第一章 需求分析

為了滿足現(xiàn)代辦公的需要，將目前國內(nèi)外先進的計算機技術(shù)僚祷、通信技術(shù)佛致、網(wǎng)絡(luò)技術(shù)、信息技術(shù)辙谜、自動化控制技術(shù)俺榆、辦公自動化技術(shù)等運用在集團中，以提高集團的管理效率装哆，節(jié)約能源罐脊，以人為本，最大限度地滿足就辦公人員的需求烂琴。

本設(shè)計方案中爹殊，集團主要辦公網(wǎng)。辦公網(wǎng)系統(tǒng)滿足集團辦公網(wǎng)應(yīng)用系統(tǒng)建設(shè)和擴展的需要以及用戶Internet訪問需求奸绷，為集團提供一套高效梗夸、快速、可靠的辦公系統(tǒng)号醉。

第二章 建設(shè)原則與設(shè)計思路

二.1 建設(shè)原則

計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計必須適應(yīng)當前集團各項應(yīng)用反症，又可面向未來信息化發(fā)展的需要，因此必須是高質(zhì)量的畔派。在設(shè)計網(wǎng)絡(luò)時铅碍，需要遵循以下原則：

Ø 實用性和先進性

采用先進成熟的技術(shù)滿足大規(guī)模數(shù)據(jù)、語音线椰、視頻綜合業(yè)務(wù)需求胞谈，兼顧其他相關(guān)的管理需求，盡可能采用先進的網(wǎng)絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)、語音烦绳、視頻（多媒體）的傳輸需要卿捎，使整個系統(tǒng)在相當一段時期內(nèi)保持技術(shù)的先進性，以適應(yīng)未來信息化的發(fā)展的需要径密。

Ø 安全可靠性

為保證各項業(yè)務(wù)應(yīng)用午阵，網(wǎng)絡(luò)必須具有高可靠性，盡量避免系統(tǒng)的單點故障享扔。要對網(wǎng)絡(luò)結(jié)構(gòu)底桂、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備等各個方面進行高可靠性的設(shè)計和建設(shè)惧眠。在采用硬件備份籽懦、冗余等可靠性技術(shù)的基礎(chǔ)上，在網(wǎng)絡(luò)設(shè)計方案中要應(yīng)用網(wǎng)絡(luò)管理手段锉试，保證接入網(wǎng)絡(luò)用戶身份的合法性猫十。

Ø 靈活性和可擴展性

計算機網(wǎng)絡(luò)系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，所以它必須具有良好的靈活性和可擴展性呆盖，能夠根據(jù)集團不斷深入發(fā)展的需要拖云，方便靈活的擴展網(wǎng)絡(luò)覆蓋范圍、擴大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點的功能应又。具備支持多種通信媒體宙项、多種物理接口的能力，提供技術(shù)升級株扛、設(shè)備更新的靈活性尤筐。

Ø 開放性和互連性

具備與多種協(xié)議計算機通信網(wǎng)絡(luò)互連互通的特性，確保本計算機網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮洞就。在結(jié)構(gòu)上真正實現(xiàn)開放盆繁，基于開放式標準，包括各種局域網(wǎng)旬蟋、廣域網(wǎng)油昂、計算機等，堅持統(tǒng)一規(guī)范的原則倾贰，從而為未來的發(fā)展奠定基礎(chǔ)冕碟。IP地址設(shè)計須遵循科技廳計算機網(wǎng)絡(luò)TCP/IP地址編碼規(guī)范；設(shè)備及端口模塊匆浙、光網(wǎng)卡的選型須滿足國內(nèi)外相關(guān)的技術(shù)標準安寺，并保證與業(yè)界主流的網(wǎng)絡(luò)設(shè)備廠家的設(shè)備互聯(lián)、互通首尼。

