2022年企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案

1、企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案企業(yè)網(wǎng)絡(luò)改造規(guī)劃方案2022 年 8 月0 / 310 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案目錄第 1 章. 項(xiàng)目概述 . 21.1. 項(xiàng)目背景 . 21.2. 項(xiàng)目建設(shè)需求 . 21.3. 建設(shè)目標(biāo) . 3第 2 章. 系統(tǒng)規(guī)劃要求 . 42.1. 高牢靠要求 . 42.2. 高性能要求 . 42.3. 易治理性要求 . 42.4. 安全性要求 . 42.5. 可擴(kuò)展性要求 . 52.6. 有用性和先進(jìn)性要求 . 52.7. 經(jīng)濟(jì)性要求 . 5第 3 章. 系統(tǒng)總體設(shè)計(jì) . 6第 4 章. 基礎(chǔ)平臺具體規(guī)劃 . 94.1. 網(wǎng)絡(luò)系統(tǒng) . 94.1.1. 系統(tǒng)設(shè)計(jì)目標(biāo) .

2、 94.1.2. 系統(tǒng)設(shè)計(jì)原就 . 94.1.3. 整體網(wǎng)絡(luò)規(guī)劃 . 94.1.4. 分區(qū)設(shè)計(jì)詳解 . 114.1.5. 網(wǎng)絡(luò)協(xié)議設(shè)計(jì) . 164.1.6. 設(shè)備選型建議 . 214.2. 安全系統(tǒng) . 224.2.1. 系統(tǒng)設(shè)計(jì)目標(biāo) . 224.2.2. 系統(tǒng)設(shè)計(jì)原就 . 224.2.3. 安全體系結(jié)構(gòu) . 234.2.4. 子系統(tǒng)規(guī)劃 . 254.2.5. 設(shè)備選型建議 . 291 / 311 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案第1章. 項(xiàng)目概述1.1. 項(xiàng)目背景隨著 * 公司信息技術(shù)進(jìn)展,作為信息載體的網(wǎng)絡(luò)系統(tǒng)存在問題日益嚴(yán)峻：網(wǎng)絡(luò)負(fù)載加大、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)安全問題嚴(yán)峻、應(yīng)用系統(tǒng)的增加

3、,多網(wǎng)融合的需求迫切、網(wǎng)絡(luò)終端不受控等；這就需要對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造,以滿意 * 公司信息技術(shù)進(jìn)展的需求；1.2. 項(xiàng)目建設(shè)需求在利用 * 公司現(xiàn)有網(wǎng)絡(luò)資源的基礎(chǔ)上加以改造,改造后的網(wǎng)絡(luò)需要滿意以下需求：1、依據(jù)用戶對業(yè)務(wù)系統(tǒng)的拜訪要求, 將現(xiàn)有各個(gè)業(yè)務(wù)子網(wǎng)在網(wǎng)絡(luò)核心層面進(jìn)行整合,以達(dá)到單個(gè)用戶可以拜訪不同子網(wǎng)的資源,并通過肯定的安全策略,確保各個(gè)子網(wǎng)之間的數(shù)據(jù)和業(yè)務(wù)安全；2、優(yōu)化現(xiàn)有網(wǎng)絡(luò)規(guī)模,設(shè)立網(wǎng)絡(luò)匯聚節(jié)點(diǎn),最終形成以銷售部、自動化部自動化車間、 軋鋼總降、 一煉、二煉、一軋、二軋等七個(gè)部位為主的匯聚點(diǎn),掩蓋全公司、部門、車間的生產(chǎn)區(qū)域；3、實(shí)現(xiàn)整個(gè)公司網(wǎng)絡(luò)架構(gòu)分等級安全治理；拜訪自4、

4、建立結(jié)構(gòu)化網(wǎng)絡(luò)安全系統(tǒng), 全部用戶通過認(rèn)證方式接入公司網(wǎng)絡(luò),己對應(yīng)的網(wǎng)絡(luò)資源或系統(tǒng)；5、實(shí)現(xiàn)網(wǎng)絡(luò)終端受控,重要崗位終端行為治理,保證終端規(guī)范化操作；6、實(shí)現(xiàn)服務(wù)器及儲備資源的有效利用, 建立核心服務(wù)器區(qū)域的安全防護(hù)提高運(yùn)行才能；將現(xiàn)有主要服務(wù)器,如產(chǎn)銷系統(tǒng)、新老線 MES系統(tǒng)、設(shè)備治理系統(tǒng)、遠(yuǎn)程計(jì)量、人事、原料選購、調(diào)度、質(zhì)量等服務(wù)器集中統(tǒng)一治理；7、實(shí)現(xiàn) L2 系統(tǒng)在網(wǎng)絡(luò)中的隔離,保證L2 系統(tǒng)安全穩(wěn)固運(yùn)行；2 / 312 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案1.3. 建設(shè)目標(biāo)此次網(wǎng)絡(luò)改造規(guī)劃方案主要包括：網(wǎng)絡(luò)系統(tǒng),安全系統(tǒng)的建設(shè)；各個(gè)系統(tǒng)的功能概述如下：1 網(wǎng)絡(luò)系統(tǒng) ：盡量利用現(xiàn)有的網(wǎng)絡(luò)接入

5、條件和機(jī)房環(huán)境條件,對現(xiàn)有網(wǎng)絡(luò) 系統(tǒng)進(jìn)行全面改造升級, 實(shí)現(xiàn)生產(chǎn)網(wǎng)、 寬帶網(wǎng)、設(shè)備網(wǎng)之間的融合接入,簡化網(wǎng)絡(luò)規(guī)律架構(gòu)；2 安全系統(tǒng) ：依據(jù)網(wǎng)絡(luò)總體架構(gòu)和安全需求,設(shè)計(jì)部署安全防備體系（包括網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各層次）體系,并實(shí)現(xiàn)集中的安全治理；,各業(yè)務(wù)系統(tǒng)的安全防范和服務(wù)3 / 313 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案第2章. 系統(tǒng)規(guī)劃要求系統(tǒng)規(guī)劃要求如下：2.1. 高牢靠要求為保證業(yè)務(wù)系統(tǒng)不間斷正常運(yùn)行,整個(gè)系統(tǒng)應(yīng)有足夠的冗余,設(shè)備發(fā)生故障時(shí)能以熱備份、 熱切換和熱插拔的方式在最短時(shí)間內(nèi)加以修復(fù)；牢靠性仍應(yīng)充分考慮系統(tǒng)的性價(jià)比, 使整個(gè)網(wǎng)絡(luò)具有肯定的容錯(cuò)才能,和重點(diǎn)單元設(shè)備支持雙機(jī)備份

6、；2.2. 高性能要求削減單點(diǎn)故障, 網(wǎng)絡(luò)核心核心網(wǎng)絡(luò)供應(yīng)可保證的服務(wù)質(zhì)量和充分的帶寬,以適應(yīng)大量數(shù)據(jù)傳輸包括多媒體信息的傳輸； 整個(gè)系統(tǒng)在國內(nèi)三到五年內(nèi)保持領(lǐng)先的水平,并具有長足的發(fā)展才能,以適應(yīng)將來網(wǎng)絡(luò)技術(shù)的進(jìn)展；2.3. 易治理性要求考慮到系統(tǒng)建設(shè)后期的愛護(hù)和治理的需要,在方案設(shè)計(jì)中充分考慮各個(gè)設(shè)備和系統(tǒng)的可治理性, 并可以滿意用戶個(gè)性化治理定制的需要；網(wǎng)站各系統(tǒng)易于管理,易于愛護(hù),操作簡潔,易學(xué),易用,便于進(jìn)行配置和發(fā)覺故障；2.4. 安全性要求對于內(nèi)部網(wǎng)絡(luò)以及外部拜訪的安全必需高度重視,設(shè)計(jì)部署牢靠的系統(tǒng)安全解決方案,防止安全隱患；設(shè)計(jì)實(shí)行防攻擊、防篡改等技術(shù)措施；制定安全應(yīng)急 預(yù)案

