《奎屯高等级公路管理局网络改造规划方案.doc》由会员分享,可在线阅读,更多相关《奎屯高等级公路管理局网络改造规划方案.doc(29页珍藏版)》请在三一办公上搜索。
1、奎屯高等级公路管理局网络改造规划方案2008年5月29日目录(一)现有网络概况3(二)信息平台升级改造需求分析52.1目前网络存在的问题52.2网络改造实现目的6(三)网络升级总体设计7(四)网络改造84.1网络架构调整84.2综合布线方案描述94.3外网建设104.4 VPN接入方案11(五)内网局域网升级改造125.1内网网络架构调整125.2内网核心交换机配置145.3接入交换机配置155.4 推荐配置清单16(六)内网广域网络改造176.1 广域结构调整176.2 核心路由器配置196.3 接入路由器配置196.4 接入交换机配置20(一)现有网络概况目前奎屯管理处的网络设备包括如下:
2、服务器两台,浪潮服务器和惠普服务器(ML150),交换机设备包括若干台非网管型交换机和若干台观点转换器用以连接下面的收费站和管理所,下面是管理处现有的网络拓扑图:禾什托洛盖光交换乌尔禾道班光交换OA服务器管理处3楼机房交换机Internet克拉玛依收费站交换乌苏管理所路由高速公路管理所交换克拉玛依管理所路由独山子管理所路由当前奎屯管理处网络拓扑图中心服务器 管理处1、2、4楼交换服务中心及家属楼交换四棵树收费站交换安集海收费站交换奎屯收费站交换乌尔禾收费站交换奎屯北收费站交换内部局域网网络是典型的星型网络结构,分为4层楼,每层分布一到两台交换机,然后连接至三楼总机房的核心交换机,核心交换机是一
3、台傻瓜型的交换机。下面的各收费站和管理所通过电信的光纤和ADSL连接到三楼总机房的核心交换机,没有任何安全防范设备以供使用和抵御来自外部和内部的破坏。信息中心主要提供生产数据服务,包括OA、工作票、生产票等服务资源,目前现有生产服务器包括两部分,OA和邮件系统已进行整合,其它资源在整合中。这些生产数据和生产用服务器也完全裸露在网络中,没有硬件级的安全保障。目前数据存储均采用本机存放方式,随着应用的不断开展,服务器资源已经不能完全满足生产的需要。现有的网络硬件环境亦不能满足生产和效率要求和安全需要,因此进行统一资源部署整合和网络硬件设备的升级和换代以成为必然的需求。改造后的网络架构图如下:OA服
4、务器中心服务器 Internet奎屯收费站交换安集海收费站交换奎屯北收费站交换乌尔禾收费站交换克拉玛依收费站交换四棵树收费站交换乌苏管理所路由独山子管理所路由克拉玛依管理所路由高速公路管理所交换管理处1、2、4楼交换服务中心及家属楼交换管理处3楼机房交换机改造后网络拓扑图服务中心及家属楼交换防火墙多WAN口路由器路由器1路 由 器 2光缆 网线(二)信息平台升级改造需求分析2.1目前网络存在的问题 安全问题,安全为了生产,生产必须安全。现有的网络架构在硬件层面上几乎没有安全可言,一旦遭遇病毒的侵害,必然导致全网络的感染以至于全网瘫痪,在没有防火墙和网络安全设施的环境下,来自外部世界的攻击和非法
5、侵害也是很容易得手的。 资源的整合,现有的网络环境没有考虑到网络资源的整合和资源的共享 等级问题,在一个复杂的网络环境下,等级的划分是很关键的,就像一个社会的等级是一样的关键。2.2网络改造实现目的 此次管理处网络改造主要实现如下部分: 将原有网络进行改造升级,用电信光纤线路将管理处和各管理所和收费站接入到管理处建立独立的广域网络,原有自建通信线路连接保持不变供生产网络使用。 采用管理处统一的IP地址范围对全奎屯生产和营销网络进行统一地址规划,统一数据资源,建立清晰的网络架构以便于维护和管理。 升级现有网络中心网络架构,升级骨干连接,更换原有网络中心核心交换机,提升网络处理能力。 在生产数据中
6、心服务器资源前增加一台入侵防御系统(IPS)或者防火墙设备,将服务器资源置于安全防护设备之后,确保服务器资源的安全性。 配置VPN安全设备和VPN密钥建立VPN隧道,实现在外移动用户建立安全访问隧道,通过VPN隧道设备访问内网数据资源。 配置大容量高可用性存储,实现网络中心办公OA、邮件等数据集中存储,并建立备份措施保障数据安全可靠。 对整个营销网络架构、IP地址、服务器资源等进行统一规划整合,建立统一的管理局营销信息平台。(三)网络升级总体设计针对以上网络存在的问题,我们考虑采用以下方式对网络进行升级扩展,改善网络架构,提高网络传输和处理性能:1、将管理处进行内外网改造,建立物理隔离的内外网
