背景
某集团经过多年的经营,公司业务和规模在不断发展,公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼、研发大楼和厂房的落成,IT部门也需要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部分:
楼宇智能化规划和建设方案:主要包括视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。
企业IT基础架构规划和解决方案:主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型等。
本方案主要是针对某集团企业IT基础架构进行规划,并提出解决方案和进行投资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。
企业IT架构
一般企业的IT架构情况,本方案主要针对IT基础架构部分进行规划,并提供选型和部署参考,关于企业IT业务应用系统部分的规划和建设请参考其它方案。
网络系统规划
当前,企业一般能给信息化方面投入有限。除了人力有限,还缺少专业人才,应用能力、维护能力、开发能力、实施能力等都普遍较弱,这就要求网络架构成熟、稳定安全、高可靠、高可用,尽可能少投入人力和金钱进行维护。其次,由于企业首要解决的是生存问题,根本没办法做到“先信息化,再做业务”,因此网络建设实施要求必须容易,实施时间必须极短。
企业的组网方案主要要素包括:局域网、广域网连接、网络管理和安全性。具体来说企业组网需求:
Ø 建立安全的网络架构,总部与分支机构的网络连接;
Ø 安全网络部署,确保企业正常运行;
Ø 为出差的人员提供IPSec或者SSL的VPN方式;
Ø 提供智能管理特性,支持浏览器图形管理;
Ø 网络设计便于升级,有利于投资保护。
企业一般的组网结构如下图,大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构,小企业则单线路的连接方式。
通过对一般企业的信息化情况和网络规划要素进行分析,从总体上看,规划方案必须具有以下特点:
Ø 网络管理简单,采用基于易用的浏览器方式,以直观的图形化界面管理网络。
Ø 用户可以采用多种的广域网连接方式,从而降低广域网链路费用。
Ø 无线接入点覆盖范围广、配置灵活,方便移动办公。
Ø 便捷、简单的统一通信系统,轻松实现交互式工作环境。
Ø 带宽压缩技术,高级QoS的应用,有效降低广域网链路流量。
Ø 随着公司业务的发展,所有网络设备均可在升级原有网络后继续使用,有效实现投资保护。
Ø 系统安全,保密性高,应用了适合企业的低成本网络安全解决方案。
安全基础网络规划方案
根据对某集团的实际调研,获取了企业的网络需求,以此来制定企业基础网络建设规划方案和网络设备选型参考;以下提供基础版和企业版两种规划方案
1) 网络需求:
企业规划的网络节点为500个,主要的网络需求首先是资源共享,网络内的各个桌面用户可共享文件服务器/数据库、共享打印机,实现办公自动化系统中的各项功能;其次是通信服务,最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问;还有就是公司门户网站和网络通信系统(企业邮箱、企业即时通信和企业短信平台等)的建立。
2) 基础版规划方案
本方案适用于200~300台电脑联网,核心采用H3C S5500-28C-SI或S5500-20TP-SI交换机,以千兆双绞线/光纤与接入交换机及服务器连接;用户接入H3C S3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机。Internet出口采用H3C MSR20-1X多业务路由器作为Internet出口路由、Secpath F1000-C或者UTM作为安全网关和移动用户的VPN接入网关。网络拓扑图如下:
设备选型和部署参考如下:
业务 | 需求 | 设备选型参考 | 配置说明 | 数量 | 部署位置 |
数据 | 核心交换机 | H3C S5500-28C-SI 或H3C S5500-20TP-SI | 全千兆三层核心 | 1 | 核心机房 |
接入层交换机 | H3C S3100-26TP-SI 或H3C S3100-52TP-SI | 接入层支持光电复用千兆上行, 支持混合堆叠 | 26TP:15台 52TP:8台 | 各楼层或机房 | |
路由器 | H3C MSR20-1x路由器 | 转发率160Kpps,256M 内存,支持GE/FE交换模块,同异步串口模块,E1/PRI模块,语音模块,加密模块 | 1~2 | 核心机房 | |
