ImageVerifierCode 换一换
格式:DOCX , 页数:65 ,大小:477.24KB ,
资源ID:8762737      下载积分:10 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/8762737.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(某集团网络系统技术方案建议书.docx)为本站上传会员【pc****0】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

某集团网络系统技术方案建议书.docx

1、 A集团综合网络信息系统技术方案建议书 (硬件集成部分) 第一章 总则 4 1.1关于本方案建议书 4 1.2A集团综合信息系统现状 4 1.3A集团综合信息系统建设目标 4 第二章 建设原则 5 2.1先进性 5 2.2标准性 5 2.3兼容性 6 2.4可升级和可扩展性 6 2.5安全性 6 2.6可靠性 6 2.7易操作性 6 第三章 网络系统方案 7 3.1广域网设计 7 3.1.1需求分析 7 3.1.2广域网规划 8 3.1.3网络互连设计 9 3.1.2.1带宽分配 9 3.1.2.2 QOS设

2、计 10 3.1.2.3 网络设备选型 12 3.1.2.4网络部署 12 3.1.2.5VPN设计 14 3.1.2.6网络管理 15 第四章 网络安全方案 16 4.1安全设计 16 4.1.1防火墙技术 17 4.2.1.1防火墙选型 17 4.2.1.2技术细节 17 4.2.1.3防火墙部署 24 4.2.2入侵检测 24 4.2.2.1入侵检测技术 25 4.2.3防病毒设计 27 4.2.4.1产品选型 30 4.2.4.2防病毒部署 32 第五章 主机方案 36 5.1主机选型原则 36 5.2小型机选型与设计 37 5.2.1IBM P6

3、50介绍 37 5.3双机热备 43 5.3.1系统故障分析 44 5.3.2 HACMP 功能及双机原理 44 5.4PC服务器选型 47 第六章 工程管理与实施 47 6.1 工程督导 47 6.1.1 工作目标 47 6.1.2 内容 48 6.1.2.1 详细工程计划 48 6.1.2.2 基于工程计划协调工程进展 48 6.1.2.3 工程管理 48 6.1.2.4 人力资源和设备资源的统一管理 48 6.1.2.5 统一协调 49 6.1.3 工程管理计划 49 6.1.4 工程协调会 49 6.2 工程实施进度一览表 50 6.3 每一个具体工程

4、阶段的详细描述 51 6.3.1 开箱验收 51 6.3.2 安装环境验收 51 6.3.3 设备的现场安装 51 6.3.3.1 硬件安装 51 6.3.3.2 软件安装 52 6.3.3.3 参数配置 52 6.3.3.4 现场故障维修 52 6.3.3.5 网络升级的技术支持 52 6.3.4 单节点测试与验收 52 6.3.5 系统初验和系统试运行 53 6.3.6 系统终验 53 6.3.7 在合同设备保修期内的技术支持 54 6.3.7.1 技术支持概念 54 6.3.7.2 技术人员的培养 54 6.3.7.3 技术支持的构架 54 6.3.7

5、4 灵活有效的技术支持通信环境 55 6.3.7.5 有效的技术支持措施 55 第七章 网络培训计划 56 7.1培训规划 57 7.2培训目的 57 7.3培训方式 57 7.4培训对象 58 7.5培训教师 58 7.6培训课程 58 7.6.1课程列表 58 第八章 维护和支持 61 8.1服务的级别 61 8.2 硬件支持服务 62 第九章 结束语 63 第一章 总则 1.1关于本方案建议书 然而“功

6、欲善其事,必先利其器”,A集团深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫,A公司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与A集团综合网络信息系统的建设,希望能尽自己的全力来施展我们的专长来实现A集团网络信息系统的建设。 1.2A集团综合信息系统现状 目前,A集团尚未在全公司建立统一的企业信息管理系统,主要是在总公司及七大区域性公司之间通过远程异步数据传动方式(Modem对拔)进行数据采集和邮件传递,共有二十余个基于Lotus Domino/Notes4.6开发的数据模块在应用。 A集团拟建的企业信息系统将

