xxx公司信息系统集成方案

xxx公司信息系统集成方案内容摘要：

据包 ,提高网络运行效率。 可以区分不同的应用和用户 ,方便集团的管理与维护。 建议每栋建筑物内的局域网划分 VLAN。 VLAN 用途如表 1 VLAN 划分用途表 ⑵ IP 地址分配方案 IPv4 的地址结构，各个位的使用规划如图： 07 810 1115 1618 19— 31 集团标识 子公司标识 预留 类别标识 用户空间地址 其中，在项目实施的时候，接入层交换机的 IP 地址建议使用网管类地址空间 10.*.，多层交换机的 IP 地址的 LOOPBACK 接口的 IP 地址建议使用网管类地址 10.*.35.*/32；所有汇聚层设备互联 IP 地址使建议使用互联类空间，相互备份的 2 台汇聚层设备的 IP 地址建议使用互联类地址空间 10.*.。 VLAN 用途 VLAN1 应用类 1 的微机室工作人员 VLAN2 应用类 1 的财务部工作人员 VLAN3 应用类 1 的行政部工作人员 VLAN4 应用类 1 的研发部工作人员 VLAN5 应用类 1 的后勤部工作人员 VLAN6 应用类 1 的人力资源部工作人员 VLAN7 应用类 1 的业务部工作人员 VLAN8 应用类 1 的生产部工作人员 ⑶ 冗余电源 CISCO6509 系列以太网交换机提供了 RPS 电源备份接口，可以对设备提供一对一的电源备份和保护，也可以以一路直流电源对多台支持 RPS 接口的设备进行备份和保护。 ⑷ 生成树（ STP/RSTP/MSTP） CISCO6509 系列以太网交换机支持 STP/RSTP/MSTP 生成树协议。 生成树协议主要用来建立和维护局域网的拓扑，消除循环连接导致的网络广播风暴，并且提供网络的拓扑的冗余备份功能，平时作为备份的路径被阻塞，当主用路径网络设备出现故障时，能够及时调整端口状态，调整网络拓扑。 生成树协议的工作原理：网络中的桥接设备根据设定的优先值和 MAC 地址，确定最优先的设备为网络的根桥，根桥向外定时发送 CONFIG BPDU 报文，每个收到该报文的交换机将报文内容根据自身的配置和所掌握的网络拓扑结构进行更新下发到其他端口，当一个交换机从两个或两个以上端口接 收到 CONFIG BPDU 的时候就表明网络中存在循环，保留其中一个端口为转发状态，设置其余端口为阻塞状态。 除了支持传统的生成树协议外， CISCO6509 系列以太网交换机还支持 IEEE 快速生成树协议 (RSTP)，以及 多生成树协议（ MSTP）。 快速生成树协议是生成树协议的改进，在原有功能的基础上提高了网络保护的性能。 传统生成树倒换时间为 42S，从发现链路断裂、数据中断到数据恢复至少需要三十多秒的时间，而快速生成树协议只需 6～ 8 秒的时间就可以将数据流切换到备份链路上。 多生 成树协议（ MSTP）可以通过支持一个网络内的多个生成树，这使管理员可以把 VLAN 流量分配给唯一的通路。 网络管理员只要为 VLAN 分配独立的生成树拓扑，就可以确保两个 VLAN 都能在网上顺畅传输。 这就可以起到均衡网络流量，提高可靠性的作用。 CISCO6509 系列以太网交换机最大可以支持 17 个或者 33 个 STP 实例。 ⑸ 链路聚合（ Link Aggregation ） 为了在以太网上获得更高的数据传输带宽， CISCO6509 系列以太网交换机提供了二层的端口链路聚合功能（基于标准 IEEE ）。 这样在生成树协议（ STP）和其他二层协议上看，作了链路聚合的所有物理端口被视为同一个端口。 在作了链路聚合的端口之间可以做冗余备份和负载分担。 在实际应用中，进行聚合处理的端口等同于一个端口，任何转发到聚合的端口上的报文会通过对源、目的地址的逻辑运算来分布到聚合的不同端口上。 