第一章 需求分析
為了滿足現(xiàn)代辦公的需要,將目前國(guó)內(nèi)外先進(jìn)的計(jì)算機(jī)技術(shù)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)、信息技術(shù)、自動(dòng)化控制技術(shù)、辦公自動(dòng)化技術(shù)等運(yùn)用在集團(tuán)中,以提高集團(tuán)的管理效率,節(jié)約能源,以人為本,最大限度地滿足就辦公人員的需求。
本設(shè)計(jì)方案中,集團(tuán)主要辦公網(wǎng)。辦公網(wǎng)系統(tǒng)滿足集團(tuán)辦公網(wǎng)應(yīng)用系統(tǒng)建設(shè)和擴(kuò)展的需要以及用戶Internet訪問(wèn)需求,為集團(tuán)提供一套高效、快速、可靠的辦公系統(tǒng)。
第二章 建設(shè)原則與設(shè)計(jì)思路
二.1 建設(shè)原則
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)必須適應(yīng)當(dāng)前集團(tuán)各項(xiàng)應(yīng)用,又可面向未來(lái)信息化發(fā)展的需要,因此必須是高質(zhì)量的。在設(shè)計(jì)網(wǎng)絡(luò)時(shí),需要遵循以下原則:
Ø 實(shí)用性和先進(jìn)性
采用先進(jìn)成熟的技術(shù)滿足大規(guī)模數(shù)據(jù)、語(yǔ)音、視頻綜合業(yè)務(wù)需求,兼顧其他相關(guān)的管理需求,盡可能采用先進(jìn)的網(wǎng)絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)、語(yǔ)音、視頻(多媒體)的傳輸需要,使整個(gè)系統(tǒng)在相當(dāng)一段時(shí)期內(nèi)保持技術(shù)的先進(jìn)性,以適應(yīng)未來(lái)信息化的發(fā)展的需要。
Ø 安全可靠性
為保證各項(xiàng)業(yè)務(wù)應(yīng)用,網(wǎng)絡(luò)必須具有高可靠性,盡量避免系統(tǒng)的單點(diǎn)故障。要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備等各個(gè)方面進(jìn)行高可靠性的設(shè)計(jì)和建設(shè)。在采用硬件備份、冗余等可靠性技術(shù)的基礎(chǔ)上,在網(wǎng)絡(luò)設(shè)計(jì)方案中要應(yīng)用網(wǎng)絡(luò)管理手段,保證接入網(wǎng)絡(luò)用戶身份的合法性。
Ø 靈活性和可擴(kuò)展性
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)不斷發(fā)展的系統(tǒng),所以它必須具有良好的靈活性和可擴(kuò)展性,能夠根據(jù)集團(tuán)不斷深入發(fā)展的需要,方便靈活的擴(kuò)展網(wǎng)絡(luò)覆蓋范圍、擴(kuò)大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點(diǎn)的功能。具備支持多種通信媒體、多種物理接口的能力,提供技術(shù)升級(jí)、設(shè)備更新的靈活性。
Ø 開(kāi)放性和互連性