7、是覆盖整个A集团的专业化网络信息管理系统。该系统将建立一个统一的企业办公、协同运作及管理支撑综合平台,提高办公效率、提高信息综合利用和提高企业管理水平,从而提高企业经济效益。 A集团信息系统的建设最终将达到以下目标: (1)以先进成熟的计算机技术和建筑技术为主要手段,把A集团信息系统建成一个覆盖全集团的包括综合办公和各专业管理系统在内的支撑建筑行业的辅助管理系统,建立一个统一的企业办公及运作支撑综合平台,以提高办公效率和企业管理水平,提高信息分析处理能力,从而提高企业经济效益。 (2)为A集团员工、客户、合作伙伴提供各种方便快捷的交流形式,提高服务质量,增强A集团竞争力。 (3)加强知

8、识管理,建立企业自身的知识库。 1.3A集团综合信息系统建设目标 A集团信息系统主要提供电子邮件服务、日常办公管理、财务管理、行业业务流程处理和知识管理功能。根据A集团目前发展状况,预计到2005 年底共有上网员工约为1000名,2008年底约为2000名。 A集团综合信息系统建设,本着“实用、先进、升级简便、扩充性好、开放性好”的五项基本原则进行。 根据公司的实际情况和具体的应用需求及行业的特点,采用分期分阶段的实施。 在项目实施过程中,以少花钱多办事为原则,每期的投资都应有继承性。 本期项目的目标是建立如下系统: (1)建立连通A集团内部各组织机构的网络平台; (2)建立

9、一个安全、稳定、高效的网络运行空间; (3)建立通用办公系统及邮件系统; (4)建立财务管理系统; (5)内部网站、网络视频会议、BBS交流协作环境的建设; (6)建立适合建筑行业的综合业务管理系统; (7)加强知识管理,建立企业自身的知识库; 本系统的建设能满足未来5年内的业务需求的升级, 第二章 建设原则 多业务网络系统方案以实现以上功能为基本要求,在设计上力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。具体来讲,其设计遵循以下原则: 2.1先进性 系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际

10、标准和规范; 2.2标准性 所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。         全面支持IEEE工业标准:802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z;支持路由协议:IP 的RIP V1/2,OSPF,BGP-4;信令标准:H.323,RTP/CRTP. 支持:IPsec、L2TP、GRE、MPLS-VPN规范。         支持多址广

11、播协议:IGMP,DVMRP,PIM-DM,PIM-SM;         网络管理协议:SNMP,RMON,RMON2; 2.3兼容性 跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。 2.4可升级和可扩展性 随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便

12、未来更灵活的扩展。 2.5安全性 由于系统和其它系统连接,因此,考虑系统的安全性是一个非常重要的方面。应采用设有安全控制的网关设备相连,使用VPN技术和防火墙等。 2.6可靠性 本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。 硬件可靠性 系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),采用CLUSTER技术,支持双机或多机高可用结构;配备不间断电源等。 软件可靠性 充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行

13、数据库系统应。 网络结构稳定性 当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。 本系统应具有较强的容灾容错能力,具有完善的系统恢复和安全机制; 2.7易操作性 提供中文方式的图形用户界面,简单易学,方便实用。 优良的性能价格比。 系统应着重考虑和满足以上的设计要求。 第三章 网络系统方案 该系统包括:36个网络节点互连方案、线路备份、内部局域网的建设。 3.1广域网设计 目前A集团在全国有36处公司极其分支机构,可以分为3类:1公司总部(数量1)、2区域性公司及本部(数量7)、3分公司及事业部(数

14、量28)。 3.1.1需求分析 如下表在全国A集团有36个节点,其分布如下: 公司名称 所属类别 所在地 用户数 备注 集团总部 总公司 杭州 100 总部 A一建 区域性公司 东阳 50 区域性公司 A二建 区域性公司 杭州 100 区域性公司 A三建 区域性公司 上海 100 区域性公司 A四建 区域性公司 北京 50 区域性公司 A五建 区域性公司 西安 100 区域性公司 A六建 区域性公司 武汉 50 区域性公司 A七建 区域性公司 广州 50 区域性公司 集团本部 总公司 东阳 5

