企业网络建设整体解决方案

《企业网络建设整体解决方案》由会员分享，可在线阅读，更多相关《企业网络建设整体解决方案（9页珍藏版）》请在装配图网上搜索。

1、大型企业网络工程解决方案，本方案是一个典型的实际工程可以根据需要和可能，参照此方案灵活应用。一、企业网络设计（ 1 ）主干网设计采用千兆以太网技术。 千兆以太网技术特点是具有高速数据传输带宽， 基本能满足高速交换及多媒体对服务质量的要求。 易于网络升级、 易于维护、 易于管理， 具有良好的价格比。传输介质。千兆传输距离 500m以内采用50/125多模光缆；千兆传输距离大于 500m 小于5000m时采用9/125单模光缆；百兆传输距离 2000m以内采用50/125多模光缆；百兆 传输距离大于2000m采用9/125单模光缆。交换机。主干交换机的基本要求：机箱式结构，便于扩展；支持多种网络方

2、式，如快速以太网、千兆以太网等；高性能，高背板带宽及中心交换吞吐量；支持第二、第三交换，支持各种 IP 应用；高可靠性设计，如多电源 / 管理模块、热插拔；丰富的可管理能力等。中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网，在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用 1000Mbps 连接，服 务器采用双网卡链路聚合200Mbps连接，客户采用交换式10/1000Mbps连接。（ 2 ）楼宇内局域网设计要求采用支持 802.1Q 的 10/100Mbps 工作组以太网交换机， 交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机，使10

3、/100Mbps 流量接至桌面。（ 3）接入 Internet 设计Internet接入系统由位于网络中心的非军事区（DMZ交换机、WW赈务、E-mail服务、防火墙、路由器、 Internet 光纤接入组成。（4）虚拟局域网 VLAN设计通过VLAN将相同业务的用户划分在一个逻辑子网内，既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。各工作组交换机采用基于端口的VLAN划分策略，划分出多个不同的VLAN组，分隔广播域。每个VLAN是一个子网，由子网中信息点的数量确定子网的大小。同样在千兆/ 百兆以太网上联端口上设置802.1Q 协议，设置通信干

4、道（Truck） ，将每个VLAN的数据流量添加标记，转发到主干交换机上实现网络多层交换。（5）虚拟专用网 VPN设计如果公司跨地区经营，自己铺设专线不划算，可以通过 Internet 采用VPN数据加密技 术，构成企业内部虚拟专用网。（ 6 ）网络拓扑结构。这部分待续二、网络安全性设计网络系统的可靠与安全问题：a. 物理信息安全，主要防止物理通路的损坏和对物理通路的攻击（干扰等）。b.链路层的网络安全需要保证通过网络链路传送的数据不被GG主要采用划分VLAN加密通信等手段。c. 网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。d. 操作系统安全要求保

5、证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。e. 应用平台的安全要求保证应用软件服务，如数据库服务、电子邮件服务器、 Web 服 务器、ERP服务器的安全。1. 1）物理安全机房要上锁，出入人员要严加限制。注意不可让人从天花板、窗户进入房间。机房电力要充足、制冷要合适，环境要清洁。从工作站到配线柜的配线应该布在偷听设备接触不到的地方。 配线不应该直接布在地板或天花板上，而应该隐藏在线槽或其他管道里。应该包括诸如火灾、 水灾等自然灾害后的恢复流程。 如美国 911 世贸中心崩塌， 大多数公司的数据得不到恢复。2. 2）防火墙防火墙应具管理简单、功能先进等特点，并且能

6、够保证对所有系统实施“防弹”保护。一个优秀的防火墙具有内网保护、灵活的部署、非军事区（ DMZ范围的保护、TCP状态提 醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN功能。3. 3）网络病毒在网络中心主机安装一台网络病毒控制中心服务器，该服务器既要与 Internet 相连，又要与企业内网相连。该服务器通过Internet 每每更病毒代码及相关文件，企业内部网络中的服务器、 客户时刻处于网络病毒控制中心服务的监控下， 更新本机的病毒代码库及相文件，对计算机的所有文件和内存实施动态、实时、 定时等多种病毒防杀策略，以确保网络系 统安全。4. 4）网络容错集群技术。 一个服务器集群包含

