第一章 需求分析
為了滿足現(xiàn)代辦公的需要�����,將目前國內外先進的計算機技術、通信技術���、網絡技術、信息技術�����、自動化控制技術�����、辦公自動化技術等運用在集團中���,以提高集團的管理效率����,節(jié)約能源,以人為本����,最大限度地滿足就辦公人員的需求。
本設計方案中����,集團主要辦公網。辦公網系統(tǒng)滿足集團辦公網應用系統(tǒng)建設和擴展的需要以及用戶Internet訪問需求�����,為集團提供一套高效����、快速、可靠的辦公系統(tǒng)���。
第二章 建設原則與設計思路
二.1 建設原則
計算機網絡系統(tǒng)設計必須適應當前集團各項應用,又可面向未來信息化發(fā)展的需要���,因此必須是高質量的。在設計網絡時��,需要遵循以下原則:
Ø 實用性和先進性
采用先進成熟的技術滿足大規(guī)模數(shù)據���、語音��、視頻綜合業(yè)務需求��,兼顧其他相關的管理需求����,盡可能采用先進的網絡技術以適應更高的數(shù)據���、語音、視頻(多媒體)的傳輸需要���,使整個系統(tǒng)在相當一段時期內保持技術的先進性,以適應未來信息化的發(fā)展的需要�。
Ø 安全可靠性
為保證各項業(yè)務應用���,網絡必須具有高可靠性���,盡量避免系統(tǒng)的單點故障。要對網絡結構��、網絡設備��、服務器設備等各個方面進行高可靠性的設計和建設�。在采用硬件備份、冗余等可靠性技術的基礎上����,在網絡設計方案中要應用網絡管理手段,保證接入網絡用戶身份的合法性����。
Ø 靈活性和可擴展性
計算機網絡系統(tǒng)是一個不斷發(fā)展的系統(tǒng)��,所以它必須具有良好的靈活性和可擴展性�,能夠根據集團不斷深入發(fā)展的需要,方便靈活的擴展網絡覆蓋范圍�、擴大網絡容量和提高網絡的各層次節(jié)點的功能�����。具備支持多種通信媒體�����、多種物理接口的能力����,提供技術升級、設備更新的靈活性���。
Ø 開放性和互連性
具備與多種協(xié)議計算機通信網絡互連互通的特性�,確保本計算機網絡系統(tǒng)的基礎設施的作用可以充分的發(fā)揮�����。在結構上真正實現(xiàn)開放���,基于開放式標準,包括各種局域網�、廣域網、計算機等�����,堅持統(tǒng)一規(guī)范的原則��,從而為未來的發(fā)展奠定基礎。IP地址設計須遵循科技廳計算機網絡TCP/IP地址編碼規(guī)范��;設備及端口模塊、光網卡的選型須滿足國內外相關的技術標準����,并保證與業(yè)界主流的網絡設備廠家的設備互聯(lián)、互通���。
Ø 經濟性和投資保護
應以較高的性能價格比構建本計算機網絡系統(tǒng),使資金的產出投入比達到最大值��。能以較低的成本��、較少的人員投入來維持系統(tǒng)運轉�����,提供高效能與高效益����。盡可能保留延長已有系統(tǒng)的投資�,充分利用以往在資金與技術方面的投入。
網絡設計需要從網絡的穩(wěn)定性��、可靠性�����、先進性�、擴展性、高性價比��、易用性等多方面綜合考慮�����。
二.2 設計思路
針對集團信息網絡業(yè)務需求��,結合當今大型網絡建設原則�,總結出本次網絡建設方案的設計思路:
1. “分區(qū)分域”模塊化設計
采用“分區(qū)分域”模塊化的設計方法����,將集團網絡劃分為不同的功能區(qū)域,使得整個網絡的架構具備可伸縮性�、靈活性、和高可用性��。
2. “核心-接入”二層網絡架構
在網絡層次結構的設計方面�,包括二層結構和三層結構兩種模式�����。為了便于網絡運維��,本次方案設計采用經典的二層結構(接入層�、核心層)進行部署。通過分層部署可以使網絡具有很好的擴展性(無需干擾其它區(qū)域就能根據需要增加容量)�,可以提升網絡的可用性(隔離故障域降低故障對網絡的影響)����,可以簡化網絡的管理(拓撲結構結構更清晰)。典型的二層網絡結構按照網絡核心和接入的模型對應網絡中心節(jié)點以及局域網內的每一個物理或功能區(qū)域�。
3. 千兆接入
在傳統(tǒng)新辦公大樓中,計算機網絡系統(tǒng)應用主要以文字��、圖形表格為主�,對網絡帶寬要求不高���。隨著信息化進程的高速發(fā)展���,網絡系統(tǒng)將迎接新一輪的考驗。數(shù)字化智能大樓依賴網絡平臺,對網絡系統(tǒng)的性能有嚴格要求�����。
因此在本次建設中�,網絡平臺將采用千兆接入的設計思路�����,整體提高網絡吞吐能力���,滿足集團的多媒體等應用需求���,遵循網絡實用性和先進性的建設原則�����。
4. 核心層
在集團辦公網系統(tǒng)應用中�����,為了保證數(shù)據業(yè)務滿足7x24x365不間斷運行�����,網絡系統(tǒng)必須具有可靠的路由策略和故障自愈能力�����。
本次建設中�����,網絡核心層一臺高性能交換機��。多個以太網接口���,實現(xiàn)多臺接入設備接入。上下層設備的雙線接入可通過鏈路聚合技術進行捆綁��,鏈路互為冗余同時更能提高2倍網絡帶寬��。不僅提升網絡吞吐量���,而且提高網絡可靠性。
5. 全方面安全防護
出口部署防火墻設備實現(xiàn)網絡隔離以及木馬和病毒攻擊的防范�。
第三章 網絡系統(tǒng)建設方案
隨著集團的發(fā)展需求,基礎信息化網絡平臺將承載各種應用信息系統(tǒng)����。本項目將為集團建設一套完善的網絡平臺,并實現(xiàn)各個信息系統(tǒng)相互融合��,滿足數(shù)據��、語音����、視訊等多業(yè)務需求���。
三.1 網絡總體設計
集團網絡包括:有線辦公網和無線辦公網��。
網絡整體拓撲圖
三.2 辦公網系統(tǒng)
三.2.1 網絡拓撲
采用“分區(qū)分域”建設原則,劃分為:核心交換區(qū)��、Internet出口區(qū)��、DMZ區(qū)�、終端接入區(qū);
采用“核心-接入”二層網絡結構設計;
高帶寬互聯(lián)��,核心和接入通過千兆互聯(lián)�,接入千兆到桌面;
集團無線接入到辦公網中�,實現(xiàn)移動辦公;
部署邊界防火墻等安全產品提供內網安全防護��。
三.2.2 出口區(qū)
三.2.2.1 多鏈路負載均衡設計
為了規(guī)避運營商出口故障帶來的網絡可用性風險和解決網絡帶寬不足帶來的網絡訪問問題,集團租用多個運營商出口�。如何合理運用多個運營商出口,既不造成資源浪費���,又能很好的服務于集團�����?
