《网络建设方案模板.docx》由会员分享,可在线阅读,更多相关《网络建设方案模板.docx(12页珍藏版)》请在优知文库上搜索。
1、网络建设方案模板目录第1章项目概述嘴误!未定义书签。1 .1。概述,错误!未定义书签。1.2。 背景错误!未定义书签。1。3需求分析错误!未定义书签。第2章。项目建设原则错误!未定义书签。2o1项目建设原则错误!未定义书签。2。2。建设目标。错误!未定义书签。第3章。详细设计方案错误!未定义书签。3.1骨干层设计错误!未定义书签。3. 2。接入层设计。错误!未定义书签。3o30链路设计,错误!未定义书签。3.4VLAN、IP地址和路由规戈ij。错误!未定义书签。3。4.1。VLAN规划错误!未定义书签。3.4.2。 IP地址分配。错误!未定义书签。3。4。3。路由规划错误!未定义书签。3。5接
2、入互联网错误!未定义书签。36服务器接入方式:。错误!未定义书签。3.7网络安全机制。错误!未定义书签。3.8。终端主机防护设计错误!未定义书签。3.9设备清单错误!未定义书签。3.10主要产品选型。错误!未定义书签。第1章项目概述1.1概述1.2背景1.3需求分析1、组建办公网络,为办公业务信息系统提供统一网络运行平台,实现网络内部数据资源共享、整合,提高办事效率.2、实现互联网联接,利用信息高速公路,通过互联网进行信息公开,实现内部与外部信息的快速交流,提高办事效能。3、布署网络安全机制,建立安全的网络平台,防止内部网络遭受恶意攻击,切实保护网络业务数据信息安全。第2章项目建设原则2.1项
3、目建设原则2.2建设目标1、采用先进的网络骨干技术,保证网络在相当长的一段时间内满足企业发展的需要;2、完善企业内部网络,提供企业网(IntrarIet)的基本服务(TyWW、E-mail、FTP、DNS等);3、网络在物理上保证连接性,用户可以通过双绞线、光纤等物理媒介接入.4、通过微波或DDN专线等手段连接Internet,便于与外界进行信息交流;5、进行虚拟网络划分,控制网络广播风暴,实现灵活配置,控制不同级别用户对网络的访问权限,检测网络中非法的、不正常的网络流量,保护网络不受来自企业外部和企业内部的侵犯,增加网络安全性;6、对整个系统进行完备的安全控制,在网络系统各层次采取有效的安全
4、控制策略;第3章详细设计方案企业网络一般分成园区骨干层和接入层两个基本网络层次,同时结合广域网、外联网、数据中心组成完整的网络解决方案。根据企业网络设计标准:层次化网络架构体系,设计网络时,我们将遵循业界设计标准、行业准则。设计网络时应考虑采用层次化模型设计,即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。企业网络架构设计的网络层次及功能:骨干层实现网络的高速交换主干、数据中心设备的接入及各分部交换机接入汇聚;接入层负责将工作站接入网络。图1层次化的网络模型3.1 骨干层设计骨干层是网络的高速交换主干,对整个网络的连通起到至关重要
5、的作用。骨干层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在骨干层中,应该采用高带宽的千兆核心交换机,以增强网络平台数据业务的网络转发及吞吐能力,因为骨干层是网络的枢纽中心,重要性突出。在满足业务需求的同时,为尽量节省投资,核心设备可考虑先部署一台企业级核心交换机作为网络核心交换机。可选思科CataIySt6509、H3CLS-7506E及阿尔卡特OmniSwitch7800等高性能企业级核心交换机.这些核心交换机具备充足的业务板及功能卡插槽,至少可配置4个业务接口板,整机交换容量达768GB以上、背板容量超过1.6Tbps、包转发率达488Mbps以上