具備與多種協(xié)議計(jì)算機(jī)通信網(wǎng)絡(luò)互連互通的特性,確保本計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮。在結(jié)構(gòu)上真正實(shí)現(xiàn)開(kāi)放,基于開(kāi)放式標(biāo)準(zhǔn),包括各種局域網(wǎng)、廣域網(wǎng)、計(jì)算機(jī)等,堅(jiān)持統(tǒng)一規(guī)范的原則,從而為未來(lái)的發(fā)展奠定基礎(chǔ)。IP地址設(shè)計(jì)須遵循科技廳計(jì)算機(jī)網(wǎng)絡(luò)TCP/IP地址編碼規(guī)范;設(shè)備及端口模塊、光網(wǎng)卡的選型須滿足國(guó)內(nèi)外相關(guān)的技術(shù)標(biāo)準(zhǔn),并保證與業(yè)界主流的網(wǎng)絡(luò)設(shè)備廠家的設(shè)備互聯(lián)、互通。
Ø 經(jīng)濟(jì)性和投資保護(hù)
應(yīng)以較高的性能價(jià)格比構(gòu)建本計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),使資金的產(chǎn)出投入比達(dá)到最大值。能以較低的成本、較少的人員投入來(lái)維持系統(tǒng)運(yùn)轉(zhuǎn),提供高效能與高效益。盡可能保留延長(zhǎng)已有系統(tǒng)的投資,充分利用以往在資金與技術(shù)方面的投入。
網(wǎng)絡(luò)設(shè)計(jì)需要從網(wǎng)絡(luò)的穩(wěn)定性、可靠性、先進(jìn)性、擴(kuò)展性、高性價(jià)比、易用性等多方面綜合考慮。
二.2 設(shè)計(jì)思路
針對(duì)集團(tuán)信息網(wǎng)絡(luò)業(yè)務(wù)需求,結(jié)合當(dāng)今大型網(wǎng)絡(luò)建設(shè)原則,總結(jié)出本次網(wǎng)絡(luò)建設(shè)方案的設(shè)計(jì)思路:
1. “分區(qū)分域”模塊化設(shè)計(jì)
采用“分區(qū)分域”模塊化的設(shè)計(jì)方法,將集團(tuán)網(wǎng)絡(luò)劃分為不同的功能區(qū)域,使得整個(gè)網(wǎng)絡(luò)的架構(gòu)具備可伸縮性、靈活性、和高可用性。
2. “核心-接入”二層網(wǎng)絡(luò)架構(gòu)
在網(wǎng)絡(luò)層次結(jié)構(gòu)的設(shè)計(jì)方面,包括二層結(jié)構(gòu)和三層結(jié)構(gòu)兩種模式。為了便于網(wǎng)絡(luò)運(yùn)維,本次方案設(shè)計(jì)采用經(jīng)典的二層結(jié)構(gòu)(接入層、核心層)進(jìn)行部署。通過(guò)分層部署可以使網(wǎng)絡(luò)具有很好的擴(kuò)展性(無(wú)需干擾其它區(qū)域就能根據(jù)需要增加容量),可以提升網(wǎng)絡(luò)的可用性(隔離故障域降低故障對(duì)網(wǎng)絡(luò)的影響),可以簡(jiǎn)化網(wǎng)絡(luò)的管理(拓?fù)浣Y(jié)構(gòu)結(jié)構(gòu)更清晰)。典型的二層網(wǎng)絡(luò)結(jié)構(gòu)按照網(wǎng)絡(luò)核心和接入的模型對(duì)應(yīng)網(wǎng)絡(luò)中心節(jié)點(diǎn)以及局域網(wǎng)內(nèi)的每一個(gè)物理或功能區(qū)域。
3. 千兆接入
在傳統(tǒng)新辦公大樓中,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)應(yīng)用主要以文字、圖形表格為主,對(duì)網(wǎng)絡(luò)帶寬要求不高。隨著信息化進(jìn)程的高速發(fā)展,網(wǎng)絡(luò)系統(tǒng)將迎接新一輪的考驗(yàn)。數(shù)字化智能大樓依賴網(wǎng)絡(luò)平臺(tái),對(duì)網(wǎng)絡(luò)系統(tǒng)的性能有嚴(yán)格要求。
