IT基礎架構規劃方案一(網路系統規劃)
背景
某集團經過多年的經營,公司業務和規模在不斷髮展,公司管理層和IT部門也認識到通過資訊化手段可以更好地支撐公司業務運營、提高企業生產和管理效率。同時隨著新建辦公大樓、研發大樓和廠房的落成,IT部門也需要對整個集團的資訊化和企業IT基礎架構進行規劃和建設。目前主要分為以下兩部分:
樓宇智慧化規劃和建設方案:主要包括視訊監控、門禁系統、語音和資料節點規劃和佈線、CATV、大螢幕電子顯示屏、機房建設等。
企業IT基礎架構規劃和解決方案:主要包括企業區域網基礎網路拓撲規劃和網路裝置選型、網際網路接入和VPN接入、IT硬體部署和選型、企業IT資訊化基礎軟體系統規劃和選型等。
本方案主要是針對某集團企業IT基礎架構進行規劃,並提出解決方案和進行投資預算。而關於樓宇智慧化規劃和建設的方案參見其它相關方案。
企業IT架構
一般企業的IT架構情況,本方案主要針對IT基礎架構部分進行規劃,並提供選型和部署參考,關於企業IT業務應用系統部分的規劃和建設請參考其它方案。
網路系統規劃
當前,企業一般能給資訊化方面投入有限。除了人力有限,還缺少專業人才,應用能力、維護能力、開發能力、實施能力等都普遍較弱,這就要求網路架構成熟、穩定安全、高可靠、高可用,儘可能少投入人力和金錢進行維護。其次,由於企業首要解決的是生存問題,根本沒辦法做到“先資訊化,再做業務”,因此網路建設實施要求必須容易,實施時間必須極短。
企業的組網方案主要要素包括:區域網、廣域網連線、網路管理和安全性。具體來說企業組網需求:
Ø 建立安全的網路架構,總部與分支機構的網路連線;
Ø 安全網路部署,確保企業正常執行;
Ø 為出差的人員提供IPSec或者SSL的VPN方式;
Ø 提供智慧管理特性,支援瀏覽器圖形管理;
Ø 網路設計便於升級,有利於投資保護。
企業一般的組網結構如下圖,大企業網路核心層一般採用冗餘節點和冗餘線路的拓撲結構,小企業則單線路的連線方式。
通過對一般企業的資訊化情況和網路規劃要素進行分析,從總體上看,規劃方案必須具有以下特點:
Ø 網路管理簡單,採用基於易用的瀏覽器方式,以直觀的圖形化介面管理網路。
Ø 使用者可以採用多種的廣域網連線方式,從而降低廣域網鏈路費用。
Ø 無線接入點覆蓋範圍廣、配置靈活,方便移動辦公。
Ø 便捷、簡單的統一通訊系統,輕鬆實現互動式工作環境。
Ø 頻寬壓縮技術,高階QoS的應用,有效降低廣域網鏈路流量。
Ø 隨著公司業務的發展,所有網路裝置均可在升級原有網路後繼續使用,有效實現投資保護。
Ø 系統安全,保密性高,應用了適合企業的低成本網路安全解決方案。
安全基礎網路規劃方案
根據對某集團的實際調研,獲取了企業的網路需求,以此來制定企業基礎網路建設規劃方案和網路裝置選型參考;以下提供基礎版和企業版兩種規劃方案
1) 網路需求:
企業規劃的網路節點為500個,主要的網路需求首先是資源共享,網路內的各個桌面使用者可共享檔案伺服器/資料庫、共享印表機,實現辦公自動化系統中的各項功能;其次是通訊服務,終端使用者通過廣域網連線可以收發電子郵件、實現Web應用、接入網際網路、進行安全的廣域網訪問;還有就是公司入口網站和網路通訊系統(企業郵箱、企業即時通訊和企業簡訊平臺等)的建立。
2) 基礎版規劃方案
本方案適用於200~300臺電腦聯網,核心採用H3C S5500-28C-SI或S5500-20TP-SI交換機,以千兆雙絞線/光纖與接入交換機及伺服器連線;使用者接入H3C S3100-26TP-SI或S3100-52TP-SI交換機,千兆銅纜/光纖上連核心交換機。Internet出口採用H3C MSR20-1X多業務路由器作為Internet出口路由、Secpath F1000-C或者UTM作為安全閘道器和移動使用者的VPN接入閘道器。網路拓撲圖如下:
裝置選型和部署參考如下:
| 業務 | 需求 | 裝置選型參考 | 配置說明 | 數量 | 部署位置 |
