T3航站楼网络最终深化设计方案.doc
T3航站楼网络系统设计方案建议杭州华为3Com技术有限公司中国软件与技术服务股份有限公司2006年12月目 录1.T3航站楼网络系统需求分析12.方案设计原则42.1.适用性42.2.标准化42.3.系统的可用性42.4.稳定可靠性52.5.可管理性52.6.可扩展性52.7.安全性52.8.可维护性62.9.服务质量62.10.层次化设计63.方案设计概要74.机场网络结构设计74.1.机场整体网络结构74.2.整体路由规划设计94.3.机场核心骨干网方案设计104.3.1.机场核心骨干网结构设计104.3.2.机场核心骨干层路由规划104.3.3.机场核心骨干网设备选型114.4.机场地面运行网络结构方案设计124.4.1.地面运行系统需求分析124.4.2.地面运行网络拓扑结构134.4.3.地面运行网络路由规划164.4.3.1.BGP路由规划164.4.3.2.OSPF路由规划174.4.3.3.关于进出防火墙流量对称性实现方案184.4.3.4.关于路由可靠性方案184.4.4.设备选型184.5.离港系统方案设计194.5.1.离港系统需求分析194.5.2.离港系统网络结构194.5.3.离港网络路由设计214.5.3.1.BGP路由规划214.5.3.2.OSPF路由规划224.5.3.3.关于进出防火墙流量对称性实现方案234.5.3.4.关于路由可靠性方案234.5.4.设备选型234.6.商业系统方案设计234.6.1.商业系统需求分析234.6.2.商业系统网络结构244.6.3.商业网络路由规划254.6.3.1.BGP路由规划254.6.3.2.OSPF路由规划264.6.3.3.关于进出防火墙流量对称性实现方案274.6.3.4.关于路由可靠性方案274.6.4.设备选型284.7.OA系统网络方案设计284.7.1.OA系统需求分析284.7.2.OA 网络结构284.7.3.OA网络路由设计294.7.3.1.BGP路由规划294.7.3.2.OSPF路由规划304.7.3.3.关于进出防火墙流量对称性实现方案314.7.3.4.关于路由可靠性方案324.7.4.设备选型324.8.无线局域网方案设计324.8.1.无线局域网有线部分324.8.1.1.无线系统需求分析324.8.1.2.无线系统网络结构334.8.1.3.无线网络路由规划344.8.1.4.设备选型354.8.2.无线局域网无线部分354.8.2.1.无线整体方案结构354.8.2.2.认证方式选择374.8.2.3.整网安全374.8.2.4.频率规划与负载均衡384.8.2.5.网络管理404.8.2.6.无线覆盖效果理论计算414.9.安防网络和行李网络路由方案425.IP地址规划原则446.各业务网VLAN规划原则467.QoS规划方案467.1.QoS需求467.2.各业务子网QoS规划467.3.各业务子网具体业务的QOS保障和应用477.4.华为3Com网络设备Diff-Serv/QoS功能特点488.整体网络技术性能说明498.1.核心层网络交换容量和可靠性分析498.2.各业务网性能指标详细描述498.3.各业务网二层链路自愈时间509.网络安全方案509.1.首都机场T3信息系统网络需求分析509.2.建立全网的区域防护体系529.2.1.网络边界安全防护解决方案529.2.2.VPN产品部署方案529.2.3.内部桌面终端安全方案5210.网络管理方案5310.1.网络管理需求分析5310.2.Quidview各组件功能特点5310.2.1.网管平台Quidview NMF5310.2.2.设备管理组件5910.2.3.网络配置中心(NCC)6011.接口设计6112.华为3Com公司解决方案优势总结6212.1.网络整体方案优势6212.2.产品、技术优势6313.相关设备性能指标6413.1.核心交换机S9500介绍6413.2.汇聚交换机S7506R介绍6913.3.