-
1.0 智能園區(qū)網(wǎng)絡(luò)解決方案
-
2.0 數(shù)據(jù)中心網(wǎng)絡(luò)解決方案
-
3.0 企業(yè)云解決方案
-
4.0 網(wǎng)絡(luò)安全解決方案
-
5.0數(shù)據(jù)安全解決方案
-
6.0 終端安全解決方案
-
7.0 統(tǒng)一通訊解決方案
-
8.0 數(shù)據(jù)中心機房建設(shè)解決方案
-
9.0物聯(lián)網(wǎng)綜合解決方案
-
10.0 智能化弱電系統(tǒng)解決方案
網(wǎng)絡(luò)設(shè)計原則
園區(qū)網(wǎng)通常是在有限的空間內(nèi)聚集了大量的終端和用戶接入的高密度網(wǎng)絡(luò)。對于園區(qū)網(wǎng)而言,注重的是網(wǎng)絡(luò)的簡單可靠、易部署、易維護,需遵循如下原則:
l 層次化原則
將園區(qū)網(wǎng)絡(luò)劃分為核心層、接入層等分層架構(gòu),每層功能清晰,架構(gòu)穩(wěn)定,易于擴展和維護。
l 模塊化原則
將園區(qū)網(wǎng)絡(luò)中的每個部門或者每個功能區(qū)劃分為一個模塊,模塊內(nèi)部的調(diào)整涉及范圍小,易于進行問題定位。
l 可靠性原則
整套網(wǎng)絡(luò)系統(tǒng)的可靠性是第一位,應(yīng)選用主流的并得到廣泛應(yīng)用的知名設(shè)備品牌,在系統(tǒng)設(shè)計、設(shè)備選型、調(diào)試、安裝等環(huán)節(jié)嚴(yán)格執(zhí)行國家、行業(yè)的有關(guān)標(biāo)準(zhǔn)及公安機關(guān)有關(guān)安全技術(shù)防范的要求,貫徹質(zhì)量條例,保證系統(tǒng)的可靠性。
l 安全性原則
網(wǎng)絡(luò)系統(tǒng)的設(shè)備必須滿足安全性要求,設(shè)備選型不能選試驗產(chǎn)品,要選先進的市場主流產(chǎn)品,要能保證系統(tǒng)不間斷運行。對關(guān)鍵的設(shè)備、數(shù)據(jù)和接口應(yīng)采用冗余設(shè)計。網(wǎng)絡(luò)環(huán)境下信息傳輸和數(shù)據(jù)存儲要注重安全,保障系統(tǒng)網(wǎng)絡(luò)的安全可靠性。包括物理空間的安全控制及網(wǎng)絡(luò)的安全控制。需要有完整的安全策略控制體系來實現(xiàn)網(wǎng)絡(luò)的安全控制。
l 先進性原則
系統(tǒng)的設(shè)計方法和技術(shù)路線應(yīng)符合當(dāng)前網(wǎng)絡(luò)架構(gòu)未來發(fā)展趨勢,須充分兼顧需求和技術(shù)的發(fā)展,須充分考慮與其他系統(tǒng)的連接,建設(shè)可擴展的、開放的平臺。主要設(shè)備須支持升級演進,軟件的設(shè)計應(yīng)先進靈活,便于升級以及與其它系統(tǒng)的互聯(lián)互控,同時應(yīng)保證人機界面友好,易于使用和操作,保證最終效果的優(yōu)異。
l 可擴展性原則
隨著系統(tǒng)以后的擴展,用戶容量將會不斷擴大,新的業(yè)務(wù)功能的要求將會層出不窮。這要求系統(tǒng)具備良好的可擴展性,所以在系統(tǒng)建設(shè)的初期,首先立足于近期的應(yīng)用需求進行系統(tǒng)配置,而以系統(tǒng)的可擴展性來保證今后十年內(nèi)的發(fā)展需求。