15、0 同A一建共 金华分公司 分公司 金华 隶属A一建 义东分公司 分公司 义乌 隶属A一建 温州分公司 分公司 温州 隶属A一建 衢州分公司 分公司 衢州 隶属A一建 宁波分公司 分公司 宁波 隶属A二建 嘉兴分公司 分公司 嘉兴 隶属A二建 南京分公司 分公司 南京 隶属A三建 合肥分公司 分公司 合肥 隶属A三建 天津分公司 分公司 天津 隶属A四建 内蒙分公司 分公司 呼和浩特 隶属A四建 青海分公司 分公司 西宁 隶属A五建 甘肃分公司 分公司 酒

16、泉 隶属A五建 湖南分公司 分公司 长沙 隶属A六建 江西分公司 分公司 南昌 隶属A六建 A高级中学 子公司 东阳 子公司 杭州天翔房产公司 子公司 杭州 子公司 A房产开发公司 子公司 东阳 子公司 西安亚东房产公司 子公司 西安 子公司 湖南天翔房产公司 子公司 长沙 子公司 上海亚东房产公司 子公司 上海 子公司 华天装饰有限公司 子公司 杭州 子公司 安装工程有限公司 子公司 杭州 子公司 海外工程事业部 事业部 北京 隶属总公司 装饰事业部

17、事业部 杭州 隶属总公司 房地产投资事业部 事业部 上海 隶属总公司 交通工程事业部 事业部 杭州 隶属总公司 项目部 项目部 分布各地 在建项目约500个 3.1.2广域网规划 根据前面的需求分析,考虑到网络的收敛性,经济与安全等因素,我们建议采用星型结构的拓扑,这样可以充分利用带宽资源,整个网络采用3级结构:一级节点为:集团总部共1个,二级节点为:区域性公司及本部共7个,三级节点为其他分公司及事业部共28个,广域网规划如下: 在相应的一级节点和二级节点相应的局域网内部署入侵检测和防火墙,来保证系统的安全。 3.1.

18、3网络互连设计 根据网络互连的需求分析,以及广域网规划,我们建议从以下几个方面来考虑网络的设计:带宽分配、QOS设计、路由设计、IP地址分配、网络部署等。 3.1.2.1带宽分配 为了支持A集团多业务系统的可持续发展,考虑的经济组网的原则,我们来分析该集团目前和将来的业务属性、和业务逻辑等因素对网络链路的需求,同时也是设备选型的一个依据。 A集团目前有或将要有的业务有全公司的上网需求、财务系统、视频会议、公司的办公自动化系统、建筑行业的综合业务管理系统、邮件系统、知识库系统的建设等的建设。以上数据涉及到保密、实时流媒体等数据传输要求,我们从链路选型、带宽计算两方面来确定所需的带宽。

19、链路选型: 目前比较常使用的数据链路业务可以是:DDN、FR、ISDN: DDN专线接入向用户提供的是永久性的数字连接,沿途不进行复杂的软件处理,因此延时较短,避免了传统的分组网中传输协议复杂、传输时延长且不固定的缺点;DDN专线接入采用交叉连接装置,可根据用户需要,在约定的时间内接通所需带宽的线路,信道容量的分配和接续均在计算机控制下进行,具有极大的灵活性和可靠性,使用户可以开通各种信息业务,传输任何合适的信息,因此,DDN专线接入在多种接入方式中深受用户的青睐。 DDN专线接入的主要优点: 能提供高性能的点到点通信。通信保密性强,特别适合金融、保险等保密性要求高的客户需要;

20、传输质量高,网络时延小,通信速率可根据用户需要按N*64Kbps选择 ;信道固定分配,充分保证了通信的可靠性,保证用户的带宽不会受其他用户的影响 ;用户通过这条高速的国际互联网通道,可构筑自己的Internet、E-mail等应用系统 ;用户网络的整体接入使局域网内的PC均可共享互联网资源; 用户可免费得到多个Internet 合法IP地址及域名 ;用户可实现每天24小时全天候的信息发布,即用户可建立自己的Web站点,向国际互联网发布自己的信息或提供信息服务 ;用户可通过防火墙等技术保护内部网络免受不良侵害 。 本期A集团要实现的业务当中,有数据业务(邮件、公文流转、互联网、内部系统

