网络建设方案模板
网络建设方案模板
目录
第1章项目概述........................................... 错误!未定义书签。
概述............................................... 错误!未定义书签。
背景............................................... 错误!未定义书签。
需求分析........................................... 错误!未定义书签。第2章项目建设原则....................................... 错误!未定义书签。
项目建设原则....................................... 错误!未定义书签。
建设目标........................................... 错误!未定义书签。第3章详细设计方案....................................... 错误!未定义书签。
骨干层设计......................................... 错误!未定义书签。
接入层设计......................................... 错误!未定义书签。
链路设计........................................... 错误!未定义书签。
VLAN、IP地址和路由规划............................ 错误!未定义书签。
VLAN规划.................................... 错误!未定义书签。
IP地址分配.................................. 错误!未定义书签。
路由规划..................................... 错误!未定义书签。
接入互联网......................................... 错误!未定义书签。
服务器接入方式:................................... 错误!未定义书签。
网络安全机制....................................... 错误!未定义书签。
终端主机防护设计................................... 错误!未定义书签。
设备清单........................................... 错误!未定义书签。
主要产品选型..................................... 错误!未定义书签。
第1章项目概述
1.1概述
1.2背景
1.3需求分析
1、组建办公网络,为办公业务信息系统提供统一网络运行平台,实现网络
内部数据资源共享、整合,提高办事效率。
2、实现互联网联接,利用信息高速公路,通过互联网进行信息公开,实现
内部与外部信息的快速交流,提高办事效能。
3、布署网络安全机制,建立安全的网络平台,防止内部网络遭受恶意攻击,
切实保护网络业务数据信息安全。
第2章项目建设原则
2.1项目建设原则
2.2建设目标
1、采用先进的网络骨干技术,保证网络在相当长的一段时间内满足企业发
展的需要;
2、完善企业内部网络,提供企业网(Intranet)的基本服务(WWW、E-mail、
FTP、DNS等);
3、网络在物理上保证连接性,用户可以通过双绞线、光纤等物理媒介接入。
4、通过微波或DDN专线等手段连接Internet,便于与外界进行信息交流;
5、进行虚拟网络划分,控制网络广播风暴,实现灵活配置,控制不同级别
用户对网络的访问权限,检测网络中非法的、不正常的网络流量,保护
网络不受来自企业外部和企业内部的侵犯,增加网络安全性;
6、对整个系统进行完备的安全控制,在网络系统各层次采取有效的安全控
制策略;
7、
第3章详细设计方案
企业网络一般分成园区骨干层和接入层两个基本网络层次,同时结合广域网、外联网、数据中心组成完整的网络解决方案。根据企业网络设计标准:层次化网络架构体系,设计网络时,我们将遵循业界设计标准、行业准则。
设计网络时应考虑采用层次化模型设计,即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
企业网络架构设计的网络层次及功能:骨干层实现网络的高速交换主干、数据中心设备的接入及各分部交换机接入汇聚;接入层负责将工作站接入网络。
图1层次化的网络模型
3.1骨干层设计
骨干层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。骨干层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在骨干层中,应该采用高带宽的千兆核心交换机,以增强网络平台数据业务的网络转发及吞吐能力,因为骨干层是网络的枢纽中心,重要性突出。
在满足业务需求的同时,为尽量节省投资,核心设备可考虑先部署一台企业级核心交换机作为网络核心交换机。可选思科Catalyst 6509、H3C LS-7506E及阿尔卡特OmniSwitch 7800等高性能企业级核心交换机。这些核心交换机具备充足的业务板及功能卡插槽,至少可配置4个业务接口板,整
