文档库 最新最全的文档下载
当前位置:文档库 › 广域网建设方案

广域网建设方案

广域网建设方案
广域网建设方案

中煤第一建设公司信息管理中心

广域网建设方案

2009年3月

根据公司综合项目管理信息系统建设的需要和集团公司《关于完善集团公司广域网的通知》(中煤信息〔2009〕138号)要求,决定实施公司广域网建设方案。

一、承建商

由集团公司广域网承建商中国电信来进行承建。

二、建设内容

需要建设公司机关与所属各单位连接的点对点数字专线,共计10条。与所属各施工单位建立的点对点数字专线带宽为4M,与所属两厂、职工医院建立的点对点数字专线带宽为2M。

专线接入单位的地理位置分布如下表:

该广域网将承载以下主要业务:

1、办公自动化系统及电子公文传输系统

运行公司办公自动化系统和电子公文传输系统,提供统一的公文交换平台。

2、综合项目管理系统

运行公司综合项目管理系统,增强公司对项目的管控能力。

3、数据中心

集中存储公司的各种业务数据,提供业务数据服务支撑。

4、视频会议系统

适时建设视频会议系统,要求视频会议系统具有实时性、连续性,数据传输要有QoS(传输质量)保证,至少要支持CIF画面质量以及连续的声音,每条专线带宽耗用在1.5M以上。

5、其他管理业务系统

运行其他管理业务系统,提供统一的业务数据交换及系统资源共享平台,避免重复建设。

三、线路要求:

1、线路通路全年可用率平均达到99.8%

2、线路端对端全年可用率达到99.7%

3、全年在四个小时内恢复线路的百分比为95%

4、全年总恢复时间不超过48小时

5、线路比特率误码率等于或小于10E-7

6、具备SDH传输自愈环网。

四、组网集成要求:

1、所属各单位分节点广域专网接入点都采用光纤接

入。

2、在各条专线节点上,采用光端机接入,提供以太网接口。

3、采用星形网络结构,在中心节点采用155M光端机,提供以太网接口。

4、公司中心节点采用双物理光缆路由接入,并保证在主用链路发生故障时能够切换到备用链路。

5、带宽可以平滑升级;线路带宽升级时,用户不需增加新的接口设备。

五、环境要求

公司机关建有中心机房,线路及设备进中心机房。所属各单位须提供不小于15平米的房间作为计算机机房,安放计算机设备及网络设备。

各单位须按公司分配的IP地址范围重新设置本单位网络设备的IP地址,并报公司信息管理中心。

公司IP地址分配表

六、工期要求

整个建设实施须在天内完成。

七、费用预算

2M带宽:

4M带宽:

企业级广域网从建到管全攻略

企业级广域网从建到管全攻略 对于在不同地域拥有分支机构的企业,广域网的建立可以实现集权和减少管理层次,利于发展跨地区业务。特别是当ERP、电子商务系统、视频会议等应用逐渐深入时,企业的广域网建设需求更加迫切,但广域网的搭建是一项涉及很多环节的复杂项目,从建设到管理,无不需要精细的设计。本期专题通过对中国石油广域网改造的案例分析,为读者带来真实的体验。 出于业务发展的需要,越来越多的企业开始在不同地域设立新的分支机构; 与此同时,许多企业还需要加强和上下游供应商及合作伙伴的沟通与协作,企业总部与分支机构、合作伙伴之间的通信变得越来越频繁。因此,尽快建立高效、安全的广域网(Wide Area Network , 简称WAN) 以满足业务的不断发展,成了众多企业的迫切愿望。广域网是一种跨地区的数据通信网络,通常由两个或多个局域网组成。随着ERP、电子商务系统、视频会议等应用的深入,企业广域网建设的需求越来越迫切,而通过对银行、证券、石油等大型企业组网案例的学习,能给准备建设或升级广域网的企业带来很高的借鉴意义。 在世界50 家大石油公司中,中国石油排名第7。截至 2006 年,中国石油集团油气投资业务扩展到全球26 个国家,每

天提供超过219 万桶原油和28 亿立方英尺天然气,加工原油180 万桶。在创建国际大型企业和国际激烈市场竞争的压力下,中国石油迎来了信息技术飞速发展和深入企业应用的时代。 在2000 年前后,中国石油广域网络进行过一次提速与扩充,带宽提高到当时电信部门能提供的最高值: 2Mbps 。当时中国石油下属企业还不是很多,采用最简单又便于管理的星形网结构,较好地满足了当时业务的需要。 随着中国石油近几年业务迅速发展,在中国石油企业网上需要运行的信息应用愈来愈多,如:ERP、信息财务系统、电子商务系统、邮件系统,办公自动化系统、炼油销售系统、视频会议系统、合同管理系统和企业信息门户系统等, 对信息应用依托的网络传输平台的稳定、安全、可靠的要求也愈来愈强烈。 中国石油于2004 年启动了中国石油广域网改造项目,对广域网整体架构和因特网接入等基础设施进行了改造和完善。在集团公司范围内,从地理位置分布、用户数量、信息流向和技术水平等因素综合考虑,建设完善了一个既满足中国石油专业应用系统、管理信息系统、通用信息系统等业务应用需求,还可满足视频会议系统等专业应用需求的、具有高速快捷、安全可靠、7X 24小时连续服务的网络平台。 中国石油广域网按照核心层、区域中心和地区公司接入网三个层次建设,接入约170 多个地区公司和企事业单位局域网,构成了中国石油广域网架构。原则上,每个地区接入单位采用两条链

外网平台建设方案

XXX XXX信息化办公室2011年5月

目录 第一章概述 (4) 1.1. 建设背景 (4) 1.2.项目概述 (4) 1.3.我区电子政务外网平台设计 (5) 1.4.项目依据 (5) 1.5.建设目标及任务: (6) 第二章网络设计方案 (9) 2.1.网络平台系统功能 (9) 2.2.网络平台总体布局 (9) 2.3.网络设计原则 (10) 2.4.组网方案及说明 (11) 2.4.1.方案说明: (11) 2.4.2.方案线路及费用说明: (13) 第三章安全设计 (13) 3.1.安全需求分析: (13) 3.2. 网络安全解决方案 (14) 第四章数据中心设计 (17) 4.1.数据中心建设要求 (17) 4.2.数据中心设计 (19) 第五章网络中心机房设计 (21) 5.1.网络中心机房设计要求 (21) 5.2.网络中心机房设计 (21) 第六章应用层设计 (22) 6.1.门户网站 (22) 6.1.1网站设计要求 (22)

