XX烟厂信息化解决方案技术建议书11304.docx

XX烟厂信息化化解决方案技技术建议书杭州华三通信技技术有限公司司2008.066目 录1.烟厂数字字化园区信息息化需求32.H3C IToIPP烟厂数字化化园区信息化化解决方案架架构43.XXX烟烟厂园区统一一高效IP网络解决决方案53.1.IPP网络方案设设计原则53.2.XXX烟厂园区网网络建设目标标和整体规划划：73.2.1.建设目标73.2.2.整体规划73.3.XXX烟厂园区网网络详细设计计93.2.3.局域网详细细设计93.2.4.虚拟园区网网设计103.2.5.IP地址规划划设计133.2.6.QoS规划设设计143.4.XXX烟厂园区网网无线网络设设计163.2.7.方案逻辑组组网图163.2.8.认证方式及及认证点选择择173.2.9.整网安全183.2.10.频率规划与与负载均衡193.2.11.网络管理193.2.12.供电问题213.2.13.无线覆盖解解决方案214.XX烟厂园区区数据中心存存储解决方案案224.1.CDDP（持续数数据保护）方方案235.XX烟厂厂全局安全规规划方案255.1.烟草工业园园区网络安全全现状255.2.全局局安全概述255.3.EAAD方案265.4.数据据中心安全275.5.安全全评估305.6.全网网安全方案特特点326.XX烟厂厂IP智能监控控解决方案326.1.烟草草工业企业园园区的监控需需求326.2.H33C IP智智能监控解决决方案概述346.3.H33C IP智智能监控解决决方案特点367.XXX烟烟厂综合信息息管理解决方方案387.1.基础础资源管理397.2.身份份与接入管理理397.3.端点点安全准入管管理407.4.VPPN管理407.5.网络络智能分析401. 烟厂数字化园区区信息化需求求我国是世界上第第一烟草大国国，现阶段常常年吸烟人口口达3.1亿亿之多，年卷卷烟消费量约约170000亿支，卷烟烟制造行业是是关系到人民民日常生活的的重要消费品品制造行业。随着建设现代化化烟草企业的的序幕展开，信信息化技术的的应用和改革革对卷烟工业业企业的推动动启到至关重重要的作用。卷烟工业企业信信息化是指广广泛利用电子子信息技术，使使企业的生产产、管理实现现自动化。当当前，我国卷卷烟工业企业业信息化建设设已初具规模模，由单机应应用、局部系系统应用发展展到了网络化化、集成化、数数字化和智能能化，管理信信息系统在行行业经济发展展中已发挥了了重要作用。 卷烟工业企业信信息化建设主主要包括两大大部分：一部部分是设计、生生产过程的信信息化，实际际上是生产过过程的自动化化，属于工业业控制范畴。用用自动化生产产、测量、显显示、控制等等工具，通过过控制信息达达到生产的自自动化。另一一部分是管理理的信息化，就就是建立管理理信息系统(MIS)、办办公自动化系系统(OA)以及决策支支持系统(DDSS)等。卷卷烟工业企业业信息化建设设在工控方面面将向计算机机集成制造系系统(CIMMS)方向发发展；在管理理方面将向数数字化、智能能化发展。在在企业内部将将建立起全面面的数据分析析、决策支持持系统，在企企业外部将建建立完善的电电子商务(EEC)环境，通通过建立供应应链管理(SSCM)系统统、客户关系系管理(CRRM)系统，提提高整个企业业的市场竞争争能力。国家烟草专卖局局在数字烟烟草发展纲要要中提出了了“统一平台台、统一数据据库、统一网网络”的信息息化建设纲要要。统一网络是是指通过建设设一个整体的的行业专网把把总公司到各各个省公司以以及省工业公公司（省烟草草公司和各个个省的工业公公司）通过行行业专网全部部连接起来，形形成一个统一一的行业大网网。统一平台台和统一数据据库则更有益益于实现信息息资源共享。纲要的宗旨是将信息化贯穿烟草行业生产经营管理的各个环节、各个流程，以及将复杂多变的烟草信息转变为可以量化的数据，通过数字分析，为各企业乃至整个产业的发展提供决策依据。结合XX烟厂生生产业务系统统、办公管理理业务系统、本本地局域网和和广域网规划划需求，数据据存储需求，网网络安全性需需求，监控需需求，管理需需求，H3CC提出一体化化数字化烟厂厂园区解决方方案。