遵循安全、可靠、穩定、高效的原則,把網絡劃分成5個區域。分別是遠程接入區域(L2TP over IPSEC VPN)、互聯網區域(untrust)、服務器區域(DMZ)、辦公區域(trust),其中辦公區域分為有線辦公區域(Lan)和無線辦公區域(Wireless)。
遠程接入區域(L2TP over IPSEC VPN)分為兩部分:
第一部分為寧波制造中心到科海公司在互聯網上建立的L2TP over IPSEC VPN邏輯虛擬隧道,用于制造中心訪問科海內部網絡,并實現數據加密。
第二部分為移動辦公使用,用于員工在外地出差或在家里可通過L2TP over IPSEC VPN訪問科海內部網絡,并實現數據加密。
互聯網區域(untrust):用一臺統一威脅管理設備UTM200-A連接20M互聯網專線,同時該設備具有防火墻,入侵防御,行為審計,流量管理,VPN等功能,可有效的保障服務器和內網數據安全。并在UTM200-A上啟用Qos限速功能,限制有線、無線辦公終端超卓外網速度3M。UTM200-A支持500個信息點高速轉發,滿足科海未來3-5年的發展需求。
服務器區域(DMZ):1臺R420,6臺R210 II共7臺服務器,全部配置為雙電源、RAID 1磁盤陣列(1:1物理硬盤備份)、雙網卡(用兩根網線分別連接至2臺核心交換機),冗余配置確保服務器7X24小時正常工作。在UTM200-A對7臺服務器做嚴格的訪問控制,對互聯網只開放對應的服務端口,關閉其他端口。對內部根據業務需求配置擴展ACL開放對應的服務器訪問權限。
辦公區域(trust)分為兩部分:
有線區域(Lan):兩臺核心交換機5120采用IRF2技術,虛擬化成1臺邏輯上的交換機,性能翻倍,雙機熱備更可靠。一臺5120的整機交換容量為256Gbps,2臺5120虛擬化后的整機交換容量為512Gbps,滿足256個千兆口的全線速轉發,即滿足科海256個千兆信息點的全線速轉發。全部采用雙線路與UTM200-A,5臺接入交換機互聯。2臺5120核心交換機、3臺DCS4500、2臺3100接入交換機,總共可提供288個有線信息點,滿足科海未來3-5年的發展需求。
無線區域(Wireless):采用AC、瘦AP統一管理的方式部署無線網絡覆蓋科海整個辦公區域,并選用通道1,6,11的方式部署使無線干擾最小。選用無線、交換、POE供電一體機的WX3010無線控制器(AC),選用6個802.11n(300M)的雙頻瘦AP模式的WA2620i,同時支持2.4GHZ與5GHZ兩個頻帶,能更好的支持各種無線終端的接入。并在無線控制器上配置負載均衡,限制每個AP超卓接入無線終端數30個(并保證每個無線終端至少可以搜索到2個AP的信號),即每個AP只接受30個無線終端用戶,強制6個AP分別負載30個無線終端。最后在無線控制器上開啟本地轉發功能,關閉低速空口1M、2M、5M、6M,增加無線控制器以及AP的轉發效率,使整個無線網絡更加穩定,高效,可靠。
計算機網絡系統同時還需給海康監控系統、門禁系統、會議系統、電子桌面系統提供網絡平臺:
監控系統配置一個單獨的VLAN,分布在不同的接入交換機上,只允許VLAN內部互通,以及訪問監控服務器,不允許其他任何訪問。一共提供17個信息點:分別連接3臺海康監控系統服務器、13個基于IP的海康網絡攝像頭、1臺16路海康NVR。
門禁系統配置一個單獨的VLAN,分布在不同的接入交換機上,只允許VLAN內部互通,以及訪問門禁服務器,不允許其他任何訪問。一共提供11個信息點:分別連接1臺門禁系統服務器、8個門禁主機、2個道閘。
會議系統配置一個單獨的VLAN,分布在不同的接入交換機上,只允許VLAN內部互通,不允許其他任何訪問。一共提供5個信息點:分別連接1臺中控主機、1臺會議話筒主機、1臺串口服務器、2個IPad無線控制終端。
電子桌牌系統配置一個單獨的VLAN,分布在不同的接入交換機上,只允許VLAN內部互通,以及訪問電子桌牌服務器,不允許其他任何訪問。一共提供9個信息點:分別連接1臺電子桌牌系統服務器、8個電子桌牌。