6.1.1. 1应用设计要求 (22) 6.6.1.2功能设计要求 (23) 6.1.2网站设计原则: (23) 6.1.3网站栏目要求 (24) 6.2.外网公众受理(在线大厅) (27) 6.3.网上行政审批 (28) 6.4.电子监察系统 (33) 6.4.1实时监察 (33) 6.4.2投诉处理: (34) 6.4.3综合查询: (35) 6.4.4统计分析 (35) 6.4.5系统设置: (36) 6.4.6预警纠错: (36) 6.4.7绩效考核 (36) 6.4.8服务评议 (36) 6.4.9预警反馈 (36) 6.5.行政许可在线办理 (37) 6.6.行政处罚系统的业务功能 (37)

外网安全解决方案

外网安全解决方案

外网安全解决方案 XXXXX有限公司 -7-4 目录

一. 前言 ............................................................................ 错误!未定义书签。 二. 网络现状 .................................................................... 错误!未定义书签。 三. 需求分析 .................................................................... 错误!未定义书签。 3.1 威胁分析.............................................................. 错误!未定义书签。 3.2 外部威胁.............................................................. 错误!未定义书签。 3.2.1 .内部威胁 ................................................... 错误!未定义书签。 3.3 风险分析.............................................................. 错误!未定义书签。 3.3.2 攻击快速传播引发的安全风险与IDS的不足错误!未定义书 签。 3.3.3 日志存储存在风险..................................... 错误!未定义书签。 3.3.4 需求分析 .................................................... 错误!未定义书签。 四. 解决方案 .................................................................... 错误!未定义书签。 4.1 入侵保护系统和外置数据中心部署 ................... 错误!未定义书签。 4.1.1 部署图 ........................................................ 错误!未定义书签。 4.1.2 部署说明 .................................................... 错误!未定义书签。 4.2 功能与效益 .......................................................... 错误!未定义书签。

广域网安全建设的思路和部署

广域网安全建设的思路和部署 文/孙松儿广域网安全建设的特点分析 在企业的广域网建设过程中,分布在不同位置的远程企业分支作为广域网络的重要组成部分,是客户完成与企业大多数业务往来的主要场所。从政府、金融银行、大企业、零售业等行业来看,其分支机构都在想方设法提升分支机构的办事效率,增强分支机构的多业务支持能力,以便在降低成本的同时满足客户对更多元化服务的需要。而安全的广域网分支建设,又是各项业务能否正常开展的关键环节,和企业园区网络的建设不同,企业广域网远程分支的安全建设有其自身的特点。 (i) 认证鉴权方面的需求多样性 和企业总部局域网园区接入环境相比,各广域分支在认证鉴权方面有其特有的要求。在局域网园区接入环境下,员工的办公地点相对固定,局域网为其网络接入方式,这意味着可以实现统一的认证授权管理方式。而广域网分支办事处因为工作性质的关系,员工可能缺乏固定的网络接入点,部分员工还存在远程办公的需求。因此在认证方式上必然存在多种形式,除了基础的802.1X或portal认证方式之外,还可能存在L2TP+IPSec 以及SSL VPN等远程接入方式,或者是需要考虑如何在MPLS的环境下实现接入认证等。 各类不确定的认证方式必然带来管理上的复杂性,使得企业在实施这些认证方式时,很难建设完整的覆盖各种人员的认证鉴权系统。由于缺乏身份认证,出于对资源冒用的担心,企业会实施严格的限制策略进行总部资源访问控制,或者只是有限开放几种应用给广域网分支,从而无法实现多业务分支的构想。 (ii) 接入客户端的安全状况不可控性 广域网分支办事处员工本身因为工作性质的关系,可以自由开放的使用诸如USB和移动硬盘等形式的存储介质,而这也将成为网络安全风险的一个关键来源。同时,分支机构终端通过广域网线路进行统一的补丁分发和修复,大数量的并发操作,会给广域网带宽带来重大负荷。在这种情况下,如何实现对接入客户端的安全可控?如何在广域网下进行统一的终端接入控制管理?如何实现集中式的统一管理? 在各接入客户端的随意个性化使用的同时,如何保证客户端本身的安全状态? (iii) 多业务分支建设和广域网链路服务质量之间的矛盾 在广域网分支的业务扩充过程中,更多的业务被引入到分支机构,这意味着可能需要消耗更多的广域网链路带宽。对于诸如语音视频会议等对时延敏感的业务,则需要提供更高的QoS服务质量来进行保证。这将导致:一方面,企业需要不断的扩容广域网链路的带宽,以使分支承载更多的业务部署;另一方面,扩容必然导致网络建设维护成本的提高,且不能保证完全达到预期的效果。往往是带宽上去了,但有时候部分关键业务仍然没有得到足够的带宽,反而是其他一些优先级相对较低的业务侵占了本来就

广域网应用加速整体解决方案

Bluecoat广域网应用加速整体解决方案 支票影像系统应用加速 技术方案建议书

目录 前言 (3) 一、需求分析 (4) 二、方案目标 (5) 三、技术方案建议 (6) 期加速效果 (6) 3.1 方案建议一 (7) 3.2 方案建议二 (9) 3.3 方案三分期部署 (11) 四、方案配置清单 (12) 五、Blue Coat广域网加速技术 (13) BlueCoat网络安全设计 (13) Bluecoat 抗DDOS攻击和Port Scanning (13) SGOS 操作系统 (13) 全局网络管理 (14) 问题的根源 (16) 协议低效 (16) 内容重复传输 (16) 无关流量占用带宽 (17) MACH5加速技术 (17) 带宽管理 (17) 协议优化 (18) 字节缓存 (18) 对象缓存 (18) 压缩18 Blue Coat MACH5加速优势 (19) 五种技术协同工作 (19) 安全控制功能 (20) 有机的统一整体 (20) 基于业务流程的带宽管理和QoS (21) 2 / 21第2 页,共21页

