网络建设解决方案

xxxxx网络建设包括如下部分：办公区网络建设，市中心网络建设，县中心网络建设以及各直属库网络建设。

办公区网络设计规划

办公区网络拓扑如下图所示：

办公区网络汇聚部署两台华为高端路由器交换机S7706，提供稳定、可靠、安全的高性能L2~L4层交换服务，支持MPLS VPN、业务流分析、完善的HQoS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段，具备超强扩展性和可靠性，被广泛适用于园区网络、数据中心核心/汇聚节点，S7706采用新的硬件平台，支持前后及左后风道散热，为业界最佳能效比交换设备。主控、风扇框等关键部件冗余设计，所有模块都支持热插拔，最小化设备宕机与业务中断风险。创新的节能控制芯片，整机支持智能节电，为网络绿色可持续发展提供领先的解决方案。

S7706高达76 Tbps交换容量，完美支撑40G、100G骨干网络平滑升级，主控冗余配置后整机依然可提供6个可扩容业务插槽，不仅支持扩容GE、10G、40G、100G端口扩容，还可以扩容功能板卡如FW、IPS、AC等，保护用户投资，在未来3-5年不更换也可实现新的业务上线。

汇聚的2台S7706通过CSS硬件集群，将2台物理交换机虚拟为一台逻辑交换机，在逻辑交换机上实现南北向和东西向数据交换，在逻辑交换机上业务转发均由两台物理交换机完成，实现双机热备，逻辑交换机中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行，降低单点故障风险，提供网络级的可靠性。

汇聚的2台S7706通过两台千兆光纤分别连接到湖南省电子政务平台的汇聚交换机上。

办公区接入直接面向用户连接，完成用户流量的接入和隔离，进行用户终端数据直接透传，通过6类或5类双绞线与用户终端连接。其目的是允许用户终端连接到网络，因此接入需具有低成本和高端口密度特性。接入交换机一般采用二层交换机，采用千兆光纤双归属到汇聚层两个不同的交换机，结合客户要求，接入交换机部署华为S5720-LI系列交换机，此系列交换机支持智能iStack堆叠，以太组网灵活，安全控制丰富等，支持多种三层路由协议及高性能和丰富的业务处理能力，被广泛应用于企业园区接入、千兆到桌面等多种应用场景，S5720-LI系列交换机是绿色节能的以太网交换机，提供灵活的24口/48口千兆接入以及光上行端口。所用接入交换机支持安全功能，防范交换机本身（CPU等资源）的DoS类攻击以及DHCP服务器仿冒攻击、IP/MAC 欺骗、ARP欺骗等用户类攻击。接入交换机提供智能堆叠，快速扩展接入层的端口数、带宽和处理能力，简化配置和管理。

与市级粮食局中心设计规划

市级粮食局中心网络拓扑如下图所示：

全省共计有14个市级粮食局中心网络（以下简称市中心网络），各市中心直连部署1台防火墙通过政务光纤与省电子政务平台对接，在市中心网络边界部署1台华为USG6000系列防火墙检测市中心内部网络与省电子政务平台的信息，并根据预先设置的规则阻止或许可流量通过。通过对应用、用户、内容、威胁、时间、位置6个维度的全面感知，提供精细的业务访问控制和加速。USG6000系列防火墙全面的防护功能，一机多能，有效降低管理成本。支持精细的带宽管理和QoS优化能力有效降低企业的带宽租用费，确保关键业务体验。从而实现保护市中心网络的目的。

直连部署上网行为管理，提供URL过滤、应用行为控制、流量管理、数据防泄漏、恶意软件防护、互联网行为记录等多项功能，为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供了一体化的解决方案。

市中心核心交换机下联市直属粮库及县级粮食局中心网络，部署两台华为S5720-36C-EI，提供24端口千兆电口接入以及4端口万兆上行端口，1个接口扩展插槽。S5720-EI系列交换机提供KMAC表项，590G交换容量，具备完善的业务处理能力，安全控制丰富，以太组网灵活，支持IPv6特性，智能iStack堆叠，方便的运行维护等特点。被广泛应用于企业园区接入、汇聚，数据中心千兆接入等多种应用场景。两台S5720-36C-EI采用智能iStack堆叠，将物理交换机从逻辑上组合成一台虚拟交换机。物理交换机成员设备之间冗余备份，提高了设备级的可靠性；通过跨设备的链路聚合功能，提高了链路级的可靠性。iStack提供了强大的网络扩展能力，轻松地扩展堆叠系统的端口数、带宽和处理能力并简化了配置和管理。

S5720-36C-EI支持可插拔双电源模块，实现1+1冗余备份，支持交流和直流电源模块混插，可以根据实际需要灵活配置交流或直流电源模块。支持可插拔双风扇，根据温度变化智能调节风扇的转速，提高设备级可靠性。

县级粮食局中心设计规划

县级粮食局中心网络拓扑如下图所示：

全省共计有122个县级粮食局中心网络（以下简称县中心网络），各县中心直连部署1台防火墙通过政务光纤与市中心网络接入交换机对接，在县中心网络边界部署1台华为USG6000系列防火墙检测市中心内部网络与省电子政务平台的信息，并根据预先设置的规则阻止或许可流量通过。通过对应用、用户、内容、威胁、时间、位置6个维度的全面感知，提供精细的业务访问控制和加速。USG6000系列防火墙全面的防护功能，一机多能，有效降低管理成本。支持精细的带宽管理和QoS优化能力有效降低企业的带宽租用费，确保关键业务体验。从而实现保护县中心网络的目的。

