(完整)厂区网络设计的方案.docx

《(完整)厂区网络设计的方案.docx》由会员分享，可在线阅读，更多相关《(完整)厂区网络设计的方案.docx（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、（完整）厂区网络设计的方案编靖:整理.尊敬的读者朋友们：这里是精品文档编辑中心，本文档内容是由我和我的同事 精心编辑整理后发布的，发布之前我们对文中内容进行仔细校 对，但是难免会有疏漏的地方，但是任然希望（完整）厂区网 络设计的方案）的内容能够给您的工作和学习带来便利。同时 也真诚的希望收到您的建议和反馈，这将是我们进步的源泉， 前进的动力。本文可编辑可修改，如果觉得对您有帮助请收藏以便随时 查阅，最后祝您生活愉快业绩进步，以下为（完整）厂区网络设 计的方案的全部内容。第1页（完整）厂区网络设计的方案网络及电话设计方案目录系统要易于管理、易于维护。网络需要很高的可管理性， 特别是在数据、视频等

2、多业务的网络系统里，要使用可管理的 网络设备,可以识别关键资源，根据流量状况以及网络性能配 置阈值并为不同的应用提供不同的带宽，使所有的服务能够顺 利完成.随着系统的投入运行和系统资源的不断增加，网络系统应 具有很好的易维护性，使管理人员易于维护，减少不必要的额 外劳动，提高工作效率.6、易扩展原则：提供开放性好、标准化程度高的技术和设备，便于功能扩 展。考虑到业务日益增长的长远需求，提供网络的可扩充性。 用户的数量、需求和应用在不断变化，技术也不断发展，随着 网络技术的不断发展，网络应用规模在不断扩大。因此，在网 络结构上要实现真正开放，基于国际开放式标准，设计过程中 应当保证在用户业务量和

3、业务类型的变化增长的情况下，硬件 支撑平台能够方便的升级并扩展，网络可以自如地扩充容量， 支持更多的用户及应用。网络平台设计时必须按照各种国际通 用标准进行，以保证各种设备、网络的兼容通用。开放的网络 使用户可以自由地选择不同厂家的产品，将来网络在实现扩容、 升级时不会受到某些厂家专有标准的限制。网络结构与网络技 术的选择，要具有相当的前瞻性，以确保随着网络技术的不断 发展，网络能够平滑地过渡到更先进的技术和设备，充分保障 用户现有的投资和利益。网络的扩展能力包括设备交换容量的扩展能力、端口密度 的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。2. 2层次化设计在园区网络整体设计中，采用层

4、次化、模块化的网络设计 结构，并严格定义各层功能模型,不同层次关注不同的特性配 置。典型的园区网络结构可以分成二层：接入层、汇聚层.1）接入层：提供网络的第一级接入功能，完成简单的二、 三层交换，安全、Qos和POE功能都位于这一层.对于园区网 的接入层设备，建议采用千兆三层接入的方式，应该具有线速 三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。2）汇聚层：汇聚来自配线间的流量和执行策略，当路由协 议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特 点，这一层还可作为接入设备的第一跳网关；对于园区网的汇 聚层设备，应该能够承载园区的多种融合业务，能够融合了 MPLS、IPv6、

5、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承 载园区融合业务的需求。2. 3高可靠性厂区外网高可靠网络设计方案对于厂区外网网络，接入端口数量不多、但可靠性要求较 高；对交换容量、带宽要求较高.第6页（完整）厂区网络设计的方案我们推荐高速、无阻塞交换千兆两层扁平组网模型。为用 户提供千兆接入、支持语音和POE、网络可以运行OSPF协议, 两层扁平网络结构，易于配置和管理，并能适应用户未来几年 网络应用的需要，提供预留容量.两层简化扁平网络结构，汇聚、核心合为一层，减少了网 络设备数量，易于配置和管理，为用户提供千兆桌面接入、支 持语音和POE功

6、能。接入、核心层设备都为机架式，可用多种 不同端口类型的单板组合，使用灵活、可扩充性强，节省网络 投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交 换。2. 4网络总体规划网络解决方案总体设计以高性能、高可靠性、高安全性、 良好的可扩展性、可管理性和统一的网管系统及可靠组播为原 则，以及考虑到技术的先进性、成熟性，并采用模块化的设计 方法。网络主要目的是将网络的性能、带宽、主要网络业务进行 全网的建设。网络设计主要包含高品质IP核心网模块、智能 弹性接入网模块、安全渗透网络模块、网络系统综合管理、自 适应无线网、IPv4/v6地址与路由模块、组播与QoS优化模块 等主要部分。新厂区网络均

