新办公楼网络系统方案doc.docx
- 文档编号:27261386
- 上传时间:2023-06-28
- 格式:DOCX
- 页数:20
- 大小:34.25KB
新办公楼网络系统方案doc.docx
《新办公楼网络系统方案doc.docx》由会员分享,可在线阅读,更多相关《新办公楼网络系统方案doc.docx(20页珍藏版)》请在冰豆网上搜索。
新办公楼网络系统方案doc
新办公楼网络系统方案
新办公楼网络系统设计方案2019年5月15日目录1.新办公楼网络系统说明31.1系统设计思想31.2系统设计原则32.新办公楼网络系统设计52.1新办公楼网络结构52.2交换机功能规划62.3接入Internet规划72.3.1移动用户远程VPN接入规划82.3.2网络可靠性规划83.新办公楼网络IP和路由设计83.1新办公楼网络VLAN规划83.2新办公楼网络IP地址规划93.2.1内部地址划分93.3新办公楼网络路由规划103.3.1路由协议选择103.3.2新办公楼网路由设计104.新办公楼网络安全设计114.1新办公楼网络出口安全124.1.1防火墙安全规划124.1.2移动用户接入VPN接入144.2核心交换机OmniSwitch9800技术特性144.3交换机OmniSwitch6450技术特性214.4千兆防火墙系统性能255.售后服务计划271.新办公楼网络系统说明1.1系统设计思想新办公楼作为绥德县标志性建筑,其高端的网络系统是在所难免的。
本网络系统主要分为两部分办公网络。
本网络系统要既要满足新办公楼日常办公管理的业务需求,包括楼内办公人员宽带上网,视频会议等。
本网络系统的骨干网为万兆以太网,千兆传输到桌面。
集成一个集数据、语音、视频、图像于一体的高带宽、多功能、多服务、开放性、多业务接入的IP多媒体交换计算机网络。
本网络系统与外界互联需要加载防火墙等安全设备,配合其它网络安全措施,以保证系统的安全性,整个计算机网络系统分为二层结构核心层和接入层。
核心层配置一台模块化的万兆线速路由交换机,交换机位于中心机房,各种数据流在这里集中交换和路由。
千兆接入交换机位于各楼层的弱电间,接入交换机通过1000M接入桌面,通过光纤上联到核心交换机,接入交换机除提供终端计算机的联网接入外,还提供IP电话、视频图像等的接入。
1.2系统设计原则新办公楼网络系统负担着内部的各部门的网络通信,要提供网络与Internet之间的通信,提供数据、语音、视频多媒体的融合,实现三网融合,同时承载大量的智能控制子系统通信(如门禁、防盗系统、楼宇自控系统等)。
因此,其带宽和性能的要求非常高,不仅要满足数据信息服务的高速需求,还要为整个新办公楼网络的外部访问提供高带宽、高性能的网络通道。
网络设计时将遵循以下原则Ø先进性新办公楼网络为了支持数据、话音、视频多媒体的传输能力,在技术上要采用最先进、成熟的网络技术来满足目前的网上应用需求,并考虑未来的发展。
网络主干设备应选用高带宽的、先进的万兆位线速路由交换技术,能够承载和交换各种信息。
Ø可扩展性和可升级性随着信息化的不断发展和应用水平的提高,网络中的数据和信息流会呈指数增长,需要网络有很好的可扩展性,并能随技术的发展不断升级。
Ø国际标准性和开放性网络系统应该是一个开放型的网络,支持各种协议的互联。
选用符合国际标准的系统和产品,保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
Ø可靠性可靠性是所有类型的网络所必须具备的特性。
这种可靠性不仅表现在通过网络提供的信息资源,还需要由可靠的网络基础平台来保证,网络结构的先进性、冗错性和稳定的QoS是使得各种网络应用可靠完成的前提。
而这些都必须通过可靠稳定的网络设备来保证。