服务器交换机S56007313.4.接入交换机 Quidview S36008013.5.骨干防火墙Fortigate1000(连接业务网和机场核心网)8813.6.外联防火墙Fortigate 800/300(连接Internet或中航信空管)8913.7.VPN设备 Fortigate 10009013.8.IDS产品简介9013.8.1.Fortigate 8009013.8.2.FortiAnalyzer9113.9.无线AP 3750产品简介9213.10.无线交换机WX4400产品简介951. T3航站楼网络系统需求分析首都机场T3航站楼业务系统包括:离港系统、行李系统、航显系统、广播系统、安防系统、机坪调度、查询系统、问询系统系统、办公、广域网互联系统等。按不同业务子系统划分,包括:地面运行系统、离港系统、行李系统、OA系统、商业系统、安防系统和WLAN接入系统。机场对于面向航班、旅客、货物、驻场客户的一切应用系统的稳定性、可靠性、安全性、可管理性以及便捷性要求极高。l 系统稳定性业务系统、业务应用要求稳定,不可中断;每日均有数以万计的旅客与货物经过各大机场,机场工作人员要针对每一位旅客、一件货物进行流程化处理,一旦某个系统环节出现问题将导致整个业务处理流程的中断,从而积压大量的业务无法处理。这势必耽误旅客的时间,延迟货物的交货期,不仅给客户带来了损失,同时也给自身带来了更大的损失。l 系统安全性整个机场系统的安全是稳定性的有利保障,单一的防火墙、入侵检测 或 病毒防护已经不足以实现真正安全的网络,必须实现全方位立体安全。l 系统可管理机场具有庞大的信息化办公系统,包括了主机设备、存储设备、网络设备、安全设备、航显广播设备等等,并且基本上每套系统均有独立的网管平台,为增强系统的可管可控性,各管理系统将会逐渐走向融合,并且融入对终端用户的权限管理、操作管理、网络的策略管理等特性。l 应用移动性鉴于机场空间广阔,在地勤人员服务过程中避免不了的需要查询机场的相关服务系统信息,或与相应部分进行工作沟通、确认等工作,因此机场在未来的网络规划中应能满足这些实时的移动性服务应用,如机坪服务人员在机坪工作过程中还没有与航站楼信息沟通的平台。并且为了避免各办公系统线缆的新建、改建、扩建等问题,无线网络则可以为机场提供移动解决方案,使机场的办公服务从静态变为动态。为了便捷,机场内部办公网、候机厅旅客同样对Wlan的无线应用具有高度需求。l 业务融合性单一的业务应用已无法满足机场的自动化需求,传统的数据网络需要融入语音、视频等新技术,适应机场未来的发展。因此在网络结构、容量、策略、保障机制、Qos等方面重新需要整合规划,以满足综合业务网(三网合一)的需求。 经过对首都机场不同业务系统充分调研,各个不同业务子系统之间关系对应表如下:地面运行离港行李OA商业安防无线T1/T2集团公司地面运行资源分配(登机口、航班计划等)实时重要,主要是文本数据,经由骨干网航班计划和动态,实时重要,文本数据,经由骨干网资源分配,非实时,文本数据,经由骨干网,离港实时重要,直通,文本数据实时业务,非主流业务,文本数据,经由骨干网,行李实时业务,非主流业务,文本数据,经由骨干网,OA偶尔调看摄像头,非主要业务,视频流数据,经由骨干网实时互通,非生产性业务,综合数据,经由骨干网,商业定期互通,非主要业务,综合数据,经由骨干网,安防无线T1/T2集团公司通过以上分析,各业务系统之间通过机场骨干网互通的业务系统有:地面运行<->离港、行李、T1/T2离港<->地面运行、行李、无线行李<->无线OA<->安防、集团公司商业<->集团公司其中实时重要的有:地面运行<->离港、行李离港<->行李(非经由骨干网)、无线行李<->无线数据以文本和综合数据(视频、语音、数据)为主。以上业务系统之间关系分析,可以对整个机场网络系统设计起到指导作用。2. 方案设计原则适用性整个网络系统的功能和性能应完全立足于机场生产运营管理,满足T3 IT/弱电系统的应用需求,提供有效的网络通讯带宽,以满足日益增长的机场航班和旅客处理量的需求,并考虑充分满足当前直到2015以后5年内机场航班和旅客处理量增长的要求。