XX烟厂信息化解决方案技术建议书.docx

《XX烟厂信息化解决方案技术建议书.docx》由会员分享，可在线阅读，更多相关《XX烟厂信息化解决方案技术建议书.docx（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX烟厂信息化解决方案技术建议书杭州华三通信技术有限公司2008.06目 录1.烟厂数字化园区信息化需求32.H3C IToIP烟厂数字化园区信息化解决方案架构43.XXX烟厂园区统一高效IP网络解决方案53.1.IP网络方案设计原则53.2.XX烟厂园区网络建设目标和整体规划：73.2.1.建设目标73.2.2.整体规划73.3.XX烟厂园区网络详细设计93.2.3.局域网详细设计93.2.4.虚拟园区网设计103.2.5.IP地址规划设计133.2.6.QoS规划设计143.4.XX烟厂园区网无线网络设计163.2.7.方案逻辑组网图163.2.8.认证方式及认证点选择173.2.9.整网

2、安全183.2.10.频率规划与负载均衡193.2.11.网络管理193.2.12.供电问题213.2.13.无线覆盖解决方案214.XX烟厂园区数据中心存储解决方案224.1.CDP（持续数据保护）方案235.XX烟厂全局安全规划方案255.1.烟草工业园区网络安全现状255.2.全局安全概述255.3.EAD方案265.4.数据中心安全275.5.安全评估305.6.全网安全方案特点326.XX烟厂IP智能监控解决方案326.1.烟草工业企业园区的监控需求326.2.H3C IP智能监控解决方案概述346.3.H3C IP智能监控解决方案特点367.XXX烟厂综合信息管理解决方案387.1

3、.基础资源管理397.2.身份与接入管理397.3.端点安全准入管理407.4.VPN管理407.5.网络智能分析401. 烟厂数字化园区信息化需求我国是世界上第一烟草大国，现阶段常年吸烟人口达3.1亿之多，年卷烟消费量约17000亿支，卷烟制造行业是关系到人民日常生活的重要消费品制造行业。随着建设现代化烟草企业的序幕展开，信息化技术的应用和改革对卷烟工业企业的推动启到至关重要的作用。卷烟工业企业信息化是指广泛利用电子信息技术，使企业的生产、管理实现自动化。当前，我国卷烟工业企业信息化建设已初具规模，由单机应用、局部系统应用发展到了网络化、集成化、数字化和智能化，管理信息系统在行业经济发展中已

4、发挥了重要作用。 卷烟工业企业信息化建设主要包括两大部分：一部分是设计、生产过程的信息化，实际上是生产过程的自动化，属于工业控制范畴。用自动化生产、测量、显示、控制等工具，通过控制信息达到生产的自动化。另一部分是管理的信息化，就是建立管理信息系统(MIS)、办公自动化系统(OA)以及决策支持系统(DSS)等。卷烟工业企业信息化建设在工控方面将向计算机集成制造系统(CIMS)方向发展；在管理方面将向数字化、智能化发展。在企业内部将建立起全面的数据分析、决策支持系统，在企业外部将建立完善的电子商务(EC)环境，通过建立供应链管理(SCM)系统、客户关系管理(CRM)系统，提高整个企业的市场竞争能力

5、。国家烟草专卖局在数字烟草发展纲要中提出了“统一平台、统一数据库、统一网络”的信息化建设纲要。统一网络是指通过建设一个整体的行业专网把总公司到各个省公司以及省工业公司（省烟草公司和各个省的工业公司）通过行业专网全部连接起来，形成一个统一的行业大网。统一平台和统一数据库则更有益于实现信息资源共享。纲要的宗旨是将信息化贯穿烟草行业生产经营管理的各个环节、各个流程，以及将复杂多变的烟草信息转变为可以量化的数据，通过数字分析，为各企业乃至整个产业的发展提供决策依据。结合XX烟厂生产业务系统、办公管理业务系统、本地局域网和广域网规划需求，数据存储需求，网络安全性需求，监控需求，管理需求，H3C提出一体化

