长华油田网络改造解决方案V20.doc

长华油田网络升级改造解决方案陕西西华科创软件技术有限公司2016年1月目录 设备报价清单一、 需求概述31.1. 需求背景31.2. 问题分析31.2.1. 安全问题31.2.2. 资源问题31.2.3. 内容问题31.2.4. 法律风险41.2.5. 网络现状分析41.3. 方案设计原则41.3.1. 基本原则：41.3.2. 网络设备及终端通信可靠：51.3.3. 安全保障：51.3.4. 管理制度监督及落实：5二、 设计方案52.1. 建设目标52.2. 设计目标62.3. 网络部署拓扑62.4. 解决方案设计要点72.4.1 遵从法律法规与上级部门规定72.4.2 通过应用控制管理避免员工滥用网络72.4.3 使用流量通道技术科学管理出口带宽82.4.4 过滤有害网页信息，营造健康网络环境82.4.5 行为内容完全审计，规避潜在的法律风险82.5. 华为ASG主要优势特点92.5.1 华为ASG设备特性92.5.2 华为S5700系列交换机特性122.5.3 华为无线AP3010DN特性18 设备报价清单设备报价单名称品牌单价/元数量/个总价/元上网行为管理ASG2200华为72000172000汇聚S5700-52C-EI华为16500233000接入S5700-28P-LI-AC华为9800658800AP3010DN华为14001825200六类网线国产95021900辅材和其他国产20000120000施工费国产20000120000合计230900一、 需求概述1.1. 需求背景随着信息化建设的发展，长华油田已建立起设施完善、带宽充裕、应用丰富的互联网网络。互联网渗透到工作、生活的方方面面，当下无论企业运作，或是个人生活都已离不开网络上的各种应用作为沟通、交流的媒介，如企业中广泛使用的视频会议、ERP、CRM、Email，个人使用的即时通讯、博客、SNS社区、P2P分享等等应用。据最近中国互联网状况白皮书公布的抽样调查统计数据，2009年，中国约有2.3亿人经常使用搜索引擎查询各类信息，约2.4亿人经常利用即时通信工具进行沟通交流，约4,600万人利用互联网学习和接受教育，约3,500万人利用互联网进行证券交易，约1,500万人通过互联网求职，约1,400万人通过互联网安排旅行。1.2. 问题分析1.2.1. 安全问题据国际权威调研机构IDC统计，网络安全事件中40以上是由互联网活动引起的。四通八达的网络，方便的不仅仅是正常信息的获取和交流。恶意代码，比如病毒、蠕虫、间谍软件等等，也在搭乘着便车。籍由网页、Email、聊天工具、下载工具等方式，侵入到网络的各个角落。而现有的安全手段捉襟见肘，不能很好的掌控应用层，乃至内容层面的控制管理，也无法做基于用户的，灵活的策略定制。1.2.2. 资源问题据中国社会科学研究院最新的统计调查表明，70的互联网带宽资源被音乐、电影下载占用着。企业员工平均每天的互联网活动中有近40%是用来在线聊天，浏览新闻娱乐、股票行情、色情网站，或处理个人事务。事实证明，不加管理的互联网活动，严重消耗了带宽资源，导致正常业务得不到应有的资源保障。而宝贵的工作、学习时间被无目的的上网闲逛、聊天占用着，极大地影响了人们的工作、学习效率，人力资源也在无形之中浪费殆尽。我们需要一种有效的资源管理控制手段，确保重要业务的正常运行，避免人力、带宽等重要资源的浪费。1.2.3. 内容问题纷繁复杂的网络世界，充斥着各种各样的信息。正如打开窗户，进来的不止是新鲜空气。我们在获取有用信息的同时，也被各种不良内容侵蚀着。同时，联通的网络也会把一些保密信息泄漏出去。任何企业都担心自己内部的机密信息泄露出去，而互联网偏偏又提供了方便的信息交流和传递环境。通过Web电子邮件或MSN、QQ等即时通信工具，任何数字文件都可以方便地通过互联网发送到企业外部。如何确保人们利用网络获取有用信息的同时，免受不良内容的干扰，同时安全保密信息，将直接影响到一个单位的战斗力。1.2.4. 法律风险根据公安部82号令的相关规定，互联网服务提供者必须要保留至少60天的用户上网记录以供审查。为了避免公司员工在互联网上发布某些敏感、违法的言论给单位造成负面影响及不必要的风险，也需要有对用户上网行为和内容进行审查的可靠手段，并且在需要的时候对用户外发的言论进行必要的阻断。1.2.5. 网络现状分析 1.网络架构：前期规划建设的网络架构已经不能满足现有数字中心大楼、办公楼、和宿舍楼的需求。 2.IP地址：前期规划上网用户分配的IP地址现已不能满足需求，（所有上网用户在一个网段，对精细化管理带来不便） 3.交换机：前期接入交换机沿用傻瓜式交换机，所有用户在一个广播域内，广播风暴影响用户网络的使用，一个电脑中毒影响所有用户。 4.出口路由器：前期出口路由沿用家用式夏普路由器，相关厂家售后及产品资料已经无法得到保障，随着油田信息化的建设和用户对上网的需求不断增多，及互联网上日益增多的各种木马病毒，相关功能和性能已经不能满足需求。1.3. 