中小型企业网络规划设计方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入
输 拟稿部门 文字整理、核对处理 意见与建议管理信息流程
拟稿部门
专线或PSTN
各部门 归档、存储
要求、意见 本系统公文
领导活动计划 拟稿 签报、请示和会议通知 撰写、起草 各部门 撰写、起草 录音录象
申 请 文 号
登记 查询 查询 办公室、秘书处
多媒体语音识别
讲 分发 办理、 浏览 审核话
归档 内部公文 各部门、用户 大厦内部单位 导 领
20
17 20 8 10 10 20 20m 45 20m
经营系统
销售/售后部
市场部 咨询部
100
50 50
200
40m
合计
网络中心在四楼
340
150m
项目方案实现
网段及VLAN的划分
序号 1
2
子网名称 后勤系统子网
产研系统子网
网段IP 192.168.11.0/24
第六部 192.168.12.0/26 设计部 192.168.12.64/26 研发部 192.168.12.128/26 192.168.13.0/24
人 事 、 财 务
文 件 会 签
会 议 管 理
报 表 管 理
重 点 指 标 分 析
业 务 进 度 分 析
Baidu Nhomakorabea
业 务 趋 势 预 测
地 理 信 息 查 询
OA功能流程
发文管理流程 签报、报告管理信息流程
会议纪要信息流程
日程安排子系统 通知与布告管理信息流程 外单位
领导讲话
各营业网点
各相关部门
各相关部门 各相关部门
某新兴科研公司办公楼
网络规划方案
第一组
2012年3月9日星期五
一、项目背景
项目背景(1)
项目名称:
某科研公司办公楼网络规划方案
项目实施大致目标:
建立一个安全、可靠、可扩展、高效的网络环境,完全符合开放性 规范,能够方便快捷的实现网络资源共享、办公自动化、出差上内 网,接入Internet等目标。
浏览器端口: 65530 NAT 路由器 sina 服务器
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
NAT实现细节
源IP:202.116.64.100 数 源IP:192.168.1.10 据 目的端:80 公司客户端 源端:65530(随机) 源端:1025 目的IP:202.116.64.200
项目背景(2)
项目背景(3)
相同的安全级别,不同的部门系统,怎么办?
zzzzzzzzz 网络结构
机密系统
经理室 人力资源部 人事和行政
高机密系统
财务部 研发部
一般
销售部门 后勤部门 市场部门
第六部
二、项目需求分析
1
需求
位置 用户数量
用户需求
需求描述
未来增长点 及时传输
响应时间服务
可靠/可维护/ 可用性(RMA)
基本规格
其它
交换机类 型 传输速率 应用层级 交换方式 背板带宽 包转发率 其他功能
万兆核心路由交换机 10/100/1000/10000 三层 存储-转发 1200Gbps 288Mpps 支持三层MPLS VPN 支持二层MPLS VPN: VLL 和VPLS 支持PE 和P 功能 用户分级管理和口令保护 支持IP+MAC+PORT 任意组合的绑定 支持IEEE 802.1X 认证 支持非法帧报文过滤 支持端口隔离 支持深度业务感知 支持SSH
浏览器端口: 65530 NAT 路由器
数 据
sina 服务器
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
NAT实现细节
目的IP:202.116.64.100 目的IP:202.116.64.200 源IP:202.116.64.200 公司客户端 目的端:1025 目的端:80 源端:80
两种过渡技术比较
NAT实现细节 数 源IP:192.168.1.10 据 目的端:80
源端:65530(随机)
目的IP:202.116.64.200
内部客户端
内部IP 192.168.1.10 网关: 192.168.1.1
浏览器端口: 65530 NAT 路由器 sina 服务器
专用内部IP 192.168.1.1
外地用户通过在个人电脑上安装IPSEC VPN客户端和总 部的VPN服务器端进行远程连接,之后进行验证,认证 。成功后才进行数据传输
研发系统PC 普通办公PC
基本规 格
路由器 类型 路由器 处理器
高端企业级路由器 交换能力可达320Gbps
网络功 能
网络协 议
VPN功 能 Qos功 能 其他功 能
内部IP 192.168.1.10 网关: 192.168.1.1
浏览器端口: 65530 NAT 路由器
数 据
sina服务器