6、数字化烟厂园区解决方案。2. H3C IToIP烟厂数字化园区信息化解决方案架构烟厂数字化园区内部各个业务系统是在不同的年代建设的，其包括了各种各样的标准和协议，如何对它们进行高效的整合，实现信息资源的共享，是一个难题。众所周知，TCP/IP是迄今为止应用最广泛、最成熟、最为开放、标准化程度最高的技术体系，具有简单、开放、灵活扩展、管理和互操作等一系列优势，已经成为当今互联网、电信网、政务网、企业网的主要承载技术。IP协议弹性强，能更好地适应IT网络的各种变化。例如在存储技术领域，传统的FC技术存在兼容性和扩展性等方面的问题，基于IP的存储能够更好地实现平台兼容性及业务扩展性，并可实现更灵活的

7、数据服务定制。基于这样的潮流，H3C推出了IT On IP(简称IToIP)的烟厂数字化园区信息化基础平台建设理念及整体解决方案。IToIP并不是各种产品的简单堆积，而是一种完全基于IP的融合IT解决方案。在整个信息的生命周期中，信息的产生、存储、传送、处理都是通过IP的方式进行，中间不用任何的转化，这样就能够对整个IT系统更好地管理，提升效率。通过对烟厂数字化园区需求的深入理解，H3C利用先进实用数据通讯技术与产品，提出了烟厂园区信息化解决方案。烟厂数字化园区解决方案模型图： 3. XXX烟厂园区统一高效IP网络解决方案3.1. IP网络方案设计原则IP网络是整个烟厂信息化的基础承载体，因此

8、，建设统一可靠高效IP网络非常重要，整个基础网络设计遵循如下原则：n 链路冗余 在主干连接(主干设备之间及其与汇接设备之间的连接)具备可靠的线路冗余方式。建议采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。主线路可实时、自动的切换到备份线路,而不影响业务应用。n 模块冗余 核心层设备和汇聚层设备的所有模块和环境部件应具备1+1或1：N热备份的功能，核心层交换设备主备切换时间小于1秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。n 设备冗余 核心交换机采用两台或两台以上设备组成，当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点

9、的路由表重新计算，从而提高网络的稳定性，切换时间大于3秒。n 拥塞控制与服务质量保障拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。网络支持标准DiffServ QoS机制。网络设备应支持68种业务分类(COS)。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。当网络出现真正的拥塞时，瞬间大量的丢包会引起

10、大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。n 网络的扩展能力网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。交换容量扩展 ：交换容量应具备在现有基础上继续扩充12倍容量的能力，以适应IP类业务急速膨胀的现实。端口密度扩展 ：设备的端口密度应能满足网络扩容时设备间互联的需要。主干带宽扩展 ：主干带宽应具备24倍甚至更高的带宽扩展能力，以适应IP类业务急速膨胀的现实。网络规模扩展 ：网络体系、路由协议的规划和设备的CPU

11、/NP路由处理能力，在核心网络设备能适应将来达到2倍以上的规模扩展要求。网络通信协议：以TCP/IP协议为主，设备商应提供服务营运级别的网络通信软件和网际通用操作系统，路由协议支持成熟标准并且广泛应用的OSPF路由协议。3.2. XX烟厂园区网络建设目标和整体规划：3.2.1. 建设目标烟厂数字化园区统一高效IP承载网的建设目标：l 网络统一规划，分层分域，采用层次化的建设模型和分区域的模块化结构，层次清晰，既有效隔离，又互相连通； l 带宽充分，保证各种新兴业务，如视频监控、视频会议等的高速传输。l 高可用性，承载实时生产业务和视频监控；烟厂数字化园区集中统一数据存储建设目标：l 可靠数据大

