《xx园区网络技术建议书》由会员分享,可在线阅读,更多相关《xx园区网络技术建议书(48页珍藏版)》请在金锄头文库上搜索。
1、目 录1项目概述2 2需求说明3 2.1XX园区网络设计原则.3 2.2未来园区网络的发展4 3系统组成4 3.1外网总体网络架构4 3.1.1总体网络设计原则4 3.1.2外网总体网络逻辑架构.5 3.1.3外网总体网络物理架构.7 3.2外网核心区网络规划8 3.2.1外网物理组网规划8 3.2.2宿舍楼物理组网规划14 3.2.3可靠性设计规划 .15 3.2.4安全性设计规划 .17 3.3互联区网络规划.17 3.3.1DMZ区规划17 3.3.2外网数据中心服务区规划.18 3.4业务隔离说明.18 3.5接入访问控制.19 3.6网络运维解决方案20 3.7内网总体网络物理架构与
2、简介22 3.8监控网总体网络物理架构与简介23 4系统功能23 5设备参数24 5.1外网核心交换机.24 5.2内网核心交换机.26 5.3宿舍楼核心交换机27 5.4接入交换机一.28 5.5接入交换机二.30 5.6接入交换机三.30 5.7接入交换机四.31 5.8接入交换机五.31 5.9无线接入点 32 5.10网管平台软件.33 5.11接入访问控制系统34 5.12外网出口防火墙.35 5.13外网服务器区IPS防护36 5.14Web防火墙38 5.15上网行为管理.39 6设备清单431 项目概述项目概述XX电气天津基地网络系统主要承载有网络、安全的应用需求,又有办公、生
3、产车间、服务器的业务需求,构建的网络系统高可靠性主要体现有如下几点:设备自身可靠性:高性能的交换机确保高可靠性。业务板卡均是插卡方式实现,在设备内部,基于交换机的无阻塞技术,各种插卡通过背板总线进行数据交换。任何一块插卡出现故障,可以通过Bypass方式使得流量自动绕过故障插卡,保证业务流正常处理和转发,不会出现单点故障。插卡式设备,所有的关键部件都可以冗余部署。单独的盒式设备,一般最多提供双电源的可靠性设计。而插卡式设备,包括电源、引擎、接口板、业务板等都可以冗余部署,大大提高了可靠性。当所有的关键部件都进行冗余部署的时候,实际上就是两台设备在同时工作,并可以进行负载分担。链路可靠性:通过实
4、现虚拟化技术与交换机实现双链路捆绑上行,当链路故障的情况下迅速切换到备份链路上保障业务实时性。网络协议可靠性:全网采用主流标准的基于TCP/IP以太网协议,TCP/IP协议已是业界公认主流,技术成熟。核心层采用快速环网保护协议,一旦故障发生时如链路中断,故障相邻的节点或端口上会立刻检测到故障,并立刻向主节点发送链路故障报文,主节点接收到该报文则认为处于故障状态,立刻放开从端口链路,同时发送报文通知其他传输节点链路发生问题的状况,以及通告其他节点改变传输方向,传输节点更新转发表后数据流则切换到正常的链路上。无论在链路或者是设备故障的情况下都不会造成业务中断。高安全性随着网络技术的发展网络应用也随
5、之增多,与之同时各种安全威胁与攻击也成爆发式增长,所以网络系统安全性备受关注。XX电气天津基地网络系统高安全性设计方面主要有如下几点:外联单位接入高安全性,智能网络安全系统在各外联单位、内网各部门或不同安全区域互联互通时,采用防火墙实现系统的安全防护。并依托具有丰富安全特性的交换机构成边界网络的第一重保护;凭借高性能入侵防护系统构成的边界网络防护形成第二重保护;深入对用户接入的终端准入控制形成第三重保护。服务器区高安全性,通过出口互联区的防火墙模块、IPS模块以及服务器区前所配置的WEB防火墙实现对服务器区的安全防护,保证服务器数据不受泄露和攻击。区域安全划分,通过在出口互联区安全网关上部署的