前言 本文是神州数码对深圳农村商业银行支票影像系统网络优化和加速解决方案建议。我们期待着和深圳农村商业银行进行进一步的深入交流。 3 / 21第3 页,共21页

一、需求分析 ××××目前准备使用支票影像系统,该系统主要提供数据类型是数据中心和营业网点之间支票影像文件JPG图片交付数据及一些其它数据业务。 采用支票影像系统主要挑战有三方面,一方面系统运行SRIC应用业务网络中主要传输票据影像图片信息,之前使用的主要是数据业务,对现有的数据表单业务造成业务延迟、中断。另一方面支票影像系统系统也受到网络带宽的限制,业务不能正常办理。 为了解决上述的一些实际问题。建议一、SRIC在对广域网数据业务通讯进行优化业务网络流量,主要是对网络流量进行加速来更佳有效的利用网络资源。二、增加网络带宽来解决网络延迟拥塞使用问题,只是通过这种方式来解决会造成每年连续的增加大量的业务运营成本。另外网络业务应用会随着业务的拓展,业务通讯使用大量的应用数据通讯如流媒体、等其它数据类型。由于有些数据传输数据协议又不能增加网络带宽来解决网络传输问题。因此推荐Bluecoat SG MATH5技术来解决广域网链路延迟和拥塞 4 / 21第4 页,共21页

外网安全解决方案

外网安全解决方案 XXXXX有限公司 2011-7-4

目录 一. 前言 (3) 二. 网络现状 (3) 三. 需求分析 (4) 3.1 威胁分析 (4) 3.2 外部威胁 (4) 3.2.1 .内部威胁 (5) 3.3 风险分析 (5) 3.3.2 攻击快速传播引发的安全风险与IDS的不足 (6) 3.3.3 日志存储存在风险 (6) 3.3.4 需求分析 (7) 四. 解决方案 (7) 4.1 入侵保护系统和外置数据中心部署 (9) 4.1.1 部署图 (9) 4.1.2 部署说明 (9) 4.2 功能与效益 (10) xxxx所外网安全解决方案

一. 前言 随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正逐步改变着人类的生活和工作方式。网络与信息技术对社会的各行各业产生了巨大深远的影响,信息安全的重要性也在不断提升。 近年来,军工企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,如蠕虫、病毒、木马、DDoS攻击、垃圾邮件,木马引起的计算机资料被篡改、窃取等,极大地困扰着用户,给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、和内部有意无意破坏保证计算机和网络系统的安全和正常运行便成为所有企业所面临的一个重要问题。 陕西中微航信电子科技有限公司是一家专业从事信息安全产品销售及整体解决方案的高新技术企业。公司专注于信息安全领域,以保护国家机密、商业机密,防止重要信息泄漏为己任,为各类用户构筑安全可信的信息堡垒。我们根据705外网实际环境制定相应的解决方案。 二. 网络现状 出口带宽为电信10M光纤接入,通过交换机分成两路分支,一路为接待区,一路为办公区。办公区客户通过二层交换机、安氏防火墙(已无法配置)、深信服上网优化网关SG3200组成的百兆局域网。客户端为办公上网终端、管理网络设备终端和临时网吧终端组成。 办公区拓扑如下:

电子政务外网(城域网)建设方案

电子政务外网(城域网)建设方案 **********电子政务外网(城域网)是全市电子政务外网建设的有机组成部分。为了切实做好我县(区)的电子政务外网城域网建设工作,按照统一规划,分级实施的原则,特制定本方案。 一、建设目标 *******县区电子政务外网城域网建设总体目标是:按照省信息中心统一部署,利用公用基础通信设施和现有资源,延伸建设电子政务外网县区级平台,实现横向连接党委、人大、政府、政协和县区法检两院等机关单位;根据国家电子政务外网安全保障体系统一标准,建设县区电子政务外网安全保障体系;建设县区电子政务外网运维服务体系,确保网络及业务支撑平台正常运行;为各外网用户提供设备托管、运行监控等服务。 二、主要内容 *******县区电子政务外网城域网建设主要包括以下几个方面的内容:一是推进电子政务外网硬件平台及机房改造,实现县区互联网统一出口。按照省信息中心电子政务外网机房建设标准要求,结合全区实际,尽快完成外网机房改造升级,为各类政务信息化应用系统提供网络基础、应用支撑和安全保障。二是加强政府门户网站和部门子网站建设,提高服务水平。充分发挥县区政府门户网站龙头作用,切实加强网上监督、公众

诉求信息处理、在线交流等系统建设,以“一站式”服务为目 标,积极推进行政许可项目网上办理。三是积极推进电子政务应用系统建设。要加快各单位内部局域网建设,使用统一办公平台,处理单位内部协同办公业务。依托市统一电子政务平台,做到跨县区、跨部门网络协同办公。四是积极推进网上行政审批与电子监察系统建设,实现并联审批。五是加快推进数据库建设,实现政务信息资源在同级政府各部门间的横向交换、共享和公开,实现政务信息资源的纵向传输,满足各级政务部门的信息需要。 三、网络结构 **********电子政务外网城域网建设,根据线路资费及业务开展实际情况,先期选用裸光纤或2M专线实现与区直各政务部门的连接,基本形成省、市、县区三级电子政务外网主干传 输网络。 整体网络结构如下图: *****城域网拓扑图

广域网安全建设方案模板

NGAF广域网安全建设方案模 板

1.应用背景 在当前互联网的浪潮下,日益成熟的网络基础建设和互联网丰富的资源大大提高了人类的生产力和生产效率,各组织业务得以持续、快速、高效的发展。然而无处不在的网络带给人类发展便利的同时,也随之带来了诸多的网络安全风险。 互联网出口承载着内部所有用户的上网需求,首当其冲承受着最直接的安全威胁,因此在该区域部署相匹配的安全防护手段必不可少。 2.需求分析 2.1.基础需求 2.1.1.用户访问无控制,安全不可控 在广域网环境下分支机构的各类用户对互联网或数据数据中心经常仅具有一部分的访问权限,而在实际网络中因仅仅解决了基础网络的使用,导致很多用户可以对互联网或数据中心随意进行访问。 最终使得各分支与总部没有实现有效的边界访问控制,无法对用户的访问行为进行有效的管理与审计。 2.1.2.无用数据占用带宽,影响业务运行 在用户访问互联网或数据中心时,经常会产生大量的非关键业务流量或垃圾流量占用有限的宽带资源。这样的情况严重了影响关键业务的正常运行,那么我们应该如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度?