机交换容量达768GB以上、背板容量超过、包转发率达488Mbps以上。支持主控冗余、电源冗余等高可靠性能。为内部网络业务流量数据高速交换提供一个可行的、可靠、可管理的数据高速核心交换平台。
核心交换机承载内部所有业务数据高速转发的同时,将负责内部网络数据中心数据服务器的接入及各分部门接入交换机的接入汇聚。该部份接入我们可充分利用核心交换机上充足的业务插槽,通过增加千兆以太网电接口(RJ45)业务板为数据中心服务器提供充裕的网络接口和网络带宽,增加千兆/百兆以太网光接口业务模块(SC)-(SFP,LC)为各分部门交换机提供千兆光纤上连接口,实现骨干网络的千兆接入,保证稳定、可靠的连接。
3.2接入层设计
接入层向本地网段提供工作站接入。在接入层中,采用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的,并能够向工作组提供高速带宽。采用VLAN(虚拟局域网)技术,为每个接入部门划分一个单独的VLAN,接入单位作为一个独立的VLAN接入网络平台。通过VLAN技术把不同的单位之间的业务流量相隔离开,避免引起广播风暴等安全问题的出现。
3.3链路设计
1、终端信息点的接入采用规范化综合布线布暑,具体综合布线以部门为单位进行规划设计。综合布线系统规划要求及各模块功能如下:
管理区子系统
管理子系统主要功能是实现配线管理及网络的互连,管理点为连接其它子系统提供连接手段。分配线间是各管理子系统的安装场所,配线间用于安装配线架和安装计算机网络通讯设备,通过综合布线将各楼层电脑配线全部集中到该配线间机柜内端接,通过机柜内的跳线同网络设备相连。
水平区子系统
水平区子系统主要功能是实现各办公室信息插座和管理子系统(中间配线架IDF)间的连接。根据项目的水平区子系统的数据传输要求及将来扩展的要求,设备间与各办公室之间的高速数据传输要用超五类非屏蔽双绞线(UTP)电缆,根据水平布线距离应不超过90M,信息孔到终端设备连接不超过10M的原则,各层信息点双绞线从下一层桥架铺设,并通过预留管道延伸至工作工区,另一端延伸至相应配线架(IDF),配线间内按线端子与信息模块之间为点到点端接。
工作区子系统
信息出口的数量及位置按具体情况进行设计。信息插座RJ45采用高品质的信息模块。办公室内可采取走明线的方式,改造线缆沿墙裙走线,尽量不破坏装修格局,信息插座安装于墙上;暗装底盒安装信息模块及RJ45面板,信息插座的低边沿线距板水平面30cm。
2、各部门接入交换机到网络核心交换机采用光纤连接,在各部门配线间安装接入交换机,根据接入终端信息点数量,分配一定数量的接入交换机,各交换机通过级连口互联,主接入交换机安装光纤GBIC模块,通过光纤接口向上接入核心交换机,实现千兆主干链路连入。
3.4VLAN、IP地址和路由规划
3.4.1V LAN规划
IP/VLAN规划是企业网设计实现的一项重要内容,不合理的规划会直接影响日后的管理维护。所谓IP / VLAN规划,就是为接入企业网的所有设备,包括交换机、路由器、防火墙、服务器、客户机、打印服务器等,分配一个唯一的IP地址,并为其指定适当的VLAN。考虑到日后的扩展、维护等问题,企业网的IP/VLAN规划不仅应符合网络设计规范,还要有规律、易记忆,能
反映园区网的特点。
基于方便维护、管理和统一规划的原则,企业网建设中采用每用户(以每个接入分部门为单位)分配一个VLAN,服务器区域单独占据一个VLAN设计。做到统一规划、统一命名、统一部署。通过采用VLAN技术很好地对不同用户的流量进行了划分和隔离,并且通过VLAN间访问控制列表起到了相当大的安全访问作用。
3.4.2I P地址分配
具体的IP地址分配为:
1、网络设备(核心交换机、接入交换机、防火墙等)的设备互联地址:互
联设备之间属于点对点连接,采用30位子网掩码的IP段分配两个可用地址即可,并单独分配一个VLAN
2、网络设备管理地址:划分一个管理VLAN,并分配一段地址,为每台设备
分配一个IP地址,通过设备环回接口等进行管理或远程连接维护。
3、服务器区域地址:划分单独VLAN,根据服务器数量分配一段子网。
4、接入终端地址:以部门为单位,划分单独VLAN,根据终端数量分配一段
子网。
3.4.3路由规划
1、路由分区的规划
在网络结构规划中,都应根据路由器数量,网络的基本拓扑,路由器的负载等来合理规划路由区域,先择合理的路由协议。OSPF作为国际公开的标准协议,作为目前全球网络使用最广,最稳定的IGP路由协议。采用OSPF 协议的网络核心其路由性能更具稳定性、可扩展性、可管理性和安全性。采
用OSPF协议网络的设计,建设中将核心设计为骨干路由区域,即AREA 0,负责高速,稳定的转发数据包。对于各个汇接区,经过合理规划,将每个汇接区设计为一个单独路由区域。汇接层路由器设计成区域边界路由器。各个汇接区域内接入路由器设计成域内路由器,也运行OSPF协议。
2、 IP地址规划与路由汇总的应用
对于每个汇接区域内的OSPF 区域来说,由于边界路由器负责向骨干区域内注入区域内的路由,许多路由将会是非常零散的小路由,这样,容易造成AREA 0内的路由器路由表项过大,使路由器资源耗费过大,路由收敛时间增大,影响网络的稳定性和健壮性。因此,解决这个问题的最好方法是在边界路由器上做汇接区域内的路由汇总。使注入到零域内的路由是一个个较整齐的汇总路由,大大减少了路由表数目。这就要求进行网络规划时,合理规划IP地址,为每个汇接区域分配连续的,大段的IP地址,这样将更好利用OSPF的特性,使网络的路由规划更合理,使网络更健壮。