7、络构架 根据管理处的现有要求,部署内外网系统,将互联网从现有网络中独立出去,建立安全可靠的网络架构。2、利用现有的光纤线路,建立全奎屯独立的广域网络在管理处新配置一台核心路由器将各管理所和收费站接入到管理处,在各管理所和收费站配置相应接入路由器建立独立的生产营销广域网络,原有自建通信线路连接保持不变供生产网络使用。在管理所和收费站配置交换机将营销与原有生产网络分离出来组建单独的营销网络。3、升级信息中心网络架构,提高网络性能、可靠性以及安全性 配置一台新的高性能核心交换机提高网络核心处理速度;同时将内部网络升级为千兆互连,采用主干千兆进行连接,减少故障点和提高处理性能。将服务器区独立出来,将服
8、务器接入新购置的核心交换机H3C S5600后,然后在服务器区和核心交换之间增加一台防火墙,将服务器资源置于安全防护设备之后,确保服务器资源的安全性4、配置VPN网关和移动客户端,实现移动办公用户的VPN接入 在中心配置VPN网关和移动客户端,实现在家或出差人员通过VPN隧道进入外网然后通过VPN设备访问内网数据资源,提高办公效率。5、建立存储局域网 配置大容量可靠性磁盘阵列,将原有各服务器数据迁移至磁盘阵列上,并配置相应备份措施对其数据进行自动备份,方便集中管理和备份,提高数据可靠性。6、进行统一的IP地址规划,并对目前营销中心和信息中心数据资源进行整合采用管理处统一的IP地址范围对全奎屯的
9、管理所、收费站等生产和营销网络进行统一地址规划。将原有OA和生产服务器资源进行统一地址和整合。(四)网络改造4.1网络架构调整根据管理处网络环境的要求,部署内外网系统,从管理处目前的网络情况,我们推荐采用内网网络配置两台新的高性能核心交换机提高网络核心处理速度,同时配置新的接入交换机用做内网信息点接入;同时将附近的管理所和收费站采用千兆模块进行连接,减少故障点和提高处理性能。将服务器区独立出来,将服务器接入核心交换机H3C 5600,然后在服务器区和核心交换之间增加一台入侵防御系统(IPS),将服务器资源置于安全防护设备之后,确保服务器资源的安全性。4.2综合布线方案描述采用结构化布线方式将楼
10、内的布线点统一规划,分步实施。4.3外网建设外网网络设备我们采用INTERNETROUTER-FIREWALL-核心交换方式。同时建议在互联网出口部设一台基于WEB的认证设备确保只有许可用户才运行接入外网,同时利用其带宽管理和限制功能进行外网访问的带宽管理。4.4 VPN接入方案 随着业务的不断开展,目前许多业务需要出差人员或在家通过外网的进入到内网进行业务应用操作,因此需要确保这部分经授权的人员能够通过互联网安全的进入内网进行相应的资源访问,同时保证在互联网上传输的信息不被窥探和篡改。目前VPN方案正是针对于此需求提出的解决方案,VPN即虚拟专用网(Virtal Private Networ
11、k),是一条穿过公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别。VPN是对企业内部网的扩展,通过它可以帮助远程用户、分支机构、商业伙伴等建立可信的安全连接,并保证数据的安全传输。方便远程人员通过互联网安全的接入,实现在外移动用户建立安全访问隧道,并通过网闸设备访问内网数据资源。为实现移动VPN接入方案我们在信息中心配置SSL VPN网关实现,采用此方式接入端不需安装维护,使用方便,考虑到安全性建议配置硬件密钥方式接入VPN,采用密钥方式可将证书保存在密钥内,当客户端需要建