方案设计原则1.3.1. 基本原则：安全性：l 鉴于网络内容过滤设备的特殊性，设备自身应该提供高安全等级的管理方式，并对非法登录进行记录及屏蔽。l 设备自身应具备本地物理管理能力，提供最直接而安全的控制手段。实用性：l 设备部署后应可以立刻看到效果，可以最快体现出实际价值可操作性：l 设备应采用图形化界面，便于非专业人员操作l 设备的各项配置应主要是勾选方式，提供最简单的控制实现能力1.3.2. 网络设备及终端通信可靠：l 设备应可以实现对互联网应用的识别并进行流量阻断、压缩、保障l 设备应可以实现多线路接入，并可以进行静态的，动态的负载均衡，实现南北互通l 设备应提供故障时的物理回退，并可提供多重的冗余保障机制l 设备应可对接入的客户端进行软件及系统检查，不合规的客户端禁止通过设备1.3.3. 安全保障：l 设备应提供对非法网站专业的控制的能力，并可及时体现非法网站的访问l 设备应可以通过2层地址，3层地址，本地用户名，或与其他系统联动获取的用户名进行身份识别1.3.4. 管理制度监督及落实：l 设备应可以对人员的网页访问，应用使用情况进行实时的记录l 设备应可以对人员通过网页，邮件，IM等外发手段的内容进行记录l 设备可对以上行为中的不合规行为进行阻断，规避法律风险l 设备应可以针对网页，应用，外发，下载等信息进行清晰的行为明细或统计报表呈现，便于自查审核的快速高效的完成。二、 设计方案2.1. 建设目标根据长华油田上网行为管理项目的要求，本次建设需要在现有基础网络设施中部署一套上网行为管理系统，以实现项目管理目标。通过本次建设，应可达到对互联网行为有效的风险规避，减少法律风险，提升工作学习效率，保障出口带宽的使用质量，并可尽最大可能全面监控，审计，管理互联网行为；同时满足数字化中心，办公、宿舍楼、网络地址统一规划，各个网络逻辑隔离，互不影响，既满足现阶段网络资源需求，同时满足未来5年的网络资源需求。2.2. 设计目标1) 实现审计方法的简易化：做为增值类网络产品，要求不能对现有网络造成过大的耦合，可快速部署，快速配置，快速查询。2) 安全、可靠，有效的行为管理系统：做为在链路中串入的设备，必须实现自身安全，自身可靠，原有链路可靠，以及审计后果的有效性。3) 行为管理的长期可持续持续：利用设备标准的，频繁的，持续的更新服务，使得审计工作可持续性的发展，保证长期有效的安全。2.3. 网络部署拓扑根据长华油田现有的互联网接入网络环境和应用情况，建议在互联网出口处将互联网出口部署华为ASG2200上网行为设备，替换原有家用式夏普出口路由器，新增可网管的华为智能S5700交换机替换原有办公楼、宿舍楼傻瓜式交换机，并新增华为无线AP3010DN为无线终端提供网络资源，同时给管理员的维护带来便利。2.4. 解决方案设计要点2.4.1 遵从法律法规与上级部门规定华为作为专业的ICT解决方案提供商，ASG产品提供完备准确的用户互联网行为记录功能，对用户访问互联网的行为能够详细记录到用户名、使用IP、使用MAC、访问的网站IP、目的端口、完整URL地址等，完全满足公安部82号令以及上级主管部门的要求。2.4.2 通过应用控制管理避免员工滥用网络针对员工容易使用互联网进行娱乐，影响工作效率的问题，ASG提供了互联网应用控制功能，能够准确识别各种互联网娱乐应用，根据管理者的管理策略，可以区分用户及应用进行精确控制。通过对开心农场、网络游戏、在线聊天、视频网站等各种互联网娱乐应用进行识别并控制，将员工消耗在互联网娱乐上的时间都解放出来，投入到正常工作当中去。同时，ASG也提供了独到的应用时长限时功能，可以为每个用户、每种应用设置每天使用的时长，比如：员工上班时间禁止玩网络游戏，在非工作时间可以玩2小时，这样就不会影响员工正常工作。2.4.3 使用流量通道技术科学管理出口带宽为了解决出口带宽被大量P2P、在线视频等无关业务抢占，影响正常业务的开展的问题，通过ICG提供的智能流量控制功能，可以划分固定的带宽通道，将P2P下载、在线视频等带宽消耗巨大的流量进行有效控制，使其对出口带宽的占用能够控制在一个有限、可以接受的范围内。同时，ASG也能够支持对单位网站、邮件、OA,视频会议等关键业务的流量进行区分，可以为关键业务划分一个指定的带宽通道，进行专门的流量保障，可以确保在出现病毒攻击、流量激增等非常情况下，也能够为核心业务保留足够可用的带宽，不会受到非正常流量的影响。2.4.4 过滤有害网页信息，营造健康网络环境华为和国际知名安全公司赛门铁克合作成立以来就致力对于中文互联网环境的深入研究和分析，根据中国的文化背景、伦理道德、法律法规、应用领域、上网习惯等，进行全面采集、多级分类，并生成URL分类数据库。通过智能多级分类系统、人工校验审核等多级过滤技术对获取到的URL进行有效性校验和内容分类匹配，截止目前，网康已经建立了容量超过1600万条的庞大URL分类资料库，为业内同类产品中容量最全，基本上覆盖了中国用户能够访问的网页信息。