象山县规划设计院网络设计方案.doc

目录 第一章象山规划设计院网络需求分析1第二章 规划院网络系统设计22.1 总体架构设计22.2 外网设计32.2.1 外网核心层部分设计42.2.2 外网接入层部分设计42.2.3 外网防火墙设计52.3 内网设计52.4 网络安全62.4.1 设备访问控制安全62.4.2 防火墙72.5 具体内部布线设计72.5.1 工作区信息插座的选择7第三章 设备的性能指标和报价8第一章象山县规划设计院网络需求分析象山县规划设计院是一家具有城市规划、建筑设计、市政道桥设计和风景园林设计等设计资质的综合性设计单位。现有员工多人，其中专业设计人员42人，包括高级工程师14人，助理工程师28人；有一级注册建筑师1人，一级注册结构师2人，二级注册建筑师3人。是象山县乃至宁波地区享有一定声望的设计单位。规划设计院主要有11个科室,分别是:院长室、管理者代表室、总工室、规划室、经营室、建筑室、市政室、办公室、设备室、档案室、财务室等。共有职工人数人,共计有PC机台。对网络的要求：1. 平时办公文件的共享传输；2. 需要连接一般互联网进行一些资料数据的相关查询；3. 需要连接政务外网进行资料数据的上传下载的控制；4 对本院OA系统的操作使用5 需要实现内部局域网和政务外网的同时连接（连接政务外网的计算机上不得进行涉密数据的处理和存贮）第二章 规划院网络系统设计2.1 总体架构设计预先设定交换机为48孔，由于新的办公地点需要预配200台PC机，则需核心交换机一台，接入交换机为五台，服务器两台，即可满足全部PC机的接入要求，每台PC机均分一根网线，每台PC机可同时上政务外网和内网本方案中的外网指的是政务外网。内网则指内部局域网，内部局域网搭建在外网上。若有极个别客户机需用到政务内网，则需单独设计。机房总体设计如下图所示 网络总拓扑图服务器暂设为两台，一台主要用于本院OA系统的日常数据存储及运行管理，另一台则做为本院日常数据资源共享及上传下载等服务，服务器可选择采用磁盘阵列技术，机房应配置UPS防雷箱，以提高安全性。单位的网络，网线从机房到实际办公点的长度一般不超过500米，通过核心交换机在主干网络上提供1000M的独享带宽，接入交换机与各台PC机相连,可以根据实际情况划分虚网,提升性能,提高安全性。由于本院外网连接的是政务外网，因此只需要连入特定的光纤，核心交换机有路由功能，就可以直接上政务外网，需配备一台防火墙来保护单位网络的安全性，若以后要保护服务器的安全，可以选择在服务器和核心交换机之间连接防火墙。2.2 外网设计为了确保网络能满足目前的网络应用, 并考虑到单位今后的发展要求, 在设计中采用目前一些网络常用的网络层次化结构, 将网络分为核心层,接入层。核心层采用三层交换技术，负责网络核心数据的交换, 不在核心层实施策略,以加速数据交换, 同时将一些主要服务器放置在核心层中,以适应目前网络发展的新趋势; 接入层采用二层交换技术, 主要用于与多台客户机的高速交换。二层交换机的主要功能是实现客户机的端口接入，三层交换机与二层交换机相比较最大的功能是三层交换机具备路由功能，三层交换机比二层交换机具有更高的安全性服务器推荐使用戴尔PowerEdge R710(Xeon E5606/2GB/300GB)。该服务器使用Intel 至强5600 CPU，CPU频率达到2.13GHz，四核四线程可满足绝大多数需求，内部可最大支持6块3.5英寸SAS/SATA硬盘，集成双千兆网卡，内存最大可扩展至128G，充分保障企业的合理化使用和日常需求。2.2.1 外网核心层部分设计核心层使用H3C S3610-28TP交换机一台，价格约为9500左右，该交换机具有24个10/100Base-TX以太网端口，2个1000Base-X SFP千兆以太网端口，2个10/100/1000Base-T以太网端口，支持网络管理及安全管理的绝大多数功能，基于有效的安全管理机制和电信级的高可靠设计，满足现代网络的多种业务承载融合和业务灵活分类、分流的组网需求。2.2.2 外网接入层部分设计接入层使用五台华为Quidway S2352P-EI(AC)网管交换机，每台价格约为3000左右，该交换机具有48个10/100Base-TX端口，2个100/1000Base-X SFP端口，2个1000Base-X SFP端口，可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，充分保障网络安全和网络合理化使用和运营2.2.3 外网防火墙设计为了更好的维护单位网络的安全，需要在单位网络上部署防火墙。 防火墙推荐使用CISCO ASA5510-BUN-K9系列防火墙一台,是功能全面、扩展性好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。实现以下目的：1）充当所通过的流量的代理，为内部网络用户提供安全的 Internet 访问。2）保护内部网络免受来自 Internet 上的威胁。3）执行入侵检测，入侵检测用于检测各种恶意活动并发送关于这些活动的相应警告。