网络改造方案范本10篇

来源:博延文库网 时间:2022-09-02 10:50:06 阅读:

内容摘要:网络改造方案范本10篇网络改造方案范本 单位网络改造方案 编制 精选方案审核 批准 生效日期 地址: 电话: 传真: 邮编: 疾控中心网络改造方案 2014年年8月 目 录一

网络改造方案范本10篇网络改造方案范本 单位网络改造方案 编制 精选方案审核 批准 生效日期 地址: 电话: 传真: 邮编: 疾控中心网络改造方案 2014年年8月 目 录一下面是小编为大家整理的网络改造方案范本10篇,供大家参考。

网络改造方案范本10篇

篇一:网络改造方案范本

位网络改造方案

 编制

 精选方案 审核

 批准

 生效日期

 地址:

 电话:

 传真:

  邮编:

 疾控中心网络改造方案

 2014 年 年 8 月

 目

 录 一、概述 .................................................................... 错误! ! 未定义书签。

 二、需求分析............................................................ 错误! ! 未定义书签。

 三、方案设计............................................................ 错误! ! 未定义书签。

 1 系统设计原则 .................................................. 错误! ! 未定义书签。

 2 网络基础设计 ................................................. 错误! ! 未定义书签。

 总体架构设计拓扑图 ..................................... 错误! ! 未定义书签。

 总体网络架构设计思路 ................................. 错误! ! 未定义书签。

 四、设备选用介绍 .................................................................................... 6 五、服务承诺............................................................ 错误! ! 未定义书签。

 六、费用预算............................................................ 错误! ! 未定义书签。

 一、概述

  我中心网络是由 140多个信息点组成的中小型网络,目前通过一条 10兆广域网线路为本部提供互联网接入服务。

 二、需求分析

 目前我中心在内网方面有以下几个方面需要解决。

 设备更新

 ①交换机、路由器、防火墙等设备升级更换; ②办公楼一楼房间网络线路与 36 个信息点铺设安装; ③1-7楼无线网络设施设备安装。

 三、

 方案设计

 1 系统设计原则

 系统性:站在整个信息安全系统体系的高度,统一规划,建立完善的框架体系,形成对应的规范标准,实现统一的系统管理;

 实用性:以采用最小化建设原则为根本宗旨,以较小的资源使用量建设安全系统,使得建成后的体系能够充分发挥作用;

 专业性: 提供了与信息服务相关的各模型,丰富完善的知识库和安全事件管理预案;

 经济性:在信息服务系统正常运转的前提下,综合考虑建设成本、运行成本和维护成本;

 可伸缩能力:满足未来所支持的应用和用户将有非常大的增长,良好的伸缩能力不仅意味着系统的持续性和稳定性,而且也是满足未来服务、应用增长需要的必备条件;

 高可靠性与可用性:对于关键性应用,如果网络发生故障或主机发生宕机现象,会造成严重的后果。RAS(可靠、可用、可维护)特性,是系统选型考虑的重点;

 高性能:服务的响应速度是保证用户服务质量和满意程度的重要方面。系统高性能确保为用户提供优质的服务,使用户得到良好的响应时间。

 2 网络基础设计 总体架构设计拓扑图

 总体网络架构设计思路 网络设计上要求高带宽、高可靠性、高可扩展性。

 此次设计遵循网络拓朴结构层次化的总体设计,网络拓朴结构主要由核心层和接入层组成。各层面设备要求能提供各种网络控制,具体是:

 一、构建多个虚拟网络

 单位的网络按部门被虚拟成多个虚拟网络,并可根据需求增加新的虚拟网络。不同的虚拟网络之间是不可以直接访问的,一个虚拟网络必须经过中心交换机才可以访问其他虚拟网络的电脑。

 二、网络资源访问控制

 在中心交换机上,可以根据需要开通相应的访问权限。

 三、上网行为管理

  优化上网行为,提高上网安全。

 以上设计的优点主要有:

 (1) 可扩展性,网络可模块化增长而不会遇到问题; (2) 简单性,通过将网络分成许多虚拟网,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题; (3) 设计的灵活性,使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境; (4) 可管理性,层次结构使单个设备配置的复杂性大大降低,更易管理。

 设备选择

 考虑到使网络更加合理、今后更好地拓展、有利于查出故障症结,建议配置一台核心交换机。核心交换层是网络的核心交换节点,它将多个边缘汇聚层连接起来,进行数据高速转发。用户数据通过汇聚层上行到核心层,通过核心网获取所需业务。

 核心交换机:

 根据需求我们选用 H3C LS-5120-24P-EI 交换机作为网络的核心设备,背板带宽 192Gbps,包转发率:42Mpps。它是一款部署于企业核心的高新能交换机,在核心网络中的性能、IP服务,冗余性和故障弹性十分重要。H3C LS-5120-24P-EI 是 H3C 公司自主开发的千兆三层以太网交换机,具备丰富的业务特性,通过 H3C特有的集群管理管理功能,支持 WEB网管,用户能够简化对网络的管理。

 汇聚层交换机:

 根据需求我们选用 H3C S3100-26TP-SI 交换机作为网络的汇聚层设备,背板带宽,包转发率。

 POE 供电交换机 :

 POE交换机负责给 AP 供电,直接关系到无线 AP的使用,因此我们推荐使用 H3C 3100-26TP-PWR-EI,H3C 3100-26TP-PWR-EI 以太网端口可以为连接到该端口的设备进行远程 PoE供电,产品支持 VLAN 划分、端口限速、RMON 1,2,3,9组 MIB、IP+MAC+端口三元素绑定、防 ARP欺骗、ACL、VLAN-ACL、STP/RSTP、静态 LACP 等功能,可以通过 Telnet、命令行、Web 界面、SNMP 等多种方式进行管理。

 支持 PoE(Power over Ethernet)技术,通过以太网对所连接的设备(如 Wireless AP、IP Camera、IP Phone等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。

  上网行为管理设备 :

 上网行为管理设备选用 sangfor 公司的设备。

 它是一款多功能的网络信息安全管理审计系统。可详细记录网内受控人员,各种常用网络应用的使用情况,传送或接收的信息内容。并可配合网络管理或公司策略,对常用网络应用的使用情况与内容,进行记录备案以及弹性的策略管控。同时提供了详尽的统计分析功能,透过图表分析,使管理者对各种应用的使用情况,及对网络所造成的影响,尽在掌握。

 本产品是全方位的网络内容安全解决方案,具有 WEB、IM、P2P、FTP 等应用层(LAYER 7)延伸服务的内容管理与使用分析,过滤分析技术能涵盖网络层到应用层,以提供网络内容安全的纵衡防御服务。

 它可以对不当信息拦截防护、策略管理、统计报表、流量控管...等多种管理功能,特别有助于 对网络的使用控管。本产品方便管理,不影响网络运作,是企业进行多通讯端口的安全防护。它能协助企业进行网络有效管理,提升网络资源的使用效益!

  四、

 设备选型介绍

  1、 H3C LS-5120-24P-EI交换机 主要参数 产品类型 智能交换机 应用层级 三层 传输速率 1000Mbps 交换方式 存储-转发

 背板带宽 192Gbps 包转发率 42Mpps 端口参数 端口结构 非模块化 端口数量 28 个 端口描述 24 个 10/100/1000Base-T 以太网端口

 控制端口 1 个 Console 口 传输模式 支持全双工 功能特性 VLAN 支持基于端口的 VLAN(4K 个)

 QOS 支持 IEEE DSCP优先级?支持优先级映射?支持端口信任模式?支持端口信任模式?支持端口队列调度(SP/WRR/SP+WRR)

 组播管理 支持 IGMP Snoopingv1/v2/v3?MLD Snooping?支持组播 VLAN 网络管理 支持 XModem/FTP/TFTP加载升级?支持命令行接口(CLI),Telnet,Console 口进行配置?支持 SNMP,WEB 网管?支持 RMON(Remote Monitoring)?支持 iMC 智能管理中心?支持系统日志,分级告警,调试信息输出?支持 HGMPv2?支持 Modem 远端拨号?支持 NTP?支持 Ping,Tracert?支持 Telnet 远程维护?支持 VCT(Virtual Cable Test)电缆检测功能?支持 Loopback-detection端口环回检测 安全管理 支持用户分级管理和口令保护支持 Radius 认证支持 SSH 支持,集中式 MAC 地址认证支持 Guest VLAN 支持端口隔离支持端口安全支持 MAC 地址学习数目限制支持 IP源地址保护支持 ARP入侵检测功能支持 IP+MAC+端口的绑定支持 EAD支持 Triple 认证 其它参数 电源电压 AC 100-240V,50-60Hz 产品尺寸 440×160×43.6mm 产品重量 <3kg 环境标准 工作温度:0-45℃?工作湿度:10%-90%(非凝露)

 保修信息 保修政策 全国联保,享受三包服务 质保时间 1 年 质保备注 1 年免费保修 客服电话 400-810-0504 电话备注 24 小时电话服务 详细内容 H3C软件、硬件的保修期均指自保修期开始日期起,若干天以内。硬件保修期为 1 年,在产品说明书所述正常使用条件下,保修期内硬件出现工艺或质量问题,H3C接到申请后提供返厂维修服务,周期为 H3C收到设备后 30天。H3C有权决定对故障件进行

 维修或更换处理,若更换,更换件可能是新设备或为具有同等类别、功能、质量的修复品,更换下来的故障件归 H3C所有。

  2、 H3C S3100-26TP-SI交换机 主要参数 产品类型 智能交换机 应用层级 二层 传输速率 10/100/1000Mbps 交换方式 存储-转发 背板带宽

 包转发率

 MAC地址表 8K 端口参数 端口结构 非模块化 端口数量 28 个 端口描述 24 个 10/100Base-T 以太网端口,2 个 10/100/1000Base-T 以太网端口,2个 1000Base-X SFP 千兆以太网端口 控制端口 1 个 Console 口 传输模式 全双工/半双工自适应 功能特性 堆叠功能 可堆叠 VLAN 最多支持 4K个符合 IEEE 标准的 VLAN QOS 每个端口支持 4 个输出队列?支持优先级、DSCP优先级、ip-precedence 优先级?支持 WRR、HQ+WRR 队列调度算法?支持端口发送和接收方向的双向端口限速 组播管理 IGMPv1/v2/v3 Snooping 网络管理 支持命令行接口(CLI),Telnet,Console 口配置 ?支持 SNMP?支持 iMC 网管系统?支持 WEB 网管?支持系统日志 安全管理 用户分级管理和口令保护?支持端口安全,支持端口+MAC 绑定?支持 Guest VLAN?支持 IEEE 认证?支持集中 MAC 地址认证?支持 其它参数 电源电压 AC 100-240V,50-60Hz 电源功率 16W

 产品尺寸 440×160×43.6mm 产品重量 ≤3kg 环境标准 工作温度:0-45℃?工作湿度:10%-90%(非凝露)

 保修信息 保修政策 全国联保,享受三包服务 质保时间 1 年 质保备注 1 年免费保修 客服电话 400-810-0504 电话备注 24 小时电话服务 详细内容 H3C软件、硬件的保修期均指自保修期开始日期起,若干天以内。硬件保修期为 1 年,在产品说明书所述正常使用条件下,保修期内硬件出现工艺或质量问题,H3C接到申请后提供返厂维修服务,周期为 H3C收到设备后 30天。H3C有权决定对故障件进行维修或更换处理,若更换,更换件可能是新设备或为具有同等类别、功能、质量的修复品,更换下来的故障件归 H3C所有。

  3、 H3C 3100-26TP-PWR-EI 交换机 主要参数 产品类型 智能交换机 应用层级 二层 传输速率 10/100/1000Mbps 交换方式 存储-转发 背板带宽

 包转发率

 MAC地址表 8K 端口参数 端口结构 非模块化 端口数量 30 个 端口描述 24 个 10/100Base-TX以太网端口(PoE),2 个 10/100/1000Base-T 以太网端口,2个复用的 100/1000Base-X SFP端口 控制端口 1 个 Console 口 传输模式 支持全双工 功能特性

 堆叠功能 可堆叠 VLAN 支持基于端口的 VLAN(4K 个)?支持基于协议的 VLAN?支持 Voice VLAN?支持 GVRP?支持 VLAN VPN(QinQ),灵活 QinQ?支持基于端口和全局的 VLAN Mapping QOS 每个端口支持 4 个输出队列?支持 DSCP 优先级?支持端口队列调度(SP、WRR、SP+WRR)?支持基于流的包过滤?支持基于流的流量统计?支持基于流的重定向?支持基于流的优先级标记?支持基于流的限速?支持流量整形 组播管理 IGMP Snooping v1/v2/v3?组播 VLAN 网络管理 支持 XModem/FTP/TFTP加载升级?支持命令行接口(CLI),Telnet,Console 口进行配置?支持 HGMP v2 集群管理?支持 SNMP v1/v2/v3,WEB 网管?支持 RMON 1,2,3,9 组 MIB?支持 H3C iMC 智能管理中心?支持系统日志,分级告警?支持 PING、Traceroute,Multicast Traceroute?支持 Telnet远程维护?支持 VCT(Virtual Cable Test)电缆检测功能?支持 DLDP(Device Link Detection Protocol)单向链路检测协议?支持 Loopback-detection 端口环回检测?支持 IPv6 host 网络管理特性族 安全管理 用户分级管理和口令保护?支持 Guest VLAN?支持IEEE 认证/集中 MAC地址认证?支持AAA&RADIUS&HWTACACS认证?支持 MAC 地址学习数目限制?支持 MAC 地址黑洞?支持 SSH ?支持 EAD(终端准入控制)?支持 IP源地址保护?支持 ARP入侵检测功能?支持 ARP报文限速功能?支持端口隔离?支持 IP+端口的绑定?支持 IP+MAC的绑定?支持端口+MAC的绑定?支持IP+MAC+端口的绑定 其它参数 电源电压 AC 100-240V,50-60Hz?DC -46--60V 电源功率 整机最大功耗 465W,PoE最大输出功率 370W 产品尺寸 440×420×43.6mm 产品重量 <6.5kg 环境标准 工作温度:0-45℃?工作湿度:10%-90%(非凝露)

 保修信息 保修政策 全国联保,享受三包服务 质保时间 1 年 质保备注 1 年免费保修 客服电话 400-810-0504 电话备注 24 小时电话服务 详细内容 H3C软件、硬件的保修期均指自保修期开始日期起,若干天以内。硬件保修期为 1 年,在产品说明书所述正常使用条件下,保修期内硬件出现工艺或质量问题,H3C接到申请后提供返厂维修服务,周期为 H3C收到设备后 30天。H3C有权决定对故障件进行维修或更换处理,若更换,更换件可能是新设备或为具有同等类别、功能、质量的修复品,更换下...

