《网络建设方案》word版.docx
《《网络建设方案》word版.docx》由会员分享,可在线阅读,更多相关《《网络建设方案》word版.docx(18页珍藏版)》请在冰点文库上搜索。
《网络建设方案》word版
东金购物中心智慧园区网建设方案
前言
本方案目前设备主要针对一期工程中的孝义东金购物中心的-1~6F商业网络进行方案设计。
第一章需求分析
东金购物商业广场为办公、酒店及商业裙房,地上:
包括办公、住宅建筑,酒店、商业、地下室建筑;其中办公、住宅建筑1层为商业,2~3层为办公,4~24层为住宅属于一类高层商住楼,酒店、商业、地下室建筑,地上:
1~6F部分为酒店外其余为商业,7~10F为酒店,11~25F为酒店式公寓属于一类公共建筑;地下:
地下共二层;其中地下一层由酒店、商业、机动车库及设备用房等组成;地下二层由机动车库及设备用房等组成,车库停车数量大于300辆,属于一类车库;;
东金购物商业广场智慧园区网作为东金购物商业广场区的基础承载网络为各企业网络租赁服务、互联网服务,科技园智慧园区网还要承载园区视频监控、楼宇自控、门禁等业务。
第二章智慧园区建设原则
根据本次网络建设的实际应用状况和将来的发展趋势,考虑到网络部署的实际需求及具体的使用特性,同时兼顾技术新旧更替不断加快的特点,整体方案设计遵循以下设计原则:
先进性、成熟性和实用性
使用先进、成熟、实用和具有良好发展前景的技术,使得各应用系统具有较长的生命周期,不盲目追求高档次,既能满足当前的需求,又能适应未来的发展(包括设备和技术两方面内容)。
可靠性
高效稳定的网络平台,能提供全年365天,一天24小时的不停顿运作。
对于安装的终端设备、网络设备、控制设备与布线系统,必须能适应严格的工作环境,特别考虑要适应煤矿恶劣的客观环境,以确保系统稳定。
易操作性
先进且易于使用的图形人机界面功能,提供信息共享与交流、信息资源查询与检索等有效工具。
高效率性
注重各应用系统的信息共享,提高整个系统高效率的传输与运行能力。
实时性
设备和终端必须反应快速,充分配合实时性的需求。
完整性
提供与各种外界系统的通信功能,确保信息的完整性并充分利用在整体系统的运作上。
互联性和可扩展性
把各应用系统有机结合起来,满足信息沟通需要。
特别要考虑各子系统之间的互联性和可扩展性,其中包括应用系统的互连性和可扩展性。
充分考虑将来需求的成长空间,所提供的系统平台与技术将充分配合未来功能及扩充项目的需求,以避免将来重复的投资。
第三章智慧园区建设目标
东金购物中心数字化园区业务可以认为是最复杂的园区网类型。
从当前东金购物中心业务发展情况来看,大体如下:
园区自有业务:
如园区办公系统、园区监控、楼宇自控系统、门禁、酒店等等业务系统。
园区公共业务:
园区公共服务平台
互联网业务:
包括有线、无线互联网服务
针对东金购物中心数字化园区多业务发展同时并存的特征,单纯搭建一套可联通的路由交换平台,显然是无法形成弹性的、可控的、区分业务的有效支撑。
平台需要从四个维度进行充分的保障:
3.1网络结构的建设和优化
增强园区网核心层、园区网汇聚层对多业务的识别与区分能力;
实现园区网核心层、园区网汇聚层的无单点故障,在兼顾经济性的同时,最大限度保障多业务的可用性;
避免系统建设后对多业务并存要求的瓶颈,对于可能的瓶颈设备、瓶颈链路重点关注和解决;
对全网实现向下一代网络IPv6技术的迁移;
3.2区分业务的服务质量保障
对各企业间网络进行逻辑隔离,保证企业网络的逻辑独立性;
对有需求的企业内部网络逻辑划分不同业务系统,界定其隔离与共享的关系;
建立统一的数据中心平台,实现业务的数据整合管理;
利用网络平台对多业务的区分,实现不同业务端到端的、不同优先等级的处理;
3.3抵御对业务运营的不安全因素影响
抵御来自外部网络的攻击行为;
抵御企业内部用户的非法行为;
抵御针对数据中心的攻击行为;
消除各业务系统之间的攻击影响;
对于不同的子系统实现不同的安全策略;
3.4强化对业务的管理能力与控制
建立统一的数字化园区支撑平台管控中心;
实现对设备、用户、业务、安全等多系统的集成化、关联化管理;
实现集中管理,智能化管理,从而降低综合拥有成本;
增加管理系统的开放性,以实现管理系统对数字化园区上层应用的无缝集成。
第四章总体设计
4.1方案概述
本次网络建设,采取单核心设计,核心为高性能H3CS7500E交换机,核心设备主控、电源、交换网板等关键部件采取冗余设计,提升核心端设备的整体可靠性,避免单点故障的出现。
在各配线间部署S5110全千兆交换机作为楼层接入交换机,即形成一个千兆骨干、千兆接入的承载网络。
互联网出口部署H3CSR6602-X系列路由器。
具体网络拓扑如下所示:
4.2智慧园区核心网络设计
核心模块的主要功能是完成信息数据流量的高速交换,是园区网内纵向流量与服务器应用系统间横向流量的交汇点。
核心交换区必须具备高速转发的能力,同时还需要有很强的扩展能力,以便应对未来业务的快速增长。
