【文章內容簡介】 anyii集團信息網網絡中心技術實施方案1 概述 工程概述某集團總部設置在某市區(qū)，下設幾十個電廠和子公司，部分在某，部分在浙江其他城市。**集團的子公司與總部互聯(lián)，通過總部統(tǒng)一的Internet出口，形成以總部為中心輻射子公司的星形結構，實現信息的實時共享和動態(tài)管理以及數據、音頻、視頻三網合一 。目前**集團廣域網采用星型網絡拓撲結構，主要由兩部分組成：一部分是子公司通過某電力城域網，通過MSTP或裸光纖方式連接到總部匯聚交換機，進而連接到總部的辦公局域網；另一部分通過電力通信傳輸網的SDH的E1，到總部的中心路由器做匯聚后，經防火墻進入辦公網絡。原網絡的拓撲結構如下：目前廣域網和城域網上主要的應用是數據業(yè)務，IP電話和Internet訪問，視頻會議系統(tǒng)也將后續(xù)建設。搬到新辦公樓后，**集團總部將建設全新網絡，廣(局)域網將進行相應的改造。集團新大樓**大廈地面20層，地下2層。9三層為某集團有限公司所屬浙江東南發(fā)電股份有限公司辦公地點，有單獨的中心機房。其余樓層為**集團總部使用。 項目設備列表本項目主要采用華為3Com的系列產品構建網絡平臺：路由設備（NE40－8路由器1臺）交換設備（S8512交換機2臺、S8505交換機1臺、S3952P交換機45臺）安全設備（SecPath 1800F防火墻2臺、SecPath 1000安全網關1臺、SecEngine D500入侵檢測系統(tǒng)2臺）無線接入設備（AP8750 20臺）業(yè)務軟件（CAMS管理軟件平臺、LAN接入組件、EAD組件和1000套客戶端軟件）Quidview網管系統(tǒng)1套。2 網絡實施方案 網絡整體設計 全網拓撲 網絡核心設計兩臺S8512分別與兩臺1800F形成千兆連接，中間串聯(lián)防毒墻。任何從外網、城域網、廣域網來的或者去往外網的流量必須經過防毒墻的檢查。建議在兩臺防火墻1800F之間增加一條千兆連接，構成一個四邊形的核心結構。這樣的結構相對于防火墻之間沒有連接的直線型結構更加穩(wěn)定和健壯，不會因為某一段連接的失效而使OSPF骨干路由域Area0被分割。同時可以通過調整端口的OSPF Cost值來實現靈活的流量導向。根據本項目的具體需求，防火墻1800F的所有端口均工作在路由模式。與內網連接的端口設置為TRUST區(qū)域，與城域網和廣域網連接的端口放入DMZ區(qū)，與外網連接的端口放入UNTRUST區(qū)域?？梢愿鶕I(yè)務需要，設置各區(qū)域間的訪問策略。可以規(guī)定如下安全策略：TRUST區(qū)可以訪問DMZ和UNTRUST區(qū)所有資源；DMZ區(qū)可以訪問TRUST區(qū)部分資源和UNTRUST區(qū)的所有資源；UNTRUST區(qū)只能訪問防火墻開放的部分資源。 新大樓局域網兩臺S8512萬兆骨干交換機為整個網絡提供高可靠，高性能的核心交換。兩臺設備通過2條萬兆鏈路連接。**大廈各個樓層接入交換機S3952P通過兩條千兆多膜光纖分別上聯(lián)至兩臺核心交換機S8512。S8512雙機啟用VRRP熱備協(xié)議，為每一個VLAN配置一個VRRP組，第一個VRRP組的主用設備為S85121，備用設備為S85122，第二個VRRP組的主用設備為S85122，備用設備為S85121，依此類推。這樣兩臺8512可以實現流量分擔和冗余。S8512和S3952上根據VLAN配置情況啟用STP協(xié)議，但兩臺S8512之間的萬兆接口不啟STP，以避免出現環(huán)路。大樓普通用戶按部門劃分VLAN，即1個部門一個VLAN，以實現部門內部的快速互訪。認證方式見“用戶訪問控制”章節(jié)。新大樓所有IP電話可以劃入同一個VLAN，也可以劃入所在部門VLAN，通過三層設備（S8512）訪問MBX。