局域网设计方案材料

1、宁夏银行新办公大楼局域网建设方案一总体设计原则基于宁夏银行目前现状和未来业务发展的要求，在网络扩容设计 构建中， 需要根据现有网络环境和网络改造需求， 制定详细的技术方 案，满足我行新办公大楼的需求（办公、生产、信贷、资金管理，互 联网等各项业务和特殊部门和岗位的特殊网络需求） ，并充分考虑网 络的性能、可靠性、可管理性和可扩充性。根据上述需求，在制定技 术方案时， 考虑到银监局对金融信息化系统的要求， 现提出两套设计 方案：（一） 生产办公和互联网纯物理隔离的两套网络， 即：生产办 公一套网，互联网一套网， 互不链接。这样的网络设计 符合银监会对金融系统信息网络的要求， 便于管理， 但 费用

2、较高。（二） 生产办公和互联网用逻辑隔离的方式实现， 即整个新大 楼建设一套局域网，所有网内节点都可上生产办公和上 互联网络， 用逻辑隔离的方式实现管理。 此设计方案费 用较少，管理方便。两套设计方案都必须具有如下性能：1.1 系统的高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证。系统的高 可靠性体现在合理的网络架构， 高可靠性网络产品， 可靠的网络备份 策略，保证网络具有故障自愈的能力。1.2 系统的高安全性伴随金融信息化的不断深入，行业内部之间的信息交换将更加频 繁。本项目建成后，此网络将面对信息安全的不断挑战。管理信息网 络中传输的数据将包含管理和经营的涉密信息， 对安全性有很

3、高的要 求。因此，新办公大楼网络安全服务功能在本项目中至关重要，需要 考虑到业务系统关键数据的完整性和安全性。 网络架构需要具有完整 安全体系防护的服务能力，以确保员工生产、办公和用户、合作伙伴 的信息安全，降低经营风险。1.3 系统的统一性新办公大楼的网络架构的构造、 网络规划和网络管理都建立在 “一 个整体”的基础之上。 新办公大楼局域网是我行整体网络信息系统的 一个子系统，应保证新大楼局域网和我行整体网络信息系统兼容。1.4 系统标准开放性新大楼的网络系统是一个覆盖生产办公管理信息系统的网络平 台，其上会有许多不同厂商开发的计算机设备和应用系统同时运行。 为了使这些系统能够稳定、可靠、高

4、效的正常运作，所有的系统必须 遵循共同的规则（标准） 。因此，整个网络系统应在国家政策的许可 下完全采用符合国际 （或国家）通用的、开放的标准网络协议和技术， 保证我行的网络系统及运行其上的应用系统的正常工作， 以及与其它 网络的互联互通。1.5 灵活性和可扩展性作为承载平台的网络系统必须能够随着应用系统的变化而自由缩 放。所以建设的网络系统必须具备良好的灵活性及可扩展性， 即网络 架构在功能、容量、覆盖能力等各方面具有易扩展能力，以适应快速 的业务发展和变化的业务需求对基础架构的要求。1.6 整体网络可管理性 新办公大楼网络系统应建设成为我行整体网络信息系统的管理子系 统，随时有效监控全行的

5、整个网络信息系统， 保障生产办公等各项业 务的顺利进行。1.7 网络技术的先进性和成熟性 网络建设必须具有一定的前瞻性， 技术上具有总体先进性， 同时考虑 到网络的稳定运行需求，技术选择必须考虑成熟性与先进性相结合。具体设计方案见附件附件：1 方案描述1.1 网络拓扑设计1.1.1 设计策略在进行网络设计时，应根据应用需求和设计原则制定设计策略，在设计网 络时，所制定的设计策略如下：首先，网络设计采用模块化设计思想，将网络划分为几个大的功能模块。 采用模块化设计思想的优势主要为： 增加新的功能模块时， 只需对该模块进行设 计，不会对原有网络结构造成较大变化； 现有功能模块发生变化时， 只需对该

6、模 块进行修改，该模块的变化一般不会波及到整个网络； 在网络的运行维护过程中， 管理人员能够进行方便的管理， 在出现故障时， 也能够快速进行故障定位、 诊断 与故障排除。第二，在设计中要充分考虑到技术的成熟性与先进性。采用成熟的网络技 术，能够充分保证网络的健壮性；同时，采用较为先进的技术，能够使网络能够 满足应用较长时间的需求。第三，在设计网络拓扑结构时应采用冗余结构，保证系统的可用性和可靠 性。除网络线路和设备要有冗余外， 关键设备还具有冗余的处理器、 风扇、电源、 交换备板等，保证整个网络的可用性和可靠性。第四，保证网络的安全性。网络安全是极其重要的，在设计中从设备、网 络、系统等级别进

7、行了安全考虑， 保证了整个网络的安全和应用系统的初步安全。第五，根据本系统的特点，保证网络的可管理性。1.1.2 分层设计原则宁夏银行网络按照网络核心层、接入层进行设计，每个层次实现相对独立 的功能，保障了网络在每个层次上的平行扩展， 实现网络在服务功能、 规模上的 扩展能力。1. 核心层：提供高速的三层交换骨干。核心层不进行终端系统的连接；核心层不实施影响高速交换性能的 ACL等功能。2. 接入层：提供 Layer2 的网络接入，通过 VLAN 定义实现接入的隔离。 在接入层设计时，应考虑以下几点：接入层接入端口规划容量应根据实际使用情况考虑扩展性； 各功能分区的接入层相对独立； 不同类型的