7、以网线为媒介由办公楼1楼机房向厂区各个 车间铺设，办公楼主要以网线铺设，在会议室等场所配备无线 AP设备，所有网线均从各个机房内铺设。本建网方案为扁平化结构设计，分为核心和接入两层架构 设计。1、核心采用1台核心三层千兆路由交换机。保证有足够 的数据转发能力2、接入采用千兆二层可智能网管交换机，以千兆双归属到核心。外网结构如下图所示：第7页（完整）厂区网络设计的方案本次方案设计采用二层扁平化方式组网，进一步提高核心 网络的可靠性、以及高性能。星形化结构的优势有以下几点：A层次结构清晰，能够将网络进行充分的规划。A星形化组网使网络复杂度降低，网络稳定性提升,网络维 护难度降低。A采用星形化结构还

8、具有高扩展性的特点，在今后网络规模扩大时只需要增加相应的接入设备，原有的网络配置可以最大限度得到保留，实现平 滑网络扩容。较高的网络带宽可以充分满足多种业务无阻塞交换A网络管理者不必再为每种业务配置不同的服务质量策略, 简化了设备的配置与维护工作。第3章安全管理安全渗透网络设计在规划网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系化的整第8页（完整）厂区网络设计的方案体网络安全解决方案：体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动 态的实施过程，提出科学的安全体系和安全模型，并根据安全 体系和安全模型分析网络中可能存在的各种安全风险，针对这 些风险以动态

9、实施过程为基础，提出整体网络安全解决方案， 从而最大限度地解决可能存在的安全问题。全局性、均衡性原则安全解决方案的设计从全局出发，综合考虑信息资产的价 值、所面临的安全风险，平衡两者之间的关系，根据信息资产 价值的大小和面临风险的大小，采取不同强度的安全措施，提 供具有最优的性能价格比的安全解决方案。可行性、可靠性原则在采用全面的网络安全措施之后，应该不会对XX大学原 有的网络，以及运行在此网络上的应用系统有大的影响，实现 在保证网络和应用系统正常运转的前提下，有效的提高网络及 应用的安全强度，保证整个信息资产的安全。可动态演进的原则方案应该针对泵阀厂制定统一技术和管理方案，采取相同 的技术路

10、线,实现统一安全策略的制定，并能实现整个网络从 基本防御的网络，向深度防御的网络以及智能防御的网络演进, 形成一个闭环的动态演进网络安全系统.3.1网络完全实际办法网络安全问题的解决，三分靠技术，七分靠管理，严格管 理是企业、机构及用户免受网络安全问题威胁的重要措施。事 实上，多数企业、机构都缺乏有效的制度和手段管理网络安全。 网络用户不及时升级系统补丁、升级病毒库的现象普遍存在； 随意接入网络、私设代理服务器、私自访问保密资源、非法拷 贝机密文件、利用非法软件获取利益等行为在企业网中也比比 皆是。管理的欠缺不仅会直接影响用户网络的正常运行，还可 能使企业蒙受巨大的商业损失。为了解决现有网络安

11、全管理中存在的不足，应对网络安全 威胁，北京网康公司的ICG上网行为管理设备可以简单易用 的完成各种网络审计，应用控制，流量限速等策略。并可以做 到以下几点1、检查：第9页（完整）厂区网络设计的方案检查网络接入用户的身份；检查网络接入用户的访问权限；检查网络接入用户终端的安全状态;2、隔离隔离非法用户终端和越权访问；隔离存在重大安全问题或安全隐患的用户终端；3、修复帮助存在安全问题或安全隐患的用户终端进行安全修复, 以便能够正常使用网络；4、监控实时监控在线用户的终端安全状态，及时获取终端安全信息；对非法用户、越权访问和存在安全问题的网络终端进行定位统计，为网络安全管理提供依据；通过制定新的安