7、多台拥有共享数据存储空间的服务器， 各服务器之间通过内部局域网进行相互通信。 当其中一台服务器发生故障时， 它所运行的应用程序将由其他的服务器自动接管。 在大多数情况下， 集群中所有的计算机都拥有一个共同的名称， 集群系统内任意一台服务器都可被所有的网络用户所使用。5. 5）安全备份与灾难恢复企业信息管理最重要的资产不是网络硬件，而是网络运行的数据。理想的备份系统是在软件备份的基础上增加硬件容错系统， 使网络更加安全可靠。 实际上，备份不仅仅是文件备份，而是整个网络的一套备份体系。备份应包括文件备份和恢复，数据库备份和恢复、系统灾难恢复和备份任务管理。6. 6）网络入侵检测、报警、审计技术入侵

8、检测系统（ IDS-Intrusin Detection System ）执行的主要任务包括：监视、分析用户及系统活动； 审计系统构造和弱点； 识别、 反映已知进攻的活动模式， 向相关人士报警；统计分析异常行为模式； 评估重要系统和数据文件的完整性； 审计、跟踪管理操作系统，识别用户违反安全策略的行为。常见的 IDS 产品有 ISS 的 RealSecure、CA公司的 eTrust、Symantec 的 NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。7. 7）局域网信息的安全保护技术密码采用 9 位以上，每周修改1 次采用多层交换网络的虚拟网划分技术，防止在内部网监

9、听数据采用NTFS磁盘分区加密技术，使网上邻居只能是信任用户采用Windows域控制技术，对网络资源实行统一管理采用 SAN（ Storage Area Network 存储区域网络）与 NAS（ Network Attached Storage 网络连接存储）保护数据。SAN技术允许将独立的存储设备连接至一台或多台服务器，专用于服务器，而服务器则控制了网络其他部分对它的访问。NAS将存储设备直接连接至网络，使网络中的用户和网络服务器可以共享此设备，网络对存储设备的访问则由文件管理器这一类设备进行管理。利用SAW吉合集群技术提高系统可靠性、可扩充性和抗灾难性；利用NA戒件服务统一 存放管理全公

10、司桌面系统数据。8. 8）网络代理采用 Proxy 对访问 Internet 实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等，同时对用户的访问进行审计。9. 9）邮件过滤技术。采用具有过滤技术邮件管理系统，一般是针对“主题词”、“关键字”、“地址（ IP 、 域名）”等信息过滤，防止非法信息的侵入。10. 10）重视网络安全的教育，提高安全意识。三、综合布线与机房设计11. 把服务器、UPS、 防火墙、路由器及中心交换机放置在中心机房，把各子系统的配线柜设置在各子系统所在的楼层。12. 楼宇间光缆敷设采用 4 芯以上的单模或多模室外金属光缆架空或埋地敷设。13. 宇内

11、UTP布线采用AM网五类UTP电缆、AM网五类*II块、AMP言息面板、配线架、AM刚五类UTP跳线实现垂直系统、水平子系统、工作区的布线。14. 机房装修（ 1）地板。铺设抗静电三防地板，规格600*600*27 ，板面标高0.20m ，地板应符合GB6650-82计算机机房用活动地板技术条件（ 2）吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。（ 3）墙面。涂刮防防瓷、墙壁面刷乳胶漆。（ 4）窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。（ 5）出入门。安装铝合金玻璃隔断推拉门。（ 6）照明。采用高效格栅双管日光灯嵌入安装。（ 7）配电。机房配电采用三相五线制，多种电源（动力三相38

