总部办公楼网络解决方案

天地和总部办公楼网络解决方案

2010年11月

****酒店网络解决方案

目录

1项目概述 (1)

1.1需求分析 (1)

2网络设计方案 (2)

2.1网络设计原则 (2)

2.2组网拓扑设计 (3)

2.3信息点数分布及设备数量 (4)

2.4设备配置清单 (4)

2.5安全网关设计 (5)

2.6核心层设计 (9)

产品的关键特性 (9)

2.7接入层设计 (12)

3方案优势 (15)

3.1全方位的安全保障 (15)

3.2精湛的工艺设计 (15)

1 项目概述

介绍公司基本情况，资料可以从公司网站或与公司人员交流得到。

###公司是#########，位于##。

介绍公司网络、信息化建设情况，可以从与公司人员交流得到。

目前公司总部有员工##名，网络建设于###年，为######结构，通过电信光纤###M

上网。###分公司有员工##名，网络建设于###年，为#######结构，通过##M上

网。

公司建有OA系统、ERP系统、视频会议系统、####，网络信息系统在公司的作用

与重要性日益得到显现，并对网络信息系统提出了更高的要求。

目前的网络拓扑图如下所示：

1.1 需求分析

我们建设的网络，应满足以下需求：

⏹安全性需求：防病毒、防ARP攻击、DDOS、非法DHCP Server、上网日

志等；

⏹可管理需求：包括对用户和设备的管理，可操作性、易于日常管理；

⏹可运营需求：实现内网资源访问免费、外网资源访问计费的认证计费管理模

式、具备灵活的计费策略

⏹多出口需求：通过不同的SP运营商实现与Internet的连接；

⏹可靠性需求：具备高性能、高可靠性以及高稳定性；

⏹投资需求：高性价比、平滑升级、投资保护。

2 网络设计方案

中兴通讯公司凭借对教育行业的深入了解和认知以及多年丰富的教育行业信息化实施经验，采用先进的数据通信产品，为*****天地和总部办公楼量身定做了一套可

靠、安全、高性价比的企业网络综合解决方案。

该方案立足于企业网中的传统的多元化应用，强化突出了网络的“安全性、可管理性、可运营性”，使网络可以有效承载多种业务，既满足企业宽带上网、资源共享

的需要，又能便于企业对于网络的运营、管理/维护，构建高品质的新型企业网。2.1 网络设计原则

天地和总部办公楼的实际应用和发展要求，中兴通讯在进行网络系统设计时，主要应遵循以下原则：

实用性原则。以现行需求为基础，并充分考虑发展的需要来确定系统规模。本方案的

设计充分满足了系统应用功能和性能的需求，在保证系统安全可靠的情况下，选用性

能价格比高的产品。

安全性和可靠性原则。网络设计充分考虑了网络的可靠性，能有效的避免单点故障，

一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。

成熟和先进性原则。网络结构设计、网络配置、网络管理方式等方面采用国际上先进

同时又是成熟、实用的技术。在保证技术成熟的前提下，充分先进技术，满足现有需

求，充分考虑潜在扩充。从而最大限度保护用户投资。

规范性原则。网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标

准，为网络的扩展升级、与其他网络的互联提供良好的基础。

开放性和标准化原则。在设计时，要求提供开放性好、标准化程度高的技术方案；设

备的各种接口满足开放和标准化原则。

可扩充和扩展化原则。所有网络设备不但满足当前需要，并在扩充模块后满足可预见

的将来需求，网络的拓扑可以灵活改变，实现如带宽和设备的扩展，应用的扩展和办

公地点的扩展等。并保证建设完成后的网络在向新的技术升级时，能保护现有的投

资。

2.2 组网拓扑设计

在充分考虑了网络需求及信息点实际分布情况后，同时结合我司产品特点，给出的网络拓扑如下所示：

方案说明：

1.运营商引入互联网光纤，接入网络出口处的统一安全网关。统一安全网关为网内机器提供互联

网连接服务。

2.在主机房配置万兆核心交换机8905，作为核心网络设备，主控板、电源以全部双配冗余，以提

高安全性。支持万兆扩展，为今后网络升级预留空间。

3.核心设备至接入交换机全部为千兆连接，建议使用1路多模光纤连接。

4.接入交换机使用千兆二层交换机，实现千兆到核心，百兆到桌面，。

5.如果某一楼层需要有多个接入交换机，则用千兆电口做堆叠。

6.各种服务器直接接入到核心交换机上，服务器全部为千兆接入网络

2.3 信息点数分布及设备数量

本方案选用中兴ZXSEC US1612安全网关,融合了状态检测安全网关、防病毒、入侵检阻断系统、IPSEC、SSL-VPN、反垃圾邮件、Web内容过滤和升级服务。

●IPS

●Web内容过滤

●垃圾邮件过滤

●状态检测安全网关/流量整形

灵活的VPN特性

●IPSec VPN

●SSL VPN

●L2TP、PPTP

支持最新的技术和攻击

●VOIP

●IM/P2P

●间谍软件

●网络钓鱼

●混合攻击

按每台设备的方式订购升级服务，支持的用户数无限制，降低了解决方案总体拥有成本。

功能强大

在一个解决方案里融合了状态检测安全网关、防病毒、入侵检阻断系统、IPSEC、SSL-VPN、反垃圾邮件、Web内容过滤和升级服务。

智能化

对基于网络的攻击、病毒、蠕虫、木马、间谍软件和其它恶意内容进行主动实时的检测，以确保能够发现和阻断最新的攻击。

技术先进

动态入侵防御系统采用整合攻击引擎，实现了综合状态检测、特征值匹配、深度包检测、启发式、协议异常检测、全内容重组和活动检测的高级检测技术。

所有ZXSEC US平台都可以简单地通过web界面进行管理，也可以通过ESP-SOC进行集中管理。管理系统可以统一部署所有ZXSEC US平台的策略。 ESP-SOC 可以收集和分析来自集中管理的ZXSEC US设备，构成了全面管理的统一架构。

自动的安全服务

ZXSEC US主动地防御最新的攻击。所有的ZXSEC US通过选择订购升级服务，可以在几分钟内获得最新的检测方法。

ZXSEC US是通过中兴通讯安全服务网络来获取升级服务的，实现24×7用户接入。可以用以下方法来满足不同客户的获得特征值和检测引擎升级的需求：

●来自中兴通讯安全服务网络的自动地“推动式升级”

●根据用户的时间表，中兴通讯安全服务网络“拉动式升级”

●“立即升级”来当时获取升级。