网络机房技术方案

山东鸿杰印务集团有限公司网络机房技术方案

2016年04月

目录

第一章引言 (3)

1.1概述 (3)

1.2技术要求 (3)

第二章系统拓扑 (4)

2.1全网拓扑设计 (4)

2.2方案说明 (4)

第三章产品介绍 (5)

3.1核心交换机 (5)

3.2防火墙 (14)

3.3汇聚交换机 (22)

3.4 AP接入点 (26)

3.5 AP控制器 (32)

第一章引言

1.1概述

山东鸿杰印务集团有限公司机房建设工程位于山东省淄博市桓台县唐山镇。本次工程内容主要包括网络机房核心设备，厂区及车间之间光纤布线及车间的无线覆盖。

1.2技术要求

本工程所涉及中华人民共和国相关的国家规范标准、行业标准及地方标准，所有规范或标准等均以最新颁布版本现行有效为准。要求投标单位严格按规范要求执行，但规范中未明确的相关引述标准和细节规定，投标必须符合领取招标文件时已颁布或有实施要求的中华人民共和国国家规范和标准及青岛市地方标准。包括但不限于：

《钢管敷设工艺标准》（305-1998）

《安全防范工程程序要求》（GB-T75-94）

《民用闭路监视电视系统工程技术规范》（GB50198-94）

《建筑电气安装分项工程施工工艺标准》（533-1996）

《有线电视系统工程技术规范》（GB50200-94）

《民用建筑电缆电视系统工程技术规范》（GBJ）

《建筑与建筑群综合布线工程系统设计规范》（GBT/T 50311-2000）

《建筑与建筑群综合布线系统工程验收规范》（GBT/T 50312-2000）

《智能建筑设计标准》（GB/T50314—2000）

第二章系统拓扑

根据山东鸿杰印务集团有限公司目前的接入点数量及应用系统的分布情况，按照安全区域划分的设计思想，各个区域物理隔离的技术手段，综合高性价比考虑，特设计如下方案。

2.1全网拓扑设计

网络拓扑图：

2.2方案说明

设用户网络总体设计主要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。使整个网络既有较高的先进性，并具有长足的开发发展能力，以适应未来网络技术的发展。

用户网络设计在垂直层面采用分层的设计方式，用户网络是一个三层的交换网络，由核心层、汇聚层和接入层组成。

核心网络设备：由于核心网络设备为用户整个网络的核心处理设备，要求有较高的数据处理能力、安全性及接口的扩展性，方便以后的人员的增加和系统的扩展。因此我们在这里选用了H3C的F100-M-G作为防火墙，选用H3C的S5500-28C-EI作为核心交换机。

汇聚层网络：采用H3C的S5120-28P-WiNet交换机，通过电信专线与总机房连接，性能与速率满足用户的应用功能。

无线网络：采用H3C专业级AP WAP722E，该AP最大功率可达23dBm。为了便于统一管理和维护以及实现无线漫游等功能，选用了H3C WAC361AP控制器进行统一管理，最大可支持32个AP。

第三章产品介绍

3.1核心交换机

产品图片

产品特性

H3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多6个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，其出色的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。同时S5500-EI系列交换机支持嵌入式管理软件,通过内置H3C UIS Manager 统一管理软件可提供跨服务器、存储、网络以及虚拟化的全融合管理，简化部署安装，优化运维管理。

高扩展性保护投资

随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE链路将是我们的未来发展方向。H3C S5500-EI系列交换机支持两个扩展槽位，每个槽位支持最大两端口的10GE扩展模块及两端口的CX4扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。

IPv4到IPv6的演变是以太网发展的大势所趋，网络设备对于IPv6的支持不仅是简单的可用就行，而是需要达到商用的标准，S5500-EI已经通过了国际最权威的IPv6 Ready第二阶段认证，而且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制，实现IPv4到IPv6的平滑升级。

智能弹性架构

H3C S5500-EI系列交换机支持IRF2（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处：

* 简化管理 IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。

* 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。

* 弹性扩展可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。

* 高可靠 IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。

* 高性能对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。

完备的安全控制策略

H3C S5500-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

H3C S5500-EI交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证，