收藏
下载资源

网络安全项目网络建设方案

上传人:工**** 文档编号:499099792 上传时间:2022-08-25 格式:DOCX 页数:62 大小:627.63KB
返回 下载 相关 举报
网络安全项目网络建设方案_第1页
第1页 / 共62页
网络安全项目网络建设方案_第2页
第2页 / 共62页
网络安全项目网络建设方案_第3页
第3页 / 共62页
网络安全项目网络建设方案_第4页
第4页 / 共62页
网络安全项目网络建设方案_第5页
第5页 / 共62页
点击查看更多>>
资源描述

《网络安全项目网络建设方案》由会员分享,可在线阅读,更多相关《网络安全项目网络建设方案(62页珍藏版)》请在金锄头文库上搜索。

1、 广发证券网络安全项目网络部分建设方案书广发证券网络安全项目网络部分建设方案书20025目 录1简介32网络安全项目网络部分技术要求及说明33设计总体考虑34网络设计原则45解决方案65.1网络解决方案描述65.2广东数据中心的设计75.3分公司(区域中心)网络系统85.4OA总部设计95.5独立营业部设计105.6广域网络的备份105.7IP 语音115.7.1IP语音工作原理115.7.2语音接点的布设及PBX的选择115.7.3带宽要求115.7.4对PBX的要求115.8系统管理125.8.1CISCO 网络设备的管理125.8.2策略的管理125.8.3IP VOICE管理125.8

2、.4CA网管平台136性能分析186.1先进性186.2安全性206.3保证服务质量206.4可扩展性236.5便于向新的技术发展236.6采用工业标准化技术,具有好的互联特性237实施方案247.1技术细节247.1.1IP 地址规划247.1.2路由协议的选择267.1.3IP语音技术细节317.1.4信息流策略-实现QoS368产品简介448.1Cisco 7500系列路由器448.2Cisco 3600 路由器508.4NSM 高级网络模块介绍53广发证券网络安全项目网络部分建设方案书1 简介本方案书是按照广发证券网络安全项目招标文件网络部分简要技术说明、广发证券的现状和实际需求而设计

3、的解决方案。2 网络安全项目网络部分技术要求及说明网络安全项目网络部分综合业务信息平台的建设以广东计算中心和全国12家分公司,87个营业部的广域网连接为主,其中广州、上海等12家分公司作为区域中心供本地营业部的接入,同时考虑建立IP语音的测试平台,为将来在企业范围内的IP语音和视频应用的推广打好基础。需求:广域网络结构整体性规划和设计,包括整体网络拓扑结构的建议,路由算法的选择和优化等工作。网络性能分析和改进建议,包括对广域网和局域网的流量分析和统计,对网络传输性能的优化改进建议。网络管理方案设计和实施,包括对局域网和广域网的网络管理和监控方案的设计和实施。网络重大故障的技术支持策略。3 设计

4、总体考虑当今网络的发展正远远超出了单纯追求基本连通的历史阶段。我们在网络连通基础上需要更高要求的网络服务内容,包括QoS网络服务质量,Security安全性服务,Reliability高可靠性,Scalability可扩展性等增值服务。如图所示Cisco所建议的网络方案总体结构基于三层模型:即网络硬件的互连环境层,网络软件的增值服务层及多层次网络管理层。其中网络硬件互连环境主要指传统意义上的网络互连设备,包括交换机,路由器,拨号访问服务器等设备环境。Cisco公司建议采用端到端的网络方案,即采用主要有一家公司的包括交换机,路由器,拨号访问服务器软硬件产品。因为只有这样才能真正实现端到端的网络性

