卷烟厂网络规划Word格式.docx
《卷烟厂网络规划Word格式.docx》由会员分享,可在线阅读,更多相关《卷烟厂网络规划Word格式.docx(33页珍藏版)》请在冰点文库上搜索。
4.理解网络标书的格式及书写方法;
5.知道网络招标的流程;
6.掌握常见网络系统集成实施中的关键技术;
素质目标
1.培养良好的逻辑表达和沟通能力;
2.培养良好的文案能力;
3.培养团队协作意识;
其他目标
1.成本与利润的意识;
2.网络安全防范的意识;
3.网络冗余及可靠性保障的意识;
4.独立分析和解决问题的能力;
二、需求分析
2.1现状分析
某卷烟厂拟实施CIMS(现代集成制作系统)规划,需建立企业网络系统,设计全场经营、政工、技改、财务、质量、生产、销售、后勤等部门,主要分布在办公楼和生产厂区、占地0.4平方公里,厂外有少量销售点。
办公楼为6层,需联网计算机96台。
卷烟厂库区距厂区直线距离约2公里,有20台计算机。
在全市范围内设有6个厂外销售部,每个销售部有10-20台计算机不等。
另外有遍及全市的销售点近百个,每个销售点有1台计算机。
2.2网络需求
网络系统连接的站点覆盖主厂区、库区及厂外销售部,远程通信遍及市内全部销售网点,并为今后同外单位及国际互联网的通信连接做好基础准备工作。
各销售点可以考虑采用ISDN拨入的方式。
支持分布式数据库应用,以实现全厂的MIS和面向决策的综合信息查询系统和决策支持系统(在厂部和厂外销售部都有数据库),各销售点的计算机根据地域的划分分别与就近的销售部和厂部的数据库相连。
综合考虑系统可靠性、实用性、开放性、先进性和经济性。
以当前需求为主,兼顾发展的需要。
支持企业的Intranet和与Internet的连接。
2.3性能需求
为了保证系统能够长期、安全、稳定、可靠、高效的运行,企业网络安全方案应该满足以下需求:
系统处理的全面性和及时性
方案的全面性和处理事件的及时性是必要的性能。
从各个方面考虑到可能受到的网络攻击,做好全方面的补救和抵御措施。
且在发生突发情况下能及时的补救,保证企业网络的正常运行。
系统方案的可扩充性
在方案的设计过程中,应该充分考虑系统的可扩充性,为以后企业的发展,网络设备的扩充,提供良好条件。
系统的易用性和易维护性
在完成这套方案之后,只需要技术人员在硬件上做好管理措施、系统上及时更新升级,以及做好备份工作。
方案的标准性
方案在设计过程中,要涉及很多计算机硬件、软件。
所有这些都要符合主流国际、国家和行业标准。
例如要用到的操作系统、网络设备以及软件、技术都要符合通用的标准。
2.4技术需求
根据实际情况,全方面的找出并解决企业存在的各方面安全问题,从网络的硬件设备的安全以及配置、系统防御软件检测防御、流量控制优先级(QOS技术)、以及数据的加密传输、签名认证和远程专用网络,以及合理应用内外防火墙,达到最大限度保证企业信息的安全,以及网络的通信顺畅。
NAT技术
NAT英文全称是“NetworkAddressTranslation”,中文意思是“网络地址转换”,它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准,允许一个整体机构以一个公用IP(InternetProtocol)地址出现在Internet上。
顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。
简单的说,NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将内部地址替换成公用地址,从而在外部公网(internet)上正常使用,虽然地址转换技术设计的目的是为了节省IP地址,但是客观上,这种技术对网络外部隐藏了一个网络内部的地址结构,加大了内网的安全。
QOS技术
QOS的英文全称为"
QualityofService"
,中文名为"
服务质量"
。
QOS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。
用于衡量使用一个服务的满意程度。
QOS不是创造带宽,而是管理带宽,因此它能应用得更为广泛,能满足更多的应用需求。
QOS的目标是要提供一些可预测性的质量级别,以及控制超过目前IP网络最大服务能力的服务。
ACL技术
访问控制列表(AccessControlLists,ACL)是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。
至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。
作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
2.5备份技术
网络的物理安全
(1)地震、水灾、火灾等环境事故;
(2)电源故障;
(3)人为操作失误或错误;
设备被盗、被毁;
(4)电磁干扰;
(5)线路截获;
(6)高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识;
