厂区网络设计方案.docx

厂区网络设计方案.docx

《厂区网络设计方案.docx》由会员分享，可在线阅读，更多相关《厂区网络设计方案.docx（20页珍藏版）》请在冰豆网上搜索。

厂区网络设计方案

网络及电话设计方案

第1章网络需求分析

1.1需求分析

总厂办公楼共3层，核心机房在1楼。

整个办公楼大约150-170个信息点，车间及办公室大约50个信息点（包括预留）信息点位分布如下表：

楼层

1F

2F

3F

厂区

电话信息点位

5

20

20

70

网络信息点位

30

30

30

30

本次组网设计为企业内网和互联网两部分，出于平安考虑，设计为内外网物理隔离方式。

网络设计为接入多功能路由器，核心交换机，接入交换机等，核心线路运用光纤连接，以达到千兆主干千兆桌面的方案，启动vlan和限速功能来合理利用互联网资源。

并在多能路由器上做多种防范攻击措施，保证网络稳定。

本次网络建设总结起来，须要满意以下几个方面的要求：

1：

建设一个高牢靠、高性能的大楼办公网；

2：

由于须要接入Internet，须要考虑上网的高平安性；

3：

在网络边界，须要考虑网络病毒及攻击的防范。

1.2建设目标

通过对大楼办公网络需求进行分析，在以下几个方面须要特殊关注：

1、牢靠性。

办公网络是一个承载日常业务的重要平台，随着各种业务办公的自动化程度越来越高，对网络平台的依靠性也越来越强，因此，首先须要构建一个具有高度牢靠性的网络，牢靠性主要体现在业务系统、服务器存储系统和网络系统的稳定性上，针对网络系统的稳定性有堆叠技术做支撑；

2、高性能

目前，随着全球信息时代的到来，越来越多的业务都可以承载到IP网络平台之上，网络平台的容量也在急剧上升，而全部容量的80%来自于局域网，因此，局域网的高性能，成为提高工作效率的关键。

此次，西安泵阀总厂的网络建设须要充分考虑的网络的高性能目标。

3、平安性。

现在病毒、黒客和终端用户是造成整网平安的隐患，尤其是终端用户的平安管理长期以来没有一个很好的解决方案，这次设计专业网络行为管理设备来对用户的网络接入平安进行细致平安合理的优化。

4、高带宽。

网络是一个浩大而且困难的网络，为了保障全网的高速转发，网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够供应无瓶颈的数据交换。

5、可增值性。

网络的建设、运用和维护须要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。

所以在建设时要充分考虑业务的扩展实力，能针对不同的用户需求供应丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。

6、可扩充性。

考虑到用户数量和业务种类发展的不确定性，要求对于核心交换机和汇聚交换机具有强大的扩展功能，网络要建设成完整统一、组网敏捷、易扩充的弹性网络平台，能够随着需求改变，充分留有扩充余地。

7、可开放性。

技术选择必需符合相关国际标准及国内标准，避开个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满意信息精确、平安、牢靠、优良交换传送的须要；开放的接口，支持良好的维护、测量和管理手段，供应网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

8、平安牢靠性。

设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路爱护，供应网络平安防范措施。

第2章组网方案规划设计

2.1建设原则

总的建设原则是设备先进、功能齐全、适应发展、突出重点、量力而行。

1、好用性原则：

以现行需求为基础，充分考虑发展的须要来确定规模。

2、冗余性原则：

特殊注意网络硬件系统自身在突发事务时的可用性，以冗余备份的设计方式加以保障。

3、平安性原则：

系统应能供应较高的平安手段，防止系统外部成员的非法侵入以及操作人员的越级操作。

平安性是信息化建设的基础保障。

出于平安及保密因素，现在信息化建设工程对平安性有很高的要求。

设计的过程中必需依据国家各种有关平安法规政策，对硬件支撑平台的访问限制、在线监视、信息加密等方面进行完善考虑，在网络建构上依据功能划分相应的区域，运用如防火墙、入侵检测、加密设备对信息过滤、隔离、数据加密等手段，同时采纳虚拟网划分及目前较流行的VPN及平安认证等技术，防止非法用户、非法信息及病毒的入侵和泄密事务的发生。