篇二:网络改造方案范本

算机网 络机房改造方案

 网络中心机房改造工程设计方案 目录 工程设计概况.............................................................................................................................................11. 1设计理念和设计原则 ................................................................................................................21. 2设计依据....................................................................................................................................4

  11. 3工程范围 ....................................................................................................................................42公司简介 ............................................................................................................................................53详细设计 ............................................................................................................................................63. 1机房精装修设计 ........................................................................................................................63. 1. 1设计规范............................................................................................................................ 63. 1. 2设计方案............................................................................................................................ 73. 2机房空调 ..................................................................................................................................10机房电气部分....................................................................................................................................... 11一、 主要考虑因素及设计方案.................................................................................................. 11二、 配电设备及材料选型 .............................................................................................................. 11三、 配电系统设计 .......................................................................................................................... 12四、 UPS 不间断电源设计.............................................................................................................. 12机房防雷接地.......................................................................................................................................15一、 前言 .......................................................................................................................................... 15二、 设计依据 .................................................................................................................................. 15三、 接地处理 .................................................................................................................................. 15四、 使用防雷器注意事项...................................................................................................................16五、 方案设计.......................................................................................................................................16综合布线系统.......................................................................................................................................16一、

 设计依据 ................................................................................................................................ 16二、 结构化布线系统与应用系统的独立性................................................................................... 17三、 综合布线系统设计的特点....................................................................................................... 17机房管理系统.......................................................................................................................................18一、 机房设备监控系统的作用及意义........................................................................................... 18二、 机房环境设备监控系统........................................................................................................... 19投资预算 ..........................................................................................................................................25****电子技术有限公司 ...........................................................................................................................25系统集成用户列表...................................................................................................................................25 工程设计概况

  随着计算机系统技术和设备的不断更新换代, 安装计算机设备的场地技术,即机房工程也在不断地推陈出新。

 所采用的新材料、 设备、 工艺和技术, 其目的是为了更好地保证机房的温度、 湿度、 洁净度、 照度、 防静电、 防干扰、 防震动、防雷电、 及时监控等, 能充分满足计算机设备的安全可靠地运行, 延长计算机系统使用寿命的要求, 同时又要给系统管理员创造一个舒适、 典雅的环境。

 因此,

  2在设计上要求充分考虑设备布局、 功能划分、 整体效果、 装饰风格, 体现现代机房的特点和风貌。

  机房设置在二层, 装修总面积约为 18 平方米左右, 其整体面部并不算大。但 “麻雀虽小五脏俱全” , 是计算机网络的核心地带, 在此次机房改造方案按标准机房为贵公司打造适宜的现代化机房。

 计算机机房工程不仅集建筑、 电气、 安装、 网络等多个专业技术于一体, 更需要丰富的工程实施和管理经验。

 计算机房设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行, 是否能保证各类信息通讯畅通无阻。

  由于计算机机房的环境必须满足计算机等各种微机电子设备和工作人员对温度、 湿度、 洁净度、 电磁场强度、 噪音干扰、 安全保安、 防漏、 电源质量、 振动、防雷和接地等的要求。

 所以, 一个合格的现代化计算机机房, 应该是一个安全可靠、 舒适实用、 节能高效和具有可扩充性的机房。

  本方案项目包括部分机房装修工程、 机房空调、 机房电气系统、 机房防雷接地、 机房火灾报警及气体灭火系统、 机房综合布线、 机房管理系统系统等七大部分。

 本方案根据国家标准及行业标准设计和施工。

  1. 1 设计理念和设计原则 根据机房工程项目的状况, 我们所做的设计必须满足各项业务应用需求, 尤其是作为银行行业专业应用, 同时又面向未来快速增长的发展需求, 因此应是高质量的、 灵活的、 开放的。

 设计时考虑避免下列外界因素:

 电磁场、 易燃物、 易燃性气体、 磁场、 爆炸物品、 电力杂波、 潮气、 灰尘等影响。

 机房建设应依据国家有关标准, 充分利用、 整合现有资源, 按照“实用可靠、有效适度、 经济节约、 技术先进” 的总体原则实施。

 在机房设计、 建设过程中还应充分考虑方便今后的运行维护, 并能有效降低机房运行及维护成本。

 机房建设的具体原则主要包括:

 高安全性 要充分考虑并采取有效措施防止火灾、 电力故障、 通信故障、 漏水、 雷击、非法入侵等造成的安全事故。

  3高可靠性 采取有效措施提高平均无故障时间(MTBF), 降低平均修复时间(MTTR), 提高运维管理水平。

 标准化和规范化 在数据中心机房设计和建设过程中, 应当基于有关国家标准和国际标准, 坚持统一标准、 规范的原则, 从而为未来的业务发展、 设备扩容奠定基础。

 灵活性和可扩展性 数据中心机房必须具有良好的灵活性与可扩展性, 能够根据今后信息化发展及技术进步的需要, 提供设备扩容、 技术升级、 设备更新的灵活性。

 先进性 在综合考虑成本、 效益的前提下, 尽可能采用先进、 成熟的技术和设备, 保证既能满足当前的需求, 又能兼顾未来业务和技术发展的需要。

 实用性 数据中心机房的设计和工程建设要充分考虑功能的实用性, 要以充分满足技术、 管理需求为前提。

 可管理性 采用的各类机房设备应具有智能化、 可管理的能力, 同时通过建立全面、 完善的集中监控和管理系统, 实时监控机房的运行状况, 及时发现异常情况和故障,提高机房运行的安全性和可靠性。

 机房的各类设备、 设施要便于维护。

 经济性 在进行工程设计和建设过程中, 在充分满足需求的前提下, 应努力节约成本,降低建设费用。

 同时, 还应综合考虑能以较低的成本、 较少的人员投入来维持今后的日常运行, 降低运行成本。

 人机工程 在数据中心机房设计和建设过程中应根据人机工程原理, 考虑机房工作人员的便利、 舒适。

 环保、 节能 采用环保材料、 加强环保措施、 避免环境污染; 采用节能设备、 重视节约能源。

  4 1. 2

 设计依据 □ 国家标准《电子计算机机房设计规范》 (GB50174-93)

 □ 国家标准《计算站场地技术要求》 (GB2887-89)

 □ 国家标准《电子计算机机房施工及验收规范》 (SJ/T30003-93)

 □ 国家标准《计算机机房活动地板的技术要求》 (GB6650-86)

 □ 国家标准《计算站场地安全技术》 (GB9361-88)

 □ 国家标准《电气装置安装工程接地装置施工及验收规范》 (GB50169-92)

 □ 中华人民共和国公共安全行业标准 GA/T75-94《安全防范工程程序与要求》

 □ 《中华人民共和国计算机信息系统安全保护条例》

 1. 3

 工程范围 ****(中国)

 热水器有限公司计算机网络机房改造的施工范围和主要项目:

 机房建筑装修部分:

  抗静电地板、 门窗、 墙面部分。

 机房空调:

 主要设计机房专用空调, 不需要精密空调, 新风系统建议采用盘管式。

 机房电气:

 机房动力配电系统;

 机房 UPS 电源配电系统;

 机房直流地极、 直流地网及静电泄漏地网;

 机房防雷接地:

 单独设计机房接地系统, 该机房处于二楼, 其楼下 综合布线系统

  5各种弱电电缆(包括双绞线、 视频线、 控制线等)

 的敷设 强电电缆的敷设

 机房管理系统:

  设计机房温湿度监测系统(注意实现手机短信自动报警功能)、 远程视频监控系统、 机房设备远程状态监控系统。

 2 公司简介 ****电子技术有限公司源于 Greatech, 秉承“用户至上, 信诚为本” 的宗旨,奉行“信、 义、 利” 的经营理念, 追求“创新科技, 网络未来” 的目标, 以优良技术和优质服务屹立于同行之上, 为中国西部信息产业的佼佼者。

 ****公司成立于 1996 年 4 月, 成立之初主要从事计算机、 笔记本电脑、 扫描仪、 数码相机、 打印机的批发、 零售业务, 是当时四川做得最大的扫描仪、 数码相机批发商。

 1998 年转型从事计算机网络系统集成, 发展行业用户, 并逐渐在党政、 高校、 银行等行业形成自己的解决方案。

 2001 年, 公司逐渐从单纯的网络系统集成迁移至为用户提供应用解决方案、 提供增值服务上来。

 ****公司总部在成都, 下设系统集成业务部、 产品业务部、 工程技术部、 软件开发中心、 技术服务中心、 办公室、 财务部等, 在海南、 重庆、 西藏设有分公司。

 目前, 公司拥有各类专职工程技术人员 73 人, 同时聘请了多名四川大学、 电子科技大学的专家、 教授参与产品研发, 其中博士学位 7 人(占 10%), 硕士学位21 人(占 30%)。

 公司拥有服务器、 台式机、 笔记本电脑、 交换机、 路由器、 示波器、 信号发生器、 网络测试仪等研发设备, 以及各式打印机、 复印机、 扫描仪、数码相机、 传真机、 程控交换机等各类办公设备, 固定资产投资 900 万元。...

篇三:网络改造方案范本

矿业网络改造案 万德系统集成有限责任公司 2011-10-11

 目录 1 用户需求分析 ............................................................................................... 错误!未定义书签。

 1.1 项目改造容 ....................................................................................... 错误!未定义书签。

 1.2 项目设计原则 ................................................................................... 错误!未定义书签。

 1.2.1 设计原则 ............................................................................... 错误!未定义书签。

 1.2.2 建设原则 ............................................................................... 错误!未定义书签。

 1.3 项目设计思想 ................................................................................... 错误!未定义书签。

 2 项目整体解决案 ........................................................................................... 错误!未定义书签。

 2.1 网络现状 ........................................................................................... 错误!未定义书签。

 2.1.1 现网拓扑 ............................................................................... 错误!未定义书签。

 2.1.2 网络存在问题 ...................................................................... 错误!未定义书签。

 2.2 改造建议 ........................................................................................... 错误!未定义书签。

 2.2.1 改造拓扑及描述 .................................................................. 错误!未定义书签。

 2.2.2 改造后优势 ........................................................................... 错误!未定义书签。

 3 网络系统 ........................................................................................................ 错误!未定义书签。

 3.1 组网案 ............................................................................................... 错误!未定义书签。

 3.1.1 组网拓扑 ............................................................................... 错误!未定义书签。

 3.1.2 分局网络设计 ...................................................................... 错误!未定义书签。

 3.1.3 IP 地址觃划 .......................................................................... 错误!未定义书签。

 3.1.4 IPv4 地址觃划 ..................................................................... 错误!未定义书签。

 3.1.5 IPv4 路由觃划 ..................................................................... 错误!未定义书签。

 3.1.6 Vlan 设计 ............................................................................. 错误!未定义书签。

 3.2 网络优化系统 ................................................................................... 错误!未定义书签。

 3.2.1 上网行为管理 ...................................................................... 错误!未定义书签。

 3.2.2 网络安全审计 ...................................................................... 错误!未定义书签。

 4 安全不管理系统 ........................................................................................... 错误!未定义书签。

 1 用户需求分析 黄岗矿业有限责仸公司的前身是黄岗铁矿,1993 年筹建,1996 年投产,是兊旗人民政府下属的全民所有制企业。2000 年 3 月 23 日,中共兊旗委第 66次会议决定,企业改制为有限责仸公司。公司更名为“黄岗矿业有限责仸公司”,由集通公司以承债的式购买企业的主要产权,控股经营企业。2000 年 4 月 20日各签定《关亍设立黄岗矿业有限责仸公司协议书》觃定:注册资本总额为 2400万元人民币。

 2003 年 9 月 15 日,中共兊旗委第 38 次常委会议决定,同意黄岗矿业有限责仸公司增资扩股,由钢铁(集团)有责仸公司控股。同时根据《黄岗矿业有限责仸公司章程修整案》的觃定,增设钢铁(集团)有限责仸公司为新仸股东。增设股东后的黄岗矿业有限责仸公司股东为 6 个,注册资本金为 8139 万元,即钢铁(集团)有限责仸公司出资人民币 5000 万元,占注册资本金的 61.4%,集通铁路有限责仸公司出资人民币 1679 万元,占注册资本金的 20.6%,兊什兊腾旗人民政府出资人民币 660 万元,占注册金的 8.1%,地质矿产勘察开发院出资人民币 646 万元,占注册资本金的 7.9%,兊旗农电尿出资人民币 65 万元,占注册资本金的 0.8%,自然人出资人民币 89 万元,占注册金的 1.2%。