在这个卷烟厂局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
这个是整个网络系统安全的前提。
容灾备份
容灾备份是通过特定的容灾机制,在各种灾难损害发生后,仍然能够最大限度地保障提供正常应用服务的信息系统。
容灾备份可以分为数据备份和应用备份。
数据备份需要保证用户数据的完整性、可靠性和一致性。
而对于提供实时服务的信息系统,用户的服务请求在灾难中可能会中断,应用备份却能提供不间断的应用服务,让客户的服务请求能够继续运行,保证信息系统提供的服务完整、可靠、一致。
一个完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心。
三、方案设计
3.1设计策略
本方案为局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等。
本安全解决方案的目标是在不影响卷烟厂局域网当前业务的前提下,实现对卷烟厂局域网全面的安全管理:
(1)将安全策略、硬件设备及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
(2)定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
(3)通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
(4)使网络管理者能够很快重新组织被破坏了的文件或应用。
使系统重新恢复到破坏前的状态,最大限度地减少损失。
(5)在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
3.2组网设计
主厂区
总部是信息存放、处理的中心,网络内部主机数量多,数据流量大,同时,为了保障网络安全,我们选择具备防火墙、VPN功能的CISCOASA5510-K8防火墙。
CISCOASA5510-K8防火墙最高吞吐量为300Mbps,最大并发连接数为130000,并未对用户数量进行限制,基于以上性质,这款防火墙足以满足卷烟厂的实际需求。
基于思科安全管理的强大功能,用户可对网络和设备状态进行准确监控,及时发现网络问题并提早防御,在网络安全方面占据优势。
库区和厂外销售部
库区和厂外销售部利用ChinaNet和Internet网及数据加密技术构成企业的内部虚拟专用网。
考虑到各分支节点经济及网络状况和VPN连接的稳定性,因此,可采用深信服VPN-2050。
深信服VPN-2050采用1U机架式设计,通常配置安装于专用机柜内部,该机属于IPSEC/SSLVPN二合一网关,北配4个千兆电口,大于等于150Mbps的网络吞吐量和35万的并发连接数保证这款设备的优秀性能。
各销售点设计方案
由于市内的销售点仅有一台计算机,所以采用Modem、ADSL或宽带的方式接入Internet,并在该终端上安装软件网关,从而达到和主厂区以及市内其他销售部的VPN通讯。
移动用户的远程安全接入
在外出差的移动用户可以通过安装在笔计本电脑上的“安全客户端”软件,随时通过当地的ISP(如:
拨号上网)接入Internet。
再使用该软件和远端的安全网关建立加密隧道,安全接入总部和各个销售部,并在任何地方使用卷烟厂内部的OA系统。
3.3拓扑结构
总线拓扑
总线拓扑结构采用一个信道作为传输媒体,所有站点都通过相应的硬件接口直接连到这一公共传输媒体上,该公共传输媒体即称为总线。
总线拓扑结构的优点:
(1)总线结构所需要的电缆数量少。
(2)总线结构简单,又是无源工作,有较高的可靠性。
(3)易于扩充,增加或减少用户比较方便。
总线拓扑的缺点:
(1)总线的传输距离有限,通信范围受到限制。
(2)故障诊断和隔离较困难。
(3)分布式协议不能保证信息的及时传送,不具有实时功能
星形拓扑
星形拓扑是由中央节点和通过点到到通信链路接到中央节点的各个站点组成。
星形拓扑结构具有以下优点:
(1)控制简单。
(2)故障诊断和隔离容易。
(3)方便服务。
星形拓扑结构的缺点:
(1)电缆长度和安装工作量可观。
(2)中央节点的负担较重,形成瓶颈。
(3)各站点的分布处理能力较低。
3.4设计模型
卷烟厂的企业网Intranet是以主厂区的办公大楼为中心,通过帧中继及电信的VPN与市内的厂外销售部连接的企业广域网,其余市里的近百个小销售点则通过拨号上网或宽带上网与总部服务器连接,已经初步建立起一套信息交互的网络体系。
总部网络通过电信的光纤接入互联网。
在网络的接口处部署了防火墙提供内网访问Internet的路由并保证内部网络的安全。
3.5地址规划
规划原则
1.简单性:
地址的分配应该简单,避免在主干上采用复杂的掩码方式;
2.连续性:
为同一个网络区域分配连续的网络地址,便于地址聚合,提高路由器的处理效率;
3.可扩充性:
为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性;
