办公楼网络核心技术专业方案.docx
《办公楼网络核心技术专业方案.docx》由会员分享,可在线阅读,更多相关《办公楼网络核心技术专业方案.docx(24页珍藏版)》请在咨信网上搜索。
1、澳洋医院办公楼及综合楼网络方案目录第一章概述31.1建筑群网络建设背景31.2建网需求分析31.2.1 一般建网需求31.2.2 网络安全需求分析和对策4第二章总体网络设计和网络特点72.1 网络设计的原则72.2 网络拓扑82.3 方案说明82.4方案特色技术简介102.4.1 路由规划102.4.2 IP地址规划112.5无线方案122.5.1无线网络优势122.5.2无线局域网总体架构选择122.5.3供电问题132.5.4频率规划132.5.5频率复用142.5.6信号覆盖范围控制152.5.7 AP防盗设计152.5.8 多SSID接入162.5.9 AP射频和SSID控制162.6
2、网络设备选型162.6.1出口路由器162.6.2 防火墙162.6.3 核心交换机172.6.4 IPS插卡(入侵检测)172.6.5 ACG插卡(流控设备)182.6.6 汇聚交换机182.6.7 接入交换机182.6.8 无线控制器(AC)182.6.9 无线接入点(AP)192.6.10 网管系统19第三章网络设备集中统一管理解决方案213.1 网络管理概述213.2 网络管理需求分析213.3 网络管理总体设计22第一章概述1.1 建筑群网络建设背景 目前,人类社会正处于一个伟大转折时期,社会信息化程度已被看作是一个国家现代化水平和综合国力关键标志。在这个信息时代,各个单位各个部门信
3、息技术建设是极其关键。所以在信息社会今天,网络信息系统建设尤其关键。网络系统建成后,将为办公大楼提供高效率办公环境,实现无纸化协同办公。网络系统设计必需兼顾优异性、高可靠性、容错性、灵活性和安全性,提供一套可监控、易管理、可扩展、易升级高效网络系统。实现主干千兆,而且千兆交换到桌面高效网络系统。此次组网是根据下面几点大目标来考虑,在一个健全成熟网络体系中,这多个点是必备。所以此次组网努力争取做到下面多个方面:1. 建成较完善局域网管理信息网络体系。实现局域网内部可靠连接,实现网络内部各部门、各人员信息交流和资源共享。2. 建立高效网络管理中心,整个企业网络关键设备,如中心交换机、服务器、路由器
4、等全部集中安装在网络中心.企业网络建成后,利用高效网管软件、安全策略,可对整个企业网络实施管理和监控。3. 建立高可靠性网络系统,确保网络运行不间断。4建立高效协同办公环境,确保各部分工作人员能够有良好交流环境,使其相互之间协作愈加紧密,更利于发挥自己潜能,为企业发明更多价值。5进行策略控制,严格控制内网用户操作权限,给不一样人员分配不一样权限。6依据不一样部门划分不一样VLAN,确保各个部门之间独立性,控制各个VALN之间访问。经过这么设计后,建设后网络是一个高效、功效完善、安全、可管理网络。对网络性能也做了优化,选择良好设备,确保系统高可用性。1.2 建网需求分析1.2.1 通常建网需求办
5、公网网络在实际建设过程当中,应该充足考虑到此次组网多业务和本企业特点等应用需求,如:职员对服务器访问,公网用户对服务器访问,包含到基础网络设施建设和业务应用平台建设两个不一样层面。此处关键分析办公网络基础设施建设和网络运行方面相关内容,关键有以下几方面特点:1、 对Internet访问需求:将依据办公大楼实际需要,选择出口网络带宽,经过ISP接入Internt。从而能够满足企业职员上网需求,能够满足外网访问企业WEB、FTP、MAIL等服务器,利于企业做好对外宣传和服务。2、 用户管理需求:。对用户带宽进行控制需求,要求设备能对用户带宽进行控制,辟如限制为64K 、256K、512K、1M、2
6、M、5M、10M等等级。3、 网络管理需求:整个网络关键设备,如中心交换机、服务器、路由器等全部集中安装在网络中心.企业网络建成后,利用高效网管软件、安全策略,可对整个企业网络实施管理和监控。 4、 安全管理需求:1) 在目前网络环境下,怎样保障办公网络安全成为各个企业在组建网时不得不考虑问题,现在关键攻击手段有DOS、DDOS、IP欺骗、未授权访问等。2) 利用高性能网络安全防御设备,在网络出口处屏蔽掉病毒及黑客攻击,保护内网数据安全。5、 组播业务需求伴随多个业务融合,尤其是可控组播需求将伴随企业信息化深入而表现出来。1.2.2 网络安全需求分析和对策伴随以网络为关键信息技术目新月异发展,