同时还要在企业内部建立健全各种相关平安管理制度，确保全网的平安。

4、先进性原则：

系统要采纳国际上先进的前沿技术，满意今后一段时期的须要。

5、易维护原则：

系统要易于管理、易于维护。

网络须要很高的可管理性，特殊是在数据、视频等多业务的网络系统里，要运用可管理的网络设备，可以识别关键资源，依据流量状况以及网络性能配置阈值并为不同的应用供应不同的带宽，使全部的服务能够顺当完成。

随着系统的投入运行和系统资源的不断增加，网络系统应具有很好的易维护性，使管理人员易于维护，削减不必要的额外劳动，提高工作效率。

6、易扩展原则：

供应开放性好、标准化程度高的技术和设备，便于功能扩展。

考虑到业务日益增长的长远需求，供应网络的可扩充性。

用户的数量、需求和应用在不断改变，技术也不断发展，随着网络技术的不断发展，网络应用规模在不断扩大。

因此，在网络结构上要实现真正开放，基于国际开放式标准，设计过程中应当保证在用户业务量和业务类型的改变增长的状况下，硬件支撑平台能够便利的升级并扩展，网络可以自如地扩充容量，支持更多的用户及应用。

网络平台设计时必需依据各种国际通用标准进行，以保证各种设备、网络的兼容通用。

开放的网络运用户可以自由地选择不同厂家的产品，将来网络在实现扩容、升级时不会受到某些厂家专有标准的限制。

网络结构和网络技术的选择，要具有相当的前瞻性，以确保随着网络技术的不断发展，网络能够平滑地过渡到更先进的技术和设备，充分保障用户现有的投资和利益。

网络的扩展实力包括设备交换容量的扩展实力、端口密度的扩展实力、主干带宽的扩展，以及网络规模的扩展实力。

2.2层次化设计

在园区网络整体设计中，采纳层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。

典型的园区网络结构可以分成二层：

接入层、汇聚层。

1）接入层：

供应网络的第一级接入功能，完成简洁的二、三层交换，平安、Qos和POE功能都位于这一层。

对于园区网的接入层设备，建议采纳千兆三层接入的方式，应当具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。

2）汇聚层：

汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关；对于园区网的汇聚层设备，应当能够承载园区的多种融合业务，能够融合了MPLS、IPv6、网络平安、无线、无源光网络等多种业务，供应不间断转发、优雅重启、环网爱护等多种高牢靠技术，能够承载园区融合业务的需求。

2.3高牢靠性

厂区外网高牢靠网络设计方案

对于厂区外网网络，接入端口数量不多、但牢靠性要求较高；对交换容量、带宽要求较高。

我们举荐高速、无堵塞交换千兆两层扁平组网模型。

为用户供应千兆接入、支持语音和POE、网络可以运行OSPF协议，两层扁平网络结构，易于配置和管理，并能适应用户将来几年网络应用的须要，供应预留容量。

两层简化扁平网络结构，汇聚、核心合为一层，削减了网络设备数量，易于配置和管理，为用户供应千兆桌面接入、支持语音和POE功能。

接入、核心层设备都为机架式，可用多种不同端口类型的单板组合，运用敏捷、可扩充性强，节约网络投资。

整网带宽较高、稳定牢靠、可满意多种业务的无堵塞交换。

2.4网络总体规划

网络解决方案总体设计以高性能、高牢靠性、高平安性、良好的可扩展性、可管理性和统一的网管系统及牢靠组播为原则，以及考虑到技术的先进性、成熟性，并采纳模块化的设计方法。

