厂区网络设计方案.docx
《厂区网络设计方案.docx》由会员分享,可在线阅读,更多相关《厂区网络设计方案.docx(25页珍藏版)》请在冰豆网上搜索。
厂区网络设计方案
网络及电话建设方案
网络及电话设计方案
第 1 页
网络及电话建设方案
第 1 章 网络需求分析 ----------------------------------------------------------------------------------------------3
1.1 需求分析 ------------------------------------------------------------------------------------------------------3
1.2 建设目标 ------------------------------------------------------------------------------------------------------3
第 2 章 组网方案规划设计 ----------------------------------------------------------------------------------------5
2.1 建设原则 ------------------------------------------------------------------------------------------------------5
2.2 层次化设计 ---------------------------------------------------------------------------------------------------6
2.3 高可靠性 ------------------------------------------------------------------------------------------------------6
2.4 网络总体规划 ------------------------------------------------------------------------------------------------7
第 3 章 安全管理安全渗透网络设计 ----------------------------------------------------------------------------9
3.1 网络完全实际办法 ------------------------------------------------------------------------------------------9
3.2 核心交换机强大内置安全特性 -------------------------------------------------------------------------10
3.3 基层网络安全-----------------------------------------------------------------------------------------------11
1、端口+IP+MAC 地址的绑定:
------------------------------------------------------------------------11
2、MAC 地址盗用的防止 ------------------------------------------------------------------------------------11
3、防止对 DHCP 服务器的攻击----------------------------------------------------------------------------11
4、防止 ARP 的攻击 -----------------------------------------------------------------------------------------12
5、组合丰富的 VLAN 功能进行业务隔离----------------------------------------------------------------13
6、配置防火墙和 IPS 进行网络区域的隔离 -----------------------------------------------------------13
3.4 配置全面的网络防病毒系统 ----------------------------------------------------------------------------13
集中控管能力:
---------------------------------------------------------------------------------------14
采取用户端点准入防御解决方案-------------------------------------------------------------------------15
第 4 章 设备选型 --------------------------------------------------------------------------------------------------15
网络设备 ----------------------------------------------------------------------------------------------------------15
4.1 核心交换机--------------------------------------------------------------------------------------------------15