2. H3C ITooIP烟厂数字化园园区信息化解决方方案架构烟厂数字化园区区内部各个业业务系统是在在不同的年代代建设的，其其包括了各种种各样的标准准和协议，如如何对它们进进行高效的整整合，实现信信息资源的共共享，是一个个难题。众所所周知，TCCP/IP是迄今今为止应用最最广泛、最成成熟、最为开开放、标准化化程度最高的的技术体系，具具有简单、开开放、灵活扩扩展、管理和和互操作等一一系列优势，已已经成为当今今互联网、电电信网、政务务网、企业网网的主要承载载技术。IPP协议弹性强强，能更好地地适应IT网网络的各种变变化。例如在在存储技术领领域，传统的的FC技术存存在兼容性和和扩展性等方方面的问题，基基于IP的存存储能够更好好地实现平台台兼容性及业业务扩展性，并并可实现更灵灵活的数据服服务定制。基基于这样的潮潮流，H3CC推出了ITT On IIP(简称IIToIP)的烟厂数字字化园区信息息化基础平台台建设理念及及整体解决方方案。IToIP并不不是各种产品品的简单堆积，而是一种完完全基于IPP的融合IT解决决方案。在整整个信息的生生命周期中，信信息的产生、存存储、传送、处处理都是通过过IP的方式进行，中间不不用任何的转转化，这样就能够对对整个IT系系统更好地管管理，提升效效率。通过对对烟厂数字化化园区需求的的深入理解，HH3C利用先先进实用数据据通讯技术与与产品，提出出了烟厂园区区信息化解决决方案。烟厂数字化园区区解决方案模模型图： 3. XXX烟厂园区区统一高效IIP网络解决决方案3.1. IP网络方案设设计原则IP网络是整个个烟厂信息化化的基础承载载体，因此，建建设统一可靠靠高效IP网网络非常重要要，整个基础础网络设计遵遵循如下原则则：n 链路冗余 在主干连接(主主干设备之间间及其与汇接接设备之间的的连接)具备备可靠的线路路冗余方式。建建议采用负载载均衡的冗余余方式，即通通常情况下两两条连接均提提供数据传输输，并互为备备份。主线路路可实时、自自动的切换到到备份线路,而不影响业业务应用。n 模块冗余 核心层设备和汇汇聚层设备的的所有模块和和环境部件应应具备1+11或1：N热热备份的功能能，核心层交交换设备主备备切换时间小小于1秒。所有模模块具备热插插拔的功能。系系统具备999.999%以上的可用用性。n 设备冗余 核心交换机采用用两台或两台台以上设备组组成，当其中中一个设备因因故障停止工工作时，另一一台设备自动动接替其工作作，并且不引引起其他节点点的路由表重重新计算，从从而提高网络络的稳定性，切切换时间大于于3秒。n 拥塞控制与服务务质量保障拥塞控制和服务务质量保障(QoS)是是公众服务网网的重要品质质。由于接入入方式、接入入速率、应用用方式、数据据性质的丰富富多样，网络络的数据流量量突发是不可可避免的，因因此，网络对对拥塞的控制制和对不同性性质数据流的的不同处理是是十分重要的的。网络支持标准DDiffSeerv QooS机制。网络设备应支持持68种业业务分类(CCOS)。当当用户终端不不提供业务分分类信息时，网网络设备应根根据用户所在在网段、应用用类型、流量量大小等自动动对业务进行行分类。接入本网络的业业务应遵守其其接入速率承承诺。超过承承诺速率的数数据将被丢弃弃或标以最低低的优先级。当网络出现真正正的拥塞时，瞬瞬间大量的丢丢包会引起大大量TCP数数据同时重发发，加剧网络络拥塞的程度度并引起网络络的不稳定。网网络设备应具具备先进的技技术，在网路路出现拥塞前前就自动采取取适当的措施施，进行先期期拥塞控制，避避免瞬间大量量的丢包现象象。n 网络的扩展能力力网络的扩展能力力包括设备交交换容量的扩扩展能力、端端口密度的扩扩展能力、主主干带宽的扩扩展，以及网网络规模的扩扩展能力。交换容量扩展 ：交换容量应应具备在现有有基础上继续续扩充122倍容量的能能力，以适应应IP类业务务急速膨胀的的现实。端口密度扩展 ：设备的端口口密度应能满满足网络扩容容时设备间互互联的需要。主干带宽扩展 ：主干带宽应应具备244倍甚至更高高的带宽扩展展能力，以适适应IP类业业务急速膨胀胀的现实。网络规模扩展 ：网络体系、路路由协议的规规划和设备的的CPU/NNP路由处理理能力，在核核心网络设备能适应将来达到到2倍以上的规模扩扩展要求。