网络设计方案参考XX方案Word下载.docx

1、在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，并应充分考虑安全性，针对各种不同的应用，设计多种的保护机制，如划分VLAN、IP/MAC地址绑定、DDos攻击防御、802.1x、802.1d、802.1w、802.1s等。 可扩展性和易维护性为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，建议全线采用可网管产品，达到全网集中网管，降低人力资源的费用，提高网络的易用性。网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，

2、在技术上、系统能力上要保持三年左右的先进性。并且从用户的利益出发，一个好的网络系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与各厂商产品配套使用的设计。根据XX公司的总体需求，结合对应用系统的考虑，我们提出网络系统的设计目标：技术选型、体系结构、带宽容量、流量设计、互操作性、运行性能以及可扩展性。1.2 网络系统关键点分析方案设计需要在满足现有应用要求的前提下，还能够做到对未来需求变化所表现出来的足够的弹性度。我们首先需要考虑的就是网络的冗余能力和需求变化时的适应能力，同时在适应、投资合理性及使用寿命上寻求一个平衡点。方案涉及以下几个关键点：1

3、保证今后5年内系统应用要求。随着信息技术的不断提升，各种新技术新系统会得到应用，为了保证这种变化的需要，网络硬件平台应具有强大的功能和更好的技术能力。2 具有多种网络可控机制。能够对网络带宽资源进行人为的控制和管理，在需要的时候尽可能的优化XX公司的网络。同时能够有效地控制办公大楼内各信息点的接入，充分保障整网的安全性。3 高扩展性。为了适应、满足未来更多信息点的接入，需要网络系统具备强大的扩展性，并应具备中心平台应有特性：冗余热备和支持热拔插。二、网络规划方案说明2.1 网络规划拓扑图2.2 网络规划说明XX公司总部现有办公室、审计部、经营部、生产技术部、质量安全检查处、人事劳动部、财务部、

4、企业发展部、资产管理部、债权管理部、信息中心、监察处、监事会工作部、法律事务室、宣传中心、培训中心、档案处等17个职能部门，以及工程承包部、海外部、房地产开发部、资金结算中心、物业管理部等5个事业部。集团总部现主要办公大楼为14层高层建筑，每层楼设有15个房间，每个房间提供3个信息接入点，因此集团总部共计需提供630个信息接入点。此次网络改造主要涉及到办公楼里的约200个信息点。因此考虑到建网的先进性、可维护性，以及设备的投资保护，本方案本着“1000M骨干，1000M桌面”的先进的建网理念，我们建议网络架构采用“核心接入”的两层架构模式。分区域规划设计由于XX公司部门较多，后期还会涉及到各下

5、属企业以及各合作公司的接入，因此，从网络架构的合理性及易管理性方面考虑，建议整个办公大楼的网络采用分区域的设计。即根据各应用的功能不同，分为“核心交换区域”、“网络出口区域”、“外部服务器区域”、“内部服务器区域”、“办公接入区域”以及“网管区域”等，如上图所示。模块化的区域设计便于我们的管理以及系统的扩展。核心交换机区域技术规划XX公司网络核心交换机是连接各区域并保障各区域高速通信的纽带，因此该设备应采用具有大容量、高密度、模块化体系架构的设备，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，还应具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计，从而满足满

6、足现代信息化网络的多种业务承载融合和业务灵活分类、分流的组网需求。针对XX公司当前近200个信息点的实际情况，要求该设备应具备较高的背板带宽、交换容量和数据吞吐率。应能提供不少于48个的千兆接口，同时考虑到XX公司后期信息系统可能的扩展，该设备应具备扩展到180个以上千兆接口的能力，甚至应具备扩展多个万兆接口的能力。并且由于该设备是全网的核心，应具备完善的稳定性设计，例如，双主控冗余、多电源冗余、板卡热拔插等稳定性设计，以及增强的攻击防御能力的设计。系统建设初期，建议核心交换机配置多电源冗余，保障系统供电的稳定性；配置两个交换引擎保障整机功能的稳定性；并配置24个千兆接口，千兆接口主要用于打造

7、XX公司千兆骨干网络，实施各区域的接入。在网络建设后期，随着信息系统的不断扩展，XX公司可以视情况在核心交换机上增加48或者24端口的千兆模块，以提升系统容量；甚至可以采用双核心交换机的架构来增强网络平台的稳定性。办公区域规划XX公司办公区域信息点的接入，共有约200个信息点。由于集团未来接入的信息点数量众多，因此建议全网采用网管型的二层交换机，同时从网络传输带宽合理性上考虑，要求二层交换机全部提供24个全千兆接口，同时配置1到2个千兆上行端口。考虑到近期ARP病毒和DDoS攻击的泛滥，为有效地抵御这类攻击，将其控制在发生的源头，建议部署的二层交换机具备较强的安全功能，在能够实施“IPMAC端

8、口”的三元素绑定功能基础上，具备防御DDoS攻击和ARP欺骗的能力。内部服务器区域网络规划为了实现XX公司内部各办公区域对内部服务器的高速访问，建议在服务器区域部署一台24端口全千兆二层网管交换机，由其实现各内部服务器的全千兆接入，并将服务器区域千兆连接至办公大楼网络当中。而对于内部服务器区域安全性方面的考虑，可以从两个方面实施保障，首先在服务器区域千兆交换机上实施对各服务器的IP+MAC+端口的绑定，以抵御DDoS攻击；然后在核心交换机上启用安全防护功能，配置相应的安全策略，即只能让指定的用户访问服务器指定的服务。外部服务器区域网络规划外部服务器区域的网络规划和网络出口区域的规划是相辅相承的