产品概述 ----------------------------------------------------------------------------------------------------------16
4.2 接入交换机--------------------------------------------------------------------------------------------------16
4.3 外网接入路由器 ------------------------------------------------------------------------------------------17
第 5 章 组网优势 --------------------------------------------------------------------------------------------------18
第 2 页
楼层
1F
2F
3F
厂区
电话信息点
位
5
20
20
70
网络信息点
位
30
30
30
30
网络及电话建设方案
章 1 章 网络需求分析
1.1 需求分析
总厂办公楼共 3 层,核心机房在 1 楼。
整个办公楼大约 150-170 个信息点,车间及办
公室大约 50 个信息点(包括预留)信息点位分布如下表:
本次组网设计为企业内网和互联网两部分,出于安全考虑,设计为内外网物理隔离方
式。
网络设计为接入多功能路由器,核心交换机,接入交换机等,核心线路使用光纤连接,
以达到千兆主干千兆桌面的方案,启动 vlan 和限速功能来合理利用互联网资源。
并在多能
路由器上做多种防范攻击措施,保证网络稳定。
本次网络建设总结起来,需要满足以下几个方面的要求:
1:
建设一个高可靠、高性能的大楼办公网;
2:
由于需要接入 Internet,需要考虑上网的高安全性;
3:
在网络边界,需要考虑网络病毒及攻击的防范。
1.2 建设目标
通过对大楼办公网络需求进行分析, 在以下几个方面需要特别关注:
1、 可靠性。
办公网络是一个承载日常业务的重要平台,随着各种业务办公的自动化程度越来越高,
对网络平台的依赖性也越来越强,因此,首先需要构建一个具有高度可靠性的网络,可靠
性主要体现在业务系统、服务器存储系统和网络系统的稳定性上,针对网络系统的稳定性
有堆叠技术做支撑;
2、 高性能
目前,随着全球信息时代的到来,越来越多的业务都可以承载到 IP 网络平台之上,网
络平台的容量也在急剧上升,而所有容量的 80%来自于局域网,因此,局域网的高性能,
第 3 页
网络及电话建设方案
成为提高工作效率的关键。
此次,西安泵阀总厂的网络建设需要充分考虑的网络的高性能
目标。
3、 安全性。
现在病毒、黒客和终端用户是造成整网安全的隐患,尤其是终端用户的安全管理长期
以来没有一个很好的解决方案,这次设计专业网络行为管理设备来对用户的网络接入安全
进行细致安全合理的优化。
4、 高带宽。
网络是一个庞大而且复杂的网络,为了保障全网的高速转发,网全网的组网设计的无
瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽
的特,整网的核心交换要求能够提供无瓶颈的数据交换。
5、 可增值性。
网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续
发展基础。
所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的
宽带增值业务,使网络具有自我造血机制,实现以网养网。
6、 可扩充性。
考虑到用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强
大的扩展功能,网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需
求变化,充分留有扩充余地。
7、 可开放性。
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,
确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放
的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息
处理功能,实现网络设备的统一管理。
8、 安全可靠性。
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全
防范措施。
第 4 页
网络及电话建设方案
章 2 章 组网方案规划设计
2.1 建设原则
总的建设原则是设备先进、功能齐全、适应发展、突出重点、量力而行。
1、实用性原则:
以现行需求为基础,充分考虑发展的需要来确定规模。
2、冗余性原则:
特别注重网络硬件系统自身在突发事件时的可用性,以冗余备份的设计方式加以保障。
3、安全性原则:
系统应能提供较高的安全手段,防止系统外部成员的非法侵入以及操作人员的越级操
作。
安全性是信息化建设的基础保障。
出于安全及保密因素,现在信息化建设工程对安全
性有很高的要求。
设计的过程中必须依据国家各种有关安全法规政策,对硬件支撑平台的
访问控制、在线监视、信息加密等方面进行完善考虑,在网络建构上根据功能划分相应的
区域,使用如防火墙、入侵检测、加密设备对信息过滤、隔离、数据加密等手段,同时采
用虚拟网划分及目前较流行的 VPN 及安全认证等技术,防止非法用户、非法信息及病毒的
入侵和泄密事件的发生。
同时还要在企业内部建立健全各种相关安全管理制度,确保全网
的安全。
4、先进性原则:
系统要采用国际上先进的前沿技术,满足今后一段时期的需要。
5、易维护原则:
系统要易于管理、易于维护。
网络需要很高的可管理性,特别是在数据、视频等多业