并且为了保持URL数据库的有效性和实时性，华为在杭州安全总部的服务器群时刻都在对既有的URL库进行更新，每天更新的速度超过300万条。这些变化内容可以自动更新到客户的在线设备上，使客户设备与华为URL库保持实时同步。容量齐全的URL数据库，确保了ASG能够准确判断用户所访问的网页类别，对色情、暴力、毒品等各种含有有害内容的网页，能够及时有效地加以识别，并根据单位的管理策略进行记录或者封堵，保证员工远离有害信息困扰，营造一个健康、和谐的上网环境。2.4.5 行为内容完全审计，规避潜在的法律风险ASG提供的内容审计功能也能够完整还原用户访问网络的各种行为记录，包括用户访问网页的快照信息、邮件的完整收发记录、即时聊天工具的对话和文件传输内容以及论坛的发帖、上传记录，都能够得到完整的记录和还原；并且可以进一步设置特定的敏感关键字，当员工外发的信息匹配特定关键字时，能够自动阻断外发信息，并以邮件方式向管理员进行告警，为互联网的信息管理要求提供完善的解决方案。2.5. 华为ASG主要优势特点2.5.1 华为ASG设备特性互联网络作为单位信息化建设的重要基础设施，网络的稳定性是极其重要的考量指标。华为一直重视网络的可用性和系统健壮性，在多方面进行了大量技术攻关来保障不因任何设备原因造成的客户网络不畅或中断。2.5.2 华为S5700系列交换机特性S5700系列企业交换机产品概述S5700千兆以太网交换机系列（以下简称S5700），是华为公司自主研发的千兆以太网交换机，提供灵活的全千兆接入以及万兆上行端口。该系列交换机基于新一代高性能硬件和华为公司统一的VRP（Versatile Routing Platform）软件平台， 具有智能iStack堆叠，杰出的网流分析，灵活的以太组网，完善的VPN隧道，多样的安全控制，成熟的IPv6特性，轻松的运行维护，更多的端口组合等特点。广泛应用于企业园区接入、汇聚，数据中心千兆接入等多种应用场景。产品外观产品外观描述 S5700-28P-LI-AC· 24个10/100/1000Base-T以太网端口，4个千兆SFP端口·· 交流供电，支持RPS冗余电源·· 包转发率：66Mpps/96Mpps·· 交换容量：256Gbps· S5700-52C-EI·48个10/100/1000Base-T，上行支持4×1000Base-X SFP、2×10GE SFP+、4×10GE SFP+插卡可插拔双电源，支持直流或者交流供电包转发率：138Mpps交换容量：256Gbps产品特性和优势更多的端口组合· S5700-EI支持多种上行扩展插卡，提供高密度的GE/10GE上行接口。其中S5710-EI系列具有4 个固定10GE SFP+端口，通过上行扩展插卡可实现64×GE4×10GE，48×GE8×10GE，或56×GE6×10GE等不同端口组合，充分满足不同用户对带宽升级的实际需求，保护用户投资。完善的VPN隧道· S5700-EI支持Multi-VPN-Instance CE（MCE） 功能。S5700-EI支持下接不同的VPN用户，通过路由多实例，实现了不同用户的隔离；上行通过共用的物理接口连接到PE设备，减少单个VPN用户对网络部署的投资。· S5710-EI支持MPLS L3VPN、MPLS L2VPN(VPWSVPLS)、MPLS-TE、MPLS QoS等功能，可作为高质量企业专线接入设备，是业界为数不多的高性价比盒式MPLS交换机。灵活的以太组网· S5700-EI不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP 智能以太保护技术和业界最新的以太环网标准ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。ERPS是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现以太环网的毫秒级快速保护倒换。· S5700-EI支持SmartLink和VRRP功能。S5700-EI通过多条链路接入到多台汇聚交换机上，SmartLink/VRRP实现了上行链路的备份，极大地提升了接入侧设备的可靠性。· S5700-EI支持多种连接故障快速检测功能。S5700-EI支持完善的以太OAM (IEEE802.3ah/802.1ag/ITU Y.1731)和BFD功能。多样的安全控制· S5700-EI支持MAC地址认证和802.1x认证，实现用户策略（VLAN、QoS、ACL）的动态下发。支持基于端口粒度的dot1X、MAC认证和混合认证；支持基于VLANIF接口粒度的Portal认证。· S5700-EI支持完善的DoS类防攻击、用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻击，包括SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC 欺骗、DHCP request flood、改变DHCP CHADDR 值等等。