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
NAT实现细节
源IP:202.116.64.100 数 源IP:192.168.1.10 据 目的端:80 公司客户端 源端:65530(随机) 源端:1025 目的IP:202.116.64.200
内部IP 192.168.1.10 网关: 192.168.1.1
安全性
电话程控交换机:中联通信DK1208-L384 无线路由器 思科SRP532W 部门级次交换机:华为Quidway 无线AP思科AIR-CT6-1042C3-K9 S3952P-EI
内部防火墙 华为赛门铁克USG2210 应用服务器 主服务器 外网防火墙 华为赛门铁克USG9120
曙光天阔A950r-F(Opteron 8378×8/16GB/2×146GB)
浏
领
音、像
相关主题
审批 协调、安排 音、像
内 部 公 文
文
览 件 结 果
日 程答 安复 排 表
导 讲 话 文 件
公 开 文 件
提出
浏览
直接分发 领导批示库
提交 提交、报告
办公室公文库
文件库
通知文件库 领导日程安排表 签报报告库
统计 统计信息
数据库
IPSec VPN
IPSec VPN 优点
系统的可靠性高 投入成本低 接入方便性
系统由一卡通控制主机、门禁管理子系统、考勤管理子系统、停车场管理子系
统、POS消费管理子系统、发卡管理子系统组成,各子系统分设管理工作站
发卡器 POS机
供电保障
存储保障
软件保障 网络保障 脱机保障
OA功能系统
智能化办公系统
办公服务子系统
决策分析子系统
电 子 邮 件
发 文 管 理
签 报 、 报 告
内部IP 192.168.1.10 网关: 192.168.1.1
浏览器端口: 65530 NAT 路由器 sina服务器
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
NAT实现细节
目的IP:202.116.64.100 目的IP:192.168.1.10 源IP:202.116.64.200 目的端:1025 目的端:65530 源端:80 公司客户端
数 据
内部IP 192.168.1.10 网关: 192.168.1.1
浏览器端口: 65530 NAT 路由器 sina 服务器
IPv4, MPLS, BGPv4, IS-IS, OSPFv2.0, RIPv2, IGMP, DVMRP, PIM DX/SX
支持VPN 支持 可靠性及可用性: 系统冗余: 结构卡冗余4:1时钟调度程序卡冗余1:1 电源冗余(DC 1:1, AC负载平衡) 通风组件冗余 路由处理器冗余1:1 报警卡冗余1:1 通过线路卡实现双归 支持APS 平均故障间隔时间(MTBF) 时钟调度程序卡=240,078hr 交换结构卡=276,062hr
偶然事故的防备 事故恢复计划和制定
物理安全的保护 灾难防备计划
项目方案设计
部门 后勤系统
功能分布 停车场 大门/大厅/值班 中心
信息点 10 4+6+10 15 10
信息点合计 距网络中心的 距离 30 50m
产研系统
第六部 研发部
45
20m
设计部
人事系统 行政部 人力资源部 经理/董事长室 财务系统 预算部 财务部
数 据
内部IP 192.168.1.10 网关: 192.168.1.1
浏览器端口: 65530 NAT 路由器 sina 服务器
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
IBM System x3650 M3(7945I75)
14个槽位, 12个业务单板槽位 支持三层MPLS VPN 支持二层MPLS VPN: VLL 和VPLS 支持PE 和P 功能
安全性
用户分级管理和口令保护 支持IP+MAC+PORT 任意组合的绑定 支持IEEE 802.1X 认证 支持非法帧报文过滤 支持端口隔离 支持深度业务感知 支持SSH
华为Quidway S8512
NAT实现细节
目的IP:202.116.64.100 目的IP:202.116.64.200 源IP:202.116.64.100 源IP:202.116.64.200 公司客户端 目的端:1025 目的端:80 源端:80 源端:1025
内部IP 192.168.1.10 网关: 192.168.1.1
安全性
可升级性 成本考虑 其他
2
业务需求
业务项目
• 设计、开发软件 • Web/Ftp/E-Mail • 上网/共享/办公自动化 • 远程访问/信息检索
业务参数
• 工期10-15天 • 6层楼宇(含地下车库)
• 高保密性,内部低负荷