21、数据查询)和流媒体业务(视频会议等)。 由于整个网络环境为TCP/IP框架下,对于数据业务这类非实时业务来讲,网络自身可以实现数据重传恢复机制,对带宽的需求不是很大,而流媒体业务这类实时业务来讲,必须具备两个因素才可以在IP环境下实现的比较好:(1)具备一定的带宽,达到理想的传输环境,理论上传输一路MPEG视频为384K,如果采用双向视频会议必须具备大于2*384=768K的带宽。(2)网络具备一定的QOS机制(关于QOS在QOS设计里详细介绍)。 从一级节点到二级节点带宽计算如下(按两路视频会议和2000人上网计算): 二级节点平均分配的人数为:2000/7=286人; 根据

22、Gartner统计数据分析,一个企业一般只有10%-20%的人并发上网或发邮件,我们按15%计算,即: 二级节点并发上传或下载数据的人数为:286*15%=43人; 一般24K/秒的速度数据能确保2秒钟正常打开网页,即: 二级节点需要广域网链路基本带宽为:43*24K=1028K。 由于视频会议不是经常开,当视频会议必要是可以通过QOS优先级别抢占1028K带宽中的768K。我们建议采用1024K带宽为一级节点到二级的节点带宽,可以满足到未来2008年的需求。如果需要额外的视频带宽可以即使方便的向电信申请,而不必更换网络设备的模块。 从一级节点到互联网带宽计算如下:(2000人上网计

23、算): 到2008年,上网人数将达到2000人,根据Gartner统计数据分析,一个企业一般只有10%-20%的人并发上网或发邮件,我们按15%计算,即: 二级节点并发上传或下载数据的人数为:2000*15%=300人; 一般24K/秒的速度数据能确保2秒钟正常打开网页,即: 二级节点需要广域网链路基本带宽为:300*24K=7200K。在2008年左右可以申请10M电路,而不会添加用户端设备,完全满足需求,目前我们可以考虑2M电路就可以满足了。 3.1.2.2 QOS设计 由于考虑到整个综合业务网络信息系统的可靠性和可用性,那么一个质量保证的体系结构是必须具备的,这也

24、是一个设备选型的必须考虑的地方, 要实现网络的稳定质量,最先考虑的就是什么业务对整个网络系统的服务质量最关心,在这里最关键的就是视频会议和数据语音,这两种业务才是最关心服务质量的,视频会议系统一般全面支持H.323和T.120标准来完成视频、音频、数据的集中和转发。同样,在我们国家,像联通等语音电话采用的是H.323协议,当然也有像北电的基于软交换功能的语音系统,但是都是要求对时间比较敏感的协议,如UDP,RTP,CRTP等,所以QOS是一定要保证的,除了数字线路的服务质量以外,就是要考虑接入服务器的QOS功能了。 1.先进先出(FIFO) 先进先出提供了基本的存贮转发功能,也是目前I

25、nternet使用最广泛的一种方式,它在网络拥塞时存贮分组,在拥塞解除时按分组到达顺序转发分组。是默认的排队方法,因此不需要配置。缺点是不提供QoS功能,对突发数据流在传输时间要求严格时,应用程序会引起过多的延迟,并对突发性的存在包丢失的连接公平性较差,对上层的TCP快速恢复的效率也较低。 2.优先级排队算法(priorityQueuing,PQ) 优先级排队算法是禁止其它流量的前提下,授权一种类型的流量通过,使用优先级排队给路由接口上传输的数据分配优先级,当有空闲路由时,路由就来回扫描所有队列,将高优先队列数据发出,只有当高优先级队列空了以后,才能为低优先级服务,如果优先级队列满,则扔掉

26、数据包,路由器不处理,优先级排队适用于网络链路不断阻塞的情况。   PQ的带宽分配独立于数据包大小。因此它在没有牺牲统计利用的情况下提供另外的公平性,与端到端的拥塞控制机制可以较好的协同,它的缺点在于实现起来很复杂,需要每个数据流的排队处理,每个流状态统计,数据包的分类以及包调度的额外开销等。 3.定制排队 定制排队是为允许具有不同最低带宽和延迟要求的应用程序共享网络而设计的。定制排队为不同的协议分配不同的队列空间,并以循环方式处理队列。为特定的协议分配较大的队列空间可以提高其优先级。定制排队比优先级更为“公平”。在可能发生拥塞的地方使用定制排队可以提供保证的带宽。定制排队可以保证为每一

