一、 基础网络系统总体框架

对于网络系统来说，想要建设成为一个覆盖范围广泛、网络性能优良、具有强大扩展能力和升级能力的网络，在初始设计中就必须采用层次化的网络设计原则。采用此结构所建设的网络具有良好的扩充性、管理性，新的子网模块和新的网络技术能被更容易集成到整个系统中，而不破坏已存在的骨干网。

计算机网络系统采用分层架构，由网络出口区、DMZ区、核心区、数据中心区、安全管理区和接入区域等系统组成。

网络建设将根据节点的分布情况，按地理位置的分布来构建。根据节点应用的不同，采用二层（核心层、接入层）或三层（核心层、汇聚层和接入层）的网络架构，将尽可能保证数据的负载均衡，提高网络结构的合理性，尽可能减少网络通信时延。

二、 核心区

核心层主要考虑高交换容量、高可靠性、高带宽，充分为各级网络提供全线速的通信交换。同时，在核心层要充分考虑网络安全策略、安全规划设计，确保数据中心的安全性和高可靠性，能对数据进行入侵防护，对网络的性能实现智能分析和响应。一旦网络出现问题，可及时发现和解决。

核心层将部署两台核心交换机（核心交换机将采用模块化结构、高性能、多业务的交换机），两台核心之间采用万兆双链路堆叠线缆，配置双核心堆叠，互为热备的同时，增加交换容量。通过堆叠功能，双核心交换机虚拟成一台交换机，方便统一管理，实现核心冗余以及硬件或是单链路故障时，数据可以无间断地转发。

三、接入区

接入区采用分布式链路捆绑的方式，两条链路分别接在两台核心交换机上，并进行捆绑。该方式是采用交换机堆叠技术和端口捆绑技术，实现链路的热备份和故障后的自动切换的方式。它能够增加链路带宽，实现链路负载均衡，并在设备或链路发生故障时快速主备切换：

链路故障：当接入交换机与核心交换机之间链路出现故障，接入交换机发往核心交换机的数据将会被切换到发往备交换机链路，切换在毫秒级内。

设备故障：当其中一台核心交换机发生故障，另一台交换机将成为主交换机，所有数据将通过此交换机转发，切换过程在毫秒级内。

   四、 数据中心区

数据中心区主要为服务器群提供高速接入，实现和核心间的快速数据交换，并且提供高可靠性和快速的路由收敛。

选用双万兆防火墙作为数据中心区的边界，以透明模式部署，通过万兆链路与核心交换区相连，为网络边界提供全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。

    五、 安全管理区

安全管理区部署着入侵检测系统、安全审计系统、网络管理系统、防病毒网关等一系列安全管理设备，为整个网络系统提供各种安全保障服务，并形成集中化管理，监控整个网络系统的运行状态。

    六、 网络出口区

目前互联网应用为用户提供了极大的便利，例如网上银行、业务信息等，并且通过DMZ区的部署，外部访客可以通过Internet访问用户单位对外的WEB服务器，例如门户网站，获取相关服务。

网络出口区2台防火墙部署成双机模式，互为热备，抵御来自互联网的攻击以及控制；并为内部网络上网提供NAT功能，为对外服务提供映射。与此同时，防火墙还为整个网络划分区域，分另为inside区、outside区、DMZ区，部署相关区域访问控制策略，为网络系统提供有效防护。

另一方面，SSL VPN网关为管理员远程接入，移动办公用户提供SSL VPN接入功能，实现移动办公，安全访问内网。上网行为管理对用户的上网行为进行审计和控制，防止信息泄漏击，提升办公效率。

分支机构网络也是整体基础网络结构的重要组成部分。分支机构网络通常采用模块化和层次化设计原则进行规划设计，并可以通过广域网专线的方式与总部连接，专线与互联网线路相比，具有高速及稳定的特点，为分支机构提供高质量的网络连接服务。

   七、 DMZ区

DMZ区域用于放置需要对外提供服务的服务器，如WEB、FTP等公共服务器。设置DMZ可以有效地保护内部网络的安全，将这些需要对外开放的主机与内部的众多网络设备分隔开来，根据不同的需要，有针对性地采取相应的隔离措施及安全策略，这样便能在对外提供服务的同时最大限度地保护内部网络。