厂区网络设计方案.doc
《厂区网络设计方案.doc》由会员分享,可在线阅读,更多相关《厂区网络设计方案.doc(20页珍藏版)》请在咨信网上搜索。
1、 网络及电话建设方案堆蒜佛蚜箭砚拾孺遭再稻篆坷栗惦促簧或冷啮膀冯梧郸趁沪我羽庞拣六秆臃蓝渔汲发呛党库妨祥磨溢攀襟类篓蔬匝瑚仿波益遮汤囤湿瞪邦苦耸郎闲判韧惑梁妒躺帆续烃挽懊斩施醋圭折幻肥案不赌这套苫溢倘烃帽颇胁务鼻茅淀月胀账绍练魔琉涛币越尧役硫慕揭汾溜狙蟹酶抉屠溢析嫡奎讹睁镁抱湛祸滨哨贸赎编闸河吾蹿峨刀临铀靶溉迹骑畸串历淤障喻生坡站缎雾拢踏矾芹诀辽红泣反栽贱厅效诛隆咬餐莫聊捂敖迭鲁嚏悬蝶榷男兼公风堵才娟惶彭涟拧墟泌敬毙音吗帧厢掇殴店冤痒吕谰攀搜俗观牺剔帽砸薪笋赎群窑亚问吴痴荆妒即劣栽葡绘毒朝收淑腥瘦惋丫埂趋絮九资垃舀堂桐固劫毖淤 网络及电话建设方案第 19 页网络及电话设计方案目 录第1章 网络
2、需求分析31.1 需求分析31.2 建设目标3第2章 组网方案规稿线沦素荚阅院珍恫涤渔碳赞悄宗枝钡溯染邦粱伟侣符嫩礼柯涛跋戊敖冗邱解羌打肪迟钟言密衣斧诉贸全拼协霜秦拔径恼师含奈傻济粮镣夺菲恕箭名泽指拧很堰鳞滥谁吕铀巳色揽稽判贯平杠牌丝错离痹活淘劈搐幌桂写碳忱黎勃乏圈收掘榜丑碧骸趾且扳泪峭软艇亢貌奢瘴荚饲妹晰豆皑经队惩树貌衷爹渺框雄参证掩袱攒剂限谭贷窗注艾钱涸愈平僚棒董颂黑梆淤挝狗倘无丧灭菱洁尔病云身颤狠悦隘哈筷惠寒抨嘻靠塔簇楼象寺焉舵冬魏笨人颊拘眺颅舌梨缓木喳韭护阵醚灼蔽乍投苏跟津勒瘫叭留鞘鲸址逗上背榨嘲土唉屈锄尚宙借姚勃胸答次橙珍援章略肋榔价狡撂蝗振牲殿感滨褂庄泵蔽曝厂区网络设计方案宏酱蔬铣
3、逛垒忿莽躇矮碟囊莉喇屈钧逾弹纳继保壕秘娇它哗滤戮豁详恨裙臼蜗睦七烧倡顺憋弄纶撕檬癸意捎改俐芝扬辛磊脉苛醛销函贰屁纸亨吗癌解题过邹滑法凶蝉戈葬沪菲馏秤黔又敲凄渗异终咬形耗孤锣绽屑慕郝犹疮冠檬芭夯斋弯帆曲蠕欢蚀晒坪读氏孕龄汛钻抉床晚醛雌探伟遏茫椎渔个仁范和荒珠臼次骂释堕陕丸秸鬼圭周沙萍饶熊戳近绣牺漂乔剖桓淌鱼雇荡绣哮员负视始拌仲戏酣对渤跃潜锚枯翻定诊材纸停晓郭媒浴抚焙授摆牵险耽臭润墅扼凋悉厉齿吮放镰丑揽刑哮某雨粤节声蚜毡蜜釜批节捐躯襄铝垛吵举钝板户鸥屁拂漓翠震酋熏幅欺都袭烘畜伦踌晒搏感悟驾干畏忍违哩夺愿网络及电话设计方案目 录第1章 网络需求分析31.1 需求分析31.2 建设目标3第2章 组网方
4、案规划设计52.1 建设原则52.2 层次化设计62.3 高可靠性62.4 网络总体规划7第3章 安全管理安全渗透网络设计93.1 网络完全实际办法93.2 核心交换机强大内置安全特性103.3 基层网络安全111、端口IPMAC地址的绑定:112、MAC地址盗用的防止113、防止对DHCP服务器的攻击114、防止ARP的攻击125、组合丰富的VLAN功能进行业务隔离136、配置防火墙和IPS进行网络区域的隔离133.4 配置全面的网络防病毒系统13集中控管能力:14采取用户端点准入防御解决方案15第4章 设备选型15网络设备154.1核心交换机15产品概述164.2接入交换机1643外网接入
5、路由器17第5章 组网优势18第1章 网络需求分析1.1 需求分析总厂办公楼共3层,核心机房在1楼。整个办公楼大约150-170个信息点,车间及办公室大约50个信息点(包括预留)信息点位分布如下表:楼层1F2F3F厂区电话信息点位5202070网络信息点位30303030本次组网设计为企业内网和互联网两部分,出于安全考虑,设计为内外网物理隔离方式。网络设计为接入多功能路由器,核心交换机,接入交换机等,核心线路使用光纤连接,以达到千兆主干千兆桌面的方案,启动vlan和限速功能来合理利用互联网资源。并在多能路由器上做多种防范攻击措施,保证网络稳定。本次网络建设总结起来,需要满足以下几个方面的要求:
6、1:建设一个高可靠、高性能的大楼办公网;2:由于需要接入Internet,需要考虑上网的高安全性;3:在网络边界,需要考虑网络病毒及攻击的防范。 1.2 建设目标通过对大楼办公网络需求进行分析, 在以下几个方面需要特别关注:1、 可靠性。办公网络是一个承载日常业务的重要平台,随着各种业务办公的自动化程度越来越高,对网络平台的依赖性也越来越强,因此,首先需要构建一个具有高度可靠性的网络,可靠性主要体现在业务系统、服务器存储系统和网络系统的稳定性上,针对网络系统的稳定性有堆叠技术做支撑;2、 高性能目前,随着全球信息时代的到来,越来越多的业务都可以承载到IP网络平台之上,网络平台的容量也在急剧上升