网络通信协议：以TCP/IP协议为为主，设备商商应提供服务务营运级别的的网络通信软软件和网际通通用操作系统统，路由协议议支持成熟标标准并且广泛泛应用的OSSPF路由协协议。3.2. XX烟厂园区网网络建设目标标和整体规划划：3.2.1. 建设目标烟厂数字化园区区统一高效IIP承载网的的建设目标：l 网络统一规划，分分层分域，采采用层次化的的建设模型和和分区域的模模块化结构，层层次清晰，既既有效隔离，又又互相连通； l 带宽充分，保证证各种新兴业业务，如视频频监控、视频频会议等的高高速传输。l 高可用性，承载载实时生产业业务和视频监监控；烟厂数字化园区区集中统一数数据存储建设设目标：l 可靠数据大集中中存储、本地地实时备份及及远程容灾，生生产、办公和和监控数据不不丢失。烟厂数字化园区区一体化安全全建设目标：l 端到端信息系统统安全，网络络边缘和内部部终端安全；烟厂数字化园区区融合通信建建设目标：l 实现视频、监控控、语音有机机融合；烟厂数字化园区区一体化管理理建设目标：l 对网络、安全、存存储和用户进进行统一管理理维护,达到到可管理、易易管理。总之，烟厂数字字化园区信息息化目标包括括：以统一高高效IP网络络和数据为基基础，以全面面深入信息系系统安全、智智能安防和统统一智能管理理为保证，支支撑起烟厂数数字化园区整整合化的应用用系统，从而而为烟厂数字字化园区提供供一个可靠高高效的信息化化平台。 3.2.2. 整体规划根据XX卷烟厂厂网络建设的的目标和业务务需求，在充充分分析XXX卷烟厂业务务需求的基础础上，构建XXX烟厂数字化园园区网络，XX烟厂网络络是整个XXX卷烟厂的应应用的基础网网，应能满足足XX卷烟厂多多业务、高带带宽应用的需需求，因此网网络将建成一一个承载多种种业务台。网网络的整体规规划如下：在烟厂园区网络络整体设计中中，采用层次次化、模块化化的网络设计计结构，并严严格定义各层层功能模型，不不同层次关注注不同的特性性配置。典型型的烟厂园区区网络结构可可以分成三层层：接入层、汇汇聚层、核心心层。1) 接入层：提供网络的的第一级接入入功能，完成成简单的二、三三层交换，安安全、Qoss和POE功能都都位于这一层层。根据以上上要求，对于于企业园区网网的接入层设设备，建议采采用千兆接入入的方式，应应该具有线速速三层交换、IIRF智能弹弹性堆叠技术术以及高级QQoS策略等等功能。2) 汇聚层：汇聚来自配配线间的流量量和执行策略略，当路由协协议应用于这这一层时，具具有负载均衡衡、快速收敛敛和易于扩展展等特点，这这一层还可作作为接入设备备的第一跳网网关；对于企企业园区网的的汇聚层设备备，应该能够够承载企业园园区的多种融融合业务，如如MPLS、IIPv6、网网络安全、无无线、无源光光网络等，并并提供不间断断转发、优雅雅重启、环网网保护等多种种高可靠技术术，满足企业业园区融合业业务的需求。3) 核心层：网络的骨干干，必须能够够提供高速数数据交换和路路由快速收敛敛，要求具有有较高的可靠靠性、稳定性性和易扩展性性等。对于企企业园区网核核心层，必须须提供高性能能、高可靠的的网络结构，推推荐采用高可可靠的RPRR环网结构或或多设备冗余余的星型结构构。这样可以以实现10mms的故障检检测时间以及及50ms的的业务倒换时时间，可以做做到故障切换换时完全不影影响正在进行行的音频业务务，完全满足足电信级可靠靠性的要求。3.3. XX烟厂园区网网络详细设计计3.2.3. 局域网详细设计计XX烟厂数字化化园区建议采采用常用的二二层接入、三三层核心交换换组网模型。通通过VLANN隔离区域用用户，同一VVLAN内用用户可方便互互访。同时在在核心层配置置安全规则对对内部网络各各子网间的路路由实现策略略控制，接入入层启用8002.1x和和防ARP欺欺骗等安全特特性为用户提提供保护。网络接入层到核核心层间配置置STP协议议，核心层和和广域网部分分配置三层OOSPF路由由协议，OSSPF路由协协议和白沙物物流数据中心心采用相同的的OSPF id，并将将整个科研数数据中心设置置为Areaa 0。建议汇聚层交换换机采用H33C S75506E，汇汇聚设备100GE双上行行与核心层HH3C S95512相连，提提供链路冗余余，核心层设设备通过VRRRP协议进进行网关备份份。