Ø安全性新办公楼网络中存在各种内部专用信息,这些信息必须得到可靠的保护,要防止黑客对网络系统的攻击,还必须防止内部工作人员的误操作而导致的网络故障。
新办公楼网络的安全性一方面要从信息提供角度来保证,即从应用系统中来保证信息安全性,另一方面需要结合网络结构和网络设备来保证,与先进网络设备所提供的各种安全机制相结合。
Ø易管理和易维护性网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置、灵活实现用户级别的设置等功能。
Ø实用性网络系统选用的硬件设备和软件系统应当具有良好的性能价格比,网络系统的日常管理和维护简单方便,经济实用,网络拓扑结构和技术符合多媒体应用对主干网络的要求。
Ø投资保护网络系统选用的网络设备应当能够充分保护原有网络设备投资,按照实际需要方便的升级调整,尽可能的延长原有设备的使用价值。
Ø高性能和服务质量QoS保障新办公楼网络系统将承载大量的交互信息,对网络设备的性能要求高,不仅要提供办公自动化平台、数据信息服务,还必须为许多先进的网络应用提供支持。
例如,除了传统的Internet服务Email、FTP、WWW、数据库查询外,还要提供网络视频会议、视频点播、VoIP等多媒体应用类型。
这些应用的通信方式和对传输网络的要求各不相同,所以网络必须具有面向应用的特性和提供,QoS保证能力,才能有效地为不同的网络应用提供可靠的传输。
ØIPMulticast支持由于今后网络中多媒体的应用如视频会议、VOD等越来越多,往往会占用大量的带宽资源。
所以全网必须支持IPMulticast。
2.新办公楼网络系统设计2.1新办公楼网络结构整个网络要实现数据互通,实现信息发布和对INTERNET的访问,实现网络一体化的管理。
网络结构分为核心层和接入层两个部分。
采用专线与INTERNET网络进行连接。
本次数据网络担负着传输数据、图像等,实现各种应用的重任,必须满足现阶段及未来5年新办公楼各种数字化应用的需要。
支持日常办公、酒店用户、Internet访问的需要和接入用户的访问,针对用户的信息发布,用户对中心相关信息访问。
新办公楼计算机网络分为两套局域网系统,分别为内部办公网和外网内部办公网是办公系统、管理信息系统、数据存储系统等办公应用系统等基础平台,并为内部人员提供互联网访问服务、对外提供办公网站发布服务;外网是为办公人员提供互联网访问服务等平台。
两套网络都采用星型架构,以一台三层交换机为核心,通过千兆光纤发散连接各楼层接入交换机,接入交换机为各个计算机终端提供千兆到桌面的高速网络连接;另外两套网络各自配置互联网接入设备,通过运营商提供的宽带接入线路连接互联网,实现内部共享上网。
根据办公内网建设的具体需求,办公区网络核心交换机不在此次范围内。
出口防火墙不但完成共享上网、安全防护等功能,还为外出人员或驻外人员提供VPN接入服务,通过VPN隧道和加密技术,使在外人员通过互联网实现对内部办公网资源的安全访问。
防火墙做为设备端,具有以下作用n接受客户端连接;n为客户端分配IP地址、DNS服务器和WINS服务器地址;n进行客户端用户的认证与授权;n对IPSec数据进行加密与转发。
核心层核心层采用ALCATEL-LUCENTOS9700E万兆线速路由交换机,核心层交换机位于4层网络中心机房,核心层通过多模光纤链路与接入层交换机相连。
接入层接入交换机采用ALCATEL-LUCENTOS6450-24线速路由交换机,分别位于各个楼层的弱电间,通过多模光纤链路上联到核心交换机,接入层交换机提供1000M接入点到桌面。
网络结构如下图所示2.2交换机功能规划u核心实现IPV4/IPV6路由网络在核心层,实现网络路由规划、大部分的路由工作由核心交换机完成;同时提供IPv6路由和扩展的对IPv6隧道的支持,包括配置、6-in-4和ISATAP隧道技术,满足各种各样的IPv6需求。