· S5700-EI通过建立和维护DHCP Snooping绑定表，对不符合绑定表项的非法报文直接丢弃。利用DHCP Snooping的信任端口特性，S5700-EI还可以保证DHCP服务器的合法性。· S5700-EI支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。杰出的网流分析· S5710-EI支持NetStream 网络流量分析功能。作为网络流量输出器，S5710-EI 根据用户配置，实时采集指定的数据流量，通过标准的V5/V8/V9报文格式，将数据上送给网络流量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。· S5700-EI支持sFlow功能。S5700-EI按照标准定义的方式，对转发的流量按需采样，并实时地将采样流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供了极大的方便。轻松的运行维护· S5700-EI支持华为Easy Operation简易运维方案，提供新入网设备Zero-Touch 安装、故障设备更换免 配置、USB开局、设备批量配置、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700-EI支持SNMP V1/V2c/V3、CLI（命令行）、Web网管、SSHv2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。· Easy Deploy：Commander交换机收集下挂Client的拓扑信息，并基于拓扑保存Client对应的启动信息；支持Client免配置更换。支持对Client批量下发配置和脚本，并支持对配置下发结果进行查询。· Commander交换机支持收集并显示整网能耗信息。· S5700-EI支持GVRP，实现VLAN 的动态分发、注册和属性传播，减少手工配置量，保证配置正确性。S5700-EI还支持MUX VLAN功能，MUX VLAN分为主VLAN和从VLAN，从VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从VLAN 之间可以相互通信；互通型从VLAN 内的端口之间互相通信；隔离型从VLAN内的端口之间不能互相通信。智能iStack 堆叠· S5700-EI智能iStack堆叠，将多台支持堆叠特性的交换机组合在一起，从逻辑上组合成一台虚拟交换机。iStack 堆叠系统通过多台成员设备之间冗余备份，提高了设备级的可靠性；通过跨设备的链路聚合功能，提高了链路级的可靠性。iStack提供了强大的网络扩展能力，通过增加成员设备，可以轻松地扩展堆叠系统的端口数、带宽和处理能力。iStack简化了配置和管理，堆叠形成后，多台物理设备虚拟成为一台设备，用户可以通过任何一台成员设备登录堆叠系统，对堆叠系统所有成员设备进行统一配置和管理。成熟的IPv6 特性· S5700-EI基于成熟稳定的VRP平台，支持IPv4/IPv6 双协议栈、IPv6路由协议（RIPng/OSPFv3/BGP4+/IS-ISv6）、IPv6 over IPv4隧道（手工隧道/6to4隧道/ISATAP隧道）。S5700-EI既可以部署在纯IPv4或IPv6网络，也可以部署在IPv4与IPv6共存的网络，充分满足网络从IPv4向IPv6过渡的需求。项目S5700-52C-EI/ S5700-52C-PWR-EI固定端口48×10/100/1000Base-T扩展插槽S5700C提供两个扩展插槽，分别支持上行插卡和堆叠卡S5710C提供两个扩展插槽，支持上行插卡MAC地址表遵循IEEE 802.1d标准支持32K MAC地址容量支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤VLAN特性支持4K个VLAN支持Guest VLAN、Voice VLAN支持GVRP协议支持MUX VLAN功能支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN Mapping功能可靠性支持RRPP环型拓扑和RRPP多实例支持SmartLink树型拓朴和SmartLink多实例，提供主备链路的毫秒级保护支持智能以太保护SEP协议支持ERPS以太环保护协议（G.8032）支持BFD For OSPF/IS-IS/VRRP/PIM协议支持STP(IEEE 802.1d)，RSTP(IEEE 802.1w)和MSTP(IEEE 802.1s)协议支持BPDU保护、根保护和环回保护MPLSS5710-EI支持下列特性：支持MPLS L3VPN支持MPLS L2VPN(VPWS/VPLS)支持MPLS-TE支持MPLS