某某药业网络设计方案(1)

-1-目录一建网目标及功能1.1建网目标：1.2网络功能：二网络设计原则三网络结构设计3.1物理结构设计3.2网络系统的拓扑结构图四网络设备数量规划4.1网络连接设备4.2服务器4.3交换机4.4UPS五网络安全性设计5.1网络信息安全系统设计原则5.2网络信息安全系统设计步骤5.3网络安全需求5.4网络安全层次及安全措施5.5网络信息安全解决方案选型指导5.6网络安全特性检测六应用子系统介绍七费用及时间-2-某某药业网络设计方案网络时代的到来，促进了网络在工业化生产和管理各个方面的普及应用，不仅从根本上改变了人们获取信息、管理企业的方式，而且极大提高了工作质量和效率，网络已经成为现代企业不可或缺的必备物质基础。利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现代化的信息沟通。企业内部网络的建设已经成为提升企业核心竞争力的关键因素。在某某药业网络建设过程中,我们将遵循“统一标准、整体规划、循序渐进、持续发展”的原则，将某某药业的网络建设成为一个先进高效、功能卓越、标准统一、安全可靠的网络，以满足某某药业现代管理规范化、程序化、标准化的需要。一建网目标及功能1.1建网目标：资源共享功能：通过该网络系统可以更多、更及时地了解部门的动态，实现各部门之间的信息交流和资源共享。网络内的各个桌面用户可共享数据库、打印机，可以召开视频会议，实现办公自动化系统中的各项功能。通信服务功能：通过网关与防火墙实现与INTRANET的连接，能够及时获取外部信息，实现信息交流。最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。多媒体功能：可以传播声音和图象，实现对生产流程的监控；支持多媒体组播，具有卓越的服务质量保证功能。远程VPN拨入访问功能：系统支持远程PPTP接入，员工在外地可利用INTERNET远程访问公司资源。该系统具有安全和易于维护的特点并充分考虑到今后升级，为将来远程教育培训和电子商务提供良好的可扩展的支撑平台。1.2网络功能：利用Web电子出版发布企业各种信息，供企业内部或指定客户使用。利用电子邮件，降低通信费用，企业员工可以方便快速地应用电子邮件来传递信息。在Web上开展电子商贸。主要方式有全球范围内的企业形象展示、物资采购、工-3-程招投标等信息服务。远程用户登录，外地员工可以通过多种方式访问内部信息，甚至监控生产过程。远程信息传送，将企业内部的信息传送到用户工作站及其他通讯工具上（如手机等）。企业资源管理信息系统（ERP）应用，如财务、物流、人事管理系统等。企业无纸化办公。通过与Internet相连，进行全球范围的通信及视频会议。新闻组讨论。企业员工可就某一事件通过网络进行深入讨论且自动记录在服务器中。Intranet在企业内部构成强大的信息网络平台，网上用户共享信息资源，Intranet也可与Internet相连，向业务伙伴提供访问网络的通道。二网络设计原则为保证网络的成功实施，在网络设计过程中遵循如下原则：先进性和成熟性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，如划分VLAN、MAC地址绑定、802.1x、802.1d等。在技术上，所选择的服务器操作系统平台、通讯平台及其数据库平台，要求采用严格的用户设置、操作权限控制、设备钥匙、密码控制、系统日志监督等多种手段，以防止系统数据被窃取或篡改；在管理上，制定一套完整的安全保密措施和规章制度，保持系统的可持续发展空间。可扩展性和易维护性为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低人力资源的费用，提高网络的易用性，实现互联互通。