12、0V、普通220V和UPS输出220V）配电多fo为UPS空调机、照明等供电。配电箱设有空气开关，线路全部用铜芯 穿PVC管。（ 8）接地。根据要求设计接地系统，其直流接地电阻小于1、工作保护地和防雷地接地电阻小于40。为保证优良的接地性能，采用JD1型接地和化学降阻剂，此外，考虑机房抗静电的需求， 对抗静电活动地板进行可靠的接地处理， 以保证设备和工作人员的安全 要求。（ 9）空调。主机房3P 柜机；分机房1.5 壁挂式空调机。5. UPS 后备电源。采用分散保护，集中管理电源的策略，考虑APC公司提供的电源解决方案。四、企业网应用系统1 .应用服务器。旧M服务器首选，当然，也可以采用高档

13、PC机，PC机的优点是便于更 新换代。2 .软件平台。采用 Windows 2003 （主要使用 Domain域控制器，集成DNS服务），Redhat 9.0 ， Solaris 9.0 （在 unix/linux 上运行 Oracle 数据库， SAP/R3 系统，基于LotusDomino/Notes 的 OA系统）3 . 数据库系统。采用 Oracle 大型数据库，或SQL Server2000 数据库。4 . OA办公系统。基于 Lotus Domino/Notes 的 OA系统，Lotus Domino 集成 Email/HTTP 等服务。5 .企业管理综合软件 ERP采用SAP/R

14、3系统，一步解决未来企业国际化问题；或是用 友 ERP U8 系统。6. 网络存储系统。五、网络系统管理1. 交换机、路由器管理。设备均是Cisco 产品，使用 Cisco Works 2000 。2. 网络综合管理。 HP OpenView 集成网络管理和系统管理。 OpenView 实现了网络运作从被动无序到主动控制的过渡，使IT 部门及时了解整个网络当前的真实状况，实现主动控制。 OpenView 系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、 Internet 环境的开放式 服务等丰富的功能特性。3. 桌面系

15、统管理。 LanDesk 工作站配置和管理工具，利用它的远程控制、远程软件分发和软件计量功能可以节省大量的时间。 本方案是一个典型的大型企业网络工程解决方案， 实 际工程可以根据需要和可能，参照此方案灵活应用。一、企业网络设计（ 1）主干网设计采用千兆以太网技术。 千兆以太网技术特点是具有高速数据传输带宽， 基本能满足高速交换及多媒体对服务质量的要求。 易于网络升级、 易于维护、 易于管理， 具有良好的价格比。传输介质。千兆传输距离 500m以内采用50/125多模光缆；千兆传输距离大于 500m 小于5000m时采用9/125单模光缆；百兆传输距离 2000m以内采用50/125多模光缆；百

16、兆 传输距离大于2000m采用9/125单模光缆。交换机。主干交换机的基本要求：机箱式结构，便于扩展；支持多种网络方式，如快速以太网、千兆以太网等；高性能，高背板带宽及中心交换吞吐量；支持第二、第三交换，支持各种 IP 应用；高可靠性设计，如多电源 / 管理模块、热插拔；丰富的可管理能力等。中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网，在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用 1000Mbps 连接，服 务器采用双网卡链路聚合200Mbps连接，客户采用交换式10/1000Mbps连接。（ 2）楼宇内局域网设计要求采用支持 802.1Q 的

17、10/100Mbps 工作组以太网交换机， 交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机，使10/100Mbps 流量接至桌面。（ 3）接入Internet 设计Internet接入系统由位于网络中心的非军事区（DMZ交换机、WW赈务、E-mail服务、防火墙、路由器、 Internet 光纤接入组成。（ 4）虚拟局域网VLAN设计通过VLAN将相同业务的用户划分在一个逻辑子网内，既可以防止不同业务的用户非法 监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。各工作组交换机采用基于端口的VLAN划分策略，划分出多个不同的VLAN组，分隔广播域。每个VLAN是

18、一个子网，由子网中信息点的数量确定子网的大小。同样在千兆/ 百兆以太网上联端口上设置802.1Q 协议，设置通信干道（Truck） ，将每个VLAN的数据流量添加标记，转发到主干交换机上实现网络多层交换。（ 5）虚拟专用网 VPN设计如果公司跨地区经营，自己铺设专线不划算，可以通过 Internet 采用VPN数据加密技 术，构成企业内部虚拟专用网。（ 6）网络拓扑结构。这部分待续二、网络安全性设计网络系统的可靠与安全问题：a. 物理信息安全，主要防止物理通路的损坏和对物理通路的攻击（干扰等）。b.链路层的网络安全需要保证通过网络链路传送的数据不被GG主要采用划分VLAN 加密通信等手段。c.