7、；治理和技術(shù)并重,全方位構(gòu)建整個(gè)安全保證體系；4 / 314 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案2.5. 可擴(kuò)展性要求對* 信息化建設(shè)規(guī)劃要長遠(yuǎn)考慮,不但滿意當(dāng)前需要,并在擴(kuò)充模塊后滿意可預(yù)見需求, 考慮本期系統(tǒng)應(yīng)用和今后網(wǎng)絡(luò)的進(jìn)展,接；留有擴(kuò)充余量,包括端口數(shù)和帶寬升級才能；2.6. 有用性和先進(jìn)性要求便于向更新技術(shù)的升級與銜系統(tǒng)建設(shè)第一要從系統(tǒng)的有用性角度動身,將來的信息傳輸都將依靠于數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng), 所以系統(tǒng)設(shè)計(jì)必需具有很強(qiáng)的有用性,滿意不同用戶信息服務(wù)的實(shí)際需要,具有很高的性能價(jià)格比,能為多種應(yīng)用系統(tǒng)供應(yīng)強(qiáng)有力的支持平臺；2.7. 經(jīng)濟(jì)性要求本次系統(tǒng)建設(shè)中,要充分考慮原有系統(tǒng)資源的有效利

8、用,發(fā)揮原有設(shè)備資源的價(jià)值；要本著以最少的建設(shè)成本, 最少的改造成本, 連續(xù)獲得當(dāng)期及將來建設(shè)的最大利益；5 / 315 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案第3章. 系統(tǒng)總體設(shè)計(jì)此方案設(shè)計(jì)將遵循先進(jìn)性、有用性、牢靠性、易治理性、安全性、擴(kuò)展性、經(jīng) 濟(jì)性的原就,為實(shí)現(xiàn) * 數(shù)據(jù)集中處理的方式,構(gòu)建統(tǒng)一融合的網(wǎng)絡(luò)系統(tǒng),能支持全 公司范疇內(nèi)的高牢靠實(shí)時(shí)網(wǎng)絡(luò)連接；依據(jù) * 網(wǎng)絡(luò)改造建設(shè)的需求,本次方案設(shè)計(jì)的網(wǎng)絡(luò)平臺系統(tǒng)的總體示意圖如 下：Internet聯(lián)通移動出口區(qū)域舞鋼網(wǎng)絡(luò)改造拓?fù)淇倛D產(chǎn)銷中心服務(wù)器集群人事原料OA選購DMZ 區(qū)域 WWWDNS防火墻 1核心交換機(jī)1核心交換機(jī)2質(zhì)量設(shè)備安全MESM

9、AIL治理治理防火墻 2能源網(wǎng)華為 S12808遠(yuǎn)程計(jì)量網(wǎng)華為 S12808原生產(chǎn)網(wǎng)核心交換機(jī)華為 S8512一煉一軋二煉二軋自動化車間銷售部軋鋼總降匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)S5624S5324S5624S5624S6324S5324S6506一煉接入網(wǎng)一軋接入網(wǎng)二煉接入網(wǎng)自動化車間接入網(wǎng)銷售部接入網(wǎng)軋鋼總降接入網(wǎng)二軋接入網(wǎng)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)*

10、網(wǎng)絡(luò)改造總體拓?fù)鋱D 注：圖中橙色字體的設(shè)備為此次新增設(shè)備；具體描述：1網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) 1 整體網(wǎng)絡(luò)結(jié)構(gòu)依據(jù)不同的安全級別,主要分為出口區(qū)域、DMZ區(qū)域、中心服6 / 316 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案務(wù)器集群區(qū)域、核心交換區(qū)域、生產(chǎn)網(wǎng)接入?yún)^(qū)域、能源網(wǎng)接入?yún)^(qū)域、遠(yuǎn)程 計(jì)量網(wǎng)接入?yún)^(qū)域及其他網(wǎng)絡(luò)接入?yún)^(qū)域；2 作為整個(gè)網(wǎng)絡(luò)的核心業(yè)務(wù)區(qū)域,采納兩臺高端核心交換機(jī)雙機(jī)熱備的方式,保證核心業(yè)務(wù)的正常開展；同時(shí),依據(jù)業(yè)務(wù)的重要程度對全廠網(wǎng)絡(luò)進(jìn)行分 區(qū)、并進(jìn)行牢靠安全隔離,防止重要程度較低的業(yè)務(wù)對重要程度高的核心 業(yè)務(wù)造成影響；3 生產(chǎn)網(wǎng)接入?yún)^(qū)域, 主要以現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備為主、另外融合了寬帶網(wǎng)和 設(shè)備

11、網(wǎng)的接入設(shè)備；依據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶需求,設(shè)立新的網(wǎng)絡(luò)匯聚 節(jié)點(diǎn),形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一 軋、二軋等七個(gè)部位為主的匯聚點(diǎn),掩蓋全公司、部門、車間的生產(chǎn)區(qū)域；4 上述七個(gè)匯聚節(jié)點(diǎn)主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備,同時(shí),將原寬帶網(wǎng)和設(shè) 備網(wǎng)的接入設(shè)備融入,構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺,不再重復(fù)建網(wǎng)；新的網(wǎng) 絡(luò)平臺融合了,生產(chǎn)網(wǎng)的數(shù)據(jù)拜訪和外網(wǎng)互聯(lián)的需求,使用同一終端即可 實(shí)現(xiàn)內(nèi)外網(wǎng)同時(shí)拜訪的功能；5 規(guī)劃統(tǒng)一的中心服務(wù)器集群區(qū)域,將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備治理系統(tǒng)、人事系統(tǒng) 中運(yùn)行的服務(wù)器,劃到同一規(guī)律區(qū)域；考慮到新的核心交換的高性能,將 全部的服務(wù)器直接接到核心交換,通過核心

12、區(qū)域的安全設(shè)備來保證拜訪安 全；使全廠的全部客戶終端都通過核心交換來對各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一訪 問；6 設(shè)計(jì)新的互聯(lián)網(wǎng)出口區(qū)域,設(shè)置出口防火墻、上網(wǎng)行為治理、負(fù)載均衡等安 全設(shè)備,保證全廠用戶的上網(wǎng)安全；原有生活區(qū)用戶不再和辦公區(qū)使用同 一出口上網(wǎng),生活區(qū)用戶使用單獨(dú)的出口設(shè)備連接互聯(lián)網(wǎng)；7 構(gòu)建 DMZ 區(qū)域,將、MAIL等需要同時(shí)服務(wù)內(nèi)外網(wǎng)用戶的服務(wù)器放到該區(qū)域,設(shè)置 VPN、負(fù)載均衡等設(shè)備保證服務(wù)安全；8 能源網(wǎng)和遠(yuǎn)程計(jì)量網(wǎng)由于是獨(dú)立運(yùn)行的物理網(wǎng)絡(luò),不在此次網(wǎng)絡(luò)改在的范 圍；但此次我們新增的核心交換,在性能、穩(wěn)固性、處理才能方面,均有 才能負(fù)載將來其他多個(gè)網(wǎng)絡(luò)的融合；2安全系統(tǒng)設(shè)計(jì) 本次