务的网络系统里,要使用可管理的网络设备,可以识别关键资源,根据流量状况以及网络
性能配置阈值并为不同的应用提供不同的带宽,使所有的服务能够顺利完成。
随着系统的投入运行和系统资源的不断增加,网络系统应具有很好的易维护性,使管
理人员易于维护,减少不必要的额外劳动,提高工作效率。
6、易扩展原则:
提供开放性好、标准化程度高的技术和设备,便于功能扩展。
考虑到业务日益增长的
长远需求,提供网络的可扩充性。
用户的数量、需求和应用在不断变化,技术也不断发展,
第 5 页
网络及电话建设方案
随着网络技术的不断发展,网络应用规模在不断扩大。
因此,在网络结构上要实现真正开
放,基于国际开放式标准,设计过程中应当保证在用户业务量和业务类型的变化增长的情
况下,硬件支撑平台能够方便的升级并扩展,网络可以自如地扩充容量,支持更多的用户
及应用。
网络平台设计时必须按照各种国际通用标准进行,以保证各种设备、网络的兼容
通用。
开放的网络使用户可以自由地选择不同厂家的产品,将来网络在实现扩容、升级时
不会受到某些厂家专有标准的限制。
网络结构与网络技术的选择,要具有相当的前瞻性,
以确保随着网络技术的不断发展,网络能够平滑地过渡到更先进的技术和设备,充分保障
用户现有的投资和利益。
网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩
展,以及网络规模的扩展能力。
2.2 层次化设计
在园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能
模型,不同层次关注不同的特性配置。
典型的园区网络结构可以分成二层:
接入层、汇聚
层。
1)接入层:
提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos 和
POE 功能都位于这一层。
对于园区网的接入层设备,建议采用千兆三层接入的方式,应该
具有线速三层交换、IRF 智能弹性堆叠技术以及高级 QoS 策略等功能。
2) 汇聚层:
汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负
载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于园区
网的汇聚层设备,应该能够承载园区的多种融合业务,能够融合了 MPLS、IPv6、网络安全、
无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,
能够承载园区融合业务的需求。
2.3 高可靠性
厂区外网高可靠网络设计方案
第 6 页
网络及电话建设方案
对于厂区外网网络,接入端口数量不多、但可靠性要求较高;对交换容量、带宽要求
较高。
我们推荐高速、无阻塞交换千兆两层扁平组网模型。
为用户提供千兆接入、支持语
音和 POE、网络可以运行 OSPF 协议,两层扁平网络结构,易于配置和管理,并能适应用户
未来几年网络应用的需要,提供预留容量。
两层简化扁平网络结构,汇聚、核心合为一层,减少了网络设备数量,易于配置和管
理,为用户提供千兆桌面接入、支持语音和 POE 功能。
接入、核心层设备都为机架式,可
用多种不同端口类型的单板组合,使用灵活、可扩充性强,节省网络投资。
整网带宽较高、
稳定可靠、可满足多种业务的无阻塞交换。
2.4 网络总体规划
网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性
和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化
的设计方法。
网络主要目的是将网络的性能、带宽、主要网络业务进行全网的建设。
网络设计主要
包含高品质 IP 核心网模块、智能弹性接入网模块、安全渗透网络模块、网络系统综合管理、
自适应无线网、IPv4/v6 地址与路由模块、组播与 QoS 优化模块等主要部分。
新厂区网络均以网线为媒介由办公楼 1 楼机房向厂区各个车间铺设,办公楼主要以网
线铺设,在会议室等场所配备无线 AP 设备,所有网线均从各个机房内铺设。
本建网方案为扁平化结构设计,分为核心和接入两层架构设计。
1、核心采用 1 台核心三层千兆路由交换机。
保证有足够的数据转发能力
2、接入采用千兆二层可智能网管交换机,以千兆双归属到核心。
外网结构如下图所示:
第 7 页
网络及电话建设方案
本次方案设计采用二层扁平化方式组网,进一步提高核心网络的可靠性、以及高性能。
星形化结构的优势有以下几点:
Ø层次结构清晰,能够将网络进行充分的规划。
Ø星形化组网使网络复杂度降低,网络稳定性提升,网络维护难度降低。
Ø采用星形化结构还具有高扩展性的特点,在今后网络规模扩大时只需要增加相应
的接入设备,原有的网络配置可以最大限度得到保留,实现平滑网络扩容。
Ø较高的网络带宽可以充分满足多种业务无阻塞交换
Ø网络管理者不必再为每种业务配置不同的服务质量策略,简化了设备的配置与维
护工作。
第 8 页
网络及电话建设方案
章 3 章 安全管理安全渗透网络设计
在规划网络安全系统时,我们将遵循以下原则,以这些原则为基础,提供完善的体系
化的整体网络安全解决方案:
●体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的
安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,
针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决
可能存在的安全问题。
●全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平
衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措
施,提供具有最优的性能价格比的安全解决方案。
●可行性、可靠性原则
在采用全面的网络安全措施之后,应该不会对 XX 大学原有的网络,以及运行在此网络
