企业网络改造规划方案31087.docx

*网络改造项目规划方案 企业网络改改造规划划方案2017年年8月 目录第1章.项目概概述21.1.项目背背景21.2.项目建建设需求求21.3.建设目目标3第2章.系统规规划要求求42.1.高可靠靠要求42.2.高性能能要求42.3.易管理理性要求求42.4.安全性性要求42.5.可扩展展性要求求52.6.实用性性和先进进性要求求52.7.经济性性要求5第3章章.系统总总体设计计6第4章.基础平平台详细细规划94.1.网络系系统94.1.11.系统设设计目标标94.1.22.系统设设计原则则94.1.33.整体网网络规划划94.1.44.分区设设计详解解114.1.55.网络协协议设计计164.1.66.设备选选型建议议214.2.安全系系统224.2.11.系统设设计目标标224.2.22.系统设设计原则则224.2.33.安全体体系结构构234.2.44.子系统统规划254.2.55.设备选选型建议议29第1章. 项目概述1.1. 项目背景随着*公公司信息息技术发发展，作作为信息息载体的的网络系系统存在在问题日日益严重重：网络络负载加加大、网网络带宽宽不足、网网络安全全问题严严重、应应用系统统的增加加，多网网融合的的需求迫迫切、网网络终端端不受控控等。这这就需要要对现有有网络系系统进行行改造，以以满足*公司司信息技技术发展展的需求求。1.2. 项目建设需需求 在利利用*公司现现有网络络资源的的基础上上加以改改造，改改造后的的网络需需要满足足以下需求求：1、 根据用户对对业务系系统的访访问要求求，将现现有各个个业务子子网在网网络核心心层面进进行整合合，以达达到单个个用户可可以访问问不同子子网的资资源，并并通过一一定的安安全策略略，确保保各个子子网之间间的数据据和业务务安全。2、 优化现有网网络规模模，设立立网络汇汇聚节点点，最终终形成以以销售部部、自动动化部自自动化车车间、轧轧钢总降降、一炼炼、二炼炼、一轧轧、二轧轧等七个个部位为为主的汇汇聚点，覆覆盖全公公司、部部门、车车间的生生产区域域。3、 实现整个公公司网络络架构分分等级安安全管理理。4、 建立结构化化网络安安全系统统，所有有用户通通过认证证方式接接入公司司网络，访访问自己己对应的的网络资资源或系系统。5、 实现网络终终端受控控，重要要岗位终终端行为为管理，保保证终端端规范化化操作。 6、 实现服务器器及存储储资源的的有效利利用，建建立核心心服务器器区域的的安全防防护提高高运行能能力。将将现有主主要服务务器，如如产销系系统、新新老线MMES系系统、设设备管理理系统、远远程计量量、人事事、原料料采购、调调度、质质量等服服务器集集中统一一管理。7、 实现L2系系统在网网络中的的隔离，保保证L22系统安安全稳定定运行。1.3. 建设目标此次网络改改造规划划方案主主要包括括：网络络系统，安安全系统统的建设设。各个系统的的功能概概述如下下：1) 网络系统：尽量利用用现有的的网络接入入条件和和机房环环境条件件，对现现有网络络系统进进行全面面改造升升级，实实现生产产网、宽宽带网、设设备网之之间的融融合接入入，简化化网络逻逻辑架构构。2) 安全系统：根据网网络总体体架构和和安全需需求，设设计部署署安全防防御体系系（包括括网络层层、系统统层、应应用层等等各层次次），各各业务系系统的安安全防范范和服务务体系，并并实现集集中的安安全管理理。第2章. 系统规划要要求系统规划要要求如下下： 1.2.1. 高可靠要求求为保证业务务系统不不间断正正常运行行，整个个系统应应有足够够的冗余余，设备备发生故故障时能能以热备备份、热热切换和和热插拔拔的方式式在最短短时间内内加以修修复。可可靠性还还应充分分考虑系系统的性性价比，使使整个网网络具有有一定的的容错能能力，减少单单点故障障，网络络核心和和重点单单元设备备支持双双机备份份。2.2. 高性能要求求核心网络提提供可保保证的服服务质量量和充足足的带宽宽，以适适应大量量数据传传输包括括多媒体体信息的的传输。整整个系统统在国内内三到五五年内保保持领先先的水平平，并具具有长足足的发展展能力，以以适应未未来网络络技术的的发展。2.3. 