而且核心模块是整个平台的枢纽。
因此,可靠性是衡量核心交换区设计的关键指标。
否则,一旦核心模块出现异常而不能及时恢复的话,会造成整个平台业务的长时间中断,影响巨大。
考虑到此次网络建设的规模,并且核心交换区主要为网络提供高速、稳定、可靠的数据转发,是整个网络系统的心脏,所以对核心交换区设备在转发速率、安全性、可靠性方面有较高的要求。
1
1.1
1.2
1.2.1
1.2.2
1.2.2
4.3智慧园区安全设计
随着网络技术的发展,现在的网络应用早已从最初的邮件收发、即时通信演变成各种各样的数字娱乐、电子商务大行其道,随之而来的就是各种网络问题的层出不穷。
如近年出现的熊猫烧香等病毒的泛滥、艳照门事件以及不断爆发的门户网站被攻击事件等。
上述种种事件都说明,现在的网络安全面临着病毒更毒,黑客更黑。
不仅仅是各种DDoS攻击、间谍软件、网游木马、流氓软件、病毒邮件在不断肆虐,还有性质极为严重的网络银行钓鱼和针对性很强的木马、蠕虫病毒的不断出现。
因此,如何保证网络系统的安全性已经成为网络管理人员最为头痛和最为棘手的问题。
可以肯定的说,目前用户对于网络服务的要求已经大大提高了,不但要求满足大流量的数据传输,还要求网络不能出现中断或故障。
要想把安全技术融于网络,安全技术必须和高速的网络设施相匹配;同时,还要简化网络拓扑,简化对网络的管理,方便网络用户的使用,以确保应用和互联的网络安全。
本次网络安全设计主要采取安全插卡融合网络的方式,即在高性能核心交换机上部署安全插卡来保证整网的安全。
4.3.1防火墙安全防御
本次防火墙通过在互联网出口安全网关S7508E-X上部署防火墙模块,H3CSecBladeFW防火墙模块能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能,有效的保证网络的安全。
采用H3CASPF(ApplicationSpecificPacketFilter)应用状态检测技术,实时检测应用层连接状态,实现3-7层安全防护。
提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
SecBladeFW模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
4.3.2入侵防御安全防护
本次在核心交换机S10508-V上部署入侵防御模块,集成入侵防御/检测、病毒过滤和带宽管理等功能,是业界综合防护技术最领先的入侵防御/检测系统。
通过深达7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,并实现对网络基础设施、网络应用和性能的全面保护。
4.3.3应用控制安全防护
目前网络应用行为日益频繁,园区网网络中内部安全和内部控制的重要性日益突出,上网人员通过网络泄漏重要数据,员工通过上网在网上传播非法言论,可能会造成社会恶劣影响等事件时有发生。
及时记录内部员工的上网行为,从而做到事后有据可查成为目前园区网网迫切需要解决的问题。
本次在互联网安全网关S7508E-X上部署应用控制网关,实现用户行为审计功能可以对用户的上网行为进行全面记录,为时候取证提供完备的依据。
ACG用户行为审计功能包括用户HTTP访问行为记录,用户电子邮件行为记录以及FTP上传下载行为审计。
通过对URL的全记录,完全掌握用户上网行为,定位用户访问网页或查看的文件;通过对用户电子邮件内重要信息以及FTP上传下载文件名等信息的审计,完成数据流动的完全监控。
4.3.4安全融合网络
本次网络设计中,主要采取安全插卡的形式来部署网络安全环境,在高性能的万兆核心交换机中直接嵌入SecBlade安全模块的做法,这对于H3C来说,不仅是一种安全理念,更是从核心交换就实施安全措施的一种创新。
创新之处在于:
要想把安全技术融于网络,安全技术必须和高速的网络设备相匹配;同时,还要简化网络拓扑,简化对网络的管理,方便网络用户的使用,以确保应用和互联的网络安全。
安全板卡的优势在于:
高性能
H3C安全业务模块都采用了业界最领先的多核CPU+ASIC+FPGA的高性能硬件架构。
这种分布式的硬件架构保证了所有的业务能在第一时间进行并行处理。
对于现在大量的应用层安全攻击,由于需要进行深入的报文分析,只有这种多核CPU的硬件架构才能真正实现对数据报文的实时处理,不会造成传输延迟。
除此之外,由于交换机对数据报文采用分布式转发的模式,这样安全插卡就能巧妙地利用H3C高端交换机的背板总线技术,确保安全插卡也能实现与万兆网络设备的无缝对接。
高可靠性
基于交换机的无阻塞技术,各种插卡通过背板总线进行数据交换。
任何一块插卡出现故障,通过H3C专利的ACFP技术,能够确保流量都会自动避开它,通过Bypass方式保证业务正常运行。
由于安全插卡是部署在交换机上。
而交换机的各种关键部件,包括电源、引擎、接口板、业务板等都可以冗余部署,这就大大提高了整体的可靠性。
