智慧园区网建设技术建议书.docx

智慧园区网建设

技术建议书

目录

TOC\o1-3\h\z\u第一章 项目背景介绍 4

1.1 概况 4

1.2 项目背景 4

第二章 项目建设需求分析 5

2.1 一张物理网络承载多种应用 5

2.2 满足多种应用的隔离 6

2.3 结构简单、运行可靠、易于扩展升级 6

2.4 安全防护 7

2.5 等保合规 8

2.6 管理运维简便 8

第三章 项目建设目标 10

第四章 项目建设原则 11

第五章 方案设计思路 12

5.1 新的建设模式——虚拟园区网 12

5.2 虚拟园区网的实现——横向一虚多技术 13

5.3 网络设计 14

5.3.1 网络架构 14

5.3.2 横向多虚一虚拟化 17

5.3.3 纵向多虚一虚拟化 19

5.4 安全设计与等保合规 20

5.4.1 安全设计与网络设计同步 20

5.4.2 防火墙隔离安全分区 21

5.4.3 关键路径进行入侵防御 22

5.4.4 全网进行病毒防范 23

5.4.5 对终端进行安全访问控制 25

5.4.6 漏洞扫描 26

5.4.7 WEB安全防护 26

5.4.8 上网行为管理及流量控制 27

5.4.9 等保合规 27

5.4.10 应用及链路优化 28

5.5 网安融合 28

5.5.1 传统方案的局限性 28

5.5.2 真正的L2~7融合 30

第六章 方案规划与设计 35

6.1 物理网络架构 36

6.1.1 核心层 36

6.1.2 汇聚层 37

6.1.3 接入层 38

6.2 逻辑网络 38

6.3 安全设计 39

6.3.1 内网安全设计 40

6.3.2 外网安全设计 40

6.4 网络安全管理 40

第七章 方案优势说明 43

项目背景介绍

概况

项目背景

项目建设需求分析

随着云计算、物联网、移动互联网的大规模应用，企业信息化也发生了很大变化。从办公应用IT化，再到多媒体、生产等应用IT化，IT在企业信息化中发挥的作用越来越大。

对XXXXX智慧园区网来说，从ERP、生产管理系统等生产应用，到OA、邮件、营销系统、财务系统等办公应用，再到在线交易、在线物流配送、在线融资等电子商务应用系统，都通过网络承载。因此，需要一张能承载所有应用，满足不同应用的特点，同时简单、智能、可靠的网络。具体来说，建设需求如下：

一张物理网络承载多种应用

如前所述，XXXXX智慧园区网的网络系统承载众多应用，同时还要考虑园区正常互联网访问需求（包括生活区上网需求及分支机构与总部系统业务对接），且园区业务办公等系统需与互联网访问严格划分，保证隔离。所以实际上整个园区网应建设两套网络：一套内网，承载整个园区网业务、办公管理应用；一套外网，满足园区互联网访问需求。

当前，部分企业出于安全性考虑，建设两套物理网，分别作为内网和外网。这种建设多套网络的模式存在以下问题：

重复投资，多套网络需要重复投资、多套布线

用户体验差，用户要在多套网络，多套终端间来回切换

不可持续，难以适应应用飞速增加的趋势

多套网络需要多套网络设备，使得网络规模变得庞大，管理复杂、整个网络的规划设计复杂

因此，对XXXXX来说，需要在一张物理网络上承载所有应用。

满足多种应用的隔离

如2.1所述，XXXXX需要在一张物理网络上承载所有应用。但同时，内外网由于使用功能、运行应用、面向人员的不同，对网络可靠性、处理性能、安全要求、服务质量、网络策略的要求也存在不小差异，因此办公网、生产网需要进行隔离。

对于隔离的方式，传统技术方式是通过VLAN+ACL逻辑隔离内外网。还有少数规模较大的网络，选择MPLSVPN逻辑隔离内外网。两种方式在实际部署中都存在一些问题：

■?VLAN+ACL的方式隔离效果差，网络存在安全风险，攻击可轻易突破这种隔离方式。的隔离方式，使网络配置变得极为复杂，运维管理成本高，大部分企业难于维护。

■?采用MPLSVPN的隔离方式，使网络配置变得极为复杂，运维管理成本高，大部分企业难于维护。

两种逻辑隔离的方式还存在一个最大的问题，就是内外网业务互通时的安全防护，只能采用核心交换机旁挂安全网关或交换机通过松耦合的方式部署安全业务模块，网络配置、运维管理进一步复杂。

因此，对XXXXX来说，需要采用比VLAN+ACL更安全、比MPLSVPN更简单的隔离方式，满足办公网、生产网的业务隔离需求。

结构简单、运行可靠、易于扩展升级

本次项目的基础网络系统建设需要重点考虑以下几个