8、接入层应各自分开，连接到对应功能区的分布层。随着网络设备与布线成本的降低，网络维护成本的增加，以及用户对网络 性能需求的增加， 在园区网的设计中， 局域网逐渐开始采用两层物理结构进行网 络的建设， 即：核心层和接入层。每一个层次结构内部均采用冗余的架构来保障该层功能的稳定可靠。在相 邻层次之间， 同样需要采用冗余的连接 （物理连接或协议） 来保障各层次结构之 间的稳定可靠。 例如：在系统与接入层设备之间， 接入层设备与核心层设备之间， 都必须采用冗余的连接，以消除单点故障。1.1.3网络拓扑结构宁夏银行新大楼网络拓扑棗體韜蛊囂单楼机房ME供电网络拓扑结构图宁夏银行新大楼网包括核心区、楼层接入区

9、考虑到楼层接入的分布性和设备供电的可靠性,建议在新大楼中布置两个竖井，其中每个竖井对应一个楼层配线间， 并采用双星型结构布线，从而实现双星 型的网络拓扑核心区:核心区是宁夏银行大楼的网络核心，同时设备还担负着业务管理，安全隔离 等分布层的职能，从而完成稳定的业务汇聚，核心交换机之间可以通过万兆接口 捆绑互联提升核心区的高性能和高可靠性，核心区建议使用2台S9505E核心交换机组成，每台设备均配置了 FW、无线控制器模块，从而实现边界安全的防 御和大楼内无线AP接入管理防火墙插卡模块的使用可以消除局域网接入层对上层网络的安全隐患，也相当于在交换机每个千兆光电端口前免费部署了一台虚拟的防火墙。局域

10、网接入区：楼层接入区负责本楼层各个业务部门的信息点接入，同时也担负着业务控制，安全控制等分布层的职能。楼层接入区建议使用千兆接入。接入层设备通过冗余的光纤分别连接上层核心交换机形成可靠的高速核心网络。宁夏银行楼层接人拓扑总行办笛室大樓汇聚交刪行瞰办公童妄全保卫訓址司业雰都中屮企业部产品开 爰部另外，随着基于无线技术的业务（如： Wifi Phone ）不断丰富，WLAN网络 将会成为办公及生产网络不可或缺的接入方案。本次H3C推荐的核心交换机支持WLAN无线控制器模块，在设备上扩展该模块后，可以平滑的使网络具备瘦 AP接入能力，以满足后续宁夏银行大楼扩展无线功能，无需额外的机房空间， 减少工程

11、难度。随着 WLAN 技术的快速发展和不断成熟，目前在国内外已经具有较多的政 府机构使用 WLAN 技术布置无线城域网，进行承载部分政府业务，诸如：电子 政备、消防、公安信息等等，如：美国费城、荷兰阿姆斯特丹等。无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主要是采用 Fat AP (即“胖” AP),每一台AP都要单独 进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置， 其 管理性和安全性以及对有线网络的依赖成为了第一代和第二代 WLAN 产品发展 的瓶颈，由于这一代技术的 AP 储存了大量的网络和安全的配置，包括加

12、密的钥 匙，Radius client的安全密码(secret)等，而AP又是分散在建筑物中的各个 位置，一旦 AP 的配置被盗取读出并修改，其无线网络系统就失去了安全性。另 外由于 AC 或无线网关的硬件多数是基于 Pentium 架构的，所以当用户接入数量 (IP sessions) 增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。 在这样的环境下，基于无线交换机技术的第三代 WLAN 产品应运而生。第三代无线局域网采用无线交换机和 FIT AP (即“瘦” AP)的架构，对传 统 WLAN 设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移 到集中的 WLAN 交换机

13、中实现，同时加入了许多重要新功能，诸如无线网管、 AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网 络性能、网络管理和安全管理能力得以大幅提高FAT AP方案FIT胛方案技术模式传统主流新生方式，増强管理安甜俊统加寤、认证方式,普通虫全性増加射频环境监控，基于用户位 呂安全策略，高安全性网络传理对毎AP下发配置文件无线控制器15冒好文件AP 本身零配量.自动下载配罟文件用户管理类似有线，根揣AP接人的 有线端口区分权限虚拟专用组方式.根据用户名区 分权限WLAN组网规模L2漫游，适合小规蹩网L霞L3漫遊,扔扑无关性，适合 大规模组网增值业务能力实现简单数据接入可扩展语

14、音等丰富业务FAT AP与FIT AP两种组网方案对比L10 E *L4L3L1无线控制器:m:局域网拓扌卜设计- WLAN扩展能力局域网核心:|假设机房 :在一层I目前网络组建依然沿袭传统的设备堆叠的方式， 当网络中需要什么功能的设备就新添置一台设备，即在原有的设备基础上不停的叠加新的设备，如无线、防 火墙、IPS、语音、应用加速等等，如此以往，当网络需求的功能越来越多时, 需要新增加的设备也就越来越多，整个网络就像糖葫芦串一样，一旦网络出现故 障，需要排查的节点太多，不但会浪费大量时间，也使得用户重复投资严重，另 外，这种组网将耗费大量的机房空间和电力、网络管理复杂，即总拥有成本（TCO ）非常高。H3C魔方矩阵式组网是在