12、集中存储、本地实时备份及远程容灾，生产、办公和监控数据不丢失。烟厂数字化园区一体化安全建设目标：l 端到端信息系统安全，网络边缘和内部终端安全；烟厂数字化园区融合通信建设目标：l 实现视频、监控、语音有机融合；烟厂数字化园区一体化管理建设目标：l 对网络、安全、存储和用户进行统一管理维护,达到可管理、易管理。总之，烟厂数字化园区信息化目标包括：以统一高效IP网络和数据为基础，以全面深入信息系统安全、智能安防和统一智能管理为保证，支撑起烟厂数字化园区整合化的应用系统，从而为烟厂数字化园区提供一个可靠高效的信息化平台。 3.2.2. 整体规划根据XX卷烟厂网络建设的目标和业务需求，在充分分析XX卷

13、烟厂业务需求的基础上，构建XX烟厂数字化园区网络，XX烟厂网络是整个XX卷烟厂的应用的基础网，应能满足XX卷烟厂多业务、高带宽应用的需求，因此网络将建成一个承载多种业务台。网络的整体规划如下：在烟厂园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。典型的烟厂园区网络结构可以分成三层：接入层、汇聚层、核心层。1) 接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、Qos和POE功能都位于这一层。根据以上要求，对于企业园区网的接入层设备，建议采用千兆接入的方式，应该具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能

14、。2) 汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关；对于企业园区网的汇聚层设备，应该能够承载企业园区的多种融合业务，如MPLS、IPv6、网络安全、无线、无源光网络等，并提供不间断转发、优雅重启、环网保护等多种高可靠技术，满足企业园区融合业务的需求。3) 核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于企业园区网核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的RPR环网结构或多设备冗余的星型结构。这样可以实现10ms的故障检测时间

15、以及50ms的业务倒换时间，可以做到故障切换时完全不影响正在进行的音频业务，完全满足电信级可靠性的要求。3.3. XX烟厂园区网络详细设计3.2.3. 局域网详细设计XX烟厂数字化园区建议采用常用的二层接入、三层核心交换组网模型。通过VLAN隔离区域用户，同一VLAN内用户可方便互访。同时在核心层配置安全规则对内部网络各子网间的路由实现策略控制，接入层启用802.1x和防ARP欺骗等安全特性为用户提供保护。网络接入层到核心层间配置STP协议，核心层和广域网部分配置三层OSPF路由协议，OSPF路由协议和白沙物流数据中心采用相同的OSPF id，并将整个科研数据中心设置为Area 0。建议汇聚层

16、交换机采用H3C S7506E，汇聚设备10GE双上行与核心层H3C S9512相连，提供链路冗余，核心层设备通过VRRP协议进行网关备份。在这个网络中，通过合理规划VRRP group master、生成树实例和生成树实例与VLAN映射的关系，可提高网络链路利用率和可靠性。在分布层配置多个VRRP组，组master和backup角色均匀分布在两台核心路由交换机上，使两台网关设备同时完成备份和负载分担功能；通过多生成树实例规划，使接入设备不同VLAN业务负载分担在两条上行链路，并且到达的汇聚设备为第一跳网关master；实例root与生成树实例映射VLAN的三层网关master在同一台汇聚设备

17、上，使STP协议能够通过计算合理阻塞链路，并且缩小链路故障引起的网络震荡范围；若接入设备上有VLAN重叠，汇聚设备设置为二层TRUNK链路。一些安全特性的配合使用，更能增强网络的健壮性：在网络边缘直接与用户相连的端口可以配置边缘端口和BPDU保护，防止从这些端口接收到BPDU报文引起网络拓扑变化；在汇聚网关上配置TC保护和根保护特性，防止攻击造成拓扑频繁变化。主要HA性能参数网络故障收敛性能接入层设备主备倒换（S7506E）50毫秒接入层-核心层链路故障/恢复1秒核心层设备主备倒换50毫秒核心层设备故障1秒链路单通故障2秒3.2.4. 虚拟园区网设计一个烟厂企业园区，需要生产平台、管理运营、销

18、售、安保监控等业务隔离。隔离的手段可以是物理隔离，也可以是逻辑隔离。相对于物理隔离，逻辑隔离（网络虚拟化）具有无需重复建设、能提供统一的安全、管理、HA策略等优点，并且能够更好地提供面向应用的服务。一般烟厂园区网虚拟化的需求主要如下：l 横向不同部门/分类间业务的隔离，提高涉密业务的安全性，同时提供访问控制策略，满足不同部门间业务互访的要求l 为园区内各部门提供统一的Internet出口，供内部用户访问Internet和为外部公众提供应用服务，进行集中控制管理l 提供广域网接口，实现相同部门/种类业务的纵向互通l 数据中心资源逻辑上分三部分：部门内部数据区、共享数据区和对外服务数据区，分别为独