4.唯一性:
在整个网络环境中必须保持IP地址的唯一性;
5.可管理性:
地址的分配应该有层次,某个局部的变动不要影响上层、全局。
6.安全性:
网络内应按工作内容划分成不同网段即子网以便进行管理。
规划方案
采用内部地址172.16.0.0,掩码255.255.255.0来给每一部门分配地址区间
部门
VLAN号
IP地址
掩码
财务部
VLAN1
172.16.1.0
255.255.255.0
质量部
VLAN2
172.16.2.0
政工部
VLAN3
172.16.3.0
销售部
VLAN4
172.16.4.0
后勤部
VLAN5
172.16.5.0
生产部
VLAN6
172.16.6.0
技改部
VLAN7
172.16.7.0
四、方案实现
4.1网络安全
4.1.1网络管理
网络管理就是控制一个复杂的数据网络去获得最大效益和生产率的过程,为了更好的定义网络管理的范围,国际标准化组织(ISO)把网络管理的任务划分为五个功能:
网络的故障管理、配置管理、性能管理、安全管理和计帐管理。
故障管理(FAILURES)
检测、隔离、更正网络问题,并从这些问题中恢复;
配置管理(CONFIGURATION)
从网络中获取信息、并根据这些信息对设备进行配置,通过它,可以实现对网络设备配置的集中管理;
性能管理(PERFORMANCE)
调整和优化网络性能的管理活动,经常要考虑的性能变量有网络吞吐量、用户响应时间和线路利用率等;
安全管理(SECURITY)
控制对网络资源和敏感信息的访问,这种控制包括对网络设备的访问限制、对给定设备上某种应用的访问控制,以及对网络协议的访问控制;
计费管理(ACCOUNTING)
测度网络上资源的利用情况,设置计量单位、确定开销、向用户收费。
4.1.2网络安全体系
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。
但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击。
网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。
其重要性,正随着全球信息化步伐的加快而变到越来越重要。
4.1.3网络安全特征
保密性
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性
数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性
可被授权实体访问并按需求使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性
对信息的传播及内容具有控制能力。
4.1.4网络安全威胁
自然灾害;
计算机犯罪;
人为行为;
黑客行为;
内部泄密;
外部泄密;
信息丢失;
电子谍报;
信息战;
网络协议中的缺陷;
4.1.5安全性设计
内部网安全控制
1.ACL
由于局域网中采用广播方式,因此,通过对广播域中信息包的侦听,黑客就可以截取在广播域中传递的信息。
为此,常采用网络分段方式,将非法用户与网络资源隔离。
网络分段有物理分段和逻辑分段两种方式。
物理分段常是指将网络从物理层和数据链路层上分为若干网段,各网段之间无法进行直接通讯。
逻辑分段是指将系统从网络层分段。
对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过诸如路由交换机之类的设备进行连接,利用这些设备的安全机制来控制各子网间的访问。
2.VLAN
VLAN(虚拟局域网)也是保证网络安全的重要技术之一。
使用VLAN技术,可以将不同部门、不同权限的用户划分在不同的虚拟网内,通过VLAN设置的访问控制,使在虚拟网外的节点不能直接访问虚拟网内节点。
外联网的安全控制
内部网与外部网络之间的安全控制主要采用防火墙技术。
防火墙是如下的一种策略,它是两个网络之间访问的集合,可实现:
(1)从里向外,或从外向里的流量,必须经过防火墙;
(2)只有被本地安全政策允许的流量才能通过防火墙;
从网络安全的需求上来看,可以将防火墙的特点分为三大类:
(1)安全性类,包括访问控制、授权论证、加密、内容安全;
(2)管理和记帐,包括路由器安全管理、记帐、监控等;
(3)连接控制;
主要功能为:
(1)访问控制
限制未授权用户访问内部网和信息资源的措施。
支持多种应用和协议,包括抽有Internet服务,如安全WEB浏览器、传统Internet应用Mail、FTP等,支持多媒体应用。
(2)授权认证
对访问连接的用户采取有效的权限控制和访问者的身份识别。
同时对在整个网络范围内发生的认证过程进行全程的监控、跟踪和记录。
(3)地址翻译
隐藏内部IP地址和网络结构;
把内部的非法IP地址翻译成合法的IP地址。
(4)日志、记帐
对用户在网络中的活动情况进行记录,允许系统管理员对选择的连接进行记帐处理。
4.2设备选型
4.2.1选型原则
稳定可靠的网络
