网络安全项目网络建设方案Word格式.docx
- 文档编号:15991093
- 上传时间:2022-11-17
- 格式:DOCX
- 页数:75
- 大小:478.13KB
网络安全项目网络建设方案Word格式.docx
《网络安全项目网络建设方案Word格式.docx》由会员分享,可在线阅读,更多相关《网络安全项目网络建设方案Word格式.docx(75页珍藏版)》请在冰豆网上搜索。
需求:
-广域网络结构整体性规划和设计,包括整体网络拓扑结构的建议,路由算法的选择和优化等工作。
-网络性能分析和改进建议,包括对广域网和局域网的流量分析和统计,对网络传输性能的优化改进建议。
-网络管理方案设计和实施,包括对局域网和广域网的网络管理和监控方案的设计和实施。
-网络重大故障的技术支持策略。
3设计总体考虑
当今网络的发展正远远超出了单纯追求基本连通的历史阶段。
我们在网络连通基础上需要更
高要求的网络服务内容,包括QoS网络服务质量,Security安全性服务,Reliability高可靠性,
Scalability可扩展性等增值服务。
如图所示Cisco所建议的网络方案总体结构基于三层模型:
即网络硬件的互连环境层,网络软件的增值服务层及多层次网络管理层。
其中网络硬件互连环境主要指传统意义上的网络互连设
备,包括交换机,路由器,拨号访问服务器等设备环境。
Ep
■
ufti-Layer
Management
Tools
y/ciscoIOS"
<
Network
A
CoreNetwRegionalMetvccessNetw
Cisco公司建议采用端到端的网络方案,即采用主要有一家公司的包括交换机,路由器,拨
端到端的网络安全性,
号访问服务器软硬件产品。
因为只有这样才能真正实现端到端的网络性能,端到端的服务质量以及端到端的网络管理,从而在节省开销的同时,大大提高网络的经济效益。
广发证券在综合业务信息平台的总体设计思想和第一期建设正是体现了上述思想。
4网络设计原则先进性I
作为广发证券的新一代信息系统的承载网络,网络系统处理的信息量是十分庞大的,要求计算机网络有很高的工作效率。
而且随着业务的快速发展,系统面临的任务也愈来愈艰巨,所以,我们设计的网络在技术上必须体现高度的先进性。
技术上的先进性将保证处理数据的高效率,技
术上的先进性将保证系统工作的灵活性,技术上的先进性将保证网络的可靠性,技术上的先进性也使系统的扩充和维护变得十分简单。
我们将在网络构架,硬件设备,传输速率,协议选择,安全控制和虚拟网划分等各个方面充分体现广发证券的宽带广域网网络系统的先进性。
可靠性
在广发证券的宽带广域网网络设计中,很重要的一点就是网络的可靠性,即坚固性。
在外界环境或内部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间内恢复正常工作,在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。
安全性
IP
随着计算机技术的发展,尤其是网络和网络间互联的规模的扩大,信息和网络的安全性日益受到重视。
面临十分严肃的安全性挑战。
我们在网络设计时,将通过访问控制列表、防火墙、隧道等技术来保证广发证券的宽带广域网网络系统的安全。
从发展的眼光看,计算机信息系统就是要实现信息的共享,完成不同制造厂商的设备和计算机软、硬件资源的数据交换。
为此必须建立一个由开放式、标准化的网络结构体系,满足当前可实现的技术,又能适应今后新技术的引进、开发和推广。
我们建议采用的Cisco系列产品是目前业界支持协议最多、接口介质最广泛的网络产品。
可管理性和可维护性
网络设计中,对网络主干的有效管理也是必须考虑的主要因素。
一个有效的网络管理方案不仅要包括建立各级网管中心的设备及软件,而且要包括配置各种设备的必要顾问服务。
尤为重要的是,要能帮助用户制定网管策略和网管中心运作机制。
在网络投入运行初期,提供现场顾问服
/价格比。
当然,高性
务也是必须的。
在满足上述多项原则的基础上,尽可能降低工程造价,追求最优的性能能与高可靠性是以高投入为代价的。
最终的方案一定是性能与价格折中的产物。
可扩展性
随着广发证券的各项业务的快速发展,网络系统面临的任务将愈来愈艰巨,愈来愈复杂。
为了适应这个变化和日新月异的计算机技术的发展,我们设计的网络十分注重扩充性。
无论是网络硬件还是系统软件,都可以方便的扩充和升级,关键设备的扩充和升级时,系统将无需中断正常的工作。
上述系统设计的原则将自始自终贯穿整个系统的设计和实现。
5解决方案
5.1网络解决方案描述
根据以上网络设计原则,我们对广发证券的宽带广域网部分作如下设计:
Internet/
Liriicim/
才-卿碑
PBX
EI
广发证券综合业务平台网络示意图广册中心CiHtPDJ
广东S1R0P器*务〉
FXO
/36C2«
^S
DDN:
—
S1Q
用户塞理
fl户曲
51由曇
2651ft
■LIS井仝司個如(JtR.A束尊.箕4外J
与总晰遂的S鼻《(掃蠡宦广僦宦.其
用户臭«
皂佇由&
SDN
PSTW
2略1甜由曇
€黄也其邸叶〉
由上图可见,广发证券的宽带广域网中心位于计算中心,与总部
0A中心、
Internet等外联
系统连接;
同时提供区域中心、广东地区营业部等接入。
12家
区域中心以及广东地区除分中心管理外的其他营业部
(直接连接到信息中心)接入。
整个系统构成了广发证券的综合信息平台,
目前主要为广发证券提供交易、办公提供数据应
上海、北京等12家分公司作为区域中心供本地营业部的接入;
同时,上海、北京等
DDN,按照上述描述连接;
首选
用的支持,同时提供IP语音平台,为将来在企业范围内的IP语音和视频应用的推广打好基础。
系统中的所有区域中心及营业部,主链路均采用中国电信的的备份链路均采用ISDN/PST;
第二份备份链路采用现有的卫星系统保持不变。
安全问题详见安全解决方案。
5.2广东数据中心的设计
il^uOrnipil*
El
广东
射
4、
上删金词t区歧中
t井电犷驱E.
