某石油公司100-500人办公网络方案设计

时间 2020-04-30

标签石油公司办公网络方案设计栏目快乐工作繁體版

原文原文链接

1、项目概述安全

（略）服务器

2、项目需求网络

1. 业务需求负载均衡

² 公司内部各分支机构和办事处之间文件传输与资源共享；分布式

² 客户及其余外部人员、机构与公司进行文件传输与资源共享；ide

² 公司内部人员对Internet资源访问与发布；模块化

² VOIP语音业务的应用；性能

² Video Conference 视频会议系统的应用；this

² 将来的应用，系统的升级扩展；spa

2. 性能需求

² 至少知足以上业务需求的性能；

² 至少知足如下安全和备份需求的性能；

² 前期建设应知足100人固定办公的网络性能需求；

² 考虑2年后扩展到500人系统升级要求；

² 应知足将来新业务应用性能需求；

3. 安全需求

² 防范***及恶意程序的***与***；

² 及时检测及追踪***和***行为；

² 系统的监控和日志备份；

² 根据不一样人员的访问级别，实施相应安全访问策略和机制；

² 系统的漏洞检测及系统升级；

² 主机病毒的防范、检测、查杀；

² 服务器的安全防御及访问控制；

4. 备份需求

² 主要出口链路的冗余备份；

² 内部网主干双链路的冗余备份；

² 核心交换机的热备份；

² 出口路由器的热备份；

² 防火墙及×××等设备的热备份；

² 重要服务器的备份及负载均衡；

3、设计原则

如下内容为网络建设的主要设计原则：

² 实用性原则：网络设计方案中应把握“够用”和“实用” 原则，网络系统应采用成熟可靠的技术和设备，作到实用、经济和有效。

² 开放性原则：网络系统采用开放的标准和技术，如TCP/IP协议、IEEE802系列标准等，以知足将来网络系统的扩充和与其余网络的互相通讯等需求。

² 高可用性/可靠性原则：应确保很高的平均无端障时间和尽量低的平均故障率。

² 安全性原则：确保网络能够抵挡住常见及通常性的***，并辅之实时监控和分析等手段，对特殊的网络***和***进行相应处理。

² 先进性原则：构建一个现代化的网络系统，应尽量采用先进而成熟的技术，在一段时间内保证其主流地位。

² 易用性原则：整个系统易于安装、管理和使用。网络系统应该具备良好的可管理性和很高的资源利用率。此外，在知足现有网络应用的同时，还应为之后的应用升级奠基基础。

² 可扩展性原则：网络整体设计不只要考虑到近期目标，也要为网络的进一步发展留有扩展余地，所以须要统一规划和设计。

4、设计思路

本方案从公司的业务发展需求、信息及网络技术的快速更新以及现有的网络情况、节约成本等综合因素进行考虑并设计：

从结构上，采用了以千兆冗余链路结构为主、可支持万兆扩展、高级路由策略、高性能数据转发、模块化机箱、多层协议交换设备为核心，接入和分布层设备的结构均支持千兆冗余，采用STP协议解决环路、流量分担负载以及链路备份的问题。

在VLAN的设计上，根据VLAN规划的部门、区域以及特殊要求进行划分。在路由设计上，核心交换机和路由器之间采用OSFP做为主要的路由协议，并配合相关的路由策略实现高级路由功能。

在QoS质量保证上，对语音、视频及其余重要业务进行区分，能够经过端到端的QoS策略，如DSCP等，也能够经过二层实现如COS等策略，根据流量的优先级或报文标记进行识别并区别对待，以达到QoS的目的。

在安全方面，内部经过AD域控方式经过域控策略对每台域内计算机和终端进行控制和管理，在设备端经过诸如ACL和路由等策略进行流量的控制，而对于外网的访问，除经过相关的ACL和路由外，咱们能够经过防火墙进行更多的安全认证、规则以及审计策略进行控制，而且还能够在必定程度上阻止DDOS的***。

