HC钢铁行业园区网解决方案V课件.pptx

日期：201002,密级：,杭州华三通信技术有限公司,H3C钢铁行业园区网解决方案,日期：201002密级：杭州华三通信技术有限公司H3C钢铁行,目录,H3C公司汇报保障业务连续性的设计要求钢铁行业园区网详细设计产品介绍服务及培训典型案例,目录H3C公司汇报,2009年， H3C国内市场合同销售额较2008年增长27%，整体销售额实现增长。,中国市场（截至2009年12月）：2009年Q3以太网交换机端口数市场份额40.9%，排名第一（IDC, 2009Q3）2009年Q3企业级路由器台数市场份额40.1%，排名第一（IDC,2009Q3）网络安全设备保持国内第一市场份额；WLAN产品（AP）出货量60万台，连续两年国内市场份额第一；EAD终端准入控制解决方案累计部署超过100万终端；IP智能监控成为平安工程第一品牌，承建超过160个平安城市项目；IP存储产品及解决方案网上在线运行系统近9000台，总装机容量近70,000TB，万兆存储IX3000系列累计出货超过600台；,2009市场业绩稳定增长,2009年， H3C国内市场合同销售额较2008年增长27%,支持IToIP战略实现的源动力来自H3C的持续创新能力,1994年进入IP领域，1800多项以太网专利的一次性注入每年将超过15的业务收入投入到研发领域2600多名IP技术专家组成的H3C研发团队专利申请超过2500件，85%以上是发明专利，位居国内通信行业前三，2009年申请国内专利746件，平均每工作日申请三个全球近百个国家、110多个行业广泛应用投资超过2亿人民币，国内网络规模最大的鉴定测试中心！,持续创新能力,2006年，H3C提出了IToIP理念，基于IP技术标准提供统一IT基础架构；2008年，IToIP战略的中心从“标准化” 向“智能开放”发展，推出OAA平台计划。,支持IToIP战略实现的源动力来自H3C的持续创新能力199,全面服务国内全球财富500强企业,全面服务国内全球财富500强企业,鞍钢集团,中国有色,中国黄金,中国国电,中联重科,全面服务国内知名企业,鞍钢集团中国有色中国黄金中国国电中联重科全面服务国内知名企业,MES,服务钢铁行业信息化,与钢铁工业协会合作，推进钢铁行业信息化建设,视频会议,EMS,数据中心,ERP网,全局安全,统一管理,OA,安保监控,生产监控,计量监控,IP语音,无线,CAD,PDM,信息化应用,H3C产品&解决方案,产品和方案广泛应用于钢铁行业产量前50名的钢铁企业中约30家，在排名前十的钢铁企业都有不同程度的应用,服务于钢铁行业ERP、OA、MES、能源网、无人值守计量、视频会议、生产和安防监控等信息化应用；涉及产品包括：网络、安全、监控、视频、存储等；,MES服务钢铁行业信息化231与钢铁工业协会合作，推进钢铁行,客户名单-钢铁、有色行业,太钢集团全网网络、无人值守计量监控、视频会议系统宝钢八一钢铁生产管理网、宝钢邯宝钢铁生产管理网、宝钢股份精密钢管厂网络扩容、宝钢国际贸易全国VPN网、宝钢股份宝信软件新办公楼鞍钢矿山RPR环网、鞍钢鲅鱼圈新厂、一/二/三/四分厂、弓长岭铁矿、新轧钢2310分厂本溪钢铁（集团）ERP骨干网、自动化公司网络、IP园区监控重庆钢铁（集团）企业核心网、搬迁新园区安阳钢铁集团信息网全网马钢（集团）核心网、马钢VPN武钢集团通信骨干网、武钢国贸IP监控、武钢氧气公司IP监控日照钢铁全网建设、日照钢铁安全部署广东韶关钢铁集团管理办公网、IP生产监控、OA和生产应用存储、EAD桌面管理系统广西柳州钢铁（集团）骨干江苏永钢集团全网水城钢铁（集团）全网和安全莱芜钢铁集团天津钢管集团核心网唐山建龙钢铁ERP网、唐山建龙钢铁MES网唐山钢铁集团总调度IP视讯会议首钢京唐钢铁IP监控唐山瑞丰钢铁(集团)唐山荣程钢铁有限公司网络升级海鑫钢铁集团信息化核心网新余钢铁舞阳钢铁网络苏州钢铁集团网络泰山钢铁不锈钢厂网络通化钢铁股份有限公司冷轧厂网络,四平红嘴钢铁集团IP监控北台钢铁公司视讯会议衡钢全网改造济南钢铁无线网络江苏沙钢IP监控酒泉钢铁集团安全防范及EAD桌面管理系统昆钢集团钢厂信息化建设攀枝花钢铁集团网络及IP监控三明钢铁厂ERP网络、IP监控河北省钢铁集团骨干网建设山东钢铁集团局域网核心设备-中国铝业公司、中国铝业ERP全国网、中铝应急救援指挥中国有色矿业集团黄金集团全国视讯网络中国冶金地质总局广域网互联山东魏桥创业集团有限公司 江西铜业集团公司 铜陵有色金属集团控股有限公司 南山集团公司 湖南有色金属控股集团株洲冶炼厂云南冶金集团总公司 紫金矿业集团股份有限公司 华盛江泉集团有限公司 云南锡业集团(控股)有限责任公司 辽宁有色金属集团青铜峡铝业集团有限公司 柳州华锡集团有限责任公司 陕西有色金属集团金堆城钼业,客户名单-钢铁、有色行业太钢集团全网网络、无人值守计量监控、,新一代数据中心的最佳选择进入搜狐、淘宝、腾讯、盛大、百度等世界上最大型的互联网数据中心；四大银行、中石油、中石化、中国铝业等大型企业数据中心，和中国电信、中国移动、中国联通、广电的众多数据中心项目。