标准化在本次的网络设计中,无论是无线局域网的选择还是路由交换设备的选型以及路由协议等都要体现标准化和开放性的原则,或遵从标准化的趋势。网络协议选用已成为工业标准的 TCP/IP协议,采用标准化的OSPF/BGP路由协议。网管软件应支持已被广泛接受的工业标准的SNMP协议。系统的可用性(1) 系统设备的可用性: 系统的交换机、路由器、防火墙、入侵防护设备等的可用性定义于所有的组成部件可用或所有的功能可操作。除了下面(2)所指定的设备计划维修时间外,每个设备的可用时间将不能低于99.999% 。(2) 计划的设备检修时间:网络设备的检修停机时间是用来更新系统的软件和维修部件。但是在这段时间内要保证不能超过10%的网络设备不能使用。以下这些原因是属于可以接受的检修停机时间:l 如果网络设备的软件需要维护或更新, 或者网络系统需要维护,每个网络设备都将因维护或更新而无法使用,但这时需要停机的网络汇聚、核心设备(包括交换机、骨干防火墙)不应超过一个。l 在非使用的高峰期,如果一台网络设备没有被使用也可以对其执行相应的维护和更新。l 非使用高峰期定义的时间段为:1:00AM-5:00AM。稳定可靠性可靠的网络是数据传输的保障,由于BCIA T3的各项业务应用都依赖于网络的传输,因此不仅要保证网络的顺畅,而且要确保有足够的带宽,最大程度的保证网络通畅和可靠。网络系统能每天正常连续工作24小时,每年连续运转365天,所有设备具有高度的可靠性和优良的性能。可管理性对网络实行集中监测、分权管理,具有对设备、端口等的管理、流量统计分析,提供故障自动报警、提供日志管理功能。可扩展性要求网络系统的所有硬件、软件和系统平台具有扩充能力,并体现中枢机场的设计要求,具有多航站楼的扩展能力。业务数据的带宽要求会随着业务的变化而变化的,当前的带宽设计预测主要是为了满足2015年以后3-5年的业务需求,这就要求选择网路设备和系统时要考虑其可具有的扩展性,可以在业务高速增长时进行简单易行的带宽扩展。网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展,以及网络规模的扩展能力。安全性在网络传输可靠的基础上,要确保网络数据的安全,防止外部的侵入以及数据的泄露,需要建立一整套的安全体系。要求由防火墙、入侵侦测系统、安全认证系统、防病毒系统等构成集成的主动和自适应的网络安全系统。可维护性对于网络系统,应提供有效的网络管理的系统监控、调试、诊断工具,保证系统维护管理简明、方便、有效,应能集中进行管理。网络管理工作站可监控所有的网络设备及系统的状况。所有硬件故障及错误数据传输都将实时通知网络管理工作站。所有的网络硬件故障以及出错信息都将由网络管理系统收集,并且能够实时报警。网络结构和路由规划方案尽量简单,方便管理维护。服务质量保证对统一的网络带宽资源进行合理调配,在网络发生拥塞时,保障关键业务的传输,提供对数据传输的QoS以及优先级控制,保证服务的质量。层次化设计按照核心、汇聚和接入的模型对T3信息基础网络进行划分l 核心层核心层网络为全网提供高可靠高稳定的数据转发,核心层设计以高可靠,高带宽为主原则。l 汇聚层构成各个功能分区的业务汇聚,提供各个分区内部接入网络的汇聚功能,实现接入控制和安全控制。l 接入层在各个分区分控室监视终端和工作站接入,具有高密度的接入能力。支持基于主机端口的访问控制,并接入的数据进行标记工作,方便对数据在传输过程中实现QoS控制。3. 方案设计概要本方案设计包括,网络结构设计、网络路由规划设计、网络IP地址规划、VLAN划分原则、QoS设计、网络安全设计、网络管理设计等,其中:l 网络结构设计包括,机场骨干核心网设计、T3航站楼各业务系统网络设计;l IP地址规划提出IP地址规划原则和注意事项,并不对具体IP地址做出分配;l 路由设计包括机场整体BGP路由规划和航站楼业务网IGP路由规划;l QoS设计主要在机场网络边缘和汇聚如何保障关键业务流的服务质量;l 网络安全设计包括各业务网边缘安全设计和各业务网内部桌面终端安全设计。