企业网络建设整体解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
大型企业网络工程解决方案,
本方案是一个典型的实际工程可以根据需要和可能,参照此方案灵活应用。
一、企业网络设计
(1)主干网设计
采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽,基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理,具有良好的价格比。
传输介质。千兆传输距离500m以内采用50/125多模光缆;千兆传输距离大于500m、小于5000m时采用9/125单模光缆;百兆传输距离2000m以内采用50/125多模光缆;百兆传输距离大于2000m采用9/125单模光缆。
交换机。主干交换机的基本要求:机箱式结构,便于扩展;支持多种网络方式,如快速以太网、千兆以太网等;高性能,高背板带宽及中心交换吞吐量;支持第二、第三交换,支持各种IP应用;高可靠性设计,如多电源/管理模块、热插拔;丰富的可管理能力等。
中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接,服务器采用双网卡链路聚合200Mbps连接,客户采用交换式10/1000Mbps连接。
(2)楼宇内局域网设计
要求采用支持802.1Q的10/100Mbps工作组以太网交换机,交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps流量接至桌面。
(3)接入Internet设计
Internet接入系统由位于网络中心的非军事区(DMZ)交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。
(4)虚拟局域网VLAN设计
通过VLAN将相同业务的用户划分在一个逻辑子网内,既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。
各工作组交换机采用基于端口的VLAN划分策略,划分出多个不同的VLAN组,分隔广播域。每个VLAN是一个子网,由子网中信息点的数量确定子网的大小。
同样在千兆/百兆以太网上联端口上设置802.1Q协议,设置通信干道(Truck),将每个VLAN的数据流量添加标记,转发到主干交换机上实现网络多层交换。
(5)虚拟专用网VPN设计
如果公司跨地区经营,自己铺设专线不划算,可以通过Internet采用VPN数据加密技术,构成企业内部虚拟专用网。
(6)网络拓扑结构。这部分待续
二、网络安全性设计
网络系统的可靠与安全问题:
a. 物理信息安全,主要防止物理通路的损坏和对物理通路的攻击(干扰等)。
b. 链路层的网络安全需要保证通过网络链路传送的数据不被GG。主要采用划分VLAN、加密通信等手段。
c. 网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
d. 操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
e. 应用平台的安全要求保证应用软件服务,如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。
(1)物理安全
机房要上锁,出入人员要严加限制。注意不可让人从天花板、窗户进入房间。
机房电力要充足、制冷要合适,环境要清洁。
从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上,而应该隐藏在线槽或其他管道里。
应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌,大多数公司的数据得不到恢复。
(2)防火墙
防火墙应具管理简单、功能先进等特点,并且能够保证对所有系统实施“防弹”保护。一个优秀的防火墙具有内网保护、灵活的部署、非军事区(DMZ)范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。
(3)网络病毒
在网络中心主机安装一台网络病毒控制中心服务器,该服务器既要与Internet相连,又要与企业内网相连。该服务器通过Internet每每更病毒代码及相关文件,企业内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下,更新本机的病毒代码库及相文件,对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略,以确保网络系统安全。
(4)网络容错
集群技术。一个服务器集群包含多台拥有共享数据存储空间的服务器,各服务器之间通过内部局域网进行相互通信。当其中一台服务器发生故障时,它所运行的应用程序将由其他的服务器自动接管。在大多数情况下,集群中所有的计算机都拥有一个共同的名称,集群系统内任意一台服务器都可被所有的网络用户所使用。
(5)安全备份与灾难恢复
企业信息管理最重要的资产不是网络硬件,而是网络运行的数据。
理想的备份系统是在软件备份的基础上增加硬件容错系统,使网络更加安全可靠。实际上,备份不仅仅是文件备份,而是整个网络的一套备份体系。备份应包括文件备份和恢复,
数据库备份和恢复、系统灾难恢复和备份任务管理。
(6)网络入侵检测、报警、审计技术
入侵检测系统(IDS-Intrusin Detection System)执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
常见的IDS产品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。
(7)局域网信息的安全保护技术
密码采用9位以上,每周修改1次
采用多层交换网络的虚拟网划分技术,防止在内部网监听数据
采用NTFS磁盘分区加密技术,使网上邻居只能是信任用户
采用Windows域控制技术,对网络资源实行统一管理
采用SAN(Storage Area Network存储区域网络)与NAS(Network Attached Storage 网络连接存储)保护数据。
SAN技术允许将独立的存储设备连接至一台或多台服务器,专用于服务器,而服务器则控制了网络其他部分对它的访问。
NAS将存储设备直接连接至网络,使网络中的用户和网络服务器可以共享此设备,网络对存储设备的访问则由文件管理器这一类设备进行管理。
利用SAN结合集群技术提高系统可靠性、可扩充性和抗灾难性;利用NAS文件服务统一存放管理全公司桌面系统数据。
(8)网络代理
采用Proxy对访问Internet实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等,同时对用户的访问进行审计。
(9)邮件过滤技术。
采用具有过滤技术邮件管理系统,一般是针对“主题词”、“关键字”、“地址(IP、域名)”等信息过滤,防止非法信息的侵入。
(10)重视网络安全的教育,提高安全意识。
三、综合布线与机房设计
1. 把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房,把各子系统的配线柜设置在各子系统所在的楼层。
2. 楼宇间光缆敷设
采用4芯以上的单模或多模室外金属光缆架空或埋地敷设。
3. 楼宇内UTP布线
采用AMP超五类UTP电缆、AMP超五类模块、AMP信息面板、配线架、AMP超五类UTP 跳线实现垂直系统、水平子系统、工作区的布线。