QoSIP路由静态路由、RIPv1/2、RIPng、OSPF、OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+、ECMP、路由策略IPv6特性支持ND（Neighbor Discovery）支持PMTU支持IPv6 Ping、IPv6 Tracert、IPv6 Telnet支持6to4、ISATAP、手动配置tunnel支持基于源IPv6地址、目的IPv6地址、四层端口、协议类型等ACL支持MLD v1/v2 snooping（Multicast Listener Discovery snooping）组 播支持IGMP v1/v2/v3 Snooping和快速离开机制支持VLAN内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播支持基于端口的组播流量统计支持IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM支持MSDPQoS/ACL支持对端口入方向、出方向进行速率限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRRSP、DRR+ SP队列调度算法支持WRED（S5710-EI支持）支持报文的802.1p和DSCP优先级重新标记支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP协议源/目的端口号、协议、VLAN的包过滤功能支持基于队列限速和端口整形功能安全特性用户分级管理和口令保护支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、Sticky MAC支持MFF支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1x认证，支持单端口最大用户数限制支持AAA认证，支持Radius、HWTACACS、NAC等多种方式支持SSH V2.0支持HTTPS支持CPU保护功能支持黑名单和白名单管理和维护支持智能堆叠iStack支持虚拟电缆检测(Virtual Cable Test)支持SNMPv1/v2c/v3支持RMON支持网管系统、支持WEB网管特性支持系统日志、分级告警支持NetStream(S5710-EI支持)支持sFlow互通性VBST基于VLAN生成树协议（和PVST/PVST+/RPVST 互通）LNP 链路类型协商协议（和DTP相似功能）VCMP VLAN集中管理协议（和VTP相似功能）环境要求工作温度：0 OC50 OC相对湿度：5%95%（无凝露）输入电压AC：额定电压范围：100-240V AC；50/60Hz最大电压范围：90-264V AC；47/63HzDC：额定电压范围：-48- -60V DC最大电压范围：-36- -72V DC注明：PoE机型无DC电源外形尺寸mm（宽×深×高）442×420×43.6功耗非PoE款型：<88WPoE款型：<930W(PoE：740W)2.5.3 华为无线AP3010DN特性l 室内型AP (AP3010DN):Ø AP3010DN-AGN是华为公司推出的经济适用级802.11n产品，美观实用，适合部署在中小型企业、咖啡厅、休闲中心等商业环境高速可靠的无线接入服务，支持2×2 MIMO，双频速率最高可达600Mbps；完善的用户接入控制能力，可根据用户组策略，基于用户实施访问控制；高等级的网络安全性，支持WIDS和WIPS；强大的网络特性，支持IPv4/IPv6双协议栈。设备外观AP3010DN（室内型）规格简介WiFi标准：满足IEEE 802.11a/b/g/n工作频段：2.4GHz和5.8GHz网络接口1.Console口。2.ETH/PoE：10/100/1000M，用于有线以太网连接,并且支持PoE功能，用于连接PoE交换机或PoE电源，给AP供电。3.Default：缺省按钮，长按恢复出厂缺省值。4.电源输入接口：12V DC。5.Lock设备锁接口：用于保证AP3010DN-AGN的防盗安全最大（物理）比特率为600Mbps维护接口1、1个控制台端口：Console2、1个设备锁接口：Lock每端口发射功率17dBm发射功率支持1dB步长调整，可调范围支持从最大发射功率向下20dB说明：实际发射功率遵照不同国家和地区法规而有所不同。天线类型内置天线设备尺寸180mm×180mm×50mm工作环境工作温度范围：1055工作湿度范围：5%95%（非凝结）工作高度：-60m4000m防护标准： 符合IP31要求电源支持外接电源适配器直流供电或POE供电两种供电方式：1、当PoE供电和直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。2、直流供电的外接电源适配器规格： DC 12V±10%POE供电：-48V DC满足802.3af/at以太网供电标准。最大功耗：9.5W说明：实际最大功耗遵照不同国家和地区法规而有所不同。