新整体网络构架-草稿资料.docxVIP

全厂总体网络逻辑构架 方案一：物理隔离的A/B网络 ·生产运行生产运行办公网 全厂生产运行生产运行办公网承载办公、全厂无线网络、统一通信、视频会议、多媒体发布、MES制造执行系统、ERP系统等。 千兆到桌面，主干网带宽为10GB，可扩展到40GB，有线和无线接入方式覆盖整个全厂。 租用专线接入互联网，配备统一威胁网关和防火墙等实现缓冲区域的安全防护。能够实现异地办公需求，出差和外联员工可以通过SSL VPN和IPSEC VPN方式接入。 全厂无线网覆盖科研管理区、电站元件生产区、XX元件生产区、动力及仓储区、发展区和公共区域， 和有线网络实现统一的安全接入策略来接入全厂生产运行生产运行办公网。 全厂生产运行生产运行办公网按照层次化、模块化、虚拟化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署。 在核心层和汇聚层，根据不同的安全要求，通过模块化（业务单板或独立设备）方式提供WLAN AC控制器、防火墙、负载均衡、上网行为管理、DDoS攻击防御、安全接入网关、入侵检测防御、Web应用防护、防病毒等增值业务功能，满足企业日益增长的业务需求。 全厂交换机分为接入层交换机、汇聚层交换机和核心层交换机。不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用TRUNK链路保证链路级可靠性。 为了增加全厂网可靠性、降低全厂网组网复杂度，全厂网未来向虚拟化、扁平化方向发展，同层次交换机可以多台虚拟成一台，接入交换机通过堆叠（iStack）特性，将多台接入交换机虚拟成一台接入交换机，汇聚/核心交换机通过CSS（Cluster Switch System）将两台交换机虚拟成一台交换机。 全厂网汇聚层/核心层交换机虚拟化后，可以减少网络节点、简化网络拓扑，二层网络不需要部署RSTP/MSTP/RRPP/Smart Link等复杂的环网协议和可靠性保护协议，实现无二层环路网络构建，提高二层网络可靠性和链路故障收敛性能，三层网络虚拟化的多台设备间路由表统一计算、路由收敛速度快，通过交换机虚拟化设计，交换机互联的两条链路就可以作为Trunk链路???行管理，对于虚拟交换机而言，实现跨设备的链路聚合（Trunk），大大增强链路可靠性，另外可实现链路的流量负载均衡，构建无二层环路网络，网络可靠性（链路故障自收敛性能）和带宽利用率都得到提高。 ·智能设备网 全厂智能设备网承载数字生产监控、能源计费、SCADA、辐射监测、网络广播系统等系统运行，大量影音图像数据的交换运转，与全厂生产运行生产运行办公网物理隔离，通过防火墙，在核心交换层与生产运行生产运行办公网互联。 其它设计和参数参考生产运行生产运行办公网。 ·数据中心 数据中心根据业务进行分区域设计，分DMZ区、内部业务区、核心业务区并应用部署配套的网络和数据安全策略。数据中心将支持成都基地全厂综合应用服务平台，含对内和对外的综合服务，平滑支持科研生产的高性能计算应用，满足基地内基础服务和日常管理运维服务。数据中心网络需要支持网络虚拟化，数据和业务系统需要支持计算虚拟化、存储虚拟化、桌面虚拟化等来提升数据中心的可靠性以及IT软硬件整体的利用效率。 ·网络安全 生产运行生产运行办公网网络的安全建设参考等保3级的网络安全要求进行设计。建设互联网缓冲安全区，数据中心DMZ区、内部业务区和核心业务区， 不同区域之间的安全防护策略和部署。 ·综合运维管理 建设集合IT相关软件和硬件的综合管理平台，可以实现网络硬件、无线、安全硬件、服务器、存储、操作系统和虚拟机等综合的运维管理平台。使用模块化平台，满足分阶段部署的要求。  方案二：一个整合的物理网络 与方案一中不同点： 1、生产运行生产运行办公网与智能设备网合并。 2、通过核心交换机的VS虚拟化进行业务分区，实现部分物理隔离。  互联网接入区设计 设计内容 互联网区实现同Internet的互联，包括内部用户访问互联网资源以及同异地用户沟通交流，出差用户访问全厂办公和数据中心业务网络。全厂科研办公通过互联网运营商接入互联网，按需租用出口带宽，统一接入在信息中心数据机房内。 按用户业务、流量隔离需求，进行接入分区划分。分为内网接入区、互联网接入区、外联网接入区、数据中心互联接入区四部分，可涵盖大部分接入场景。易于维护管理、易于业务安全隔离、易于未来扩展 设计双运营商出口链路，实现出口链路备份和负载分担。部署使用万兆高性能防火墙、IPS入侵防御检测、防病毒和VPN功能综合设备部署边界区域。  数据中心-整体分区逻辑架构 设计原则 ·模块化 ?业务安全隔离 ?支持分区/数据中心间TRILL以及VPLS大二层组网 ·层次化 ?网络具备横向弹性，易扩展 ?支持低时延、无