第一章 需求分析
為了滿足現(xiàn)代辦公的需要�,將目前國(guó)內(nèi)外先進(jìn)的計(jì)算機(jī)技術(shù)���、通信技術(shù)��、網(wǎng)絡(luò)技術(shù)�����、信息技術(shù)���、自動(dòng)化控制技術(shù)、辦公自動(dòng)化技術(shù)等運(yùn)用在集團(tuán)中�����,以提高集團(tuán)的管理效率����,節(jié)約能源,以人為本�,最大限度地滿足就辦公人員的需求���。
本設(shè)計(jì)方案中,集團(tuán)主要辦公網(wǎng)��。辦公網(wǎng)系統(tǒng)滿足集團(tuán)辦公網(wǎng)應(yīng)用系統(tǒng)建設(shè)和擴(kuò)展的需要以及用戶Internet訪問(wèn)需求�����,為集團(tuán)提供一套高效��、快速�����、可靠的辦公系統(tǒng)��。
第二章 建設(shè)原則與設(shè)計(jì)思路
二.1 建設(shè)原則
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)必須適應(yīng)當(dāng)前集團(tuán)各項(xiàng)應(yīng)用����,又可面向未來(lái)信息化發(fā)展的需要,因此必須是高質(zhì)量的����。在設(shè)計(jì)網(wǎng)絡(luò)時(shí),需要遵循以下原則:
Ø 實(shí)用性和先進(jìn)性
采用先進(jìn)成熟的技術(shù)滿足大規(guī)模數(shù)據(jù)����、語(yǔ)音�、視頻綜合業(yè)務(wù)需求���,兼顧其他相關(guān)的管理需求�,盡可能采用先進(jìn)的網(wǎng)絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)�����、語(yǔ)音����、視頻(多媒體)的傳輸需要�����,使整個(gè)系統(tǒng)在相當(dāng)一段時(shí)期內(nèi)保持技術(shù)的先進(jìn)性���,以適應(yīng)未來(lái)信息化的發(fā)展的需要����。
Ø 安全可靠性
為保證各項(xiàng)業(yè)務(wù)應(yīng)用�����,網(wǎng)絡(luò)必須具有高可靠性,盡量避免系統(tǒng)的單點(diǎn)故障��。要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)�����、網(wǎng)絡(luò)設(shè)備���、服務(wù)器設(shè)備等各個(gè)方面進(jìn)行高可靠性的設(shè)計(jì)和建設(shè)����。在采用硬件備份�����、冗余等可靠性技術(shù)的基礎(chǔ)上�,在網(wǎng)絡(luò)設(shè)計(jì)方案中要應(yīng)用網(wǎng)絡(luò)管理手段,保證接入網(wǎng)絡(luò)用戶身份的合法性�����。
Ø 靈活性和可擴(kuò)展性
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)不斷發(fā)展的系統(tǒng),所以它必須具有良好的靈活性和可擴(kuò)展性�,能夠根據(jù)集團(tuán)不斷深入發(fā)展的需要,方便靈活的擴(kuò)展網(wǎng)絡(luò)覆蓋范圍��、擴(kuò)大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點(diǎn)的功能��。具備支持多種通信媒體�、多種物理接口的能力,提供技術(shù)升級(jí)����、設(shè)備更新的靈活性。
Ø 開(kāi)放性和互連性
具備與多種協(xié)議計(jì)算機(jī)通信網(wǎng)絡(luò)互連互通的特性�����,確保本計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮��。在結(jié)構(gòu)上真正實(shí)現(xiàn)開(kāi)放���,基于開(kāi)放式標(biāo)準(zhǔn),包括各種局域網(wǎng)��、廣域網(wǎng)�、計(jì)算機(jī)等,堅(jiān)持統(tǒng)一規(guī)范的原則,從而為未來(lái)的發(fā)展奠定基礎(chǔ)�����。IP地址設(shè)計(jì)須遵循科技廳計(jì)算機(jī)網(wǎng)絡(luò)TCP/IP地址編碼規(guī)范�;設(shè)備及端口模塊、光網(wǎng)卡的選型須滿足國(guó)內(nèi)外相關(guān)的技術(shù)標(biāo)準(zhǔn)����,并保證與業(yè)界主流的網(wǎng)絡(luò)設(shè)備廠家的設(shè)備互聯(lián)、互通�����。
