局域網(wǎng)設(shè)計(jì)方案材料

1、寧夏銀行新辦公大樓局域網(wǎng)建設(shè)方案一總體設(shè)計(jì)原則基于寧夏銀行目前現(xiàn)狀和未來(lái)業(yè)務(wù)發(fā)展的要求， 在網(wǎng)絡(luò)擴(kuò)容設(shè)計(jì) 構(gòu)建中，需要根據(jù)現(xiàn)有網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)改造需求，制定詳細(xì)的技術(shù)方 案，滿足我行新辦公大樓的需求（辦公、生產(chǎn)、信貸、資金管理，互 聯(lián)網(wǎng)等各項(xiàng)業(yè)務(wù)和特殊部門(mén)和崗位的特殊網(wǎng)絡(luò)需求） ，并充分考慮網(wǎng) 絡(luò)的性能、可靠性、可管理性和可擴(kuò)充性。根據(jù)上述需求，在制定技 術(shù)方案時(shí)， 考慮到銀監(jiān)局對(duì)金融信息化系統(tǒng)的要求， 現(xiàn)提出兩套設(shè)計(jì) 方案：（一） 生產(chǎn)辦公和互聯(lián)網(wǎng)純物理隔離的兩套網(wǎng)絡(luò)， 即：生產(chǎn)辦 公一套網(wǎng)，互聯(lián)網(wǎng)一套網(wǎng)， 互不鏈接。這樣的網(wǎng)絡(luò)設(shè)計(jì) 符合銀監(jiān)會(huì)對(duì)金融系統(tǒng)信息網(wǎng)絡(luò)的要求，便于管理，但 費(fèi)用較高。

2、（二） 生產(chǎn)辦公和互聯(lián)網(wǎng)用邏輯隔離的方式實(shí)現(xiàn)， 即整個(gè)新大 樓建設(shè)一套局域網(wǎng)，所有網(wǎng)內(nèi)節(jié)點(diǎn)都可上生產(chǎn)辦公和上 互聯(lián)網(wǎng)絡(luò)，用邏輯隔離的方式實(shí)現(xiàn)管理。此設(shè)計(jì)方案費(fèi) 用較少，管理方便。兩套設(shè)計(jì)方案都必須具有如下性能：1.1系統(tǒng)的高可靠性 網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證。系統(tǒng)的高 可靠性體現(xiàn)在合理的網(wǎng)絡(luò)架構(gòu)，高可靠性網(wǎng)絡(luò)產(chǎn)品，可靠的網(wǎng)絡(luò)備份 策略，保證網(wǎng)絡(luò)具有故障自愈的能力。1.2系統(tǒng)的高安全性伴隨金融信息化的不斷深入，行業(yè)內(nèi)部之間的信息交換將更加頻繁。 本項(xiàng)目建成后， 此網(wǎng)絡(luò)將面對(duì)信息安全的不斷挑戰(zhàn)。 管理信息網(wǎng) 絡(luò)中傳輸?shù)臄?shù)據(jù)將包含管理和經(jīng)營(yíng)的涉密信息，對(duì)安全性有很高的要 求。因此

3、，新辦公大樓網(wǎng)絡(luò)安全服務(wù)功能在本項(xiàng)目中至關(guān)重要，需要 考慮到業(yè)務(wù)系統(tǒng)關(guān)鍵數(shù)據(jù)的完整性和安全性。 網(wǎng)絡(luò)架構(gòu)需要具有完整 安全體系防護(hù)的服務(wù)能力，以確保員工生產(chǎn)、辦公和用戶、合作伙伴 的信息安全，降低經(jīng)營(yíng)風(fēng)險(xiǎn)。1.3系統(tǒng)的統(tǒng)一性新辦公大樓的網(wǎng)絡(luò)架構(gòu)的構(gòu)造、 網(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)管理都建立在 “一個(gè)整體”的基礎(chǔ)之上。 新辦公大樓局域網(wǎng)是我行整體網(wǎng)絡(luò)信息系統(tǒng)的一個(gè)子系統(tǒng)，應(yīng)保證新大樓局域網(wǎng)和我行整體網(wǎng)絡(luò)信息系統(tǒng)兼容。1.4系統(tǒng)標(biāo)準(zhǔn)開(kāi)放性新大樓的網(wǎng)絡(luò)系統(tǒng)是一個(gè)覆蓋生產(chǎn)辦公管理信息系統(tǒng)的網(wǎng)絡(luò)平 臺(tái)，其上會(huì)有許多不同廠商開(kāi)發(fā)的計(jì)算機(jī)設(shè)備和應(yīng)用系統(tǒng)同時(shí)運(yùn)行。 為了使這些系統(tǒng)能夠穩(wěn)定、可靠、高效的正常運(yùn)作，所有的系統(tǒng)

