某公司网络系统集成资料.doc

xxx股份有限公司 网络系统集成方案 一、 前言 2 1.1系统概述 2 二、需求分析： 3 2.1网络需求 3 2.2管理需求 4 2.3总体目标 4 三、设计方案 5 3.1网络部分设计细节（将内外网逻辑隔离设计包含其中） 6 四、实施方案： 7 4.1 核心交换机 7 4.2交换机业务特性 9 4.3防火墙 9 4.4 S5700VLAN配置细则 12 4.5 安全策略 13 五、产品特点与选配说明 15 5.1 核心交换机：华为5700-48TP 15 5.2 接入层交换机：S1700-52R-2T2P-AC 16 5.3 防火墙：深信服AF-1580-WAF 18 来自互联网的由外而内的安全风险 18 来自用户由内而外的安全风险 20 来自终端的安全风险 21 六、技术支持服务 22 七、产品选型与报价 24 前言 XXX公司是国家级重点高新技术企业，公司坐落在风景秀美的市。网络需求网络速度已经进入千兆交换的时代，。选择千兆交换机作为网主干网络，广域网通过合肥市的城域网光纤接入Internet，这样就能够等业务能够轻松的开展，能够为的网络应用提供一个好的保障，从而建设一个一流的、系统。 在，采用兆技术直接到桌面，而且从经济的角度来说，也是很划算的，因为目前的计算机系统中，基本上网卡都是10/100M自适应的，价格非常便宜。 在与互联网的连接过程中，为了防止网络黑客对于网中各个节点的网的攻击，采用防火墙的方式来保证网内部的安全。管理需求 ，必然将的管理带上一个新的台阶，但是一个好的网系统，必然需要一个强大的网络管理系统，从应用成本考虑，应该尽量采用一些免费的软件系统，这样才能够尽量节省在网络建设、网络管理上的资金。而事实上，，从业务上实现真正的网络管理。 故障管理，它是网络管理中最基本的功能之一，其功能主要是使管理中心能够实时监测网络中的故障，并能对故障原因作出诊断和进行定位，从而能够对故障进行排除或能对网络故障进行快速隔离，以保证网络能够连续可靠地运行。 总体目标 在建设过程中，将对整个网络进行统一规划、统一建设、统一管理。充分利用现有的资源，建成专用的网。同时，建成的网络是集、管理和信息发布为一体的综合服务体系，能够适应各种应用的要求，完成各种形式的信息传递的功能，集成文本、数据、表格、图象、语音、视频的通信，突破传统的数据和音像分割的局面，做到一网多用，避免重复建设。”的原则，我们通过防火墙的3层网络层，与7层应用层的方式，定义更细腻的访问内容与访问方式 3.1.9、通过VPN准入策略来定义接入终端的系统环境，强制性的要求分公司PC遵循公司内部网络接入准则，来更好，更低成本的实现内部业务系统的安全。 3.1.10、配置防火墙的上网行为管理功能，关闭成人、钓鱼、病毒URL内置库、开启关闭已知木马代理、控制游戏、股票、P2P等资源应用、开启带宽控制，保障正常上网与VPN、服务器的带宽保障，设置网络应用审计，提供分析报表供管理员进行网络与行为分析等。 3.1.12、设置防火墙包过滤，仅开启部分可用端口，关闭其他所有端口，同时开启防QOS攻击、IP攻击、扫描等攻击，提升边界安全防护性，同时设置基于应用层的访问防护，比如针对80的端口控制的同时，限制上网URL的访问范围，限制通过80端口访问的有害连接等 实施方案： 根据XXX公司的需求，核心交换机使用华为5700-48TP做为整体网络的核心，华为S1724G为接入层交换机，各网段、服务器、内网用户、外网用户、内外兼网用户等设置不同的访问权限，根据安全策略来实现不同的访问问划分主要设备如下： 4.1 核心交换机-S5700-48TP 主要参数 产品类型 千兆以太网交换机 纠错 应用层级 三层 纠错 传输速率 10/100/1000Mbps 纠错 交换方式 存储-转发 纠错 背板带宽 256Gbps 纠错 包转发率 96Mpps 纠错 MAC地址表 16K 纠错 端口参数 端口结构 非模块化 纠错 端口数量 28个 纠错 端口描述 24个10/100/1000Base-T端口，4个100/1000Base-X千兆Combo口 纠错 扩展模块 2个扩展插槽 纠错 传输模式 全双工/半双工自适应 纠错 功能特性 网络标准 IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X 纠错 堆叠功能 可堆叠 纠错 VLAN 支持4K个VLAN支持Guest VLAN、Voice VLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN交换功能 纠错