19、 网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。d. 操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。e. 应用平台的安全要求保证应用软件服务，如数据库服务、电子邮件服务器、 Web 服 务器、ERP服务器的安全。（ 1）物理安全机房要上锁，出入人员要严加限制。注意不可让人从天花板、窗户进入房间。机房电力要充足、制冷要合适，环境要清洁。从工作站到配线柜的配线应该布在偷听设备接触不到的地方。 配线不应该直接布在地板或天花板上，而应该隐藏在线槽或其他管道里。应该包括诸如火灾、 水灾等自然灾害后的恢复流程。 如美

20、国 911 世贸中心崩塌， 大多数公司的数据得不到恢复。（ 2）防火墙防火墙应具管理简单、功能先进等特点，并且能够保证对所有系统实施“防弹”保护。一个优秀的防火墙具有内网保护、灵活的部署、非军事区（ DMZ范围的保护、TCP状态提 醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN功能。（ 3）网络病毒在网络中心主机安装一台网络病毒控制中心服务器，该服务器既要与 Internet 相连，又要与企业内网相连。该服务器通过Internet 每每更病毒代码及相关文件，企业内部网络中的服务器、 客户时刻处于网络病毒控制中心服务的监控下， 更新本机的病毒代码库及相文件，对计算机的所有文件和内存实

21、施动态、实时、 定时等多种病毒防杀策略，以确保网络系统安全。（ 4）网络容错集群技术。 一个服务器集群包含多台拥有共享数据存储空间的服务器， 各服务器之间通过内部局域网进行相互通信。 当其中一台服务器发生故障时， 它所运行的应用程序将由其他的服务器自动接管。 在大多数情况下， 集群中所有的计算机都拥有一个共同的名称， 集群系统内任意一台服务器都可被所有的网络用户所使用。（ 5）安全备份与灾难恢复企业信息管理最重要的资产不是网络硬件，而是网络运行的数据。理想的备份系统是在软件备份的基础上增加硬件容错系统， 使网络更加安全可靠。 实际上，备份不仅仅是文件备份，而是整个网络的一套备份体系。备份应包括

22、文件备份和恢复，数据库备份和恢复、系统灾难恢复和备份任务管理。（ 6）网络入侵检测、报警、审计技术入侵检测系统（ IDS-Intrusin Detection System ）执行的主要任务包括：监视、分析用户及系统活动； 审计系统构造和弱点； 识别、 反映已知进攻的活动模式， 向相关人士报警；统计分析异常行为模式； 评估重要系统和数据文件的完整性； 审计、跟踪管理操作系统，识 别用户违反安全策略的行为。常见的 IDS 产品有 ISS 的 RealSecure、CA公司的 eTrust、Symantec 的 NetProwler、 启明星辰公司的天阗、上海金诺的网安、东软的网眼等。（ 7）局域

23、网信息的安全保护技术密码采用 9 位以上，每周修改1 次采用多层交换网络的虚拟网划分技术，防止在内部网监听数据采用NTFS磁盘分区加密技术，使网上邻居只能是信任用户采用Windows域控制技术，对网络资源实行统一管理采用 SAN（ Storage Area Network 存储区域网络）与 NAS（ Network Attached Storage 网络连接存储）保护数据。SAN技术允许将独立的存储设备连接至一台或多台服务器，专用于服务器，而服务器则 控制了网络其他部分对它的访问。NAS将存储设备直接连接至网络，使网络中的用户和网络服务器可以共享此设备，网络对存储设备的访问则由文件管理器这一类