在这个网络中，通通过合理规划划VRRP groupp mastter、生成成树实例和生生成树实例与与VLAN映映射的关系，可可提高网络链链路利用率和和可靠性。在在分布层配置置多个VRRRP组，组mmasterr和backkup角色均均匀分布在两两台核心路由由交换机上，使使两台网关设设备同时完成成备份和负载载分担功能；通过多生成成树实例规划划，使接入设设备不同VLLAN业务负负载分担在两两条上行链路路，并且到达达的汇聚设备备为第一跳网网关mastter；实例例root与与生成树实例例映射VLAAN的三层网网关mastter在同一一台汇聚设备备上，使STTP协议能够够通过计算合合理阻塞链路路，并且缩小小链路故障引引起的网络震震荡范围；若若接入设备上上有VLANN重叠，汇聚聚设备设置为为二层TRUUNK链路。一一些安全特性性的配合使用用，更能增强强网络的健壮壮性：在网络络边缘直接与与用户相连的的端口可以配配置边缘端口口和BPDUU保护，防止止从这些端口口接收到BPPDU报文引引起网络拓扑扑变化；在汇汇聚网关上配配置TC保护护和根保护特特性，防止攻攻击造成拓扑扑频繁变化。主要HA性能参参数网络故障收敛性能接入层设备主备备倒换（S77506E）50毫秒接入层-核心层层链路故障/恢复<1秒核心层设备主备备倒换50毫秒核心层设备故障障<1秒链路单通故障2秒3.2.4. 虚拟园区网设计计一个烟厂企业园园区，需要生生产平台、管管理运营、销销售、安保监监控等业务隔隔离。隔离的的手段可以是是物理隔离，也也可以是逻辑辑隔离。相对对于物理隔离离，逻辑隔离离（网络虚拟拟化）具有无无需重复建设设、能提供统统一的安全、管管理、HA策策略等优点，并并且能够更好好地提供面向向应用的服务务。一般烟厂园区网网虚拟化的需需求主要如下下：l 横向不同部门/分类间业务务的隔离，提提高涉密业务务的安全性，同同时提供访问问控制策略，满满足不同部门门间业务互访访的要求l 为园区内各部门门提供统一的的Interrnet出口口，供内部用用户访问Innterneet和为外部部公众提供应应用服务，进进行集中控制制管理l 提供广域网接口口，实现相同同部门/种类类业务的纵向向互通l 数据中心资源逻逻辑上分三部部分：部门内内部数据区、共共享数据区和和对外服务数数据区，分别别为独立部门门内部、业务务交互部门和和外部公众提提供服务l 为重要业务提供供端到端的QQos保证为了满足烟厂园园区网虚拟化化的需求，HH3C公司提提出了EADDMPLSS VPN的的解决方案，可可以实现与企企业各部门工工作流相适应应的、从客户户侧就开始安安全控制的端端到端的虚拟拟通道，实现现和用户上层层应用系统权权限无缝匹配配。它主要包包括如下内容容：1) 用户端点准入控控制对用户的安全认认证和权限管管理，使用我我司的EADD解决方案（支支持porttal、802.11X、VPN等认证证方式），在在接入边缘设设备作认证；把CAMSS服务器补丁服务器器病毒服务器器等集中部署署在数据中心心内部共享区区，内部所有有用户接入网网络都需要认认证，进行集集中的安全管管理2) 业务逻辑隔离企业园区各部门门共用一套物物理网络，逻逻辑隔离使用用VRF+MMPLS VVPN技术。各各部门用户通通过CEMMCE设备接接入，通过二二层VLANN或VRF进行隔隔离。核心层层用MPLSS标签转发，控控制PE设备VPN路由引引入，建立专专用的VPNN转发通道，为为数据中心提提供PE或MCE接口，兼兼容数据中心心内部业务逻逻辑隔离和物物理隔离。企企业园区网络络支持端到端端的业务逻辑辑隔离，支持持Qos。3) 集中服务管理为园区内用户提提供统一的IInternnetWAAN出口，进进行集中监控控、管理。网网络管理使用用H3C的iMC网络综综合管理中心心，内嵌的MMPLS VVPN Maanagerr支持对MPLLS VPNN的专业管理理。各种管理理策略服务器器、应用服务务器、存储设设备等统一部部署在数据中中心，为全网网提供统一的的应用和策略略服务。H3C公司的EEAD+MPPLS VPPN的网络虚虚拟化方案在在业界独创性性的实现了提提供与企业各各部门业务工工作流完全匹匹配的从客户户侧开始的安安全控制的端端到端的虚拟拟逻辑通道，使使得各部门的的业务数据能能够真正实现现从端到端的的安全虚拟通通道中传输，起起到了端到端端有效的全程程隔离作用，使使得企业网络络和应用实现现无缝融合。