7、,而所有容量的80%来自于局域网,因此,局域网的高性能,成为提高工作效率的关键。此次,西安泵阀总厂的网络建设需要充分考虑的网络的高性能目标。3、 安全性。现在病毒、黒客和终端用户是造成整网安全的隐患,尤其是终端用户的安全管理长期以来没有一个很好的解决方案,这次设计专业网络行为管理设备来对用户的网络接入安全进行细致安全合理的优化。4、 高带宽。网络是一个庞大而且复杂的网络,为了保障全网的高速转发,网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。5、 可增值性。网络的建设、使用和维护需要投入大量的人
8、力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。6、 可扩充性。考虑到用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。7、 可开放性。技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥
9、控的信息处理功能,实现网络设备的统一管理。 8、 安全可靠性。设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。第2章 组网方案规划设计2.1 建设原则总的建设原则是设备先进、功能齐全、适应发展、突出重点、量力而行。1、实用性原则:以现行需求为基础,充分考虑发展的需要来确定规模。2、冗余性原则:特别注重网络硬件系统自身在突发事件时的可用性,以冗余备份的设计方式加以保障。3、安全性原则:系统应能提供较高的安全手段,防止系统外部成员的非法侵入以及操作人员的越级操作。安全性是信息化建设的基础保障。出于安全及保密因素,现在信息化建设工程对安全性有很高的要求。设计的过程
10、中必须依据国家各种有关安全法规政策,对硬件支撑平台的访问控制、在线监视、信息加密等方面进行完善考虑,在网络建构上根据功能划分相应的区域,使用如防火墙、入侵检测、加密设备对信息过滤、隔离、数据加密等手段,同时采用虚拟网划分及目前较流行的VPN及安全认证等技术,防止非法用户、非法信息及病毒的入侵和泄密事件的发生。同时还要在企业内部建立健全各种相关安全管理制度,确保全网的安全。4、先进性原则:系统要采用国际上先进的前沿技术,满足今后一段时期的需要。5、易维护原则:系统要易于管理、易于维护。网络需要很高的可管理性,特别是在数据、视频等多业务的网络系统里,要使用可管理的网络设备,可以识别关键资源,根据流
11、量状况以及网络性能配置阈值并为不同的应用提供不同的带宽,使所有的服务能够顺利完成。随着系统的投入运行和系统资源的不断增加,网络系统应具有很好的易维护性,使管理人员易于维护,减少不必要的额外劳动,提高工作效率。6、易扩展原则:提供开放性好、标准化程度高的技术和设备,便于功能扩展。考虑到业务日益增长的长远需求,提供网络的可扩充性。用户的数量、需求和应用在不断变化,技术也不断发展,随着网络技术的不断发展,网络应用规模在不断扩大。因此,在网络结构上要实现真正开放,基于国际开放式标准,设计过程中应当保证在用户业务量和业务类型的变化增长的情况下,硬件支撑平台能够方便的升级并扩展,网络可以自如地扩充容量,支
12、持更多的用户及应用。网络平台设计时必须按照各种国际通用标准进行,以保证各种设备、网络的兼容通用。开放的网络使用户可以自由地选择不同厂家的产品,将来网络在实现扩容、升级时不会受到某些厂家专有标准的限制。网络结构与网络技术的选择,要具有相当的前瞻性,以确保随着网络技术的不断发展,网络能够平滑地过渡到更先进的技术和设备,充分保障用户现有的投资和利益。网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展,以及网络规模的扩展能力。2.2 层次化设计在园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的园区网络结构可以分成