7、尤其是Internet/Intranet在全球快速普及,网络安全问题正日益成为大家关注头号焦点。对于本企业网络来说,内部信息网络系统安全包含到两个方面问题:l 怎样有效预防来自外网非法攻击;l 怎样有效预防来自于网络内部,包含管理人员误操作和一些恶意内部攻击;对于后者往往是信息主管重视程度往往不足。首先应该激励企业网络内部互访,以使资源得到最大程度共享。但同时安全意识不能丢。通常情况下,内部攻击所造成危外部入侵要大得多,这是因为内部入侵者不像外部黑客,极少是因为好奇心趋势她们进络攻击行为,其中隐藏着较复杂和内部相关动机。她们通常很熟悉网络内部环境,攻击手段隐秘。假如办公网络内部关键关键资源不加
8、以有效保护,那么内部恶性入侵成危害比外部非法入侵还要大。从办公网网络结构来看,关键存在危险有以下几点:1、 数据窃听;数据窃听是一个软件应用,它能够捕捉经过某个冲突域全部网络数据。通常我们利用数据窃听功效进行网络故障排除或进行流量分析。但黑客能够利用它获取部分很有用且敏感信息,比如用户名和密码等。2、 IP欺骗;当在网络内部或外部黑客主机模拟成为一台可信赖计算机时,就称其进行了IP欺骗。黑客可经过两种方法达成上述目标:l 能够使用一个在可靠网络IP地址范围内IP地址;l 能够使用一个既可靠又能够访问网络上特定资源授权外部IP址;3、 拒绝服务(DoS); 拒绝服务攻击(DoS) 目标通常并不是
9、进入某个网络或获取其中信息。这种攻击关键目标是使某种服务不能被正常使用,而且这种攻击通常是经过破坏网络、操作系统或应用程序,来致使一些服务不能被正常使用 。4、 密码攻击;黑客能够采取多个不一样方法实施密码攻击,包含暴力破解,特洛伊木马方法,IP欺骗和数据窃听方法等。一旦她们拥有了用户账号和密码,她们就拥有了和该用户完全相同权利。5、 中间人攻击;进行中间人攻击要求黑客能够访问在网上传输网络数据。黑客通常是经过使用网络数据窃听和路由和传输协议进行这种攻击。这种攻击关键目标是窃取信息、截获正在传输中会话方便访问专用网络资源、进行流量分析以获取相关一个网络及其用途信息、拒绝服务、破坏传输数据和在网
10、络会话中插入新信息。6、 应用层攻击; 黑客能够经过多个不一样方法实施应用层攻击。最常见一个方法是利用服务器上一般软件常见弱点,包含邮件发送、超文本传输协议(HTTP)和FTP。利用这些弱点,黑客能够取得正当帐号,从而得以访问计算机。和应用层攻击相关一个关键问题是这些攻击常常使用被许可穿越安全设备端口。应用层攻击永远不可能被完全消除,因为新易受攻击点总会不停出现,但能够布署更智能设备降低非法攻击。7、 信任关系利用;指非授权用户利用网络内部某种信任关系进行攻击行为。经典一个例子是企业周围网络连接,另外一个例子是在安全设备外侧系统和在安全设备内侧系统之间有信任关系。当外部系统被破坏时,它能够利用
11、这种信任关系攻击内部系统。8、 未授权访问;未授权访问不是指某种具体攻击,而是指当今网络中发生多数攻击。9、 病毒和特洛伊木马; 病毒是指和另一个程序相连不良软件,专门在用户工作站上实施某种破坏性功效。特洛伊木马实际上是一个攻击工具,能够获取用户很有用信息。 针对上面所述安全隐患,我们应该采取以下方法:对网络而言,零风险意味着网络几乎关闭,根本不能提供网络服务,这是不可取。换句话说,网络安全不可能做到零风险。购置了高性能网络安全产品并不意味着信息主管能够高枕无忧。信息安全并不仅仅局限于通信保密,其实网络信息安全牵扯到方方面问题,是一个极其复杂工程。要实施一个完整网络和信息安全体系,最少应包含三
12、个方面方法:一是企业规章制度及安全教育等外部软环境,在该方面企业关键领导饰演关键角色;二是技术方面方法,如入侵防御技术,防火墙技术、网络防毒、信息加密存放通信,身份验证,授权等,但只有技术方法并不能确保百分之百安全;三是审计和管理方法,该方面方法同时包含了技术和社会方法。关键方法有:实时监控企业安全状态、提供给变安全策略能力,对现有安全系统实施漏洞检验等,以防患于未然。总而言之,要实施安全系统,应三管齐下。为了确保网络绝对安全,仅仅在安全技术上采取种种方法还是不够,还要有一个有效网络安全管理体制。网络安全管理制度关键是围绕着用户账户和口令而展开。任何一个部门或分系统全部应该在该制度下运转,服从
