《新办公楼网络系统方案.docx》由会员分享,可在线阅读,更多相关《新办公楼网络系统方案.docx(26页珍藏版)》请在第一文库网上搜索。
1、新办公楼网络系统设计方案2023年4月27日1 .新办公楼网络系统说明31.1 系统设计思想31.2 系统设计原则32 .新办公楼网络系统设计51. 1新办公楼网络结构52. 2交换机功能规划63. 3接入Internet规划72. 3.1挪移用户远程VPN接入规划83. 3.2网络可靠性规划83.新办公楼网络IP和路由设计83 .1新办公楼网络V1AN规划84 .2新办公楼网络IP地址规划94. 2.1内部地址划分93.3新办公楼网络路由规划103 .3.1路由协议选择104 .3.2新办公楼网路由设计104.新办公楼网络安全设计114.1新办公楼网络出口安全124.1.1防火墙安全规划12
2、4.1.2挪移用户接入VPN接入144.2核心交换机OmniSWitCh9800技术特性144.3交换机OmniSWitCh6450技术特性214.4千兆防火墙系统性能255.售后服务计划271 .新办公楼网络系统说明1.1 系统设计思想新办公楼作为绥德县标志性建造,其高端的网络系统是在所难免的。本网络系统主要分为两部份:办公网络。本网络系统要既要满足新办公楼日常办公管理的业务需求,包括楼内办公人员宽带上网,视频会议等。本网络系统的骨干网为万兆以太网,千兆传输到桌面。集成一个集数据、语音、视频、图像于一体的高带宽、多功能、多服务、开放性、多业务接入的IP多媒体交换计算机网络。本网络系统与外界互
3、联需要加载防火墙等安全设备,配合其它网络安全措施,以保证系统的安全性,整个计算机网络系统分为二层结构:核心层和接入层。核心层配置一台模块化的万兆线速路由交换机,交换机位于中心机房,各种数据流在这里集中交换和路由。千兆接入交换机位于各楼层的弱电间,接入交换机通过IOoOM接入桌面,通过光纤上联到核心交换机,接入交换机除提供终端计算机的联网接入外,还提供TP电话、视频图象等的接入。1 .2系统设计原则新办公楼网络系统负担着内部的各部门的网络通信,要提供网络与Intemet之间的通信,提供数据、语音、视频多媒体的融合,实现三网融合,同时承载大量的智能控制子系统通信(如门禁、防盗系统、楼宇自控系统等)
4、。因此,其带宽和性能的要求非常高,不仅要满足数据信息服务的高速需求,还要为整个新办公楼网络的外部访问提供高带宽、高性能的网络通道。网络设计时将遵循以下原则:先进性:新办公楼网络为了支持数据、话音、视频多媒体的传输能力,在技术上要采用最先进、成熟的网络技术来满足目前的网上应用需求,并考虑未来的发展。网络主干设备应选用高带宽的、先进的万兆位线速路由交换技术,能够承载和交换各种信息。可扩展性和可升级性:随着信息化的不断发展和应用水平的提高,网络中的数据和信息流会呈指数增长,需要网络有很好的可扩展性,并能随技术的发展不断升级。国际标准性和开放性:网络系统应该是一个开放型的网络,支持各种协议的互联。选用
5、符合国际标准的系统和产品,保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。可靠性:可靠性是所有类型的网络所必须具备的特性。这种可靠性不仅表现在通过网络提供的信息资源,还需要由可靠的网络基础平台来保证,网络结构的先进性、冗错性和稳定的QoS是使得各种网络应用可靠完成的前提。而这些都必须通过可靠稳定的网络设备来保证。安全性:新办公楼网络中存在各种内部专用信息,这些信息必须得到可靠的保护,要防止黑客对网络系统的攻击,还必须防止内部工作人员的误操作而导致的网络故障。新办公楼网络的安全性一方面要从信息提供角度来保证,即从应用系统中来保证信息安全性,另一方面需要结合网络结构和网络设备来保证,与
