009-项目案例_某市轨道交通方案介绍(高勰懿)

　　1 项目背景

　　本项目是某市轨道交通三号线一期工程地面有线传输系统，共设18座车站，其中地下车站9座，高架车站9座。在Y站附近设置一处控制中心，并为轨道交通二号线及地铁一号线预留合设条件。

　　2网络系统整体设计

　　2.1 网络系统拓扑图

  2.2 系统组网说明

如图所示，该轨道3号线一期工程地面有线传输系统主要设备包括：Y站控制中心以太网核心交换机、车站以太网接入交换机、网管系统等。整个地面有线传输系统经防火墙设备和路由器连接因特网。

　　本着经济和实用性原则，本次方案采用RRPP(Rapid Ring Protection Protocol，快速环网保护协议)组网方式。RRPP是专门应用于环型以太网的链路层协议，具有比STP更快的收敛速度。并且RRPP的收敛时间与环网上节点数无关，可应用于网络直径较大的网络。在每个站点部署H3C S5500-EI以太网交换机，各个站点之间采用千兆光纤链接，每两个站点之间均有两条链路相通。当以太网环上一条链路断开时能迅速恢复环网上各个节点之间的通信通路，具备较高的收敛速度。

　　本次工程的控制中心设置在Y站，控制中心设备包括2台H3C S7500E高端多业务路由交换机、防火墙插卡、H3C SR6600高端路由器以及网管平台。其中2台H3C S7500E中心交换机配置了双电源、双主控冗余，并采用万兆链路相连，通过IRF2技术，将2台S7500E虚拟成一台“联合设备”。

　　考虑到3号线地面有线传输系统要向外链接广域网，因此，在每台中心交换机上部署了SecBlade FW防火墙插卡以保护内网安全。SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF(Application Specific Packet Filter)应用状态检测技术，实时检测应用层连接状态，实现3-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理，并且SecBlade FW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。

　　在网络最边缘部署一台H3C SR6600开放多核路由器，支持高性能NAT、L2TP、GRE等业务特性，并配置双电源、双主控冗余，进一步增强其稳定性， SR6600是业界首款基于多核多线程的高端路由器，具备高性能、易编程、灵活的L4-L7层业务应用等特点，使SR6600对未来的新业务具备快速响应能力和良好的适应能力。

　　本方案部署一套H3C IMC智能管理平台，为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理的最佳工具软件。

　　3 方案特点总结

　　3.1 电信级的高可靠性

　　整个网络系统采用RRPP快速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。

　　中心交换机S7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能，支持IRF2(第二代智能弹性架构)技术，通过专利的路由热备份技术，在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了IRF组的可靠性和高性能，同时消除了单点故障，避免了业务中断。在本方案中，中心交换机H3C S7500E配置了双电源、双主控冗余，达到99%的电信级可靠性。

　　站点交换机S5500-EI系列交换机具备设备级和链路级的多重可靠性保护，所有机型都支持冗余电源。此外，整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使这款盒式交换机具备了机柜式交换机的高可靠性。

　　3.2 完备的安全控制策略

　　中心交换机上配置的防火墙插卡支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ActiveX Blocking和SQL注入攻击等威胁的防范;可以有效的识别和控制网络中的各种P2P应用;支持静态和动态黑名单、MAC绑定、安全区域控制、系统统计等安全功能。

　　站点交换机S5500-EI支持集中式MAC地址认证、802.1x认证、PORTAL认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略(VLAN、QoS、ACL)的动态下发;支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。

　　SR6600支持用户分级管理和口令保护、包过滤、防恶意报文攻击、控制平面限速，对登录用户进行认证(包括本地认证、RADIUS认证和TACACS认证)，并且不同级别的用户给予不同的配置权限，充分保证了设备在网上的安全运行。

　　3.3 先进的智能弹性架构技术应用

　　在本方案中，中心交换机S7500E和站点交换机S5500-EI都支持业界最先进的智能弹性架构技术(IRF2)，能够把多台物理设备堆叠，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用,在扩展性、可靠性、整体架构和可用性方面具有强大的优势，主要体现在几个方面：简化管理、简化业务、弹性扩展、高可靠、高性能。

　　3.4 增强的网络管理和维护易用性

　　本方案所有的网络设备和安全设备都支持SNMPV1/V2/V3，可支持OPEN VIEW等通用网管平台以及iMC智能管理中心，支持命令行、web网管、telnet、HGMP集群管理。

　　iMC智能管理平台可以管理众多的不同设备，除了传统的路由器、交换机外，更能对网络中的无线、安全、语音、存储、服务器、打印机、UPS等设备进行管理，实现设备资源的集中化管理;还具有丰富、实用的网络拓扑图，支持自定义视图，使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑;具有智能的告警管理(如声光提示、转发Email、转发短信)，自动汇总全网中故障设备，形成故障设备列表，使管理员能快速、清晰的找到需要关注的故障设备，大大减少了维护成本。

　　3.5 高扩展性保护投资

　　中心S7500E交换机最大可支持12个槽位，业务槽位最大支持10个，支持丰富的千兆/万兆接口模块。S7500E支持许多功能模块，如入侵防御系统模块、无线控制器模块、负载均衡业务模块、应用控制网关模块、网络流量分析模块、SSL VPN业务模块、异常流量检测业务模块、异常流量清洗业务模块等。

　　IPv4到IPv6的演变是以太网发展的大势所趋，网络设备对于IPv6的支持不仅是简单的可用就行，而是需要达到商用的标准，本方案中所有设备都支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制，能实现IPv4到IPv6的平滑升级。

2016年01月