第一章 需求分析
為了滿足現(xiàn)代辦公的需要�,將目前國內(nèi)外先進的計算機技術(shù)、通信技術(shù)�、網(wǎng)絡(luò)技術(shù)����、信息技術(shù)�、自動化控制技術(shù)、辦公自動化技術(shù)等運用在集團中�����,以提高集團的管理效率�,節(jié)約能源,以人為本��,最大限度地滿足就辦公人員的需求。
本設(shè)計方案中����,集團主要辦公網(wǎng)。辦公網(wǎng)系統(tǒng)滿足集團辦公網(wǎng)應(yīng)用系統(tǒng)建設(shè)和擴展的需要以及用戶Internet訪問需求����,為集團提供一套高效、快速���、可靠的辦公系統(tǒng)�。
第二章 建設(shè)原則與設(shè)計思路
二.1 建設(shè)原則
計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計必須適應(yīng)當(dāng)前集團各項應(yīng)用���,又可面向未來信息化發(fā)展的需要�����,因此必須是高質(zhì)量的�����。在設(shè)計網(wǎng)絡(luò)時�,需要遵循以下原則:
Ø 實用性和先進性
采用先進成熟的技術(shù)滿足大規(guī)模數(shù)據(jù)�����、語音、視頻綜合業(yè)務(wù)需求�����,兼顧其他相關(guān)的管理需求�,盡可能采用先進的網(wǎng)絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)�、語音、視頻(多媒體)的傳輸需要�,使整個系統(tǒng)在相當(dāng)一段時期內(nèi)保持技術(shù)的先進性,以適應(yīng)未來信息化的發(fā)展的需要��。
Ø 安全可靠性
為保證各項業(yè)務(wù)應(yīng)用���,網(wǎng)絡(luò)必須具有高可靠性��,盡量避免系統(tǒng)的單點故障�����。要對網(wǎng)絡(luò)結(jié)構(gòu)�、網(wǎng)絡(luò)設(shè)備��、服務(wù)器設(shè)備等各個方面進行高可靠性的設(shè)計和建設(shè)。在采用硬件備份�����、冗余等可靠性技術(shù)的基礎(chǔ)上�����,在網(wǎng)絡(luò)設(shè)計方案中要應(yīng)用網(wǎng)絡(luò)管理手段�����,保證接入網(wǎng)絡(luò)用戶身份的合法性��。
Ø 靈活性和可擴展性
計算機網(wǎng)絡(luò)系統(tǒng)是一個不斷發(fā)展的系統(tǒng)�����,所以它必須具有良好的靈活性和可擴展性���,能夠根據(jù)集團不斷深入發(fā)展的需要��,方便靈活的擴展網(wǎng)絡(luò)覆蓋范圍�����、擴大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點的功能���。具備支持多種通信媒體����、多種物理接口的能力���,提供技術(shù)升級�、設(shè)備更新的靈活性����。
Ø 開放性和互連性
具備與多種協(xié)議計算機通信網(wǎng)絡(luò)互連互通的特性�����,確保本計算機網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮�����。在結(jié)構(gòu)上真正實現(xiàn)開放�,基于開放式標(biāo)準(zhǔn),包括各種局域網(wǎng)、廣域網(wǎng)�、計算機等,堅持統(tǒng)一規(guī)范的原則�����,從而為未來的發(fā)展奠定基礎(chǔ)�����。IP地址設(shè)計須遵循科技廳計算機網(wǎng)絡(luò)TCP/IP地址編碼規(guī)范��;設(shè)備及端口模塊�����、光網(wǎng)卡的選型須滿足國內(nèi)外相關(guān)的技術(shù)標(biāo)準(zhǔn)���,并保證與業(yè)界主流的網(wǎng)絡(luò)設(shè)備廠家的設(shè)備互聯(lián)����、互通�����。
Ø 經(jīng)濟性和投資保護
應(yīng)以較高的性能價格比構(gòu)建本計算機網(wǎng)絡(luò)系統(tǒng),使資金的產(chǎn)出投入比達(dá)到最大值����。能以較低的成本、較少的人員投入來維持系統(tǒng)運轉(zhuǎn)�����,提供高效能與高效益�。盡可能保留延長已有系統(tǒng)的投資,充分利用以往在資金與技術(shù)方面的投入����。
網(wǎng)絡(luò)設(shè)計需要從網(wǎng)絡(luò)的穩(wěn)定性、可靠性���、先進性、擴展性����、高性價比、易用性等多方面綜合考慮�。
二.2 設(shè)計思路
針對集團信息網(wǎng)絡(luò)業(yè)務(wù)需求,結(jié)合當(dāng)今大型網(wǎng)絡(luò)建設(shè)原則����,總結(jié)出本次網(wǎng)絡(luò)建設(shè)方案的設(shè)計思路:
1. “分區(qū)分域”模塊化設(shè)計
采用“分區(qū)分域”模塊化的設(shè)計方法���,將集團網(wǎng)絡(luò)劃分為不同的功能區(qū)域,使得整個網(wǎng)絡(luò)的架構(gòu)具備可伸縮性��、靈活性���、和高可用性�����。
2. “核心-接入”二層網(wǎng)絡(luò)架構(gòu)
在網(wǎng)絡(luò)層次結(jié)構(gòu)的設(shè)計方面�����,包括二層結(jié)構(gòu)和三層結(jié)構(gòu)兩種模式���。為了便于網(wǎng)絡(luò)運維,本次方案設(shè)計采用經(jīng)典的二層結(jié)構(gòu)(接入層��、核心層)進行部署�����。通過分層部署可以使網(wǎng)絡(luò)具有很好的擴展性(無需干擾其它區(qū)域就能根據(jù)需要增加容量),可以提升網(wǎng)絡(luò)的可用性(隔離故障域降低故障對網(wǎng)絡(luò)的影響)�,可以簡化網(wǎng)絡(luò)的管理(拓?fù)浣Y(jié)構(gòu)結(jié)構(gòu)更清晰)。典型的二層網(wǎng)絡(luò)結(jié)構(gòu)按照網(wǎng)絡(luò)核心和接入的模型對應(yīng)網(wǎng)絡(luò)中心節(jié)點以及局域網(wǎng)內(nèi)的每一個物理或功能區(qū)域����。
3. 千兆接入
在傳統(tǒng)新辦公大樓中,計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)用主要以文字��、圖形表格為主����,對網(wǎng)絡(luò)帶寬要求不高。隨著信息化進程的高速發(fā)展����,網(wǎng)絡(luò)系統(tǒng)將迎接新一輪的考驗。數(shù)字化智能大樓依賴網(wǎng)絡(luò)平臺����,對網(wǎng)絡(luò)系統(tǒng)的性能有嚴(yán)格要求。
因此在本次建設(shè)中�����,網(wǎng)絡(luò)平臺將采用千兆接入的設(shè)計思路�����,整體提高網(wǎng)絡(luò)吞吐能力�����,滿足集團的多媒體等應(yīng)用需求��,遵循網(wǎng)絡(luò)實用性和先進性的建設(shè)原則�����。
4. 核心層
在集團辦公網(wǎng)系統(tǒng)應(yīng)用中���,為了保證數(shù)據(jù)業(yè)務(wù)滿足7x24x365不間斷運行�,網(wǎng)絡(luò)系統(tǒng)必須具有可靠的路由策略和故障自愈能力�。
本次建設(shè)中,網(wǎng)絡(luò)核心層一臺高性能交換機��。多個以太網(wǎng)接口�,實現(xiàn)多臺接入設(shè)備接入。上下層設(shè)備的雙線接入可通過鏈路聚合技術(shù)進行捆綁��,鏈路互為冗余同時更能提高2倍網(wǎng)絡(luò)帶寬����。不僅提升網(wǎng)絡(luò)吞吐量�,而且提高網(wǎng)絡(luò)可靠性��。
5. 全方面安全防護
出口部署防火墻設(shè)備實現(xiàn)網(wǎng)絡(luò)隔離以及木馬和病毒攻擊的防范����。
第三章 網(wǎng)絡(luò)系統(tǒng)建設(shè)方案
隨著集團的發(fā)展需求,基礎(chǔ)信息化網(wǎng)絡(luò)平臺將承載各種應(yīng)用信息系統(tǒng)�。本項目將為集團建設(shè)一套完善的網(wǎng)絡(luò)平臺,并實現(xiàn)各個信息系統(tǒng)相互融合�,滿足數(shù)據(jù)、語音�����、視訊等多業(yè)務(wù)需求�。
三.1 網(wǎng)絡(luò)總體設(shè)計
集團網(wǎng)絡(luò)包括:有線辦公網(wǎng)和無線辦公網(wǎng)。
網(wǎng)絡(luò)整體拓?fù)鋱D
三.2 辦公網(wǎng)系統(tǒng)
三.2.1 網(wǎng)絡(luò)拓?fù)?/p>
采用“分區(qū)分域”建設(shè)原則����,劃分為:核心交換區(qū)、Internet出口區(qū)�、DMZ區(qū)、終端接入?yún)^(qū)�;
采用“核心-接入”二層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計;
高帶寬互聯(lián),核心和接入通過千兆互聯(lián)���,接入千兆到桌面���;
集團無線接入到辦公網(wǎng)中,實現(xiàn)移動辦公�����;
部署邊界防火墻等安全產(chǎn)品提供內(nèi)網(wǎng)安全防護��。
三.2.2 出口區(qū)
三.2.2.1 多鏈路負(fù)載均衡設(shè)計
為了規(guī)避運營商出口故障帶來的網(wǎng)絡(luò)可用性風(fēng)險和解決網(wǎng)絡(luò)帶寬不足帶來的網(wǎng)絡(luò)訪問問題�����,集團租用多個運營商出口�。如何合理運用多個運營商出口,既不造成資源浪費�,又能很好的服務(wù)于集團?
