背景
某集團經過多年的經營,公司業務和規模在不斷發展,公司管理層和IT部門也認識到通過信息化手段可以更好地支撐公司業務運營、提高企業生產和管理效率。同時隨着新建辦公大樓、研發大樓和廠房的落成,IT部門也需要對整個集團的信息化和企業IT基礎架構進行規划和建設。目前主要分為以下兩部分:
樓宇智能化規划和建設方案:主要包括視頻監控、門禁系統、語音和數據節點規划和布線、CATV、大屏幕電子顯示屏、機房建設等。
企業IT基礎架構規划和解決方案:主要包括企業局域網基礎網絡拓撲規划和網絡設備選型、互聯網接入和VPN接入、IT硬件部署和選型、企業IT信息化基礎軟件系統規划和選型等。
本方案主要是針對某集團企業IT基礎架構進行規划,並提出解決方案和進行投資預算。而關於樓宇智能化規划和建設的方案參見其它相關方案。
企業IT架構
一般企業的IT架構情況,本方案主要針對IT基礎架構部分進行規划,並提供選型和部署參考,關於企業IT業務應用系統部分的規划和建設請參考其它方案。
網絡系統規划
當前,企業一般能給信息化方面投入有限。除了人力有限,還缺少專業人才,應用能力、維護能力、開發能力、實施能力等都普遍較弱,這就要求網絡架構成熟、穩定安全、高可靠、高可用,盡可能少投入人力和金錢進行維護。其次,由於企業首要解決的是生存問題,根本沒辦法做到“先信息化,再做業務”,因此網絡建設實施要求必須容易,實施時間必須極短。
企業的組網方案主要要素包括:局域網、廣域網連接、網絡管理和安全性。具體來說企業組網需求:
Ø 建立安全的網絡架構,總部與分支機構的網絡連接;
Ø 安全網絡部署,確保企業正常運行;
Ø 為出差的人員提供IPSec或者SSL的VPN方式;
Ø 提供智能管理特性,支持瀏覽器圖形管理;
Ø 網絡設計便於升級,有利於投資保護。
企業一般的組網結構如下圖,大企業網絡核心層一般采用冗余節點和冗余線路的拓撲結構,小企業則單線路的連接方式。
通過對一般企業的信息化情況和網絡規划要素進行分析,從總體上看,規划方案必須具有以下特點:
Ø 網絡管理簡單,采用基於易用的瀏覽器方式,以直觀的圖形化界面管理網絡。
Ø 用戶可以采用多種的廣域網連接方式,從而降低廣域網鏈路費用。
Ø 無線接入點覆蓋范圍廣、配置靈活,方便移動辦公。
Ø 便捷、簡單的統一通信系統,輕松實現交互式工作環境。
Ø 帶寬壓縮技術,高級QoS的應用,有效降低廣域網鏈路流量。
Ø 隨着公司業務的發展,所有網絡設備均可在升級原有網絡后繼續使用,有效實現投資保護。
Ø 系統安全,保密性高,應用了適合企業的低成本網絡安全解決方案。
安全基礎網絡規划方案
根據對某集團的實際調研,獲取了企業的網絡需求,以此來制定企業基礎網絡建設規划方案和網絡設備選型參考;以下提供基礎版和企業版兩種規划方案
1) 網絡需求:
企業規划的網絡節點為500個,主要的網絡需求首先是資源共享,網絡內的各個桌面用戶可共享文件服務器/數據庫、共享打印機,實現辦公自動化系統中的各項功能;其次是通信服務,最終用戶通過廣域網連接可以收發電子郵件、實現Web應用、接入互聯網、進行安全的廣域網訪問;還有就是公司門戶網站和網絡通信系統(企業郵箱、企業即時通信和企業短信平台等)的建立。
2) 基礎版規划方案
本方案適用於200~300台電腦聯網,核心采用H3C S5500-28C-SI或S5500-20TP-SI交換機,以千兆雙絞線/光纖與接入交換機及服務器連接;用戶接入H3C S3100-26TP-SI或S3100-52TP-SI交換機,千兆銅纜/光纖上連核心交換機。Internet出口采用H3C MSR20-1X多業務路由器作為Internet出口路由、Secpath F1000-C或者UTM作為安全網關和移動用戶的VPN接入網關。網絡拓撲圖如下:
