海南核电网络信息系统总体实施规划.docx
《海南核电网络信息系统总体实施规划.docx》由会员分享,可在线阅读,更多相关《海南核电网络信息系统总体实施规划.docx(11页珍藏版)》请在冰豆网上搜索。
海南核电网络信息系统总体实施规划
海南核电有限公司
海口办公区与昌江现场网络信息系统总体实施规划
目录
一、网络结构3
1.海口总体网络结构说明:
3
2.昌江现场网络结构说明:
4
3.区域互联方案5
二、VLAN划分6
1.确定网络的逻辑Vlan划分原则6
2.预定各vlan网段如下:
7
3.确定每个vlan的端口数量8
4.确定每个交换机上vlan的配置信息8
三、设备命名8
四、IP地址分配9
1.确定总体IP地址范围9
2.确定每个Vlan需要对应的IP地址范围9
3.确定网络设备管理地址11
五、路由规划11
1.路由协议选择11
六、安全访问控制12
七、广域网连接12
为了保证海南核电有限公司计算机网络系统项目中网络设备调试工程的顺利实施,在实施前我公司和海南核电有限公司相关工作人员共同协商制定实施方案,确定实施中的一些技术问题。
一、网络结构
1.海口总体网络结构说明:
海口办公点网络根据功能和业务划分为两各安全区域:
⏹办公网区域:
海口办公点用户和内部服务器接入的区域;
⏹对外服务区(DMZ区):
提供外来访问的接入;
两个安全区域中,办公网区域安全级别最高,DMZ安全级别次之。
两个区域通过防火墙进行逻辑隔离,并通过专线接入Internet。
⏹办公区网络设计
考虑到办公点的规模,办公网采用“压缩主干”方式设计,即按照核心层和接入层进行设计。
核心层采用1台CiscoCatalyst4506E高性能三层模块化交换机作为中心交换机,交换机配置如下:
✓配置了1块WS-X4516路由交换引擎模块。
✓配置了2块1400W的交换机电源实现交换机电源冗余。
✓配置了1块24个10/100/1000MRJ-45端口的千兆接口模块实现向下千兆连接接入交换机,向上连接防火墙。
24个10/100/1000MRJ-45UTP接口中一部分可用作为接入交换机提供100米距离范围内的千兆双绞线上联,其余的端口则作为内部服务器接入使用。
接入层配置3台Catalyst2960二层交换机为用户提供100M以太接入。
该设备提供48个10/100M的RJ-45端口和2个千兆上联接口。
每台Catalyst2960交换机通过1个千兆上联口与中心交换机Catalyst4506E实现2Gbps(全双工)的互联,也可以通过2个千兆“捆绑”后上联口与中心交换机Catalyst4506E实现4Gbps(全双工)的高速互联。
⏹DMZ区网络设计
配置1台24口的Catalst2960作为DMZ区的接入交换机,为对外服务器,如:
Email、防垃圾邮件网关、SSLVPN等设备提供网络接入。
⏹防火墙系统设计
配置了一台天融信NGFW4000硬件百兆防火墙。
该防火墙配置有4个10/100MRJ-45端口。
防火墙1个接口作为内口用于连接内部网络的核心交换机;1个接口作为外口用于连接Internet;1个接口作为DMZ口,用于连接提供外部访问的服务器。
⏹防垃圾邮件网关设计
在DMZ区配置1台梭子鱼防垃圾邮件网关,该设备还内置了防病毒模块,可以对外域发往本域的邮件进行垃圾邮件的过滤,对邮件中携带的病毒进行清除或删除。
⏹SSLVPN设计
在防火墙DMZ区部署1台ARRAY的SPX2000SSLVPN设备。
移动办公用户只需通过Internet访问该设备,然后经过认证服务器的认证后,建立VPN通道,即可安全地访问被授权的内网资源,实现外部移动用户对内部资源的安全访问。
SSLVPN通过部署在办公网的域服务器实现对移动用户的身份认证。
2.昌江现场网络结构说明:
采用2台Catalyst3750高性能三层交换机堆叠构建昌江现场办公网。
根据现场用户规模,2台设备其中1台配置为24口和2个SFP扩充插槽,另1台配置为48口和2个SFP扩充插槽。
网络总的接入容量为72个10/100RJ45接口。
配置了一台天融信NGFW4000硬件百兆防火墙。
该防火墙配置有4个10/100MRJ-45端口。
防火墙1个接口作为内口用于连接内部网络的核心交换机;1个接口作为外口用于连接Internet。
3.区域互联方案
由于海口办公区、昌江现场、秦山二期和北京四地的网络都已经接入Internet,并在出口配置了具有VPN功能的防火墙。
因此,可采用IPSecSite-to-SiteVPN通过Internet这种实现四地网络的安全互联(北京及秦山二期防火墙是否兼容需确认)。
二、VLAN划分
1.确定网络的逻辑Vlan划分原则
从网络性能和网络安全控制方面,建议汇聚层设备上VLAN划分遵循两项规则:
地域位置和行政结构。
为了减少跨地域的信息流量,一般将同一地域内的接入终端划分至同一个VLAN,如果同一地域内,接入终端较多,则遵循接入终端所属的行政结构,再进一步进行划分。