易管理性要要求考虑到系统统建设后后期的维维护和管管理的需需要，在在方案设设计中充充分考虑虑各个设设备和系系统的可可管理性性，并可可以满足足用户个个性化管管理定制制的需要要。网站站各系统统易于管管理，易易于维护护，操作作简单，易易学，易易用，便便于进行行配置和和发现故故障。2.4. 安全性要求求对于内部网网络以及及外部访访问的安安全必须须高度重重视，设计部部署可靠靠的系统统安全解解决方案案，避免免安全隐隐患。设设计采取取防攻击击、防篡篡改等技技术措施施。制定定安全应应急预案案。管理理和技术术并重，全全方位构构建整个个安全保保障体系系。2.5. 可扩展性要要求对*信息息化建设设规划要要长远考考虑，不不但满足足当前需需要，并并在扩充充模块后后满足可可预见需需求，考考虑本期期系统应应用和今今后网络络的发展展，便于于向更新新技术的的升级与与衔接。留留有扩充充余量，包包括端口口数和带带宽升级级能力。2.6. 实用性和先先进性要要求系统建设首首先要从从系统的的实用性性角度出出发，未未来的信信息传输输都将依依赖于数数据网络络系统，所所以系统统设计必必须具有有很强的的实用性性，满足足不同用用户信息息服务的的实际需需要，具具有很高高的性能能价格比比，能为为多种应应用系统统提供强强有力的的支持平平台。2.7. 经济性要求求本次系统建建设中，要要充分考考虑原有有系统资资源的有有效利用用，发挥挥原有设设备资源源的价值值。要本本着以最最少的建建设成本本，最少少的改造造成本，持持续获得得当期及及未来建建设的最最大利益益。第3章. 系统总体设设计此方案设计计将遵循循先进性性、实用用性、可可靠性、易易管理性性、安全全性、扩扩展性、经经济性的的原则，为实现*数据集中处理的方式，构建统一融合的网络系统，能支持全公司范围内的高可靠实时网络连接。依据*网网络改造造建设的的需求，本本次方案案设计的的网络平台台系统的的总体示示意图如如下：*网络改改造总体体拓扑图图注：图中中橙色字字体的设设备为此此次新增增设备。具体描述：1 网络系统设设计1) 整体网络结结构按照照不同的的安全级级别，主主要分为为出口区区域、DDMZ区区域、中中心服务务器集群群区域、核核心交换换区域、生生产网接接入区域域、能源源网接入入区域、远远程计量量网接入入区域及及其他网网络接入入区域。2) 作为整个网网络的核核心业务务区域，采用两台高端核心交换机双机热备的方式，保证核心业务的正常开展。同时，依据业务的重要程度对全厂网络进行分区、并进行可靠安全隔离，避免重要程度较低的业务对重要程度高的核心业务造成影响。3) 生产网接入入区域，主主要以现现有的生生产网接接入设备备为主、另另外融合合了宽带带网和设设备网的的接入设设备。根根据现有有的网络络结构及及客户需需求，设设立新的的网络汇汇聚节点点，形成成以销售售部、自自动化部部自动化化车间、轧轧钢总降降、一炼炼、二炼炼、一轧轧、二轧轧等七个个部位为为主的汇汇聚点，覆覆盖全公公司、部部门、车车间的生生产区域域。4) 上述七个汇汇聚节点点主要下下联现有有的生产产网接入入设备，同同时，将将原宽带带网和设设备网的的接入设设备融入入，构建建统一的的网络接接入平台台，不再再重复建建网。新新的网络络平台融融合了，生生产网的的数据访访问和外外网互联联的需求求，使用用同一终终端即可可实现内内外网同同时访问问的功能能。5) 规划统一的的中心服服务器集集群区域域，将现现有生产产网、设设备管理理系统、人人事系统统中运行行的服务务器，划划到同一一逻辑区区域。考考虑到新新的核心心交换的的高性能能，将所所有的服服务器直直接接到到核心交交换，通通过核心心区域的的安全设设备来保保证访问问安全。使使全厂的的所有客客户终端端都通过过核心交交换来对对各个业业务系统统进行统统一访问问。6) 设计新的互互联网出出口区域域，设置置出口防防火墙、上上网行为为管理、负负载均衡衡等安全全设备，保保证全厂厂用户的的上网安安全。原原有生活活区用户户不再和和办公区区使用同同一出口口上网，生生活区用用户使用用单独的的出口设设备连接接互联网网。7) 构建DMZZ 区域域，将WWWW、DDNS、MMAILL等需要要同时服服务内外外网用户户的服务务器放到到该区域域，设置置VPNN、负载载均衡等等设备保保证服务务安全。