Ø 經(jīng)濟性和投資保護

應(yīng)以較高的性能價格比構(gòu)建本計算機網(wǎng)絡(luò)系統(tǒng)挑庶，使資金的產(chǎn)出投入比達到最大值言秸。能以較低的成本、較少的人員投入來維持系統(tǒng)運轉(zhuǎn)挠羔，提供高效能與高效益井仰。盡可能保留延長已有系統(tǒng)的投資，充分利用以往在資金與技術(shù)方面的投入破加。

網(wǎng)絡(luò)設(shè)計需要從網(wǎng)絡(luò)的穩(wěn)定性、可靠性雹嗦、先進性范舀、擴展性、高性價比了罪、易用性等多方面綜合考慮锭环。

二.2 設(shè)計思路

針對集團信息網(wǎng)絡(luò)業(yè)務(wù)需求，結(jié)合當今大型網(wǎng)絡(luò)建設(shè)原則泊藕，總結(jié)出本次網(wǎng)絡(luò)建設(shè)方案的設(shè)計思路：

1. “分區(qū)分域”模塊化設(shè)計

采用“分區(qū)分域”模塊化的設(shè)計方法辅辩，將集團網(wǎng)絡(luò)劃分為不同的功能區(qū)域，使得整個網(wǎng)絡(luò)的架構(gòu)具備可伸縮性娃圆、靈活性玫锋、和高可用性。

2. “核心-接入”二層網(wǎng)絡(luò)架構(gòu)

在網(wǎng)絡(luò)層次結(jié)構(gòu)的設(shè)計方面讼呢，包括二層結(jié)構(gòu)和三層結(jié)構(gòu)兩種模式撩鹿。為了便于網(wǎng)絡(luò)運維，本次方案設(shè)計采用經(jīng)典的二層結(jié)構(gòu)（接入層悦屏、核心層）進行部署节沦。通過分層部署可以使網(wǎng)絡(luò)具有很好的擴展性（無需干擾其它區(qū)域就能根據(jù)需要增加容量），可以提升網(wǎng)絡(luò)的可用性（隔離故障域降低故障對網(wǎng)絡(luò)的影響）础爬，可以簡化網(wǎng)絡(luò)的管理（拓撲結(jié)構(gòu)結(jié)構(gòu)更清晰）甫贯。典型的二層網(wǎng)絡(luò)結(jié)構(gòu)按照網(wǎng)絡(luò)核心和接入的模型對應(yīng)網(wǎng)絡(luò)中心節(jié)點以及局域網(wǎng)內(nèi)的每一個物理或功能區(qū)域。

3. 千兆接入

在傳統(tǒng)新辦公大樓中看蚜，計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)用主要以文字叫搁、圖形表格為主，對網(wǎng)絡(luò)帶寬要求不高失乾。隨著信息化進程的高速發(fā)展常熙，網(wǎng)絡(luò)系統(tǒng)將迎接新一輪的考驗。數(shù)字化智能大樓依賴網(wǎng)絡(luò)平臺碱茁，對網(wǎng)絡(luò)系統(tǒng)的性能有嚴格要求裸卫。

因此在本次建設(shè)中，網(wǎng)絡(luò)平臺將采用千兆接入的設(shè)計思路纽竣，整體提高網(wǎng)絡(luò)吞吐能力墓贿，滿足集團的多媒體等應(yīng)用需求茧泪，遵循網(wǎng)絡(luò)實用性和先進性的建設(shè)原則。

4. 核心層

在集團辦公網(wǎng)系統(tǒng)應(yīng)用中聋袋，為了保證數(shù)據(jù)業(yè)務(wù)滿足7x24x365不間斷運行队伟，網(wǎng)絡(luò)系統(tǒng)必須具有可靠的路由策略和故障自愈能力。