4、必須 遵循共同的規(guī)則（標(biāo)準(zhǔn)） 。因此，整個(gè)網(wǎng)絡(luò)系統(tǒng)應(yīng)在國(guó)家政策的許可 下完全采用符合國(guó)際 （或國(guó)家）通用的、開(kāi)放的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議和技術(shù)， 保證我行的網(wǎng)絡(luò)系統(tǒng)及運(yùn)行其上的應(yīng)用系統(tǒng)的正常工作， 以及與其它 網(wǎng)絡(luò)的互聯(lián)互通。1.5靈活性和可擴(kuò)展性作為承載平臺(tái)的網(wǎng)絡(luò)系統(tǒng)必須能夠隨著應(yīng)用系統(tǒng)的變化而自由縮放。 所以建設(shè)的網(wǎng)絡(luò)系統(tǒng)必須具備良好的靈活性及可擴(kuò)展性，即網(wǎng)絡(luò) 架構(gòu)在功能、容量、覆蓋能力等各方面具有易擴(kuò)展能力，以適應(yīng)快速 的業(yè)務(wù)發(fā)展和變化的業(yè)務(wù)需求對(duì)基礎(chǔ)架構(gòu)的要求。1.6整體網(wǎng)絡(luò)可管理性 新辦公大樓網(wǎng)絡(luò)系統(tǒng)應(yīng)建設(shè)成為我行整體網(wǎng)絡(luò)信息系統(tǒng)的管理子系 統(tǒng)，隨時(shí)有效監(jiān)控全行的整個(gè)網(wǎng)絡(luò)信息系統(tǒng)， 保障生產(chǎn)辦

5、公等各項(xiàng)業(yè) 務(wù)的順利進(jìn)行。1.7網(wǎng)絡(luò)技術(shù)的先進(jìn)性和成熟性 網(wǎng)絡(luò)建設(shè)必須具有一定的前瞻性， 技術(shù)上具有總體先進(jìn)性， 同時(shí)考慮 到網(wǎng)絡(luò)的穩(wěn)定運(yùn)行需求，技術(shù)選擇必須考慮成熟性與先進(jìn)性相結(jié)合。具體設(shè)計(jì)方案見(jiàn)附件附件：1方案描述1.1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)1.1.1 設(shè)計(jì)策略在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)，應(yīng)根據(jù)應(yīng)用需求和設(shè)計(jì)原則制定設(shè)計(jì)策略，在設(shè)計(jì)網(wǎng) 絡(luò)時(shí)，所制定的設(shè)計(jì)策略如下：首先，網(wǎng)絡(luò)設(shè)計(jì)采用模塊化設(shè)計(jì)思想，將網(wǎng)絡(luò)劃分為幾個(gè)大的功能模塊。 采用模塊化設(shè)計(jì)思想的優(yōu)勢(shì)主要為： 增加新的功能模塊時(shí)， 只需對(duì)該模塊進(jìn)行設(shè) 計(jì)，不會(huì)對(duì)原有網(wǎng)絡(luò)結(jié)構(gòu)造成較大變化； 現(xiàn)有功能模塊發(fā)生變化時(shí)， 只需對(duì)該模 塊進(jìn)行修改，該模塊的變化一般不