-4-实用性和经济性系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。包容性系统框架结构能够适应多种应用平台，具有良好的包容性，易于移植和升级，不会造成重复投资。三网络结构设计3.1物理结构设计为了满足某某药业的需求及长远利益，某某药业企业网络系统设备应依据上述网络设计原则进行选型，在网络设备方面选用先进可靠的网络互联厂商的产品，通过智能、安全及可靠的网络将信息设备连为一体，具备很好的可靠性和稳定性。利用千兆以太网技术建网，网络中心交换机选用华为多功能千兆网管型交换机，选择背板带宽较大产品，完全能够满足某某药业企业内办公、视频和其他应用的需要。在主交换机下方可根据实际情况级联智能型或基本型交换机，来满足不同用户的不同需要，另外考虑到企业内部存在不方便布线地点或移动性很强的用户接入问题，在某些特定的区域设计了无线信号覆盖，通过无线接入点和无线网卡，以超过10M的带宽高速连上企业网。整个企业网通过CISCO宽带路由器实现与INTERNET的连接，该产品支持各种常见接入方式，并能支持局域网上网权限限制。某某药业组建的网络，通过设备选型实现以下几个方面的技术：带宽聚合技术：在两台交换机间提供链路的聚合，提供并行带宽，将多条物理上的连接组成一条逻辑通路（Trunk）。主要功能包括成倍增加带宽和为线路冗余提供可靠性。实现核心网络连接的线路冗余和平衡负载。灵活的带宽控制技术：以64K为单位，对每个端口的输入和输出带宽根据实际需求进行灵活的控制，达到不让某一台或一组工作站占用网络过多带宽的目的。采用MAC地址限制技术：最大可以设置256个MAC地址绑定，实现网络PORT接入的安全保护，同时酌情采用802.1X技术，实现对用户接入的访问控制，进一步提高网络安全性。支持VLAN的划分：基于端口VLAN和支持跨交换机802.1Q的VLAN，增强网络的灵活性，提高网络安全，控制广播风暴。支持无线WEP加密技术：对于无线产品的安全性有较好的保障，支持WEP256位的加密，很大程度上杜绝了非法用户在无线覆盖区域内的接入。某某药业网络采用1000M快速交换以太网的星型拓扑结构，采用这种结构具有以下显-5-著特点：（1）局部故障不至于影响到整个网络的正常运行，因而增强了系统的可靠性和稳定性。（2）星型结构便于故障定位，有利于网络系统的维护。本网络分二级设计，第一级为主干，第二级通到各信息点，个别二级无法到达的信息点采用三级到达。第一级主干网主要是网络中心核心交换机与二级交换机对连，采用光纤1000M传输连接；第二级可采用非智能型交换机与各终端相连，传输速率100M，物理层都采用超五类双绞线连接。以上各级网络均采用TCP／IP协议及其它通用协议。3.2网络系统的拓扑结构图：防火墙交换机数据库服务器工作站工作站工作站路由器RAS访问服务器DDNDDNInternetInternetPSTNPSTNWEB服务器路由器路由器交换机堆叠交换机工作站工作站工作站备份服务器工作站工作站工作站工作站服务器防火墙工作站工作站OA服务器-6-四网络设备数量规划4.1网络连接设备按照规划，所有节点均连入到交换机，暂时不用的可以不开通，但从使用角度考虑，可以一次接通。根据规划，网络设备数量如下表：网络节点网络配线架交换机数量室外光纤PC机数量办公室9051台48口1根12芯20生产车间3021台24口1根12芯10库房4021台24口1根12芯17维修车间2011台12口1根12芯5中心机房2011台24口2合计200115台4根544.2服务器除了上表列出的设备外，网络最核心的部分是网络服务器。所有的应用服务器和基础服务器全部采用机架式服务器，集中放置在中心机房，以便于统一管理，同时结合交换机技术，对核心服务器的访问做特定的条件限制，提高系统的安全性，防止非法入侵。