某石油公司100-500人办公网络方案设计
一、項目概述
(略)
?
二、項目需求
1. 業務需求
2 公司內部各分支機構和辦事處之間文件傳輸與資源共享;
2 客戶及其他外部人員、機構與公司進行文件傳輸與資源共享;
2 公司內部人員對Internet資源訪問與發布;
2 VOIP語音業務的應用;
2 Video Conference 視頻會議系統的應用;
2 未來的應用,系統的升級擴展;
?
2. 性能需求
2 至少滿足以上業務需求的性能;
2 至少滿足以下安全和備份需求的性能;
2 前期建設應滿足100人固定辦公的網絡性能需求;
2 考慮2年后擴展到500人系統升級要求;
2 應滿足未來新業務應用性能需求;
?
3. 安全需求
2 防范***及惡意程序的***與***;
2 及時檢測及追蹤***和***行為;
2 系統的監控和日志備份;
2 根據不同人員的訪問級別,實施相應安全訪問策略和機制;
2 系統的漏洞檢測及系統升級;
2 主機病毒的防范、檢測、查殺;
2 服務器的安全防護及訪問控制;
?
4. 備份需求
2 主要出口鏈路的冗余備份;
2 內部網主干雙鏈路的冗余備份;
2 核心交換機的熱備份;
2 出口路由器的熱備份;
2 防火墻及***等設備的熱備份;
2 重要服務器的備份及負載均衡;
?
三、設計原則
以下內容為網絡建設的主要設計原則:
2 實用性原則:網絡設計方案中應把握“夠用”和“實用” 原則,網絡系統應采用成熟可靠的技術和設備,做到實用、經濟和有效。
2 開放性原則:網絡系統采用開放的標準和技術,如TCP/IP協議、IEEE802系列標準等,以滿足未來網絡系統的擴充和與其他網絡的互相通信等需求。
2 高可用性/可靠性原則:應確保很高的平均無故障時間和盡可能低的平均故障率。
2 安全性原則:確保網絡可以抵擋住常見及一般性的***,并輔之實時監控和分析等手段,對特殊的網絡***和***進行相應處理。
2 先進性原則: 構建一個現代化的網絡系統,應盡可能采用先進而成熟的技術,在一段時間內保證其主流地位。
2 易用性原則:整個系統易于安裝、管理和使用。網絡系統應該具有良好的可管理性和很高的資源利用率。此外,在滿足現有網絡應用的同時,還應為以后的應用升級奠定基礎。
2 可擴展性原則:網絡總體設計不僅要考慮到近期目標,也要為網絡的進一步發展留有擴展余地,因此需要統一規劃和設計。
?
四、設計思路
?
本方案從公司的業務發展需求、信息及網絡技術的快速更新以及現有的網絡狀況、節約成本等綜合因素進行考慮并設計:
從結構上,采用了以千兆冗余鏈路結構為主、可支持萬兆擴展、高級路由策略、高性能數據轉發、模塊化機箱、多層協議交換設備為核心,接入和分布層設備的結構均支持千兆冗余,采用STP協議解決環路、流量分擔負載以及鏈路備份的問題。
在VLAN的設計上,根據VLAN規劃的部門、區域以及特殊要求進行劃分。在路由設計上,核心交換機和路由器之間采用OSFP作為主要的路由協議,并配合相關的路由策略實現高級路由功能。
在QoS質量保證上,對語音、視頻及其他重要業務進行區分,可以通過端到端的QoS策略,如DSCP等,也可以通過二層實現如COS等策略,根據流量的優先級或報文標記進行識別并區別對待,以達到QoS的目的。
在安全方面,內部通過AD域控方式通過域控策略對每臺域內計算機和終端進行控制和管理,在設備端通過諸如ACL和路由等策略進行流量的控制,而對于外網的訪問,除通過相關的ACL和路由外,我們可以通過防火墻進行更多的安全認證、規則以及審計策略進行控制,并且還可以在一定程度上阻止DDOS的***。
在網絡管理上,我們采用集中式和分布式管理方式,對于在北京本地的設備進行集中管理,而對于遠端分所的設備,我們可以采用分布式管理即本地與遠端共管模式。
在核心交換機及重要設備,我們采用完全及部分冗余備份機制,還可以實現一定的流量分擔負載。
而對于WLAN無線網絡,隨著WLAN無線網絡的發展,無線網絡所帶來的便利性和靈活性越來越受到人們的青睞,越來越多的應用和業務對無線網絡的依賴程度也越來越高。因此,在本次的網絡規劃中我們將無線網絡(WLAN)也作為網絡建設的重點之一。本無線網絡結構采用集中式控制結構,即通常所說的無線控制器(也叫無線交換機)與瘦AP(或混合AP)模式。瘦AP可以用于本地的無線網絡中直接連接相鄰的IDF的PoE(Power over Ethernet)交換機,而混合型AP可以放置在各分支機構及辦事處,這些AP在網絡正常運行的情況下都可以受到無線控制器統一控制,如果遠端分支機構及辦事處網絡中斷,混合型AP還可以獨立執行無線覆蓋功能,而不會出現中斷。在這個網絡中,如果對無線要求不高,我們建議采用IEEE802.11a/b/g的覆蓋,否則,我們可以考慮802.11n的網絡部署。如果部署范圍較廣,帶寬較高,我們還可以實現未來WiFi Phone和無線視頻的應用。
?
五、方案分析
1. 方案一: (系統圖單獨附上)
?
?
