扬柴集团网络投标方案.docVIP

密 级： 秘 密 文档编号： 090918062 项目代号： JSYC– A01 扬柴集团网络改造 投标网络方案 Ver 1.0 上海博达数据通信有限公司 二〇一〇年七月 第一章 需求分析 1.1 现状描述 扬潍柴动力扬柴迁建项目弱电工程现阶段已经基本完成一期工程。一期工程主要负责联合厂房综合布线，网络设备（联合厂房建立一个IT机房存放联合厂房所需要的网络、语音设备和服务器）、监控设备（临时控制室在联合厂房）以及监控点摄像头、广播线路和设备（联合厂房IT机房内）的安装调试工作。一期网络建设实现电信和老厂区的专线连接，并且使用两台H3C产的S3600系列交换机双机冷备份模式。联合厂房的语音线路直接连接电信入口。 潍柴动力扬柴公司的产品试验室、维修车间、食堂、南北门、油库、配电房、污水处理站、水泵房、空压房等内部综合布线归属一期工程，已经初步建设或和相关供方已经签订合同，所以不在本次招标范围。 本次投标部分是潍柴动力扬柴公司网络二期工程，是公司核心网络建设（主机房设置在联合厂房201室），公司网络服务器总机房和各个分支网络的光纤敷设及设备（机房和食堂、南门、北门、维修车间、产品试验室之间的光纤线路及设备）。 按照标书的要求，下列IP地址在新区建设时不允许变更： 内部服务器IP地址段：192.107.xxx.xxx。 外部服务器DMZ区IP地址段：192.108.xxx.xxx。 对外IP地址：218.91.153.42（电信）/218.106.97.141（网通）。 1.2 信息规划 根据本次招标的潍柴动力扬柴公司信息规划，本次投标主要包括食堂、南门、北门、机模修车间、产品试验室内部交换机设备，以及和连接网络服务器总机房的光纤建设，联合厂房连接网络服务器总机房的光纤线路。 一期网络系统建设实现电信和老厂区的专线连接，并且使用两台H3C产的S3600系列交换机双机冷备份模式。 本次招标二期网络建设首先实现公司对外网络骨干网（互联网）通讯，实现双防火墙热备、双核心交换机热备，及联合厂房区域双汇聚交换机的双机热备模式，以确保网络系统硬件运行安全，同时实现企业级的网络安全保护，规划公司内部网络系统，提高公司网络安全性。其次实现二期网络系统实现和已经建设好的一期网络系统之间的互联。两个需求必须在技术方案中完整体现。 1.2.1监控网络系统（二期）拓扑图 1.2.2信息网络系统（二期）拓扑图 1.3 系统设计可达到的要求 潍柴动力扬州柴油机有限责任公司新建厂区网络系统设计方案充分考虑潍柴动力扬柴新区整个网络系统布局，考虑有线和无线网络系统资源相结合，考虑潍柴动力扬柴计算机现有资源，以及网络安全、稳定性。确保整个公司网络系统高效、高速、可靠、安全的运转。 1．3.1、实用性： 1.3.2、先进性：应采用在实际工程广泛应用的成熟可靠的先进技术或产品，以保证系统的长期正常运行。 设计应充分考虑到未来技术发展和使用要求的变化，系统功能扩展和技术提升的可能性，以充分保护投资，保证可持续发展的要求，确保的投资效益。 采用国际及行业开放的技术标准和标准化的产品，避免系统互联或扩展出现障碍。包括系统自身安全和信息传递的安全。 2、中毒机器不停的变换自己的IP，来扰乱网关设备的ARP表象，试图让网关看到的所有的IP都是自己，这样其他用户的IP就不能被网关设备认出了，如上图中，PC A可以不停的变换自己的IP，这样网关就会被欺骗认为192.168.43.100也是PC A，PC B当然就不能被网关识别了。 3、中毒机器将自己的MAC地址修改成交换机的下一跳网络设备的MAC地址，试图让交换机的MAC表发生紊乱，让交换机从错误的端口发送出数据包，如上图中，PC A会将自己的MAC地址修改成网关的MAC地址00-E0-0F-27-96-D0，这样交换机在F0/1和F0/24上都学习到这个地址，MAC表就乱了这种类型并不能算上ARP病毒，但是同属于欺骗类病毒 目前大部分厂家都是通过绑定IP、MAC、端口的方式来保证安全，但是这样的方式实现起来麻烦（要一条一条的把绑定信息写进去），如果增加了新设备或者某台设备更换了端口或者网卡，如果不及时通知网络管理员进行修改，就没有办法上网，费时费力。 针对这种情况，上海博达设计了一套较完善的ARP防护方式。 在端口下过滤ARP报文，防止冒充网关。既然我们知道交换机的F0/24口上接的是网关，那么F0/1 到F0/23口都不可能发送出“我是网关”的ARP信息，所以我们可以在这些端口下过滤此类报文。 交换机命令（需要两层半交换机，S2226/S2448以上设备）： interface FastEthernet0/1 switchport port-security block arp 192.168.43.254 //