u核心层安全规划在网络出口,配置1台FG-200B防火墙,对进出内部网络的所有通信进行过滤,对所有进出的通信进行控制和过滤,以及提供外勤人员VPN接入。
核心交换机提供分布式多层安全性,实现如下安全Ø核心层规划L2-7层的安全策略控制,实现数据中心以及各单位间的通信安全控制;保证通信数据的安全;Ø在核心层交换机智能自动动异常通信阻断,使一些非法的异常的通信,不能在网络中传播;Ø交换机具有的DoS保护,防止非法攻击通信设备,影响到网络通信的稳定;Ø通过以上的安全策略,实现从核心层到接入层的全网分布式的IPS安全防护功能。
ØVLAN划分,采用VLAN技术,虚拟局域网VLAN是一个重要的组成部分,可以认为虚拟局域网VLAN是网络的灵魂。
通过VLAN的合理设置,网络中的用户可以方便地在网络中移动,而不需硬件线路的改变。
这样,可以从逻辑上对用户和其它网络对象进行分组,并设定相应的安全和访问权限,然后,由计算机自动根据配置形成相应的虚拟网络工作组,充分发挥交换网络的优势,体现交换网络高速、灵活、易管理等特性。
。
uQOS功能核心交换机具有强大的服务质量控制功能,在核心交换机上,启用流量管理工程。
根据不同应用需要和应用特点,分别启用不同的QOS策略,保障不同应用达到最佳的服务质量。
保证新办公楼网络三网融合通信,即使传输大量多媒体视频应用,核心交换机也能提供强大的服务质量控制,保证稳定传输这些数据、语音、图象、视频通信。
2.3接入Internet规划新办公楼网络采用统一的出口,为了保证网络安全性,外网的出口配置一台FT-200B防火墙与电信连接,通过防火墙将内外网进行有效隔离。
在防火墙上,提供策略路由,对用户出口通信进行有效控制。
在防火墙上启用NAT和PAT功能,使内部所有的IP和端口对外实行屏蔽。
在防火墙上,针对不同用户,设置不同的访问权限规划,将内外网用户实行安全隔离。
在防火墙上,设置一个DMZ服务器,将新办公楼所有对外服务器(特别是网络中重要服务器,如WEB网站、MAIL服务器等)放置在DMZ区,实现安全隔离。
在网络出口,配置一台安全审记,对所有进出网络的流量进行安全流量控制,应用监控和安全审记,使所有出进的流量透明化,保障新办公楼网络安全的同时,可以做到有据可查。
2.3.1移动用户远程VPN接入规划在网络出口配置一台防火墙,支持硬件SSLVPN功能。
网络移动用户,采用SSLVPN安全接入到内网。
用户通过SSLVPN安全接入,利用SSLVPN,无需安装客户端,就可以安全访问内部网络的信息资源。
移动用户和家庭用户,通过SSLVPN,接入到内部网络,实现网络安全接入;2.3.2网络可靠性规划整个新办公楼网络,将主要从以下几个方面,进行可靠性规划设计网络设备冗余配置和设计主要从硬件、软件两个方面加以考虑,可以达到5个9的可靠性,以提高整个网络可靠性。
Ø核心交换机,采用硬件冗余配置,实现冗灾备份Ø冗余电源模块、机箱温度保护/过热关闭温度高于Tmax时关闭;Ø交换机支持在线升级,保证网络不停机升级系统;Ø通信模块相互独立/模块化,实现模块冗余备份,所有的模块均支持热插拔;3.新办公楼网络IP和路由设计3.1新办公楼网络VLAN规划依据用户对网络使用情况以及用户的应用分布等方面需求来规划IP和VLAN,根据不同的特性,对设备和用户进行合理规划,管理VLAN和用户VLAN分开。
设备管理、网络中心和无线网设备管理,分别规划为不同的VLAN。
接入用户,根据其所在的单位和楼层,分别划分到不同的VLAN中。
为了减少每个VLAN中的广播包,以及相互之间的影响,每个VLAN不超过512个用户,也可根据需要,对不同单位的用户进行细分。
在新办公楼网络将根据不同部门,进行VLAN资源组的划分;将根据不同单位,进行VLAN的划分,不同单位分划到不同的VLAN中。