19、立部门内部、业务交互部门和外部公众提供服务l 为重要业务提供端到端的Qos保证为了满足烟厂园区网虚拟化的需求，H3C公司提出了EADMPLS VPN的解决方案，可以实现与企业各部门工作流相适应的、从客户侧就开始安全控制的端到端的虚拟通道，实现和用户上层应用系统权限无缝匹配。它主要包括如下内容：1) 用户端点准入控制对用户的安全认证和权限管理，使用我司的EAD解决方案（支持portal、802.1X、VPN等认证方式），在接入边缘设备作认证；把CAMS服务器补丁服务器病毒服务器等集中部署在数据中心内部共享区，内部所有用户接入网络都需要认证，进行集中的安全管理2) 业务逻辑隔离企业园区各部门共用一

20、套物理网络，逻辑隔离使用VRF+MPLS VPN技术。各部门用户通过CEMCE设备接入，通过二层VLAN或VRF进行隔离。核心层用MPLS标签转发，控制PE设备VPN路由引入，建立专用的VPN转发通道，为数据中心提供PE或MCE接口，兼容数据中心内部业务逻辑隔离和物理隔离。企业园区网络支持端到端的业务逻辑隔离，支持Qos。3) 集中服务管理为园区内用户提供统一的InternetWAN出口，进行集中监控、管理。网络管理使用H3C的iMC网络综合管理中心，内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理。各种管理策略服务器、应用服务器、存储设备等统一部署在数据中心，为全网提供

21、统一的应用和策略服务。H3C公司的EAD+MPLS VPN的网络虚拟化方案在业界独创性的实现了提供与企业各部门业务工作流完全匹配的从客户侧开始的安全控制的端到端的虚拟逻辑通道，使得各部门的业务数据能够真正实现从端到端的安全虚拟通道中传输，起到了端到端有效的全程隔离作用，使得企业网络和应用实现无缝融合。根据现有网络应用，XX烟厂园区仍然采用L3 MPLS VPN进行业务隔离，并根据日后的可控网络的发展要求，实现整个烟草网络的虚拟化。XX烟厂数字化园区生产网和办公网共用一套物理网络，逻辑隔离使用VRF+MPLS VPN技术。按照业务划分，烟厂园区的VPN可以划分办公业务、卷烟生产业务、仓储物流业务

22、、监控业务等等。 各部门用户通过CE设备接入，通过二层VLAN或VRF进行隔离。核心层用MPLS标签转发，PE设备控制VPN路由引入，建立专用的VPN转发通道，为数据中心提供PE接口，兼容数据中心内部业务逻辑隔离和物理隔离。我们按照XX烟厂园区实际的需求，在不同的PE上配置相应可以接入的VPN，不同的VLAN端口对应各自相关的VPN（路由三层子接口）。MPLS规划如下图所示。这里的CE的设备也可以是无线AP设备。不同业务部门的人员，通过有线或者无线方式进行EAD端点准入的认证，认证通过后则能够自动接入到相应部门的不同VPN中，实现园区内不同类业务的安全隔离。3.2.5. IP地址规划设计IP地

23、址的合理设计是数据中心网络设计中的重要一环，机场信息化网络必须对IP地址进行统一规划。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址采用RFC1918规定的地址段（不包括外联区域IP地址）。根据选择的IP地址段和数据中心的业务功能模块进行映射。IP地址的分配应遵循以下几个原则： l 唯一性：一个IP网络中不能有两个主机采用相同的IP地址 l 简单性：地址分配应简单易于管理，降低扩展的代价，降低路由设备负担l 连续性：连续地址在层次结构网络中易于进行路径叠合，提高路由效率 l 可扩展性：在每一