网络主要目的是将网络的性能、带宽、主要网络业务进行全网的建设。

网络设计主要包含高品质IP核心网模块、智能弹性接入网模块、平安渗透网络模块、网络系统综合管理、自适应无线网、IPv4/v6地址和路由模块、组播和QoS优化模块等主要部分。

新厂区网络均以网线为媒介由办公楼1楼机房向厂区各个车间铺设，办公楼主要以网线铺设，在会议室等场所配备无线AP设备，全部网线均从各个机房内铺设。

本建网方案为扁平化结构设计，分为核心和接入两层架构设计。

1、核心采纳1台核心三层千兆路由交换机。

保证有足够的数据转发实力

2、接入采纳千兆二层可智能网管交换机，以千兆双归属到核心。

外网结构如下图所示：

本次方案设计采纳二层扁平化方式组网，进一步提高核心网络的牢靠性、以及高性能。

星形化结构的优势有以下几点：

Ø层次结构清楚，能够将网络进行充分的规划。

Ø星形化组网使网络困难度降低，网络稳定性提升，网络维护难度降低。

Ø采纳星形化结构还具有高扩展性的特点，在今后网络规模扩大时只须要增加相应的接入设备，原有的网络配置可以最大限度得到保留，实现平滑网络扩容。

Ø较高的网络带宽可以充分满意多种业务无堵塞交换

Ø网络管理者不必再为每种业务配置不同的服务质量策略，简化了设备的配置和维护工作。

第3章平安管理平安渗透网络设计

在规划网络平安系统时，我们将遵循以下原则，以这些原则为基础，供应完善的体系化的整体网络平安解决方案：

●体系化设计原则

通过分析信息网络的网络层次关系、平安需求要素以及动态的实施过程，提出科学的平安体系和平安模型，并依据平安体系和平安模型分析网络中可能存在的各种平安风险，针对这些风险以动态实施过程为基础，提出整体网络平安解决方案，从而最大限度地解决可能存在的平安问题。

●全局性、均衡性原则

平安解决方案的设计从全局动身，综合考虑信息资产的价值、所面临的平安风险，平衡两者之间的关系，依据信息资产价值的大小和面临风险的大小，实行不同强度的平安措施，供应具有最优的性能价格比的平安解决方案。

●可行性、牢靠性原则

在采纳全面的网络平安措施之后，应当不会对XX高校原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的平安强度，保证整个信息资产的平安。

●可动态演进的原则

方案应当针对泵阀厂制定统一技术和管理方案，实行相同的技术路途，实现统一平安策略的制定，并能实现整个网络从基本防卫的网络，向深度防卫的网络以及智能防卫的网络演进，形成一个闭环的动态演进网络平安系统。

3.1网络完全实际方法

网络平安问题的解决，三分靠技术，七分靠管理，严格管理是企业、机构及用户免受网络平安问题威逼的重要措施。

事实上，多数企业、机构都缺乏有效的制度和手段管理网络平安。

网络用户不刚好升级系统补丁、升级病毒库的现象普遍存在；随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获得利益等行为在企业网中也比比皆是。