• 3-5年内,开设分公司 及办事处
• 视频/广播/无线覆盖
• 监控/一卡通/企业管理 • 升级
思科12416/32
基本规 格
网络 端口 其它
交换机 类型 传输速 率 应用层 级 交换方 式 背板带 宽 包转发 率 网络标 准 接口类 型 其他功 能
万兆核心路由交换机 10/100/1000/10000 三层
存储-转发 1800Gbps XRCoreEngine I: 428Mpps, XRCoreEngine II: 857Mpps 802.1P, IEEE 802.2, IEEE 802.3
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
NAT实现细节
目的IP:192.168.1.10 源IP:202.116.64.200 目的端:65530 源端:80 公司客户端
• 重要部门物理隔离
3
管理需求
管理者和其他 网络管理功能
• 性能监视和性能分析 • 网络监视和故障分析 • 配置管理 • 网络管理员 • 网络管理软件 • 管理制度
管理软件
• 内置管理功能
• 百络网警
• 网络管理员 • 金盾CIS5
4
安全需求
网络访问的控制 信息访问的控制 信息传输的保护 攻击的检测和反应
网关IP 192.168.11.1
192.168.12.1 192.168.12.65 192.168.12.129 192.168.13.1
备注 Vlan 11
Vlan 12 Vlan12 Vlan12 Vlan 13
3
从事系统子网
4
财务系统子网
5
经营系统子网
预算部 192.168.14.0/27 财务部 192.168.14.32/27 192. 168. 15. 0/24
192.168.14.1
192.168.14.33 192.168.15.1
Vlan 14
Vlan14 Vlan 15
VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理 的LAN分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。
IPv6过渡中的协议翻译技术是由IPv4的NAT技术发展而来的, 就是将IPv6数据包中的每个字段与IPv4数据包中的每个字段建 立起一一映射关系,从而在两个网络的边缘实现数据报文的转 换。
输 拟稿部门 文字整理、核对处理 意见与建议管理信息流程
拟稿部门
专线或PSTN
各部门 归档、存储
要求、意见 本系统公文
领导活动计划 拟稿 签报、请示和会议通知 撰写、起草 各部门 撰写、起草 录音录象
申 请 文 号
登记 查询 查询 办公室、秘书处
多媒体语音识别
讲 分发 办理、 浏览 审核话
归档 内部公文 各部门、用户 大厦内部单位 导 领
20
17 20 8 10 10 20 20m 45 20m
经营系统
销售/售后部
市场部 咨询部
100
50 50
200
40m
合计
网络中心在四楼
340
150m
项目方案实现
网段及VLAN的划分
序号 1
2
子网名称 后勤系统子网
产研系统子网
网段IP 192.168.11.0/24
第六部 192.168.12.0/26 设计部 192.168.12.64/26 研发部 192.168.12.128/26 192.168.13.0/24
人 事 、 财 务
文 件 会 签
会 议 管 理
报 表 管 理
重 点 指 标 分 析
业 务 进 度 分 析
Baidu Nhomakorabea
业 务 趋 势 预 测
地 理 信 息 查 询
OA功能流程
发文管理流程 签报、报告管理信息流程
会议纪要信息流程
日程安排子系统 通知与布告管理信息流程 外单位
领导讲话
各营业网点
各相关部门
各相关部门 各相关部门
某新兴科研公司办公楼
网络规划方案
第一组
2012年3月9日星期五
一、项目背景
项目背景(1)
项目名称:
某科研公司办公楼网络规划方案
项目实施大致目标:
建立一个安全、可靠、可扩展、高效的网络环境,完全符合开放性 规范,能够方便快捷的实现网络资源共享、办公自动化、出差上内 网,接入Internet等目标。
浏览器端口: 65530 NAT 路由器 sina 服务器
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
NAT实现细节
源IP:202.116.64.100 数 源IP:192.168.1.10 据 目的端:80 公司客户端 源端:65530(随机) 源端:1025 目的IP:202.116.64.200
项目背景(2)
项目背景(3)
相同的安全级别,不同的部门系统,怎么办?