同一VLAN的用户,如果需要隔离,可在接入交换机上,启用端口隔离,相互之间可选择性的让他们通信。
办公网与酒店网络实现逻辑安全隔离。
3.2新办公楼网络IP地址规划3.2.1内部地址划分采用层次化的划分策略为便于网络运行,提高网络寻址效率,同时在划分上做到简单易管理,可以按照层次分配原则,将IP地址按一定规律及具体情况进一步划分,满足整个网络信息服务的需要。
为了节约IP资源,在网络中,所有互连IP接口,均可采用私有IP地址,这些IP,用于IP路由,不需要对外提供服务。
1IP地址分配的方法IP地址的划分方法有两种一种采用固定分配IP地址,一种采用DHCP动态分配IP地址,在具体的实施中,可采用DHCP固定IP相结合的方法进行分配和管理。
2IP地址划分内部地址可按每个楼和单位进行分配,每个楼分配连续的地址段,便于进行地址的聚合和控制。
例如行政楼分配的地址段为10.0.0.0~10.63.255.255,VIP住院楼为10.64.0.0~10.127.255.255。
这样可以清楚的区分每个楼的网络IP,分别加以控制。
网络地址按每个VLAN为单位进行分配,每个VLAN分配连续的地址段,便于进行地址的聚合和控制。
不同子系统,单个VLAN可能需要多个IP地址段,可以在交换机的单个VLAN,分配从个IP地址段。
对于每个VLAN内的地址分配,可以根据具体需求,可采用有类和无类地址段,对VLAN的地址进行细节分。
网络办公采用固定IP地址分配,酒店采用动态分配。
网络根据用户,来选择IP分配是采用固定IP还是采用动态分配IP地址,具体实施时灵活选择。
具体举列如下所示VLAN和IP地址规划表(IP规划以安装规划设计为准)序号应用区域VLAN规划IP地址段掩码位数网关备注1交换机管理IPVLAN100010.30.0.02310.24.1.2542服务器DMZDMZ区IP地址10.30.2.0243路由互连网段路由互连网段10.30.3.0244VPN接入用户VLANVLAN410.30.4.02310.24.5.2545网络中心设备VLAN610.30.6.02310.24.7.2546网络中心服务器VLANVLAN810.30.8.02310.24.9.2547无线用户VLANVLAN1010.30.10.02310.24.11.2549办公系统VLAN1310.30.12.02410.24.13.25410酒店系统VLAN1410.30.13.02410.24.14.25412接入用户无线控制器10.30.16.02010.24.15.2543.3新办公楼网络路由规划3.3.1路由协议选择对一个新办公楼网络来说,选择一个合适的路由协议是非常重要的,不恰当的选择有时对网络是致命的,路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。
路由包括两个任务路径选择、信息包的传输。
路径的选择取决于metrics,metrics可包括可靠性、延迟、带宽、负载、MTU、通讯费用,不同的路由算法考虑部分或全部的因素。
现在通用的路由协议有静态路由、RIP、OSPF、BGP等。
所有路由算法都要保证3.3.2新办公楼网路由设计路由协议的选择对网络的可靠性、灵活性、可拓展性有较大的影响。
我方根据网络的结构从管理和技术两个方面进行选择路由协议的选择。
路由协议的选择基本原则是Ø管理上层次分明,局部的变动不影响上层路由配置和全局路由配置;Ø技术上应尽量简单、灵活,以提高路由器的处理效率。
Ø能够反映出整个网络的层次结构,并与自治域、各结点子网的IP地址分配相结合,做到合理的路由聚合,减少路由表长度,减轻路由更新给网络带来的负荷。