13、* 網(wǎng)絡(luò)改造項(xiàng)目建設(shè)將考慮如何建設(shè)多層次、縱深防備系統(tǒng)；另外,7 / 317 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案要加強(qiáng)安全治理工作和安全應(yīng)急工作；通過部署防火墻保證網(wǎng)絡(luò)邊界的安全,保證網(wǎng)絡(luò)層的安全；部署入侵檢測 系統(tǒng)實(shí)現(xiàn)內(nèi)網(wǎng)安全狀態(tài)的實(shí)時(shí)監(jiān)控；部署防病毒系統(tǒng)防止病毒入侵,保證主機(jī) 的安全；部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)對網(wǎng)絡(luò)進(jìn)行監(jiān)控；部署抗攻擊系統(tǒng)抵擋來自外界Internet的 DoS/DDoS攻擊；部署漏洞掃描系統(tǒng)對系統(tǒng)主機(jī)、網(wǎng)絡(luò)設(shè)備的脆弱性進(jìn)行分析；部署時(shí)鐘系統(tǒng)使系統(tǒng)的時(shí)鐘同步；部署單點(diǎn)登錄系統(tǒng)便利用戶在多 個(gè)系統(tǒng)間自由穿梭,不必重復(fù)輸入用戶名和密碼來確定身份；部署統(tǒng)一認(rèn)證系 統(tǒng)對不同的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一

14、的用戶認(rèn)證,通過統(tǒng)一的用戶認(rèn)證平臺供應(yīng)一個(gè) 單一的用戶登陸入口；部署安全治理平臺實(shí)現(xiàn)系統(tǒng)內(nèi)安全大事的統(tǒng)一治理；我們要通過相應(yīng)的安全技術(shù)建設(shè)一套包含物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用 層和治理層等多個(gè)方面的完整網(wǎng)絡(luò)安全體系；8 / 318 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案第4章. 基礎(chǔ)平臺具體規(guī)劃4.1. 網(wǎng)絡(luò)系統(tǒng)4.1.1. 系統(tǒng)設(shè)計(jì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)建設(shè)的總體目標(biāo),是要建立統(tǒng)一融合的、掩蓋全公司范疇內(nèi)的、高速高牢靠的網(wǎng)絡(luò)平臺,以支持?jǐn)?shù)據(jù)集中處理的運(yùn)行模式；4.1.2. 系統(tǒng)設(shè)計(jì)原就網(wǎng)絡(luò)系統(tǒng)包括四大部分,一是出口區(qū)域,實(shí)現(xiàn)公司用戶的上網(wǎng)需求；二是服務(wù)器區(qū)域,對 * 現(xiàn)有業(yè)務(wù)系統(tǒng)的主機(jī)儲備進(jìn)行統(tǒng)一治理；三

15、是核心交換區(qū)域,實(shí)現(xiàn)全公司全部功能區(qū)域的互聯(lián)互通；四是二級接入?yún)^(qū)域, 對整個(gè)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行重新規(guī)劃,形成新的匯聚節(jié)點(diǎn),將生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備治理、人事系統(tǒng)統(tǒng)一融合到新的治理 網(wǎng)絡(luò)中,實(shí)現(xiàn)單一終端對全部業(yè)務(wù)系統(tǒng)的統(tǒng)一拜訪；網(wǎng)絡(luò)系統(tǒng)有良好的擴(kuò)展性,保證網(wǎng)絡(luò)在建設(shè)進(jìn)展過程中業(yè)務(wù)和系統(tǒng)規(guī)模能夠不 斷地?cái)U(kuò)大；網(wǎng)絡(luò)線路及核心、關(guān)鍵設(shè)備有冗余設(shè)計(jì)；核心設(shè)備和關(guān)鍵設(shè)備保證高性能、高 牢靠性、大數(shù)據(jù)吞吐才能；網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)充分考慮系統(tǒng)的安全性；4.1.3. 整體網(wǎng)絡(luò)規(guī)劃依據(jù)結(jié)構(gòu)化、模塊化的設(shè)計(jì)原就,實(shí)現(xiàn)高可用、易擴(kuò)展、易治理的建設(shè)目標(biāo)；網(wǎng)絡(luò)整體拓?fù)淙缦聢D所示：9 / 319 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案In

16、ternet移動出口區(qū)域舞鋼網(wǎng)絡(luò)改造拓?fù)淇倛D聯(lián)通中心服務(wù)器集群OA產(chǎn)銷人事原料 選購DMZ 區(qū)域WWWDNS防火墻 1核心交換機(jī)1核心交換機(jī)2質(zhì)量設(shè)備安全MESMAIL治理治理防火墻 2能源網(wǎng)華為 S12808遠(yuǎn)程計(jì)量網(wǎng)華為 S12808原生產(chǎn)網(wǎng)核心交換機(jī)華為 S8512一煉一軋二煉二軋自動化車間銷售部軋鋼總降匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)S5624S5324S5624S6324S5324S6506S5624一煉接入網(wǎng)一軋接入網(wǎng)二煉接入網(wǎng)自動化車間接入網(wǎng)銷售部接入網(wǎng)軋鋼總降接入網(wǎng)二軋接入網(wǎng)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生

17、產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)注：圖中橙色字體的設(shè)備為此次新增設(shè)備；依據(jù)“ 模塊化” 設(shè)計(jì)原就,需要對* 整體網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分區(qū)設(shè)計(jì)；依據(jù)* 公司業(yè)務(wù)情形,各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下：核心交換區(qū)： 此區(qū)域用于實(shí)現(xiàn)各分區(qū)之間的數(shù)據(jù)交互,是數(shù)據(jù)中心網(wǎng)絡(luò)平臺的 核心樞紐；出口區(qū)域： 互聯(lián)網(wǎng)出口,公司員上網(wǎng),對外發(fā)布公司信息,承載電子商務(wù)等業(yè) 務(wù)系統(tǒng)；中心服務(wù)器區(qū)： 此區(qū)域部署核心業(yè)務(wù)服務(wù)器,包括 等應(yīng)用系統(tǒng)；MES、OA、人事、安全治理網(wǎng)絡(luò)匯聚區(qū)： 實(shí)現(xiàn)公司辦公樓、各分廠等匯

18、聚網(wǎng)絡(luò)接入,二級單位可以通過該 接入?yún)^(qū)域?qū)崿F(xiàn)對業(yè)務(wù)系統(tǒng)的拜訪；接入交換區(qū)： 全廠接入設(shè)備連接區(qū)域,該區(qū)域用于連接終端用戶和公司核心交 換網(wǎng)絡(luò),是網(wǎng)絡(luò)中最廣泛的網(wǎng)絡(luò)設(shè)備；10 / 3110 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案4.1.4. 分區(qū)設(shè)計(jì)詳解. 核心交換區(qū)設(shè)計(jì)此次網(wǎng)絡(luò)改造,建議新增兩臺高性能的核心交換機(jī)作為 * 的網(wǎng)絡(luò)核心；核心層作為整個(gè) * 網(wǎng)絡(luò)的核心處理層,連接各分布層設(shè)備和* 核心服務(wù)器區(qū),核心層應(yīng)采用兩臺高性能的三層交換機(jī)采納互為冗余備份的方式實(shí)現(xiàn)網(wǎng)絡(luò)核心的高速數(shù)據(jù)交換 機(jī),同時(shí),兩臺核心設(shè)備與分布層各設(shè)備連接,保證每臺分布層設(shè)備分別與兩臺核 心層設(shè)備具有網(wǎng)絡(luò)連接,通過鏈路的冗余