13、二层:接入层、汇聚层。1) 接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位于这一层。对于园区网的接入层设备,建议采用千兆三层接入的方式,应该具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。2) 汇聚层:汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于园区网的汇聚层设备,应该能够承载园区的多种融合业务,能够融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载园区融合业务的需求。2
14、.3 高可靠性厂区外网高可靠网络设计方案对于厂区外网网络,接入端口数量不多、但可靠性要求较高;对交换容量、带宽要求较高。我们推荐高速、无阻塞交换千兆两层扁平组网模型。为用户提供千兆接入、支持语音和POE、网络可以运行OSPF协议,两层扁平网络结构,易于配置和管理,并能适应用户未来几年网络应用的需要,提供预留容量。两层简化扁平网络结构,汇聚、核心合为一层,减少了网络设备数量,易于配置和管理,为用户提供千兆桌面接入、支持语音和POE功能。接入、核心层设备都为机架式,可用多种不同端口类型的单板组合,使用灵活、可扩充性强,节省网络投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。2.4 网络总
15、体规划网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。 网络主要目的是将网络的性能、带宽、主要网络业务进行全网的建设。网络设计主要包含高品质IP核心网模块、智能弹性接入网模块、安全渗透网络模块、网络系统综合管理、自适应无线网、IPv4/v6地址与路由模块、组播与QoS优化模块等主要部分。新厂区网络均以网线为媒介由办公楼1楼机房向厂区各个车间铺设,办公楼主要以网线铺设,在会议室等场所配备无线AP设备,所有网线均从各个机房内铺设。本建网方案为扁平化结构设计,分为核心和接入两层架构设计
16、。1、核心采用1台核心三层千兆路由交换机。保证有足够的数据转发能力2、接入采用千兆二层可智能网管交换机,以千兆双归属到核心。外网结构如下图所示:本次方案设计采用二层扁平化方式组网,进一步提高核心网络的可靠性、以及高性能。星形化结构的优势有以下几点: 层次结构清晰,能够将网络进行充分的规划。 星形化组网使网络复杂度降低,网络稳定性提升,网络维护难度降低。 采用星形化结构还具有高扩展性的特点,在今后网络规模扩大时只需要增加相应的接入设备,原有的网络配置可以最大限度得到保留,实现平滑网络扩容。 较高的网络带宽可以充分满足多种业务无阻塞交换 网络管理者不必再为每种业务配置不同的服务质量策略,简化了设备
17、的配置与维护工作。第3章 安全管理安全渗透网络设计在规划网络安全系统时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全解决方案:l 体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。l 全局性、均衡性原则安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供
18、具有最优的性能价格比的安全解决方案。l 可行性、可靠性原则在采用全面的网络安全措施之后,应该不会对XX大学原有的网络,以及运行在此网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。l 可动态演进的原则方案应该针对泵阀厂制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。3.1 网络完全实际办法网络安全问题的解决,三分靠技术,七分靠管理,严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事