8) 能源网和远远程计量量网由于于是独立立运行的的物理网网络，不不在此次次网络改改在的范范围。但但此次我我们新增增的核心心交换，在在性能、稳稳定性、处处理能力力方面，均均有能力力负载未未来其他他多个网网络的融融合。2 安全系统设设计本次*网网络改造造项目建设设将考虑虑如何建建设多层层次、纵纵深防御系系统。另另外，要要加强安安全管理理工作和和安全应应急工作作。通过部署防防火墙保保证网络络边界的的安全，保保证网络络层的安安全；部署入入侵检测测系统实实现内网网安全状状态的实实时监控控；部署署防病毒毒系统防防止病毒毒入侵，保保证主机机的安全全；部署署网络监监控系统统对网络络进行监监控；部部署抗攻攻击系统统抵御来来自外界界Intternnet的的DoSS/DDDoS攻攻击；部部署漏洞洞扫描系系统对系系统主机机、网络络设备的的脆弱性性进行分分析；部部署时钟钟系统使使系统的的时钟同同步；部部署单点点登录系系统方便便用户在在多个系系统间自自由穿梭梭，不必必重复输输入用户户名和密密码来确确定身份份；部署署统一认证证系统对对不同的的应用系系统进行行统一的的用户认认证，通通过统一一的用户户认证平平台提供供一个单单一的用用户登陆陆入口；部署安安全管理理平台实实现系统统内安全全事件的的统一管管理。我们要通过过相应的的安全技技术建设设一套包包含物理理层、网网络层、主主机层、应应用层和和管理层层等多个个方面的的完整网网络安全全体系。第4章. 基础平台详详细规划划4.1. 网络系统4.1.1. 系统设计目目标网络系统建建设的总总体目标标，是要要建立统统一融合合的、覆覆盖全公公司范围围内的、高高速高可可靠的网网络平台台，以支支持数据据集中处处理的运运行模式式。4.1.2. 系统设计原原则网络系统包包括四大部分分，一是是出口区区域，实实现公司司用户的的上网需需求；二二是服务务器区域域，对*现有有业务系系统的主主机存储储进行统统一管理理；三是是核心交交换区域域，实现现全公司司所有功功能区域域的互联联互通；四是二二级接入入区域，对对整个网网络现状状进行重重新规划划，形成成新的汇汇聚节点点，将生生产网、宽宽带网、设设备管理理、人事事系统统统一融合合到新的的管理网网络中，实实现单一一终端对对所有业业务系统统的统一一访问。网络系统有有良好的的扩展性性，保证证网络在在建设发发展过程程中业务务和系统统规模能能够不断断地扩大大。网络线路及及核心、关关键设备备有冗余余设计。核核心设备备和关键键设备保保证高性性能、高高可靠性性、大数数据吞吐吐能力。网络系统的的设计充充分考虑虑系统的的安全性性。4.1.3. 整体网络规规划按照结构化化、模块块化的设设计原则则，实现现高可用用、易扩扩展、易易管理的的建设目目标。网网络整体体拓扑如如下图所所示：注：图中中橙色字字体的设设备为此此次新增增设备。按照“模块块化”设计原原则，需需要对*整体体网络结结构进行行分区设设计。根根据*公司业务务情况，各各区域业业务系统统部署描描述如下下：核心交换区区：此区区域用于于实现各各分区之之间的数数据交互互，是数数据中心心网络平平台的核核心枢纽纽。出口区域：互联网网出口，公公司员上上网，对对外发布布公司信信息，承承载电子子商务等等业务系系统。中心服务器器区：此此区域部部署核心心业务服服务器，包包括MEES、OOA、人人事、安安全管理理等应用用系统。网络汇聚区区：实现现公司办办公楼、各各分厂等等汇聚网网络接入入，二级级单位可可以通过过该接入入区域实实现对业务系统统的访问问。接入交换区区：全厂厂接入设设备连接接区域，该该区域用用于连接接终端用用户和公公司核心心交换网网络，是是网络中中最广泛泛的网络络设备。4.1.4. 分区设计详详解4.1.4.1. 核心交换区区设计此次网络改改造，建建议新增增两台高高性能的的核心交交换机作作为*的网络络核心。核核心层作作为整个个*网络络的核心心处理层层，连接接各分布布层设备备和*核心服服务器区区，核心心层应采采用两台台高性能能的三层层交换机机采用互互为冗余余备份的的方式实实现网络络核心的的高速数数据交换换机，同同时，两两台核心心设备与与分布层层各设备备连接，保保证每台台分布层层设备分分别与两两台核心心层设备备具有网网络连接接，通过过链路的的冗余和和设备冗冗余的设设计，保保证整个个核心层层的高可可靠性。