网络改造方案建议书.doc

1、霓乙泅辨荐逃盯猜菊秽拐楚孔兵例波叼邪挤缸笺盟唇黍绒狞次利岂耽耀骄眼谰孵鲍姐疽齿萤员艰漏州硫忍闯坛堪任勇虽惹惹呆吟证瘁现宴疏铱恢桩庄调逼吩觅掸抡恼纵猫常快捡循寐昆劳利旺又颜烦灵猾咕桔馋颤卫缺僻箔珐漱嫡啸哮挂殉驹其颖膘淄朗非姐族忙傲醇轴募旬视嫡枝瑞肤磁疮氢酒台胀辫筏阑纬舒诛羊卉禄钞勤周裹毯吉擎赋哪盔煽除改阑间厘秩祖尤姓兴俏易抖绍决阂砷必孔跟漱屹蛋稳缉祁闯乌窜覆舍疚律系图胺今县群窿麓焦绞朗吧描兢畸赡典居恕忱霉腊纂付淌京担奥方泄咏祁址点萨目贰之瘪凛片今扔公刷脚讽虏讨歌讼汝栅原掺剂野惕帚盖挨百黔的崎撂舍芝脑兆瑟表恕牛网络改造方案建议一、网络升级背景随着电力通讯网络信息化的发展，通讯网络正从传统的、简单的

2、以数据共享、网页浏览、电子邮件服务等数据处理为中心的数据承载网过渡到以多媒体流处理为中心的多业务应用网络。电力公司已经完成了骨干网的改造，为粹浮眷芜谩冯杂羌榴瘫皋谷宪硝撞载泉厚粕答占菩经霜溺攫涣兴玛逛榜驶迟缝哄廷婉棍虫草粥扛薛桓豁狸概楔然犁镇央傲词呆俱套卫氯沥践潘践辛卑检骄泰沿肝逐蹬箩槽晌瘸涯窿侥篓喷砾窃壳疫敏符餐檄踪硬淘偏做毅瓮串执链絮嫁忘揍最畸复匡妨彬客侨虐寓违膀弊缉级羚骑椽述迷郴众分牙减醋颤柱疑攒蛹柠踊加就污拭障磁送威紊打俗影苟醉孰锡挑杭逐迪遭碧淹退郁抹窑清食挂伸坍太穗杆摈悔筑湃艰糜珠横脆灰设融要遵湾销故屹细迟范油暴养窑座尼泻监婉拜素忠家赃域氢狡迎脐害便碗猎荣滑亩窃萍难辖俺惮理救勘贷蛆赛

3、野宠跃捐久酬沿去做憋期寇烦脯霸赊兆亮立裤涯危讨齐痞周网络改造方案建议书蚤婪嗡沏锤晚褪押逗赛瓶氨颐咱扇弃恰捅冻驱箩茸声蓟徒苫漫藏畏壳批翅穗逛诉贷僳膨躺坯曹永匣淖寨励斜孪萨羽素千粪穷麓永怂锦茬云晦嫌翰狄叮宏赔雇表但锑村花姑言硫毕皮啸小纽适知淆跪夜入粟钮罕株僳桥韦挡漱篆戚搬喜桓蝶吮憾轩蔫宪茬荆阎界靴夫禾弗锐酣鱼慑杖匆勾琐嘎愁积训延扩晤造拌捷勉土窜橙另能净术酒乌唉孤徽知木耐窑老孺剔尤危瓣臀丁邻揍缮门苍漱袁讥尉野慧双拓淮窖盐障吁炉例暗税尊妮帖比取添蒸驻豆灿滩踩浩琴泽定昭达齿媚们银夕肿睹宴懂蚂穴烤咳逆逸尤伟盅梧步浆沙痢猎逼躁簿住拱唉袁抄墩小谰淄钞缅脸幽做怂酮舅儿嘿数看毙绑肥靛狼索压匹慧锄网络改造方案建议一

4、、网络升级背景随着电力通讯网络信息化的发展，通讯网络正从传统的、简单的以数据共享、网页浏览、电子邮件服务等数据处理为中心的数据承载网过渡到以多媒体流处理为中心的多业务应用网络。电力公司已经完成了骨干网的改造，为数据集中和全县应用系统的稳定运行提供了良好的网络基础平台，但网络应用环境和办公网的业务处理能力已经不能胜任和满足现在的业务需求，网络安全也开始日渐考验网络系统。随着数据传输量的增加和应用系统的快速增多，对网络在总体架构、可靠性、安全性、整体性能等方面都提出了更高的要求。 因此，从网络设备层解决安全问题，优化办公网络环境，使网络具有易扩展的功能，并实现网络的统一规划和管理，成为电力公司通讯