根据现有网络应应用，XX烟烟厂园区仍然然采用L3 MPLS VPN进行行业务隔离，并并根据日后的的可控网络的的发展要求，实实现整个烟草草网络的虚拟拟化。XX烟厂数字化化园区生产网网和办公网共共用一套物理理网络，逻辑辑隔离使用VVRF+MPPLS VPPN技术。按按照业务划分分，烟厂园区区的VPN可可以划分办公公业务、卷烟烟生产业务、仓仓储物流业务务、监控业务务等等。 各各部门用户通通过CE设备备接入，通过过二层VLAAN或VRFF进行隔离。核核心层用MPPLS标签转转发，PE设设备控制VPPN路由引入入，建立专用用的VPN转转发通道，为为数据中心提提供PE接口口，兼容数据据中心内部业业务逻辑隔离离和物理隔离离。我们按照XX烟烟厂园区实际际的需求，在在不同的PEE上配置相应应可以接入的的VPN，不不同的VLAAN端口对应应各自相关的的VPN（路路由三层子接接口）。MPPLS规划如如下图所示。这里的CE的的设备也可以以是无线APP设备。不同业业务部门的人人员，通过有有线或者无线线方式进行EEAD端点准准入的认证，认认证通过后则则能够自动接接入到相应部部门的不同VVPN中，实实现园区内不不同类业务的的安全隔离。3.2.5. IP地址规划设设计IP地址的合理理设计是数据据中心网络设设计中的重要要一环，机场场信息化网络络必须对IPP地址进行统统一规划。IIP地址规划划的好坏，影影响到网络路路由协议算法法的效率，影影响到网络的的性能，影响响到网络的扩扩展，影响到到网络的管理理，也必将直直接影响到网网络应用的进进一步发展。IP地址采用RRFC19118规定的地地址段（不包包括外联区域域IP地址）。根根据选择的IIP地址段和和数据中心的的业务功能模模块进行映射射。IP地址的分配配应遵循以下下几个原则： l 唯一性：一个IIP网络中不不能有两个主主机采用相同同的IP地址址 l 简单性：地址分分配应简单易易于管理，降降低扩展的代代价，降低路路由设备负担担l 连续性：连续地地址在层次结结构网络中易易于进行路径径叠合，提高高路由效率 l 可扩展性：在每每一层次上地地址都要留有有余量，保证证网络可扩展展 l 灵活性：地址分分配有灵活性性，以满足多多种应用策略略，充分利用用地址空间 为了有效地利用用地址空间，我我们可以对IIP地址进行行子网划分，从从地址的主机机部分借取若若干位作为子子网号， 剩剩余部分仍然然表示主机号号，另外，为为了灵活地在在不同规模的的子网中分配配不同数量 IP地址，我我们需要采用用VLSM技技术，它可根根据需要在任任意位划分子子网边界，对对一个主网络络号，可分出出最小只有两两个主机号的的子网，亦可可划分出一个个较大的子网网，因此它很很灵活，特别别是在广域在在中，只需两两个主机号地地址，VLSSM非常有用用，大大节约约了地址空间间，又保证了了网络设计的的灵活性。 在进行地址分配配时，一般先先用一个定长长的子网掩码码将地址空间间分成若干个个相同规模的的子网，再在在每个子网中中根据所需的的子网数量和和规模采用VVLSM进行行子网的细分分。 采用VLSM时时应注意下列列三点： l 事先要有规划，使使子网以可叠叠合的块进行行分配 l 可能会造成对已已有网络地址址的重新设置置 l 新的网络必须仔仔细规划地址址分配 为缩减路由表的的款项，提高高路由的效率率，路由聚合合(Routte Summmarizzationn 或 Rooute AAggreggationn) 是一个个非常重要而而有效的手段段。分子网是是将网络号向向主机号部分分扩展、即网网络边界向右右移的过程，而而路径叠合则则是划分子网网的逆过程，通通过将子网的的边界向左移移的过程，可可用一个较大大的子网来代代表一组连续续的子网。 因此，路由聚聚合又称为子子网的集结或或超级子网，它它可得到缩小小路由表，降降低路由器内内存的使用，并并减少路由协协议产生的网网络数据流量量。对于具体IP网网段规划，要要求每个业务务网络内部IIP网段能够够汇聚，并且且每个业务网网段又能够分分别汇聚，这这样，有利于于路由策略控控制。