zzzzzzzzz 网络结构
机密系统
经理室 人力资源部 人事和行政
高机密系统
财务部 研发部
一般
销售部门 后勤部门 市场部门
第六部
二、项目需求分析
1
需求
位置 用户数量
用户需求
需求描述
未来增长点 及时传输
响应时间服务
可靠/可维护/ 可用性(RMA)
基本规格
其它
交换机类 型 传输速率 应用层级 交换方式 背板带宽 包转发率 其他功能
万兆核心路由交换机 10/100/1000/10000 三层 存储-转发 1200Gbps 288Mpps 支持三层MPLS VPN 支持二层MPLS VPN: VLL 和VPLS 支持PE 和P 功能 用户分级管理和口令保护 支持IP+MAC+PORT 任意组合的绑定 支持IEEE 802.1X 认证 支持非法帧报文过滤 支持端口隔离 支持深度业务感知 支持SSH
浏览器端口: 65530 NAT 路由器
数 据
sina 服务器
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
NAT实现细节
目的IP:202.116.64.100 目的IP:202.116.64.200 源IP:202.116.64.200 公司客户端 目的端:1025 目的端:80 源端:80
两种过渡技术比较
NAT实现细节 数 源IP:192.168.1.10 据 目的端:80
源端:65530(随机)
目的IP:202.116.64.200
内部客户端
内部IP 192.168.1.10 网关: 192.168.1.1
浏览器端口: 65530 NAT 路由器 sina 服务器
专用内部IP 192.168.1.1
外地用户通过在个人电脑上安装IPSEC VPN客户端和总 部的VPN服务器端进行远程连接,之后进行验证,认证 。成功后才进行数据传输
研发系统PC 普通办公PC
基本规 格
路由器 类型 路由器 处理器
高端企业级路由器 交换能力可达320Gbps
网络功 能
网络协 议
VPN功 能 Qos功 能 其他功 能
内部IP 192.168.1.10 网关: 192.168.1.1
浏览器端口: 65530 NAT 路由器
数 据
sina服务器
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
NAT实现细节
源IP:202.116.64.100 数 源IP:192.168.1.10 据 目的端:80 公司客户端 源端:65530(随机) 源端:1025 目的IP:202.116.64.200
内部IP 192.168.1.10 网关: 192.168.1.1
安全性
电话程控交换机:中联通信DK1208-L384 无线路由器 思科SRP532W 部门级次交换机:华为Quidway 无线AP思科AIR-CT6-1042C3-K9 S3952P-EI
内部防火墙 华为赛门铁克USG2210 应用服务器 主服务器 外网防火墙 华为赛门铁克USG9120
曙光天阔A950r-F(Opteron 8378×8/16GB/2×146GB)
浏
领
音、像
相关主题
审批 协调、安排 音、像
内 部 公 文
文
览 件 结 果
日 程答 安复 排 表
导 讲 话 文 件
公 开 文 件
提出
浏览
直接分发 领导批示库
提交 提交、报告
办公室公文库
文件库
通知文件库 领导日程安排表 签报报告库
统计 统计信息
数据库
IPSec VPN
IPSec VPN 优点
系统的可靠性高 投入成本低 接入方便性
系统由一卡通控制主机、门禁管理子系统、考勤管理子系统、停车场管理子系
统、POS消费管理子系统、发卡管理子系统组成,各子系统分设管理工作站
发卡器 POS机
供电保障
存储保障
软件保障 网络保障 脱机保障
OA功能系统
智能化办公系统
办公服务子系统
决策分析子系统
电 子 邮 件
发 文 管 理
签 报 、 报 告
内部IP 192.168.1.10 网关: 192.168.1.1
浏览器端口: 65530 NAT 路由器 sina服务器
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
NAT实现细节
目的IP:202.116.64.100 目的IP:192.168.1.10 源IP:202.116.64.200 目的端:1025 目的端:65530 源端:80 公司客户端
数 据
内部IP 192.168.1.10 网关: 192.168.1.1
浏览器端口: 65530 NAT 路由器 sina 服务器
IPv4, MPLS, BGPv4, IS-IS, OSPFv2.0, RIPv2, IGMP, DVMRP, PIM DX/SX
