提供一站式信息化整体解决方案

以创造用户价值为核心

넳 넲

首页 ꄲ 园区网案例 ꄲ 企业园区网案例

主题背景图片3

넳 넲

企业园区网案例

大家都在看

ꄴ上一个：

ꄲ下一个：

1. 建设目标

营口XX园区网规模为中型园区网，本次网络建设项目预期要达到以下几个目标：

Ø 网络速度：网络设备融合4万兆，骨干速率万兆，千兆速率到桌面。

Ø 网络规模：网络现有用户数量为200个终端，网络容量需考虑适应未来3～5年用户数量的增长。

Ø 应用发展：为了应对未来逐步增加的应用多样化，园区网服务器使用虚拟化方式部署。具备时间弹性、性能弹性以及成本弹性的特点。

Ø 网络接入能力：整合统一无线资源，提高安全防护，采用有线无线统一认证。

Ø 外部安全防护：考虑网络边界安全，需要部署防火墙、网络入侵检测等安全设备。

Ø 内部安全防护：防止网络内部用户导致的安全事故，采用上网行为管理专用设备。

Ø 终端安全防护：对终端移动存储设备进行管控，使用资产管理、远程运维、审计功能加强用户设备的管理。使用杀毒软件防止木马、病毒、恶意软件对公司应用的威胁。

Ø 服务器安全防护：在公司内网中对服务器再进行一次防护。

2. 组网说明

1、采用模块化设计：每个模块对应一个部门、功能或业务区域，可根据网络规模灵活扩展，部门或区域内部调整涉及范围小，容易进行问题定位。

Ø 区域划分为：三征无线区、行政办公区、超融合计算区和通信安全区。

2、冗余设计：双节点冗余性设计可以保证设备级可靠，系统中允许一台物理设备故障，但不会导致系统无法使用。同时也便于升级维护。

Ø 核心交换机采用2台华为S6720设备采iStack集群/堆叠工作方式，作为网络核心交换设备，其与上、下行设备存在链路聚合关系。充分满足园区网络业务对网络带宽/性能的要求，做到网络无阻塞，业务运行流畅。网络工作稳定可靠，不中断。

Ø 采用2台华为S5730设备，同样使用iStack集群/堆叠工作方式，作为专用的超融合区的接入交换机。为保证冗余和性能，它也使用聚合链路同核心S6720设备进行互联通信。

Ø 每层办公楼考虑到无线用户的密度大，所以采用华为S1720-52口设备作为无线和有线用户接入层设备。其特点是支持PoE（有源以太网）技术为部署的无线AP进行供电。

Ø 为了减少线路连接的额外开支。设计接入到核心之间的上行链路采用10Gbps线路，即万兆到汇聚，以提供高性能、无阻塞的网络服务。同时使用2条万兆线路，采用Eth-Trunk技术与核心层交换机互联，该技术既能有效的利用带宽，又可以实现链路级可靠性。

Ø 车间无线用户的密度小，所以采用华为的S1720-28口设备作为无线和有线用户接入层设备。同时也采用万兆链路以及高可靠性技术与核心互联。

3、无线设计：集中式架构（即FIT AP架构）。它的优势是在AC上统一配置，AP零配置，维护简单；L2、L3漫游，拓扑无关性，适合大规模组网。

Ø 采用2台无线控制器，组网方式为双机热备份方式。由主用设备进行业务的转发，而备用设备处于监控状态，同时主用设备实时向备用设备发送状态信息和需要备份的信息，当主用设备出现故障后，备用设备及时接替主用设备的业务运行。

Ø 采用集中转发，又称隧道转发，业务数据报文由AP统一封装后到达AC实现转发，AC不但对AP进行管理，还作为AP流量的转发中枢。

Ø 无线系统支持国际标准的多种数据加密方式，保护数据不被窃取。

Ø 支持802.1X、Portal、短信、微信、二维码等多种的认证手段。

Ø 支持身份、终端类型、MAC地址、地理位置等多维度的控制策略。

4、出口设计：将企业员工网络、公司服务器网络、外部网络划分到不同安全区域，对安全区域间的流量进行检测和保护。

Ø 采用2台防火墙，组网方式为双机热备份方式。由主用设备进行业务的转发，而备用设备处于监控状态。

Ø 采用2台上网行为管理设备，组网方式为双机热备份方式。由主用设备进行业务的转发，而备用设备处于监控状态。

5、超融合方案设计：该设计提高硬件利用率、降低能耗、提高IT运维效率。通过服务器虚拟化将所有服务器的计算资源池化、通过网络虚拟化构建出适合虚拟机迁移的大二层环境、最后通过存储虚拟化实现存储空间的融合。

Ø 计算虚拟化解决方案：使用KVM的开源虚拟化技术，以及硬件辅助虚拟化技术，将CPU、内存等硬件资源抽象成共享资源池。

Ø 网络虚拟化解决方案：使用厂商现有商业硬件产品技术，将产品的系统和功能虚拟化后引入超融合管理平台，通过所画即所得功能来灵活搭建应用拓扑结构，提升云计算中心的整体扩展性，同时实现多租户环境下的安全隔离。