3.2.6. QoS规划设计计1) QoS需求针对网络系统承承载应用的特特点，对应用用进行分类，以以保证各自数数据传输不受受影响，对于于敏感性的应应用应能提供供带宽保证。如如语音通讯、视视频通讯等。在在网络上要提提供语音、视视频的传输；数据可以根根据重要级别别进行分类，进进而提供不同同的优先级保保证。2) 各业务子网QooS规划一、业务流区分分，对不同的的业务进行标标记从而达到到区分不同业业务流的目的的在各业务子网核核心交换机上上，根据相应应的流分类策策略，区分不不同业务，标标记DSCPP：实时业务(如视视频):DSSCP标记为为EF需要带宽保障的的业务(如生生产数据):DSCP标标记为AF44异地备份数据:DSCP标标记为AF33管理信息:DSSCP标记为为AF2二、流量管理，可可以根据情况况采用CARR的策略，对对部分业务限限制带宽，从从而减少非关关键业务对带带宽的冲击。三、带宽保障，对对关键性的业业务进行带宽宽分配。在核心交换机上上设置相应的的业务队列（EEF、AF44、AF3以以及AF2队队列）并为每每个队列设置置相应的带宽宽保证。3) 分类着色策略在各业务子网中中，在汇聚交交换机上着色色，对业务流流进行分类：预留、语音音（保证每路路30K）、视视频（保证7768K22M）、加密密公文（中等等）、其他业业务（最低保保证）。在路路由器/交换换机上对不同同的业务流打打上不同的IIP优先级，对对应的优先级级如下：IP优先级：预留：6,7语音：5视频：4 办公公文： 33-1其他业务：0利用CAR 在在设备连接的的接口上标记记分类。4) 调度策略不同业务子网核核心交换机上上根据优先级级区分流，并并配置基于流流的加权公平平队列CBQQ，并配置基基于流的Diiffer-Serv。CCBQ以及DDifferr-servv根据报文的的流分类报文文提供不同的的转发策略，对对于EF类业业务将分别保保证带宽和时时延，对于AAF类业务将将保证业务带带宽，其它类类业务将只保保证可达性。5) 丢弃策略做CAR的时候候，超过预定定流量的直接接丢弃。各业务子网具体体业务的QOOS保障和应应用在核心骨干网和和安防、OAA、商业网络络上肯定会有有语音、视频频等流量在网网络上传送，在在网络设备的的QOS保障障是必不可少少。下面以视视频会议的QQOS保障为为例，来说明明QOS在业业务网上的应应用。一、在汇聚交换换机设备上对对视频流进行行分流和着色色。在不同业务子网网汇聚交换机机上，运用AACL 策略略对视频流进进行分流，把把关键业务流流同其他流量量区分开来，在在交换机上用用QOS CCAR对视频频流进行着色色处理，使其其IP- ppreceddence值值设置为紧急急队列EF。二、在汇聚交换换机配置策略略，使DSCCP匹配EFF的视频流进进入紧急优先先发送队列LLLQ，同时时在上行链路路上应用该策策略，保障关关键业务流得得到交换机的的优先发送。三、同样在业务务网核心交换换机上，可以以设置同样的的策略，使DDSCP匹配配EF的关键键业务流进入入各自的紧急急优先发送队队列，同时在在各个流出口口的接口上应应用该策略，关关键业务流均均能得到优先先发送。四、通过在全网网配置的策略略一致，保障障了关键业务务流在各级交交换机的优先先发送级别，从从而在全网范范围内保障视视频的低延时时、低抖动，实实现对关键业业务流在整网网的端到端的的QOS保障障。同样，对于语音音这类对丢包包非常敏感的的报文，网络络设备有RTTP实时传输输协议来对语语音流进行可可靠的低延时时、低丢包的的端到端的QQOS保证。对于其他对延时时没有具体要要求的业务数数据流，一般般都是要求有有一定的带宽宽保障。同样样的按照前述述QOS的实实施思路，通通过分流、着着色、应用策策略使此类业业务进入AFF队列，从而而也能达到对对特定的业务务数据流的带带宽保证。3.4. XX烟厂园区网网无线网络设设计3.2.7. 方案逻辑组网图图XX烟厂数字化化园区是有线基础网络上建设的的一套无线网网络，H3CC推荐采用双双星型冗余组组网结构。在在建设完成的的数据中心网网络基础之上上分别将H33C WA22110-AAG无线APP以百兆速率率连接至接入入交换机（HH3C S75506E），HH3C WX55002无线线控制器以千千兆速率连接接至核心交换换机（H3CC S95112）。