6、會(huì)波及到整個(gè)網(wǎng)絡(luò)； 在網(wǎng)絡(luò)的運(yùn)行維護(hù)過(guò)程中， 管理人員能夠進(jìn)行方便的管理， 在出現(xiàn)故障時(shí)， 也能夠快速進(jìn)行故障定位、 診斷 與故障排除。第二，在設(shè)計(jì)中要充分考慮到技術(shù)的成熟性與先進(jìn)性。采用成熟的網(wǎng)絡(luò)技 術(shù)，能夠充分保證網(wǎng)絡(luò)的健壯性；同時(shí)，采用較為先進(jìn)的技術(shù)，能夠使網(wǎng)絡(luò)能夠 滿足應(yīng)用較長(zhǎng)時(shí)間的需求。第三，在設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)應(yīng)采用冗余結(jié)構(gòu)，保證系統(tǒng)的可用性和可靠 性。除網(wǎng)絡(luò)線路和設(shè)備要有冗余外， 關(guān)鍵設(shè)備還具有冗余的處理器、 風(fēng)扇、電源、 交換備板等，保證整個(gè)網(wǎng)絡(luò)的可用性和可靠性。第四，保證網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)安全是極其重要的，在設(shè)計(jì)中從設(shè)備、網(wǎng) 絡(luò)、系統(tǒng)等級(jí)別進(jìn)行了安全考慮， 保證了整個(gè)網(wǎng)絡(luò)的安

7、全和應(yīng)用系統(tǒng)的初步安全。第五，根據(jù)本系統(tǒng)的特點(diǎn)，保證網(wǎng)絡(luò)的可管理性。1.1.2 分層設(shè)計(jì)原則寧夏銀行網(wǎng)絡(luò)按照網(wǎng)絡(luò)核心層、接入層進(jìn)行設(shè)計(jì)，每個(gè)層次實(shí)現(xiàn)相對(duì)獨(dú)立 的功能，保障了網(wǎng)絡(luò)在每個(gè)層次上的平行擴(kuò)展， 實(shí)現(xiàn)網(wǎng)絡(luò)在服務(wù)功能、 規(guī)模上的 擴(kuò)展能力。1.1. 核心層：提供高速的三層交換骨干。核心層不進(jìn)行終端系統(tǒng)的連接；核心層不實(shí)施影響高速交換性能的 ACLACL 等功能。2.2. 接入層：提供 Layer2Layer2 的網(wǎng)絡(luò)接入，通過(guò) VLANVLAN 定義實(shí)現(xiàn)接入的隔離。 在接入層設(shè)計(jì)時(shí)，應(yīng)考慮以下幾點(diǎn)：接入層接入端口規(guī)劃容量應(yīng)根據(jù)實(shí)際使用情況考慮擴(kuò)展性； 各功能分區(qū)的接入層相對(duì)獨(dú)立； 不同類(lèi)型

8、的接入層應(yīng)各自分開(kāi)，連接到對(duì)應(yīng)功能區(qū)的分布層。隨著網(wǎng)絡(luò)設(shè)備與布線成本的降低，網(wǎng)絡(luò)維護(hù)成本的增加，以及用戶對(duì)網(wǎng)絡(luò) 性能需求的增加， 在園區(qū)網(wǎng)的設(shè)計(jì)中， 局域網(wǎng)逐漸開(kāi)始采用兩層物理結(jié)構(gòu)進(jìn)行網(wǎng) 絡(luò)的建設(shè)， 即：核心層和接入層。每一個(gè)層次結(jié)構(gòu)內(nèi)部均采用冗余的架構(gòu)來(lái)保障該層功能的穩(wěn)定可靠。在相 鄰層次之間，同樣需要采用冗余的連接 （物理連接或協(xié)議） 來(lái)保障各層次結(jié)構(gòu)之 間的穩(wěn)定可靠。 例如：在系統(tǒng)與接入層設(shè)備之間， 接入層設(shè)備與核心層設(shè)備之間， 都必須采用冗余的連接，以消除單點(diǎn)故障。1.1.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)寧夏銀行新大樓網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖寧夏銀行新大樓網(wǎng)包括核心區(qū)、樓層接入?yún)^(qū)?？紤]到樓層接入的分布性