安全 | 防火墙 | H3C SecPath F1000-C或H3C SecPath U200 | 支持应用层报文过滤 | 1 | 核心机房 |
VPN | 支持DVPN | ||||
互联网接入 | 10M光纤接入 | 电信10M光纤接入 | 配静态IP地址 | 1~2 | 核心机房 |
方案特点:
Ø 高性价比:能够让中小企业低投资拥有高性能、经济的网络;
Ø 简易性:结构简单、安装快速、简单,维护无需配置专职人员;
Ø 高性能:最低投资做到千兆骨干、百兆接入;
Ø 可扩展性:灵活的网络架构,能根据用户需要随时扩展,并保护已有投资。
3) 高级版规划方案:
本方案适用于500~800台电脑联网,三层网络结构,万兆骨干,百兆接入;网络核心层采用H3C S7500交换机,同时配置相应数量的千兆端口分别连接应用服务器、接入交换机及其他设备;网络汇聚层采用H3C S5500-28C-SI,独有智能堆叠系统可实现高密度千兆端口接入,拥有96 Gbps的全双工堆叠带宽,消除网络瓶颈,提供优于传统中继聚合配置的更好的可用性和弹性;接入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机,或H3C S5100-16/24/48P-SI全千兆交换机,千兆到桌面。网络拓扑图如下:
设备选型和部署参考如下:
业务 | 需求 | 设备选型参考 | 配置说明 | 数量 | 部署位置 |
数据 | 核心交换机 | H3C S7500(E)系列 | 核心支持双引擎双电源,性价比最高 | 1 | 核心机房 |
汇聚层交换机 | H3C S5500-28C-SI | 汇聚支持全千兆高速转发,消除网络瓶颈,同时支持万兆扩展 | 3 | 各楼层或机房 | |
接入层交换机 | H3C S3100-26/52TP-SI 或 H3C S5100-16/24/48P-SI | 接入层根据不同业务需求提供百兆和千兆接入两种选择 | 52TP:10台 | 各楼层或机房 | |
路由器 | H3C MSR50-06路由器 | H3C新一代安全路由器 | 1~2 | 核心机房 | |
安全 | 防火墙 | H3C SecPath F1000-C | 支持应用层报文过滤 | 1 | 1 |
VPN | 支持DVPN | ||||
互联网接入 | 20M~50M光纤接入 | 电信20M~50M光纤接入 | 配静态IP地址 | 1~2 | 核心机房 |
方案特点:
Ø 高性能,全分布式交换网络;
Ø 高可靠,无间断的通信环境;
Ø 灵活弹性的网络扩展能力;
Ø 高效率的网络带宽利用率;
Ø 全面的QOS部署,多业务融合;
Ø 完善的网络安全策略,实现深度安全检测,抵御未知风险。
安全无线网络规划方案
无线网络的部署,能够增大员工接入网络的范围,提供更大的上网便利性--无论是在办公室、会议室还是在空间复杂的车间,员工都能与网络保持连接,随时随地访问企业资源,而且可以简化场所的网络布线。安全无线网络解决方案不但能提高员工的生产效率和协作能力,也能为合作伙伴/ 客户提供方便的上网服务。根据企业情况,可以采用FAT AP方案:
1) 无线网络需求:
能够获得较高的用户接入速率,构建便利的移动办公环境,实现企业的移动网络办公,成本投入不高,适合简单、小规模的无线部署。
2) 规划方案:
采用WA1208E+iMC+CAMS进行组网,配合CAMS实现802.1x的认证,可以实现基于时长、流量和包月的计费;整网通过iMC统一管理。网络拓扑图如下:
设备选型和部署参考如下:
业务 | 需求 | 设备选型参考 | 配置说明 | 数量 | 部署位置 |
无线 | 无线接入 | WA1208E | 双802.11g无线模块 | 8 | 各楼层 |
无线安全 | H3C CAMS | 满足用户管理、身份认证、权限控制和计费的要求 | 1 | 核心机房 | |
无线管理 | H3C iMC网管系统 | 支持与HP Openview、SNMPc等通用网管平台的集成 | 1 | 核心机房 |
方案特点:
Ø 全面支持802.11i安全机制、802.11e QoS机制、802.11f L2切换机制;
Ø 大范围覆盖:高接收灵敏度,达到-97dBm(普通AP-95dBm),保证更远覆盖;
Ø 多VLAN支持:虚拟AP方式支持多VLAN,最多支持8个虚拟SSID的VLAN划分,每个VLAN用户可以独立认证;
Ø 兼作网桥使用:WDS模式支持PTP、PTMP工作模式;支持连接速率锁定、传输报文整合,提高传输效率;
Ø 负载均衡:支持基于用户数的负载均衡、基于流量的负载均衡;
Ø 针对各类室外、特殊室内应用如仓库等复杂环境,可以提供专门的型号。
广域网互联VPN规划方案
伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。在VPN方式下,VPN客户端和设置在内部网络边界的VPN网关使用隧道协议,利用Internet或公用网络建立一条“隧道”作为传输通道,同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而保证数据的完整性、机密性和合法性。通过VPN方式,企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问,不但节省了大量的资金,而且具有很高的安全性。
另外,随着企业规模的扩大,分散办公也越来越普遍,如何实现小型分支、出差员工、合作伙伴的远程网络访问也被越来越多的企业关注。从成本、易用性、易管理等多方面综合考虑,SSL VPN无疑是一种最合适的方案:只需要在总部部署一台设备,成本更低,管理维护也很容易;无需安装客户端、无需配置,登陆网页就能使用。
1) 网络需求
1IPSec VPN和SSL VPN各有所长,功能互补,对企业来说都是需要的:IPSec VPN用于总部和中大型分支互连,SSL VPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。但传统方法下,企业总部需要采购两台设备来支持两种VPN,不仅成本更高,而且可能存在VPN策略冲突,导致性能下降、管理困难。
2) 规划方案
融合VPN针对企业的实际需要,一台设备融合IPSec / SSL两种VPN,只需部署在总部,既可以用于为合作伙伴、出差人员提供远程网络访问,也可以和分支机构进行IPSec VPN互连,帮助企业降低采购、部署、维护三方面成本。
VPN网关选择方面,H3C的防火墙、路由器都能够实现融合VPN,提供给企业更加灵活的选择。例如,如果企业非常强调网络安全、VPN性能,就选择防火墙;如果企业更注重多业务处理能力,如IP语音通信、3G上网、无线接入等,推荐选择路由器。
在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关,在分支机构Internet边界防火墙后面配置一台VPN网关,由此两端的VPN网关建立IPSec VPN隧道,进行数据封装、加密和传输;另外,通过总部的VPN网关提供SSL VPN接入业务;在总部局域网数据中心部署H3C VPN Manager组件,实现对VPN网关的部署管理和监控;在总部局域网内部或Internet边界部署H3C BIMS系统,实现对分支机构VPN网关设备的自动配置和策略部署。如下图:
设备选型和部署参考如下:
业务 | 需求 | 设备选型参考 | 配置说明 | 数量 | 部署位置 |
网络互连 | VPN网关 | H3C SecPath F1000VPN网关 H3C SecPath F100 VPN网关 或 H3C MSR50 路由器 H3C MSR20-1X 路由器 | 总部和大型机构配置F1000型号 中小型机构配置F100型号 | 总部1台 分支机构按需求配置 | 核心机房 |
网络管理 | H3C VPN Manager H3C BIMS | 帮助用户部署、管理VPN网络 | 1 | 核心机房 |
如果省内分支机构较多、较分散,但对速率要求不高的连锁型单位,也可以选用电信或ISP商的VPDN服务;
如果多个分支机构间有多点对多点通信需求的企业、商业机构,也可以直接选用电信或ISP商的MPLS VPN服务。
网络性能指标要求
类型 | 带宽要求 | 线路质量要求 |
局域网 | 客户端到服务器:10Mb以上,推荐100Mb 各服务器之间:200M以上,推荐1000Mb | 丢包率小于0.1% 延迟小于20ms |
广域网 | 分支机构带宽:每客户端128Kb 总部出口带宽:(最大并发数/3)×128Kb 总部服务器之间:200M以上,推荐1000Mb | 丢包率小于2% 延迟小于50ms |
网络安全规划
网络安全是整个系统安全运行的基础,是保证系统安全运行的关键。网络系统的安全需求包括以下几个方面:
Ø 网络边界安全需求
Ø 入侵监测与实时监控需求
Ø 安全事件的响应和处理需求分析
这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。
我们针对企业网络层的安全策略采用硬件保护与软件保护,静态防护与动态防护相结合,由外向内多级防护的总体策略。
根据安全需求和应用系统的目的,整个网络可划分为六个不同的安全层次。具体是:
Ø 核心层:核心数据库;
Ø 安全层:应用信息系统中间件服务器等应用;
Ø 基本安全层:内部局域网用户;
Ø 可信任层:公司本部与营业部网络访问接口;
Ø 危险层:Internet。
