大中型企业网络规划项目设计方案

1 大中型企业网络规划项目设计方案 1、 网络方案设计概述 目背景 本方案为某单位办公楼的网络系统建设，主楼地上 9 层，地下一层，裙楼 3 层。主楼作为办公实验楼，裙楼作为会堂及展厅。 本系统主要为内部工作人员提供内部局域网以及与 安全连接，承载智能大厦的弱电系统各项数据信息的传输。 立目标 A. 建立光纤骨干网，提供内部高速、高效、安全的信息高速公路； B. 网管中心形成具有信息转发、存储、共享、综合处理、查询服务等能力的核心交换系统； C. 充分考虑系统的安全性，提供系统数据备份等安全问题解决方案； D. 充分考虑可扩充 性，网络系统可以很方便的升级和扩充； E. 建立以信息交换、信息发布和查询应用为主的网络应用基础环境，为企业的管理提供先 进的支持手段。整个网络系统技术领先，安全实用，操作、维护方便；网络结构采用两层结构，分为核心层、接入层。 计原则 结合整个实际应用和发展要求，在进行网络系统改造设计时，主要应遵循以下原则： （ 1） 高性能： 网络要求具有数据、图像、语音等多媒体实时同步通讯能力。主干网提供可保证的服务质量和充足的带宽。采用最新科技，以适应大量数据传输以及多媒体信息的传输。整个系统在国内五到十年内保持领先的水平，并具 有长足的发展能力，以适应未来网络技术的发展。如：具有三层及以上线速交换能力；支持灵活的跨网络交换机（主干、部门）的基于 口、 址的 分功能。 （ 2） 高可靠性： 网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运行。整个网络有足够的冗余，设备在发生故障时能以热插拔的方式在最短时间内加以修复。同时，在核心层采用双机容灾设置，降低了由系统故障引起的停滞时间。可靠性还充分考虑网络系统的性价比，使整个网络具有一定的容错能力，减少单点故障。 （ 3） 标准化： 所有网络设备都符合有关国际标准以保 证不同厂家网络设备之间的互操作性和网络系统的开放性。 （ 4） 高可用度和冗余： 核心交换机采用双机热备容灾式设计，主控、电源、端口卡、制冷设备等关键部位均有硬件冗余，单个部件的故障不影响网络的正常运行，关键部件具有热插拔功能，可保证在部件的更换或增加时不影响网络正常运行。 （ 5） 可扩充性和可扩展性： 所有网络设备不但满足当前需要，并在扩充模块后，满足可预见 2 将来需求。网络设计要考虑当前应用和今后网络的发展，便于向更新技术的升级与衔接。要留有扩充余量，包括端口数量和带宽的升级能力。 （ 6） 易管理性： 网络设备应易 于管理，易于维护，操作简单，易学，易用，便于进行网络配置，发现故障。 （ 7） 三层交换与 结合： 在网络中，各个部门可根据实际情况灵活的进行 划分，在整个网络中使用虚拟技术，以便提供网络的安全性和灵活性。中心设备和骨干设备能提供高速的 由和高性能的三层数据包处理。 （ 8） 支持多媒体： 支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务，具有多种基于优先级队列的 证，多媒体应用对服务质量有很高的要求，如带宽，延迟的变化等，需要网络对服务质量 (很好的支持。 （ 9） 安全性： 网络系 统的数据和文件多数要求具有高度的安全性，因此，网络系统本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面的安全方案和应急措施，确保系统万无一失。同时符合国家关于网络安全标准和管理条例。 （ 10） 实用性： 系统建设首先要从系统的实用性角度出发，未来国际园内部的信息传输都将依赖于计算机网络系统，所以系统设计必须具有很强的实用性，满足不同用户信息服务的实际需要，具有很高的性能价格比，能为多种应用系统提供强有力的支持平台；同时应很好地利用现有设备资源，保护用户的已有投资。 2、 设备选型 本次方案计算机网络交换设备我方选用国产 于核心交换机我方选用两台610系列交换机， 610系列交换机支持广泛的接口类型和密度。 3 接入层交换机我方均选用 500系列智能以太网交换机，该系列交换机是一个固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可提供增强 括网络准入控制 (高级服务质量 (永续性，可为网络边缘提供智能服务。主要性能指标参见主要设备技术指标。 与外部 网络连接的安全网关，我们选用 1000可以提供业界领先的状态防火墙和 拟专用网服务，具有更强的处理能力和集成化的、基于硬件的 中心配置 2台核心交换机互为备份，接入层配 15台 48口交换机和 3台 24口交换机。 统功能 本次网络系统实现以下功能： A. 适应桌面计算机处理、 I/O 能力大幅度提高的现状，发挥桌面机的网络性能，提高桌面机的访问带宽；达到主干 10000M， 10M/100M 自适应交换到桌面。 B. 适应连网规模大、总流量大的 情况，合理分布流量，实现流量隔离和控制； C. 提供对应用服务器的特别支持； D. 适应部门多、层次复杂的特点，合理进行网络划分，实现有效的安全访问控制和运行管理。 E. 能够向未来的高速网络技术和不断出现的新应用过渡。 F. 保护已有投资，使原有的设备和网络能够平稳升级。 G. 实现网络互联，解决互联网络带来的安全问题和管理问题。 H. 适应数据集中型应用的发展趋势，为客户 /服务器的应用环境提供支撑。 I. 增加网络系统的运行可靠性，核心设备实现冗余，降低故障隐患，提高系统的可管理性。 