方案描述:
本方案是基于百兆到桌面考慮,上聯均為千兆雙鏈路的結構進行設計,網絡中的核心設備完全熱備份。
核心交換設備是兩臺Cisco Catalyst 4507R-E交換機可配備雙引擎,雙電源,支持萬兆的引擎和板卡,可支持7個插槽,最高交換矩陣可達320Gbps(SuP-6 引擎),IPV4轉發速率為250Mpps,兩臺核心分別處理不同的VLAN數據和流量,但同時實現雙機熱備,另外,配置端到端的QoS策略,分離無線數據流、語音流、視頻流、有線數據流等,根據不同的優先級進行不同的分類或者可以配置基于三層的DSCP實現數據流的分類。
接入層設備則選擇以Cisco Catalyst 2960-24TC-L作為普通用戶終端接入的百兆交換機。以Cisco Catalyst 2960-24PC-L作為WAP和IP Phone的POE(Power over Ethernet)千兆接入交換機,POE交換機端口在為AP設備和IP電話提供數據傳輸的同時,也可以提供基于IEEE802.3af標準的電源。
核心安全設備我們采用2臺了集Firewall/***/IPS功能于一體的Juniper SSG550,雙機熱備,同時將內外部訪問的服務器可以通過雙鏈路至2臺Catalyst 2960G-24TC-L千兆交換機并雙鏈路接入至防火墻的DMZ安全區。
ISR多業務路由器我們選擇了2臺Cisco 3845作為邊緣路由器,雙機熱備,同時也作為語音系統網關并配合Cisco Call Manager (CCM)服務器群一起構成完整的IP語音系統,可支持250個語音終端用戶。
WAN鏈路上,我們可以向ISP申請2條100M普通鏈路與Internet相連,通過Internet 上***實現與各分支機構的業務傳輸和資源共享;而與中海油總部網絡的連接,我們采用一條10M專用鏈路。對于VOIP語音的傳輸,我們通過Internet 與各分所的通信,而通過專線實現與總部的通信,另外,我們還提供了1個E1線路和6個模擬中繼線路的傳統通信鏈路的備份。
對于VLAN,我們可以按照部門、功能、區域、用途等進行劃分,系統圖中的VLAN僅供參考,但無線網絡根據SSID的數量設置不同的獨立VLAN,設備管理需要獨立的VLAN,IP電話系統設置獨立VLAN,以及公司重要部門及會議室設置獨立VLAN等,我們可以在后續的工作中進行詳細規劃。
WLAN無線網絡,由于目前無線網絡部署規模并不大,我們采用Cisco WLC4404-25APs 無線控制器,可以考慮采用Cisco Aironet 1242AG的無線AP。
?
方案分析:(略)
?
?
2. 方案二:(系統圖單獨附上)
?
?
方案描述:
本方案是基于百兆到桌面考慮,上聯均為千兆雙鏈路的結構進行設計,網絡中的核心設備完全熱備份。
核心交換設備是兩臺Cisco Catalyst 4507R-E交換機可配備雙引擎,雙電源,支持萬兆的引擎和板卡,可支持7個插槽,最高交換矩陣可達320Gbps(SuP-6 引擎),IPV4轉發速率為250Mpps,兩臺核心分別處理不同的VLAN數據和流量,但同時實現雙機熱備,另外,配置端到端的QoS策略,分離無線數據流、語音流、視頻流、有線數據流等,根據不同的優先級進行不同的分類或者可以配置基于三層的DSCP實現數據流的分類。
接入層設備則選擇以Cisco Catalyst 2960-24TC-L作為普通用戶終端接入的百兆交換機。以Cisco Catalyst 2960-24PC-L作為WAP和IP Phone的POE(Power over Ethernet)千兆接入交換機,POE交換機端口在為AP設備和IP電話提供數據傳輸的同時,也可以提供基于IEEE802.3af標準的電源。
核心安全設備我們采用2臺了集Firewall/***/IPS功能于一體的Juniper SSG550,雙機熱備,同時將內外部訪問的服務器可以通過雙鏈路至2臺Catalyst 2960G-24TC-L千兆交換機并雙鏈路接入至防火墻的DMZ安全區。
ISR多業務路由器我們選擇了2臺Cisco 3845作為邊緣路由器,雙機熱備,同時也作為語音系統網關并配合Cisco Call Manager (CCM)服務器群一起構成完整的IP語音系統,可支持250個語音終端用戶。
WAN鏈路上,我們可以向ISP申請2條50M專用鏈路與總部網絡相連,通過總部網絡再與各分支機構進行業務傳輸和資源共享;而與Internet 的連接,我們采用一條10M普通鏈路接入,同時也滿足一部分移動性辦公***接入。對于VOIP語音的傳輸,我們通過總部網絡與各分支機構和辦事處間的通信,另外,我們還提供了1個E1線路和6個模擬中繼線路的傳統通信鏈路的備份。
對于VLAN,我們可以按照部門、功能、區域、用途等進行劃分,系統圖中的VLAN僅供參考,但無線網絡根據SSID的數量設置不同的獨立VLAN,設備管理需要獨立的VLAN,IP電話系統設置獨立VLAN,以及公司重要部門及會議室設置獨立VLAN等,我們可以在后續的工作中進行詳細規劃。
WLAN無線網絡,由于目前無線網絡部署規模并不大,我們采用Cisco WLC4404-25APs 無線控制器,可以考慮采用Cisco Aironet 1242AG的無線AP。
方案分析:(略)
3. 推薦方案:(略)
?
六、產品清單(略)
?
七、產品介紹(略)
?
總結
以上是生活随笔為你收集整理的某石油公司100-500人办公网络方案设计的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 理解DataSet的数据缓存机制
- 下一篇: ip对应的区域查询(php版)(转)