弱电智能化实施方案

淮安开发区管委会网络改造实施方案
1.需求分析
1.1 项目背景
本次网络建设目标是对开发区管委会及下属区办，街道办有线网络进行升级改造，建设一套完善的计算机网络系统，提升淮安开发区管委会网络信息化的安全性、高可用性、扩展性和灵活性，为开发区工作人员的办公提供强有力的支撑。

淮安开发区管委会中心机房目前有一台山石防火墙，一台绿盟防火墙，一台网康上网行为管理，四台华为9303交换机，一台港湾6808交换机，五台港湾3550E-24交换机，二十三台3550E-48交换机。

上述设备已经运行十年，且无备品配件，故障频发，网络延迟，故须升级改造。

1.2 割接内容
本期工程主要对淮安开发区管委会大楼信息中心，楼层接入，各个街道办事处的电子政务内网的网路系统进行升级改造，主要对各个区域的核心交换机，接入交换机，安全设备进行改造，改造后的网络架构要求分区合理，管控方便，维护简单。

1.3 网络现状分析
推进“互联网+政务服务”工作是党中央、国务院作出的重大决策部署。

当前各地区各部门积极推进网上政务服务平台建设，开展网上办事，有效优化了政府服务、方便了企业和群众，为大众创业、万众创新营造了良好环境。

但同时也存在网上政务服务内容不规范、
服务不便捷，网上政务服务平台不互通、数据不共享，线上线下联通不畅，政务服务的标准化规范化程度不够高等问题。

为此，需要进一步加强全国一体化的“互联网+政务服务”技术和服务体系整体设计，不断提升各地区各部门网上政务服务水平。

基础网络是政务服务的承载平台。

淮安经济开发区的基础网络已不能很好的支持上层政务平台的应用，需要对基础网络的性能、安全、管理进行升级改造。

淮安市经济开发区有线网络已覆盖经济开发区的所有有线节点。

随着政务信息化建设的不断推进，网络内的病毒、环路、设备老化等各种问题和现象频现，经常出现网络不稳定，上网速度慢等各种现象，给日常正常工作和管理带来了非常大的影响。

当前基础网络的架构采用三层层架构--核心、汇聚、接入，网络主干千兆；两台核心性能和实现的部署方式，已不能满足当前政务信息化的发展。

接入交换机是百兆到桌面，不具备任何安全防护、链路环路检测等措施，无法防护ARP、链路环路等问题。

出口安全部署没有冗余、缺少完整的立体化的安全部署。

淮安市开发区管委会现网拓扑图如下：
由山石防火墙1台、绿盟防火墙1台、网康行为管理1台、华为核心9303交换机2台、汇聚9303交换机2台、接入交换机港湾3550E 系列若干台，等设备组建而成，全网大概有1000多个员工，包含了大概1000个终端设备，包括办公区域网络，开发区各办事处等。

现有网络拓扑：
当前的网络核心设备主要是近10年前采购的老旧设备，无论在设备的性能、功能上都已经落后于主流级别的设备，而在使用了数年的时间之后，其设备的可靠性也无法得到有效的保障。

整个网络核心目前存在以下一些问题：
1、基础网络架构、性能需要提升：
网络架构：网络主干千兆，百兆到桌面，已不能满足当前的网络应用发展，需要升级网络主干万兆，千兆到桌面的主流架构；
核心交换机的性能、功能不具备落后，不支持网络架构升级，核心交换机不支持虚拟化等主流技术；
接入交换机百兆到桌面，不满足政务网络应用；
2、基础网络安全、可靠性需要提升：
网络主干核心到各接入单链路互联，没有实现双链路部署，可靠性差；
接入交换机不具备不具备安防防护、环路检测等技术，无法防护ARP等病毒攻击，影响终端用户使用；
出口安全等级低，需要立体化的安全防护。

3、需要增加网络管理：
配置有线无线的一体化综合网络管理平台。

2.新网络设计
2.1网络设计
淮安市开发区管委会网络负责开发区人员办公业务需求。

分布到开发区各个办事处，原网规划按照vlan进行区分不同的网络组成，这样安全性得不到有效的保障，黑客可以通过攻击进行对科研网络的数据进行窃取或攻击。

2.2改造后组网拓扑
淮安市开发区管委会网络拓扑如图,网络采用三层组网络结构，
网络核心采用华三7506E-X 核心交换机，两台核心通过虚拟化技术虚拟成一台核心交换机。

楼层接入交换机通过堆叠技术，把3-4个设备堆叠成一台设备，通过千兆光纤双上行连接到核心7506E-X，实现线路和设备的双冗余。

2.3方案亮点
2.3.1 IRF2技术
核心设备两台华三7506E-X采用堆叠虚拟化虚拟成一台核心交换机。

IRF2虚拟化功能模拟出虚拟的设备，设备管理同时管理IRF2的虚拟设备与真实的物理设备，屏蔽其差异。

而对于运行在此系统上的上层应用软件来说，通过设备管理层的屏蔽，已经消除了IRF2系统中不同设备物理上的差异，因此，对于单一运行的物理设备或IRF2虚拟出来的设备，上层软件都不需要做任何的修改，并且对于上层软件系统新增的功能，可同步应用于所有硬件设备。