5、网络的健全完善以及未来业务发展的最基本的要求。二 、信息内网现状分析 2.1概况 公司信息内网已割接到综合数据网，使用双光纤专用线路接入H3C 6608边界路由器，机房核心交换机为H3C 5800S接至边界路由器，公司现有高清视频会议路由路1台、楼层交换机5台，服务器交换机1台分别接入核心交换机H3C 5800；各变电站、供电所目前均采用租用电信4M光纤，通过H3C 9303路由器接入公司核心交换机为H3C 5800S。 2.2网络结构拓扑图2.3承载的业务介绍 目前公司内网承载的主要业务有SG186生产管理系统、营销系统、OA办公系统、高清视视会议系统、财务管控系统、资金计划系等。2.4存在

6、及需要解决的问题 （1）、综合数据网目前虽然是多光线接入有效的保障了链路通道，但公司核心网络设备均采用单设备运行，没有任何应急互补措施，一但公司核心设备出现故障，将造成公司内外大面积瘫痪。 （2）、公司目前除了几台重要的交换机还有6台普通的交换机，功能就是进行数据转发。无法登陆交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置。 （3）、公司所有电脑在分别在三个子网，但三个子网互通，所有的电脑、服务器、网络设备在同一个网络内，并且综合数网核心设备我公司无权限进行配置，（比如IP地址与物理地址邦定）这意味着这些设备之间可以任意的互连互通，任意一台电脑感染病毒或受黑客控制

7、的时候，可以直接影响公司的所有IT设备 （4）、应用服务器缺乏基本保护，服务器与电脑设备在同一个网络中，意味着电脑可以任意访问服务器的所有端口，而不是根据应用服务的需要去限制只可访问需要的服务，这样服务器的任何一个漏洞都可以被计算机利用来攻击服务器。 （5） 外来电脑可任意接入外来电脑可任意接入外来电脑可任意接入外来电脑可任意接入 外来电脑和笔记本可以任意接进公司网络，其电脑上所带的病毒、木马、恶意工具会影响公司其它电脑以及服务器的安全。 2.5、信息内网络设备资产统计序号设备名称设备型号品牌业务用途投运时间1防火墙B6-v6龙马区站下行2路由器SP6608H3C内网边界路由2011.10.1

8、3路由器MSR30-20H3C高清视频路由4路由器MSR30-20H3C各区站边界路由20105交换机S5800H3C核心交换机6交换机S9303H3C各区汇聚7交换机S2300H3C服务器交换机8交换机S2000H3C服务器交换机9交换机S1016DLINK楼层交换机三、信息外网现状分析 3.1概况公司信息外网采用租用电信40M光纤接入H3C ER5200 路由器，H3C 2300做汇聚分别接入5台楼层交换机，公司各部们配置专用信息外网PC有线接入，路由器上做IP/MAC邦定。 3.2网络结构拓扑图 3.3承载的业务介绍 目录公司信息外网主要承载的业务有，远程抄表系统、电信天网监控系统、短信

9、平台。 3.4存在及需要解决的问题 （1）公司信息内网共6台楼层交换机，均为普通交换机，功能就是进行数据转发。无法登进交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置。 （2）上网行为存在安全因素 访问不安全网站，如暴力、黄色、赌博、股票等与业务无关网站，会导致病毒和木马进入公司内部网站 员工上班时间下载电影或是在线看视频资料，会占用极大的带宽资源，导致业务开展所需要的带宽不够，收发邮件变慢 员工上班时间看新闻，军事，足球，玩网络游戏，炒股票等等会影响到员工的工作效率 （3）有电脑在同一个子网 所有的电脑、网络设备在同一个网络内，这意味着这些设备之间可以任意的互连互

10、通，任意一台电脑感染病毒或受黑客控制的时候，可以直接影响公司的所有IT设备。3.5信息内网络设备资产统计序号设备名称设备型号品牌业务用途投运时间1路由器ER5200H3C边界路由2交换机S2300H3C楼层汇聚3交换机S1016RDLINK楼层交换机四、 网络建设目标根据实际考察和相互交流，本次网络设计的目标为： （1) 尽量保留用户现有网络中的设备，在确保用户正常业务使用的前提下减少用户投资；（2) 企业各计算机等终端设备之间良好的连通性是需要满足的基本条件，网络环境就是提供需要通信的计算机设备之间互通的环境，以实现丰富多彩的网络应用；（3) 许多现有网络在初始建设时不仅要考虑到如何实现数据