,IPv6：H3C在教育IPv6试商用市场份额55%，占有率第一；国内唯一参与IETF WLAN国际标准制定的厂商，在国内首发企业级802.11n系列产品；中标IPv6示范工程中国移动通信研究院CNGI WLAN应用示范项目。,基础承载网络,数据中心,三大热点领域齐头并进,在业界第一个发布了新一代IP多媒体产品统一软件平台-IMOS，支持监控、视讯、媒体发布、VOD、语音业务；提出“安防IT化，监控大联网”的口号，指明了视频监控的技术趋势和组网发展方向。,新一代数据中心的最佳选择IPv6：H3C在教育IPv6试商用,国际标准提出两项无线网管技术被IETF CAPWAP WG接纳为正式草案，成为少数在IETF国际标准中拥有自己RFC标准草案的国内企业之一。国家行业标准技术标准：基于以太网的局域网系统验收测评规范IP网络端点准入控制技术要求基于iSCSI的IP存储交换机技术要求IPv6技术要求IPv6路径MTU发现协议应用标准：作为唯一的安防厂家，参与城市“平安工程”六大课题的研究工作，在“平安城市建设模式”及“视频监控系统安全性”两个课题中作为主要参与单位；参与城市监控报警联网系统系列技术标准的制定、参与城市轨道交通安全防范通用技术规范制定；参与国家视频监控标准工作组（AVS）编写和开发工作参与中国电信集团公司全球眼2.5/3.0标准的制定和开发,行业技术标准遵从,“H3C非常关注标准，积极参与标准的提出、制定，他们参与的广度和深度是我所了解的中国其他IT企业所不及的。”全国安全防范报警系统标准化技术委员会秘书长、顾问刘希清,国际标准行业技术标准遵从“H3C非常关注标准，积极参与标准的,H3C从产品的生命周期，即设计、采购、制造、物流、销售、使用、回收再利用等各个环节，减少能源消耗和对环境的负荷。节能：采用高效节能电源、智能散热方案、节能芯片等方式，H3C的产品能耗显著降低，多数产品较业界同类产品能耗低10%以上，表现突出者如SR66多业务路由器整机功耗降至同类厂商同级别设备一半以下。环保：H3C从2006年开始提供符合RoHS指令的产品。目前H3C不仅严格限制RoHS指令要求的6种有害物质的使用，还额外限制了其他11类有害物质如砷、PCB等的使用。回收：目前所有产品均满足WEEE标准要求，绝大多数产品回收率达到80%以上。,关注绿色节能,第三方测评H3C S7506E和S5500-EI两款交换机通过业界唯一可以为网络产品提供绿色认证的第三方测试认证机构Miercom的绿色认证。与业界平均水平相比，H3C S7506E每年可节省24%维护费用，H3C S5500-EI每年可节省17%维护费用；Network World认为“低能耗是H3C设备很重要的一个特点”；H3C新一代数据中心获中国计算机报“2009年度绿色IT产品”。,H3C从产品的生命周期，即设计、采购、制造、物流、销售、使用,高品质、开放、智能,视频产品系列,语音产品系列,H3CS7500E核心交换机,H3CWX5002Wireless Switch,H3CS9500万兆核心路由交换,多业务插卡,全局、深度、统一管理,IP自适应网络存储,监控产品系列,H3CMSR开放路由器,H3CSR88骨干路由器,H3CWA1208E双模AP,H3CIX1000,H3CIV5000,H3CIX5000,H3C IPS,H3CV1000-A网关,H3CF1800A 防火墙,交换机产品系列,WLAN产品系列,安全产品系列,路由器产品系列,数据管理,用户管理,业务管理,安全管理,IP智能,网络管理,IP通信,IP网络,IP存储,ITOIP四大产品族,高品质、开放、智能视频产品系列语音产品系列H3CS7500E,on,IP,IT,实现智能通过开放基于标准,OpenApplicationArchitecture,OAA,ITOIP-OAA开放、融合的架构,IT业务流程及应用 