厂区网络设计方案.docx

1、厂区网络设计方案 网络及电话建设方案 网络及电话设计方案 页 1 第 网络及电话建设方案 录目 -3 网络需求分析 第 1 章 -3 需求分析 1.1 -3 建设目标 1.2 -5组网方案规划设计 第 2 章 -5建设原则 2.1 -6层次化设计 2.2 -6高可靠性 2.3 -7网络总体规划 2.4 -9 3 章 安全管理安全渗透网络设计第 -9 3.1 网络完全实际办法 -10 3.2 核心交换机强大内置安全特性 -11基层网络安全3.3 地址的绑定：MACIP1、端口 -11 地址盗用的防止MAC2、 -11 服务器的攻击DHCP3、防止对 -11的攻击ARP4、防止 -12 功能进行业

2、务隔离5、组合丰富的VLAN -13进行网络区域的隔离6、配置防火墙和IPS -13 -13 3.4 配置全面的网络防病毒系统集中控管能力：? -14 采取用户端点准入防御解决方案 -15 -15章 设备选型 第 4 -15网络设备 -154.1 核心交换机 -16产品概述 -16接入交换机4.2 -17 3外网接入路由器 4 -18组网优势 第 5章 页 2 第 网络及电话建设方案 网络需求分析 章章 1 1.1需求分析 个信息点，车间及办1 楼。整个办公楼大约 150-170 总厂办公楼共 3 层，核心机房在 个信息点（包括预留）信息点位分布如下表：公室大约 50 楼层厂区 3F2F 1F

3、 电话信息点 70 20 205 位 网络信息点 3030 3030 位 本次组网设计为企业内网和互联网两部分，出于安全考虑，设计为内外网物理隔离方 式。 网络设计为接入多功能路由器，核心交换机，接入交换机等，核心线路使用光纤连接， 和限速功能来合理利用互联网资源。并在多能vlan 以达到千兆主干千兆桌面的方案，启动 路由器上做多种防范攻击措施，保证网络稳定。 本次网络建设总结起来，需要满足以下几个方面的要求： ：建设一个高可靠、高性能的大楼办公网；1 Internet，需要考虑上网的高安全性；2：由于需要接入 3：在网络边界，需要考虑网络病毒及攻击的防范。 1.2建设目标 在以下几个方面需要

4、特别关注：通过对大楼办公网络需求进行分析， 可靠性。1、 办公网络是一个承载日常业务的重要平台，随着各种业务办公的自动化程度越来越高， 对网络平台的依赖性也越来越强，因此，首先需要构建一个具有高度可靠性的网络，可靠 性主要体现在业务系统、服务器存储系统和网络系统的稳定性上，针对网络系统的稳定性 有堆叠技术做支撑； 高性能、2 IP网络平台之上，网目前，随着全球信息时代的到来，越来越多的业务都可以承载到 来自于局域网，因此，局域网的高性能，络平台的容量也在急剧上升，而所有容量的 80% 页 3 第 网络及电话建设方案 成为提高工作效率的关键。此次，西安泵阀总厂的网络建设需要充分考虑的网络的高性能

5、 目标。 、 安全性。3 现在病毒、黒客和终端用户是造成整网安全的隐患，尤其是终端用户的安全管理长期 以来没有一个很好的解决方案，这次设计专业网络行为管理设备来对用户的网络接入安全 进行细致安全合理的优化。 高带宽。4、 网络是一个庞大而且复杂的网络，为了保障全网的高速转发，网全网的组网设计的无 瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽 的特，整网的核心交换要求能够提供无瓶颈的数据交换。 可增值性。5、 网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续 发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的

6、 宽带增值业务，使网络具有自我造血机制，实现以网养网。 可扩充性。6、 考虑到用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强 大的扩展功能，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需 求变化，充分留有扩充余地。 可开放性。、7 技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议， 确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放 的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息 处理功能，实现网络设备的统一管理。 安全可靠性。8、 设计应充分考虑整个网络的稳定性，支持

7、网络节点的备份和线路保护，提供网络安全 防范措施。 页 4 第 网络及电话建设方案 组网方案规划设计 2 章章 2.1建设原则 总的建设原则是设备先进、功能齐全、适应发展、突出重点、量力而行。 1、实用性原则： 以现行需求为基础，充分考虑发展的需要来确定规模。 2、冗余性原则： 特别注重网络硬件系统自身在突发事件时的可用性，以冗余备份的设计方式加以保障。 3、安全性原则： 系统应能提供较高的安全手段，防止系统外部成员的非法侵入以及操作人员的越级操 作。安全性是信息化建设的基础保障。出于安全及保密因素，现在信息化建设工程对安全 性有很高的要求。设计的过程中必须依据国家各种有关安全法规政策，对硬件