13、统一安全策略。第二章总体网络设计和网络特点2.1 网络设计标准早期企业办公网络关键是共用内部系统主机资源,共享简单数据库,多以二层交换为主,极少有三层应用,存在安全、可管理性较差、无业务增值能力 等方面问题。现在将要建设是实现内部全方位数据共享,应用三层交换,提供全方面QoS保障服务,使网络安全可靠,从而实现内部管理、信息流动、管理自动化,而且还要经过Internet对外提供服务,提供可增值可管理业务,整网必需含有高性能、高安全性、高可靠性,可管理、可增值特征和开放性、兼容性、可扩展性。基于办公网业务需求深入了解,结合本身产品和技术特点,我们经过完善网络处理方案,为企业提供“可管理、可增值、可
14、连续发展”精品网络。依据我们对办公网络功效要求了解,在方案设计中,我们贯穿着以下设计思想: 高可靠性网络系统稳定可靠是应用系统正常运行关键确保,在网络设计中选择高可靠性网络产品,设备充足考虑冗余、容错能力;合理设计网络架构,制订可靠网络备份策略,确保网络含有故障自愈能力,最大程度地支持系统正常运行。网络设备在出现故障时应便于诊疗和排除,充足表现计算机网络高可靠性。技术优异性和实用性在确保满足企业业务、应用系统业务同时,要表现出网络系统优异性。在网络设计中要把优异技术和现有成熟技术和标准结合起来,充足考虑网络应用现实状况和未来发展趋势。高性能骨干网络性能是整个网络良好运行基础,设计中必需保障网络
15、及设备高吞吐能力,确保多种信息(数据、图象)高质量传输,才能使网络不成为业务开展瓶颈。标准开放性支持国际上通用网络协议、路由协议等开放协议标准,有利于确保和其它网络设备互通,及和多种网络平滑连接互通,和未来网络扩展。灵活性及可扩展性依据未来业务增加和改变,网络能够平滑地扩充和升级,最大程度降低对网络架构和现有设备调整。可管理性对网络实施集中监测、分权管理,并统一分配带宽资源。选择优异网络管理平台,含有对设备、端口等管理、流量统计分析,及可提供故障自动报警。安全性制订统一网络安全策略,整体考虑网络平台安全性。确保关键数据不被非法窃取、篡改或泄漏,使数据含有极高可信性。兼容性和经济性兼容性,能够最
16、大程度地确保企业办公网络现有多种计算机软、硬件资源可用性和连续性,为不一样现存网络提供互联和升级手段,确保多种计算机系统(包含工作站、服务器和微机等设备)互连入网,充足利用现有网络资源,发挥高速网络优势。经济性,就是在充足利用现有资源情况下,最大程度地降网络系统总体投资,有计划、有步骤地实施,在确保网络整体性能前提下,充足利用现有设备或做必需升级。2.2 网络拓扑网络拓扑以下所表示:2.3 方案说明1:整网包含两栋大楼,这里我们以A楼和B楼来替换;2:整网包有线网络和无线网络两部分;3:在关键侧,由关键交换机、IMC网管服务器、无线控制器、防火墙、IPS乳清检测(插卡式)、ACG用户行为管理(
17、插卡式)、出口路由器组成;3:关键交换机需双设备冗余,经过IRF2(第二代智能弹性架构)来实现两台设备合二为一功效,确保关键设备即实现冗余,同时也能将设备性能提升一倍以上;4:关键交换机上安装IPS、ACG插卡,确保流量防病毒检测和用户行为管理,首先使内网用户流量避免遭受病毒侵袭,其次可确保内网用户部分行为时刻处于监控范围,比如在网络上发表了某种不良言论、登录了一些网站、使用了哪些上网工具等等,时刻为内网安全做到细致入微保护和监控;5:关键交换机上行连接防火墙,防火墙为网络内部数据提供防护,拒绝一切对内部网络实施攻击,比如DDOS攻击、ARP欺骗、代理服务攻击等等,可为每一等级或某一办公室电脑
18、群设置安全域,可更具要求实现网络、服务器之间隔离,经过防火墙丰富域安全策略及域间策略可做到双保险防护,而且对内网内某部分用户提议攻击进行防御并同时确定其位置;6:防火墙上行为出口路由器,出口路由器为全网用户上网提供统一出口,全部内网用户地址全部有该设备进行统一转换,该设备必需含有高性能、高转发、高密度等特点,首先作为出口设备,需要为全网内全部流量进行统一转发,假如设备性能不高话,会造成流量拥塞或是设备负载而无法正常工作,另外该设备可能需要连接多条运行商出口,所以一定要含有较多接口类型和数量;7:图,在关键层面上,采取双防火墙和双出口路由器进行组网,均采取双归属布署,防火墙和路由器均采取热备,这