4. 机场网络结构设计机场整体网络结构机场整体网络结构包括面向整个机场的核心骨干网络和T1/T2、T3航站楼网络,其中T3航站楼内部包括:地面运行、离港、OA、商业、安防、行李、无线7套物理独立的业务系统网络。整体网络结构如图:骨干网使用万兆互联T1/T2核心节点ITC核心节点首都机场T3航站楼整体网络结构首都机场核心层网络核心交换机S9512防火墙T3B核心节点入侵防护系统汇聚交换机S9505T1/T2航站楼网络T3地面运行网络/离港T3AT3BOA业务网络T3AT3BT3AT3BT3安防/行李/商业/无线网络机场核心骨干网包括三个核心节点,ITC、T3B和T1/T2,三个节点分别设置双设备,并形成冗余链路互联结构。不同业务子网接入核心骨干网方案:1、T3各业务系统网络分别接入ITC和T3B核心节点。T3航站楼对于不同业务系统接入机场核心网的方案有所不同。n 对于地面运行系统网络、离港系统网络,网络规模比较大,网络同外部互联关系比较复杂,因此,在机场骨干网和地面运行系统网络、机场骨干网和离港系统网络之间分别设置四台汇聚交换机(T3A两台、T3B两台),汇聚交换机通过防火墙同地面运行系统网络、离港系统网络的核心交换机互联。n OA系统网络、商业系统网络、无线系统网络,归为同一类型,在业务网核心和机场骨干网之间设置两台汇聚交换机(T3A 1台,T3B 1台),汇聚交换机通过防火墙同业务网核心交换机互联。2、T1/T2接入设置在T2的核心节点。3、集团公司将来再增加一个核心节点,通过该节点接入到核心骨干网来。整体路由规划设计考虑到整个机场网络规模和复杂性以及整个网络的稳定可靠和将来的扩展性,整个机场信息化网络采用BGP路由协议,整个机场网络划分成9个不同的BGP自治域AS(含T1/T2),不同AS同机场核心网之间采用EBGP,整体路由规划如下图所示:BGP AS号采用内部保留AS号,机场骨干网AS100、地面运行网络AS200、离港网络AS300、OA网络AS400、商业网络AS500、安防网络AS600、行李网络AS700、无线网络AS800、T1/T2 AS 900。机场核心骨干网内部采用iBGP承载业务路由,机场核心骨干网和各业务网(地面运行、离港、OA、商业、无线等)之间采用EBGP。采用BGP路由协议可以增加网络可扩展性,并且增强网络路由稳定性,另外,由于BGP路由协议丰富属性,实现路由策略控制非常方便。机场核心骨干网方案设计机场核心骨干网结构设计其中机场核心骨干网结构设计图见总体方案设计图相应部分,设计要点:l 机场核心骨干网络将T1/T2/T3/机场集团各个业务网络联通,核心骨干网节点设置包括:T2(T1/T2)、ITC(T3)、T3B灾备中心,将来根据需要可以将集团公司等单位接入机场核心网。l 每个核心骨干网节点采用双核心万兆交换机,其间采用全冗余万兆链路互联。l 对于T3核心航站楼,规划两个核心节点ITC和T3B,使核心网具有容灾备份特性。l 每个核心节点设置两台设备,设备充分冗余。l 各核心节点之间全冗余链路,网络结构充分可靠。l 对于T3每个业务网同ITC核心节点、T3B核心节点分别互联,各业务网同核心节点之间互联互通性非常可靠。l 核心层设备和各业务网之间链路采用GE光纤链路。机场核心骨干层路由规划核心网络路由规划图:首都机场T3网络骨干核心层路由规划T1/T2核心节点ITC核心节点T3B核心节点iBGP RRn 机场核心骨干网AS内各交换机之间为逻辑上全网状iBGP Peer关系,iBGP承载业务路由n 为减少iBGP全网状逻辑关系配置的复杂度,需要设置iBGP RRn IGP采用 OSPF,OSPF不承载业务路由,只负责iBGP下一跳路由可达性iBGP RRiBGP RR ClientiBGP RR Client机场核心骨干网内交换机之间逻辑上为全网状iBGP Peer关系, iBGP承载业务路由,为减少iBGP全网状逻辑关系配置的复杂度,需要设置iBGP RR,因此将ITC中1台骨干交换机设置为主RR,T3B中1台骨干交换机设置为备份RR。