返回
xx网网络中心技术实施方案V20

xx网网络中心技术实施方案V20

ID:37740145

大小:2.19 MB

页数:21页

时间:2019-05-30

xx网网络中心技术实施方案V20_第1页
xx网网络中心技术实施方案V20_第2页
xx网网络中心技术实施方案V20_第3页
xx网网络中心技术实施方案V20_第4页
xx网网络中心技术实施方案V20_第5页
资源描述:

《xx网网络中心技术实施方案V20》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、XXX集团信息网网络中心技术实施方案XX有限公司2006/2ii目录1概述11.1工程概述11.2项目设备列表22网络实施方案32.1网络整体设计32.1.1全网拓扑32.1.2网络核心设计32.1.3新大楼局域网42.1.4城域网和广域网52.1.5Internet出口设计52.2OSPF路由协议部署72.2.1OSPF区域划分72.2.2OSPF的Cost值设定82.3VPN接入92.4部署用户认证方案102.4.1与现有LDAP认证方式的融合102.4.2客户端认证122.5部署端点准入(EAD)方案132.6部署日志审计系统Xlog1

2、52.7部署入侵检测(IDS)方案172.8QOS设计19iiXXX集团网络实施技术方案1概述1.1工程概述XXX集团总部设置在杭州市区,下设几十个电厂和子公司,部分在杭州,部分在浙江其他城市。XX集团的子公司与总部互联,通过总部统一的Internet出口,形成以总部为中心辐射子公司的星形结构,实现信息的实时共享和动态管理以及数据、音频、视频三网合一。目前XX集团广域网采用星型网络拓扑结构,主要由两部分组成:一部分是子公司通过杭州电力城域网,通过MSTP或裸光纤方式连接到总部汇聚交换机,进而连接到总部的办公局域网;另一部分通过电力通信传输网的

3、SDH的E1,到总部的中心路由器做汇聚后,经防火墙进入办公网络。原网络的拓扑结构如下:目前广域网和城域网上主要的应用是数据业务,IP电话和Internet访问,视频会议系统也将后续建设。搬到新办公楼后,XX集团总部将建设全新网络,广(局)域网将进行相应的改造。第19页共21页XXX集团网络实施技术方案集团新大楼XX大厦地面20层,地下2层。7、8、9三层为XXX集团有限公司所属浙江东南发电股份有限公司办公地点,有单独的中心机房。其余楼层为XX集团总部使用。1.1项目设备列表本项目主要采用华为3Com的系列产品构建网络平台:路由设备(NE40-

4、8路由器1台)交换设备(S8512交换机2台、S8505交换机1台、S3952P交换机45台)安全设备(SecPath1800F防火墙2台、SecPath1000安全网关1台、SecEngineD500入侵检测系统2台)无线接入设备(AP875020台)业务软件(CAMS管理软件平台、LAN接入组件、EAD组件和1000套客户端软件)Quidview网管系统1套。第19页共21页XXX集团网络实施技术方案1网络实施方案1.1网络整体设计1.1.1全网拓扑1.1.2网络核心设计两台S8512分别与两台1800F形成千兆连接,中间串联防毒墙。任何

5、从外网、城域网、广域网来的或者去往外网的流量必须经过防毒墙的检查。建议在两台防火墙1800F之间增加一条千兆连接,构成一个四边形的核心结构。这样的结构相对于防火墙之间没有连接的直线型结构更加稳定和健壮,不会因为某一段连接的失效而使OSPF骨干路由域Area0被分割。同时可以通过调整端口的OSPFCost值来实现灵活的流量导向。第19页共21页XXX集团网络实施技术方案根据本项目的具体需求,防火墙1800F的所有端口均工作在路由模式。与内网连接的端口设置为TRUST区域,与城域网和广域网连接的端口放入DMZ区,与外网连接的端口放入UNTRUST

6、区域。可以根据业务需要,设置各区域间的访问策略。可以规定如下安全策略:TRUST区可以访问DMZ和UNTRUST区所有资源;DMZ区可以访问TRUST区部分资源和UNTRUST区的所有资源;UNTRUST区只能访问防火墙开放的部分资源。1.1.1新大楼局域网两台S8512万兆骨干交换机为整个网络提供高可靠,高性能的核心交换。两台设备通过2条万兆链路连接。XX大厦各个楼层接入交换机S3952P通过两条千兆多膜光纤分别上联至两台核心交换机S8512。S8512双机启用VRRP热备协议,为每一个VLAN配置一个VRRP组,第一个VRRP组的主用设备

7、为S8512-1,备用设备为S8512-2,第二个VRRP组的主用设备为S8512-2,备用设备为S8512-1,依此类推。这样两台8512可以实现流量分担和冗余。S8512和S3952上根据VLAN配置情况启用STP协议,但两台S8512之间的万兆接口不启STP,以避免出现环路。大楼普通用户按部门划分VLAN,即1个部门一个VLAN,以实现部门内部的快速互访。认证方式见“用户访问控制”章节。新大楼所有IP电话可以划入同一个VLAN,也可以划入所在部门VLAN,通过三层设备(S8512)访问MBX。所有服务器划入同一个VLAN。根据业务需要,

8、通过核心交换机S8512上的防火墙模块实施访问控制。所有的无线AP划入同一个VLAN,接入交换机和核心交换机上启用DHCPRelay功能,使无线接入用户能访问DHC

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。