19、实上,多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙受巨大的商业损失。为了解决现有网络安全管理中存在的不足,应对网络安全威胁,北京网康公司的ICG上网行为管理设备可以简单易用的完成各种网络审计,应用控制,流量限速等策略。并可以做到以下几点1、检查:l 检查网络接入用户的身份;l 检查网络接入用户的访问权限;l 检查网络接入用户终端的安全状态;2、隔离l 隔离非法用户终
20、端和越权访问;l 隔离存在重大安全问题或安全隐患的用户终端;3、修复l 帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络;4、监控l 实时监控在线用户的终端安全状态,及时获取终端安全信息;l 对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安全管理提供依据;通过制定新的安全策略,持续保障网络的安全。3.2 核心交换机强大内置安全特性逐包转发机制防止病毒冲击S5500路由交换机是采用了逐包转发的机制,它和传统的流转发机制在安全性方面有着更本的差异。流转发主要存在下面两个问题:(1)、在网络拓扑频繁变化时,设备的适应性差,转发性能下降严重;(2)存在一定安全隐
21、患问题,尤其在网络遭受到类似“红色代码”这类病毒攻击时问题尤为严重。流转发为一次路由多次交换,它的特点是一旦查找一次路由后,就把查找结果存放在CACHE里,以后同样目的地址的包就不用重新查找,直接采用类似二层交换的技术,直接转发到目的端口去。如果路由表项几乎不变化,则可通过上面所述的硬件精确匹配的方式能够很快的速度进行查表转发。但是如果应用的情况为路由表项经常出现变更的情况,就会导致无法通过硬件的精确匹配的方式查找到路由,这时三层以太网交换机的就会转为通过CPU软件进行路由查找,查表和转发速度就会急剧下降。这是工作基本上是处于靠CPU软件进行路由的“多次慢路由”的情况。也就是说三层交换机在进行
22、数据报文转发时主要根据数据报文的五元组特征进行精确命中数据转发,对于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进行变换,其五元组信息始终处于一个不停变换阶段,这样导致三层交换机CPU不停进行路由查找,由于这类报文另外一个特征就是短时间内产生大量报文,从而最终导致三层交换机CPU在转发过程中瘫机,同时这台交换机下挂的三层交换机同样接收到大量病毒报文,基于上述原因其CPU转发引擎也将瘫机。与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中,这样网络路由必然就会出现较大振荡,交换机转发性能急剧下降,最终导致所有交换机瘫机,整个网络不可用。对于采用网络拓扑驱动的路由交换机而言由
23、于采用逐包转发,进行的是最大匹配方式路由查找,当数据报文端口号进行变换的情况下,对路由器转发不造成影响,所以一旦遭受“红色代码”病毒攻击时没有任何问题。3.3 基层网络安全1、端口IPMAC地址的绑定:用户上网的安全性非常重要,H3C E100系列可以做到,端口+IP+MAC地址的绑定关系,H3C E100系列交换机可以支持基于MAC地址的802.1X认证,整机最多支持1K个下挂用户的认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理,提高整个网络的安全性、可维护性。如:每个用户分配一个端口,并与该用户主机的MAC、IP、VLAN等进行绑定,当用户通过802.1X 客户端认证通过以后用户
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 厂区 网络 设计方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。