站内搜索: 商品 资讯 职位 下载
产品分类
产品搜索
  • 商品分类
  •  
您现在的位置:产品首页 >> 青岛天鼎成 >> 解决方案 >> 按产品分类 >> 网络 >> 中型机构基础网络解决方案 华为网络主品
  • ·: 中型机构基础网络解决方案 华为网络主品
  • 编号: BW-NETWORK-008
  • 浏览次数: 15

好友推荐

1中型机构基础网络规划

1.1 核心层设计规划

青岛天鼎成公司跟据客户现有情况,对于核心层的设计主要为数据转发,所以核心层用于转发各部门之间的流量,采用AR3200 路由器作为核心层出口设备,S7700 系列交换机汇聚内部服务器区、DMZ 区和接入区流量,使内部服务器区、DMZ 区、Internet 区和内部业务区进行互联,支撑内外部的业务流量。核心层部署专业防火墙设备,实现安全防护的同时也作为远程接入VPN 的网关,实现外派员工与中型机构的互访。

1.2 汇聚层设计规划

汇聚层是部门的核心,转发部门用户间的“横向”流量。同时提供到核心层的“纵向”流量。S5700 系列交换机汇聚S2700 交换机上送的业务流量,用于支撑该汇聚层下各业务部门之间的互访。

1.3 接入层设计规划

接入层是最靠近用户的网络,为用户提供各种接入方式,是终端、边缘和IP 电话等设备接入网络的第一层,一般都部署二层设备。有线用户通过S2700 交换机接入;无线用户通过WA600 系列胖AP 进行无线接入。

1.4 出口设计规划

中型机构通过AR 获取公网地址,实现与WAN/Internet 的互访,可以采用设置IP 静态地址或PPP 动态方式获取公网地址。

1.5 可靠性设计规划

AR 上行采用WAN 和3G 链路备份方式,以WAN 侧链路为主用链路,3G 链路平时不使用,仅作为备份。S57 系列交换机采用堆叠技术,将多台S57 系列交换机虚拟化为1 台设备,一旦主用S57 系列交换机出现故障后,其他交换机能立即接替其成为主用交换机。

1.6 安全性设计规划

通过E 系列专业防火墙功能解决如下安全问题:中型机构内、外网之间的访问控制,实现中型机构内、外网的安全隔离。外派员工与中型机构DMZ 区的访问控制,实现外派员工与内网的安全隔离。

2 中型机构基础网络业务方案

2.1 数据业务规划

青岛天鼎成公司跟据其数据业务发展,对此有以下规划,有线用户数据业务:S2700 交换机作为二层接入设备,通过VLAN 划分用户。S5700 交换机作为汇聚交换机聚合S2700 上送的VLAN 流量,S7700 交换机通过DHCP 方式为有线用户分配IP 地址。企业可以根据自身分区情况,划分多个IP 地址段。S7700 交换机通过静态路由与AR3200 互通,AR3200 上行通过公网地址接入WAN/Internet 网络,通过AR3200 做NAT,进行私网地址到公网地址的转换,实现有线用户与WAN/Internet 网络的互访。无线用户数据业务:WA600 系列AP 作为瘦AP,S7700 交换机内置AC 板卡,与WA600 系列AP 建立CAPWAP 隧道,无线用户通过PSK 方式接入S7700 交换机,S7700 交换机作为三层网关,通过DHCP 方式为无线用户分配IP 地址。AR3200 上行通过公网地址接入WAN/Internet 网络,通过AR3200 做NAT,进行私网地址到公网地址的转换,实现无线用户与WAN/Internet 网络的互访。具体内容请参见7 中小型机构高级无线解决方案。外派员工数据业务:防火墙需要支持NAT 穿越,AR3200 做NAT 转换,实现IPSec VPN 的NAT 穿越。外派员工通过IPSec VPN 方式与中型机构的防火墙建立隧道,实现外派员工与中型机构的互访。可以在外派员工的电脑中安装硬件或通过纯软件方式来实现IPSec VPN 功能。企业出差用户也可以通过SSL VPN 方式访问中型机构,可以在防火墙部署SSL VPN 功能,实现外派员工的访问需求。服务器数据业务:企业事先规划好服务器区和DMZ 的服务器地址,服务器使用静态地址。S2700 交换机作为二层接入设备,通过VLAN 划分服务器,内部服务器区和DMZ 区的服务器以S7700 交换机作为网关。

2.2 语音业务规划

基于中型机构人数规模,建议中型机构自行进行控制,AR 作为PBX 场景应用,用户语音信息到AR 注册,由AR 统一分配号码及管理。具体内容请参见8 中小型机构高级语音解决方案。

2.3 安全业务规划

如果需要对用户的接入安全进行控制,则建议部署NAC 方案。有线用户可以采用在S2700 交换机上部署802.1X 认证或者在S77 系列交换机上部署Portal 认证的方式,无线用户可以采用在S77 系列交换机上部署Portal 认证的方式,均可以实现对用户接入的安全控制,具体内容请参见6 中小型机构高级安全解决方案。

