企業(yè)網(wǎng)絡設計

一、企業(yè)網(wǎng)絡設計（1）主干網(wǎng)設計采用千兆以太網(wǎng)技術。千兆以太網(wǎng)技術特點是具有高速數(shù)據(jù)傳輸帶寬，基本能滿足高速交換及多媒體對服務質(zhì)量的要求。易于網(wǎng)絡升級、易于維護、易于管理，具有良好的價格比。傳輸介質(zhì)。千兆傳輸距離500m以內(nèi)采用50/125多模光纜；千兆傳輸距離大于500m、小于5000m時采用9/125單模光纜；百兆傳輸距離2000m以內(nèi)采用50/125多模光纜；百兆傳輸距離大于2000m采用9/125單模光纜。交換機。主干交換機的基本要求：機箱式結構，便于擴展；支持多種網(wǎng)絡方式，如快速以太網(wǎng)、千兆以太網(wǎng)等；高性能，高背板帶寬及中心交換吞吐量；支持第二、第三交換，支持各種IP應用；高可靠性設計，如多電源/管理模塊、熱插拔；豐富的可管理能力等。中心機房配置企業(yè)級交換機作為網(wǎng)絡中心交換機。為實現(xiàn)網(wǎng)絡動態(tài)管理和虛擬局域網(wǎng)，在中心交換機上配置第三層交換模塊和網(wǎng)絡監(jiān)控模塊。主干各結點采用1000Mbps連接，服務器采用雙網(wǎng)卡鏈路聚合200Mbps連接，客戶采用交換式10/1000Mbps連接。（2）樓宇內(nèi)局域網(wǎng)設計要求采用支持802.1Q的10/100Mbps工作組以太網(wǎng)交換機，交換機的數(shù)據(jù)依據(jù)用戶端口數(shù)、可靠性及網(wǎng)管要求配置網(wǎng)絡接入交換機，使10/100Mbps流量接至桌面。（3）接入Internet設計Internet接入系統(tǒng)由位于網(wǎng)絡中心的非軍事區(qū)（DMZ）交換機、WWW服務、E-mail服務、防火墻、路由器、Internet光纖接入組成。（4）虛擬局域網(wǎng)VLAN設計通過VLAN將相同業(yè)務的用戶劃分在一個邏輯子網(wǎng)內(nèi)，既可以防止不同業(yè)務的用戶非法監(jiān)聽保密信息、又可隔離廣播風暴。不同子網(wǎng)的通信采用三層路由交換完成。各工作組交換機采用基于端口的VLAN劃分策略，劃分出多個不同的VLAN組，分隔廣播域。每個VLAN是一個子網(wǎng)，由子網(wǎng)中信息點的數(shù)量確定子網(wǎng)的大小。同樣在千兆/百兆以太網(wǎng)上聯(lián)端口上設置802.1Q協(xié)議，設置通信干道(Truck)，將每個VLAN的數(shù)據(jù)流量添加標記，轉發(fā)到主干交換機上實現(xiàn)網(wǎng)絡多層交換。（5）虛擬專用網(wǎng)VPN設計如果公司跨地區(qū)經(jīng)營，自己鋪設專線不劃算，可以通過Internet采用VPN數(shù)據(jù)加密技術，構成企業(yè)內(nèi)部虛擬專用網(wǎng)。（6）網(wǎng)絡拓撲結構。這部分待續(xù)二、網(wǎng)絡安全性設計網(wǎng)絡系統(tǒng)的可靠與安全問題：a. 物理信息安全，主要防止物理通路的損壞和對物理通路的攻擊（干擾等）。b. 鏈路層的網(wǎng)絡安全需要保證通過網(wǎng)絡鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN、加密通信等手段。c. 網(wǎng)絡層的安全需要保證網(wǎng)絡只給授權的客戶使用授權的服務，保證網(wǎng)絡路由正確，避免被攔截或監(jiān)聽。d. 操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時能夠對該操作系統(tǒng)上的應用進行審計。e. 應用平臺的安全要求保證應用軟件服務，如數(shù)據(jù)庫服務、電子郵件服務器、Web服務器、ERP服務器的安全。（1）物理安全機房要上鎖，出入人員要嚴加限制。注意不可讓人從天花板、窗戶進入房間。