公司总部大厦楼内局域网建设专项方案.docVIP

项目标建设范围是建设用户未来关键办公楼——XX企业总部大厦楼内信息网络系统；建设以XX企业总部大厦为关键，以专线连接分支一、分支二等京内办公地点和经过VPN方法连接京内外、海内外分支机构安全广域网络系统；建设用户关键业务应用系统运行环境和网络存放系统。 XX企业总部大厦楼内局域网建设方案 大厦内部局域网网络结构图以下所表示： 大厦内部局域网以关键交换机Quidway S8512为关键，经过各楼层交换机QuidwayS3528G/S3552G实现各楼层用户百兆接入，接入交换机和关键交换机之间采取千兆光纤双星型相连。每台S3528G/S3552G配置2个千兆多模光纤接口模块实现双千兆光纤上行。 XX企业总部大厦内部服务器建设方案 内部服务器网络连接结构图以下： 图所表示，XX企业总部大厦内部服务器和关键交换机S8512之间采取千兆双星型连接。这种连接方案中服务器和网络连接带宽高，服务器和关键交换机之间不存在网络瓶颈，而服务器扩容也只用在关键交换机上增加对应接口模块即可实现。对于服务器安全策略，提议在关键交换机上将服务器划分为单独VLAN，隔离服务器和局域网其它用户，用户对服务器访问经过在关键交换机上设置策略实现，确保服务器安全。 XX企业总部大厦关键主机、存放系统网络连接方案 关键主机系统网络连接结构图以下： 图所表示，在关键主机和关键交换机之间经过双千兆防火墙进行安全隔离，关键主机系统经过服务器交换机QuidwayS5624P三层千兆交换机进行千兆汇聚，服务器交换机和防火墙、防火墙和关键交换机之间经过千兆接口连接。千兆防火墙选择华为企业Quidway Secpath1000F专用硬件防火墙，对网络到关键主机和数据存贮系统数据访问设置统一安全策略，确保关键主机网络安全。防火墙和服务器交换机S5624P、防火墙和关键交换机之间均采取双千兆连接。 XX企业总部大厦和用户其它办公地点网络连接和移动用户接入方案 1．在京分支机构接入方案 网络连接拓扑结构图以下： 图所表示：专线用户接入到专线接入路由器Quidway AR4640上，AR4640经过百兆接口接入专线用户，经过PRI接口接入到大厦程控交换机实现用户拨号备份，AR4640路由器经过百兆线路分别接入到内网用户防火墙SecPath100F，经过SecPath100F实现用户安全策略，2台SecPath100F防火墙冗余备份，分别经过百兆接口接入关键交换机，避免单点故障。 2．用户在外地及海外分支机构网络接入方案 网络拓扑结构图以下： 图所表示，在总部大厦网络放置一台VPN专用网关，VPN网关对内连接为经过百兆接口接入到专线接入路由器，对Internet连接为经过两个百兆接口接入分别到Internet负载均衡设备，经过负载均衡设备、外网防火墙接入Internet。提议VPN专用网关选择华为企业Quidway SecPath1000专用VPN网关。 3．移动用户接入方案 总部大厦网络还要实现移动用户接入，因为用户在外地和海外分支机构采取VPN方法接入，并在XX企业总部大厦网络中配置了专门VPN网关设备，所以提议移动用户也采取VPN作为网络接入方法，移动用户和用户在外地及海外分支机构共同使用XX企业总部大厦网络中VPN网关实现VPN连接。移动用户VPN实现方法见上文用户在外地及海外分支机构VPN接入方案。 外部服务器网络接入和Internet接入方案 用户外部服务器和Internet接入网络拓扑图以下： 图所表示：XX企业总部大厦内部网络系统经过关键交换机百兆接口连接两台负载均衡设备，负载均衡设备经过百兆接口连接双外网防火墙，在外网防火墙上设置DMZ区，放置用户对外服务器。外网防火墙选择华为企业SecPath100F专用硬件防火墙。