27、个特定的通信类型得到固定部分的可用带宽,同时在链路紧张的情况下,避免数据包企图占用超出预分配量限制的可能。 4.加权公平排队(Weight fair queuing,WFQ)    加权公平排队用于减少延迟变化,为数据流提供可预测的吞吐量和响应时间。目标是为轻载网络用户和重载网络用户提供公平一致的服务。保证低权值的响应时间与高权值的响应时间一致。     加权公平排队是一种基于数据流的排队算法,它能识别交互式应用的数据流,并将应用的数据流调度到队列前部,以减少响应时间。WFQ与定制排队和优先排队不同。能自动适应不断变化的网络通信环境,几乎不需要配置。 5.随机先期检测(rando

28、m early detection,RED)   前面介绍的排队机制是基本的拥塞控制策略。尽管这些技术对控制拥塞是必须的。但它们对避免拥塞现象的发生都显得无能为力。 随机先期检测监视网上各点的通信负载,如果拥塞增多,就随机丢弃一些分组,当源分布点检测到通信丢失,降低传输速率。RED可以在各连接之间获得较好的公平性,对突出业务适应性较强。 6.加权随机先期检测(weightedrandom early detection,WRED)   加权随机先期检测是将RED与优先级排队结合起来,这种结合为高优先级分组提供了优先通信处理能力,当某个接口开始出现拥塞时,它有选择地丢弃较低优先级的通信,而

29、不是简单地随机丢弃分组。     总之,在传统TCP拥塞控制中,结合IP层拥塞控制算法,将是完善Internet拥塞控制最有效的途径。 3.1.2.3 网络设备选型 设备的选型对整个网络系统的质量十分重要,A公司做为一个成熟的系统集成商,有一套科学而有效的质量管理体系,首先,要考虑用户的需求、售后服务、关键应用、特殊应用、质量保证、网络属性、目前系统系统结构等几个方面来考虑。 现在国内的著名网络设备的供应商主要有三家Cisco,3COM和华为。其中3COM的路由器设备在中国使用不是十分广泛,同时网络产品以交换机为主要产品,在其他网络产品方面力量相对其他两家厂商稍弱。华

30、为作为中国重要的网络产品供应商,产品线齐全,种类多档次较齐全在,中国市场有一定的占有率,价格比较便宜,主要是通常的网络应用环境,在VPN、VOIP和其他复杂应用中比较少。Cisco做为全球最大的网络设备供应商,在路由器和交换机领域的成果有目共睹,它的产品应用在世界各个角落,在中国也广为使用。Cisco产品线齐全,从小型的SOHO用路由器和交换机到大型骨干路由器、交换机一应俱全。同时产品端口密度高,同一产品具有多种不同配置方案有利于产品的多功能化如VOIP、VPN等。它拥有许多独创的技术如ISL、NetFlow、Fast EtherChannel等,对系统今后的演进和发展有很大好处,而在IP广域

31、互连上,CISCO具有最大的优势,同时由于Cisco完整的产品线为用户提供了丰富的选择余地,Cisco网络设备的优秀兼容性也为和其他公司产品互连提供了可靠的保证。在售后方面,CISCO也做的很好,在A集团综合网络信息系统中原有设备大部分为CISCO产品,考虑到网络的平滑性,和维护方便等各个原因,特别是特殊应用QOS的保证方面,VPN特性方面、安全方面等,比其他两个厂家都要成熟和更多的案例,针对本次项目我们推荐CISCO高可用的产品在实现系统的网络支撑平台。 3.1.2.4网络部署 杭州A集团总部一级节点,作为核心节点,具备如下功能:汇接二级7个节点的数据,终结VPN隧道,我们建议采用

32、CISCO最新高性能路由器CISCO374-VPN/K9作为核心路由器, 模块化 Cisco 3700 系列应用服务路由器充分利用了Cisco 1700、2600和3600 系列路由器针对WAN访问、语音网关和拨号应用等而配备的可选的网络模块(NM)、WAN接口卡(WIG)和高级集成模块(AIM)。此外,Cisco 3725 和 Cisco 3745 这两个 Cisco 3700 平台引进一种新的、可提供更广泛接口的高密度服务模块 (HDSM)。配备四个NM插槽的Cisco 3745 路由器取消了在每一对相邻 NM 插槽之间的中心导轨,因此可以采用两个 HDSM ,而不是四个 NM。配备两个