3.5接入互联网
内部网络到国际互联网的连接可跟据网络带宽需求,通过向网络运营商并申请合法公网IP地址,租用10M或100M专线,实现到互联网的连接,运营商线路采用协议转换器提供百兆RJ45接口。内部网络到互联网的连接采用百兆或千兆防火墙进行安全网络隔离,防火墙选型需根据内部网络规模、数据访问量、带宽需求、网络连接数选择百兆或千兆防火墙。
防火墙划分信任域、非信任域及DMZ区。提供百兆ETHERNET接口,非信任域做为网络出口与网络运营商线路对接。
信任域连接网内网络核心交交换机电口模块,采用NAT方式,实现内部网络访问互联网。
3.6服务器接入方式:
服务器群为数据服务中心根据应用采用两种接入方式:
1、提供对外服务的服务器接入:WWW、E-mail、FTP、DNS等服务器置于防
火墙DMZ区,通过布暑防火墙安全策略保护服务器数据安全,可根据服务器数量增加交换机扩展接入端口。
2、内部服务器接入:办公自动化系统、视频、语音、多媒体通信、视频会
议系统等业务系统服务器通过千兆网卡,连接核心交换机配置的千兆电口模块,直接接入网络核心,通过核心交换机实现数据高速转发。各种业务系统可根据业务负载情况,采用双机及网络备份方式,确保业务系统的高速稳定运行,双机互备软件:lifekeeper,网络备份软件:veritas netbackup。
3.7网络安全机制
为保障网络安全、高效、可靠的运行,确保信息的机密性、完整性、可用性,避免各种潜在的威胁。可通过防火墙建立综合防范机制,定制安全防护的安全策略,构造多层防护措施。实现对网络内部信息的屏蔽和保护。从物理、网络、系统、信息和管理等方面保证整体安全;保护数据中心以及互联网出口的安全问题,
防火墙是指设置在不同网络或同一网络不同安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业组织的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和 Internet之间的任何活动,保证了内部网络的安全。防火墙是网络安全的屏障,可以强化网络安全策略,对网络存取和访问进行监控审
计。
通过部署防火墙,可以解决以下问题:
1、对进出网络的数据流进行控制,阻止恶意数据包进入网络。
2、对访问行为进行审计,供管理人员进行分析。
3、防止未授权的恶意访问。
4、对外封掉某些不安全的服务,避免被黑客利用。
防火墙的特点:
灵活组网,可按需扩展
具有强大的处理能力
丰富路由协议,实现安全与网络融合
支持P2P流量检测和应用层过滤
全面阻止恶意攻击Dos/DDos攻击、ARP欺骗攻击、ICMP报文攻击、Java、Activex Bloking、SQL注入攻击等,能够实现邮件、网页过滤
支持多种VPN接入方式
能够抵抗包括 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、ARP Spoofing、ARP Flooding、地址扫描、端口扫描等攻击方式在内的攻击,实现3-7层安全防护。提供Bypass功能,在防火墙失效时,所有数据可以直接转发不经过防火墙,避免业务中断;提供邮件告警、攻击日志、流日志和网络管理监控等功能。
3.8终端主机防护设计
为避免内部网络因受病毒侵扰,而影响网络正常运行,确保构建于网络上的业务的有效运行,必须建立一套完整的网络病毒防护系统。
具体目标如下:
1、在服务器上部署服务器防毒系统,确保服务器系统的高可靠性;
2、在所有客户端上部署客户端防毒系统,保护主机安全。
3、在网络内对上述部署的防毒系统进行集中控管、集中更新,同时在病毒
爆发时可以快速部署预防策略,阻断病毒的传播途径,快速消除病毒对整个网络系统的影响;
4、建立全网漏洞扫描与补丁分发管理系统,协助系统管理员找到所需的修
补程序,以预防系统染毒或反复染毒。
意义:
1、建立防病毒中央控管系统
2、可以通中央控管中心(系统中心)对网络内的服务器、客户机进行远程
策略设置、病毒查杀、远程安装等各种管理操作;实现跨地区、跨平台的网络防毒系统实施统一管理和监控。
3、多层次的整体病毒防范,对网络系统内的各种不同操作系统的服务器、
服务器机群、客户机进行全面病毒监控防范,可以监视多个病毒可能的来源,如:Intranet、网络驱动器、光盘、软盘、移动硬盘和E-mail 等,斩断病毒在服务器、客户机内的寄生及传播。
4、自动统一升级,网络内的所有服务器、客户机防病毒软件的病毒库升级,
通过系统中心的集中实现所有防病毒软件得到及时更新。
5、支持集中的病毒报警和报告,在管理服务器上能够方便地查看全部范围
(或组范围)的病毒报警和报告,包括感染节点的主机名、IP地址、病毒名称、清除情况、被感染文件的路径等。
6、杀毒客户端强制保护,可以给网络内所有的服务器、客户机设置密码保
护,防止内部用户修改防毒策略或删除杀毒客户端程序。
7、建立及时、快速的病毒响应、处理机制,能够迅速抑制病毒在网络中的
传播。
8、漏洞扫描与补丁分发管理,通过杀毒软件网络自带的漏洞扫描和补丁分
发管理系统,可全网扫描各客户端操作系统漏洞,并统一通知下发漏洞补丁,抑制网络蠕虫病毒在网络中的传播。
病毒服务器部署示意图:
3.9设备清单
3.10主要产品选型
【本文档内容可以自由复制内容或自由编辑修改内容期待你的好评和关注,我们将会做得更好】