Ø 存储虚拟化解决方案：充分利用现有服务器的硬盘资源，对其进行高密整合，互联所有X86架构服务器的硬盘总线，实现存储空间的融合。存储之间使用双万兆链路进行通信。

Ø 使用NGAF下一代防火墙的软件虚拟化解决方案。

6、存储设备

Ø 采用企业级NAS存储设备。其具备网络存储、文件共享、数据备份三大功能。实现三征内部用户在一定安全管控范围内可以方便的访问共享数据；提供网络存储与数据备份管理，防止公司的服务器由于系统宕机、灾难发生或病毒、人为出错、硬件故障造成的数据丢失，保障了企业数据的安全性和高可用性。

Ø 系统需选配双口的万兆网卡。

Ø 为加强并发访问能力，系统需选配增加内存。

Ø 系统可使用空间大于等于20T。

3. 设备实现功能说明

1、防火墙实现功能：

Ø 双防火墙实现热备功能，组网方式为双机热备份方式。主用设备上的任何一条线路、或者设备故障后需能够立刻切换到冗余设备上，保证到互联网的业务不中断。

Ø 实现多WAN线路的负载均衡，多Internet网线路既是同时使用，也是相互备份的作用。

Ø 实现SSL VPN功能，实现公司内部人员在外出差也能够访问到内部的共享文件信息。并需要利用用户在公司内部的身份信息，也要限制访问某些共享信息。

Ø 在防火墙功能基础上集成IPS功能，防护外网的入侵。并且针对所有服务器开启反病毒和入侵防御。

2、上网行为管理实现功能：

Ø 双上网行为管理设备实现热备功能，组网方式为双机热备份方式。由主用设备进行业务的转发，而备用设备处于监控状态。主用设备上的任何一条线路、或者设备故障后需能够立刻切换到冗余设备上，保证到互联网的业务不中断。

Ø 开启URL过滤、文件过滤、内容过滤、应用行为控制、反病毒等功能，既保护内网主机不受外网威胁，又可以防止企业机密信息的泄露，提高企业网络的安全性。

Ø 设置封堵P2P、和P2P流媒体应用。封堵游戏类、赌博类、色情类网站的访问。

Ø 识别政策学习类的应用（学习强国），保障该类应用的网络带宽的使用。

Ø 与域认证联动实现一次性密码登录，实现审计用户上网行为，并且记录审计事件与人名关联。

3、无线网络实现功能：

Ø 采用集中式架构（即FIT AP架构）。在无线控制器上统一配置，业务数据报文由AP统一封装后到达控制器实现转发，控制器既对AP进行管理，还作为AP流量的转发中枢。

Ø 双无线控制器设备实现热备功能，组网方式为双机热备份方式。由主用设备进行业务的转发，而备用设备处于监控状态。

Ø 实现带宽保障和应用识别技术，对访客账户进行上网带宽限制，并且只允许访客通过公司无线网络访问到Internet，禁止访问公司内部资源。并对访客的上网行为进行审计。

Ø 设置重要部门的WLAN占用带宽，当有重要流量时，AP自动抑制其他无线网络的流量，保障重要流量的带宽。

Ø 与域认证联动实现一次性密码登录。

Ø 设置3个SSID，分别配置给工厂内部用户、访客用户以及硬件信息认证使用。其中，工厂内部用户要结合域用户信息认证，访客认证需使用手机号或者临时访客身份认证，硬件认证使用设备物理地址进行认证。

4、超融合实现功能：

Ø 使用超融合管理平台软件实现计算虚拟化、内存虚拟化以及I/O虚拟化功能。将所有物理服务器硬件资源通过虚拟化功能后进行池化，再将物理硬件资源重新分配给虚拟机使用。从而实现提高硬件利用率、降低能耗。使用虚拟机实现的服务器功能有AD、GPO、DNS、DHCP、防病毒、终端安全管理等服务器功能。

Ø 使用I/O虚拟化中的网络虚拟化功能，使用现有商业硬件产品技术，将产品的系统和功能虚拟化后引入超融合管理平台，通过所画即所得功能来灵活搭建应用拓扑结构。并在服务器区前置一个虚拟化的防火墙，筑起最后一道对服务器安全访问的屏障。

Ø 使用I/O虚拟化中的存储虚拟化功能，整合所有服务器的硬盘存储资源，实现存储空间的融合。并利用分布式存储功能将虚拟机文件存为多个副本，实现当某个物理主机故障，虚拟服务器可以通过其它物理主机继续运行。

Ø 使用虚拟化管理平台备份功能，可以往iSCSI、NFS的卷中备份虚拟机。用于恢复由于硬件故障、灾难发生或病毒、人为出错等造成的虚拟服务器无法启动故障。

5、NAS实现功能：

Ø 文件服务器功能，用户使用域信息认证，利用域用户身份细粒度到每一个文件夹设置访问权限。可读、可写、可执行和可删除。没有访问权限的文件夹用户也看不见。

Ø 在AD中设置策略，为每一个域用户设置共享盘符，使得共享文件夹跟着域账户走，不限制在某台电脑上。

Ø 对共享文件夹进行行为审计，审计所有用户对文件、以及文件夹的读、写、拷贝以及删除信息。

Ø 使用手机APP可以远程访问共享文件夹中的文件。

Ø 启用杀毒功能对进出NAS设备的文件进行病毒检测。

Ø 启用文件夹同步功能，对用友U8服务器的数据库备份文件，备份一份到NAS，并支持细粒度恢复

Ø 启用文件备份功能，对NAS中的共享文件夹进行周期性备份，并可以细粒度恢复。

Ø 启用服务器备份功能，对虚拟化平台中的虚拟服务器进行周期性的整机备份，用于灾难恢复。