6、先进网络设备所提供的各种安全机制相结合。易管理和易维护性:网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置、灵便实现用户级别的设置等功能。实用性:网络系统选用的硬件设备和软件系统应当具有良好的性能价格比,网络系统的日常管理和维护简单方便,经济实用,网络拓扑结构和技术符合多媒体应用对主干网络的要求。投资保护:网络系统选用的网络设备应当能够充分保护原有网络设备投资,按照实际需要方便的升级调整,尽可能的延长原有设备的使用价值。高性能和服务质量(QoS)保隙:新办公楼网络系统将承载大量的交互信息,对网络设备的性能要求高,不仅要提供办公自动化平台、数据信息服务,还必须为许多先进
7、的网络应用提供支持。例如,除了传统的Internet服务(Emai1、FTP、WWW、数据库查询)外,还要提供网络视频会议、视频点播、VoIP等多媒体应用类型。这些应用的通信方式和对传输网络的要求各不相同,所以网络必须具有面向应用的特性和提供,QoS保证能力,才干有效地为不同的网络应用提供可靠的传输。AIPMUItiCaSt支持:由于今后网络中多媒体的应用(如视频会议、VOD等)越来越多,往往会占用大量的带宽资源。所以全网必须支持IPMu1ticasto2 .新办公楼网络系统设计2.1 新办公楼网络结构整个网络要实现数据互通,实现信息发布和对INTERNET的访问,实现网络一体化的管理。网络结
8、构分为核心层和接入层两个部份。采用专线与INTERNET网络进行连接。本次数据网络担负着传输数据、图象等,实现各种应用的重任,必须满足现阶段及未来5年新办公楼各种数字化应用的需要。支持日常办公、酒店用户、Inte1net访问的需要和接入用户的访问,针对用户的信息发布,用户对中心相关信息访问。新办公楼计算机网络分为两套局域网系统,分别为内部办公网和外网:内部办公网是办公系统、管理信息系统、数据存储系统等办公应用系统等基础平台,并为内部人员提供互联网访问服务、对外提供办公网站发布服务;外网是为办公人员提供互联网访问服务等平台。两套网络都采用星型架构,以一台三层交换机为核心,通过千兆光纤发散连接各楼
9、层接入交换机,接入交换机为各个计算机终端提供千兆到桌面的高速网络连接;此外两套网络各自配置互联网接入设备,通过运营商提供的宽带接入路线连接互联网,实现内部共享上网。根据办公内网建设的具体需求,办公区网络核心交换机不在此次范围内。出口防火墙非但完成共享上网、安全防护等功能,还为外出人员或者驻外人员提供VPN接入服务,通过VPN隧道和加密技术,使在外人员通过互联网实现对内部办公网资源的安全访问。防火墙做为设备端,具有以下作用:1接受客户端连接;1为客户端分配IP地址、DNS服务器和WINS服务器地址;1进行客户端用户的认证与授权;1对IPSeC数据进行加密与转发。核心层:核心层采用A1CATE1-
10、1UCENT0S9700E万兆线速路由交换机,核心层交换机位于4层网络中心机房,核心层通过多模光纤链路与接入层交换机相连。接入层:接入交换机采用A1CATE1-1UCENT0S6450-24线速路由交换机,分别位于各个楼层的弱电间,通过多模光纤链路上联到核心交换机,接入层交换机提供IOooM接入点到桌面。网络结构如下图所示:绥德县财政局办公大楼外网拓扑图2.2交换机功能规划令核心实现IPV4/IPV6路由网络在核心层,实现网络路由规划、大部份的路由工作由核心交换机完成;同时提供IPv6路由和扩展的对IPv6隧道的支持,包括配置、6-in-4和ISATAP隧道技术,满足各种各样的IPv6需求。令
