首頁 解決方案 網絡布線系統 集團網絡改造(V3)方案

集團網絡改造(V3)方案

建設目標
在本方案中,我們力爭做到在充分分析中海石油財務有限責任公司網絡系統改造項目現階段實際需要的基礎上,考慮未來幾年之內的發展狀況,結合我們自身的資源和技術優勢,提出一個相對來說比較完整、全面、具有較高的可實施性、技術領先又切合實際的長期建設規劃。特別是結合中國體育總局的“規范”要求和實際系統的實施,為構造安全的計算機系統進行充分的論證。

我們深知,隨著中海石油財務有限責任公司業務的穩健發展,這只是整個工程的第一步,正如建造一幢大廈,在打下第一塊基石之前,就應該有一個完整的建設藍圖。我們真切地希望通過我們的努力,能夠為各位領導提供最具價值的參考建議,并且通過我們之間的密切合作,為未來的業務需求打下堅實的基礎。

在本方案的設計過程中,我們認真體會中海石油財務有限責任公司網絡系統改造項目的實際需求和海油機構的信息系統安全要求,并且從中得到了啟發。我們的目標是為您建設一個穩定、高效、先進、安全、可維護性強的網絡系統。
需求分析

此次中海石油財務有限責任公司網絡系統改造項目信息系統建設是一個在以有系統上衍生出來的一套擴展網絡系統,網絡總的設計原則是為網絡提供備份功能,通過網絡設備實現自動切換,新系統和原有系統提供無縫對接。通過新架設的網絡設備對新規劃的在網絡系統提供冗余備份,對所有設備進行管理。整個網絡系統達到高速、可靠。針對于此,我們首先從三方面描述貴公司提出的網絡系統設計需求,包括:系統規模需求、系統結構及功能需求和系統設備需求。然后,結合公司多年從事系統集成的經驗以及對體彩公司未來發展前景的理解來總結網絡系統的設計需求。

系統整體架構

核心網絡設備是兩臺高性能 cisco WS-C4948-E 交換機

隔離網絡設備是兩臺 cisco ASA5520-BUN-K9 防火墻

邊緣網絡設備兩臺 cisco CISCO2911

核心交換機采用兩臺 WS-C4948-E ,同時使用 Spanning-Tree 技術提供交換網絡冗余連接。兩臺核心交換機之間采用 2 個 1000M 端口互相連接,利用 CISCO GEC 技術使中心交換機之間的鏈路帶寬達到 2000M 。同時,每臺交換機通過千兆端口連接到每臺被管理設備端口。 WS-C4948-E 采用 HSRP 技術使兩臺交換機之間互為備份,應用(前置機)流量通過劃分 VLAN 到核心交換機,與交換機連接所有設備端口工作在二層。交換機與防火墻之間運行路由選擇協議為靜態。 WS-C4948-E 支持 CISCO 的智能交換技術以及其他的多種技術,滿足了中海石油財務有限責任公司的現有的網絡需求。

隔離防火墻采用四臺 ASA5520-BUN-K9+SSM-4GE 板卡,防火墻采用主備模式,劃分為 2 組應用,共劃分為 10 個區域,其中第 1 組防火墻 6 個端口劃分 6 個區域, 3 個端口連接交換機內區域, 3 個端口連接路由器外區域。其中第 2 組防火墻 4 個端口劃分 4 個區域, 2 個端口連接交換機內區域, 2 個端口連接路由器外區域。每臺防火墻使用 2 端口作為故障倒換端口,使用 Failover 技術提供防火墻冗余連接 , 防火墻之間的冗于類型為主備模式 , 實現了故障切換 , 為將網絡中的設備出現故障的可能性降至最低提供了一種方法。根據業務的實際需求設置相應的策略 , 允許特定流量進入應用(前置機)網絡 , 拒絕其它流量進出。 設備管理方式采用 Telnet 的管理地址。 防火墻運行路由選擇協議為靜態路由。

邊緣路由器采用兩臺思科 CISCO2911 ,為本次項目提供 2M 專線接入 . 其中一個 100M 接口與防火墻相連 , 一個 100M 接口與另一個路由器互連 , 串型接口與銀行端部分相連 . 內網接口 IP 構成設備管理地址 , 路由器運行路由選擇協議為靜態路由。

前置機冗余部署

為保證前置機業務的不間斷性,為每臺前置機配置了一臺備用機,以滿足當前置機出現故障時能夠得到及時切換。同時每臺前置機通過兩條鏈路連接至核心交換機避免因為鏈路故障而導致前置機以及核心交換機的頻繁切換。

設備冗余 :前置機雙機冷備,手動切換。

線路冗余 :前置機雙鏈路連接至主、備核心交換機,鏈路自動切換。

核心交換機熱備份部署

核心交換機是負責數據交換的主要設備,同時承載前置機到網絡的接入,因此在核心交換上進行 HSRP 熱備份部署,對數據交換的持續性是一種有效的手段。

設備及鏈路冗余 :雙核心交換機 HSRP 熱備份,設備或線路出現故障后自動進行切換。
防火墻熱備份部署

防火墻為前置機及銀行端數據提供網絡安全功能,兩臺防火墻之間采用主 --- 備方式形成熱備份組,組 1 負責對銀行端 1 、 2 、 3 的數據進行安全防護,組 2 負責對銀行端 4 、 5 的數據進行安全防護。一旦網絡出現設備或者線路故障時,防火墻會相應進行切換,以避免數據終端。

設備冗余 :當主防火墻出現物理故障或者上級主交換機出現物理故障時,防火墻會發生主備切換。切換動作自動進行,前端機及路由器不會發生切換。

線路冗余 :主、備防火墻至主、備核心交換均有線路,互為備份,當此線路出現故障時會自動切換至備用線路。

路由器熱備份部署

為了保證到銀行端網絡的連通性,采用兩臺路由器采用主、備的熱備份方式,分別接入一條廣域網專線,互為備份,沒兩臺路由器到兩臺防火墻采用橋接的連接方式,可靈活的實現路由器及防火墻故障引起的切換。

 

設備冗余 :雙路由器采用 HSRP 進行熱備份,當主路由器出現故障時,會自動進行主備切換,備份路由器使用備份線路繼續轉發數據。

線路冗余 :雙廣域網線路可保證在一條線路失效的情況下數據不中斷,同時路由器與防火墻間也存在備用線路,每臺路由器與主、備防火墻間都連有連接,當由于防火墻或者到防火墻的線路發生故障時,主路由器會采用另外一條鏈路與備用防火墻進行通信,而不用切換至備用路由器,這樣就減少了因故障導致路由器以及專線切換的范圍。


鼎汇娱乐游戏