• <menu id="ayewq"></menu>
  • <dd id="ayewq"></dd>
    <xmp id="ayewq"><menu id="ayewq"></menu>
    <optgroup id="ayewq"><code id="ayewq"></code></optgroup>
    圖片展示
    圖片展示

    有線網絡建設

    發表時間: 2018-06-22 11:40:20

    瀏覽: 1570

    1、背景

    企業隨著業務和規模在不斷發展,企業管理層和IT部門也認識到通過信息化手段可以更好地支撐企業業務運營、提高企業生產和管理效率。同時隨著新建辦公大樓、研發大樓和廠房的落成,IT部門也需要對整個企業的信息化和IT基礎架構進行規劃和建設。

    企業IT基礎架構規劃和解決方案:主要包括企業局域網基礎網絡拓撲規劃和網絡設備選型、互聯網接入和VPN接入、IT硬件部署和選型、企業IT信息化基礎軟件系統規劃等。 

    2、網絡系統規劃

    當前,企業一般能給信息化方面投入有限。除了人力有限,還缺少專業人才,應用能力、維護能力、開發能力、實施能力等都普遍較弱,這就要求網絡架構成熟、穩定安全、高可靠、高可用,盡可能少投入人力和金錢進行維護。其次,由于企業首要解決的是生存問題,根本沒辦法做到先信息化,再做業務,因此網絡建設實施要求必須容易,實施時間必須極短。

    企業的組網方案主要要素包括:局域網、廣域網連接、網絡管理和安全性。具體來說企業組網需求主要有:

    l  建立安全的網絡架構,總部與分支機構的網絡連接;

    l  安全網絡部署,確保企業正常運行;

    l  為出差的人員提供IPSec或者SSLVPN方式;

    l  提供智能管理特性,支持瀏覽器圖形管理;

    l  網絡設計便于升級,有利于投資保護。

    企業一般的組網結構如下圖,大企業網絡核心層一般采用冗余節點和冗余線路的拓撲結構,小企業則單線路的連接方式。

    通過對一般企業的信息化情況和網絡規劃要素進行分析,從總體上看,規劃方案必須具有以下特點:

    l  網絡管理簡單,采用基于易用的瀏覽器方式,以直觀的圖形化界面管理網絡。

    l  用戶可以采用多種的廣域網連接方式,從而降低廣域網鏈路費用。

    l  無線接入點覆蓋范圍廣、配置靈活,方便移動辦公。

    l  便捷、簡單的統一通信系統,輕松實現交互式工作環境。

    l  帶寬壓縮技術,高級QoS的應用,有效降低廣域網鏈路流量。

    l  隨著公司業務的發展,所有網絡設備均可在升級原有網絡后繼續使用,有效實現投資保護。

    l  系統安全,保密性高,應用了適合企業的低成本網絡安全解決方案。

    3、安全基礎網絡規劃方案

    可以根據對某企業的實際調研,獲取了企業的網絡需求,以此來制定企業基礎網絡建設規劃方案和網絡設備選型參考;以下企業版規劃方案

    3.1 網絡需求

    如企業規劃的網絡節點為500個,主要的網絡需求首先是資源共享,網絡內的各個桌面用戶可共享文件服務器/數據庫、共享打印機,實現辦公自動化系統中的各項功能;其次是通信服務,最終用戶通過廣域網連接可以收發電子郵件、實現Web應用、接入互聯網、進行安全的廣域網訪問;還有就是公司門戶網站和網絡通信系統(企業郵箱、企業即時通信和企業短信平臺等)的建立。

    3.2 規劃方案

    采用三層網絡結構,萬兆骨干,百兆接入;網絡核心層采用核心交換機,同時配置相應數量的千兆端口分別連接應用服務器、接入交換機及其他設備;網絡匯聚層采用獨有智能堆疊系統可實現高密度千兆端口接入,擁有96 Gbps的全雙工堆疊帶寬,消除網絡瓶頸,提供優于傳統中繼聚合配置的更好的可用性和彈性;接入層可選擇千兆交換機,千兆銅纜-光纖上連-核心交換機,全千兆交換機到桌面。網絡拓撲圖如下:

    4、廣域網互聯VPN規劃方案

    伴隨企業的不斷擴張,分支機構及客戶群分布日益分散,合作伙伴日益增多,越來越多的現代企業迫切需要利用公共Internet資源來進行促銷、銷售、售后服務、培訓、合作及其它咨詢活動,這為VPN的應用奠定了廣闊市場。在VPN方式下,VPN客戶端和設置在內部網絡邊界的VPN網關使用隧道協議,利用Internet或公用網絡建立一條隧道作為傳輸通道,同時VPN連接采用身份認證和數據加密等技術避免數據在傳輸過程中受到偵聽和篡改,從而保證數據的完整性、機密性和合法性。通過VPN方式,企業可以利用現有的網絡資源實現遠程用戶和分支機構對內部網絡資源的訪問,不但節省了大量的資金,而且具有很高的安全性。

    另外,隨著企業規模的擴大,分散辦公也越來越普遍,如何實現小型分支、出差員工、合作伙伴的遠程網絡訪問也被越來越多的企業關注。從成本、易用性、易管理等多方面綜合考慮,SSL VPN無疑是一種最合適的方案:只需要在總部部署一臺設備,成本更低,管理維護也很容易;無需安裝客戶端、無需配置,登陸網頁就能使用。

    4.1 網絡需求 

    IPSec VPNSSL VPN各有所長,功能互補,對企業來說都是需要的:IPSec VPN用于總部和中大型分支互連,SSL VPN用于為小型分支、合作伙伴、出差人員提供遠程網絡訪問。但傳統方法下,企業總部需要采購兩臺設備來支持兩種VPN,不僅成本更高,而且可能存在VPN策略沖突,導致性能下降、管理困難。 

    4.2 規劃方案 

    融合VPN針對企業的實際需要,一臺設備融合IPSec / SSL兩種VPN,只需部署在總部,既可以用于為合作伙伴、出差人員提供遠程網絡訪問,也可以和分支機構進行IPSec VPN互連,幫助企業降低采購、部署、維護三方面成本。

    VPN網關選擇方面,H3C的防火墻、路由器都能夠實現融合VPN,提供給企業更加靈活的選擇。例如,如果企業非常強調網絡安全、VPN性能,就選擇防火墻;如果企業更注重多業務處理能力,如IP語音通信、4G上網、無線接入等,推薦選擇路由器。 

    在總部局域網Internet邊界防火墻后面配置一臺或兩臺雙機熱備的VPN網關,在分支機構Internet邊界防火墻后面配置一臺VPN網關,由此兩端的VPN網關建立IPSec VPN隧道,進行數據封裝、加密和傳輸;另外,通過總部的VPN網關提供SSL VPN接入業務;在總部局域網數據中心部署H3C VPN Manager組件,實現對VPN網關的部署管理和監控;在總部局域網內部或Internet邊界部署H3C BIMS系統,實現對分支機構VPN網關設備的自動配置和策略部署。如下圖:

     

    如果省內分支機構較多、較分散,但對速率要求不高的連鎖型單位,也可以選用電信或ISP商的VPDN服務;

    如果多個分支機構間有多點對多點通信需求的企業、商業機構,也可以直接選用電信或ISP商的MPLS VPN服務。

    5、網絡安全規劃

    網絡安全是整個系統安全運行的基礎,是保證系統安全運行的關鍵。網絡系統的安全需求包括以下幾個方面:

    l  網絡邊界安全需求;

    l  入侵監測與實時監控需求;

    l  安全事件的響應和處理需求分析;

    這些需求在各個應用系統上的不同組合就要求把網絡分成不同的安全層次。

    我們針對企業網絡層的安全策略采用硬件保護與軟件保護,靜態防護與動態防護相結合,由外向內多級防護的總體策略。

    根據安全需求和應用系統的目的,整個網絡可劃分為六個不同的安全層次。具體是:

    l  核心層:核心數據庫;

    l  安全層:應用信息系統中間件服務器等應用;

    l  基本安全層:內部局域網用戶;

    l  可信任層:公司本部與營業部網絡訪問接口;

    l  危險層:Internet。

    信息系統各安全域中的安全需求和安全級別不同,網絡層的安全主要是在各安全區域間建立有效的安全控制措施,使網間的訪問具有可控性。具體的安全策略如下:

    核心數據庫采用物理隔離策略:

    應用系統采用分層架構方式,客戶端只需要訪問中間件服務器即可進行日常業務處理,從物理上不能直接訪問數據庫服務器,保障了核心層數據的高度安全。

    應用系統中間件服務器采取綜合安全策略:

    應用系統中間件的安全隱患主要來自局域網內部,為了保障應用系統中間件服務的安全,在局域網中可通過劃分虛擬子網對各安全區域、用戶和安全域間實施安全隔離,提供子網間的訪問控制能力。同時,中間件服務器本身可以通過配置相應的安全策略,限定經過授權的工作站、用戶方能訪問系統服務,保障了中間件服務器的安全性;