流程与管理协同应用系统控制开放应用架构-,目录,H3C公司汇报保障业务连续性的设计要求钢铁行业园区网详细设计产品介绍服务及培训典型案例,目录H3C公司汇报,钢铁信息化的应用,生产,供应,销售,财务,人事,数据挖掘,决策支持,生产设备控制,生产线控制,计划物料控制,战略决策,运营管理,产销一体、管控衔接、三流同步,数字管理驾驶舱,基础自动化,生产过程自动化,生产管理自动化,项目,钢铁信息化的应用生产供应销售财务人事数据挖掘决策支持 生产设,制造控制,生产管理,资源控制,决策支持,数据挖掘、知识管理、决策支持系统,供应链优化和管理系统SCM,过程控制系统PCS,钢铁信息化业务介绍和模型,供应商关系管理,客户关系管理,财务/成本管理,人力资源管理,销售管理,采购管理,生产管理,质量管理,库存管理,项目管理,设备管理,基础自动化系统,制造执行系统（MES）：计划执行生产跟踪、仓库管理、统计分析等,其他专有系统：计质量系统、运输系统、能源系统、检化验系统等,办公自动化,L2,L3,L4,L5,L1,业务连续性,两化融合,多网合一,制造控制生产管理资源控制决策支持数据挖掘、知识管理、决策支持,供应链优化和决策支持,ERP,MES,过程控制,基础自动化,销售管理,采购管理,生产管理,质量管理,成本管理,设备管理,分厂1,分厂2,分厂3,分厂4,分厂5,生产跟踪、仓库管理,计质量系统、检化验系统,检化验设备,计量设备,L2,L3,L4,L5,L1,钢铁信息化的数据依赖,供应链优化和决策支持ERPMES过程控制基础自动化销售管理采,钢铁信息化面临的挑战,钢铁信息化面临的挑战钢铁信息化趋势IT 系统成为企业生存与发,组网方案技术要求,建设目标和要求,采用主流网络体系结构和网络设备，对现有网络加固，构建一个高性能、高安全性、高可靠性、高扩展性的结构科学合理的多业务网络系统网络系统应是开放性，符合国际标准，应确保网络内部以及原有网络系统互连互通网络系统要易于扩展，相关设备易于平滑升级至更新技术，保护原有投资。为了保障多业务承载以及对网络安全的需求，支持MPLS VPN技术采用万兆骨干,接入、汇聚日后可平滑升级，满足新业务的带宽要求安全网络，保障内网各个区域和Internet出口安全支持无线网络的扩展，有线无线一体化管理全局的面向业务的安全保障方便管理，易于维护,基础网络,业务融合,全网安全,统一管理,组网方案技术要求建设目标和要求采用主流网络体系结构和网络设备,网络管理模块,数据中心模块,Internet连接模块,远程接入和VPN模块,园区核心模块,接入层子模块,汇聚层子模块,园区接入模块,园区网络,园区网络边缘,服务提供商边缘网络,网络设计思路-分区规划,网络安全管理,广域网互联,1. 能优化网络结构。根据业务的划分，设计出网络承载带宽。2.能够细化出区域之间访问的安全性，为安全的部署提供依据3.更加有利于管理,网络管理模块数据中心模块Internet连接模块远程接入和V,面向业务的安全保障：分析业务流程，制定针对性安全规划优点：明确目标、明确规划、问题明确、响应迅速,安全设计思路面向业务,安全设计思路-全局安全面向业务,关键点安全：分析安全的脆弱点并在关键点部署安全产品缺点：问题层出不穷，网管疲于应付,面向业务，划分出业务访问的边界，根据业务安全的不同级别，全局部署!,蠕虫/病毒安全风险分析杀毒软件、防毒墙、IPS网络安全问题解,网络资源,存储资源,计算资源,路由器、交换机等设备以及由它们所构成的网络高速的报文转发能力安全的网络访问控制,磁盘阵列、磁带、存储管理等存储设备低成本、易扩展的存储空间高效的数据读取数据安全保护,包括Windows、Unix等各类服务器及其上的业务应用软件系统高效、稳定的数据计算能力,资源使用者（人）,业务牵引人对IT资源的调配和使用,资源的安全使用,人与资源的融合,管理设计思路综合管理,管理设计思路-统一管理,网络资源存储资源计算资源路由器、交换机等设备以及由它们所构成,多媒体承载-语音、视频、监控多业务融合,Internet网-Internet 