所有服務器劃入同一個VLAN。根據業(yè)務需要，通過核心交換機S8512上的防火墻模塊實施訪問控制。所有的無線AP劃入同一個VLAN，接入交換機和核心交換機上啟用DHCP Relay功能，使無線接入用戶能訪問DHCP服務器，獲得IP地址和網關地址等信息。樓層交換機S3952使用POE功能給無線AP和IP網絡電話供電。 城域網和廣域網城域網接入交換機通過百兆光纖連接匯聚交換機S8505，S8505通過2條千兆光纖分別上聯(lián)邊界防火墻SecPath1800F，1800F上的端口設為路由模式，向S8505發(fā)布缺省路由。路由設計詳見“OSPF路由設計”章節(jié)。廣域網接入路由器NE408配置2端口CPOS155M模塊，通過配置拆分成N個E1，使用SDH 2M線纜連接各個外地分公司。建議在保持原廣域網結構不變的情況下，調試第二條廣域網線路。當業(yè)務都切換到新的鏈路上以后，再進行原廣域網匯聚設備（Cisco7206）的搬遷?？梢栽赟8505和NE408上配置訪問控制列表ACL來限制各分公司和電廠之間的互訪。 Internet出口設計為了實現公網出口的負載分擔和冗余，建議采用如下組網方式：兩臺防火墻SecPath1800F分別通過100M光纖鏈接網通和電信。在兩臺防火墻上分別做1條缺省路由指向鏈接運營商的端口，并且把這兩條缺省路由（以Type1外部路由的方式引入）發(fā)布到全網。采用Type1外部路由的原因是收到2條缺省路由的內部路由器會優(yōu)先選擇cost值最?。x自己最近）的一條放入路由表，另外一條作為備用。一臺防火墻檢測到與運營商的連接斷開了，就會停止發(fā)布缺省路由，內部所有流量將從另外一臺防火墻出去。這樣就實現了內部發(fā)起的流量的負載分擔和冗余。對于外部用戶訪問內部資源，需要在邊界防火墻1800F上將對外開放的服務映射到公網上。示意圖如下（注：圖中的地址均為假設的地址）：如圖，1800F1連接網通，1800F2連接電信。在1800F1上將DNS服務器和WWW服務器映射成網通分配的地址。同樣，在在1800F2上將DNS服務器和WWW服務器映射成電信分配的地址。用戶瀏覽浙江能源網站時，請求CNNIC DNS服務器進行域名解析。電信用戶從CNNIC ?？梢哉ＴL問。假如到電信的連接中斷，CNNIC （網通的地址），則電信用戶仍然可以繞道電信與網通的連接訪問到網站。如果到網通的連接中斷，情況也是一樣。這樣就保證了外部用戶始終可以訪問浙江能源網站。 OSPF路由協(xié)議部署 OSPF區(qū)域劃分某集團原網絡的路由區(qū)域劃分如下圖：在新大樓網絡建設中，對路由區(qū)域劃分進行調整，如下圖：OSPF配置原則是只在與其他OSPF路由器連接的端口上啟用OSPF進程，不在與2層交換機（或其他非OSPF設備）連接的端口上啟OSPF。通過引入或network命令將直連和靜態(tài)路由引入OSPF進程。在ABR/ASBR上對路由進行匯聚后再宣告，以減少網絡中的路由條數，從而減少OSPF對CPU、內存等資源的占用。 OSPF的Cost值設定全網采用統(tǒng)一的OSPF Cost參考值，考慮到一定的擴展性，參考帶寬設為40G。即40G帶寬的Cost為1，以此類推。如下表：端口類型Cost值Loopback110GE4GE40FE40010M 4000E120000對于引入到OSPF的靜態(tài)路由和直連路由的OSPF METRIC值統(tǒng)一設定為8000。OSPF進程號設定：OSPF的processid是路由器的本地概念，不會影響到其它路由器。但為了全網的統(tǒng)一、規(guī)范，所有路由器的OSPF的processid統(tǒng)一設置為：100。 VPN接入基于對浙江能投集團網絡安全及外網用戶移動辦公的綜合考慮，SecPath 1000安