其他骨干交换机设置为RR Client。核心骨干网内IGP采用 OSPF,OSPF不承载业务路由,只负责iBGP下一跳路由可达性,由于AS内网络规模较小,所有核心层设备统一规划为OSPF AREA 0即可。机场核心骨干网设备选型核心交换机选用华为3Com S9500系列交换机核心万兆交换机。S9500交换机详细介绍见后面章节。机场地面运行网络结构方案设计地面运行系统需求分析地面运行系统网络是机场地面运行信息系统的核心部分,主要支持地面运行系统(包括AODB、中央集成管理系统(应用服务中间件平台)、智能消息平台、安全认证平台、信息保障系统、运营资源管理系统、运行监控管理系统、旅客服务系统、应急指挥系统、设备维修维护系统、地理信息系统、接口系统、IT操作管理系统)、航显系统、公共广播系统、消防报警系统、智能楼宇管理系统、时钟系统、飞机泊位引导系统、登机桥监控系统、外场车辆管理系统、停车场收费管理系统等。地面运行网主要支持以航班信息为主的各弱电信息系统,所以网络设计要考虑安全、可靠、可扩展性等因素。在安全可靠方面,机场运行系统网络的可靠性十分必要。在网络系统中不仅要求网络能安全运转,同时要求网络设备具有强的容错能力。由于机场有很多系统在同时运行,所以在整体网络的设计上,我们充分考虑企业计算机网与其他网络系统的连接,并考虑有效的、多重的安全措施,使其能够在与其他网络进行有效的信息传输的同时,又能防止不法分子的攻击。地面运行系统网络的设计是由信息系统集成商负责,在设计上从如下几个方面来实现网络的可靠与容错:(1) 网络互连设备具有一定的冗余功能。这将体现在网络互连设备的关键部件、总线、电源热切换等方面的恰当选择。同时,要求网络系统的任意一台核心交换机和汇聚层交换机可以从网络下线而不影响网络的正常运行。(2) 传输线路的多路由通道,以保证线路的冗余。整个网络为星型结构,T3A与T3B网络连接为多链路,以提供最大的冗余度和系统的可恢复性。T3A核心交换机通过千兆上行链路与机场骨干网连接,实现本系统的应用与其他系统连接与数据交换。地面运行网络拓扑结构地面运行系统网络作为独立的大型局域网,覆盖T3A、T3B、GTC和将来T3C。地面运行系统网络结构如下:地面运行系统网络内部又分为核心层、汇聚层和接入层,T3A和T3B各设置1个核心节点,T3A和T3B各有3个汇聚节点,各设备小间交换机就近接入汇聚节点。T3A和T3B核心节点各设置两台核心交换机,4台核心交换机之间采用全冗余链路互联Unisys采用核心设备跨航站楼互联,在T3A和T3B各设置3个汇聚节点,每个汇聚节点设置2台汇聚交换机,T3A的每节点两台汇聚交换机以全冗余方式接入到T3A 2台核心交换机,T3B的每个节点两台汇聚交换机以全冗余方式接入到T3B 2台核心交换机,各接入层交换机就近双链路连接到两台汇聚交换机。地面运行4台核心交换机之间,采用万兆冗余链路,核心交换机和汇聚交换机之间采用千兆冗余链路。汇聚交换机和接入交换机之间(图中没有画出)采用千兆冗余链路,接入交换机提供10/100M以太网到桌面。其中地面运行系统AODB/航显/广播服务器设置在ITC中心机房,所有服务器在灾备中心设置灾备服务器,ITC中心机房服务器通过服务器交换机接入到T3A,T3B灾备中心通过两台服务器交换机接入到T3核心交换机。地面运行网和核心层网络之间设置一层汇聚交换机,T3A设置2台,T3B设置2台,4台汇聚交换机之间形成冗余互联(可以根据光纤情况规划为口字形或全冗余结构),T3A两台汇聚交换机分别通过千兆链路接入机场核心层ITC节点的两台交换机,同时通过防火墙接入地面运行T3A两台核心交换机;同样,T3B两台汇聚交换机分别通过千兆链路接入T3B机场核心层节点交换机,通过防火墙同地面运行网络T3B交换机。对于空管、国航、海关、边检、检疫等外部单位,接入到T3A地面运行网络和机场核心网络之间的防火墙DMZ区。