機房電力要充足、制冷要合適，環(huán)境要清潔。從工作站到配線柜的配線應該布在偷聽設備接觸不到的地方。配線不應該直接布在地板或天花板上，而應該隱藏在線槽或其他管道里。應該包括諸如火災、水災等自然災害后的恢復流程。如美國911世貿(mào)中心崩塌，大多數(shù)公司的數(shù)據(jù)得不到恢復。（2）防火墻防火墻應具管理簡單、功能先進等特點，并且能夠保證對所有系統(tǒng)實施“防彈”保護。 一個優(yōu)秀的防火墻具有內(nèi)網(wǎng)保護、靈活的部署、非軍事區(qū)（DMZ）范圍的保護、TCP狀態(tài)提醒、包過濾技術、TCP/IP堆棧保護、網(wǎng)絡地址翻譯、VPN等功能。（3）網(wǎng)絡病毒在網(wǎng)絡中心主機安裝一臺網(wǎng)絡病毒控制中心服務器，該服務器既要與Internet相連，又要與企業(yè)內(nèi)網(wǎng)相連。該服務器通過Internet每每更病毒代碼及相關文件，企業(yè)內(nèi)部網(wǎng)絡中的服務器、客戶時刻處于網(wǎng)絡病毒控制中心服務的監(jiān)控下，更新本機的病毒代碼庫及相文件，對計算機的所有文件和內(nèi)存實施動態(tài)、實時、定時等多種病毒防殺策略，以確保網(wǎng)絡系統(tǒng)安全。（4）網(wǎng)絡容錯集群技術。一個服務器集群包含多臺擁有共享數(shù)據(jù)存儲空間的服務器，各服務器之間通過內(nèi)部局域網(wǎng)進行相互通信。當其中一臺服務器發(fā)生故障時，它所運行的應用程序將由其他的服務器自動接管。在大多數(shù)情況下，集群中所有的計算機都擁有一個共同的名稱，集群系統(tǒng)內(nèi)任意一臺服務器都可被所有的網(wǎng)絡用戶所使用。（5）安全備份與災難恢復企業(yè)信息管理最重要的資產(chǎn)不是網(wǎng)絡硬件，而是網(wǎng)絡運行的數(shù)據(jù)。理想的備份系統(tǒng)是在軟件備份的基礎上增加硬件容錯系統(tǒng)，使網(wǎng)絡更加安全可靠。實際上，備份不僅僅是文件備份，而是整個網(wǎng)絡的一套備份體系。備份應包括文件備份和恢復，數(shù)據(jù)庫備份和恢復、系統(tǒng)災難恢復和備份任務管理。（6）網(wǎng)絡入侵檢測、報警、審計技術入侵檢測系統(tǒng)（IDS-Intrusin Detection System）執(zhí)行的主要任務包括：監(jiān)視、分析用戶及系統(tǒng)活動；審計系統(tǒng)構造和弱點；識別、反映已知進攻的活動模式，向相關人士報警；統(tǒng)計分析異常行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計、跟蹤管理操作系統(tǒng)，識別用戶違反安全策略的行為。常見的IDS產(chǎn)品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網(wǎng)安、東軟的網(wǎng)眼等。（7）局域網(wǎng)信息的安全保護技術密碼采用9位以上，每周修改1次采用多層交換網(wǎng)絡的虛擬網(wǎng)劃分技術，防止在內(nèi)部網(wǎng)監(jiān)聽數(shù)據(jù)采用NTFS磁盤分區(qū)加密技術，使網(wǎng)上鄰居只能是信任用戶采用Windows域控制技術，對網(wǎng)絡資源實行統(tǒng)一管理采用SAN（Storage Area Network存儲區(qū)域網(wǎng)絡）與NAS（Network Attached Storage網(wǎng)絡連接存儲）保護數(shù)據(jù)。SAN技術允許將獨立的存儲設備連接至一臺或多臺服務器，專用于服務器，而服務器則控制了網(wǎng)絡其他部分對它的訪問。NAS將存儲設備直接連接至網(wǎng)絡，使網(wǎng)絡中的用戶和網(wǎng)絡服務器可以共享此設備，網(wǎng)絡對存儲設備的訪問則由文件管理器這一類設備進行管理。