8、支撑平台的 访问控制、在线监视、信息加密等方面进行完善考虑，在网络建构上根据功能划分相应的 区域，使用如防火墙、入侵检测、加密设备对信息过滤、隔离、数据加密等手段，同时采 及安全认证等技术，防止非法用户、非法信息及病毒的 VPN 用虚拟网划分及目前较流行的 入侵和泄密事件的发生。同时还要在企业内部建立健全各种相关安全管理制度，确保全网 的安全。 4、先进性原则： 系统要采用国际上先进的前沿技术，满足今后一段时期的需要。 5、易维护原则： 系统要易于管理、易于维护。网络需要很高的可管理性，特别是在数据、视频等多业 务的网络系统里，要使用可管理的网络设备，可以识别关键资源，根据流量状况以及网络 性

9、能配置阈值并为不同的应用提供不同的带宽，使所有的服务能够顺利完成。 随着系统的投入运行和系统资源的不断增加，网络系统应具有很好的易维护性，使管 理人员易于维护，减少不必要的额外劳动，提高工作效率。 、易扩展原则：6 提供开放性好、标准化程度高的技术和设备，便于功能扩展。考虑到业务日益增长的 长远需求，提供网络的可扩充性。用户的数量、需求和应用在不断变化，技术也不断发展， 页 5 第 网络及电话建设方案 随着网络技术的不断发展，网络应用规模在不断扩大。因此，在网络结构上要实现真正开 放，基于国际开放式标准，设计过程中应当保证在用户业务量和业务类型的变化增长的情 况下，硬件支撑平台能够方便的升级并

10、扩展，网络可以自如地扩充容量，支持更多的用户 及应用。网络平台设计时必须按照各种国际通用标准进行，以保证各种设备、网络的兼容 通用。开放的网络使用户可以自由地选择不同厂家的产品，将来网络在实现扩容、升级时 不会受到某些厂家专有标准的限制。网络结构与网络技术的选择，要具有相当的前瞻性， 以确保随着网络技术的不断发展，网络能够平滑地过渡到更先进的技术和设备，充分保障 用户现有的投资和利益。 网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩 展，以及网络规模的扩展能力。 2.2层次化设计 在园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能 模型，不同

11、层次关注不同的特性配置。典型的园区网络结构可以分成二层：接入层、汇聚 层。 和Qos1) 接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、 功能都位于这一层。对于园区网的接入层设备，建议采用千兆三层接入的方式，应该POE 策略等功能。 QoS 具有线速三层交换、IRF 智能弹性堆叠技术以及高级 2) 汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负 载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关；对于园区 IPv6、网络安全、 网的汇聚层设备，应该能够承载园区的多种融合业务，能够融合了MPLS、 无线、无源光网络等多种业务，提供不间

12、断转发、优雅重启、环网保护等多种高可靠技术， 能够承载园区融合业务的需求。2.3高可靠性 厂区外网高可靠网络设计方案 页 6 第 网络及电话建设方案 对于厂区外网网络，接入端口数量不多、但可靠性要求较高；对交换容量、带宽要求 较高。我们推荐高速、无阻塞交换千兆两层扁平组网模型。为用户提供千兆接入、支持语 OSPF 协议，两层扁平网络结构，易于配置和管理，并能适应用户音和 POE、网络可以运行 未来几年网络应用的需要，提供预留容量。 两层简化扁平网络结构，汇聚、核心合为一层，减少了网络设备数量，易于配置和管 功能。接入、核心层设备都为机架式，可POE理，为用户提供千兆桌面接入、支持语音和 用多种

13、不同端口类型的单板组合，使用灵活、可扩充性强，节省网络投资。整网带宽较高、 稳定可靠、可满足多种业务的无阻塞交换。 2.4网络总体规划 网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性 和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化 的设计方法。 网络主要目的是将网络的性能、带宽、主要网络业务进行全网的建设。网络设计主要 核心网模块、智能弹性接入网模块、安全渗透网络模块、网络系统综合管理、包含高品质 IP QoS 优化模块等主要部分。 自适应无线网、IPv4/v6 地址与路由模块、组播与 楼机房向厂区各个车间铺设，办公楼主要以网1新厂区

14、网络均以网线为媒介由办公楼 设备，所有网线均从各个机房内铺设。线铺设，在会议室等场所配备无线 AP 本建网方案为扁平化结构设计，分为核心和接入两层架构设计。 1 台核心三层千兆路由交换机。保证有足够的数据转发能力1、核心采用 2、接入采用千兆二层可智能网管交换机，以千兆双归属到核心。 外网结构如下图所示： 页 7 第 网络及电话建设方案 本次方案设计采用二层扁平化方式组网，进一步提高核心网络的可靠性、以及高性能。 星形化结构的优势有以下几点： ? 层次结构清晰，能够将网络进行充分的规划。 星形化组网使网络复杂度降低，网络稳定性提升，网络维护难度降低。? 采用星形化结构还具有高扩展性的特点，在今