網(wǎng)絡(luò)系統(tǒng)的各個組成部件選用標(biāo)準(zhǔn)的硬件和軟件,各個子系統(tǒng)的設(shè)計模塊化,軟、硬件能夠平滑升級或更新,網(wǎng)絡(luò)節(jié)點的增減對網(wǎng)絡(luò)性能的影響不大。
l 易維護管理
網(wǎng)絡(luò)可管理性是網(wǎng)絡(luò)成功運維的基礎(chǔ),應(yīng)提供簡單有效的網(wǎng)絡(luò)統(tǒng)一管理系統(tǒng),對網(wǎng)絡(luò)所有網(wǎng)絡(luò)設(shè)備進行管理,包括網(wǎng)絡(luò)拓?fù)滹@示、網(wǎng)絡(luò)狀態(tài)監(jiān)控、故障事件實時預(yù)警和告警、網(wǎng)絡(luò)流量統(tǒng)計。
l 投資保護
園區(qū)網(wǎng)絡(luò)架構(gòu)設(shè)計必須滿足未來3-5年的使用需求,提高整網(wǎng)的利用率和擴展能力,使得可能的后續(xù)投資最小化。同時結(jié)合運維等方面的要求,獲得最佳總體擁有成本。
總體架構(gòu)設(shè)計
智能園區(qū)網(wǎng)絡(luò)總體解決方案如下:
園區(qū)網(wǎng)絡(luò)架構(gòu)設(shè)計
智能園區(qū)網(wǎng)絡(luò)分為辦公園區(qū)、生產(chǎn)IT網(wǎng)絡(luò),生產(chǎn)OT網(wǎng)絡(luò),安全隔離區(qū),數(shù)據(jù)中心區(qū)等等,各主要區(qū)域的業(yè)務(wù)承載如下:
辦公園區(qū):
? 通用辦公區(qū)(市場、財務(wù)、研發(fā)等)
? 安防視頻監(jiān)控、樓宇智能網(wǎng)
生產(chǎn)園區(qū)(production-IT)
? 生產(chǎn)IT區(qū)域,有線、無線終端接入
? 生產(chǎn)IT區(qū)和辦公網(wǎng)存在業(yè)務(wù)流量,通過安全隔離區(qū)安全控制
? 倉儲、物流區(qū)域等場景
生產(chǎn)園區(qū)(production-OT)
? 工控網(wǎng)絡(luò),機器人控制生產(chǎn)
? 生產(chǎn)數(shù)據(jù)采集,光學(xué)檢測
? 生產(chǎn)物流自動運輸
園區(qū)網(wǎng)絡(luò)的解決方案總體架構(gòu)設(shè)計如下:
園區(qū)出口:
部署出口路由器,防火墻、IPS、DDOS、上網(wǎng)行為管理等安全設(shè)備,作為園區(qū)的統(tǒng)一出口,同時要防范外部Internet網(wǎng)絡(luò)的攻擊。
辦公IT網(wǎng)絡(luò):
辦公園區(qū)IT網(wǎng)絡(luò),一張物理網(wǎng)絡(luò)同時承載有線辦公網(wǎng)、無線辦公網(wǎng)、安防網(wǎng)絡(luò)、樓宇網(wǎng)絡(luò)等等,基于Vxlan技術(shù)構(gòu)建多個虛擬網(wǎng)絡(luò),一網(wǎng)多用,邏輯安全隔離。
核心、匯聚等框式交換機雙機部署集群,接入交換機iStack堆疊,接入-匯聚,匯聚-核心雙鏈路,提高整網(wǎng)的可靠性。
無線接入層部署業(yè)界領(lǐng)先的Wi-Fi 6 AP,上行最高帶寬10Gbps,滿足各種高帶寬業(yè)務(wù)應(yīng)用。
生產(chǎn)IT網(wǎng)絡(luò):
