华电山西能源有限公司网络规划设计方案7-22

华电山西能源有限公司网络规划设计方案

第第页共6页目录TOC\o"1-3"\h\u19904第一节网络现状分析 219581第二节网络规划设计目标 230812第三节网络规划设计原则 326288第四节网络集成设计 318255一、设备选择 424144二、拓扑结构图 431650三、IP地址规划 55596第五节网络的安全管理 525864一、局域网安全 5171二、广域网的安全 510816三、管理方案 6网络现状分析华电能源山西公司、和信公司网络结构现状分析如下：1、华电能源山西公司网络结构:1）外网：经dmz设置由乙公司为出口。2）内网：经专用电路分别与华电集团、华电国际、晋能燃料实现双向互通。内网IP地址已在华电信息中心备案。2、和信公司网络结构：1）外网：经联通百兆专线与互联网相连。无线wifi、华电能源山西公司外网以次为互联网出口。2）内网：经IP地址NET转换为华电能源山西公司网络地址，实现与华电集团、华电国际、晋能燃料的单向链接。内网IP地址为私有地址，未在华电信息中心备案。3、经分析，现公司局域网络情况如下：1）和信公司网络到华电集团、华电国际、晋能燃料只是单向通信，IP地址为私有。2）服务器和内网主机网络地址在同一网段，网络安全未达到要求级别。如发生网络病毒传染，不能能做出相关的防范措施。3）网络兼容性和扩张性低。随着企业向周边地区扩展，子单位接入时企业局域网时未做相关配置。4）企业局域网中存在多用户、多服务的现状，但目前企业局域网在数据访问上未做分布式处理，增大了主交换引擎的消耗。5）后期在做vpn访问时，网络环境复杂。网络规划设计目标1、整合华电能源山西公司、和信公司外网，网络是面向连接的，能够实现虚拟网连接。2、和信公司配置华电信息中心备案IP地址，实现与集团网络双向通信。3、划分PC客户端、服务器群、子公司网络到不同的VLAN，实现虚拟隔离。4、合理分配带宽，使用户不受网上“塞车”的影响；充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力。5、网络方案要具有高扩展性。能为用户未来数目的扩展预留调整、扩充的手段和方法。6、考虑现有网络的平滑过度，使企业现有陈旧设备尽量保持较好的利用价值。网络规划设计原则企业局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。企业局域网的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从企业的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据企业局域网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的骨干网络平台。1、在设计中必须遵循以下原则：1）软硬件的可行性。系统软硬件配置必须考虑各种约束条件，主要是性能需求、当前技术水平和改造资金多少，兼顾现实性和技术领先性。2）系统开放原则。系统应具有良好的开放性，或称职兼容性和扩展性，以适应技术的不断发展和不增强的应用需求，因此，应尽量采用工业标准或事实上的工业标准技术。在系统设计时，要考虑系统的生命周期，一般要按超前3-5年考虑。3）整体最优原则。在进行系统设计和配置时，常遇到很多矛盾，需根据有限合理性原则，进行综合考虑和评价，折中选择。应考虑的因素有：先进性、可靠性、安全性、经济性。4）开放性、先进性原则。系统的传输速率至少目前要够用，最好要有一定的余量，以适应应用的不断增长困采用公认的行业标准，以增强适应性，避免淘汰。要留有足够的扩展扩充的余地，以便对系统进行扩充和改进。网络可先择Microsoft的产品，Web为中心，Intranet技术为基础，以采用TCP/IP和HTTP为传输协议，客户通过浏览器访问Web及Web相连的数据库。网络集成设计星型拓扑结构由一个中心主节点向外辐射延伸到各从节点。由于每一条链路从主节点到从节点的线路均与其他路线相对独立，所以布线系统设计是一种模块化设计。主节点可以与从节点直接相连，而从节点之间的通信只有经过主节点的交换才能完成。公司的计算机网络在主节点配置一台主交换机，在每个分支机构配置路由器、交换机等网络设备，与主节点通过运营商专用线路连接实现夸区域网络互连。一、设备选择经测算，主干光缆、分支网络、服务器接人共需千兆端口37个。1、综合上述因素考虑，对中心交换机的要求：1)满足双电源、双引擎冗余，提供37个1000M端口。2)综合诸多因素考虑，最终确定选用现有的Cisco3750G交换机作为我们网络的核心交换机。专门用作网络中心交换设备的CiscoCataLyst3750G是Cisco具有二层交换能力的产品，它融快速以太网、ATM、第二层线速交换等先进技术于一体，确保公司网络性能、容量和控制能力。二、拓扑结构图三、IP地址规划设备接口IP地址备注Cisco3750GVLAN1093/27服务器VLAN1/24内网VLAN1/24分支机构1VLAN13/24分支机构2VLAN14/24分支机构3VLAN15VLAN15/24分支机构4VLAN16VLAN15/24分支机构5VLANN/24分支机构NF0/48Cisco3560GVlan1041/28服务器Vlan1/24内网网络的安全管理目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。一、局域网安全1、网络分段网络分段是保证安全的一项重要措施，就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式。2、以交换式集线器代替共享式集线器3、虚拟专网二、广域网的安全由于广域网大多采用公网来进行数据传输，因此信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。广域网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的广域网安全设计中，往往采取上述三种技术（防火墙、入侵检测和网络防病毒）相结合的方法。广域网一般采用以下安全解决办法。1、加密技术2、VPN技术3、身份认证技术三、管理方案1、将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。