6、安全模块,并结合核心交换机上配置的ACL策略,实现对各区域的安全隔离,防止网络中病毒在整网泛滥,提高网络安全可运营。网络管理安全性,网络管理软件支持分级管理权限,可根据不同用户设置不同的使用权限,提高管理员操作安全性。可运营、管理XX电气天津基地网络系统作为未来运营级网络系统有其自身的显著特点,如网络规模会不断扩大、设备多和提供业务集中,网络的可用性及可靠性要求高等。因此对网络管理系统也有很高的要求,不但要求能管理网络中的所有设备、服务,还要符合XX电气天津基地网络建设标准并能适应其网络规模,并提供极高的系统和管理稳定性。随着网络建设的不断深入发展,除了单纯的追求高带宽、高速率外,安全的网络、
7、高效的网络和可运营的网络成为越来越多的用户关注的焦点,网络精细化管理也越来越深入人心,方案设计的网络管理软件支持友好的中文WEB界面管理,前期对产品的配置方便简单减少工作量提高工作效率,后期对设备的维护管理方便易用,同时还支持UMC、SNMP、CLI等多种管理方式,具备多种缺省配置模板,简便的管理和配置工作。可扩展性XX电气天津基地网络系统既要考虑近期网络设计的合理性又要考虑未来扩展性。用户数量和宽带业务种类发展有着不确定性。随着业务需求的不断变化,要求宽带城域网建设成完整统一、组网灵活、易扩充的弹性网络平台。方案设计的可扩展性主要体现在如下几点:安全与网络系统无缝整合,采用主流标准的以太网二
8、层(核心层/接入层)架构,方便后期的网络扩展及业务扩展部署,对于后期的扩展来说结构清晰层次明朗方便设备部署。随着网络技术的飞速发展,各种以太网标准也在急速更新,在网络建设中要考虑设备对未来标准的兼容性,此次设备均采用支持未来万兆以太网标准,满足对未来高速以太网的支持,节约投资成本。关键设备采用的插槽式架构,业务插槽均有冗余。随着业务量的不断增大,对设备的处理性能有着更高要求,对于插卡式设备则可以在原有设备的基础上增加业务插卡即可,带来扩展可能性的同时保护前期投资。2 需求说明需求说明2.1XX园区网络设计原则XX园区网络是XX集团的业务信息平台,应本着以下原则进行设计:超前性与实用性结合网络技
9、术发展迅猛,如果设备缺乏先进性,设备可能很快落后甚至被淘汰,但也不能过分超前,以避免造成投资的浪费。为此,在网络建设中,需注意超前性与实用性结合,确保投资有效,使之能真正发挥出相应的作用。安全性与可靠性在园区网建设中,安全性是整个网络建设中的重中之重,要通过各种技术确保系统应用的安全性。同时,要求系统本身具有高度的可靠性,这样才能保证网络客户的应用。可管理性网络管理是一个长期的投资,在网络建设中对网络可管理是一项重要的应用原则,通过选择全网的可管理性软件,减少日常维护费用。可扩展性企业网络不但需要能够满足当前需要,随着后续企业规模的扩大、技术的发展,未来网络需要承载更多的业务及提供更多的优质服
10、务。所以,网络的可扩展性是网络建设中必须提前规划的重点。2.2未来园区网络的发展企业战略与机构设置息息相关,机构设置往往聚焦于在专业后台部门的集中化、前台销售部门分散化问题(部门设置需要网络基础设施灵活、可扩展),现代技术的发展数字化、网络化为企业机构的集中化与分布化提供了条件。园区网发展和企业信息化发展历程是相辅相成的,可以说企业信息化引领园区网,也可以说是园区网发展支撑企业信息化发展。目前随着信息化的发展,园区网面临着不同的挑战:企业的业务发展使得企业承载网从“传统的有线局域网”,演变为“泛在的业务承载网”,实现随时随地接入成为企业信息化的首要需求。另外,随着物联网时代的到来,园区网不再是
11、IT专用网络,越来越演变成一张“企业物联网”,多样化的海量终端将接入到这张网络中去。业务的多样化承载也必然对网络的质量以及安全性提出了全新的要求,网络不再是简单的管道,而要辅助业务系统实现完美体验。而越来越复杂的ICT系统如何依靠现有的人力和能力维护已经成为企业CIO很关注的一个问题,这也要求园区网网络的易维护成为必须需求。诺兰模型根据企业信息化发展遵循客观规律的经典模型,用于指导企业IT系统建设,分为6个阶段,分别是初始、普及、控制、集成、数据管理、成熟。从第4阶段,IT开始逐步支撑企业发展,IT正式步入信息阶段。根据诺兰模型的发展方向,当前园区网已经步入经营全球化。包括:业务全球化,大量分