采用一台Cisco7507高端路由器作
OA总部的
信息中心是广发证券宽带广域网的数据中心和通讯中心,为主干广域网路由器,与中国电信的长途干线网连接,在本期工程中,与区域中心合
连接采用1Mbps的DDN链路,与营业部的连接采用256Kbps的DDN链路(建议)。
另采用
台Cisco3662多功能路由器作为PSTN/ISDN访问服务器,提供备份接入,它可以自动识别模拟
信号和数字信号,调配相应的模拟modem或数字modem与之握手;
同时Cisco3662路由器还
起着VoIP语音网关的作用,通过1个E1模块与上海本地的PBX相连接,提供IP电话业务。
在
广域网路由器与内部局域网之间采用两台防火墙,互为热备份,完成安全防卫任务,同时提供
IPSec的VPN隧道技术的支持。
信息中心的局域网采用原有CiscoCatalyst6509Switch不变,实现与各地网络之间的高速
数据交换。
对于在数据中心的外联系统包括Internet和银行等均包含在统一的接入中心交换平台
上,使用高端防火墙作安全隔离,接入中心交易平台使用三层交换技术和网络地址翻译技术来确保连接各个不同的单位。
5.3分公司(区域中心)网络系统
分公司〔区域中心)网络示意图
茅68第客由盟
ISDN/PSTN..
I
PBX矜
〔釣77家)
I现/尸
"
ll
分公司是区域数据中心和通讯中心,采用
/、
Cisco3662
高端路由器作为主干广域网路由
器,与数据中心7506主干路由器经DDN
连接,同时提供下属营业部主链路接入;
另采用一台
Cisco3662多功能路由器作为PSTN/ISDN
访问服务器,提供与数据中心备份连接,,同时提供下
*
属营业部备份链路接入;
同时Cisco3662路由器还起着VoIP语音网关的作用,通过FXO端口与本地PBX相连接,
提供IP电话业务。
在广域网路由器与内部局域网之间采用两台防火墙,互为热备份,完成安全防
卫任务,同时提供IPSec的VPN隧道技术的支持。
5.4OA总部设计
OA总部网络示意图
0A总部
数据中心
doRkpet訊.
OA总部是OA等业务系统中心,采用
台Cisco3662高端路由器作为主干广域网路由器,
与数据中心7506主干路由器经DDN连接;
另采用一台Cisco3662多功能路由器作为PSTN/ISDN
访问服务器,提供与数据中心备份连接;
在广域网路由器与内部局域网之间采用两台防火墙,互为热备份,完成安全防卫任务,同时提供IPSec的VPN隧道技术的支持。
营业部网络示意图
2C51i$由S
I3DW
PSTN
TJIHS
营
其他地区的营业部目前在第一期工程时先采用一台
Cisco2651多功能路由器通过1条
DON
ISDN/PSTN进行主链
256Kbps的DDN长途链路与信息中心或区域中心主路由器相连接,通过
路的备份。
在广域网路由器与内部局域网之间采用一台防火墙,在完成安全防卫任务。
目前这些营业部包括北京、上海、广东地区等,共
87个。
5.6广域网络的备份
在数据中心配置了一台多功能Cisco3660路由器作为VolP语音网关和ISDN/PSTN备份连
接网络接入服务器,可同时容纳30条普通MODEM或数字MODEM进行备份连接,满足广发证
券总的备份能力的需求。
同时还可兼作移动用户的接入访问控制服务器。
另外,我们建议采用原有的卫星线路作为第二条备份链路。
5.7IP语音
5.7.1IP语音工作原理
语音进入建由器被采样.
压缩成IP数据包
语音出路由器IP数据
包被还原成厝音
PBX删
fOOl
包被还原成语音
g音进入SS由器被采样、
压编成IP数据包
5.7.2语音接点的布设及PBX的选择
针对IP语音的建立,在上海数据中心的3662路由器上增加一个E1端口的语音模块,用于
连接PBX;
信息中心的PBX推荐采用数字交换系统,采用该交换机还可为将来的
IPCallCenter
打下基础。
在区域中心和0A总部的3662则使用8线FXO的两个语音模块连接本地的
PBX;
可建立
VoIP的平台,作广发证券全面实施IP语音准备。
5.7.3带宽要求
一路语音在传统的TDM电讯系统中传输需占用64K带宽,而利用新的IP
技术可将其压缩
至10~12K。
当广域网线路的利用率超过
70%的时候,网络性能将会呈线性下降。
所以,为保障网络的
质量,8路并发语音所需要带宽为:
|8K*10/70%|=114K。
5.7.4对PBX的要求
采用本方案需要总部的PBX
支持E1接入。
若不支持则
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 项目 网络 建设 方案