19、和設(shè)備冗余的設(shè)計(jì),保證整個(gè)核心層的高牢靠性；兩臺核心設(shè)備之間應(yīng)至少保證 10Gbps；2Gbps全雙工的速率要求,并能平滑升級到核心區(qū)是整個(gè)平臺的樞紐；因此,牢靠性是衡量核心交換區(qū)設(shè)計(jì)的關(guān)鍵指標(biāo)；否就,一旦核心模塊顯現(xiàn)反常而不能準(zhǔn)時(shí)復(fù)原的話,會造成整個(gè)平臺業(yè)務(wù)的長時(shí)間 中斷,影響巨大；. 互聯(lián)網(wǎng)出口區(qū)設(shè)計(jì)* 與外網(wǎng)的出口區(qū)域,目前是通過建立獨(dú)立的寬帶網(wǎng),實(shí)現(xiàn)辦公區(qū)和生活區(qū)通 過統(tǒng)一出口拜訪外網(wǎng)的；在此次網(wǎng)絡(luò)改造中,我們方案把生活區(qū)上網(wǎng)與辦公區(qū)上網(wǎng) 隔離開,通過不同的出口拜訪外網(wǎng)；改造后的生活區(qū)網(wǎng)絡(luò)拓?fù)浣Y(jié)果如下圖所示：11 / 3111 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案Internet 生聯(lián)通

20、移動活區(qū)寬帶防火墻 網(wǎng)負(fù)載均衡 核心交換機(jī) 華為 S8512 /S9306生活區(qū)接入網(wǎng)如上圖所示,此次生活區(qū)的網(wǎng)絡(luò)改造會增加新的防火墻和負(fù)載均衡設(shè)備,作為 生活區(qū)的網(wǎng)絡(luò)安全治理設(shè)備,通過單獨(dú)的出口設(shè)備連接到互聯(lián)網(wǎng)；改在后的廠區(qū)互聯(lián)網(wǎng)出口區(qū)域,如下圖所示：Internet移動出口區(qū)域聯(lián)通DMZ 區(qū)域WWWDNSMAIL12 / 3112 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案如上圖所示,工作區(qū)的網(wǎng)絡(luò)改造同樣會增加新的防火墻和負(fù)載均衡設(shè)備,以及 上網(wǎng)行為治理等安全設(shè)備,作為生活區(qū)的網(wǎng)絡(luò)安全治理設(shè)備,通過單獨(dú)的出口設(shè)備 之間連接到互聯(lián)網(wǎng)；出口區(qū)域除了網(wǎng)絡(luò)出口設(shè)備外,仍包括一個(gè) 同時(shí)服務(wù)內(nèi)、外網(wǎng)用戶的服務(wù)

21、器放到該區(qū)域,. 中心服務(wù)器區(qū)設(shè)計(jì)DMZ區(qū)域,用于將、 MAIL等,需要規(guī)劃統(tǒng)一的中心服務(wù)器集群區(qū)域,將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備治理系統(tǒng)、人事系統(tǒng)中 運(yùn)行的服務(wù)器,劃到同一規(guī)律區(qū)域；該區(qū)域物理上為一個(gè)區(qū)域接入到核心,而規(guī)律 上可以再劃分為多個(gè)業(yè)務(wù)應(yīng)用區(qū), 依據(jù)業(yè)務(wù)屬性的不同可以劃分為生產(chǎn)服務(wù)器區(qū)（如 ERP等）、辦公服務(wù)器區(qū)（如 OA等）、治理服務(wù)器區(qū)（如 IT 運(yùn)維、治理等系統(tǒng)）等；考慮到新的核心交換的高性能,將全部的服務(wù)器直接接到核心交換,通過核心 區(qū)域的安全設(shè)備來保證拜訪安全；使全廠的全部客戶終端都通過核心交換來對各個(gè) 業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一拜訪；中心服務(wù)器集群人事原料OA產(chǎn)銷選購質(zhì)量設(shè)備安全MES治

22、理治理. 網(wǎng)絡(luò)匯聚區(qū)設(shè)計(jì)網(wǎng)絡(luò)匯聚區(qū)域,依據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶需求,設(shè)立新的網(wǎng)絡(luò)匯聚節(jié)點(diǎn),形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七 個(gè)部位為主的匯聚點(diǎn),掩蓋全公司、部門、車間的生產(chǎn)區(qū)域；該區(qū)域的網(wǎng)絡(luò)設(shè)備13 / 3113 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案主要以現(xiàn)有的生產(chǎn)網(wǎng)匯聚設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的匯聚設(shè)備,同時(shí)考慮現(xiàn)有匯聚設(shè)備性能不能滿意需求的情形,新增高新能的匯聚設(shè)備；匯聚層設(shè)備通過雙鏈路的方式與核心層兩臺核心交換設(shè)備相連,同時(shí),為保障網(wǎng)絡(luò)的健壯性, 以及便于各個(gè)分廠區(qū)之間數(shù)據(jù)交互,各個(gè)分廠區(qū)的匯聚交換機(jī)之間也有線路直連；各匯聚節(jié)點(diǎn)與核心層的連接

23、,應(yīng)全部采納 1000Mbps或1000Mbps以上的連接方式, 分布層設(shè)備實(shí)現(xiàn)本區(qū)域內(nèi)的各 Vlan 的路由處理和安全限制；原生產(chǎn)網(wǎng)核心交換機(jī)華為S8512一煉一軋二煉二軋自動化車間銷售部軋鋼總降匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)S5624S5324S5624S5624S6324S5324S6506一煉接入網(wǎng)一軋接入網(wǎng)二煉接入網(wǎng)二軋接入網(wǎng)自動化車間接入網(wǎng)銷售部接入網(wǎng)軋鋼總降接入網(wǎng)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶

24、網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī).接入層部分網(wǎng)絡(luò)匯聚節(jié)點(diǎn)主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備,同時(shí),將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入, 構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺, 不再重復(fù)建網(wǎng)； 新的網(wǎng)絡(luò)平臺融合了,生產(chǎn)網(wǎng)的數(shù)據(jù)拜訪和外網(wǎng)互聯(lián)的需求,問的功能；使用同一終端即可實(shí)現(xiàn)內(nèi)外網(wǎng)同時(shí)訪接入層設(shè)備與分布層設(shè)備通過 1000M光纖或雙絞線的方式連接, 在用戶量較少的分節(jié)點(diǎn)可以采納 100M 上聯(lián)方式,與各終端用戶連接一般采納 100M 或者1000M雙絞線的方式；生產(chǎn)網(wǎng)中其他辦公樓及分廠區(qū)的網(wǎng)絡(luò)接入,通過自動化車間和軋鋼總降等匯聚節(jié)點(diǎn),接入到新的數(shù)據(jù)網(wǎng)絡(luò)中；各個(gè)分廠區(qū)的網(wǎng)絡(luò)接入情形如下圖所示：14 / 3

25、114 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案自動化車間 匯聚網(wǎng)絡(luò)拓?fù)鋱D自動化車間匯聚交換機(jī) S6324辦公樓質(zhì)量部技改部鍛造廠科技部人事、財(cái)務(wù)其他匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)S5324S5324S5324S5324S5324S5324S5324辦公樓質(zhì)量部技改部鍛造廠科技部人事、財(cái)務(wù)其他生產(chǎn)網(wǎng)接入生產(chǎn)網(wǎng)接入生產(chǎn)網(wǎng)接入生產(chǎn)網(wǎng)接入生產(chǎn)網(wǎng)接入生產(chǎn)網(wǎng)接入生產(chǎn)網(wǎng)接入寬帶網(wǎng)接入寬帶網(wǎng)接入寬帶網(wǎng)接入寬帶網(wǎng)接入寬帶網(wǎng)接入寬帶網(wǎng)接入寬帶網(wǎng)接入自動化車間匯聚網(wǎng)絡(luò)拓?fù)鋱D軋鋼總降匯聚網(wǎng)絡(luò)拓?fù)鋱D軋鋼總降 匯聚交換機(jī) S6506動力廠原料部其他匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)S532