12、全策略，持续保障网络的安全。3. 2核心交换机强大内置安全特性逐包转发机制防止病毒冲击S5500路由交换机是采用了逐包转发的机制，它和传统的 流转发机制在安全性方面有着更本的差异.流转发主要存在下 面两个问题：（1）、在网络拓扑频繁变化时，设备的适应性 差，转发性能下降严重；（2）存在一定安全隐患问题，尤其在 网络遭受到类似“红色代码”这类病毒攻击时问题尤为严重.流转发为一次路由多次交换，它的特点是一旦查找一次路 由后,就把查找结果存放在CACHE里，以后同样目的地址的包 就不用重新查找，直接采用类似二层交换的技术，直接转发到 目的端口去。如果路由表项几乎不变化，则可通过上面所述的 硬件精确匹

13、配的方式能够很快的速度进行查表转发。但是如果 应用的情况为路由表项经常出现变更的情况，就会导致无法通 过硬件的精确匹配的方式查找到路由，这时三层以太网交换机 的就会转为通过CPU软件进行路由查找，查表和转发速度就 会急剧下降。这是工作基本上是处于靠CPU软件进行路由的 “多次慢路由”的情况。也就是说三层交换机在进行数据报文转 发时主要根据数据报文的五元组特征进行精确命中数据转发， 对于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进 行变换，其五元组信息始终处于一个不停变换阶段，这样导致 三层交换机CPU不停进行路由查找，由于这类报文另外一个 特征就是短时间内产生大量报文，从而最终导致三层

14、交换机CPU在转发过程中瘫机，同时这台交换机下挂的三层交换机 同样接收到大量病毒报文，基于上述原因其CPU转发引擎也 将瘫机。与此同时当上层交换机从转发报文中缓解过来时而下 层交换机又处于瘫机中，这第10页（完整）厂区网络设计的方案样网络路由必然就会出现较大振荡，交换机转发性能急剧 下降,最终导致所有交换机瘫机，整个网络不可用.对于采用网络拓扑驱动的路由交换机而言由于采用逐包转 发，进行的是最大匹配方式路由查找，当数据报文端口号进行 变换的情况下，对路由器转发不造成影响，所以一旦遭受“红 色代码”病毒攻击时没有任何问题。3. 3基层网络安全1、端口+lP+MAC地址的绑定:用户上网的安全性非常

15、重要，H3C E100系列可以做到， 端口+IP+MAC地址的绑定关系，H3CE100系列交换机可以支 持基于MAC地址的802。IX认证，整机最多支持1K个下挂 用户的认证。MAC地址的绑定可以直接实现用户对于边缘用 户的管理，提高整个网络的安全性、可维护性.如:每个用户分第1章网络需求分析31.1需求分析3lo 2建设目标4第2页（完整）厂区网络设计的方案第2章组网方案规划设计-52.1建设原则52。2层次化设计62.3高可靠性62O 4网络总体规划7第3章安全管理安全渗透网络设计8网络完全实际力、法93.1 核心交换机强大内置安全特性103O 3基层网络安全11配一个端口，并与该用户主机

16、的MAC、IP、VLAN等进行绑 定，当用户通过802。IX客户端认证通过以后用户便可以实现 MAC地址+端口+IP+用户ID的绑定，这种方式具有很强的 安全特性：防D。0。S的攻击，防止用户的MAC地址的欺 骗，对于更改MAC地址的用户（MAC地址欺骗的用户）可以 实现强制下线。考虑到大学用户的技术性较强，在实际的应用的过程当中 应当充分考虑到Proxy的使用，对于Proxy的防止，H3c公司 E100系列交换机配合H3C公司的802.IX的客户端，一旦检 测到用户PC机上存在两个活动的IP地址（不论是单网卡还 是双网卡），E100系列交换机将会下发指令将该用户直接踢 下线。2、MAC地址盗

17、用的防止在网的应用当中IP地址的盗用是最为经常的一种非法手 段，用户在认证通过以后将自己的MAC地址进行修改，然后在 进行一些非法操作，网络设计当中我们针对该问题，在接入层 交换机上提供防止MAC地址盗用的功能，用户在更改MAC 地址后，E100系列交换机对于与绑定MAC地址不相符的用 户直接将下线，其下线功能是由E100系列交换机来实现的。3、防止对DHCP服务器的攻击使用DHCP Server动态分配IP地址会存在两个问题:一是 DHCP Server假冒，用户将自己的计算机设置成DHCP Server 后会与局方的DHCP Server冲突；二是用户DHCP Smurf,用 户使用软件变

