网络设计方案参考XX方案Word下载.docx
《网络设计方案参考XX方案Word下载.docx》由会员分享,可在线阅读,更多相关《网络设计方案参考XX方案Word下载.docx(48页珍藏版)》请在冰豆网上搜索。
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,并应充分考虑安全性,针对各种不同的应用,设计多种的保护机制,如划分VLAN、IP/MAC地址绑定、DDos攻击防御、802.1x、802.1d、802.1w、802.1s等。
可扩展性和易维护性
为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,建议全线采用可网管产品,达到全网集中网管,降低人力资源的费用,提高网络的易用性。
网络系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持三年左右的先进性。
并且从用户的利益出发,一个好的网络系统应当给用户一定的自由度,而不是束缚住他们的手脚,从技术上讲应该采用标准、开放、可扩充的、能与各厂商产品配套使用的设计。
根据XX公司的总体需求,结合对应用系统的考虑,我们提出网络系统的设计目标:
技术选型、体系结构、带宽容量、流量设计、互操作性、运行性能以及可扩展性。
1.2网络系统关键点分析
方案设计需要在满足现有应用要求的前提下,还能够做到对未来需求变化所表现出来的足够的弹性度。
我们首先需要考虑的就是网络的冗余能力和需求变化时的适应能力,同时在适应、投资合理性及使用寿命上寻求一个平衡点。
方案涉及以下几个关键点:
1.保证今后5年内系统应用要求。
随着信息技术的不断提升,各种新技术新系统会得到应用,为了保证这种变化的需要,网络硬件平台应具有强大的功能和更好的技术能力。
2.具有多种网络可控机制。
能够对网络带宽资源进行人为的控制和管理,在需要的时候尽可能的优化XX公司的网络。
同时能够有效地控制办公大楼内各信息点的接入,充分保障整网的安全性。
3.高扩展性。
为了适应、满足未来更多信息点的接入,需要网络系统具备强大的扩展性,并应具备中心平台应有特性:
冗余热备和支持热拔插。
二、网络规划方案说明
2.1网络规划拓扑图
2.2网络规划说明
XX公司总部现有办公室、审计部、经营部、生产技术部、质量安全检查处、人事劳动部、财务部、企业发展部、资产管理部、债权管理部、信息中心、监察处、监事会工作部、法律事务室、宣传中心、培训中心、档案处等17个职能部门,以及工程承包部、海外部、房地产开发部、资金结算中心、物业管理部等5个事业部。
集团总部现主要办公大楼为14层高层建筑,每层楼设有15个房间,每个房间提供3个信息接入点,因此集团总部共计需提供630个信息接入点。
此次网络改造主要涉及到办公楼里的约200个信息点。
因此考虑到建网的先进性、可维护性,以及设备的投资保护,本方案本着“1000M骨干,1000M桌面”的先进的建网理念,我们建议网络架构采用“核心-接入”的两层架构模式。
分区域规划设计
由于XX公司部门较多,后期还会涉及到各下属企业以及各合作公司的接入,因此,从网络架构的合理性及易管理性方面考虑,建议整个办公大楼的网络采用分区域的设计。
即根据各应用的功能不同,分为“核心交换区域”、“网络出口区域”、“外部服务器区域”、“内部服务器区域”、“办公接入区域”以及“网管区域”等,如上图所示。
模块化的区域设计便于我们的管理以及系统的扩展。
核心交换机区域技术规划
XX公司网络核心交换机是连接各区域并保障各区域高速通信的纽带,因此该设备应采用具有大容量、高密度、模块化体系架构的设备,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,还应具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计,从而满足满足现代信息化网络的多种业务承载融合和业务灵活分类、分流的组网需求。
针对XX公司当前近200个信息点的实际情况,要求该设备应具备较高的背板带宽、交换容量和数据吞吐率。
应能提供不少于48个的千兆接口,同时考虑到XX公司后期信息系统可能的扩展,该设备应具备扩展到180个以上千兆接口的能力,甚至应具备扩展多个万兆接口的能力。
并且由于该设备是全网的核心,应具备完善的稳定性设计,例如,双主控冗余、多电源冗余、板卡热拔插等稳定性设计,以及增强的攻击防御能力的设计。
系统建设初期,建议核心交换机配置多电源冗余,保障系统供电的稳定性;
配置两个交换引擎保障整机功能的稳定性;
并配置24个千兆接口,千兆接口主要用于打造XX公司千兆骨干网络,实施各区域的接入。
在网络建设后期,随着信息系统的不断扩展,XX公司可以视情况在核心交换机上增加48或者24端口的千兆模块,以提升系统容量;
甚至可以采用双核心交换机的架构来增强网络平台的稳定性。
办公区域规划
XX公司办公区域信息点的接入,共有约200个信息点。
由于集团未来接入的信息点数量众多,因此建议全网采用网管型的二层交换机,同时从网络传输带宽合理性上考虑,要求二层交换机全部提供24个全千兆接口,同时配置1到2个千兆上行端口。
考虑到近期ARP病毒和DDoS攻击的泛滥,为有效地抵御这类攻击,将其控制在发生的源头,建议部署的二层交换机具备较强的安全功能,在能够实施“IP+MAC+端口”的三元素绑定功能基础上,具备防御DDoS攻击和ARP欺骗的能力。
内部服务器区域网络规划
为了实现XX公司内部各办公区域对内部服务器的高速访问,建议在服务器区域部署一台24端口全千兆二层网管交换机,由其实现各内部服务器的全千兆接入,并将服务器区域千兆连接至办公大楼网络当中。