26、4S5324S5324動力廠原料部其他生產(chǎn)網(wǎng)接入生產(chǎn)網(wǎng)接入生產(chǎn)網(wǎng)接入寬帶網(wǎng)接入寬帶網(wǎng)接入寬帶網(wǎng)接入軋鋼總降匯聚網(wǎng)絡(luò)拓?fù)鋱D15 / 3115 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案4.1.5. 網(wǎng)絡(luò)協(xié)議設(shè)計(jì). IP 地址和 VLAN規(guī)劃IP 地址是網(wǎng)絡(luò)設(shè)計(jì)工作中重要的一環(huán),使用IP 地址不當(dāng)會造成路由表巨大、難以部署安全掌握、地址重疊問題、地址空間耗盡等問題,會給網(wǎng)絡(luò)運(yùn)行帶來很大 麻煩；為了讓 * 網(wǎng)絡(luò)建設(shè)項(xiàng)目順當(dāng)進(jìn)行, 我們建議 * 網(wǎng)絡(luò)采納以下 IP 地址規(guī)劃原就 進(jìn)行適當(dāng)改進(jìn)：1、為公司各個(gè)二級單位、應(yīng)用業(yè)務(wù)、數(shù)據(jù)中心采納統(tǒng)一規(guī)劃,統(tǒng)一安排,統(tǒng)一 治理的地址設(shè)計(jì)原就,防止重疊地址的顯現(xiàn)；設(shè)定特

27、地流程和人員對全公司 網(wǎng)絡(luò)地址進(jìn)行記錄和權(quán)限治理；2、盡可能采納私有地址進(jìn)行IP 地址安排；私有地址就是我們熟知的三類網(wǎng)絡(luò)地址,分別是 A類網(wǎng)中的 55 范疇, B 類網(wǎng)中的55 55 范疇；范疇, C類網(wǎng)中的 3、整網(wǎng)地址規(guī)劃思路可依據(jù)以下方法設(shè)計(jì),如 10.X.Y.Z ,X為不同廠區(qū)進(jìn)行標(biāo)示,Y 為該廠區(qū)內(nèi)不同業(yè)務(wù)或應(yīng)用進(jìn)行標(biāo)示,Z 為主機(jī)地址位；4、同一個(gè)區(qū)域內(nèi)部,使用連續(xù)的IP 子網(wǎng)進(jìn)行 IP 地址安排；例如,廠區(qū)A內(nèi)需要有 4 個(gè) C類網(wǎng)絡(luò),為了滿意地址匯聚需要, 應(yīng)當(dāng)為連續(xù)的 C類網(wǎng)絡(luò)；例如：/24 、/24、/24 和 /24 4個(gè)網(wǎng)絡(luò)可以匯聚成 /22；在定義測試區(qū)安全策略時(shí),

28、不用將 4 個(gè)網(wǎng)段同時(shí)定義成 ACL,使用一條 ACL就可以包括全部網(wǎng)絡(luò)；5、使用可變長掩碼規(guī)劃網(wǎng)絡(luò)地址,依據(jù)IP 地址使用對象的特點(diǎn),部署不同長度子網(wǎng)掩碼；例如,應(yīng)用網(wǎng)段的 IP 地址,可以采納 C類網(wǎng)地址,掩碼為 24位；區(qū)域設(shè)備之間的互連地址可以采納 29 位掩碼；6、不同主機(jī)實(shí)際網(wǎng)關(guān)IP 地址與 HSRP使用的 IP 地址應(yīng)當(dāng)在整個(gè)數(shù)據(jù)中心統(tǒng)一,使用相同的方式配置, 例如：整個(gè)廠區(qū)均采納 X.X.X.1 作為主機(jī)實(shí)際網(wǎng)關(guān) IP 地址, HSRP采納 X.X.X.254 為 HSRP網(wǎng)關(guān)地址；7、網(wǎng)絡(luò)互連地址采納IP 地址網(wǎng)段的頭兩個(gè)可用地址,核心側(cè)設(shè)備接口配置奇數(shù)地址,邊緣側(cè)設(shè)備接口配

29、置偶數(shù)地址；例如,設(shè)備 A 與設(shè)備 B 互連,采納16 / 3116 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案/29 網(wǎng)段為互連地址,該網(wǎng)段頭兩個(gè)可用地址為 和 ,設(shè)備 A 為核心設(shè)備,配置奇數(shù)地址 ,設(shè)備 B為邊緣設(shè)備,配置偶數(shù)地址 ；8、網(wǎng)絡(luò)設(shè)備配置環(huán)回地址（32 位掩碼地址）,用于網(wǎng)絡(luò)治理和日志治理；VLAN主要用于將局域網(wǎng)環(huán)境劃分為多個(gè)規(guī)律網(wǎng)絡(luò),從而降低廣播風(fēng)帶來的影響,也可提高網(wǎng)絡(luò)可治理性和安全性；建議在此次網(wǎng)絡(luò)建設(shè)中可依據(jù)以下原就對新建VLAN及原有 VLAN進(jìn)行適當(dāng)調(diào)整和修改；1、 VLAN ID的規(guī)劃可依據(jù)料用業(yè)務(wù)、工作部門、廠區(qū)位置等方法定義,這里建議依據(jù)原有網(wǎng)絡(luò)規(guī)劃方法進(jìn)行；2、

30、 VLAN ID可以是 2-4096 任意數(shù)字,為了便利標(biāo)示和治理,建議 ID 與 IP 網(wǎng)段地址相關(guān)聯(lián)；如 /24 VLAN10; /24VLAN20; /24VLAN30等；3、 VLAN規(guī)劃防止重復(fù),全網(wǎng) 記錄；. 動態(tài)路由協(xié)議VLAN靜態(tài)手動安排（在根交換機(jī)）,統(tǒng)一治理和對一個(gè)大網(wǎng)絡(luò)來說,挑選一個(gè)合適的路由協(xié)議是特別重要的,不恰當(dāng)?shù)奶暨x有 時(shí)對網(wǎng)絡(luò)是致命的,路由協(xié)議對網(wǎng)絡(luò)的穩(wěn)固高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時(shí)的快速收 斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時(shí)的快速復(fù)原、網(wǎng)絡(luò)的敏捷擴(kuò)展都有很 重要的影響；目前存在的路由協(xié)議有：RIPv1&v2 、OSPF、IGRP、EIGRP、IS-IS 、B

31、GP等,根 據(jù) 路 由 算 法 的 性 質(zhì) , 它 們 可 分 為 兩 類 ： 距 離 矢 量 DistanceVector 協(xié) 議RIP/IGRP/EIGRP 和連接狀態(tài) LinkState 可用于大規(guī)模的網(wǎng)絡(luò)同時(shí)又基于標(biāo)準(zhǔn)的協(xié)議OSPF/IS-IS ；IGP 的路由協(xié)議有 OSPF和 IS-IS ；兩種路由協(xié)議均是基于鏈路狀態(tài)運(yùn)算的最短路徑路由協(xié)議；采納同一種最短路徑算法（Dijkstra）； 考慮到產(chǎn)品對 OSPF和 IS-IS 的支持的成熟性以及 OSPF和 IS-IS 工程體會,建議采納 OSPF做為 * 網(wǎng)絡(luò)的主用動態(tài)路由協(xié)議；作為鏈路狀態(tài)協(xié)議, OSPF的特點(diǎn)如下：17 / 31

32、17 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案通過愛護(hù)一個(gè)鏈路狀態(tài)數(shù)據(jù)庫,使用基于Dijkstra的 SPF路由算法；使用 Hello 包來建立和愛護(hù)路由器之間的鄰接關(guān)系；使用域（ area）來建立兩個(gè)層次的網(wǎng)絡(luò)拓?fù)?；具有域間路由聚合的才能；無類（ classless ）協(xié)議；通過選舉指派路由器（ Designed Router ）來代替網(wǎng)絡(luò)廣播；具有認(rèn)證的才能；OSPF是一套鏈路狀態(tài)路由協(xié)議,路由挑選的變化基于網(wǎng)絡(luò)中路由器物理連接的 狀態(tài)與速度,變化被立刻廣播到網(wǎng)絡(luò)中的每一個(gè)路由器；每個(gè)路由器運(yùn)算到網(wǎng)絡(luò)的 每一目標(biāo)的一條路徑,創(chuàng)建以它為根的路由拓?fù)浣Y(jié)構(gòu)樹,其中包含了形成路由表基 礎(chǔ)的最短路徑優(yōu)先樹

