海南核电网络信息系统总体实施规划
海南核电有限公司 海南核电有限公司 海南核电有限公司
海口办公区与昌江现场网络信息系统总体实施规划 海口办公区与昌江现场网络信息系统总体实施规划 海口办公区与昌江现场网络信息系统总体实施规划
目录
一、 网络结构 ........................................................................................................................... 3
1. 海口总体网络结构说明: ........................................................................................... 3
2. 昌江现场网络结构说明: ........................................................................................... 4
3. 区域互联
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
............................................................................................................... 5 二、 VLAN划分....................................................................................................................... 6
1. 确定网络的逻辑Vlan划分原则 ................................................................................. 6
2. 预定各vlan网段如下: ............................................................................................. 7
3. 确定每个vlan的端口数量 ......................................................................................... 8
4. 确定每个交换机上vlan的配置信息 ......................................................................... 8
三、 设备命名 ........................................................................................................................... 8 四、 IP 地址分配 ..................................................................................................................... 9
1. 确定总体IP地址范围 ................................................................................................. 9
2. 确定每个Vlan需要对应的IP地址范围 ................................................................... 9
3. 确定网络设备管理地址 ............................................................................................. 10 五、 路由规划 ......................................................................................................................... 11
1. 路由
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
选择 ............................................................................................................. 11 六、 安全访问控制 ................................................................................................................. 11 七、 广域网连接 ..................................................................................................................... 12
为了保证海南核电有限公司计算机网络系统项目中网络设备调试工程的顺利实施,在实施前我公司和海南核电有限公司相关工作人员共同协商制定
实施方案
关于机房搬迁实施方案高中班级自主管理实施方案公交公司安全生产实施方案成立校园管乐队的实施方案中层管理人员竞聘上岗实施方案
,确定实施中的一些技术问题。
一、 网络结构
1. 海口总体网络结构说明:
海口办公点网络根据功能和业务划分为两各安全区域:
, 办公网区域:海口办公点用户和内部服务器接入的区域;
, 对外服务区(DMZ区):提供外来访问的接入;
两个安全区域中,办公网区域安全级别最高,DMZ安全级别次之。两个区域通过防火墙进行逻辑隔离,并通过专线接入Internet。
, 办公区网络设计
考虑到办公点的规模,办公网采用“压缩主干”方式设计,即按照核心层和接入层进行设计。
核心层采用1台Cisco Catalyst 4506E高性能三层模块化交换机作为中心交换机,交换机配置如下:
, 配置了1块WS-X4516路由交换引擎模块。
, 配置了2块1400W的交换机电源实现交换机电源冗余。
, 配置了1块24个10/100/1000M RJ-45端口的千兆接口模块实现向下千
兆连接接入交换机,向上连接防火墙。
24个10/100/1000M RJ-45 UTP接口中一部分可用作为接入交换机提供100米距离范围内的千兆双绞线上联,其余的端口则作为内部服务器接入使用。
接入层配置3台Catalyst 2960二层交换机为用户提供100M以太接入。该设备提供48个10/100M的RJ-45端口和2个千兆上联接口。每台Catalyst 2960交换机通过1个千兆上联口与中心交换机Catalyst 4506E实现2Gbps(全双工)的互联,也可以通过2个千兆“捆绑”后上联口与中心交换机Catalyst 4506E实现4Gbps(全双工)的高速互联。