18、换自己的MAC地址，大量申请IP地址,很快将 DHCP的地址池耗光.H3C E100系列交换机可以支持多种禁止私设DHCP Server的方法。Private VLAN解决这个问题的方法之一是在桌面交换机上启用Private VLAN的功能。但在很多环境中这个功能的使用存在局限，或 者不会为了私设DHCP服务器的缘故去改造网络。访问控制列表对于有三层功能的交换机，可以用访问列表来实现。4、防止ARP的攻击随着网络规模的扩大和用户数目的增多，网络安全和管理 越发显出它的重要性。由于网用户具有很强的专业背景，致使 网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不 鲜。第11页（完整）厂区网络

19、设计的方案因此,ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击 等问题不仅令网络中心的老师头痛不已，也对网络的接入安全 提出了新的挑战。ARP攻击包括中间人攻击(Man In The Middle)和仿冒 网关两种类型：中间人攻击：按照ARP协议的原理，为了减少网络上过多的ARP数据 通信，一个主机，即使收到的ARP应答并非自己请求得到的， 它也会将其插入到自己的ARP缓存表中，这样，就造成了 “ ARP欺骗”的可能。如果黑客想探听同一网络中两台主机之 间的通信(即使是通过交换机相连)，他会分别给这两台主机发 送一个ARP应答包，让两台主机都“误”认为对方的MAC地址 是第三方的黑客所在的

20、主机，这样，双方看似“直接”的通信连 接，实际上都是通过黑客所在的主机间接进行的.黑客一方面 得到了想要的通信内容，另一方面，只需要更改数据包中的一 些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客 所在主机是不需要设置网卡的混杂模式的，因为通信双方的数 据包在物理上都是发送给黑客所在的中转主机的。仿冒网关:攻击者冒充网关发送免费ARP,其它同一网络内的用户 收到后，更新自己的ARP表项,后续，受攻击用户发往网关的 流量都会发往攻击者。此攻击导致用户无法正常和网关通信. 而攻击者可以凭借此攻击而独占上行带宽.在DHCP的网络环境中，使能DHCP Snooping功能， E100交换机会记

21、录用户的IP和 MAC信息，形成 IP+MAC+Port+VLAN的绑定记录.E100交换机利用该绑定信 息,可以判断用户发出的ARP报文是否合法。使能对指定 VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到 的ARP报文的源IP或源MAC进行检测，只有符合绑定表项 的ARP报文才允许转发；如果端口接收的ARP报文的源IP 或源 MAC不在DHCP Snooping动态表项或DHCP Snooping 静态表项中，则ARP报文被丢弃.这样就有效的防止了非法用户 的ARP攻击。5、组合丰富的VLAN功能进行业务隔离大部分网络设备都可以提供对VLAN功能的完善的支持, 通过VLAN的划

22、分，可以区分不同的业务，灵活的根据端口、 MAC等进行VLAN的划分，实现对各种业务的有效的隔离.同时，通过各种特性VLAN的部署，可以更加灵活的实现网络流量和业务的隔离，比如，通过PVLAN技术，可以实现同一个VLAN内部服务器之间相互访问的隔离;通过动态 VLAN的部署，可以实现用户在任何位置接入网络都能被隔离 到自己所属的VLAN中。第12页(完整)厂区网络设计的方案6、配置防火墙和IPS进行网络区域的隔离防火墙是网络层的核心防护措施，它可以对整个网络进行 网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问 控制;对常见的网络攻击方式，如拒绝服务攻击(ping of death

23、, land, syn flooding, ping flooding, tear drop,.)、 端 口扫描 (port scanning) 、 IP 欺骗(ip spoofing). IP 盗用等进行有效防 护；并提供NAT地址转换、流量限制、用户认证、IP与 MAC绑定等安全增强措施。3. 4配置全面的网络防病毒系统网络环境下的防病毒必须层层设防，逐层把关，堵住病毒 传播的各种可能途径，为XX大学网络系统提供一个稳定高效、 技术一流、方便管理、服务周全的网络病毒防护体系，网络防 病毒体系主要包括：A网关防病毒：Internet是现在病毒传播的一个最主要的路径，访问 Internet网站