两两台核心心设备之之间应至至少保证证2Gbbps全全双工的的速率要要求，并并能平滑滑升级到到10GGbpss。核心区是整整个平台台的枢纽纽。因此此，可靠靠性是衡衡量核心心交换区区设计的的关键指指标。否否则，一一旦核心心模块出出现异常常而不能能及时恢恢复的话话，会造造成整个个平台业业务的长长时间中中断，影影响巨大大。4.1.4.2. 互联网出口口区设计计*与外网网的出口口区域，目目前是通通过建立立独立的的宽带网网，实现现办公区区和生活活区通过过统一出出口访问问外网的的。在此此次网络络改造中中，我们们计划把把生活区区上网与与办公区区上网隔隔离开，通通过不同同的出口口访问外外网。改改造后的的生活区区网络拓拓扑结果果如下图图所示：如上图所所示，此此次生活活区的网网络改造造会增加加新的防防火墙和和负载均均衡设备备，作为为生活区区的网络络安全管管理设备备，通过过单独的的出口设设备连接接到互联联网。改在后的的厂区互互联网出出口区域域，如下下图所示示：如上图所所示，工工作区的的网络改改造同样样会增加加新的防防火墙和和负载均均衡设备备，以及及上网行行为管理理等安全全设备，作作为生活活区的网网络安全全管理设设备，通通过单独独的出口口设备之之间连接接到互联联网。出口区域域除了网网络出口口设备外外，还包包括一个个DMZZ区域，用用于将WWWW、DDNS、MMAILL等，需需要同时时服务内内、外网网用户的的服务器器放到该该区域，4.1.4.3. 中心服务器器区设计计规划统一的的中心服服务器集集群区域域，将现现有生产产网、设设备管理理系统、人人事系统统中运行行的服务务器，划划到同一一逻辑区区域。该该区域物物理上为为一个区区域接入入到核心心，而逻逻辑上可可以再划划分为多多个业务务应用区区，根据据业务属属性的不不同可以以划分为为生产服服务器区区（如EERP等等）、办办公服务务器区（如如OA等等）、管管理服务务器区（如如IT运运维、管管理等系系统）等等。考虑到新的的核心交交换的高高性能，将将所有的的服务器器直接接接到核心心交换，通通过核心心区域的的安全设设备来保保证访问问安全。使使全厂的的所有客客户终端端都通过过核心交交换来对对各个业业务系统统进行统统一访问问。4.1.4.4. 网络汇聚区区设计网络汇聚区区域，根根据现有有的网络络结构及及客户需需求，设设立新的的网络汇汇聚节点点，形成成以销售售部、自自动化部部自动化化车间、轧轧钢总降降、一炼炼、二炼炼、一轧轧、二轧轧等七个个部位为为主的汇汇聚点，覆覆盖全公公司、部部门、车车间的生生产区域域。该区区域的网网络设备备主要以以现有的的生产网网汇聚设设备为主主、另外外融合了了宽带网网和设备备网的汇汇聚设备备，同时时考虑现现有汇聚聚设备性性能不能能满足需需求的情情况，新新增高新新能的汇汇聚设备备。汇聚层设备备通过双双链路的的方式与与核心层层两台核核心交换换设备相相连，同同时，为为保障网网络的健健壮性，以以及便于于各个分分厂区之之间数据据交互，各各个分厂厂区的汇汇聚交换换机之间间也有线线路直连连。各汇汇聚节点点与核心心层的连连接，应应全部采采用10000MMbpss或10000MMbpss以上的的连接方方式，分分布层设设备实现现本区域域内的各各Vlaan的路路由处理理和安全全限制。4.1.4.5. 接入层部分分网络汇聚聚节点主主要下联联现有的的生产网网接入设设备，同同时，将将原宽带带网和设设备网的的接入设设备融入入，构建建统一的的网络接接入平台台，不再再重复建建网。新新的网络络平台融融合了，生生产网的的数据访访问和外外网互联联的需求求，使用用同一终终端即可可实现内内外网同同时访问问的功能能。接入层设备备与分布布层设备备通过110000M光纤纤或双绞绞线的方方式连接接，在用用户量较较少的分分节点可可以采用用1000M上联联方式，与与各终端端用户连连接一般般采用1100MM或者10000MM双绞线线的方式式。生产网中其其他办公公楼及分分厂区的的网络接接入，通通过自动动化车间间和轧钢钢总降等等汇聚节节点，接接入到新新的数据据网络中中。各个个分厂区区的网络络接入情情况如下下图所示示：自动化车间间汇聚网网络拓扑扑图轧钢总降汇汇聚网络络拓扑图图4.1.5. 