傳統(tǒng)的路由轉(zhuǎn)發(fā)原理是首先根據(jù)報文的目的地址查找路由表��,然后進行報文轉(zhuǎn)發(fā)�。但是目前越來越多的用戶希望能夠在傳統(tǒng)路由轉(zhuǎn)發(fā)的基礎(chǔ)上根據(jù)自己定義的策略進行報文轉(zhuǎn)發(fā)和選路。策略路由正是這樣一種可依據(jù)用戶制定的策略進行報文路由選路的機制�。策略路由可使網(wǎng)絡(luò)管理者不僅能夠根據(jù)報文的目的地址��,而且能夠根據(jù)報文的源地址��、報文大小和鏈路質(zhì)量等屬性來制定策略路由���,以改變報文轉(zhuǎn)發(fā)路徑,滿足用戶需求�。
策略路由具有如下優(yōu)點:
①可以根據(jù)用戶實際需求制定策略進行路由選擇,增強路由選擇的靈活性和可控性
②可以使不同的數(shù)據(jù)流通過不同的鏈路進行發(fā)送�,提高鏈路的利用效率。
③在滿足業(yè)務(wù)服務(wù)質(zhì)量的前提下��,選擇費用較低的鏈路傳輸業(yè)務(wù)數(shù)據(jù)��,從而降低企業(yè)數(shù)據(jù)服務(wù)成本�����。
三.2.2.2 出口防火墻設(shè)計
本方案配置了一臺多功能防火墻�,形成了全方位、立體式的安全防護:
(1) 防火墻硬件模塊自帶豐富的安全防護功能����,支持豐富的攻擊防范功能。包括:
Land、Smurf��、UDP Snork attack�、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic ����、Ping of Death���、Tiny Fragment �、Tear Drop�����、IP Spoofing��、IP分片報文��、ARP欺騙���、ARP主動反向查詢����、TCP報文標(biāo)志位不合法、超大ICMP報文����、地址掃描、端口掃描等攻擊防范��,還包括針對SYN Flood�、UPD Flood、ICMP Flood�、DNS Flood、CC等常見DDoS攻擊的檢測防御�����。
(2) IPS入侵防御功能授權(quán)具有強大的入侵防御功能�����,并集成了卡巴斯基防病毒
引擎和病毒庫���,是業(yè)界綜合防護技術(shù)最領(lǐng)先的入侵防御/檢測系統(tǒng)�����。通過深達(dá)7層的分析與檢測���,實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒����、蠕蟲��、木馬�、間諜軟件、網(wǎng)頁篡改等攻擊和惡意行為����,并實現(xiàn)對網(wǎng)絡(luò)基礎(chǔ)設(shè)施���、網(wǎng)絡(luò)應(yīng)用和性能的全面保護�;并且還通過了國際權(quán)威組織CVE(Common Vulnerabilities & Exposures�,通用漏洞披露)的兼容性認(rèn)證,在系統(tǒng)漏洞研究和攻擊防御方面達(dá)到了業(yè)界頂尖水
三.2.3 DMZ區(qū)
本次方案設(shè)計部署一臺接入交換機構(gòu)建集團網(wǎng)絡(luò)的DMZ區(qū)���,同時通過專業(yè)的WAF設(shè)備(Web防火墻)確保網(wǎng)站業(yè)務(wù)可用性�,防止數(shù)據(jù)泄露/網(wǎng)頁篡改��;采用WAF設(shè)備自帶的WEB chche��、壓縮、HTTP協(xié)議優(yōu)化等技術(shù)可以提高Web服務(wù)器的訪問速度����。
三.2.4 核心交換區(qū)
整體網(wǎng)絡(luò)以中心機房為核心點,采用星型拓?fù)浣Y(jié)構(gòu)��,網(wǎng)絡(luò)核心層部署在中心機房���。核心層的建設(shè)基于高可靠�����、高性能�、高安全以及可擴展性強的原則����。因此,在核心層部署一臺高性能核心交換機��,提供網(wǎng)絡(luò)核心業(yè)務(wù)數(shù)據(jù)的高速轉(zhuǎn)發(fā)����。核心交換機采用多電源冗余設(shè)計,使核心設(shè)備具有高可靠性����。同時核心交換機選用具有電信級別99.999%可靠性的高端交換機�����,交換機采用模塊化架構(gòu)�,交換引擎���、電源�、風(fēng)扇��、業(yè)務(wù)接入模塊等部件均可實現(xiàn)在線熱拔插以及1:1的冗余備份�。在配置上��,核心交換機單機配置冗余交換引擎�,具有不間斷轉(zhuǎn)發(fā)功能,在一個交換引擎故障時能在快速完成故障切換��。
核心交換機配置高密度的網(wǎng)絡(luò)接口����,滿足下層接入交換機等設(shè)備的接入需求。
本次方案設(shè)計辦公網(wǎng)核心交換機通過千兆鏈路與辦公網(wǎng)接入交換機互聯(lián)�。
粵公網(wǎng)安備 44030502005090號
點擊咨詢
0755-83177251
18120418309 