11、核心层安全规划在网络出口,配置1台FG-200B防火墙,对进出内部网络的所有通信进行过滤,对所有进出的通信进行控制和过滤,以及提供外勤人员VPN接入。核心交换机提供分布式多层安全性,实现如下安全:A核心层规划12-7层的安全策略控制,实现数据中心以及各单位间的通信安全控制;保证通信数据的安全;A在核心层交换机智能自动动异常通信阻断,使一些非法的异常的通信,不能在网络中传播;A交换机具有的DoS保护,防止非法攻击通信设备,影响到网络通信的稳定;A通过以上的安全策略,实现从核心层到接入层的全网分布式的IPS安全防护功能。AV1AN划分,采用V1AN技术,虚拟局域网V1AN是一个重要的组成部份,可以
12、认为虚拟局域网V1AN是网络的灵魂。通过V1AN的合理设置,网络中的用户可以方便地在网络中挪移,而不需硬件路线的改变。这样,可以从逻辑上对用户和其它网络对象进行分组,并设定相应的安全和访问权限,然后,由计算机自动根据配置形成相应的虚拟网络工作组,充分发挥交换网络的优势,体现交换网络高速、灵便、易管理等特性。令QOS功能核心交换机具有强大的服务质量控制功能,在核心交换机上,启用流量管理工程。根据不同应用需要和应用特点,分别启用不同的QoS策略,保障不同应用达到最佳的服务质量。保证新办公楼网络三网融合通信,即使传输大量多媒体视频应用,核心交换机也能提供强大的服务质量控制,保证稳定传输这些数据、语音
13、、图象、视频通信。2.3接入Internet规划新办公楼网络采用统一的出口,为了保证网络安全性,外网的出口配置一台FT-200B防火墙与电信连接,通过防火墙将内外网进行有效隔离。在防火墙上,提供策略路由,对用户出口通信进行有效控制。在防火墙上启用NAT和PAT功能,使内部所有的IP和端口对外实行屏蔽。在防火墙上,针对不同用户,设置不同的访问权限规划,将内外网用户实行安全隔离。在防火墙上,设置一个DMZ服务器,将新办公楼所有对外服务器(特殊是网络中重要服务器,如WEB网站、MAI1服务器等)放置在DMZ区,实现安全隔离。在网络出口,配置一台安全审记,对所有进出网络的流量进行安全流量控制,应用监控
14、和安全审记,使所有出进的流量透明化,保障新办公楼网络安全的同时.,可以做到有据可查。2. 3.1挪移用户远程VPN接入规划在网络出口配置一台防火墙,支持硬件SS1VPN功能。网络挪移用户,采用SS1vPN安全接入到内网。用户通过SS1VPN安全接入,利用SS1VPN,无需安装客户端,就可以安全访问内部网络的信息资源。挪移用户和家庭用户,通过SS1VPN,接入到内部网络,实现网络安全接入;3. 3.2网络可靠性规划整个新办公楼网络,将主要从以下几个方面,进行可靠性规划设计:网络设备冗余配置和设计主要从硬件、软件两个方面加以考虑,可以达到5个9的可靠性,以提高整个网络可靠性。A核心交换机,采用硬件
15、冗余配置,实现冗灾备份A冗余电源模块、机箱温度保护/过热关闭(温度高于TnIaX时关闭);A交换机支持在线升级,保证网络不停机升级系统;A通信模块相互独立/模块化,实现模块冗余备份,所有的模块均支持热插拔;3.新办公楼网络IP和路由设计3.1 新办公楼网络V1AN规划依据用户对网络使用情况以及用户的应用分布等方面需求来规划IP和V1AN,根据不同的特性,对设备和用户进行合理规划,管理V1AN和用户V1AN分开。设备管理、网络中心和无线网设备管理,分别规划为不同的V1AN。接入用户,根据其所在的单位和楼层,分别划分到不同的V1AN中。为了减少每一个V1AN中的广播包,以及相互之间的影响,每一个V1AN不超过512个用户,也可根据需要,对不同单位的用户进行细分。在新办公楼网络将根据不同部门,进行V1AN资源组的划分;将根据不同单位,进行V1AN的划分,不同单位分划到不同的V1AN中。同一V1AN的用户,如果需要隔离,可在接入交换机上,启用端口隔离,相互之间可选择性的让他们通信。办公网与酒店网络实现逻辑安全隔离。3.2 新办公楼网络IP地址规划4. 2.1内部地址划分采用层次化的划分策略:为便于网络运行,提高网络寻址效率,同时在划分上做到简单易管理,可以按照层次分配原则,将IP地址按一定规律及具体情况进一步划分,满足整个网络信息服务的需要。为