企業網絡工(gōng)程解決方案
一、企業網絡設計(jì)
(1)主幹網設計(jì)
采用(yòng)千兆以太網技術。千兆以太網技術特點是具有高(gāo)速數據傳輸帶寬,基本能(néng)滿足高(gāo)速交換及多媒體對(duì)服務質量的要求。易于網絡升級、易于維護、易于管理(lǐ),具有良好(hǎo)的價格比。
傳輸介質。千兆傳輸距離500m以内采用(yòng)50/125多模光纜;千兆傳輸距離大(dà)于500m、小(xiǎo)于5000m時(shí)采用(yòng)9/125單模光纜;百兆傳輸距離2000m以内采用(yòng)50/125多模光纜;百兆傳輸距離大(dà)于2000m采用(yòng)9/125單模光纜。
交換機。主幹交換機的基本要求:機箱式結構,便于擴展;支持多種網絡方式,如快(kuài)速以太網、千兆以太網等;高(gāo)性能(néng),高(gāo)背闆帶寬及中心交換吞吐量;支持第二、第三交換,支持各種IP應用(yòng);高(gāo)可靠性設計(jì),如多電源/管理(lǐ)模塊、熱插拔;豐富的可管理(lǐ)能(néng)力等。
中心機房配置企業級交換機作(zuò)爲網絡中心交換機。爲實現(xiàn)網絡動态管理(lǐ)和(hé)虛拟局域網,在中心交換機上(shàng)配置第三層交換模塊和(hé)網絡監控模塊。主幹各結點采用(yòng)1000Mbps連接,服務器采用(yòng)雙網卡鏈路聚合200Mbps連接,客戶采用(yòng)交換式10/1000Mbps連接。
(2)樓宇内局域網設計(jì)
要求采用(yòng)支持802.1Q的10/100Mbps工(gōng)作(zuò)組以太網交換機,交換機的數據依據用(yòng)戶端口數、可靠性及網管要求配置網絡接入交換機,使10/100Mbps流量接至桌面。
(3)接入Internet設計(jì)
Internet接入系統由位于網絡中心的非軍事(shì)區(qū)(DMZ)交換機、WWW服務、E-mail服務、防火牆、路由器、Internet光纖接入組成。
(4)虛拟局域網VLAN設計(jì)
通過VLAN将相同業務的用(yòng)戶劃分在一個邏輯子網内,既可以防止不同業務的用(yòng)戶非法監聽保密信息、又可隔離廣播風(fēng)暴。不同子網的通信采用(yòng)三層路由交換完成。
各工(gōng)作(zuò)組交換機采用(yòng)基于端口的VLAN劃分策略,劃分出多個不同的VLAN組,分隔廣播域。每個VLAN是一個子網,由子網中信息點的數量确定子網的大(dà)小(xiǎo)。
同樣在千兆/百兆以太網上(shàng)聯端口上(shàng)設置802.1Q協議(yì),設置通信幹道(dào)(Truck),将每個VLAN的數據流量添加标記,轉發到(dào)主幹交換機上(shàng)實現(xiàn)網絡多層交換。
(5)虛拟專用(yòng)網VPN設計(jì)
如果公司跨地區(qū)經營,自(zì)己鋪設專線不劃算(suàn),可以通過Internet采用(yòng)VPN數據加密技術,構成企業内部虛拟專用(yòng)網。
(6)網絡拓撲結構。這(zhè)部分待續
二、網絡安全性設計(jì)
網絡系統的可靠與安全問題:
a. 物理(lǐ)信息安全,主要防止物理(lǐ)通路的損壞和(hé)對(duì)物理(lǐ)通路的攻擊(幹擾等)。
b. 鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被竊聽。主要采用(yòng)劃分VLAN、加密通信等手段。
c. 網絡層的安全需要保證網絡隻給授權的客戶使用(yòng)授權的服務,保證網絡路由正确,避免被攔截或監聽。
d. 操作(zuò)系統安全要求保證客戶資料、操作(zuò)系統訪問控制的安全,同時(shí)能(néng)夠對(duì)該操作(zuò)系統上(shàng)的應用(yòng)進行審計(jì)。
e. 應用(yòng)平台的安全要求保證應用(yòng)軟件服務,如數據庫服務、電子郵件服務器、Web服務器、ERP服務器的安全。
(1)物理(lǐ)安全
機房要上(shàng)鎖,出入人員要嚴加限制。注意不可讓人從(cóng)天花(huā)闆、窗戶進入房間。
機房電力要充足、制冷要合适,環境要清潔。
從(cóng)工(gōng)作(zuò)站(zhàn)到(dào)配線櫃的配線應該布在偷聽設備接觸不到(dào)的地方。配線不應該直接布在地闆或天花(huā)闆上(shàng),而應該隐藏在線槽或其他(tā)管道(dào)裏。