因此在本次建設(shè)中,網(wǎng)絡(luò)平臺(tái)將采用千兆接入的設(shè)計(jì)思路,整體提高網(wǎng)絡(luò)吞吐能力,滿足集團(tuán)的多媒體等應(yīng)用需求,遵循網(wǎng)絡(luò)實(shí)用性和先進(jìn)性的建設(shè)原則。
4. 核心層
在集團(tuán)辦公網(wǎng)系統(tǒng)應(yīng)用中,為了保證數(shù)據(jù)業(yè)務(wù)滿足7x24x365不間斷運(yùn)行,網(wǎng)絡(luò)系統(tǒng)必須具有可靠的路由策略和故障自愈能力。
本次建設(shè)中,網(wǎng)絡(luò)核心層一臺(tái)高性能交換機(jī)。多個(gè)以太網(wǎng)接口,實(shí)現(xiàn)多臺(tái)接入設(shè)備接入。上下層設(shè)備的雙線接入可通過(guò)鏈路聚合技術(shù)進(jìn)行捆綁,鏈路互為冗余同時(shí)更能提高2倍網(wǎng)絡(luò)帶寬。不僅提升網(wǎng)絡(luò)吞吐量,而且提高網(wǎng)絡(luò)可靠性。
5. 全方面安全防護(hù)
出口部署防火墻設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)隔離以及木馬和病毒攻擊的防范。
第三章 網(wǎng)絡(luò)系統(tǒng)建設(shè)方案
隨著集團(tuán)的發(fā)展需求,基礎(chǔ)信息化網(wǎng)絡(luò)平臺(tái)將承載各種應(yīng)用信息系統(tǒng)。本項(xiàng)目將為集團(tuán)建設(shè)一套完善的網(wǎng)絡(luò)平臺(tái),并實(shí)現(xiàn)各個(gè)信息系統(tǒng)相互融合,滿足數(shù)據(jù)、語(yǔ)音、視訊等多業(yè)務(wù)需求。
三.1 網(wǎng)絡(luò)總體設(shè)計(jì)
集團(tuán)網(wǎng)絡(luò)包括:有線辦公網(wǎng)和無(wú)線辦公網(wǎng)。
網(wǎng)絡(luò)整體拓?fù)鋱D
三.2 辦公網(wǎng)系統(tǒng)
三.2.1 網(wǎng)絡(luò)拓?fù)?/p>
采用“分區(qū)分域”建設(shè)原則,劃分為:核心交換區(qū)、Internet出口區(qū)、DMZ區(qū)、終端接入?yún)^(qū);
采用“核心-接入”二層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì);
高帶寬互聯(lián),核心和接入通過(guò)千兆互聯(lián),接入千兆到桌面;
集團(tuán)無(wú)線接入到辦公網(wǎng)中,實(shí)現(xiàn)移動(dòng)辦公;
部署邊界防火墻等安全產(chǎn)品提供內(nèi)網(wǎng)安全防護(hù)。
三.2.2 出口區(qū)
三.2.2.1 多鏈路負(fù)載均衡設(shè)計(jì)
為了規(guī)避運(yùn)營(yíng)商出口故障帶來(lái)的網(wǎng)絡(luò)可用性風(fēng)險(xiǎn)和解決網(wǎng)絡(luò)帶寬不足帶來(lái)的網(wǎng)絡(luò)訪問(wèn)問(wèn)題,集團(tuán)租用多個(gè)運(yùn)營(yíng)商出口。如何合理運(yùn)用多個(gè)運(yùn)營(yíng)商出口,既不造成資源浪費(fèi),又能很好的服務(wù)于集團(tuán)?