12、立VPN隧道时必须要有密钥接入到计算机上,从而提高可靠性。对于FIREWALL防火墙配置如下:属性说明运行模式路由模式透明模式混合模式网络安全性AAA服务RADIUS认证HWTACACS认证PKI /CA(X.509格式)认证域认证CHAP验证PAP验证防火墙包过滤基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表动态包过滤ASPF应用层报文过滤 应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP) 传输层协议:TCP、UDP抗攻击特性Land、Smurf、Fraggle、WinNuke、Ping of Death、Te
13、ar Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范TCP报文标志位不合法攻击防范超大ICMP报文攻击防范地址/端口扫描的防范DoS/DDoS攻击防范TCP Proxy 功能ICMP重定向或不可达报文控制功能Tracert报文控制功能带路由记录选项IP报文控制功能静态和动态黑名单功能MAC和IP绑定功能透明防火墙基于MAC的访问控制列表支持802.1q VLAN 透传邮件/网页/应用层过滤邮件过滤SMTP邮件地址过滤邮件标题过滤邮件内容过滤邮件附件过滤网页过滤HTTP URL过滤HTTP内容过滤支持与外部服务器(第三方如Sur
14、fControl)进行集成联动提供URL网页过滤的解决方案,有效控制和管理用户的web访问行为应用层过滤Java BlockingActiveX BlockingSQL注入攻击防范安全日志及统计用户行为流日志NAT转换日志攻击实时日志黑名单日志地址绑定日志流量告警日志流量统计和分析功能全局/基于安全域连接数率监控全局/基于安全域协议报文比例监控安全事件统计功能E-MAIL邮件实时告警功能E-MAIL邮件定时告警功能NAT支持多个内部地址映射到同一个公网地址支持多个内部地址映射到多个公网地址支持内部地址到公网地址一一映射支持源地址和目的地址同时转换支持外部网络主机访问内部服务器支持内部地址直映射
15、到接口公网IP地址支持DNS映射功能可配置支持地址转换的有效时间支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 VPNL2TP VPN支持根据VPN用户完整用户名、用户域名向指定LNS发起连接支持为VPN用户分配地址支持进行LCP重协商和二次CHAP验证GRE VPNIPSec/IKE支持AH、ESP协议支持手工或通过IKE自动建立安全联盟ESP支持DES、3DES、AES多种加密算法支持MD5及SHA-1验证算法支持IKE主模式及野蛮模式支持NAT穿越支持DPD检测DVPN支持UDP封装支持动态IP地址构建VPN支持加密保护(注册控制报文,
16、会话控制报文,策略报文)支持多个DVPN域支持分支自动建立VPN隧道支持Server对分支隧道的策略控制Server对Client的AAA身份认证Client对Server的身份验证网络互连局域网协议Ethernet_IIEthernet_SNAP802.1q VLAN链路层协议PPPoE网络协议IP服务ARP域名解析IP UNNUMBEREDDHCP中继DHCP服务器DHCP客户端IP路由静态路由RIP v1/2OSPFBGP路由策略策略路由高可靠性双机状态热备,Active/Active和Active/Passive两种工作模式,支持负载分担和业务备份远端链路状态监测(L3 monitor
17、)关键部件冗余设计接口模块热插拔机箱温度自动检测服务质量保证(QoS)流量监管CAR 拥塞管理FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ拥塞避免WRED流量整形GTS接口速率限制LR配置管理命令行接口通过Console口进行本地配置通过Telnet或SSH进行本地或远程配置配置命令分级保护,确保未授权用户无法侵入设备提供全中文的提示和帮助信息详尽的调试信息,帮助诊断网络故障提供网络测试工具,如Tracert、Ping、HWPing命令等,迅速诊断网络是否正常用Telnet命令直接登录并管理其它设备FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序支持TFTP
