网络搭建技术方案.doc
《网络搭建技术方案.doc》由会员分享,可在线阅读,更多相关《网络搭建技术方案.doc(31页珍藏版)》请在咨信网上搜索。
1、 网络升级改造方案广西博庆食品有限公司 网络规划方案 网络集成商:广西金普威信息系统有限公司 客户经理:黎雪宁 手机:15994372440 技术经理:严亦孜 手机:15077131150 技术工程师:莫涛 手机:15578897811 联系电话:(0771)5503859/60/61 5503511(FAX)2013年3月版权所有 严禁摘抄 目 录第1章 项目概述31.1 网络改造总体要求31.2 网络运维风险分析3第2章 网络升级改造方案52.1 网络方案设计原则52.1.1 网络拓扑图62.1.2 办公外网升级改造72.1.3 路由设计规划82.1.4 网络IP地址规划92.2 网络安全
2、运维102.2.1 物理环境安全措施102.2.2 网络传输质量QOS112.2.3 交换网络安全方面考虑和措施142.2.4 计算机终端病防毒措施182.3 网络安全运维管理方案192.3.1 安全体系建设192.3.2 网络安全运维管理制度建设192.3.3 网络安全运维管理手段212.4 网络运维管理平台方案222.5 无线网络部署方案252.5.1 锐捷无线网络架构优势252.5.2 部署便捷,无缝接入现有网络252.5.3 无线设备管理262.5.4 无线AP部署272.6 网络升级改造设备清单27第1章 项目概述博庆公司目前的构架:总部分厂甘蔗站。总部通过100M移动宽带连接因特网
3、;分厂使用20M移动宽带专线连接至总部,各分厂无物理连接;甘蔗站利用2M移动宽带专线连接直属分厂,各甘蔗站无物理连接。博庆目前使用用友ERP套件,包括:财务套件、OA套件;并架设了台域服务器。1.1 网络改造总体要求由于目前公司互联网络存在管理无序、网络速度慢、网络设备老化等问题,作为外资公司在信息化建设相对滞后,公司目前还没有实现办公区域无线网络覆盖,建议在保障网络安全的前提条件下,实现办公区域实现网络覆盖。1.2 网络运维风险分析1、 黑客、工业间谍攻击网络黑客或工业间谍的入侵行为往往不易被察觉,就算察觉到了,也很难快速定位网络漏洞在哪里,攻击方式是什么,攻击源在哪里都不容易排查出来。2、
4、 新型木马、蠕虫病毒入侵木马,蠕虫等病毒通常是黑客入侵的第一步,装了杀毒软件和防火墙也很难完全杜绝木马病毒的入侵。博庆公司工作人员网络安全防范意识参差不齐,往往成为攻击的入口。3、 信息泄密博庆公司内部的重要信息通常是通过内网进行传输的,对于防范外部攻击是安全的,但是难以避免 “变质”的人员通过各种手段进行信息截取,把重要信息泄露给敌对势力或商业对手。最近几年已经发生了多起信息泄密的事件,给企业带了无法估量的损失。4、 互联网网络带宽被P2P下载,在线视频占用如果内网出现了P2P下载或在线视频,将会使互联网带宽的出口很快被吞噬殆尽,影响正常的网络应用系统。5、网络设备老化博庆公司当前使用的网络
5、产品大多数在85年以上,达到的设备强制报废的年限,网络设备参差不齐,不利于后续的网络维护工作。6、网络管理目前网络管理还没有成立专门的管理部门,网络管理还是处于传统的人工管理阶段,出现网络问题的时候往往依靠网络工程师的经验去判断故障点,反应时间相对滞后。第2章 网络升级改造方案2.1 网络方案设计原则结合实际应用和发展要求,在进行网络系统设计时,主要应遵循以下原则:1)高性能:网络要求具有数据、语音、视频等多媒体实时通讯能力。主干网应提供可保证的服务质量和充足的带宽。采用最新科技,以适应大量数据传输以及多媒体信息的传输。整个系统在国内三到五年内保持领先的水平,并具有长足的发展能力,以适应未来网
6、络技术的发展。如:具有三层及以上线速交换能力;支持灵活的跨网络交换机(主干、部门)的基于端口的VLAN划分功能。2)高可靠性:网络系统是日常业务和各种应用系统的基础设施,应保证工作日和重点时期不间断运行。整个网络应有足够的冗余,设备在发生故障时能以热备份,热切换和热插拔的方式在最短时间内加以修复。可靠性还应充分考虑网络系统的性价比,使整个网络具有一定的容错能力,减少单点故障。3)标准化:所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。4)可扩充性:所有网络设备不但满足当前需要,并在扩充模块后满足可预见将来需求。网络设计要考虑本期网络系统应用和今后网络的发
7、展,便于向更新技术的升级与衔接。要留有扩充余量,包括端口数量和带宽的升级能力。5)易管理性:网络设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,发现故障。6)支持多媒体:支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务,具有多种基于优先级队列的QoS保证,多媒体应用对服务质量有很高的要求,如带宽,延迟,延迟的变化等,需要网络对服务质量(QoS)有很好的支持。7)安全性:网络系统的数据和文件多数要求具有高度的安全性,因此,网络系统本身要有较高的安全性,对使用的信息进行严格的权限管理,在技术上提供先进的、可靠的、全面的安全方案和应急措施,确保系统万无一失。同时