傳統(tǒng)的路由轉發(fā)原理是首先根據報文的目的地址查找路由表,然后進行報文轉發(fā)���。但是目前越來越多的用戶希望能夠在傳統(tǒng)路由轉發(fā)的基礎上根據自己定義的策略進行報文轉發(fā)和選路�����。策略路由正是這樣一種可依據用戶制定的策略進行報文路由選路的機制�����。策略路由可使網絡管理者不僅能夠根據報文的目的地址����,而且能夠根據報文的源地址、報文大小和鏈路質量等屬性來制定策略路由��,以改變報文轉發(fā)路徑���,滿足用戶需求。
策略路由具有如下優(yōu)點:
①可以根據用戶實際需求制定策略進行路由選擇�����,增強路由選擇的靈活性和可控性
②可以使不同的數(shù)據流通過不同的鏈路進行發(fā)送��,提高鏈路的利用效率�����。
③在滿足業(yè)務服務質量的前提下����,選擇費用較低的鏈路傳輸業(yè)務數(shù)據,從而降低企業(yè)數(shù)據服務成本�。
三.2.2.2 出口防火墻設計
本方案配置了一臺多功能防火墻,形成了全方位�、立體式的安全防護:
(1) 防火墻硬件模塊自帶豐富的安全防護功能�����,支持豐富的攻擊防范功能�����。包括:
Land���、Smurf、UDP Snork attack����、UDP Chargen DoS attack (Fraggle)��、Large ICMP Traffic ��、Ping of Death、Tiny Fragment �、Tear Drop、IP Spoofing����、IP分片報文、ARP欺騙�����、ARP主動反向查詢�����、TCP報文標志位不合法��、超大ICMP報文��、地址掃描�、端口掃描等攻擊防范,還包括針對SYN Flood�����、UPD Flood�、ICMP Flood、DNS Flood�、CC等常見DDoS攻擊的檢測防御。
(2) IPS入侵防御功能授權具有強大的入侵防御功能�����,并集成了卡巴斯基防病毒
引擎和病毒庫��,是業(yè)界綜合防護技術最領先的入侵防御/檢測系統(tǒng)��。通過深達7層的分析與檢測���,實時阻斷網絡流量中隱藏的病毒、蠕蟲�、木馬�����、間諜軟件��、網頁篡改等攻擊和惡意行為����,并實現(xiàn)對網絡基礎設施、網絡應用和性能的全面保護���;并且還通過了國際權威組織CVE(Common Vulnerabilities & Exposures���,通用漏洞披露)的兼容性認證���,在系統(tǒng)漏洞研究和攻擊防御方面達到了業(yè)界頂尖水
三.2.3 DMZ區(qū)
本次方案設計部署一臺接入交換機構建集團網絡的DMZ區(qū)����,同時通過專業(yè)的WAF設備(Web防火墻)確保網站業(yè)務可用性,防止數(shù)據泄露/網頁篡改����;采用WAF設備自帶的WEB chche、壓縮����、HTTP協(xié)議優(yōu)化等技術可以提高Web服務器的訪問速度。
三.2.4 核心交換區(qū)
整體網絡以中心機房為核心點�,采用星型拓撲結構�����,網絡核心層部署在中心機房。核心層的建設基于高可靠�����、高性能�����、高安全以及可擴展性強的原則�����。因此�����,在核心層部署一臺高性能核心交換機��,提供網絡核心業(yè)務數(shù)據的高速轉發(fā)�����。核心交換機采用多電源冗余設計,使核心設備具有高可靠性�。同時核心交換機選用具有電信級別99.999%可靠性的高端交換機,交換機采用模塊化架構,交換引擎�����、電源��、風扇���、業(yè)務接入模塊等部件均可實現(xiàn)在線熱拔插以及1:1的冗余備份��。在配置上����,核心交換機單機配置冗余交換引擎����,具有不間斷轉發(fā)功能�,在一個交換引擎故障時能在快速完成故障切換。
核心交換機配置高密度的網絡接口���,滿足下層接入交換機等設備的接入需求���。
本次方案設計辦公網核心交換機通過千兆鏈路與辦公網接入交換機互聯(lián)�。
粵公網安備 44030502005090號
點擊咨詢
0755-83177251
18120418309 