管理的欠缺不仅会干脆影响用户网络的正常运行，还可能使企业蒙受巨大的商业损失。

为了解决现有网络平安管理中存在的不足，应对网络平安威逼，北京网康公司的ICG上网行为管理设备可以简洁易用的完成各种网络审计，应用限制，流量限速等策略。

并可以做到以下几点

1、检查：

●检查网络接入用户的身份；

●检查网络接入用户的访问权限；

●检查网络接入用户终端的平安状态；

2、隔离

●隔离非法用户终端和越权访问；

●隔离存在重大平安问题或平安隐患的用户终端；

3、修复

●帮助存在平安问题或平安隐患的用户终端进行平安修复，以便能够正常运用网络；

4、监控

●实时监控在线用户的终端平安状态，刚好获得终端平安信息；

●对非法用户、越权访问和存在平安问题的网络终端进行定位统计，为网络平安管理供应依据；

通过制定新的平安策略，持续保障网络的平安。

3.2核心交换机强大内置平安特性

逐包转发机制防止病毒冲击

S5500路由交换机是采纳了逐包转发的机制，它和传统的流转发机制在平安性方面有着更本的差异。

流转发主要存在下面两个问题：

（1）、在网络拓扑频繁改变时，设备的适应性差，转发性能下降严峻；

（2）存在肯定平安隐患问题，尤其在网络遭遇到类似“红色代码”这类病毒攻击时问题尤为严峻。

流转发为一次路由多次交换，它的特点是一旦查找一次路由后，就把查找结果存放在CACHE里，以后同样目的地址的包就不用重新查找，干脆采纳类似二层交换的技术，干脆转发到目的端口去。

假如路由表项几乎不改变，则可通过上面所述的硬件精确匹配的方式能够很快的速度进行查表转发。

但是假如应用的状况为路由表项常常出现变更的状况，就会导致无法通过硬件的精确匹配的方式查找到路由，这时三层以太网交换机的就会转为通过CPU软件进行路由查找，查表和转发速度就会急剧下降。

这是工作基本上是处于靠CPU软件进行路由的“多次慢路由”的状况。

也就是说三层交换机在进行数据报文转发时主要依据数据报文的五元组特征进行精确命中数据转发，对于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进行变换，其五元组信息始终处于一个不停变换阶段，这样导致三层交换机CPU不停进行路由查找，由于这类报文另外一个特征就是短时间内产生大量报文，从而最终导致三层交换机CPU在转发过程中瘫机，同时这台交换机下挂的三层交换机同样接收到大量病毒报文，基于上述缘由其CPU转发引擎也将瘫机。

和此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中，这样网络路由必定就会出现较大振荡，交换机转发性能急剧下降，最终导致全部交换机瘫机，整个网络不行用。

对于采纳网络拓扑驱动的路由交换机而言由于采纳逐包转发，进行的是最大匹配方式路由查找，当数据报文端口号进行变换的状况下，对路由器转发不造成影响，所以一旦遭遇“红色代码”病毒攻击时没有任何问题。

3.3基层网络平安

1、端口＋IP＋MAC地址的绑定：

用户上网的平安性特别重要，H3CE100系列可以做到，端口+IP+MAC地址的绑定关系，H3CE100系列交换机可以支持基于MAC地址的802.1X认证，整机最多支持1K个下挂用户的认证。

MAC地址的绑定可以干脆实现用户对于边缘用户的管理，提高整个网络的平安性、可维护性。

如：

每个用户安排一个端口，并和该用户主机的MAC、IP、VLAN等进行绑定，当用户通过802.1X客户端认证通过以后用户便可以实现MAC地址＋端口＋IP＋用户ID的绑定，这种方式具有很强的平安特性：

防D.O.S的攻击，防止用户的MAC地址的欺瞒，对于更改MAC地址的用户（MAC地址欺瞒的用户）可以实现强制下线。

考虑到高校用户的技术性较强，在实际的应用的过程当中应当充分考虑到Proxy的运用，对于Proxy的防止，H3C公司E100系列交换机协作H3C公司的802.1X的客户端，一旦检测到用户PC机上存在两个活动的IP地址（不论是单网卡还是双网卡），E100系列交换机将会下发指令将该用户干脆踢下线。

2、MAC地址盗用的防止

在网的应用当中IP地址的盗用是最为常常的一种非法手段，用户在认证通过以后将自己的MAC地址进行修改，然后在进行一些非法操作，网络设计当中我们针对该问题，在接入层交换机上供应防止MAC地址盗用的功能，用户在更改MAC地址后，E100系列交换机对于和绑定MAC地址不相符的用户干脆将下线，其下线功能是由E100系列交换机来实现的。

3、防止对DHCP服务器的攻击

运用DHCPServer动态安排IP地址会存在两个问题：

一是DHCPServer假冒，用户将自己的计算机设置成DHCPServer后会和局方的DHCPServer冲突；二是用户DHCPSmurf，用户运用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。

