企業(yè)網(wǎng)絡(luò)建設(shè)整體解決方案

大型企業(yè)網(wǎng)絡(luò)工程解決方案，本方案是一個典型的實(shí)際工程可以依據(jù)需要和可能,參照此方案靈敏應(yīng)用。一、企業(yè)網(wǎng)絡(luò)設(shè)計主干網(wǎng)設(shè)計承受千兆以太網(wǎng)技術(shù)。千兆以太網(wǎng)技術(shù)特點(diǎn)是具有高速數(shù)據(jù)傳輸帶寬,根本能滿足高速傳輸介質(zhì)。千兆傳輸距離500m50/125500m、小5000m9/1252023m50/1252023m9/125交換機(jī)。主干交換機(jī)的根本要求：機(jī)箱式構(gòu)造，便于擴(kuò)展；支持多種網(wǎng)絡(luò)方式，如快速以太網(wǎng)、千兆以太網(wǎng)等；高性能，高背板帶寬及中心交換吞吐量;支持其次、第三交換，支持各種IP/治理模塊、熱插拔；豐富的可治理力氣等。中心機(jī)房配置企業(yè)級交換機(jī)作為網(wǎng)絡(luò)中心交換機(jī).為實(shí)現(xiàn)網(wǎng)絡(luò)動態(tài)治理和虛擬局域網(wǎng)，在中心交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊1000Mbps連接,效勞200Mbps10/1000Mbps樓宇內(nèi)局域網(wǎng)設(shè)計8021Q10/100Mbps10/100Mbps〔3)接入InternetInternet〔DMZ)交換機(jī)、WWWE-mail防火墻、路由器、Internet〔4)虛擬局域網(wǎng)VLAN通過VLAN將一樣業(yè)務(wù)的用戶劃分在一個規(guī)律子網(wǎng)內(nèi)，既可以防止不同業(yè)務(wù)的用戶非法監(jiān)聽保密信息、又可隔離播送風(fēng)暴。不同子網(wǎng)的通信承受三層路由交換完成。各工作組交換機(jī)承受基于端口的VLAN劃分策略,劃分出多個不同的VLAN組，分隔播送域.每個VLAN同樣在千兆/802。1Q協(xié)議,設(shè)置通信干道〔Truck〕，將每VLAN〔5)虛擬專用網(wǎng)VPN假設(shè)公司跨地區(qū)經(jīng)營，自己鋪設(shè)專線不劃算，可以通過InternetVPN術(shù)，構(gòu)成企業(yè)內(nèi)部虛擬專用網(wǎng)?！?〕網(wǎng)絡(luò)拓?fù)錁?gòu)造。這局部待續(xù)二、網(wǎng)絡(luò)安全性設(shè)計網(wǎng)絡(luò)系統(tǒng)的牢靠與安全問題：a。物理信息安全，主要防止物理通路的損壞和對物理通路的攻擊〔干擾等〕。b.鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被GG。主要承受劃分VLAN、加密通信等手段。c。網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的效勞，保證網(wǎng)絡(luò)路由正確，避開被攔截或監(jiān)聽。d。操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問把握的安全,同時能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)展審計.e。應(yīng)用平臺的安全要求保證應(yīng)用軟件效勞,如數(shù)據(jù)庫效勞、電子郵件效勞器、Web效勞器、ERP物理安全機(jī)房要上鎖,出入人員要嚴(yán)加限制。留意不行讓人從天花板、窗戶進(jìn)入房間.機(jī)房電力要充分、制冷要適宜，環(huán)境要清潔。從工作站到配線柜的配線應(yīng)當(dāng)布在偷聽設(shè)備接觸不到的地方或天花板上,而應(yīng)當(dāng)隱蔽在線槽或其他管道里。應(yīng)當(dāng)包括諸如火災(zāi)、水災(zāi)等自然災(zāi)難后的恢復(fù)流程。如美國911世貿(mào)中心倒塌,大多數(shù)公司的數(shù)據(jù)得不到恢復(fù)。