| 資料 | 核心交換機 | H3C S5500-28C-SI 或H3C S5500-20TP-SI | 全千兆三層核心 | 1 | 核心機房 |
| 接入層交換機 | H3C S3100-26TP-SI 或H3C S3100-52TP-SI | 接入層支援光電覆用千兆上行, 支援混合堆疊 | 26TP:15臺 52TP:8臺 | 各樓層或機房 | |
| 路由器 | H3C MSR20-1x路由器 | 轉發率160Kpps,256M 記憶體,支援GE/FE交換模組,同異步串列埠模組,E1/PRI模組,語音模組,加密模組 | 1~2 | 核心機房 | |
| 安全 | 防火牆 | H3C SecPath F1000-C或H3C SecPath U200 | 支援應用層報文過濾 | 1 | 核心機房 |
| VPN | 支援DVPN | ||||
| 網際網路接入 | 10M光纖接入 | 電信10M光纖接入 | 配靜態IP地址 | 1~2 | 核心機房 |
方案特點:
Ø 高性價比:能夠讓中小企業低投資擁有高效能、經濟的網路;
Ø 簡易性:結構簡單、安裝快速、簡單,維護無需配置專職人員;
Ø 高效能:最低投資做到千兆骨幹、百兆接入;
Ø 可擴充套件性:靈活的網路架構,能根據使用者需要隨時擴充套件,並保護已有投資。
3) 高階版規劃方案:
本方案適用於500~800臺電腦聯網,三層網路結構,萬兆骨幹,百兆接入;網路核心層採用H3C S7500交換機,同時配置相應數量的千兆埠分別連線應用伺服器、接入交換機及其他裝置;網路匯聚層採用H3C S5500-28C-SI,獨有智慧堆疊系統可實現高密度千兆埠接入,擁有96 Gbps的全雙工堆疊頻寬,消除網路瓶頸,提供優於傳統中繼聚合配置的更好的可用性和彈性;接入層可選擇H3CS3100-26TP-SI或S3100-52TP-SI交換機,千兆銅纜/光纖上連核心交換機,或H3C S5100-16/24/48P-SI全千兆交換機,千兆到桌面。網路拓撲圖如下:
裝置選型和部署參考如下:
| 業務 | 需求 | 裝置選型參考 | 配置說明 | 數量 | 部署位置 |
| 資料 | 核心交換機 | H3C S7500(E)系列 | 核心支援雙引擎雙電源,價效比最高 | 1 | 核心機房 |
| 匯聚層交換機 | H3C S5500-28C-SI | 匯聚支援全千兆高速轉發,消除網路瓶頸,同時支援萬兆擴充套件 | 3 | 各樓層或機房 | |
| 接入層交換機 | H3C S3100-26/52TP-SI 或 H3C S5100-16/24/48P-SI | 接入層根據不同業務需求提供百兆和千兆接入兩種選擇 | 52TP:10臺 | 各樓層或機房 | |
| 路由器 | H3C MSR50-06路由器 | H3C新一代安全路由器 | 1~2 | 核心機房 | |
| 安全 | 防火牆 | H3C SecPath F1000-C | 支援應用層報文過濾 | 1 | 1 |
| VPN | 支援DVPN | ||||
| 網際網路接入 | 20M~50M光纖接入 | 電信20M~50M光纖接入 | 配靜態IP地址 | 1~2 | 核心機房 |
方案特點:
Ø 高效能,全分散式交換網路;
Ø 高可靠,無間斷的通訊環境;
Ø 靈活彈性的網路擴充套件能力;
Ø 高效率的網路頻寬利用率;
Ø 全面的QOS部署,多業務融合;
Ø 完善的網路安全策略,實現深度安全檢測,抵禦未知風險。
安全無線網路規劃方案
無線網路的部署,能夠增大員工接入網路的範圍,提供更大的上網便利性--無論是在辦公室、會議室還是在空間複雜的車間,員工都能與網路保持連線,隨時隨地訪問企業資源,而且可以簡化場所的網路佈線。安全無線網路解決方案不但能提高員工的生產效率和協作能力,也能為合作伙伴/ 客戶提供方便的上網服務。根據企業情況,可以採用FAT AP方案:
1) 無線網路需求:
能夠獲得較高的使用者接入速率,構建便利的移動辦公環境,實現企業的行動網路辦公,成本投入不高,適合簡單、小規模的無線部署。
2) 規劃方案:
採用WA1208E+iMC+CAMS進行組網,配合CAMS實現802.1x的認證,可以實現基於時長、流量和包月的計費;整網通過iMC統一管理。網路拓撲圖如下:
裝置選型和部署參考如下:
| 業務 | 需求 | 裝置選型參考 | 配置說明 | 數量 | 部署位置 |
| 無線 | 無線接入 | WA1208E | 雙802.11g無線模組 | 8 | 各樓層 |
| 無線安全 | H3C CAMS | 滿足使用者管理、身份認證、許可權控制和計費的要求 | 1 | 核心機房 | |
| 無線管理 | H3C iMC網管系統 | 支援與HP Openview、SNMPc等通用網管平臺的整合 | 1 | 核心機房 |
方案特點:
Ø 全面支援802.11i安全機制、802.11e QoS機制、802.11f L2切換機制;
Ø 大範圍覆蓋:高接收靈敏度,達到-97dBm(普通AP-95dBm),保證更遠覆蓋;
Ø 多VLAN支援:虛擬AP方式支援多VLAN,最多支援8個虛擬SSID的VLAN劃分,每個VLAN使用者可以獨立認證;
Ø 兼作網橋使用:WDS模式支援PTP、PTMP工作模式;支援連線速率鎖定、傳輸報文整合,提高傳輸效率;
Ø 負載均衡:支援基於使用者數的負載均衡、基於流量的負載均衡;
Ø 針對各類室外、特殊室內應用如倉庫等複雜環境,可以提供專門的型號。
廣域網互聯VPN規劃方案
伴隨企業和公司的不斷擴張,公司分支機構及客戶群分佈日益分散,合作伙伴日益增多,越來越多的現代企業迫切需要利用公共Internet資源來進行促銷、銷售、售後服務、培訓、合作及其它諮詢活動,這為VPN的應用奠定了廣闊市場。在VPN方式下,VPN客戶端和設定在內部網路邊界的VPN閘道器使用隧道協議,利用Internet或公用網路建立一條“隧道”作為傳輸通道,同時VPN連線採用身份認證和資料加密等技術避免資料在傳輸過程中受到偵聽和篡改,從而保證資料的完整性、機密性和合法性。通過VPN方式,企業可以利用現有的網路資源實現遠端使用者和分支機構對內部網路資源的訪問,不但節省了大量的資金,而且具有很高的安全性。
另外,隨著企業規模的擴大,分散辦公也越來越普遍,如何實現小型分支、出差員工、合作伙伴的遠端網路訪問也被越來越多的企業關注。從成本、易用性、易管理等多方面綜合考慮,SSL VPN無疑是一種最合適的方案:只需要在總部部署一臺裝置,成本更低,管理維護也很容易;無需安裝客戶端、無需配置,登陸網頁就能使用。
1) 網路需求
1IPSec VPN和SSL VPN各有所長,功能互補,對企業來說都是需要的:IPSec VPN用於總部和中大型分支互連,SSL VPN用於為小型分支、合作伙伴、出差人員提供遠端網路訪問。但傳統方法下,企業總部需要採購兩臺裝置來支援兩種VPN,不僅成本更高,而且可能存在VPN策略衝突,導致效能下降、管理困難。
2) 規劃方案
融合VPN針對企業的實際需要,一臺裝置融合IPSec / SSL兩種VPN,只需部署在總部,既可以用於為合作伙伴、出差人員提供遠端網路訪問,也可以和分支機構進行IPSec VPN互連,幫助企業降低採購、部署、維護三方面成本。
VPN閘道器選擇方面,H3C的防火牆、路由器都能夠實現融合VPN,提供給企業更加靈活的選擇。例如,如果企業非常強調網路安全、VPN效能,就選擇防火牆;如果企業更注重多業務處理能力,如IP語音通訊、3G上網、無線接入等,推薦選擇路由器。