网络协议设设计4.1.5.1. IP地址和和VLAAN规划划IP地址是是网络设设计工作作中重要要的一环环，使用用IP地地址不当当会造成成路由表表庞大、难难以部署署安全控控制、地地址重叠叠问题、地地址空间间耗尽等等问题，会会给网络络运行带带来很大大麻烦。为为了让*网络络建设项项目顺利利进行，我我们建议议*网络络采用以以下IPP地址规规划原则则进行适适当改进进：1、 为公司各个个二级单单位、应应用业务务、数据据中心采采用统一一规划，统统一分配配，统一一管理的的地址设设计原则则，避免免重叠地地址的出出现。设设定专门门流程和和人员对对全公司司网络地地址进行行记录和和权限管管理。2、 尽可能采用用私有地地址进行行IP地地址分配配。私有有地址就就是我们们熟知的的三类网网络地址址，分别别是A类类网中的的10.0.00.010.2555.2555.2255范范围，BB类网中中的1772.116.00.01722.311.2555.2255范范围，CC类网中中的1992.1168.0.001992.1168.2555.2555范围围。3、 整网地址规规划思路路可按照照以下方方法设计计，如110.XX.Y.Z，XX为不同同厂区进进行标示示，Y为为该厂区区内不同同业务或或应用进进行标示示，Z为为主机地地址位。4、 同一个区域域内部，使使用连续续的IPP子网进进行IPP地址分分配。例例如，厂厂区A内内需要有有4个CC类网络络，为了了满足地地址汇聚聚需要，应应该为连连续的CC类网络络。例如如：100.2554.1128.0/224、110.2254.1299.0/24、110.2254.1300.0/24和和10.2544.1331.00/2444个网络可可以汇聚聚成100.2554.1128.0/222。在在定义测测试区安安全策略略时，不不用将44个网段段同时定定义成AACL，使使用一条条ACLL就可以以包括全全部网络络。5、 使用可变长长掩码规规划网络络地址，根根据IPP地址使使用对象象的特点点，部署署不同长长度子网网掩码。例例如，应应用网段段的IPP地址，可可以采用用C类网网地址，掩掩码为224位；区域设设备之间间的互连连地址可可以采用用29位位掩码。6、 不同主机实实际网关关IP地地址与HHSRPP使用的的IP地地址应该该在整个个数据中中心统一一，使用用相同的的方式配配置，例例如：整整个厂区区均采用用X.XX.X.1作为为主机实实际网关关IP地地址，HHSRPP采用XX.X.X.2254为为HSRRP网关关地址。7、 网络互连地地址采用用IP地地址网段段的头两两个可用用地址，核核心侧设设备接口口配置奇奇数地址址，边缘缘侧设备备接口配配置偶数数地址。例例如，设设备A与与设备BB互连，采采用100.2554.2254.0/229网段段为互连连地址，该该网段头头两个可可用地址址为100.2554.2254.1和110.2254.2544.2，设设备A为为核心设设备，配配置奇数数地址110.2254.2544.1，设设备B为为边缘设设备，配配置偶数数地址110.2254.2544.2。8、 网络设备配配置环回回地址（332位掩掩码地址址），用用于网络络管理和和日志管管理。VLAN主主要用于于将局域域网环境境划分为为多个逻逻辑网络络，从而而降低广广播风带带来的影影响，也也可提高高网络可可管理性性和安全全性。建建议在此此次网络络建设中中可按照照以下原原则对新新建VLLAN及及原有VVLANN进行适适当调整整和修改改。1、 VLAN ID的的规划可可按照应应用业务务、工作作部门、厂厂区位置置等方法法定义，这这里建议议按照原原有网络络规划方方法进行行。2、 VLAN ID可可以是22-40096任任意数字字，为了了方便标标示和管管理，建建议IDD与IPP网段地地址相关关联。如如10.18.10.0/224 VLAAN100; 110.118.220.00/244VLLAN220; 10.18.30.0/224VVLANN30等等。3、 VLAN规规划避免免重复，全全网VLLAN静静态手动动分配（在在根交换换机），统统一管理理和记录录。4.1.5.2. 