防火墻防火墻應(yīng)具治理簡潔、功能先進(jìn)等特點(diǎn)，并且能夠保證對全部系統(tǒng)實(shí)施“防彈”保護(hù)。一個優(yōu)秀的防火墻具有內(nèi)網(wǎng)保護(hù)、靈敏的部署、非軍事區(qū)〔DMZ〕范圍的保護(hù)、TCP狀態(tài)提示、包過濾技術(shù)、TCP/IPVPN〔3)網(wǎng)絡(luò)病毒在網(wǎng)絡(luò)中心主機(jī)安裝一臺網(wǎng)絡(luò)病毒把握中心效勞器，該效勞器既要與Internet相連,又要與企業(yè)內(nèi)網(wǎng)相連。該效勞器通過Internet每每更病毒代碼及相關(guān)文件，企業(yè)內(nèi)部網(wǎng)絡(luò)中的效勞器、客戶時刻處于網(wǎng)絡(luò)病毒把握中心效勞的監(jiān)控下,更本機(jī)的病毒代碼庫及相文件,對計算機(jī)的全部文件和內(nèi)存實(shí)施動態(tài)、實(shí)時、定時等多種病毒防殺策略，以確保網(wǎng)絡(luò)系統(tǒng)安全.網(wǎng)絡(luò)容錯集群技術(shù).一個效勞器集群包含多臺擁有共享數(shù)據(jù)存儲空間的效勞器，各效勞器之間通統(tǒng)內(nèi)任意一臺效勞器都可被全部的網(wǎng)絡(luò)用戶所使用。安全備份與災(zāi)難恢復(fù)企業(yè)信息治理最重要的資產(chǎn)不是網(wǎng)絡(luò)硬件，而是網(wǎng)絡(luò)運(yùn)行的數(shù)據(jù).抱負(fù)的備份系統(tǒng)是在軟件備份的根底上增加硬件容錯系統(tǒng)，使網(wǎng)絡(luò)更加安全牢靠.實(shí)際上，備份不僅僅是文件備份,而是整個網(wǎng)絡(luò)的一套備份體系。備份應(yīng)包括文件備份和恢復(fù)，數(shù)據(jù)庫備份和恢復(fù)、系統(tǒng)災(zāi)難恢復(fù)和備份任務(wù)治理。網(wǎng)絡(luò)入侵檢測、報警、審計技術(shù)入侵檢測系統(tǒng)(IDS-IntrusinDetectionSystem〕執(zhí)行的主要任務(wù)包括:監(jiān)視、分析用戶及系統(tǒng)活動；審計系統(tǒng)構(gòu)造和弱點(diǎn)；識別、反映進(jìn)攻的活動模式,向相關(guān)人士報警;別用戶違反安全策略的行為.IDSISSRealSecure、CAeTrust、SymantecNetProwler、啟明星辰公司的天闐、上海金諾的網(wǎng)安、東軟的網(wǎng)眼等.局域網(wǎng)信息的安全保護(hù)技術(shù)91承受多層交換網(wǎng)絡(luò)的虛擬網(wǎng)劃分技術(shù)，防止在內(nèi)部網(wǎng)監(jiān)聽數(shù)據(jù)承受NTFS承受WindowsSAN(StorageAreaNetwork〕NAS〔NetworkAttachedStorage網(wǎng)絡(luò)連接存儲〕保護(hù)數(shù)據(jù)。SAN技術(shù)允許將獨(dú)立的存儲設(shè)備連接至一臺或多臺效勞器，專用于效勞器，而效勞器則把握了網(wǎng)絡(luò)其他局部對它的訪問。NAS將存儲設(shè)備直接連接至網(wǎng)絡(luò)，使網(wǎng)絡(luò)中的用戶和網(wǎng)絡(luò)效勞器可以共享此設(shè)備,網(wǎng)絡(luò)對存儲設(shè)備的訪問則由文件治理器這一類設(shè)備進(jìn)展治理。SANNAS存放治理全公司桌面系統(tǒng)數(shù)據(jù).網(wǎng)絡(luò)代理ProxyInternet的網(wǎng)址、訪問的協(xié)議等等，同時對用戶的訪問進(jìn)展審計。(9)郵件過濾技術(shù)。(IP、域名)”等信息過濾，防止非法信息的侵入?！?0)重視網(wǎng)絡(luò)安全的教育,提高安全意識.三、綜合布線與機(jī)房設(shè)計1.把效勞器、UPS、防火墻、路由器及中心交換機(jī)放置在中心機(jī)房,把各子系統(tǒng)的配線柜設(shè)置在各子系統(tǒng)所在的樓層。