33、NM 插槽的 Cisco 3725 路由器可在它所配备的两个 NM 插槽之一中采用一个 HDSM ,并仍可在剩余的 NM 插槽内采用一个 NM 。采用新的 HDSM 之后,Cisco 3700 系列路由器就能够集成更高端口密度和新的高性能服务了。支持VPN,提供7个广域网接口,和一个Internet广域网口,通过高级集成模块AIM-VPN-HP来实现VPN加密隧道的发起与终结,CISCO3745本身集成了3个WIC卡,我们可以通过提供2个NM-2W模块,配置2个WIC-2T,和1个WIC-1T,共8个,其中7个接入二级节点,另外一个可以作为Internet接驳,Internet接驳速率暂时定为

34、2M,将来可以通过升级到10M。如图所示: 在本次项目中,CISCO3745-VPN/K9最大可以同时支持2000个Tunnels,即便是2008年全体上网人数同时与总部通信,都没有任何问题;局域网采用天融信防火墙NGFW4000-S来实现阻隔某些端口的入侵和非法探测,提供详细的日志与审计功能,该防火墙也可以跟入侵检测系统天阗500联动,动态检测黑客的入侵并禁用相应端口,在防火墙的DMZ部署WEB服务器供外部访问,详细描述见网络安全设计。 对于三级节点的VPN接入就可以支持多种方式了,最经济的方式就是采用SITE TO Client方式,由CISCO自带的VPN Client(支持多种

35、操作系统)通过拨号或通过专线、ISDN、FR等方式访问VPN,由对端的VPN网关提供认证,具体方式见下面章节:VPN设计。整体拓扑如下所示: 3.1.2.5VPN设计 VPN(虚拟专网)是利用公共网络资源(如公用电信网)为客户组建专用网的一种技术,它通过对网络数据进行封包和加密传输,在公网上传输私有数据,达到私有网络的安全级别,从而利用公网构筑专网(即VPN)。它是一种逻辑上的专用网络,向用户提供专用网络所具有的功能,但本身却不是一个独立的物理网络。 本次项目中根据前面规划: 在一级节点与二级节点之间部署端到到端VPN:Site TO Site,结构为星型结构:HUB-SPOKE。

36、 在二级节点与三级节点部署端到点方式VPN:Site TO Clint。 在本次项目应用中考虑到传输的有视频、语音、数据3类信息,各类信息对网络环境都有一定的要求,特别是VPN环境下的实现更是比较复杂,我们采用CISCO3745、2621XM VPN多应用服务器可以支持V3PN,即能在IPsec隧道上实现视频、语音、数据3类信息的封装,而保证IP中的QOS特性不改变,从而保证数据的IP连贯应用。这个过程多用户来讲是透明的。 在CISCO3745、2621XM中,提供12.2(13) T或以上版本的IOS,支持IPSec 提供DES 和3DES的 Advanced Encryption S

37、tandard (AES),新型的AES支持128-bit key (default), 和 192-bit key, 或256-bit key.提供更加复杂更加安全的应用。如图所示: 通过以上设计可以保证原来的QOS机制在网络中一直启用,保证网络的平滑。 考虑到网络规模的变大,如将来可能需要建立新的办事处或地域性分公司,这样添加的路由器可能会对基于传统IPsec方式的VPN造成一定的影响,我们可以采用IPsec+GRE(通用路由封装)技术来实现基于IP路由收敛的VPN技术,这样,路由的更新可以完全透过2层VPN来实现,这对用户来讲是完全透明的,一旦A集团的规模发生巨大的变化,网络

38、拓扑方式要变化如构成MESH方式或节点数大大增加,我们可以完全在不更改设备的情况下建立基于MPLS VPN,CISCO3745完全可以设置PE路由器,而CISCO2621可以相应地设置为CE路由器,这样整个核心VPN网络就从2层VPN直接升级到3层IP VPN构架来了。 在二级节点与三级节点采用端到点方式VPN:Site TO Client。 对于3级节点加入到集团VPN当中来,就非常方便了,我们购买的CISCO3745和CISCO2621 VPN路由器,随机附带了一份CD,包含了Client端IPsec程序,该程序非常简单大部分的设置都是预定义的,VPN访问策略和配置可以直接从相应所属的