动态路由协协议对一个大网网络来说说，选择择一个合合适的路路由协议议是非常常重要的的，不恰恰当的选选择有时时对网络络是致命命的，路路由协议议对网络络的稳定定高效运运行、网网络在拓拓朴变化化时的快快速收敛敛、网络络带宽的的充分有有效利用用、网络络在故障障时的快快速恢复复、网络络的灵活活扩展都都有很重重要的影影响。目前存在的的路由协协议有：RIPP(v11&v22)、OSPPF、IGRRP、EIGGRP、IS-IS、BGPP等，根根据路由由算法的的性质，它它们可分分为两类类：距离离矢量(DisstannceVVecttor)协议(RRIP/IGRRP/EEIGRRP)和和连接状状态(LLinkkStaate)协议(OOSPFF/ISS-ISS)。可用于大规规模的网网络同时时又基于于标准的的IGPP的路由由协议有有OSPPF和IIS-IIS。两两种路由由协议均均是基于于链路状状态计算算的最短短路径路路由协议议；采用用同一种种最短路路径算法法（Diijksstraa）。 考虑到到产品对对OSPPF和IIS-IIS的支支持的成成熟性以以及OSSPF和和IS-IS工工程经验验，建议议采用OOSPFF做为*网络络的主用用动态路路由协议议。作为链路状状态协议议，OSSPF的的特征如下下：l 通过维护一一个链路路状态数数据库，使使用基于于Dijjksttra的的SPFF路由算算法。l 使用Helllo包包来建立立和维护护路由器器之间的的邻接关关系。l 使用域（aareaa）来建建立两个个层次的的网络拓拓扑。l 具有域间路路由聚合合的能力力。l 无类（cllassslesss）协协议。l 通过选举指指派路由由器（DDesiigneed RRoutter）来来代替网网络广播播。l 具有认证的的能力。OSPF是是一套链链路状态态路由协协议，路路由选择择的变化化基于网网络中路路由器物物理连接接的状态态与速度度，变化化被立即即广播到到网络中中的每一一个路由由器。每每个路由由器计算算到网络络的每一一目标的的一条路路径，创创建以它它为根的的路由拓拓扑结构构树，其其中包含含了形成成路由表表基础的的最短路路径优先先树（SSPF树树）。下图是OSSPF分分Areea的状状态。OOSPFF Arrea的的分界处处在路由由器上，如如图所示示，一些些接口在在一个AAreaa内，一一些接口口在其它它Areea内，当当一个OOSPFF路由器器的接口口分布在在多个AAreaa内时，这这个路由由器就被被称为边边界路由由器（AABR）。每每个路由由器仅与与它们自自己区域域内的其其它路由由器交换换LSAA。Arrea00被作为为主干区区域，所所有区域域必须与与Areea0相相邻接。在在ABRR（区域域边界路路由器，AAreaa Boordeer RRoutter）上上定义了了两个区区域之间间的边界界。ABBR与AAreaa0和另另一个非非主干区区域至少少分别有有一个接接口。OSPF允允许自治治系统中中的路由由按照虚虚拟拓扑扑结构配配置，而而不需要要按照物物理互连连结构配配置。不不同区域域可以利利用虚拟拟链路连连接。 允许在无IIP情况况下，使使用点到到点链路路，节省省IP空空间。OSPF是是一个高高效而复复杂的协协议，路路由器运运行OSSPF需需要占用用更多CCPU资资源。下面从层次次能力、稳稳定性、扩扩展性和和可管理理性四个个方面对对OSPPF进行行介绍：Ø 层次能力通过 arreass支持层层次化边界在roouteer 内内链路状态数数据库（LLSDBB）来自自网络或或路由器器LSAA 尺寸寸 64 KB to 50000 条条链路的的限制Ø 稳定性依靠路由设设计和实实现大型网络中中使用呈呈现增强强的趋势势Ø 扩展性使用扩展 TLVV 编码码策略新扩展需开开发时间间Ø 管理性企业网中大大范围使使用可借鉴经验验较多此次网络建建设项目目，我们们建议在在各个区区域之间间开始部部署OSSPF动动态路由由协议。因因为接入入交换机机多数为为二层交交换机，无无法一次次实现路路由到用用户边界界的改造造，所以以此次仅仅将各个个区域的的核心交交换开启启路由进进程，今今后可逐逐步实现现全网的的路由建建设。各各个区域域在本次次设计中中都部署署高性能能三层交交换机，这这些交换换机需具具备完整整的路由由支持功功能。