2。樓宇間光纜敷設(shè)4樓宇內(nèi)UTPAMPUTPAMPAMPAMPUTP跳線實(shí)現(xiàn)垂直系統(tǒng)、水平子系統(tǒng)、工作區(qū)的布線.機(jī)房裝修〔1)地板.鋪設(shè)抗靜電三防地板，規(guī)格 600＊600*27,板面標(biāo)高0.20m,地板應(yīng)符合GB6650—82《計算機(jī)機(jī)房用活動地板技術(shù)條件》吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面.墻面。涂刮防防瓷、墻壁面刷乳膠漆。(4)窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾.(5〕出入門。安裝鋁合金玻璃隔斷推拉門.〔6)照明.承受高效格柵雙管日光燈嵌入安裝。(7)配電。機(jī)房配電承受三相五線制,多種電源〔動力三相380V、一般220VUPS220V)配電箱。為UPSPVC管.1Ω、工作保護(hù)地和防雷地接地電阻小于4Ω.為保證優(yōu)良的接地性能,承受JD-1型接地和化學(xué)降阻劑,此外,考慮機(jī)房抗靜電的需求,對抗靜電活動地板進(jìn)展牢靠的接地處理,以保證設(shè)備和工作人員的安全要求.3P1。5UPS承受分散保護(hù)，集中治理電源的策略，考慮APC公司供給的電源解決方案。四、企業(yè)網(wǎng)應(yīng)用系統(tǒng)1.應(yīng)用效勞器.IBMPCPC換代。2。軟件平臺.承受Windows2023(主要使用DomainDNSRedhat9.0Solaris9.0(unix/linux上運(yùn)行Oracle數(shù)據(jù)庫,SAP/R3系統(tǒng)，基于LotusDomino/NotesOA〕3。數(shù)據(jù)庫系統(tǒng)。承受OracleSQLServer20234OALotusDomino/Notes的OALotusDomino集成Email/等效勞.5.企業(yè)治理綜合軟件ERP.承受SAP/R3ERP-U86。網(wǎng)絡(luò)存儲系統(tǒng).五、網(wǎng)絡(luò)系統(tǒng)治理1.交換機(jī)、路由器治理.設(shè)備均是Cisco產(chǎn)品，使用CiscoWorks2023.2。網(wǎng)絡(luò)綜合治理。HPOpenView集成網(wǎng)絡(luò)治理和系統(tǒng)治理.OpenView實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)作從被動無序到主動把握的過渡，使IT部門準(zhǔn)時了解整個網(wǎng)絡(luò)當(dāng)前的真實(shí)狀況，實(shí)現(xiàn)主動把握。OpenView系統(tǒng)產(chǎn)品包括了統(tǒng)一治理平臺、全面的效勞和資產(chǎn)治理、網(wǎng)絡(luò)安全、效勞質(zhì)量保障、故障自動監(jiān)測和處理、設(shè)備搜尋、網(wǎng)絡(luò)存儲、智能代理、Internet環(huán)境的開放式效勞等豐富的功能特性。3。桌面系統(tǒng)治理.LanDesk工作站配置和治理工具，利用它的遠(yuǎn)程把握、遠(yuǎn)程軟件分發(fā)和軟件計量功能可以節(jié)約大量的時間。本方案是一個典型的大型企業(yè)網(wǎng)絡(luò)工程解決方案,實(shí)際工程可以依據(jù)需要和可能,參照此方案靈敏應(yīng)用。一、企業(yè)網(wǎng)絡(luò)設(shè)計主干網(wǎng)設(shè)計承受千兆以太網(wǎng)技術(shù)。千兆以太網(wǎng)技術(shù)特點(diǎn)是具有高速數(shù)據(jù)傳輸帶寬,根本能滿足高速500m50/125500m、5000m9/1252023m50/1252023m9/125交換機(jī).主干交換機(jī)的根本要求:機(jī)箱式構(gòu)造，便于擴(kuò)展；支持多種網(wǎng)絡(luò)方式,如快速以太網(wǎng)、千兆以太網(wǎng)等；高性能，高背板帶寬及中心交換吞吐量；支持其次、第三交換，支持IP/治理模塊、熱插拔；豐富的可治理力氣等。