33、（ SPF樹）；下圖是 OSPF分 Area 的狀態(tài)； OSPF Area的分界處在路由器上,如下列圖,一 些接口在一個(gè) Area 內(nèi),一些接口在其它 Area 內(nèi),當(dāng)一個(gè) OSPF路由器的接口分布在多個(gè) Area 內(nèi)時(shí),這個(gè)路由器就被稱為邊界路由器（ABR）；每個(gè)路由器僅與它們自己區(qū)域內(nèi)的其它路由器交換LSA；Area0 被作為主干區(qū)域, 全部區(qū)域必需與Area0 相鄰接；在 ABR（區(qū)域邊界路由器, Area Border Router）上定義了兩個(gè)區(qū)域之間的邊界； ABR與 Area0 和另一個(gè)非主干區(qū)域至少分別有一個(gè)接口；OSPF答應(yīng)自治系統(tǒng)中的路由依據(jù)虛擬拓?fù)浣Y(jié)構(gòu)配置,而不需要依據(jù)物

34、理互連結(jié)18 / 3118 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案構(gòu)配置；不同區(qū)域可以利用虛擬鏈路連接；答應(yīng)在無 IP 情形下,使用點(diǎn)到點(diǎn)鏈路,節(jié)約 IP 空間；OSPF是一個(gè)高效而復(fù)雜的協(xié)議,路由器運(yùn)行OSPF需要占用更多 CPU資源；下面從層次才能、穩(wěn)固性、擴(kuò)展性和可治理性四個(gè)方面對 OSPF進(jìn)行介紹：. 層次才能通過 areas 支持層次化邊界在 router 內(nèi)鏈路狀態(tài)數(shù)據(jù)庫（ LSDB）來自網(wǎng)絡(luò)或路由器 鏈路的限制穩(wěn)固性 依靠路由設(shè)計(jì)和實(shí)現(xiàn) 大型網(wǎng)絡(luò)中使用出現(xiàn)增強(qiáng)的趨勢 . 擴(kuò)展性 使用擴(kuò)展 TLV 編碼策略 新擴(kuò)展需開發(fā)時(shí)間 . 治理性 企業(yè)網(wǎng)中大范疇使用 可借鑒體會較多LSA 尺寸

35、64 KB to 5000 條此次網(wǎng)絡(luò)建設(shè)項(xiàng)目, 我們建議在各個(gè)區(qū)域之間開頭部署 OSPF動態(tài)路由協(xié)議； 因?yàn)榻尤虢粨Q機(jī)多數(shù)為二層交換機(jī),無法一次實(shí)現(xiàn)路由到用戶邊界的改造,所以此次僅將各個(gè)區(qū)域的核心交換開啟路由進(jìn)程,今后可逐步實(shí)現(xiàn)全網(wǎng)的路由建設(shè)；各個(gè)區(qū)域在本次設(shè)計(jì)中都部署高性能三層交換機(jī),這些交換機(jī)需具備完整的路由支持功能；區(qū)域間核心設(shè)備組建 OSPF協(xié)議的骨干 area,將來在大范疇部署動態(tài)路由協(xié)議時(shí),可考慮將各個(gè)廠區(qū)劃分為 area1,area2 等等,可以充分做到基于 area 的路由匯總和掌握；19 / 3119 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案數(shù)據(jù)中心區(qū)OSPFSi網(wǎng)絡(luò)核心區(qū)SiA

36、REA 0OSPF OSPF OSPF AREA 2AREA NAREA 1樓層接入樓層接入樓層接入A廠區(qū)B廠區(qū)N廠區(qū)互聯(lián)網(wǎng)區(qū)域可依據(jù)需要,適當(dāng)采納靜態(tài)路由的方式完成園區(qū)網(wǎng)與外網(wǎng)的連通；將來可逐步增加路由的范疇,逐步演化為路由到用戶邊界的形式；20 / 3120 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案4.1.6. 設(shè)備選型建議.華為產(chǎn)品選型方案配置描述數(shù)量備注選型建議產(chǎn)品類型背板帶寬： 32Tbps；包轉(zhuǎn)發(fā)率： 9600Mpps；8 個(gè)業(yè)務(wù)核心交換機(jī)華為 S12808 槽位；支持基于Layer2 、Layer3 、Layer4 優(yōu)先級等2 生活區(qū)寬的組合流分類支；電源功率：10800W；背板帶寬：

37、 6Tbps；包轉(zhuǎn)發(fā)率： 1152Mpps；擴(kuò)展模塊：匯聚交換機(jī)1 帶網(wǎng)核心華為 S9306 6 個(gè)業(yè)務(wù)槽位；支持基于Layer2 協(xié)議；安全治理：802.1x 認(rèn)證交換機(jī)2 華為 S6324 24 個(gè) GE SFP/10 GE SFP+ 端口 , 雙電源槽位 , 含 USB 接口, 溝通供電； 轉(zhuǎn)發(fā)性能 :715 M；交換容量 :960 G；20 個(gè) 10/100/1000Base-T,4 個(gè)千兆 Combo口分溝通.14 備注華為 S5324 供電和直流供電兩種機(jī)型, 支持 RPS 12V 冗余電源,支持 USB口, 交換容量48G 華三產(chǎn)品選型方案數(shù)量產(chǎn)品類型選型建議配置描述核心交換機(jī)H

38、3C S12508 機(jī)箱,主控板,8 端口萬兆光口板,48 端口千兆電2 生活區(qū)寬口板,流量分析業(yè)務(wù)板,冗余電源H3C S10508 機(jī)箱,主控引擎,48 口千兆電口板,48 口千兆光口匯聚交換機(jī)1 帶網(wǎng)核心板, 4 端口萬兆光口板,防火墻業(yè)務(wù)板,冗余電源交換機(jī)H3C S7506E 機(jī)箱,雙Salience VI引擎, 2*24 口千兆電口板,2 12 口千兆光口板,冗余電源H3C S5500 H3C S5500-52C-EI-以太網(wǎng)交換機(jī)主機(jī)48GE+4SFP 14 Combo+2Slots ,4 個(gè)單模 SFP模塊21 / 3121 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案4.2. 安全系統(tǒng)4.

39、2.1. 系統(tǒng)設(shè)計(jì)目標(biāo)本次 * 網(wǎng)絡(luò)改造項(xiàng)目建設(shè)目標(biāo)是通過建立完善的安全體系,在網(wǎng)絡(luò)安全,主機(jī) 安全和應(yīng)用安全三個(gè)層面上,搭建一套立體的安全架構(gòu)；這樣可以實(shí)現(xiàn)抵擋各個(gè)層 面的攻擊,防止病毒入侵等功能；同時(shí)進(jìn)行主機(jī)的風(fēng)險(xiǎn)評估和安全加固服務(wù),提前 屏蔽漏洞風(fēng)險(xiǎn)；并通過安全治理平臺實(shí)現(xiàn)安全審計(jì)功能,做到大事追蹤；4.2.2. 系統(tǒng)設(shè)計(jì)原就. 整體性原就建設(shè) * 安全系統(tǒng)時(shí)應(yīng)充分考慮各個(gè)層面的因素,總體規(guī)劃各個(gè)出入口網(wǎng)關(guān)的安 全策略；本次 * 網(wǎng)絡(luò)改造項(xiàng)目充分考慮各個(gè)環(huán)節(jié),包括設(shè)備、軟件、數(shù)據(jù)等,它們 在網(wǎng)絡(luò)安全設(shè)計(jì)中是特別重要的；只有從系統(tǒng)整體的角度去看待和分析才可能得到 有效,可行的措施；. 適應(yīng)