J. 适应机构建制和工作流程，提供多层次的安全保障。 统环境要求 工作温度要求：范围在 0 工作湿度要求：范围在 10%非冷凝 )； 供电要求：保证每个设备间、配线间的供电功率在所属设备额定功率总和的 之间，并保持稳定； 安装间距要求：设备安装间距保证在 1U。 4 3、 网络系统规划设计 统结构 系统特点分析 目前网络系统拓扑结构有四种分析： (一 ) 星型拓扑结构 (二 ) 总线拓扑结构 (三 ) 环型拓扑结构 (四 ) 树型拓扑结构 序号 结构分类 优点 缺点 备注 1 星型拓扑 结构 （ 1）控制简单。 （ 2）故障诊断和隔离容易。 （ 3）方便服务。 （ 1）电缆长度和安装工作量 可观。 （ 2）中央节点的负担较重，形成瓶颈。 （ 3）各站点的分布处理能力较低。 2 总线拓扑 结构 （ 1）总线结构所需要的电缆数量少。 （ 2）总线结构简单，又是无源工作，有较高的可靠性。 （ 3）易于扩充，增加或减少用户比较方便。 （ 1）总线的传输距离有限，通信范围受到限制。 （ 2）故障诊断和隔离较困难。 （ 3）分布式协议不能保证信息的及时传送，不具有实时功能 3 环型拓扑 结构 （ 1）电缆长度短。 （ 2）增加或减少工作站时，仅需简单的连接操作。 （ 3）可使用光纤。 （ 1）节点的故障会引起 全网故障。 （ 2）故障检测困难。 （ 3）环形拓扑结构的媒体访问控制协议都采用令牌传达室递的方式，在负载很轻时，信道利用率相对来说就比较低。 4 树型拓扑 结构 （ 1）易于扩展。 （ 2）故障隔离较容易。 各个节点对根的依赖性太大。 结构设计 根据上表结构特点的对比和项目的实际环境需求，本次网络建设拓扑结构为分层的集中式结构或称星型分级拓扑。本系统根据实际情况，采用三级星型网络结构。 星型结构便于集中控制，因为端用户之间的通信必须经过中心站。由于这一特点，也带来了易于维护和安全等优点，端用户设备因为故 障而停机时不会影响其它端用户间的通信。但中心系统必须具有极高的可靠性，因为一旦它损坏，整个系统便趋于瘫痪。 二级星型结构如下： 5 网络系统设计如下： A. 主干网汇接各子网，形成中心交换； B. 子网通过高速交换链路连接到主干网； C. 实行全网范围的集中 分与管理； D. 核心网络采用双机热备容灾方式； E. 在网络中心进行集中控制和管理； F. 桌面机连接到基层网段上，服务器、工作站连接到高层网络； G. 流量划分层次，跨越基层网段的流量汇接到工作组子网 ，跨越工作组子网的流量汇接到主干； H. 在完善的网络基础之上，系统提供基本的 务。 本项目计算机网络总体上分为两个层次的结构：核心层，接入层。 核心层： 核心层主要为网络系统提供一条高带宽、高容量、高可靠性的高速信息公路，为监控数据查看与存储提供高速的数据交换通路。该层由两台核心交换机互为热备构成，提供若干个千兆以太网络光纤端口以及第三层路由交换功能。 接入层： 接入层提供了连接各信息点的汇集功能，通过本层将各信息点汇总连接到核心层，由核心层实现信息交换。接入层由各楼层的交换机构成，各楼层交换机与核 心交换机之间以双千兆光纤连接，每一台接入交换机分别两台核心交换机，以保证网络链路的高可靠性。 计算机网络拓扑图如下： 6 余性设计 核心层采用两台核心交换机 热 备容灾的方式，实现网络主干的冗余。下面就对实现网络主干冗余的技术进行介绍。 采用 备份协议技术 热备份路由器协议，实现 条件是系统中有至少两台路由设备，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组 内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。 在使用 ，一组路由器的工作将一致的表现为局域网上通往主机的一个虚拟路由器的工作。这组路由器就称为一个 ，或备份组。这个组中将选出一个路由器来负责转发由主机发给虚拟路由器的数据包。这个路由器就是所谓的活路由器。另一台路由器将被选为备份路由器。在活路由器失效的 情况下，备份路由器将承担活路由器的包的转发功能。即使你可以任意制定运行 路由器的数量，但只有活路由器才能转发发送给虚拟路由器的数据包。 在某个局域网里，多个热备组可以共存和重叠。每个备份组都仿效一个虚拟路由器。对于每个备份组来说都有一个为别人所知的 址，以及一个 址。而这个 址应该是这个局域网中第一个子网中的地址，但必须不同于设置在所有路由器端口上的地址和局域网中主机的地址，甚至包括为其他 设的地址。 服务器 核心交换机 接入层交换机 会堂 1 服务器 服务器 核心交换机 接入层交换机 展厅 接入层交换机 各楼层 7 作原理 用一个优先级方案来决定哪个配置了 路由 设备成为默认的主动路由设备。如果一个路由设备的优先级设置的比所有其他路由设备的优先级高，则该路由设备成为主动路由设备。路由设备的缺省优先级是 100，所以如果只设置一个路由设备的优先级高于 100，则该路由设备将成为主动路由设备。 系统的可靠性 由于本方案的路由模块之间采用 备份冗余协议）协议，保证了两台路由模块中的任意一台出现故障，或路由模块的广域网口出现故障，都会迅速切换到另外一台自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。 负载均衡 因为每个接入层交换机都分别和两 台核心交换机相联，我们可以在两台核心交换机上的交换备板上划分出各自的 个子网 个 个子网 右侧路由器上的 优先级较高，这个 用左边交换机的交换机备板交换数据。