IRF技术拥有简化管理，简化网络运行，低成本，强大的网络扩展能力，保护用户投资，高可靠性，高性能，丰富的功能，广泛的产品支持这些优点。

2.3.2 IMC管理平台
个性化的用户界面
iMC提供可定制的主题风格界面，并缺省提供五套主题外观——天蓝、浅蓝、酷黑、雅灰、藏青。

快速功能导航
为了加强产品的易用性，iMC提供了功能导航，将多个跨业务并且功能相关的特性按顺序组织在一起，形成一个导航，便于不熟悉产品的用户完成特定功能，如产品使用入门、第三方设备支持等.
全面的基础资源管理
广泛的管理设备类型：除了传统的路由器、交换机外，更能对网络中的无线、安全、存储、语音、监控、视频、服务器、虚拟设备、打印机、UPS等设备进行管理，实现设备资源的集中化管理。

多厂家设备的统一管理：除了对H3C的网络设备管理外，H3C智能管理平台还实现了对业界其他主流厂家网络设备的管理。

灵活快捷的自动发现算法：基于H3C专利的发现算法，H3C智能管理平台不仅提供了快速自动发现方式，还提供了五种高级自动发现方式，包括路由方式、ARP方式、IPSec VPN方式、网段方式、PPP 方式等，能快速、准确地发现网络资源。

直观的设备面板管理：支持设备面板管理，所见即所得的显示设备的资产组成和运行状态。

灵活方便的拓扑功能
丰富、实用的网络拓扑视图：除传统的IP拓扑视图外，H3C智能管理中心平台还提供全网络的拓扑视图和自定义拓扑视图，使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制
出客户化的网络拓扑。

在全网络拓扑视图中，用户可以随意组织和定制子图。

全景拓扑：全景拓扑将物理拓扑、虚拟机、无线设备统一在一个拓扑视图中展示。

流量拓扑：以端口流量和网络负载为主要视角，向使用者展示所关注的网路拓扑结构和流量负载数据统计及分析情况。

智能的告警管理
清晰、直观的故障列表
智能的告警关联
告警根源分析和影响度分析
告警定义和MIB导入
丰富的告警转发机制
结合拓扑直观的设备故障状态监控
强大的配置和软件管理
资源化的配置和软件管理：从面对众多设备的管理员角度来看，全网的配置文件、软件版本文件更像是一种资源；在日常维护中，要方便快捷地找到需要的配置和软件版本，完成恢复、升级等操作。

配置模板库维护网络设备配置模板文件、用户常用的配置模板片段两种资源，为增加配置模板的复用性，配置内容可以带有参数，在部署时根据设备的差异设置不同的值。

设备备软件库维护了各类软件文件，除了管理设备的版本软件，还支持设备上各种业务的软件管理（目前包括ONU软件、ONU算法等设备软件资源），从而实现设备软件文
件的统一管理。

3.割接说明
3.1 割接原则
1.设备割接前确保割接环境能够满足业务割接后不影响业务正常使用
2.割接过程以影响最小为单位
3.割接过程中保持可回退转态，如果割接失败可以迅速恢复到原网络环境
3.2涉及设备
核心交换机7506E-X两台，汇聚交换机7506一台，楼层接入交换机27台。

服务器汇聚交换机两台H3C S6520-48S-EI。

新增服务器HPE DL380 Gen9和HPE DL580 Gen9，虚拟化软件H3C CAS-CAS，网络管理平台H3C iMC-智能管理平台。

3.3 割接前准备工作
在正式割接前，需要完成以下准备工作：
1.涉及到服务器进行数据备份，需要做虚拟化的服务器安装虚拟化软件；
2.找出原楼层接入交换机上到考勤机，食堂消费机的网线，并作标识；
3.提前将能够配置的设备配置好，最大减少断网时间
4.两台核心需要做IRF虚拟化，需要2个万兆多模模块及2根万兆多模光纤
3.4 业务统计
统计出在割接中影响到的业务系统，并将相关信息详细列出，一遍于割接后进行业务系统正常与否的验证。

3.5 设备上架
1.将割接需要新增安装的设备提前准备妥当
2.准备相应的工具及辅材：标签纸，机柜螺丝，螺丝刀，机柜托盘，线缆，扎带，接地线
3.核实机房内是否拥有足够的机柜空间供新设备上架使用，以及规划摆放的位置
4.按规划设计要求进行设备上架安装。

3.6割接步骤
3.7 割接所需协调人员
4.割接回退
由于原本的网络设备与线路未拆除，当网络割接过程中出现问
题，为了保证业务的正常运转，可以先将设备连接到原本的网络中，保证办公的顺利进行，找出解决问题的方法之后，再继续割接。