信息化方案信息化建设技术方案.docx
《信息化方案信息化建设技术方案.docx》由会员分享,可在线阅读,更多相关《信息化方案信息化建设技术方案.docx(35页珍藏版)》请在冰点文库上搜索。
信息化方案信息化建设技术方案
(信息化方案)信息化建设技术方案
XX企业新园区
信息化建设技术方案
成均思蓝网络科技有限公司
2012.3
前言3
网络子系统4
1.1XX企业新园区建设背景4
1.2用户需求分析4
1.3网络的分层设计原则6
1.3.1核心层CoreLayer6
1.3.2分布层DistributionLayer6
1.3.3接入层AccessLayer7
1.4网络系统方案设计7
1.4.1XX企业网络的设计目标7
1.4.2网络建设原则要求7
1.5园区网IPV6部署和应用设计9
1.5.1设计原则9
1.5.2设计目标10
1.5.3高级应用服务10
1.6网络结构设计13
1.7园区网络安全规划设计15
1.8园区智能无线网络规划设计23
1.8.1设计原则23
1.8.2设计目标25
1.8.3无线网络部署介绍26
1.8.4无线网络建设后的目标30
1.8.5产品要求32
前言
目前,全球已掀起壹股信息高速公路规划和建设的高潮,作为其雏形,国际互联网(Internet)上相连的计算机已近达数千万台,全球有数亿人于Internet上进行信息交换和各种业务处理。
Internet上积累了大量信息资源,这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息。
成为信息时代全球可共享的最大信息基地。
由于计算机网络技术和通信技术的飞速发展,人们对信息的要求越来越强烈,“网络就是计算机”的说法被全世界普遍接受。
各国纷纷宣布建设本国的信息高速公路,全球信息壹体化局面已指日可待。
于数字化、信息化不断发展的今天,各行各业均开始组建自己的网络系统,同国际接轨,希望能和那些同行业的国际公司抗衡。
作为XX企业也不甘落后,于新园区建设中向着数字化、信息化、网络化方面发展,且建立壹套完整的网络系统,为自己服务。
于信息化越来越发达的今天,XX企业利用网络来统壹各子系统进行统壹化管理是大趋势。
此次项目中,贵单位基于网络子系统就包括:
网络设备子系统、周界监控子系统、无线网络系统等。
网络子系统
1.1XX企业新园区建设背景
重庆市引进的最大外资项目——世界化工巨头巴斯夫和市化医集团合作投资的MDI(二苯基甲烷二异氰酸酯)壹体化项目。
MDI是生产聚氨酯的重要原材料,被广泛应用于汽车仪表盘、建筑外墙保温层及冰箱、运动鞋等多类产品的生产。
XX企业壹直非常重视信息化建设,网络中心是XX企业重要的信息运维支撑机构,负责XX企业信息化建设和运行,承担着XX企业数字化的研究、规划、建设、运行、维护、用户服务和培训等重要任务。
于多年的信息化研究和实践中,XX企业网络中心全国同行壹道推动着这壹行业的信息化的发展。
目前,XX企业新园区没有组建网络,根据贵方要求,需要对园区建筑物部署网络、语音、网周界监控、无线网络覆盖,实现每个点位的网络接入。
实现园区信息化统壹管理,资源共享。
1.2用户需求分析
本次信息化建设仍需要把XX企业所有上网帐号进行统壹管理,因此,于此次网络建设中必须满足对三个网络的可控可管;功能包括:
流控、认证等功能。
从园区网安全方面考虑,本次信息化建设必须要有安全设备来保证网络安全。
围绕贵企业各个部门职能、业务范围及工作内容进行综合分析,才能真正了解贵单位园区的网络系统建设要求。
园区职能分析
根据我们考查了解,贵单位主要工作内容:
企业管理基本职能:
1)XX企业信息化业务开展
2)XX企业信息化管理
3)XX企业教职工人员业务办公
4)园区安全保障
5)园区人员管理
随着计算机多媒体和网络技术的不断发展和普及,网络信息系统的建设,是非常必要及可行。
主要表当下:
ν当前网络信息系统已经发展到了和国内互联、国际互联、静态资源共享、动态信息发布和协作工作的阶段,发展企业信息现代化的建设提出了越来越高的要求。
ν随着各个企业对物信息量依托的不断增多,使社会、大众和管理部门对信息计算机管理和信息服务的要求越来越强烈。
ν随着经济发展,我们各个企业对信息化的投入不断加大;计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。
大量计算机网络设备进入公司和单位。
建立起高速智能化、集成化、结构化、扩展性强的计算机网络系统,建立能满足企业管理工作需要的软硬件环境,开发各类信息库和应用系统,实现网上办公、网上业务、开展园区日常监管的工作,为企业提供充分的网络服务。
1.3网络的分层设计原则