本次建設(shè)中幽勒，網(wǎng)絡(luò)核心層一臺高性能交換機嗜侮。多個以太網(wǎng)接口，實現(xiàn)多臺接入設(shè)備接入啥容。上下層設(shè)備的雙線接入可通過鏈路聚合技術(shù)進行捆綁锈颗，鏈路互為冗余同時更能提高2倍網(wǎng)絡(luò)帶寬。不僅提升網(wǎng)絡(luò)吞吐量咪惠，而且提高網(wǎng)絡(luò)可靠性击吱。

5. 全方面安全防護

出口部署防火墻設(shè)備實現(xiàn)網(wǎng)絡(luò)隔離以及木馬和病毒攻擊的防范。

第三章 網(wǎng)絡(luò)系統(tǒng)建設(shè)方案

隨著集團的發(fā)展需求遥昧，基礎(chǔ)信息化網(wǎng)絡(luò)平臺將承載各種應(yīng)用信息系統(tǒng)覆醇。本項目將為集團建設(shè)一套完善的網(wǎng)絡(luò)平臺，并實現(xiàn)各個信息系統(tǒng)相互融合炭臭，滿足數(shù)據(jù)永脓、語音、視訊等多業(yè)務(wù)需求徽缚。

三.1 網(wǎng)絡(luò)總體設(shè)計

集團網(wǎng)絡(luò)包括：有線辦公網(wǎng)和無線辦公網(wǎng)憨奸。

 網(wǎng)絡(luò)整體拓撲圖

三.2 辦公網(wǎng)系統(tǒng)

三.2.1 網(wǎng)絡(luò)拓撲

采用“分區(qū)分域”建設(shè)原則，劃分為：核心交換區(qū)凿试、Internet出口區(qū)排宰、DMZ區(qū)、終端接入?yún)^(qū)那婉；

采用“核心-接入”二層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計;

高帶寬互聯(lián)板甘，核心和接入通過千兆互聯(lián)，接入千兆到桌面详炬；

集團無線接入到辦公網(wǎng)中盐类，實現(xiàn)移動辦公；

部署邊界防火墻等安全產(chǎn)品提供內(nèi)網(wǎng)安全防護呛谜。

三.2.2 出口區(qū)

三.2.2.1 多鏈路負載均衡設(shè)計

為了規(guī)避運營商出口故障帶來的網(wǎng)絡(luò)可用性風(fēng)險和解決網(wǎng)絡(luò)帶寬不足帶來的網(wǎng)絡(luò)訪問問題在跳，集團租用多個運營商出口。如何合理運用多個運營商出口隐岛，既不造成資源浪費猫妙，又能很好的服務(wù)于集團？

傳統(tǒng)的路由轉(zhuǎn)發(fā)原理是首先根據(jù)報文的目的地址查找路由表聚凹，然后進行報文轉(zhuǎn)發(fā)割坠。但是目前越來越多的用戶希望能夠在傳統(tǒng)路由轉(zhuǎn)發(fā)的基礎(chǔ)上根據(jù)自己定義的策略進行報文轉(zhuǎn)發(fā)和選路齐帚。策略路由正是這樣一種可依據(jù)用戶制定的策略進行報文路由選路的機制。策略路由可使網(wǎng)絡(luò)管理者不僅能夠根據(jù)報文的目的地址彼哼，而且能夠根據(jù)報文的源地址对妄、報文大小和鏈路質(zhì)量等屬性來制定策略路由，以改變報文轉(zhuǎn)發(fā)路徑敢朱，滿足用戶需求剪菱。

策略路由具有如下優(yōu)點：

①可以根據(jù)用戶實際需求制定策略進行路由選擇，增強路由選擇的靈活性和可控性

②可以使不同的數(shù)據(jù)流通過不同的鏈路進行發(fā)送拴签，提高鏈路的利用效率琅豆。

③在滿足業(yè)務(wù)服務(wù)質(zhì)量的前提下，選擇費用較低的鏈路傳輸業(yè)務(wù)數(shù)據(jù)篓吁，從而降低企業(yè)數(shù)據(jù)服務(wù)成本。

