信息化建設(shè)技術(shù)方案

信息化建設(shè)技術(shù)方案信息化建設(shè)技術(shù)方案成都思藍(lán)網(wǎng)絡(luò)科技有限公司 2 31.1XX企業(yè)新園區(qū)建設(shè)背景 3 3 4 5 5 5 61.4.1XX企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)目標(biāo) 6 6 8 8 9 9 22 24 24 291.8.5產(chǎn)品要求 互聯(lián)網(wǎng)(Internet)上相連的計(jì)算機(jī)已近達(dá)數(shù)千重慶市引進(jìn)的最大外資項(xiàng)目——世界化工巨頭巴斯夫與市化醫(yī)集團(tuán)合作投XX企業(yè)一直非常重視信息化建設(shè)，網(wǎng)絡(luò)中心是XX企業(yè)重要的信息運(yùn)維支從園區(qū)網(wǎng)安全方面考慮，本次信息化建設(shè)務(wù)必要有安全設(shè)備來保證網(wǎng)絡(luò)安接入層分布層核心層高速交換技術(shù)基于策略的操作本地/接入層分布層核心層高速交換技術(shù)基于策略的操作本地/遠(yuǎn)程工作組接入4)園區(qū)安全保障5)園區(qū)人員管理用是盡可能快地交換數(shù)據(jù)包而不應(yīng)卷入到具體的數(shù)據(jù)包的運(yùn)算中(ACL,過濾等),否則會(huì)降低數(shù)據(jù)包的交換速度。一步的調(diào)整，如Access-listFilt在廣域網(wǎng)環(huán)境中，接入層要緊提供通過Fr2.要以服務(wù)為中心，以人(用戶)為本，以提高XX企業(yè)核心競爭力；建設(shè)智9、符合IP進(jìn)展趨勢的網(wǎng)絡(luò)術(shù)本身又處在進(jìn)展變化中，如IpV6,IPQoS,IPOve斷出現(xiàn)，貴方網(wǎng)絡(luò)務(wù)必跟緊IP進(jìn)展的步伐，也就是務(wù)必選擇處于IP進(jìn)展領(lǐng)導(dǎo)地7)支持IPv4業(yè)務(wù)與IPv6業(yè)務(wù)的互通IPv6業(yè)務(wù)，同時(shí)要考慮將來能夠支持IPv4業(yè)務(wù)與受到高清視頻服務(wù)，更充分的享受到下一代互聯(lián)網(wǎng)帶來的利益。通過C/SB/S模式的公共視頻直播系統(tǒng)，能夠?qū)崿F(xiàn)用戶自主進(jìn)行頻數(shù)據(jù)進(jìn)行壓縮轉(zhuǎn)換，并通過視頻直播服務(wù)播的服務(wù)質(zhì)量。另外，采取IPv6組播方一代互聯(lián)網(wǎng)實(shí)現(xiàn)高清視頻會(huì)議，是IPv6園區(qū)網(wǎng)的一個(gè)亮網(wǎng)絡(luò)拓?fù)鋱D1、核心設(shè)備高背板轉(zhuǎn)發(fā)、擁有高帶寬、高背板、提供高可靠性。2、各區(qū)域與核心之間均使用萬兆光纜連接。3、核心設(shè)備部署于中心機(jī)房、接入設(shè)備部署于各樓層弱電井。4、每個(gè)區(qū)域內(nèi)至少都部署一臺匯聚交換機(jī)用于本區(qū)域內(nèi)點(diǎn)位匯聚。5、同一棟樓內(nèi)弱電井間均使用光纖連接。6、周界安防監(jiān)控使用IP監(jiān)控設(shè)備，數(shù)據(jù)傳輸采取就近引線。(從就近的多媒體信息箱引接數(shù)據(jù)線)企業(yè)園區(qū)網(wǎng)的安全建設(shè)能夠用短板效應(yīng)來說明，一個(gè)小小的安全隱患，就會(huì)影響到整個(gè)園區(qū)網(wǎng)的安全建設(shè)的全局。因此園區(qū)網(wǎng)的安全建設(shè)需要全面考慮、系網(wǎng)絡(luò)目前為單核心結(jié)構(gòu)，相應(yīng)作為骨干區(qū)域的設(shè)備級別的保護(hù)技術(shù)較少。