从逻辑上,大型网络可分为核心层、分布层和接入层,每层均有其特点。
层次化设计的优点能够总结为如下几点:
●可扩展性:
因为网络可模块化增长而不会遇到问题;
●简单性:
通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜于的问题;
●设计的灵活性:
使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;
●可管理性:
层次结构使单个设备的配置的复杂性大大降低,更易管理。
1.3.1核心层CoreLayer
核心层为下俩层提供优化的数据输运功能,它是壹个高速的交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL,过滤等),否则会降低数据包的交换速度。
1.3.2分布层DistributionLayer
分布层提供基于统壹策略的互连性,它是核心层和访问层的分界点,定义了网络的边界,对数据包进行复杂的运算。
于楼宇网络环境中,分布层主要提供如下功能:
●地址的聚集
●工作组的接入
●广播域/多目传输域的定义
●InterVLAN路由
●介质的转换
●安全控制
1.3.3接入层AccessLayer
接入层的主要功能是为最终用户提供对网络访问的途径。
本层也能够提供进壹步的调整,如Access-listFiltering等。
于贵方网络环境中,接入层主要提供如下功能:
●SharedBandwidth
●SwitchedBandwidth
●MACLayerFiltering(possibly)
●Microsegmentation
于广域网环境中,接入层主要提供通过FrameRelay、ISDN、LeasedLine连入远程节点。
1.4网络系统方案设计
1.4.1XX企业网络的设计目标
1.新壹代园区网要以实现有线、无线的网络融合;实现视频、语音、数据业务的融合;实现基于多平台、多协议的IP标准化管理融合为建设目标。
2.要以服务为中心,以人(用户)为本,以提高XX企业核心竞争力;建设智能融合、面向服务的新壹代数字园区为目标。
3.更加有效支持XX企业的科研、管理、生产等各项活动,创造和谐的园区环境,促进产品质量、科研水平、管理效率的提高,促进XX企业的改革和发展,促进高水平企业建设。
4.能够实现网络接入方式的融合、网络业务的融合、网络管理方式的融合。
5.从而构建安全、稳定、高效、协调、整合的、信息资源丰富的、集成化的数字园区综合信息服务平台。
1.4.2网络建设原则要求
随着现代计算机应用的高速发展,特别是诸如图形、语音、视频等多媒体信息和技术于管理信息系统、科研设计等领域的广泛应用,为网络平台的设计提出了更高的要求。
为了更好地满足用户的需求,保证系统能正常稳定运行,于较长的时间内不落后,于本网络系统方案设计中,我们认为应当把握以下几个原则:
1、稳定性
只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择壹个具有运营此类网络规模经验的网络合作厂商则更为重要。
要求有物理层、数据链路层和网络层的备份技术。
2、高带宽
为了支持数据、话音、视像多媒体的传输能力,于技术上要到达当前的国际先进水平。
要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。
为此应选用高带宽的先进技术。
3、先进性
网络硬件、软件平台的先进性,要注意选择性能价格比好的先进技术和硬件和软件组网,保证系统的基础环境十年不落后。
4、标准性和开放性
选择统壹性的网络结构和软件硬件平台,有利于系统的建立和开发。
制定信息管理的规范,组织有关人员对管理信息系统进行系统分析,制定数据流图和数据结构,为信息系统的开发奠定基础。
为了实现和各种网络互访的要求,要选择开放的网络体系结构,既要选择当前的主流产品,又要具有开放性,以利于今后的扩充。
5、可扩展性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,且能随着技术的发展不断升级。
易扩展不仅仅指设备端口的扩展,仍指网络结构的易扩展性:
即只有于网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络;网络协议的易扩展:
无论是选择第三层网络路由协议,仍是规划第二层虚拟网的划分,均应注意其扩展能力。
6、容易控制管理
因为上网用户很多,如何管理好他们的通信,做到既保证壹定的用户通信质量,又合理的利用网络资源,是建好壹个网络所面临的首要问题。
7、经济性
充分利用原有的软件、硬件资源,减少投资浪费,做到高性能价格比。
8、安全性
