文档介绍：大型企业网络工程解决方案
本方案是一个典型的实际工程可以根据需要和可能,参照此方案灵活应用。
一、企业网络设计
(1)主干网设计
采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽,基本能满足高速
交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理,具有良好的价格比。
传输介质。千兆传输距离 500m 以内采用 50/125 多模光缆;千兆传输距离大于 500m、
小于 5000m 时采用 9/125 单模光缆;百兆传输距离 2000m 以内采用 50/125 多模光缆;百兆
传输距离大于 2000m 采用 9/125 单模光缆。
交换机。主干交换机的基本要求:机箱式结构,便于扩展;支持多种网络方式,如快速
以太网、千兆以太网等;高性能,高背板带宽及中心交换吞吐量;支持第二、第三交换,支
持各种 IP 应用;高可靠性设计,如多电源/管理模块、热插拔;丰富的可管理能力等。
中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,
在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用 1000Mbps 连接,服
务器采用双网卡链路聚合 200Mbps 连接,客户采用交换式 10/1000Mbps 连接。
(2)楼宇内局域网设计
要求采用支持 的 10/100Mbps 工作组以太网交换机,交换机的数据依据用户端口
数、可靠性及网管要求配置网络接入交换机,使 10/100Mbps 流量接至桌面。
(3)接入 设计
接入系统由位于网络中心的非军事区(DMZ)交换机、l 服务、
防火墙、路由器、光纤接入组成。
(4)虚拟局域网 VLAN 设计
通过 VLAN 将相同业务的用户划分在一个逻辑子网内,既可以防止不同业务的用户非法
监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。
各工作组交换机采用基于端口的 VLAN 划分策略,划分出多个不同的 VLAN 组,分隔广播
域。每个 VLAN 是一个子网,由子网中信息点的数量确定子网的大小。
同样在千兆/百兆以太网上联端口上设置 协议,设置通信干道(Truck),将每个
VLAN 的数据流量添加标记,转发到主干交换机上实现网络多层交换。
(5)虚拟专用网 VPN 设计
如果公司跨地区经营,自己铺设专线不划算,可以通过 采用 VPN 数据加密技
术,构成企业内部虚拟专用网。
(6)网络拓扑结构。这部分待续
二、网络安全性设计
网络系统的可靠与安全问题:
a. 物理信息安全,主要防止物理通路的损坏和对物理通路的攻击(干扰等)。
b. 链路层的网络安全需要保证通过网络链路传送的数据不被 GG。主要采用划分 VLAN、
加密通信等手段。
c. 网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,
避免被拦截或监听。
d. 操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系
统上的应用进行审计。
e. 应用平台的安全要求保证应用软件服务,如数据库服务、电子邮件服务器、Web 服
务器、ERP 服务器的安全。
(1)物理安全
机房要上锁,出入人员要严加限