信息系统各安全域中的安全需求和安全级别不同,网络层的安全主要是在各安全区域间建立有效的安全控制措施,使网间的访问具有可控性。具体的安全策略如下:
核心数据库采用物理隔离策略
应用系统采用分层架构方式,客户端只需要访问中间件服务器即可进行日常业务处理,从物理上不能直接访问数据库服务器,保障了核心层数据的高度安全。
应用系统中间件服务器采取综合安全策略:
应用系统中间件的安全隐患主要来自局域网内部,为了保障应用系统中间件服务的安全,在局域网中可通过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离,提供子网间的访问控制能力。同时,中间件服务器本身可以通过配置相应的安全策略,限定经过授权的工作站、用户方能访问系统服务,保障了中间件服务器的安全性;
内部局域网采取信息安全策略:
公司本部及营业部内部局域网处于基本安全层的网络,主要是对于安全防护能力较弱的终端用户在使用,因此考虑的重点在于两个方面,一个是客户端的病毒防护,另一个是防止内部敏感信息的对外泄露。因此,通过选用网络杀毒软件达到内部局域网的病毒防护,同时,使用专用网络安全设备(如硬件防火墙)建立起有效的安全防护,通过访问控制ACL等安全策略的配置,有效地控制内部终端用户和外部网络的信息交换,实现内部局域网的信息安全。
公司本部与下属机构之间网络接口采取通讯安全策略:
处于可信任层的网络,其安全主要考虑各下属单位上传的业务数据的保密安全,因此,可采用数据层加密方式,通过硬件防火墙提供的VPN隧道进行加密,实现关键敏感性信息在广域网通信信道上的安全传输。
Internet采取通讯加密策略:
Internet属于非安全层和危险层,由于Internet存在着大量的恶意攻击,因此考虑的重点是要避免涉密信息在该层次中的流动。通过硬件防火墙提供专业的网络防护能力,并对所有访问请求进行严格控制,对所有的数据通讯进行加密后传输。
同时,建议设置严格的机房管理制度,严禁非授权的人员进入机房,也能够进一步提升整个网络系统的安全。
1) 广域网安全规划
企业广域网安全,主要是通过防火墙和VPN等设备或技术来保障。
防火墙对流经它的网络通信进行扫描,能够过滤掉一些攻击,防火墙还可以关闭不使用的端口,防火墙具有很好的保护作用,入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机,所以出于安全考虑,企业必须购置防火墙以保证其服务器安全,将应用系统服务器放置在防火墙内部专门区域。一般硬件防火墙比软件防火墙的性能更好,建议选择企业级的硬件防火墙,硬件防火墙市场知名度高的品牌有CISCO、Check Point、Juniper、H3C、天融信、华为赛门铁克、联想网御等,用户应根据应用情况选择合适的防火墙。
VPN 即虚拟专用网(Virtual Private Networks) 提供了一种通过公共非安全介质(如Internet)建立安全专用连接的技术。使用VPN技术,甚至机密信息都可以通过公共非安全的介质进行安全传送。VPN技术的发展与成熟,可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。VPN通过安全隧道建立一个安全的连接通道,将分支机构、远程用户、合作伙伴等和企业网络互联,形成一个扩展的企业网络。
VPN基本特征:
Ø 使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。
Ø 网络架构弹性大——无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。
Ø 可以通过Extranet连接企业合作伙伴、供应商和主要客户(建立绿色信息通道),以提高客户满意度、降低经营成本。
VPN实现方式:
Ø 硬件设备:带VPN功能模块的路由器、防火墙、专用VPN硬件设备等,如Cisco、H3C、深信服、天融信等。
Ø 软件实现:Windows 自带PPTP或L2TP、第三方软件(如CheckPoint、深信服等)。
Ø 服务提供商(ISP):中国电信、联通、网通等。目前一些ISP推出了MPLS VPN,线路质量更有保证,推荐使用。
2)内网安全规划
企业内网安全系统包括防病毒系统、内网安全管理系统,上网行为管理系统等。
防病毒系统可以采用网络版防病毒系统或防毒墙等产品(比如金山、瑞星、卡巴斯基等解决方案)。
内网安全系统和上网行为管理系统可以选择深信服、任子行、IP-guard等解决方案,企业可以通过部署内网安全系统实现研发网和商业信息的信息安全防范工作。对于研发网的信息安全、数据集中存储和计算资源的统一协调配置,可以通过部署企业桌面虚拟化解决方案来实现。
作者:Petter Liu