40、性及敏捷性原就隨著互聯(lián)網(wǎng)技術(shù)的高速進(jìn)展,對網(wǎng)絡(luò)安全策略的需求會不斷變化,所以本次部 署的安全策略必需能夠隨著網(wǎng)絡(luò)等系統(tǒng)性能及安全需求的變化而變化,要做到簡潔 適應(yīng)、簡潔修改；. 一樣性原就一樣性原就只要指安全策略的部署應(yīng)與其他系統(tǒng)的實(shí)施工作同時(shí)進(jìn)行,方案的 整體安全架構(gòu)要與網(wǎng)絡(luò)平臺結(jié)構(gòu)相結(jié)合；安全系統(tǒng)的設(shè)計(jì)思想應(yīng)當(dāng)貫穿在整個(gè)網(wǎng)絡(luò) 平臺設(shè)計(jì)中,表達(dá)整體平臺的一樣安全性；22 / 3122 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案. 需求、風(fēng)險(xiǎn)、代價(jià)平穩(wěn)的原就對網(wǎng)絡(luò)要進(jìn)行實(shí)際的討論（包括任務(wù)、性能、結(jié)構(gòu)、牢靠性、可愛護(hù)性等）,并對網(wǎng)絡(luò)面臨的威逼及可能承擔(dān)的風(fēng)險(xiǎn)以及付出的代價(jià)進(jìn)行定性與定量相結(jié)合的分析,然

41、后制定規(guī)范和措施,確定系統(tǒng)的安全策略；. 易操作性原就安全措施需要人去完成,假如措施過于復(fù)雜,對人的要求過高,本身就降低了安全性；同時(shí)措施的采納不能影響系統(tǒng)的正常運(yùn)行；. 多重愛護(hù)原就本次 * 安全系統(tǒng)要建立一個(gè)多重愛護(hù)系統(tǒng),各層愛護(hù)相互補(bǔ)充,當(dāng)一層愛護(hù)被攻破時(shí),其它層愛護(hù)仍可愛護(hù)信息的安全；. 經(jīng)濟(jì)性原就在滿意 * 系統(tǒng)安全需求的前提下, 選用經(jīng)濟(jì)有用的軟硬件設(shè)備, 以便節(jié)約投資,即選用高性能價(jià)格比的設(shè)備； 同時(shí),應(yīng)當(dāng)充分挖掘現(xiàn)有系統(tǒng)軟硬件設(shè)備的使用潛力,盡可能以最低成原來完成安全系統(tǒng)建設(shè)；4.2.3. 安全體系結(jié)構(gòu)* 網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分示意圖如下：23 / 3123 / 31 企業(yè)網(wǎng)絡(luò)改

42、造項(xiàng)目規(guī)劃方案Internet移動出口區(qū)域舞鋼網(wǎng)絡(luò)安全區(qū)域劃分圖安全級別低聯(lián)通 中心服務(wù)器集群安全級別最高人事原料OA產(chǎn)銷選購DMZ 區(qū)域WWW安全級別中DNSMAIL防火墻 1核心交換機(jī) 1質(zhì)量設(shè)備 治理安全MES治理防火墻 2核心交換機(jī) 2能源網(wǎng)華為 S12808華為 S12808遠(yuǎn)程計(jì)量網(wǎng)治理網(wǎng)區(qū)域 安全級別高 原生產(chǎn)網(wǎng) 核心交換機(jī) 華為 S8512一煉一軋二煉二軋自動化車間銷售部軋鋼總降匯聚交換機(jī)匯聚交換機(jī) S5324匯聚交換機(jī)匯聚交換機(jī) S5624匯聚交換機(jī)匯聚交換機(jī)匯聚交換機(jī)S5624S5624S6324S5324S6506一煉接入網(wǎng)自動化車間接入網(wǎng)一軋接入網(wǎng)二煉接入網(wǎng)二軋接入網(wǎng)銷

43、售部接入網(wǎng)軋鋼總降接入網(wǎng)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī) 寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)寬帶網(wǎng)接入交換機(jī)* 網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分如上圖所示, * 網(wǎng)絡(luò)系統(tǒng)劃分為多個(gè)安全區(qū)域,分別為：出口區(qū)域、DMZ區(qū)域、治理網(wǎng)接入?yún)^(qū)域、中心服務(wù)器區(qū)域和核心交換區(qū)；其中,出口區(qū)域和 DMZ區(qū)域設(shè)備可拜訪 Internet,部分設(shè)備也可由 Internet 拜訪,但均不行由公網(wǎng)直接路由到,安全級別為中；治理網(wǎng)接入求負(fù)責(zé)公司二級接入網(wǎng)絡(luò)同中心服務(wù)器及出口區(qū)域的數(shù)據(jù)交互,安

44、全級別為高；中心服務(wù)器區(qū)域設(shè)備為* 核心數(shù)據(jù),在公網(wǎng)不行以拜訪,內(nèi)網(wǎng)用戶只能經(jīng)授權(quán)后拜訪特定服務(wù),安全級別最高；24 / 3124 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案接入層安全級別示意圖匯聚交換機(jī)接入交換機(jī)接入交換機(jī)接入交換機(jī)接入交換機(jī)PCPCInternet接入終端PCPC安全級別低安全隔離治理網(wǎng)（ MES 、OA ）PCPC安全級別高PCPC接入終端的接入層的安全級別如上圖所示：治理網(wǎng)中,可以上外網(wǎng)的Internet安全級別低；只能拜訪治理網(wǎng)業(yè)務(wù)系統(tǒng)的接入終端,安全級別較高；4.2.4.子系統(tǒng)規(guī)劃Internet與* 內(nèi)網(wǎng)的隔離；兩臺防火墻一主.網(wǎng)絡(luò)隔離系統(tǒng)1.出口防火墻通過部署兩臺千兆出

45、口防火墻實(shí)現(xiàn)一備,提高出口牢靠性；出口防火墻劃分的內(nèi)外網(wǎng)之間的拜訪策略為：內(nèi)網(wǎng)到公網(wǎng)基本不做限制,主要是考慮到內(nèi)網(wǎng)的上網(wǎng)終端上網(wǎng)需求,另有些設(shè)備需要到公網(wǎng)升級；公網(wǎng)到備內(nèi)網(wǎng)只針對 DMZ區(qū)域開放相應(yīng)端口（如80）；部署在出口區(qū)域的設(shè)備如有和內(nèi)網(wǎng)核心服務(wù)器通訊的需求,在出口防火墻上對這些需求打開相應(yīng)的 IP 和端口；2. 內(nèi)網(wǎng)防火墻通過內(nèi)網(wǎng)防火墻實(shí)現(xiàn)核心內(nèi)網(wǎng)區(qū)域之間的隔離；由于數(shù)據(jù)流較大,兩臺防火墻采納雙活方式工作,不同業(yè)務(wù)的數(shù)據(jù)流分別通過不同的防火墻,實(shí)現(xiàn)數(shù)據(jù)流的動態(tài)分擔(dān)；實(shí)現(xiàn)安全的同時(shí)兼顧傳輸效率；部署內(nèi)網(wǎng)防火墻后,要針對業(yè)務(wù)的情形制訂特定的拜訪策略,策略制定完成后只開放特定主機(jī)的 IP 與

