一.建设目标
(1)全面的办公区无线覆盖,覆盖对象办公区、会议室、办公室、走廊等区域;(2)实现全区域的WiFi无缝连接,无线WiFi独立组网,保障WiFi网的稳定性和可用性;(3)全厂的有线PoE覆盖,满足PoE电话和摄像头的需求;(4)网络采用冗余设计,做到办公网、WiFi网、会议室网不同网段,保障网络的安全性、稳定性、可扩展性;(5)提高网络的安全性,做到内网和外网的边界安全防护隔离;设计使用8台恩创502MW室内无线AP,实现办公网络的WIFI全面覆盖和无缝连接。现场需考虑以下几点设计AP数量。 恩创502MW无线AP可同时运行双通道5GHz IEEE 802.11ac Wave 2和2.4G 802.11n WLAN无线电,每个通道支持接入126个终端,为保障信号稳定性建议每台AP接入点小于64个。办公室区约有110个工位,每个工位需预留2个接入点,AP接入终端点位不低于220个。办公网建议使用5G通道(5GHz抗电磁干扰能力强,2.4G抗衰减能力强),因此办公区域建议使用AP01和AP02和AP03和AP04四台路由器。恩创502MW AP无线覆盖面积室外无遮挡可达半径100米。室内有遮挡需考虑30-50米半径覆盖范围,若有承重墙格挡WiFi信号会大大下降(WiFi信号很难穿过承重墙或钢筋土混凝柱),因此需要在办公室位置增加AP05、大门位置增加AP06、大会议室位置增加AP07、视频会议室位置增加AP08从而保障全厂的WiFi无缝覆盖。恩创502MW AP高吞吐量可达866M+300Mbps,办公区域有107个工位,建议每个工位预留10-20兆带宽,因此办公区域需使用AP01和AP02和AP03和AP04四台路由器。注:恩创室内AP采用MESH组网,通过MESH组网实现全厂无线的无缝连接。 2.2 网络通信架构设计
办公网络设计由核心层和接入层组成,核心采用2台三层交换机启用VRRP或堆叠冗余,核心层作为网关,接入层采用8台POE交换机下连办公网内所有终端设备,8台POE交换机双链路上连2台核心交换机,1台NAT交换机接入Internet网采用NAT地址转换功能,为办公网提供外网需求。
2.3网络安全架构设计
办公网络有Internet网通讯需求,设计增加工业互联防火墙,串接在NAT路由设备与Internet之间,进行办公网与外网的边界隔离防护,工业互联防火墙支持VPN功能;为保障办公网络安全,设计增加恩创日志审计与分析系统,能够实时将服务器、终端设备、AP、POE电话的通讯日志信息,进行统一地收集、处理和关联分析,帮助一线管理人员从海量日志中迅速、精 准地识别安全事件,及时对安全事件进行追溯或干预,满足网络安全法对日志保存6个月以上的 要求。
3.1网络建设方案产品名录
502MW室内AP技术参数
高通Wi-Fi SON技术
现场有无线MESH系统不需要有线以太网
通过多跳自动重路由自愈
通过AIAS自配置即插即用
易于配置网格设置和SSID/密码/网关,网格状态 (信号/通道/上行)
支持防火墙的入站/出站流量
OpenVPN(服务器/客户端),IPsec用于安全远程连接
256位加密时的IPSec性能为150Mbps
支持L2TP与PPP, PAP, CHAP(LCP, IPCP)
*支持GRE隧道 • HTTPs / SSH安全登录
支持TACACS+多用户身份验证,用于特权用户管理
支持首次登录密码管理
Web GUI无线局域网设置,无线电开/关,波段和频率 选择,SSID/多个SSID, SSID广播开/关
1:1 NAT,端口转发,保护本地流量
支持SNMPv3和实体MIB (RFC4133), MIB II (RFC1213) • NTP v3 时间管理
3.2 交换机部分
- 不少于4个千兆combo口,4个千兆SFP口,24个10/100/1000自适应RJ45端口端口;
- 交换容量不低于128Gbps,包转发率不低于95.23Mpps
- 三层全线速交换,三层静态路由, RIPv1/v2,OSPF和VRRP
- 1个Console配置端口RJ45接头,2路Digital I/O接口,1个USB接口
- 支持AC(100-240V),高电压DC(80-300V)以及低电压DC(10-60V)冗余电源输入