上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网
络及应用的安全强度,保证整个信息资产的安全。
●可动态演进的原则
方案应该针对泵阀厂制定统一技术和管理方案,采取相同的技术路线,实现统一安全
策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网
络演进,形成一个闭环的动态演进网络安全系统。
3.1 网络完全实际办法
网络安全问题的解决,三分靠技术,七分靠管理,严格管理是企业、机构及用户免受
网络安全问题威胁的重要措施。
事实上,多数企业、机构都缺乏有效的制度和手段管理网
络安全。
网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私
设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在
企业网中也比比皆是。
管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙
受巨大的商业损失。
第 9 页
网络及电话建设方案
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,北京网康公司的 ICG
上网行为管理设备可以简单易用的完成各种网络审计,应用控制,流量限速等策略。
并可
以做到以下几点
1、检查:
●检查网络接入用户的身份;
●检查网络接入用户的访问权限;
●检查网络接入用户终端的安全状态;
2、隔离
●隔离非法用户终端和越权访问;
●隔离存在重大安全问题或安全隐患的用户终端;
3、修复
●帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用
网络;
4、监控
●实时监控在线用户的终端安全状态,及时获取终端安全信息;
●对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安
全管理提供依据;
通过制定新的安全策略,持续保障网络的安全。
3.2 核心交换机强大内置安全特性
逐包转发机制防止病毒冲击
S5500 路由交换机是采用了逐包转发的机制,它和传统的流转发机制在安全性方面有
着更本的差异。
流转发主要存在下面两个问题:
(1)、在网络拓扑频繁变化时,设备的适
应性差,转发性能下降严重;
(2)存在一定安全隐患问题,尤其在网络遭受到类似“红色
代码”这类病毒攻击时问题尤为严重。
流转发为一次路由多次交换,它的特点是一旦查找一次路由后,就把查找结果存放在
CACHE 里,以后同样目的地址的包就不用重新查找,直接采用类似二层交换的技术,直接
转发到目的端口去。
如果路由表项几乎不变化,则可通过上面所述的硬件精确匹配的方式
能够很快的速度进行查表转发。
但是如果应用的情况为路由表项经常出现变更的情况,就
会导致无法通过硬件的精确匹配的方式查找到路由,这时三层以太网交换机的就会转为通
过 CPU 软件进行路由查找,查表和转发速度就会急剧下降。
这是工作基本上是处于靠 CPU
软件进行路由的“多次慢路由”的情况。
也就是说三层交换机在进行数据报文转发时主要
第 10 页
网络及电话建设方案
根据数据报文的五元组特征进行精确命中数据转发,对于“红色代码”病毒攻击时由于其
病毒报文的端口号是频繁进行变换,其五元组信息始终处于一个不停变换阶段,这样导致
三层交换机 CPU 不停进行路由查找,由于这类报文另外一个特征就是短时间内产生大量报
文,从而最终导致三层交换机 CPU 在转发过程中瘫机,同时这台交换机下挂的三层交换机
同样接收到大量病毒报文,基于上述原因其 CPU 转发引擎也将瘫机。
与此同时当上层交换
机从转发报文中缓解过来时而下层交换机又处于瘫机中,这样网络路由必然就会出现较大
振荡,交换机转发性能急剧下降,最终导致所有交换机瘫机,整个网络不可用。
对于采用网络拓扑驱动的路由交换机而言由于采用逐包转发,进行的是最大匹配方式
路由查找,当数据报文端口号进行变换的情况下,对路由器转发不造成影响,所以一旦遭
受“红色代码”病毒攻击时没有任何问题。
3.3 基层网络安全
1、端口+IP+MAC 地址的绑定:
用户上网的安全性非常重要,H3C E100 系列可以做到,端口+IP+MAC 地址的绑定关系,
H3C E100 系列交换机可以支持基于 MAC 地址的 802.1X 认证,整机最多支持 1K 个下挂用户
的认证。
MAC 地址的绑定可以直接实现用户对于边缘用户的管理,提高整个网络的安全性、
可维护性。
如:
每个用户分配一个端口,并与该用户主机的 MAC、IP、VLAN 等进行绑定,
当用户通过 802.1X 客户端认证通过以后用户便可以实现 MAC 地址+端口+IP+用户 ID 的
绑定,这种方式具有很强的安全特性:
防 D.O.S 的攻击,防止用户的 MAC 地址的欺骗,对
于更改 MAC 地址的用户(MAC 地址欺骗的用户)可以实现强制下线。
考虑到大学用户的技术性较强,在实际的应用的过程当中应当充分考虑到 Proxy 的使
用,对于 Proxy 的防止,H3C 公司 E100 系列交换机配合 H3C 公司的 802.1X 的客户端,一
旦检测到用户 PC 机上存在两个活动的 IP 地址(不论是单网卡还是双网卡),E100 系列交
换机将会下发指令将该用户直接踢下线。
2、MAC 地址盗用的防止
在网的应用当中 IP 地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自
己的 MAC 地址进行修改,然后在进行一些非法操作,网络设计当中我们针对该问题,在接
入层交换机上提供防止 MAC 地址盗用的功能,用户在更改 MAC 地址后,E100 系列交换机对
于与绑定 MAC 地址不相符的用户直接将下线,其下线功能是由 E100 系列交换机来实现的。
3、防止对 DHCP 服务器的攻击
使用 DHCP Serve