Ø 經(jīng)濟(jì)性和投資保護(hù)
應(yīng)以較高的性能價(jià)格比構(gòu)建本計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)�����,使資金的產(chǎn)出投入比達(dá)到最大值���。能以較低的成本���、較少的人員投入來(lái)維持系統(tǒng)運(yùn)轉(zhuǎn),提供高效能與高效益�。盡可能保留延長(zhǎng)已有系統(tǒng)的投資,充分利用以往在資金與技術(shù)方面的投入。
網(wǎng)絡(luò)設(shè)計(jì)需要從網(wǎng)絡(luò)的穩(wěn)定性�����、可靠性����、先進(jìn)性、擴(kuò)展性��、高性價(jià)比��、易用性等多方面綜合考慮���。
二.2 設(shè)計(jì)思路
針對(duì)集團(tuán)信息網(wǎng)絡(luò)業(yè)務(wù)需求��,結(jié)合當(dāng)今大型網(wǎng)絡(luò)建設(shè)原則�,總結(jié)出本次網(wǎng)絡(luò)建設(shè)方案的設(shè)計(jì)思路:
1. “分區(qū)分域”模塊化設(shè)計(jì)
采用“分區(qū)分域”模塊化的設(shè)計(jì)方法���,將集團(tuán)網(wǎng)絡(luò)劃分為不同的功能區(qū)域�����,使得整個(gè)網(wǎng)絡(luò)的架構(gòu)具備可伸縮性、靈活性、和高可用性����。
2. “核心-接入”二層網(wǎng)絡(luò)架構(gòu)
在網(wǎng)絡(luò)層次結(jié)構(gòu)的設(shè)計(jì)方面,包括二層結(jié)構(gòu)和三層結(jié)構(gòu)兩種模式���。為了便于網(wǎng)絡(luò)運(yùn)維����,本次方案設(shè)計(jì)采用經(jīng)典的二層結(jié)構(gòu)(接入層�、核心層)進(jìn)行部署。通過(guò)分層部署可以使網(wǎng)絡(luò)具有很好的擴(kuò)展性(無(wú)需干擾其它區(qū)域就能根據(jù)需要增加容量)��,可以提升網(wǎng)絡(luò)的可用性(隔離故障域降低故障對(duì)網(wǎng)絡(luò)的影響)��,可以簡(jiǎn)化網(wǎng)絡(luò)的管理(拓?fù)浣Y(jié)構(gòu)結(jié)構(gòu)更清晰)�。典型的二層網(wǎng)絡(luò)結(jié)構(gòu)按照網(wǎng)絡(luò)核心和接入的模型對(duì)應(yīng)網(wǎng)絡(luò)中心節(jié)點(diǎn)以及局域網(wǎng)內(nèi)的每一個(gè)物理或功能區(qū)域。
3. 千兆接入
在傳統(tǒng)新辦公大樓中��,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)應(yīng)用主要以文字�����、圖形表格為主���,對(duì)網(wǎng)絡(luò)帶寬要求不高����。隨著信息化進(jìn)程的高速發(fā)展,網(wǎng)絡(luò)系統(tǒng)將迎接新一輪的考驗(yàn)�����。數(shù)字化智能大樓依賴網(wǎng)絡(luò)平臺(tái)����,對(duì)網(wǎng)絡(luò)系統(tǒng)的性能有嚴(yán)格要求。
因此在本次建設(shè)中�,網(wǎng)絡(luò)平臺(tái)將采用千兆接入的設(shè)計(jì)思路,整體提高網(wǎng)絡(luò)吞吐能力�����,滿足集團(tuán)的多媒體等應(yīng)用需求�,遵循網(wǎng)絡(luò)實(shí)用性和先進(jìn)性的建設(shè)原則。
4. 核心層
在集團(tuán)辦公網(wǎng)系統(tǒng)應(yīng)用中�,為了保證數(shù)據(jù)業(yè)務(wù)滿足7x24x365不間斷運(yùn)行,網(wǎng)絡(luò)系統(tǒng)必須具有可靠的路由策略和故障自愈能力�。
