遵循安全、可靠�、穩(wěn)定、高效的原則�,把網(wǎng)絡(luò)劃分成5個(gè)區(qū)域。分別是遠(yuǎn)程接入?yún)^(qū)域(L2TP over IPSEC VPN)�����、互聯(lián)網(wǎng)區(qū)域(untrust)��、服務(wù)器區(qū)域(DMZ)��、辦公區(qū)域(trust)�,其中辦公區(qū)域分為有線辦公區(qū)域(Lan)和無線辦公區(qū)域(Wireless)。
遠(yuǎn)程接入?yún)^(qū)域(L2TP over IPSEC VPN)分為兩部分:
第一部分為寧波制造中心到科海公司在互聯(lián)網(wǎng)上建立的L2TP over IPSEC VPN邏輯虛擬隧道����,用于制造中心訪問科海內(nèi)部網(wǎng)絡(luò),并實(shí)現(xiàn)數(shù)據(jù)加密���。
第二部分為移動(dòng)辦公使用��,用于員工在外地出差或在家里可通過L2TP over IPSEC VPN訪問科海內(nèi)部網(wǎng)絡(luò)�����,并實(shí)現(xiàn)數(shù)據(jù)加密���。
互聯(lián)網(wǎng)區(qū)域(untrust):用一臺(tái)統(tǒng)一威脅管理設(shè)備UTM200-A連接20M互聯(lián)網(wǎng)專線�����,同時(shí)該設(shè)備具有防火墻,入侵防御�,行為審計(jì),流量管理����,VPN等功能,可有效的保障服務(wù)器和內(nèi)網(wǎng)數(shù)據(jù)安全����。并在UTM200-A上啟用Qos限速功能,限制有線����、無線辦公終端超卓外網(wǎng)速度3M。UTM200-A支持500個(gè)信息點(diǎn)高速轉(zhuǎn)發(fā)�����,滿足科海未來3-5年的發(fā)展需求。
服務(wù)器區(qū)域(DMZ):1臺(tái)R420,6臺(tái)R210 II共7臺(tái)服務(wù)器���,全部配置為雙電源��、RAID 1磁盤陣列(1:1物理硬盤備份)���、雙網(wǎng)卡(用兩根網(wǎng)線分別連接至2臺(tái)核心交換機(jī)),冗余配置確保服務(wù)器7X24小時(shí)正常工作����。在UTM200-A對(duì)7臺(tái)服務(wù)器做嚴(yán)格的訪問控制,對(duì)互聯(lián)網(wǎng)只開放對(duì)應(yīng)的服務(wù)端口�����,關(guān)閉其他端口����。對(duì)內(nèi)部根據(jù)業(yè)務(wù)需求配置擴(kuò)展ACL開放對(duì)應(yīng)的服務(wù)器訪問權(quán)限。
辦公區(qū)域(trust)分為兩部分:
有線區(qū)域(Lan):兩臺(tái)核心交換機(jī)5120采用IRF2技術(shù)����,虛擬化成1臺(tái)邏輯上的交換機(jī),性能翻倍��,雙機(jī)熱備更可靠。一臺(tái)5120的整機(jī)交換容量為256Gbps�����,2臺(tái)5120虛擬化后的整機(jī)交換容量為512Gbps����,滿足256個(gè)千兆口的全線速轉(zhuǎn)發(fā)�����,即滿足科海256個(gè)千兆信息點(diǎn)的全線速轉(zhuǎn)發(fā)����。全部采用雙線路與UTM200-A,5臺(tái)接入交換機(jī)互聯(lián)����。2臺(tái)5120核心交換機(jī)、3臺(tái)DCS4500�、2臺(tái)3100接入交換機(jī),總共可提供288個(gè)有線信息點(diǎn)�,滿足科海未來3-5年的發(fā)展需求。
無線區(qū)域(Wireless):采用AC�����、瘦AP統(tǒng)一管理的方式部署無線網(wǎng)絡(luò)覆蓋科海整個(gè)辦公區(qū)域,并選用通道1,6,11的方式部署使無線干擾最小�。選用無線、交換����、POE供電一體機(jī)的WX3010無線控制器(AC),選用6個(gè)802.11n(300M)的雙頻瘦AP模式的WA2620i�,同時(shí)支持2.4GHZ與5GHZ兩個(gè)頻帶,能更好的支持各種無線終端的接入����。并在無線控制器上配置負(fù)載均衡,限制每個(gè)AP超卓接入無線終端數(shù)30個(gè)(并保證每個(gè)無線終端至少可以搜索到2個(gè)AP的信號(hào))��,即每個(gè)AP只接受30個(gè)無線終端用戶���,強(qiáng)制6個(gè)AP分別負(fù)載30個(gè)無線終端��。最后在無線控制器上開啟本地轉(zhuǎn)發(fā)功能��,關(guān)閉低速空口1M�、2M�����、5M、6M�,增加無線控制器以及AP的轉(zhuǎn)發(fā)效率,使整個(gè)無線網(wǎng)絡(luò)更加穩(wěn)定�,高效,可靠���。
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)同時(shí)還需給?�?当O(jiān)控系統(tǒng)�����、門禁系統(tǒng)、會(huì)議系統(tǒng)�����、電子桌面系統(tǒng)提供網(wǎng)絡(luò)平臺(tái):
監(jiān)控系統(tǒng)配置一個(gè)單獨(dú)的VLAN��,分布在不同的接入交換機(jī)上�����,只允許VLAN內(nèi)部互通,以及訪問監(jiān)控服務(wù)器����,不允許其他任何訪問。一共提供17個(gè)信息點(diǎn):分別連接3臺(tái)??当O(jiān)控系統(tǒng)服務(wù)器、13個(gè)基于IP的??稻W(wǎng)絡(luò)攝像頭、1臺(tái)16路??礜VR。
門禁系統(tǒng)配置一個(gè)單獨(dú)的VLAN�����,分布在不同的接入交換機(jī)上����,只允許VLAN內(nèi)部互通,以及訪問門禁服務(wù)器��,不允許其他任何訪問�����。一共提供11個(gè)信息點(diǎn):分別連接1臺(tái)門禁系統(tǒng)服務(wù)器�����、8個(gè)門禁主機(jī)、2個(gè)道閘�����。
會(huì)議系統(tǒng)配置一個(gè)單獨(dú)的VLAN�,分布在不同的接入交換機(jī)上,只允許VLAN內(nèi)部互通����,不允許其他任何訪問。一共提供5個(gè)信息點(diǎn):分別連接1臺(tái)中控主機(jī)��、1臺(tái)會(huì)議話筒主機(jī)���、1臺(tái)串口服務(wù)器、2個(gè)IPad無線控制終端�。
電子桌牌系統(tǒng)配置一個(gè)單獨(dú)的VLAN,分布在不同的接入交換機(jī)上����,只允許VLAN內(nèi)部互通,以及訪問電子桌牌服務(wù)器����,不允許其他任何訪問����。一共提供9個(gè)信息點(diǎn):分別連接1臺(tái)電子桌牌系統(tǒng)服務(wù)器�、8個(gè)電子桌牌。