設備選型和部署參考如下:
| 業務 |
需求 |
設備選型參考 |
配置說明 |
數量 |
部署位置 |
| 數據 |
核心交換機 |
H3C S5500-28C-SI 或H3C S5500-20TP-SI |
全千兆三層核心 |
1 |
核心機房 |
| 接入層交換機 |
H3C S3100-26TP-SI 或H3C S3100-52TP-SI |
接入層支持光電復用千兆上行, 支持混合堆疊 |
26TP:15台 52TP:8台 |
各樓層或機房 |
|
| 路由器 |
H3C MSR20-1x路由器 |
轉發率160Kpps,256M 內存,支持GE/FE交換模塊,同異步串口模塊,E1/PRI模塊,語音模塊,加密模塊 |
1~2 |
核心機房 |
|
| 安全 |
防火牆 |
H3C SecPath F1000-C或H3C SecPath U200 |
支持應用層報文過濾 |
1 |
核心機房 |
| VPN |
支持DVPN |
||||
| 互聯網接入 |
10M光纖接入 |
電信10M光纖接入 |
配靜態IP地址 |
1~2 |
核心機房 |
方案特點:
Ø 高性價比:能夠讓中小企業低投資擁有高性能、經濟的網絡;
Ø 簡易性:結構簡單、安裝快速、簡單,維護無需配置專職人員;
Ø 高性能:最低投資做到千兆骨干、百兆接入;
Ø 可擴展性:靈活的網絡架構,能根據用戶需要隨時擴展,並保護已有投資。
3) 高級版規划方案:
本方案適用於500~800台電腦聯網,三層網絡結構,萬兆骨干,百兆接入;網絡核心層采用H3C S7500交換機,同時配置相應數量的千兆端口分別連接應用服務器、接入交換機及其他設備;網絡匯聚層采用H3C S5500-28C-SI,獨有智能堆疊系統可實現高密度千兆端口接入,擁有96 Gbps的全雙工堆疊帶寬,消除網絡瓶頸,提供優於傳統中繼聚合配置的更好的可用性和彈性;接入層可選擇H3CS3100-26TP-SI或S3100-52TP-SI交換機,千兆銅纜/光纖上連核心交換機,或H3C S5100-16/24/48P-SI全千兆交換機,千兆到桌面。網絡拓撲圖如下:
設備選型和部署參考如下:
| 業務 |
需求 |
設備選型參考 |
配置說明 |
數量 |
部署位置 |
| 數據 |
核心交換機 |
H3C S7500(E)系列 |
核心支持雙引擎雙電源,性價比最高 |
1 |
核心機房 |
| 匯聚層交換機 |
H3C S5500-28C-SI |
匯聚支持全千兆高速轉發,消除網絡瓶頸,同時支持萬兆擴展 |
3 |
各樓層或機房 |
|
| 接入層交換機 |
H3C S3100-26/52TP-SI 或 H3C S5100-16/24/48P-SI |
接入層根據不同業務需求提供百兆和千兆接入兩種選擇 |
52TP:10台 |
各樓層或機房 |
|
| 路由器 |
H3C MSR50-06路由器 |
H3C新一代安全路由器 |
1~2 |
核心機房 |
|
| 安全 |
防火牆 |
H3C SecPath F1000-C |
支持應用層報文過濾 |
1 |
1 |
| VPN |
支持DVPN |
||||
| 互聯網接入 |
20M~50M光纖接入 |
電信20M~50M光纖接入 |
配靜態IP地址 |
1~2 |
核心機房 |
方案特點:
Ø 高性能,全分布式交換網絡;
Ø 高可靠,無間斷的通信環境;
Ø 靈活彈性的網絡擴展能力;
Ø 高效率的網絡帶寬利用率;
Ø 全面的QOS部署,多業務融合;
Ø 完善的網絡安全策略,實現深度安全檢測,抵御未知風險。
安全無線網絡規划方案