接入、VPN接入、4S店,广域网-经营管理系统、分公司的互联,信息、生产-制造管理层、生产执行层系统,多网合一、统一数据承载,生产网-生产自动化系统上联数据交换平台,融合的数据中心,ERP、OA、MES、CAD，PDM,新一代技术架构-多业务统一承载,安全架构|统一安全,管理架构、节能设计,视频会议、IP语音、监控,多媒体承载Internet网广域网信息、生产多网合一、统一数,服务于钢铁行业信息化的IT基础架构,生产基地自动化系统上联数据交换平台,L1,L2,L3,L4,L5,自动化/制造管理、生产执行层互联专网区域,外部接入网区域,管理网区域,生产主干网区域,生产基地制造管理层、生产执行层系统、能源网,生产基地经营管理系统、专线接入、各个分子公司的专线接入,Internet 接入、VPN接入,语音、视频、监控,多媒体承载,数据中心,全局安全部署,统一管理,服务于钢铁行业信息化的IT基础架构生产基地自动化系统上联数据,整体架构拓扑,集团,各分公司,服务器群,数据中心,SSL VPN,DNS/邮件/WEB ,视讯系统,MCU,软终端,IP语音系统,Ephone,话务台,系列TG,PBX,IP监控,管理区,整体架构拓扑 集团各分公司服务器群数据中心SSL V,目录,钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计IRF2.0虚拟化可靠性保障安全设计融合通信管理设计,目录钢铁行业园区网详细设计,网络发展历程,网络架构,星型,双归属,环形网,网络隔离,共享,区域隔离,业务隔离,设备冷备,用户业务隔离,可靠性,设备热备,网络自愈,50ms切换,业务承载,数据传输,数据交换,数据共享,多业务承载,安全保障,设备安全,局域网安全,全局安全,智能安全联动,HUB共享,10M,100M,1000M,接入速率,网络发展历程网络架构星型双归属环形网网络隔离共享区域隔离业务,VS,10G RPR,骨干网技术比较-RPR 双归属,骨干网发展趋势：星型双归属环形网骨干网建设原则：高可靠高性能高带宽快速修复灵活、扩展相继落成，业务无中断的核心网络节点扩展为这种需求提供了保障。,组网普通RPR双归属带宽10G10G210G可靠性200m,网络详细设计,接入交换机：1.边缘端口BPDU保护2. 802.1X认证3.支持虚拟化，便于扩展4.支持POE,1.双设备、双链路冗余保障可靠性2.端到端虚拟化支持，简化管理、提升网络可靠性,核心/汇聚交换机1.高性能：全分布式转发2.支持BFD，故障切换毫秒级3.最长匹配逐包转发，天然防护DOS攻击4.支持热补丁技术,1.瘦AP方式灵活支持无线的扩展2.无线有线管理一体化管理,设备可靠保障：双主控、双电源,MPLS VPN虚拟园区网，业务隔离,万兆核心、百兆千兆接入,网络详细设计接入交换机：1.双设备、双链路冗余保障可靠性核心,共享总线,环形交换,共享内存,Crossbar共享内存,CLOS多级交换架构,交换机体系结构的演进历史,共享总线环形交换共享内存Crossbar共享内存最古老的数,fabric,交换结构的升级,单级交换网多级交换网结构1，单平面交换；1,全分布式转发架构,分布式的IPv4/IPv6/MPLS报文转发，保证设备高性能转发能力。满足数据中心、园区网核心、汇聚的高性能需求。,Crossbar,Crossbar,Engine,Engine,全分布式转发架构分布式的IPv4/IPv6/MPLS报文转发,目录,钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计IRF2.0虚拟化可靠性保障安全设计融合通信管理设计,目录钢铁行业园区网详细设计,集中,计算中心主机终端,分散,下一代数据中心服务导向SOA WEB 2.0,虚拟化集中云（网格）计算云（网格）存储,数据中心服务器客户机,计算、存储、通信、软件集中在1台昂贵的设备里，集中计算,计算、存储、网络设备软件系统高度独立，客户机服务器模式，分布计算,计算、存储、网络资源随需而变化，系统像云一样变幻无常，集群计算,数据中心发展趋势,集中计算中心 IT 相关性以及控制应用体系架构演变分散下一代,内容压缩,下一代数据中心,下一代数据中心面临的挑战,性能优化简化部署绿色节能安全合规业务永续内容压缩运维管理下一,不断演化增强的基础架构,标准化统一交换数据中心,虚拟化资源共享数据中心,自动化业务调度数据中心,标准化：统一交换架构数据中心整合 万兆网络万兆安全万兆存储万兆集群数据中心IRF,虚拟化：端到端虚拟化 全DC级IRF虚拟化网络实例 Chassis IRF Box