如安全管理標(biāo)準(zhǔn))等國際標(biāo)準(zhǔn)，綜合考慮可實(shí)備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防范體系在整體設(shè)計(jì)過程中應(yīng)遵循下列9源共享性使單純的技術(shù)保護(hù)防不勝防。攻擊者使用的“最安全威脅進(jìn)行分析，評估與檢測(包含模擬攻擊)是設(shè)計(jì)信息安全系統(tǒng)的必要前沒有絕對的評判標(biāo)準(zhǔn)與衡量指標(biāo)，只能決定于系統(tǒng)的用戶需求與具體的應(yīng)用環(huán)7)等級性原則級(安全子網(wǎng)與安全區(qū)域),對系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層8)動(dòng)態(tài)進(jìn)展原則障，則網(wǎng)絡(luò)造成不可用等高危事故，因此網(wǎng)絡(luò)設(shè)備的安全保護(hù)是安全網(wǎng)絡(luò)的安全系統(tǒng)在園區(qū)網(wǎng)內(nèi)建立起網(wǎng)絡(luò)通信防護(hù)體系，對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實(shí)時(shí)監(jiān)控，偵測并隔離危險(xiǎn)網(wǎng)絡(luò)行為。建立全網(wǎng)立體防御ARP欺騙功能，從可能遭受用戶隔離在內(nèi)網(wǎng)大門之外。,對每一個(gè)試圖對接入本方案結(jié)合企業(yè)內(nèi)認(rèn)證系統(tǒng)與業(yè)界企業(yè)使用與推薦的較為成熟先進(jìn)的安全硬件保護(hù)CPP功能早期只是作為某些單一功能出現(xiàn)的，如ARPcheck,IPsysguard,類是作為保護(hù)基礎(chǔ)協(xié)議的BPDU、GVRP與VRRP,堆疊中的管理報(bào)文，通過對這些報(bào)文的分級處理，確定優(yōu)先關(guān)系，確保在CPU2.NFPP-基礎(chǔ)網(wǎng)絡(luò)保護(hù)策略(NetworkFoundationProtectionPolicy)SysGuard等等),通過這些功能模塊自行建立攻擊檢測與保護(hù)的機(jī)網(wǎng)絡(luò)開發(fā)出一套完整的網(wǎng)絡(luò)基礎(chǔ)保護(hù)體系，稱之為基礎(chǔ)網(wǎng)絡(luò)保護(hù)策略(Network報(bào)文通路的帶寬，導(dǎo)致正常的操縱流與管理流無法達(dá)到CPU,從而帶來協(xié)議振蕩擇相應(yīng)功能，即能夠選擇打開ARP防攻擊功能而關(guān)閉ICMP防攻擊功能。針對企業(yè)外需要訪問企業(yè)內(nèi)資源的差旅人員，本方案設(shè)計(jì)了使用專用千兆認(rèn)證方式，該類型用戶在企業(yè)內(nèi)能夠使用802.1x,企業(yè)外選擇無客戶端的驗(yàn)，比如有線1X認(rèn)證中的用戶IP、MAC、NASIP等；無線1X接入的APMAC等園區(qū)網(wǎng)主機(jī)防護(hù)體系能夠?qū)崿F(xiàn)多種用戶主機(jī)防護(hù)的內(nèi)容，用戶在完成了身份認(rèn)證與主機(jī)端點(diǎn)防護(hù)之后，絡(luò)中的行為依然受到安全系統(tǒng)全局安全網(wǎng)絡(luò)系統(tǒng)的管理與規(guī)范。通過后臺服務(wù)數(shù)據(jù)，已經(jīng)成為企業(yè)信息化建設(shè)中最寶貴的資構(gòu)，使用虛擬化引擎與FC光纖陣列共同實(shí)通過出口日志審計(jì)系統(tǒng)，能夠全面記錄五元組流日志、NAT轉(zhuǎn)換日志、URL務(wù)必遵循標(biāo)準(zhǔn)的統(tǒng)一性，所使用的各項(xiàng)技術(shù)務(wù)必與國際主流標(biāo)準(zhǔn)協(xié)議相一3)完善的安全措施XX企業(yè)園區(qū)網(wǎng)建成后的無線網(wǎng)絡(luò)務(wù)必完全融合進(jìn)該認(rèn)證系統(tǒng)中，針對不一所有功能與管理的模式保持不便。