根据这一原则,网络的路由协议分为两个层次l域内路由协议Ø新办公楼系统包括核心层和接入层2层结构,整个网络的路由策略管理是一致的,因此选用域内静态路由,也可采用OSPF。
l出口路由协议(可选)Ø外网入口路由器与Internet结点之间采用静态路由4.新办公楼网络安全设计根据网络的安全需求,网络安全将采用一次规划,分步实施,我们建议采取以下安全措施,为网络构架一个科学合理的安全的网络,可实现全网的安全防范体系。
1网络出口安全Ø物理链路的安全Ø在网络边界设置防火墙,提供安全策略、IPS入侵检测,病毒过滤、邮件过滤、防DDOS攻击、流量整形等Ø远程用户VPN安全接入Ø在DMZ区,设置Web防御系统2网络内部安全·基于物理和设备网络安全Ø硬件设备自身安全Ø硬件设备安全管理限止非法硬件设备接入到网络Ø管理员身份认证/授权Ø管理通信数据加密Ø设备分权管理Ø利用交换机的自身防攻击、防病毒功能,保证网络主干的正常运行·基于网络通信的网络安全Ø资源组安全控制不同部门,不同工作人员,分别设置不同的资源组。
Ø防非法硬件设备和IP地址盗用;Ø访问权限策略控制;Ø身份识别利用交换机的用户验证功能,基于用户名和密码的资源组动态分配,对数据资源组的访问采用用户验证;·基于应用联动的网络安全Ø桌面强制检测系统Ø内部入侵检测IDS4.1新办公楼网络出口安全在新办公楼网络出口,配置一台防火墙与本地INTERNET连接,实现安全隔离。
网络可提供双出口与INTERNET通信,当一个ISP网络或链路出现问题时,不会影响到网络对INTERNET的访问。
4.1.1防火墙安全规划在出口防火墙上,集成全面的安全功能,实现出口通信的安全过滤和隔离,在两台出口防火墙上,可启用防拒绝服务攻击防火墙内置入侵防护系统IPS,对各种针对网络的攻击,能够实时检测到并且阻断、报警,提供防拒绝服务攻击系统功能,实时防DOS和DDOS攻击;支持系统、协议和特征库管理;u病毒检测Ø病毒和蠕虫防御能够检测、消除感染现有网络的病毒和蠕虫,实时的扫描输入和输出邮件及其附件(SMTP,POP3,IMAP),在不损失Web性能情况下扫描所有Web内容和插件(HTTP)的病毒特征码。
ØVPN反病毒消除VPN隧道的病毒和蠕虫,阻止远程用户及合作伙伴的病毒传播。
uWeb内容过滤Ø处理所有的网页内容,阻挡不适当的内容和恶意的脚本。
ØWeb内容过滤根据URL、关键词模式匹配阻止Web站点及页面。
Ø免屏蔽列表允许管理员设置专门的URL或关键字不被阻断。
Ø脚本过滤阻止网页的插件,例如ActiveX、JavaApplets和Cookies。
u防火墙模式及服务Ø工作模式网络地址转换,透明模式,端口地址转换,路由模式。
Ø用户认证内建用户认证数据库,支持RADIUS认证数据库。
Ø服务支持20多种标准服务(例如FTP、HTTP),支持用户自定义服务和服务组。
Ø时间表根据小时、日、周和月建立一次性或循环时间表,防火墙根据不同的时间表定义安全策略。
Ø虚拟映射通过把外部地址映射到内部或DMZ网络上的地址使得外部用户能够访问内部的服务器。
ØIP/MAC绑定自动进行IP与MAC地址的绑定,阻止来自IP地址欺骗的攻击。
Ø流量控制允许管理员定义带宽限制并且可以给特定的防火墙策略设置优先等级。
流量优先级的划分Ø反病毒控制基于防火墙访问策略的细粒度病毒防御。
u虚拟专用网(VPN)Ø在网络之间或网络与客户端之间进行安全通讯,支持工业标准的IPSec、PPTP、L2TP。
Ø密钥交换算法支持自动IKE和手工密钥交换。
Ø硬件加速加密支持DES,3DES和AES加密算法。
ØVPN客户端通过支持IPSec和PPTP客户端通过。
u入侵检测系统Ø实时的基于网络的入侵检测。
Ø攻击数据库用户可配置的超过1300种攻击特征库确保可靠的管理。
Ø攻击检测检测已知的DOS、DDOS攻击,以及绝大多数操作系统和应用协议的漏洞。
