网络信息化建方案阐述.docx

网络信息化建方案阐述 1、网络建设 考虑企业网络为核心的生产管理系统，网络整体业务稳定运行的关键。为保证管理维护的简单，网络接入设备选择一台H3C MSR2020路由器作为网络接入设备，来保证企业对互联网及总部与分公司联络需求。 主干网络，从拓扑上来看，我们选择2台H3C55核心交换机做堆叠技术处理为主干交换机使用，这里之所以使用了两台主交换机是考虑到企业网络的稳定性要求并且介入层交换机全部采用双链路上联的方式对网络不间断运行的要求提供有力保障。通过两台交换机构成的本地主干网，我们可以提供很好的冗余功能，交换机之间的采用堆叠技术进行绑定，防止因一台交换机的故障造成整个网络的瘫痪。并且根据不同的业务需求，划分出不同的VLAN子网，VLAN表见下面章节。 局域网交换设备的配置，局域网络规模较大，网络应用复杂。现在采用千兆以太网技术对网络总体结构进行建设。在网络中通过按部门或业务划分VLAN技术，把网络划分成若干个子网络，就减少了网络广播的范围、地址冲突的机会，极大地提高了网络性能。 接入交换机我们选择H3C 51交换机，它为更多办公人员提供了更多的网络接入点，每一台二级交换机都与主干交换机相连，为了提供冗余的功能，每台二级交换机要分别与两台主干交换机相连，实现本地千兆上联，并配合交换机Spanning Tree技术，使网络系统具有链路冗余的能力,Spanning Tree技术我们在后面详细叙述。 2、网络可靠性设计 系统的安全运行，对信息网网络的可靠性提出了很高的要求。可以说一旦网络/服务器等中断，将会使整个网络陷于瘫痪，引起严重的后果。因此在网络实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性由两个大部分组成，即承载网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成，在其它系统建议中说明；承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性。 组网结构可靠性设计 贵公司系统网的主节点采用两台核心设备，互为主备，保证了网络的可靠性。 设备可靠性设计 要保网络的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到准电信的可靠运行。 网络的设备级可靠性主要从设备自身可靠性，设备间热备份两个方面考虑： 网络关键设备具有电信级可靠性 网络中的关键设备，如各骨干网接入路由器等，具备电信级可靠性 可靠性指标达到99.999%。 网络核心设备采用全分布式体系结构，路由与转发分离。 所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。 网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。 网络核心设备支持软件在线升级，升级过程中业务不中断。 网络核心设备支持软件热补丁，打补丁过程中主控板和接板都不需要重启动，业务不中断。 网络级可靠性设计 星型的网络拓扑 网络实际上采用的是星型拓扑，全局来看是本地为为核心。 充分利用带宽和设备资源的同时，所有关键路径均有备份路由 业务级可靠性设计建议 对于IP网络，流量分布是不均衡的，特别是突发流量会引起网络的拥塞，由于很多业务都对网络拥塞敏感，如一些基于TCP的业务，严重的网络拥塞将导致业务的中断，所以需要使用流量管理技术使网络流量均衡，提高网络的利用率，进而对控制网络拥塞情况的发生。业务可靠性还体现在不同业务流相互隔离，互不影响。 3、网络安全性设计 建成后的网络，办公人员每分每秒都在用，因此网上系统用户占有率极速提升，因此交换系统的稳定变得尤为重要；但是，设计人员办公电脑的接入风险也是最高的，不同的网上用户可通过现有的入侵工具可对系统进行不同形式的攻击破坏；因此我们部署了一台H3C防火墙进行对外来攻击的阻拦及内部局域网的防护，我们不排除许多攻击及病毒是来自我们客户机或办公人员机器，因此我们采用了双向的策略进行控制，对外部用户来说，他所能访问的只有我们所提供的服务，如VPN的接入等；那么内部用户除了可以正常访问【^。^。外，只允许使用常见的应用服务，如HTTP、FTP、telnet等服务；常见的BT、P2P、电驴等我们会做严格的限制 在整个网络的安全控制上，我们采用VLAN技术划分不同的子网来控制因网络风暴所引起的对设备的压力；利用ACL技术来控制不同子网之间的访问； 4、网络IP规划设计 建设后的网络分为核心业务网、办公财务网、人力资源网、客户办公网、服务器存储网、机房管理网，6个网络.