4）执行应用程序筛选以扫描各个应用程序层的入站和出站流量（比如 SMTP、HTTP、FTP），并检测恶意代码。5）监视和发送关于各种参数（比如 Internet 使用、Web 缓存细节和内部网络上的用户进行的协议敏感的Internet 使用）的报告。应该有一种以各种形式（比如电子邮件和事件日志记录）发送警告通知的机制。2.3 内网设计内网设计在安全性的基础上，尽可能做到简单可靠，内网是单位的核心网络，使用频率很高，虽然网络应用相对简单，但是安全性高。为了确保网络的安全性，以及可以满足目前的网络应用, 并考虑到单位今后的发展要求, 在内网设计中采用两层结构, 将网络分为核心层和接入层。核心层使用和外网一样的设备，负责网络核心数据的交换,并可以实施策略,保障安全的同时也保障高速数据交换, 同样也适应目前网络发展的新趋势;接入层采用二层交换技术, 尽可能做到高速交换。单位的网络，通过核心交换机在主干网络上提供高达千兆的独享带宽，通过下级两台接入交换机与各台PC机相连,可以根据实际情况划分虚网,提升性能,提高安全性。2.4 网络安全安全是相对和动态的,单靠配置安全设备和系统不能完全解决安全问题。一种完善的安全体系不仅包括安全防护系统本身，而且还应具有主动性的监视、审计能力，通过不断地检查系统安全漏洞和安全威胁，及时弥补和完善系统安全策略。2.4.1 设备访问控制安全方案中的交换机应支持ACL IP标准、扩展，MAC扩展、时间、专家级访问控制，可以通过多种策略进行访问控制。内部之间网络资源访问控制。支持VLAN的划分，VLAN之间的相互访问只能通过三层路由，这样在三层交换机上就可以配置ACL，对网络资源访问进行精确控制。2.4.2 防火墙CISCO ASA5510-BUN-K9防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。2.5 具体内部布线设计,本方案中多台客户机可用五台交换机连接，由于每台客户机都要实现政务外网与内部局域网的连接，因此每台客户机应配置网卡，为保持线路的美观，应在每台客户机的边上安装双口信息插座，每个科室除了单人单插座外，应额外配备几个信息插座备用，每个信息插座到各个交换机应标记数字，以便网络管理员管理，机房的线路也应标记或者采用分色式管理，由于每台客户机都要实现内网及政务外网的连接，线路非常庞大，因此线路应该使用PVC线槽。各科室应避免使用小型交换机或者路由器。2.5.1 工作区信息插座的选择数据点选用AMP 超五类双口信息插座，此信息插座为适应各种工作环境而设计，各型号的信息插座皆符合国际（Category 5EC)五类布线产品资格及由国际测试中心DELTA EC确认。各型号的信息插座核心，分别有：双屏蔽插头（STP）、屏蔽插头（FTP）及非屏蔽插头（UTP）。在双屏蔽（STP）型 插座里，信息插头被全面360屏蔽,其屏蔽符合国际标准ISO 1180确定的转送阻抗值(Transfer Impedance)。 信息插座及跳线板都采用同一种信息插头，以保证信息通道统一性及构成一个相配的连接界面，以应用高速信息通道，如:100Base T,TPPMD,ATM 155。数据点的水平电缆全部采用SYSTIMAX超五类非屏蔽双绞线。可在100m信道距离上支持超过1000Mbps以上传输速率，使系统具有极高的可靠性及灵活性。因此对用户而言，只需在总配线间将相应的跳线重新跳接，就可以很方便管理所有的信息点数据或语音信号的任意输出，使结构化布线系统的灵活性得到最完美的体现。第三章 设备的性能指标和报价本方案中的交换机和服务器都是使用比较先进的设备,虽然本方案中的单位人数少,机器少,对网络应用要求不高,但对安全性要求相当高，所以外网方案仍然按照一般标准化的设计方案选择设备,一是因为这些设备与一般设备的价格相差不是很多,二是为了以后的发展,如对视频点播传输业务的要求等等。内网方案在标准化的基础上尽可能可靠安全，并且根据需求分析做到简单实用。根据单位的发展规划和发展速度,本方案至少在3-5年以内仍然具有很大的先进性,实用性,可用性和可靠性,在这一点来说,本方案在超过单位需求的情况下仍具有经济型和可操作性。设备设备描述数量单价H3C S3610-28TP核心交换机19500产品类型企业级背板带宽32Gbps包转发率12.8MppsMAC地址表12K端口描述24个10/100Base-TX以太网端口，2个1000Base-X SFP千兆以太网端口，2个10/100/1000Base-T以太网端口设备设备描述数量单价华为Quidway S2352P-EI(AC)参数接入交换机53000产品类型网管交换机背板带宽17.6GbpsMAC地址表8K端口数量52个网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.1Q，IEEE 802.1p，IEEE 802.3xVLANMTU VLANPort VLAN802.1Q VLAN设备设备描述数量单价戴尔PowerEdge R710服务器23000产品类型机架式CPU类型Intel 至强5600CPU型号Xeon E5606CPU核心四核扩展槽2PCI-E x82PCI-E x4或1PCI-E x1