支持VPN 支持 可靠性及可用性: 系统冗余: 结构卡冗余4:1时钟调度程序卡冗余1:1 电源冗余(DC 1:1, AC负载平衡) 通风组件冗余 路由处理器冗余1:1 报警卡冗余1:1 通过线路卡实现双归 支持APS 平均故障间隔时间(MTBF) 时钟调度程序卡=240,078hr 交换结构卡=276,062hr
偶然事故的防备 事故恢复计划和制定
物理安全的保护 灾难防备计划
项目方案设计
部门 后勤系统
功能分布 停车场 大门/大厅/值班 中心
信息点 10 4+6+10 15 10
信息点合计 距网络中心的 距离 30 50m
产研系统
第六部 研发部
45
20m
设计部
人事系统 行政部 人力资源部 经理/董事长室 财务系统 预算部 财务部
数 据
内部IP 192.168.1.10 网关: 192.168.1.1
浏览器端口: 65530 NAT 路由器 sina 服务器
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
IBM System x3650 M3(7945I75)
14个槽位, 12个业务单板槽位 支持三层MPLS VPN 支持二层MPLS VPN: VLL 和VPLS 支持PE 和P 功能
安全性
用户分级管理和口令保护 支持IP+MAC+PORT 任意组合的绑定 支持IEEE 802.1X 认证 支持非法帧报文过滤 支持端口隔离 支持深度业务感知 支持SSH
华为Quidway S8512
NAT实现细节
目的IP:202.116.64.100 目的IP:202.116.64.200 源IP:202.116.64.100 源IP:202.116.64.200 公司客户端 目的端:1025 目的端:80 源端:80 源端:1025
内部IP 192.168.1.10 网关: 192.168.1.1
安全性
可升级性 成本考虑 其他
2
业务需求
业务项目
• 设计、开发软件 • Web/Ftp/E-Mail • 上网/共享/办公自动化 • 远程访问/信息检索
业务参数
• 工期10-15天 • 6层楼宇(含地下车库)
• 高保密性,内部低负荷
• 3-5年内,开设分公司 及办事处
• 视频/广播/无线覆盖
• 监控/一卡通/企业管理 • 升级
思科12416/32
基本规 格
网络 端口 其它
交换机 类型 传输速 率 应用层 级 交换方 式 背板带 宽 包转发 率 网络标 准 接口类 型 其他功 能
万兆核心路由交换机 10/100/1000/10000 三层
存储-转发 1800Gbps XRCoreEngine I: 428Mpps, XRCoreEngine II: 857Mpps 802.1P, IEEE 802.2, IEEE 802.3
专用内部IP 192.168.1.1
﹛192.168.1.10,65530﹜
公共外部IP 202.116.64.100
公共IP
202.116.64.200
→﹛202.116.64.100,1025﹜
NAT实现细节
目的IP:192.168.1.10 源IP:202.116.64.200 目的端:65530 源端:80 公司客户端
• 重要部门物理隔离
3
管理需求
管理者和其他 网络管理功能
• 性能监视和性能分析 • 网络监视和故障分析 • 配置管理 • 网络管理员 • 网络管理软件 • 管理制度
管理软件
• 内置管理功能
• 百络网警
• 网络管理员 • 金盾CIS5
4
安全需求
网络访问的控制 信息访问的控制 信息传输的保护 攻击的检测和反应
网关IP 192.168.11.1
192.168.12.1 192.168.12.65 192.168.12.129 192.168.13.1
备注 Vlan 11
Vlan 12 Vlan12 Vlan12 Vlan 13
3
从事系统子网
4
财务系统子网
5
经营系统子网
预算部 192.168.14.0/27 财务部 192.168.14.32/27 192. 168. 15. 0/24
192.168.14.1
192.168.14.33 192.168.15.1
Vlan 14
Vlan14 Vlan 15
VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理 的LAN分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。
IPv6过渡中的协议翻译技术是由IPv4的NAT技术发展而来的, 就是将IPv6数据包中的每个字段与IPv4数据包中的每个字段建 立起一一映射关系,从而在两个网络的边缘实现数据报文的转 换。