大型企业网络工程解决方案.docVIP

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有--------------

--------------------------------------------------------------------------------------------------------------------------------------------

---------------------------------------------------------精品文档---------------------------------------------------------------------

大型企业网络工程解决方案

本方案是一个典型的实际工程可以根据需要和可能，参照此方案灵活应用。

一、企业网络设计

（1）主干网设计

采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽，基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理，具有良好的价格比。

传输介质。千兆传输距离500m以内采用50/125多模光缆；千兆传输距离大于500m、小于5000m时采用9/125单模光缆；百兆传输距离2000m以内采用50/125多模光缆；百兆传输距离大于2000m采用9/125单模光缆。

交换机。主干交换机的基本要求：机箱式结构，便于扩展；支持多种网络方式，如快速以太网、千兆以太网等；高性能，高背板带宽及中心交换吞吐量；支持第二、第三交换，支持各种IP应用；高可靠性设计，如多电源/管理模块、热插拔；丰富的可管理能力等。

中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网，在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接，服务器采用双网卡链路聚合200Mbps连接，客户采用交换式10/1000Mbps连接。

（2）楼宇内局域网设计

要求采用支持802.1Q的10/100Mbps工作组以太网交换机，交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机，使10/100Mbps流量接至桌面。

（3）接入Internet设计

Internet接入系统由位于网络中心的非军事区（DMZ）交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。

（4）虚拟局域网VLAN设计

通过VLAN将相同业务的用户划分在一个逻辑子网内，既可以防止不同业务的用户非法监听必威体育官网网址信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。

各工作组交换机采用基于端口的VLAN划分策略，划分出多个不同的VLAN组，分隔广播域。每个VLAN是一个子网，由子网中信息点的数量确定子网的大小。

同样在千兆/百兆以太网上联端口上设置802.1Q协议，设置通信干道(Truck)，将每个VLAN的数据流量添加标记，转发到主干交换机上实现网络多层交换。

（5）虚拟专用网VPN设计

如果公司跨地区经营，自己铺设专线不划算，可以通过Internet采用VPN数据加密技术，构成企业内部虚拟专用网。

（6）网络拓扑结构。这部分待续

二、网络安全性设计

网络系统的可靠与安全问题：

a.物理信息安全，主要防止物理通路的损坏和对物理通路的攻击（干扰等）。

b.链路层的网络安全需要保证通过网络链路传送的数据不被GG。主要采用划分VLAN、加密通信等手段。

c.网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。

d.操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。

e.应用平台的安全要求保证应用软件服务，如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。

（1）物理安全

机房要上锁，出入人员要严加限制。注意不可让人从天花板、窗户进入房间。

机房电力要充足、制冷要合适，环境要清洁。

从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上，而应该隐藏在线槽或其他管道里。

应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌，大多数公司的数据得不到恢复。

（2）防火墙

防火墙应具管理简单、功能先进等特点，并且能够保证对所有系统实施“防弹”保护。一个优秀的防火墙具有内网保护、灵活的部署、非军事区（DMZ）范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。

（3）网络病毒

在网络中