IRF,自动化：资源分配自动化业务应用自动化管理服务自动化,NDC1.0,NDC2.0,NDC3.0,H3C下一代数据中心NDC,不断演化增强的基础架构标准化虚拟化自动化：NDC1.0NDC,数据中心基础架构,数据中心存储与灾备,数据中心应用优化,数据中心虚拟化,数据中心高可用,数据中心运维管理,前端网络,后端网络,虚拟化平台,数据中心安全,H3C下一代数据中心解决方案,数据中心基础架构数据中心存储与灾备数据中心应用优化数据中心虚,面向服务-分区规划,Intranet 服务器区,数据交换服务器区,数据中心管理区,Extranet 服务器区,园区网核心区,本区主要放置由内部用户访问的应用和数据库,是最重要的业务区域,本区主要放置为不同业务应用之间进行数据交换的中间业务应用,不能由普通用户直接访问.,本区主要放置管理服务器,并可以连接到园区的管理系统里。,本区主要放置被来自Internet的合作方或通过VPN接入的合作所方所访问的应用和数据库.,Internet 服务器区,本区主要放置Internet DMZ架构下的服务器如DNS等，也称为DMZ区,数据中心核心区,Internet/VPN 接入区,园区网,数据中心,面向服务-分区规划Intranet 服务器区数据交换服务器区,高可扩展性-分层设计,核心层:各个汇聚的链接点，缩小汇聚故障域、高速的报文交换（一般为三层连接）汇聚层:提供多个接入模块的汇聚、为主机提供缺省网关、提供服务模块(4-7服务,防火墙、入侵检测、SSL加速、负载均衡等，可以用外挂设备或者使用插卡的方式)接入层:也称做“服务器层”，为服务器群(在此部署各种应用服务器，常采用基于WEB的三层结构部署，WEB层、应用层/中间件层、数据库层)提供2层或者3层的连接存储网络：存储虚拟化管理设备，存储阵列,企业核心网,核心层,汇聚层,接入层,IV5000,SAN,高可扩展性-分层设计核心层:各个汇聚的链接点，缩小汇聚故障域,数据中心-接入层部署-接入方式,三层设计：接入三层交换机，服务器网关在接入交换机接入层、汇聚层之间三层连接VLAN不能跨接入交换机优点：广播域小收敛时间小三层路径多，可以做负载均衡(VRRP)缺点：网卡绑定、服务器集群不可以跨接入交换机IP占用过多服务模块，部署服务模块路径的问题有些服务模块必须要有二层链接（防火墙等）,VLAN 20,企业核心网,汇聚层,核心层,VLAN 10,三层接口,数据中心-接入层部署-接入方式三层设计：VLAN 20企业核,数据中心-核心和汇聚层部署,汇聚引擎故障引起收敛STPVRRP负载均衡防火墙部署汇聚交换机，避免收敛时间VRRP汇聚层会话信息热备线速转发ECMP、动态路由快速收敛,企业核心网,核心层,汇聚层,接入层,数据中心-核心和汇聚层部署汇聚引擎故障引起收敛企业核心网核心,B,A,B,A,C,计算虚拟化：根据应用的相似、相关性，对服务器整合，通过虚拟化软件，充分利用服务器物理资源网络虚拟化：按照应用提供的服务要求，针对其访问特点，虚拟出专用通道实现访问隔离，并且使用虚拟的应用智能(如安全），保障服务质量存储虚拟化：存储资源异构整合，对应用系统提供资源化的存储,存储虚拟化,计算虚拟化,网络虚拟化,SAN,LAN,端到端的虚拟化是实现数据中心资源化的前提,安全虚拟化,数据中心-端到端虚拟化,BABAC计算虚拟化：根据应用的相似、相关性，对服务器整合，,数据中心设计,数据中心分区分层设计具有良好的可扩展性架构汇聚层（接入）可扩展防火墙插卡，可部署控制流和访问流的不同的防火墙策略可扩展IPS插卡防止服务器攻击，数据中心接入：多种高性能交换机工作站汇聚接入交换机支持虚拟化堆叠，便于后续扩展,数据中心设计数据中心分区分层设计具有良好的可扩展性架构接入区,目录,钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计IRF2.0虚拟化可靠性保障安全设计融合通信管理设计,目录钢铁行业园区网详细设计,如何在同一张网上即能够实现业务之间的隔离又可以实现对共享数据的访问？,业务逻辑隔离需求,数字化园区-业务分类和隔离需求,如何在同一张网上即能够实现业务之间的隔离又可以实现对共享数据,物理隔离 or VLAN？,传统实现方式：,物理隔离带来的问题：维护多套独立系统当不同业务访问出现在同一物理区域内时，投资增加。当访问者物理位置发生变化时，网络改造量巨大,VLAN+ACL方式带来的问题：配置复杂（VLAN基于二层隔离，三层隔离需要通过ACL实现）用户移动带来的不变性当访问者物理位置发生变化时，配置更改量巨大,VLAN+ACL,数字化园区-传统隔离方案,物理隔离 or VLAN？