- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
根据国家信息安全等级保护要求及国家电网公司对通信内网和互联网物理隔离的要求。本次在园区建设到桌面的数据网,由通信内网和外网两个完全隔离的网络组成,内网业务实现电力系统内部办公,智能电网业务子项的实现,覆盖园区办公、生产、实验大楼的每个办公室;外网则覆盖园区办公、生产、实验大楼和220kV变电站、电动汽车充换电站的办公区。
内网系统采用综合布线方式接入到桌面,外网系统采用多网融合、综合布线方式接入到桌面。
本方案内网覆盖园区办公、生产、实验大楼的每个办公室,实现各个单位的内网用户接入的三张内网系统。
网络分为园区网接入、广域网互联和网络安全等三个部分。园区网指的是园区的内部网络,覆盖所有的用户接入点;广域网互联指的是园区内网和信息骨干网的互联;网络安全主要指广域网和园区网之间的边界安全防范。
网络采用分层结构设计:分为核心层、汇聚层、接入层。用户接入网,全部为千兆到桌面,不仅满足目前的业务需求,而且能够满足将来的虚拟终端、视频终端应用等新业务需求。内网的核心部分采用万兆互联。
根据网络需求和国网网络建设要求,研究院建设PE和CE路由器,为保障网络可靠性,并要求采用双PE、双CE设计,即实现和骨干网“口”字形互联。在CE路由器和交换机之间部署防火墙和IPS保障网络安全,每张网络都分别配置防火墙和IPS。
信息外网要求覆盖覆盖园区办公、生产、实验大楼和220kV变电站、电动汽车充换电站的办公区所有用户接入点,实现用户访问Internet;外网分为有线接入和无线接入。
外网业务系统的流量大致分为以下几种模型,外网用户到Internet网流量、研究院用户到数据中心流量、外网用户到外网用户流量、研究院数据中心到Internet网的流量。
网络流量模型
根据用户分布情况和网络流量特征,网络采用分层结构设计;分为核心层、汇聚层、接入层。将平面网络分为易于管理的小型模块的优点是,本地数据流将留在本地,只有前往其他网络的数据流才进入更高层。
研究院外网,通过传输设备接入到国网总部节点现有的Internet网络,实现Internet的访问。考虑到外网安全需求,包括网络层防护和应用层防护,在出口路由器和核心交换机之间部署防火墙、上网行为管理、访问控制设备,保障网络安全。
用户接入网络设计概要组网图
1.有线无线一体化
一体化确保每个用户组能够获得正确的服务、集中的管理和策略控制。传统的无线部署大多和有线网络在产品形态、安全策略、后台管理方面存在割裂。网络服务的一体化能够确保在硬件产品、安全策略下发、网元管理和业务管理等方面,采用无线接入的用户和有线用户具备相似的用户体验。
2.网络安全一体化
安全是本次网络建设中的重点,需要针对各个系统的安全需求和特点进行部署。网络中的安全威胁涉及到ISO网络架构的各个层面,需针对各个层面均有高性能的防护, H3C万兆级防火墙和IPS支持区域间安全互访的高性能边界防护,实现从第二层到第七层进行整体防护。网络内网接入到互联网出口审计是加强全网管理的重要手段,采用H3C的EAD和ACG平台可以进行全面监控和审计。
3.虚拟化智能园区网
通过对网络的横向整合、纵向隔离和防火墙等网络服务的虚拟化部署,将网络基础设施、网络服务虚拟成为可动态调配的资源。
横向整合的虚拟化技术,是指在园区网内部署IRF2技术,达到简化网络、灵活扩展的目的,并提供更高的可靠性;纵向隔离是指支持网络虚拟化分区、实现用户组业务的逻辑隔离,VRF逐跳和MPLS L3 VPN是应用较多的技术;网络服务的虚拟化是指以虚拟化的方式部署FW、IPS等网络服务模块,即通过网络服务模块的IRF2技术进行“多虚一”,通过虚拟防火墙等技术进行“一虚多”,提高安全服务的调度能力,为业务的灵活部署提供有效的支撑。
4.全网的统一管理
本项目中采用了H3C IMC智能管理中心软件统一管理。H3C iMC以业务应用流程模型为核心,采用面向服务(SOA)的设计思想,按需装配的组件化结构,提供了业务、资源和用户的融合管理解决方案,实现业务的端到端管理。通过H3C iMC能够灵活组织功能组件,可以形成直接面向客户需求的业务流解决方案,从根本上解决管理的复杂性问题。
H3C iMC是智能园区的统一智能管理中枢,在一个管理平台上,可以集成基础网络、安全控制、性能优化、运营管理等业务管理与维护,并通过各个管理组件的融合联动,实现网络设备、安全设备、服务器接入终端等的一体化接入、一体化安全和一体化管理。
解决方案
售前咨询
售后咨询
人工在线咨询