24、层次上地址都要留有余量，保证网络可扩展 l 灵活性：地址分配有灵活性，以满足多种应用策略，充分利用地址空间 为了有效地利用地址空间，我们可以对IP地址进行子网划分，从地址的主机部分借取若干位作为子网号， 剩余部分仍然表示主机号，另外，为了灵活地在不同规模的子网中分配不同数量 IP地址，我们需要采用VLSM技术，它可根据需要在任意位划分子网边界，对一个主网络号，可分出最小只有两个主机号的子网，亦可划分出一个较大的子网，因此它很灵活，特别是在广域在中，只需两个主机号地址，VLSM非常有用，大大节约了地址空间，又保证了网络设计的灵活性。 在进行地址分配时，一般先用一个定长的子网掩码将地址空间分成若干

25、个相同规模的子网，再在每个子网中根据所需的子网数量和规模采用VLSM进行子网的细分。 采用VLSM时应注意下列三点： l 事先要有规划，使子网以可叠合的块进行分配 l 可能会造成对已有网络地址的重新设置 l 新的网络必须仔细规划地址分配 为缩减路由表的款项，提高路由的效率，路由聚合(Route Summarization 或 Route Aggregation) 是一个非常重要而有效的手段。分子网是将网络号向主机号部分扩展、即网络边界向右移的过程，而路径叠合则是划分子网的逆过程，通过将子网的边界向左移的过程，可用一个较大的子网来代表一组连续的子网。 因此，路由聚合又称为子网的集结或超级子网，它

26、可得到缩小路由表，降低路由器内存的使用，并减少路由协议产生的网络数据流量。对于具体IP网段规划，要求每个业务网络内部IP网段能够汇聚，并且每个业务网段又能够分别汇聚，这样，有利于路由策略控制。3.2.6. QoS规划设计1) QoS需求针对网络系统承载应用的特点，对应用进行分类，以保证各自数据传输不受影响，对于敏感性的应用应能提供带宽保证。如语音通讯、视频通讯等。在网络上要提供语音、视频的传输；数据可以根据重要级别进行分类，进而提供不同的优先级保证。2) 各业务子网QoS规划一、业务流区分，对不同的业务进行标记从而达到区分不同业务流的目的在各业务子网核心交换机上，根据相应的流分类策略，区分不同

27、业务，标记DSCP：实时业务(如视频):DSCP标记为EF需要带宽保障的业务(如生产数据):DSCP标记为AF4异地备份数据:DSCP标记为AF3管理信息:DSCP标记为AF2二、流量管理，可以根据情况采用CAR的策略，对部分业务限制带宽，从而减少非关键业务对带宽的冲击。三、带宽保障，对关键性的业务进行带宽分配。在核心交换机上设置相应的业务队列（EF、AF4、AF3以及AF2队列）并为每个队列设置相应的带宽保证。3) 分类着色策略在各业务子网中，在汇聚交换机上着色，对业务流进行分类：预留、语音（保证每路30K）、视频（保证768K2M）、加密公文（中等）、其他业务（最低保证）。在路由器/交换机

28、上对不同的业务流打上不同的IP优先级，对应的优先级如下：IP优先级：预留：6,7语音：5视频：4 办公公文： 3-1其他业务：0利用CAR 在设备连接的接口上标记分类。4) 调度策略不同业务子网核心交换机上根据优先级区分流，并配置基于流的加权公平队列CBQ，并配置基于流的Differ-Serv。CBQ以及Differ-serv根据报文的流分类报文提供不同的转发策略，对于EF类业务将分别保证带宽和时延，对于AF类业务将保证业务带宽，其它类业务将只保证可达性。5) 丢弃策略做CAR的时候，超过预定流量的直接丢弃。各业务子网具体业务的QOS保障和应用在核心骨干网和安防、OA、商业网络上肯定会有语音、