即使是多播和广播报文也不会被复制多份，也要通过对地址的逻辑计算，将流量平衡分配到不同的端口上。 CISCO6509 系列以太网交换机系统在二层和三层对硬件查表未命中的新地址进行监控。 如果新地址是在聚合的端口上时，根据二层和三层的不同，使用 MAC 地址或 IP地址 进行逻辑计算，根据逻辑的结果选择相应端口为转发端口，发往该目的地址的帧将按照计算负载均衡后的结果进行转发，实现端口之间负载均衡和冗余保护，保证数据流不出现乱序现象。 ⑹ HSRP HSRP 是 CISCO 公司是所特有的。 HSRP 向主机提供了缺省网关的冗余性，减少了主机维护路由表的任务。 当网络边缘设备或接入电路出现故障时， HSRP 提供了一个较好的解决方案，它能够确保用户通信迅速并透明地恢复，以此为 IP网络提供冗余性、容错和增强的路由选择功能。 通过使用热备份路由份协议（ HSRP），可使网络对最终用户的可用性得到充分的 保证。 另外，通过多个热备份组，路由器可以提供冗余备份，并在不同的 IP 子网上实现负载分担。 XXX 科技 集团园区网的 IP 地址规范中规定：网关的地址统一使用子网的最后一个可用地址。 启用 HSRP 协议之后，这个地址就是 HSRP 的虚拟地址。 在成对的两台汇聚层多层交换机上，具体的 HSRP 配置规范如下： 1． 接口的 IP 地址：在第一台多层交换机上，某个 VLAN 虚拟接口的 IP 地址是子网的最后第三个可用地址，在第二台多层交换机上，某个 VLAN 虚拟接口的 IP 地址是子网的最后第二个可用地址。 2．热备份组号：热备份组号与接口的 VLAN 号相同。 3．热备份地址：热备份地址是子网的最后一个可用地址。 4．热备份优先级：在主用的多层交换机了，某个 VLAN 虚拟接口的热备份优先级是 120。 并且主用的汇聚层交换机配置占先权。 ⑺ 等价路由（ ECMP） 除了从设备级支持三层转发容错协议 VRRP 之外， CISCO6509 系列以太网路由交换机还支持等价路由（ ECMP）。 等价路由即为到达同一个目的 IP 或者目的网段存在多条 COST 值相等的不同路由路径，当设备支持等价路由时，发往该目的 IP或者目的网段的三层转发流量就可以通过不同的路径分担，实现网络的负载 均衡，并在其中某些路径出现故障时，由其它路径代替完成转发处理，实现路由冗余备份功能。 不仅从软件上，而且从硬件上也支持等价路由是 CISCO6509 系列以太网路由交换机与业界类似产品相比显著的优点。 以前部分路由交换机虽然也宣称支持等价路由，但实际上只是从软件上支持，对软件转发的报文可以使用等价路由，但对于由硬件直接转发的报文，则只能从一条固定路径转发。 而 CISCO6509 系列以太网路由交换机从硬件上也实现了等价路由的支持，真正实现了硬件三层转发流量的负载分担与路由冗余备份。 CISCO6509系列以太网 路由交换机最大支持 4条等价路由，并且不论 RIP、 OSPF等路由协议产生的路由，还是静态配置路由，不论是网段路由还是主机路由，甚至缺省路由，都可以支持等价路由。 CISCO6509 系列以太网路由交换机在支持等价路由、实现负载均衡的同时，还能很好地保证报文的有序性。 通过数据流的目的 IP地址和源 IP地址进行计算，CISCO6509系列以太网路由交换机可以保证同一个 IP转发流都从同一个路由路径被转发出去，从而保证了整个端到端网络的路由报文转发的有序性，避免了 TCP全局同步等问题的发生。 ⑻ 策略路由（ PBR） CISCO6509 系列以太网路由交换机支持高性能的策略路由。 