2.2.安全需求 2.2.1.网络欺诈泛滥,员工遭受损失 互联网发展越来越快,人们对互联网的依赖性越来越强,网上购物、数据存储、信息查询等等业务应用不断向互联网端迁移,这也使得了攻击者可以通过互联网获取想要的一切。 而随着越累越多的黑客察觉到了其中的利益后,各种钓鱼网站、网络欺诈便开始变得层出不穷。网络欺诈的泛滥直接导致了各类用户的经济损失、数据泄露,而各分支机构往往安全防护薄弱、员工安全意识低,最终致使网络欺诈行为屡获成功。 2.2.2.僵木蠕隐蔽性强,终端大量失陷 大量的网络攻击往往都是通过僵木蠕的传播来实现的,而对于分支机构的终端来说从互联网端下载的参考资料、办公软件等数据便是主要的威胁来源。 为了更易感染终端,僵木蠕等恶意流量往往与参考资料、办公软件等进行捆绑,诱导用户下载执行从而感染终端实现后续目的,而分支机构边界的薄弱也就促成了恶意流量在整个广域网中肆意泛滥。 2.2. 3.缺乏持续检测,失陷主机成为攻击跳板 当终端感染僵木蠕之后,往往会被攻击者控制成为僵尸主机或攻击跳板,此类失陷主机也是进行APT攻击或更加深入攻击的首要条件。失陷主机在网络中往往隐藏很深,可能通过多种途径实现传播感染或对外通讯,最终达到破坏窃取等目的。 而现有的网络中,哪怕存在了一定的边界防护设备,也很难发现失陷主机。主要原因便是失陷主机行为利用了大多数防护设备的逻辑漏洞,最终导致失陷主

智能广域网在大型企业网络建设中的应用

智能广域网在大型企业网络建设中的应用 发表时间:2020-04-14T07:09:09.894Z 来源:《中国电业》(发电)》2020年第1期作者:岳增显1 关猛2 [导读] 可用性,并使得分支机构的成本较低的网络架构方案,最终采用了智能广域网的解决方案。 烟台宝骏软件技术有限公司山东省烟台市 264000摘要:在大型企业的网络建设和管理中,面临多分支机构、多业务融合、复杂的流量和多变的流向,对网络的承载能力、保障能力等提出了新的挑战。本文在探索研究网络前沿技术的基础上,集成了多个厂商的多个技术,规划和建设了具有适应性高、安全性高、架构开 放、易于扩展、且使用成本低的智能广域网。未来,大型企业的网络规划和建设应该遵循“技术可行,经济合理”的基本原则,以促使智能广域网技术得以更广泛地应用。 关键词:智能广域网;大型企业;网络建设;应用 1导言 大型企业的网络建设方案大都采用了虚拟专用网络(VirtualPrivateNetwork,VPN),随着企业内部子网的增加和应用需求的增多,所需的网络设备和数据备份设备也会相应增多。如果没有科学的规划,这些设备不仅造成购买和维护成本的增加,同时也会带来使用上的负担,比如接入网络的设备越多对带宽的需求就越大,从用户体验的角度看就是网速越来越慢。智能广域网技术(IWAN)是一种新的组网方式,它可以在网络带宽不变的情况下,构建架构开放、编程灵活和易于扩展和维护的广域网,从而实现企业内部各节点之间高效的数据传输。安徽省盐业总公司是隶属于安徽省国资委的大型国有企业,有17家市级盐业公司,71家县级公司。从1999年开始,安徽省盐业公司借助于ISP骨干网络的专用链路建立了以VPN为纽带的企业局域网,并在此基础上运行了企业内部的ERP、OA等若干个管理系统。随着业务的高速增长,现有的网络带宽难以满足工作的需求,且计划增加400多家乡镇级分支机构,这会对网络带宽及网络运营成本提出了更大的挑战。为了能够找到比ISP专用链路成本更低,且能保障安全性、可用性,并使得分支机构的成本较低的网络架构方案,最终采用了智能广域网的解决方案。

人脸识别在线式广域网考勤系统解决方案

人脸识别在线式广域网考勤系统方案

目录 第一章系统概述 (3) 第一节行业现状分析3 第二节人脸识别的行业应用优势3 第二章系统方案 (4) 第一节需求分析4 第二节总体规划与设计5 第三节系统组成5 第四节系统选型和配置10 第五节系统特点12

第一章系统概述 针对目前越来越多的跨区域的企事业单位,希望实现总部统一部署,统一平台,实时信息同步,分布式管理,集中监控的需求,而开发的C/S架构的考勤管理系统,配套最新的生物识别技术产品人脸考勤机。 第一节行业现状分析 连锁企业网点分布广,机构复杂,员工众多,目前由于种种原因,大多数没有对员工考勤工作进行统一的管理。 有些地区或部门根据自己的需要上了规模较小的系统,这些系统采用不同的技术、设备,标准不一致,数据不能共享,更无法统一规则,集中管理。每个系统都要配备服务器、数据库,造成重复建设和资源浪费。 第二节人脸识别的行业应用优势 人脸识别,一种基于人的脸部特征信息进行身份认证的生物特征识别技术。近年来,随着欧美发达国家人脸识别技术开始进入实用阶段后,人脸识别迅速成为近年来全球的一个市场热点,它具有如下显著优点: 非接触,智能交互,用户接受程度高。 直观性突出,符合人“以貌识人”的认知规律。

