某公司总部大厦楼内局域网建设方案.doc

PAGE 6 项目的建设范围是建设用户未来核心的办公楼——XX公司总部大厦楼内的信息网络系统；建设以XX公司总部大厦为核心，以专线连接分支一、分支二等京内办公地点和通过VPN的方式连接京内外、海内外分支机构的安全的广域网络系统；建设用户核心业务应用系统的运行环境和网络存储系统。 XX公司总部大厦楼内局域网建设方案 大厦内部局域网网络结构图如下所示： 大厦内部局域网以核心交换机Quidway S8512为核心，通过各楼层交换机QuidwayS3528G/S3552G实现各楼层用户的百兆接入，接入交换机与核心交换机之间采用千兆光纤双星型相连。每台S3528G/S3552G配置2个千兆多模光纤接口模块实现双千兆光纤上行。 XX公司总部大厦内部服务器建设方案 内部服务器的网络连接结构图如下： 如图所示，XX公司总部大厦内部服务器与核心交换机S8512之间采用千兆双星型连接。这种连接方案中服务器与网络连接的带宽高，服务器与核心交换机之间不存在网络瓶颈，而服务器的扩容也只用在核心交换机上增加相应的接口模块即可实现。对于服务器的安全策略，建议在核心交换机上将服务器划分为单独的VLAN，隔离服务器和局域网其他用户，用户对服务器的访问通过在核心交换机上设置策略实现，保证服务器的安全。 XX公司总部大厦核心主机、存储系统的网络连接方案 核心主机系统网络连接结构图如下： 如图所示，在核心主机与核心交换机之间通过双千兆防火墙进行安全隔离，核心主机系统通过服务器交换机QuidwayS5624P三层千兆交换机进行千兆汇聚，服务器交换机与防火墙、防火墙与核心交换机之间通过千兆接口连接。千兆防火墙选择华为公司Quidway Secpath1000F专用硬件防火墙，对网络到核心主机和数据存贮系统的数据访问设置统一的安全策略，保证核心主机的网络安全。防火墙与服务器交换机S5624P、防火墙与核心交换机之间均采用双千兆连接。 XX公司总部大厦与用户其他办公地点的网络连接以及移动用户的接入方案 1．在京的分支机构接入方案 网络连接拓扑结构图如下： 如图所示：专线用户接入到专线接入路由器Quidway AR4640上，AR4640通过百兆接口接入专线用户，通过PRI接口接入到大厦程控交换机实现用户的拨号备份，AR4640路由器通过百兆线路分别接入到内网用户防火墙SecPath100F，通过SecPath100F实现用户的安全策略，2台SecPath100F防火墙冗余备份，分别通过百兆接口接入核心交换机，避免单点故障。 2．用户在外地及海外的分支机构的网络接入方案 网络拓扑结构图如下： 如图所示，在总部大厦网络放置一台VPN专用网关，VPN网关对内的连接为通过百兆接口接入到专线接入路由器，对Internet的连接为通过两个百兆接口接入分别到Internet负载均衡设备，通过负载均衡设备、外网防火墙接入Internet。建议VPN专用网关选用华为公司Quidway SecPath1000专用VPN网关。 3．移动用户的接入方案 总部大厦网络还要实现移动用户的接入，因为用户位于外地以及海外的分支机构采用VPN方式接入，并在XX公司总部大厦网络中配置了专门的VPN网关设备，因此建议移动用户也采用VPN作为网络的接入方式，移动用户与用户在外地及海外的分支机构共同使用XX公司总部大厦网络中的VPN网关实现VPN连接。移动用户的VPN实现方式见上文用户在外地及海外的分支机构的VPN接入方案。 外部服务器的网络接入以及Internet接入方案 用户外部服务器以及Internet接入的网络拓扑图如下： 如图所示：XX公司总部大厦内部网络系统通过核心交换机的百兆接口连接两台负载均衡设备，负载均衡设备通过百兆接口连接双外网防火墙，在外网防火墙上设置DMZ区，放置用户对外的服务器。外网防火墙选择华为公司SecPath100F专用硬件防火墙。