XX集团内部网规划书

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

XX集团有限公司内部网络规划书1XX集团网络建设简介1.1建设目标根据集团的实际需求,拟建设一个以办公自动化、计算机辅助控制及管理为核心,以现代网络技术为依托,技术先进、扩展性强、能覆盖集团各办公区域的主干网络,将集团的各种PC机、工作站、终端设备和局域网连接起来,并与广域网相连,在网上宣传自己和获取Internet网上的信息资源。形成结构合理、内外沟通的网络系统,在此基础上建立能满足集团运营和管理的软硬件环境,开发各类信息库和应用系统,为集团各类需求提供充分的网络信息服务。即总体目标是利用先进的计算机技术和网络通信技术,建设高质量、高效率的统一的通信网络。其具体目标如下:1.1.1通过建设一个高速、安全、可靠、可扩充的网络系统,使各系统互联互通,实现集团信息的高度共享、传递及管理信息化,各领导能及时、全面、准确地掌握集团的投资、管理、财务、人事等各方面情况;1.1.2建立出口信道,实现集团与Internet互联,同时部署各种应用服务器(邮件、文件、网站及各系统服务器等),实现集团信息的发布,提供各领导和集团员工的移动拨号接入,进行移动办公和资料查询;1.1.3集团的内部交流,用电子信息的传递取代纸面文件、资料的传送,实现无纸办公,改变传统的工作方式,进一步提高工作效率;1.1.4利用各种业务信息的综合分析,为各级领导提供决策支持,更好地组织投资和经营。1.2设计原则集团内部网包含了大量的信息点,且涉及大量的业务应用,这就要求内部网络必须是一个实用的、高可靠、高效率、高扩展性及高安全性系统。为使集团内部网络系统具有良好的扩展性和灵活的接入能力,且易于管理,易于维护,在网络设计及构建中始终应遵循统一标准、统一平台及网络分层的原则,具体内容如下:1.2.1在网络规划方面,统一采用IP技术,统一规划IP地址及各种应用,采用开放的技术及国际标准,如路由协议、安全标准、接入标准和网络管理平台等,才能保证网络的统一性,并确保网络的可扩展性,同时为了减少网络中各部分的相关性,便于网络的实施及管理,在网络的构建中,从整体上可以将网络划分为核心层、汇聚层和接入层等3个层次;1.2.2在软硬件选择方面,所有选择的软、硬件产品都必须遵循标准化原则,采用统一的软、硬件平台和基本应用软件,以便进行统一的软件版本的升级及管理;1.2.3在安全方面,所建设网络应具有良好的安全性与保密性,根据集团的业务应用需求,部署合理的网络访问策略,同时实现集团内部敏感信息的保护,在受到攻击时具有可追溯性;1.2.4在投资保护方面,要做到资源共享与保护,充分合理地利用现有的资源,最大限度地与原有系统或在建系统互联互通,在尽可能利用已有投资的基础上,解决好经费的补充和配套资金到位问题。2集团网络需求分析2.1应用需求2.1.1息信流分析1).在该集团网络中产生的信息流主要包括二个部分:管理过程信息流和Internet信息流;2).管理过程信息流包括:各种业务控制管理信息流和行政办公信息流;3).各种业务控制管理信息流通过在内部网络上运行的综合信息管理及业务系统,包括集团的各种业务和日常的管理、办公自动化等,如集团ERP系统管理、OA流程管理和人事管理、财务管理、固定资产管理等,同时可能在网上进行信息发布;4).Internet信息流主要建立在宽带、结构简化、综合业务应用齐全的IP基础网上或集团的DMZ区域网上,提供集团内部网或广域网资源信息的传递和共享。此类数据流为载有语音、数据和视频信息的IP流。2.1.2应用业务分析集团目前拥有120台办公计算机,并且集团还有如下的各项需求情况,详细内容如下:1).集团拥有的120台办公计算机,要求都能访问到Internet资源;2).外网通过Internet只能访问集团内DMZ区的各种共享服务器,如FTP、等,不能访问其它内网信息;3).集团所有办公区域,需实现wifi无线上网,可以实现多人同时接入,会议室及会客厅尤为重要;4).出差工作人员及在家办公人员能够远程访问公司内部的共享文件、使用内部业务系统以及进行数据传送;5).网络要是可扩展的、高速的、冗余的、安全的,并可满足为现在或将来进行语音、视频、图像等各种服务的应用;6).需保证集团内部服务器群可以集中管理以及集团内部信息安全;2.2业务需求1).数据处理及通讯能力强,响应速度快;2).网络运行安全、可靠性高,即使发生攻击行为,保证可追溯、可跟踪;3).系统易扩充,易管理,便于用户的增加;4).主干网支持多媒体、群体、图象接口应用,支持高性能数据库软件包的持续增长;5).系统开放性、互连性好;6).局域网既能方便远程用户的拨号接入,又能满足特殊用户高效地连入广域网,使用灵活;7).具有很强的分布式数据处理能力。2.3外部需求1).外部需求应包括以下几个:Internet访问、远程访问、电子邮件、以多媒体方式展示集团的企业文化、讨论和交流、WEB信息发布及FTP文件共享,各项均可通过相应的网络信息平台实现;2).集团的网络化建设必然会对集团的信息化建设起到巨大的推动作用,同时提供简单、有效、便捷的理想办公、管理及生产环境。2.4网络需求分析根据以上的集团应用分析,最终决定采用以下网络部署解决集团的各项需求:4).集团目前有120台计算机连入网络,考虑到在未来五年内可能会有所增加,预计增加幅度为180台,总共有300台,出于前期一次性设备投资成本过高但又不失扩展性的要求,所以采用了汇聚层与接入层暂时相合并的设计办法,因此在集团各部门按用户数量部署适当数据量的接入层交换机,设计方案共计12台设备,为了方便管理及后续的扩展性,接入层交换机可按需采用堆叠式部署及配置;5).将各个部门划分在不同的VLAN,包括服务器群和管理VLAN一共需要5个VLAN;6).将WEB服务、邮件服务器、FTP服务器及业务应用系统服务器直接与核心交换机连接,置于管理机房,方便管理,同时配置ACL控制各部门访问权限并阻止外网访问;7).