适应性强,不易仿冒,安全性好。 摄像头的大量普及,易于推广使用。 人脸识别 在意保护 被动识别 非接触、卫生 唯一、无可替代 可活体检测 直观性好,用户接受度高 第二章系统方案 第一节需求分析 该系统将解决客户在人事考勤管理的如下主要问题: 一般对于网点较多的企业的考勤管理,传统的产品不能很好的解决管理中遇到的问题; 考勤点分散:全国甚至世界范围内; 复杂的网络环境下联网; 人员数据自动备份; 人员调动时不需要重新登记和录入; 希望不受限制地在网络上的任意一台考勤机上考勤; 希望通过考勤系统,实现整个集团考勤的实时管理与监控(包括

智能广域网解决方案7.doc

智能广域网解决方案7 智能广域网解决方案 背景 行业广域业务专网,已被大量建设和使用,如电子政务外网、电力调度通信网、企业分支广域网等。但对于各细分行业来说,由于组织架构、覆盖区域、业务模型的不同,其广域网的设计和建设方案也不尽相同。如电子政务外网是根据政府的行政区划和管理机制分级、分层部署的;而对于很多企业来说,根据业务模型关系,各地分支直接与总部互连。并且随着语音通信、远程视讯会议、协同办公等新业务模式的出现,对传统定位于网络节点间互连互通的广域网也提出了更高的要求。 智能广域网解决方案 随着信息产业的飞速发展,广域网上承载的业务种类和业务量在不断增大,为了能够支持对各种业务更好的承载,单纯的数据传递通道已经无法满足要求,当前丰富的业务模型需要广域网具备智能、业务感知、安全、易于部署和管理等特性。 基于对新技术趋势发展的分析和对行业应用的理解,H3C提出了智能广域网解决方案,以解决用户对广域网架构、安全防护、智能业务部署、管理等方面的设计和建设需求。 图1 智能广域网解决方案架构图 智能广域网解决方案整体架构包括三个部分:

?可持续发展的网络架构 基础组网架构模型的可持续发展,根据行业特征、业务模型和应用的需要,提供合适的组网拓扑模型,如扁平化、分级星型等,并能适应未来业务、网络扩展的需要 对网络、业务的高可靠性保证,提供BFD、GR、NSF等高可靠性技术,确保网络故障时的快速收敛和业务的不中断转发 面向未来业务的支持,支持IPv6、组播、VPN组播等特性,支持未来IPv6业务的部署和媒体、分发等业务的开展 虚拟化技术,MPLS L2/L3 VPN、VRF等网络虚拟化技术的支持,能够方便地实现把一套物理网络资源划分成多套逻辑资源使用,并与应用虚拟化技术配合使用 对业务的区分和服务质量保证,提供H-QoS、TE、VOQ等技术手段,针对不同业务提供精细、可靠的QoS保证 ?一体化的业务安全和智能 广域终端准入控制,在广域边界网关位置提供用户终端的准入控制和安全检查策略,保护核心网络资源的安全 融合的安全防护能力,把对业务、网络、用户的安全防护功能融合到网络基础平台上,提供更加深入、全面的安全防护能力应用优化、加密,提供更好的业务承载能力和用户体验,消除网络位置边界 ?面向业务的统一管理

上海某公司Riverbed广域网加速解决方案

上海XX公司Riverbed广域网数据优化方案 二〇〇八年九月

1. 什么是广域网数据服务-WAN Data Service 众所周知,由于互联网的普及,TCP/IP已经成为一个被广泛采用的网络协议。越来越多的公司业务已经离不开基于TCP/IP网络而开发的应用。随着公司业务的发展和全球化的趋势,公司会在总部以外的地区和国家建立更多的远程办事机构。这样一来,公司的业务系统就必须运行在广域的TCP/IP网络之上。 我们知道,相比局域网络,广域网络的带宽只有1/100或更少,而延迟却增加100倍或更多。在局域网络上运行的非常好的应用到广域网络上运行时,一定会碰到效率极其低下等问题,会严重影响企业的生产效率。 在过去的时间里,好多网络厂商已经意识到该问题,提出了好多解决方案。比如采用压缩技术,流量管理技术,缓存技术等。所有这些技术只能在某一方面对广域网络进行加速,由于没有涉及TCP/IP的本质,使用效果不佳且带有相当大的局限性。 由于广域网存在的传输性能问题,为了提高在分支机构工作的员工的应用响应速度,许多的大型客户往往在分支机构部署本地的文件服务器,打印服务器和邮件服务器。这样虽然暂时解决了远程客户的应用响应速度,但是也造成了远程机构IT基础架构的复杂性,大大增加了设备成本和人员维护成本。

广域数据服务(WAN Data Service)作为一个新兴的技术领域,为克服跨广域网应用性能瓶颈带来了一种创新的方法。它可以加速应用系统在广域网上的响应速度,提供高效的带宽利用率并且在广域网环境中实现数据大集中。 广域数据服务解决方案 “让广域网像局域网一样”实际上有两方面的意思:1) 使广域网的性能具有质的飞跃,尤其针对那些在局域网上可以正常运行,但一到广域网就受到极大影响的应用和协议。2) 能处理和对付横跨分布式企业网络的范围广泛的应用和协议。 对广域网进行全方位改进的解决方案我们称之为广域数据服务(WDS)。广域二字不单单指的是广域网,它还意味着WDS所应用的范围非常广泛,以及WDS对各种各样瓶颈问题所进行的全方位改进。 WDS不仅仅只是一个面向性能和效率的解决方案,它同时也是一个能帮助我们实现以下这些以前所无法实现的目标的途径: 在不影响远程用户的前提下,将分布式的IT基础设施如文件服务器、邮件服务器、网络附加存储(NAS)和远程办公室备份系统等集中起来,整合到统一的数据中心。 让企业位于世界各地的同事共享大型文件变得简单而高效,使他们感觉就好像在同一建筑里办公一样。 通过长距离广域网链路进行备份与复制操作,而仅仅在一年前,想在备份窗口内完成这些操作都是不可能的任务。