8、符合国家关于网络安全标准和管理条例。8)实用性:系统建设首先要从系统的实用性角度出发,满足不同用户信息服务的实际需要,具有很高的性能价格比,能为多种应用系统提供强有力的支持平台。2.1.1 网络拓扑图总部(PC100台)怀远厂(PC100台)甘蔗站(PC30台)博东厂(PC100台)甘蔗站(PC30台)石别厂(PC100台)甘蔗站(PC30台)防火墙Internet二层交换机路由器路由器路由器路由器终端终端ERP服务器AD域二层交换机甘蔗站二层交换机甘蔗站二层交换机甘蔗站100M20M2M从拓扑图,可分析公司目前的网络弊端:1、公司目前只拥有1台网络安全产品,只能管控从因特网对内部网络的攻击,
9、并且兼顾着路由器的功能;2、内部网络无上网行为管理软硬件,;3、路由器不支持动态路由协议,网络庞大后,维护量巨大;4、公司目前是二层网络,无法控制广播风暴,易造成网络拥塞;5、用户使用移动终端更换厂区时,需手动设置IP;没有相应的接入认证,易造成他人窃取公司机密。2.1.2 办公外网升级改造办公楼外网升级改造示意图单位通过以网关、网桥、或旁路模式部署深信服上网行为管理产品,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率具体而言,深信服封堵非业务网络应用解决
10、方案,将给我们带来下述价值:1、全方位封堵p2p ,确保正常办公业务带宽P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。 鉴于此,深信服上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件,深信服独有的网络行为智能分析技术使其同样难逃法网。有些部门和领导因业务需要使用P2P,在全面封堵的同时,深信服上网行为管理设备还可以提供 P2P流控功能,即允许指定用户使用P2P
11、,但对其占用的带宽进行控制。对不同用户,按时间段进行P2P应用封堵、带宽分配与流量控制,深信服上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。2、针对性应用管控,对事张驰有度现在,网络应用不断推陈出新,IT管理人员难以及时收集网络及软件版本,并制定相应管理策略;他们即使花费了大量的精力实现了收集工作,也很难实现对其全面的识别和管理。为此,深信服针对不断更新的网络应用软件来收集软件类型与版本,不断更新自己的应用规则识别库。目前,深信服上网行为管理应用规则识别库已成为国内最大的应用规则识别库,超过400条的应用协议规则,数十条的无间断不定期更新数量,专业化的应用规则识别管理团队,
12、这一切都使得深信服上网行为管理设备能精确识别各种网络应用行为,并对其进行有效管理。3、选择性内容过滤,方式灵活除针对网络应用软件外,深信服上网行为管理设备还内置了千万条级的URL库,对URL库按照20个大类进行了划分。基于此,IT管理者可以方便地对娱乐、购物、游戏、影视等网站进行控制和屏蔽,同时用户可手工输入新分类和新URL地址,这进一步增强了网管人员工作的灵活性。同时,深信服上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件,可以根据关键字如 avi、rmvb、mpeg进行文件过滤,以保证核心业务的带宽。4、差异化权限划分,构建和谐组织对于以上管控,深信服上网行为管理设备可根据
13、不同用户、不同部门的差异化网络使用权限,人性化管控整个单位。如给销售部门足够的网页浏览权限,以方便其网上寻找客户资源,而对后勤人员则封掉P2P应用、游戏与炒股网站等。2.1.3 路由设计规划(1)网络的可靠性:通过动态路由协议的实施,在网络拓扑的配合下,避免网络中出现的单故障点,提高网络的生存能力。(2)流量的负载分担:必须使网络的流量能够比较合理地分布在各条电路上。(3)网络的扩展性:使得网络的扩展可以在现有的网络的基础上通过简单的增加设备和提高电路带宽的方法来解决。(4)对业务流量模型变化的适应性:未来网络的业务流量模型将会随业务的发展而不断发生变化,因此路由策略可以根据流量变化方便进行调
14、整。(5) 降低管理复杂程度:路由协议应使得故障定位和流量的调整的难度和复杂性降低。2.1.4 网络IP地址规划IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速
15、度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:唯一性:保证网络上面不同时出现两个相同IP地址的设备。连续性:IP地址的连续性有利于路由的聚合,尤其是在目前的分层网络中,能极大的缩减路由表的规模,有利于QOS的部署。业务相关性:同种业务的IP地址尽量在一个地址段中,便于业务的控制。扩展性:IP地址规划时留有一定预留,便于在网络扩展时能延续网络的连续性。节约性:目前公网IP地址非常宝贵,规划时尽量的节约地址。IP地址分配既要考虑到扩充,又要能做到连续;尽量分配连续的IP地址空间,并为将来的网络扩展预留一定的地址空间;在每个地市网络中,相同的业务和功能尽量分配连续的IP地址空间,有
