新技术 新方案 国内专业音视频 视频会议 融合通信云协作 整体系统解決方案专家 13984892009
[productname]
首頁 > 整体弱电解決方案 > 详细内容
專業音響舞台燈光會議系統公共廣播周邊設備

网络工程解決方案

來源:/news/160.html 發表日期:2020-06-17
企業网络工程解決方案 
一、企業网络设计

   (1)主干网设计
    采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽,基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理,具有良好的价格比。
傳輸介質。千兆傳輸距離500m以內采用50/125多模光纜;千兆傳輸距離大于500m、小于5000m時采用9/125單模光纜;百兆傳輸距離2000m以內采用50/125多模光纜;百兆傳輸距離大于2000m采用9/125單模光纜。
交換機。主幹交換機的基本要求:機箱式結構,便于擴展;支持多種網絡方式,如快速以太網、千兆以太網等;高性能,高背板帶寬及中心交換吞吐量;支持第二、第三交換,支持各種IP應用;高可靠性設計,如多電源/管理模塊、熱插拔;豐富的可管理能力等。
中心机房配置企業级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接,服务器采用双网卡链路聚合200Mbps连接,客户采用交换式10/1000Mbps连接。

(2)樓宇內局域網設計
要求采用支持802.1Q的10/100Mbps工作組以太網交換機,交換機的數據依據用戶端口數、可靠性及網管要求配置網絡接入交換機,使10/100Mbps流量接至桌面。
(3)接入Internet設計
Internet接入系統由位于網絡中心的非軍事區(DMZ)交換機、WWW服務、E-mail服務、防火牆、路由器、Internet光纖接入組成。
(4)虛擬局域網VLAN設計
通過VLAN將相同業務的用戶劃分在一個邏輯子網內,既可以防止不同業務的用戶非法監聽保密信息、又可隔離廣播風暴。不同子網的通信采用三層路由交換完成。
各工作組交換機采用基于端口的VLAN劃分策略,劃分出多個不同的VLAN組,分隔廣播域。每個VLAN是一個子網,由子網中信息點的數量確定子網的大小。
同樣在千兆/百兆以太網上聯端口上設置802.1Q協議,設置通信幹道(Truck),將每個VLAN的數據流量添加標記,轉發到主幹交換機上實現網絡多層交換。
(5)虛擬專用網VPN設計
如果公司跨地区经营,自己铺设专线不划算,可以通过Internet采用VPN数据加密技术,构成企業内部虚拟专用网。
(6)網絡拓撲結構。這部分待續

二、網絡安全性設計

網絡系統的可靠與安全問題:
a. 物理信息安全,主要防止物理通路的损坏和对物理通路的攻击(干扰等)。
b. 链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN、加密通信等手段。
c. 网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
d. 操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
e. 应用平台的安全要求保证应用软件服务,如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。
(1)物理安全
機房要上鎖,出入人員要嚴加限制。注意不可讓人從天花板、窗戶進入房間。
機房電力要充足、制冷要合適,環境要清潔。
從工作站到配線櫃的配線應該布在偷聽設備接觸不到的地方。配線不應該直接布在地板或天花板上,而應該隱藏在線槽或其他管道裏。
應該包括諸如火災、水災等自然災害後的恢複流程。如美國911世貿中心崩塌,大多數公司的數據得不到恢複。
(2)防火牆
防火墙应具管理简单、功能先进等特点,并且能够保证对所有系统实施“防弹”保护。 一个优秀的防火墙具有内网保护、灵活的部署、非军事区(DMZ)范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。
(3)網絡病毒
在网络中心主机安装一台网络病毒控制中心服务器,该服务器既要与Internet相连,又要与企業内网相连。该服务器通过Internet每每更病毒代码及相关文件,企業内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下,更新本机的病毒代码库及相文件,对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略,以确保网络系统安全。
(4)網絡容錯
集群技術。一個服務器集群包含多台擁有共享數據存儲空間的服務器,各服務器之間通過內部局域網進行相互通信。當其中一台服務器發生故障時,它所運行的應用程序將由其他的服務器自動接管。在大多數情況下,集群中所有的計算機都擁有一個共同的名稱,集群系統內任意一台服務器都可被所有的網絡用戶所使用。
(5)安全備份與災難恢複
企業信息管理最重要的资产不是网络硬件,而是网络运行的数据。
理想的備份系統是在軟件備份的基礎上增加硬件容錯系統,使網絡更加安全可靠。實際上,備份不僅僅是文件備份,而是整個網絡的一套備份體系。備份應包括文件備份和恢複,數據庫備份和恢複、系統災難恢複和備份任務管理。
(6)網絡入侵檢測、報警、審計技術
入侵检测系统(IDS-Intrusin Detection System)执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
常見的IDS産品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啓明星辰公司的天阗、上海金諾的網安、東軟的網眼等。
(7)局域網信息的安全保護技術
密碼采用9位以上,每周修改1次
采用多層交換網絡的虛擬網劃分技術,防止在內部網監聽數據
采用NTFS磁盤分區加密技術,使網上鄰居只能是信任用戶
采用Windows域控制技術,對網絡資源實行統一管理
采用SAN(Storage Area Network存储区域网络)与NAS(Network Attached Storage网络连接存储)保护数据。
SAN技術允許將獨立的存儲設備連接至一台或多台服務器,專用于服務器,而服務器則控制了網絡其他部分對它的訪問。
NAS將存儲設備直接連接至網絡,使網絡中的用戶和網絡服務器可以共享此設備,網絡對存儲設備的訪問則由文件管理器這一類設備進行管理。
利用SAN結合集群技術提高系統可靠性、可擴充性和抗災難性;利用NAS文件服務統一存放管理全公司桌面系統數據。
(8)網絡代理
采用Proxy對訪問Internet實行統一監控。限制用戶訪問的時間、訪問的內容、訪問的網址、訪問的協議等等,同時對用戶的訪問進行審計。
(9)郵件過濾技術。
采用具有過濾技術郵件管理系統,一般是針對“主題詞”、“關鍵字”、“地址(IP、域名)”等信息過濾,防止非法信息的侵入。
(10)重視網絡安全的教育,提高安全意識。

