文档介绍：***电业局
安全存储网络建设技术建议书
二零零九年十月
目录
安全存储网络建设技术建议书 1
1 概述 3
项目建设背景需求 3
网络现状 3
网络建设目标 3
网络建设原则 3
2 整体方案设计 4
组网方案 4
方案建议及设备选型依据 4
3 网络解决方案 5
IP 地址规划 5
VLAN规划 6
路由规划 6
QOS 设计 6
设备介绍 8
S9300系列交换机系统特性 8
Oceanspace S2000系列存储系统 16
4 安全解决方案 20
安全体系层次设计 20
层次一:物理环境的安全性(物理层安全) 20
层次二:操作系统的安全性(系统层安全) 20
层次三:网络的安全性(网络层安全) 20
层次四:应用的安全性(应用层安全) 21
层次五:管理的安全性(安全管理) 21
总体部署 21
入侵检测系统部署 22
安全风险分析 22
安全风险解决 22
智能网络入侵检测设备 23
NIP 1000性能指标 28
终端安全管理系统部署 30
终端安全管理系统 30
安全监控功能 33
资产管理应用功能 33
安全接入控制网关应用 34
Secospace系统性能指标 34
概述
项目建设背景需求
网络现状
***电业局网络建设主要分为内部办公网络和外部互联网络两部分,现有核心设备是用的是华为5500系列交换机,交换机使用年限已久,随着网络规模的不断扩大,现有网络接口已逐渐不能满足网络的需求;内部服务器数量已达到10台左右,数据量增加的比较快,需要一套网络存储设备。内部安全需要进一步的管理。
网络建设目标
为了提高整网核心的可靠性,设计考虑设备冗余(电源、超级引擎采用双配置),为整网提供更加稳定的网络服务。
华为核心设备最多支持144个光接口,能够极大地满足现在及将来网络的需求。
网络建设原则
我单位针对***电业局存储及安全工程将采用华为先进的高端电信级设备作为构建网络的基础单元,建立一个高带宽、高可用性及高可靠性的数据网络,为濮阳县电业局业务系统提供强有力的保证,本次工程基于以下原则进行:
综合性:将网络建设成为不仅支撑现有濮阳县电业局数据业务,而且支撑未来实时业务的综合业务传送平台。
支持QOS:能根据业务的要求提供不同等级的服务并保证服务质量,提供资源预留,拥塞控制,报文分类,流量整形等强大的IP QOS功能。
高可靠性:具有很高的容错能力,具有抵御外界环境和人为操作失误的能力,保证任何单点故障都不影响整个网络的正常运作。
高性能:在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。
安全性:具有保证系统安全,防止系统被人为破坏的能力。
扩展性:易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资利益。
开放性:符合开放性规范,方便接入不同厂商的设备和网络产品。
标准化:通讯协议和接口符合国际标准。
实用性:具有良好的性能价格比,经济实用,拓扑结构和技术符合骨干网信息量大、信息流集中的特点。
整体方案设计
组网方案
出于安全性和稳定性的要求,工程中采用电信级核心层交换机从而提高整网结构的健壮性、可靠性,高效性。在存储方面采用华为2300的存储,可提供96T的存储容量,满足将来存储的需求。
方案建议及设备选型依据
根据***电业局数据库项目的技术规范要求以及华为公司全系列数通产品及解决方案特点,本着满足业务优先、先进实用、平滑演进等原则,我单位选择华为公司在本期项目中建议的设备以及相关设备的建网方案优势如下:
网络档次高、层次分明:采用最高能力交换机,按照网络层次依次选择合理产品,各层次产品之间系列化程度高,可靠性强。
负载分担的网络:以最大化网络资源负载分担为原则,通过设备间链路的分配调整,实现网络资源合理分布,增加可靠性。
安全的双平面的设计:本次为网络结构通过充分利用两期建设中的设备,充分保证网络安全备份及冗余性,整体提高网络的可靠性等级系数。
良好网络兼容性能:在现网大量的应用环境中,华为设备表现出与其他设备厂商良好的互通性,在各大电信运营商网络都有商用。
优化的网络性能:华为建议的部署方案,能够保证网络在故障情况下快速实现业务流量疏导,提高整个网络质量,保证网络能够承载。
多业务的IP网络:优化后的网络