18、上传下载文件支持日志功能文件系统管理User-interface配置,提供对登录用户多种方式的认证和授权功能。支持标准网管 SNMPv3,并且兼容SNMP v2c、SNMP v1支持NTP时间同步支持Web方式进行远程配置管理根据以上需求我们考虑采用H3C 的F100E实现此功能 总部路由可采用H3C MSR 50-40路由器,配置如下: 先进的硬件体系架构MSR 50系列路由器在硬件设计方面充分地考虑到集成综合业务的需要,采用了先进的N-Bus多总线设计方案,语音、数据、交换、安全四大业务分别经由不同的总线,由专门的协处理引擎并行完成处理,消除总线和CPU性能瓶颈,大大提高了该系列路由器集成
19、的多业务部署和实施能力。可满足企业网络内部多种高质量并发业务无缝集成、完美融合。MSR系列路由器N-Bus体系结构多业务集成并发能力集成安全业务安全已经成为网络的基本功能,由于安全性需要内嵌于整个网络之中,因此路由器在网络防御战略中起着重要作用。MSR 50系列产品提供专门的安全数据连接设计技术,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎(NDE),通过硬件的方式大大提高数据加密性能,保证转发和加密同步高性能,同时节省接口插槽。MSR 50提供了丰富的安全功能,包括Firewall、IPSec VPN、MPLS VPN、CA、Secure Shell(SSH)协议2.0、入侵保护、
20、DDoS防御、攻击防御等。集成语音业务MSR 50系列路由器采用了全新的硬件语音设计方案,提供了FXS/FXO/VE1/VT1等各种语音接口类型,支持H.323、SIP等主流的语音通讯协议,实现了紧急呼叫/掉电求救/拨号策略/传真/E-PHONE等各种语音业务。MSR 50提供TDM交换能力,使用户的TDM交换在本地完成,大大节省网络资源的同时,使本地话音的接通率和通话质量完全达到电信水准。MSR50系列路由器还支持高密度模拟语音模块:FIC-24FXS和DFIC-24FXS:24FXO,并通过支持FXS和FXO接口的1:1绑定功能及DFIC-24FXS:24FXO单板的断电逃生功能,大大提高
21、了路由器产品的语音部署的灵活性和组网能力。集成数据交换MSR 50系列提供灵活扩展的以太网交换模块,支持丰富的二层交换特性,极大地满足了企业对于路由交换一体化组网方案的需要。多业务线速并发MSR 50系列路由器将全新的硬件架构和结构化的软件系统有机结合,可以为用户提供集成数据、安全、语音、视频以及各种上层应用业务的服务,满足用户现有的以及未来的互联网应用,而且路由器的原有数据传输性能丝毫未受影响。开放式的增值业务平台MSR 50基于OAA(Open Application Architecture)理念设计,创新性的推出了对外开放的业务平台。该平台提供了一套完整、标准的对外接口(API接口)。
22、厂商与合作伙伴均可以在此平台上直接开发各类高级功能(例如应用层攻击抵御、网络病毒防护、多媒体集合通信、Web优化与加速等),用户只需安装开发出的软件,便可以将上述业务与MSR 50无缝融合,为日渐细分的个性化需求提供完整的解决方案。成熟商用的操作系统MSR 50系列采用了华三公司成熟商用的多业务、可扩展、组件化的先进操作系统平台,全面支持IPv6,并支持完善的MPLS VPN功能满足各种组网需求。完善的下一代IP协议解决方案IPv6作为下一代网络的基础协议以其鲜明的技术优势得到广泛的认可, MSR全面支持IPv4/IPv6双协议栈,支持通用的IPv4路由协议、IPv6路由协议、组播路由协议和静
23、态路由。MSR提供了丰富的IPv4向IPv6过渡方案,包括双栈技术、隧道技术、地址转换技术(NAT-PT)和MPLS 6PE技术。领先的MPLS流量工程解决方案MPLS TE结合了MPLS技术与流量工程,通过建立到达指定路径的LSP隧道进行资源预留,使网络流量绕开拥塞节点,达到平衡网络流量的目的。在资源紧张的情况下,MPLS TE能够抢占低优先级LSP隧道带宽资源,满足大带宽LSP或重要用户的需求。同时,当LSP隧道故障或网络的某一节点发生拥塞时,MPLS TE可以通过备份路径和快速重路由FRR(Fast Reroute),提供瞬时恢复保护。安全灵活的VPE功能VPE(VPN PE)是一种特殊