网络系统应具有良好的安全性,保证数据的安全及网络使用的安全。
由于规划贵方网络连接园区内部所有用户,安全管理十分重要。
应支持VLAN的划分,且能于VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。
9、符合IP发展趋势的网络
于当前任何壹个提供服务的网络中,对IP的支持服务是最普遍的,而IP技术本身又处于发展变化中,如IpV6,IPQoS,IPOverSONET等等新兴的技术不断出现,贵方网络必须跟紧IP发展的步伐,也就是必须选择处于IP发展领导地位的网络厂商。
于后面的网络技术选型和系统方案中,之上设计原则和思想均将会被贯彻始终。
1.5园区网IPV6部署和应用设计
1.5.1设计原则
1)保证现有IPv4应用的正常应用
现有IPv4网络中的应用已经支持了大量的用户,IPv6网络要对现有IPv4应用提供支持方案,不能对现有的业务造成影响,这种影响包括业务性能的影响、网络可靠性的影响以及网络安全性的影响等多方面。
2)网络要具有扩展性
IPv6技术依然于发展之中,IPv6网络的建设也不可能壹步到位,会是壹个逐步建设完善的过程,因此当前的IPv6网络方案要易于扩展,方便将来的网络升级。
3)最大限度地保护既有投资
于进行IPv6网络方案设计时,需要结合现有园区网的实际情况,考虑到现有网络的既有投资,提出很好地保护既有投资的网络解决方案。
4)要保证网络的稳定性和可靠性
和IPv4网络设备相比,现有IPv6网络设备仍处于逐步成熟和完善之中,有可能会影响IPv6网络的稳定性和可靠性,因此推荐的IPv6网络方案要能够充分保证网络的稳定性和可靠性,保证不会对网络的服务质量有明显的影响。
5)网络方案要能够发挥IPv6的技术优势
IPv6技术的提出主要是为了解决IP地址空间不足的问题,但也增加了壹些其他功能,比如网络安全性支持能力、网络组播等。
于组网技术方案中应该考虑如何使这些技术优势得以发挥。
6)网络方案设计要考虑周全
于设计网络方案时,壹方面要考虑到IPv4/v6长期共存,另壹方面也要考虑到将来网络全部采用IPv6的可能。
因此,网络方案要注意所选技术能够支持网络的平滑过渡,不会形成将来网络过渡的新障碍。
7)支持IPv4业务和IPv6业务的互通
网络方案要实现IPv4网元和IPv6网元的互联,能够分别支持IPv4业务和IPv6业务,同时要考虑将来能够支持IPv4业务和IPv6业务的业务层面的互通。
8)要考虑IPv6网络对用户认证方式的支持
目前于IPv4网络中,各企业针对园区网均有各自不同的认证方案,于设计IPv6网络方案时要充分考虑对认证方案的支持。
1.5.2设计目标
网络实现IPv4网和IPv6网的互联,能够分别支持IPv4业务和IPv6业务,于企业内能够实现IPV6的基础应用和高级应用,使XX企业于IPV6的教学科研和应用上保持学术和技术应用的先进性。
1.5.3高级应用服务
园区网门户系统
园区网综合信息门户系统是面向用户的大型网络综合应用系统。
门户对园区网内的信息和应用系统进行统壹的管理和整合,集中控制用户对信息和应用系统的访问,为用户提供统壹的访问入口。
同时,门户会根据用户的身份提供满足其需求的特定信息和应用系统,为用户提供完善的个性化服务。
随着IPv6时代的来临,各种信息化、网络化设备的广泛应用,也充分的使用户享受到信息整合的个性化应用服务。
●资源的管理和整合
为实现WEB资源的统壹访问,综合信息门户需要管理各种WEB资源的访问地址、访问方式、访问权限和所提供的服务等关联信息;为让园区网用户可通过门户访问这些资源,门户仍需管理用户信息,且对不同用户访问不同资源时所拥有的操作权限进行统壹的管理,提供多层次和灵活权限管理策略。
同时,门户提供的不仅是各种资源的集合,仍要根据用户的需求对资源进行整合,包括将独立的应用系统进行应用层次上的松散集成,以服务的形式提供给用户使用;将分布的信息进行分类、编目,以索引方式提供给用户访问;另外,用户能够通过各种IPv6终端访问门户系统,以进行信息资源的查询和管理。
●单点登录、应用漫游
于基于应用的访问模式下,访问控制由各资源系统独立完成。
统壹访问入口应用后,需要将安全访问控制集中于门户中进行,由门户统壹控制用户对资源的访问。
因此门户具有单点登录、应用漫游等特征。
●个性化的访问环境
门户系统改变了原有应用系统的服务模式。
原有应用系统实现的是面向功能的服务模式,每个应用系统提供的功能只能满足特定的需求。
门户提供的是面向人的服务模式。
于这种服务模式下,门户能够提供个性化访问环境。
个性化的访问环境包括个性化的界面和个性化的资源整合。
视频直播应用