46、服務(wù)端口,其他拜訪一律禁止；25 / 3125 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案. 入侵檢測系統(tǒng)* 網(wǎng)絡(luò)系統(tǒng)需在網(wǎng)絡(luò)的關(guān)鍵位置部署入侵防備系統(tǒng)（IPS）；建議在網(wǎng)絡(luò)前端核心設(shè)備部署兩臺 IPS 設(shè)備；可監(jiān)控內(nèi)網(wǎng)與公網(wǎng)之間的數(shù)據(jù)交互、公網(wǎng)對 DMZ區(qū)域的拜訪數(shù)據(jù)、監(jiān)控接入 /DMZ區(qū)域終端對核心內(nèi)網(wǎng)的數(shù)據(jù)交互；. 漏洞掃描系統(tǒng)為了防止網(wǎng)站被黑客入侵,需要在網(wǎng)絡(luò)系統(tǒng)中部署漏洞掃描系統(tǒng),通過漏洞掃瞄系統(tǒng)可以定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,發(fā)覺并修正存在的弱點(diǎn)和漏洞；漏洞掃瞄系統(tǒng)是治理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)覺網(wǎng)絡(luò)漏洞并解決問題的有力工具；針對本系統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì),我們將漏洞掃瞄系統(tǒng)部署在核心內(nèi)網(wǎng)治理區(qū)域

47、,使漏洞掃描系統(tǒng)能夠盡量不受限制的對待評估系統(tǒng)進(jìn)行拜訪；漏洞掃描系統(tǒng)部署后,將會對* 的各個(gè)業(yè)務(wù)系統(tǒng)以及安全系統(tǒng)設(shè)備進(jìn)行掃描,依據(jù)掃描評估結(jié)果可以準(zhǔn)時(shí)發(fā)覺系統(tǒng)漏洞并準(zhǔn)時(shí)實(shí)行措施；. 安管平臺系統(tǒng)安全治理審計(jì)工作作為安全體系的重要組成部分,需要部署安全治理平臺系統(tǒng)；其中安全治理平臺服務(wù)器部署在 * 核心內(nèi)網(wǎng)治理區(qū)域,由防火墻供應(yīng)愛護(hù),外網(wǎng)用 戶不答應(yīng)拜訪該服務(wù)器；被管對象和安全治理平臺服務(wù)器有數(shù)據(jù)傳輸,它們之間要 路由可達(dá)；本次安全治理平臺需要治理重要服務(wù)器和全部安全設(shè)備,收集日志后并做出分 析,分出告警級別；也可以通過聲光電或郵件、短信等方式報(bào)警,準(zhǔn)時(shí)提示治理員；. 防病毒系統(tǒng)防病毒系統(tǒng)的建設(shè)

48、第一要依據(jù)本次系統(tǒng)設(shè)計(jì)的總體結(jié)構(gòu),從網(wǎng)絡(luò)中業(yè)務(wù)系統(tǒng)的 模式和主要可能感染病毒的系統(tǒng)和區(qū)域進(jìn)行設(shè)計(jì)和考慮；通過分析 * 網(wǎng)絡(luò)系統(tǒng)的特點(diǎn),可以總結(jié)病毒感染的途徑如下：部分服務(wù)器如 windows 平臺簡潔受到病毒攻擊；26 / 3126 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案公司內(nèi)部員工如有拜訪互聯(lián)網(wǎng)的權(quán)限,就可能感染網(wǎng)絡(luò)病毒, 并通過 HTTP、FTP等流量把病毒和惡意的移動代碼帶入網(wǎng)站；通過 U盤傳播病毒；各種蠕蟲病毒主動地通過網(wǎng)絡(luò)傳播；從以上的分析入手,本系統(tǒng)的病毒防范工作必需從病毒防護(hù)的主體著手,依據(jù) 他們之間的拜訪關(guān)系施加防護(hù)及病毒監(jiān)控；本次方案防病毒系統(tǒng)采納防病毒網(wǎng)關(guān)與網(wǎng)絡(luò)防病毒系統(tǒng)相互結(jié)

49、合的方式,建立 完整的防病毒體系；其中防病毒網(wǎng)關(guān)服務(wù)可集成在出口防火墻上,在內(nèi)網(wǎng)部署網(wǎng)絡(luò) 防病毒系統(tǒng),實(shí)現(xiàn)對系統(tǒng)中的關(guān)鍵服務(wù)器以及內(nèi)部終端進(jìn)行病毒防護(hù),嚴(yán)防病毒感 染關(guān)鍵服務(wù)器以及終端后造成業(yè)務(wù)系統(tǒng)受病毒影響；. 統(tǒng)一用戶 / 身份治理用戶是 IT 系統(tǒng)中各類活動的實(shí)體,如人、組織、虛擬團(tuán)隊(duì)等；用戶治理是指在 IT 系統(tǒng)中對用戶和權(quán)限的掌握,包括了身份治理、用戶授權(quán)、用戶認(rèn)證等,身份管理是基礎(chǔ), 用戶授權(quán)和認(rèn)證是之上的服務(wù)；身份是一個(gè)實(shí)體區(qū)分于其它實(shí)體的特性,IT 系統(tǒng)中的身份通常指一個(gè)人在信息系統(tǒng)中的抽象,也可以是硬件、組織等實(shí)體的 抽象,是屬于一個(gè)特定的實(shí)體的屬性的集合；身份屬性具有一些特

50、點(diǎn)：往往是較短的數(shù)據(jù)元素如名稱、郵件、電話、照片、數(shù)字證書等；身份治理就是產(chǎn)生和愛護(hù)身份屬性的過程,也是治理不同實(shí)體之間關(guān)系的才能；身份治理（ Identity Management）是用戶治理 User Administration 的一部分；統(tǒng)一用戶治理 （UUM）就是對不同的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的用戶認(rèn)證,通過統(tǒng)一的用戶認(rèn)證平臺供應(yīng)一個(gè)單一的用戶登陸入口；用戶在操作系統(tǒng)域登陸時(shí)經(jīng)過統(tǒng)一用戶治理平臺認(rèn)證,就具備了使用相關(guān)應(yīng)用的權(quán)益；同時(shí)統(tǒng)一用戶治理平臺仍供應(yīng)對長時(shí)間無應(yīng)用操作的超時(shí)重認(rèn)證功能,更加牢靠的保證安全；統(tǒng)一用戶治理為用戶供應(yīng)多種登陸手段,包括傳統(tǒng)的口令登陸以及安全性能更高的 CA、U

51、SB Key等,使用戶在使用統(tǒng)一身份認(rèn)證平臺上有更敏捷的挑選；在認(rèn)證手段上,統(tǒng)一用戶治理供應(yīng)支持LDAP/AD協(xié)議的認(rèn)證中心治理,支持多種認(rèn)證中心認(rèn)證,保證用戶信息的安全、牢靠；27 / 3127 / 31 企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案. 單點(diǎn)登錄單點(diǎn)登錄（ SSO,Single Sign-on ）是一種便利用戶拜訪多個(gè)系統(tǒng)的技術(shù),用戶只需在登錄時(shí)進(jìn)行一次注冊,就可以在多個(gè)系統(tǒng)間自由穿梭,不必重復(fù)輸入用戶名和密碼來確定身份；單點(diǎn)登錄的實(shí)質(zhì)就是安全上下文（Security Context）或憑證（Credential ）在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享；當(dāng)用戶登錄系統(tǒng)時(shí),客戶端軟件依據(jù)用戶的憑證（例如用戶名和密碼）為用戶建立一個(gè)安全上下文,安全上下文包含用于驗(yàn)證用戶的安全信息,系統(tǒng)用這個(gè)安全上下文和安全策略來判定用戶是否具有拜訪系統(tǒng)資源的權(quán)限；目前業(yè)界已有許多產(chǎn)品支持 通過 Cookie 記錄認(rèn)證信息,通過SSO,但各家 SSO產(chǎn)品的實(shí)現(xiàn)方式也不盡相同；如 Session 共享認(rèn)證信息； Cookie 是一種客戶端機(jī)制,它儲備的內(nèi)容主要包括：名字、