24、的PE,它和CE之间的连接方式不是传统的DDN/E1/ POS/ETH/PVC等专线技术,而是IPSec/L2TP/GRE/UDP VPN等隧道技术。VPE完成IP VPN与MPLS VPN的融合,在网络边缘实现网络资源的逻辑划分及安全隔离,核心网与边缘网络形成了一个整体,实现了端到端的VPN功能。 简单便捷的网络分析工具NQA(网络质量分析)是测量网络上运行的各种协议性能的一种工具。它可以实现端到端的网络状况监测,包括时延、抖动、丢包率等。不仅能使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间,从而判断目的主机是否可达,还可以探测DLSw、DHCP、FTP、HTTP、SNMP服
25、务器是否打开,以及测试各种服务的响应时间等,提供对网络应用的质量检测。直观可视化的流量分析工具NetStream提供报文统计功能,它根据报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS、输入/输出接口来区分流,并针对不同的流进行独立的数据统计。NetStream的统计信息定期发送给NSC(NetStream Collector,网络流数据收集器),由NSC进一步处理后,交给NDA(NetStream Data Analyzer,网络流数据分析器)进行可视化的流量分析、计费、网络规划等多种应用。电信级运营的高可靠性MSR 50系列路由器设备的可靠性从硬件和软件两个方面得到了充
26、分的保证,该系列设备支持冗余备份的双电源,支持接口模块、电源模块和分散的热插拔,这大大提高了设备硬件的可靠性;在软件上方面支持VRRP、备份中心、动态路由备份和快速重路由等技术,这些特征和功能满足了设备的电信级应用需求。提供POE远程供电特性MSR 50系列支持PoE(Power Over Ethernet)功能,即可通过双绞线向远端下挂PD设备(如IP Phone、WLAN AP、Security、Bluetooth AP等)提供电源,实现对下挂PD设备远端供电,使设备安装简单而且节省空间。作为供电方PSE(Power Sourcing Equipment)设备,支持IEEE802.3af线
27、路供电标准,同时也可以兼容不符合802.3af标准的PD(Powered Device)设备。MSR 50系列以太网口上的PoE特性,能够充分满足未来新兴技术发展的需求,为无线技术、语音技术的发展提供了支持。通过支持POE和Voice VLAN技术,MSR 50系列路由器能够提供完美的数据和语音融合解决方案。严格的国际认证MSR系列在外观结构设计上融入流行时尚的元素,并符合有关EMC、安规和环保等方面的国际标准,如CE(欧盟)、UL(北美)、FCC(北美)安全准入标准,更突出了产品内在和外在的价值。(五)内网局域网升级改造5.1内网网络架构调整内网网络配置一到两台新的高性能核心交换机提高网络核
28、心处理速度;同时将附近的管理所和收费站主干线路升级为1000M,采用千兆模块进行连接,减少故障点和提高处理性能。将服务器区独立出来,将服务器接入H3C 5600核心交换机,然后在服务器区和核心交换之间增加一台入侵防御系统(IPS)或防火墙,将服务器资源置于安全防护设备之后,确保服务器资源的安全性。信息中心和营销中心采用一台防火墙进行访问控制。5.2内网核心交换机配置为提高整体网络性能我们考虑升级更换核心交换机,配置一到两台核心交换机,采用热备协议配置成双机模式,各接入交换机采用双链路分别接入核心交换,构建整个内网的冗余网络架构。各管理所和收费站直接接入主核心交换机,同时将各管理所和收费站主干线