当所有的关键部件都进行冗余部署的时候,实际上就是两台设备在同时工作,并可以进行负载分担。
此外,由于所有的插卡都可以进行热插拔,这也大大降低出现故障时更换设备的时间。
易扩展
安全插卡可以插到高端交换机的任何业务槽位上,通过插卡数量的扩展可以实现总体处理性能数倍的提升,组成多功能、高密度、高安全的核心交换机。
方便的管理和配置
在安全插卡上,单独有外带的网络管理口和串口(Console),可以通过Web界面实现对安全插卡的管理和配置,也可以通过网口接入到交换机的网管系统,利用网管软件实现对防火墙的配置。
每个安全插卡的安全日志信息也能统一上报给H3C的安全管理平台SecCenter。
通过SecCenter的统一安全信息收集和筛选,提取相关的关联信息,然后进行统一管理,真正做到安全联动。
无限的接口
相对一般盒式安全设备只能提供数量很少的接口而言,安全插卡可提供无限制的接口,这是因为交换机中所有接口的数据都可以转发到安全插卡上进行处理。
同时,通过插卡的虚拟化技术,可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡,每个逻辑板卡拥有完全独立的资源和策略。
4.4智慧无线园区网
无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。
无线局域网具有以下显著特点:
简易性:
WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;
灵活性:
无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;
综合成本较低:
一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。
同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和园区网、学校内部Intranet相连,从体系结构上节省了协议转换器等相关设备;
扩展能力强:
WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;
4.5智慧园区BYOD
智能手机和平板电脑发货量在2011年超越了传统的PC和笔记本,智能终端普及由量变到质变,并且随着移动互联网的普及,我们的生活越来越便利,随时随地都可以分享和获取信息。
而我们当前的工作方式,相对比较传统,便携性、移动性都有提升空间,并且传统办公方式,在信息获取和分享方面,也没有智能终端方便。
BYOD的核心理念,是把智能终端的便携性和易用性的优势,引入到当前的工作中,以提升办公效率和体验。
4.5.1网络随行应用随心
你不在办公室,办公室在你掌中。
智能终端的普及和移动互联网普及,大大提升了我们日常生活的便利性和体验,BYOD则可以充分利用互联网和智能终端的优势,提升企业员工满意度、提升办公效率,同时也提升企业员工创造力,最终实现园区网和企业员工利益的最大化。
H3CBYOD解决方案,以iMC为中心,基于SDN架构的虚拟化网络集群为基础,与云计算数据中心融合,网随云动保障业务的快速部署,开放的系统和接口,可与客户现有系统及APP实现完美对接,保障客户现有投资,客户办公应用虚拟化并与H3CiNode客户端集成,保障办公模式的平滑切换,为客户提供智能、安全的一体化BYOD解决方案。
BYOD是一个系统工程,实现BYOD是一个循序渐进的过程,而非一蹴而就,可以从以下从四个方面进行(如图1所示)。
园区网要保障对各种BYOD终端的管理,保障终端可控制、可管理、可信任。
评估网络的承载能力、可扩展性及可管理性。
BYOD的引入,导致接入终端呈2~3倍的增加,无线空口资源及有线承载能力是否能够满足其需求,网络是否易扩展,是否需要考虑改造网络架构以提升网络的扩展性来满足未来BYOD爆炸式增长的接入终端数。
安全性保障。
在BYOD时代,除网络安全外,还需要考虑终端安全及数据的安全。
与企业统一配发的电脑相比,BYOD设备安全性要弱,而BYOD设备访问企业网的私密数据,因此需要考虑如何保障企业的数据、网络、终端的安全性。
实现BYOD系统开放性及应用推送。
首先要考虑BYOD系统与企业现有的业务及管理系统对接,其次,在终端可控可管理、保障安全性及网络承载能力的基础上,考虑如何把应用从PC“搬”到智能终端上,实现BYOD移动办公,提升企业办公效率。
图1如何迎接BYOD
4.5.2如何实现BYOD
终端管理
终端识别及控制
在传统的办公时代,办公终端以PC为主,因此,终端准入控制也是以控制PC为主。
BYOD时代,办公的终端不再仅限于PC,各种各样的终端,涌进企业内部,这种场景下,终端的管理,变得更加的复杂。
要实现对终端的管理,需要提前知道这是一台什么样的终端,包括操作系统、型号等,这样才能针对不同类型的终端,采取不同的管理策略。
那么如何识别这些终端呢?
