網(wǎng)絡通信
IT基礎架構(gòu)規(guī)劃方案
時間:2017-10-31 13:05:04 來源:
針對某集團企業(yè)IT基礎架構(gòu)進行規(guī)劃,并提出解決方案和進行投資預算。
IT架構(gòu)
一般企業(yè)的IT架構(gòu)情況,本方案主要針對IT基礎架構(gòu)部分進行規(guī)劃,并提供選型和部署參考。
網(wǎng)絡系統(tǒng)規(guī)劃
企業(yè)的組網(wǎng)方案主要要素包括:局域網(wǎng)、廣域網(wǎng)連接、網(wǎng)絡管理和安全性。具體來說企業(yè)組網(wǎng)需求:
Ø 建立安全的網(wǎng)絡架構(gòu),總部與分支機構(gòu)的網(wǎng)絡連接;
Ø 安全網(wǎng)絡部署,確保企業(yè)正常運行;
Ø 為出差的人員提供IPSec或者SSL的VPN方式;
Ø 提供智能管理特性,支持瀏覽器圖形管理;
Ø 網(wǎng)絡設計便于升級,有利于投資保護。
企業(yè)一般的組網(wǎng)結(jié)構(gòu)如下圖,大企業(yè)網(wǎng)絡核心層一般采用冗余節(jié)點和冗余線路的拓撲結(jié)構(gòu),小企業(yè)則選擇單線路的連接方式。
通過對企業(yè)的信息化情況和網(wǎng)絡規(guī)劃要素進行分析,從總體上看,規(guī)劃方案必須具有以下特點:
Ø網(wǎng)絡管理簡單,采用基于易用的瀏覽器方式,以直觀的圖形化界面管理網(wǎng)絡。
Ø用戶可以采用多種的廣域網(wǎng)連接方式,從而降低廣域網(wǎng)鏈路費用。
Ø無線接入點覆蓋范圍廣、配置靈活,方便移動辦公。
Ø便捷、簡單的統(tǒng)一通信系統(tǒng),輕松實現(xiàn)交互式工作環(huán)境。
Ø帶寬壓縮技術,高級QoS的應用,有效降低廣域網(wǎng)鏈路流量。
Ø隨著公司業(yè)務的發(fā)展,所有網(wǎng)絡設備均可在升級原有網(wǎng)絡后繼續(xù)使用,有效實現(xiàn)投資保護。
Ø系統(tǒng)安全,保密性高,應用了適合企業(yè)的低成本網(wǎng)絡安全解決方案。
安全規(guī)劃方案
根據(jù)對該企業(yè)的實際調(diào)研,獲取了企業(yè)的網(wǎng)絡需求,以此來制定企業(yè)基礎網(wǎng)絡建設規(guī)劃方案和網(wǎng)絡設備選型參考;以下提供兩種規(guī)劃方案
1) 網(wǎng)絡需求:
企業(yè)規(guī)劃的網(wǎng)絡節(jié)點為500個,主要的網(wǎng)絡需求首先是資源共享。
2) 基礎版規(guī)劃方案
本方案適用于200~300臺電腦聯(lián)網(wǎng),應當部署核心交換機,交換機互聯(lián)方式以千兆雙絞線/光纖與接入交換機及服務器連接;用戶接入交換機,千兆銅纜/光纖上連核心交換機。Internet出口采用多業(yè)務路由器作為Internet出口路由、選用防火墻設備作為安全網(wǎng)關和移動用戶的VPN接入網(wǎng)關。網(wǎng)絡拓撲圖如下:
方案特點:
Ø高性價比:企業(yè)低投資擁有高性能、經(jīng)濟的網(wǎng)絡;
Ø簡易性:結(jié)構(gòu)簡單、安裝快速、簡單,維護無需配置專職人員;
Ø高性能:最低投資做到千兆骨干、百兆接入;
Ø可擴展性:靈活的網(wǎng)絡架構(gòu),能根據(jù)用戶需要隨時擴展,并保護已有投資。
3)高級規(guī)劃方案:
本方案適用于500~800臺電腦聯(lián)網(wǎng),三層網(wǎng)絡結(jié)構(gòu),萬兆骨干,千兆接入提供優(yōu)于傳統(tǒng)中繼聚合配置的更好的可用性和彈性;或全千兆交換機,千兆到桌面。網(wǎng)絡拓撲圖如下:
方案特點:
Ø高性能,全分布式交換網(wǎng)絡;
Ø高可靠,無間斷的通信環(huán)境;
Ø靈活彈性的網(wǎng)絡擴展能力;
Ø高效率的網(wǎng)絡帶寬利用率;
Ø全面的QOS部署,多業(yè)務融合;
Ø完善的網(wǎng)絡安全策略,實現(xiàn)深度安全檢測,抵御未知風險。
安全無線網(wǎng)絡規(guī)劃方案
安全無線網(wǎng)絡解決方案不但能提高員工的生產(chǎn)效率和協(xié)作能力,也能為合作伙伴/ 客戶提供方便的上網(wǎng)服務。根據(jù)企業(yè)情況,可以采用FAT AP方案:
1)無線網(wǎng)絡需求:
能夠獲得較高的用戶接入速率,構(gòu)建便利的移動辦公環(huán)境,實現(xiàn)企業(yè)的移動網(wǎng)絡辦公,成本投入不高,適合簡單、小規(guī)模的無線部署。
2)規(guī)劃方案:
采用硬件加軟件進行組網(wǎng),實現(xiàn)802.1x的認證,可以實現(xiàn)基于時長、流量和包月的計費;整網(wǎng)通過管理軟件統(tǒng)一管理。網(wǎng)絡拓撲圖如下:
方案特點:
Ø全面支持802.11i安全機制、802.11e QoS機制、802.11f L2切換機制;
Ø大范圍覆蓋:高接收靈敏度,達到-97dBm(普通AP-95dBm),保證更遠覆蓋;
Ø多VLAN支持:虛擬AP方式支持多VLAN,最多支持8個虛擬SSID的VLAN劃分,每個VLAN用戶可以獨立認證;
Ø兼作網(wǎng)橋使用:WDS模式支持PTP、PTMP工作模式;支持連接速率鎖定、傳輸報文整合,提高傳輸效率;
Ø負載均衡:支持基于用戶數(shù)的負載均衡、基于流量的負載均衡;
Ø針對各類室外、特殊室內(nèi)應用如倉庫等復雜環(huán)境,可以提供專門的型號。
廣域網(wǎng)互聯(lián)VPN規(guī)劃方案
伴隨企業(yè)和公司的不斷擴張,公司分支機構(gòu)通過VPN方式,企業(yè)可以利用現(xiàn)有的網(wǎng)絡資源實現(xiàn)遠程用戶和分支機構(gòu)對內(nèi)部網(wǎng)絡資源的訪問,不但節(jié)省了大量的資金,而且具有很高的安全性。
2) 規(guī)劃方案
VPN針對企業(yè)的實際需要可以和分支機構(gòu)進行IPSec VPN互連 VPN網(wǎng)關在分支機構(gòu)Internet邊界防火墻后面配置一臺VPN網(wǎng)關,由此兩端的VPN網(wǎng)關建立IPSec VPN隧道實現(xiàn)對分支機構(gòu)VPN網(wǎng)關設備的對接。如下圖:
網(wǎng)絡安全規(guī)劃
網(wǎng)絡安全是整個系統(tǒng)安全運行的基礎,是保證系統(tǒng)安全運行的關鍵。網(wǎng)絡系統(tǒng)的安全需求包括以下幾個方面:
Ø 網(wǎng)絡邊界安全需求
Ø 入侵監(jiān)測與實時監(jiān)控需求
Ø 安全事件的響應和處理需求分析
我們針對企業(yè)網(wǎng)絡層的安全策略采用硬件保護與軟件保護,靜態(tài)防護與動態(tài)防護相結(jié)合,由外向內(nèi)多級防護的總體策略。
根據(jù)安全需求和應用系統(tǒng)的目的,整個網(wǎng)絡可劃分為六個不同的安全層次。具體是:
Ø核心層:核心數(shù)據(jù)庫;
Ø安全層:應用信息系統(tǒng)中間件服務器等應用;
Ø基本安全層:內(nèi)部局域網(wǎng)用戶;
Ø可信任層:公司本部與營業(yè)部網(wǎng)絡訪問接口;
Ø危險層:Internet。
信息系統(tǒng)各安全域中的安全需求和安全級別不同,網(wǎng)絡層的安全主要是在各安全區(qū)域間建立有效的安全控制措施,使網(wǎng)間的訪問具有可控性。具體的安全策略如下:
核心數(shù)據(jù)庫采用物理隔離策略
應用系統(tǒng)采用分層架構(gòu)方式,中間件服務器本身可以通過配置相應的安全策略,限定經(jīng)過授權的工作站、用戶方能訪問系統(tǒng)服務,保障了中間件服務器的安全性;
內(nèi)部局域網(wǎng)采取信息安全策略:
通過硬件防火墻提供的VPN隧道進行加密,實現(xiàn)關鍵敏感性信息在廣域網(wǎng)通信信道上的安全傳輸。
Internet采取通訊加密策略:
建議設置嚴格的機房管理制度,嚴禁非授權的人員進入機房,也能夠進一步提升整個網(wǎng)絡系統(tǒng)的安全。
1) 廣域網(wǎng)安全規(guī)劃
將應用系統(tǒng)服務器放置在防火墻內(nèi)部專門區(qū)域。一般硬件防火墻比軟件防火墻的性能更好,建議選擇企業(yè)級的硬件防火墻。
VPN基本特征:
Ø 使企業(yè)享受到在專用網(wǎng)中可獲得的相同安全性、可靠性和可管理性。
Ø 網(wǎng)絡架構(gòu)彈性大——無縫地將Intranet延伸到遠端辦事處、移動用戶和遠程工作者。
VPN實現(xiàn)方式:
Ø硬件設備:帶VPN功能模塊的路由器、防火墻、專用VPN硬件設備等。
Ø軟件實現(xiàn):Windows 自帶PPTP或L2TP、第三方軟件(如CheckPoint、深信服等)。
Ø服務提供商(ISP):中國電信、聯(lián)通、網(wǎng)通等。目前一些ISP推出了MPLS VPN,線路質(zhì)量更有保證,推薦使用。
2)內(nèi)網(wǎng)安全規(guī)劃
企業(yè)內(nèi)網(wǎng)安全系統(tǒng)包括防病毒系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng),上網(wǎng)行為管理系統(tǒng)等。
防病毒系統(tǒng)可以采用網(wǎng)絡版防病毒系統(tǒng)或防毒墻等產(chǎn)品。