9、和設(shè)備供電的可靠性，建議在新大樓中布置兩個(gè)豎 井，其中每個(gè)豎井對(duì)應(yīng)一個(gè)樓層配線間， 并采用雙星型結(jié)構(gòu)布線，從而實(shí)現(xiàn)雙星 型的網(wǎng)絡(luò)拓?fù)?。核心區(qū)：核心區(qū)是寧夏銀行大樓的網(wǎng)絡(luò)核心，同時(shí)設(shè)備還擔(dān)負(fù)著業(yè)務(wù)管理，安全隔離 等分布層的職能，從而完成穩(wěn)定的業(yè)務(wù)匯聚，核心交換機(jī)之間可以通過(guò)萬(wàn)兆接口 捆綁互聯(lián)提升核心區(qū)的高性能和高可靠性，核心區(qū)建議使用2 2 臺(tái) S9505ES9505E 核心交換機(jī)組成，每臺(tái)設(shè)備均配置了 FWFW、無(wú)線控制器模塊，從而實(shí)現(xiàn)邊界安全的防 御和大樓內(nèi)無(wú)線 APAP 接入管理防火墻插卡模塊的使用可以消除局域網(wǎng)接入層對(duì)上層網(wǎng)絡(luò)的安全隱患，也相當(dāng)于在交換機(jī)每個(gè)千兆光電端口前免費(fèi)部署了一臺(tái)虛

10、擬的防火墻。局域網(wǎng)接入?yún)^(qū)：樓層接入?yún)^(qū)負(fù)責(zé)本樓層各個(gè)業(yè)務(wù)部門(mén)的信息點(diǎn)接入，同時(shí)也擔(dān)負(fù)著業(yè)務(wù)控制，安全控制等分布層的職能。樓層接入?yún)^(qū)建議使用千兆接入。接入層設(shè)備通過(guò)冗余的光纖分別連接上層核心交換機(jī)形成可靠的高速核心網(wǎng)絡(luò)。寧夏銀行樓層接入拓?fù)淞硗?，隨著基于無(wú)線技術(shù)的業(yè)務(wù)（如： WifiWifi PhonePhone ）不斷豐富，WLANWLAN 網(wǎng)絡(luò)將會(huì)成為辦公及生產(chǎn)網(wǎng)絡(luò)不可或缺的接入方案。本次H3H3C C 推薦的核心交換機(jī)支 持 WLAWLAN N無(wú)線控制器模塊，在設(shè)備上擴(kuò)展該模塊后，可以平滑的使網(wǎng)絡(luò)具備瘦APAP 接入能力，以滿足后續(xù)寧夏銀行大樓擴(kuò)展無(wú)線功能，無(wú)需額外的機(jī)房空間, 減少工程難度

11、。隨著 WLANWLAN 技術(shù)的快速發(fā)展和不斷成熟，目前在國(guó)內(nèi)外已經(jīng)具有較多的政 府機(jī)構(gòu)使用WLANWLAN 技術(shù)布置無(wú)線城域網(wǎng)，進(jìn)行承載部分政府業(yè)務(wù)，諸如：電子 政備、消防、公安信息等等，如：美國(guó)費(fèi)城、荷蘭阿姆斯特丹等。無(wú)線局域網(wǎng)技術(shù)經(jīng)過(guò)十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。 第一代無(wú)線局域網(wǎng)主要是采用 FatFat APAP (即“胖” APAP )，每一臺(tái) APAP 都要單獨(dú) 進(jìn)行配置，費(fèi)時(shí)、費(fèi)力、費(fèi)成本；第二代無(wú)線局域網(wǎng)融入了無(wú)線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置， 其 管理性和安全性以及對(duì)有線網(wǎng)絡(luò)的依賴成為了第一代和第二代 WLANWLAN 產(chǎn)品發(fā)展 的瓶頸，由于這一代技術(shù)的

