2、网络整体解决方案

    ①网络整体规划方案。

    根据该公司的业务功能和地域分布的要求,局域网分为六个主要部分，包括骨干广域网、办公区甲局域网络、办公区乙局域网络、分支机构局域网络、数据中心网络和互联网出口网络。

    骨干广域网作为整体网络的核心区域,为该公司所有的园区节点提供统一标准的网络接入，选择两家运营商提供的SDH链路作为广域网的基础平台,各节点通过本地的2台路由器分别连接2个SDH网络,可以考虑2M*N的捆绑方式。利用不同运营商的网络冗余保证骨干广域网的高可用性.

    办公区甲网络，即总部局域网，按照标准三层网络架构进行构建,采用双核心/双设备的冗余设计。核心层在总部大楼中心机房部署2台高性能路由交换机，实现设备冗余。汇聚交换机通过2条千兆上联链路分别连接到核心交换机上,为实现上联链路的冗余,实现汇聚层设备的本地连接冗余。接入层是网络的最边缘部分，直接连接网络用户终端（如MES/ERP系统等）。接入层交换机由于数量很大，所以在选择时要考虑要有较高性价比。

    办公区乙网络和办公区甲一致。

    分支机构网络，采用简化的两层网络架构设计，以较低的成本提供网络可靠性。

    互联网出口网络区域设计。该公司网络需要与互联网/相关外部网络连接，网络安全是主要的考虑要素。需要部署防火墙和入侵检测系统，进行安全控制和管理，入侵检测系统对非法入侵进行检测和报告。

    编辑推荐产品    

    总部中心采用Cisco7206路由器接入骨干广域网，Cisco7606路由器配置NPE-G1路由交换引擎，能够支持高级别的大容量接口，满足全网访问数据中心的数据交换流量要求
    各分支机构采用Cisco 2800 ISR路由器接入骨干广域网，一个机箱就能满足数据、语音、加密等多种节点业务要求，不仅满足当前业务需求，也为后期扩展打下了坚实的基础。

    ②VOIP方案

    随着Internet宽带网络和IP信息技术的日益普及，集团／企业的各级办公机构普遍接入了Internet宽带网络，部分还在各级办公机构间建立了IP数据专网。通过互联网（或内部数据专网），可以建立覆盖各办公机构的内部IP电话网络，使企业各级机构内部通信“零话费”。

    通过网络电话终端IAD的内线口（PHONE），连接当地办公电话环境（程控交换机＼电信虚拟网＼电话机），实现内部电话通过互联网通信。通过外线口（LINE）连接PSTN市话网，实现注册的外部移动电话＼市话呼入，客户服务电话的呼入，各地区间的长途电话的“落地”。

   

    ③ 远程接入解决方案

    在VPN服务方面，思科ASA 5500系列采用灵活的技术，能够提供量身定做的解决方案，满足远程接入和站点到站点的连接要求。思科ASA 5500系列能够提供易于管理的IP安全（IPSec）和基于VPN的安全套接层（SSL）远程接入，以及网络感知的站点到站点VPN连接，使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。

    编辑推荐产品

    图1. 适用于所有部署方案的VPN服务：带有威胁防御的强大IPSec和SSL VPN服务

   

    远程接入

    思科ASA 5500系列提供完整的远程接入VPN解决方案，支持大量连接方式，包括WebVPN（SSL VPN）、思科VPN客户端（IPSec VPN），以及Nokia Symbian移动无线与PDA客户端的连接。利用思科在远程接入领域的专业技术，企业能够部署单个集成平台，该平台广泛支持各种核心企业应用，并具备易管理性和部署灵活性。

    用户可从支持SSL的Web浏览器或VPN客户端建立安全的远程连接，从而实现最大的灵活性和应用访问，而无需部署和管理单独的设备。借助思科ASA 5500系列安全设备，企业可为每类用户选择最合适的技术（IPSec或SSL VPN），而无需部署并行解决方案。这样就消除了为SSL和IPSec VPN分别部署不同的平台所导致的低效率和额外成本。

    基于IPSec的远程接入

    使用IPSec来提供远程接入，用户可以获得最稳健的可定制连接。通过IPSec，用户可以访问任何应用，如同他们实际连接到总部局域网一样。基于思科IPSec的远程接入具有高度的可定制性，它提供API，管理员可向其中写入执行例程和其它定制程序。
思科ASA 5500系列提供了思科系统公司功能最丰富的基于IPSec的远程接入。在IPSec部署方面，ASA 5500系列利用了思科VPN 3000系列集中器的特性和功能，能够提供几乎相同的功能，却具有更高的每用户吞吐量。此外，ASA 5500系列还与现有的VPN 3000系列集中器集群无缝整合，使两种平台都能为相同的用户群服务。

    思科ASA 5500系列支持创新的思科Easy VPN远程接入功能，这些功能在其它思科安全解决方案中也能找到，如思科PIX?安全设备、思科IOS?路由器和思科VPN 3000系列集中器。思科Easy VPN提供了可扩展、经济高效、易于管理的独特远程接入VPN架构，能够消除传统VPN解决方案通常需要的远程设备配置维护的运营成本。思科ASA 5500系列设备能够动态地将最新的VPN安全策略推送到远程VPN设备和客户端，帮助确保这些远程端点在连接建立之前就拥有最新策略，从而提供非常好的的灵活性、可扩展性和易用性。

    ④网络安全方案。

    为防止网络遭受应用层攻击，使企业能控制应用和协议在环境中的使用方式， 包括应用/协议命令过滤、协议异常事件检测，以及应用和协议状态跟踪，该企业需要配置专业的防火墙。

    编辑推荐产品： 

    基于6500平台的安全服务模块

    思科Catalyst6500交换机提供了一个高性能的综合业务交换平台，集成了各类安全服务模块：
    思科Catalyst 6500防火墙系统（FWSM）服务模块 
    思科Catalyst 6500系列入侵检测系统（IDSM-2）服务模块 
    思科Catalyst 6500系列网络分析（NAM）服务模块
    思科Catalyst 6500系列网络异常检测（ADSM）服务模块
    思科Catalyst 6500系列网络异常防护（AGSM）服务模块
    思科Catalyst 6500系列Web VPN服务模块（可选）
    思科Catalyst 6500系列IPSec VPN服务SPA模块（可选）