站内搜索: 商品 资讯 职位 下载
产品分类
产品搜索
  • 商品分类
  •  
您现在的位置:产品首页 >> 盛世博威 >> 解决方案 >> 按产品分类 >> 网络 >> 小型机构基础网络解决方案 华为网络系列产品
  • ·: 小型机构基础网络解决方案 华为网络系列产品
  • 编号: BW-NETWORK-003
  • 浏览次数: 42

好友推荐

1 小型机构基础网络规划

1.1 核心层设计规划

山东盛世博威公司跟据客户现有情况,对于核心层的设计主要为数据转发,所以核心层用于转发各部门之间的流量,采用AR1200 路由器作为核心层出口设备,S3700 系列交换机汇聚内部服务器区和接入区流量,使内部服务器区、DMZ 区、Internet 区和内部业务区进行互联,支撑内外部的业务流量。

1.2 接入层设计规划

接入层是最靠近用户的网络,为用户提供各种接入方式,是终端、边缘和IP 电话等设备接入网络的第一层,一般都部署二层设备。有线用户通过S2700 交换机接入、S3700 交换机汇聚流量到AR1200 进行有线接入,无线用户通过WA600 系列胖AP 进行无线接入。

1.3 出口设计规划

小型机构通过AR 获取公网地址,实现与WAN/Internet 的互访,可以采用设置IP 静态地址或PPP 动态方式获取公网地址。

1.4 安全性设计规划

通过AR1200 集成防火墙功能解决如下安全问题:小型机构内、外网之间的访问控制,实现小型机构内、外网的安全隔离。外派员工与小型机构DMZ 区的访问控制,实现外派员工与内网的安全隔离。

2 小型机构基础网络业务方案

2.1 数据业务规划

山东盛世博威公司跟据其数据业务发展,对此有以下规划有线用户数据业务:S2700 交换机作为二层接入设备,通过VLAN 划分用户。S3700 交换机作为汇聚交换机聚合各接入交换机上送的VLAN 流量到AR1200,AR1200 通过DHCP 方式为有线用户分配IP 地址。企业可以根据自身分区情况,划分多个IP 地址段。AR1200 上行通过公网地址接入WAN/Internet 网络,通过AR 做NAT,进行私网地址到公网地址的转换,实现有线用户与WAN/Internet 网络的互访。无线用户数据业务:WA600 系列AP 作为胖AP,无线用户通过PSK 方式接入WA600 系列AP,AR1200 作为三层网关,通过DHCP 方式为无线用户分配IP 地址。AR1200 上行通过公网地址接入WAN/Internet 网络,通过AR1200 做NAT,进行私网地址到公网地址的转换,实现无线用户与WAN/Internet 网络的互访。外派员工数据业务:外派员工通过IPSec VPN 方式与小型机构建立隧道,实现外派员工与小型机构的互访。可以在外派员工的电脑中安装硬件或通过纯软件方式来实现IPSec VPN 功能。服务器数据业务:企业事先规划好服务器区和DMZ 的服务器地址,服务器使用静态地址,S2700 交换机作为二层接入设备,通过VLAN 划分服务器,内部服务器区和DMZ 区的服务器以AR1200 作为网关。

2.2 语音业务规划

基于小型机构人数规模,如果总部需要对小型机构进行控制,AR 作为AG 场景应用,则用户语音信息到总部注册,由总部统一分配号码及管理,可以由总部提供丰富的语音业务,但是会增加总部的负荷。如果小型机构需要自行进行控制,则AR 作为PBX 场景应用,用户语音信息到AR 注册,由AR 统一分配号码及管理,减轻了总部的负荷,但是无法使用总部提供的丰富的语音业务。具体内容请参见8 中小型机构高级语音解决方案。

2.3 安全业务规划

如果需要对用户的接入安全进行控制,则建议部署NAC 方案。可以采用在S2700 交换机上部署802.1X 认证或者在AR 上部署Portal 认证的方式,均可以实现对用户接入的安全控制,具体内容请参见6 中小型机构高级安全解决方案。

3小型机构基础网络技术方案

3.1 VLAN 设计

VLAN 是将LAN 内的设备逻辑地而不是物理地划分为一个个网段,从而实现在一个LAN 内隔离广播域的技术。VLAN 技术既隔离了广播域,减少了广播风暴,又增强了信息的安全性。VLAN 通常根据业务需要进行规划,需要隔离的端口配置不同的VLAN,需要防止广播域过大的地方配置VLAN 用于减小广播域。VLAN 最好不要跨交换机,即使跨交换机,数目也需要限制。S2700 根据接入位置为不同PC 分配不同的VLAN,不同S2700 交换机采用不同的VLAN,避免广播域过大,利于问题及时定位。S3700 交换机汇聚S2700 交换机的VLAN 信息,透传给AR1200 设备,实现VLAN 的终结。

3.2 IP 设计

IP 地址分为动态IP 与静态IP 的选取,原则上服务器、特殊终端设备建议采用静态IP。办公用设备建议使用DHCP 动态获取如办公用PC 等。AR1200 上行优选固定IP 地址接入,其次选择PPP 方式接入。AR1200 作为DHCP 网关和DHCP Server,为有线、无线用户分配私网IP 地址。服务器采用静态IP 地址接入。

3.3 DHCP 设计

DHCP 部署基本原则为固定IP 地址段和动态分配IP 地址段保持连续,按照业务区域进行DHCP 地址的划分,便于统一管理及问题定位。启动DHCP 安全功能,禁止非法DHCP Server 的架设和非法用户的接入。AR1200 作为DHCP 网关和DHCP Server,为有线、无线用户分配私网IP 地址。有线用户通过S2700 交换机携带VLAN 信息,S3700 交换机聚合S2700 交换机上送的VLAN 流量到AR1200,AR1200 终结VLAN 后给有线用户分配私网IP 地址。无线用户通过PSK 方式接入WA600 系列AP,WA600 系列AP 终结无线报文,二层透传无线用户的DHCP 请求报文,AR1200 终结VLAN 后给无线用户分配私网IP 地址。

3.4 NAT 设计

NAT 称为网络地址转换,用于实现私有网络和公有网络之间的互访。小型机构内部使用私有IP 地址,小型机构出口AR 使用公网地址与外界通信,AR 需要部署NAT 特性,实现用户侧私网地址到网络侧公网地址的转换,实现用户与WAN/Internet 的互访。

3.5 安全设计

AR 部署防火墙功能,将WAN/Internet 区域划分为untrust 区域,公用服务器区域划分为DMZ 区,其他区域划分为trust 区域。允许trust 区域和DMZ 区域互访,允许untrust 区域与DMZ 区域互访,不允许trust 区域和untrust 区域之间直接互访。

基于安全考虑,建议AR 部署ARP 防攻击功能,接入交换机部署DHCP Snooping 功能,以防止非法的ARP 报文对网络的攻击。

3.6 远程接入设计

小型机构访问WAN/Internet 通过AR 的NAT 功能实现。外派员工通过IPSec VPN 访问小型机构。建议采用ESP 封装模式,封装新的IP 报文头并对原始数据报文进行加密,更为安全。

3.7 网管设计

部署eSight 网管系统进行日常网络维护。

4 小型机构基础网络方案特点

可扩展:低投资、高性能,灵活网络架构易扩展,保护已有投资。易维护:扁平网络,层次少,简易网管配置简单,无需专职网管人员。区域划分清晰:部门间物理/逻辑隔离,保证业务安全,易排错。绿色节能:绿色节能、无噪音。

关键词: 接入层 交换机