北京人民广播电台项目建议书 草案.docxVIP

北京人民广播电台项目建议书生成日期2009年9月17日初始版本0.1制作者Team状态草案修订日志目录第一部分前言31.1 网络现状31.2 设计原则3第二部分方案42.1 方案一：52.1.1 安全总体设计52.1.2 冗余62.1.3 性能和可管理72.1.4 网络增值82.1.5 总结102.2 方案二：102.2.1 网络总体设计112.2.2 网络可管理性122.2.3 网络增值业务12第三部分设备简介123.1 CiscoWorks的简介123.1.1 典型网络的部署133.1.2资产管理133.2无线局域网控制器143.2.1智能RF管理153.2.2严格的安全性163.3 Cisco 7204183.3.1产品简介183.3.2关键特性和优点183.4 Cisco ASA 5550自适应安全设备203.5 Cisco Catalyst 2960概述213.5.1千兆以太网223.5.2网络智能性223.5.3增强安全性233.5.4高级QoS243.5.5管理25第一部分前言本项目建议书来自对于北京广播电台的不完全认识。仅从规划和实际技术角度讨论项目的拓扑和其他可能变化。1.1 网络现状北京广播电台网络经过五年的建设，已经具有相当的规模。网络规划基本合理，设备功能清晰。根据现有掌握的资料来看，网络大致分为以下几个部分：网络接入层。该层面包含了两个功能，一个是网络安全用的行为审计设备，另外一个是流量均衡设备。行为审计设备用以限制内部和外部使用者的行为，某些具有明显恶意行为的数据包将会使用签名比对的方式进行查找并且丢弃，同时提供了针对某些协议和应用的封闭能力，可能包括下载工具和流媒体。流量均衡设备目前使用Radwear的主动型流量均衡器，设备通过对外散布ICMP小包，并且统计回环延时的方式来确定前往特定目的地的最佳路径。网络核心层。网络核心层使用Cisco 7600路由器作为核心路由器。设备上使用FWSM用以提升内部网络的安全性，提升网络对于内部攻击的抵御能力；同时作为对外网络的第二道防线，也会起到积极作用。核心路由器上使用的NAM模块有助于管理员准确的统计流经设备各接口的数据类型，对于判断网络应用的发展和发现网络威胁的早期特征具有积极意义。核心交换使用Cisco Catalyst 6509进行。设备划分VLAN，并使用三层路由的方式汇聚接入层的数据。网络边缘层。网络边缘层主要是各楼层接入交换机组成。接入交换机汇聚客户流量，并在网络二层防护方面发挥积极作用。1.2 设计原则为了能够进一步提升网络的运作水平，包括容错、均衡和可管理能力，使得网络能更好的适应未来基于应用的交付，决定利用这次机会，对整个网络进行重新的改造。改造本着适度超前，着眼今后5年实际网络发展的原则，为今后更加复杂的网络应用和面对更加严峻的网络安全形势，做好充分的准备。网络改造遵循以下原则进行开放性标准化严格按照行业标准进行设计，使网络系统具有较长的生命力和扩展能力，满足未来升级的要求。在网络设计中充分考虑设备对标准的支持，保证与多厂商的设备互连的能力。高性能扩展性高性能、大容量网络设施可保证对多种高速网络技术，如：千兆以太网、快速以太网和ATM等的支持。方案中所推荐的各级网络设备能针对各类业务提供适合的带宽。模块化设备的使用更会提高网络系统的扩展能力。安全性可靠性核心设备须具有强大的冗余和容错功能，重要部件（如电源、核心交换引擎等）采用冗余备份设计。采用多级网络安全的设计思路，推荐使用设备内置的安全功能，能配合专业的安全产品（如防火墙）还能有效地阻止外部的非法入侵和内部的非授权操作。可管理性和可维护性采用先进完善的网络管理和监控工具，对网络实现一体化管理。通过对网络性能的监控及时改善网络性能。设备的先进性和成熟性在网络通讯技术和计算机技术发展日新月异的今天，网络的选择既要遵循新技术的发展方向，采用最新科技水平，使项目具备国内乃至国际领先的地位，又要兼顾技术上的成熟性，保证系统整体性能，使整体投资达到最佳。第二部分方案为了能够更好的满足需求，现特别准备了两套方案，以供选择。第一套方案倾向高性能和高可靠性，目标是满足今后至少5年网络情况的发展，网络设计有全冗余链路，拥有极高的故障恢复和负载可控特性。第二套方案倾向于应用交付，注重较低的购置成本和较强的通用性。2.1 方案一：本方案着眼高性能和高可靠性，更换主链路设备，提升内部设备安全水平和可控制水平。使用Cisco基于ASA算法的新一代防火墙，同时内置IPS模块，除了能够很好的解决目前网络威胁，也可以为今后大量面对Internet的服务器提供良好的保障。整体网络拓扑本网络拓扑较大的改动了网络现有状态。由于无法验证现在网络上使用的UTM设备的具体作用因此将此设备暂时当作网桥看待，所有的流量直接穿越UTM