 2004 年 9 月 22 日,黄岗矿业有限责仸公司股东会 2004 年第一次临时会

 议同意兊旗政府把自己拥有的公司 6%的股仹以 600 万元人民币的价格协议转让给莲池控股有限公司,兊旗政府的股东比例由 8.1%减至 2.1%。其他股东的股权比例丌变。

 2005 年 8 月,在兊旗旗委政府的协调下,由黄岗矿业有限责仸公司将仍在三区边缘地带采矿的“兊旗黄岗矿业有限责仸公司” 以1500万元的价格收购。从此,形成了黄岗一,二,三,四区由黄岗矿业有限责仸公司独家采选的尿面。

 1.1 项目改造容 本次项目针对现网存在的问题,提出改造及完善建议。尤其针对出口安全及网互联作出详细描述。

 1.2 项目设计原则 1.2.1 设计原则 设计原则是系统设计时必须要考虑的总体原则,它必须满足系统设计目标中的要求,遵循系统性整体性、先迚性和可扩充性原则,建立经济合理、资源优化的系统设计案。

 系统平台作为黄冈矿业的一项重要的基础设施,为用户总体觃划和技术要求提供保障,以便为用户提供一个先迚、灵活、可靠、基亍标准的多业务、多应用平台,丌仅能够满足目前各种业务和应用要求,同时可为今后的发展及其业务、应用提供良好的扩展支持能力。因此,我们在迚行案设计时,应遵循以下设计原则。

 1.2.1.1 先进性与合理性相结合的原则

 在本项目案设计中,应“立足现在,着眼未来”,在保证技术成熟及性能稳定的前提下,顺应主流技术的发展趋势,充分采用当今国、国际上最先迚的计算机软硬件技术和设备,使本项目系统能够最大限度地适应今后技术发展和业务发展变化的需要。其中,采用的系统结构应当是先迚的、开放的体系结构。

 1.2.1.2 可靠性和稳定性相结合的原则 为保证黄冈矿业各项业务和应用顺利迚行,网络系统和 IT 基础平台必须具有较高的可靠性和稳定性,要对网络结构、网络设备、服务器设备、配套设备和环境设施等多个面迚行高可靠性、高稳定性的系统设计不配置。

 首先,在设备选型上要选择成熟、可靠、稳定的产品;其次,要在系统整体结构不违接式上对可靠性和稳定性迚行充分考虑,要采用切实有敁的系统冗余备仹式,提供高敁的自愈能力,幵在采用硬件备仹、设备冗余等可靠性、稳定性技术的基础上,采用相关的软件技术提供较强的管理控制机制和事敀监控手段,从而充分保障系统是持续可用的。

 1.2.1.3 实用性和可管理性相结合的原则 应采用成熟、实用的技术满足当前的应用需求,同时兼顼其它应用及系统发展的运行需求,尽可能延续原有的设备、幵保证不原有系统兼容。同时,应使用先迚丏实用的技术以适应更高的数据、信息的传输、处理需要,使整个系统在一段时期保持技术的先迚性,幵具有良好的发展潜力,以适应未来信息化的发展和技术升级的需要。

 1.2.1.4 可扩展性和开放性相结合的原则 为保证本项目系统符合当今技术飞速发展的趋势,幵满足系统发展的需要,

 在案设计中必须充分考虑网络和服务器系统将来的扩展能力。其中,网络必须能够根据信息化的丌断深入发展,便地扩展覆盖围、扩大网络容量和提高网络各局次节点的功能。

 本项目系统这种工程应具备不多种协议的计算机通信网络互违互通的能力,因此为确保本项目系统基础设施的作用可以充分发挥,在结构上必须真正实现开放,采用基亍国际开放式的标准,包括各种广域网、尿域网、计算机,坚持统一觃划的原则,从而为未来的业务发展奠定基础。

 1.2.1.5 安全性和保密性相结合的原则 安全性是本项目系统运行的生命线,在本案设计中应给予充分考虑。对信息安全问题十分重规,信息产业部、中办机要尿、密码管理委员会等有关部门对网络的信息安全问题制定了多相应法觃、觃定,如《中华人民国保守秘密法》、《计算机信息系统保密暂行觃定》、 《涉及秘密的通信办公自劢化和计算机信息系统审批暂行办法》等。本项目的安全性案应格按照信息安全主管部门的有关觃定设计,使本项目系统成为一个安全的通信平台,幵确保系统信息传输的安全。

 本项目安全体系案设计的原则是:

 1、整个系统必须是一个密的安全体系; 2、采取的安全措施丌能影响整个网络的运行敁率; 3、系统设计应具有完善的安全管理机制,以保证网络和数据的安全; 4、保证各个环节的安全保密,统筹觃划; 5、安全案的制订和实施应遵循系统安全的相关觃定。

 1.2.2 建设原则 建设应遵循如下指导原则:

  统一领导,统一觃划,统一标准。

  以应用带发展,以敁益促应用,分步实施,逐步完善。

  网络结构稳定,易亍升级、扩展;应用系统灵活,易亍共享、沟通。

  网络安全,信息保密,稳定可靠,高敁运行。

  综合考虑整体性、实用性、先迚性和经济性。

  利用现有资源满足业务急需,保持持续发展。

  管理运行体系不工程建设同步迚行。

 1.3 项目设计思想 1、组建安全、可靠、快速的三局汇聚交换网络。

 2、采用先迚、成熟的技术 3、保证原有系统的完整性和业务丌中断 4、旧系统的搬迁和新旧系统的无缝融合,软硬件应平滑过渡和升级 5、采用高可靠、可扩展的设备和架构 2 项目整体解决案 2.1 网络现状 2.1.1 现网拓扑 2.1.2 网络存在问题 1. 防火墙承担安全策略及路由 NAT 功能,X86 架构的 CPU 丌能满足用户及出口带宽的增长,造成网速变慢甚至 CPU 超负荷后断网。

 2. 核心交换机未吪用三局功能,网关在防火墙上,网用户通信流量再次转嫁至防火墙。

 3. 用户上网行为丌能监控,员工带宽丌能限制,造成资源浪费。

 4. 矿区乊间使用光电转换器的丌可靠违接,增加了敀障率。

 5. 用户普遍使用 TP-LINLK 作为接入设备,丌便管理。

 6. 安全策略、路由协议等较落后,丌满足现网需求。

 2.2 改造建议 2.2.1 改造拓扑及描述 二区新增核心路由及核心交换机,新增上网行为管理设备。一区、三区、四区、尾矿新增汇聚交换机。原有接入交换机作为用户接入设备,原设备均利旧使用,丌造成资源浪费。网安全策略、路由协议均重新觃划。

 2.2.2 改造后优势 1. 新增路由器吪用 NAT 功能、分担防火墙压力,防火墙只做安全策略。

 2. 新增核心交换机吪用三局功能,划分 VLAN,优化网环境幵提供光接口。

 3. 替换所有光电转换器为光接入交换机,较少线路敀障率。

 4. 原设备均利旧使用,丌造成资源浪费。

 5. 新增用户行为及审计功能。

 6. 合理化的带宽分配,丌会因员工下载造成网速缓慢。

 7. 重新调试的网络策略更适亍现在使用情冴。

 3 网络系统 3.1 组网案 网络做为一个系统的传输平台,它为业务系统提供了可靠传输通道,是业务

 系统的支撑系统,是一个系统的路,是一个单位信息化的基础。

 3.1.1 组网拓扑 目前,组网的拓扑结构设计常采用三种结构:星型、网状和部分网状结构。

 拓朴结构 星型结构(Star):星型结构是指所有的外围设备通过单一链路违接到处亍网络中心的核心设备上。星型结构的优点是节约线路开支,网络结构简单,易亍增容不维护;但对中心设备不违接链路有依赖性,容易出现单点敀障,要求中心节点必须保证高可靠性。

 在网络络设计中,针对主干框架的选择应充分考虑网络性能、维护难易程度以及可靠性等因素,同时也要考虑系统的性价比,从而权衡利弊,作出最为符合实际情冴的结构案。

 3.1.2 分层网络设计 优良的拓扑结构是网络稳定、可靠运行的基础。一个大觃模的尿域网络系统往往被分为几个较小的部分,它们乊间既相对独立又互相关联,这种化整为零的做法是分局迚行的。通常网络拓扑的分局结构包括三个局次,即核心局、分布局和接入局。

 每一局都有其自身的觃划目标:

 核心局处理高速数据流,其主要仸务是数据包的交换。

 分布局负责聚合路由路徂,收敛数据流量。

 接入局将流量馈入网络,执行网络访问控制,幵丏提供相关边缘服务。

 网络大都是依照上面的分局原则设计的星型以太网,配合各种最新的技术如VLAN、TRUNK、Qos 等,极大地提高了网络的性价。其逡辑结构如下图所示:

 3.1.3 IP 地址规划 IP 地址的合理觃划是网络设计中的重要一环,大型计算机网络必须对IP地址迚行统一觃划幵得到实施。IP 地址觃划的好坏,影响到网络路由协议算法的敁率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的迚一步发展。

 在网络设计中 IP 编址案的设计非常重要,它将直接影响网络的运行敁率。为了使网络达到最高的运行敁率,在设计 IP 编址案时要遵从以下原则:

 1、IP 地址分层设计 IP 地址...

篇四:网络改造方案范本

xx网络改造项目 实施方案

 实施方案

 目录 第一章、网络改造实施方案 .................................................................................................................. 4 一、网络拓扑及承载业务说明:

 ...................................................................................................... 4 二、建设原则:

 .................................................................................................................................. 4 2.1 先进性和成熟性原则

 ................................................................................................................ 4 2.2 可扩充性原则

 ............................................................................................................................ 5 2.3 开放性和标准化原则

 ................................................................................................................ 5 2.4 安全可靠性原则

 ........................................................................................................................ 5 2.5 经济实用性原则

 ........................................................................................................................ 5 三、网络设计方案 .............................................................................................................................. 6 3.1 网络系统的整体架构规划

 ........................................................................................................ 6 3.2 路由规划

 .................................................................................................................................... 9 3.3 设备命名规则

 .......................................................................................................................... 10 3.4 端口描述命名规则

 .................................................................................................................. 11 3.5 标签规则

 .................................................................................................................................. 12 3.6 地址规划

 .................................................................................................................................. 12 3.7 VLAN 规划

 ............................................................................................................................... 15 四、整体部署实施方案 .................................................................................................................... 17 4.1 智能弹性架构 IRF/VSS 虚拟化技术优势

 .............................................................................. 18 4.2 智能弹性架构技术( IRF/VSS )的应用

 ................................................................................ 18 4.3 网络拓扑设计

 .......................................................................................................................... 18 4.4 网络核心 / 汇聚区域规划

 ......................................................................................................... 19 4.5 服务器区域规划

 ...................................................................................................................... 24 五、整体实施配置方案 .................................................................................................................... 25 5.1 核心 / 汇聚 / 区域规划

 ................................................................................................................ 27 5.2 路由配置

 .................................................................................................................................. 31 六、网络策略、数据及安全规划 .................................................................................................... 34 6.1 访问控制

 .................................................................................................................................. 34 6.2 口令安全规范

 .......................................................................................................................... 34 6.3 设备访问安全规范

 .................................................................................................................. 35 6.4 日志安全规范

 .......................................................................................................................... 35 6.5 其它安全规范

 .......................................................................................................................... 36 6.6 路由协议安全规范

 .................................................................................................................. 37 6.7 授权下的远程访问管理

 .......................................................................................................... 38 6.8 交换机安全配置基本要求

 ...................................................................................................... 39 第二章、核心机房搬迁实施方案 ........................................................................................................ 46 一、项目描述 .................................................................................................................................... 46 二、搬迁基本原则 ............................................................................................................................ 47 三、服务流程及分工界面 ................................................................................................................ 48 四.需要搬迁的设备及软件 ............................................................................................................ 48 五、搬迁前的环境准备 .................................................................................................................... 49

 5.1 设备迁移前的准备工作(新位置环境最后确认)

 ............................................................. 49 5.2 搬迁备份工作

 ......................................................................................................................... 50 六、详细实施方案 ............................................................................................................................ 51 6.1 设备及线缆标记

 .................................................................................................................... 51 6.2 机房搬迁步骤

 ........................................................................................................................ 51 七、系统应急与灾难恢复方案 ........................................................................................................ 52 八、搬迁人力分工安排 .................................................................................................................... 54 九、注意事项 .................................................................................................................................... 54 十、搬迁值守及文档交付 ................................................................................................................ 54

 第一章、网络改造实施方案一、网络拓扑及承载业务说明:

 在福田 xx 信息化工程集成项目的建设中,计算机网络系统作为整个公司信息系统的基础架构,其建设是非常重要的内容之一。计算机网络系统要高效、安全、可靠、稳定、灵活、相对简单并易于管理、维护。其中,通过实施统一计算机网络基础设施建设,保证整体数据架构和技术架构的完整性和与公司架构的一致性,促进项目的顺利实施尤为重要。

 福田 xx 计算机网络系统需要承载整个公司的应用及用户的有线和无线的网络接入。针对现代化智能公司对通讯自动化(CA)和办公自动化(OA)信息传输的需求,对计算机网络具有高度灵活性、可靠性及综合性的要求,并应面向未来的发展,方便维护和管理,具有模块化、易扩展性的特点。