另外显示器、键盘、鼠标从服务器室接出来，让操作人员尽量少进服务器室，减少噪音、灰尘对服务器的影响，提高服务器的物理安全性。（建议：主机房加设门禁系统。）根据现有业务系统和可扩展原则，建议服务器规划如下：服务名称服务器配置级别需求数量功能说明域控制器工作组级1主域控制ERP服务企业级1企业财务、物流等核心业务管理OA服务器工作组级1办公自动化WEB服务器工作组级1主页服务FTP+WEB（外网）工作组级1邮件服务器工作组级1财务软件授权服务器工作组级1GMP认证管理服务器工作组级1流媒体服务器部门级1视频会议等培训考试服务器工作组级1职工教学、培训防病毒服务器工作组级1-7-RAS服务器工作组级1文件服务器部门级1图档服务器部门级1根据上表规划的功能，建议最少配备2台服务器，一台主要安装ERP系统，另一台完成办公自动化功能；在其中一台上安装WEB服务、邮件、RAS服务等等，也可以根据使用情况在两台服务器上分别安装。如果条件允许，从使用角度出发，多配置2-3台服务器，将各项使用功能尽量分开，提高使用效率和可靠性。目前市场上比较流行的服务器品牌主要有IBM、HP、DELL和浪潮，这些都是国际知名的服务器产品供应商，其产品在国际国内市场占有很大份额，产品质量高，售后服务好，任何一家的产品都可以满足某某药业的需求。但这几家服务器产品比较起来各有其特点。IBM、HP是老牌的服务器生产商，产品性能优越，多级产品经销商能够使其产品在世界各地都能根据客户需求做出快速反应，并在产品售后服务上能及时响应客户的故障请求。也正是这些特点，IBM服务器产品相对同类产品价格较高。DELL是PC和服务器供应商的后起之秀，产品质量可靠，其最大特点就是直销这种新型的产品销售方式，减少了销售商这个中间环节，降低了费用，提高了效率，使其服务器产品有很强的性价比，过去一年的销售超过HP、IBM、SUN这些老牌的服务器厂家，成为服务器市场的领头羊。同样是这种方式，DELL的台式机销售增长也一枝独秀，是市场此类机型的首选品牌。浪潮服务器在国内市场占有较大份额，产品质量可以与国外服务器一争高下，由于是本土企业，售后服务不成问题，选择浪潮服务器同样可以满足某某药业对服务器产品的需求。4.3交换机交换机是网络通畅的关键设备。全面评估交换机特别是可堆叠交换机性能的途径是增加对可伸缩性和可管理性能的评估。在谈到可伸缩性时，许多厂商列举了用户端口的数量来支持他们对高可靠性的保证，这是不够的，还要考虑这种配置有没有上行链路，还需确定交换机出现阻塞或饱和的位置。这里有三点需要考虑：内部可伸缩性：堆叠设备之间的互联将可伸缩性限制到什么程度？带宽扩展：有多少端口可以在交换机过载前从10Mbps以太网升级到100Mbps以太网端口？外部可伸缩性：交换机上行链路将向网络其它部分传送的数据流限制到什么程度？许多研究证明，涉及到运行和管理的费用在产品的生命期中耗费的资金比产品的最初购买费用要更多。因此，可管理性成为了评估总体价值的另一项关键因素。可堆叠交换机固有的优势在于管理单一逻辑实体比管理多台必须独立配置和监控的设-8-备更容易。但是，这里仍有其它一些需要研究的因素，包括用于优先数据流的服务质量（QoS）、执行策略的能力、管理VLAN传输流的能力以及易于管理和操作性。QoS特性集中在保存所需带宽和转发传输流来支持不同服务水平的需要。一般可堆叠交换机都支持描述优先级和VLAN的IEEE802.1p及802.1Q标准。但是当涉及到对资源保留协议（用于为特定数据流保留规定带宽的通用机制）的支持时结果却不尽相同，而资源保留对于在建立连接时保证有足够的带宽可供使用是不可或缺的。策略是指控制交换机行为的规则，网络管理员利用策略为应用流分配带宽、优先级以及控制网络访问，其重点是满足服务水平协议所需的带宽管理策略及向交换机发布策略的方式