24、可能会感染蠕虫病毒，从Internet下载软件和数据可能会同时把病毒、黑客程 序都带进来，对外开放的WEB服务器也可能在接受来自Internet的访问时被感染上病毒.因 此需要在公司与Internet接口处重点防范病毒的传播。A邮件防病毒：邮件附件是当前网络病毒传播的一个重要途径，因此要在 邮件服务器上配置邮件防病毒软件，检查所有从邮件服务器发送和接收的邮件，特别是 其邮件附件。另一方面，防范邮带的邮件附件。在打开邮件之前，最好打电话与发件人确 认，因为很多邮件病毒是自动从通讯录中查找收件人的。发送邮件时，最好不要使用复杂 的格式，可以直接使用纯文本格式，这样邮件带病毒传播的机会就很小了。A服

25、务器防病毒：对重要的服务器，配置服务器防病毒软件，包含了大量复杂的应用系统，需要大量的不同平台的服务器，我们建议对这些服务器分别安装防病毒 系统,加强这些重点服务器的病毒防范能力.A主机防病毒：网络中的主要用户使很多主机终端，因此必须为所有的单 机，特别是一些处理关键业第13页（完整）厂区网络设计的方案务的用户机配置主机防病毒软件。A集中控管能力：防病毒需要具有集中控管能力，对所有的防病毒产品模块 提供一个集中的管理机制，监控各个防毒产品的防杀状态，病毒码及杀毒引擎的更新升 级等，并在各个防毒产品上收集病毒防护情况的日志，并进行分析报告。设备选型建议：我们建议选择赛门铁克或者卡巴的网络防病毒解

26、决方案;采取用户端点准入防御解决方案根据我们在前面进行的安全需求分析，我们认为较为完备的网络系统端点安全解决方案应该满足以下要求:1、实现基于用户身份的网络接入控制，保证网络安全。在网络层实现用户接入控制，只有授权的用户，才能接入网络，有效阻断非法接入网络的用 户，保证网络用户身份的合法性。2、统一实现基于用户身份的应用服务器接入控制,保证应 用服务器安全。具体来说，就是对公司网络系统的用户，由统一的访问控制管理系统来管 理访问权限，而不仅仅依靠应第14页（完整）厂区网络设计的方案用系统本身简单的密码控制来管理用户的使用权限。3、实现服务器系统安全、用户主机系统安全的强制管理, 提供有效的技术

27、手段，解决应用服务器、用户主机补丁管理、病毒管理问题。对于未安装 系统补丁，未安装防病毒软件或病毒库版本不合格的终端，严禁接入网络；实现系统补 丁的自动安装、病毒库的自动升级，保证网络的清洁。4、实现网络接入用户的动态隔离能力.在用户访问网络的 过程中，一旦发现用户处于不安全的状态,可迅速隔离用户终端，保护整个网络不受安全 威胁.第4章设备选型网络设备4o 1核心交换机本次方案推荐采用H3C S5500高性能路由交换机。产品概述H3C S5500SI系列交换机是H3C公司自主开发的全千 兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6 转发功能以及最多4个10GE扩展接口。通过H3C特

28、有的集 群管理功能，用户能够简化对网络的管理。S5500-SI系列千兆 以太网交换机定位为企业网和城域网的汇聚或接入，同时还可 以用于数据中心服务器群的连接。H3C S5500SI系列以太网交换机目前包含如下型号：第15页（完整）厂区网络设计的方案4. 2接入交换机本次方案选用H3C S3100EI系列交换机产品概述H3C S3100-EI系列交换机是H3c公司为构建高安全、高 智能网络需求而专门设计的新一代以太网交换机产品，在满足 高性能接入的基础上，提供更全面的安全接入策略和更强的网 络管理维护易用性，是理想的安全易用接入层交换机.用户对于网络的要求不断提高，接入交换机不只是提供简 单的数

29、据交换功能，而是越来越多地面临着安全威胁、管理维 护复杂、多业务融合和扩展等诸多问题和挑战：如何实现用户安全的接入控制，防止病从口入?如何能够准 确定位并抑制层出不穷的恶意欺骗攻击，将安全隐患拒之门外?如何提高网络管理和维护的易用性？如何自动检测网络中 是否存在问题并快速准确定位故障点，如何批量对网络的管理 和维护进行批量操作，以提高网络维护效率，降低维护成本？如何满足园区网多业务融合的需求，并批量实现网络资源 灵活分配和调度？如何提高网络设备的业务扩展能力，节省用 户未来对IPv6业务应用的追加投资？1、端口+lP+MAC地址的绑定:-112、MAC地址盗用的防止113、防止对DHCP服务器