29、路升级为1000M,采用千兆模块进行连接,减少故障点和提高处理性能。 核心交换机考虑到性能需求要求配置如下 根据现有需求,我们考虑采用两台H3C 5600 路由交换机配置上做为整个网络主核心。 为实现机关楼内各交换机和各工区的交换机接入以及信息中心服务器的千兆接入,我们在核心交换机上各配置一块24端口千兆以太网电接口模块(RJ45),提供24个千兆RJ45接口,主要用于信息中心现有服务器的千兆高速接入,以及机关楼内的楼层接入交换机千兆双绞线接入。5.3接入交换机配置此次网络改造,原有接入交换机用做外网使用,内网重新配置5台48口接入交换机,分别用于各楼层信息点接入,接入交换机提供24个10/1
30、00M接口和两个千兆电口,采用两条千兆双绞线分别接入两台核心交换机。 工区接入交换机考虑到性能需求要求配置如下项目要求背板带宽=19Gbit/s端口配置24个100M接口,配置1端口千兆单模模块扩展能力至少提供两个扩展模块插槽,支持千兆模块5.4 推荐配置清单配置清单如下:序号产品型号产品描述数量核心交换机(推荐)1S5600-26CH3C 核型交换机22H3c AR 18-63-1H3C 核心路由器43H3C SECPATH F100-MH3C 主干防火墙2楼层接入交换机(推荐)7LS-S3100-26C-SI-ACH3C S3100-52TP-SI以太网交换机主机,48个10/100Bas
31、e-T,210/100/1000M电口和两个1000BASE-X光口5(六)内网广域网络改造6.1 广域结构调整 利用电信广域网线路,在中心新增一台核心路由设备,同时为各管理所和收费站营销接入新配置一套路由交换网络设备,搭建新的管理局独立营销网络。原有自建通信线路继续用于实现生产网络的连接,同时起着电信2M营销线路的备份作用。网络中心和营销中心之间互连采用一台千兆防火墙采用透明模式进行连接,对网络中心和营销中心之间访问进行限制。而接入路由器和营销网络以及信息中心同样采用独立的一台防火墙进行连接,实现对各管理所和收费站营销或生产网络接入的不同进行访问控制。6.2 核心路由器配置为实现各所和收费站
32、的广域线路接入,中心配置一台 核心路由器H3C MSR 50-40,具体参数配置如下:先进的硬件体系架构MSR 50系列路由器在硬件设计方面充分地考虑到集成综合业务的需要,采用了先进的N-Bus多总线设计方案,语音、数据、交换、安全四大业务分别经由不同的总线,由专门的协处理引擎并行完成处理,消除总线和CPU性能瓶颈,大大提高了该系列路由器集成的多业务部署和实施能力。可满足企业网络内部多种高质量并发业务无缝集成、完美融合。MSR系列路由器N-Bus体系结构多业务集成并发能力集成安全业务安全已经成为网络的基本功能,由于安全性需要内嵌于整个网络之中,因此路由器在网络防御战略中起着重要作用。MSR 5
33、0系列产品提供专门的安全数据连接设计技术,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎(NDE),通过硬件的方式大大提高数据加密性能,保证转发和加密同步高性能,同时节省接口插槽。MSR 50提供了丰富的安全功能,包括Firewall、IPSec VPN、MPLS VPN、CA、Secure Shell(SSH)协议2.0、入侵保护、DDoS防御、攻击防御等。集成语音业务MSR 50系列路由器采用了全新的硬件语音设计方案,提供了FXS/FXO/VE1/VT1等各种语音接口类型,支持H.323、SIP等主流的语音通讯协议,实现了紧急呼叫/掉电求救/拨号策略/传真/E-PHONE等各种语音
34、业务。MSR 50提供TDM交换能力,使用户的TDM交换在本地完成,大大节省网络资源的同时,使本地话音的接通率和通话质量完全达到电信水准。MSR50系列路由器还支持高密度模拟语音模块:FIC-24FXS和DFIC-24FXS:24FXO,并通过支持FXS和FXO接口的1:1绑定功能及DFIC-24FXS:24FXO单板的断电逃生功能,大大提高了路由器产品的语音部署的灵活性和组网能力。集成数据交换MSR 50系列提供灵活扩展的以太网交换模块,支持丰富的二层交换特性,极大地满足了企业对于路由交换一体化组网方案的需要。多业务线速并发MSR 50系列路由器将全新的硬件架构和结构化的软件系统有机结合,可