县核心交换机部署华为S5720-28P-LI交换机，通过县中心防火墙采用政务光纤接入到市中心网络，租用政务光纤与县内的粮库互联。华为S5720-28P-LI提供24端口千兆电口及4端口千兆上行光口。具有支持多种三层路由协议，以太组网灵活，安全控制丰富等特点，336G交换容量，124M包转发率，丰富的业务处理能力，被广泛应用于企业园区接入、千兆到桌面等多种应用场景。S5720-LI支持完善的DoS类防攻击、用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻击，包括SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC 欺骗、DHCP request flood、改变DHCP CHADDR 值等等。通过建立和维护DHCP Snooping 绑定表，对不符合绑定表项的非法报文直接丢弃。利用DHCP Snooping 的信任端口特性，S5720-LI还可以保证DHCP服务器的合法性。支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。

粮库网络设计规划

根据粮库业务类型、管理基础、投入和运维能力、人员素质、现实需求等因素，在为粮食局预留扩展空间的前提下，对粮库进行分级分步建设。具体分收纳库、储备库、示范库三个类型：

示范库。全省设计5个规模大、管理基础好的粮库进行智能粮食管理系统示范建设。示范库系统建设可积极探索自动控制、物联网、智能仓储、数量监测、电子商务、BI等新技术应用。要在一个平台或系统内实现企业经营决策、作业流程控制、资源管理利用等功能的集成，实现全面的信息化管理。

储备库。储备库智能粮食管理系统是粮库智能化升级改造的重点，应做到储备粮承储企业全覆盖。系统应在收纳库信息系统功能基础上，增加储备粮管理与仓储管理等模块。系统应组网运行，应建设单独的机房，宜配备自动扦样设备、库区安防系统和数据存储设备，具备条件的企业要有预约登记、车牌识别、客户引导、IC卡应用、自动称重、数量监测等智能出入库功能。

收纳库。收纳库智能粮食管理系统功能要简单，操作要方便，建设运维成本要低廉。系统可单机或组网运行，原则上不建设单独的机房。系统一般包含粮食出入库、收购资金结算、统计报表等基本功能。粮食重量数据必须由信息系统从汽车衡自动采集。承担性收储任务的收纳库系统应具备售粮人身份识别登记、图像和视频采集、收购资金审核与结算等功能。系统供应商应提供统一规范简便经济的解决方案。

示范类粮库网络设计规

示范类粮库组网拓扑如下图：

全省4个示范类粮库，示范类粮库在粮库网络边界部署一台华为USG6000系列防火墙，检测粮库内与县中心交换流量，匹配预先配置的安全策略，阻断或放通其间的交换流量。USG6000系列支持在应用、用户、内容、威胁、时间、位置等6个维度的全面感知，实现精细的业务访问控制和加速，确保关键业务体验。结合入侵防御（IPS）和防病毒（AV）等应用层深度防御与应用识别，提高威胁防御的效率和准确性。实现了保护粮库内网目的。

直连部署华为SVN5600系列安全接入网关设备，统一管理远程VPN接入及接入用户认证，实现SSL VPN、IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等一体化VPN接入解决方案。

粮库汇聚交换机部署华为S5720-36C-EI-28S，提供24个千兆光口，4个万兆上行光口，具备完善的业务处理能力，完善的DoS类防攻击、用户类防攻击，丰富的安全控制，以太组网灵活，成熟的IPv6特性，智能iStack堆叠，方便的运行维护等特点，被广泛应用于企业园区接入、汇聚，数据中心千兆接入等多种应用场景。

储备类粮库网络设计规

储备类粮库组网拓扑如下图：

全省共计119个储备类粮库，示范类粮库在粮库网络边界部署一台华为USG6000系列防火墙，检测粮库内与县中心交换流量，匹配预先配置的安全策略，阻断或放通其间的交换流量。USG6000系列支持在应用、用户、内容、威胁、时间、位置等6个维度的全面感知，实现精细的业务访问控制和加速，确保关键业务体验。结合入侵防御（IPS）和防病毒（AV）等应用层深度防御与应用识别，提高威胁防御的效率和准确性。实现了保护粮库内网目的。

直连部署华为SVN5600系列安全接入网关设备，统一管理远程VPN接入及接入用户认证，实现SSL VPN、IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等一体化VPN接入解决方案。

粮库汇聚交换机部署华为S5720-36C-EI-28S，提供24个千兆光口，4个万兆上行光口，具备完善的业务处理能力，完善的DoS类防攻击、用户类防攻击，丰富的安全控制，以太组网灵活，成熟的IPv6特性，智能iStack堆叠，方便的运行维护等特点，被广泛应用于企业园区接入、汇聚，数据中心千兆接入等多种应用场景。

收纳类粮库网络设计规

全省共计149个收纳类粮库，示范类粮库在粮库网络边界部署一台华为USG6000系列防火墙，检测粮库内与县中心交换流量，匹配预先配置的安全策略，阻断或放通其间的交换流量。USG6000系列支持在应用、用户、内容、威胁、时间、位置等6个维度的全面感知，实现精细的业务访问控制和加速，确保关键业务体验。结合入侵防御（IPS）和防病毒（AV）等应用层深度防御与应用识别，提高威胁防御的效率和准确性。实现了保护粮库内网目的。

直连部署华为SVN5600系列安全接入网关设备，统一管理远程VPN接入及接入用户认证，实现SSL VPN、IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等一体化VPN接入解决方案。

粮库汇聚交换机部署华为S5720-36C-EI-28S，提供24个千兆光口，4个万兆上行光口，具备完善的业务处理能力，完善的DoS类防攻击、用户类防攻击，丰富的安全控制，以太组网灵活，成熟的IPv6特性，智能iStack堆叠，方便的运行维护等特点，被广泛应用于企业园区接入、汇聚，数据中心千兆接入等多种应用场景。