遵循安全����、可靠、穩(wěn)定��、高效的原則�,把網(wǎng)絡劃分成5個區(qū)域。分別是遠程接入?yún)^(qū)域(L2TP over IPSEC VPN)���、互聯(lián)網(wǎng)區(qū)域(untrust)����、服務器區(qū)域(DMZ)����、辦公區(qū)域(trust),其中辦公區(qū)域分為有線辦公區(qū)域(Lan)和無線辦公區(qū)域(Wireless)����。
遠程接入?yún)^(qū)域(L2TP over IPSEC VPN)分為兩部分:
第一部分為寧波制造中心到科海公司在互聯(lián)網(wǎng)上建立的L2TP over IPSEC VPN邏輯虛擬隧道,用于制造中心訪問科海內(nèi)部網(wǎng)絡��,并實現(xiàn)數(shù)據(jù)加密�����。
第二部分為移動辦公使用���,用于員工在外地出差或在家里可通過L2TP over IPSEC VPN訪問科海內(nèi)部網(wǎng)絡����,并實現(xiàn)數(shù)據(jù)加密。
互聯(lián)網(wǎng)區(qū)域(untrust):用一臺統(tǒng)一威脅管理設備UTM200-A連接20M互聯(lián)網(wǎng)專線�����,同時該設備具有防火墻�,入侵防御,行為審計��,流量管理����,VPN等功能���,可有效的保障服務器和內(nèi)網(wǎng)數(shù)據(jù)安全��。并在UTM200-A上啟用Qos限速功能��,限制有線�、無線辦公終端超卓外網(wǎng)速度3M���。UTM200-A支持500個信息點高速轉(zhuǎn)發(fā)��,滿足科海未來3-5年的發(fā)展需求���。
服務器區(qū)域(DMZ):1臺R420,6臺R210 II共7臺服務器��,全部配置為雙電源���、RAID 1磁盤陣列(1:1物理硬盤備份)、雙網(wǎng)卡(用兩根網(wǎng)線分別連接至2臺核心交換機)�,冗余配置確保服務器7X24小時正常工作。在UTM200-A對7臺服務器做嚴格的訪問控制��,對互聯(lián)網(wǎng)只開放對應的服務端口���,關閉其他端口�����。對內(nèi)部根據(jù)業(yè)務需求配置擴展ACL開放對應的服務器訪問權(quán)限���。
辦公區(qū)域(trust)分為兩部分:
有線區(qū)域(Lan):兩臺核心交換機5120采用IRF2技術,虛擬化成1臺邏輯上的交換機��,性能翻倍,雙機熱備更可靠��。一臺5120的整機交換容量為256Gbps�����,2臺5120虛擬化后的整機交換容量為512Gbps����,滿足256個千兆口的全線速轉(zhuǎn)發(fā),即滿足科海256個千兆信息點的全線速轉(zhuǎn)發(fā)�����。全部采用雙線路與UTM200-A����,5臺接入交換機互聯(lián)�����。2臺5120核心交換機�、3臺DCS4500、2臺3100接入交換機���,總共可提供288個有線信息點���,滿足科海未來3-5年的發(fā)展需求�����。
無線區(qū)域(Wireless):采用AC��、瘦AP統(tǒng)一管理的方式部署無線網(wǎng)絡覆蓋科海整個辦公區(qū)域���,并選用通道1,6,11的方式部署使無線干擾最小�。選用無線、交換�����、POE供電一體機的WX3010無線控制器(AC)����,選用6個802.11n(300M)的雙頻瘦AP模式的WA2620i���,同時支持2.4GHZ與5GHZ兩個頻帶����,能更好的支持各種無線終端的接入�。并在無線控制器上配置負載均衡,限制每個AP超卓接入無線終端數(shù)30個(并保證每個無線終端至少可以搜索到2個AP的信號)���,即每個AP只接受30個無線終端用戶,強制6個AP分別負載30個無線終端。最后在無線控制器上開啟本地轉(zhuǎn)發(fā)功能���,關閉低速空口1M����、2M、5M�、6M,增加無線控制器以及AP的轉(zhuǎn)發(fā)效率��,使整個無線網(wǎng)絡更加穩(wěn)定��,高效,可靠����。
計算機網(wǎng)絡系統(tǒng)同時還需給海康監(jiān)控系統(tǒng)�、門禁系統(tǒng)、會議系統(tǒng)����、電子桌面系統(tǒng)提供網(wǎng)絡平臺:
監(jiān)控系統(tǒng)配置一個單獨的VLAN�,分布在不同的接入交換機上,只允許VLAN內(nèi)部互通�,以及訪問監(jiān)控服務器,不允許其他任何訪問�����。一共提供17個信息點:分別連接3臺??当O(jiān)控系統(tǒng)服務器、13個基于IP的?�?稻W(wǎng)絡攝像頭���、1臺16路?���?礜VR�����。
門禁系統(tǒng)配置一個單獨的VLAN�,分布在不同的接入交換機上,只允許VLAN內(nèi)部互通���,以及訪問門禁服務器����,不允許其他任何訪問����。一共提供11個信息點:分別連接1臺門禁系統(tǒng)服務器���、8個門禁主機����、2個道閘�。
會議系統(tǒng)配置一個單獨的VLAN,分布在不同的接入交換機上,只允許VLAN內(nèi)部互通����,不允許其他任何訪問���。一共提供5個信息點:分別連接1臺中控主機�、1臺會議話筒主機、1臺串口服務器���、2個IPad無線控制終端�。
電子桌牌系統(tǒng)配置一個單獨的VLAN,分布在不同的接入交換機上,只允許VLAN內(nèi)部互通�����,以及訪問電子桌牌服務器�����,不允許其他任何訪問�。一共提供9個信息點:分別連接1臺電子桌牌系統(tǒng)服務器、8個電子桌牌�。