为了灵活设置多个DMZ,并且方便实现路由策略,地面运行网络和机场核心层之间的防火墙运行在三层路由模式。为了减少复杂性,并且方便运行维护,处于T3A的两台防火墙处于HA主备模式,T3B的两台防火墙也处于HA主备模式。通过路由策略设置,可以使T3A的Active状态防火墙和T3B的Active状态都有流量或只在T3A有流量,会在后面路由规划章节详细描述。对于外部单位同地面运行AODB互通,需要在DMZ设置应用网关服务器,应用网关服务器同时同AODB和外部单位之间互通,为了保证应用网关服务器高可用性,在T3A和T3B分别设置主备服务器,正常情况下,只有T3A应用网关服务器处于主用状态,T3B服务器处于备用状态,应用网关实现主备需要该T3A和T3B DMZ二层交换机之间互通,因此DMZ交换机之间也需要通过千兆光纤互联。广播系统概述首都机场T3航站楼公共广播系统(PAS)采用了目前具有国际最先进水平的基于以太网的数字音频实时传输技术。包括功率放大器以上的各种广播与音频设备均被接入基于综合布线系统的以太网,通过以太网传输所有的与广播有关的音频信号及控制信号。其核心技术即专用于数字音频实时传输的眼镜蛇协议CobraNet Protocol。它利用成熟的快速以太网技术来传输和分配实时、非压缩的数字音频信号,保证音质的不失真即时传播。广播系统将由地面运行系统网络支持,为了保证音频传输质量,将音频传输部分单独组建一个广播音频网络,但广播音频网络也是地面运行系统网络中的一个重要的组成部分,由广播系统集成商负责网络设计。广播系统子网连接在地面运行系统网络下面,网络结构如下:广播子网信息节点数量较少,局域网采用2层结构,在T3A和T3B各设置两台核心交换机,4台核心交换机之间形成全网状冗余结构,接入交换机双上联到核心交换机,GTC和ITC接入交换机接入到T3A。广播系统媒体矩阵接入T3A、T3B核心交换机,语音合成设备通过双网卡一边连接广播系统网络,一边连接地面运行骨干网。由于广播系统Cobranet协议所限,广播系统内部网络必须为纯二层结构,不能有计算机终端和任何三层设备,否则会产生二层碰撞,影响广播系统正常运行。地面运行网络路由规划BGP路由规划BGP路由规划如下图:地面运行网络AS内 BGP只运行在同核心层网络之间互联的4台汇聚交换机,4台汇聚交换机和机场核心骨干网之间分别配置E-BGP Peer关系。所有地面运行网段在4台汇聚交换机上向核心骨干网宣告,为了减少机场骨干网路由条目,并且增加全网稳定性,地面运行网络内部核心节点交换机上BGP以汇聚路由方式向机场骨干网AS进行宣告,这样个别业务网络内部细节路由变化不会影响到骨干网和其他业务网络路由稳定,这需要在4台交换机上分别配置路由吸收桶,为了灵活控制路由策略,需要将地面运行T3A和T3B IP地址网段分开,其中T3A汇聚后的网段(含ITC服务器网段)在T3A的汇聚交换机上宣告,T3B汇聚后的网段在T3B的汇聚交换机上宣告,为了实现互备,将T3A和T3B聚合后的网段同时在T3A和T3B汇聚交换机上宣告,由于路由具有细节路由优先特性,因此,正常情况下骨干网流向T3A和ITC 服务器网段的流量会经过T3A两台汇聚交换机,而骨干网流向T3B的流量会经由T3B的汇聚交换机,而T3A两台汇聚交换机链路都故障情况下,可以自动迂回到T3B,反之同样,实现T3A和T3B互为备份。OSPF路由规划对于地面运行网络内部,OSPF承载细节路由,OSPF域包括:面向核心的4台汇聚交换机以下,所有汇聚节点交换机以上,防火墙为路由模式,也需要运行OSPF,此外,服务器交换机也需要运行OSPF。由于4台面向核心骨干网的汇聚交换机具有全机场路由,因此,为了保证地面运行网内部同机场其他网段的互联互通性,需要在这4台交换机上将BGP路由重分布到OSPF当中。由于接入层VLAN三层网关终结到汇聚交换机,汇聚交换机以上为三层点对点链路。