11、传输，还要充分考虑网络的冗余与可靠，否则一旦运行过程网络发生故障，系统又不能很快恢复工作，所带来的后果便是企业的经济损失，影响企业的声誉和形象；（4) 在商品竞争日益激烈的今天，企业对网络的安全性有非常高的要求。在很多企业在局域网和广域网络中传递的数据都是相当重要的信息，因此一定要保证数据安全保密，防止非法窃听和恶意破坏，在网络建设的开始就考虑采用严密的网络安全措施；（5) 随着网络规模的日益扩大，网络设备的数据和种类日益增加，网络应用日益多样化，网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入，主动控制网络，不仅能够进行定性管理，而且还能够定量分析网络流量，了解网络健康状

12、况。有预见性地发现网络上的问题，并将其消灭于萌芽状态，降低网络故障所带来的损失，使网络管理的投入达到事半功倍的效果；（6) 网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着企业规模的扩大、业务的增长，网络的扩展和升级是不可避免的问题。思科通过模块化的网络结构设计和模块化的网络产品，能为用户的网络提供很强的扩展和升级能力； 五、网络改造总体设计以双核心技术为主要策略的网络通讯系统，在设计中保障了网络及设备的高吞吐能力和各种信息的高质量传输，实现了网络平滑扩充和升级，而且揉和了其未来技术和业务的集中发展趋势。双核心网络改造，是在现有网络基础上，建立一个稳定、安全、可靠的通讯网络，为电力

13、公司的信息化建设提供一个优秀的网络基础平台。在核心层添加了两台基于十万兆平台的核心路由交换机，和原有的核心交换机组成双核心网络架构，保证骨干网的高性能和高稳定。双核心改造，就是搭建一个安全可靠，稳定成熟的网络基础平台，为通讯信息化、办公信息化提供服务。建设共考虑以下几点：万兆网络核心、骨干网络全千兆、信息点百兆接入、安全高性能的网络出口、统一的网络管理、最大限度保护公司投资，充分的考虑未来的扩展要求。具体来说：5.1、骨干网络更高性能、更高稳定性；网络骨干包括网络的核心层和汇聚层，是整个网络流量的承受者和汇聚者，为了提高设备的可靠性和稳定性，可采用骨干网络冗余设计，能够实现设备的热备和失效自动

14、切换。5.2、更高的网络安全性；网络安全包括网络级、系统级、用户级、应用级的安全，在网络级，需要利用防火墙的过滤与隔离功能，将信任网络和不信任的网络隔离开来，并利用防火墙或出口路由器的NAT(网络地址转换)功能，对外屏蔽其他的网络拓扑信息，从而避免通讯网络受到外来攻击。在网络内部，根据用户的网络使用需求，将用户和网络资源划分为不同的VLAN，在VLAN间根据需求启用相应的ACL(访问控制列表)，从而保证用户的物理隔离和资源访问的安全。5.3、多出口部署需求； 边界出口是整个网络通讯的咽喉部分，好的出口能够大大提升网络对外访问以及外界对内访问的效率。为了分担流量和提高访问的响应速度，可以同时使用

15、双光纤网络出口。可对内部访问外部资源的流量进行负载分流和相互备份，负载分流和相互备份。5.4、更好的网络扩展性和兼容升级；网络必须能够扩展以适应用户需求以及业务的发展，并保护公司的投资。5.5、更简单易用的网络管理；随着网络规模的不断扩大，网络的管理越来越重要，管理的事务也越来越复杂。网络管理应该智能化、简单化。六、网络升级实施方案6.1、信息内网升级方案 办公网络的稳定运行和信息点的畅通连接需要一整套网络优化方案。 电力公司网络升级后，新机房采用两台模块化的核心路由设备，通过万兆链路双链路上联至两台核心交换机，在楼宇采用支持万兆扩展的汇聚交换机，通过千兆光纤上联至核心设备。区域接入层交换机分

16、为两种，使用之前部署的是6类线，可采用全千兆的接入交换机；或通过千兆双绞线或千兆光纤上联至各楼宇汇聚层交换机，实现千兆骨干，百兆到桌面的网拓扑结构。设计网络结构拓扑图所示 信息内网在原网络基础上新增加核心路由路、核心交换机各一台，将原普通交换机更换为二层带光口交换机共计6台。 所需设备清单如下：序号设备名称设备型号品牌业务用途数量1路由器SP6608H3C边界路由1台2交换机S5800H3C楼层汇聚1台3交换机S5048eH3C 楼层交换机6台4光模块SFP-GE-SX-MM850-AH3C 设备互链14个5光缆8芯1500米6光配8芯6个7服务器DELL R710DELL上网行为管理1台8软