财务 networksOA net,业务的影响需要依靠CPU的放攻击能力需要满足园区统一管理的架构，管理部分不隔离,灵活性,标准化,安全隔离,绿色节能,扩展性,业务融合,统一管理,重点,要求,业务隔离的安全保障，业务不能相互影响,多业务承载，生产网、信息网、视频网多网合一,隔离考虑,业务融合的业务访问,统一承载的要求,业务的影响需要依靠CPU的放攻击能力灵活性标准化安全隔离绿色,统一承载-虚拟化架构MPLS,RIB1FIB1,转发平面,控制引擎,管理平面,核心CPU,独立的检测引擎，不受主控CPU负荷影响，提供高可靠和高性能的FFDR CPU系统，专门用于BFD、OAM等快速故障检测，并与控制平面的协议实行联动，支持快速保护切换和快速收敛，可以实现30ms的故障检测，保障业务不中断。,CPU,RIB2FIB2,RIB3FIB3,RIBnFIBn,.,二层/三层协议（VLAN管理、IGMP、OSPF、BGP、VRRP、BFD),网络管理SMNP等,EMS CPU系统，支持电源智能管理，支持单板顺序上电可以控制单板下电，降低系统功耗。,控制平面,检测引擎,控制引擎,维护引擎,统一承载-虚拟化架构MPLSRIB1转发平面控制引擎管理平面,统一承载-MPLS VPN业务隔离,集团,各分公司,服务器群,数据中心,SSL VPN,DNS/邮件/WEB ,视讯系统,MCU,软终端,IP语音系统,Ephone,话务台,系列TG,PBX,IP监控,管理区,接入方式：二层透传，EAD认证，杜绝非法访问VPN接入：端口无关，动态VPN下发，VPN内部IP地址动态获取业务隔离：统一出口，灵活的业务隔离和访问控制,统一承载-MPLS VPN业务隔离 集团各分公司服,统一承载安全隔离-安全事件来源,主机服务器攻击,用户主机所感知的安全威胁主要是针对特定操作系统（主要是Windows系统）的攻击，诸如病毒、木马。,网络自身安全,网络设备主要面对的是基于TCP/IP协议的攻击,所谓网络安全威胁，包括传输数据安全威胁和网络设备安全威胁。传输数据安全威胁指通过特定技术，对在网络、服务器和桌面上存储和传输的数据未经授权进行访问，甚至破坏或者修改这些数据；网络设备安全威胁指针对网络设备进行攻击，影响网络设备正常运行。,1.导致服务器或者PC机的操作系统故障2.导致网络拥塞，从而影响其他业务的转发,1.导致网络设备CPU占用率过高，从而影响其他关键业务的处理2.获取管理权限，更改网络配置，导致网络中断,统一承载安全隔离-安全事件来源主机服务器攻击用户主机所感知的,分层的CPU攻击防护异常报文过滤非法报文，攻击报文线速的ACL入方向和出方向ACL定制的协议报文上CPU队列每种协议报文均可分配到一个独立队列，协议间相互不影响，可按PPS限制报文数控制面策略可以根据报文来自的单板端口号，报文中的TCP/UDP端口号对上CPU的协议报文过滤和限速,统一承载安全隔离-CPU防护,分层的CPU攻击防护异常报文过滤和抑制海量线速ACLCPU队,统一承载安全隔离-桌面安全防范,你是谁？,你安全吗？,你可以做什么？,你在做什么？,统一承载安全隔离-桌面安全防范不合格隔离区安全认证合法用户非,统一承载安全隔离-桌面安全防范,统一承载安全隔离-桌面安全防范,802.1X server/CE,环保,财务,办公,MCE/PE,Id:abchuanbaoPassword：abc,VPN:1,Id:abcjiliangPassword：abc,VPN:2,计量,VPN:3,VPN:4,VLAN:1,VLAN:2,VLAN:3,VLAN:4,1.接入端的端口非常灵活，会根据不同的用户，分配到不同的VPN/VLAN内2.只需要在服务端设置分配策略，所有VPN和VLAN的分配都是动态的,统一承载安全隔离-桌面安全防范部署,802.1X server/CE环保财务办公MCE/PEId,厂区1,厂区2,厂区n,生产网X,生产网,生产网,OA、ERP、工业监控等,1.通过防火墙模块，保障单一业务内的安全防护2.