广域网建设方案

中煤第一建设公司信息管理中心 广域网建设方案 2009年3月 根据公司综合项目管理信息系统建设的需要和集团公司《关于完善集团公司广域网的通知》(中煤信息〔2009〕138号)要求,决定实施公司广域网建设方案。 一、承建商 由集团公司广域网承建商中国电信来进行承建。 二、建设内容 需要建设公司机关与所属各单位连接的点对点数字专线,共计10条。与所属各施工单位建立的点对点数字专线带宽为4M,与所属两厂、职工医院建立的点对点数字专线带宽为2M。 专线接入单位的地理位置分布如下表: 该广域网将承载以下主要业务: 1、办公自动化系统及电子公文传输系统 运行公司办公自动化系统和电子公文传输系统,提供统一的公文交换平台。 2、综合项目管理系统

运行公司综合项目管理系统,增强公司对项目的管控能力。 3、数据中心 集中存储公司的各种业务数据,提供业务数据服务支撑。 4、视频会议系统 适时建设视频会议系统,要求视频会议系统具有实时性、连续性,数据传输要有QoS(传输质量)保证,至少要支持CIF画面质量以及连续的声音,每条专线带宽耗用在1.5M以上。 5、其他管理业务系统 运行其他管理业务系统,提供统一的业务数据交换及系统资源共享平台,避免重复建设。 三、线路要求: 1、线路通路全年可用率平均达到99.8% 2、线路端对端全年可用率达到99.7% 3、全年在四个小时内恢复线路的百分比为95% 4、全年总恢复时间不超过48小时 5、线路比特率误码率等于或小于10E-7 6、具备SDH传输自愈环网。 四、组网集成要求: 1、所属各单位分节点广域专网接入点都采用光纤接

入。 2、在各条专线节点上,采用光端机接入,提供以太网接口。 3、采用星形网络结构,在中心节点采用155M光端机,提供以太网接口。 4、公司中心节点采用双物理光缆路由接入,并保证在主用链路发生故障时能够切换到备用链路。 5、带宽可以平滑升级;线路带宽升级时,用户不需增加新的接口设备。 五、环境要求 公司机关建有中心机房,线路及设备进中心机房。所属各单位须提供不小于15平米的房间作为计算机机房,安放计算机设备及网络设备。 各单位须按公司分配的IP地址范围重新设置本单位网络设备的IP地址,并报公司信息管理中心。 公司IP地址分配表 六、工期要求 整个建设实施须在天内完成。 七、费用预算 2M带宽: 4M带宽:

3.2iMC广域网智能管理解决方案v3-

iMC广域网智能管理解决方案 您或将面对的困惑: 某单位两年前已经建立自己的广域网,但随着开展业务的丰富及分支接入的增多,各种各样的问题接踵而来,让IT人员倍感困惑: ■亟需进行分级分权管理,不同的管理员可以绑定不同设备、业务的操作,关键数据自动上报给上级管理员,以便上级对下级进行公正公平的考核。 ■能否将路由、交换、安全、服务器甚至、终端等不同类型的资源在一个平台实现管理? ■每次部署QoS简直就是梦魇,如何快速高效的实现关键业务远程传输的QoS部署? ■目前已经部署多个MPLS VPN来承载不同的业务,能否通过图形化简单的操作实现对复杂VPN网络的轻松管理和资源调度,能否掌握VPN内的流量,以便及时对网络进行调整? ■由终端接入引发的安全风险时不时让管理员到处救火,能否控制终端接入的安全状态以提高整个广域网的安全性? ?? 随着信息产业的飞速发展,广域网上承载的业务种类和业务量在不断增大,行业广域业务专网,已被大量建设和使用,如电子政务外网、电力调度通信网、企业分支广域网等。为了能够支持对各种业务更好的承载,单纯的数据传递通道已经无法满足要求,当前丰富的业务模型需要广域网具备智能、安全、易于部署和便于管理等特性。 随着信息产业的飞速发展,广域网上承载的业务种类和业务量在不断增大,行业广域业务专网,已被大量建设和使用,如电子政务外网、电力调度通信网、企业分支广域网等。为了能够支持对各种业务更好的承载,单纯的数据传递通道已经无法满足要求,当前丰富的业务模型需要广域网具备智能、安全、易于部署和便于管理等特性。

在目前的广域网中,一方面网络规模不断扩大,对设备资源的控制要求不断提高,另一方面,接入节点规模庞大,对用户接入的互访控制要求越来越迫切。传统的单一的网络管理、或用户管理及接入控制管理往往缺乏相互融合,导致管理手段单一、管理力度不足、管理操作复杂。广域网需要的不仅仅局限于对网络设备的管理,更多是要求对网络资源和业务的全面、融合管理与调配,例如广域网常见的MPLS VPN、QoS等,进而能够更好地支撑上层业务系统的正常运行。 您可选择的: iMC广域网智能管理解决方案 H3C iMC智能管理中心依靠开放的管理平台和丰富的资源组件,不断推出面向客户业务的管理服务方案。广域网智能管理为iMC系列方案的逻辑组合,主要包括基础资源管理、MPLS VPN管理、流量性能管理、广域终端准入控制及广域分支管理。各方案均基于iMC平台,既相对独立,又能相互联动,用户可按照广域网业务部署流程为导向进行按需选购。 H3C iMC广域网智能管理解决方案是H3C广域网解决方案的重要组成部分,凭借雄厚的网管技术积累、全面的产品支持、丰富行业经验沉淀,为用户提供智能、融合、高效的广域网管理。

