锦泰保险网络规划及实施方案

《锦泰保险网络规划及实施方案》由会员分享，可在线阅读，更多相关《锦泰保险网络规划及实施方案（86页珍藏版）》请在金锄头文库上搜索。

1、 四川锦泰保险设计及实施方案 目 录第一部分 技术方案6第一章：项目需求和选型依据61.1 项目需求61.2 选型依据61.3 思科产品其他特点7第二章 网络结构规划概述92.1 网络结构设计92.2 路由现状112.3 网络区域现状112.4 数据中心总体架构122.5 数据中心网络拓扑结构15第三章：网络实施规划163.1 设备命名规则163.2 设备板卡及端口规划183.3 IP地址与VLAN分配193.4 路由策略实施设计263.5 ACL实施规划303.6 安全策略实施设计333.7 QOS实施设计393.7.1 QOS设计概要393.7.2 QoS 流量分类403.8 网络管理实施

2、设计433.8.1 网络管理的内容433.8.2 配置管理433.8.3 性能管理433.8.4 故障管理443.8.5 网管协议的选型44第四章：网络安全设计464.1 网络安全威胁来源464.2 网络安全体系结构464.2.1 平台安全的层次模型464.2.2 物理层的安全474.2.3 链路层的安全474.2.4 网络层的安全474.2.5操作系统的安全474.2.6 应用平台的安全484.2.7 应用系统的安全484.3 常见网络安全需求484.3.1 网络的基本安全需求484.3.2 应用系统的安全需求484.3.3 平台安全的需求494.4 锦泰保险安全网络结构504.4.1 可靠

3、的边界安全514.4.2 优秀的入侵检测及跟踪记录能力514.4.3 良好易用的管理控制平台514.4.4 可扩充性强514.4.5 经验丰富的集成商合作伙伴524.4.6 完善的售后服务条款保障52第二部分：设备明细表53一、核心交换机A：531.1投标产品的品牌、型号、配置531.2详细的技术指标和参数531.3技术规格性能响应表551.4 产品彩页资料561.5 Cisco Catalyst 4500系列交换机介绍56二、服务器区交换机B：572.1投标产品的品牌、型号、配置572.2 详细的技术指标和参数572.3 技术规格性能响应表582.4 产品彩页资料592.5 Catalyst

4、 2960 交换机简介59三、总公司机房交换机C:613.1投标产品的品牌、型号、配置613.2详细的技术指标和参数613.3 技术规格性能响应表623.4 产品彩页资料62四、接入交换机D：644.1 投标产品的品牌、型号、配置644.2 详细的技术指标和参数644.3 技术规格性能响应表644.4 产品彩页资料65五、核心路由器A：665.1 投标产品的品牌、型号、配置665.2 详细的技术指标和参数665.3 技术规格性能响应表695.4 产品彩页资料705.5 Cisco 3900路由器简介70六、总公司路由器B：716.1 投标产品的品牌、型号、配置716.2详细的技术指标和参数71

5、6.3 技术规格性能响应表736.4 产品彩页资料746.5 Cisco2900 路由器简介74七 防火墙：757.1 投标产品的品牌、型号、配置757.2 详细的技术指标和参数757.3 技术规格性能响应表767.4 产品彩页资料777.5 ASA 5500系列简介77八 负载均衡设备：808.1投标产品的品牌、型号、配置808.2详细的技术指标和参数808.3 技术规格性能响应表828.4 产品彩页资料838.5 负载均衡设备简介83第一部分 技术方案第一章：项目需求和选型依据1.1 项目需求四川锦泰保险现在需构建一个全新的智能网络，部署具有高度可用性、持续性和安全的综合性网络的解决方案。

6、整个网络实现包括数据传输、安全、存储备份等综合性服务的功能。络的高可靠性和高安全性及可管理性是本次网络建设的目标。要求网络的高可用性要达到99.99%的要求，要求网络设备（交换机、无线控制设备、防火墙等）本身稳定可靠安全。1.2 选型依据交换机要内置强大的安全功能，不能因为病毒蠕虫的攻击而瘫痪死机。对于所需要的网络设备，要求必须是久经考验的网络设备，在业界有良好的口碑，具备真实的技术参数，不能做虚假的夸大。网络设备应具有良好的可扩展性，以适应今后多年网络的发展，在满足对当前及未来网络技术的需求（包括Ipv6的支持，无线网络的支持，IP电话的支持，服务器负载均衡的支持等等），又能未来做出投资保护

7、。根据目前网络产品的市场占有率情况和设备实际的性能功能，我们建议选择Cisco公司的网络产品。Cisco公司成立于1984年，有23年的历史,是全球排名第一的网络设备供应商，Cisco在全球500强的地位是2006为254位，2007年为232位，2007年在全球最受尊敬的公司里排名第九。其产品及设备的软件久经考验，非常成熟可靠。其产品的稳定性、可靠性、技术先进性是肯定的, 其产品的技术参数和指标没有任何水分。我国电信、金融、交通、医院、国防等单位都大量采用Cisco的产品和组网方案。 另外我们推荐采用Cisco产品，还考虑到Cisco的公司信誉、产品质量和技术领先以及强大和周全的服务能力：（

8、1） 网络只从诞生开始，一直面临2个问题：网络大塞车和安全问题。Cisco公司通过自己独特的QoS技术解决了网络大塞车的问题，Cisco公司的产品（交换机、路由器）均内置了端到端的成熟的QoS技术，解决了网络大塞车的问题，通过夸大的不切实际的大背板来解决网络拥塞是不可行的。为了解决日益突出的网络安全问题，Cisco战略性地研发了SDN(自防御网络)技术。Cisco所研发的产品均内置安全功能，即非专用安全产品也具备抵抗攻击或网络破坏的能力。Cisco对来自内部的攻击主要依靠Cisco交换机和Cisco提出的NAC(网络准入控制)技术，Cisco的交换机如Cisco Catalyst 3560,