本次建設(shè)中,網(wǎng)絡(luò)核心層一臺(tái)高性能交換機(jī)�。多個(gè)以太網(wǎng)接口��,實(shí)現(xiàn)多臺(tái)接入設(shè)備接入����。上下層設(shè)備的雙線接入可通過(guò)鏈路聚合技術(shù)進(jìn)行捆綁���,鏈路互為冗余同時(shí)更能提高2倍網(wǎng)絡(luò)帶寬。不僅提升網(wǎng)絡(luò)吞吐量����,而且提高網(wǎng)絡(luò)可靠性。
5. 全方面安全防護(hù)
出口部署防火墻設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)隔離以及木馬和病毒攻擊的防范�����。
第三章 網(wǎng)絡(luò)系統(tǒng)建設(shè)方案
隨著集團(tuán)的發(fā)展需求����,基礎(chǔ)信息化網(wǎng)絡(luò)平臺(tái)將承載各種應(yīng)用信息系統(tǒng)。本項(xiàng)目將為集團(tuán)建設(shè)一套完善的網(wǎng)絡(luò)平臺(tái)�����,并實(shí)現(xiàn)各個(gè)信息系統(tǒng)相互融合��,滿足數(shù)據(jù)、語(yǔ)音��、視訊等多業(yè)務(wù)需求�����。
三.1 網(wǎng)絡(luò)總體設(shè)計(jì)
集團(tuán)網(wǎng)絡(luò)包括:有線辦公網(wǎng)和無(wú)線辦公網(wǎng)�����。
網(wǎng)絡(luò)整體拓?fù)鋱D
三.2 辦公網(wǎng)系統(tǒng)
三.2.1 網(wǎng)絡(luò)拓?fù)?/p>
采用“分區(qū)分域”建設(shè)原則�����,劃分為:核心交換區(qū)�����、Internet出口區(qū)��、DMZ區(qū)�、終端接入?yún)^(qū);
采用“核心-接入”二層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì);
高帶寬互聯(lián)��,核心和接入通過(guò)千兆互聯(lián)��,接入千兆到桌面;
集團(tuán)無(wú)線接入到辦公網(wǎng)中�����,實(shí)現(xiàn)移動(dòng)辦公��;
部署邊界防火墻等安全產(chǎn)品提供內(nèi)網(wǎng)安全防護(hù)�。
三.2.2 出口區(qū)
三.2.2.1 多鏈路負(fù)載均衡設(shè)計(jì)
為了規(guī)避運(yùn)營(yíng)商出口故障帶來(lái)的網(wǎng)絡(luò)可用性風(fēng)險(xiǎn)和解決網(wǎng)絡(luò)帶寬不足帶來(lái)的網(wǎng)絡(luò)訪問(wèn)問(wèn)題�,集團(tuán)租用多個(gè)運(yùn)營(yíng)商出口。如何合理運(yùn)用多個(gè)運(yùn)營(yíng)商出口����,既不造成資源浪費(fèi),又能很好的服務(wù)于集團(tuán)����?
傳統(tǒng)的路由轉(zhuǎn)發(fā)原理是首先根據(jù)報(bào)文的目的地址查找路由表,然后進(jìn)行報(bào)文轉(zhuǎn)發(fā)����。但是目前越來(lái)越多的用戶希望能夠在傳統(tǒng)路由轉(zhuǎn)發(fā)的基礎(chǔ)上根據(jù)自己定義的策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)和選路。策略路由正是這樣一種可依據(jù)用戶制定的策略進(jìn)行報(bào)文路由選路的機(jī)制���。策略路由可使網(wǎng)絡(luò)管理者不僅能夠根據(jù)報(bào)文的目的地址��,而且能夠根據(jù)報(bào)文的源地址�����、報(bào)文大小和鏈路質(zhì)量等屬性來(lái)制定策略路由����,以改變報(bào)文轉(zhuǎn)發(fā)路徑,滿足用戶需求��。
策略路由具有如下優(yōu)點(diǎn):
①可以根據(jù)用戶實(shí)際需求制定策略進(jìn)行路由選擇��,增強(qiáng)路由選擇的靈活性和可控性
②可以使不同的數(shù)據(jù)流通過(guò)不同的鏈路進(jìn)行發(fā)送�����,提高鏈路的利用效率��。
③在滿足業(yè)務(wù)服務(wù)質(zhì)量的前提下�����,選擇費(fèi)用較低的鏈路傳輸業(yè)務(wù)數(shù)據(jù)���,從而降低企業(yè)數(shù)據(jù)服務(wù)成本�。
