欢迎访问云开·全站appkaiyun
发布时间:2024-11-23 点此:446次
明冠网络安全企业网络建设解决方案网络总体架构
企业网络设计架构包含接入层、传输网络、中心平台和具体应用四个层次。接入层由无线AP、物联网网关、有线/无线/物联网终端组成。传输网络方面,有线传输网络采用信锐智能交换机,无线网络采用高性能AP进行Wi-Fi覆盖云开·全站APP官方网站,实现有线/无线终端的安全接入;物联网智能终端采用LORA/Wi-Fi/GPRS/NB-IOT/RS485等协议传输数据,并通过智能运维平台统一管理。中心平台由信锐高性能网络控制器组成,集用户认证、上网行为管理与审计、大数据分析、物联网管理平台、有线管理平台于一体。
对于无线网络,员工和访客使用不同的 SSID。内部员工通过帐号和密码访问无线网络。访客通过短信验证、二维码审核等方式接入网络,员工无法使用访客无线网络。
在权限管控方面,根据用户角色实现有线/无线管控,保证不同角色的上网需求,控制用户行为,防范上网风险。
明冠网络星锐企业智慧办公解决方案为企业客户提供上网行为记录与管控、员工画像分析与考勤分析、网络安全画像与防护、设备动态环境检测与电力安全管控、消防安全检测、办公舒适度调节等. 简化运维,实现企业自动化运维。
通过流控策略,在出口带宽有限的情况下,可以精确控制流量,优先考虑办公流量。
APP可以实时查看设备状态,接收报警信息,随时随地掌握实际情况,及时进行运维。
明冠网络安全企业网络建设解决方案网络拓扑设计
整个网络的一个重要特点就是网络中不存在单点故障。交换设备和链路有冗余负载备份。接入交换机和汇聚交换机通过双规则连接。汇聚交换机通过双规则连接到核心交换机。交换机之间使用链路。 Bundling保证链路级可靠性,核心设备和汇聚设备之间采用HCS(Hyper-Converged-Switch:HCS)+M-LAG技术保证设备级和链路级可靠性。
结合用户的无线网络需求和信锐产品的技术特点,为了满足用户构建高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案基于设计了AP+AC解决方案的结构化无线网络。具体设计是在总部设置总部AC,在大型分支机构设置分支机构AC和分支机构AP,在中型分支机构设置汇聚接入智能交换机和分支机构AP。小微分支机构直接设置分支机构AP。总部AC可以管理大型分支机构的AC。当网络控制器以集中管理模式进入中央控制器时,会自动下载中央公共配置,如IP组、MAC地址库、时间规划、角色授权等。 、认证页面等。总部AC还可以直接管理中小型分支机构的分支机构AP,实现统一管理。
核心层交换机设计
核心层是部署在机房的网络核心交换机设备。它连接所有汇聚交换机,聚合建筑物/区域/部门之间的流量,并提供三层交换机的功能。它负责网络的内部数据流量和外部数据流量。因此,核心交换机必须能够提供高速的数据转发性能和高稳定性,以实现高带宽和高转发性能。
同时,核心层交换系统需要支持各部件的冗余,避免单点故障导致整个核心系统瘫痪的问题。因此,核心层交换机需要支持电源、风扇等重要部件的冗余设计。
为了保证核心系统的高可靠性,采用双机HCS虚拟化部署kaiyun体育app官网,实现核心系统的相互冗余。当单台设备出现故障时,可实现ms级倒换,实现业务双倍高可靠性。
选型建议(核心选型)
本次核心推荐使用S7510/S8514型号(S7510用于3000~5000人规模,摄像机点数4M码流1500~2000点,S8514用于10000人以上规模,摄像机点数4M码流约为3000)
汇聚层交换机设计
汇聚层是各个大楼/区域/部门的核心,汇聚来自接入层设备的流量。在用户服务之间转发“水平流量”的同时,还需要向核心层提供“垂直流量”。因此,汇聚层的设备必须比较高。汇聚层和核心层共同构成网络的核心骨干网络。因此,汇聚层需要提供高密度的GE接口来汇聚接入交换机流量,支持汇聚交换机下的各种业务,并通过10GE接口与核心交换机连接。
本方案中,两台汇聚层单元采用M-LAG技术组成虚拟化系统,实现网络高可靠性,满足业务需求。
选型建议(汇总选型)
本次汇聚推荐使用RS5300-28T/52T-4F型号(如果网络规模比较大,可以使用10G光交换机RS6500-54Q-EI-48X进行汇聚)
接入层交换机设计
接入层直接与用户终端相连,提供多种接入方式。通常在这里部署一些弱三层设备就足够了。除了提供丰富的二层交换功能外,还可以提供简单的三层功能满足业务安全需求(如QOS/ACL等),降低网络设备部署成本。接入层交换机一般需要提供高密度GE接口,以支持更多终端接入有线网络,并双归属到两台汇聚交换机。
选型建议(汇总选型)
建议使用RS3300-28T/52T-4F型号或RS5300-28T/52T-4F型号进行此接入。
出口路由设计
与互联网互联的地点作为网络出口。为了保证互联区域的可靠性,采用双机部署支持路由功能的安全设备来实现出口路由功能,同时实现对出口用户的安全保护。
明冠网络安全企业网络建设解决方案网络方案规划设计
网络VLAN规划
VLAN定义
VLAN是一种从逻辑上而非物理上将局域网中的设备划分为网段,从而隔离局域网内广播域的技术。当网络规模越来越大时,局部网络的故障会影响整个网络。 VLAN的出现可以将网络故障限制在VLAN范围内kaiyun官方网站下载官网,增强网络的灵活性。
VLAN划分原则
1)区分业务VLAN、管理VLAN和互连VLAN
2)根据业务区域划分不同的VLAN
3)同一业务区根据具体业务类型(如:Web、APP、DB)划分为不同的VLAN
4)VLAN需要不断分配,保证VLAN资源的合理利用。
5)预留一定数量的VLAN,方便后续扩展
网络IP规划
IP功能
公司网络中有两种主要类型的 IP 地址。企业网络的DMZ区域或Internet区域中的少数设备使用公有IP地址,而企业内部的设备则使用私有IP地址。对于私网地址,在访问Internet之前,会通过网络出口边界的路由器/防火墙等支持NAT的设备将地址转换为公网地址。
IP规划
1)唯一性:IP网络中任何两台主机都不能使用相同的IP地址
2)连续性:连续的地址在分层网络中很容易重叠,大大减少了路由表,提高了路由算法的效率。
3)可扩展性:各级地址分配必须留有余量,以保证网络规模扩大时地址叠加所需的连续性。
网络组播规划
IP组播技术实现了IP网络中点对多点的高效数据传输。与数据单播传输相比,组播有效节省了网络带宽,降低了对网络设备的要求。用户规模可以灵活改变。用户规模的增加不会对网络和服务器造成带宽和性能压力。