外网建设框架

河南省政府网站政务外网 整合建设座谈会材料之三 河南省电子政务外网系统项目技术框架 省信息中心 (二○一○年十二月二日) 政务外网是国家统一规划的的一个系统项目,我省电子政务外网是该系统的重要组成部分。按照国家有关要求和省发展改革委批复的《河南省电子政务外网系统项目可行性研究报告》(豫发改高技〔2009〕2071号),我省电子政务外网系统项目是一个整体项目,建设内容包括省、市、县三级,技术规范统一。 一、国家政务外网情况简介 (一)基本情况概述 国家政务外网是我国电子政务重要的基础设施之一。 国家政务外网由中央、省、市、县四级网络构成。国家信息中心为中央投资部分工程的承建单位。国家电子政务外网一期工程从2005年开始项目的启动建设。 目前国家政务外网已覆盖到全国32个省(自治区)、直辖市、新疆建设兵团。已有71家中央政务部门接入国家政务外网,利用外网提供的服务开展工作。 除江西、黑龙江、河北、浙江、广东等少数省份政务网络覆

盖到县以外,大部分省(区、市)政务外网目前尚未完全覆盖其所辖(市)、县。下图是全国政务外网网络覆盖示意图。 为了加快电子政务外网的网络覆盖工作,完成国家政务外网的四级网络建设,达到政务外网的设计要求,国家发改委和财政部联合下发了《关于加快推进国家电子政务外网建设工作的通知》(发改高技〔2009〕988号),提出:力争到2010年底前,基本建成从中央到地方统一的国家政务外网,横向要连接各级党委、人大、政府、政协、法院、检察院等各级政务部门,纵向要覆盖中央、省、地(市)、县,满足各级政务部门社会管理和公共服务的需要。图示如下:

国家政务外网四级网络示意图 (二)国家政务外网的技术特点 为了满足国家政务部门办公的多业务需求,国家政务外网从网络系统设计上具有以下特点: 1.国家政务外网是基于国家电子政务传输网之上的IP承载网络。 2.国家政务外网逻辑上划分为不同的业务分区(VPN):通过公用网络区满足政务部门各类业务应用的需求并实现各部门间的信息交换和业务协同;通过专用网络区满足政务部门相对独立、信息敏感的业务需求;通过互联网接入区满足政务部门通过互联网发布信息、采集数据等业务需求。如下图所示:

智能广域网 (IWAN) 解决方案的安全注意事项

白皮书 智能广域网 (IWAN) 解决方案的安全注意事项 1. 简介:智能广域网 富媒体应用的激增和越来越多的设备连接到网络正在使分支机构带宽需求与日俱增。自带设备 (BYOD)、访客接入和物联网 (IoT) 趋势也导致了带宽需求增加。 成本较低的互联网连接已变得更加可靠,并且比专用链路更加经济实惠。思科?智能广域网 (IWAN) 解决方案为您提供了一个在分支机构利用成本较低的带宽的途径,并且不会影响应用性能、可用性或安全性。 1.1 IWAN 解决方案概述 图 1 展示了 IWAN 解决方案的一些主要优势,以及如何从中受益。 图 1. 智能广域网解决方案及其优势 我们的 IWAN 解决方案优势包括: ●独立于传输的连接:IWAN 提供了跨所有可用连接的基于动态多点 (DMVPN) 的覆盖。这提供了一个带有单个 路由域的网络,可以跨不同类型连接(包括多协议标签交换 (MPLS)、宽带和蜂窝网)轻松实现多宿主。您可以灵活使用所有可用的连接,并且可以在不修改网络架构的情况下添加或更换网络连接。 ●智能路径控制:借助思科性能路由 (PfR),IWAN 可以改进应用交付和广域网效率。PfR 通过查看应用类型、 性能、策略和路径状态来动态控制数据包的转发。 ●应用优化:思科应用可视性与可控性 (AVC) 和思科广域应用服务 (WAAS) 可以为您提供应用性能的可视性, 并帮助您优化广域网链路上的应用性能。 ●高度安全的连接:通过公共互联网发送流量时,必须确保安全性。通过利用各种 VPN、防火墙、网络分段和 安全功能,IWAN 可帮助确保解决方案提供您所需的安全性。

1.2 IWAN 设计概述 设计的主要重点是允许在以下广域网汇聚场景下实现广域网传输的主用-主用使用方式: ●混合广域网设计:此设计将互联网 VPN 用于传输,结合传统 WAN 一起为关键应用提供更多的带宽,同时为 应用平衡服务级别协议 (SLA) 保证。 ●双互联网广域网设计:此设计使用两个互联网运营商,进一步降低成本,同时保持网络传输的高可靠性。 在这两个设计中,所有分支机构流量都传送到您的总部网络。在总部网络进行进一步的路由决策,将传向互联网的流量发送到互联网。利用额外的安全措施,可以直接从分支机构转发某些传向互联网的流量。此设计形式被称为直接互联网接入 (DIA)。DIA 的主要优势是可以降低总部的带宽要求,减少由于直接路由导致的网络跳数和延迟,以及利用基于互联网的内容交付网络 (CDN) 解决方案实现更好的优化。 要获得这些优势,解决方案的安全性至关重要。继续阅读以概要了解思科 IWAN 解决方案安全架构及其如何应对安全挑战。 要进一步了解 IWAN 架构,请参阅 IWAN 部署指南(参考资料)。 2. IWAN 的安全架构 传统上,所有分支机构流量都先转发到总部,然后才使用专用广域网连接分发到企业网络的其余部分和互联网。大多数安全措施都部署在总部网络。所有安全、访问控制和监控策略都在总部实施。请参见图 2。 图 2. 专用广域网和 VPN 的分支机构网络流量对比 如图 2 所示,使用 IWAN 解决方案时,安全和策略实施模式仍然保持不变。在分发给实际目的地之前,所有流量都先传送到总部。这意味着您可以使用相同的安全架构,并且可以受益于 IWAN 解决方案提供的额外传输和边缘安全。 在分支路由器连接到互联网之后,它会受到基于互联网的攻击和漏洞的影响。您需要在架构中采用更多安全技术,以保护路由器免受直接互联网连接带来的安全挑战。与直接连接公共互联网相关的主要安全问题如下: ●网络隔离 ●数据保密性和完整性

