内蒙自治区烟草公司乌兰察布市公司网络解决方案

网络概述

总体需求

内蒙自治区烟草公司乌兰察布市公司（以下简称乌兰察布市公司）网络采用星型网络结构，网络结构以乌兰察布市公司为中心节点，到区公司采用MSTP 10M为主干线路，SDH 2M为备份线路；到下属营销部采用SDH 2M互联组成。其核心设备已运行多年，现需要对网络设备进行更新改造，以满足卷烟营销业务等系统对网络稳定性、可靠性和安全性的需求。

为了实现系统安全稳定运行，需要对网络进行安全防护，增加防火墙等设备来保障信息系统安全。

此项目的具体建设目标为：

高性能-----承载网络的性能是整个业务系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输。

高可靠性----在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，关键部件冗余设计，最大限度地保证各种业务系统在网络中的高可靠运行。

标准开放性----支持国际上通用标准的网络协议，有利于保证与其它网络之间的平滑连接和互通，以及将来网络自身的扩展。

可管理性和维护性----对网络实行集中监测、分权管理，并统一分配资源。选用先进的网络管理平台（IMC），可以集中对全网网络设备（路由器、核心以太网换机以及各楼层以太网交换机）实施具体到端口的管理能力，并可提供及时的故障报警和日志。

安全性----制订统一的安全策略、VLAN策略和过滤机制，整体考虑网络平台的安全性。

保证网络访问的安全性，支持用户多种接入方式认证机制,包括：基于PPPoE、802.1X、Portal、MAC等认证，支持外置的Portal服务器和外置的AAA服务器系统。

网络拓扑

拓扑描述：

中心采用H3C SR6608路由器与区局及各营销部完成对接，保证了大量数据有可靠传输，通过核心交换H3C S7506E完成数据的快速转发，保证的业务的实时性、准确性。另外，中心与营销部之间通过SDH专业，保证了业务的安全性，中心到区局的链路采用MSTP专线，数据通过JUNIER防火墙的过滤，从而保证了业务的安全性。

旗县营销部根据数据量的大小断定，出口路由采用H3C MSR3020路由器保证内部百兆数据的快速传输，通过H3C S3100V2系列接入交换机与出口路由相连，以单臂路由的方式，网关终结在路由器上，通过出口路由完成内部数据的快速转发。

网络设计原则

系统建设的目的在于应用。根据网络中各种规范及各种业务的需求，结合行业的应用经验和发展要求，在系统设计时，主要应遵循以下原则：

实用性原则

实用性原则主要体现在以下方面：以现行需求为基础，适当考虑发展的需要为依据来确定系统规模。选择成熟、先进、维护量小、使用方便的技术设备和措施。创造一个开放的网络平台，支持多种业务的同时传输，如支持语音、图象等多媒体业务。

安全性原则

1) 协议的安全性

在网络中运行着很多网络协议，包括路由协议和各种为上层应用服务的广域网，局域网络协议等，路由器上也存在着很多服务，有些服务是网络运行所必需的，必须打开它，而有些服务是对网络运行无关紧要或无用的，可以关闭。正是这些网络协议或服务，确保了网络系统的正常运行，因此，我们首先应确保这些网络协议或服务的安全性。

2) 应用服务协议的安全

对这些路由协议和各种上层应用服务的协议，我们应区别对待。首先，对于网络运行所必需的协议，如路由协议等，我们不但应正常运行，而且必须加以保护，以防止非法路由器加入或伪造的路由信息，系统如何能够鉴别出哪些路由信息是可靠的呢，就必须采用一些加密技术或邻机校验方法，以完成认证，对于网络运行无关紧要或无用的协议，则应严格限制或关闭，而对于对网络运行有危害或本身有安全缺陷的协议，则应关闭。

3) 路由协议的安全

在路由协议安全性方面，我们可以采用路由器邻居相互校验，校验方式可以是明码方式或MD5加密方式，对于OSPF、BGP既可采用MD5校验方式，也可以采用明码方式。

通过明码或MD5加密方式校验，可以确保只有有效的路由器才能加入到网络，从而能够避免非法的路由器或伪造的路由信息加入到网络中，使路由出错，导致网络瘫痪。

4) SNMP的安全性

SNMP是另一种访问网络设备的方式。使用SNMP，你可以收集网络设备的状态，配置网络设备。Get-request、get-next-request消息用来收集状态信息，set-request消息用来配置网络设备。在每台路由器都要配置community string，每一个SNMP消息都有一个community string来进行校验，每个网络设备的SNMP代理上可以进行配置不同的community string来进行读模式和写模式的访问。SNMPv1的community string是采用明文方式传输的，SNMPv2的community string采用MD5来进行加密，同时SNMP可以和访问列表结合起来，使指定的的IP地址或端口才可以访问到网管信息。

5) 设备的安全性

对网络设备的访问与配置，主要有以下两种方式：控制口console的控制和远程登录telnet 的控制。

A 控制口console的控制

B 远程登录telnet 的控制

C 用户的分级管理

可靠性原则

为保证各项业务应用，网络必须具有高可靠性，决不能出现单点故障。要对整个网络的机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技术措施提高电脑机房的安全可靠性。

针对本网络设计方案，其可用性设计包括网络设备本身的冗余能力、网络的冗余设计。应采用以下一些手段：

设备冗余:

对关键设备进行整机冗余，模块冗余，支持模板热拔插、冗余的控制模块设计、冗余电源设计、风扇冗余设计。建议所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间小于3秒，使系统具备99.999%以上的可用性。

对非关键设备进行1:N的冷备份。

成熟和先进性原则

在网络结构设计、网络配置、网络管理方式等方面采用国际上先进同时又是成熟、实用的技术。设备厂商和系统集成商应有相关领域的丰富经验。

规范性原则

网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准，为网络的扩展升级、与其他网络的互联提供良好的基础。

开放性和标准化原则

在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则,如果是不同厂商的产品，必须不同厂商之间具备可对接性、可操作性与可管理性。

可扩充和扩展化原则

有充分的机制方便各网点的扩展、业务量和业务种类的扩展，保证建设完成后的网络在向新的技术升级时，能保护现有的投资。

网络可扩展的关键在于能否实现合理的层次化设计，采取层次化的设计可以根据网络需求的变化，可在不影响现有网络运行的状况下，迅速扩展。

网络的建设必须具有良好的灵活性与可扩展性，能够根据今后业务不断深入发展的需要，扩大设备容量和提高用户数量和质量的功能。具备支持多种网络传输、多种物理接口的能力，提供技术升级、设备更新的灵活性。

在网络设备选型过程中，每个核心骨干层次设计中所采用的设备本身应具有极高的端口密度，层次化设计为整个网络的扩展奠定了基础。同时，我们应充分考虑路由协议的选用，使路由协议为整个网络的发展带来极强的路由扩展能力。