网络信息安全与维护手册（执行版）.docxVIP

网络信息安全与维护手册（执行版）

第1章网络基础架构与拓扑设计

1.1网络规划原则与范围界定

规划的首要原则是“业务连续性优先”，必须根据业务高峰期（如早晚高峰时段）的流量峰值（PeakLoad）进行容量预留，确保在突发流量下网络不中断，例如将核心交换机带宽按业务高峰的120%进行配置。范围界定需遵循“最小必要区域”原则，仅将网络边界划分为“管理区（Mgmt）”、“业务区（Data）”和“核心汇聚区（Core）”三层，严禁将办公内网直接暴露在公网，防止外部攻击者通过网页篡改内网配置。

在划分范围时，必须明确区分“内网”与“外网”的物理与逻辑隔离，所有从互联网进入的数据流必须经过防火墙的“入站过滤”策略，禁止直接访问本地服务器端口，例如在交换机上配置严格的MAC地址过滤表。规划范围需覆盖从用户终端到核心存储的全链路，包括接入层（AccessLayer）、汇聚层（DistributionLayer）和核心层（CoreLayer），确保网络层级划分清晰，避免“扁平化”导致的管理复杂度激增。必须定义网络拓扑的“黄金半径”，即核心交换机到任何终端的最大物理距离不应超过30米，以保证信号强度足够，同时要求无线接入点（AP）的覆盖半径在50米以内，确保信号无缝覆盖。

规划阶段需明确“双链路冗余”策略，每条核心链路必须至少配置两条物理光纤，并开启链路聚合