利用SAN結合集群技術提高系統(tǒng)可靠性、可擴充性和抗災難性；利用NAS文件服務統(tǒng)一存放管理全公司桌面系統(tǒng)數(shù)據(jù)。（8）網(wǎng)絡代理采用Proxy對訪問Internet實行統(tǒng)一監(jiān)控。限制用戶訪問的時間、訪問的內(nèi)容、訪問的網(wǎng)址、訪問的協(xié)議等等，同時對用戶的訪問進行審計。（9）郵件過濾技術。采用具有過濾技術郵件管理系統(tǒng)，一般是針對“主題詞”、“關鍵字”、“地址（IP、域名）”等信息過濾，防止非法信息的侵入。（10）重視網(wǎng)絡安全的教育，提高安全意識。三、綜合布線與機房設計1. 把服務器、UPS、防火墻、路由器及中心交換機放置在中心機房，把各子系統(tǒng)的配線柜設置在各子系統(tǒng)所在的樓層。2. 樓宇間光纜敷設采用4芯以上的單?；蚨嗄Ｊ彝饨饘俟饫|架空或埋地敷設。3. 樓宇內(nèi)UTP布線采用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實現(xiàn)垂直系統(tǒng)、水平子系統(tǒng)、工作區(qū)的布線。4. 機房裝修（1）地板。鋪設抗靜電三防地板，規(guī)格600*600*27，板面標高0.20m，地板應符合GB6650-82計算機機房用活動地板技術條件（2）吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。（3）墻面。涂刮防防瓷、墻壁面刷乳膠漆。（4）窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾。（5）出入門。安裝鋁合金玻璃隔斷推拉門。（6）照明。采用高效格柵雙管日光燈嵌入安裝。（7）配電。機房配電采用三相五線制，多種電源（動力三相380V、普通220V和UPS輸出220V）配電箱。為UPS、空調(diào)機、照明等供電。配電箱設有空氣開關，線路全部用銅芯穿PVC管。（8）接地。根據(jù)要求設計接地系統(tǒng)，其直流接地電阻小于1、工作保護地和防雷地接地電阻小于4。為保證優(yōu)良的接地性能，采用JD1型接地和化學降阻劑，此外，考慮機房抗靜電的需求，對抗靜電活動地板進行可靠的接地處理，以保證設備和工作人員的安全要求。（9）空調(diào)。主機房3P柜機；分機房1.5壁掛式空調(diào)機。5. UPS后備電源。采用分散保護，集中管理電源的策略，考慮APC公司提供的電源解決方案。四、企業(yè)網(wǎng)應用系統(tǒng)1. 應用服務器。IBM服務器首選，當然，也可以采用高檔PC機，PC機的優(yōu)點是便于更新?lián)Q代。2. 軟件平臺。采用Windows 2003/2008（主要使用Domain域控制器,集成DNS服務），Redhat AS 5/Centos 5，Solaris 10.0（在unix/linux上運行Oracle數(shù)據(jù)庫，SAP/R3系統(tǒng)，基于Lotus Domino/Notes的OA系統(tǒng)）3. 數(shù)據(jù)庫系統(tǒng)。采用Oracle大型數(shù)據(jù)庫、MySQL、SQL Server2000數(shù)據(jù)庫。4. OA辦公系統(tǒng)。基于開源軟件二次開發(fā)的Grandtec oa、基于Lotus Domino/Notes的OA系統(tǒng)、Lotus Domino集成Email/HTTP等服務。5. 企業(yè)管理綜合軟件ERP。采用SAP/R3系統(tǒng)，一步解決未來企業(yè)國際化問題、或是用友ERPU8系統(tǒng)。6. 網(wǎng)絡存儲系統(tǒng)。五、網(wǎng)絡系統(tǒng)管理1.交換機、路由器管理。設備均是Cisco、華為、H3C產(chǎn)品，使用Cisco Works 2000或者正頓計算機公司代為部屬定制完善的監(jiān)控系統(tǒng)。2.網(wǎng)絡綜合管理。HP OpenView集成網(wǎng)絡管理和系統(tǒng)管理。OpenVie