39、二级或一级VPN Gateway(这里是3745或2621路由器)直接下载,目前VPN Client可以支持如下系统Windows 95(OSR2+), 98, ME, NT 4.0, 2000, XP, Linux (Intel), Solaris (UltraSparc-32 & 64 bit) and MAC OS X 10.1 & 10.2 (Jaguar) 3.1.2.6网络管理 在本方案中采用了CISCO的解决方案,对于网络的管理,我们建议采用CISCOWORKS2000。 CiscoWorks2000服务管理解决方案建构在第3层结构基础之上,包括可远程安装的数据收集应用

40、Cisco IOS的内嵌式技术以及一整套融合了业界最先进的评估服务和定额引擎的应用软件。该解决方案的构件包括: 管理引擎1110(ME1110)——可在网络中远程安装,是具有极高扩展性和灵活性的数据收集解决方案。ME1110是专为收集Cisco设备的度量数据而设计,并允许在数据收集需求增长的情况下暂停管理服务器来安装新的ME1110设备。 服务保障代理——一种用来确定度量数据服务级别的技术,以验证度量数据是否符合服务级别的要求。鉴于服务保障代理技术已内嵌于Cisco IOS软件中,因此它是随时可用的,并且对网络基础设施的费用几乎不会构成任何影响。 服务级别管理器——建构于开放的X

41、ML应用程序接口基础上,可提供给合作伙伴以用于第三方的应用集成。 ---- CiscoWorks2000服务管理解决方案使网络经理能够验证他们为广域连接和网络服务提供的服务级别。它将基于标准的开放式管理应用程序接口、Cisco 内嵌式IOS代理、可扩展服务级别的管理应用与第三方产品相结合,从而具有了端到端服务级检查和全面管理能力。因此,客户现在可以完全放心地使用这些新的应用,比如VoIP、IP电话、虚拟专网和电子商务解决方案等,可轻松地获得不同的服务和更好的终端用户满意度,执行同时监视多个服务级协议,调试并改进网络以及定制故障报告。与此同时,第三方应用开发人员和系统集成人员能够连续地获得有

42、关网络层的数据,并对定义和收集到的服务级度量信息进行标准化。 第四章 网络安全方案 4.1安全设计 网络面临的安全威胁大体可分为两种:一是对网络数据的威胁; 二是对网络设备的威胁。这些威胁可能来源于各种因素:可能是源于网络外部的, 也可能是内部人员造成的; 总结起来,最主要威胁是来自外部和内部人员的恶意攻击和入侵,这是企业信息化等顺利发展的最大障碍。 基于VPN的网络基本上安全了,但是考虑到Internet的应用,内部人员的网络入侵、资料盗取、恶意破坏,病毒入侵等因素,综合的安全设计还是必要的,我们建议针对这些因素提出如下安全防护措施: 1、防火墙技术 2、IDS入侵检测系

43、统 3、防病毒系统 4、备份(关于备份的配置,我们在主机设计里描述) 4.1.1防火墙技术 防火墙是一种成熟的技术,目前防火墙的功能也越来越强大,技术越来越统一,考虑到企业信息系统的安全级别,在选型上注重国产的,具备一定的应用案例,选型原则如下: 4.2.1.1防火墙选型 由于网络信息化系统网络安全的重要性,并结合网络信息化系统信息安全工作的实际条件及情况,我们确定如下选型原则: 防火墙必须具有自我系统保护能力。 防火墙必须具有强大NAT转换功能。 防火墙支持各类加密算法和VPN功能。 防火墙的端口是可扩展的。 防火墙产品应提供避免或禁止内外网络用户进入系统的手段,即使对

44、安全管理员而言,也应遵循对系统操作的最小授权原则。 防火墙产品硬件/软件必须具备经国家授权部门测试认证的安全等级。 防火墙产品遇故障工作失效,系统应自动转为缺省禁止状态。 防火墙产品必须至少具有履行所需安全服务的最小能力。 防火墙产品所采用的技术,不单纯追求先进、完善,而必须保证实用和成熟性,相关技术标准应采用、引用和接近国家标准。 防火墙产品的接入不影响原网络拓扑结构,防火墙产品的运行最小影响原网络系统的运行效率。 防火墙产品如果涉及密码技术的使用,必须获得国家密码管理委员会办公室的立项和鉴定批准;防火墙产品如涉及密码算法必须按国家密码委员会办公室的规定进行申请和使用。 防火墙