中心機(jī)房配置企業(yè)級交換機(jī)作為網(wǎng)絡(luò)中心交換機(jī).為實(shí)現(xiàn)網(wǎng)絡(luò)動態(tài)治理和虛擬局域網(wǎng),在中心交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊1000Mbps連接,效勞200Mbps10/1000Mbps樓宇內(nèi)局域網(wǎng)設(shè)計802.1Q10/100Mbps10/100Mbps(3〕接入InternetInternet〔DMZWWWE—mail防火墻、路由器、Internet虛擬局域網(wǎng)VLAN通過VLAN將一樣業(yè)務(wù)的用戶劃分在一個規(guī)律子網(wǎng)內(nèi)，既可以防止不同業(yè)務(wù)的用戶非法監(jiān)聽保密信息、又可隔離播送風(fēng)暴.不同子網(wǎng)的通信承受三層路由交換完成。各工作組交換機(jī)承受基于端口的VLANVLAN域。每個VLAN同樣在千兆/802。1Q協(xié)議，設(shè)置通信干道〔Truck)，將每VLAN虛擬專用網(wǎng)VPN假設(shè)公司跨地區(qū)經(jīng)營，自己鋪設(shè)專線不劃算，可以通過InternetVPN術(shù),構(gòu)成企業(yè)內(nèi)部虛擬專用網(wǎng)。網(wǎng)絡(luò)拓?fù)錁?gòu)造。這局部待續(xù)二、網(wǎng)絡(luò)安全性設(shè)計網(wǎng)絡(luò)系統(tǒng)的牢靠與安全問題：a.物理信息安全，主要防止物理通路的損壞和對物理通路的攻擊〔干擾等〕。b。鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被GGVLAN、加密通信等手段.c。網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的效勞,保證網(wǎng)絡(luò)路由正確，避開被攔截或監(jiān)聽。d統(tǒng)上的應(yīng)用進(jìn)展審計。eWeb器、ERP〔1)物理安全機(jī)房要上鎖，出入人員要嚴(yán)加限制。留意不行讓人從天花板、窗戶進(jìn)入房間。機(jī)房電力要充分、制冷要適宜,環(huán)境要清潔。從工作站到配線柜的配線應(yīng)當(dāng)布在偷聽設(shè)備接觸不到的地方或天花板上，而應(yīng)當(dāng)隱蔽在線槽或其他管道里.應(yīng)當(dāng)包括諸如火災(zāi)、水災(zāi)等自然災(zāi)難后的恢復(fù)流程.如美國911世貿(mào)中心倒塌，大多數(shù)公司的數(shù)據(jù)得不到恢復(fù)?！?)防火墻防火墻應(yīng)具治理簡潔、功能先進(jìn)等特點(diǎn)，并且能夠保證對全部系統(tǒng)實(shí)施“防彈”保護(hù)。一個優(yōu)秀的防火墻具有內(nèi)網(wǎng)保護(hù)、靈敏的部署、非軍事區(qū)〔DMZ〕范圍的保護(hù)、TCP狀態(tài)提示、包過濾技術(shù)、TCP/IPVPN〔3)網(wǎng)絡(luò)病毒在網(wǎng)絡(luò)中心主機(jī)安裝一臺網(wǎng)絡(luò)病毒把握中心效勞器,該效勞器既要與Internet相連,又要與企業(yè)內(nèi)網(wǎng)相連。該效勞器通過Internet每每更病毒代碼及相關(guān)文件，企業(yè)內(nèi)部網(wǎng)絡(luò)中對計算機(jī)的全部文件和內(nèi)存實(shí)施動態(tài)、實(shí)時、定時等多種病毒防殺策略,以確保網(wǎng)絡(luò)系統(tǒng)安全?！?〕網(wǎng)絡(luò)容錯集群技術(shù)。一個效勞器集群包含多臺擁有共享數(shù)據(jù)存儲空間的效勞器,各效勞器之間通統(tǒng)內(nèi)任意一臺效勞器都可被全部的網(wǎng)絡(luò)用戶所使用。