9、，该区域的对外安全防护需要依赖外网防火墙对其的防护，对内安全防护需要以来出口路由器对其的安全防护。由于该区域既要被外网访问又要接受来自XX公司内部的访问，因此为了保障该区域访问的顺畅，建议同内部服务器区域一样，部署24口全千兆二层网管交换机，由其实现各外部服务器的全千兆接入。出口区域的规划出口区域的网络主要由路由器和防火墙组成。路由器的作用主要有三个方面：其一是实施NAT地址转换，使XX公司内网用户能够高效地访问外网和外网服务器，由于XX公司规划有近200个信息点，未来会有近600多个信息点接入，因此为了使众多的信息点能够同时顺畅访问外网，要求该路由器具备较强的性能（即带机数），考虑到XX公司

10、信息系统未来数年的发展，建议该设备具备1000用户的带机量。其二是实施带宽管理策略，即充分保障XX公司每个用户访问公网的公平性，从而使网络出口带宽不被个别人员或个别应用占完。并且在为每用户公平分配带宽的同时，该设备最好能够实施弹性带宽的策略，即在访问外网的信息点数量较少时，每用户可以分配到较大的出口带宽；在访问外网的信息点数量较少时，每用户则平均分配出口带宽。其三是安全控制策略，设置指定的内网用户只能访问指定的外网服务器的服务；同时防御来自外网的DDoS、冲击波、蠕虫病毒攻击。出口防火墙则主要用于防护外部服务器免受来自公网的攻击，其工作模式为路由模式。建议在防火墙上针对外部服务器群启用入侵防御

11、功能、DDoS攻击防御功能、邮件病毒过滤功能等；针对办公网用户可以在路由器平均分配带宽的基础上，再在防火墙上抑制P2P流量。网络管理区域的规划网络建设好后，网管工作员需要做的工作就是如何有效地进行网络管理，好的网管系统能够减轻管理员的工作量，达到事半功倍的效果。进行网络管理时，通过在中心安装网络管理软件进行全网的拓布管理、配置管理。网络管理系统可基于 Windows平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统。能提供整个网络的拓扑结构，能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理，结合管理设备所支持的SNMP管理、Telnet管理、Web管理

12、、RMON管理等构成一个功能齐全的网络管理解决方案，实现从网络级到设备级的全方位的网络管理。对整个网络上的网络设备进行集中式的配置、监视和控制，自动检测网络拓扑结构，监视和控制网段和端口，以及进行网络流量的统计和错误统计，网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。web 图形化管理界面网络拓扑管理状态统计信息管理2.3 安全系统方案XX公司网络平台建成后，将要传输大量数据，其数据安全性要求是必然的，网络内网与别的网络完全隔离，相对比较安全，对网络的安全存在潜在的威胁。没有任何一种方法可保证数据是绝对安全的。

13、对于系统安全的考虑来源于以下方面：外界非法用户闯入的恶意攻击、非授权的资料存取、假冒合法用户和病毒等。基于以上安全的考虑，我们利用现有的安全机制和系统设计，从以下几个方面来增强数据的安全性： 利用交换机的过滤规则 各部门间可划分VLAN隔离。 对公共数据的访问可采用用户验证功能 操作系统的存取控制、数据库的存取控制、 对应用程序的存取控制和日常的病毒扫描等 通过使用网络安全策略，我们可保护网络的通讯和数据的安全，控制对系统的访问、提供集中的安全管理和保密性，记录和统计非法网络和数据访问。2.3.1 设置过滤规则（ACL）在网络内，可设置过滤规则。在网络中心交换机上，可设置不同的过滤规则，使不同

14、网段间、不同IP地址间，进行访问控制。对用户进行有效隔离。IP Filtering是一种硬件路由ASIC，IP Filtering以线速控制网络、主机和硬件中的服务。IP Filtering在不影响性能的情况下保护网络的内部安全性，IP Filtering以线速控制VLAN、子网和主机之间的流量，只允许授权用户访问所跨越的区域。它能够按源和/或目标IP和TCP信息域发送包。与许多路由器上基于软件的访问控制表功能相似IP Filtering机制实施以线速认可和拒绝政策。相对于访问控制的安全政策能够采用IP Filtering在IP、IPX和TCP层实施。IP Filtering借助过滤功能提供高

15、速度流量控制服务，基于ASIC的包过滤，其依据是： 源/目的 槽位/端口 源/目的 VLAN 源/目的 IP 地址 源/目的 TCP & UDP 端口 支持内部发起连接的Reflexive 端口 源MAC当验证包源地址和目标地址组合时，优先规则一般依赖于有最高优先权的特定规则。最一般的规则优先级最低。2.3.2 设置VLAN本网络的基本通讯协议是TCP/IP。在内外网络中可以通过在交换机上，基于一定的策略，把用户分为不同的“逻辑工作组”（VLAN），而不改变网络的物理连接。一个逻辑工作组就是一个虚拟网。同一个逻辑工作组中的用户，可以不受物理网段位置的限止，通过一定的策略，定义网络资源的访问权限。VLAN的划分可基于：基于端口、MAC地址、第三层地址、端口绑定、协议类型和用户自定义的 VLAN身份验证和基于策略的VLAN802.1p的硬件支持，包括“混合”和“透明”端口