利用IPv6组播协议开展高清视频和电视节目的传送,使每壹个用户能够享受到高清视频服务,更充分的享受到下壹代互联网带来的利益。
通过C/S或B/S模式的公共视频直播系统,能够实现用户自主进行视频直播,不要需专业人员的维护,只需要用户通过浏览器或客户端登录专用的公共视频直播服务器,通过门户系统进行身份确认和授权,用户能够很方便的利用该系统,将自己现场活动和各种文档于网上进行直播。
视频源的获取
视频源的获取需要通过俩个手段来获取,首先是直播视频的获取。
通过模拟或数字的视频摄像设备,获取实时的视频数据,且将视频数据通过直播机的视频采集卡进行采集,通过直播机进行视频的实时处理和压缩,且将压缩后数据通过视频直播服务器发送到IPv6网络中,供用户实时于线观见。
第二种视频数据的获取是非实时的视频文件,视频提供者通过于自己的终端设备上制作完成视频资料,且发送到视频服务器上,然后视频服务器将需要的视频数据进行压缩转换,且通过视频直播服务器将视频数据数据发送到IPv6网络中,供用户实时于线观见。
视频数据的分发
为了满足未来对视频直播服务的需要,视频服务可采用基于P2P的模式进行视频数据的分发和传送,为用户提供更优质的视频服务。
通过基于P2P的视频分发模式,极大地降低了对视频服务器性能和网络的消耗。
于园区网内部,所有的视频接收端也是视频的服务端,所有用户对等的享有由视频服务器分发的视频数据。
园区网中的所有参和视频接收的用户同时也将成为视频数据的提供者,用户于接收视频数据的同时,也于利用空闲的资源为其他用户提供视频数据,充分的保证了高质量视频数据实时的分发到每壹个需要的用户端。
极大的提高了视频直播的服务质量。
另外,采取IPv6组播方式分发也能够保证网络带宽不会被重复的数据所浪费。
对于有多个园区互联的XX企业,对视频直播服务提出了更高的要求,需要能够为多园区的视频直播用户提供高质量的视频直播服务。
为了满足多园区视频直播服务的需要,采用应用层组播技术(ALM)及Internet间接访问基础结构技术等方式,不仅为XX企业内部,同时能够为企业外的合作伙伴、外部用户提供基于P2P的视频直播服务。
通过应用层组播技术的引入,由用户端系统来实现组播转发的功能,不仅有效地减低了服务器的性能消耗,同时能够有效地降低服务器负载和带宽的使用。
同时,通过建立可控管的IPv6组播服务系统实现视频直播管理和控制,能够对需要接收视频数据的用户进行有效的管理,且于未来提供更高质量的服务的同时,能够获得良好的收益回报。
高清视频会议应用
●高清视频会议系统
高清视频会议系统和高清电视不同,高清电视是单向广播的,而高清视频会议则是双向、互动、实时的传输过程。
高清电视广播仅需要保持固定的信号质量,对延时且不敏感,而视频会议由于需要双向交互,而过多的延时和抖动会增加语音重叠、视音频不同步、交互等待时间过长等问题的出现。
利用高速的下壹代互联网实现高清视频会议,是IPv6园区网的壹个亮点应用。
因此于IPv6园区网的QoS控制中,应对视频会议类型的数据流定义了最高的优先级别,以保证视频会议信号的实时传输。
目前高清视频会议系统普遍采用硬件方式予以实现。
于各个重要接入点,可部署具有硬件压缩/解压功能的编解码器,能够有效地实现基于IPv6环境下高清多点视频会议的召开,为XX企业科研团队的及时沟通和大型网络会议的召开提供有力的保障。
●超高清远程视频传输系统
目前有些企业已和国外大企业积极合作,开展基于国际专线的超级高清视频信号传输。
当下该传输研究项目正于积极开展之中,届时将实现超高清全景播放。
IPv6网格技术
IPv6网格是继传统因特网、Web之后,信息革命的第三大浪潮,可称之为第三代因特网。
如果说传统因特网实现了计算机硬件的连通,Web实现了网页的连通,网格则是试图实现互联网上所有资源的全面连通,即把整个因特网整合成壹台巨大的超级计算机,实现计算资源、存储资源、数据资源、信息资源、知识资源、专家资源、IPv6设备资源等资源的全面共享。
IPv6网格因此被见成是未来的互联网技术。
IPv6网格研究的壹个共同点是如何消除信息孤岛和知识孤岛,实现包括信息、知识于内的各种资源的智能共享。
1.6网络结构设计
考虑到贵企业此次实施为新园区的网络建造,根据贵方要求,我们设计贵园区网络核心交换机放置于核心机房。
此外,园区仍有N个功能区,各个功能区各设置壹个汇聚层交换机,用于汇聚本区域内的所有接入层交换机,再通过光纤连接到核心机房。
结合园区信息中心要求及关联规范技术文件,计算机网络系统网络建设成为主干最高可达10000Mbps,1000Mbps速度到用户桌面的高速网络。
网络拓扑图
园区网络系统设计:
1、核心设备高背板转发、拥有高带宽、高背板、提供高可靠性。
2、各区域和核心之间均采用万兆光缆连接。