(5〕安全備份與災(zāi)難恢復(fù)企業(yè)信息治理最重要的資產(chǎn)不是網(wǎng)絡(luò)硬件，而是網(wǎng)絡(luò)運(yùn)行的數(shù)據(jù).抱負(fù)的備份系統(tǒng)是在軟件備份的根底上增加硬件容錯系統(tǒng),使網(wǎng)絡(luò)更加安全牢靠.實(shí)際上,備份不僅僅是文件備份，而是整個網(wǎng)絡(luò)的一套備份體系。備份應(yīng)包括文件備份和恢復(fù),數(shù)據(jù)庫備份和恢復(fù)、系統(tǒng)災(zāi)難恢復(fù)和備份任務(wù)治理?！?)網(wǎng)絡(luò)入侵檢測、報警、審計技術(shù)入侵檢測系統(tǒng)(IDS-IntrusinDetectionSystem)執(zhí)行的主要任務(wù)包括:監(jiān)視、分析用戶及系統(tǒng)活動；審計系統(tǒng)構(gòu)造和弱點(diǎn)；識別、反映進(jìn)攻的活動模式，向相關(guān)人士報警；統(tǒng)計分析特別行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計、跟蹤治理操作系統(tǒng),識別用戶違反安全策略的行為。IDSISSRealSecure、CAeTrust、SymantecNetProwler、啟明星辰公司的天闐、上海金諾的網(wǎng)安、東軟的網(wǎng)眼等?！?)局域網(wǎng)信息的安全保護(hù)技術(shù)91承受多層交換網(wǎng)絡(luò)的虛擬網(wǎng)劃分技術(shù)，防止在內(nèi)部網(wǎng)監(jiān)聽數(shù)據(jù)承受NTFS承受Windows承受SAN〔StorageAreaNetwork存儲區(qū)域網(wǎng)絡(luò)〕與NAS〔NetworkAttachedStorage網(wǎng)絡(luò)連接存儲〕保護(hù)數(shù)據(jù)。SAN技術(shù)允許將獨(dú)立的存儲設(shè)備連接至一臺或多臺效勞器,專用于效勞器，而效勞器則把握了網(wǎng)絡(luò)其他局部對它的訪問。NAS將存儲設(shè)備直接連接至網(wǎng)絡(luò)，使網(wǎng)絡(luò)中的用戶和網(wǎng)絡(luò)效勞器可以共享此設(shè)備，網(wǎng)絡(luò)對存儲設(shè)備的訪問則由文件治理器這一類設(shè)備進(jìn)展治理。SANNAS存放治理全公司桌面系統(tǒng)數(shù)據(jù).〔8〕網(wǎng)絡(luò)代理ProxyInternet的網(wǎng)址、訪問的協(xié)議等等，同時對用戶的訪問進(jìn)展審計?！?)郵件過濾技術(shù)。承受具有過濾技術(shù)郵件治理系統(tǒng),一般是針對“主題詞”、“關(guān)鍵字”、“地址〔IP、域名)”等信息過濾,防止非法信息的侵入.〔10)重視網(wǎng)絡(luò)安全的教育,提高安全意識。三、綜合布線與機(jī)房設(shè)計1.把效勞器、UPS、防火墻、路由器及中心交換機(jī)放置在中心機(jī)房，把各子系統(tǒng)的配線柜設(shè)置在各子系統(tǒng)所在的樓層。2。樓宇間光纜敷設(shè)43。樓宇內(nèi)UTPAMPUTPAMPAMPAMPUTP跳線實(shí)現(xiàn)垂直系統(tǒng)、水平子系統(tǒng)、工作區(qū)的布線。4。機(jī)房裝修〔1〕地板。鋪設(shè)抗靜電三防地板,規(guī)格600＊600*27，板面標(biāo)高0.20m，地板應(yīng)符合GB6650—82《計算機(jī)機(jī)房用活動地板技術(shù)條件》(2〕吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面.(3〕墻面.涂刮防防瓷、墻壁面刷乳膠漆.〔4)窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾.(5〕出入門。安裝鋁合金玻璃隔斷推拉門。(6〕照明。承受高效格柵雙管日光燈嵌入安裝。(7)配電。機(jī)房配電承受三相五線制,多種電源〔動力三相380V、一般220VUPS220V