三.2.2.2 出口防火墻設(shè)計(jì)
本方案配置了一臺(tái)多功能防火墻,形成了全方位�、立體式的安全防護(hù):
(1) 防火墻硬件模塊自帶豐富的安全防護(hù)功能,支持豐富的攻擊防范功能�����。包括:
Land��、Smurf�、UDP Snork attack、UDP Chargen DoS attack (Fraggle)���、Large ICMP Traffic 、Ping of Death�、Tiny Fragment 、Tear Drop����、IP Spoofing、IP分片報(bào)文��、ARP欺騙����、ARP主動(dòng)反向查詢����、TCP報(bào)文標(biāo)志位不合法�、超大ICMP報(bào)文、地址掃描�、端口掃描等攻擊防范,還包括針對(duì)SYN Flood�、UPD Flood、ICMP Flood����、DNS Flood、CC等常見(jiàn)DDoS攻擊的檢測(cè)防御���。
(2) IPS入侵防御功能授權(quán)具有強(qiáng)大的入侵防御功能���,并集成了卡巴斯基防病毒
引擎和病毒庫(kù),是業(yè)界綜合防護(hù)技術(shù)最領(lǐng)先的入侵防御/檢測(cè)系統(tǒng)����。通過(guò)深達(dá)7層的分析與檢測(cè),實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒�、蠕蟲(chóng)����、木馬��、間諜軟件��、網(wǎng)頁(yè)篡改等攻擊和惡意行為����,并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù)�����;并且還通過(guò)了國(guó)際權(quán)威組織CVE(Common Vulnerabilities & Exposures����,通用漏洞披露)的兼容性認(rèn)證�,在系統(tǒng)漏洞研究和攻擊防御方面達(dá)到了業(yè)界頂尖水
三.2.3 DMZ區(qū)
本次方案設(shè)計(jì)部署一臺(tái)接入交換機(jī)構(gòu)建集團(tuán)網(wǎng)絡(luò)的DMZ區(qū),同時(shí)通過(guò)專業(yè)的WAF設(shè)備(Web防火墻)確保網(wǎng)站業(yè)務(wù)可用性���,防止數(shù)據(jù)泄露/網(wǎng)頁(yè)篡改��;采用WAF設(shè)備自帶的WEB chche�����、壓縮���、HTTP協(xié)議優(yōu)化等技術(shù)可以提高Web服務(wù)器的訪問(wèn)速度���。
三.2.4 核心交換區(qū)
整體網(wǎng)絡(luò)以中心機(jī)房為核心點(diǎn),采用星型拓?fù)浣Y(jié)構(gòu)���,網(wǎng)絡(luò)核心層部署在中心機(jī)房���。核心層的建設(shè)基于高可靠、高性能��、高安全以及可擴(kuò)展性強(qiáng)的原則����。因此,在核心層部署一臺(tái)高性能核心交換機(jī)��,提供網(wǎng)絡(luò)核心業(yè)務(wù)數(shù)據(jù)的高速轉(zhuǎn)發(fā)�。核心交換機(jī)采用多電源冗余設(shè)計(jì),使核心設(shè)備具有高可靠性�。同時(shí)核心交換機(jī)選用具有電信級(jí)別99.999%可靠性的高端交換機(jī)�����,交換機(jī)采用模塊化架構(gòu)�����,交換引擎����、電源����、風(fēng)扇、業(yè)務(wù)接入模塊等部件均可實(shí)現(xiàn)在線熱拔插以及1:1的冗余備份����。在配置上,核心交換機(jī)單機(jī)配置冗余交換引擎�����,具有不間斷轉(zhuǎn)發(fā)功能��,在一個(gè)交換引擎故障時(shí)能在快速完成故障切換����。
核心交換機(jī)配置高密度的網(wǎng)絡(luò)接口,滿足下層接入交換機(jī)等設(shè)備的接入需求�。
本次方案設(shè)計(jì)辦公網(wǎng)核心交換機(jī)通過(guò)千兆鏈路與辦公網(wǎng)接入交換機(jī)互聯(lián)。
粵公網(wǎng)安備 44030502005090號(hào)
點(diǎn)擊咨詢
0755-83177251
18120418309 
