企业IT基础架构规划方案
能够获得较高的用户接入速率,构建便利的移动办公环境,实现企业的移动网络办公,成本投入不高,适合简单、小规模的无线部署。
2) 规划方案:
采用WA1208E+iMC+CAMS进行组网,配合CAMS实现802.1x的认证,可以实现基于时长、流量和包月的计费;整网通过iMC统一管理。网络拓扑图如下:
设备选型和部署参考如下:
业务 无线 需求 设备选型参考 配置说明 数量 8 部署位置 各楼层 无线接入 WA1208E 无线安全 H3C CAMS 双802.11g无线模块 满足用户管理、身份认证、权限控制和计费的要求 1 核心机房 无线管理 H3C iMC网管系统 支持与HP Openview、SNMPc等通用网管平台的集成 1 核心机房
10
企业IT基础架构规划方案
方案特点:
? 全面支持802.11i安全机制、802.11e QoS机制、802.11f L2切换机制; ? 大范围覆盖:高接收灵敏度,达到-97dBm(普通AP-95dBm),保证更远覆盖;
? 多VLAN支持:虚拟AP方式支持多VLAN,最多支持8个虚拟SSID的VLAN划分,每个VLAN
用户可以独立认证;
? 兼作网桥使用:WDS模式支持PTP、PTMP工作模式;支持连接速率锁定、传输报文整合,
提高传输效率;
? 负载均衡:支持基于用户数的负载均衡、基于流量的负载均衡;
? 针对各类室外、特殊室内应用如仓库等复杂环境,可以提供专门的型号。
2.2.3 广域网互联VPN规划方案
伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。在VPN方式下,VPN客户端和设置在内部网络边界的VPN网关使用隧道协议,利用Internet或公用网络建立一条“隧道”作为传输通道,同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而保证数据的完整性、机密性和合法性。通过VPN方式,企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问,不但节省了大量的资金,而且具有很高的安全性。
另外,随着企业规模的扩大,分散办公也越来越普遍,如何实现小型分支、出差员工、合作伙伴的远程网络访问也被越来越多的企业关注。从成本、易用性、易管理等多方面综合考虑,SSL VPN无疑是一种最合适的方案:只需要在总部部署一台设备,成本更低,管理维护也很容易;无需安装客户端、无需配置,登陆网页就能使用。
1) 网络需求
1IPSec VPN和SSL VPN各有所长,功能互补,对企业来说都是需要的:IPSec VPN用于总部和中大型分支互连,SSL VPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。但传统方法下,企业总部需要采购两台设备来支持两种VPN,不仅成本更高,而且可能存在VPN策略冲突,导致性能下降、管理困难。
11
企业IT基础架构规划方案
2) 规划方案
融合VPN针对企业的实际需要,一台设备融合IPSec / SSL两种VPN,只需部署在总部,既可以用于为合作伙伴、出差人员提供远程网络访问,也可以和分支机构进行IPSec VPN互连,帮助企业降低采购、部署、维护三方面成本。
VPN网关选择方面,H3C的防火墙、路由器都能够实现融合VPN,提供给企业更加灵活的选择。例如,如果企业非常强调网络安全、VPN性能,就选择防火墙;如果企业更注重多业务处理能力,如IP语音通信、3G上网、无线接入等,推荐选择路由器。
在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关,在分支机构Internet边界防火墙后面配置一台VPN网关,由此两端的VPN网关建立IPSec VPN隧道,进行数据封装、加密和传输;另外,通过总部的VPN网关提供SSL VPN接入业务;在总部局域网数据中心部署H3C VPN Manager组件,实现对VPN网关的部署管理和监控;在总部局域网内部或Internet边界部署H3C BIMS系统,实现对分支机构VPN网关设备的自动配置和策略部署。如下图:
设备选型和部署参考如下: 业务 网络互连 需求 VPN网关 设备选型参考 H3C SecPath F1000VPN网关 配置说明 总部和大型机构配置F1000型号 数量 总部1台 分支机构按部署位置 核心机房 12
企业IT基础架构规划方案 H3C SecPath F100 VPN网关 或 H3C MSR50 路由器 H3C MSR20-1X 路由器 网络管理 H3C VPN Manager H3C BIMS
中小型机构配置F100型号 需求配置 帮助用户部署、管理VPN网络 1 核心机房 如果省内分支机构较多、较分散,但对速率要求不高的连锁型单位,也可以选用电信或ISP商的VPDN服务;
如果多个分支机构间有多点对多点通信需求的企业、商业机构,也可以直接选用电信或ISP商的MPLS VPN服务。
2.2.4 网络性能指标要求
类型 局域网 广域网 带宽要求 客户端到服务器:10Mb以上,推荐100Mb 各服务器之间:200M以上,推荐1000Mb 分支机构带宽:每客户端128Kb 总部出口带宽:(最大并发数/3)×128Kb 总部服务器之间:200M以上,推荐1000Mb
线路质量要求 丢包率小于0.1% 延迟小于20ms 丢包率小于2% 延迟小于50ms 2.2.5 网络安全规划
网络安全是整个系统安全运行的基础,是保证系统安全运行的关键。网络系统的安全需求包括以下几个方面:
? ? ?
网络边界安全需求 入侵监测与实时监控需求 安全事件的响应和处理需求分析
这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。
我们针对企业网络层的安全策略采用硬件保护与软件保护,静态防护与动态防护相结合,由外
13
企业IT基础架构规划方案
向内多级防护的总体策略。
根据安全需求和应用系统的目的,整个网络可划分为六个不同的安全层次。具体是: ? 核心层:核心数据库;
? 安全层:应用信息系统中间件服务器等应用; ? 基本安全层:内部局域网用户;
? 可信任层:公司本部与营业部网络访问接口; ? 危险层:Internet。
信息系统各安全域中的安全需求和安全级别不同,网络层的安全主要是在各安全区域间建立有效的安全控制措施,使网间的访问具有可控性。具体的安全策略如下:
核心数据库采用物理隔离策略
应用系统采用分层架构方式,客户端只需要访问中间件服务器即可进行日常业务处理,从物理上不能直接访问数据库服务器,保障了核心层数据的高度安全。
应用系统中间件服务器采取综合安全策略:
应用系统中间件的安全隐患主要来自局域网内部,为了保障应用系统中间件服务的安全,在局域网中可通过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离,提供子网间的访问控制能力。同时,中间件服务器本身可以通过配置相应的安全策略,限定经过授权的工作站、用户方能访问系统服务,保障了中间件服务器的安全性;
内部局域网采取信息安全策略:
公司本部及营业部内部局域网处于基本安全层的网络,主要是对于安全防护能力较弱的终端用户在使用,因此考虑的重点在于两个方面,一个是客户端的病毒防护,另一个是防止内部敏感信息的对外泄露。因此,通过选用网络杀毒软件达到内部局域网的病毒防护,同时,使用专用网络安全设备(如硬件防火墙)建立起有效的安全防护,通过访问控制ACL等安全策略的配置,有效地控制内部终端用户和外部网络的信息交换,实现内部局域网的信息安全。
公司本部与下属机构之间网络接口采取通讯安全策略:
处于可信任层的网络,其安全主要考虑各下属单位上传的业务数据的保密安全,因此,可采用数据层加密方式,通过硬件防火墙提供的VPN隧道进行加密,实现关键敏感性信息在广域网通信信道上的安全传输。
Internet采取通讯加密策略:
Internet属于非安全层和危险层,由于Internet存在着大量的恶意攻击,因此考虑的重点是要避
14