地面运行业务网络内部OSPF AREA规划方式如下图:T3A和T3B航站楼汇聚层交换机以上(含汇聚交换机之间互联链路)规划为OSPF AREA 0,所有VLAN三层网关终结到汇聚交换机,各VLAN网段作为汇聚交换机的直联网段,重分布到OSPF当中,因此接入层交换机链路故障不会影响整个网络路由稳定。关于进出防火墙流量对称性实现方案由于状态防火墙对于进出防火墙的流量必须对称,否则将阻断流量,因此在路由规划时要着重考虑,对于进出T3A防火墙的流量对称规划如下:首先看地面运行内部网络出防火墙流量,由于OSPF就近选路,所有T3A用户和服务器流量都会经由T3A防火墙到达机场核心骨干网,对于回程路由,由于T3A的路由在T3A的面向核心的2台汇聚交换机上向骨干网宣告,在核心骨干网内部,必然会选择从T3A返回,也必然会选择T3A的防火墙进入地面运行网络。 同理,经由T3B防火墙的流量也会保持对称。关于路由可靠性方案所有BGP路由宣告前都已经建立吸收桶,因此除非E-BGP链路或设备出现故障,BGP路由不会收敛,因此整个机场网络非常稳定。对于T3A和T3B的互备,由于同时汇聚T3A和T3B的粗路由也在T3A和T3B宣告,所以当T3A同骨干网之间链路全出现故障情况下,路由会迂回到T3B链路,以此实现互备。如果T3A两台防火墙出现故障,而同核心骨干网之间链路正常,则从T3A返回的流量会迂回到T3B防火墙,不至于出现路由黑洞,因此,4台面向核心的汇聚交换机之间互联非常必要。设备选型地面运行核心交换机采用S9512,汇聚交换机采用二代主控S9505,接入交换机采用S3652P-SI或S3628P-SI。广播系统中心交换机采用S7506,接入交换机采用S3628P-SI。离港系统方案设计离港系统需求分析离港系统网主要为离港系统(自助值机、CUTE、DCS、行李再确认系统)提供网络服务,它是一个实时性与安全可靠要求很高的一套网络系统。T3航站楼离港控制系统分布在五个相对独立的单体建筑T3A、T3B、ITC、公务机楼、专机楼内,基于专用以太网、采用TCP/IP协议互联而构成的离港控制系统。主要有离港系统集成平台、CUTE、离港前端应用系统、本地备份离港控制系统以及离港主机报文系统接口和机场离港系统集成接口等部分组成。在此基础上,全面实现离港系统的基本功能,特性功能和接口功能。离港系统网络结构离港系统网络同样是独立的大型局域网,覆盖T3A、T3B、GTC和将来T3C。离港系统网络内部又分为核心、汇聚和接入层,核心层选用万兆或NXGE捆绑,形成全冗余结构,汇聚采用NXGE同核心层之间形成星型冗余结构,接入层采用冗余GE上联汇聚,提供10/100M以太网到桌面,或千兆到桌面。离港系统网络结构如下:T3离港系统网络结构T3AT3BGTCT3C机场核心骨干网中航信/航空公司等本地离港服务器本地备份离港服务器ITC核心交换机S9512汇聚交换机S9505防火墙入侵防护系统接入交换机S3652P-SI/S3628P-SI汇聚交换机S7506R离港系统在T3A和T3B各设置两台核心交换机,4台核心交换机之间采用“口”字形互联,在T3A和T3B各设置3个汇聚节点,每个汇聚节点设置2台汇聚交换机,T3A的每节点两台汇聚交换机以“口”字形接入到T3A 2台核心交换机,T3B的每个节点两台汇聚交换机以“口”字形接入到T3B 2台核心交换机,各接入层交换机就近双链路连接到两台汇聚交换机。其中离港系统系统本地服务器设置在ITC中心机房,所有服务器在灾备中心设置灾备服务器,ITC中心机房服务器通过服务器交换机接入到T3A,T3B灾备中心通过两台服务器交换机接入到T3核心交换机。T3A两台核心交换机通过两台骨干防火墙接入机场骨干网ITC节点两台交换机,T3B两台核心交换机通过两台骨干防火墙接入到T3B灾备中心节点两台交换机,IPS以旁路方式接到离港系统核心交换机。ITC中心机房服务器交换机通过防火墙接入到中航信和国外航空公司等。离港网络路由设计BGP路由规划离港系统BGP路由规划:SITA使用静态路由连接离港系统和骨干网 离港网络2台汇聚交换机和机场核心骨干网之间分别配置E-BGP Peer关系。