29、视频等流量在网络上传送，在网络设备的QOS保障是必不可少。下面以视频会议的QOS保障为例，来说明QOS在业务网上的应用。一、在汇聚交换机设备上对视频流进行分流和着色。在不同业务子网汇聚交换机上，运用ACL 策略对视频流进行分流，把关键业务流同其他流量区分开来，在交换机上用QOS CAR对视频流进行着色处理，使其IP- precedence值设置为紧急队列EF。二、在汇聚交换机配置策略，使DSCP匹配EF的视频流进入紧急优先发送队列LLQ，同时在上行链路上应用该策略，保障关键业务流得到交换机的优先发送。三、同样在业务网核心交换机上，可以设置同样的策略，使DSCP匹配EF的关键业务流进入各自的紧急

30、优先发送队列，同时在各个流出口的接口上应用该策略，关键业务流均能得到优先发送。四、通过在全网配置的策略一致，保障了关键业务流在各级交换机的优先发送级别，从而在全网范围内保障视频的低延时、低抖动，实现对关键业务流在整网的端到端的QOS保障。同样，对于语音这类对丢包非常敏感的报文，网络设备有RTP实时传输协议来对语音流进行可靠的低延时、低丢包的端到端的QOS保证。对于其他对延时没有具体要求的业务数据流，一般都是要求有一定的带宽保障。同样的按照前述QOS的实施思路，通过分流、着色、应用策略使此类业务进入AF队列，从而也能达到对特定的业务数据流的带宽保证。3.4. XX烟厂园区网无线网络设计3.2.7

31、. 方案逻辑组网图XX烟厂数字化园区是有线基础网络上建设的一套无线网络，H3C推荐采用双星型冗余组网结构。在建设完成的数据中心网络基础之上分别将H3C WA2110-AG无线AP以百兆速率连接至接入交换机（H3C S7506E），H3C WX5002无线控制器以千兆速率连接至核心交换机（H3C S9512）。用户通过无线控制器和无线网络管理软件实现对所有无线AP设备的集中管理。具体的逻辑组网图如下图所示：3.2.8. 认证方式及认证点选择本方案主要采用802.1X认证和Portal认证两种方式，H3C WA2110-AG无线AP与无线控制器H3C WX5002通过CAPWAP隧道协议（IETF

32、标准草案，由H3C提出并已获得通过）进行通信，无线用户的认证点都是放置于WX5002无线控制器上，后台的H3C iMC管理服务器作为用户鉴权点。当用户在AP内进行切换时，此时的主要工作由无线交换机进行统一调度，当用户在网络内不同的端口下的不同AP的覆盖范围时，此时用户不会再次触发认证，无线用户在不同AP之间的漫游切换速度小于50毫秒，满足无线用户的业务使用质量。3.2.9. 整网安全无线局域网络主要服务于XX烟厂内部员工和下属公司办公人员，考虑到网络内部潜在的安全风险，网络安全问题在建网时必须考虑，安全方式主要侧重几个方面：用户安全、网络安全，而在网络中主要依附于用户实体的属性主要包括用户使用

33、的信息终端二层属性（诸如：MAC地址）及用户的帐号、密码，对于内部用户而言，帐号信息采用实名原则，与员工的姓名进行关联，这样无线网络中着重考虑使用无线网络的空口信息的安全机制，同时也要考虑与无线相关的有线网络的安全问题。无线网络安全无线网络安全部分主要包括以下方面的内容：I.MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中；II.SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；III.WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，

34、终端发送的空口信息报文必须使用共同的密钥进行加密；IV.支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流量来看，基本上是不可能的；V.H3C的无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其权限保持一致；密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样一定程度上保证用户之间串号问题产生；3.2.10. 频率规划

35、与负载均衡频率规划802.11g使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。针对如何进行802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。频率规划原理图频率规划需要配合使用的功能包括

36、：I.AP支持13个信道设置；II.AP支持100mW最大射频功率以及多级功率控制；III.AP支持外置天线以及定向天线；3.2.11. 网络管理基于标准的SNMP协议实现对设备的管理，iMC中专门的无线局域网管理软件WSM组件可实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对无线交换机的管理。H3C WX5002无线控制器可以实现更为强大的管理包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。而无线局域网管理软件H3C WSM可以实现配置管理整个WLAN无线网络，其具备

