您好,欢迎访问三七文档
宁夏银行新办公大楼局域网建设方案一.总体设计原则基于宁夏银行目前现状和未来业务发展的要求,在网络扩容设计构建中,需要根据现有网络环境和网络改造需求,制定详细的技术方案,满足我行新办公大楼的需求(办公、生产、信贷、资金管理,互联网等各项业务和特殊部门和岗位的特殊网络需求),并充分考虑网络的性能、可靠性、可管理性和可扩充性。根据上述需求,在制定技术方案时,考虑到银监局对金融信息化系统的要求,现提出两套设计方案:(一)生产办公和互联网纯物理隔离的两套网络,即:生产办公一套网,互联网一套网,互不链接。这样的网络设计符合银监会对金融系统信息网络的要求,便于管理,但费用较高。(二)生产办公和互联网用逻辑隔离的方式实现,即整个新大楼建设一套局域网,所有网内节点都可上生产办公和上互联网络,用逻辑隔离的方式实现管理。此设计方案费用较少,管理方便。两套设计方案都必须具有如下性能:1.1系统的高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证。系统的高可靠性体现在合理的网络架构,高可靠性网络产品,可靠的网络备份策略,保证网络具有故障自愈的能力。1.2系统的高安全性伴随金融信息化的不断深入,行业内部之间的信息交换将更加频繁。本项目建成后,此网络将面对信息安全的不断挑战。管理信息网络中传输的数据将包含管理和经营的涉密信息,对安全性有很高的要求。因此,新办公大楼网络安全服务功能在本项目中至关重要,需要考虑到业务系统关键数据的完整性和安全性。网络架构需要具有完整安全体系防护的服务能力,以确保员工生产、办公和用户、合作伙伴的信息安全,降低经营风险。1.3系统的统一性新办公大楼的网络架构的构造、网络规划和网络管理都建立在“一个整体”的基础之上。新办公大楼局域网是我行整体网络信息系统的一个子系统,应保证新大楼局域网和我行整体网络信息系统兼容。1.4系统标准开放性新大楼的网络系统是一个覆盖生产办公管理信息系统的网络平台,其上会有许多不同厂商开发的计算机设备和应用系统同时运行。为了使这些系统能够稳定、可靠、高效的正常运作,所有的系统必须遵循共同的规则(标准)。因此,整个网络系统应在国家政策的许可下完全采用符合国际(或国家)通用的、开放的标准网络协议和技术,保证我行的网络系统及运行其上的应用系统的正常工作,以及与其它网络的互联互通。1.5灵活性和可扩展性作为承载平台的网络系统必须能够随着应用系统的变化而自由缩放。所以建设的网络系统必须具备良好的灵活性及可扩展性,即网络架构在功能、容量、覆盖能力等各方面具有易扩展能力,以适应快速的业务发展和变化的业务需求对基础架构的要求。1.6整体网络可管理性新办公大楼网络系统应建设成为我行整体网络信息系统的管理子系统,随时有效监控全行的整个网络信息系统,保障生产办公等各项业务的顺利进行。1.7网络技术的先进性和成熟性网络建设必须具有一定的前瞻性,技术上具有总体先进性,同时考虑到网络的稳定运行需求,技术选择必须考虑成熟性与先进性相结合。具体设计方案见附件附件:1方案描述1.1网络拓扑设计1.1.1设计策略在进行网络设计时,应根据应用需求和设计原则制定设计策略,在设计网络时,所制定的设计策略如下:首先,网络设计采用模块化设计思想,将网络划分为几个大的功能模块。采用模块化设计思想的优势主要为:增加新的功能模块时,只需对该模块进行设计,不会对原有网络结构造成较大变化;现有功能模块发生变化时,只需对该模块进行修改,该模块的变化一般不会波及到整个网络;在网络的运行维护过程中,管理人员能够进行方便的管理,在出现故障时,也能够快速进行故障定位、诊断与故障排除。第二,在设计中要充分考虑到技术的成熟性与先进性。采用成熟的网络技术,能够充分保证网络的健壮性;同时,采用较为先进的技术,能够使网络能够满足应用较长时间的需求。第三,在设计网络拓扑结构时应采用冗余结构,保证系统的可用性和可靠性。除网络线路和设备要有冗余外,关键设备还具有冗余的处理器、风扇、电源、交换备板等,保证整个网络的可用性和可靠性。第四,保证网络的安全性。网络安全是极其重要的,在设计中从设备、网络、系统等级别进行了安全考虑,保证了整个网络的安全和应用系统的初步安全。第五,根据本系统的特点,保证网络的可管理性。1.1.2分层设计原则宁夏银行网络按照网络核心层、接入层进行设计,每个层次实现相对独立的功能,保障了网络在每个层次上的平行扩展,实现网络在服务功能、规模上的扩展能力。1.核心层:提供高速的三层交换骨干。核心层不进行终端系统的连接;核心层不实施影响高速交换性能的ACL等功能。2.接入层:提供Layer2的网络接入,通过VLAN定义实现接入的隔离。