三、綜合布線與機房設計

1. 把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房,把各子系统的配线柜设置在各子系统所在的楼层。

2. 楼宇间光缆敷设

采用4芯以上的單模或多模室外金屬光纜架空或埋地敷設。
3. 楼宇内UTP布线

采用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實現垂直系統、水平子系統、工作區的布線。

4. 机房装修

(1)地板。鋪設抗靜電三防地板,規格600*600*27,板面標高0.20m,地板應符合GB6650-82《計算機機房用活動地板技術條件》
(2)吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。
(3)牆面。塗刮防防瓷、牆壁面刷乳膠漆。
(4)窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾。
(5)出入門。安裝鋁合金玻璃隔斷推拉門。
(6)照明。采用高效格柵雙管日光燈嵌入安裝。
(7)配電。機房配電采用三相五線制,多種電源(動力三相380V、普通220V和UPS輸出220V)配電箱。爲UPS、空調機、照明等供電。配電箱設有空氣開關,線路全部用銅芯穿PVC管。
(8)接地。根據要求設計接地系統,其直流接地電阻小于1Ω、工作保護地和防雷地接地電阻小于4Ω。爲保證優良的接地性能,采用JD—1型接地和化學降阻劑,此外,考慮機房抗靜電的需求,對抗靜電活動地板進行可靠的接地處理,以保證設備和工作人員的安全要求。
(9)空調。主機房3P櫃機;分機房1.5壁挂式空調機。

5. UPS后备电源。
采用分散保护,集中管理电源的策略,考虑APC公司提供的电源解決方案。

四、企業网应用系统

1. 应用服务器。IBM服务器,当然,也可以采用高档PC机,PC机的优点是便于更新换代。
2. 软件平台。采用Windows 2003(主要使用Domain域控制器,集成DNS服务),Redhat 9.0,Solaris 9.0(在unix/linux上运行Oracle数据库,SAP/R3系统,基于Lotus Domino/Notes的OA系统)
3. 数据库系统。采用Oracle大型数据库,或SQL Server2000数据库。
4. OA办公系统。基于Lotus Domino/Notes的OA系统,Lotus Domino集成Email/HTTP等服务。
5. 企業管理综合软件ERP。采用SAP/R3系统,一步解决未来企業国际化问题;或是用友ERP—U8系统。
6. 网络存储系统。

五、網絡系統管理

1.交换机、路由器管理。设备均是Cisco产品,使用Cisco Works 2000。
2.网络综合管理。HP OpenView集成网络管理和系统管理。OpenView 实现了网络运作从被动无序到主动控制的过渡,使IT部门及时了解整个网络当前的真实状况,实现主动控制。OpenView系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。
3.桌面系統管理。LanDesk工作站配置和管理工具,利用它的遠程控制、遠程軟件分發和軟件計量功能可以節省大量的時間。 

13984892009