个静态加密机制,通信双方含有一个共同密钥,终端发送空口信息报文必需使用共同密钥进行加密;IV.支持AES加密,AES安全机制是一个动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现,同时密钥管理也定时更新,含有体时间由系统能够设定,通常情况全部设定为5分钟左右,这么非法用户要想在5分钟之内进行获取足够数量报文进行匹配出密钥出来,从无线空口流量来看,基础上是不可能;V.H3C无线方案中可依据用户名来划分权限,即相同用户在不一样地点接入无线网络其权限保持一致;密钥设置可能依据SSID信息和用户信息进行组合,即不一样SSID下不一样用户密钥生成能够不一样,这么一定程度上确保用户
34、之间串号问题产生;3.2.10. 频率计划和负载均衡频率计划802.11g使用开放2.4GHz ISM频段,可工作信道数为欧洲标准信道数13个。因为其支持直序扩频技术造成相邻频点之间存在重合。对于真正相互不重合信道只有相隔5个信道工作中心频点。所以对于802.11g在2.4GHz地工作频段,理论上只能进行三信道蜂窝计划实现对需要计划热点无缝覆盖。另外,因为功率模板是否能做到符合邻道、隔道不干扰也很影响频率计划效果。针对怎样进行802.11g频率计划作了大量试验,试验证实3载频也能够实现蜂窝对需要覆盖区域进行无缝覆盖,并提供更高服务带宽提升服务质量,和高带宽业务开展。频率计划原理图频率计划需要配
35、合使用功效包含:I.AP支持13个信道设置;II.AP支持100mW最大射频功率和多级功率控制;III.AP支持外置天线和定向天线;3.2.11. 网络管理基于标准SNMP协议实现对设备管理,iMC中专门无线局域网管理软件WSM组件可实现对WLAN全部网元管理。网管工作站能够放在网上任意位置,经过标准SNMP即可实现对无线交换机管理。H3C WX5002无线控制器能够实现更为强大管理包含AP自动拓扑发觉、自动升级、批量配置、分级管理、分级告警等,并可实现针对无线覆盖空间内射频扫描、非法接入点监听等安全功效。而无线局域网管理软件H3C WSM能够实现配置管理整个WLAN无线网络,其含有以下特点:
36、1、零配置安装:接入点无需准备预设置,AP从无线控制器继承配置信息。无线控制器内嵌中心机房关键交换机中,H3C WA2110-AG(AP)无需事优异行任何配置,即经过H3C接入层交换机接入有线网络,并自动注册到WX5002无线控制器上,取得DHCP SERVER分配IP地址,并自动下载配置文件正常工作,在大规模AP项目中大量节省安装维护成本。用户也能够将AP配置为静态地址便于设备管理。2、防盗防入侵:敏感配置信息不在当地保留,即使设备被入侵被盗也不会丢失安全信息。实际运行中很多AP是放置在公共场所,假如密钥、SSID等安全信息在当地保留话,一旦失窃对全网安全性造成威胁,H3C WA2110-A
37、G因为其零配置安装,一旦掉电不会保留任何信息,避免入侵。3、支持灵活拓扑结构:AP允很多个布署,从而能够直接或间接连接到管理它无线局域网控制器。H3C WX5002无线控制器和H3C WA2110-AG之间能够隔离任何路由器或交换机,只要共同连接进有线网络,H3C WA2110-AG就能够自动寻求到无线控制器实现注册。4、自动设置发射功率和分配射频信道:自动设置发射功率和分配射频信道,用以优化射频单元大小和满足各国对射频信道要求。当有部分AP故障时,H3C WX5002无线控制器会自动调大相邻AP功率填补信号盲区。5、基于身份组网:依据用户名对用户权限进行区分,不一样于传统WLAN网络经过接入