45、产品须经过国家信息安全产品认证机构的认证。 通过以上分析,我们建议采用国内著名防火墙厂商天融信防火墙的产品NG FW4000,其强大的性能处理和全面的控制规则得到诸多企业和企业的青睐。 4.2.1.2技术细节 采用独创的最新最先进的技术 --核检测技术,即基于OS 内核的会话检测技术,在OS 内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制,同时,更有效保证了防火墙的性能。 采用独创的先进的设计思想 --面向资源的进行设计,对不同对象的具体的组成资源,如文件、防火区域、节点对象、协议类型、应用行为、应用类型、管理端口协议等,直接

46、进行控制,极大的提高了安全性,并保证了配置的方便性。 先进独特的防火墙策略体系 --面向资源的防火墙策略体系。建立独立的防火区域,通过中央管理接口、管理端口协议、不同节点对象(网络邻居、自定义网路、防火墙所在子网等)、协议类型、应用行为等不同资源配置策略,使防火墙的策略配置更加简单,且便于维护。 分层式管理结构 防火墙的管理采用集中的层次管理结构,实现“防火墙—防火区--对象—资源”的安全策略定义结构。配置简单、配置安全性高;管理简单、维护方便;更好的保证了性能。 支持TOPSEC 技术体系的核心技术 支持TOPSEC技术体系的核心技术,可以实现防火墙、IDS、病毒防护系统、信息审

47、计系统等的互通与联动,并支持TopsecManager综合管理系统和SAS安全审计系统。 适用更广泛的网络及应用环境 支持众多网络通信协议和应用协议,如DHCP 、VLAN 、ADSL 、IPX 、RIP 、ISL 、802.1Q 、Spanning tree 、DECnet 、NETBEUI 、IPSEC 、PPTP 、AppleTalk 、H.323 、BOOTP、pppoe协议等,使4000防火墙适用网络的范围更加广泛,保证用户的网络应用。方便用户扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。 支持多种工作模式 可以支持透明、路由和混合工作模式。其中,独创的

48、混合模式源于天融信网络接口物理实现技术和天融信专用安全协议实现,并在NGFW4000 中进行了重新设计和实现,进一步得到了优化,方便适用于复杂网络结构和应用的接入。 支持远程集中管理 可通过安全的认证及管理信息的加密传输实现全局防火墙设备的集中管理。实现统一的安全政策布署,保证整个系统的安全策略的一致性,提高整个系统的安全强度。 NGFW4000 的主要配置和管理都是基于GUI(Graphic User Interface) 方式的,管理主机只需安装专门的管理软件,就可以在不同操作系统平台、不同地域对防火墙进行配置和管理。 支持负载均衡和双机备份 支持两台防火墙之间的双机备份和负载

49、均衡;支持多台服务器之间的负载均衡。不但更好的适用不同的网络环境,且更好的提供高性能和保证可靠性。 支持服务器的负载均衡 NGFW4000 防火墙可以支持一个服务器阵列,这个阵列经过防火墙对外表现为单台的机器,防火墙将外部来的访问在这些服务器之间进行均衡,同时可以识别出故障的服务器。 图表 1 防火墙的负载均衡技术 防火墙自身的负载均衡 NGFW4000 支持负载均衡功能,可以在高带宽的网络环境中有效的提高性能,同时负载均衡还实现了接口之间的备份,当A 机器的某个接口故障时,B 机器的相应接口可以接管它的工作,同时A 机器的其他接口仍然正常地工作。 双机备份 为了保证网络的高

50、可用性与高可靠性,NGFW4000 提供了双机备份功能,即在同一个网络节点使用两个配置相同的防火墙。正常情况下一个处于工作状态,为主防火墙,另一个处于备份状态,为从防火墙。当主防火墙发生意外down 机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从防火墙代替主防火墙正常工作,从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算。同时NGFW4000 还实现了状态传送协议STP ,当一台防火墙故障时,这台防火墙上的连接不需要重新建立就可以透明地迁移到另一台防火墙上,用户不会觉察到。 图表 2 防火墙双机备份 多层次分布式带宽管理 带宽管理

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服