Ø邮件报警当监测到攻击时,防火墙会同时向3个邮件地址自动发出警报。
4.1.2移动用户接入VPN接入充分利用防火墙的VPN功能,提供移动用户,安全接入到内部网络。
合法的移动用户,采用VPN安全接入到内部内网,就可以安全访问内部网络的信息资源。
移动用户和家庭用户,通过VPN,接入到内部网络,实现网络安全接入;移动用户可采用SSL-VPN,也可采用IPSECVPN,安全接入到新办公楼的网络。
4.2核心交换机OmniSwitch9800技术特性OmniSwitch9800是OmniSwitch9000系列交换机,是第六代高密度线速万兆以太网交换机,采用单片大于120G的ASIC处理芯片,提供真正线速10G、40G交换交换机交换容量高达3840Gbps,包交换率2880Mpps。
OmniSwitch9000系列交换机是一种功能强大、智能化的多层交换平台,可提供高性能,高通信带宽和高可用的性能。
这种新型第六代交换平台是阿尔卡特公司现有OmniSwitch系列的升级换代产品。
OmniSwitch9000提供了运营商级的优异特性和功能,具有空前的端口密度和海量的吞吐能力,为核心应用和关键性业务提供通信服务。
第六代交换平台采用最先进的新一代ASIC芯片,单模块可提供大于240G的通信容量。
提OmniSwitch9000交换机可提供无阻塞的高端口密度万兆以太网交换、运营商级别的可靠性(99.999)、分布式的多层安全性、智能化的交换和路由服务;最为关键的是,所有这一切全部是线速的。
OmniSwitch9000具有十分优异的网络技术特性,为新一代IP通信平台提供高速交换和无缝联接,它在许多网络环境中起着重要作用Ø新一代万兆城域网核心层Ø新一代大型园区网核心层Ø服务提供商ISP和大型数据中心(IDC)Ø其它专用网络,如教育、广电、电力、交通、航空、金融、政府等OmniSwitch9000是为新一代网络应用要求而设计,是为处理最复杂的数据流要求而设计,可以提供无阻塞10G以太网交换,它们的关键特性包括※运营商级可用性99.999,智能持续交换永不停顿网络※交换机支持与防火墙、IDS(任意第三方产品)安全联动,实现网络分布式的IPS防护功能,交换机能自动隔离网络中的攻击源,※分布式多层安全性增强型ACL、策略VLAN、认证服务、DoS/IPS保护、主机完整性验证、与防火墙/IDS安全联动和SSH/SSL等※虚拟交换结构,将多台核心交换机,虚拟成单台交换机,提供无环路架构,简化网络结构。
支持DRR分布式路由,DLA分布式链路聚合,DDM分布式设备管理技术以提高系统可靠性;※现配硬件线速服务器负载均衡SLB模块/功能,提供轮询、比率负载均衡算法、提供服务器健康检查、提供应用健康检查功能,每台支持不少于16个服务器组※现配硬件IP流采集和分析功能,支持Sflow(RFC3176)标准格式的协议,能够实现实时的流量分析和协议分析,支持基于源、目的IP/MAC、VLAN、协议、服务端口等流量统计※运营商级智能性应用识别、L2/L3/L4QoS分类※支持高性能独立硬件WIFI无线控制器板卡,提供WIFIFITAP管理能力※动态移动性广泛的VLAN支持、用户认证VLAN功能和认证服务※支持标准802.1AE以太网链路加密功能※硬件策略路由PBR,支持服务重定向※支持MPLSVPNVPLS功能,支持VPLS,提供在IP/MPLS上的透明LAN服务※支持LDP的传输隧道建立和信令包括平滑重启,支持每服务接入点的灵活优先级映射/改写,支持FRR提升弹性※支持多虚拟路由协议(Multi-VRF)功能※IP/IPX路由IPv4(RIPv1/v2、O
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 办公楼 网络 系统 方案 doc