遵循安全、可靠、稳定、高效的原则,把网络划分成5个区域。分别是远程接入区域(L2TP over IPSEC VPN)、互联网区域(untrust)、服务器区域(DMZ)、办公区域(trust),其中办公区域分为有线办公区域(Lan)和无线办公区域(Wireless)。
远程接入区域(L2TP over IPSEC VPN)分为两部分:
第一部分为宁波制造中心到bat365中文官方网站公司在互联网上建立的L2TP over IPSEC VPN逻辑虚拟隧道,用于制造中心访问bat365中文官方网站内部网络,并实现数据加密。
第二部分为移动办公使用,用于员工在外地出差或在家里可通过L2TP over IPSEC VPN访问bat365中文官方网站内部网络,并实现数据加密。
互联网区域(untrust):用一台统一威胁管理设备UTM200-A连接20M互联网专线,同时该设备具有防火墙,入侵防御,行为审计,流量管理,VPN等功能,可有效的保障服务器和内网数据安全。并在UTM200-A上启用Qos限速功能,限制有线、无线办公终端超卓外网速度3M。UTM200-A支持500个信息点高速转发,满足bat365中文官方网站未来3-5年的发展需求。
服务器区域(DMZ):1台R420,6台R210 II共7台服务器,全部配置为双电源、RAID 1磁盘阵列(1:1物理硬盘备份)、双网卡(用两根网线分别连接至2台核心交换机),冗余配置确保服务器7X24小时正常工作。在UTM200-A对7台服务器做严格的访问控制,对互联网只开放对应的服务端口,关闭其他端口。对内部根据业务需求配置扩展ACL开放对应的服务器访问权限。
办公区域(trust)分为两部分:
有线区域(Lan):两台核心交换机5120采用IRF2技术,虚拟化成1台逻辑上的交换机,性能翻倍,双机热备更可靠。一台5120的整机交换容量为256Gbps,2台5120虚拟化后的整机交换容量为512Gbps,满足256个千兆口的全线速转发,即满足bat365中文官方网站256个千兆信息点的全线速转发。全部采用双线路与UTM200-A,5台接入交换机互联。2台5120核心交换机、3台DCS4500、2台3100接入交换机,总共可提供288个有线信息点,满足bat365中文官方网站未来3-5年的发展需求。
无线区域(Wireless):采用AC、瘦AP统一管理的方式部署无线网络覆盖bat365中文官方网站整个办公区域,并选用通道1,6,11的方式部署使无线干扰最小。选用无线、交换、POE供电一体机的WX3010无线控制器(AC),选用6个802.11n(300M)的双频瘦AP模式的WA2620i,同时支持2.4GHZ与5GHZ两个频带,能更好的支持各种无线终端的接入。并在无线控制器上配置负载均衡,限制每个AP超卓接入无线终端数30个(并保证每个无线终端至少可以搜索到2个AP的信号),即每个AP只接受30个无线终端用户,强制6个AP分别负载30个无线终端。最后在无线控制器上开启本地转发功能,关闭低速空口1M、2M、5M、6M,增加无线控制器以及AP的转发效率,使整个无线网络更加稳定,高效,可靠。
计算机网络系统同时还需给海康监控系统、门禁系统、会议系统、电子桌面系统提供网络平台:
监控系统配置一个单独的VLAN,分布在不同的接入交换机上,只允许VLAN内部互通,以及访问监控服务器,不允许其他任何访问。一共提供17个信息点:分别连接3台海康监控系统服务器、13个基于IP的海康网络摄像头、1台16路海康NVR。
门禁系统配置一个单独的VLAN,分布在不同的接入交换机上,只允许VLAN内部互通,以及访问门禁服务器,不允许其他任何访问。一共提供11个信息点:分别连接1台门禁系统服务器、8个门禁主机、2个道闸。
会议系统配置一个单独的VLAN,分布在不同的接入交换机上,只允许VLAN内部互通,不允许其他任何访问。一共提供5个信息点:分别连接1台中控主机、1台会议话筒主机、1台串口服务器、2个IPad无线控制终端。
电子桌牌系统配置一个单独的VLAN,分布在不同的接入交换机上,只允许VLAN内部互通,以及访问电子桌牌服务器,不允许其他任何访问。一共提供9个信息点:分别连接1台电子桌牌系统服务器、8个电子桌牌。