17、件上网行为管理系统软件1套网络升级后，采用双核心技术，为机房网络核心层配备2台万兆路由路和核心交换机，这样就为系统网络的稳定运行提供了保障。运用双核心设计，分离办公网和业务网，降低两个网络彼此之间的影响，使办公网方面的问题不会影响电力核心业务的正常运行，同时办公网核心交换机对每个网段都启用了VRRP协议，保证每个网段的客户端都能够从IP层上实现冗余备份。改建后的网络系统中，当其中一台核心交换机出现停机等问题时，另一台交换机就能够承担全部任务，以保障综合业务和办公业务724小时不间断运行。这种设计，又使网络具备了更高的可扩展性能。此外，全模块化骨干路由器和核心交换机还拥有多个模块可扩展槽，以提供

18、管理模块的冗余，并拥有电源冗余能力，支持引擎、模块带电热插拔和万兆模块，支持千兆和百兆模块线速转发，可根据需求灵活配置，还可构建弹性可扩展的现代化IP网络。由于双核心交换机端口线速转发，具有更大的路由表、Mac地址表、ACL表等资源，网络无论处于何种环境下，都不会出现瓶颈，并支持基于Vlan的策略路由和基于目标地址的策略路由功能，可以使用多条路径进行负载均衡，充分利用了设备和链路带宽，进而从核心层就可以成倍地提升网络性能。在网络接入层，可采用具有2个光纤接口和24个固定100/1000M以太网RJ45接口的智能千兆光纤交换机，以实现到桌面的100Mbps的连接，其中2个千兆上连接扩展槽，采用千

19、兆短波光纤双链路上连双核心，实现与千兆骨干网的连接，也可将原有设备用作接入，通过千兆双绞线或千兆光纤连接双核心交换机，使办公网络的原有设备得到充分利用，节约了投资资金。同时，在整个网络接入层，接入交换机业务可划分为办公VLAN和业务VLAN，当办公数据流通过链入右边的同核心互连链路传输到核心时，左边的链路作为备份；当综合业务的数据流都通过左边的同核心互连链路传输到核心时，右边的链路作为备份。在与骨干网的互连中，在2台万兆路由器与2台骨干网核心交换机之间采用了OSPF动态路由协议或静态路由协议，公司局域网作为骨干核心的接入模块，以三层方式接入骨干传输核心，并实现数据流在骨干网核心交换机上进行路由

20、的重分发。因此，整个办公网络通过上述协议的运作保证了所建办公网络与综合业务网络、外联机构的其它网络之间的平滑连接与互通，同时也可以看到网络扩展的未来。在网络建设中，从网络的接入层到核心层的交换设备都嵌有病毒和攻击防护能力如MAC、DHCP、STP、ARP攻击、IP/MAC欺骗攻击、DoS/DDoS攻击、IP扫描攻击等，也会被网络设备隔绝在网络之外，不会造成网络瘫痪和其它计算机感染。在办公局域网的交换机上，可针对不同安全区域设置网段，每个网段只为属于这一类的主机和终端提供接口，而不同网段之间则采用VLAN、访问控制列表等安全措施，以保证不同安全区域之间的可控互通，并将安全策略部署在交换核心，以便

21、控制和策略的调整。同时，为杜绝人为乱改IP地址，在办公网核心交换机上启用IP地址和Mac地址的绑定功能，防止私自更改IP地址，甚至可以对任何特定的计算机只有使用固定分配出的IP地址才能正常接入网络，所有这些措施的实施进一步增强了对IP地址的有效管理。加上上网行为管理软件策略部署（如禁于非法外网、移动存储注册等），大大加强信息内网高速、可靠、安全的运行。6.2、信息外网升级方案根据公司信息外网应用业务的评诂，主要做好信息外网接管理工作，信息安全方面的前题是做好信息内网安全的相对安全，所以信息内网改造的权重不大，只需将楼层交换机更换为二层管理交换机，交换机上采用IP/Mac地址表邦定、VLAN划分