    內部局域網采取信息安全策略:

    企業內部局域網處于基本安全層的網絡,主要是對于安全防護能力較弱的終端用戶在使用,因此考慮的重點在于兩個方面,一個是客戶端的病毒防護,另一個是防止內部敏感信息的對外泄露。因此,通過選用網絡殺毒軟件達到內部局域網的病毒防護,同時,使用專用網絡安全設備(如硬件防火墻)建立起有效的安全防護,通過訪問控制ACL等安全策略的配置,有效地控制內部終端用戶和外部網絡的信息交換,實現內部局域網的信息安全。

    公司本部與下屬機構之間網絡接口采取通訊安全策略:

    處于可信任層的網絡,其安全主要考慮各下屬單位上傳的業務數據的保密安全,因此,可采用數據層加密方式,通過硬件防火墻提供的VPN隧道進行加密,實現關鍵敏感性信息在廣域網通信信道上的安全傳輸。

    Internet采取通訊加密策略:

    Internet屬于非安全層和危險層,由于Internet存在著大量的惡意攻擊,因此考慮的重點是要避免涉密信息在該層次中的流動。通過硬件防火墻提供專業的網絡防護能力,并對所有訪問請求進行嚴格控制,對所有的數據通訊進行加密后傳輸。

    同時,建議設置嚴格的機房管理制度,嚴禁非授權的人員進入機房,也能夠進一步提升整個網絡系統的安全。

    5.1 廣域網安全規劃

    企業廣域網安全,主要是通過防火墻和VPN等設備或技術來保障。

    防火墻對流經它的網絡通信進行掃描,能夠過濾掉一些攻擊,防火墻還可以關閉不使用的端口,防火墻具有很好的保護作用,入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機,所以出于安全考慮,企業必須購置防火墻以保證其服務器安全,將應用系統服務器放置在防火墻內部專門區域。

    VPN 即虛擬專用網(Virtual Private Networks) 提供了一種通過公共非安全介質(Internet)建立安全專用連接的技術。使用VPN技術,甚至機密信息都可以通過公共非安全的介質進行安全傳送。VPN技術的發展與成熟,可為企業的商業運作提供一個無處不在的、可靠的、安全的數據傳輸網絡。VPN通過安全隧道建立一個安全的連接通道,將分支機構、遠程用戶、合作伙伴等和企業網絡互聯,形成一個擴展的企業網絡。

    VPN基本特征:

    l  使企業享受到在專用網中可獲得的相同安全性、可靠性和可管理性。

    l  網絡架構彈性大——無縫地將Intranet延伸到遠端辦事處、移動用戶和遠程工作者。

    l  可以通過Extranet連接企業合作伙伴、供應商和主要客戶(建立綠色信息通道),以提高客戶滿意度、降低經營成本。

    VPN實現方式:

    l  硬件設備:帶VPN功能模塊的路由器、防火墻、專用VPN硬件設備等,如Cisco、H3C、深信服、天融信等。

    l  軟件實現:Windows 自帶PPTPL2TP、第三方軟件(如CheckPoint、深信服等)。

    l  服務提供商(ISP):中國電信、聯通、網通等。目前一些ISP推出了MPLS VPN,線路質量更有保證,推薦使用。 

    5.2 內網安全規劃

    企業內網安全系統包括防病毒系統、內網安全管理系統,上網行為管理系統等。

    防病毒系統可以采用網絡版防病毒系統或防毒墻等產品(比如金山、瑞星、卡巴斯基等解決方案)。

    內網安全系統和上網行為管理系統可以選擇深信服、任子行、IP-guard等解決方案,企業可以通過部署內網安全系統實現研發網和商業信息的信息安全防范工作。對于研發網的信息安全、數據集中存儲和計算資源的統一協調配置,可以通過部署企業桌面虛擬化解決方案來實現。

    關于我們產品技術最新動態
    發展歷程服務介紹成功案例
    企業文化解決方案新聞資訊
    聯系我們人工智能
    人才招聘
    圖片展示
    微信二維碼
    圖片展示
     官網二維碼
    圖片展示
    圖片展示
    圖片展示

    微信二維碼

    圖片展示

    官網二維碼

    Copyright ? 2018   廣州市康匯電子科技有限公司

     粵ICP備09058671號-1      粵公網安備 44010602000524號

    亚投快3