即便是未來的802.11n無線技術(shù)的成熟之后，XX企業(yè)設(shè)計(jì)的無線網(wǎng)絡(luò)的無線接入點(diǎn)規(guī)模較大，且均分布于各個(gè)樓棟的天11)靈活的部署方式室內(nèi)區(qū)域(需要設(shè)計(jì)圖或者者地勘)●教學(xué)樓(根據(jù)預(yù)算選擇性部署)室外區(qū)域(需要設(shè)計(jì)圖或者者地勘)于Web的認(rèn)證與基于802.1x的認(rèn)證方式。在規(guī)劃時(shí)，考慮到用戶的訪無線用戶(瀏覽器)網(wǎng)關(guān)無線用戶(瀏覽器)網(wǎng)關(guān)(認(rèn)證體)(無線接入)發(fā)起數(shù)據(jù)訪問通過分布式聯(lián)動(dòng)的web認(rèn)證，不但能夠連續(xù)原有的web認(rèn)證方式，對用戶完在目前面向行業(yè)級的WLAN產(chǎn)品的安全技術(shù)中，越來越強(qiáng)調(diào)單機(jī)安全策略的SSID(無線標(biāo)識符)是用于無線終端與接入點(diǎn)匹配以獲得通信的明文密碼，特別是啟用了目前先進(jìn)的SSID廣播禁止功能之后，由于空中不再廣播明文的會(huì)議室等室內(nèi)區(qū)域無線規(guī)劃AP的覆蓋理論范圍為100-200為半徑的圓，與60-100個(gè)人的并發(fā)上網(wǎng)，來選擇無線的AP數(shù)。辦公區(qū)室內(nèi)結(jié)構(gòu)圖防盜門防盜門防盜門防盜門防盜門防盜門樓梯樓梯防盜門一防盜門防盜門辦公室說明：根據(jù)各區(qū)域的實(shí)際規(guī)模與大小，部署相應(yīng)的AP數(shù)。同時(shí)考慮到一個(gè)AP的覆蓋理論范圍為100-200為半徑的圓，與60-100個(gè)人的并發(fā)上網(wǎng)，來選擇無線的AP數(shù)。1.8.4無線網(wǎng)絡(luò)建設(shè)后的目標(biāo)企業(yè)無線園區(qū)網(wǎng)將來建成后，將會(huì)躋身于全國無線園區(qū)網(wǎng)的先進(jìn)行列，極大地提供企業(yè)的信息化建設(shè)水平與業(yè)界的地位。要緊如下：無線辦公——提高辦公自動(dòng)化效率考慮到XX企業(yè)教職工筆記本擁有的數(shù)量越來越多，且是一個(gè)趨勢。而無線辦公能夠就能夠真正發(fā)揮出筆記本便利的優(yōu)勢，人們能夠在園區(qū)的任何地方進(jìn)行無線辦公，甚至在辦公桌有有線的情況下，也不用插拔網(wǎng)線了，打開電腦即可連接入網(wǎng)絡(luò)，通過認(rèn)證，隨時(shí)查詢資料。從而將辦公的效率與便利性大大提高。無線災(zāi)備——地震、火災(zāi)等應(yīng)急網(wǎng)絡(luò)系統(tǒng)關(guān)于2008中期發(fā)生的四川大地震我們經(jīng)歷猶新，網(wǎng)絡(luò)關(guān)于我們熟悉及時(shí)的關(guān)于本次企業(yè)規(guī)模如此龐大的無線網(wǎng)絡(luò)來說，管理是非常重要的情況。從因此，本方案中的智能無線交換機(jī)產(chǎn)品能夠充分發(fā)揮集中管理功能，對全單引擎交換容量單引擎包轉(zhuǎn)發(fā)能力每插槽帶寬IPv4協(xié)議IPv6協(xié)議硬件支持IPv6流量分析統(tǒng)計(jì)功能支持NetFlow流量統(tǒng)計(jì)與分析功能軟件可靠性支持基于源MAC地址、目的MAC(MediumAccessControl)地址、源IP地址、目的IP地址、端口、協(xié)議、VLAN等內(nèi)容的L2(Layer2)~L4(Layer4)包過濾功能優(yōu)先級隊(duì)列調(diào)度：支持擁塞避免，支持802.1P,DSCP/TOS優(yōu)先級與重新標(biāo)記能力；支持基于時(shí)間段的流分類與QoS操縱能力虛擬化支持2臺交換機(jī)虛擬為一臺功能，即一個(gè)IP地址管理，共鏈路捆綁交換機(jī)智能義腳本程序，并發(fā)出告警。