2.预定各vlan网段如下:
部门
Vlan
网络管理
1
服务器网段
2
DMZ区
3
Internet接入
4
办公区1
11
办公区2
12
办公区3
13
办公区4
14
3.确定每个vlan的端口数量
单个VLAN内的设备数量不超过200个。
4.确定每个交换机上vlan的配置信息
每个交换机上的VLAN配置需要在实施中,确定每个交换机上连接的用户类型具体确定。
三、设备命名
为了设备便于识别和管理,设备应该按统一的方式命名。
1、设备的命名
设备命名需要体现设备的类型、位置。
其方式如下:
AA-CCCC-D
AA:
地理位置
HK-海口
CJ-昌江
BB:
设备所在位置:
ZXJF-中心机房
CCCC:
设备类型。
主要的设备类型有:
4506C4506核心主交换机
3750C3750-48/24
2960C2960-48
D:
设备的序号,用来区分同一位置同类型设备。
共7台交换机,命名原则为指明交换机所在的位置和型号。
命名如下:
交换机位置
交换机名
海口中心机房交换机4506
HK-ZXJF-4506
海口中心机房2960-1
HK-ZXJF-2960-1
海口中心机房2960-2
HK-ZXJF-2960-2
海口中心机房2960-3
HK-ZXJF-2960-3
海口中心机房2960-4
HK-ZXJF-2960-4
昌江现场3750-1
CJ-3750-1
昌江现场3750-2
CJ-3750-2
四、IP地址分配
IP地址分配需要保持唯一性、连续性,方便以后的维护。
涉及海南核电各区域采用因特网保留地址10.x.x.x作为内部IP地址使用。
1.确定总体IP地址范围
●海口办公区总体地址范围是10.1.0.0/16,可细分为256个C类子网。
●昌江现场地址范围是10.2.0.0/16,可细分为256个C类子网。
一般情况下,一个Vlan对应一个C类子网。
2.确定每个Vlan需要对应的IP地址范围
部门
对应VlanID
对应IP网段
海口办公区
网络管理
1
10.1.1.0/24
内部服务器网段
2
10.1.2.0/24
DMZ区网段
3
10.1.3.0/24
Internet接入
4
10.1.4.0/24
办公区1
16
10.1.16.0/24
办公区2
17
10.1.17.0/24
办公区3
18
20.10.18.0/24
办公区4
19
20.10.19.0/24
昌江现场
网络管理
1
10.2.1.0/24
办公区1
16
10.2.16.0/24
将IP地址以16个子网为单位进行划分,10.1.0.0-10.1.15.0作为网管地址段/服务器地址段、DMZ区设备地址段;10.1.16.0-10.1.31.0网段作为用户使用地址段。
每个用户地址段内的1-220分配给用户,254作为网关,220-253为网络设备、打印机或网段内服务器保留地址段。
3.确定网络设备管理地址
交换机位置
交换机名
管理地址
海口办公区
海口中心机房交换机4506
HK-ZXJF-4506
10.1.1.254/24
海口中心机房2960-1
HK-ZXJF-2960-1
10.1.1.253/24
海口中心机房2960-2
HK-ZXJF-2960-2
10.1.1.252/24
海口中心机房2960-3
HK-ZXJF-2960-3
10.1.1.251/24
海口中心机房2960-4
HK-ZXJF-2960-4
10.1.1.250/24
昌江现场
昌江现场3750-1
CJ-3750-1
10.2.1.253/24
昌江现场3750-2
CJ-3750-2
10.2.1.252/24
五、路由规划
1.路由协议选择
本次网络主要是园区局域网,以核心三层交换机为路由实现全网的路由交换。
六、安全访问控制
1、缺省多数Vlan之间是不通讯的。
2、服务器网段、DMZ和外网允许所有Vlan访问。
3、其它Vlan之间的访问关系根据进一步讨论设置。
4、其它具体的主机、地址的设置根据进一步讨论设置。
5、IP地址与MAC地址绑定到端口,为每个人手动分配IP地址,个人不可以随意更改。
具体的IP地址-MAC地址表另外列出。
考虑部分IP地址段,供外单位人员临时上网用。
6、编制详细的设备登记表用于对地址绑定的记录,表格中必须具备的内容应包括:
设备固定资产编号、设备所属部门、设备所在位置、IP地址、MAC地址、所连接的网络设备(cisco设备)、所连接网络设备的端口号、综合布线的线缆号、所属vlan号及其它应标注的信息。
7、规范个人计算机名为与邮箱一致的小写名。
即姓的全拼+名字的首字母,如果有多台计算机则第2台以后在计算机名后加1,2,3。
。
七、广域网连接
1、广域网的连接设置需要根据甲方与当地电信部门申请的线路接口类型进行配置。
2、根据广域网需求,设定防火墙、路由器。
升级会员 