6、。支持主控冗余、电源冗余等高可靠性能。为内部网络业务流量数据高速交换提供一个可行的、可靠、可管理的数据高速核心交换平台.核心交换机承载内部所有业务数据高速转发的同时,将负责内部网络数据中心数据服务器的接入及各分部门接入交换机的接入汇聚。该部份接入我们可充分利用核心交换机上充足的业务插槽,通过增加千兆以太网电接口(RJ45)业务板为数据中心服务器提供充裕的网络接口和网络带宽,增加千兆/百兆以太网光接口业务模块(SC)一(SFP,LO为各分部门交换机提供千兆光纤上连接口,实现骨干网络的千兆接入,保证稳定、可靠的连接.3.2 接入层设计接入层向本地网段提供工作站接入.在接入层中,采用支持三层交换技术
7、和VLAN的交换机,以达到网络隔离和分段的目的,并能够向工作组提供高速带宽。采用VLAN(虚拟局域网)技术,为每个接入部门划分一个单独的VLAN,接入单位作为一个独立的VLAN接入网络平台。通过VLAN技术把不同的单位之间的业务流量相隔离开,避免引起广播风暴等安全问题的出现.3.3 链路设计1、终端信息点的接入采用规范化综合布线布署,具体综合布线以部门为单位进行规划设计.综合布线系统规划要求及各模块功能如下:管理区子系统管理子系统主要功能是实现配线管理及网络的互连,管理点为连接其它子系统提供连接手段。分配线间是各管理子系统的安装场所,配线间用于安装配线架和安装计算机网络通讯设备,通过综合布线将
8、各楼层电脑配线全部集中到该配线间机柜内端接,通过机柜内的跳线同网络设备相连。水平区子系统水平区子系统主要功能是实现各办公室信息插座和管理子系统(中间配线架IDF)间的连接.根据项目的水平区子系统的数据传输要求及将来扩展的要求,设备间与各办公室之间的高速数据传输要用超五类非屏蔽双绞线(UTP)电缆,根据水平布线距离应不超过90M,信息孔到终端设备连接不超过1OM的原则,各层信息点双绞线从下一层桥架铺设,并通过预留管道延伸至工作工区,另一端延伸至相应配线架(IDF),配线间内按线端子与信息模块之间为点到点端接。工作区子系统信息出口的数量及位置按具体情况进行设计。信息插座RJ45采用高品质的信息模块
9、。办公室内可采取走明线的方式,改造线缆沿墙裙走线,尽量不破坏装修格局,信息插座安装于墙上;暗装底盒安装信息模块及RJ45面板,信息插座的低边沿线距板水平面30cm。2、各部门接入交换机到网络核心交换机采用光纤连接,在各部门配线间安装接入交换机,根据接入终端信息点数量,分配一定数量的接入交换机,各交换机通过级连口互联,主接入交换机安装光纤GBlC模块,通过光纤接口向上接入核心交换机,实现千兆主干链路连入。3.4 VLANvIP地址和路由规划3.4.1 VLAN规戈IJIP/VLAN规划是企业网设计实现的一项重要内容,不合理的规划会直接影响日后的管理维护.所谓IP/VLAN规划,就是为接入企业网的
10、所有设备,包括交换机、路由器、防火墙、服务器、客户机、打印服务器等,分配一个唯一的IP地址,并为其指定适当的VLAN.考虑到日后的扩展、维护等问题,企业网的IP/VLAN规划不仅应符合网络设计规范,还要有规律、易记忆,能反映园区网的特点。基于方便维护、管理和统一规划的原则,企业网建设中采用每用户(以每个接入分部门为单位)分配一个VLAN,服务器区域单独占据一个VLAN设计。做到统一规划、统一命名、统一部署。通过采用VLAN技术很好地对不同用户的流量进行了划分和隔离,并且通过VLAN间访问控制列表起到了相当大的安全访问作用.3.4.2 IP地址分配具体的IP地址分配为:1、网络设备(核心交换机、
11、接入交换机、防火墙等)的设备互联地址:互联设备之间属于点对点连接,采用30位子网掩码的IP段分配两个可用地址即可,并单独分配一个VLAN2、网络设备管理地址:划分一个管理VLAN,并分配一段地址,为每台设备分配一个IP地址,通过设备环回接口等进行管理或远程连接维护。3、服务器区域地址:划分单独VLAN,根据服务器数量分配一段子网.4、接入终端地址:以部门为单位,划分单独VLAN,根据终端数量分配一段子网。3.4.3 路由规划1、路由分区的规划在网络结构规划中,都应根据路由器数量,网络的基本拓扑,路由器的负载等来合理规划路由区域,先择合理的路由协议。OSPF作为国际公开的标准协议,作为目前全球网