所有离港网段在2台汇聚交换机上向核心骨干网宣告,为了减少机场骨干网路由条目,并且增加全网稳定性,在离港网络内部核心节点交换机上BGP以汇聚路由方式向机场骨干网AS进行宣告,这样离港业务网络内部细节路由变化不会影响到骨干网和其他业务网络路由稳定,这需要在2台汇聚交换机上分别配置路由吸收桶,为了灵活控制路由策略,需要将离港T3A和T3B IP地址网段分开,其中T3A汇聚后的网段(含ITC服务器网段)在T3A的汇聚交换机上宣告,T3B汇聚后的网段在T3B的汇聚交换机上宣告,为了实现互备,将T3A和T3B聚合后的网段同时在T3A和T3B汇聚交换机上宣告,由于路由具有细节路由优先特性,因此,正常情况下骨干网流向T3A和ITC 服务器网段的流量会经过T3A汇聚交换机,而骨干网流向T3B的流量会经由T3B的汇聚交换机,而T3A面向核心的汇聚交换机链路都故障情况下,可以自动迂回到T3B,反之同样,实现T3A和T3B互为备份。OSPF路由规划对于离港网络内部,OSPF承载细节路由,OSPF域包括:面向核心的2台汇聚交换机以下,所有汇聚节点交换机以上,防火墙为路由模式,也需要运行OSPF,此外,服务器交换机也需要运行OSPF。为了保证离港网内部同机场其他网段的互联互通性,需要在面向机场核心网络的2台汇聚交换机上将BGP路由重分布到OSPF当中。离港网络内部OSPF AREA规划如下:由于接入层VLAN三层网关终结到航站楼汇聚交换机,航站楼汇聚交换机以上为三层点对点链路,因此离港业务网络内部OSPF AREA规划方式如下图:汇聚层交换机以上(含汇聚交换机之间互联链路)规划为OSPF AREA 0,所有VLAN三层网关终结到汇聚交换机,各VLAN网段作为汇聚交换机的直联网段,重分布到OSPF当中,因此接入层交换机链路故障不会影响整个网络路由稳定。关于进出防火墙流量对称性实现方案由于状态防火墙对于进出防火墙的流量必须对称,否则将阻断流量,因此在路由规划时要着重考虑,对于进出T3A防火墙的流量对称规划如下:首先看离港内部网络出防火墙流量,由于OSPF就近选路,所有T3A用户和服务器网段流量都会经由T3A防火墙到达机场核心骨干网,对于回程路由,由于T3A的路由在T3A的面向核心的1台汇聚交换机上向骨干网宣告,在核心骨干网内部,必然会选择从T3A返回,也必然会选择T3A的防火墙进入离港网络。 同理,经由T3B防火墙的流量也会保持对称。关于路由可靠性方案所有BGP路由宣告前都已经建立吸收桶,因此除非E-BGP链路或设备出现故障,BGP路由不会收敛,因此整个机场网络非常稳定。对于T3A和T3B的互备,由于同时汇聚T3A和T3B的粗路由也在T3A和T3B宣告,所以当T3A同骨干网之间链路全出现故障情况下,路由会迂回到T3B链路,以此实现互备。如果T3A防火墙出现故障,而同核心骨干网之间链路正常,则从T3A返回的流量会迂回到T3B防火墙,不至于出现路由黑洞,因此,2台面向核心的汇聚交换机之间互联非常必要。设备选型离港系统网络核心交换机采用S9512,汇聚交换机采用S7506R,服务器交换机采用S5626C,接入交换机采用S3628P-SI/S3652P-SI。商业系统方案设计商业系统需求分析商业系统网络是为机场T3的商业系统所设计的专门网络系统,在网络上进行交易数据流转。T3航站楼内的经营租户包括零售、餐饮、娱乐、商务等,都要使用机场商业系统提供的POS终端,并且机场商业的MIS系统也将在T3网络上运行,对日常商业活动的采、销、存等商业环节进行管理和控制,因此商业零售网络是一个对实时性和安全性要求很高的网络系统,并且随着商业系统的发展,将来商业零售网络将成为机场重要的生产运行网络,是机场的金融网,通过和各大商业银行的连接在网络上直接传输账户信息和进行资金流转等相关保密信息。商业系统网络所覆盖的区域包括T3所有的商业区域,在商业区域内的所有店铺都设置有若干台商业系统的POS终端。商业系统网络结构网络覆盖范围包括:T3A、T3B、GTC和将来的T3C。商业系统网络结构如下:商业系统在T3A和T3B各设置1台核心交换机,2台核心交换机之间采用