15、后网络规模扩大时只需要增加相应 ? 的接入设备，原有的网络配置可以最大限度得到保留，实现平滑网络扩容。 ?较高的网络带宽可以充分满足多种业务无阻塞交换 网络管理者不必再为每种业务配置不同的服务质量策略，简化了设备的配置与维? 护工作。 页 8 第 网络及电话建设方案 安全管理安全渗透网络设计 3 章章 在规划网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系 化的整体网络安全解决方案： ? 体系化设计原则 通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的 安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险， 针对这些风险以动

16、态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决 可能存在的安全问题。 全局性、均衡性原则? 安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平 衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措 施，提供具有最优的性能价格比的安全解决方案。 可行性、可靠性原则? 大学原有的网络，以及运行在此网络在采用全面的网络安全措施之后，应该不会对 XX 上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网 络及应用的安全强度，保证整个信息资产的安全。 ? 可动态演进的原则 方案应该针对泵阀厂制定统一技术和管理方案

17、，采取相同的技术路线，实现统一安全 策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网 络演进，形成一个闭环的动态演进网络安全系统。 3.1网络完全实际办法 网络安全问题的解决，三分靠技术，七分靠管理，严格管理是企业、机构及用户免受 网络安全问题威胁的重要措施。事实上，多数企业、机构都缺乏有效的制度和手段管理网 络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在；随意接入网络、私 设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在 企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行，还可能使企业蒙 受巨大的商业损失。

18、 页 9 第 网络及电话建设方案 ICG为了解决现有网络安全管理中存在的不足，应对网络安全威胁，北京网康公司的 上网行为管理设备可以简单易用的完成各种网络审计，应用控制，流量限速等策略。并可 以做到以下几点 、检查：1 检查网络接入用户的身份；? 检查网络接入用户的访问权限；? ? 检查网络接入用户终端的安全状态； 、隔离2 隔离非法用户终端和越权访问；? 隔离存在重大安全问题或安全隐患的用户终端；? 3、修复 帮助存在安全问题或安全隐患的用户终端进行安全修复，以便能够正常使用? 网络； 、监控4 ? 实时监控在线用户的终端安全状态，及时获取终端安全信息； 对非法用户、越权访问和存在安全问题的

19、网络终端进行定位统计，为网络安? 全管理提供依据； 通过制定新的安全策略，持续保障网络的安全。 3.2核心交换机强大内置安全特性 逐包转发机制防止病毒冲击 路由交换机是采用了逐包转发的机制，它和传统的流转发机制在安全性方面有S5500 ）（1、在网络拓扑频繁变化时，设备的适着更本的差异。流转发主要存在下面两个问题： （2）存在一定安全隐患问题，尤其在网络遭受到类似“红色应性差，转发性能下降严重； 代码”这类病毒攻击时问题尤为严重。 流转发为一次路由多次交换，它的特点是一旦查找一次路由后，就把查找结果存放在 里，以后同样目的地址的包就不用重新查找，直接采用类似二层交换的技术，直接CACHE 转发

20、到目的端口去。如果路由表项几乎不变化，则可通过上面所述的硬件精确匹配的方式 能够很快的速度进行查表转发。但是如果应用的情况为路由表项经常出现变更的情况，就 会导致无法通过硬件的精确匹配的方式查找到路由，这时三层以太网交换机的就会转为通 CPUCPU 软件进行路由查找，查表和转发速度就会急剧下降。这是工作基本上是处于靠 过 软件进行路由的“多次慢路由”的情况。也就是说三层交换机在进行数据报文转发时主要 页 10 第 网络及电话建设方案 根据数据报文的五元组特征进行精确命中数据转发，对于“红色代码”病毒攻击时由于其 病毒报文的端口号是频繁进行变换，其五元组信息始终处于一个不停变换阶段，这样导致 不

21、停进行路由查找，由于这类报文另外一个特征就是短时间内产生大量报三层交换机 CPU 在转发过程中瘫机，同时这台交换机下挂的三层交换机文，从而最终导致三层交换机 CPU 转发引擎也将瘫机。与此同时当上层交换同样接收到大量病毒报文，基于上述原因其 CPU 机从转发报文中缓解过来时而下层交换机又处于瘫机中，这样网络路由必然就会出现较大 振荡，交换机转发性能急剧下降，最终导致所有交换机瘫机，整个网络不可用。 对于采用网络拓扑驱动的路由交换机而言由于采用逐包转发，进行的是最大匹配方式 路由查找，当数据报文端口号进行变换的情况下，对路由器转发不造成影响，所以一旦遭 受“红色代码”病毒攻击时没有任何问题。 3.3基层网络安全 地址的绑定：IPMAC 1、端口 地址的绑定关系， 系列可以做到，端口+IP+MAC 用户上网的安全性非常重要，H3C E100 个下挂用户认证，整机最多支持 1K MAC 地址的 802.1X H3C E100 系列交换机可以支持基于 地址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、的认证。MAC 等进行绑定，、VLAN 可维护性。如：每个用户分配一个端口，并与该用户主机的 MAC、IP ID 的 MAC 地址端口IP用户当用户通过 802.1X 客户端认证通过以后用户便可以实现 MAC 地址的欺骗，对绑定，这种方式具有很强的安