12、络使用最广,最稳定的IGP路由协议。采用OSPF协议的网络核心其路由性能更具稳定性、可扩展性、可管理性和安全性。采用OSPF协议网络的设计,建设中将核心设计为骨干路由区域,即AREA0,负责高速,稳定的转发数据包.对于各个汇接区,经过合理规划,将每个汇接区设计为一个单独路由区域。汇接层路由器设计成区域边界路由器。各个汇接区域内接入路由器设计成域内路由器,也运行OSPF协议。1.1 IP地址规划与路由汇总的应用对于每个汇接区域内的OSPF区域来说,由于边界路由器负责向骨干区域内注入区域内的路由,许多路由将会是非常零散的小路由,这样,容易造成AREA0内的路由器路由表项过大,使路由器资源耗费过大,
13、路由收敛时间增大,影响网络的稳定性和健壮性。因此,解决这个问题的最好方法是在边界路由器上做汇接区域内的路由汇总。使注入到零域内的路由是一个个较整齐的汇总路由,大大减少了路由表数目.这就要求进行网络规划时,合理规划IP地址,为每个汇接区域分配连续的,大段的IP地址,这样将更好利用OSPF的特性,使网络的路由规划更合理,使网络更健壮。3.5 接入互联网内部网络到国际互联网的连接可跟据网络带宽需求,通过向网络运营商并申请合法公网IP地址,租用IOM或1OOM专线,实现到互联网的连接,运营商线路采用协议转换器提供百兆RJ45接口.内部网络到互联网的连接采用百兆或千兆防火墙进行安全网络隔离,防火墙选型需
14、根据内部网络规模、数据访问量、带宽需求、网络连接数选择百兆或千兆防火墙.防火墙划分信任域、非信任域及DMZ区.提供百兆ETHERNET接口,非信任域做为网络出口与网络运营商线路对接.信任域连接网内网络核心交交换机电口模块,采用NAT方式,实现内部网络访问互联网。3.6 服务器接入方式:服务器群为数据服务中心根据应用采用两种接入方式:1、提供对外服务的服务器接入:WwW、E-mai1、FTP、DNS等服务器置于防火墙DMZ区,通过布暑防火墙安全策略保护服务器数据安全,可根据服务器数量增加交换机扩展接入端口。2、内部服务器接入:办公自动化系统、视频、语音、多媒体通信、视频会议系统等业务系统服务器通
15、过千兆网卡,连接核心交换机配置的千兆电口模块,直接接入网络核心,通过核心交换机实现数据高速转发。各种业务系统可根据业务负载情况,采用双机及网络备份方式,确保业务系统的高速稳定运行,双机互备软件:lifekeeper,网络备份软件:veritasnetbackup.3.7 网络安全机制为保障网络安全、高效、可靠的运行,确保信息的机密性、完整性、可用性,避免各种潜在的威胁。可通过防火墙建立综合防范机制,定制安全防护的安全策略,构造多层防护措施。实现对网络内部信息的屏蔽和保护.从物理、网络、系统、信息和管理等方面保证整体安全;保护数据中心以及互联网出口的安全问题,防火墙是指设置在不同网络或同一网络不
16、同安全域之间的一系列部件的组合.它是不同网络或网络安全域之间信息的唯一出入口,能根据企业组织的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力.它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全.防火墙是网络安全的屏障,可以强化网络安全策略,对网络存取和访问进行监控审计。通过部署防火墙,可以解决以下问题:1、对进出网络的数据流进行控制,阻止恶意数据包进入网络.2、对访问行为进行审计,供管理人员进行分析。3、防止未授权的恶意访问.4、对外封掉某些不安全的服