某石油公司100-500人辦公網絡方案設計

時間 2020-04-30

標籤石油公司辦公網絡方案設計欄目快樂工作简体版

原文原文鏈接

1、項目概述安全

（略）服務器

2、項目需求網絡

1. 業務需求負載均衡

² 公司內部各分支機構和辦事處之間文件傳輸與資源共享；分佈式

² 客戶及其餘外部人員、機構與公司進行文件傳輸與資源共享；ide

² 公司內部人員對Internet資源訪問與發佈；模塊化

² VOIP語音業務的應用；性能

² Video Conference 視頻會議系統的應用；this

² 將來的應用，系統的升級擴展；spa

2. 性能需求

² 至少知足以上業務需求的性能；

² 至少知足如下安全和備份需求的性能；

² 前期建設應知足100人固定辦公的網絡性能需求；

² 考慮2年後擴展到500人系統升級要求；

² 應知足將來新業務應用性能需求；

3. 安全需求

² 防範***及惡意程序的***與***；

² 及時檢測及追蹤***和***行爲；

² 系統的監控和日誌備份；

² 根據不一樣人員的訪問級別，實施相應安全訪問策略和機制；

² 系統的漏洞檢測及系統升級；

² 主機病毒的防範、檢測、查殺；

² 服務器的安全防禦及訪問控制；

4. 備份需求

² 主要出口鏈路的冗餘備份；

² 內部網主幹雙鏈路的冗餘備份；

² 核心交換機的熱備份；

² 出口路由器的熱備份；

² 防火牆及×××等設備的熱備份；

² 重要服務器的備份及負載均衡；

3、設計原則

如下內容爲網絡建設的主要設計原則：

² 實用性原則：網絡設計方案中應把握「夠用」和「實用」原則，網絡系統應採用成熟可靠的技術和設備，作到實用、經濟和有效。

² 開放性原則：網絡系統採用開放的標準和技術，如TCP/IP協議、IEEE802系列標準等，以知足將來網絡系統的擴充和與其餘網絡的互相通訊等需求。

² 高可用性/可靠性原則：應確保很高的平均無端障時間和儘量低的平均故障率。

² 安全性原則：確保網絡能夠抵擋住常見及通常性的***，並輔之實時監控和分析等手段，對特殊的網絡***和***進行相應處理。

² 先進性原則：構建一個現代化的網絡系統，應儘量採用先進而成熟的技術，在一段時間內保證其主流地位。

² 易用性原則：整個系統易於安裝、管理和使用。網絡系統應該具備良好的可管理性和很高的資源利用率。此外，在知足現有網絡應用的同時，還應爲之後的應用升級奠基基礎。

² 可擴展性原則：網絡整體設計不只要考慮到近期目標，也要爲網絡的進一步發展留有擴展餘地，所以須要統一規劃和設計。

4、設計思路

本方案從公司的業務發展需求、信息及網絡技術的快速更新以及現有的網絡情況、節約成本等綜合因素進行考慮並設計：

從結構上，採用了以千兆冗餘鏈路結構爲主、可支持萬兆擴展、高級路由策略、高性能數據轉發、模塊化機箱、多層協議交換設備爲核心，接入和分佈層設備的結構均支持千兆冗餘，採用STP協議解決環路、流量分擔負載以及鏈路備份的問題。

在VLAN的設計上，根據VLAN規劃的部門、區域以及特殊要求進行劃分。在路由設計上，核心交換機和路由器之間採用OSFP做爲主要的路由協議，並配合相關的路由策略實現高級路由功能。

在QoS質量保證上，對語音、視頻及其餘重要業務進行區分，能夠經過端到端的QoS策略，如DSCP等，也能夠經過二層實現如COS等策略，根據流量的優先級或報文標記進行識別並區別對待，以達到QoS的目的。

在安全方面，內部經過AD域控方式經過域控策略對每臺域內計算機和終端進行控制和管理，在設備端經過諸如ACL和路由等策略進行流量的控制，而對於外網的訪問，除經過相關的ACL和路由外，咱們能夠經過防火牆進行更多的安全認證、規則以及審計策略進行控制，而且還能夠在必定程度上阻止DDOS的***。