用户户通过无线控控制器和无线线网络管理软软件实现对所所有无线APP设备的集中中管理。具体体的逻辑组网网图如下图所所示：3.2.8. 认证方式及认证证点选择本方案主要采用用802.11X认证和PPortall认证两种方方式，H3CC WA21110-AGG无线AP与与无线控制器器H3C WX55002通过过CAPWAAP隧道协议议（IETFF标准草案，由由H3C提出并已已获得通过）进进行通信，无无线用户的认认证点都是放放置于WX55002无线线控制器上，后后台的H3CC iMC管管理服务器作作为用户鉴权权点。当用户户在AP内进进行切换时，此此时的主要工工作由无线交交换机进行统统一调度，当当用户在网络络内不同的端端口下的不同同AP的覆盖盖范围时，此此时用户不会会再次触发认认证，无线用用户在不同AAP之间的漫漫游切换速度度小于50毫毫秒，满足无无线用户的业业务使用质量量。3.2.9. 整网安全无线局域网络主主要服务于XXX烟厂内部部员工和下属属公司办公人人员，考虑到到网络内部潜潜在的安全风风险，网络安安全问题在建建网时必须考考虑，安全方方式主要侧重重几个方面：用户安全、网网络安全，而而在网络中主主要依附于用用户实体的属属性主要包括括用户使用的的信息终端二二层属性（诸诸如：MACC地址）及用用户的帐号、密密码，对于内内部用户而言言，帐号信息息采用实名原原则，与员工工的姓名进行行关联，这样样无线网络中中着重考虑使使用无线网络络的空口信息息的安全机制制，同时也要要考虑与无线线相关的有线线网络的安全全问题。无线网络安全无线网络安全部部分主要包括括以下方面的的内容：I.MAC地地址过滤：目目前支持基于于MAC地址址的过滤，限限制具有某种种类型的MAAC地址特征征的终端才能能进入网络中中；II.SSIID管理：是是一种网络标标识的方案，将将网络进行一一个逻辑化标标识，对终端端上发的报文文都要求进行行上带SSIID，如果没没有SSIDD标识则不能能进入网络；III.WEEP加密：WWEP加密是是一种静态加加密的机制，通通信双方具有有一个共同的的密钥，终端端发送的空口口信息报文必必须使用共同同的密钥进行行加密；IV.支持AAES加密，AAES安全机机制是一种动动态密钥管理理机制，同时时密钥生成也也基于不对称称密钥机制来来实现的，同同时密钥的管管理也定期更更新，具有体体的时间由系系统可以设定定，一般情况况都设定为55分钟左右，这这样非法用户户要想在5分分钟之内进行行获取足够数数量的报文进进行匹配出密密钥出来，从从无线空口的的流量来看，基基本上是不可可能的；V.H3C的的无线方案中中可根据用户户名来划分权权限，即相同同用户在不同同地点接入无无线网络其权权限保持一致致；密钥设置置可能根据SSSID信息息与用户信息息进行组合，即即不同的SSSID下不同同的用户的密密钥生成可以以不一样，这这样一定程度度上保证用户户之间串号问问题产生；3.2.10. 频率规划与负负载均衡频率规划802.11gg使用开放的的2.4GHHz ISSM频段，可可工作的信道道数为欧洲标标准信道数113个。由于于其支持直序序扩频技术造造成相邻频点点之间存在重重叠。对于真真正相互不重重叠信道只有有相隔5个信信道的工作中中心频点。因因此对于8002.11gg在2.4GGHz地工作作频段，理论论上只能进行行三信道的蜂蜂窝规划实现现对需要规划划的热点的无无缝覆盖。此此外，由于功功率模板是否否能做到符合合邻道、隔道道不干扰也非非常影响频率率规划的效果果。针对如何进行8802.111g的频率规规划作了大量量的实验，实实验证明3载载频也可以实实现蜂窝对需需要覆盖的区区域进行无缝缝覆盖，并提提供更高的服服务带宽提高高服务质量，和和高带宽业务务的开展。频率规划原理图图频率规划需要配配合使用的功功能包括：I.AP支持持13个信道道设置；II.AP支支持100mmW最大射频频功率以及多多级功率控制制；III.APP支持外置天天线以及定向向天线；3.2.11. 网络管理基于标准的SNNMP协议实实现对设备的的管理，iMMC中专门的的无线局域网网管理软件WWSM组件可可实现对WLLAN所有网网元的管理。