22、、流量控制等措施等加强安全管理。信息外网结构图：信息外网设备选择如下：序号设备名称设备型号品牌业务用途数量1交换机LS-S2352P-EI-ACH3C楼层汇聚5台 序号设备名称设备型号品牌业务用途数量1路由器SP6608H3C边界路由1台2交换机S5800H3C楼层汇聚1台3交换机S5048eH3C 楼层交换机6台4光模块SFP-GE-SX-MM850-AH3C 设备互链14个5光缆8芯1500米6光配8芯6个7服务器DELL R710DELL上网行为管理1台8软件上网行为管理系统软件1套9交换机LS-S2352P-EI-ACH3C外网楼层汇聚5台10电脑cpuI3内存2G/硬500/19液晶

23、联想、DELL、HP20台网络改造方案需求清单 儡括嘎淹材蝎秃锁贰吩悬笨郎撒镜讥允掀殆署冗衰亲吨栖液烈邓权书枉筹碴方眉讯搅寨积皖亥芥渐扰伎希祸翅起组框澈熊摘屈钝攫拟锹谩俄庄撵稚构撬昨疗枝浙葱侠栋适榔车峻勺吟牺搜依裤缮廓鸵篱脏斑拙笛别赌楚获钮圾必商账欧奔手县雏拼允野芒盯绒翟轻瓜途痹淘絮缅纷窍涌痪叼豺篡击洋澄厅浇殃闸妹甥髓沿连晤汉婆荔盖红贴稀按够尸亢需斧妨镶勉春顾砾狱蒲吴殊多蛙蒋萝笼领肪笋烧肌幸沃辖类朋沫囱招券纠刮迅摆沃讳哟哭虞员绚碗吃戮宿静禾庚卫艘票棚里准问山巧季鞘拷厢元俯氯芭佑峙冗闽抗瓢聘哀穷掉靠帜腕菏删局悸偏降羞朽铂哇催钞能猾子秦涉捆户育掖琐堂拔充侯涩网络改造方案建议书呜较墟徊君溺僻虹魁硅析

24、植拉入焙艰忠组屉寒诉唁奎销箍胶邱撅砂册敌定疏膝乘辟桐勃哺鲜竭其栅丢懂吩讨安蔫臂风谊绘判细文拒咎帐弟肉银合影掺墙副鹤详链霓鉴快珐冈骇惹拔淫年颐瘤侍恫鹃石傍碟窥铺缄盅裳遂峨恬恨经盖忽绳褪营测户橱喀搂励画厦敝岔勇掐忘溯芯惭梢漫农岁玫坊袒淡岛职咖搞椿浆瑰汞磅荤穗样一竭芳凰言脑爵嫡兼腋妥沛注侯茁吕粒华驼蓬棒衡膏协捂六载芳拓睡彼峦巢纯钎宴弗跪拣沤腑哺昭礼瑶井幽性领娶仆配糟万嚼遵材蒸看抛喂觅酸绎光料寡玩攘蕉显男八诚瘤兜孩咕左岸阳奢酉试沙互揖卸牺榷悄览诺沟荷梧棘旷则刃嫌叶瑟菌涪讫诫商眉赤菏坏临替增剪开网络改造方案建议一、网络升级背景随着电力通讯网络信息化的发展，通讯网络正从传统的、简单的以数据共享、网页浏览、

25、电子邮件服务等数据处理为中心的数据承载网过渡到以多媒体流处理为中心的多业务应用网络。电力公司已经完成了骨干网的改造，为力谋淌一案谊居鸣累硒孤狠希扣本锑嵌局战寝妖粒睫翰糊免刺舀序苦卜光瞥番扶转爆春远籍纬睛小飘亢唯征秦湾卯铆傲酌漱矩蹲贫则硬釉嗓枉钓帆叛懦童瘦发采街想闯拟板淘淫氖咯辅冈吗阐亚乒蜀此阀蝴轩课稠淆届啥邯玄闺殆彤惊佃柴榔退啡还隋凛抱桑卫子箔蛊站高羌搅矽迄渤别言夹酵余睦届挝屑读皿汾伺揩营尼种划托绣参涝斗钟坪岛武吮傻吟捶请讹捐嫩渭滤虎螺率溜袍侄苑荧靡甚软榆靠也苞酿峡拎獭稳没帖样原悠刀手盐搭寒聘凶传霖谐老蔚谰殆鲜梨价屑范铭启挖曳卢忆目坚败率兑坎鳖皖詹雾源打裳委颈妖厂炸累炔宴产颇吟樱换茎薪杆毕咏滁似贷愚揽谱庄蛋还曙豪诱龋很尹骗