而对于内部服务器区域安全性方面的考虑,可以从两个方面实施保障,首先在服务器区域千兆交换机上实施对各服务器的IP+MAC+端口的绑定,以抵御DDoS攻击;
然后在核心交换机上启用安全防护功能,配置相应的安全策略,即只能让指定的用户访问服务器指定的服务。
外部服务器区域网络规划
外部服务器区域的网络规划和网络出口区域的规划是相辅相承的,该区域的对外安全防护需要依赖外网防火墙对其的防护,对内安全防护需要以来出口路由器对其的安全防护。
由于该区域既要被外网访问又要接受来自XX公司内部的访问,因此为了保障该区域访问的顺畅,建议同内部服务器区域一样,部署24口全千兆二层网管交换机,由其实现各外部服务器的全千兆接入。
出口区域的规划
出口区域的网络主要由路由器和防火墙组成。
路由器的作用主要有三个方面:
其一是实施NAT地址转换,使XX公司内网用户能够高效地访问外网和外网服务器,由于XX公司规划有近200个信息点,未来会有近600多个信息点接入,因此为了使众多的信息点能够同时顺畅访问外网,要求该路由器具备较强的性能(即带机数),考虑到XX公司信息系统未来数年的发展,建议该设备具备1000用户的带机量。
其二是实施带宽管理策略,即充分保障XX公司每个用户访问公网的公平性,从而使网络出口带宽不被个别人员或个别应用占完。
并且在为每用户公平分配带宽的同时,该设备最好能够实施弹性带宽的策略,即在访问外网的信息点数量较少时,每用户可以分配到较大的出口带宽;
在访问外网的信息点数量较少时,每用户则平均分配出口带宽。
其三是安全控制策略,设置指定的内网用户只能访问指定的外网服务器的服务;
同时防御来自外网的DDoS、冲击波、蠕虫病毒攻击。
出口防火墙则主要用于防护外部服务器免受来自公网的攻击,其工作模式为路由模式。
建议在防火墙上针对外部服务器群启用入侵防御功能、DDoS攻击防御功能、邮件病毒过滤功能等;
针对办公网用户可以在路由器平均分配带宽的基础上,再在防火墙上抑制P2P流量。
网络管理区域的规划
网络建设好后,网管工作员需要做的工作就是如何有效地进行网络管理,好的网管系统能够减轻管理员的工作量,达到事半功倍的效果。
进行网络管理时,通过在中心安装网络管理软件进行全网的拓布管理、配置管理。
网络管理系统可基于Windows平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统。
能提供整个网络的拓扑结构,能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理,结合管理设备所支持的SNMP管理、Telnet管理、Web管理、RMON管理等构成一个功能齐全的网络管理解决方案,实现从网络级到设备级的全方位的网络管理。
对整个网络上的网络设备进行集中式的配置、监视和控制,自动检测网络拓扑结构,监视和控制网段和端口,以及进行网络流量的统计和错误统计,网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。
通过对网络的全面监控,网络管理员可以重构网络结构,使网络达到最佳效果。
web图形化管理界面
网络拓扑管理
状态统计信息管理
2.3安全系统方案
XX公司网络平台建成后,将要传输大量数据,其数据安全性要求是必然的,网络内网与别的网络完全隔离,相对比较安全,对网络的安全存在潜在的威胁。
没有任何一种方法可保证数据是绝对安全的。
对于系统安全的考虑来源于以下方面:
外界非法用户闯入的恶意攻击、非授权的资料存取、假冒合法用户和病毒等。
基于以上安全的考虑,我们利用现有的安全机制和系统设计,从以下几个方面来增强数据的安全性:
利用交换机的过滤规则
各部门间可划分VLAN隔离。
对公共数据的访问可采用用户验证功能
操作系统的存取控制、数据库的存取控制、
对应用程序的存取控制和日常的病毒扫描等
通过使用网络安全策略,我们可保护网络的通讯和数据的安全,控制对系统的访问、提供集中的安全管理和保密性,记录和统计非法网络和数据访问。
2.3.1设置过滤规则(ACL)
在网络内,可设置过滤规则。
在网络中心交换机上,可设置不同的过滤规则,使不同网段间、不同IP地址间,进行访问控制。
对用户进行有效隔离。
IPFiltering是一种硬件路由ASIC,IPFiltering以线速控制网络、主机和硬件中的服务。
IPFiltering在不影响性能的情况下保护网络的内部安全性,IPFiltering以线速控制VLAN、子网和主机之间的流量,只允许授权用户访问所跨越的区域。
它能够按源和/或目标IP和TCP信息域发送包。
与许多路由器上基于软件的访问控制表功能相似IPFiltering机制实施以线速认可和拒绝政策。
相对于访问控制的安全政策能够采用IPFiltering在IP、IPX和TCP层实施。
IPFiltering借助过滤功能提供高速度流量控制服务,基于ASIC的包过滤,其依据是:
源/目的槽位/端口
源/目的VLAN
源/目的IP地址
源/目的TCP&
UDP端口
支持内部发起连接的Reflexive端口
源MAC
当验证包源地址和目标地址组合时,优先规则一般依赖于有最高优先权的特定规则。
最一般的规则优先级最低。
2.3.2设置VLAN
本网络的基本通讯协议是TCP/IP。
在内外网络中可以通过在交换机上,基于一定的策略,把用户分为不同的“逻辑工作组”(VLAN),而不改变网络的物理连接。
一个逻辑工作组就是一个虚拟网。
同一个逻辑工作组中的用户,可以不受物理网段位置的限止,通过一定的策略,定义网络资源的访问权限。
VLAN的划分可基于:
基于端口、MAC地址、第三层地址、端口绑定、协议类型和用户自定义的VLAN
身份验证和基于策略的VLAN
802.1p的硬件支持,包括“混合”和“透明”端口
升级会员 