docurl=/cn/Products___Technology/Products/Switches/Home/Success_Stories/200712/323283_30003_0.htm

打造面向未来的办公环境--H3C助力新华社建设全新智能化办公大厦

【发布时间:2007-12-12】

随着集团业务的迅速发展,新华通讯社(以下简称新华社)启用了新办公大楼来满足不断增长的办公需求。作为国内实力最强的媒体集团之一,新华社涉及多种传媒业务。在业务中产生的庞大信息量以及数据内容对于媒体至关重要的价值是新华社最为关心的,这使得新华社迫切需要在新办公大楼部署强大可靠的网络系统。另一方面,面对迅速发展的新媒体业务,新的网络系统还必须有足够的带宽以及扩展性承载今后更高负荷数据流带来的压力。

针对新华社办公网络的需求特点,H3C专门设计了符合新华社需求的强大网络系统。这个系统不但满足了新华社庞大的数据传输需要,还可以应对今后业务增长带来的数据量提升。

内网局域网、外网局域网双网络结构

根据新华社的需求,网络系统将分为内网局域网和外网局域网两个独立的网络结构。内网主要用于新闻内容的生产发布,要求保证极高的数据安全性,并且保证网络负荷可以应对集中时段中的超高量数据传输符合。外部局域网则主要承担了日常办公、资料查询以及和外部沟通的需求,同样需要高可靠性,特别是抵御外来病毒的侵扰。并且新华社还需要在会议室布置接入外网局域网的无线网络信号覆盖,满足会议时的网络连接需要。

局域网采用二层网络扁平化结构

新华社新大楼信息点多、网络带宽需求大,同时又具有信息点地址位置集中的特点,因此H3C选择了两层扁平化网络体系结构进行网络规划建设。扁平化体系结构具有多、快、好、省的优点,可以接入较多用户、提供多种业务;网络建设与业务部署更快速;网络层次简单明了,便于管理和维护,同时网络稳定性增强,单点故障减少;去掉汇聚层之后网络投资明显减少,并满足用户业务需求。

双核心网络结构

H3C为内外两个局域网均设计了双核心网络结构,内网局域网和外网局域网分别配制两台S9512高端交换机。两台S9512之间采用10G接口联接,楼层交换机分别上联到2台核心设备上,通过两条上联链路实现的链路的备份和负载分担。这样,两台S9512都将作为整个网络的核心交换节点,避免了单点故障对整网的影响,从而提高了整个网络的安全性。在速度方面,两台核心交换机S9512采用了交换容量为720Gbps,转发能力为432Mpps的高性能双路由交换引擎,完全满足新华社的网络数据传输需要。扩展性方面,两台核心设备可以最大提供96个万兆接口,满足今后新华社信息化发展对网络带宽的需求,同时保护和节约用户投资。

千兆到桌面的楼层方案

在内网局域网与外网局域网的楼层交换机方面,H3C采用千兆电接口三层交换机的方案,来促成高带宽和高安全性。千兆三层到桌面最直接的优点就是带宽大。高带宽的网络不但可以满足目前的网络业务需求,并且充足的带宽为今后新兴业务的开展打好基础。开展多种丰富的IP网络业务,包括数据业务、视频业务等后期业务资源预留性大。在新华社新办公大楼,不同楼层信息点数量并不相同,为此H3C根据实际情况分别配制了S5600和S7503、S7506R三种不同型号的交换机,以达到最高性价比。

选用的S7506R交换机留有充足的升级余地,并且扩展性强,能够提供高密度端口的业务板,有利于用户网络的平滑扩容与升级。

外网局域网的无线网络部署

根据新华社会议室的办公需求,H3C在新办公大楼会议室范围,利用无线网络实现数据业务和语音业务的无线传输,并且可实现三层漫游,使无线局域网和有线网成为一个整体,提供安全的无线接入。在新华社新办公大楼的无线网络部署中,安全性至关重要。为此,H3C在网络中配备了1台WX4400承担无线网络管理的任务,而在无线信号布置区域,则采用了POE供电方式的AP2750。通过完善的管理系统,H3C实现了新华社外网局域网的无线网络的用户访问控制、AP入侵检测与隔离,并可通过将用户名和MAC地址进行绑定,防止外来&非法人员通过无线网络来访问网络。

用户接入管理及网络行为监控(EAD)方案

防止内容泄密以及黑客攻击对于新华社这样的媒体来说意义重大。在新华社网络系统中,H3C采用了端点准入防御(EAD,Endpoint Admission Control)解决方案解决现有网络安全管理中存在的不足,应对网络安全威胁。根据新华社具体情况,H3C将接入层设备作为安全准入控制点,对试图接入网络的用户终端进行安全检查,强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查,防止非法用户和不符合企业安全策略的终端接入网络,降低病毒、蠕虫等安全威胁在企业扩散的风险。

网络安全设计与网络流量分析(NTA)方案

保证网络系统的安全运行对于新华社顺利进行正常业务至关重要。因此,在本方案中内部网与外部网之间建立安全控制机制。为了保护网络上数据的安全性,采用在核心交换机上安插SecBlade防火墙模块,从而提供了强大的管理功能,提供各种日志功能、提供流量统计和分析功能、提供各种事件监控和统计功能、提供邮件告警。

同时,为了进一步发现网络异常行为,H3C采用了网络流量分析(Network Traffic Analysis)解决方案。根据新华社的网络特点,H3C对局域网中的各种应用的流量监控,通过对不同应用的流量监控,了解各种应用在网络流量中的带宽占用情况,并且监控应用是否正常运行。

VLAN设计

在新华社内、外网中存在不同的业务,包括OA、语音视频编辑系统和采编系统等,在设计网络时为保证这些业务的安全和独立,在内、外网划分VLAN以实现这些业务的相互隔离。首先通过端口的分隔,使同一个交换机上,处于不同VLAN的端口不能通信,将一个物理的交换机当作多个逻辑的交换机使用。其次,限定不同VLAN不能直接通信,杜绝了广播信息的不安全性。 另外,VLAN方式在更改用户所属的网络不必换端口和联线,只更改软件配置,管理更加灵活。

IP地址规划及路由设计

新华社新办公大楼的网络系统项目是一个网络扩充项目,考虑新华社网络的实际情况,对原先的IP地址不做变动,从而减少系统升级带来的影响。H3C采用了静态分配和动态分配相结合的方式分配IP地址:普通用户的IP地址、无线用户的IP地址由DHCP服务器动态分配;服务器地址、领导主机地址、设备管理地址、接口互联地址等采用固定IP地址。

网络设备管理系统

为了实现新华社新大楼局域网设备进行良好的维护管理,H3C在局域网内网和外网分别配置了一套H3C的网络管理软件。这套系统具有强大的配置管理功能,可以实现用户管理、告警管理以及性能管理等通用网络管理功能,还可以为用户实现设备软件备份与升级、接入设备远程批量配置、VPN性能监视与部署、支持设备告警分析、用户自定义拓扑以及防火墙日志分析等功能。

结束语

H3C借助先进的管理和监测系统,保证了新华社新办公大楼网络系统中数据的高可靠安全性。得益于模块化的设计,整个系统不但充分利用了新华社原有的设备,还可以在今后需求增长时进行平滑升级,最大程度节省了成本,保护了用户投资。H3C设计新办公大楼网络系统为新华社的高速业务成长提供了坚实的保障,并为新华社拓展新媒体业务提供了支撑。