 在福田 xx 计算机网络系统建设中,按照系统功能区划分分别为无线接入网、办公网、一卡通、安防网、生产网。

 福田 xx 计算机网络系统通过百兆企业级宽带作为,所有广域网及 Internet的流量都将作为统一出口。

 为了适应未来网络技术的发展,福田 xx 计算机网络系统要全面支持 IPv4和 IPv6 共存。

 二、建设原则:

 在整体规划设计新网络环境时,采用模块化、层次化的方式构造福田 xx 的计算机网络系统,即考虑应用数据流和安全控制,定义功能区。将这些功能区域作为各自独立的模块,分别进行良好的设计、实施,为网络进一步扩展奠定了坚实基础。

 2.1 先进性和成熟性原则要有先进的设计思想和超前意识,设计要充分应用已经成熟的先进技术,采用市场覆盖率高、标准化和技术成熟的软硬件产品,能根据技术发展平稳的向新

 技术过渡,保证网络通讯介质、网络核心设备的向后兼容性。

 2.2 可扩充性原则要建设成完整统一、组网灵活、易扩充的弹性网络平台,采用层次性的系统设计原则,使网络具有良好的可扩充性,在将来网络升级或再投资的情况下,能随时通过增加网络设备或模块来对现有设备进行升级和扩充,并能把替换下来的设备应用到分支或边缘网络上。

 2.3 开放性和标准化原则网络设计采用开放技术、开放结构、开放系统组件和开放用户接口,能兼容不同的拓扑结构,支持良好的维护、测量和管理手段,提供网络统一实时监控,实现设备的统一管理;整个网络系统全部采用或符合国际标准,以便和不同厂家的产品互操作和互联。

 2.4 安全可靠性原则充分考虑整个网络的稳定性,要充分考虑关键链路、设备、系统的冗余设计,支持网络节点的备份和线路保护,通过使用网络用户身份识别、VLAN、包过滤、入侵检测及防火墙等技术建立全方位、立体化的网络安全体系,保证网络系统的安全性。

 2.5 经济实用性原则网络规划设计应具有良好的性价比,要考虑到网络技术的日新月异,选择网络设备时要有前瞻性,要能够兼容未来的标准技术及应用,避免现在选择的技术或设备在一段时间后就会过时甚至被淘汰,造成新一轮的大规模投资。

 三、网络设计方案 3.1 网络系统的整体架构规划网络的结构是层次化的,正确理解网络层次的划分和每个层次的主要作用,有助于合理选择网络拓扑和网络技术。大型网络从理论上可以划分为三个层次,即核心层(Core Layer)、汇聚层(Distribution Layer)和访问层(Access Layer)。

    核心层主要承担高速数据交换的任务,同时要为各汇聚节点提供最佳传输通道。

    汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中,承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性,必须使用模块化的体系结构,可通过增加板卡提高端口密度,以便汇接更多的接入层设备。

    接入层的主要任务是完成用户的接入,它直接和用户连接,可能遭受 ARP 风暴、MAC 扫描、ICMP 风暴、带宽攻击等等攻击方式,对安全性的要求很高,另一方面必须提供灵活的用户管理手段。

 现有福田 xx 网络拓扑:

 改造后的网络拓扑:

  改造后的网络拓扑:

 整网网络拓扑如上图所示。本次网络改造采用高性能、大容量的路由交换机组网,网络划分为核心层、汇聚层、接...

篇五:网络改造方案范本

络改造案建议书

 普惠数码科技有限公司

 日期:二零壹零年六月

 目

 录 一.

 网络状态分析………………………………………….3

 二.

 网络建设目标…………………………………………..4

 三.

 网络改造总体设计……………………………………..5

 四.

 设备选用介绍…………………………………………..9

  五.

 售后服务与培训………………………………………24

 六.

 公司简介和成功案例…………………………………27

 一、网络状况分析 当今时代,企业信息化与企业的生命力息息相关。企业的各种业务数据应用、每一台服务器、每一台计算机不仅创造着企业的竞争力,也记录着公司的核心价值。企业的不断成长和发展也需要企业信息建设的不断健全和完善。

 贵公司大致网络状况如下:

 1、企业总部约有150信息点,外部各售楼中心关键信息点不超过50个。

 2、在总部大楼设有一中心机房,为企业数据交汇传输存储的唯一节点,总部副楼设有2个小型机房,作为楼宇间数据交换使用。

 3、现有一条10M动态电线线路,负责公司总部员工用于外联公网。贵公司计划2010年7月前上主营业务ERP软件,并同时增加一条8M左右固态IP电信电路为此软件应用服务。

 4、公司目前正常上网速度较慢,并且缺乏专业安全防护。

 5、后台数据应用服务器为IBM3950服务器一台,并在本机做了RADE5。

 缺少业务数据备份。

 6、由于缺少专业人员维护和管理,机房部线路连接混乱、标识缺失,故障时难于查询统计。原先配置的UPS设备未能正常使用,一旦发生意外造成设备损坏,会给企业造成无法估量的损失。

 应用软件流量分析 (日期 2010 年 5 月 19 日——2010 年 5 月 24 日)

 协议类别 对外(上传)(GB) 外对(下载)(GB) 对(网)(GB) 总流量(GB) P2P_XUNLEI 26.17 18.23 0 44.4 P2P_BT 7.49 3.5 0 10.99 HTTP 2.03 8.65 0.02 10.7 P2P_PPStream 4.8 5.57 0 10.37 SKYPE 3.8 1.86 0 5.66 P2P_PPLive 1.64 2.15 0 3.79 P2P_EDONKEY 1.95 1.5 0 3.45 SMB 0 0 2.4 2.4 RTMPT 0.04 1.81 0 1.85 RTSP 0.02 0.86 0 0.88 P2P_QQLive 0.4 0.41 0 0.81 QQ 0.11 0.14 0.16 0.41 MMSH 0.01 0.33 0 0.34 HTTPS 0.04 0.23 0 0.27

 STOCK 0.03 0.08 0 0.11 POP3 0 0.01 0 0.01 共 48.55 45.31 2.57 96.43

  2010-05-19 至 2010-05-24 应用软件流量饼状图

  根据流量统计报表以及饼状图清晰显示,迅雷、BT、电驴等 P2P 下载软件以及 PPstream 等在线视频电影消耗了大量的有效网络带宽,造成出口拥塞,网络访问异常,影响了正常的工作。

 通过有效的网络带宽管理、有区别的网络行为限制,加强对外网的使用监管,规上网行为,保障网络畅通,确保关键应用。

 二、网络建设目标 根据实际考察和相互交流,本次网络设计的目标为:

 A) 尽量保留用户现有网络中的设备,在确保用户正常业务使用的前提下减少用户投资。

 B) 企业各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现丰富多彩的网络应用。

 C) 多现有网络在初始建设时不仅要考虑到如实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是企业的经济损失,影响企业的声誉和形象。

 D) 在商品竞争日益激烈的今天,企业对网络的安全性有非常高的要求。在很多企业在局域网和广域网络中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用密的网络安全措施。

 E) 随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。

 F) 网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着企业规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。思科通过模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力。

 G) 由于视频会议、视频点播、IP 等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。企业着眼于未来,对网络的多媒体支持是有很多需求的。同时,在网络带宽非常宝贵的情况下,丰富的 QoS 机制,如:IP 优先、排队、组广播和链路

 压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。

  三、网络改造总体设计 1.机房改造 检查设备安装场地是否符合电气和环境标准。

 输入电压允围:100V~240V AC 50/60Hz 或 –40V~-60V DC 工作温度:0C~40C 储存温度:-30C~60C 相对湿度:5~95% 无凝结 配线架外网段及接口标识清晰,线路整理顺畅。

 将服务器、交换机等设备合理放置到机柜上,便利操作; UPS 等设备安装到位,进行断电测试。

  2.网络改造建议拓扑图

  全网设计说明

 选用SonicWall NSA2400防火墙作为出口网关设备双线路至Internet ,10M动态IP线路提供给部用户访问Internet使用,8M静态IP线路用于业务软件访问使用。NSA2400同时开启网络防毒功能模块,对于流量可以进行实时扫描,针对间谍软件、恶意网页病毒等可有效防护,保证业务系统以及部用户的网络安全。

 现有网络中的SonicWall防火墙设备作为冷备份,一旦新设备出现故障问题,原有设备可临时替换使用,保证用户的网络应用的不间断。

 核心交换机选用 LS-5500-28C-SI 为全千兆 3 层设备,提供强大的网络交换功能,满足公司部网络交换需求。将原有 2 路连接分支大楼机房以及 1 路至董事长办公室的光纤线路全部迁移到LS-5500-28C-SI 设备上,原有 H3900-52P 交换机和 NETCORE 交换机作为接入层交换机使用千兆铜缆网线连接至核心 LS-5500-28C-SI 交换机。

 基于提升网络试用效率的考虑,采用 SoftNext 公司的 CSQR200 上网行为管理设备,审核网络应用,优化网络带宽。可针对网用户采用不同分组制定访问策略,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。同时丰富的日志报告功能,对于上网记录进行审核,利于发现网络的潜在威胁。

  考虑到公司业务系统的重要性,建议配置一台高性能高数据存储 PC,作为现有业务系统数据备份设备使用。保障业务系统数据的安全,降低因为数据丢失或损坏所带来的不必要的损失。我公司可免费帮助用户在服务器和 PC 之间做好备份准备。

 网络安全防火墙设备选择:

 安全是最大的网络安全隐患。网络安全防火墙设备选择需要考虑:

 非法入侵:攻击者通过系统漏洞、木马、窃听等手段获得相应权限,从而窃取数据和破坏系统。

 病毒攻击:目前绝大多数蠕虫、病毒均可通过互联网进行传播,蠕虫、病毒一旦爆发,就会侵占网络资源,最终可导致网络瘫痪。

 拒绝服务攻击:通过拒绝服务攻击,可导致服务器当机和网络拥堵,最终造成服务中断。

 网络安全防火墙设备:

 网络安全设备采用 SonicWall 防火墙。

 NSA 系列采用新一代统一威胁管理(UTM)技术抵抗各种攻击,兼备入侵防御、防病毒及反间谍软件功能和 SonicWALL 应用防火墙的应用层控制功能。NSA 系列利用先进的路由、全状态同步高可用性以及高速 VPN 技术让您的分支机构、中央区域及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力,同时还将成本及复杂程度降到最低。

 核心层设备选择:

 公司现有网络分层中并无核心交换机,考虑到使网络拓扑更加合理、今后更好的拓展性、有利于查出问题故障症结,建议配置一台核心交换机。

 核心交换层是网络的核心交换节点,它将多个边缘汇聚层连接起来,提供穿透服务,进行数据的高速转发,同时实现与骨干网络的互联,提供高速 IP 数据出口。用户数据流可通过汇聚层上行到核心网络,通过核心网获取所需业务。

 核心交换机:

 根据需求我们选用 H3C LS-5500-28C-SI 交换机作为网络的核心设备。

 H3C LS-5500-28C-SI 交换机是一款部署于企业核心的高性能交换机,在核心网络中网络的性能、IP 服务、冗余性和故障弹性十分重要。H3C S5500-SI 系列交换机是 H3C 公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供 IPv6 转发功能以及最多 4 个 10GE 扩展接口。通过 H3C 特有的集群管理功能,用户能够简化对网络的管理。S5500-SI 系列千兆以太网交换机定位为企业网和城域网的汇聚或接入,同时还可以用于数据中心服务器群的连接。

 上网行为管理设备选择:

 上网行为管理是一种约束和规企业员工遵守工作纪律,提高工作效率的工具,是行政管理的电子化辅助手段。上网行为管理设备无疑对企业网络访问的制度化管理起到了良好的辅助作用。

 上网行为管理设备:

 上网行为管理设备选用 SoftNext 公司的 CSQR200 设备。

 CONTENT SQR是一款多功能的网络信息安全管理审计系统。可详细记录网受控人员,各种常用网络应用的使用情况,传送或接收的信息容。并可配合网络管理或公司策略,对常用网络应用的使用情况与容,进行记录备案以及弹性的策略管控。同时提供了详尽的统计分析功能,透过图表分析,使管理者对各种应用的使用情况,及对网络所造成的影响,尽在掌握。

 CONTENT SQR 是全位的网络容安全解决案,具有 EMAIL、WEBMAIL、WEB、IM、P2P、FTP 及延伸 VOIP..等应用层(LAYER 7)延伸服务的容管理与使用分析,过滤分析技术能涵盖网络层到应用层,以提供网络容安全的纵衡防御服务。

 CONTENT SQR 包含不当信息拦截防护、策略管理、统计报表、流量控管...等多种管理功能,特别有助于 WEB MAIL 的使用控管。本产品便管理,不影响网络运作,是企业进行多通讯端口的安全防护,及容资产管理的最佳工具。CONTENT SQR 能协助企业进行网络有效管理,提升网络资源的使用效益!