核心、匯聚等框式交換機雙機部署集群,接入交換機iStack堆疊,接入-匯聚,匯聚-核心雙鏈路,提高整網(wǎng)的可靠性。
無線接入層部署業(yè)界領(lǐng)先的Wi-Fi 6 AP,上行最高帶寬10Gbps,滿足各種高帶寬、低時延業(yè)務(wù)應(yīng)用。
安全隔離區(qū):
安全隔離區(qū)作為生產(chǎn)IT網(wǎng)絡(luò)和辦公IT網(wǎng)絡(luò)的中間隔離區(qū)域,主要是對辦公區(qū)域訪問生產(chǎn)IT網(wǎng)絡(luò)的行為進行安全控制,杜絕各種安全風(fēng)險。部署防火墻、沙箱、漏掃、及安全探針等設(shè)備。
根據(jù)整網(wǎng)安全分析的需要,在辦公IT網(wǎng)絡(luò),生產(chǎn)IT網(wǎng)絡(luò),部署一部分安全探針,用于網(wǎng)絡(luò)流量的采集。同時辦公、生產(chǎn)的IT網(wǎng)絡(luò)的匯聚層交換機,基于Netstream技術(shù)采集網(wǎng)絡(luò)流量,用于整網(wǎng)安全風(fēng)險的分析與預(yù)防。
網(wǎng)絡(luò)管理區(qū):
網(wǎng)絡(luò)管理區(qū)用于部放SDN控制器,大數(shù)據(jù)智能運維平臺CampusInsight,安全分析平臺CIS,對整網(wǎng)進行管理,運維和安全防護;網(wǎng)絡(luò)管理園區(qū)旁掛在園區(qū)的總核心上。
VxLAN組網(wǎng)設(shè)計方案
辦公園區(qū)基于VxLAN等SDN技術(shù),一張物理網(wǎng)絡(luò)同時承載辦公、安防、樓宇等多張業(yè)務(wù)網(wǎng)絡(luò),業(yè)務(wù)網(wǎng)絡(luò)邏輯安全隔離。
? 各板塊匯聚與政務(wù)核心構(gòu)建一個虛擬網(wǎng)絡(luò)Fabric實現(xiàn)虛擬化專網(wǎng);承載多業(yè)務(wù)實現(xiàn)邏輯隔離
? 通過SDN控制器對辦公網(wǎng)VXLAN業(yè)務(wù)實現(xiàn)自動化部署
? 各板塊匯聚與接入之間二層互聯(lián)
無線Wi-Fi覆蓋方案
Wi-Fi已成為當(dāng)今世界無處不在的技術(shù),為數(shù)十億設(shè)備提供連接,也是越來越多的用戶上網(wǎng)接入的首選方式,并且有逐步取代有線接入的趨勢。為適應(yīng)新的業(yè)務(wù)應(yīng)用和減小與有線網(wǎng)絡(luò)帶寬的差距,每一代802.11的標(biāo)準(zhǔn)都在大幅度的提升其速率。
然而移動業(yè)務(wù)的快速發(fā)展和高密度接入對Wi-Fi網(wǎng)絡(luò)的帶寬提出了更高的要求,在2013年發(fā)布的802.11ac標(biāo)準(zhǔn)引入了更寬的射頻帶寬(提升至160MHz)和更高階的調(diào)制技術(shù)(256-QAM),傳輸速度高達(dá)1.73Gbps,進一步提升Wi-Fi網(wǎng)絡(luò)吞吐量。另外,在2015年發(fā)布了802.11ac wave2標(biāo)準(zhǔn),將波束成形和MU-MIMO等功能推向主流,提升了系統(tǒng)接入容量。但遺憾的是802.11ac僅支持5GHz頻段的終端,削弱了2.4GHz頻段下的用戶體驗。