5、能,端到端的网络安全性,端到端的服务质量以及端到端的网络管理,从而在节省开销的同时,大大提高网络的经济效益。广发证券在综合业务信息平台的总体设计思想和第一期建设正是体现了上述思想。4 网络设计原则先进性作为广发证券的新一代信息系统的承载网络,网络系统处理的信息量是十分庞大的,要求计算机网络有很高的工作效率。而且随着业务的快速发展,系统面临的任务也愈来愈艰巨,所以,我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证处理数据的高效率,技术上的先进性将保证系统工作的灵活性,技术上的先进性将保证网络的可靠性,技术上的先进性也使系统的扩充和维护变得十分简单。我们将在网络构架,硬件设备,传输

6、速率,协议选择,安全控制和虚拟网划分等各个方面充分体现广发证券的宽带广域网网络系统的先进性。可靠性 在广发证券的宽带广域网网络设计中,很重要的一点就是网络的可靠性,即坚固性。在外界环境或内部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间内恢复正常工作,在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。安全性随着计算机技术的发展,尤其是网络和网络间互联的规模的扩大,信息和网络的安全性日益受到重视。面临十分严肃的安全性挑战。我们在网络设计时,将通过访问控制列表、防火墙、IP隧道等技术来保证广发证券的宽带广域网网络系统的安全。标准化从发展的眼光看,计算机信息系统就是要实现

7、信息的共享,完成不同制造厂商的设备和计算机软、硬件资源的数据交换。为此必须建立一个由开放式、标准化的网络结构体系,满足当前可实现的技术,又能适应今后新技术的引进、开发和推广。我们建议采用的Cisco 系列产品是目前业界支持协议最多、接口介质最广泛的网络产品。可管理性和可维护性网络设计中,对网络主干的有效管理也是必须考虑的主要因素。一个有效的网络管理方案不仅要包括建立各级网管中心的设备及软件,而且要包括配置各种设备的必要顾问服务。尤为重要的是,要能帮助用户制定网管策略和网管中心运作机制。在网络投入运行初期,提供现场顾问服务也是必须的。在满足上述多项原则的基础上,尽可能降低工程造价,追求最优的性能

8、/价格比。当然,高性能与高可靠性是以高投入为代价的。最终的方案一定是性能与价格折中的产物。可扩展性随着广发证券的各项业务的快速发展,网络系统面临的任务将愈来愈艰巨,愈来愈复杂。为了适应这个变化和日新月异的计算机技术的发展,我们设计的网络十分注重扩充性。无论是网络硬件还是系统软件,都可以方便的扩充和升级,关键设备的扩充和升级时,系统将无需中断正常的工作。上述系统设计的原则将自始自终贯穿整个系统的设计和实现。5 解决方案5.1 网络解决方案描述根据以上网络设计原则,我们对广发证券的宽带广域网部分作如下设计:由上图可见,广发证券的宽带广域网中心位于计算中心,与总部OA中心、Internet等外联系统

9、连接;同时提供区域中心、广东地区营业部等接入。上海、北京等12家分公司作为区域中心供本地营业部的接入;同时,上海、北京等12家区域中心以及广东地区除分中心管理外的其他营业部(直接连接到信息中心)接入。整个系统构成了广发证券的综合信息平台,目前主要为广发证券提供交易、办公提供数据应用的支持,同时提供IP语音平台,为将来在企业范围内的IP语音和视频应用的推广打好基础。系统中的所有区域中心及营业部,主链路均采用中国电信的DDN,按照上述描述连接;首选的备份链路均采用ISDN/PST;第二份备份链路采用现有的卫星系统保持不变。安全问题详见安全解决方案。5.2 广东数据中心的设计信息中心是广发证券宽带广

10、域网的数据中心和通讯中心,采用一台Cisco 7507高端路由器作为主干广域网路由器,与中国电信的长途干线网连接,在本期工程中,与区域中心合OA总部的连接采用1Mbps的DDN链路,与营业部的连接采用256Kbps的DDN链路(建议)。另采用一台Cisco 3662多功能路由器作为PSTN/ISDN访问服务器,提供备份接入,它可以自动识别模拟信号和数字信号,调配相应的模拟modem或数字modem与之握手;同时Cisco 3662路由器还起着VoIP语音网关的作用,通过1个E1模块与上海本地的PBX相连接,提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙,互为热备份,完成安全防卫