*RSTP/MSTP,A-RING,ERPSv1v2(ITU-8032),最快环网自愈时间< 20ms*基于端口VLAN(IEEE802.1Q,QinQ),支持256个VLAN以及4096个VLAN号*QoS与CoS质量与流量优先级服务, 形成队列和调度以及带宽管理 *网络安全L2-L7 IPv4/IPv6访问控制列表(ACL),HTTPS/SSH/SFTP加密*802.1X MAB 使用非标准的802.1X 终端,RADIUS/TACACS+ 集中密码认证*多种配置方式, 包括CGI WebGUI, CLI, SNMP和RMON(远程网络监控)*支持MQTT协议, 内置AWS/Azure和私有云代理6028GX8-POE工业交换机技术参数
- 28个全千兆接口, 20xGbE RJ45 和4x GbE RJ45/SFP Combo, 4x 100M/1G/2.5G SFP 光口
- 最多支持 8x100M/1G/2.5GbE光口,通过光纤连接更 多的现场交换机
- 强大的1.2GHz ARM Cotex-A9 处理器
- 节能以太网设计,无阻塞交换架构 ,8 个灵活服务分类(CoS) 队列, 512 L2 组播组用于视频 监控应用
- 1个Console配置端口RJ45接头,2路Digital I/O接口,1个USB接口
- 电源输入: AC110/220V (90-264VAC)
*RSTP/MSTP,A-RING,ERPSv1v2(ITU-8032),最快环网自愈时间< 20ms*基于端口VLAN(IEEE802.1Q,QinQ),支持256个VLAN以及4096个VLAN号*QoS与CoS质量与流量优先级服务, 形成队列和调度以及带宽管理 *网络安全L2-L7 IPv4/IPv6访问控制列表(ACL),HTTPS/SSH/SFTP加密*802.1X MAB 使用非标准的802.1X 终端,RADIUS/TACACS+ 集中密码认证*多种配置方式, 包括CGI WebGUI, CLI, SNMP和RMON(远程网络监控)*支持MQTT协议, 内置AWS/Azure和私有云代理3.3网络安全产品S5520 工业互联防火墙技术参数
2 个千兆 Combo 接口,10 个千兆电接口,1U 标准机架,网络吞 吐率 2.5Gbps,并发连接:200 万,含防病毒、防攻击、上网行为 管理、Web 安全防护等增强特性授权。丰富网络特性,适应复杂工业环境复杂网络 恩创工业防火墙基于高性能硬件平台和智能工控安全操作系统(IICS-OS),融合了丰富的网络 特性,在满足 IPv4/IPv6双协议栈的同时,配合DDNS、智能路由、链路负载均衡、服务器负载均衡等特性, 恩创工业防火墙S5520 工业防火墙可在802.1Q、GRE 、RIP、OSPF、VRF、多ISP等各种复杂的工业网络环境中灵活组网,也更符合工业互联 网时代的业务发展趋势。一体化检测引擎,全面精准防御安全风险 恩创S5500系列工业防火墙集成了访问控制、负载均衡、入侵防御、病毒过滤、VPN接入、 威胁可视化等功能,能够为工业用户提供一个灵活、高效、全面的边界安全解决方案。通过超过4000种预定义的攻击特征库、攻击特征自定义能力、高性能病毒检测引擎和报文的深度还原 解析 技术,S5500系列工业互联防火墙具备从数据链路层到应用层的入侵攻击防御和已知/未知病毒实时 检测拦 截能力,从而有效的阻断针对工业网络有目的的攻击行为,全方位保护工业网络中的核心设施,保障 工业生 产系统持续运行。LA6002日志审计与分析系统技术参数
2U机架式设备,2个千兆电口,可扩展12光或12电、4*USB,1个console,1个VGA,1个IPMI管理口,16G内存,2T硬盘,单电源,系统默认30点授权。采集方式:支持、Syslog、WMI文件\文件夹等多种方 式完成日志收集功能。 日志范式化 :实现对异构日志格式的统一化描述,范式化 字段可根据审计需要灵活扩展,并可参与关 联分析; 可自动识别收集的日志并自动选择范化策略, 无须人工指定;支持日志进行聚类分析,能够对原始日志模 式进行自动识别。 日志传输和存储转发 :支持日志加密传输、定时传输和断点续传;支持根据转发条件,将采集后的数据转发到 其他的目标地址。 日志过滤 :支持对无用日志的自动过滤,减少垃圾数据 数量。日志存储 :支持全文索引;支持日志数据的备份恢复功能;支持原始日志和范式化后的日志的同时存储。