 网络改造补充说明

 根据贵公司工程师所提出的网络改造关键点,对于网络的优化改造补充说明如下:

 1、防病毒软件 计算机病毒的预防技术 计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统存或阻止计算机病毒对磁盘的操作,尤其是写操作。

 预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。

 检测病毒技术 计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特征程序段容、病毒特征及传染式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。

 清除病毒技术 计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。

 有了企业版防病毒软件,结合贵公司现有的桌面管理软件,可以实现全面的身份验证和企业用户安全管理。在防火墙之类的安全网关的防护下,企业部网络可以大大提高抗攻击、防病毒的能力,最大限度的保证用户的信息安全。

 2.SSL VPN 设备

 随着贵公司 ERP 项目的上马,固态 IP 线路及专有后台服务器的使用。可以预见,随着公司业务的不断繁忙,公司规模的不断壮大,相关业务专业软件(比如 OA)将会越来越多的被使用。贵公司业务人员很多时间将会需要在外网直接连接本公司的业务系统,那么公司核心业务数据在公网上传输完全没有保障。企业对网络的依赖日益加深,面对层出不穷的各种网络安全威胁,如提供安全可靠、低成本、高可用性的远程访问服务直接关系到企业运作的经济效益。SSL VPN 设备可以帮助企业用户在这些面解决很多直接面对的问题。SSL VPN 是近年来新兴的一种应用级 VPN,是目前解决远程用户访问最简单最安全的 VPN 技术。它正成为企业应用、无线接入、Web 服务安全远程管理的关键产品。SSL协议是无所不在(任浏览器都支持 SSL)的,各浏览器支持的 SSL 高度互相兼容,而且更为重要的是SSL 可生存于任网络环境,...

篇六:网络改造方案范本

矿业网络改造方案

 内蒙古万德系统集成有限责任公司 2011-10-11

 - 1 -目录 1 用户需求分析...................................................................................................................... - 2 - 1.1 项目改造内容.......................................................................................................... - 2 - 1.2 项目设计原则.......................................................................................................... - 3 - 1.2.1 设计原则...................................................................................................... - 3 - 1.2.2 建设原则...................................................................................................... - 5 - 1.3 项目设计思想.......................................................................................................... - 5 - 2 项目整体解决方案.............................................................................................................. - 6 - 2.1 网络现状.................................................................................................................. - 6 - 2.1.1 现网拓扑...................................................................................................... - 6 - 2.1.2 网络存在问题.............................................................................................. - 6 - 2.2 改造建议.................................................................................................................. - 7 - 2.2.1 改造拓扑及描述.......................................................................................... - 7 - 2.2.2 改造后优势.................................................................................................. - 8 - 3 网络系统.............................................................................................................................. - 8 - 3.1 组网方案.................................................................................................................. - 8 - 3.1.1 组网拓扑...................................................................................................... - 8 - 3.1.2 分层网络设计.............................................................................................. - 9 - 3.1.3 IP 地址规划 ............................................................................................... - 10 - 3.1.4 IPv4 地址规划 ........................................................................................... - 12 - 3.1.5 IPv4 路由规划 ........................................................................................... - 13 - 3.1.6 Vlan 设计................................................................................................... - 13 - 3.2 网络优化系统........................................................................................................ - 16 - 3.2.1 上网行为管理............................................................................................ - 16 - 3.2.2 网络安全审计............................................................................................ - 19 - 4 安全与管理系统................................................................................................................ - 21 -

 - 2 - 1 用户需求分析 内蒙古黄岗矿业有限责任公司的前身是内蒙古赤峰黄岗铁矿, 1993 年筹建,1996 年投产, 是克旗人民政府下属的全民所有制企业。

 2000 年 3 月 23 日, 中共克旗委第 66 次会议决定, 企业改制为有限责任公司。

 公司更名为“内蒙古黄岗矿业有限责任公司”, 由集通公司以承债的方式购买企业的主要产权, 控股经营企业。

 2000 年 4 月 20 日各方签定 《关于设立内蒙古黄岗矿业有限责任公司协议书》规定:

 注册资本总额为 2400 万元人民币。

 2003 年 9 月 15 日, 中共克旗委第 38 次常委会议决定, 同意内蒙古黄岗矿业有限责任公司增资扩股, 由包头钢铁(集团)

 有责任公司控股。

 同时根据《内蒙古黄岗矿业有限责任公司章程修整案》 的规定, 增设包头钢铁(集团)

 有限责任公司为新任股东。

 增设股东后的内蒙古黄岗矿业有限责任公司股东为 6 个, 注册资本金为 8139 万元, 即包头钢铁 (集团)

 有限责任公司出资人民币 5000 万元,占注册资本金的 61.4%, 内蒙古集通铁路有限责任公司出资人民币 1679 万元,占注册资本金的 20.6%, 克什克腾旗人民政府出资人民币 660 万元, 占注册金的8.1%, 内蒙古赤峰地质矿产勘察开发院出资人民币 646 万元, 占注册资本金的7.9%, 克旗农电局出资人民币 65 万元, 占注册资本金的 0.8%, 自然人出资人民币 89 万元, 占注册金的 1.2%。

 2004 年 9 月 22 日, 内蒙古黄岗矿业有限责任公司股东会 2004 年第一次临时会议同意克旗政府把自己拥有的公司 6%的股份以 600 万元人民币的价格协议转让给莲池控股有限公司, 克旗政府的股东比例由 8.1%减至 2.1%。

 其他股东的股权比例不变。

 2005 年 8 月, 在克旗旗委政府的协调下, 由内蒙古黄岗矿业有限责任公司将仍在三区边缘地带采矿的“克旗黄岗矿业有限责任公司” 以 1500 万元的价格收购。

 从此, 形成了黄岗一, 二, 三, 四区由内蒙古黄岗矿业有限责任公司独家采选的局面。

 1.1 项目改造内容 本次项目针对现网存在的问题, 提出改造及完善建议。

 尤其针对出口安全及

 - 3 -内网互联作出详细描述。

 1.2 项目设计原则 1.2.1 设计原则 设计原则是系统设计时必须要考虑的总体原则, 它必须满足系统设计目标中的要求, 遵循系统性整体性、 先进性和可扩充性原则, 建立经济合理、 资源优化的系统设计方案。

 系统平台作为黄冈矿业的一项重要的基础设施, 为用户总体规划和技术要求提供保障, 以便为用户提供一个先进、 灵活、 可靠、 基于标准的多业务、 多应用平台, 不仅能够满足目前各种业务和应用要求, 同时可为今后的发展及其业务、应用提供良好的扩展支持能力。

 因此, 我们在进行方案设计时, 应遵循以下设计原则。

 1.2.1.1 先进性与合理性相结合的原则 在本项目方案设计中, 应“立足现在, 着眼未来”, 在保证技术成熟及性能稳定的前提下, 顺应主流技术的发展趋势, 充分采用当今国内、 国际上最先进的计算机软硬件技术和设备, 使本项目系统能够最大限度地适应今后技术发展和业务发展变化的需要。

 其中, 采用的系统结构应当是先进的、 开放的体系结构。

 1.2.1.2 可靠性和稳定性相结合的原则 为保证黄冈矿业各项业务和应用顺利进行, 网络系统和 IT 基础平台必须具有较高的可靠性和稳定性, 要对网络结构、 网络设备、 服务器设备、 配套设备和环境设施等多个方面进行高可靠性、 高稳定性的系统设计与配置。

 首先, 在设备选型上要选择成熟、 可靠、 稳定的产品; 其次, 要在系统整体结构与连接方式上对可靠性和稳定性进行充分考虑, 要采用切实有效的系统冗余备份方式, 提供高效的自愈能力, 并在采用硬件备份、 设备冗余等可靠性、 稳定性技术的基础上, 采用相关的软件技术提供较强的管理控制机制和事故监控手段, 从而充分保障系统是持续可用的。

 1.2.1.3 实用性和可管理性相结合的原则

 - 4 -应采用成熟、 实用的技术满足当前的应用需求, 同时兼顾其它应用及系统发展的运行需求, 尽可能延续原有的设备、 并保证与原有系统兼容。

 同时, 应使用先进且实用的技术以适应更高的数据、 信息的传输、 处理需要, 使整个系统在一段时期内保持技术的先进性, 并具有良好的发展潜力, 以适应未来信息化的发展和技术升级的需要。

 1.2.1.4 可扩展性和开放性相结合的原则 为保证本项目系统符合当今技术飞速发展的趋势, 并满足系统发展的需要,在方案设计中必须充分考虑网络和服务器系统将来的扩展能力。

 其中, 网络必须能够根据信息化的不断深入发展, 方便地扩展覆盖范围、 扩大网络容量和提高网络各层次节点的功能。

 本项目系统这种工程应具备与多种协议的计算机通信网络互连互通的能力,因此为确保本项目系统基础设施的作用可以充分发挥, 在结构上必须真正实现开放, 采用基于国际开放式的标准, 包括各种广域网、 局域网、 计算机, 坚持统一规划的原则, 从而为未来的业务发展奠定基础。

 1.2.1.5 安全性和保密性相结合的原则 安全性是本项目系统运行的生命线, 在本方案设计中应给予充分考虑。

 国家对信息安全问题十分重视, 信息产业部、 中办机要局、 国家密码管理委员会等有关部门对网络的信息安全问题制定了许多相应法规、 规定, 如《中华人民共和国保守国家秘密法》、《计算机信息系统保密暂行规定》、《涉及国家秘密的通信办公自动化和计算机信息系统审批暂行办法》 等。

 本项目的安全性方案应严格按照信息安全主管部门的有关规定设计, 使本项目系统成为一个安全的通信平台, 并确保系统信息传输的安全。

 本项目安全体系方案设计的原则是:

 1、 整个系统必须是一个严密的安全体系;

 2、 采取的安全措施不能影响整个网络的运行效率;

 3、 系统设计应具有完善的安全管理机制, 以保证网络和数据的安全;

 4、 保证各个环节的安全保密, 统筹规划;

 5、 安全方案的制订和实施应遵循国家系统安全的相关规定。

 - 5 -1.2.2 建设原则 建设应遵循如下指导原则:

  统一领导, 统一规划, 统一标准。

  以应用带发展, 以效益促应用, 分步实施, 逐步完善。

  网络结构稳定, 易于升级、 扩展; 应用系统灵活, 易于共享、 沟通。

  网络安全, 信息保密, 稳定可靠, 高效运行。

  综合考虑整体性、 实用性、 先进性和经济性。

  利用现有资源满足业务急需, 保持持续发展。

  管理运行体系与工程建设同步进行。

 1.3 项目设计思想 1、 组建安全、 可靠、 快速的三层汇聚交换网络。

 2、 采用先进、 成熟的技术 3、 保证原有系统的完整性和业务不中断 4、 旧系统的搬迁和新旧系统的无缝融合, 软硬件应平滑过渡和升级 5、 采用高可靠、 可扩展的设备和架构

 - 6 -2 项目整体解决方案 2.1 网络现状 2.1.1 现网拓扑

 2.1.2 网络存在问题 1. 防火墙承担安全策略及路由 NAT 功能, X86 架构的 CPU 不能满足用户及出口带宽的增长, 造成网速变慢甚至 CPU 超负荷后断网。

 2. 核心交换机未启用三层功能, 网关在防火墙上, 内网用户通信流量再次转嫁至防火墙。

 - 7 -3. 用户上网行为不能监控, 员工带宽不能限制, 造成资源浪费。

 4. 矿区之间使用光电转换器的不可靠连接, 增加了故障率。

 5. 用户普遍使用 TP-LINLK 作为接入设备, 不方便管理。

 6. 安全策略、 路由协议等较落后, 不满足现网需求。

 2.2 改造建议 2.2.1 改造拓扑及描述

 二区新增核心路由及核心交换机, 新增上网行为管理设备。

 一区、 三区、 四

 - 8 -区、 尾矿新增汇聚交换机。

 原有接入交换机作为用户接入设备, 原设备均利旧使用, 不造成资源浪费。

 内网安全策略、 路由协议均重新规划。

 2.2.2 改造后优势 1. 新增路由器启用 NAT 功能、 分担防火墙压力, 防火墙只做安全策略。

 2. 新增核心交换机启用三层功能, 划分 VLAN, 优化内网环境并提供光接口。

 3. 替换所有光电转换器为光接入交换机, 较少线路故障率。

 4. 原设备均利旧使用, 不造成资源浪费。

 5. 新增用户行为及审计功能。

 6. 合理化的带宽分配, 不会因员工下载造成网速缓慢。

 7. 重新调试的网络策略更适于现在使用情况。

 3 网络系统 3.1 组网方案 网络做为一个系统的传输平台, 它为业务系统提供了可靠传输通道, 是业务系统的支撑系统, 是一个系统的路, 是一个单位信息化的基础。

 3.1.1 组网拓扑

 目前, 组网的拓扑结构设计中通常采用三种结构:

 星型、 网状和部分网状结构。

  拓朴结构 星型结构(Star)

 :

 星型结构是指所有的外围设备通过单一链路连接到处于网络中心的核心设备上。

 星型结构的优点是节约线路开支, 网络结构简单, 易于

 - 9 -增容与维护; 但对中心设备与连接链路有依赖性, 容易出现单点故障, 要求中心节点必须保证高可靠性。

 在网络络设计中, 针对主干框架的选择应充分考虑网络性能、 维护难易程度以及可靠性等因素, 同时也要考虑系统的性价比, 从而权衡利弊, 作出最为符合实际情况的结构方案。

 3.1.2 分层网络设计 优良的拓扑结构是网络稳定、 可靠运行的基础。

 一个大规模的局域网络系统往往被分为几个较小的部分, 它们之间既相对独立又互相关联, 这种化整为零的做法是分层进行的。...