网网管工作站可可以放在网上上的任意位置置，通过标准准的SNMPP即可实现对对无线交换机机的管理。HH3C WX55002无线线控制器可以以实现更为强强大的管理包包括AP的自自动拓扑发现现、自动升级级、批量配置置、分级管理理、分级告警警等，并可实实现针对无线线覆盖空间内内的射频扫描描、非法接入入点监听等安安全功能。而而无线局域网网管理软件HH3C WSMM可以实现配配置管理整个个WLAN无无线网络，其其具备以下特特点：1、零配置安装装：接入点无无需准备预设设置，AP从从无线控制器器继承配置信信息。无线控控制器内嵌中中心机房核心心交换机中，HH3C WA22110-AAG（AP）无无需事先进行行任何配置，即即通过H3CC接入层交换换机接入有线线网络，并自自动注册到WWX50022无线控制器器上，获得DDHCP SSERVERR分配的IPP地址，并自自动下载配置置文件正常工工作，在大规规模AP的项项目中大量节节省安装维护护成本。用户户也可以将AAP配置为静静态地址便于于设备管理。2、防盗防入侵侵：敏感配置置信息不在本本地保存，即即使设备被入入侵被盗也不不会丢失安全全信息。实际际运营中很多多AP是放置置在公共场所所，如果密钥钥、SSIDD等安全信息息在本地保存存的话，一旦旦失窃对全网网安全性造成成威胁，H33C WA22110-AAG由于其零零配置安装，一一旦掉电不会会保存任何信信息，避免入入侵。3、支持灵活的的拓扑结构：AP允许多多种部署，从从而能够直接接或间接连接接到管理它的的无线局域网网控制器。HH3C WX55002无线线控制器与HH3C WA22110-AAG之间可以以隔离任何路路由器或交换换机，只要共共同连接进有有线网络，HH3C WA22110-AAG就可以自自动寻找到无无线控制器实实现注册。4、自动设置发发射功率和分分配射频信道道：自动设置置发射功率和和分配射频信信道，用以优优化射频单元元大小和满足足各国对射频频信道的要求求。当有个别别AP故障时时，H3C WX55002无线线控制器会自自动调大相邻邻AP的功率率弥补信号盲盲区。5、基于身份的的组网：根据据用户名对用用户权限进行行区分，不同同于传统的WWLAN网络络通过接入的的有线交换机机端口对用户户权限进行划划分，并且可可以对用户的的位置、带宽宽以及漫游等等历史数据进进行记录跟踪踪。6、提供增强的的安全性和无无缝漫游：通通过这项基于于身份的组网网功能，经过过改进的用户户组认证接入入控制、始终终强制的漫游游策略以及对对带宽使用的的监视实现了了无线局域网网的增强的安安全性，实现现了无缝的用用户移动性和和自由性，从从而可以进行行安全连接和和漫游，一次次认证多次接接入，免去在在不同AP下下切换的再次次认证。7、安全管理：提供入侵检检测功能，专专用 AP 可以不断地地扫描空域，以以便对要求更更高安全性的的环境提供全全天候保护。一一旦无线网络络中有非法接接入点接入，HH3C WA22110-AAG将上报相相应的告警给给H3C S95500无线控控制器模块，并并通过网管软软件显示。3.2.12. 供电问题由于本次无线网网中AP设备备数量较多，AAP布放位置置根据实际覆覆盖效果而调调整，在已建建设完成的建建筑物上较难难进行本地供供电。基于标标准的8022.3af实实现对AP的的供电。通过过支持PoEE特性的以太太网供电模块块串接至交换换机端口和AAP之间，在在以太网线传传输数据的同同时给AP供供电，供电距距离最远可达达100米，满满足实际组网网的要求。图图例如下：3.2.13. 无线覆盖解决方方案从整体的统计看看来，XX烟烟厂数字化园园区此次的无无线覆盖设计计基本上可以以分为以下几几种类型：根据本项目的需需求，确定室室内部分主要要覆盖主办公公楼的所有空空间；根据实际工勘的的结果来看，可可以归纳为两两大类：APP室内无障碍碍覆盖、APP室内穿越障障碍覆盖，下下面则对这三三类覆盖分别别进行描述：4 AP室内无障碍碍覆盖主要应用于空间间较大的会议议室和开放式式等室内区域域，此时主要要信号进行此此空间内覆盖盖，无需要考考虑到穿越墙墙壁、地板等等障碍物对隔隔壁空间的覆覆盖；此时又又分二种情况况，划分原则则主要要看是是否要使用吸吸顶天线的问问题，根据实实现工程勘测测情况来看，室室内部分