下一代Wi-Fi需要解決更多終端的接入導(dǎo)致整個Wi-Fi網(wǎng)絡(luò)效率降低的問題, 802.11ax(Wi-Fi 6)標(biāo)準(zhǔn)將引入上行MU-MIMO、OFDMA頻分復(fù)用、1024-QAM高階編碼等技術(shù),將從頻譜資源利用、多用戶接入等方面解決網(wǎng)絡(luò)容量和傳輸效率問題。目標(biāo)是在密集用戶環(huán)境中將用戶的平均吞吐量相比如今的Wi-Fi 5提高至少4倍,并發(fā)用戶數(shù)提升3倍以上,因此,Wi-Fi 6(802.11ax)也被稱為高效無線(HEW)。
Wi-Fi 6是下一代802.11ax標(biāo)準(zhǔn)的簡稱。隨著Wi-Fi標(biāo)準(zhǔn)的演進,WFA為了便于Wi-Fi用戶和設(shè)備廠商輕松了解其設(shè)備連接或支持的Wi-Fi 型號,選擇使用數(shù)字序號來對Wi-Fi重新命名。另一方面,選擇新一代命名方法也是為了更好地突出 Wi-Fi 技術(shù)的重大進步,它提供了大量新功能,包括增加的吞吐量和更快的速度、支持更多的并發(fā)連接等。根據(jù)WFA的公告,現(xiàn)在的 Wi-Fi 命名分別對應(yīng)如下 802.11技術(shù)標(biāo)準(zhǔn):
發(fā)布年份 | 802.11標(biāo)準(zhǔn) | 頻段 | 新命名 |
2009 | 802.11n | 2.4 GHz或5 GHz | Wi-Fi 4 |
2013 | 802.11ac wave1 | 5 GHz | Wi-Fi 5 |
2015 | 802.11ac wave2 | 5 GHz | |
2019 | 802.11ax | 2.4 GHz或5 GHz | Wi-Fi 6 |
和以往每次發(fā)布新的802.11標(biāo)準(zhǔn)一樣,802.11ax也將兼容之前的802.11ac/n/g/a/b標(biāo)準(zhǔn),老的終端一樣可以無縫接入802.11ax網(wǎng)絡(luò)。
網(wǎng)絡(luò)安全方案
基于安全協(xié)防整體防護理念和設(shè)計原則,所構(gòu)建的安全防護體系,實現(xiàn)快速響應(yīng),調(diào)查追溯,優(yōu)化安全策略,提升防護水平。
為了將威脅控制在局部區(qū)域,同時考慮到對網(wǎng)絡(luò)攻擊行為及時檢測和處置,建議所有關(guān)鍵區(qū)域邊界均應(yīng)部署相應(yīng)的安全防護措施,通過部署安全態(tài)勢感知系統(tǒng)、安全策略智能管理和網(wǎng)絡(luò)誘捕系統(tǒng),“三位一體”構(gòu)建主動防御體系,提高對未知威脅感知能力和響應(yīng)能力。詳細(xì)設(shè)計如下:
? 在安全隔離區(qū)與終端接入?yún)^(qū)邊界部署防火墻、IPS、網(wǎng)絡(luò)探針和誘捕系統(tǒng)實現(xiàn)該區(qū)域邊界保護;
? 在安全隔離區(qū)與生產(chǎn)區(qū)邊界部署防火墻、IDS、網(wǎng)絡(luò)探針和誘捕系統(tǒng)實現(xiàn)該區(qū)域邊界保護;
? 在生產(chǎn)區(qū)與IT網(wǎng)絡(luò)邊界部署防火墻、IPS、網(wǎng)絡(luò)探針和誘捕系統(tǒng)實現(xiàn)該區(qū)域邊界保護;
? 在生產(chǎn)區(qū)內(nèi)部不同廠房車間FAB區(qū)邊界部署防火墻、IDS、網(wǎng)絡(luò)探針和誘捕系統(tǒng)實現(xiàn)該區(qū)域邊界保護;