37、以下特点：1、零配置安装：接入点无需准备预设置，AP从无线控制器继承配置信息。无线控制器内嵌中心机房核心交换机中，H3C WA2110-AG（AP）无需事先进行任何配置，即通过H3C接入层交换机接入有线网络，并自动注册到WX5002无线控制器上，获得DHCP SERVER分配的IP地址，并自动下载配置文件正常工作，在大规模AP的项目中大量节省安装维护成本。用户也可以将AP配置为静态地址便于设备管理。2、防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所，如果密钥、SSID等安全信息在本地保存的话，一旦失窃对全网安全性造成威胁，H3C

38、WA2110-AG由于其零配置安装，一旦掉电不会保存任何信息，避免入侵。3、支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网控制器。H3C WX5002无线控制器与H3C WA2110-AG之间可以隔离任何路由器或交换机，只要共同连接进有线网络，H3C WA2110-AG就可以自动寻找到无线控制器实现注册。4、自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时，H3C WX5002无线控制器会自动调大相邻AP的功率弥补信号盲区。5、基于身份的组网：根据用户名对用户权限进行区分，不同于

39、传统的WLAN网络通过接入的有线交换机端口对用户权限进行划分，并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。6、提供增强的安全性和无缝漫游：通过这项基于身份的组网功能，经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安全性，实现了无缝的用户移动性和自由性，从而可以进行安全连接和漫游，一次认证多次接入，免去在不同AP下切换的再次认证。7、安全管理：提供入侵检测功能，专用 AP 可以不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，H3C WA2110-AG将上报相应的告警给H3C S9500无线控制器

40、模块，并通过网管软件显示。3.2.12. 供电问题由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电。基于标准的802.3af实现对AP的供电。通过支持PoE特性的以太网供电模块串接至交换机端口和AP之间，在以太网线传输数据的同时给AP供电，供电距离最远可达100米，满足实际组网的要求。图例如下：3.2.13. 无线覆盖解决方案从整体的统计看来，XX烟厂数字化园区此次的无线覆盖设计基本上可以分为以下几种类型：根据本项目的需求，确定室内部分主要覆盖主办公楼的所有空间；根据实际工勘的结果来看，可以归纳为两大类：AP室内无障碍覆盖、AP室内穿

41、越障碍覆盖，下面则对这三类覆盖分别进行描述：4 AP室内无障碍覆盖主要应用于空间较大的会议室和开放式等室内区域，此时主要信号进行此空间内覆盖，无需要考虑到穿越墙壁、地板等障碍物对隔壁空间的覆盖；此时又分二种情况，划分原则主要要看是否要使用吸顶天线的问题，根据实现工程勘测情况来看，室内部分都可以采用吸顶天线或挂墙的方式进行操作。4 AP室内穿越障碍覆盖：主要应用于单侧走廊结构室内区域，因为无线信号穿越墙壁、地板等障碍物会存在衰减，但在走廊式结构的室内区域具备一定的穿越障碍的能力，一般是穿越一道墙壁之后信号效果较好。因此这样的结构适合在走廊中布置AP，来覆盖侧面的房间区域；根据实现工程勘测情况来看

42、，室内走廊部分都可以采用吸顶天线或挂墙的方式进行操作。4. XX烟厂园区数据中心存储解决方案目前大部分烟厂采用FC-SAN架构存储，FC-SAN架构具有如下不足之处：l 基于服务器内置硬盘的存储方式的扩展不便，而且性能不足l SCSI和FC接口磁盘柜的存储方式，管理繁琐，存在较多兼容性问题，无法实现统一的管理l 数据保护方式以备份软件+磁带库的方式为主，备份软件只能满足一般业务数据的保护要求，无法满足生产管理秒级的保护频率，以及分钟级的恢复速度；而磁带库存在着机械部件故障率高、维护困难、读写速度慢的缺点面对FC SAN存在的问题以及IP技术的不断成熟，以太网带宽从10M发展到了10G，整整提升