3 中型机构基础网络技术方案

3.1 VLAN 设计

VLAN 是将LAN 内的设备逻辑地而不是物理地划分为一个个网段,从而实现在一个LAN 内隔离广播域的技术。VLAN 技术既隔离了广播域,减少了广播风暴,又增强了信息的安全性。VLAN 通常根据业务需要进行规划,需要隔离的端口配置不同的VLAN,需要防止广播域过大的地方配置VLAN 用于减小广播域。VLAN 最好不要跨交换机,即使跨交换机数目也需要限制。S2700 根据接入位置为不同PC 分配不同的VLAN,不同S2700 交换机采用不同的VLAN,避免广播域过大,利于问题及时定位。S5700 交换机汇聚S2700 交换机的VLAN 信息,通过S7700 系列交换机实现VLAN 的终结。

3.2 IP 设计

IP 地址动态IP 与静态IP 的选取,原则上服务器、特殊终端设备建议采用静态IP。办公用设备建议使用DHCP 动态获取(如办公用PC 等)。AR3200 上行优选固定IP 地址接入,其次选择PPP 方式接入。S7700 作为DHCP 网关和DHCP Server,为有线、无线用户分配私网IP 地址。服务器采用静态IP 地址接入。

3.3 DHCP 设计

DHCP 部署基本原则为固定IP 地址段和动态分配IP 地址段保持连续,按照业务区域进行DHCP 地址的划分,便于统一管理及问题定位。启动DHCP 安全功能,禁止非法DHCP Server 的架设和非法用户的接入。有线用户通过S2700 交换机携带VLAN 信息,S7700 交换机作为DHCP 网关和DHCP Server,S7700 交换机终结VLAN 并给有线用户分配私网IP 地址。无线用户通过CAPWAP 隧道方式接入S7700 交换机。WA600 系列AP 终结无线报文,通过CAPWAP 隧道透传无线用户的DHCP 请求报文,S7700 交换机终结该请求报文,给无线用户分配私网IP 地址。

3.4 NAT 设计

NAT 称为网络地址转换,用于实现私有网络和公有网络之间的互访。AR3200 部署NAT 特性,实现用户侧私网地址到网络侧公网地址的转换,实现用户与WAN/Internet 的互访。在中型机构基础网络场景中,WAN 侧和3G 侧都需要部署NAT 特性,以防止某侧链路出现故障后仍能实现私网地址到公网地址的转换。

3.5 安全设计

防火墙E1000E 将WAN/Internet 区域、3G 区域划分为untrust 区域,公用服务器区域划分为DMZ 区,其他区域划分为trust 区域。允许trust 区域和DMZ 区域互访,允许untrust 区域与DMZ 区域互访,不允许trust 区域和untrust 区域之间直接互访。基于安全考虑,建议防火墙部署ARP 防攻击功能,接入交换机部署DHCP Snooping 功能,以防止非法的ARP 报文对网络的攻击。

3.6 远程接入设计

中型机构访问WAN/Internet 通过AR 的NAT 功能实现。外派员工通过IPSec VPN 访问中型机构。建议采用ESP 封装模式,封装新的IP 报文头并对原始数据报文进行加密,更为安全。外派员工也可以通过SSL VPN 访问中型机构。

3.7 可靠性设计

链路备份设计:AR 上行采用WAN 和3G 链路备份方式,以WAN 侧链路为主用链路,3G 链路平时不使用,仅作为备份。一旦WAN 侧链路发生故障,则AR 自动切换到3G 链路,从3G 链路获取公网地址后进行NAT 转换,实现中型机构与网络侧的访问。考虑到WAN 侧链路比3G 链路安全性高,不受天气影响,WAN 链路带宽也优于3G 链路,建议当WAN 侧链路恢复后,采用AR 自动回切功能,将使用的3G 链路拆掉,重新切换到WAN 侧链路。设备备份设计:S5700 交换机作为汇聚设备,一旦出现故障将导致所有用户均无法访问网络侧,在中型机构中建议S5700 交换机采用堆叠技术,将多台S5700 交换机虚拟化为1 台设备,一旦主用S5700 交换机出现故障后,其他交换机能立即接替其成为主用交换机,确保中型机构网络业务的正常运行。

3.8 网管设计

部署eSight 网管系统进行日常网络维护。

4 中型机构基础网络方案特点

有线无线一体化:内置AC,有线无线统一调度,节省投资。可扩展:低投资、高性能,灵活网络架构,随时扩展语音、无线业务,保护已有投资。易维护:通过网管简单配置,无需专职网管人员。可靠性高:核心汇聚采用堆叠,AR 路由器采用3G 链路备份,网络层次少,维护简单。

关键词: 中型网络