你好,如果给你们的企业做规划网络,必须要考虑到以下几点:
1、网络系统结构要清晰,统一进行网络分层规划,网络拓扑不能太混乱;
2、考虑到系统扩容,要做冗余设计,包括带宽、线路、接入设备等,容易卡脖子的设备,比如汇聚交换机,最好考虑模块化设计;
3、多种业务需求,比如支持WLAN无线接入,满足移动办公、大区域无线缆覆盖等特殊要求;对于企业用户访问外网进行计费,计费策略可灵活设置(时长计费、流量计费、按目的地址计费);企业多出口链路场景下的负载均衡、灵活选路需求;
4、网络安全,防范网络攻击、消耗流量、窃取电子资产等行为,接入认证控制等,所以要做多层次的防护,用交换机网管+防火墙的方式进行部署;
5、网络管理运维的便捷性,流量控制,上网行为管理、设备管理等,工作量很大,另外考虑到网管的工作交接和资料保管不一定完善,所以你们可以考虑上一套可视化运维系统。
典型的企业网络结构可以按下图进行设计:
建议采用层次化、模块化的设计思路,按照接入层、汇聚层、核心层和出口层进行网络设备设计部署;交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接入核心交换机,交换机之间采用TRUNK链路保证链路级可靠性。
高用户密度的企业接入场景推荐使用S5300/S9300作为接入交换机,低用户密度的场景推荐使用S2300/S3300作为接入交换机。
汇聚交换机需要提供高密度的GE接口,汇聚接入交换机的流量,通过10GE接口接到核心交换机,推荐使用S9300系列交换机作为企业汇聚层交换机。
企业核心层交换机部署在核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,连接园区外部网络到内部用户的“纵向流量”和不同汇聚区域用户之间的“横向流量”要求高密10GE、高转发性能。
企业出口路由器,连接Internet/WAN广域网和园区内部局域网。推荐华为AR和SRG系列路由器作为企业出口路由器。
关于企业的总体安全方案,可以按照下图的策略部署:
防火墙的选择首先是安全防护能力,对于每秒新建连接数,并发连接数和吞吐量,ACL匹配速度,DDOS识别均要进行重点考察。可以选用华为S93系列集成的防火墙。
需要在企业出口通过NAT设备进行IP地址转换,因为考虑到企业内网安全和企业公网地址缺乏等原因,通常要选择通过采用私网IP地址来建设企业网,可以隐藏企业园区内部网络拓扑。为了进行安全防护,NAT功能一般部署在防火墙设备上。
最后就是网管系统,主要由网络管理、流量管理、认证计费等几个产品组成。
希望我的回答可以帮助到你,谢谢!
联系客服