三.2.2.2 出口防火墻設(shè)計

本方案配置了一臺多功能防火墻蚪拦，形成了全方位杖剪、立體式的安全防護：

（1） 防火墻硬件模塊自帶豐富的安全防護功能，支持豐富的攻擊防范功能驰贷。包括：

Land盛嘿、Smurf、UDP Snork attack括袒、UDP Chargen DoS attack (Fraggle)次兆、Large ICMP Traffic 、Ping of Death锹锰、Tiny Fragment 芥炭、Tear Drop、IP Spoofing恃慧、IP分片報文园蝠、ARP欺騙、ARP主動反向查詢痢士、TCP報文標志位不合法彪薛、超大ICMP報文、地址掃描怠蹂、端口掃描等攻擊防范善延，還包括針對SYN Flood、UPD Flood城侧、ICMP Flood易遣、DNS Flood、CC等常見DDoS攻擊的檢測防御赞庶。

（2） IPS入侵防御功能授權(quán)具有強大的入侵防御功能训挡，并集成了卡巴斯基防病毒

引擎和病毒庫澳骤，是業(yè)界綜合防護技術(shù)最領(lǐng)先的入侵防御/檢測系統(tǒng)。通過深達7層的分析與檢測澜薄，實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒为肮、蠕蟲、木馬肤京、間諜軟件颊艳、網(wǎng)頁篡改等攻擊和惡意行為，并實現(xiàn)對網(wǎng)絡(luò)基礎(chǔ)設(shè)施忘分、網(wǎng)絡(luò)應(yīng)用和性能的全面保護棋枕；并且還通過了國際權(quán)威組織CVE(Common Vulnerabilities & Exposures，通用漏洞披露)的兼容性認證妒峦，在系統(tǒng)漏洞研究和攻擊防御方面達到了業(yè)界頂尖水

三.2.3 DMZ區(qū)

本次方案設(shè)計部署一臺接入交換機構(gòu)建集團網(wǎng)絡(luò)的DMZ區(qū)重斑，同時通過專業(yè)的WAF設(shè)備（Web防火墻）確保網(wǎng)站業(yè)務(wù)可用性，防止數(shù)據(jù)泄露/網(wǎng)頁篡改肯骇；采用WAF設(shè)備自帶的WEB chche窥浪、壓縮、HTTP協(xié)議優(yōu)化等技術(shù)可以提高Web服務(wù)器的訪問速度笛丙。

三.2.4 核心交換區(qū)

整體網(wǎng)絡(luò)以中心機房為核心點漾脂，采用星型拓撲結(jié)構(gòu)，網(wǎng)絡(luò)核心層部署在中心機房胚鸯。核心層的建設(shè)基于高可靠骨稿、高性能、高安全以及可擴展性強的原則姜钳。因此坦冠，在核心層部署一臺高性能核心交換機，提供網(wǎng)絡(luò)核心業(yè)務(wù)數(shù)據(jù)的高速轉(zhuǎn)發(fā)傲须。核心交換機采用多電源冗余設(shè)計蓝牲，使核心設(shè)備具有高可靠性。同時核心交換機選用具有電信級別99.999%可靠性的高端交換機泰讽，交換機采用模塊化架構(gòu)例衍，交換引擎、電源已卸、風(fēng)扇佛玄、業(yè)務(wù)接入模塊等部件均可實現(xiàn)在線熱拔插以及1：1的冗余備份。在配置上累澡，核心交換機單機配置冗余交換引擎梦抢，具有不間斷轉(zhuǎn)發(fā)功能，在一個交換引擎故障時能在快速完成故障切換愧哟。

核心交換機配置高密度的網(wǎng)絡(luò)接口奥吩，滿足下層接入交換機等設(shè)備的接入需求哼蛆。

本次方案設(shè)計辦公網(wǎng)核心交換機通過千兆鏈路與辦公網(wǎng)接入交換機互聯(lián)。