24、设备进行管理。利用SAW吉合集群技术提高系统可靠性、可扩充性和抗灾难性；利用NA戒件服务统一 存放管理全公司桌面系统数据。（ 8）网络代理采用 Proxy 对访问 Internet 实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等，同时对用户的访问进行审计。（ 9）邮件过滤技术。采用具有过滤技术邮件管理系统，一般是针对“主题词”、“关键字”、“地址（ IP 、 域名）”等信息过滤，防止非法信息的侵入。（ 10）重视网络安全的教育，提高安全意识。三、综合布线与机房设计1. 把服务器、UPS、 防火墙、路由器及中心交换机放置在中心机房，把各子系统的配线柜设置在各子系统所在的

25、楼层。2. 楼宇间光缆敷设采用 4 芯以上的单模或多模室外金属光缆架空或埋地敷设。3. 楼宇内UTP布线采用AM网五类UTP电缆、AM网五类*II块、AMP言息面板、配线架、AM刚五类UTP跳线实现垂直系统、水平子系统、工作区的布线。4. 机房装修（ 1）地板。铺设抗静电三防地板，规格 600*600*27 ，板面标高0.20m ，地板应符合GB6650-82计算机机房用活动地板技术条件（ 2）吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。（ 3）墙面。涂刮防防瓷、墙壁面刷乳胶漆。（ 4）窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。（ 5）出入门。安装铝合金玻璃隔断推拉门。（ 6）照明

26、。采用高效格栅双管日光灯嵌入安装。（ 7）配电。机房配电采用三相五线制，多种电源（动力三相380V、普通220V和UPS输出220V）配电多fo为UPS空调机、照明等供电。配电箱设有空气开关，线路全部用铜芯 穿PVC管。（ 8）接地。根据要求设计接地系统，其直流接地电阻小于1、工作保护地和防雷地接地电阻小于40。为保证优良的接地性能，采用JD1型接地和化学降阻剂，此外，考虑机房抗静电的需求， 对抗静电活动地板进行可靠的接地处理， 以保证设备和工作人员的安全 要求。（ 9）空调。主机房3P 柜机；分机房1.5 壁挂式空调机。5. UPS 后备电源。采用分散保护，集中管理电源的策略，考虑APC公司

27、提供的电源解决方案。四、企业网应用系统1 .应用服务器。旧M服务器首选，当然，也可以采用高档 PC机，PC机的优点是便于更 新换代。2 .软件平台。采用 Windows 2003 （主要使用 Domain域控制器，集成DNS服务），Redhat 9.0 ， Solaris 9.0 （在 unix/linux 上运行 Oracle 数据库， SAP/R3 系统，基于LotusDomino/Notes 的 OA系统）3 . 数据库系统。采用 Oracle 大型数据库，或SQL Server2000 数据库。4 . OA办公系统。基于 Lotus Domino/Notes 的 OA系统，Lotus

28、Domino 集成 Email/HTTP 等服务。5 .企业管理综合软件ERP采用SAP/R3系统，一步解决未来企业国际化问题；或是用友 ERP U8 系统。6. 网络存储系统。五、网络系统管理1. 交换机、路由器管理。设备均是Cisco 产品，使用 Cisco Works 2000 。2. 网络综合管理。 HP OpenView 集成网络管理和系统管理。 OpenView 实现了网络运作从被动无序到主动控制的过渡，使IT 部门及时了解整个网络当前的真实状况，实现主动控制。 OpenView 系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索

29、、网络存储、智能代理、 Internet 环境的开放式 服务等丰富的功能特性。3. 桌面系统管理。 LanDesk 工作站配置和管理工具，利用它的远程控制、远程软件分发 和软件计量功能可以节省大量的时间。5771001803090012095 5790368228596330825771001803090012386 5761373997357606965771001803090013594 5780775799025155125771001803090012387 5771649826018180515771001803090012138 57213119215891832657710018

30、03090012359 5790368223610760535771001803090012356 5761352861437917425771001803090012355 57508786970469327917088100343355274 10122994432583337917088100343355275 10186673293883200817088100343356107 10158115250150052217088100343356108 10100018005987173217088100343354295 10107419414268701717088100343356184 10187866086962880217088100343356185 10177583117408667417088100343356109 10108601437357284617088100343356110 10115220721601491617088100343355237 10102704160570270917088100343355238 10122936486142541417088100343356169 10186220440263571817088100343354928 101760654089788804