XX烟草网络解决方案

1行业背景我国是全世界最大的烟草生产国与消费国，雄踞八个“世界第一”：烤烟种植面积第一；烤烟产量世界第一；烤烟增长速度世界第一；卷烟产销量世界第一；卷烟增长速度世界第一；吸烟人数世界第一；吸烟人数增加数量世界第一；烟税增长速度世界第一。中国的烟草工业仍然是国营部门，几乎是中国未被外国产品和外资所侵入的最后的堡垒。自国家烟草专卖制度实施以来，中国烟草行业在“满足居民消费需求、提高烟草制品质量、增加国家财政积累、支持民族企业发展”等方面取得了很大成绩。不过，这些成绩的取得与烟草行业处于生命周期的成长阶段、行业主管部门和各级政府有关部门对国内烟草市场实行“行政垄断”并通过设置较高的政策壁垒把国外烟草商拒之门外、中国社会存在大量的灰色烟草消费等这些特定历史时期的经济、政治、社会条件和国际环境是息息相关的。随着时间的推移和各方面条件的发展变化，中国烟草行业正面临或即将面临着较为严峻的挑战，主要表现就是拉动行业发展的需求力量正日趋减弱、国内市场国际化竞争日益激烈、优势企业和名牌产品难以持续成长、过分依赖国内市场导致国际竞争力严重缺乏、中国市场化改革的深入和国家反垄断指向的增强以及中国“入世”后自由贸易规则的普遍推行将使烟草专卖体制面临多方压力等。我国的烟草专卖局（公司）具有政企合一的性质，一方面作为政府职能机构，负责对整个烟草行业的管理和控制；另一方面也作为一个独立的企业，进行正常的运营。正是这种特殊性，使得烟草行业既沿袭着传统的计划经济体制，同时也融入了一定的市场经济成分。卷烟作为国家专卖商品，统一组织生产和调配是烟草行业的特性，烟草行业内工业企业的生产和商业企业的销售都要受到计划和市场的双重影响，而计划和市场同时也在相互起着作用。但卷烟和其他商品一样，也需要根据市场的需求调控生产；通过品牌和企业形象的确立，吸引广大消费者；通过完善的分销网络和物流配送控制市场和客户。中国加入世贸组织后，如何经受住市场的洗礼和挑战，成为摆在烟草行业面前一道难题。国外的烟草企业资金雄厚、品牌形象好、管理水平高。中国的烟草企业只有加强管理，向管理要效益，练好企业内功，才能提高烟草行业的综合实力和竞争能力，才能在激烈的市场竞争中稳脚跟，而这就必须依赖于先进的信息技术和管理方式。2概述2.1项目背景2.2设计原则多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；支持路由协议：IP的RIPV1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP.支持：IPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM；网络管理协议：SNMP，RMON，RMON2；兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业企业网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在企业网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模企业网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计企业网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。可靠性本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备,支持双机或多机高可用结构；充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制；易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。可管理性络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计企业网的设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMON/RMONII协议，核心设备要求支持RAP(远程分析端口)协议，实施充分的网络管理功能。在设计企业网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。2.3设计依据本系统方案依据下列资料设计制作：《民用建筑电气设计规范》(JGJ/T16-92)《电气装置安装工程施工及验收规范》（GBJ232-92）《建筑与建筑群综合布线系统工程设计规范》（GB/T50311-2000）《建筑与建筑群综合布线系统工程验收规范》（GB/T50312-2000）《大楼通用综合布线系统》（YD/T926.1-97）《信息技术互连国际标准》（ISO/IEC11801-95）《通信光缆的一般要求》（GB/T7427-87）《通信布线系统信息技术欧洲标准》（EN50173）《无屏蔽双绞线系统现场测试传输性能规范》（EIA/TIATSB67）《电子计算机机房设计规范》（GB50174-93）《防静电工程技术规范》（DGJ08-83-2000）3技术方案3.1敏捷网络近些年来，业务的发展日新月异，大量的新业务和新技术的出现，对网络产生了更多的诉求。