38、有线交换机端口对用户权限进行划分,而且能够对用户位置、带宽和漫游等历史数据进行统计跟踪。6、提供增强安全性和无缝漫游:经过这项基于身份组网功效,经过改善用户组认证接入控制、一直强制漫游策略和对带宽使用监视实现了无线局域网增强安全性,实现了无缝用户移动性和自由性,从而能够进行安全连接和漫游,一次认证数次接入,免去在不一样AP下切换再次认证。7、安全管理:提供入侵检测功效,专用 AP 能够不停地扫描空域,方便对要求更高安全性环境提供全天候保护。一旦无线网络中有非法接入点接入,H3C WA2110-AG将上报对应告警给H3C S9500无线控制器模块,并经过网管软件显示。3.2.12. 供电问题因为
39、此次无线网中AP设备数量较多,AP布放位置依据实际覆盖效果而调整,在已建设完成建筑物上较难进行当地供电。基于标准802.3af实现对AP供电。经过支持PoE特征以太网供电模块串接至交换机端口和AP之间,在以太网线传输数据同时给AP供电,供电距离最远可达100米,满足实际组网要求。图例以下:3.2.13. 无线覆盖处理方案从整体统计看来,XX烟厂数字化园区此次无线覆盖设计基础上能够分为以下多个类型:依据本项目标需求,确定室内部分关键覆盖主办公楼全部空间;依据实际工勘结果来看,能够归纳为两大类:AP室内无障碍覆盖、AP室内穿越障碍覆盖,下面则对这三类覆盖分别进行描述:4 AP室内无障碍覆盖关键应用
40、于空间较大会议室和开放式等室内区域,此时关键信号进行此空间内覆盖,无需要考虑到穿越墙壁、地板等障碍物对隔壁空间覆盖;此时又分二种情况,划分标准关键要看是否要使用吸顶天线问题,依据实现工程勘测情况来看,室内部分全部能够采取吸顶天线或挂墙方法进行操作。4 AP室内穿越障碍覆盖:关键应用于单侧走廊结构室内区域,因为无线信号穿越墙壁、地板等障碍物会存在衰减,但在走廊式结构室内区域含有一定穿越障碍能力,通常是穿越一道墙壁以后信号效果很好。所以这么结构适合在走廊中部署AP,来覆盖侧面房间区域;依据实现工程勘测情况来看,室内走廊部分全部能够采取吸顶天线或挂墙方法进行操作。4. XX烟厂园区数据中心存放处理方
41、案现在大部分烟厂采取FC-SAN架构存放,FC-SAN架构含有以下不足之处:l 基于服务器内置硬盘存放方法扩展不便,而且性能不足l SCSI和FC接口磁盘柜存放方法,管理繁琐,存在较多兼容性问题,无法实现统一管理l 数据保护方法以备份软件+磁带库方法为主,备份软件只能满足通常业务数据保护要求,无法满足生产管理秒级保护频率,和分钟级恢复速度;而磁带库存在着机械部件故障率高、维护困难、读写速度慢缺点面对FC SAN存在问题和IP技术不停成熟,以太网带宽从10M发展到了10G,整整提升了1000倍,以IBM等企业共同提议基于IPiSCSI(Internet SCSI)协议,经过IETF组织审议,公布
42、为RFC标准。iSCSI标准一经公布,就以其低成本、高可管理性、天然跨广域数据传输和管理能力、海量组网能力得到了业界青睐。因为将SCSI数据传输基础从封闭昂贵FC协议转移到IP之上,使存放系统突破了长久困扰兼容性、成本和管理性桎梏,使存放网格、广域数据传输、大规模服务器数据集中、远程容灾、高性能交换式存放架构等存放技术脱下昂贵外衣,成为广大行业用户均能轻松取得最新存放技术。H3C企业和国际一流存放软硬件供给商合作,共同开发推出了Neocean自适应网络存放系列产品。以IP存放技术、WSAN(广域SAN)技术、网格存放技术、虚拟存放技术、数据应用服务技术五大技术群,构建了新一代自适应网络存放体系