这样可以充分利用了带宽资源，而且实现了负载均衡。 系统的高安全性 由于各虚拟网之间不能直接进行通讯，而必须通过路由器转发，为高级的安全控制提供了可能，增强了网络的安全性。在大规模的网络中，它们之间的数据是保密的，相互之间只能提供 接口数据，其它数据是保密的。可以通过划分虚拟局域网对不同部门进行隔离。 统扩容方案 在网络组建初期，网络端口和模块配置相应较少，随着业务量的不断增加，对网络的需求量会越来越大，因此要求网络交换设备具有较强的端口扩展性和冗余度。 核心交换机的冗余与扩容 本系统采用的核心交换机为模块化智能交换机，目前端口配置为 1 路万兆光口， 15 路千兆光口， 24 路千兆电口，光口冗余度达到 15%。并且在日后网络系统容量需要增加时，只要增加相应接口卡即可轻松进行系统扩容。 接入交换机的冗余与扩容 本系统采用的接入交换机为智能化交换 机，目前配置为 15 台 48 路交换机、 3 台 24 路交换机，目前自用网络所占用的端口数为 355 个，仅占用总端口量的 1/2，剩余端口均为预留端口，冗余度极大，完全可以保证在一段时间内的正常使用。 当网络需求量超出目前配置的端口量时，只需要增加接入交换机和相关的光模块即可实现接入层的扩容，根据目前的网络配置情况，接入层可允许的扩容数量为 18 台，如仍需增加接入交换机，则需要增加相应的核心交换机板卡。 8 划分及 址分配 设计方案 实现方式有两种：静态和动态。 静态实现是网络管理员将交换机端口 分配给某一个 是一种最经常使用的配置方式，容易实现和监视，而且比较安全。 动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的址及相应的 ，这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的 态 配置可以基于网络设备的 址、 址、应用或者所使用的协议。实现动态 候一般情况下使用管理软件来进行管理。在 换机上可以使用 理策略服务器（ 现基于 址的动态 置。 址与 映射表。这种配置的优点是网络管理员维护管理相应的数据库，而不用关心用户使用哪一个端口，但是每次新用户加入时需要做较复杂的手工配置。基于 址的动态配置中，交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。 这次 划分考虑到，动态 护非常复杂、许多安全策略不能很好地得到应用，所以我们建议这次 划分采用静态的方式。通过改变掩码的设置，把原有的 址，以部门为单位划分成不同的网段。在交换机上分别建立各个 网关，在接入层交换机上把端口分别划入各自的 ，通过在交换机上建立访问控制列表，控制 间是否可以通讯，通过在接入层的端口上实施安全策略，来提高网络的安全性。把每个专业的本地服务器，都划分到一个 ，然后通过实施应用层的安全策略，来控制有哪些员工可以访问不同专业的本地服务器。这样可以安全的实施资源分配，减少网管人员的日常工作量。 址原则 址是 P 协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点。通常用于 址分配的技术有：可变长子网掩码技术 路径叠合技术 ( 址的分配遵循以下几个原则： 唯一性： 一个 络中不能有两个主机采用相同的 址。 简单性： 地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的项。 连续性： 连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。 可扩展性： 地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。 灵活性： 地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。 9 址 和 体划分 1） 址段见下表： 用途 型 备注 1 默认 10 159 段虚拟交换机 交换机业务板的 29 于连接外网（ 159 段）设备， P:网主网关 ) 20 点对点 P 交换机业务板端口 16 的 P,链接入口光纤，对端 00(99) 地下 1 层接入交换机 (因为 100用， 现改为 99) 101 1 层接入交换机 102 2 层接入交换机 103 3 层接入交换机 104 4 层接入交换机 105 5 层接入交换机 106 6 层接入交换机 107 7 层接入交换机 108 8 层接入交换机 109 9 层接入交换机 200 展厅接入交换机 201 会堂 1 层接入交换机 202 会堂 2 层接入交换机 203 会堂 3 层接入交换机 2）设备 间划分 位置 管理 网 间 网关地址 说明 核心交换机 地下一层(9 已改为 99， 100 不能用 1 层 (01 2 层 (02 3 层 (03 4 层 (04 5 层 (05 10 6 层 (06 7 层 (07 保密层 8 层 (08 9 层 (09 展厅 00 会堂 1 层 01 会堂 2 层 02 会堂 3 层 03 11 络安全方案 网络安全概述 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、 更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的机密性、完整性、可用性、可控性和可审查性的相关技术和理论都属于网络安全范围。 