三、推荐解决方案

    1、总体设计

    针对企业的需求，在设计中分成城域网、厂区网、远程接入、信息安全控制、存储与备份、服务器、机房设备及布线这7个子系统。下面分别做简要的说明。

    1.1 城域网子系统设计

    位于同一个城市中的丙办公区和厂区的网络互联，是一个跨城域网的局域网连接。由于在本项目中，丙办公区和厂区的甲、乙办公楼之间的联系紧密，公司的内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，而且公司员工之间经常会传输大量的数据与文件，所以丙办公区和厂区的数据传输速度要有保证，而且要保证数据传输的安全性。

基于这样的考虑，采用基于MPLS的VPN来连接丙办公区和厂区。这个服务是由电信运营商来提供的，线路和终端设备均由电信运营商来负责，提供给企业的是一条安全的2层MPLS VPN通道。丙办公区的用户上网是通过厂区的互联网出口，这样保证了信息传输的安全性，而且保障了传输速度。

    厂区Internet的出口，配置了电信和网通两条线路，让员工访问南北线路都感觉很快，而且更重要的是，让远程用户和分支机构能以更快的速度访问企业网。

    1.2、厂区网子系统设计

    厂区的园区网比较复杂，甲办公楼内的2层和6层需要建设百兆到桌面的内部局域网，然后需要光纤汇聚到一楼机房的两台互为冗余核心交换机上。而且为了笔记本用户上网，还需要搭建无线网络。库房和车间的电脑以及视频监控终端也需要用光纤连接到甲办公楼的汇聚交换机上。

    1.3、远程接入子系统设计

    对于分支机构，和市内丙办公区采用MPLS VPN连接方式的情况不同，首先是分支机构人数少，带宽要求要低很多，另外，长途的MPLS VPN价格要比市内昂贵很多。所以采用基于IPSec的VPN的连接方式，双方都需要配置IPSec VPN设备，然后分支机构在当地采用电信运营商提供的Internet连接线路即可搭建成到企业网络的安全VPN通道。为了加快分支机构访问企业网的速度，IPSec VPN设备需要带有广域网加速功能。

    对于出差在外的员工和领导，采用免客户端的SSL VPN方式接入企业网。SSL VPN简便易行，在远程连接上Internet上直接在浏览器上就可以操作，安全访问企业网的内部资源。

    1.4、信息安全控制子系统设计

研究表明，在企业发生的安全泄密事件中，内部失窃密所占据的比例最大，其次才是来自外面的威胁。所以本项目中，在企业网内部核心交换机上部署信息审计和上网行为控制系统。虽然该系统并非串联在Internet线路和核心交换机之间，但是其具有发送控制信息复位非授权访问和操作的功能。内部信息的非授权泄密能被其关键字审计系统拦截并记录。

内部用户接入厂区网，需要得到认证和授权后方可接入，目前采用802.1x技术才实现。没有经过认证的用户，所接的交换机端口对其是关闭状态，杜绝非法访问。

    对于外来的入侵和威胁，采用防火墙进行过滤，对外只开放有限的端口如WWW、EMAIL，并把访问目标限定在特定的服务器上。

    1.5、存储与备份子系统设计

    公司的库存数据和财务数据都是非常重要的数据，不仅需要要非常快递地存取，而且保证数据的安全。即使出现数据破坏，也需要能够从备份数据中恢复。基于这样的需求，决定采用专用的IP SAN存储备份系统。充分利用企业现有的TCP/IP网络，价格比FC SAN有很多的优势，而且性能上完全能达到企业的需求。

    1.6、服务器子系统设计

    企业网上要运行ERP、CRM、OA等系统，而且整个网络的访问控制、视频监控数据以及Windows主域控制器都需要运行在服务器上，服务器选择基于X86平台的高性能服务器，服务器都配备双网卡，一块网卡连接汇聚交换机，另外一块网卡连接到存储区域的交换机上，运行iSCSI协议存取IP SAN数据。

    1.7、机房设备及布线子系统设计

    在机房中需要配置UPS不间断电源主机和电池柜、核心交换机和服务器的机柜以及空调、换气设备。而且所有的光缆都在机房汇聚，然后通过法兰盘跳转到核心服务器上进行交换。在布线的时候严格按照结构化布线系统来进行设计，保证所有的信息点都通过线缆测试仪的测试并记录结果存档。

    网络拓扑图