H3C提供了精确的终端识别方案,在企业员工使用智能终端登录公司网络时,系统通过捕获特定报文,来获取终端信息,最终判断出终端类型、厂商、MAC地址及操作系统等信息。
针对不同的终端类型,实施不同的管理策略,实现对终端的精细化管理。
终端的流动性、网络的移动性彻底改变了固定地点、固定设备接入网络的传统模式。
同时,同一用户也不再仅使用一类设备接入网络的现实,也迫使IT管理员适应BYOD时代的潮流,对网络准入控制策略进行新的规划和设置。
识别了终端类型,园区网还需要考虑根据企业员工接入网络所使用终端的归属权,给予不同的管理策略和访问权限。
自带终端的安全性,和园区网提供的办公设备安全性相比,是存在一定差异的。
因为有些企业员工不乐意安装园区网IT各种复杂的终端安全和管理软件,这直接导致此类终端安全性的下降。
另一方面,企业员工在自己的终端上,会安装各种应用,这些应用的来源、安全性,也会造成一定的风险。
因此,园区网需要考虑,针对终端归属权,实施不同的安全管理策略,来降低BYOD对园区网的风险。
园区网会根据企业员工随着接入的位置和时间的不同,访问策略也会有所不同,比如在上班时间和下班实现,访问的权限是不一样的;在研发区和公共展厅,访问的权限也会有所不同。
那么综合来看,园区网期望可以针对用户身份、终端类型、终端归属权、接入的时间、接入位置,对接入场景综合授权。
H3CBYOD终端管理方案,以iMC为中心,网络设备做配合,可实现多维度的授权。
四个W:
Which,When,Where,Who
授权条件包括:
终端类型、操作系统、厂商信息、终端所属权、接入地点、接入时间,基于7个维度的综合授权。
因此客户可以很灵活的针对用户的接入场景,进行授权;轻松实现园区网的IT策略。
园区网访客管理
访客,是现代园区网必须面对的一个群体。
BYOD时代,由于访客使用的终端从PC扩充到各种丰富的智能终端,不同的客户群体,对访客系统的需求也不尽相同,访客的管理变得复杂起来。
图3访客管理
H3CBYOD访客系统,适用于现代园区网的各种场景,可满足不同客户的需求。
借助该方案,访客网络可以和园区网办公网络完全融合,无需物理上的隔离和划分,从而简化园区网管理。
丰富的开户方式及精细化的策略控制,满足不同行业的需求,开放的接口,满足客户个性化的定制需求(如图3所示)。
H3C访客系统,具备开放、易用、可交付的特性,极大提升园区网访客管理效率及用户的体验。
BYOD对网络基础设施的影响
如前文所述,BYOD的引入,会导致接入终端数量呈2~3倍的增长,而这种增长对网络造成的冲击,对网络的承载能力、性能,可扩展性以及可管理性提出了严峻的挑战。
同时BYOD的移动性对网络的移动接入也提出了更高的要求。
园区网的IT部门需要从如下几方面做准备。
网络可扩展性
网络的可扩展性好不好,可以从几个方面去评估:
面对快速的业务增长,网络是否能够可持续扩展;
网络规模变大的同时业务部署是否过于复杂;
网络规模变大的同时可靠性方案是否会变的越来越复杂;
随着网络规模的增长,管理及维护成本是否呈现非线性的增长,且增长率越来越大。
。
BYOD会导致网络规模变大,而传统的网络部署方式,会随着网络节点数增多,变得越来越复杂,维护成本越来越高,问题定位越来越难。
H3C的园区网解决方案提供了架构虚拟化和通道虚拟化,解决网络扩展性问题。
架构虚拟化技术包含横向虚拟化IRF以及纵向虚拟化VCF技术。
而如果通过虚拟化技术,横向IRF及纵向VCF,大大简化了网络结构。
通道虚拟化技术,可以保障在一个网络中,混合部署多种业务,并且不同业务之间,可以根据IT策略,决定是否隔离。
配合H3CiMC统一管理平台,可以针对不同的业务,快速部署新的业务通道,同时为该业务通道分配不同转发优先级的转发通道,满足BYOD时代丰富的业务需求。