應該包括諸如火災、水(shuǐ)災等自(zì)然災害後的恢複流程。如美(měi)國911世貿中心崩塌,大(dà)多數公司的數據得不到(dào)恢複。
(2)防火牆
防火牆應具管理(lǐ)簡單、功能(néng)先進等特點,并且能(néng)夠保證對(duì)所有系統實施“防彈”保護。 一個優秀的防火牆具有内網保護、靈活的部署、非軍事(shì)區(qū)(DMZ)範圍的保護、TCP狀态提醒、包過濾技術、TCP/IP堆棧保護、網絡地址翻譯、VPN等功能(néng)。
(3)網絡病毒
在網絡中心主機安裝一台網絡病毒控制中心服務器,該服務器既要與Internet相連,又要與企業内網相連。該服務器通過Internet每每更病毒代碼及相關文(wén)件,企業内部網絡中的服務器、客戶時(shí)刻處于網絡病毒控制中心服務的監控下(xià),更新本機的病毒代碼庫及相文(wén)件,對(duì)計(jì)算(suàn)機的所有文(wén)件和(hé)内存實施動态、實時(shí)、定時(shí)等多種病毒防殺策略,以确保網絡系統安全。
(4)網絡容錯
集群技術。一個服務器集群包含多台擁有共享數據存儲空(kōng)間的服務器,各服務器之間通過内部局域網進行相互通信。當其中一台服務器發生故障時(shí),它所運行的應用(yòng)程序将由其他(tā)的服務器自(zì)動接管。在大(dà)多數情況下(xià),集群中所有的計(jì)算(suàn)機都擁有一個共同的名稱,集群系統内任意一台服務器都可被所有的網絡用(yòng)戶所使用(yòng)。
(5)安全備份與災難恢複
企業信息管理(lǐ)最重要的資産不是網絡硬件,而是網絡運行的數據。
理(lǐ)想的備份系統是在軟件備份的基礎上(shàng)增加硬件容錯系統,使網絡更加安全可靠。實際上(shàng),備份不僅僅是文(wén)件備份,而是整個網絡的一套備份體系。備份應包括文(wén)件備份和(hé)恢複,數據庫備份和(hé)恢複、系統災難恢複和(hé)備份任務管理(lǐ)。
(6)網絡入侵檢測、報(bào)警、審計(jì)技術
入侵檢測系統(IDS-Intrusin Detection System)執行的主要任務包括:監視(shì)、分析用(yòng)戶及系統活動;審計(jì)系統構造和(hé)弱點;識别、反映已知(zhī)進攻的活動模式,向相關人士報(bào)警;統計(jì)分析異常行爲模式;評估重要系統和(hé)數據文(wén)件的完整性;審計(jì)、跟蹤管理(lǐ)操作(zuò)系統,識别用(yòng)戶違反安全策略的行爲。
常見的IDS産品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啓明(míng)星辰公司的天阗、上(shàng)海金(jīn)諾的網安、東軟的網眼等。
(7)局域網信息的安全保護技術
密碼采用(yòng)9位以上(shàng),每周修改1次
采用(yòng)多層交換網絡的虛拟網劃分技術,防止在内部網監聽數據
采用(yòng)NTFS磁盤分區(qū)加密技術,使網上(shàng)鄰居隻能(néng)是信任用(yòng)戶
采用(yòng)Windows域控制技術,對(duì)網絡資源實行統一管理(lǐ)
采用(yòng)SAN(Storage Area Network存儲區(qū)域網絡)與NAS(Network Attached Storage網絡連接存儲)保護數據。
SAN技術允許将獨立的存儲設備連接至一台或多台服務器,專用(yòng)于服務器,而服務器則控制了(le)網絡其他(tā)部分對(duì)它的訪問。
NAS将存儲設備直接連接至網絡,使網絡中的用(yòng)戶和(hé)網絡服務器可以共享此設備,網絡對(duì)存儲設備的訪問則由文(wén)件管理(lǐ)器這(zhè)一類設備進行管理(lǐ)。
利用(yòng)SAN結合集群技術提高(gāo)系統可靠性、可擴充性和(hé)抗災難性;利用(yòng)NAS文(wén)件服務統一存放(fàng)管理(lǐ)全公司桌面系統數據。
(8)網絡代理(lǐ)
采用(yòng)Proxy對(duì)訪問Internet實行統一監控。限制用(yòng)戶訪問的時(shí)間、訪問的内容、訪問的網址、訪問的協議(yì)等等,同時(shí)對(duì)用(yòng)戶的訪問進行審計(jì)。
(9)郵件過濾技術。