12、支机构接入;供应商、合作伙伴全球化;经营业务多样化,需资源整合;支撑部门专业化,集中化,移动办公人员增多需要及时协同商业信息。集成多系统,包括ERP、CRM管理平台、Email、OA系统、知识管理系统、VoIP(Voice Over IP)、视频会议、数据中心、呼叫客服中心。实现信息技术全球化。3 系统组成系统组成XX 园区网络分为外网、内网、监控网三个独立平面。外网主要用于员工访问 internet,接入形式以 WLAN 无线接入为主,在部分区域保留有线接入端口,从整体上看,端口密度与带宽要求相对较低。内网主要用于内部办公,主要运行系统包括 ERP、CRM 管理平台、内部 Email、OA
13、系统、知识管理系统等,内网用户接入形式全部为有线方式,在有限的空间内聚集了大量的终端和用户,相较于外网,带宽需求与端口密度都比较高。监控网主要用于视频监控安防系统,要求满足园区摄像头灵活接入,视频监控数据能稳定可靠地回传至监控中心。3.1外网总体网络架构3.1.1 总体网络设计原则对于企业园区网络而言,注重的是网络的简单可靠、易部署、易维护,因此网络拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。基于星型结构的区级企业园区网络设计,通常遵循如下原则:层次化将网络划分为核心层、接入层。每层功能清晰,架构稳定,易于扩展和维护。模块
14、化将网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。安全隔离按业务、按权限进行分区逻辑隔离,对特别重要的业务采取物理隔离。另外需要有完整的安全策略控制体系来实现企业园区网络系统的安全控制,包括病毒、攻击防护,终端安全接入等。可管理性和可维护性网络应当具有良好的可管理性。为了便于维护,应尽可能选取集成度高、模块可通用的产品。提供低成本、简单有效的统一网管系统,对所有网络设备进行管理,包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。3.1.2 外网总体网络逻辑架构园区网络的逻辑架构如下图 2-1 所示,包括五大部分。核心层接入层终端网
15、络管理数据中心DMZ网络出口网络内部网络外部Internet分支出差员工合作伙伴外部访客图1 XX园区外网总体网络逻辑架构终端层包含园区内的各种终端设备,例如 PC、笔记本电脑、打印机、传真、POTS 话机、SIP话机、手机、摄像头等等。接入层负责将各种终端接入到园区网络,通常由以太网交换机组成。对于某些终端,可能还要增加特定的接入设备,例如无线接入的 AP 设备、POTS 话机接入的 IAD 等。核心层核心层汇聚众多的接入设备,并负责整个园区网的高速互联,一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。核心层还可作为用户三层网关,承担 L2/L3 边缘设备的角色,提
16、供用户管理、安全管理、QoS(QualityofService)调度等各项跟用户和业务相关的处理。园区出口园区出口是园区网络到外部公网的边界,园区网的内部用户通过边缘网络接入到公网,外部用户(包括客户、合作伙伴、分支机构、远程用户等)也通过边缘网络接入到内部网络。数据中心区部署服务器和应用系统的区域。为企业内部和外部用户提供数据和应用服务。DMZ(Demilitarized Zone)区通常公用服务器部署于该区域,为外部访客(非企业员工)提供相应的访问业务,其安全性受到严格控制。网络管理区对网络、服务器、应用系统进行管理的区域。包括故障管理、配置管理、性能管理、安全管理等。3.1.3 外网总体网络物理架构网管平台接入访问控制厂房办公区科研楼充气柜厂房真空灭弧WebEmailAppsServersDBAppsISP1出出口口防防火火墙墙上上网网行行为为管管理理Web应应用用防防火火墙墙万万兆兆链链路路千千兆兆链链路路GEGEIPSDMZ数数据据中中心心APAC核心交换机接入交换机ISP2出出口口路路由由器器ISP3图2 XX园区外网总体网络物理架构该组网结构具有如下特点:采用两层高效