30、的攻击-114、防止ARP的攻击115、组合丰富的VLAN功能进行业务隔离126、配置防火墙和IPS进行网络区域的隔离133.4配置全面的网络防病毒系统-130集中控管能力：14采取用户端点准入防御解决方案-141515第4章设备选型H3C S3100-EI系列交换机在以上各方面为用户提供了全 新的技术特性和解决方案，完美地解决了当前网络接入设备面 临的各种问题。H3C S3100EI系列以太网交换机目前包含如下型号：第16页（完整）厂区网络设计的方案4. 3外网接入路由器本次方案推荐采用H3cMsR5006多业务开放路由器.产品概述MSR （Multiple Services Routers

31、）多业务开放路由器是杭州 华三通信技术有限公司（以下简称“H3C”）专门面向行业分支 机构和大中型企业而推出的新一代网络产品。MSR先进的软 件结构与硬件平台，能够在最小的投资范围内为企业边缘网络 提供一体化解决方案，更能充分满足未来业务扩展的多元化应 用需求，符合企业IT建设的现状与趋势。H3C MSR 5006是H3C公司推出的一款高性能全千兆 宽带路由器，它主要定位于以大网接入的SMB市场和政府、 企业分支机构、网吧等网络环境，如需要高Internet带宽的网吧、酒店和学校以及采用以太网光纤接入的电子政务网的应用 场景，等等.H3C MSR 5006全千兆路由器采用高性能处理器,CPU

32、主频达到800M,集成全千兆以太网接口，在软件特性方面支 持丰富的安全特性，支持防攻击和应用过滤等功能。它是 H3c公司宽带路由器中的高端产品，是大型网吧用户和大型 企业Internet出口设备的理想选择.该产品的主要特点是：全千兆以太网接口（支持电口及光口），4个千兆以太口 足以满足接口数量的要求；提供高性能数据处理能力，能够达到双向千兆线速转发；强大的安全功能，支持丰富的防DOS攻击、防ARP的控 制功能；支持带机量数目多，一般为3001000台。第17页（完整）厂区网络设计的方案第5章组网优势1、网络带宽高，满足多业务需求。可以彻底满足网络数据、视频、多媒体应用方面目前以及至少今后几年内

33、的带宽需求,可以在本大楼网络内开展实时视频业务，在高速数据交换的同 时实现优良的视频业务，这包括网上电视（IPTV）、网络教学 节目等。同时，极高的网络带宽将缩短数据交换时间，用户使 用网络将不再考虑网络带宽与数据交换时间问题，真正实现网 络以人为本.2、网络带宽高，不再考虑QoS问题。较高的网络带宽可 以充分满足多种业务无阻塞交换，网络管理者不必再为每种业 务配置不同的服务质量策略，简化了设备的配置与维护工作， 同时由于网络设备上流分类策略、QoS策略的减少极大提高了 设备的转发性能与稳定性,从而整体上提高了网络的性能与稳 定性。3、网络可扩展性强，满足几年内对新业务的支持以及网 络用户扩充

34、。采用万兆到楼层、千兆到桌面的建网思路，不但 满足当前用户的多种业务需求，同时可以满足今后相当长一段 时间内各种新型业务的需求，有利于网络对新业务的支持以及 网络规模的平滑扩容.4、强大的桌面安全管理.本次方案为了保证网络的安全性，对外接入时，核心交换 机采用内置高性能防火墙插卡，提供强大的安全保证。实时更新办公电脑的操作系统补丁、病毒库版本、且具备强大的身份验证能力，黑白软件管理，为网络的安全做到了精细化的管理。网络设备15核心交换机15产品概述15接入交换机164.1 3外网接入路由器17第5章组网优势18第1章网络需求分析1.1 需求分析总厂办公楼共3层，核心机房在1楼。整个办公楼大约