35、以为用户提供集成数据、安全、语音、视频以及各种上层应用业务的服务,满足用户现有的以及未来的互联网应用,而且路由器的原有数据传输性能丝毫未受影响。开放式的增值业务平台MSR 50基于OAA(Open Application Architecture)理念设计,创新性的推出了对外开放的业务平台。该平台提供了一套完整、标准的对外接口(API接口)。厂商与合作伙伴均可以在此平台上直接开发各类高级功能(例如应用层攻击抵御、网络病毒防护、多媒体集合通信、Web优化与加速等),用户只需安装开发出的软件,便可以将上述业务与MSR 50无缝融合,为日渐细分的个性化需求提供完整的解决方案。成熟商用的操作系统MSR
36、 50系列采用了华三公司成熟商用的多业务、可扩展、组件化的先进操作系统平台,全面支持IPv6,并支持完善的MPLS VPN功能满足各种组网需求。完善的下一代IP协议解决方案IPv6作为下一代网络的基础协议以其鲜明的技术优势得到广泛的认可, MSR全面支持IPv4/IPv6双协议栈,支持通用的IPv4路由协议、IPv6路由协议、组播路由协议和静态路由。MSR提供了丰富的IPv4向IPv6过渡方案,包括双栈技术、隧道技术、地址转换技术(NAT-PT)和MPLS 6PE技术。领先的MPLS流量工程解决方案MPLS TE结合了MPLS技术与流量工程,通过建立到达指定路径的LSP隧道进行资源预留,使网络
37、流量绕开拥塞节点,达到平衡网络流量的目的。在资源紧张的情况下,MPLS TE能够抢占低优先级LSP隧道带宽资源,满足大带宽LSP或重要用户的需求。同时,当LSP隧道故障或网络的某一节点发生拥塞时,MPLS TE可以通过备份路径和快速重路由FRR(Fast Reroute),提供瞬时恢复保护。安全灵活的VPE功能VPE(VPN PE)是一种特殊的PE,它和CE之间的连接方式不是传统的DDN/E1/ POS/ETH/PVC等专线技术,而是IPSec/L2TP/GRE/UDP VPN等隧道技术。VPE完成IP VPN与MPLS VPN的融合,在网络边缘实现网络资源的逻辑划分及安全隔离,核心网与边缘网
38、络形成了一个整体,实现了端到端的VPN功能。 简单便捷的网络分析工具NQA(网络质量分析)是测量网络上运行的各种协议性能的一种工具。它可以实现端到端的网络状况监测,包括时延、抖动、丢包率等。不仅能使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间,从而判断目的主机是否可达,还可以探测DLSw、DHCP、FTP、HTTP、SNMP服务器是否打开,以及测试各种服务的响应时间等,提供对网络应用的质量检测。直观可视化的流量分析工具NetStream提供报文统计功能,它根据报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS、输入/输出接口来区分流,并针对不同的流进行独立的数
39、据统计。NetStream的统计信息定期发送给NSC(NetStream Collector,网络流数据收集器),由NSC进一步处理后,交给NDA(NetStream Data Analyzer,网络流数据分析器)进行可视化的流量分析、计费、网络规划等多种应用。电信级运营的高可靠性MSR 50系列路由器设备的可靠性从硬件和软件两个方面得到了充分的保证,该系列设备支持冗余备份的双电源,支持接口模块、电源模块和分散的热插拔,这大大提高了设备硬件的可靠性;在软件上方面支持VRRP、备份中心、动态路由备份和快速重路由等技术,这些特征和功能满足了设备的电信级应用需求。提供POE远程供电特性MSR 50系
40、列支持PoE(Power Over Ethernet)功能,即可通过双绞线向远端下挂PD设备(如IP Phone、WLAN AP、Security、Bluetooth AP等)提供电源,实现对下挂PD设备远端供电,使设备安装简单而且节省空间。作为供电方PSE(Power Sourcing Equipment)设备,支持IEEE802.3af线路供电标准,同时也可以兼容不符合802.3af标准的PD(Powered Device)设备。MSR 50系列以太网口上的PoE特性,能够充分满足未来新兴技术发展的需求,为无线技术、语音技术的发展提供了支持。通过支持POE和Voice VLAN技术,MSR