这些业务包括云计算、WLAN和移动办公、社交媒体和高清视频、大数据和物联网等等。如何应对这些新业务带来的挑战？如何解决现有网络一些残留的问题？是下一代网络和企业网要重点考虑的内容。那现有的网络有什么问题呢？总结起来有5点：首先是网络资源是手动静态配置的，静态的网络资源无法即时响应业务的动态化，如计算资源的动态分配和虚拟机迁移，移动终端位置的变化等，这形成了矛盾。第二个是IP网络缺乏一个基本的质量感知机制，即人感受到体验差时，网络不能够感知。这就为完美流畅的业务体验设置了障碍，特别是实时业务出现时，这个问题会更加明显。第三是故障定位效率比较低效，在网络出现故障而又无法自动回复的情况下，需要对整网进行大规模排查，无法在短时间内精确定位故障点。第四是无边界的安全，安全问题已经从单一的出口安全，扩展到整网任意位置、任意设备的安全，尤其是移动性发展，使得攻击点可能遍布各个角落。最后是缓慢的响应能力，所有这些问题的形成的根源，都是因为网络设备，特别是以太交换机的更新速度，是硬件定义的，其新功能的增加取决于新器件的更新，目前的更新速度网络的响应速度远远跟不上以软件定义为基础的业务的发展速度，成为了业务发展的一个瓶颈。对此，基于SDN思想和网络架构创新，提出了敏捷网络解决方案。敏捷网络是华为公司面向企业市场发布的下一代网络解决方案，它基于SDN思想加3大架构创新，让网络能够快速、灵活地为业务服务，让企业获得领先的业务创新速度，帮助企业在激烈的竞争中获得先机。敏捷网络包含敏捷企业、云数据中心和高效广域3大子解决方案，满足了移动性、云计算、社交媒体、大数据、物联网6大业务趋势对网络的新诉求，给企业带来了前所未有的新价值。敏捷企业是敏捷网络解决方案在企业网的落地实现，是企业网的一次重大技术升级。3.2总体网络规划3.3VLAN功能3.3.1VLAN概述VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离广播域的技术。当网络规模越来越庞大时，局部网络出现的故障会影响到整个网络，VLAN的出现可以将网络故障限制在VLAN范围内，增强了网络的健壮性。3.3.2VLAN功能划分用户VLAN用户VLAN即普通VLAN，也就是我们日常所说的VLAN，是用来对不同端口进行隔离的一种手段。VLAN通常根据业务需要进行规划，需要隔离的端口配置不同的VLAN，需要防止广播域过大的地方配置VLAN用于减小广播域。VoiceVLANVoiceVLAN是为用户的语音数据流划分的VLAN，用户通过创建VoiceVLAN并将连接语音设备的端口加入VoiceVLAN，可以使语音数据集中在VoiceVLAN中进行传输，便于对语音流进行有针对性的QoS配置，提高语音流量的传输优先级，保证通话质量。GuestVLAN网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN（即GuestVLAN），用户访问该VLAN内的资源不需要认证，只能访问有限的网络资源。用户从处于GuestVLAN的服务器上可以获取802.1x客户端软件，升级客户端或执行其他应用升级程序（例如：防病毒软件、操作系统补丁程序等）。认证成功后，端口离开GuestVLAN加入用户VLAN，用户可以访问其特定的网络资源。管理VLAN采用带内管理方式时，为了管理二层交换机，需要在二层交换机的上接口配置管理VLAN，并配置相应的VLANIF，这样二层交换机就可以提供一个IP地址供外访问。互联VLAN交换机之间进行三层互联时，互联接口所在的VLAN即是互联VLAN。通过互联VLAN可以将设备的网络接口的IP地址和主机的IP地址区分开来，便于管理员管理网络和设备。3.3.3VLAN规划原则一个二层网络规划的基本原则：区分业务VLAN、管理VLAN和互联VLAN按照业务区域划分不同的VLAN同一业务区域按照具体的业务类型（如：Web、APP、DB）划分不同的VLANVLAN需连续分配，以保证VLAN资源合理利用预留一定数目VLAN方便后续扩展3.3.4VLAN规划建议VLAN根据多种原则组合划分。按照逻辑区域划分VLAN范围：例如：−核心网络区：100～199−服务器区：200～999，预留1000～1999−接入网络：2000～3499−业务网络：3500～3999按照地理区域划分VLAN范围例如：−接入网络A的地理区域使用2000~2199−接入网络B的地理区域使用2200~2399按照人员结构划分VLAN范围例如：−接入网络A地理区域A