? 在與合作伙伴外部網(wǎng)絡(luò)互聯(lián)的邊界部署防火墻、IPS、網(wǎng)絡(luò)探針和誘捕系統(tǒng)實現(xiàn)該區(qū)域邊界保護;
? 原則上禁止在生產(chǎn)網(wǎng)絡(luò)的系統(tǒng)中安裝TeamViewer等遠(yuǎn)程控制軟件,避免繞過邊界安全防護措施,帶來安全風(fēng)險;
? 如需遠(yuǎn)程運維,建議采用VPN接入安全隔離區(qū),通過登錄堡壘機對網(wǎng)內(nèi)設(shè)備進行運維操作。
智能運維管理方案
隨著網(wǎng)絡(luò)規(guī)模的不斷增長、網(wǎng)絡(luò)應(yīng)用的不斷推廣、業(yè)務(wù)越來越多樣化,大量路由器、交換機、WLAN 等被廣泛的應(yīng)用于網(wǎng)絡(luò),IT維護人員面對網(wǎng)絡(luò)管理和運維中遇到的問題和挑戰(zhàn),需要一套高效、統(tǒng)一的控制器進行支撐,遵循ITIL規(guī)范,提供融合、開放的運維平臺,實現(xiàn)對有線無線網(wǎng)絡(luò)以及用戶的統(tǒng)一管理。
管理方案設(shè)計
? 全網(wǎng)有線、無線網(wǎng)絡(luò)統(tǒng)一、可視化管理,包括統(tǒng)一拓?fù)?、統(tǒng)一告警、性能、統(tǒng)一報表等基本功能,滿足網(wǎng)絡(luò)的基本運維需求。
? 可分權(quán)分域,基于每個區(qū)域給予管理權(quán)限控制,確保網(wǎng)絡(luò)的管理分工與安全。
? 分級網(wǎng)絡(luò)管理,實現(xiàn)運維安全和大規(guī)模網(wǎng)絡(luò)管理的能力??梢詫崿F(xiàn)跨地區(qū)上下分層式管理,基于分層管理訴求,聚焦分層網(wǎng)絡(luò)運維職能,上下分級各司其職,實現(xiàn)統(tǒng)一的拓?fù)涔芾?、統(tǒng)一的資源管理、分層式的告警管理、全網(wǎng)匯聚Portal、統(tǒng)一的用戶認(rèn)證管理。
? 零配置部署管理,支持拓?fù)溟_局和設(shè)備標(biāo)識開局,從網(wǎng)絡(luò)規(guī)劃、離線配置文件制作、設(shè)備布線上電、網(wǎng)絡(luò)規(guī)劃調(diào)整、開局以及故障設(shè)備替換等,提供了端到端設(shè)備運維能力,提高了運維人員效率。
? WLAN全生命周期的管理,可視規(guī)劃、三步開通業(yè)務(wù)、360°監(jiān)控到基于搜索的一鍵式故障診斷的WLAN全生命周期管理,幫助用戶高效部署和管理無線網(wǎng)絡(luò)。
? 移動化運維管理,用戶可以在移動終端上進行無線網(wǎng)絡(luò)管理,包括360監(jiān)控、故障診斷等功能。
大數(shù)據(jù)智能運維管理方案
平臺設(shè)計基于大數(shù)據(jù)分析平臺構(gòu)建,采用Telemetry 技術(shù)方案接收設(shè)備上報的數(shù)據(jù),通過智能算法對網(wǎng)絡(luò)數(shù)據(jù)進行分析、呈現(xiàn)。
網(wǎng)絡(luò)智能分析器采用微服務(wù)架構(gòu),各個業(yè)務(wù)服務(wù)采用多實例部署,外部 HTTP 請求由消息總線進行分發(fā)到各個節(jié)點實例處理,并可通過擴充實例節(jié)點實現(xiàn)服務(wù)容量動態(tài)擴容,具備高可靠性和伸縮性。