在接入层设计时,应考虑以下几点:接入层接入端口规划容量应根据实际使用情况考虑扩展性;各功能分区的接入层相对独立;不同类型的接入层应各自分开,连接到对应功能区的分布层。随着网络设备与布线成本的降低,网络维护成本的增加,以及用户对网络性能需求的增加,在园区网的设计中,局域网逐渐开始采用两层物理结构进行网络的建设,即:核心层和接入层。每一个层次结构内部均采用冗余的架构来保障该层功能的稳定可靠。在相邻层次之间,同样需要采用冗余的连接(物理连接或协议)来保障各层次结构之间的稳定可靠。例如:在系统与接入层设备之间,接入层设备与核心层设备之间,都必须采用冗余的连接,以消除单点故障。1.1.3网络拓扑结构网络拓扑结构图宁夏银行新大楼网包括核心区、楼层接入区。考虑到楼层接入的分布性和设备供电的可靠性,建议在新大楼中布置两个竖井,其中每个竖井对应一个楼层配线间,并采用双星型结构布线,从而实现双星型的网络拓扑。核心区:核心区是宁夏银行大楼的网络核心,同时设备还担负着业务管理,安全隔离等分布层的职能,从而完成稳定的业务汇聚,核心交换机之间可以通过万兆接口捆绑互联提升核心区的高性能和高可靠性,核心区建议使用2台S9505E核心交换机组成,每台设备均配置了FW、无线控制器模块,从而实现边界安全的防御和大楼内无线AP接入管理防火墙插卡模块的使用可以消除局域网接入层对上层网络的安全隐患,也相当于在交换机每个千兆光电端口前免费部署了一台虚拟的防火墙。局域网接入区:楼层接入区负责本楼层各个业务部门的信息点接入,同时也担负着业务控制,安全控制等分布层的职能。楼层接入区建议使用千兆接入。接入层设备通过冗余的光纤分别连接上层核心交换机形成可靠的高速核心网络。另外,随着基于无线技术的业务(如:WifiPhone)不断丰富,WLAN网络将会成为办公及生产网络不可或缺的接入方案。本次H3C推荐的核心交换机支持WLAN无线控制器模块,在设备上扩展该模块后,可以平滑的使网络具备瘦AP接入能力,以满足后续宁夏银行大楼扩展无线功能,无需额外的机房空间,减少工程难度。随着WLAN技术的快速发展和不断成熟,目前在国内外已经具有较多的政府机构使用WLAN技术布置无线城域网,进行承载部分政府业务,诸如:电子政备、消防、公安信息等等,如:美国费城、荷兰阿姆斯特丹等。无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。第一代无线局域网主要是采用FatAP(即“胖”AP),每一台AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈,由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radiusclient的安全密码(secret)等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量(IPsessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FITAP(即“瘦”AP)的架构,对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的WLAN交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。FATAP与FITAP两种组网方案对比目前网络组建依然沿袭传统的设备堆叠的方式,当网络中需要什么功能的设备就新添置一台设备,即在原有的设备基础上不停的叠加新的设备,如无线、防火墙、IPS、语音、应用加速等等,如此以往,当网络需求的功能越来越多时,需要新增加的设备也就越来越多,整个网络就像糖葫芦串一样,一旦网络出现故障,需要排查的节点太多,不但会浪费大量时间,也使得用户重复投资严重,另外,这种组网将耗费大量的机房空间和电力、网络管理复杂,即总拥有成本(TCO)非常高。H3C魔方矩阵式组网是在H3C核心网络设备上可以集成各种防火墙、无线、IPS、应用加速、统一通信等模块,可以按需功能扩展;另外,此方式还有很强的虚拟化能力,可以根据业务的需要将一张物理网络虚拟成多张业务网,轻松面对业务扩展需要。相对传统组网方式,不但降低用户投资,而且统一管理,方便维护。1.1.4宁夏银行资金部特殊的网络拓扑结构帧中继帧中继宁夏银行资金部特殊业务网络拓扑图宁夏银行资金部特殊业务网络拓扑图1.1.5宁夏银行电子银行、财务会计部、国际部、资金部特殊网络拓扑2M主线路64K备份线路宁夏银行电子银行,财务会计部,国际部,资金部特殊网络拓扑数据中心100M100M
本文标题:局域网设计方案材料
链接地址:https://www.777doc.com/doc-6152009 .html