無需人員干預(yù)支持GRE封裝，以滿足跨路由環(huán)境的遠(yuǎn)程端口鏡像交換機(jī)智能IPSLA測量結(jié)果后，自動(dòng)調(diào)用腳本程序，實(shí)現(xiàn)智能管理、智能響應(yīng)帶寬操縱支持帶寬操縱，操縱粒度<=8Kbps單臺設(shè)備配置要求主機(jī)引擎2個(gè)、10個(gè)千兆電口、4個(gè)10G光口、雙電源冗余交換容量路由數(shù)量支持基于端口的VLAN,支持基于MAC的VLAN,設(shè)備發(fā)現(xiàn)協(xié)議支持LLDP設(shè)備發(fā)現(xiàn)標(biāo)準(zhǔn)支持基于源MAC地址、目的MAC(MediumAcce址、源IP地址、目的IP地址、端口、協(xié)議、VLAN等內(nèi)容的L2(Layer2)~L4(Layer4)包過濾功能；優(yōu)先級隊(duì)列調(diào)度：支持擁塞避免，支持802.1P,DSCP/TOS優(yōu)先級與新標(biāo)記能力；支持基于時(shí)間段的流分類與QoS操縱能力組播協(xié)議支持IGMP、IGMPSnoopingv3協(xié)議支持DHCPCLIENT/DHCPSNOOPING/D設(shè)備管理支持WEB網(wǎng)管，支持NTP,圖形化管理；支持電纜檢測功能及單向鏈路檢測功能單臺設(shè)備配置要求主機(jī)引擎2個(gè)、24個(gè)千兆電口、24個(gè)千兆光口、5個(gè)10G光口、類型48個(gè)千兆電口，4個(gè)千兆光/電復(fù)用口；24個(gè)千兆電口，2個(gè)千兆光/電復(fù)用口；交換容量48端口交換機(jī)>=136Gbps24端口交換機(jī)>=96Gbps轉(zhuǎn)發(fā)性能48端口交換機(jī)>=100Mpps24端口交換機(jī)>=65Mpps板載內(nèi)存支持基于端口的VLAN,支持基于MAC的VLAN,裝支持基于源MAC地址、目的MAC(MediumAcce址、源IP地址、目的IP地址、端口、協(xié)議、VLAN等內(nèi)容的L2(Layer2)~L4(Layer4)包過濾功能；支持DHCPCLIENT/DHCPSNOOPING/D設(shè)備管理支持WEB網(wǎng)管，支持NTP,圖形化管理；用戶數(shù)無限制防火墻吞吐率不小于1250Mbps并發(fā)連接不小于500,000個(gè)虛擬防火墻支持2個(gè)虛擬防火墻，可實(shí)現(xiàn)硬件資源(內(nèi)存，CPU)的分配功能性支持組播與IPv6環(huán)境范圍工作溫度儲藏/運(yùn)輸溫度相對濕度(無凝聚)0℃~+60℃-20℃~+70℃電源供應(yīng)支持多種冗余供電方式保護(hù)等級工業(yè)IP等級IP20工業(yè)與通訊標(biāo)準(zhǔn)：工業(yè)抗干擾標(biāo)準(zhǔn)工業(yè)可編程邏輯操縱器標(biāo)準(zhǔn)電訊設(shè)備射頻特性標(biāo)準(zhǔn)電訊設(shè)備安全標(biāo)準(zhǔn)(ITE)鐵路應(yīng)用一EMC-信號與通信系統(tǒng)抗干擾標(biāo)準(zhǔn)EN50121-4:2000聯(lián)邦管理法(射頻限制要求)FCCCFR-47Part15ClassA:2003局域與城域網(wǎng)標(biāo)準(zhǔn)IEEE802.3人身保險(xiǎn)試驗(yàn)公司：安全標(biāo)準(zhǔn)工業(yè)操縱設(shè)備安全標(biāo)準(zhǔn)EMC電磁兼容系性抗干擾標(biāo)準(zhǔn)靜電釋放試驗(yàn)標(biāo)準(zhǔn)電磁場交變試驗(yàn)標(biāo)準(zhǔn)電磁瞬態(tài)試驗(yàn)標(biāo)準(zhǔn)電壓涌浪沖擊試驗(yàn)標(biāo)準(zhǔn)接觸放電：3級試驗(yàn)(6kV)空氣