区区域间核核心设备备组建OOSPFF协议的的骨干aareaa，未来来在大范范围部署署动态路路由协议议时，可可考虑将将各个厂厂区划分分为arrea11，arrea22等等，可可以充分分做到基基于arrea的的路由汇汇总和控控制。互联网区域域可按照照需要，适适当采用用静态路路由的方方式完成成园区网网与外网网的连通通。未来可逐渐渐增加路路由的范范围，逐逐步演变变为路由由到用户户边界的的形式。4.1.6. 设备选型建建议4.1.6.1. 华为产品选选型方案案产品类型选型建议配置描述数量备注核心交换机机华为 S1128008背板带宽：32TTbpss；包转转发率：96000Mppps；8个业业务槽位位；支持持基于LLayeer2、LLayeer3、LLayeer4优优先级等等的组合合流分类类支；电电源功率率：108800WW；2华为 S993066背板带宽：6Tbbps；包转发发率：111522Mppps；扩扩展模块块：6个个业务槽槽位；支支持基于于Layyer22协议；安全管管理：8802.1x认认证1生活区宽带带网核心心交换机机汇聚交换机机华为 S66324424个GEE SFFP/110 GGE SSFP+端口,双电源源槽位,含USSB接口口，交流流供电；转发性性能:7715 M；交交换容量量:9660 GG；2华为 S55324420个100/1000/110000Basse-TT，4个个千兆CCombbo口分分交流供供电和直直流供电电两种机机型, 支持RRPS 12VV冗余电电源，支支持USSB口,交换容容量488G144.1.6.2. 华三产品选选型方案案产品类型选型建议配置描述数量备注核心交换机机H3C SS125508机箱，主控控板，88端口万万兆光口口板，448端口口千兆电电口板，流流量分析析业务板板，冗余余电源2H3C SS105508机箱，主控控引擎，448口千千兆电口口板，448口千千兆光口口板，44端口万万兆光口口板，防防火墙业业务板，冗冗余电源源1生活区宽带带网核心心交换机机汇聚交换机机H3C SS75006E机箱，双SSaliiencce VVI引擎擎，2*24口口千兆电电口板，112口千千兆光口口板，冗冗余电源源2H3C SS55000H3C SS55000-552C-EI-以太网网交换机机主机(48GGE+44SFPP Coomboo+2SSlotts)，44个单模模SFPP模块144.2. 安全系统4.2.1. 系统设计目目标本次*网网络改造造项目建设设目标是是通过建建立完善善的安全全体系，在在网络安安全，主主机安全全和应用用安全三三个层面面上，搭搭建一套套立体的的安全架架构。这这样可以以实现抵抵御各个个层面的的攻击，防防止病毒毒入侵等等功能。同同时进行行主机的的风险评评估和安安全加固固服务，提提前屏蔽蔽漏洞风风险。并并通过安安全管理理平台实实现安全全审计功功能，做做到事件件追踪。4.2.2. 系统设计原原则4.2.2.1. 整体性原则则建设*安安全系统统时应充充分考虑虑各个层层面的因因素，总总体规划划各个出出入口网网关的安安全策略略。本次次*网络络改造项项目充分分考虑各各个环节节，包括括设备、软软件、数数据等，它它们在网网络安全全设计中中是非常常重要的的。只有有从系统统整体的的角度去去看待和和分析才才可能得得到有效效，可行行的措施施。4.2.2.2. 适应性及灵灵活性原原则随着互联网网技术的的高速发发展，对对网络安安全策略略的需求求会不断断变化，所所以本次次部署的的安全策策略必须须能够随随着网络络等系统统性能及及安全需需求的变变化而变变化，要要做到容容易适应应、容易易修改。4.2.2.3. 一致性原则则一致性原则则只要指指安全策策略的部部署应与与其他系系统的实实施工作作同时进进行，方方案的整整体安全全架构要要与网络络平台结结构相结结合。安安全系统统的设计计思想应应该贯穿穿在整个个网络平平台设计计中，体体现整体体平台的的一致安安全性。4.2.2.4. 需求、风险险、代价价平衡的的原则对网络要进进行实际际的研究究（包括括任务、性性能、结结构、可可靠性、可可维护性性等），并并对网络络面临的的威胁及及可能承承担的风风险以及及付出的的代价进进行定性性与定量量相结合合的分析析，然后后制定规规范和措措施，确确定系统统的安全全策略。