無線網絡的部署,能夠增大員工接入網絡的范圍,提供更大的上網便利性--無論是在辦公室、會議室還是在空間復雜的車間,員工都能與網絡保持連接,隨時隨地訪問企業資源,而且可以簡化場所的網絡布線。安全無線網絡解決方案不但能提高員工的生產效率和協作能力,也能為合作伙伴/ 客戶提供方便的上網服務。根據企業情況,可以采用FAT AP方案:
1) 無線網絡需求:
能夠獲得較高的用戶接入速率,構建便利的移動辦公環境,實現企業的移動網絡辦公,成本投入不高,適合簡單、小規模的無線部署。
2) 規划方案:
采用WA1208E+iMC+CAMS進行組網,配合CAMS實現802.1x的認證,可以實現基於時長、流量和包月的計費;整網通過iMC統一管理。網絡拓撲圖如下:
設備選型和部署參考如下:
| 業務 |
需求 |
設備選型參考 |
配置說明 |
數量 |
部署位置 |
| 無線 |
無線接入 |
WA1208E |
雙802.11g無線模塊 |
8 |
各樓層 |
| 無線安全 |
H3C CAMS |
滿足用戶管理、身份認證、權限控制和計費的要求 |
1 |
核心機房 |
|
| 無線管理 |
H3C iMC網管系統 |
支持與HP Openview、SNMPc等通用網管平台的集成 |
1 |
核心機房 |
方案特點:
Ø 全面支持802.11i安全機制、802.11e QoS機制、802.11f L2切換機制;
Ø 大范圍覆蓋:高接收靈敏度,達到-97dBm(普通AP-95dBm),保證更遠覆蓋;
Ø 多VLAN支持:虛擬AP方式支持多VLAN,最多支持8個虛擬SSID的VLAN划分,每個VLAN用戶可以獨立認證;
Ø 兼作網橋使用:WDS模式支持PTP、PTMP工作模式;支持連接速率鎖定、傳輸報文整合,提高傳輸效率;
Ø 負載均衡:支持基於用戶數的負載均衡、基於流量的負載均衡;
Ø 針對各類室外、特殊室內應用如倉庫等復雜環境,可以提供專門的型號。
廣域網互聯VPN規划方案
伴隨企業和公司的不斷擴張,公司分支機構及客戶群分布日益分散,合作伙伴日益增多,越來越多的現代企業迫切需要利用公共Internet資源來進行促銷、銷售、售后服務、培訓、合作及其它咨詢活動,這為VPN的應用奠定了廣闊市場。在VPN方式下,VPN客戶端和設置在內部網絡邊界的VPN網關使用隧道協議,利用Internet或公用網絡建立一條“隧道”作為傳輸通道,同時VPN連接采用身份認證和數據加密等技術避免數據在傳輸過程中受到偵聽和篡改,從而保證數據的完整性、機密性和合法性。通過VPN方式,企業可以利用現有的網絡資源實現遠程用戶和分支機構對內部網絡資源的訪問,不但節省了大量的資金,而且具有很高的安全性。
另外,隨着企業規模的擴大,分散辦公也越來越普遍,如何實現小型分支、出差員工、合作伙伴的遠程網絡訪問也被越來越多的企業關注。從成本、易用性、易管理等多方面綜合考慮,SSL VPN無疑是一種最合適的方案:只需要在總部部署一台設備,成本更低,管理維護也很容易;無需安裝客戶端、無需配置,登陸網頁就能使用。
1) 網絡需求
1IPSec VPN和SSL VPN各有所長,功能互補,對企業來說都是需要的:IPSec VPN用於總部和中大型分支互連,SSL VPN用於為小型分支、合作伙伴、出差人員提供遠程網絡訪問。但傳統方法下,企業總部需要采購兩台設備來支持兩種VPN,不僅成本更高,而且可能存在VPN策略沖突,導致性能下降、管理困難。
2) 規划方案
融合VPN針對企業的實際需要,一台設備融合IPSec / SSL兩種VPN,只需部署在總部,既可以用於為合作伙伴、出差人員提供遠程網絡訪問,也可以和分支機構進行IPSec VPN互連,幫助企業降低采購、部署、維護三方面成本。