单个业务内的安全保障，可以保证在核心设备对其他业务不造成大规模影响,统一承载安全隔离-边界安全防范部署,厂区1厂区2厂区n生产网X生产网生产网OA、ERP、工业监,目录,钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计要求IRF2.0虚拟化可靠性保障安全设计融合通信管理设计,目录钢铁行业园区网详细设计,无线需求,公共会客区,移动办公,办公室,会议室,休息区,室外办公,楼宇互联,仓库,物流,制造车间,办公需求,生产需求,网络互联,无线需求公共会客区移动办公办公室会议室休息区室外办公楼宇互联,传统无线的布放选择- FIT AP,802.11a/b/g,移动 IP, IPSec, 认证,802.1x, TKIP, Qos, 切换, 802.11h,天线,加密,园区网,AP统一管理、用户接入权限控制成为构建园区无线网络的首要问题,自动查找AC（无线控制器），无需配置即插即用；自动识别周边AP，射频、信道自动配置；可以进行负载分担、射频管理等智能业务；无线控制器对所有FIT AP和在线用户进行统计和管理。自动升级，无需手工干预；支持无线EAD，访问权限灵活分配；,无线控制器,安全策略、RF管理,位置检测、自愈,非法无线入侵,传统无线的布放选择- FIT AP802.11a/b/g移动,普通六类线,48V直流,PoE远程供电,房顶、走廊、外墙、天花板等无法使用220V供电的场合敷设简单：无需考虑电源环境，一根网线搞定节省投资：强电布线、插座、变压器统统省掉减少隐患：减少火灾、电磁干扰等隐患,802.3af,普通六类线48V直流PoE远程供电房顶、走廊、外墙、天花板等,汇聚交换机,生产,财务,办公,MCE/PE,Id:abcshengchanPassword：abc,VLAN:1,VPN:1,VPN:1,Id:abccaiwuPassword：abc,VLAN:2,VPN:2,无线控制器/接入交换机,给不同的用户分配不同的VLAN,灵活安全的无线接入,汇聚交换机生产财务办公MCE/PEId:abcshengc,接入层交换机,核心/汇聚层交换机（无线管理模块）,iMC,无线管理插件,PoE交换机,PoE交换机,办公区,办公区,办公区,办公区无线,办公区无线,PoE供电简化无线网部署PoE端口管理=故障AP重启管理基于现有核心交换机扩容无线管理模块，降低改造综合成本有线网络、无线网络统一认证计费管理,无线有线一体化解决方案,接入层交换机核心/汇聚层交换机（无线管理模块）iMC无线控制,目录,钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计要求IRF2.0虚拟化可靠性保障安全设计融合通信管理设计,目录钢铁行业园区网详细设计,IRF2.0-端到端的虚拟化部署,把主设备和冗余设备作为一个设备管理维护。当然不仅仅只能对两台设备，最多可到1:9（即9台设备看作一台设备）1.主设备和冗余设备公用一个IP地址、路由表、转发表等，在网络节点中只是一个设备,管理简便2.冗余链路配置跨设备级端口聚合，汇聚端口组内自动负载均衡，无链路空载，大幅增加链路带宽 3.无需配置VRRP和MSTP，上行链路的选择，由同一聚合端口组下自动完成选择，无需协议干预 4.收敛时间到毫秒级别，无MSTP域，不存在环路故障的检测 5.在设备扩展时，只需要配置IRF互联端口即可完成扩展通过IRF2.0技术，使网络拥有单设备单链路的管理维护简单，但依然保留双归属的可靠性，并且在收敛时间和带宽上均有增强,IRF2.0-端到端的虚拟化部署把主设备和冗余设备作为一个设,IRF2.0-端到端的虚拟化部署效果,1.需要管理的网络设备最少降低了一半2.网络设备的IP地址减少到原有的约1/83.无需VRRP协议来做负载分担，链路层直接负载分担4.无需通过MSTP来做环路检测，不再陷入出现故障环路时的束手无策5.OSPF邻居、路由数减少一半6.增加设备时，不需新规划IP网段，无需对该设备做复杂配置（启动MSTP、OSPF等）,IRF2.0-端到端的虚拟化部署效果1.需要管理,目录,钢铁行业园区网详细设计网络设计网络架构设计数据中心设计多业务承载设计无线设计要求IRF2.0虚拟化可靠性保障安全设计融合通信管理设计,目录钢铁行业园区网详细设计,软件可靠性,系统可靠性,BFD for VRRP/RIP/ISIS/OSPF/BGP/ static routeIP/TE FRROAMLLDPRRPPVRRP/VRRPE,NSF+GR配置恢复热补丁在线升级,可靠性保障-可靠性保障技术,BFD for VRRP/RIP/ISIS/OSPF/BGP/ static route,软件可靠性系统可靠性硬件可靠性电源冗余备份BFD for V,可靠性保障-BFD加快网络收敛速度,BFD for VRRPS12500系列通过专用OAM