3、核心设备部署于中心机房、接入设备部署于各楼层弱电井。
4、每个区域内至少均部署壹台汇聚交换机用于本区域内点位汇聚。
5、同壹栋楼内弱电井间均采用光纤连接。
6、周界安防监控采用IP监控设备,数据传输采取就近引线。
(从就近的多媒体信息箱引接数据线)
1.7园区网络安全规划设计
企业园区网的安全建设能够用短板效应来说明,壹个小小的安全隐患,就会影响到整个园区网的安全建设的全局。
所以园区网的安全建设需要全面考虑、系统规划。
园区网安全现状原因分析
●网络结构单壹和设备防护技术欠缺
网络目前为单核心结构,相应作为骨干区域的设备级别的保护技术较少。
如CPU的硬件保护,设备防DOS攻击等功能。
●无法进行有效的身份管理
园区网缺少用户身份认证机制,外来用户、非法用户随意接入;缺少可控的身份集中认证系统,对用户进行管理难度大;用户账号存于被盗用的风险,安全审计无法有效进行。
●无法保证用户终端合法性
Windows系统补丁未更新,系统存于致命漏洞;没有按规定安装杀毒软件及防火墙,成为病毒和木马的温床;随意安装违禁软件,不规范使用网络;上述问题造成了病毒和攻击于园区网内的泛滥,影响正常应用的开展。
●内网安全无法有效控制
70%之上威胁网络安全的攻击行为均是来自园区网内用户;内网防御能力弱,病毒、木马泛滥;“合法用户”的“非法行为”危害巨大;常规手段难以及时发现且阻断攻击行为;发生的安全事件不能审计到人,无法进行有效处理。
安全网络设计原则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系于整体设计过程中应遵循以下9项原则:
1)网络信息安全的木桶原则
网络信息系统是壹个复杂的计算机系统,它本身于物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。
攻击者使用的“最易渗透原则”,必然于系统中最薄弱的地方进行攻击。
因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。
安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。
2)网络信息安全的整体性原则
要求于网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络网络中心的服务,减少损失。
因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。
安全防护机制是根据具体系统存于的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。
安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。
安全恢复机制是于安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。
3)安全性评价和平衡原则
对任何网络,绝对安全难以达到,也不壹定是必要的,所以需要建立合理的实用安全性和用户需求评价和平衡体系。
安全体系设计要正确处理需求、风险和代价的关系,做到安全性和可用性相容,做到组织上可执行。
评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。
4)标准化和壹致性原则
系统是壹个庞大的系统工程,其安全体系的设计必须遵循壹系列的标准,这样才能确保各个分系统的壹致性,使整个系统安全地互联互通、信息共享。
5)技术和行政管理相结合原则
安全体系是壹个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理均不可能实现。
因此,必须将各种安全技术和运行管理机制、人员思想教育和技术培训、安全规章制度建设相结合。
6)统筹规划,分步实施原则
由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能壹步到位,可于壹个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。
随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。
7)等级性原则
等级性原则是指安全层次和安全级别。
良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
8)动态发展原则
要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
9)易操作
升级会员 