在網絡管理上，咱們採用集中式和分佈式管理方式，對於在北京本地的設備進行集中管理，而對於遠端分所的設備，咱們能夠採用分佈式管理即本地與遠端共管模式。

在覈心交換機及重要設備，咱們採用徹底及部分冗餘備份機制，還能夠實現必定的流量分擔負載。

而對於WLAN無線網絡，隨着WLAN無線網絡的發展，無線網絡所帶來的便利性和靈活性愈來愈受到人們的青睞，愈來愈多的應用和業務對無線網絡的依賴程度也愈來愈高。所以，在本次的網絡規劃中咱們將無線網絡（WLAN）也做爲網絡建設的重點之一。本無線網絡結構採用集中式控制結構，即一般所說的無線控制器（也叫無線交換機）與瘦AP（或混合AP）模式。瘦AP能夠用於本地的無線網絡中直接鏈接相鄰的IDF的PoE（Power over Ethernet）交換機，而混合型AP能夠放置在各分支機構及辦事處，這些AP在網絡正常運行的狀況下均可以受到無線控制器統一控制，若是遠端分支機構及辦事處網絡中斷，混合型AP還能夠獨立執行無線覆蓋功能，而不會出現中斷。在這個網絡中，若是對無線要求不高，咱們建議採用IEEE802.11a/b/g的覆蓋，不然，咱們能夠考慮802.11n的網絡部署。若是部署範圍較廣，帶寬較高，咱們還能夠實現將來WiFi Phone和無線視頻的應用。

5、方案分析

1. 方案一：（系統圖單獨附上）

方案描述：

本方案是基於百兆到桌面考慮，上聯均爲千兆雙鏈路的結構進行設計，網絡中的核心設備徹底熱備份。

核心交換設備是兩臺Cisco Catalyst 4507R-E交換機可配備雙引擎，雙電源，支持萬兆的引擎和板卡，可支持7個插槽，最高交換矩陣可達320Gbps（SuP-6 引擎），IPV4轉發速率爲250Mpps，兩臺核心分別處理不一樣的VLAN數據和流量，但同時實現雙機熱備，另外，配置端到端的QoS策略，分離無線數據流、語音流、視頻流、有線數據流等，根據不一樣的優先級進行不一樣的分類或者能夠配置基於三層的DSCP實現數據流的分類。

接入層設備則選擇以Cisco Catalyst 2960-24TC-L做爲普通用戶終端接入的百兆交換機。以Cisco Catalyst 2960-24PC-L做爲WAP和IP Phone的POE（Power over Ethernet）千兆接入交換機，POE交換機端口在爲AP設備和IP電話提供數據傳輸的同時，也能夠提供基於IEEE802.3af標準的電源。

核心安全設備咱們採用2臺了集Firewall/×××/IPS功能於一體的Juniper SSG550，雙機熱備，同時將內外部訪問的服務器能夠經過雙鏈路至2臺Catalyst 2960G-24TC-L千兆交換機並雙鏈路接入至防火牆的DMZ安全區。

ISR多業務路由器咱們選擇了2臺Cisco 3845做爲邊緣路由器，雙機熱備，同時也做爲語音系統網關並配合Cisco Call Manager (CCM)服務器羣一塊兒構成完整的IP語音系統，可支持250個語音終端用戶。

WAN鏈路上，咱們能夠向ISP申請2條100M普通鏈路與Internet相連，經過Internet 上×××實現與各分支機構的業務傳輸和資源共享；而與中海油總部網絡的鏈接，咱們採用一條10M專用鏈路。對於VOIP語音的傳輸，咱們經過Internet 與各分所的通訊，而經過專線實現與總部的通訊，另外，咱們還提供了1個E1線路和6個模擬中繼線路的傳統通訊鏈路的備份。

對於VLAN，咱們能夠按照部門、功能、區域、用途等進行劃分，系統圖中的VLAN僅供參考，但無線網絡根據SSID的數量設置不一樣的獨立VLAN，設備管理須要獨立的VLAN，IP電話系統設置獨立VLAN，以及公司重要部門及會議室設置獨立VLAN等，咱們能夠在後續的工做中進行詳細規劃。

WLAN無線網絡，因爲目前無線網絡部署規模並不大，咱們採用Cisco WLC4404-25APs 無線控制器，能夠考慮採用Cisco Aironet 1242AG的無線AP。

方案分析：（略）

2. 方案二：（系統圖單獨附上）

　　方案描述：

本方案是基於百兆到桌面考慮，上聯均爲千兆雙鏈路的結構進行設計，網絡中的核心設備徹底熱備份。

WAN鏈路上，咱們能夠向ISP申請2條50M專用鏈路與總部網絡相連，經過總部網絡再與各分支機構進行業務傳輸和資源共享；而與Internet 的鏈接，咱們採用一條10M普通鏈路接入，同時也知足一部分移動性辦公×××接入。對於VOIP語音的傳輸，咱們經過總部網絡與各分支機構和辦事處間的通訊，另外，咱們還提供了1個E1線路和6個模擬中繼線路的傳統通訊鏈路的備份。

WLAN無線網絡，因爲目前無線網絡部署規模並不大，咱們採用Cisco WLC4404-25APs 無線控制器，能夠考慮採用Cisco Aironet 1242AG的無線AP。

　　　方案分析：（略）

　　3. 推薦方案：（略）

6、產品清單（略）

7、產品介紹（略）