第一章 需求分析

为了满足现代办公的需要，将目前国内外先进的计算机技术、通信技术、网络技术、信息技术、自动化控制技术、办公自动化技术等运用在集团中，以提高集团的管理效率，节约能源，以人为本，最大限度地满足就办公人员的需求。

本设计方案中，集团主要办公网。办公网系统满足集团办公网应用系统建设和扩展的需要以及用户Internet访问需求，为集团提供一套高效、快速、可靠的办公系统。

第二章 建设原则与设计思路

二.1 建设原则

计算机网络系统设计必须适应当前集团各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在设计网络时，需要遵循以下原则：

Ø 实用性和先进性

采用先进成熟的技术满足大规模数据、语音、视频综合业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。

Ø 安全可靠性

为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，在网络设计方案中要应用网络管理手段，保证接入网络用户身份的合法性。

Ø 灵活性和可扩展性

计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据集团不断深入发展的需要，方便灵活的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。

Ø 开放性和互连性

具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。IP地址设计须遵循科技厅计算机网络TCP/IP地址编码规范；设备及端口模块、光网卡的选型须满足国内外相关的技术标准，并保证与业界主流的网络设备厂家的设备互联、互通。

Ø 经济性和投资保护

应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。

网络设计需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、易用性等多方面综合考虑。

二.2 设计思路

针对集团信息网络业务需求，结合当今大型网络建设原则，总结出本次网络建设方案的设计思路：

1. “分区分域”模块化设计

采用“分区分域”模块化的设计方法，将集团网络划分为不同的功能区域，使得整个网络的架构具备可伸缩性、灵活性、和高可用性。

2. “核心-接入”二层网络架构

在网络层次结构的设计方面，包括二层结构和三层结构两种模式。为了便于网络运维，本次方案设计采用经典的二层结构（接入层、核心层）进行部署。通过分层部署可以使网络具有很好的扩展性（无需干扰其它区域就能根据需要增加容量），可以提升网络的可用性（隔离故障域降低故障对网络的影响），可以简化网络的管理（拓扑结构结构更清晰）。典型的二层网络结构按照网络核心和接入的模型对应网络中心节点以及局域网内的每一个物理或功能区域。

3. 千兆接入

在传统新办公大楼中，计算机网络系统应用主要以文字、图形表格为主，对网络带宽要求不高。随着信息化进程的高速发展，网络系统将迎接新一轮的考验。数字化智能大楼依赖网络平台，对网络系统的性能有严格要求。

因此在本次建设中，网络平台将采用千兆接入的设计思路，整体提高网络吞吐能力，满足集团的多媒体等应用需求，遵循网络实用性和先进性的建设原则。

4. 核心层

在集团办公网系统应用中，为了保证数据业务满足7x24x365不间断运行，网络系统必须具有可靠的路由策略和故障自愈能力。

本次建设中，网络核心层一台高性能交换机。多个以太网接口，实现多台接入设备接入。上下层设备的双线接入可通过链路聚合技术进行捆绑，链路互为冗余同时更能提高2倍网络带宽。不仅提升网络吞吐量，而且提高网络可靠性。

5. 全方面安全防护

出口部署防火墙设备实现网络隔离以及木马和病毒攻击的防范。

第三章 网络系统建设方案

随着集团的发展需求，基础信息化网络平台将承载各种应用信息系统。本项目将为集团建设一套完善的网络平台，并实现各个信息系统相互融合，满足数据、语音、视讯等多业务需求。

三.1 网络总体设计

集团网络包括：有线办公网和无线办公网。

 网络整体拓扑图

三.2 办公网系统

三.2.1 网络拓扑

采用“分区分域”建设原则，划分为：核心交换区、Internet出口区、DMZ区、终端接入区；

采用“核心-接入”二层网络结构设计;

高带宽互联，核心和接入通过千兆互联，接入千兆到桌面；

集团无线接入到办公网中，实现移动办公；

部署边界防火墙等安全产品提供内网安全防护。

三.2.2 出口区

三.2.2.1 多链路负载均衡设计

为了规避运营商出口故障带来的网络可用性风险和解决网络带宽不足带来的网络访问问题，集团租用多个运营商出口。如何合理运用多个运营商出口，既不造成资源浪费，又能很好的服务于集团？

传统的路由转发原理是首先根据报文的目的地址查找路由表，然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由正是这样一种可依据用户制定的策略进行报文路由选路的机制。策略路由可使网络管理者不仅能够根据报文的目的地址，而且能够根据报文的源地址、报文大小和链路质量等属性来制定策略路由，以改变报文转发路径，满足用户需求。

策略路由具有如下优点：

①可以根据用户实际需求制定策略进行路由选择，增强路由选择的灵活性和可控性

②可以使不同的数据流通过不同的链路进行发送，提高链路的利用效率。

③在满足业务服务质量的前提下，选择费用较低的链路传输业务数据，从而降低企业数据服务成本。

三.2.2.2 出口防火墙设计

本方案配置了一台多功能防火墙，形成了全方位、立体式的安全防护：

（1） 防火墙硬件模块自带丰富的安全防护功能，支持丰富的攻击防范功能。包括：

Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic 、Ping of Death、Tiny Fragment 、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、CC等常见DDoS攻击的检测防御。

（2） IPS入侵防御功能授权具有强大的入侵防御功能，并集成了卡巴斯基防病毒

引擎和病毒库，是业界综合防护技术最领先的入侵防御/检测系统。通过深达7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，并实现对网络基础设施、网络应用和性能的全面保护；并且还通过了国际权威组织CVE(Common Vulnerabilities & Exposures，通用漏洞披露)的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水

三.2.3 DMZ区

本次方案设计部署一台接入交换机构建集团网络的DMZ区，同时通过专业的WAF设备（Web防火墙）确保网站业务可用性，防止数据泄露/网页篡改；采用WAF设备自带的WEB chche、压缩、HTTP协议优化等技术可以提高Web服务器的访问速度。

三.2.4 核心交换区

整体网络以中心机房为核心点，采用星型拓扑结构，网络核心层部署在中心机房。核心层的建设基于高可靠、高性能、高安全以及可扩展性强的原则。因此，在核心层部署一台高性能核心交换机，提供网络核心业务数据的高速转发。核心交换机采用多电源冗余设计，使核心设备具有高可靠性。同时核心交换机选用具有电信级别99.999%可靠性的高端交换机，交换机采用模块化架构，交换引擎、电源、风扇、业务接入模块等部件均可实现在线热拔插以及1：1的冗余备份。在配置上，核心交换机单机配置冗余交换引擎，具有不间断转发功能，在一个交换引擎故障时能在快速完成故障切换。

核心交换机配置高密度的网络接口，满足下层接入交换机等设备的接入需求。

本次方案设计办公网核心交换机通过千兆链路与办公网接入交换机互联。