拟采用11个54M802.11b的无线AP,覆盖集团的整个办公区域,以供集团的笔记本用户、无线终端设备及经允许的外来办公人员使用。8).在边缘路由器或HILLSTONE防火墙上配置VPN,用以实现出差工作人员及在家办公人员远程访问集团内部资源及数据交换;9).为实现网络的冗余设计,在核心层部署时,用两台三层交换机实现HSRP功能。3集团内部网络的总体设计集团内部网络的建设不只是涉及技术方面,而是包括了网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化系统。因此,在总体上如何筹划、组织网络建设和开发应用的设计思想是集团网络建设中的最重要的问题。总体设计是集团网络建设的核心思想和工程蓝图,是做好集团网建设的首要任务。3.1网络拓朴设计整个网络系统的拓朴结构设计,如下:该设计符合CISCO中小型局域网模型架构。出于可扩展性、一次性投资成本、网络的传输性能及长远规划等方面因素考虑,前期先采用堆叠模式即可满足所有用户的接入问题,当用户增加到一定的数量之后,如果超出交换机堆叠数量的限制,可以选择增加多一台汇聚交换设备,这样一样可以做到后续有很强的扩展性,通过这种设计,可以满足集团现有需求的同时很好的降低了成本且不失后期的扩展性(如上拓朴图示)。在该方案中,利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽,可以满足内部网络的大负荷网络运行需求。3.2IP编址方案及VLAN划分IP地址规划根据所分配的公网IP地址和内部私有网IP地址分配,地址可分为二大块,一块是分配多个C类公网IP地址,作为和国际互联网互连的地址,一部分集团相关的域名就解析在这片地址上,同时提供给集团用户上网时的NAT转换用,如果条件允许,可以申请多个运营商的线路,关键服务器及应用可以拥有两条线路的公网IP,分别跨接在不同的运营商上进行相互备份。当前交换技术的迅速发展,也加快了虚拟子网技术(VLAN—VirtualLocalAreaNetwork)的应用速度,特别是在当前集团网上的应用更广泛。通过将集团内部网络划分为虚拟子网(VLAN),可以强化网络管理和网络安全,控制不必要的数据广播。数据广播在网络中起着非常重要的作用,随着接入集团内部网络的计算机数量的增加,广播包的数量也会急剧增加,当广播包的数量占到总量的30%时,网络的传输效率将会明显下降。特别是当某网络设备出现故障后,会不停地向网络发送广播,从而导致网络风暴,使网络通信陷于瘫痪。当集团网络内计算机数超过200台后,就必须采取措施将网络分隔开来,将一个大的广播域划分成若干个小的广播域。该方案IP编址及VLAN划分如下:表5-1VLAN划分表VLAN号VLAN名称IP网段默认网关说明VLAN1GL10.10.1.0/2410.10.1.1管理VLANVLAN10LD192.168.10.0/24192.168.10.254集团领导秘书处经营中心VLAN11ZX192.168.11.0/24192.168.11.254发展中心工程中心人力中心总裁办VLAN12SYB192.168.12.0/24192.168.12.254煤炭事业部电力事业部路桥事业部能源公司燃料公司基金公司VLAN13ZB192.168.13.0/24192.168.13.254司机室前台会议室接待室档案室文印室VLAN15AP192.168.15.0/24192.168.15.254无线网段VLAN100SERVER172.16.1.0/24172.16.1.1服务器段3.3设计方案优势3.31高带宽、高性能该方案是基于标准的二、三层以太网交换技术,技术成熟度非常高。集团内部网络中心放置路由交换机上行通过GE接至互联网,GE可以是单模或者多模,到时可以按使用的情况进行扩展,使出口不会成为集团网络的瓶颈。在集团网络中心通过下行使千兆链路连接接入层交换机,百兆交换到桌面,100M的带宽可充分满足用户高速上网、内容下载及多媒体等多种宽带业务。核心交换机拥有1000M出口联接集团内部网,各层设备全部支持线速交换,给用户提供了真正的高带宽网络,对未来高带宽的宽带业务提供了强大的支撑能力。3.32完善的安全机制在该网络架构下交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文合法性检查、基于数据流的带宽限速等等,满足集团内部网络加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交换设备设置由硬件实现ACL,对病毒进行过滤。硬件实现端口与MAC地址和用户IP地址的绑定,严格限定端口上用户接入;通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN资源;通过PrivateVLAN可以在交换机的同一VLAN中提供端口之间的通讯或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因传统802.1QVLAN造成全网VID资源不够的问题,同时又无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私;提供极为有效的PortBlocking功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户PC更高效安全地运行;基于源IP地址控制的Telnet和Web设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;提供加密传输的SecureShell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;病毒、蠕虫等多元化发展控制网络病毒。统一对接入层交换机做动态下发安全策略,轻松有效的控制网络病毒,使网络保持畅通。

1 / 8
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功