43、。经过IP存放产品引入,Neocean首先可实现烟厂数字化园区原有FC存放系统之间数据共享,保护用户原有投资,在其次,可将烟厂数字化园区后续数据扩展平滑切换到IP存放之上,为烟厂数字化园区提供易扩展、高安全、高性价比数据存放新格局。烟草数据中心应用关键包含生产调度、计划查询、ERP/OA等多个部分。采取基于IP技术存放设备实现数据存放,实现双机集群和多路经负载均衡;采取和业务特点相适应数据保护手段,实现业务连续性和数据安全。全IP数据存放和保护方案采取H3C Neocean IX系列存放设备搭建IP SAN,实现了集中存放。依靠于IX系列存放设备优异性能和良好扩展性,满足多种应用对数据存放要求
44、。经过备份软件和虚拟磁带库DL1000配合,既能够满足大多数应用系统数据保护需求,还能够处理物理磁带库读写速度慢等问题。而针对卷烟生产调度等关键系统,采取H3C连续数据保护技术,使得应用系统含有更高等级数据保护和恢复能力,如:秒级数据备份精度和分钟级快速恢复。另外,经过IP技术跨广域能力,还能够实现大型烟草企业总部和各分支机构数据集中、共享,和数据异地保留。4.1. CDP(连续数据保护)方案CDP(Continuous Data Protection)连续数据保护是一个有别于传统利用快照、复制和镜像等手段来进行数据保护前沿技术,可在数据发生任何改变时将全部数据很好地保护起来。CDP既不完全是
45、备份技术,也不完全是归档技术,它是一个集备份和归档为一体技术,CDP将传统着眼于“备份”备份技术,推进到着眼于快速恢复、最少数据丢失数据保护新阶段。其最大技术优势就在于可进行任意时间点数据恢复。当数据丢失损失以分钟(或更小时间单位)来计算时,布署CDP方案就显得十分必需。同时,对于系统企业来说,CDP技术能降低从灾难发生到数据恢复所需要时间,满足系统可靠性需达成99.999%严苛要求。依据XX烟草企业现在业务需求和未来发展需要,我们提议XX企业存放系统采取整体计划以下:数据中心在线存放系统建设:集团和各矿区全部建立再现存放系统,提议集团和各矿区全部选择1台H3C IX3000高端磁盘阵列做集团
46、和各矿区在线存放。采取2台H3C企业IV5000虚拟化数据管理平台将IX3000纳入统一管理,两台IV5000经过activeactive方法运行,确保系统高可用性。主中心IX3000上数据经过IV5000数据管理平台Adaptive Replication选项进行连续数据复制到近线系统IX1000存放系统上。为了确保工作环境中文件共享服务,也能够选择H3C企业IV5000虚拟化引擎自带NAS选项,实现SAN和NAS统一管理。NAS和SAN能够共享IX3000上空间,能够经过IV5000虚拟化引擎管理平台进行统一管理。近线备份中心建设:提议选择H3C企业IX3000/IX1000做为近线备份中
47、心或远程容灾中心存放系统。把IX1000放在当地机房,该系统就能够作为在线存放备份中心。IX1000自带了标准版IV5000虚拟化引擎。提议选择H3CTimeMark功效选项,对从在线存放复制过来关键数据进行连续数据保护。近线连续数据保护CDP处理方案特点:l 经过CDP连续数据保护方案根本处理传统备份方法弊端,节省备份投资l 快速恢复,10分钟内能够恢复。RP0、RTO最少可达成零损失l 实现了最全方面数据容灾,对多种灾难全部有有效恢复方法l 基于网络层数据容灾,支持异构设备、对主机零干扰,能确保数据完整性l 信息系统能够实现一定时间间隔下各版本数据保留,处理软错误(人为故障、病毒等)故障难题H3C全IP数据存放保护方案含有以下特点:1. 基于开放IP平台,搭建高性能、易管理、可扩展、强兼容数据管理平台。2. 含有全系列IP存放产品,满足不一样规模应用数据存放需求。3. 丰富数据保护功效。能够提供当
浙ICP备2021020529号-1 | 浙B2-20240490 