, DMZ区网络设计
配置1台24口的Catalst 2960作为DMZ区的接入交换机,为对外服务器,如:Email、防垃圾邮件网关、SSL VPN等设备提供网络接入。
, 防火墙系统设计
配置了一台天融信NGFW4000硬件百兆防火墙。该防火墙配置有4个10/100M RJ-45端口。防火墙1个接口作为内口用于连接内部网络的核心交换机;1个接口作为外口用于连接Internet;1个接口作为DMZ口,用于连接提供外部访问的服务器。
, 防垃圾邮件网关设计
在DMZ区配置1台梭子鱼防垃圾邮件网关,该设备还内置了防病毒模块,可以对外域发往本域的邮件进行垃圾邮件的过滤,对邮件中携带的病毒进行清除或删除。
, SSL VPN设计
在防火墙DMZ区部署1台ARRAY的SPX2000 SSL VPN设备。移动办公用户只需通过Internet访问该设备,然后经过认证服务器的认证后,建立VPN通道,即可安全地访问被授权的内网资源,实现外部移动用户对内部资源的安全访问。
SSL VPN通过部署在办公网的域服务器实现对移动用户的身份认证。
2. 昌江现场网络结构说明:
采用2台Catalyst 3750高性能三层交换机堆叠构建昌江现场办公网。根据现场用户规模,2台设备其中1台配置为24口和2个SFP扩充插槽,另1台配置为48口和2个SFP扩充插槽。网络总的接入容量为72个10/100 RJ45接口。
配置了一台天融信NGFW4000硬件百兆防火墙。该防火墙配置有4个10/100M RJ-45端口。防火墙1个接口作为内口用于连接内部网络的核心交换机;1个接口作为外口用于连接Internet。
3. 区域互联方案
由于海口办公区、昌江现场、秦山二期和北京四地的网络都已经接入Internet,并在出口配置了具有VPN功能的防火墙。因此,可采用IPSec Site-to-Site VPN通过Internet这种实现四地网络的安全互联(北京及秦山二期防火墙是否兼容需确认)。
二、 VLAN划分
1. 确定网络的逻辑Vlan划分原则
从网络性能和网络安全控制方面,建议汇聚层设备上VLAN划分遵循两项规则:地域位置和行政结构。为了减少跨地域的信息流量,一般将同一地域内的接入终端划分至同一个VLAN,如果同一地域内,接入终端较多,则遵循接入终端所属的行政结构,再进一步进行划分。
2. 预定各vlan网段如下:
Vlan 部门
1 网络管理
2 服务器网段
3 DMZ区
4 Internet接入
11 办公区1
12 办公区2
13 办公区3
14 办公区4
3. 确定每个vlan的端口数量
单个VLAN内的设备数量不超过200个。
4. 确定每个交换机上vlan的配置信息
每个交换机上的VLAN配置需要在实施中,确定每个交换机上连接的用户类
型具体确定。
三、 设备命名
为了设备便于识别和管理,设备应该按统一的方式命名。
1、设备的命名
设备命名需要体现设备的类型、位置。其方式如下:
AA-CCCC-D
AA:地理位置
HK,海口
CJ,昌江
BB:设备所在位置:
ZXJF,中心机房
CCCC:设备类型。主要的设备类型有:
4506 C4506核心主交换机
3750 C3750-48/24
2960 C2960,48
D: 设备的序号,用来区分同一位置同类型设备。
共7台交换机,命名原则为指明交换机所在的位置和型号。命名如下:
交换机位置 交换机名
HK-ZXJF-4506 海口中心机房交换机4506
HK-ZXJF-2960-1 海口中心机房2960-1
HK-ZXJF-2960-2 海口中心机房2960-2
HK-ZXJF-2960-3 海口中心机房2960-3
HK-ZXJF-2960-4 海口中心机房2960-4
CJ-3750-1 昌江现场3750,1
CJ-3750-2 昌江现场3750,2
四、 IP 地址分配
IP 地址分配需要保持唯一性、连续性,方便以后的维护。涉及海南核电各
区域采用因特网保留地址10.x.x.x作为内部IP地址使用。 1. 确定总体IP地址范围
, 海口办公区总体地址范围是10.1.0.0/16,可细分为256个C 类子网。
, 昌江现场地址范围是10.2.0.0/16,可细分为256个C 类子网。
一般情况下,一个Vlan对应一个C 类子网。 2. 确定每个Vlan需要对应的IP地址范围
部门 对应Vlan ID 对应IP网段 海口办公区
1 10.1.1.0/24 网络管理
2 10.1.2.0/24 内部服务器网段
3 10.1.3.0/24 DMZ区网段
4 10.1.4.0/24 Internet接入
16 10.1.16.0/24 办公区1
17 10.1.17.0/24 办公区2
18 20.10.18.0/24 办公区3
19 20.10.19.0/24 办公区4
昌江现场
1 10.2.1.0/24 网络管理
16 10.2.16.0/24 办公区1
将IP地址以16个子网为单位进行划分,10.1.0.0,10.1.15.0作为网管地址段/服务器地址段、DMZ区设备地址段;10.1.16.0-10.1.31.0网段作为用户使用地址段。每个用户地址段内的1-220分配给用户,254作为网关,220-253为网络设备、打印机或网段内服务器保留地址段。
3. 确定网络设备管理地址
交换机位置 交换机名 管理地址 海口办公区
HK-ZXJF-4506 10.1.1.254/24 海口中心机房交换机4506
HK-ZXJF-2960-1 10.1.1.253/24 海口中心机房2960-1
HK-ZXJF-2960-2 10.1.1.252/24 海口中心机房2960-2
HK-ZXJF-2960-3 10.1.1.251/24 海口中心机房2960-3
HK-ZXJF-2960-4 10.1.1.250/24 海口中心机房2960-4
昌江现场
CJ-3750-1 10.2.1.253/24 昌江现场3750,1
CJ-3750-2 10.2.1.252/24 昌江现场3750,2
五、 路由规划
1. 路由协议选择
本次网络主要是园区局域网,以核心三层交换机为路由实现全网的路由交换。
六、 安全访问控制 1、缺省多数Vlan之间是不通讯的。
2、服务器网段、DMZ和外网允许所有Vlan访问。
3、其它Vlan之间的访问关系根据进一步讨论设置。
4、其它具体的主机、地址的设置根据进一步讨论设置。
5、IP地址与MAC地址绑定到端口,为每个人手动分配IP地址,个人不可以随
意更改。具体的IP地址-MAC地址
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
另外列出。考虑部分IP地址段,供外单
位人员临时上网用。
6、编制详细的设备登记表用于对地址绑定的记录,表格中必须具备的内容应包
括:设备固定资产编号、设备所属部门、设备所在位置、IP地址、MAC地址、
所连接的网络设备(cisco设备)、所连接网络设备的端口号、综合布线的线
缆号、所属vlan号及其它应标注的信息。
7、规范个人计算机名为与邮箱一致的小写名。即姓的全拼+名字的首字母,如果
有多台计算机则第2台以后在计算机名后加1,2,3 。。
七、 广域网连接
1、广域网的连接设置需要根据甲方与当地电信部门申请的线路接口类型进
行配置。
根据广域网需求,设定防火墙、路由器。