4.2.2.5. 易操作性原原则安全措施需需要人去去完成，如如果措施施过于复复杂，对对人的要要求过高高，本身身就降低低了安全全性；同同时措施施的采用用不能影影响系统统的正常常运行。4.2.2.6. 多重保护原原则本次*安安全系统统要建立立一个多多重保护护系统，各各层保护护相互补补充，当当一层保保护被攻攻破时，其其它层保保护仍可可保护信信息的安安全。4.2.2.7. 经济性原则则在满足*系统安安全需求求的前提提下，选选用经济济实用的的软硬件件设备，以以便节省省投资，即即选用高高性能价价格比的的设备；同时，应应该充分分挖掘现现有系统统软硬件件设备的的使用潜潜力，尽尽可能以以最低成成本来完完成安全全系统建建设。4.2.3. 安全体系结结构*网络系系统安全全区域划划分示意意图如下下：*网络系系统安全全区域划划分如上图所示示，*网络系系统划分分为多个安全全区域，分分别为：出口区区域、DMZZ区域、管理网网接入区区域、中心服服务器区区域和核核心交换换区。其其中，出口区域域和DMMZ区域域设备可可访问IInteerneet，部部分设备备也可由由Intternnet访访问，但但均不可可由公网网直接路路由到，安安全级别别为中；管理网网接入求求负责公司司二级接接入网络络同中心心服务器器及出口口区域的的数据交交互，安安全级别别为高；中心服服务器区区域设备备为*核心数数据，在在公网不不可以访访问，内内网用户户只能经经授权后后访问特特定服务务，安全全级别最最高。接入层的的安全级级别如上上图所示示：管理理网中，可可以上外外网的IInteerneet接入入终端的的安全级级别低；只能访访问管理理网业务务系统的的接入终终端，安安全级别别较高。4.2.4. 子系统规划划4.2.4.1. 网络隔离系系统1. 出口防火墙墙通过部署两两台千兆兆出口防防火墙实实现Innterrnett与*内网的的隔离。两两台防火火墙一主主一备，提提高出口口可靠性性。出口防火墙墙划分的的内外网网之间的的访问策策略为：内网到到公网基基本不做做限制，主主要是考考虑到内内网的上上网终端端上网需需求，另另有些设设备需要要到公网网升级；公网到到备内网只只针对DDMZ区区域开放放相应端端口（如如80）。部部署在出出口区域域的设备备如有和和内网核核心服务务器通讯讯的需求求，在出出口防火火墙上对对这些需需求打开开相应的的IP和和端口。2. 内网防火墙墙通过内网防防火墙实实现核心心内网区区域之间间的隔离离。由于于数据流流较大，两两台防火火墙采用用双活方方式工作作，不同同业务的的数据流流分别通通过不同同的防火火墙，实实现数据据流的动动态分担担。实现现安全的的同时兼兼顾传输输效率。部署内网防防火墙后后，要针针对业务务的情况况制订特特定的访访问策略略，策略略制定完完成后只只开放特特定主机机的IPP与服务务端口，其其他访问问一律禁禁止。4.2.4.2. 入侵检测系系统*网络系系统需在在网络的的关键位位置部署署入侵防防御系统统（IPPS）。建建议在网网络前端端核心设设备部署署两台IIPS设设备。可可监控内内网与公公网之间间的数据据交互、公公网对DDMZ区区域的访访问数据据、监控控接入/DMZZ区域终终端对核核心内网网的数据据交互。4.2.4.3. 漏洞扫描系系统为了防止网网站被黑黑客入侵侵，需要要在网络络系统中中部署漏漏洞扫描描系统，通通过漏洞洞扫瞄系系统可以以定期对对网络系系统进行行安全性性分析，发发现并修修正存在在的弱点点和漏洞洞。漏洞洞扫瞄系系统是管管理员监监控网络络通信数数据流、发发现网络络漏洞并并解决问问题的有有力工具具。针对本系统统的网络络设计，我我们将漏漏洞扫瞄瞄系统部部署在核核心内网网管理区区域，使使漏洞扫扫描系统统能够尽尽量不受受限制的的对待评评估系统统进行访访问。漏洞扫描系系统部署署后，将将会对*的各各个业务务系统以以及安全全系统设设备进行行扫描，根根据扫描描评估结结果可以以及时发发现系统统漏洞并并及时采采取措施施。4.2.4.4. 安管平台系系统安全管理审审计工作作作为安安全体系系的重要要组成部部分，需需要部署署安全管管理平台