篇七:网络改造方案范本

络改造升级方案

  一、项目背景

 当前全球网络安全形势严峻,网络安全面临着各种新的挑战,网络攻击层出不穷,且攻击来源、攻击目的、攻击方法以及攻击规模都在发生着巨大的变化。与此同时,伴随我国信息化发展进入新阶段,云计算、大数据、移动办公等新技术新应用已经十分成熟,并大规模应用,新技术是一把双刃剑,在促进信息化发展的同时也带来新的安全风险,原有安全防护体系的适应性和防护能力出现不足。

 为应对网络安全面临的全新形势和挑战,2014 年 2 月,中央网络安全和信息化领导小组成立,习近平总书记作为领导小组组长,指出“没有网络安全就没有国家安全”、“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”,确定了国家网络安全和信息化发展的方向。与此同时,我国网络安全制度体系建设和组织机制建设也进入了快车道,随着《中华人民共和国网络安全法》(以下简称《网络安全法》)的正式发布,将网络安全工作提升到法律的高度,各单位在信息化建设过程中,必须同步考虑网络安全建设。

 随着我院内网桌面云等新增设备的大面积部署带来了网络延迟大、管理复杂、故障节点增多等情况,现有的网络架构已经无法满足业务运行,一旦网络发生故障 3 县 1 区及我院内网将全部中断且无替代备份设备,短时间内无法恢复业务,存在较大的风险隐患。

 执行查控系统是我院的重要信息系统,是按照安徽省高级人民法院规划建设的信息系统。在系统建设过程中,考虑到系统承载业务的重要性和即将面临的安全风险,按照等级保护制度的相关要求,需同步规划安全保障体系,并在系统建设过程中,落实安全保障技术措施和管理措施。

  二、整体改造升级方案

 (一)现状分析

 1. 网络现状

 目前内网设备全部在我院一楼数据中心机房,网络分 2 层架构,接入层、汇聚层,前端通过华为 NE20 路由器到省厅核心设备和亳州三县一区,通过 ospf协议实现网络通信,拓扑如下:

  我院于 2016 年根据(法信办【2016】22 号)文件要求,进行了全市法院信息安全等级保护建设。根据等保安全要求,我院执行查控系统被定级为三级,并于 2017 年通过信息安全等级保护安全测评。

 目前,应用系统正处在安全测评和整改阶段,根据安徽省对执行查控系统系统安全防护要求和我院执行查控系统系统实际承载业务的重要性,按照等级保护三级的要求进行安全防护设计。

 2. 现状分析

 目前出口路由器(华为 NE20)承载了我院及三县一区所有业务,存在单点故障风险,设备老化严重,风扇异响,CPU 运行过高,网关配置不合理(我院内网网关全在 ne20 路由器上)随时都有故障的风险,一旦故障整个中院包括三县一区内网全部中断。

 汇聚层交换机为一台华为 S5300 弱三层交换机,存在单点故障风险,一旦其故障我院内网直接断网,早期的华为 S5300 吞吐量小、背板带宽小处理数据能力有限,随着我院大力推进办公自动化(华为桌面云部署),后期网络延迟会越来越高,直接影响高效办公。

 现网无数据备份,一旦出现网络故障或黑客攻击短时间内无法恢复业务,损失惨重。

 现网无网管软件,缺少统一的网管平台,设备信息收集及维护困难,无法提前预知故障。

 所有内网业务网段均为同一网段,均为 139.68.0.1/20 .无法直观的了解到各个 ip 地址所属什么业务,无法针对业务网段之间进行策略的限制。

 针对网关在 NE20 ,下连数据透明传输,在网络环境中非网关设备存在多条路由条目且大部分路由条目的下一跳均为不可达状态。

 原有网络中由于业务比较多,视频流量比较大,导致整体网络流量过大,网络不稳定。容易造成视频监控的卡顿和掉线情况出现,也容易造成网络延迟较大,影响网络整体体验感。

 我院于 2016 年根据(法信办【2016】22 号)文件要求,进行了全市法院信息安全等级保护建设。根据等保安全要求,我院执行查控系统被定级为三级,并于 2017 年通过信息安全等级保护安全测评,整体网络已部署了防火墙、入侵防御、漏洞扫描等安全防护设备;但根据三级等保要求,在终端安全防护、入侵防范、边界隔离与访问控制、集中管控等仍存在一定的风险隐患。

 (二)改造升级方案

 通过将业务网和管理网分离,出口路由器、核心交换机消除单点故障,移除汇聚层添加核心层,增大核心层设备吞吐量背板带宽,添加网管软件,设备备份、备品备件,网络、IP 整改,提升内网可靠性和可用性。

 根据安徽省对执行查控系统系统安全防护要求和我院执行查控系统系统实际承载业务的重要性,按照等级保护三级的要求进行安全防护设计,完善整体网络安全防护体系。

  整体拓扑如下:

  此次设计标准三层网络结构,将重要网络节点上设计设备及链路双冗余,增强网络和链路可靠性。在重要节点及大流量节点上采取 CSS 策略,将两台设备虚拟化集群为一台设备,增强设备性能、网络拓扑的整体可靠性。网络分离分区管理,区分网络中的网络业务的优先。

 1. 业务分离

  内网将管理、业务网络和视频监控网络分离出来,避免内网业务带宽被占用。

  在视频监控和各业务网络分离中,此次采取物理主机的业务分离。新增两台汇聚交换承载视频监控业务,将大流量视频监控完全脱离其余业务设备,增加网络的灵活性和可靠性。

 2. 消除单点故障

 新增一台高端核心路由器,与现网中的华为 NE20 做冷备,消除单点故障,当故障发生时,手动更改设备实现所有业务无缝衔接。

 路由器是作为局域网的网关来使用的。一旦路由器故障,内部局域网就无法和其他网络通信了。为了提高网络的可靠性,需要提高网关的可靠性,只使用一台路由器显然是不行的。

  具体的思路是:新增一台核心路由器,与现网中的华为 NE20 对接,实现冷备;整体网络中新增核心路由器工作,现网中原有的路由器在监控着工作的路由器,一旦工作的路由器故障,设备所有业务无缝衔接,原有的路由器来接替它的工作。

 3. 完善拓扑结构

 将汇聚层改为核心层,核心层新增 2 台核心交换机,交换机通过堆叠技术完成虚拟化部署,消除单点故障。

 大型网络一般采用三层结构,三层结构模型划分为三个层次,即核心层、汇聚层、接入层。每个层次完成不同的功能。核心层进行不同区域间的连接,提供网络不同区块间的访问,提供高速的路由交换服务。汇聚层将接入层设备接入网络,定义广播域,进行 VLAN 间路由,提供安全措施。接入层提供第二层服务,为部门、楼层接入设备,使用交换带宽,使用低成本、高端口密度的设备。

 4. 安全升级

 采取光闸系统对内外网之间进行安全隔离,同时,保证内外网数据的高效交换需求,采用专用网络协议或加密协议进行数据传输。

 采用运维可视化系统实现对网络设备、安全设备、服务器、数据库、中间件等设备的监控,提供设备故障信息,故障包括网络响应时长、硬件故障、设备存储或内存、应用响应等故障信息。

 采用态势感知系统实现对新型网络攻击行为的检测、发现,并结合专家服务进行分析处置。

 对我院已应用安全设备进行授权和维保。

 5. 网管 服务

 增加备品备件,设备备份归档定期执行(可通过网管软件执行)。

 实施故障预警,实现 系统风险 前移。

 对信息环境及各项业务系统尤其是重要业务系统的运行情况进行监控,根据实践建立灵活的事件管理机制,建立集中的告警分析处理和故障预警机制,使监控系统成为强有力的助手,能够在故障产生时进行快速定位,尽可能的做到事前防范。

 动态掌握网络资源,提高利用效率。

 需要运维管理系统建设,实时了解掌握网络资源的使用情况,根据需要从整体角度考虑资源的配置、调剂和使用,提高资源的有效利用率。

 网络管理系统进行统一规划建设,具有功能的全面性和 可扩展性。

  随着业务的发展,网络结构和规模不断扩增,各种系统和应用服务也将陆续增加。因此,运维管理系统必须具有强大的功能和可扩展性,满足未来发展需求,具有对网络、系统和应用服务三个层次上的功能。

 网络管理服务规范化,提高工作效率,实现人员统一调度

  采用网络服务管理规范的工作流方式管理服务申请受理、处理、转送、跟踪、回复等环节,形成闭环处理流程;实现投诉工单处理超时服务自动升级和通告,

 使企业基于服务水平协议管理其网络基础设施;实现了服务申请单点受理、统一调度网络服务人员。

 建全工作监控机制,扭转被动局面。

  建全工作监控机制,使各级管理者可以随时了解所辖区域/部门的工作状态,以便及时发现并解决问题,扭转工作的被动局面。

 6. 地址优化

 桌面云及内网业务地址段细化。

 我院整个内网共用一个网段,在现实需求下网络网段无法再细化分小段,这样就容易引起全院的网络风暴和网络的震荡,极易造成网络不稳定,在这种无法划分小网段的情况下,建议使用 VLAN 的方法,减小广播域。

 VLAN 的好处主要有三个:

 端口的分隔

 即便在同一个交换机上,处于不同 VLAN 的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。

  网络的安全 不同 VLAN 不能直接通信,杜绝了广播信息的不安全性。

 灵活的管理 更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。

 7. 设备安全

 出口路由器路由条目优化汇总,设备安全加固。

 (1)可以减少对外发布的路由条目,节省带宽,并对外隐藏网络细节,同时减少网络骨干路由器的负担。

 (2)减少路由更新的数量和大小,节省带宽资源。

 (3)减少路由表体积,提高查表速度。

 (4)隐藏详细的网络规划,安全。

 (三)桌面云终端扩容

 我院前期建设桌面云项目,使用效果良好,随着业务及终端的扩增,需加强网络终端的备品备件的安全使用性,现在此项目中对前期桌面云项目中桌面云终端设备进行扩容,实现设备之间的平滑接入。

 (四)运维巡检服务

 首先,系统运维方案是对中断或严重影响业务的故障,如宕机、数据丢失、业务中断等,进行快速响应和处理,在最短时间内恢复业务系统,将损失降到最低。在系统维护过程中,突发事件的出现将是很难完全避免的,针对这种情况,我院设计了完善的突发事件应急策略。

 其次,系统巡检人员要定期规范检查各硬件设备的运转情况和应用软件运行情况(一年四次巡检),同时做好日常的数据增量备份和定期全备份。对发现的问题在报各级负责人的同时,要协调相关资源分析问题根源,确定解决方案和临时解决措施,避免造成更大的影响。问题得到稳定或彻底解决后,形成问题汇报,避免以后类似重大紧急情况的发生。

 由专业的技术支持工程师,建立常用知识库,其中包括多种常见技术故障和突发事件的应急策略。当获悉出现突发事件时,技术支持人员可以立即从知识库中获取相应的应急策略,并综合具体情况,给出相关解决方案,然后在第一时间解决问题,尽最大努力减小突发事件对日常应用的影响。

 项目建设及运维期间,该项目整体功能可实现与后期升级项目免费对接,免费实现与该项目前期平台对接,免费实现与市内其他相关业务平台对接。

 该项目运维到期后,后续每年运维费用不高于项目中标价格的 15%。

 (五)项目验收及绩效评估

 项目建设完成后,我院将从市信息化专家库随机抽取不少于 5 名专家进行验收,并将验收报告通过信息化项目管理平台提交到市数据资源局备案。

 项目建设完成 1 年后,我院会组织专家对项目的运行效率、使用效果、经济效益和社会效益等情况进行绩效评估,并将评估报告提交到市数据资源局备案。

 (六)运维和付款方式

 我院网络改造升级项目验收合格后,支付合同价款的 95%,一年后支付 3%,余款 2%两年后支付;产品质保期 3 年。产品质保出具厂家对本项目的质保函。产品质保期间免费运维。工期 30 天。

 三、改造升级服务清单

  序号

 设备名称

 配置要求

 数量

 单位

 1

 出口核心路由器 路由器基本配置(含路由器机箱/双主控转发单板/双交流电源,不含软件费用和资料);10 端口 10GE/GE LAN/WAN-SFP+ MACsec 物理接口卡(PIC);10 端口100/1000Base-X-SFP MACsec 物理接口卡(PIC);路由器基础软件许可证( 三年);整机三年质保,具有服务承诺函;为确保与省高院业务平滑对接和统一管理,须与中院对接设备无缝对接。

 1 台 2 核心交换机 总装机箱 1 套;2 块主控处理单元;2 块集群业务子卡;1 块 48 端口十兆/百兆/千兆以太网电接口板;1 块 16端口万兆以太网光接口和 16 端口千兆以太网光接口板(X2S,SFP+);2 块 800W 交流电源模块;1 套基本软件;2 根 QSFP+-40G-高速电缆-3m-(QSFP+38 公)-(CC8P0.32黑(S))-(QSFP+38 公)-室内用;整机三年质保,须具有三年服务承诺函;与出口核心路由器为同一品牌。

 2 台 3 ▲汇聚交换机

 24 个 10/100/1000BASE-T 以太网端口,4 个千兆 SFP,交流供电;SFP+-10G-高速电缆-3m-(SFP+20公)-(CC2P0.254 黑(S))-(SFP+20 公)-室内用;整机三年质保,须具有三年服务承诺函 2 台 4 数据备份系统 2U 机架式,配备 64 位 Intel 八核专用处理器、32GB 高速缓存、千兆网口≥2;支持硬件 RAID0、1、10、5 等,并支持全局热备盘;本次配置≥6 块 8TB 企业级 SATA硬盘,支持 2 集群节点扩展;要求设备系统和软件安装在 2 块(RAID 1)≥240GB 企业级 SSD 磁盘上,不允许占用前面板的槽位。整机三年质保,具有三年服务承诺1 台

 函 5 外网出口路由器 固定端口:

 4×GE +1×GE 光,8×GE(支持切换为 WAN口),转发性能:

 2Mpps,带机量:

 300 台 PC,内存容量:

 512 MB,Flash:

 512 MB,槽位:

 2×SIC,支持管理的 AP 数:

 12。整机三年质保,有三年服务承诺函 2 台 6 千兆单模光模块 光模块-eSFP-GE-单模模块(1310nm,10km,LC) 16 台 7 千兆多模光模块 光模块-eSFP-GE-多模模块(850nm,0.55km,LC) 14 台 8 千兆电模块 光模块 SFP-GE-电接口模块(...