采用(yòng)具有過濾技術郵件管理(lǐ)系統,一般是針對(duì)“主題詞”、“關鍵字”、“地址(IP、域名)”等信息過濾,防止非法信息的侵入。
(10)重視(shì)網絡安全的教育,提高(gāo)安全意識。
三、綜合布線與機房設計(jì)
1. 把服務器、UPS、防火牆、路由器及中心交換機放(fàng)置在中心機房,把各子系統的配線櫃設置在各子系統所在的樓層。
2. 樓宇間光纜敷設
采用(yòng)4芯以上(shàng)的單模或多模室外(wài)金(jīn)屬光纜架空(kōng)或埋地敷設。
3. 樓宇内UTP布線
采用(yòng)AMP超五類UTP電纜、AMP超五類模塊、AMP信息面闆、配線架、AMP超五類UTP跳線實現(xiàn)垂直系統、水(shuǐ)平子系統、工(gōng)作(zuò)區(qū)的布線。
4. 機房裝修
(1)地闆。鋪設抗靜電三防地闆,規格600*600*27,闆面标高(gāo)0.20m,地闆應符合GB6650-82《計(jì)算(suàn)機機房用(yòng)活動地闆技術條件》
(2)吊頂。輕鋼龍骨鋁合金(jīn)架頂棚、頂部礦棉吸聲闆飾面。
(3)牆面。塗刮防防瓷、牆壁面刷乳膠漆。
(4)窗戶。加裝塑鋼推拉窗、木(mù)制窗簾盒、亞麻豎百葉窗簾。
(5)出入門(mén)。安裝鋁合金(jīn)玻璃隔斷推拉門(mén)。
(6)照明(míng)。采用(yòng)高(gāo)效格栅雙管日光燈嵌入安裝。
(7)配電。機房配電采用(yòng)三相五線制,多種電源(動力三相380V、普通220V和(hé)UPS輸出220V)配電箱。爲UPS、空(kōng)調機、照明(míng)等供電。配電箱設有空(kōng)氣開(kāi)關,線路全部用(yòng)銅芯穿PVC管。
(8)接地。根據要求設計(jì)接地系統,其直流接地電阻小(xiǎo)于1Ω、工(gōng)作(zuò)保護地和(hé)防雷地接地電阻小(xiǎo)于4Ω。爲保證優良的接地性能(néng),采用(yòng)JD—1型接地和(hé)化學降阻劑,此外(wài),考慮機房抗靜電的需求,對(duì)抗靜電活動地闆進行可靠的接地處理(lǐ),以保證設備和(hé)工(gōng)作(zuò)人員的安全要求。
(9)空(kōng)調。主機房3P櫃機;分機房1.5壁挂式空(kōng)調機。
5. UPS後備電源。
采用(yòng)分散保護,集中管理(lǐ)電源的策略,考慮APC公司提供的電源解決方案。
四、企業網應用(yòng)系統
1. 應用(yòng)服務器。
2. 軟件平台。采用(yòng)Windows 2003(主要使用(yòng)Domain域控制器,集成DNS服務),Redhat 9.0,Solaris 9.0(在unix/linux上(shàng)運行Oracle數據庫,SAP/R3系統,基于Lotus Domino/Notes的OA系統)
3. 數據庫系統。采用(yòng)Oracle大(dà)型數據庫,或SQL Server2000數據庫。
4. OA辦公系統。基于Lotus Domino/Notes的OA系統,Lotus Domino集成Email/HTTP等服務。
5. 企業管理(lǐ)綜合軟件ERP。采用(yòng)SAP/R3系統,一步解決未來(lái)企業國際化問題;或是用(yòng)友ERP—U8系統。
6. 網絡存儲系統。
五、網絡系統管理(lǐ)
1.交換機、路由器管理(lǐ)。設備均是Cisco産品,使用(yòng)Cisco Works 2000。
2.網絡綜合管理(lǐ)。HP OpenView集成網絡管理(lǐ)和(hé)系統管理(lǐ)。OpenView 實現(xiàn)了(le)網絡運作(zuò)從(cóng)被動無序到(dào)主動控制的過渡,使IT部門(mén)及時(shí)了(le)解整個網絡當前的真實狀況,實現(xiàn)主動控制。OpenView系統産品包括了(le)統一管理(lǐ)平台、全面的服務和(hé)資産管理(lǐ)、網絡安全、服務質量保障、故障自(zì)動監測和(hé)處理(lǐ)、設備搜索、網絡存儲、智能(néng)代理(lǐ)、Internet環境的開(kāi)放(fàng)式服務等豐富的功能(néng)特性。
3.桌面系統管理(lǐ)。LanDesk工(gōng)作(zuò)站(zhàn)配置和(hé)管理(lǐ)工(gōng)具,利用(yòng)它的遠程控制、遠程軟件分發和(hé)軟件計(jì)量功能(néng)可以節省大(dà)量的時(shí)間。