广域网传输安全建设

广域网传输安全建设 随着行业专网信息化的不断完善和发展,企业对广域网的依赖越来越大。关键业务应用的远程传输随着各企业继续整合数据中心的趋势而稳步增长。如电力、民航、公安、银行等大型行业在数据、语音等应用系统的实现都要建立在非常稳定的高性能网络基础上。 从“5.12”汶川大地震早造成的通信阻断情况来看,一个现代垂直型行业如何构建一个高可用、高安全的广域传输骨干网络,非常值得企业深思。本文将引用一个国内大型企业的广域网传输解决案例,通过其建设、改进的过程对此问题进行分析探讨。 初期建设及运行状况 某大型企业以成都作为广域网的数据中心地点,通过租用电信运营商2Mbit/s电路与重庆、昆明、贵阳、广州4地互传数据信号及语音的专用网络(以下简称主用专网)。电信2Mbit/s 电路在各地落地后,下挂综合业务接入设备,两地间的通信数据流为互传方式,语音流为热线方式。本文介绍的方案采用的是华为FA16设备,利用2Mbit/s板接电信2Mbit/s电路后,通过SRX板提供V.24的低速率数据接口,在成都V.24端口对应其它地方FA16设备V.24端口发或收数据,同时两地间FA16设备采用ASL板设置语音通道,外接电话,提供各地网络节点使用。该广域网建设初期主用专网结构如图1所示。 图1 某行业广域网建设初期主要专网结构 该网络运行初期,满足成都、重庆、昆明、贵阳、广州对数据和话音通信的需求,专网具备一定可靠性,但出现以下了问题: 网络遇电信电路割接时,造成主用专网中断,无法保证长期7×24小时运行; 主用专网设备出现故障时,造成主用专网失效,无法保证长期7×24小时运行。 建设者发现,为保证主用专网的各类数据和话音不间断运行,需建立备用专网进行保障。利用备用方案解决问题 根据该网络架构特点,设计者考虑建立一个独立于主用专网的传输网络,来提供相同的数据和话音业务,因此租用与电信传输本地和长途传输路由完全不同的联通运营商2Mbit/s电路来组网,在各地节点设备上也采用独立于主用专网的主设备进行业务的汇接。 本方案在联通2Mbit/s电路落地后采用MotorolaVanguard6455数据复用器,对主网华为FA16综合业务接入设备进行了灾备,Vanguard6455数据复用器与2Mbit/s电路G.703接口间采用G.703/V35协议转换器,数据传至Vanguard 6455数据复用器,该复用器通过丰富的V.24端口和FXO/S端口进行数据和语音的分发,提供数据互传和语音热线,与主用网综合业务接入设备独立,形成了完全物理隔绝备用专网。值得一提的是,该复用器还具备路由功能,通过虚电路的建立,可以在网络内、两地直通电路出现故障时,使数据迂回从第三地间接到达目的地,形成备用网带保护环的作用。 经过一段时间双网运行,该企业用户解决了原主用专网保障上的缺点,使网络安全性得到大幅度提升。但该专网所在地的物理传输路由上双网均为地面传输,电信和联通的地面传输管线一般在驻地网的外联公路旁,随着时间的推移,因城市建设和道路施工的影响,主备传输通道上使用的电信和联通光缆出现改道割接和施工误损的情况,因此网络在关键业务的7×24小时保障上产生了一定的风险。 尤其是,从“5.12”汶川大地震来看,当强烈地震发生时,地面通信线路全部阻断,无论哪家运营商的地面电路在主干传输中均为光缆,主干传输设备都在机房,很难避免地震的破坏,地面线路的抢修需要一定的时间。

工业互联网SD-WAN解决方案

工业互联网SD-WAN 解决方案

目录 1.概述 (1) 2.需求分析 (3) 3.解决方案 (10) 4.成功案例 (16)

SD-WAN 解决方案 1概述 1.1背景 伴随着企业的数字化转型以及云计算和 SDN/NFV 技术的兴起和普及,传统企业的 WAN 网络正在经历着深刻的变化。 传统的企业 WAN 网络通常租用运营商的物理专线或者 MPLS VPN 专线来实现企业分支的广域互联,保证网络的服务质量,因此企业 WAN 业务开通依赖运营商,业务开通时间较长且价格也比较昂贵,另外传统企业采取自建数据中心的方式来承载企业IT 关键资产,企业网络架构是封闭的,开放性不足导致业务发放效率低。 随着 Internet 的普及以及云计算等新技术的兴起,传统企业网络架构正在经历革命性的变化,首先全球范围内 internet 的快速普及,无论从覆盖范围还是到网络质量,都有了质的提高,除了传统的专线互联技术外,Internet 成为传统企业的分支互联以及全球化推进的一个新的重要选择;此外,云计算技术风起云涌,AWS 等公有云的崛起和流行,引导企业 DC 等基础设施云化,从而打破了企业 IT 传统的封闭架构,引导企业网络架构走向开放之路,越来越多的企业选择公有云服务;此外,就是企业的关键应用的云化,企业的重要应用也逐渐被应用提 — 90 —

供商改以SaaS 云化方式提供,企业连接SaaS 云业务逐年增长。 1.2实施目标 本解决方案的实施目标: 1)零配置开局,设备即插即用; 2)快速的发放连接业务,实现分支 CPE 即插即用以及园区 /分支和云的按需快速互连; 3)借助低价值的Internet 链路进行更广泛的互联并且保证关键应用的体 验不受影响; 4)能够以云的方式提供管理手段,让企业用户更加方便快捷的自助定义 新业务和进行网络管理。 1.3适用范围 SD-WAN 解决方案帮助制造企业实现未来较长一段时期的 SD-WAN 业务运营需求,主要包含如下场景的网络访问服务: 1)零配置开局,设备即插即用 2)Site to Site 访问:为企业客户提供企业分支之间的互访服务。 3)Site to Internet 访问:为企业客户提供企业分支内到 Internet 的访问服务(含安全策略管理)。 4)Site to Legacy Network:为企业客户提供企业分支到传统网络(非 SD-WAN 网络)的访问服务。 5)基于应用/应用质量的智能选路:如关键业务走高质量专线、普通 业务走低质量;同时可以互为备份 6)支持基于链路、应用、流量的可视化分析 1.4在工业互联网网络体系架构中的位置 — 91 —

相关文档