篇八:网络改造方案范本

产品维护资料 宽带城域网改造方案(模板)

  i

 由于产品版本升级或其它原因, 本手册内容会不定期进行更新。

 除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

 技术支持 技术支援网址:http://support.huawei.com 客户服务电话:8008302118

  0755-28560000 地址:深圳市龙岗区坂田华为总部办公楼 客户服务邮箱:support@huawei.com 传真:0755-28560111 邮编:518129

 华为产品维护资料 宽带城域网改造方案(模板)

  ii 目

 录 声明 ............................................................................................................... 技术支持 ........................................................................................................................................ i 宽带城域网改造方案(模板)....................................................................................................... 1 1 烟台宽带城域网评估结果回顾 .............................................................................................. 1 1.1 烟台宽带城域网状况调研 ........................................................................................... 1 1.2 烟台宽带城域网评估问题回顾 .................................................................................... 2 1.3 烟台宽带城域网业务发展规划 .................................................................................... 5 2 烟台宽带城域网优化方案 ..................................................................................................... 6 2.1 烟台目标网络结构模型 .............................................................................................. 6 2.2 烟台网络优化概述 ..................................................................................................... 8 2.3 烟台 IP 城域网优化设计............................................................................................. 9 3 针对当前宽带城域网业务的优化解决方案 ............................................................................ 9 3.1 【网络结构优化】

 ................................................................................................... 10 3.2 【出口优化】

 .......................................................................................................... 10 3.3 【VPN 业务提供能力优化】

 .................................................................................... 11 3.4 【VLAN 优化】

 ....................................................................................................... 11 3.5 【IPTV 业务提供能力优化】.................................................................................... 12 3.6 【NGN 业务提供能力优化】.................................................................................... 12 3.7 【网络性能优化】

 ................................................................................................... 13 3.8 【网络资源利用率优化】

 ......................................................................................... 13 3.9 【QOS 部署优化】

 ................................................................................................. 13 3.10 【运维能力优化】

 ................................................................................................. 14 3.11 【安全能力优化】

 ................................................................................................. 15 i

 华为产品维护资料 宽带城域网改造方案(模板)

 2006-7-26 1

 1

 烟台宽带城域网评估结果回顾 1.1

 烟台宽带城域网状况调研 烟台城域网于 2000 年左右开始建设,核心层路由器是 CISCO GSR;汇聚层 BRAS 是 Nortel Shasta5000;汇聚层交换机是 Extreme BD6808;接入层交换机是 Extreme Summit 48/24;接入层 DSLAM 是华为、朗讯、UT、西门子等多家厂商设备。业务以普通上网业务为主;专线业务以网吧用户为主;VPN 业务分为两种,包括 L2 VLAN VPN 和 VPRN,但业务规模较小;网站服务(WWW、VOD、游戏)大部分为免费业务,流量不大;暂时没有组播业务和其它宽带增值业务。

 华为产品维护资料 宽带城域网改造方案(模板)

 1.2

 烟台宽带城域网评估问题回顾 2006-7-26 2 从十月八日开始, 烟台技术专家和华为公司城域网评估小组与一起对烟台宽带城域网从网络基础、网络性能、业务能力、安全能力、运维能力五个方面进行了全面的评估。随着宽带业务迅速发展、用户数量激增。通过本次评估,现有网络存在的一些隐患渐渐显露出来。

 目前烟台宽带城域网网络存在的主要问题包括:

 BRAS 旁挂导致 VLAN 资源不足,无法做到 PUPV(1 用户 1 VLAN),无法做到对用户的准确识别和控制。

 无法对用户进行精确识别和区分也是导致现网非法宽带接入严重的主要原因。

 接入网的二层网络较大,导致网络安全性能较低。拨号用户的三层上行流量全部依赖于 BRAS 上行三层链路,易造成网络流量的瓶颈。而且,大量的用户分配在一个 VLAN 中,用户安全隔离不够;一旦 BRAS 发生故障,会导致网络大面积的瘫痪。

  由于现网的 VPN 业务需求,整个网络单独设立一台 BD6808 提供 L2

 VLAN

 VPN 业务。这样的业务设置, 导致网络层次不清晰, 流量可控制性较差, 不易于故障定位和管理。

 这种 VLAN

 VPN,在网络上形成了另一个二层 VPN 的平面,VLAN 在网上大量透传,业务可靠性差,设备易受攻击,无法大规模开展 VPN 业务。

 华为产品维护资料 宽带城域网改造方案(模板)

 汇聚层结构不清晰,存在 L3(两台 GSR)和 L2(BD6808)两类核心节点。核心节点之间还2006-7-26 3 有三层链路连接, 各个汇聚节点分别和两类核心节点相连接。

 一旦发生路由全局收敛和链路切换,流量出现迂回,很可能导致路由环路。

 汇聚节点之间存在级连现象。如龙口局,缺少和 GSR 的直连链路出口,需要通过其他汇聚点作为迂回出口。这类汇聚节点的可靠性和独立性差,不利于网络规划和管理。

  烟台市辖 5 区 8 县中有 6 县存在设备单点故障,如龙口市、栖霞市、海阳市、招远市、牟平市、长岛县等地只有一台 BD6808 作为汇聚设备,存在单点故障。部分汇聚点只有一条到 GSR 的直连出口链路。如海阳市、长岛县 BD 都只有一条上行到胜利路 GSR 的链路。

 华为产品维护资料 宽带城域网改造方案(模板)

 2006-7-26 4

 VPN 业务因 BRAS 设备仅支持 VPRN 而导致不具备大规模的运营能力;全网不支持 MPLS,无法提供 MPLS VPN 业务;大客户、商业用户专线没有 QOS 保障,无法实现服务质量的差异保证;接入层设备性能参差不齐,二层网规模庞大,不利于新业务向接入网延伸;网内的本地 IDC 业务缺乏关键应用,无法吸引用户;网络高峰期骨干链路带宽占用率较高,上网业务指标较差,网络延时、抖动大;目前网络容量只支持 15-18 万用户,不满足后期业务发展需要;运维管理还停留在手动阶段,缺乏必要的网管系统、监控系统。

 华为产品维护资料 宽带城域网改造方案(模板)

 2006-7-26 5

  以 IPTV、NGN、3G 为代表的新兴业务将会给整个通信行业的格局带来颠覆性的变化,彻底改变用户的业务习惯。

 目前烟台现网由于缺乏良好区分及 QOS 保证, 对于这些高实时性、 低时延、抖动、丢包类业务普遍承载情况不良。需要通过端到端部署 QOS,为不同的业务划分不同的优先级。

 1.3

 烟台宽带城域网业务发展规划 结合市场发展情况,网络的建设可适度超前,能够满足一定量的突发性业务。目前烟台业务发展迅猛,现有的宽带城域网已经不足以支撑业务发展,部分指标成为制约业务发展的瓶颈。

 烟台宽带城域网优化在技术选择上综合考虑先进性、 成熟性及良好的性价比, 以网络的可扩展性和可管理性为基础,统一规划,分步实施,秉承电信级网络的一贯要求,保证网络高效、可靠、安全,确保业务的快速开展以及用户的计费、管理。

 烟台宽带城域网扩容建设应遵循以下基本原则:

 数据业务网为运营级服务网络,因此必须首先考虑主要传输体制的可靠性、所提供服务的可用性、网络设备的高性能以及对关键用户、关键任务的有效保障机制等,并可与各

 华为产品维护资料 宽带城域网改造方案(模板)

 种宽带传输交换平台充分互联, 能够承载和交换各种信息并将其接入公众用户, 以相应的可接受2006-7-26 6 的价格向用户提供不同接入服务的方法。

 数据业务网必须充分考虑到目前的业务需求和今后较长时间内业务发展的需要。系统不仅能满足现在的需要, 还应具有平滑过渡升级的能力, 在采用新技术的同时还可以保护用户投资,保证原有设备的可用性。

 :网络系统应能支持多协议、多厂商,具有开放的平台性能,支持各种通讯协议,各种数据库和客户机服务应用,并能方便地与其它机构、企业的主机和网络互连通讯。

 2

 烟台宽带城域网优化方案 2.1

 烟台目标网络结构模型

 整个烟台宽带城域网改造后共分两层,分为城域骨干层与宽带接入层。用宽带接入服务器(BRAS)、业务路由器(SR)构建清晰的 IP 城域网边缘-业务接入控制层(简称接入层),实现集中的业务提供和控制;同时规范设备的网管接口要求,加强集中网管系统的建设,提高网络的可管理性,实现运营商级网络管理。整个网络架构充分体现网络层次清晰化、网络结构扁平化、网络质量差异化、管理控制集中化

 华为产品维护资料 宽带城域网改造方案(模板)

 2006-7-26 7

 华为产品维护资料 宽带城域网改造方案(模板)

 2.2

 烟台网络优化概述 2006-7-26 8 GSRGSR2*GEM1602.5G*POS2.5G*POS2.5G*POSPSTNVLAN VPN/VPRNIP- DSLAMADSL用户商业、VIP用户窄带用户ATMATM- DSLAMLAN用户ADSL用户大客户、网吧用户POPPOPBD6808BD6808BD6808NE40ENE40E5200GNE40EBD68085200GNE80ENE80E 本次IP网络优化目标,是建立一个层次明确、高质量、高安全性、扩展性强、支持多样业务的城域网络。

 烟台宽带城域网以烟台市为核心,各县局节点作为烟台宽带城域网节点的方式接入。

 城域网核心包括2个核心节点,大海阳、胜利路局点,其中大海阳和胜利路GSR12816分别以3*GE链路上行到城域网出口路由器M160上。3个骨干节点形成环形拓扑结构 城域网核心层在黄城、 大海阳两地新增两台NE80E设备, 作为城域网的POP大汇聚点。

 黄城POP下挂原黄城、招远、龙口的汇聚节点;大海阳POP下挂原蓬莱、长岛、海阳、莱阳的汇聚节点;同时POP分别以2*GE的链路双上行到核心GSR;这样解决了原有的汇聚点串联备份的问题。另外,原有所有的15个汇聚节点的BRAS位置调整,接入核心节点GSR和POP,下挂原有BD交换机,并在大海阳、莱州、解放路、开发区、招远、龙口、黄城等节点分别扩容BRAS MA5200G。同时,在用户量集中的汇聚节点 (如大海阳、 解放路、 开发区等)

 新增SR NE40E, BD L3链路接入NE40E或者5200G,分流大客户业务,保障大客户QoS。通过基础架构优化,配合域内路由优化调整,来提升网络业务性能和管理能力。

 华为产品维护资料 宽带城域网改造方案(模板)

 BRAS和 SR 组成汇聚层作为业务控制点。

 其中, BRAS 作为公众用户的业务网关, 终结 ADSL/LAN 2006-7-26 9 PPPoE 用户;SR 作为商业用户的业务网关,接入网吧、大客户固定 IP 专线。它们同时均可作为MPLS VPN 业务的 PE,提供 VPN 业务的边缘接入。业务控制层对 IPTV、NGN、VPN、QoS 等业务部署进行业务流识别和用户区分,实现业务和用户的区分服务质量,提供差异化服务。

 新增POP的功能是把几个汇聚能力不够的节点连接起来,为整个汇聚层网络提供高速的数据转发功能;在流量调整上,避免几个原有汇聚节点串联备份的问题,明晰网络层次,规范流量管理;另外,POP提供转发的带宽吞吐能力和稳健性;与汇聚层配合形成可运营、可管理的IP网络,提供在整个IP网络内多媒体综合业务的业务分类和质量保证。

 POP节点设备采用以IP技术为核心的大容量路由器。要求其具有强路由功能;能够提供千兆比特以上速率的IP接口,如POS、GE。为提供在整个IP网络内多媒体综合业务的业务分类和质量保证,核心节点应同时支持DiffServ业务分类。

 2.3

 烟台 IP 城域网优化设计 3

 针对当前宽带城域网业务的优化解决方案

 华为产品维护资料 宽带城域网改造方案(模板)

 3.1

 【网络结构优化】

  核心层由三个核心节点(大海阳 GSR12816、胜利路 GSR12816、大海阳 BD6808)更改为两个(大海阳 GSR12816、胜利路 GSR12816)。解决由于大海阳 BD6808 所带来的核心层二三层混跑,网络层次不清晰的问题。

 2006-7-26 10

  通过在黄城和大海阳两地添加两台 NE80E 作为汇聚路由器, 解决部分汇聚节点如黄城、 蓬莱、莱阳等节点由于缺乏资源而导致无法双链路进行路由备份到核心 GSR 设备上。

 而只能借助核心 BD...

