铭冠网安企业网络建设解决方案网络整体架构
企业网络设计架构包含了四个层次,包括接入层、传输网络、中心平台以及具体的应用。接入层由无线AP、物联网关、有线/无线/物联网终端构成。传输网络中,有线传输网络使用信锐智能交换机,无线网络使用高性能AP进行Wi-Fi覆盖,实现有线/无线终端安全接入;物联网智能终端,使用LORA/Wi-Fi/GPRS/NB-IOT/RS485等协议传输数据,通过平台统一管理,智能化运维。中心平台由信锐高性能网络控制器组成,控制器集用户认证,上网行为管理与审计,大数据分析,物联网管理平台,有线管理平台于一体。
无线网络,员工和访客使用不同的SSID,内部员工通过账号密码接入无线网络,访客使用短信验证,二维码审核等方式接入网络,并且员工不能使用访客无线网络。
权限管控方面,基于用户角色实现有线/无线管控,保障不同角色的上网需求,并且做到用户行为可控,防范上网风险,全网随行,网随人动,
铭冠网安信锐企业智慧办公解决方案,给企业客户提供了上网行为记录与管控,员工画像分析和考勤分析,网络安全画像与防护,设备动环检测与用电安全管控,消防安全检测,办公舒适度调节等,简化了运维,实现企业自动化运维。
使用流控策略,在出口带宽有限的情况下,流量精细化管控,优先保障办公流量。
APP可以实时查看设备状态,接收告警信息,随时随地掌握实际情况,及时运维。
铭冠网安企业网络建设解决方案网络拓扑设计
整个网络的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余负载备份,接入交换机与汇聚交换机通过双规相连接,汇聚交换机双规接入核心交换机,交换机之间采用链路捆绑保证链路级可靠性、核心与汇聚设备之间通过HCS(Hyper-Converged-Switch:以下简称HCS)+M-LAG技术保证设备级、链路级可靠性。
结合用户无线网络需求情况,结合信锐产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照AP+AC的结构化无线网络解决方案进行设计。具体设计为在总部设置总部AC,在大型分支机构设置分支AC与分支AP,中型分支机构设计汇聚、接入智能交換机和分支AP。小微型分支机构直接设置分支AP。总部AC可以对大型分支机构的AC进行管理,当网点控制器采用集中管理的模式进入到中心端控制器时,会自动下载中心端的公共配置,比如IP组、MAC地址库、时间计划、角色授权、认证页面等。总部AC也可以直接管理中小型分支机构的分支AP,实现统一管理。
核心层交换机设计
核心层是部署在机房中的网络核心交换机设备,连接所有的汇聚交换机,汇聚各楼栋/区域/部门之间的流量,提供三层交换机的功能。它承担了网络内部数据流量和对外的数据流量,因此核心交换机必须能够提供高速的数据转发性能、高稳定性,达到高带宽、高转发性能的效果。
同时核心层交换机系统需要支持各部件冗余,以免单点故障导致整个核心系统宕机的问题,因此需要核心层交换机支持电源、风扇等重要部件采用冗余设计。
为了保障核心系统的高可靠性,采用双机HCS虚拟化部署,实现核心系统互为冗余。单台设备故障的时候,可以ms级切换,实现业务双重高可靠性。
选型建议(核心选型)
本次核心建议采用S7510/S8514型号(S7510应用3000~5000人的规模、摄像头点位4M码流1500~2000点位,S8514应用10000人以上规模摄像头点位4M码流3000左右)
汇聚层交换机设计
汇聚层是各楼栋/区域/部门的核心,汇聚来自接入层设备的流量。转发用户业务间的“横向流量”,同时它又需要提供到核心层的“纵向流量”,因此汇聚层的设备要去也是比较高的,汇聚层与核心层共同组建成网络核心骨干网。因此汇聚层需要提供高密度的GE接口,汇聚接入交换机流量,用于支撑汇聚交换机下各业务,通过10GE接口接到核心交换机。
本次方案汇聚层2台采用M-LAG技术组成虚拟化系统,实现网络高可靠性、满足业务的需求。
选型建议(汇聚选型)
本次汇聚建议采用RS5300-28T/52T-4F型号(如果网络规模相对较大,可以用万兆光交换机RS6500-54Q-EI-48X做汇聚)
接入层交换机设计
接入层是直接接入用户的终端,提供各种接入方式,这里通常部署一些弱三层层设备即可,除了能够提供丰富的二层交换机的功能之外,又能提供简单的三层功能满足业务安全的需要(例如QOS/ACL等),降低网络设备部署成本。接入层交换机一般需要提供高密度的GE接口,能够支持更多的终端接入有线网络,同时双归属到两台汇聚交换机。
选型建议(汇聚选型)
本次接入建议采用RS3300-28T/52T-4F型号或RS5300-28T/52T-4F型号
出口路由设计
与Internet 互联的位置都是作为网络的出口,为了互联区域的可靠性,采用支持路由功能的安全设备双机部署,实现出口路由的功能,同时又可以实现出口用户的安全防护。
铭冠网安企业网络建设解决方案网络方案规划设计
网络VLAN规划
VLAN定义
VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段,从而实现在一个LAN内隔离广播域的技术。当网络规模越来越庞大时,局部网络出现的故障会影响到整个网络,VLAN的出现可以将网络故障限制在VLAN范围内,增强了网络的灵活性。
VLAN划分原则
1) 区分业务VLAN、管理VLAN和互联VLAN
2) 按照业务区域划分不同的VLAN
3) 同一业务区域按照具体的业务类型(如:Web、APP、DB)划分不同的VLAN
4) VLAN需连续分配,以保证VLAN资源合理利用
5) 预留一定数目VLAN方便后续扩展
网络IP规划
IP功能
在企业网络IP地址主要有两种,企业网中的DMZ区或Internet互联区有少量设备使用公网IP,企业内部使用的则是私网IP。对于私网地址,在网络出口边界通过路由器/防火墙等支持NAT的设备将地址转换成公网地址后接入互联网。
IP规划
1) 唯一性:一个IP网络中不能有两个主机采用相同的IP地址
2) 连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
3) 拓展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
网络组播规划
IP组播技术实现了IP网络中点到多点的高效数据传送。相对于数据单播传送,组播有效节省网络带宽,降低对网络设备的要求,用户规模可以灵活变化,用户规模的增大不会对网络和服务器造成带宽和性能压力。
组播主要应用场景:视频监控、电子课堂、视频会议等。