11、任务,同时提供IPSec的VPN隧道技术的支持。信息中心的局域网采用原有Cisco Catalyst 6509 Switch不变,实现与各地网络之间的高速数据交换。对于在数据中心的外联系统包括Internet和银行等均包含在统一的接入中心交换平台上,使用高端防火墙作安全隔离,接入中心交易平台使用三层交换技术和网络地址翻译技术来确保连接各个不同的单位。5.3 分公司(区域中心)网络系统分公司是区域数据中心和通讯中心,采用一台Cisco 3662高端路由器作为主干广域网路由器,与数据中心7506主干路由器经DDN连接,同时提供下属营业部主链路接入;另采用一台Cisco 3662多功能路由器作为PS

12、TN/ISDN访问服务器,提供与数据中心备份连接,同时提供下属营业部备份链路接入;同时Cisco 3662路由器还起着VoIP语音网关的作用,通过FXO端口与本地PBX相连接,提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙,互为热备份,完成安全防卫任务,同时提供IPSec的VPN隧道技术的支持。5.4 OA总部设计OA总部是OA等业务系统中心,采用一台Cisco 3662高端路由器作为主干广域网路由器,与数据中心7506主干路由器经DDN连接;另采用一台Cisco 3662多功能路由器作为PSTN/ISDN访问服务器,提供与数据中心备份连接;同时Cisco 3662路由器还起着

13、VoIP语音网关的作用,通过FXO端口与本地PBX相连接,提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙,互为热备份,完成安全防卫任务,同时提供IPSec的VPN隧道技术的支持。5.5 独立营业部设计其他地区的营业部目前在第一期工程时先采用一台Cisco 2651多功能路由器通过1条256Kbps的DDN长途链路与信息中心或区域中心主路由器相连接,通过ISDN/PSTN进行主链路的备份。在广域网路由器与内部局域网之间采用一台防火墙,在完成安全防卫任务。目前这些营业部包括北京、上海、广东地区等,共87个。5.6 广域网络的备份在数据中心配置了一台多功能Cisco 3660路由器作

14、为VoIP语音网关和ISDN/PSTN备份连接网络接入服务器,可同时容纳30条普通MODEM或数字MODEM进行备份连接,满足广发证券总的备份 能力的需求。同时还可兼作移动用户的接入访问控制服务器。另外,我们建议采用原有的卫星线路作为第二条备份链路。5.7 IP 语音5.7.1 IP语音工作原理5.7.2 语音接点的布设及PBX的选择针对IP语音的建立,在上海数据中心的3662路由器上增加一个E1端口的语音模块,用于连接PBX;信息中心的PBX推荐采用数字交换系统,采用该交换机还可为将来的IP Call Center打下基础。在区域中心和OA总部的3662则使用8线FXO的两个语音模块连接本地

15、的PBX;可建立VoIP的平台,作广发证券全面实施IP 语音准备。5.7.3 带宽要求 一路语音在传统的TDM电讯系统中传输需占用64K带宽,而利用新的IP技术可将其压缩至1012K。当广域网线路的利用率超过70%的时候,网络性能将会呈线性下降。所以,为保障网络的质量,8路并发语音所需要带宽为:|8K*10/70%|=114K。5.7.4 对PBX的要求 采用本方案需要总部的PBX 支持E1接入。若不支持则根据具体情况需要更改为路由器的语音接口为E&M或FX0接口。5.8 系统管理加入策略管理、IP VOICE 管理5.8.1 CISCO 网络设备的管理在广发证券的语音网络中我们配置了CiscoWorks2000 LAN Management和CiscoWorks2000 Routed WAN Management,为广发证券提供配置、管理、监控和故障

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号