16、利于路由聚合以及安全控制。IP地址的分配必须采用VLSM技术,保证IP地址的利用率;采用CIDR技术,可减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小。2.2 网络安全运维对于博庆公司办公网络系统来说,网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。一个较好的安全措施往往是多种方法适当综合的应用结果。另一方面,网络安全和网络易访问是一对矛盾,因此要掌握好网络安全控制度的问题,不能顾此失彼。大多数人谈到安全,认为只是确保用户只执行被授权的任务,只获得能得到的信息,不破坏数据、应用程序或系统操作环境。其实,安
17、全一方面意味着防止外界的恶意攻击,另一方面还包括控制错误结果和设备故障。再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作
18、等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。2.2.1 物理环境安全措施保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面: 环境安全对系统所在环境进行
19、安全保护,如区域保护和灾难保护。这要求城域网的网络中心环境,要进行必要的环境安全保护(如环境隔离)和灾难保护(如数据备份)等。 设备安全设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰、电源保护和设备冗余备份等。这些措施通过严格管理及提高员工的整体安全意识来实现。这要求网络管理人员要严格执行网络中心的安全管理措施,避免非必要人员接触网络系统设备,监督系统环境和周围环境。 媒质安全包括媒质数据的安全及媒质本身的安全。显然,为保证信息网络系统的物理安全,除网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很
20、多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这要求网络中心作好必要的数据备份工作和媒质保存工作,同时如果必要还要实行机房的防辐射措施。2.2.2 网络传输质量QOS网络业务模型设计业务类别MPLS VPNIP路由队列和丢包机制业务和业务流举例EXP(BW Rate)DSCP PHB网络管理EXP6 Q7(5%)CS6BW QueueSNMP、SSH、Syslog专网语音EXP5 Q6(15%)EFPriority
21、 Queue (PQ)H323、RTP语音流高清会议EXP4 Q5(20%)CS4Priority Queue (PQ)MGCP、RTP视频流办公业务EXP2 Q3(25%)AF2BW Queue+ DSCP WREDE-Mail、Notes等批量数据EXP1 Q2(10%)AF1BW Queue+ DSCP WREDFTP、文件共享、备份尽力转发EXP0 Q1(25%)DefaultDefault Queue + RED其他应用说明:业务种类:包括网络管理、专网语音、高清会议、办公业务、批量数据和其他尽力转发类业务。业务识别:按照实际业务类型划分,如对媒体业务采用IP方式进行识别,对数据类业
22、务,采用TCP/UDP端口号进行识别,并对所有业务进行DSCP优先级标识。优先级映射:在PE设备上启用MPLS EXP和IP DSCP的优先级映射关系,H3C设备支持以上表格中的优先级映射关系。带宽分配和限速:可参考上面表中带宽分配比例,实施时需要结合实际业务流量分布和业务规划再做调整。对语音、视频业务要进行带宽限速。队列调度和丢包机制:在CE和PE路由器上,分别根据IP DSCP和MPLS EXP进行有差别的队列调度(PQ、CQ、WFQ、CBQ等),其中对于PE设备,基于部门划分和业务类别,推荐采用H-QoS队列和丢包机制。对于拥塞队列,采用WRED进行拥塞避免和处理。WRED在网络的瓶颈处
23、监视并缓解网络的拥塞。一般在接入层出现拥塞的概率比较大。WRED监视网络的负载,当拥塞开始刚出现时,它就开始有选择的丢弃一些包以降低流量。WRED丢包的策略为:低优先级的流先丢,以保证高优先级的流可以顺畅通过。在可能发生拥塞的端口运行WRED是避免拥塞的较好选择。在具体实现中,为了达到最好的效率,需要对任务进行分工。因为QoS是一个需要消耗很多处理器资源的应用,所以这一任务分配在边缘和核心路由器上运行,以减少对单独路由器的压力。媒体业务QoS设计要求媒体业务交互性单路带宽突发流量时延要求抖动要求丢包要求专网语音是100Kbps无150ms30ms1%视频会议是48Mbps有150ms10ms0
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 搭建 技术 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。