在總部區域網Internet邊界防火牆後面配置一臺或兩臺雙機熱備的VPN閘道器,在分支機構Internet邊界防火牆後面配置一臺VPN閘道器,由此兩端的VPN閘道器建立IPSec VPN隧道,進行資料封裝、加密和傳輸;另外,通過總部的VPN閘道器提供SSL VPN接入業務;在總部區域網資料中心部署H3C VPN Manager元件,實現對VPN閘道器的部署管理和監控;在總部區域網內部或Internet邊界部署H3C BIMS系統,實現對分支機構VPN閘道器裝置的自動配置和策略部署。如下圖:
裝置選型和部署參考如下:
| 業務 | 需求 | 裝置選型參考 | 配置說明 | 數量 | 部署位置 |
| 網路互連 | VPN閘道器 | H3C SecPath F1000VPN閘道器 H3C SecPath F100 VPN閘道器 或 H3C MSR50 路由器 H3C MSR20-1X 路由器 | 總部和大型機構配置F1000型號 中小型機構配置F100型號 | 總部1臺 分支機構按需求配置 | 核心機房 |
| 網路管理 | H3C VPN Manager H3C BIMS | 幫助使用者部署、管理VPN網路 | 1 | 核心機房 |
如果省內分支機構較多、較分散,但對速率要求不高的連鎖型單位,也可以選用電信或ISP商的VPDN服務;
如果多個分支機構間有多點對多點通訊需求的企業、商業機構,也可以直接選用電信或ISP商的MPLS VPN服務。
網路效能指標要求
| 型別 | 頻寬要求 | 線路質量要求 |
| 區域網 | 客戶端到伺服器:10Mb以上,推薦100Mb 各伺服器之間:200M以上,推薦1000Mb | 丟包率小於0.1% 延遲小於20ms |
| 廣域網 | 分支機構頻寬:每客戶端128Kb 總部出口頻寬:(最大併發數/3)×128Kb 總部伺服器之間:200M以上,推薦1000Mb | 丟包率小於2% 延遲小於50ms |
網路安全規劃
網路安全是整個系統安全執行的基礎,是保證系統安全執行的關鍵。網路系統的安全需求包括以下幾個方面:
Ø 網路邊界安全需求
Ø 入侵監測與實時監控需求
Ø 安全事件的響應和處理需求分析
這些需求在各個應用系統上的不同組合就要求把網路分成不同的安全層次。
我們針對企業網路層的安全策略採用硬體保護與軟體保護,靜態防護與動態防護相結合,由外向內多級防護的總體策略。
根據安全需求和應用系統的目的,整個網路可劃分為六個不同的安全層次。具體是:
Ø 核心層:核心資料庫;
Ø 安全層:應用資訊系統中介軟體伺服器等應用;
Ø 基本安全層:內部區域網使用者;
Ø 可信任層:公司本部與營業部網路訪問介面;
Ø 危險層:Internet。
資訊系統各安全域中的安全需求和安全級別不同,網路層的安全主要是在各安全區域間建立有效的安全控制措施,使網間的訪問具有可控性。具體的安全策略如下:
核心資料庫採用物理隔離策略
應用系統採用分層架構方式,客戶端只需要訪問中介軟體伺服器即可進行日常業務處理,從物理上不能直接訪問資料庫伺服器,保障了核心層資料的高度安全。
應用系統中介軟體伺服器採取綜合安全策略:
應用系統中介軟體的安全隱患主要來自區域網內部,為了保障應用系統中介軟體服務的安全,在區域網中可通過劃分虛擬子網對各安全區域、使用者和安全域間實施安全隔離,提供子網間的訪問控制能力。同時,中介軟體伺服器本身可以通過配置相應的安全策略,限定經過授權的工作站、使用者方能訪問系統服務,保障了中介軟體伺服器的安全性;
內部區域網採取資訊保安策略:
公司本部及營業部內部區域網處於基本安全層的網路,主要是對於安全防護能力較弱的終端使用者在使用,因此考慮的重點在於兩個方面,一個是客戶端的病毒防護,另一個是防止內部敏感資訊的對外洩露。因此,通過選用網路防毒軟體達到內部區域網的病毒防護,同時,使用專用網路安全裝置(如硬體防火牆)建立起有效的安全防護,通過訪問控制ACL等安全策略的配置,有效地控制內部終端使用者和外部網路的資訊交換,實現內部區域網的資訊保安。
公司本部與下屬機構之間網路介面採取通訊安全策略:
處於可信任層的網路,其安全主要考慮各下屬單位上傳的業務資料的保密安全,因此,可採用資料層加密方式,通過硬體防火牆提供的VPN隧道進行加密,實現關鍵敏感性資訊在廣域網通訊通道上的安全傳輸。
Internet採取通訊加密策略:
Internet屬於非安全層和危險層,由於Internet存在著大量的惡意攻擊,因此考慮的重點是要避免涉密資訊在該層次中的流動。通過硬體防火牆提供專業的網路防護能力,並對所有訪問請求進行嚴格控制,對所有的資料通訊進行加密後傳輸。
同時,建議設定嚴格的機房管理制度,嚴禁非授權的人員進入機房,也能夠進一步提升整個網路系統的安全。
1) 廣域網安全規劃
企業廣域網安全,主要是通過防火牆和VPN等裝置或技術來保障。
防火牆對流經它的網路通訊進行掃描,能夠過濾掉一些攻擊,防火牆還可以關閉不使用的埠,防火牆具有很好的保護作用,入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機,所以出於安全考慮,企業必須購置防火牆以保證其伺服器安全,將應用系統伺服器放置在防火牆內部專門區域。一般硬體防火牆比軟體防火牆的效能更好,建議選擇企業級的硬體防火牆,硬體防火牆市場知名度高的品牌有CISCO、Check Point、Juniper、H3C、天融信、華為賽門鐵克、聯想網禦等,使用者應根據應用情況選擇合適的防火牆。
VPN 即虛擬專用網(Virtual Private Networks) 提供了一種通過公共非安全介質(如Internet)建立安全專用連線的技術。使用VPN技術,甚至機密資訊都可以通過公共非安全的介質進行安全傳送。VPN技術的發展與成熟,可為企業的商業運作提供一個無處不在的、可靠的、安全的資料傳輸網路。VPN通過安全隧道建立一個安全的連線通道,將分支機構、遠端使用者、合作伙伴等和企業網路互聯,形成一個擴充套件的企業網路。
VPN基本特徵:
Ø 使企業享受到在專用網中可獲得的相同安全性、可靠性和可管理性。
Ø 網路架構彈性大——無縫地將Intranet延伸到遠端辦事處、移動使用者和遠端工作者。
Ø 可以通過Extranet連線企業合作伙伴、供應商和主要客戶(建立綠色資訊通道),以提高客戶滿意度、降低經營成本。
VPN實現方式:
Ø 硬體裝置:帶VPN功能模組的路由器、防火牆、專用VPN硬體裝置等,如Cisco、H3C、深信服、天融信等。
Ø 軟體實現:Windows 自帶PPTP或L2TP、第三方軟體(如CheckPoint、深信服等)。
Ø 服務提供商(ISP):中國電信、聯通、網通等。目前一些ISP推出了MPLS VPN,線路質量更有保證,推薦使用。
2)內網安全規劃
企業內網安全系統包括防病毒系統、內網安全管理系統,上網行為管理系統等。
防病毒系統可以採用網路版防病毒系統或防毒牆等產品(比如金山、瑞星、卡巴斯基等解決方案)。
內網安全系統和上網行為管理系統可以選擇深信服、任子行、IP-guard等解決方案,企業可以通過部署內網安全系統實現研發網和商業資訊的資訊安全防範工作。對於研發網的資訊保安、資料集中儲存和計算資源的統一協調配置,可以通過部署企業桌面虛擬化解決方案來實現。
如有想了解更多軟體,系統 IT,企業資訊化 資訊,請關注我的微信訂閱號:
![MegadotnetMicroMsg_thumb1_thumb1_thu[2]](https://images0.cnblogs.com/blog/15172/201503/211054051419485.jpg "MegadotnetMicroMsg_thumb1_thumb1_thu[2]")
作者:Petter Liu
出處:http://www.cnblogs.com/wintersun/
本文版權歸作者和部落格園共有,歡迎轉載,但未經作者同意必須保留此段宣告,且在文章頁面明顯位置給出原文連線,否則保留追究法律責任的權利。
該文章也同時釋出在我的獨立部落格中-Petter Liu Blog。