傳統(tǒng)的路由轉(zhuǎn)發(fā)原理是首先根據(jù)報(bào)文的目的地址查找路由表,然后進(jìn)行報(bào)文轉(zhuǎn)發(fā)。但是目前越來(lái)越多的用戶希望能夠在傳統(tǒng)路由轉(zhuǎn)發(fā)的基礎(chǔ)上根據(jù)自己定義的策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)和選路。策略路由正是這樣一種可依據(jù)用戶制定的策略進(jìn)行報(bào)文路由選路的機(jī)制。策略路由可使網(wǎng)絡(luò)管理者不僅能夠根據(jù)報(bào)文的目的地址,而且能夠根據(jù)報(bào)文的源地址、報(bào)文大小和鏈路質(zhì)量等屬性來(lái)制定策略路由,以改變報(bào)文轉(zhuǎn)發(fā)路徑,滿足用戶需求。
策略路由具有如下優(yōu)點(diǎn):
①可以根據(jù)用戶實(shí)際需求制定策略進(jìn)行路由選擇,增強(qiáng)路由選擇的靈活性和可控性
②可以使不同的數(shù)據(jù)流通過(guò)不同的鏈路進(jìn)行發(fā)送,提高鏈路的利用效率。
③在滿足業(yè)務(wù)服務(wù)質(zhì)量的前提下,選擇費(fèi)用較低的鏈路傳輸業(yè)務(wù)數(shù)據(jù),從而降低企業(yè)數(shù)據(jù)服務(wù)成本。
三.2.2.2 出口防火墻設(shè)計(jì)
本方案配置了一臺(tái)多功能防火墻,形成了全方位、立體式的安全防護(hù):
(1) 防火墻硬件模塊自帶豐富的安全防護(hù)功能,支持豐富的攻擊防范功能。包括:
Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic 、Ping of Death、Tiny Fragment 、Tear Drop、IP Spoofing、IP分片報(bào)文、ARP欺騙、ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法、超大ICMP報(bào)文、地址掃描、端口掃描等攻擊防范,還包括針對(duì)SYN Flood、UPD Flood、ICMP Flood、DNS Flood、CC等常見(jiàn)DDoS攻擊的檢測(cè)防御。
(2) IPS入侵防御功能授權(quán)具有強(qiáng)大的入侵防御功能,并集成了卡巴斯基防病毒
引擎和病毒庫(kù),是業(yè)界綜合防護(hù)技術(shù)最領(lǐng)先的入侵防御/檢測(cè)系統(tǒng)。通過(guò)深達(dá)7層的分析與檢測(cè),實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲(chóng)、木馬、間諜軟件、網(wǎng)頁(yè)篡改等攻擊和惡意行為,并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù);并且還通過(guò)了國(guó)際權(quán)威組織CVE(Common Vulnerabilities & Exposures,通用漏洞披露)的兼容性認(rèn)證,在系統(tǒng)漏洞研究和攻擊防御方面達(dá)到了業(yè)界頂尖水
三.2.3 DMZ區(qū)
本次方案設(shè)計(jì)部署一臺(tái)接入交換機(jī)構(gòu)建集團(tuán)網(wǎng)絡(luò)的DMZ區(qū),同時(shí)通過(guò)專業(yè)的WAF設(shè)備(Web防火墻)確保網(wǎng)站業(yè)務(wù)可用性,防止數(shù)據(jù)泄露/網(wǎng)頁(yè)篡改;采用WAF設(shè)備自帶的WEB chche、壓縮、HTTP協(xié)議優(yōu)化等技術(shù)可以提高Web服務(wù)器的訪問(wèn)速度。
三.2.4 核心交換區(qū)
整體網(wǎng)絡(luò)以中心機(jī)房為核心點(diǎn),采用星型拓?fù)浣Y(jié)構(gòu),網(wǎng)絡(luò)核心層部署在中心機(jī)房。核心層的建設(shè)基于高可靠、高性能、高安全以及可擴(kuò)展性強(qiáng)的原則。因此,在核心層部署一臺(tái)高性能核心交換機(jī),提供網(wǎng)絡(luò)核心業(yè)務(wù)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。核心交換機(jī)采用多電源冗余設(shè)計(jì),使核心設(shè)備具有高可靠性。同時(shí)核心交換機(jī)選用具有電信級(jí)別99.999%可靠性的高端交換機(jī),交換機(jī)采用模塊化架構(gòu),交換引擎、電源、風(fēng)扇、業(yè)務(wù)接入模塊等部件均可實(shí)現(xiàn)在線熱拔插以及1:1的冗余備份。在配置上,核心交換機(jī)單機(jī)配置冗余交換引擎,具有不間斷轉(zhuǎn)發(fā)功能,在一個(gè)交換引擎故障時(shí)能在快速完成故障切換。
核心交換機(jī)配置高密度的網(wǎng)絡(luò)接口,滿足下層接入交換機(jī)等設(shè)備的接入需求。
本次方案設(shè)計(jì)辦公網(wǎng)核心交換機(jī)通過(guò)千兆鏈路與辦公網(wǎng)接入交換機(jī)互聯(lián)。