CP,目录,保障业务连续性的设计要求钢铁行业园区网详细设计网络设计安全设计管理设计融合通信产品介绍服务及培训典型案例,目录保障业务连续性的设计要求,安全设计依据三级等保,安全设计依据三级等保,等保要求对应方案,技术要求建议采用的技术措施实现目标安全边界划分硬件防火墙，A,安全管理用户管理(iMC),端到端安全模型,L2层到 L7层安全模型,端到端的安全模型,安全入侵防火墙“拒绝反病毒InternetInternetV,安全部署设计,远程接入安全设计,通过VPN，接入企业内部访问,边界隔离安全设计,VPN和内网之间安全,Internet访问,桌面安全设计,桌面安全管理EAD,业务隔离,MPLS VPN虚拟园区网,安全联动,安全管理、FW、IPS、EAD联动,安全部署设计远程接入安全设计通过VPN，接入企业内部访问边界,SOHO,酒店,无线接入,办事机构采用IPSec，出差人员采用SSL VPN安全性：传输加密身份认证、权限管理、细粒度控制终端安全检查易使用：免客户端、免维护 多接入方式：任意接入方式 多认证方式：本地认证、Radius认证LDAP认证、AD认证证书认证双因素认证,SSL/IPSec网关,远程接入安全设计,管理网核心,SOHO酒店无线接入办事机构采用IPSec，出差人员采用SS,Internet,防火墙的部署提供2-4层包过滤、状态检测等技术实现边界隔离，部署在Internet出口，并连接DMZ区域IPS 的部署提供4-7层安全防护Intenret和广域网采用双链路ACG的部署，则对网络内用户的行为控制，对P2P等应用限制，对带宽精细控制，防止带宽滥用,具有应用控制及行为监管功能，可有效控制迅雷、游戏、炒股等各种行为，满足公安部82号令要求可扩展支持SSL VPN和IPSec VPN，满足VPN业务的开展生产网和信息网之间的FW隔离自动化网和生产网之间的前置机符合国家安全等保要求,下属单位,集团,WEB,POP,防病毒,DMZ,专网,生产,管理,边界隔离安全设计,Internet防火墙的部署提供2-4层包过滤、状态检测等技,你是谁？,你安全吗？,你可以做什么？,你在做什么？,内网接入安全-终端准入EAD,不合格隔离区安全认证合法用户非法用户身份认证接入请求你是谁？,终端准入实现的功能,终端准入实现的功能,DDOS检测防御,SPAN/RSPAN/ERSPAN,NetStream,高性能服务器,低档服务器应用,传输加密应用,防火墙,IPS,VPN,LB,LB+SSL,VLAN ACLIngress ACLEgress ACLuRPF,Sec Center,转发数据流,镜像监控流,外部网络,设备加固线路加密传输加密防火墙入侵检测与防御网络实时监控拒绝服务攻击网络渗透性防御VPN技术网络授权管理VLAN隔离双向NATProxy,数据中心的安全设计,DDOSSPAN/RSPAN/ERSPANNetStream,厂区1,厂区2,厂区n,生产网,生产网,生产网,OA、ERP、工业监控等,生产网和信息网安全防护,厂区1厂区2厂区n生产网生产网生产网OA、ERP、工业监控,IPS,防火墙,汇聚交换机,核心交换机,服务器区,SecCenter,iMC,安全控制中心,联动FW/IDS/IPS/SW等安全孤岛，形成安全体系,1,2,3,4,安全联动设计,IPS防火墙汇聚交换机核心交换机服务器区SecCenteri,汇聚部署防火墙插卡隔离多业务的接入核心部署流量分析和无线插卡随着网络和安全的融合，安全在网络中的部署采用模块化的方式管理简单网络故障点减少可充分扩展安全设备的端口支持虚拟防火墙无线接入安全统一部署无线有线一体化管理,核心,数据中心,NSM,LB,FW,IPS,Wirless,安全和网络融合,汇聚部署防火墙插卡隔离多业务的接入核心数据中心NSMLBFW,安全详细设计,集团,各分公司,SSL VPN,DNS/邮件/WEB ,网络管理/安全管理/安全联动,可扩展支持SSL VPN和IPSec VPN，满足VPN业务的开展,防火墙的部署提供2-4层包过滤、状态检测等技术实现边界隔离,ACG对网络内用户的行为控制，对P2P等应用限制，对带宽精细控制，防止带宽滥用, ，可有效控制迅雷、游戏、炒股等各种行为,IPS 的部署提供4-7层安全防,DDoS攻击，病毒防范,自动化网和生产网之间的前置机,管理网和生产网之间部署防火墙/专网互联部分部署防火墙,MPLS VPN部署，安全隔离业务，避免业务之间的相互影响,安全详细设计 集团各分公司SSL VPNDNS/邮件,目录,保障业务连续性的设计要求