9、6500等均有强大的安全功能，均支持NAC,有病毒的电脑或不健康的电脑接入网络时将被隔离,这样病毒蠕虫就不会传播开来。（2）Cisco公司产品全面，Cisco能提供在一个项目中所需要的几乎是所有网络技术和所有网络产品，如交换机、路由器、安全产品（UTM,防火墙，IPS，VPN）、IP电话/IP视频产品、IP呼叫中心、无线产品、SAN交换机、负载均衡交换机、WAN加速产品、Cable、ADSL、光传输、网管软件、用户身份认证软件等等，这为今后网络的良性发展提供了坚实的统一基础，帮助用户方便灵活地建设各种类型的网络，同时，由于拥有最多的在各种环境下部署网络系统的实施经验，Cisco能够提供多种多样

10、的解决方案和解决实际问题的能力。（3）Cisco做为发起者，号召和联合国内外著名的厂商（微软、NAI、赛门铁克、Trend Micro、IBM、CA等）推出了NAC（网络准入控制）技术，让Cisco的路由器和交换机也参与杀毒防蠕虫（如冲击波），从而可以真正的杀毒防蠕虫，即杀毒防蠕虫需要所有的设备（尤其是病毒和蠕虫传播要经历的网络设备）都参与，仅靠杀毒防蠕虫软件是不可行的。其它网络公司没有这样的号召力和技术能力。现在Cisco销售的交换机和路由器都内置了NAC功能,该功能是免费的,可以说NAC是Cisco交换机和路由器的一个增值功能。而目前其它公司的产品对整个网络的发展和一些关键问题（如杀毒杀蠕

11、虫、高稳定性）并没有起到作用，只能提供一个基本的局域网而已，不能提供投资保护和增值业务。1.3 思科产品其他特点下面是CISCO解决方案提供的业内绝无仅有的特点：（1） 高可用性和高永续性的层次化架构 思科的解决方案首先从设计和架构上着重于创建一种高可用和高永续性的设计。方案采用了层次化的结构设计，建议用高效扁平的3层架构(核心层、汇聚层和接入层)，因为所需设备更少，同时降低整个网络的复杂度和成本，核心层和汇聚层间最好运行路由协议，以实现网络的高速收敛和快速冗余。（2）端到端的集成安全防御体系 安全已成为很多网络管理者关心的首要问题。企业LAN管理者都希望自己的路由器和交换机具有内在的安全功能

12、，从而为设备本身乃至与之相连的用户提供保护。思科解决方案中的基础设施可以无缝地集成到网络的总体安全之中，使安全运行管理者能高枕无忧，同时又能使网络运行管理者预防从与其网络相连的终端站故意或无意发出的威胁和攻击。安全也是网络可用性和永续性的保障。一个企业可以有冗余链路、交换或路由机制，但仍可能遭遇因拒绝服务攻击而导致的网络宕机。没有安全基础设施可能产生的另一个情况就是信息盗窃。安全性已经不再是部署防火墙和入侵检测和杀毒软件等传统概念，而是对信息获取、传输、交易、处理和存储的端到端的全方位保障。安全不能作为 一个单独的问题看待，必须把它集成到整个端到端的网络基础设施的设计中。思科公司的IBNS（基

13、于身份的联网）和NAC(网络准入控制)技术可以实现整个端到端的网络安全，从而能极大提高网络的可用性和企业业务的永续性。 （3）对延展性和业务灵活性的支持 思科智能企业网解决方案所建议的思科架构可满足未来的发展需求，能适应今后IP电话和无线联网的网络需求。 总的来说，思科解决方案的目的在于，为客户提供一个高可用性、高安全性和高服务质量的网络，提供一个一致的端到端单厂家解决方案，今后可以随时部署IP电话、无线、数据中心等等的解决方案。第二章 网络结构规划概述2.1 网络结构设计四川锦泰保险中心机房使用两台CISCO3945作为核心交换机，广域网部分，下联各地市路由器采用两台CISCO3945,与核

14、心交换机通过千兆光纤以口字型互连。兰州锦泰保险各网点通过锦泰保险汇聚上联到核心路由器。中心机房（拟租用机房）安放核心交换机、路由器、链路均衡仪、防火墙、核心服务器等设备，交换机、路由器、防火墙等核心设备具备冗余备份。中心机房通过A和B运营商各一条线路接入到INTERNET，目前INTERNET的作用是供员工上网和收发邮件，要求在INTERNET接入处安放一台链路均衡仪，但暂时不需要具备冗余备份。中心机房需设置DMZ区，公司的大量外网应用将在此部署。中心机房通过2M SDH数字新路接到银行、平台等合作单位，并与核心系统对接。总公司机房（在总公司办公职场内）通过两条4M MSTP或者SDH数字线路接入到中心机房，接入交换机与总公司职场的核心交换机通过双千兆上连，办公室内计算机与接入交换机连接，形成统一交换网络。分公司通过2M SDH数字线路接入到中心机房，分公司只有办公设备，没有服务器。(开业前期四川分公司和总公司公用办公职场，暂时不考虑分公司设备)总公司机房有一条2M SDH数字线路连通到保监会，报送保险统计信息数据，每月末使用，数据传输量不超过20M，只需要配备低端路由设备一台即可。2.2 路由现状l 中心中心路由现状