41、 50系列路由器能够提供完美的数据和语音融合解决方案。严格的国际认证MSR系列在外观结构设计上融入流行时尚的元素,并符合有关EMC、安规和环保等方面的国际标准,如CE(欧盟)、UL(北美)、FCC(北美)安全准入标准,更突出了产品内在和外在的价值。6.3 接入路由器配置管理所和收费站配置接入路由器主要实现光纤线路接入,同时考虑到要实现采用原有通信线路为2M电信线路进行自动备份功能,路由器需同时接入营销和生产的网络,两者之间采用访问控制确保生产网络不允许访问营销资源。因此接入路由器要求配置如下:项目要求转发性能=160Kpps端口需求至少提供一端口高速同步串口,2端口以上100M以太接口扩展能力
42、至少提供一个扩展模块插槽软件特性支持MPLS,支持IPV6根据以上要求我们推荐采用H3C MSR 20-12路由器,提供一端口百兆接口, 4个百兆交换接口, 1个高速同步串口, 以及1个 DSIC插槽。满足当前应用以及未来业务扩展需求。其具体配置如下:序号产品型号产品描述数量1MSR 20-11H3C MSR 20-11 路由器主机(AC), 1 百兆接口, 4 百兆交换接口, 1个高速同步串口, 1 DSIC插槽482CAB-V35DTE(DB28)同异步串口(SA)V.35 DTE电缆(DB28)486.4 接入交换机配置考虑将营销网络应用独立出来推荐为各管理所和收费站配置一台专用营销交换
43、机,将营销用计算机单独出来。接入交换机要求配置如下:项目要求背板带宽=19Gbit/s固定端口24个100M接口扩展能力至少提供两个扩展模块插槽,支持千兆模块根据以上要求我们推荐采用H3C S3100-26C-SI交换机,提供24个10/100M接口和两个扩展模块插槽。实现管理所和收费站营销网络独立接入。配置清单如下:序号产品型号产品描述数量1LS-S3100-26C-SI-ACH3C S3100-26C-SI以太网交换机主机,24个10/100Base-T,2个模块插槽,交流供电附件1(网络产品列表):产品型号规格单价(万元)数量合计防 火 墙 (H3C)SECPATH F100E2.52核
44、心路由器(H3C)MSR 50-400.9分 支 路 由 器(H3C)MSR 20-110.4核 心 交 换 机(H3C)S 5600-26C2.6分 支 交 换 机(H3C)S 3100-26C0.3机 柜42U标准机柜0.18附件2(服务器参考配置列表):HP服务器:产品型 号详细配置单价(万元)数量备注HP DL 380G5标配一个四核Intel Xeon E5405处理器(2.0 GHz, 80W, 1333MHz前端总线),可扩至二路处理器,集成12MB(2x6MB)二级缓存,标配1GB (2 x 512MB) PC2-5300 全缓冲DIMMs (DDR2-667)内存,最高支持3
45、2GB, 共8个内存插槽,支持4:1和2:1交错、内存镜象和在线备用,集成Smart Array E200阵列控制器,64MB高速缓存,支持RAID 0/1,可选128MB电池保护写缓存以支持RAID 5,集成双NC373i多功能千兆网卡,带TCP/IP Offload引擎, 通过可选的许可证可实现加速iSCSI,集成iLO 2远程管理,五个PCI-Express扩展槽:3个x4 PCI Express, 2个x8 PCI Express, 8个小尺寸热插拔SAS/SATA硬盘槽位,1个1000W热插拔电源,可选冗余,6个热插拔冗余风扇,支持CD-ROM、DVD-ROM、DVD/CD-RW Combo、DVD+RW或软驱,2U机架式2.0适用机型HP DL 580G5标配两个Intel 四核Xeon 7310处理器(1.6GHz, 2x2M缓存, 80W),可扩至四路处理器,带1066 MT/s专用高速互连,集成iLO2远程管理,标配4GB(4x1GB) 全缓冲DIMMs (DDR2-667)内存,最大可扩充至1