只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。
高带宽
为了支持数据、话音、视像多媒体的传输能力,在技术上要到达当前的国际先进水平。
要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。
为此应选用高带宽的先进技术。
易扩展的网络
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
安全性
网络系统应具有良好的安全性,由于网络连接县城内部所有用户,安全管理十分重要。
应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。
比如对于外网防止DOS攻击能力,RIP攻击,DHCPserver等.对于内部网络,按照用户,功能进行VLAN划分,网段划分等。
容易控制管理
因为上网用户很多,如何管理好他们的通信,做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。
4.2.2交换机
三层交换机
华为S7706
参考价:
¥
26000
主要参数
产品类型路由交换机、POE交换机
应用层级三层
传输速率10/100/1000Mbps
纠错
交换方式存储-转发
背板带宽3.84Tbps/5.12Tbps
包转发率1152Mpps/2880Mpps
端口参数
端口结构模块化
扩展模块6个业务槽位
功能特性
VLAN支持Access、Trunk、Hybrid方式
支持defaultVLAN
支持VLAN交换
支持QinQ、增强型灵活QinQ
支持基于MAC的动态VLAN分配
QOS支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类
支持ACL、CAR、Remark、Schedule等动作
支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式
支持WRED、尾丢弃等拥塞避免机制
支持流量整形
组播管理支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping
支持PIMDM、PIMSM、PIMSSM
支持MSDP、MBGP
支持用户快速离开机制
支持组播流量控制
支持组播查询器
支持组播协议报文抑制功能
支持组播CAC
支持组播ACL
网络管理支持Console、Telnet、SSH等终端服务
支持SNMPv1/v2/v3等网络管理协议
支持通过FTP、TFTP方式上载、下载文件
支持BootROM升级和远程在线升级
支持热补丁
支持用户操作日志
安全管理802.1x认证,Portal认证
支持NAC
支持RADIUS和HWTACACS用户登录认证
命令行分级保护,未授权用户无法侵入
支持防范DoS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击、大流量攻击
支持1KCPU通道队列保护
支持ICMP实现ping和traceroute功能
支持RMON
其它参数
电源电压AC90-290V
DC-38.4--72V
电源功率1600W,最大POE功率8800W
产品尺寸442×
476×
442mm
产品重量<30kg
销售部交换机
华为S5700-24TP-SI(AC)
4398
产品类型千兆以太网交换机
应用层级三层
传输速率10/100/1000Mbps
背板带宽256Gbps
包转发率72Mpps
MAC地址表16K
端口结构非模块化
端口数量28个
端口描述24个10/100/1000Base-T端口,4个100/1000Base-X千兆Combo口
扩展模块1个堆叠扩展插槽
传输模式全双工/半双工自适应
网络标准IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z,IEEE802.3x,IEEE802.1Q,IEEE802.1d,IEEE802.1X
堆叠功能可堆叠
VLAN支持4K个VLAN
支持GuestVLAN、VoiceVLAN
支持基于MAC/协议/IP子网/策略/端口的VLAN
支持1:
1和N:
1VLAN交换功能
QOS支持对端口接收和发送报文的速率进行限制
支持报文重定向
支持基于端口的流量监管,支持双速三色CAR功能
每端口支持8个队列
支持WRR、DRR、SP、WRR+SP、DRR+SP队列调度算法
支持报文的802.1p和DSCP优先级重新标记
支持L2(Layer2)-L4(Layer4)包过滤功能,提供基于源MAC
地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN
的非法帧过滤功能
支持基于队列限速和端口Shapping功能
组播管理支持IGMPv1/v2/v3Snooping
和快速离开机制
支持VLAN内组播转发和组播
多VLAN复制
升级会员 