H3CE100系列交换机可以支持多种禁止私设DHCPServer的方法。

PrivateVLAN

解决这个问题的方法之一是在桌面交换机上启用PrivateVLAN的功能。

但在许多环境中这个功能的运用存在局限，或者不会为了私设DHCP服务器的原因去改造网络。

访问限制列表

对于有三层功能的交换机，可以用访问列表来实现。

4、防止ARP的攻击

随着网络规模的扩大和用户数目的增多，网络平安和管理更加显出它的重要性。

由于网用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。

因此，ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已，也对网络的接入平安提出了新的挑战。

ARP攻击包括中间人攻击（ManInTheMiddle）和仿冒网关两种类型：

中间人攻击：

依据ARP协议的原理，为了削减网络上过多的ARP数据通信，一个主机，即使收到的ARP应答并非自己恳求得到的，它也会将其插入到自己的ARP缓存表中，这样，就造成了“ARP欺瞒”的可能。

假如黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个ARP应答包，让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机，这样，双方看似“干脆”的通信连接，事实上都是通过黑客所在的主机间接进行的。

黑客一方面得到了想要的通信内容，另一方面，只须要更改数据包中的一些信息，胜利地做好转发工作即可。

在这种嗅探方式中，黑客所在主机是不须要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

仿冒网关：

攻击者冒充网关发送免费ARP，其它同一网络内的用户收到后，更新自己的ARP表项，后续，受攻击用户发往网关的流量都会发往攻击者。

此攻击导致用户无法正常和网关通信。

而攻击者可以凭借此攻击而独占上行带宽。

在DHCP的网络环境中，使能DHCPSnooping功能，E100交换机会记录用户的IP和MAC信息，形成IP+MAC+Port+VLAN的绑定记录。

E100交换机利用该绑定信息，可以推断用户发出的ARP报文是否合法。

使能对指定VLAN内全部端口的ARP检测功能，即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测，只有符合绑定表项的ARP报文才允许转发；假如端口接收的ARP报文的源IP或源MAC不在DHCPSnooping动态表项或DHCPSnooping静态表项中，则ARP报文被丢弃。

这样就有效的防止了非法用户的ARP攻击。

5、组合丰富的VLAN功能进行业务隔离

大部分网络设备都可以供应对VLAN功能的完善的支持，通过VLAN的划分，可以区分不同的业务，敏捷的依据端口、MAC等进行VLAN的划分，实现对各种业务的有效的隔离。

同时，通过各种特性VLAN的部署，可以更加敏捷的实现网络流量和业务的隔离，比如，通过PVLAN技术，可以实现同一个VLAN内部服务器之间相互访问的隔离；通过动态VLAN的部署，可以实现用户在任何位置接入网络都能被隔离到自己所属的VLAN中。

6、配置防火墙和IPS进行网络区域的隔离

防火墙是网络层的核心防护措施，它可以对整个网络进行网络区域分割，供应基于IP地址和TCP/IP服务端口等的访问限制；对常见的网络攻击方式，如拒绝服务攻击（pingofdeath,land,synflooding,pingflooding,teardrop,…）、端口扫描（portscanning）、IP欺瞒（ipspoofing）、IP盗用等进行有效防护；并供应NAT地址转换、流量限制、用户认证、IP和MAC绑定等平安增加措施。

3.4配置全面的网络防病毒系统

网络环境下的防病毒必需层层设防，逐层把关，堵住病毒传播的各种可能途径，为XX高校网络系统供应一个稳定高效、技术一流、便利管理、服务周全的网络病毒防护体系，网络防病毒体系主要包括：

Ø网关防病毒：

Internet是现在病毒传播的一个最主要的路径，访问Internet网站可能会感染蠕虫病毒，从Internet下载软件和数据可能会同时把病毒、黑客程序都带进来，对外开放的WEB服务器也可能在接受来自Internet的访问时被感染上病毒。