VPN網關選擇方面,H3C的防火牆、路由器都能夠實現融合VPN,提供給企業更加靈活的選擇。例如,如果企業非常強調網絡安全、VPN性能,就選擇防火牆;如果企業更注重多業務處理能力,如IP語音通信、3G上網、無線接入等,推薦選擇路由器。
在總部局域網Internet邊界防火牆后面配置一台或兩台雙機熱備的VPN網關,在分支機構Internet邊界防火牆后面配置一台VPN網關,由此兩端的VPN網關建立IPSec VPN隧道,進行數據封裝、加密和傳輸;另外,通過總部的VPN網關提供SSL VPN接入業務;在總部局域網數據中心部署H3C VPN Manager組件,實現對VPN網關的部署管理和監控;在總部局域網內部或Internet邊界部署H3C BIMS系統,實現對分支機構VPN網關設備的自動配置和策略部署。如下圖:
設備選型和部署參考如下:
| 業務 |
需求 |
設備選型參考 |
配置說明 |
數量 |
部署位置 |
| 網絡互連 |
VPN網關 |
H3C SecPath F1000VPN網關 H3C SecPath F100 VPN網關 或 H3C MSR50 路由器 H3C MSR20-1X 路由器 |
總部和大型機構配置F1000型號 中小型機構配置F100型號 |
總部1台 分支機構按需求配置 |
核心機房 |
| 網絡管理 |
H3C VPN Manager H3C BIMS |
幫助用戶部署、管理VPN網絡 |
1 |
核心機房 |
如果省內分支機構較多、較分散,但對速率要求不高的連鎖型單位,也可以選用電信或ISP商的VPDN服務;
如果多個分支機構間有多點對多點通信需求的企業、商業機構,也可以直接選用電信或ISP商的MPLS VPN服務。
網絡性能指標要求
| 類型 |
帶寬要求 |
線路質量要求 |
| 局域網 |
客戶端到服務器:10Mb以上,推薦100Mb 各服務器之間:200M以上,推薦1000Mb |
丟包率小於0.1% 延遲小於20ms |
| 廣域網 |
分支機構帶寬:每客戶端128Kb 總部出口帶寬:(最大並發數/3)×128Kb 總部服務器之間:200M以上,推薦1000Mb |
丟包率小於2% 延遲小於50ms |
網絡安全規划
網絡安全是整個系統安全運行的基礎,是保證系統安全運行的關鍵。網絡系統的安全需求包括以下幾個方面:
Ø 網絡邊界安全需求
Ø 入侵監測與實時監控需求
Ø 安全事件的響應和處理需求分析
這些需求在各個應用系統上的不同組合就要求把網絡分成不同的安全層次。
我們針對企業網絡層的安全策略采用硬件保護與軟件保護,靜態防護與動態防護相結合,由外向內多級防護的總體策略。
根據安全需求和應用系統的目的,整個網絡可划分為六個不同的安全層次。具體是:
Ø 核心層:核心數據庫;
Ø 安全層:應用信息系統中間件服務器等應用;
Ø 基本安全層:內部局域網用戶;
Ø 可信任層:公司本部與營業部網絡訪問接口;
Ø 危險層:Internet。
信息系統各安全域中的安全需求和安全級別不同,網絡層的安全主要是在各安全區域間建立有效的安全控制措施,使網間的訪問具有可控性。具體的安全策略如下:
核心數據庫采用物理隔離策略
應用系統采用分層架構方式,客戶端只需要訪問中間件服務器即可進行日常業務處理,從物理上不能直接訪問數據庫服務器,保障了核心層數據的高度安全。
應用系統中間件服務器采取綜合安全策略:
應用系統中間件的安全隱患主要來自局域網內部,為了保障應用系統中間件服務的安全,在局域網中可通過划分虛擬子網對各安全區域、用戶和安全域間實施安全隔離,提供子網間的訪問控制能力。同時,中間件服務器本身可以通過配置相應的安全策略,限定經過授權的工作站、用戶方能訪問系統服務,保障了中間件服務器的安全性;
內部局域網采取信息安全策略:
公司本部及營業部內部局域網處於基本安全層的網絡,主要是對於安全防護能力較弱的終端用戶在使用,因此考慮的重點在於兩個方面,一個是客戶端的病毒防護,另一個是防止內部敏感信息的對外泄露。因此,通過選用網絡殺毒軟件達到內部局域網的病毒防護,同時,使用專用網絡安全設備(如硬件防火牆)建立起有效的安全防護,通過訪問控制ACL等安全策略的配置,有效地控制內部終端用戶和外部網絡的信息交換,實現內部局域網的信息安全。
公司本部與下屬機構之間網絡接口采取通訊安全策略:
處於可信任層的網絡,其安全主要考慮各下屬單位上傳的業務數據的保密安全,因此,可采用數據層加密方式,通過硬件防火牆提供的VPN隧道進行加密,實現關鍵敏感性信息在廣域網通信信道上的安全傳輸。
Internet采取通訊加密策略:
Internet屬於非安全層和危險層,由於Internet存在着大量的惡意攻擊,因此考慮的重點是要避免涉密信息在該層次中的流動。通過硬件防火牆提供專業的網絡防護能力,並對所有訪問請求進行嚴格控制,對所有的數據通訊進行加密后傳輸。
同時,建議設置嚴格的機房管理制度,嚴禁非授權的人員進入機房,也能夠進一步提升整個網絡系統的安全。
1) 廣域網安全規划
企業廣域網安全,主要是通過防火牆和VPN等設備或技術來保障。
防火牆對流經它的網絡通信進行掃描,能夠過濾掉一些攻擊,防火牆還可以關閉不使用的端口,防火牆具有很好的保護作用,入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機,所以出於安全考慮,企業必須購置防火牆以保證其服務器安全,將應用系統服務器放置在防火牆內部專門區域。一般硬件防火牆比軟件防火牆的性能更好,建議選擇企業級的硬件防火牆,硬件防火牆市場知名度高的品牌有CISCO、Check Point、Juniper、H3C、天融信、華為賽門鐵克、聯想網御等,用戶應根據應用情況選擇合適的防火牆。
VPN 即虛擬專用網(Virtual Private Networks) 提供了一種通過公共非安全介質(如Internet)建立安全專用連接的技術。使用VPN技術,甚至機密信息都可以通過公共非安全的介質進行安全傳送。VPN技術的發展與成熟,可為企業的商業運作提供一個無處不在的、可靠的、安全的數據傳輸網絡。VPN通過安全隧道建立一個安全的連接通道,將分支機構、遠程用戶、合作伙伴等和企業網絡互聯,形成一個擴展的企業網絡。
VPN基本特征:
Ø 使企業享受到在專用網中可獲得的相同安全性、可靠性和可管理性。
Ø 網絡架構彈性大——無縫地將Intranet延伸到遠端辦事處、移動用戶和遠程工作者。
Ø 可以通過Extranet連接企業合作伙伴、供應商和主要客戶(建立綠色信息通道),以提高客戶滿意度、降低經營成本。
VPN實現方式:
Ø 硬件設備:帶VPN功能模塊的路由器、防火牆、專用VPN硬件設備等,如Cisco、H3C、深信服、天融信等。
Ø 軟件實現:Windows 自帶PPTP或L2TP、第三方軟件(如CheckPoint、深信服等)。
Ø 服務提供商(ISP):中國電信、聯通、網通等。目前一些ISP推出了MPLS VPN,線路質量更有保證,推薦使用。
2)內網安全規划
企業內網安全系統包括防病毒系統、內網安全管理系統,上網行為管理系統等。
防病毒系統可以采用網絡版防病毒系統或防毒牆等產品(比如金山、瑞星、卡巴斯基等解決方案)。
內網安全系統和上網行為管理系統可以選擇深信服、任子行、IP-guard等解決方案,企業可以通過部署內網安全系統實現研發網和商業信息的信息安全防范工作。對於研發網的信息安全、數據集中存儲和計算資源的統一協調配置,可以通過部署企業桌面虛擬化解決方案來實現。