35、150-170个信息点，车间及办公室大约50个信息点（包括预留） 信息点位分布如下表：楼层电话信息点位网络信息点位1F5302F20303F2030厂区7030本次组网设计为企业内网和互联网两部分，出于安全考虑, 设计为内外网物理隔离方式.第3页（完整）厂区网络设计的方案网络设计为接入多功能路由器，核心交换机，接入交换机 等，核心线路使用光纤连接，以达到千兆主干千兆桌面的方案, 启动vlan和限速功能来合理利用互联网资源。并在多能路由 器上做多种防范攻击措施，保证网络稳定。本次网络建设总结起来，需要满足以下几个方面的要求:1:建设一个高可靠、高性能的大楼办公网；2：由于需要接入Internet

36、,需要考虑上网的高安全性;3：在网络边界,需要考虑网络病毒及攻击的防范.1.2 建设目标通过对大楼办公网络需求进行分析，在以下几个方面需要 特别关注：1、可靠性。办公网络是一个承载日常业务的重要平台，随着各种业务 办公的自动化程度越来越高，对网络平台的依赖性也越来越强, 因此，首先需要构建一个具有高度可靠性的网络，可靠性主要 体现在业务系统、服务器存储系统和网络系统的稳定性上，针 对网络系统的稳定性有堆叠技术做支撑；2、高性能目前，随着全球信息时代的到来，越来越多的业务都可以 承载到IP网络平台之上，网络平台的容量也在急剧上升，而 所有容量的80%来自于局域网，因此，局域网的高性能，成为 提高

37、工作效率的关键。此次，西安泵阀总厂的网络建设需要充 分考虑的网络的高性能目标。3、安全性。现在病毒、黑客和终端用户是造成整网安全的隐患，尤其 是终端用户的安全管理长期以来没有一个很好的解决方案，这 次设计专业网络行为管理设备来对用户的网络接入安全进行细 致安全合理的优化。4、高带宽.网络是一个庞大而且复杂的网络，为了保障全网的高速转 发，网全网的组网设计的无瓶颈性，要求方案设计的阶段就要 充分考虑到,同时要求核心交换机具有高性能、高带宽的特，整 网的核心交换要求能够提供无瓶颈的数据交换。5、可增值性。网络的建设、使用和维护需要投入大量的人力、物力，因 此网络的增值性是网络持续发展基础.所以在建

38、设时要充分考 虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增 值业务，使网络具有自我造血机制，实现以网养网.第4页（完整）厂区网络设计的方案6、可扩充性.考虑到用户数量和业务种类发展的不确定性，要求对于核 心交换机与汇聚交换机具有强大的扩展功能，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变 化，充分留有扩充余地。7、可开放性.技术选择必须符合相关国际标准及国内标准，避免个别厂 家的私有标准或内部协议，确保网络的开放性和互连互通，满 足信息准确、安全、可靠、优良交换传送的需要;开放的接口, 支持良好的维护、测量和管理手段，提供网络统一实时监控的 遥测、遥控的信息处

39、理功能，实现网络设备的统一管理。8、安全可靠性.设计应充分考虑整个网络的稳定性，支持网络节点的备份 和线路保护，提供网络安全防范措施。第2章组网方案规划设计2.1建设原则总的建设原则是设备先进、功能齐全、适应发展、突出重 点、量力而行。1、实用性原则：以现行需求为基础，充分考虑发展的需要来确定规模.2、冗余性原则：特别注重网络硬件系统自身在突发事件时的可用性，以冗余备份的设计方式加以保障.3、安全性原则：系统应能提供较高的安全手段，防止系统外部成员的非法 侵入以及操作人员的越级操作。安全性是信息化建设的基础保 障。出于安全及保密因素，现在信息化建设工程对安全性有很 高的要求。设计的过程中必须依据国家各种有关安全法规政策, 对硬件支撑平台的访问控制、在线监视、信息加密等方面进行 完善考虑，在网络建构上根据功能划分相应的区域，使用如防 火墙、入侵检测、加密设备对信息过滤、隔离、数据加密等手 段，同时采用虚拟网划分及目前较流行的VPN及安全认证等技 术，防止非法用户、非法信息及病毒的入侵和泄密事件的发生。 同时还要在企业内部建立健全各种相关安全管理制度，确保全 网的安全.4、先进性原则：第5页（完整）厂区网络设计的方案系统要采用国际上先进的前沿技术，满足今后一段时期的 需要。5、易维护原则：