因此须要在公司和Internet接口处重点防范病毒的传播。

Ø邮件防病毒：

邮件附件是当前网络病毒传播的一个重要途径，因此要在邮件服务器上配置邮件防病毒软件，检查全部从邮件服务器发送和接收的邮件，特殊是其邮件附件。

另一方面，防范邮件病毒传播要加强对用户的平安教化，对于全部来源不明的邮件不要轻易打开，特殊是其附带的邮件附件。

在打开邮件之前，最好打电话和发件人确认，因为许多邮件病毒是自动从通讯录中查找收件人的。

发送邮件时，最好不要运用困难的格式，可以干脆运用纯文本格式，这样邮件带病毒传播的机会就很小了。

Ø服务器防病毒：

对重要的服务器，配置服务器防病毒软件，包含了大量困难的应用系统，须要大量的不同平台的服务器，我们建议对这些服务器分别安装防病毒系统，加强这些重点服务器的病毒防范实力。

Ø主机防病毒：

网络中的主要用户使许多主机终端，因此必需为全部的单机，特殊是一些处理关键业务的用户机配置主机防病毒软件。

Ø集中控管实力：

防病毒须要具有集中控管实力，对全部的防病毒产品模块供应一个集中的管理机制，监控各个防毒产品的防杀状态，病毒码及杀毒引擎的更新升级等，并在各个防毒产品上收集病毒防护状况的日志，并进行分析报告。

●设备选型建议：

♦我们建议选择赛门铁克或者卡巴的网络防病毒解决方案；

实行用户端点准入防卫解决方案

依据我们在前面进行的平安需求分析，我们认为较为完备的网络系统端点平安解决方案应当满意以下要求：

1、实现基于用户身份的网络接入限制，保证网络平安。

在网络层实现用户接入限制，只有授权的用户，才能接入网络，有效阻断非法接入网络的用户，保证网络用户身份的合法性。

2、统一实现基于用户身份的应用服务器接入限制，保证应用服务器平安。

详细来说，就是对公司网络系统的用户，由统一的访问限制管理系统来管理访问权限，而不仅仅依靠应用系统本身简洁的密码限制来管理用户的运用权限。

3、实现服务器系统平安、用户主机系统平安的强制管理，供应有效的技术手段，解决应用服务器、用户主机补丁管理、病毒管理问题。

对于未安装系统补丁，未安装防病毒软件或病毒库版本不合格的终端，严禁接入网络；实现系统补丁的自动安装、病毒库的自动升级，保证网络的清洁。

4、实现网络接入用户的动态隔离实力。

在用户访问网络的过程中，一旦发觉用户处于担心全的状态，可快速隔离用户终端，爱护整个网络不受平安威逼。

第4章设备选型

网络设备

4.1核心交换机

本次方案举荐采纳H3CS5500高性能路由交换机。

产品概述

H3CS5500-SI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，供应IPv6转发功能以及最多4个10GE扩展接口。

通过H3C特有的集群管理功能，用户能够简化对网络的管理。

S5500-SI系列千兆以太网交换机定位为企业网和城域网的汇聚或接入，同时还可以用于数据中心服务器群的连接。

H3CS5500-SI系列以太网交换机目前包含如下型号：

S5500-28C-SI：

24个10/100/1000Base-T以太网端口，4个复用的SFP千兆端口（Combo），两个扩展槽位；

S5500-52C-SI：

48个10/100/1000Base-T以太网端口，4个复用的SFP千兆端口（Combo），两个扩展槽位；

S5500-28C-PWR-SI：

24个10/100/1000Base-T以太网PoE端口，4个复用的SFP千兆端口（Combo），两个扩展槽位；

S5500-52C-PWR-SI：

48个10/100/1000Base-T以太网PoE端口，4个复用的SFP千兆端口（Combo），两个扩展槽位；

S5500-20TP-SI：

12个SFP千兆端口，8个10/100/1000Base-T以太网端口。

4.2接入交换机

本次方案选用H3CS3100-EI系列交换机