12、 APAP 儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰 匙，RadiusRadius clientclient 的安全密碼(secret)(secret)等，而 APAP 又是分散在建筑物中的各個(gè) 位置，一旦 APAP 的配置被盜取讀出并修改，其無(wú)線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另 外由于 ACAC 或無(wú)線網(wǎng)關(guān)的硬件多數(shù)是基于 PentiumPentium 架構(gòu)的，所以當(dāng)用戶接入數(shù)量 (IP(IP sessions)sessions) 增多時(shí)，無(wú)線網(wǎng)的性能會(huì)急劇下降，時(shí)常會(huì)發(fā)生掉線或死機(jī)情況。 在這樣的環(huán)境下，基于無(wú)線交換機(jī)技術(shù)的第三代 WLANWLAN 產(chǎn)品應(yīng)運(yùn)而生。第三代無(wú)線局域網(wǎng)采用無(wú)線交換機(jī)

13、和 FITFIT APAP (即“瘦” APAP)的架構(gòu)，對(duì)傳 統(tǒng) WLANWLAN 設(shè)備的功能做了重新劃分，將密集型的無(wú)線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移 到集中的 WLANWLAN 交換機(jī)中實(shí)現(xiàn)，同時(shí)加入了許多重要新功能，諸如無(wú)線網(wǎng)管、 APAP 間自適應(yīng)、無(wú)線安管、RFRF 監(jiān)測(cè)、無(wú)縫漫游以及 QosQos。，使得無(wú)線局域網(wǎng)的網(wǎng) 絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高FAT APL SFIT AP方案技術(shù)模式餃統(tǒng)主流新生方比，増翌管理妥全 ft件地U靈、認(rèn)證方或.普通增加射頻環(huán)坦監(jiān)控，基于用口位 習(xí)安全徂略.高安全性期肆管理對(duì)毎AP下發(fā)配置文件無(wú)絞福t制蟹上配置好文件，AP本身零配胃，自動(dòng)下W

14、ES文件用戶管理類(lèi)似冇線，根據(jù)XP接人的 有線端口區(qū)幷權(quán)限虛擬專(zhuān)用組方式，根抑用戶名區(qū) 分權(quán)限WLAN組期規(guī)模L2漫游，適合小規(guī)摸組期L2. L3濕游，拓扌卜無(wú)關(guān)性.適合大規(guī)模組期增偵亞務(wù)能力實(shí)現(xiàn)簡(jiǎn)單數(shù)據(jù)播人可擴(kuò)展話音笹豐宙業(yè)笳FAT AP與FIT AP兩種組網(wǎng)方案對(duì)比局域網(wǎng)拓?fù)湓O(shè)計(jì)-WLAN擴(kuò)展能力目前網(wǎng)絡(luò)組建依然沿襲傳統(tǒng)的設(shè)備堆疊的方式， 當(dāng)網(wǎng)絡(luò)中需要什么功能的設(shè)備就新添置一臺(tái)設(shè)備，即在原有的設(shè)備基礎(chǔ)上不停的疊加新的設(shè)備，如無(wú)線、防 火墻、IPS、語(yǔ)音、應(yīng)用加速等等，如此以往，當(dāng)網(wǎng)絡(luò)需求的功能越來(lái)越多時(shí), 需要新增加的設(shè)備也就越來(lái)越多，整個(gè)網(wǎng)絡(luò)就像糖葫蘆串一樣，一旦網(wǎng)絡(luò)出現(xiàn)故 障，需要排查的節(jié)點(diǎn)太多，不但會(huì)浪費(fèi)大量時(shí)間，也使得用戶重復(fù)投資嚴(yán)重，另 外，這種組網(wǎng)將耗費(fèi)大量的機(jī)房空間和電力、網(wǎng)絡(luò)管理復(fù)雜，即總擁有成本（TCOTCO ）非常高。H3CH3C 魔方矩陣式組網(wǎng)是在 H3CH3C 核心網(wǎng)絡(luò)設(shè)備上可以集成各種防火墻、無(wú)線、