43、了1000倍，2003年，以IBM等公司共同发起的基于IP的iSCSI（Internet SCSI）协议，通过IETF组织的审议，公布为RFC标准。iSCSI标准一经公布，就以其低成本、高可管理性、天然的跨广域数据传输和管理能力、海量组网能力得到了业界的青睐。由于将SCSI数据传输的基础从封闭昂贵的FC协议转移到IP之上，使存储系统突破了长期困扰的兼容性、成本和管理性桎梏，使存储网格、广域数据传输、大规模服务器数据集中、远程容灾、高性能交换式存储架构等存储技术脱下昂贵的外衣，成为广大行业客户均能轻松获得的最新存储技术。H3C公司与国际一流的存储软硬件供应商合作，共同开发推出了Neocean自适

44、应网络存储系列产品。以IP存储技术、WSAN（广域SAN）技术、网格存储技术、虚拟存储技术、数据应用服务技术五大技术群，构建了新一代自适应网络存储体系。通过IP存储产品的引入，Neocean一方面可实现烟厂数字化园区原有FC存储系统之间的数据共享，保护用户原有投资，在另一方面，可将烟厂数字化园区后续数据扩展平滑切换到IP存储之上，为烟厂数字化园区提供易扩展、高安全、高性价比的数据存储新格局。烟草数据中心的应用主要包括生产调度、计划查询、ERP/OA等几个部分。采用基于IP技术的存储设备实现数据存储，实现双机集群和多路经负载均衡；采用和业务特点相适应的数据保护手段，实现业务连续性和数据安全。全I

45、P数据存储和保护方案采用H3C Neocean IX系列存储设备搭建的IP SAN，实现了集中存储。依托于IX系列存储设备优异的性能和良好的扩展性，满足各种应用对数据存储的要求。通过备份软件和虚拟磁带库DL1000的配合，既能够满足大多数应用系统的数据保护需求，还能够解决物理磁带库读写速度慢等问题。而针对卷烟生产调度等核心系统，采用H3C连续数据保护技术，使得应用系统具备更高级别的数据保护和恢复能力，如：秒级数据备份精度和分钟级快速恢复。此外，通过IP技术跨广域的能力，还能够实现大型烟草企业总部和各分支机构的数据集中、共享，以及数据的异地保存。4.1. CDP（持续数据保护）方案CDP（Con

46、tinuous Data Protection）连续数据保护是一种有别于传统利用快照、复制和镜像等手段来进行数据保护的前沿技术，可在数据发生任何变化时将所有数据很好地保护起来。CDP既不完全是备份技术，也不完全是归档技术，它是一种集备份和归档为一体的技术，CDP将传统着眼于“备份”的备份技术，推进到着眼于快速恢复、最少数据丢失的数据保护新阶段。其最大的技术优势就在于可进行任意时间点的数据恢复。当数据丢失的损失以分钟（或更小的时间单位）来计算时，部署CDP方案就显得十分必要。同时，对于系统的企业来说，CDP技术能减少从灾难发生到数据恢复所需要的时间，满足系统可靠性需达到99.999%的严苛要求。

47、根据XX烟草企业目前的业务需求和未来的发展需要，我们建议XX企业存储系统采用的整体规划如下：数据中心在线存储系统建设：集团和各矿区都建立再现存储系统，建议集团和各矿区都选用1台H3C IX3000高端磁盘阵列做集团和各矿区的在线存储。采用2台H3C公司的IV5000虚拟化数据管理平台将IX3000纳入统一管理，两台IV5000通过activeactive方式运行，保证系统的高可用性。主中心IX3000上的数据通过IV5000数据管理平台的Adaptive Replication选项进行连续的数据复制到近线系统的IX1000存储系统上。为了保证工作环境中的文件共享服务，也可以选用H3C公司IV5000虚拟化引擎自带的NAS选项，实现SAN和NAS的统一管理。NAS和SAN可以共享IX3000上的空间，可以通过IV5000虚拟化引擎的管理平台进行统一管理。近线备份中心建设：建议选用H3C公司的IX3000/IX1000做为近线备份中心或远程容灾中心的