在网络管理上，咱们采用集中式和分布式管理方式，对于在北京本地的设备进行集中管理，而对于远端分所的设备，咱们能够采用分布式管理即本地与远端共管模式。

在核心交换机及重要设备，咱们采用彻底及部分冗余备份机制，还能够实现必定的流量分担负载。

而对于WLAN无线网络，随着WLAN无线网络的发展，无线网络所带来的便利性和灵活性愈来愈受到人们的青睐，愈来愈多的应用和业务对无线网络的依赖程度也愈来愈高。所以，在本次的网络规划中咱们将无线网络（WLAN）也做为网络建设的重点之一。本无线网络结构采用集中式控制结构，即一般所说的无线控制器（也叫无线交换机）与瘦AP（或混合AP）模式。瘦AP能够用于本地的无线网络中直接链接相邻的IDF的PoE（Power over Ethernet）交换机，而混合型AP能够放置在各分支机构及办事处，这些AP在网络正常运行的状况下均可以受到无线控制器统一控制，若是远端分支机构及办事处网络中断，混合型AP还能够独立执行无线覆盖功能，而不会出现中断。在这个网络中，若是对无线要求不高，咱们建议采用IEEE802.11a/b/g的覆盖，不然，咱们能够考虑802.11n的网络部署。若是部署范围较广，带宽较高，咱们还能够实现将来WiFi Phone和无线视频的应用。

5、方案分析

1. 方案一：（系统图单独附上）

方案描述：

本方案是基于百兆到桌面考虑，上联均为千兆双链路的结构进行设计，网络中的核心设备彻底热备份。

核心交换设备是两台Cisco Catalyst 4507R-E交换机可配备双引擎，双电源，支持万兆的引擎和板卡，可支持7个插槽，最高交换矩阵可达320Gbps（SuP-6 引擎），IPV4转发速率为250Mpps，两台核心分别处理不一样的VLAN数据和流量，但同时实现双机热备，另外，配置端到端的QoS策略，分离无线数据流、语音流、视频流、有线数据流等，根据不一样的优先级进行不一样的分类或者能够配置基于三层的DSCP实现数据流的分类。

接入层设备则选择以Cisco Catalyst 2960-24TC-L做为普通用户终端接入的百兆交换机。以Cisco Catalyst 2960-24PC-L做为WAP和IP Phone的POE（Power over Ethernet）千兆接入交换机，POE交换机端口在为AP设备和IP电话提供数据传输的同时，也能够提供基于IEEE802.3af标准的电源。

核心安全设备咱们采用2台了集Firewall/×××/IPS功能于一体的Juniper SSG550，双机热备，同时将内外部访问的服务器能够经过双链路至2台Catalyst 2960G-24TC-L千兆交换机并双链路接入至防火墙的DMZ安全区。

ISR多业务路由器咱们选择了2台Cisco 3845做为边缘路由器，双机热备，同时也做为语音系统网关并配合Cisco Call Manager (CCM)服务器群一块儿构成完整的IP语音系统，可支持250个语音终端用户。

WAN链路上，咱们能够向ISP申请2条100M普通链路与Internet相连，经过Internet 上×××实现与各分支机构的业务传输和资源共享；而与中海油总部网络的链接，咱们采用一条10M专用链路。对于VOIP语音的传输，咱们经过Internet 与各分所的通讯，而经过专线实现与总部的通讯，另外，咱们还提供了1个E1线路和6个模拟中继线路的传统通讯链路的备份。

对于VLAN，咱们能够按照部门、功能、区域、用途等进行划分，系统图中的VLAN仅供参考，但无线网络根据SSID的数量设置不一样的独立VLAN，设备管理须要独立的VLAN，IP电话系统设置独立VLAN，以及公司重要部门及会议室设置独立VLAN等，咱们能够在后续的工做中进行详细规划。

WLAN无线网络，因为目前无线网络部署规模并不大，咱们采用Cisco WLC4404-25APs 无线控制器，能够考虑采用Cisco Aironet 1242AG的无线AP。

方案分析：（略）

2. 方案二：（系统图单独附上）

　　方案描述：

本方案是基于百兆到桌面考虑，上联均为千兆双链路的结构进行设计，网络中的核心设备彻底热备份。

WAN链路上，咱们能够向ISP申请2条50M专用链路与总部网络相连，经过总部网络再与各分支机构进行业务传输和资源共享；而与Internet 的链接，咱们采用一条10M普通链路接入，同时也知足一部分移动性办公×××接入。对于VOIP语音的传输，咱们经过总部网络与各分支机构和办事处间的通讯，另外，咱们还提供了1个E1线路和6个模拟中继线路的传统通讯链路的备份。

WLAN无线网络，因为目前无线网络部署规模并不大，咱们采用Cisco WLC4404-25APs 无线控制器，能够考虑采用Cisco Aironet 1242AG的无线AP。

　　　方案分析：（略）

　　3. 推荐方案：（略）

6、产品清单（略）

7、产品介绍（略）