移动性
BYOD优势之一,就是其便携性和移动性。
而如果要把这种优势带到工作中,就需要网络能够满足随时随地的接入需求,并且要简化接入的复杂程度,提升用户的体验。
BYOD有如下两种移动需求。
园区网内漫游,要做到对用户完全的无感知,业务不可中断。
H3C无线WLAN方案提供了相应的保障。
园区外访问企业的业务,即园区外的漫游,要考虑在第三方公共Wifi或运营商3G接入的情况下,为终端提供VPN接入,以保护用户数据的安全。
这里重要的是要保障用户的接入体验,园区网网接入和VPN接入方式要一致,以提升用户体验,并且访问的内容可根据不同的接入地点,可控以最大化保障园区网数据的安全性。
H3CBYOD解决方案为园区网提供了不同的选项。
如果选择在终端上安装客户端,则其iNode可以为用户提供园区网、VPN的统一接入和体验,并且iNode客户端可以额外的为客户提供终端合规的控制;同时iNode客户端可以为园区网提供APP访问门户,通过策略服务器,可以把园区网应用虚拟化,并且发布到iNode上,基于用户身份及场景分发不同的vAPP,最大化保护园区网的安全。
如果不使用客户端方式,则可以为用户提供园区网以及VPN的自动化的配置和业务部署,最终用户只需在需要的时候,打开VPN开关,即可访问园区内网。
易管理
园区网开放IT系统,引入BYOD,必然会引入形形色色的终端,网络也会随之而变。
面对有线网络的管理、无线网络的管理、终端的管理、认证系统的管理……等等,园区网需要一套软件管理整个网络。
H3CiMC智能管理中心提供有线无线一体化网络和统一的管理,有线、无线、认证的管理都在一个平台上完成,节省园区网投资成本及管理成本,简化网络管理(如图4所示)。
图4统一的管理平台
4.6智能管理系统设计
4.6.1融合与扩展性设计
随着计算机网络的飞速发展,网络管理系统也随之发展着。
从早先简单的设备管理、链路管理,到现在的业务管理、用户行为管理,网络管理系统为我们提供了越来越多的管理手段,简化了我们维护的工作量,促进了网络的高效、安全运转。
传统网络管理产品往往提供给客户的是面向故障、性能、安全、配置等一个个割裂内容的工具软件,但如何利用这些工具和满足客户实际管理需求之间存在着巨大的“鸿沟”,正因为如此导致了业界“有工具,无管理”的现状。
网络管理系统的发展趋势,是具有灵活的组件化结构,可以集用户管理、网络资源管理和业务管理于一体。
各个功能组件相对独立,可以无缝的集成在管理平台中,信息中心可以根据自己的管理需要和网络情况灵活选择需要的组件。
同时系统可以提供标准接口,可以支持后续组件的不断升级和开发,使得整个系统具有很强的可扩展性。
甚至可以根据不同的应用需求,二次开发针对性的功能。
4.6.2主动防御能力设计
在东金购物中心网络中,是一个相对复杂的接入环境,因此引入用户认证与管理系统,对于各级用户进行正确的权限分配。
另一方面,随着网络技术的发展,新的安全威胁不断涌现:
病毒和蠕虫日益肆虐;未授权用户随意接入园区网络;企业内部电脑终端随意访问机密数据中心;PC终端的防病毒无统一防控措施,需由上网用户自行安装杀毒软件等等一些列危机挑战着脆弱的网络。
任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。
应部署终端安全系统,支持多种方式的端点准入控制和基于身份的网络服务。
可根据管理员配置的安全策略,对终端进行统一的检查与部署,包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查等,并可灵活的制定策略,对用户进行提醒或强制下线升级。
在对用户身份进行认证识别的同时,有效的增强了网络终端的免疫力,把事后被动应对,变为针对隐患的主动防御。