1、摘要本部分是根据中广核工程有限公司工程公司网络分离/岭澳二期厂区网络设备采购项目招标文件(招标编号:ITTSEC00023 )而撰写的工程公司网络分离及岭澳二期厂区计算机网络系统的总体方案建议书。本建议书主要包括用户需求分析、网络设计思想与原则、网络技术应用以及方案特点的介绍,关于网络结构、路由策略、IP 地址规划、安全方案、扩展性设计、网管方案、网络 QOS 方案等方面的详细建议;同时,给 出了方案中所使用的全部产品的产品明细表,并详细介绍了方案中所使用的相关产品的功能特性和技术规范;对工程实施与技术服务所做的详尽计划。目 录目 录 .2一、本项目需求分析 .71.1 工程公司网络分离项目概
2、述 .71.2 工程公司网络现状分析 .71.3 本项目设计要求 .9网络结构设计 .9网络技术设计 .9网络切换设计 .10具体设计要求 .111.4 岭澳二期厂区网络项目概述 .121.5 岭澳二期网络项目分析 .121.6 岭澳二期网络项目设计要求 .13网络核心设计要求 .13网络汇聚层设计要求 .14网络接入层设计要求 .14系统点数分布 .14二、方案设计思想与原则 .162.1 设计目标 .162.2 设计原则 .162.2.1 层次化设计思想 .162.2.2 高可靠性和可用性原则 .162.2.3 网络的高效性原则 .172.2.4 网络的可管理性原则 .172.2.5 网络
3、的可扩展性原则 .182.2.6 网络安全性原则 .182.2.7 先进性、成熟性、稳定性原则 .182.2.8 开放性原则 .182.2.9 经济性 .192.3 网络技术 .192.3.1 千兆以太网 .192.3.2 10G 以太网 .202.3.3 MLT/SMLT .212.3.4 VRRP 技术 .362.3.5 VLAN 技术 .37三、网络总体结构设计 .393.1 网络拓扑设计的原则 .393.1.1 核心层网络设计原则 .393.1.2 汇聚(分布)层网络设计原则 .393.1.3 接入层网络设计原则 .403.2 网络拓扑设计 .403.2.1 核心层网络设计 .423.
4、2.2 汇聚层网络设计 .433.2.3 接入层网络设计 .433.3 具体设计说明 .443.3.1 核心层配置说明 .443.3.2 服务器汇聚层配置说明 .473.3.3 广域网链路接入层网络 .493.3.4 汇聚层交换机 .503.3.5 接入层配置说明 .523.3.6 设备清单 .55四、VLAN 的设计和实现 .61五、IP 地址规划设计 .625.1 IP 地址规划原则 .625.2 IP 地址规划建议 .645.3 向 IPv6 过渡 .655.3.1 技术简介 .655.3.2 IP 的迁移 .655.3.3 问题 .66六、路由设计 .676.1 路由规划原则 .676
5、.2 常见路由协议比较 .676.3 岭澳二期厂区信息网络路由设计 .69七、网络可靠性设计 .717.1 设备可靠性设计 .717.2 节点可靠性设计 .717.3 链路可靠性设计 .737.4 网络层可靠性设计 .737.5 应用层可靠性设计 .74八、QoS 设计 .758.1 QoS 定义 .758.2 实现方式 .758.3 北电交换机上 Qos 的实现 .77九、网络安全设计 .809.1 环境和硬件 .809.2 网络层安全 .809.2.1 防止对网络设备的非法访问 .809.2.2 安全使用网络设备 .819.2.3 使用 VLAN 技术隔离数据 .829.3 入侵检测和漏洞
6、扫描 .829.4 防火墙系统 .839.5 病毒防护系统 .849.6 操作系统层安全 .859.7 数据库层安全 .859.8 应用层安全 .869.9 安全管理层 .86十、优秀的网络升级能力 .8710.1 层次化的结构是网络扩充的基础 .8710.2 设备端口的扩充 .8810.3 网络带宽的扩充 .8810.4 应用种类的增长 .8810.5 网络规划充分考虑系统扩充需求 .89十一、网络管理设计 .9011.1 网络管理方案设计 .9011.2 网络管理 .90十二、工程公司网络分离方案 .9312.1 网络现状 .9312.2 网络分离步骤 .9412.2.1 准备 .9412
7、.2.2 分离步骤 .95十三、设计特点 .96十四、工程实施建议书 .9814.1 工程管理 .9814.1.1 建立工程管理小组 .9814.1.2 工程组织 .9814.1.3 工程人员安排 .9914.2 工程实施细节 .9914.2.1 系统总体方案论证 .9914.2.2 设备、材料供应 .10014.2.3 方案修改 .10014.2.4 网络设备的安装、调试和开通 .10014.2.5 工程进度表 .10114.3 用户测试及验收 .10114.3.1 测试 .10114.3.2 验收 .10214.3.3 测试手册 .103十五、技术服务计划书 .10515.1 技术支持 .