网络安全包括五个基本要素：机密性、完整性、可用性、可控性与可审查性。 机密性： 确保信息不暴露给未授权的实体或进程。 完整性： 只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 可用性： 得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。 可控性： 可以控制授权范 围内的信息流向及行为方式。 可审查性： 对出现的网络安全问题提供调查的依据和手段。 网络安全体系结构 通过对网络的全面了解，按照安全策略的要求及风险分析的结果，整个网络措施应按系统体系建立。 具体的安全控制系统由以下 两 个方面组成：物理安全、网络安全。 1） 物理安全 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误和各种计算机犯罪行为导致的破坏过程。 2） 网络安全 网络安全 系统（主机、服务器） 安全 反病毒 系统安全检测 入侵检测 审计分析 网络运行安全 备份与恢复 应急、灾难恢复 局域网、子网安全 访问控制（防火墙） 网络安全检测 （ 1） 内外网隔离及访问控制系统 防火墙是一种网络安全保障手段 ,是网络通信时执行的一种访问控制尺度 ,其主要目标就是通过控制入、出一个网络的权限 ,并迫使所有的连接都经过这样的检查 ,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和 间地任何活动，保证了内部网络地安全；在物理实现 上，防火墙是位于外部网与核心交换机之间硬件设备，起到对进出信息分析过滤的作用。防火墙系统能增强机构内部网络的安全性，它决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往 信息都必须经过防火墙，接受防火墙的检查，只允许授权的数据通过。 12 在内部网与外部网之间，设置防火墙（包括分组过滤与应用代理）实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、 最经济的措施 之一。防火墙 主要通过 分组过滤、应用 代理 两种技术作为 防范 手段。 a) 分组过滤（ 用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。 b) 应用代理 （ 也叫应用网关 （ 它作用在应用层，特点是完全 “ 阻隔 ” 了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工 作站实现。 （ 2） 网络反病毒 由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术： a) 预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。 b) 检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。 c) 分析病毒技 术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。 网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。 鉴于实际情况，我方建议业主方增加一套网络版杀毒软件，以应对网络中存在的病毒威胁。 安全管理原则 网络信息系统的安全管理主要基于三个原则。 1） 多人负责原则 每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作 ； 他们应该签署工作情况记录以证明安全工作已 得到保障。 以下各项是与安全有关活动 ： （ 1） 访问控制使用证件的发放与回收； （ 2） 信息处理系统使用的媒介发放与回收； （ 3） 处理保密信息 ； （ 4） 硬件和软件的维护 ； （ 5） 系统软件的设计、实现和修改； （ 6） 重要程序和数据的删除和销毁等； 2） 任期有限原则 13 一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。 3） 职责分离原则 在信息处理系统工作的人员不要打听、了解或参与职责以外的任何 与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开。 安全管理的实现 信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范。具体工作是： 1） 根据工作的重要程度，确定该系统的安全等级。 2） 根据确定的安全等级，确定安全管理的范围。 3） 制订相应的机房出入管理制度：对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行 识别、登记管理。 4） 制订严格的操作规程：操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。 5） 制订完备的系统维护制度：对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。 6） 制订应急措施：要制订系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调