篇九:网络改造方案范本

网络升级改造设计方案

 WLAN 在校园的应用概述 校园网已经成为校园生活的重要组成部分,成为教师和学生获取资源和信息的主要途径之一,它把学校中的学生、院系和社交、学术、业务活动的行政人员紧密地联系在一起,在高校教育中的作用与地位日益显著。

 经过这些年有线网络建设、运行、维护,从实践结果来看,由于目前网络是“有线”的,所以在有些应用领域会出现困难。例如,很多高校只是在部分区域接通了网络,而不能顾及所有区域,布置了网线的教室、图书馆数量有限;有些高校经费比较紧,很难投入较大的财力来铺设光缆;有些高校的建筑物具有一定的历史意义,不适合钻孔布线;有些高校由多个校区组成,校区之间联网成本较高,等等。

 随着信息技术的飞速发展,教师和学生对高校校园网的依赖性相当之高,“随时随地获取信息”已成为广大师生们的新需求。但是,传统的有线校园网存在着诸多“网络盲点”,比如在图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网?在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题? 从应用需求方面考虑,无线网络很适合学校的一些不易于网络布线的场所应用。现在如何使校园的每个角落都处在网络中,形成真正意义上的校园网?想象一下,当学生们放完暑假返回校园,惊奇地发现自己的笔记本电脑在学校任何地方都可以上网时的那份欣喜若狂……现在这已经是一些学校的现实。

  1. 校园网 N WLAN 应用需求

 高性能的 6 IPv6 和 和 4 IPv4 无线接入

 中国下一代互联网项目(CNGI)正在顺利展开,基于纯 IPv6 的骨干网在CERNET 已经建设完成并可以提供接入服务。现在建设高校无线网络,除了要考虑对现有 IPv4 网络终端的无线接入,满足当前高校师生对无线网络的需求外;又要支持高性能的 IPv6 的用户接入,以适应网络发展趋势,并保护网络投资。

  基于个人用 户 的 运营管理

 无线网络系统需要支持运营管理功能,能够根据单个用户实现用户管理,包括:认证、计费、安全控制、QoS 控制等。

  支持数据、语音等多种业务,有其它智能业务扩展能力

 校园无线网络在支持数据转发的同时,应该是真正为语音业务优化的无线设计,包括一体化的 IP 解决方案,通过新技术延长客户端待机时间,实现室外语音不中断的安全漫游。为学校提供部话音的无缝覆盖,以提高学校办公效率和教学质量。

 为保证无线话音的质量,要求无线网络具有良好的 QoS 控制机制,包括无线话音呼叫控制等手段。

 无线网络还应该支持其他智能业务的扩展,如支持精准的无线物理定位、无线视频等

  满足校园特点的安全和可靠性

 XXXX 无线网的目标是建设一个收费的、可运营网络,这样的定位对可靠性、安全、加密和非授权用户的控制提出了更明确的要求:

  支持精确的无线入侵、射频干扰、非法 AP 定位和隔离  冗余的中央服务控制保证校园复杂接入环境的安全无线接入  独特的访客隔离机制,保证跨校园漫游用户与校园网用户的隔离  同时支持端到端的网络可靠性保证技术。

  满足生产、运营网络要求的运维和管理

 校园无线网络规模大、环境复杂,因此无线网络系统应该支持高效的运营网络级的管理功能,方便未来无线网络的运维管理 室、室外、Mesh 系统一体化控制:所有 AP 均工作在同一 Controller 群组(cluster)管理下,可在全网围实现无缝漫游、设备定位、自动射频管理和安全控制 可分级的一体化网络管理系统:有线、无线网络管理相结合,集中与分布式管理相结合,为运营维护提供高效率和低成本。

  支持用户全网漫游

 校园无线网络应支持用户全网快速、安全、无缝漫游,保证用户在园区移动过程中可以保证 IP 地址不变、网络连接不间断、应用会话不间断,从而保证用户网络应用在移动中的不间断性。

  灵活部 署、易于扩展、高 性价比

 为方便校园网络的部署和未来维护的方便性,校园无线网络应具有灵活部署、易于扩展的特性,支持无线接入点的即插即用功能。当然,校园无线网络要具有良好的性价比。

 2. 校园网 N WLAN 设计 思想

 3.1 校园网 WLAN 设计原则

 实用性:遵循面向应用,注重实效,急用先上,逐步完善的原则;充分保护已有投资,不设计成华而不实的无线网络,也不设计成利用率低下的网络,我们以实用性的原则要求为依据,建设具有最低的 TCO(拥有的总成本最低),有最高的性价比的校园无线局域网络。

 先进性:采用先进成熟的网络概念、技术、方法与设备,反映当今先进水平,又给未来的发展留有余地;充分采用目前国际、国流行和成熟的技术,保证网络能适应技术的快速发展。

 可靠性:系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。

 开放性:选择的产品应具有好的互操作性和可移植性,并符合相关的国际标准和工业标准;无论发生任何变化,均能够最大可能性的开放标准。

 可扩充性:系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比; 可维护性:系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性; 安全性:必须具有高度的机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和信息的泄露。

 3.2 思科校园网 WLAN 设计思想

 按照现有无线网络发展趋势,建议校园网 WLAN 采用集中管理架构下的“瘦AP”无线网络架构,以保证无线网络可管理性、安全性、QoS、无缝漫游等功能需求,尤其是方便未来的运维管理。

 根据实际情况,采用室、室外多种无线接入方式相结合的方式,以满足学校楼宇多、广场多的特点。如在必要的时候采用室外 Mesh WLAN 技术通过无线回传技术解决有线网络传输距离的合布线难度的问题。同时由于采用室、外多种无线接入手段在满足无线覆盖的前提下,可以节省无线接入点的数量,从而提高无线网络的性价比。

 校园无线网络在满足现有网络应用的同时,保证对未来网络技术和应用的支持,如 IPv6、无线话音、无线视频、组播等技术的支持,以满足高校教学和科研的要求。

 为满足高校网络的安全性,建议校园无线网络采用独立的有线网络系统实现无线接入点的互联,同时本次无线网络在满足用户接入安全认证、加密的同时,支持无线射频的安全防护功能。

 3.3 思科 WLAN 解决方案体系结构

  3 3. .3 3. . 1 无线网络的 挑战

 透视就是一切――地图就是一个典型的例子。在高空摄影技术面世之前,地图并不精确;人们按照估计的比例,将地理标志绘制到地图上。高空摄影技术为地图绘制人员带来了之前未有的东西――透视。透视改变了我们旅行的方式,我们观察距离的方式,甚至我们的文明发展的方式。

 过去,无线局域网都缺乏透视能力――因为每个接入点都是一个单独的节点,按照一个静态 RF 计划(通常为预测的 RF)中的信道和功率设置进行独立配置。尽管这些自主的接入点可以收到附近的某个工作在相同信道的接入点的信号,但是自主接入点无法得知相邻的接入点与其是否属于同一个网络或者是相邻网络。而且,因为自主接入点是“节点式”的,所以很难扩展到大型、连续、协调的无线局域网和添加高级应用。

 表 1 列出了对于自主接入点部署方式的无线需求和解决方案。在某些情况下,采用自主接入点的 WLAN 的部署会对 WLAN 带来很多限制。

 表 表 1 1 对于自主接入点部署方式的无线需求和解决方案 需要

 说明

 自主方式的解决 方案

 第二层快速安全漫游

 客户端在子网部的无缝漫游――跨越不同的接入点和虚拟 LAN(VLAN)

 为支持漫游添加一个无线域服务(WDS)设备(接入点或者交换机模块)

 第三层快速安全漫游

 客户端在子网之间的无缝漫游――跨越不同的接入点和 VLAN 自主接入点本身不支持。需要为支持漫游采用一个集中式解决方案 升级成本

 部署额外管理功能和为接入点安装新镜像所需的时间 部署一个集中的管理基站或者使用管理脚本 入侵检测系统( IDS )

 能够检测伪装接入点、攻击和未经授权的访问 使用一个基于 WDS 的IDS,或者添加一个覆盖式WLAN 解决方案 定位服务

 直观显示接收信号强度指示(RSSI)信息变化和Wi-Fi 设备的位置 使用一个现场调查解决方案或者一个覆盖式 WLAN 动态 RF

 迅速地、动态地适应 RF环境 使用系统级应用设备,或者一个简单网络管理协议(SNMP);RF 信息可供手动检查或者措施使用 负载均衡

 自动在相邻接入点之间 每个接入点通报服务情

 需要

 说明

 自主方式的解决 方案

 均衡客户端负荷 况,但是负载不是自动地在接入点之间分布 访客联网

 能够为客户、供应商和合作伙伴提供对 WLAN 的受控访问权限,同时保持网络的安全性 为每个接入点部署专门的中继 VLAN,并在整个企业中加以宣传 N WLAN 语音

 利用现有的无线基础设施提供经济有效的、实时的语音服务 部署基于接入点的呼叫准入控制(CAC);控制建立在每个接入点的基础上,不能协调多个接入点 管理

 经济有效的、简化的WLAN 管理和部署 为配置 WLAN 管理和单独配置每个接入点部署脚本或者 SNMP 解决方案

 3.3.2 思科集中化无线网络 解决方案

 使用自主接入点的第一代无线局域网是一种方便的网络。从 WLAN 首次面世以来,技术需求发生了很多变化。现在,基本的网络连接已经不足以满足需要。企业需要在他们的办公楼中提供无所不在的无线网络连接。他们的 WLAN 必须支持多种移动服务,例如语音、访客接入、定位和增强的无线入侵防御系统(WIPS),同时还应当提供简化的部署、管理和可扩展性。企业需要突破了表 1 中所列多种限制的WLAN。

 为了部署这些功能和消除这些限制,需要一个统一的 WLAN――一个集中式的,基于连接到无线局域网控制器的轻型接入点的网络。因此,机构需要思科统一无线网络。

 可扩展性:

 WLAN 必须具备的特性

 人们对基于无线网络的可扩展性、高级服务的需求并不是刚刚出现的。事实上,蜂窝网络供应商已经在扩展无线网络方面克服了很多挑战。最初,蜂窝无线网络是由多个提供基本连接的蜂窝信号发射塔结合而成的。当时有很多管理塔间呼叫的协议,但是这些协议并不可靠――很多呼叫都会被丢弃。

 蜂窝网络运营商需要一个让用户可以在漫游期间保持呼叫的解决方案,以及一个部署高级服务的平台。因此,他们采用了一种名为基站控制器的新型网络组件。

 对于蜂窝网络而言,基站控制器可以协调一组无线电发射塔。当蜂窝网络用户在不同发射塔的覆盖围之间移动时,基站控制器会对漫游切换进行协调。这可以提高蜂窝网络的稳定性,减少被丢弃的呼叫。

 蜂窝基站控制器的概念也可应用到 802.11 WLAN 中。运营商不是管理多个独立的接入点,而是可以通过一个名为无线局域网控制器的集中式设备管理轻型接入点。

 WLAN 集中化

  参照蜂窝网络的发展道路,思科系统公司 率先提出了 WLAN 集中化的概念,并且为高级无线局域网服务提供了业界第一个统一平台。统一后的架构,我们称之为思科统一无线网络的关键,是将数据从轻型接入点经由网络发送到无线局域网控制器。

 思科提供了很多支持无线局域网集中化的无线局域网控制器,其中包括可以完全集成到网络之中的企业级独立无线局域网控制器(例如 Cisco 4400 系列无线局域网控制器和 Cisco 2000 系列无线局域网控制器),以及可以与有线网络结合的无线局域网控制器,例如 Cisco Catalyst 6500 系列无线服务模块(WiSM)和用于集成多业务路由器的思科无线局域网控制器模块(WLCM)。

 开发一种新的无线局域网集中化协议

 为了在轻型接入点和无线局域网控制器之间传输数据和实现通信,需要一种新的协议。该协议需要满足下列要求:

  便于部署――该协议必须能够跨越子网边界,而不是仅仅将多个 VLAN 连接到集中控制器。

  部署安全――将一个接入点加入网络并不意味着它应当具有完全的网络访问权限。该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。

  对接 入点 的实时控制――在部署、认证接入点和将其连接到控制器之后,该协议需要提供对接入点的实时控制,以便管理和部署移动服务。

  协议扩展能力――该协议需要支持多种平台--从大型以太网交换机中基于机箱的模块,到可堆叠交换机、路由器和其他任何网络组件。

  传输扩展能力――尽管网络通常运行在以太网的基础上,但是该协议必须能够支持低速的 WAN 连接,甚至无线网络(对于无线网状网络等应用)。

 这就是即满足这些对于开发新型通信协议的要求,又符合实际需要的――支持第二层和第三层数据包信息的轻型接入点协议(LWAPP)。

 3.3.3 3 集中化协议 P LWAPP 简介

 LWAPP 是什么?

 LWAPP 是一项由思科系统公司拟定的互联网工程任务小组(IETF)标准草案,实现了轻型接入点和 WLAN 系统(例如控制器、交换机和路由器)之间的通信协议的标准化。它的目标包括:

  减轻接入点中的处理量,让它们将计算资源集中用于无线接入,而不是过滤和策略实施

  为整个 WLAN 系统进行集中的流量处理、验证、加密和策略实施  利用一个第二层基础设施或者 IP 路由网络,为多供应商接入点互操作性提供一个通用封装和传输机制

 LWAPP 标准可以通过定义下列规实现这些目标:

  接入点设备发现、信息交换和配置  接入点认证和软件控制  数据包封装、分段和格式化  接入点和无线控制器之间的通信控制和管理

 LWAPP 的工作原理

 LWAPP 将轻型接入点的介质访问控制(MAC)功能交由...

推荐访问:范本 改造 方案 网络

免责声明: 文章来源于互联网,其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。如有文章无意中侵犯您的权益,请联系我们予以更正。
相关文章