并且6个网络之间不能进行互相访问。并且所有办公机器采用网卡MAC地址静态绑定，防止未经允许的人员访问专用数据。在物理层网络的安全性。 名称 VLAN IP地址 网关 机房管理网 VLAN 1 依据总公司要求划分 总公司要求确定 核心业务网 VLAN20 依据总公司要求划分 总公司要求确定 办公财务网 VLAN30 依据总公司要求划分 总公司要求确定 人力资源网 VLAN40 依据总公司要求划分 总公司要求确定 客户办公网 VLAN50 依据总公司要求划分 总公司要求确定 服务器存储网 VLAN60 依据总公司要求划分 总公司要求确定 VPN拨入网 VLAN70 依据总公司要求划分 总公司要求确定 5、网络行为管理介绍 应用背景 互联网的高速发展和迅速普及，不但为人们提供了丰富的信息资源，也提供了便捷的交流平台。因此，从企业经营的角度来思考，网络带来的好处是降低了沟通成本、提高了效率，进而提升了企业整体竞争力。但是，网络是把双刃剑，不恰当的使用会对公司对企业产生极大的负面影响。由于对互联网的开放性，以及缺少必要的管理和有效的监督，会给企业及其他单位带来诸多问题。 当今企事业单位面临问题 •网速越来越慢，带宽永远不够用，企业的核心应用得不到应有的资源保障，是谁在干什么消耗了带宽？•招标前几天，竞争对手就已对公司方案了如指掌；刚开发的产品还未推广，对手企业已经推出同样产品，是谁泄露了公司的机密？ •员工在网上散布谣言、登陆非法网站、发布反动言论，公安部门上门调查，怎么配合警务人员调查取证？•购置计算机设备，接入高速宽带网络，鼓励员工使用Email、MSN等与客户或者合作伙伴紧密联系，原以为会有帮助，可却发现员工效率越来越地下，为什么？ •国家最新推出的法律法规，如“互联网安全保护技术措施规定（公安部第82号令）”，对企业尤其是互联网经营企业，提出了新的网络管理要求，该怎么去应对？ 什么是上网行为管理系统 传统的网络安全主要包括防火墙、入侵检测等，这些设备主要是在网络层工作，监视和管理的对象是在网络上传送的数据包。正是这样的技术特性，决定了防火墙类的设备对于应用层的协议分析往往无能为力。即，传统防火墙无法做到对内容进行管理，无法做到对具体的使用者进行管理。 上行为管理系统是网络管理的一个新的方向，他不仅继承了传统防火墙的功能，更是扩展到了面对用户的最终应用控制。上网行为管理系统，以人为管理对象，以管理为手段。其目的是通过网络行为管理，帮助企业员工建立一个规范的上网习惯，并以此来提高工作效率。 MC Center与MC系列是冰峰网络针对内网控制管理需求，进而研发的安全产品，该类产品根据不同的用户需求，分别着手软硬件平台的研发，采用了先进的网络分析和拦截技术，系统涵盖了网络内容审计，网络资源管理，应用层防火墙IPS（可选），应用层事件识别，流量检测，局域网IDS检测，用户数据挖掘等丰富功能。 功能特点 上网行为管理产品是一套用来解决企事业面临的上网行为控制和资源利用问题的产品，它以“保畅、安全、提升效率”为目标，能够实时的监控网络传输、自动监测来自网络外部和内部的网络行为，配合多种策略和黑白名单设置，实现内部网络管理，帮助政府、企业、教育机构更好的利用网络资源，也是企事业单位执行内控标准化的重要基础。 主要功能如下： •实时严谨的流量监控 •细致完善的内容监控 •全面直观的统计报表 •高效便捷的策略控制 •简单易用的黑白名单 •独特先进的智能报警 •多种兼容的系统服务 产品特点 •独特设备架构 •多种管理策略•多样数据报表 •配置维护简单•性能可靠稳定 部署方式 主要配置于内网向公网访问的网络出上，能够主动截取流通的数据包，并发送到设备的控制监测中心，并根据用户设定的有效规则，对非授权操作进行拦截，同时记录限定用户的网络使用日志。 主要有四种部署方式： 服务器模式，安装软件于服务器上，与网络设备联动，该模式是为客户量身定制的方式，尤其适合已使用冰峰网络产品客户。 网关模式，置于出网关，所有数据流直接经由设备端通过，适合可更改网络架构的客户。 透明模式，如同集线器的作用，设备置于网关出之后，设置简单、透明，适合，适合客户不希望更改网络架构情况。 旁路模式，在旁路模式中，通过对网络出的交换机进行端映射，通过监听和分析来记录各项数据，适合客户不能断网情况。