8、10515.2 技术服务 .10615.3 服务中的职责分工 .10815.4 用户技术支持服务的联系方法 .10915.5 软件升级服务 (不包括第三方软件和可能发生的硬件升级费用 ).109一、本项目需求分析1.1 工程公司网络分离项目概述根据中广核工程公司网络系统建设的要求,遵循网络总体设计原则和总体设计规划,确定采用万兆主干千兆到桌面的企业局域网方案,以满足工程公司网络分离及岭澳二期厂区计算机应用系统对网络带宽的需要,同时为以后的各种应用(图形、图像、视频等多媒体)预留了足够的带宽,保证了网络技术的领先和系统日后扩展的便利性。中广核工程公司经过近几年的快速发展,已形成了以大亚湾为中心,
9、各基地项目部为支点的发展模式,公司规模日益庞大,对网络系统需求日益增加,为配合工程公司业务发展的使用需要,需对工程公司现有网络进行改造形成一套相对独立、功能完善的工程公司网络系统。本次工程公司核心网络改造项目中需达成以下建设目标: 建立工程公司自有、相对独立、结构清晰、功能完善、承载能力强的基础网络系统; 将工程公司网络与其他网络进行物理及逻辑上分离,通过网络边界安全设备实现与中广核集团公司、各成员公司、各项目部、承包商的安全无缝连接; 新建网络核心实现全网联接、升级现有网络设备,提高网络应用系统的稳定性和可靠性。 整合及调整工程公司现有网络资源,通过调整及新增若干网络设备使改造后的工程公司基
10、础网络能充分满足现在及未来几年的建设使用需求同时可依据变化可实现弹性扩充;1.2 工程公司网络现状分析工程公司现有网络依附于运营公司(DNMC)核心网络,无核心交换机,与 DNMC 内部网络分界不清晰,并且存在各项目部、下属分公司通过广核集团核心网络互联,共享工程公司内部应用系统。(1)大亚湾工地本部现状工程公司大亚湾本部现有网络设备属网络边缘汇聚及接入层设备,主要有北电 ERS-1624/12、ERS5530、ES-470、ES-450 等。网络分布区域分散,主要有 BM 区域、LA 区域、LD 区域、 LH 区域、LBX 部分区域等,工程公司目前通过 DNMC 的核心网络实现各区域的连接,
11、无核心交换设备。(2)深圳市内分部及各项目部现状泥岗路设计院、梅华楼设计院分别通过光纤与集团科技大厦实现连接,与工程公司大亚湾本部连接需通过集团网络及 DNMC 网络中继。各项目部专线通过集团核心网及 DNMC 网络与本部连接。(3)现有网络拓扑1.3 本项目设计要求网络结构设计工程公司网络改造需要按照层次化的结构来设计,如图所示,按核心层、汇聚层、接入层进行设计;网络层次设计需清晰简明,应着重突出各层次的设计使用功能及所采用的关键技术线路;着眼目前的实际网络应用使用情况,提出合理的并切实可行的网络调整计划并兼顾现有实际使用环境;整体网络设计应充分考虑广核全集团未来网络的发展规划,兼顾广核集团
12、的现有使用情况并结合其他成员公司网络现状给予考虑;网络技术设计(1)需参照现有网络结构及充分考虑目前实际使用情况来综合进行设计;(2)所采用的关键网络技术标准不低于现有网络环境中的技术标准,对所采用的关键网络技术均应详细描述并提供详实可靠的可比数据说明;(3)在网络结构设计、设备使用组织、关键网络技术、网络协议应用上应充分考虑系统冗余的使用需求,有效避免单点物理、链路失败保证网络的高可用性及有良好的可自愈性并提供足够的网络使用弹性;(4)网络应可承载目前的主流的网络应用,有效满足与实现三网合一(数据、语音、视频) ,在复杂应用模式下需考虑如何有效保障服务质量及针对具体应用的策略及配置在广核集团
13、网络上可实施性及可操作便捷性等;为后期便于后期的网络维护,关键网络设备应充分考虑与现有设备的可兼容性及互操作并应可统一网络管理;考虑到网络建设的可持续性,本次网络改造需要为今后的网络扩容及调整留有足够的可升级空间并在技术层面及性能冗余上可给予支持;网络切换设计(1)提供详细的网络切换实施方案,对所涉及到的关键网络设备明确描述出切换所需做的操作方案,提供不限于以下的资料: 网络切换拓扑设计图纸; 网络切换实施计划安排; 网络切换方案模拟测试环境搭建及模拟测试步骤;(2)参照现有网络结构及实际配置进行调整,关键网络切换必须保证无缝切换,网络业务不允许中断;(3)网络切换及调整不允许对集团及 DNMC 网络造成影响;(4)网络切换必须保证工程公司现有各网络应用均可正常使用,包括(IP 电话、视频会议、Internet/ 服务器访问等) ;