19、么可确保一旦一台设备出现故障以后,另外一台备份设备可快速进行切换,负担流量转发功效,这么布署,可使得网络关键更具保障性和冗余能力;8:关键交换机下行连接各级汇聚交换机,全部汇聚交换机均采取双上行方法连接至关键交换机,依据现场环境,我们能够在5-6个楼层中放置一台汇聚交换机,而全部汇聚交换机均采取双上行模式统一汇聚至关键交换机,经过汇聚交换机可将接入层流量在汇聚层经过统一汇聚以后,在分包转发给关键,是网络更有层次感,而且双上行归属使骨干线路实现备份;9:汇聚交换机下行连接各楼层中接入交换机,为了确保桌面用户业务办公效率得到保障,能够提供千兆至桌面布署模式,使用户桌面带宽达成千兆,含有更高带宽确保
20、,而接入交换机则可采取单链路上行至汇聚交换机;10:无线网络布署,则能够采取千兆POE交换机进行统一布署,在各楼层中布署千兆POE交换机,因为现在比较流行无线布署方法为AC+FIT模式,即在关键交换机侧旁挂无线控制器AC,而在接入交换机上接入无线AP,无线AP能够经过壁挂式布署,也能够经过馈线方法引出天线,经过天线去进行无线覆盖,但对于使用效果来说,本企业提议使用壁挂式布署,因为壁挂式布署,可利用11N AP内智能天线去实现无线覆盖效果,智能天线可类似于补光灯一样,用户出现在哪里,信号就出现在哪里,一切以用户地理位置为主,优于11N AP接口为千兆接口,吞吐量达成300M,故上行连接应采取千兆
21、为主,而关键侧AC控制器则会对全网无线AP进行统一管控,全部AP配置全部有AC下发,一旦AP被盗也不会对网络造成任何影响,全部用户信号端配置也全部有AC统一完成配置,无需用户终端再进行配置;11:在关键交换机上在旁挂IMC智能网管服务器,经过网管平台,实现对全网全部网络设备(有线、无线设备、用户)等进行统一管理,平台经过搜集全部现网网络交换机SNMP信息,前提是确保设备网络二层或三层互通,经过搜集信息,在平台上生成一个全网拓扑,各个节点均会出现在平台上,使管理员一目了然,立即某一个节点出现故障或掉线了,会在拓扑中全部能够表现出现,同时,平台也会以短信或邮件形式发送给管理员,使网络故障得到立即处
22、理,降低网络故障所带来经济损失;12:网络建成以后,当然还有一个步骤很关键,那就是怎样对用户进行认证,这里我们给出方案是,对于有线网络用户来说,能够经过H3C EAD方案中802.1X认证,该种认证可对用户使用终端进行全方位检测,包含使用权限、终端类型、终端病毒检测及MAC地址,在各个步骤对用户终端实施统一认证和监控,确保用户终端病毒元素会对全网造成影响,而对于无线用户来说,可采取PORTAL认证方法,该种方法需要用户自行定制页面素材,本企业网络管理平台可将页面信息经过无线方法强制推送给无线用户终端,进行认证,认证页面中可包含用户名和密码栏,也能够不包含,及采取免责条款方法,该方法即在页面中设
23、计一个”我同意“或“可上网”按钮信息,其实,在页面按钮上,经过后台已将用户账号信息嵌入进了页面,可对用户实时进行监控和流量统计;2.4方案特色技术介绍2.4.1 路由计划本网络提议使用静态路由加动态路由形式来进行计划,在个接入层至关键层考虑经过静态路由来实现路由可到,而关键层至路由器出口处可考虑经过动态路由来实现。动态路由协议OSPF含有在路由器和高端交换机上自动配置能力,而且其开销较低,功效强,支持网络规模大,尤其适合于大型办公网络。OSPF协议能够使关键设备全部处于工作状态,极大提升网络设备和带宽使用效率。在OSPF划分上有两种方法,一个是全部划入骨干域,一个是划分骨干和分支域。二者区分关
24、键在于是否分区域实施路由归纳。在局域网中通常为了负载均衡而采取OSPF协议,对路由选路和收敛要求不高,所以能够只划分一个区域,即area 0,全部设备全部在area 0中。2.4.2 IP地址计划IP地址合理计划是办公网络设计中关键一环,大型计算机网络必需对IP地址进行统一计划并得到实施。IP地址计划好坏,影响到网络路由协议算法效率,影响到网络性能,影响到网络扩展,影响到网络管理,也必将直接影响到网络应用深入发展。1、IP地址分配标准IP地址空间分配,要和网络拓扑层次结构相适应,既要有效地利用地址空间,又要表现出网络可扩展性和灵活性,同时能满足路由协议要求,方便于网络中路由聚类,降低路由器中路
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 办公楼 网络 核心技术 专业 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。