策略路由（ POLICYBASED ROUTING，简称 PBR）是目前越来越多的路由器或三层交换机设备正在支持的一项路由扩展功能，支持策略路由的设备不仅能以报文的目的 IP 地址为依据来进行路由选择，还可以以报文的源 IP 地址、源 MAC 地址、报文大小、报文进入的端口、报文类型、报文的 VLAN 属性等等其它扩展条件来选择路由。 通过合理的路由策略设计，可以实现网络流量的负载均衡，充分利用路由设备，并实现路由、交换设备之间的冗余备份功能，同时提供各种可以区分的服务等 级，为不同用户提供不同的 QOS 服务。 策略路由是设置在接收报文接口而不是发送接口。 CISCO6509 系列以太网路由交换机可以很好地支持策略路由功能，并且可以将路由下一跳重定向到某个物理端口，或者某个下一跳 IP 地址。 VPN解决方案 需求概述 企业 网络安全问题 是信息网络系统中 面对的最重要问题之一。 网络带宽的扩充、 IT 应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。 WEB 时代的安全问题已远远超于早期的单机安全问题，尽管防火墙、 IDS、 UTM 等传统安全产品 在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。 这些都使传统的安全设备在保护网络安全上越来越难。 目前更多的出现了以下的安全问题： 投资成本攀升，运维效率下降 “数据库泄密”、“网页遭篡改”等应用层安全事件 的发生 网管员对企业流量 控制 束手无策 部署 UTM，网络中断或访问变慢 内网出现威胁，追究责任困难 方案设计 结合上述的用户需求以及 IT 系统业务应用交付的过程，我公司提供一个端到端的可视化应用安全防护方案。 网络拓扑图 方案描述 针对 企业园区网络的出口部署安全设备可能会遇到的问题， 我们 推荐深信服VPN2050 VPN 网关，为业务系统提供安全防护。 避免带宽浪费，降低投资成本 为客户提供一套精细的内网流量管理手段。 在无需增加带宽 扩容成本的前提下，最大限度提高带宽利用率。 保障关键应用带宽需求，提升带宽价值 细致划分带宽资源，保证核心业务的带宽需求，限制非业务应用的带宽占用，彻底解决 P2P 滥用带宽等问题，大幅度提升 业务运行效率。 全面洞悉网络中应用流量分布情况 提供细致且直观的流量分布、趋 势、对比报表等，让网络更加透明，为组织的 IT 决策提供科学依据。 产品优势 VPN2050 采用基于队列的流量处理机制和分层三色令牌桶技术，并结合 DPI（数据包深度内容检测）、 DFI（动态流状态检测） 及智能识别等网络应用及数据识别技术，通过高性能硬件平台为客户提供业界性能卓越的流量管理方案。 其强大的应用识别能力、以及丰富的 流量管理策略，可以实现对网络流量的全面透析与管控，优化网络带宽，为网络管理者提供了前所未有的网络可见性，真正意义上帮助用户构建可视、可控、可优化 的高效网络。 超强的网络应用识别能力 内置中国最大的应用协议识别库及千万级规模 URL 库，外加基于网页内容的智能识别技术，可识别绝大多数的应用和网址，确保对各种流量实现有效管控； 基于统计学的 P2P 智能识别技术，实现对加密的、版本泛滥的、同一版本多次变种、以及不常见的 P2P 应用进行全方位识别，为有效的管控 P2P 应用提供了强大的技术保证； 基于文件类型的精确识别有效管控 HTTP、 FTP 文件上传、下载流量，保证网络带宽的合理利用； 最丰富的流量管理手段 可基于用户 /用户组、 IP/IP 组、应用类型 /网站类型 /文件类型、时间段进行流量控制； 支持按照物理 线路 — 〉虚拟线路 — 〉虚拟通道 — 〉用户通道的多级流量分类与带宽分配； 支持基于外网 IP 的流量管理。